广电集团计算机网络的规划与改造

    【内容摘要】 本文主要介绍了如何通过VLAN划分对原有福建省广播影视集团计算机网络（以下简称广电集团网络）结构进行改造,重新规划以整合网络资源，从而提高整个网络的效率和服务质量。
    【关键字】 三层交换  VLAN  IP规划

    由于广电集团网络规模膨胀，网络的异构性和复杂度大大提高，网络的运行、维护和管理难度也就更加困难。原有的网络结构已经无法适应目前的网络规模，旧的网络结构已经导致设备利用率低，服务质量难以提高。用户对网络的可靠性、服务质量及灵活性的标准提出了更高的要求，因此，需要对目前的网络结构进行改造和规划，以此达到充分利用带宽，把病毒和广播风暴对网络的影响限制在最小的范围内。

    一. 改造前的网络结构及其存在的弊端
    在2000年，广电集团网络（原福建电视台网络）只有一百多台计算机，服务器也只有几台。按照当时的网络规模，这样的网络结构还是比较合理的，网络能够运行正常，其效率也是比较高的。
    1.广播风暴的影响
    对于广播风暴，相信大家并不陌生：处于同一个网络的所有设备，位于同一个广播域（注：这里的广播域指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。）。也就是说，所有的广播信息会传播到网络的每一个端口，即使交换机、网桥也不能阻止广播信息的传播。因此同一时间只能有一个广播信息在网络中传送。当网络上的设备越来越多，广播所占用的时间也会越来越多，多到一定程度时，就会对网络上的正常信息传递产生影响，轻则造成传送信息延时，重则造成网络设备从网络上断开，甚至造成整个网络的堵塞、瘫痪，这就是广播风暴。随着广电集团网络规模的扩大以及各种历史原因，计算机用户增加了，网络结构和设备并没有发生根本的变化。这也就直接导致了如上所说的广播风暴。我们通过观察交换机的端口上广播包数及与其他信息包的比率已经可以确定广播信息对整个网络的通讯构成了危害。
    2.病毒的传播
    时下很多企业网络都不同程度的受到病毒的干扰和破坏，病毒无时无刻不在影响着网络的稳定性和可靠性。一千多台计算机用户都处于一个VLAN，也就直接导致了一旦有一台计算机或者几台计算机感染了病毒，将会把数据包源源不断的发给整个VLAN的用户，其结果将是网络瘫痪或者运行缓慢，时断时续，比如ARP欺骗病毒。当图中VLAN1内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和防火墙内网口，让所有上网的流量必须经过病毒主机。其他用户原来直接通过防火墙内网口上网现在转由通过病毒主机上网，切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从防火墙内网口上网，切换过程中用户会再断一次线。因此要把病毒的影响控制在最小的范围内，最好的办法就是给主干交换机划分多个VLAN，隔离数据包的广播，并且阻止到达防火墙内网口，避免防火墙收集到错误的物理地址信息。
    3.无限制下载导致网络拥塞
    目前广电集团网络的出口带宽已经达到百兆，据调查很多用户对先前的10兆带宽和百兆带宽相比，感觉速度没有太大的变化。关于这个问题，除了上述提到的两个原因之外，我们认为还存在第三个原因就是没有对端口进行带宽限制。用户利用BT、EMULE、迅雷等工具下载软件或者电影，严重占用正常带宽，导致部分用户上网速度缓慢甚至掉线，如果能把带宽限制在某个范围内，那么就算用户怎么去下载，也不会过分占用带宽，既能保证服务器对外服务的带宽需求也能保证用户上网速度的要求。

    二. 新的网络结构需求分析
    1.服务器不再和内网机器同处一个交换机，单独处于一个网段并且不进行带宽限制以保证网站所需带宽的灵活性，内网用户访问服务器通过防火墙来进行。
    2.用高性能的交换机替换原3com交换机，内网用户都接入新的三层主干交换机，并且按地域进行基于端口的VLAN划分，以阻止风暴和病毒的传播并且对每个VLAN进行带宽限制。IP地址采用新的分配方式，即每个频道和部门使用一个段。大楼本部的IP则保持不变，作为二期规划和改造。
    3.对于不同VLAN之间的机器需要互相访问，则通过交换机开通某些必须的端口，其他端口一律封掉以阻止病毒通过某些端口进行传播。

    三. 改造后的网络结构
    根据目前广电集团网络的需求，我们对原先的网络结构图进行修改如下：

    新的IP规划如下：
    本次网络规划局限于内部局域网的调整，全部采用缺省网关和静态路由。考虑到新大楼搬迁问题，此次改造并没有涉及到二级以下的交换机，只是进行大局上的规划，在搬迁至新大楼以后将在此次规划的基础上，对除主干以外的下一级交换机进行更深层次的改造。
     
    四. 配置实现过程
    1.配置防火墙
    将内网口地址从192.168.1.1/21修改为192．168．200．1/30，并且设置回程路由：
    ip  route-static  192.168.1.0  255.255.248.0  192.168. 200.2
    ip  route-static  192.168.101.0  255.255.255.0  192.168. 200.2
    。。。。。。
    ip  route-static  192.168.112.0  255.255.255.0  192.168. 200.2
    修改防火墙的包过滤规则和NAT规则，为后期各频道和部门切换至主干交换机各VLAN做好准备。
    2.第23电口向上连接到防火墙，第22电口下接至原3COM交换机。交换机默认含有VLAN1，在VLAN1中配置原网段192.168.1.0/21。配置过程如下：
    <ysjt>Sys                                             进入系统配置
    [ysjt]int  vlan  1