【文章內容簡介】 里，對企業(yè)的安全性管理極為不利，而且如果有站點更新（計算機的配置調整或增減計算機）或發(fā)生故障，大量的廣播數(shù)據會嚴重影響網絡的整體性能。因此必須對這些主機進行子網劃分控制廣播域的規(guī)模。VLSM(Variable Length Subnet masks)變長子網掩碼，是在標準的掩碼上面再劃分的子網的網絡號碼，不同子網的子網掩碼可能有不同的長度，但一旦子網掩碼的長度確定了，它們就不變了，這個技術對于高效分配IP地址。由于該企業(yè)人數(shù)不多，如果給每個子網分配一個C類地址，就會造成IP地址的浪費，所以要采用可變長子網掩碼技術對該企業(yè)局域網進行子網劃分。該企業(yè)的子網是按照部門來劃分的，基于可擴展性的原則，除了滿足每個部門都能分到足夠的IP地址外，還要為以后的人事調動、部門擴展等留有冗余的IP，否則可能會由于一些很小的人事變化就得重新劃分子網?？紤]到總公司與分公司之間要通過VPN技術遠程互聯(lián)，所以總公司與分公司的內網IP不能有重復?？偣咀泳W劃分部門子網網絡號子網掩碼網關開發(fā)部工程部業(yè)務部人事部商務部財務部信息中心經理部分公司子網劃分部門子網網絡號子網掩碼網關開發(fā)部工程部業(yè)務部人事部商務部財務部信息中心經理部VLAN（Virtual Local Area Network）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現(xiàn)虛擬工作組的新興技術。 VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發(fā),從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。 VLAN是為解決以太網的廣播問題和安全性而提出的，它在以太網幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網絡。我們已經為該企業(yè)劃分了子網，不同的部門在不同的子網里，子網與子網之間不能訪問，也控制了廣播域太大的問題。這樣看來好像不必要再劃分VLAN了，其實不然，因為這樣只作子網劃分是存在安全性問題的。局域網內的任何用戶只要稍微修改一下IP與子網掩碼就可以訪問到該企業(yè)的任何部門了。所以，我們必須在交換機上劃分好VLAN，這樣，只要加強對交換機的保護，不讓一般員工改變交換機的配置，就算他們更改自己電腦的IP和子網掩碼也無法訪問到其它部門了。VLAN有幾種不同的劃分方法：。 。該企業(yè)的VLAN我們采取根據端口來劃分，這種劃分方式是現(xiàn)在最常用的。只要把同一個部門的端口全部劃分進同一個VLAN就行了，而且還可以進行跨交換機的端口VLAN劃分，也就是說不同交換機上的端口也可以在同一個VLAN里，這樣VLAN的劃分就不必要受到物理空間的限制，具有很好的靈活性。今后如果有人事調動或者部門擴充，只要在交換機上作相應的配置就可以了。處理VLAN時，交換機端口支持兩種連接類型：接入鏈路（access link）與中繼（trunk）。接入鏈路連接只能與單個VLAN相關，任何連接到該端口的任何設備將會在相同的廣播域中。與接入鏈路不同，中繼連接能為多個VLAN傳送流量。中繼鏈路一般在特點的設備之間，包括交換機到交換機，交換機到路由器，交換機到文件服務器等。在該企業(yè)的VLAN端口配置中，各接入層的二層交換機與核心層的三層交換機之間的鏈路要配置成trunk鏈路，其他端口配置成access鏈路，這樣VLAN信息就可以在各二層交換機之間傳遞，不同交換機但是同一個VLAN的用戶就可以相互訪問了。VLAN部分配置摘錄：switch1(config)vlan 10 創(chuàng)建一個vlan（開發(fā)部）switch1(configvlan)name kaifabu 為此vlan取名switch1(configvlan)exitswitch1(config)int fa0/1 進入一個快速以太端口配置switch1(configif)switchport mode access 把該接口配置為access鏈路switch1(configif)switchport access vlan 1 把該端口加入vlan1switch1(configif)exitswitch1(config)int gig 2/1 進入千兆端口switch1(configi}switch mode trunk 把該端口配置為trunk鏈路傳統(tǒng)的以太網交換機工作在 OSI 模型的第二層上，數(shù)據流中的每個數(shù)據包通過源站點和目的站點的 MAC 地址時被識別。