王世偉，付英會(huì)

（中國鐵通白山分公司，吉林 白山 134300）

1 現(xiàn)狀分析

1.1 局域網(wǎng)拓?fù)涿枋?/h3>

礦務(wù)局局域網(wǎng)分新大樓和老大樓兩部分，分別通過幾級(jí)交換機(jī)接入后，匯聚到S6506上，再通過NE20接入省公司的OA網(wǎng)絡(luò)。新大樓的OA接入由樓宇匯聚交換機(jī)BIG6802和各樓層的交換機(jī)組成，互聯(lián)接口大部分為光纖，接口類型為10/100 M光口。老大樓S2000到各樓層交換機(jī)大部分為雙絞線，接口類型為10/100 M電口。

省公司OA網(wǎng)內(nèi)規(guī)劃了三個(gè)VPN，并延伸到礦務(wù)局OA網(wǎng)內(nèi)。新大樓和老大樓局域網(wǎng)的設(shè)備都啟動(dòng)了二層特性，將不同網(wǎng)段用戶的VLAN透傳到了S6506上，S6506再將所有的VLAN透傳到NE20上，由NE20作為所有用戶的網(wǎng)關(guān)設(shè)備，同時(shí)將用戶VLAN綁定到不同的VPN，目前的分布情況見表1。

表1 用戶段IP地址分配表

1.2 現(xiàn)狀分析

現(xiàn)網(wǎng)ARP病毒泛濫，導(dǎo)致終端開機(jī)后長時(shí)間無法聯(lián)網(wǎng)。導(dǎo)致該問題的主要原因有以下兩點(diǎn)：

（1）終端感染ARP病毒，頻繁的對(duì)網(wǎng)絡(luò)發(fā)送病毒報(bào)文，導(dǎo)致終端無法正常的學(xué)習(xí)目的主機(jī)的MAC地址，報(bào)文無法轉(zhuǎn)發(fā)。

（2）現(xiàn)網(wǎng)NE20以下所有設(shè)備工作在二層，基于用戶網(wǎng)段進(jìn)行VLAN劃分，導(dǎo)致某個(gè)用戶的病毒報(bào)文會(huì)在整個(gè)VLAN內(nèi)傳播，病毒的影響范圍很大。

1.3 改造目標(biāo)

（1）解決現(xiàn)網(wǎng)ARP病毒泛濫的問題。

（2）現(xiàn)網(wǎng)樓道交換機(jī)設(shè)備陳舊，建議進(jìn)行替換，同時(shí)提高網(wǎng)絡(luò)容量和鏈路帶寬。

（3）提高網(wǎng)絡(luò)的安全性和可維護(hù)性。

2 局域網(wǎng)優(yōu)化方案

2.1 二層接入方案

2.1.1 方案及拓?fù)涿枋?/p>

樓層交換機(jī)推薦使用華為公司的 S2000EI，匯聚交換機(jī)推薦使用華為公司的S3900EI，S2000EI到S3900EI間通過FE電口互聯(lián)，拓?fù)涫疽鈭D見圖1。

2.1.2 策略部署建議

圖1 拓?fù)涫疽鈭D1

樓道交換機(jī)啟動(dòng)二層特性，建議在不同的樓道交換機(jī)上，為每個(gè)端口配置不同的VLAN，并且將所有的VLAN ID透傳到匯聚交換機(jī)上。在匯聚交換機(jī)S3900EI上，由于不同的VLAN在S3900EI上很可能需要配置相同的IP網(wǎng)關(guān)，因此建議在S3900EI上啟動(dòng)Super V lan特性，將同一網(wǎng)段的不同VLAN配置為同一Super V lan下的不同sub vlan。新大樓和老大樓的匯聚交換機(jī)下行接口啟動(dòng)三層特性，作為用戶的網(wǎng)關(guān)設(shè)備使用。上行與 NE20進(jìn)行IP互聯(lián)，現(xiàn)網(wǎng)的S6506只需啟動(dòng)二層透傳特性即可。

另外，由于在S3900EI上啟動(dòng)了三層特性，所以不同網(wǎng)段的用戶在S3900EI上就可以互訪了。為避免該問題的出現(xiàn)，可以啟動(dòng)ACL規(guī)則禁止互訪，但這樣做配置工作量較大。因此，建議在S3900EI上啟動(dòng)MCE功能，將不同網(wǎng)段的用戶用不同的路由表進(jìn)行隔離（Super VLAN和MCE功能將在后續(xù)內(nèi)容中進(jìn)行介紹）。

2.1.3 方案一分析

該方案將 VLAN廣播域從 NE20壓縮到了匯聚交換機(jī)S3900EI上，并且實(shí)現(xiàn)了每個(gè)交換機(jī)上的不同端口間用戶的隔離，減小了VLAN的擴(kuò)展范圍，再配合終端的靜態(tài)ARP配置，能夠很好地緩解現(xiàn)網(wǎng)的問題。

2.2 三層接入方案

2.2.1 方案二拓?fù)浼懊枋?/p>

樓層交換機(jī)使用華為公司的S3900EI，匯聚交換機(jī)推薦采用華為公司S7800，設(shè)備間通過FE電口互聯(lián)。拓?fù)涫疽鈭D見圖2。

圖2 拓?fù)涫疽鈭D2

2.2.2 策略部署建議

樓層交換機(jī)啟動(dòng)三層特性，作為用戶的網(wǎng)關(guān)設(shè)備。如果依然按照基于用戶網(wǎng)段劃分VLAN，就無法避免同VLAN內(nèi)用戶的相互影響，因此建議在樓層交換機(jī)上為每個(gè)端口配置不同的VLAN，實(shí)現(xiàn)每個(gè)用戶間的隔離。由于不同的VLAN需要配置相同的網(wǎng)關(guān)地址，所以此時(shí)必須在S3900EI啟動(dòng)Super Vlan特性。同樣，為避免不同網(wǎng)段用戶在S3900EI和S7800上三層互通，需要在S3900EI和S7800上啟動(dòng)MCE功能?，F(xiàn)網(wǎng)的S6506只需啟動(dòng)二層透傳特性即可。

2.2.3 方案二分析

該方案中，將VLAN廣播域的范圍直接壓縮到了樓層交換機(jī)，而且實(shí)現(xiàn)了每個(gè)二層端口間的隔離，即使是同一交換機(jī)接入的同一網(wǎng)段的用戶間也不會(huì)相互影響，最大限度的減小了ARP廣播的范圍，并且S3900EI抗ARP病毒攻擊的能力很強(qiáng)，再配合終端靜態(tài)ARP的配置，能夠完全解決現(xiàn)網(wǎng)的問題。

2.3 方案對(duì)比分析

相比較前面的兩個(gè)方案，兩個(gè)方案都實(shí)現(xiàn)了每個(gè)樓層的不同端口間的隔離和VPN延伸問題，不同之處在于，方案二將設(shè)備處理ARP的任務(wù)下沉到了樓層交換機(jī)，減輕了設(shè)備的壓力，避免設(shè)備在ARP攻擊下的異常情況，但成本也相對(duì)較高。