企業規模的擴大造就了企業網絡規模的不斷膨脹,眾多企業在擴展網絡規模時采用了在原有的網絡上直接增加計算機的方法來實現,隨之而來的就是網絡體系變得越來越復雜,對網絡的管理也變得越來越困難,網內的安全指數也變得越來越低,并且網絡資源的利用率也大大降低,如何行之有效的管理網絡和合理利用網絡資源成為企業最大的難題。
采用VLAN方式劃分網絡體系能夠讓管理員更加方便的管理企業網絡,而VLAN網絡靈活的擴展能力也讓企業網絡規模在不斷擴大的同時不會出現網絡混亂的情況,VLAN網絡所具有的控制廣播風暴能力讓企業網絡資源的性能得到大幅度提高,并且VLAN網絡還具有管理簡單,安全性高的特點。因此,在網絡最初的設計中采用VLAN方式能夠對網絡將來的擴展帶來極大的好處。
在普通的小型企業中,采用路由器方式劃分VLAN是一種節約成本的方法,不過在大中型企業中,采用路由器方式劃分VLAN會嚴重影響企業網絡的性能,而VLAN間的通信必需通過路由才能實現,因此,具有路由功能的三層交換機被廣泛應用于大中型企業VLAN網絡中。但我們必需清楚一點,就是采用三層交換機的VLAN網絡同樣需要路由器,只不過路由器只是企業網絡和互聯網的連接工具,VLAN間的通信不會靠路由器來實現。
![]("http://network.ccidnet.com/col/attachment/2007/3/1022299.gif")
VLAN網絡的劃分最大的特點就在于它的靈活性,而采用VLAN方式劃分網絡主要有靜態VLAN和動態VLAN方式,靜態VLAN實際上就基于端口的VLAN,這種劃分方式由于要管理員對每個交換機的端口都要進行配置,顯得非常復雜,一般不采用這種方式。動態VLAN又分為三種劃分方式,基于子網的VLAN,基于MAC地址的VLAN,基于用戶的VLAN。這三種方式各有各的特點,因此,我們在劃分VLAN網絡的時候可以靈活搭配,例如移動用戶由于外置無線網卡隨時可能被更換,所以我們對移動用戶可采用用戶的VLAN劃分方式,將這部分劃為一個基于用戶的VLAN。而一些固定的用戶我們可采用基于子網的VLAN方式,也就是把一個段的IP劃分為一個VLAN。因此,劃分VLAN顯得非常靈活。
上圖所顯示的網絡第一層我們還是采用了路由器,這是由于路由器本身就是連接內網和外網的唯一工具,因此,路由器不能缺少,只是VLAN間通信路由不在路由器中實現。但我們也必需注意,大型VLAN網絡由于數據傳輸量非常大,對路由器的要求也非常高,所以我們不能簡單的認為有了三層交換機對路由器要求就不高了。因此,我們選擇路由器還是要根據整個網絡的規模來看。
在第二層就是采用的三層交換機,這也是整個大型VLAN網絡的關鍵所在。三層交換機具有路由和交換兩種功能,其中的路由功能是實現VLAN間通信的關鍵技術。當第一個數據流進入三層交換機后,三層交換機將會對這個數據流進行路由,在路由的同時三層交換機會產生一個MAC地址與IP地址的映射表,這樣做的好處就是當同樣的數據流進入三層交換機后,不需要三層交換機對這個數據流再進行一次路由,這個數據流只需要直接通過三層交換機就能實現VLAN間通信,從而有效解除了路由器所帶來的網絡瓶頸。三層交換機也是劃分VLAN網絡的關鍵所在,管理員只需要對三層交換機進行配置就可完成對VLAN網絡的劃分。所以在選擇三層交換機時,我們一定要根據自己的實際情況進行合理選擇,才能更加有效的保證整個VLAN網絡的正常運行。
在網絡的第三層,我們選用的二層交換機,二層交換機在VLAN網絡中的作用實際上只是保證整個網絡基層的正常運行,如果網絡規模非常大,那么這一層最好選擇千兆交換機,讓網絡的下一層繼續連接交換機進行擴展,如果網絡規模不是非常大(采用三層交換機連接的計算機數量最少也是在200臺以上),這一層直接選擇普通交換機就可以了。
在網絡最底層是整個網絡的基礎,也是我們決定怎樣劃分VLAN網絡的標準,它們由企業的計算機終端、服務器等組成。
