1、1利用 VLAN 技术提高网络安全水平摘要:利用 VLAN 技术对企业内部网络进行了划分,极大的提高了网络安全水平。有效控制广播风暴对整个网络的影响。同时也能避免 ARP等病毒危害整个矿的网络。减少重要系统受病毒影响的可能性。 关键字:VLAN、网络安全 Abstract: The internal network was divided by using the VLAN technology, greatly improved the network security level. Effective control of the entire network broadcast stor
2、m. At the same time, can also avoid the network virus such as ARP whole mine hazards. Reduce the possibility of important system affected by the virus. Key words: VLAN, network security 中图分类号:TP393 一、背景 顾北矿现有网络覆盖广,包括全矿各个单位及外委队,网络用户数已达五百多户,因此网络安全问题日益突出。为了保证煤矿各个重要应用系统如瓦斯上传监控系统、煤质运销系统、调度系统、CI 系统等的正常运行,
3、避免因网络故障或网络病毒引起这些重要系统的无法使用,结合顾北矿现有网络实际情况,利用 VLAN 技术对顾北矿网络进行了划分,极大的提高了顾北矿网络安全水平。 2二、VLAN 技术简介 逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网 VLAN。IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 802.1Q 协议标准草案。VLAN 是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了 VLAN头,用 VLAN ID 把用户划分为更小的工作组,限制不同工作组
4、间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组动态管理网络。基于交换式的以太网要实现虚拟局域网主要有三种途径:基于端口的虚拟局域网(一般为管理员手工添加,称之为静态 VLAN) 、基于 MAC 地址(一般使用智能化的管理软件,创建动态 VLAN)的虚拟局域网和基于 IP 地址的虚拟局域网(一般为管理员手工添加) 。 使用 VLAN 具有以下优点: 1、为转发过程中,携带着目的 MAC 地址的帧是否发往目的端口提供查询。静态滤波条目、静态 VLAN 注册条目只能由管理层控制。动态滤波条目、动态 VLAN 注册条目由学习过程生成和更新,可以
5、被管理层读取。滤波数据库支持学习过程对其 Entry 进行创建、更新和删除 2、创建虚拟工作组: 使用 VLAN 的最终目标就是建立虚拟工作组模型,例如,在企业网中,同一个部门的就好像在同一个 LAN 上一样,很容易的互相访问,交流信息,同时,所有的广播包也都限制在该虚拟 LAN 上,而不影响其他 VLAN3的人。一个人如果从一个办公地点换到另外一个地点,而他仍然在该部门,那么,该用户的配置无须改变;同时,如果一个人虽然办公地点没有变,但他更换了部门,那么,只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境,当然,这只是一个理想的目标,要实现它,还需要一些其他方面
6、的支持。用户不受到物理设备的限制,VLAN 用户可以处于网络中的任何地方,VLAN 对用户的应用不产生影响。 3、网络管理简单、直观 对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用 VLAN 技术的网络来说,一个 VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN 提供了网段和机构的弹性组
7、合机制。 总之,VLAN 技术的优势真的很明显,当然,默认时,一个 VLAN 上的所有主机都不能和另外一个 VLAN 中的任何主机进行通信,因此,如果想要在 VLAN 之间进行通信,仍然需要路由器(或者三层交换机) 。 三、用途 集团公司分配给顾北矿的 IP 地址段 137.12.108.1-137.12.111.254,网络覆盖全矿各个生产办公楼及选煤厂,覆盖面广,网络用户多。考虑4到网络的安全性及矿井重要应用系统的稳定性,采用在矿内基于端口划分虚拟网VLAN,这样就可以将重要部门、重要系统的网络用户与其它普通网络用户分开,如果普通用户电脑中病毒等不安全情况不会影响到其它网段的用户。 四、原
8、理及应用方案 VLAN 通信原理:1、利用三层交换机,它是将路由器和交换机合成的一种设备,融合了路由器和交换机各自的优势 。2、为了解决物理接口需求过大的问题,在 VLAN 技术的发展中,出现了独臂路由器,用于实现VLAN 间通信的三层网络设备路由器,它只需要一个以太网接口,通过创建子接口可以承担所有 VLAN 的网关,而在不同的 VLAN 间转发数据。根据上面的原理,顾北矿 VLAN 划分如下: 把机关单位及瓦斯监控上传系统、煤质运销系统、用友财务系统、朗新人力资源系统划分在 108 段虚拟网络;把基层单位及外委队划分在109 段;物管科及 CI 系统划分在 110 段;科技公寓用户通过 DHCP 获取111 段地址。另外在核心交换机还可以增加 VLAN,如安防监控系统。这样划分后几个网段互不干扰,有效控制广播风暴对整个网络的影响。同时也能避免 ARP 等病毒危害整个矿的网络。减少重要系统受病毒影响的可能性。
