信息基础设施建设项目网络实施方案.doc

信息基础设施建设项目网络实施方案信息基础设施建设项目网络实施方案 目 录1项目概述11项目建设内容21.1项目总体建设内容21.2网络系统规划22网络设计技术方案72.1网络设备命名规划72.2IP地址分配方案102.3虚拟网划分和管理152.4EtherChannel以太信道设计222.5生成树设计252.6HSRP双机热备设计方案282.7骨干网网设计312.8服务器区设计342.9路由协议选择和路由设计352.10Internet区双运营商网络和路由设计372.11核心交换防火墙模块设计方案432.12ACS方案设计442.13无线局域网设计522.14公共区域的DHCP设计542.15IOS备份方案设计543网络管理563.1网络管理介绍563.2网管协议的选型574网络切割方案584.1网络割接目标584.2割接步骤585设备配置606项目涉及设备61ii经济技术研究院网络实施方案1 项目概述中国石化经济技术研究院（以下简称经研院）承担着集团公司发展战略、经济环境、政策法规、市场营销、决策咨询和科技信息的研究工作，是集团公司战略发展和生产经营的决策支持机构。为实现集团公司“建设有较强竞争力的跨国能源化工公司”的需要，努力完成苏树林总经理把经研院建成“国内领先、国际上有影响的研究机构” 的发展目标，加强信息化建设，使经研院尽快建设成为集团公司“战略管理的支撑、产业研究的平台、信息汇集的窗口、评估评价的权威”，为集团公司提供优质服务，迫切需要对经研院的技术手段进行更新。近年来，全社会信息化建设快速发展，外界的网络环境发生了巨变，网络不断提速、信息量巨增、信息表现形式的多样化对网络基础设施提出了新的要求。随着网络应用的普及，网络环境更加复杂，信息安全越来越受到关注。经研院现有的网络始建于1999年，采用星形结构。网络设备全部采用CABLETRON的产品，核心为SSR8000 100MB，接入设备为ELS10-26TX 10MB，因特网接入路由器为CISCO 2600。内网速率均为10/100M共享；主交换机SSR8000内存、槽位及网络接口已使用完毕，没有扩充能力，同时处理能力较低，经常因为网络病毒、不良网络行为、大的视频流量（包括大楼数字监控系统）导致主交换机瘫痪。网络结构不合理，未划分子网，所有服务器和用户均在同一网段，网络病毒、广播风暴等经常导致系统运行不稳定；同时所有设备和链路均为单台单链路，存在较大的安全隐患。现有网络设备都属于超龄带病运行，系统运行故障率较高；设备厂商已被收购，设备已经停产，没有备品备件。经研院现运行的网络，在石化同行业内横向对比基础设施严重老化，管理方式落后，存在着严重的信息安全隐患，网络已经成为经研院业务发展的瓶颈，系统地进行改造已成当务之急。1 项目建设内容1.1 项目总体建设内容根据经研院本次的建设需求，经研院信息基础设施建设分为四大分项，包括：综合布线、网络系统改造、服务器和存储系统、机房和UPS建设。基于经研院项目建设的总目标，即通过此次升级改造，为经研院建设一个良好、安全、稳定和高可靠的信息基础设施平台，实现对经研院生产、经营、管理的信息系统支撑，为业务的发展提供支持。按照各个分项的功能和要求，得到详细建设内容如下：1. 建立一套满足经研院1590个信息点的综合布线系统；2. 建设相应的配套机房3. 建设一个万兆主干、部分千兆到桌面的交换网络；4. 优化设计网络结构，设计双机热备、双机冗余、背板容量足够的交换核心。消除存在单点故障的问题，采用冗余可靠的网络结构方式；5. 建立一套无线局域网满足目前日益增加的无线网接入要求，并对信息点分布不足的地方进行补充；6. 建设一套SSL-VPN，作为网络连接补充，同时满足外出人员的移动办公和上海分公司的远程连接需要；7. 把大楼数字监控系统纳入正常网络连接系统；8. 增加相应的安全设备实现网络的可管、可控、可防等安全特性，控制来自内外部上网行为，对公司内部重要信息应用和网络区域进行有效保护。9. 更换及升级部分使用年限过长、故障率较高的服务器10. 按照日常网络数据存储应用提供NAS存储架构；1.2 网络系统规划按照中石化经济技术研究院的业务系统功能、应用、安全防护等需求，本设计将网络系统划分为5个功能区，主要包括：1）因特网节点；2）主干网节点；3）核心网络；4）服务器网络；5）局域网。每个功能区提供相对独立的功能，同一功能区中的信息资产具有相同或相近的功能属性，如接入模式、访问需求、安全级别等。通过功能区的划分，可以实现业务系统与网络架构、网络安全技术的有机结合，完成对同一功能区内系统网络架构的统一规划，提高网络系统对业务的感知能力，限制系统风险在网内的任意扩散，有效的控制安全事件和安全风险的传播。本次项目按照功能区的划分制定实施内容和进度计划，首先制定设备和跳线命名规则，接着规划网络连接、路由设计、IP分配、VLAN划分等内容，然后制定实施计划，最后进行设备安装实施。