胡 云
(无锡市广播电视大学,江苏 无锡 214011)
基于VLAN间不同互连方式的ACL配置
胡 云
(无锡市广播电视大学,江苏 无锡 214011)
在网络互连中通过路由器和3层交换机这2种设备实现了VLAN间的互连,基于不同设备互连方式的ACL配置和应用会有所区别,其对网络运行的性能有明显的影响.
ACL;VLAN;网络互连;路由器;3层交换机
为了提高网络运行的效率和安全性,需要对网络进行划分,将大的网络划分为多个小的网络,之前主要通过路由器实现,但这种方式成本很高.随着网络技术的发展,特别是交换机虚拟局域网(Virtual Local Area Network,VLAN)技术的成熟,为网络的划分提供了更便捷的方法,不仅成本降低,而且更加灵活[1-5].据此,本研究主要讨论采用不同设备实现VLAN间互连时访问控制列表(Access Control List,ACL)不同的配置方式以及对网络运行性能的影响.
VLAN是一种通过将局域网内的2层设备,其以逻辑的方式而不是物理的方式将网络划分为一个个网段的技术.这里的网段仅仅是逻辑网段的概念,而不是真正的物理网段.VLAN相当于OSI参考模型的第2层广播域,能够将广播流量控制在一个VLAN内部.划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络性能得到显著提高.
在通信网络中,不同VLAN之间的数据传输是通过第3层路由设备来实现的.因此,使用VLAN技术,结合数据链路层的交换设备和网络层的路由设备可搭建安全可靠的网络.在实际应用中,VLAN并不仅局限于某一个网络或物理范围,VLAN中的用户可以位于一个园区的任意位置,甚至位于不同的地域.
在交换机组成的网络中,VLAN实现了网络流量的分割,但不同的VLAN之间是不能相互通信的.如果要实现VLAN间通信,必须借助于OSI参考模型中的第3层设备来实现:其一是利用路由器,其二是利用具有3层功能的交换机.
1.2.1 利用路由器实现VLAN间通信.
当每个交换机上只有1个VLAN时,路由器和交换机的接线方式如图1所示,通过路由器的直接路由,各VLAN就能直接通信.
图1 交换机上单VLAN间的通信
当每个交换机上有多个VLAN时,其与路由器的连接方法有以下2种.
1)多臂路由.将路由器与交换机上的每个VLAN分别连接,即把路由器和交换机以VLAN为单位分别用网线连接.将交换机上用于和路由器互连的每个端口设为Access模式,然后分别用网线与路由器上的独立端口互连,具体如图2所示.交换机上有4个VLAN,那么就需要在交换机上预留4个端口用于与路由器互连,路由器上同样需要4个端口,两者之间用4条网线分别连接.由于路由器通常是不会带有太多以太网接口的,所以这种方法在实际中用得较少.
图2 利用多臂路由实现VLAN间通信
2)单臂路由.不论VLAN有多少个路由器,其与交换机都只用一条网线连接,具体如图3所示.此时,需要将用于连接路由器的交换机端口设为干道模式,且用于干道模式的协议也必须相同.然后在路由器上定义对应各个VLAN的“子接口”.VLAN将交换机从逻辑上分割成了多台,因而用于VLAN间路由的路由器,也必须拥有分别对应各个VLAN的虚拟接口(Swith Virtual Interface,SVI)作为各个VLAN成员的网关.
图3 利用单臂路由实现VLAN间通信
1.2.2 利用3层交换机实现VLAN间通信.
3层交换机,本质上就是利用3层交换机的路由功能实现VLAN间的通信.在3层交换机上创建各个 VLAN的 SVI,并配置 IP地址,然后将所有VLAN连接的工作站主机网关都指向该SVI的IP地址即可.
网络内部通信和内外网络之间的通信都是企业网络中必不可少的业务需求,为了确保内部网络的安全性,需要通过相应的安全策略来保障非授权用户只能访问某些特定的网络资源,从而实现对访问进行有效地控制.简而言之,ACL可以过滤网络中的通信流量,是一种控制访问的网络技术手段.此外,ACL的定义也可以是基于所有协议的.如果路由器接口配置成支持3种协议(IP、AppleTalk以及IPX)的情况,那么,用户对这3种协议的数据包必须定义3种ACL进行控制.
