用三层交换机实现大中型企业VLAN方案

1/12/2008来源:网络方案人气:3308


  企业规模的扩大造就了企业网络规模的不断膨胀,众多企业在扩展网络规模时采用了在原有的网络上直接增加计算机的方法来实现,随之而来的就是网络体系变得越来越复杂,对网络的治理也变得越来越困难,网内的安全指数也变得越来越低,并且网络资源的利用率也大大降低,如何行之有效的治理网络和合理利用网络资源成为企业最大的难题。
  
  采用VLAN方式划分网络体系能够让治理员更加方便的治理企业网络,而VLAN网络灵活的扩展能力也让企业网络规模在不断扩大的同时不会出现网络混乱的情况,VLAN网络所具有的控制广播风暴能力让企业网络资源的性能得到大幅度提高,并且VLAN网络还具有治理简单,安全性高的特点。因此,在网络最初的设计中采用VLAN方式能够对网络将来的扩展带来极大的好处。
  
  在普通的小型企业中,采用路由器方式划分VLAN是一种节约成本的方法,不过在大中型企业中,采用路由器方式划分VLAN会严重影响企业网络的性能,而VLAN间的通信必需通过路由才能实现,因此,具有路由功能的三层交换机被广泛应用于大中型企业VLAN网络中。但我们必需清楚一点,就是采用三层交换机的VLAN网络同样需要路由器,只不过路由器只是企业网络和互联网的连接工具,VLAN间的通信不会靠路由器来实现。
  
  三层交换机构建的VLAN网络结构
  
 

  VLAN网络的划分最大的特点就在于它的灵活性,而采用VLAN方式划分网络主要有静态VLAN和动态VLAN方式,静态VLAN实际上就基于端口的VLAN,这种划分方式由于要治理员对每个交换机的端口都要进行配置,显得非常复杂,一般不采用这种方式。动态VLAN又分为三种划分方式,基于子网的VLAN,基于MAC地址的VLAN,基于用户的VLAN。这三种方式各有各的特点,因此,我们在划分VLAN网络的时候可以灵活搭配,例如移动用户由于外置无线网卡随时可能被更换,所以我们对移动用户可采用用户的VLAN划分方式,将这部分划为一个基于用户的VLAN。而一些固定的用户我们可采用基于子网的VLAN方式,也就是把一个段的ip划分为一个VLAN。因此,划分VLAN显得非常灵活。
  
  上图所显示的网络第一层我们还是采用了路由器,这是由于路由器本身就是连接内网和外网的唯一工具,因此,路由器不能缺少,只是VLAN间通信路由不在路由器中实现。但我们也必需注重,大型VLAN网络由于数据传输量非常大,对路由器的要求也非常高,所以我们不能简单的认为有了三层交换机对路由器要求就不高了。因此,我们选择路由器还是要根据整个网络的规模来看。
  
  在第二层就是采用的三层交换机,这也是整个大型VLAN网络的要害所在。三层交换机具有路由和交换两种功能,其中的路由功能是实现VLAN间通信的要害技术。当第一个数据流进入三层交换机后,三层交换机将会对这个数据流进行路由,在路由的同时三层交换机会产生一个MAC地址与IP地址的映射表,这样做的好处就是当同样的数据流进入三层交换机后,不需要三层交换机对这个数据流再进行一次路由,这个数据流只需要直接通过三层交换机就能实现VLAN间通信,从而有效解除了路由器所带来的网络瓶颈。三层交换机也是划分VLAN网络的要害所在,治理员只需要对三层交换机进行配置就可完成对VLAN网络的划分。所以在选择三层交换机时,我们一定要根据自己的实际情况进行合理选择,才能更加有效的保证整个VLAN网络的正常运行。
  
  在网络的第三层,我们选用的二层交换机,二层交换机在VLAN网络中的作用实际上只是保证整个网络基层的正常运行,假如网络规模非常大,那么这一层最好选择千兆交换机,让网络的下一层继续连接交换机进行扩展,假如网络规模不是非常大(采用三层交换机连接的计算机数量最少也是在200台以上),这一层直接选择普通交换机就可以了。
  
