基于IPv6虛擬局域網(wǎng)

基于IPv6虛擬局域網(wǎng)

隨著信息技術(shù)的發(fā)展和人們對(duì)資源共享要求的提高，局域網(wǎng)已成為政府機(jī)關(guān)、企事業(yè)單位等最主要的信息載體和辦公環(huán)境。而企業(yè)的活動(dòng)已不再局限于一個(gè)國家，許多大企業(yè)的生產(chǎn)點(diǎn)和銷售點(diǎn)遍布世界各地，跨越多個(gè)網(wǎng)絡(luò)的高速信息傳送與信息交換業(yè)務(wù)也日益增多。因此，局域網(wǎng)必須從固定的、受限的形式向全球化網(wǎng)絡(luò)的方向發(fā)展。

一、虛擬局域網(wǎng)的提出

1、傳統(tǒng)局域網(wǎng)的主要弊端

傳統(tǒng)局域網(wǎng)是基于路由器的局域網(wǎng)，其主要特點(diǎn)是所有網(wǎng)絡(luò)節(jié)點(diǎn)共享傳輸媒體，數(shù)據(jù)通信采用廣播機(jī)制。但隨著網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍的擴(kuò)大，共享網(wǎng)絡(luò)限制了對(duì)物理傳輸資源的使用。例如在以太網(wǎng)上，各站點(diǎn)對(duì)通信信道的占用采用競爭機(jī)制，即任何時(shí)刻只能由一個(gè)站點(diǎn)占用信道，如果網(wǎng)絡(luò)負(fù)擔(dān)過重，就會(huì)頻繁地發(fā)生沖突。因此，各站點(diǎn)就要花費(fèi)大量的時(shí)間用于退出傳輸和等待重新傳輸，使得整個(gè)網(wǎng)絡(luò)實(shí)際可使用的帶動(dòng)寬只占設(shè)備可提供帶寬的30%-40%。

另外，傳統(tǒng)的組網(wǎng)方式是采用路由器劃分子網(wǎng)進(jìn)行信息隔離，路由器只轉(zhuǎn)發(fā)網(wǎng)間信息。因此在大型局域網(wǎng)中，數(shù)據(jù)包轉(zhuǎn)發(fā)的延遲較大，且難于控制。

2、交換型局域網(wǎng)的引入

交換型局域網(wǎng)是以交換式集線器（SW-Hub）為交換樞紐的網(wǎng)絡(luò)結(jié)構(gòu)模式。由于交換式集線器的核心部件是交換機(jī)，所以它從根本上改變了共享式集線器的網(wǎng)絡(luò)結(jié)構(gòu)模式與數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制，有效地增大了網(wǎng)絡(luò)容量，改善了系統(tǒng)的性能。在交換型局域網(wǎng)中，與交換式集線器械相連的網(wǎng)段被交換機(jī)分成獨(dú)立的廣播域，網(wǎng)絡(luò)的流量被限制在各自的網(wǎng)段上，因此不會(huì)浪費(fèi)其它網(wǎng)段的帶寬。在會(huì)話保持時(shí)間內(nèi)可同時(shí)有多個(gè)網(wǎng)段在獨(dú)立工作。在這樣無沖突的局域網(wǎng)環(huán)境中，網(wǎng)絡(luò)利用率可達(dá)95%。

交換型局域網(wǎng)可以有效地解決傳統(tǒng)局域網(wǎng)的帶寬和延遲問題。但是簡單類型的交換機(jī)并不能進(jìn)行復(fù)雜的網(wǎng)絡(luò)控制和管理。而且在全交換網(wǎng)絡(luò)中，交換機(jī)所固有的網(wǎng)橋特性無法隔離廣播幀、多播幀和未知地址幀的轉(zhuǎn)發(fā)，太多的廣播幀會(huì)加重網(wǎng)絡(luò)負(fù)擔(dān)，甚至使網(wǎng)絡(luò)無法運(yùn)行。為了有了虛擬局域網(wǎng)（VLAN）的概念，以適應(yīng)目前復(fù)雜和高速的網(wǎng)絡(luò)運(yùn)營環(huán)境。

