【文章內(nèi)容簡(jiǎn)介】 的一個(gè)控制點(diǎn)，它由軟件進(jìn)行管理，所以允許用戶(hù)利用軟件功能靈活地配置資源，管理網(wǎng)絡(luò)。利用交換設(shè)備中的虛網(wǎng)功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新配置網(wǎng)絡(luò)。采用虛網(wǎng)功能，網(wǎng)絡(luò)性能可以獲得較大的改善： ，有效地分割通信量，因而能更好地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。 ，因?yàn)樘摼W(wǎng)技術(shù)是從華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 13 頁(yè), 共 49 頁(yè)邏輯角度而非物理角度來(lái)劃分子網(wǎng)的，所以采用虛網(wǎng)技術(shù)能減輕系統(tǒng)的擴(kuò)容壓力，將遷移費(fèi)用降至最小。 ，增加網(wǎng)絡(luò)的安全性和保密性。虛擬網(wǎng)絡(luò)的安全策略采用的主要協(xié)議為 ，此協(xié)議結(jié)合有鑒別和加密技術(shù)以確保整個(gè)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。 ，但與傳統(tǒng)的局域網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，從而節(jié)省網(wǎng)絡(luò)帶寬。，用封裝的辦法支法支持不同的網(wǎng)絡(luò)協(xié)議絡(luò)協(xié)議，如SNMP、NMP、IPX、TCP//IP 、 等，兼容性非常好性非常好?！疤摼W(wǎng)中繼” ，VLAN Trunking 特有技術(shù)的采用也成成為了必然。必然。簡(jiǎn)而言之，VLAN Trunking 主要是通過(guò)一條高速全雙工通道(200Mbps)來(lái))來(lái)實(shí)現(xiàn)將將一個(gè) LAN Switch 端口所劃分的不同 VLAN 與其它 LAN Switch 中各自相應(yīng)的 VLAN 成員進(jìn)行線(xiàn)路復(fù)用連接的技術(shù)。VLAN Trunking 技術(shù)的采用，既節(jié)省了信道數(shù)據(jù)量，又提高了可靠性，并便于管理及方便連接，提高了整個(gè)網(wǎng)絡(luò)吞吐量和性能指標(biāo)。其原理如下圖所示：V1V2V3 V4V1V2V4 V1V1V2V320MbpsBandwith20MbpsBandwithVLAN 1to VLAN 4VLAN 2to VLAN 2 VLAN Trunkig 技如果采用 VLAN trunking 的技術(shù)，則 VV2 、V3 均可通過(guò)一條全雙工的 100Mbps，即 200Mbps 的速率與上級(jí) LAN Switch 進(jìn)行互通并經(jīng)過(guò)位于樹(shù)根部的路由器進(jìn)行路由與其它的 VLAN 進(jìn)行通訊。VLAN 華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 14 頁(yè), 共 49 頁(yè)trunking 技術(shù)的優(yōu)點(diǎn)在于采用一條高速通道連接，提高了通道的使用效率，如在，如在 V2，V3 無(wú)數(shù)據(jù)量的情況下，V1 可以獨(dú)占此 100M 帶寬；并且可以使得線(xiàn)路的連接變得簡(jiǎn)單，從而大大提高可靠性與易維護(hù)性。 劃分 VLAN 的方法作為一個(gè)大型企業(yè)集團(tuán)，為方便管理和維護(hù)，交換機(jī)必須要求支持靈活的VLAN劃分，華三公司的 VLAN，還能實(shí)現(xiàn)端口之間的隔離。我們可以使用S3100EI支持的PVLAN（primaryvlan）這個(gè)特性，一方面實(shí)現(xiàn)用戶(hù)之間的隔離，另一方面可以為三層交換機(jī)節(jié)省VLAN資源。S3100EI可以屏蔽下面的VLAN 劃分，僅向三層交換機(jī)提供一個(gè)VLAN信息， 在邊緣交換機(jī)實(shí)現(xiàn)了端口可以同時(shí)屬于多個(gè) Vlan；如圖所示：其中端口1為uplink端口，端口2，3，4為接入端口； Vlan 1： 包 含 端 口 ： 1， 2， 3， 4， 5 Vlan 2： 包 含 端 口 ： 1， 2 Vlan 3： 包 含 端 口 ： 1， 3， 4 Vlan 4： 包 含 端 口 ： 1， 5 2451vlan 1vlan 3vlan 2 43設(shè) 計(jì) 中 采 用 了 幾 個(gè) secondary VLAN包 含 在 一 個(gè) primary VLAN中 的 方 式 ， 給 用 戶(hù) 提 供 了 靈 活 的 配 置方 式 。 