VLAN技術(shù)在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用設(shè)計

VLAN技術(shù)在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用設(shè)計摘要論文中提出了本人實習(xí)企業(yè)網(wǎng)絡(luò)改造方式，分層結(jié)構(gòu)設(shè)計，并且從網(wǎng)絡(luò)性能，可擴充性，用戶管理，安全性等方面對網(wǎng)絡(luò)結(jié)構(gòu)進行了分析。結(jié)合實習(xí)企業(yè)網(wǎng)絡(luò)的實際情況，論文提出了VLAN在局域網(wǎng)中的具體解決方案：包括VLAN的劃分，VLANID的規(guī)劃，研究了VLAN之間的兩種路由策略（集中控制和分布式路由），分析了VLAN之間的訪問控制方法。關(guān)鍵詞：VLAN；網(wǎng)絡(luò)設(shè)計；第三層交換

AbstractThispaperpresentsmypracticeofenterprisenetworktransformationmethod,hierarchicalstructuredesign,andfromthenetworkperformance,scalability,usermanagement,securityandotheraspectsoftheanalysisofthenetworkstructure.Combinedwithpracticalsituationofreaderspublishinggroupnetwork,thispaperpresentsVLANspecificsolutionsinLAN:VLANclassification,VLANIDplanning,studiestwokindsofroutingstrategiesbetweenVLAN(centralizedcontrolanddistributedrouting),analysisoftheVLANaccesscontrolmethod.Keywords:VLAN;networkdesign;thethirdlayerexchange

目錄前言 51.VLAN技術(shù)概述 51.1VLAN的劃分 61.1.1基于端口劃分 61.1.2基于MAC地址劃分 61.1.3基于網(wǎng)絡(luò)層劃分 61.1.4基于策略的劃分 71.2VLAN的優(yōu)點 71.2.1控制網(wǎng)絡(luò)上的廣播風(fēng)暴 71.2.2增強網(wǎng)絡(luò)的安全性 81.2.3網(wǎng)絡(luò)管理簡單、直觀 81.2.4提高網(wǎng)絡(luò)整體性能 82VLAN在企業(yè)內(nèi)網(wǎng)中的優(yōu)勢及應(yīng)用 92.1VLAN在企業(yè)內(nèi)網(wǎng)中的優(yōu)勢 92.2VLAN在企業(yè)內(nèi)網(wǎng)中的應(yīng)用 92.2.1局域網(wǎng)內(nèi)部的局域網(wǎng) 92.2.2共享訪問—訪問共同的接入點和服務(wù)器 102.2.3交疊虛擬局域網(wǎng) 103基于VLAN的企業(yè)網(wǎng)絡(luò)設(shè)計 113.1基于VLAN的網(wǎng)絡(luò)設(shè)計所遵循的原則 113.2企業(yè)概況 113.3企業(yè)網(wǎng)絡(luò)規(guī)劃 123.4企業(yè)網(wǎng)絡(luò)組網(wǎng)的常用命令 133.5企業(yè)網(wǎng)絡(luò)實現(xiàn) 14結(jié)語 18參考文獻 19致謝 20前言本人實習(xí)的企業(yè)由于近年來對計算機網(wǎng)絡(luò)的依賴性越來越突出，計算機網(wǎng)絡(luò)承受的壓力也越來越大。