基于用户模式的动态VLAN在电力企业办公中的应用

开篇：润墨网以专业的文秘视角，为您筛选了一篇基于用户模式的动态VLAN在电力企业办公中的应用范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：文章通过对VLAN现状及其工作原理进行概述，研究了基于用户模式的动态vlan在电力企业网络管理中的应用，对电力企业的局域网改造进行了可行性分析，并说明了改造后的优势。

关键词：动态VLAN；电力企业；用户模式；企业办公；广播域

中图分类号：TP393 文献标识码：A 文章编号：1009-2374（2013）03-0042-03

VLAN是指不同物理位置的节点根据需要组成不同的逻辑子网，一个VLAN可以作为一个逻辑广播域，覆盖多个网络设备。VLAN允许处于不同地理位置的网络用户加入到一个逻辑子网中，共享一个广播域。VLAN在电力企业的办公网络环境中得到广泛应用，现以××供电局为例，阐述动态VLAN在电力企业办公网络中的应用情况。

1 VLAN的概述

1.1 VLAN介绍

在企业网络兴起之初，由于企业网络规模小、网络安全及管理贫乏等原因，使企业网络仅限于交换模式的状态，交换技术主要包括基于ATM的信元交换和基于以太网的帧交换两种方式。在企业规模不断扩大、多媒体在企业局域网中应用的情况下，企业每个部门内部的数据传输量非常大，财务部门越来越高的安全性要求和其他部门分开使用以太网段，以防止数据窃听。这些问题需要更为灵活地配置局域网，由此产生了虚拟局域网技术，VLAN划分承担了网络安全区域隔离的工作。VLAN分为静态VLAN和动态VLAN，静态VLAN指交换机中的端口属于固定的VLAN，而动态VLAN是根据策略来自动动态地划分端口在哪个VLAN中工作。目前，静态VLAN的应用较为广泛，设置也十分简单，但是其最大的缺点是交换机端口的属性必须由网络管理员进行人工设置，如果网络终端改变区域进行办公时，必须对交换机进行重新配置，不适合需要频繁改变拓扑结构的网络。动态VLAN可以分为基于MAC地址、IP地址及用户三种形式。本文着重介绍基于用户认证模式的动态VLAN，当终端用户处于基于用户认证的动态VLAN环境中，随着物理位置的改变，VLAN不需要重新进行配置，此方式减少了维护成本和人工出错的几率，从长远发展来看，静态VLAN技术适合在办公环境比较固定的环境中使用，动态VLAN技术适合人员流动性较大的公共办公场所的接入

环境。

1.2 VLAN现状及需求

××供电局目前网络环境复杂，但都采用静态VLAN的接入方式，结合802.1x准入实施以后，办公终端接入安全得到有效控制，但是仍无法完全满足公共办公场所对网络灵活性的要求。例如在会议室的环境下，来自各部门的开会人员的PC都必须从DHCP服务器上获取IP地址，而会议交换机端口都固定配置某个单一VLAN，当工作人员物理位置改变时需要网络管理人员对其进行IP地址的重新分配或者网络端口VLAN的重新划分，这对正常工作和网络管理都增加了较大的成本。

1.3 动态VLAN工作原理

动态VLAN的实现技术根据实现方法在OSI中的层级的不同而主要分为三种：

第一种是在OSI的第二层设定访问链接的办法——基于MAC地址的网络接入。它根据终端用户设备的MAC地址来定义成员资格（而MAC地址的取得一般是提取用户设备的网卡地址），也就是说当设备连入一个交换机端口时，该交换机必须查询它的一个数据库以建立VLAN的成员资格。因此，网络管理员必须先把用户的MAC地址分配到VLAN成员资格策略服务器（VMPS，VLAN Membership Policy Server）的数据库中的一个VLAN上。这样网管员就要先收集要接入VLAN的所有网卡的MAC地址并登录，而且如果计算机换了网卡，就得重新设定。这样无疑加重了网管员的工作量，对经常更换网卡的笔记本用户更是极为不便。

第二种动态VLAN的网络接入方式则是通过所连计算机的IP地址来决定端口所属VLAN。此办法在OSI的第三层设定访问链接来实现。不像基于MAC地址的VLAN，即使计算机因为换了网卡或是其他原因导致MAC地址改变，只要它的IP地址不变，就仍可以加入原先设定的VLAN。这个办法与基于MAC地址的网络接入相比，可以更为简单地改变网络结构。

