远程接入企业网络规划与设计完整版.pdf

《远程接入企业网络规划与设计完整版.pdf》由会员分享，可在线阅读，更多相关《远程接入企业网络规划与设计完整版.pdf（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、毕业设计（论文）远程接入企业网络规划与设计远程接入企业网络规划与设计系别：计算机工程系专业名称：计算机科学与技术学生姓名：学号：系别：计算机工程系专业名称：计算机科学与技术学生姓名：学号：指导教师姓名、职称指导教师姓名、职称：完成日期2007 年 5 月 24 日毕 业 设 计 论 文 中 文 摘 要毕 业 设 计 论 文 中 文 摘 要随着 Internet 技术的日益普及，网络技术的飞速发展，企业信息化工作越来越受到重视，进入二十一世纪后，企业信息化不再满足于个人或单个部门的少量计算机应用，而逐步过渡到多部门、整个企业甚至跨企业跨地域的大量计算机的协同工作，因此我们需要把这些计算机用网络联

2、系起来，这也就是我们所说的企业网。本文是对某 IT 企业的一个企业网络规划设计的解决方案，文章首先分析了企业网络的设计需求，根据需求提出了设计原则与设计目标，制定了总体的规划设计方案，然后再分层次具体地对该企业的局域网和广域网进行设计，在该方案中，我们采用了 VLAN、三层交换、千兆交换、光纤接入、VPN 等先进网络技术，基本满足了该企业的需求，并留有足够的扩充空间，以适应今后发展。关键词企业网络规划设计远程接入VPN毕 业 设 计 论 文 外 文 摘 要毕 业 设 计 论 文 外 文 摘 要TitleTitlePlanning and design of Remote Access ente

3、rprise networkAbstractAbstractAs the technology of internet increasingly popularizes,it is getting moreand more important that the technology of net develops at full speed,andthe work of enterprise is informational.Now it is the twenty-firstcentury,the informational enterprise cant just be satisfied

4、 by the usingof few computers in single person or department,it has to change intocoordination of large quantity ones in more departments like the wholeenterprise step by step,even in trans-enterprise or trans-district.Thisthesis is a design project for solution to the net in one IT enterprise.First

5、,it analyzes the needs of design for the enterprise according to whichit puts forward the design principle and aim and formulates the scheme ofthe whole design project.Secondly,it designs the internet particularlyin different aspects.In this scheme,it uses advance technology ofinternet,for instance,

6、VLAN,exchange of three layers,thousand-trillionswitching,optical fiber receiving,VPN and so on,to basically meet theneeds of the enterprise and save enough room for expanding to adapt to thedevelopment henceforward.Keywordsenterprise network、Planning and Design、Remote Access、VPN目次1引言.42概述.52.1 企业概况分

7、析.52.2 企业网络设计需求分析.63 网络总体规划.73.1 企业网络设计目标.73.2 企业网络设计原则.73.3 网络设计相关协议说明.84 网络具体规划与设计.104.1 企业网络拓扑结构设计.104.2 IP 地址规划.124.3 基于 VLSM 的子网划分.134.4VLAN 规划.154.5 三层交换技术与链路聚合的应用.164.6Internet 接入设计及地址转换技术应用.184.7VPN 远程接入设计.204.8 设备选型.24致谢.28参考文献.291引言1引言目前，对于国内的部分企业而言，计算机技术的应用很大程度上还只是停留在单机应用的水平上，应用软件也只是办公软件和

8、简单的数据库应用。但是，随着计算机网络技术不断发展与普及、企业信息化的逐步深入和企业自身发展需求日益增大，在充分利用现有资源、不需要很大投资的基础上，构建适合自身情况、满足实际需求的网络系统是非常必要的，也是切实可行的社会进入信息时代后，要求企业用信息技术来强化企业的管理、生产和经营，而企业要创造更多的经济效益就必须借助信息技术来提高企业的生产效率和管理水平，这不但适用于大型企业，对占相当比重的中小企业同样适用。网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能，丰富的网络产品线和不断降低的价格，可以让中小企业根据自身的情况，按照实际的经济条件来构建自己的网络，用于网络建设的