ACL是提供网络安全访问的基本手段,同时,ACL还可以限制网络流量,提高网络性能,并提供对通信流量的控制手段.ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞.
在实际应用中,可以为每种协议(per protocol)、每个方向(per direction)、每个接口(per interface)配置一个ACL,归纳起来就是3P规则:每种协议一个ACL,即要控制接口上的流量,必须为接口上启用的每种协议定义相应的ACL;每个方向一个ACL,一个ACL只能控制接口上一个方向的流量;每个接口一个ACL,一个ACL只能控制一个接口上的流量.
一个端口最终到底执行哪条ACL,是根据列表中语句的条件来判断执行的.如果一个数据包的报头跟列表中某个语句的条件相匹配,那么后面的语句将被忽略,不再进行检查.
数据包只有在跟当前语句条件不匹配时,它才被交给ACL中下一条语句进行条件比较.如果匹配(假设为允许发送),则不管是第一条语句还是最后一条语句,数据都会立即发送到目的接口.如果所有的ACL语句都判断检测完毕,仍没有相匹配的语句,则该数据包将被拒绝而被丢弃.但ACL不能对本路由器产生的数据包进行控制.
目前,ACL有3种分类:标准ACL、扩展ACL及命名ACL.
标准的ACL使用1~99以及1 300~1 999之间的数字作为表号,扩展的ACL使用100~199以及2 000~2 699之间的数字作为表号.
标准ACL可以对来自某一网络的所有通信流量进行阻止,也可以允许通过来自某一特定网络的所有通信流量,同时,也可以阻止某一指定协议的所有通信流量通过.实际应用中,扩展ACL比标准ACL提供了更广泛的控制范围和更小的控制单位.
实验所采用的网络拓扑结构图如图4所示.
图4 网络拓扑结构图
实验中,网络配置要求为:全网配置OSPF路由协议,并配置ACL使VLAN10与VLAN20之间不能访问,VLAN30与VLAN40之间不能访问,VLAN10只能访问Server 1的www服务,VLAN20只能访问Server 2的ftp服务.
3.3.1 方法一.
在路由器R1上利用单臂路由实现交换机S1中VLAN10和VLAN20之间的通信;在路由器R2上利用单臂路由实现交换机 S2中 VLAN30和VLAN40之间的通信.在R1中配置和应用ACL.
1)三层交换机S1的配置.
2)路由器R1的配置.
3.3.2 方法二.
利用3层交换机的路由功能实现S1中VLAN10和VLAN20之间的通信;利用3层交换机的路由功能实现S2中VLAN30和VLAN40之间的通信.在S1中配置和应用ACL.
1)3层交换机S1的配置.
2)路由器R1的配置.
利用路由器和3层交换机都可以实现不同VLAN之间的通信,但实际应用中,可采用3层交换机自身的路由功能解决不同VLAN之间的通信.这样做,可以在3层交换机中直接配置和应用ACL,使得数据包可以在离源计算机最近的网络通信设备中接受ACL检测,防止不必要的通信数据进入下一级的网络通信设备,此可有效减轻网络的负载,并提高网络的通信效率.
[1]李丹.Packet Tracer仿真环境下实现VLAN间通信[J].电大理工,2013,35(4):21 -23.
[2]王新风.中小企业网络设备配置与管理[M].北京:清华大学出版社,2010.
[3]石林.构建高级的路由互联网络(BARI)[M].北京:电子工业出版社,2009.
[4]郑辉.有类路由汇总的学习和探讨[J].电脑知识与技术,2011,18(6):1306 -1307+1312.
[5]刘佰明.基于Packet Tracer技术的VLAN间通信的设计与开发[J].计算机与数字工程,2014,42(7):1303-1305+1310.
ACL Configurations with Different Interconnection Based on VLAN
HU Yun
(Wuxi Radio& Television University,Wuxi 214011,China)
The VLAN interconnection can be achieved through the routers and three-layer switches.The ACL configuration and application based on the interconnection of different devices differ,which has significant influence on the performance of network operation.
ACL;VLAN;network interconnection;router;three-layer switch
TP393.03
A
1004-5422(2015)01-0041-03
2014-12-16.
胡 云(1978—),男,硕士,副教授,从事计算机算法设计与图形学研究.