基于路由交換網(wǎng)絡(luò)安全設(shè)計(jì)

1、安徽職業(yè)技術(shù)學(xué)院 畢 業(yè) 論 文課題名稱:基于路由交換網(wǎng)絡(luò)安全設(shè)計(jì) 學(xué)生姓名： 學(xué) 號(hào) ： 專 業(yè)： 班 級(jí)： 指導(dǎo)教師： 2012年3 月安徽職業(yè)技術(shù)學(xué)院畢業(yè)論文基于VLAN的企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃和設(shè)計(jì)摘 要在全球信息電子化、網(wǎng)絡(luò)化快速生長(zhǎng)的大環(huán)境下，無論是從大趨勢(shì)上看，照舊從本身商業(yè)利益角度思索，樹立企業(yè)內(nèi)部維護(hù)信息系統(tǒng)是企業(yè)當(dāng)務(wù)之急的職務(wù)。企業(yè)內(nèi)部對(duì)于靈活、動(dòng)態(tài)地組建LAN網(wǎng)段的要求也越來越多，客觀上要求LAN本身的結(jié)構(gòu)可以實(shí)現(xiàn)動(dòng)態(tài)組建、調(diào)整和管理。 在企業(yè)中，一般會(huì)有多個(gè)部門，像財(cái)務(wù)部、技術(shù)部、工程部等等。像財(cái)務(wù)部這種重要的部門有些資料是不允許被其他員工知道的。怎樣能清楚的區(qū)分不同的部門

2、，以便于管理呢？使用VLAN技術(shù)！在網(wǎng)絡(luò)中進(jìn)行合理VLAN劃分，可通過解決端口隔離充分防止沖突的產(chǎn)生，并且可以簡(jiǎn)化企業(yè)網(wǎng)絡(luò)的管理及提高網(wǎng)絡(luò)的安全性。 關(guān)鍵詞：VLAN技術(shù) 廣播域 邏輯劃分 安全Based on the enterprise internal network VLAN of planning and designAbstract:In the global information network electronic, rapid growth of the environment, whether from the big trend on look, the earth f

3、rom itself business interests Angle thinking, the setting up enterprise internal maintenance information system is the enterprise the position of top priority. The enterprise internal for flexible and dynamicto form a LAN segments are demanding more objectively requires LAN itself the structure of o

4、rganization, realize the dynamic adjustment and management.In the enterprise, the general meeting has many departments, like finance, technology department, engineering department, and so on. Like the finance department this important department some material are not allowed to be other employees kn

5、ow. How can a clear distinction of different departments, in order to management? Use VLAN technology! In the network on the reasonable VLAN division, but through solving port isolation to prevent conflicts of full produce, and can be simplified network management and improve enterprise network secu

6、rity.Keywords: VLAN technology broadcast domain logic division to safety目 錄第一章 緒論 11.1 企業(yè)內(nèi)部局域網(wǎng)可行性劃分 11.2 公司對(duì)信息的需求 11.3 工程給公司帶來的效益 11.4 公司對(duì)網(wǎng)絡(luò)需求狀況 21.5 組建企業(yè)網(wǎng)注意事項(xiàng) 21.6 選定方案準(zhǔn)繩 2第二章 VLAN的技術(shù)簡(jiǎn)介 52.1 三層交換技術(shù)概述 52.2 VLAN的概述 62.3 VLAN的優(yōu)點(diǎn) 72.3.1 提高網(wǎng)絡(luò)的性能 72.3.2 組建虛擬組織 72.3.3 簡(jiǎn)化網(wǎng)絡(luò)管理 72.3.4 提高網(wǎng)絡(luò)安全 82.3.5 降低成本 82.4

7、 PVLAN原理和配置 82.5 QINQ原理和配置 82.6 SUPERVLAN原理和配置 9第三章 VLAN之間的通信103.1 背景 103.2 通過路由器實(shí)現(xiàn)VLAN之間的通信 103.2.1 通過路由器的不同物理接口與交換機(jī)上每個(gè)VLAN分別連接 103.2.2 通過路由器的邏輯子接口與交換機(jī)各個(gè)VLAN連接 113.3 用交換機(jī)代替路由器實(shí)現(xiàn)VLAN間的通信 11第四章 企業(yè)網(wǎng)VLAN的規(guī)劃與設(shè)計(jì) 124.1 VLAN的實(shí)現(xiàn)過程 124.2 IP地址分配與VLAN地址的規(guī)劃 134.3 企業(yè)網(wǎng)VLAN規(guī)劃意義134.4 企業(yè)網(wǎng)VLAN規(guī)劃與設(shè)計(jì)案例 13第五章 總結(jié)與展望 14致

8、謝 15參考文獻(xiàn) 16第一章 緒論1.1 企業(yè)內(nèi)部局域網(wǎng)可行性劃分 在全球信息電子化、網(wǎng)絡(luò)化快速生長(zhǎng)的大環(huán)境下，無論是從大趨勢(shì)上看，照舊從本身商業(yè)利益角度思索，樹立企業(yè)內(nèi)部維護(hù)信息系統(tǒng)是企業(yè)當(dāng)務(wù)之急的職務(wù)。1.2 公司對(duì)信息的需求 面對(duì)著劇烈的市場(chǎng)競(jìng)爭(zhēng)，公司對(duì)信息的搜集、傳輸、加工、存貯、查詢以及預(yù)測(cè)決策等任務(wù)量越來越大，原來的計(jì)算機(jī)只是停留在單機(jī)任務(wù)的方式，各科室間的數(shù)據(jù)無法完成共享，致使任務(wù)效率大大降低，地道手工維護(hù)方式和手腕已無法順應(yīng)需求，這將嚴(yán)重障礙公司的生活和生長(zhǎng)。社會(huì)提高要求企業(yè)必需改動(dòng)現(xiàn)有的落后維護(hù)體制、維護(hù)辦法和手腕，樹立當(dāng)今企業(yè)的新抽象，樹立本企業(yè)的自動(dòng)化維護(hù)信息系統(tǒng)(即公司