设计将充分考虑经研院目前的网络状况及未来五年信息化发展的需要。1.2.1 网络改造建设内容经研院网络建设主要有以下几项内容：1) 完成网络系统的规划和设计，进行合理的功能区域划分； 2) 设计可靠的建设和切割方案，保证网络系统的不间断运行；3) 建立与电信、网通ISP供应商双Internet链路连接，满足邮件、外部主页等因特网访问需求；建设一套SSL-VPN，作为网络连接补充，同时满足外出人员的移动办公和上海分公司的远程连接需要；4) 建立经研院主干网络，实现经研院和总部的双链路冗余连接；5) 建立稳定可靠的机房核心网络； 6) 根据服务器功能需求和信息安全要求进行服务器系统区域划分，完成服务器接入交换机的安装和调试；7) 建立办公网络系统，完成各配线间接入交换机的安装和调试，实现终端用户100/1000M自适应桌面接入，万兆主干上联；另外，单独建设视频接入区，统一财务区局域网接入；8) 建立部分会议室和公共区域的无线网络，实现用户安全认证；9) 把大楼数字监控系统纳入正常网络连接系统；1.2.2 经济技术研究院网络规划拓扑图1.2.3 网络连接说明一：核心连接经研院的核心交换机为两台思科6509，两台6509之间通过启用hsrp协议实现双机互联和冗余备份，并通过两对光纤做port channel连接，实现核心设备连接链路的负载均衡。在路由设计方面进行优化，使用动态路由，提供网络自愈、减少了管理工作。 动态路由协议选用 OSPF。OSPF是IETF为IP网络制定的一种IGP（内部网关协议）协议标准，基于链路状态，采用SPF（Shortest Path First）算法。OSPF路由协议的主要优点是：l 链路状态路由算法的可扩展性较大；l OSPFv2是IETF标准，方便不同厂家的网络设备互相连接；l 因OSPFv2被广泛采用，当中的支援亦较多。二：服务器区针对经研院科研、管理应用系统的需求，为保证科研、办公应用系统、数据的安全，我们建立专门的服务器区，使用两台思科4948作为服务器核心交换机 ，连接核心交换机6509，同样通过静态路由方式和核心网络建立连接，这样做的好处是隔离2层网络的影响，给予服务器区更加安全可靠的网络环境，同时提供更加明晰、更加容易扩展的路由方式，给维护带来了方便。三：局域网办公楼主楼共6层设2个配线间，辅楼设1个配线间。接入交换机分布在各个配线间内，其中，二楼配线间放置-1到2楼的接入交换机，每楼层一台4507R交换机；四楼配线间放置3到5楼的接入交换机，每楼层一台4507R交换机。配置一台专门的接入交换机作为监控设备的接入。所有接入交换机通过两条万兆光纤连接核心交换机，两条链路互为冗余，这样任何一链路出现问题，系统可以在3秒之内将数据传输迁移到另一条可靠链路上，保证整个网络的安全和稳定。给经研院会议室配置无线网络，使用思科设备，包括无线控制器和LAP1131G。无线网络基于思科的LWAPP（轻量级AP协议）协议构建，是一套集中控制的无线系统 。 在核心层和接入层的设计中，广泛采用了VLAN的划分，VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。 四：互联网使用两台ASR 1002路由器实现互联网接入，两台飞塔3600A提供互联网安全防护，一台SSL VPN提供远程用户接入。配置一台二层交换机提供SSL VPN接入。在防火墙设置一个DMZ区域，安全级别介于内网和外网之间，主要提供外部对内应用的访问和数据上传。配置DMZ交换机，连接两台防火墙，所有对外应用的服务器，全部放在DMZ区。DMZ区服务器占用交换机的13-24口，使用外网网段。五：主干网使用总部提供的防火墙和路由器，构建一套双线路的系统。其中，路由器和核心6509之间使用OSPF路由协议，并且在路由器上增加策略路由以达到负载均衡的目的。2 网络设计技术方案2.1 网络设备命名规划在网络方案规划前，考虑到设备连接较为复杂，为规范化项目建设和网络运维管理，首先制定设备命名和设备连接跳线命名规则。规范命名分为两个系统：楼层网络系统和机房网络系统，管理细则如下：1. 楼层网络系统楼层网络系统主要有：楼层网络机柜、楼层网络设备、设备互联跳线。具体编号方案如下：楼层配线系统组成部分功能代码编号规则编号示例示例说明楼层网络机柜NABA：功能代码（1）：N；B：网络机柜序号（2）：0199。N01配线间内1网络机柜楼层网络设备属性标识分3行标识属性，分别是：R1：名称：楼层号配线间编号网络机柜编号”-” 设备型号设备功能代码（J，H，C）流水号R2：用途R3：管理IP名称1AN01-3560J1用途1楼接入交换机IP10.16.1.11设备功能：接入J，汇聚H，核心C网络设备只做属性标识即可。设备互联线F：本地端口号T：对方端口号说明：交换机端口号：楼层号配线间编号网络机柜编号”-” 设备型号设备功能代码（J，H，C）流水号” ” 端口速率（B：100M、G：1000M、T：10G）插槽号（1）“/”端口号（2），共计17位。