基于VLAN的中小型网络设计与实现

基于VLAN的中小型网络设计与实现摘要论文中提出了本人实习企业网络改造方式，分层结构设计，并且从网络性能，可扩充性，用户管理，安全性等方面对网络结构进行了分析。结合实习企业网络的实际情况，论文提出了VLAN在局域网中的具体解决方案：包括VLAN的划分，VLANID的规划，研究了VLAN之间的两种路由策略（集中控制和分布式路由），分析了VLAN之间的访问控制方法。关键词：VLAN；网络设计；第三层交换

AbstractThispaperpresentsmypracticeofenterprisenetworktransformationmethod,hierarchicalstructuredesign,andfromthenetworkperformance,scalability,usermanagement,securityandotheraspectsoftheanalysisofthenetworkstructure.Combinedwithpracticalsituationofreaderspublishinggroupnetwork,thispaperpresentsVLANspecificsolutionsinLAN:VLANclassification,VLANIDplanning,studiestwokindsofroutingstrategiesbetweenVLAN(centralizedcontrolanddistributedrouting),analysisoftheVLANaccesscontrolmethod.Keywords:VLAN;networkdesign;thethirdlayerexchange

目录摘要 1Abstract 2前言 51.VLAN技术概述 51.1VLAN的划分 61.1.1基于端口划分 61.1.2基于MAC地址划分 61.1.3基于网络层划分 61.1.4基于策略的划分 71.2VLAN的优点 71.2.1控制网络上的广播风暴 71.2.2增强网络的安全性 81.2.3网络管理简单、直观 81.2.4提高网络整体性能 82VLAN在企业内网中的优势及应用 92.1VLAN在企业内网中的优势 92.2VLAN在企业内网中的应用 92.2.1局域网内部的局域网 92.2.2共享访问—访问共同的接入点和服务器 102.2.3交叠虚拟局域网 103基于VLAN的企业网络设计 113.1基于VLAN的网络设计所遵循的原则 113.2企业基于VLAN的网络需求分析 113.3组网技术的选择 123.4工程设计 123.5工程实现 143.5.1企业局域网VLAN规划及设置 143.5.2ULAN管理 163.6网络改造后的测试效果 17结语 21参考文献 22致谢 23前言本人实习的企业由于近年来对计算机网络的依赖性越来越突出，计算机网络承受的压力也越来越大。一方面，由于网络内各种网络终端设备数量增多、网络规模扩大、网络流量突增；另一方面，各种企业管理应用系统不断投入使用，如办公自动化系统、出版业务管理信息系统、网络监控系统、财务管理系统。这些系统对网络的带宽、安全性和可靠性提出了更高的要求。局域网在一开始设计时，设计的容量在220台左右，但目前所需使用IP地址的设备已经达到400多台，而且随着新办公楼的竣工，还要增加设备，这已经超出网络IP地址资源范围所能承载的容量，各科室所使用的计算机在现行网络环境中出现IP地址冲突，造成无法访问内网和internet网的情况：另外部门之间对数据信息的任意调用，一定程度上影响了数据的安全。针对该企业局域网存在的问题和VLAN技术特点，本文给出了一种基于VLAN技术的企业局域网改造设计方案。CISC04009以太网交换机支持VLAN、多播过滤、三层交换、广播风暴限制等高级网络功能。在配合网络安全管理系统得情况下有效的避免了广播风暴、黑客入侵、病毒传播，在一定程度上节约了网络带宽，降低了网络内主机负载，提高了办公信息网络的快速高效和安全可靠。1.VLAN技术概述VLAN也就是虚拟局域网，是一种建立在交换技术基础之上的，通过将局域网内的机器设备逻辑的而不是物理的划分成一个个不同的网段，以软件力一式实现逻辑工作组的划分与管理的技术。IEEE于1999年颁布了用以标准化VLAN实现的802。IQ协议标准草案。