单臂路由技术在区县气象局的应用
开篇:润墨网以专业的文秘视角,为您筛选了一篇单臂路由技术在区县气象局的应用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:全省各区县气象局信息网络系统使用一个网段,这对安全应用存在一定的隐患。在没有三层交换机的情况下,应用单臂路由技术,在二层交换机划分VLAN,连接支持802.1q的路由器,在路由器的一个端口配置不同的子接口,根据ACL实现VLAN之间有条件互访,隔离广播风暴。探讨单臂路由技术,配置单臂路由应用环境,总结单臂路由技术应用的优缺点,为各区县局信息网络深层开发应用提供参考。
关键词:VLAN;ACL;三层交换机;单臂路由
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)01-0172-05
1区县气象局的信息网络现状
在全省宽带网建设中,各区县局的应用模式较为相似,组建局域网,接入各业务服务及政务办公系统。在区县局配置博达1721路由器,通过中国移动的2M SDH接入市气象局,通过ADSL或者政务网专线接入互联网。网络结构较为简单,拓扑图如图1所示。
图1
在实际应用中,局域网内的PC与省局或市局进行数据交换时,通过1721路由器路由选择到市局业务网;发出互联网访问请求时,由1721路由器路由到ADSL互联网或政务专线,实现同时可以访问业务网和互联网,在工作中较为便捷。
2新的应用需求
随着现代气象业务的发展,区县局承担的业务服务工作逐步增加,因此对信息网络和业务系统的安全提出了更高的要求。但是区县局人员在网络安全应用上的能力较为薄弱,而且在对基础业务的投入上也略显不足,因此,在现有基础上加强业务服务系统的安全是摆在区县局面前的一项十分紧迫的任务。不可否认,在各区县局也采取了一些相应的安全措施,比如安装防病毒软件,做好业务系统的备份等,但是由于区县局所有的计算机设备都处在一个网段上,如果局域网上存在着安全隐患,这将对网内所有设备都是一个威胁。
另外由于工作性质的不同,基础业务用机的信息交换在业务内网工作较多,而对互联网的访问需求相对较小;与此相反的是,行政办公用机对互联网的需求较大,而互联网上的不安全因素较多,如果防范不力的话,很容易感染病毒,如果病毒在局域网中蔓延和扩散的话,容易引起基础业务用机感染病毒。此外由于所有的设备都处在同一网段,很容易产生网络广播风暴,极大地影响业务服务工作的开展。
3单臂路由技术应用
3.1 VLAN与三层交换
为了保证部分主机的安全性以及分割内部广播包提高网络传输速度,较好的做法是划分VLAN(Virtual Local Area Network虚拟 局域网),分配不同子网。通过划分VLAN可以让在同一台交换机不同端口的客户机不能互相访问,有效地隔离网络。
通过VLAN划分网络固然可以解决安全和广播风暴的频繁出现,但是对于那些既希望隔离又希望对某些客户机进行互通的应用来说,划分VLAN的同时为不同VLAN建立互相访问的通道也是必要的。
一般情况下,实现上述功能需要使用三层交换机来实现,但是全省区县局几乎没有配备或购买三层交换机,一般都是采用的二层交换机甚至最普通的“傻瓜”接入交换机,后期建设的区县局购买的是二层可管理型交换机。由于三层交换机价格较昂贵,一般只应用在了市州及以上的气象部门,另外,在区县局如果要购买三层交换机实现VLAN互通功能的话,以前的二层设备将被丢弃。这样就造成了极大的浪费。
理论上讲一台三层交换机可以看做是一个二层交换机加上一个路由模块,实际使用中很多厂商也是通过将路由模块内置于交换机中实现三层功能的。在传输数据包时先发向这个路由模块,由其提供路由路径然后再由交换机转发相应的数据包。
在区县局一般都配备了路由器和交换机,如果后期购买的交换机是可以进行网管的二层交换机,在二层交换机上划分VLAN,VLAN技术是路由交换中非常基础的技术。在网络管理实践中,通过在交换机上划分适当数目的VLAN,不仅能有效隔离广播风暴,还能提高网络安全系数及网络带宽的利用效率。划分VLAN之后,VLAN与VLAN之间的通信只能通过路由或三层交换来实现。
3.2单臂路由概念
