企業(yè)網(wǎng)中的VLAN設(shè)計(jì)

2019-11-04 20:43:01

字體：大中小

供稿：網(wǎng)友

　　---- 在企業(yè)網(wǎng)絡(luò)剛剛興起之時(shí)，由于規(guī)模小、應(yīng)用面窄、對Internet接入熟悉程度低以及關(guān)于網(wǎng)絡(luò)安全和治理知識貧乏等原因，使得企業(yè)網(wǎng)僅僅局限于交換模式狀態(tài)。交換技術(shù)主要有2種方式: 基于以太網(wǎng)的幀交換和基于ATM的信元交換，它相對于共享式網(wǎng)絡(luò)性能有很大提高，但對于所有處于一個(gè)ip網(wǎng)段或IPX網(wǎng)段的網(wǎng)絡(luò)設(shè)備來說，卻同在一個(gè)廣播域中。當(dāng)工作站數(shù)量較多和信息流較大時(shí)，輕易形成廣播風(fēng)暴，嚴(yán)重影響了網(wǎng)絡(luò)運(yùn)行速度，甚至輕易造成網(wǎng)絡(luò)癱瘓。怎樣避免這個(gè)問題出現(xiàn)呢？采用劃分網(wǎng)絡(luò)的辦法是個(gè)不錯(cuò)的選擇。
　　
　　---- 在采用交換技術(shù)的網(wǎng)絡(luò)模式中，一般采用劃分物理網(wǎng)段的手段進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的劃分。從效率和安全性等方面來看，這種結(jié)構(gòu)劃分有一定缺陷，而且在很大程度上限制了網(wǎng)絡(luò)的靈活性。因?yàn)榧偃缫獙⒁粋€(gè)廣播域分開，必須另外購買交換機(jī)，并且需要重新進(jìn)行人工布線。好在，虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）技術(shù)的出現(xiàn)解決了上述問題。實(shí)際上，VLAN就是一個(gè)廣播域，它不受地理位置的限制，可以跨多個(gè)局域網(wǎng)交換機(jī)。一個(gè)VLAN可以根據(jù)部門職能、對象組或者應(yīng)用來將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。對于局域網(wǎng)交換機(jī)，其每一個(gè)端口只能標(biāo)記一個(gè)VLAN，一個(gè)VLAN中的所有端口擁有一個(gè)廣播域，而處于不同VLAN的端口則共享不同的廣播域，這樣就避免了廣播風(fēng)暴的產(chǎn)生。可以說，在一個(gè)交換網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。
　　
