中小企业网络组建1.doc

摘要本文主要为了保证充分满足公司的需求，整个网络在设计时无论是系统或网络都要严格遵循以下原则，拥有先进性和实用性原则，高性能原则，经济性原则，可靠性原则，安全性原则，可扩展性原则，标准化原则，易管理性原则。以便能够更好地建设一个通畅、高效、安全、可扩展的集团园区网，支撑集团信息系统的运行，共享各种资源，提高集团办公和集团生产效率，降低集团的总体运行费用。关键词：网络 工程 目录前言第一章 项目分析第二章 需求分析第三章 企业办公网主干和信息点需求及分布第四章 网络设计4.1设计依据4.2设计要求4.3网络拓扑结构设计4.4综合布线系统4.5网络技术第五章 IP地址规划第六章 应用服务第七章 总结前言随着网络的逐步普及，中型商用企业的业务将进一步的电子化，与Internet的联系将更加紧密。他们也需要信息基础平台去支撑业务高速发展。这样没有信息技术背景的企业也将会对网络建设有主动诉求。任何决策的科学性和可靠性都是以信息为基础的，信息和决策是同一管理过程中的两个方面，因此行业信息化也就成了人们所讨论并实践着的重要课题，众多行业巨擘纷纷上马各种应用方案且取得了巨大的成功，使信息化建设更具吸引力。中小型企业的建设是企业向信息化发展的必然选择，企业网络系统是一个非常庞大而复杂的系统，它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。相对于大型应用群体而言，中型企业的信息化建设工程通常有规模较小，结构简单的特点，综合资金投入、专业人才以及未来发展等因素，网络的实用性、安全性与拓展性（升级改造能力）是中小企业实现信息化建设的主要要求，因此，成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此将主要以中小型局域网络建设过程可能用到的各种技术及实施方案为设计方向，为中小型企业的建设提供理论依据和实践指导。 第一章 项目分析首先，要对工程项目进行总体目标分析，再根据项目实施原则，对项目进行具体的调查与分析，画出网络拓扑结构图。然后，对设备命名与用途进行规范，并列出设备清单，可根据本项目的特点，进行IP地址的分配、交换机的配置、路由器的配置和系统扩展和优化，最后，对设备正常与否方面进行验收，对网络整体性能进行验收。充分利用计算机网络、INTERNET/INTRANET、多媒体、数据库、数字通信等先进技术构筑研究院的网络平台，实现绘图、管理设计生产的网络化；辅助领导掌握企业发展进行决策；建立先进的办公自动化管理系统。网络项目施工一般可以分成三个阶段：项目调查与分析、项目实施、项目验收。对不同类型的网络项目施工，这三个阶段地具体内容可能会有所不同。制定项目计划时，要针对网络项目施工类型制定完整、准确的项目流程，为后续工作做好充分的准备。本项目包括IP地址、交换机和路由器配置，网络部分的总体要满足信息化的要求,为各类应用系统提供方便快捷的信息通路；拥有良好的性能，能够支持大容量和实时性的各类应用；能够可靠的运行，保证较低的故障率和维护要求；提供安全机制，满足保护信息安全的要求；具有较高的性价比，并且未来升级扩展容易，用户使用简单、维护容易。系统部分的总体要求易于配置，让所有的客户端和服务器系统都是易于配置和管理的，以便保障客户端的方便使用，并且拥有更广泛的设备支持，使所有操作系统及选择的服务应尽量广泛的支持各种硬件设备。提高稳定性及可靠性，系统的运行应具有高稳定性，保障7*24的高性能无故障运行。拥有可管理性，系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理，并在系统的设计、实现及应用上应采用多种安全手段保障网络安全;满足上述的基本特征外，本项目的设计还应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和公司的结构变更。 第二章 需求分析中型局域网需要什么样的网络，通常它们的建网需求也大部分还停留在能上网，共享办公设备资源，共享文件资源，能运行OA软件协同工作上；只有少部分将业务流程移植到INTERNET上来运行。但还有一些有敏感数据的电脑，这些公司是拒绝它们连入网络，而宁愿这些电脑成为信息孤岛。一个原因是实现安全的成本过高，企业无法承受；一个原因是对安全措施不信任。