9、局域網(wǎng))，以提高維護(hù)水平，添加經(jīng)濟(jì)和社會(huì)效益。綜合維護(hù)信息系統(tǒng)是為完成企業(yè)信息維護(hù)和辦公自動(dòng)化而樹立的,它能為整個(gè)企業(yè)提供高效疏通的信息高速公路和公共服務(wù)支持環(huán)境,構(gòu)成一個(gè)以牢靠、迅捷、可提供多種功用的計(jì)算機(jī)網(wǎng)絡(luò)為基本的信息維護(hù)系統(tǒng),既能為各級(jí)部門提供了先進(jìn)的信息服務(wù)和生產(chǎn)環(huán)境,同時(shí)又提高了各部門的辦公自動(dòng)化和綜合維護(hù)水平。 如果整個(gè)網(wǎng)絡(luò)只有一個(gè)廣播域，那么一旦發(fā)出廣播信息，就會(huì)傳遍整個(gè)網(wǎng)絡(luò)，并且對(duì)網(wǎng)絡(luò)中的主機(jī)帶來額外的負(fù)擔(dān)。因此，在設(shè)計(jì)LAN時(shí)，需要注意如何才能有效地分割廣播域。改動(dòng)傳統(tǒng)的維護(hù)思緒和維護(hù)方式,提高維護(hù)人員和任務(wù)人員的素質(zhì);使任務(wù)人員從冗雜的手工休息中解放出來;因而,樹立一個(gè)牢

10、靠、適用、易于維護(hù)、具有綜合先進(jìn)水平的企業(yè)局域網(wǎng)是必要的，基于VLAN的企業(yè)內(nèi)部網(wǎng)的規(guī)劃和設(shè)計(jì)是非常實(shí)用的一種。1.3 工程給公司帶來的效益 從企業(yè)維護(hù)和業(yè)務(wù)生長(zhǎng)的角度動(dòng)身，議決網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)資源的共用來改良企業(yè)內(nèi)部和企業(yè)與客戶之間的信息交流方式，滿足業(yè)務(wù)部門對(duì)信息存儲(chǔ)、檢索、處理和共享需求，使企業(yè)能快速掌握瞬息萬變的市場(chǎng)行情，使企業(yè)信息更有效地發(fā)揚(yáng)效能；提高辦公自動(dòng)化水平，提高任務(wù)效率，降低維護(hù)本錢，提高企業(yè)在市場(chǎng)上的競(jìng)爭(zhēng)力；議決對(duì)每項(xiàng)業(yè)務(wù)的跟蹤，企業(yè)維護(hù)者可以明白業(yè)務(wù)起色狀況，掌握第一手資料，及時(shí)掌握市場(chǎng)動(dòng)態(tài)，為企業(yè)提供投資導(dǎo)向信息，為干部決策提供數(shù)據(jù)支持；議決企業(yè)內(nèi)部網(wǎng)樹立，企業(yè)各業(yè)務(wù)部門可

11、以有更簡(jiǎn)約的交流溝通，維護(hù)者可隨時(shí)明白每一位員工的狀況，并加強(qiáng)對(duì)企業(yè)人力資源合理調(diào)度，真實(shí)做到系統(tǒng)的集成化設(shè)計(jì)，使原有的裝備、投資得到有效使用。1.4 公司對(duì)網(wǎng)絡(luò)需求狀況 公司現(xiàn)有技術(shù)曾經(jīng)完全具有了樹立網(wǎng)絡(luò)的條件，從久遠(yuǎn)生長(zhǎng)看，樹立計(jì)算機(jī)網(wǎng)絡(luò)也是當(dāng)務(wù)之急，由于信息交流速度已制約了公司的生長(zhǎng)，無論是公司獲取客戶的反應(yīng)信息，照舊公司之間的各種數(shù)據(jù)的傳送，呈現(xiàn)疑問的處理。1.5 組建企業(yè)網(wǎng)注意事項(xiàng) 企業(yè)的網(wǎng)絡(luò)主要注意兩個(gè)問題，一是對(duì)網(wǎng)絡(luò)能夠有效的管理，避免單個(gè)電腦對(duì)網(wǎng)絡(luò)資源占用過大或者無法獲得網(wǎng)絡(luò)資源，另一方面是要提升網(wǎng)絡(luò)的利用率，避免出現(xiàn)廣播風(fēng)暴等波及所有用戶的網(wǎng)絡(luò)故障。對(duì)于這兩個(gè)方面，也各自有與

12、之對(duì)應(yīng)的解決方案，分別是基于IP管理和對(duì)于網(wǎng)絡(luò)用戶進(jìn)行分組?；贗P管理需要使用三層交換機(jī)，能夠?qū)ｉT設(shè)置某臺(tái)電腦的權(quán)限，對(duì)于網(wǎng)絡(luò)用戶的分組則可以在二層交換機(jī)上劃分出VLAN，將所有用戶依照某種共同點(diǎn)進(jìn)行分組，然后設(shè)定整個(gè)群組的上網(wǎng)權(quán)限。1.6 選定方案準(zhǔn)繩 在謀劃網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，應(yīng)依據(jù)企業(yè)規(guī)模的大小、散布、對(duì)多媒體的需求等實(shí)踐狀況加以確定。普通可按以下準(zhǔn)繩來確立： (1) 費(fèi)用低普通地在挑選網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的同時(shí)便大致確立了所要選取的傳輸介質(zhì)、自用裝備、裝置方式等。比如挑選總線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)普通選用同軸電纜作為傳輸介質(zhì)，挑選星形拓?fù)浣Y(jié)構(gòu)時(shí)須要選用集線器產(chǎn)品，因而每一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)應(yīng)的所需初期投資

