楊永茂
[摘要]隨著企業(yè)在電子商務(wù)方面的應(yīng)用日益廣泛和深入,網(wǎng)絡(luò)建設(shè)對企業(yè)的發(fā)展顯得更為重要,諸如網(wǎng)絡(luò)的穩(wěn)定性、安全性、充足的帶寬等已成為衡量局域網(wǎng)建設(shè)成效的重要性能指標(biāo)。PVLAN技術(shù)在解決通信安全、防止廣播風(fēng)暴、IP地址的合理分配、網(wǎng)絡(luò)優(yōu)化等方面具備明顯優(yōu)勢。詳細闡述PVLAN技術(shù)的功能特點及其在具體網(wǎng)絡(luò)中的應(yīng)用。
[關(guān)鍵詞]VLAN PVLAN 通信安全
中圖分類號:TP3文獻標(biāo)識碼:A文章編號:1671-7597(2009)0910040-01
隨著企業(yè)信息化進程步伐的加快,企業(yè)利用網(wǎng)絡(luò)開展的業(yè)務(wù)種類日益豐富,對網(wǎng)絡(luò)數(shù)據(jù)通信的安全性也提出了更高的要求,諸如控制用戶訪問權(quán)限、防范黑客攻擊、控制病毒傳播等,都要求保證網(wǎng)絡(luò)用戶通信的相對安全。PVLAN技術(shù)的引入能夠有效解決上述問題。PVLAN可以實現(xiàn)端口之間的相互隔離,滿足網(wǎng)絡(luò)應(yīng)用的安全性要求,避免用戶信息和數(shù)據(jù)的非授權(quán)訪問,防止非法攻擊和竊取。在使用PVLAN時,各接入端口間不可以相互通信,僅可以通過上聯(lián)端口來訪問網(wǎng)絡(luò)資源。
一、VLAN技術(shù)簡介
VLAN(Virtual Local Area Network)即虛擬局域網(wǎng),是一種將物理局域網(wǎng)邏輯劃分成多個不同的網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)將一個物理的局域網(wǎng)邏輯劃分成多個不同的廣播域,每個廣播域?qū)儆谝粋€VLAN,同一個VLAN內(nèi)的各個工作站可以屬于同一個物理網(wǎng)段,也可以屬于不同的物理網(wǎng)段。VLAN內(nèi)部的廣播和單播流量在數(shù)據(jù)鏈路層是無法轉(zhuǎn)發(fā)到其他VLAN中的,這樣能有效地解決以太網(wǎng)的廣播風(fēng)暴和安全性問題。VLAN技術(shù)在數(shù)據(jù)鏈路層隔離了各個不同VLAN之間的通信,要實現(xiàn)不同VLAN之間的相互通信,必須借助網(wǎng)絡(luò)層的路由功能。網(wǎng)絡(luò)管理員通過對VLAN之間的路由參數(shù)或訪問控制列表的配置,就可以控制不同VLAN之間站點的相互通信,全面管理企業(yè)內(nèi)部不同部門之間的信息互訪和通信安全。
VLAN技術(shù)的局限:隨著網(wǎng)絡(luò)的迅速發(fā)展,用戶對于網(wǎng)絡(luò)數(shù)據(jù)通信的安全性提出了更高的要求,諸如防范黑客攻擊、控制病毒傳播等,都要求保證網(wǎng)絡(luò)用戶通信的相對安全性;傳統(tǒng)的解決方法是給每個客戶分配一個VLAN和相關(guān)的IP子網(wǎng),通過使用VLAN,每個客戶被從第2層隔離開,可以防止任何惡意的行為和Ethernet的信息探聽。然而,這種分配每個客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的可擴展方面的局限。這些局限主要有下述幾方面:1.VLAN的限制:交換機固有的VLAN數(shù)目的限制;2.復(fù)雜的STP:對于每個VLAN,每個相關(guān)的Spanning Tree的拓撲都需要管理;3.IP地址的緊缺:IP子網(wǎng)的劃分勢必造成一些IP地址的浪費;4.路由的限制:每個子網(wǎng)都需要相應(yīng)的默認網(wǎng)關(guān)的配置。
二、PVLAN技術(shù)應(yīng)用