对于网络应用单纯，结构相对简单的中型局域网络。有些用户可能还不需要高性能的网络，但对网络有较多了解的IT型小企业可能就喜欢接受最新的网络技术，但都寻求成本较低。一般应用于中型的IT公司，广告、装饰设计公司，咨询公司，会计师、律师事务所，中型商业流通企业等应用环境。总体目标是建立该企业的办公业务信息网络交换平台，集成下属各部门信息网络系统，功能齐全、技术先进、集成化的网络系统。为实现上述目标，可以把整个系统建设分成两个部分，网络平台建设和Internet/Intranet平台建设。网络平台是建立在结构化布线基础上的最基本的平台。可靠的网络平台是Internet/Intranet系统及应用系统正常运行的基础。网络平台的设计应包括局域网的设计、广域网的设计。Internet/Intranet平台包括Intranet、Internet和Extranet。Internet/Intranet系统具有客户端单一界面、易于使用的特点。在中中国港湾建设总公司的平台建设中，Extranet部分对应于与各合作伙伴信息交流的相关部分。网络系统主要是以光纤作为传输媒介、以IP 和 Intranet技术为技术主体、以核心交换机为交换中心、下属部门信息网络系统为分节点的多层结构、提供与各种职能相关的、功能齐全、技术先进、资源统一的网上应用系统，进一步可扩展成为多功能网络平台。为了达到本网络的需求，本网络选择先进的设备以供使用。目的达到以下要求：1.可靠性。由于升级的往往是核心和骨干网络，其重要性不言而喻，一旦瘫痪则影响巨大。2.可管理性。一个大型网络可管理程度的高低直接影响着运行成本和业务质量。因此，所有的节点都应是可网管的，而且需要有一个强有力且简洁的网络管理系统，能够对网络的业务流量、运行状况等进行全方位的监控和管理。3.安全性。随着网络的普及和发展，各种各样的攻击也在威胁着网络的安全。不仅仅是接入交换机，骨干层次的交换机也应考虑到安全防范的问题，例如访问控制、带宽控制等，从而有效控制不良业务对整个骨干网络的侵害。4.QoS控制能力。随着网络上多媒体业务流（如语音、视频等）越来越多，人们对核心交换节点提出了更高的要求，不仅要能进行一般的线速交换，还要能根据不同的业务流的特点，对它们的优先级和带宽进行有效的控制，从而保证重要业务和时间敏感业务的顺畅。5.标准性和开放性。由于网络往往是一个具有多种厂商设备的环境，因此，所选择的设备必须能够支持业界通用的开放标准和协议，以便能够和其他厂商的设备有效地互通。 第三章 企业办公网主干和信息点需求及分布拟建的企业网主要涉及行政楼部分，建筑高7层，为公司总经营场所，一层设有48个信息点，二到三层每层设有96个信息点，四到七层每层布有48个信息点，门卫设有信息点1个。每层均有一个设备间，一层设有网络中心和机房，包含信息点共计529个，每层楼到一层机房有两条12芯室内光纤，园区网采用10M光纤以太网接入到因特服务提供商的网络，然后接入因特网中，使集团实现与外界的信息交换和网络通信。集团统一一个出口访问Internet，集团能够控制网络的安全。网络设备必须在技术上具有先进性、通用性，必须便于管理、维护。网络设备应该满足集团现有计算机设备的高速接入，应该具备未来良好的可扩展性、可升级性，保护用户的投资。网络设备必须具有良好的在满足功能与性能的基础上性能价格比最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。 第四章 网络设计4.1设计依据(1)遵循中国公众多媒体通信网技术体制、中国公众多媒体通信网工程实施技术要求以及其它国家相关标准和技术体制。(2)采用层次化设计，网络结构的不同部分有不同的功能，使网络具有优良的结构。(3)优化网络和系统结构，并在各个层面考虑冗余和备份，使系统具有较高的容错能力和应变能力，以保证系统的可靠和有效运作。(4)选用的技术确保开放性、可移植性、兼容性和可扩展性。(5)采用通用的国际标准和协议，不采用有碍网络互通的厂家特有性能。(6)提供有效的安全保密措施，确保整个网络的安全。重要网络设备应有适当的冗余备份。(7)尽量详细准确，减低工程的复杂程度，使系统建设和改造的工作量减至最少，以保证工程的顺利和有效完成。