13、、現(xiàn)在的裝置維護(hù)費(fèi)用都是不等的，在滿足其它要求的同時(shí)，應(yīng)盡量挑選投資費(fèi)用較低的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。 (2) 良好的靈敏性和可擴(kuò)大性在挑選網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)應(yīng)思索企業(yè)未來的生長(zhǎng)，并且網(wǎng)絡(luò)中的裝備不是一成不變的，對(duì)一些裝備的更新?lián)Q代或裝備位置的變化，所選取的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)該可以簡(jiǎn)約容易地舉行配置以滿足新的要求。 (3) 固定性高固定性關(guān)于一個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是至關(guān)主要的。在網(wǎng)絡(luò)中會(huì)經(jīng)常發(fā)作節(jié)點(diǎn)毛病或傳輸介質(zhì)毛病，一個(gè)固定性高的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)具有良好的毛病診斷和毛病隔離才干，以使這些毛病對(duì)整個(gè)網(wǎng)絡(luò)的影響減至最小。 (4) 因地制宜挑選網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)依據(jù)網(wǎng)絡(luò)中各節(jié)點(diǎn)的散布狀況，因地制宜地挑選不一樣的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。比

14、如關(guān)于節(jié)點(diǎn)比擬集中的場(chǎng)所多選用星形拓?fù)浣Y(jié)構(gòu)，而節(jié)點(diǎn)比擬分散時(shí)則可以選用總線型拓?fù)浣Y(jié)構(gòu)。另外，若單一的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無法滿足要求，則可挑選混合的拓?fù)浣Y(jié)構(gòu)。比如，假定一個(gè)網(wǎng)絡(luò)中節(jié)點(diǎn)首要散布在兩個(gè)不一樣的地點(diǎn)，則可以在該兩個(gè)節(jié)點(diǎn)密集的場(chǎng)所選用星型拓?fù)浣Y(jié)構(gòu)，然后運(yùn)用總線拓?fù)浣Y(jié)構(gòu)將這兩個(gè)地點(diǎn)銜接起來。第二章 VLAN的技術(shù)簡(jiǎn)介2.1 三層交換技術(shù)概述以太網(wǎng)的工作原理是利用二進(jìn)制位形成的一個(gè)個(gè)字節(jié)組合成一幀幀的數(shù)據(jù)(其實(shí)是一些電脈沖)在導(dǎo)線中進(jìn)行傳播。首先，以太網(wǎng)網(wǎng)段上需要進(jìn)行數(shù)據(jù)傳送的節(jié)點(diǎn)對(duì)導(dǎo)線進(jìn)行監(jiān)聽，這個(gè)過程稱為CSMA/CD(Carrier Sense Multiple Access with Co

15、llision Detection帶有沖突監(jiān)測(cè)的載波偵聽多址訪問)的載波偵聽。如果，這時(shí)有另外的節(jié)點(diǎn)正在傳送數(shù)據(jù)，監(jiān)聽節(jié)點(diǎn)將不得不等待，直到傳送節(jié)點(diǎn)的傳送任務(wù)結(jié)束。 如果某時(shí)恰好有兩個(gè)工作站同時(shí)準(zhǔn)備傳送數(shù)據(jù)，以太網(wǎng)網(wǎng)段將發(fā)出“沖突”信號(hào)。這時(shí)，節(jié)點(diǎn)上所有的工作站都將檢測(cè)到?jīng)_突信號(hào)，因?yàn)檫@時(shí)導(dǎo)線上的電壓超出了標(biāo)準(zhǔn)電壓。這時(shí)以太網(wǎng)網(wǎng)段上的任何節(jié)點(diǎn)都要等沖突結(jié)束后才能夠傳送數(shù)據(jù)。也就是說在CSMA/CD方式下，在一個(gè)時(shí)間段，只有一個(gè)節(jié)點(diǎn)能夠在導(dǎo)線上傳送數(shù)據(jù)。而轉(zhuǎn)發(fā)以太網(wǎng)數(shù)據(jù)幀的聯(lián)網(wǎng)設(shè)備是集線器,它是一層設(shè)備，傳輸效率比較低。 沖突的產(chǎn)生降低了以太網(wǎng)的帶寬，而且這種情況又是不可避免的。所以，當(dāng)導(dǎo)線上的

16、節(jié)點(diǎn)越來越多后，沖突的數(shù)量將會(huì)增加。顯而易見的解決方法是限制以太網(wǎng)導(dǎo)線上的節(jié)點(diǎn)，需要對(duì)網(wǎng)絡(luò)進(jìn)行物理分段。將網(wǎng)絡(luò)進(jìn)行物理分段的網(wǎng)絡(luò)設(shè)備用到了網(wǎng)橋與交換機(jī)。網(wǎng)橋和交換機(jī)的基本作用是只發(fā)送去往其他物理網(wǎng)段的信息。所以，如果所有的信息都只發(fā)往本地的物理網(wǎng)段，那么網(wǎng)橋和交換機(jī)上就沒有信息通過。這樣可以有效減少網(wǎng)絡(luò)上的沖突。網(wǎng)橋和交換機(jī)是基于目標(biāo)MAC(介質(zhì)訪問控制)地址做出轉(zhuǎn)發(fā)決定的，它們是二層設(shè)備。 現(xiàn)在已經(jīng)知道了以太網(wǎng)的缺點(diǎn)及物理網(wǎng)段中沖突的影響，現(xiàn)在，大家來看看另外一種導(dǎo)致網(wǎng)絡(luò)降低運(yùn)行速度的原因：廣播。廣播存在于所有的網(wǎng)絡(luò)上，如果不對(duì)它們進(jìn)行適當(dāng)?shù)目刂?，它們便?huì)充斥于整個(gè)網(wǎng)絡(luò)，產(chǎn)生大量的網(wǎng)絡(luò)通信。