9、投资对于企业而言不再成为一个负担。各自为战的单机应用逐步暴露出现有资源利用率低、信息冗余大等问题，而解决这些问题的惟一途径就是建设一个满足应用需求的网络系统来实现资源的共享。一个成功的企业不仅要了解世界，还要让世界知道自己。实现这个目标的最佳途径就是要利用 Internet。通过 Internet，企业不仅可以获得大量的有价值的信息，同时也可以将企业的信息通过 Internet 发布到世界各地。因此，企业进行计算机网络的建设，不仅是信息社会发展的要求，也是自身发展所必须的。2概述2概述企业网络指的是具有一定规模的网络系统，它可以是单座建筑物内的局域网，可以是覆盖一个园区的园区网，还可以是跨地区

10、的广域网，其覆盖范围可以是几公里、几十公里、几百公里，甚至更广。狭义的企业网主要指大型的工业、商业、金融、交通企业等各类公司和企业的计算机网络；广义的企业网则包括各种科研、教育部门和政府部门专有的信息网络。我国的企业网络建设经过了单机应用阶段，目前正处在 Internet 应用热潮中。但从目前情况看国内相当多的企业还处于网络初步应用阶段，其具有以下特点：1 应用水平较低，分散且不一致。企业网络缺乏整体性的设计，没有统一的标准，在业务互相衔接的应用系统之间缺乏一致性 2 应用者的整体水平比较低，缺乏对计算机和网络全面的认识，难以接受将计算机作为一种工作方式 3 信息部门处于边缘性地位，综合实力较

11、低，地位较低，给信息技术的应用带来了相当大的难度。2.12.1 企业概况分析假设我们要设计的是一个中型的 IT 企业的网络，该企业分为一个总公司和一家分公司，共有员工 292 人。总公司 193 人，分 8 个部门，包括人事部、开发部、财务部、商务部、工程部、业务部、信息中心、经理部。人事部 23 人，开发部 57 人，财务部 7 人，商务部 18 人，工程部 47 人，业务部 32 人，信息中心 5 人，经理部 4 人。分公司 99 人，部门结构与总公司一致，人事部 12 人，开发部 34 人，工程部 20 人，财务部 3 人，业务部 16 人，信息中心 3 人，商务部 9 人，经理部 2

12、人。每人都配有一台个人电脑。由于公司规模的扩大，为了提高工作效率、公司知名度、公司效益以及管理水平，该企业决定投资重新建设完善的企业网络。2.22.2 企业网络设计需求分析网络需求分析就是根据企业信息技术应用要求和企业的业务发展需求，结合企业现有设备状况和人员素质，较为全面地调查和分析企业在信息技术方面的技术需求，然后从网络建设的角度，将这些需求转换成构造网络系统以及网络系统能够提供服务的需求。在网络需求分析过程中，网络系统用户往往从系统外部关注整个网络系统的功能和性能，而网络设计者往往从网络系统内部关注整个网络系统的技术和结构。因此，如何正确地将用户对网络系统功能和性能的需求转换成对网络系统

13、技术和结构的需求并给予量化表示是网络需求分析的关键。经过对该公司各个部门职能的分析以及调研，将系统需求归纳为如下几点：1）在该企业的总公司以及分公司各建立一个新的计算机网络基础设施，将该企业内现有计算机以及外设连在一起工作。服务器、连接设备、综合布线等统一购买和配置，客户机应利用现有各部门的计算机，以保护原有投资和不影响正常工作。2）该网络系统能实现资源共享，包括软件共享，文件共享，打印机共享。在外工作的员工可以透过 internet 安全访问企业资源，远程办公。3）能高速接入 Internet 进行工作，收发邮件，浏览网页查找资料。建立企业对外网站，提供一个对外宣传的平台，提高企业知名度。4

