1.VLAN介紹
所謂VLAN 是指處于不同物理位置的節點根據需要組成不同的邏輯子網,即一個VLAN 就是一個邏輯廣播域,它可以覆蓋多個網絡設備。VLAN 允許處于不同地理位置的網絡用戶加入到一個邏輯子網中,共享一個廣播域。通過對VLAN 的創建可以控制廣播風暴的產生,從而提高交換式網絡的整體性能和安全性。同一個VLAN 中的端口可以接受VLAN 中的廣播包,別的VLAN 中的端口則接收不到。
2. VLAN在網絡管理中的應用
該集團公司下屬公司多,業務種類多,根據業務發展需要,經過認真規劃,將聯網后的統一網絡劃分為30個VLAN。劃分原則為:集團本部以樓層為單位進行VLAN 劃分,各下屬公司以業務的不同來劃分VLAN,不同的VLan具有不同的安全級別。其中生產用機及各種服務器所在的VLAN 具有的安全級別較高。同時利用Cisco 6509自身的訪問控制功能,設置訪問列表對特定的VLAN用戶進行保護,對特定的端口 135、445、1434等進行控制,保證了整個網絡中各個VLAN 用戶的安全隔離。VLAN劃分的有4種策略:基于端口的VLAN劃分、基于MAC地址的VLAN劃分、基于路由的VLAN 劃分、基于策略的VLAN 劃分。該集團采用的方式是基于端口的VLAN劃分的方式。
基于端口的VLAN劃分是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換機端口進行重新分配即可,不用考慮該端口所連接的設備。在交換機投入運行前就把它的物理端口根據需要劃分給指定的VLAN 并分配給用戶。這種劃分使網絡管理員能夠隨時掌握網絡的負載情況,有利于網絡的優化使用,并具有較高的安全性,雖然在一定程度上增加了管理員的工作量。舉例來說,集團下屬公司分布在不同城不同的地理位置,但考慮到方便管理,這些公司的OA服務器均使用一個VLAN的IP;對需要其他權限的OA服務器單獨分配其他網段的IP,所有這些網絡應用的實現均是依靠基于交換機端口VLAN 的劃分來實現的。另一方面,對靜態VLAN 技術的應用(即基于端口的VLAN 劃分)來說,交換機不能分辨出被盜用IP地址的非法接人。一個用戶盜用同一子網某特權用戶的IP地址后就可以偽裝成這個VLAN 的特權用戶,非法訪問網絡中的服務器,并造成IP地址的沖突。為了解決這個問題,就利用用戶一般不會改變計算機MA C地址的特點,采用了對大部分用戶的IP地址和MA C地址與交換機端口綁定的方法, 彌補了靜態VLAN 的這一缺陷,有效地防止了這種情況的發生。滿足了對不同VLAN設置不同訪問權限,那么VLAN與VLAN之間又是如何實現相互間的訪問呢?
在一般的二層交換機組成的網絡中,VLAN 實現了網絡流量的分割,不同的VLAN 間是不能互相通信的。要實現VLAN 間的通信必須借助:1)路由器來實現;2)三層交換機。下屬公司采用的是使用三層交換機的方式。利用三層交換機實現VLAN 間通信,三層交換機是將第二層交換機和第三層路由器兩者的優勢有機而智能化地結合起來,可在各個層次提供線速性能。三層交換機內,分別設置了交換機模塊和路由器模塊;而內置的路由模塊與交換模塊類似,也使用ASIC硬件處理路由。因此,與傳統的路由器相比,可以實現高速路由。并且,路由與交換模塊是匯聚鏈接的,由于是內部連接,可以確保相當大的帶寬。用三層交換機的路由功能來實現VLAN 間的通信。
核心交換機選用Cisco 6509三層交換機,接人層交換機選擇了Cisco 3750和Cisco 2950系列交換機,其中Cisco 3750交換機為帶路由功能的三層交換機,用于數據流量較大的分局,而Cisco 2950為二層交換機,主要用于通過千兆光纖與中心交換機的直接連接,通過這樣的連接方式,整個局域網就能很好的協同工作。VLAN 對于網絡使用者來說是完全透明的,用戶感覺不到使用中與交換式網絡有任何的差別,但對于網絡管理人員則有很大的不同,因為這主要取決于VLAN 的幾點優勢。
(1)控制廣播風暴
網絡管理必須解決因大量廣播信息帶來帶寬消耗的問題。VLAN 作為一種網絡分段技術, 可將廣播風暴限制在一個VLAN 內部,避免影響其他網段。與傳統局域網相比,VLAN 能夠更加有效地利用帶寬。在VLAN 中,網絡被邏輯地分割成廣播域,由VLAN 成員所發送的信息幀或數據包僅在VLAN 內的成員之間傳送,而不是向網上的所有工作站發送。這樣可減少主干網的流量,提高網絡速度。
(2)增強網絡的安全性
共享式LAN上的廣播必然會產生安全性問題,因為網絡上的所有用戶都能監測到流經的業務,用戶只要插入任一活動端口就可訪問網段上的廣播包。采用VLAN提供的安全機制,可以限制特定用戶的訪問,控制廣播組的大小和位置,甚至鎖定網絡成員的MA C地址,這樣,就限制了未經安全許可的用戶和網絡成員對網絡的使用。
(3)增強網絡管理
采用VLAN技術,使用VLAN管理程序可對整個網絡進行集中管理,能夠更容易地實現網絡的管理性。用戶可以根據業務需要快速組建和調整VLAN。當鏈路擁擠時,利用管理程序能夠重新分配業務。管理程序還能夠提供有關工作組的業務量、廣播行為以及統計特性等的詳盡報告。對于網絡管理員來說,所有這些網絡配置和管理工作都是透明的。VLAN 變動時,用戶無需了解網絡的接線情況和協議是如何重新設置的。另外在使用VLAN 劃分后,也較好的解決了客戶機隨意使用IP地址的問題,因為某臺計算機是屬于某個特定的VLAN的,如果設置其他VLAN的IP地址,則是不能接人局域網的。
3結語
局域網通過使用VLAN 劃分技術,在安全性和穩定性方面都有了很大的提升,為各種業務的開展提供了可靠的保證,總之VLAN技術在集團公司網絡管理中的重要性是不容忽視的。
