论文部分内容阅读
摘 要:从分析传统办公网络的现状入手,基于现状存在的诸多弊端和限制,提出一种包括动态VLAN(虚拟局域网) 在内的业界流行局域网技术,实现局域网灵活办公,安全办公。
关键词:局域网 动态虚拟局域网 NAT DHCP VMPS
中图分类号:TP393.18 文献标识码:A 文章编号:1007-3973(2013)006-095-02
1 前言
数据中心办公楼是一所综合性的办公楼宇,其中包括财务清算中心、数据业务运行支撑中心、网管中心等多个部室进行日常办公活动。不同部室日常办公对网络的访问需求不同。财务清算中心需要访问财务报账平台、全面预算管理系统、MIS系统等,而数据业务运行支撑中心需要访问BOSS系统、经营分析系统等、网管中心需要访问各生产系统、业务系统、网管系统等。同时,网管中心需要较多的厂家工程师协助进行系统维护、优化及故障处理工作。大量的外来人员出入,厂商工程师经常更换替换,流动性大,这无形中更增加了管理的难度。
在网络与信息安全越来越重要,越来越重视的今天,作为掌握客户和用户个人信息的通信运营商,我们必须寻求一种安全高效的网络管理和控制方式,以保证客户和用户个人信息安全为基准,为企业管理好,运营好各项业务,保证好质量,保证好服务。
为满足以上各种网络访问需求,实现各类访问流量的有效隔离,保证各生产系统的网络与用户个人信息安全,做好厂家人员安全管理和访问控制,必须建立一套健壮、高效的支撑平台来保证日常维护作业的实时有效。
2 目标
随着公司的不断发展壮大,公司建设的生产系统与支撑平台将更加丰富、庞大,同时这也使得办公网络中至各类系统/平台的访问需求也日趋复杂多样化。
同时,随着IP网络技术的不断发展、互联网INTERNET的不断普及,企业已经充分的感受到互联网所带来的高效和便利,同时企业对网络的建设和使用也越来越重视,对网络应用的依赖度越来越高。企业在依赖开放、互连的网络环境,将生产、办公、个人生活连接到一起,带来丰富的资源的同时,也带来了潜在的风险。
本解决方案的目标是通过积极应用动态VLAN等局域网新技术,有效实现楼宇办公网络用户接入管理与控制,有效隔离各项业务访问流量,保证网络与信息安全,使我们在企业综合组网布局时可以更为灵活、更易管理,来满足日常负责多样的需求,使我们的办公更为便利。
3 亮点
基于以上目标和需求,我们在数据中心办公网中引入了包括动态VLAN在内的多种业界流行局域网技术。其中,动态VLAN技术采用的是第一种和第三种相结合定义方法,即基于二层(物理地址)+四层以上(用户名)捆绑的定义方法。
在采用动态VLAN技术的同时,合并其他多种条件进行组合捆绑认证的方式,辅以无线接入,静态VLAN配置相结合的组网方式,是此综合组网方案亮点的总体概括。
本组网方案详细的亮点如下:
(1)有线和无线网络相结合。
用户终端可以采用有线,或者无线等方式接入办公网络,实现了有线和无线网络的有机结合,可以最大限度地发挥两种接入方式的优点——有线网络的稳定,无线网络的便利、灵活,使得办公更自由化,更人性化。
(2)动态和静态VLAN相结合。
可基于端口,设定端口动态VLAN或静态VLAN。端口工作方式可以灵活配置。在所接入终端变化频繁的端口上,设置为动态VLAN的方式。在某些固定终端的端口上(例如系统专用维护终端所在端口、应急终端所在端口),设定端口属于某个特定(静态)VLAN,终端专用。静态VLAN方式可以避免因认证系统问题导致无法办公的情况发生。动态VLAN的优点也很明显,就是办公位置可以随意调换,无需任何网络调整。动态VLAN和静态VLAN的有效结合使得办公网络终端接入方式更加灵活多样,发挥各自方式的优势,最大程度上规避其缺点。
(3)多种因素组合绑定认证方式。
除了部署动态VLAN等新技术外,办公网络还需支持基于用户名、IP地址、设备端口、VLAN、物理地址(MAC)等多种因素组合绑定的认证方式,使得网络部署更加安全可靠,解决了基于某种因素认证方式的安全等级低,安全无法保证等问题,极大程度上提升了网络安全性。
(4)集成用户上网日志溯源功能。
提供综合的系统认证数据库、DHCP(动态主机配置协议)日志、NAT(网络地址翻译)日志,可以实现用户上网日志的溯源查询,提供用户上网审计功能,保障合法有效使用网络资源,满足用户上网日志安全审计要求。
(5)用户自助功能。
除以上核心功能外,系统还提供用户上网日志查询、用户口令修改、密码找回、客户端软件升级等一系列功能。
4 关键技术介绍——动态VLAN技术
我们可以通过动态VLAN和静态VLAN比较的方式来阐述一下动态VLAN技术。