17、廣播不僅消耗了帶寬，而且也降低了用戶工作站的處理效率。由于各種各樣的原因，網(wǎng)絡(luò)操作系統(tǒng)(NOS)使用了廣播，TCP/IP使用廣播從IP地址中解析MAC地址，還使用廣播通過RIP和IGRP協(xié)議進(jìn)行宣告，所以，廣播也是不可避免的。 網(wǎng)橋和交換機(jī)將對(duì)所有的廣播信息進(jìn)行轉(zhuǎn)發(fā)，而路由器不會(huì)。所以，為了對(duì)廣播進(jìn)行控制，就必須使用路由器。路由器是基于第3層報(bào)頭、目標(biāo)IP尋址、目標(biāo)IPX尋址或目標(biāo)Appletalk尋址做出轉(zhuǎn)發(fā)決定。路由器是3層設(shè)備。 在這里，我們就容易理解三層交換技術(shù)了，就是將路由與交換合二為一的技術(shù)。路由器在對(duì)第一個(gè)數(shù)據(jù)流進(jìn)行路由后，將會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流

18、再次通過時(shí)，將根據(jù)此映射表直接從二層進(jìn)行交換而不是再次路由，提供線速性能，從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。采用此技術(shù)的交換機(jī)我們常稱為三層交換機(jī)。2.2 VLAN的概述 VLAN(Virtual Local Area Network)又稱虛擬局域網(wǎng)，一方面，VLAN建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上， 采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。 另

19、一方面，VLAN是局域交換網(wǎng)的靈魂。這是因?yàn)橥ㄟ^VLAN用戶能方便地在網(wǎng)絡(luò)中移動(dòng)和快捷地組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對(duì)用戶和網(wǎng)絡(luò)資源進(jìn)行分配，而無需考慮物理連接方式。VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡(jiǎn)便和擴(kuò)展容易。是否具有VLAN功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)。網(wǎng)絡(luò)的虛擬化是未來網(wǎng)絡(luò)發(fā)展的潮流。2.3 VLAN的優(yōu)點(diǎn) 應(yīng)用VLAN技術(shù)可以獲得的益處是巨大的，主要有以下幾個(gè)方面：提高網(wǎng)絡(luò)性能、組建虛擬組織、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)安全、減少設(shè)備投資. 2.3.1 提高網(wǎng)絡(luò)的性能 應(yīng)用VLAN技術(shù)可以提高網(wǎng)絡(luò)性能： 其一，V

20、LAN技術(shù)允許網(wǎng)絡(luò)管理員將交換機(jī)上的端口作邏輯分組，使得從某個(gè)VLAN中產(chǎn)生的字節(jié)流只能在從屬于該VLAN的交換機(jī)端口之間流動(dòng)。在一個(gè)有大量廣播和多播報(bào)文的網(wǎng)絡(luò)中，應(yīng)用VLAN技術(shù)可以把這些報(bào)文限制在各個(gè)VLAN里，從而可以大大減少整個(gè)網(wǎng)絡(luò)中不必要的信息流量，提高網(wǎng)絡(luò)性能。 其二，相比較網(wǎng)橋和交換機(jī)而言，路由器在處理接收到的數(shù)據(jù)時(shí)要慢一些。使用了VLAN技術(shù)后，人們可以用交換機(jī)來代替路由器隔離廣播域。由于減少了路由器的使用量，網(wǎng)絡(luò)性能也相應(yīng)地得到了提高。2.3.2 組建虛擬組織 如前所述，VLAN技術(shù)是隨著人們生產(chǎn)活動(dòng)中越來越多的跨部門跨職能開發(fā)團(tuán)隊(duì)的出現(xiàn)而提出的。組建虛擬組織、特別是虛擬工作

21、組，是提出VLAN技術(shù)的初衷和目標(biāo)之一。在實(shí)際應(yīng)用時(shí)，對(duì)于同一個(gè)工作組內(nèi)的成員，在該工作組存在的短時(shí)期內(nèi)，可以把他們的計(jì)算機(jī)工作站劃分在一個(gè)VLAN里以便于其進(jìn)行通信。這樣，每個(gè)組內(nèi)成員的計(jì)算機(jī)工作站既無需搬移到一起、也無需改變各自的設(shè)置，只需在網(wǎng)絡(luò)管理員那里作一些改變就可以了。2.3.3 簡(jiǎn)化網(wǎng)絡(luò)管理 根據(jù)相關(guān)專家的分析計(jì)算，傳統(tǒng)的LAN中約有70%的網(wǎng)絡(luò)花銷是因?yàn)樘砑?、刪除、移動(dòng)、更改網(wǎng)絡(luò)用戶而導(dǎo)致的。每當(dāng)有一個(gè)用戶加入局域網(wǎng)，就會(huì)引發(fā)一系列的端口分配、地址分配、網(wǎng)絡(luò)設(shè)備重新配置等網(wǎng)絡(luò)管理任務(wù)。在使用VLAN技術(shù)后，這些任務(wù)都可得以簡(jiǎn)化。舉例來說，當(dāng)某臺(tái)計(jì)算機(jī)工作站從一個(gè)空間位置移動(dòng)到另一

