石油化工企業(yè)寬帶小區(qū)解決方案3

實(shí)例2在一個(gè)規(guī)模較大的企業(yè)中，其下屬有多個(gè)二級(jí)單位，在各單位的孤立網(wǎng)絡(luò)進(jìn)行互連時(shí)，出于對(duì)不同職能部門的管理、安全和整體網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，我們進(jìn)行了VLAN的劃分。第一步子網(wǎng)分析該網(wǎng)絡(luò)系統(tǒng)由三部分組成：公司、二級(jí)單位1、二級(jí)單位2，初始為三部分各自獨(dú)立，未形成統(tǒng)一的網(wǎng)絡(luò)環(huán)境，故各網(wǎng)絡(luò)系統(tǒng)的運(yùn)行采用的是以交換技術(shù)為主的方式。三網(wǎng)主干均采用的是千兆以太網(wǎng)技術(shù)，起點(diǎn)的高定位為企業(yè)的信息應(yīng)用帶來了高速、穩(wěn)定、符合國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)平臺(tái)。公司中心交換機(jī)采用的是Cisco的Catalyst6506，帶有三層路由的引擎使得企業(yè)網(wǎng)具有將來升級(jí)的能力；同時(shí)各二級(jí)單位的中心交換機(jī)采用的亦是Cisco的Catalyst4006；各二級(jí)、三級(jí)交換機(jī)則采用的是Cisco的Catalyst3500系列，主要因?yàn)镃atalyst3500系列交換機(jī)的高性能和可堆疊能力。現(xiàn)三部分應(yīng)公司的要求聯(lián)網(wǎng)，網(wǎng)絡(luò)的互連仍采用千兆帶寬，但因三網(wǎng)均采用了千兆以太網(wǎng)技術(shù)，為了不在主干形成瓶頸，因此各子網(wǎng)的互連采用Trunk技術(shù)，即雙千兆技術(shù)，使網(wǎng)絡(luò)帶寬達(dá)到4G，如此既增加了帶寬，又提供了鏈路的冗余，提高了整體網(wǎng)絡(luò)的高速、穩(wěn)定、安全運(yùn)行性能。但亦由于網(wǎng)絡(luò)規(guī)模的擴(kuò)大化，信息流量的加大，人員的復(fù)雜化等原因，為企業(yè)網(wǎng)絡(luò)的安全性、穩(wěn)定性、高效率運(yùn)行帶來了新的隱患。由此引發(fā)了VLAN的劃分。對(duì)于VLAN的劃分，應(yīng)公司的需求，我們對(duì)各VLAN的IP地址分配為：經(jīng)理辦子網(wǎng)：192.168.1.0——192.168.2.0/22網(wǎng)關(guān)：192.168.1.1；財(cái)務(wù)子網(wǎng)：192.168.3.0——192.168.5.0/22網(wǎng)關(guān)：192.168.3.1；供銷子網(wǎng)：192.168.6.0——192.168.8.0/22網(wǎng)關(guān)：192.168.6.1；信息中心子網(wǎng)：192.168.7.0/24網(wǎng)關(guān)：192.168.7.1；其余子網(wǎng)：192.168.8.0——192.168.9.0/22網(wǎng)關(guān)：192.168.8.1；第二步系統(tǒng)分析對(duì)于Cisco的產(chǎn)品劃分，VLAN主要是基于兩種標(biāo)準(zhǔn)協(xié)議：ISL和802.1Q。在我們這里，因?yàn)樗捎玫木荂isco的網(wǎng)絡(luò)設(shè)備，故在進(jìn)行VLAN間的互連時(shí)采用ISL的協(xié)議封裝，該協(xié)議針對(duì)Cisco網(wǎng)絡(luò)設(shè)備的硬件平臺(tái)在信息流的處理、多媒體應(yīng)用的優(yōu)化進(jìn)行了合理有效的優(yōu)化。對(duì)于不同產(chǎn)品的VLAN互連，我們?cè)诤竺鏁?huì)提到。網(wǎng)絡(luò)拓?fù)鋱D由于本案例中關(guān)于VLAN的劃分?jǐn)U展了各個(gè)交換機(jī)，所以交換機(jī)之間的連接都必須采用Trunk的方式。經(jīng)理辦和供銷子網(wǎng)代表了VLAN劃分中的兩種問題——擴(kuò)展交換機(jī)VLAN的劃分和端口VLAN的劃分：在經(jīng)理辦虛網(wǎng)中，對(duì)于一個(gè)交換機(jī)擴(kuò)展多個(gè)VLAN的時(shí)候，前面提到了該交換機(jī)與其上層交換機(jī)間必須采用Trunk方式連接，但在供銷的虛網(wǎng)劃分中，在二級(jí)單位1中的供銷獨(dú)立于一個(gè)LAN交換機(jī)Catalyst3548，所以在這里，Catalyst3548與二級(jí)中心交換機(jī)Catalyst4006只需采用正常的交換式連接即可，對(duì)于此部分供銷VLAN的劃分，只要在Catalyst4006上針對(duì)與Catalyst3548連接的端口進(jìn)行劃分即可。