VLAN在企業(yè)中的廣泛應(yīng)用

山西華實(shí)礦山設(shè)備有限公司 邢志玲

目前華實(shí)企業(yè)下設(shè)人力資源部、企管部、財(cái)務(wù)部、技術(shù)部、生產(chǎn)部、行政辦、安監(jiān)部、供銷(xiāo)部、機(jī)電部、等諸多部門(mén)，為更好地適應(yīng)未來(lái)發(fā)展的需要，就必須在網(wǎng)絡(luò)管理中切實(shí)注重VLAN技術(shù)優(yōu)勢(shì)的發(fā)揮，并對(duì)其在企業(yè)網(wǎng)絡(luò)中加強(qiáng)應(yīng)用，所以VLAN技術(shù)在企業(yè)中得到了廣泛的應(yīng)用，以下結(jié)合該企業(yè)的實(shí)踐，提出加強(qiáng)VLAN技術(shù)應(yīng)用的幾點(diǎn)淺見(jiàn)。

一、VLAN技術(shù)的基本認(rèn)識(shí)

VLAN為一組邏輯中的用戶(hù)與設(shè)備，且不會(huì)被物理位置限制，又能結(jié)合功能和部門(mén)與應(yīng)用等方面的因素進(jìn)行有機(jī)的結(jié)合，使得互相通信處于同一網(wǎng)段之中，所以將其稱(chēng)之為虛擬局域網(wǎng)。計(jì)算網(wǎng)絡(luò)中的每個(gè)二層網(wǎng)絡(luò)均能劃分成多個(gè)不同廣播域，而一個(gè)廣播域相對(duì)應(yīng)的是特定用戶(hù)組，并且這些不同廣播域之間互相隔離，而要想不同廣播域進(jìn)行通信，就必須借助路由器將其連接起來(lái)，而這個(gè)廣播域就是VLAN。

二、VLAN技術(shù)在企業(yè)的應(yīng)用要點(diǎn)分析

（一）VLAN的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析

根據(jù)該企業(yè)的功能區(qū)位置劃分與應(yīng)用需求的多元化，把企業(yè)的網(wǎng)絡(luò)可以分成多個(gè)子網(wǎng)，并組建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。但是針對(duì)目前公司的實(shí)踐來(lái)看，因?yàn)楫?dāng)前的網(wǎng)絡(luò)廣播較多，信息流量控制難度較大，且在應(yīng)用服務(wù)內(nèi)容上較多，所以為了彌補(bǔ)其不足，需要切實(shí)注重內(nèi)部服務(wù)器的完善，發(fā)揮內(nèi)部服務(wù)器在整個(gè)網(wǎng)絡(luò)中的作用，這樣才能為企業(yè)的用戶(hù)提供有關(guān)數(shù)據(jù)資源的查詢(xún)與檢索以及即時(shí)通信、信息共享等方面提供多元化的服務(wù)。

1.切實(shí)加強(qiáng)VLAN的IP地址規(guī)劃

在做好上述工作的同時(shí)，還要切實(shí)加強(qiáng)IP地址的劃分，才能更好地以明確的空間劃分，達(dá)到避免網(wǎng)絡(luò)IP地址發(fā)生沖突的目的。而這就需要在VLAN做好終端設(shè)備網(wǎng)絡(luò)IP地址的分配與設(shè)備VLAN端口的各項(xiàng)技術(shù)參數(shù)，通過(guò)參數(shù)接口設(shè)置，配置好TRUNK端口的各項(xiàng)技術(shù)參數(shù)，最后配置虛擬子網(wǎng)接口的IP地址。其劃分的結(jié)果是：第一，把S8016路由的VLAN，在核心層的交換機(jī)中設(shè)置了VLAN的路由端口，從而實(shí)現(xiàn)內(nèi)網(wǎng)通信和企業(yè)網(wǎng)對(duì)外通信。第二，MA5200終結(jié)VLAN中，對(duì)不同區(qū)域和功能的VLAN的ID地址空間進(jìn)行了劃分。

