【文章內(nèi)容簡介】 的一個控制點，它由軟件進(jìn)行管理，所以允許用戶利用軟件功能靈活地配置資源，管理網(wǎng)絡(luò)。利用交換設(shè)備中的虛網(wǎng)功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新配置網(wǎng)絡(luò)。采用虛網(wǎng)功能，網(wǎng)絡(luò)性能可以獲得較大的改善： ，有效地分割通信量，因而能更好地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。 ，因為虛網(wǎng)技術(shù)是從華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 13 頁, 共 49 頁邏輯角度而非物理角度來劃分子網(wǎng)的，所以采用虛網(wǎng)技術(shù)能減輕系統(tǒng)的擴(kuò)容壓力，將遷移費用降至最小。 ，增加網(wǎng)絡(luò)的安全性和保密性。虛擬網(wǎng)絡(luò)的安全策略采用的主要協(xié)議為 ，此協(xié)議結(jié)合有鑒別和加密技術(shù)以確保整個網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。 ，但與傳統(tǒng)的局域網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，從而節(jié)省網(wǎng)絡(luò)帶寬。，用封裝的辦法支法支持不同的網(wǎng)絡(luò)協(xié)議絡(luò)協(xié)議，如SNMP、NMP、IPX、TCP//IP 、 等，兼容性非常好性非常好?！疤摼W(wǎng)中繼” ，VLAN Trunking 特有技術(shù)的采用也成成為了必然。必然。簡而言之，VLAN Trunking 主要是通過一條高速全雙工通道(200Mbps)來)來實現(xiàn)將將一個 LAN Switch 端口所劃分的不同 VLAN 與其它 LAN Switch 中各自相應(yīng)的 VLAN 成員進(jìn)行線路復(fù)用連接的技術(shù)。VLAN Trunking 技術(shù)的采用，既節(jié)省了信道數(shù)據(jù)量，又提高了可靠性，并便于管理及方便連接，提高了整個網(wǎng)絡(luò)吞吐量和性能指標(biāo)。其原理如下圖所示：V1V2V3 V4V1V2V4 V1V1V2V320MbpsBandwith20MbpsBandwithVLAN 1to VLAN 4VLAN 2to VLAN 2 VLAN Trunkig 技如果采用 VLAN trunking 的技術(shù)，則 VV2 、V3 均可通過一條全雙工的 100Mbps，即 200Mbps 的速率與上級 LAN Switch 進(jìn)行互通并經(jīng)過位于樹根部的路由器進(jìn)行路由與其它的 VLAN 進(jìn)行通訊。VLAN 華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 14 頁, 共 49 頁trunking 技術(shù)的優(yōu)點在于采用一條高速通道連接，提高了通道的使用效率，如在，如在 V2，V3 無數(shù)據(jù)量的情況下，V1 可以獨占此 100M 帶寬；并且可以使得線路的連接變得簡單，從而大大提高可靠性與易維護(hù)性。 劃分 VLAN 的方法作為一個大型企業(yè)集團(tuán)，為方便管理和維護(hù)，交換機(jī)必須要求支持靈活的VLAN劃分，華三公司的 VLAN，還能實現(xiàn)端口之間的隔離。我們可以使用S3100EI支持的PVLAN（primaryvlan）這個特性，一方面實現(xiàn)用戶之間的隔離，另一方面可以為三層交換機(jī)節(jié)省VLAN資源。S3100EI可以屏蔽下面的VLAN 劃分，僅向三層交換機(jī)提供一個VLAN信息， 在邊緣交換機(jī)實現(xiàn)了端口可以同時屬于多個 Vlan；如圖所示：其中端口1為uplink端口，端口2，3，4為接入端口； Vlan 1： 包 含 端 口 ： 1， 2， 3， 4， 5 Vlan 2： 包 含 端 口 ： 1， 2 Vlan 3： 包 含 端 口 ： 1， 3， 4 Vlan 4： 包 含 端 口 ： 1， 5 2451vlan 1vlan 3vlan 2 43設(shè) 計 中 采 用 了 幾 個 secondary VLAN包 含 在 一 個 primary VLAN中 的 方 式 ， 給 用 戶 提 供 了 靈 活 的 配 置方 式 。 