对端设备端口号：楼层号配线间编号网络机柜编号”-” 设备型号设备功能代码（J，H，C）流水号” ” 端口速率（B：100M、G：1000M、T：10G）插槽号（1）“/”端口号（2），共计17位。F：1AN01-3560J1 G0/24T：1AN01-5100J2 G0/48从（1网络机柜的1交换机1插槽第24个千兆口）跳接至（1网络机柜的2交换机1插槽第48个千兆口）。跳线的快速标识施工时以00016000流水号作为跳线的快速标识。与跳线编号结合使用。两端流水号必须一致。2. 机房网络部分机房网络部分主要有：编号、机房机柜、机房网络设备、机房网络跳线。具体编号方案如下：机房网络组成部分功能代码编号规则编号示例示例说明数据机房DC代表数据中心机房机房编号17机房机柜网络NABA：机房编号编号（1）：机房机柜功能代码；本编号内机柜序号（2）：0199。1N01网络机柜机房网络设备属性标识分3行标识属性，分别是：R1：名称：数据机房编号网络机柜编号”-” 设备型号设备功能代码（J，H，C）流水号R2：用途R3：管理IP名称DC2N06-4948J1用途A区接入交换机IP172.16.1.1设备功能：接入J，汇聚H，核心C网络设备只做属性标识即可。跳线网络设备网络设备F：本地端口号T：对方端口号说明：本地端口号：数据机房编号网络机柜编号”-” 设备型号设备功能代码（J，H，C，R，FW）流水号” ” 端口速率（B：100M、G：1000M、T：10G）插槽号（1）“/”端口号（2），共计20位。对方端口号：数据机房编号网络机柜编号”-” 设备型号设备功能代码（J，H，C，R，FW）流水号” ”端口速率（B：100M、G：1000M、T：10G）插槽号（1）“/”端口号（2），共计20位。F：DC2N06-4948J1 Gi0/48T：DC2N06-4948J2 Gi0/48从（2区6网络机柜的1交换机1插槽第48个千兆口）跳接至（2区6网络机柜的2交换机1插槽第48个千兆口）。经研院网络设备命名如下：序号设备型号名称描述1WS-C6509-EJYY_CoreA经研院核心交换机A2WS-C6509-EJYY_CoreB经研院核心交换机B3WS-SVC-FWM-1-K9JYY_CoreA_FW经研院核心交换机A防火墙模块4WS-SVC-FWM-1-K9JYY_CoreB_FW经研院核心交换机A防火墙模块5WS-C4507R-EJYY_C4507_1F经研院1层接入交换机6WS-C4507R-EJYY_C4507_2F经研院2层接入交换机7WS-C4507R-EJYY_C4507_3F经研院3层接入交换机8WS-C4507R-EJYY_C4507_4F经研院4层接入交换机9WS-C4507R-EJYY_C4507_5F经研院5层接入交换机10WS-C4948-10GEJYY_C4948_SVR_A经研院服务器接入交换机A11WS-C4948-10GEJYY_C4948_SVR_B经研院服务器接入交换机B12ASR1002-FJYY_ASR1002_CNC经研院联通接入路由器13ASR1002-FJYY_ASR1002_TEL经研院电信接入路由器14WS-C2960-24TC-LJYY_C2960_DMZ经研院DMZ区接入交换机15WS-C2960-24TC-LJYY_C2960_Internet经研院Internet接入交换机16AIR-LAP1131G-EJYY_AP_1F_E经研院1层东AP17AIR-LAP1131G-EJYY_AP_2F_W经研院2层西AP表格 ：设备命名表2.2 IP地址分配方案2.2.1 IP地址划分原则网络地址是网络计算机节点之间互相通信的表识符，在使用不同协议的网络中网络地址形式也不一样，在TCP/IP协议中的就是IP地址。IP地址是一个32位的二进制数，常见的表示是分为四部分的十进制的点分形式。在正常使用的IP地址范围内IP地址划分为A、B、C四类，A类从0127，B类从128191，C类从192223。在每类地址中都可以分为两部分：“网络标识符”和“主机编号”，每类地址中“网络标识符”和“主机编号”位数不一样，A类是8位表示网络，24位表示主机，B类是16位表示网络，16位表示主机，C类是24位表示网络，8位表示主机。在因特网中一个网络节点的IP地址必须是唯一的，为了保证这个唯一，国际上专门有一个机构来负责IP地址的分配。这些分配的IP地址是通用的、或者说是合法的IP地址。由于在TCP/IP协议开发的初期，没有考虑到日后会有这么多计算机需要联网，选择了只有32位的IP地址，使目前出现了地址短缺现象。因特网的管理机构为了满足一些大型企业和机构建网时的IP地址需要，专门规定了一些保留地址，这些保留地址只能用在企业和机构内部网络，需要访问外部网络时采用地址翻译的办法。由于合法IP地址的短缺，在中石化集团公司的网络建设中选用了A类的保留地址“10”，集团公司信息中心分配经济技术研究院的地址范围为10.60.0.0，即相当于1个B类地址的空间。