2.VLAN地址動(dòng)態(tài)分配和管理

在企業(yè)應(yīng)用VLAN時(shí)，除了做好以上工作外，還要對(duì)網(wǎng)絡(luò)地址做好分配與管理等方面的工作，就是在網(wǎng)絡(luò)地址固定的基礎(chǔ)上，分別給主機(jī)和服務(wù)器進(jìn)行IP地址的分配。但是分配中需要借助動(dòng)態(tài)分配法，才能及時(shí)地給每個(gè)終端用戶(hù)做好IP網(wǎng)絡(luò)地址的分配。就需要增設(shè)DHCP服務(wù)器，方能對(duì)網(wǎng)絡(luò)地址進(jìn)行動(dòng)態(tài)分配?？蛻?hù)端與服務(wù)器的結(jié)構(gòu)體系，均是采取動(dòng)態(tài)IP地址進(jìn)行分配，其中，客戶(hù)端向服務(wù)器發(fā)送廣播報(bào)文的基礎(chǔ)上獲取IP地址，當(dāng)客戶(hù)端和服務(wù)器處于相同的子網(wǎng)時(shí)，通過(guò)客戶(hù)端將DHCP消息發(fā)出，服務(wù)器在接收這一消息之后，自動(dòng)的在地址列表中匹配，且在這一列表中給客戶(hù)端分配一個(gè)IP地址。

而如果客戶(hù)端與服務(wù)器不處于相同網(wǎng)段時(shí)，服務(wù)器就不能接收來(lái)自客戶(hù)端的數(shù)據(jù)信息，而DHCP則能解決這一問(wèn)題，通過(guò)其對(duì)IP地址進(jìn)行有效的延續(xù)。首先客戶(hù)端需要采取單播式向服務(wù)器發(fā)出申請(qǐng)，服務(wù)器在接收申請(qǐng)信息后，就會(huì)給客戶(hù)端返回DHCPOFFER，通過(guò)廣播將請(qǐng)求繼續(xù)發(fā)送，服務(wù)器接收到申請(qǐng)信息后，向客戶(hù)端發(fā)出“DHCPPACK”的指令，從而結(jié)合客戶(hù)端所在的IP地址的網(wǎng)段針對(duì)性地對(duì)其做好IP地址的分配。

由此可見(jiàn)，必須在企業(yè)網(wǎng)絡(luò)中做好DHCP服務(wù)器的應(yīng)用，才能更好地對(duì)終端用戶(hù)動(dòng)態(tài)分配IP地址。但是在每個(gè)VLAN中都要配置DHCP服務(wù)器又很難實(shí)現(xiàn)，將導(dǎo)致成本加大，網(wǎng)絡(luò)管理負(fù)擔(dān)也會(huì)加大，所以只要對(duì)其簡(jiǎn)單配置即可。

（二）硬件設(shè)備配置

1.交換機(jī)

在數(shù)據(jù)交換流量中，交換機(jī)的處理能力遠(yuǎn)高于路由器，所以企業(yè)多層交換設(shè)備，即多層交換機(jī)在企業(yè)局域網(wǎng)中屬于核心的設(shè)備，而對(duì)外網(wǎng)通信時(shí)，主要是依靠包轉(zhuǎn)發(fā)來(lái)通信，因而如果采取三層交換機(jī)，又難以符合大量數(shù)據(jù)包轉(zhuǎn)發(fā)的需要。而主干網(wǎng)絡(luò)對(duì)寬帶的容量和速率要求較高，因此在主干交換機(jī)中，需要采取性能高的三層交換機(jī)，就能有效地避免網(wǎng)絡(luò)擁堵與數(shù)據(jù)包丟失的現(xiàn)象發(fā)生。而在此基礎(chǔ)上，需要將主干交換機(jī)進(jìn)行合理的劃分，常見(jiàn)的方式主要是將其劃分成物理類(lèi)和虛擬類(lèi)的子網(wǎng)，這樣才能在促進(jìn)其數(shù)據(jù)交換能力提升的同時(shí)促進(jìn)其升級(jí)擴(kuò)展能力的提升。而分支的交換機(jī)，主要是用于與主干交換機(jī)的信息傳輸和交換，但是對(duì)信息交換的速度要求較高，這就需要采用高速接口，且每個(gè)分支交換器與主交換機(jī)之間的高速接口至少要2個(gè)以上，且以太網(wǎng)的接口數(shù)量要足夠多。

