网络解决局域网共享
解决局域网共享 时间:2021-05-07 阅读:(
)
兵工自动化2015-06OrdnanceIndustryAutomation34(6)·66·doi:10.
7690/bgzdh.
2015.
06.
018基于VLAN技术的某局域网改造方法邹杨1,米兰1,谢瑞莎2,王卉1(1.
中国洛阳电子装备试验中心,河南济源454650;2.
国家电网洛阳供电公司,河南洛阳471023)摘要:为解决某科研局域网常出现广播风暴、病毒传播、黑客入侵等问题,提出一种基于VLAN技术的具体改造方案.
通过分析计算机网络的拓扑结构,采用以VLAN技术为基础,三层交换、访问控制、流量控制、入侵检测等技术手段进行补充改进.
结果表明:改造后的局域网络在一定程度上减少了网络流量,节约了网络带宽,降低了网络内主机负载,使信息网络的快速高效和安全可靠性能大大提高.
关键词:VLAN;ACL;三层交换;访问控制中图分类号:TP393.
02文献标志码:AAUpgradingResearchofTestLANBasedonVLANTechnologyZouYang1,MiLan1,XieRuisha2,WangHui1(1.
ChinaLuoyangElectronicEquipmentTestCenter,Jiyuan454650,China;2.
LuoyangPowerCompanyofNationalGrid,Luoyang471023,China)Abstract:Forsolvingsuchnetworkproblems,likebroadcaststorms,viruses,hackingandeventhevirusspreadingetc.
ThisarticlepresentsaVLANupgradingmethods.
Byanalyzingthetopologyofthecomputernetwork,usetechnologytoVLAN-based,three-tierexchange,accesscontrol,flowcontrol,intrusiondetectionandothertechnicalmeanstocomplementimprovements.
Theresultsshowthatafterthetransformationofthelocalareanetworktoacertainextent,reducenetworktrafficandsavenetworkbandwidthandreducenetwork-hostload,sofastandefficient,andthesafetyandreliabilityofinformationnetworkscangreatlyimprove.
Keywords:VLAN;ACL;three-tierexchange;accessingcontrol0引言随着某科研机构建设发展,网络设备增多、规模扩大、流量突增,多阵地资源整合、联调协作的密切,对局域网络的即时性、高效性、可靠性要求越来越高;同时由于阵地分散、走线复杂与不同路由交换设备混用以及路由交换设备新旧、性能差异等因素,不同网段内部协议、技术人员对网络技术的掌握上的差异都可能导致网络问题的出现,如广播风暴、病毒传播甚至黑客入侵.
针对本局域网存在的问题和VLAN[1]技术特点,笔者给出一种基于VLAN技术[2]的局域网改造设计方案.
Cisc3550、Quidway3700和Quidway5700系列以太网交换机支持VLAN、多播过滤、三层交换[3]、访问控制等高级网络功能.
在网络安全管理等策略配合的情况下可避免广播风暴、非法访问、网络扫描、黑客入侵和病毒传播等,从而在一定程度上节约了网络带宽、减少了网络流量、降低了网络内主机负载,提高了局域信息网络的即时性、高效性和安全可靠性.
1网络改造需求分析1.
1某科研中心原有计算机网络的拓扑结构该中心局域网组建于2006年.
目前有思科和华为2个品牌4个类型的交换机,主要以WindowsXP、Windows2000和WindowsServer2003为操作系统组成的大型局域网.
因保密需要,整体网络未接入广域网,阵地A、B、C网络组均有类似的网络构成.
近几年来,大量网络问题的爆发式出现,如广播风暴、病毒传播等,导致不同程度的通信中断、网络阻塞等,影响了试验的进行,甚至对研究结果产生不可忽略的干扰.
该局域网原有计算机网络拓扑结构如图1.
1.
2对网络改造的需求进行分析科研局域网的设计应针对不同的应用需求,构造不同的应用子网,采用不同的网络接入技术和访问策略.
对整个网络采用VLAN技术和交换技术,以使整个网络更加高效、可靠.
1.
2.
1现有问题分析1.
2.
1.
1结构方面星形拓扑结构网络具有构造简单、控制方便和便于隔离的特点.