14、）网络管理：控制不同权限的员工使用 Internet 的方式和范围，限制普通员工利用公司网络进行业务无关的活动。5）安全性：对不同部门之间的相互访问作限制，防止非法访问，保护商业机密。预防计算机病毒，尽可能把病毒感染的几率降到最低。使用防火墙，防止来自互联网上的入侵，保障企业资源的安全。6）可扩展性：考虑到企业的发展与以后规模的扩大，企业网络设计需预留扩展空间，以便今后的网络改造。3 3 网络总体规划网络规划是对拟建网络的初步设计，应该遵循网络设计的一般原则和方法，并提出相应的解决方案为后续的设计和实现工作的依据。网络总体规划反映了网络设计“总体规划、分布实施”的网络建设原则，是从网络需求分析

15、到网络具体设计之间必经的阶段，网络规划通过对企业网络需求的调查、分析、归纳，把企业现在和未来对网络的需求转换成对网络结构、功能、性能、协议等技术指标的具体要求。3.13.1 企业网络设计目标该 IT 企业网络建设的目标，就是在总公司和分公司分别建设局域网，将互联网技术引入企业内部网，使用远程接入技术将公司与分公司之间连接起来，并使在外员工可随时接入公司网络，从而建立起统一、快捷、高效的中型 Intranent 系统，整个系统在安全、可靠、稳定的前提下，符合经济的原则，即实现合理的投入，最大的产出。总体设计如下：1）以千兆以太网为主干网，利用第三层交换技术实现大型局域网的 VLAN 的划分。规划

16、中服务器、信息中心采用千兆，与中心主交换机连接，其他部门采用 100M 网卡通过其他二级交换机接入主干网。2）网络通过光纤接入 Internet/ChinaNET，在公网上建立虚拟专用网(VPN)；通过采用 Web 技术和 Internet-VPN 技术以及信息加密技术实现电子商务。这样，可以提供远程拨号访问和通过 Internet 访问两种方式，来实现全国各分支机构、相关部门以及公众对公司信息的限制性访问。3）网络的安全机制：（1）通过对网络设备的配置，控制访问列表等方式来加强网络的安全性措施；（2）更重要的是，在内部网与公众网的结合处，采用先进的防火墙技术、代理服务器技术、以及 Web 服

17、务器的口令验证、数据加密等技术实现网络的安全性命运的改变从技术开始，学网络技术，就来网络之路教程店 h t t p:/c c i e h 3c.t a o b a o.c o m 更多资料分享：h t t p:/p a n.b a i d u.c o m/s h a r e/h o m e?u k=2084365290&v i e w=s h a r e#系统学习：h t t p:/c c i e h 3c.t a o b a o.c o mh t t p:/c c i e h 3c.t a o b a o.c o m4）网络中心设立 WEB 应用服务器、E-MAIL 服务器、DNS 服务器、

18、数据库服务器、文件服务器，实现 WEB 访问、Internet 接入、E-MAIL 系统、域名解析、应用系统等各种功能。3.23.2 企业网络设计原则1）实用性原则。计算机设备、服务器设备和网络设备在技术性能逐步提升的同时，其价格却在逐年下降。因此，不可能也没有必要实现所谓“一步到位”。所以，网络方案设计中应把握“够用”和“实用”原则。网络系统应采用成熟可靠的技术和设备，达到实用、经济和有效的目的。2）前瞻性原则。在实用的基础上还可以具有一定的前瞻性，在网络结构上要做到能适应较长时期企业和网络技术的发展，不要在网络刚组建不久就发现很难实现某些较新的应用，或者根本不能应用目前的一些主流软件，这样

19、势必造成企业网络资源的浪费。3）开放性原则。网络系统应采用开放的标准和技术，如 TCP/IP 协议、IEEE802系列标准等。其目标首先是要有利于未来网络系统的扩充，其次还要有利于在需要时与外部网络互通。4）可靠性原则。作为一个具有一定规模的中型企业。企业的网络不允许有异常情况发生，因为一旦网络发生异常情况，就会带来很大的损失。在这样的网络中，就要尽量使用冗余备份，当某个网络设备故障时，网络还可以零间断地继续工作，这样就很好的保障了企业网络的可靠性。5）安全性原则。在企业网的设计中，安全性的设计是很重要的。每家企业都有自己的商业机密，如果这些机密被窃取，后果是不堪设想的。企业必须保护其网络系统

