虚拟局域网VLAN在内网中的管理应用

1、虚拟局域网VLAN在内网中的管理应用 2010-07-01 作者:字体选择:【大】【中】【小】最新推荐CERNET第十七届学术年会征文延. 05-05特别策划:桌面虚拟化正迎来发. 04-14中国电信联合清华组建下一代互. 03-11特别策划:数字图书馆路在何方? 02-26所谓VLAN 是指处于不同物理位置的节点根据需要组成不同的逻辑子网,即一个VLAN 就是一个逻辑广播域,它可以覆盖多个网络设备。VLAN 允许处于不同地理位置的网络用户加入到一个逻辑子网中,共享一个广播域。通过对VLAN 的创建可以控制广播风暴的产生,从而提高交换式网络的整体性能和安全性。同一个VLAN 中的端口可以接受V

2、LAN 中的广播包,别的VLAN 中的端口则接收不到。VLAN在网络管理中的应用集团公司下属公司多,业务种类多,根据业务发展需要,经过认真规划,将联网后的统一网络划分为30个VLAN。划分原则为:集团本部以楼层为单位进行VLAN 划分,各下属公司以业务的不同来划分VLAN,不同的VLAN具有不同的安全级别。其中生产用机及各种服务器所在的VLAN 具有的安全级别较高。同时利用路由器自身的访问控制功能,设置访问列表对特定的VLAN用户进行保护,对特定的端口135、445、1434等进行控制,保证了整个网络中各个VLAN 用户的安全隔离。VLAN划分的有4种策略:基于端口的VLAN 划分、基于MAC

3、地址的VLAN划分、基于路由的VLAN 划分、基于策略的VLAN 划分。该集团采用的方式是基于端口的VLAN划分的方式。基于端口的VLAN划分是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换机端口进行重新分配即可,不用考虑该端口所连接的设备。在交换机投入运行前就把它的物理端口根据需要划分给指定的VLAN 并分配给用户。这种划分使网络管理员能够随时掌握网络的负载情况,有利于网络的优化使用,并具有较高的安全性。那么VLAN 与VLAN之间又是如何实现相互间的访问呢?在一般的二层交换机组成的网络中,VLAN 实现了网络流量的分割,不同的VLAN 间是不能互相通信的。要实现VLAN 间

4、的通信必须借助:1路由器来实现;2三层交换机。下属公司采用的是使用三层交换机的方式。利用三层交换机实现VLAN 间通信,三层交换机是将第二层交换机和第三层路由器两者的优势有机而智能化地结合起来,可在各个层次提供线速性能。三层交换机内,分别设置了交换机模块和路由器模块;而内置的路由模块与交换模块类似,也使用ASIC硬件处理路由。因此,与传统的路由器相比,可以实现高速路由。并且,路由与交换模块是汇聚链接的,由于是内部连接,可以确保相当大的带宽。用三层交换机的路由功能来实现VLAN 间的通信。VLAN 对于网络使用者来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别,但对于网络管理人员则有

5、很大的不同,因为这主要取决于VLAN 的几点优势。(1控制广播风暴网络管理必须解决因大量广播信息带来带宽消耗的问题。VLAN 作为一种网络分段技术,可将广播风暴限制在一个VLAN 内部,避免影响其他网段。与传统局域网相比,VLAN 能够更加有效地利用带宽。在VLAN 中,网络被逻辑地分割成广播域,由VLAN 成员所发送的信息帧或数据包仅在VLAN 内的成员之间传送,而不是向网上的所有工作站发送。这样可减少主干网的流量,提高网络速度。(2增强网络的安全性共享式LAN上的广播必然会产生安全性问题,因为网络上的所有用户都能监测到流经的业务,用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN

6、提供的安全机制,可以限制特定用户的访问,控制广播组的大小和位置,甚至锁定网络成员的MAC地址,这样,就限制了未经安全许可的用户和网络成员对网络的使用。(3增强网络管理采用VLAN技术,使用VLAN管理程序可对整个网络进行集中管理,能够更容易地实现网络的管理性。用户可以根据业务需要快速组建和调整VLAN。当链路拥挤时,利用管理程序能够重新分配业务。管理程序还能够提供有关工作组的业务量、广播行为以及统计特性等的详尽报告。对于网络管理员来说,所有这些网络配置和管理工作都是透明的。VLAN 变动时,用户无需了解网络的接线情况和协议是如何重新设置的。另外在使用VLAN 划分后,也较好的解决了客户机随意使

7、用IP地址的问题,因为某台计算机是属于某个特定的VLAN 的,如果设置其他VLAN的IP地址,则是不能接人局域网的。结语局域网通过使用VLAN 划分技术,在安全性和稳定性方面都有了很大的提升,为各种业务的开展提供了可靠的保证,总之VLAN技术在集团公司网络管理中的重要性是不容忽视的。 2008-07-07 中国教育和科研计算机网作者:字体选择:【大】【中】【小】最新推荐关于举办“2009教育信息存储大. 11-06CERNET第十六届学术年会征文通知10-161、和802.1x相关的交换机主要配置内容:aaa new-modelaaa authentication dot1x default

8、group radiusaaa authorization network default group radius!-如果只是做802.1x认证,则aaa authorization network这句可不要,如要做VLAN 分配或per-user ACL,则必须做network authorizationdot1x system-auth-controlinterface FastEthernet0/1description To Server_Farmswitchport mode accessdot1x port-control autodot1x max-req 3spanning-

9、tree portfast!-dot1x port-control auto句在F0/1上enable dot1x,另外注意在F0/1口下我并没有给它赋VLANradius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key radius_stringradius-server vsa send authentication!-radius-server host 1.2.3.4句定义radius server信息,并给出验证字串!-因为要配置VLAN分配必须使用IETF所规定的VSA(V endor-specific attribute

10、s值,radius-server vsa send authentication句允许交换机识别和使用这些VSA值。配置802.1x动态分配VLAN所用到的VSA值规定如下:64 Tunnel-Type = VLAN65 Tunnel-Medium-Type = 80281 Tunnel-Private-Group-ID = VLAN name or VLAN ID2、和802.1x相关的ACS主要配置内容:这个配置要看图了,另外附带说一点,Cisco文档说ACS 3.0之前是不支持802.1x 的。因为802.1x使用radius进行认证,所以在选用认证协议时我选用的是RADIUS(IETF

11、,而缺省是Cisco的TACACS+。在Interface Configuration中对RADIUS(IETF进行配置,在组用户属性中选中64Tunnel-Type、65 Tunnel-Medium-Type、81Tunnel-Private-Group-ID(见下图。在Group Setup中对RADIUS V endor-Specific Attributes值进行编辑:勾选64Tunnel-Type,将tag 1的值选为VLAN;勾选65 Tunnel-Medium-Type,将tag 1的值选为802;勾选81Tunnel-Private-Group-ID,将tag 1的值设为7,表

12、明为VLAN 7(见下图。设置完后,Submit+Rest。3、工作站端的设置:WINXP本身内置对802.1x的支持,微软在前不久出了一个补丁可以让WIN2K也支持802.1x,需要注意的是WIN2K SP4已经内置了对802.1x的支持,SP3以下可使用此补丁:安装完此补丁后,802.1x默认是不启动的,可在服务中手动打开Wireless Configuration服务,打开此服务后,在网卡连接属性中会多出一栏Authenticatioin,在此栏中勾选Enable network access control using IEEE 802.1x,同时在EAP type中选中MD5-Cha

