胡 云

(無錫市廣播電視大學(xué)，江蘇 無錫 214011)

基于VLAN間不同互連方式的ACL配置

胡 云

(無錫市廣播電視大學(xué)，江蘇 無錫 214011)

在網(wǎng)絡(luò)互連中通過路由器和3層交換機(jī)這2種設(shè)備實(shí)現(xiàn)了VLAN間的互連，基于不同設(shè)備互連方式的ACL配置和應(yīng)用會有所區(qū)別，其對網(wǎng)絡(luò)運(yùn)行的性能有明顯的影響.

ACL;VLAN;網(wǎng)絡(luò)互連;路由器;3層交換機(jī)

0 引言

為了提高網(wǎng)絡(luò)運(yùn)行的效率和安全性，需要對網(wǎng)絡(luò)進(jìn)行劃分，將大的網(wǎng)絡(luò)劃分為多個小的網(wǎng)絡(luò)，之前主要通過路由器實(shí)現(xiàn)，但這種方式成本很高.隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是交換機(jī)虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)技術(shù)的成熟，為網(wǎng)絡(luò)的劃分提供了更便捷的方法，不僅成本降低，而且更加靈活［1－5］.據(jù)此，本研究主要討論采用不同設(shè)備實(shí)現(xiàn)VLAN間互連時訪問控制列表(Access Control List，ACL)不同的配置方式以及對網(wǎng)絡(luò)運(yùn)行性能的影響.

1 VLAN

1.1 概 述

VLAN是一種通過將局域網(wǎng)內(nèi)的2層設(shè)備，其以邏輯的方式而不是物理的方式將網(wǎng)絡(luò)劃分為一個個網(wǎng)段的技術(shù).這里的網(wǎng)段僅僅是邏輯網(wǎng)段的概念，而不是真正的物理網(wǎng)段.VLAN相當(dāng)于OSI參考模型的第2層廣播域，能夠?qū)V播流量控制在一個VLAN內(nèi)部.劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)性能得到顯著提高.

在通信網(wǎng)絡(luò)中，不同VLAN之間的數(shù)據(jù)傳輸是通過第3層路由設(shè)備來實(shí)現(xiàn)的.因此，使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層的交換設(shè)備和網(wǎng)絡(luò)層的路由設(shè)備可搭建安全可靠的網(wǎng)絡(luò).在實(shí)際應(yīng)用中，VLAN并不僅局限于某一個網(wǎng)絡(luò)或物理范圍，VLAN中的用戶可以位于一個園區(qū)的任意位置，甚至位于不同的地域.

1.2 VLAN間通信

在交換機(jī)組成的網(wǎng)絡(luò)中，VLAN實(shí)現(xiàn)了網(wǎng)絡(luò)流量的分割，但不同的VLAN之間是不能相互通信的.如果要實(shí)現(xiàn)VLAN間通信，必須借助于OSI參考模型中的第3層設(shè)備來實(shí)現(xiàn):其一是利用路由器，其二是利用具有3層功能的交換機(jī).

1.2.1 利用路由器實(shí)現(xiàn)VLAN間通信.

當(dāng)每個交換機(jī)上只有1個VLAN時，路由器和交換機(jī)的接線方式如圖1所示，通過路由器的直接路由，各VLAN就能直接通信.

圖1 交換機(jī)上單VLAN間的通信

當(dāng)每個交換機(jī)上有多個VLAN時，其與路由器的連接方法有以下2種.

1)多臂路由.將路由器與交換機(jī)上的每個VLAN分別連接，即把路由器和交換機(jī)以VLAN為單位分別用網(wǎng)線連接.將交換機(jī)上用于和路由器互連的每個端口設(shè)為Access模式，然后分別用網(wǎng)線與路由器上的獨(dú)立端口互連，具體如圖2所示.交換機(jī)上有4個VLAN，那么就需要在交換機(jī)上預(yù)留4個端口用于與路由器互連，路由器上同樣需要4個端口，兩者之間用4條網(wǎng)線分別連接.由于路由器通常是不會帶有太多以太網(wǎng)接口的，所以這種方法在實(shí)際中用得較少.

