企業(yè)網(wǎng)中的VLAN設(shè)計(jì)方案

1、企業(yè)網(wǎng)中的vlan設(shè)計(jì)方案 在企業(yè)網(wǎng)絡(luò)剛剛興起之時(shí)，由于規(guī)模小、應(yīng)用面窄、對(duì)internet接入認(rèn)識(shí)程度低以及關(guān)于網(wǎng)絡(luò)安全和管理知識(shí)貧乏等原因，使得企業(yè)網(wǎng)僅僅局限于交換模式狀態(tài)。交換技術(shù)主要有2種方式: 基于以太網(wǎng)的幀交換和基于atm的信元交換，它相對(duì)于共享式網(wǎng)絡(luò)性能有很大提高，但對(duì)于所有處于一個(gè)ip網(wǎng)段或ipx網(wǎng)段的網(wǎng)絡(luò)設(shè)備來說，卻同在一個(gè)廣播域中。當(dāng)工作站數(shù)量較多和信息流較大時(shí)，容易形成廣播風(fēng)暴，嚴(yán)重影響了網(wǎng)絡(luò)運(yùn)行速度，甚至容易造成網(wǎng)絡(luò)癱瘓。怎樣避免這個(gè)問題出現(xiàn)呢？采用劃分網(wǎng)絡(luò)的辦法是個(gè)不錯(cuò)的選擇。 - 在采用交換技術(shù)的網(wǎng)絡(luò)模式中，一般采用劃分物理網(wǎng)段的手段進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的劃分。從效率和安全

2、性等方面來看，這種結(jié)構(gòu)劃分有一定缺陷，而且在很大程度上限制了網(wǎng)絡(luò)的靈活性。因?yàn)槿绻獙⒁粋€(gè)廣播域分開，必須另外購買交換機(jī)，并且需要重新進(jìn)行人工布線。好在，虛擬局域網(wǎng)（virtual local area network，vlan）技術(shù)的出現(xiàn)解決了上述問題。實(shí)際上，vlan就是一個(gè)廣播域，它不受地理位置的限制，可以跨多個(gè)局域網(wǎng)交換機(jī)。一個(gè)vlan可以根據(jù)部門職能、對(duì)象組或者應(yīng)用來將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。對(duì)于局域網(wǎng)交換機(jī)，其每一個(gè)端口只能標(biāo)記一個(gè)vlan，一個(gè)vlan中的所有端口擁有一個(gè)廣播域，而處于不同vlan的端口則共享不同的廣播域，這樣就避免了廣播風(fēng)暴的產(chǎn)生。可以說，在一

3、個(gè)交換網(wǎng)絡(luò)中，vlan提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。 - 通常，一個(gè)規(guī)模較大的企業(yè)，其下屬一般擁有多個(gè)二級(jí)單位，為保證對(duì)不同職能部門管理的方便性和安全性以及整體網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，可以采用vlan劃分技術(shù)，進(jìn)行虛擬網(wǎng)絡(luò)劃分。下面，我們通過對(duì)一個(gè)實(shí)際案例的分析，讓大家了解和掌握應(yīng)用vlan技術(shù)的真諦。 網(wǎng)絡(luò)狀況 - 某大型起重設(shè)備總公司下屬有2個(gè)二級(jí)單位，主要進(jìn)行研發(fā)、服務(wù)與銷售等工作。由于地理位置相對(duì)較遠(yuǎn)，業(yè)務(wù)規(guī)模尚未發(fā)展壯大，在企業(yè)成立之初，公司總部、二級(jí)單位1和二級(jí)單位2分別建立了獨(dú)立的網(wǎng)絡(luò)環(huán)境，各網(wǎng)絡(luò)系統(tǒng)均采用以交換技術(shù)為主的方式，3網(wǎng)主干均采用千兆以太網(wǎng)技術(shù)。公司總部中心交換機(jī)采用了c

4、isco catalyst 6506產(chǎn)品，它是帶有三層路由的引擎，可使企業(yè)網(wǎng)具有很強(qiáng)的升級(jí)能力。各二級(jí)單位的中心交換機(jī)采用了cisco catalyst 4006。其他二級(jí)和三級(jí)交換機(jī)采用了cisco catalyst 3500系列交換機(jī)，主要因?yàn)閏atalyst 3500系列交換機(jī)具有很高的性能和可堆疊能力。 需求分析 - 由于業(yè)務(wù)發(fā)展迅猛，總公司與2個(gè)二級(jí)單位迫切需要暢通無阻的信息交流，從而讓公司總部能對(duì)2個(gè)下屬單位進(jìn)行更直接和更有效的管理，進(jìn)而達(dá)到三方信息共享的目的，所以將彼此相互獨(dú)立的3個(gè)子網(wǎng)聯(lián)成一個(gè)統(tǒng)一網(wǎng)絡(luò)勢(shì)在必行。 - 圖1所示的是起重設(shè)備總公司3個(gè)子網(wǎng)互聯(lián)形成統(tǒng)一網(wǎng)絡(luò)的示意圖，3