一方面，由于網(wǎng)絡(luò)內(nèi)各種網(wǎng)絡(luò)終端設(shè)備數(shù)量增多、網(wǎng)絡(luò)規(guī)模擴大、網(wǎng)絡(luò)流量突增；另一方面，各種企業(yè)管理應(yīng)用系統(tǒng)不斷投入使用，如辦公自動化系統(tǒng)、出版業(yè)務(wù)管理信息系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)、財務(wù)管理系統(tǒng)。這些系統(tǒng)對網(wǎng)絡(luò)的帶寬、安全性和可靠性提出了更高的要求。局域網(wǎng)在一開始設(shè)計時，設(shè)計的容量在220臺左右，但目前所需使用IP地址的設(shè)備已經(jīng)達到400多臺，而且隨著新辦公樓的竣工，還要增加設(shè)備，這已經(jīng)超出網(wǎng)絡(luò)IP地址資源范圍所能承載的容量，各科室所使用的計算機在現(xiàn)行網(wǎng)絡(luò)環(huán)境中出現(xiàn)IP地址沖突，造成無法訪問內(nèi)網(wǎng)和internet網(wǎng)的情況：另外部門之間對數(shù)據(jù)信息的任意調(diào)用，一定程度上影響了數(shù)據(jù)的安全。針對該企業(yè)局域網(wǎng)存在的問題和VLAN技術(shù)特點，本文給出了一種基于VLAN技術(shù)的企業(yè)局域網(wǎng)改造設(shè)計方案。CISC04009以太網(wǎng)交換機支持VLAN、多播過濾、三層交換、廣播風(fēng)暴限制等高級網(wǎng)絡(luò)功能。在配合網(wǎng)絡(luò)安全管理系統(tǒng)得情況下有效的避免了廣播風(fēng)暴、黑客入侵、病毒傳播，在一定程度上節(jié)約了網(wǎng)絡(luò)帶寬，降低了網(wǎng)絡(luò)內(nèi)主機負載，提高了辦公信息網(wǎng)絡(luò)的快速高效和安全可靠。1.VLAN技術(shù)概述VLAN也就是虛擬局域網(wǎng)，是一種建立在交換技術(shù)基礎(chǔ)之上的，通過將局域網(wǎng)內(nèi)的機器設(shè)備邏輯的而不是物理的劃分成一個個不同的網(wǎng)段，以軟件力一式實現(xiàn)邏輯工作組的劃分與管理的技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實現(xiàn)的802。IQ協(xié)議標(biāo)準(zhǔn)草案。在交換式局域網(wǎng)中，利用VLAN技術(shù)，可將網(wǎng)絡(luò)設(shè)備劃分成多個邏輯子網(wǎng)，從而實現(xiàn)虛擬工作組數(shù)據(jù)交換功能。VLAN技術(shù)靈活，它工作在OS工參考模型的數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上，一個子網(wǎng)形成了一個邏輯廣播域，子網(wǎng)之間的通信是通過網(wǎng)絡(luò)層的路由器或三層交換機來轉(zhuǎn)發(fā)的，子網(wǎng)的劃分可覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中，虛擬局域網(wǎng)技術(shù)使得網(wǎng)絡(luò)的拓撲結(jié)構(gòu)變得非常靈活機動。1.1VLAN的劃分交換式以太網(wǎng)中VLAN的劃分主要有四種途徑：基于端口的劃分、基于MAC地址(網(wǎng)絡(luò)適配器硬件地址)的劃分、基于網(wǎng)絡(luò)層地址的劃分以及基于策略的劃分「8」。其中基于端口為靜態(tài)VLAN劃分方法，其余三種皆是動態(tài)的，不同的劃分方式代表不同的VLAN實現(xiàn)類型。1.1.1基于端口劃分指定交換機端口，使之屬于特定的VLAN，連接到該端口的設(shè)備都屬于此VLAN。一個VLAN可以配置在不同交換機上?；诙丝趧澐諺LAN網(wǎng)絡(luò)成員的配置簡單方便，只要將交換機全部端口指定一下即可，適用于網(wǎng)絡(luò)環(huán)境相對固定的狀況。不足之處是靈活性不好，當(dāng)一個內(nèi)網(wǎng)用戶從一個端口移動到另外一個新的端口時，如果二者不屬于同一個VLAN，網(wǎng)絡(luò)管理員必須重新配置，否則用戶將無法進行網(wǎng)絡(luò)通信；再有，這種劃分方式不支持多個虛擬子網(wǎng)共享一個物理端口，不便于用戶管理。