4.2设计要求在本项目中所要搭建的网络是一个先进的、高效的、安全的、可靠的、实用的现代化网络，所以网络系统应达到以下要求：（1）实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经营管理服务，为生产建设服务。另外，如果是对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。（2）适度先进性：规划局域网，不但要满足用户当前的需要，还应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。（3）经济性：要求价格适中，设备及耗材要求采用质量过硬，物美价廉，投资预算不超过20万。（4）安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。（5）开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点，增强与异机种、异构网的互联能力。（6）可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性（7）安全保密性：为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。保证的同时，还需要注意以下几点：（1）减少时延。本工程是要解决各个内部的局域网建设问题，其目的是要设计一个高速的交换局域网。从理论上将，数据包穿过路由器的时延要比穿过交换机的时延大得多，这是因为一个数据包穿过路由器时，路由器要对此数据包作第三层的处理，而数据包穿过交换机时，仅需第二层处理。故在设计本方案时，应尽量减少路由模块，采用Router Server/Centralized Routing技术方案为宜。（2）支持VLAN。有人说过，“网路交换技术的灵魂是VLAN”，因为VLAN能带来诸如广播控制、网路安全、性能提高、管理容易等优点。VLAN划分的技术通常有如下三种方式。Port Basis: 交换机或路由器的一个或多个端口划分在一个VLAN之中。这种技术又称为Segment _ based VLAN。Network Address Basis: 这种方式是以网络层的地址为划分VLAN的基础，由此可用不同的网路协议划分不同的VLAN。User_ Defined Basis: 这种方式更灵活，既可按网路协议划分VLAN，又可按MAC地址划分VLAN。目前，第一种（Port Basis）方式CAJUN、CISCO、3COM、BAY都支持，第三种方式MADGE支持。（3）支持多媒体应用。点对点的应用除了对带宽的要求外，已不存在多大的问题，而一点对多点的应用则需要多加考虑。网路设计和选型时应考虑设备应支持将交换机第二层的广播地址和第三层的D类IP广播地址建立映照关系的协议，以支持多媒体应用环境下的组播应用。Cisco采用CGMP协议来实现多媒体组播应用。（4）负载均衡。与LAN相比，广域网带宽远小于LAN，为了充分有效地利用广域网和局域网的带宽，让数据流合理地分配到2条线路或两台设备上，是保证该网能成为高速数据传输网络的关键。（5）系统热备份。设备之间的冗余备份应该是自动进行的，不需要系统管理员的外界干预。在VLAN/ELAN之内则采用Spanning Tree实现链路热备份；在ATM LANE上使用SSRP(Simple Server Redundancy Protocol)实现ATM局域网仿真服务的容错备份。4.3网络拓扑结构设计在用户的网络结构设计中，我们建议采用层次化的结构设计。星型网络拓扑结构是指所有的计算机结点都连接在一个中心结点上，即任何一个结点都与中心结点间有一条直接的、独享的网路。星型网络拓扑结构式最古老的一种通讯设计方法，它源于电话交换系统。虽然非常古老，但在现今的网络技术的推动下，星型拓扑结构已成为现代网络很好的选择。星型网络的物理布局由于中央集线器相连的多个结点组成。集线器是一种将各个单独的电缆或单独的局域网连接为一个网络的中央设备，有些集线器也被称为集中器或存储装置。单一的通讯电缆段像星星一样从集线器处向外辐射。星型拓扑中可分为星型拓扑和扩展星型拓扑：星型拓扑：尽管物理星型拓扑的实施费用高于物理总线拓扑，然而星型拓扑的优势却使其物超所值。每台设备通过各自的线缆连接到中心设备，因此某根电缆出现问题时只会影响到那一台设备，而网络的其他组件依然可正常运行。