基于PT6.1.1的VLAN技術(shù)在校園網(wǎng)中的安全性研究

胡元闖 盧利莉 朱漢武

摘 要：本文基于Cisco Packet Tracer仿真模擬軟件，以賀州學院為例，主要采用分層網(wǎng)絡設計和VLAN技術(shù)相結(jié)合對校園網(wǎng)進行設計，并在Cisco Packet Tracer上進行模擬仿真驗證。主要實現(xiàn)的功能有：采用分層網(wǎng)絡設計的方法來設計校園網(wǎng)的拓撲結(jié)構(gòu)，同時在相應的層次進行冗余設計對鏈路和設備進行冗余；利用VLAN技術(shù)對校園網(wǎng)的廣播域進行分割以防止廣播風暴，采用三層交換技術(shù)實現(xiàn)VLAN間的通信。仿真測試結(jié)果表明，采用分層網(wǎng)絡設計和VLAN技術(shù)相結(jié)合的方法對校園網(wǎng)進行設計，可以實現(xiàn)網(wǎng)絡的冗余設計和網(wǎng)絡廣播域的分割，能滿足校園網(wǎng)高性能、高可靠、高安全的需求。

關鍵詞：校園網(wǎng)；虛擬局域網(wǎng)（VLAN）；分層網(wǎng)絡；安全性

傳統(tǒng)的共享式網(wǎng)絡被交換式網(wǎng)絡取代后，網(wǎng)絡性能得到了很大提高，但是隨著網(wǎng)絡的規(guī)模不斷擴大和交換機的大量應用，也導致了新的難題出現(xiàn)。因為交換機不能隔離廣播域，且它對廣播幀的處理方式是泛洪即交換機接收到廣播幀時，會將該廣播幀轉(zhuǎn)發(fā)到除了接收端口之外的所有端口。所以隨著網(wǎng)絡規(guī)模的不斷擴大和交換機的廣泛使用將會導致廣播域的范圍不斷增大，廣播幀的數(shù)量不斷增加，帶寬被大量的占據(jù)，延時增長，嚴重時會造成全網(wǎng)堵塞甚至網(wǎng)絡停運癱瘓，這種情況被人們稱為廣播風暴[1]。要解決廣播風暴帶來的問題就必須想辦法隔離廣播域。

VALN技術(shù)[2]是一種允許一組有共同需求但物理位置不同的網(wǎng)絡用戶共享一個獨立的廣播域的技術(shù)。VLAN技術(shù)可以根據(jù)網(wǎng)絡用戶的位置、功能、職能或者網(wǎng)絡用戶所使用的應用程序或協(xié)議將其劃分到不同的VLAN中，同一VLAN中的網(wǎng)絡用戶通過VLAN協(xié)議可以直接進行通信，不同VLAN的網(wǎng)絡用戶則需要經(jīng)通過路由器或者第三層交換機進行通信。使用VLAN技術(shù)主要有以下優(yōu)點[3]：1、安全：含有敏感數(shù)據(jù)或者信息需要保密的用戶組可以和網(wǎng)絡的其他部分隔離開，從而降低泄露重要信息的風險；2、降低成本：成本昂貴的網(wǎng)絡更新或者升級需求減少，原有的上行鏈路和帶寬的利用率增加，因此可節(jié)約網(wǎng)絡建設所需的投資成本；3、提高網(wǎng)絡性能：將第二層平面網(wǎng)絡分割成多個廣播域來減少網(wǎng)絡上多余的流量，有利于網(wǎng)絡性能的提高；4、廣播風暴的防范：將整個網(wǎng)絡劃分為多個VALN可以減少參與廣播風暴的設備數(shù)量，而局域網(wǎng)（LAN）分段能有效防止廣播風暴殃及整個網(wǎng)絡；5、簡化網(wǎng)絡管理和維護：由于將有相同需求的網(wǎng)絡用戶劃分到同一個VLAN中，所以當管理員要給某一個VALN添加一臺新的交換機時，之前給該VLAN配置的所有規(guī)程和策略基本上都可以應用在新交換機指定了該VLAN的端口上。另外，還可以根據(jù)VLAN實現(xiàn)的功能，給其設定一個適當?shù)拿Q，讓管理員一看便知該VLAN實現(xiàn)的功能。

一、VLAN技術(shù)原理

（一）VLAN的劃分方法。VLAN的劃分方法有：1、基于端口劃分的VLAN：是指將交換機的端口劃分到不同的VLAN，它的實現(xiàn)建立在物理層；2、基于MAC地址劃分的VLAN：是指根據(jù)每個接入網(wǎng)絡的主機的MAC地址進行劃分的，它的實現(xiàn)建立在數(shù)據(jù)鏈路層；3、基于協(xié)議劃分的VLAN：是指根據(jù)每個主機的網(wǎng)絡層地址或協(xié)議類型進行劃分的，它的實現(xiàn)建立在第三層；4、基于IP組播劃分的VLAN：是指一個組播組就是一個VLAN，它的實現(xiàn)建立在第三層[4]。

