最新网络升级技术方案

1 25 网络升级技术方案网络升级技术方案 目目 录录 2 25 1 背景 3 1 1 概述 3 1 2 网络现状 3 1 3 建设目标 5 2 网络设计 5 2 1 设计原则 5 2 2 网络设计 6 2 3 核心网络升级 7 2 3 1 网络核心层 7 2 3 2 网络接入层设计 8 2 4 智能网络管理 9 2 4 1 IMC 网络设备管理 9 2 4 2 IMC 用户接入管理 15 2 4 3 EAD 端点准入控制 18 2 5 7 VLAN 分组设计 24 3 设备清单 28 3 25 1 1 背景背景 1 11 1 概述概述 在企业的信息化建设中 基础是网络 离开了网络 我们的智能化建设只能纸上谈兵 而网络的建 设又与应用密不可分 网络必须结合应用的需求及特点 确保应用的顺利开展 为应用提供可靠的 安 全的 智能化的传输通路 根据企业的规划和设计规模 我们在设计该企业的网络信息系统时 将遵循 立足现在 着眼未来 重在实用 旨在效益 的总方针 按照企业行业的国际标准模式 结合中国的具体国情 同时吸收国际 上流行的几家企业网络系统的精华 力争使所设计的网络系统具有技术先进 高效快捷 安全可靠 易 于维护 方便升级等特点 1 21 2 网络现状网络现状 办事处现有网络已经建起一定规模 随着发展需要 现有的网络已经无法满足环境的需要 CISCO3550 现有网络 企业化信息网络平台建设起步较早 目前的现状总结为如下几个方面 全网同处于一个广播域中 对全网的安全性存在很大的隐患 网络内的核心交换机为一台 CISCO3550 交换机 设备老化严重 全网无核心层 汇聚层 接入层之分 故障的排错存在很大的因难 全网没有做任何安全的措施 包括防 ARP 等病毒的设置 接入层的交换机是二层不可网管的交换机 不能划分 VLAN 无法对接入用户进行管理 4 25 网内所有 PC 的 IP 地址均属于同一个网段 后期无法扩展 1 31 3 建设目标建设目标 通过建设一个高速 安全 可靠 可扩充的网络系统 实现企业信息的高度共享 传递 及管理信 息化 领导能及时 全面 准确地掌握企业的科研 生产 管理 财务 人事等各方面情况 建立出口 信道 实现与 Internet 互联 实现领导和职员远程 VPN 的安全接入 进行移动办公和资料查询 2 2 网络设计网络设计 2 12 1 设计原则设计原则 办公网建设应该遵循以下原则 简单易用性 由于企业的人员组成复杂 员工素质差异较大 所以设计的方案必须简单 易于操作 使各种层次 的员工都能逐步熟悉 在使用过程中再对各种功能进行完善 可扩展性 由于企业受市场的影响较大 会出现经常性的人员调整和机构调整 因此办公网必须易于修改和扩 充 但这个功能必须由网络管理员根据单位授权来完成 能有效解决移动办公 企业人员出差频繁 甚至一些部门常驻外地 很多事情需要立即办理 办公网应该尽量保证每个 人能够随时随地进行办公 使用户可以通过互联网安全受控的进入办公网进行日常办公 友好的界面设置 现在的技术能够很好地实现界面设置 能通过图形管理软件对系统进行管理和设置 关于系统的安全性 系统中必须采用鉴权技术 对使用者身份进行确认 对用户进行分组 制定详尽的分组策略 做 到那些资源允许那些组访问的明确 对超级用户比如领导的授权 对外来人员也就是我们常说的访客都 要严格加于区别 2 22 2 网络设计网络设计 基于企业目前现状考虑 网络采用二层结构核心层 接入层 采用双核心交换机 S75010E 相互备 份冗余 双网络主干链路冗余 服务器群防护 网络地址重新规划 网络设备与用户智能管理的方式 实施高可用性 高可扩展性和高可靠性 易管理的网络平台 5 25 2 32 3 核心网络升级核心网络升级 核心网络升级包括部署华为 3Com 特有的 IRF 智能弹性架构 结合网络三层分层体系 核心层 汇聚层 接入层 实现双核心交换机冗余 核心交换机主部件冗余 网络主干链路冗余 服务器群防 护 网络地址重新规划 2 3 12 3 1 网络核心层网络核心层 建议使用 2 台 H3C S7510E 高性能交换机采用 VRRP 协议构成双核心冗余 H3C S7500E 系列产品 