VLAN技術(shù)在局域網(wǎng)安全中的應(yīng)用研究

汪金龍+侯桂云

摘要： 隨著計(jì)算機(jī)網(wǎng)絡(luò)的技術(shù)發(fā)展，很多企業(yè)和單位都組建自己的局域網(wǎng)，為了保證網(wǎng)絡(luò)的可靠運(yùn)行，局域網(wǎng)的安全就顯得很重要。VLAN技術(shù)可以從邏輯上實(shí)現(xiàn)對(duì)局域網(wǎng)進(jìn)行分段，進(jìn)而解決了局域網(wǎng)面臨的很多網(wǎng)絡(luò)隱患。本文介紹了VLAN技術(shù)的基礎(chǔ)知識(shí)，并重點(diǎn)討論了VLAN技術(shù)在局域網(wǎng)內(nèi)的架設(shè)方案，以及通過VLAN技術(shù)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全的應(yīng)用策略。

Abstract： With the development of computer network technology， many enterprises and units have set up their own local area network， in order to ensure the reliable operation of the network， LAN security is very important. VLAN technology can be achieved from the logic of the LAN segmentation， and thus solve the many network problems facing the LAN. This paper introduces the basic knowledge of VLAN technology， and focuses on the VLAN technology in the LAN within the erection program， and through the VLAN technology to achieve network security application strategy.

關(guān)鍵詞： VLAN技術(shù)；交換機(jī)；局域網(wǎng)；網(wǎng)絡(luò)安全

Key words： VLAN technology；switch；LAN；network security

中圖分類號(hào)：TN915.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-4311（2016）35-0091-02

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)在人們的生活和工作中得到廣泛應(yīng)用，方便了生活，提高工作效率。于是，各個(gè)單位都積極進(jìn)行信息化建設(shè)，不斷加強(qiáng)單位局域網(wǎng)的建設(shè)和管理。同時(shí)，隨著局域網(wǎng)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)設(shè)備和應(yīng)用也急劇增加，這就會(huì)使網(wǎng)絡(luò)經(jīng)常出現(xiàn)各種問題，例如網(wǎng)絡(luò)效率降低和安全性得不到保障等。為了解決這個(gè)問題，在局域網(wǎng)中重點(diǎn)解決的就是廣播域的隔離，而傳統(tǒng)隔離廣播域的方法是使用路由器，但路由器存在著價(jià)格昂貴、轉(zhuǎn)發(fā)數(shù)據(jù)包的處理速度較慢等問題，所以VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）作為一種有效的網(wǎng)絡(luò)技術(shù)，能夠從根本上解決網(wǎng)絡(luò)效率和安全性能等問題。

1 VLAN技術(shù)概述

1.1 VLAN的產(chǎn)生 在傳統(tǒng)以太網(wǎng)中，由于沒有劃分VLAN，使用交換機(jī)連接的網(wǎng)絡(luò)設(shè)備處于同一個(gè)網(wǎng)段，是一個(gè)大的廣播域，廣播幀占用了大量的帶寬，當(dāng)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)數(shù)量增加時(shí)，廣播流量也隨之增大，廣播流量大到一定程度時(shí)，網(wǎng)絡(luò)速度和通信效率急劇下降，并額外增加了網(wǎng)絡(luò)主機(jī)為處理廣播信息所產(chǎn)生的負(fù)荷?；诖吮尘埃o網(wǎng)絡(luò)分段是一個(gè)提高網(wǎng)絡(luò)效率的辦法，而此辦法就是VLAN技術(shù)。同時(shí)，由于交換機(jī)配備有較多的以太網(wǎng)接口，為在交換機(jī)中實(shí)現(xiàn)不同網(wǎng)段的廣播隔離，產(chǎn)生VLAN交換技術(shù)提供了條件。

一個(gè)VLAN就是一個(gè)網(wǎng)段，通過在交換機(jī)上劃分VLAN，可以將一個(gè)大的局域網(wǎng)劃分成若干個(gè)網(wǎng)段，每個(gè)網(wǎng)段內(nèi)所有主機(jī)間的通信和廣播僅限于該VLAN內(nèi)，廣播幀不會(huì)被轉(zhuǎn)發(fā)到其他網(wǎng)段，這樣就實(shí)現(xiàn)了對(duì)廣播域的分割和隔離，保證了局域網(wǎng)的安全。

1.2 VLAN的工作機(jī)制 在計(jì)算機(jī)網(wǎng)絡(luò)中，數(shù)據(jù)傳輸基于OSI七層模型，而交換機(jī)就工作于其第二層，即數(shù)據(jù)鏈路層。在交換機(jī)內(nèi)部存有一條背部總線和內(nèi)部交換矩陣，其中，背部總線用于連接交換機(jī)的所有端口，內(nèi)部交換矩陣用于查找數(shù)據(jù)幀所需傳送的目的地址所在端口，查找時(shí)是根據(jù)MAC地址表進(jìn)行的[2]。具體來說，交換機(jī)通過以下幾個(gè)步驟完成數(shù)據(jù)幀的轉(zhuǎn)發(fā)：

