VLAN让企业局域网管理不再难
行业采购
企业局域网一旦规模扩大,各种网络故障便会蜂拥而至:网络ARP攻击、互联网频繁掉线、局域网广播风暴、涉密计算机被播种“肉鸡”等情况层出不穷,难道要一一排查局域网内的上万台计算机?如果真这样,众多网管员可能要默默祈祷公司局域网不要再继续扩大了,希望公司的局域网规模小一点,联网计算机数量少一点,这样排查故障就方便多了。实际上,我们可以在组建大规模局域网之前,将偌大的公司局域网分割为数个小型局域网,它们之间既联系又独立,这样一来管理起来就容易多了。
局域网“分区”管理的好处
VLAN(Virtual Local Area Network,虚拟局域网)是为解决以太网的广播问题和安全问题而诞生的网络技术,它可以在不对网络架构进行任何改变的情况下,将大型局域网(城域网)划分成若干个逻辑(虚拟)子网。
怎么理解VLAN的原理呢?以大家最熟悉的PC硬盘举例说明,你的电脑中实际上只有一块硬盘,对硬盘分区后,你的系统显示有若干个逻辑分区(硬盘盘符),对其中的某个硬盘分区进行读写数据甚至格式化操作都不会影响其他逻辑分区,某个硬盘分区的数据损坏也不会影响其他分区,这样一来就在很大程度上加强了对硬盘的管理。
VLAN的管理原理类似,在大型局域网中采用VLAN技术,能够大大减轻网管员的工作负担,从而降低企业网络后期维护的费用。VLAN技术是网管员的好帮手,它可以快速定位网络故障区间,从而减少网络广播风暴,减少网络无用数据,维护局域网数据安全,它是企业局域网的“安全锁、节流阀、金刚盾”。
1.安全锁:VLAN使广播风暴限制在一个逻辑分割成的小型网络内部,使它不能跨VLAN传播,避免影响其他网段,保证了网络整体安全运行。
2.节流阀:限制了广播风暴的蔓延,就如同为无用网络数据传播添加了个节流阀门,从而减少主干网的数据流量,提高整体网络的速度。
3.金刚盾:未使用VLAN分割的局域网,黑客只要接入任意一个网络端口就可窃听所有网段上的广播包。而采用VLAN技术后,将企业的“要害部门”划分到一个独立的VLAN中,可为机密数据提供强力保护。
中小企业:一台路由器搞定VLAN
●需求
笔者所在城市要开展新农村合作医疗工作,市卫生局信息中心为业务大厅、财务科、后勤科这几个电脑数量多的科室独立配备了价格低廉的普通二层交换机,其余所有电脑则集中连接在另一台普通交换机上。由于业务大厅开始提供了数据查询业务,前来报销医疗费的用户可以使用业务厅内的部分电脑查询信息,所以需要为业务大厅设置VLAN以保障信息安全。同时财务科为信息重地,非工作人员不能进入,同样需要设置VLAN,后勤科及其他科室则需要相互间保障畅通,以利于工作的开展,需要合并成为一个VLAN,以上所有电脑均需要连接互联网。
●解决要点
我们选择了磊科2805NR路由器,为它划分VLAN并连接互联网,网络拓扑结构如图1所示。从左向右分别将“后勤科、其他科室、业务大厅、财务科”的交换机的UPLINK端口与磊科2805NR的LAN1、LAN2、LAN3、LAN4端口连接,然后进入磊科2805NR的WEB管理界面(图2),点击“VLAN配置”页面,将“端口1”和“端口2”设置为“VLAN1”, “端口3”、“端口4”分别设置为“VLAN2”和“VLAN3”即可完成设置。此方案适合计算机数量并不是特别多的中小学校、百货商场、网吧、医院等单位(PC数量≤150台)。
小知识:二层交换机和三层交换机
二层交换机是技术成熟、应用广泛、价格低廉的数据链路层设备,它可以识别数据包中的MAC地址信息,根据MAC地址向电脑网卡转发数据。三层交换机可以认为是二层交换机和路由器的叠加,但三层交换机的路由模块直接叠加在二层交换机高速总线上,数据转发更高速。
●VLAN路由器推荐
1.飞鱼星 VOLANS-4900GP
参考价格:3600元
飞鱼星 VOLANS-4900GP(图3)配备了主频为266MHz的Intel IXP网络专用处理器,数据转发迅速及时,封包处理快速稳定,在长时间高负荷运行时表现稳定可靠。“双BIOS”设计使得其系统升级安全可靠,保证了路由器软件的最优化。飞鱼星 VOLANS-4900GP设置了双WAN口和三个LAN口,支持端口镜像、Port VLAN功能,三个LAN口可以方便地使用VLAN技术将局域网分割成三个子局域网,方便企业管理,保证信息安全。
2.H3C ER5100
参考价格:3380元
ER5100(图4)是H3C专为中小企业、网吧、学校等机构量身定制的千兆路由器,它采用主频高达1GHz 的64位双核处理器和64MB DDRⅡ高速内存,提供了MAC地址绑定、ARP防攻击、QoS限速等功能。同时H3C ER5100支持虚拟局域网(VLAN)功能,通过软件设置最多可为局域网虚拟出16个子局域网,针对每个子局域网,可以配置单独的DHCP Server和防火墙规则,管理功能非常强大。