（二）VLAN的實現(xiàn)原理。為實現(xiàn)VLAN在局域網(wǎng)中的應用，就必須使用VLAN中繼，VLAN中繼的作用是指定VLAN內(nèi)網(wǎng)絡的不同部分之間傳送流量，簡單的說，就是在單個鏈路上負責多個VLAN流量的傳輸。而且VLAN中繼不屬于具體某個VLAN，而是作為VLAN在交換機上的管道 它存在讓VLAN的應用擴展到整個網(wǎng)絡上。

VLAN中繼是在普通以太網(wǎng)幀中用801.2Q對幀頭進行封裝，以指出被封裝的幀屬于哪個VLAN。

封裝后的VLAN幀格式如圖1所示。

（三）VLAN的標簽交換。由于VLAN重新劃分了物理局域網(wǎng)成員的邏輯連接關系，所以，原本處于同一個IP子網(wǎng)或者連接在同一個交換機的主機間的通信受到了限制。VLAN成員之間的尋址方式不再簡單地按照橋接方式的MAC地址或是路由方式的IP地址進行。VLAN幀在網(wǎng)絡互連設備中的轉(zhuǎn)發(fā)是根據(jù)VLAN標簽中的尋址結(jié)構(gòu)VID進行，這就是VLAN標簽交換的含義。

VLAN標簽交換包含以下三個方面的基本工作：1、網(wǎng)絡互聯(lián)設備要給物理局域網(wǎng)普通幀貼上VLAN標簽。該VLAN標簽由IEEE 802.1Q標準規(guī)定；2、網(wǎng)絡互連設備要建立好VID與端口間的關聯(lián)。VID與端口間的關聯(lián)由GARP（組地址解析協(xié)議）或者VRMP（VLAN成員關系解析協(xié)議） 協(xié)議實現(xiàn)；3、網(wǎng)絡互連設備根據(jù)VID與端口間的關聯(lián)，把攜帶某個VID的VLAN幀 從與該VID關聯(lián)的端口轉(zhuǎn)發(fā)出去。

圖2所示的是目的主機與源主機在同一交換機上時VLAN標簽的交換過程，即當數(shù)據(jù)到達進入端口時，根據(jù)進入端口的入口規(guī)則決定是否接收此數(shù)據(jù)；如果接收，則再根據(jù)出口規(guī)則決定是否應該轉(zhuǎn)發(fā)此數(shù)據(jù)。如果決定轉(zhuǎn)發(fā)，就查閱VMIB信息來把數(shù)據(jù)轉(zhuǎn)發(fā)到目的VLAN相對應的端口。在其他情況下，則把數(shù)據(jù)丟棄。

二、校園網(wǎng)中的VLAN設計

（一）校園網(wǎng)中VLAN的設計原則

校園網(wǎng)是一個較大的局域網(wǎng)，而校園網(wǎng)中的各職能部門和實體（如用于教學的樓宇、宿舍）需要建立二級局域網(wǎng)。對多個二級局域網(wǎng)互連時，出于對實體和各職能部門的安全、管理和整體網(wǎng)絡性能的考慮，需要對各二級局域網(wǎng)進行即獨立又統(tǒng)一的管理，那么就需要用到VLAN技術(shù)，所以VLAN技術(shù)非常適合應用在校園網(wǎng)的建設中。

（二）校園網(wǎng)中VLAN的IP規(guī)劃

結(jié)合賀州學院的實際情況，根據(jù)學校中的各職能部門和不同實體實現(xiàn)的功能將整個校園網(wǎng)劃分為多干個VLAN，每個VLAN都有屬于自己的VID和VLAN名稱，每個VLAN都有自己的對應的IP地址范圍、子網(wǎng)掩碼和網(wǎng)管地址。且每個VLAN的前10個IP地址保留下來供路由器接口、服務器、本地打印機、交換機管理和默認網(wǎng)關使用除服務器所在的VLAN的IP地址是管理員手動配置外，其他VLAN中主機的IP地址都是通過DHCP（動態(tài)主機配置協(xié)議）來獲取。

根據(jù)賀州學院當前各部門的情況，劃分的vlan涉及36個部門，網(wǎng)絡地址采用172.16的私有地址，采用變長子網(wǎng)掩碼，掩碼從22位到30位不等，各個vlang根據(jù)實際需要劃分。并配置好相應網(wǎng)關。

（三）網(wǎng)絡拓撲結(jié)構(gòu)設計

賀州學院采用的是分層網(wǎng)絡設計即核心層、匯聚層、接入層，核心層到匯聚層是第一個星型，匯聚層到接入層是第二個星型，因此校園網(wǎng)的拓撲結(jié)構(gòu)為樹形結(jié)構(gòu)。如下圖3所示是根據(jù)賀州學院的地理分布所設計的拓撲結(jié)構(gòu)，核心層交換設備樹形結(jié)構(gòu)的第一層，匯聚層交換設備為樹形結(jié)構(gòu)的第二層，接入層交換設備則是樹形結(jié)構(gòu)的第三層。

