導(dǎo)語(yǔ)：VLAN技術(shù)校園網(wǎng)安全研究論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要本文以湖南鐵道職業(yè)技術(shù)學(xué)院的校園網(wǎng)為背景，從校園網(wǎng)的特點(diǎn)和傳統(tǒng)局域網(wǎng)技術(shù)入手，研究了vlan技術(shù)在校園網(wǎng)安全中的應(yīng)用。

關(guān)鍵詞VLAN技術(shù)校園網(wǎng)網(wǎng)絡(luò)安全

引言

隨著Internet技術(shù)、網(wǎng)絡(luò)技術(shù)、信息技術(shù)、多媒體技術(shù)的迅猛發(fā)展，校園網(wǎng)已經(jīng)成為學(xué)校教學(xué)、科研、管理、信息獲取的重要手段。但是，校園網(wǎng)訪問(wèn)方式多、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性高，為了保證校園網(wǎng)的正常運(yùn)行和安全，本文主要針對(duì)校園網(wǎng)的特點(diǎn)和傳統(tǒng)局域網(wǎng)的缺陷，重點(diǎn)介紹了基于VLAN技術(shù)構(gòu)建安全校園網(wǎng)絡(luò)的應(yīng)用。

1傳統(tǒng)LAN環(huán)境

傳統(tǒng)LAN通常由HUB、網(wǎng)橋、交換機(jī)等網(wǎng)絡(luò)設(shè)備將同一網(wǎng)段的所有節(jié)點(diǎn)連接在一起而形成，各節(jié)點(diǎn)通常按照它們的物理連接被自然地劃分到各個(gè)廣播域。處于同一LAN內(nèi)的網(wǎng)絡(luò)節(jié)點(diǎn)間可以直接通信，而處于不同局域網(wǎng)之間的通信則必須通過(guò)路由器才能通信。典型的局域網(wǎng)環(huán)境如圖1所示

圖1傳統(tǒng)LAN環(huán)境

當(dāng)LAN中出現(xiàn)機(jī)器網(wǎng)卡損壞、網(wǎng)絡(luò)環(huán)路或由于病毒等現(xiàn)象引起廣播風(fēng)暴時(shí)，由于LAN的連接設(shè)備大多采用集線器、網(wǎng)橋或交換機(jī)，而它們都不具備隔離廣播風(fēng)暴的功能，因此整個(gè)網(wǎng)絡(luò)的通信就會(huì)陷入癱瘓。

為了隔離廣播風(fēng)暴，往往采用將一個(gè)大的網(wǎng)絡(luò)劃分為若干個(gè)小的廣播域，用能隔離廣播風(fēng)暴的設(shè)備路由器將各個(gè)小廣播域連接起來(lái)。

隨著網(wǎng)絡(luò)應(yīng)用的不斷加強(qiáng)，網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜，各LAN之間、各小廣播域之間的通信需要更多的路由器。通信信息經(jīng)過(guò)路由器后，路由器根據(jù)數(shù)據(jù)包中的信息確定數(shù)據(jù)包的目標(biāo)地址，然后通過(guò)路由表選擇最佳的路徑將信息傳遞到目的地，隨著路由器數(shù)目的增多，網(wǎng)絡(luò)時(shí)延逐漸加長(zhǎng)，最終導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)傳輸速度下降。

而且在LAN環(huán)境中，每次人員的變動(dòng)都必須從物理上對(duì)其進(jìn)行變更，須耗費(fèi)很多的時(shí)間和精力。

2校園網(wǎng)絡(luò)特點(diǎn)分析

在發(fā)達(dá)國(guó)家中，校園網(wǎng)的發(fā)展已經(jīng)有20多年的歷史，已成為學(xué)校發(fā)展的重要基礎(chǔ)設(shè)施。麻省理工大學(xué)是美國(guó)最早建立校園網(wǎng)的學(xué)校之一[1]，目前主干網(wǎng)采用FDDI，子網(wǎng)選用以太網(wǎng)。我國(guó)校園網(wǎng)建設(shè)起步較晚，1987年清華大學(xué)創(chuàng)建的校園網(wǎng)是我國(guó)最早的，采用100M的FDDI主干，子網(wǎng)選用以太網(wǎng)。