22、個(gè)空間位置時(shí)，不需要為其重新手工配置網(wǎng)絡(luò)屬性，網(wǎng)絡(luò)自身就能夠動(dòng)態(tài)地完成這項(xiàng)任務(wù)。這種動(dòng)態(tài)管理網(wǎng)絡(luò)的方式給網(wǎng)絡(luò)管理者和使用者都帶來了極大的便利。2.3.4 提高網(wǎng)絡(luò)安全 在傳統(tǒng)的局域網(wǎng)中，不時(shí)的會(huì)有些敏感數(shù)據(jù)被有意或無意地廣播到網(wǎng)絡(luò)上，從而有可能造成信息泄密。在這種情況下，確定誰(shuí)可以訪問到這些數(shù)據(jù)就顯得很重要。使用VLAN技術(shù)可以將敏感數(shù)據(jù)的傳播限制在安全范圍內(nèi)，只允許已定義的VLAN成員訪問相關(guān)數(shù)據(jù)。VLAN還可被用來設(shè)立防火墻、限制數(shù)據(jù)訪問以及將網(wǎng)絡(luò)入侵事件通知給網(wǎng)絡(luò)管理員等，這些都可以提高網(wǎng)絡(luò)的安全系數(shù)。2.3.5 降低成本 VLAN技術(shù)可被用來創(chuàng)建邏輯的廣播域，因而可以減少用于購(gòu)買昂貴的

23、路由器等廣播域隔離設(shè)備的投資。2.4 PVLAN原理和配置 為了提高網(wǎng)絡(luò)的安全性，要將用戶之間的報(bào)文隔離開，傳統(tǒng)的解決辦法是給每個(gè)用戶分配一個(gè)VLAN。這種方法具有明顯的局限性，主要表現(xiàn)在以下幾個(gè)方面： (1) 目前IEEE 802.1Q標(biāo)準(zhǔn)中所支持的VLAN數(shù)目最多為4094個(gè)，用戶數(shù)量受到限制，且不利于網(wǎng)絡(luò)的擴(kuò)展。 (2) 每個(gè)VLAN對(duì)應(yīng)一個(gè)IP子網(wǎng)，劃分大量的子網(wǎng)會(huì)造成IP地址的浪費(fèi)。 (3) 大量VLAN和IP子網(wǎng)的規(guī)劃和管理使網(wǎng)絡(luò)管理變得非常復(fù)雜。PVLAN(Private VLAN)技術(shù)的出現(xiàn)解決了這些問題。 PVLAN將VLAN中的端口分為兩類：與用戶相連的端口為隔離端口(Is

24、olate Port)，上行與路由器相連的端口為混合端口(Promiscuous Port)。隔離端口只能與混合端口通信，相互之間不能通信。這樣就將同一個(gè)VLAN下的端口隔離開來，用戶只能與自己的默認(rèn)網(wǎng)關(guān)通信，網(wǎng)絡(luò)的安全性得到保障。2.5 QinQ原理和配置 QinQ是對(duì)基于IEEE 802.1Q封裝的隧道協(xié)議的形象稱呼，又稱VLAN堆疊。QinQ技術(shù)是在原有VLAN標(biāo)簽(內(nèi)層標(biāo)簽)之外再增加一個(gè)VLAN標(biāo)簽(外層標(biāo)簽)，外層標(biāo)簽可以將內(nèi)層標(biāo)簽屏蔽起來。 QinQ不需要協(xié)議的支持，通過它可以實(shí)現(xiàn)簡(jiǎn)單的L2VPN(二層虛擬專用網(wǎng))，特別適合以三層交換機(jī)為骨干的小型局域網(wǎng)。 QinQ技術(shù)的典型組網(wǎng)

25、，連接用戶網(wǎng)絡(luò)的端口稱為Customer端口，連接服務(wù)提供商網(wǎng)絡(luò)的端口稱為Uplink端口，服務(wù)提供商網(wǎng)絡(luò)邊緣接入設(shè)備稱為PE用戶網(wǎng)絡(luò)一般通過Trunk VLAN方式接入PE，服務(wù)提供商網(wǎng)絡(luò)內(nèi)部的Uplink端口通過Trunk VLAN方式對(duì)稱連接。 當(dāng)報(bào)文從用戶網(wǎng)絡(luò)1到達(dá)交換機(jī)A的customer端口時(shí)，無論報(bào)文是tagged還是untagged的，交換機(jī)A都強(qiáng)行插入外層標(biāo)簽(VLAN ID為10)。在服務(wù)提供商網(wǎng)絡(luò)內(nèi)部，報(bào)文沿著VLAN 10的端口傳播，直至到達(dá)交換機(jī)B。交換機(jī)B發(fā)現(xiàn)與用戶網(wǎng)絡(luò)2相連的端口為customer端口，于是按照傳統(tǒng)的802.1Q協(xié)議剝離外層標(biāo)簽，恢復(fù)成用戶的原始報(bào)

26、文，發(fā)送到用戶網(wǎng)絡(luò)2。這樣，用戶網(wǎng)絡(luò)1和2之間的數(shù)據(jù)可以通過服務(wù)提供商網(wǎng)絡(luò)進(jìn)行透明傳輸，用戶網(wǎng)絡(luò)可以自由規(guī)劃自己的私網(wǎng)VLAN ID，而不會(huì)導(dǎo)致和服務(wù)提供商網(wǎng)絡(luò)中的VLAN ID沖突。2.6 SuperVLAN原理和配置 傳統(tǒng)的ISP網(wǎng)絡(luò)給每個(gè)用戶被分配一個(gè)IP子網(wǎng)，每分配一個(gè)子網(wǎng)，就有三個(gè)IP地址被占用，分別作為子網(wǎng)的網(wǎng)絡(luò)號(hào)、廣播地址和缺省網(wǎng)關(guān)。如果一些用戶的子網(wǎng)中有大量未分配的IP地址，也無法給其他用戶使用。因此這種方法會(huì)造成IP地址的浪費(fèi)。SuperVLAN有效的解決了這個(gè)問題，它把多個(gè)VLAN(稱為子VLAN)聚合成一個(gè)SuperVLAN，這些子VLAN使用同一個(gè)IP子網(wǎng)和缺省網(wǎng)關(guān)。利

