版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、<p> 畢 業(yè) 設(shè) 計(jì)(論文)</p><p> 題 目:VLAN和訪問(wèn)控制技術(shù)</p><p><b> 的應(yīng)用研究</b></p><p> 學(xué) 院: 計(jì)算機(jī)學(xué)院 </p><p> 專(zhuān)業(yè)名稱(chēng): 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) </p><p> 學(xué) 號(hào)
2、: </p><p> 學(xué)生姓名: </p><p> 指導(dǎo)教師: </p><p> 2009 年 5 月 12 日</p><p><b> 摘 要</b></p><p> 隨著計(jì)算機(jī)科技的日趨盛行,
3、目前計(jì)算機(jī)已經(jīng)普遍應(yīng)用到人們的日常生活和工作中。人們可以在Internet上訪問(wèn)和交換信息,也流行于在小型工作站中相互溝通和交流。在這里就應(yīng)用了局域網(wǎng)技術(shù)。有了局域網(wǎng)技術(shù),人們的生活和工作更加方便,人們可以更高效地傳送和獲取信息。</p><p> 在以三層交換機(jī)為核心的千兆網(wǎng)絡(luò)中,為保證不同職能部門(mén)管理的方便性和安全性以及整個(gè)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性,可采用VLAN技術(shù)進(jìn)行虛擬網(wǎng)絡(luò)劃分。VLAN子網(wǎng)隔離了廣播風(fēng)暴,對(duì)
4、一些重要部門(mén)實(shí)施了安全保護(hù);且當(dāng)某一部門(mén)物理位置發(fā)生變化時(shí),只需對(duì)交換機(jī)進(jìn)行設(shè)置,就可以實(shí)現(xiàn)網(wǎng)絡(luò)的重組,非常方便、快捷,同時(shí)節(jié)約了成本。VLAN這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中,但目前主流應(yīng)用還是在交換機(jī)之中 。VLAN也是三層交換技術(shù)的核心內(nèi)容。</p><p> 在信息交流逐步變得高效便捷的同時(shí)也就引入了一個(gè)新的概念——網(wǎng)絡(luò)安全。眾所周知,網(wǎng)絡(luò)也不是雜亂無(wú)章的,有了正確的監(jiān)控,也就給信息安全帶來(lái)了一道
5、屏障。訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制涉及的技術(shù)也比較廣,包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。ACL規(guī)則是Cisco IOS所提供的一種訪問(wèn)控制技術(shù)。初期僅在路由器上支持,近些年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī)。在這次課題的探討中我們將具體到ACL的研究和部署,通過(guò)對(duì)ACL的研究,將使我們對(duì)VLAN及局域網(wǎng)安全問(wèn)題的理
6、解上一個(gè)新的層次。</p><p> 關(guān)鍵詞: 局域網(wǎng)技術(shù);三層交換技術(shù); 虛擬工作組;網(wǎng)絡(luò)安全;訪問(wèn)控制</p><p><b> Abstract</b></p><p> With the increasing prevalence of computer technology, computer has been generall
7、y applied to people's daily lives and work. In the Internet, people can access and exchange of information, but also popular in small workstations in mutual communication and exchange. Here the application of a local
8、 area network technology. With the local area network technology, people's life and work more convenient, people can more efficiently transmit and access to information.</p><p> In three Gigabit switche
9、s at the core network, different functional departments in order to ensure ease of management and security, as well as the stability of the entire network, VLAN technology can be divided into virtual network. Isolated VL
10、AN subnet broadcast storms, a number of important sectors of the implementation of security protection; and when a sector changes in physical location, just set on the switch, you can achieve the reorganization of the ne
11、twork is very convenient, fast and a</p><p> Gradually become the exchange of information at the same time efficient and convenient also to introduce a new concept - network security. As we all know, the ne
12、twork is not chaotic, with proper monitoring, information security will be brought to a barrier. Access Control is a network security and protection of the main strategy, its main task is to ensure that network resources
13、 are not illegal use and access. It is most important to ensure network security, one of the core strategy. Involved in</p><p> Key words: LAN technologies;three-switching technology;Virtual Working Group;n
14、etwork security; Access Control</p><p><b> 目 錄</b></p><p><b> 1 引言1</b></p><p> 2 VLAN的概念和發(fā)展前景2</p><p> 2.1 VLAN的原理2</p><p>
15、; 2.2 VLAN的功能及作用3</p><p> 2.3 VLAN的發(fā)展前景[1]5</p><p> 3 VLAN的劃分與配置6</p><p> 3.1 VLAN的劃分6</p><p> 3.1.1 組建VLAN的條件6</p><p> 3.1.2 劃分VLAN的基本策略6</
16、p><p> 3.1.3 VLAN的劃分方式6</p><p> 3.2 VLAN的配置8</p><p> 4 訪問(wèn)控制技術(shù)(ACL)14</p><p> 4.1 訪問(wèn)控制技術(shù)(ACL)簡(jiǎn)介14</p><p> 4.2 ACL的原理15</p><p> 4.3 ACL的
17、功能及劃分15</p><p> 4.4 ACL的配置16</p><p> 4.4.1 訪問(wèn)表配置方法16</p><p> 4.4.2 標(biāo)準(zhǔn)IP ACL17</p><p> 4.4.3 利用基于時(shí)間的訪問(wèn)表控制22</p><p> 5 校園網(wǎng)絡(luò)部署的實(shí)現(xiàn)27</p><
18、p> 5.1 運(yùn)用到得技術(shù)總結(jié)28</p><p> 5.2具體配置29</p><p><b> 6 結(jié) 論32</b></p><p><b> 致 謝33</b></p><p><b> 參考文獻(xiàn)34</b></p><
19、p><b> 1 引言</b></p><p> 隨著現(xiàn)代信息技術(shù)的飛速發(fā)展,中國(guó)教育也正以前所未有的速度和力度推進(jìn)自己的信息化水平,信息技術(shù)給教育帶來(lái)的變化是巨大的,它使教育突破了時(shí)間和空間的限制,大大擴(kuò)展了教育的形式和空間。建設(shè)校園網(wǎng)已經(jīng)成為教育領(lǐng)域信息化建設(shè)的當(dāng)務(wù)之急。目前新建立的校園網(wǎng)基本上都采用了性能先進(jìn)的千兆網(wǎng)技術(shù),其核心交換機(jī)采用三層交換機(jī),它能很好地支持虛擬局域網(wǎng)(
20、VLAN)技術(shù),這對(duì)方便校園網(wǎng)的管理、保證校園網(wǎng)的高速可靠運(yùn)行起到了非常重要的作用。本文以黃石理工學(xué)院計(jì)算機(jī)學(xué)院校園網(wǎng)規(guī)劃與設(shè)計(jì)為例展開(kāi)信息化建設(shè)的研究。</p><p> VLAN(Virtual Local Area Network)又稱(chēng)虛擬局域網(wǎng),是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng),即一個(gè)邏輯廣播域,它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)
