VLAN技术在局域网安全中的应用研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇VLAN技术在局域网安全中的应用研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要: 随着计算机网络的技术发展,很多企业和单位都组建自己的局域网,为了保证网络的可靠运行,局域网的安全就显得很重要。vlan技术可以从逻辑上实现对局域网进行分段,进而解决了局域网面临的很多网络隐患。本文介绍了VLAN技术的基础知识,并重点讨论了VLAN技术在局域网内的架设方案,以及通过VLAN技术能够实现网络安全的应用策略。
Abstract: With the development of computer network technology, many enterprises and units have set up their own local area network, in order to ensure the reliable operation of the network, LAN security is very important. VLAN technology can be achieved from the logic of the LAN segmentation, and thus solve the many network problems facing the LAN. This paper introduces the basic knowledge of VLAN technology, and focuses on the VLAN technology in the LAN within the erection program, and through the VLAN technology to achieve network security application strategy.
关键词: VLAN技术;交换机;局域网;网络安全
Key words: VLAN technology;switch;LAN;network security
中图分类号:TN915.08 文献标识码:A 文章编号:1006-4311(2016)35-0091-02
0 引言
随着互联网技术的发展,网络已经在人们的生活和工作中得到广泛应用,方便了生活,提高工作效率。于是,各个单位都积极进行信息化建设,不断加强单位局域网的建设和管理。同时,随着局域网规模的不断扩大,网络设备和应用也急剧增加,这就会使网络经常出现各种问题,例如网络效率降低和安全性得不到保障等。为了解决这个问题,在局域网中重点解决的就是广播域的隔离,而传统隔离广播域的方法是使用路由器,但路由器存在着价格昂贵、转发数据包的处理速度较慢等问题,所以VLAN(Virtual Local Area Network,虚拟局域网)作为一种有效的网络技术,能够从根本上解决网络效率和安全性能等问题。
1 VLAN技术概述
1.1 VLAN的产生 在传统以太网中,由于没有划分VLAN,使用交换机连接的网络设备处于同一个网段,是一个大的广播域,广播帧占用了大量的带宽,当网络内的计算机数量增加时,广播流量也随之增大,广播流量大到一定程度时,网络速度和通信效率急剧下降,并额外增加了网络主机为处理广播信息所产生的负荷。基于此背景,给网络分段是一个提高网络效率的办法,而此办法就是VLAN技术。同时,由于交换机配备有较多的以太网接口,为在交换机中实现不同网段的广播隔离,产生VLAN交换技术提供了条件。
一个VLAN就是一个网段,通过在交换机上划分VLAN,可以将一个大的局域网划分成若干个网段,每个网段内所有主机间的通信和广播仅限于该VLAN内,广播帧不会被转发到其他网段,这样就实现了对广播域的分割和隔离,保证了局域网的安全。
1.2 VLAN的工作机制 在计算机网络中,数据传输基于OSI七层模型,而交换机就工作于其第二层,即数据链路层。在交换机内部存有一条背部总线和内部交换矩阵,其中,背部总线用于连接交换机的所有端口,内部交换矩阵用于查找数据帧所需传送的目的地址所在端口,查找时是根据MAC地址表进行的[2]。具体来说,交换机通过以下几个步骤完成数据帧的转发:
①初始状态时,交换机在重新启动或手工清除MAC地址表后,MAC地址表没有任何MAC地址的记录。
②当交换机从某个端口收到一个数据帧,它先读取数据帧头中的源MAC地址,这样它就知道了源MAC地址和端口的对应关系,然后查找MAC表,有没有源地址和端口的对应关系,如果没有,则将源地址和端口的对应关系记录到MAC地址表中;如果已经存在,则更新该表项。
③再去读取数据帧头中的目的MAC地址,并在地址表中查找相应的端口。
④如表中有与这目的MAC地址对应的端口,把数据帧直接复制到这端口上;如果目的MAC地址和源MAC地址对应同一个端口,则不转发。
⑤如表中找不到相应的端口则把数据帧广播到除接收端口外的所有端口上,当目的机器对源机器回应时,交换机又可以记录这一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
