企业网络组建中VLAN设计与实现.docVIP

企业网络组建中VLAN设计与实现 　　摘要：虚拟局域网是组建高可靠性企业网的一项重要技术，在限制广播域、防止广播风暴、节省网络带宽、提高网络利用率和增强安全性等各方面起着重要的作用。通过案例分析，详细介绍了某企业实施VLAN的步骤，具有较高的参考和应用价值。 　　关键词：VLAN；虚拟局域网；企业网络；网络设计 　　中图分类号：TP393文献标识码：A文章编号2012）009013403 　　1企业组网中采用单一网段架构的不足之处 　　企业在组建局域网和信息化平台时，为节约成本往往采用了单一网段架构的组网模式。随着企业内部联网计算机的不断增多、网络应用的日趋复杂，这种架构的弊端也不断显现出来。由于防火墙、服务器、工作站等网络设备处在同一个网段（同一广播域），大量的广播包发送到局域网上容易引起广播风暴、占用很高的网络带宽，从而影响到正常业务数据流的稳定传输。一旦某计算机发生ARP攻击或者冒用了网络设备的IP地址，就会干扰到网络的正常运行，造成严重的安全隐患。为了解决上述问题，提高企业网络的安全性、稳定性和可靠性，就需要部署与实施VLAN虚拟局域网。 　　2VLAN虚拟局域网的主要特点 　　IEEE802.1Q定义了VLAN网桥和操作规范。传统的共享介质型以太网中，所有的计算机位于同一个广播域中，广播域越大对网络性能的影响也就越大。有效的解决途径就是把单一网段架构的以太网划分成逻辑上相互独立的多个子网，同一VLAN中的广播包只有同一VLAN的成员组才能收到，而不会传输到其它VLAN中去，这就很好地控制了广播风暴。在企业网络组建中，通过合理的VLAN设计规划，一方面可以限制广播域，最大限度地防止广播风暴的发生，节省网络带宽；同时还可以提高网络处理能力，并通过VLAN间路由、VLAN间互访策略，全面增强企业网络的安全性。 　　3企业VLAN规划中的技术要点 　　VLAN技术在大型局域网、大型校园网的组建中有着广泛的应用，VLAN的规划和设计是高等计算机网络的一个重点，同时也是一个技术难点，实施者必须具备较高的计算机网络知识与实践技能。企业在实施VLAN前，应该从以下几个方面重点分析和考虑： 　　（1）根据目前的网络拓扑、综合布线、各类网络设备、计算机数量以及分布的地理位置进行统计和调研。通常位于核心层的防火墙、服务器组等应划分到一个单独的VLAN网段，然后根据各部门的网络应用需求、联网设备数量作进一步规划。 　　（2）采用合适的VLAN划分技术，常见的VLAN划分方式包括：基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于IP子网的VLAN 和基于策略的VLAN等。以中小型企业为例，计算机的数量与分布的地理位置相对比较固定，优先考虑采用基于端口的静态VLAN划分方式。将交换机中的任意端口定义为一个VLAN端口组成员，从而形成一个VLAN网段，将指定端口加入到指定VLAN中之后，该端口就可以转发指定VLAN的数据包。 　　（3）各个VLAN之间的路由与ACL访问策略的配置。通常服务器所属的VLAN可以与其它VLAN相互访问，各个VLAN的内部计算机可以互访，其它VLAN之间计算机的互访权限视具体情况在三层交换机加以启用或禁用。 　　（4）防火墙到各个VLAN之间的路由规划。防火墙是整个企业网的Internet总出口，直接决定哪些VLAN组、哪些计算机成员可以访问Internet。 　　（5）必要的经费投入，购买合适的网络设备。一般选择三层智能VLAN以太网交换机，根据设计方案，通过命令参数进行配置。由于不同品牌、不同型号的交换机VLAN配置参数与语法命令不尽相同，因此需要VLAN实施者精通常用交换机的配置与应用。 　　4某企业VLAN规划和实施的具体步骤与案例分析 　　随着经营业务的不断扩展、联网设备的不断增多，为提高局域网安全性和处理能力，笔者参与了某商品流通企业的局域网VLAN实施项目。从企业网络应用的规模和现状分析，设计划分为5个VLAN， 其中VLAN16为服务器核心网段，可以与其它全部VLAN（17～20）互访。VLAN（17～20）只能访问16网段，相互之间不能互访，但每个VLAN内部计算机可以互访。防火墙型号为H3C SecPath F100S，LAN口管理IP为192.168.16.1，可以路由到全部5个VLAN，并能控制任意网段的计算机访问外网与IP流量。 　　接入层访问端口，按表1方案，连接网络设备、各职能部门的工作站计算机、网络共享打印机、无线接入点AP等 　　在实施VLAN前，首先要对企业现有的综合布线作全面的梳理，每根网线连接哪台电脑、交换机的端口标识要明确、清晰。在核心交换机端口充裕的情况下，做到计算机与核心交换机端口直接相连，尽量