大型企業(yè)網(wǎng)VLAN方案

1、大型企業(yè)網(wǎng)VLAN方案 在企業(yè)網(wǎng)絡剛剛興起之時， 由于企業(yè)網(wǎng)絡規(guī)模小、應用范圍的局限性、 對 Internet 接入的認識程度、 網(wǎng)絡安全及管理 的貧乏等原因，使得企業(yè)網(wǎng)僅僅限于交換模式的狀態(tài)。交換技術(shù)主要有兩種方式：基于以太網(wǎng)的幀交換和基于ATM的 信元交換，LAN交換機的每一個端口均為自己獨立的碰撞域，但同時對于所有處于一個IP網(wǎng)段或IPX網(wǎng)段的網(wǎng)絡設備 來說，卻同在一個廣播域中，當工作站的數(shù)量較多、信息流很大的時候，就容易形成廣播風暴，甚者造成網(wǎng)絡的癱瘓。 什么是 VLAN VLAN是英文Virtual Local Area Network的縮寫，即虛擬局域網(wǎng)。 VLAN允許處于不同地理

2、位置的網(wǎng)絡用戶加入一個 邏輯子網(wǎng)中，共享一個廣播域。通過對VLAN的創(chuàng)建可以控制廣播風暴的產(chǎn)生，從而提高交換式網(wǎng)絡的整體性能和安全 性。 VLAN對于網(wǎng)絡用戶來說是完全透明的，用戶感覺不到使用中與交換式網(wǎng)絡有任何的差別，但對于網(wǎng)絡管理人員則有很 大的不同，因為這主要取決于 VLAN的幾點優(yōu)勢： 1. 對網(wǎng)絡中的廣播風暴的控制； 2. 提高網(wǎng)絡的整體安全性，通過路由訪問列表、MAC地址分配等VLAN劃分原則，可以控制用戶的訪問權(quán)限和邏輯網(wǎng) 段的大小； 3. 網(wǎng)絡管理的簡單、直觀。 在采用交換技術(shù)的網(wǎng)絡模式中，對于網(wǎng)絡結(jié)構(gòu)的劃分采用的僅僅是物理網(wǎng)段的劃分的手段。這樣的網(wǎng)絡結(jié)構(gòu)從效率和 安全性的角度

3、來考慮都是有所欠缺的，而且在很大程度上限制了網(wǎng)絡的靈活性，如果需要將一個廣播域分開，那么就 需要另外購買交換機并且要人工重新布線。由此，需要進行虛擬網(wǎng)絡（VLAN設置。 在一個規(guī)模較大的企業(yè)中，其下屬有多個二級單位，在各單位的孤立網(wǎng)絡進行互連時，出于對不同職能部門的管理、 安全和整體網(wǎng)絡的穩(wěn)定運行，我們進行了VLA N的劃分。 第一步 子網(wǎng)分析 該網(wǎng)絡系統(tǒng)由三部分組成：公司、二級單位 1、二級單位 2，初始為三部分各自獨立，未形成統(tǒng)一的網(wǎng)絡環(huán)境，故各網(wǎng) 絡系統(tǒng)的運行采用的是以交換技術(shù)為主的方式。 三網(wǎng)主干均采用的是千兆以太網(wǎng)技術(shù)， 起點的高定位為企業(yè)的信息應用帶來了高速、 穩(wěn)定、 符合國際標準

4、的網(wǎng)絡平臺。 公司中心交換機采用的是 Cisco 的 Catalyst 6506 ，帶有三層路由的引擎使得企業(yè)網(wǎng)具有將來升級的能力；同時各二 級單位的中心交換機采用的亦是 Cisco 的 Catalyst 4006 ；各二級、三級交換機則采用的是 Cisco 的 Catalyst 3500 系列，主要因為 Catalyst 3500 系列交換機的高性能和可堆疊能力。 現(xiàn)三部分應公司的要求聯(lián)網(wǎng)，網(wǎng)絡的互連仍采用千兆帶寬，但因三網(wǎng)均采用了千兆以太網(wǎng)技術(shù)，為了不在主干形成瓶 頸，因此各子網(wǎng)的互連采用Trunk技術(shù)，即雙千兆技術(shù)，使網(wǎng)絡帶寬達到4G,如此既增加了帶寬，又提供了鏈路的冗 余，提高了整體網(wǎng)