目前，在经济技术研究院内部网络中已经使用了部分IP地址。地址的划分使用是根据当时各单位人员数量、办公位置进行的，随着目前网络系统的新建，使得IP地址规划要重新进行，以适应公司日益发展的设计、管理、科研需求。2.2.2 终端系统IP地址分配经研院网络建设IP地址分配：11中国石化经济技术研究院IP地址规划表序号部门人数信息点数VLAN IDIP地址段终端地址分配终端数VRRP接口虚地址网关掩码核心A核心B1保留10010.60.0.010.60.0.1-10.60.0.25425210.60.0.25310.60.0.25210.60.0.254255.255.255.0242院领导10110.60.1.010.60.1.1-10.60.1.25425210.60.1.25310.60.1.25210.60.1.254255.255.255.0243退休同志10210.60.2.010.60.2.1-10.60.2.25425210.60.2.25310.60.2.25210.60.2.254255.255.255.0244专家工作室10310.60.3.010.60.3.1-10.60.3.25425210.60.3.25310.60.3.25210.60.3.254255.255.255.0245首席专家10410.60.4.010.60.4.1-10.60.4.25425210.60.4.25310.60.4.25210.60.4.254255.255.255.0246院办10510.60.5.010.60.5.1-10.60.5.25425210.60.5.25310.60.5.25210.60.5.254255.255.255.0247党办10610.60.6.010.60.6.1-10.60.6.25425210.60.6.25310.60.6.25210.60.6.254255.255.255.0248人教处10710.60.7.010.60.7.1-10.60.7.25425210.60.7.25310.60.7.25210.60.7.254255.255.255.0249经营部10810.60.8.010.60.8.1-10.60.8.25425210.60.8.25310.60.8.25210.60.8.254255.255.255.02410财务处10910.60.9.010.60.9.1-10.60.9.25425210.60.9.25310.60.9.25210.60.9.254255.255.255.02411基础部11010.60.10.010.60.10.1-10.60.10.25425210.60.10.25310.60.10.25210.60.10.254255.255.255.02412行政处11110.60.11.010.60.11.1-10.60.11.25425210.60.11.25310.60.11.25210.60.11.254255.255.255.02413发展战略研究所11210.60.12.010.60.12.1-10.60.12.25425210.60.12.25310.60.12.25210.60.12.254255.255.255.02414经济政策研究所11310.60.13.010.60.13.1-10.60.13.25425210.60.13.25310.60.13.25210.60.13.254255.255.255.02415市场经销研究所11410.60.14.010.60.14.1-10.60.14.25425210.60.14.25310.60.14.25210.60.14.254255.255.255.02416信息研究所11510.60.15.010.60.15.1-10.60.15.25425210.60.15.25310.60.15.25210.60.15.254255.255.255.02417评估部11610.60.16.010.60.16.1-10.60.16.25425210.60.16.25310.60.15.25210.60.16.254255.255.255.02418上海公司11710.60.17.010.60.17.1-10.60.17.25425210.60.17.25310.60.17.25210.60.17.254255.255.255.02419企业家俱乐部11810.60.18.010.60.18.1-10.60.18.25425210.60.18.25310.60.18.25210.60.18.254255.255.255.02420VPN用户区11910.60.19.010.60.19.1-10.60.19.25425210.60.19.25310.60.19.25210.60.18.254255.255.255.02422保留10.60.20.0255.255