王亮 瞿国庆
摘要:本文以当前日益发展的企业数据中心为背景,很多企业在投入大量的人力和物力组建数据中心时,往往忽略了其安全性,从而可能会使数据丢失甚至泄露。基于以上情况,本文提出了应用私有VLAN技术来保障数据中心的安全。首先介绍了私有VLAN产生的原因,私有VLAN的原理及其作用等,然后依据具体的企业数据中心项目案例来实现私有VLAN技术在企业数据中心中的应用,既满足了该项目的需求,同时又保障了企业数据中心的安全。
关键词:私有VLAN技术 数据中心 信息安全
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)09-0063-03
1 引言
随着时代的进步,信息化无处不在,涉及我们生活、工作和学习等方方面面,而作为信息化的核心部分—数据中心也就变得至关重要。数据中心是企业的业务系统与数据资源进行集中、集成、共享和分析的场地、工具、流程等的有机组合。从应用层面看,包括业务系统、基于数据仓库的分析系统;从数据层面看,包括操作型数据和分析型数据以及数据与数据的集成/整合流程;从基础设施层面看,包括服务器、网络、存储和整体IT 运行维护服务[1]。
但是很多企业在投入大量的人力和物力建设数据中心的同时,在其安全方面考虑不多,因此在数据中心投入使用后出现了较多的安全问题。数据中心安全围绕数据为核心,从数据的访问、使用、破坏、修改、丢失和泄漏等多方面展开,一般来说包括以下几个方面:
(1)物理安全:主要指数据中心机房的安全,包括机房的选址,机房场地安全,防电磁辐射泄漏,防静电,防火等内容;(2)网络安全:指数据中心网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段,如防火墙,IPS,安全审计等;(3)系统安全:包括服务器操作系统,数据库,中间件等在内的系统安全,以及为提高这些系统的安全性而使用安全评估管理工具所进行的系统安全分析和加固;(4)数据安全:数据的保存以及备份和恢复设计;(5)信息安全:完整的用户身份认证以及安全日志审计跟踪,以及对安全日志和事件的统一分析和记录。
抛开物理安全的考虑,网络是数据中心所有系统的基础平台,网络安全从而成为数据中心安全的基础支持。因此合理的网络安全体系设计、构建安全可靠的数据中心基础网络平台是进行数据中心安全建设的基本内容[2]。
本文就以数据中心的安全问题入手,提出使用私有VLAN技术可以保障企业数据中心的安全,并给出相应的解决实现方案。下面首先来介绍私有VLAN技术。
2 私有VLAN技术简介
2.1 私有VLAN技术的产生
随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和Ethernet的信息探听。 然而,这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限[3]。这些局限主要有下述几方面:
(1)为每个客户都分配一个不同的VLAN就需要在服务提供商的网络设备上使用大量的三层接口;
(2)当很多VLAN互相通信时,生成树就会变得非常复杂;
(3)管理员必须将网络地址空间分为很多子网,而这样做会浪费地址空间,并且增加网络的复杂程度;
(4)管理员需要使用很多ACL应用来确保这些VLAN的安全性,这也会增加网络管理员的复杂程度。
基于以上情况产生了私有VLAN技术,该技术可以让交换机共享一部分端口,而又隔离一部分端口,同时所有这些端口还都位于同一个VLAN中。
2.2 私有VLAN技术的原理
2.2.1 私有VLAN的VLAN类型
每个私有VLAN包含2种VLAN类型:主VLAN(Primary VLAN)和辅助VLAN(Secondary VLAN),而辅助VLAN(Secondary VLAN)又包含两种类型:隔离VLAN(Isolated VLAN)和团体VLAN(Community VLAN)。其中Primary VLAN把流量从混杂端口传送到隔离、团体和同一个VLAN内部的其它主要混杂端口;Isolated VLAN把流量从隔离端口传送到一个混杂端口。Isolated VLAN中的端口,使其不能与私有VLAN内部的任何其它端口进行第2层通信。若要与其它端口通信,则必须穿越混杂端口;在相同Community VLAN内部的团体端口之间传送流量并传送到混杂端口,Community VLAN内的端口可以在第2层彼此通信,但是不能与其它团体或隔离VLAN的端口进行通信。若要与其它端口进行通信,则必须穿越混杂端口[4]。
2.2.2 私有VLAN的端口类型
私有VLAN中的交换机物理端口有两种接口类型:混杂端口(Promiscuous Port)和主机端口(Host Port)。其中Promiscuous Port隶属于Primary VLAN,一个混杂端口可以与所有接口通信,包括私有VLAN内的隔离和团体端口,混杂端口的功能是在团体和隔离的VLAN端口之间传递流量;Host Port隶属于Secondary VLAN,由于Secondary VLAN具有两种属性,那么主机端口依Secondary VLAN属性的不同也有两种分类:
(1)隔离端口(Isolated Port):它与PVLAN内的所有其它端口相分离,除混杂端口外;来源于隔离端口的流量仅仅传送给混杂端口。(2)团体端口(Community Port):它在逻辑上把相同区域内部的各个端口和混杂端口结合到一起,流量可以在它们之间传送。
2.2.3 私有VLAN间的通信原则
Primary VLAN可以和所有他所关联的Isolated VLAN和Community VLAN通信。Community VLAN可以同那些处于相同Community VLAN内的Community Port通信,也可以与私有VLAN中的Promiscuous Port通信。Isolated VLAN不可以和处于相同Isolated VLAN内的其它Isolated Port通信,只可以与Promiscuous Port通信[5]。
2.3 私有VLAN技术的作用
