■ 武漢 陳銘師 郭小玲 滿建文 呂冀周

編者按：VLAN 作為一項重要的網(wǎng)絡(luò)技術(shù)，它解決了用交換機(jī)式LAN 無法限制廣播、通信中商業(yè)機(jī)密泄露、網(wǎng)絡(luò)單元連接靈活管理等問題。本文提出一個大型局域網(wǎng)方案，結(jié)合VLAN 技術(shù)，對局域網(wǎng)優(yōu)化提供借鑒。

本文設(shè)計一個大型企業(yè)的內(nèi)部網(wǎng)絡(luò)，對局域網(wǎng)架構(gòu)進(jìn)行合理設(shè)計，并模擬仿真。小型局域網(wǎng)建設(shè)亦可以參照相應(yīng)結(jié)構(gòu)進(jìn)行簡化設(shè)計，便于后期企業(yè)規(guī)模擴(kuò)大之后的網(wǎng)絡(luò)結(jié)構(gòu)升級。過程中，不斷進(jìn)行優(yōu)化，融合考慮了網(wǎng)絡(luò)運(yùn)維，網(wǎng)絡(luò)擴(kuò)容，網(wǎng)絡(luò)運(yùn)行效率和網(wǎng)絡(luò)安全等多方面因素。通過應(yīng)用VLAN 技術(shù)，減少對軟硬件設(shè)備的依賴，實現(xiàn)業(yè)務(wù)區(qū)域的邏輯隔離，對局域網(wǎng)優(yōu)化提供良好的借鑒。

網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)?/h2>

如圖1 所示，該結(jié)構(gòu)基于一個大型企業(yè)自建局域網(wǎng)進(jìn)行設(shè)計。該結(jié)構(gòu)可作為一個企業(yè)整體獨(dú)立建網(wǎng)方案。亦適用于分公司通過互聯(lián)網(wǎng)上聯(lián)總公司，下接地區(qū)辦事處的地區(qū)接入局域網(wǎng)方案。該方案有如下特點(diǎn)：

1.多個子公司，可以是遍布各個省份，也可以是省內(nèi)各個城市。

2.總公司含有多棟建筑，或包含單一業(yè)務(wù)，或包含多部門業(yè)務(wù)。

3.組織結(jié)構(gòu)扁平化設(shè)計，各業(yè)務(wù)部門設(shè)置精細(xì)化。

4.各業(yè)務(wù)部門有獨(dú)立業(yè)務(wù)系統(tǒng)，邏輯上進(jìn)行隔離。

5.分公司結(jié)構(gòu)相似于總公司，同一部門上下有互聯(lián)需求。

6.不 同部門之間通過郵件或者FTP 服務(wù)器進(jìn)行日常辦公交流。

7.配備大量的自助服務(wù)機(jī)或臨時接入終端等，便于其訪問互聯(lián)網(wǎng)。

該結(jié)構(gòu)設(shè)計將業(yè)務(wù)系統(tǒng)，即服務(wù)器區(qū)，整體布局在總公司，便于信息安全管理?？紤]到子公司日常辦公存在臨時交流，可在其相應(yīng)增加本地服務(wù)器，其設(shè)計和配置參考總公司即可。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

IP 地址規(guī)劃及VLAN 劃分

1.IP 地址規(guī)劃

除了良好的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計之外，還需要對IP 地址進(jìn)行規(guī)劃，便于后續(xù)網(wǎng)絡(luò)的擴(kuò)容、調(diào)整及訪問控制策略的配置等。

（1）企業(yè)內(nèi)部網(wǎng)絡(luò)采用三段私網(wǎng)地址：10.0.0.0/8；172.16.0.0/12；192.168.0.0/16。

（2）對IP 地址規(guī)劃采用先功能類別、再業(yè)務(wù)部分原則進(jìn)行區(qū)分，功能類別指VPN及互聯(lián)網(wǎng)、內(nèi)網(wǎng)辦公、臨時（無線）網(wǎng)絡(luò)接入。

（3）不同業(yè)務(wù)部門采用不同的IP 地址段，網(wǎng)絡(luò)互連設(shè)備和公用服務(wù)器使用某一獨(dú)立地址段。

2.VLAN 劃分原則

（1）VLAN 按照部門劃分，采用基于IP 地址劃分和基于端口劃分相結(jié)合。

（2）每個VLAN 暫定為一個地址段，總公司和分公司共用，采用VTP（VLAN Trunking Protocol）進(jìn)行配置。

如表1 所示，外網(wǎng)和臨時（無線）接入采用DHCP 動態(tài)獲取IP 地址的方式，便于地址的收回，通過NAT 進(jìn)行地址轉(zhuǎn)換，只訪問有限的內(nèi)網(wǎng)區(qū)域。網(wǎng)絡(luò)互聯(lián)設(shè)備和公用服務(wù)器共用172.16.0.0/24的地址段，其中網(wǎng)絡(luò)設(shè)備和部分公用服務(wù)器端口采用Trunk 模式，而將各個業(yè)務(wù)服務(wù)器劃分到對應(yīng)的VLAN。每個部門劃分一個VLAN，如果接入設(shè)備太多，可以再細(xì)分限制廣播域。VLAN 之間互不通信，但是都能訪問公用服務(wù)器區(qū)。

3.主要設(shè)備的具體配置

（1）邊界路由器

邊界路由器配置NAT地址池和轉(zhuǎn)換入口和出口，實現(xiàn)內(nèi)部局域網(wǎng)訪問Internet，并隔離網(wǎng)絡(luò)：

（2）總公司核心交換機(jī)