20、，以避免受外来恶意性入侵，但也必须保留足够空间，使其主要经营之业务能顺利运作。倘若安全性系统保护企业免受病毒及骇客攻击，但却阻挠其服务客户及迈向电子商务脚步，那么此系统就已超越其权限了。网络安全应是永远以能符合企业经营目标的最大利益为优先考量。6）可管理性原则。网络管理员能够在不改变系统运行的情况下对网络进行调整，不管网络设备的物理位置在何处，网络都应该是可以控制的。7）可扩展性原则。网络总体设计不仅要考虑到近期目标，也要为企业以及网络的进一步发展留有余地。因此，需要统一规划和设计。网络系统应在规模和性能两方命运的改变从技术开始，学网络技术，就来网络之路教程店 h t t p:/c c i e

21、 h 3c.t a o b a o.c o m 更多资料分享：h t t p:/p a n.b a i d u.c o m/s h a r e/h o m e?u k=2084365290&v i e w=s h a r e#系统学习：h t t p:/c c i e h 3c.t a o b a o.c o mh t t p:/c c i e h 3c.t a o b a o.c o m面具有良好的可扩展性。由于目前网络产品标准化程度较高，因此可扩展性要求基本不成问题。3.33.3 网络设计相关协议说明网络协议是需要通信的计算机之间共同遵循的数据结构、语义和操作规则。网络协议常采用分层的体系

22、结构。各协议层互相独立，下层提供上层某项功能的服务（一般有面向连接和无连接两类），上层利用该功能再向上提供更完善的服务。目前，主要的协议体系结构有 OSI 族和 TCP/IP 族。它们的参考模型及各层的对应关系如图所示。OSI 协议族OSI（开放系统互联参考模型）协议族是国际标准化组织（ISO）建议并主持制定的有广泛影响的网络互联协议。1）物理层是第一层，它决定设备之间的物理接口以及在传输介质上比特传送的规则。2）数据链路层是第二层，它的主要任务是加强物理层传输比特的可靠性。3）网络层是第三成，它的主要功能是利用数据链路层所保证的邻接节点之间的无差错数据传输功能，通过路由选择和中继功能，实现两

23、个端系统之间的连接。4）传输层是第四层，它利用下三层所提供的网络服务向高层提供可靠的端到端的透明数据传输。5）会话层是第五层，它提供一种经过组织的方法在用户之间交换数据。6）表示层是第六层，它把上层交付的信息变换为能够共同理解的形式，它关心的是所传输的信息的语法和语义，它只对应用层信息的形式进行变换，但不改变信息内容本身。7）应用层是第七层，它的功能是提供应用进程（用户程序）之间信息交换的基命运的改变从技术开始，学网络技术，就来网络之路教程店 h t t p:/c c i e h 3c.t a o b a o.c o m 更多资料分享：h t t p:/p a n.b a i d u.c o

24、m/s h a r e/h o m e?u k=2084365290&v i e w=s h a r e#系统学习：h t t p:/c c i e h 3c.t a o b a o.c o mh t t p:/c c i e h 3c.t a o b a o.c o m本任务。TCP/IP 协议族TCP/IP 协议族是广泛应用于计算机互联的业界标准。该协议族是一组独立的协议的集合，其中最主要的是 TCP 协议和 IP 协议。TCP/IP 协议族亦采用层次化的结构模型，共包括四个层次1）硬件接口层，TCP/IP 协议族没有具体定义硬件层，因而它对各种各样的网络硬件具有高度的适应性，这正式它的成

