虚拟多网技术的研究及应用

计算技术与自动化

虚拟多网技术的研究及应用

邵或1，师晓利1，黄玉琪2，王丽娟3

(1．郑州大学西亚斯国际学院，河南郑州451150，2．中州大学信息工程学院，河南郑州

450000；3．武汉大学，湖北武汉430079)

摘要：IEEE802．1Q标准提出了VLAN的思想和实现方法，这种机制能够通过让用户在一个物理网上划分出多个逻辑上互不相连的独立网络，在某种程度上形成逻辑网络，即VLAN。但VLAN思想同样也存在一些明显的缺陷。本文就此问题做了简单的讨论，并提出了解决方案“虚拟多网(VNs)”技术以及如何将该技术应用于企事业单位。

关键词：虚拟网络(VLAN)；物理网络；虚拟多网中图分类号：TP393

文献标识码：A

TheResearchandSHAOYul，SHI

ational(1．SIASIntem

Application

of

VirtualNet

Technology

Xiao—lil，HUANG

zhengzhou

Yu—qi2，WANGLiluan3

University

University，Henana

451150；2．Zhongzhou

InfomationEn西一

neeringCollege，HenarIaZhengzhou4500100；3．WuhanUniversity，Hubei

Wuhan430079)

盯出：vinualKeyw

local

area

network(VLAN)；physical

network；vinual

r肌ltiple

networks

1引言

VLAN即虚拟网络，VLAN的划分有三种方式：基于端口(P0n)、基于MAC地址和基于IP地址。通过划分虚拟网，可以把广播限制在各个虚拟网的范围内，从而减少整个网络范围内

些有限度的、可控的数据交换，由于VLAN是通过MAC

Bridge

在链路层实现的，这一层的数据通讯与具体应用毫无关系，因此

无法根据具体应用开放有限的数据通道。针对这些问题和需求，

我们提出“虚拟多网(VNS)”思想。

广播包的传输，提高了网络的传输效率；同时各虚拟网之间不能

直接进行通讯，而必须通过路由器转发，为高级的安全控制提供了可能，增强了网络的安全性。但是网络内任何一台终端只能属于某一个VLAN，用户无法在保证VLAN之间相互隔离的前提下将该终端“切换”到另一VLAN上。也就是说网络上任何一台终端计算机只能永远属于一个VLAN并仅从事一项任务，否则，数据将通过这台终端从一个VLAN流向另一个VLAN，从而破坏VLAN之间的相互独立性，导致安全隐患。其次VLAN之间没有可控的数据通道，在实际应用中，VLAN之间往往需要进行一

2虚拟多网的概念及设计思想

VNs系统将虚拟化思想及技术全面地应用于计算机网络体

系中，对网络上的资源，包括：终端、通信、路由、地址等进行彻底虚拟化，从而生成虚拟网络。VNS不是一个简单的系统，也不是一套软件或硬件，而是一个新的网络概念体系，包括构成这个新

的网络概念的理论基础、标准、政策和相关的技术。VNs的核心

思想是在普通物理网络之上构筑一套灵活、安全、可管理的虚拟网络系统。

虚拟网络系统利用数据加密手段在网络的数据链路层之上

形成一个“虚拟网络层”，这无形中为网络设备的入网设置了一

作者简介：邵残(1977一

研究方向：网络技术；

师晓利(1982一络技术；

黄玉琪(1972一)，男，浙江省杭州市人，博士，主要研究络技术；

王丽娟(198l一

)，女，湖北武汉，硕士，主要研究

向：网络技术。

向：网

)，女，河南省郑州市人，硕士，主要研究方向：网

)，女，河南省郑州市人，硕士，助教。主要

道安全门槛，使未经许可的网络设备无法接入网络。

VNs系统为虚拟网络层的通讯制订了一套严格的标准和协议，该标准对于设备的认证和接人制订了严格的规范，为有效地进行网络设备管理打下了基础，经过授权的设备必须严格遵守这些标准和协议，否则不能和VNs体系中的其他设备进行通讯。通过使用不同的密钥或加密算法，VNs系统能够便地在同

Q，豸芭萄粼

一个物理网之上形成多个独立的虚拟网络，以便于将不同的应用、资源划分到不同的虚拟网络并针对应用制订更为贴切的安全规则，从而大大提高网络的安全性和可管理性。虚拟网络系统的应用提升了整个网络的安全性和可管理性，能够对参与其中

