大中型企业网络设计、配置与管理

大中型企业网络设计、配置与管理内容摘要：

证网络足够的可靠。 这种方案大量采用千兆链路、三层交换机，投入比较大。 也可以采用双层设计方案，接入层直接通过千兆链路连接到核心交换机 ， 节省投入成本。 华为 3COM 的 soho 系列产品包括无线产品、 ADSL 路由器、模块化路由器、打印服务器、无管理交换机、千兆上行交换机、千兆无管理交换机。 方便的为用户提供家庭宽带组网， 大 中小企业组网，网吧组网，校园组网解决方案。 用三层交换机实现大中型企业 VLAN 方案 企业规模的扩大造就了企业网络规模的不断膨胀 ， 众多企 业在扩展网络规模时采用了在原有的网络上直接增加计算机的方法来实现，随之而来的就是网络体系变得越来越复杂，对网络的管理也变得越来越困难，网内的安全指数也变得越来越低，并且网络资源的利用率也大大降低，如何行之有效的管理网络和合理利用网络资源成为企业最大的难题。 VLAN 的定义与分类 VLAN 即虚拟局域网（ Virtual Local Area Network 的缩写），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组技术。 VLAN 是为解决以太网的广播问题和 安全 性而提出的，它在以太网帧的基础上增加了 VLAN，用 VLAN ID 把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。 虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域即 VLAN，每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的LAN 有着相同的属性。 但由于它 是逻辑地而不是物理地划分，所以同一个 VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理 LAN 网段。 一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中，即使是两台计算机有着同样的网段，但是它们却没有相同的 VLAN 号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的 安全 性。 大中 型企业网络方案与三层交换机的构建 7 (1) 根据端口来划分 VLAN 许多 VLAN 厂商都利用 交换 机的端口来划分 VLAN 成员。 被设定的端口都在同一个广播域中。 例如，一个 交换 机的 1， 2， 3， 4， 5端口被定义为虚拟网 AAA，同一交换机的 6， 7， 8端口组成虚拟网 BBB。 这样做允许各端口之间的通讯，并允许共享型网络 的升级。 但是，这种划分模式将虚拟网限制在了一台交换机上。 第二代端口 VLAN 技术允许跨越多个交换机的多个不同端口划分 VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员，其配置过程简单明了。 因此，从目前来看，这种根据端口来划分 VLAN 的方式仍然是最常用的一种方式。 (2) 根据 MAC地址划分 VLAN 这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分，即对每个 MAC 地址的主机都配置它属于哪个组。 这种划分 VLAN 方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他 的交换机时， VLAN 不用重新配置，所以，可以认为这种根据 MAC 地址的划分方法是基于用户的 VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。 而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个 VLAN组的成员，这样就无法限制广播包了。 另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样， VLAN就必须不停地配置。 (3) 根据网络层划分 VLAN 这种划分 VLAN 的方法是根据每个主机的网络层地址或 协议 类型（如果支持多 协议 ）划分的，虽然这种划分方法是根据网络地址，比如 IP 地址，但它不是路由 ，与网络层的路由 毫无关系。 