利用VLAN技術為企業(yè)開創(chuàng)網(wǎng)絡管理新時代

1、XXX學院 利用VLAN技術為企業(yè)開創(chuàng)網(wǎng)絡管理新時代 PAGE IV利用VLAN技術為企業(yè)開創(chuàng)網(wǎng)絡管理新時代摘要VLAN (虛擬擬局域網(wǎng)網(wǎng))是一一個在物物理網(wǎng)絡絡上根據(jù)據(jù)用途，工工作組、應應用等來來邏輯劃劃分的局局域網(wǎng)絡絡，是一一個廣播播域，是是目前應應用比較較廣泛的的一種網(wǎng)網(wǎng)絡管理理手段。在在早期的的采用交交換技術術的網(wǎng)絡絡模式中中，對于于網(wǎng)絡結結構的劃劃分采用用的僅僅僅是物理理網(wǎng)段的的劃分的的手段。這這樣的網(wǎng)網(wǎng)絡結構構從效率率和安全全性的角角度來考考慮都是是有所欠欠缺的，而目前企業(yè)網(wǎng)絡管理中VLAN的應用已經(jīng)比較廣泛了，利用VLAN技術，可以為企業(yè)降低網(wǎng)絡管理成本和提升網(wǎng)絡運行和管理效率。

2、由于VLAN中的網(wǎng)絡用戶是通過LAN交換機來通信的，所以對于企業(yè)各部門之間的信息安全也有很大的保證。本文主要探討的是VLAN (虛擬局域網(wǎng)) 技術在企業(yè)網(wǎng)絡管理和應用。關鍵詞: VLAAN，網(wǎng)網(wǎng)絡管理理，應用用VLAN (Viirtuual LANN) iis aa phhysiicall neetwoork on thee baasiss off usse, thee woorkiing grooup, apppliicattionn too thhe llogiicall diivissionn off loocall arrea nettworrk, a bbroaadcaast dom

3、mainn, iis uusedd wiidelly iin aa neetwoork mannageemennt ttooll. IIn tthe earrly adooptiion of swiitchhingg teechnnoloogy nettworrk mmodeel, nettworrk sstruuctuure forr thhe ddiviisioon oof tthe phyysiccal nettworrk ssegmmentt iss onnly useed bby tthe divvisiion meaans. Thhis nettworrk sstruuctuure

4、 froom tthe effficiienccy aand saffetyy poointt off viiew is lacckinng, andd thhe ccurrrentt maanaggemeent VLAAN oof tthe entterpprisse nnetwworkk apppliicattionns hhavee beeen morre eexteensiive, annd tthe usee off VLLAN tecchnoologgy, nettworrk mmanaagemmentt foor eenteerprrisees tto rreduuce coss

5、ts andd immproove nettworrk mmanaagemmentt effficcienncy . AAs tthe useer VVLANN inn thhe nnetwworkk swwitcch tto HHexiingmmuniicatte tthrooughh a LANN, sso bbetwweenn thhe vvariiouss deeparrtmeentss foor ccorpporaate infformmatiion seccuriity is alsso aa grreatt guuaraanteee. Thiis aartiiclee exxpl

6、ooress thhe VVLANN (VVirttuall LAAN) tecchnoologgy iin tthe entterpprisse nnetwworkk maanaggemeent andd apppliicattionns.Keywoordss: VVLANN, nnetwworkk maanaggemeent, apppliicattionn目錄TOC o 1-4 h z u HYPERLINK l _Toc306092653 利用VLAAN技術術為企業(yè)業(yè)開創(chuàng)網(wǎng)網(wǎng)絡管理理新時代代 PAGEREF _Toc306092653 h I HYPERLINK l _Toc30609

7、2654 第一章 緒緒論 PAGEREF _Toc306092654 h 1 HYPERLINK l _Toc306092655 第二章 VVLANN與企業(yè)業(yè)網(wǎng)絡管管理的設設計與分分析 PAGEREF _Toc306092655 h 3 HYPERLINK l _Toc306092656 2.3 拓拓撲結構構分析 PAGEREF _Toc306092656 h 3 HYPERLINK l _Toc306092657 2.4 設設備選型型 PAGEREF _Toc306092657 h 4 HYPERLINK l _Toc306092658 第三章 VVLANN的具體體配置與與應用 PAGERE

8、F _Toc306092658 h 6 HYPERLINK l _Toc306092659 3.1 VVLANN的劃分分原則 PAGEREF _Toc306092659 h 6 HYPERLINK l _Toc306092660 3.2 VVLANN的劃分分策略 PAGEREF _Toc306092660 h 6 HYPERLINK l _Toc306092661 3.3 VVLANN的詳細細設置 PAGEREF _Toc306092661 h 7 HYPERLINK l _Toc330600926662 3.33.1管管理部門門子網(wǎng)VVLANN設置 PAGEREF _Toc306092662

9、 h 7 HYPERLINK l _Toc306092663 3.3.22 其他他下屬部部門子網(wǎng)網(wǎng)VLAAN設置置 PAGEREF _Toc306092663 h 8 HYPERLINK l _Toc306092664 3.4 企企業(yè)網(wǎng)絡絡ACLL設置 PAGEREF _Toc306092664 h 11 HYPERLINK l _Toc30609926665 第四章章 VLLAN與與企業(yè)網(wǎng)網(wǎng)絡安全全 PAGEREF _Toc306092665 h 12 HYPERLINK l _Toc306092666 4.1 常常見的VVLANN攻擊 PAGEREF _Toc306092666 h 12

10、HYPERLINK l _Toc306092667 4.1.11 8002.11Q 和和 ISSL 標標記攻擊擊 PAGEREF _Toc306092667 h 12 HYPERLINK l _Toc30609226688 4.11.2 雙封裝裝8022.1QQ/嵌套套式 VVLANN 攻擊擊 PAGEREF _Toc306092668 h 12 HYPERLINK l _Toc306092669 4.1.33 VLLAN跳跳躍攻擊擊 PAGEREF _Toc306092669 h 12 HYPERLINK l _Toc306092670 4.4.44 VTTP攻擊擊 PAGEREF _Toc

