虛擬局域網(wǎng)的組建與應(yīng)用分析

姜亞軍

(遼陽(yáng)職業(yè)技術(shù)學(xué)院，遼寧 遼陽(yáng) 111000)

0 引言

在網(wǎng)絡(luò)帶寬不斷擴(kuò)展的背景下，虛擬局域網(wǎng)成為各行各業(yè)組建網(wǎng)絡(luò)的新選擇。作為一種擺脫物理?xiàng)l件限制的方式，虛擬局域網(wǎng)可以滿足同一內(nèi)網(wǎng)多設(shè)備運(yùn)行需求，并可將帶有隱私數(shù)據(jù)用戶和網(wǎng)絡(luò)其他部分隔離開來(lái)，防控網(wǎng)絡(luò)機(jī)密信息泄露。因此，探究虛擬局域網(wǎng)的組建與應(yīng)用具有非常突出的現(xiàn)實(shí)意義。

1 虛擬局域網(wǎng)的組建優(yōu)勢(shì)

1.1 規(guī)避廣播風(fēng)暴

廣播風(fēng)暴特指廣播數(shù)據(jù)充斥網(wǎng)絡(luò)并占用海量網(wǎng)絡(luò)帶寬阻礙正常業(yè)務(wù)運(yùn)行的現(xiàn)象。在無(wú)線時(shí)代，AP設(shè)備(無(wú)線接入點(diǎn))的發(fā)現(xiàn)與管理操作無(wú)時(shí)無(wú)刻不在產(chǎn)生著廣播包，廣播風(fēng)暴現(xiàn)象頻繁出現(xiàn)。通過(guò)虛擬局域網(wǎng)組建，有望分割廣播域，規(guī)避廣播風(fēng)暴。

1.2 保障內(nèi)網(wǎng)安全

虛擬局域網(wǎng)是安全穩(wěn)定性較為突出的網(wǎng)絡(luò)，可在隔離帶敏感數(shù)據(jù)用戶、網(wǎng)絡(luò)其他部分的同時(shí)，防控機(jī)密信息泄露。同時(shí)虛擬局域網(wǎng)可以隔離自身與外部局域網(wǎng)報(bào)文傳輸機(jī)制，限制無(wú)線設(shè)備訪問(wèn)內(nèi)網(wǎng)，保障內(nèi)網(wǎng)安全[1]。

1.3 提高管理效率

傳統(tǒng)局域網(wǎng)環(huán)境無(wú)法對(duì)不同網(wǎng)段進(jìn)行上網(wǎng)策略、流量控制策略的差異化配置，而虛擬局域網(wǎng)可以根據(jù)管理需要，介入功能分類，在不同地域、網(wǎng)絡(luò)集中客戶，為不同部門劃分不同網(wǎng)段，提高管理效率。

2 虛擬局域網(wǎng)的組建技術(shù)

2.1 DHCP技術(shù)

DHCP技術(shù)(dynamic host configuration protocol，動(dòng)態(tài)主機(jī)配置協(xié)議)是一種根據(jù)用戶需要自動(dòng)分配IP地址、缺省網(wǎng)管、子網(wǎng)掩碼、DNS服務(wù)器地址的技術(shù)，可以規(guī)避大規(guī)模、海量客戶端網(wǎng)絡(luò)內(nèi)IP地址沖突。

在虛擬局域網(wǎng)組建時(shí)，DHCP技術(shù)除用于內(nèi)網(wǎng)(或網(wǎng)絡(luò)服務(wù)商)DNS服務(wù)器、主機(jī)名、IP地址、域名分配外，還可配合其他服務(wù)進(jìn)行集成化管理。常用的IP地址分配方式為自動(dòng)、動(dòng)態(tài)、手工分配[2]。自動(dòng)分配即通過(guò)DHCP服務(wù)器為主機(jī)提供一個(gè)永久不變更的IP地址；動(dòng)態(tài)分配即通過(guò)DHCP服務(wù)器為主機(jī)提供一個(gè)允許變更且限時(shí)的IP地址；手工分配即先由網(wǎng)絡(luò)服務(wù)器管理員為客戶端指定IP地址，進(jìn)而由DHCP服務(wù)器將指定IP地址向客戶端主機(jī)分配。