.255.02410.60.21.0255.255.255.02410.60.22.0255.255.255.02410.60.23.0255.255.255.02410.60.24.0255.255.255.02410.60.25.0255.255.255.02410.60.26.0255.255.255.02410.60.27.0255.255.255.02410.60.28.0255.255.255.02410.60.29.0255.255.255.02410.60.30.0255.255.255.02410.60.31.0255.255.255.02423财务独立网络20010.60.32.010.60.32.1-10.60.47.254409210.60.47.25310.60.47.25210.60.47.254255.255.240.02024设备互联间10.60.48.010.60.48.1-10.60.48.141210.60.48.1310.60.48.1210.60.48.14255.255.255.2402810.60.48.1610.60.48.17-10.60.48.301210.60.48.2910.60.48.2810.60.48.30255.255.255.2402810.60.48.3210.60.48.33-10.60.48.461210.60.48.4510.60.48.4410.60.48.46255.255.255.2402810.60.48.4810.60.48.49-10.60.48.621210.60.48.6110.60.48.6010.60.48.62255.255.255.2402810.60.48.6410.60.48.65-10.60.48.781210.60.48.7710.60.48.7610.60.48.78255.255.255.2402810.60.48.8010.60.48.81-10.60.48.941210.60.48.9410.60.48.9310.60.48.94255.255.255.2402825保留10.60.48.9610.60.48.97-10.60.48.1262810.60.48.12510.60.48.12410.60.48.126255.255.255.2242710.60.48.12810.60.48.129-10.60.48.25412410.60.48.25310.60.48.25210.60.48.254255.255.255.1282526网络设备段10.60.49.010.60.49.1-10.60.49.25425210.60.49.25310.60.49.25210.60.49.254255.255.255.02427打印机区10.60.50.010.60.50.1-10.60.50.25425210.60.50.25310.60.50.25210.60.50.254255.255.255.02428无线网络用户10.60.51.010.60.51.1-10.60.51.25425210.60.51.25310.60.51.25210.60.51.254255.255.255.02410.60.52.010.60.52.1-10.60.52.25425210.60.52.25310.60.52.25210.60.52.254255.255.255.02410.60.53.010.60.53.1-10.60.53.25425210.60.53.25310.60.53.25210.60.53.254255.255.255.02410.60.54.010.60.54.1-10.60.54.25425210.60.54.25310.60.54.25210.60.54.254255.255.255.02410.60.55.010.60.55.1-10.60.55.25425210.60.55.25310.60.55.25210.60.55.254255.255.255.02410.60.56.010.60.56.1-10.60.56.25425210.60.56.25310.60.56.25210.60.56.254255.255.255.02410.60.57.010.60.57.1-10.60.57.25425210.60.57.25310.60.57.25210.60.57.254255.255.255.02410.60.58.010.60.58.1-10.60.58.25425210.60.58.25310.60.58.25210.60.58.254255.255.255.02429保留59-6330服务器区10.60.64.010.60.64.1-10.60.79.254409210.60.79.25310.60.79.25210.60.79.254255.255.240.02031外网DMZ区10.60