VLAN技术网络安全

VLAN技术网络安全（通用12篇）

VLAN技术网络安全 篇1

0 引言

局域网作为整个网络的基础, 应用非常广泛, 但是局域网在技术上存在一定的缺陷。目前的局域网基本上都采用以广播为技术基础的以太网, 任何两个节点之间的通信数据包, 不仅为这两个节点的网卡所接收, 也同时为处在同一以太网上的任何一个节点的网卡所截取。因此, 黑客只要接入以太网上的任一节点进行侦听, 就可以捕获发生在这个以太网上的所有数据包, 对其进行解包分析, 从而窃取关键信息, 这就是以太网所固有的安全隐患。另外, 由于局域网采取广播的通信方式, 很容易造成广播风暴。而与物理位置无关的逻辑工作组虚拟局域网VLAN (Virtual LAN) 技术则可以很好地解决这个问题。

1 VLAN技术概述

在IEEE 802.1Q标准中对虚拟局域网VLAN是这样定义的:虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组, 而这些网段具有某些共同的需求。每一个VLAN的帧都有一个明确的标识符, 指明发送这个帧的工作站是属于哪一个VLAN。

通过VLAN的定义可知, 虚拟局域网是用户和网络资源的逻辑组合, 只是局域网给用户提供的一种服务, 而并不是一种新型局域网。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域 (或称虚拟LAN, 即VLAN) , 每一个VLAN都包含一组有着相同需求的计算机工作站, 与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分, 所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里, 即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中, 即使是两台计算机有着同样的网段, 但是它们却没有相同的VLAN号, 它们各自的广播流也不会相互转发, 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

2 VLAN的划分方式

从技术角度讲, VLAN的划分可依据不同原则, 一般有以下几种划分方法。

2.1 基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组, 这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可, 不用考虑该端口所连接的设备。分配到同一VLAN的各网段上的所有节点都在同一个广播域中, 可以直接通信, 不同VLAN节点间的通信则需要通过路由器或三层交换机 (就是支持三层路由协议的交换机) 进行。

2.2 基于MAC地址的VLAN划分

M A C地址其实就是指网卡的标识符, 每一块网卡的M A C地址都是惟一且固化在网卡上的。网络管理员可按MAC地址把一些站点划分为一个逻辑子网, 使得网络节点不会因为地理位置的变化而改变其所属的网络, 从而解决了网络节点的变更问题。对于连接于交换机的工作站来说, 在它们初始化时, 相应的交换机要在VLAN的管理信息库MIB中检查MAC地址, 从而动态地匹配该端口到相应的VLAN中。这在网络规模较小时不失为一个好的方法, 但随着网络规模的扩大, 网络设备、用户的增加, 就会在很大程度上加大网络管理的难度。

2.3 基于路由的VLAN划分

路由协议工作在网络层, 即基于IP协议和IPX协议的转发, 相应的工作设备有路由器和路由交换机 (即三层交换机) 。根据IP子网、IPX网络号及其他一些协议来划分VLAN, 同一协议的工作站划分为一个VLAN, 该方式容许一个VLAN跨越多个交换机, 或一个端口位于多个VLAN中, 不但大大减少人工配置VLAN的工作量, 而且可以保证用户自由地增加、移动和修改, 增加了VLAN的灵活性。

2.4 基于策略的VLAN

基于策略的V L A N划分是最灵活有效的V L A N划分方式, 具有自动配置的能力, 在逻辑划分上称为“关系网络”, 自动配置VLAN时, 交换机自动检查进入它端口的广播信息的IP源地址, 然后自动将此端口分配给一个由IP子网映射成的VLAN, 这主要取决于在VLAN的划分中所采用的策略。

就目前来说, 对于VLAN的划分主要采取上述第1、3种方式, 第2种方式为辅助性的方案。

3 VLAN技术的网络安全性

3.1 有效阻隔网络广播, 控制广播风暴

当网络上的设备越来越多, 广播信息所占用的时间也会越来越多, 多到一定程度时, 就会对网络上的正常信息传递产生影响, 轻则造成传送信息延时, 重则造成网络设备从网络上断开, 甚至造成整个网络的堵塞、瘫痪, 这就是广播风暴, 也是衡量网络安全性能的一个重要指标。

对于网络广播风暴的控制主要有物理网络分段和VLAN的逻辑分段两种方式, 后者更灵活, 效率更高。同一VLAN处于相同的广播域, 通过VLAN的划分可以有效地阻隔网络广播, 缩小广播域, 从而控制广播风暴;处于不同VLAN的计算机将有不同的子网掩码和网关, 因此不同VLAN之间的通信要经过路由的控制, 所以规划设计好各个VLAN的成员, 将网络内频繁通信的用户尽可能地集中于同一VLAN内, 就可以减少网间流量, 既有效节约了网络带宽, 又提高了网络效率。

3.2 控制网络内部IP地址的盗用

企业、校园等局域网具有终端用户节点数量多的特点, 用户数量的增多使得网络IP地址的盗用也相应增加, 严重影响了网络的正常使用。建立VLAN后, 该VLAN内任何一台计算机的IP地址都必须在分配给该VLAN的IP地址范围内, 否则将无法通过路由器的审核, 也就不能进行通信, 因此使用VLAN能有效地将IP地址的盗用控制在本VLAN之内。

3.3 提高网络的整体安全性

VLAN建立后, 同一个VLAN内的计算机之间便可以直接通信, 不同VLAN间的通信则要通过路由器的网关进行路由选择、转发, 可以隔离基于广播的信息 (如机器名、DHCP信息等) , 这样就可以有效阻止非法访问, 大大提高网络系统的整体安全性。此外, 通过路由访问控制列表、MAC地址分配、屏蔽VLAN路由信息等技术, 可以有效控制用户的访问权限和逻辑网段大小, 将不同用户群划分在不同VLAN, 从而提高网络的整体性能和安全性。

3.4 VLAN易遭遇第二层攻击

虚拟局域网VLAN需要使用第二层交换机将若干端口组成虚拟广播域, 且各虚拟广播域之间相互隔离, 所以, VLAN经常会遇到第二层攻击, 而第二层的多数攻击都将使设备失去攻击者跟踪能力, 这样, 攻击者就能够在转发路径上大肆执行恶意操作, 先修改配置, 然后攻击网络。如常见的ARP (Address Resolution Protocol, 地址解析协议) 攻击, 在同一个VLAN内, 利用ARP破坏或ARP欺诈攻击, 可以有效地欺骗终端站点或路由器识别伪造的设备标识, 致使恶意用户能够以中间人的身份, 发动中间人 (Mi M) 攻击。发动Mi M攻击的方法是, 在发送至受袭设备的ARP包中假冒另一台设备 (例如默认网关) , 由于接收方不检查这些分组, 因而其ARP表将接收假冒信息。对于这种情况, 一张图可对其进行最好的说明 (见图1) 。

将免费信息送至0000.0000.000B:我的IP地址为1.1.1.1, 我的MAC地址为000:00:00:00:00:0C

PC 1.1.1.2的ARP表受到侵袭。所有外出流量都将通过PC 1.1.1.3, 然后将流量透明地转发至路由器。

预防这种攻击有两种方法, 一种方法是阻挡攻击者和受攻击设备之间的第二层直接通信, 另一种方法是在网络中嵌入更多智能, 使之能够检查转发ARP分组的标识是否正确。

3.5 VLAN的安全性依赖于硬件设备

由于组建VLAN要使用交换机, 并且各工作站之间的信息交换要经过交换机, 所以, VLAN技术的安全性在很大程度上依赖于所使用的交换机, 以及对交换机的配置。目前, 大部分交换机都能满足安全性需求。

4 结论

虽然VLAN并非最好的网络技术, 但这种用于网络节点逻辑分段的方法正为许多企业所使用。VLAN采用多种方式配置于企业网络中, 包括网络安全认证、使无线用户在802.11b接入点漫游、隔离IP语音流在不同协议的网络中传输数据等虚拟局域网 (VLAN) 的出现打破了传统网络的许多固有观念, 使网络结构变得灵活、方便, 增加了网络维护的灵活性, 满足了用户端灵活的逻辑组合, 隔离了不同用户性质的分组, 阻止了广播包的肆意传播, 有效地控制了广播风暴的产生, 在一定程度上控制了IP地址的盗用, 还可以对不同VLAN网段根据需要设定不同的访问权限, 以增加网络的整体安全性, 虽然会增加第二层攻击的风险, 但这些攻击可以通过技术手段有效预防。

参考文献

[1]谢希仁.计算机网络教程 (第二版) .北京:人民邮电出版社.2006.

[2]王路群.计算机网络基础及应用.北京:电子工业出版社.2004.

VLAN技术网络安全 篇2

要求 VLAN20,30都能访问VLAN10,但20,30之间不能相互访问.

1.用策略路由控制,让去往VLAN10的被路由到正确接口,其他的都被送到丢弃口

access-list 100 permit ip any 192.168.10.0 0.0.0.255route-map tovlan1 permit 10match address 100set default interface f 0/0.10route-map tovlan1 permit 20set default interface null0interface f0/0.20ip policy route-map tovlan1interface f0/0.30ip policy route-map tovlan1上面配置由于存在显式路由(直连的) 用缺省借口的方法不行(PBR中:set ip next-hop 不检查是否存在显式路由,只检查下一跳是否可达set interface 检查是否存在显式路由,必须存在才能正常set ip default next-hp 检查是否存在显式路由,必须不存在才正常set default interface 检查是否存在显式路由,必须不存在才正常)*Mar 1 02:25:10.443: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy match*Mar 1 02:25:10.443: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy rejected(explicit route) - normal forwarding*Mar 1 02:25:10.459: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy match*Mar 1 02:25:10.459: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1R1#, len 100, FIB policy rejected(explicit route) - normal forwarding*Mar 1 02:25:10.475: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy match*Mar 1 02:25:10.475: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy rejected(explicit route) - normal forwarding*Mar 1 02:25:10.551: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy match*Mar 1 02:25:10.551: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy rejected(explicit route) - normal forwarding改成:route-map govlan1 permit 10match address 100set interface f 0/0.10route-map govlan1 permit 20set interface null0后正常*Mar 1 02:35:31.059: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy match*Mar 1 02:35:31.063: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1 (FastEthernet0/0.10), len 100, FIB policy routed*Mar 1 02:35:31.111: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy match*Mar 1 02:35:31.111: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1 (FastEthernet0/0.10), len 100, FIB policy routed*Mar 1 02:35:31.139: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy match*Mar 1 02:35:31.139: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1 (FastEthernet0/0.10)R1#, len 100, FIB policy routed*Mar 1 02:35:31.159: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy match*Mar 1 02:35:31.159: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1 (FastEthernet0/0.10), len 100, FIB policy routed*Mar 1 02:35:31.187: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1, len 100, FIB policy match*Mar 1 02:35:31.187: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.10.1 (FastEthernet0/0.10), len 100, FIB policy routedR1#*Mar 1 02:35:35.135: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.30.1, len 100, FIB policy match*Mar 1 02:35:35.139: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.30.1 (Null0), len 100, FIB policy routed(drop)R1#*Mar 1 02:35:37.171: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.30.1, len 100, FIB policy match*Mar 1 02:35:37.175: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.30.1 (Null0), len 100, FIB policy routed(drop)R1#*Mar 1 02:35:39.183: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.30.1, len 100, FIB policy match*Mar 1 02:35:39.187: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.30.1 (Null0), len 100, FIB policy routed(drop)R1#*Mar 1 02:35:41.179: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.30.1, len 100, FIB policy match*Mar 1 02:35:41.183: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.30.1 (Null0), len 100, FIB policy routed(drop)R1#*Mar 1 02:35:43.187: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.30.1, len 100, FIB policy match*Mar 1 02:35:43.191: IP: s=192.168.20.1 (FastEthernet0/0.20),

d=192.168.30.1 (Null0), len 100, FIB policy routed(drop)

