浅谈VLAN技术在提高企业局域网内安全性中的应用.doc

浅谈VLAN技术在提高企业局域网内安全性中的应用1. 引言随着企业技术的不断提高和管理水平的提升，企业局域网规模不断扩大，众多企业在扩展网络规模时采用了在原有的网络上直接增加计算机的方法来实现，随之而来的就是网络体系变得越来越复杂，对网络的管理也变得越来越困难，企业收发数据的安全性能也变得越来越低。为了保护知识产权，构建行之有效的管理网络和提高企业局域网的安全性能成为现今企业局域网亟待解决的问题。采用VLAN方式划分网络体系能够让管理员更加方便有效的管理企业网络，进一步增强企业局域网的安全性能。2. VLAN 技术2.1 VLAN的定义VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用在有VLAN协议的第三层以上交换机之中。它是一种不需要增加额外网络设备，就可以实现网络的分层技术，在局域网中广泛使用。VLAN技术的基本原理是:把不同站点的物理位置,按照功能、应用分为不同的逻辑子网,广播信息只发给子网内成员, VLAN之间的通信需要路由实现。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN可以允许网络管理员取消过去的物理限制，并对用户的第3层网络地址进行控制，而不管它处在网络中的哪个位置。2.2 VLAN与企业安全性V L A N的优势包括加强网络的安全性能、易于控制广播和能够分布通信量。网络的安全性能对于企业来讲是尤为重要，它几乎是企业的命脉。VLAN就是不考虑用户的物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，而不同VLAN之间广播信息是相互隔离的。因为VLAN逻辑子网之间逻辑上相互隔离，可以把需要访问保密信息的用户与普通用户区别开，所以避免了重要数据的泄漏和遭受外界的侵害，进而保护了信息的安全。VLAN技术允许网络管理者将一个物理的局域网逻辑地址划分成不同的广播域，每一个VLAN都是按照企业的一个职能部门来划分，包含着一组具有相同工作特点的计算机。它是按功能划分而不是按物理划分，同一个VLAN内的各个计算机无须被放置在同一个物理空间里，这些计算机可以不属于同一个物理局域网网段，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。因此使用VLAN技术可以控制流量，减少设备投资，简化网络管理，尤其是提高网络的安全性。2.3 VLAN的划分不同VLAN的通信可通过路由设备设置安全和过滤功能，通过不同的VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN中，从而提高交换式网络的整体性能和安全性。VLAN的划分如下：（1）基于端口划分基于端口划分VLAN是一种最常应用的VLAN划分方法，应用也最为广泛有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。这样就可以实现每个网段通讯独立，网段与网段之间不能互相访问，从而提高局域网内的安全性。（2）基于MAC地址划分这种划分的VLAN根据主机的MAC地址来划分,因此所有的用户必须明确的分配一个VLAN。这种方式的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时， VLAN不用重新配置,自动保留其所属VLAN 组的成员身份。这种方式的缺点是VLAN初始化时,所有的用户必须明确的分配一个VLAN，对于大型网络，配置的工作量非常大。此外，由于每个端口可能存在多个VLAN成员，增加了广播包的数量，降低了交换机的执行效率。（3）基于网络层协议划分VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AappleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。（4）根据IP组播划分IP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。（5）按策略划分以及按用户定义基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。（6）按用户定义、非用户授权划分基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。本文主要以基于端口划分为例。3. VLAN的配置实例下面就企业局域网VLAN的划分与配置作以详尽的描述。我们就以cisco交换机一台C3550及三台C2950为例来说明。整个局域网内有五个部门，这五个部门分别为计算机室、产品设计室1、产品设计室2、产品设计室3、技术准备处。除了对整个局域网进行管理与控制的计算机室外，其余四个部门因为不同的研发方向而互相独立。那么，出于对企业数据安全性能的考虑，我们把整个局域网基于交换机端口划分为五个网段：计算机室因为具有特殊职能，所以它所属的计算机被划分在VLAN1中，VLAN1是默认网段，它具有最高权限，可以和所有网段的计算机进行访问，这样管理起来就更加方便有效；产品设计室1划分在VLAN2中，产品设计室2划分在VLAN3中，产品设计室3划分在VLAN4中，技术准备处划分在VLAN5中。通过VLAN的划分，各VLAN组所对应的网段如表1所示。表1 VLAN信息表VLAN号VLAN名端口号1Guanlish（计算机室）C3550：682Shejishi1（产品设计室1）C3550：12263Shejishi2（产品设计室2）C3550：2734 C2950-1：6124Shejishi3（产品设计室3）C2950-1：1520 C2950-2：6185Jishizhunbei（技术准备处）C2950-3：616C3550C2950-1C2950-2C2950-3 pc1pc2pc3（计算机室）.pc53pc54pc63(技术准备处).pc34pc35pc52(产品设计室3).pc19pc20pc33(产品设计室2).pc4pc5pc18(产品设计室1)（图2：企业局域网拓扑图）VLAN在局域网中的基本配置方法：（1）为各VLAN组命名，在VLAN数据库配置模式下，开始创建VLAN，具体的配置指令如下：C3550enableC3550#config tC3550 (config)#vlan 1 name GuanlishiC3550 (config)#vlan 2 name Shejishi1C3550 (config)#vlan 3 name Shejishi2其它交换机类似：C2950-1enableC2950-1#config tC2950-1 (config)#vlan 4 name Shejishi3C2950-3enableC2950-3#config tC2950-3(config)#vlan 4 name Jishizhunbei注：以上规则是按表1规则进行的。（2）把相应的VLAN对应到相应的交换机端口：C3550enableC3550#config tC3550 (config)#interface range fa0/12-26C3550 (config-if-range)#switchport access vlan 2C3550 (config-if-range)#exitC3550 (config)#interface range fa0/27-34C3550 (config-if-range)#switchport access vlan 3C3550 (config-if-range)#exit之所以没有配置VLAN1，是因为VLAN1是默认网段，无归属的端口都将默认在VLAN1中。C3550的端口就配置完成了。其它交换机的配置也类似。把VLAN都定义到了相应交换机的端口上之后，为了验证我们的配置，可以在特权模式使用show vlan命令显示出刚才所做的配置，检查一下是否正确。如果，产品设计室1的人员（假设他的计算机所对应的交换机C3550的端口号为18）调入产品设计室2中，那么他所在的网段就要变成相应的VLAN3，其配置如下：C3550enableC3550#config tC3550 (config)#default interface fa0/18C3550 (config)#interface f0/18