的所有设备、资源、数据通道、规则实行强制性集中管理，同时对

上层的网络应用完全透明，不会对网络应用构成影响。

任何一个虚拟网络的边界都必须是连续、可控的，不能允许数据以任何方式在不受控的情况下流人或流出虚拟网络。具体的边界控制机制和策略应根据预先制订的虚拟网络的安全目标和安全规则来决定。

3总体方案设计

VNS的技术主要分为两部分：网络部分和本地部分，网络部分对通信协议站进行了虚拟化，使不同虚拟网络的数据可以不受干扰地在同一个物理网络上实现通信。同时属于不同虚拟网络的设备又无法看到其它虚拟网络的数据。VNS系统的本地部分模块将本地电脑硬件进行彻底的虚拟化，形成多个虚拟电脑，每个虚拟电脑可以连接一个虚拟网络，本地系统和网络系统配合起来就构成了一个完整的虚拟网络系统。

工作站虚拟化是VNs系统的另一个重要思想，仅仅对网络进行虚拟化而不对工作站进行虚拟化是不够的，虚拟网络用户必须能够方便、灵活地选择需要进入的虚拟网络并能够在不同

的虚拟网络之间切换使用，同时又要保证虚拟网络的相互独立性。若要实现这些目标，就必须对工作站进行虚拟化，让每个虚拟工作站连接一个虚拟网络，基于同一个物理工作站的虚拟工作站之间相互隔离，用户通过切换虚拟工作站的方式达到切换虚拟网络的目的。

4虚拟网络技术在企事业单位中的应用

4．1背景

企事业单位中的计算机网络属于简单的物理网络，所有应用都运行在同一张庞大的网络之上，从网络管理及网络安全的角度来看，这样的网络缺乏层次，数据之间没有有效的隔离，同时，几乎所有的科研人员和科研管理人员的机器上都有保密信息，信息安全防不胜防，传统的方法几乎无从解决。4．2设计原则

经过VNS系统虚拟化改造，可以在不改变现有网络拓扑结构的情况下，在物理网络上构筑多个独立的虚拟网络，将不同种类或安全等级的应用运行在不同的虚拟网络之上，减少应用系统之间的相互影响，形成多层次、可管理、更安全的网络系统。

首先，因为VNs构建在操作系统以下，所以利用操作系统漏洞进行攻击的木马、病毒等再也无法攻击我们的网络；其次因为VNS构建了整个虚拟网络，即所有0sI的七层，所以外部攻

2。。8年第。期

击无法找到我们真正的物理资源；第三，VNs可以虚拟多个应用网络，比如把访问互联网的应用单独放在一个虚拟网上，和其他的应用虚拟网是完全隔离的，因此，访问互联网发生的任何事情都不会影响到其他应用虚拟网，在互联网上下载的任何资料也无法直接转存在其他应用级别的虚拟网中；第四，构建科研虚拟网、办公虚拟网等应用虚拟网，并且单独构建资料转存区，任何虚拟网之间的数据交换需要VNs网络管理器认可、检查、过滤；最后，VNs不仅虚拟所有的传输，还将所有的设备，即所有的端口，包括uSB、打印机、传真机、光驱、软件区等管理起来，防止了

从这些端口对网络的攻击。因此，VNs将从根本上解决了信息安

全问题。4．3解决方案

不改变现有网络拓扑结构的前提下，将网络中主交换机接人VNs网关并通过VNs网关连接互联网。按照需求创建N个虚拟网络，分别为：l互联网虚网；2科研业务虚网；3办公虚拟网；4备份业务虚网等，分别在N个虚网中创建需要联入该虚网的虚拟工作站账户。通过VNS系统的控制平台设置所需的安全规则。

构建后的网络拓扑示意图如下：

图4基于虚拟技术的网络拓扑图

5结束语

综上所述，虽然VLAN给网络带来了很大的方便，但是安全问题不容忽视，通过虚拟多网技术不仅可以实现虚拟网络，还消

除了安全隐患、增强了系统的可管理性、提高了系统使用效率、

于企事业单位中是可行的。参考文献：

【1】h郇：∥cij；co．chinaidab．corI洲k以5261．htITll．

[2】杨文宏，李建民虚拟网络中的安全问题叨计算机工程，2000，(10)．

曩一

增加了系统设计、管理、使用的灵活性。事实证明将此技术应用