VLAN技术网络安全 篇3

摘要：VLAN是一个在物理网络上根据用途，工作组、应用等来逻辑划分的局域网络，是一个广播域，与用户的物理位置没有关系。VLAN中的网络用户是通过LAN交换机来通信的。一个VLAN中的成员看不到另一个VLAN中的成员。本文对VLAN (虚拟局域网) 技术的特点作了详细介绍。

关键词：VLAN 网络管理 应用

0 引言

VLAN的特性是：控制通信活动，隔离广播数据顺化网络治理，便于工作组优化组合，VLAN中的成员只要拥有一个VLAN ID就可以不受物理位置的限制，随意移动工作站的位置；增加网络的安全性，VLAN交换机就是一道道屏风，只有具备VLAN成员资格的分组数据才能通过，这比用计算机服务器做防火墙要安全得多；网络带宽得到充分利用，网络性能大大提高。因此，VLAN技术近年越来越广泛的运用到各个领域。

1 VLAN介绍

所谓VLAN是指处于不同物理位置的节点根据需要组成不同的逻辑子网，即一个VLAN就是一个逻辑广播域，它可以覆盖多个网络设备。VLAN允许处于不同地理位置的网络用户加入到一个逻辑子网中，共享一个广播域。通过对VLAN的创建可以控制广播风暴的产生，从而提高交换式网络的整体性能和安全性。同一个VLAN中的端口可以接受VLAN中的广播包，别的VLAN中的端口则接收不到。VLAN对于网络用户来说是完全透明的，用户感觉不到使用中与交换式网络有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN的几点优势：①对网络中的广播风暴的控制；②提高网络的整体安全性，通过路由访问列表、MAC地址分配等VLAN划分原则，可以控制用户的访问权限和逻辑网段的大小；③网络管理的简单、直观。

2 VLAN在企业网络管理中的应用

在一个规模较大的企业中，其下属有多个二级单位，在各单位的孤立网络进行互连时，出于对不同职能部门的管理、安全和整体网络的稳定运行，要进行VLAN的划分。

2.1子网分析 该网络系统由三部分组成：公司、二级单位1、二级单位2，初始为三部分各自独立，未形成统一的网络环境，故各网络系统的运行采用的是以交换技术为主的方式。三网主干均采用的是千兆以太网技术，起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。公司中心交换机采用的是Cisco的Catalyst 6506，带有三层路由的引擎使得企业网具有将来升级的能力；同时各二级单位的中心交换机采用的亦是Cisco的Catalyst 4006；各二级、三级交换机则采用的是Cisco的Catalyst 3500系列，主要因为Catalyst 3500系列交换机的高性能和可堆叠能力。

现三部分应公司的要求联网，网络的互连仍采用千兆带宽，但因三网均采用了千兆以太网技术，为了不在主干形成瓶颈，因此各子网的互连采用Trunk技术，即双千兆技术，使网络带宽达到4G，如此既增加了带宽，又提供了链路的冗余，提高了整体网络的高速、稳定、安全运行性能。但亦由于网络规模的扩大化，信息流量的加大，人员的复杂化等原因，为企业网络的安全性、稳定性、高效率运行带来了新的隐患。由此引发了VLAN的划分。

2.2 系统分析 VLAN划分的四种策略 ①基于端口的VLAN 基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。②基于MAC地址的VLAN MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。③基于路由的VLAN 路由协议工作在七层协议的第三层：网络层，即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。④基于策略的VLAN 基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。

就目前来说，对于VLAN的划分主要采用1、3两种模式，对于方案2则为辅助性的方案。

VLAN的划分设计之后，再所涉及的就是VLAN划分的最后一步：VLAN间的互连。在以前对VLAN的划分主要是通过路由器来实现的，但随着网络规模的扩大、信息量的增加，路由器无论是从端口数还是系统性能上来说都已经不堪负荷，因此逐渐形成了产生网络瓶颈的主要原因。而在现在，因为有了基于交换机上的三层路由的能力，在上述两点已经得到合理地解决。对于Cisco的产品划分，VLAN主要是基于两种标准协议：ISL和802.1Q。在我们这里，因为所采用的均是Cisco的网络设备，故在进行VLAN间的互连时采用ISL的协议封装，该协议针对Cisco网络设备的硬件平台在信息流的处理、多媒体应用的优化进行了合理有效的优化。由于本案例中关于VLAN的划分扩展了各个交换机，所以交换机之间的连接都必须采用Trunk的方式。经理办和供销子网代表了VLAN划分中的两种问题——扩展交换机VLAN的划分和端口VLAN的划分：在经理办虚网中，对于一个交换机扩展多个VLAN的时候，前面提到了该交换机与其上层交换机间必须采用Trunk方式连接，但在供销的虚网划分中，在二级单位1中的供销独立于一个LAN交换机Catalyst3548，所以在这里，Catalyst3548与二级中心交换机Catalyst4006只需采用正常的交换式连接即可，对于此部分供销VLAN的划分，只要在Catalyst4006上针对与Catalyst3548连接的端口进行划分即可。也就是前面提到的基于端口的VLAN的划分。

2.3 路由列表 做完了VLAN之间的连接后，因为两个Catalyst4006与主中心交换机Catalyst6506间采用的是双光纤通道式连接，屏蔽了Catalyst406与Catalyst6506间的线路故障的产生，所以要对整体网络的路由进行基于Catalyst6506的集中式管理。我们在主中心交换机Catalyst6506上设置了VLAN路由：经理办虚网：192.168.1.1/22；财务虚网：192.168.3.1/22；供销虚网：192.168.6.1/22；信息中心虚网：192.168.7.1/24；其余虚网：192.168.8.1/22；接下来，在中心交换机上设置路由协议RIP或OSPF，并指定网段192.168.0.0。

3 需要注意的问题

3.1 在这里需要注意的是：因为整个公司的网络系统的VLAN的划分是作为一个整体结构来设计的，所以为了保持VLAN列表的一致性，例如当二级单位1的VLAN有所变化时，VLAN列表也会有所变化，这时就需要该Catalyst 4006对整体网络的其他部分进行广播，以达到VLAN的列表的一致性。所以在设置VTP（VLAN Trunk Protocol）时要注意，要将VTP的域作为一个整体，即：VTP类型分别为Server和Client。

3.2 有些企业建网较早，所选用的网络设备为其他的厂商的产品，而后期的产品又不能与前期统一，这样在VLAN的划分中就会遇到些问题。

4 结束语

总之，随着网络硬件性能的不断提高和成本的不断降低，目前新建立的局域网基本上都采用了性能先进的快速以太网或千兆网技术，其核心交换机采用三层交换机，它能很好地支持VLAN技术，在安全性和稳定性方面都有了很大的提升，为各种业务的开展提供了可靠的保证。

参考文献：

[1]舒鑫柱,舒虹.VLAN配置实验的模拟实现探讨[J].实验科学与技术.2008.(06):58-60.

基于VLAN技术的网络管理 篇4

1 VLAN技术的特点

VLAN(virtual local area network，虚拟局域网)技术突破了按照地域划分局域网段以及划分子网的限制，将企业网推向交换虚拟网的新阶段[1]。一个VLAN形成一个逻辑子网，可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中，其具有以下优点：(1)有效阻隔网络广播，控制广播风暴。同一VLAN中的广播不会送到VLAN之外，可以减少广播流量，抑制广播风暴的发生。同时，当网络中的某设备发生故障不断发送广播时，能将故障的影响范围减小到某个子网，有利于迅速排查故障。(2)增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的局域网络环境，在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。(3)提高网络安全性。VLAN技术管理到端口，建立VLAN后，该VLAN内任意计算机的IP地址必须在分配给该VLAN的IP范围内，否则将无法通过三层交换的审核，也就无法进行网络通讯。另外，能够通过访问控制列表限制个别用户的访问行为，克服了平面式局域网结构在安全方面的缺陷[2]。

2 VLAN划分的实施

由于医院网络环境比较固定并且医院网络协议单一，我们采用基于交换机端口来划分VLAN，即将交换机中的某些端口定义为一个单独的区域，从而形成一个VLAN。同一VLAN中的计算机属于同一个网段，不同VLAN之间进行通讯需要通过路由器。

2.1 VLAN的总体策略

我院现有外科楼、内科楼、门诊楼、科技办公楼、输血楼、干部病房、旧门诊楼等。千兆光纤从网络中心连通各楼的交换机，终端设备800余台。在划分各个虚拟子网时，我们结合实际数据流量、物理位置、安全性和管理需求，将全院网络划分成9个虚拟子网，分别为VLAN10～VLAN90。IP分配原则：以一个虚拟子网为单位，IP统一更换为172.28.x.X，子网掩码为255.255.255.0，默认网关为172.28.x.254(其中x从1-9，对应VLAN的端口，比如1对应VLAN10，依此类推，X对应每台客户端的IP编号)。如果需要扩充，可继续增加虚拟子网。客户端用管理员进入，修改计算机的IP地址、子网掩码、网关、WINS。地方医保需到医保中心的服务器上加1条到所有工作站的路由表，再在防火墙上加1条到所有工作站的路由表，同时在主交换机上加1条到对应医保中心的路由表[3]。