11、306092670 h 13 HYPERLINK l _Toc30609226711 4.22 TRRUNKK接口的的安全性性 PAGEREF _Toc306092671 h 13 HYPERLINK l _Toc306092672 4.3 VVTP裁裁剪 PAGEREF _Toc306092672 h 14 HYPERLINK l _Toc306092673 第五章 總總結 PAGEREF _Toc306092673 h 17 HYPERLINK l _Toc306092674 參考文獻 PAGEREF _Toc306092674 h 18 HYPERLINK l _Toc306092675

12、 致謝 PAGEREF _Toc306092675 h 199第41頁 共45頁第一章 緒緒論1.1 VVLANN介紹VLAN是是英文VVirttuall Loocall Arrea Nettworrk的縮縮寫，即即虛擬局局域網(wǎng)。VLAAN允許許處于不不同地理理位置的的網(wǎng)絡用用戶加入入一個邏邏輯子網(wǎng)網(wǎng)中，共共享一個個廣播域域。通過過對VLLAN的的創(chuàng)建可可以控制制廣播風風暴的產(chǎn)產(chǎn)生，從從而提高高交換式式網(wǎng)絡的的整體性性能和安安全性。VLAN 是指處于不同物理位置的節(jié)點根據(jù)需要組成不同的邏輯子網(wǎng)，即一個VLAN 就是一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備。VLAN 允許處于不同地理位置的網(wǎng)絡用戶

13、加入到一個邏輯子網(wǎng)中，共享一個廣播域。通過對VLAN 的創(chuàng)建可以控制廣播風暴的產(chǎn)生，從而提高交換式網(wǎng)絡的整體性能和安全性。同一個VLAN 中的端口可以接受VLAN 中的廣播包，別的VLAN 中的端口則接收不到。VLAN對對于網(wǎng)絡絡用戶來來說是完完全透明明的，用用戶感覺覺不到使使用中與與交換式式網(wǎng)絡有有任何的的差別，但但對于人人員則有有很大的的不同，因因為這主主要取決決于VLLAN的的幾點優(yōu)優(yōu)勢：1.對網(wǎng)網(wǎng)絡中的的廣播風風暴的控控制；2.提高高網(wǎng)絡的的整體安安全性，通通過路由由訪問列列表、MMAC地地址分配配等VLLAN劃劃分原則則，可以以控制用用戶的訪訪問權限限和邏輯輯網(wǎng)段的的大小；3.網(wǎng)絡絡

14、管理的的簡單、直直觀。1.2 VVLANN在企業(yè)網(wǎng)絡絡管理中中的應用用在企業(yè)網(wǎng)絡絡剛剛興興起之時時，由于于企業(yè)網(wǎng)網(wǎng)絡規(guī)模模小、應應用范圍圍的局限限性、對對Intternnet接接入的認認識程度度、網(wǎng)絡絡及管理理的貧乏乏等原因因，使得得企業(yè)網(wǎng)網(wǎng)僅僅限限于交換換模式的的狀態(tài)。交交換技術術主要有有兩種方方式:基基于的幀幀交換和和基于的的信元交交換，LLAN交交換機的的每一個個端口均均為自己己獨立的的碰撞域域，但同同時對于于所有處處于一個個IP網(wǎng)網(wǎng)段或IIPX網(wǎng)網(wǎng)段的來來說，卻卻同在一一個域中中，當工工作站的的數(shù)量較較多、信信息流很很大的時時候，就就容易形形成，甚甚者造成成網(wǎng)絡的的癱瘓。在采用交換換技

15、術的的網(wǎng)絡模模式中，對對于網(wǎng)絡絡結構的的劃分采采用的僅僅僅是物物理網(wǎng)段段的劃分分的手段段。這樣樣的網(wǎng)絡絡結構從從效率和和安全性性的角度度來考慮慮都是有有所欠缺缺的，而而且在很很大程度度上限制制了網(wǎng)絡絡的靈活活性，如如果需要要將一個個廣播域域分開，那那么就需需要另外外購買交交換機并并且要人人工重新新布線。由由此，需需要進行行虛擬網(wǎng)網(wǎng)絡(VVLANN)設置置。1.3 案案例需求求分析在XX企業(yè)業(yè)中，下下屬有多多個二級級單位，在在各單位位的孤立立網(wǎng)絡進進行互連連時，出出于對不不同職能能部門的的管理、安安全和整整體網(wǎng)絡絡的穩(wěn)定定運行，因因此有必必要進行行VLAAN的劃劃分。現(xiàn)三部分應應公司的的要求聯(lián)聯(lián)

16、網(wǎng)，網(wǎng)網(wǎng)絡的互互連仍采采用千兆兆帶寬，但但因三部部分網(wǎng)絡絡均采用用了千兆兆以太網(wǎng)網(wǎng)技術，為為了不在在主干形形成瓶頸頸，因此此各子網(wǎng)網(wǎng)的互連連采用技技術，即即雙千兆兆技術，使使網(wǎng)絡帶帶寬達到到4G，如如此既增增加了帶帶寬，又又提供了了鏈路的的冗余，提提高了整整體網(wǎng)絡絡的高速速、穩(wěn)定定、安全全運行性性能。三網(wǎng)主干均均采用的的是技術術，起點點的高定定位為企企業(yè)的信信息應用用帶來了了高速、穩(wěn)穩(wěn)定、符符合國際際標準的的網(wǎng)絡平平臺。公公司中心心交換機機采用的的是的CCataalysst 665066，帶有有三層路路由的引引擎使得得企業(yè)網(wǎng)網(wǎng)具有將將來升級級的能力力;同時時各二級級單位的的中心交交換機采采用的