圖2 利用多臂路由實(shí)現(xiàn)VLAN間通信

2)單臂路由.不論VLAN有多少個路由器，其與交換機(jī)都只用一條網(wǎng)線連接，具體如圖3所示.此時，需要將用于連接路由器的交換機(jī)端口設(shè)為干道模式，且用于干道模式的協(xié)議也必須相同.然后在路由器上定義對應(yīng)各個VLAN的“子接口”.VLAN將交換機(jī)從邏輯上分割成了多臺，因而用于VLAN間路由的路由器，也必須擁有分別對應(yīng)各個VLAN的虛擬接口(Swith Virtual Interface，SVI)作為各個VLAN成員的網(wǎng)關(guān).

圖3 利用單臂路由實(shí)現(xiàn)VLAN間通信

1.2.2 利用3層交換機(jī)實(shí)現(xiàn)VLAN間通信.

3層交換機(jī)，本質(zhì)上就是利用3層交換機(jī)的路由功能實(shí)現(xiàn)VLAN間的通信.在3層交換機(jī)上創(chuàng)建各個 VLAN的 SVI，并配置 IP地址，然后將所有VLAN連接的工作站主機(jī)網(wǎng)關(guān)都指向該SVI的IP地址即可.

2 ACL

2.1 概述

網(wǎng)絡(luò)內(nèi)部通信和內(nèi)外網(wǎng)絡(luò)之間的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，為了確保內(nèi)部網(wǎng)絡(luò)的安全性，需要通過相應(yīng)的安全策略來保障非授權(quán)用戶只能訪問某些特定的網(wǎng)絡(luò)資源，從而實(shí)現(xiàn)對訪問進(jìn)行有效地控制.簡而言之，ACL可以過濾網(wǎng)絡(luò)中的通信流量，是一種控制訪問的網(wǎng)絡(luò)技術(shù)手段.此外，ACL的定義也可以是基于所有協(xié)議的.如果路由器接口配置成支持3種協(xié)議(IP、AppleTalk以及IPX)的情況，那么，用戶對這3種協(xié)議的數(shù)據(jù)包必須定義3種ACL進(jìn)行控制.

2.2 作用

ACL是提供網(wǎng)絡(luò)安全訪問的基本手段，同時，ACL還可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，并提供對通信流量的控制手段.ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞.

2.3 規(guī) 則

在實(shí)際應(yīng)用中，可以為每種協(xié)議(per protocol)、每個方向(per direction)、每個接口(per interface)配置一個ACL，歸納起來就是3P規(guī)則:每種協(xié)議一個ACL，即要控制接口上的流量，必須為接口上啟用的每種協(xié)議定義相應(yīng)的ACL;每個方向一個ACL，一個ACL只能控制接口上一個方向的流量;每個接口一個ACL，一個ACL只能控制一個接口上的流量.

2.4 執(zhí)行過程

一個端口最終到底執(zhí)行哪條ACL，是根據(jù)列表中語句的條件來判斷執(zhí)行的.如果一個數(shù)據(jù)包的報頭跟列表中某個語句的條件相匹配，那么后面的語句將被忽略，不再進(jìn)行檢查.

數(shù)據(jù)包只有在跟當(dāng)前語句條件不匹配時，它才被交給ACL中下一條語句進(jìn)行條件比較.如果匹配(假設(shè)為允許發(fā)送)，則不管是第一條語句還是最后一條語句，數(shù)據(jù)都會立即發(fā)送到目的接口.如果所有的ACL語句都判斷檢測完畢，仍沒有相匹配的語句，則該數(shù)據(jù)包將被拒絕而被丟棄.但ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制.

2.5 分 類

目前，ACL有3種分類:標(biāo)準(zhǔn)ACL、擴(kuò)展ACL及命名ACL.

標(biāo)準(zhǔn)的ACL使用1～99以及1 300～1 999之間的數(shù)字作為表號，擴(kuò)展的ACL使用100～199以及2 000～2 699之間的數(shù)字作為表號.

