企业网中的VLAN设计方案.docVIP

企业网中的VLAN设计方案 ?? 在企业网络刚刚兴起之时，由于规模小、应用面窄、对Internet接入认识程度低以及关于网络安全和管理知识贫乏等原因，使得企业网仅仅局限于交换模式状态。交换技术主要有2种方式: 基于以太网的帧交换和基于ATM的信元交换，它相对于共享式网络性能有很大提高，但对于所有处于一个IP网段或IPX网段的网络设备来说，却同在一个广播域中。当工作站数量较多和信息流较大时，容易形成广播风暴，严重影响了网络运行速度，甚至容易造成网络瘫痪。怎样避免这个问题出现呢？采用划分网络的办法是个不错的选择。 　　　　---- 在采用交换技术的网络模式中，一般采用划分物理网段的手段进行网络结构的划分。从效率和安全性等方面来看，这种结构划分有一定缺陷，而且在很大程度上限制了网络的灵活性。因为如果要将一个广播域分开，必须另外购买交换机，并且需要重新进行人工布线。好在，虚拟局域网（Virtual Local Area Network，VLAN）技术的出现解决了上述问题。实际上，VLAN就是一个广播域，它不受地理位置的限制，可以跨多个局域网交换机。一个VLAN可以根据部门职能、对象组或者应用来将不同地理位置的网络用户划分为一个逻辑网段。对于局域网交换机，其每一个端口只能标记一个VLAN，一个VLAN中的所有端口拥有一个广播域，而处于不同VLAN的端口则共享不同的广播域，这样就避免了广播风暴的产生。可以说，在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。 　　　　---- 通常，一个规模较大的企业，其下属一般拥有多个二级单位，为保证对不同职能部门管理的方便性和安全性以及整体网络运行的稳定性，可以采用VLAN划分技术，进行虚拟网络划分。下面，我们通过对一个实际案例的分析，让大家了解和掌握应用VLAN技术的真谛。 　　　　网络状况 　　　　---- 某大型起重设备总公司下属有2个二级单位，主要进行研发、服务与销售等工作。由于地理位置相对较远，业务规模尚未发展壮大，在企业成立之初，公司总部、二级单位1和二级单位2分别建立了独立的网络环境，各网络系统均采用以交换技术为主的方式，3网主干均采用千兆以太网技术。公司总部中心交换机采用了Cisco Catalyst 6506产品，它是带有三层路由的引擎，可使企业网具有很强的升级能力。各二级单位的中心交换机采用了Cisco Catalyst 4006。其他二级和三级交换机采用了Cisco Catalyst 3500系列交换机，主要因为Catalyst 3500系列交换机具有很高的性能和可堆叠能力。 　　　　需求分析 　　　　---- 由于业务发展迅猛，总公司与2个二级单位迫切需要畅通无阻的信息交流，从而让公司总部能对2个下属单位进行更直接和更有效的管理，进而达到三方信息共享的目的，所以将彼此相互独立的3个子网联成一个统一网络势在必行。 　　　　---- 图1所示的是起重设备总公司3个子网互联形成统一网络的示意图，3个子网是采用千兆以太网技术进行互联的。为了避免在主干引发瓶颈问题，各子网在互联时采用了Trunk技术(即双千兆技术)，使网络带宽达到4GB，这样，既增加了带宽，又提供了链路的冗余，还提高了整体网络高速、稳定和安全的运行性能。　　　 ---- 然而，由于网络规模不断扩大，信息流量逐渐加大，人员管理变得日益复杂，给企业网的安全、稳定和高效运行带来新的隐患，如何消除这些隐患呢？VLAN划分技术能为此排忧解难。 　　　　---- 根据起重设备总公司业务发展需要，我们将联网后的统一网络划分为5个虚拟子网，分别是: 经理办子网、财务子网、供销子网和信息中心子网，其余部分划为一个子网。 　　　　---- 由于统一网络的IP地址处于192.168.0.0网段，所以我们可以将各VLAN的IP地址分配如下。 　　　　---- 经理办子网：192.168.1.0～192.168.2.0/22 网关：192.168.1.1 　　　　---- 财务子网： 192.168.3.0～192.168.5.0/22 网关：192.168.3.1 　　　　---- 供销子网： 192.168.6.0～192.168.8.0/22 网关：192.168.6.1 　　　　---- 信息中心子网：192.168.7.0/24 网关：192.168.7.1 　　　　---- 服务器子网：192.168.100.0/24 网关：192.168.100.1 　　　　---- 其余子网： 192.168.8.0～192.168.9.0/22 网关：192.168.8.1 　　　　详细设计 　　　　---- 在划分VLAN时，Cisco的产品主要基于2种标准协议：