扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年11月25日
关键字: VLAN
国产网络厂商在技术上发展的空间并非没有,而是非常大。我们并不一定非要跟在别人后面亦步亦趋,有时候将眼光向“下”,更贴近中国网络用户的需求,而不应一味向“上”去追赶所谓的“国际潮流”。这样做往往会有意想不到的收获!
红红火火的智能社区
由于小区网络建设和应用的特点,决定了它对管理和安全方面提出更高的要求,而这也正是目前智能小区建设中存在的突出问题。
网络管理包括两部分。一部分是对网络设备的管理,即监控、调整网络的运行状态。另一部分是对网络用户的管理,包括用户小区网络服务权限的开通、关闭和调整,用户带宽的管理、流量的限制等等。网络安全也包含两部分内容。一是防御来自小区网络外部的攻击,小区网络中的计算机实时连接在Internet上,除了容易被恶意攻击者攻击外,最有可能的是被攻击者入侵后作为分布式拒绝服务攻击(Distributed Denial Of Service,D.D.O.S)的攻击机器,被驱使去攻击、阻塞别的主机。对一个攻击者而言,像智能小区这样的主机密集的网络,应该是很好的“攻击资源”。另外,小区内部用户互相之间的攻击,也必须严加防范。
智能社区与VLAN设置
通俗地说,虚拟局域网 (VLAN)是一种将节点按逻辑分组而不是按物理分组的网络结构。VLAN 的分段产生了敏感信息不能共享的安全区域,为有效地降低广播通信量,在分组中产生了各自的广播区域,提供了更高的网络效率和安全性。下面的图 1和图2 显示了LAN和VLAN的差别。
图1 LAN分段
在智能小区网络中,VLAN的划分非常重要。一般而言,我们将一个小区网络划分为三个层次,前端接入层、楼宇汇集层和小区核心层。下面对这三层中VLAN的划分及其作用进行说明。
a) 前端接入层
前端接入层交换机放置在每栋楼宇之内,住户的计算机接在前端接入层交换机上。我们将用户接入的交换机端口称为普通端口,而将上连到上一级交换机的端口称为上连端口。在前端接入层交换机上划分VLAN,每个VLAN中只有2个端口:1个普通端口和1个上连端口。我们需要划分N-1个VLAN(N为交换机端口数)。经过这样的VLAN划分
b) 楼宇汇集层
楼宇汇集层交换机负责将若干台前端接入层交换机连接起来。在楼宇汇集层交换机上划分VLAN,每个VLAN中也只有2个端口:1个普通端口和1个上连端口。我们同样需要划分N-1个VLAN(N为交换机端口数)。经过这样的VLAN划分,每台前端交换机之间互相不能通信,但都可以和上一级交换机,即小区核心层交换机通信。
图2 VLAN划分
c) 小区核心层
小区核心层交换机负责将若干台楼宇汇集层交换机连接起来。同样地,在小区核心层交换机上划分VLAN,每个VLAN中也只有2个端口:1个普通端口和1个上连端口。我们同样需要划分N-1个VLAN(N为交换机端口数)。经过这样的VLAN划分,每台楼宇汇集层交换机之间互相不能通信,但都可以和上一级交换机,即城域网的接入层交换机通信。可以看到,经过这样的VLAN划分,每个住户的计算机都不可能访问到小区内其他任何住户的计算机,但却能够访问城域网。
VLAN技术问世已经有好几年时间,但一直没有得到充分的利用。而人们往往把VLAN和第三层交换(Layer3 Switching)联系在一起。认为划分了VLAN就必须引入第三层交换,通过在第三层交换机或路由器上设置访问列表(Access Listing),使VLAN之间能够互相通信。这在一些企业的园区网中是很有必要的。那么,在智能小区网络中需要第三层交换吗?回答是否定的,至少在目前看来是没有必要的。因为我们还看不到小区网络中VLAN之间通信的必要性。
在小区网络中进行这样“彻底”的VLAN划分,首先将可能产生的网络广播流量都消除掉了,否则,这样一个大型网络如果都处在一个广播域下,而且网络上有大量数据传输,很容易引起广播风暴。另外这样的VLAN划分还很好地解决了小区网络内部的网络安全问题。