27、用SuperVLAN技術(shù)，ISP只需為SuperVLAN分配一個(gè)IP子網(wǎng)，并為每個(gè)用戶建立一個(gè)子VLAN，所有子VLAN可以靈活分配SuperVLAN子網(wǎng)中的IP地址，使用SuperVLAN的缺省網(wǎng)關(guān)。每個(gè)子VLAN都是一個(gè)獨(dú)立的廣播域，保證不同用戶之間的隔離，子VLAN之間的通信通過SuperVLAN進(jìn)行路由。 第三章 VLAN之間的通信3.1 背景 隨著交換機(jī)應(yīng)用的普及，VLAN技術(shù)的應(yīng)用也越來越廣泛。眾所周知，VLAN技術(shù)的主要作用是可將分布于不同地理位置的計(jì)算機(jī)按工作需要組合成一個(gè)邏輯網(wǎng)絡(luò)，同時(shí)VLAN的劃分可縮小廣播域，以提高網(wǎng)絡(luò)傳輸速度，由于處于不同VLAN的計(jì)算機(jī)之間不能直接通信

28、，從而使網(wǎng)絡(luò)的安全性能得到了很大提高。但事實(shí)上在很多網(wǎng)絡(luò)中要求處于不同VLAN中的計(jì)算機(jī)間能夠相互通信，如何解決VLAN間的通信問題是我們?cè)谝?guī)劃VLAN時(shí)必須認(rèn)真考慮的問題。在企業(yè)網(wǎng)絡(luò)發(fā)展的初期，網(wǎng)絡(luò)中只有10%20%的信息在VLAN之間傳播，但隨著多媒體技術(shù)在企業(yè)網(wǎng)絡(luò)中應(yīng)用的迅速普及，VLAN之間信息的傳輸量增加了許多倍，如果VLAN之間的通信問題解決得不好，將嚴(yán)重影響網(wǎng)絡(luò)的使用和安全。在LAN內(nèi)的通信，是通過數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址來完成的。而為了獲取MAC地址，TCP/IP協(xié)議下使用ARP地址協(xié)議解析MAC地址的方法是通過廣播報(bào)文來實(shí)現(xiàn)的，如果廣播報(bào)文無法到達(dá)目的地，那么就無從

29、解析MAC地址，亦即無法直接通信。當(dāng)計(jì)算機(jī)分屬不同的VLAN時(shí)，就意味著分屬不同的廣播域，自然收不到彼此的廣播報(bào)文。因此，屬于不同VLAN的計(jì)算機(jī)之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層網(wǎng)絡(luò)層的信息(IP地址)來進(jìn)行路由。在目前的網(wǎng)絡(luò)互連設(shè)備中能完成路由功能的設(shè)備主要有路由器和三層以上的交換機(jī)。3.2 通過路由器實(shí)現(xiàn)VLAN之間的通信使用路由器實(shí)現(xiàn)VLAN間通信時(shí)，路由器與交換機(jī)的連接方式有兩種。第一種通過路由器的不同物理接口與交換機(jī)上的每個(gè)VLAN分別連接。第二種通過路由器的邏輯子接口與交換機(jī)的各個(gè)VLAN連接。3.2.1 通過路由器的不同物理接口與交

30、換機(jī)上每個(gè)VLAN分別連接這種方式的優(yōu)點(diǎn)是管理簡(jiǎn)單，缺點(diǎn)是網(wǎng)絡(luò)擴(kuò)展難度大。每增加一個(gè)新的VLAN，都需要消耗路由器的端口和交換機(jī)上的訪問鏈接，而且還需要重新布設(shè)一條網(wǎng)線。而路由器，通常不會(huì)帶有太多LAN接口的。新建VLAN時(shí)，為了對(duì)應(yīng)增加的VLAN所需的端口，就必須將路由器升級(jí)成帶有多個(gè)LAN接口的高端產(chǎn)品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡迎的辦法。3.2.2 通過路由器的邏輯子接口與交換機(jī)各個(gè)VLAN連接這種連接方式要求路由器和交換機(jī)的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義對(duì)應(yīng)各個(gè)VLAN的邏輯子接口E1.1和E1.

31、2。由于這種方式是靠在一個(gè)物理端口上設(shè)置多個(gè)邏輯子接口的方式實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)展，因此網(wǎng)絡(luò)擴(kuò)展比較容易且成本較低，只是對(duì)路由器的配置要復(fù)雜一些。3.3 用交換機(jī)代替路由器實(shí)現(xiàn)VLAN間的通信目前市場(chǎng)上有許多三層以上的交換機(jī)，在這些交換機(jī)中，廠家通過硬件或軟件的方式將路由功能集成到交換機(jī)中，交換機(jī)主要用于園區(qū)網(wǎng)中，園區(qū)網(wǎng)中的路由比較簡(jiǎn)單，但要求數(shù)據(jù)交換的速度較快，因此在大型園區(qū)網(wǎng)中用交換機(jī)代替路由器已是不爭(zhēng)的事實(shí)。用交換機(jī)代替路由器實(shí)現(xiàn)VLAN間通信的方式也有兩種，其一，就是啟用交換機(jī)的路由功能，這種方式的實(shí)現(xiàn)方法可采用以上介紹的路由器方式的任一種。其二，是利用某些高端交換機(jī)所支持的專用VLAN功能來實(shí)