標(biāo)準(zhǔn)ACL可以對來自某一網(wǎng)絡(luò)的所有通信流量進(jìn)行阻止，也可以允許通過來自某一特定網(wǎng)絡(luò)的所有通信流量，同時，也可以阻止某一指定協(xié)議的所有通信流量通過.實(shí)際應(yīng)用中，擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍和更小的控制單位.

3 實(shí)驗(yàn)

3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

實(shí)驗(yàn)所采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖4所示.

圖4 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

3.2 網(wǎng)絡(luò)配置要求

實(shí)驗(yàn)中，網(wǎng)絡(luò)配置要求為:全網(wǎng)配置OSPF路由協(xié)議，并配置ACL使VLAN10與VLAN20之間不能訪問，VLAN30與VLAN40之間不能訪問，VLAN10只能訪問Server 1的www服務(wù)，VLAN20只能訪問Server 2的ftp服務(wù).

3.3 具體配置方法和步驟

3.3.1 方法一.

在路由器R1上利用單臂路由實(shí)現(xiàn)交換機(jī)S1中VLAN10和VLAN20之間的通信;在路由器R2上利用單臂路由實(shí)現(xiàn)交換機(jī) S2中 VLAN30和VLAN40之間的通信.在R1中配置和應(yīng)用ACL.

1)三層交換機(jī)S1的配置.

2)路由器R1的配置.

3.3.2 方法二.

利用3層交換機(jī)的路由功能實(shí)現(xiàn)S1中VLAN10和VLAN20之間的通信;利用3層交換機(jī)的路由功能實(shí)現(xiàn)S2中VLAN30和VLAN40之間的通信.在S1中配置和應(yīng)用ACL.

1)3層交換機(jī)S1的配置.

2)路由器R1的配置.

4 結(jié)論

利用路由器和3層交換機(jī)都可以實(shí)現(xiàn)不同VLAN之間的通信，但實(shí)際應(yīng)用中，可采用3層交換機(jī)自身的路由功能解決不同VLAN之間的通信.這樣做，可以在3層交換機(jī)中直接配置和應(yīng)用ACL，使得數(shù)據(jù)包可以在離源計(jì)算機(jī)最近的網(wǎng)絡(luò)通信設(shè)備中接受ACL檢測，防止不必要的通信數(shù)據(jù)進(jìn)入下一級的網(wǎng)絡(luò)通信設(shè)備，此可有效減輕網(wǎng)絡(luò)的負(fù)載，并提高網(wǎng)絡(luò)的通信效率.

［1］李丹.Packet Tracer仿真環(huán)境下實(shí)現(xiàn)VLAN間通信［J］.電大理工，2013，35(4):21 －23.

［2］王新風(fēng).中小企業(yè)網(wǎng)絡(luò)設(shè)備配置與管理［M］.北京:清華大學(xué)出版社，2010.

［3］石林.構(gòu)建高級的路由互聯(lián)網(wǎng)絡(luò)(BARI)［M］.北京:電子工業(yè)出版社，2009.

［4］鄭輝.有類路由匯總的學(xué)習(xí)和探討［J］.電腦知識與技術(shù)，2011，18(6):1306 －1307+1312.

［5］劉佰明.基于Packet Tracer技術(shù)的VLAN間通信的設(shè)計(jì)與開發(fā)［J］.計(jì)算機(jī)與數(shù)字工程，2014，42(7):1303－1305+1310.

ACL Configurations with Different Interconnection Based on VLAN

HU Yun
(Wuxi Radio＆ Television University，Wuxi 214011，China)

The VLAN interconnection can be achieved through the routers and three-layer switches.The ACL configuration and application based on the interconnection of different devices differ，which has significant influence on the performance of network operation.

ACL;VLAN;network interconnection;router;three-layer switch

TP393.03

A

1004－5422(2015)01－0041－03

2014－12－16.

胡 云(1978—)，男，碩士，副教授，從事計(jì)算機(jī)算法設(shè)計(jì)與圖形學(xué)研究.