许多网络设备都支持虚网功能,这个功能并不是说说而已的,它有许多实际用处。比如:中科院广州分院就是利用VLAN解决了令所有网管员头疼的IP地址管理问题。
作为中科院中国科技网(CSTNET)的二级节点,广州分院网络中心于1998年初完成设备安装,并投入运行。随着接入的用户单位增多和网络应用的开展,在管理中碰到了不少问题,尤其是对防止某些用户使用未授权IP地址上网这方面,一直没有有效预防措施,网管人员为此花费了不少精力。以前曾想在边界路由器上做IP-MAC绑定,但出于网络整体安全角度考虑,CSTnet的边界路由器管理权归院网络中心,如果作为二级节点的广州分院网把IP-MAC绑定在边界路由器上,将不利于网络监控及管理,使院网络中心对一些突发事件无法作出快速反应。因此该方案实际并不可行,解决问题只能在广州分院网络中心设备上着手,使用虚网技术是一个很好的办法。
广州分院网络中心拓扑图
广州分院网络中心设备的主交换机、路由器为思科公司的Catalyst 3200及Cisco 4500。
由于4500只配高速口f0,其余为串口,使得边界路由器Cisco 2514只能接入Catalyst3200,和所有局域网形成“平构式”结构,对防止IP盗用问题有些先天不足。
其实,Cisco产品的虚网功能完全可以被利用来解决这一问题。从分析Catalyst 3200虚网功能上可见,除了其本身的优点外,Catalyst 3200交换机与Cisco 4500路由器的高速口支持ISL(InterSwitch Link)及VTP(VLAN Trunk Protocol),这对强化网络管理提供了有力的技术保证。通过对Catalyst 3200的端口进行虚网设置,再根据网络用户所在的物理位置、工作性质、网络通信负载均衡原则,把所有网络用户纳入不同虚拟子网,各子网通过Catalyst 3200与Cisco 4500的高速口连接,再把IP-MAC绑定在Cisco 4500上就可能达到预期目的。
虚拟子网VLAN的配置
首先,经超级终端进入Catalyst 3200控制台,进入“Set VTP And???? ”,选“VTP Administration Configuration”,设置VALN管理域名为“Gietnet”、VTP方式为“Server”。
第二步,设置VLAN及Trunk,将所有子网的交换机、Hub上连至Catalyst 3200的10M或100M口,将这些端口进行虚网划分如表一。
表一
从控制台的Configuration项选定“Local VLAN Prot Configuration”,进行VLAN及Trunk口的指定,并把所有的3个VLAN填入Trunk口的配置单中,最后显示如表二。
表二local vlan prot configuration
把Cisco 4500的f0口按子网数“分割”成相应的“子口”, 根据其设置的ISL(InterSwitch Link)号,与相应子网进行逻辑连接。在本例中,f0被分割为f0.1、f0.2、f0.3与VLAN1、VLAN2、VLAN3连接,其配置命令如下:
router(config)#int f0.1
router(config-subif)#Description VLAN1_GIET
router(config-subif)#ip address 192.168.111.1 255.255.255.192
router(config-subif)#encapsulation isl 2 .
router(config)#int f0.2
router(config-subif)#Description VLAN2_gzbnic
router(config-subif)#ip addess 192.168.111.65 255.255.255.192
router(config-subif)#encapsulation isl 3
设置完毕,再请北京网络中心把边界路由器中有关子网路由项全部指向Cisco 4500,用户的网关按其子网路由器地址设定。
为强化网络管理,防止IP盗用,在Cisco 4500路由器上建立ARP表,将所有子网的IP地址与相应的用户网卡MAC地址进行绑定,对于未用的IP地址也进行绑定,如:
当注册网络用户需更换网卡时,需得到网管人员的确认、同意,使非法盗用无法进行;另外可按具体情况设置访问控制列表等安全管理措施(如配合Proxy Server的IP access list设置)。
ARP 192.168.111.130 0800.3c5d.419f ARPA (已分配的IP有网卡地址)
ARP 192.168.111.169 0000.0000.0000 ARPA (未分配的IP无网卡地址)
系统特点
经过虚网设置和IP-MAC绑定结合, 目前,网络系统具有如下优点:
1) 发挥出VLAN的优势,改变了网络结构,合理分配网络资源,均衡网络负载,有效降低网上广播信息,方便对用户的分组管理。
2) 增强了网络安全性。由于网络中各子网相互隔离,网络通信限制在子网内,子网间的交通或出境的通信全部通过其相应的路由端口,加强了Cisco 4500对全网的控制能力,并由4500上的ARP表进行用户IP地址的合法性核查。
3) 强化了网络管理。如2)所述,由于虚网的配置加上Cisco 4500的IP-MAC的匹配检查,使得即使想盗用IP地址,其通信也只限于本子网内,活动范围大大减小,被当场抓获可能性加大;Cisco 4500上的IP-MAC的匹配核查,使得对有计费记录的IP地址无法盗用,从而提高了计费合理性和网络管理、控制能力。
名词解释
1)VLAN Trunk Protocol(VTP):用VTP设置和管理整个域内的VLAN,在管理域内VTP自动发布配置信息,其范围包括所有TRUNK连接,如交换互连(ISL)、802.10和ATMLAN(LANE)
当交换机加电时,它会周期性地送出VTP配置请求,直至接到近邻的配置(summary)广播信息,从而进行结构配置必要的更新。
交换机的VTP配置有三种模式:服务器、客户和透明模式。
2)ISL Trunk
ISL中继不同的VLAN多路包,包头带有“ISL VLAN数”标志(VTP VLAN ID)。