是杭州华三通信技术有限公司 以下简称 H3C 公司 面向融合业务网络推出的新一代高端多业务路由 交换机 该产品基于 H3C 自主知识产权的 Comware V5 操作系统 融合了 MPLS IPv6 网络安全 无线 无源光网络等多种业务 提供不间断转发 优雅重启 环网保护等多种高可靠技术 在提高用户 生产效率的同时 保证了网络最大正常运行时间 从而降低了客户的总拥有成本 TCO H3C S7500E 符合 限制电子设备有害物质标准 RoHS 是绿色环保的路由交换机 S7510E 基于 H3C 公司自适应安全网络的技术理念 在提供稳定 可靠 安全的高性能 L2 L3 层交 换服务基础上 进一步提供了业务流分析 基于策略的 QOS 可控组播等智能的业务优化手段 从而 为企业 IT 系统构建面向业务的网络平台 实现通信整合 数据整合奠定了基础 H3C S7500E 系列交换机支持无源背板 支持双路电源供电 支持引擎 电源 风扇的冗余 支持 单板热插拔 并可以支持 STP RSTP MSTP VRRP 等协议实现链路冗余 实现可靠的核心服务 2 台位 6 25 于网络中心的核心交换机通过千兆链路分别与位于新老厂区办公楼配线间的接入交换机 H3C S3600 连 接 构成网络千兆光纤主干双冗余 以消除主干单链路故障 从物理链路级别上实现千兆主干链路的冗 余互备 2 3 22 3 2 网络接入层设计网络接入层设计 接入层将采用新增加的H3C S3600交换机 实现全面的接入控制 H3C S3600交换机与IMC 组合 实现接入认证 用户如果不进行认证 将无法接入网内受保护的资源 同时也无法实现网络资源共享以 及数据传输 2 42 4 智能网络管理智能网络管理 H3C公司的IMC智能网络管理系统 采用组件化 模块化设计 随着业务 设备 用户的扩展 添 加需要的组件 能很好适应集团对网络管理不断丰富需要 iMC 智能管理平台 是在统一了设备资源和用户资源管理的平台框架的基础上 实现的基础业务 管理平台 包括 iMC 基本资源管理部分 iMC 基础网络管理和 iMC 用户接入管理 7 25 2 4 12 4 1 IMCIMC 网络设备管理网络设备管理 iMC 基础网络管理 涵盖了传统网管的主要功能 包括告警管理 性能管理 拓扑管理等 丰富 实用的网络视图 多样化的网络拓扑 智能的告警显示 过滤和关联 直观的状态监控 性能管理 用 户管理与网络拓扑管理相融合 具备丰富的视图功能 使得管理员可以从多个角度观测和管理网络 1 通过IP视图 用户可以观测网络的逻辑结构和物理结构 2 设备视图 使得用户对网络中设备类型和数量一目了然 3 自定义视图 使用户可以按照任何希望的方式构造客户化的网络拓扑 并提供直观简便的预览功能 集中监控用户关心的重点设备和接口的状态 多样化的网络拓扑多样化的网络拓扑 拓扑更加美观清晰 能够实时显示当前视图的拓扑状态 通过在拓扑上浮动显示设备 链路的基本 信息和 CPU 链路流量等性能信息 管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进 行监视 拓扑上提供了常用的 Ping telnet TraceRT 打开设备 Web 网管和管理 不管理设备等常 用操作和相关链接 拓扑可以作为管理员管理网络的唯一入口 1 提供完整的IP拓扑 二层拓扑 邻居拓扑 能够显示接入设备上的接入情况 8 25 2 用户可以根据实际组网情况 定义自己关注的网络拓扑 3 在安装了其他组件的情况下 拓扑会增加相应的业务拓扑和操作链接 以满足不同业务的需求 智能的告警显示 过滤和关联智能的告警显示 过滤和关联 2 提供丰富的声光告警 还可以针对不同的告警定义不同操作提 示以及维护参考等 3 汇总显示发生故障的设备 方便管理员日常维护工作展 4 提供重复告警过滤 突发的大流量告警过滤 未知告警过滤和用户自定义规则过滤 可以有效压缩 海量网络告警 使得管理员直接关注真正的网络故障 5 在安装其他组件的情况下 还提供基本告警和业务告警的关联 6 在基本告警发生后 系统进行关联分析 自动产生业务告警 管理员即可根据基本告警从而迅速定 位问题 缩短平均修复时间 又可根据业务告警 