这个优点极其重要，这也正是所有新设计的以太网都采用的物理星型拓扑的原因所在。扩展星型拓扑：如果星型网络扩展到包含与主网络设备相连的其它网络设备，这种拓扑就称为扩展星型拓扑。纯扩展星型拓扑的问题是如果中心点出现故障，网络的大部分组件就会被断开。星型拓扑结构网络的优点是：网络的结构简单，便于管理。网络的控制容易，组网简单。每个结点只连接一个设备，连接的故障不会影响整个网络。集中控制，故障的检测和隔离方便。网络的延迟时间短，传输的误码率比较低。星型拓扑结构中每个节点只需要一个物理连接和一个I/O端口，使用的电缆数也减少了，因此费用较小，建立的配置线路连接也容易。另外，在网络上增加节点，或者移动、减少节点也仅仅和HUB有关,与其他节点没有关系。 星型拓扑结构也有一定的健壮性，如果某个物理连接损坏了，仅影响该连接上的数据传送，其余连接不受影响。这一点也有助于故障的定位和隔离。只要工作正常，HUB就能用来监视物理连接的状态，旁路损坏的物理连接。 星型拓扑结构的一种变化是树型拓扑结构。网络连接的节点数增加以后，可以用几个HUB或交换器连接这些节点，HUB之间再用星型方式连接在一个中心控制节点上。整个网络的拓扑结构看上去像树一样，树根和主干是中心控制节点，分支是一般的HUB，而树叶是各种设备。用这种拓扑结构一方面可以连接更多的节点，增加网络的覆盖面积，同时也可以隔离和优化节点间的通信。对于用户即将建设的网络系统来说，想要建设成为一个覆盖范围广、网络性能优良、具有很强扩展能力和升级能力的网络，在起初的设计中就必须采用层次化的网络设计原则。采用这样的结构所建设的网络具有良好的扩充性、管理性，因为新的子网模块和新的网络技术能被更容易集成到整个系统中，而不破坏已存在的骨干网。以行政楼中心机房为中心，下属部门为接入点的星型连接方式。现阶段出于用户的应用和先进性考虑，通过千兆光纤连接。各楼层的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后，由汇聚交换机通过千兆接到核心交换机。我们可采用千兆路由交换机与各 LAN 网段的交换机连接而组成星型网络，实现千兆核心网络到各楼层，百兆到桌面，满足各种应用的需要。核心层交换机与服务器群的相连是以千兆以太网的方式。以上拓扑结构设计有以下特点：它充分利用网络资源，把交换路由模块分开成第二层交换和第三层路由，这样做对网络的性能大有改善；网络拓扑结构层次清楚，易于扩充和升级（后面有升级的拓扑方案），同时体现了开放式的体系结构；由于核心交换机所承载的流量相应减少，从另一个角度来说，也即提高了网络整体的可靠性，对用户的QoS 从网络结构的优化上得到了保证；大大减少网络瓶颈和由于链路、路由而导致的故障；通过在网内划分 VLAN 的技术来确保网络内部的安全性。大多数的网络都可以被层次性划分为三个逻辑服务单元：核心骨干网(Backbone)、汇聚网(Distribute)和接入网(Localaccess)，模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。层次性结构如下图所示。4.4综合布线系统随着计算机网络和通信技术的飞速发展，二十一世纪的建筑业也将发生巨大的变化，智能建筑已成为代表建筑高科技含量的代名词，也将成为人们提高生活质量和工作效率，创造出更多物质财富、精神财富的有力保证。人们居住条件的提高和办公环境的改善,无疑对建筑物的智能化提出了更新、更高的要求，综合布线系统为其智能化的实现提供了一个完美的物理链接平台，在对系统进行配置，以适应更先进的技术需求，满足快速变化节奏的同时，将把建筑物的远期投资控制在最低限度内。综合布线系统的设计要充分考虑各楼层的不同使用情况，并留有充分的扩展空间，以满足不同用户不同的需要。综合布线系统作为本项目的重要组成部分及信息传输的基础设施，在系统设计时应以“统一考虑、分别实施、物尽其用、经济合理”为原则，具有模块化、灵活性、可靠性、易扩展等特点。本项目综合布线系统应覆盖以下部分：（1）.涉及传统电话通信系统（包括电话、传真等）。（2）.涉及宽带数据通信系统。（3）.涉及有线电视信号系统。根据对用户需求的分析，本着一切从用户出发的原则，根据我方多年来的丰富经验及对本工程的深入理解，我们建议采用普天布线产品超五类解决方案为建筑物提供高速的信息传输通道。