17、亦亦是Ciiscoo的Caatallystt 40006;各二級級、三級級交換機機則采用用的是CCiscco的CCataalysst 335000系列，主主要因為為Cattalyyst 35000系列列交換機機的高性性能和可可堆疊能能力?？紤]到該網(wǎng)網(wǎng)絡規(guī)模模的擴大大化，信信息流量量的加大大，人員員的復雜雜化等原原因，為為該企業(yè)網(wǎng)網(wǎng)絡的安安全性、穩(wěn)穩(wěn)定性、高高效率運運行帶來來了新的的隱患。由由此引發(fā)發(fā)了VLLAN的的劃分。對于VLAAN的劃劃分，應應公司的的需求，先先將各部門子子網(wǎng)的IIP地址址分配為為：企業(yè)部門起始IP結束IP網(wǎng)關地址管理部門子子網(wǎng)192.1168.98.1/222192.11

18、68.99.2544/222192.1168.98.1財務部門子子網(wǎng)192.1168.1.11/222192.1168.2.2254/22192.1168.2.11供銷部門子子網(wǎng)192.1168.3.11/222192.1168.5.2254/22192.1168.3.11售后部門子子網(wǎng)192.1168.6.11/222192.1168.7.2254/22192.1168.6.11服務器子網(wǎng)網(wǎng)192.1168.80.1/224192.1168.80.20/24根據(jù)服務器器類型給給定其他子網(wǎng)192.1168.8.11/222192.1168.10.2544/222根據(jù)情況給給定根據(jù)上述IIP地址

19、址分配情情況，不不難看出出各子網(wǎng)網(wǎng)的網(wǎng)絡絡終端數(shù)數(shù)均可達達到2554臺，完完全滿足足目前或或將來的的應用需需要，同同時還降降低了管管理工作作量，增增強了管管理力度度。由于案例的的網(wǎng)絡設設備全部部采用CCiscco產(chǎn)品品，對于于Cissco的的網(wǎng)絡設設備而言言，VLAAN主要要是基于于兩種標標準協(xié)議議：SL和和8022.1QQ。在我我們這里里，因為為所采用用的均是是Cissco的的網(wǎng)絡設設備，故故在進行行VLAAN間的的互連時時采用IISL的的協(xié)議封封裝，該該協(xié)議針針對Ciiscoo網(wǎng)絡設設備的硬硬件平臺臺在信息息流的處處理、的的優(yōu)化進進行了合合理有效效的優(yōu)化化。案例中關于于VLAAN的劃劃分覆

20、蓋蓋了各個個交換機機，所以以交換機機之間的的連接都都必須采采用Trrunkk方式。鑒鑒于經(jīng)理理辦和供供銷子網(wǎng)網(wǎng)代表了了VLAAN劃分分中的22個問題題: 擴擴展交換換機VLLAN的的劃分和和端口VVLANN的劃分分，所以以我們再再將經(jīng)理理辦子網(wǎng)網(wǎng)和供銷銷子網(wǎng)對對VLAAN做一一詳細介介紹。1.4 企企業(yè)網(wǎng)絡絡中的新新應用與與新需求求在網(wǎng)絡應用用高度發(fā)發(fā)展的今今天，企企業(yè)的供供應鏈管管理、客客戶服務務、遠程程學習、勞勞動力優(yōu)優(yōu)化等等等系統(tǒng)已已經(jīng)開始始在企業(yè)業(yè)中普遍遍得到應應用。這這些系統(tǒng)統(tǒng)對企業(yè)業(yè)網(wǎng)絡提提出了新新的需求求，可見見如今的的企業(yè)網(wǎng)網(wǎng)絡要有有更高的的可靠性性、可管管理性、安安全性、更更

21、好的性性能，并并能實現(xiàn)現(xiàn)語音、數(shù)數(shù)據(jù)、視視頻的融融合。而而這些系系統(tǒng)的設設計與實實現(xiàn)，都都要應用用到VLLAN技技術。當基于IPP網(wǎng)絡多多元化的的業(yè)務應應用給企企業(yè)帶來來便利的的同時，也也給企業(yè)業(yè)帶來一一個不小小的難題題，那就就是如何何管理。220077年，據(jù)據(jù)權威部部門經(jīng)過過抽樣調(diào)調(diào)查發(fā)現(xiàn)現(xiàn)，有883%網(wǎng)網(wǎng)管人員員每日疲疲于奔波波在解決決各種應應用問題題上，他他們更愿愿意將時時間用于于優(yōu)化網(wǎng)網(wǎng)絡上。此此外在調(diào)調(diào)查中發(fā)發(fā)現(xiàn)，能能夠實現(xiàn)現(xiàn)對安全全、性能能、故障障、配置置和資產(chǎn)產(chǎn)的綜合合管理平平臺成為為企業(yè)網(wǎng)網(wǎng)絡構建建需求中中的重要要考慮因因素。優(yōu)優(yōu)化網(wǎng)絡絡的一種種方式，就就是利用用VLAAN技術

22、術來進行行企業(yè)網(wǎng)網(wǎng)絡的綜綜合設計計與管理理。如今，我們們已經(jīng)從從設備、系系統(tǒng)級管管理的時時代進入入了基于于用戶業(yè)業(yè)務應用用的管理理時代。大型企業(yè)的網(wǎng)絡通常都通過功能完善的專業(yè)網(wǎng)管系統(tǒng)對網(wǎng)絡進行管理，這個投資對于中小企業(yè)來說可能是無法承擔的。事實上，由于中小企業(yè)的網(wǎng)絡結構比較簡單，一般不需要對網(wǎng)絡的流量、網(wǎng)絡設備的狀態(tài)和端口設置等信息進行實時的控制和檢查。網(wǎng)絡管理員可能對網(wǎng)絡的連通性、IP地址的設置情況和需要時能對設備進行設置更為關心一些，而這些工作利用VLAN技術的應用就可以很好地解決。第二章 VVLANN與企業(yè)網(wǎng)網(wǎng)絡管理理的設計計與分析析2.1 網(wǎng)網(wǎng)絡架構構分析現(xiàn)代網(wǎng)絡結結構化布布線工程程中