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的 VLAN，而且可以根据 协议 类型来划分 VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别 VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头， 但要让芯片能检查 IP 帧头，需要更高的技术，同时也更费时 ， 当然，这与各个厂商的实现方法有关。 (4) 根据 IP组播划分 VLAN 大中 型企业网络方案与三层交换机的构建 8 IP 组播实际上也是一种 VLAN 的定义，即认为一个组播组就是一个 VLAN，这种划分的方法将 VLAN 扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。 采用 VLAN方式划分网络体系能够让管理员更加方便的管理企业网络，而 VLAN 网络灵活的扩展能力也让企业网络规模在不断扩大的同时不会出现网络混乱的情况， VLAN 网络所具有的 控制广播风暴能力让企业网络资源的性能得到大幅度提高，并且 VLAN 网络还具有管理简单，安全性高的特点。 因此，在网络最初的设计中采用 VLAN 方式能够对网络将来的扩展带来极大的好处。 在普通的小型企业中，采用路由器方式划分 VLAN 是一种节约成本的方法，不过在大中型企业中，采用路由器方式划分 VLAN 会严重影响企业网络的性能，而 VLAN 间的通信必需通过路由才能实现，因此，具有路由功能的三层交换机被广泛应用于大中型企业 VLAN 网络中。 但我们必需清楚一点，就是采用三层交换机的 VLAN 网络同样需要路由器，只不过路由器只是企 业网络和互联网的连接工具， VLAN 间的通信不会靠路由器来实现。 三层交换机构建的 VLAN 网络结构 图 16 三层交换机构建的 VLAN 网络结构 VLAN 网络的划分最大的特点就在于它的灵活性，而采用 VLAN 方式划分网络主要有静态 VLAN和动态 VLAN方式，静态 VLAN 实际上就基于端口的 VLAN，这种划分方式由于要管理员对每个交换机的端口都要进行配置，显得非常复杂，一般不采用这种方式。 动态 VLAN 又分为三种划分方式，基于子网的 VLAN， 基于 MAC大中 型企业网络方案与三层交换机的构建 9 地址的 VLAN，基于用户的 VLAN。 这三种方式各有各的特点，因此，我们在划分VLAN 网络的时候可以灵活搭配，例如移动用户由于外置无线网卡随时可能被更换，所以我们对移动用户可采用用户的 VLAN 划分方式，将这部分划为一个基于用户的 VLAN。 而一些固定的用户我们可采用基于子网的 VLAN方式，也就是把一个段的 IP划分为一个 VLAN。 因此，划分 VLAN 显得非常灵活。 图 16 所显示的网络第一层我们还是采用了路由器，这是由于路由器本身就是连接内网和外网的唯一工具，因此，路由器不能缺少，只是 VLAN 间通信路由不在路由器中实现。 但我们也必需注意，大型 VLAN 网络由于数据传输量非常大，对路由器的要求也非常高，所以我们不能简单的认为有了三层交换机对路由器要求就不高了。 因此，我们选择路由器还是要根据整个网络的规模来看。 在第二层就是采用的三层交换机，这也是整个大型 VLAN 网络的关键所在。 三层交换机具有路由和交换两种功能，其中的路由功能是实现 VLAN 间通信的关键技术。 当第一个数据流进入三层交换机后，三层交换机将会对这个数据流进行路由，在路由的同时三层交换机会产生一个 MAC 地址与 IP 地址的映射表，这样做的好处就是当同样的 数据流进入三层交换机后，不需要三层交换机对这个数据流再进行一次路由，这个数据流只需要直接通过三层交换机就能实现 VLAN 间通信，从而有效解除了路由器所带来的网络瓶颈。 三层交换机也是划分 VLAN 网络的关键所在，管理员只需要对三层交换机进行配置就可完成对 VLAN 网络的划分。 所以在选择三层交换机时，我们一定要根据自己的实际情况进行合理选择，才能更加有效的保证整个 VLAN 网络的正常运行。 在网络的第三层，我们选用的二层交换机，二层交换机在 VLAN 网络中的作用实际上只是保证整个网络基层的正常运行，如果网络规模非常大， 那么这一层最好选择千兆交换机，让网络的下一层继续连接交换机进行扩展，如果网络规模不是非常大（采用三层交换机连接的计算机数量最少也是在 200 台以上），这一层直接选择普通交换机就可以了。 在网络最底层是整个网络的基础，也是我们决定怎样划分 VLAN 网络的标准，它们由企业的计算机终端、服务器等组成。 (1) 400 节点企业网络设计方案 下面我们来设计一个具有 400 节点的企业 VLAN 网络，我们假设这个企业分为销售部，售后服务部，设计部，财务部，服务器区组成。 其中，销售部有 20台计算机，售后服务部有 20 台计算机，财务部 有 20 台计算机，服务器区有 20大中 型企业网络方案与三层交换机的构建 10 台服务器，设计部有 320 台计算机。 我们可将整个企业网络划分为 6 个 VLAN，如果用户对设计部的计算机量感觉有些大，还可将这个部门的计算机进行 VLAN细划。 下图是这个 500节点的 VLAN 划分结构图。 再次申明， VLAN 网络的划分需要在三层交换机上进行配置才能实现，上图是经过配置之后的一个 VLAN 结构图。 我们看到，在上图中的销售部，售后服务部和财务部三个 VLAN 都选用了二层交换机，由于这些部门对网络带宽要求不大，加上计算机数量少，每个 VLAN 只有 20 台，实际上我们选择 24 口的交换机就能实现 VLAN，用户可根据自己实际情况来决定。 设计部 VLAN 由于计算机数量多，所以我们用了一个千兆交换机加上多个普通交换机实现 VLAN，而在服务器我们也选择了千兆交换机进行连接，这主要是由于服务器对网络带宽本身要求就非常高。 三层交换机和路由器的选择也是根据实际情况而定。 几种常用的路由器和交换机 下面我们就根据上面这个 VLAN 结构图来为大家推荐几款产品。 路由器的选择相对来说比较简单，我们要求只要能够实现 400 节点的计算机连 接就可以了，不过普通的防火墙功能我们也要考虑，再次就是路由器的性能我们还是要考虑，毕竟一个网络的速度如何路由器比较重要。 锐捷网络 STARR2620 模块化多业务路由器 STARR2620是 一款面向中小型企业的模块化路由器，该款路由器采用了 ARM 大中 型企业网络方案与三层交换机的构建 11 4530 处理器，拥有 32MB 内存和 8MB 闪存，加上 1 个 10/100Mbps 自适应 LAN 口和 1个 WAN 口，能够充分满足中小型企业用户作为核心路由器的需要，同时也可作为大型企业接入路由器使用。 该款路由器提供了两个可扩展的插槽，用户可根据自己情况选择不同的扩展模块，满足用户对多业务的需要。 并且这些扩展模块都自带有 CPU，当这些扩展模块插到路由器上时，能够减低对路由器 CPU 的运算负荷。 STARR2620 支持语音功能，可进行视频会议，并且能够实现实时传真，充 分满足了企业用户对各种不同业务的需要。 该款路由器还支持 VPN功能，通过该项功能，企业可实现远程访问，即使企业内员工远在千里之外，也能够对企业内部资源进行访问。 该款路由器具有完善的 Qos机制，当企业内网出现网络资源不足情况时，该项功能能够对一些核心业务分配足够的网络带宽资源，满足用户的需要。 在安全方面，该款路由器支持 MAC 地址绑定，基于时间的访问控制，命令分层保护等功能，能够抵御来自互联网中一些黑客的攻击。 由于路由器在大中型 VLAN 网络中只是起一个企业网络和互联网连接的作用，对 VLAN 方面并没有什么要求， 而对于企业网络来说，语音， VPN 等功能又是比较常用的功能，因此我们选择了 STARR2620 路由器。 三层交换机在大中型 VLAN 网络中属于核心产品，所有 VLAN 间通信都要通过三层交换机进行路由之后才能实现，而三层交换机又需要对所有数据进行交换，因此三层交换机的负荷非常大，所以，我们在选择三层交换机的时候一定要慎重。 锐捷网络 STARS355012G 三层交换机 大中 型企业网络方案与三层交换机的构建 12 STARS355012G是一款全千兆三层交换机，该款交换机 48Gbps的背板带宽，其包转发率达到 18Mpps，并且通过 12 个千兆 LAN 口可与其他交换机连接，达到扩展网络规模的作用。 该款交换机具有 4K的 VLAN 空间，支持多种 VLAN 方式，用户可在这款交换机上进行 VLAN 配置，达到组建 VLAN 网络的作用。 该款交换机具有的路由功能让不同 VLAN可在此进行路由，实现 VLAN间通信。 STARS355012G具有的冗余电源系统 STARRPS，支持的 VRRP 虚拟路由器冗余协议等功能，保证了路由器运行的正常和稳定。 这款交换机可实现端口与 MAC 地址和 IP 地址的绑定，可以防止目前互联网中最常见的 Dos 拒绝服务攻击，该款交换机提供了对数据信息的加密传输 Secure Shell，能够有效防止黑客的攻击以及对数据信息的盗用。 这款交换机还支持用户认证，限制非授权用户通信等功能，为企业网络提。