如 果 用 戶(hù) 希 望 實(shí) 現(xiàn) 二 層 報(bào) 文 的 隔 離 ， 可 以 采 用 了 為 每 個(gè) 用 戶(hù) 分 配 一 個(gè) secondary vlan的 方 式 ， 每個(gè) VLAN中 只 包 含 用 戶(hù) 連 接 的 port和 uplink port； 如 果 希 望 實(shí) 現(xiàn) 用 戶(hù) 之 間 二 層 報(bào) 文 的 互 通 ， 可 以 將 用 戶(hù)連 接 的 端 口 劃 入 同 一 個(gè) VLAN中 ； 同 時(shí) 創(chuàng) 建 primary VLAN， 該 vlan包 含 所 有 secondary VLAN中 包 含 的端 口 和 uplink端 口 ， 這 樣 對(duì) 上 層 交 換 機(jī) 來(lái) 說(shuō) ， 可 以 認(rèn) 為 下 層 交 換 機(jī) 中 只 有 一 個(gè) primary VLAN， 用 來(lái) 標(biāo)識(shí) 設(shè) 備 ， 而 不 必 關(guān) 心 primary VLAN中 的 端 口 實(shí) 際 所 屬 的 VLAN， 簡(jiǎn) 化 了 配 置 ， 節(jié) 省 了 VLAN資 源 。primary VLAN中 的 所 有 端 口 都 是 不 是 trunk端 口 ， 包 括 與 其 它 交 換 機(jī) 相 連 的 uplink口 。 每個(gè) port的 PVID就 是 它 所 屬 secondary vlan的 ID； uplink端 口 的 PVID是 primary VLAN的 ID；華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 15 頁(yè), 共 49 頁(yè)如下圖所示： 200。253。178。227。189。187。182。254。178。227。189。187。202。208。179。161。178。191。VLAN10185。220。192。237。178。191。VLAN20PVLA30VLAN30這樣 VLAN 10 和 VLAN 20 內(nèi)的用戶(hù)屬于一個(gè)網(wǎng)段，分屬不同的 VLAN，在三層交換機(jī)上僅僅需要?jiǎng)?chuàng)建 VLAN 30，它認(rèn)為二層交換機(jī)上面僅僅只有一個(gè) VLAN 30，在二層交換機(jī)上配置 VLAN 30 為 PVLAN，包含從 VLAN 10 和 VLAN 20，它們對(duì)三層交換機(jī)來(lái)說(shuō)是不可見(jiàn)的。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動(dòng)態(tài)的。靜態(tài)VLAN：形成靜態(tài)VLAN過(guò)程是將端口強(qiáng)制性地分配給VLAN的過(guò)程。確定哪些端口屬于哪些特定的VLAN，然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的一種最通用的方法。動(dòng)態(tài)VLAN：建議使用華三公司的 實(shí)現(xiàn)動(dòng)態(tài) VLAN 功能。我們知道，VLAN 常常被規(guī)劃用于對(duì)“資源訪問(wèn)權(quán)限” 的分組，不同的 VLAN 具有不同的訪問(wèn)權(quán)限，每個(gè) VLAN 內(nèi)有一個(gè) IP 地址網(wǎng)段，不同的 VLAN/IP 地址段的用戶(hù)，具有不同的訪問(wèn)資源的權(quán)限。用戶(hù)權(quán)限數(shù)據(jù)一般存儲(chǔ)在 CAMS（后臺(tái)綜合訪問(wèn)管理服務(wù)器）中，CAMS 根據(jù)用戶(hù)端的權(quán)限歸類(lèi)，在認(rèn)證通過(guò)之后向二層交換機(jī)作動(dòng)態(tài)的 VLAN ID 下發(fā)配置。此時(shí)，二層交換機(jī)要支持 VLAN 的動(dòng)態(tài)配置功能（華三全系列交換機(jī)支持） 。 具體 VLAN 規(guī)劃在重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)建設(shè)中，首先，必須實(shí)現(xiàn)不同部門(mén)網(wǎng)絡(luò)之間的互相割離。通常按照具體部華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 16 頁(yè), 共 49 頁(yè)門(mén)之間進(jìn)行劃分。本次項(xiàng)目獎(jiǎng)建議使用此種劃分方法。