【文章內(nèi)容簡介】 IP 地址分配（ DHCP）的最大優(yōu)點是客戶端網(wǎng)絡(luò)的配置非常簡單，在沒有管理員的幫助和干預(yù)的情況下，用 戶自己便可以對網(wǎng)絡(luò)進(jìn)行連接設(shè)置。但是，因為 IP 地址是動態(tài)分配的，網(wǎng)管員不能從 IP 地址上鑒定客戶的身份，相應(yīng)的 IP 層管理將失去作用。而且使用動態(tài) IP 地址分配需要設(shè)置額外 DHCP 服務(wù)器。使用靜態(tài) IP 地址分配可以對各部門進(jìn)行合理的 IP 地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對網(wǎng)卡 MAC 地址的管理，網(wǎng)絡(luò)就會具有更好的可管理性。但如果網(wǎng)絡(luò)規(guī)模較大，則 IP 地址管理的工作量就相當(dāng)大。綜合以上考慮， 由于該企業(yè) 的規(guī)模不是很大，因此從網(wǎng) 絡(luò)安全的角度出發(fā)，采用靜態(tài)地址分配的方法。并結(jié)合核 心交換機(jī)的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強(qiáng)了網(wǎng)絡(luò)的安全性。 但當(dāng)隨著 以后企業(yè)規(guī)模的不斷擴(kuò)大發(fā)展 ，整個網(wǎng)絡(luò)信息的規(guī)模不斷擴(kuò)大，則可以考慮采用 DHCP 動態(tài) IP 地址分配的方案，設(shè)立專門的 DHCP 服務(wù)器進(jìn)行動態(tài) IP 地址分配。同樣可以基于中心交換機(jī)的 VLAN 功能進(jìn)行配置，劃分網(wǎng)段，根據(jù)各個二級單位信息點所在的網(wǎng)段進(jìn)行動態(tài)地址分配 。 VLSM的子網(wǎng)劃分 該企業(yè)總公司有 193 人，分公司有 99 人。如果分別把各自所有的主機(jī)放到一個子網(wǎng)里，對企業(yè)的安全性管 理極為不利，而且如果有站點更新（計算機(jī)的配置調(diào)整或增減計算機(jī)）或發(fā)生故障，大量的廣播數(shù)據(jù)會嚴(yán)重影響網(wǎng)絡(luò)的整體性能。因此必須對這些主機(jī)進(jìn)行子網(wǎng)劃分控制廣播域的規(guī)模。 VLSM(Variable Length Sub masks)變長子網(wǎng)掩碼 ， 是在標(biāo)準(zhǔn)的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡(luò)號碼 ， 不同子網(wǎng)的子網(wǎng) 掩碼可能有不同的長度，但一旦子網(wǎng)掩碼的長度確定了，它們就不變了， 這個技術(shù)對于高效分配 IP 地址 。 由于該企業(yè)人數(shù)不多，如果給每個子網(wǎng)分配一個 C 類地址，就會造成 IP 地址的浪費，所以 要 采用可變長子網(wǎng)掩碼技術(shù)對該企業(yè)局 域網(wǎng)進(jìn)行子網(wǎng)劃分 。 該企業(yè)的子網(wǎng)是按照部門來劃分的，基于可擴(kuò)展性的原則，除了滿足每個部門都能分到足夠的 IP地址外，還要為以后的人事調(diào)動、部門擴(kuò)展等留有冗余的 IP，否則可能會由于一些很小的人事變化就得重新劃分子網(wǎng)。 考慮到總公司與分公司之間要通過 VPN 技術(shù)遠(yuǎn)程互聯(lián)，所以總公司與分公司的內(nèi)網(wǎng) IP 不能有重復(fù)。 總公司子網(wǎng)劃分 部門 子網(wǎng)網(wǎng)絡(luò)號 子網(wǎng)掩碼 網(wǎng)關(guān) 開發(fā)部 工程部 業(yè)務(wù)部 人事部 商務(wù)部 財務(wù)部 信息中心 經(jīng)理 部 分公司子網(wǎng)劃分 部門 子網(wǎng)網(wǎng)絡(luò)號 子網(wǎng)掩碼 網(wǎng)關(guān) 開發(fā)部 工程部 業(yè)務(wù)部 人事部 商務(wù)部 財務(wù)部 信息中心 經(jīng)理部 規(guī)劃 VLAN（ Virtual Local Area Network）即虛擬局域網(wǎng)，是一 種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。 IEEE于 1999 年頒布了用以標(biāo)準(zhǔn)化 VLAN 實現(xiàn)方案的 協(xié)議標(biāo)準(zhǔn)草案。 