尹常紅

摘要：全省各區(qū)縣氣象局信息網(wǎng)絡(luò)系統(tǒng)使用一個(gè)網(wǎng)段，這對(duì)安全應(yīng)用存在一定的隱患。在沒(méi)有三層交換機(jī)的情況下，應(yīng)用單臂路由技術(shù)，在二層交換機(jī)劃分VLAN，連接支持802.1q的路由器，在路由器的一個(gè)端口配置不同的子接口，根據(jù)ACL實(shí)現(xiàn)VLAN之間有條件互訪，隔離廣播風(fēng)暴。探討單臂路由技術(shù)，配置單臂路由應(yīng)用環(huán)境，總結(jié)單臂路由技術(shù)應(yīng)用的優(yōu)缺點(diǎn)，為各區(qū)縣局信息網(wǎng)絡(luò)深層開(kāi)發(fā)應(yīng)用提供參考。

關(guān)鍵詞：VLAN；ACL；三層交換機(jī)；單臂路由

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)01-0172-05

1區(qū)縣氣象局的信息網(wǎng)絡(luò)現(xiàn)狀

在全省寬帶網(wǎng)建設(shè)中，各區(qū)縣局的應(yīng)用模式較為相似，組建局域網(wǎng)，接入各業(yè)務(wù)服務(wù)及政務(wù)辦公系統(tǒng)。在區(qū)縣局配置博達(dá)1721路由器，通過(guò)中國(guó)移動(dòng)的2M SDH接入市氣象局，通過(guò)ADSL或者政務(wù)網(wǎng)專線接入互聯(lián)網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)較為簡(jiǎn)單，拓?fù)鋱D如圖1所示。

圖1

在實(shí)際應(yīng)用中，局域網(wǎng)內(nèi)的PC與省局或市局進(jìn)行數(shù)據(jù)交換時(shí)，通過(guò)1721路由器路由選擇到市局業(yè)務(wù)網(wǎng)；發(fā)出互聯(lián)網(wǎng)訪問(wèn)請(qǐng)求時(shí)，由1721路由器路由到ADSL互聯(lián)網(wǎng)或政務(wù)專線，實(shí)現(xiàn)同時(shí)可以訪問(wèn)業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)，在工作中較為便捷。

2新的應(yīng)用需求

隨著現(xiàn)代氣象業(yè)務(wù)的發(fā)展，區(qū)縣局承擔(dān)的業(yè)務(wù)服務(wù)工作逐步增加，因此對(duì)信息網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全提出了更高的要求。但是區(qū)縣局人員在網(wǎng)絡(luò)安全應(yīng)用上的能力較為薄弱，而且在對(duì)基礎(chǔ)業(yè)務(wù)的投入上也略顯不足，因此，在現(xiàn)有基礎(chǔ)上加強(qiáng)業(yè)務(wù)服務(wù)系統(tǒng)的安全是擺在區(qū)縣局面前的一項(xiàng)十分緊迫的任務(wù)。不可否認(rèn)，在各區(qū)縣局也采取了一些相應(yīng)的安全措施，比如安裝防病毒軟件，做好業(yè)務(wù)系統(tǒng)的備份等，但是由于區(qū)縣局所有的計(jì)算機(jī)設(shè)備都處在一個(gè)網(wǎng)段上，如果局域網(wǎng)上存在著安全隱患，這將對(duì)網(wǎng)內(nèi)所有設(shè)備都是一個(gè)威脅。

另外由于工作性質(zhì)的不同，基礎(chǔ)業(yè)務(wù)用機(jī)的信息交換在業(yè)務(wù)內(nèi)網(wǎng)工作較多，而對(duì)互聯(lián)網(wǎng)的訪問(wèn)需求相對(duì)較?。慌c此相反的是，行政辦公用機(jī)對(duì)互聯(lián)網(wǎng)的需求較大，而互聯(lián)網(wǎng)上的不安全因素較多，如果防范不力的話，很容易感染病毒，如果病毒在局域網(wǎng)中蔓延和擴(kuò)散的話，容易引起基礎(chǔ)業(yè)務(wù)用機(jī)感染病毒。此外由于所有的設(shè)備都處在同一網(wǎng)段，很容易產(chǎn)生網(wǎng)絡(luò)廣播風(fēng)暴，極大地影響業(yè)務(wù)服務(wù)工作的開(kāi)展。