在交换式局域网中，利用VLAN技术，可将网络设备划分成多个逻辑子网，从而实现虚拟工作组数据交换功能。VLAN技术灵活，它工作在OS工参考模型的数据链路层和网络层上，一个子网形成了一个逻辑广播域，子网之间的通信是通过网络层的路由器或三层交换机来转发的，子网的划分可覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中，虚拟局域网技术使得网络的拓扑结构变得非常灵活机动。1.1VLAN的划分交换式以太网中VLAN的划分主要有四种途径：基于端口的划分、基于MAC地址(网络适配器硬件地址)的划分、基于网络层地址的划分以及基于策略的划分「8」。其中基于端口为静态VLAN划分方法，其余三种皆是动态的，不同的划分方式代表不同的VLAN实现类型。1.1.1基于端口划分指定交换机端口，使之属于特定的VLAN，连接到该端口的设备都属于此VLAN。一个VLAN可以配置在不同交换机上。基于端口划分VLAN网络成员的配置简单方便，只要将交换机全部端口指定一下即可，适用于网络环境相对固定的状况。不足之处是灵活性不好，当一个内网用户从一个端口移动到另外一个新的端口时，如果二者不属于同一个VLAN，网络管理员必须重新配置，否则用户将无法进行网络通信；再有，这种划分方式不支持多个虚拟子网共享一个物理端口，不便于用户管理。1.1.2基于MAC地址划分计算机中的每块网卡都有一个唯一的硬件物理地址，即MAC地址。这种力一法划分VLAN，要求交换机对站点的MAC地址进行跟踪，在新站点人网时。需要把它添加到相应的VLAN中。以后无论这个站点怎么移动。只要MAC地址不变。就无需对它进行重新配置。这种VLAN技术的不足之处是初始化时网络中所有的用户都必须进行配置，在一个拥有大量节点的企业网络中，如果要求管理员将每个用户都一一划分到特定的VLAN中，配置任务将会十分繁重。同时以这种方法划分虚拟子网，每一台交换设备的端口都存在多个VLAN组的成员，导致了交换设备运行速度下降，网络中的广播数据包无法得到有效的限制。1.1.3基于网络层划分基于网络层划分VLAN有两种方法，一种是按照协议类型(如果网络中存在多协议)，另一种是依据每台主机的网络层地址。基于通信协议的划分方法适用于大型网络中，虚拟子网的类型包括工P子网、工PX子网及SPX子网等。使用相同协议通信的主机配置在同一个VLAN中，交换机加电启动后检验以太标题域，查看所用协议类型。如果对应协议的VLAN已存在，则加入源端口；若此类型子网不存在，需创建一个新的VLAN。基于主机网络层地址的划分方法是依据网络中IP子网掩码、IP网络号来进行VLAN分组，网络交换设备启动后查看主机的掩码和网络号，根据接入主机的地址信息自动将其划分到不同的虚拟子网中，用户主机无需进行太多配置。利用网络层划分VLAN的不足之处是：它需要分析各种协议的地址格式并进行相应的转换，还有检查网络数据包的地址需耗费交换设备的处理时间和较多的资源，因此运行速度较慢、效率较低。1.1.4基于策略的划分基于策略的VLAN相对来说是一种较为灵活的划分方法，能实现按交换机物理端口、按MAC地址、按工P地址、按网络层协议类型、按网络的应用等多种策略划分VLAN，网络管理员可以根据自己的管理模式和本企业的实际需求，来决定选择哪种类型的VLAN。管理员通过网管软件来确定划分VLAN的规则，当网络中有用户连接时，可被交换设备检测到，正确地划入相应的VLAN中，而且亦可识别和跟踪物理位置发生变动的主机。1.2VLAN的优点1.2.1控制网络上的广播风暴在没有应用VLAN技术的局域网内的整个网络都是广播域，这样就使得网内的一台设备发出网络广播时，在局域网内的任何一台设备的接口都能接收到广播，因此当网络内的设备越来越多时，网络上的广播也就越来越多，占用的时间和资源也就越来越多，当广播多到一定的数量时，就会影响到正常的信息的传送。这样就能使得信息延迟，严重的可以造成网络的堵塞、瘫痪，严重的影响了正常的网络应用，这就是所谓的广播风暴。在应用了VLAN技术的局域网中，缩小了广播的广播域，在一个VLAN中的广播风暴也不会影响到其他的VLAN，从而有效地减小了广播风暴对局域网网络的影响。1.2.2增强网络的安全性在局域网中应用VLAN技术可以把互相通信比较频繁的用户划分到同一个VLAN中，这样在同一个工作组中的信息传输只在同一个组内广播，从而也减轻了因广播包被截获而引起的信息泄露，增强了网络的安全性。1.2.3网络管理简单、直观对于交换式以太网，如果对某此用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。1.2.4提高网络整体性能通过路由访问列表和VLAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能。