大中型企业:用三层交换机组建VLAN
●需求
某化纤有限公司有“棉浆厂区”、“化纤厂区”、“行政办公区”三大区域,两个厂区下又各有财务、后勤、检修等科室若干,行政办公区则负责监管督导厂区工作。根据公司规划,要求两个厂区下设的财务室、经理办公室两个科室及行政办公区组成虚拟局域网,以方便资源共享和使用网络在线办公系统,而其他科室则不可访问此虚拟局域网(主要是为了保护内部网络在线办公系统),公司同时要求所有科室均可快速使用互联网资源。
●解决要点:
由于厂区距离远,网络布线复杂,公司电脑多(数量在350台左右),所以这是一个比较复杂的VLAN网络。这里无法使用基于Port VLAN(以端口划分VLAN)的路由器,需要使用三层交换机(如NETGEAR 7000系列)来组建VLAN(网络拓扑结构如图5)。三层交换机虽有路由模块,但仅能对内部网络或VLAN间网络进行数据路由和交换,并不参与互联网数据路由工作,所以此方案中仍需互联网防火墙、路由器等设备。为节约成本并方便管理,我们在企业级路由器前只使用了一台三层交换机,其余厂区均采用普通的二层交换机,如果网络规模非常大,那么二层交换机最好选择千兆速率的。
通过IE浏览器进入NETGEAR 7000三层交换机WEB管理界面,点击菜单命令“Routing→VLAN”进入“VLAN Routing Wizard”页面(图6),按照屏幕提示输入“VLAN ID”、“IP Address”、“Port”等信息完成VLAN设置。
通过三层交换机的VLAN划分,两个厂区财务科的电脑和行政办公区的所有电脑成功地“聚合”在同一个VLAN中,重复执行相同操作,同样可以设置更多的VLAN,原则上可以将同类科室或经常需要进行数据交换的科室设置为一个VLAN,这样厂区间所有联网电脑既有独立性又联合在一起。既保证了机密信息的安全性,又提高了网络传输效率。
三层交换机VLAN软件设置既可在命令提示符下进行,也可在WEB管理界面下进行,根据交换机品牌型号不同会略有差异,具体请参阅随机附赠的产品说明书。此方案适合计算机数量较多的大中型企业及公安、教育等城域网工程。
●VLAN三层交换机推荐
1.华为Quidway S3928P-EI
参考价格:6000元
华为Quidway S3928P-EI(图7)是华为S3900系列交换机的改进增强型,采用华为公司创新的IRF(Intelligent Resilient Framework,智能弹性架构)技术,将多台分散的设备组成统一的交换矩阵,非常适合作为大中企业及大型城域网的汇聚和接入层交换机使用。Quidway S3928P-EI在VLAN业务控制方面颇有功底,提供基于VLAN的批量ACL下发,可以做扩展访问控制列表,支持对报文的过滤、优先级设置,保障高优先级业务和用户的安全需求。同时支持QinQ技术,可以将用户私网VLAN标签封装在公网VLAN标签中,使报文带着两层VLAN Tag穿越运营商的骨干网络,并且能够针对不同的业务报文,为它封装不同的外层VLAN标签,便于业务分离。
2. CISCO WS-C3560-24TS-S
参考价格:8000元
身为思科企业级三层交换机市场的主力军,CISCO WS-C3560-24TS-S(图8)身手不凡。顾名思义,通过产品名称便可知道它配备了24个以太网端口,除了常见的高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由等功能外,它还支持以太网供电(POE)技术,为企业快速方便地布置POE设备提供了极大方便。CISCO WS-C3560-24TS-S的背板带宽为32Gbps,采用128 MB DRAM,确保数据存储及转发高效快速。内嵌的思科集群管理套件(CMS)让用户利用任何WEB浏览器就可以方便地对VLAN进行设置,同时还可通过WEB浏览器来配置管理多个交换机和排除交换机故障,功能强大、使用简单、性能稳定,值得企业用户采购。
3.H3C S5500-28C-PWR-EI
参考价格:24500元
H3C S5500-28C-PWR-EI(图9)是一款基于IToIP理念设计和开发的智能弹性三层以太网交换机。它采用了创新的IRF技术,在安全可靠、多业务融合、易管理和维护等方面为用户提供了全新的技术特性和解决方案。这款企业级三层交换机为用户提供了10Mbps/100Mbps/1000Mbps/10000Mbps四种传输速率,其背板带宽高达192Gbps,是一般三层交换机背板带宽的3倍,包转发率更是高达95.2Mbps,同样数倍于其它品牌同类产品。H3C S5500-28C-PWR-EI具备强大的QoS管理、VLAN划分等智能网管功能,智能VLAN系统可以通过限制广播域和将冗余信息限制在局部网段上,来提高网络安全性和带宽利用率。