电脑编程技巧与维护 基于VLAN的企业网络安全架构设计 沈煜 (汀苏林海动力机械集团公 ,泰州225300) 摘要:重点探讨基于VI,AN的企业网络安全的架构设计,涉及到企业网络三层结构的设计、VLAN的划分、VI AN 的访问控制配置。 关键词:VIAN;企业网络;架构设计;网络安全 The Architecture Design of Enterprise Network Security Based on VLAN SHEN Yu (Linhai Power Machinery Group Company,Taizhou 225300) Abstract:This paper has dicussed the architecture design of enterprise network security based on VLAN,involves:the three—lay structure design of enterprise network,the division of the VLAN,the VI AN configuration of access contro1. Key words:VLAN;Enterprise network;Architecture design;Network security l 引言 网络安全是同家发展所 临的一个重要问题。对于这个 信息的,但这并不构成一种“路南”功能,也不应与网络层 路南相混淆。即使交换机检查数据包的 地址以确定虚拟局 域网成员,也不会施行路南计算,不会采用RIP或OSPF协 议,而且穿越交换机的数据帧通常根据生成树算法桥接。 问题,还没有从系统的规划L去考虑 ,从技术卜、产业上、 }=^来发展它。网络安全问题一般包括网络系统安全和数 据安全。网络系统安全是防止网络系统遭到没有授权的非法 访问、存取或破坏;数据安全丰要是防止重要、敏感数据被 窃取等。将重点探讨基于VI AN的企、l 网络安全的架构设计。 3 企业网络三层结构的设计 企业网络三层结构的设计如图1所示: 2 原理 什么是虚拟局域网?南于有众多的供臆商所制定的虚拟 局域网解决方案和实施策略,所以精确地给虚拟局域网下定 义就成为一个有争议的问题。然而,多数人对这种说法表示 同意:VLAN即虚拟局域网,是一种通过将局域网内的设备逻 固 辑地划分成一个个网段,从而实现虚拟1-作组的新兴技术。 2.1根据端口划分VLAN 许多最初的虚拟局域网实施按照交换机端口分组来定义 虚拟局域网成员。例如,一台交换机的端口1、2、3、7和8 上的工作站组成了虚拟局域网A,而端口4、5和6上的 作 站组成了虚拟局域网B。此外,在多数最初的实施当中,虚拟 局域网只能在同一台交换机 得到支持。第:二代实施支持跨 越多台交换机的虚拟局域网。 2.2根据MAC地址划分VIAN 撇丹 图1企业网络三层结构拓扑图 这种划分VLAN的方法是根据每个主机的MAC地址来划 分,即对每个MAC地址的主机都配置它属于哪个组。基于 MAC地址的虚拟局域网具有小同的优点和缺点。由于硬件地 (1)内部网络分级隔离、分级施策 把原有的服务器区分隔为对外公开的服务器区(DMZ区) 和企业专用的服务器区。将对外开放的服务器如:Web服务 器、Mail服务器等移入DMZ区。重要的仅供企业内部使用的 服务器作为~个服务子网,使用适合的保护措施保护起来。 其他部分分别按用途划分为办公子网、管理子网、生产子网, 做到分级隔离,划分清晰。在各子网之问根据不同的保护级 址层的地址是硬连接到 作站的网络界而卡(NIC)上的,所 以基于硬件地址层地址的的虚拟局域网使网络管理者能够把 网络上的1 作站移动到不同的实际位置,而且可以让这台l 作站自动地保持它原有的虚拟局域网成员资格。 23基于第三层的VLAN 基于第三层信息的虚拟局域网存确定虚拟局域网成员时 考虑协议类型(如果多协议得到支持)或网络层地址(例如, TCP/IP网络的子网地址)。虽然这些虚拟局域网是基于第蔓层 120 2011寝. 12作者简介:沈煜(1975一),男, [程师,研究方向:计算机 网络及其安全技术。 收稿日期:2011-04—20 与雏 COMPUTING SECURITY TECHNIQUES 别实施保护策略,做到分级施策。 (2)安全产品联动,实现交叉防守,立体防御 在网络产品的选择和部署时,考虑各产品的功能和特点, 相互结合,充分发挥各自优势。实现安全联动,交叉防守, 立体防御。 (3)设备线路设计冗余,避免单点失败 在原有网络中,内部网络所有的流量都要通过主交换机 汇入,主交换机几乎承载了整个内部网络的数据交换T 作,极易出现故障,造成整个网络的瘫痪。