王世偉，付英會

（中國鐵通白山分公司，吉林 白山 134300）

1 現狀分析

1.1 局域網拓撲描述

礦務局局域網分新大樓和老大樓兩部分，分別通過幾級交換機接入后，匯聚到S6506上，再通過NE20接入省公司的OA網絡。新大樓的OA接入由樓宇匯聚交換機BIG6802和各樓層的交換機組成，互聯接口大部分為光纖，接口類型為10/100 M光口。老大樓S2000到各樓層交換機大部分為雙絞線，接口類型為10/100 M電口。

省公司OA網內規(guī)劃了三個VPN，并延伸到礦務局OA網內。新大樓和老大樓局域網的設備都啟動了二層特性，將不同網段用戶的VLAN透傳到了S6506上，S6506再將所有的VLAN透傳到NE20上，由NE20作為所有用戶的網關設備，同時將用戶VLAN綁定到不同的VPN，目前的分布情況見表1。

表1 用戶段IP地址分配表

1.2 現狀分析

現網ARP病毒泛濫，導致終端開機后長時間無法聯網。導致該問題的主要原因有以下兩點：

（1）終端感染ARP病毒，頻繁的對網絡發(fā)送病毒報文，導致終端無法正常的學習目的主機的MAC地址，報文無法轉發(fā)。

（2）現網NE20以下所有設備工作在二層，基于用戶網段進行VLAN劃分，導致某個用戶的病毒報文會在整個VLAN內傳播，病毒的影響范圍很大。

1.3 改造目標

（1）解決現網ARP病毒泛濫的問題。

（2）現網樓道交換機設備陳舊，建議進行替換，同時提高網絡容量和鏈路帶寬。

（3）提高網絡的安全性和可維護性。

2 局域網優(yōu)化方案

2.1 二層接入方案

2.1.1 方案及拓撲描述

樓層交換機推薦使用華為公司的 S2000EI，匯聚交換機推薦使用華為公司的S3900EI，S2000EI到S3900EI間通過FE電口互聯，拓撲示意圖見圖1。

2.1.2 策略部署建議

圖1 拓撲示意圖1

樓道交換機啟動二層特性，建議在不同的樓道交換機上，為每個端口配置不同的VLAN，并且將所有的VLAN ID透傳到匯聚交換機上。在匯聚交換機S3900EI上，由于不同的VLAN在S3900EI上很可能需要配置相同的IP網關，因此建議在S3900EI上啟動Super V lan特性，將同一網段的不同VLAN配置為同一Super V lan下的不同sub vlan。新大樓和老大樓的匯聚交換機下行接口啟動三層特性，作為用戶的網關設備使用。上行與 NE20進行IP互聯，現網的S6506只需啟動二層透傳特性即可。

另外，由于在S3900EI上啟動了三層特性，所以不同網段的用戶在S3900EI上就可以互訪了。為避免該問題的出現，可以啟動ACL規(guī)則禁止互訪，但這樣做配置工作量較大。因此，建議在S3900EI上啟動MCE功能，將不同網段的用戶用不同的路由表進行隔離（Super VLAN和MCE功能將在后續(xù)內容中進行介紹）。

2.1.3 方案一分析

該方案將 VLAN廣播域從 NE20壓縮到了匯聚交換機S3900EI上，并且實現了每個交換機上的不同端口間用戶的隔離，減小了VLAN的擴展范圍，再配合終端的靜態(tài)ARP配置，能夠很好地緩解現網的問題。

2.2 三層接入方案

2.2.1 方案二拓撲及描述

樓層交換機使用華為公司的S3900EI，匯聚交換機推薦采用華為公司S7800，設備間通過FE電口互聯。拓撲示意圖見圖2。

圖2 拓撲示意圖2

2.2.2 策略部署建議

樓層交換機啟動三層特性，作為用戶的網關設備。如果依然按照基于用戶網段劃分VLAN，就無法避免同VLAN內用戶的相互影響，因此建議在樓層交換機上為每個端口配置不同的VLAN，實現每個用戶間的隔離。由于不同的VLAN需要配置相同的網關地址，所以此時必須在S3900EI啟動Super Vlan特性。同樣，為避免不同網段用戶在S3900EI和S7800上三層互通，需要在S3900EI和S7800上啟動MCE功能?，F網的S6506只需啟動二層透傳特性即可。

2.2.3 方案二分析

該方案中，將VLAN廣播域的范圍直接壓縮到了樓層交換機，而且實現了每個二層端口間的隔離，即使是同一交換機接入的同一網段的用戶間也不會相互影響，最大限度的減小了ARP廣播的范圍，并且S3900EI抗ARP病毒攻擊的能力很強，再配合終端靜態(tài)ARP的配置，能夠完全解決現網的問題。

2.3 方案對比分析

相比較前面的兩個方案，兩個方案都實現了每個樓層的不同端口間的隔離和VPN延伸問題，不同之處在于，方案二將設備處理ARP的任務下沉到了樓層交換機，減輕了設備的壓力，避免設備在ARP攻擊下的異常情況，但成本也相對較高。