關于企業局域網VLAN設計的研究

【摘要】隨著網絡技術新系統，組建企業內部網絡已經是企業必不可少的一部分，建立高速，穩定，安全，智能的辦公網絡，是組建中小型企業局域網的核心。因此，采用虛擬網絡技術，實現更加完善的網絡資源功能;采用各種類服務器，搭建網絡;采用高性能全交換線路;采用漏洞掃描系統、硬件的防火墻等安全體系構架設計中采用虛擬局域網來隔離不同部門，以達到增強企業網絡安全性的目的;通過劃分虛擬局域網，隔離不同部門，可以增強企業網絡安全性，網絡組播技術可使企業網絡系統能承載多種應用的多媒體網絡，如網絡點播和網絡會議，更好的進行網絡辦公。而本文即對企業虛擬局域網的構建進行論述，進一步闡述了虛擬局域網技術在現今的企業局域網中的重要性。

【關鍵詞】 VLAN;MAC;ATM;單播;組播

1.引言

劃分虛擬局域網是整個網絡系統的重要技術之一。企業網絡內部的環境復雜、分布區域廣、網絡用戶多，以至于企業內部網絡用戶的可靠性得不到完全的保證。通過劃分虛擬局域網，隔離不同部門，可以增強企業網絡安全性，本文將詳細論述虛擬局域網的技術及在網絡系統中的必要性和設計方案。

2.VLAN方案設計

目前，VLAN技術可以使用以下方式組建：基于交換機端口的VLAN、基于MAC地址的VLAN和基于應用協議的VLAN：

基于端口的VLAN，即靜態VLAN，特點是技術簡單，容易配置且維護工作量小，缺點是終端設備移動時需要更改設備配置。

基于MAC地址的VLAN，即動態VLAN，基于Vlan策略服務組建，特點是終端設備可以在整個局域網中移動而不用改變配置，適合于移動辦公型的網絡環境，缺點是配置工作量大、繁瑣。

由于交換機為二層設備，所以基于應用協議的VLAN對于交換機來說沒有任何意義，反而會造成交換機性能的下降。

考慮到本系統的特點，節點在網絡中內移動的可能性較小，基于易維護、易管理方面的考慮，使用基于交換機端口的VLAN進行配置。各個VLAN間由ACL控制，限制互訪。其中VLAN10～31為部門VLAN，禁止互訪，VLAN 51為文件服務器區，能被任何部門訪問，VLAN 52為網管區，能單向訪問各個部門。

3" 第三層交換技術設計方案

第三層交換器就是將第二層的交換器與第三層的路由器合二為一，使路由器根據第二層的地址轉發數據包以達到快速通訊，這就形成了第三層交換器。

第三層交換出現因于ATM與交換器的技術背景，因為傳統的網絡是由路由器作為中心的。使用第二層交換器使網絡速度提升，可是在網絡中使用過多的交換器，所有交換器所架構的網絡可能會形成廣播風暴，所以需要路由器來隔離可能會形成的廣播風暴，為了使路由器不會形成網絡的瓶頸，就形成了第三層交換。VLAN將廣播域進行分割，但透過VLAN進行通訊則必須通過路由器進行轉發。所有核心層交換機均為三層交換，可手動打開 ip routing。

4" IP multicast技術方案設計

傳統的點對點單播通信，在發送方和每一接收方需要單獨的數據通道。在這種通信方式下，源IP主機向指定的目標IP主機發送信息包。IP信息包中的目標地址就是IP網絡中惟一的主機地址。從一臺主機送出的每個數據包只能傳送給一個目標主機，通過路由器或交換機將這些IP信息包從源主機發送到目標主機。在源主機和目標主機之間的路徑上的每一個路由器都維護由單播路由協議生成的單播路由信息庫，并根據數據包中的IP目標地址在單播路由信息庫中查找單播包轉發路徑。在單播方式下，如果有另外的多個用戶希望同時獲得這個數據包的拷貝是不可能的。發送信息的主機必須向每個希望接收此數據包的用戶發送一份單獨的數據包拷貝。這種巨大的冗余會帶來很大的代價，首先，會給發送數據的源主機帶來沉重的負擔，因為它必須對每個要求都做出響應，這使得負擔過于沉重主機的響應會大大延長。其次對路由器和交換機的性能也提出了更高的要求，管理人員被迫購買本來不必要的硬件和帶寬來保證一定的服務質量。

組播路由與IP單播路由有一個本質的區別就是，IP單播路由是根據網絡的拓撲結構而不是實際的會話來建立路徑，而IP組播路由則是根據網絡的會話來動態地建立投遞路徑;因此，IP組播路由比IP單播路由更具有動態性。

關于組播路由設計，可在企業網絡核心交換機和匯聚交換機上運行PIM-DM組播協議對業務及服務進行支持，并提供優秀的可擴展性;在邊緣交換機上運行IGMP Snooping組播管理協議對業務及服務進行支持。

用戶通過運行組播客戶端軟件的PC運行IGMP協議，用戶可通過IGMP協議加入某個組播組，建立成員關系。對于組播業務的具體實施及管理需根據不同的業務類型及廠家提供設備的特點具體進行分析。目前經常被采用的稀疏分布模型的域內組播路由協議是PIM-SM，因此，使用PIM-SM作為域內組播路由協議。

每個部門VLAN劃入一個多播地址：

Vlan10：224.1.1.1"""""""" Vlan11：224.1.1.2

Vlan20：224.1.1.3"""""""" Vlan21：224.1.1.4

Vlan30：224.1.1.5"""""""" Vlan31：224.1.1.6

在核心交換機和PIX上啟用多播，命令如下：

ip multicast-routing

int interface #

ip pim sparse-dense-mode

ip igmp join-group 224.1.1.X

配置PIX為RP的命令如下：

ip pim send-rp-announce Loopback0 scope 3 group-list 50

ip pim send-rp-discovery Loopback0 scope 3

access-list 50 permit 224.1.1.1

access-list 50 permit 224.1.1.2

access-list 50 permit 224.1.1.3

access-list 50 permit 224.1.1.4

access-list 50 permit 224.1.1.5

access-list 50 permit 224.1.1.6

ip pim rp-address 3.3.3.3

根據企業的實際情況，總結出一個健全的企業局域網計算機網絡，應當具備如下需求：

企業VLAN構建，其優越性遠遠超出傳統LAN的構建，本文又通過對第三層交換技術和基于第三層交換技術進一步闡述了虛擬局域網的優勢，而在企業網絡系統中，為了體現經濟實用可靠性，易采用交換式以太網方案，并采用內部IP地址。網絡采用兩極交換結構，中心交換機采用三層交換機，構成千兆主干，中心交換機應留有插槽便于擴展，光纖端口依實際應用提供，電源應有冗余;每個分配線間各放置若干臺24口交換機作為二級交換機，用千兆光纖口用于上連，可以為用戶提供交換式100Mbps帶寬，彼此間采用堆疊連接。是為入住企業的單位提供寬帶國際互聯網絡接入服務、內部網絡通訊平臺、計算機應用服務的綜合性專用計算機數據通信網絡。

參考文獻：

[1]劉曉輝《局域網方案與故障速查手冊》內蒙古科技出版社.2005年3月

[2]陶再平、呂侃徽《局域網組建與管理實訓教程》.大連理工大學出版社.2010年11月

[3]苗鳳君.《局域網技術與組網工程》清華大學出版社.2010年2月

[4]《邊用邊學——局域網組建與維護（配光盤）》，清華大學出版社，2009年3月