基於用戶模式的動態VLAN在電力企業辦公中的應用

技術應用

作者：陳昊

摘要：文章通過對VLAN現狀及其工作原理進行概述，研究了基於用戶模式的動態VLAN在電力企業網絡管理中的應用，對電力企業的局域網改造進行了可行性分析，並說明了改造後的優勢。

關鍵詞：動態VLAN；電力企業；用戶模式；企業辦公；廣播域

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-2374（2013）03-0042-03

VLAN是指不同物理位置的節點根據需要組成不同的邏輯子網，一個VLAN可以作為一個邏輯廣播域，覆蓋多個網絡設備。VLAN允許處於不同地理位置的網絡用戶加入到一個邏輯子網中，共享一個廣播域。VLAN在電力企業的辦公網絡環境中得到廣泛應用，現以××供電局為例，闡述動態VLAN在電力企業辦公網絡中的應用情況。

1 VLAN的概述

1.1 VLAN介紹

在企業網絡興起之初，由於企業網絡規模小、網絡安全及管理貧乏等原因，使企業網絡僅限於交換模式的狀態，交換技術主要包括基於ATM的信元交換和基於以太網的幀交換兩種方式。在企業規模不斷擴大、多媒體在企業局域網中應用的情況下，企業每個部門內部的數據傳輸量非常大，財務部門越來越高的安全性要求和其他部門分開使用以太網段，以防止數據竊聽。這些問題需要更為靈活地配置局域網，由此產生了虛擬局域網技術，VLAN劃分承擔了網絡安全區域隔離的工作。VLAN分為靜態VLAN和動態VLAN，靜態VLAN指交換機中的端口屬於固定的VLAN，而動態VLAN是根據策略來自動動態地劃分端口在哪個VLAN中工作。目前，靜態VLAN的應用較為廣泛，設置也十分簡單，但是其最大的缺點是交換機端口的屬性必須由網絡管理員進行人工設置，如果網絡終端改變區域進行辦公時，必須對交換機進行重新配置，不適合需要頻繁改變拓撲結構的網絡。動態VLAN可以分為基於MAC地址、IP地址及用戶三種形式。本文著重介紹基於用戶認證模式的動態VLAN，當終端用戶處於基於用戶認證的動態VLAN環境中，隨著物理位置的改變，VLAN不需要重新進行配置，此方式減少了維護成本和人工出錯的幾率，從長遠發展來看，靜態VLAN技術適合在辦公環境比較固定的環境中使用，動態VLAN技術適合人員流動性較大的公共辦公場所的接入

環境。

1.2 VLAN現狀及需求

××供電局目前網絡環境複雜，但都采用靜態VLAN的接入方式，結合802.1x準入實施以後，辦公終端接入安全得到有效控製，但是仍無法完全滿足公共辦公場所對網絡靈活性的要求。例如在會議室的環境下，來自各部門的開會人員的PC都必須從DHCP服務器上獲取IP地址，而會議交換機端口都固定配置某個單一VLAN，當工作人員物理位置改變時需要網絡管理人員對其進行IP地址的重新分配或者網絡端口VLAN的重新劃分，這對正常工作和網絡管理都增加了較大的成本。

1.3 動態VLAN工作原理

動態VLAN的實現技術根據實現方法在OSI中的層級的不同而主要分為三種：

第一種是在OSI的第二層設定訪問鏈接的辦法——基於MAC地址的網絡接入。它根據終端用戶設備的MAC地址來定義成員資格（而MAC地址的取得一般是提取用戶設備的網卡地址），也就是說當設備連入一個交換機端口時，該交換機必須查詢它的一個數據庫以建立VLAN的成員資格。因此，網絡管理員必須先把用戶的MAC地址分配到VLAN成員資格策略服務器（VMPS，VLAN Membership Policy Server）的數據庫中的一個VLAN上。這樣網管員就要先收集要接入VLAN的所有網卡的MAC地址並登錄，而且如果計算機換了網卡，就得重新設定。這樣無疑加重了網管員的工作量，對經常更換網卡的筆記本用戶更是極為不便。

第二種動態VLAN的網絡接入方式則是通過所連計算機的IP地址來決定端口所屬VLAN。此辦法在OSI的第三層設定訪問鏈接來實現。不像基於MAC地址的VLAN，即使計算機因為換了網卡或是其他原因導致MAC地址改變，隻要它的IP地址不變，就仍可以加入原先設定的VLAN。這個辦法與基於MAC地址的網絡接入相比，可以更為簡單地改變網絡結構。

第三種接入方式則在OSI的第四層以上實現，它就是基於用戶VLAN的網絡接入。此辦法根據交換機各端口所連的計算機上當前登錄的用戶（這裏的用戶識別信息，一般是計算機操作係統登錄的用戶，比如可以是Windows域中使用的用戶名）來決定該端口屬於哪個VLAN。也就是說，隻要使用自己的用戶名登陸係統，使用者不管在哪個電腦、哪個IP的電腦上都可以自由地接入到屬於自己的VLAN網絡中去。這種方式不論是對使用者還是網絡管理員來說都非常方便，是三種實現方式中相對較好的一個接入方式。