但在该中心局域网中,由于需要接入局域网的节点较多(超过200个,并将继续增加),距离分布较大,网络建设成本较高.
部分节点距离交换机较远,信号衰减明显.
由于网络在组建1收稿日期:2015-02-12;修回日期:2015-03-15作者简介:邹杨(1987—),男,安徽人,学士,工程师,从事网络通信研究.
邹杨等:基于VLAN技术的某局域网改造方法·67·第6期之初没有充分预料未来的发展变化,在局部工作域中模块较少.
仅可使用小型交换机扩充容量,导致局部网络层次更加复杂,给故障排除带来较大困难.
核心交换机承担了多数节点的数据交换工作,而且在任务期间网络负载突增,更使得核心交换机负担加重,造成网络拥塞的可能性增加.
各区域间网络未隔离,各终端主机间可以互相访问,各区域数据的独立性、安全性无法保证.
路由交换设备出现不同程度的老化现象,局域网与外阵地网络组之间缺乏有效的防火墙、入侵检测等设备.
图1该中心原有计算机网络拓扑结构1.
2.
1.
2组网策略方面没有划分VLAN.
目前各个部门的网络并没有隔离,所有的网络设备可以互访,造成文件无法保密、病毒泛滥,一旦某单个节点出现问题,就可能造成整个网络的瘫痪.
1.
2.
2解决方法分析1.
2.
2.
1结构方面由于核心交换机的承载压力巨大,故而应建立备用的交换机连接,以便当核心交换机发生故障时,网络能够快速切换到备用交换机上,从而保持正常通信.
为保证物理上和外围网络组的安全连接,应更新路由交换设备;增加物理防火墙,以对网络病毒等起到一定的屏障作用.
1.
2.
2.
2组网策略方面组网策略也是文中的重点.
VLAN主要作用是隔离广播域,实现专网专用.
同时还有利于科学管理,各部门独自占用一个独立的VLAN,整个VLAN可升级、可扩展.
网络节点的增减,IP地址的变动都需要VLAN技术的支持.
局域网是一个封闭的系统,它需要具有抗攻击特性和极强的安全保密性,一些研究数据和管理数据只能允许特定的网络节点访问.
笔者利用VLAN、ACL、网络安全技术来合理解决安全与开放的问题,同时网络的访问控制、VLAN划分与观察镜像主机的设置等都要由特定的控制端来实现.
基于图1,根据该局域网设计要求,要求如下:1)核心交换机(华为5700交换机1)需创建备用路由设备.
2)数据源1通过3台交换机与席位计算机3(串口通信服务器)相连,同时与其他计算机隔离.
3)数据源2调制解调后经串口服务器通过2台交换机与席位计算机3(串口通信服务器)相连,同时与其他计算机隔离.
4)席位计算机2(数据处理服务器)通过3台交换机与数据终端1、数据终端2互连,同时将数据终端1、数据终端2互相隔离同时和其他网络隔离,且连接为单向通信.
5)演练计算机1至演练计算机5内部互连,与外界隔离,只在特殊情况下和外界联通.
6)阵地A、B、C网络组通过3台交换机仅与席位计算机15相连,16备用.
2工程实现2.
1三层交换机的工作原理交换机工作在OSI参考模型的数据链路层上,主要有网络拓扑结构、物理编址、帧序列、错误校验以及流量监控的作用.
三层交换机[4]实质就是一种特殊的路由器,在性能上侧重于交换(二层和三层兵工自动化·68·第34卷之间),有很强交换能力且价格低廉的路由器.
它将第2层交换机的交换功能和第3层路由器的路由功能加以结合,可在2个层次增加线速性能.
该结构还具有策略管理的作用,它不仅使得第2层与第3层相关联,同时还具有流量优先处理、网络安全策略等多种灵活的功能,如VLAN、链路汇聚和Intranet的动态部署[5].
三层交换机的结构分为接口层、交换层和路由层三层结构[6].
2.
2局域网VLAN规划及设置当前,该中心局域网的构造方式是将网络环境所有的计算机都全部规划为一个网络,这种星型网络结构不够稳定、安全性差、容易产生广播风暴和病毒传播.
为解决上述问题,就必须对该局域网络进行重新设计.
