王世伟，付英会

（中国铁通白山分公司，吉林 白山 134300）

1 现状分析

1.1 局域网拓扑描述

矿务局局域网分新大楼和老大楼两部分，分别通过几级交换机接入后，汇聚到S6506上，再通过NE20接入省公司的OA网络。新大楼的OA接入由楼宇汇聚交换机BIG6802和各楼层的交换机组成，互联接口大部分为光纤，接口类型为10/100 M光口。老大楼S2000到各楼层交换机大部分为双绞线，接口类型为10/100 M电口。

省公司OA网内规划了三个VPN，并延伸到矿务局OA网内。新大楼和老大楼局域网的设备都启动了二层特性，将不同网段用户的VLAN透传到了S6506上，S6506再将所有的VLAN透传到NE20上，由NE20作为所有用户的网关设备，同时将用户VLAN绑定到不同的VPN，目前的分布情况见表1。

表1 用户段IP地址分配表

1.2 现状分析

现网ARP病毒泛滥，导致终端开机后长时间无法联网。导致该问题的主要原因有以下两点：

（1）终端感染ARP病毒，频繁的对网络发送病毒报文，导致终端无法正常的学习目的主机的MAC地址，报文无法转发。

（2）现网NE20以下所有设备工作在二层，基于用户网段进行VLAN划分，导致某个用户的病毒报文会在整个VLAN内传播，病毒的影响范围很大。

1.3 改造目标

（1）解决现网ARP病毒泛滥的问题。

（2）现网楼道交换机设备陈旧，建议进行替换，同时提高网络容量和链路带宽。

（3）提高网络的安全性和可维护性。

2 局域网优化方案

2.1 二层接入方案

2.1.1 方案及拓扑描述

楼层交换机推荐使用华为公司的 S2000EI，汇聚交换机推荐使用华为公司的S3900EI，S2000EI到S3900EI间通过FE电口互联，拓扑示意图见图1。

2.1.2 策略部署建议

图1 拓扑示意图1

楼道交换机启动二层特性，建议在不同的楼道交换机上，为每个端口配置不同的VLAN，并且将所有的VLAN ID透传到汇聚交换机上。在汇聚交换机S3900EI上，由于不同的VLAN在S3900EI上很可能需要配置相同的IP网关，因此建议在S3900EI上启动Super V lan特性，将同一网段的不同VLAN配置为同一Super V lan下的不同sub vlan。新大楼和老大楼的汇聚交换机下行接口启动三层特性，作为用户的网关设备使用。上行与 NE20进行IP互联，现网的S6506只需启动二层透传特性即可。

另外，由于在S3900EI上启动了三层特性，所以不同网段的用户在S3900EI上就可以互访了。为避免该问题的出现，可以启动ACL规则禁止互访，但这样做配置工作量较大。因此，建议在S3900EI上启动MCE功能，将不同网段的用户用不同的路由表进行隔离（Super VLAN和MCE功能将在后续内容中进行介绍）。

2.1.3 方案一分析

该方案将 VLAN广播域从 NE20压缩到了汇聚交换机S3900EI上，并且实现了每个交换机上的不同端口间用户的隔离，减小了VLAN的扩展范围，再配合终端的静态ARP配置，能够很好地缓解现网的问题。

2.2 三层接入方案

2.2.1 方案二拓扑及描述

楼层交换机使用华为公司的S3900EI，汇聚交换机推荐采用华为公司S7800，设备间通过FE电口互联。拓扑示意图见图2。

图2 拓扑示意图2

2.2.2 策略部署建议

楼层交换机启动三层特性，作为用户的网关设备。如果依然按照基于用户网段划分VLAN，就无法避免同VLAN内用户的相互影响，因此建议在楼层交换机上为每个端口配置不同的VLAN，实现每个用户间的隔离。由于不同的VLAN需要配置相同的网关地址，所以此时必须在S3900EI启动Super Vlan特性。同样，为避免不同网段用户在S3900EI和S7800上三层互通，需要在S3900EI和S7800上启动MCE功能。现网的S6506只需启动二层透传特性即可。

2.2.3 方案二分析

该方案中，将VLAN广播域的范围直接压缩到了楼层交换机，而且实现了每个二层端口间的隔离，即使是同一交换机接入的同一网段的用户间也不会相互影响，最大限度的减小了ARP广播的范围，并且S3900EI抗ARP病毒攻击的能力很强，再配合终端静态ARP的配置，能够完全解决现网的问题。

2.3 方案对比分析

相比较前面的两个方案，两个方案都实现了每个楼层的不同端口间的隔离和VPN延伸问题，不同之处在于，方案二将设备处理ARP的任务下沉到了楼层交换机，减轻了设备的压力，避免设备在ARP攻击下的异常情况，但成本也相对较高。