尹常紅

摘要：全省各區(qū)縣氣象局信息網(wǎng)絡(luò)系統(tǒng)使用一個網(wǎng)段，這對安全應(yīng)用存在一定的隱患。在沒有三層交換機的情況下，應(yīng)用單臂路由技術(shù)，在二層交換機劃分VLAN，連接支持802.1q的路由器，在路由器的一個端口配置不同的子接口，根據(jù)ACL實現(xiàn)VLAN之間有條件互訪，隔離廣播風(fēng)暴。探討單臂路由技術(shù)，配置單臂路由應(yīng)用環(huán)境，總結(jié)單臂路由技術(shù)應(yīng)用的優(yōu)缺點，為各區(qū)縣局信息網(wǎng)絡(luò)深層開發(fā)應(yīng)用提供參考。

關(guān)鍵詞：VLAN；ACL；三層交換機；單臂路由

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)01-0172-05

1區(qū)縣氣象局的信息網(wǎng)絡(luò)現(xiàn)狀

在全省寬帶網(wǎng)建設(shè)中，各區(qū)縣局的應(yīng)用模式較為相似，組建局域網(wǎng)，接入各業(yè)務(wù)服務(wù)及政務(wù)辦公系統(tǒng)。在區(qū)縣局配置博達1721路由器，通過中國移動的2M SDH接入市氣象局，通過ADSL或者政務(wù)網(wǎng)專線接入互聯(lián)網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)較為簡單，拓撲圖如圖1所示。

圖1

在實際應(yīng)用中，局域網(wǎng)內(nèi)的PC與省局或市局進行數(shù)據(jù)交換時，通過1721路由器路由選擇到市局業(yè)務(wù)網(wǎng)；發(fā)出互聯(lián)網(wǎng)訪問請求時，由1721路由器路由到ADSL互聯(lián)網(wǎng)或政務(wù)專線，實現(xiàn)同時可以訪問業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)，在工作中較為便捷。

2新的應(yīng)用需求

隨著現(xiàn)代氣象業(yè)務(wù)的發(fā)展，區(qū)縣局承擔(dān)的業(yè)務(wù)服務(wù)工作逐步增加，因此對信息網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全提出了更高的要求。但是區(qū)縣局人員在網(wǎng)絡(luò)安全應(yīng)用上的能力較為薄弱，而且在對基礎(chǔ)業(yè)務(wù)的投入上也略顯不足，因此，在現(xiàn)有基礎(chǔ)上加強業(yè)務(wù)服務(wù)系統(tǒng)的安全是擺在區(qū)縣局面前的一項十分緊迫的任務(wù)。不可否認，在各區(qū)縣局也采取了一些相應(yīng)的安全措施，比如安裝防病毒軟件，做好業(yè)務(wù)系統(tǒng)的備份等，但是由于區(qū)縣局所有的計算機設(shè)備都處在一個網(wǎng)段上，如果局域網(wǎng)上存在著安全隱患，這將對網(wǎng)內(nèi)所有設(shè)備都是一個威脅。

另外由于工作性質(zhì)的不同，基礎(chǔ)業(yè)務(wù)用機的信息交換在業(yè)務(wù)內(nèi)網(wǎng)工作較多，而對互聯(lián)網(wǎng)的訪問需求相對較??；與此相反的是，行政辦公用機對互聯(lián)網(wǎng)的需求較大，而互聯(lián)網(wǎng)上的不安全因素較多，如果防范不力的話，很容易感染病毒，如果病毒在局域網(wǎng)中蔓延和擴散的話，容易引起基礎(chǔ)業(yè)務(wù)用機感染病毒。此外由于所有的設(shè)備都處在同一網(wǎng)段，很容易產(chǎn)生網(wǎng)絡(luò)廣播風(fēng)暴，極大地影響業(yè)務(wù)服務(wù)工作的開展。

3單臂路由技術(shù)應(yīng)用

3.1 VLAN與三層交換

為了保證部分主機的安全性以及分割內(nèi)部廣播包提高網(wǎng)絡(luò)傳輸速度，較好的做法是劃分VLAN（Virtual Local Area Network虛擬局域網(wǎng)），分配不同子網(wǎng)。通過劃分VLAN可以讓在同一臺交換機不同端口的客戶機不能互相訪問，有效地隔離網(wǎng)絡(luò)。