2VLAN在企业内网中的优势及应用2.1VLAN在企业内网中的优势对采用了VLAS技术的企业网络来说，可以在不改动网络物理连接的情况下任意地将工作站在子网之间移动。相比传统的共享式局域网，用户需要重新进行网段分配，网络系统的物理结构也要进行重新调整，甚至要添加网络设备。无疑，VLAN技术对管理网络更具有灵活性，操作更为便捷、简单。现代企业一般都规模庞大，人员众多，部门繁杂，各部门既相对独立，业务又相互关联，企业局域网的拓扑结构错综复杂。通过VLAN技术可以对企业网按照部门职能、对象组或者应用进行灵活划分，根据需求动态调整，既能满足企业网上的各种应用，使网络中广播包消耗带宽所占比例大大降低，网络性能得到显著提高，又能大大便利企业职能部门的管理，提高工作效率。对于多用户的企业局域网来说，这个特性是非常有利的。通过对企业网的VLAN规划，可以在企业各职能部门之间设定不同的访问权限，防止非法入侵。从而更好地确保了网络的安全性，提高了交换式网络的整体性能。2.2VLAN在企业内网中的应用由于虚拟局域网具有比较明显的优势，在各种企业中都有了很好的应用。下而就根据不同的案例来分析虚拟局域网的应用情况。2.2.1局域网内部的局域网往往很多企业已经具有一个相当规模的局域网，但是现在企业内部因为保密或者其他原因，要求各业务部门或者课题组独立成为一个局域网，同时，各业务部门或者课题组的人员不一定是在同一个办公地点，各网络之间不允许互相访问。根据这种情况，可以有几种解决方法，但是虚拟局域网解决方法可能是最好的为了完成上述任务，我们要做的工作是收集各部门的人员组成、所在位置、与交换机连接的端口等信息。根据部门数量对交换机进行配置，创建虚拟局域网，设置中继，最后，在一个公用的局域网内部划分出来若干个虚拟的局域网，同时减少了局域网内的广播，提高了网络传输性能这样的虚拟局域网可以方便地根据需要增加、改变、删除。2.2.2共享访问—访问共同的接入点和服务器在一些大型写字楼或商业建筑(酒店、展览中心等)，经常存在这样的现象：大楼出租给各个单位，并且大楼内部已经构建好了局域网，提供给入驻企业或客户网络平台，并通过共同的出口访问Internet或者大楼内部的综合信息服务器由于大楼的网络平台是统一的，使用的客户有物业管理人员、有其他不同单位的客户。在这样一个共享的网络环境下，解决不同企业或单位对网络的需求的同时，还要保证各企业间信息的独立。这种情况下，虚拟局域网提供了很好的解决方案。大厦的系统管理员可以为入驻企业创建一个个独立的虚拟局域网，保证企业内部的互相访问和企业间信息的独立，然后利用中继技术，将提供接入服务的代理服务器或者路由器所对应的局域网接口配置成为中继模式，实现共享接入这种配置方式还有一个好处，可以根据需要设置中继的访问许可，灵活地允许或者拒绝某个虚拟局域网的访问。2.2.3交叠虚拟局域网交叠虚拟局域网是在基于端口划分虚拟局域网的基础上提出来的，最早的交换机每一个端口只能同时属于一个虚拟局域网，交叠虚拟局域网允许一个交换机端口同时属于多个虚拟局域网。这种技术可以解决一些突发性的、临时性的虚拟局域网划氖比如在一个科研机构，已经划分了若干个虚拟局域网，但是因为某个科研任务，从各个虚拟局域网里而抽调出来技术人员临时组成课题组，要求课题组内部通信自如，同时各科研人员还要保持和原来的虚拟局域网进行信息交流如果采用路由和访问列表控制技术，成本会较大，同时会降低网络性能交叠技术的出现，为这一问题提供了廉价的解决方法；只需要将要加入课题组的人员所对应的交换机端口设置成为支持多个虚拟局域，然后创建一个新虚拟局域网，将所有人员划分到新虚拟局域，保持各人员原来所属虚拟局域网不变即可。3基于VLAN的企业网络设计3.1基于VLAN的网络设计所遵循的原则1、实用性与先进性。要求集团局域网网能够满足管理的实际需要，支持宽带多媒体业务，例如远程会议、电子出版等。设备选型要技术先进，能适应未来发展，具有灵活方便的业务扩展能力和充分完备的接入能力，设备及其软件具有可持续发展的平滑升级性。