　　---- 通常，一個(gè)規(guī)模較大的企業(yè)，其下屬一般擁有多個(gè)二級單位，為保證對不同職能部門治理的方便性和安全性以及整體網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，可以采用VLAN劃分技術(shù)，進(jìn)行虛擬網(wǎng)絡(luò)劃分。下面，我們通過對一個(gè)實(shí)際案例的分析，讓大家了解和把握應(yīng)用VLAN技術(shù)的真諦。
　　
　　網(wǎng)絡(luò)狀況
　　
　　---- 某大型起重設(shè)備總公司下屬有2個(gè)二級單位，主要進(jìn)行研發(fā)、服務(wù)與銷售等工作。由于地理位置相對較遠(yuǎn)，業(yè)務(wù)規(guī)模尚未發(fā)展壯大，在企業(yè)成立之初，公司總部、二級單位1和二級單位2分別建立了獨(dú)立的網(wǎng)絡(luò)環(huán)境，各網(wǎng)絡(luò)系統(tǒng)均采用以交換技術(shù)為主的方式，3網(wǎng)主干均采用千兆以太網(wǎng)技術(shù)。公司總部中心交換機(jī)采用了Cisco Catalyst 6506產(chǎn)品，它是帶有三層路由的引擎，可使企業(yè)網(wǎng)具有很強(qiáng)的升級能力。各二級單位的中心交換機(jī)采用了Cisco Catalyst 4006。其他二級和三級交換機(jī)采用了Cisco Catalyst 3500系列交換機(jī)，主要因?yàn)镃atalyst 3500系列交換機(jī)具有很高的性能和可堆疊能力。
　　
　　需求分析
　　
　　---- 由于業(yè)務(wù)發(fā)展迅猛，總公司與2個(gè)二級單位迫切需要暢通無阻的信息交流，從而讓公司總部能對2個(gè)下屬單位進(jìn)行更直接和更有效的治理，進(jìn)而達(dá)到三方信息共享的目的，所以將彼此相互獨(dú)立的3個(gè)子網(wǎng)聯(lián)成一個(gè)統(tǒng)一網(wǎng)絡(luò)勢在必行。
　　
　　---- 圖1所示的是起重設(shè)備總公司3個(gè)子網(wǎng)互聯(lián)形成統(tǒng)一網(wǎng)絡(luò)的示意圖，3個(gè)子網(wǎng)是采用千兆以太網(wǎng)技術(shù)進(jìn)行互聯(lián)的。為了避免在主干引發(fā)瓶頸問題，各子網(wǎng)在互聯(lián)時(shí)采用了Trunk技術(shù)(即雙千兆技術(shù))，使網(wǎng)絡(luò)帶寬達(dá)到4GB，這樣，既增加了帶寬，又提供了鏈路的冗余，還提高了整體網(wǎng)絡(luò)高速、穩(wěn)定和安全的運(yùn)行性能。
　　　企業(yè)網(wǎng)中的VLAN設(shè)計(jì)（圖一）