利用现有的路由交换设备对内网地址的VLAN进行划分,规划对交换网络使用的访问.
根据该局域网设计要求,设计虚拟局域网如下:1)VLAN10:192.
168.
126.
0/28为核心交换机(华为5700交换机1)子网.
交换机网关设置为192.
168.
126.
3,防火墙IP地址设置为192.
168.
126.
4.
同时为核心交换机建立路由冗余机制.
2)VLAN20:192.
168.
127.
0/24为服务器子网.
网关设置为192.
168.
127.
3,各客户机IP设置为192.
168.
127.
4以后.
网段内的计算机都可以共享服务器的信息.
3)VLAN30:192.
168.
128.
0/24为数据源子网.
网关设置为192.
168.
128.
3,各客户机IP设置为192.
168.
128.
4以后.
数据源1和数据源2通过加入隔离组1实现相互隔离,且仅与席位计算机3(串口服务器)通信.
4)VLAN40:192.
168.
129.
0/24为演练计算机子网,网关设置为192.
168.
129.
3,各客户机IP设置为192.
168.
129.
4以后.
建立高级ACL,实现服务器信息被此子网共享.
5)VLAN50:192.
168.
130.
0/24为数据终端子网,网关设置为192.
168.
130.
3,各客户机IP设置为192.
168.
130.
4以后.
两数据终端计算机通过加入隔离组2实现相互隔离,建立三层交换和高级ACL使得席位计算机2(数据处理服务器)可访问这2个数据终端计算机.
通过以上配置,每个独自的工作区域都归属于不同的子网,每个子网的可用地址数为13个或253个,可解决各区域因网络节点增加网络地址不足的问题.
区域内部计算机之间的访问不受限制,而区域之间的网络访问则需通过设置三层交换机来实现,从而实现了局域网络、向多层次、路由型网络结构的转变.
这样做有助于使不同子网之间实现隔离,没有业务联系的区域之间网络不能相互访问,需要进行业务联系的区域通过在交换机上设置IP访问控制协议,杜绝了单个子网内的病毒传播到整个网络,确保了各VLAN区域内专有数据的安全;此外还便于扩展,新的网络规划里给各局域网区域预留了充足的IP地址空间,使得区域内网络地址的规划具有可持续性和统一性.
因阵地A、B、C网络组是外接入网络,故而应建立一个防火墙,以起到入侵检测、信息过滤与防范病毒方面的作用.
按照规划,设计如图2.
图2该中心改造后计算机网络拓扑结构邹杨等:基于VLAN技术的某局域网改造方法·69·第6期2.
3交换机配置关键指令2.
3.
1异构交换设备间VLAN互通的根本原则[7]针对该中心局域网的具体路由交换设备情况,有思科和华为2种类型的交换机,因此必须要将所有Trunk端口都定义成IEEE802.
1Q[8]协议.
在VLAN信息的管理和配置上,VTP[9]和GVRP协议都是被思科设备支持的协议,而华为设备支持GVRP协议.
因此在采用GVRP协议的情况下,各路由设备可从GVRP协议服务器学习到VLAN信息.
2.
3.
2网络设备配置关键ISO命令2.
3.
2.
1在核心交换机上配置VRRP协议在华为5700交换机1上system-view[Quidway]sysnameRTA[RTA]interfaceEthernet0/0[RTA-Ethernet0/0]ipaddress192.
168.
126.
25128[RTA-Ethernet0/0]vrrpvrid1virtual-ip192.
168.
126.
254在华为5700交换机1备机上system-view[Quidway]sysnameRTB[RTB]interfaceEthernet0/0[RTB-Ethernet0/0]ipaddress192.
168.
126.
25224[RTB-Ethernet0/0]vrrpvrid1virtual-ip192.
168.
126.
254[RTB-Ethernet0/0]vrrpvrid1priority2002.
3.
2.
2思科设备配置VLANTrunksSwitch#configureterminalSwitch(config)#interfacefastetherne2/4Switch(config—if)#switchportmodetrunkSwitch(config-if)#switchporttrunkencapsulationdotlqSwitch(config—if)#end2.
3.
2.
