基于VLAN 技術的局域網優化

■ 武漢 陳銘師 郭小玲 滿建文 呂冀周

編者按：VLAN 作為一項重要的網絡技術，它解決了用交換機式LAN 無法限制廣播、通信中商業機密泄露、網絡單元連接靈活管理等問題。本文提出一個大型局域網方案，結合VLAN 技術，對局域網優化提供借鑒。

本文設計一個大型企業的內部網絡，對局域網架構進行合理設計，并模擬仿真。小型局域網建設亦可以參照相應結構進行簡化設計，便于后期企業規模擴大之后的網絡結構升級。過程中，不斷進行優化，融合考慮了網絡運維，網絡擴容，網絡運行效率和網絡安全等多方面因素。通過應用VLAN 技術，減少對軟硬件設備的依賴，實現業務區域的邏輯隔離，對局域網優化提供良好的借鑒。

網絡結構拓撲

如圖1 所示，該結構基于一個大型企業自建局域網進行設計。該結構可作為一個企業整體獨立建網方案。亦適用于分公司通過互聯網上聯總公司，下接地區辦事處的地區接入局域網方案。該方案有如下特點：

1.多個子公司，可以是遍布各個省份，也可以是省內各個城市。

2.總公司含有多棟建筑，或包含單一業務，或包含多部門業務。

3.組織結構扁平化設計，各業務部門設置精細化。

4.各業務部門有獨立業務系統，邏輯上進行隔離。

5.分公司結構相似于總公司，同一部門上下有互聯需求。

6.不 同部門之間通過郵件或者FTP 服務器進行日常辦公交流。

7.配備大量的自助服務機或臨時接入終端等，便于其訪問互聯網。

該結構設計將業務系統，即服務器區，整體布局在總公司，便于信息安全管理?？紤]到子公司日常辦公存在臨時交流，可在其相應增加本地服務器，其設計和配置參考總公司即可。

圖1 網絡結構圖

IP 地址規劃及VLAN 劃分

1.IP 地址規劃

除了良好的網絡結構設計之外，還需要對IP 地址進行規劃，便于后續網絡的擴容、調整及訪問控制策略的配置等。

（1）企業內部網絡采用三段私網地址：10.0.0.0/8；172.16.0.0/12；192.168.0.0/16。

（2）對IP 地址規劃采用先功能類別、再業務部分原則進行區分，功能類別指VPN及互聯網、內網辦公、臨時（無線）網絡接入。

（3）不同業務部門采用不同的IP 地址段，網絡互連設備和公用服務器使用某一獨立地址段。

2.VLAN 劃分原則

（1）VLAN 按照部門劃分，采用基于IP 地址劃分和基于端口劃分相結合。

（2）每個VLAN 暫定為一個地址段，總公司和分公司共用，采用VTP（VLAN Trunking Protocol）進行配置。

如表1 所示，外網和臨時（無線）接入采用DHCP 動態獲取IP 地址的方式，便于地址的收回，通過NAT 進行地址轉換，只訪問有限的內網區域。網絡互聯設備和公用服務器共用172.16.0.0/24的地址段，其中網絡設備和部分公用服務器端口采用Trunk 模式，而將各個業務服務器劃分到對應的VLAN。每個部門劃分一個VLAN，如果接入設備太多，可以再細分限制廣播域。VLAN 之間互不通信，但是都能訪問公用服務器區。

3.主要設備的具體配置

（1）邊界路由器

邊界路由器配置NAT地址池和轉換入口和出口，實現內部局域網訪問Internet，并隔離網絡：

（2）總公司核心交換機

對總公司核心交換機進行VTP 配置，并劃分基于IP地址劃分VLAN：

對總公司核心交換機進 行ACL(Access Control List)配置，主要基于IP 進行訪問策略配置，可適當結合MAC-ACL 進行強制管控，下面以VLAN 10 為例，其他VLAN 配置類似：

（3）分公司核心交換機及匯聚交換機

對分公司核心交換機進行VTP 配置，并將端口模式轉換成Trunk，其他與總公司直連的交換機配置類似：

（4）邊界路由器

接入（無線）路由器配置NAT 地址池和轉換入口和出口，實現臨時訪問內網和外網（Internet），并隔離網絡：

通過在模擬器上進行配置，實現了大型局域網結構的連通測試。各個VLAN 能夠Ping 通外網（Internet）和公用服務器，VLAN 之間不能互相Ping 通，只通過公用服務器實現日常辦公流轉?？偣竞头止就ㄟ^VTP 實現VLAN 一致管理，同一個VLAN 內的計算機終端能夠互相Ping 通?？赏ㄟ^臨時路由（無線路由器）接入公司內網，并能Ping 通公用服務器和外網（Internet）。

5）服務器區交換機

對連接到服務器區交換機采用STP 生成樹配置，提供鏈路冗余，結合VLAN 技術進行負載均衡。亦可以采用鏈路聚合技術，提供更高的帶寬，提升用戶對服務器區的訪問速度：

4.網絡測試結果

通過在模擬器上進行配置，實現了大型局域網結構的連通測試。各個VLAN 能夠Ping 通外網（Internet）和公用服務器，VLAN 之間不能互相Ping 通，只通過公用服務器實現日常辦公流轉?？偣竞头止就ㄟ^VTP 實現VLAN 一致管理，同一個VLAN 內的計算機終端能夠互相Ping 通?？赏ㄟ^臨時路由（無線路由器）接入公司內網，并能Ping 通公用服務器和外網（Internet）。

優化策略

1.網絡地址轉換（NAT），是通過將局域網網絡地址轉換為公用地址，達到對外隱匿內部的IP 地址，使得整個局域網只需要一個外網IP地址就可以連接Internet，優點是從外部網絡無法發現內部網絡結構，從而降低了局域網絡受到攻擊的風險。

2.通過VLAN 劃分個業務區域地址段，減少不同業務系統的數據交流，避免出現廣播風暴，增加信息通信效率。隔離不同業務系統區域，避免非相關業務系統與終端交互，導致信息泄露。

3.建立DHCP 服務器用以分發網絡IP 地址，采用自動獲取的方式進行設置，便于網絡管理員可以通過服務器驗證IP 地址與其他參數配置，同時降低網絡資源占用。局域網內及特殊設備采用靜態IP 地址設置，使其不受租約限制，便于實時數據交互，和用戶管理。

4.基于端口進行VLAN劃分，減少終端配置，便于網絡擴容，設備增減。通過遠程端口配置實現設備和終端管理，降低網絡運維成本，便于遠程維護。

5.通過STP（Spanning-Tree Protocol）二層的鏈路管理協議提供鏈路冗余的同時防止網絡產生環路，與VLAN 配合實現鏈路負載均衡。每個VLAN.有自己的根網橋，每條VLAN 中繼鏈路只轉發所允許的VLAN 數據幀。

結語

本文從VLAN 技術出發，探索一個大型網絡規劃設計和構建方案，改善現有網絡結構設計不合理、網絡管理困難和網絡信息安全薄弱等問題，提供一個網絡搭建的通用方案，以及現有網絡優化措施，盡可能通過技術擺脫設備依賴，實現網絡性能、管理和安全防護提升。