400節點企業網絡設計方案
下面我們來設計一個具有400節點的企業VLAN網絡,我們假設這個企業分為銷售部,售后服務部,設計部,財務部,服務器區組成。其中,銷售部有20臺計算機,售后服務部有20臺計算機,財務部有20臺計算機,服務器區有20臺服務器,設計部有320臺計算機。我們可將整個企業網絡劃分為6個VLAN,如果用戶對設計部的計算機量感覺有些大,還可將這個部門的計算機進行VLAN細劃。下圖是這個500節點的VLAN劃分結構圖。
![]("http://network.ccidnet.com/col/attachment/2007/3/1022301.gif")
再次申明,VLAN網絡的劃分需要在三層交換機上進行配置才能實現,上圖是經過配置之后的一個VLAN結構圖。我們看到,在上圖中的銷售部,售后服務部和財務部三個VLAN都選用了二層交換機,由于這些部門對網絡帶寬要求不大,加上計算機數量少,每個VLAN只有20臺,實際上我們選擇24口的交換機就能實現VLAN,用戶可根據自己實際情況來決定。
設計部VLAN由于計算機數量多,所以我們用了一個千兆交換機加上多個普通交換機實現VLAN,而在服務器我們也選擇了千兆交換機進行連接,這主要是由于服務器對網絡帶寬本身要求就非常高。三層交換機和路由器的選擇也是根據實際情況而定。
下面我們就根據上面這個VLAN結構圖來為大家推薦幾款產品。
路由器的選擇相對來說比較簡單,我們要求只要能夠實現400節點的計算機連接就可以了,不過普通的防火墻功能我們也要考慮,再次就是路由器的性能我們還是要考慮,畢竟一個網絡的速度如何路由器比較重要。
銳捷網絡STAR-R2620 模塊化多業務路由器
![]("http://network.ccidnet.com/col/attachment/2007/3/1022303.jpg")
STAR-R2620是一款面向中小型企業的模塊化路由器,該款路由器采用了arm 4530處理器,擁有32MB內存和8MB閃存,加上1個10/100Mbps自適應LAN口和1個WAN口,能夠充分滿足中小型企業用戶作為核心路由器的需要,同時也可作為大型企業接入路由器使用。該款路由器提供了兩個可擴展的插槽,用戶可根據自己情況選擇不同的擴展模塊,滿足用戶對多業務的需要。并且這些擴展模塊都自帶有CPU,當這些擴展模塊插到路由器上時,能夠減低對路由器CPU的運算負荷。STAR-R2620支持語音功能,可進行視頻會議,并且能夠實現實時傳真,充分滿足了企業用戶對各種不同業務的需要。該款路由器還支持VPN功能,通過該項功能,企業可實現遠程訪問,即使企業內員工遠在千里之外,也能夠對企業內部資源進行訪問。該款路由器具有完善的Qos機制,當企業內網出現網絡資源不足情況時,該項功能能夠對一些核心業務分配足夠的網絡帶寬資源,滿足用戶的需要。在安全方面,該款路由器支持MAC地址綁定,基于時間的訪問控制,命令分層保護等功能,能夠抵御來自互聯網中一些黑客的攻擊。
由于路由器在大中型VLAN網絡中只是起一個企業網絡和互聯網連接的作用,對VLAN方面并沒有什么要求,而對于企業網絡來說,語音,VPN等功能又是比較常用的功能,因此我們選擇了STAR-R2620路由器。
三層交換機在大中型VLAN網絡中屬于核心產品,所有VLAN間通信都要通過三層交換機進行路由之后才能實現,而三層交換機又需要對所有數據進行交換,因此三層交換機的負荷非常大,所以,我們在選擇三層交換機的時候一定要慎重。
銳捷網絡 STAR-S3550-12G 三層交換機
![]("http://network.ccidnet.com/col/attachment/2007/3/1022305.jpg")