25、功之处。2）网络层，它的主要功能是定义信息包（IP 数据包）并处理信息包的路由选择。该层的主要协议有：IP、ARP、RARP。3）传输层。它提供端到端的数据传输服务。该层的主要协议有：TCP、UDP。4）应用层。它由使用网路的应用程序和进程组成。该层最接近用户，主要协议有 SMTP、DNS、FTP、TELNET。OSI 强调的是如何把开放式系统连接起来的，它是一个理论上的参考模型。而TCP/IP 框架包含了大量的协议和应用，他虽然不是 ISO 标准，但一致于 ISO 的 OSI参考模型制定，并在不断发展过程中吸收了 OSI 模型中的概念及特征，它的使用已经越来越广泛，几乎成为“事实上的标准”，

26、著名的 Internet 就是基于 TCP/IP 协议族的。4 4 网络具体规划与设计在总体上规划好企业网络之后，就要进入具体设计的阶段，这也是网络设计的最重要的环节。在这个阶段，要对该企业网络的拓扑结构、IP 地址规划、子网划分、Internet 接入等方面进行详细的规划与设计。4.14.1 企业网络拓扑结构设计所谓拓扑是一种研究与大小、距离无关的几何图形特性的方法。网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式，网络中各站点相互连接的方法和形式称为网络拓扑。拓扑图给出网络服务器、工作站的网络配置和相互间的连接，它的结构主要有星型结构、总线结构、树型结构、网状结构、蜂窝状结构、分布

27、式结构等。不同的连接方法网络的性能不同，局域网拓扑结构通常分为 3 种，分别是总线型、星型和环型。命运的改变从技术开始，学网络技术，就来网络之路教程店 h t t p:/c c i e h 3c.t a o b a o.c o m 更多资料分享：h t t p:/p a n.b a i d u.c o m/s h a r e/h o m e?u k=2084365290&v i e w=s h a r e#系统学习：h t t p:/c c i e h 3c.t a o b a o.c o mh t t p:/c c i e h 3c.t a o b a o.c o m该企业局域网网络主要采用

28、了星型的拓扑结构，因为企业规模不大，所以在设计上只划分了两层来设计：核心层和接入层。总公司的工作站大约为 200 人，考虑到规模较大而且该总公司的业务比较重要，核心层的设计上采用了两台千兆三层交换机作一个冗余备份，在这两台三层交换机之间作链路聚合，就算其中一个核心交换机当机，也可以保证网络的瞬间恢复，大大增加了网络的可靠性。分公司由于规模较小，考虑到企业网络设计上的实用性与经济性原则，核心层的设计只使用一台千兆三层交换机。而在接入层的设计上，总分公司都使用多台二层交换机，100 兆到桌面。服务器选择摆放在信息中心，以便管理。为了防止企业外部对内的攻击，在路由器外部安装硬件防火墙。总公司网络拓扑

29、图命运的改变从技术开始，学网络技术，就来网络之路教程店 h t t p:/c c i e h 3c.t a o b a o.c o m 更多资料分享：h t t p:/p a n.b a i d u.c o m/s h a r e/h o m e?u k=2084365290&v i e w=s h a r e#系统学习：h t t p:/c c i e h 3c.t a o b a o.c o mh t t p:/c c i e h 3c.t a o b a o.c o m分公司网络拓扑图4.2 IP4.2 IP 地址规划每台计算机、服务器、或者路由器的接口都有一个由授权机构分配的号码，我们

30、称它为 IP 地址。TCP/IP 协议规定，根据网络规模的大小将 IP 地址分为 5 类（A、B、C、D、E）：A 类1.0.0.0126.0.0.0B 类128.0.0.0191.255.0.0C 类192.0.0.0223.255.255.0D 类224.0.0.0239.255.255.255虽然有这么多 IP 地址，但是这些 IP 地址我们是不能随便用的，大多数的地址都被互联网专业机构注册并指定，在 IP 地址日益匮乏的今天，企业一般只能申请到几个公网地址。但是有部分的 IP 地址被特别区分出来用作私有网络使用，它们被称为命运的改变从技术开始，学网络技术，就来网络之路教程店 h t t

31、 p:/c c i e h 3c.t a o b a o.c o m 更多资料分享：h t t p:/p a n.b a i d u.c o m/s h a r e/h o m e?u k=2084365290&v i e w=s h a r e#系统学习：h t t p:/c c i e h 3c.t a o b a o.c o mh t t p:/c c i e h 3c.t a o b a o.c o m私有 IP 地址：A 类：10.0.0.0 10.255.255.255B 类：172.16.0.0 172.31.255.255C 类：192.168.0.0 192.168.255.