2.服務(wù)器

在服務(wù)器選擇過(guò)程中，企業(yè)網(wǎng)絡(luò)的服務(wù)器的功能較多，所以必須綜合考慮多方面的因素，確保其具有標(biāo)準(zhǔn)性的同時(shí)，提升其可靠性與開(kāi)放性以及可拓展性，這樣每個(gè)應(yīng)用系統(tǒng)才能安全穩(wěn)定的運(yùn)行。企業(yè)的服務(wù)器能為企業(yè)各項(xiàng)業(yè)務(wù)的開(kāi)展提供更多的數(shù)據(jù)信息支持，比如，企業(yè)管理中，能更好地促進(jìn)管理信息的傳輸，在辦公業(yè)務(wù)中，利用電子郵件進(jìn)行溝通，在PC端進(jìn)行文件的傳輸，并利用大數(shù)據(jù)技術(shù)獲取數(shù)據(jù)資源等。

（三）網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)

在做好上述工作的基礎(chǔ)上，為了更好地確保VLAN在企業(yè)中應(yīng)用的有效性，還要在網(wǎng)絡(luò)系統(tǒng)上加強(qiáng)對(duì)其設(shè)計(jì)，以確保企業(yè)網(wǎng)絡(luò)的穩(wěn)定性。因?yàn)樵谄髽I(yè)網(wǎng)絡(luò)中，交換機(jī)作為最為主要的設(shè)備，需要確保其設(shè)計(jì)的可靠性，尤其的在冗余能力上要不斷地強(qiáng)化和提升，這就需要在企業(yè)中組建“N+1”的備份機(jī)制，并建立相應(yīng)的備份系統(tǒng)，切實(shí)提升網(wǎng)絡(luò)的可靠性。即便是發(fā)生網(wǎng)絡(luò)故障，也能及時(shí)的自動(dòng)進(jìn)行備份。但是要確保主用和備用的交換機(jī)能夠自動(dòng)化的切換，必須配備與主交換機(jī)配置一樣的備用交換機(jī)，同時(shí)還要做好路由協(xié)議設(shè)置，才能確保系統(tǒng)安全穩(wěn)定性。在做好主機(jī)（交換機(jī)）的基礎(chǔ)上，還要對(duì)線路進(jìn)行備份，設(shè)置好緊急時(shí)的備用線路，并把企業(yè)內(nèi)的主網(wǎng)連接到線路之中，有時(shí)還要結(jié)合實(shí)際需要將線路備份增加，這樣才能更好地確保網(wǎng)絡(luò)互通。

（四）強(qiáng)化服務(wù)器系統(tǒng)的安全設(shè)計(jì)

由于企業(yè)的服務(wù)器系統(tǒng)在整個(gè)網(wǎng)絡(luò)安全中有著不可或缺的作用，針對(duì)目前病毒攻擊、黑客入侵的日益增多，而企業(yè)服務(wù)器中又存儲(chǔ)了大量的核心數(shù)據(jù)，所以必須加強(qiáng)對(duì)其進(jìn)行安全設(shè)計(jì)。因?yàn)槠髽I(yè)內(nèi)部運(yùn)行的服務(wù)器較多，承擔(dān)了企業(yè)的各項(xiàng)業(yè)務(wù)，所以需要在服務(wù)器拓?fù)浣Y(jié)構(gòu)上優(yōu)化。

（五）基于VLAN技術(shù)強(qiáng)化防病毒體系的設(shè)計(jì)