　　---- 然而，由于網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，信息流量逐漸加大，人員治理變得日益復(fù)雜，給企業(yè)網(wǎng)的安全、穩(wěn)定和高效運(yùn)行帶來新的隱患，如何消除這些隱患呢？VLAN劃分技術(shù)能為此排憂解難。
　　
　　---- 根據(jù)起重設(shè)備總公司業(yè)務(wù)發(fā)展需要，我們將聯(lián)網(wǎng)后的統(tǒng)一網(wǎng)絡(luò)劃分為5個(gè)虛擬子網(wǎng)，分別是: 經(jīng)理辦子網(wǎng)、財(cái)務(wù)子網(wǎng)、供銷子網(wǎng)和信息中心子網(wǎng)，其余部分劃為一個(gè)子網(wǎng)。
　　
　　---- 由于統(tǒng)一網(wǎng)絡(luò)的IP地址處于192.168.0.0網(wǎng)段，所以我們可以將各VLAN的IP地址分配如下。
　　
　　---- 經(jīng)理辦子網(wǎng)：192.168.1.0～192.168.2.0/22 網(wǎng)關(guān)：192.168.1.1
　　
　　---- 財(cái)務(wù)子網(wǎng)： 192.168.3.0～192.168.5.0/22 網(wǎng)關(guān)：192.168.3.1
　　
　　---- 供銷子網(wǎng)： 192.168.6.0～192.168.8.0/22 網(wǎng)關(guān)：192.168.6.1
　　
　　---- 信息中心子網(wǎng)：192.168.7.0/24 網(wǎng)關(guān)：192.168.7.1
　　
　　---- 服務(wù)器子網(wǎng)：192.168.100.0/24 網(wǎng)關(guān)：192.168.100.1
　　
　　---- 其余子網(wǎng)： 192.168.8.0～192.168.9.0/22 網(wǎng)關(guān)：192.168.8.1
　　
　　具體設(shè)計(jì)
　　
　　---- 在劃分VLAN時(shí)，Cisco的產(chǎn)品主要基于2種標(biāo)準(zhǔn)協(xié)議：ISL和802.1q。ISL是Cisco自己研發(fā)設(shè)計(jì)的通用于所有Cisco網(wǎng)絡(luò)產(chǎn)品的VLAN間互聯(lián)封裝協(xié)議，該協(xié)議針對Cisco網(wǎng)絡(luò)設(shè)備的硬件平臺在信息流處理和多媒體應(yīng)用方面進(jìn)行了合理有效的優(yōu)化。802.1q協(xié)議是IEEE802委員會于1996年發(fā)布的國際規(guī)范標(biāo)準(zhǔn)。
　　
　　---- 在此案例中，因?yàn)樗捎玫木荂isco網(wǎng)絡(luò)設(shè)備，故在進(jìn)行VLAN間互聯(lián)時(shí)采用了ISL協(xié)議(對于不同網(wǎng)絡(luò)設(shè)備的互聯(lián)，本文在結(jié)尾處有相應(yīng)介紹)。
　　
　　---- 從圖1我們可以看到，總公司中心交換機(jī)采用了Cisco Catalyst 6506，其2級節(jié)點(diǎn)為Catalyst 3508和Catalyst 3548，Catalyst 3508交換機(jī)具有8個(gè)千兆以太網(wǎng)端口，并且利用Catalyst 3500系列交換機(jī)的堆疊能力，可以隨時(shí)擴(kuò)充工作站數(shù)量。邊緣交換機(jī)則采用具有千兆模塊的Catalyst 3548。二級單位的中心交換機(jī)則采用了Cisco Catalyst 4006，其2級節(jié)點(diǎn)和邊緣交換機(jī)采用的也是Catalyst 3548。公司總部與各二級附屬單位的連接采用了ISL封裝的Trunk方式，用2組光纖連接（在Catalyst 6506與Catalyst 4006之間），這樣既解決了VLAN間的互聯(lián)問題，同時(shí)又提高了網(wǎng)絡(luò)帶寬和系統(tǒng)的冗余，為3個(gè)子網(wǎng)互聯(lián)提供了可靠保障。對于到Internet的連接，接口為2MB DDN專線接入，各二級單位通過公司總部的PRoxy接入Internet。Internet的治理由公司總部信息中心統(tǒng)一規(guī)劃。
　　
　　---- 需要說明的是，由于本案例中關(guān)于VLAN的劃分覆蓋了各個(gè)交換機(jī)，所以交換機(jī)之間的連接都必須采用Trunk方式。鑒于經(jīng)理辦和供銷子網(wǎng)代表了VLAN劃分中的2個(gè)問題: 擴(kuò)展交換機(jī)VLAN的劃分和端口VLAN的劃分，所以我們再將經(jīng)理辦子網(wǎng)和供銷子網(wǎng)對VLAN做一具體介紹。
　　
　　經(jīng)理辦VLAN
　　
　　---- 由于經(jīng)理辦工作站所在局域網(wǎng)交換機(jī)劃分了多個(gè)VLAN，連接了多個(gè)VLAN工作站，所以該交換機(jī)與其上層交換機(jī)之間的連接必須采用Trunk方式(如圖2所示)。
　　　企業(yè)網(wǎng)中的VLAN設(shè)計(jì)（圖二）

