企业组网，多部门网络资源要统筹

　　对于一个企业来说，部门众多，工作的分工不同，安全性也不一样，企业规模的扩大还造成了企业网络规模的不断膨胀，如何行之有效的管理网络和合理利用网络资源成为企业要关心的话题。企业局域网建设要对网络资源要做出统筹规划，以应对即将建立起来的局域网的复杂的资源分配和资源管理，并能在网络扩展时，原有网络架构不受影响，新增部分又能很好融合。这里的“网络资源”主要指的是IP资源和网段资源。
　　
　　交换技术相对于共享式网络性能有很大提高，但对于所有处于一个IP网段的网络设备来说，却同在一个广播域中，这是由于交换网络的工作本质决定的。当工作站数量较多和信息流较大时，容易形成广播风暴，严重影响了网络运行速度，甚至容易造成网络瘫痪。怎样避免这个问题出现呢？采用划小网络和限制广播域的作用范围是唯一的好办法。
　　
　　虚拟局域网（Virtual Local Area Network，VLAN）技术的出现解决了上述问题。实际上，VLAN就是一个广播域，它不受地理位置的限制，可以跨多个局域网交换机。一个VLAN可以根据部门职能、工作组或应用来将不同地理位置的网络用户划分为一个逻辑网段。对于局域网交换机，其每一个端口只能标记一个VLAN，一个VLAN中的所有端口拥有一个广播域，而处于不同VLAN的端口则共享不同的广播域，这就避免了广播风暴的产生。可以说，在一个交换网络中，VLAN提供了划小网络和限制广播域组合机制。为我们进行网段划分、IP资源分配、优化网络性能等网络资源统筹提供了有力的工具。
　　
　　如何用VLAN来管理企业网
　　
　　网络资源统筹的主要工作是IP/VLAN规划，这工作是大中型网络设计的一项重要内容。不合理的规划会直接影响日后的管理维护。所谓IP / VLAN规划，就是为网络中的所有设备，包括路由器、防火墙、交换机、服务器、客户机、打印服务器等，分配一个惟一的IP地址，并为其指定适当的VLAN。考虑到日后的维护和扩展问题，IP/VLAN规划不仅应符合网络设计规范，还要有规律、易记忆，比如VLAN号与子网段有一定的关联。
　　
　　在进行IP/VLAN规划前，我们要绘制一幅准确的拓扑图。准确的网络文档对于日后的维护、升级和分析问题也是很有帮助的。图1所示，是一幅典型的中型企业网拓扑图。
　　 　
　　图1（点击看大图）
　　
　　这张图络拓朴图也反映出了目前中型企业网的流行网络架构：路由器负责外网（广域网）接入；防火墙是内外网的边界，隔开内外网；主交换机有三层交换功能，主要的VLAN划分和VLAN间的路由在这里进行，高效的线速路由解决了以往VLAN通过路由器路由的低速瓶颈，它也是二层交换机的主干汇聚，最好能支持现今流行的千兆端口，以支持千兆主干；二层快速以太网交换机负责客户机、工作组服务器的接入，一般一台二层交换机就负责一个VLAN域，支持一个功能唯一的客户机群接入。
　　
　　IP/VLAN规划工作如下：
　　
　　1． 确定企业网内网IP地址网段
　　
　　我们对企业网的IP分配一般以RFC1918中定义的非Internet连接的网络地址，也称为私有地址。由Internet地址授权机构（IANA）控制的IP地址分配方案中，留出了三类网络地址，给不连到Internet上的专用网使用。它分别是：A类：10.0.0.0 ~ 10.255.255.255；B类：172.16.0.0 ~ 172.31.255.255；C类：192.168.0.0 ~ 192.168.255.255。其中的一个私有地址网段是：192.168.0.0是我们在内网IP分配中最常用的网段。 IANA保证这些网络号不会分配给连到Internet上的任何网络，因此任何人都可以自由地选择这些网络地址作为自己的私有网络地址。在申请的合法IP不足的情况下，企业网内网可以采用私有IP地址的网络地址分配方案；企业网外网接入、DMZ区使用合法IP地址。
　　
　　我们确定了要使用的私有网段以后，进一步还要划分子网段，并与VLAN号、部门相关联，把这做成一个对照表。
　　 　
　　2． 规划主交换机端口VLAN
　　