1.1.2基于MAC地址劃分計算機中的每塊網(wǎng)卡都有一個唯一的硬件物理地址，即MAC地址。這種力一法劃分VLAN，要求交換機對站點的MAC地址進行跟蹤，在新站點人網(wǎng)時。需要把它添加到相應(yīng)的VLAN中。以后無論這個站點怎么移動。只要MAC地址不變。就無需對它進行重新配置。這種VLAN技術(shù)的不足之處是初始化時網(wǎng)絡(luò)中所有的用戶都必須進行配置，在一個擁有大量節(jié)點的企業(yè)網(wǎng)絡(luò)中，如果要求管理員將每個用戶都一一劃分到特定的VLAN中，配置任務(wù)將會十分繁重。同時以這種方法劃分虛擬子網(wǎng)，每一臺交換設(shè)備的端口都存在多個VLAN組的成員，導(dǎo)致了交換設(shè)備運行速度下降，網(wǎng)絡(luò)中的廣播數(shù)據(jù)包無法得到有效的限制。1.1.3基于網(wǎng)絡(luò)層劃分基于網(wǎng)絡(luò)層劃分VLAN有兩種方法，一種是按照協(xié)議類型(如果網(wǎng)絡(luò)中存在多協(xié)議)，另一種是依據(jù)每臺主機的網(wǎng)絡(luò)層地址?；谕ㄐ艆f(xié)議的劃分方法適用于大型網(wǎng)絡(luò)中，虛擬子網(wǎng)的類型包括工P子網(wǎng)、工PX子網(wǎng)及SPX子網(wǎng)等。使用相同協(xié)議通信的主機配置在同一個VLAN中，交換機加電啟動后檢驗以太標(biāo)題域，查看所用協(xié)議類型。如果對應(yīng)協(xié)議的VLAN已存在，則加入源端口；若此類型子網(wǎng)不存在，需創(chuàng)建一個新的VLAN?；谥鳈C網(wǎng)絡(luò)層地址的劃分方法是依據(jù)網(wǎng)絡(luò)中IP子網(wǎng)掩碼、IP網(wǎng)絡(luò)號來進行VLAN分組，網(wǎng)絡(luò)交換設(shè)備啟動后查看主機的掩碼和網(wǎng)絡(luò)號，根據(jù)接入主機的地址信息自動將其劃分到不同的虛擬子網(wǎng)中，用戶主機無需進行太多配置。利用網(wǎng)絡(luò)層劃分VLAN的不足之處是：它需要分析各種協(xié)議的地址格式并進行相應(yīng)的轉(zhuǎn)換，還有檢查網(wǎng)絡(luò)數(shù)據(jù)包的地址需耗費交換設(shè)備的處理時間和較多的資源，因此運行速度較慢、效率較低。1.1.4基于策略的劃分基于策略的VLAN相對來說是一種較為靈活的劃分方法，能實現(xiàn)按交換機物理端口、按MAC地址、按工P地址、按網(wǎng)絡(luò)層協(xié)議類型、按網(wǎng)絡(luò)的應(yīng)用等多種策略劃分VLAN，網(wǎng)絡(luò)管理員可以根據(jù)自己的管理模式和本企業(yè)的實際需求，來決定選擇哪種類型的VLAN。管理員通過網(wǎng)管軟件來確定劃分VLAN的規(guī)則，當(dāng)網(wǎng)絡(luò)中有用戶連接時，可被交換設(shè)備檢測到，正確地劃入相應(yīng)的VLAN中，而且亦可識別和跟蹤物理位置發(fā)生變動的主機。1.2VLAN的優(yōu)點1.2.1控制網(wǎng)絡(luò)上的廣播風(fēng)暴在沒有應(yīng)用VLAN技術(shù)的局域網(wǎng)內(nèi)的整個網(wǎng)絡(luò)都是廣播域，這樣就使得網(wǎng)內(nèi)的一臺設(shè)備發(fā)出網(wǎng)絡(luò)廣播時，在局域網(wǎng)內(nèi)的任何一臺設(shè)備的接口都能接收到廣播，因此當(dāng)網(wǎng)絡(luò)內(nèi)的設(shè)備越來越多時，網(wǎng)絡(luò)上的廣播也就越來越多，占用的時間和資源也就越來越多，當(dāng)廣播多到一定的數(shù)量時，就會影響到正常的信息的傳送。這樣就能使得信息延遲，嚴(yán)重的可以造成網(wǎng)絡(luò)的堵塞、癱瘓，嚴(yán)重的影響了正常的網(wǎng)絡(luò)應(yīng)用，這就是所謂的廣播風(fēng)暴。