.80.010.60.80.1-10.60.95.254409210.60.95.25310.60.95.25210.60.95.254255.255.240.02032保留10.60.96.010.60.96.1-10.60.111.254409210.60.111.25310.60.111.25210.60.111.254255.255.240.02010.60.112.010.60.112.1-10.60.127.254409210.60.127.25310.60.127.25210.60.127.254255.255.240.02010.60.128.010.60.128.1-10.60.255.2543276410.60.255.25310.60.255.25210.60.255.254255.255.128.017632.2.3 设备互联地址分配序号本端设备名称端口互联地址本端描述对端设备名称端口互联地址对端描述2.2.4 网络管理地址划分序号设备名称管理地址设备描述2.3 虚拟网划分和管理2.3.1 Vlan划分2.3.1.1 Vlan介绍VLAN在交换机上的实现方法, 可以大致划分为六类: 基于端口划分的VLAN：这是最常应用的一种VLAN划分方法, 应用也最为广泛、最有效, 目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的, 它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组, 每个组构成一个虚拟网, 相当于一个独立的VLAN交换机。对于不同部门需要互访时, 可通过路由器转发, 并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上, 设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。 从这种划分方法本身我们可以看出, 这种划分的方法的优点是定义VLAN成员时非常简单, 只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口, 到了一个新的交换机的某个端口, 必须重新定义。 基于MAC地址划分VLAN：这种划分VLAN的方法是根据每个主机的MAC地址来划分, 即对每个MAC地址的主机都配置他属于哪个组, 它实现的机制就是每一块网卡都对应唯一的MAC地址, VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时, 自动保留其所属VLAN的成员身份。 由这种划分的机制可以看出, 这种VLAN的划分方法的最大优点就是当用户物理位置移动时, 即从一个交换机换到其他的交换机时, VLAN不用重新配置, 因为它是基于用户, 而不是基于交换机的端口。这种方法的缺点是初始化时, 所有的用户都必须进行配置, 如果有几百个甚至上千个用户的话, 配置是非常累的, 所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低, 因为在每一个交换机的端口都可能存在很多个VLAN组的成员, 保存了许多用户的MAC地址, 查询起来相当不容易。另外, 对于使用笔记本电脑的用户来说, 他们的网卡可能经常更换, 这样VLAN就必须经常配置。基于网络层协议划分VLAN：VLAN按网络层协议来划分, 可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN, 可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且, 用户可以在网络内部自由移动, 但其VLAN成员身份仍然保留不变。这种方法的优点是用户的物理位置改变了, 不需要重新配置所属的VLAN, 而且可以根据协议类型来划分VLAN, 这对网络管理者来说很重要, 还有, 这种方法不需要附加的帧标签来识别VLAN, 这样可以减少网络的通信量。这种方法的缺点是效率低, 因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法), 一般的交换机芯片都可以自动检查网络上数据包的以太网祯头, 但要让芯片能检查IP帧头, 需要更高的技术, 同时也更费时。当然, 这与各个厂商的实现方法有关。根据IP组播划分VLAN： IP 组播实际上也是一种VLAN的定义, 即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网, 因此这种方法具有更大的灵活性, 而且也很容易通过路由器进行扩展, 主要适合于不在同一地理范围的局域网用户组成一个VLAN, 不适合局域网, 主要是效率不高。 按策略划分VLAN： 基于策略组成的VLAN能实现多种分配方法, 包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。 