单臂路由是解决VLAN间通信的一种廉价而实用的解决方案。所谓单臂路由就是仅需要一个物理的路由接口就能将所有的VLAN连通,实现方法是配置多个逻辑子接口。当VLAN之间有部分主机需要通信,如果交换机不支持三层交换,而且路由器又没有多余的端口,这时可采用支持802.1q(即Virtual Bridged Local Area Networks协议)的路由器实现VLAN的互通。路由器与交换机之间通过外部线路连接,该外部线路只有一条,可以在路由器以太网端口上建立子接口,并分配IP地址作为VLAN网关,同时启动802.1q协议,这些子接口在逻辑上是分开的,需要路由的数据包通过该线路到达路由器,经路由后再通过此线路返回交换机进行转发。即:数据包从这个端口进去,也从同一个口出来。这种方式称为单臂路由。
下图即为单臂路由的工作模式。
图2
在二层交换机上划分VLAN1-3,PC1和PC2分别属于vlan1和vlan2,由于二层交换机不具有路由功能,因此vlan1和vlan2是不能通信的,如果要实现vlan之间数据交换,需要路由器来转发vlan之间的数据包,路由器与交换机之间使用单条链路相连,所有的数据包从f0/0进去,又从f0/0出来,不象传统网络拓扑中数据包从某个接口进入,从另一个接口离开路由器,感觉只有一个“臂膀”,因此这种拓扑方式就是单臂路由。
3.3单臂路由的应用配置
在区县气象局划分三个VLAN,VLAN1为缺省,VLAN2接入业务网,VLAN3接入行政网,IP网段分别假设为192.168.2.0/24和192.168.3.0/24(IP网段只作为一个示例,可以根据省局统一分配给各区县局的IP网段来调整)。交换机为博达S2026,路由器为博达1721。应用单臂路由技术后的拓扑结构如下
主要配置内容如下:
交换机的配置
VLAN的配置
interface FastEthernet0/1
!
interface FastEthernet0/2
switchport pvid 2
!
interface FastEthernet0/3
switchport pvid 3
!
……
!
interface FastEthernet0/23
!
interface FastEthernet0/24
switchport mode trunk
!
interface VLAN1
ip address 192.168.2.2 255.255.255.0
!
vlan 1-3
!
首先配置VLAN,二层交换机的VLAN除了VLAN1可以配置一个管理地址外,其它的VLAN不能配置ip。为了看得清楚,就配置了VLAN2和VLAN3,并分别将f0/2和f0/3端口加入到VLAN2和VLAN3中,将f0/24配置成trunk模式,以这个端口连接路由器,作为单臂路由的“单臂”。
查看VLAN的状态以及VLAN之间的标签情况:
可以很直观地看见f0/2和f0/3分别属于VLAN2和VLAN3,由于f0/24配置成trunk模式,因此,它属于所有的VLAN(目前只配置了VLAN1-3)。而且还可以看到f0/24是可以识别f0/2和f/3的VLAN2和VLAN3的入标签的。
交换机的其他配置略。
有些可网管交换机提供了非常直观的web界面,下图是H3C的S1526交换机的管理界面,可以非常方便地新建基于端口的VLAN,例如下图就新建了VLAN2,并且将f0/2加入到了VLAN2。
图6
路由器的配置
interface FastEthernet0/0 no ip address
no ip directed-broadcast!
interface FastEthernet0/0.2
ip address 192.168.2.254 255.255.255.0 no ip directed-broadcast encapsulation dot1Q 2 bandwidth 100000
delay 1
!
interface FastEthernet0/0.3
ip address 192.168.3.254 255.255.255.0 no ip directed-broadcast encapsulation dot1Q 3 bandwidth 100000
delay 1
!
