企業(yè)組網(wǎng)，多部門網(wǎng)絡(luò)資源要統(tǒng)籌(組圖)

2019-11-04 22:17:03

字體：大中小

供稿：網(wǎng)友

　　對于一個企業(yè)來說，部門眾多，工作的分工不同，安全性也不一樣，企業(yè)規(guī)模的擴(kuò)大還造成了企業(yè)網(wǎng)絡(luò)規(guī)模的不斷膨脹，如何行之有效的治理網(wǎng)絡(luò)和合理利用網(wǎng)絡(luò)資源成為企業(yè)要關(guān)心的話題。企業(yè)局域網(wǎng)建設(shè)要對網(wǎng)絡(luò)資源要做出統(tǒng)籌規(guī)劃，以應(yīng)對即將建立起來的局域網(wǎng)的復(fù)雜的資源分配和資源治理，并能在網(wǎng)絡(luò)擴(kuò)展時，原有網(wǎng)絡(luò)架構(gòu)不受影響，新增部分又能很好融合。這里的“網(wǎng)絡(luò)資源”主要指的是ip資源和網(wǎng)段資源。
　　
　　交換技術(shù)相對于共享式網(wǎng)絡(luò)性能有很大提高，但對于所有處于一個IP網(wǎng)段的網(wǎng)絡(luò)設(shè)備來說，卻同在一個廣播域中，這是由于交換網(wǎng)絡(luò)的工作本質(zhì)決定的。當(dāng)工作站數(shù)量較多和信息流較大時，輕易形成廣播風(fēng)暴，嚴(yán)重影響了網(wǎng)絡(luò)運行速度，甚至輕易造成網(wǎng)絡(luò)癱瘓。怎樣避免這個問題出現(xiàn)呢？采用劃小網(wǎng)絡(luò)和限制廣播域的作用范圍是唯一的好辦法。
　　
　　虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）技術(shù)的出現(xiàn)解決了上述問題。實際上，VLAN就是一個廣播域，它不受地理位置的限制，可以跨多個局域網(wǎng)交換機。一個VLAN可以根據(jù)部門職能、工作組或應(yīng)用來將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。對于局域網(wǎng)交換機，其每一個端口只能標(biāo)記一個VLAN，一個VLAN中的所有端口擁有一個廣播域，而處于不同VLAN的端口則共享不同的廣播域，這就避免了廣播風(fēng)暴的產(chǎn)生。可以說，在一個交換網(wǎng)絡(luò)中，VLAN提供了劃小網(wǎng)絡(luò)和限制廣播域組合機制。為我們進(jìn)行網(wǎng)段劃分、IP資源分配、優(yōu)化網(wǎng)絡(luò)性能等網(wǎng)絡(luò)資源統(tǒng)籌提供了有力的工具。
　　
　　如何用VLAN來治理企業(yè)網(wǎng)
　　
　　網(wǎng)絡(luò)資源統(tǒng)籌的主要工作是IP/VLAN規(guī)劃，這工作是大中型網(wǎng)絡(luò)設(shè)計的一項重要內(nèi)容。不合理的規(guī)劃會直接影響日后的治理維護(hù)。所謂IP / VLAN規(guī)劃，就是為網(wǎng)絡(luò)中的所有設(shè)備，包括路由器、防火墻、交換機、服務(wù)器、客戶機、打印服務(wù)器等，分配一個惟一的IP地址，并為其指定適當(dāng)?shù)腣LAN。考慮到日后的維護(hù)和擴(kuò)展問題，IP/VLAN規(guī)劃不僅應(yīng)符合網(wǎng)絡(luò)設(shè)計規(guī)范，還要有規(guī)律、易記憶，比如VLAN號與子網(wǎng)段有一定的關(guān)聯(lián)。
　　
　　在進(jìn)行IP/VLAN規(guī)劃前，我們要繪制一幅準(zhǔn)確的拓?fù)鋱D。準(zhǔn)確的網(wǎng)絡(luò)文檔對于日后的維護(hù)、升級和分析問題也是很有幫助的。圖1所示，是一幅典型的中型企業(yè)網(wǎng)拓?fù)鋱D。
　　　企業(yè)組網(wǎng)，多部門網(wǎng)絡(luò)資源要統(tǒng)籌(組圖)（圖一）

