局域网的安全性
VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局
域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端
的逻辑网络。一个 VLAN 组成一个逻辑子网,即一个逻辑广播域,它可以覆盖
多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中 。
VLAN 技术是在局域网内将工作站逻辑的划分成一个个网段从而实现虚拟工作
组的技术。IEEE 于 1999 年颁布了 802.1Q 关于 VLAN 的协议草案。是为了解
决以太网广播问题和安全性而提出的协议。VLAN 在逻辑上等价于广播域。更
具体的说,我们可以将 VLAN 类比成一组最终用户的集合。这些用户可以处在
不同的物理 LAN 上,但他们之间可以象在同一个 LAN 上那样自由通信而不受
物理位置的限制。在这里,网络的定义和划分与物理位置和物理连接是没有任
何必然联系的。网络管理员可以根据不同的需要,通过相应的网络软件灵活的
建立和配置虚拟网,并为每个虚拟网分配它所需要的带宽。
VLAN 并非一种新型的网络,是包含一组端站点的逻辑上的 LAN,其中的
站点好像被同一网线连接在一起,而实际上可能出于 LAN 的不同物理网段。是
一组逻辑上的设备或用户,它们就好像处于同一个物理 LAN 中一样相互通信,
不受物理位置的限制。
基于交换网络的 VLAN 目前大致可分为 4 类:基于端口的 VLAN,基于
MAC 地址的 VLAN、基于路由的 VLAN 和基于策略的 VLAN。基于端口的
VLAN 划分是最简单、最有效的划分方法,是基于交换机端口的划分方法,只
需网络管理员对网络设备的交换端口进行重新分配,不需考虑该端口所连接的
设备,就可将属于不同交换机端口的不同网段划分在一个 VLAN 中;基于 MAC
地址的 VLAN 是 MAC 地址的集合,允许网络用户从一个位置移动到另一个物
理位置,且自动保留起所属 VLAN 的成员身份,是基于网络用户的,但由于
MAC 地址的唯一性,初始化困难,且网卡更换就必须重新配置,另外它不能防
止 MAC 欺骗攻击,有可能受到假冒 MAC 地址攻击的危险。
VLAN 技术的出现为网络设计、扩展、更改提供了更大的灵活性,主要体
现如下:
提高网络设计的灵活性。处于不同地理位置的站点可划分到同一个虚拟网
中,不受地理位置的限制;可根据功能、项目组、应用的需要来划分用户和设
备,可根据实际情况增加和减少用户。
方便站点的移动、增加和变化,大大提高管理动态网络的能力。由于某种
原因,用户工作位置发生变化时,采用传统局域网技术的用户需要对站点的 IP
地址、缺省网关进行修改后才能上网;采用基于 MAC 地址 VLAN 技术的用户
则可不作任何修改,在网上的任意位置都可上网,因为 VLAN 成员不是捆绑在
某固定工作站上的;反过来,用户的实际位置不发生改变却变更了部门,网络
管理员也可以通过改变 VLAN 成员的方式让用户与 VLAN 的逻辑关系发生改变。
减少了日常管理开销,提供了更大的配置灵活性。
提高网络安全功能。采用传统局域网技术的网络,只要利用一台 PC 装上
协议分析软件,连到集线器上就可拦截该网段上的所有数据,采用基于 MAC
地址的 VLAN 技术时就不可能拦截该 VLAN 的数据;VLAN 与 VLAN 间逻辑上
是分开的,VLAN 成员的数据包只能在同一 VLAN 内部传送,即使处于同一网
络中,不同 VLAN 间也不能进行直接通信,有效的避免了广播风暴的传播;校
评论0