王亮　瞿國(guó)慶

摘要：本文以當(dāng)前日益發(fā)展的企業(yè)數(shù)據(jù)中心為背景，很多企業(yè)在投入大量的人力和物力組建數(shù)據(jù)中心時(shí)，往往忽略了其安全性，從而可能會(huì)使數(shù)據(jù)丟失甚至泄露?；谝陨锨闆r，本文提出了應(yīng)用私有VLAN技術(shù)來保障數(shù)據(jù)中心的安全。首先介紹了私有VLAN產(chǎn)生的原因，私有VLAN的原理及其作用等，然后依據(jù)具體的企業(yè)數(shù)據(jù)中心項(xiàng)目案例來實(shí)現(xiàn)私有VLAN技術(shù)在企業(yè)數(shù)據(jù)中心中的應(yīng)用，既滿足了該項(xiàng)目的需求，同時(shí)又保障了企業(yè)數(shù)據(jù)中心的安全。

關(guān)鍵詞：私有VLAN技術(shù) 數(shù)據(jù)中心 信息安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）09-0063-03

1 引言

隨著時(shí)代的進(jìn)步，信息化無處不在，涉及我們生活、工作和學(xué)習(xí)等方方面面，而作為信息化的核心部分—數(shù)據(jù)中心也就變得至關(guān)重要。數(shù)據(jù)中心是企業(yè)的業(yè)務(wù)系統(tǒng)與數(shù)據(jù)資源進(jìn)行集中、集成、共享和分析的場(chǎng)地、工具、流程等的有機(jī)組合。從應(yīng)用層面看，包括業(yè)務(wù)系統(tǒng)、基于數(shù)據(jù)倉(cāng)庫(kù)的分析系統(tǒng)；從數(shù)據(jù)層面看，包括操作型數(shù)據(jù)和分析型數(shù)據(jù)以及數(shù)據(jù)與數(shù)據(jù)的集成/整合流程；從基礎(chǔ)設(shè)施層面看，包括服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)和整體IT 運(yùn)行維護(hù)服務(wù)[1]。

但是很多企業(yè)在投入大量的人力和物力建設(shè)數(shù)據(jù)中心的同時(shí)，在其安全方面考慮不多，因此在數(shù)據(jù)中心投入使用后出現(xiàn)了較多的安全問題。數(shù)據(jù)中心安全圍繞數(shù)據(jù)為核心，從數(shù)據(jù)的訪問、使用、破壞、修改、丟失和泄漏等多方面展開，一般來說包括以下幾個(gè)方面：

（1）物理安全：主要指數(shù)據(jù)中心機(jī)房的安全，包括機(jī)房的選址，機(jī)房場(chǎng)地安全，防電磁輻射泄漏，防靜電，防火等內(nèi)容；（2）網(wǎng)絡(luò)安全：指數(shù)據(jù)中心網(wǎng)絡(luò)自身的設(shè)計(jì)、構(gòu)建和使用以及基于網(wǎng)絡(luò)的各種安全相關(guān)的技術(shù)和手段，如防火墻，IPS，安全審計(jì)等；（3）系統(tǒng)安全：包括服務(wù)器操作系統(tǒng)，數(shù)據(jù)庫(kù)，中間件等在內(nèi)的系統(tǒng)安全，以及為提高這些系統(tǒng)的安全性而使用安全評(píng)估管理工具所進(jìn)行的系統(tǒng)安全分析和加固；（4）數(shù)據(jù)安全：數(shù)據(jù)的保存以及備份和恢復(fù)設(shè)計(jì)；（5）信息安全：完整的用戶身份認(rèn)證以及安全日志審計(jì)跟蹤，以及對(duì)安全日志和事件的統(tǒng)一分析和記錄。

拋開物理安全的考慮，網(wǎng)絡(luò)是數(shù)據(jù)中心所有系統(tǒng)的基礎(chǔ)平臺(tái)，網(wǎng)絡(luò)安全從而成為數(shù)據(jù)中心安全的基礎(chǔ)支持。因此合理的網(wǎng)絡(luò)安全體系設(shè)計(jì)、構(gòu)建安全可靠的數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)平臺(tái)是進(jìn)行數(shù)據(jù)中心安全建設(shè)的基本內(nèi)容[2]。

