强的扩充能力网络性能不会因为网络的扩充而降低与广域的路由器和主机配合实现广域上网络资源的备份和数据分流保障局域网上的安全性
23方案描述
由于局域网中存在多个不同安全级别的网络用户例如财务系统和普通的一般工作机器因此从安全的角度看应该将这些用户进行隔离。一个最基本的工具就是VLAN对不同的网络用户进行隔离。更复杂一些的方案是通过VPN等。在目前的技术情况下一般是使用VLAN进行隔离居多。
为使得用户可以访问公司内部或者外部的一些公共资源虽然通过VLAN可以进行物理层面的隔离但是希望他们在IP层是互通的为此需要对不同的用户主机分配IP地址。
对大型网络可以通过不同的楼层为单位进行IP地址的分配这样可以获得比较好的地址汇聚能力可以减少对路由表的需求。另外一种比较可行的方案是使用DHCP自动地址分配策略减少网络使用的复杂度。
根据以上对网络的分析以及方便扩容的原则规划整个网络分为核心层和接入层两级架构
f龙源期刊网httpwwwqika
comc
1在办公楼的中心机房选用配置1台中兴通讯的ZXR10GER02作为出口路由器上联至防火墙实现百兆接入I
ter
et
2选用1台中兴通讯的ZXR10T40G作为核心层路由交换机通过高密度的千兆光接口板汇聚接入交换机设备通过百兆电接口板连接各类服务器
3在每个楼层部署1台中兴通讯ZXR102852S作为接入层交换机通过千兆光纤上联至核心交换机通过百兆双绞线下联用户计算机终端网络拓扑图如图1所示。
图1网络拓扑结构
中兴通讯的接入级以太网交换机支持4K个标准VLAN可基于端口、MAC地址、各种策略来划分VLAN能提供48个固定的10M100M以太网口和2个固定的1000M光口和2个固定的10M100M1000M自适应电口。本方案中采用在接入交换机2852S上基于端口划分VLAN的方式使各类用户都可以接入网络VLAN号和VLAN名称规划如表1所示。
在核心交换机ZXR10T40G上建立各个子网的VLAN网关各子网内可以相互通信但子网间的通信必须通过网关实现网管人员可以通过访问控制列表ACL来灵活调整VLAN间的互访关系从而达到限制用户行为的目的。
在给不同的用户群划分完VLAN之后还需要为不同的VLAN内的用户分配不同的IP地址不同的子网IP地址也是不同的局域网内的IP地址一般选用私网IP关于IP地址的内容详见后面章节考虑到以后的扩容本次为每个网段分配1个C类地址即每个子网的可用IP地址数为254个。各子网的IP地址规划如表2所示。
出口路由器GER采用先进的Crossbar交换结构以及高性能的网r