  在网络最底层是整个网络的基础,也是我们决定怎样划分VLAN网络的标准,它们由企业的计算机终端、服务器等组成。
  
  400节点企业网络设计方案
  
  下面我们来设计一个具有400节点的企业VLAN网络,我们假设这个企业分为销售部,售后服务部,设计部,财务部,服务器区组成。其中,销售部有20台计算机,售后服务部有20台计算机,财务部有20台计算机,服务器区有20台服务器,设计部有320台计算机。我们可将整个企业网络划分为6个VLAN,假如用户对设计部的计算机量感觉有些大,还可将这个部门的计算机进行VLAN细划。下图是这个500节点的VLAN划分结构图。
  
 

  再次申明,VLAN网络的划分需要在三层交换机上进行配置才能实现,上图是经过配置之后的一个VLAN结构图。我们看到,在上图中的销售部,售后服务部和财务部三个VLAN都选用了二层交换机,由于这些部门对网络带宽要求不大,加上计算机数量少,每个VLAN只有20台,实际上我们选择24口的交换机就能实现VLAN,用户可根据自己实际情况来决定。
  
  设计部VLAN由于计算机数量多,所以我们用了一个千兆交换机加上多个普通交换机实现VLAN,而在服务器我们也选择了千兆交换机进行连接,这主要是由于服务器对网络带宽本身要求就非常高。三层交换机和路由器的选择也是根据实际情况而定。
  
  下面我们就根据上面这个VLAN结构图来为大家推荐几款产品。
  
  路由器的选择相对来说比较简单,我们要求只要能够实现400节点的计算机连接就可以了,不过普通的防火墙功能我们也要考虑,再次就是路由器的性能我们还是要考虑,究竟一个网络的速度如何路由器比较重要。
  
  锐捷网络STAR-R2620 模块化多业务路由器
  
 

  STAR-R2620是一款面向中小型企业的模块化路由器,该款路由器采用了ARM 4530处理器,拥有32MB内存和8MB闪存,加上1个10/100Mbps自适应LAN口和1个WAN口,能够充分满足中小型企业用户作为核心路由器的需要,同时也可作为大型企业接入路由器使用。
该款路由器提供了两个可扩展的插槽,用户可根据自己情况选择不同的扩展模块,满足用户对多业务的需要。并且这些扩展模块都自带有CPU,当这些扩展模块插到路由器上时,能够减低对路由器CPU的运算负荷。STAR-R2620支持语音功能,可进行视频会议,并且能够实现实时传真,充分满足了企业用户对各种不同业务的需要。该款路由器还支持VPN功能,通过该项功能,企业可实现远程访问,即使企业内员工远在千里之外,也能够对企业内部资源进行访问。该款路由器具有完善的Qos机制,当企业内网出现网络资源不足情况时,该项功能能够对一些核心业务分配足够的网络带宽资源,满足用户的需要。在安全方面,该款路由器支持MAC地址绑定,基于时间的访问控制,命令分层保护等功能,能够抵御来自互联网中一些黑客的攻击。
  
  由于路由器在大中型VLAN网络中只是起一个企业网络和互联网连接的作用,对VLAN方面并没有什么要求,而对于企业网络来说,语音,VPN等功能又是比较常用的功能,因此我们选择了STAR-R2620路由器。
  
  三层交换机在大中型VLAN网络中属于核心产品,所有VLAN间通信都要通过三层交换机进行路由之后才能实现,而三层交换机又需要对所有数据进行交换,因此三层交换机的负荷非常大,所以,我们在选择三层交换机的时候一定要慎重。
  
  锐捷网络 STAR-S3550-12G 三层交换机
  
 