本文就以數(shù)據(jù)中心的安全問題入手，提出使用私有VLAN技術(shù)可以保障企業(yè)數(shù)據(jù)中心的安全，并給出相應(yīng)的解決實(shí)現(xiàn)方案。下面首先來介紹私有VLAN技術(shù)。

2 私有VLAN技術(shù)簡(jiǎn)介

2.1 私有VLAN技術(shù)的產(chǎn)生

隨著網(wǎng)絡(luò)的迅速發(fā)展，用戶對(duì)于網(wǎng)絡(luò)數(shù)據(jù)通信的安全性提出了更高的要求，諸如防范黑客攻擊、控制病毒傳播等，都要求保證網(wǎng)絡(luò)用戶通信的相對(duì)安全性；傳統(tǒng)的解決方法是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個(gè)客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。 然而，這種分配每個(gè)客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的可擴(kuò)展方面的局限[3]。這些局限主要有下述幾方面：

（1）為每個(gè)客戶都分配一個(gè)不同的VLAN就需要在服務(wù)提供商的網(wǎng)絡(luò)設(shè)備上使用大量的三層接口；

（2）當(dāng)很多VLAN互相通信時(shí)，生成樹就會(huì)變得非常復(fù)雜；

（3）管理員必須將網(wǎng)絡(luò)地址空間分為很多子網(wǎng)，而這樣做會(huì)浪費(fèi)地址空間，并且增加網(wǎng)絡(luò)的復(fù)雜程度；

（4）管理員需要使用很多ACL應(yīng)用來確保這些VLAN的安全性，這也會(huì)增加網(wǎng)絡(luò)管理員的復(fù)雜程度。

基于以上情況產(chǎn)生了私有VLAN技術(shù)，該技術(shù)可以讓交換機(jī)共享一部分端口，而又隔離一部分端口，同時(shí)所有這些端口還都位于同一個(gè)VLAN中。

2.2 私有VLAN技術(shù)的原理

2.2.1 私有VLAN的VLAN類型

每個(gè)私有VLAN包含2種VLAN類型：主VLAN（Primary VLAN）和輔助VLAN（Secondary VLAN），而輔助VLAN（Secondary VLAN）又包含兩種類型：隔離VLAN（Isolated VLAN）和團(tuán)體VLAN（Community VLAN）。其中Primary VLAN把流量從混雜端口傳送到隔離、團(tuán)體和同一個(gè)VLAN內(nèi)部的其它主要混雜端口；Isolated VLAN把流量從隔離端口傳送到一個(gè)混雜端口。Isolated VLAN中的端口，使其不能與私有VLAN內(nèi)部的任何其它端口進(jìn)行第2層通信。若要與其它端口通信，則必須穿越混雜端口；在相同Community VLAN內(nèi)部的團(tuán)體端口之間傳送流量并傳送到混雜端口，Community VLAN內(nèi)的端口可以在第2層彼此通信，但是不能與其它團(tuán)體或隔離VLAN的端口進(jìn)行通信。若要與其它端口進(jìn)行通信，則必須穿越混雜端口[4]。

2.2.2 私有VLAN的端口類型

私有VLAN中的交換機(jī)物理端口有兩種接口類型：混雜端口（Promiscuous Port）和主機(jī)端口（Host Port）。其中Promiscuous Port隸屬于Primary VLAN，一個(gè)混雜端口可以與所有接口通信，包括私有VLAN內(nèi)的隔離和團(tuán)體端口，混雜端口的功能是在團(tuán)體和隔離的VLAN端口之間傳遞流量；Host Port隸屬于Secondary VLAN，由于Secondary VLAN具有兩種屬性，那么主機(jī)端口依Secondary VLAN屬性的不同也有兩種分類：

（1）隔離端口（Isolated Port）：它與PVLAN內(nèi)的所有其它端口相分離，除混雜端口外；來源于隔離端口的流量?jī)H僅傳送給混雜端口。（2）團(tuán)體端口（Community Port）：它在邏輯上把相同區(qū)域內(nèi)部的各個(gè)端口和混雜端口結(jié)合到一起，流量可以在它們之間傳送。