21、備,允許處于不同地理位置的網(wǎng)絡(luò)用戶(hù)加入到一個(gè)邏輯子網(wǎng)中。VLAN與普通局域網(wǎng)從原理上講沒(méi)有什么不同,但從用戶(hù)使用和網(wǎng)絡(luò)管理的角度來(lái)看,VLAN與普通局域網(wǎng)最基本的差異體現(xiàn)在:VLAN并不局限于某一網(wǎng)絡(luò)或物理范圍,VLAN中的用戶(hù)可以位于一個(gè)園區(qū)的任意位置,甚至位于不同的國(guó)家。有了VLAN技術(shù),信息的交流變得越來(lái)越容易、便捷。</p><p> 很多部署VLAN之后,由于處于不同VLAN的計(jì)算機(jī)之間不能直接通信,
22、使網(wǎng)絡(luò)的安全性能得到了很大提高。但事實(shí)上在很多網(wǎng)絡(luò)中要求不是這樣的,如何解決VLAN間的通信問(wèn)題是我們?cè)谝?guī)劃VLAN時(shí)必須認(rèn)真考慮的問(wèn)題。在網(wǎng)絡(luò)組建初期,網(wǎng)絡(luò)中只有10%~20%的信息在VLAN之間傳播,但隨著用戶(hù)應(yīng)用的增多,VLAN之間信息的傳輸量增加了許多倍,如果VLAN之間的通信問(wèn)題解決得不好,將嚴(yán)重影響網(wǎng)絡(luò)的使用和安全。VACL(VLAN ACL)和定時(shí)訪問(wèn)列表、動(dòng)態(tài)訪問(wèn)列表、自反訪問(wèn)列表一樣都屬于ACL擴(kuò)展應(yīng)用的一部分,它定義
23、了基于3層以上的信息流量,而所對(duì)應(yīng)的參數(shù)則用于2層的VLAN。VACL多是針對(duì)硬件里面應(yīng)用,比傳統(tǒng)的路由器訪問(wèn)列表處理速度明顯快的多。</p><p> 總之VLAN技術(shù)可以讓不同地域、不同網(wǎng)絡(luò)通過(guò)組網(wǎng)實(shí)現(xiàn)技術(shù)交流,同時(shí)通過(guò)劃分VLAN控制廣播風(fēng)暴,結(jié)合訪問(wèn)控制技術(shù)實(shí)現(xiàn)新時(shí)代信息交流的便捷化、安全化。</p><p> 2 VLAN的概念和發(fā)展前景</p><p&g
24、t; 2.1 VLAN的原理</p><p> VLAN(Virtual Local Area Network)的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分(注意,不是從物理上劃分)成一個(gè)個(gè)網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和器中,但主流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能,只有VLAN的第三層以上交換機(jī)才具有此功能。&
25、lt;/p><p> IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q標(biāo)準(zhǔn)草案。VLAN技術(shù)的出現(xiàn),使得管理員根據(jù)實(shí)際應(yīng)用需求,把同一物理局域網(wǎng)內(nèi)的不同用戶(hù)邏輯地劃分成不同的廣播域,每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分,而不是從物理上劃分,所以同一個(gè)VLAN內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中,即這些工作站可以在不同 物理
26、VLAN網(wǎng)段。由VLAN的特點(diǎn)可知,一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò) 管理、提高網(wǎng)絡(luò)的性。</p><p> 交換技術(shù)的發(fā)展,也加快了新的交換技術(shù)(VLAN)的應(yīng)用速度。通過(guò)將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段,可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò),控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中,一個(gè)物理的網(wǎng)段就是一個(gè)廣播域。而在交換網(wǎng)絡(luò)中,廣播域可以是有一組任意選定
27、的第二層網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段。這樣,網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制,而完全根據(jù)管理功能來(lái)劃分。這種基于 工作流的分組模式,大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個(gè)VLAN中的工作站,不論它們實(shí)際與哪個(gè)交換機(jī)連接,它們之間的通訊就 好象在獨(dú)立的交換機(jī)上一樣。同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽(tīng)到,而不會(huì)傳輸?shù)狡渌?VLAN中去,這樣可以很好的控制不必要的 廣播風(fēng)暴的產(chǎn)生。同時(shí),若沒(méi)有的
28、話,不同VLAN之間不能相互通訊,這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門(mén)之間的安全性。網(wǎng)絡(luò)管理員可以通過(guò) 配置VLAN之間的路由來(lái)全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機(jī)是根據(jù)用戶(hù)工作站的MAC地址來(lái)劃分VLAN的。所以,用戶(hù)可以自由的在企業(yè)網(wǎng)絡(luò)中移動(dòng)辦公,不論他在何處接入交換網(wǎng)絡(luò),他都可以與VLAN內(nèi)其他用戶(hù)自如通訊。</p><p> VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域,每
29、一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分,所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里,即這些工作站不一定屬于同一個(gè)物理VLAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。</p><p> VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性
30、而提出的一種協(xié)議,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭,用VLAN ID把用戶(hù)劃分為更小的工作組,限制不同工作組間的用戶(hù)二層互訪,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動(dòng)態(tài)管理網(wǎng)絡(luò)。</p><p> VLAN網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類(lèi)型設(shè)備組成,比如:10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等,可以是工作站、集線器、網(wǎng)絡(luò)上行主干等等。VLAN除
31、了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域,從而有效地控制廣播風(fēng)暴的發(fā)生,以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外,還可以用于控制網(wǎng)絡(luò)中不同部門(mén)、不同站點(diǎn)之間的互相訪問(wèn)。</p><p> 通過(guò)設(shè)置VLAN,我們把網(wǎng)絡(luò)中的眾多的廣播報(bào)文阻隔在各個(gè)vlan中,主干線路上效率提高了。除了有效地控制廣播風(fēng)暴的發(fā)生,以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外,還可以用于控制網(wǎng)絡(luò)中不同部門(mén)、不同站點(diǎn)之間的互相訪問(wèn),提高了安全性。</
32、p><p> 2.2 VLAN的功能及作用</p><p> 任何新技術(shù)要得到廣泛支持和應(yīng)用,肯定存在一些關(guān)鍵優(yōu)勢(shì),VLAN技術(shù)也一樣,它的優(yōu)勢(shì)主要體現(xiàn)在以下幾個(gè)方面: </p><p> 1.增加了網(wǎng)絡(luò)連接的靈活性</p><p> 借助VLAN技術(shù),能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶(hù)組合在一起,形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境 ,就像使用本地L
33、AN一樣方便、靈活 、有效。VLAN可以降低移動(dòng)或變更工作站地理位置的管 理費(fèi)用,特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN后,這部分管理費(fèi)用大大降低?! ?lt;/p><p> 2.控制網(wǎng)絡(luò)上的廣播</p><p> VLAN可以提供建立的機(jī)制,防止交換網(wǎng)絡(luò)的過(guò)量廣播。使用VLAN,可以將某個(gè)交換端口或用戶(hù)賦于某一個(gè)特定的VLAN組, 該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換
