胡 云

(無錫市廣播電視大學，江蘇 無錫 214011)

基于VLAN間不同互連方式的ACL配置

胡 云

(無錫市廣播電視大學，江蘇 無錫 214011)

在網絡互連中通過路由器和3層交換機這2種設備實現了VLAN間的互連，基于不同設備互連方式的ACL配置和應用會有所區(qū)別，其對網絡運行的性能有明顯的影響.

ACL;VLAN;網絡互連;路由器;3層交換機

0 引言

為了提高網絡運行的效率和安全性，需要對網絡進行劃分，將大的網絡劃分為多個小的網絡，之前主要通過路由器實現，但這種方式成本很高.隨著網絡技術的發(fā)展，特別是交換機虛擬局域網(Virtual Local Area Network，VLAN)技術的成熟，為網絡的劃分提供了更便捷的方法，不僅成本降低，而且更加靈活［1－5］.據此，本研究主要討論采用不同設備實現VLAN間互連時訪問控制列表(Access Control List，ACL)不同的配置方式以及對網絡運行性能的影響.

1 VLAN

1.1 概 述

VLAN是一種通過將局域網內的2層設備，其以邏輯的方式而不是物理的方式將網絡劃分為一個個網段的技術.這里的網段僅僅是邏輯網段的概念，而不是真正的物理網段.VLAN相當于OSI參考模型的第2層廣播域，能夠將廣播流量控制在一個VLAN內部.劃分VLAN后，由于廣播域的縮小，網絡中廣播包消耗帶寬所占的比例大大降低，網絡性能得到顯著提高.

在通信網絡中，不同VLAN之間的數據傳輸是通過第3層路由設備來實現的.因此，使用VLAN技術，結合數據鏈路層的交換設備和網絡層的路由設備可搭建安全可靠的網絡.在實際應用中，VLAN并不僅局限于某一個網絡或物理范圍，VLAN中的用戶可以位于一個園區(qū)的任意位置，甚至位于不同的地域.

1.2 VLAN間通信

在交換機組成的網絡中，VLAN實現了網絡流量的分割，但不同的VLAN之間是不能相互通信的.如果要實現VLAN間通信，必須借助于OSI參考模型中的第3層設備來實現:其一是利用路由器，其二是利用具有3層功能的交換機.

1.2.1 利用路由器實現VLAN間通信.

當每個交換機上只有1個VLAN時，路由器和交換機的接線方式如圖1所示，通過路由器的直接路由，各VLAN就能直接通信.

圖1 交換機上單VLAN間的通信

當每個交換機上有多個VLAN時，其與路由器的連接方法有以下2種.

1)多臂路由.將路由器與交換機上的每個VLAN分別連接，即把路由器和交換機以VLAN為單位分別用網線連接.將交換機上用于和路由器互連的每個端口設為Access模式，然后分別用網線與路由器上的獨立端口互連，具體如圖2所示.交換機上有4個VLAN，那么就需要在交換機上預留4個端口用于與路由器互連，路由器上同樣需要4個端口，兩者之間用4條網線分別連接.由于路由器通常是不會帶有太多以太網接口的，所以這種方法在實際中用得較少.

圖2 利用多臂路由實現VLAN間通信

2)單臂路由.不論VLAN有多少個路由器，其與交換機都只用一條網線連接，具體如圖3所示.此時，需要將用于連接路由器的交換機端口設為干道模式，且用于干道模式的協(xié)議也必須相同.然后在路由器上定義對應各個VLAN的“子接口”.VLAN將交換機從邏輯上分割成了多臺，因而用于VLAN間路由的路由器，也必須擁有分別對應各個VLAN的虛擬接口(Swith Virtual Interface，SVI)作為各個VLAN成員的網關.

圖3 利用單臂路由實現VLAN間通信

1.2.2 利用3層交換機實現VLAN間通信.

3層交換機，本質上就是利用3層交換機的路由功能實現VLAN間的通信.在3層交換機上創(chuàng)建各個 VLAN的 SVI，并配置 IP地址，然后將所有VLAN連接的工作站主機網關都指向該SVI的IP地址即可.

2 ACL

2.1 概述

網絡內部通信和內外網絡之間的通信都是企業(yè)網絡中必不可少的業(yè)務需求，為了確保內部網絡的安全性，需要通過相應的安全策略來保障非授權用戶只能訪問某些特定的網絡資源，從而實現對訪問進行有效地控制.簡而言之，ACL可以過濾網絡中的通信流量，是一種控制訪問的網絡技術手段.此外，ACL的定義也可以是基于所有協(xié)議的.如果路由器接口配置成支持3種協(xié)議(IP、AppleTalk以及IPX)的情況，那么，用戶對這3種協(xié)議的數據包必須定義3種ACL進行控制.