①初始狀態(tài)時(shí)，交換機(jī)在重新啟動(dòng)或手工清除MAC地址表后，MAC地址表沒有任何MAC地址的記錄。

②當(dāng)交換機(jī)從某個(gè)端口收到一個(gè)數(shù)據(jù)幀，它先讀取數(shù)據(jù)幀頭中的源MAC地址，這樣它就知道了源MAC地址和端口的對(duì)應(yīng)關(guān)系，然后查找MAC表，有沒有源地址和端口的對(duì)應(yīng)關(guān)系，如果沒有，則將源地址和端口的對(duì)應(yīng)關(guān)系記錄到MAC地址表中；如果已經(jīng)存在，則更新該表項(xiàng)。

③再去讀取數(shù)據(jù)幀頭中的目的MAC地址，并在地址表中查找相應(yīng)的端口。

④如表中有與這目的MAC地址對(duì)應(yīng)的端口，把數(shù)據(jù)幀直接復(fù)制到這端口上；如果目的MAC地址和源MAC地址對(duì)應(yīng)同一個(gè)端口，則不轉(zhuǎn)發(fā)。

⑤如表中找不到相應(yīng)的端口則把數(shù)據(jù)幀廣播到除接收端口外的所有端口上，當(dāng)目的機(jī)器對(duì)源機(jī)器回應(yīng)時(shí)，交換機(jī)又可以記錄這一目的MAC地址與哪個(gè)端口對(duì)應(yīng)，在下次傳送數(shù)據(jù)時(shí)就不再需要對(duì)所有端口進(jìn)行廣播了。

1.3 VLAN的劃分方法 VLAN目前主要是在交換機(jī)上劃分，可以分為靜態(tài)VLAN和動(dòng)態(tài)VLAN。靜態(tài)VLAN就是明確地指定交換機(jī)的端口分別屬于哪個(gè)VLAN，動(dòng)態(tài)VLAN是根據(jù)交換機(jī)端口上所連接的計(jì)算機(jī)的情況來決定屬于哪個(gè)VLAN。通常的劃分方式有以下幾種：

①基于端口劃分VLAN?；诙丝趧澐值腣LAN屬于靜態(tài)VLAN，是將交換機(jī)上的物理端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。

②基于MAC地址劃分VLAN?；贛AC地址的VLAN是動(dòng)態(tài)VLAN，就是將MAC地址分成若干個(gè)組，使用同一組MAC地址的用戶構(gòu)成一個(gè)虛擬局域網(wǎng)。

③基于網(wǎng)絡(luò)層協(xié)議劃分VLAN?；诰W(wǎng)絡(luò)層協(xié)議的VLAN也是動(dòng)態(tài)，可劃分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。

2 VLAN技術(shù)在局域網(wǎng)中的實(shí)現(xiàn)

在局域網(wǎng)的組建過程中，根據(jù)實(shí)際應(yīng)用和VLAN的劃分不受網(wǎng)絡(luò)端口的實(shí)際物理位置的限制的特點(diǎn)，VLAN技術(shù)在局域網(wǎng)構(gòu)建中的實(shí)現(xiàn)可以分為兩種情況，一是同一交換機(jī)上VLAN的劃分，二是跨交換機(jī)上VLAN的劃分。

2.1 同交換機(jī)上VLAN的劃分 如果局域網(wǎng)規(guī)模比較小，需要連接網(wǎng)絡(luò)的用戶也比較少，此時(shí)連接計(jì)算機(jī)的交換機(jī)可能是同一個(gè)，但由于單位內(nèi)部業(yè)務(wù)的不同，出于管理便捷和數(shù)據(jù)保密等方面的考慮，可以在一個(gè)交換機(jī)上劃分出對(duì)應(yīng)的VLAN。在劃分之前，網(wǎng)絡(luò)管理員需要收集局域網(wǎng)內(nèi)各用戶計(jì)算機(jī)與交換機(jī)連接端口信息，并根據(jù)業(yè)務(wù)的不同劃分出不同的VLAN，進(jìn)而提高網(wǎng)絡(luò)傳輸性能。此種劃分方法的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

同交換機(jī)劃分VLAN后，能夠?qū)⒔尤氪私粨Q機(jī)的計(jì)算機(jī)從邏輯上將廣播域隔離開，縮小了傳播的范圍，提高了網(wǎng)絡(luò)的穩(wěn)定性和安全性。在實(shí)際使用中，如果連接不同VLAN的計(jì)算機(jī)要進(jìn)行通信，需要借助外部的路由器來為VLAN指定默認(rèn)路由。此時(shí)路由器和交換機(jī)之間要以Trunk鏈路的方式相連，并在交換機(jī)的接口上創(chuàng)建與VLAN對(duì)應(yīng)的邏輯子接口，同時(shí)設(shè)置邏輯子接口的IP地址，以成為對(duì)應(yīng)VLAN的的默認(rèn)網(wǎng)關(guān)，這樣就能實(shí)現(xiàn)VLAN之間的路由轉(zhuǎn)發(fā)[3]。需要注意的是，路由器上創(chuàng)建的邏輯子接口需要使用802.1Q協(xié)議來進(jìn)行封裝，以保證VLAN信息的正常傳輸。