5、絡的高速、穩(wěn)定、安全運行性能。 但亦由于網(wǎng)絡規(guī)模的擴大化，信息流量的加大，人員的復雜化等原因，為企業(yè)網(wǎng)絡的安全性、穩(wěn)定性、高效率運行帶 來了新的隱患。由此引發(fā)了VLA N的劃分。 對于VLAN的劃分，應公司的需求，我們對各VLAN的IP地址分配為： 經(jīng)理辦子網(wǎng)：192.168.1.0 192.16820/22網(wǎng)關(guān)：192.168.1.1 ; 財務子網(wǎng)：192.168.3.0192.168.5.0/22 網(wǎng)關(guān)：192.168.3.1; 供銷子網(wǎng)： 192.168.6.0 192.168.8.0/22網(wǎng)關(guān)： 192.168.6.1 ； 信息中心子網(wǎng)： 192.168.7.0/24網(wǎng)關(guān)： 192.1

6、68.7.1 ； 服務器子網(wǎng)： 192.168.100.0/24網(wǎng)關(guān)： 192.168.100.1 ； 其余子網(wǎng)： 192.168.8.0 192.168.9.0/22網(wǎng)關(guān)： 192.168.8.1 ； 第二步 系統(tǒng)分析 VLAN的劃分的四種策略 1. 基于端口的 VLAN 基于端口的VLAN的劃分是最簡單、最有效的 VLAN劃分方法。該方法只需網(wǎng)絡管理員針對于網(wǎng)絡設備的交換端口進行 重新分配組合在不同的邏輯網(wǎng)段中即可。而不用考慮該端口所連接的設備是什么。 2. 基于MACfe址的 VLAN MAC地址其實就是指網(wǎng)卡的標識符，每一塊網(wǎng)卡的MAC地址都是唯一的?；?MAC地址的VLAN劃分其實

7、就是基于工作 站、服務器的VLA N的組合。在網(wǎng)絡規(guī)模較小時，該方案亦不失為一個好的方法，但隨著網(wǎng)絡規(guī)模的擴大，網(wǎng)絡設備、用戶的增加，則會在很大程度上加大管理的難度。 3. 基于路由的 VLAN 路由協(xié)議工作在七層協(xié)議的第三層：網(wǎng)絡層，即基于IP和IPX協(xié)議的轉(zhuǎn)發(fā)。這類設備包括路由器和路由交換機。該方 式允許一個 VLAN跨越多個交換機，或一個端口位于多個VLAN中。 4. 基于策略的VLAN 基于策略的VLAN的劃分是一種比較有效而直接的方式。這主要取決于在VLAN的劃分中所采用的策略。 就目前來說，對于 VLAN的劃分主要采用1、3兩種模式，對于方案2則為輔助性的方案。 VLAN的劃分設計

8、之后，再所涉及的就是VLAN劃分的最后一步：VLA N間的互連。 在以前對VLAN的劃分主要是通過路由器來實現(xiàn)的，但隨著網(wǎng)絡規(guī)模的擴大、信息量的增加，路由器無論是從端口數(shù)還 是系統(tǒng)性能上來說都已經(jīng)不堪負荷，因此逐漸形成了產(chǎn)生網(wǎng)絡瓶頸的主要原因。而在現(xiàn)在，因為有了基于交換機上的 三層路由的能力，在上述兩點已經(jīng)得到合理地解決。 對于Cisco的產(chǎn)品劃分，VLAN主要是基于兩種標準協(xié)議：ISL和802.1Q。在我們這里，因為所采用的均是 Cisco的網(wǎng) 絡設備，故在進行VLAN間的互連時采用ISL的協(xié)議封裝，該協(xié)議針對Cisco網(wǎng)絡設備的硬件平臺在信息流的處理、 多 媒體應用的優(yōu)化進行了合理有效的優(yōu)

9、化。對于不同產(chǎn)品的VLAN互連，我們在后面會提到。 由于本案例中關(guān)于VLAN的劃分擴展了各個交換機，所以交換機之間的連接都必須采用Trunk的方式。經(jīng)理辦和供銷子 網(wǎng)代表了 VLAN劃分中的兩種問題一一擴展交換機VLAN的劃分和端口 VLAN的劃分： 在經(jīng)理辦虛網(wǎng)中，對于一個交換機擴展多個VLAN的時候，前面提到了該交換機與其上層交換機間必須采用Trunk方式 連接，但在供銷的虛網(wǎng)劃分中，在二級單位1中的供銷獨立于一個 LAN交換機Catalyst3548，所以在這里，Catalyst3548 與二級中心交換機Catalyst4006只需采用正常的交換式連接即可，對于此部分供銷VLAN的劃分，

