ＰＶＬＡＮ技術(shù)在企業(yè)內(nèi)部局域網(wǎng)中的應(yīng)用

楊永茂

[摘要]隨著企業(yè)在電子商務(wù)方面的應(yīng)用日益廣泛和深入,網(wǎng)絡(luò)建設(shè)對(duì)企業(yè)的發(fā)展顯得更為重要,諸如網(wǎng)絡(luò)的穩(wěn)定性、安全性、充足的帶寬等已成為衡量局域網(wǎng)建設(shè)成效的重要性能指標(biāo)。PVLAN技術(shù)在解決通信安全、防止廣播風(fēng)暴、IP地址的合理分配、網(wǎng)絡(luò)優(yōu)化等方面具備明顯優(yōu)勢(shì)。詳細(xì)闡述PVLAN技術(shù)的功能特點(diǎn)及其在具體網(wǎng)絡(luò)中的應(yīng)用。

[關(guān)鍵詞]VLAN PVLAN 通信安全

中圖分類(lèi)號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0910040-01

隨著企業(yè)信息化進(jìn)程步伐的加快,企業(yè)利用網(wǎng)絡(luò)開(kāi)展的業(yè)務(wù)種類(lèi)日益豐富,對(duì)網(wǎng)絡(luò)數(shù)據(jù)通信的安全性也提出了更高的要求,諸如控制用戶訪問(wèn)權(quán)限、防范黑客攻擊、控制病毒傳播等,都要求保證網(wǎng)絡(luò)用戶通信的相對(duì)安全。PVLAN技術(shù)的引入能夠有效解決上述問(wèn)題。PVLAN可以實(shí)現(xiàn)端口之間的相互隔離,滿足網(wǎng)絡(luò)應(yīng)用的安全性要求,避免用戶信息和數(shù)據(jù)的非授權(quán)訪問(wèn),防止非法攻擊和竊取。在使用PVLAN時(shí),各接入端口間不可以相互通信,僅可以通過(guò)上聯(lián)端口來(lái)訪問(wèn)網(wǎng)絡(luò)資源。

一、VLAN技術(shù)簡(jiǎn)介

VLAN(Virtual Local Area Network)即虛擬局域網(wǎng),是一種將物理局域網(wǎng)邏輯劃分成多個(gè)不同的網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)將一個(gè)物理的局域網(wǎng)邏輯劃分成多個(gè)不同的廣播域,每個(gè)廣播域?qū)儆谝粋€(gè)VLAN,同一個(gè)VLAN內(nèi)的各個(gè)工作站可以屬于同一個(gè)物理網(wǎng)段,也可以屬于不同的物理網(wǎng)段。VLAN內(nèi)部的廣播和單播流量在數(shù)據(jù)鏈路層是無(wú)法轉(zhuǎn)發(fā)到其他VLAN中的,這樣能有效地解決以太網(wǎng)的廣播風(fēng)暴和安全性問(wèn)題。VLAN技術(shù)在數(shù)據(jù)鏈路層隔離了各個(gè)不同VLAN之間的通信,要實(shí)現(xiàn)不同VLAN之間的相互通信,必須借助網(wǎng)絡(luò)層的路由功能。網(wǎng)絡(luò)管理員通過(guò)對(duì)VLAN之間的路由參數(shù)或訪問(wèn)控制列表的配置,就可以控制不同VLAN之間站點(diǎn)的相互通信,全面管理企業(yè)內(nèi)部不同部門(mén)之間的信息互訪和通信安全。

VLAN技術(shù)的局限:隨著網(wǎng)絡(luò)的迅速發(fā)展,用戶對(duì)于網(wǎng)絡(luò)數(shù)據(jù)通信的安全性提出了更高的要求,諸如防范黑客攻擊、控制病毒傳播等,都要求保證網(wǎng)絡(luò)用戶通信的相對(duì)安全性;傳統(tǒng)的解決方法是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng),通過(guò)使用VLAN,每個(gè)客戶被從第2層隔離開(kāi),可以防止任何惡意的行為和Ethernet的信息探聽(tīng)。然而,這種分配每個(gè)客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的可擴(kuò)展方面的局限。這些局限主要有下述幾方面:1.VLAN的限制:交換機(jī)固有的VLAN數(shù)目的限制;2.復(fù)雜的STP:對(duì)于每個(gè)VLAN,每個(gè)相關(guān)的Spanning Tree的拓?fù)涠夹枰芾?3.IP地址的緊缺:IP子網(wǎng)的劃分勢(shì)必造成一些IP地址的浪費(fèi);4.路由的限制:每個(gè)子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置。