如 果 用 戶 希 望 實 現(xiàn) 二 層 報 文 的 隔 離 ， 可 以 采 用 了 為 每 個 用 戶 分 配 一 個 secondary vlan的 方 式 ， 每個 VLAN中 只 包 含 用 戶 連 接 的 port和 uplink port； 如 果 希 望 實 現(xiàn) 用 戶 之 間 二 層 報 文 的 互 通 ， 可 以 將 用 戶連 接 的 端 口 劃 入 同 一 個 VLAN中 ； 同 時 創(chuàng) 建 primary VLAN， 該 vlan包 含 所 有 secondary VLAN中 包 含 的端 口 和 uplink端 口 ， 這 樣 對 上 層 交 換 機(jī) 來 說 ， 可 以 認(rèn) 為 下 層 交 換 機(jī) 中 只 有 一 個 primary VLAN， 用 來 標(biāo)識 設(shè) 備 ， 而 不 必 關(guān) 心 primary VLAN中 的 端 口 實 際 所 屬 的 VLAN， 簡 化 了 配 置 ， 節(jié) 省 了 VLAN資 源 。primary VLAN中 的 所 有 端 口 都 是 不 是 trunk端 口 ， 包 括 與 其 它 交 換 機(jī) 相 連 的 uplink口 。 每個 port的 PVID就 是 它 所 屬 secondary vlan的 ID； uplink端 口 的 PVID是 primary VLAN的 ID；華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 15 頁, 共 49 頁如下圖所示： 200。253。178。227。189。187。182。254。178。227。189。187。202。208。179。161。178。191。VLAN10185。220。192。237。178。191。VLAN20PVLA30VLAN30這樣 VLAN 10 和 VLAN 20 內(nèi)的用戶屬于一個網(wǎng)段，分屬不同的 VLAN，在三層交換機(jī)上僅僅需要創(chuàng)建 VLAN 30，它認(rèn)為二層交換機(jī)上面僅僅只有一個 VLAN 30，在二層交換機(jī)上配置 VLAN 30 為 PVLAN，包含從 VLAN 10 和 VLAN 20，它們對三層交換機(jī)來說是不可見的。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動態(tài)的。靜態(tài)VLAN：形成靜態(tài)VLAN過程是將端口強(qiáng)制性地分配給VLAN的過程。確定哪些端口屬于哪些特定的VLAN，然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的一種最通用的方法。動態(tài)VLAN：建議使用華三公司的 實現(xiàn)動態(tài) VLAN 功能。我們知道，VLAN 常常被規(guī)劃用于對“資源訪問權(quán)限” 的分組，不同的 VLAN 具有不同的訪問權(quán)限，每個 VLAN 內(nèi)有一個 IP 地址網(wǎng)段，不同的 VLAN/IP 地址段的用戶，具有不同的訪問資源的權(quán)限。用戶權(quán)限數(shù)據(jù)一般存儲在 CAMS（后臺綜合訪問管理服務(wù)器）中，CAMS 根據(jù)用戶端的權(quán)限歸類，在認(rèn)證通過之后向二層交換機(jī)作動態(tài)的 VLAN ID 下發(fā)配置。此時，二層交換機(jī)要支持 VLAN 的動態(tài)配置功能（華三全系列交換機(jī)支持） 。 具體 VLAN 規(guī)劃在重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)建設(shè)中，首先，必須實現(xiàn)不同部門網(wǎng)絡(luò)之間的互相割離。通常按照具體部華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 16 頁, 共 49 頁門之間進(jìn)行劃分。