2.2.3 私有VLAN間的通信原則

Primary VLAN可以和所有他所關(guān)聯(lián)的Isolated VLAN和Community VLAN通信。Community VLAN可以同那些處于相同Community VLAN內(nèi)的Community Port通信，也可以與私有VLAN中的Promiscuous Port通信。Isolated VLAN不可以和處于相同Isolated VLAN內(nèi)的其它Isolated Port通信，只可以與Promiscuous Port通信[5]。

2.3 私有VLAN技術(shù)的作用

通過私有VLAN技術(shù)可以隔離位于交換機(jī)同一VLAN中終端設(shè)備間的通信，使交換機(jī)一些端口的流量只能到達(dá)某些與默認(rèn)網(wǎng)關(guān)或備份服務(wù)器相連的端口，執(zhí)行了以上操作后，就可以控制同一個(gè)VLAN和同一個(gè)子網(wǎng)的終端設(shè)備間的通信，使網(wǎng)絡(luò)變得更加地安全。下面就在某企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)中應(yīng)用私有VLAN技術(shù)來保障其網(wǎng)絡(luò)的安全[6]。

3 私有VLAN技術(shù)在企業(yè)數(shù)據(jù)中心中的應(yīng)用

3.1 項(xiàng)目要求和設(shè)計(jì)方案（圖1）

3.1.1 項(xiàng)目要求

如圖1所示為某公司部分網(wǎng)絡(luò)拓?fù)鋱D，其中兩臺(tái)交換機(jī)分別連接工作區(qū)電腦和數(shù)據(jù)中心各服務(wù)器，交換機(jī)的型號(hào)是思科3560系列?，F(xiàn)要求對(duì)交換機(jī)進(jìn)行配置來保護(hù)數(shù)據(jù)中心中的服務(wù)器，實(shí)現(xiàn)以下功能：

（1）電腦和服務(wù)器處于同一個(gè)VLAN和同一個(gè)子網(wǎng)中；（2）普通員工電腦PC1只能訪問公用服務(wù)器Server1；（3）部門主管電腦PC2可以訪問公用服務(wù)器Server1和部門專用服務(wù)器Server2，但不能訪問財(cái)務(wù)系統(tǒng)服務(wù)器Server3；（4）總經(jīng)理電腦PC3可以訪問所有服務(wù)器。

3.1.2 設(shè)計(jì)方案

根據(jù)以上項(xiàng)目要求，在經(jīng)過多個(gè)方案的篩選后，最終決定通過應(yīng)用私有VLAN技術(shù)來實(shí)現(xiàn)。如表1所示是某公司部分網(wǎng)絡(luò)設(shè)備IP地址和私有VLAN設(shè)計(jì)規(guī)劃表，（表1）便是私有VLAN的實(shí)現(xiàn)過程。

