【內容摘要】 本文主要介紹了如何通過VLAN劃分對原有福建省廣播影視集團計算機網絡（以下簡稱廣電集團網絡）結構進行改造,重新規劃以整合網絡資源，從而提高整個網絡的效率和服務質量。
    【關鍵字】 三層交換  VLAN  IP規劃

    由于廣電集團網絡規模膨脹，網絡的異構性和復雜度大大提高，網絡的運行、維護和管理難度也就更加困難。原有的網絡結構已經無法適應目前的網絡規模，舊的網絡結構已經導致設備利用率低，服務質量難以提高。用戶對網絡的可靠性、服務質量及靈活性的標準提出了更高的要求，因此，需要對目前的網絡結構進行改造和規劃，以此達到充分利用帶寬，把病毒和廣播風暴對網絡的影響限制在最小的范圍內。

    一. 改造前的網絡結構及其存在的弊端
    在2000年，廣電集團網絡（原福建電視臺網絡）只有一百多臺計算機，服務器也只有幾臺。按照當時的網絡規模，這樣的網絡結構還是比較合理的，網絡能夠運行正常，其效率也是比較高的。
    1.廣播風暴的影響
    對于廣播風暴，相信大家并不陌生：處于同一個網絡的所有設備，位于同一個廣播域（注：這里的廣播域指的是廣播幀（目標MAC地址全部為1）所能傳遞到的范圍，亦即能夠直接通信的范圍。）。也就是說，所有的廣播信息會傳播到網絡的每一個端口，即使交換機、網橋也不能阻止廣播信息的傳播。因此同一時間只能有一個廣播信息在網絡中傳送。當網絡上的設備越來越多，廣播所占用的時間也會越來越多，多到一定程度時，就會對網絡上的正常信息傳遞產生影響，輕則造成傳送信息延時，重則造成網絡設備從網絡上斷開，甚至造成整個網絡的堵塞、癱瘓，這就是廣播風暴。隨著廣電集團網絡規模的擴大以及各種歷史原因，計算機用戶增加了，網絡結構和設備并沒有發生根本的變化。這也就直接導致了如上所說的廣播風暴。我們通過觀察交換機的端口上廣播包數及與其他信息包的比率已經可以確定廣播信息對整個網絡的通訊構成了危害。
    2.病毒的傳播
    時下很多企業網絡都不同程度的受到病毒的干擾和破壞，病毒無時無刻不在影響著網絡的穩定性和可靠性。一千多臺計算機用戶都處于一個VLAN，也就直接導致了一旦有一臺計算機或者幾臺計算機感染了病毒，將會把數據包源源不斷的發給整個VLAN的用戶，其結果將是網絡癱瘓或者運行緩慢，時斷時續，比如ARP欺騙病毒。當圖中VLAN1內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和防火墻內網口，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過防火墻內網口上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從防火墻內網口上網，切換過程中用戶會再斷一次線。因此要把病毒的影響控制在最小的范圍內，最好的辦法就是給主干交換機劃分多個VLAN，隔離數據包的廣播，并且阻止到達防火墻內網口，避免防火墻收集到錯誤的物理地址信息。
    3.無限制下載導致網絡擁塞
    目前廣電集團網絡的出口帶寬已經達到百兆，據調查很多用戶對先前的10兆帶寬和百兆帶寬相比，感覺速度沒有太大的變化。關于這個問題，除了上述提到的兩個原因之外，我們認為還存在第三個原因就是沒有對端口進行帶寬限制。用戶利用BT、EMULE、迅雷等工具下載軟件或者電影，嚴重占用正常帶寬，導致部分用戶上網速度緩慢甚至掉線，如果能把帶寬限制在某個范圍內，那么就算用戶怎么去下載，也不會過分占用帶寬，既能保證服務器對外服務的帶寬需求也能保證用戶上網速度的要求。

    二. 新的網絡結構需求分析
    1.服務器不再和內網機器同處一個交換機，單獨處于一個網段并且不進行帶寬限制以保證網站所需帶寬的靈活性，內網用戶訪問服務器通過防火墻來進行。
    2.用高性能的交換機替換原3com交換機，內網用戶都接入新的三層主干交換機，并且按地域進行基于端口的VLAN劃分，以阻止風暴和病毒的傳播并且對每個VLAN進行帶寬限制。IP地址采用新的分配方式，即每個頻道和部門使用一個段。大樓本部的IP則保持不變，作為二期規劃和改造。
    3.對于不同VLAN之間的機器需要互相訪問，則通過交換機開通某些必須的端口，其他端口一律封掉以阻止病毒通過某些端口進行傳播。

    三. 改造后的網絡結構
    根據目前廣電集團網絡的需求，我們對原先的網絡結構圖進行修改如下：

    新的IP規劃如下：
    本次網絡規劃局限于內部局域網的調整，全部采用缺省網關和靜態路由。考慮到新大樓搬遷問題，此次改造并沒有涉及到二級以下的交換機，只是進行大局上的規劃，在搬遷至新大樓以后將在此次規劃的基礎上，對除主干以外的下一級交換機進行更深層次的改造。
     
    四. 配置實現過程
    1.配置防火墻
    將內網口地址從192.168.1.1/21修改為192．168．200．1/30，并且設置回程路由：
    ip  route-static  192.168.1.0  255.255.248.0  192.168. 200.2
    ip  route-static  192.168.101.0  255.255.255.0  192.168. 200.2
    。。。。。。
    ip  route-static  192.168.112.0  255.255.255.0  192.168. 200.2
    修改防火墻的包過濾規則和NAT規則，為后期各頻道和部門切換至主干交換機各VLAN做好準備。
    2.第23電口向上連接到防火墻，第22電口下接至原3COM交換機。交換機默認含有VLAN1，在VLAN1中配置原網段192.168.1.0/21。配置過程如下：
    <ysjt>Sys                                             進入系統配置
    [ysjt]int  vlan  1