基于VLAN 技术的局域网优化

■ 武汉 陈铭师 郭小玲 满建文 吕冀周

编者按：VLAN 作为一项重要的网络技术，它解决了用交换机式LAN 无法限制广播、通信中商业机密泄露、网络单元连接灵活管理等问题。本文提出一个大型局域网方案，结合VLAN 技术，对局域网优化提供借鉴。

本文设计一个大型企业的内部网络，对局域网架构进行合理设计，并模拟仿真。小型局域网建设亦可以参照相应结构进行简化设计，便于后期企业规模扩大之后的网络结构升级。过程中，不断进行优化，融合考虑了网络运维，网络扩容，网络运行效率和网络安全等多方面因素。通过应用VLAN 技术，减少对软硬件设备的依赖，实现业务区域的逻辑隔离，对局域网优化提供良好的借鉴。

网络结构拓扑

如图1 所示，该结构基于一个大型企业自建局域网进行设计。该结构可作为一个企业整体独立建网方案。亦适用于分公司通过互联网上联总公司，下接地区办事处的地区接入局域网方案。该方案有如下特点：

1.多个子公司，可以是遍布各个省份，也可以是省内各个城市。

2.总公司含有多栋建筑，或包含单一业务，或包含多部门业务。

3.组织结构扁平化设计，各业务部门设置精细化。

4.各业务部门有独立业务系统，逻辑上进行隔离。

5.分公司结构相似于总公司，同一部门上下有互联需求。

6.不 同部门之间通过邮件或者FTP 服务器进行日常办公交流。

7.配备大量的自助服务机或临时接入终端等，便于其访问互联网。

该结构设计将业务系统，即服务器区，整体布局在总公司，便于信息安全管理。考虑到子公司日常办公存在临时交流，可在其相应增加本地服务器，其设计和配置参考总公司即可。

图1 网络结构图

IP 地址规划及VLAN 划分

1.IP 地址规划

除了良好的网络结构设计之外，还需要对IP 地址进行规划，便于后续网络的扩容、调整及访问控制策略的配置等。

（1）企业内部网络采用三段私网地址：10.0.0.0/8；172.16.0.0/12；192.168.0.0/16。

（2）对IP 地址规划采用先功能类别、再业务部分原则进行区分，功能类别指VPN及互联网、内网办公、临时（无线）网络接入。

（3）不同业务部门采用不同的IP 地址段，网络互连设备和公用服务器使用某一独立地址段。

2.VLAN 划分原则

（1）VLAN 按照部门划分，采用基于IP 地址划分和基于端口划分相结合。

（2）每个VLAN 暂定为一个地址段，总公司和分公司共用，采用VTP（VLAN Trunking Protocol）进行配置。

如表1 所示，外网和临时（无线）接入采用DHCP 动态获取IP 地址的方式，便于地址的收回，通过NAT 进行地址转换，只访问有限的内网区域。网络互联设备和公用服务器共用172.16.0.0/24的地址段，其中网络设备和部分公用服务器端口采用Trunk 模式，而将各个业务服务器划分到对应的VLAN。每个部门划分一个VLAN，如果接入设备太多，可以再细分限制广播域。VLAN 之间互不通信，但是都能访问公用服务器区。

3.主要设备的具体配置

（1）边界路由器

边界路由器配置NAT地址池和转换入口和出口，实现内部局域网访问Internet，并隔离网络：

（2）总公司核心交换机

对总公司核心交换机进行VTP 配置，并划分基于IP地址划分VLAN：

对总公司核心交换机进 行ACL(Access Control List)配置，主要基于IP 进行访问策略配置，可适当结合MAC-ACL 进行强制管控，下面以VLAN 10 为例，其他VLAN 配置类似：

（3）分公司核心交换机及汇聚交换机

对分公司核心交换机进行VTP 配置，并将端口模式转换成Trunk，其他与总公司直连的交换机配置类似：

（4）边界路由器

接入（无线）路由器配置NAT 地址池和转换入口和出口，实现临时访问内网和外网（Internet），并隔离网络：

通过在模拟器上进行配置，实现了大型局域网结构的连通测试。各个VLAN 能够Ping 通外网（Internet）和公用服务器，VLAN 之间不能互相Ping 通，只通过公用服务器实现日常办公流转。总公司和分公司通过VTP 实现VLAN 一致管理，同一个VLAN 内的计算机终端能够互相Ping 通。可通过临时路由（无线路由器）接入公司内网，并能Ping 通公用服务器和外网（Internet）。

5）服务器区交换机

对连接到服务器区交换机采用STP 生成树配置，提供链路冗余，结合VLAN 技术进行负载均衡。亦可以采用链路聚合技术，提供更高的带宽，提升用户对服务器区的访问速度：

4.网络测试结果

通过在模拟器上进行配置，实现了大型局域网结构的连通测试。各个VLAN 能够Ping 通外网（Internet）和公用服务器，VLAN 之间不能互相Ping 通，只通过公用服务器实现日常办公流转。总公司和分公司通过VTP 实现VLAN 一致管理，同一个VLAN 内的计算机终端能够互相Ping 通。可通过临时路由（无线路由器）接入公司内网，并能Ping 通公用服务器和外网（Internet）。

优化策略

1.网络地址转换（NAT），是通过将局域网网络地址转换为公用地址，达到对外隐匿内部的IP 地址，使得整个局域网只需要一个外网IP地址就可以连接Internet，优点是从外部网络无法发现内部网络结构，从而降低了局域网络受到攻击的风险。

2.通过VLAN 划分个业务区域地址段，减少不同业务系统的数据交流，避免出现广播风暴，增加信息通信效率。隔离不同业务系统区域，避免非相关业务系统与终端交互，导致信息泄露。

3.建立DHCP 服务器用以分发网络IP 地址，采用自动获取的方式进行设置，便于网络管理员可以通过服务器验证IP 地址与其他参数配置，同时降低网络资源占用。局域网内及特殊设备采用静态IP 地址设置，使其不受租约限制，便于实时数据交互，和用户管理。

4.基于端口进行VLAN划分，减少终端配置，便于网络扩容，设备增减。通过远程端口配置实现设备和终端管理，降低网络运维成本，便于远程维护。

5.通过STP（Spanning-Tree Protocol）二层的链路管理协议提供链路冗余的同时防止网络产生环路，与VLAN 配合实现链路负载均衡。每个VLAN.有自己的根网桥，每条VLAN 中继链路只转发所允许的VLAN 数据帧。

结语

本文从VLAN 技术出发，探索一个大型网络规划设计和构建方案，改善现有网络结构设计不合理、网络管理困难和网络信息安全薄弱等问题，提供一个网络搭建的通用方案，以及现有网络优化措施，尽可能通过技术摆脱设备依赖，实现网络性能、管理和安全防护提升。