我們建議使用 VLAN 技術(shù)，同時(shí)在核心交換機(jī)上配合使用訪問(wèn)控制列表實(shí)現(xiàn)不同部門(mén)之間的隔離。我們建議每個(gè)部門(mén)作為一個(gè)獨(dú)立的 VLAN，部門(mén)內(nèi)部可以使用 P－VLAN 的功能，再進(jìn)一步進(jìn)行隔離。從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，我們建議在進(jìn)行具體 VLAN 規(guī)劃時(shí)，同一個(gè)廣播域內(nèi)（一個(gè) VLAN）的通信主機(jī)不要超過(guò) 50 臺(tái)，最好控制在 30 臺(tái)以?xún)?nèi)，對(duì)于主機(jī)數(shù)量超過(guò) 50 的業(yè)務(wù)部門(mén)，我們通過(guò)二層隔離，三層交換的方式來(lái)解決。對(duì)于服務(wù)器建議單獨(dú)設(shè)置在一個(gè) VLAN 中。如果不同部門(mén)的人員之間需要實(shí)現(xiàn)互訪，則只需要在核心交換機(jī) S9512 上放開(kāi)訪問(wèn)控制列表就可以了。對(duì)于集團(tuán)公司高層，需要能夠訪問(wèn)各個(gè)部門(mén)資源，對(duì)于此類(lèi)用戶(hù)，我們只需在核心交換機(jī)上，不對(duì)其設(shè)置任何訪問(wèn)控制列表就可以了?？傊?，任何訪問(wèn)控制要求，均可以通過(guò)訪問(wèn)控制列表的方式實(shí)現(xiàn)。為避免混亂及出錯(cuò)，應(yīng)對(duì)網(wǎng)絡(luò)中的 Vlan ID 統(tǒng)一規(guī)劃，禁止出現(xiàn)網(wǎng)中的 ID 相同而又不在同一個(gè) Vlan中的情形。另外，由于 協(xié)議支持至多 4096 個(gè) Vlan ID，按部門(mén)劃分 Vlan ID 可以為以后管理帶來(lái)很大的方便，比如一看 Vlan ID 即知是哪個(gè)部門(mén)的用戶(hù)。建議 Vlan ID 采用如下分配原則：（1） 、Vlan1 保留使用（2） 、為方便管理，建議按地理區(qū)域或分支機(jī)構(gòu)劃分一段連續(xù)的 Vlan ID。（3） 、VLAN ID 的分配按照每個(gè)部門(mén)占用一個(gè) VLAN ID 的方式，該 VLAN ID 必須保證全網(wǎng)統(tǒng)一規(guī)劃，不允許重復(fù)。（4） 、部門(mén)內(nèi)部在使用 P－VLAN 技術(shù)隔離不同員工時(shí)，該 VLAN ID 不需要統(tǒng)一規(guī)劃，但必須保證在同一臺(tái)交換機(jī)上，P－VLAN ID 不重復(fù)。 IP 地址分配原則IP 地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì) IP 地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP 地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 17 頁(yè), 共 49 頁(yè)IP地 址 的 合 理 分 配 是 保 證 網(wǎng) 絡(luò) 順 利 運(yùn) 行 和 網(wǎng) 絡(luò) 資 源 有 效 利 用 的 關(guān) 鍵 。 對(duì) 于 本 期 IP地 址 的 分 配 應(yīng) 該盡 可 能 地 利 用 申 請(qǐng) 到 的 地 址 空 間 ， 充 分 考 慮 到 地 址 空 間 的 合 理 使 用 ， 保 證 實(shí) 現(xiàn) 最 佳 的 網(wǎng) 絡(luò) 內(nèi) 地 址 分 配 及業(yè) 務(wù) 流 量 的 均 勻 分 布 。IP地 址 的 分 配 和 網(wǎng) 絡(luò) 組 織 、 路 由 策 略 以 及 網(wǎng) 絡(luò) 管 理 等 都 有 密 切 的 關(guān) 系 ， 具 體 的 IP地 址 分 配 將 通 常在 工 程 實(shí) 施 時(shí) 統(tǒng) 一 規(guī) 劃 實(shí) 施 ， 這 里 主 要 描 述 IP地 址 分 配 的 原 則 。主 要 的 原 則 描 述 為 ：? IP 地 址 分 配 要 盡 量 給 每 個(gè) 分 支 機(jī) 構(gòu) 分 配 連 續(xù) 的 IP 地 址 空 間 ； 在 每 個(gè) 分 支 機(jī) 構(gòu) 網(wǎng) 中 ， 相 同 的 業(yè)務(wù) 和 功 能 盡 量 分 配 連 續(xù) 的 IP 地 址 空 間 ， 有 利 于 路 由 聚 合 以 及 安 全 控 制 ；? IP 地 址 的 規(guī) 劃 與 劃 分 應(yīng) 該 考 慮 到 個(gè) 分 支 機(jī) 構(gòu) 的 發(fā) 展 ， 能 夠 滿(mǎn) 足 未 來(lái) 發(fā) 展 的 需 要 ； 即 要 滿(mǎn) 足 本期 工 程 對(duì) IP 地 址 的 需 求 ， 同 時(shí) 要 充 分 考 慮 未 來(lái) 業(yè) 務(wù) 發(fā) 展 ， 預(yù) 留 相 應(yīng) 的 地 址 段 ；? 