10、只要在Catalyst4006 上針對與Catalyst3548連接的端口進行劃分即可。也就是前面提到的基于端口的VLAN的劃分。 第三步路由列表 做完了 VLAN之間的連接后，因為兩個Catalyst4006與主中心交換機 Catalyst6506 間采用的是雙光纖通道式連接， 屏 蔽了 Catalyst406與Catalyst6506間的線路故障的產(chǎn)生，所以要對整體網(wǎng)絡的路由進行基于Catalyst6506 的集中式 管理。我們在主中心交換機 Catalyst6506 上設置了 VLAN路由： 經(jīng)理辦虛網(wǎng)：192.168.1.1/22; 財務虛網(wǎng)：192.168.3.1/22; 供銷虛網(wǎng)：

11、192.168.6.1/22; 信息中心虛網(wǎng)：192.168.7.1/24 ; 其余虛網(wǎng)：192.168.8.1/22; 接下來，在中心交換機上設置路由協(xié)議RIP或OSPF并指定網(wǎng)段192.168.0.0。在全局配置模式下執(zhí)行如下命令： router rip network 192.168.0.0 網(wǎng)絡拓撲圖 于美事橫桂理辦供鉗 千霍昭按 .津 M 二紐 12 中心 C354B 注意事項 1. 在這里需要注意的是：因為整個公司的網(wǎng)絡系統(tǒng)的VLAN的劃分是作為一個整體結(jié)構(gòu)來設計的，所以為了保持VLAN 列表的一致性，例如當二級單位1的VLAN有所變化時，VLAN列表也會有所變化，這時就需要該Ca

12、talyst 4006 對整 體網(wǎng)絡的其他部分進行廣播，以達到VLAN的列表的一致性。所以在設置VTP( VLAN Trunk Protocol )時要注意，要 將VTP的域作為一個整體，即：VTP類型分別為Server和Client。 2. 有些企業(yè)建網(wǎng)較早，所選用的網(wǎng)絡設備為其他的廠商的產(chǎn)品，而后期的產(chǎn)品又不能與前期統(tǒng)一，這樣在VLAN的劃 分中就會遇到些問題。 例如：在Cisco產(chǎn)品與3Com產(chǎn)品的混合網(wǎng)絡結(jié)構(gòu)中劃分 VLAN對于Cisco網(wǎng)絡設備的Trunk的封裝協(xié)議則必須采用 802.1Q，以達到與3Com的通訊。雖然兩者之間可以建立VLAN的正常劃分，和正常的應用，但由于交換機都具

13、有自學 習的能力，以致兩者之間的協(xié)調(diào)配合較差。當兩者之間的連接發(fā)生變化時，必須在Cisco 交換機上使用命令( clear counter )進行清除，方可達到兩者的重新協(xié)調(diào)工作。 傳統(tǒng)的局域網(wǎng) Ethernet 使用具有沖突檢測的載波監(jiān)聽多路訪問 ( CSMA / CD ) 方法。在 CSMA / CD 網(wǎng)絡中，節(jié) 點可以在它們有數(shù)據(jù)需要發(fā)送的任何時候使用網(wǎng)絡。在節(jié)點傳輸數(shù)據(jù)之前，它進行 監(jiān)聽以了解網(wǎng)絡是否很繁忙。如 果不是，則節(jié)點開始傳送數(shù)據(jù)。如果網(wǎng)絡正在使用，則節(jié)點等待。如果兩個節(jié)點進行監(jiān)聽，沒有聽到任何東西，而開 始同時使用線路，則會出現(xiàn)沖突。在發(fā)送數(shù)據(jù)時，它如果使用廣播地址，那么在此

14、網(wǎng)段上的所有PC都將收到數(shù)據(jù)包， 這樣一來如果該網(wǎng)段 PC眾多，很容易引起廣播風暴。而沖突和廣播風暴是影響網(wǎng)絡性能的重要因素。為解決這一問 題，弓I入了虛擬局域網(wǎng)(VLA N的概念。 虛擬網(wǎng)絡是在整個網(wǎng)絡中通過網(wǎng)絡交換設備建立的虛擬工作組。 虛擬網(wǎng)在邏輯上等于 OSI 模型的第二層的廣 播域，與具體的物理網(wǎng)及地理位置無關(guān)。虛擬工作組可以包含不同位置的部門和工作組，不必在物理上重新配置任何 端口，真正實現(xiàn)了網(wǎng)絡用戶與它們的物理位置無關(guān)。虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個獨立的子廣播域， 將廣播限制在虛擬工作組中，由于廣播域的縮小，網(wǎng)絡中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡的性能得到顯著