13、llenge。4、测试:在所有设置完成后,可以观察到802.1x enable的F0/1口上状态灯显示为黄灯,而在工作站端过一会后会弹出一个认证窗口,在用户名/口令处填入ACS中定义好的用户名/口令,域名处不填,同时观察WIN2K systray处的连接图标,上面会有和认证服务器联系及认证用户的浮动提示,同时F0/1的状态灯也会顺利变为绿灯。认证通过后检验VLAN值是否已正确分配:先ping VLAN7的网关地址,通;再ping其它VLAN的网关地址,通;最后看可否上Internet,通。注:1、ip 可以由3550 来作dhcp server ,显示802。1x 激活端口,然后用dhcp 分

14、ip,至于mac地址再绑定,这里没有必要了,有了802。1x 就不用vmps拉,802。1x可以根据用户名来分vlan。2、接注1问题,我是想确定每台电脑的IP地址。例如现在用的6509,如果直接用它做DHCP ,那么端口激活得到VLAN TAG后,分配的IP地址我想固定死。因为我们针对防火墙日志自己开发了一个分析软件是基于IP地址的。这种情况下我想固定分配给客户端IP。但是客户端电脑又要从DHCP中得到固定IP. 2008-07-15 作者:严小英;温川字体选择:【大】【中】【小】最新推荐关于举办“2009教育信息存储大. 11-06CERNET第十六届学术年会征文通知10-16“2009教

15、育网络管理与应用大会. 08-20聚焦应用创新提升服务水平09-04成都中医药大学数字化校园建设包括了骨干光纤、数据中心等基础建设和网络宽带建设、一卡通建设等7大应用系统。在此基础上,如何在不重复建设的情况下实现校园网络的802.1X认证和一卡通是必须突破的重点。我校校园宽带网络根据安全需求采用了HUAWEI5200和CAMS来实现802.1X认证。客户端发起认证请求,认证成功后,下发认证通过信息,通知5200相关IP地址通过,如果没有认证成功,则5200上做限制,不允许上线。我校温江校区数字化校园一卡通系统由中心数据库、卡务管理、一卡通财务清算、收费(消费管理、浴室(开水房、机房管理、Web

16、查询管理(包含触摸屏查询、大门机动车出入管理八个子系统组成。系统设计用户为2万人,整个系统配置了4台HP服务器,其中中心数据库的硬件平台采用了两台高性能的HP GL580服务器作双机设备,一台HP 201723-B22磁盘阵列柜(14个SICS存储磁盘,一台HP GL380服务器做为前端服务器,一台HP GL380服务器作为系统的Web服务器。同时还配备了一台阿姆瑞特高端硬件防火墙。平台操作系统为Linux,数据库管理平台为Oracle 10。一卡通的数据实现包含两部分,一部分包含食堂、水控、计财处等终端数据,另一部分则是校园超市、机房收费系统以及停车系统。食堂、水控、计财处等处信息点相对集中

17、,并且安全性要求高,所以这部分终端采用专用485通讯线综合布线,如图2中红线标示,然后利用USB转RS232的网卡接入一卡通专用TCP/IP网络中,通过光纤接入中心机房的数据服务器。校园超市、机房收费系统以及停车系统等,因为分别位于教学楼、学生公寓、南大门处信息点分散。如果要建立专门的一卡通网点,进行综合布线则投入成本过高。而以校园网现有综合布线实现校园网一卡通的全网联通,又必须解决两个问题:一是校园宽带网络为802.1X网络,而一卡通的消费终端都是不能认证的;二是一卡通服务器为内网服务器,与校园宽带网络没有网络互连。为解决这两个问题我校采取了以下措施:1.建立一卡通Web服务器,在Web服务器上使用双网卡。内网网卡与一卡通数据服务器连接,交换数据。外网网卡接入校园网服务器区,提供给校园超市、机房收费系统以及停车系统一个通过TCP/IP可以访问的Web服务器。2.在校园超市、机房收费系统以及停车系统使用TCP/IP消费终端。3.接入层交换机设定VLAN透传,如我们设定VLAN1023为一卡通专用VLAN,则需要把接入一卡通信息点的端口都配置为VLAN1023,然后通过VLAN透传,经过会聚,到核心 5200