论文部分内容阅读
【摘 要】现在局域网的应用越来越广泛,一个没有防护的局域网,很容易造成病毒蔓延、广播风暴严重等网络问题。该如何有效控制局域网病毒的扩散、控制广播风暴、禁止外来人员自带设备随意接入局域网等局域网安全问题。本文根据公司实际状况,对局域网的安全做了安全分析,并实施了相应的安全防护措施。
【关键词】局域网;VLAN;广播风暴;IP地址;MAC地址;端口;绑定
本人所在企业的以前网络结构较为单一,三百多台电脑共同存在于一个局域网内,使用同一个网关,都可以互相访问,因此导致当ARP病毒爆发时,对我公司网络造成极大的危害,使得本局域网瘫痪将近半月之久。为了能够有效防止该类事情的再次发生,防止网络病毒的蔓延扩散,我们便使用了VLAN+IP+MAC+端口绑定技术对局域网做了隔离保护,并有效控制了电脑的随意接入。
一、局域网介绍
局域网的发展是VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。
局域网(LAN)通常是一个单独的广播域,主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。
但这样做存在两个缺陷:首先,随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作:路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。其次,用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。
二、VLAN技术介绍
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
三、VLAN的划分与交换技术的关联
各企业的信息网络普遍使用二层交换技术的网络架构实现。随着企业信息化水平的提高,企业信息系统网络规模不断扩大,随之而来的网络安全、网络流量、网络通信速度、网络维护工作量等问题明显增加。但是二层交换技术架构网络的主要弱点是:在局域网内不能划分VLAN,网络物理链路存在安全漏洞,同一个网段内的工作站过多会引起广播风暴,甚至导致网络瘫痪,不能有效地解决各种网络互连、安全控制等问题。三层交换技术的出现主要是为了解决规模较大的网络中的广播问题,通过VLAN把一个大的交换网络划分为多个较小的广播域,各个VLAN之间再采用三层交换技术互通。企业信息网络采用三层交换技术,可以确保计算机网络更加合理、安全、有效。
四、VLAN与绑定技术的结合
在三层交换机中可在VLAN间采用访问控制策略,能够加强网络的整体安全。在核心层和汇接层交换机的接口上建立访问控制列表来实现VLAN之间的访问控制,决定哪些用户数据流可以在VLAN之间进行交换,以及最终到达核心层。为了能够进一步确保网络安全,禁止外来人员随意进入局域网,可结合三层交换机的IP+MAC+端口的绑定命令来规范局域网设备接入规则。这样一方面可以有效控制住电脑的移动,确保网络安全的同时,也为计算机台账管理提供了方便,计算机更换部门后,必须更换绑定的端口方可上网。
5VLAN+IP+MAC+端口绑定实施过程
首先规划各个部门的VLANID(如图一),收集各个部门的MAC地址信息和各个部门所在三层交换机的端口号。然后分别给每台电脑分配IP地址,网卡MAC地址,并做成excel表格,便于后期查询。然后就是在三层交换机上划分VLAN和做IP、MAC、端口三者绑定。由于绑定端口的命令要三百多条,数量庞大,在这里有个小诀窍:可以通过前期生成的表格,按照命令格式,先做一条命令出来,剩余的按照前后顺序排好IP、MAC和端口,分别在这三个字段前加入相应的命令行格式,最后复制到普通的文本文档中,则可得到完整的命令。另外一种方式则可利用文字编辑软件(ultraedit等)替换命令,把识别字符替换成命令行字符命令格式。
在具体实施的过程中,没有遇到太大的障碍。就是前期交换机配置需要大量时间,当所有交换机配置完成,并导入绑定的命令行后,开始实际运行时,会有少量的电脑需要做部分调整,运行一段时间后,则开始趋于稳定。
图一公司VLAN规划
五、结束语
经过企业内部网络改造,大规模的病毒爆发再没有发生,给公司的正常办公提供了技术保障,同时也大大的降低了因病毒造成的计算机维护量。
作者简介:
王春伟(1979-),男,湖北省丹江口市人,本科学历,汉江丹江口铝业有限责任公司,工程师,研究方向:数据库安全及网络管理.