1.3 VLAN的划分方法 VLAN目前主要是在交换机上划分,可以分为静态VLAN和动态VLAN。静态VLAN就是明确地指定交换机的端口分别属于哪个VLAN,动态VLAN是根据交换机端口上所连接的计算机的情况来决定属于哪个VLAN。通常的划分方式有以下几种:
①基于端口划分VLAN。基于端口划分的VLAN属于静态VLAN,是将交换机上的物理端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
②基于MAC地址划分VLAN。基于MAC地址的VLAN是动态VLAN,就是将MAC地址分成若干个组,使用同一组MAC地址的用户构成一个虚拟局域网。
③基于网络层协议划分VLAN。基于网络层协议的VLAN也是动态,可划分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。
2 VLAN技术在局域网中的实现
在局域网的组建过程中,根据实际应用和VLAN的划分不受网络端口的实际物理位置的限制的特点,VLAN技术在局域网构建中的实现可以分为两种情况,一是同一交换机上VLAN的划分,二是跨交换机上VLAN的划分。
2.1 同交换机上VLAN的划分 如果局域网规模比较小,需要连接网络的用户也比较少,此时连接计算机的交换机可能是同一个,但由于单位内部业务的不同,出于管理便捷和数据保密等方面的考虑,可以在一个交换机上划分出对应的VLAN。在划分之前,网络管理员需要收集局域网内各用户计算机与交换机连接端口信息,并根据业务的不同划分出不同的VLAN,进而提高网络传输性能。此种划分方法的网络拓扑图如图1所示。
同交换机划分VLAN后,能够将接入此交换机的计算机从逻辑上将广播域隔离开,缩小了传播的范围,提高了网络的稳定性和安全性。在实际使用中,如果连接不同VLAN的计算机要进行通信,需要借助外部的路由器来为VLAN指定默认路由。此时路由器和交换机之间要以Trunk链路的方式相连,并在交换机的接口上创建与VLAN对应的逻辑子接口,同时设置逻辑子接口的IP地址,以成为对应VLAN的的默认网关,这样就能实现VLAN之间的路由转发[3]。需要注意的是,路由器上创建的逻辑子接口需要使用802.1Q协议来进行封装,以保证VLAN信息的正常传输。
2.2 跨交换机上VLAN的划分 在实际应用中,通常可以跨越多台交换机的多个端口划分VLAN。比如,同一个部门的员工可能会分在不能的建筑物或不同的楼层中,这时的VLAN将跨越多台交换机。同样,在划分VLAN之前,也需要网络管理员去完成各个部门的人员组成、智能、办公室的位置和用户计算机与交换机的连接端口等信息。据此来对交换机的端口进行配置,划分若干个VLAN。此种划分方法的网络拓扑图如图2所示。
对于跨交换机划分的VLAN,要实现它们之间的通信,必须使用路由器。但是路由器在转发数据包过程中,需要把转发数据包中的目的地址和路由表项进行对比,处理速度较慢,降低了整个网络的效率。因此,出现了将交换机的快速交换能力和路由器的路由寻址能力结合起来的三层交换技术,它解决了局域网中网段划分之后子网必须依赖路由器进行管理的局面,同时也解决了传统路由器低速、复杂所造成的网络瓶颈问题。
3 VLAN技术实现网络安全的应用策略
3.1 实现数据传输加密机制 在实际应用中,用户有时需要在局域网上传输一些保密、关键性的数据。这时,管理员可以对数据的信息源进行加密,即进一步对传送的文件进行加密或对API进行加密,从而提高信息存储的机密性。同时,还需要对数据传输的通道进行加密,利用VLAN技术建立基于公钥或对称密钥的加密体制,用来判断数据在传输过程中的哪一层进行加密,并对传输信道进行加密[4]。
3.2 实现集中化管理机制 VLAN是逻辑划分的,不收物理位置的限制,这样可以灵活构建VLAN。通过集中化的VLAN管理程序,管理员可以确定VLAN分组,并给VLAN分组分配特定用户和交换端口。同时,设置VLAN的安全等级,限制广播域的大小,并通过冗余链路负载分担网络流量,监控VLAN间的通信流量和网络带宽。这样能有效地提高网络管理的可控性、灵活性和监视能力,减轻了管理员的负担,减少了管理的费用。
3.3 实现网络授权和访问机制 在VLAN中,可以提供建立防火墙的机制,管理员可以限制VLAN中用户的数量,禁止未经允许的用户访问VLAN。同时,从用户应用角度看,用户使用的信息管理系统一般采用集中式管理的,所以可以采取其中的授权访问控制模式,根据应用需求的不同来控制不同的用户来访问相应的应用系统。
4 总结
VLAN技术在局域网组建中使用广泛,通过相应的设置可以解决现在大多数局域网面临的网络安全隐患,本给出了VLAN技术在在局域网中的具体实现和安全策略。因此,利用对VLAN技术手段进行合理使用,我们不仅可以完成对资源的有效共享,而且对于网络安全的保障也有着重要的意义。
参考文献:
[1]窦霞.利用VLAN技术组建局域网[J].科技信息,2011(19).
[2]汪永生.园区网建设中VLAN 技术的应用[J].信息与电脑,2015(19).
[3]柳华.VLAN 技术及其在校园网中的应用[J].科技创新与应用,2016(24).
[4]唐年庆,陈晓燕.VLAN技术在企业网络安全中的应用[J].计算机光盘软件与应用,2013(21).