VLAN技术在企业网络安全中的应用.docVIP

VLAN技术在企业网络安全中的应用 　　摘 要：为了解决企业中存在的一些网络问题，可以通过VLAN技术来实现逻辑上对局域网实现分段，进而解决企业面临的很多的网络隐患。本文重点讨论了VLAN技术在企业内的架设方案以及通过使用VLAN技术能够实现的网络安全策略。 　　关键词：虚拟交换；安全；策略 　　中图分类号：TP393.18 　　计算机技术和网络技术的飞速发展，加快了企事业单位的信息化建设的步伐。信息技术和网络技术在企事业单位的应用，为企事业单位带来了效益和便利。但是同时也为企业的信息安全带来了隐患。所以，现在网络安全问题成为各个企事业单位普遍关注的问题。不同类型的企事业单位所采用的网络安全策略也应该是不同的，针对某企业的特点，本文分析利用VLAN技术来进行企业网络安全的保障。 　　1 VLAN概述 　　VLAN全称是Virtual Local Area Network，通常称之为虚拟局域网。VLAN能够通过逻辑上的划分将一个物理上的局域网实现分段，并能在局域网内实现虚拟的工作组的交换。在交换机和路由器中最常用的就是VLAN技术。 　　VLAN技术属于交换技术的类型，通过使用VLAN可以有效解决网络中的一些难题。例如：传统的网络技术对路由器的依赖严重，VLAN能减少这种依赖性，并同时能有效控制网络内广播的流量。利用VLAN技术就不需要再额外增加网络的站点，这样就能降低网络维护的复杂度和费用。如果在网络中能合理的利用VLAN技术，就能有效地提高网络的灵活度，并能通过有效的网络分段，提高网络的安全性能。 　　2 企业存在的网络安全隐患 　　大多数企业的内部网结构较为复杂，为了适用企业本身的特点，所以网络设置的也较为灵活，这样提升了网络的可用性，但是同时也增加了网络的安全隐患和安全漏洞。下面就分析一下大多数企业存在的网络安全隐患。 　　2.1 网络的非法接入隐患 　　对于企业来说，网络中传输和共享的数据时非常珍贵的企业资料。这些资料中不乏秘密甚至机密的内容，这些内容当然是不希望被网络外部的非法人员访问到得。但是现在对于网络的非法访问手段却是从出不穷，给网络的安全性带来很大的威胁。 　　2.2 伪AP和伪网络 　　非法攻击者对于煤炭企业的网络攻击还可能是通过假的网络接入设备伪造成真的，然后诱骗合法用户使用。这样，非法攻击者就会通过这种手段来非法获取合法用户的用户名和密码。 　　2.3 网络窃听 　　虽然，对于有线网络来说，它可以用物理隔离之类的手段来减少网络窃听的威胁，所以相对无线网络来说，有限网络被进行窃听的可能性要小一些。但是并不是完全没有，而且，现在的窃听手段有所提升，例如窃听者可以在他们的计算机上安装类似Sniffer、ethereal等窃听软件，可以轻易从企业的网络中捕获其在内部网上传输的数据包。 　　2.4 数据篡改 　　对数据进行篡改是另一种常见的非法攻击形式。这也是对企业来非常严重的破坏方式。攻击者会通过构造虚假报文对煤炭企业的合法用户进行欺诈。一般来将，非法攻击者会对企业的内部网进行三种形式的数据篡改。第一种是对企业的日常的业务数据进行篡改，这样就会给合法用户展现一种错误的业务数据，以来欺骗合法用户；第二种是捏造假的用户请求，非法接入网络；最后一种是将网络的管理报文进行篡改，来影响企业的网络设备的正常运转。 　　3 VLAN技术在企业网的实现 　　通过对某企业的企业内部网络的特点进行分析，笔者为该企业设计了一个VLAN的网络解决方案。该方案要求节省成本，又要规划合理，同时还要能解决该企业的网络问题。所以根据这些要求，笔者采用了基于端口的方法来对该企业进行了网络的VLAN逻辑划分。 　　图1 企业VLAN拓扑结构图 　　笔者设计的某企业的结构主要是行政区域、后勤服务、生产区域、公寓楼等，不同的职能区域都需要单独设置VLAN架构，但是每个职能区域设置VLAN的原理是几乎相同的。所以在此，笔者就以行政区域为例来进行VLAN拓扑结构的设计，具体如图1所示。该行政楼有四个楼层，以每个楼层为一个VLAN，所以一共有四个VLAN，在图1中可以看出VLAN的设置是基于端口的方式，交换机的配置可以通过超级终端等仿真程序实现。对于VLAN的交换机有两个要求： 　　（1）要求交换机在楼层间的传输速率要达到1000M/s； 　　（2）要求交换机能够实现在同一VLAN内和不同VLAN内的通信。所以，按照这个要求，可以选择CS6509E三层交换机作为核心交换机，AS3750作为行政楼各楼层用的交换机。二级交换机和核心交换机的连接是通过二级交换机的千兆模块和核心交换机的千兆端口相连来实现的，连接方式是TRUNK方式，也就是说是通过程序的编写来将两个或多个物理端口组合成一条逻辑路径以此来增加在交