2.2 VLAN的划分方法

在VLAN划分中存在单交换机的划分、跨交换机VLAN的划分和VLAN间的互访。只要灵活掌握这些方法，就能合理配置VLAN[4]。

通过console线(一根网线一端是586A、一端586B，通过一个转接头接到计算机上的com口)将需要配置的交换机或路由器和计算机连接好，点击开始→附件→通讯→超级终端进行配置。以下以16口的H3C S3100交换机为例，分3种情况进行介绍。

2.2.1 单交换机VLAN的划分

如图1所示，将交换机的1～8接口划分在VLAN10,9～16接口划分在VLAN20，由于A、B 2台机器处于不同的VLAN，因此划分VLAN后不能互访。进入超级终端进行配置，配置命令如下：

2.2.2 跨交换机VLAN的划分

如图2所示，A、B 2台计算机被划分在同一VLAN10中，但未接同一交换机，要实现跨交换机的通讯，需要分别对2台交换机进行配置，2台交换机通过16接口连接。将console线连接到交换机A，进入超级终端进行配置。

2.2.3 VLAN间的互访

如图3所示，A计算机在VLAN10中，而B计算机在VLAN20中，要实现VLAN间的互访，必须通过路由器来实现。交换机的16接口和路由器的0接口相连，将console线连接到交换机，进入超级终端进行配置。

3 结束语

VLAN作为一种新一代的网络技术，为解决网络站点的灵活配置和网络安全性等问题提供了良好的手段，同时也对网管人员提出了更高的技术要求。随着技术的不断进步，VLAN技术将更加完善，也将在医院的网络建设中得到更加广泛的应用。

摘要：目的:通过VLAN技术解决平面网络结构存在的不足。方法:介绍VLAN技术的优点及VLAN的划分方法,实现全院网络的划分。结果:通过VLAN的划分,有效规划了网络结构。结论:该技术在实现了网络站点的灵活配置的同时,大大提高网络的安全性。

关键词：VLAN,网络风暴,网络管理

参考文献

[1]温钰,龚尚福,张俊峰.VLAN技术及其应用[J].科技情报开发与经济,2007,17(18):205-206.

[2]王水艳,吕鑫.VLAN技术在我院网络管理中的应用[J].电脑知识与技术,2007,8(10):419-420.

[3]马锡坤,徐旭东,刘安滨.我院VLAN划分的组织与实施[J].医疗卫生装备,2007,28(4):37-38.

VLAN技术网络安全 篇5

下面就以典型的中型局域网VLAN配置为例向各位介绍目前最常用的按端口划分VLAN的配置方法。某公司有100台计算机左右，主要使用网络的部门有：生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分。

网络基本结构为：整个网络中干部分采用3台Catalyst1900网管型交换机(分别命名为：Switch1、Switch2和Switch3，各交换机配置VLAN根据需要下接若干个集线器，主要用于非VLAN用户，如行政文书、临时用户等)、一台Cisco2514路由器，整个网络都通过路由器Cisco2514与外部互联网进行连接。

所连的用户主要分布于四个部分，即：生产部、财务部、信息中心和人事部。主要对这四个部分用户单独划分VLAN，以确保相应部门网络资源不被盗用或破坏。现为了公司相应部分网络资源的安全性需要，特别是对于像财务部、人事部这样的敏感部门。

其网络上的信息不想让太多人可以随便进出，于是公司采用了VLAN的方法来解决以上问题。通过VLAN的划分，可以把公司主要网络划分为：生产部、财务部、人事部和信息中心四个主要部分，对应的VLAN组名为：Prod、Fina、Huma、Info，各VLAN组所对应的网段如下表所示。

VLAN号

VLAN名端口号

2ProdSwitch1 2-21

3FinaSwitch22-16

4HumaSwitch32-9

5InfoSwitch310-21

【注】之所以把交换机配置VLAN号从”2“号开始，那是因为交换机有一个默认的VLAN，那就是”1“号VLAN，它包括所有连在该交换机上的用户。VLAN的配置过程其实非常简单，只需两步：(1)为各VLAN组命名;(2)把相应的VLAN对应到相应的交换机配置VLAN端口。

◆设置好超级终端，连接上1900交换机

通过超级终端交换机配置VLAN，连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置)：

1user(s)nowactive on Management Console.

UserInterfaceMenu

Menus

CommandLine

IPConfiguration

EnterSelection:

【注】超级终端是利用Windows系统自带的”超级终端“(Hypertrm)程序进行的，具体参见有关资料。

◆单击”K“按键，选择主界面菜单中”CommandLine“选项，进入如下命令行配置界面：

CLIsessionwiththe switch is open.

ToendtheCLI session,enter .

此时我们进入了交换机配置VLAN的普通用户模式，就象路由器一样，这种模式只能查看现在的配置，不能更改配置，并且能够使用的命令很有限。所以我们必须进入”特权模式“。

◆在上一步”>“提示符下输入进入特权模式命令”enable“，进入特权模式，命令格式为”>enable“，此时就进入了交换机配置VLAN的特权模式提示符：

#configt

Enterconfigurationcommands,oneper line.End with CNTL/Z

(config)#

◆为了安全和方便起见

我们分别给这3个Catalyst1900交换机起个名字，并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍，

配置代码如下：

(config)#hostnameSwitch1

Switch1(config)#enablepasswordlevel 15 XXXXXX

Switch1(config)#

【注】特权模式密码必须是4~8位字符这，要注意，这里所输入的密码是以明文形式直接显示的，要注意保密。交换机配置VLAN用level级别的大小来决定密码的权限。Level1 是进入命令行界面的密码，也就是说，设置了 level 1 的密码后，你下次连上交换机，并输入 K 后，就会让你输入密码，这个密码就是 level 1 设置的密码。而 level 15 是你输入了”enable“命令后让你输入的特权模式密码。

◆设置VLAN名称

因四个VLAN分属于不同的交换机配置VLAN，VLAN命名的命令为”vlanvlan号name vlan名称 ，在Switch1、Switch2、Switch3、交换机配置VLAN2、3、4、5号VLAN的代码为：

Switch1(config)#vlan2name Prod

Switch2(config)#vlan3name Fina

Switch3(config)#vlan4name Huma

Switch3(config)#vlan5name Info

【注】以上配置是按表1规则进行的。编辑推荐常用交换机典型配置

讲解交换机配置之Telnet方式!交换机配置基本使用命令解析交换机配置- 使用channel方式封装子..交换机配置IP访问控制列表 Cisco6509交换机配置配置镜像(SPAN)

◆上一步我们对各交换机配置VLAN组

现在要把这些VLAN对应于表1所规定的交换机配置VLAN端口号。对应端口号的命令是“vlan-membershipstatic/dynamic VLAN号 ”。在这个命令中“static”(静态)和“dynamic”(动态)分配方式两者必须选择一个，不过通常都是选择“static”(静态)方式。 VLAN端口号应用配置如下：

◆名为“Switch1”的交换机配置VLAN端口号配置如下：

Switch1(config)#inte0/2

Switch1(config-if)#vlan-membershipstatic2

Switch1(config-if)#inte0/3

Switch1(config-if)#vlan-membershipstatic2

Switch1(config-if)#inte0/4

Switch1(config-if)#vlan-membershipstatic2

……

Switch1(config-if)#inte0/20

Switch(config-if)#vlan-membershipstatic2

Switch1(config-if)#inte0/21

Switch1(config-if)#vlan-membershipstatic2

Switch1(config-if)#

【注】“int”是“nterface”命令缩写，是接口的意思。“e0/3”是“ethernet0/2”的缩写，代表交换机的0号模块2号端口。

◆名为“Switch2”的交换机配置VLAN如下：

Switch2(config)#inte0/2

Switch2(config-if)#vlan-membershipstatic3

Switch2(config-if)#inte0/3

Switch2(config-if)#vlan-membershipstatic3

VLAN技术实验教学设计 篇6

关键词:VLAN 路由器 Trunk

中图分类号:TP393.2 文献标识码:A 文章编号:1673-8454(2009)15-0075-04

可网管交换机的设置及VLAN技术是计算机网络课程的重难点内容之一,不仅理论知识比较抽象,对实验环境的硬件要求也很高。笔者根据学习者的特征以及实验教学内容的特点,利用我校的网络实验室,从不同的角度,对传统意义上的三个VLAN实验项目利用不同的方法进行了教学设计与实现,既让学习者的想法在实验中得以验证,又加深了他们对实验内容的理解,取得了较好的教学效果。

一、学习者特征分析

学习者的一般特征是指对学习者有着影响的生理、心理和社会等方面的特点。[1]本实验是针对计算机专业三年级学生开设的,其年龄均在20岁以上,思维有较强的抽象性,观察实物目的性和系统性较强,注意力更稳定,成就动机增强,具备较强的自我管理、自由思考和学习的能力。而且,在此之前,他们已开设过许多实验课,具备了较强的实践动手能力。

更值得注意的是,在VLAN技术内容课堂讲解时,许多同学针对传统意义上的三个VLAN实验项目提出了不同的实现方法,如VLAN间互访能否用双臂路由器、三层交换机或物理连线的方法实现,能否实现跨交换机的VLAN间互访等,想法很具有创新意识和开拓意义,虽然有不足,但朴实直接。实验本身就是一个通过具体实验来验证思路是否正确的过程,因此,根据同学们自身的这些特点,除传统意义上的单交换机VLAN划分实验、采用trunk技术实现跨交换机VLAN划分实验、单臂路由器实现单交换机VLAN互访实验三个实验外,我们对其他各子实验项目也进行了实验教学设计。

二、实验教学内容分析

本次实验内容为VLAN技术,除了要从理论上将该技术的实现机理给学生讲明白外,还要在实验设备交换机和路由器上将该技术的结果实现,因此实验教学内容重点放在讲解各实验项目在实验设备上实现的原理、数据流程、进行配置的具体步骤和测试结果的分析上。

三、确定实验教学目标

教学目标是师生活动的重要依据,根据学习者特征分析和实验教学内容分析,结合计算机专业学生培养的总目标,确定本实验教学的目标为掌握VLAN技术在交换机和路由器等实验设备上的具体实现,能够做到单组独立完成,锻炼同学们的动手能力和理论联系实际的能力。[1]进而提高学生的计算机网络设计与组建能力、虚拟局域网应用能力、交换机路由器等设备的配置能力,提高学生的局域网理论认识水平和实践操作能力。

根据同学们自身的特点,除传统意义上的第三个VLAN实验项目外,我们还设计了另外五个具体实验项目。八个子实验项目分别用阿拉伯数字进行了标记,它们构成了第三层次的子目标,传统的三个实验项目用字母“t”进行了标记,实验教学目标体系如图1所示。