34、機(jī), 在一個(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣,相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播 。這樣可以減少?gòu)V播流量,釋放帶寬給用戶(hù)應(yīng)用,減少?gòu)V播的產(chǎn)生?!?lt;/p><p> 3.增加網(wǎng)絡(luò)的安全性 </p><p> 因?yàn)橐粋€(gè)VLAN就是一個(gè)單獨(dú)的廣播域,VLAN之間相互隔離,這大大提高了網(wǎng)絡(luò)的利用率,確保了網(wǎng)絡(luò)的安全保密性。人們?cè)贚AN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)
35、據(jù)應(yīng)提供訪問(wèn)控制等安全手段。一個(gè)有效和容易實(shí)現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個(gè)不同的廣播組,網(wǎng)絡(luò)管理員限制了VLAN中用戶(hù)的數(shù)量,禁止未經(jīng)允許而訪問(wèn)VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類(lèi)型和訪問(wèn)特權(quán)來(lái)進(jìn)行分組,被限制的 應(yīng)用程序和資源一般置于安全性VLAN中。</p><p> 通常,只有通過(guò)劃分子網(wǎng)才可以隔離廣播,但是VLAN的出現(xiàn)打破了這個(gè)定律,用二層的東西解決三層的問(wèn)題很是奇怪,但是的確做到了。VLAN虛擬局域
36、網(wǎng),它的作用就是將物理上互連的網(wǎng)絡(luò)在邏輯上劃分為多個(gè)互不相干的網(wǎng)絡(luò),這些網(wǎng)絡(luò)之間是無(wú)法通訊的,就好像互相之間沒(méi)有連接一樣,因此廣播也就隔離開(kāi)了。 </p><p> VLAN的實(shí)現(xiàn)原理非常簡(jiǎn)單,通過(guò)交換機(jī)的控制,某一VLAN成員發(fā)出的數(shù)據(jù)包交換機(jī)只發(fā)個(gè)同一VLAN的其它成員,而不會(huì)發(fā)給該VLAN成員以外的計(jì)算機(jī)。 使用VLAN的目的不僅僅是隔離廣播,還有安全和管理等方面的應(yīng)用,例如將重要部門(mén)與其它部門(mén)通過(guò)VLA
37、N隔離,即使同在一個(gè)網(wǎng)絡(luò)也可以保證他們不能互相通訊,確保重要部門(mén)的數(shù)據(jù)安全;也可以按照不同的部門(mén)、人員,位置劃分VLAN,分別賦給不同的權(quán)限來(lái)進(jìn)行管理。 </p><p> 如果兩臺(tái)交換機(jī)都有同一VLAN的計(jì)算機(jī),怎么辦呢,我們可以通過(guò)VLAN Trunk來(lái)實(shí)現(xiàn)。如果交換機(jī)1的VLAN1中的機(jī)器要訪問(wèn)交換機(jī)2的VLAN1中的機(jī)器,我們可以把兩臺(tái)交換機(jī)的級(jí)聯(lián)端口設(shè)置為T(mén)runk口,這樣,當(dāng)交換機(jī)把數(shù)據(jù)包從級(jí)聯(lián)口發(fā)
38、出去的時(shí)候,會(huì)在數(shù)據(jù)包中做一個(gè)標(biāo)記(TAG),以使其它交換機(jī)識(shí)別該數(shù)據(jù)包屬于哪一個(gè)VLAN,這樣,其它交換機(jī)收到這樣一個(gè)數(shù)據(jù)包后,只會(huì)將該數(shù)據(jù)包轉(zhuǎn)發(fā)到標(biāo)記中指定的VLAN,從而完成了跨越交換機(jī)的VLAN內(nèi)部數(shù)據(jù)傳輸。VLAN Trunk目前有兩種標(biāo)準(zhǔn),ISL和802.1q,前者是Cisco專(zhuān)有技術(shù),后者則是IEEE的國(guó)際標(biāo)準(zhǔn),除了Cisco兩者都支持外,其它廠商都只支持后者。</p><p> 在寬帶接入迅猛發(fā)
39、展的同時(shí),運(yùn)營(yíng)商為了高質(zhì)量地拓展業(yè)務(wù),必須要解決的一個(gè)問(wèn)題是,如何對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行合理的分層規(guī)劃,以實(shí)現(xiàn)對(duì)用戶(hù)的定位以及業(yè)務(wù)管理。</p><p> 由于在接入網(wǎng)層面大量地采用了以太網(wǎng)技術(shù),目前基于以太網(wǎng)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)劃分的技術(shù)主要是虛擬局域網(wǎng)(VLAN)技術(shù)。VLAN是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802
40、.1Q協(xié)議標(biāo)準(zhǔn)草案。但是,傳統(tǒng)的以太網(wǎng)幀格式中只定義了4096個(gè)VLAN,對(duì)VLAN在更大規(guī)模上的應(yīng)用已經(jīng)形成了制約,SCNB為此提出了全面的解決方案。</p><p> VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭,用VLANID把用戶(hù)劃分為更小的工作組,限制不同工作組間的用戶(hù)二層互訪,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工
41、作組,動(dòng)態(tài)管理網(wǎng)絡(luò)。VLAN隔離了廣播風(fēng)暴,同時(shí)也隔離了各個(gè)不同的VLAN之間的通信,所以不同的VLAN之間的通信是需要有路由來(lái)完成的。</p><p> 2.3 VLAN的發(fā)展前景[1]</p><p> 通過(guò)以上對(duì)虛擬局域網(wǎng)(VLAN)功能和作用的探討,不難發(fā)現(xiàn)VLAN具有一下主要優(yōu)點(diǎn):</p><p><b> 1、控制廣播風(fēng)暴</b&g
42、t;</p><p> 一個(gè)VLAN就是一個(gè)邏輯廣播域,通過(guò)對(duì)VLAN的創(chuàng)建,隔離了廣播,縮小了廣播范圍,可以控制廣播風(fēng)暴的產(chǎn)生。</p><p> 2、提高網(wǎng)絡(luò)整體安全性</p><p> 通過(guò)路由訪問(wèn)列表和MAC地址分配等VLAN劃分原則,可以控制用戶(hù)訪問(wèn)權(quán)限和邏輯網(wǎng)段大小,將不同用戶(hù)群劃分在不同VLAN,從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。</p
43、><p> 3、網(wǎng)絡(luò)管理簡(jiǎn)單、直觀</p><p> 對(duì)于交換式以太網(wǎng),如果對(duì)某些用戶(hù)重新進(jìn)行網(wǎng)段分配,需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整,甚至需要追加網(wǎng)絡(luò)設(shè)備,增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō),一個(gè)VLAN可以根據(jù)部門(mén)職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶(hù)劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用
44、虛擬網(wǎng)絡(luò)技術(shù),大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān),降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。在一個(gè)交換網(wǎng)絡(luò)中,VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。</p><p> 3 VLAN的劃分與配置</p><p> 3.1 VLAN的劃分</p><p> 3.1.1 組建VLAN的條件</p><p> VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng),因此建
45、立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時(shí),需要路由的支持,這時(shí)就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能,既可采用路由器,也可采用三層交換機(jī)來(lái)完成。</p><p> 3.1.2 劃分VLAN的基本策略</p><p> 從技術(shù)角度講,VLAN的劃分可依據(jù)不同原則,一般有以下三種劃分方法: </p><p> (1) 基
46、于端口的VLAN劃分</p><p> 這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組,這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可,不用考慮該端口所連接的設(shè)備。</p><p> (2) 基于MAC地址的VLAN劃分</p><p> MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符,每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)
