摘 要:随着局域网的快速发展,虚拟局域网技术(VLAN)越来越受到重视,虚拟局域网技术被应用于各个领域。本文首先提出了虚拟局域网技术的相关的理论知识,进而虚拟局域网技术的划分以及虚拟局域网技术的具体应用进行了分析。
关键词:VLAN;划分;应用
随着信息技术的不断发展,网络管理者需要管理的设备越来越多。VLAN的应用使得网络管理得到简化,具体表现在:网络增加、移动和改变只需修改接口的VLAN属性;具有高安全级别的用户单独放进一个VLAN中,其他用户不能与他们进行通信;不同部门但工作性质相同的用户可以划分一个VLAN中;VLAN能够增强网络安全性;将大的广播域划分为多个小的广播域。
1.VLAN技术
VLAN(Virtual LAN)是为了在同一物理链路上传输多个逻辑的数据链路而提出的一种网络技术。VLAN一般被认为是一种二层的隔离技术,它可以隔离不同逻辑网络之间的数据链路。IEEE802.1Q在MAC层定义了VLAN的桥接功能,IEEE802.1D把这种定义推广到了tree协议,通过树生成协议,不同的VLAN之间可以通过3层网络互访。
VLAN技术解析传统的以太网在进行数据发送时,如果在帧首部中使用了广播地址,那么在此段网络上的所有的主机都将收到此广播帧,假设在改网段中主机数量众多,则很容易引起所谓的广播风暴。而冲突和广播风暴是影响网络性能的重要因素。虚拟局域网(VLAN)技术正是为了解决这一问题而诞生的。VLAN技术将将局域网的主机和交换设备从逻辑上划分成为各个独立的网段,各网段之间相互不会产生干扰。在此基础上,实现了各个虚拟工作组内部的数据传输技术。这一技术可应用于交换机和路由器中。但主要应用还是在交换机之中,并且只有VLAN协议的第二层以上交换机才具有此功能。早在1999年6月份就由IEEE委员正式颁布实施了有关VLAN的技术标准IEEE 802.1。1996年,Cisco公司正式提出了最早的VLAN技术。近些年来,VLAN技术由于需求的飞速增加而得到极大的发展,在许多企业网络中被广泛的接受和采用。
VLAN的技术特点:(1)提高了网络连接的灵活性,能适应各种异构网络;通过使用虚拟局域网技术,能够将不同地点、不同用户和不同网络组合在一起,组成一个虚拟的网络环境,将此环境模拟成为本地的局域网,在使用中通局域网一样便捷、灵活、有效。(2)对网络上的广播帧实施端口控制:在虚拟局域网技术中,防火墙机制得到了充分的重视,以防止在网络中出现的非正常的大量的广播帧。虚拟局域网技术可以将某个交换机的端口或在此端口上所连接的某一用户赋于一个特定的VLAN组。在此VLAN组中进行广播的用户不会将他的广播报文传到VLAN之外。(3)增加网络的安全性:由于一个VLAN具有一个独立的广播域,而广播域的独立则使得在此域中产生的数据,不论是单播帧还是广播帧,都不会影响域外用户,VLAN之间的相互隔离,大大提高了网络的利用率,确保了网络的安全保密性。并且可以在此添加访问控制来增强网络管理的安全性。同时,为了加强安全机制,可以采用防火墙或三级交换机及其配套的软硬件技术对各子网间的访问进行控制和协调。
2.VLAN的划分
2.1VLAN划分的三种考虑
(1)基于网络性能的考虑。对于大型网络,现在常用的Windows NetBEUI是广播协议,当网络规模很大时,网上的广播信息会很多,会使网络性能恶化,甚至形成广播风暴,引起网络堵塞。为此可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输,因为广播信息是不会跨过VLAN的,可以把广播限制在各个虚拟网的范围内,也就是缩小了广播域,提高了网络的传输效率,从而提高网络性能。(2)基于组织结构上考虑。同一部门的人员分散在不同的物理地点,比如某集团公司的财务部在各子公司均有分部,但都属于财务部管理,虽然这些数据都是要保密的,但需统一结算时,就可以跨地域将其设在同一虚拟局域网之中,实现数据安全和共享。(3)基于安全性的考虑。因为各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。在大规模的网络,例如某集团公司,有财务部、采购部和客户部等,它们之间的数据是保密的,相互之间只能提供接口数据,其它数据是保密的。此时可以通过划分虚拟局域网对不同部门进行隔离。
2.2VLAN划分方法
(1)基于端口划分的VLAN。此是根据以太网交换机的端口来进行划分的,例如,Quidway S3526的1-4端口为VLAN10,5-17为VLAN20,18-24为VLAN30。这种划分的方法有点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就性。它的缺点就是如果VLAN A用户离开了原来的端口,到一个新的交换机的某个端口,那么就必须重新定义。(2)基于MAC地址划分VLAN。这种方法主要是根据每个主机的MAC地址来划分的。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因此,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多歌VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。(3)基于网络层划分VLAN。这种划分方法是根据网络地址来进行的,但是它与网络层的路由毫无关系。它虽然可以对每个数据包的IP地址进行查看,但是由于其不是路由,因此,相应的路由协议,其实现桥交换是根据生产算法来进行的。(4)根据IP组播划分VLAN。其中一个IP组播就是一个VLAN,这种划分方法VLAN扩大到广域网,因此,此方法灵活性较高,而且通过路由器进行扩展也比较容易,但是这种方法在局域网中是不合适的,主要是因为效率较低。