23、多采采用星型型結構，主主要用于于同一樓樓層，由由各個辦辦公室（區(qū)區(qū)）的計計算機間間用集線線器或者者交換機機連接產(chǎn)產(chǎn)生的，它它具有施施工簡單單，擴展展性高，成成本低和和可管理理性好等等優(yōu)點；而企業(yè)業(yè)網(wǎng)絡在在分層布布線主要要采用樹樹型結構構；每個個辦公室室（區(qū)）的計算機連接到部門的集線器或交換機，然后每部門的集線器或交換機在連接到企業(yè)中心機房中的交換機或路由器，各個分公司的交換機或路由器再連接到企業(yè)的主干通信網(wǎng)中，由此構成了企業(yè)甚至集團的網(wǎng)絡拓撲結構。該企業(yè)網(wǎng)絡絡案例采采用的是是星形的的網(wǎng)絡拓拓撲結構構，骨干干網(wǎng)為110000M速率率具有良良好的可可運行性性、可管管理性，能能夠滿足足未來發(fā)發(fā)展和新

24、新技術的的應用，另另外作為為整個企企業(yè)網(wǎng)絡絡的交換換中心，在在保證高高性能、無無阻塞交交換的同同時，還還必須保保證穩(wěn)定定可靠的的運行。因此在網(wǎng)絡絡中心的的設備選選型和結結構設計計上必須須考慮整整體網(wǎng)絡絡的高性性能和高高可靠性性，在文文中我們們選擇選選擇熱路路由備份份可以有有效地提提高核心心交換的的可靠性性。2.2 設設計思路路進行企企業(yè)網(wǎng)絡絡VLAAN的總總體設計計，首先先要進行行對象研研究和需需求調(diào)查查，明確確企業(yè)的的性質(zhì)、任任務和改改革發(fā)展展的特點點及系統(tǒng)統(tǒng)建設的的需求和和條件，對對企業(yè)的的信息化化環(huán)境進進行準確確的描述述；其次次，在應應用需求求分析的的基礎上上，確定定企業(yè)IIntrran

25、eet服務務類型，進進而確定定系統(tǒng)建建設的具具體目標標，包括括網(wǎng)絡設設施、站站點設置置、開發(fā)發(fā)應用和和管理等等方面的的目標；第三是是確定VVLANN結構和功功能，根根據(jù)應用用需求建建設目標標和企業(yè)業(yè)主要建建筑和部部門的分分布特點點，進行行系統(tǒng)分分析和設設計；第第四，確確定技術術設計的的原則要要求，如如在技術術選型、布布線設計計、設備備選擇、軟軟件配置置等方面面的標準準和要求求；第五五，規(guī)劃劃企業(yè)網(wǎng)網(wǎng)絡建設設的實施施步驟。企業(yè)網(wǎng)絡VLAN總體設計方案的科學性，應該體現(xiàn)在能否滿足以下基本要求方面：（1）整體體規(guī)劃安安排；（2）先進進性、開開放性和和標準化化相結合合；（3）結構構合理，便便于維護護；

26、（4）高效效實用；（5）支持持寬帶多多媒體業(yè)業(yè)務；（6）能夠夠實現(xiàn)快快速信息息交流、協(xié)協(xié)同工作作和形象象展示。2.3 拓拓撲結構構分析要為企業(yè)網(wǎng)網(wǎng)絡管理理系統(tǒng)地地和合理理的設計計VLAAN，就就要充分分的對企企業(yè)的網(wǎng)網(wǎng)絡拓撲撲結構進進行分析析，從而而得出最最佳的VVLANN設計方方案。 案例企企業(yè)的網(wǎng)網(wǎng)絡拓撲撲圖如下下：從圖中我們們可以看看到：案例企業(yè)的的網(wǎng)絡是是由總公公司和分分公司下下屬的若若干臺工工作計算算機組成成；在總總公司和和分公司司各架設設有DHHCP、DDNS、FFTP和和WEBB服務器器；在總總公司的的工作組組中，涉涉及到了了無線VVLANN的設置置；總公公司的下下屬工作作計算機

27、機比較多多，必須須采用更更多接入入層交換換機來細細化工作作組計算算機的工工作效率率和2級級節(jié)點交交換機的的工作效效率；對對于到IInteerneet的連連接，接接口為22MB DDNN專線接接入，各各二級單單位通過過公司總總部的PProxxy接入入Intternnet。IInteerneet的管管理由公公司總部部信息中中心統(tǒng)一一規(guī)劃。在這里需要要注意的的是:1、企業(yè)的的網(wǎng)絡系系統(tǒng)的VVLANN的劃分分是作為為一個整整體結構構來設計計的，所所以為了了保持VVLANN列表的的一致性性，例如如當二級級單位11的VLLAN有有所變化化時，VVLANN列表也也會有所所變化，這這時就需需要該CCataal

28、ysst 440066對整體體網(wǎng)絡的的其他部部分進行行廣播，以以達到VVLANN的列表表的一致致性。所所以在設設置VTTP(VLAAN TTrunnk PProttocool)時時要注意意，要將將VTPP的域作作為一個個整體，即即:VTTP類型型分別為為Serrverr和Clliennt。2、企業(yè)建建網(wǎng)較早早，所選選用的網(wǎng)網(wǎng)絡設備備為其他他的廠商商的產(chǎn)品品，而后后期的產(chǎn)產(chǎn)品又不不能與前前期統(tǒng)一一，這樣樣在VLLAN的的劃分中中就會遇遇到些問問題。例例如:在在Cissco產(chǎn)產(chǎn)品與33Hexxingg產(chǎn)品的的混合網(wǎng)網(wǎng)絡結構構中劃分分VLAAN，對對于Ciiscoo網(wǎng)絡設設備的TTrunnk的封封裝