3單臂路由技術(shù)應(yīng)用

3.1 VLAN與三層交換

為了保證部分主機(jī)的安全性以及分割內(nèi)部廣播包提高網(wǎng)絡(luò)傳輸速度，較好的做法是劃分VLAN（Virtual Local Area Network虛擬局域網(wǎng)），分配不同子網(wǎng)。通過(guò)劃分VLAN可以讓在同一臺(tái)交換機(jī)不同端口的客戶機(jī)不能互相訪問(wèn)，有效地隔離網(wǎng)絡(luò)。

通過(guò)VLAN劃分網(wǎng)絡(luò)固然可以解決安全和廣播風(fēng)暴的頻繁出現(xiàn)，但是對(duì)于那些既希望隔離又希望對(duì)某些客戶機(jī)進(jìn)行互通的應(yīng)用來(lái)說(shuō)，劃分VLAN的同時(shí)為不同VLAN建立互相訪問(wèn)的通道也是必要的。

一般情況下，實(shí)現(xiàn)上述功能需要使用三層交換機(jī)來(lái)實(shí)現(xiàn)，但是全省區(qū)縣局幾乎沒(méi)有配備或購(gòu)買三層交換機(jī)，一般都是采用的二層交換機(jī)甚至最普通的“傻瓜”接入交換機(jī)，后期建設(shè)的區(qū)縣局購(gòu)買的是二層可管理型交換機(jī)。由于三層交換機(jī)價(jià)格較昂貴，一般只應(yīng)用在了市州及以上的氣象部門，另外，在區(qū)縣局如果要購(gòu)買三層交換機(jī)實(shí)現(xiàn)VLAN互通功能的話，以前的二層設(shè)備將被丟棄。這樣就造成了極大的浪費(fèi)。

理論上講一臺(tái)三層交換機(jī)可以看做是一個(gè)二層交換機(jī)加上一個(gè)路由模塊，實(shí)際使用中很多廠商也是通過(guò)將路由模塊內(nèi)置于交換機(jī)中實(shí)現(xiàn)三層功能的。在傳輸數(shù)據(jù)包時(shí)先發(fā)向這個(gè)路由模塊，由其提供路由路徑然后再由交換機(jī)轉(zhuǎn)發(fā)相應(yīng)的數(shù)據(jù)包。

在區(qū)縣局一般都配備了路由器和交換機(jī)，如果后期購(gòu)買的交換機(jī)是可以進(jìn)行網(wǎng)管的二層交換機(jī)，在二層交換機(jī)上劃分VLAN，VLAN技術(shù)是路由交換中非常基礎(chǔ)的技術(shù)。在網(wǎng)絡(luò)管理實(shí)踐中，通過(guò)在交換機(jī)上劃分適當(dāng)數(shù)目的VLAN，不僅能有效隔離廣播風(fēng)暴，還能提高網(wǎng)絡(luò)安全系數(shù)及網(wǎng)絡(luò)帶寬的利用效率。劃分VLAN之后，VLAN與VLAN之間的通信只能通過(guò)路由或三層交換來(lái)實(shí)現(xiàn)。

3.2單臂路由概念

單臂路由是解決VLAN間通信的一種廉價(jià)而實(shí)用的解決方案。所謂單臂路由就是僅需要一個(gè)物理的路由接口就能將所有的VLAN連通，實(shí)現(xiàn)方法是配置多個(gè)邏輯子接口。當(dāng)VLAN之間有部分主機(jī)需要通信，如果交換機(jī)不支持三層交換，而且路由器又沒(méi)有多余的端口，這時(shí)可采用支持802.1q（即Virtual Bridged Local Area Networks協(xié)議）的路由器實(shí)現(xiàn)VLAN的互通。路由器與交換機(jī)之間通過(guò)外部線路連接，該外部線路只有一條，可以在路由器以太網(wǎng)端口上建立子接口，并分配IP地址作為VLAN網(wǎng)關(guān)，同時(shí)啟動(dòng)802.1q協(xié)議，這些子接口在邏輯上是分開(kāi)的，需要路由的數(shù)據(jù)包通過(guò)該線路到達(dá)路由器，經(jīng)路由后再通過(guò)此線路返回交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。即：數(shù)據(jù)包從這個(gè)端口進(jìn)去，也從同一個(gè)口出來(lái)。這種方式稱為單臂路由。

