隨著企業對于信息安全性重視程度的加強,越來越多的企業開始考慮,在企業內部部署虛擬局域網,目的就是為了能夠把一些企業的機密部門,如研發部門的網絡通過虛擬局域網隔離開來,以實現數據的安全性。為此,企業對于VLAN交換機的需求也就越來越大。筆者就趁這個機會,跟大家談談如何去選購VLAN交換機。
在選擇VLAN的時候,除了要考慮交換機的一般選購標準以外,還需要注意以下內容:
一、 VLAN的工作方式的選擇
VLAN的工作方式,使我們選擇VLAN交換機的主要標準之一。現在的VLAN交換機,工作方式主要分為兩種,一種是靜態的端口配置,也就是說,我們在虛擬局域網管理的時候,可以把交換機的某幾個端口設置成為一個局域網,而把另外一個端口設置成為另外一個虛擬局域網。在交換機設置完成之后,這些端口屬于哪個虛擬局域網就是固定了的。這就會產生一個問題,如研發部分經理原來是屬于研發部門的網絡,但是現在他拿著筆記本到會議室開會,他在會議室上網的話,就不是屬于研發部門的網絡帶了,因為在會議室上網跟他在辦公室上網的話,所用的交換機端口是不一樣的。而交換機則是根據端口來判斷是屬于哪個交換機的。可見,若是靜態配置虛擬局域網的話,就比較死板,當員工位置變化時,交換機部能夠智能的進行判斷,員工的電腦是屬于哪個網絡。所以,對于員工位置經常發生變化,或者有移動辦公需求的企業來說,采用這種工作方式的交換機是不怎么合適的。
另外一種工作方式就是動態的分配虛擬局域網的端口。這個工作方式具體又有很多的實現方式。
1、可以基于Mac地址進行虛擬局域網的劃分。用戶每臺電腦都有一個唯一的MAC地址,而且一般我們網絡管理員都可以通過種種手段限制用戶對這個MAC地址進行更改。在具體管理的時候,我們可以先收集用戶的MAC地址,然后根據MAC地址在交換中設置虛擬局域網。當用戶連接到交換機的時候,交換機就會根據用戶電腦MAC地址的不同,選擇對應的虛擬局域網。如此的話,明顯當研發部門經理把筆記本電腦從研發部門辦公室搬到會議室的時候,其還是屬于研發部門的局域網,因為雖然其端口改變了,但是其MAC地址沒有改變,所以,其原有的網絡性質也沒有改變。不過,這個處理方式也有一個麻煩,就是每當企業新增一臺主機或者更換一快網卡的時候,就可能需要改變虛擬局域網交換機的配置,這可能會稍微麻煩一點。另外,這種工作方式對于交換機的效率也會有影響。因為交換機每進行一次通信,就需要判斷這個數據包的MAC地址是屬于哪個虛擬局域網的,能否進行轉發等等,所以,采用這種工作方式的交換機,效率會低一些。
2、基于用戶名密碼的虛擬局域網劃分。這主要是根據用戶登錄網絡用戶名與密碼來判斷應該是屬于哪個局域網的。不過一般這種處理方式,往往是在特殊的場合中應用。如為了信息安全性考慮,把某個特殊的文件服務器,如這個服務器只允許特定的用戶訪問,就把這個文件服務器放在一個虛擬局域網內。如此的話,其他用戶需要訪問這臺服務器的話,就需要先利用用戶名與密碼,訪問這個網絡。若用戶名密碼不對的話,就不能訪問這個網絡,更加不能訪問這個服務器了。
3、基于策略的訪問。這種訪問方法是把以上一種方式混合起來,如MAC地址、IP地址、協議等等,用戶根據一定的規則,可以設置眾多的參數來進行虛擬局域網的劃分。如雖然是同一臺主機,但是其訪問網絡的協議不同,就可以劃分為不同的虛擬局域網。這種處理方式,一般在企業網絡中不怎么經常用到。因為這種處理方式會大大降低虛擬局域網交換機的處理性能,而且在實際應用中,一般企業也不需要這么復雜的控制。他主要用于對于安全程度要求特別高,如銀行企業用的比較多。而在一般企業中,用這種處理方式的話,就有點牛刀小用的感覺。