四、实验教学实施过程

实验教学过程设计实际上就是实验教学实施流程的设计,不同类型的实验项目其实验教学过程的组织方式不同。[2]本实验要求学生能根据所学VLAN理论知识,按照实验目标的要求来设计实验的步骤,利用实验室提供的实验设备单组独立完成实验,实验具体设计步骤如下。

1.单交换机VLAN划分实验

该实验是学生在VLAN技术实验中遇到的第一个实验,是学习后续几个实验的基础,实验过程相对比较简单,关键是理解VLAN理论知识的内涵,从实验的结果联系相关的VLAN理论知识再去重新认识,从而达到掌握VLAN技术实验的目的,因此本实验教学安排1个学时。

实验用到一台可网管交换机DCS3926、3台PC机和连接线若干,分别将pc1、pc2和pc3连接至该交换机的1、2、3端口上,IP地址和子网掩码分别配置为192.168.1.1/24、192.168.1.2/24和192.168.1.3/24。我们在交换机上建立VLAN10和VLAN20两个VLAN,其中交换机端口1划分到VLAN10中,交换机端口2和3划分到VLAN20中。

DCS3926交换机配置如下:[3]

(1)创建VLAN

switch#config //进入交换机配置模式

switch(config)#vlan 10 //建立vlan10

switch(config-vlan10)#exit //退出vlan10

switch(config)#vlan 20

(2)将端口放入VLAN中

switch#config

switch(config)#vlan 10 //进入vlan10

switch(config-vlan10)#switchport interface Ethernet 0/0/1 //将交换机端口1加入到vlan10中

switch(config-vlan10)#exit

switch(config)#vlan 20 //进入vlan20

switch(config-vlan20)#switchport interface Ethernet 0/0/2-3 //将交换机端口2和3加入到vlan20中

(3)验证结果

配置完毕后,用ping命令进行测试:结果pc1不能与pc2和pc3通信,pc2和pc3互通。

2.跨交换机VLAN划分实验

该实验是前一个实验的扩展,实现跨交换机相同VLAN间通信,因为有了实验1做基础,本实验安排1个学时。本实验用到DCS3926可网管交换机两台、PC机4台和相关连接线,pc1、pc2 、pc3和 pc4IP地址与子网掩码配置分别为192.168.1.1/24、192.168.1.2/24、192.168.1.3/24和192.168.1.4/24。在两台交换机上分别建立VLAN10和VLAN20两个VLAN,并将该交换机的1~8端口放入VLAN10中,将9~16端口放入VLAN20中,具体交换机配置参见实验1。

本实验分为两个子实验,实验(1)采用物理连线的方法实现跨交换机相同VLAN间通信,实验(2)采用trunk技术实现跨交换机相同VLAN间通信,分别如下:

(1)物理连线方法

如图2所示,分别将两台交换机的VLAN10和VLAN20用网线直接连接,pc1、pc2、pc3和pc4均接在相应交换机的相应VLAN中,用ping命令进行测试,结果pc1与pc2,pc3和pc4能够互通,但pc1、pc2与pc3、pc4不通,实现了跨交换机相同VLAN间通信。

(2)采用trunk技术方法

如图3所示,两台DCS3926交换机通过24号端口相连,pc1、pc2分别连接在switch A和switch B的VLAN10的1号端口上,pc3、pc4分别连接在switch A和switch B的VLAN10的9号端口上,Switch A上配置trunk步骤如下:

switch A#config

switch A(config)#interface Ethernet 0/0/24 //进入switch A24号端口配置模式

switch A(config-ethernet0/0/24)#switchport mode trunk //设置switch A24号端口为trunk模式

switch A(config-ethernet0/0/24)#switchport trunk allowed vlan all //允许switch A所有VLAN通过

switch B上作同样配置,然后用ping命令进行测试,结果显示pc1与pc2互通,pc3与pc4互通,而pc1、pc2与pc3、pc4不通。

(3)两种方法对比分析(见表1)

从表1对比我们可以得出一个很显然的结论:trunk技术方法远远优越于物理连线方法。

3.VLAN间互访实验

VLAN间互访实验仍然是前面两个实验的延续,该实验总体又分为单交换机互访和跨交换机互访两个子部分,具体实现如下:

单交换机VLAN间互访实验共有四种实现方法,所用网络拓扑结构如图4所示,分别实现如下:

1)物理连线方法

如图4中Ⅰ图所示,在交换机switch A上的VLAN10和VLAN20用一根网线直接相连,用ping命令测试pc1和pc3,结果pc1和pc3互通。

2)用三层交换机方法

将图4中Ⅱ图中的“设备”接上一台DCRS5526三层交换机,Ⅱ图则变为用三层交换机实现VLAN间互访的拓扑结构,图中pc1接在switch A的1号端口上,pc3接在switch A的9号端口上。首先,分别在switch A和三层交换机DCRS5526上分别创建VLAN10和VLAN20,将1~8端口放入VLAN10中,将9~16口放入VLAN20中,详细步骤参见实验1中在DCS3926配置VLAN的过程,三层交换机DCRS5526交换机路由配置如下:[4]

switch#config

switch (config)#interface vlan 10 //进入vlan10接口配置模式

switch (config-if-vlan10)#ip address 192.168.1.254 255.255.255.0 //为vlan10配置接口地址

switch (config-if-vlan10)#exit

switch (config)#interface vlan 20 //进入vlan20接口配置模式

switch (config-if-vlan20)#ip address 192.168.2.254 255.255.255.0 //为vlan20配置接口地址

用双绞线将三层交换机1号端口接在switch A的2号端口上,将三层交换机9号端口接在switch A的10号端口上,为pc1配置IP地址和子网掩码为192.168.1.10/24,网关为192.168.1.254,为pc3配置IP地址和子网掩码为192.168.2.10/24,网关为192.168.2.254。

配置完毕,在pc1上用ping命令测试pc3,结果pc1和pc3互通。

3)用路由器方法

将图4中Ⅱ图中的“设备”接上一台DCR1792路由器,Ⅱ图则变为用路由器实现VLAN间互访的拓扑结构,图中pc1接在switch A的1号端口上,pc3接在switch A的9号端口上。首先,分别在switch A上创建VLAN10和VLAN20,将1~8端口放入VLAN10中,将9~16口放入VLAN20中,详细步骤参见实验1中在DCS3926配置VLAN的过程,路由器DCR1702具体配置如下:[5]

router#config //进入路由器配置模式

router_config#interface f0/0//进入路由器f0/0口的配置模式

router_config_f0/0#ip address 192.168.1.254 255.255.255.0//为f0/0口配置IP地址

router_config_f0/0#exit

router_config#interface e0/1//进入路由器e0/1口的配置模式

router_config_e0/1#ip address 192.168.2.254 255.255.255.0//为e0/1口配置IP地址

用双绞线将路由器f0/0端口接在switch A的2号端口上,将路由器e0/1端口接在switch A的10号端口上,为pc1配置IP地址和子网掩码为192.168.1.10/24,网关为192.168.1.254,为pc3配置IP地址和子网掩码为192.168.2.10/24,网关为192.168.2.254。

配置完毕,在pc1上用ping命令测试pc3,结果pc1和pc3互通。

4)用单臂路由器实现

如图4中Ⅲ图所示,将路由器接在交换机的24号端口上,然后在交换机上创建VLAN10和VLAN20,将1~8号端口放入VLAN10中,将9~16号端口放入VLAN20中,详细步骤参见实验1中在DCS3926配置VLAN的过程,将24号端口配置为trunk模式,允许所有VLAN通过,详细步骤参见实验2中在DCS3926配置trunk的过程。路由器具体配置如下:[5]

router#config

router_config#interface f0/0.1//进入f0/0.1子接口配置模式

router_config_f0/0.1#ip address 192.168.1.254 255.255.255.0//为f0/0.1子接口配置IP地址

router_config_f0/0.1#encapsulation dot1q10//封装dot1q10协议

router_config_f0/0.1#exit

router_config#interface f0/0.2//进入f0/0.2子接口配置模式

router_config_f0/0.2#ip address 192.168.2.254 255.255.255.0//为f0/0.2子接口配置IP地址

router_config_f0/0.2#encapsulation dot1q20//封装dot1q20协议

为pc1配置IP地址和子网掩码为192.168.1.10/24,网关为192.168.1.254,为pc3配置IP地址和子网掩码为192.168.2.10/24,网关为192.168.2.254。

配置完毕,在pc1上用ping命令测试pc3,结果pc1和pc3互通。

5)单交换机VLAN间互访各种实现方法对比分析

从表2我们可以得出一个很显然的结论:单臂路由方法远远优越于其他几种方法。

(2)跨交换机VLAN间互访实验

跨交换机VLAN间互访实验是单交换机VLAN间互访实验的扩展,和单交换机VLAN间互访的4个子实验项目相对应,即可以通过物理连线方法、三层交换机、路由器和单臂路由器四种方法均可实现跨交换机VLAN间互访实验,实验拓扑如图5所示,根据图5所示的网络拓扑结构,参照单交换机VLAN间互访实验,可以很快做出这四个实验项目,同样按着表2四种实现方法的对比分析,我们可以很显然地得出通过单臂路由器方法实现跨交换机VLAN间互访实验是最好的,所以在此仅给出通过单臂路由器实现跨交换机VLAN间互访的具体实现,具体实现如下:

如图5中Ⅲ图所示,在交换机switch A和switch B上创建VLAN10和VLAN20,将1~8号端口放入VLAN10中,将9~16号端口放入VLAN20中,详细步骤参见实验1中在DCS3926配置VLAN的过程。将交换机switch A的23、24号端口和switch B的24号端口配置为trunk模式,允许本交换机上所有VLAN通过,详细步骤参见实验2中在DCS3926配置trunk的过程,交换机switch A和switch B通过2号端口连接,switch A通过23号端口和路由器f0/0接口连接。路由器配置两个子接口,IP地址和子网掩码分别为192.168.1.254/24和192.168.2.254/24,详细配置过程参见实验3单臂路由器实验中路由器配置。

分别为pc1和pc3配置IP地址和子网掩码为192.168.1.10/24和192.168.1.20/24,网关均为为192.168.1.254,为pc2和pc4配置IP地址和子网掩码为192.168.2.10/24和192.168.2.20/24,网关均为为192.168.2.254。

配置完毕,用ping命令测试,结果pc1、pc2、pc3和pc4互通。

五、教学效果评价

对实验教学效果的评价是整个实验教学设计中不可或缺的环节,是检验实验教学目标是否达成的重要手段。[2]实验教学效果评价的方法很多,本实验我们采用的方法为实验过程观察、书写实验报告和问卷调查,问卷调查内容为:(1)你是否喜欢这种实验教学方式?(2)你对本实验课满意度如何?(3)你认为本实验课的优点是什么?缺点是什么?(4)本实验课你的主要收获是什么?