在應(yīng)用了VLAN技術(shù)的局域網(wǎng)中，縮小了廣播的廣播域，在一個VLAN中的廣播風(fēng)暴也不會影響到其他的VLAN，從而有效地減小了廣播風(fēng)暴對局域網(wǎng)網(wǎng)絡(luò)的影響。1.2.2增強網(wǎng)絡(luò)的安全性在局域網(wǎng)中應(yīng)用VLAN技術(shù)可以把互相通信比較頻繁的用戶劃分到同一個VLAN中，這樣在同一個工作組中的信息傳輸只在同一個組內(nèi)廣播，從而也減輕了因廣播包被截獲而引起的信息泄露，增強了網(wǎng)絡(luò)的安全性。1.2.3網(wǎng)絡(luò)管理簡單、直觀對于交換式以太網(wǎng)，如果對某此用戶重新進行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個VLAN可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護工作的負擔(dān)，降低了網(wǎng)絡(luò)維護費用。1.2.4提高網(wǎng)絡(luò)整體性能通過路由訪問列表和VLAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能。

2VLAN在企業(yè)內(nèi)網(wǎng)中的優(yōu)勢及應(yīng)用2.1VLAN在企業(yè)內(nèi)網(wǎng)中的優(yōu)勢對采用了VLAS技術(shù)的企業(yè)網(wǎng)絡(luò)來說，可以在不改動網(wǎng)絡(luò)物理連接的情況下任意地將工作站在子網(wǎng)之間移動。相比傳統(tǒng)的共享式局域網(wǎng)，用戶需要重新進行網(wǎng)段分配，網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)也要進行重新調(diào)整，甚至要添加網(wǎng)絡(luò)設(shè)備。無疑，VLAN技術(shù)對管理網(wǎng)絡(luò)更具有靈活性，操作更為便捷、簡單?，F(xiàn)代企業(yè)一般都規(guī)模龐大，人員眾多，部門繁雜，各部門既相對獨立，業(yè)務(wù)又相互關(guān)聯(lián)，企業(yè)局域網(wǎng)的拓撲結(jié)構(gòu)錯綜復(fù)雜。通過VLAN技術(shù)可以對企業(yè)網(wǎng)按照部門職能、對象組或者應(yīng)用進行靈活劃分，根據(jù)需求動態(tài)調(diào)整，既能滿足企業(yè)網(wǎng)上的各種應(yīng)用，使網(wǎng)絡(luò)中廣播包消耗帶寬所占比例大大降低，網(wǎng)絡(luò)性能得到顯著提高，又能大大便利企業(yè)職能部門的管理，提高工作效率。對于多用戶的企業(yè)局域網(wǎng)來說，這個特性是非常有利的。通過對企業(yè)網(wǎng)的VLAN規(guī)劃，可以在企業(yè)各職能部門之間設(shè)定不同的訪問權(quán)限，防止非法入侵。從而更好地確保了網(wǎng)絡(luò)的安全性，提高了交換式網(wǎng)絡(luò)的整體性能。2.2VLAN在企業(yè)內(nèi)網(wǎng)中的應(yīng)用由于虛擬局域網(wǎng)具有比較明顯的優(yōu)勢，在各種企業(yè)中都有了很好的應(yīng)用。下而就根據(jù)不同的案例來分析虛擬局域網(wǎng)的應(yīng)用情況。2.2.1局域網(wǎng)內(nèi)部的局域網(wǎng)往往很多企業(yè)已經(jīng)具有一個相當(dāng)規(guī)模的局域網(wǎng)，但是現(xiàn)在企業(yè)內(nèi)部因為保密或者其他原因，要求各業(yè)務(wù)部門或者課題組獨立成為一個局域網(wǎng)，同時，各業(yè)務(wù)部門或者課題組的人員不一定是在同一個辦公地點，各網(wǎng)絡(luò)之間不允許互相訪問。根據(jù)這種情況，可以有幾種解決方法，但是虛擬局域網(wǎng)解決方法可能是最好的為了完成上述任務(wù)，我們要做的工作是收集各部門的人員組成、所在位置、與交換機連接的端口等信息。