VLAN技术网络安全论文
下面小编整理了一些《VLAN技术网络安全论文(精选3篇)》,希望对大家有所帮助。摘要:本文首先介绍了VLAN技术在信息网络中的应用及工作原理,并通过一个配置VLAN实例,详细阐述VLAN配置方法及过程。
VLAN技术网络安全论文 篇1:
VLAN网络技术在送变电企业网络安全中的应用
当前,局域网与外界的信息传输几乎包含了除卫星以外目前所有的传输方式,规模的庞大、结构的复杂、各类形式的安全隐患给我们的网络管理带来了越来越多的挑战。尤其是近两年互联网病毒严重侵蚀着我们的网络,形成的广播风暴致使网络时常瘫痪,客户端系统更是深受其害,为了解决这一问题,从软硬件两方面对网络进行改造,消除和防范计算机网络病毒(以我公司的实际情况进行讲解)。
一、造成网络病毒和网络瘫痪的原因分析及问题的解决
各类病毒通过局域网进行扩散,二三百台的微机全部都在一个214网段,一台计算机感染病毒,本机的网卡便会通过广播的方式迅速传遍这个网络,然后被感染的计算机也向交换机发送广播,致使交换机堆积了大量的垃圾数据堵塞在各网络节点,导致交换机的瘫痪。后果是所有的网络用户都无法上网。
由于网络设备性能的问题,网络管理员无法有效的对网络内用户进行足够的分层次管理,网络内约300台电脑处于一个二层的平的网段,无法在保证关键应用的关键服务,无法保证关键应用的可靠性服务。数据库服务器的权限可能等同于一台普通用户PC的权限,其安全性,可靠性也与一台普通PC相同。
网络内300多台PC处于一个大的广播域,即使在网络正常应用的情况下,网络内也将充斥这大量的数据包的广播,比如某些应用程序可能会定期发出广播包,某台PC更换网卡后,其他PC将通过广播的方式,查找新网卡的MAC地址,再比如如果某块网卡出现故障的情况下,该PC将不断的通过发出大量广播包的方式,来监听网络等等。这些广播包的数量将在网络利用中占极大的比重。
如果网络内的某一台PC被感染病毒,由于没有任何的防范措施,该病毒将很快的传播给其他PC,即使有的PC安装有杀毒软件不会被感染,但是网络带宽将被感染病毒的PC发出的数据包所充斥,如果网络内的PC被感染了,那么发出垃圾数据包的PC的数量将不止是一台,可能是几十台甚至上百台,那么网络内正常的数据传输将得不到应有的网络资源。网络正常的服务将得不到保证,用户可能无法正常访问网络,如果严重的话,可能会因负载过大造成网络的瘫痪。
如果病毒不单单是冲击波病毒,而且含有恶意攻击性行为的话,恶意用户可能登陆到服务器,任意篡改,窃取数据,并且控制服务器,其后果将是非常严重的。
我们利用CISC04506交换机所独有的第2层和第三层控制功能的组合,消除了今天基于路由器的主干的性能瓶颈和拓扑局限性。这样可以根据不同的部门,不同权限的用户,规划网络,使其处于不同的虚拟局域网(VLAN)。CISC04506交换机,将作为这个网络的核心交换机,对具有不同权限的用户组成的不同VLAN,分配不同的权限,根据实际情况分配指定丰富的访问策略。组建一个层次化和模块化分明的网络。
网络服务器千兆光纤网卡,直接连接到CISC04506上,并且划分单独的服务器VLAN,通过在该VLAN接口上实施访问策略,网络管理员可以有选择的使网络内的用户访问服务器,并且通过关闭不安全的端口,即使有病毒袭击,也因为在进入VLAN端口上关闭了不安全的端口而将病毒拒绝,保证了服务器的正常使用。
由于根据不同用户,划分了不同的VLAN,缩小了广播域的规模,每个VLAN,就是一个广播域。网络中正常的和非正常的广播,都在VLAN之内传播,而不会影响到其他VLAN内的用户。即使某个VLAN中Pc中了病毒,恶意的数据包也不会透过VLAN传递到其他VLAN中。
在CISC04006和CISC04506之间通过双千兆光纤连接,通过链路聚会功能,在两个交换机之间实现双向4G的带宽。路由器10M接口,连接防火墙和交换机,10M接口已成为整个网络的瓶颈,并且在这个网络当中,在交换机和防火墙之间放置路由器并不是必要的。虽然划分了不同的网段,但是路由器并不能在各个网段直接隔离二层的广播包,各个网段仍可以通过路由器连接交换机的端口上的不同IP地址,进行访问。路由器的放置,不但影响了网络性能,并且增加了故障点,并且起不到保护各个网段的作用。在CISC04006交换机和防火墙之间放置了CIS-C04506交换机后,具备三层交换功能的交换机将三层和四层数据包的交换功能从CISC0261 1路由器的几万个包提高到上百万的数据包,不但实现了VLAN之间设备的互访,还极大的提高了不同网段之间的数据包的路由和交换速率,CISC04006交换机和CISC04506的速率通过千兆模块连接,达到千兆。
二、改造效果价值评价
网络在进行改造后,经过近一年的运行,完全达到了预期效果。服务器网络传输达到了1000M交换,用户访问服务器的速度大大提高。并且通过网上监测发现,消除了各类病毒的可疑代码,整体网络运行速度非常正常,工作效率得到了很大提高。
作者:付宁
VLAN技术网络安全论文 篇2:
VLAN技术在企业信息网络安全中的应用实践
摘要:本文首先介绍了VLAN技术在信息网络中的应用及工作原理,并通过一个配置VLAN实例,详细阐述VLAN配置方法及过程。
关键词:VLAN;企业;安全;信息网络