32、現(xiàn)VLAN間的通信。 第四章 企業(yè)網(wǎng)VLAN的規(guī)劃與設(shè)計(jì)4.1 VLAN的實(shí)現(xiàn)過程當(dāng)一個(gè)網(wǎng)橋或交換機(jī)接收到來自于某個(gè)計(jì)算機(jī)工作站的數(shù)據(jù)幀，它將給這個(gè)數(shù)據(jù)幀加上一個(gè)標(biāo)簽以標(biāo)識(shí)這個(gè)數(shù)據(jù)幀來自于哪個(gè)VLAN。加標(biāo)簽的原則有多種：可以基于數(shù)據(jù)幀來自于網(wǎng)橋的哪個(gè)端口、可以基于數(shù)據(jù)幀的數(shù)據(jù)鏈路層協(xié)議源地址、可以基于數(shù)據(jù)幀的網(wǎng)絡(luò)層協(xié)議源地址、也可以基于數(shù)據(jù)幀的其它字段或多個(gè)字段的綜合。為了能夠使用任意一種方法給數(shù)據(jù)幀加標(biāo)簽，網(wǎng)橋必須有一個(gè)不斷升級(jí)更新的數(shù)據(jù)庫(kù)。這個(gè)數(shù)據(jù)庫(kù)叫做過濾數(shù)據(jù)庫(kù)，包含了本網(wǎng)絡(luò)中全部VLAN之間的映射以及它們使用哪個(gè)字段作為標(biāo)簽。例如，如果通過基于端口的方式來加標(biāo)簽，該數(shù)據(jù)庫(kù)應(yīng)該指示哪個(gè)

33、端口屬于哪個(gè)VLAN。網(wǎng)橋必須能夠維護(hù)這樣的一個(gè)數(shù)據(jù)庫(kù)并且應(yīng)保證所有在這個(gè)LAN中的網(wǎng)橋在它們的過濾數(shù)據(jù)庫(kù)中有同樣的信息。基于IEEE 802.1Q協(xié)議時(shí)，4個(gè)字節(jié)的VLAN標(biāo)簽加到傳統(tǒng)的以太網(wǎng)幀的目的MAC地址字段和協(xié)議類型字段(在符合IEEE 802.3協(xié)議的幀中是長(zhǎng)度字段)之間。其中包含有一個(gè)12比特大小的VLAN ID號(hào)以區(qū)別各個(gè)VLAN，由于802.1Q協(xié)議的標(biāo)簽頭的4個(gè)字節(jié)是新增加的，故目前使用的計(jì)算機(jī)并不支持802.1Q，即計(jì)算機(jī)發(fā)送出去的數(shù)據(jù)包的以太網(wǎng)幀頭還不包含這4個(gè)字節(jié)，同時(shí)也無法識(shí)別這4個(gè)字節(jié)。對(duì)于交換機(jī)來說，如果它所連接的以太網(wǎng)段的所有主機(jī)都能識(shí)別和發(fā)送這種帶802.1

34、Q標(biāo)簽頭的數(shù)據(jù)包，該端口稱為Tag Aware端口，需要給數(shù)據(jù)幀加標(biāo)簽。反之，如果該交換機(jī)端口所連接的以太網(wǎng)段里只要有一臺(tái)主機(jī)不支持這種帶802.1Q標(biāo)簽頭的數(shù)據(jù)包，該端口稱為Access端口，則不能給數(shù)據(jù)幀加標(biāo)簽。對(duì)于每一個(gè)到來的VLAN幀，網(wǎng)橋或交換機(jī)將根據(jù)查找過濾數(shù)據(jù)庫(kù)的結(jié)果決定該幀歸屬于哪一個(gè)VLAN將從哪個(gè)接口被轉(zhuǎn)發(fā)出去。一旦網(wǎng)橋或交換機(jī)決定了某個(gè)數(shù)據(jù)幀的下一步去向，它就得決定是否需要給這個(gè)數(shù)據(jù)幀加標(biāo)簽。具體實(shí)現(xiàn)包括以下三個(gè)過程：(1) 接收過程：負(fù)責(zé)接收數(shù)據(jù)包，數(shù)據(jù)包可以是帶標(biāo)簽頭的，也可以不帶標(biāo)簽頭。如果不帶，交換機(jī)會(huì)根據(jù)該端口所屬的VLAN添加上相應(yīng)的標(biāo)簽頭。(2) 查找/路由

35、過程：根據(jù)數(shù)據(jù)包的目的MAC地址、VLAN標(biāo)識(shí)，查找過濾數(shù)據(jù)庫(kù)中注冊(cè)的信息，以決定把數(shù)據(jù)包發(fā)送到哪個(gè)端口。(3) 發(fā)送過程：將數(shù)據(jù)包發(fā)送到以太網(wǎng)段上，如果該網(wǎng)段的主機(jī)不能識(shí)別802.1Q標(biāo)簽頭，則在出端口前將該標(biāo)簽頭去掉；如果是發(fā)送到互連的其它交換機(jī)的端口，則標(biāo)簽頭一般不去掉。4.2 IP地址分配與VLAN地址的規(guī)劃隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，用戶不斷增加，網(wǎng)絡(luò)應(yīng)用也不斷增長(zhǎng)，網(wǎng)絡(luò)變得越來越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，一個(gè)合理的VLAN規(guī)劃給網(wǎng)絡(luò)的管理更加有效。網(wǎng)絡(luò)中目前的電腦數(shù)目已經(jīng)上千臺(tái)了。如果把這個(gè)龐大的網(wǎng)絡(luò)作為一個(gè)VLAN

