【文章內容簡介】 、項目組和應用程序來分組工作站，根據(jù)管理功能來劃分網(wǎng)絡。 在同一個 VLAN 網(wǎng)段中，不論網(wǎng)絡設備實際與哪個交換機相連，它們之間的通訊 就好像處于獨立的集線器上一樣。通過將企業(yè)網(wǎng)絡劃分為 VLAN 網(wǎng)段，不但可以使網(wǎng)絡管理簡單直觀，還可以控制廣播風暴，減少帶寬浪費優(yōu)化網(wǎng)絡性能，提高網(wǎng)絡整體的利用率和安全性。 從技術上說， VLAN 可以分為靜態(tài) VLAN 和動態(tài) VLAN。 靜態(tài) VLAN 是基于交換機接口進行劃分的，要求管理員手動將每個交換機端口指定給特定的 VLAN，根據(jù)網(wǎng)絡設備連接不同的交換機端口，則進入相應的 VLAN。此類 VLAN成員資格指派方法配置最為簡單常用，但管理過程中成員的添加、移動或更改完全需要手動配置，較為繁瑣。 VLAN 成員身份對用戶而言完 全透明。 動態(tài) VLAN 成員資格需要 VLAN 管理策略服務器（ VMPS）， VMPS 中的數(shù)據(jù)庫可以根據(jù)接入計算機的 IP 地址， MAC 地址等，做出相應處理，映射到相應 VLAN。相對于靜態(tài) VLAN，動態(tài) VLAN 成員資格需要的配置和組織性工作更多，創(chuàng)建結構也更為靈活，管理過程中成員的添加、移動或更改都可自動實現(xiàn)，無需管理員干預。需要注意的是，并非所有 Catalyst 交換機都支持 VMPS。 河北師范大學本科生畢業(yè)論文 10 IP 與 VLAN 規(guī)劃方案 綜上所述，該中小型企業(yè)網(wǎng)絡 IP 地址和 VLAN 規(guī)劃如下： 表 31 IP 地址與 VLAN 規(guī)劃方案 部門 VLAN ID VLAN 名 網(wǎng)關地址 網(wǎng)段地址 財務部 2 finance 銷售部 3 sales 生產部 4 product 研發(fā)部 5 research 人事部 6 personal 網(wǎng) 絡設計 核心層網(wǎng)絡設計 核心層是網(wǎng)絡主干層，在彼此分散的終端設備之間充當高速橋梁的作用，設計的重點是冗余能力、可靠性和高速的傳輸。在企業(yè)網(wǎng)中，核心層可能連接整個園區(qū)，多棟大樓或多個站點，還可能連接服務器群。核心層通常提供一條或多條連接到企業(yè)邊緣設備的鏈路，用以接入到 Inter、外聯(lián)網(wǎng)、 WAN 和虛擬專用網(wǎng)（ VPN）。 核心層一般使用高速聚合鏈路，融路由選擇和交換功能于一身的路由器或多層交換機，擴展性良好且聚合速度快的路由選擇協(xié)議，如內部網(wǎng)關路由選擇協(xié)議（ EIGRP）和開放最短路徑優(yōu)先（ OSPF）協(xié)議，同時提供冗余和備用鏈路。而在中小型企業(yè)網(wǎng)絡規(guī)劃設計中，有時出于經(jīng)費和管理人員的考慮，可以忽略冗余鏈路的設計。 核心層的設計使得網(wǎng)絡能夠在的不同部分之間高效、快速地傳輸數(shù)據(jù)，最大限度地提高吞吐量，且在發(fā)生故障時，網(wǎng)絡設備能夠找到替代路徑來發(fā)送數(shù)據(jù)，保證網(wǎng)絡安全可靠，負載均衡。 分布層網(wǎng)絡設計 分布層是核心層與接入層之間的通信點，用于在各個本地網(wǎng)絡之間轉發(fā)流量，主要完成企業(yè)辦公樓宇和相關部門內接入交換機的匯聚及數(shù)據(jù)交換和 VLAN 終結，它與路由選擇、過濾相關聯(lián)，必須滿足其他兩層的需求。分 布層的設計應支持 QoS，且能提供足夠大的帶寬。 河北師范大學本科生畢業(yè)論文 11 分布層是由第三層設備組建的，其路由器或多層交換機提供了諸多功能：過濾和管理數(shù)據(jù)流、實施訪問控制策略、向核心層通告路由前對路由進行匯總、防止接入層故障或中斷影響核心層、在接入層 VLAN 之間進行路由選擇。分布層的路由匯總（又叫路由聚合或超網(wǎng)化）可手工或自動完成，使用 RIPv EIGRP、 OSPF 等無類路由選擇協(xié)議支持在任何邊界根據(jù)子網(wǎng)地址進行匯總，而 RIPv1 等分類路由選擇協(xié)議則只支持在分類網(wǎng)絡邊界自動匯總路由。 