本次項目獎建議使用此種劃分方法。我們建議使用 VLAN 技術(shù)，同時在核心交換機(jī)上配合使用訪問控制列表實現(xiàn)不同部門之間的隔離。我們建議每個部門作為一個獨立的 VLAN，部門內(nèi)部可以使用 P－VLAN 的功能，再進(jìn)一步進(jìn)行隔離。從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，我們建議在進(jìn)行具體 VLAN 規(guī)劃時，同一個廣播域內(nèi)（一個 VLAN）的通信主機(jī)不要超過 50 臺，最好控制在 30 臺以內(nèi)，對于主機(jī)數(shù)量超過 50 的業(yè)務(wù)部門，我們通過二層隔離，三層交換的方式來解決。對于服務(wù)器建議單獨設(shè)置在一個 VLAN 中。如果不同部門的人員之間需要實現(xiàn)互訪，則只需要在核心交換機(jī) S9512 上放開訪問控制列表就可以了。對于集團(tuán)公司高層，需要能夠訪問各個部門資源，對于此類用戶，我們只需在核心交換機(jī)上，不對其設(shè)置任何訪問控制列表就可以了。總之，任何訪問控制要求，均可以通過訪問控制列表的方式實現(xiàn)。為避免混亂及出錯，應(yīng)對網(wǎng)絡(luò)中的 Vlan ID 統(tǒng)一規(guī)劃，禁止出現(xiàn)網(wǎng)中的 ID 相同而又不在同一個 Vlan中的情形。另外，由于 協(xié)議支持至多 4096 個 Vlan ID，按部門劃分 Vlan ID 可以為以后管理帶來很大的方便，比如一看 Vlan ID 即知是哪個部門的用戶。建議 Vlan ID 采用如下分配原則：（1） 、Vlan1 保留使用（2） 、為方便管理，建議按地理區(qū)域或分支機(jī)構(gòu)劃分一段連續(xù)的 Vlan ID。（3） 、VLAN ID 的分配按照每個部門占用一個 VLAN ID 的方式，該 VLAN ID 必須保證全網(wǎng)統(tǒng)一規(guī)劃，不允許重復(fù)。（4） 、部門內(nèi)部在使用 P－VLAN 技術(shù)隔離不同員工時，該 VLAN ID 不需要統(tǒng)一規(guī)劃，但必須保證在同一臺交換機(jī)上，P－VLAN ID 不重復(fù)。 IP 地址分配原則IP 地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型計算機(jī)網(wǎng)絡(luò)必須對 IP 地址進(jìn)行統(tǒng)一規(guī)劃并得到實施。IP 地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 17 頁, 共 49 頁IP地 址 的 合 理 分 配 是 保 證 網(wǎng) 絡(luò) 順 利 運(yùn) 行 和 網(wǎng) 絡(luò) 資 源 有 效 利 用 的 關(guān) 鍵 。 對 于 本 期 IP地 址 的 分 配 應(yīng) 該盡 可 能 地 利 用 申 請 到 的 地 址 空 間 ， 充 分 考 慮 到 地 址 空 間 的 合 理 使 用 ， 保 證 實 現(xiàn) 最 佳 的 網(wǎng) 絡(luò) 內(nèi) 地 址 分 配 及業(yè) 務(wù) 流 量 的 均 勻 分 布 。IP地 址 的 分 配 和 網(wǎng) 絡(luò) 組 織 、 路 由 策 略 以 及 網(wǎng) 絡(luò) 管 理 等 都 有 密 切 的 關(guān) 系 ， 具 體 的 IP地 址 分 配 將 通 常在 工 程 實 施 時 統(tǒng) 一 規(guī) 劃 實 施 ， 這 里 主 要 描 述 IP地 址 分 配 的 原 則 。主 要 的 原 則 描 述 為 ：? IP 地 址 分 配 要 盡 量 給 每 個 分 支 機(jī) 構(gòu) 分 配 連 續(xù) 的 IP 地 址 空 間 ； 在 每 個 分 支 機(jī) 構(gòu) 網(wǎng) 中 ， 相 同 的 業(yè)務(wù) 和 功 能 盡 量 分 配 連 續(xù) 的 IP 地 址 空 間 ， 有 利 于 路 由 聚 合 以 及 安 全 控 制 ；? IP 地 址 的 規(guī) 劃 與 劃 分 應(yīng) 該 考 慮 到 個 分 支 機(jī) 構(gòu) 的 發(fā) 展 ， 能 夠 滿 足 未 來 發(fā) 展 的 需 要 ； 即 要 滿 足 本期 工 程 對 IP 地 址 的 需 求 ， 同 時 要 充 分 考 慮 未 來 業(yè) 務(wù) 發(fā) 展 ， 預(yù) 留 相 應(yīng) 的 地 址 段 ；? 