3.2 私有VLAN的實(shí)現(xiàn)過程

3.2.1 配置私有VLAN前準(zhǔn)備工作

（1）配置各電腦和服務(wù)器的IP地址等參數(shù)；

（2）SW1和SW2間創(chuàng)建中繼鏈路；

只有創(chuàng)建了中繼鏈路，私有VLAN流量才可以跨越多個(gè)交換機(jī)，實(shí)現(xiàn)代碼如下：

SW1（config）#int f0/24

SW1（config-if）#switchport trunk encapsulation dot1q

//配置中繼端口的封裝方式

SW1（config-if）#switchport mode trunk

//將端口配置為中繼模式

SW2的配置類似于SW1。

（3）SW1和SW2配置成VTP的透明模式。

只有開啟了透明模式，才可以使用私有VLAN技術(shù)，實(shí)現(xiàn)代碼如下：

SW1（config）#vtp mode transparent

SW2（config）#vtp mode transparent

3.2.2 私有VLAN的配置

（1）創(chuàng)建主VLAN及輔助VLAN

SW1（config）#vlan 10

SW1（config-vlan）#private-vlan primary

//配置VLAN 10為主VLAN

SW1（config-vlan）#vlan 101

SW1（config-vlan）#private-vlan community

//配置VLAN 101為輔助VLAN的團(tuán)體VLAN

SW1（config-vlan）#vlan 102

SW1（config-vlan）#private-vlan community

//配置VLAN 102為輔助VLAN的團(tuán)體VLAN

SW1（config-vlan）#vlan 103

SW1（config-vlan）#private-vlan isolated

//配置VLAN 103為輔助VLAN的隔離VLAN

（2）關(guān)聯(lián)主VLAN和輔助VLAN

SW1（config）#vlan 10

SW1（config-vlan）#private-vlan association 101-103

//將主VLAN 10和輔助VLAN101、102和103關(guān)聯(lián)起來

（3）私有VLAN中端口的配置

SW1（config）#int f0/1

SW1（config-if）#switchport mode private-vlan host

//設(shè)置端口為host模式

SW1（config-if）#switchport private-vlan host-association 10 101

//關(guān)聯(lián)主VLAN和所屬的私有VLAN

SW1（config）#int f0/2

SW1（config-if）#switchport mode private-vlan host

SW1（config-if）#switchport private-vlan host-association 10 102

SW1（config）#int f0/3

SW1（config-if）#switchport mode private-vlan promiscuous

//設(shè)置端口為混雜模式

SW1（config-if）#switchport private-vlan mapping 10 101-103

//關(guān)聯(lián)主VLAN和能夠訪問的私有VLAN

SW2的配置類似于SW1

3.3 私有VLAN的驗(yàn)證過程

配置完成后，我們使用ping命令來驗(yàn)證工作區(qū)電腦與數(shù)據(jù)中心服務(wù)器間的連通性，確保私有VLAN配置的正確性，驗(yàn)證過程如下：

3.3.1 普通員工電腦訪問各服務(wù)器

如圖2所示，普通員工電腦只能訪問公用服務(wù)器。

3.3.2 部門主管電腦訪問各服務(wù)器

如圖3所示，部門主管電腦可以訪問公用服務(wù)器和部門專用服務(wù)器，但不能訪問財(cái)務(wù)系統(tǒng)服務(wù)器。

3.3.3 總經(jīng)理電腦訪問各服務(wù)器

如圖4所示，總經(jīng)理電腦可以訪問所有服務(wù)器。

4 結(jié)論和展望

以上我們?cè)谄髽I(yè)的數(shù)據(jù)中心中應(yīng)用私有VLAN技術(shù)，解決了在同一個(gè)VLAN和同一個(gè)子網(wǎng)間的通信問題。通過實(shí)踐得出私有VLAN技術(shù)可以解決通信安全、防止廣播風(fēng)暴和浪費(fèi)IP地址等方面問題，而且采用私有VLAN技術(shù)有助于網(wǎng)絡(luò)的優(yōu)化，再加上私有VLAN在交換機(jī)上的配置也相對(duì)簡(jiǎn)單，因此目前很多廠商生產(chǎn)的交換機(jī)都支持私有VLAN技術(shù)，私有VLAN技術(shù)也越來越得到眾多網(wǎng)絡(luò)管理人員的青睞，相信未來私有VLAN技術(shù)會(huì)得到更大的應(yīng)用前景。

參考文獻(xiàn)

[1]鄧維，劉方明，金海，李丹.云計(jì)算數(shù)據(jù)中心的新能源應(yīng)用：研究現(xiàn)狀與趨勢(shì)[J].計(jì)算機(jī)學(xué)報(bào)，2013（03）.

[2]郭怡磊.數(shù)據(jù)中心的未來發(fā)展[J].信息與電腦（理論版），2016（07）.

[3]（美）Cisco Systems公司，（美）Cisco Networking Academy Program著，天津大學(xué)等譯.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程[M].人民郵電出版社，2004.

[4]陳明.PVLAN技術(shù)在虛擬局域網(wǎng)中的應(yīng)用[J].漳州職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2009（01）.

[5]陳光平，黃俊.PVLAN技術(shù)在小區(qū)寬帶網(wǎng)中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006（04）.

[6]李衛(wèi)編著.計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社，2004.