VLAN技术网络安全论文

2022-04-16

【摘要】现在局域网的应用越来越广泛,一个没有防护的局域网,很容易造成病毒蔓延、广播风暴严重等网络问题。该如何有效控制局域网病毒的扩散、控制广播风暴、禁止外来人员自带设备随意接入局域网等局域网安全问题。本文根据公司实际状况,对局域网的安全做了安全分析,并实施了相应的安全防护措施。以下是小编精心整理的《VLAN技术网络安全论文(精选3篇)》的文章,希望能够很好的帮助到大家,谢谢大家对小编的支持和鼓励。

VLAN技术网络安全论文 篇1:

VLAN技术在企业信息网络安全中的应用实践

摘要:本文首先介绍了VLAN技术在信息网络中的应用及工作原理,并通过一个配置VLAN实例,详细阐述VLAN配置方法及过程。

关键词:VLAN;企业;安全;信息网络

VLAN Technology Application Practice in the Enterprise Information Network Security

Gao Yue

(Eastern Inner Mongolia Electric Power Co.,Ltd.,Xing’an Electric Power Bureau,Ulanhaote 137400,China)

引言:信息技术在过去的十几年里的发展是非常惊人的,曾经被认为昂贵且复杂的许多网络设备,而今已被企业广泛采用,曾经被认为是大公司的专利,现如今几乎到处可见。所有这些都源于人们越来越意识到了网络安全的重要性。VLAN技术的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便、随心所欲。

一、VLAN技术

VLAN即虚拟局域网,是一种通过将局域网内的设备逻辑的而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN,每一个VLAN是一个广播域,VALN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内。VLAN的优点:

(一)限制广播域

广播域被限制在一个VLAN内,节省了带宽,提高了网络的处理能力。

(二)增强局域网的安全性

不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VALN要进行通信,则需要通过路由器或者三层交换机等三层设备。

(三)灵活构建虚拟工作组

用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。

二、创建及配置VLAN

VLAN实现通常是以端口为中心的,与节点相连的端口将确定它所留的VLAN。将端口分配给VLAN的方法有两种:静态的和动态的。形成静态VLAN的过程是将端口强制性地分配给VLAN的地程。即先在VTP服务器上建立VLAN,然后将每个端口分配给相应的VLAN的过程。这是创建VLAN是常用的方法。动态VLAN的形成很简单,由端口决定自己属于哪个VLAN。即先建立一个VMPS VLAN管理策略服务器,里面包含一个文本文件,文件中存有与VLAN映射的MAC地址表。交换机根据这个映射表决定将端口分配给何种VLAN。这种方法有很大的优势,但是创建数据库是一项非常艰苦而且非常繁琐的工作。

下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型的局域网就是指由一台具备三层交换功能核心交换机接几台分支交换机。我们假设核心交换机的名称为SW;分支交换机S1、S2,分别通过吉比特光纤端口g0/1与核心交换机相连,并且假设VLAN名称分别为COUNTER、MARKET。

三、设置VTP DOMAIN管理域

交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换上设置一个管理域,网络上的所有的交换机都加该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。

在核心交换机上配置:

SW#vlan database SW(VLAN)# vtp domain SW SW(VLAN)#vtp server

在分支交換机上分别配置:

S1#vlan database S1(VLAN)#vtp domain SW S1(VLAN)#vtp client

S2交换机的配置同上

四、配置中继

配置中继是为了保证管理域能够覆盖所有的分支交换机,因此必须配置中继。

在核心交换机上配置如下:

SW(config)#int rang g2/1- 2 SW(config-if)#switchport

SW(config-if)# switchport trunk encapsulation is1

SW(config-if)# switchport mode trunk

在分支换机配置如下:

S1(config)#int g0/1 S1(config-if)#switchport mode trunk

S2(config)#int g0/1 S2(config-if)#switchport mode trunk

五、创建VLAN

我们一旦建立了管理域,就可以创建VLAN了。

SW(VLAN)#vlan 10 name counter SW(VLAN)#vlan 11 name market

六、将交换机端口划分到VLAN中

S1(config)#int f0/1 S1(config-if)#switchport access vlan 10

S1(config)#int f0/2 S1(config-if)#switchport access vlan 11

交换机S2的配置同S1

七、配置三层交换

VLAN已经基本划分完毕,但是,VLAN间如何实现三层交换呢,这时就要给各VLAN分配网络IP地址了。给VLAN分配静态的IP地址,首先在核心交换机上分别设置各VLAN的接口IP地址。

