虛擬局域網的組建與應用分析

姜亞軍

(遼陽職業技術學院，遼寧 遼陽 111000)

0 引言

在網絡帶寬不斷擴展的背景下，虛擬局域網成為各行各業組建網絡的新選擇。作為一種擺脫物理條件限制的方式，虛擬局域網可以滿足同一內網多設備運行需求，并可將帶有隱私數據用戶和網絡其他部分隔離開來，防控網絡機密信息泄露。因此，探究虛擬局域網的組建與應用具有非常突出的現實意義。

1 虛擬局域網的組建優勢

1.1 規避廣播風暴

廣播風暴特指廣播數據充斥網絡并占用海量網絡帶寬阻礙正常業務運行的現象。在無線時代，AP設備(無線接入點)的發現與管理操作無時無刻不在產生著廣播包，廣播風暴現象頻繁出現。通過虛擬局域網組建，有望分割廣播域，規避廣播風暴。

1.2 保障內網安全

虛擬局域網是安全穩定性較為突出的網絡，可在隔離帶敏感數據用戶、網絡其他部分的同時，防控機密信息泄露。同時虛擬局域網可以隔離自身與外部局域網報文傳輸機制，限制無線設備訪問內網，保障內網安全[1]。

1.3 提高管理效率

傳統局域網環境無法對不同網段進行上網策略、流量控制策略的差異化配置，而虛擬局域網可以根據管理需要，介入功能分類，在不同地域、網絡集中客戶，為不同部門劃分不同網段，提高管理效率。

2 虛擬局域網的組建技術

2.1 DHCP技術

DHCP技術(dynamic host configuration protocol，動態主機配置協議)是一種根據用戶需要自動分配IP地址、缺省網管、子網掩碼、DNS服務器地址的技術，可以規避大規模、海量客戶端網絡內IP地址沖突。

在虛擬局域網組建時，DHCP技術除用于內網(或網絡服務商)DNS服務器、主機名、IP地址、域名分配外，還可配合其他服務進行集成化管理。常用的IP地址分配方式為自動、動態、手工分配[2]。自動分配即通過DHCP服務器為主機提供一個永久不變更的IP地址；動態分配即通過DHCP服務器為主機提供一個允許變更且限時的IP地址；手工分配即先由網絡服務器管理員為客戶端指定IP地址，進而由DHCP服務器將指定IP地址向客戶端主機分配。

2.2 PAT技術

PAT技術(performance acceleration technology，性能加速技術)是一種促使內部網絡主機共享合法外部IP地址并訪問外部網絡的技術，可在降低IP地址資源損耗的同時，致使內部網絡主機隱形化，規避外部對內網攻擊。

在虛擬局域網組建時，PAT技術需要利用全局配置命令“ip nat pool xingming kaishi-ip jieshu-ip {netmask |prefix-length prefix-length}”，進行內部全局地址池創建。進而為降低動態NAT(Network Address Translation，網絡地址轉換)內部網絡用戶自由度，利用全局配置命令“access-list access-list-shuzi permit source[source-wildcard]”，進行一個訪問控制列表創建。同時，利用全局配置指示命令“access-list-shuzi pool xingming overload”，將訪問控制列表、全局地址池應用到NAT轉換過程。進而利用端口配置命令“ip natinside”和“ip address ip-address mask”，先明確路由器中NAT轉換的內部與外部端口，再將IP地址配送給NAT內部、外部端口并同時啟用相應端口。

2.3 ACL技術

ACL技術(access control list，訪問控制列表)是運用于路由器接口的數據包拒絕、接收規則(或指令列表)。在包過濾理念下，ACL技術可以讀取路由器特定層包頭信息(目標地址、源地址、源端口、目標端口等)，依據前期定義規則過濾數據包，或按規則順序匹配數據包，達到控制訪問的目的。

在虛擬局域網組建時，ACL技術主要包括標準ACL、擴展ACL兩種。標準ACL是以數據包源IP地址發出數據包允許、拒絕指令的方法，多用“access-list-shuzi{permitl deny}source[souce-wildcard]”語法，可以控制1～99的列表；擴展ACL是以數據包源IP地址以及端口、目的IP地址、標準、指定協議發出數據包允許、拒絕指令的方法，常用語法為“access-list-number{permitldeny}kongzhi{source souce-wildcard destination-wildcard[operator operan]”，可以控制100～199的數據列表。