2、开放性与标准化。集团局域网所采用的网络技术应采用符合国际标准的通信协议、标准化接口及中国电总以太网接入的规范：应满足信息准确、安全、可靠、优良交换传送的需要；并需有良好的维护和管理手段。3、可靠性与安全性。在局域网的设计中，主要考虑两个层次：一是整个网络的可靠性与安全性，采用高可靠性高安全性的网络体系结构，包括合理设计广域网的访问控制和内部虚拟网的访问控制、对外部网络访问链路的备份等；二是网络设备的安全性和可靠性，主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段。同时，在通信网络、资源配置、系统服务和网络管理上有良好的分层设计，使网络结构清晰，便于使用、管理和维护。4、经济性与可扩充性。在满足集团需求的前提下，选用性能价格比高的网络设备和服务器。采用的网络架构和设备，应充分考虑到容易升级换代，随着对校局域网需求的不断发展，能够使系统不断延伸和扩充，充分利用和保护现有的投资利益。3.2企业基于VLAN的网络需求分析3.2.1局域网原始拓扑图图3一l局域网原始拓扑图3.3组网技术的选择本文实习企业选择组建千兆以太局域网，主要基于下列原因：1、千兆位以太网使用CSMA/CD介质访问控制协议，和传统以太网，快速以太网有良好的兼容性，同时千兆位以太网增加了对QOS的支持，以高带宽和流量控制双管齐下的策略来满足应用的需要。2、网络容易升级，可以用较低的成本费用实现网络升级。它以2-3倍当前快速以太网的成本，提供10倍于后者的性能。同时，传统以太网中的应用程序、操作系统和网络层协议能无缝运行在千兆位网上，保护了原有网络的投资。3、千兆位以太网可用于多种传输介质。如短程和长程铜线、多模和单模光纤。4、选用千兆位以太网，投资，并且有一定的前瞻性，既能满足视频、多媒体应用的需求，又能兼顾以往的能在一定的时间内保持网络技术的先进性。3.4工程设计设计原则：.快速收敛—如链路故障或网络中添加新设备的时候网络能够快速反应并适应这种变化。.确定路径—设备或管理人员对于某个应用程序或用户组基于一条到目的地的确定路径。.冗余—指定适当的机制使得网络在任何时候都能正常工作。.可扩展—当网络扩大和加入新的应用程序的时候，网络框架能够满足增长的流量需求。.应用中心化—中心化的应用程序能够支持网络上的大多数用户。服务器群就是出在这样的中心位置，从网络的各个区域到服务器群的距离都相同。.新的20/80规则—只有20%的流量保留在工作组锁在的本地LAN内，而80%的流量时要离开本地网络。.多协议支持—局域网必须能够支持多协议环境。.多播—局域网要能够除了支持IP单播流量以及还能支持IP多播流量。改造工程所要达到的效果：（1）本工程将在读者出版集团建设一个自动化办公网络，可以提供局域网内部信息共享、局域网互联、上网、远程办公等业务。（2）需要建立图书、资料、人事管理等内容的信息系统，并开展远程办公和技术培训。（3）建立统一的网络管理系统，以便今后维护网络。（4）建设网络安全系统，保障集团网络的安全运行。（5）完成新楼网络铺设工程（6）为网站建立打好网络基础（7）做出网络的下一步规划网络分层的原则为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。核心层是集团局域网的主干，负责完成各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。其主要功能如下：a）提供局域网内部各交换区块间的连接；b）提供到广域网的访问；c）尽可能快地交换数据包汇聚层是网络核心层和接入层之间的分界点，负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的范围内进行数据的路由以及处理。其主要功能如下：a）部门或工作组接入；b）VLAN聚合；c）VL.AN间路由；d）安全性控制接入层是最终用户被许可接入网络的点，该分层的主要功能是提供各种标准接口将数据接入到网络中，同时确定基于端口或MAC地址的VLAN成员以及数据流过滤，完成基本的业务系统之间的隔离。3.5工程实现该企业网络拓扑图如下图图3VLAN网络拓扑图3.5.1企业局域网VLAN规划及设置目前内网的链结方式是将网络环境所有的计算机都全部规划为一个网络，这种平的、交换型网络结构具有网络安全性差、容易产生广播风暴和病毒传播等缺点，经过分析研究，为了达到解决上述问题的目的，就必须对集团的局域网络进行划分，达到专网专用的目的。