地 址 分 配 是 由 業(yè) 務(wù) 驅(qū) 動 ， 按 照 業(yè) 務(wù) 量 的 大 小 分 配 各 地 的 地 址 段 ；? IP 地 址 的 分 配 必 須 采 用 VLSM(變 長 掩 碼 )技 術(shù) ， 保 證 IP 地 址 的 利 用 效 率 ；? 采 用 CIDR 技 術(shù) ， 這 樣 可 以 減 小 路 由 器 路 由 表 的 大 小 ， 加 快 路 由 器 路 由 的 收 斂 速 度 ， 也 可 以 減小 網(wǎng) 絡(luò) 中 廣 播 的 路 由 信 息 的 大 小 ；? 在 公 有 地 址 有 保 證 的 前 提 下 ， 盡 量 使 用 公 有 地 址 ， 主 要 包 括 設(shè) 備 loopback 地 址 、 設(shè) 備 間 互 連地 址 。? 充 分 合 理 利 用 已 申 請 的 地 址 空 間 ， 提 高 地 址 的 利 用 效 率 。IP 地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一部分，即 IP 地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP 地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。 本次工程 IP 地址分配IP 地址規(guī)劃應(yīng)該包括兩部分，外部地址和內(nèi)部地址的規(guī)劃，外部地址就是 Internent 上的公有地址，一般在申請的時候，電信會分配給若干個公有 IP 地址，由于外部地址我們使用電信分配的地址，所以我們先討論主要部分，內(nèi)部地址的分配。內(nèi)部 IP 地址應(yīng)該本著易管理、易分配、易理解等原則來進(jìn)行分配，由于我們規(guī)劃的是內(nèi)部地址，所華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 18 頁, 共 49 頁以應(yīng)該使用私有地址去規(guī)劃。RFC1918 中定義的非 Inter 連接的網(wǎng)絡(luò)地址，稱為“專用 Inter 地址分配” 。RFC1918 規(guī)定了不想連入 Inter 的 IP 地址分配指導(dǎo)原則。由 Inter 地址授權(quán)機(jī)構(gòu)(IANA)控制 IP 地址分配方案中，留出了三類網(wǎng)絡(luò)號，給不連到 Inter 上的專用網(wǎng)用，分別用于 A，B 和 C 類 IP 網(wǎng)，具體如下：～～～由于重慶翰華擔(dān)保集團(tuán)內(nèi)部的用戶數(shù)量很多，我們建議采用 ～ 這個 C類私有地址，子網(wǎng)掩碼 24 位，即 ，支持 254 個網(wǎng)段，每網(wǎng)段支持 254 個主機(jī)地址。在前面的 VLAN 規(guī)劃中，我們建議每個部門使用一個 VLAN，在進(jìn)行 IP 地址規(guī)劃時，需要和 VLAN 規(guī)劃結(jié)合其他，使每個 VLAN 占用一個獨立的網(wǎng)段。考慮到內(nèi)部每個部門的信息點數(shù)不會超過 254 個信息點，因此，我們建議給每個部門分配一個 C 的IP 地址，即使用 作為掩碼，每個網(wǎng)段可以支持 254 個主機(jī)。例如 這個網(wǎng)段，采用 這個子網(wǎng)掩碼，劃分的網(wǎng)段主機(jī)如下：－網(wǎng)絡(luò)地址：廣播地址：網(wǎng)絡(luò)地址：廣播地址：網(wǎng)絡(luò)地址：廣播地址：．0網(wǎng)絡(luò)地址：廣播地址：這種劃分方法比較容易管理，也很便于網(wǎng)管人員理解，每個網(wǎng)段支持 254 臺主機(jī)，符合 Vlan 劃分的原則。 在具體進(jìn)行 IP 地址規(guī)劃時，建議將 這個網(wǎng)段留出