JOZ 三层交换评估.docx

一合一电器（深圳）有限公司三层交换评估子网划分的原因网络负载大：公司目前317台电脑（包含所有服务器），随着服务应用软件以及电脑通信方式日益增多，网络负载越来越大。网络和网络设备被无用的数据占用大量的可利用资源：按公司目前现有网络架构来看，所有电脑处在同一个网络下互相通信，任意一台电脑访问网络内另一台电脑时，需向整个网络发送广播包，用来确定目标电脑的位置，当所有电脑收到此广播数据包时，只有目标电脑会回应此数据，其它电脑收到此数据包后当成垃圾随之丢弃；当一台电脑访问一个网络内不存在的电脑时，因为收到来任何回应，会不停的发送广播包，直到目标产生回应或者被服务器通告“此电脑不存”在为止，也就是说，网络内电脑数量越多，这种相对于无用的数据包越多；一台电脑与一个网络设备（如交换机）的端口同一时间只能处理一个广播包，其它数据必需排队等候，大大降低电脑间通信与网络设备处理能力。网络风暴造成大范围的影响当一台电脑访问一个网络内不存在的电脑时，因为未收到任何回应，会不停的发送广播包，直到目标产生回应或者被服务器通告“此电脑不存”在为止，发送广播包的电脑达到一定数量，无用的数据包就会越多，不停的冲击着整个网络环境，形成“广播风暴”。当网络内任意一台电脑或者网络设备（如交换机）发生人为或电器故障（如网卡损坏，出现网络环路），会发送大量错误数据到所有设备，直到网络完全阻塞，形成“网络风暴”“广播风暴”与“网络风暴”对于整个网络来说是有害的，电脑及网络设备越多，形成风暴的可能性就越高，影响的范围就越大，且对于资讯维护难度与排错时效就越大越久，因为在突发状况下，从一个庞大的网络集体中找出某台设备的故障需要花的时间完全不可预估。网络安全性同一个网络中的电脑能互相通信，在权限的许可下，能任意访问每一台电脑上的内容，很大程度的提高了网络的潜在危胁，如病毒将通过网络感染公司所有电脑，外网入侵获得其中某一台电脑的权限也可以在整个网络内畅通无阻。划分子网将能解决以上所有问题将公司网络划分为若干个小网络，再通过带路由功能的交换机以及支持子网络的骨干交换机以及三层交换VLAN技术实现限制通信，即各子网电脑能访问公司所有服务器所在子网，但不能相互通信。按部分划分子网，各子网间不能直接访问，将网络风暴扩散范围缩小到一个子网，即一个部门，其它子网不受影响，且大幅度降低了无用数据的传输，提升了网络可利用资源；同时也有效的限制了病毒以及外网入侵造成的影响。子网划分部门IP网络地址子网掩码子网网关VLAN号VLAN名称总经理室172.16.16.0255.255.255.0172.16.16.25416GI财务部172.16.17.0255.255.255.0172.16.17.25417GM管理部172.16.18.0255.255.255.0172.16.18.25418G工程部172.16.19.0255.255.255.0172.16.19.25419RD设计部172.16.20.0255.255.255.0172.16.20.25420DS资材部172.16.21.0255.255.255.0172.16.21.25421BP业务报关172.16.22.0255.255.255.0172.16.22.25422JOGS控管课172.16.23.0255.255.255.0172.16.23.25423PM品保部172.16.24.0255.255.255.0172.16.24.25424Q厂务部172.16.25.0255.255.255.0172.16.25.25425F仓库部172.16.26.0255.255.255.026BS子网间关系GI(VLAN 16)子网络（包含所有应用服务器所在子网）做为管理网络，能与其它各子网通讯;其它子网能且只能与GI子网通信,除GI子网外各子网间不能通信,能搞局域网络安全性以及减少网络间流量.三层交换机实现以一台三层交换机为核心交换机，若干台持VLAN的二层交换机做为骨干网络交换机。达到局域网络内部快速通信。(网络TOP图如附件)原理:1．一台CISCO三层交换机做为公司网络核心交换机，各骨干层交换机与核心交换机之间做为高速交换数据链路主干线(TRUNK)；2．公司各部门电脑物理位置分布复杂，现一个骨干交换机下连接多个部门电脑，如直接接入核心交换机，需增加核心交换机端口数量，成本过高，且线路过长会导致通信效率低下。因此将骨干交换机全部更换为CISCO支持VLAN划分的二层交换机，基于端口划分VLAN，通过TRUNK线路与核心交换实现机快速通信。3．核心交换机与各骨干交换机组成合一核心网络层架构（CORE　NETWORK），将核心网络层所有交换机定义一个虚拟子网管理域（VTP）。4．在核心交换机上定义虚拟子网（VLAN），访问控制列表