分析出受影响的业务 为网络的现状评估和优化提供 数据基础 直观的状态监控直观的状态监控 与传统的网管告警和拓扑状态互相分离做法不同 使用显著的颜色把故障状态直观的反映在拓扑中 的设备和链路图标上 用户仅需要查看拓扑 即可知道网络的整体运行状态 性能管理性能管理 1 提供了对系统所管理的各种设备性能参数的公共监视功能 比如内存利用率 CPU利用率 设备不 可达率 设备响应时间和接口性能数据等 2 可对每一个性能指标设置二级阈值 发送不同级别的告警 用户可以根据告警信息直接了解到设备 某指标的性能情况 有助于用户随时了解网络的运行状态 预防网络故障 预测网络发展趋势 合 9 25 理优化网络 3 通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息 通过报表 的导出和打印功能 管理员能够迅速将网络状况汇总数据上报给各级领导 为网络的决策提供有利 的支撑 用户管理与网络拓扑管理相融合用户管理与网络拓扑管理相融合 10 25 在拓扑上可以直观的操作接入设备 接入终端相关的用户管理功能 比 如查看用户信息 强制用户下线 执行安全检查等 使终端用户的管理更加 直观清晰 用户管理与网络设备管理相融合 用户管理操作更加简单用户管理与网络设备管理相融合 用户管理操作更加简单 1 接入设备列表中可以直接看到用户相关信息 在使得操作简单方便的基础 上 又提高了操作员日常维护的效率 11 25 2 可针对选定的接入设备进行用户操作 比如 针对某个接入设备 将其所 挂的用户全部下线处理等 3 可以在在线用户列表中通过点击接入设备 直接查看当前在线用户所对应 的接入设备的详细信息 比如 对应的基本信息 告警 性能状况等 该 功能使得操作更友好 全面提升操作员的操作体验 2 4 22 4 2 IMCIMC 用户接入管理用户接入管理 iMC 基本接入管理 主要管理用户的接入准入和控制 支持多种接入及 认证方式 严格的权限控制手段 详尽的用户监控 集中方便的用户管理 为接入设备提供查询设备明细信息的链接 接入设备管理与拓扑管理的融合 支持多种接入及认证方式 适合多种接入组网场景及应用场景 支持多种接入及认证方式 适合多种接入组网场景及应用场景 1 支持 802 1x 无线接入等多种认证接入方式 2 支持用户与设备 IP 地址 接入端口 VLAN 用户 IP 地址和 MAC 地址等 硬件信息的绑定认证 增强用户认证的安全性 防止账号盗用和非法接入 3 支持与 Windows 域管理器 第三方邮件系统 必须支持 LDAP 协议 的 统一认证 避免用户记忆多个用户名和密码 12 25 4 支持端点准入防御 EAD 解决方案 确保所有接入网络的用户终端符合 企业的安全策略 严格的权限控制手段 强化用户接入控制管理 严格的权限控制手段 强化用户接入控制管理 1 用户权限控制策略 可以为不同用户定制不同网络访问权限 2 禁止用户设置和使用代理服务器 有效防止个别用户对网络资源的过度占 用 3 可限制用户 IP 地址分配策略 防止 IP 地址盗用和冲突 4 可以限制用户的接入时段和接入区域 用户只能在允许的时间和地点上网 5 可以限制终端用户使用多网卡和拨号网络 防止内部信息泄露 6 可以 限制用户必须使用专用安全客户端 并强制自动升级 确保认证客户端的安 全性 详尽的用户监控 强化对终端用户的监视控制 详尽的用户监控 强化对终端用户的监视控制 13 25 1 接入业务组件提供强大的 黑名单 管理 可以将恶意猜测密码的用户加 入黑名单 并可按 MAC IP 地址跟踪非法行为的来源 2 管理员可以实时监控在线用户 强制非法用户下线 3 支持消息下发 管理员可以向上网用户发布通知消息 如 系统升级 网 络将在 10 分中后切断 您的密码遭恶意试探 请注意保护密码安全 等 4 iMC 接入业务组件记录认证失败日志 便于方便定位用户无法认证通过的 原因 集中方便的接入业务用户管理 简化管理员维护操作集中方便的接入业务用户管理 简化管理员维护操作 1 基于服务的用户分类管理 用户的认证绑定策略 安全策略 访问权限均 封装于服务中 简化管理员的操作 保证网络管理模式的统一 2 