1.VLAN介紹
所謂VLAN 是指處于不同物理位置的節(jié)點根據(jù)需要組成不同的邏輯子網(wǎng),即一個VLAN 就是一個邏輯廣播域,它可以覆蓋多個網(wǎng)絡設(shè)備。VLAN 允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中,共享一個廣播域。通過對VLAN 的創(chuàng)建可以控制廣播風暴的產(chǎn)生,從而提高交換式網(wǎng)絡的整體性能和安全性。同一個VLAN 中的端口可以接受VLAN 中的廣播包,別的VLAN 中的端口則接收不到。
2. VLAN在網(wǎng)絡管理中的應用
該集團公司下屬公司多,業(yè)務種類多,根據(jù)業(yè)務發(fā)展需要,經(jīng)過認真規(guī)劃,將聯(lián)網(wǎng)后的統(tǒng)一網(wǎng)絡劃分為30個VLAN。劃分原則為:集團本部以樓層為單位進行VLAN 劃分,各下屬公司以業(yè)務的不同來劃分VLAN,不同的VLan具有不同的安全級別。其中生產(chǎn)用機及各種服務器所在的VLAN 具有的安全級別較高。同時利用Cisco 6509自身的訪問控制功能,設(shè)置訪問列表對特定的VLAN用戶進行保護,對特定的端口 135、445、1434等進行控制,保證了整個網(wǎng)絡中各個VLAN 用戶的安全隔離。VLAN劃分的有4種策略:基于端口的VLAN劃分、基于MAC地址的VLAN劃分、基于路由的VLAN 劃分、基于策略的VLAN 劃分。該集團采用的方式是基于端口的VLAN劃分的方式。
基于端口的VLAN劃分是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡管理員對網(wǎng)絡設(shè)備的交換機端口進行重新分配即可,不用考慮該端口所連接的設(shè)備。在交換機投入運行前就把它的物理端口根據(jù)需要劃分給指定的VLAN 并分配給用戶。這種劃分使網(wǎng)絡管理員能夠隨時掌握網(wǎng)絡的負載情況,有利于網(wǎng)絡的優(yōu)化使用,并具有較高的安全性,雖然在一定程度上增加了管理員的工作量。舉例來說,集團下屬公司分布在不同城不同的地理位置,但考慮到方便管理,這些公司的OA服務器均使用一個VLAN的IP;對需要其他權(quán)限的OA服務器單獨分配其他網(wǎng)段的IP,所有這些網(wǎng)絡應用的實現(xiàn)均是依靠基于交換機端口VLAN 的劃分來實現(xiàn)的。另一方面,對靜態(tài)VLAN 技術(shù)的應用(即基于端口的VLAN 劃分)來說,交換機不能分辨出被盜用IP地址的非法接人。一個用戶盜用同一子網(wǎng)某特權(quán)用戶的IP地址后就可以偽裝成這個VLAN 的特權(quán)用戶,非法訪問網(wǎng)絡中的服務器,并造成IP地址的沖突。為了解決這個問題,就利用用戶一般不會改變計算機MA C地址的特點,采用了對大部分用戶的IP地址和MA C地址與交換機端口綁定的方法, 彌補了靜態(tài)VLAN 的這一缺陷,有效地防止了這種情況的發(fā)生。滿足了對不同VLAN設(shè)置不同訪問權(quán)限,那么VLAN與VLAN之間又是如何實現(xiàn)相互間的訪問呢?
在一般的二層交換機組成的網(wǎng)絡中,VLAN 實現(xiàn)了網(wǎng)絡流量的分割,不同的VLAN 間是不能互相通信的。要實現(xiàn)VLAN 間的通信必須借助:1)路由器來實現(xiàn);2)三層交換機。下屬公司采用的是使用三層交換機的方式。利用三層交換機實現(xiàn)VLAN 間通信,三層交換機是將第二層交換機和第三層路由器兩者的優(yōu)勢有機而智能化地結(jié)合起來,可在各個層次提供線速性能。三層交換機內(nèi),分別設(shè)置了交換機模塊和路由器模塊;而內(nèi)置的路由模塊與交換模塊類似,也使用ASIC硬件處理路由。因此,與傳統(tǒng)的路由器相比,可以實現(xiàn)高速路由。并且,路由與交換模塊是匯聚鏈接的,由于是內(nèi)部連接,可以確保相當大的帶寬。用三層交換機的路由功能來實現(xiàn)VLAN 間的通信。
核心交換機選用Cisco 6509三層交換機,接人層交換機選擇了Cisco 3750和Cisco 2950系列交換機,其中Cisco 3750交換機為帶路由功能的三層交換機,用于數(shù)據(jù)流量較大的分局,而Cisco 2950為二層交換機,主要用于通過千兆光纖與中心交換機的直接連接,通過這樣的連接方式,整個局域網(wǎng)就能很好的協(xié)同工作。VLAN 對于網(wǎng)絡使用者來說是完全透明的,用戶感覺不到使用中與交換式網(wǎng)絡有任何的差別,但對于網(wǎng)絡管理人員則有很大的不同,因為這主要取決于VLAN 的幾點優(yōu)勢。
(1)控制廣播風暴
網(wǎng)絡管理必須解決因大量廣播信息帶來帶寬消耗的問題。VLAN 作為一種網(wǎng)絡分段技術(shù), 可將廣播風暴限制在一個VLAN 內(nèi)部,避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比,VLAN 能夠更加有效地利用帶寬。在VLAN 中,網(wǎng)絡被邏輯地分割成廣播域,由VLAN 成員所發(fā)送的信息幀或數(shù)據(jù)包僅在VLAN 內(nèi)的成員之間傳送,而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少主干網(wǎng)的流量,提高網(wǎng)絡速度。
(2)增強網(wǎng)絡的安全性
共享式LAN上的廣播必然會產(chǎn)生安全性問題,因為網(wǎng)絡上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務,用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。采用VLAN提供的安全機制,可以限制特定用戶的訪問,控制廣播組的大小和位置,甚至鎖定網(wǎng)絡成員的MA C地址,這樣,就限制了未經(jīng)安全許可的用戶和網(wǎng)絡成員對網(wǎng)絡的使用。
(3)增強網(wǎng)絡管理
采用VLAN技術(shù),使用VLAN管理程序可對整個網(wǎng)絡進行集中管理,能夠更容易地實現(xiàn)網(wǎng)絡的管理性。用戶可以根據(jù)業(yè)務需要快速組建和調(diào)整VLAN。當鏈路擁擠時,利用管理程序能夠重新分配業(yè)務。管理程序還能夠提供有關(guān)工作組的業(yè)務量、廣播行為以及統(tǒng)計特性等的詳盡報告。對于網(wǎng)絡管理員來說,所有這些網(wǎng)絡配置和管理工作都是透明的。VLAN 變動時,用戶無需了解網(wǎng)絡的接線情況和協(xié)議是如何重新設(shè)置的。另外在使用VLAN 劃分后,也較好的解決了客戶機隨意使用IP地址的問題,因為某臺計算機是屬于某個特定的VLAN的,如果設(shè)置其他VLAN的IP地址,則是不能接人局域網(wǎng)的。
3結(jié)語
局域網(wǎng)通過使用VLAN 劃分技術(shù),在安全性和穩(wěn)定性方面都有了很大的提升,為各種業(yè)務的開展提供了可靠的保證,總之VLAN技術(shù)在集團公司網(wǎng)絡管理中的重要性是不容忽視的。