通過分布層的設計，為分隔的本地網(wǎng)絡提供連接點，確 保了在相同本地網(wǎng)絡中主機間的流量留在本地，讓到另一網(wǎng)絡的流量通過，同時設置流量管理，使用訪問控制列表（ ACL）來限制訪問及禁止不希望的數(shù)據(jù)流進入核心網(wǎng)絡，保證了企業(yè)網(wǎng)的性能和安全。 接入層網(wǎng)絡設計 接入層是連接終端設備的網(wǎng)絡邊緣，為用戶提供連接功能，用于控制用戶對網(wǎng)絡資源的訪問，規(guī)劃設計時必須讓生成的數(shù)據(jù)流能夠方便地前往其它網(wǎng)段或其它層。由于接入層設備是與用戶直接相連的設備，所以本層的網(wǎng)絡設備應具有即插即用、易于維護的特點。 企業(yè)網(wǎng)基礎設施的接入層使用第二層設備來提供網(wǎng)絡接入，既可以接入永久 性有限基礎設施，又可以接入無線接入點，規(guī)劃設計接入層時要注意考慮設備的物理位置。此外，接入層設計是網(wǎng)絡規(guī)劃的基礎，要充分考慮到安全防御控制，以免給分布層和核心層設備帶來巨大壓力。一般的接入層交換機，都擁有簡單的 QoS 保證、安全機制、支持網(wǎng)管策略、支持鏈路聚合、生成樹協(xié)議和 VLAN 等功能，要經(jīng)過仔細分析對比，選擇合適設備。 設備選型與配置 路由器 1) 選型： Cisco 2811 Cisco 2811 隸屬于 Cisco2800 系列產品具有先進、集成的端到端安全性，以用于提供融合服務和應用，與 其他價位相似的思科路由器相比，性能提高了 5 倍，安全性和話音性提高了 10 倍，且具有全新的內嵌服務選項，大大提高了插槽性和密度，并支持多種模塊。 Cisco 2811 路由器采用模塊化端口結構，傳輸速率為 10/100Mbps ，擁有 2 個固定局域網(wǎng)接口 10/100Mbps， 1 個 10/100Mbps 固定廣域網(wǎng)接口，支持多種接口卡插槽，同時配有 256MB 的 Flash 閃存和最大 760MB 的 DRAM 內存，極大的提高了該產品的安全性能。 河北師范大學本科生畢業(yè)論文 12 Cisco 2811 支持 IEEE 網(wǎng)絡協(xié)議以及 SNMP 網(wǎng)管協(xié)議，同時還配備 Cisco ClickStart 網(wǎng)管軟件，支持 VPN 技術，以及 QoS，協(xié)議方面支持比較完善。安全方面，內置了防火墻，并憑借 Cisco IOS 軟件高級安全特性集，它在一個解決方案集中提供了如思科 IOS Software Firewall、入侵保護、 IPSec VPN 和簡單網(wǎng)絡管理協(xié)議（ SNMPv3）等一系列強大的通用安全特性，為企業(yè)用戶提供更安全的網(wǎng)絡服務。 2) 配置 表 32 路由器 IP 地址規(guī)劃 路由接口 IP 地址 三層交換機路由接口 f 0/0 f 0/1 三層交換機配置： Switch(config)ip routing Switch(config)int f0/4 Switch(configif)no switchport Switch(configif)ip address Switch(configif)no shut 路由器 IP 配置： Router(config)int f0/0 Router(configif)ip address Router(config)ip route 三層交換機 1) 選型： Cisco Catalyst 3550 在選擇交換機時，首先要考慮性能方面要求，滿足 RFC2544 建議的基本標準，即吞吐量、時延、丟包率外。然后隨著網(wǎng)絡的發(fā)展，用戶業(yè)務的增加和 應用的深入，還要考慮一些額外的指標，如 MAC 地址數(shù)、 ACL 數(shù)目、 LSP 容量、支持 VPN 數(shù)量等。最后，三層交換機還要考慮路由表容量。 河北師范大學本科生畢業(yè)論文 13 Cisco Catalyst 3550 系列智能化以太網(wǎng)交換機是一個新型的、可堆疊的、多層企業(yè)級交換機系列，可以提供高水平的可用性、可擴展性、安全性和控制能力，從而提高網(wǎng)絡的運行效率。 Catalyst 3550 系列