5、個(gè)子網(wǎng)是采用千兆以太網(wǎng)技術(shù)進(jìn)行互聯(lián)的。為了避免在主干引發(fā)瓶頸問題，各子網(wǎng)在互聯(lián)時(shí)采用了trunk技術(shù)(即雙千兆技術(shù))，使網(wǎng)絡(luò)帶寬達(dá)到4gb，這樣，既增加了帶寬，又提供了鏈路的冗余，還提高了整體網(wǎng)絡(luò)高速、穩(wěn)定和安全的運(yùn)行性能。 - 然而，由于網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，信息流量逐漸加大，人員管理變得日益復(fù)雜，給企業(yè)網(wǎng)的安全、穩(wěn)定和高效運(yùn)行帶來新的隱患，如何消除這些隱患呢？vlan劃分技術(shù)能為此排憂解難。 - 根據(jù)起重設(shè)備總公司業(yè)務(wù)發(fā)展需要，我們將聯(lián)網(wǎng)后的統(tǒng)一網(wǎng)絡(luò)劃分為5個(gè)虛擬子網(wǎng)，分別是: 經(jīng)理辦子網(wǎng)、財(cái)務(wù)子網(wǎng)、供銷子網(wǎng)和信息中心子網(wǎng)，其余部分劃為一個(gè)子網(wǎng)。 - 由于統(tǒng)一網(wǎng)絡(luò)的ip地址處于192.168.

6、0.0網(wǎng)段，所以我們可以將各vlan的ip地址分配如下。 - 經(jīng)理辦子網(wǎng)：192.168.1.0192.168.2.0/22 網(wǎng)關(guān)：192.168.1.1 - 財(cái)務(wù)子網(wǎng)： 192.168.3.0192.168.5.0/22 網(wǎng)關(guān)：192.168.3.1 - 供銷子網(wǎng)： 192.168.6.0192.168.8.0/22 網(wǎng)關(guān)：192.168.6.1 - 信息中心子網(wǎng)：192.168.7.0/24 網(wǎng)關(guān)：192.168.7.1 - 服務(wù)器子網(wǎng)：192.168.100.0/24 網(wǎng)關(guān)：192.168.100.1 - 其余子網(wǎng)： 192.168.8.0192.168.9.0/22 網(wǎng)關(guān)：192.16

7、8.8.1 詳細(xì)設(shè)計(jì) - 在劃分vlan時(shí)，cisco的產(chǎn)品主要基于2種標(biāo)準(zhǔn)協(xié)議：isl和802.1q。isl是cisco自己研發(fā)設(shè)計(jì)的通用于所有cisco網(wǎng)絡(luò)產(chǎn)品的vlan間互聯(lián)封裝協(xié)議，該協(xié)議針對(duì)cisco網(wǎng)絡(luò)設(shè)備的硬件平臺(tái)在信息流處理和多媒體應(yīng)用方面進(jìn)行了合理有效的優(yōu)化。802.1q協(xié)議是ieee802委員會(huì)于1996年發(fā)布的國際規(guī)范標(biāo)準(zhǔn)。 - 在此案例中，因?yàn)樗捎玫木莄isco網(wǎng)絡(luò)設(shè)備，故在進(jìn)行vlan間互聯(lián)時(shí)采用了isl協(xié)議(對(duì)于不同網(wǎng)絡(luò)設(shè)備的互聯(lián)，本文在結(jié)尾處有相應(yīng)介紹)。 - 從圖1我們可以看到，總公司中心交換機(jī)采用了cisco catalyst 6506，其2級(jí)節(jié)點(diǎn)為cat

8、alyst 3508和catalyst 3548，catalyst 3508交換機(jī)具有8個(gè)千兆以太網(wǎng)端口，并且利用catalyst 3500系列交換機(jī)的堆疊能力，可以隨時(shí)擴(kuò)充工作站數(shù)量。邊緣交換機(jī)則采用具有千兆模塊的catalyst 3548。二級(jí)單位的中心交換機(jī)則采用了cisco catalyst 4006，其2級(jí)節(jié)點(diǎn)和邊緣交換機(jī)采用的也是catalyst 3548。公司總部與各二級(jí)附屬單位的連接采用了isl封裝的trunk方式，用2組光纖連接（在catalyst 6506與catalyst 4006之間），這樣既解決了vlan間的互聯(lián)問題，同時(shí)又提高了網(wǎng)絡(luò)帶寬和系統(tǒng)的冗余，為3個(gè)子網(wǎng)互聯(lián)提

