導語：VLAN技術校園網(wǎng)安全研究論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要本文以湖南鐵道職業(yè)技術學院的校園網(wǎng)為背景，從校園網(wǎng)的特點和傳統(tǒng)局域網(wǎng)技術入手，研究了vlan技術在校園網(wǎng)安全中的應用。

關鍵詞VLAN技術校園網(wǎng)網(wǎng)絡安全

引言

隨著Internet技術、網(wǎng)絡技術、信息技術、多媒體技術的迅猛發(fā)展，校園網(wǎng)已經(jīng)成為學校教學、科研、管理、信息獲取的重要手段。但是，校園網(wǎng)訪問方式多、用戶群龐大、網(wǎng)絡行為突發(fā)性高，為了保證校園網(wǎng)的正常運行和安全，本文主要針對校園網(wǎng)的特點和傳統(tǒng)局域網(wǎng)的缺陷，重點介紹了基于VLAN技術構建安全校園網(wǎng)絡的應用。

1傳統(tǒng)LAN環(huán)境

傳統(tǒng)LAN通常由HUB、網(wǎng)橋、交換機等網(wǎng)絡設備將同一網(wǎng)段的所有節(jié)點連接在一起而形成，各節(jié)點通常按照它們的物理連接被自然地劃分到各個廣播域。處于同一LAN內(nèi)的網(wǎng)絡節(jié)點間可以直接通信，而處于不同局域網(wǎng)之間的通信則必須通過路由器才能通信。典型的局域網(wǎng)環(huán)境如圖1所示

圖1傳統(tǒng)LAN環(huán)境

當LAN中出現(xiàn)機器網(wǎng)卡損壞、網(wǎng)絡環(huán)路或由于病毒等現(xiàn)象引起廣播風暴時，由于LAN的連接設備大多采用集線器、網(wǎng)橋或交換機，而它們都不具備隔離廣播風暴的功能，因此整個網(wǎng)絡的通信就會陷入癱瘓。

為了隔離廣播風暴，往往采用將一個大的網(wǎng)絡劃分為若干個小的廣播域，用能隔離廣播風暴的設備路由器將各個小廣播域連接起來。

隨著網(wǎng)絡應用的不斷加強，網(wǎng)絡結構越來越復雜，各LAN之間、各小廣播域之間的通信需要更多的路由器。通信信息經(jīng)過路由器后，路由器根據(jù)數(shù)據(jù)包中的信息確定數(shù)據(jù)包的目標地址，然后通過路由表選擇最佳的路徑將信息傳遞到目的地，隨著路由器數(shù)目的增多，網(wǎng)絡時延逐漸加長，最終導致網(wǎng)絡數(shù)據(jù)傳輸速度下降。

而且在LAN環(huán)境中，每次人員的變動都必須從物理上對其進行變更，須耗費很多的時間和精力。

2校園網(wǎng)絡特點分析

在發(fā)達國家中，校園網(wǎng)的發(fā)展已經(jīng)有20多年的歷史，已成為學校發(fā)展的重要基礎設施。麻省理工大學是美國最早建立校園網(wǎng)的學校之一[1]，目前主干網(wǎng)采用FDDI，子網(wǎng)選用以太網(wǎng)。我國校園網(wǎng)建設起步較晚，1987年清華大學創(chuàng)建的校園網(wǎng)是我國最早的，采用100M的FDDI主干，子網(wǎng)選用以太網(wǎng)。

校園網(wǎng)對于提高教學和科研質量、加快學校信息化建設、開展多媒體教學與研究、改善教學和科研條件有著十分重要的意義。

校園網(wǎng)網(wǎng)絡大，故障定位復雜，維護難度大。由于教學逐步走向網(wǎng)絡化、多媒體計算機教學越來越普及、學生在線學習、娛樂時間增加，不僅要保證校園網(wǎng)的穩(wěn)定可靠，還必須提供7*24小時正常和高效運行，因此網(wǎng)絡的維護只能利用比較空閑、相對流量較小的時間段。

校園網(wǎng)用戶群密集，網(wǎng)絡安全問題蔓延快、對網(wǎng)絡影響嚴重。某臺計算機由于各種原因出現(xiàn)故障，反過來又會影響整個網(wǎng)絡。而且應用網(wǎng)絡的年輕群體占大部分，好奇心大、敢于嘗試，不考慮網(wǎng)絡的運行環(huán)境，在網(wǎng)上大膽嘗試隨意下載的、學到的或自己創(chuàng)新的技術，不顧及是否有后門或其他風險，對網(wǎng)絡產(chǎn)生破壞和影響。

校園網(wǎng)業(yè)務多，開放性強。校園網(wǎng)是教學、科研的特定場所，也是新技術、新知識最先應用的場所，業(yè)務項目多，網(wǎng)絡環(huán)境相對比較寬松。不能像企業(yè)中一樣，采取哪一部分影響網(wǎng)絡的運行安全就停止該服務或關閉該端口的措施，因此安全隱患比較大。