筆者認(rèn)為，VLAN技術(shù)下的防病毒體系的建設(shè)，需要在軟硬件防火墻的基礎(chǔ)上，做好殺毒軟件的安裝，并定期更新病毒庫(kù)，切實(shí)做好局域網(wǎng)內(nèi)部廣播風(fēng)暴的隔離工作，并與安防服務(wù)器一道加強(qiáng)對(duì)其進(jìn)行監(jiān)控，致力于病毒防護(hù)體系的構(gòu)建和完善。由于目前病毒傳播的方式較多，不僅有網(wǎng)頁(yè)、電子郵件，還有網(wǎng)絡(luò)廣告、儲(chǔ)存介質(zhì)、文件傳輸服務(wù)等。所以企業(yè)在網(wǎng)絡(luò)安全方面遭到的威脅較多，導(dǎo)致網(wǎng)絡(luò)設(shè)備安全、用戶(hù)訪問(wèn)、信息交流、應(yīng)用安全等方面的安全問(wèn)題較為突出，所以需要利用VLAN技術(shù)加強(qiáng)防病毒體系的構(gòu)建

（六）切實(shí)注重VLAN網(wǎng)絡(luò)性能的優(yōu)化和完善

一是將傳統(tǒng)的百兆以太網(wǎng)干線取消，采取基于VLAN技術(shù)的網(wǎng)絡(luò)結(jié)構(gòu)，就能將目前企業(yè)的網(wǎng)絡(luò)訪問(wèn)速度提升十倍，這樣不僅能對(duì)不同的子網(wǎng)進(jìn)行定位，而且連接安全而又高速，可促進(jìn)企業(yè)網(wǎng)絡(luò)效率優(yōu)化，提高企業(yè)的網(wǎng)絡(luò)運(yùn)行質(zhì)量，為企業(yè)的各項(xiàng)網(wǎng)絡(luò)安全管理工作水平的提升奠定基礎(chǔ)。

二是采取三層交換機(jī)確保不同的VLAN設(shè)備能互聯(lián)互通，即便是在未來(lái)進(jìn)行網(wǎng)絡(luò)升級(jí)時(shí)，目前的很多軟硬件資源也能得到持續(xù)應(yīng)用，避免網(wǎng)絡(luò)資源與設(shè)備浪費(fèi)，減輕網(wǎng)絡(luò)施工負(fù)擔(dān)，只要改造部分設(shè)備與網(wǎng)絡(luò)就能升級(jí)，可以為企業(yè)提供日常的網(wǎng)絡(luò)應(yīng)用需求。

三是要靈活部署網(wǎng)絡(luò)，把不同子網(wǎng)劃分成諸多VLAN，這樣就能促進(jìn)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化和功能的拓展，避免物理位置對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的限制。

四是切實(shí)注重安全性提升，加強(qiáng)重大信息的保護(hù)，尤其是重大科研、財(cái)務(wù)信息、人力資源等信息的保護(hù)，需要切實(shí)提升其安全防護(hù)力度。目前該企業(yè)在財(cái)務(wù)管理和軟件應(yīng)用等方面的現(xiàn)狀較差，安全性不足，所以需要利用VLAN來(lái)彌補(bǔ)其不足，并且設(shè)置好一定的訪問(wèn)權(quán)限，利用特定的設(shè)置，加強(qiáng)敏感部門(mén)和服務(wù)器的防護(hù)，限制財(cái)務(wù)信息系統(tǒng)訪問(wèn)，限制外網(wǎng)用戶(hù)對(duì)內(nèi)網(wǎng)的訪問(wèn)權(quán)限，才能提升網(wǎng)絡(luò)安全水平。

三、結(jié)語(yǔ)

綜上所述，VLAN技術(shù)在現(xiàn)代企業(yè)發(fā)展中有著十分重要的作用，所以我們必須切實(shí)注重對(duì)其的關(guān)注和研究，緊密結(jié)合企業(yè)實(shí)踐，切實(shí)注重VLAN技術(shù)體系的完善，以確保企業(yè)網(wǎng)絡(luò)安全性能得到不斷的提升。