校園網(wǎng)對(duì)于提高教學(xué)和科研質(zhì)量、加快學(xué)校信息化建設(shè)、開(kāi)展多媒體教學(xué)與研究、改善教學(xué)和科研條件有著十分重要的意義。

校園網(wǎng)網(wǎng)絡(luò)大，故障定位復(fù)雜，維護(hù)難度大。由于教學(xué)逐步走向網(wǎng)絡(luò)化、多媒體計(jì)算機(jī)教學(xué)越來(lái)越普及、學(xué)生在線學(xué)習(xí)、娛樂(lè)時(shí)間增加，不僅要保證校園網(wǎng)的穩(wěn)定可靠，還必須提供7*24小時(shí)正常和高效運(yùn)行，因此網(wǎng)絡(luò)的維護(hù)只能利用比較空閑、相對(duì)流量較小的時(shí)間段。

校園網(wǎng)用戶群密集，網(wǎng)絡(luò)安全問(wèn)題蔓延快、對(duì)網(wǎng)絡(luò)影響嚴(yán)重。某臺(tái)計(jì)算機(jī)由于各種原因出現(xiàn)故障，反過(guò)來(lái)又會(huì)影響整個(gè)網(wǎng)絡(luò)。而且應(yīng)用網(wǎng)絡(luò)的年輕群體占大部分，好奇心大、敢于嘗試，不考慮網(wǎng)絡(luò)的運(yùn)行環(huán)境，在網(wǎng)上大膽嘗試隨意下載的、學(xué)到的或自己創(chuàng)新的技術(shù)，不顧及是否有后門或其他風(fēng)險(xiǎn)，對(duì)網(wǎng)絡(luò)產(chǎn)生破壞和影響。

校園網(wǎng)業(yè)務(wù)多，開(kāi)放性強(qiáng)。校園網(wǎng)是教學(xué)、科研的特定場(chǎng)所，也是新技術(shù)、新知識(shí)最先應(yīng)用的場(chǎng)所，業(yè)務(wù)項(xiàng)目多，網(wǎng)絡(luò)環(huán)境相對(duì)比較寬松。不能像企業(yè)中一樣，采取哪一部分影響網(wǎng)絡(luò)的運(yùn)行安全就停止該服務(wù)或關(guān)閉該端口的措施，因此安全隱患比較大。

校園網(wǎng)管理難度大。計(jì)算機(jī)購(gòu)置和配置情況復(fù)雜，部分是統(tǒng)一購(gòu)置，部分是個(gè)人購(gòu)買，其配置程度不一，不可能統(tǒng)一進(jìn)行管理；沒(méi)有相應(yīng)的安全管理措施，一旦出現(xiàn)安全問(wèn)題，責(zé)任難于到位；還有的學(xué)校由于人手不夠或其他原因，甚至出現(xiàn)無(wú)人管理校園網(wǎng)絡(luò)的情況。

隨著每個(gè)端口以太網(wǎng)和令牌環(huán)網(wǎng)的交換機(jī)價(jià)格下降，為了獲得更高的帶寬，越來(lái)越多的學(xué)校和組織傾向于給每個(gè)用戶分配一個(gè)單獨(dú)的交換端口。

校園網(wǎng)的使用引起了教學(xué)方法、教學(xué)手段、教學(xué)工具的重大革新，為學(xué)校管理者和老師提供了獲取資源、協(xié)同工作的有效途徑，是教育信息化發(fā)展不可或缺的工具。校園網(wǎng)安全、高效運(yùn)行是每個(gè)校園網(wǎng)信息獲取和教學(xué)的保障，在校園網(wǎng)中采用新興技術(shù)迫在眉睫。

3VLAN技術(shù)