接入用户相关的管理动作集中化 界面对操作员来说更友好 更美观易用 14 25 为接入设备提供查询设备明细信息的链接 操作简便 为接入设备提供查询设备明细信息的链接 操作简便 可以通过简单的鼠标点击即可看到接入设备的详细信息 比如 对应的基本 信息 告警 性能状况等 接入设备管理与拓扑管理的融合 使得设备管理更简单 管理更方便 接入设备管理与拓扑管理的融合 使得设备管理更简单 管理更方便 1 拓扑中可以清晰的显示出接入设备 并能查看接入设备相关信息 并可以 通过很简单的鼠标点击方式 将此接入设备设置为非接入设备 2 4 32 4 3 EADEAD 端点准入控制端点准入控制 选择华为 3COM 交换机完全支持 802 1x 协议 802 1X 与认证服务器 IMC 一起 防止非法用户和设备接入网络 防止不符合安全策略的用户对网 络产生威胁 例如恶意接入点 病毒库未及时升级 操作系统未打补丁等 当用户的信息通过认证服务器身份验证及网络准入控制 满足防病毒服务器 补丁服务的检查后 用户获得网络访问许可 根据分组访问权限 用户就可以 访问指定的业务服务器 VPN 通道 互连网等 通过 EAD 系统可以防范网络 病毒传播 确保服务器及企业数据安全 1 1 原理原理 15 25 EAD 解决方案提供企业网络安全管理的平台 通过整合孤立的单点防御 系统 加强对用户的集中管理 统一实施企业网络安全策略 提高网络终端 的主动抵抗能力 其基本原理图如下 EADEAD 基本原理基本原理 EAD 系统由四部分组成 具体包括安全策略服务器 安全客户端平台 安全联动设备和第三方服务器 安全策略服务器是 EAD 方案中的管理与控制中心 是 EAD 解决方案的 核心组成部分 实现用户管理 安全策略管理 安全状态评估 安全联动控 制以及安全事件审计等功能 目前华为 3Com 公司的 CAMS 产品实现了安 全策略服务器的功能 该系统在全面管理网络用户信息的基础上 支持多种 网络认证方式 支持针对用户的安全策略设置 以标准协议与网络设备联动 实现对用户接入行为的控制 同时 该系统可详细记录用户上网信息和安全 事件信息 审计用户上网行为和安全事件 16 25 安全客户端平台是安装在用户终端系统上的软件 该平台可集成各种安 全厂商的安全产品插件 对用户终端进行身份认证 安全状态评估以及实施 网络安全策略 安全联动设备是企业网络中安全策略的实施点 起到强制用户准入认证 隔离不合格终端 为合法用户提供网络服务的作用 CAMS 综合接入管理平 台作为安全策略服务器 提供标准的协议接口 支持同交换机 路由器等各 类网络设备的安全联动 第三方服务器为病毒服务器 补丁服务器等第三方网络安全产品 通过 安全策略的设置实施 第三方安全产品的功能集成至 EAD 解决方案中 实现 安全产品功能的整合 EAD 原理图示意了应用 EAD 系统实现终端安全准入的流程 用户终端试图接入网络时 首先通过安全客户端上传用户信息至安全策 略服务器进行用户身份认证 非法用户将被拒绝接入网络 合法用户将被要求进行安全状态认证 由安全策略服务器验证补丁版本 病毒库版本等信息是否合格 不合格用户将被安全联动设备隔离到隔离区进 入隔离区的用户可以根据企业网络安全策略 通过第三方服务器进行安装系 统补丁 升级病毒库 检查终端系统信息等操作 直到接入终端符合企业网 络安全策略 安全状态合格的用户将实施由安全策略服务器下发的安全设置 并由安 全联动设备提供基于身份的网络服务 2 2 功能特点功能特点 完备的安全状态评估完备的安全状态评估 17 25 用户终端的安全状态是指操作系统补丁 第三方软件版本 病毒库版本 是否感染病毒等反映终端防御能力的状态信息 EAD 通过对终端安全状态进 行评估 使得只有符合企业安全标准的终端才能正常访问网络 实时的 危险 用户隔离 系统补丁 病毒库版本不及时更新或已感染病毒的用户终端 如果不符 合管理员设定的企业安全策略 将被限制访问权限 只能访问病毒服务器 补丁服务器等用于系统修复的网络资源 基于角色的网络服务基于角色的网络服务 在用户终端在通过病毒 补丁等安全信息检查后 EAD 可基于终端用户 的角色 向安全客户端下发系统配置的安全策略 按照用户角色权限规范用 