PVLAN即私有VLAN(Private VLAN),PVLAN采用兩層VLAN隔離技術(shù),只有上層VLAN全局可見,下層VLAN相互隔離。采用PVLAN技術(shù)后,同一PVLAN內(nèi)的計算機彼此相互隔離,雖然它們位于同一IP地址段,擁有相同的子網(wǎng)掩碼和默認網(wǎng)關(guān),卻無法實現(xiàn)彼此之間的通信。它們之間的通信只能經(jīng)過默認網(wǎng)關(guān),在三層交換機中才能實現(xiàn)。
(一)PVLAN的結(jié)構(gòu)
PVLAN其實就是定義若干個VLAN,將其中一個VLAN定義為Primary VLAN即主VLAN,其他幾個VLAN為Secondary VLAN,即輔助VLAN,輔助VLAN與主VLAN建立關(guān)聯(lián),成為主VLAN的成員。各個輔助VLAN共享主VLAN的地址資源,包括IP地址、網(wǎng)關(guān)等。而在PVLAN外部,所有的輔助VLAN都被看成是一個VLAN,即主VLAN。
(二)PVLAN端口分類
在Private VLAN的概念中,交換機端口有三種類型:Isolated port,
Community port,Promiscuous port;它們分別對應(yīng)不同的VLAN類型:Isolated port屬于Isolated PVLAN,Community port屬于Community PVLAN,而代表一個Private VLAN整體的是Primary VLAN,前面兩類VLAN需要和它綁定在一起,同時它還包括Promiscuous port。在Isolated PVLAN中,Isolated port只能和Promiscuous port通信,彼此不能交換流量;在Community PVLAN中,Community port不僅可以和Promiscuous port通信,而且彼此也可以交換流量。Promiscuous port與路由器或第三層交換機接口相連,它收到的流量可以發(fā)往Isolated port和Community port。
(三)PVLAN應(yīng)用實例分析
下面就讓我們以一臺Cisco WS-C2950G-24EI為例,來介紹PVLAN的具體配置過程。首先對將要配置的VLAN規(guī)劃一下:建立四個VLAN,VLAN號分別為100、110、120、130,將VLAN 100作為Primary VLAN,VLAN 110和VLAN 130作為Community VLAN,VLAN 120作為Isolated VLAN。實驗中,將交換機的1-6號端口劃到VLAN 100中,7-12號端口劃到VLAN 110中,13-18號端口劃分到VLAN 120中,19-24號端口劃分到VLAN 130中,主VLAN的地址段為192.168.100.0/24,通過兩兩執(zhí)行Ping命令驗證PVLAN對于數(shù)據(jù)通信的控制作用,具體的PC網(wǎng)絡(luò)拓撲如圖和PVLAN的配置步驟如圖1所示:
配置完成后,我們來進行測試,測試結(jié)果如圖2所示:
以上的測試結(jié)果和我們的預(yù)期完全一致,通過實踐也證明了PVLAN能夠滿足在局域網(wǎng)內(nèi)部實現(xiàn)用戶在二層的有效隔離,提高了局域網(wǎng)的安全級別的細化程度。當(dāng)然,PVLAN的應(yīng)用場景遠遠不止這些,在熟悉和理解了PVLAN的原理和配置之后,我們可以將這種特性靈活應(yīng)用,以滿足不同的業(yè)務(wù)需求。
三、結(jié)束語
目前很多廠商生產(chǎn)的交換機支持PVLAN技術(shù),PVLAN技術(shù)在解決通信安全、防止廣播風(fēng)暴和浪費IP地址方面的優(yōu)勢是顯而易見的,而且采用PVLAN技術(shù)有助于網(wǎng)絡(luò)的優(yōu)化,再加上PVLAN在交換機上的配置也相對簡單,PVLAN技術(shù)越來越得到網(wǎng)絡(luò)管理人員的青睞。
參考文獻:
[1]劉曉輝、李利軍,交換機·路由器·防火墻[M].北京:電子工業(yè)出版社,2007.
[2]王文壽、王珂,網(wǎng)管員必備寶典——網(wǎng)絡(luò)組建[M].北京:清華大學(xué)出版社,2006.
[3]Cisco System,Inc.CCNP BCMSN Student Guide Version3.0,2006.