二、虛擬局域網(wǎng)概述

虛擬局域網(wǎng)屬于交換型局域網(wǎng)，是一種邏輯網(wǎng)絡(luò)，由分布在不同物理網(wǎng)段的節(jié)點(diǎn)組成。由于虛擬局域網(wǎng)的邏輯基礎(chǔ)設(shè)施與物理基礎(chǔ)設(shè)施是分開的，所以網(wǎng)絡(luò)管理員只需在一個(gè)交換機(jī)或集線器的管理平臺(tái)上將多個(gè)節(jié)點(diǎn)和端口聚集在一個(gè)邏輯單元里，就能將多個(gè)網(wǎng)絡(luò)是節(jié)點(diǎn)無瓶頸地連接在一起。虛擬局域網(wǎng)的主要特點(diǎn)是網(wǎng)絡(luò)容易擴(kuò)展、移動(dòng)和改變，用戶可在不要求網(wǎng)絡(luò)管理人員改變IP地址、不對(duì)集線器進(jìn)行重新編程的情況下，將節(jié)點(diǎn)移到不同的局域網(wǎng)網(wǎng)段。

虛擬局域網(wǎng)與傳統(tǒng)局域網(wǎng)相比，有可提高管理效率、控制廣播幀、增加網(wǎng)絡(luò)安全性、易于實(shí)現(xiàn)集中化的管理控制等優(yōu)點(diǎn)。

為滿足客戶機(jī)/服務(wù)器和多媒體業(yè)務(wù)的交換需求，最有前途和最經(jīng)濟(jì)的途徑是將ATM主干網(wǎng)和以太網(wǎng)交換技術(shù)相結(jié)合，構(gòu)造虛擬聯(lián)網(wǎng)，為用戶增加更多的帶寬，使大量的數(shù)據(jù)在工作組間流動(dòng)。這種方法可把ATM-LAN虛擬地分成能夠沿著可供管理的邊界布置的多個(gè)網(wǎng)絡(luò)段，以提高網(wǎng)絡(luò)安全性和可伸縮性。

三、基于IPv6的虛擬局域網(wǎng)的優(yōu)勢

1、基于IPv6的虛擬局域網(wǎng)對(duì)IP多播的控制處理

IPv6協(xié)議中的多播通信機(jī)制可在充分利用網(wǎng)絡(luò)資源的前提下提供點(diǎn)到多點(diǎn)的通信過程，支持新聞、財(cái)務(wù)數(shù)據(jù)的廣播、視頻或音頻數(shù)據(jù)的傳播等。由于IPv6在多播地址（Multicast Address）中增加了一個(gè)“范圍”字段，改進(jìn)了多播路由選擇的規(guī)模可調(diào)性，因此與基于IPv4的虛擬局域網(wǎng)相比，基于IPv6的虛擬局域網(wǎng)在IP多播通信過程的控制處理方面有了較大的改進(jìn)，更符合虛擬網(wǎng)絡(luò)高速運(yùn)營的要求。其對(duì)IP多播的控制處理過程如下：

1）運(yùn)行Internet多播管理協(xié)議（IGMP：Internet Group Management Protocol）機(jī)制偵聽網(wǎng)絡(luò)，以獲知網(wǎng)絡(luò)上哪些節(jié)點(diǎn)需要接收多播通信過程。IGMP具有兩個(gè)功能：將多播成員消息報(bào)告級(jí)緊接鄰域多播路由器；構(gòu)建主機(jī)和路由器的多播群。

IGMP使用通用型多播群進(jìn)行查詢，獲知本地網(wǎng)段上有哪些多播群是和主機(jī)相連的，并根據(jù)與多播群相關(guān)的信息獲知特定的多播群在本地局域網(wǎng)上是否有相應(yīng)的網(wǎng)絡(luò)主機(jī)，判斷網(wǎng)絡(luò)上哪些節(jié)點(diǎn)需要接收多播通信。