SW(config)#int vlan 10 SW(config-if)#ip address 172.16.58.1 255.255.255.0

SW(config)#int vlan 11 SW(config-if)#ip address 172.16.59.1 255.255.255.0

再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址。这样所有的VLAN也可以互访了。

我们采用VLAN技术来构建网络,可以把一个本地网络根据业务的需要来进行逻辑上的划分,灵活多变的VLAN划分方式可以保证网络不受地理位置的影响来进行划分,可以把原来本地网络内部的广播域分割成多个不同的小的广播域,避免网络内部广播风暴的出现。可以将一些网络故障限制在一个VLAN之内,增强了网络的健壮性。这使得VLAN技术在新一代的网络构建中占有重要的地位。

作者:高跃

VLAN技术网络安全论文 篇2:

利用VLAN+IP+MAC+端口绑定技术实现企业网络安全

【摘 要】现在局域网的应用越来越广泛,一个没有防护的局域网,很容易造成病毒蔓延、广播风暴严重等网络问题。该如何有效控制局域网病毒的扩散、控制广播风暴、禁止外来人员自带设备随意接入局域网等局域网安全问题。本文根据公司实际状况,对局域网的安全做了安全分析,并实施了相应的安全防护措施。

【关键词】局域网;VLAN;广播风暴;IP地址;MAC地址;端口;绑定

本人所在企业的以前网络结构较为单一,三百多台电脑共同存在于一个局域网内,使用同一个网关,都可以互相访问,因此导致当ARP病毒爆发时,对我公司网络造成极大的危害,使得本局域网瘫痪将近半月之久。为了能够有效防止该类事情的再次发生,防止网络病毒的蔓延扩散,我们便使用了VLAN+IP+MAC+端口绑定技术对局域网做了隔离保护,并有效控制了电脑的随意接入。

一、局域网介绍

局域网的发展是VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。

局域网(LAN)通常是一个单独的广播域,主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。

但这样做存在两个缺陷:首先,随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作:路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。其次,用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。

二、VLAN技术介绍

VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。

三、VLAN的划分与交换技术的关联

各企业的信息网络普遍使用二层交换技术的网络架构实现。随着企业信息化水平的提高,企业信息系统网络规模不断扩大,随之而来的网络安全、网络流量、网络通信速度、网络维护工作量等问题明显增加。但是二层交换技术架构网络的主要弱点是:在局域网内不能划分VLAN,网络物理链路存在安全漏洞,同一个网段内的工作站过多会引起广播风暴,甚至导致网络瘫痪,不能有效地解决各种网络互连、安全控制等问题。三层交换技术的出现主要是为了解决规模较大的网络中的广播问题,通过VLAN把一个大的交换网络划分为多个较小的广播域,各个VLAN之间再采用三层交换技术互通。企业信息网络采用三层交换技术,可以确保计算机网络更加合理、安全、有效。

四、VLAN与绑定技术的结合

在三层交换机中可在VLAN间采用访问控制策略,能够加强网络的整体安全。在核心层和汇接层交换机的接口上建立访问控制列表来实现VLAN之间的访问控制,决定哪些用户数据流可以在VLAN之间进行交换,以及最终到达核心层。为了能够进一步确保网络安全,禁止外来人员随意进入局域网,可结合三层交换机的IP+MAC+端口的绑定命令来规范局域网设备接入规则。这样一方面可以有效控制住电脑的移动,确保网络安全的同时,也为计算机台账管理提供了方便,计算机更换部门后,必须更换绑定的端口方可上网。

5VLAN+IP+MAC+端口绑定实施过程

首先规划各个部门的VLANID(如图一),收集各个部门的MAC地址信息和各个部门所在三层交换机的端口号。然后分别给每台电脑分配IP地址,网卡MAC地址,并做成excel表格,便于后期查询。然后就是在三层交换机上划分VLAN和做IP、MAC、端口三者绑定。由于绑定端口的命令要三百多条,数量庞大,在这里有个小诀窍:可以通过前期生成的表格,按照命令格式,先做一条命令出来,剩余的按照前后顺序排好IP、MAC和端口,分别在这三个字段前加入相应的命令行格式,最后复制到普通的文本文档中,则可得到完整的命令。另外一种方式则可利用文字编辑软件(ultraedit等)替换命令,把识别字符替换成命令行字符命令格式。

在具体实施的过程中,没有遇到太大的障碍。就是前期交换机配置需要大量时间,当所有交换机配置完成,并导入绑定的命令行后,开始实际运行时,会有少量的电脑需要做部分调整,运行一段时间后,则开始趋于稳定。

图一公司VLAN规划

五、结束语

经过企业内部网络改造,大规模的病毒爆发再没有发生,给公司的正常办公提供了技术保障,同时也大大的降低了因病毒造成的计算机维护量。

作者简介:

王春伟(1979-),男,湖北省丹江口市人,本科学历,汉江丹江口铝业有限责任公司,工程师,研究方向:数据库安全及网络管理.