按用户定义、非用户授权划分VLAN： 基于用户定义、非用户授权来划分VLAN, 是指为了适应特别的VLAN网络, 根据具体的网络用户的特别要求来定义和设计VLAN, 而且可以让非VLAN群体用户访问VLAN, 但是需要提供用户密码, 在得到VLAN管理的认证后才可以加入一个VLAN。2.3.1.2 经研院的vlan划分方案为保证网络划分的简单性和易维护性，根据用户实际需求，经研院的vlan 划分将采用基于端口的划分方式。经研院核心交换机为两台CISCO6509核心交换机，通过万兆光纤连接接入交换机4506R，逻辑连接将全部采用基于交换的Trunk连接。Vlan的具体实现方法如下：交换机中间的连接均为Trunk，封装802.1Q。在两台核心交换机上分别设置VTP域和全部的Vlan号。Vlan的虚端口地址（对计算机来说，是网关地址）将全部设置CISCO6509核心交换机上。在两台楼内局域网的计算机间通信时，如果在同一个Vlan（同时也在同一个IP网段）中，那么不管之间跨着多少接入交换机，也不管之间的交换机是否启用路由，都是可以基于桥接进行通信；当这两台计算机不在同一个Vlan中，那么就需要CISCO6509核心交换机做路由转发。规划设计研究院区域内网的各单位分配相应的vlan号和虚端口地址，vlan全部设置在核心交换机上，由核心交换机作路由。以下是vlan名称设置和IP对应表： 中国石化经济技术研究院VLAN规划表序号部门VLAN IDIP地址段终端地址分配终端数VRRP接口虚地址网关掩码核心A核心B1保留10110.60.1.010.60.1.1-10.60.1.25425210.60.0.25310.60.0.25210.60.0.254255.255.255.0242党人财、院办、院领导10010.60.0.010.60.0.1-10.60.0.25425210.60.1.25310.60.1.25210.60.1.254255.255.255.0243发展战略研究所10210.60.2.010.60.2.1-10.60.2.25425210.60.2.25310.60.2.25210.60.2.254255.255.255.0244市场营销研究所10310.60.3.010.60.3.1-10.60.3.25425210.60.3.25310.60.3.25210.60.3.254255.255.255.0245经济政策研究所10410.60.4.010.60.4.1-10.60.4.25425210.60.4.25310.60.4.25210.60.4.254255.255.255.0246信息研究所10510.60.5.010.60.5.1-10.60.5.25425210.60.5.25310.60.5.25210.60.5.254255.255.255.0247经营部10610.60.6.010.60.6.1-10.60.6.25425210.60.6.25310.60.6.25210.60.6.254255.255.255.0248评估部10710.60.7.010.60.7.1-10.60.7.25425210.60.7.25310.60.7.25210.60.7.254255.255.255.0249基础部10810.60.8.010.60.8.1-10.60.8.25425210.60.8.25310.60.8.25210.60.8.254255.255.255.02410行政处10910.60.9.010.60.9.1-10.60.9.25425210.60.9.25310.60.9.25210.60.9.254255.255.255.02411临时 财务专机11010.60.10.010.60.10.1-10.60.10.25425210.60.10.25310.60.10.25210.60.10.254255.255.255.02412保留11110.60.11.010.60.11.1-10.60.11.25425210.60.11.25310.60.11.25210.60.11.254255.255.255.02411210.60.12.010.60.12.1-10.60.12.25425210.60.12.25310.60.12.25210.60.12.254255.255.255.02411310.60.13.010.60.13.1-10.60.13.25425210.60.13.25310.60.13.25210.60.13.254255.255.255.02411410.60.14.010.60.14.1-10.60.14.25425210.60.14.25310.60.14.25210.60.14.254255.255.255.02411510.60.15.010.60.15.1-10.60.15.25425210.60.15.253