虚拟局域网设计(BVN业务虚拟网技术)介绍
摘要:BVN技术就是为信息业务系统和子系统定制符合该信息业务系统需求的VLAN架构,采用多个不同VLANID,组合成可相互可控访问的VLAN架构,使得信息业务系统能够运行在自己专用的VLAN(虚拟局域网)架构中,并实现系统间的访问控制,使得信息业务系统、子系统都不受其它信息系统运行的干扰,实现物理网络的共享。
随着社会信息化发展,大量综合信息集成系统的建设,在工矿企业、事业单位、市政工程、金融服务等各领域。虚拟局域网VLAN已经广泛得到应用。但是,至今为止,VLAN无论从它的定义、作用和使用方法,仍然不被广大技术人员所了解,片面认为VLAN间需要通过路由网关才能连接,本身难以实现信息系统的应用业务的业务保护和访问控制。由于商业化的产品推广方式,大量广域网技术在局域网中得到普遍应用。反而、局域网技术却缺乏技术人员的关注。良好的业务虚拟局域网网络设计不仅仅提高了网络的性能、质量和降低通讯成本等。而且网络整体的分布式交换容量、安全性都会得到提高。
1. 局域网和广域网,互联网和工业互联网不可或缺的组成部分
局域网(LAN及VLAN,local area network和Virtual Local Area Network)和广域网(WAN,Wide Area Network)是不同的,两者都是互联网不可或缺的组成部分,但它们面对的业务性质以及服务对象却大不相同
广域网的IP不能由用户自主设定,为了保持全球唯一,必须由电讯公司分配,而且IP地址本身隐含了区域、国家、电讯公司等信息。广域网的业务属性是传输业务,它包括语音、视频、数据等。它的用户成千上万。但是业务属性比较单一。广域网中,电讯公司相互间无行政隶属关系。若需要借助其它通讯公司的网络互联,需要按路由协议互联。彼此无规划对方网络的权利,路由器和边界路由器是他们主要的通讯设备,需要路由器的路由协议来满足各通讯公司联网需求。即使到了IPV6时代,由于必须保持IP唯一性,IP地址不可能由用户自由设定,因此本质上路由器主要用于公共互联网。
局域网的IP由用户自主设定,仅仅在用户自己的网络、专网或VLAN内上保持唯一性就可以,甚至在用户独立的物理网中可以重复应用。其业务属性是用户自己的各类计算机应用业务信息系统,虽然用户可能只有一个,业务属性却非常复杂,互相间需要允许不同业务间的信息集成和相互访问。3个内网的网段地址(10.0.0.0、172‘10’0‘0、192.168.0.0)用户可以复用,从来没有发生IP地址不够用的情况,当然想自由采用公网IP地址是不可能的。企业信息系统既没有必要采用公网IP,也需要和公网隔离。
局域网的规模和广域网的规模不是区分局域网和广域网的区别,美国一所大学的IP可能就比中国多,但仍是局域网。拥有公网地址的多少并不能代表广域网和局域网。事实上,目前大量企业的网络中,使用了大量的路由器和三层交换机。其本身堪比是个小型、甚至大型的广域网。而广域网中、信息系统的集成和访问控制大多是租客自己的事,电讯公司仅仅负责通道隔离和互联网互通。因此企业采用类广域网结构,在这样的网络中建立业务逻辑网络拓扑需要更多的工作。
广域网的主要业务是用户信息传输业务(如:数据、有线电话、视频等),而局域网的主要业务是用户各类自身应用业务的集成(如:MES、CRM、ERP、OA等),显然局域网具有更简便、灵活可靠的业务系统间的访问控制能力。因此其主要通讯设备应该以二层交换机,VLAN技术提供了有访问控制的虚拟网架构。路由器、防火墙等设备一般应该应用于局域网上公网出口处。但是实际情况却完全出乎意外。业务逻辑网络被认为是三层IP网络的专长。甚至跨越VLAN也被认为需要三层路由器网关。
2. BVN实现的原理-首先澄清误解的VLAN定义和VLAN逻辑拓扑
物理局域网本身是一个互通的二层的以太网网络,当业务需要独立的逻辑网时可以通过VLAN技术同时来实现隔离保护和访问控制。(VLAN是以太网技术)
