随着企业对于信息安全性重视程度的加强,越来越多的企业开始考虑,在企业内部部署虚拟局域网,目的就是为了能够把一些企业的机密部门,如研发部门的网络通过虚拟局域网隔离开来,以实现数据的安全性。为此,企业对于VLAN交换机的需求也就越来越大。笔者就趁这个机会,跟大家谈谈如何去选购VLAN交换机。
在选择VLAN的时候,除了要考虑交换机的一般选购标准以外,还需要注意以下内容:
一、 VLAN的工作方式的选择
VLAN的工作方式,使我们选择VLAN交换机的主要标准之一。现在的VLAN交换机,工作方式主要分为两种,一种是静态的端口配置,也就是说,我们在虚拟局域网管理的时候,可以把交换机的某几个端口设置成为一个局域网,而把另外一个端口设置成为另外一个虚拟局域网。在交换机设置完成之后,这些端口属于哪个虚拟局域网就是固定了的。这就会产生一个问题,如研发部分经理原来是属于研发部门的网络,但是现在他拿着笔记本到会议室开会,他在会议室上网的话,就不是属于研发部门的网络带了,因为在会议室上网跟他在办公室上网的话,所用的交换机端口是不一样的。而交换机则是根据端口来判断是属于哪个交换机的。可见,若是静态配置虚拟局域网的话,就比较死板,当员工位置变化时,交换机部能够智能的进行判断,员工的电脑是属于哪个网络。所以,对于员工位置经常发生变化,或者有移动办公需求的企业来说,采用这种工作方式的交换机是不怎么合适的。
另外一种工作方式就是动态的分配虚拟局域网的端口。这个工作方式具体又有很多的实现方式。
1、可以基于Mac地址进行虚拟局域网的划分。用户每台电脑都有一个唯一的MAC地址,而且一般我们网络管理员都可以通过种种手段限制用户对这个MAC地址进行更改。在具体管理的时候,我们可以先收集用户的MAC地址,然后根据MAC地址在交换中设置虚拟局域网。当用户连接到交换机的时候,交换机就会根据用户电脑MAC地址的不同,选择对应的虚拟局域网。如此的话,明显当研发部门经理把笔记本电脑从研发部门办公室搬到会议室的时候,其还是属于研发部门的局域网,因为虽然其端口改变了,但是其MAC地址没有改变,所以,其原有的网络性质也没有改变。不过,这个处理方式也有一个麻烦,就是每当企业新增一台主机或者更换一快网卡的时候,就可能需要改变虚拟局域网交换机的配置,这可能会稍微麻烦一点。另外,这种工作方式对于交换机的效率也会有影响。因为交换机每进行一次通信,就需要判断这个数据包的MAC地址是属于哪个虚拟局域网的,能否进行转发等等,所以,采用这种工作方式的交换机,效率会低一些。
2、基于用户名密码的虚拟局域网划分。这主要是根据用户登录网络用户名与密码来判断应该是属于哪个局域网的。不过一般这种处理方式,往往是在特殊的场合中应用。如为了信息安全性考虑,把某个特殊的文件服务器,如这个服务器只允许特定的用户访问,就把这个文件服务器放在一个虚拟局域网内。如此的话,其他用户需要访问这台服务器的话,就需要先利用用户名与密码,访问这个网络。若用户名密码不对的话,就不能访问这个网络,更加不能访问这个服务器了。
3、基于策略的访问。这种访问方法是把以上一种方式混合起来,如MAC地址、IP地址、协议等等,用户根据一定的规则,可以设置众多的参数来进行虚拟局域网的划分。如虽然是同一台主机,但是其访问网络的协议不同,就可以划分为不同的虚拟局域网。这种处理方式,一般在企业网络中不怎么经常用到。因为这种处理方式会大大降低虚拟局域网交换机的处理性能,而且在实际应用中,一般企业也不需要这么复杂的控制。他主要用于对于安全程度要求特别高,如银行企业用的比较多。而在一般企业中,用这种处理方式的话,就有点牛刀小用的感觉。