通过私有VLAN技术可以隔离位于交换机同一VLAN中终端设备间的通信,使交换机一些端口的流量只能到达某些与默认网关或备份服务器相连的端口,执行了以上操作后,就可以控制同一个VLAN和同一个子网的终端设备间的通信,使网络变得更加地安全。下面就在某企业数据中心网络中应用私有VLAN技术来保障其网络的安全[6]。
3 私有VLAN技术在企业数据中心中的应用
3.1 项目要求和设计方案(图1)
3.1.1 项目要求
如图1所示为某公司部分网络拓扑图,其中两台交换机分别连接工作区电脑和数据中心各服务器,交换机的型号是思科3560系列。现要求对交换机进行配置来保护数据中心中的服务器,实现以下功能:
(1)电脑和服务器处于同一个VLAN和同一个子网中;(2)普通员工电脑PC1只能访问公用服务器Server1;(3)部门主管电脑PC2可以访问公用服务器Server1和部门专用服务器Server2,但不能访问财务系统服务器Server3;(4)总经理电脑PC3可以访问所有服务器。
3.1.2 设计方案
根据以上项目要求,在经过多个方案的筛选后,最终决定通过应用私有VLAN技术来实现。如表1所示是某公司部分网络设备IP地址和私有VLAN设计规划表,(表1)便是私有VLAN的实现过程。
3.2 私有VLAN的实现过程
3.2.1 配置私有VLAN前准备工作
(1)配置各电脑和服务器的IP地址等参数;
(2)SW1和SW2间创建中继链路;
只有创建了中继链路,私有VLAN流量才可以跨越多个交换机,实现代码如下:
SW1(config)#int f0/24
SW1(config-if)#switchport trunk encapsulation dot1q
//配置中继端口的封装方式
SW1(config-if)#switchport mode trunk
//将端口配置为中继模式
SW2的配置类似于SW1。
(3)SW1和SW2配置成VTP的透明模式。
只有开启了透明模式,才可以使用私有VLAN技术,实现代码如下:
SW1(config)#vtp mode transparent
SW2(config)#vtp mode transparent
3.2.2 私有VLAN的配置
(1)创建主VLAN及辅助VLAN
SW1(config)#vlan 10
SW1(config-vlan)#private-vlan primary
//配置VLAN 10为主VLAN
SW1(config-vlan)#vlan 101
SW1(config-vlan)#private-vlan community
//配置VLAN 101为辅助VLAN的团体VLAN
SW1(config-vlan)#vlan 102
SW1(config-vlan)#private-vlan community
//配置VLAN 102为辅助VLAN的团体VLAN
SW1(config-vlan)#vlan 103
SW1(config-vlan)#private-vlan isolated
//配置VLAN 103为辅助VLAN的隔离VLAN
(2)关联主VLAN和辅助VLAN
SW1(config)#vlan 10
SW1(config-vlan)#private-vlan association 101-103
//将主VLAN 10和辅助VLAN101、102和103关联起来
(3)私有VLAN中端口的配置
SW1(config)#int f0/1
SW1(config-if)#switchport mode private-vlan host
//设置端口为host模式
SW1(config-if)#switchport private-vlan host-association 10 101
//关联主VLAN和所属的私有VLAN
SW1(config)#int f0/2
SW1(config-if)#switchport mode private-vlan host
SW1(config-if)#switchport private-vlan host-association 10 102
SW1(config)#int f0/3
SW1(config-if)#switchport mode private-vlan promiscuous
//设置端口为混杂模式
SW1(config-if)#switchport private-vlan mapping 10 101-103
//关联主VLAN和能够访问的私有VLAN
SW2的配置类似于SW1
3.3 私有VLAN的验证过程
配置完成后,我们使用ping命令来验证工作区电脑与数据中心服务器间的连通性,确保私有VLAN配置的正确性,验证过程如下:
3.3.1 普通员工电脑访问各服务器
如图2所示,普通员工电脑只能访问公用服务器。
3.3.2 部门主管电脑访问各服务器
如图3所示,部门主管电脑可以访问公用服务器和部门专用服务器,但不能访问财务系统服务器。
3.3.3 总经理电脑访问各服务器
如图4所示,总经理电脑可以访问所有服务器。
4 结论和展望
以上我们在企业的数据中心中应用私有VLAN技术,解决了在同一个VLAN和同一个子网间的通信问题。通过实践得出私有VLAN技术可以解决通信安全、防止广播风暴和浪费IP地址等方面问题,而且采用私有VLAN技术有助于网络的优化,再加上私有VLAN在交换机上的配置也相对简单,因此目前很多厂商生产的交换机都支持私有VLAN技术,私有VLAN技术也越来越得到众多网络管理人员的青睐,相信未来私有VLAN技术会得到更大的应用前景。
参考文献
[1]邓维,刘方明,金海,李丹.云计算数据中心的新能源应用:研究现状与趋势[J].计算机学报,2013(03).
[2]郭怡磊.数据中心的未来发展[J].信息与电脑(理论版),2016(07).
[3](美)Cisco Systems公司,(美)Cisco Networking Academy Program著,天津大学等译.思科网络技术学院教程[M].人民邮电出版社,2004.
[4]陈明.PVLAN技术在虚拟局域网中的应用[J].漳州职业技术学院学报,2009(01).
[5]陈光平,黄俊.PVLAN技术在小区宽带网中的应用[J]. 网络安全技术与应用,2006(04).
[6]李卫编著.计算机网络安全与管理[M].清华大学出版社,2004.