VLAN 技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的 LAN 邏輯地劃分成不同的廣播域（或稱虛擬 LAN，即 VLAN），每一個 VLAN 都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的 LAN 有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN 內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理 LAN 網(wǎng)段。一個 VLAN 內(nèi) 部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他 VLAN 中，即使是兩臺計算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的 VLAN 號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā) ,從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了 VLAN 頭，用 VLAN ID 把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。 我們已經(jīng)為該企業(yè)劃分了子網(wǎng)，不同的部 門在不同的子網(wǎng)里，子網(wǎng)與子網(wǎng)之間不能訪問，也控制了廣播域太大的問題。這樣看來好像不必要再劃分 VLAN 了，其實不然，因為這樣只作子網(wǎng)劃分是存在安全性問題的。局域網(wǎng)內(nèi)的任何用戶只要稍微修 改一下 IP 與子網(wǎng)掩碼就可以訪問到該企業(yè)的任何部門了。所以，我們必須在交換機(jī)上劃分好 VLAN，這樣， 只要加強(qiáng)對交換機(jī)的保護(hù)，不讓一般員工改變交換機(jī)的配置，就算 他們 更改 自己電腦的 IP 和子網(wǎng)掩碼也 無法訪問到其它部門了 。 VLAN 有幾種不同的劃分方法： VLAN。 MAC 地址劃分VLAN。 VLAN。 IP 組播劃分 VLAN。 該企業(yè)的 VLAN 我們采取根據(jù)端口來劃分，這種劃分方式是現(xiàn)在最常用的。只要把同一個部門的端口全部劃分進(jìn)同一個 VLAN 就行了，而且還可以進(jìn)行跨交換機(jī)的端口 VLAN 劃分，也就是說不同交換機(jī)上的端口也可以在同一個 VLAN 里，這樣 VLAN 的劃分就不必要受到物理空間的限制，具有很好的靈活性 。 今后如果有人事調(diào)動或者 部門 擴(kuò)充 ，只要在交換機(jī)上作相應(yīng)的配置就可以了。 處理 VLAN 時，交換機(jī)端口 支持兩種連接類型：接入鏈路（ access link）與中繼（ trunk）。接入鏈路連接只能與單個 VLAN 相關(guān)，任何連接到該端口的任何設(shè)備將會在相同的廣播域中。與接入鏈路不同，中繼連接能為多個 VLAN 傳送流量。中繼鏈路一般在特點的設(shè)備之間，包括交換機(jī)到交換機(jī)，交換機(jī)到路由器，交換機(jī)到文件服務(wù)器等。 在該企業(yè)的 VLAN 端口配置中，各接入層的二層交換機(jī)與核心層的三層交換機(jī)之間的鏈路要配置成 trunk 鏈路 ， 其他端口配置成 access 鏈路， 這樣 VLAN 信息就可以在各二層交換機(jī)之間傳遞，不同交換機(jī)但是同一個 VLAN 的用戶就可以相互訪問了。 VLAN 部分配置摘錄： switch1(config)vlan 10 創(chuàng)建一個 vlan（開發(fā)部） switch1(configvlan)name kaifabu 為此 vlan 取名 switch1(configvlan)exit switch1(config)int fa0/1 進(jìn)入一個快速以太端口配置 switch1(configif)switchport mode access 把該接口配置為 access 鏈路 switch1(configif)switchport access vlan 1 把該端口加入 vlan1 switch1(configif)exit switch1(config)int gig 2/1 進(jìn)入千兆端口 switch1(configi}switch mode trunk 把該端口配置為 trunk 鏈路 與 鏈路聚合 的應(yīng)用 傳統(tǒng)的以太網(wǎng)交換機(jī)工作在 OSI 模型的第二層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點 的 MAC 地址時被識別。