通過VLAN劃分網(wǎng)絡(luò)固然可以解決安全和廣播風(fēng)暴的頻繁出現(xiàn)，但是對于那些既希望隔離又希望對某些客戶機進行互通的應(yīng)用來說，劃分VLAN的同時為不同VLAN建立互相訪問的通道也是必要的。

一般情況下，實現(xiàn)上述功能需要使用三層交換機來實現(xiàn)，但是全省區(qū)縣局幾乎沒有配備或購買三層交換機，一般都是采用的二層交換機甚至最普通的“傻瓜”接入交換機，后期建設(shè)的區(qū)縣局購買的是二層可管理型交換機。由于三層交換機價格較昂貴，一般只應(yīng)用在了市州及以上的氣象部門，另外，在區(qū)縣局如果要購買三層交換機實現(xiàn)VLAN互通功能的話，以前的二層設(shè)備將被丟棄。這樣就造成了極大的浪費。

理論上講一臺三層交換機可以看做是一個二層交換機加上一個路由模塊，實際使用中很多廠商也是通過將路由模塊內(nèi)置于交換機中實現(xiàn)三層功能的。在傳輸數(shù)據(jù)包時先發(fā)向這個路由模塊，由其提供路由路徑然后再由交換機轉(zhuǎn)發(fā)相應(yīng)的數(shù)據(jù)包。

在區(qū)縣局一般都配備了路由器和交換機，如果后期購買的交換機是可以進行網(wǎng)管的二層交換機，在二層交換機上劃分VLAN，VLAN技術(shù)是路由交換中非常基礎(chǔ)的技術(shù)。在網(wǎng)絡(luò)管理實踐中，通過在交換機上劃分適當數(shù)目的VLAN，不僅能有效隔離廣播風(fēng)暴，還能提高網(wǎng)絡(luò)安全系數(shù)及網(wǎng)絡(luò)帶寬的利用效率。劃分VLAN之后，VLAN與VLAN之間的通信只能通過路由或三層交換來實現(xiàn)。

3.2單臂路由概念

單臂路由是解決VLAN間通信的一種廉價而實用的解決方案。所謂單臂路由就是僅需要一個物理的路由接口就能將所有的VLAN連通，實現(xiàn)方法是配置多個邏輯子接口。當VLAN之間有部分主機需要通信，如果交換機不支持三層交換，而且路由器又沒有多余的端口，這時可采用支持802.1q（即Virtual Bridged Local Area Networks協(xié)議）的路由器實現(xiàn)VLAN的互通。路由器與交換機之間通過外部線路連接，該外部線路只有一條，可以在路由器以太網(wǎng)端口上建立子接口，并分配IP地址作為VLAN網(wǎng)關(guān)，同時啟動802.1q協(xié)議，這些子接口在邏輯上是分開的，需要路由的數(shù)據(jù)包通過該線路到達路由器，經(jīng)路由后再通過此線路返回交換機進行轉(zhuǎn)發(fā)。即：數(shù)據(jù)包從這個端口進去，也從同一個口出來。這種方式稱為單臂路由。

下圖即為單臂路由的工作模式。

圖2

在二層交換機上劃分VLAN1-3，PC1和PC2分別屬于vlan1和vlan2，由于二層交換機不具有路由功能，因此vlan1和vlan2是不能通信的，如果要實現(xiàn)vlan之間數(shù)據(jù)交換，需要路由器來轉(zhuǎn)發(fā)vlan之間的數(shù)據(jù)包，路由器與交換機之間使用單條鏈路相連，所有的數(shù)據(jù)包從f0/0進去，又從f0/0出來，不象傳統(tǒng)網(wǎng)絡(luò)拓撲中數(shù)據(jù)包從某個接口進入，從另一個接口離開路由器，感覺只有一個“臂膀”，因此這種拓撲方式就是單臂路由。

3.3單臂路由的應(yīng)用配置

在區(qū)縣氣象局劃分三個VLAN，VLAN1為缺省，VLAN2接入業(yè)務(wù)網(wǎng),VLAN3接入行政網(wǎng)，IP網(wǎng)段分別假設(shè)為192.168.2.0/24和192.168.3.0/24（IP網(wǎng)段只作為一個示例，可以根據(jù)省局統(tǒng)一分配給各區(qū)縣局的IP網(wǎng)段來調(diào)整）。交換機為博達S2026，路由器為博達1721。應(yīng)用單臂路由技術(shù)后的拓撲結(jié)構(gòu)如下

主要配置內(nèi)容如下：

交換機的配置

VLAN的配置

interface FastEthernet0/1

!

interface FastEthernet0/2

switchport pvid 2

!

interface FastEthernet0/3

switchport pvid 3

!