VLAN Technology Application Practice in the Enterprise Information Network Security
Gao Yue
(Eastern Inner Mongolia Electric Power Co.,Ltd.,Xing’an Electric Power Bureau,Ulanhaote 137400,China)
引言:信息技术在过去的十几年里的发展是非常惊人的,曾经被认为昂贵且复杂的许多网络设备,而今已被企业广泛采用,曾经被认为是大公司的专利,现如今几乎到处可见。所有这些都源于人们越来越意识到了网络安全的重要性。VLAN技术的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便、随心所欲。
一、VLAN技术
VLAN即虚拟局域网,是一种通过将局域网内的设备逻辑的而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN,每一个VLAN是一个广播域,VALN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内。VLAN的优点:
(一)限制广播域
广播域被限制在一个VLAN内,节省了带宽,提高了网络的处理能力。
(二)增强局域网的安全性
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VALN要进行通信,则需要通过路由器或者三层交换机等三层设备。
(三)灵活构建虚拟工作组
用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
二、创建及配置VLAN
VLAN实现通常是以端口为中心的,与节点相连的端口将确定它所留的VLAN。将端口分配给VLAN的方法有两种:静态的和动态的。形成静态VLAN的过程是将端口强制性地分配给VLAN的地程。即先在VTP服务器上建立VLAN,然后将每个端口分配给相应的VLAN的过程。这是创建VLAN是常用的方法。动态VLAN的形成很简单,由端口决定自己属于哪个VLAN。即先建立一个VMPS VLAN管理策略服务器,里面包含一个文本文件,文件中存有与VLAN映射的MAC地址表。交换机根据这个映射表决定将端口分配给何种VLAN。这种方法有很大的优势,但是创建数据库是一项非常艰苦而且非常繁琐的工作。
下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型的局域网就是指由一台具备三层交换功能核心交换机接几台分支交换机。我们假设核心交换机的名称为SW;分支交换机S1、S2,分别通过吉比特光纤端口g0/1与核心交换机相连,并且假设VLAN名称分别为COUNTER、MARKET。
三、设置VTP DOMAIN管理域
交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换上设置一个管理域,网络上的所有的交换机都加该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
在核心交换机上配置:
SW#vlan database SW(VLAN)# vtp domain SW SW(VLAN)#vtp server
在分支交換机上分别配置:
S1#vlan database S1(VLAN)#vtp domain SW S1(VLAN)#vtp client
S2交换机的配置同上
四、配置中继
配置中继是为了保证管理域能够覆盖所有的分支交换机,因此必须配置中继。
在核心交换机上配置如下:
SW(config)#int rang g2/1- 2 SW(config-if)#switchport
SW(config-if)# switchport trunk encapsulation is1
SW(config-if)# switchport mode trunk
在分支换机配置如下:
S1(config)#int g0/1 S1(config-if)#switchport mode trunk
S2(config)#int g0/1 S2(config-if)#switchport mode trunk
五、创建VLAN
我们一旦建立了管理域,就可以创建VLAN了。
SW(VLAN)#vlan 10 name counter SW(VLAN)#vlan 11 name market
六、将交换机端口划分到VLAN中
S1(config)#int f0/1 S1(config-if)#switchport access vlan 10
S1(config)#int f0/2 S1(config-if)#switchport access vlan 11
交换机S2的配置同S1
七、配置三层交换
VLAN已经基本划分完毕,但是,VLAN间如何实现三层交换呢,这时就要给各VLAN分配网络IP地址了。给VLAN分配静态的IP地址,首先在核心交换机上分别设置各VLAN的接口IP地址。
SW(config)#int vlan 10 SW(config-if)#ip address 172.16.58.1 255.255.255.0