根据交换机端口的关联属性来划分,VLAN分为静态VLAN和动态VLAN。静态VLAN指的是某个端口属于哪个VLAN是相对固定的,通过网络管理员手工设置后,就不会自动发生变化的,必须进行再次修改后,端口和VLAN的关联关系才会发生变化。动态VLAN,某个端口与某个VLAN是没有固定的关联关系的,端口具体属于哪个VLAN,是由接入的用户类型,或者计算机的属性来决定的。
目前,静态VLAN随处可见,配置简单,应用广泛,可以满足绝大多数局域网络组网需求。但随着网络的不断发展,信息技术的更迭,静态VLAN的缺点就越发彰显,越发不能让用户忍受。客户每次更改所连端口时,网络管理员都必须修改网络配置,改变端口所属VLAN的属性,无形中增加了网管的工作量。
相比之下,动态VLAN则不同,因为它是基于用户的,而不是基于交换机的端口来设置的,所以当用户物理位置移动时(即从一个交换机换到其他的交换机时),VLAN不用重新配置。既减少了网管出错的机率,也降低了维护成本,提高了维护效率。
因此,就长远看来,动态VLAN技术必将得到更多的应用。
动态VLAN技术,根据实现方法在OSI中层级的不同而主要分为三种,分别是基于二层(物理地址)、基于三层(IP地址)、基于四层以上等三种定义方法。
下面用表格的形式分别表述三种定义方法的优缺点。
表1 三种定义方法的优缺点
5 不足
动态VLAN技术的引入,是我中心在寻求安全、高效的现代化综合组网方案道路上的一次尝试,目前还处于初级阶段,需要有更多的经验积累,需要投入大量的精力去逐步完善,但我想这一步是关键的,既然关键的一步都已经迈出,凭借着我们不断地努力与实践,我们必将可以灵活的驾驭动态VLAN技术为我所用。
6 推广价值
网络技术的每一次演进与变革都是实践的结果,顺应网络演进趋势的技术得以不断发展、完善。动态VLAN技术解决了原有静态VLAN技术,配置复杂,灵活性差等缺点,顺应网络演进趋势。
希望有更多的单位和部门使用动态VLAN技术进行网络部署,感受新技术带给我们的无限便利,畅享网络新生活。
参考文献:
[1] 蒋宁,唐文晶.基于VMPS的动态VLAN在校园网移动办公中的实施和配置[J].沈阳师范大学学报(自然科学版),2009(01).
[2] 初明擂.高校网络办公自动化系统的设计与实现[D].北京邮电大学,2009.
[3] 刘兴,祁长松,曹阳.移动办公助力工商执法[N].人民邮电,2010.
关键词:局域网 动态虚拟局域网 NAT DHCP VMPS
中图分类号:TP393.18 文献标识码:A 文章编号:1007-3973(2013)006-095-02
1 前言
数据中心办公楼是一所综合性的办公楼宇,其中包括财务清算中心、数据业务运行支撑中心、网管中心等多个部室进行日常办公活动。不同部室日常办公对网络的访问需求不同。财务清算中心需要访问财务报账平台、全面预算管理系统、MIS系统等,而数据业务运行支撑中心需要访问BOSS系统、经营分析系统等、网管中心需要访问各生产系统、业务系统、网管系统等。同时,网管中心需要较多的厂家工程师协助进行系统维护、优化及故障处理工作。大量的外来人员出入,厂商工程师经常更换替换,流动性大,这无形中更增加了管理的难度。
在网络与信息安全越来越重要,越来越重视的今天,作为掌握客户和用户个人信息的通信运营商,我们必须寻求一种安全高效的网络管理和控制方式,以保证客户和用户个人信息安全为基准,为企业管理好,运营好各项业务,保证好质量,保证好服务。
为满足以上各种网络访问需求,实现各类访问流量的有效隔离,保证各生产系统的网络与用户个人信息安全,做好厂家人员安全管理和访问控制,必须建立一套健壮、高效的支撑平台来保证日常维护作业的实时有效。
2 目标
随着公司的不断发展壮大,公司建设的生产系统与支撑平台将更加丰富、庞大,同时这也使得办公网络中至各类系统/平台的访问需求也日趋复杂多样化。
同时,随着IP网络技术的不断发展、互联网INTERNET的不断普及,企业已经充分的感受到互联网所带来的高效和便利,同时企业对网络的建设和使用也越来越重视,对网络应用的依赖度越来越高。企业在依赖开放、互连的网络环境,将生产、办公、个人生活连接到一起,带来丰富的资源的同时,也带来了潜在的风险。
本解决方案的目标是通过积极应用动态VLAN等局域网新技术,有效实现楼宇办公网络用户接入管理与控制,有效隔离各项业务访问流量,保证网络与信息安全,使我们在企业综合组网布局时可以更为灵活、更易管理,来满足日常负责多样的需求,使我们的办公更为便利。
3 亮点