第三种接入方式则在OSI的第四层以上实现，它就是基于用户VLAN的网络接入。此办法根据交换机各端口所连的计算机上当前登录的用户（这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名）来决定该端口属于哪个VLAN。也就是说，只要使用自己的用户名登陆系统，使用者不管在哪个电脑、哪个IP的电脑上都可以自由地接入到属于自己的VLAN网络中去。这种方式不论是对使用者还是网络管理员来说都非常方便，是三种实现方式中相对较好的一个接入方式。

2 网络改造

2.1 网络改造的需求和可行性分析

从上述动态VLAN接入方式中可以看出，第一种方式需要对现有的所有终端MAC地址进行收集分类，再将相同组的MAC地址对应于某个VLAN，最终形成数据供VMPS使用。深圳局的客户端数量庞大，收集终端MAC信息十分繁琐，且维护成本较高，一旦终端MAC地址更换，需再次对数据库进行修改，所以这种方式不适合深圳供电局的网络环境。第二种方式的实现需要终端预算手动设置IP地址，通过该IP地址决定端口所属VLAN，而××供电局所有的用户终端都必须通过DHCP获取地址，所以该方式无法实现。第三种方式通过用户登入终端PC的域用户名来决定用户所在VLAN，不取决用户所登入终端、登入办公位置，用户接入十分灵活，不需手动进行调整更改。综上所述，只有第三种方式才是适合××供电局在公共办公区域实施动态VLAN的接入

方式。

基于用户动态VLAN接入的工作原理如下：接入终端的信息通过交换机发送给RADIUS服务器，RADIUS服务器再将此信息发送至域控制服务器，服务器确定用户信息，并将此信息反馈给RADIUS服务器，RADIUS服务器再由收到的信息来确定用户所在的VLAN，并将该值反馈给接入交换机，最终由交换机将用户终端接入端口正确的VLAN中，再通过DHCP获得其原来的IP地址，在整个过程中无需人为进行干预，网络灵活性大大增强。

采用基于用户模式动态VLAN的接入方式，可以解决如会议室这种人员流动性大的公共办公环境的网络接入需求。网络改造时需要搭建一套RADIUS认证服务器、DHCP系统、AD域服务器以及对应办公环境下的接入交换机。在××供电局进行改造，只需结合现有的AD域系统、DHCP系统，再新建一套RADIUS认证服务器和在对应的办公场所分别新增一台接入交换机，就可以完成改造。

实施改造后，用户只要是企事业合法用户，那么无论办公场所在哪里，都可以自动地接入到具有权限的VLAN环境中，进行正常的办公。如图1所示：

2.2 改造后的优势分析

现有的静态VLAN技术的优势：增强了企业网络的安全性，通过VLAN技术，可以将含有敏感数据的用户与网络的其他用户隔离，从而降低了机密信息泄露的可能性；降低成本，VLAN技术的合理应用可以充分利用现有带宽，同时也提高了上行链路的利用率，减低了企业成本；增加网络连接的灵活性，通过VLAN技术，能将不同地点、不同网络的不同用户连接在一起，形成一个虚拟的网络环境。

改造后不但可以实现改造前的优势，还带来以下两点优势：提高员工的办事效率，通过动态VLAN技术可以使员工在企业内部工作环境下随时随地办公，提高工作效率；降低了网络运维成本，在满足用户需求的同时，减少了网络运维人员的工作量。

3 结语

基于用户认证模式的动态VLAN技术不仅可以使网络的带宽得到最大限度的发挥，其无线和有限网络的混合接入网络体系还可以实现电力企业内部的移动办公，企业员工通过终端移动设备可以随时对电力系统进行维护管理，提高员工的工作效率，促进企业合理规划企业资源。基于用户模式的动态VLAN技术在电力企业办公中的应用将会越来越广。

参考文献

[1] 陈三运，谭洪恩，江志刚.输变电设备的状态检修[M].北京：中国电力出版社，2004：35-37.

[2] 张成林，王克英.变电站设备状态检修现状及展望[J].供用电，2006，（6）.

[3] 杨少华，王宏延.无线网络技术在电力企业的应用[J].无线网络技术与下一代网络，2008：786-790.

[4] 吴学民.虚拟局域网在企业网中的应用探究[J].企业技术开发，2010，（4）：39-40.

作者简介：陈昊（1983-），男，广东深圳人，工程师，研究方向：网络工程。