Vlan自动化与可视化配置工具箱.docVIP

A Toolkit for Automating and Visualizing VLAN Configuration Sunil D. Krothapalli, Xin Sun, Yu-Wei E. Sung, Suan Aik Yeo and Sanjay G. RaoSchool of Electrical and Computer Engineering, Purdue UniversityWest Lafayette, Indiana, USA VLAN自动化与可视化配置工具 摘 要 如今，VLAN在企业网中运用的越来越广，然而，它们的配置却仍然相当复杂且容易出错。我们坚信，为了消除这些困难，我们急需一个VLAN的自动化和可视化的配置工具箱。在这篇论文里面，我把我们建立VLAN管理工具的一点经验与大家分享一下，其中包括如何自动化与可视化VLAN的配置任务。我们首先介绍了VLAN常见的错误配置以及他们对于网络性能与安全的影响，接着，我们介绍了一组VLAN自动化配置的算法，这组算法即是这个工具箱的核心后台。工具箱的前台是一组提供了多粒度的可视化VLAN配置的图形用户界面，并且能够通过远程浏览器访问。我们正在将此工具箱应用到一个包含几千个交换机和大约800个VLAN的校园网中。我们一开始的操作经历显示，此工具箱自动化配置和识别常见的错误配置方面还是比较有效的。在此过程中，以下几点特别突出： 在这个网络中有超过40%的VLAN存在冗余的连接，从而可能导致安全和性能方面的问题； 超过30%的网络存在丢失连接的现象，从而导致连通性问题； 超过30%VLAN的根桥位置都不明显都不理想，从而也会带来性能问题。 我们相信，这些已经存在的问题更加说明了这样一个工具箱的必要性。 关键词：VLAN，工具箱，自动化，可视化  引言 VLAN的管理已经成为当今企业网网管所面临的一项独特的任务。VLAN在企业网中运用的越来越广，并且经常用来将地理上分散的用户划分成同一组，从而简化管理任务【9,14】。尽管VLAN非常流行，但是他们的配置却很繁琐并且复杂。一方面，由于企业网络的复杂性和庞大的规模（有一些甚至超过了骨干网）以及与VLAN设计相关的网络依赖性，所以VLAN的配置是复杂的。例如，向VLAN中添加一台主机这样简单的配置也许需要修改网络中的多台交换机的配置（这一过程就是配置“trunk”链接）。另一方面，缺少有效的、可视化的、自动的VLAN配置工具。事实上，基本所有的VLAN配置任务都是以手工方式点对点完成的。 以这种点对点的方式来配置VLAN很容易导致错误，这些错误可能会导致严重的连接问题，安全漏洞和网络时效性。例如，冗余的trunk链接可能会导致属于某个VLAN的数据包被扩散到了网络中的其它地方，这会增加网络遭受ARP病毒【17】和ARP风暴【10】攻击的可能性。而且，缺少可视化和自动化的配置工具让网管员定位和跟踪网络中的错误更加困难。因此，迫切需要开发出这样一个工具来帮助网管员配置VLAN。 在这篇文章里，我们介绍了如何来设计和实现这样一个工具箱，从而让VLAN的配置可视化，自动化，有效化。这个工具箱包括一个后端和一个前端，后端实现了自动化配置VLAN的算法；前端提供了一个可以供网管员提交、浏览、确认他们操作的图形化界面。后端是运行在我们服务器上的一个服务进程，前端可以在远程通过火狐这样的浏览器访问。 这一工具箱已经在普渡大学发布，而且也已经开始被大学网管员使用了。普渡大学的校园网包括大约200个路由器，1300个交换机和800个VLAN。我们最开始的操作经验表明，这一工具箱在自动配置VLAN和识别错误配置方面都很有效。在此过程中，我们发现： （1）在这个网络中有超过40%的VLAN存在冗余的连接，从而可能导致安全和性能方面的问题； （2）超过30%的网络存在丢失连接的现象，从而导致连通性问题； （3）超过30%VLAN的根桥位置都不明显都不理想，从而也会带来性能问题。 我们相信，这些已经存在的问题更加说明了这样一个工具箱的好处。 企业VLAN配置中的一些挑战 在这个部分，我们首先对VLAN的背景做个简单介绍，接着突出介绍一下VLAN的几个核心问题。 VLAN背景 图1 企业VLAN配置的例子 基于用户在组织中的角色（例如，他们可以访问什么资源），我们可以将这些用户分组，考虑到这一点，网管员的配置任务可以简单不少。例如，我们可以这样分组：工程师，销售员，出纳，学生，老师等等。现在，通过把地理上分离的用户放到一个逻辑子网，即使他们连在不同的交换机上，我们也可以通过VLAN来实现逻辑分组。例如，由于企业政策原因，企业某资源只允许销售人员访问，那么允许销售人员接受同一子网的ip也许更合适，这样可以便于路由策略和包过滤器将他