基于用户模式动态VLAN在电力企业办公中应用.docVIP

基于用户模式动态VLAN在电力企业办公中应用 　　摘要：文章通过对VLAN现状及其工作原理进行概述，研究了基于用户模式的动态VLAN在电力企业网络管理中的应用，对电力企业的局域网改造进行了可行性分析，并说明了改造后的优势。 　　关键词：动态VLAN；电力企业；用户模式；企业办公；广播域 　　中图分类号：TP393 文献标识码：A 文章编号：1009-2374（2013）03-0042-03 　　VLAN是指不同物理位置的节点根据需要组成不同的逻辑子网，一个VLAN可以作为一个逻辑广播域，覆盖多个网络设备。VLAN允许处于不同地理位置的网络用户加入到一个逻辑子网中，共享一个广播域。VLAN在电力企业的办公网络环境中得到广泛应用，现以××供电局为例，阐述动态VLAN在电力企业办公网络中的应用情况。 　　1 VLAN的概述 　　1.1 VLAN介绍 　　在企业网络兴起之初，由于企业网络规模小、网络安全及管理贫乏等原因，使企业网络仅限于??换模式的状态，交换技术主要包括基于ATM的信元交换和基于以太网的帧交换两种方式。在企业规模不断扩大、多媒体在企业局域网中应用的情况下，企业每个部门内部的数据传输量非常大，财务部门越来越高的安全性要求和其他部门分开使用以太网段，以防止数据窃听。这些问题需要更为灵活地配置局域网，由此产生了虚拟局域网技术，VLAN划分承担了网络安全区域隔离的工作。VLAN分为静态VLAN和动态VLAN，静态VLAN指交换机中的端口属于固定的VLAN，而动态VLAN是根据策略来自动动态地划分端口在哪个VLAN中工作。目前，静态VLAN的应用较为广泛，设置也十分简单，但是其最大的缺点是交换机端口的属性必须由网络管理员进行人工设置，如果网络终端改变区域进行办公时，必须对交换机进行重新配置，不适合需要频繁改变拓扑结构的网络。动态VLAN可以分为基于MAC地址、IP地址及用户三种形式。本文着重介绍基于用户认证模式的动态VLAN，当终端用户处于基于用户认证的动态VLAN环境中，随着物理位置的改变，VLAN不需要重新进行配置，此方式减少了维护成本和人工出错的几率，从长远发展来看，静态VLAN技术适合在办公环境比较固定的环境中使用，动态VLAN技术适合人员流动性较大的公共办公场所的接入 　　环境。 　　1.2 VLAN现状及需求 　　××供电局目前网络环境复杂，但都采用静态VLAN的接入方式，结合802.1x准入实施以后，办公终端接入安全得到有效控制，但是仍无法完全满足公共办公场所对网络灵活性的要求。例如在会议室的环境下，来自各部门的开会人员的PC都必须从DHCP服务器上获取IP地址，而会议交换机端口都固定配置某个单一VLAN，当工作人员物理位置改变时需要网络管理人员对其进行IP地址的重新分配或者网络端口VLAN的重新划分，这对正常工作和网络管理都增加了较大的成本。 　　1.3 动态VLAN工作原理 　　动态VLAN的实现技术根据实现方法在OSI中的层级的不同而主要分为三种： 　　第一种是在OSI的第二层设定访问链接的办法——基于MAC地址的网络接入。它根据终端用户设备的MAC地址来定义成员资格（而MAC地址的取得一般是提取用户设备的网卡地址），也就是说当设备连入一个交换机端口时，该交换机必须查询它的一个数据库以建立VLAN的成员资格。因此，网络管理员必须先把用户的MAC地址分配到VLAN成员资格策略服务器（VMPS，VLAN Membership Policy Server）的数据库中的一个VLAN上。这样网管员就要先收集要接入VLAN的所有网卡的MAC地址并登录，而且如果计算机换了网卡，就得重新设定。这样无疑加重了网管员的工作量，对经常更换网卡的笔记本用户更是极为不便。 　　第二种动态VLAN的网络接入方式则是通过所连计算机的IP地址来决定端口所属VLAN。此办法在OSI的第三层设定访问链接来实现。不像基于MAC地址的VLAN，即使计算机因为换了网卡或是其他原因导致MAC地址改变，只要它的IP地址不变，就仍可以加入原先设定的VLAN。这个办法与基于MAC地址的网络接入相比，可以更为简单地改变网络结构。 　　第三种接入方式则在OSI的第四层以上实现，它就是基于用户VLAN的网络接入。此办法根据交换机各端口所连的计算机上当前登录的用户（这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名）来决定该端口属于哪个VLAN。也就是说，只要使用自己的用户名登陆系统，使用者不管在哪个电脑、哪个IP的电脑上都可以自由地接入到属于自己的VLAN网络中去。这种方式不论是对使用者还是网络管理员来说都非常方便，是三种实现方式中相对较好的一个接入方式。 　　2 网络改造 　　2.1