9、供了可靠保障。對(duì)于到internet的連接，接口為2mb ddn專線接入，各二級(jí)單位通過公司總部的proxy接入internet。internet的管理由公司總部信息中心統(tǒng)一規(guī)劃。 - 需要說明的是，由于本案例中關(guān)于vlan的劃分覆蓋了各個(gè)交換機(jī)，所以交換機(jī)之間的連接都必須采用trunk方式。鑒于經(jīng)理辦和供銷子網(wǎng)代表了vlan劃分中的2個(gè)問題: 擴(kuò)展交換機(jī)vlan的劃分和端口vlan的劃分，所以我們?cè)賹⒔?jīng)理辦子網(wǎng)和供銷子網(wǎng)對(duì)vlan做一詳細(xì)介紹。 經(jīng)理辦vlan - 由于經(jīng)理辦工作站所在局域網(wǎng)交換機(jī)劃分了多個(gè)vlan，連接了多個(gè)vlan工作站，所以該交換機(jī)與其上層交換機(jī)之間的連接必須采用tru

10、nk方式(如圖2所示)。 - 公司總部采用了catalyst 3508和catalyst 6506，二級(jí)單位1采用了catalyst 3548和catalyst 4006，二級(jí)單位2采用了catalyst 3548和catalyst 4006。 供銷vlan - 雖然當(dāng)一個(gè)交換機(jī)覆蓋了多個(gè)vlan時(shí)，必須采用trunk方式連接，但在供銷vlan劃分中，其二級(jí)單位1中的供銷獨(dú)立于交換機(jī)catalyst 3548，所以在這里，catalyst 3548與二級(jí)中心交換機(jī)catalyst 4006只需采用正常的交換式連接即可(如圖3所示)。對(duì)于此部分供銷vlan的劃分，只要在catalyst 4006

11、上針對(duì)與catalyst 3548連接的端口進(jìn)行劃分即可。這是一種基于端口的vlan劃分。 - 由于2個(gè)catalyst 4006與主中心交換機(jī)catalyst 6506間采用的是雙光纖通道式連接，屏蔽了catalyst 4006與catalyst 6506間線路故障的產(chǎn)生，所以對(duì)整體網(wǎng)絡(luò)的路由進(jìn)行基于catalyst 6506的集中式管理。下面我們對(duì)vlan之間的路由做一個(gè)介紹。 - 在中心交換機(jī)catalyst 6506上設(shè)置vlan路由如下。 - 經(jīng)理辦vlan：192.168.1.1/22 - 財(cái)務(wù)vlan： 192.168.3.1/22 - 供銷vlan： 192.168.6.1/2

12、2 - 信息中心vlan：192.168.7.1/24 - 其余vlan： 192.168.8.1/22 - 在中心交換機(jī)上設(shè)置路由協(xié)議rip或ospf，并指定網(wǎng)段192.168.0.0。在全局配置模式下執(zhí)行如下命令。 - router rip network 192.168.0.0 - 由于ip地址處于192.168.0.0網(wǎng)段，所以對(duì)各vlan的ip地址分配如下所示。 - 經(jīng)理辦子網(wǎng): 192.168.1.0，子網(wǎng)掩碼: 255.255.255.0，網(wǎng)關(guān): 192.168.1.1。 - 財(cái)務(wù)子網(wǎng): 192.168.2.0，子網(wǎng)掩碼: 255.255.255.0，網(wǎng)關(guān): 192.168.2.

13、1。 - 供銷子網(wǎng): 192.168.3.0，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān): 192.168.3.1。 - 信息中心子網(wǎng): 192.168.4.0，子網(wǎng)掩碼: 255.255.255.0，網(wǎng)關(guān): 192.168.4.1。 - 服務(wù)器子網(wǎng): 192.168.100.0，子網(wǎng)掩碼: 255.255.255.0，網(wǎng)關(guān): 192.168.100.1。 - 其余子網(wǎng): 192.168.8.0，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān): 192.168.8.1。 - 根據(jù)上述ip地址分配情況，不難看出各子網(wǎng)的網(wǎng)絡(luò)終端數(shù)均可達(dá)到254臺(tái)，完全滿足目前或?qū)淼膽?yīng)用需要，同時(shí)還降低了管理工作量，

