简析VLAN在计算机网络安全系统中的应用研究
1 引言
为了满足人们的需求,提升网络系统的安全性,使得不同的人们仅仅能够享受自己工作职责的模块,在原有网络的基础上,发展了VLAN技术,又被称为虚拟局域网,其可以将网络用户在逻辑上分成不同的组,以便能够访问不同的网络资源,将一个非常大的物理网络划分为许多个小的逻辑独立的网络,有效的提升了网络的安全,限制了人们对网络资源的使用[1]。
2 VLAN技术
目前,VLAN技术已经得到了许多的应用和发展,并且在实践过程中得到了许多改进,为了能够有效的控制网络安全,VLAN技术已经拥有四种实现方式,分别介绍如下。
2.1 基于交换机端口的方式划分VLAN
基于交换机的端口,划分VLAN,是一种比较常用的方法,由于许多交换机都能够支持VLAN协议,提供基于端口的VLAN配置技术方法,该方法将交换机中的一些端口配置到一个单独的区域中,形成一个VLAN,连接在同一VLAN端口的计算机属于一个网段,不同网段的VLAN进行通信,需要通过路由器才可行[2]。
根据交换机端口划分VLAN,其优势是定义简单,划分的VLAN成员也很简单,只需要根据需求将不同的端口定义在一个VLAN即可,但是基于该方法的VLAN划分也非常麻烦,比如某一个用户离开了原来的端口,到了一个新交换机上了,则原来的VLAN就是去了控制作用。
2.2 基于用户主机MAC地址划分VLAN
由于用户主机拥有自己的网卡,每一个网卡都有一个独一无二的物理地址,被称为MAC地址,基于MAC地址可以划分VLAN,又被称为基于用户的VLAN[3]。
基于用户的方式划分VLAN最大的优势是当用户的物理位置移动时,从一个交换机换到其他位置时,由于该方法基于MAC地址划分,而非根据交换机的端口,因此VLAN无需重新配置。该方法要求每一个网卡都需要重新配置,如果用户较多的话,这种基于用户配置VLAN的方式非常繁琐,因此划分方法对于小型局域网比较合适,大型的局域网配置起来工作力度非常大,因此某一网卡需要更换时,就需要重新配置VLAN,运行文护时非常繁琐。
2.3 基于网络层协议的方式划分VLAN
根据网络层协议的方式划分VLAN,具体执行方案有两种,分别是根据网络协议划分,比如网络中存在的IP、IPX和AppleTalk协议等,另一种是网络层地址等划分[4]。用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要。还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的流量。这种方法的缺点是:效率降低,因为检查每一个数据包的网络层地址是需要消耗处理时间的。
3 VLAN技术在网络安全管理中的应用
VLAN技术已经在网络安全管理方面取得非常明显的效果,主要表现在以下几个方面:
3.1 降低改变与移动的代价
当一个用户要从一个位置移动到另外一个位置,其网络属性可以动态的实现,而无需进行重新配置,这样就给使用者和管理者带来了非常大的好处,不论用户在何时何地都可以接入网络。绝大部分的VLAN都可以做到这点[5]。
3.2 虚拟工作组
建立一个虚拟工作组模型是我们采用VLAN网络的最终目的,比如,在企业网络中,同一部门就像在同一个LAN中,有利于信息的交流以及用户的相互访问。一个人无论办公地点在哪,只要他没有更换部门,就不用改变该用户的配置;但是如果更换了部门,就需要网管人员更改该用户的配置。为了实现该功能,就要创建一个动态的组织环境。动态环境的实现,需要很多方面的支持;VLAN不会对用户的应用造成影响;用户不会受物理设备的影响,在网络中的任何一个地方都可以实现VLAN用户的接入;VLAN的应用还解决了很多问题:对广播风暴导致的性能下降问题进行了有效解决;对广播包进行限制,提高了带宽的利用率;一个VLAN就是一个广播域,同VLAN中的成员都在该广播域中,所以,如果一个数据包没有路由,交换机不会把该数据包发送到所有的交换机的端口,而只会把它送到属于该VLAN的所有端口。http://www.youerw.com
3.3 增强了网络健壮性
在整个网络中,一个VLAN内的网络出现了故障只会影响到该VLAN网络,而不会影响到其它的网络。当网络规模在不断增大的时候,就算有些网络出现了问题也不会影响到整个网络。在企业网络安全中会经常使用VLAN,原因是VLAN只对网络进行逻辑划分,简单的配置管理,灵活的组网方案,大大减少了管理文护网络的费用。
4 结语
随着网络技术的发展,必将诞生越来越多的网络管理技术促进局域网广域网的安全管理应用,保证网络系统的高安全性和可靠性,避免企业在使用过程中发生信息泄露、数据被盗取等现象的发生。VLAN技术具有很好的简单性、可靠性和有效性,可有控制局域网内用户的访问不同组别的权限,保证局域网的安全,进而保证网络用户的安全。