3GVRP配置[SWA]vlan1020[SWA]gvrp[SWA]interfaceEtherent0/0/4[SWA-Etherent0/0/4]portlink-typetrunk[SWA-Etherent0/0/4]porttrunkpermitvlan102040[SWA-Etherent0/0/4]gvrp2.
3.
2.
4创建VLAN及所属端口[SWA-VLAN20]portGigabitEtherent0/0/1to0/0/222.
3.
2.
5配置Trunk端口[SWA]interfaceGigabitEtherent0/0/23[SWA-GigabitEtherent0/0/23]undoportdefaultvlan[SWA-GigabitEtherent0/0/23]portlink-typetrunk[SWA-GigabitEtherent0/0/23]porttrunkallow-passvlan1020402.
3.
2.
6配置端口隔离[SWA]interfaceGigabitEthernet0/0/5[SWA-GigabitEthernet0/0/5]port-isolateenable[SWA-GigabitEthernet0/0/5]quit[SWA]interfaceGigabitEthernet0/0/6[SWA-GigabitEthernet0/0/6]port-isolateenable2.
3.
2.
7建立访问控制(以华为交换机配置为例)创建高级ACL列表如下:[RTA2]Firewallenable[RTA2]aclnumber3001[RTA2]rule5permitipsource192.
168.
128.
20destination192.
168.
127.
50.
0.
0.
0[RTA2]rule6permitipsource192.
168.
128.
30destination192.
168.
127.
50.
0.
0.
0[RTA2]firewallpacket-filter3001inbound在图2所示的华为5700交换机2上应用高级ACL方法,可以有效地控制流量,控制访问许可,达到控制网络访问的目的.
2.
4改造后的网络测试效果通过模拟仿真软件运行,运行效果得到大幅提升.
通过VLAN技术的应用,网络通信从以太网方式变为点到点方式,有利于控制广播域和网络流量,加强网络的安全性;同时将不同局域网区域隔离,可以实现区域间共享资源的访问限制,控制各个区域子网之间的互访,杜绝非法访问.
此外,通过建立物理防火墙、路由冗余机制、流量控制等手段,隔离了外部网络可能存在的干扰,使核心的网络连接可靠性得到保障,增强了网络的安全性、健壮性、高效性.
3总结笔者简要介绍了VLAN技术,针对该中心局域网存在的问题阐述了实施VLAN的必要性;并依据IEEE802.
1Q标准阐述了VLAN的工作机制.
笔者以该中心局域网改造为例,从网络性能、可扩充性、兵工自动化·70·第34卷用户管理、安全性等方面对网络结构进行了分析.
结合具体要求,笔者提出了针对该局域网的解决方案:包括VLAN的划分、端口隔离、访问控制等,进行了网络改造,使局域网络有了质的飞跃,提高了该中心的通信保障能力.
参考文献:[1]车保霞.
VLAN技术研究及其在校园网中的实现[D].
成都:电子科技大学,2005.
[2]洪军,韩燮.
VLAN技术及在交换机上的实现[D].
太原:中北大学,2007.
[3]VitoAmato.
CiscoSystemsNetworkingAcademy[M].
北京:人民邮电出版社,2002:189-199.
[4]仇剑锋.
基于VLAN和三层交换的企业网络安全策略研究[D].
长沙:中南大学,2006.
[5]李俊.
拒绝服务攻击的分析和研究[J].
电脑与信息技术,2002(6):13-14.
[6]骆珍,裴昌幸,朱畅华.
DDoS攻击的技术分析与防御策略[J].
电子科技,2006(12):15-16.
[7]左明慧,冯乐.
混合组网环境下VLAN互通问题及实现[J].
苏州科技学院学报,2007,24(2):77-80.
[8]IEEEstdIEEE802.
1Q[1]-1998.
IEEEStandardsforLocalandMetropolitanAreaNetworks:VirtualBridgedLocalAreaNetworks[S].
[9]周剑岚,冯珊,孙建军.
守住最后一道防线:文件过滤驱动程序在系统安全中的研究与应用[J].
计算机安全,2005(6):12-15.