校園網(wǎng)管理難度大。計算機購置和配置情況復雜，部分是統(tǒng)一購置，部分是個人購買，其配置程度不一，不可能統(tǒng)一進行管理；沒有相應的安全管理措施，一旦出現(xiàn)安全問題，責任難于到位；還有的學校由于人手不夠或其他原因，甚至出現(xiàn)無人管理校園網(wǎng)絡的情況。

隨著每個端口以太網(wǎng)和令牌環(huán)網(wǎng)的交換機價格下降，為了獲得更高的帶寬，越來越多的學校和組織傾向于給每個用戶分配一個單獨的交換端口。

校園網(wǎng)的使用引起了教學方法、教學手段、教學工具的重大革新，為學校管理者和老師提供了獲取資源、協(xié)同工作的有效途徑，是教育信息化發(fā)展不可或缺的工具。校園網(wǎng)安全、高效運行是每個校園網(wǎng)信息獲取和教學的保障，在校園網(wǎng)中采用新興技術迫在眉睫。

3VLAN技術

VLAN技術是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術。IEEE于1999年頒布了802.1Q關于VLAN的協(xié)議草案。是為了解決以太網(wǎng)廣播問題和安全性而提出的協(xié)議。

VLAN并非一種新型的網(wǎng)絡，是包含一組端站點的邏輯上的LAN，其中的站點好像被同一網(wǎng)線連接在一起，而實際上可能出于LAN的不同物理網(wǎng)段。是一組邏輯上的設備或用戶，它們就好像處于同一個物理LAN中一樣相互通信，不受物理位置的限制。

基于交換網(wǎng)絡的VLAN目前大致可分為4類：基于端口的VLAN（見圖2、圖3）、基于MAC地址的VLAN、基于路由的VLAN和基于策略的VLAN?；诙丝诘腣LAN劃分是最簡單、最有效的劃分方法，是基于交換機端口的劃分方法，只需網(wǎng)絡管理員對網(wǎng)絡設備的交換端口進行重新分配，不需考慮該端口所連接的設備，就可將屬于不同交換機端口的不同網(wǎng)段劃分在一個VLAN中；基于MAC地址的VLAN是MAC地址的集合，允許網(wǎng)絡用戶從一個位置移動到另一個物理位置，且自動保留起所屬VLAN的成員身份，是基于網(wǎng)絡用戶的，但由于MAC地址的唯一性，初始化困難，且網(wǎng)卡更換就必須重新配置，另外它不能防止MAC欺騙攻擊，有可能受到假冒MAC地址攻擊的危險。

VLAN技術的出現(xiàn)為網(wǎng)絡設計、擴展、更改提供了更大的靈活性，主要體現(xiàn)如下：

1）提高網(wǎng)絡設計的靈活性。處于不同地理位置的站點可劃分到同一個虛擬網(wǎng)中，不受地理位置的限制；可根據(jù)功能、項目組、應用的需要來劃分用戶和設備，可根據(jù)實際情況增加和減少用戶。

2）方便站點的移動、增加和變化，大大提高管理動態(tài)網(wǎng)絡的能力。由于某種原因，用戶工作位置發(fā)生變化時，采用傳統(tǒng)局域網(wǎng)技術的用戶需要對站點的IP地址、缺省網(wǎng)關進行修改后才能上網(wǎng)；采用基于MAC地址VLAN技術的用戶則可不作任何修改，在網(wǎng)上的任意位置都可上網(wǎng)，因為VLAN成員不是捆綁在某固定工作站上的；反過來，用戶的實際位置不發(fā)生改變卻變更了部門，網(wǎng)絡管理員也可以通過改變VLAN成員的方式讓用戶與VLAN的邏輯關系發(fā)生改變。減少了日常管理開銷，提供了更大的配置靈活性。

3）提高網(wǎng)絡安全功能。采用傳統(tǒng)局域網(wǎng)技術的網(wǎng)絡，只要利用一臺PC裝上協(xié)議分析軟件，連到集線器上就可攔截該網(wǎng)段上的所有數(shù)據(jù)，采用基于MAC地址的VLAN技術時就不可能攔截該VLAN的數(shù)據(jù)；VLAN與VLAN間邏輯上是分開的，VLAN成員的數(shù)據(jù)包只能在同一VLAN內(nèi)部傳送，即使處于同一網(wǎng)絡中，不同VLAN間也不能進行直接通信，有效的避免了廣播風暴的傳播；校園網(wǎng)中如財務管理、人事檔案管理及一些不對外公開的科研數(shù)據(jù)資料庫等應用系統(tǒng)，網(wǎng)絡管理員可采用VLAN技術對廣播域進行邏輯劃分，達到限制用戶非法訪問的目的，從而確保重要部門的數(shù)據(jù)安全。除非設置了監(jiān)聽口，信息交換就不可能存在監(jiān)聽和插入問題，提高了網(wǎng)絡的安全性能；對于內(nèi)網(wǎng)，采用基于MAC地址的VLAN技術，可有效防止IP地址盜用問題。

4）采用VLAN技術的網(wǎng)絡中，每個VLAN內(nèi)的站點可直接訪問該VLAN內(nèi)的服務器，提高了網(wǎng)絡的響應速度；同時，同一個VLAN內(nèi)的站點可以非常方便的進行通信。

