基于IPv6虛擬局域網
隨著信息技術的發(fā)展和人們對資源共享要求的提高,局域網已成為政府機關、企事業(yè)單位等最主要的信息載體和辦公環(huán)境。而企業(yè)的活動已不再局限于一個國家,許多大企業(yè)的生產點和銷售點遍布世界各地,跨越多個網絡的高速信息傳送與信息交換業(yè)務也日益增多。因此,局域網必須從固定的、受限的形式向全球化網絡的方向發(fā)展。
一、虛擬局域網的提出
1、傳統(tǒng)局域網的主要弊端
傳統(tǒng)局域網是基于路由器的局域網,其主要特點是所有網絡節(jié)點共享傳輸媒體,數據通信采用廣播機制。但隨著網絡規(guī)模和應用范圍的擴大,共享網絡限制了對物理傳輸資源的使用。例如在以太網上,各站點對通信信道的占用采用競爭機制,即任何時刻只能由一個站點占用信道,如果網絡負擔過重,就會頻繁地發(fā)生沖突。因此,各站點就要花費大量的時間用于退出傳輸和等待重新傳輸,使得整個網絡實際可使用的帶動寬只占設備可提供帶寬的30%-40%。
另外,傳統(tǒng)的組網方式是采用路由器劃分子網進行信息隔離,路由器只轉發(fā)網間信息。因此在大型局域網中,數據包轉發(fā)的延遲較大,且難于控制。
2、交換型局域網的引入
交換型局域網是以交換式集線器(SW-Hub)為交換樞紐的網絡結構模式。由于交換式集線器的核心部件是交換機,所以它從根本上改變了共享式集線器的網絡結構模式與數據轉發(fā)機制,有效地增大了網絡容量,改善了系統(tǒng)的性能。在交換型局域網中,與交換式集線器械相連的網段被交換機分成獨立的廣播域,網絡的流量被限制在各自的網段上,因此不會浪費其它網段的帶寬。在會話保持時間內可同時有多個網段在獨立工作。在這樣無沖突的局域網環(huán)境中,網絡利用率可達95%。
交換型局域網可以有效地解決傳統(tǒng)局域網的帶寬和延遲問題。但是簡單類型的交換機并不能進行復雜的網絡控制和管理。而且在全交換網絡中,交換機所固有的網橋特性無法隔離廣播幀、多播幀和未知地址幀的轉發(fā),太多的廣播幀會加重網絡負擔,甚至使網絡無法運行。為了有了虛擬局域網(VLAN)的概念,以適應目前復雜和高速的網絡運營環(huán)境。
二、虛擬局域網概述
虛擬局域網屬于交換型局域網,是一種邏輯網絡,由分布在不同物理網段的節(jié)點組成。由于虛擬局域網的邏輯基礎設施與物理基礎設施是分開的,所以網絡管理員只需在一個交換機或集線器的管理平臺上將多個節(jié)點和端口聚集在一個邏輯單元里,就能將多個網絡是節(jié)點無瓶頸地連接在一起。虛擬局域網的主要特點是網絡容易擴展、移動和改變,用戶可在不要求網絡管理人員改變IP地址、不對集線器進行重新編程的情況下,將節(jié)點移到不同的局域網網段。
虛擬局域網與傳統(tǒng)局域網相比,有可提高管理效率、控制廣播幀、增加網絡安全性、易于實現(xiàn)集中化的管理控制等優(yōu)點。
為滿足客戶機/服務器和多媒體業(yè)務的交換需求,最有前途和最經濟的途徑是將ATM主干網和以太網交換技術相結合,構造虛擬聯(lián)網,為用戶增加更多的帶寬,使大量的數據在工作組間流動。這種方法可把ATM-LAN虛擬地分成能夠沿著可供管理的邊界布置的多個網絡段,以提高網絡安全性和可伸縮性。
三、基于IPv6的虛擬局域網的優(yōu)勢
1、基于IPv6的虛擬局域網對IP多播的控制處理