这是容易引起争议的问题。目前几乎所有国内有关VLAN的技术资料中,大家研究的课题是如何在VLAN间建立访问控制。一般说法是采用路由器或三层交换机,通过路由网关实现VLAN之间通讯,然后再采用ACL访问控制列表过滤IP数据包。这是一个目前普遍的网络访问控制技术,局域网内也经常使用该技术。也是路由器和三层交换机在局域网内大量使用的主要原因。即局域网本身的VLAN技术似乎无VLAN间的访问控制能力。因此首先必须对VLAN技术做个澄清。即VLAN不等于VLANID。
1)二层网管型交换机的端口VLAN属性
a) 网管型的二层交换机的任何端口都可以与其它网管型的交换机连接,显然事实上交换机间的通讯端口可以允许多种不同VLANTAG(标签)的IP包通过。
b) 交换机通讯端口划入某个VLANID中,进入该端口无标签(UNTAG)的数据包会被打上该端口VLANID的ID号,而且该端口只能打印一个VLANID的ID号。
显而易见,通讯端口的VLAN属性有两个功能属性,VLANID和VLANTAG,分别代表本通讯端口能打印的标签(VLANID)和允许通过的标签(VLANTAG)
2) 简单实现一个虚拟网络的访问控制逻辑拓扑
习惯上VLANID,即VLAN100、VLAN200中数字100、200代表了每个VLAN号。尊重这种习惯,在此、我们用“组VLAN”来代表一个虚拟局域网,我们设置VLAN100 不仅允许自身VLANID的IP包通过,也允许VLAN200的数据包(VLANTAG)通过,同时设置VLAN200也允许VLAN100的数据包通过。VLAN100和VLAN200就构成了一个虚拟局域网。同理,如果我们设置VLAN100和VLAN300互通,VLAN200和VLAN400互通。如图1所示:由于,端口对VLANTAG的选择性限制,VLAN100与VLAN400不能互通、VLAN200不能与VLAN300互通。VLAN300也不能与VLAN400互通。
我们建立了一个简单的访问控制结构,如图1所示,VLAN300和VLAN100组成了一个虚拟局域网,VLAN400和VLAN200组成了一个虚拟局域网,VLAN100和VLAN200组成了两个虚拟局域网之间的一个访问控制虚拟局域网。显然我们用VLANID构造了一个虚拟局域网间的访问控制虚拟局域网。每个虚拟局域网是由多个不同VLANID的成员组成的(每个VLANID也可以拥有多个通讯端口)。图1所示实例,虚拟局域网可以通过VLANID技术实现访问控制过滤。虚拟局域网中,不同VLANID成员有了不同的访问控制属性。
“组VLAN”本身不仅仅继承了能够隔离和保护业务的VLANID的属性,隔离广播域,而且能够构造访问控制,实现业务虚拟网络构架的整体设计。实际上不需要路由器的网关,局域网能够实现VLAN间的通讯,采用“组VLAN”也能实现虚拟局域网间的访问控制,而且不需要借助ACL的帮助。实际上在默认的情况下,设置VLANID时,本端口仅允许该端口同样VLANID的VLANTAG包通过。
3. BVN(业务虚拟局域网)设计原理的应用
在信息系统中,物理网络本身往往被各类信息系统、子系统所共享。特别是工业互联网和综合信息集成的网络,在共享物理局域网的基础上,可以搭建各类业务系统和业务子系统专用虚拟局域网,并能通过VLAN技术同步实现业务系统和业务单元间的访问控制,那么这些具有访问控制能力的局域网如何设计和实施?,由于不再采用一个VLANID来对应一个系统或子系统的方式,需要帮助业务人员和网络管理人员建立业务系统、子系统的业务组织单元与网络VLANID组建立对应关系。并能自动生成业务虚拟网络架构和访问控制拓扑。
BVN虚拟局域网设计需要一个能够描述业务系统、子系统等组织单元以及访问控制关系的逻辑设计界面来描述业务系统。
举例说明一个研发业务逻辑网络规划设计需求:如图2所示
1)业务虚拟网络设计的第一步:为业务分配通资源
如图3所示:为业务分配通讯资源,即把网络中一台二层交换机分配给研发业务网络
2)业务虚拟网络设计的第二步:为业务划分业务组织单元,并给每个单元分配通讯端口,如图4所示:设立了每个业务的组织单元(单元结构和数量如图2所示),为每个业务单元分配通讯端口