  
锐捷网络 STAR-S3550-12G

  
  STAR-S3550-12G是一款全千兆三层交换机,该款交换机48Gbps的背板带宽,其包转发率达到18Mpps,并且通过12个千兆LAN口可与其他交换机连接,达到扩展网络规模的作用。该款交换机具有4K的VLAN空间,支持多种VLAN方式,用户可在这款交换机上进行VLAN配置,达到组建VLAN网络的作用。该款交换机具有的路由功能让不同VLAN可在此进行路由,实现VLAN间通信。STAR-S3550-12G具有的冗余电源系统STAR-RPS,支持的VRRP虚拟路由器冗余协议等功能,保证了路由器运行的正常和稳定。这款交换机可实现端口与MAC地址和IP地址的绑定,可以防止目前互联网中最常见的Dos拒绝服务攻击,该款交换机提供了对数据信息的加密传输Secure Shell,能够有效防止黑客的攻击以及对数据信息的盗用。这款交换机还支持用户认证,限制非授权用户通信等功能,为企业网络提供了一个比较安全的环境。该款交换机能够实现流量控制,为用户分配合理带宽,有效利用网络资源。
  
  STAR-S3550-12G在上面网络中能够很好的满足企业用户需要,4K的VLAN空间和支持多种VLAN方式,让治理员能够轻松灵活的设计多个VLAN,实现对企业网络划分VLAN。由于这款交换机具有12个端口,所以这个网络的可扩展性比较强。
  
  设计部和服务器区所使用的交换机需要比较强劲的性能,服务器所需要的网络带宽非常大,这是由于大量的用户都会访问服务器;而设计部本身由于计算机数量多,因此对交换机的性能要求也比较高。由于三层交换机已经将整个VLAN网络进行了划分,并且三层交换机的资金投入比较高,因此在选择这一层的交换机不需要购买三层交换机,这样既可减小投资,又可满足企业需要,不过需要注重的是在选择这两个区所使用的千兆交换机时,最好带流量控制功能,为网络下一层合理分配带宽,有效利用网络资源。
  
  STAR-S1926G+千兆增强网管交换机
  
 

  STAR-S1926G+是一款具有24个10/100Mbps自适应端口的千兆交换机,该款交换机可通过两个扩展插槽连接千兆模块,实现千兆上连。这款交换机具有18Gbps的背板带宽和6.6Mpps的数据包转发率,能够充分满足企业用户对大容量数据的交换。该款交换机支持流量控制功能,带宽分配最小颗粒可达到100K,治理员可通过设置为每个端口分配网络带宽,让服务器和设计部下面的交换机都能合理分配到网络带宽。该款交换机支持802.1Q VLAN,端口VLAN,支持端口与MAC地址绑定,支持802.1X协议等功能。并且该款交换机在治理上十分方便,为治理员对该款交换机进行治理减轻了负担。
  
  上面这款千兆交换机支持VLAN,也支持流量控制等功能。支持VLAN可对设计部在计算机数量过大时,再继续细划VLAN;而支持的流量功能可为每台服务器分配合理的带宽。对于这两项功能,组建VLAN网络还是有必要的。
  
  对于连接最底层计算机的交换机要求不高,由于它们只是起连接底层计算机的作用,因此,这类交换机产品,用户可根据自己计算机的实际数量进行选择。考虑到我们上面对每个部门规划的计算机都在20台左右,因此,我们选择了24口的交换机就能完全满足需要。
  
  锐捷网络 RG-S1824S
  

  RG-S1824S是一款高性能可治理的交换机,该款交换机具有9.6Gbps的背板带宽,其数据包转发率达到快速以太网的线速值,能够充分满足企业用户的需要。该款交换机支持基于端口的VLAN,并且具有强大远程治理能力,治理员即使不在企业内网中也可对该款交换机进行治理。这款交换机支持端口镜像功能,公安部门可通过这项功能对企业内网进行监控,防止内网用户访问非法网站,为企业网络提供一个安全健康的环境。
  
  这款交换机的性能能够很好的实现24台计算机连接,并且具有的远程治理能力让治理员在任何地方都能对交换机进行治理,完全符合我们选择这一类型交换机的初衷。