根據(jù)部門數(shù)量對交換機進行配置，創(chuàng)建虛擬局域網(wǎng)，設(shè)置中繼，最后，在一個公用的局域網(wǎng)內(nèi)部劃分出來若干個虛擬的局域網(wǎng)，同時減少了局域網(wǎng)內(nèi)的廣播，提高了網(wǎng)絡(luò)傳輸性能這樣的虛擬局域網(wǎng)可以方便地根據(jù)需要增加、改變、刪除。2.2.2共享訪問—訪問共同的接入點和服務(wù)器在一些大型寫字樓或商業(yè)建筑(酒店、展覽中心等)，經(jīng)常存在這樣的現(xiàn)象：大樓出租給各個單位，并且大樓內(nèi)部已經(jīng)構(gòu)建好了局域網(wǎng)，提供給入駐企業(yè)或客戶網(wǎng)絡(luò)平臺，并通過共同的出口訪問Internet或者大樓內(nèi)部的綜合信息服務(wù)器由于大樓的網(wǎng)絡(luò)平臺是統(tǒng)一的，使用的客戶有物業(yè)管理人員、有其他不同單位的客戶。在這樣一個共享的網(wǎng)絡(luò)環(huán)境下，解決不同企業(yè)或單位對網(wǎng)絡(luò)的需求的同時，還要保證各企業(yè)間信息的獨立。這種情況下，虛擬局域網(wǎng)提供了很好的解決方案。大廈的系統(tǒng)管理員可以為入駐企業(yè)創(chuàng)建一個個獨立的虛擬局域網(wǎng)，保證企業(yè)內(nèi)部的互相訪問和企業(yè)間信息的獨立，然后利用中繼技術(shù)，將提供接入服務(wù)的代理服務(wù)器或者路由器所對應(yīng)的局域網(wǎng)接口配置成為中繼模式，實現(xiàn)共享接入這種配置方式還有一個好處，可以根據(jù)需要設(shè)置中繼的訪問許可，靈活地允許或者拒絕某個虛擬局域網(wǎng)的訪問。2.2.3交疊虛擬局域網(wǎng)交疊虛擬局域網(wǎng)是在基于端口劃分虛擬局域網(wǎng)的基礎(chǔ)上提出來的，最早的交換機每一個端口只能同時屬于一個虛擬局域網(wǎng)，交疊虛擬局域網(wǎng)允許一個交換機端口同時屬于多個虛擬局域網(wǎng)。這種技術(shù)可以解決一些突發(fā)性的、臨時性的虛擬局域網(wǎng)劃氖比如在一個科研機構(gòu)，已經(jīng)劃分了若干個虛擬局域網(wǎng)，但是因為某個科研任務(wù)，從各個虛擬局域網(wǎng)里而抽調(diào)出來技術(shù)人員臨時組成課題組，要求課題組內(nèi)部通信自如，同時各科研人員還要保持和原來的虛擬局域網(wǎng)進行信息交流如果采用路由和訪問列表控制技術(shù)，成本會較大，同時會降低網(wǎng)絡(luò)性能交疊技術(shù)的出現(xiàn)，為這一問題提供了廉價的解決方法；只需要將要加入課題組的人員所對應(yīng)的交換機端口設(shè)置成為支持多個虛擬局域，然后創(chuàng)建一個新虛擬局域網(wǎng)，將所有人員劃分到新虛擬局域，保持各人員原來所屬虛擬局域網(wǎng)不變即可。3基于VLAN的企業(yè)網(wǎng)絡(luò)設(shè)計3.1基于VLAN的網(wǎng)絡(luò)設(shè)計所遵循的原則實用性與先進性。要求局域網(wǎng)網(wǎng)能夠滿足管理的實際需要，支持寬帶多媒體業(yè)務(wù)，例如遠程會議等。設(shè)備選型要技術(shù)先進，能適應(yīng)未來發(fā)展，具有靈活方便的業(yè)務(wù)擴展能力和充分完備的接入能力，設(shè)備及其軟件具有可持續(xù)發(fā)展的平滑升級性。開放性與標(biāo)準(zhǔn)化。局域網(wǎng)所采用的網(wǎng)絡(luò)技術(shù)應(yīng)采用符合國際標(biāo)準(zhǔn)的通信協(xié)議、標(biāo)準(zhǔn)化接口及中國電總以太網(wǎng)接入的規(guī)范：應(yīng)滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；并需有良好的維護和管理手段?？煽啃耘c安全性。