2.2 PAT技術(shù)

PAT技術(shù)(performance acceleration technology，性能加速技術(shù))是一種促使內(nèi)部網(wǎng)絡(luò)主機(jī)共享合法外部IP地址并訪問(wèn)外部網(wǎng)絡(luò)的技術(shù)，可在降低IP地址資源損耗的同時(shí)，致使內(nèi)部網(wǎng)絡(luò)主機(jī)隱形化，規(guī)避外部對(duì)內(nèi)網(wǎng)攻擊。

在虛擬局域網(wǎng)組建時(shí)，PAT技術(shù)需要利用全局配置命令“ip nat pool xingming kaishi-ip jieshu-ip {netmask |prefix-length prefix-length}”，進(jìn)行內(nèi)部全局地址池創(chuàng)建。進(jìn)而為降低動(dòng)態(tài)NAT(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)內(nèi)部網(wǎng)絡(luò)用戶自由度，利用全局配置命令“access-list access-list-shuzi permit source[source-wildcard]”，進(jìn)行一個(gè)訪問(wèn)控制列表創(chuàng)建。同時(shí)，利用全局配置指示命令“access-list-shuzi pool xingming overload”，將訪問(wèn)控制列表、全局地址池應(yīng)用到NAT轉(zhuǎn)換過(guò)程。進(jìn)而利用端口配置命令“ip natinside”和“ip address ip-address mask”，先明確路由器中NAT轉(zhuǎn)換的內(nèi)部與外部端口，再將IP地址配送給NAT內(nèi)部、外部端口并同時(shí)啟用相應(yīng)端口。

2.3 ACL技術(shù)

ACL技術(shù)(access control list，訪問(wèn)控制列表)是運(yùn)用于路由器接口的數(shù)據(jù)包拒絕、接收規(guī)則(或指令列表)。在包過(guò)濾理念下，ACL技術(shù)可以讀取路由器特定層包頭信息(目標(biāo)地址、源地址、源端口、目標(biāo)端口等)，依據(jù)前期定義規(guī)則過(guò)濾數(shù)據(jù)包，或按規(guī)則順序匹配數(shù)據(jù)包，達(dá)到控制訪問(wèn)的目的。

在虛擬局域網(wǎng)組建時(shí)，ACL技術(shù)主要包括標(biāo)準(zhǔn)ACL、擴(kuò)展ACL兩種。標(biāo)準(zhǔn)ACL是以數(shù)據(jù)包源IP地址發(fā)出數(shù)據(jù)包允許、拒絕指令的方法，多用“access-list-shuzi{permitl deny}source[souce-wildcard]”語(yǔ)法，可以控制1～99的列表；擴(kuò)展ACL是以數(shù)據(jù)包源IP地址以及端口、目的IP地址、標(biāo)準(zhǔn)、指定協(xié)議發(fā)出數(shù)據(jù)包允許、拒絕指令的方法，常用語(yǔ)法為“access-list-number{permitldeny}kongzhi{source souce-wildcard destination-wildcard[operator operan]”，可以控制100～199的數(shù)據(jù)列表。

3 虛擬局域網(wǎng)的組建方案

3.1 VLAN標(biāo)記

VLAN(虛擬局域網(wǎng))標(biāo)記內(nèi)源地址字段、類型字段間Byte的數(shù)量為4個(gè)，前、后2個(gè)Byte功能不同，表示也不同。前2個(gè)Byte規(guī)范為IEEE規(guī)范，表示為十六進(jìn)制的0×8 100，負(fù)責(zé)虛擬局域網(wǎng)協(xié)議標(biāo)識(shí)制作；后2個(gè)Byte表示3Bit+12Bit，均負(fù)責(zé)TAG信息控制。其中3Bit范圍為0～7，特指用戶優(yōu)先級(jí)字段，可在網(wǎng)絡(luò)堵塞時(shí)優(yōu)先排隊(duì)轉(zhuǎn)發(fā)，而12Bit則標(biāo)識(shí)帶有虛擬局域網(wǎng)標(biāo)記幀的歸屬方，標(biāo)準(zhǔn)局域網(wǎng)范圍為1～1 001，擴(kuò)展局域網(wǎng)范圍為1 006～4 094，1 002、1 003、1 004、1 005均為無(wú)法刪除的令牌環(huán)網(wǎng)絡(luò)，用于802.1Q協(xié)議啟動(dòng)。

