浅析VLAN及其安全性.docx
- 文档编号:1031683
- 上传时间:2022-10-15
- 格式:DOCX
- 页数:16
- 大小:93.02KB
浅析VLAN及其安全性.docx
《浅析VLAN及其安全性.docx》由会员分享,可在线阅读,更多相关《浅析VLAN及其安全性.docx(16页珍藏版)》请在冰豆网上搜索。
浅析VLAN及其安全性
内容摘要
无线通信和Internet的迅速发展给人们的生活方式和生活质量带来了巨大变化,大家随时随地浏览新闻、收发电子邮件、欣赏多媒体影音、聊天、对战网络游戏、不受空间限制[1]的享受生活的乐趣。
本文在设计中,采用了VLAN技术,通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组[2],在不改动网络物理连接的情况下可以任意移动工作站组成新的逻辑工作组或虚拟子网,从而提高了系统的运作性能,起到了均衡网络数据流量,合理利用网络资源的作用。
有效利用VLAN技术,根据不同需要实施不同策略,统筹规划,科学设计,完全可以建设稳定性好、管理性强、安全性高的网络。
[关键词]无线通信VLAN稳定性
1VLAN技术背景1
1.1VLAN技术产生背景1
1.2VLAN技术的定义1
1.3VLAN技术的特征1
1.4VLAN技术的发展2
1.5VLAN技术的应用2
1.6VLAN技术的优点2
1.7VLAN技术的局限性3
2本课题的意义3
3VLAN技术的讨论4
3.1TRUNK链路技术4
3.2VTP协议5
3.3VLAN之间的通信7
3.4VLAN的划分方式9
3.5VLAN间通信13
注释16
参考文献17
致谢18
1VLAN技术背景
1.1VLAN技术产生背景
虚拟网技术(VLAN,VirtualLocalAreaNetwork)的诞生主要源于广播。
广播在网络中起着非常重要的作用,如发现新设备、调整网络路径、IP地址租赁等等,许多网络协议都要用到广播,局域网通常被定义为一个单独的广播域[3],主要使用集线器或交换机等网络设备连接同一网段内的所有节点。
然而,随着网络内计算机数量的增多,广播包的数量也会急剧增加,网络的传输效率将会明显下降。
所以当所有的网络节点都处于同一个广播域内,这大大增加了网络中所有设备之间的数据流量。
随着网络的不断扩充,很有可能出现广播风暴,导致整个网络无法使用。
在网络中的数据保密要求和网络的组织结构上的要求等这些问题都促使了虚拟局域网的诞生。
1.2VLAN技术的定义
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。
虚拟网在逻辑上等于OSI模型的第三层的广播域,与具体的物理网及地理位置无关,虚拟工作组可以包含不同位置的部门和工作组,不必在物理上重新配置任何端口,真正实现了网络用户与它们的物理位置无关。
它以其高速、灵活、管理简便和扩充容易得到了广泛应用。
一方面,VLAN建立在局域网交换机的基础之上;另一个方面,VLAN是局域交换网的灵魂[4]。
VLAN用户能方便的在网络中移动和快捷的组建宽带网络,而无需改变任何硬件和通信线路。
网络管理员能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。
它与普通局域网从原理上讲没有什么不同,但它与普通局域网最基本的差异体现在:
VLAN并不局限于某一网络或物理范围,VLAN中的用户可以位于一个园区甚至国家的任意位置。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案[5]。
1.3VLAN技术的特征
VLAN的特性使局域网的通信流量控制和数据保密性方面有了很大的提高,VLAN具有以下一些特征:
1 同一个VLAN中的所有成员共同拥有一个VLANID,在逻辑上组成一个虚拟局域网络;
2 同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包,但收不到其他VLAN中成员发来的广播包。
不同的VLAN处在不同的广播域中;
3 不同VLAN的成员之间不可相互直接通信,需要通过路由支持才能相互通信,而同一VLAN中的成员通过VLAN交换机可以直接通信,不需路由支持。
1.4VLAN技术的发展
随着VLAN技术的逐渐发展,出现了VLAN中继协议和动态VLAN等技术,现在宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但其网络中的流量控制和数据保密性仍然存在很多问题。
现在已有的VTP技术、STP技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的问题,IEEE正在制定和完善IEEE802.1S和IEEE802.1W来改善VLAN的各种技术。
随着各种技术的逐步完善,VLAN也将在未来的网络中发挥出更多的功能。
1.5VLAN技术的应用
现在VLAN主要应用在以太局域网中,也可以用在ATM网络中。
因为现在很多的局域网均采用以太网,所以它适用于现在大部分企业、学校的局域网中,它能够隔离不同工作组的数据,因为一个VLAN内的用户不能和其它VLAN内的用户直接通信,所以可以保护用户的数据安全,减少网络的拥堵情况,提高网络的传输效率。
而且同一工作组的用户也不必局限于某一固定的物理范围,网络的构建和维护更方便灵活,这些种种的优点都使VLAN在局域网中广泛应用。
1.6VLAN技术的优点
1 增加了网络连接的灵活性
网络管理员对网络工作站可以按业务功能,而不必按地理位置分组。
VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
2 有效地控制网络上的广播风暴
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴。
使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组。