SW(config)#int vlan 11 SW(config-if)#ip address 172.16.59.1 255.255.255.0
再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址。这样所有的VLAN也可以互访了。
我们采用VLAN技术来构建网络,可以把一个本地网络根据业务的需要来进行逻辑上的划分,灵活多变的VLAN划分方式可以保证网络不受地理位置的影响来进行划分,可以把原来本地网络内部的广播域分割成多个不同的小的广播域,避免网络内部广播风暴的出现。可以将一些网络故障限制在一个VLAN之内,增强了网络的健壮性。这使得VLAN技术在新一代的网络构建中占有重要的地位。
作者:高跃
VLAN技术网络安全论文 篇3:
基于VLAN聚合技术的以太网设计
摘要:在局域网的搭建中,通常要划分多个VLAN。傳统上要为每个VLAN分配单独的IP网段,每个网段拥有独立的网络地址、广播地址和网关地址,有大量的IP地址浪费。基于IP地址节约的原则,采用典型以太网拓扑,对VLAN聚合技术进行了探讨。VLAN聚合技术可以通过Super-VLAN将多个Sub-VLAN进行聚合,使多个VLAN能够共享同一个逻辑IP网段,有效地实现了以太网中IP地址的节约。
关键词:VLAN;以太网;IP地址;端口;通信
0引言
在传统的以太网设计中,VLAN与子网是完全对应的。每一个VLAN都是一个独立的广播域,需要为其分配一个单独的IP地址子网网段[1]。当网络中VLAN的数量较多时,就需要为其划分出大量的子网网段。虽然可以利用可变长子网掩码(Variable-Length Subnet Masks,VLSM)技术来实现IP地址的节约,但每划分出一个子网,就需要占用至少3个IP地址分别作为网络地址、广播地址和网关地址,在一定程度上依然会造成IP地址的浪费[2]。另外,出于节约IP地址的目的,为各个VLAN划分的子网网段一般不会有太多的冗余IP地址,这也导致了VLAN的可扩展性不高。要从根本上解决该问题,就需要打破VLAN与子网之间的关联,在保持VLAN作为独立的广播域的同时,不再与逻辑IP子网进行对应,所用到的技术即VLAN聚合(VLAN Aggregation)技术[3]。
1 VLAN聚合
VALN聚合技术,通常也称为超级(Super)VLAN,是指在一个父VLAN下包括多个子VLAN,并允许多个VLAN使用同一个逻辑网段的IP地址[4]。为实现该功能,在VLAN聚合中,将VLAN划分成了2种不同的类型,分别如下:
(1)Super-VLAN
即“父VLAN”,只能在3层交换机上创建。Super-VLAN不包含任何物理端口,主要作用是关联Sub-VLAN并进行逻辑聚合,提供相应的3层虚接口地址作为它所聚合的Sub-VLAN中主机的网关地址。
(2)Sub-VLAN
即“子VLAN”,可以在2层或3层交换机上创建。Sub-VLAN负责交换机物理端口的接入,但不能创建相应的3层虚接口。多个Sub-VLAN被关联到同一个Super-VLAN中,并共用Super-VLAN的3层虚接口的地址作为网关地址,即多个Sub-VLAN中的主机实际上使用同一个逻辑网段的IP地址。需要注意的是,关联在同一个Super-VLAN中的多个Sub-VLAN彼此之间依然处于2层隔离状态,无法进行直接通信[5]。
2 VLAN聚合技术实现
典型的局域网汇聚层交换机与接入层交换机连接拓扑如图1所示。假设该网段能拥有192.168.1.0/24的网络地址,交换机SW1和SW2上分别配置VLAN10和VLAN20,这2个VLAN作为Sub-VLAN,所有主机均使用网段192.168.1.0/24中的IP地址,交换机CoreSwitch上的VLAN100作为Super-VLAN,为其聚合的Sub-VLAN提供网关。
通过对比可以发现,使用VLAN聚合技术,该网段主机可用IP地址为192.168.1.1~192.168.1.253,共253个。而传统VLAN技术中,主机可用IP地址为192.168.1.1~192.168.1.125,192.168.1.129~192.168.1.253,共250个。在实际的网络规划中,VLAN数目是比较多的。VLAN数目越多,VLAN聚合技术在IP地址节约和VLAN可扩展性方面的优势就越突出。
4结束语
VLAN聚合技术通过Super-VLAN为多个Sub-VLAN配置使用同一个逻辑网段的IP地址,打破了传统上VLAN与逻辑IP网段之间的关联,有效地实现了IP地址的节约,同时也提高了VLAN的可扩展性。
参考文献
[1]华为技术有限公司.HCNP路由交换学习指南[M].北京:人民邮电出版社,2017.
[2]秦文江,胡阔见.双线路下网络架构设计与应用[J].计算机与网络,2018,44(16):63-65.
[3]华为技术有限公司.HCNP路由交换实验指南[M].北京:人民邮电出版社,2017.
[4]王光辉.基于三层交换的两种VLAN间通信的设计与实现[J].信息通信,2019(8):106-108.
[5]李景宇,刘晓华,谢旭生.三层交换机中VLAN技术的运用实践探究[J].网络安全技术与应用,2019(4):13-14.
[6]田庚林,张少芳,田华,等.小型网络组网技术[M].北京:清华大学出版社,2018.
作者:赵艳春 张少芳 殷建刚