……

!

interface FastEthernet0/23

!

interface FastEthernet0/24

switchport mode trunk

!

interface VLAN1

ip address 192.168.2.2 255.255.255.0

!

vlan 1-3

!

首先配置VLAN，二層交換機的VLAN除了VLAN1可以配置一個管理地址外，其它的VLAN不能配置ip。為了看得清楚，就配置了VLAN2和VLAN3，并分別將f0/2和f0/3端口加入到VLAN2和VLAN3中，將f0/24配置成trunk模式，以這個端口連接路由器，作為單臂路由的“單臂”。

查看VLAN的狀態(tài)以及VLAN之間的標簽情況：

可以很直觀地看見f0/2和f0/3分別屬于VLAN2和VLAN3，由于f0/24配置成trunk模式，因此，它屬于所有的VLAN（目前只配置了VLAN1-3）。而且還可以看到f0/24是可以識別f0/2和f/3的VLAN2和VLAN3的入標簽的。

交換機的其他配置略。

有些可網(wǎng)管交換機提供了非常直觀的web界面，下圖是H3C的S1526交換機的管理界面，可以非常方便地新建基于端口的VLAN，例如下圖就新建了VLAN2，并且將f0/2加入到了VLAN2。

圖6

路由器的配置

interface FastEthernet0/0 no ip address

no ip directed-broadcast!

interface FastEthernet0/0.2

ip address 192.168.2.254 255.255.255.0 no ip directed-broadcast encapsulation dot1Q 2 bandwidth 100000

delay 1

!

interface FastEthernet0/0.3

ip address 192.168.3.254 255.255.255.0 no ip directed-broadcast encapsulation dot1Q 3 bandwidth 100000

delay 1

!

配置兩個子接口f0/0.2和f0/0.3，分別配置ip地址192.168.2.254和192.168.3.254，這兩個ip將作為兩個VLAN中PC的網(wǎng)關(guān)地址。在這兩個子接口中分別封裝802.1q協(xié)議，其中的序號2和3分別對應(yīng)交換機中的VLAN2和VLAN3。

在路由器上可以配置多個邏輯子接口，每個子接口對應(yīng)于一個VLAN。由于物理路由接口只有一個，各子接口的數(shù)據(jù)在物理鏈路上傳遞要進行標記封裝。子接口是在一個物理接口上配置出來的多個邏輯上的虛擬接口，這些虛擬接口共用物理接口的物理層參數(shù)，又可以分別配置各自的鏈路層和網(wǎng)絡(luò)層參數(shù)。這樣的多個虛擬接口對應(yīng)的是同一個物理接口，因此，這些子接口之間是不需要路由的。

子接口不同于對端口配置secondary，即不同于給一個接口同時配置多個ip。路由器的其它配置略。

3.4應(yīng)用測試

在實際應(yīng)用中，業(yè)務(wù)網(wǎng)段內(nèi)的PC，ip網(wǎng)段為192.168.1.0/24，網(wǎng)關(guān)指向路由器的f0/2子接口ip 192.168.2.254/24；行政網(wǎng)段內(nèi)的PC，ip網(wǎng)段為192.168.3.0/24，網(wǎng)關(guān)指向路由器的子接口f0/3的ip 192.168.2.254/24。

這樣便在二層交換機上劃分了兩個VLAN，兩個VLAN之間的數(shù)據(jù)表通過1721路由器進行單臂路由。在兩個VALN中分別找到兩臺PC，192.168.2.1和192.168.3.1作測試。

測試結(jié)果：ipconfig查看ip為192.168.2.1，網(wǎng)關(guān)192.168.2.254，ping 192.168.3.1通，測試成功。tracert跟蹤路由，vlan之間的數(shù)據(jù)經(jīng)過1721路由器（f0/0.2子接口）作路由。

兩個VLAN與外界的數(shù)據(jù)交換與配置單臂路由之前相同，由1721路由器的靜態(tài)路由來指明下一跳地址，選擇到市局業(yè)務(wù)網(wǎng)還是訪問互聯(lián)網(wǎng)，其它配置與應(yīng)用單臂路由配置之前相同（略。）

3.5訪問控制列表

訪問控制列表（ACL）是應(yīng)用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。例如定義訪問列表acl2

ip access-list extended acl2

permit ip 192.168.2.1 255.255.255.255 192.168.3.0 255.255.255.0 permit ip 192.168.2.5 255.255.255.255 192.168.3.0 255.255.255.0 permit ip 192.168.2.0 255.255.255.0 192.168.3.8 255.255.255.255 permit ip 192.168.2.0 255.255.255.0 192.168.3.9 255.255.255.255 deny ip any 192.168.3.0 255.255.255.0!