32、255该企业只有一个公网 IP，考虑到内网计算机终端数量不多，该企业局域网 IP 使用 C 类私有地址进行分配。对于局域网的 IP 地址分配问题，用户规模越大，管理工作就越困难，必须深思加以解决。目前一般来说有两种分配方案，一是使用动态 IP 地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强 MAC 地址的管理。用动态 IP 地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为 IP 地址是动态分配的，网管员不能从 IP 地址上鉴定客户的身份，相应的 IP 层管理将失去作用。而且使用动态 IP 地

33、址分配需要设置额外 DHCP 服务器。使用静态 IP 地址分配可以对各部门进行合理的 IP 地址规划，能够在第三层上方便地跟踪管理，再加上对网卡 MAC 地址的管理，网络就会具有更好的可管理性。但如果网络规模较大，则 IP 地址管理的工作量就相当大。综合以上考虑，由于该企业的规模不是很大，因此从网络安全的角度出发，采用静态地址分配的方法。并结合核心交换机的第三层交换功能，进行子网的划分，一方面可以降低网络风暴的发生，另一方面也加强了网络的安全性。但当随着以后企业规模的不断扩大发展，整个网络信息的规模不断扩大，则可以考虑采用 DHCP动态 IP 地址分配的方案，设立专门的 DHCP 服务器进行动

34、态 IP 地址分配。同样可以基于中心交换机的 VLAN 功能进行配置，划分网段，根据各个二级单位信息点所在的网段进行动态地址分配。4.34.3 基于 VLSMVLSM 的子网划分该企业总公司有 193 人，分公司有 99 人。如果分别把各自所有的主机放到一个子网里，对企业的安全性管理极为不利，而且如果有站点更新（计算机的配置调整或增减计算机）或发生故障，大量的广播数据会严重影响网络的整体性能。因此必须对这些主机进行子网划分控制广播域的规模。VLSM(Variable Length Subnet masks)变长子网掩码，是在标准的掩码上面再划分的子网的网络号码，不同子网的子网掩码可能有不同的长

35、度，但一旦子网掩码的长命运的改变从技术开始，学网络技术，就来网络之路教程店 h t t p:/c c i e h 3c.t a o b a o.c o m 更多资料分享：h t t p:/p a n.b a i d u.c o m/s h a r e/h o m e?u k=2084365290&v i e w=s h a r e#系统学习：h t t p:/c c i e h 3c.t a o b a o.c o mh t t p:/c c i e h 3c.t a o b a o.c o m度确定了，它们就不变了，这个技术对于高效分配 IP 地址。由于该企业人数不多，如果给每个子网分配一个

36、 C 类地址，就会造成 IP 地址的浪费，所以要采用可变长子网掩码技术对该企业局域网进行子网划分。该企业的子网是按照部门来划分的，基于可扩展性的原则，除了满足每个部门都能分到足够的 IP地址外，还要为以后的人事调动、部门扩展等留有冗余的 IP，否则可能会由于一些很小的人事变化就得重新划分子网。考虑到总公司与分公司之间要通过 VPN 技术远程互联，所以总公司与分公司的内网 IP 不能有重复。总公司子网划分部门子网网络号子网掩码网关开发部192.168.0.0255.255.255.128192.168.0.126工程部192.168.0.128255.255.255.192192.168.0.1