筆者以為,一般企業的網絡管理員,若需要使用到虛擬局域網的話,在虛擬局域網交換機采購過程中,主要要關注的就是使否支持動態分配端口。因為隨著信息化技術的普及,移動辦公的需求將會越來越普遍。而這就要求局域網交換機能夠根據MAC地址或者IP地址來劃分虛擬局域網。若交換機在虛擬局域網管理中,不能支持這個功能的話,則我們網路管理員在網絡管理的過程中,將會非常的吃力。
二、 操作方式的選擇
一般配置虛擬局域網有兩種方式,一是基于命令行的,二是基于圖形的。這兩種處理方式各有各的優點。
若是通過命令行管理虛擬局域網的,則筆者認為,管理效率要比較高,因為基于命令行的管理模式,其命令的執行效率比較高。所以,一般局域網管理的高手,都喜歡采用命令行,而不會采用圖形界面的管理方式。
另外一種是基于WEB技術的圖形管理界面。這種管理方式,很明顯非常的直觀,但是,需要開啟交換機上的一些服務。這對于交換機來說,不怎么安全,容易受到病毒或者木馬的攻擊。所以,若從安全性上考慮,采用這種管理模式是不怎么明智的。不過這種處理方式由于其簡便、直觀,所以,比較受新手的歡迎。
就拿筆者來說吧。筆者自己在學校中剛開始接觸到虛擬局域網的時候,就是通過圖形界面來進行管理的。等到對虛擬局域網的管理與設置有一個感性的認識后,現在基本上都是通過命令行來進行管理,覺得利用圖形界面管理的話,不怎么方面,而且,速度也比較慢。
有些交換機的話,支持多種管理方式,如國內的一些品牌,基本上都是支持這命令行管理與圖形界面管理兩種處理方式的。但是,國外的一些品牌,有時候只支持命令行的處理方式,因為他們認為命令行的管理方式比圖形化的管理方式要安全、效率要高,所以,他們就屏蔽了圖形化的管理界面,以提高交換機的安全性與性能。#p#分頁標題#e#
所以,在虛擬局域網交換機采購之前,用戶需要先捫心自問,自己喜歡哪種處理方式。這個管理方式雖然不會影響虛擬局域網的運作,但是,會影響我們網絡管理員的管理效率。可能命令行的方式對于大部分精通這方面管理的網絡管理人員來說是一種效率比較高的管理方式;但是,對于剛入門的網絡管理員來說,相反他們對于命令不熟悉,反而用這個命令行進行管理的話,若此出錯,效率也不高。
故,筆者認為,在選購虛擬局域網交換機的時候,網絡管理員要根據自己的實際情況,選擇合適的處理方式,并選購那些支持這種處理方式的交換機,以免到時會搬起石頭砸了自己的腳。
三、 虛擬局域網的通信問題
有時候,我們可能不只在一個交換機上實現虛擬局域網的管理,而可能在三個交換機、甚至更多的交換機環境下,實現虛擬局域網的管理。也就是說,當用戶數量多的時候,我們可能同一個虛擬局域網分布在多個局域網交換機上。如行政部門連接在交換機A上;而生產部門則連接在交換機B上,但是,行政部門與生產部門屬于同一個虛擬局域網,這該如何呢?所以,我們在選購交換機的時候,若需要在交換機上實現虛擬局域網的管理,就需要考慮是否存在這種情況。若確實有這種需求的話,則就要考慮,交換機是否支持這種跨越交換機的虛擬局域網管理?
另外,有時會不同的虛擬局域網也需要進行通信。如研發部門雖然獨立的屬于一個局域網,但是,有時候,其也需要訪問行政部門電腦上的人事通知等等,這該如何管理?因為這要注意,這是單向的訪問。也就是說,行政部門不能夠訪問研發部門的網絡,而研發部門則需要訪問行政部門的網絡。若兩者之間隨意訪問的話,則直接可以通過路由器進行相連就可以解決問題了。但是,現在是需要實現有限制的訪問。所以,這就給虛擬局域網的管理提出了一個新的挑戰。一般來說,我們可以通過路由器的訪問控制列表來實現這個需求。或者,我們還可以通過網絡設計,巧妙防止電腦的位置從而實現這個需求。具體的實現方法,在后續的文章中筆者會詳細給大家講述,大家可以關注我后續的文章。