15、的提高。我們結(jié)合下面的圖來看看講下。圖1所表示的是兩層樓中的相同性質(zhì)的部門劃分到一個VLAN中，這樣，會計 的數(shù)據(jù)不會向市場的機器上廣播，也不會和市場的機器發(fā)生數(shù)據(jù)沖突。所以VLAN有效的分割了沖突域和廣播域。 我們可以在交換機的某個端口上定義 VLAN ，所有連接到這個特定端口的終端都是虛擬網(wǎng)絡的一部分，并且整個 網(wǎng)絡可以支持多個VLAN VLAN通過建立網(wǎng)絡防火墻使不必要的數(shù)據(jù)流量減至最少，隔離各個VLAN間的傳輸和可能出 現(xiàn)的問題，使網(wǎng)絡吞吐量大大增加，減少了網(wǎng)絡延遲。在虛擬網(wǎng)絡環(huán)境中，可以通過劃分不同的虛擬網(wǎng)絡來控制處于 同一物理網(wǎng)段中的用戶之間的通信。這樣一來有效的實現(xiàn)了數(shù)據(jù)的保密工

16、作，而且配置起來并不麻煩，網(wǎng)絡管理員可 以邏輯上重新配置網(wǎng)絡，迅速、簡單、有效地平衡負載流量，輕松自如地增加、刪除和修改用戶，而不必從物理上調(diào) 整網(wǎng)絡配置。既然 VLAN有那么多的優(yōu)點，我們?yōu)槭裁床涣私馑鼜亩裋LAN技術(shù)應用到我們的現(xiàn)實網(wǎng)絡管理中去呢。 好的讓我們通過實際的在Catalyst 1900 交換機上來配置靜態(tài) VLAN的例子來看看如何在交換機上配置VLAN 圖 1 在 Catalyst 1900 上的兩個 VLAN 設置好超級終端，連接上 1900交換機后(可以參考1900系列以太網(wǎng)交換機快速入門指南或其他的CISCO參 考資料)，會出現(xiàn)如下的主配置界面： 1 user(s) n

17、ow active on Management Console. User Interface Menu M Menus K Command Line I IP Configuration Enter Selection: 我們簡單介紹下，這兒顯示了三個選項， M Menus 是主菜單，主要是交換機的初始配置和監(jiān)控交換機的運行狀 況。 K CommandLine 是命令行，很象路由器里面用命令來配置和監(jiān)控路由器一樣，主要是通過命令來操作。I IP Configuration 是配置 IP 地址、子網(wǎng)掩碼和默認網(wǎng)管的一個選項。 這是第一次連上交換機顯示的界面， 如果你已經(jīng)配 置好了 IP Con

18、figuration ，那么下次登陸的時候?qū)]有這個選項。因為用命令配置簡潔明了，清晰易懂，所以我們通 過K Command Line 來實現(xiàn) VLAN的配置的。 設置好超級終端，連接上1900交換機后(可以參考1900系列以太網(wǎng)交換機快速入門指南或其他的CISCO參考資 料)，會出現(xiàn)如下的主配置界面： 1 user(s) now active on Management Console. User Interface Menu M Menus K Command Line I IP Configuration Enter Selection: 我們簡單介紹下，這兒顯示了三個選項， M Men

19、us 是主菜單，主要是交換機的初始配置和監(jiān)控交換機的運行狀 況。 K CommandLine 是命令行，很象路由器里面用命令來配置和監(jiān)控路由器一樣，主要是通過命令來操作。 I IP Configuration 是配置 IP 地址、 子網(wǎng)掩碼和默認網(wǎng)管的一個選項。這是第一次連上交換機顯示的界面， 如果你已經(jīng)配 置好了 IP Configuration ，那么下次登陸的時候?qū)]有這個選項。因為用命令配置簡潔明了，清晰易懂，所以我們通 過K Command Line 來實現(xiàn) VLAN的配置的。 我們選擇 K Command Line ，進入命令行配置 Enter Selection:K 回車 CLI

20、 session with the switch is open. To end the CLI session,enter Exit . 現(xiàn)在我們進入到了交換機的普通用戶模式， 就象路由器一樣， 這種模式只能查看現(xiàn)在的配置， 不能更改配置，并 且能夠使用的命令很有限。我們輸入 enable ，進入特權(quán)模式： enable #config t Enter configuration commands,one per line.End with CNTL/Z (config)# 為了安全和方便起見，我們給這個交換機起個名字，并且設置登陸密碼。 (config)#hostname 1900Swit

21、ch 1900Switch(config)# enable password level 15 goodwork 1900Switch(config)# 注意：密碼必須是 4-8 位的字符。 交換機密碼的設置和路由器稍微不同， 交換機用 level 級別的大小來決定密碼的權(quán) 限。 Level 1 是進入命令行界面的密碼，也就是說，設置了 level 1 的密碼后，你下次連上交換機，并輸入 K 后， 就會讓你輸入密碼，這個密碼就是 level 1 設置 的密碼。而 level 15 是你輸入了 enable 命令后讓你輸入的特權(quán)模 式密碼。路由器里面是使用 enable password 和 e