作者:王春伟

VLAN技术网络安全论文 篇3:

基于VLAN聚合技术的以太网设计

摘要:在局域网的搭建中,通常要划分多个VLAN。傳统上要为每个VLAN分配单独的IP网段,每个网段拥有独立的网络地址、广播地址和网关地址,有大量的IP地址浪费。基于IP地址节约的原则,采用典型以太网拓扑,对VLAN聚合技术进行了探讨。VLAN聚合技术可以通过Super-VLAN将多个Sub-VLAN进行聚合,使多个VLAN能够共享同一个逻辑IP网段,有效地实现了以太网中IP地址的节约。

关键词:VLAN;以太网;IP地址;端口;通信

0引言

在传统的以太网设计中,VLAN与子网是完全对应的。每一个VLAN都是一个独立的广播域,需要为其分配一个单独的IP地址子网网段[1]。当网络中VLAN的数量较多时,就需要为其划分出大量的子网网段。虽然可以利用可变长子网掩码(Variable-Length Subnet Masks,VLSM)技术来实现IP地址的节约,但每划分出一个子网,就需要占用至少3个IP地址分别作为网络地址、广播地址和网关地址,在一定程度上依然会造成IP地址的浪费[2]。另外,出于节约IP地址的目的,为各个VLAN划分的子网网段一般不会有太多的冗余IP地址,这也导致了VLAN的可扩展性不高。要从根本上解决该问题,就需要打破VLAN与子网之间的关联,在保持VLAN作为独立的广播域的同时,不再与逻辑IP子网进行对应,所用到的技术即VLAN聚合(VLAN Aggregation)技术[3]。

1 VLAN聚合

VALN聚合技术,通常也称为超级(Super)VLAN,是指在一个父VLAN下包括多个子VLAN,并允许多个VLAN使用同一个逻辑网段的IP地址[4]。为实现该功能,在VLAN聚合中,将VLAN划分成了2种不同的类型,分别如下:

(1)Super-VLAN

即“父VLAN”,只能在3层交换机上创建。Super-VLAN不包含任何物理端口,主要作用是关联Sub-VLAN并进行逻辑聚合,提供相应的3层虚接口地址作为它所聚合的Sub-VLAN中主机的网关地址。

(2)Sub-VLAN

即“子VLAN”,可以在2层或3层交换机上创建。Sub-VLAN负责交换机物理端口的接入,但不能创建相应的3层虚接口。多个Sub-VLAN被关联到同一个Super-VLAN中,并共用Super-VLAN的3层虚接口的地址作为网关地址,即多个Sub-VLAN中的主机实际上使用同一个逻辑网段的IP地址。需要注意的是,关联在同一个Super-VLAN中的多个Sub-VLAN彼此之间依然处于2层隔离状态,无法进行直接通信[5]。

2 VLAN聚合技术实现

典型的局域网汇聚层交换机与接入层交换机连接拓扑如图1所示。假设该网段能拥有192.168.1.0/24的网络地址,交换机SW1和SW2上分别配置VLAN10和VLAN20,这2个VLAN作为Sub-VLAN,所有主机均使用网段192.168.1.0/24中的IP地址,交换机CoreSwitch上的VLAN100作为Super-VLAN,为其聚合的Sub-VLAN提供网关。





通过对比可以发现,使用VLAN聚合技术,该网段主机可用IP地址为192.168.1.1~192.168.1.253,共253个。而传统VLAN技术中,主机可用IP地址为192.168.1.1~192.168.1.125,192.168.1.129~192.168.1.253,共250个。在实际的网络规划中,VLAN数目是比较多的。VLAN数目越多,VLAN聚合技术在IP地址节约和VLAN可扩展性方面的优势就越突出。

4结束语

VLAN聚合技术通过Super-VLAN为多个Sub-VLAN配置使用同一个逻辑网段的IP地址,打破了传统上VLAN与逻辑IP网段之间的关联,有效地实现了IP地址的节约,同时也提高了VLAN的可扩展性。

参考文献

[1]华为技术有限公司.HCNP路由交换学习指南[M].北京:人民邮电出版社,2017.

[2]秦文江,胡阔见.双线路下网络架构设计与应用[J].计算机与网络,2018,44(16):63-65.

[3]华为技术有限公司.HCNP路由交换实验指南[M].北京:人民邮电出版社,2017.

[4]王光辉.基于三层交换的两种VLAN间通信的设计与实现[J].信息通信,2019(8):106-108.

[5]李景宇,刘晓华,谢旭生.三层交换机中VLAN技术的运用实践探究[J].网络安全技术与应用,2019(4):13-14.

[6]田庚林,张少芳,田华,等.小型网络组网技术[M].北京:清华大学出版社,2018.

作者:赵艳春 张少芳 殷建刚