VLAN技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。IEEE于1999年頒布了802.1Q關(guān)于VLAN的協(xié)議草案。是為了解決以太網(wǎng)廣播問(wèn)題和安全性而提出的協(xié)議。

VLAN并非一種新型的網(wǎng)絡(luò)，是包含一組端站點(diǎn)的邏輯上的LAN，其中的站點(diǎn)好像被同一網(wǎng)線連接在一起，而實(shí)際上可能出于LAN的不同物理網(wǎng)段。是一組邏輯上的設(shè)備或用戶，它們就好像處于同一個(gè)物理LAN中一樣相互通信，不受物理位置的限制。

基于交換網(wǎng)絡(luò)的VLAN目前大致可分為4類：基于端口的VLAN（見(jiàn)圖2、圖3）、基于MAC地址的VLAN、基于路由的VLAN和基于策略的VLAN?；诙丝诘腣LAN劃分是最簡(jiǎn)單、最有效的劃分方法，是基于交換機(jī)端口的劃分方法，只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配，不需考慮該端口所連接的設(shè)備，就可將屬于不同交換機(jī)端口的不同網(wǎng)段劃分在一個(gè)VLAN中；基于MAC地址的VLAN是MAC地址的集合，允許網(wǎng)絡(luò)用戶從一個(gè)位置移動(dòng)到另一個(gè)物理位置，且自動(dòng)保留起所屬VLAN的成員身份，是基于網(wǎng)絡(luò)用戶的，但由于MAC地址的唯一性，初始化困難，且網(wǎng)卡更換就必須重新配置，另外它不能防止MAC欺騙攻擊，有可能受到假冒MAC地址攻擊的危險(xiǎn)。

VLAN技術(shù)的出現(xiàn)為網(wǎng)絡(luò)設(shè)計(jì)、擴(kuò)展、更改提供了更大的靈活性，主要體現(xiàn)如下：

1）提高網(wǎng)絡(luò)設(shè)計(jì)的靈活性。處于不同地理位置的站點(diǎn)可劃分到同一個(gè)虛擬網(wǎng)中，不受地理位置的限制；可根據(jù)功能、項(xiàng)目組、應(yīng)用的需要來(lái)劃分用戶和設(shè)備，可根據(jù)實(shí)際情況增加和減少用戶。

2）方便站點(diǎn)的移動(dòng)、增加和變化，大大提高管理動(dòng)態(tài)網(wǎng)絡(luò)的能力。由于某種原因，用戶工作位置發(fā)生變化時(shí)，采用傳統(tǒng)局域網(wǎng)技術(shù)的用戶需要對(duì)站點(diǎn)的IP地址、缺省網(wǎng)關(guān)進(jìn)行修改后才能上網(wǎng)；采用基于MAC地址VLAN技術(shù)的用戶則可不作任何修改，在網(wǎng)上的任意位置都可上網(wǎng)，因?yàn)閂LAN成員不是捆綁在某固定工作站上的；反過(guò)來(lái)，用戶的實(shí)際位置不發(fā)生改變卻變更了部門，網(wǎng)絡(luò)管理員也可以通過(guò)改變VLAN成員的方式讓用戶與VLAN的邏輯關(guān)系發(fā)生改變。減少了日常管理開(kāi)銷，提供了更大的配置靈活性。