将电话、电脑、的布线集成于一起，使您的室内布线变得十分美观、简单而有效。电话与电脑均用超五类线和数据模块布置，二者传输的带宽均达125MHZ以上，这使您的电话与电脑之间可以互换、扩容。由于语音、数据、有线电视的信息点与传输线缆均有足够的容量，足以支撑有线、电信或网通的宽带业务的发展，适应今后网络扩充和发展的需要，保证网络的先进性和可拓展性。主要以以下标准规范为设计依据：（1）建筑与建筑群综合布线系统工程设计规范（GB/T50311-2007）（2）建筑与建筑群综合布线系统工程验收规范（GB/T50312-2007）（3）智能建筑设计标准（GB/T50314-2006）（4）民用建筑电气设计规范（JGJ/T16-92）（5）大楼通信综合布线系统总规范（YD/T 923.1-97）（6）家居布线标准（EIA/TIA-570-A）4.5网络技术（1）交换以太网技术交换以太网是新近发展起来的先进网络技术。它在保证与以太网协议兼容的前提下，提高网络利用率，减少网络资源争夺造成的冲突，使网络性能大幅度提高，以满足各类数据信息传输的要求。交换以太网从产生发展到今天在技术上分为两种：静态交换和动态交换。静态交换：将网络划分为多个网段，网络管理员可以通过网管平台分配各个网段的负载，即网络管理员可以只利用鼠标就可将工作站从资源争夺紧张的网段移到其它冲突较少的网段上。静态交换使得网络管理员不必到现场接插线路，而是在网管平台面前轻松地改变网络配置，以调整各网段间的负载。静态交换需要网络管理员的监测才能进行被动地调整，而且每个网段上、网段之间的介质访问机制没有改变，网络性能没有根本地提高。动态交换：动态交换是在高速总线上支持多对传输的同时进行。它不需人工干预实时地将独占带宽分配给一对节点；而其它节点间也可同时进行数据传输。动态交换在总线内部改变了以太网的介质访问机制，使得网上的数据传输以独占的方式进行，就好象在两个有数据传输的节点之间有独立的传输电缆一样，使网络效率大大提高。动态交换分为端口交换和网段交换两种。端口交换适用于高速节点如服务器、多媒体工作站的连接，它连接节点个数不多，每个节点都有很高的传输速率；网段交换适用于没有特别速率要求的工作站网段，交换的高性能体现在网段之间、网段与服务器之间的数据传输上。同时，随着网络技术的不断进步，动态交换被不断加进新的性能，如对虚网的支持和对数据优先级的支持等。（2）快速以太网（Fast Ethernet）技术快速以太网具有100Mb/s的数据通信速率。由于它与10base-T局域网结构的访问控制机制和电缆联接分布结构相兼容。故而在需要提高局域网通讯速率应用的同时，则从技术上经济上都具有较强的吸引力。目前通常采用10/100的网络适配卡来适应网络传输速率10/100的自动转换。100base-T也使用载波侦听多重访问/碰撞检测技术（CSMA/CD）作为访问竞争算法。其特点是具有不确定的延时和其通过量依赖于有最少的网络碰撞和试图重发的有效的信道利用。但当遇到频繁的发送碰撞和重发的重负荷时，其通讯效率将会下降到理论设计速率50%以下。目前解决这种传输速率下降的技术措施，即向每个节点提供专用的快速网段，可以减轻采用算法引起的问题。但必须要增加快速以太网交换机各个交换端口的网络交换能力。把负担转移给交换机来完成。由于100base-T能够与10base-T网络基础设施的反向兼容性，以及在实际应用中体现方便性和建网费用较低，因而近期在局域网的设计规划中较为广泛地被采用。快速以太网的另一种技术是100VG-Anylan（IEEE 802.12标准），它使用较为复杂的令牌传递算法。要求用100VG-Anylan适配卡来装备工作站，并需配备相应的驱动软件。其工作速率也达到100Mb/s。其通讯协议采用被称为按需优先级访问方法（DPAM）。在共享传输介质的局域网络中，传递话音或视频信息等对延时敏感的通讯时，显示出按需优先级访问算法优于载波侦听多重访问/碰撞检测的访问竞争算法。它能较好地利用带宽。在线路结构上需要四对线路同时被利用。这种技术是由HP公司开发和支持的网络技术。这种按需优先级访问算法是一种新的网络协议，目前应用较少，且缺少对其产品的诊断技术，性能价格比不及100base-T技术。