3)业务虚拟网络设计第三步:建立业务组织单元间的访问关系。
如图5所示,定义各组织单元间的访问关系,如图2定义的访问关系
通过以上三步骤详细并清楚描述了业务对整个业务虚拟局域网架构的完整需求,显然可以自动计算并生成该业务的虚拟局域网和访问控制拓扑。生成满足业务系统访问控制需求的业务虚拟局域网,把网络交换机设备配置下载到通讯二层交换机上就完成了一个有访问控制能力的虚拟局域网架构。只要定义清楚业务资源、业务组织、业务关系(访问控制),已经完整定义清楚了一个业务虚拟网络设计要求。上述研发业务信息系统完全架构在一个“组VLAN”中,相当于独立网络一样,不受任何其它信息系统的干扰。
网络人员和业务人员不需要采用一个VLANID对应一个业务系统,也不需要采用ACL过滤的方式实现业务逻辑网络设计。
VLAN标签复用:由于局域网主要用于企业的信息业务集成,而非通讯传输。故其VLAN标签可以有条件复用。业务系统间的信息互访的物理端口可以采用用户端口连接,而非上联口连接。每个网管软件仅仅管理自己的网络。此时,不同的网络都可以拥有4K的VLAN标签。
工矿企业、市政工程、事业单位使用VLAN标签量一般不可能超过4K,否则他们的业务焦点太多而无法管理,目前所为标签量不够往往是公有云对成千上万租客的隔离需求。
4. BVN设计和网络安全
采用BVN技术设计的业务虚拟局域网,本身已经根据业务的需求,限定了计算机设备通讯范围。即业务系统边界和安全区边界。无论采用内网防火墙ACL访问控制(五元组)还是采用通讯设备的ACL,实际上应该允许的通讯的信息仍必须放行。因此在边界访问检测时。其实际效果类似。但有一些区别,
1)在技术细节上,采用ACL需要考虑进出规则的过滤隔离条件,例如:当ACL使用进规则时,缺省允许IP包出网不受限制。尽管由于入网限制存在。不能与外网进规则不允许的计算机设备建立通讯连接。但内外网IP相同时,错误IP设置时仍会攻击到外网设备,进网规则不能限制出网的IP数据包,会阻止外网计算机(相同IP)正常工作。
而BVN采用了VLAN技术,是双向完全隔离。对内外网设备都能很好隔离保护。
2)由于采用路由连通虚拟局域网,采用ACL过滤。往往需要考虑中间物理链路和冗余通讯设备的切换。而BVN不需要考虑生成树等链路冗余切换。因为所有的检测点在每个接入端口上。实际上真正智能化的网络体系,其访问控制的细粒度会要求到接入端口控制。
3)由于通过摆渡技术进入内网的木马病毒和后门程序,原理上,激活的木马程序并不用于传递病毒代码,而是窃取用户信息或黑客的操控信息数据,信息中本身无代码特征,难以被防火墙的防护设备设别,可以通过加密、更改IP(如:虚拟机可以不引用本机IP)等技术来规避ACL检测,但VLANTAG是通讯设备的网络标签,木马病毒和后门程序无法规避网络对计算机的访问对象限制。
4)入侵检测:常规的方法是网络病毒代码检测,由于网络病毒代码特征成千上万。无论是防入侵功能的防火墙或专门的入侵检测设备,每个数据包去匹配成千上万的病毒特征,都力不从心。显然只能进行旁路检测,不能进行直连检测。目前自恒信息科技公司的技术是通过蠕虫原理性特征,即蠕虫必须采用IP主机扫描方式确认存活的主机。防IP主机扫描技术能够真正实时处理蠕虫IP扫描攻击,判断扫描源,对扫描源进行报警、隔离和端口阻断。而防主机IP扫描的技术本身依赖于用户设计逻辑网时,其对业务组织单元和访问控制关系的设置。采用用户设定的判据去判断非法扫描和正常通讯。
5)网络系统,特别是监控中心的网络和综合业务网络,需要集成不同的信息业务系统、分子系统。各类业务系统的运行维护和建设拓展会涉及到不同的维修建设人员。为每个业务系统规划好独立的VLAN结构,给每个业务系统或子系统独立的虚拟局域网,可以防止业务运行维护和业务拓展建设的安全性,毕竟人为失误更是一种安全隐患。
5. BVN工业系统的网络设计与等保要求的实现
BVN能够完成网络安全等级保护要求的边界防护和业务系统隔离,考虑到交换机的功能,在内联外联防护、端口流量监控也能发挥重要作用。