　　---- 公司總部采用了Catalyst 3508和Catalyst 6506，二級單位1采用了Catalyst 3548和Catalyst 4006，二級單位2采用了Catalyst 3548和Catalyst 4006。
　　
　　供銷VLAN
　　
　　---- 雖然當(dāng)一個(gè)交換機(jī)覆蓋了多個(gè)VLAN時(shí)，必須采用Trunk方式連接，但在供銷VLAN劃分中，其二級單位1中的供銷獨(dú)立于交換機(jī)Catalyst 3548，所以在這里，Catalyst 3548與二級中心交換機(jī)Catalyst 4006只需采用正常的交換式連接即可(如圖3所示)。對于此部分供銷VLAN的劃分，只要在Catalyst 4006上針對與Catalyst 3548連接的端口進(jìn)行劃分即可。這是一種基于端口的VLAN劃分。
　　企業(yè)網(wǎng)中的VLAN設(shè)計(jì)（圖三）

　　---- 由于2個(gè)Catalyst 4006與主中心交換機(jī)Catalyst 6506間采用的是雙光纖通道式連接，屏蔽了Catalyst 4006與Catalyst 6506間線路故障的產(chǎn)生，所以對整體網(wǎng)絡(luò)的路由進(jìn)行基于Catalyst 6506的集中式治理。下面我們對VLAN之間的路由做一個(gè)介紹。
　　
　　---- 在中心交換機(jī)Catalyst 6506上設(shè)置VLAN路由如下。
　　---- 經(jīng)理辦VLAN：192.168.1.1/22
　　---- 財(cái)務(wù)VLAN： 192.168.3.1/22
　　---- 供銷VLAN： 192.168.6.1/22
　　---- 信息中心VLAN：192.168.7.1/24
　　---- 其余VLAN： 192.168.8.1/22
　　
　　---- 在中心交換機(jī)上設(shè)置路由協(xié)議RIP或OSPF，并指定網(wǎng)段192.168.0.0。在全局配置模式下執(zhí)行如下命令。
　　
　　---- router rip network 192.168.0.0
　　
　　---- 由于IP地址處于192.168.0.0網(wǎng)段，所以對各VLAN的IP地址分配如下所示。
　　
　　---- 經(jīng)理辦子網(wǎng): 192.168.1.0，子網(wǎng)掩碼: 255.255.255.0，網(wǎng)關(guān): 192.168.1.1。
　　
　　---- 財(cái)務(wù)子網(wǎng): 192.168.2.0，子網(wǎng)掩碼: 255.255.255.0，網(wǎng)關(guān): 192.168.2.1。
　　
　　---- 供銷子網(wǎng): 192.168.3.0，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān): 192.168.3.1。
　　
　　---- 信息中心子網(wǎng): 192.168.4.0，子網(wǎng)掩碼: 255.255.255.0，網(wǎng)關(guān): 192.168.4.1。
　　
　　---- 服務(wù)器子網(wǎng): 192.168.100.0，子網(wǎng)掩碼: 255.255.255.0，網(wǎng)關(guān): 192.168.100.1。
　　
　　---- 其余子網(wǎng): 192.168.8.0，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān): 192.168.8.1。
　　
　　---- 根據(jù)上述IP地址分配情況，不難看出各子網(wǎng)的網(wǎng)絡(luò)終端數(shù)均可達(dá)到254臺，完全滿足目前或?qū)淼膽?yīng)用需要，同時(shí)還降低了治理工作量，增強(qiáng)了治理力度。
　　
　　注重事項(xiàng)
　　
　　---- 需要注重的是: 因?yàn)槠鹬卦O(shè)備總公司統(tǒng)一網(wǎng)絡(luò)系統(tǒng)的VLAN劃分是作為一個(gè)整體結(jié)構(gòu)來設(shè)計(jì)的，所以為了保持與VLAN列表的一致性，需要Catalyst 4006對整體網(wǎng)絡(luò)的其他部分進(jìn)行廣播。所以在設(shè)置VTP（VLAN Trunk Protocol）時(shí)注重，要將VTP的域作為一個(gè)整體，其中VTP類型為Server和Client。
　　
　　---- 有些企業(yè)建網(wǎng)較早，若所選用的網(wǎng)絡(luò)設(shè)備為其他廠商的產(chǎn)品，而后期的產(chǎn)品又不能與前期統(tǒng)一，這樣在VLAN的劃分中就會碰到一些問題。例如，在Cisco產(chǎn)品與3COM產(chǎn)品的混合網(wǎng)絡(luò)結(jié)構(gòu)中劃分VLAN，對于Cisco網(wǎng)絡(luò)設(shè)備Trunk的封裝協(xié)議必須采用802.1q，以達(dá)到能與3COM產(chǎn)品進(jìn)行通信的目的。雖然兩者之間可以建立VLAN的正常劃分，并進(jìn)行正常的應(yīng)用，但兩者配合使用的協(xié)調(diào)性略差一些。當(dāng)兩者的連接發(fā)生變化時(shí)，必須在Cisco交換機(jī)上使用命令Clear Counter進(jìn)行清除，方可使兩者工作協(xié)調(diào)起來。

上一篇：開放最短路徑優(yōu)先(OSPF)

下一篇：NBMA環(huán)境下OSPF配置需要注意的地方