该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播风暴。
这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生[6]。
3 增加网络的安全性
人们在LAN上经常传送一些保密的、关键性的数据。
保密的数据应提供访问控制等安全手段。
一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。
交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
4 增加了集中化的管理控制
通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。
这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能,减少了管理的费用[7]。
1.7VLAN技术的局限性
随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,都要求保证网络用户通信的相对安全性,要求能防范各种病毒和攻击等,现在一般使用的做法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第二层隔离开,可以防止任何恶意的获取资料的行为和以太网数据的信息探听[8]。
但是,这种分配每个客户单一VLAN和IP子网的模式造成了巨大的可扩展方面的局限。
这些局限主要有以下几个方面。
1 VLAN数目的限制:
交换机上固有的对VLAN数目的限制;
2 复杂的STP:
对于每个VLAN,每个相关的SpanningTree的拓扑都需要管理,造成了交换机的巨大负载;
3 IP地址的紧缺:
IP子网的划分一定会造成一些IP地址的浪费,造成资源浪费;
路由的限制:
每个VLAN在路由器或者三层交换机上都需要相应的默认的网关的配置。
2本课题的意义
随着高校信息化建设的不断深入,高校网络建设的规模也在不断扩大,同时校园网多媒体教学、数据安全保障以及高速网络交换的大量应用,使网络数据流量骤然增大,各种问题和故障也层出不穷[9]。
因此,如何构建高效、稳定、易管理的校园网,增强校园网的安全性和可控性,已经成为高等院校网络管理人员面临的重点课题,也是提高学校信息化应用水平和整体投资效益的关键。
VLAN技术在校园网内的应用,不但使得校园网络更加的安全,快速,并且也减轻了网络管理员的工作,保证了各个部门不同的要求和信息的安全,因此VLAN技术在校园局域网内的应用是明智之举。
在本文中主要使用基于端口的VLAN技术对校园网进行设计,具体实现了以下几个方面的作用:
1 通过VLAN的划分,控制内部各VLAN间的访问范围和权限,从而保障子网通信安全。
2 避免了IP地址使用混乱的情况.随着校园网规模增大,往往会出现IP地址使用混乱和IP地址盗用的状况.通过划分VLAN,各部门的IP地址是固定的一个地址段,VLAN之间不能互相盗用地址,管理起来条理非常清楚。
3 充分利用网络带宽,防止了广播风暴的产生,提高了网络传输效率。
当然VLAN在校园网的应用有利也有弊,由于它是根据端口逻辑地址进行网络划分,管理员无法很清楚地将网络的物理布局与逻辑结构相联系,这就要网络管理人员非常熟悉和了解网络设备的物理连接和逻辑连接,只有充分发挥它的长处,扬长避短,才能使校园网畅通无阻,充分发挥作用。
3VLAN技术的讨论
3.1TRUNK链路技术
Trunk技术是在两台交换机之间建立一条点到点的链路,每台交换机的相应端口称为中继端口。
一条中继链路可以传输多个VLAN的数据流,并允许用户将VLAN的范围从一台交换机扩展到另一台交换机[10]。
Trunk是一种封装技术,它是在两台交换机之间的一条点到点链路,主要功能就是仅通过一条链路就可以连接多个交换机,从而扩展已配置的多个VLAN,传输多个VLAN的数据流。
还可以采用通过Trunk技术和上级交换机级连接的方式来扩展端口的数量,将VLAN的范围从一台交换机扩展到另一台交换机,节省了网络硬件的成本,从而扩展整个网络。
TRUNK可通过的VLAN范围缺省下是1~1005,可以修改,但必须激活Trunk协议。
使用Trunk的端口不在任何VLAN中。
在校园网建设时,Trunk绝对是必需的.在设置Trunk后,Trunk链路不属于任何一个VLAN.Trunk链路在交换机之间起着VLAN管道的作用,交换机会将该Trunk以外及Trunk中的端口处于一个VLAN中的其他端口的负载自动分配到该Trunk中的各个端口.因为同一个VLAN中的端口之间会相互转发数据,而位于Trunk中的Trunk端口被当作一个端口来看待,因此在设置了Trunk后,该Trunk将自动加入其成员端口所属的VLAN中,而其成员端口则自动从VLAN中删除。
对于Trunk端口来说,其上允许通过的VLAN范围体现的是一种能力,与系统中是否存在对应的VLAN实体没有关系。
Trunk技术具有以下优点:
1 可以在不同的交换机之间连接多个VLAN,可以将VLAN扩展到整个网络中;
2 Trunk可以捆绑任何相关的端口,也可以随时取消设置,提供了很高的灵活性;
3 Trunk可以提供负载均衡能力以及系统容错.由于Trunk实时平衡各个交换机端口和服务器接口的流量,若某个端口出现故障,它会自动把故障端口从Trunk组中撤消,进而重新分配各个Trunk端口的流量,从而实现系统容错。
3.2VTP协议
VLAN中继协议最早由思科公司提出的[11]。
作为思科VLAN技术的重要组成部分,VTP减少了跨越网络设置VLAN的管理任务,减少了配置的不连续性。
VLAN干道协议是VLAN动态协议的一种,它能自动的在网络中传播VLAN的各种配置信息,因此能保持VLAN在网络中的连续性和统一性,VTP是一个交换机到交换机,交换机到路由器VLAN管理协议
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 浅析 VLAN 及其 安全性