29、協(xié)議議則必須須采用8802.1Q，以以達到與與3Heexinng的通通訊。雖雖然兩者者之間可可以建立立VLAAN的正正常劃分分，和正正常的應應用，但但由于交交換機都都具有自自學習的的能力，以以致兩者者之間的的協(xié)調(diào)配配合較差差。當兩兩者之間間的連接接發(fā)生變變化時，必必須在上上使用命命令(ccleaar ccounnterr)進行行清除，方方可達到到兩者的的重新協(xié)協(xié)調(diào)工作作。2.4 設設備選型型該案例中的的企業(yè)網(wǎng)網(wǎng)絡系統(tǒng)統(tǒng)由三部部分組成成:公司司、二級級單位11、二級級單位22，初始始為三部部分各自自獨立，未未形成統(tǒng)統(tǒng)一的網(wǎng)網(wǎng)絡環(huán)境境，故各各網(wǎng)絡系系統(tǒng)的運運行采用用的是以以交換技技術為主主的方式式

30、。案例企業(yè)的的主干網(wǎng)絡絡均采用用的是技技術，起起點的高高定位為為企業(yè)的的信息應應用帶來來了高速速、穩(wěn)定定、符合合國際標標準的網(wǎng)網(wǎng)絡平臺臺。公司司中心交交換機采采用的是是的Ciiscoo Caatallystt 65506，帶帶有三層層路由的的引擎使使得企業(yè)業(yè)網(wǎng)具有有將來升升級的能能力；同時各各二級單單位的中中心交換換機采用用的亦是是Cissco的的Cattalyyst 40006；其其2級節(jié)節(jié)點和邊邊緣交換換機采用用的也是是Cissco Cattalyyst 35448。各各二級、三三級交換換機則采采用的是是Cissco的的Cattalyyst 35000系列列，主要要因為CCiscco CC

31、ataalysst 335000系列交交換機的的高性能能和可堆堆疊能力力。公司司總部與與各二級級附屬單單位的連連接采用用了ISSL封裝裝的Trrunkk方式，用用2組光光纖連接接（在CCataalysst 665066與Caatallystt 40006之之間），這這樣既解解決了VVLANN間的互互聯(lián)問題題，同時時又提高高了網(wǎng)絡絡帶寬和和系統(tǒng)的的冗余，為為子網(wǎng)互互聯(lián)提供供了可靠靠保障。第三章 VVLANN的具體體配置與與應用3.1 VVLANN的劃分分原則VLAN的的劃分的的有四種策策略，分分別是： 基于端端口的VVLANN 基于于端口的的VLAAN的劃劃分是最最簡單、最最有效的的VLAAN劃

32、分分方法?；贛AC地址的VLAN MAC地址其實就是指網(wǎng)卡的標識符，每一塊網(wǎng)卡的MAC地址都是唯一的。基于MAC地址的VLAN劃分其實就是基于工作站、服務器的VLAN的組合?；诼酚傻腣LAN 路由協(xié)議工作在七層協(xié)議的第三層：網(wǎng)絡層，即基于IP和IPX協(xié)議的轉發(fā)。這類設備包括路由器和路由交換機。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中?；诓呗缘腣LAN 基于策略的VLAN的劃分是一種比較有效而直接的方式。這主要取決于在VLAN的劃分中所采用的策略。就本案例來來說，對對于VLLAN的的劃分主主要采用用1、33兩種模模式，對對于方案案2則為為輔助性性的方案案。VLLA

33、N的的劃分設設計之后后，再所所涉及的的就是VVLANN劃分的的最后一一步：VVLANN間的互互連。在在以前對對VLAAN的劃劃分主要要是通過過路由器器來實現(xiàn)現(xiàn)的，但但隨著網(wǎng)網(wǎng)絡規(guī)模模的擴大大、信息息量的增增加，路路由器無無論是從從端口數(shù)數(shù)還是系系統(tǒng)性能能上來說說都已經(jīng)經(jīng)不堪負負荷，因因此逐漸漸形成了了產(chǎn)生網(wǎng)網(wǎng)絡瓶頸頸的主要要原因。而現(xiàn)在，因因為有了了基于交交換機上上的三層層路由的的能力，在在上述兩兩點已經(jīng)經(jīng)得到合合理地解解決。對對于Ciiscoo的產(chǎn)品品劃分，VLAN主要是基于兩種標準協(xié)議：ISL和802.1Q。在我們這里，因為所采用的均是Cisco的網(wǎng)絡設備，故在進行VLAN間的互連時采用I

34、SL的協(xié)議封裝，該協(xié)議針對Cisco網(wǎng)絡設備的硬件平臺在信息流的處理、多媒體應用的優(yōu)化進行了合理有效的優(yōu)化。由于本案例例中關于于VLAAN的劃劃分擴展展了各個個交換機機，所以以交換機機之間的的連接都都必須采采用Trrunkk的方式式。供銷銷子網(wǎng)和和售后子子網(wǎng)代表表了VLLAN劃劃分中的的兩種問問題擴展交交換機VVLANN的劃分分和端口口VLAAN的劃劃分：在在經(jīng)理辦辦虛網(wǎng)中中，對于于一個交交換機擴擴展多個個VLAAN的時時候，前前面提到到了該交交換機與與其上層層交換機機間必須須采用TTrunnk方式式連接，但但在供銷銷的虛擬擬網(wǎng)劃分分中，在在二級單單位1中中的供銷銷獨立于于一個LLAN交交換機

