這篇文章適合資深網管或是CCNA有多年工作經驗的同好閱讀,有CCNP認證的當然一看就懂。

動態虛擬區域網路 Dynamic VLAN,說實在的硬要翻成中文,實在很難直覺化與口語化。Dynamic VLAN在網路上已經有很多實例可以參考,但是絕大部分都是廠商的廣告文章,並沒有詳細的步驟與架構,且PO出來的文章大部分都以Cisco解決方案(VMPS)來建置,這一兩年Extreme Networks 也利用 NAC 架構推出 Dynamic VLAN的解決方案,Juniper Network也有類似的方案。

但是這邊要提出的實作經驗是以非Cisco主流設備為主的解決方案,而且是成功案例,讓想對公司內部網路作NAC管控的網管同好一同分享與討論。

如同Wiki對VLAN的精闢解釋:VLAN可以為網路提供以下作用

* 安全性
* 廣播控制
* 頻寬利用
* 延遲

所以中大型公司,針對公司的網路存取應該多多利用VLAN來作切割,並且額外配合Layer 3設備進行Multi-VLAN的ACL存取控制,把封包利用 L2 + L3 的特性加以收斂(侷限)於一個個的 Management/Access Zone。


再來我們看看這實例的環境、需求與規劃:

環境簡介:

1.P公司Servers有80~85% 都是Unix like系統,Clients端電腦都是老舊電腦所以執行效率不佳

2.測試電腦或是環境時常增減,安裝與移除占用工程師太多時間

3.依據多專案進行,設備放置地點因為資源支援而常會搬動

4.廠商或是客戶來訪,日人數不算少,且需要使用P公司網路對外,進行簡報、Live Show

5.各部門資源各自獨立,不能相互存取

6.辦公大樓樓層分散,公司資產的Notebook需要在各樓層存取,但是不能違反第5條規定


必要的需求清單:
1.禁止員工私帶電腦設備,連上公司內部網路,若是私帶電腦連上公司網路,網路系統需自動切換到 Guest VLAN加以隔離

2.訪客設備可以於會議室連到ADSL線路直接上Internet,不能存取公司內部任何資源,同時提供LAN、WLAN 接取方式

3.訪客設備若於辦公區域使用LAN、WLAN方式,一律禁止存取網路

3.公司資產NB、PC可以使用公司任何一個網孔,且需自動切換至該部門的VLAN

4.架構上需可抵擋任何攻擊,並有Alerm與Log

5.Client端有Windows/Unix/Linux等等混合環境,且設備老舊,所以不考慮安裝任何Agent程式,一律以Agentless處理

6.設備故障時,不可以影響現有User的存取狀態

 

規劃流程:
1.收集公司資產並建立一小型資料庫,紀錄IP與MAC對應,或是IP與VLAN對應表格

2.驗證公司所有網路Port,公司資產>轉發VLAN ID,非公司資產>斷網路或是出INTERNET

有了上面的 Work Flow Chart,緊接著就是著手收集資產設備的相關資料,與Survy網路設備是否支援這樣的Function,比如:
IEEE 802.1D MAC Bridges

IEEE 802.1p Priority
IEEE 802.1Q VLANs & GVRP
IEEE 802.1s Multiple Spanning Trees
IEEE 802.1w Rapid Reconfiguration of Spanning Tree
IEEE 802.1X Port Based Network Access Control
● RFC 2138 RADIUS Authentication
RFC 2866 RADIUS Accounting

如果你的Switch / Router 缺少任何上述的任何一個規格功能,要完成Dynamic VLAN是比登天還難唷!

下一篇文章(實作 Dynamic VLAN 動手篇)將會直接看實作設定於結果。

 


 

您需要喚醒一下對VLAN的記憶嗎? 延伸閱讀一下我所提供的文章:

1.國立清華大學特聘教授 所編撰的   區域網路與高速網路 第十六章 虛擬區域網路(Virtual LANs)

2.Cicso / Network Virtualization--Access Control Design Guide

3.Cisco / Dynamic VLAN

4.GVRP:GARP VLAN registration protocol


創作者介紹

HarlemHsu

HarlemHsu 發表在 痞客邦 PIXNET 留言(0) 人氣()