【正文】 的部門或其地理分布位置等來劃分子網(wǎng)，在本設(shè)計(jì)方案中是根據(jù)部門來劃分子網(wǎng)的，劃分子網(wǎng)也就分割了廣播域。　劃分子網(wǎng)的目的:　 、 、 ？　　VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。 　　VLAN的組建需要一定的條件做基礎(chǔ)，VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時(shí)，需要路由的支持，這時(shí)就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來完成。 從技術(shù)及成本兩個(gè)層面考慮，選用支持VLAN的三層交換機(jī)比較適宜。　　VLAN在邏輯上等價(jià)于廣播域。更具體的說，將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理LAN上，但他們之間可以象在同一個(gè)LAN上那樣自收通信而不受物理位置的限制。網(wǎng)絡(luò)的定義和劃分與物理位置和物理連接是沒有任何必然聯(lián)系的。 VLAN劃分的幾點(diǎn)好處 　　a、有效的帶寬利用—通過將網(wǎng)絡(luò)分成小的廣播域或子網(wǎng)，VLAN解決了在大型“平”網(wǎng)絡(luò)中發(fā)現(xiàn)的擴(kuò)展性問題，將所有的數(shù)據(jù)流，包括廣播或多點(diǎn)廣播，都別限制在子網(wǎng)中。　　b、安全性—通過在VLAN間強(qiáng)迫進(jìn)行第三層路由選擇，VLAN提供了安全性。如果配置了VLAN間通訊，可以使用路由器傳統(tǒng)的安全和 功能。　　c、負(fù)載均衡多條通信—VLAN允許第三層路由選擇協(xié)議智能決定到達(dá)目的地的最佳路徑，當(dāng)有多條到達(dá)目的地的路徑時(shí)，還能夠進(jìn)行負(fù)載均衡。　　d、對故障組建的隔離—減少網(wǎng)絡(luò)故障的影響?！?設(shè)置VLAN的常用方法 　VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法： 　基于端口的VLAN劃分 　　這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。 　基于MAC地址的VLAN劃分 　　MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，前8位為廠商標(biāo)識(shí)，后4位為網(wǎng)卡標(biāo)識(shí)。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)?；诼酚傻腣LAN劃分 　 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。 　 本設(shè)計(jì)方案主要采用3種方式進(jìn)行劃分，將每個(gè)部門劃分為一個(gè)VLAN，總經(jīng)理室和行政部劃分到一個(gè)VLAN，生產(chǎn)車間和生產(chǎn)部劃分到一個(gè)VLAN，在匯聚層交換機(jī)CISCO3560上進(jìn)行端口配置，進(jìn)行VLAN劃分。 　　應(yīng)用路由設(shè)備對廣域網(wǎng)進(jìn)行連接，路由器選用Cisco公司的CISCO3825，帶內(nèi)置防火墻，用于對外來的數(shù)據(jù)進(jìn)行過濾，限制本地用戶登陸非法網(wǎng)站等等。支持VPN支持，可以通過幀中繼、電話撥號(hào)、ISDN等方式進(jìn)行聯(lián)網(wǎng)。路由協(xié)議考慮使用OSPF、RIP等路由協(xié)議。路由設(shè)備可通過廣域網(wǎng)遠(yuǎn)程配置及管理?！　LAN劃分解決了企業(yè)各個(gè)部門的網(wǎng)絡(luò)劃分，限制了廣播域，充分的利用了網(wǎng)絡(luò)資源，對企業(yè)網(wǎng)絡(luò)做進(jìn)一步配制，如對于路由器的訪問控制列表的簡單配置，可以控制流經(jīng)路由器的數(shù)據(jù)包，通過訪問控制列表的簡單配置可以簡單的實(shí)現(xiàn)防火墻的功能，對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行阻擋，對于從端口進(jìn)入的數(shù)據(jù)包，路由器先對其進(jìn)行訪問控制列表檢查，如符合拒絕條件的，則將數(shù)據(jù)包丟棄；如符合允許條件，在進(jìn)行路由進(jìn)程，在網(wǎng)絡(luò)中查找目的網(wǎng)絡(luò)地址，以決定如何處理該數(shù)據(jù)包?！　　