STAR-S3550-12G是一款全千兆三層交換機,該款交換機48Gbps的背板帶寬,其包轉發率達到18Mpps,并且通過12個千兆LAN口可與其他交換機連接,達到擴展網絡規模的作用。該款交換機具有4KB的VLAN空間,支持多種VLAN方式,用戶可在這款交換機上進行VLAN配置,達到組建VLAN網絡的作用。該款交換機具有的路由功能讓不同VLAN可在此進行路由,實現VLAN間通信。STAR-S3550-12G具有的冗余電源系統STAR-RPS,支持的VRRP虛擬路由器冗余協議等功能,保證了路由器運行的正常和穩定。這款交換機可實現端口與MAC地址和IP地址的綁定,可以防止目前互聯網中最常見的Dos拒絕服務攻擊,該款交換機提供了對數據信息的加密傳輸Secure Shell,能夠有效防止黑客的攻擊以及對數據信息的盜用。這款交換機還支持用戶認證,限制非授權用戶通信等功能,為企業網絡提供了一個比較安全的環境。該款交換機能夠實現流量控制,為用戶分配合理帶寬,有效利用網絡資源。
STAR-S3550-12G在上面網絡中能夠很好的滿足企業用戶需要,4KB的VLAN空間和支持多種VLAN方式,讓管理員能夠輕松靈活的設計多個VLAN,實現對企業網絡劃分VLAN。由于這款交換機具有12個端口,所以這個網絡的可擴展性比較強。
設計部和服務器區所使用的交換機需要比較強勁的性能,服務器所需要的網絡帶寬非常大,這是由于大量的用戶都會訪問服務器;而設計部本身由于計算機數量多,因此對交換機的性能要求也比較高。由于三層交換機已經將整個VLAN網絡進行了劃分,并且三層交換機的資金投入比較高,因此在選擇這一層的交換機不需要購買三層交換機,這樣既可減小投資,又可滿足企業需要,不過需要注意的是在選擇這兩個區所使用的千兆交換機時,最好帶流量控制功能,為網絡下一層合理分配帶寬,有效利用網絡資源。
STAR-S1926G+千兆增強網管交換機
![]("http://network.ccidnet.com/col/attachment/2007/3/1022307.jpg")
STAR-S1926G+是一款具有24個10/100Mbps自適應端口的千兆交換機,該款交換機可通過兩個擴展插槽連接千兆模塊,實現千兆上連。這款交換機具有18Gbps的背板帶寬和6.6Mpps的數據包轉發率,能夠充分滿足企業用戶對大容量數據的交換。該款交換機支持流量控制功能,帶寬分配最小顆粒可達到100KB,管理員可通過設置為每個端口分配網絡帶寬,讓服務器和設計部下面的交換機都能合理分配到網絡帶寬。該款交換機支持802.1q VLAN,端口VLAN,支持端口與MAC地址綁定,支持802.1X協議等功能。并且該款交換機在管理上十分方便,為管理員對該款交換機進行管理減輕了負擔。
上面這款千兆交換機支持VLAN,也支持流量控制等功能。支持VLAN可對設計部在計算機數量過大時,再繼續細劃VLAN;而支持的流量功能可為每臺服務器分配合理的帶寬。對于這兩項功能,組建VLAN網絡還是有必要的。
對于連接最底層計算機的交換機要求不高,由于它們只是起連接底層計算機的作用,因此,這類交換機產品,用戶可根據自己計算機的實際數量進行選擇。考慮到我們上面對每個部門規劃的計算機都在20臺左右,因此,我們選擇了24口的交換機就能完全滿足需要。
銳捷網絡 RG-S1824S
![]("http://network.ccidnet.com/col/attachment/2007/3/1022315.jpg")
RG-S1824S是一款高性能可管理的交換機,該款交換機具有9.6Gbps的背板帶寬,其數據包轉發率達到快速以太網的線速值,能夠充分滿足企業用戶的需要。該款交換機支持基于端口的VLAN,并且具有強大遠程管理能力,管理員即使不在企業內網中也可對該款交換機進行管理。這款交換機支持端口鏡像功能,公安部門可通過這項功能對企業內網進行監控,防止內網用戶訪問非法網站,為企業網絡提供一個安全健康的環境。
這款交換機的性能能夠很好的實現24臺計算機連接,并且具有的遠程管理能力讓管理員在任何地方都能對交換機進行管理,完全符合我們選擇這一類型交換機的初衷。
