基于VLAN 技術的局域網優化

■ 武漢 陳銘師 郭小玲 滿建文 呂冀周

編者按：VLAN 作為一項重要的網絡技術，它解決了用交換機式LAN 無法限制廣播、通信中商業機密泄露、網絡單元連接靈活管理等問題。本文提出一個大型局域網方案，結合VLAN 技術，對局域網優化提供借鑒。

本文設計一個大型企業的內部網絡，對局域網架構進行合理設計，并模擬仿真。小型局域網建設亦可以參照相應結構進行簡化設計，便于后期企業規模擴大之后的網絡結構升級。過程中，不斷進行優化，融合考慮了網絡運維，網絡擴容，網絡運行效率和網絡安全等多方面因素。通過應用VLAN 技術，減少對軟硬件設備的依賴，實現業務區域的邏輯隔離，對局域網優化提供良好的借鑒。

網絡結構拓撲

如圖1 所示，該結構基于一個大型企業自建局域網進行設計。該結構可作為一個企業整體獨立建網方案。亦適用于分公司通過互聯網上聯總公司，下接地區辦事處的地區接入局域網方案。該方案有如下特點：

1.多個子公司，可以是遍布各個省份，也可以是省內各個城市。

2.總公司含有多棟建筑，或包含單一業務，或包含多部門業務。

3.組織結構扁平化設計，各業務部門設置精細化。

4.各業務部門有獨立業務系統，邏輯上進行隔離。

5.分公司結構相似于總公司，同一部門上下有互聯需求。

6.不 同部門之間通過郵件或者FTP 服務器進行日常辦公交流。

7.配備大量的自助服務機或臨時接入終端等，便于其訪問互聯網。

該結構設計將業務系統，即服務器區，整體布局在總公司，便于信息安全管理。考慮到子公司日常辦公存在臨時交流，可在其相應增加本地服務器，其設計和配置參考總公司即可。

圖1 網絡結構圖

IP 地址規劃及VLAN 劃分

1.IP 地址規劃

除了良好的網絡結構設計之外，還需要對IP 地址進行規劃，便于后續網絡的擴容、調整及訪問控制策略的配置等。

（1）企業內部網絡采用三段私網地址：10.0.0.0/8；172.16.0.0/12；192.168.0.0/16。

（2）對IP 地址規劃采用先功能類別、再業務部分原則進行區分，功能類別指VPN及互聯網、內網辦公、臨時（無線）網絡接入。

（3）不同業務部門采用不同的IP 地址段，網絡互連設備和公用服務器使用某一獨立地址段。

2.VLAN 劃分原則

（1）VLAN 按照部門劃分，采用基于IP 地址劃分和基于端口劃分相結合。

（2）每個VLAN 暫定為一個地址段，總公司和分公司共用，采用VTP（VLAN Trunking Protocol）進行配置。

如表1 所示，外網和臨時（無線）接入采用DHCP 動態獲取IP 地址的方式，便于地址的收回，通過NAT 進行地址轉換，只訪問有限的內網區域。網絡互聯設備和公用服務器共用172.16.0.0/24的地址段，其中網絡設備和部分公用服務器端口采用Trunk 模式，而將各個業務服務器劃分到對應的VLAN。每個部門劃分一個VLAN，如果接入設備太多，可以再細分限制廣播域。VLAN 之間互不通信，但是都能訪問公用服務器區。

3.主要設備的具體配置

（1）邊界路由器

邊界路由器配置NAT地址池和轉換入口和出口，實現內部局域網訪問Internet，并隔離網絡：

（2）總公司核心交換機

對總公司核心交換機進行VTP 配置，并劃分基于IP地址劃分VLAN：

對總公司核心交換機進 行ACL(Access Control List)配置，主要基于IP 進行訪問策略配置，可適當結合MAC-ACL 進行強制管控，下面以VLAN 10 為例，其他VLAN 配置類似：

（3）分公司核心交換機及匯聚交換機

對分公司核心交換機進行VTP 配置，并將端口模式轉換成Trunk，其他與總公司直連的交換機配置類似：

（4）邊界路由器

接入（無線）路由器配置NAT 地址池和轉換入口和出口，實現臨時訪問內網和外網（Internet），并隔離網絡：

通過在模擬器上進行配置，實現了大型局域網結構的連通測試。各個VLAN 能夠Ping 通外網（Internet）和公用服務器，VLAN 之間不能互相Ping 通，只通過公用服務器實現日常辦公流轉。總公司和分公司通過VTP 實現VLAN 一致管理，同一個VLAN 內的計算機終端能夠互相Ping 通。可通過臨時路由（無線路由器）接入公司內網，并能Ping 通公用服務器和外網（Internet）。

5）服務器區交換機

對連接到服務器區交換機采用STP 生成樹配置，提供鏈路冗余，結合VLAN 技術進行負載均衡。亦可以采用鏈路聚合技術，提供更高的帶寬，提升用戶對服務器區的訪問速度：

4.網絡測試結果

通過在模擬器上進行配置，實現了大型局域網結構的連通測試。各個VLAN 能夠Ping 通外網（Internet）和公用服務器，VLAN 之間不能互相Ping 通，只通過公用服務器實現日常辦公流轉。總公司和分公司通過VTP 實現VLAN 一致管理，同一個VLAN 內的計算機終端能夠互相Ping 通。可通過臨時路由（無線路由器）接入公司內網，并能Ping 通公用服務器和外網（Internet）。

優化策略

1.網絡地址轉換（NAT），是通過將局域網網絡地址轉換為公用地址，達到對外隱匿內部的IP 地址，使得整個局域網只需要一個外網IP地址就可以連接Internet，優點是從外部網絡無法發現內部網絡結構，從而降低了局域網絡受到攻擊的風險。

2.通過VLAN 劃分個業務區域地址段，減少不同業務系統的數據交流，避免出現廣播風暴，增加信息通信效率。隔離不同業務系統區域，避免非相關業務系統與終端交互，導致信息泄露。

3.建立DHCP 服務器用以分發網絡IP 地址，采用自動獲取的方式進行設置，便于網絡管理員可以通過服務器驗證IP 地址與其他參數配置，同時降低網絡資源占用。局域網內及特殊設備采用靜態IP 地址設置，使其不受租約限制，便于實時數據交互，和用戶管理。

4.基于端口進行VLAN劃分，減少終端配置，便于網絡擴容，設備增減。通過遠程端口配置實現設備和終端管理，降低網絡運維成本，便于遠程維護。

5.通過STP（Spanning-Tree Protocol）二層的鏈路管理協議提供鏈路冗余的同時防止網絡產生環路，與VLAN 配合實現鏈路負載均衡。每個VLAN.有自己的根網橋，每條VLAN 中繼鏈路只轉發所允許的VLAN 數據幀。

結語

本文從VLAN 技術出發，探索一個大型網絡規劃設計和構建方案，改善現有網絡結構設計不合理、網絡管理困難和網絡信息安全薄弱等問題，提供一個網絡搭建的通用方案，以及現有網絡優化措施，盡可能通過技術擺脫設備依賴，實現網絡性能、管理和安全防護提升。