山西華實礦山設備有限公司 邢志玲

目前華實企業(yè)下設人力資源部、企管部、財務部、技術部、生產部、行政辦、安監(jiān)部、供銷部、機電部、等諸多部門，為更好地適應未來發(fā)展的需要，就必須在網(wǎng)絡管理中切實注重VLAN技術優(yōu)勢的發(fā)揮，并對其在企業(yè)網(wǎng)絡中加強應用，所以VLAN技術在企業(yè)中得到了廣泛的應用，以下結合該企業(yè)的實踐，提出加強VLAN技術應用的幾點淺見。

一、VLAN技術的基本認識

VLAN為一組邏輯中的用戶與設備，且不會被物理位置限制，又能結合功能和部門與應用等方面的因素進行有機的結合，使得互相通信處于同一網(wǎng)段之中，所以將其稱之為虛擬局域網(wǎng)。計算網(wǎng)絡中的每個二層網(wǎng)絡均能劃分成多個不同廣播域，而一個廣播域相對應的是特定用戶組，并且這些不同廣播域之間互相隔離，而要想不同廣播域進行通信，就必須借助路由器將其連接起來，而這個廣播域就是VLAN。

二、VLAN技術在企業(yè)的應用要點分析

（一）VLAN的網(wǎng)絡拓撲結構分析

根據(jù)該企業(yè)的功能區(qū)位置劃分與應用需求的多元化，把企業(yè)的網(wǎng)絡可以分成多個子網(wǎng)，并組建網(wǎng)絡拓撲結構。但是針對目前公司的實踐來看，因為當前的網(wǎng)絡廣播較多，信息流量控制難度較大，且在應用服務內容上較多，所以為了彌補其不足，需要切實注重內部服務器的完善，發(fā)揮內部服務器在整個網(wǎng)絡中的作用，這樣才能為企業(yè)的用戶提供有關數(shù)據(jù)資源的查詢與檢索以及即時通信、信息共享等方面提供多元化的服務。

1.切實加強VLAN的IP地址規(guī)劃

在做好上述工作的同時，還要切實加強IP地址的劃分，才能更好地以明確的空間劃分，達到避免網(wǎng)絡IP地址發(fā)生沖突的目的。而這就需要在VLAN做好終端設備網(wǎng)絡IP地址的分配與設備VLAN端口的各項技術參數(shù)，通過參數(shù)接口設置，配置好TRUNK端口的各項技術參數(shù)，最后配置虛擬子網(wǎng)接口的IP地址。其劃分的結果是：第一，把S8016路由的VLAN，在核心層的交換機中設置了VLAN的路由端口，從而實現(xiàn)內網(wǎng)通信和企業(yè)網(wǎng)對外通信。第二，MA5200終結VLAN中，對不同區(qū)域和功能的VLAN的ID地址空間進行了劃分。

2.VLAN地址動態(tài)分配和管理

在企業(yè)應用VLAN時，除了做好以上工作外，還要對網(wǎng)絡地址做好分配與管理等方面的工作，就是在網(wǎng)絡地址固定的基礎上，分別給主機和服務器進行IP地址的分配。但是分配中需要借助動態(tài)分配法，才能及時地給每個終端用戶做好IP網(wǎng)絡地址的分配。就需要增設DHCP服務器，方能對網(wǎng)絡地址進行動態(tài)分配?？蛻舳伺c服務器的結構體系，均是采取動態(tài)IP地址進行分配，其中，客戶端向服務器發(fā)送廣播報文的基礎上獲取IP地址，當客戶端和服務器處于相同的子網(wǎng)時，通過客戶端將DHCP消息發(fā)出，服務器在接收這一消息之后，自動的在地址列表中匹配，且在這一列表中給客戶端分配一個IP地址。

而如果客戶端與服務器不處于相同網(wǎng)段時，服務器就不能接收來自客戶端的數(shù)據(jù)信息，而DHCP則能解決這一問題，通過其對IP地址進行有效的延續(xù)。首先客戶端需要采取單播式向服務器發(fā)出申請，服務器在接收申請信息后，就會給客戶端返回DHCPOFFER，通過廣播將請求繼續(xù)發(fā)送，服務器接收到申請信息后，向客戶端發(fā)出“DHCPPACK”的指令，從而結合客戶端所在的IP地址的網(wǎng)段針對性地對其做好IP地址的分配。

由此可見，必須在企業(yè)網(wǎng)絡中做好DHCP服務器的應用，才能更好地對終端用戶動態(tài)分配IP地址。但是在每個VLAN中都要配置DHCP服務器又很難實現(xiàn)，將導致成本加大，網(wǎng)絡管理負擔也會加大，所以只要對其簡單配置即可。

（二）硬件設備配置

1.交換機

在數(shù)據(jù)交換流量中，交換機的處理能力遠高于路由器，所以企業(yè)多層交換設備，即多層交換機在企業(yè)局域網(wǎng)中屬于核心的設備，而對外網(wǎng)通信時，主要是依靠包轉發(fā)來通信，因而如果采取三層交換機，又難以符合大量數(shù)據(jù)包轉發(fā)的需要。而主干網(wǎng)絡對寬帶的容量和速率要求較高，因此在主干交換機中，需要采取性能高的三層交換機，就能有效地避免網(wǎng)絡擁堵與數(shù)據(jù)包丟失的現(xiàn)象發(fā)生。而在此基礎上，需要將主干交換機進行合理的劃分，常見的方式主要是將其劃分成物理類和虛擬類的子網(wǎng)，這樣才能在促進其數(shù)據(jù)交換能力提升的同時促進其升級擴展能力的提升。而分支的交換機，主要是用于與主干交換機的信息傳輸和交換，但是對信息交換的速度要求較高，這就需要采用高速接口，且每個分支交換器與主交換機之間的高速接口至少要2個以上，且以太網(wǎng)的接口數(shù)量要足夠多。