3.2 VLAN劃分

在明確VLAN標(biāo)識(shí)后，須采用基于MAC(物理網(wǎng)卡)地址或基于交換機(jī)端口、網(wǎng)絡(luò)層、IP組播的方式進(jìn)行虛擬局域網(wǎng)劃分。不同的虛擬局域網(wǎng)劃分方式，對(duì)虛擬局域網(wǎng)可用性具有較大影響。

3.2.1 基于MAC地址的VLAN劃分

在基于MAC地址的虛擬局域網(wǎng)劃分時(shí)，每一塊網(wǎng)卡的MAC地址、交換機(jī)跟蹤的虛擬局域網(wǎng)物理地址一一對(duì)應(yīng)，且具有唯一性，因此，需要根據(jù)每一臺(tái)PC機(jī)的網(wǎng)卡或物理地址，將每一臺(tái)PC機(jī)的MAC地址配置到對(duì)應(yīng)的邏輯組，允許用戶在保留所屬虛擬局域網(wǎng)成員身份的前提下，從一個(gè)物理位置節(jié)點(diǎn)向另外一個(gè)物理位置節(jié)點(diǎn)轉(zhuǎn)移。

3.2.2 基于交換機(jī)端口的VLAN劃分

在基于交換機(jī)端口的虛擬局域網(wǎng)劃分時(shí)，可以將一臺(tái)交換機(jī)局部模式為訪問(wèn)模式的端口或者若干臺(tái)交換機(jī)的局部模式為訪問(wèn)模式的端口換分為一個(gè)邏輯組，后續(xù)由網(wǎng)絡(luò)管理員分配交換機(jī)端口，并在不考慮端口連接設(shè)備的情況下完成端口參數(shù)設(shè)置，基于交換機(jī)端口的VLAN劃分如圖1所示。

圖1 基于交換機(jī)端口的VLAN劃分

如圖1所示，局域網(wǎng)交換機(jī)端口1、端口2、端口3、端口7、端口8組成了一個(gè)邏輯組VLAN1，局域網(wǎng)交換機(jī)端口4、端口5、端口6組成了一個(gè)邏輯組VLAN2。

3.2.3 基于網(wǎng)絡(luò)層的VLAN劃分

在基于網(wǎng)絡(luò)層的虛擬局域網(wǎng)劃分時(shí)，應(yīng)根據(jù)ISO/OSI體系結(jié)構(gòu)第三層網(wǎng)絡(luò)側(cè)路，通過(guò)協(xié)議差異進(jìn)行若干虛擬局域網(wǎng)劃分，即在以太網(wǎng)幀的基礎(chǔ)上增設(shè)虛擬局域網(wǎng)頭部控制信息，經(jīng)虛擬局域網(wǎng)層級(jí)劃分將主機(jī)劃分為更小的網(wǎng)絡(luò)，通過(guò)限制ID存在差異的虛擬局域網(wǎng)主機(jī)第三層互相訪問(wèn)權(quán)限，隔離不同主機(jī)信息交互。比如VLAN1～VLAN5為計(jì)算機(jī)房網(wǎng)段，VLAN6為服務(wù)器機(jī)房網(wǎng)段，VLAN7為管理網(wǎng)段。

3.2.4 基于IP組播的VLAN劃分

在基于IP組播的虛擬局域網(wǎng)劃分時(shí)，可以通過(guò)根據(jù)TCP/IP內(nèi)IP地址差異，進(jìn)行若干虛擬局域網(wǎng)劃分。比如在某小型企業(yè)虛擬局域網(wǎng)組建時(shí)，要求現(xiàn)有2個(gè)部門之間無(wú)信息交互，但部門各自可以進(jìn)行信息交互，此時(shí)，在VLAN10內(nèi)其中一個(gè)部門的IP地址可以分配為192.168.10.0～192.168.10.235，而VLAN20內(nèi)另外一個(gè)部門的IP地址可以分配為192.168.20.0～192.168.20.248。