实验过程中,同学们的思路都比较清晰,每个实验从开始到结束以及中间环节等均安排合理,绝大多数同学在规定的实验学时内都能完成实验。实验后同学们都按照自己的想法写出了翔实的实验报告,从他们实验报告的技术对比分析中得出了各种技术的优劣。

从问卷调查结果来看,大多数学生非常喜欢这种实验方式,对本节实验课比较满意。绝大多数同学均认为本次实验真正体现了实验的作用,在实验中它们对三个传统VLAN实验项目有了新的认识,进一步加深了对VLAN理论知识的理解。从这里,我们可以看出学生对本实验课给予了充分的肯定。?筅

参考文献:

[1]南国农,李运林.电化教育学(第二版)[M].北京:高等教育出版社,1998.8:239-259.

[2]米伟娜,王海燕等.基于Boson Netsim虚拟平台的vlan实验教学设计[J].现代教育技术,2008,18(10):121-124.

[3]神州数码(北京)有限公司.DCS3926s以太网交换机使用手册. http://networks.digitalchina.com.2004.3.

[4]神州数码(北京)有限公司.DCRS5526s以太网交换机使用手册. http://networks.digitalchina.com.2003.11.

VLAN技术网络安全 篇7

VLAN (Virtual Local Area Network) 即虚拟局域网, 并非一种新型的网络, 实际上是与物理位置无关的逻辑局域网。VLAN技术是在一个平面物理网络上, 根据用途、工作组、应用等将局域网内的设备在逻辑上划分成一个个逻辑网段或逻辑子网络, 利用交换机进行控制, 从而实现虚拟工作组的技术。划分后的网络上VLAN成员之间不可直接通信, 需要通过路由支持才能通信, 而同一VLAN中的成员通过VLAN交换机可以直接通信, 不需路由支持。通过划分, 不同V L A N内部的广播和单播流量不会转发到其他V L A N中, 从而实现广播的隔离, 可以控制流量、有效地节省带宽, 同时减少设备投资、简化网络管理、提高网络安全性。

2 VLAN的技术特点

(1) 网络性能方面, VLAN技术能够控制网络广播:一个VLAN就是一个独立的小广播域, 同一个VLAN成员都在所属VLAN确定的广播域内, 广播只能在本地V L A N内进行, 隔离了各个不同的VLAN之间的通讯, 其中某一个VLAN中所出现的问题不会影响到其他的VLAN, 减少方面了广播对网络带宽的占用, 另一方面, 网络广播的信息传播范围缩小, 可有效地减少发生广播风暴的风险。

(2) 网络安全性方面, VLAN技术能够有效的增强网络广播信息的安全性:不同用户群划分在不同V L A N, 不在同一V L A N的用户要访问其它VLAN中的主机就必须通过路由。在校园网中, 各网络结点比如财务处等处室的数据需要保密, 通过划分VLAN进行部门隔离, 使不同的部门使用不同的V L A N, 而交换机只能在同一V L A N内的端口之间交换数据, 不同V L A N的端口不能直接访问, 减少了在网络广播中信息包被截获而出现信息的泄露。

(3) 网络监督和管理的自动化方面, VLAN技术使网络管理变得更加简单直观方便有效, 管理效率增高:校园网络中心管理员能够通过简单的指令, 根据部门职能、对象组或者应用, 将不同地理位置的网络用户划分为一个逻辑网段, 大大减轻网络管理和维护工作的负担, 降低网络维护费用, 减少站点移动和改变的代价。同时, 可以通过网管软件查询V L A N间和V L A N内通信和应用数据包的分类信息。

(4) 节省学校开支, 降低管理成本:当把一台计算机从一个子网转移到另一个子网, 如果使用物理手段划分子网会耗费大量的精力和时间。而使用VLAN技术, 迁移的工作只是在交换机上重新定义V L A N即可, 尤其是采用网卡的M A C地址来划分V L A N时, 交换机能够自动跟踪该终端的M A C地址, 并自动将其纳如定义的V L A N中, 对于网络管理而言, 可以轻松完成变更。

3 VLAN实现的途径

V L A N的应用在很大程度上增强对动态网络的集中式管理能力, 主要应用:

(1) 局域网内部建立局域网:收集各业务部门人员组成、所在位置、与交换机连接的端口等信息, 根据部门数量对交换机进行配置, 创建VLAN, 最后在一个公用的局域网内部划分出来若干个虚拟的局域网。

(2) 实现共享访问:通过VLAN技术, 保证单位内部的互相访问和单位间信息的独立的前提下, 为各单位创建一个个独立VLAN。然后利用中继技术, 将提供接入服务的代理服务器或者路由器所对应的局域网接口配置成为中继模式, 实现共享接入, 即实现访问共同的接入点和服务器。

4 高校校园网络VLAN应用技术分析

(1) 硬件基础:由于VLAN技术需要利用具有第三层以上交换机以及路由器实现局域网以及互联网的连接。因此, 在现代高校网络V L A N技术应用中, 根据高校发展对网络的需求以及针对不同VLAN局域网互相访问的需求, 需要预留足够扩展空间的基础上进行设备的选型。

(2) VLAN的组网方法及其优缺点:局域网的划分是决定VLAN技术应用实现的关键。VLAN的组网方法通常采用以下4种:1) 基于端口划分VLAN:也称静态VLAN (StaticVLAN) 。其端口通过交换机上某一个端口以命令行的形式被加入到某一个VLAN后, 就固定不变。2) 基于MAC地址的VLAN:也称动态VLAN (Dynamic VLAN) 。其所有的用户必须分配明确的一个V L A N, V L A N根据主机的M A C地址来划分。最大优点是当用户从一个交换机转移到另外的交换机时, VLAN自动保留其所属VLAN组的成员身份, 不用重新配置。缺点是对于大型网络, VLAN初始化时, 配置的工作量非常大。3) 基于网络层的VLAN:是按协议来或者按网络层地址来划分。交换机根据IP地址自动将其划分到不同VLAN, 因此实现新增结点比较方便简单。缺点是涉及到网络层协议或网络地址的处理, 速度比较慢, 一般很少被采用。4) 基于IP组播的VLAN:属于同一IP组播组的主机在这种方式下都属于同一VLAN, 成员身份可保留一定时间, 具有巨大的灵活性和可延展性, 但效率不高。

(3) VLAN技术在校园网中的应用实例分析。以某高校为例, 该校通过VLAN技术将校园网络划分为办公区, 学生区、教工区三大区域, 网络拓扑结构如图1。

5 结语

VLAN技术可以不考虑用户的物理位置而直接根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的工作组, 在校园网建设中的应用中, 增加了网络连接的灵活性, 控制了网络流量, 提高了网络效率和安全性, 在一定程度上阻断了计算机病毒在校园网内的大面积传播, 提高了网络服务质量, 减轻了网络管理员的工作负担。但是它也存在一些缺点, 在经常有变化的环境中, 可能要跨越多台VLAN变换机实现VLAN, 在网络管理和配置上所用的机制更为复杂, 容易产生故障。但VLAN作为一种新的局域网技术, 许多优点远远超过了其缺点, 对高校校园网的高效、有序地安全运行起到极其重要的作用。SuperVLAN技术和PrivateVLAN技术是VLAN技术的最新发展方向。

摘要：通过路由器实现网络分段的结构目前已不能适应校园网络发展的需要。为了有效避免广播风暴, 提高网络的安全性和管理的灵活性, 虚拟局域网 (VLAN) 技术应运而生。本文介绍VLAN的技术特点、组网方法、实现途径、技术分析, 并结合具体实例分析VLAN技术在校园网建设中的应用。

关键词：VLAN,校园网,交换技术

参考文献

[1] (美) 特南鲍姆.计算机网络.潘爱民译.4版.北京:清华大学出版社, 2008.

[2]杨力.高校校园网络VLAN技术解决方案设计探析[J].网络信息资讯, 2011, 2.

[3]王磊.校园网络虚拟局域网设计探讨[J].科学技术信息, 2010, 10.

[4]翟冰等.VLAN技术探究[D].内蒙古科技与经济, 2009.

VLAN技术网络安全 篇8

关键词：证券公司,网络安全,虚拟局域网

0引言

证券公司的许多业务都运行在计算机网络上, 网上数据就是交易的全部凭证和依据, 因此数据安全显得非常重要。但目前多数证券公司网络仍然存在一定安全问题, 比如:在公司局域网中, 交易、行情、办公数据等信息混杂传递, 信息流量管理困难, 甚至系统资源访问权限不清等。

如果根据功能、保密水平及安全水平等要求的差异将网络进行分段隔离, 将可以在一定程度上解决上述安全问题, 提高网络整体的安全水平。VLAN技术可以解决局域网络划分网段的安全问题。它将传统的基于广播的局域网技术发展为面向连接技术, 因此, 这在一定程度上也减小了网络负荷。

1基于VLAN改进方案的实现

借助于VLAN Trunking技术, 多个VLAN可通过一条物理中继线路通讯。利用SPT/VLAN技术, 在交换机间互连的物理线路冗余的情况下, 可提高双连接的效率, 既能互为备份又能负载共享。

在使用VLAN作为控制广播域手段后, 流量管理变得容易了, 因为这种模式流量模式是稳定的。

基于VLAN技术设计的网络安全措施是选用具备VLAN支持能力的交换机设备, 按照用户群组和系统资源的访问权限进行安全划分。比如:将运行综合业务系统 (CBPS) 的主机、PC和网络终端单独作为一个CBPS VLAN等。

具有VLAN支持能力交换机设备选用Catalyst 6509交换机, 安装WS-X6K-SUPIA管理引擎等。在交换机内划有3个虚拟网, 分别为业务CBPS VLAN、财务CLAF VLAN、清算LIQVLAN。

网络中VLAN交换方式采用帧交换方式。VLAN划分采用基于MAC地址的VLAN划分方法, 把属于不同VLAN的MAC地址之间的数据流过滤掉。

2证券局域网中VLAN的实现

由一台具备三层交换功能的核心交换机接几台分支交换机。假设核心交换机名称为:COM;分支交换机分别为:PAR1、PAR2、PAR3, 分别通过Port 1光线模块与核心交换机相连; 并且假设VLAN名称分别为CBPS、CLAF、LIQ……

具体如下:

(1) 设置VTP DOMAIN (管理域)

交换VTP更新信息的所有交换机必须配置为相同的管理域。

这里设置核心交换机为Server模式是指允许在该机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数, 同步本VTP域中其他交换机传递来的最新的VLAN信息。

(2) 配置中继。

这里, 采用Cisco交换机进行整个网络的VLAN分配和进行配置。在核心交换机端配置如下:

COM ( config-if ) #switchport mode trunk COM (config) #interface gigabitEthernet 2/3

COM (config-if) #switchport COM (config-if) #switchporttrunk encapsulation isl配置中继协议

COM (config-if) #switchport mode trunk

在分支交换机端配置如下:

PAR1 ( config ) #interface gigabitEthernet 0/1 PAR1 (config-if) #switchport mode trunk

PAR3 ( config ) #interface gigabitEthernet 0/1 PAR3 (config-if) #switchport mode trunk

(3) 创建VLAN

COM (vlan) #Vlan 12 name LIQ创建了一个编号为12名字为LIQ的VLAN

注意, 这里的VLAN是在核心交换机上建立的。

(4) 将交换机端口划入VLAN

这里, 要将PAR1、PAR2、PAR3分支交换机的端口1划入COUNTER VLAN, 端口2划入MARKET VLAN, 端口3划入MANAGING VLAN.