笔者以为,一般企业的网络管理员,若需要使用到虚拟局域网的话,在虚拟局域网交换机采购过程中,主要要关注的就是使否支持动态分配端口。因为随着信息化技术的普及,移动办公的需求将会越来越普遍。而这就要求局域网交换机能够根据MAC地址或者IP地址来划分虚拟局域网。若交换机在虚拟局域网管理中,不能支持这个功能的话,则我们网路管理员在网络管理的过程中,将会非常的吃力。
二、 操作方式的选择
一般配置虚拟局域网有两种方式,一是基于命令行的,二是基于图形的。这两种处理方式各有各的优点。
若是通过命令行管理虚拟局域网的,则笔者认为,管理效率要比较高,因为基于命令行的管理模式,其命令的执行效率比较高。所以,一般局域网管理的高手,都喜欢采用命令行,而不会采用图形界面的管理方式。
另外一种是基于WEB技术的图形管理界面。这种管理方式,很明显非常的直观,但是,需要开启交换机上的一些服务。这对于交换机来说,不怎么安全,容易受到病毒或者木马的攻击。所以,若从安全性上考虑,采用这种管理模式是不怎么明智的。不过这种处理方式由于其简便、直观,所以,比较受新手的欢迎。
就拿笔者来说吧。笔者自己在学校中刚开始接触到虚拟局域网的时候,就是通过图形界面来进行管理的。等到对虚拟局域网的管理与设置有一个感性的认识后,现在基本上都是通过命令行来进行管理,觉得利用图形界面管理的话,不怎么方面,而且,速度也比较慢。
有些交换机的话,支持多种管理方式,如国内的一些品牌,基本上都是支持这命令行管理与图形界面管理两种处理方式的。但是,国外的一些品牌,有时候只支持命令行的处理方式,因为他们认为命令行的管理方式比图形化的管理方式要安全、效率要高,所以,他们就屏蔽了图形化的管理界面,以提高交换机的安全性与性能。#p#分页标题#e#
所以,在虚拟局域网交换机采购之前,用户需要先扪心自问,自己喜欢哪种处理方式。这个管理方式虽然不会影响虚拟局域网的运作,但是,会影响我们网络管理员的管理效率。可能命令行的方式对于大部分精通这方面管理的网络管理人员来说是一种效率比较高的管理方式;但是,对于刚入门的网络管理员来说,相反他们对于命令不熟悉,反而用这个命令行进行管理的话,若此出错,效率也不高。
故,笔者认为,在选购虚拟局域网交换机的时候,网络管理员要根据自己的实际情况,选择合适的处理方式,并选购那些支持这种处理方式的交换机,以免到时会搬起石头砸了自己的脚。
三、 虚拟局域网的通信问题
有时候,我们可能不只在一个交换机上实现虚拟局域网的管理,而可能在三个交换机、甚至更多的交换机环境下,实现虚拟局域网的管理。也就是说,当用户数量多的时候,我们可能同一个虚拟局域网分布在多个局域网交换机上。如行政部门连接在交换机A上;而生产部门则连接在交换机B上,但是,行政部门与生产部门属于同一个虚拟局域网,这该如何呢?所以,我们在选购交换机的时候,若需要在交换机上实现虚拟局域网的管理,就需要考虑是否存在这种情况。若确实有这种需求的话,则就要考虑,交换机是否支持这种跨越交换机的虚拟局域网管理?
另外,有时会不同的虚拟局域网也需要进行通信。如研发部门虽然独立的属于一个局域网,但是,有时候,其也需要访问行政部门电脑上的人事通知等等,这该如何管理?因为这要注意,这是单向的访问。也就是说,行政部门不能够访问研发部门的网络,而研发部门则需要访问行政部门的网络。若两者之间随意访问的话,则直接可以通过路由器进行相连就可以解决问题了。但是,现在是需要实现有限制的访问。所以,这就给虚拟局域网的管理提出了一个新的挑战。一般来说,我们可以通过路由器的访问控制列表来实现这个需求。或者,我们还可以通过网络设计,巧妙防止电脑的位置从而实现这个需求。具体的实现方法,在后续的文章中笔者会详细给大家讲述,大家可以关注我后续的文章。