快速以太网与传统的以太网技术相比，此外它还具备以下优点：第一，快速以太网和普通以太网一样遵循CSMA/CD协议，现有的10BaseT网络设备可以相当简便地升级到快速以太网，保护用户原有的投资，与其它新型网络技术相比，更方便地使现有的10Mbps LAN无缝连接到100MbpsLAN上。第二，100BaseT集线器和网络接口卡，只需要比10BaseT同样的设备多花少量费用就可提供比普通以太网高10倍的性能。因此，100BaseT具备较高的性能价格比。第三快速以太网(100BaseT)已得到IEEE任命标准为802.3u，并得到了所有的主流网络厂商的支持。（3）千兆以太网技术千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。IEEE已批准千兆位以太网工程IEEE 802E TaskForce。千兆位以太网和已充分建立的以太网与快速以太网的节点完全匹配。最初的以太网规范由帧格式定义，且支持CSMD/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目，千兆位以太网将使用所有这些规范。千兆位以太网使用和管理和快以太网相同，所不同的仅仅是比快速以太网快十倍与当前的高带宽需求应用程序相协调的额外特性，而且和日益增强的服务器和台式计算机的功能相匹配。（4）vlan技术VLAN（Virtual Local Area Network）的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。 IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。 VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。Vlan的优点如下：第一，广播风暴防范：限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。 第二，安全：增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。 第三，成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。 第四，性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。 第五，提高IT员工效率：VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。 第六，简化项目管理或应用管理：VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围。第七，增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。 第五章 IP地址规划集团园区网计划使用私有的A类IP地址。集团园区网的IP地址分配原则如下：集团使用IPv4地址方案。集团使用私有IP地址空间：100.0.0.0/16。集团使用VLSM(变长子网掩码)技术分配IP地址空间。集团IP地址分配满足合理利用的要求。集团IP地址分配满足便于路由汇聚的要求。集团IP地址分配满足分类控制等的要求。集团IP地址分配满足未来公司网络扩容的需要。集团园区网的IP地址的一些具体使用规定了网化后，所有的第一个子网(0子网)都不分配给用户使用。网关的地址统一使用子网的最后一个可用地址。IP地址的使用需要报集团总部审批备案。具体配置如下：机构 IP地址/地址范围 说明总部 100.18.97.252/24 至100.18.102.252/24 1号楼接入层交换机管理IP地址1.1.1.1 /32 至 6.6.6.6 /32 非二层交换机的Loopback地址(连接办公区域、服务器区域、核心区域的6台交换机以及边界路由器)100.18.97.1 100.18.102.251/24 各层客户端DHCP地址范围100.18.97.252/24 至 100.18.102.252/24 1号楼汇聚层交换机对应每一Vlan的IP地址(Vlan12至17)100.18.64.1 /30 100.18.64.2 /30核心层交换机之间互联IP地址100.18.64.5 /30 100.18.64.6