户的网络使用行为 终端用户的 ACL 访问策略 QoS 策略 是否禁止使用代 理 是否禁止使用双网卡等安全措施设置均可由管理员统一管理 并实时应 用实施 可扩展的 开放的安全解决方案可扩展的 开放的安全解决方案 EAD 是一个可扩展的安全解决方案 对现有网络设备和组网方式改造较 小 在现有企业网中 只需对网络设备和三方软件进行简单升级 即可实现 接入控制和防病毒的联动 达到端点准入控制的目的 有效保护用户的网络 投资 EAD 也是一个开放的解决方案 EAD 系统中 安全策略服务器同设备的 交互 同第三方服务器的交互都基于开放的 标准的协议实现 在防病毒方 面 目前 EAD 系统已金山 瑞星 江民等多家主流防病毒厂商的产品实现联 动 灵活 方便的部署与维护灵活 方便的部署与维护 18 25 EAD 方案部署灵活 维护方便 可以按照网络管理员的要求区别对待不 同身份的用户 定制不同的安全检查和隔离级别 EAD 可以部署为监控模式 只记录不合格的用户终端 不进行修复提醒 提醒模式 只做修复提醒 不进行网络隔离 和隔离模式 以适应用户对安全准入控制的不同要求 3 3 EADEAD 应用场景应用场景 EAD 是一种通用接入安全解决方案 具有很强的灵活性和适应性 可以 配合交换机 路由器 VPN 网关等网络设备 实现对局域网接入 无线接入 VPN 接入 关键区域访问等多种组网方式的安全防护 可以为多种应用场合 提供安全保护 具体包括 局域网安全防护局域网安全防护 在企业网内部 接入终端一般是通过交换机接入企业网络 EAD 通过与 交换机的联动 强制检查用户终端的病毒库和系统补丁信息 降低病毒和蠕 虫蔓延的风险 同时强制实施网络接入用户的安全策略 阻止来自企业内部 的安全威胁 无线接入网络的安全防护无线接入网络的安全防护 WLAN 接入的用户终端具有漫游性 经常脱离企业网络管理员的监控 容易感染病毒和木马或出现长期不更新系统补丁的现象 给网络带来安全隐 患 与局域网接入防护类似 对于这种无线接入的用户 EAD 也可以在交换 机配合下 通过实现用户接入终端的安全控制 实现用户网络的安全保护 VPNVPN 接入网络的安全防护接入网络的安全防护 一些企业和机构允许移动办公员工或外部合作人员通过 VPN 方式接入企 业内部网络 EAD 方案可以通过 VPN 网关确保远程接入用户在进入企业内部 网之前 检查用户终端的安全状态 并在用户认证通过后实施企业安全策略 19 25 对于没有安装 EAD 安全客户端的远程用户 管理员可以选择拒绝其访问内部 网络或限制其访问权限 企业关键数据保护企业关键数据保护 对于接入网络的用户终端 其访问权限受 EAD 下发的安全策略控制 其 对企业关键数据服务器的访问也因此受控 同时由于可访问该数据服务器的 用户均通过 EAD 的安全状态检查 避免数据遭受非法访问和攻击 网络入口安全防护网络入口安全防护 大型企业往往拥有分支机构或合作伙伴 其分支机构 合作伙伴也可以 通过专线或 WAN 连接企业总部 这种组网方式在开放型的商业企业中比较 普遍 受到的安全威胁也更严重 为了确保接入企业内部网的用户具有合法 身份且符合企业安全标准 可以在企业入口路由器中实施 EAD 准入认证 4 4 结论结论 EAD 提供了一个全新的安全防御体系 该系统作为网络安全管理的平台 将防病毒功能 自动升级系统补丁等第三方软件提供的网络安全功能 网络 设备接入控制功能 用户接入行为管理功能相融合 加强了对用户终端的集 中管理 提高了网络终端的主动抵抗能力 在 EAD 平台的基础上 可轻松构 建让企业管理者 网络用户和网络管理员均放心的安全网络 通过对网络接 入终端的检查 隔离 修复 管理和监控 有效管理网络安全 使整个网络 变被动防御为主动防御 变单点防御为全面防御 变分散管理为集中策略管 理 让网络拥有 自动免疫 的安全机能 2 5 72 5 7 VLANVLAN 分组设计分组设计 VLAN 是英文 Virtual Local Area Network 的缩写 中文名为 虚拟局 域网 VLAN 是一种将局域网 LAN 设备从逻辑上划分 注意 不是从物 20 25 理上划分 成一个个网段 