基于IPv6虚拟局域网
随着信息技术的发展和人们对资源共享要求的提高,局域网已成为政府机关、企事业单位等最主要的信息载体和办公环境。而企业的活动已不再局限于一个国家,许多大企业的生产点和销售点遍布世界各地,跨越多个网络的高速信息传送与信息交换业务也日益增多。因此,局域网必须从固定的、受限的形式向全球化网络的方向发展。
一、虚拟局域网的提出
1、传统局域网的主要弊端
传统局域网是基于路由器的局域网,其主要特点是所有网络节点共享传输媒体,数据通信采用广播机制。但随着网络规模和应用范围的扩大,共享网络限制了对物理传输资源的使用。例如在以太网上,各站点对通信信道的占用采用竞争机制,即任何时刻只能由一个站点占用信道,如果网络负担过重,就会频繁地发生冲突。因此,各站点就要花费大量的时间用于退出传输和等待重新传输,使得整个网络实际可使用的带动宽只占设备可提供带宽的30%-40%。
另外,传统的组网方式是采用路由器划分子网进行信息隔离,路由器只转发网间信息。因此在大型局域网中,数据包转发的延迟较大,且难于控制。
2、交换型局域网的引入
交换型局域网是以交换式集线器(SW-Hub)为交换枢纽的网络结构模式。由于交换式集线器的核心部件是交换机,所以它从根本上改变了共享式集线器的网络结构模式与数据转发机制,有效地增大了网络容量,改善了系统的性能。在交换型局域网中,与交换式集线器械相连的网段被交换机分成独立的广播域,网络的流量被限制在各自的网段上,因此不会浪费其它网段的带宽。在会话保持时间内可同时有多个网段在独立工作。在这样无冲突的局域网环境中,网络利用率可达95%。
交换型局域网可以有效地解决传统局域网的带宽和延迟问题。但是简单类型的交换机并不能进行复杂的网络控制和管理。而且在全交换网络中,交换机所固有的网桥特性无法隔离广播帧、多播帧和未知地址帧的转发,太多的广播帧会加重网络负担,甚至使网络无法运行。为了有了虚拟局域网(VLAN)的概念,以适应目前复杂和高速的网络运营环境。
二、虚拟局域网概述
虚拟局域网属于交换型局域网,是一种逻辑网络,由分布在不同物理网段的节点组成。由于虚拟局域网的逻辑基础设施与物理基础设施是分开的,所以网络管理员只需在一个交换机或集线器的管理平台上将多个节点和端口聚集在一个逻辑单元里,就能将多个网络是节点无瓶颈地连接在一起。虚拟局域网的主要特点是网络容易扩展、移动和改变,用户可在不要求网络管理人员改变IP地址、不对集线器进行重新编程的情况下,将节点移到不同的局域网网段。
虚拟局域网与传统局域网相比,有可提高管理效率、控制广播帧、增加网络安全性、易于实现集中化的管理控制等优点。
为满足客户机/服务器和多媒体业务的交换需求,最有前途和最经济的途径是将ATM主干网和以太网交换技术相结合,构造虚拟联网,为用户增加更多的带宽,使大量的数据在工作组间流动。这种方法可把ATM-LAN虚拟地分成能够沿着可供管理的边界布置的多个网络段,以提高网络安全性和可伸缩性。
三、基于IPv6的虚拟局域网的优势
1、基于IPv6的虚拟局域网对IP多播的控制处理
IPv6协议中的多播通信机制可在充分利用网络资源的前提下提供点到多点的通信过程,支持新闻、财务数据的广播、视频或音频数据的传播等。由于IPv6在多播地址(Multicast Address)中增加了一个“范围”字段,改进了多播路由选择的规模可调性,因此与基于IPv4的虚拟局域网相比,基于IPv6的虚拟局域网在IP多播通信过程的控制处理方面有了较大的改进,更符合虚拟网络高速运营的要求。其对IP多播的控制处理过程如下:
1)运行Internet多播管理协议(IGMP:Internet Group Management Protocol)机制侦听网络,以获知网络上哪些节点需要接收多播通信过程。IGMP具有两个功能:将多播成员消息报告级紧接邻域多播路由器;构建主机和路由器的多播群。
IGMP使用通用型多播群进行查询,获知本地网段上有哪些多播群是和主机相连的,并根据与多播群相关的信息获知特定的多播群在本地局域网上是否有相应的网络主机,判断网络上哪些节点需要接收多播通信。
2)允许设备的有关端口加入到多播群/虚拟局域网中。
当网络路由器接收到一个多播群成员报告后,将报告信息中指明的多播群添加到网络的多播群列表中,并将该成员近下时器赋值为多播成员间隔,路由器可根据多播成员间隔判断网络中是否存在成员。当一个主机离开多播群时,路由器能接收到该主机离去的通知,并广播到本地网络的其它所有路由器。
2、基于IPv6的虚拟局域网安全性能的提高
在IPv6协议推出之前,网络的安全性能是由应用程序本身提供的,具有一定的局限性。虽然网络管理人员为使重要数据免受外界侵害,把需要访问关键信息的用户与普通用户区别开来组成独立的虚拟网,但是黑客还是可以采用IP欺骗技术,利用一个具有欺骗性的并具有发送端IP地址的分组,获得访问网络资源的权力。
基于IPv6的虚拟局域网在安全性能方面有很大的提高。在IPv6中,Internet层选项信息存放在报文分组的IPv6头部和传输层头部之间,由一个下一头部值(Next Header)来标识,包括逐个路段的路由选择、验证、隐私权和端到端等选项,权限验证和数据完整性验证成为IPv6的一项基本内容。
IPv6提供分组级别上的封装和认证机制,从两个方面保证网络的安全性操作:
1)认证:要求在接收端存放发送端的信息。如果接收端无法识别发送端,则无法进行信息传输。IPv6协议规定以MD5作为默认算法,保证建立通信链路以后,信息是由发送端发送的,同时信息在传递过程中没有被其他用户更改。
2)私有性:IETF协议规定IPv6可使用56bit的DES加密算法加密传输数据,防止信息被未授权用户获知。
由于不同的用户或不同的应用环境有不同的安全性操作,IPv6协议允许分别或组合使用这两种功能,以提供不同优先级的网络服务。而且IPv6加密安全头部和算法无关,可以非常灵活地使用。
另外,IPv6协议中引入了自动配置(即插即用)功能。主机进行Internet网络登记连接后,在位置或配置发生变化时只需很少的改动即可进行工作,大幅度减少网络管理者在组建虚拟局域网时,进行的网络配置和地址映射管理等工作。
四、结语
由于基于IPv6的虚拟局域网能够进行多播控制等复杂的网络控制和管理,并具有交换环境下高效、灵活、管理方便的特点,可以解决网络安全、资源浪费等问题,因此将成为局域网未来的发展趋势。
现代电信科技