36、，那么網(wǎng)絡(luò)性能和安全性就會(huì)大大的降低，而且能產(chǎn)生網(wǎng)絡(luò)風(fēng)暴使網(wǎng)絡(luò)癱瘓。因此，應(yīng)對(duì)這個(gè)龐大的網(wǎng)絡(luò)進(jìn)行VLAN的規(guī)劃，把它劃分為若干個(gè)虛擬子網(wǎng)，這樣可以提高網(wǎng)絡(luò)的網(wǎng)絡(luò)性能和安全性，防止網(wǎng)絡(luò)風(fēng)暴。網(wǎng)絡(luò)主要是由中興3228交換機(jī)組成。如為了使某兩個(gè)企業(yè)部門之間在網(wǎng)絡(luò)中不能進(jìn)行訪問，確保部門與部門之間發(fā)生廣播風(fēng)暴，而把各個(gè)企業(yè)部門之間劃分為單獨(dú)的VLAN，從而提高各個(gè)企業(yè)部門之間的網(wǎng)絡(luò)安全性。4.3 企業(yè)網(wǎng)VLAN規(guī)劃意義隨著企業(yè)網(wǎng)的建成，對(duì)于企業(yè)網(wǎng)的管理的要求也越來越高了。目前，由于數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著企業(yè)網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，VOD視頻的大量應(yīng)用，廣播的數(shù)量在積聚增加，當(dāng)廣播的數(shù)

37、量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會(huì)不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致通信陷于癱瘓。當(dāng)企業(yè)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)數(shù)超過200臺(tái)后，就需要采取措施將網(wǎng)絡(luò)分隔開來，將一個(gè)大的廣播域劃分成若干個(gè)小的廣播域。目前，企業(yè)網(wǎng)的計(jì)算機(jī)已經(jīng)有上千臺(tái)，因此更應(yīng)將這個(gè)大的廣播域劃分成若干個(gè)小的廣播域，劃分廣播域的方式主要是將企業(yè)網(wǎng)劃分為若干個(gè)虛擬子網(wǎng)，也就是VLAN。對(duì)企業(yè)網(wǎng)進(jìn)行VLAN劃分，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)的安全，控制不必要的廣播的數(shù)量。4.4 企業(yè)網(wǎng)VLAN規(guī)劃與設(shè)計(jì)案例企業(yè)網(wǎng)絡(luò)是由多臺(tái)ZXR10 3228交換機(jī)組成的堆疊組。以財(cái)務(wù)部、市場(chǎng)部為例，企業(yè)財(cái)務(wù)部、市場(chǎng)部網(wǎng)絡(luò)

38、組成。如果有很多臺(tái)電腦同時(shí)相互之間傳送文件或下載東西，那樣就會(huì)影響上網(wǎng)的速度，從而有可能產(chǎn)生廣播風(fēng)暴。因此，可以基于ZXR10 3228交換機(jī)每個(gè)端口劃一個(gè)的VLAN來控制廣播，有效地避免廣播風(fēng)暴的產(chǎn)生，并且網(wǎng)絡(luò)管理更加有效。整個(gè)網(wǎng)絡(luò)在同一個(gè)網(wǎng)段IP地址192.168.0.0/16內(nèi)：交換機(jī)一的端口1的IP地址為192.168.1.2；交換機(jī)一的端口2的IP地址為192.168.1.3；交換機(jī)一的端口3的IP地址為192.168.2.2；交換機(jī)一的端口4的IP地址為192.168.2.3；交換機(jī)一的端口5作為Trunk口不配置IP地址；交換機(jī)二的端口1的IP地址為192.168.1.4；交換機(jī)

39、二的端口2的IP地址為192.168.1.5；交換機(jī)二的端口3的IP地址為192.168.2.4；交換機(jī)二的端口4的IP地址為192.168.2.5；交換機(jī)二的端口5作為Trunk口不配置IP地址。市場(chǎng)部劃入vlan10內(nèi)；財(cái)務(wù)部劃入vlan20內(nèi)。在上作如下配置：交換機(jī)一的配置：ZXR10enableZXR10#configure terminalZXR10(config)#enable secret ZTEZXR10(config)interface fei_1/1ZXR10(config-if)#ip address 192.168.1.2 255.255.0.0ZXR10(config

40、-if)#exitZXR10(config)interface fei_1/2ZXR10(config-if)#ip address 192.168.1.3 255.255.0.0ZXR10(config-if)#exitZXR10(config)interface fei_1/3ZXR10(config-if)#ip address 192.168.2.2 255.255.0.0ZXR10(config-if)#exitZXR10(config)interface fei_1/4ZXR10(config-if)#ip address 192.168.2.3 255.255.0.0ZXR10(

41、config-if)#exitZXR10(config)#vlan 10ZXR10(config-vlan)#exitZXR10(config)#vlan 20ZXR10(config-vlan)#exitZXR10(config)interface fei_1/1ZXR10(config-if)#switchport access vlan 10ZXR10(config-if)#exitZXR10(config)interface fei_1/2ZXR10(config-if)#switchport access vlan 10ZXR10(config-if)#exitZXR10(confi

42、g)interface fei_1/3ZXR10(config-if)#switchport access vlan 20ZXR10(config-if)#exitZXR10(config)interface fei_1/4ZXR10(config-if)#switchport access vlan 20ZXR10(config-if)#exitZXR10(config)interface fei_1/5ZXR10(config-if)#switchport mode vlan trunkZXR10(config-if)#switchport trunk vlan 10ZXR10(confi

43、g-if)#switchport trunk vlan 20交換機(jī)二的配置：ZXR10enableZXR10#configure terminalZXR10(config)#enable secret ZTEZXR10(config)interface fei_1/1ZXR10(config-if)#ip address 192.168.1.4 255.255.0.0ZXR10(config-if)#exitZXR10(config)interface fei_1/2ZXR10(config-if)#ip address 192.168.1.5 255.255.0.0ZXR10(config-if)#exitZXR10(config)interface fei_1/3ZXR10(config-if)#ip address 192.168.2.4 255.255.0.0ZXR10(config-if)#exitZXR10(config)interface fei_1/4ZXR10(config-if)#ip address 192.168.2.5 255.255.0.0ZXR10(config-if)#exitZXR10(config)#vlan 10ZXR10(config-vlan)#exitZXR10(con