2.服務器

在服務器選擇過程中，企業(yè)網(wǎng)絡的服務器的功能較多，所以必須綜合考慮多方面的因素，確保其具有標準性的同時，提升其可靠性與開放性以及可拓展性，這樣每個應用系統(tǒng)才能安全穩(wěn)定的運行。企業(yè)的服務器能為企業(yè)各項業(yè)務的開展提供更多的數(shù)據(jù)信息支持，比如，企業(yè)管理中，能更好地促進管理信息的傳輸，在辦公業(yè)務中，利用電子郵件進行溝通，在PC端進行文件的傳輸，并利用大數(shù)據(jù)技術獲取數(shù)據(jù)資源等。

（三）網(wǎng)絡系統(tǒng)的設計

在做好上述工作的基礎上，為了更好地確保VLAN在企業(yè)中應用的有效性，還要在網(wǎng)絡系統(tǒng)上加強對其設計，以確保企業(yè)網(wǎng)絡的穩(wěn)定性。因為在企業(yè)網(wǎng)絡中，交換機作為最為主要的設備，需要確保其設計的可靠性，尤其的在冗余能力上要不斷地強化和提升，這就需要在企業(yè)中組建“N+1”的備份機制，并建立相應的備份系統(tǒng)，切實提升網(wǎng)絡的可靠性。即便是發(fā)生網(wǎng)絡故障，也能及時的自動進行備份。但是要確保主用和備用的交換機能夠自動化的切換，必須配備與主交換機配置一樣的備用交換機，同時還要做好路由協(xié)議設置，才能確保系統(tǒng)安全穩(wěn)定性。在做好主機（交換機）的基礎上，還要對線路進行備份，設置好緊急時的備用線路，并把企業(yè)內的主網(wǎng)連接到線路之中，有時還要結合實際需要將線路備份增加，這樣才能更好地確保網(wǎng)絡互通。

（四）強化服務器系統(tǒng)的安全設計

由于企業(yè)的服務器系統(tǒng)在整個網(wǎng)絡安全中有著不可或缺的作用，針對目前病毒攻擊、黑客入侵的日益增多，而企業(yè)服務器中又存儲了大量的核心數(shù)據(jù)，所以必須加強對其進行安全設計。因為企業(yè)內部運行的服務器較多，承擔了企業(yè)的各項業(yè)務，所以需要在服務器拓撲結構上優(yōu)化。

（五）基于VLAN技術強化防病毒體系的設計

筆者認為，VLAN技術下的防病毒體系的建設，需要在軟硬件防火墻的基礎上，做好殺毒軟件的安裝，并定期更新病毒庫，切實做好局域網(wǎng)內部廣播風暴的隔離工作，并與安防服務器一道加強對其進行監(jiān)控，致力于病毒防護體系的構建和完善。由于目前病毒傳播的方式較多，不僅有網(wǎng)頁、電子郵件，還有網(wǎng)絡廣告、儲存介質、文件傳輸服務等。所以企業(yè)在網(wǎng)絡安全方面遭到的威脅較多，導致網(wǎng)絡設備安全、用戶訪問、信息交流、應用安全等方面的安全問題較為突出，所以需要利用VLAN技術加強防病毒體系的構建

（六）切實注重VLAN網(wǎng)絡性能的優(yōu)化和完善

一是將傳統(tǒng)的百兆以太網(wǎng)干線取消，采取基于VLAN技術的網(wǎng)絡結構，就能將目前企業(yè)的網(wǎng)絡訪問速度提升十倍，這樣不僅能對不同的子網(wǎng)進行定位，而且連接安全而又高速，可促進企業(yè)網(wǎng)絡效率優(yōu)化，提高企業(yè)的網(wǎng)絡運行質量，為企業(yè)的各項網(wǎng)絡安全管理工作水平的提升奠定基礎。

二是采取三層交換機確保不同的VLAN設備能互聯(lián)互通，即便是在未來進行網(wǎng)絡升級時，目前的很多軟硬件資源也能得到持續(xù)應用，避免網(wǎng)絡資源與設備浪費，減輕網(wǎng)絡施工負擔，只要改造部分設備與網(wǎng)絡就能升級，可以為企業(yè)提供日常的網(wǎng)絡應用需求。

三是要靈活部署網(wǎng)絡，把不同子網(wǎng)劃分成諸多VLAN，這樣就能促進網(wǎng)絡結構的優(yōu)化和功能的拓展，避免物理位置對網(wǎng)絡節(jié)點的限制。

四是切實注重安全性提升，加強重大信息的保護，尤其是重大科研、財務信息、人力資源等信息的保護，需要切實提升其安全防護力度。目前該企業(yè)在財務管理和軟件應用等方面的現(xiàn)狀較差，安全性不足，所以需要利用VLAN來彌補其不足，并且設置好一定的訪問權限，利用特定的設置，加強敏感部門和服務器的防護，限制財務信息系統(tǒng)訪問，限制外網(wǎng)用戶對內網(wǎng)的訪問權限，才能提升網(wǎng)絡安全水平。

三、結語

綜上所述，VLAN技術在現(xiàn)代企業(yè)發(fā)展中有著十分重要的作用，所以我們必須切實注重對其的關注和研究，緊密結合企業(yè)實踐，切實注重VLAN技術體系的完善，以確保企業(yè)網(wǎng)絡安全性能得到不斷的提升。