3.3 VLAN配置

3.3.1 交換機(jī)

在虛擬局域網(wǎng)中，交換機(jī)包括核心、匯聚、接入層交換機(jī)。其中核心交換機(jī)負(fù)責(zé)滿足骨干網(wǎng)絡(luò)數(shù)據(jù)高速、安全轉(zhuǎn)發(fā)需求，不需要策略配置，僅需要進(jìn)行設(shè)備名稱修改、進(jìn)入端口路由模式設(shè)置、進(jìn)入端口選擇、接口IP地址選擇等簡(jiǎn)單配置；匯聚交換機(jī)負(fù)責(zé)匯聚數(shù)據(jù)，需要選擇內(nèi)嵌安全策略的交換機(jī)，滿足硬件訪問(wèn)權(quán)限限制、網(wǎng)絡(luò)攻擊防控、網(wǎng)絡(luò)掃描限制需求；接入層交換機(jī)負(fù)責(zé)接入設(shè)備，其需要先從與匯聚層交換機(jī)連接端口著手，將F0/24修改為Trunk模式。進(jìn)而根據(jù)規(guī)劃要求進(jìn)行相應(yīng)虛擬局域網(wǎng)創(chuàng)建，最終將不同的虛擬局域網(wǎng)分配給不同端口，如將VLAN20分配給端口2：insert (config)#interface range F0/2；insert (config-if)#switchport access vlan20。

3.3.2 動(dòng)態(tài)協(xié)議

在虛擬局域網(wǎng)之間信息交互時(shí)，除配置核心、匯聚交換機(jī)外，還需要進(jìn)行動(dòng)態(tài)路由協(xié)議的配置。在選擇鏈路狀態(tài)協(xié)議OSPF后，可以進(jìn)行匯聚層配置，具體配置如下。

do office work_assemble(config)#ip routing//開始路由功能

do office work_assemble(config)#router ospf 1//創(chuàng)建OSPF進(jìn)程

do office work_assemble(config-router)#wangluo 192.168.1.00.0.0.255bendi0//接入OSPF進(jìn)程

do office work_assemble(config-router)#wangluo10.0.0.00.255.255.255bendi0

do office work_assemble(config-router)#。

在匯聚層配置動(dòng)態(tài)協(xié)議后，可以進(jìn)行核心層動(dòng)態(tài)協(xié)議配置，即：

sw_core(config)#router ospf1

sw_core(config-router)#wangluo192.168.1.00.0.0.255bendi0

sw_core(config-router)#wangluo10.0.0.00.255.255.255bendi0

sw_core(config-router)#jieru-zhuanhuanfo/5//。

4 虛擬局域網(wǎng)的實(shí)際應(yīng)用

4.1 分布式監(jiān)控

基于虛擬局域網(wǎng)的分布式監(jiān)控包括上位機(jī)(工控機(jī)、網(wǎng)絡(luò)通信部件)、下位機(jī)(工控機(jī)、網(wǎng)絡(luò)通信部件、信號(hào)采集部件)、監(jiān)控終端(辦公用計(jì)算機(jī))幾個(gè)部分，上位機(jī)負(fù)責(zé)數(shù)據(jù)監(jiān)控，下位機(jī)負(fù)責(zé)現(xiàn)場(chǎng)監(jiān)控，監(jiān)控終端負(fù)責(zé)管理分析。在網(wǎng)絡(luò)配置模式下，需要在同一網(wǎng)段設(shè)置若干區(qū)域若干下位機(jī)外網(wǎng)IP地址、上位機(jī)IP地址，形成虛擬局域網(wǎng)。

