某集团网络改造方案建议书

必改变网络的物理基础，即可重新配置网络。采用虚网功能，网络性能可以获得较大的改善： 1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。

2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。

3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为IEEE802.1Q，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。

5.虚拟局域网可以建立在不同的物理网络上，用封装的办法支法支持不同的网络协议络协议，如SNMP、NMP、IPX、TCP//IP、IEEE802.33等，兼容性非常好性非常好。

6.虚拟网络中的主要应用技术为“虚网中继”，VLAN Trunking特有技术的采用也成成为了必然。必然。简而言之，VLAN Trunking主要是通过一条高速全双工通道(200Mbps)来)来实现将将一个LAN Switch端口所划分的不同VLAN与其它LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。其原理如下图所示：

华三通信技术有限公司 版权所有，侵权必究 第13页, 共48页

VLAN Trunking 技 术VLAN 1 to VLAN 4200MbpsBandwidth200MbpsBandwidthVLAN 2 to VLAN 2V1V2V3V1V2V4V1V2V3V1V4 如果采用VLAN trunking 的技术，则V1、V2、V3均可通过一条全双工的100Mbps，即200Mbps的速率与上级LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在V2，V3无数据量的情况下，V1可以独占此100M带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维护性。

4.1.2 划分VLAN的方法

作为一个大型企业集团，为方便管理和维护，交换机必须要求支持灵活的VLAN划分，华三公司的S3100EI接入交换机不仅能够支持标准的802.1Q VLAN，还能实现端口之间的隔离。

我们可以使用S3100EI支持的P-VLAN（primary-vlan）这个特性，一方面实现用户之间的隔离，另一方面可以为三层交换机节省VLAN资源。S3100EI可以屏蔽下面的VLAN划分，仅向三层交换机提供一个VLAN信息，在边缘交换机实现了端口可以同时属于多个Vlan；

如图所示：其中端口1为uplink端口，端口2，3，4为接入端口；

Vlan 1：包含端口：1，2，3，4，5 Vlan 2：包含端口：1，2 Vlan 3：包含端口：1，3，4 Vlan 4：包含端口：1，5

华三通信技术有限公司 版权所有，侵权必究 第14页, 共48页

vlan 3vlan 21vlan 1vlan 42345

设计中采用了几个secondary VLAN包含在一个primary VLAN中的方式，给用户提供了灵活的配置方式。如果用户希望实现二层报文的隔离，可以采用了为每个用户分配一个secondary vlan的方式，每个VLAN中只包含用户连接的port和uplink port；如果希望实现用户之间二层报文的互通，可以将用户连接的端口划入同一个VLAN中；同时创建primary VLAN，该vlan包含所有secondary VLAN中包含的端口和uplink端口，这样对上层交换机来说，可以认为下层交换机中只有一个primary VLAN，用来标识设备，而不必关心primary VLAN中的端口实际所属的VLAN，简化了配置，节省了VLAN资源。

primary VLAN中的所有端口都是不是802.1Q的trunk端口，包括与其它交换机相连的uplink口。每个 port的PVID就是它所属secondary vlan的ID；uplink端口的PVID是primary VLAN的ID；

如下图所示：

三层交换机VLAN30二层交换机市场部VLAN10管理部VLAN20P-VLAN30

华三通信技术有限公司 版权所有，侵权必究 第15页, 共48页

这样VLAN 10和VLAN 20内的用户属于一个网段，分属不同的VLAN，在三层交换机上仅仅需要

创建VLAN 30，它认为二层交换机上面仅仅只有一个VLAN 30，在二层交换机上配置VLAN 30为P-VLAN，包含从VLAN 10和VLAN 20，它们对三层交换机来说是不可见的。

将端口分配给VLAN的方式有两种，分别是静态的和动态的。 静态VLAN：

形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。

动态VLAN：

建议使用华三公司的802.1X实现动态VLAN功能。

我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。用户权限数据一般存储在CAMS（后台综合访问管理服务器）中，CAMS根据用户端的权限归类，在认证通过之后向二层交换机作动态的VLAN ID下发配置。此时，二层交换机要支持VLAN的动态配置功能（华三全系列交换机支持）。

4.1.3 具体VLAN规划

在重庆翰华担保集团网络建设中，首先，必须实现不同部门网络之间的互相割离。通常按照具体部门之间进行划分。本次项目奖建议使用此种划分方法。

我们建议使用VLAN技术，同时在核心交换机上配合使用访问控制列表实现不同部门之间的隔离。我们建议每个部门作为一个独立的VLAN，部门内部可以使用P－VLAN的功能，再进一步进行隔离。 从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过50台，最好控制在30台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。

对于服务器建议单独设置在一个VLAN中。

如果不同部门的人员之间需要实现互访，则只需要在核心交换机S9512上放开访问控制列表就可以了。

对于集团公司高层，需要能够访问各个部门资源，对于此类用户，我们只需在核心交换机上，不对其设置任何访问控制列表就可以了。

总之，任何访问控制要求，均可以通过访问控制列表的方式实现。

华三通信技术有限公司 版权所有，侵权必究 第16页, 共48页