14、增強(qiáng)了管理力度。 注意事項(xiàng) - 需要注意的是: 因?yàn)槠鹬卦O(shè)備總公司統(tǒng)一網(wǎng)絡(luò)系統(tǒng)的vlan劃分是作為一個(gè)整體結(jié)構(gòu)來設(shè)計(jì)的，所以為了保持與vlan列表的一致性，需要catalyst 4006對(duì)整體網(wǎng)絡(luò)的其他部分進(jìn)行廣播。所以在設(shè)置vtp（vlan trunk protocol）時(shí)注意，要將vtp的域作為一個(gè)整體，其中vtp類型為server和client。 - 有些企業(yè)建網(wǎng)較早，若所選用的網(wǎng)絡(luò)設(shè)備為其他廠商的產(chǎn)品，而后期的產(chǎn)品又不能與前期統(tǒng)一，這樣在vlan的劃分中就會(huì)遇到一些問題。例如，在cisco產(chǎn)品與3com產(chǎn)品的混合網(wǎng)絡(luò)結(jié)構(gòu)中劃分vlan，對(duì)于cisco網(wǎng)絡(luò)設(shè)備trunk的封裝協(xié)議必須采用

15、802.1q，以達(dá)到能與3com產(chǎn)品進(jìn)行通信的目的。雖然兩者之間可以建立vlan的正常劃分，并進(jìn)行正常的應(yīng)用，但兩者配合使用的協(xié)調(diào)性略差一些。當(dāng)兩者的連接發(fā)生變化時(shí)，必須在cisco交換機(jī)上使用命令clear counter進(jìn)行清除，方可使兩者工作協(xié)調(diào)起來。 vlan - 所謂vlan是指處于不同物理位置的節(jié)點(diǎn)根據(jù)需要組成不同的邏輯子網(wǎng)，即一個(gè)vlan就是一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備。vlan允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中，共享一個(gè)廣播域。通過對(duì)vlan的創(chuàng)建可以控制廣播風(fēng)暴的產(chǎn)生，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。 - vlan對(duì)于網(wǎng)絡(luò)用戶來說是完全透明的，

16、用戶感覺不到使用中與交換式網(wǎng)絡(luò)有任何的差別，但對(duì)于網(wǎng)絡(luò)管理人員則有很大的不同，因?yàn)檫@主要取決于vlan的幾點(diǎn)優(yōu)勢(shì)。 - 1. 控制廣播風(fēng)暴 - 主要有2種方式: 物理網(wǎng)絡(luò)分段和vlan邏輯分段。 - 2. 提高網(wǎng)絡(luò)整體安全性 - 通過路由訪問列表和mac地址分配等vlan劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小。 - 3. 網(wǎng)絡(luò)管理簡單、直觀 - 對(duì)于交換式以太網(wǎng)，如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)管員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用vlan技術(shù)的網(wǎng)絡(luò)來說，只需網(wǎng)管人員在網(wǎng)管中心對(duì)該用戶進(jìn)行vlan網(wǎng)段的重新分配即可。 關(guān)于tru

17、nk方式 - trunk是獨(dú)立于vlan的、將多條物理鏈路模擬為一條邏輯鏈路的vlan與vlan之間的連接方式。采用trunk方式不僅能夠連接不同的vlan或跨越多個(gè)交換機(jī)的相同vlan，而且還能增加交換機(jī)間的物理連接帶寬，增強(qiáng)網(wǎng)絡(luò)設(shè)備間的冗余。由于在基于交換機(jī)的vlan劃分當(dāng)中，交換機(jī)的各端口分別屬于各vlan段，如果將某一vlan端口用于網(wǎng)絡(luò)設(shè)備間的級(jí)聯(lián)，則該網(wǎng)絡(luò)設(shè)備的其他vlan中的網(wǎng)絡(luò)終端就無法與隸屬于其他網(wǎng)絡(luò)設(shè)備的vlan網(wǎng)絡(luò)終端進(jìn)行通信。有鑒于此，網(wǎng)絡(luò)設(shè)備間的級(jí)聯(lián)必須采用trunk方式，使得該端口不隸屬于任何vlan，也就是說該端口所建成的網(wǎng)絡(luò)設(shè)備間的級(jí)聯(lián)鏈路是所有vlan進(jìn)行通信的公用通道。 vlan劃分的4種策略 - 1. 基于端口的vlan劃分 - 基于端口的vlan劃分是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。 - 2. 基于mac地址的vlan劃分 - mac地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的mac地址都是惟一且固化在網(wǎng)卡上的。mac地址由12位16進(jìn)制數(shù)表示，前8位為廠商標(biāo)識(shí)，后4位為網(wǎng)卡標(biāo)識(shí)。 - 基于mac地址的