IPv6協(xié)議中的多播通信機制可在充分利用網絡資源的前提下提供點到多點的通信過程,支持新聞、財務數據的廣播、視頻或音頻數據的傳播等。由于IPv6在多播地址(Multicast Address)中增加了一個“范圍”字段,改進了多播路由選擇的規(guī)?烧{性,因此與基于IPv4的虛擬局域網相比,基于IPv6的虛擬局域網在IP多播通信過程的控制處理方面有了較大的改進,更符合虛擬網絡高速運營的要求。其對IP多播的控制處理過程如下:
1)運行Internet多播管理協(xié)議(IGMP:Internet Group Management Protocol)機制偵聽網絡,以獲知網絡上哪些節(jié)點需要接收多播通信過程。IGMP具有兩個功能:將多播成員消息報告級緊接鄰域多播路由器;構建主機和路由器的多播群。
IGMP使用通用型多播群進行查詢,獲知本地網段上有哪些多播群是和主機相連的,并根據與多播群相關的信息獲知特定的多播群在本地局域網上是否有相應的網絡主機,判斷網絡上哪些節(jié)點需要接收多播通信。
2)允許設備的有關端口加入到多播群/虛擬局域網中。
當網絡路由器接收到一個多播群成員報告后,將報告信息中指明的多播群添加到網絡的多播群列表中,并將該成員近下時器賦值為多播成員間隔,路由器可根據多播成員間隔判斷網絡中是否存在成員。當一個主機離開多播群時,路由器能接收到該主機離去的通知,并廣播到本地網絡的其它所有路由器。
2、基于IPv6的虛擬局域網安全性能的提高
在IPv6協(xié)議推出之前,網絡的安全性能是由應用程序本身提供的,具有一定的局限性。雖然網絡管理人員為使重要數據免受外界侵害,把需要訪問關鍵信息的用戶與普通用戶區(qū)別開來組成獨立的虛擬網,但是黑客還是可以采用IP欺騙技術,利用一個具有欺騙性的并具有發(fā)送端IP地址的分組,獲得訪問網絡資源的權力。
基于IPv6的虛擬局域網在安全性能方面有很大的提高。在IPv6中,Internet層選項信息存放在報文分組的IPv6頭部和傳輸層頭部之間,由一個下一頭部值(Next Header)來標識,包括逐個路段的路由選擇、驗證、隱私權和端到端等選項,權限驗證和數據完整性驗證成為IPv6的一項基本內容。
IPv6提供分組級別上的封裝和認證機制,從兩個方面保證網絡的安全性操作:
1)認證:要求在接收端存放發(fā)送端的信息。如果接收端無法識別發(fā)送端,則無法進行信息傳輸。IPv6協(xié)議規(guī)定以MD5作為默認算法,保證建立通信鏈路以后,信息是由發(fā)送端發(fā)送的,同時信息在傳遞過程中沒有被其他用戶更改。
2)私有性:IETF協(xié)議規(guī)定IPv6可使用56bit的DES加密算法加密傳輸數據,防止信息被未授權用戶獲知。
由于不同的用戶或不同的應用環(huán)境有不同的安全性操作,IPv6協(xié)議允許分別或組合使用這兩種功能,以提供不同優(yōu)先級的網絡服務。而且IPv6加密安全頭部和算法無關,可以非常靈活地使用。
另外,IPv6協(xié)議中引入了自動配置(即插即用)功能。主機進行Internet網絡登記連接后,在位置或配置發(fā)生變化時只需很少的改動即可進行工作,大幅度減少網絡管理者在組建虛擬局域網時,進行的網絡配置和地址映射管理等工作。
四、結語
由于基于IPv6的虛擬局域網能夠進行多播控制等復雜的網絡控制和管理,并具有交換環(huán)境下高效、靈活、管理方便的特點,可以解決網絡安全、資源浪費等問題,因此將成為局域網未來的發(fā)展趨勢。
現(xiàn)代電信科技