3）提高網(wǎng)絡(luò)安全功能。采用傳統(tǒng)局域網(wǎng)技術(shù)的網(wǎng)絡(luò)，只要利用一臺(tái)PC裝上協(xié)議分析軟件，連到集線器上就可攔截該網(wǎng)段上的所有數(shù)據(jù)，采用基于MAC地址的VLAN技術(shù)時(shí)就不可能攔截該VLAN的數(shù)據(jù)；VLAN與VLAN間邏輯上是分開(kāi)的，VLAN成員的數(shù)據(jù)包只能在同一VLAN內(nèi)部傳送，即使處于同一網(wǎng)絡(luò)中，不同VLAN間也不能進(jìn)行直接通信，有效的避免了廣播風(fēng)暴的傳播；校園網(wǎng)中如財(cái)務(wù)管理、人事檔案管理及一些不對(duì)外公開(kāi)的科研數(shù)據(jù)資料庫(kù)等應(yīng)用系統(tǒng)，網(wǎng)絡(luò)管理員可采用VLAN技術(shù)對(duì)廣播域進(jìn)行邏輯劃分，達(dá)到限制用戶非法訪問(wèn)的目的，從而確保重要部門的數(shù)據(jù)安全。除非設(shè)置了監(jiān)聽(tīng)口，信息交換就不可能存在監(jiān)聽(tīng)和插入問(wèn)題，提高了網(wǎng)絡(luò)的安全性能；對(duì)于內(nèi)網(wǎng)，采用基于MAC地址的VLAN技術(shù)，可有效防止IP地址盜用問(wèn)題。

4）采用VLAN技術(shù)的網(wǎng)絡(luò)中，每個(gè)VLAN內(nèi)的站點(diǎn)可直接訪問(wèn)該VLAN內(nèi)的服務(wù)器，提高了網(wǎng)絡(luò)的響應(yīng)速度；同時(shí)，同一個(gè)VLAN內(nèi)的站點(diǎn)可以非常方便的進(jìn)行通信。

5）簡(jiǎn)化網(wǎng)絡(luò)管理：VLAN是一個(gè)在物理網(wǎng)絡(luò)上根據(jù)用途、工作組、應(yīng)用等來(lái)邏輯劃分的局域網(wǎng)絡(luò)，與用戶的物理位置沒(méi)有關(guān)系[3][4]。采用VLAN技術(shù)，網(wǎng)絡(luò)管理員只需設(shè)置指令就能為某個(gè)項(xiàng)目或任務(wù)建立VLAN[2]。

4VLAN技術(shù)在我校校園網(wǎng)中的應(yīng)用

4.1我校校園網(wǎng)概況

校園網(wǎng)以設(shè)在教學(xué)樓的校園網(wǎng)網(wǎng)絡(luò)中心為核心，覆蓋東校區(qū)辦公樓、東校區(qū)教學(xué)樓、東校區(qū)實(shí)驗(yàn)樓、主校區(qū)辦公樓、主校區(qū)實(shí)驗(yàn)樓、主校區(qū)教學(xué)樓、多媒體中心、圖書(shū)館、后勤公司等主要大樓。采用CISCO3550交換機(jī)作為中心交換機(jī)，在其他樓配置二級(jí)交換機(jī)，樓與樓之間采用START產(chǎn)品作為三級(jí)交換機(jī)，辦公室采用TP-LINK連接各工作站。中心交換機(jī)與防火墻相連，各服務(wù)器都連到防火墻上，防火墻同時(shí)與路由器相連，通過(guò)路由器連接INTERNET。

4.2校園網(wǎng)具體情況介紹

1）出口：學(xué)校與電信的網(wǎng)絡(luò)接口帶寬為100MB，與教育網(wǎng)的網(wǎng)絡(luò)接口帶寬為64KB；

2）域名：

3)IP地址范圍：218.75.196.218-----

4）中心交換機(jī)：CISCO3550

目前校園網(wǎng)覆蓋的樓包括：圖書(shū)館、辦公樓、各校區(qū)教學(xué)樓、實(shí)驗(yàn)樓、多媒體中心。學(xué)生宿舍樓沒(méi)有介入校園網(wǎng)，由電信負(fù)責(zé)接入。

4.3學(xué)校系統(tǒng)情況

目前學(xué)校運(yùn)行的系統(tǒng)主要為：WEB服務(wù)器一臺(tái)；流媒體服務(wù)器一臺(tái)；圖書(shū)管理系統(tǒng)；財(cái)務(wù)系統(tǒng)