35、CCataalysst35548，所所以在這這里，CCataalysst35548與與二級中中心交換換機Caatallystt40006只需需采用正正常的交交換式連連接即可可，對于于此部分分供銷VVLANN的劃分分，只要要在Caatallystt40006上針針對與CCataalysst35548連連接的端端口進行行劃分即即可。也也就是前前面提到到的基于于端口的的VLAAN的劃劃分。3.2 VVLANN的劃分分策略案例企業(yè)下下屬部門門多，業(yè)業(yè)務種類類多，根根據(jù)業(yè)務務發(fā)展需需要，經(jīng)經(jīng)過認真真規(guī)劃，將將聯(lián)網(wǎng)后后的統(tǒng)一一網(wǎng)絡劃劃分為330個VVLANN。劃分分原則為為：企業(yè)業(yè)本部以以樓層為為單位進進

36、行VLLAN 劃分，各各下屬部部門以業(yè)業(yè)務的不不同來劃劃分VLLAN，不不同的VVLANN具有不不同的安安全級別別。其中中生產(chǎn)用用機及各各種服務務器所在在的VLLAN 具有的的安全級級別較高高。同時時利用CCiscco 665099自身的的訪問控控制功能能，設置置訪問列列表對特特定的VVLANN用戶進進行保護護，對特特定的端端口 1135、4445、114344等進行行控制，保保證了整整個網(wǎng)絡絡中各個個VLAAN 用用戶的安安全隔離離?；诙丝诘牡腣LAAN劃分分是最簡簡單、最最有效的的劃分方方法。該該方法只只需網(wǎng)絡絡管理員員對網(wǎng)絡絡設備的的交換機機端口進進行重新新分配即即可，不不用考慮慮該端

37、口口所連接接的設備備。在交交換機投投入運行行前就把把它的物物理端口口根據(jù)需需要劃分分給指定定的VLLAN 并分配配給用戶戶。這種種劃分使使網(wǎng)絡管管理員能能夠隨時時掌握網(wǎng)網(wǎng)絡的負負載情況況，有利利于網(wǎng)絡絡的優(yōu)化化使用，并并具有較較高的安安全性，雖雖然在一一定程度度上增加加了管理理員的工工作量。舉舉例來說說，集團團下屬公公司分布布在不同同城區(qū)不同的的地理位位置，但但考慮到到方便管管理，這這些公司司的OAA服務器器均使用用一個VVLANN的IPP；對需需要其他他權限的的OA服服務器單單獨分配配其他網(wǎng)網(wǎng)段的IIP，所所有這些些網(wǎng)絡應應用的實實現(xiàn)均是是依靠基基于交換換機端口口VLAAN 的的劃分來來實現(xiàn)

38、的的。另一一方面，對對靜態(tài)VVLANN 技術術的應用用(即基基于端口口的VLLAN 劃分)來說，交交換機不不能分辨辨出被盜盜用IPP地址的的非法接接人。一一個用戶戶盜用同同一子網(wǎng)網(wǎng)某特權權用戶的的IP地地址后就就可以偽偽裝成這這個VLLAN 的特權權用戶，非非法訪問問網(wǎng)絡中中的服務務器，并并造成IIP地址址的沖突突。為了了解決這這個問題題，就利利用用戶戶一般不不會改變變計算機機MA C地址址的特點點，采用用了對大大部分用用戶的IIP地址址和MAA C地地址與交交換機端端口綁定定的方法法， 彌彌補了靜靜態(tài)VLLAN 的這一一缺陷，有有效地防防止了這這種情況況的發(fā)生生。在一般的二二層交換換機組成成

39、的網(wǎng)絡絡中，VVLANN 實現(xiàn)現(xiàn)了網(wǎng)絡絡流量的的分割，不不同的VVLANN 間是是不能互互相通信信的。要要實現(xiàn)VVLANN 間的的通信必必須借助助：1)路由器器來實現(xiàn)現(xiàn)；2)三層交交換機。下下屬公司司采用的的是使用用三層交交換機的的方式。利利用三層層交換機機實現(xiàn)VVLANN 間通通信，三三層交換換機是將將第二層層交換機機和第三三層路由由器兩者者的優(yōu)勢勢有機而而智能化化地結合合起來，可可在各個個層次提提供線速速性能。三三層交換換機內(nèi)，分分別設置置了交換換機模塊塊和路由由器模塊塊；而內(nèi)內(nèi)置的路路由模塊塊與交換換模塊類類似，也也使用AASICC硬件處處理路由由。因此此，與傳傳統(tǒng)的路路由器相相比，可可

40、以實現(xiàn)現(xiàn)高速路路由。并并且，路路由與交交換模塊塊是匯聚聚鏈接的的，由于于是內(nèi)部部連接，可可以確保保相當大大的帶寬寬。用三三層交換換機的路路由功能能來實現(xiàn)現(xiàn)VLAAN 間間的通信信。核心交換機機選用CCiscco 665099三層交交換機，接接人層交交換機選選擇了CCiscco 337500和Ciiscoo 29950系系列交換換機，其其中Ciiscoo 37750交交換機為為帶路由由功能的的三層交交換機，用用于數(shù)據(jù)據(jù)流量較較大的分分局，而而Cissco 29550為二二層交換換機，主主要用于于通過千千兆光纖纖與中心心交換機機的直接接連接，通通過這樣樣的連接接方式，整整個局域域網(wǎng)就能能很好的的協(xié)

41、同工工作。VVLANN 對于于網(wǎng)絡使使用者來來說是完完全透明明的，用用戶感覺覺不到使使用中與與交換式式網(wǎng)絡有有任何的的差別，但但對于網(wǎng)網(wǎng)絡管理理人員則則有很大大的不同同，因為為這主要要取決于于VLAAN 的的幾點優(yōu)優(yōu)勢。3.3 VVLANN的詳細細設置3.3.11管理部部門子網(wǎng)網(wǎng)VLAAN設置置由于管理部部門工作作站所在在局域網(wǎng)網(wǎng)交換機機劃分了了多個VVLANN，連接接了多個個VLAAN工作作站，所所以該交交換機與與其上層層交換機機之間的的連接必必須采用用Truunk方方式。公公司總部部采用了了Cattalyyst 35008和CCataalysst 665066。在中心交換換機Caatall

42、ystt 65506上上設置VVLANN路由如如下： 管理部部門VLLAN：1922.1668.998.11/222 財務務部門VVLANN：1992.1168.2.11/222 供銷銷部門VVLANN：1992.1168.3.11/222 售后后部門VVLANN：1922.1668.66.1/22 服務器器VLAAN：1192.1688.800.1/24 其他部部門VLLAN：1922.1668.88.1/22中心交換機機上設置置路由協(xié)協(xié)議RIIP或，并并指定網(wǎng)網(wǎng)段1992.1168.0.00。在全全局配置置模式下下執(zhí)行如如下命令令：Rouuterr riip nettworrk 1192.