傳統(tǒng)局域網(wǎng)交換機(jī)只在介質(zhì)訪問層（ mac）處理數(shù)據(jù)包。它可理解網(wǎng)絡(luò)協(xié)議的第二層如 MAC 地址等。交換機(jī)在操作過程中不斷的收集資料去建立它本身的地址表，當(dāng)交換機(jī)接收到一個數(shù)據(jù)包時，它會檢查該包的目的 MAC 地址，核對一下自己的地址表以決定從哪個端口發(fā)送出去。這個工作用 ASIC（專用集成電路）芯片來做速度是非?？斓?，但同時由于它不察看數(shù)據(jù)包里的更多的內(nèi)容，所以無法作出有關(guān)策略方面的判斷，對數(shù)據(jù)流的控制能力不強(qiáng)。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的網(wǎng)絡(luò) 地址時被識別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時路由器存在價格高等方面缺點。這種狀況促使業(yè)界不得不去尋找一種新的方法 ,產(chǎn)生了“升級”技術(shù)──第三層交換技術(shù)。 第三層交換技術(shù)正是為了解決傳統(tǒng)交換技術(shù)和路由器的缺陷而出現(xiàn)的，三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，第三層交換具有以下特征： 1) 執(zhí)行路由處理 2) 轉(zhuǎn)發(fā)基于第三層的業(yè)務(wù)流 3) 完成交換功能 4) 可以完成特殊服務(wù)，如報文過濾或訪問控制 該企業(yè)各部門處于不同的 VLAN 中， 某些部門之間是需要互相訪問的，如果用傳統(tǒng)的路由器來完成 VLAN 間互訪，所有跨 VLAN 的數(shù)據(jù)必須通過路由器轉(zhuǎn)發(fā)，路由的高延遲會引來用戶對網(wǎng)絡(luò)速度的抱怨， 不使用三層交換技術(shù)的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴(kuò)大部門間的流量會更加增多，到時可能又要投入更多資金 更換更貴的路由器，這不符合企業(yè)網(wǎng)絡(luò)設(shè)計的可擴(kuò)展性原則。 在 該企業(yè)的網(wǎng)絡(luò)核心層使用三層交換機(jī)， 大大增快了網(wǎng)絡(luò)的速度，充分利用了現(xiàn)有資源，降低了網(wǎng)絡(luò)成本，增加了網(wǎng)絡(luò)的可擴(kuò)展性。而且，三層交換機(jī)還可以實現(xiàn)部分安全機(jī)制，它的 訪問列表的功能，可以實現(xiàn)不同 VLAN 間的單向或雙向通訊。 就像該企業(yè)的財務(wù)部，它既沒有必要訪問別的部門，出于安全考慮別的部門也不能訪問財務(wù)部。而經(jīng)理室應(yīng)該可以訪問所有的部門，但是別的部門是不可以訪問他的??基于這些不同的訪問需求，可在三層交換機(jī)上配置 ACL 語句加以限制。 該企業(yè)的三層交換機(jī)位于整個局域網(wǎng)的核心部分， 企業(yè)上網(wǎng)的流量、 VLAN 間的流量、 VPN 產(chǎn)生的流量全部都要經(jīng)過核心三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，所以核心交換機(jī)的速 度與穩(wěn)定性非常重要。 冗余鏈路 是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。目前的技術(shù)中，以鏈路聚合（ Link Aggregation）技術(shù)應(yīng)用最為廣泛。 鏈路聚合技 術(shù)亦稱主干技術(shù)（ Trunking）或捆綁技術(shù)（ Bonding），其實質(zhì)是將兩臺設(shè)備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路， 簡單地說就是把多個端口綁定成一個虛擬端口。采用鏈路聚合可以 提高數(shù)據(jù)鏈路的帶寬，捆綁起來的鏈路的帶寬相當(dāng)于物理鏈路帶寬之和 。鏈路聚合中，成員互相動態(tài)備份，當(dāng)某一鏈路中斷時，其它成員能夠迅速接替其工作，這樣就很好的保障了整個網(wǎng)絡(luò)的穩(wěn)定性。 三層交換 部分配置摘錄： switch1(config)ip routing 啟用交換 機(jī)上的 IP 路由功能 switch1(config)router rip 指