基于Privae VLAN技术的网络组网方法.doc

基于Private VLAN技术的网络组网方法李金方1，祁林1，胡正好2 （⒈河海大学信息中心，江苏省南京市 210098 ⒉神州数码网络公司南京分公司 江苏省南京市 210008 ） 摘 要： 针对网络环路、ARP攻击、DHCP欺骗等问题造成网络故障频出，严重时往往导致网络瘫痪，给网络的安全和管理带来的一些问题。文章提出一种利用私有虚拟局域网（Private VLAN）技术的组网方法，对用户VLAN内所有的端口相互隔离,网络欺骗与瘫痪，网络安全，端口隔离TP393.05 ， 文献标志码：A Method of Constructing Network Based on Private VLAN Technology LI Jin-Fang，QI Lin，ARP Address Resolution Protocol，地址解析协议 DHCP（Dynamic Host Configuration Protocol，动态主机设置协议 图1 传统三层网络组网模式拓扑图 这种网络组网模式确实能有效的解决了网络环路、ARP攻击、DHCP欺骗等问题造成的网络故障，提升了网络运行的质量。然而采用这种组网模式的方案，必须将数量占比达90%以上的接入层交换机更新换代成更高性能的交换机。如此众多数量的接入层交换机，无论是网络新建还是升级改造都导致投资极大。特别是网络升级改造更换下来的交换机不能再使用，导致前期投资的巨大损失。 为了克服采用的上述网络组网方法导致的网络建设投资方面存在的问题，本文提出一种利用私有虚拟局域网（Private VLAN）技术的组网方法（见图2）。 图2：基于Private VLAN技术的网络拓扑模式图 该方法只需在汇聚层和接入层的网络设备使用支持Private VLAN技术功能的交换机，即可达到不改变传统的三层网络（接入层、汇聚层、核心层）组网模式，又可有效的解决了网络环路、ARP攻击、DHCP欺骗等问题造成的网络故障。 1 Private VLAN技术PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。VLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的VLAN中，它们可以使用相同的IP子网。每个VLAN 包含2类VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。 而辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（solated VLAN）和团体VLAN（ommunity VLAN）。solated VLAN，一个PVLAN域中可以有多个Community VLAN。同一个隔离VLAN中的端口不能互相进行二层通信。 PVLAN中的接口类型：处在VLAN中的交换机物理端口，有种接口类型。 混杂端口（Promiscuous Port） 混杂端口是隶属于“Primary VLAN”的；共 　端口（solated Port）端口是隶属于solated VLAN”的；只能与混杂口通讯。 ③ 共端口（ommunity Port） 共端口是隶属于ommunity VLAN”的；同一个Community VLAN的共ommunity VLAN中的共solated VLAN中的隔离端口通讯。 　处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。 两种类型2m高的标准机柜，共有24端口的交换机23台（其中一台为神州数码网络公司生产的DCRS-5950-28T万兆汇聚交换机，其余22台为神州数码网络公司生产的DCS-3926C接入层交换机）。DCS-3926C接入层交换机分别通过百兆端口与DCRS-5950-28T万兆汇聚交换机的千兆百兆自适应端口级联，充分保证了负载均衡的能力需求。其中任意一台DCS-3950-26C交换机配置的相关内容显示如下： Vlan 101 vlan 101 private-vlan isolated （设置vlan 101为隔离VLAN） Vlan 100 vlan 100 private-vlan primary （设置 vlan 100 为主VLAN） private-vlan association 101 vlan 101为vlan 100的辅VLAN ! Interface Ethernet0/0/1 switchport access vlan 101 设定交换机物理端口1-23为隔离端口Interfa