按照各部门职责的不同，划分可以相互访问的权利，其中管理部门可以访问下级部门，下级部门不能访问管理部门。财务网络从物理上与集团局域网分开，以保证财务数据的安全。利用现有的Cisco4006三层网络交换机实现对内网地址的ULAN（虚拟子网）划分，改进对交换网络使用的访问：即将各个部门按统一规划为不同的子网络，网络地址使用ISO（国际标准化组织）统一规划的私有B类地址172.16.0.0，按照各部门的划分虚拟局域网如下：（1）VLAN2:172.16.1.0/28为系统服务器子网，交换机网关设置为172.16.1.3,防火墙IP地址设置为172.16.1.40（2）VLAN10:172.16.10.0124为管理部门，网关设置为172.16.10.3，各客户机ip设置为172.16.10.10以后；（3）VLAN11:172.16.11.0/24为部门A，网关设置为172.16.11.3，各客户机ip设置为172.16.11.10以后；（4）VLAN12:172.16.12.0/24为部门B，网关设置为172.16.12.3，各客户机ip设置为172.16.12.10以后；（5）VLAN13:172.16.13.0/24为部门C，网关设置为172.16.13.3，各客户机ip设置为172.16.13.10以后；（6）VI.AN14:172.16.14.0/24为部门D，网关设置为172.16.14.3，各客户机ip设置为172.16.14.10以后；通过以上配置，每个部门都归属于不同的子网，每个子网地址为253个，可以完全解决各部门网络地址不足的问题。部门内部计算机之间的访问不受限制，而部门之间的网络访问则须通过Cisco4006交换机的三层交换设置实现，实现了内网由平的、交换型网络结构向多层的、路由型网络结构的转变。这样做的好处在于：一、设置了服务器子网和管理子网，服务器子网内包含公用信息资源，各个子网都可以访问，而管理子网可以访问所有子网，实现对整个网络的管理控制；二、其他子网之间实现隔离，没有业务联系的部门之间网络不能相互访问，需要进行业务联系的部门通过在交换机上设置IP访问控制列表进行控制，杜绝了单个子网内的病毒传播到整个网络，确保了各部门数据的安全；三、便于扩展，新的网络规划里给各部门预留了充足的IP地址空间，并给搬迁到新楼的部门预留了子网地址，使得内网地址建设具有统一性和可持续性。3.5.2ULAN管理3.5.2.1访问控制构造一个ACL分为两个步骤:步骤1创建一个ACL步骤2应用ACL具体创建ACL表如下:access-list1deny172.16.23.00.0.0.255access-list1deny172.16.24.00.0.0.255access-list1deny172.16.25.00.0.0.255access-list1deny172.16.26.00.0.0.255access-list1permianytRouter(config)#accesslist1在相应的部门接口上应用ACL就可以有效的控制流量。防止网络内的非法访问行为。3.5.2.2流量控制针对由于P2P下载引起的网络拥塞，单纯的划分VLAN并不能解决问题。在端口上设置流量控制，对于级联接入二层交换机的端口并不合适。针对网络拥塞的实际情况，采用网络保护系统与VLAN设置配合的方式来解决。经过反复测试，采用“冰之眼”NIPS网络保护系统配合VLAN划分和IPMAC绑定，实现按IP流量控制、下载过滤等功能，效果非常明显。3.5.2.3防火墙配置防火墙是网络安全的第一道防线，配合ULAN技术可以把防火墙的功能充分发挥出来。按照网御网络安全指导性框架通过对网御防火墙软件程序升级、重新设置，使防火墙的功能充分发挥，主要体现在以下几个方面：（1）开启基于状态的动态包过滤功能：防火墙链路层截取并分析数据包以提高效率，可以对流经数据包进行基于ip地址、端口、用户、时间等的动态过滤。通过过滤基于状态检测技术。防火墙对网络和各种应用的通信状态动态存储、更新到动态状态表中，结合定义好的策略，动态生成规则，从而保证网络的高度安全和数据完整，同时具有很好的网络处理性能。