47、卡上的。MAC地址由12位16進(jìn)制數(shù)表示,前8位為廠商標(biāo)識(shí),后4位為網(wǎng)卡標(biāo)識(shí)。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。</p><p> (3) 基于路由的VLAN劃分</p><p> 路由協(xié)議工作在網(wǎng)絡(luò)層,相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)(即三層交換機(jī))。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī),或一個(gè)端口位于多個(gè)VLAN中。</p><p>
48、 就目前來(lái)說(shuō),對(duì)于VLAN的劃分主要采取上述第1、3種方式,第2種方式為輔助性的方案。</p><p> 3.1.3 VLAN的劃分方式</p><p> VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭,用VLANID把用戶(hù)劃分為更小的工作組,限制不同工作組間的用戶(hù)二層互訪,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠
49、形成虛擬工作組,動(dòng)態(tài)管理網(wǎng)絡(luò)。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議??梢宰屧谕粋€(gè)地方的人實(shí)現(xiàn)不同的部門(mén),可以實(shí)現(xiàn)不同的訪問(wèn),組網(wǎng)方便靈活,實(shí)用性強(qiáng),安全系數(shù)高。VLAN隔離了廣播風(fēng)暴,同時(shí)也隔離了各個(gè)不同的VLAN之間的通信,所以不同的VLAN之間的通信是需要有路由來(lái)完成的。</p><p> VLAN在交換機(jī)上的實(shí)現(xiàn)方法,可以大致劃分為6類(lèi):</p><p>
50、(1)基于端口劃分的VLAN</p><p> 這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來(lái)劃分屬于同一VLAN的端口可以不連續(xù),如何配置,由管理員決定,如果有多個(gè)交換機(jī),例如,可以指定交換機(jī) 1 的1~6端口和交換機(jī) 2 的1~4端口為同一VLAN,即同一VLAN可以跨越數(shù)個(gè)以太網(wǎng)交換機(jī),根據(jù)端口劃分是目前定義VLAN的最廣泛的方法,IEEE 802.1Q規(guī)定了依據(jù)以太網(wǎng)交換機(jī)的端口來(lái)劃分VLAN的國(guó)際標(biāo)
51、準(zhǔn)。這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單,只要將所有的端口都指定義一下就可以了。它的缺點(diǎn)是如果VLAN A的用戶(hù)離開(kāi)了原來(lái)的端口,到了一個(gè)新的交換機(jī)的某個(gè)端口,那么就必須重新定義。</p><p> (2)基于MAC地址劃分VLAN</p><p> 這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分,即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組。這種劃分VLAN的方法的
52、最大優(yōu)點(diǎn)就是當(dāng)用戶(hù)物理位置移動(dòng)時(shí),即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí),VLAN不用重新配置,所以,可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶(hù)的VLAN,這種方法的缺點(diǎn)是初始化時(shí),所有的用戶(hù)都必須進(jìn)行配置,如果有幾百個(gè)甚至上千個(gè)用戶(hù)的話,配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低,因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員,這樣就無(wú)法限制廣播包了。</p><p> ?。?)基于
53、網(wǎng)絡(luò)層劃分VLAN</p><p> 這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類(lèi)型劃分的,雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址,比如IP地址,但它不是路由,與網(wǎng)絡(luò)層的路由毫無(wú)關(guān)系。它雖然查看每個(gè)數(shù)據(jù)包的IP地址,但由于不是路由,所以,沒(méi)有RIP,OSPF等路由協(xié)議這種方法的優(yōu)點(diǎn)是用戶(hù)的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據(jù)協(xié)議類(lèi)型來(lái)劃分VLAN,這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要,還有,這種方
54、法不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN,這樣可以減少網(wǎng)絡(luò)的通信量。</p><p> 這種方法的缺點(diǎn)是效率低,因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的,需要更高的技術(shù),同時(shí)也更費(fèi)時(shí)。</p><p> ?。?)根據(jù)IP組播劃分VLAN</p><p> IP 組播實(shí)際上也是一種VLAN的定義,即認(rèn)為一個(gè)組播組就是一個(gè)VLAN,這種劃分的方法將VLAN擴(kuò)大
55、到了廣域網(wǎng),因此這種方法具有更大的靈活性,而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展,當(dāng)然這種方法不適合局域網(wǎng),主要是效率不高。</p><p> 考慮到各種VLAN劃分方式的優(yōu)缺點(diǎn),為了最大程度上地滿(mǎn)足用戶(hù)在具體使用過(guò)程中需求,減輕用戶(hù)在VLAN的具體使用和維護(hù)中的工作量。</p><p> ?。?)按策略劃分VLAN</p><p> 基于策略組成的VLAN能實(shí)現(xiàn)多種分
56、配方法,包括VLAN交換機(jī)端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的 管理模式和本單位的需求來(lái)決定選擇哪種類(lèi)型的VLAN 。 </p><p> ?。?)按用戶(hù)定義、非用戶(hù)授權(quán)劃分VLAN</p><p> 基于用戶(hù)定義、非用戶(hù)授權(quán)來(lái)劃分VLAN,是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò),根據(jù)具體的網(wǎng)絡(luò)用戶(hù)的特別要求來(lái)定義和設(shè)計(jì)VLAN,而 且可以讓非VLAN群體用戶(hù)訪問(wèn)
57、VLAN,但是需要提供用戶(hù)密碼,在得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。在實(shí)際應(yīng)用中,虛擬網(wǎng)絡(luò)的作用類(lèi)似不同工作組的劃分,即是說(shuō)各虛擬網(wǎng)之間不能直接進(jìn)行通訊,而必須通過(guò)路由器轉(zhuǎn)發(fā),這在一定程度上提高了整個(gè)網(wǎng)絡(luò)的安全性能,同時(shí)也起到了提高網(wǎng)絡(luò)傳輸效率的作用。 </p><p> 3.2 VLAN的配置</p><p> 我們知道,傳統(tǒng)的局域網(wǎng)Ethernet 使用具有沖突檢測(cè)的
58、載波監(jiān)聽(tīng)多路訪問(wèn)方法。在CSMA/CD 網(wǎng)絡(luò)中,節(jié)點(diǎn)可以在它們有數(shù)據(jù)需要發(fā)送的任何時(shí)候使用網(wǎng)絡(luò)。在節(jié)點(diǎn)傳輸數(shù)據(jù)之前,它進(jìn)行"監(jiān)聽(tīng)"以了解網(wǎng)絡(luò)是否很繁忙。如果不是,則節(jié)點(diǎn)開(kāi)始傳送數(shù)據(jù)。如果網(wǎng)絡(luò)正在使用,則節(jié)點(diǎn)等待。如果兩個(gè)節(jié)點(diǎn)進(jìn)行監(jiān)聽(tīng),沒(méi)有聽(tīng)到任何東西,而開(kāi)始同時(shí)使用線路,則會(huì)出現(xiàn)沖突。在發(fā)送數(shù)據(jù)時(shí),它如果使用廣播地址,那么在此網(wǎng)段上的所有PC都將收到數(shù)據(jù)包,這樣一來(lái)如果該網(wǎng)段PC眾多,很容易引起廣播風(fēng)暴。而沖突和廣播
59、風(fēng)暴是影響網(wǎng)絡(luò)性能的重要因素。為解決這一問(wèn)題,引入了虛擬局域網(wǎng)。 虛擬網(wǎng)絡(luò)是在整個(gè)網(wǎng)絡(luò)中通過(guò)網(wǎng)絡(luò)交換設(shè)備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于OSI模型的第二層的廣播域,與具體的物理網(wǎng)及地理位置無(wú)關(guān)。虛擬工作組可以包含不同位置的部門(mén)和工作組,不必在物理上重新配置任何端口,真正實(shí)現(xiàn)了網(wǎng)絡(luò)用戶(hù)與它們的物理位置無(wú)關(guān)。虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個(gè)獨(dú)立的子廣播域,將廣播限制在虛擬工作組中,由于廣播域的縮小,網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例
