县级供电企业网络中VLAN技术的应用剖析.docVIP

县级供电企业网络中VLAN技术的应用剖析 　　摘 要：随着电力企业信息化建设逐渐朝数据共享和业务融合方向发展，信息系统对企业各项业务的开展产生支撑作用。县级供电公司在信息系统中处于末端应用环节，所以公司必须构建一个安全、可靠、高速的网络，使系统稳定运行的需求得到满足。VLAN是在以太网的广播问题及安全性的前提下所形成的一种协议，主要在以太网帧的基础上增加了VLAN头，并通过VLANId划分用户为较小的工作组，限制了不同工作组间的互相访问，也就是每个工作组是一个虚拟局域网，进而将广播范围得到有效限制，实现网络动态管理的作用。 　　关键词：县级；供电企业；VLAN技术 　　一、VLAN的定义及优势 　　VLAN即虚拟局域网，通过虚拟局域网，用户可在网络中快速地组建宽带网络，而无需进行相应的硬件和通信线路的调节和设置。如此，网络管理员即可越过考虑物理连接方式的步骤，而直接从逻辑上对网络资源和用户进行分配，其充分体现了现代网络技术的高速度、高灵活性，以及管理便捷和易扩展的特点，尤其可有效防止某网段PC短时间使用率过高导致的广播风暴，大大提高了网络性能。 　　二、VLAN的划分形式 　　1.通过端口划分VLAN 　　通过端口划分VLAN是很多VLAN厂商的主要划分形式，一般此种划分都通过交换机的端口来实现，起初设定的端口均在同个广播域中，这就将虚拟网捆绑在了一台交换机上，第二代端口VLAN技术则弥补了第一代的不足，可跨越多个交换机进行多个不同端口的VLAN划分，并将不同交换机的多个端口组成同一个虚拟网。当前，这种端口划分VLAN的形式应用最广。 　　2.通过MAC地址划分VLAN 　　根据MAC地址即通过每个主机的MAC地址划分VLAN，其优点是当用户发生物理位移时，即从交换机A换到交换机B时，VLAN无需重新配置，简言之，这种形式的划分是从用户角度出发的VLAN。当然，这种方式亦存在一定的缺陷，即需要所有用户进行相应的配置，显然这操作起来十分麻烦，如用户更换网卡即要进行新的配置，此外其还会导致交换机执行效率下降，进而无法对广播包进行有效的控制。此外，还可通过网络层和IP组播划分VLAN，但两者的效率相对较低。 　　三、VLAN在网络管理中的应用 　　该公司下属公司多，业务种类多，根据业务发展需要，经过认真规划，将联网后的统一网络划分为30个VLAN。划分原则为：本部以楼层为单位进行VLAN划分，各下属公司以业务的不同来划分VLAN，不同的VLan具有不同的安全级别。其中生产用机及各种服务器所在的VLAN具有的安全级别较高。同时利用Cisco6509自身的访问控制功能，设置访问列表对特定的VLAN用户进行保护，对特定的端口135、445、1434等进行控制，保证了整个网络中各个VLAN用户的安全隔离。VLAN划分的有4种策略：基于端口的VLAN划分、基于MAC地址的VLAN划分、基于路由的VLAN划分、基于策略的VLAN划分。该采用的方式是基于端口的VLAN划分的方式。 　　基于端口的VLAN划分是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换机端口进行重新分配即可，不用考虑该端口所连接的设备。在交换机投入运行前就把它的物理端口根据需要划分给指定的VLAN并分配给用户。这种划分使网络管理员能够随时掌握网络的负载情况，有利于网络的优化使用，并具有较高的安全性，虽然在一定程度上增加了管理员的工作量。举例来说，下属公司分布在不同城不同的地理位置，但考虑到方便管理，这些公司的OA服务器均使用一个VLAN的IP；对需要其他权限的OA服务器单独分配其他网段的IP，所有这些网络应用的实现均是依靠基于交换机端口VLAN的划分来实现的。另一方面，对静态VLAN技术的应用（即基于端口的VLAN划分）来说，交换机不能分辨出被盗用IP地址的非法接人。一个用户盗用同一子网某特权用户的IP地址后就可以伪装成这个VLAN的特权用户，非法访问网络中的服务器，并造成IP地址的冲突。为了解决这个问题，就利用用户一般不会改变计算机MAC地址的特点，采用了对大部分用户的IP地址和MAC地址与交换机端口绑定的方法，弥补了静态VLAN的这一缺陷，有效地防止了这种情况的发生。满足了对不同VLAN设置不同访问权限，那么VLAN与VLAN之间又是如何实现相互间的访问呢？ 　　在一般的二层交换机组成的网络中，VLAN实现了网络流量的分割，不同的VLAN间是不能互相通信的。要实现VLAN间的通信必须借助：1）路由器来实现；2）三层交换机。下属公司采用的是使用三层交换机的方式。利用三层交换机实现VLAN间通信，三层交换机是将第二层交换机和第三层路由器两者的优势有机而智能化地结合起来，可在各个层次提供线速性能。三层交换机内，分别设置了交换机模块