3.VLAN的应用实例
本文主要对VLAN在图书馆中的应用进行了分析。图书馆自动化网络系统是衡量图书馆信息技术应用水平的基础。VLAN技术在高校图书馆中的应用使得一个完整的图书馆网络系统构建成功。
3.1VLAN的划分原则
根据高校图书馆的具体情况,将设计原则分为以下几种:(1)无需考虑地理位置,按照部门或者功能来划分;(2)VLAN划分原则主要采用基于
端口的VLAN划分方式来进行。这样VLAN初始化和维护的工作量也会相对来说变小,网络管理员就更容易管理;(3)VLAN既不能太大也不能太小,太大的话VLAN内容易产生广播风暴以及降低安全性,反之,太小的话容易浪费IP地址;(4)VLAN有隔离广播包的作用,正因为此,对有安全特殊要求的部门进行单独划分。
3.2VLAN在图书馆中的应用方案
VLAN划分采用基于端口的方式,交换机有个默认的VLAN即VLAN1,其将所有连在交换机上的用户都包含在内。命名交换机的VLAN时,需要从“2”号开始,如图1拓扑结构。
图1 图书馆VLAN的应用方案
如表1所示,将VLAN3和VLAN4的端口划分情况进行了例举,其他端口分给VLAN2、VLAN5或VLAN6。VLAN的设置通过用封装ISL的Trunk方式来进行,主要包括VLAN名称的设置和到端口的应用。
表1 VLAN端口划分
3.3VLAN在图书馆中安全管理策略
只有网络处于安全状态下,图书馆才能保证正常运行。图书馆网络以VLAN为主体,VLAN在图书馆中安全问题主要包括:病毒侵入、操作系统安全漏洞、黑客攻击以及网络安全意识薄弱等。针对VLAN在图书馆中安全问题,其安全策略主要有:(1)按照VLAN划分原则对网络结构进行合理地设计,根据需要对图书馆网络系统中的权利进行均衡,记录权利大的用户,并对过于集中的权力进行分散。从而使得由越权带来的风险得以降低。(2)加大网络安全技术的深入研究。网络安全技术有很多,例如防火墙、入侵检测技术、数据加密技术等,尤其要主要防火墙技术,防火墙是在不同网络之间的一系列软硬件的组合中设置,其主要是对控制策略进行执行访问,对允许外界方位和允许访问外界的内部站点进行决定,从而使得内部网得到保护,避免非法用户的入侵。防火墙的基本类型有三种,分别是IP数据过滤、应用层网关和电路层网关。用站点的特殊安全策略来决定防火墙是如何配置的。除了正确选择合理配置外,还要对防火墙正常工作及失效状态进行正确评估,对于防火墙的访问日志进行定期检查,从而使得攻击行为能够及时地发现。(3)在图书馆中,建立ARP病毒防御体系。ARP具有动态学习能力,正因为此,ARP攻击能够成功,因此,通过保护正确渠道获取的ARP信息来防御ARP的攻击。针对三个防御点(网关、接入交换机和用户端),立体的ARP攻击防御体系的建立可以使用静态、监控和认证三种方法来进行,其中能够动态获取正确ARP信息的有监控与认证。(4)为了加强防病毒能力,需要选用一套完善的反病毒系统。将安全等级设定到中高级。对操作系统等安全漏洞要适时打补丁。并且禁用注册表编辑工具。(5)图书馆要加强工作人员网络安全培训,提高安全防范意识。
综上所述,VLAN技术在图书馆中的应用不仅使图书馆网络灵活性进一步提高,而且使得网络管理员的管理工作更加简单,提高了网络服务质量。图书馆网络系统是一个全方位的多种技术融合的体系结构,随着存储技术、网络技术等飞速发展,高校图书馆也受到了巨大的冲击。随着存储技术的发展,基于网络的SAN架构必将成为存储的主流。随着网络技术的发展,高校图书馆已经开始实施无线网络。无线局域网的实施成为图书馆吸引读者新的竞争优势。
参考文献:
[1]李文琴,汪大清. VLAN技术在组建校园网中的应用[J]计算机与现代化, 2007, (05) .
[2] 陈华. VLAN技术在高校校园网建设中的应用[J]电脑学习, 2008, (06) .
[3] 甘守飞,周国祥. 基于VLAN技术的高校图书馆网络应用研究[A]全国第19届计算机技术与应用(CACIS)学术会议论文集(下册)[C], 2008 .
[4] 彭位增, 蒋超. 表面工程信息服务平台安全策略[J]. 网络与信息, 2009, (11)
[5] 黄金波,郭丽春. 基于VLAN的攻击与安全防范[J]办公自动化, 2008, (24) .
[6] 秦森,杨艳. VLAN技术在企业网络中的设计及应用[J]电脑知识与技术, 2006, (26) .