60、大大降低,網(wǎng)絡(luò)的性能得到顯著的提高。我們結(jié)合下面的圖來(lái)看看講下。圖1所表示的是兩層</p><p> 我們可以在交換機(jī)的某個(gè)端口上定義VLAN ,所有連接到這個(gè)特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分,并且整個(gè)網(wǎng)絡(luò)可以支持多個(gè)VLAN。VLAN通過(guò)建立網(wǎng)絡(luò)防火墻使不必要的數(shù)據(jù)流量減至最少,隔離各個(gè)VLAN間的傳輸和可能出現(xiàn)的問(wèn)題,使網(wǎng)絡(luò)吞吐量大大增加,減少了網(wǎng)絡(luò)延遲。在虛擬網(wǎng)絡(luò)環(huán)境中,可以通過(guò)劃分不同的虛擬網(wǎng)絡(luò)來(lái)控制
61、處于同一物理網(wǎng)段中的用戶(hù)之間的通信。這樣一來(lái)有效的實(shí)現(xiàn)了數(shù)據(jù)的保密工作,而且配置起來(lái)并不麻煩,網(wǎng)絡(luò)管理員可以邏輯上重新配置網(wǎng)絡(luò),迅速、簡(jiǎn)單、有效地平衡負(fù)載流量,輕松自如地增加、刪除和修改用戶(hù),而不必從物理上調(diào)整網(wǎng)絡(luò)配置。既然VLAN有那么多的優(yōu)點(diǎn),我們?yōu)槭裁床涣私馑鼜亩裋LAN技術(shù)應(yīng)用到我們的現(xiàn)實(shí)網(wǎng)絡(luò)管理中去呢。好的讓我們通過(guò)實(shí)際的在Catalyst 1900交換機(jī)上來(lái)配置靜態(tài)VLAN的例子來(lái)看看如何在交換機(jī)上配置VLAN。</
62、p><p> 設(shè)置好超級(jí)終端,連接上1900交換機(jī)后會(huì)出現(xiàn)如下的主配置界面:</p><p> 1 user(s) now active on Management Console.</p><p> User Interface Menu</p><p><b> [M] Menus</b></p>
63、<p> [K] Command Line</p><p> [I] I P Configuration</p><p> Enter Selection:</p><p> 我們簡(jiǎn)單介紹下,這兒顯示了三個(gè)選項(xiàng),[M] Menus 是主菜單,主要是交換機(jī)的初始配置和監(jiān)控交換機(jī)的運(yùn)行狀況。[K] Command Line 是命令行,很象路由器里面用命
64、令來(lái)配置和監(jiān)控路由器一樣,主要是通過(guò)命令來(lái)操作。[I] IP Configuration 是配置IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)管的一個(gè)選項(xiàng)。這是第一次連上交換機(jī)顯示的界面,如果你已經(jīng)配置好了IP Configuration,那么下次登陸的時(shí)候?qū)](méi)有這個(gè)選項(xiàng)。因?yàn)橛妹钆渲煤?jiǎn)潔明了,清晰易懂,所以我們通過(guò) [K] Command Line 來(lái)實(shí)現(xiàn)VLAN的配置的。</p><p> 設(shè)置好超級(jí)終端,連接上1900交換
65、機(jī)后會(huì)出現(xiàn)如下的主配置界面: </p><p> -------------------------------------------------</p><p> 1 user(s) now active on Management Console.</p><p> User Interface Menu</p><p><
66、b> [M] Menus</b></p><p> [K] Command Line</p><p> [I] IP Configuration</p><p> Enter Selection:</p><p> [M] Menus 是主菜單,主要是交換機(jī)的初始配置和監(jiān)控交換機(jī)的運(yùn)行狀況。[K] Command
67、Line 是命令行,很象路由器里面用命令來(lái)配置和監(jiān)控路由器一樣,主要是通過(guò)命令來(lái)操作。[I] IP Configuration 是配置IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)管的一個(gè)選項(xiàng)。這是第一次連上交換機(jī)顯示的界面,如果你已經(jīng)配置好了IP Configuration,那么下次登陸的時(shí)候?qū)](méi)有這個(gè)選項(xiàng)。我們通過(guò) [K] Command Line 來(lái)實(shí)現(xiàn)VLAN的配置的。</p><p> 我們選擇 [K] Command
68、Line ,進(jìn)入命令行配置</p><p> Enter Selection:K 回車(chē)</p><p> CLI session with the switch is open.</p><p> To end the CLI session,enter [Exit ].</p><p> 現(xiàn)在我們進(jìn)入到了交換機(jī)的普通用戶(hù)模式, 就象
69、路由器一樣,這種模式只能查看現(xiàn)在的配置,不能更改配置,并且能夠使用的命令很有限。我們輸入enable,進(jìn)入特權(quán)模式:</p><p><b> >enable</b></p><p> #config t </p><p> Enter configuration commands,one per line.End with CNT
70、L/Z</p><p><b> (config)#</b></p><p> 為了安全和方便起見(jiàn),我們給這個(gè)交換機(jī)起個(gè)名字,并且設(shè)置登陸密碼。</p><p> (config)#hostname 1900Switch</p><p> 1900Switch(config)# enable password l
71、evel 15 goodwork</p><p> 1900Switch(config)#</p><p> 注意:密碼必須是4-8位的字符。交換機(jī)密碼的設(shè)置和路由器稍微不同,交換機(jī)用 level 級(jí)別的大小來(lái)決定密碼的權(quán)限。Level 1 是進(jìn)入命令行界面的密碼,也就是說(shuō),設(shè)置了 level 1 的密碼后,你下次連上交換機(jī),并輸入 K 后,就會(huì)讓你輸入密碼,這個(gè)密碼就是 level
72、1 設(shè)置的密碼。而 level 15 是你輸入了enable命令后讓你輸入的特權(quán)模式密碼。路由器里面是使用 enable password 和 enable screet做此區(qū)分的。</p><p> VLAN的設(shè)置分以下2步:</p><p> 1. 設(shè)置VLAN名稱(chēng)</p><p><b> 2. 應(yīng)用到端口</b></p>
73、;<p> Switch (config)#vlan 2 name accounting</p><p> Switch (config)#vlan 3 name marketing</p><p> 我們新配置了2個(gè)VLAN,為什么VLAN號(hào)從2開(kāi)始呢?這是因?yàn)槟J(rèn)情況下,所有的端口否放在VLAN 1上,所以要從2開(kāi)始配置。1900系列的交換機(jī)最多可以配置1024個(gè)V
74、LAN,但是,只能有64個(gè)同時(shí)工作,當(dāng)然了,這是理論上的,我們應(yīng)該根據(jù)自己網(wǎng)絡(luò)的實(shí)際需要來(lái)規(guī)劃VLAN的號(hào)碼。配置好了VLAN名稱(chēng)后我們要進(jìn)入每一個(gè)端口來(lái)設(shè)置VLAN。在交換機(jī)中,要進(jìn)入某個(gè)端口比如說(shuō)第4個(gè)端口,要用 interface Ethernet 0/4,好的,結(jié)合上面給出的圖我們讓端口2、3、4和5屬于VLAN2 ,端口17---22屬于VLAN3 。命令是 vlan-membership static/dynamic VLA
75、N號(hào) 。 靜態(tài)的或者動(dòng)態(tài)的兩者必須選擇一個(gè),后面是剛才配置的VLAN號(hào)。結(jié)果是:</p><p> Switch(config)#interface ethernet 0/2</p><p> Switch(config-if)#vlan-membership static 2</p><p> Switch(config-if)#int e0/3</p
76、><p> witch(config-if)#vlan-membership static 2</p><p> Switch(config-if)#int e0/4 </p><p> Switch(config-if)#vlan-membership static 2</p><p> Switch(config-if)#int e0
77、/5 </p><p> Switch(config-if)#vlan-membership static 2</p><p> Switch(config-if)#int e0/17</p><p> Switch(config-if)#vlan-membership static 3</p><p><b> .....