3 虛擬局域網的組建方案

3.1 VLAN標記

VLAN(虛擬局域網)標記內源地址字段、類型字段間Byte的數量為4個，前、后2個Byte功能不同，表示也不同。前2個Byte規范為IEEE規范，表示為十六進制的0×8 100，負責虛擬局域網協議標識制作；后2個Byte表示3Bit+12Bit，均負責TAG信息控制。其中3Bit范圍為0～7，特指用戶優先級字段，可在網絡堵塞時優先排隊轉發，而12Bit則標識帶有虛擬局域網標記幀的歸屬方，標準局域網范圍為1～1 001，擴展局域網范圍為1 006～4 094，1 002、1 003、1 004、1 005均為無法刪除的令牌環網絡，用于802.1Q協議啟動。

3.2 VLAN劃分

在明確VLAN標識后，須采用基于MAC(物理網卡)地址或基于交換機端口、網絡層、IP組播的方式進行虛擬局域網劃分。不同的虛擬局域網劃分方式，對虛擬局域網可用性具有較大影響。

3.2.1 基于MAC地址的VLAN劃分

在基于MAC地址的虛擬局域網劃分時，每一塊網卡的MAC地址、交換機跟蹤的虛擬局域網物理地址一一對應，且具有唯一性，因此，需要根據每一臺PC機的網卡或物理地址，將每一臺PC機的MAC地址配置到對應的邏輯組，允許用戶在保留所屬虛擬局域網成員身份的前提下，從一個物理位置節點向另外一個物理位置節點轉移。

3.2.2 基于交換機端口的VLAN劃分

在基于交換機端口的虛擬局域網劃分時，可以將一臺交換機局部模式為訪問模式的端口或者若干臺交換機的局部模式為訪問模式的端口換分為一個邏輯組，后續由網絡管理員分配交換機端口，并在不考慮端口連接設備的情況下完成端口參數設置，基于交換機端口的VLAN劃分如圖1所示。

圖1 基于交換機端口的VLAN劃分

如圖1所示，局域網交換機端口1、端口2、端口3、端口7、端口8組成了一個邏輯組VLAN1，局域網交換機端口4、端口5、端口6組成了一個邏輯組VLAN2。

3.2.3 基于網絡層的VLAN劃分

在基于網絡層的虛擬局域網劃分時，應根據ISO/OSI體系結構第三層網絡側路，通過協議差異進行若干虛擬局域網劃分，即在以太網幀的基礎上增設虛擬局域網頭部控制信息，經虛擬局域網層級劃分將主機劃分為更小的網絡，通過限制ID存在差異的虛擬局域網主機第三層互相訪問權限，隔離不同主機信息交互。比如VLAN1～VLAN5為計算機房網段，VLAN6為服務器機房網段，VLAN7為管理網段。

3.2.4 基于IP組播的VLAN劃分

在基于IP組播的虛擬局域網劃分時，可以通過根據TCP/IP內IP地址差異，進行若干虛擬局域網劃分。比如在某小型企業虛擬局域網組建時，要求現有2個部門之間無信息交互，但部門各自可以進行信息交互，此時，在VLAN10內其中一個部門的IP地址可以分配為192.168.10.0～192.168.10.235，而VLAN20內另外一個部門的IP地址可以分配為192.168.20.0～192.168.20.248。

3.3 VLAN配置

3.3.1 交換機

在虛擬局域網中，交換機包括核心、匯聚、接入層交換機。其中核心交換機負責滿足骨干網絡數據高速、安全轉發需求，不需要策略配置，僅需要進行設備名稱修改、進入端口路由模式設置、進入端口選擇、接口IP地址選擇等簡單配置；匯聚交換機負責匯聚數據，需要選擇內嵌安全策略的交換機，滿足硬件訪問權限限制、網絡攻擊防控、網絡掃描限制需求；接入層交換機負責接入設備，其需要先從與匯聚層交換機連接端口著手，將F0/24修改為Trunk模式。進而根據規劃要求進行相應虛擬局域網創建，最終將不同的虛擬局域網分配給不同端口，如將VLAN20分配給端口2：insert (config)#interface range F0/2；insert (config-if)#switchport access vlan20。