2.2 作用

ACL是提供網絡安全訪問的基本手段，同時，ACL還可以限制網絡流量，提高網絡性能，并提供對通信流量的控制手段.ACL可以在路由器端口處決定哪種類型的通信流量被轉發(fā)或被阻塞.

2.3 規(guī) 則

在實際應用中，可以為每種協(xié)議(per protocol)、每個方向(per direction)、每個接口(per interface)配置一個ACL，歸納起來就是3P規(guī)則:每種協(xié)議一個ACL，即要控制接口上的流量，必須為接口上啟用的每種協(xié)議定義相應的ACL;每個方向一個ACL，一個ACL只能控制接口上一個方向的流量;每個接口一個ACL，一個ACL只能控制一個接口上的流量.

2.4 執(zhí)行過程

一個端口最終到底執(zhí)行哪條ACL，是根據列表中語句的條件來判斷執(zhí)行的.如果一個數據包的報頭跟列表中某個語句的條件相匹配，那么后面的語句將被忽略，不再進行檢查.

數據包只有在跟當前語句條件不匹配時，它才被交給ACL中下一條語句進行條件比較.如果匹配(假設為允許發(fā)送)，則不管是第一條語句還是最后一條語句，數據都會立即發(fā)送到目的接口.如果所有的ACL語句都判斷檢測完畢，仍沒有相匹配的語句，則該數據包將被拒絕而被丟棄.但ACL不能對本路由器產生的數據包進行控制.

2.5 分 類

目前，ACL有3種分類:標準ACL、擴展ACL及命名ACL.

標準的ACL使用1～99以及1 300～1 999之間的數字作為表號，擴展的ACL使用100～199以及2 000～2 699之間的數字作為表號.

標準ACL可以對來自某一網絡的所有通信流量進行阻止，也可以允許通過來自某一特定網絡的所有通信流量，同時，也可以阻止某一指定協(xié)議的所有通信流量通過.實際應用中，擴展ACL比標準ACL提供了更廣泛的控制范圍和更小的控制單位.

3 實驗

3.1 網絡拓撲結構

實驗所采用的網絡拓撲結構圖如圖4所示.

圖4 網絡拓撲結構圖

3.2 網絡配置要求

實驗中，網絡配置要求為:全網配置OSPF路由協(xié)議，并配置ACL使VLAN10與VLAN20之間不能訪問，VLAN30與VLAN40之間不能訪問，VLAN10只能訪問Server 1的www服務，VLAN20只能訪問Server 2的ftp服務.

3.3 具體配置方法和步驟

3.3.1 方法一.

在路由器R1上利用單臂路由實現交換機S1中VLAN10和VLAN20之間的通信;在路由器R2上利用單臂路由實現交換機 S2中 VLAN30和VLAN40之間的通信.在R1中配置和應用ACL.

1)三層交換機S1的配置.

2)路由器R1的配置.

3.3.2 方法二.

利用3層交換機的路由功能實現S1中VLAN10和VLAN20之間的通信;利用3層交換機的路由功能實現S2中VLAN30和VLAN40之間的通信.在S1中配置和應用ACL.

1)3層交換機S1的配置.

2)路由器R1的配置.

4 結論

利用路由器和3層交換機都可以實現不同VLAN之間的通信，但實際應用中，可采用3層交換機自身的路由功能解決不同VLAN之間的通信.這樣做，可以在3層交換機中直接配置和應用ACL，使得數據包可以在離源計算機最近的網絡通信設備中接受ACL檢測，防止不必要的通信數據進入下一級的網絡通信設備，此可有效減輕網絡的負載，并提高網絡的通信效率.

［1］李丹.Packet Tracer仿真環(huán)境下實現VLAN間通信［J］.電大理工，2013，35(4):21 －23.

［2］王新風.中小企業(yè)網絡設備配置與管理［M］.北京:清華大學出版社，2010.

［3］石林.構建高級的路由互聯(lián)網絡(BARI)［M］.北京:電子工業(yè)出版社，2009.

［4］鄭輝.有類路由匯總的學習和探討［J］.電腦知識與技術，2011，18(6):1306 －1307+1312.

［5］劉佰明.基于Packet Tracer技術的VLAN間通信的設計與開發(fā)［J］.計算機與數字工程，2014，42(7):1303－1305+1310.

ACL Configurations with Different Interconnection Based on VLAN

HU Yun
(Wuxi Radio＆ Television University，Wuxi 214011，China)

The VLAN interconnection can be achieved through the routers and three-layer switches.The ACL configuration and application based on the interconnection of different devices differ，which has significant influence on the performance of network operation.

ACL;VLAN;network interconnection;router;three-layer switch

TP393.03

A

1004－5422(2015)01－0041－03

2014－12－16.

胡 云(1978—)，男，碩士，副教授，從事計算機算法設計與圖形學研究.