大型企业网VLAN构建实例.docVIP

大型企业网VLAN构建实例在企业网络刚刚兴起之时，由于企业网络规模小、应用范围的局限性、对Internet接入的认识程度、网络安全及管理的贫乏等原因，使得企业网仅仅限于交换模式的状态。 交换技术主要有两种方式:基于以太网的帧交换和基于ATM的信元交换，LAN交换机的每一个端口均为自己独立的碰撞域，但同时对于所有处于一个IP网段或IPX网段的网络设备来说，却同在一个广播域中，当工作站的数量较多、信息流很大的时候，就容易形成广播风暴，甚者造成网络的瘫痪。 在采用交换技术的网络模式中，对于网络结构的划分采用的仅仅是物理网段的划分的手段。这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的，而且在很大程度上限制了网络的灵活性，如果需要将一个广播域分开，那么就需要另外购买交换机并且要人工重新布线。由此，需要进行虚拟网络(VLAN)设置。 在一个规模较大的企业中，其下属有多个二级单位，在各单位的孤立网络进行互连时，出于对不同职能部门的管理、安全和整体网络的稳定运行，我们进行了VLAN的划分。 第一步 子网分析 该网络系统由三部分组成:公司、二级单位1、二级单位2，初始为三部分各自独立，未形成统一的网络环境，故各网络系统的运行采用的是以交换技术为主的方式。三网主干均采用的是千兆以太网技术，起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。公司中心交换机采用的是Cisco的Catalyst 6506，带有三层路由的引擎使得企业网具有将来升级的能力;同时各二级单位的中心交换机采用的亦是Cisco的Catalyst 4006;各二级、三级交换机则采用的是Cisco的Catalyst 3500系列，主要因为Catalyst 3500系列交换机的高性能和可堆叠能力。 现三部分应公司的要求联网，网络的互连仍采用千兆带宽，但因三网均采用了千兆以太网技术，为了不在主干形成瓶颈，因此各子网的互连采用Trunk技术，即双千兆技术，使网络带宽达到4G，如此既增加了带宽，又提供了链路的冗余，提高了整体网络的高速、稳定、安全运行性能。 但亦由于网络规模的扩大化，信息流量的加大，人员的复杂化等原因，为企业网络的安全性、稳定性、高效率运行带来了新的隐患。由此引发了VLAN的划分。 对于VLAN的划分，应公司的需求，我们对各VLAN的IP地址分配为: 经理办子网:192.168.1.0——192.168.2.0/22 网关:192.168.1.1;财务子网: 192.168.3.0——192.168.5.0/22 网关:192.168.3.1;供销子网: 192.168.6.0——192.168.8.0/22 网关:192.168.6.1;信息中心子网:192.168.7.0/24 网关:192.168.7.1;服务器子网:192.168.100.0/24 网关:192.168.100.1其余子网: 192.168.8.0——192.168.9.0/22 网关:192.168.8.1; 第二步 系统分析 对于Cisco的产品划分，VLAN主要是基于两种标准协议:ISL和802.1Q。在我们这里，因为所采用的均是Cisco的网络设备，故在进行VLAN间的互连时采用ISL的协议封装，该协议针对Cisco网络设备的硬件平台在信息流的处理、多媒体应用的优化进行了合理有效的优化。对于不同产品的VLAN互连，我们在后面会提到。 由于本案例中关于VLAN的划分扩展了各个交换机，所以交换机之间的连接都必须采用Trunk的方式。经理办和供销子网代表了VLAN划分中的两种问题——扩展交换机VLAN的划分和端口VLAN的划分: 在经理办虚网中，对于一个交换机扩展多个VLAN的时候，前面提到了该交换机与其上层交换机间必须采用Trunk方式连接，但在供销的虚网划分中，在二级单位1中的供销独立于一个LAN交换机Catalyst3548，所以在这里，Catalyst3548与二级中心交换机Catalyst4006只需采用正常的交换式连接即可，对于此部分供销VLAN的划分，只要在Catalyst4006上针对与Catalyst3548连接的端口进行划分即可。也就是前面提到的基于端口的VLAN的划分。 第三步 路由列表 做完了VLAN之间的连接后，因为两个Catalyst4006与主中心交换机Catalyst6506间采用的是双光纤通道式连接，屏蔽了Catalyst406与Catalyst6506间的线路故障的产生，所以要对整体网络的路由进行基于Catalyst6506的集中式管理。我们在主中心交换机Catalyst6506上设置了VLAN路由: 经理办虚网:192.168.1.1/22;财务虚网: 192.168.3.1/22;供销虚网: 192.168.6.1/22;信息中心虚