43、1688.0.0管理部門的的的工作作IP統(tǒng)統(tǒng)一直接接設置在在核心交交換機上上。3.3.22 其他他下屬部部門子網(wǎng)網(wǎng)VLANN設置在案例中我我們把核心交交換機命命名為:“Hexxingg”；分支交交換機分分別為:SW_SW_finnancce、SW_marrkett、Aftter serrvicce，分分別通過過porrt 11的光線線模塊與與核心交交換機相相連;并并且假設設VLAAN名稱稱分別為為finnancce、mmarkket、other需要做的工工作:A、設設置VTTP ddomaain(核心、分分支交換換機上都都設置)B、配配置中繼繼(核心心、分支支交換機機上都設設置)C、創(chuàng)創(chuàng)建VL

44、LAN(在seerveer上設設置)D、將將交換機機端口劃劃入VLLANE、配配置三層層交換A、設設置VTTP ddomaain。 VTPP doomaiin 稱稱為管理理域。交換VVTP更更新信息息的所有有交換機機必須配配置為相相同的管管理域。如如果所有有的交換換機都以以中繼線線相連，那那么只要要在核心心交換機機上設置置一個管管理域，網(wǎng)網(wǎng)絡上所所有的交交換機都都加入該該域，這這樣管理理域里所所有的交交換機就就能夠了了解彼此此的VLLAN列列表。Hexxingg#VLLAN dattabaase 進入VVLANN配置模模式Hexxingg(VLLAN)#VTTP ddomaain Hexxin

45、gg 設置置VTPP管理域域名稱 HexxinggHexxingg(VLLAN)#VTTP sservver 設置交交換機為為服務器器模式SW_finnancce#VLAAN ddataabasse 進進入VLLAN配配置模式式SW_finnancce(VLAAN)#VTPP doomaiin HHexiing 設置VVTP管管理域名名稱HeexinngSW_finnancce(VLAAN)#VTPP clliennt 設設置交換換機為客客戶端模模式SW_marrkett#VLAAN ddataabasse 進進入VLLAN配配置模式式SW_marrkett(VLAAN)#VTPP dooma

46、iin HHexiing 設置VVTP管管理域名名稱HeexinngSW_marrkett(VLAAN)#VTPP clliennt 設設置交換換機為客客戶端模模式Aftter serrvicce#VLAAN ddataabasse 進進入VLLAN配配置模式式Aftter serrvicce(VLAAN)#VTPP doomaiin HHexiing 設置VVTP管管理域名名稱HeexinngAftter serrvicce(VLAAN)#VTPP clliennt 設設置交換換機為客客戶端模模式注意:這里設設置核心心交換機機為seerveer模式式是指允允許在該該交換機機上創(chuàng)建建、修改改、

47、刪除除VLAAN及其其他一些些對整個個VTPP域的配配置參數(shù)數(shù)，同步步本VTTP域中中其他交交換機傳傳遞來的的最新的的VLAAN信息息;clliennt模式式是指本本交換機機不能創(chuàng)創(chuàng)建、刪刪除、修修改VLLAN配配置，也也不能在在NVRRAM中中存儲VVLANN配置，但但可同步步由本VVTP域域中其他他交換機機傳遞來來的VLLAN信信息。B、配配置中繼繼為了保保證管理理域能夠夠覆蓋所所有的分分支交換換機，必必須配置置中繼。Cissco交交換機能能夠支持持任何介介質(zhì)作為為中繼線線，為了了實現(xiàn)中中繼可使使用其特特有的IISL標標簽。IISL(intter-swiitchh liink)是一個個在交

48、換換機之間間、交換換機與路路由器之之間及交交換機與與服務器器之間傳傳遞多個個VLAAN信息息及VLLAN數(shù)數(shù)據(jù)流的的協(xié)議，通通過在交交換機直直接相連連的端口口配置IISL封封裝，即即可跨越越交換機機進行整整個網(wǎng)絡絡的VLANN分配和和進行配配置。在核心心交換機機端配置置如下:Hexxingg(coonfiig)#intterffacee giigabbiteetheerneet 22/1Hexxingg(coonfiig-iif)#swiitchhporrtHexxingg(coonfiig-iif)#swiitchhporrt ttrunnk eencaapsuulattionn ISSL

49、配配置中繼繼協(xié)議Hexxingg(coonfiig-iif)#swiitchhporrt mmodee trrunkkHexxingg(coonfiig)#intterffacee giigabbiteetheerneet 22/2Hexxingg(coonfiig-iif)#swiitchhporrtHexxingg(coonfiig-iif)#swiitchhporrt ttrunnk eencaapsuulattionn ISSL 配配置中繼繼協(xié)議 HHexiing(connfigg-iff)#sswittchpportt moode truunkHexxingg(coonfiig)#i

50、ntterffacee giigabbiteetheerneet 22/3Hexxingg(coonfiig-iif)#swiitchhporrtHexxingg(coonfiig-iif)#swiitchhporrt ttrunnk eencaapsuulattionn ISSL 配配置中繼繼協(xié)議Hexxingg(coonfiig-iif)#swiitchhporrt mmodee trrunkk在分支支交換機機端配置置如下:SW_finnancce(cconffig)#innterrfacce ggigaabittethhernnet 0/11SW_finnancce(cconffig-i