或者说是更小的局域网 LAN 从而实现虚拟工 作组 单元 的数据交换技术 VLAN 这一新兴技术主要应用于交换机和路由器中 但目前主流应用还 是在交换机之中 不过不是所有交换机都具有此功能 只有三层以上交换机 才具有此功能 这一点可以查看相应交换机的说明书即可得知 VLAN 的好 处主要有三个 1 端口的分隔 即便在同一个交换机上 处于不同 VLAN 的端口也是不 能通信的 这样一个物理的交换机可以当作多个逻辑的交换机使用 2 网络的安全 不同 VLAN 不能直接通信 杜绝了广播信息的不安全性 3 灵活的管理 更改用户所属的网络不必换端口和连线 只更改软件配 置就可以了 VLAN 技术的出现 使得管理员根据实际应用需求 把同一物 理局域网内的不同用户逻 辑地划分成不同的广播域 每一个 VLAN 都包含一 组有着相同需求的计算机工作站 与物理上形成的 LAN 有着相同的属性 由 于它是从逻辑上划分 而不是从物理上划分 所以同一个 VLAN 内的各个工 作站没有限制在同一个物理范围中 即这些工作站可以在不同物理 LAN 网段 由 VLAN 的特点可知 一个 VLAN 内部的广播和单播流量都不会转发到其 他 VLAN 中 从而有 助于控制流量 减少设备投资 简化网络管理 提高网 络的安全性 VLAN 除了能将网络划 分为多个广播域 从而有效地控制广 播风暴的发生 以及使网络的拓扑结构变得非常灵活的优点外 还可以用于 控制网络中不同部门 不同站点之间的互相访问 VLAN 在交换机上的实现方法 可以大致划分为六类 1 基于端口的 VLAN 21 25 这是最常应用的一种 VLAN 划分方法 应用也最为广泛 最有效 目前绝大 多数 VLAN 协 议的交换机都提供这种 VLAN 配置方法 这种划分 VLAN 的 方法是根据以太网交换机的交换端 口来划分的 它是将 VLAN 交换机上的物 理端口和 VLAN 交换机内部的 PVC 永久虚电路 端口分成若干个组 每个 组构成一个虚拟网 相当于一个独立的 VLAN 交换机 对于不同部门需要互 访时 可通过三层交换机转发 并配合基于 MAC 地址的端口过滤 对某站 点的访问路径上最靠近该站点的交换机 路由交换机或路由器的相应端口上 设定可通 过的 MAC 地址集 这样就可以防止非法入侵者从内部盗用 IP 地址 从其他可接入点入侵的可能 从这种划分方法本身我们可以看出 这种划分 的方法的优点是定义 VLAN 成员时非常简单 只要将所有的端口都定义为相 应的 VLAN 组即可 适合于任何大小的网络 它的缺点是如果某用户离开了 原来的端口 到了一个新的交换机的某个端口 必须重新定义 2 基于 MAC 地址的 VLAN 这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分 即对每个 MAC 地址的主机都配置他属于哪个组 它实现的机制就是每一块网卡都对应 唯一的 MAC 地址 VLAN 交换机跟踪属于 VLAN MAC 的地址 这种方式的 VLAN 允许网络用户从一个物理位置移动到另一个物理位置时 自动保留其 所属 VLAN 的成员身份 由这种划分的机制可以看出 这种 VLAN 的划分方 法的最大优点就是当用户物理位置移动时 即从一个交换机换到其他的交换 机时 VLAN 不用重新配置 因为它是基于用户 而不是基于交换机的端口 这种方法的缺点是初始化时 所有的用户都必须进行配置 如果有几百个甚 至上千个用户的话 配置是非常累的 所以这种划分方法通常适用于小型局 域网 而且这种划分的方法也导致了交换机执行效率的降低 因为在每一个 22 25 交换机的端口都可能存在很多个 VLAN 组的成员 保存了许多用户的 MAC 地址 查询起来相当不容易 另外 对于使用笔记本电脑的用户来说 他们 的网卡可能经常更换 这样 VLAN 就必须经常配置 3 基于网络层协议的 VLAN VLAN 按网络层协议来划分 可分为 IP IPX DECnet AppleTalk Banyan 等 VLAN 网络 这种按网络层协议 来组成的 VLAN 可使广播域跨越多个 VLAN 交换机 这对于希望针对具体 应用和服务来组织用户的网络管理员来说是非常具有吸引力的 