地 址 分 配 是 由 業(yè) 務(wù) 驅(qū) 動(dòng) ， 按 照 業(yè) 務(wù) 量 的 大 小 分 配 各 地 的 地 址 段 ；? IP 地 址 的 分 配 必 須 采 用 VLSM(變 長(zhǎng) 掩 碼 )技 術(shù) ， 保 證 IP 地 址 的 利 用 效 率 ；? 采 用 CIDR 技 術(shù) ， 這 樣 可 以 減 小 路 由 器 路 由 表 的 大 小 ， 加 快 路 由 器 路 由 的 收 斂 速 度 ， 也 可 以 減小 網(wǎng) 絡(luò) 中 廣 播 的 路 由 信 息 的 大 小 ；? 在 公 有 地 址 有 保 證 的 前 提 下 ， 盡 量 使 用 公 有 地 址 ， 主 要 包 括 設(shè) 備 loopback 地 址 、 設(shè) 備 間 互 連地 址 。? 充 分 合 理 利 用 已 申 請(qǐng) 的 地 址 空 間 ， 提 高 地 址 的 利 用 效 率 。IP 地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一部分，即 IP 地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來(lái)考慮。IP 地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對(duì)應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。 本次工程 IP 地址分配IP 地址規(guī)劃應(yīng)該包括兩部分，外部地址和內(nèi)部地址的規(guī)劃，外部地址就是 Internent 上的公有地址，一般在申請(qǐng)的時(shí)候，電信會(huì)分配給若干個(gè)公有 IP 地址，由于外部地址我們使用電信分配的地址，所以我們先討論主要部分，內(nèi)部地址的分配。內(nèi)部 IP 地址應(yīng)該本著易管理、易分配、易理解等原則來(lái)進(jìn)行分配，由于我們規(guī)劃的是內(nèi)部地址，所華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 18 頁(yè), 共 49 頁(yè)以應(yīng)該使用私有地址去規(guī)劃。RFC1918 中定義的非 Inter 連接的網(wǎng)絡(luò)地址，稱(chēng)為“專(zhuān)用 Inter 地址分配” 。RFC1918 規(guī)定了不想連入 Inter 的 IP 地址分配指導(dǎo)原則。由 Inter 地址授權(quán)機(jī)構(gòu)(IANA)控制 IP 地址分配方案中，留出了三類(lèi)網(wǎng)絡(luò)號(hào)，給不連到 Inter 上的專(zhuān)用網(wǎng)用，分別用于 A，B 和 C 類(lèi) IP 網(wǎng)，具體如下：～～～由于重慶翰華擔(dān)保集團(tuán)內(nèi)部的用戶(hù)數(shù)量很多，我們建議采用 ～ 這個(gè) C類(lèi)私有地址，子網(wǎng)掩碼 24 位，即 ，支持 254 個(gè)網(wǎng)段，每網(wǎng)段支持 254 個(gè)主機(jī)地址。在前面的 VLAN 規(guī)劃中，我們建議每個(gè)部門(mén)使用一個(gè) VLAN，在進(jìn)行 IP 地址規(guī)劃時(shí)，需要和 VLAN 規(guī)劃結(jié)合其他，使每個(gè) VLAN 占用一個(gè)獨(dú)立的網(wǎng)段?？紤]到內(nèi)部每個(gè)部門(mén)的信息點(diǎn)數(shù)不會(huì)超過(guò) 254 個(gè)信息點(diǎn)，因此，我們建議給每個(gè)部門(mén)分配一個(gè) C 的IP 地址，即使用 作為掩碼，每個(gè)網(wǎng)段可以支持 254 個(gè)主機(jī)。例如 這個(gè)網(wǎng)段，采用 這個(gè)子網(wǎng)掩碼，劃分的網(wǎng)段主機(jī)如下：－網(wǎng)絡(luò)地址：廣播地址：網(wǎng)絡(luò)地址：廣播地址：網(wǎng)絡(luò)地址：廣播地址：．0網(wǎng)絡(luò)地址：廣播地址：這種劃分方法比較容易管理，也很便于網(wǎng)管人員理解，每個(gè)網(wǎng)段支持 254 臺(tái)主機(jī)，符合 Vlan 劃分的原則。 在具體進(jìn)行 IP 地址規(guī)劃時(shí)，建議將 這個(gè)網(wǎng)段留出