基于以上目标和需求,我们在数据中心办公网中引入了包括动态VLAN在内的多种业界流行局域网技术。其中,动态VLAN技术采用的是第一种和第三种相结合定义方法,即基于二层(物理地址)+四层以上(用户名)捆绑的定义方法。
在采用动态VLAN技术的同时,合并其他多种条件进行组合捆绑认证的方式,辅以无线接入,静态VLAN配置相结合的组网方式,是此综合组网方案亮点的总体概括。
本组网方案详细的亮点如下:
(1)有线和无线网络相结合。
用户终端可以采用有线,或者无线等方式接入办公网络,实现了有线和无线网络的有机结合,可以最大限度地发挥两种接入方式的优点——有线网络的稳定,无线网络的便利、灵活,使得办公更自由化,更人性化。
(2)动态和静态VLAN相结合。
可基于端口,设定端口动态VLAN或静态VLAN。端口工作方式可以灵活配置。在所接入终端变化频繁的端口上,设置为动态VLAN的方式。在某些固定终端的端口上(例如系统专用维护终端所在端口、应急终端所在端口),设定端口属于某个特定(静态)VLAN,终端专用。静态VLAN方式可以避免因认证系统问题导致无法办公的情况发生。动态VLAN的优点也很明显,就是办公位置可以随意调换,无需任何网络调整。动态VLAN和静态VLAN的有效结合使得办公网络终端接入方式更加灵活多样,发挥各自方式的优势,最大程度上规避其缺点。
(3)多种因素组合绑定认证方式。
除了部署动态VLAN等新技术外,办公网络还需支持基于用户名、IP地址、设备端口、VLAN、物理地址(MAC)等多种因素组合绑定的认证方式,使得网络部署更加安全可靠,解决了基于某种因素认证方式的安全等级低,安全无法保证等问题,极大程度上提升了网络安全性。
(4)集成用户上网日志溯源功能。
提供综合的系统认证数据库、DHCP(动态主机配置协议)日志、NAT(网络地址翻译)日志,可以实现用户上网日志的溯源查询,提供用户上网审计功能,保障合法有效使用网络资源,满足用户上网日志安全审计要求。
(5)用户自助功能。
除以上核心功能外,系统还提供用户上网日志查询、用户口令修改、密码找回、客户端软件升级等一系列功能。
4 关键技术介绍——动态VLAN技术
我们可以通过动态VLAN和静态VLAN比较的方式来阐述一下动态VLAN技术。
根据交换机端口的关联属性来划分,VLAN分为静态VLAN和动态VLAN。静态VLAN指的是某个端口属于哪个VLAN是相对固定的,通过网络管理员手工设置后,就不会自动发生变化的,必须进行再次修改后,端口和VLAN的关联关系才会发生变化。动态VLAN,某个端口与某个VLAN是没有固定的关联关系的,端口具体属于哪个VLAN,是由接入的用户类型,或者计算机的属性来决定的。
目前,静态VLAN随处可见,配置简单,应用广泛,可以满足绝大多数局域网络组网需求。但随着网络的不断发展,信息技术的更迭,静态VLAN的缺点就越发彰显,越发不能让用户忍受。客户每次更改所连端口时,网络管理员都必须修改网络配置,改变端口所属VLAN的属性,无形中增加了网管的工作量。
相比之下,动态VLAN则不同,因为它是基于用户的,而不是基于交换机的端口来设置的,所以当用户物理位置移动时(即从一个交换机换到其他的交换机时),VLAN不用重新配置。既减少了网管出错的机率,也降低了维护成本,提高了维护效率。
因此,就长远看来,动态VLAN技术必将得到更多的应用。
动态VLAN技术,根据实现方法在OSI中层级的不同而主要分为三种,分别是基于二层(物理地址)、基于三层(IP地址)、基于四层以上等三种定义方法。
下面用表格的形式分别表述三种定义方法的优缺点。
表1 三种定义方法的优缺点
5 不足
动态VLAN技术的引入,是我中心在寻求安全、高效的现代化综合组网方案道路上的一次尝试,目前还处于初级阶段,需要有更多的经验积累,需要投入大量的精力去逐步完善,但我想这一步是关键的,既然关键的一步都已经迈出,凭借着我们不断地努力与实践,我们必将可以灵活的驾驭动态VLAN技术为我所用。
6 推广价值
网络技术的每一次演进与变革都是实践的结果,顺应网络演进趋势的技术得以不断发展、完善。动态VLAN技术解决了原有静态VLAN技术,配置复杂,灵活性差等缺点,顺应网络演进趋势。
希望有更多的单位和部门使用动态VLAN技术进行网络部署,感受新技术带给我们的无限便利,畅享网络新生活。
参考文献:
[1] 蒋宁,唐文晶.基于VMPS的动态VLAN在校园网移动办公中的实施和配置[J].沈阳师范大学学报(自然科学版),2009(01).
[2] 初明擂.高校网络办公自动化系统的设计与实现[D].北京邮电大学,2009.
[3] 刘兴,祁长松,曹阳.移动办公助力工商执法[N].人民邮电,2010.