3.3.2 動態協議

在虛擬局域網之間信息交互時，除配置核心、匯聚交換機外，還需要進行動態路由協議的配置。在選擇鏈路狀態協議OSPF后，可以進行匯聚層配置，具體配置如下。

do office work_assemble(config)#ip routing//開始路由功能

do office work_assemble(config)#router ospf 1//創建OSPF進程

do office work_assemble(config-router)#wangluo 192.168.1.00.0.0.255bendi0//接入OSPF進程

do office work_assemble(config-router)#wangluo10.0.0.00.255.255.255bendi0

do office work_assemble(config-router)#。

在匯聚層配置動態協議后，可以進行核心層動態協議配置，即：

sw_core(config)#router ospf1

sw_core(config-router)#wangluo192.168.1.00.0.0.255bendi0

sw_core(config-router)#wangluo10.0.0.00.255.255.255bendi0

sw_core(config-router)#jieru-zhuanhuanfo/5//。

4 虛擬局域網的實際應用

4.1 分布式監控

基于虛擬局域網的分布式監控包括上位機(工控機、網絡通信部件)、下位機(工控機、網絡通信部件、信號采集部件)、監控終端(辦公用計算機)幾個部分，上位機負責數據監控，下位機負責現場監控，監控終端負責管理分析。在網絡配置模式下，需要在同一網段設置若干區域若干下位機外網IP地址、上位機IP地址，形成虛擬局域網。

在虛擬局域網中，下位機可經端子排與驅動程序連接，讀取儀表設置參數并將參數轉換為可顯示的數值，如壓力、溫度等。同時經ADSL MODEM將現場采集數據向INT網絡發送。INT網絡可以經路由器、光纖收發器、交換機向上位機輸送數據，上位機可將數據傳輸給監控終端，并將監控終端分析后的指令發送給下位機，實現分布式監控。監控終端可以隨時查看現場、歷史運行數據以及各類圖表，及時發現現場故障問題，根據數據趨勢提出解決方案。

4.2 過程層管理

智能網絡架構包括站控、間隔、過程層3個層級，涉及站控、過程層網絡，其中過程層網絡匯聚了智能終端、合并單元，降低了回路長度，可以經光線媒介與間隔層設備進行信息交互。在過程層網絡中，SV(采樣值信息)是主要傳輸信息，要求發送速率達到4 000幀/s，發送量較大，極易引發廣播風暴。基于此，可以利用IEEE802.1Q附加的虛擬局域網信息標識，進行虛擬局域網劃分，過濾報文，規避廣播風暴。報文中的虛擬局域網信息標識為目標MAC地址、發生源MAC地址、TPID、TCP、類型、數據部分、CRC，其中目標MAC地址為6 bit/s；發生源MAC地址為6 bit/s；TPID(0×8 100)為2 bit/s；TCP(內含12 bit/s的VLAN信息標識)為2 bit/s，包括User priority(3 bit/s)、CFI(1 bit/s)、VLAN ID(12 bit/s)；類型為1 bit/s；數據部分為46～15 006 bit/s；CRC為4 bit/s。

為順利過濾報文，可以設置若干交換機VLAN ID僅對應1個Port-base VLAN ID，以便在收到一個untaged數據包時自動“粘貼”VLAN標簽，經交換機untaged端口接收數據包或發送去標簽數據包。此時，在動態查詢報文信息未增加的情況下，交換機不負責二層組播管理協議，也不會動態變更網絡劃分，網絡報文流量顯著降低。

5 結語

在標準以太網幀內插入VLAN TAG標記字段后，可以實現虛擬局域網的搭建。從本質上而言，虛擬局域網是從邏輯層面將一個物理空間真實廣播域局域網劃分為若干完全隔離的子廣播域的技術，可以在降低主機硬件資源損耗量的同時，防止安全信息泄露并降低病毒泛濫傳播風險，為用戶提供良好的體驗。因此，相應技術人員可以根據虛擬局域網應用需求，利用ACL、PAT、DHCP技術，進行子廣播域的邏輯劃分與隔離，為各行各業發展提供安全的網絡環境。