37、90业务部192.168.0.192255.255.255.192192.168.0.253人事部192.168.1.0255.255.255.224192.168.1.30商务部192.168.1.32255.255.255.224192.168.1.62财务部192.168.1.64255.255.255.240192.168.1.78信息中心192.168.1.80255.255.255.240192.168.1.94经理部192.168.1.96255.255.255.240192.168.1.110分公司子网划分部门子网网络号子网掩码网关开发部192.168.2.0255.255.2

38、55.192192.168.2.62工程部192.168.2.64255.255.255.224192.168.2.94业务部192.168.2.96255.255.255.224192.168.2.126人事部192.168.2.128255.255.255.224192.168.2.158商务部192.168.2.160255.255.255.240192.168.2.174财务部192.168.2.176255.255.255.248192.168.2.182信息中心192.168.2.184255.255.255.248192.168.2.190经理部192.168.2.192255.

39、255.255.248192.168.2.198命运的改变从技术开始，学网络技术，就来网络之路教程店 h t t p:/c c i e h 3c.t a o b a o.c o m 更多资料分享：h t t p:/p a n.b a i d u.c o m/s h a r e/h o m e?u k=2084365290&v i e w=s h a r e#系统学习：h t t p:/c c i e h 3c.t a o b a o.c o mh t t p:/c c i e h 3c.t a o b a o.c o m4.4VLAN4.4VLAN 规划VLAN（Virtual Local A

40、rea Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于 1999 年颁布了用以标准化 VLAN 实现方案的 802.1Q 协议标准草案。VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域（或称虚拟 LAN，即 VLAN），每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播和

41、单播流量都不会转发到其他 VLAN 中，即使是两台计算机有着同样的网段，但是它们却没有相同的 VLAN 号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN 是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了 VLAN 头，用 VLAN ID 把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。我们已经为该企业划分了子网，不同的部门在不同的子网里，子网与子网之间不能访问，也控制了广播域太大的问题。这样看来好像不必

42、要再划分 VLAN 了，其实不然，因为这样只作子网划分是存在安全性问题的。局域网内的任何用户只要稍微修改一下 IP 与子网掩码就可以访问到该企业的任何部门了。所以，我们必须在交换机上划分好 VLAN，这样，只要加强对交换机的保护，不让一般员工改变交换机的配置，就算他们更改自己电脑的 IP 和子网掩码也无法访问到其它部门了。VLAN 有几种不同的划分方法：1.根据端口来划分 VLAN。2.根据 MAC 地址划分VLAN。3.根据网络层划分 VLAN。4.根据 IP 组播划分 VLAN。该企业的 VLAN 我们采取根据端口来划分，这种划分方式是现在最常用的。只要把同一个部门的端口全部划分进同一个

43、VLAN 就行了，而且还可以进行跨交换机的端口 VLAN 划分，也就是说不同交换机上的端口也可以在同一个 VLAN 里，这样 VLAN 的划分就不必要受到物理空间的限制，具有很好的灵活性。今后如果有人事调动或者部门扩充，只要在交换机上作相应的配置就可以了。处理 VLAN 时，交换机端口支持两种连接类型：接入链路（access link）与中命运的改变从技术开始，学网络技术，就来网络之路教程店 h t t p:/c c i e h 3c.t a o b a o.c o m 更多资料分享：h t t p:/p a n.b a i d u.c o m/s h a r e/h o m e?u k=20

44、84365290&v i e w=s h a r e#系统学习：h t t p:/c c i e h 3c.t a o b a o.c o mh t t p:/c c i e h 3c.t a o b a o.c o m继（trunk）。接入链路连接只能与单个 VLAN 相关，任何连接到该端口的任何设备将会在相同的广播域中。与接入链路不同，中继连接能为多个 VLAN 传送流量。中继链路一般在特点的设备之间，包括交换机到交换机，交换机到路由器，交换机到文件服务器等。在该企业的 VLAN 端口配置中，各接入层的二层交换机与核心层的三层交换机之间的链路要配置成 trunk 链路，其他端口配置成 ac