在局域網(wǎng)的設(shè)計中，主要考慮兩個層次：一是整個網(wǎng)絡(luò)的可靠性與安全性，采用高可靠性高安全性的網(wǎng)絡(luò)體系結(jié)構(gòu)，包括合理設(shè)計廣域網(wǎng)的訪問控制和內(nèi)部虛擬網(wǎng)的訪問控制、對外部網(wǎng)絡(luò)訪問鏈路的備份等；二是網(wǎng)絡(luò)設(shè)備的安全性和可靠性，主要是采用可帶電插拔的模塊、配置雙電源、端口冗余、設(shè)置網(wǎng)絡(luò)設(shè)備的用戶表及口令限制等手段。同時，在通信網(wǎng)絡(luò)、資源配置、系統(tǒng)服務(wù)和網(wǎng)絡(luò)管理上有良好的分層設(shè)計，使網(wǎng)絡(luò)結(jié)構(gòu)清晰，便于使用、管理和維護。經(jīng)濟性與可擴充性。在滿足需求的前提下，選用性能價格比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器。采用的網(wǎng)絡(luò)架構(gòu)和設(shè)備，應(yīng)充分考慮到容易升級換代，隨著對校局域網(wǎng)需求的不斷發(fā)展，能夠使系統(tǒng)不斷延伸和擴充，充分利用和保護現(xiàn)有的投資利益。3.2企業(yè)概況中小型企業(yè)在發(fā)展和建立之初，組件自己的信息化網(wǎng)絡(luò)顯得比較的重要，本文以物流報關(guān)企業(yè)為例，組件企業(yè)的網(wǎng)絡(luò)基礎(chǔ)平臺，在組件網(wǎng)絡(luò)平時時充分考慮企業(yè)的信息安全，資源利用和網(wǎng)絡(luò)通信效率。A物流公司組織架構(gòu)由客服部、運營部、財務(wù)部、人事部門組成?？头?，提供一站式物流集中服務(wù)，為客戶提供業(yè)務(wù)咨詢、業(yè)務(wù)受理、業(yè)務(wù)查詢、投訴等24小時的周到的服務(wù)，并適時開展調(diào)查和客戶回訪；同時承擔(dān)市場開發(fā)任務(wù)。運營部:下設(shè)外包部、配送部、倉儲部。外包部，主要承擔(dān)本公司無法完成運輸?shù)奈锲返耐獍ぷ鳎瑓f(xié)調(diào)與其他物流公司的配合，構(gòu)造良好的虛擬運營環(huán)境，擴大本公司的業(yè)務(wù)范圍和業(yè)務(wù)量。倉儲部，正確使用倉庫有效面積，合理存儲、保存貨物，確保進出貨物準(zhǔn)確暢通。配送部，及時、準(zhǔn)確、無損地將整車、零擔(dān)貨物及外包貨物配載發(fā)送至目的地。人事部:根據(jù)業(yè)務(wù)發(fā)展?fàn)顩r，提出可行的用工制度建議、管好人才資源，做到合理安排、正確使用，公開招聘或人才市場招聘，擇優(yōu)錄用。同時負責(zé)員工的培訓(xùn)工作。財務(wù)部:負責(zé)公司財務(wù)制度貫徹執(zhí)行，加強財務(wù)審計、審查，對外結(jié)算、對內(nèi)報銷報賬、做好成本核算，收集整理統(tǒng)計數(shù)據(jù)，提出提高經(jīng)濟效益的可行性建議，對各項指標(biāo)進行綜合分析及修正。同時公司擁有自己的DNS域名解析服務(wù)器、WEB服務(wù)器和OA辦公系統(tǒng)。各個部門通過網(wǎng)絡(luò)服務(wù)器軟件進行工作協(xié)作。3.3企業(yè)網(wǎng)絡(luò)規(guī)劃各個部門允許一組不限物理位置的用戶群共享一個獨立的廣播域，可以在一個物理網(wǎng)絡(luò)中劃分多個VLAN，使不同的用戶群屬于不同的廣播域。VLAN虛擬局域網(wǎng)指位于一個或多個局域網(wǎng)設(shè)備經(jīng)過配置能夠連接到同一個信道中進行通信，而實際上它們分布在不同的局域網(wǎng)段中。VLAN除了沒有物理位置的限制，其他屬性都和普通局域網(wǎng)相同。采用VLAN技術(shù)讓網(wǎng)絡(luò)可以更加靈活的方式對業(yè)務(wù)目標(biāo)予以支持，VLAN劃分具有有點是：（1）安全。（2）提高網(wǎng)絡(luò)性能。（3）防范網(wǎng)絡(luò)風(fēng)暴。（4）提高IT維護人員工作效率。（5）簡化項目管理或應(yīng)用管理。