(5) 配置三层交换

下面, 需要给各VLAN分配网络 (IP) 地址。这里, 给VLAN所有的节点分配动态IP地址。给VLAN CBPS分配的接口IP地址为22.168.2.1/24, 网络地址为:22.168.2.0;VLANCLAF分配的接口IP地址为22.168.3.1/24, 网络地址为: 22.168.3.0;VLAN LIQ分配的接口IP地址为22.168.4.1/24, 网络地址为22.168.4.0;设网络上的DHCP服务器IP地址为22.168.0.31。

①给VLAN所有的节点分配动态IP地址。

首先在核心交换机上分别设置各VLAN的接口IP地址和同样的DHCP服务器的IP地址, 如下:

再在DHCP服务器上设置网络地址分别为22.168.2.0, 22.168.3.0, 22.168.4.0的作用域, 并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。最后在各接入VLAN的计算机进行网络设置, 将IP地址选项设置为自动获得IP地址即可。

基于VLAN技术防护机制, 对属于同一个VLAN数据包, 经过相应的网卡转发;对不属于同一个VLAN的数据包, 抛弃, 禁止了没有权限的计算机对数据库的访问, 保证了数据库中的数据安全可靠。

参考文献

[1]Emilie Lundin, Erland Jonsson.Anomaly-based intrusion detection:privacy concerns and other problems[J].Computer Networks.2000, 34 (2) :623-640.

[2]刘全.网络控制系统的网络安全研究.微计算机信息.2006, 9 (3) :71-73.

VLAN技术网络安全 篇9

1 ADSL组建远程办公网络的优点

1.1 成本相对较低

ADSL技术的性价比相对较高, 其局端成本相对较低。ADSL技术可以利用传统的电话网采用的双绞铜线。因为ADSL技术可以将数据传输与语音传输在一条双绞铜线上实现共存, 所以不铺设新的传输线, 从而有效地降低了成本。ADSL技术组建的组网的设备端口所需的费用比传统的DDN、帧中继等采用的设备端口所需的费用要低, 此外, ADSL技术只占用设备与PVC端口, 不需要用局端基带modem等设备。

1.2 速率相对较高

ADSL在铜线上的下载速率能够到达1-8mbps, 上传速率能够到达640-1000kbps, 传输的有效距离能够达到3-3km。ADSL比普通modem的速率要快得多。ADSL技术可以满足企业远程办公网络中用户下载信息多于上传信息的特殊需要。ADSL技术组建的远程办公网络中如果节点只有两个, 那么理论上其速率能够达到8mbps;如果存在多个节点, 那么中心节点的带宽将会根据分支节点的数量进行平均分配。此外, ADSL技术组建的远程办公网络还能够根据传输的距离和双绞铜线的质量对用户的访问速度进行动态的调整。

1.3 较高安全性

用户利用基于VLAN的ANSL技术组建的远程办公网络实现企业内部的通讯, 能够有效的提高通信的安全性。数据在ADSL技术建立的城域网上的通道进行传输时, 能够保证数据的独立性与安全性, ADSL的点对点拓扑结构具有保密性高、安全与可靠等优点, 能够确保用户独享高速传输通道。

1.4 较强的抗干扰性

ADSL组建的远程办公网络在传输时, 电话信号与数据交换不会互相干扰。ADSL能够和普通电话在一条线上共存, 同一条电话线在拨打电话和接听电话的同时仍然能够进行ADSL传输却不会产生互相干扰的现象。其能够在同一条铜线上对语言与数据信号进行分别传输, 而且数据信号不会经过电话交换机设备从而避免了电话交换机负载的加重。ADSL技术的工作站和服务器之间是不需拨号并且始终在线的专线方式。此外, 基于LVAN还能够有效地限制广播风暴。

2 基于VLAN的ADSL技术远程办公网络的组建

利用三层交换机VLANID的功能可以完成网络级VLAN, 能够使得VLAN内的用户联结灵活设置, 并且能够确保网络安全性。PVC达成专线互联中, 可以通过汇聚层经VLANID来达成二层PVC的汇聚功能, 进而能够有效地节省PVC资源。在宽带城域网中可以采用MA5100多业务接入设备提供的LANC板的以太网接口, 并结合汇聚层交换机的BD6808从而为政府机关、事业单位、企业机构、教育机构以及其他组织机构提供高速局域网的互联业务。此项业务能够使得基于以太网的远程互联成功实现, 此项方案具有管理容易、成本较低、性能优异、用户接入方便以及技术成熟可靠等特点, 可以在城域范围内建立起高速、经济以及安全的IN-TRANAT, 为大型组织机构内部的IT基础设施建立提供了理想的选择。此系统经过MA5100设备里的LANC所带有的10M/100M以太网的接口, 能够有效地支持LAN与城域网PVC专线的接入, 有效地提高了LAN接入用户之间专线互相联结的功能。

目前, 采用MA5100用户线ADSL有效地解决了用户之间的远程高速局域网的互相联结的问题, 其主要应用有两种:第一, 点到点互联。经由LAN板FE接口而接入的局域网用户的两个局域网之间可以经1483B以及城域网PVC进行连接, 进而能够达成点对点的用户专线互相连接的功能。MA5100具有PVC交换功能, 能够达成本地PVC交换。第二, 点到多点互联。三层交换机VLANID功能可以满足两个或两个以上的局域网用户之间的互相联结的需求。将需要连接的用户经由PVC连接到中心的接点交换机上, 以实现二次交换, 进而使得专心互联功能得以实现, 从而通过VLAN自身所具有的网型与星型拓扑结构进行互相联结。通常, 其具体的实施方案是:在中心连接点里设置一个接入服务器用于宽带城域网的接入, 用一条光钎或ADSL当作中心接入的线路, 别的远程客户端使用ADSL进行中心交换机接入, 于是就能够在中心接点与各个客户端之间建立一条采用标记帧方式建立的链路, 进而实现点对点的连接。以IEEE802.1Q协议为依据, TAG Header中认定的VLAN标识对一帧信号属于的虚拟局域网进行确定。因此, 设备所属的VLAN就能够用TAG进行确定。因为VLAN有标记, 所以能够保证安全性与较快的速度, 能够有效地满足远程办公网络的需求, 能够接入多个节点从而有效地降低成本。采用ADSL技术的接入方式对相对分散的办公网络进行连接, 比采用普通电话拨号方式或专线方式有着相当大的优势, 例如, 速度快、成本低等。远程办公网络应当采取相对灵活的方式, 两个用户的网络可以采取点对点的方式, 两个或两个以上的用户网络可以采取网型网络结构或者星型网络结构。

3 基于VLAN的远程办公网络组建的技术方案

3.1 ADSL点对点专用网络

如果政府机关、事业单位、企业机构、教育机构以及其他组织机构具有AB两个节点, 这AB两个节点可以分别使用一个ADSL modem, 并且采取使用双绞线联结到接入机房IPDSLAM节点, 再经由IPDSLAM联结到城域网络之中, 然后经过城域网络当中的局域网交换机、汇聚层交换机以及城域网交换机, 使用TAG对数据进行标识从而进行PVC通信。AB两个局域网之间的线路可以经由VLANID进行连接。如果要达成这项用户业务方案, 就应当首先在城域网络中将一个独立的VLANID规划出来, 接着在城域网交换机的下联口与上联口进行相关的TAG值的配置, 然后于IPDSLAM上进行PVC通道设置, 最后在用户端将ADSL DSLAM配置成1483B模式。在进行城域网交换机配置时应当把TAG打在下联的IPDSLAM端口和上联汇聚层的交换机端口上。在IPDSLAM的配置过程中, 应当对IPDSLAM的PVC通道进行配置, 即采用城域网分配出的TAG号对PVC的通道标识进行标注, 接着将MODEM配置成1483B的模式进行最终存盘, 最后重新启动MODEM从而使得新配置得以生效, AB节点处于一个VLAN范围内。这样的AB节点设置使得通信在PVC通道里进行, 又因为PVC能够使得数据独立分隔和有效分开, 从而确保了AB两个节点通信的安全可靠性。此项方案是针对有着点对点连接需求的用户进行设计的, 主要适用于两台PC的远程办公网络。

3.2 ADSL点对多点的专用网络

ADSL点对多点的专用网络的组建方案中, 点对两点的方式最具代表性, 其他的方案是根据点的增加而增加分支。本文将以点对两点专用网络方案的组建为例, 对点对多点的远程办公网络组建进行探究。如果政府机关、事业单位、企业机构、教育机构以及其他组织机构有着一个中心的节点A和两个分支的节点BC, 实现节点ABC的相互间的通信是远程办公网络组建的目的。首先, 把节点ABC各使用一个ADSL modem并经过双绞线联结到相邻的IPDSLAM节点。接着, 经由DSLAM上联城域网的交换机端口联结到城域网当中。最终, 通过城域网交换机实现PVC通信, 通过中心节点的ADSL modem进行数据包转发。此方案中, BC节点之间的数据会通过A节点进行转发。实现这种用户业务方案, 首先应当将一个独立的TAG在城域网络中规划出来, 接着需要将相关的TAG值在DSLAM的下联口与上联口之上进行配置, 最终将ADSL modem配置在用户端。在进行城域网交换机配置的时候, 应当将TAG打在IPDSLA的下联端口和IPDSLAM的上联汇聚层的交换机的端口上。在IPDSLAM的配置过程中, 应当对IPDSLAM的PVC通道进行配置, 即采用城域网分配出的TAG号对PVC的通道标识进行标注, 接着将MODEM配置成1483B的模式进行最终存盘, 最后重新启动MODEM从而使得新配置得以生效。在用户端PC上进行网络分配的私有地址分配。将ABC节点的数据处理完成后, ABC节点之间就能够互相访问了。这种方案建立了一个通过中心节点向分支节点进行辐射的拓扑结果, 从而满足了许多组织机构的远程网络办公的信息内部交换的需求。

4 小结

综上所述, ADSL技术和VLAN技术是远程办公网络组网方案中的关键技术, 对提高远程办公网络的性能起到了重要作用。ADSL技术和VLAN技术的结合能够充分发挥两者的各自优势, 是远程办公网络组建的有效解决方案, 能够提高网络间的传输效率, 提高网络的稳定性、安全性以及扩展性, 从而有效地提高了组织机构的办公效率, 是远程办公网络组建的发展趋势之一。

摘要：目前, 一些组织机构对内部办公网络的需求日益增大。然而, 相对分散的办公网点给办公网络的连接带来了较大的阻碍。如何克服相对分散地理位置, 利用现有网络资源有效地组建远程办公网络成为了一个亟待解决的问题。该文将对基于VLAN的ADSL技术远程办公网络的组建进行探究, 并提出一些意见以供参考。

关键词：VLAN,ADSL,办公网络

参考文献

[1]李秀中.基于PI骨干网的虚拟专用网理论与实现[J].中国工程科学, 2002, 4 (3) :85-91.