在虛擬局域網(wǎng)中，下位機(jī)可經(jīng)端子排與驅(qū)動(dòng)程序連接，讀取儀表設(shè)置參數(shù)并將參數(shù)轉(zhuǎn)換為可顯示的數(shù)值，如壓力、溫度等。同時(shí)經(jīng)ADSL MODEM將現(xiàn)場(chǎng)采集數(shù)據(jù)向INT網(wǎng)絡(luò)發(fā)送。INT網(wǎng)絡(luò)可以經(jīng)路由器、光纖收發(fā)器、交換機(jī)向上位機(jī)輸送數(shù)據(jù)，上位機(jī)可將數(shù)據(jù)傳輸給監(jiān)控終端，并將監(jiān)控終端分析后的指令發(fā)送給下位機(jī)，實(shí)現(xiàn)分布式監(jiān)控。監(jiān)控終端可以隨時(shí)查看現(xiàn)場(chǎng)、歷史運(yùn)行數(shù)據(jù)以及各類圖表，及時(shí)發(fā)現(xiàn)現(xiàn)場(chǎng)故障問(wèn)題，根據(jù)數(shù)據(jù)趨勢(shì)提出解決方案。

4.2 過(guò)程層管理

智能網(wǎng)絡(luò)架構(gòu)包括站控、間隔、過(guò)程層3個(gè)層級(jí)，涉及站控、過(guò)程層網(wǎng)絡(luò)，其中過(guò)程層網(wǎng)絡(luò)匯聚了智能終端、合并單元，降低了回路長(zhǎng)度，可以經(jīng)光線媒介與間隔層設(shè)備進(jìn)行信息交互。在過(guò)程層網(wǎng)絡(luò)中，SV(采樣值信息)是主要傳輸信息，要求發(fā)送速率達(dá)到4 000幀/s，發(fā)送量較大，極易引發(fā)廣播風(fēng)暴?；诖?，可以利用IEEE802.1Q附加的虛擬局域網(wǎng)信息標(biāo)識(shí)，進(jìn)行虛擬局域網(wǎng)劃分，過(guò)濾報(bào)文，規(guī)避廣播風(fēng)暴。報(bào)文中的虛擬局域網(wǎng)信息標(biāo)識(shí)為目標(biāo)MAC地址、發(fā)生源MAC地址、TPID、TCP、類型、數(shù)據(jù)部分、CRC，其中目標(biāo)MAC地址為6 bit/s；發(fā)生源MAC地址為6 bit/s；TPID(0×8 100)為2 bit/s；TCP(內(nèi)含12 bit/s的VLAN信息標(biāo)識(shí))為2 bit/s，包括User priority(3 bit/s)、CFI(1 bit/s)、VLAN ID(12 bit/s)；類型為1 bit/s；數(shù)據(jù)部分為46～15 006 bit/s；CRC為4 bit/s。

為順利過(guò)濾報(bào)文，可以設(shè)置若干交換機(jī)VLAN ID僅對(duì)應(yīng)1個(gè)Port-base VLAN ID，以便在收到一個(gè)untaged數(shù)據(jù)包時(shí)自動(dòng)“粘貼”VLAN標(biāo)簽，經(jīng)交換機(jī)untaged端口接收數(shù)據(jù)包或發(fā)送去標(biāo)簽數(shù)據(jù)包。此時(shí)，在動(dòng)態(tài)查詢報(bào)文信息未增加的情況下，交換機(jī)不負(fù)責(zé)二層組播管理協(xié)議，也不會(huì)動(dòng)態(tài)變更網(wǎng)絡(luò)劃分，網(wǎng)絡(luò)報(bào)文流量顯著降低。

5 結(jié)語(yǔ)

在標(biāo)準(zhǔn)以太網(wǎng)幀內(nèi)插入VLAN TAG標(biāo)記字段后，可以實(shí)現(xiàn)虛擬局域網(wǎng)的搭建。從本質(zhì)上而言，虛擬局域網(wǎng)是從邏輯層面將一個(gè)物理空間真實(shí)廣播域局域網(wǎng)劃分為若干完全隔離的子廣播域的技術(shù)，可以在降低主機(jī)硬件資源損耗量的同時(shí)，防止安全信息泄露并降低病毒泛濫傳播風(fēng)險(xiǎn)，為用戶提供良好的體驗(yàn)。因此，相應(yīng)技術(shù)人員可以根據(jù)虛擬局域網(wǎng)應(yīng)用需求，利用ACL、PAT、DHCP技術(shù)，進(jìn)行子廣播域的邏輯劃分與隔離，為各行各業(yè)發(fā)展提供安全的網(wǎng)絡(luò)環(huán)境。