三、網(wǎng)絡配置與測試

（一）網(wǎng)絡設備配置

在進行交換機和路由器的配置后，對服務器進行配置，過程如下：

1、DNS服務器配置如圖4所示。

2、對WEB服務器、FTP服務器及Email服務器進行配置。

（二）網(wǎng)絡測試

1、網(wǎng)絡測試的目的和原則

網(wǎng)絡測試指的是在基礎設施部署完成后，根據(jù)設計方案對網(wǎng)絡設備進行配置，配置完成后對網(wǎng)絡的功能和性能進行測試的過程。本文使用Cisc Packet Tracer仿真模擬軟件進行模擬仿真測試，以檢驗所建設的校園網(wǎng)是否滿足用戶需求和技術(shù)目標，以及時發(fā)現(xiàn)問題，排除隱患，保證網(wǎng)絡的正常運行。

2、網(wǎng)絡測試的內(nèi)容

網(wǎng)絡測試的主要內(nèi)容包括：

（1）自動獲取IP測試：除個別VLAN手動設置外，其他VLAN中的主機自動獲取IP；

（2）連通性測試：利用ping對同一VLAN內(nèi)的主機進行連通性測試；對不同VLAN內(nèi)的主機的連通性進行測試；對安全有特殊要求的主機進行連通性測試（財務部所在VLAN的主機不允許其他VLAN的主機進行訪問）；

（3）訪問服務器測試：各VLAN內(nèi)的主機對服務器的訪問測試，但個別有特殊要求的VLAN不能訪問某些服務器。

3、網(wǎng)絡測試工具

（1）查看網(wǎng)絡接口的工具ipconfig；

（2）測試網(wǎng)絡連通狀態(tài)工具ping；

（3）用戶訪問FTP服務器工具ftp。

4、網(wǎng)絡測試過程

（1）圖5顯示為教學樓主機PC1或設備自動從內(nèi)部DHCP服務器獲取IP相關信息。

（2）測試教學樓主機教PC1對教學樓主機教PC2進行ping測試ping成功；圖10顯示為教學樓主機PC1對藝術(shù)樓主機PC3進行ping測試ping成功；圖11顯示為教學樓主機PC1對財務部主機進行ping測試ping失敗。

（3）測試教學樓PC1能夠通過DNS服務器解析域名之后正常訪問內(nèi)部WEB服務器；教PC1直接在瀏覽器打上WEB服務器地址后能夠正常訪問WEB頁面。

（4）測試FTP服務器、Email服務器可以正常訪問。

四、結(jié)論

本文以賀州學院校園網(wǎng)建設為背景，采用分層網(wǎng)絡和VLAN相結(jié)合的方法對校園網(wǎng)進行設計，使用Cisco Packet Tracer仿真模擬器對賀州學院校園網(wǎng)進行仿真模擬，最終實現(xiàn)以下主要功能：

1、VLAN的劃分：根據(jù)職能部門的功能對校園網(wǎng)進行了VLAN的劃分，不僅突破了地理位置的局限，還實現(xiàn)了廣播域的切割，防止廣播風暴的產(chǎn)生。

2、VLAN的通信：同一VLAN內(nèi)的主機通過第二層交換實現(xiàn)通信，不同VLAN內(nèi)的主機通過第三層路由功能實現(xiàn)通信。

3、VLAN的管理：通過VTP對VLAN進行管理，同一VTP域內(nèi)的交換機，通過服務器模式的交換機對域進行管理和配置，客戶端的交換機只能更新VTP配置，而透明模式的交換機只管理本地VLAN的配置且不與VTP網(wǎng)絡共享。實現(xiàn)整個網(wǎng)絡的VLAN配置保持一致。

4、PVST+防止二層環(huán)路：網(wǎng)絡要實現(xiàn)二層冗余，就要使用相應的辦法避免二層環(huán)路的產(chǎn)生。PVST+利用每個VLAN運行一個STP實例，來選擇性的阻塞流量，實現(xiàn)二層環(huán)路的避免和負載均衡。

通過測試驗證，結(jié)果表明，以賀州學院為研究背景所設計的校園網(wǎng)基本能夠滿足用戶是需求。

參考文獻：

[1]沈海娟.路由與交換[M].浙江：浙江大學出版社，2012.1：38

[2]喬輝，劉曉輝，張新明.網(wǎng)絡硬件搭建與配置實踐（第三版）[M].北京：電子工業(yè)出版社，2012.5：135.

[3]韓茂玲.VLAN技術(shù)及其在校園網(wǎng)中的應用研究[D].中國知網(wǎng)，2007.11：33

[4]李永忠.計算機網(wǎng)絡測試與維護[M].西安：西安電子科技大學出版社，2011.9：150-153.

基金項目：2014年國家級大學生創(chuàng)新創(chuàng)業(yè)訓練計劃項目“VLAN技術(shù)在高校校園網(wǎng)中的應用研究”，項目編號：（201411838005）；賀州學院2014年度大學生科研項目“高校機房網(wǎng)絡安全性研究”，項目編號：（2014DXSZK10）。