XXX学院 利用VLAN技术为企业开创网络管理新时代
第二章 VLAN与企业网络管理的设计与分析
2.1 网络架构分析
现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个办公室(区)的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而企业网络在分层布线主要采用树型结构;每个办公室(区)的计算机连接到部门的集线器或交换机,然后每部门的集线器或交换机在连接到企业中心机房中的交换机或路由器,各个分公司的交换机或路由器再连接到企业的主干通信网中,由此构成了企业甚至集团的网络拓扑结构。
该企业网络案例采用的是星形的网络拓扑结构,骨干网为1000M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个企业网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性,在文中我们选择选择热路由备份可以有效地提高核心交换的可靠性。
2.2 设计思路
进行企业网络VLAN的总体设计,首先要进行对象研究和需求调查,明确企业的性质、任务和改革发展的特点及系统建设的需求和条件,对企业的信息化环境进行准确的描述;其次,在应用需求分析的基础上,确定企业Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定VLAN结构和功能,根据应用需求建设目标和企业主要建筑和部门的分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划企业网络建设的实施步骤。
企业网络VLAN总体设计方案的科学性,应该体现在能否满足以下基本要求方面:
(1)整体规划安排;
(2)先进性、开放性和标准化相结合; (3)结构合理,便于维护; (4)高效实用;
(5)支持宽带多媒体业务;
(6)能够实现快速信息交流、协同工作和形象展示。
2.3 拓扑结构分析
要为企业网络管理系统地和合理的设计VLAN,就要充分的对企业的网络拓扑结构进行分析,从而得出最佳的VLAN设计方案。
案例企业的网络拓扑图如下:
第 3 页 共 21 页
XXX学院 利用VLAN技术为企业开创网络管理新时代
从图中我们可以看到:
案例企业的网络是由总公司和分公司下属的若干台工作计算机组成;在总公司和分公司各架设有DHCP、DNS、FTP和WEB服务器;在总公司的工作组中,涉及到了无线VLAN的设置;总公司的下属工作计算机比较多,必须采用更多接入层交换机来细化工作组计算机的工作效率和2级节点交换机的工作效率;对于到Internet的连接,接口为2MB DDN专线接入,各二级单位通过公司总部的Proxy接入Internet。Internet的管理由公司总部信息中心统一规划。
在这里需要注意的是: 1、企业的网络系统的VLAN的划分是作为一个整体结构来设计的,所以为了保持VLAN列表的一致性,例如当二级单位1的VLAN有所变化时,VLAN列表也会有所变化,这时就需要该Catalyst 4006对整体网络的其他部分进行广播,以达到VLAN的列表的一致性。所以在设置VTP(VLAN Trunk Protocol)时要注意,要将VTP的域作为一个整体,即:VTP类型分别为Server和Client。
2、企业建网较早,所选用的网络设备为其他的厂商的产品,而后期的产品又不能与前期统一,这样在VLAN的划分中就会遇到些问题。例如:在Cisco产品与3Hexing产品的混合网络结构中划分VLAN,对于Cisco网络设备的Trunk的封装协议则必须采用802.1Q,以达到与3Hexing的通讯。虽然两者之间可以建立VLAN的正常划分,和正常的应用,但由于交换机都具有自学习的能力,以致两者之间的协调配合较差。当两者之间的连接发生变化时,必须在上使用命令(clear counter)进行清除,方可达到两者的重新协调工作。
2.4 设备选型
该案例中的企业网络系统由三部分组成:公司、二级单位1、二级单位2,初始为三部分各自独立,未形成统一的网络环境,故各网络系统的运行采用的是以交换技术为主的方式。
案例企业的主干网络均采用的是技术,起点的高定位为企业的信息应用带来了高速、稳
第 4 页 共 21 页
XXX学院 利用VLAN技术为企业开创网络管理新时代
定、符合国际标准的网络平台。公司中心交换机采用的是的Cisco Catalyst 6506,带有三层路由的引擎使得企业网具有将来升级的能力;同时各二级单位的中心交换机采用的亦是Cisco的Catalyst 4006;其2级节点和边缘交换机采用的也是Cisco Catalyst 3548。各二级、三级交换机则采用的是Cisco的Catalyst 3500系列,主要因为Cisco Catalyst 3500系列交换机的高性能和可堆叠能力。公司总部与各二级附属单位的连接采用了ISL封装的Trunk方式,用2组光纤连接(在Catalyst 6506与Catalyst 4006之间),这样既解决了VLAN间的互联问题,同时又提高了网络带宽和系统的冗余,为子网互联提供了可靠保障。
第 5 页 共 21 页
XXX学院 利用VLAN技术为企业开创网络管理新时代
第三章 VLAN的具体配置与应用
3.1 VLAN的划分原则
VLAN的划分的有四种策略,分别是: ①基于端口的VLAN 基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。②基于MAC地址的VLAN MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。③基于路由的VLAN 路由协议工作在七层协议的第三层:网络层,即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。④基于策略的VLAN 基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。
就本案例来说,对于VLAN的划分主要采用1、3两种模式,对于方案2则为辅助性的方案。
VLAN的划分设计之后,再所涉及的就是VLAN划分的最后一步:VLAN间的互连。在以前对VLAN的划分主要是通过路由器来实现的,但随着网络规模的扩大、信息量的增加,路由器无论是从端口数还是系统性能上来说都已经不堪负荷,因此逐渐形成了产生网络瓶颈的主要原因。
而现在,因为有了基于交换机上的三层路由的能力,在上述两点已经得到合理地解决。对于Cisco的产品划分,VLAN主要是基于两种标准协议:ISL和802.1Q。在我们这里,因为所采用的均是Cisco的网络设备,故在进行VLAN间的互连时采用ISL的协议封装,该协议针对Cisco网络设备的硬件平台在信息流的处理、多媒体应用的优化进行了合理有效的优化。
由于本案例中关于VLAN的划分扩展了各个交换机,所以交换机之间的连接都必须采用Trunk的方式。供销子网和售后子网代表了VLAN划分中的两种问题——扩展交换机VLAN的划分和端口VLAN的划分:在经理办虚网中,对于一个交换机扩展多个VLAN的时候,前面提到了该交换机与其上层交换机间必须采用Trunk方式连接,但在供销的虚拟网划分中,在二级单位1中的供销独立于一个LAN交换机Catalyst3548,所以在这里,Catalyst3548与二级中心交换机Catalyst4006只需采用正常的交换式连接即可,对于此部分供销VLAN的划分,只要在Catalyst4006上针对与Catalyst3548连接的端口进行划分即可。也就是前面提到的基于端口的VLAN的划分。
3.2 VLAN的划分策略
案例企业下属部门多,业务种类多,根据业务发展需要,经过认真规划,将联网后的统一网络划分为30个VLAN。划分原则为:企业本部以楼层为单位进行VLAN 划分,各下属部门以业务的不同来划分VLAN,不同的VLAN具有不同的安全级别。其中生产用机及各种服务器所在的VLAN 具有的安全级别较高。同时利用Cisco 6509自身的访问控制功能,设置访问列表对特定的VLAN用户进行保护,对特定的端口 135、445、1434等进行控制,
第 6 页 共 21 页