而且 用户 可以在网络内部自由移动 但其 VLAN 成员身份仍然保留不变 这种方法的 优点是用户的物理位置改变了 不需要重新配置所属的 VLAN 而且可以根 据协议类型来划分 VLAN 这对网络管理者来说很重要 还有 这种方法不 需要附加的帧标签来识别 VLAN 这样可以减少网络的通信量 这种方法的 缺点是效率低 因为检查每一个数据包的网络层地址是需要消耗处理时间的 相对于前面两种方法 一般的交换机芯片都可以自动检查网络上数据包的以 太网帧头 但要让芯片能检查 IP 帧头 需要更高的技术 同时也更费时 当 然 这与各个厂商的实现方法有关 4 根据 IP 组播的 VLAN IP 组播实际上也是一种 VLAN 的定义 即认为一个 IP 组播组就是一个 VLAN 这种划分的方法将 VLAN 扩大到了广域网 因此这种方法具有更大的 灵活性 而且也很容易通过路由器进行扩展 主要适合于不在同一地理范围 的局域网用户组成一个 VLAN 不适合局域网 主要是效率不高 5 按策略划分的 VLAN 基于策略组成的 VLAN 能实现多种分配方法 包括 VLAN 交换机端口 MAC 23 25 地址 IP 地址 网络层协议等 网络管理人员可根据自己的管理模式和本单 位的需求来决定选择哪种类型的 VLAN 6 按用户定义 非用户授权划分的 VLAN 基于用户定义 非用户授权来划分 VLAN 是指为了适应特别的 VLAN 网络 根据具体的网络用户的特别要求来定义和设计 VLAN 而且可以让非 VLAN 群体用户访问 VLAN 但是需要提供用户密码 在得到 VLAN 管理的认证后 才可以加入一个 VLAN 3 3 设备清单设备清单 序号序号产品型号产品型号产品描述产品描述数量数量 1H3C S7500E 系列以太网交换机系列以太网交换机 LS 7510EH3C S7510E 以太网交换机主机2 LSQM1AC1400H3C S7500E 交流电源模块 1400W4 LSQM1SRPD0H3C S7500 Salience VI Plus 交换路由引擎2 LSQM1GV48SC0H3C S7500E 48 端口千兆以太网电接口模块 PoE RJ45 2 LSQM1P24XGSC0 H3C S7500E 24 端口千兆 百兆以太网光接口 SFP LC 2 端口 万兆以太网光接口 XFP LC 模块 2 SFP GE SX MM850 A光模块 SFP GE 多模模块 850nm 0 55km LC 8 SFP GE LX SM1310 A光模块 SFP GE 单模模块 1310nm 10km LC 2 小计小计H3C S7500E 系列以太网交换机系列以太网交换机 2H3C S3600 以太网交换机以太网交换机 LS 3600 28P EI H3C S3600 28P EI 以太网交换机主机 24 个 10 100Base T 4 个千兆 SFP 上行口 交直流双路供电 5 SFP GE SX MM850 A光模块 SFP GE 多模模块 850nm 0 55km LC 8 SFP GE LX SM1310 A光模块 SFP GE 单模模块 1310nm 10km LC 2 小计小计H3C S3600 以太网交换机以太网交换机 3H3C MSR 50 系列路由器系列路由器 RT MPUF H3H3C MSR 50 主控模块 2GE Combo 4SIC 256F 512D1 RT MSCA H3H3C MSR 50 60 多业务模块1 RT MSR5040 AC H3H3C MSR 50 40 路由器主机 AC 1 LIS MSR50 STANDARD H3H3C MSR50 系列主机软件费用 标准版 1 小计小计H3C MSR 50 系列路由器系列路由器 4H3C iMC 智能管理中心智能管理中心 24 25 SWP IMC IMPWN CN H3C iMC 智能管理平台标准版 不含节点 For Windows 纯软件 DVD 中文版 1 LIS IMC IMPA CN 50H3C iMC 智能管理平台标准版 license 费用 管理 50 节点1 SWP IMC EADN CN H3C iMC EAD 安全策略