私有VLAN技術在企業數據中心中的應用

王亮　瞿國慶

摘要：本文以當前日益發展的企業數據中心為背景，很多企業在投入大量的人力和物力組建數據中心時，往往忽略了其安全性，從而可能會使數據丟失甚至泄露?；谝陨锨闆r，本文提出了應用私有VLAN技術來保障數據中心的安全。首先介紹了私有VLAN產生的原因，私有VLAN的原理及其作用等，然后依據具體的企業數據中心項目案例來實現私有VLAN技術在企業數據中心中的應用，既滿足了該項目的需求，同時又保障了企業數據中心的安全。

關鍵詞：私有VLAN技術 數據中心 信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）09-0063-03

1 引言

隨著時代的進步，信息化無處不在，涉及我們生活、工作和學習等方方面面，而作為信息化的核心部分—數據中心也就變得至關重要。數據中心是企業的業務系統與數據資源進行集中、集成、共享和分析的場地、工具、流程等的有機組合。從應用層面看，包括業務系統、基于數據倉庫的分析系統；從數據層面看，包括操作型數據和分析型數據以及數據與數據的集成/整合流程；從基礎設施層面看，包括服務器、網絡、存儲和整體IT 運行維護服務[1]。

但是很多企業在投入大量的人力和物力建設數據中心的同時，在其安全方面考慮不多，因此在數據中心投入使用后出現了較多的安全問題。數據中心安全圍繞數據為核心，從數據的訪問、使用、破壞、修改、丟失和泄漏等多方面展開，一般來說包括以下幾個方面：

（1）物理安全：主要指數據中心機房的安全，包括機房的選址，機房場地安全，防電磁輻射泄漏，防靜電，防火等內容；（2）網絡安全：指數據中心網絡自身的設計、構建和使用以及基于網絡的各種安全相關的技術和手段，如防火墻，IPS，安全審計等；（3）系統安全：包括服務器操作系統，數據庫，中間件等在內的系統安全，以及為提高這些系統的安全性而使用安全評估管理工具所進行的系統安全分析和加固；（4）數據安全：數據的保存以及備份和恢復設計；（5）信息安全：完整的用戶身份認證以及安全日志審計跟蹤，以及對安全日志和事件的統一分析和記錄。

拋開物理安全的考慮，網絡是數據中心所有系統的基礎平臺，網絡安全從而成為數據中心安全的基礎支持。因此合理的網絡安全體系設計、構建安全可靠的數據中心基礎網絡平臺是進行數據中心安全建設的基本內容[2]。

本文就以數據中心的安全問題入手，提出使用私有VLAN技術可以保障企業數據中心的安全，并給出相應的解決實現方案。下面首先來介紹私有VLAN技術。

2 私有VLAN技術簡介

2.1 私有VLAN技術的產生

隨著網絡的迅速發展，用戶對于網絡數據通信的安全性提出了更高的要求，諸如防范黑客攻擊、控制病毒傳播等，都要求保證網絡用戶通信的相對安全性；傳統的解決方法是給每個客戶分配一個VLAN和相關的IP子網，通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。 然而，這種分配每個客戶單一VLAN和IP子網的模型造成了巨大的可擴展方面的局限[3]。這些局限主要有下述幾方面：