78、.</b></p><p> Switch(config-if)#int e0/22</p><p> Switch(config-if)#vlan-membership static 3</p><p> Switch(config-if)#</p><p> 好的,我們已經(jīng)把VLAN都定義到了交換機(jī)的端口上了。這兒,我
79、們只是配置的靜態(tài)的,關(guān)于動(dòng)態(tài)的,我們?cè)诤竺鏁?huì)有提及的。到現(xiàn)在為止,我們已經(jīng)把交換機(jī)的VLAN配置好了。為了驗(yàn)證我們的配置,我們?cè)谔貦?quán)模式使用 show vlan命令。輸出如下:</p><p> Switch(config)#show vlan</p><p> VLAN Name Status Ports</p><p> 1 default Enabled
80、 1,6-16,22-24,AUI,A,B</p><p> 2 acconting Enabled 2-5</p><p> 3 marketing Enabled 17-22</p><p> 1002 fdd i-default Suspended</p><p> 1003 token-ring-defau Suspended
81、</p><p> 1004 fddinet-default Suspended</p><p> 1005 trnet-default Suspended</p><p> 這是一個(gè)24口的交換機(jī),并且?guī)в蠥UI和兩個(gè)100兆端口(A、B),可以看出來(lái),我們的設(shè)置已經(jīng)正常工作了,交換機(jī)是即時(shí)自動(dòng)保存的,所以不用我們使用命令來(lái)保存設(shè)置了。當(dāng)然了,你也可以使用
82、show vlan vlan號(hào) 的命令來(lái)查看某個(gè)VLAN,比如show vlan 2 , show vlan 3. 還可以使用show vlan-membership ,改命令主要是顯示交換機(jī)上的每一個(gè)端口靜態(tài)或動(dòng)態(tài)的屬于哪個(gè)VLAN。這是給交換機(jī)配置靜態(tài)VLAN的過(guò)程,下面我們看看動(dòng)態(tài)的VLAN。</p><p> 動(dòng)態(tài)的VLAN 形成很簡(jiǎn)單,由端口自己決定它屬于哪個(gè)VLAN 時(shí),就形成了動(dòng)態(tài)的VLAN。不過(guò)
83、,這并不意味著就一層不變了,它只是一個(gè)簡(jiǎn)單的映射,這個(gè)映射取決于網(wǎng)絡(luò)管理員創(chuàng)建的數(shù)據(jù)庫(kù)。分配給動(dòng)態(tài)VLAN 的端口被激活后,交換機(jī)就緩存初始幀的源MAC 地址,隨后,交換機(jī)便向一個(gè)稱(chēng)為VMPS (VLAN 管理策略服務(wù)器)的外部服務(wù)器發(fā)出請(qǐng)求,VMPS 中包含一個(gè)文本文件,文件中存有進(jìn)行VLAN 映射的MAC 地址。交換機(jī)對(duì)這個(gè)文件進(jìn)行下載,然后對(duì)文件中的MAC 地址進(jìn)行校驗(yàn)。如果在文件列表中找到MAC地址,交換機(jī)就將端口分配給列表中的
84、VLAN 。如果列表中沒(méi)有MAC地址,交換機(jī)就將端口分配給默認(rèn)的VLAN 。如果在列表中沒(méi)有 MAC 地址,而且也沒(méi)有定義默認(rèn)的VLAN ,端口不會(huì)被激活。這是維護(hù)網(wǎng)絡(luò)安全一種非常好的的方法。從表面上看,動(dòng)態(tài)VLAN 的優(yōu)勢(shì)很大,但它也有致命的缺點(diǎn),即創(chuàng)建數(shù)據(jù)庫(kù)是一項(xiàng)非常艱苦而且非常繁瑣的工作。如果網(wǎng)絡(luò)上有數(shù)千個(gè)工作站,則有大量的輸入工作要做。即使有人能勝任這項(xiàng)工作,也還會(huì)出現(xiàn)與動(dòng)態(tài)的VLAN 有關(guān)的很多問(wèn)題。另外,保持?jǐn)?shù)據(jù)庫(kù)為最新也是
85、要隨時(shí)進(jìn)行的非常費(fèi)時(shí)的工作</p><p> 我們已經(jīng)把VLAN配置好了,那么VLAN的另一部分不容忽視的工作,就是前期的對(duì)網(wǎng)絡(luò)的規(guī)劃。就是說(shuō),哪些機(jī)器在一個(gè)VLAN中,各自的IP地址、子網(wǎng)掩碼如何分配,以及VLAN之間互相通訊的問(wèn)題。只有規(guī)劃計(jì)劃好了,才能夠在配置和以后的使用維護(hù)過(guò)程中輕松省事。</p><p> 4 訪問(wèn)控制技術(shù)(ACL)</p><p>
86、 4.1 訪問(wèn)控制技術(shù)(ACL)簡(jiǎn)介</p><p> 訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制涉及的技術(shù)也比較廣,包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。訪問(wèn)控制列表(Access Control List,ACL) 是路由器接口的指令列表,用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)
87、議,如IP、IPX、AppleTalk等。</p><p> ACL技術(shù)在路由器中被廣泛采用,它是一種基于包過(guò)濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問(wèn)控制列表通過(guò)把源地址、目的地址及端口號(hào)作為數(shù)據(jù)包檢查的基本元素,并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過(guò)。ACL通常應(yīng)用在企業(yè)的出口控制上,可以通過(guò)實(shí)施ACL,可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加,一些企業(yè)已經(jīng)開(kāi)始使用ACL來(lái)控制對(duì)局域網(wǎng)內(nèi)部資源的訪問(wèn)能力,
88、進(jìn)而來(lái)保障這些資源的安全性。ACL技術(shù)可以有效的在三層上控制網(wǎng)絡(luò)用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪問(wèn),它可以具體到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用,也可以按照網(wǎng)段進(jìn)行大范圍的訪問(wèn)控制管理,為網(wǎng)絡(luò)應(yīng)用提供了一個(gè)有效的安全手段。一方面,采用ACL技術(shù),網(wǎng)絡(luò)管理員需要明確每一臺(tái)主機(jī)及工作站所在的IP子網(wǎng)并確認(rèn)它們之間的訪問(wèn)關(guān)系,適用于網(wǎng)絡(luò)終端數(shù)量有限的網(wǎng)絡(luò)。對(duì)于大型網(wǎng)絡(luò),為了完成某些訪問(wèn)控制甚至不得不浪費(fèi)很多的IP地址資源。同時(shí),巨大的網(wǎng)絡(luò)終端數(shù)量,同樣會(huì)增加管理的
