基于VLAN的策略路由的應(yīng)用_第1頁
免費預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、基于vlan的策略路由的應(yīng)用隨著網(wǎng)絡(luò)的普及,小型企業(yè)的局域網(wǎng)在資金短缺的狀況下如何花更少的錢去實現(xiàn)較為復(fù)雜的網(wǎng)絡(luò)功能、滿足人們對網(wǎng)絡(luò)功能更高的需求,是網(wǎng)絡(luò)技術(shù)人員關(guān)懷的問題。在系統(tǒng)中網(wǎng)絡(luò)技術(shù)人員可按照用戶需求實現(xiàn)豐盛的路由功能,其中無數(shù)功能都可以和路由器產(chǎn)品相媲美?;趌inux系統(tǒng)強大的功能,這里提出通過架設(shè)linux服務(wù)器解決該問題,經(jīng)濟而平安。本地一家工廠初步搭建了局域網(wǎng),因為經(jīng)濟條件有限,只購買較容易的網(wǎng)絡(luò)銜接設(shè)備,通過光纖接入本地isp。隨著網(wǎng)絡(luò)應(yīng)用的進展,現(xiàn)需要劃分幾個網(wǎng)段,規(guī)定機房用戶不允許拜訪財務(wù)部門和辦公室,財務(wù)部門的計算機不允許拜訪internet。大多數(shù)解決這類問題的做法

2、都是通過用法交換機結(jié)合路由器共同完成。這種做法雖然實現(xiàn)相對容易,較易維護,但成本高。因此,本文按照實際條件和詳細需求制定出一種技術(shù)計劃:安裝一臺linux服務(wù)器,通過劃分虛擬局域網(wǎng) (vlan)、設(shè)置策略路由解決問題。2 vlan的概念21 vlan的定義vlan(virtual local area network)又稱為虛擬局域網(wǎng),該技術(shù)實現(xiàn)了與物理位置無關(guān)的規(guī)律工作組劃分。采納vlan技術(shù)可將廣播數(shù)據(jù)報限制在同一vlan內(nèi),提高了網(wǎng)絡(luò)整體的有效帶寬。同時,可按照實際狀況分離對各vlan定義不同級別的平安策略,有效地避開非法入侵,增加了網(wǎng)絡(luò)的平安性。下面介紹三種主要vlan的定義方式。(1

3、)基于端口的vlan定義通過交換機的端口劃分來定義虛擬子網(wǎng),該方式和物理網(wǎng)段劃分較為類似,其主要缺點是無法實現(xiàn)與物理位置無關(guān)的虛擬網(wǎng)配置,假如工作站在端口間移動,則有須要對vlan重新舉行配置,這種辦法運用在實際中比較普遍也最成熟。(2)基于mac地址的vlan定義用節(jié)點網(wǎng)卡的mac地址打算其所隸屬的虛擬子網(wǎng)。這種方式實現(xiàn)了與物理位置無關(guān)的虛擬網(wǎng)配置,不足之處在于初始化時,網(wǎng)絡(luò)管理人員必需手工配置節(jié)點的mac地址,節(jié)點增強時,管理負擔(dān)也增大,在節(jié)點數(shù)目浩大的網(wǎng)絡(luò)中,明顯不相宜這種配置方式。(3)基于ip策略的vlan定義 通過網(wǎng)絡(luò)層協(xié)議或ip地址來確定虛擬網(wǎng)。這種vlan定義方式比前面兩種方式

4、越發(fā)靈便。交換機可按照各節(jié)點網(wǎng)絡(luò)地址或報文協(xié)議自動將其劃分成不同的vlan。22 在linux系統(tǒng)中vlan的實現(xiàn)大多數(shù)狀況下在linux系統(tǒng)中主要用法基于端口的80210 vlan。每一個支持802iq協(xié)議的網(wǎng)絡(luò)設(shè)備,在發(fā)送數(shù)據(jù)包時,都在以太幀頭中增強一個4字節(jié)的tag標(biāo)志,以指明該數(shù)據(jù)包屬于哪一個vlan。當(dāng)數(shù)據(jù)包進入另一個支持8021q協(xié)議的網(wǎng)絡(luò)設(shè)備時,會按照8021q幀中的tag標(biāo)志交換到所屬vlan。在應(yīng)用中普通是把支持8021q協(xié)議的2層交換機和3層交換機相連,這樣2層交換機就可以利用3層交換機的路由功能舉行不同vlan之間的數(shù)據(jù)轉(zhuǎn)發(fā)。3 在linux系統(tǒng)中策略路由的實現(xiàn)在linu