也就是前面提到的基于端口的VLAN的劃分。第三步路由列表做完了VLAN之間的連接后，因?yàn)閮蓚€(gè)Catalyst4006與主中心交換機(jī)Catalyst6506間采用的是雙光纖通道式連接，屏蔽了Catalyst406與Catalyst6506間的線路故障的產(chǎn)生，所以要對(duì)整體網(wǎng)絡(luò)的路由進(jìn)行基于Catalyst6506的集中式管理。我們?cè)谥髦行慕粨Q機(jī)Catalyst6506上設(shè)置了VLAN路由：經(jīng)理辦虛網(wǎng)：192.168.1.1/22；財(cái)務(wù)虛網(wǎng)：192.168.3.1/22；供銷虛網(wǎng)：192.168.6.1/22；信息中心虛網(wǎng)：192.168.7.1/24；其余虛網(wǎng)：192.168.8.1/22；接下來，在中心交換機(jī)上設(shè)置路由協(xié)議RIP或OSPF，并指定網(wǎng)段192.168.0.0。在全局配置模式下執(zhí)行如下命令：routerripnetwork192.168.0.0注意事項(xiàng)1.在這里需要注意的是：因?yàn)檎麄€(gè)公司的網(wǎng)絡(luò)系統(tǒng)的VLAN的劃分是作為一個(gè)整體結(jié)構(gòu)來設(shè)計(jì)的，所以為了保持VLAN列表的一致性，例如當(dāng)二級(jí)單位1的VLAN有所變化時(shí)，VLAN列表也會(huì)有所變化，這時(shí)就需要該Catalyst4006對(duì)整體網(wǎng)絡(luò)的其他部分進(jìn)行廣播，以達(dá)到VLAN的列表的一致性。所以在設(shè)置VTP（VLANTrunkProtocol）時(shí)要注意，要將VTP的域作為一個(gè)整體，即：VTP類型分別為Server和Client。2.有些企業(yè)建網(wǎng)較早，所選用的網(wǎng)絡(luò)設(shè)備為其他的廠商的產(chǎn)品，而后期的產(chǎn)品又不能與前期統(tǒng)一，這樣在VLAN的劃分中就會(huì)遇到些問題。例如：在Cisco產(chǎn)品與3Com產(chǎn)品的混合網(wǎng)絡(luò)結(jié)構(gòu)中劃分VLAN，對(duì)于Cisco網(wǎng)絡(luò)設(shè)備的Trunk的封裝協(xié)議則必須采用802.1Q，以達(dá)到與3Com的通訊。雖然兩者之間可以建立VLAN的正常劃分，和正常的應(yīng)用，但由于交換機(jī)都具有自學(xué)習(xí)的能力，以致兩者之間的協(xié)調(diào)配合較差。當(dāng)兩者之間的連接發(fā)生變化時(shí)，必須在Cisco交換機(jī)上使用命令（clearcounter）進(jìn)行清除，方可達(dá)到兩者的重新協(xié)調(diào)工作。經(jīng)典實(shí)例三某公司有100臺(tái)計(jì)算機(jī)左右，主要使用網(wǎng)絡(luò)的部門有：生產(chǎn)部(20)、財(cái)務(wù)部(15)、人事部(8)和信息中心(12)四大部分，如圖所示。所連的用戶主要分布于四個(gè)部分，即：生產(chǎn)部、財(cái)務(wù)部、信息中心和人事部。主要對(duì)這四個(gè)部分用戶單獨(dú)劃分VLAN，以確保相應(yīng)部門網(wǎng)絡(luò)資源不被盜用或破壞。VLAN的配置過程其實(shí)非常簡(jiǎn)單，只需兩步：（1）為各VLAN組命名；（2）把相應(yīng)的VLAN對(duì)應(yīng)到相應(yīng)的交換機(jī)端口。現(xiàn)為了公司相應(yīng)部分網(wǎng)絡(luò)資源的安全性需要，特別是對(duì)于像財(cái)務(wù)部、人事部這樣的敏感部門，其網(wǎng)絡(luò)上的信息不想讓太多人可以隨便進(jìn)出，于是公司采用了VLAN的方法來解決以上問題。通過VLAN的劃分，可以把公司主要網(wǎng)絡(luò)劃分為：生產(chǎn)部、財(cái)務(wù)部、人事部和信息中心四個(gè)主要部分，對(duì)應(yīng)的VLAN組名為：Prod、Fina、Huma、Info，各VLAN組所對(duì)應(yīng)的網(wǎng)段如下表所示。VLAN號(hào)VLAN名端口號(hào)2prodswitch12-213finaswitch22-164humaswitch32-95infoswitch310-21