馬全文

摘 要：從分析傳統(tǒng)辦公網(wǎng)絡的現(xiàn)狀入手，基于現(xiàn)狀存在的諸多弊端和限制，提出一種包括動態(tài)VLAN（虛擬局域網(wǎng)） 在內(nèi)的業(yè)界流行局域網(wǎng)技術(shù)，實現(xiàn)局域網(wǎng)靈活辦公，安全辦公。

關(guān)鍵詞：局域網(wǎng) 動態(tài)虛擬局域網(wǎng) NAT DHCP VMPS

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-3973（2013）006-095-02

1 前言

數(shù)據(jù)中心辦公樓是一所綜合性的辦公樓宇，其中包括財務清算中心、數(shù)據(jù)業(yè)務運行支撐中心、網(wǎng)管中心等多個部室進行日常辦公活動。不同部室日常辦公對網(wǎng)絡的訪問需求不同。財務清算中心需要訪問財務報賬平臺、全面預算管理系統(tǒng)、MIS系統(tǒng)等，而數(shù)據(jù)業(yè)務運行支撐中心需要訪問BOSS系統(tǒng)、經(jīng)營分析系統(tǒng)等、網(wǎng)管中心需要訪問各生產(chǎn)系統(tǒng)、業(yè)務系統(tǒng)、網(wǎng)管系統(tǒng)等。同時，網(wǎng)管中心需要較多的廠家工程師協(xié)助進行系統(tǒng)維護、優(yōu)化及故障處理工作。大量的外來人員出入，廠商工程師經(jīng)常更換替換，流動性大，這無形中更增加了管理的難度。

在網(wǎng)絡與信息安全越來越重要，越來越重視的今天，作為掌握客戶和用戶個人信息的通信運營商，我們必須尋求一種安全高效的網(wǎng)絡管理和控制方式，以保證客戶和用戶個人信息安全為基準，為企業(yè)管理好，運營好各項業(yè)務，保證好質(zhì)量，保證好服務。

為滿足以上各種網(wǎng)絡訪問需求，實現(xiàn)各類訪問流量的有效隔離，保證各生產(chǎn)系統(tǒng)的網(wǎng)絡與用戶個人信息安全，做好廠家人員安全管理和訪問控制，必須建立一套健壯、高效的支撐平臺來保證日常維護作業(yè)的實時有效。

2 目標

隨著公司的不斷發(fā)展壯大，公司建設(shè)的生產(chǎn)系統(tǒng)與支撐平臺將更加豐富、龐大，同時這也使得辦公網(wǎng)絡中至各類系統(tǒng)/平臺的訪問需求也日趨復雜多樣化。

同時，隨著IP網(wǎng)絡技術(shù)的不斷發(fā)展、互聯(lián)網(wǎng)INTERNET的不斷普及，企業(yè)已經(jīng)充分的感受到互聯(lián)網(wǎng)所帶來的高效和便利，同時企業(yè)對網(wǎng)絡的建設(shè)和使用也越來越重視，對網(wǎng)絡應用的依賴度越來越高。企業(yè)在依賴開放、互連的網(wǎng)絡環(huán)境，將生產(chǎn)、辦公、個人生活連接到一起，帶來豐富的資源的同時，也帶來了潛在的風險。

本解決方案的目標是通過積極應用動態(tài)VLAN等局域網(wǎng)新技術(shù)，有效實現(xiàn)樓宇辦公網(wǎng)絡用戶接入管理與控制，有效隔離各項業(yè)務訪問流量，保證網(wǎng)絡與信息安全，使我們在企業(yè)綜合組網(wǎng)布局時可以更為靈活、更易管理，來滿足日常負責多樣的需求，使我們的辦公更為便利。

3 亮點

基于以上目標和需求，我們在數(shù)據(jù)中心辦公網(wǎng)中引入了包括動態(tài)VLAN在內(nèi)的多種業(yè)界流行局域網(wǎng)技術(shù)。其中，動態(tài)VLAN技術(shù)采用的是第一種和第三種相結(jié)合定義方法，即基于二層（物理地址）+四層以上（用戶名）捆綁的定義方法。

在采用動態(tài)VLAN技術(shù)的同時，合并其他多種條件進行組合捆綁認證的方式，輔以無線接入，靜態(tài)VLAN配置相結(jié)合的組網(wǎng)方式，是此綜合組網(wǎng)方案亮點的總體概括。

本組網(wǎng)方案詳細的亮點如下：

（1）有線和無線網(wǎng)絡相結(jié)合。

用戶終端可以采用有線，或者無線等方式接入辦公網(wǎng)絡，實現(xiàn)了有線和無線網(wǎng)絡的有機結(jié)合，可以最大限度地發(fā)揮兩種接入方式的優(yōu)點——有線網(wǎng)絡的穩(wěn)定，無線網(wǎng)絡的便利、靈活，使得辦公更自由化，更人性化。

（2）動態(tài)和靜態(tài)VLAN相結(jié)合。

可基于端口，設(shè)定端口動態(tài)VLAN或靜態(tài)VLAN。端口工作方式可以靈活配置。在所接入終端變化頻繁的端口上，設(shè)置為動態(tài)VLAN的方式。在某些固定終端的端口上（例如系統(tǒng)專用維護終端所在端口、應急終端所在端口），設(shè)定端口屬于某個特定（靜態(tài)）VLAN，終端專用。靜態(tài)VLAN方式可以避免因認證系統(tǒng)問題導致無法辦公的情況發(fā)生。動態(tài)VLAN的優(yōu)點也很明顯，就是辦公位置可以隨意調(diào)換，無需任何網(wǎng)絡調(diào)整。動態(tài)VLAN和靜態(tài)VLAN的有效結(jié)合使得辦公網(wǎng)絡終端接入方式更加靈活多樣，發(fā)揮各自方式的優(yōu)勢，最大程度上規(guī)避其缺點。