下圖即為單臂路由的工作模式。

圖2

在二層交換機(jī)上劃分VLAN1-3，PC1和PC2分別屬于vlan1和vlan2，由于二層交換機(jī)不具有路由功能，因此vlan1和vlan2是不能通信的，如果要實(shí)現(xiàn)vlan之間數(shù)據(jù)交換，需要路由器來(lái)轉(zhuǎn)發(fā)vlan之間的數(shù)據(jù)包，路由器與交換機(jī)之間使用單條鏈路相連，所有的數(shù)據(jù)包從f0/0進(jìn)去，又從f0/0出來(lái)，不象傳統(tǒng)網(wǎng)絡(luò)拓?fù)渲袛?shù)據(jù)包從某個(gè)接口進(jìn)入，從另一個(gè)接口離開(kāi)路由器，感覺(jué)只有一個(gè)“臂膀”，因此這種拓?fù)浞绞骄褪菃伪勐酚伞?/p>

3.3單臂路由的應(yīng)用配置

在區(qū)縣氣象局劃分三個(gè)VLAN，VLAN1為缺省，VLAN2接入業(yè)務(wù)網(wǎng),VLAN3接入行政網(wǎng)，IP網(wǎng)段分別假設(shè)為192.168.2.0/24和192.168.3.0/24（IP網(wǎng)段只作為一個(gè)示例，可以根據(jù)省局統(tǒng)一分配給各區(qū)縣局的IP網(wǎng)段來(lái)調(diào)整）。交換機(jī)為博達(dá)S2026，路由器為博達(dá)1721。應(yīng)用單臂路由技術(shù)后的拓?fù)浣Y(jié)構(gòu)如下

主要配置內(nèi)容如下：

交換機(jī)的配置

VLAN的配置

interface FastEthernet0/1

!

interface FastEthernet0/2

switchport pvid 2

!

interface FastEthernet0/3

switchport pvid 3

!

……

!

interface FastEthernet0/23

!

interface FastEthernet0/24

switchport mode trunk

!

interface VLAN1

ip address 192.168.2.2 255.255.255.0

!

vlan 1-3

!

首先配置VLAN，二層交換機(jī)的VLAN除了VLAN1可以配置一個(gè)管理地址外，其它的VLAN不能配置ip。為了看得清楚，就配置了VLAN2和VLAN3，并分別將f0/2和f0/3端口加入到VLAN2和VLAN3中，將f0/24配置成trunk模式，以這個(gè)端口連接路由器，作為單臂路由的“單臂”。

查看VLAN的狀態(tài)以及VLAN之間的標(biāo)簽情況：

可以很直觀地看見(jiàn)f0/2和f0/3分別屬于VLAN2和VLAN3，由于f0/24配置成trunk模式，因此，它屬于所有的VLAN（目前只配置了VLAN1-3）。而且還可以看到f0/24是可以識(shí)別f0/2和f/3的VLAN2和VLAN3的入標(biāo)簽的。

交換機(jī)的其他配置略。

有些可網(wǎng)管交換機(jī)提供了非常直觀的web界面，下圖是H3C的S1526交換機(jī)的管理界面，可以非常方便地新建基于端口的VLAN，例如下圖就新建了VLAN2，并且將f0/2加入到了VLAN2。

圖6

路由器的配置

interface FastEthernet0/0 no ip address

no ip directed-broadcast!

interface FastEthernet0/0.2

ip address 192.168.2.254 255.255.255.0 no ip directed-broadcast encapsulation dot1Q 2 bandwidth 100000

delay 1

!

interface FastEthernet0/0.3

ip address 192.168.3.254 255.255.255.0 no ip directed-broadcast encapsulation dot1Q 3 bandwidth 100000

delay 1

!