就網(wǎng)絡(luò)整體結(jié)構(gòu)而言，我校校園網(wǎng)是一個(gè)千兆和百兆以太網(wǎng)鏈路連接的園區(qū)網(wǎng)絡(luò)。整個(gè)網(wǎng)絡(luò)根據(jù)范圍的限制可分為兩個(gè)大的部分：內(nèi)網(wǎng)和外網(wǎng)。從網(wǎng)絡(luò)安全級(jí)別的角度考慮又可將內(nèi)網(wǎng)分為兩大部分：第一部分為重點(diǎn)信息安全保護(hù)區(qū)，即校園網(wǎng)的重要應(yīng)用服務(wù)器群和重要部門的網(wǎng)絡(luò)設(shè)備和用戶；第二部分為普通信息安全區(qū)，即校園網(wǎng)中普通應(yīng)用的網(wǎng)絡(luò)設(shè)備和用戶。外網(wǎng)即為校園外部網(wǎng)絡(luò)區(qū)域，也就是與校園網(wǎng)相連的教育網(wǎng)和INTERNET。校園網(wǎng)重點(diǎn)考慮網(wǎng)絡(luò)內(nèi)部安全：包括信息訪問(wèn)安全和物理安全。信息訪問(wèn)安全即為內(nèi)部網(wǎng)絡(luò)各部門和用戶之間要能相互進(jìn)行信息交換，又要保護(hù)重要部門數(shù)據(jù)的保密性，同時(shí)應(yīng)禁止外部用戶非法訪問(wèn)內(nèi)部數(shù)據(jù)。

4.4校園網(wǎng)系統(tǒng)規(guī)劃

安全技術(shù)：根據(jù)校園網(wǎng)的具體情況，為了達(dá)到信息流量的控制，并提供良好的安全性，通過(guò)對(duì)網(wǎng)絡(luò)邏輯結(jié)構(gòu)進(jìn)行分析和合理劃分，采用基于端口VLAN技術(shù)對(duì)校園內(nèi)部網(wǎng)絡(luò)不同部門之間進(jìn)行邏輯隔離，同時(shí)抑制廣播風(fēng)暴。根據(jù)學(xué)校具體建筑物分布情況，每棟樓設(shè)置為一個(gè)VLAN，共設(shè)置10個(gè)，VLAN2到VLAN10，VLAN1為交換機(jī)出廠時(shí)設(shè)置，不可更改，不可刪除。

拓?fù)浣Y(jié)構(gòu)：以太網(wǎng)拓?fù)浣Y(jié)構(gòu)主要有總線型、星型、環(huán)型、網(wǎng)狀型、樹(shù)型?？偩€型拓?fù)渌械恼军c(diǎn)都鏈接在同一電纜上，很難進(jìn)行錯(cuò)誤診斷和網(wǎng)絡(luò)隔離，電纜上的一處故障可能會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓；星型拓?fù)浣Y(jié)構(gòu)有一個(gè)中心控制點(diǎn)，連接簡(jiǎn)單，故障檢測(cè)和隔離方便，網(wǎng)絡(luò)訪問(wèn)協(xié)議簡(jiǎn)單，服務(wù)方便，成本低、易于管理、容易擴(kuò)展，我校網(wǎng)絡(luò)是以網(wǎng)絡(luò)中心作為中心點(diǎn)，向周圍建筑物輻射，所以校園網(wǎng)拓?fù)浣Y(jié)構(gòu)主體采用星型拓?fù)?，?nèi)部網(wǎng)絡(luò)拓?fù)錇榈湫偷臉?shù)型拓?fù)浣Y(jié)構(gòu)。參考文獻(xiàn)：

[1]VictorS.Frost，K.SamShamugan.GenericApproachtoLANModeling.IEEETransactionsonCommunications1997.5:716

[2]林維忠.虛擬局域網(wǎng)（VLAN）技術(shù).西部廣播電視.2003，3：44-45

[3]Dr.V.Rajaravivarma.VirtualLocalAreaNetworkTechnologyandApplications.IEEETransactionsonCommunications,1997:49-52

[4]李晉平.局域網(wǎng)組建和安全管理的實(shí)用技術(shù).電腦開(kāi)發(fā)與應(yīng)用.2002，15（10）：33-35