而对网络用户的管理,一般通过在小区网络到城域网的出口处设置代理服务器来实现。所有的用户接入城域网,都需要通过代理服务器进行转发,可以根据需要在代理服务器上设置和调整用户权限。
安全管理与跨端口VLAN设置
之所以将这两个问题放在一起分析,是因为目前可以划分VLAN的网络设备,基本上都支持基于SNMP的网络管理。由于集线器在广播方式下工作,即使支持网络管理也决不可能划分VLAN,要划分VLAN,只能使用交换机。目前,可网管的交换机价格还是比较昂贵的,以使用最多的前端交换机为例,每个可管理的前端交换接入点价格在400-500元/点之间,而不可管理的前端交换接入点价格仅为150-200元/点。由于小区网络的建设费用主要靠运营商自筹,采购可网管交换机的投资额较大,投资回收期也相应延长。
针对可划分VLAN的可网管交换机价格居高不下的问题,清华紫光的技术专家和研发人员从技术和应用两方面进行了综合分析。
从技术角度讲,支持网管和支持VLAN其实是不同的功能,但要对VLAN进行设置、调整等管理必须通过网管功能来实现。但网管不一定非得是支持SNMP的网管。从应用角度看,据调查许多运营商并不是特别需要对前端交换机的每个端口流量进行详细的监控,但是他们需要对用户端口的速率进行设置。比如说,将1个10/100Mbps的端口速率设置为10M或是100M,这样如果楼宇汇集层交换机是百兆交换机的话,可以避免前端接入层到楼宇汇集层的传输瓶颈,同时又具有足够的灵活性。而且最重要的是小区网络前端交换机的VLAN设置是一种“极端”的设置,根本不需要调整。
经过不懈的努力,清华紫光研发生产出了一款极具特色的交换机MS3241F2。这款交换机有24个10/100MbpsRJ-45端口,还可以插入一个百兆光纤模块。MS3241F2的独特之处,是它的前面板上有两个小按钮,可以对每一个端口的速率进行设置。最重要的是,通过这两个小按钮,可以按动几下,即可将MS3241F2交换机设置成 “安全VLAN”模式。在安全VLAN模式下,交换机内划分成23个VLAN,每个VLAN只包括1个普通端口和24号端口(如果有光纤模块则光纤模块就是24号端口),这样,通过24号端口或光纤模块上连楼宇汇集层交换机,1到23号端口用来接入用户。住户之间不能通信,而都可以和楼宇汇集层交换机通信。
在实际应用中,可以在前端接入层和楼宇汇集层都使用MS3241F2,这样可以大大削减投资。而小区核心层交换机最好还是选用支持SNMP管理的高端交换机。这样可以对小区网络骨干进行监控和管理,比较符合运营商的实际需求。当然,如果对楼宇汇集层也有监控和管理的需求,同样可以在这一层选择支持SNMP管理的交换机。
还有一个问题,MS3241F2并不支持802.1Q的VLAN标准。那么怎么跨交换机端口划分VLAN呢?
这首先要从802.1Q标准说起。它是一个关于桥接和LAN互连的规范。根据802.1Q规范,可以让VLAN关联在交换机之间保持,也就是我们所说的跨交换机端口划分VLAN。802.1Q要求发送携带VLAN标记的帧,而连接两个交换机的端口称为“标记端口”,在这里属于所有VLAN的成员。在某一交换机上接收到的广播帧将向所有VLAN成员进行转发,其中也包括“标记端口”。当广播帧在交换机间端口上传输时,它被注上VLAN成员的标记。另一个交换机接受到它后,将除去VLAN标记,并观察其所带的关联,然后向VLAN成员所连接的其它端口转发。
这样就清楚了,由于MS3241F2的24号端口属于所有VLAN,所以就具有了“标记端口”的功能。广播帧从MS3241F2向其它交换机传输,虽然没有注上标记,但已经可以传输到另一台交换机上。这样另一台交换机无论是否支持802.1Q,都可以观察到这个帧所带的关联,然后向VLAN成员所连接的其它端口转发。这样的交换机,价格与普通的不可管理交换机相差无几,却为智能小区网络运营商解决了大问题。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。