孟莉

北京林業(yè)大學圖書館 北京 100083

0 引言

現今局域網技術已經非常成熟，在網絡架構中逐漸形成以千兆三層交換機為核心的主流網絡模型。隨著人們對網絡依賴程度日益增強，網絡的安全性和可靠性愈來愈重要。同時計算機病毒種類越來越多，手段也不斷升級。如果缺乏一定的安全保障，無論是公共還是企業(yè)專用網都難以抵擋網絡攻擊非法入侵。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部使用者帶來的威脅。所以核心交換機優(yōu)化配置對局域網的安全性尤為重要，下面通過優(yōu)化VLAN、訪問控制列表、端口綁定等技術構建局域網的安全策略。

1 虛擬局域網VALN

虛擬局域網(Virtual Local Area Network，VLAN)。VLAN是一種將局域網設備從邏輯上劃分成一個網段，從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用于交換機和路由器中，主流應用還是在具有VLAN協(xié)議的第三層以上交換機之中，以軟件方式實現邏輯工作組的劃分與管理的技術，解決了交換機在局域網互連時無法限制廣播的問題。每個VLAN是一個廣播域，VLAN內的主機間通信就和在一個LAN內一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內。合理劃分VLAN，增強局域網的安全性，含有敏感數據的用戶組可與網絡的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備實現。

1.1 劃分VLAN

目前的 VLAN技術主要有三種：基于交換機端口的VLAN、基于節(jié)點 MAC地址的 VLAN和基于應用協(xié)議的VLAN?；诙丝诘腣LAN稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實際應用卻尚不成熟。

局域網內各部門計算機使用VLAN進行隔離，根據工作性質將相關職能部門的計算機邏輯地劃分到一起，而不依賴于設備的物理位置。這樣首先實現了第二層的安全，非本虛擬網絡的計算機在第二層無法與該虛網通訊。在第三層或更高層通過路由過濾或防火墻提供該虛擬網絡的更高級的安全；通過設置訪問控制策略來控制其他部門的非法訪問；劃分VLAN是控制網絡廣播風暴的一種基本手段，也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止大部分基于網絡偵聽的入侵。按照功能的不同劃分 VLAN，如網絡設備與網管劃為一個VLAN10、內部服務器劃為VLAN20、財務部門劃為VLAN30、其他部門劃為VLAN40等。

1.2 配置VLAN

以思科cisco4506為例說明具體配置過程。

1.2.1 創(chuàng)建VLAN

M4506# configure terminal

M4506 (config)# vlan 10

M4506 (config-vlan)# name admin20

M4506 (config-vlan)# end

M4506)# wr

1.2.2 分配IP地址段

M4506 (config)#interface Vlan10

M4506 (config)#ip address 192.168.100.1 255.255.255.0

M4506 (config)# end

M4506)# wr

2 訪問控制列表

訪問控制列表(Access Control List，ACL)，它對進出路由的報文信息進行匹配，基于數據報文的源IP地址、目的IP地址和應用類型等規(guī)則來控制網絡的數據流向，每一個從路由器接口進出的報文都要同訪問表的規(guī)則進行自上而下的順序比較操作，決定報文被允許通過或是被拒絕丟棄。訪問控制列表是底層網絡安全防范和保護的主要策略，其主要任務是保證網絡資源不被非法使用和非正常訪問。ACL分為標準訪問控制列表和擴展訪問控制列表。標準訪問控制列表只對數據包中的源地址進行檢查而不考慮目的地址和端口號等過濾選項。其IP列表的數字表示范圍為1～99。擴展訪問控制列表則對數據包中的源地址、目的地址、協(xié)議、端口號、優(yōu)先級、服務級類型等選項進行過濾，并可以動態(tài)地分時間段來對數據包進行過濾。其IP列表的數字表示范圍100～199。

2.1 ACL主要應用

網絡中有資源節(jié)點和用戶節(jié)點兩大類，其中資源節(jié)點提供服務或數據，用戶節(jié)點訪問資源節(jié)點所提供的服務與數據。ACL的主要功能就是一方面保護資源節(jié)點，阻止非法用戶對資源節(jié)點的訪問，另一方面限制特定的用戶節(jié)點所能具備的訪問權限。在實施 ACL的過程中，應當遵循如下兩個基本原則：

(1) 最小特權原則：只給受控對象完成任務所必須的最小的權限。

(2) 最靠近受控對象原則：所有的網絡層訪問權限控制。

2.2 創(chuàng)建及使用ACL

創(chuàng)建ACL列表110

M4506 (config)#access-list 110 permit tcp host 192.168.100.20 host 92.168.100.5 eq telnet

M4506 (config)#access-list 110 deny tcp any host 192.168.100.5 eq telnet

M4506 (config)#access-list 110 permit ip any any

只有 ip 192.168.100.20能 telnet訪問服務器 192.168.100.5，其余主機都不能訪問。

應用ACL列表110

M4506 (config)#interface Vlan10

M4506 (config)#ip access-group 110 out

M4506 (config)# end

M4506)# wr

3 交換機端口安全

交換機端口安全即MAC地址與交換機端口綁定，即根據MAC地址進行網絡流量的控制和管理，能根據MAC地址確定允許訪問的設備，允許訪問設備的MAC地址既可以手工配置，也可以從交換機“學到”，當一個未批準的 MAC地址試圖訪問端口的時候，交換機會掛起或者禁用該端口。比如 MAC地址與具體的端口綁定，可限制該端口通過的MAC地址的數量，或者在具體的端口不允許某些MAC地址的幀流量通過。如果IP與MAC地址的綁定，可以有效的防止IP被盜用。端口配置如下：

以思科4506為例，在三層端口gi3/12上限制mac流量。

M4506 #config t

M4506 (config) #int gi3/12

M4506 (config-if) #arp ip mac arpa

M4506 (config) #end

M4506 #wr

4 結束語

綜上所述，LAN分段可以防止廣播風暴波及整個網絡，增強局域網的安全性，含有敏感數據的用戶組可與網絡的其余部分隔離，從而降低泄露機密信息的可能性；訪問控制列表技術方便網絡管理，有效保護資源服務器的安全，加強了網絡的安全性。端口安全能根據MAC地址對網絡流量進行控制和管理，限制具體端口通過的MAC地址的數量。網絡安全工作是一項長期的任務，網絡管理人員要加強防范意識，更好地保護各種資源。

[1]曾曠怡,楊家海.訪問控制列表的優(yōu)化問題[J].軟件學報.2007.

[2]Malik.王寶生,朱培棟,白建軍譯.網絡安全原理與實踐[M].北京:人民郵電出版社.2008.

[3]周游.校園網絡安全解決方案之訪問控制列表.電腦知識與技術.2009.

[4]劉軍,王彩萍.ACL在 IP網絡中的應用[J].計算機與數字工程.2009.

[5]賀斌.徐小華利用訪問控制列表構建安全網絡[J].科技信息.2010.