?網(wǎng)絡(luò)安全控制及管理　　，根據(jù)系統(tǒng)的具體情況，部署防病毒、防火墻、訪問控制、黑客入侵檢測和VPN等系統(tǒng)，在最關(guān)鍵的部位保護(hù)最關(guān)鍵的資源?！　?，提供對服務(wù)器的強(qiáng)力安全防護(hù)?！　　⒎?wù)器、郵件系統(tǒng)的防毒產(chǎn)品，從而構(gòu)筑起病毒防御體系，有效的抵御和防范病毒的侵襲?！　。壕W(wǎng)關(guān)級(jí)過濾的作用是保護(hù)內(nèi)部的信息系統(tǒng)免受來自外部的惡意代碼的攻擊。它應(yīng)該處于防火墻的后面，用來進(jìn)一步控制外部對內(nèi)部的惡意訪問。網(wǎng)關(guān)級(jí)過濾機(jī)制包括網(wǎng)關(guān)級(jí)防病毒過濾、垃圾郵件和非法信息過濾、惡意代碼過濾。 第5章 具體實(shí)現(xiàn)，VLAN劃分 該企業(yè)每個(gè)部門分配一個(gè)C類網(wǎng)段，三個(gè)車間分配一個(gè)C類網(wǎng)段　 IP地址規(guī)劃表詳單： VLAN部門名稱IP網(wǎng)段 默認(rèn)網(wǎng)關(guān)說明Vlan10銷售部 青島Vlan11財(cái)務(wù)部Vlan20行政部Vlan30客服部Vlan31 技術(shù)部Vlan100服務(wù)器Vlan40財(cái)政部 上海Vlan50銷售部Vlan60行政部Vlan70客服部Vlan71技術(shù)部Vlan200服務(wù)器Vlan80車間1 深圳Vlan90車間2Vlan100研發(fā)部Vlan111采購部Vlan112行政部Vlan113財(cái)務(wù)部 一個(gè)性能優(yōu)良的網(wǎng)絡(luò)都應(yīng)該是一個(gè)分層的設(shè)計(jì)。這樣不但簡化了交換網(wǎng)絡(luò)的設(shè)計(jì)，同時(shí)也提高了交換網(wǎng)絡(luò)的可靠性和可擴(kuò)展性，我們一般將其分為三層設(shè)計(jì)模型。分別是接入層，核心層。因該公司分為青島、上海、深圳三個(gè)基地配置基本相同，下面我們將以青島總公司的網(wǎng)絡(luò)設(shè)備配置和管理為例進(jìn)行論述。　 接入層交換機(jī)是為所有的終端用戶提供一個(gè)接入點(diǎn)。我們采用的是Cisco WSC295024交換機(jī)擁有24個(gè)10/100M的自適應(yīng)快速以太網(wǎng)端口，這里我們有4臺(tái)接入層交換機(jī)。接下來我們將以其中一臺(tái)接入層交換機(jī)（QSW1）進(jìn)行配置作為示例。進(jìn)入交換機(jī)的配置界面（CLI）我們一般常采用的有兩種方法：1． 利用反轉(zhuǎn)線直接和交換機(jī)的控制端口相連2． 遠(yuǎn)程登錄 我們主要進(jìn)行如下一些配置：1. 設(shè)置交換機(jī)的名稱 Switch(config)hostname QSW1 QSW1(config)2. 設(shè)置交換機(jī)密碼QSW1config)enable secret cisco3. 設(shè)置登陸虛擬終端QSW1(config)line vty 0 15QSW1(configline)loginQSW1(configline)password cisco4. 設(shè)置虛擬終端超時(shí)時(shí)間QSW1(config)line vty 0 15QSW1configline)exectimeout 5 305. 設(shè)置控制臺(tái)終端超時(shí)時(shí)間QSW1(config)line con 0QSW1(configline)password ciscoQSW1(configline)loginQSW1(configline)exectimeout 5 306. 禁用IP地址解析特性當(dāng)我們向交換機(jī)輸入一條錯(cuò)誤的指令的時(shí)候，交換機(jī)就會(huì)將該信息廣播給網(wǎng)絡(luò)上的DNS服務(wù)器，并試圖把它解析成IP地址。QSW1config)no ip domainlookup7. 啟用消息同步特性為了防止我們向交換機(jī)輸入的指令被交換機(jī)產(chǎn)生的信息打亂。我們啟用消息同步特性。QSW1(config)logging synchronous，必須給交換機(jī)設(shè)置一個(gè)管理用的IP地址。這種情況下，實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)。而