VLAN劃分采用了按照部門劃分完成，基于三層交換機的VLAN劃分。企業(yè)網(wǎng)絡(luò)拓撲圖如下圖所示：核心交換機是具備三層路由功能的的交換機組成，其接口可以實現(xiàn)基于三層尋址的分組轉(zhuǎn)發(fā)每個三層接口都定義了一個單獨的廣播域。在為接口配置好IP協(xié)議以后，該接口就可以成為連接該接口的同一個廣播域內(nèi)的其他設(shè)備和主機的網(wǎng)關(guān)。三層交換機是基于IP地址的交換表。企業(yè)局域網(wǎng)劃分VLAN以后，每個VLAN是一個單獨的廣播域，所以在默認(rèn)情況下，不同VLAN中的計算機之間無法通信。允許計算機之間通信的一種方法是VLAN間路由，它是使用三層設(shè)備從一個VLAN向另一個VLAN轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量的過程。VLAN與網(wǎng)絡(luò)中唯一的IP子網(wǎng)相關(guān)聯(lián)，VLAN中每個設(shè)備配置一個相同網(wǎng)段的IP地址，不同的VLAN使用不同網(wǎng)段的IP地址，這種子網(wǎng)VLAN關(guān)聯(lián)簡化了多VLAN環(huán)境中的路由處理。為了使第三層交換機執(zhí)行路由功能，交換機上的VLAN接口都需要配置合適的IP地址，該IP地址就是該VLAN中主機的網(wǎng)關(guān)地址。3.4企業(yè)網(wǎng)絡(luò)組網(wǎng)的常用命令本文網(wǎng)絡(luò)規(guī)劃與實現(xiàn)測試采用了CiscoPacketTracer模擬器完成，主要命令均來自與Cisco網(wǎng)絡(luò)設(shè)備。創(chuàng)建VLANVlanvlan-idnamevlan-name設(shè)置端口為存取模式Switchportmodeaccess將端口添加到指定的VLANID中去Switchportaccessvlanvlan-id打開交換機級聯(lián)口中的中繼功能Switchportmodetrunk設(shè)置交換機當(dāng)前端口為三層端口NoSwitchport為三層交換機配置IP地址Ipaddressaddressnetmask3.5企業(yè)網(wǎng)絡(luò)實現(xiàn)根據(jù)網(wǎng)絡(luò)規(guī)劃，設(shè)計網(wǎng)絡(luò)參數(shù)表，如下表所示。部門名稱IP地址VLAN號VLAN名網(wǎng)關(guān)客戶部192.168.10.X/2410Customer_szjm192.168.10.254/24運營部192.168.20.X/2420Operation_szjm192.168.20.254/24行政部192.168.30.X/2430Admin_szjm192.168.30.254/24DNS服務(wù)器192.168.40.1/2440servers192.168.40.254/24WEB服務(wù)器192.168.40.2/2440servers192.168.40.254/24通關(guān)服務(wù)器192.168.40.3/2440servers192.168.40.254/24VLAN劃分為10,20,30,40分別表示不同的部門和不同的區(qū)域。配置命令和步驟如下：（1）創(chuàng)建VLAN首先在核心交換機上面配置VTP域Switch3650#conftSwitch3650(config)#vtpdomainszjm然后創(chuàng)建VLANSwitch3650(config)#vlan10Switch3650(config-vlan)#namecustomer_szjmSwitch3650(config)#vlan20Switch3650(config-vlan)#nameoperation_szjmSwitch3650(config)#vlan30Switch3650(config-vlan)#nameadmin_szjmSwitch3650(config)#vlan40Switch3650(config-vlan)#nameservers（2）在接入交換機配置Trunk口3個部門的交換機由于需要級聯(lián)，所以需要在對應(yīng)的端口上設(shè)置TrunkSwitch1>enaSwitch1#conftSwitch1(config)#intf0/24Switch1(config-if)#switchportmodetrunk同樣對需要接入的另外2個部門的交換機也設(shè)置Trunk（3）劃分VLAN由于核心交換機的VLAN40要接入應(yīng)用服務(wù)器，所以在每個服務(wù)器連接的端口設(shè)置端口為存取模式。