將該ACL應(yīng)用到1721路由器的f0/0.2端口下，可以實現(xiàn)以下訪問控制：

192.168.2.1和192.168.2.5兩臺PC可以訪問192.168.3.0/24網(wǎng)段的所有PC；192.168.3.8和192.168.3.9兩臺PC可以訪問192.168.2.0/24網(wǎng)段的所有PC；兩個網(wǎng)段的其它PC之間禁止訪問。

4單臂路由應(yīng)用小結(jié)

單臂路由是一種較為便捷的廉價的在二層交換機上劃分VLAN和實現(xiàn)VLAN間相互通信的技術(shù)方式，將該技術(shù)應(yīng)用到各區(qū)縣局現(xiàn)有網(wǎng)絡(luò)環(huán)境，可以較好地實現(xiàn)劃分VLAN隔離廣播域，分網(wǎng)段管理等功能。

劃分VLAN，實現(xiàn)VLAN之間相對獨立，再通過單臂路由技術(shù)實現(xiàn)了VLAN之間互通，感覺與原來一個網(wǎng)段沒有區(qū)別。事實上，劃分VLAN之后可以將業(yè)務(wù)網(wǎng)和行政網(wǎng)單獨隔離出來，兩個網(wǎng)段的廣播域互不干擾，對抑制網(wǎng)絡(luò)廣播風(fēng)暴具有一定意義。此外，劃分VLAN之后，可以在路由器上配置ACL，實現(xiàn)VLAN之間的PC訪問權(quán)限，可以指定一個VLAN的PC能否訪問另一個VLAN（或其中的PC），即可方便控制允許和禁止訪問，這在單網(wǎng)段中是不能達到的。

單臂路由的缺點也是顯而易見的，主要體現(xiàn)在它非常消耗路由器CPU與內(nèi)存的資源，在一定程度上影響了網(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)男?。但是單臂路由仍然是網(wǎng)絡(luò)升級經(jīng)費緊張時一個不錯的選擇。單臂路由方式僅僅是對現(xiàn)有網(wǎng)絡(luò)升級時采取的一種策略，在區(qū)縣局內(nèi)部網(wǎng)絡(luò)中劃分了VLAN，當VLAN之間有部分主機需要通信,但交換機不支持三層交換，這時我們使用該方法來解決實際問題。雖然單臂路由存在著這樣或那樣的缺點，但是通過試驗，在各區(qū)縣局使用博達1721路由器進行單臂路由還是可以滿足工作需要的，而且單臂路由技術(shù)應(yīng)用很少改動原有網(wǎng)絡(luò)布線結(jié)構(gòu)，可以最大程度維持各區(qū)縣局業(yè)務(wù)服務(wù)系統(tǒng)的穩(wěn)定性。

本文探討的單臂路由方案可以作為今后網(wǎng)絡(luò)升級改造的一個過渡，單臂路由技術(shù)可以為各區(qū)縣局信息網(wǎng)絡(luò)深層開發(fā)應(yīng)用提供參考。

參考文獻：

[1]賀春光,張布軍.單臂路由配置方法和常見問題[J].中國數(shù)據(jù)通信,2003,(11).

[2]蘇文芝,郭飛燕.園區(qū)網(wǎng)間單臂路由技術(shù)的替代解決方案[J].電腦知識與技術(shù), 2008,(34).

[3]劉登立.應(yīng)用VLAN和三層交換的企業(yè)網(wǎng)絡(luò)安全[J].中國高新技術(shù)企業(yè), 2008,(15).

[4]李亞鵬.企業(yè)局域網(wǎng)本地路由的配置[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報,2008,(3).

[5]張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版社,2004:339.

[6]上海博達數(shù)據(jù)通信有限公司.博達產(chǎn)品用戶手冊[M].2003:658