22、nable screet 做此區(qū)分的。 好拉，我們已經(jīng)設置好了名字和密碼這樣就足夠安全了，讓我們設置VLAN VLAN的設置分以下2步： 1. 設置VLAN名稱 2 應用到端口 我們先設置VLAN的名稱。使用vlan vlan 號name vlan名稱。 在特權(quán)配置模式下進行配置： 1900Switch (config)#vlan 2 name accounting 1900Switch (config)#vlan 3 name marketing 我們新配置了 2個VLAN為什么VLAN號從2開始呢？這是因為默認情況下，所有的端口否放在VLAN 1上，所 以要從2開始配置。1900系列的交換

23、機最多可以配置1024個VLAN，但是，只能有64個同時工作，當然了，這是理論 上的，我們應該根據(jù)自己網(wǎng)絡的實際需要來規(guī)劃VLAN的號碼。配置好了VLAN名稱后我們要進入每一個端口來設置 VLAN在交換機中，要進入某個端口比如說第4個端口，要用inteface Ethernet 0/4，好的，結(jié)合上面給出的圖我 們讓端口 2、3、4 和 5 屬于 VLAN2，端口 17-22 屬于 VLAN3。命令是 vlan-membership static/ dynamic VLAN號。 靜態(tài)的或者動態(tài)的兩者必須選擇一個，后面是剛才配置的VLAN號。好的，我們看結(jié)果： 1900Switch(config

24、)#interface ethernet 0/2 1900Switch(config-if)#vlan-membership static 2 1900Switch(config-if)#int e0/3 1900Switch(config-if)#vlan-membership static 2 1900Switch(config-if)#int e0/4 1900Switch(config-if)#vlan-membership static 2 1900Switch(config-if)#int e0/5 1900Switch(config-if)#vlan-membership sta

25、tic 2 1900Switch(config-if)#int e0/17 1900Switch(config-if)#vlan-membership static 3 1900Switch(config-if)#int e0/22 1900Switch(config-if)#vlan-membership static 3 1900Switch(config-if)# 好的，我們已經(jīng)把 VLAN都定義到了交換機的端口上了。這兒，我們只是配置的靜態(tài)的，關(guān)于動態(tài)的，我們在后 面會有提及的。到現(xiàn)在為止，我們已經(jīng)把交換機的VLAN配置好了，怎么樣，沒有你想象的那么復雜吧：)。為了驗證我 們的配置，我

26、們在特權(quán)模式使用 show vlan 命令。輸出如下： 1900Switch(config)#show vlan VLAN Name Status Ports 1 default Enabled 1,6-16,22-24,AUI,A,B 2 acconting Enabled 2-5 3 marketing Enabled 17-22 1002 fddi-default Suspended 1003 token-ring-defau Suspended 1004 fddinet-default Suspended 1005 trnet-default Suspended 這是一個24 口的交換

27、機，并且?guī)в?AUI和兩個100兆端口（ A B），可以看出來，我們的設置已經(jīng)正常工作了， 什么，還要不要保存 running configure ？當然不用了，交換機是即時自動保存的，所以不用我們使用命令來保存設 置了。當然了，你也可以使用show vlan vlan 號 的命令來查看某個 VLAN 比如show vlan 2 , show vlan 3. 還可 以使用 show vlan-membership ，改命令主要是顯示交換機上的每一個端口靜態(tài)或動態(tài)的屬于哪個VLAN。 以上是給交換機配置靜態(tài) VLAN的過程，下面我們看看動態(tài)的VLAN動態(tài)的VLAN形成很簡單，由端口自己決定它 屬

28、于哪個VLAN時，就形成了動態(tài)的 VLAN不過，這并不意味著就一層不變了，它只是一個簡單的映射，這個映射取 決于網(wǎng)絡管理員創(chuàng)建的數(shù)據(jù)庫。分配給動態(tài)VLAN的端口被激活后，交換機就緩存初始幀的源MA（地址，隨后，交換機 便向一個稱為VMPS（ VLAN管理策略服務器）的外部服務器發(fā)出請求，V M P S中包含一個文本文件，文件中存有進 行VLAN映射的MAC地址。交換機對這個文件進行下載，然后對文件中的MAC地址進行校驗。如果在文件列表中找到 MAC地址，交換機就將端口分配給列表中的VLANo如果列表中沒有 MACfe址，交換機就將端口分配給默認的VLAN（假 設已經(jīng)定義默認了 VLAN。如果在