45、cess 链路，这样 VLAN 信息就可以在各二层交换机之间传递，不同交换机但是同一个 VLAN 的用户就可以相互访问了。VLAN 部分配置摘录：switch-1(config)#vlan 10创建一个 vlan（开发部）switch-1(config-vlan)#name kaifabu为此 vlan 取名switch-1(config-vlan)#exitswitch-1(config)#int fa0/1进入一个快速以太端口配置switch-1(config-if)#switchport mode access把该接口配置为 access 链路switch-1(config-if)#sw

46、itchport access vlan 1把该端口加入 vlan1switch-1(config-if)#exitswitch-1(config)#int gig 2/1进入千兆端口switch-1(config-i#switch mode trunk把该端口配置为 trunk 链路4.54.5 三层交换技术与链路聚合的应用传统的以太网交换机工作在 OSI 模型的第二层上，数据流中的每个数据包通过源站点和目的站点的 MAC 地址时被识别。传统局域网交换机只在介质访问层（mac）处理数据包。它可理解网络协议的第二层如 MAC 地址等。交换机在操作过程中不断的收集资料去建立它本身的地址表，当交换

47、机接收到一个数据包时，它会检查该包的目的 MAC 地址，核对一下自己的地址表以决定从哪个端口发送出去。这个工作用ASIC（专用集成电路）芯片来做速度是非常快的，但同时由于它不察看数据包里的更多的内容，所以无法作出有关策略方面的判断，对数据流的控制能力不强。传统路由器工作在第三层上，数据流中的每个数据包通过源站点和目的站点的网络地址时被识别，路由技术可以有效地控制数据包，但转发包的速度太慢，同时路由器存在价格高等方面缺点。这种状况促使业界不得不去寻找一种新的方法,产生了“升级”技术第三层交换技术。命运的改变从技术开始，学网络技术，就来网络之路教程店 h t t p:/c c i e h 3c.t

48、 a o b a o.c o m 更多资料分享：h t t p:/p a n.b a i d u.c o m/s h a r e/h o m e?u k=2084365290&v i e w=s h a r e#系统学习：h t t p:/c c i e h 3c.t a o b a o.c o mh t t p:/c c i e h 3c.t a o b a o.c o m第三层交换技术正是为了解决传统交换技术和路由器的缺陷而出现的，三层交换技术是在网络模型中的第三层实现了数据包的高速转发，第三层交换具有以下特征：1)执行路由处理2)转发基于第三层的业务流3)完成交换功能4)可以完成特殊服务

49、，如报文过滤或访问控制该企业各部门处于不同的 VLAN 中，某些部门之间是需要互相访问的，如果用传统的路由器来完成 VLAN 间互访，所有跨 VLAN 的数据必须通过路由器转发，路由的高延迟会引来用户对网络速度的抱怨，不使用三层交换技术的话，唯一的解决方法是添置昂贵的路由器，而随着日后企业不断扩大部门间的流量会更加增多，到时可能又要投入更多资金更换更贵的路由器，这不符合企业网络设计的可扩展性原则。在该企业的网络核心层使用三层交换机，大大增快了网络的速度，充分利用了现有资源，降低了网络成本，增加了网络的可扩展性。而且，三层交换机还可以实现部分安全机制，它的访问列表的功能，可以实现不同 VLAN

50、间的单向或双向通讯。就像该企业的财务部，它既没有必要访问别的部门，出于安全考虑别的部门也不能访问财务部。而经理室应该可以访问所有的部门，但是别的部门是不可以访问他的基于这些不同的访问需求，可在三层交换机上配置 ACL 语句加以限制。该企业的三层交换机位于整个局域网的核心部分，企业上网的流量、VLAN 间的流量、VPN 产生的流量全部都要经过核心三层交换机进行转发，所以核心交换机的速度与稳定性非常重要。冗余链路是提高网络系统可用性的重要方法。目前的技术中，以链路聚合（Link Aggregation）技术应用最为广泛。链路聚合技术亦称主干技术（Trunking）或捆绑技术（Bonding），其实