89、復(fù)雜度和難度。另一方面,維護(hù)ACL不僅耗時(shí),而且在較大程度上增加路由器開(kāi)銷(xiāo)。訪問(wèn)控制列表的策略性非常強(qiáng),并且牽涉到網(wǎng)絡(luò)的整體規(guī)劃,它的使用對(duì)于策略制定及網(wǎng)絡(luò)規(guī)劃的人員的技術(shù)素質(zhì)要求比較高。因此,是否采用ACL</p><p> ACL是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段。如圖所示,ACL允許主機(jī)A訪問(wèn)人力資源網(wǎng)絡(luò),而拒絕主機(jī)B訪問(wèn)。如圖4-1所示: </p><p> 圖4-1 ACL提供安
90、全功能示意圖</p><p> 4.2 ACL的原理</p><p> ACL規(guī)則是Cisco IOS所提供的一種訪問(wèn)控制技術(shù)。初期僅在路由器上支持,近些年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī),部分最新的二層交換機(jī)如2950之類(lèi)也開(kāi)始提供ACL的支持。只不過(guò)支持的特性不是那么完善而已。在其它廠商的路由器或多層交換機(jī)上也提供類(lèi)似的技術(shù),不過(guò)名稱(chēng)和配置方式都可能有細(xì)微的差別。</p>&l
91、t;p> ACL使用包過(guò)濾技術(shù),在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等,根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾,從而達(dá)到訪問(wèn)控制的目的。網(wǎng)絡(luò)中的節(jié)點(diǎn)有資源節(jié)點(diǎn)和用戶(hù)節(jié)點(diǎn)兩大類(lèi),其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù),用戶(hù)節(jié)點(diǎn)訪問(wèn)資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn),阻止非法用戶(hù)對(duì)資源節(jié)點(diǎn)的訪問(wèn),另一方面限制特定的用戶(hù)節(jié)點(diǎn)所能具備的訪問(wèn)權(quán)限。 </p><p&
92、gt; 在實(shí)施ACL的過(guò)程中,應(yīng)當(dāng)遵循如下兩個(gè)基本原則:[2] </p><p> 1.最小特權(quán)原則:只給受控對(duì)象完成任務(wù)所必須的最小的權(quán)限。</p><p> 2.最靠近受控對(duì)象原則:所有的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制。 </p><p> 3.默認(rèn)丟棄原則:在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數(shù)
93、據(jù)包。這一點(diǎn)要特別注意,雖然我們可以修改這個(gè)默認(rèn),但未改前一定要引起重視。</p><p> 4.3 ACL的功能及劃分</p><p> 網(wǎng)絡(luò)中的節(jié)點(diǎn)有資源節(jié)點(diǎn)和用戶(hù)節(jié)點(diǎn)兩大類(lèi),其中資源節(jié)點(diǎn)提供服務(wù)或數(shù)據(jù),用戶(hù)節(jié)點(diǎn)訪問(wèn)資源節(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn),阻止非法用戶(hù)對(duì)資源節(jié)點(diǎn)的訪問(wèn),另一方面限制特定的用戶(hù)節(jié)點(diǎn)所能具備的訪問(wèn)權(quán)限。</p>
94、<p><b> ACL的功能:</b></p><p> (1)對(duì)于一個(gè)數(shù)據(jù)包來(lái)說(shuō),在訪問(wèn)表對(duì)其進(jìn)行處理時(shí),訪問(wèn)表中的語(yǔ)句按照由上而下的順序依次對(duì)數(shù)據(jù)包進(jìn)行處理,直到出現(xiàn)匹配的情況,決定是否讓訪問(wèn)表通過(guò)。這樣,訪問(wèn)表中語(yǔ)句的順序是非常重要的。</p><p> (2)創(chuàng)建訪問(wèn)表是針對(duì)某個(gè)接口的,訪問(wèn)表中的語(yǔ)句將對(duì)通過(guò)接口的數(shù)據(jù)包產(chǎn)生作用。它可以允許或
95、阻止?jié)M足一定條件的數(shù)據(jù)包通過(guò)接口。在訪問(wèn)表中,接口也可以是具體的線路和設(shè)備。</p><p> ?。?)在訪問(wèn)表的運(yùn)用方面,有一個(gè)重要的問(wèn)題,就是接口的方向問(wèn)題。訪問(wèn)表既可以用于入口(inbound),也可以用于出口(outbound)。</p><p> 4.4 ACL的配置</p><p> 4.4.1 訪問(wèn)表配置方法</p><p>
96、; 訪問(wèn)表要工作,需要做以下的三個(gè)步驟:</p><p> ?。?)定義訪問(wèn)表:在設(shè)備的全局配置模式下完成,按照訪問(wèn)表的基本格式進(jìn)行。</p><p> (2)定義訪問(wèn)表所應(yīng)用的接口:在設(shè)備的全局模式下完成,有兩種接口可以使用,實(shí)接口和虛接口(即線配置模式),實(shí)接口以關(guān)鍵字interface開(kāi)始,后接接口名,虛接口以關(guān)鍵字line vty開(kāi)始,后接虛接口數(shù)目。</p>&
97、lt;p> ?。?)定義訪問(wèn)表用于接口的方向:在實(shí)接口配置模式下,以關(guān)鍵字ip access-group開(kāi)始,后接訪問(wèn)表號(hào),在虛接口配置模式下,以關(guān)鍵定ip access-class開(kāi)始,再接in或out,in表示在報(bào)文進(jìn)入接口時(shí)進(jìn)行檢查,out表示在報(bào)文離開(kāi)接口時(shí)進(jìn)行檢查。</p><p> 在使用訪問(wèn)表的時(shí)候,需要注意的是:在訪問(wèn)表中沒(méi)有列出的,就是禁止的。</p><p>
98、 訪問(wèn)表的使用規(guī)則:[3]</p><p> ?、僭L問(wèn)表總是被用于適當(dāng)?shù)慕涌凇?lt;/p><p> ?、谠L問(wèn)表規(guī)定了接口信息的流向。</p><p> ?、郛?dāng)只需要根據(jù)數(shù)據(jù)包的源地址進(jìn)行過(guò)濾時(shí),請(qǐng)采用標(biāo)準(zhǔn)型IP訪問(wèn)表。</p><p> ?、苋绻枰鶕?jù)更高級(jí)的規(guī)則實(shí)現(xiàn)過(guò)濾,則采用擴(kuò)展型IP訪問(wèn)表。</p><p>