51、f)#swwitcchpoort modde ttrunnkSW_marrkett(coonfiig)#intterffacee giigabbiteetheerneet 00/1SW_marrkett(coonfiig-iif)#swiitchhporrt mmodee trrunkkAftter serrvicce(cconffig)#innterrfacce ggigaabittethhernnet 0/11Aftter serrvicce(cconffig-if)#swwitcchpoort modde ttrunnk管理域域設置完完畢。C、創(chuàng)創(chuàng)建VLLAN一一旦建立立了管理理域，就就

52、可以創(chuàng)創(chuàng)建VLLAN了了。Hexxingg(VLLAN)#VLLAN 10 namme ccounnterr 創(chuàng)建建了一個個編號為為10 名字為為couunteer的 VLAANHexxingg(VLLAN)#VLLAN 11 namme mmarkket 創(chuàng)建了了一個編編號為111 名名字為mmarkket的的 VLLANHexxingg(VLAAN)#VLAAN 112 nnamee ottherr 創(chuàng)建建了一個個編號為為12 名字為為othher的的 VLLAN而這里里的VLLAN是是在核心心交換機機上建立立的，其其實，只只要是在在管理域域中的任任何一臺臺VTPP 屬性性為seervee

53、r的交交換機上上建立VVLANN，它就就會通過過VTPP通告整整個管理理域中的的所有的的交換機機。但如如果要將將具體的的交換機機端口劃劃入某個個VLAAN，就就必須在在該端口口所屬的的交換機機上進行行設置。D、將將交換機機端口劃劃入VLLAN例如，要要將SWW_fiinannce、SW_marrkett、Aftter serrvicce分支交交換機的的端口11劃入ccounnterr VLLAN，端端口2劃劃入maarkeet VVLANN，端口口3劃入入othher VLAANSW_finnancce(cconffig)#innterrfacce ffasttethhernnet 0/11

54、配置端端口1SW_finnancce(cconffig-if)#swwitcchpoort acccesss VLLAN 10 歸屬ccounnterr VLLANSW_finnancce(cconffig)#innterrfacce ffasttethhernnet 0/22 配置端端口2SW_finnancce(cconffig-if)#swwitcchpoort acccesss VLLAN 11 歸屬mmarkket VLAANSW_finnancce(cconffig)#innterrfacce ffasttethhernnet 0/33 配置端端口3SW_finnancce(cco

55、nffig-if)#swwitcchpoort acccesss VLLAN 12 歸屬ootheer VLAANSW_marrkett(coonfiig)#intterffacee faasteetheerneet 00/1 配置端端口1SW_marrkett(coonfiig-iif)#swiitchhporrt aacceess VLAAN 110 歸歸屬coountter VLAANSW_marrkett(coonfiig)#intterffacee faasteetheerneet 00/2 配置端端口2SW_marrkett(coonfiig-iif)#swiitchhporrt

56、aacceess VLAAN 111 歸歸屬maarkeet VVLANNSW_marrkett(coonfiig)#intterffacee faasteetheerneet 00/3 配置端端口3SW_marrkett(coonfiig-iif)#swiitchhporrt aacceess VLAAN 112 歸歸屬ottherr VLAANAftter serrvicce(cconffig)#innterrfacce ffasttethhernnet 0/11 配置置端口11Aftter serrvicce(cconffig-if)#swwitcchpoort acccesss VLL

57、AN 10 歸屬ccounnterr VLLANAftter serrvicce(cconffig)#innterrfacce ffasttethhernnet 0/22 配置端端口2Aftter serrvicce(cconffig-if)#swwitcchpoort acccesss VLLAN 11 歸屬mmarkket VLAANAftter serrvicce(cconffig)#innterrfacce ffasttethhernnet 0/33 配置置端口33Aftter serrvicce(cconffig-if)#swwitcchpoort acccesss VLLAN 12

58、 歸屬ootheer VLAANE、配配置三層層交換到這里里，VLLAN已已經(jīng)基本本劃分完完畢。但但是，要要讓VLLAN間間實現(xiàn)三三層(網(wǎng)網(wǎng)絡層)交換，就要給給各VLLAN分分配網(wǎng)絡絡(ipp)地址址。給VLLAN分分配ipp地址分分兩種情情況，其其一，給給VLAAN所有有的節(jié)點點分配靜靜態(tài)ipp地址;其二，給給VLAAN所有有的節(jié)點點分配動動態(tài)ipp地址。下下面就這這兩種情情況分別別介紹。假設給VLLAN couunteer分配配的接口口ip地地址為1192.1688.988.1/22，網(wǎng)網(wǎng)絡地址址為:1192.1688.988.0，VLAAN mmarkket 分配的的接口iip地址址為1

59、992.1168.3.11/222，網(wǎng)絡絡地址為為:1992.1168.3.00，VLAAN othher分分配接口口ip地地址為1192.1688.8.1/222， 網(wǎng)絡地地址為1192.1688.8.0如果動態(tài)分分配ipp地址，則則設網(wǎng)絡絡上的DDHCPP服務器器ip地地址為111。(1)給VLLAN所所有的節(jié)節(jié)點分配配靜態(tài)iip地址址。首先在在核心交交換機上上分別設設置各VVLANN的接口口ip地地址。核核心交換換機將VVLANN做為一一種接口口對待，和路由器上的一樣，如下所示:Hexxingg(coonfiig)#intterffacee VLLAN 10Hexxi

60、ngg(coonfiig-iif)#ip adddresss 1 2255.2555.2555.00 VLLAN110接口口ipHexxingg(coonfiig)#intterffacee VLLAN 11Hexxingg(coonfiig-iif)#ip adddresss 1 2255.2555.2555.00 VLLAN111接口口ipHexxingg(coonfiig)#intterffacee VLLAN 12Hexxingg(coonfiig-iif)#ip adddresss 1 2255.2555.2555.0