　　如图1所示，网络中的主交换机提供了到各二级交换机的主干连接，VLAN配置的主要工作在主交换机中进行。我们一般采用较流行的VLAN划分方式：基于端口的VLAN划分。因此创建VLAN号，为主交换机的端口指定VLAN号是规划整个内部VLAN的关键。另外VLAN限制了广播域，跨越VLAN间的通信要经过路由，主交换机是一台三层交换机，需要为它配置路由选择协议，以实现VLAN间的线速路由。
　　
　　3．规划防火墙、路由器、服务器的IP地址
　　
　　WWW/MAIL/FTP服务器、防火墙的DMZ网卡、防火墙的外网卡、路由器以太网口1、路由器广域网口1应该使用从ISP申请到的合法IP。
　　
　　4． 规划企业网内网用户的IP地址
　　
　　规划完子网与VLAN，接下来就要考虑内网用户IP的分配方式。
　　
　　针对用户比较集中、信息点位置相对固定的情况，建议使用静态IP。这对于日后的管理、维护、故障排查非常重要，管理员可以根据IP地址迅速确定主机所在位置。使用静态IP，用户与联接交换机的端口处于同一VLAN。为方便新的用户IP地址的分配，应做好现有用户IP地址的记录。
　　
　　当用户变动较大，信息点数量无法准确计算时，建议使用动态IP。动态IP的优势在于方便用户使用，用户只需要将网络属性中的IP地址栏设成自动获取，用户的本机IP、缺省网关、DNS、WINS等关键信息，会自动从DHCP服务器中得到。
　　
　　5．内网NAT共享上网
　　
　　当内网的IP / VLAN规划基本完成后，要采用网络地址转换（NAT）技术，即通过1 个外部IP 地址来实现内网用户访问Internet。目前支持NAT的硬件产品有路由器、防火墙，本案是防火墙来实现NAT。
　　
　　交换机推荐
　　
　　1．三层主交换机
　　
　　Quidway S5516（图2）全千兆智能三层交换机是华为3Com公司面向IP城域网的汇聚层和大型企业或园区网的汇聚层推出的盒式高密度可堆叠三层全线速全千兆以太网交换机。提供高密度的GE端口。S5516具有64Gbps背板带宽，32Gbps交换容量，24Mpps转发能力。S5516采用模块化设计，4个接口槽位，每个接口槽位可提供4个GE端口，提供多种规格千兆接口模块供选择，支持高性能SPF光接口，支持GE电口、单/多模光口模块的混合配置，支持模块热插拔；并可提供堆叠接口模块，可以和系列交换机堆叠，能够提供更灵活的组网模式。支持丰富三层协议：支持OSPF，RIP I/II，IS-IS，BGP4等路由协议，支持802.1q ，GVRP等二层协议；提供RSTP，VRRP，PIM协议，支持802.1x用户认证功能。支持DiffServ、802.1p、GTS、WRR、RED等优先级处理和调度算法可以对不同优先级业务进行调度及良好的网络拥塞控制策略，支持基于L2/3/4的流分类。
　　 　
　　图2（Quidway S5516）
　　
　　2．二层接入交换机
　　
　　Quidway S3026C（图3）智能二层交换机是华为3Com公司为充分满足高QOS保证的需求而推出的智能型以太网交换机。系统采用高性能的ASIC，采用灵活的模块化结构，提供二到七层的智能的流分类和和完善的服务质量（QoS），实现完备的业务控制和用户管理能力，可作为企业网的接入层交换机。系统提供固定的24个10/100Base-TX的自适应端口、1个Console口及2个GBIC/1000Base-T/前扩展槽。12.8Gbps的总线带宽为交换机所有的端口提供二层线速交换能力。支持802.1x认证，在用户接入网络时完成必要的身份认证。支持ACL访问控制策略，能够对访问网络资源的权限进行设置。丰富的QOS策略，支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类。支持带宽控制功能。提供良好的堆叠功能，最大可支持16台设备的堆叠，同时支持不同设备的混合堆叠，从而保证了网络的平滑升级和降低了扩建成本。
　　 　
　　图3（Quidway S3026C）
　　
　　小结：
　　
　　要建设一个高速稳定的企业网，就要对网络资源进行有效的统筹规划。IP和VLAN的规划是网络资源统筹的关键工作，这关系我需要什么样的网络交换网络结构，也就相应的为实现这些目标采购合适的网络交换机。IP和VLAN规划贯穿我们企业网的设计阶段和建设阶段。良好的IP和VLAN规划还为网络的维护和扩展带来极大方便，是科学管理网络的基础。