(Yiyang,Hunan Electric Power Company Customer Service Center,Yiyang413000,China)
Abstract:This paper VLAN (Virtual LAN) technology is characterized in detail,on this basis,the author analyzed according to their own experience in the practical application of VLAN technology in the operation of that VLAN technology in large enterprises the importance of network management Sex.
Keywords:VLAN;Network management;Application
一、某供电局VLAN的发展案例
近年来,随着该局各种办公和应用系统的上线,大家对各种应用系统的依赖程度也越来越大,而作为各种软件应用系统支撑平台的计算机网络的地位和作用也就显得更加重要,因为只有保证了网络的正常和稳定,才能够保证各种应用系统为工作提供不间断的服务。该局局域网络已成为城乡供电局日常业务开展不可或缺的基础设施。随着网络结构及其日常维护工作日益复杂,给企业网的安全、稳定和高效运行带来新的隐患。如何消除这些隐患呢?该局在原来未进行交换机升级之前,也就是未进行VLAN划分之前,存在以下问题:
(一)整个局域网是一个大的广播域;
(二)各个不同业务应用之间不能进行有效的安全隔离;
(三)整个网络对病毒、蠕虫的大规模攻击抵御能力很差,很容易造成对局域网的不可控制。从而影响我局各种生产业务的正常开展。
于是进行交换机的升级,即采用VLAN划分技术来为此排忧解难。
按照70%网络流量在VLAN网络内部流动、30%的流量在VLAN之间流动的原则,VLAN逻辑上可以按工作流程、职能部门或地理位置等依据来进行划分。划分技术可采取基于交换机端口、基于网卡MAC物理地址以及基于第三层即网络协议层来进行实施,在这3种划分技术中,尤以基于交换机端口的实现方式最为灵活,维护起来比较方便快捷,因而在VLAN的设计中,得到了普遍的应用。
虽然VLAN技术可以有效地控制网络数据流量,节省骨干网的网络带宽,但是,这要以合理地对城域网实施VLAN划分为前提条件。而且,提高VLAN运行效率的关键在于,尽可能地使一个VLAN内的网络流量只在其内部消化完成,减少VLAN之间的访问流量,这就要求设计人员要清楚网络内各用户群的工作方式、工作流程以及他们基于网络方面的应用等等,只有这样,才能设计出高效率的VLAN。
通过需求分析发现,基层单位的大部分生产管理应用系统都集中在当地局域网内部完成,只有少量的数据需要由异地汇集到局机关信息中心,这就为有效地划分VLAN提供了可靠的依据。
二、VLAN在该供电局网络管理中的应用
该局基层多,业务种类多,根据业务发展需要,经过认真规划,将联网后的统一网络划分为60个VLAN。划分原则为:局本部以楼层为单位进行VLAN划分,各基层以业务的不同来划分VLAN,不同的VLAN具有不同的安全级别。其中生产用机及各种服务器所在的VLAN具有的安全级别较高。同时利用Cisco 6509自身的访问控制功能,设置访问列表对特定的VLAN用户进行保护,对特定的端口进行控制,保证了整个网络中各个VLAN用户的安全隔离,例如属于用电营销VLAN的计算机只能访问电营销数据库服务器、防病毒服务器等极少数必须访问的服务器,通过做访问控制,提高了用电营销VLAN的安全性,保证用电营销工作能够安全、顺利开展。
VLAN划分的有4种策略:基于端口的VLAN划分、基于MAC地址的VLAN划分、基于路由的VLAN划分、基于策略的VLAN划分。该局采用的方式是基于端口的VLAN划分的方式。
基于端口的VLAN划分是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换机端口进行重新分配即可,不用考虑该端口所连接的设备。该局在交换机投入运行前就把它的物理端口根据需要划分给指定的VLAN并分配给用户。这种划分使网络管理员能够随时掌握网络的负载情况,有利于网络的优化使用,并具有较高的安全性,虽然在一定程度上增加了管理员的工作量。
举例来说,该局营业网点分布在市内不同的地理位置,但考虑到方便管理,把这些营业厅的收费用机均使用一个VLAN的IP;同在营业厅对需要其他权限的计算机单独分配其他网段的IP,所有这些网络应用的实现均是依靠基于交换机端口VLAN的划分来实现的。
另一方面,对静态VLAN技术的应用(即基于端口的VLAN划分)来说,交换机不能分辨出被盗用IP地址的非法接入。一个用户盗用同一子网某特权用户的IP地址后就可以伪装成这个VLAN的特权用户,非法访问网络中的服务器,并造成IP地址的冲突。为了解决这个问题,该局利用用户一般不会改变计算机MAC地址的特点,采用了对大部分用户的IP地址和MAC地址与交换机端口绑定的方法,弥补了静态VLAN的这一缺陷,有效地防止了这种情况的发生。
满足了对不同VLAN设置不同访问权限,那么VLAN与VLAN之间又是如何实现相互间的访问呢?
在一般的二层交换机组成的网络中,VLAN实现了网络流量的分割,不同的VLAN间是不能互相通信的。要实现VLAN间的通信必须借助:(1)路由器来实现;(2)三层交换机。
该局采用的是使用三层交换机的方式。利用三层交换机实现VLAN间通信,三层交换机是将第二层交换机和第三层路由器两者的优势有机而智能化地结合起来,可在各个层次提供线速性能。三层交换机内,分别设置了交换机模块和路由器模块;而内置的路由模块与交换模块类似,也使用ASIC硬件处理路由。因此,与传统的路由器相比,可以实现高速路由。并且,路由与交换模块是汇聚链接的,由于是内部连接,可以确保相当大的带宽。用三层交换机的路由功能来实现VLAN间的通信。
该局核心交换机选用Cisco 6509三层交换机,接入层交换机选择了Cisco 3750和Cisco 2950系列交换机,其中Cisco 3750交换机为带路由功能的三层交换机,用于数据流量较大的分局,而Cisco 2950为二层交换机,主要用于通过千兆光纤与中心交换机的直接连接,通过这样的连接方式,该局的整个局域网就能很好的协同工作。
VLAN对于网络使用者来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别,但对于网络管理人员则有很大的不同,因为这主要取决于VLAN的几点优势。
(一)控制广播风暴
网络管理必须解决因大量广播信息带来带宽消耗的问题。VLAN作为一种网络分段技术,可将广播风暴限制在一个VLAN内部,避免影响其他网段。与传统局域网相比,VLAN能够更加有效地利用带宽。在VLAN中,网络被逻辑地分割成广播域,由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送,而不是向网上的所有工作站发送。这样可减少主干网的流量,提高网络速度。 (责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)