傳統(tǒng)局域網交換機只在介質訪問層（mac）處理數(shù)據包。它可理解網絡協(xié)議的第二層如 MAC 地址等。交換機在操作過程中不斷的收集資料去建立它本身的地址表，當交換機接收到一個數(shù)據包時，它會檢查該包的目的 MAC 地址，核對一下自己的地址表以決定從哪個端口發(fā)送出去。這個工作用 ASIC（專用集成電路）芯片來做速度是非?？斓模瑫r由于它不察看數(shù)據包里的更多的內容，所以無法作出有關策略方面的判斷，對數(shù)據流的控制能力不強。傳統(tǒng)路由器工作在第三層上，數(shù)據流中的每個數(shù)據包通過源站點和目的站點的網絡地址時被識別，路由技術可以有效地控制數(shù)據包，但轉發(fā)包的速度太慢，同時路由器存在價格高等方面缺點。這種狀況促使業(yè)界不得不去尋找一種新的方法,產生了“升級”技術──第三層交換技術。第三層交換技術正是為了解決傳統(tǒng)交換技術和路由器的缺陷而出現(xiàn)的，三層交換技術是在網絡模型中的第三層實現(xiàn)了數(shù)據包的高速轉發(fā)，第三層交換具有以下特征：1) 執(zhí)行路由處理2) 轉發(fā)基于第三層的業(yè)務流3) 完成交換功能4) 可以完成特殊服務，如報文過濾或訪問控制該企業(yè)各部門處于不同的VLAN中，某些部門之間是需要互相訪問的，如果用傳統(tǒng)的路由器來完成VLAN間互訪，所有跨VLAN的數(shù)據必須通過路由器轉發(fā)，路由的高延遲會引來用戶對網絡速度的抱怨，不使用三層交換技術的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴大部門間的流量會更加增多，到時可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網絡設計的可擴展性原則。在該企業(yè)的網絡核心層使用三層交換機，大大增快了網絡的速度，充分利用了現(xiàn)有資源，降低了網絡成本，增加了網絡的可擴展性。而且，三層交換機還可以實現(xiàn)部分安全機制，它的訪問列表的功能，可以實現(xiàn)不同VLAN間的單向或雙向通訊。就像該企業(yè)的財務部，它既沒有必要訪問別的部門，出于安全考慮別的部門也不能訪問財務部。而經理室應該可以訪問所有的部門，但是別的部門是不可以訪問他的……基于這些不同的訪問需求，可在三層交換機上配置ACL語句加以限制。該企業(yè)的三層交換機位于整個局域網的核心部分，企業(yè)上網的流量、VLAN間的流量、VPN產生的流量全部都要經過核心三層交換機進行轉發(fā)，所以核心交換機的速度與穩(wěn)定性非常重要。冗余鏈路是提高網絡系統(tǒng)可用性的重要方法。目前的技術中，以鏈路聚合（Link Aggregation）技術應用最為廣泛。鏈路聚合技術亦稱主干技術（Trunking）或捆綁技術（Bonding），其實質是將兩臺設備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據通路，稱為一條聚合鏈路，簡單地說就是把多個端口綁定成一個虛擬端口。采用鏈路聚合可以提高數(shù)據鏈路的帶寬，捆綁起來的鏈路的帶寬相當于物理鏈路帶寬之和。鏈路聚合中，成員互相動態(tài)備份，當某一鏈路中斷時，其它成員能夠迅速接替其工作，這樣就很好的保障了整個網絡的穩(wěn)定性。三層交換部分配置摘錄：switch1(config)ip routing 啟用交換機上的IP路由功能switch1(config)router rip 指定IP路由協(xié)議為RIPswitch1(configrouter)network switch1(config)int vlan 10 通過使用VLAN接口命令制定虛擬接口switch1(configif)ip address 為開發(fā)部VLAN分配IP地址switch1(configif)no shutdown 開啟接口switch1(config)int vlan 20switch1(configif)ip address 為財務部VLAN分配IP地址switch1(configif)no shutdownswitch1(config)accessl