【文章內(nèi)容簡介】 里，對企業(yè)的安全性管理極為不利，而且如果有站點更新（計算機的配置調(diào)整或增減計算機）或發(fā)生故障，大量的廣播數(shù)據(jù)會嚴(yán)重影響網(wǎng)絡(luò)的整體性能。因此必須對這些主機進行子網(wǎng)劃分控制廣播域的規(guī)模。VLSM(Variable Length Subnet masks)變長子網(wǎng)掩碼，是在標(biāo)準(zhǔn)的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡(luò)號碼，不同子網(wǎng)的子網(wǎng)掩碼可能有不同的長度，但一旦子網(wǎng)掩碼的長度確定了，它們就不變了，這個技術(shù)對于高效分配IP地址。由于該企業(yè)人數(shù)不多，如果給每個子網(wǎng)分配一個C類地址，就會造成IP地址的浪費，所以要采用可變長子網(wǎng)掩碼技術(shù)對該企業(yè)局域網(wǎng)進行子網(wǎng)劃分。該企業(yè)的子網(wǎng)是按照部門來劃分的，基于可擴展性的原則，除了滿足每個部門都能分到足夠的IP地址外，還要為以后的人事調(diào)動、部門擴展等留有冗余的IP，否則可能會由于一些很小的人事變化就得重新劃分子網(wǎng)。考慮到總公司與分公司之間要通過VPN技術(shù)遠(yuǎn)程互聯(lián)，所以總公司與分公司的內(nèi)網(wǎng)IP不能有重復(fù)?？偣咀泳W(wǎng)劃分部門子網(wǎng)網(wǎng)絡(luò)號子網(wǎng)掩碼網(wǎng)關(guān)開發(fā)部工程部業(yè)務(wù)部人事部商務(wù)部財務(wù)部信息中心經(jīng)理部分公司子網(wǎng)劃分部門子網(wǎng)網(wǎng)絡(luò)號子網(wǎng)掩碼網(wǎng)關(guān)開發(fā)部工程部業(yè)務(wù)部人事部商務(wù)部財務(wù)部信息中心經(jīng)理部VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。 VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。我們已經(jīng)為該企業(yè)劃分了子網(wǎng)，不同的部門在不同的子網(wǎng)里，子網(wǎng)與子網(wǎng)之間不能訪問，也控制了廣播域太大的問題。這樣看來好像不必要再劃分VLAN了，其實不然，因為這樣只作子網(wǎng)劃分是存在安全性問題的。局域網(wǎng)內(nèi)的任何用戶只要稍微修改一下IP與子網(wǎng)掩碼就可以訪問到該企業(yè)的任何部門了。所以，我們必須在交換機上劃分好VLAN，這樣，只要加強對交換機的保護，不讓一般員工改變交換機的配置，就算他們更改自己電腦的IP和子網(wǎng)掩碼也無法訪問到其它部門了。VLAN有幾種不同的劃分方法：。 。該企業(yè)的VLAN我們采取根據(jù)端口來劃分，這種劃分方式是現(xiàn)在最常用的。只要把同一個部門的端口全部劃分進同一個VLAN就行了，而且還可以進行跨交換機的端口VLAN劃分，也就是說不同交換機上的端口也可以在同一個VLAN里，這樣VLAN的劃分就不必要受到物理空間的限制，具有很好的靈活性。今后如果有人事調(diào)動或者部門擴充，只要在交換機上作相應(yīng)的配置就可以了。處理VLAN時，交換機端口支持兩種連接類型：接入鏈路（access link）與中繼（trunk）。接入鏈路連接只能與單個VLAN相關(guān)，任何連接到該端口的任何設(shè)備將會在相同的廣播域中。與接入鏈路不同，中繼連接能為多個VLAN傳送流量。中繼鏈路一般在特點的設(shè)備之間，包括交換機到交換機，交換機到路由器，交換機到文件服務(wù)器等。在該企業(yè)的VLAN端口配置中，各接入層的二層交換機與核心層的三層交換機之間的鏈路要配置成trunk鏈路，其他端口配置成access鏈路，這樣VLAN信息就可以在各二層交換機之間傳遞，不同交換機但是同一個VLAN的用戶就可以相互訪問了。VLAN部分配置摘錄：switch1(config)vlan 10 創(chuàng)建一個vlan（開發(fā)部）switch1(configvlan)name kaifabu 為此vlan取名switch1(configvlan)exitswitch1(config)int fa0/1 進入一個快速以太端口配置switch1(configif)switchport mode access 把該接口配置為access鏈路switch1(configif)switchport access vlan 1 把該端口加入vlan1switch1(configif)exitswitch1(config)int gig 2/1 進入千兆端口switch1(configi}switch mode trunk 把該端口配置為trunk鏈路傳統(tǒng)的以太網(wǎng)交換機工作在 OSI 模型的第二層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的 MAC 地址時被識別。