5、x系統(tǒng)上實現(xiàn)策略路由也是基于上述原理。通過rpdb實現(xiàn), rpdb主要由多路由表和規(guī)章組成,由規(guī)章選取表。路由表以及對其的操作和其對外的接口是囫圇rpdb的核心部分。路由表主要由table,zone, node這些主要的數(shù)據(jù)結(jié)構(gòu)構(gòu)成。對路由表的操作主要包含物理的操作以及語義的操作。31 策略路由策略路由就是不僅按照數(shù)據(jù)報的目的地址,而且還按照數(shù)據(jù)報的其他一些特性,如:源地址、ip協(xié)議、傳輸層端口,甚至是數(shù)據(jù)包的負載部分內(nèi)容舉行路由挑選。而傳統(tǒng)路由算法都是按照ip包目的地址舉行路由挑選。32 應(yīng)用linux策略路由的普通步驟在linux上應(yīng)用策略路由,首先按照實際應(yīng)用分析確定路由策略,然后普通實

6、行以下步驟:(1)創(chuàng)建多路由表通過編輯etciproute2rt jables文件創(chuàng)建路由表:(2)向路由表添加路由 向路由表中增強路由用法iproute指令,例如:向user_table1路由表中增強路由:ip route add 202201100024 via 1921681001 tableuser_table 1(3)建立相應(yīng)的規(guī)章用法ip rule指令設(shè)置規(guī)章,例如:ip rule add from 192168100024 table tlser table1來自192168100024的ip包用法路由表user_table1(基于源地址選取路由表)ip rule add to

7、20211 1100024 table user table1 去往202111100024的ip包用法路由表user_table1(基于目標(biāo)地址選取路由表)4 解決計劃建設(shè)一個工廠局域網(wǎng),局域網(wǎng)中惟獨2層交換機通過一臺具有nat功能的路由器接人當(dāng)?shù)豬sp,此局域網(wǎng)中有3種用戶類型上網(wǎng):機房用戶,辦公室用戶,財務(wù)部門用戶。現(xiàn)預(yù)備架設(shè)一臺linux服務(wù)器,劃分3個vlan,分離為:vlan10(用于開放機房)網(wǎng)段為1921681024,vlan 11(用于辦公室)網(wǎng)段為1921682024,vlan 12(用于財務(wù)部門)網(wǎng)段為1921683024。規(guī)定機房用戶不允許拜訪財務(wù)部門和辦公室計算機,財

8、務(wù)部門用戶不允許拜訪internet,而辦公室用戶允許拜訪internet和財務(wù)部門的計算機。該實例中l(wèi)inux系統(tǒng)所用法內(nèi)核為2420。網(wǎng)絡(luò)拓撲圖1所示。要求linux內(nèi)核支持8021q vlan,并支持策略路由。(1)創(chuàng)建各個vlanvconfig add eth0 10vconfig add eth0 11vconfig add eth0 12這樣,在系統(tǒng)中就創(chuàng)建了3個基于802iq vlan,因為在eth0接口配置3個vlan系統(tǒng)會自動加載8021q模塊。另外,在本例中需把與eth0相連的交換機端口設(shè)置為trunk模式。(2)設(shè)置各虛擬vlan接口ip地址ip address add

9、192168125324 dev eth010給eth010設(shè)置ip地址,相當(dāng)于設(shè)置vlan10的地址,此地址就是vlan 10用戶的默認網(wǎng)關(guān),以下含義相同:ip address add 192168225324 dev eth011ip address add 192168325324 dev eth012ip link set dev eth010 up啟用接口。以下含義相同ip link set dev eth011 upip link set dev eth012 up設(shè)置各接口 ip地址也可以用ifconfig指令。(3)編輯eteiproute2rt_tables文件以創(chuàng)建相應(yīng)路由

10、表:100 ji_fang101 ban_gong102 cai_wu(4)向各路由表中添加路由信息向ji_fang表中添加路由ip route add 00000 via1921681002 table ji_fang設(shè)置缺省路由拜訪internet(因為在機房不允許拜訪辦公室和財務(wù)部門,所以只需要設(shè)置默認路由拜訪internet)向ban_gong表中添加路由ip route add 1921683024 dev eth012 table ban_gong設(shè)置拜訪財務(wù)部門路由ip route add 00000 via 1921681002 table ban_gong/設(shè)置缺省路由拜訪internet向cai_wu表中添加路由ip route add 19216820,24dev eth011 table cai_wu設(shè)置拜訪辦公室路由(5)設(shè)置策略路由規(guī)章ip rule add from 1921681

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論