由于VLAN技术可以对所有端口进行设置,因此可以对信息业务系统进行完整的保护,不借助于ACL等技术,也可以实现很多优秀的防护和隔离功能
1)工业应用协议过滤:自动化的控制系统设计人员往往不希望中控室的非控制IT设备可以随意访问控制系统。工业防火墙设计意图是通过应用协议过滤,仅仅允许OPC服务器和设备工程师访问控制系统。以避免其它信息系统设备对控制系统的影响。在BVN业务虚拟网络设计时为控制系统单独设置一个采集组织单元和维修工程单元。设置访问控制关系时,仅允许OPC或设备工程师站访问控制系统。这样中控室的打印机、历史服务器、操作员站、报表服务器等设备就无法进入控制系统的网络。
2)在等保要求中,往往要求传输过程中,能够保持完整性不受破坏,而且希望加密来保证数据劫持后不被盗用。显然要防止传输中的数据防盗防改。通讯设备的数据劫持是由于攻击者通过更改了通讯地址,即IP欺骗技术。采用BVN技术实际上数据的传输通道是VLAN通道。外部无法对该通道内设备进行IP劫持。这样即防范了数据被盗和篡改。而且防止了被劫持过程中的系统重要数据丢失,导致业务系统崩溃。特别在工业控制系统中,实时控制器本身仅处理实时信息,也无存储历史数据的能力,丢失数据难以恢复。故采用加密的方式在实时控制系统的控制器数据传输处理上并不适用。防止IP劫持更有效。
3)网络安全也包含了设备接入控制、物理网络拓扑监控等,这些安全要求本身必须通过网络交换机的管理来实现。
6.总结
VLAN可以由一个VLANID成员或多个不同VLANID成员,通过相互允许彼此VLANID产生的带VLAN标签数据包(VLANTAG)通行,使得不同或相同VLANID的端口成员构成VLAN或“组VLAN”。VLAN技术不仅能够对信息业务进行保护,而且能通过“组VLAN”方式,完成复杂的访问控制结构。几乎所有应用信息业务都可以架构在一个个个“组VLAN”中,实现专用VLAN网络保护的同时,信息业务系统和子系统相互间可以访问控制,但互不干扰。
二层局域网不依赖于IP层,就能用虚拟的网络逻辑链路层技术来有效构造业务逻辑网络,其本身提供设计者灵活简便的设计空间,能够在局域网上满足应用业务对逻辑网络的各类需求。BVN技术能够把信息业务系统架构转换或映射成VLAN逻辑网架构,使得每个业务系统拥有独立的虚拟局域网架构,其架构与信息业务通讯架构需求一致。
虚拟局域网技术能够简化网络安全防护的难度,能够避免网关劫持、DHCP劫持、DNS劫持等造成网络瘫痪的故障,减少网络设计难度,特别是业务逻辑网络设计的难度。减少网络设计过程中的不确定性。
采用BVN技术,有助于数据交换不用绕行核心路由器或三层交换机,不用担心网络网格化冗余链路切换等访问控制失效的可能,业务系统可以就最近入网,提高网络整体分布式的交换能力和网络整体的交换容量。
采用BVN技术将极大减少网络建设成本,有助于企业实现更有效的建设完善其工业互联网或其它信息网络系统。
我们建立了一个简单的访问控制结构,如图1所示,VLAN300和VLAN100组成了一个虚拟局域网,VLAN400和VLAN200组成了一个虚拟局域网,VLAN100和VLAN200组成了两个虚拟局域网之间的一个访问控制虚拟局域网。显然我们用VLANID构造了一个虚拟局域网间的访问控制虚拟局域网。每个虚拟局域网是由多个不同VLANID的成员组成的(每个VLANID也可以拥有多个通讯端口)。图1所示实例,虚拟局域网可以通过VLANID技术实现访问控制过滤。虚拟局域网中,不同VLANID成员有了不同的访问控制属性。
“组VLAN”本身不仅仅继承了能够隔离和保护业务的VLANID的属性,隔离广播域,而且能够构造访问控制,实现业务虚拟网络构架的整体设计。实际上不需要路由器的网关,局域网能够实现VLAN间的通讯,采用“组VLAN”也能实现虚拟局域网间的访问控制,而且不需要借助ACL的帮助。实际上在默认的情况下,设置VLANID时,本端口仅允许该端口同样VLANID的VLANTAG包通过。