99、⑤在創(chuàng)建通配符掩碼的時(shí)候,二進(jìn)制0表示匹配,二進(jìn)制1表示不匹配。</p><p> ?、拊谠L問(wèn)表中,語(yǔ)句的次序是極其重要的。</p><p> ?、卟槐卦谧詈蟀衙鞔_拒絕的語(yǔ)句加上。</p><p> ?、嘁迅鶕?jù)非IP協(xié)議過(guò)濾的語(yǔ)句往前放。</p><p> ?、崛绻黾踊蛐薷囊粭l語(yǔ)句,就需要?jiǎng)h除現(xiàn)有的列表,并重新應(yīng)用新的或修改過(guò)的列表。&
100、lt;/p><p> 4.4.2 標(biāo)準(zhǔn)IP ACL</p><p> 我們?cè)赟witchA上進(jìn)行如下的配置:[4] </p><p> SwitchA(config)#ip access-list standard 2</p><p> SwitchA(config-std-nacl)#permit host 10.1.6.66</
101、p><p> SwitchA(config-std-nacl)#exit</p><p> SwitchA(config)#access-list 2 deny any </p><p> SwitchA(config)#int vlan 2</p><p> SwitchA(config-if)#ip access-group 2 ou
102、t這幾條命令中的相應(yīng)關(guān)鍵字的意義如下: </p><p> access-list:配置均ACL的關(guān)鍵字,所有的ACL均使用這個(gè)命令進(jìn)行配置。 </p><p> access-list后面的2:ACL號(hào),ACL號(hào)相同的所有ACL形成一個(gè)組。在判斷一個(gè)包時(shí),使用同一組中的條目從上到下逐一進(jìn)行判斷,一遇到滿(mǎn)足的條目就終止對(duì)該包的判斷。1-99為標(biāo)準(zhǔn)的IP ACL號(hào),標(biāo)準(zhǔn)IP ACL由于只
103、讀取IP包頭的源地址部分,消耗資源少。 </p><p> Permit與deny操作。Permit是允許通過(guò),deny是丟棄包。 host 10.1.6.66/any:匹配條件,等同于10.1.6.66 0.0.0.0。剛才說(shuō)過(guò),標(biāo)準(zhǔn)的ACL只限制源地址。Host 10.1.6.66(10.1.6.66 0.0.0.0)的意思是只匹配源地址為10.1.6.66的包。0.0.0.0是wildcards,某位的w
104、ildcards為0表示IP地址的對(duì)應(yīng)位必須符合,為1表示IP地址的對(duì)應(yīng)位不管是什么都行。簡(jiǎn)單點(diǎn)說(shuō),就是255.255.255.255減去子網(wǎng)掩碼后的值,0.0.0.0的wildcards就是意味著IP地址必須符合10.1.6.66,可以簡(jiǎn)稱(chēng)為host 10.1.6.66。any表示匹配所有地址。 </p><p> int vlan1和ip access-group 2 out:這兩句將access-list
105、 2應(yīng)用到vlan2接口的out方向。其中2是ACL號(hào),和相應(yīng)的ACL進(jìn)行關(guān)聯(lián)。Out是對(duì)路由器該接口上哪個(gè)方向的包進(jìn)行過(guò)濾,可以有in和out兩種選擇。in/out都是站在路由器或交換機(jī)三層模塊上看的,in表示從該接口進(jìn)入路由器或交換機(jī)的包,out表示從該接口出去的包。 </p><p> 擴(kuò)展的IP ACL的配置 </p><p> 先看看配置實(shí)例吧。在SwitchA上進(jìn)行如下配置
106、: </p><p> SwitchA#config t </p><p> Enter configuration commands, one per line. End with CNTL/Z.</p><p> SwitchA(config)#int vlan 2</p><p> SwitchA(config-if)#no
107、ip access-group 2 out</p><p> SwitchA(config-if)#exit</p><p> SwitchA(config)#access-list 101 permit tcp host 10.1.6.66 any eq telnet</p><p> SwitchA(config)#access-list 101 den
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- vlan技術(shù)在學(xué)校網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用畢業(yè)設(shè)計(jì)
- php訪問(wèn)mysql(畢業(yè)設(shè)計(jì)外文翻譯)
- 畢業(yè)設(shè)計(jì)--在線電子地圖服務(wù)技術(shù)與訪問(wèn)平臺(tái)
- ARP-VLAN、IP路由和訪問(wèn)表技術(shù)的研究及其在IAG中的實(shí)現(xiàn).pdf
- 基于角色的訪問(wèn)控制技術(shù)的優(yōu)化和系統(tǒng)設(shè)計(jì).pdf
- vlan技術(shù)簡(jiǎn)介
- 基于組態(tài)技術(shù)和plc的電梯控制系統(tǒng)設(shè)計(jì)畢業(yè)設(shè)計(jì)
- 爐溫控制畢業(yè)設(shè)計(jì)畢業(yè)設(shè)計(jì)
- php畢業(yè)設(shè)計(jì)外文翻譯--通過(guò)php訪問(wèn)mysql
- 淺談vlan技術(shù)論文
- 畢業(yè)設(shè)計(jì)----汽車(chē)排放污染的控制技術(shù)
- 三層電梯控制技術(shù)畢業(yè)設(shè)計(jì)
- jsp畢業(yè)設(shè)計(jì)管理論文-利用jsp的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)訪問(wèn)技術(shù)實(shí)現(xiàn)畢業(yè)設(shè)計(jì)的網(wǎng)上跟蹤
- 計(jì)算機(jī)畢業(yè)設(shè)計(jì)外文翻譯----php訪問(wèn)mysql
- 電梯控制畢業(yè)設(shè)計(jì)
- 新型pid控制技術(shù)的matlab仿真畢業(yè)設(shè)計(jì)
- 堅(jiān)硬頂班控制技術(shù)的研究畢業(yè)設(shè)計(jì)
- 電梯控制畢業(yè)設(shè)計(jì)
- vlan技術(shù)及應(yīng)用實(shí)例
- 網(wǎng)格安全的認(rèn)證和訪問(wèn)控制技術(shù)研究.pdf
評(píng)論
0/150
提交評(píng)論