新的设计中考虑 到这方而的要求,在主交换机处设置了备用交换机,避免单 点失败造成网络的中断。 (4)管理安全、集中方便 设置安全管理区,管理员很容易在管理区内对网络中的 主机和设备进行集中统一的管理。通过安全产品的监控、报 警、审计等功能,了解网络的实时状态,实现对网络的安全 管理。 4 VLAN设计 4.1划分 在安全控制方面,采用虚拟局域网fVLAN)来控制广播 域和网段流量,提高网络性能、安全性和可管理性。比如员 工常常通过网络联机游戏,有时游戏产生的网络流量严重冲 击了骨干网络的整体性能。再比如,有些员工好奇心强,常 常喜欢在网络中充当“黑客“的角色,给网络的其他用户造 成很大威胁。那么,必须采用划分虚拟局域网(VLAN)的方 法,信息点之间的互相访问,从而提高了网络的整体性 能。 更值得一提的是,接人交换机可以采用VLAN实现端口 之间相互隔离,不必占用VLAN资源。在使用VLAN时,各 端口不可以互通,仅可通过扩展模块上联端口或其他上联端 口可访问互联网或社区服务器。若用户希望端口之间通信, 则借助三层交换机或路由器进行路由转发。通过采取这些相 应的安全措施,没有授权的用户在网络中的不能任意上网, 给网络的安全性带来了基本保障。 4.2访问控制 三层交换机设置了VLAN路由接口后,默认情况下,任 何两个VLAN之间都可以进行通信,实现资源共享。随着网 络规模的升级,信息流量逐渐加大,人员管理变得日益复杂, 给企业网的安全、稳定和高效运行带来新的隐患,如何消除 这些隐患呢?在VLAN间采用访问控制策略,能够加强网络的 整体安全。 在核心层和汇接层交换机的接口上建立访问控制列表来 实现VLAN之间的访问控制,决定哪些用户数据流可以在 VLAN之间进行交换,以及最终到达核心层。访问控制列表 ACL由基于一套测试标准的一系列许可和拒绝语句组成。其 处理过程是自上向下的,一旦找到了匹配语句,就不再继续 处理。在访问控制列表末尾设置一条隐含拒绝语句,若在访 问控制列表中没有发现匹配,则最终与隐含拒绝语句相匹配。 4-3配置命令 计算机安全技术 配置VLAN: Switch#configure terminal Switch fconfig)#vlan 20 Switch(config—vlan)#name test20 Switch(config—vlan)#end 将端口分配给一个VI AN: Switch#configure terminal Switch(config)#interface fastethernet2/1 Switch(config i0#switchport mode aecess Switch(config if)#switchport access vlan 2 Switch(config if)#end Switch# j层物理端口配置: Switch#configure terminal Switch(config)#interface range fastethemet 5/4—5 Switch(config—i0#no switehPort Switch(config—if)#no iP address Switch(config-if)#channel-group 1 mode desirable Switch(config-if)#end 配置j层口: 4006#configure terminal 4006(config)#interface gigabit ethernet3/2 4006(config-if)#no switehport 4006(config-if 1#iP address 192.20.135.21 255.255.255.0 4006(config—if)#no shutdown 4006(config-if)#end 5 结语 网络安全体系的建设是一个长期的、动态变化的过程, 在新的网络安全技术手段不断出现的同时,新的攻击入侵手 段也会随之出现。任何一个安全体系设计方案都不能完全解 决所有的安全问题。因此,如何将网络安全技术与网络安全 管理无缝地融合在一起,如何能让网络安全实施策略随着不 同的网络环境的改变而自动做出相应的改变,这就是在未来 的网络安全解决方案研究中需要解决的。 参考文献 【1】郑良春,左安娜.VLAN技术在企业网络中的应用【JJ. 煤,2010,(07). [2]虞剑波,姜嫒.VLAN在高校实验室交换网络中的使用 [J].科技资讯,2010,(18). 【3】周慧.VLAN技术和配置实践【J].科技资讯,2010,(07). 【4】潘栩.VLAN在局域网中的作用与配置【J】.科技创新导 报,2010,f21). 奠一藿2技0巧11与.肇12护 I量2! 一