【关键词】局域网;VLAN;广播风暴;IP地址;MAC地址;端口;绑定
本人所在企业的以前网络结构较为单一,三百多台电脑共同存在于一个局域网内,使用同一个网关,都可以互相访问,因此导致当ARP病毒爆发时,对我公司网络造成极大的危害,使得本局域网瘫痪将近半月之久。为了能够有效防止该类事情的再次发生,防止网络病毒的蔓延扩散,我们便使用了VLAN+IP+MAC+端口绑定技术对局域网做了隔离保护,并有效控制了电脑的随意接入。
一、局域网介绍
局域网的发展是VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。
局域网(LAN)通常是一个单独的广播域,主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。
但这样做存在两个缺陷:首先,随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作:路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。其次,用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。
二、VLAN技术介绍
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
三、VLAN的划分与交换技术的关联
各企业的信息网络普遍使用二层交换技术的网络架构实现。随着企业信息化水平的提高,企业信息系统网络规模不断扩大,随之而来的网络安全、网络流量、网络通信速度、网络维护工作量等问题明显增加。但是二层交换技术架构网络的主要弱点是:在局域网内不能划分VLAN,网络物理链路存在安全漏洞,同一个网段内的工作站过多会引起广播风暴,甚至导致网络瘫痪,不能有效地解决各种网络互连、安全控制等问题。三层交换技术的出现主要是为了解决规模较大的网络中的广播问题,通过VLAN把一个大的交换网络划分为多个较小的广播域,各个VLAN之间再采用三层交换技术互通。企业信息网络采用三层交换技术,可以确保计算机网络更加合理、安全、有效。
四、VLAN与绑定技术的结合
在三层交换机中可在VLAN间采用访问控制策略,能够加强网络的整体安全。在核心层和汇接层交换机的接口上建立访问控制列表来实现VLAN之间的访问控制,决定哪些用户数据流可以在VLAN之间进行交换,以及最终到达核心层。为了能够进一步确保网络安全,禁止外来人员随意进入局域网,可结合三层交换机的IP+MAC+端口的绑定命令来规范局域网设备接入规则。这样一方面可以有效控制住电脑的移动,确保网络安全的同时,也为计算机台账管理提供了方便,计算机更换部门后,必须更换绑定的端口方可上网。
5VLAN+IP+MAC+端口绑定实施过程
首先规划各个部门的VLANID(如图一),收集各个部门的MAC地址信息和各个部门所在三层交换机的端口号。然后分别给每台电脑分配IP地址,网卡MAC地址,并做成excel表格,便于后期查询。然后就是在三层交换机上划分VLAN和做IP、MAC、端口三者绑定。由于绑定端口的命令要三百多条,数量庞大,在这里有个小诀窍:可以通过前期生成的表格,按照命令格式,先做一条命令出来,剩余的按照前后顺序排好IP、MAC和端口,分别在这三个字段前加入相应的命令行格式,最后复制到普通的文本文档中,则可得到完整的命令。另外一种方式则可利用文字编辑软件(ultraedit等)替换命令,把识别字符替换成命令行字符命令格式。
在具体实施的过程中,没有遇到太大的障碍。就是前期交换机配置需要大量时间,当所有交换机配置完成,并导入绑定的命令行后,开始实际运行时,会有少量的电脑需要做部分调整,运行一段时间后,则开始趋于稳定。
图一公司VLAN规划
五、结束语
经过企业内部网络改造,大规模的病毒爆发再没有发生,给公司的正常办公提供了技术保障,同时也大大的降低了因病毒造成的计算机维护量。
作者简介:
王春伟(1979-),男,湖北省丹江口市人,本科学历,汉江丹江口铝业有限责任公司,工程师,研究方向:数据库安全及网络管理.