企業(yè)組網(wǎng)，多部門網(wǎng)絡(luò)資源要統(tǒng)籌(組圖)（圖一）

　　圖1（點擊看大圖）
　　
　　這張圖絡(luò)拓樸圖也反映出了目前中型企業(yè)網(wǎng)的流行網(wǎng)絡(luò)架構(gòu)：路由器負(fù)責(zé)外網(wǎng)（廣域網(wǎng)）接入；防火墻是內(nèi)外網(wǎng)的邊界，隔開內(nèi)外網(wǎng)；主交換機有三層交換功能，主要的VLAN劃分和VLAN間的路由在這里進(jìn)行，高效的線速路由解決了以往VLAN通過路由器路由的低速瓶頸，它也是二層交換機的主干匯聚，最好能支持現(xiàn)今流行的千兆端口，以支持千兆主干；二層快速以太網(wǎng)交換機負(fù)責(zé)客戶機、工作組服務(wù)器的接入，一般一臺二層交換機就負(fù)責(zé)一個VLAN域，支持一個功能唯一的客戶機群接入。
　　
　　IP/VLAN規(guī)劃工作如下：
　　
　　1．確定企業(yè)網(wǎng)內(nèi)網(wǎng)IP地址網(wǎng)段
　　
　　我們對企業(yè)網(wǎng)的IP分配一般以RFC1918中定義的非Internet連接的網(wǎng)絡(luò)地址，也稱為私有地址。由Internet地址授權(quán)機構(gòu)（IANA）控制的IP地址分配方案中，留出了三類網(wǎng)絡(luò)地址，給不連到Internet上的專用網(wǎng)使用。它分別是：A類：10.0.0.0 ~ 10.255.255.255；B類：172.16.0.0 ~ 172.31.255.255；C類：192.168.0.0 ~ 192.168.255.255。其中的一個私有地址網(wǎng)段是：192.168.0.0是我們在內(nèi)網(wǎng)IP分配中最常用的網(wǎng)段。 IANA保證這些網(wǎng)絡(luò)號不會分配給連到Internet上的任何網(wǎng)絡(luò)，因此任何人都可以自由地選擇這些網(wǎng)絡(luò)地址作為自己的私有網(wǎng)絡(luò)地址。在申請的合法IP不足的情況下，企業(yè)網(wǎng)內(nèi)網(wǎng)可以采用私有IP地址的網(wǎng)絡(luò)地址分配方案；企業(yè)網(wǎng)外網(wǎng)接入、DMZ區(qū)使用合法IP地址。
　　
　　我們確定了要使用的私有網(wǎng)段以后，進(jìn)一步還要劃分子網(wǎng)段，并與VLAN號、部門相關(guān)聯(lián)，把這做成一個對照表。
　　　企業(yè)組網(wǎng)，多部門網(wǎng)絡(luò)資源要統(tǒng)籌(組圖)（圖二）

企業(yè)組網(wǎng)，多部門網(wǎng)絡(luò)資源要統(tǒng)籌(組圖)（圖二）

　　2．規(guī)劃主交換機端口VLAN
　　
　　如圖1所示，網(wǎng)絡(luò)中的主交換機提供了到各二級交換機的主干連接，VLAN配置的主要工作在主交換機中進(jìn)行。我們一般采用較流行的VLAN劃分方式：基于端口的VLAN劃分。因此創(chuàng)建VLAN號，為主交換機的端口指定VLAN號是規(guī)劃整個內(nèi)部VLAN的要害。另外VLAN限制了廣播域，跨越VLAN間的通信要經(jīng)過路由，主交換機是一臺三層交換機，需要為它配置路由選擇協(xié)議，以實現(xiàn)VLAN間的線速路由。
　　
　　3．規(guī)劃防火墻、路由器、服務(wù)器的IP地址
　　
　　WWW/MAIL/FTP服務(wù)器、防火墻的DMZ網(wǎng)卡、防火墻的外網(wǎng)卡、路由器以太網(wǎng)口1、路由器廣域網(wǎng)口1應(yīng)該使用從ISP申請到的合法IP。
　　
　　4．規(guī)劃企業(yè)網(wǎng)內(nèi)網(wǎng)用戶的IP地址
　　
　　規(guī)劃完子網(wǎng)與VLAN，接下來就要考慮內(nèi)網(wǎng)用戶IP的分配方式。
　　
　　針對用戶比較集中、信息點位置相對固定的情況，建議使用靜態(tài)IP。這對于日后的治理、維護(hù)、故障排查非常重要，治理員可以根據(jù)IP地址迅速確定主機所在位置。使用靜態(tài)IP，用戶與聯(lián)接交換機的端口處于同一VLAN。為方便新的用戶IP地址的分配，應(yīng)做好現(xiàn)有用戶IP地址的記錄。
　　
　　當(dāng)用戶變動較大，信息點數(shù)量無法準(zhǔn)確計算時，建議使用動態(tài)IP。動態(tài)IP的優(yōu)勢在于方便用戶使用，用戶只需要將網(wǎng)絡(luò)屬性中的IP地址欄設(shè)成自動獲取，用戶的本機IP、缺省網(wǎng)關(guān)、DNS、WINS等要害信息，會自動從DHCP服務(wù)器中得到。
　　
　　5．內(nèi)網(wǎng)NAT共享上網(wǎng)
　　
　　當(dāng)內(nèi)網(wǎng)的IP / VLAN規(guī)劃基本完成后，要采用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)，即通過1 個外部IP 地址來實現(xiàn)內(nèi)網(wǎng)用戶訪問Internet。目前支持NAT的硬件產(chǎn)品有路由器、防火墻，本案是防火墻來實現(xiàn)NAT。
　　
　　交換機推薦
　　
　　1．三層主交換機
　　
　　Quidway S5516（圖2）全千兆智能三層交換機是華為3Com公司面向IP城域網(wǎng)的匯聚層和大型企業(yè)或園區(qū)網(wǎng)的匯聚層推出的盒式高密度可堆疊三層全線速全千兆以太網(wǎng)交換機。提供高密度的GE端口。S5516具有64Gbps背板帶寬，32Gbps交換容量，24Mpps轉(zhuǎn)發(fā)能力。S5516采用模塊化設(shè)計，4個接口槽位，每個接口槽位可提供4個GE端口，提供多種規(guī)格千兆接口模塊供選擇，支持高性能SPF光接口，支持GE電口、單/多模光口模塊的混合配置，支持模塊熱插拔；并可提供堆疊接口模塊，可以和系列交換機堆疊，能夠提供更靈活的組網(wǎng)模式。支持豐富三層協(xié)議：支持OSPF，RIP I/II，IS-IS，BGP4等路由協(xié)議，支持802.1q ，GVRP等二層協(xié)議；提供RSTP，VRRP，PIM協(xié)議，支持802.1x用戶認(rèn)證功能。支持DiffServ、802.1p、GTS、WRR、RED等優(yōu)先級處理和調(diào)度算法可以對不同優(yōu)先級業(yè)務(wù)進(jìn)行調(diào)度及良好的網(wǎng)絡(luò)擁塞控制策略，支持基于L2/3/4的流分類。
　　　企業(yè)組網(wǎng)，多部門網(wǎng)絡(luò)資源要統(tǒng)籌(組圖)（圖三）