對于接入交換機接入的機器也需要設(shè)置相應(yīng)端口為存取模式。Switch3650(config-if)#intrangef0/22–f0/24Switch3650(config-if-range)#switchportmodeaccessSwitch3650(config-if-range)#switchportaccessvlan40//用于連接應(yīng)用服務(wù)器端口設(shè)置在對應(yīng)的接入交換機上做設(shè)置Switch1(config-if)#intrangef0/1–f0/20Switch1(config-if-range)#switchportmodeaccessSwitch1(config-if-range)#switchportaccessvlan10//客戶部Switch2(config-if)#intrangef0/1–f0/20Switch2(config-if-range)#switchportmodeaccessSwitch2(config-if-range)#switchportaccessvlan20//運營部Switch3(config-if)#intrangef0/1–f0/20Switch3(config-if-range)#switchportmodeaccessSwitch3(config-if-range)#switchportaccessvlan30//行政部（4）在3650核心交換機上面啟用路由功能。Switch3650(config)#iprouting在核心交換上面配置各個VLAN網(wǎng)關(guān)，具體參數(shù)參考上表Switch3650#conftSwitch3650(config)#interfacevlan10Switch3650(config-if)#ipaddress192.168.10.254255.255.255.0//客戶部網(wǎng)關(guān)Switch3650(config-if)#interfacevlan20Switch3650(config-if)#ipaddress192.168.20.254255.255.255.0//運營部網(wǎng)關(guān)Switch3650(config-if)#interfacevlan30Switch3650(config-if)#ipaddress192.168.30.254255.255.255.0//行政部網(wǎng)關(guān)Switch3650(config-if)#interfacevlan40Switch3650(config-if)#ipaddress192.168.40.254255.255.255.0//行政部網(wǎng)關(guān)安裝DNS，WEB和通關(guān)服務(wù)器。DNS服務(wù)器設(shè)置如下：電腦客戶端打開網(wǎng)頁，運行效果如下所示：運行測試，整個網(wǎng)絡(luò)拓撲圖如下圖所示。結(jié)語論文中提出了實習(xí)企業(yè)網(wǎng)絡(luò)改造方式，分層結(jié)構(gòu)設(shè)計，并且從網(wǎng)絡(luò)性能，可擴充性，用戶管理，安全性等方面對網(wǎng)絡(luò)結(jié)構(gòu)進行了分析。結(jié)合讀者出版集團網(wǎng)絡(luò)的實際情況，論文提出了VLAN在局域網(wǎng)中的具體解決方案：包括VLAN的劃分，VLANID的規(guī)劃，研究了VLAN之間的兩種路由策略（集中控制和分布式路由），分析了VLAN之間的訪問控制方法。

參