浅谈珠海拓普智能电气股份有限公司公司网络设计

公司只申请一个公网IP，考虑到内网计算机终端数量并不多，公司局域网IP使用C类私有地址进行分配。
对于局域网的IP地址分配问题，用户规模越大管理工作就越困难，所以必须深思加以解决。目前一般来说有两种分配方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。基于公司目前的人数规模，所以采用静态IP地址分配对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，再加上对网卡MAC地址的管理，网络就能具有更好的可管理性。结合核心交换机的第三层交换功能，进行子网的划分，五方面可以降低网络风暴的发生，另一方面也加强了网络的安全性，如果公司今后能发展壮大，规模得到更大的扩充，整个网络信息的规模也得到扩展、增加，则可以采用DHCP动态IP地址分配的方案，设立专门的DHCP服务器进行动态IP地址分配。
3）基于VLSM的子网划分
VLSM变长子网掩码，是在标准的掩码上面再划分的子网的网络号码，不同子网的子网掩码可能有不同的长度，但一旦子网掩码的长度确定了，它们就不变了，这个技术对于高效分配IP地址起到了极大的便利。公司的子网是按照部门来划分的。基于可拓展性原则，除了每个部门都能分配到足够的IP地址外，也为以后的人事调动、部门扩展等留有冗余的IP，避免今后发生很小人事变动的时候就不得不重新划分子网的不可扩展性。
公司子网划分
部   门子网网络号子网掩码网     关
董事会办公室 192.168.1.0 255.255.255.128 192.168.1.10
销售部 192.168.1.12 255.255.255.192 192.168.1.164
财务部 192.168.1.166 255.255.255.192 192.168.1.172
研发部 192.168.1.174 255.255.255.192 192.168.1.253
人事部 192.168.2.0 255.255.255.224 192.168.2.30
行政部 192.168.2.32 255.255.255.224 192.168.2.62
生产部 192.168.2.64 255.255.255.240 192.168.2.182
三楼会议室 192.168.2.184 255.255.255.240 192.168.2.192
*******

4）VLAN规划
VLAN是一种通过将通过局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
前面已经为公司划分了子网，不同的部门在不同的子网里，子网与子网之间不能访问，也控制了广播域太大的问题。这样看来好像不必要再划分VLAN了，其实不然，因为这样只作子网划分是存在安全问题的。局域网内的任何用户只要稍微修改了一下IP与子网掩码就可以访问到公司的任何部门了。所以，必须在交换机上划分好VLAN，这样，只要加强对交换机的保护，不让一般员工改变交换机的配置，就算他们更改自己电脑的IP和子网掩码也无法访问到其他部门了。
VLAN划分方法有如下几种：①，根据端口划分VLAN；②，根据MAC地址划分VLAN；③，根据网络层划分VLAN；④，根据IP组播划分VLAN。
公司采取根据端口来划分VLAN。把同一个部门的端口划分到同一个VLAN，也可以进行跨交换机的端口VLAN划分，也就是说不同交换机上的端口也可以分阶段同一个VLAN里，这样VLAN的划分就不必要受到物理空间的限制，具有很好的灵活性。今后如果有人事调动或者部门扩充，只要在交换机上作相应的配置就可以了。
处理VLAN时，交换机端口支持两种连接类型：接入链路与中继。接入链路连接只能与单个VLAN相关，任何连接到该端口的任何设备将会在相同的广播域中，与接入链路不同，中继连接能为多个VLAN传递流量。中继链路一般在特定的设备之间，包括交换机到交换机，交换机到路由器，交换机到文件服务器等。
在公司的VLAN端口配置中，各接入层的二层交换机与核心层的三层交换机之间的链路要配置成TRUNK链路，其他端口配置成access链路，这样VLAN信息就可以在各二层交换机之间传递，不同交换机但是同一个VLAN的用户就可以相互访问了。
VLAN部分配置摘录：
Switch-1(config)#vlan 10                    创建一个vlan (研发部)
Switch-1(config-vlan)#name yanfabu                   为此vlan取名
Switch-1(config-vlan)#exit
Switch-1(config)#int fa0/1                进入一个快速以太端口配置
Switch-1(config-if)#switchport mode access 把该接口配置为access链路
Switch-1(config-if)# switchport access vlan 1    把该端口加入vlan 1
Switch-1(config-if)#exit
Switch-1(config)#int gig 2/1                         进入千兆端口
Switch-1(config-i)#switch mode trunk        把该端口配置为trunk链路
5) 采用三层交换技术与链路聚合应用
传统的路由器工作在第二层上，数据流中的每个数据包通过源站点和目的站点的网络地址时被识别，路由技术可以有效的控制数据包，但转发包的速度太慢，同时路由存在价格高等缺点。所以公司决定采用第三层交换技术，三层交换技术是在网络模型中的第三层实现了数据包的高速转发。具有如下特点：
① 执行路由处理
② 转发基于第三层的业务流
③ 完成交换功能
④ 可以完成特殊服务，如报文过滤或访问控制
公司的不同部门处于不同的VLAN中，有些部门之间需要相互访问。如果不使用第三层交换技术的话，唯一办法就是添加价格昂贵的路由器，而随着以后公司发展的扩大和各部门需要的流量增加，最后又要添加路由，这不符合公司网络设计的可扩展性原则。现公司采用了该技术，不但可以避免了上速情况发生，同时还可以实现安全机制，它的访问列表的功能，可以实现不同VLAN间的的单向或双向通讯。例如财务部，它既没有必要访问别的部门，出于安全考虑别的部门也不能访问财务部。基于这些不同的访问需求，可在三层交换机上配置ACL语句加以限制。
公司的三层交换机位于整个局域网的核心部分，公司上网的流量、VLAN间的流量、VPN产生的流量全部都要经过核心三层交换机进行转发，所以核心交换机的速度与稳定性非常重要。冗余链路是提高网络系统可用性的重要方法，目前的技术中，以链路聚合（Link Aggregution）技术应用最为广泛。
链路聚合技术亦称主干技术（Trunking）或捆绑技术（Bonding），其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路，称为一条聚合链路，简单地说就是把多个端口绑定成一个虚拟端口。采用链路聚合可以提高数据链路的带宽，捆绑起来的链路的带宽相当于物理链路宽带之和。链路聚合中，成员互相动态备份，当某一链路中断时，其它成员能够迅速接替其工作，这样就很好的保障了整个网络的稳定性。
三层交换部分配置摘录：
Switch-1(config)#ip routing                  启用交换机上的IP路由功能
Switch-1(config)#router rip                      指定IP路由协议为RIP
Switch-1(config-router)#network 192.168.0.0
Switch-1(config)#int vlan 10           通过使用VLAN接口命令制定虚拟接口

首页上一页 1 2 3 下一页尾页 2/3/3

浅谈珠海拓普智能电气股份有限公司公司网络设计(二)