利用VLAN+IP+MAC+端口绑定技术实现企业网络安全

来源 :数字化用户 | 被引量 : 0次 | 上传用户:fanke26
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘 要】现在局域网的应用越来越广泛,一个没有防护的局域网,很容易造成病毒蔓延、广播风暴严重等网络问题。该如何有效控制局域网病毒的扩散、控制广播风暴、禁止外来人员自带设备随意接入局域网等局域网安全问题。本文根据公司实际状况,对局域网的安全做了安全分析,并实施了相应的安全防护措施。
  【关键词】局域网;VLAN;广播风暴;IP地址;MAC地址;端口;绑定
  本人所在企业的以前网络结构较为单一,三百多台电脑共同存在于一个局域网内,使用同一个网关,都可以互相访问,因此导致当ARP病毒爆发时,对我公司网络造成极大的危害,使得本局域网瘫痪将近半月之久。为了能够有效防止该类事情的再次发生,防止网络病毒的蔓延扩散,我们便使用了VLAN+IP+MAC+端口绑定技术对局域网做了隔离保护,并有效控制了电脑的随意接入。
  一、局域网介绍
  局域网的发展是VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。
  局域网(LAN)通常是一个单独的广播域,主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。
  但这样做存在两个缺陷:首先,随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作:路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。其次,用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。
  二、VLAN技术介绍
  VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
  VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
  三、VLAN的划分与交换技术的关联
  各企业的信息网络普遍使用二层交换技术的网络架构实现。随着企业信息化水平的提高,企业信息系统网络规模不断扩大,随之而来的网络安全、网络流量、网络通信速度、网络维护工作量等问题明显增加。但是二层交换技术架构网络的主要弱点是:在局域网内不能划分VLAN,网络物理链路存在安全漏洞,同一个网段内的工作站过多会引起广播风暴,甚至导致网络瘫痪,不能有效地解决各种网络互连、安全控制等问题。三层交换技术的出现主要是为了解决规模较大的网络中的广播问题,通过VLAN把一个大的交换网络划分为多个较小的广播域,各个VLAN之间再采用三层交换技术互通。企业信息网络采用三层交换技术,可以确保计算机网络更加合理、安全、有效。
  四、VLAN与绑定技术的结合
  在三层交换机中可在VLAN间采用访问控制策略,能够加强网络的整体安全。在核心层和汇接层交换机的接口上建立访问控制列表来实现VLAN之间的访问控制,决定哪些用户数据流可以在VLAN之间进行交换,以及最终到达核心层。为了能够进一步确保网络安全,禁止外来人员随意进入局域网,可结合三层交换机的IP+MAC+端口的绑定命令来规范局域网设备接入规则。这样一方面可以有效控制住电脑的移动,确保网络安全的同时,也为计算机台账管理提供了方便,计算机更换部门后,必须更换绑定的端口方可上网。
  5VLAN+IP+MAC+端口绑定实施过程
  首先规划各个部门的VLANID(如图一),收集各个部门的MAC地址信息和各个部门所在三层交换机的端口号。然后分别给每台电脑分配IP地址,网卡MAC地址,并做成excel表格,便于后期查询。然后就是在三层交换机上划分VLAN和做IP、MAC、端口三者绑定。由于绑定端口的命令要三百多条,数量庞大,在这里有个小诀窍:可以通过前期生成的表格,按照命令格式,先做一条命令出来,剩余的按照前后顺序排好IP、MAC和端口,分别在这三个字段前加入相应的命令行格式,最后复制到普通的文本文档中,则可得到完整的命令。另外一种方式则可利用文字编辑软件(ultraedit等)替换命令,把识别字符替换成命令行字符命令格式。
  在具体实施的过程中,没有遇到太大的障碍。就是前期交换机配置需要大量时间,当所有交换机配置完成,并导入绑定的命令行后,开始实际运行时,会有少量的电脑需要做部分调整,运行一段时间后,则开始趋于稳定。
  图一公司VLAN规划
  五、结束语
  经过企业内部网络改造,大规模的病毒爆发再没有发生,给公司的正常办公提供了技术保障,同时也大大的降低了因病毒造成的计算机维护量。
  作者简介:
  王春伟(1979-),男,湖北省丹江口市人,本科学历,汉江丹江口铝业有限责任公司,工程师,研究方向:数据库安全及网络管理.
其他文献
【摘 要】随着国防与军事事业的快速发展,军队指挥自动化作用日益明显。 军队指挥自动化是提高作战效能的倍增器,军队指挥自动化装备的使用与管理成为提升国防实力,保卫祖国和人民安全的重要内容。本文以军队指挥自动化装备的管理与质量优化为研究的内容,以当前我国军队指挥自动化所涉及的计算机、网络、通信装备的内涵为切入点,就军队指挥自动化装备的管理与质量优化途径进行了分析。  【关键词】军队;指挥;自动化;管理
【摘 要】皮带传动因具有适用于两轴中心距较大的传动场合,工作时传动平衡无噪声,造价低廉、不需要润滑以及能缓冲、吸震、易维护等特点,而被广泛应用于不需要保证精确传动比的工作场合。但由于在使用过程中,由于种种原因会造成皮带的非正常损坏而停工,造成一定的经济损失。因此,有必要对其损坏原因进行查找、分析,从而对皮带的非正常损坏制定一套合理的预防措施,以延长皮带的使用寿命、减少停机维修次数。  【关键词】皮
迪士普公司承接了北京08奥运9项公共广播工程,概述了该公司根据国家标准(报批稿)的要求、以及"低姿态代偿"可靠性设计概念,解决奥运场馆公共广播系统设计问题的思路.
“传统的杀毒软件沿用杀毒引擎+特征码的技术,20年没有创新,已经不能有效解决互联网的安全问题。”近日。奇虎董事长周鸿祎在360安全卫士的发布会上抛出“杀毒软件无用论”,再次挑动中国安全软件行业敏感的神经。去年,周鸿祎就曾经大肆宣扬“所有的杀毒软件都应该免费”,引发了安全软件江湖上一场旷日持久的争论。这一回。他来得更加彻底,抓住杀毒软件查杀滞后和资源占用过大的弊端。将其批得体无完肤。而这一切,也恰到
介绍国外近年来用超声导波对化工埋管表面腐蚀状态进行长距离快速检测的新技术,包括装置构成、信号分类和波幅设定.在设有模拟缺陷的试样管上探索并比较了两种导波(纵波和扭
为推动NDT行业技术进步和提升企业设备运行维保服务水平,2015年10月15-16日由浩中科技(上海)有限公司主办,通用电气检测控制技术(上海)有限公司协办及霍释特(上海)检测有限公
ASPP家族成员抑制剂(inhibitory member of the ASPP family,iASPP)是最近发现的能特异抑制p53抑癌功能的蛋白[1,2].研究发现iASPP在多种肿瘤细胞中表达显著升高[3,4],提示通过抑制肿瘤细胞中iASPP基因的过表达有可能成为恢复p53抑癌功能的新策略.我们通过构建iASPP基因的小干扰RNA(siRNA)真核表达载体,将其分别转染到含野生型p53
对当今流行的几种WebGIS开发技术做了阐述和分析,提出了一种基于WebGIS的城市配电网监控系统.
【摘 要】arp病毒经常造成企业网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等现象。  【关键词】arp病毒 仿冒网关 ACL访问控制列表  一、ARP病毒及其攻击介绍  ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其
大家在使用Word的过程中可能已经发现,Word保存同样大小的一篇文档所花费的时间并不一样,而两篇字符数相同的文档所占用的磁盘空间也可能有大有小,这些差别在某些情况下还非