5）簡化網(wǎng)絡管理：VLAN是一個在物理網(wǎng)絡上根據(jù)用途、工作組、應用等來邏輯劃分的局域網(wǎng)絡，與用戶的物理位置沒有關系[3][4]。采用VLAN技術，網(wǎng)絡管理員只需設置指令就能為某個項目或任務建立VLAN[2]。

4VLAN技術在我校校園網(wǎng)中的應用

4.1我校校園網(wǎng)概況

校園網(wǎng)以設在教學樓的校園網(wǎng)網(wǎng)絡中心為核心，覆蓋東校區(qū)辦公樓、東校區(qū)教學樓、東校區(qū)實驗樓、主校區(qū)辦公樓、主校區(qū)實驗樓、主校區(qū)教學樓、多媒體中心、圖書館、后勤公司等主要大樓。采用CISCO3550交換機作為中心交換機，在其他樓配置二級交換機，樓與樓之間采用START產(chǎn)品作為三級交換機，辦公室采用TP-LINK連接各工作站。中心交換機與防火墻相連，各服務器都連到防火墻上，防火墻同時與路由器相連，通過路由器連接INTERNET。

4.2校園網(wǎng)具體情況介紹

1）出口：學校與電信的網(wǎng)絡接口帶寬為100MB，與教育網(wǎng)的網(wǎng)絡接口帶寬為64KB；

2）域名：

3)IP地址范圍：218.75.196.218-----

4）中心交換機：CISCO3550

目前校園網(wǎng)覆蓋的樓包括：圖書館、辦公樓、各校區(qū)教學樓、實驗樓、多媒體中心。學生宿舍樓沒有介入校園網(wǎng)，由電信負責接入。

4.3學校系統(tǒng)情況

目前學校運行的系統(tǒng)主要為：WEB服務器一臺；流媒體服務器一臺；圖書管理系統(tǒng)；財務系統(tǒng)

就網(wǎng)絡整體結構而言，我校校園網(wǎng)是一個千兆和百兆以太網(wǎng)鏈路連接的園區(qū)網(wǎng)絡。整個網(wǎng)絡根據(jù)范圍的限制可分為兩個大的部分：內(nèi)網(wǎng)和外網(wǎng)。從網(wǎng)絡安全級別的角度考慮又可將內(nèi)網(wǎng)分為兩大部分：第一部分為重點信息安全保護區(qū)，即校園網(wǎng)的重要應用服務器群和重要部門的網(wǎng)絡設備和用戶；第二部分為普通信息安全區(qū)，即校園網(wǎng)中普通應用的網(wǎng)絡設備和用戶。外網(wǎng)即為校園外部網(wǎng)絡區(qū)域，也就是與校園網(wǎng)相連的教育網(wǎng)和INTERNET。校園網(wǎng)重點考慮網(wǎng)絡內(nèi)部安全：包括信息訪問安全和物理安全。信息訪問安全即為內(nèi)部網(wǎng)絡各部門和用戶之間要能相互進行信息交換，又要保護重要部門數(shù)據(jù)的保密性，同時應禁止外部用戶非法訪問內(nèi)部數(shù)據(jù)。

4.4校園網(wǎng)系統(tǒng)規(guī)劃

安全技術：根據(jù)校園網(wǎng)的具體情況，為了達到信息流量的控制，并提供良好的安全性，通過對網(wǎng)絡邏輯結構進行分析和合理劃分，采用基于端口VLAN技術對校園內(nèi)部網(wǎng)絡不同部門之間進行邏輯隔離，同時抑制廣播風暴。根據(jù)學校具體建筑物分布情況，每棟樓設置為一個VLAN，共設置10個，VLAN2到VLAN10，VLAN1為交換機出廠時設置，不可更改，不可刪除。

拓撲結構：以太網(wǎng)拓撲結構主要有總線型、星型、環(huán)型、網(wǎng)狀型、樹型?？偩€型拓撲所有的站點都鏈接在同一電纜上，很難進行錯誤診斷和網(wǎng)絡隔離，電纜上的一處故障可能會導致整個網(wǎng)絡癱瘓；星型拓撲結構有一個中心控制點，連接簡單，故障檢測和隔離方便，網(wǎng)絡訪問協(xié)議簡單，服務方便，成本低、易于管理、容易擴展，我校網(wǎng)絡是以網(wǎng)絡中心作為中心點，向周圍建筑物輻射，所以校園網(wǎng)拓撲結構主體采用星型拓撲，內(nèi)部網(wǎng)絡拓撲為典型的樹型拓撲結構。參考文獻：

[1]VictorS.Frost，K.SamShamugan.GenericApproachtoLANModeling.IEEETransactionsonCommunications1997.5:716

[2]林維忠.虛擬局域網(wǎng)（VLAN）技術.西部廣播電視.2003，3：44-45

[3]Dr.V.Rajaravivarma.VirtualLocalAreaNetworkTechnologyandApplications.IEEETransactionsonCommunications,1997:49-52

[4]李晉平.局域網(wǎng)組建和安全管理的實用技術.電腦開發(fā)與應用.2002，15（10）：33-35