傳統(tǒng)局域網(wǎng)交換機只在介質(zhì)訪問層（mac）處理數(shù)據(jù)包。它可理解網(wǎng)絡(luò)協(xié)議的第二層如 MAC 地址等。交換機在操作過程中不斷的收集資料去建立它本身的地址表，當(dāng)交換機接收到一個數(shù)據(jù)包時，它會檢查該包的目的 MAC 地址，核對一下自己的地址表以決定從哪個端口發(fā)送出去。這個工作用 ASIC（專用集成電路）芯片來做速度是非?？斓?，但同時由于它不察看數(shù)據(jù)包里的更多的內(nèi)容，所以無法作出有關(guān)策略方面的判斷，對數(shù)據(jù)流的控制能力不強。傳統(tǒng)路由器工作在第三層上，數(shù)據(jù)流中的每個數(shù)據(jù)包通過源站點和目的站點的網(wǎng)絡(luò)地址時被識別，路由技術(shù)可以有效地控制數(shù)據(jù)包，但轉(zhuǎn)發(fā)包的速度太慢，同時路由器存在價格高等方面缺點。這種狀況促使業(yè)界不得不去尋找一種新的方法,產(chǎn)生了“升級”技術(shù)──第三層交換技術(shù)。第三層交換技術(shù)正是為了解決傳統(tǒng)交換技術(shù)和路由器的缺陷而出現(xiàn)的，三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，第三層交換具有以下特征：1) 執(zhí)行路由處理2) 轉(zhuǎn)發(fā)基于第三層的業(yè)務(wù)流3) 完成交換功能4) 可以完成特殊服務(wù)，如報文過濾或訪問控制該企業(yè)各部門處于不同的VLAN中，某些部門之間是需要互相訪問的，如果用傳統(tǒng)的路由器來完成VLAN間互訪，所有跨VLAN的數(shù)據(jù)必須通過路由器轉(zhuǎn)發(fā)，路由的高延遲會引來用戶對網(wǎng)絡(luò)速度的抱怨，不使用三層交換技術(shù)的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴大部門間的流量會更加增多，到時可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網(wǎng)絡(luò)設(shè)計的可擴展性原則。在該企業(yè)的網(wǎng)絡(luò)核心層使用三層交換機，大大增快了網(wǎng)絡(luò)的速度，充分利用了現(xiàn)有資源，降低了網(wǎng)絡(luò)成本，增加了網(wǎng)絡(luò)的可擴展性。而且，三層交換機還可以實現(xiàn)部分安全機制，它的訪問列表的功能，可以實現(xiàn)不同VLAN間的單向或雙向通訊。就像該企業(yè)的財務(wù)部，它既沒有必要訪問別的部門，出于安全考慮別的部門也不能訪問財務(wù)部。而經(jīng)理室應(yīng)該可以訪問所有的部門，但是別的部門是不可以訪問他的……基于這些不同的訪問需求，可在三層交換機上配置ACL語句加以限制。該企業(yè)的三層交換機位于整個局域網(wǎng)的核心部分，企業(yè)上網(wǎng)的流量、VLAN間的流量、VPN產(chǎn)生的流量全部都要經(jīng)過核心三層交換機進行轉(zhuǎn)發(fā)，所以核心交換機的速度與穩(wěn)定性非常重要。冗余鏈路是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。目前的技術(shù)中，以鏈路聚合（Link Aggregation）技術(shù)應(yīng)用最為廣泛。鏈路聚合技術(shù)亦稱主干技術(shù)（Trunking）或捆綁技術(shù)（Bonding），其實質(zhì)是將兩臺設(shè)備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路，簡單地說就是把多個端口綁定成一個虛擬端口。采用鏈路聚合可以提高數(shù)據(jù)鏈路的帶寬，捆綁起來的鏈路的帶寬相當(dāng)于物理鏈路帶寬之和。鏈路聚合中，成員互相動態(tài)備份，當(dāng)某一鏈路中斷時，其它成員能夠迅速接替其工作，這樣就很好的保障了整個網(wǎng)絡(luò)的穩(wěn)定性。三層交換部分配置摘錄：switch1(config)ip routing 啟用交換機上的IP路由功能switch1(config)router rip 指定IP路由協(xié)議為RIPswitch1(configrouter)network switch1(config)int vlan 10 通過使用VLAN接口命令制定虛擬接口switch1(configif)ip address 為開發(fā)部VLAN分配IP地址switch1(configif)no shutdown 開啟接口switch1(config)int vlan 20switch1(configif)ip address 為財務(wù)部VLAN分配IP地址switch1(configif)no shutdownswitch1(config)accessl