（2）互动的入侵检测功能：防火墙能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、ip欺骗攻击、源ip攻击、ip碎片攻击、dos/Ddos攻击等，并根据入侵检测结果能自动地调整防火墙的安全策略，及时阻断入侵的网络连接，并报告管理员，当检测到攻击行为时除可生成日志信息，对重大的攻击行为，可通过邮件的方式向管理员告警。（3）集成防病毒网关功能：防火墙采用先进的智能扫描引擎，能快速、实时、彻底查杀“nimda”、“红色代码”、“美丽杀手”、“CIH”、“爱虫”、“圣诞病毒”和各种“木马”等4万余种病毒，并能检测各种压缩文件格式以及一些新的病毒变种，可以使各种病毒和恶意的javaapplet、ActiveX在还没有进入内部网时就被查杀。（4）双向Nat网络地址转换功能：有效地屏蔽整个子网的内部结构，使得黑客无从发现子网存在的缺陷，还可使内网能够通过共享ip地址的方法解决ip地址资源不足的问题，同时可以在复杂的网络环境中进行灵活设置而不降低对安全性需求。（5）支持VPN功能：防火墙集成的VPN功能，可在Internet上构建基于ipsec技术的一系列加密认证技术以及密钥交换方案，使得在主干网络上组建的VPN具有同本地网络一样的安全性、可靠性和可管理性等，同时大大降低了建设本地网络的费用，保证了以后北京公司接入局域网。防火墙配合核心交换机VLAN设置及N工PS系统，构成了一个完整地网络保护系统。ULAN将出版社内部不同部门的网络或关键服务器划分为彼此隔离的网段，防止问题的扩大，如果有黑客闯进一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。防火墙及N工PS系统防止了外来及VLAN间攻击。这样不仅保护了社内网络和关键服务器，使其不受来自Internet的攻击，也保护了各社网络和关键服务器不受来自出版社内部其它网络的攻击。3.6网络改造后的测试效果网络改造完成后的拓扑图见附图一在所有的端口都配置完后就要对配置进行数据包级别的调试，调试按以下步骤进行：步骤1:使用access-list命令捕获感兴趣的数据。步骤2:在相关的接口禁用快速交换功能。步骤3:在enable模式下使用terminalmonitor命令，为当前终端和会话显示debug命令的输出和系统错误信息。步骤4:使用debugippacket101或debugippacket101detail命令进行调试。步骤5:在enable模式下运行nodebugall命令和接口配置命令，可以停止调试。步骤6:恢复快速交换功能。测试数据：IPpacketdebuggingisonIP:s=172.16.10.8，d=172.16.13.45,g=172.16.10.3,forwardIP:s=172.16.13.45,d=172.16.10.8,g=172.16.13.3,forwardIP:s=172.16.13.45,d=172.16.23.8,g=172.16.13.3accessdeniedIP:s=172.16.13.45,d=172.16.24.8,g=172.16.13.3accessdeniedIP:s=1.72.16.13.45,d=172.16.25.8,g=172.16.13.3accessdeniedIP:s=172.16.13.45,d=172.16.26.8,g=172.16.13.3accessdeniedIP:s=172.16.13.45,d=172.16.27.8,g=172.16.13.3accessdeniedIP:s=172.16.11.45,d=172.16.28.9,g=172.16.11.3forward由数据可以看出，领导网段和部门网段之间可以互访，但部门网段不能访问财务处网段。部门网段和管理部门网段均可以访问服务器网段，达到了有效隔离各部门间相互访问的目的。在网络改造工程进行前，网络运行非常的不稳定，正常的情况下，延时通常在30ms到80ms之间（如图3-7），如果出现网络阻塞的情况，延时会达到100多ms，在个别极端的情况下有时会达到1000ms。图3一7改造前的网络时延测试图3一8改造前的网络时延测试(2)有时还会出现时断时续的现象图3一9改造前的网络时延测试(3)划分VLAN后,在空负载的情况下,Ping各虚拟网段自己的网关时,速度己经降到了10ms以下。

结语论文中提出了实习企业网络改造方式