（1）為每個客戶都分配一個不同的VLAN就需要在服務提供商的網絡設備上使用大量的三層接口；

（2）當很多VLAN互相通信時，生成樹就會變得非常復雜；

（3）管理員必須將網絡地址空間分為很多子網，而這樣做會浪費地址空間，并且增加網絡的復雜程度；

（4）管理員需要使用很多ACL應用來確保這些VLAN的安全性，這也會增加網絡管理員的復雜程度。

基于以上情況產生了私有VLAN技術，該技術可以讓交換機共享一部分端口，而又隔離一部分端口，同時所有這些端口還都位于同一個VLAN中。

2.2 私有VLAN技術的原理

2.2.1 私有VLAN的VLAN類型

每個私有VLAN包含2種VLAN類型：主VLAN（Primary VLAN）和輔助VLAN（Secondary VLAN），而輔助VLAN（Secondary VLAN）又包含兩種類型：隔離VLAN（Isolated VLAN）和團體VLAN（Community VLAN）。其中Primary VLAN把流量從混雜端口傳送到隔離、團體和同一個VLAN內部的其它主要混雜端口；Isolated VLAN把流量從隔離端口傳送到一個混雜端口。Isolated VLAN中的端口，使其不能與私有VLAN內部的任何其它端口進行第2層通信。若要與其它端口通信，則必須穿越混雜端口；在相同Community VLAN內部的團體端口之間傳送流量并傳送到混雜端口，Community VLAN內的端口可以在第2層彼此通信，但是不能與其它團體或隔離VLAN的端口進行通信。若要與其它端口進行通信，則必須穿越混雜端口[4]。

2.2.2 私有VLAN的端口類型

私有VLAN中的交換機物理端口有兩種接口類型：混雜端口（Promiscuous Port）和主機端口（Host Port）。其中Promiscuous Port隸屬于Primary VLAN，一個混雜端口可以與所有接口通信，包括私有VLAN內的隔離和團體端口，混雜端口的功能是在團體和隔離的VLAN端口之間傳遞流量；Host Port隸屬于Secondary VLAN，由于Secondary VLAN具有兩種屬性，那么主機端口依Secondary VLAN屬性的不同也有兩種分類：

（1）隔離端口（Isolated Port）：它與PVLAN內的所有其它端口相分離，除混雜端口外；來源于隔離端口的流量僅僅傳送給混雜端口。（2）團體端口（Community Port）：它在邏輯上把相同區域內部的各個端口和混雜端口結合到一起，流量可以在它們之間傳送。

2.2.3 私有VLAN間的通信原則

Primary VLAN可以和所有他所關聯的Isolated VLAN和Community VLAN通信。Community VLAN可以同那些處于相同Community VLAN內的Community Port通信，也可以與私有VLAN中的Promiscuous Port通信。Isolated VLAN不可以和處于相同Isolated VLAN內的其它Isolated Port通信，只可以與Promiscuous Port通信[5]。

2.3 私有VLAN技術的作用

通過私有VLAN技術可以隔離位于交換機同一VLAN中終端設備間的通信，使交換機一些端口的流量只能到達某些與默認網關或備份服務器相連的端口，執行了以上操作后，就可以控制同一個VLAN和同一個子網的終端設備間的通信，使網絡變得更加地安全。下面就在某企業數據中心網絡中應用私有VLAN技術來保障其網絡的安全[6]。

3 私有VLAN技術在企業數據中心中的應用

3.1 項目要求和設計方案（圖1）

3.1.1 項目要求

如圖1所示為某公司部分網絡拓撲圖，其中兩臺交換機分別連接工作區電腦和數據中心各服務器，交換機的型號是思科3560系列。現要求對交換機進行配置來保護數據中心中的服務器，實現以下功能：

（1）電腦和服務器處于同一個VLAN和同一個子網中；（2）普通員工電腦PC1只能訪問公用服務器Server1；（3）部門主管電腦PC2可以訪問公用服務器Server1和部門專用服務器Server2，但不能訪問財務系統服務器Server3；（4）總經理電腦PC3可以訪問所有服務器。

3.1.2 設計方案

根據以上項目要求，在經過多個方案的篩選后，最終決定通過應用私有VLAN技術來實現。如表1所示是某公司部分網絡設備IP地址和私有VLAN設計規劃表，（表1）便是私有VLAN的實現過程。