配置两个子接口f0/0.2和f0/0.3,分别配置ip地址192.168.2.254和192.168.3.254,这两个ip将作为两个VLAN中PC的网关地址。在这两个子接口中分别封装802.1q协议,其中的序号2和3分别对应交换机中的VLAN2和VLAN3。
在路由器上可以配置多个逻辑子接口,每个子接口对应于一个VLAN。由于物理路由接口只有一个,各子接口的数据在物理链路上传递要进行标记封装。子接口是在一个物理接口上配置出来的多个逻辑上的虚拟接口,这些虚拟接口共用物理接口的物理层参数,又可以分别配置各自的链路层和网络层参数。这样的多个虚拟接口对应的是同一个物理接口,因此,这些子接口之间是不需要路由的。
子接口不同于对端口配置secondary,即不同于给一个接口同时配置多个ip。路由器的其它配置略。
3.4应用测试
在实际应用中,业务网段内的PC,ip网段为192.168.1.0/24,网关指向路由器的f0/2子接口ip 192.168.2.254/24;行政网段内的PC,ip网段为192.168.3.0/24,网关指向路由器的子接口f0/3的ip 192.168.2.254/24。
这样便在二层交换机上划分了两个VLAN,两个VLAN之间的数据表通过1721路由器进行单臂路由。在两个VALN中分别找到两台PC,192.168.2.1和192.168.3.1作测试。
测试结果:ipconfig查看ip为192.168.2.1,网关192.168.2.254,ping 192.168.3.1通,测试成功。 tracert跟踪路由,vlan之间的数据经过1721路由器(f0/0.2子接口)作路由。
两个VLAN与外界的数据交换与配置单臂路由之前相同,由1721路由器的静态路由来指明下一跳地址,选择到市局业务网还是访问互联网,其它配置与应用单臂路由配置之前相同(略。)
3.5访问控制列表
访问控制列表(ACL)是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。例如定义访问列表acl2
ip access-list extended acl2
permit ip 192.168.2.1 255.255.255.255 192.168.3.0 255.255.255.0 permit ip 192.168.2.5 255.255.255.255 192.168.3.0 255.255.255.0 permit ip 192.168.2.0 255.255.255.0 192.168.3.8 255.255.255.255 permit ip 192.168.2.0 255.255.255.0 192.168.3.9 255.255.255.255 deny ip any 192.168.3.0 255.255.255.0!
将该ACL应用到1721路由器的f0/0.2端口下,可以实现以下访问控制:
192.168.2.1和192.168.2.5两台PC可以访问192.168.3.0/24网段的所有PC;192.168.3.8和192.168.3.9两台PC可以访问192.168.2.0/24网段的所有PC;两个网段的其它PC之间禁止访问。
4单臂路由应用小结
单臂路由是一种较为便捷的廉价的在二层交换机上划分VLAN和实现VLAN间相互通信的技术方式,将该技术应用到各区县局现有网络环境,可以较好地实现划分VLAN隔离广播域,分网段管理等功能。
划分VLAN,实现VLAN之间相对独立,再通过单臂路由技术实现了VLAN之间互通,感觉与原来一个网段没有区别。事实上,划分VLAN之后可以将业务网和行政网单独隔离出来,两个网段的广播域互不干扰,对抑制网络广播风暴具有一定意义。此外,划分VLAN之后,可以在路由器上配置ACL,实现VLAN之间的PC访问权限,可以指定一个VLAN的PC能否访问另一个VLAN(或其中的PC),即可方便控制允许和禁止访问,这在单网段中是不能达到的。
单臂路由的缺点也是显而易见的,主要体现在它非常消耗路由器CPU与内存的资源,在一定程度上影响了网络数据包传输的效率。但是单臂路由仍然是网络升级经费紧张时一个不错的选择。单臂路由方式仅仅是对现有网络升级时采取的一种策略,在区县局内部网络中划分了VLAN,当VLAN之间有部分主机需要通信,但交换机不支持三层交换,这时我们使用该方法来解决实际问题。虽然单臂路由存在着这样或那样的缺点,但是通过试验,在各区县局使用博达1721路由器进行单臂路由还是可以满足工作需要的,而且单臂路由技术应用很少改动原有网络布线结构,可以最大程度维持各区县局业务服务系统的稳定性。
本文探讨的单臂路由方案可以作为今后网络升级改造的一个过渡,单臂路由技术可以为各区县局信息网络深层开发应用提供参考。
参考文献:
[1]贺春光,张布军.单臂路由配置方法和常见问题[J].中国数据通信,2003,(11).
[2]苏文芝,郭飞燕.园区网间单臂路由技术的替代解决方案[J].电脑知识与技术, 2008,(34).
[3]刘登立.应用VLAN和三层交换的企业网络安全[J].中国高新技术企业, 2008,(15).
[4]李亚鹏.企业局域网本地路由的配置[J].吉林农业科技学院学报,2008,(3).
[5]张仕斌.网络安全技术[M].北京:清华大学出版社,2004:339.
[6]上海博达数据通信有限公司.博达产品用户手册[M].2003:658