配置兩個(gè)子接口f0/0.2和f0/0.3，分別配置ip地址192.168.2.254和192.168.3.254，這兩個(gè)ip將作為兩個(gè)VLAN中PC的網(wǎng)關(guān)地址。在這兩個(gè)子接口中分別封裝802.1q協(xié)議，其中的序號(hào)2和3分別對(duì)應(yīng)交換機(jī)中的VLAN2和VLAN3。

在路由器上可以配置多個(gè)邏輯子接口，每個(gè)子接口對(duì)應(yīng)于一個(gè)VLAN。由于物理路由接口只有一個(gè)，各子接口的數(shù)據(jù)在物理鏈路上傳遞要進(jìn)行標(biāo)記封裝。子接口是在一個(gè)物理接口上配置出來(lái)的多個(gè)邏輯上的虛擬接口，這些虛擬接口共用物理接口的物理層參數(shù)，又可以分別配置各自的鏈路層和網(wǎng)絡(luò)層參數(shù)。這樣的多個(gè)虛擬接口對(duì)應(yīng)的是同一個(gè)物理接口，因此，這些子接口之間是不需要路由的。

子接口不同于對(duì)端口配置secondary，即不同于給一個(gè)接口同時(shí)配置多個(gè)ip。路由器的其它配置略。

3.4應(yīng)用測(cè)試

在實(shí)際應(yīng)用中，業(yè)務(wù)網(wǎng)段內(nèi)的PC，ip網(wǎng)段為192.168.1.0/24，網(wǎng)關(guān)指向路由器的f0/2子接口ip 192.168.2.254/24；行政網(wǎng)段內(nèi)的PC，ip網(wǎng)段為192.168.3.0/24，網(wǎng)關(guān)指向路由器的子接口f0/3的ip 192.168.2.254/24。

這樣便在二層交換機(jī)上劃分了兩個(gè)VLAN，兩個(gè)VLAN之間的數(shù)據(jù)表通過(guò)1721路由器進(jìn)行單臂路由。在兩個(gè)VALN中分別找到兩臺(tái)PC，192.168.2.1和192.168.3.1作測(cè)試。

測(cè)試結(jié)果：ipconfig查看ip為192.168.2.1，網(wǎng)關(guān)192.168.2.254，ping 192.168.3.1通，測(cè)試成功。tracert跟蹤路由，vlan之間的數(shù)據(jù)經(jīng)過(guò)1721路由器（f0/0.2子接口）作路由。

兩個(gè)VLAN與外界的數(shù)據(jù)交換與配置單臂路由之前相同，由1721路由器的靜態(tài)路由來(lái)指明下一跳地址，選擇到市局業(yè)務(wù)網(wǎng)還是訪問(wèn)互聯(lián)網(wǎng)，其它配置與應(yīng)用單臂路由配置之前相同（略。）

3.5訪問(wèn)控制列表

訪問(wèn)控制列表（ACL）是應(yīng)用在路由器接口的指令列表，這些指令列表用來(lái)告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號(hào)等的特定指示條件來(lái)決定。例如定義訪問(wèn)列表acl2

ip access-list extended acl2

permit ip 192.168.2.1 255.255.255.255 192.168.3.0 255.255.255.0 permit ip 192.168.2.5 255.255.255.255 192.168.3.0 255.255.255.0 permit ip 192.168.2.0 255.255.255.0 192.168.3.8 255.255.255.255 permit ip 192.168.2.0 255.255.255.0 192.168.3.9 255.255.255.255 deny ip any 192.168.3.0 255.255.255.0!