（3）多種因素組合綁定認證方式。

除了部署動態(tài)VLAN等新技術(shù)外，辦公網(wǎng)絡還需支持基于用戶名、IP地址、設(shè)備端口、VLAN、物理地址（MAC）等多種因素組合綁定的認證方式，使得網(wǎng)絡部署更加安全可靠，解決了基于某種因素認證方式的安全等級低，安全無法保證等問題，極大程度上提升了網(wǎng)絡安全性。

（4）集成用戶上網(wǎng)日志溯源功能。

提供綜合的系統(tǒng)認證數(shù)據(jù)庫、DHCP（動態(tài)主機配置協(xié)議）日志、NAT（網(wǎng)絡地址翻譯）日志，可以實現(xiàn)用戶上網(wǎng)日志的溯源查詢，提供用戶上網(wǎng)審計功能，保障合法有效使用網(wǎng)絡資源，滿足用戶上網(wǎng)日志安全審計要求。

（5）用戶自助功能。

除以上核心功能外，系統(tǒng)還提供用戶上網(wǎng)日志查詢、用戶口令修改、密碼找回、客戶端軟件升級等一系列功能。

4 關(guān)鍵技術(shù)介紹——動態(tài)VLAN技術(shù)

我們可以通過動態(tài)VLAN和靜態(tài)VLAN比較的方式來闡述一下動態(tài)VLAN技術(shù)。

根據(jù)交換機端口的關(guān)聯(lián)屬性來劃分，VLAN分為靜態(tài)VLAN和動態(tài)VLAN。靜態(tài)VLAN指的是某個端口屬于哪個VLAN是相對固定的，通過網(wǎng)絡管理員手工設(shè)置后，就不會自動發(fā)生變化的，必須進行再次修改后，端口和VLAN的關(guān)聯(lián)關(guān)系才會發(fā)生變化。動態(tài)VLAN，某個端口與某個VLAN是沒有固定的關(guān)聯(lián)關(guān)系的，端口具體屬于哪個VLAN，是由接入的用戶類型，或者計算機的屬性來決定的。

目前，靜態(tài)VLAN隨處可見，配置簡單，應用廣泛，可以滿足絕大多數(shù)局域網(wǎng)絡組網(wǎng)需求。但隨著網(wǎng)絡的不斷發(fā)展，信息技術(shù)的更迭，靜態(tài)VLAN的缺點就越發(fā)彰顯，越發(fā)不能讓用戶忍受?？蛻裘看胃乃B端口時，網(wǎng)絡管理員都必須修改網(wǎng)絡配置，改變端口所屬VLAN的屬性，無形中增加了網(wǎng)管的工作量。

相比之下，動態(tài)VLAN則不同，因為它是基于用戶的，而不是基于交換機的端口來設(shè)置的，所以當用戶物理位置移動時（即從一個交換機換到其他的交換機時），VLAN不用重新配置。既減少了網(wǎng)管出錯的機率，也降低了維護成本，提高了維護效率。

因此，就長遠看來，動態(tài)VLAN技術(shù)必將得到更多的應用。

動態(tài)VLAN技術(shù)，根據(jù)實現(xiàn)方法在OSI中層級的不同而主要分為三種，分別是基于二層（物理地址）、基于三層（IP地址）、基于四層以上等三種定義方法。

下面用表格的形式分別表述三種定義方法的優(yōu)缺點。

表1 三種定義方法的優(yōu)缺點

5 不足

動態(tài)VLAN技術(shù)的引入，是我中心在尋求安全、高效的現(xiàn)代化綜合組網(wǎng)方案道路上的一次嘗試，目前還處于初級階段，需要有更多的經(jīng)驗積累，需要投入大量的精力去逐步完善，但我想這一步是關(guān)鍵的，既然關(guān)鍵的一步都已經(jīng)邁出，憑借著我們不斷地努力與實踐，我們必將可以靈活的駕馭動態(tài)VLAN技術(shù)為我所用。

6 推廣價值

網(wǎng)絡技術(shù)的每一次演進與變革都是實踐的結(jié)果，順應網(wǎng)絡演進趨勢的技術(shù)得以不斷發(fā)展、完善。動態(tài)VLAN技術(shù)解決了原有靜態(tài)VLAN技術(shù)，配置復雜，靈活性差等缺點，順應網(wǎng)絡演進趨勢。

希望有更多的單位和部門使用動態(tài)VLAN技術(shù)進行網(wǎng)絡部署，感受新技術(shù)帶給我們的無限便利，暢享網(wǎng)絡新生活。

參考文獻：

[1] 蔣寧，唐文晶.基于VMPS的動態(tài)VLAN在校園網(wǎng)移動辦公中的實施和配置[J].沈陽師范大學學報（自然科學版），2009（01）.

[2] 初明擂.高校網(wǎng)絡辦公自動化系統(tǒng)的設(shè)計與實現(xiàn)[D].北京郵電大學，2009.

[3] 劉興，祁長松，曹陽.移動辦公助力工商執(zhí)法[N].人民郵電，2010.