29、列表中沒有 MACfe址，而且也沒有定義默認的VLAN端口不會被激活。這是維護網(wǎng) 絡安全一種非常好的的方法。從表面上看，動態(tài)VLAN的優(yōu)勢很大，但它也有致命的缺點，即創(chuàng)建數(shù)據(jù)庫是一項非常艱 苦而且非常繁瑣的工作。如果網(wǎng)絡上有數(shù)千個工作站，則有大量的輸入工作要做。即使有人能勝任這項工作，也還會 出現(xiàn)與動態(tài)的VLAN有關(guān)的很多問題。另外，保持數(shù)據(jù)庫為最新也是要隨時進行的非常費時的工作。所以不經(jīng)常用到它， 這里我們就不做詳細的講解，可以參考相關(guān)的CISCO的文檔資料。 這么樣，沒有你想象的那么復雜吧。我們已經(jīng)把VLAN配置好了，那么 VLA N的另一部分不容忽視的工作，就是前 期的對網(wǎng)絡的規(guī)劃。就是

30、說，哪些機器在一個VLAN中，各自的IP地址、子網(wǎng)掩碼如何分配，以及 VLAN之間互相通訊 的問題。只有規(guī)劃計劃好了，才能夠在配置和以后的使用維護過程中輕松省事。 interface FastEthernet0/36 switchport access vlan 20 switchport mode access 用三層交換機實現(xiàn)大中型企業(yè) VLAN 方案 在大中型企業(yè)中，采用路由器方式劃分VLAN會嚴重影響企業(yè)網(wǎng)絡的性能，而 VLA N間的通信必需通過路由才能實 現(xiàn)，因此，具有路由功能的三層交換機被廣泛應用于大中型企業(yè)VLA N網(wǎng)絡中。 企業(yè)規(guī)模的擴大造就了企業(yè)網(wǎng)絡規(guī)模的不斷膨脹，眾多企業(yè)在

31、擴展網(wǎng)絡規(guī)模時采用了在原有的網(wǎng)絡上直接增加計 算機的方法來實現(xiàn)，隨之而來的就是網(wǎng)絡體系變得越來越復雜，對網(wǎng)絡的管理也變得越來越困難，網(wǎng)內(nèi)的安全指數(shù)也 變得越來越低，并且網(wǎng)絡資源的利用率也大大降低，如何行之有效的管理網(wǎng)絡和合理利用網(wǎng)絡資源成為企業(yè)最大的難 題。 采用VLAN方式劃分網(wǎng)絡體系能夠讓管理員更加方便的管理企業(yè)網(wǎng)絡，而VLAN網(wǎng)絡靈活的擴展能力也讓企業(yè) 網(wǎng)絡規(guī)模在不斷擴大的同時不會出現(xiàn)網(wǎng)絡混亂的情況，VLAN網(wǎng)絡所具有的控制廣播風暴能力讓企業(yè)網(wǎng)絡資源的性能 得到大幅度提高，并且 VLAN網(wǎng)絡還具有管理簡單，安全性高的特點。因此，在網(wǎng)絡最初的設計中采用VLAN方式能 夠?qū)W(wǎng)絡將來的擴展帶來

32、極大的好處。 在普通的小型企業(yè)中，采用路由器方式劃分VLAN是一種節(jié)約成本的方法，不過在大中型企業(yè)中，采用路由器 方式劃分VLAN會嚴重影響企業(yè)網(wǎng)絡的性能，而 VLAN間的通信必需通過路由才能實現(xiàn)，因此，具有路由功能的三層 交換機被廣泛應用于大中型企業(yè)VLAN網(wǎng)絡中。但我們必需清楚一點，就是采用三層交換機的VLAN網(wǎng)絡同樣需要路 由器，只不過路由器只是企業(yè)網(wǎng)絡和互聯(lián)網(wǎng)的連接工具，VLAN間的通信不會靠路由器來實現(xiàn)。 VLAN網(wǎng)絡的劃分最大的特點就在于它的靈活性，而采用VLAN方式劃分網(wǎng)絡主要有靜態(tài) VLAN和動態(tài)VLAN 方式，靜態(tài)VLAN實際上就基于端口的 VLAN，這種劃分方式由于要管理員