(上接第55页)而我国也正在开展含能材料物化性能的研究,开展快速粘结及固化技术、增材制造过程安全控制与评价及产品质量综合测试等技术的研究,期待能够创新国内弹药装药及成型工艺,保障我国新型战略武器和先进常规战斗部实现目标高效毁伤的可靠性,为我国高新武器弹药高效毁伤技术研究提供新方法,为未来新型武器装备研制与生产提供新工艺和新装备,实现小药量、复杂异性战斗部的高密度一致性、无内部疵病、低空隙率装药.
参考文献:[1]陈道君,姜联成,范玉德.
含能材料机械加工安全控制技术[J].
含能材料(增刊),2004,12(11):629-632.
[2]孙国光.
三维打印快速成型机材料的研究[D].
西安:西安科技大学,2008.
[3]邢宗仁.
含能材料三维打印快速成形技术研究[D].
南京:南京理工大学,2012.
[4]HonKKB,LiL,HutchingIMs.
Directwritingtechnology-Advancesanddevelopments[J].
CIRPAnnals-ManufacturingTechnology,2008:601-620.
[5]王建.
化学芯片的喷墨快速成型技术研究[D].
南京:南京理工大学,2006.
[6]RobertA.
Fletchera,JacquelynA.
Brazin,MatthewE.
Staymates,etc.
Fabricationofpolymermicrosphereparticlestandardscontainingtraceexplosivesusinganoil/wateremulsionsolventextractionpiezoelectricprintingprocess[J].
Talanta,2008:949-955.
[7]朱锦珍.
含能芯片的快速成型技术研究[D].
南京:南京理工大学,2005.
[8]宋健康.
快速成型技术在引信中的应用[D].
南京:南京理工大学,2005.
[9]付尧,冯清秀.
基于DSP的三维打印机控制系统研究[J].
机电工程,2014,31(2):217-220.
近日CloudCone发布了最新的补货消息,针对此前新年闪购年付便宜VPS云服务器计划方案进行了少量补货,KVM虚拟架构,美国洛杉矶CN2 GT线路,1Gbps带宽,最低3TB流量,仅需14美元/年,有需要国外便宜美国洛杉矶VPS云服务器的朋友可以尝试一下。CloudCone怎么样?CloudCone服务器好不好?CloudCone值不值得购买?CloudCone是一家成立于2017年的美国服务器...
提速啦 成立于2012年,作为互联网老兵我们一直为用户提供 稳定 高速 高质量的产品。成立至今一直深受用户的喜爱 荣获 “2021年赣州安全大赛第三名” “2020创新企业入围奖” 等殊荣。目前我司在美国拥有4.6万G总内存云服务器资源,香港拥有2.2万G总内存云服务器资源,阿里云香港机房拥有8000G总内存云服务器资源,国内多地区拥有1.6万G总内存云服务器资源,绝非1 2台宿主机的小商家可比。...
vinahost怎么样?vinahost是一家越南的主机商家,至今已经成13年了,企业运营,老牌商家,销售VPS、虚拟主机、域名、邮箱、独立服务器等,机房全部在越南,有Viettle和VNPT两个机房,其中VNPT机房中三网直连国内的机房,他家的产品优势就是100Mbps不限流量。目前,VinaHost商家发布了新的优惠,购买虚拟主机、邮箱、云服务器、VPS超过三个月都有赠送相应的时长,最高送半年...
解决局域网共享为你推荐
企业邮局系统什么是企业邮局?企业信息查询系统查企业信息哪个的软件好?支付宝账户是什么好评返现 要支付宝帐号 支付宝帐号是什么啊补贴eset传奇域名谁能帮忙查查传奇的IP和域名腾讯官方电话腾讯公司电话多少闪拍网闪拍网之类的网站怎么回事?厦门三五互联科技股份有限公司厦门三五互联科技股份有限公司广州分公司 待遇怎么样啊,电话营销的网站方案设计求一篇校园网络设计的方案可信网站可信网站认证怎么做?贵不?价格大概是多少?
武汉域名注册 simcentric sugarsync 京东云擎 patcha 青果网 世界测速 安徽双线服务器 net空间 贵阳电信测速 工信部网站备案查询 阿里云个人邮箱 广州主机托管 google搜索打不开 免费赚q币 上海联通 apache启动失败 windowsserverr2 asp介绍 web服务器有哪些 更多