將該ACL應(yīng)用到1721路由器的f0/0.2端口下，可以實(shí)現(xiàn)以下訪問(wèn)控制：

192.168.2.1和192.168.2.5兩臺(tái)PC可以訪問(wèn)192.168.3.0/24網(wǎng)段的所有PC；192.168.3.8和192.168.3.9兩臺(tái)PC可以訪問(wèn)192.168.2.0/24網(wǎng)段的所有PC；兩個(gè)網(wǎng)段的其它PC之間禁止訪問(wèn)。

4單臂路由應(yīng)用小結(jié)

單臂路由是一種較為便捷的廉價(jià)的在二層交換機(jī)上劃分VLAN和實(shí)現(xiàn)VLAN間相互通信的技術(shù)方式，將該技術(shù)應(yīng)用到各區(qū)縣局現(xiàn)有網(wǎng)絡(luò)環(huán)境，可以較好地實(shí)現(xiàn)劃分VLAN隔離廣播域，分網(wǎng)段管理等功能。

劃分VLAN，實(shí)現(xiàn)VLAN之間相對(duì)獨(dú)立，再通過(guò)單臂路由技術(shù)實(shí)現(xiàn)了VLAN之間互通，感覺(jué)與原來(lái)一個(gè)網(wǎng)段沒(méi)有區(qū)別。事實(shí)上，劃分VLAN之后可以將業(yè)務(wù)網(wǎng)和行政網(wǎng)單獨(dú)隔離出來(lái)，兩個(gè)網(wǎng)段的廣播域互不干擾，對(duì)抑制網(wǎng)絡(luò)廣播風(fēng)暴具有一定意義。此外，劃分VLAN之后，可以在路由器上配置ACL，實(shí)現(xiàn)VLAN之間的PC訪問(wèn)權(quán)限，可以指定一個(gè)VLAN的PC能否訪問(wèn)另一個(gè)VLAN（或其中的PC），即可方便控制允許和禁止訪問(wèn)，這在單網(wǎng)段中是不能達(dá)到的。

單臂路由的缺點(diǎn)也是顯而易見(jiàn)的，主要體現(xiàn)在它非常消耗路由器CPU與內(nèi)存的資源，在一定程度上影響了網(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)男?。但是單臂路由仍然是網(wǎng)絡(luò)升級(jí)經(jīng)費(fèi)緊張時(shí)一個(gè)不錯(cuò)的選擇。單臂路由方式僅僅是對(duì)現(xiàn)有網(wǎng)絡(luò)升級(jí)時(shí)采取的一種策略，在區(qū)縣局內(nèi)部網(wǎng)絡(luò)中劃分了VLAN，當(dāng)VLAN之間有部分主機(jī)需要通信,但交換機(jī)不支持三層交換，這時(shí)我們使用該方法來(lái)解決實(shí)際問(wèn)題。雖然單臂路由存在著這樣或那樣的缺點(diǎn)，但是通過(guò)試驗(yàn)，在各區(qū)縣局使用博達(dá)1721路由器進(jìn)行單臂路由還是可以滿足工作需要的，而且單臂路由技術(shù)應(yīng)用很少改動(dòng)原有網(wǎng)絡(luò)布線結(jié)構(gòu)，可以最大程度維持各區(qū)縣局業(yè)務(wù)服務(wù)系統(tǒng)的穩(wěn)定性。

本文探討的單臂路由方案可以作為今后網(wǎng)絡(luò)升級(jí)改造的一個(gè)過(guò)渡，單臂路由技術(shù)可以為各區(qū)縣局信息網(wǎng)絡(luò)深層開(kāi)發(fā)應(yīng)用提供參考。

參考文獻(xiàn)：

[1]賀春光,張布軍.單臂路由配置方法和常見(jiàn)問(wèn)題[J].中國(guó)數(shù)據(jù)通信,2003,(11).

[2]蘇文芝,郭飛燕.園區(qū)網(wǎng)間單臂路由技術(shù)的替代解決方案[J].電腦知識(shí)與技術(shù), 2008,(34).

[3]劉登立.應(yīng)用VLAN和三層交換的企業(yè)網(wǎng)絡(luò)安全[J].中國(guó)高新技術(shù)企業(yè), 2008,(15).

[4]李亞鵬.企業(yè)局域網(wǎng)本地路由的配置[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào),2008,(3).

[5]張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版社,2004:339.

[6]上海博達(dá)數(shù)據(jù)通信有限公司.博達(dá)產(chǎn)品用戶手冊(cè)[M].2003:658