二、PVLAN技術(shù)應(yīng)用

PVLAN即私有VLAN(Private VLAN),PVLAN采用兩層VLAN隔離技術(shù),只有上層VLAN全局可見(jiàn),下層VLAN相互隔離。采用PVLAN技術(shù)后,同一PVLAN內(nèi)的計(jì)算機(jī)彼此相互隔離,雖然它們位于同一IP地址段,擁有相同的子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān),卻無(wú)法實(shí)現(xiàn)彼此之間的通信。它們之間的通信只能經(jīng)過(guò)默認(rèn)網(wǎng)關(guān),在三層交換機(jī)中才能實(shí)現(xiàn)。

(一)PVLAN的結(jié)構(gòu)

PVLAN其實(shí)就是定義若干個(gè)VLAN,將其中一個(gè)VLAN定義為Primary VLAN即主VLAN,其他幾個(gè)VLAN為Secondary VLAN,即輔助VLAN,輔助VLAN與主VLAN建立關(guān)聯(lián),成為主VLAN的成員。各個(gè)輔助VLAN共享主VLAN的地址資源,包括IP地址、網(wǎng)關(guān)等。而在PVLAN外部,所有的輔助VLAN都被看成是一個(gè)VLAN,即主VLAN。

(二)PVLAN端口分類(lèi)

在Private VLAN的概念中,交換機(jī)端口有三種類(lèi)型:Isolated port,

Community port,Promiscuous port;它們分別對(duì)應(yīng)不同的VLAN類(lèi)型:Isolated port屬于Isolated PVLAN,Community port屬于Community PVLAN,而代表一個(gè)Private VLAN整體的是Primary VLAN,前面兩類(lèi)VLAN需要和它綁定在一起,同時(shí)它還包括Promiscuous port。在Isolated PVLAN中,Isolated port只能和Promiscuous port通信,彼此不能交換流量;在Community PVLAN中,Community port不僅可以和Promiscuous port通信,而且彼此也可以交換流量。Promiscuous port與路由器或第三層交換機(jī)接口相連,它收到的流量可以發(fā)往Isolated port和Community port。

(三)PVLAN應(yīng)用實(shí)例分析

下面就讓我們以一臺(tái)Cisco WS-C2950G-24EI為例,來(lái)介紹PVLAN的具體配置過(guò)程。首先對(duì)將要配置的VLAN規(guī)劃一下:建立四個(gè)VLAN,VLAN號(hào)分別為100、110、120、130,將VLAN 100作為Primary VLAN,VLAN 110和VLAN 130作為Community VLAN,VLAN 120作為Isolated VLAN。實(shí)驗(yàn)中,將交換機(jī)的1-6號(hào)端口劃到VLAN 100中,7-12號(hào)端口劃到VLAN 110中,13-18號(hào)端口劃分到VLAN 120中,19-24號(hào)端口劃分到VLAN 130中,主VLAN的地址段為192.168.100.0/24,通過(guò)兩兩執(zhí)行Ping命令驗(yàn)證PVLAN對(duì)于數(shù)據(jù)通信的控制作用,具體的PC網(wǎng)絡(luò)拓?fù)淙鐖D和PVLAN的配置步驟如圖1所示:

配置完成后,我們來(lái)進(jìn)行測(cè)試,測(cè)試結(jié)果如圖2所示:

以上的測(cè)試結(jié)果和我們的預(yù)期完全一致,通過(guò)實(shí)踐也證明了PVLAN能夠滿足在局域網(wǎng)內(nèi)部實(shí)現(xiàn)用戶在二層的有效隔離,提高了局域網(wǎng)的安全級(jí)別的細(xì)化程度。當(dāng)然,PVLAN的應(yīng)用場(chǎng)景遠(yuǎn)遠(yuǎn)不止這些,在熟悉和理解了PVLAN的原理和配置之后,我們可以將這種特性靈活應(yīng)用,以滿足不同的業(yè)務(wù)需求。

三、結(jié)束語(yǔ)

目前很多廠商生產(chǎn)的交換機(jī)支持PVLAN技術(shù),PVLAN技術(shù)在解決通信安全、防止廣播風(fēng)暴和浪費(fèi)IP地址方面的優(yōu)勢(shì)是顯而易見(jiàn)的,而且采用PVLAN技術(shù)有助于網(wǎng)絡(luò)的優(yōu)化,再加上PVLAN在交換機(jī)上的配置也相對(duì)簡(jiǎn)單,PVLAN技術(shù)越來(lái)越得到網(wǎng)絡(luò)管理人員的青睞。

參考文獻(xiàn):

[1]劉曉輝、李利軍,交換機(jī)·路由器·防火墻[M].北京:電子工業(yè)出版社,2007.

[2]王文壽、王珂,網(wǎng)管員必備寶典——網(wǎng)絡(luò)組建[M].北京:清華大學(xué)出版社,2006.

[3]Cisco System,Inc.CCNP BCMSN Student Guide Version3.0,2006.