[2]李天水, 黄志红.VLAN技术及其在福建省宽带政务信息网中的应用[J].福建电脑, 2002, 10:12-13.

[3]孙茂圣, 郭振民.基于城域网的超大型校园网的虚拟网构建[J].现代电子技术, 2003, 13:66-68.

[4]叶木德.厦门电业局千兆以太城域网的建设[J].计算机系统应用, 2004, 3:43-45.

VLAN技术网络安全 篇10

社会的快速发展, 促使计算机技术获得迅速发展与广泛应用。现如今在社会各方面都快速发展的过程中, 网络技术与局域网的重新组合在要求逐渐升高。在局域网的各项技术中, vlan技术是其中一种非常重要的技术。对网络建设人员而言, 掌握vlan技术是必备要素, 并且还要对其进行熟练地运用。在网络管理的过程中, 利用vlan技术能够有效保证网络安全。在计算机技术快速发展的过程中, vlan技术在网络工程中的应用越来越广泛。vlan技术不仅可以满足局域网组建的相关要求, 还能够对网络进行灵活的分段, 进而提高网络安全。

1 vlan技术的概述

vlan技术又被人们称为是虚拟局域网, 主要应用在底层交换机端口网络用户的逻辑分段方面。该项技术在使用的过程中, 并不会由于网络用户的物理位置受到限制而不能对其进行网络分段[1]。通常情况下, 一个vlan就能够在一个交换机或者是跨交换机上实现。但是vlan在对网络用户进行分组的时候, 需要根据网络用户的位置、作用、部门以及网络用应用程度和协议来完成。从这就可以了解到, vlan技术在应用的过程中能够显示出多项优点。而在分析的时候就可以发现, vlan技术具有其他技术所不具备的特点。vlan技术具备较高的安全性与便捷性与极强的扩张性, 可以对用户的工作组进行优化组合, 进而提高管理的灵活性与效率。在网络工程中, vlan技术可以有效弥补传统网络技术存在的不足之处, 在使用方面优越性表现得非常突出。从便捷的角度来看, vlan技术中指存在一个aland就能够不受到空间的限制, 对工作站的位置进行随意变动;从安全的角度来看, 将vlan技术应用到网络工程, 只要具备vlan成员的分组数据, 就可以通过验证;而从扩展性的角度来看, vlan技术促使网络宽带获得更广泛的空间, 并且网络性能的使用程度大大提高

2 vlan技术在网络工程中的应用

相较于网络工程的其他技术, vlan技术具有一定的独特性。而也正是基于该项技术的独特性, 促使vlan技术在网络工程中获得更广泛的应用。

2.1 应用vlan技术实现子网共享

在实际生活中, 展览中心、酒店等场所中常常会将不同的楼层租住给其他不同的单位, 但是在整栋大楼空间内部就已经建好了局域网, 局域网的建设能够为企业与住户提供网络平台, 并且还可以通过共同的出口对因特网进行访问或者大楼内部信息进行访问。通常情况下, 大楼网络平台是相对统一的, 但是使用的用户群体错综复杂。在面对这样大型的局域网, 不仅仅需要对不同企业与单位解决网络需求, 还需要保证使用者之间信息的独立性。在这种情况下, 可以将vlan技术应用到网络工程中, 利用该项技术就能够提供良好的解决方案。大楼的网络管理系统人员应当通过独立性较强的虚拟网络来满足不同用户的不同需要, 这样不仅可以保证个个用户之间的相互访问, 还能够为不同用户之间信息的独立性提供必要保障。在此种情况, 再结合中继技术, 对提供代理的服务器或者是路由器与对应的局域网进行配置, 进而形成中继模式, 这样就能够实现网络之间的共享。从实际应用的状况就可以了解到, 这种配置方式在实际中具有一定的优势, 能够根据用户的需要对中继进行设置, 进而在对某个虚拟局域网进行访问的时候, 可以灵活的根据需要来进行, 这样就在一定程度上提高了网络运行的效率。

2.2 应用vlan技术划分局域网的子网

从实际应用的结果就可以发现, vlan技术在一定程度上改变了传统的网络结构, 子网的划分就是vlan技术在网络工程中应用的直接体现。现如今在社会信息技术快速发展与应用的过程中, 这种局域网的规模在一定程度上获得有效的扩展。并且在此种应用趋势下, 用户为了达到保密效果或者是其他的各种原因能够根据需要建立一个相对独立的局域网, 并将vlan技术应用到网络工程中, 这样就为局域网的安全与效益提供了相应的保障。在局域网子网划分的过程总, 应用vlan技术能够综合不同业务办公需要对访问要求综合考虑, 同时还可以适当对各个业务部门或者是课题的组成人员、交换机端口以及所在信息进行搜集整理, 这样对业务部门的数据交换进行相应的配置, 进而创建出相应的局域网[2]。对于公共局域网, 应用vlan技术可以将其划分成不同的虚拟局域网, 这样就能够减少局域网内部广播, 这对局域网传输性能的提高具有重要的意义, 可以进一步满足用户需求。

2.3 虚拟局域网的交叠技术

所谓的虚拟局域网的交叠技术, 就是在端口对虚拟局域网进行划分的基础上提出来的概念。在过去, 交换机的端口只能对所属区域的一个虚拟网, 但是在虚拟局域网的交叠技术基础上, 就能够促使一个交换机端口对所属区域的多个局域网。对于临时性或者突发性的虚拟局域划分, 通过对该项技术的应用可以达到良好的效果。如, 已经存在的局域网内部划分了多个虚拟局域网, 但是在面对一项非常重要人物的时候, 需要从不同的虚拟局网中抽离出部分技术人员临时组建一个课题, 并且还要促使这些人员之间的信息沟通应对自如。在此种情况下, 通过应用虚拟局域网的交叠技术, 就能够达到良好的效果。

3 结语

从前文的分析中就可以了解到, vlan技术在网络工程应用中, 应当属于一项综合性极强的技术。该项技术在应用的过程中具有其他技术所不具备的特点, 因而在网络工程中获得广泛应用, 保证网络工程使用的效率。

摘要：在信息技术快速发展的过程中vlan技术也在不断地发展。随着该项技术的快速发展, vlan在网络工程中的应用越来越广泛。网络工程在vlan技术的支撑下, 发展得更为迅速, 进而促进了网络信息技术的快速发展。本文就vlan技术在网络工程中的应用进行简单分析。

关键词：vlan技术,网络工程,应用

参考文献

[1]常红梅.VLAN技术在网络安全管理中的应用[J].信息安全与技术, 2011, 20 (06) :56.

[2]胡昌晟, 雷峥嵘.VLAN技术在校园网络中的应用[J].广州华南理工大学学报, 2013, 07 (020) :40.

VLAN技术网络安全 篇11

关键词：虚拟专网交换机 网络安全 拓扑结构 拓扑图

一、虚拟专网VLAN

1.1 VLAN简介及实现方法

1、控制网络的广播风暴 采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。

2、确保网络安全 VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。

3、简化网络管理 网络管理员能借助于VLAN技术轻松管理整个网络。网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。

1.2在CISCO （思科）Catalyst 4006上配置VLAN

1、设置VTP DOMAIN。VTP DOMAIN称为管理域。这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本VTP域中其他交换机传递来的VLAN信息。

2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL（Inter－Switch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。

3、创建VLAN一旦建立了管理域，就可以创建VLAN了。注意，这里的VLAN是在核心交换机上建立的，其实，只要是在管理域中的任何一台VTP 属性为Server的交换机上建立VLAN，它就会通过VTP通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个VLAN，就必须在该端口所属的交换机上进行设置。

4、将交换机端口划入VLAN 例如，要将PAR1、PAR2、PAR3……分支交换机的端口1划入COUNTER VLAN，端口2划入MARKET VLAN，端口3划入MANAGING VLAN……

5、给VLAN所有的节点分配静态IP地址，保证第三层互相访问。

二、虚拟专用网络VPN

2.1 VPN的简介及应用

当客户机通过VPN连接与专用网络中的计算机进行通信时，先由ISP（Internet服务提供商）将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务器，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

2.2 VPN使用的协议

VPN使用两种隧道协议：点到点隧道协议（PPTP）和第二层隧道协议（L2TP）。

1. PPTP PPTP是PPP的扩展，它增加了一个新的安全等级，并且可以通过Internet进行多协议通信，它支持通过公共网络（如Internet）建立按需的、多协议的、虚拟专用网络。PPTP可以建立隧道或将 IP、IPX或NetBEUI协议封装在PPP数据包内，因此允许用户远程运行依赖特定网络协议的应用程序。PPTP在基于TCP/IP协议的数据网络上创建VPN连接，实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验证，并启用数据加密，使得在不安全的网络上发送信息变得更加安全。

2. L2TP L2TP是一个工业标准的Internet隧道协议，它和PPTP的功能大致相同。L2TP也会压缩PPP的帧，从而压缩IP、IPX或NetBEUI协议，同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是，L2TP使用新的网际协议安全 (IPSec) 机制来进行身份验证和数据加密。目前L2TP只支持通过IP网络建立隧道，不支持通过X.25、帧中继或ATM网络的本地隧道。

2.3VPN的身份验证方法

1.CHAP

CHAP通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP在响应时使用质询-响应机制和单向MD5散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。

2.MS-CHAP

同CHAP相似，微软开发MS-CHAP是为了对远程Windows工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。

3.MS-CHAP v2

MS-CHAP v2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

4.EAP

通过使用EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说，使用EAP可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如CHAP）更高的安全性。

2.4VPN的加密技术

对于PPTP服务器，将采用MPPE加密技术MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2或EAP/TLS身份验证被协商之后，数据才由MPPE进行加密，MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。

对于L2TP服务器，将使用IPSec机制对数据进行加密IPSec是基于密码学的保护服务和安全协议的套件。IPSec对使用L2TP协议的VPN连接提供机器级身份验证和数据加密。在保护密码和数据的L2TP连接建立之前，IPSec在计算机及其远程VPN服务器之間进行协商。IPSec可用的加密包括56位密钥的数据加密标准DES和56位密钥的三倍DES(3DES)。

参考文献

1.程光.Internet基础与应用.清华大学出版社,2006.

