VPN、VAN在企业局域网中的构建与运用.doc

VLAN、VPN在企业局域网中的构建与运用 设计背景 成都会展中心是成都市人民政府和美国加州集团投资集展览、会议、酒店、旅游一体的大型股份制企业。企业内部门多，经营站点多，各方面对计算机网络的需求复杂，要求对各经营部门和经营点全部采用计算机化管理。设计计算机网络时，要考虑满足功能需求和扩展性好。利于计算机化管理，提高效率和节约成本。四川九寨天堂是成都会展中心在九寨沟甘海子镇投资20亿元人民币集旅游、会议、酒店、景区、温泉为一体的超五星级酒店，同样对网络的需求复杂，扩展性好，计算机网络上承载的业务众多。同时要求和成都总部进行数据通信（包括酒店业务、财务系统、人事工资管理等管理软件），语音通信（通过两地局域网互连再和两地单位内电话程控交换机相连，用于承载VoIP，满足成都总部和九寨天堂内部IP电话通信需求，节约费用）。 设计总体原则 在设计时，因为成都总部是在原有老网络基础上改造的，要保护原先的网络投资，并要添加新的网络设备，增加网络交换性能。九寨天堂则是全新设计的网络，在设计时，按照IEEE802有关快速以太网的标准和结合本单位的实际来执行，要考虑网络的可扩展性，安全性、稳定性。采用的网络设备技术先进，实用性高，配置容易，网络可靠性要好。采购设备时，考虑采用3COM、华为、d-link公司知名的一系列交换机和路由器等网络设备，来保障安全、高可扩展、技术先进、网络可靠。因为业务的需要，要求成都会展和九寨天堂两地局域网必须联网，并且数据是实时传输，要求数据传输必须安全。基于要求，中国移动光纤线路能满足两地互相通讯的需求，同时通过路由器走VPN，对通过VPN数据加密，满足数据安全的要求。申请中国电信线路DDN，作为备份线路。当一条线路出现问题，另一条线路自动切换。在两地局域网内进行VLAN划分，使有需求的VLAN段可以相互通信，同时阻隔广播风暴，所以在两地需各放置一台三层交换机（3com 4050）满足各的需求。两地的局域网都采用星型结构，呈发散型分布。通过副机房汇聚各应用站点交换机，中心机房和副机房之间采用1000M单模光纤连接，服务器和三层交换机之间采用6类1000M双绞线连接。一般的应用站点交换机采用100M双绞线或者光纤连接中心三层交换机。基于安全和稳定考虑，主干线路都采取冗余线路，来保证整个局域网的正常运行。 第一部分 VLAN 第一章 VLAN的基础知识 1、 什么是VLAN VLAN是Virtual LAN，虚拟局域网的缩写，是一种不需要增加额外网络设备，就可以实现网络的分层技术，被大型大型网络广泛使用，IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN可以允许网络管理员取消过去的物理限制，并对用户的第3层网络地址进行控制，而不管它处在网络中的哪个位置。V L A N的优势包括加强网络的安全性能、易于控制广播和能够分布通信量。VLAN的出现打破了传统网络的许多固有观念，使网络结构变得灵活、方便、随心所欲。VLAN就是不考虑用户的物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域。减少了广播量，提高通讯效率。 2、 VLAN之前的局域网 大而平的网络结构——每个端口设备都暴露在整个网络中，网络广播风暴极易产生，重要站点的安全性也是一个问题。网络分段依赖于网络的物理划分，不利于企业频繁的业务变化不存在冗余路径，也无法实现数据的负载均衡。 3、 VLAN划分后局域网带来的改良 A、控制广播风暴 局域网分割出了多个广播域，平的网络出现了分层，一个VLAN中的所有设备都在同一个广播域基于端口的VLAN设置，一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 B、网络有效的带宽利用 包括广播和多点广播在内的多媒体数据流被限制在逻辑子网内。在交换机中用“组播组”动态定义VLAN，并且自动把“组报文”复制到同一VLAN中的终端，大大提高了多媒体数据的实时性，有效利用带宽，降低网络因拥挤而阻塞的可能。对故障组件的隔离，限制在一个VLAN上的有限几台设备。 C、网络安全性的提高 不同的VLAN的通信可通过路由设备设置安全和过滤功能，通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性 D、网络管理简单、直观 对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大