企業(yè)組網(wǎng)，多部門網(wǎng)絡(luò)資源要統(tǒng)籌(組圖)（圖三）

　　圖2（Quidway S5516）
　　
　　2．二層接入交換機
　　
　　Quidway S3026C（圖3）智能二層交換機是華為3Com公司為充分滿足高QOS保證的需求而推出的智能型以太網(wǎng)交換機。系統(tǒng)采用高性能的ASIC，采用靈活的模塊化結(jié)構(gòu)，提供二到七層的智能的流分類和和完善的服務(wù)質(zhì)量（QoS），實現(xiàn)完備的業(yè)務(wù)控制和用戶治理能力，可作為企業(yè)網(wǎng)的接入層交換機。系統(tǒng)提供固定的24個10/100Base-TX的自適應(yīng)端口、1個Console口及2個GBIC/1000Base-T/前擴(kuò)展槽。12.8Gbps的總線帶寬為交換機所有的端口提供二層線速交換能力。支持802.1x認(rèn)證，在用戶接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證。支持ACL訪問控制策略，能夠?qū)υL問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行設(shè)置。豐富的QOS策略，支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復(fù)雜流分類。支持帶寬控制功能。提供良好的堆疊功能，最大可支持16臺設(shè)備的堆疊，同時支持不同設(shè)備的混合堆疊，從而保證了網(wǎng)絡(luò)的平滑升級和降低了擴(kuò)建成本。
　　　企業(yè)組網(wǎng)，多部門網(wǎng)絡(luò)資源要統(tǒng)籌(組圖)（圖四）

企業(yè)組網(wǎng)，多部門網(wǎng)絡(luò)資源要統(tǒng)籌(組圖)（圖四）

　　圖3（Quidway S3026C）
　　
　　小結(jié)：
　　
　　要建設(shè)一個高速穩(wěn)定的企業(yè)網(wǎng)，就要對網(wǎng)絡(luò)資源進(jìn)行有效的統(tǒng)籌規(guī)劃。IP和VLAN的規(guī)劃是網(wǎng)絡(luò)資源統(tǒng)籌的要害工作，這關(guān)系我需要什么樣的網(wǎng)絡(luò)交換網(wǎng)絡(luò)結(jié)構(gòu)，也就相應(yīng)的為實現(xiàn)這些目標(biāo)采購合適的網(wǎng)絡(luò)交換機。IP和VLAN規(guī)劃貫穿我們企業(yè)網(wǎng)的設(shè)計階段和建設(shè)階段。良好的IP和VLAN規(guī)劃還為網(wǎng)絡(luò)的維護(hù)和擴(kuò)展帶來極大方便，是科學(xué)治理網(wǎng)絡(luò)的基礎(chǔ)。

上一篇：如何選擇適合的光纖布線解決方案

下一篇：流媒體CDN解決方案