33、對每個交換機的端口都要進行配置，顯得 非常復雜，一般不采用這種方式。動態(tài)VLAN又分為三種劃分方式，基于子網(wǎng)的VLAN，基于MAC地址的VLAN， 基于用戶的VLAN。這三種方式各有各的特點，因此，我們在劃分VLAN網(wǎng)絡的時候可以靈活搭配，例如移動用戶由 于外置無線網(wǎng)卡隨時可能被更換，所以我們對移動用戶可采用用戶的VLAN劃分方式，將這部分劃為一個基于用戶的 VLAN。而一些固定的用戶我們可采用基于子網(wǎng)的VLAN方式，也就是把一個段的IP劃分為一個VLAN。因此，劃分 VLAN顯得非常靈活。 上圖所顯示的網(wǎng)絡第一層我們還是采用了路由器，這是由于路由器本身就是連接內(nèi)網(wǎng)和外網(wǎng)的唯一工具，因此， 路

34、由器不能缺少，只是 VLAN間通信路由不在路由器中實現(xiàn)。但我們也必需注意，大型VLAN網(wǎng)絡由于數(shù)據(jù)傳輸量非 常大，對路由器的要求也非常高，所以我們不能簡單的認為有了三層交換機對路由器要求就不高了。因此，我們選擇 路由器還是要根據(jù)整個網(wǎng)絡的規(guī)模來看。 在第二層就是采用的三層交換機，這也是整個大型VLAN網(wǎng)絡的關(guān)鍵所在。三層交換機具有路由和交換兩種功 能，其中的路由功能是實現(xiàn) VLAN間通信的關(guān)鍵技術(shù)。當?shù)谝粋€數(shù)據(jù)流進入三層交換機后，三層交換機將會對這個數(shù) 據(jù)流進行路由，在路由的同時三層交換機會產(chǎn)生一個MAC地址與IP地址的映射表，這樣做的好處就是當同樣的數(shù)據(jù) 流進入三層交換機后，不需要三層交換機

35、對這個數(shù)據(jù)流再進行一次路由，這個數(shù)據(jù)流只需要直接通過三層交換機就能 實現(xiàn)VLAN間通信，從而有效解除了路由器所帶來的網(wǎng)絡瓶頸。三層交換機也是劃分VLAN網(wǎng)絡的關(guān)鍵所在，管理員 只需要對三層交換機進行配置就可完成對VLAN網(wǎng)絡的劃分。所以在選擇三層交換機時，我們一定要根據(jù)自己的實際 情況進行合理選擇，才能更加有效的保證整個VLAN網(wǎng)絡的正常運行。 在網(wǎng)絡的第三層，我們選用的二層交換機，二層交換機在VLAN網(wǎng)絡中的作用實際上只是保證整個網(wǎng)絡基層的 正常運行，如果網(wǎng)絡規(guī)模非常大，那么這一層最好選擇千兆交換機，讓網(wǎng)絡的下一層繼續(xù)連接交換機進行擴展，如果 網(wǎng)絡規(guī)模不是非常大（采用三層交換機連接的計算機數(shù)

36、量最少也是在200臺以上），這一層直接選擇普通交換機就可 以了。 在網(wǎng)絡最底層是整個網(wǎng)絡的基礎(chǔ)，也是我們決定怎樣劃分VLAN網(wǎng)絡的標準，它們由企業(yè)的計算機終端、服務器 等組成。 400節(jié)點企業(yè)網(wǎng)絡設計方案 下面我們來設計一個具有 400節(jié)點的企業(yè)VLAN網(wǎng)絡，我們假設這個企業(yè)分為銷售部，售后服務部，設計部， 財務部，服務器區(qū)組成。其中，銷售部有20臺計算機，售后服務部有 20臺計算機，財務部有 20臺計算機，服務器 區(qū)有20臺服務器，設計部有 320臺計算機。我們可將整個企業(yè)網(wǎng)絡劃分為6個VLAN，如果用戶對設計部的計算機 量感覺有些大，還可將這個部門的計算機進行VLAN細劃。下圖是這個500

37、節(jié)點的VLAN劃分結(jié)構(gòu)圖。 二層交換機 二層交換 千兆交換 路 二層交換機 二層交換機 三層交換 設計部VLAN 千兆交換 期務部VLAN1 JK務住區(qū)VLAN 再次申明，VLAN網(wǎng)絡的劃分需要在三層交換機上進行配置才能實現(xiàn)，上圖是經(jīng)過配置之后的一個 VLAN結(jié)構(gòu)圖 我們看到，在上圖中的銷售部，售后服務部和財務部三個VLAN都選用了二層交換機，由于這些部門對網(wǎng)絡帶寬要求 不大，加上計算機數(shù)量少，每個 VLAN只有20臺，實際上我們選擇 24 口的交換機就能實現(xiàn) VLAN，用戶可根據(jù)自己 實際情況來決定。 設計部 VLAN 由于計算機數(shù)量多， 所以我們用了一個千兆交換機加上多個普通交換機實現(xiàn)VL