2）允許設(shè)備的有關(guān)端口加入到多播群/虛擬局域網(wǎng)中。

當(dāng)網(wǎng)絡(luò)路由器接收到一個(gè)多播群成員報(bào)告后，將報(bào)告信息中指明的多播群添加到網(wǎng)絡(luò)的多播群列表中，并將該成員近下時(shí)器賦值為多播成員間隔，路由器可根據(jù)多播成員間隔判斷網(wǎng)絡(luò)中是否存在成員。當(dāng)一個(gè)主機(jī)離開多播群時(shí)，路由器能接收到該主機(jī)離去的通知，并廣播到本地網(wǎng)絡(luò)的其它所有路由器。

2、基于IPv6的虛擬局域網(wǎng)安全性能的提高

在IPv6協(xié)議推出之前，網(wǎng)絡(luò)的安全性能是由應(yīng)用程序本身提供的，具有一定的局限性。雖然網(wǎng)絡(luò)管理人員為使重要數(shù)據(jù)免受外界侵害，把需要訪問關(guān)鍵信息的用戶與普通用戶區(qū)別開來組成獨(dú)立的虛擬網(wǎng)，但是黑客還是可以采用IP欺騙技術(shù)，利用一個(gè)具有欺騙性的并具有發(fā)送端IP地址的分組，獲得訪問網(wǎng)絡(luò)資源的權(quán)力。

基于IPv6的虛擬局域網(wǎng)在安全性能方面有很大的提高。在IPv6中，Internet層選項(xiàng)信息存放在報(bào)文分組的IPv6頭部和傳輸層頭部之間，由一個(gè)下一頭部值（Next Header）來標(biāo)識(shí)，包括逐個(gè)路段的路由選擇、驗(yàn)證、隱私權(quán)和端到端等選項(xiàng)，權(quán)限驗(yàn)證和數(shù)據(jù)完整性驗(yàn)證成為IPv6的一項(xiàng)基本內(nèi)容。

IPv6提供分組級(jí)別上的封裝和認(rèn)證機(jī)制，從兩個(gè)方面保證網(wǎng)絡(luò)的安全性操作：

1）認(rèn)證：要求在接收端存放發(fā)送端的信息。如果接收端無法識(shí)別發(fā)送端，則無法進(jìn)行信息傳輸。IPv6協(xié)議規(guī)定以MD5作為默認(rèn)算法，保證建立通信鏈路以后，信息是由發(fā)送端發(fā)送的，同時(shí)信息在傳遞過程中沒有被其他用戶更改。

2）私有性：IETF協(xié)議規(guī)定IPv6可使用56bit的DES加密算法加密傳輸數(shù)據(jù)，防止信息被未授權(quán)用戶獲知。

由于不同的用戶或不同的應(yīng)用環(huán)境有不同的安全性操作，IPv6協(xié)議允許分別或組合使用這兩種功能，以提供不同優(yōu)先級(jí)的網(wǎng)絡(luò)服務(wù)。而且IPv6加密安全頭部和算法無關(guān)，可以非常靈活地使用。

另外，IPv6協(xié)議中引入了自動(dòng)配置（即插即用）功能。主機(jī)進(jìn)行Internet網(wǎng)絡(luò)登記連接后，在位置或配置發(fā)生變化時(shí)只需很少的改動(dòng)即可進(jìn)行工作，大幅度減少網(wǎng)絡(luò)管理者在組建虛擬局域網(wǎng)時(shí)，進(jìn)行的網(wǎng)絡(luò)配置和地址映射管理等工作。

四、結(jié)語

由于基于IPv6的虛擬局域網(wǎng)能夠進(jìn)行多播控制等復(fù)雜的網(wǎng)絡(luò)控制和管理，并具有交換環(huán)境下高效、靈活、管理方便的特點(diǎn)，可以解決網(wǎng)絡(luò)安全、資源浪費(fèi)等問題，因此將成為局域網(wǎng)未來的發(fā)展趨勢。

現(xiàn)代電信科技