3.2 私有VLAN的實現過程

3.2.1 配置私有VLAN前準備工作

（1）配置各電腦和服務器的IP地址等參數；

（2）SW1和SW2間創建中繼鏈路；

只有創建了中繼鏈路，私有VLAN流量才可以跨越多個交換機，實現代碼如下：

SW1（config）#int f0/24

SW1（config-if）#switchport trunk encapsulation dot1q

//配置中繼端口的封裝方式

SW1（config-if）#switchport mode trunk

//將端口配置為中繼模式

SW2的配置類似于SW1。

（3）SW1和SW2配置成VTP的透明模式。

只有開啟了透明模式，才可以使用私有VLAN技術，實現代碼如下：

SW1（config）#vtp mode transparent

SW2（config）#vtp mode transparent

3.2.2 私有VLAN的配置

（1）創建主VLAN及輔助VLAN

SW1（config）#vlan 10

SW1（config-vlan）#private-vlan primary

//配置VLAN 10為主VLAN

SW1（config-vlan）#vlan 101

SW1（config-vlan）#private-vlan community

//配置VLAN 101為輔助VLAN的團體VLAN

SW1（config-vlan）#vlan 102

SW1（config-vlan）#private-vlan community

//配置VLAN 102為輔助VLAN的團體VLAN

SW1（config-vlan）#vlan 103

SW1（config-vlan）#private-vlan isolated

//配置VLAN 103為輔助VLAN的隔離VLAN

（2）關聯主VLAN和輔助VLAN

SW1（config）#vlan 10

SW1（config-vlan）#private-vlan association 101-103

//將主VLAN 10和輔助VLAN101、102和103關聯起來

（3）私有VLAN中端口的配置

SW1（config）#int f0/1

SW1（config-if）#switchport mode private-vlan host

//設置端口為host模式

SW1（config-if）#switchport private-vlan host-association 10 101

//關聯主VLAN和所屬的私有VLAN

SW1（config）#int f0/2

SW1（config-if）#switchport mode private-vlan host

SW1（config-if）#switchport private-vlan host-association 10 102

SW1（config）#int f0/3

SW1（config-if）#switchport mode private-vlan promiscuous

//設置端口為混雜模式

SW1（config-if）#switchport private-vlan mapping 10 101-103

//關聯主VLAN和能夠訪問的私有VLAN

SW2的配置類似于SW1

3.3 私有VLAN的驗證過程

配置完成后，我們使用ping命令來驗證工作區電腦與數據中心服務器間的連通性，確保私有VLAN配置的正確性，驗證過程如下：

3.3.1 普通員工電腦訪問各服務器

如圖2所示，普通員工電腦只能訪問公用服務器。

3.3.2 部門主管電腦訪問各服務器

如圖3所示，部門主管電腦可以訪問公用服務器和部門專用服務器，但不能訪問財務系統服務器。

3.3.3 總經理電腦訪問各服務器

如圖4所示，總經理電腦可以訪問所有服務器。

4 結論和展望

以上我們在企業的數據中心中應用私有VLAN技術，解決了在同一個VLAN和同一個子網間的通信問題。通過實踐得出私有VLAN技術可以解決通信安全、防止廣播風暴和浪費IP地址等方面問題，而且采用私有VLAN技術有助于網絡的優化，再加上私有VLAN在交換機上的配置也相對簡單，因此目前很多廠商生產的交換機都支持私有VLAN技術，私有VLAN技術也越來越得到眾多網絡管理人員的青睞，相信未來私有VLAN技術會得到更大的應用前景。

參考文獻

[1]鄧維，劉方明，金海，李丹.云計算數據中心的新能源應用：研究現狀與趨勢[J].計算機學報，2013（03）.

[2]郭怡磊.數據中心的未來發展[J].信息與電腦（理論版），2016（07）.

[3]（美）Cisco Systems公司，（美）Cisco Networking Academy Program著，天津大學等譯.思科網絡技術學院教程[M].人民郵電出版社，2004.

[4]陳明.PVLAN技術在虛擬局域網中的應用[J].漳州職業技術學院學報，2009（01）.

[5]陳光平，黃俊.PVLAN技術在小區寬帶網中的應用[J]. 網絡安全技術與應用，2006（04）.

[6]李衛編著.計算機網絡安全與管理[M].清華大學出版社，2004.