38、AN ，而在服務器我 們也選擇了千兆交換機進行連接，這主要是由于服務器對網(wǎng)絡帶寬本身要求就非常高。三層交換機和路由器的選擇也 是根據(jù)實際情況而定。 60節(jié)點需要有1000M的速率可以接入交換機的光纖口，這60個節(jié)點需要接多少臺交換機就要看你的交換機的光 纖口的多少了，一般接入層都是兩個，把需要劃分VLAN的交換機按需求劃分好，然后在交換機上啟動 VTP協(xié)議（VTP:VLAN TUARK PROTOCOL）,VTP協(xié)議是為了更方便的管理 VLAN的添加和刪除. VLAN 的劃分 : SWITCH#vlan database（進入 VLAN的數(shù)據(jù)庫） SWITCH（VLAN-DATABAEE）#v

39、lan 2 name zhong（2 是 VLAN的編號,zHONG是 VLAN的名稱） SWITCH#conf t（進入配置 MODE） SWITCH（CONFIG）#in fa0/1（進入端口 1） SWITCH（CONFIG-IF）#swi mode access（把端口定義為接入層接口） SWITCH（CONFIG-IF）#switch access vlan 2（把端口 1 劃分到 VLAN2里面） 你把VLAN劃分后，在交換機的特權(quán)模式下：SWITCH#show vlan命令查看是不是你所劃分的情況 . 當一個網(wǎng)絡上交換機很多，而且又劃分了 VLAN,這時我們可以使用 VTP協(xié)議來

40、管理這些VLAN. 如果啟用VTP，就需要確定哪一些交換機做為客戶端模式，哪些是不需要VLAN的信息（就是透明模式）,哪L臺做為服務 器模式（當啟用了 VTP協(xié)議后,VLAN的更改只需在服務器上做更改就可，修改后的信息會傳播到客戶端）,當這些確定后， 我們就可以進行一些實際的操作了 . SWITCH（CONFIG）#vtp doma zhong （vtp 域, 無論是服務器模式還是客戶模式 , 如果要統(tǒng)一管理就必須 是同一 域） SWITCH（CONFIG）#vtp mode server （ 在這一臺啟用服務器角色 ） SWITCH（CONFIG）#vtp mode trans （啟用透明模

41、式） SWITCH（CONFIG）#vtp mode cli （ 啟用客戶端模式 ） SWITCH（CONFIG）#vtp passwd 123 （為 VTP加上密碼） SWITCH（CONFIG）#vtp prun（為 VTP啟用修剪功能） 機房建設 整體構(gòu)成： 一個全面的機房建設應包括以下幾個方面： 1 機房裝修 2電氣系統(tǒng) 3空調(diào)系統(tǒng) 4門禁系統(tǒng) 5監(jiān)控系統(tǒng) 6消防系統(tǒng) 簡要描述如下： 機房裝修 1、一般規(guī)定 計算機房的室內(nèi)裝修工程施工驗收主要包括吊頂、隔斷墻、門、窗、墻壁裝修、地面、活動地板的施工驗收及其 他室內(nèi)作業(yè)。 室內(nèi)裝修作業(yè)應符合裝飾工程施工及驗收規(guī)范 、地面及樓面工程施工及驗

42、收規(guī)范 、木結(jié)構(gòu)工程施工及驗收 規(guī)范及鋼結(jié)構(gòu)工程施工及驗收規(guī)范的有關(guān)規(guī)定。 在施工時應保證現(xiàn)場、材料和設備的清潔。隱蔽工程（如地板下、吊頂上、假墻、夾層內(nèi)）在封口前必須先除塵、 清潔處理，暗處表層應能保持長期不起塵、不起皮和不龜裂。 機房所有管線穿墻處的裁口必須做防塵處理，然后對縫隙必須用密封材料填堵。在裱糊、粘接貼面及進行其他涂 復施工時，其環(huán)境條件應符合材料說明書的規(guī)定。 裝修材料應盡量選擇無毒、無刺激性的材料，盡量選擇難燃、阻燃材料，否則應盡可能涂防火涂料。 2、吊頂 計算機機房吊頂板表面應平整，不得起塵、變色和腐蝕；其邊緣應整齊、無翹曲，封邊處理后不得脫膠；填充頂 棚的保溫、隔音材料應平整、干燥，并做包縫處理。 按設計及安裝位置嚴格放線。吊頂及馬道應堅固、平直，并有可靠的防銹涂復。金屬連接件、鉚固件除銹后，應 涂兩遍防銹漆。 吊頂上的燈具、 各種風口、 火災探測器底座及滅火噴嘴等應定準位置， 整齊劃一， 并與龍骨和吊頂緊密配合