對總公司核心交換機(jī)進(jìn)行VTP 配置，并劃分基于IP地址劃分VLAN：

對總公司核心交換機(jī)進(jìn) 行ACL(Access Control List)配置，主要基于IP 進(jìn)行訪問策略配置，可適當(dāng)結(jié)合MAC-ACL 進(jìn)行強(qiáng)制管控，下面以VLAN 10 為例，其他VLAN 配置類似：

（3）分公司核心交換機(jī)及匯聚交換機(jī)

對分公司核心交換機(jī)進(jìn)行VTP 配置，并將端口模式轉(zhuǎn)換成Trunk，其他與總公司直連的交換機(jī)配置類似：

（4）邊界路由器

接入（無線）路由器配置NAT 地址池和轉(zhuǎn)換入口和出口，實現(xiàn)臨時訪問內(nèi)網(wǎng)和外網(wǎng)（Internet），并隔離網(wǎng)絡(luò)：

通過在模擬器上進(jìn)行配置，實現(xiàn)了大型局域網(wǎng)結(jié)構(gòu)的連通測試。各個VLAN 能夠Ping 通外網(wǎng)（Internet）和公用服務(wù)器，VLAN 之間不能互相Ping 通，只通過公用服務(wù)器實現(xiàn)日常辦公流轉(zhuǎn)。總公司和分公司通過VTP 實現(xiàn)VLAN 一致管理，同一個VLAN 內(nèi)的計算機(jī)終端能夠互相Ping 通?？赏ㄟ^臨時路由（無線路由器）接入公司內(nèi)網(wǎng)，并能Ping 通公用服務(wù)器和外網(wǎng)（Internet）。

5）服務(wù)器區(qū)交換機(jī)

對連接到服務(wù)器區(qū)交換機(jī)采用STP 生成樹配置，提供鏈路冗余，結(jié)合VLAN 技術(shù)進(jìn)行負(fù)載均衡。亦可以采用鏈路聚合技術(shù)，提供更高的帶寬，提升用戶對服務(wù)器區(qū)的訪問速度：

4.網(wǎng)絡(luò)測試結(jié)果

通過在模擬器上進(jìn)行配置，實現(xiàn)了大型局域網(wǎng)結(jié)構(gòu)的連通測試。各個VLAN 能夠Ping 通外網(wǎng)（Internet）和公用服務(wù)器，VLAN 之間不能互相Ping 通，只通過公用服務(wù)器實現(xiàn)日常辦公流轉(zhuǎn)?？偣竞头止就ㄟ^VTP 實現(xiàn)VLAN 一致管理，同一個VLAN 內(nèi)的計算機(jī)終端能夠互相Ping 通。可通過臨時路由（無線路由器）接入公司內(nèi)網(wǎng)，并能Ping 通公用服務(wù)器和外網(wǎng)（Internet）。

優(yōu)化策略

1.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），是通過將局域網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)換為公用地址，達(dá)到對外隱匿內(nèi)部的IP 地址，使得整個局域網(wǎng)只需要一個外網(wǎng)IP地址就可以連接Internet，優(yōu)點(diǎn)是從外部網(wǎng)絡(luò)無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了局域網(wǎng)絡(luò)受到攻擊的風(fēng)險。

2.通過VLAN 劃分個業(yè)務(wù)區(qū)域地址段，減少不同業(yè)務(wù)系統(tǒng)的數(shù)據(jù)交流，避免出現(xiàn)廣播風(fēng)暴，增加信息通信效率。隔離不同業(yè)務(wù)系統(tǒng)區(qū)域，避免非相關(guān)業(yè)務(wù)系統(tǒng)與終端交互，導(dǎo)致信息泄露。

3.建立DHCP 服務(wù)器用以分發(fā)網(wǎng)絡(luò)IP 地址，采用自動獲取的方式進(jìn)行設(shè)置，便于網(wǎng)絡(luò)管理員可以通過服務(wù)器驗證IP 地址與其他參數(shù)配置，同時降低網(wǎng)絡(luò)資源占用。局域網(wǎng)內(nèi)及特殊設(shè)備采用靜態(tài)IP 地址設(shè)置，使其不受租約限制，便于實時數(shù)據(jù)交互，和用戶管理。

4.基于端口進(jìn)行VLAN劃分，減少終端配置，便于網(wǎng)絡(luò)擴(kuò)容，設(shè)備增減。通過遠(yuǎn)程端口配置實現(xiàn)設(shè)備和終端管理，降低網(wǎng)絡(luò)運(yùn)維成本，便于遠(yuǎn)程維護(hù)。

5.通過STP（Spanning-Tree Protocol）二層的鏈路管理協(xié)議提供鏈路冗余的同時防止網(wǎng)絡(luò)產(chǎn)生環(huán)路，與VLAN 配合實現(xiàn)鏈路負(fù)載均衡。每個VLAN.有自己的根網(wǎng)橋，每條VLAN 中繼鏈路只轉(zhuǎn)發(fā)所允許的VLAN 數(shù)據(jù)幀。

結(jié)語

本文從VLAN 技術(shù)出發(fā)，探索一個大型網(wǎng)絡(luò)規(guī)劃設(shè)計和構(gòu)建方案，改善現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計不合理、網(wǎng)絡(luò)管理困難和網(wǎng)絡(luò)信息安全薄弱等問題，提供一個網(wǎng)絡(luò)搭建的通用方案，以及現(xiàn)有網(wǎng)絡(luò)優(yōu)化措施，盡可能通過技術(shù)擺脫設(shè)備依賴，實現(xiàn)網(wǎng)絡(luò)性能、管理和安全防護(hù)提升。