2.陈少红.计算机网络基础.清华大学出版社，2006.

3.余青松.网络实用技术.清华大学出版社，2006.

4.马秀麟.计算机应用基础.清华大学出版社，2005.

5.黄永峰等.计算机网络教程.清华大学出版社，2006.

VLAN技术网络安全 篇12

随着互联网技术的发展, 网络已经在人们的生活和工作中得到广泛应用, 方便了生活, 提高工作效率。于是, 各个单位都积极进行信息化建设, 不断加强单位局域网的建设和管理。同时, 随着局域网规模的不断扩大, 网络设备和应用也急剧增加, 这就会使网络经常出现各种问题, 例如网络效率降低和安全性得不到保障等。为了解决这个问题, 在局域网中重点解决的就是广播域的隔离, 而传统隔离广播域的方法是使用路由器, 但路由器存在着价格昂贵、转发数据包的处理速度较慢等问题, 所以VLAN (Virtual Local Area Network, 虚拟局域网) 作为一种有效的网络技术, 能够从根本上解决网络效率和安全性能等问题。

1 VLAN技术概述

1.1 VLAN的产生

在传统以太网中, 由于没有划分VLAN, 使用交换机连接的网络设备处于同一个网段, 是一个大的广播域, 广播帧占用了大量的带宽, 当网络内的计算机数量增加时, 广播流量也随之增大, 广播流量大到一定程度时, 网络速度和通信效率急剧下降, 并额外增加了网络主机为处理广播信息所产生的负荷。基于此背景, 给网络分段是一个提高网络效率的办法, 而此办法就是VLAN技术。同时, 由于交换机配备有较多的以太网接口, 为在交换机中实现不同网段的广播隔离, 产生VLAN交换技术提供了条件。

一个VLAN就是一个网段, 通过在交换机上划分VLAN, 可以将一个大的局域网划分成若干个网段, 每个网段内所有主机间的通信和广播仅限于该VLAN内, 广播帧不会被转发到其他网段, 这样就实现了对广播域的分割和隔离, 保证了局域网的安全。

1.2 VLAN的工作机制

在计算机网络中, 数据传输基于OSI七层模型, 而交换机就工作于其第二层, 即数据链路层。在交换机内部存有一条背部总线和内部交换矩阵, 其中, 背部总线用于连接交换机的所有端口, 内部交换矩阵用于查找数据帧所需传送的目的地址所在端口, 查找时是根据MAC地址表进行的[2]。具体来说, 交换机通过以下几个步骤完成数据帧的转发:

(1) 初始状态时, 交换机在重新启动或手工清除MAC地址表后, MAC地址表没有任何MAC地址的记录。

(2) 当交换机从某个端口收到一个数据帧, 它先读取数据帧头中的源MAC地址, 这样它就知道了源MAC地址和端口的对应关系, 然后查找MAC表, 有没有源地址和端口的对应关系, 如果没有, 则将源地址和端口的对应关系记录到MAC地址表中;如果已经存在, 则更新该表项。

(3) 再去读取数据帧头中的目的MAC地址, 并在地址表中查找相应的端口。

(4) 如表中有与这目的MAC地址对应的端口, 把数据帧直接复制到这端口上;如果目的MAC地址和源MAC地址对应同一个端口, 则不转发。

(5) 如表中找不到相应的端口则把数据帧广播到除接收端口外的所有端口上, 当目的机器对源机器回应时, 交换机又可以记录这一目的MAC地址与哪个端口对应, 在下次传送数据时就不再需要对所有端口进行广播了。

1.3 VLAN的划分方法

VLAN目前主要是在交换机上划分, 可以分为静态VLAN和动态VLAN。静态VLAN就是明确地指定交换机的端口分别属于哪个VLAN, 动态VLAN是根据交换机端口上所连接的计算机的情况来决定属于哪个VLAN。通常的划分方式有以下几种:

(1) 基于端口划分VLAN。基于端口划分的VLAN属于静态VLAN, 是将交换机上的物理端口分成若干个组, 每个组构成一个虚拟网, 相当于一个独立的VLAN交换机。

(2) 基于MAC地址划分VLAN。基于MAC地址的VLAN是动态VLAN, 就是将MAC地址分成若干个组, 使用同一组MAC地址的用户构成一个虚拟局域网。

(3) 基于网络层协议划分VLAN。基于网络层协议的VLAN也是动态, 可划分为IP、IPX、DECnet、Apple Talk、Banyan等VLAN网络。

2 VLAN技术在局域网中的实现

在局域网的组建过程中, 根据实际应用和VLAN的划分不受网络端口的实际物理位置的限制的特点, VLAN技术在局域网构建中的实现可以分为两种情况, 一是同一交换机上VLAN的划分, 二是跨交换机上VLAN的划分。

2.1 同交换机上VLAN的划分

如果局域网规模比较小, 需要连接网络的用户也比较少, 此时连接计算机的交换机可能是同一个, 但由于单位内部业务的不同, 出于管理便捷和数据保密等方面的考虑, 可以在一个交换机上划分出对应的VLAN。在划分之前, 网络管理员需要收集局域网内各用户计算机与交换机连接端口信息, 并根据业务的不同划分出不同的VLAN, 进而提高网络传输性能。此种划分方法的网络拓扑图如图1所示。

同交换机划分VLAN后, 能够将接入此交换机的计算机从逻辑上将广播域隔离开, 缩小了传播的范围, 提高了网络的稳定性和安全性。在实际使用中, 如果连接不同VLAN的计算机要进行通信, 需要借助外部的路由器来为VLAN指定默认路由。此时路由器和交换机之间要以Trunk链路的方式相连, 并在交换机的接口上创建与VLAN对应的逻辑子接口, 同时设置逻辑子接口的IP地址, 以成为对应VLAN的的默认网关, 这样就能实现VLAN之间的路由转发[3]。需要注意的是, 路由器上创建的逻辑子接口需要使用802.1Q协议来进行封装, 以保证VLAN信息的正常传输。

2.2 跨交换机上VLAN的划分

在实际应用中, 通常可以跨越多台交换机的多个端口划分VLAN。比如, 同一个部门的员工可能会分在不能的建筑物或不同的楼层中, 这时的VLAN将跨越多台交换机。同样, 在划分VLAN之前, 也需要网络管理员去完成各个部门的人员组成、智能、办公室的位置和用户计算机与交换机的连接端口等信息。据此来对交换机的端口进行配置, 划分若干个VLAN。此种划分方法的网络拓扑图如图2所示。

对于跨交换机划分的VLAN, 要实现它们之间的通信, 必须使用路由器。但是路由器在转发数据包过程中, 需要把转发数据包中的目的地址和路由表项进行对比, 处理速度较慢, 降低了整个网络的效率。因此, 出现了将交换机的快速交换能力和路由器的路由寻址能力结合起来的三层交换技术, 它解决了局域网中网段划分之后子网必须依赖路由器进行管理的局面, 同时也解决了传统路由器低速、复杂所造成的网络瓶颈问题。

3 VLAN技术实现网络安全的应用策略

3.1 实现数据传输加密机制

在实际应用中, 用户有时需要在局域网上传输一些保密、关键性的数据。这时, 管理员可以对数据的信息源进行加密, 即进一步对传送的文件进行加密或对API进行加密, 从而提高信息存储的机密性。同时, 还需要对数据传输的通道进行加密, 利用VLAN技术建立基于公钥或对称密钥的加密体制, 用来判断数据在传输过程中的哪一层进行加密, 并对传输信道进行加密[4]。

3.2 实现集中化管理机制

VLAN是逻辑划分的, 不收物理位置的限制, 这样可以灵活构建VLAN。通过集中化的VLAN管理程序, 管理员可以确定VLAN分组, 并给VLAN分组分配特定用户和交换端口。同时, 设置VLAN的安全等级, 限制广播域的大小, 并通过冗余链路负载分担网络流量, 监控VLAN间的通信流量和网络带宽。这样能有效地提高网络管理的可控性、灵活性和监视能力, 减轻了管理员的负担, 减少了管理的费用。

3.3 实现网络授权和访问机制

在VLAN中, 可以提供建立防火墙的机制, 管理员可以限制VLAN中用户的数量, 禁止未经允许的用户访问VLAN。同时, 从用户应用角度看, 用户使用的信息管理系统一般采用集中式管理的, 所以可以采取其中的授权访问控制模式, 根据应用需求的不同来控制不同的用户来访问相应的应用系统。

4 总结

VLAN技术在局域网组建中使用广泛, 通过相应的设置可以解决现在大多数局域网面临的网络安全隐患, 本给出了VLAN技术在在局域网中的具体实现和安全策略。因此, 利用对VLAN技术手段进行合理使用, 我们不仅可以完成对资源的有效共享, 而且对于网络安全的保障也有着重要的意义。

摘要：随着计算机网络的技术发展, 很多企业和单位都组建自己的局域网, 为了保证网络的可靠运行, 局域网的安全就显得很重要。VLAN技术可以从逻辑上实现对局域网进行分段, 进而解决了局域网面临的很多网络隐患。本文介绍了VLAN技术的基础知识, 并重点讨论了VLAN技术在局域网内的架设方案, 以及通过VLAN技术能够实现网络安全的应用策略。

关键词：VLAN技术,交换机,局域网,网络安全

参考文献

[1]窦霞.利用VLAN技术组建局域网[J].科技信息, 2011 (19) .

[2]汪永生.园区网建设中VLAN技术的应用[J].信息与电脑, 2015 (19) .

[3]柳华.VLAN技术及其在校园网中的应用[J].科技创新与应用, 2016 (24) .