2.2 跨交換機(jī)上VLAN的劃分 在實(shí)際應(yīng)用中，通?？梢钥缭蕉嗯_(tái)交換機(jī)的多個(gè)端口劃分VLAN。比如，同一個(gè)部門的員工可能會(huì)分在不能的建筑物或不同的樓層中，這時(shí)的VLAN將跨越多臺(tái)交換機(jī)。同樣，在劃分VLAN之前，也需要網(wǎng)絡(luò)管理員去完成各個(gè)部門的人員組成、智能、辦公室的位置和用戶計(jì)算機(jī)與交換機(jī)的連接端口等信息。據(jù)此來對(duì)交換機(jī)的端口進(jìn)行配置，劃分若干個(gè)VLAN。此種劃分方法的網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

對(duì)于跨交換機(jī)劃分的VLAN，要實(shí)現(xiàn)它們之間的通信，必須使用路由器。但是路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包過程中，需要把轉(zhuǎn)發(fā)數(shù)據(jù)包中的目的地址和路由表項(xiàng)進(jìn)行對(duì)比，處理速度較慢，降低了整個(gè)網(wǎng)絡(luò)的效率。因此，出現(xiàn)了將交換機(jī)的快速交換能力和路由器的路由尋址能力結(jié)合起來的三層交換技術(shù)，它解決了局域網(wǎng)中網(wǎng)段劃分之后子網(wǎng)必須依賴路由器進(jìn)行管理的局面，同時(shí)也解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。

3 VLAN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全的應(yīng)用策略

3.1 實(shí)現(xiàn)數(shù)據(jù)傳輸加密機(jī)制 在實(shí)際應(yīng)用中，用戶有時(shí)需要在局域網(wǎng)上傳輸一些保密、關(guān)鍵性的數(shù)據(jù)。這時(shí)，管理員可以對(duì)數(shù)據(jù)的信息源進(jìn)行加密，即進(jìn)一步對(duì)傳送的文件進(jìn)行加密或?qū)PI進(jìn)行加密，從而提高信息存儲(chǔ)的機(jī)密性。同時(shí)，還需要對(duì)數(shù)據(jù)傳輸?shù)耐ǖ肋M(jìn)行加密，利用VLAN技術(shù)建立基于公鑰或?qū)ΨQ密鑰的加密體制，用來判斷數(shù)據(jù)在傳輸過程中的哪一層進(jìn)行加密，并對(duì)傳輸信道進(jìn)行加密[4]。

3.2 實(shí)現(xiàn)集中化管理機(jī)制 VLAN是邏輯劃分的，不收物理位置的限制，這樣可以靈活構(gòu)建VLAN。通過集中化的VLAN管理程序，管理員可以確定VLAN分組，并給VLAN分組分配特定用戶和交換端口。同時(shí)，設(shè)置VLAN的安全等級(jí)，限制廣播域的大小，并通過冗余鏈路負(fù)載分擔(dān)網(wǎng)絡(luò)流量，監(jiān)控VLAN間的通信流量和網(wǎng)絡(luò)帶寬。這樣能有效地提高網(wǎng)絡(luò)管理的可控性、靈活性和監(jiān)視能力，減輕了管理員的負(fù)擔(dān)，減少了管理的費(fèi)用。

3.3 實(shí)現(xiàn)網(wǎng)絡(luò)授權(quán)和訪問機(jī)制 在VLAN中，可以提供建立防火墻的機(jī)制，管理員可以限制VLAN中用戶的數(shù)量，禁止未經(jīng)允許的用戶訪問VLAN。同時(shí)，從用戶應(yīng)用角度看，用戶使用的信息管理系統(tǒng)一般采用集中式管理的，所以可以采取其中的授權(quán)訪問控制模式，根據(jù)應(yīng)用需求的不同來控制不同的用戶來訪問相應(yīng)的應(yīng)用系統(tǒng)。

4 總結(jié)

VLAN技術(shù)在局域網(wǎng)組建中使用廣泛，通過相應(yīng)的設(shè)置可以解決現(xiàn)在大多數(shù)局域網(wǎng)面臨的網(wǎng)絡(luò)安全隱患，本給出了VLAN技術(shù)在在局域網(wǎng)中的具體實(shí)現(xiàn)和安全策略。因此，利用對(duì)VLAN技術(shù)手段進(jìn)行合理使用，我們不僅可以完成對(duì)資源的有效共享，而且對(duì)于網(wǎng)絡(luò)安全的保障也有著重要的意義。

參考文獻(xiàn)：

[1]竇霞.利用VLAN技術(shù)組建局域網(wǎng)[J].科技信息，2011（19）.

[2]汪永生.園區(qū)網(wǎng)建設(shè)中VLAN 技術(shù)的應(yīng)用[J].信息與電腦，2015（19）.

[3]柳華.VLAN 技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].科技創(chuàng)新與應(yīng)用，2016（24）.

[4]唐年慶，陳曉燕.VLAN技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013（21）.