摘 要：為了解決企業(yè)中存在的一些網絡問題，可以通過VLAN技術來實現(xiàn)邏輯上對局域網實現(xiàn)分段，進而解決企業(yè)面臨的很多的網絡隱患。本文重點討論了VLAN技術在企業(yè)內的架設方案以及通過使用VLAN技術能夠實現(xiàn)的網絡安全策略。

關鍵詞：虛擬交換；安全；策略

中圖分類號：TP393.18

計算機技術和網絡技術的飛速發(fā)展，加快了企事業(yè)單位的信息化建設的步伐。信息技術和網絡技術在企事業(yè)單位的應用，為企事業(yè)單位帶來了效益和便利。但是同時也為企業(yè)的信息安全帶來了隱患。所以，現(xiàn)在網絡安全問題成為各個企事業(yè)單位普遍關注的問題。不同類型的企事業(yè)單位所采用的網絡安全策略也應該是不同的，針對某企業(yè)的特點，本文分析利用VLAN技術來進行企業(yè)網絡安全的保障。

1 VLAN概述

VLAN全稱是Virtual Local Area Network，通常稱之為虛擬局域網。VLAN能夠通過邏輯上的劃分將一個物理上的局域網實現(xiàn)分段，并能在局域網內實現(xiàn)虛擬的工作組的交換。在交換機和路由器中最常用的就是VLAN技術。

VLAN技術屬于交換技術的類型，通過使用VLAN可以有效解決網絡中的一些難題。例如：傳統(tǒng)的網絡技術對路由器的依賴嚴重，VLAN能減少這種依賴性，并同時能有效控制網絡內廣播的流量。利用VLAN技術就不需要再額外增加網絡的站點，這樣就能降低網絡維護的復雜度和費用。如果在網絡中能合理的利用VLAN技術，就能有效地提高網絡的靈活度，并能通過有效的網絡分段，提高網絡的安全性能。

2 企業(yè)存在的網絡安全隱患

大多數(shù)企業(yè)的內部網結構較為復雜，為了適用企業(yè)本身的特點，所以網絡設置的也較為靈活，這樣提升了網絡的可用性，但是同時也增加了網絡的安全隱患和安全漏洞。下面就分析一下大多數(shù)企業(yè)存在的網絡安全隱患。

2.1 網絡的非法接入隱患

對于企業(yè)來說，網絡中傳輸和共享的數(shù)據(jù)時非常珍貴的企業(yè)資料。這些資料中不乏秘密甚至機密的內容，這些內容當然是不希望被網絡外部的非法人員訪問到得。但是現(xiàn)在對于網絡的非法訪問手段卻是從出不窮，給網絡的安全性帶來很大的威脅。

2.2 偽AP和偽網絡

非法攻擊者對于煤炭企業(yè)的網絡攻擊還可能是通過假的網絡接入設備偽造成真的，然后誘騙合法用戶使用。這樣，非法攻擊者就會通過這種手段來非法獲取合法用戶的用戶名和密碼。

2.3 網絡竊聽

雖然，對于有線網絡來說，它可以用物理隔離之類的手段來減少網絡竊聽的威脅，所以相對無線網絡來說，有限網絡被進行竊聽的可能性要小一些。但是并不是完全沒有，而且，現(xiàn)在的竊聽手段有所提升，例如竊聽者可以在他們的計算機上安裝類似Sniffer、ethereal等竊聽軟件，可以輕易從企業(yè)的網絡中捕獲其在內部網上傳輸?shù)臄?shù)據(jù)包。

2.4 數(shù)據(jù)篡改

對數(shù)據(jù)進行篡改是另一種常見的非法攻擊形式。這也是對企業(yè)來非常嚴重的破壞方式。攻擊者會通過構造虛假報文對煤炭企業(yè)的合法用戶進行欺詐。一般來將，非法攻擊者會對企業(yè)的內部網進行三種形式的數(shù)據(jù)篡改。第一種是對企業(yè)的日常的業(yè)務數(shù)據(jù)進行篡改，這樣就會給合法用戶展現(xiàn)一種錯誤的業(yè)務數(shù)據(jù)，以來欺騙合法用戶；第二種是捏造假的用戶請求，非法接入網絡；最后一種是將網絡的管理報文進行篡改，來影響企業(yè)的網絡設備的正常運轉。

3 VLAN技術在企業(yè)網的實現(xiàn)

通過對某企業(yè)的企業(yè)內部網絡的特點進行分析，筆者為該企業(yè)設計了一個VLAN的網絡解決方案。該方案要求節(jié)省成本，又要規(guī)劃合理，同時還要能解決該企業(yè)的網絡問題。所以根據(jù)這些要求，筆者采用了基于端口的方法來對該企業(yè)進行了網絡的VLAN邏輯劃分。

圖1 企業(yè)VLAN拓撲結構圖

筆者設計的某企業(yè)的結構主要是行政區(qū)域、后勤服務、生產區(qū)域、公寓樓等，不同的職能區(qū)域都需要單獨設置VLAN架構，但是每個職能區(qū)域設置VLAN的原理是幾乎相同的。所以在此，筆者就以行政區(qū)域為例來進行VLAN拓撲結構的設計，具體如圖1所示。該行政樓有四個樓層，以每個樓層為一個VLAN，所以一共有四個VLAN，在圖1中可以看出VLAN的設置是基于端口的方式，交換機的配置可以通過超級終端等仿真程序實現(xiàn)。對于VLAN的交換機有兩個要求：

（1）要求交換機在樓層間的傳輸速率要達到1000M/s；

（2）要求交換機能夠實現(xiàn)在同一VLAN內和不同VLAN內的通信。所以，按照這個要求，可以選擇CS6509E三層交換機作為核心交換機，AS3750作為行政樓各樓層用的交換機。二級交換機和核心交換機的連接是通過二級交換機的千兆模塊和核心交換機的千兆端口相連來實現(xiàn)的，連接方式是TRUNK方式，也就是說是通過程序的編寫來將兩個或多個物理端口組合成一條邏輯路徑以此來增加在交換機和網絡節(jié)點間的寬帶。交換機之間支持80211Q，實現(xiàn)了樓層間以及職能部門間傳輸速率1000M。

4 VLAN技術實現(xiàn)的網絡安全策略

4.1 實現(xiàn)數(shù)據(jù)加密機制

通過在企業(yè)中實現(xiàn)VLAN技術可以增加網絡的數(shù)據(jù)加密型，主要體現(xiàn)在兩個方面：

一是加密信息源：通常情況下，企業(yè)的信息管理系統(tǒng)中的信息源主要以文字、聲音、圖像等形式出現(xiàn)，主要以文件或數(shù)據(jù)進行存儲的，而通過在企業(yè)內使用VLAN技術可以進一步對文件進行加密或對API進行加密，從而提高信息存儲的機密性。

二是加密信息傳輸通道：通過VLAN技術建立在網絡基礎上的安全子系統(tǒng)在進行信息傳輸時都能夠對信息進行加密，主要是來判斷信息是否要在傳輸中進行加密或需要在哪一層進行加密，而后再對傳輸信道進行加密，也可以在應用系統(tǒng)中直接調用經過加密的API來加密傳輸通道。

通過VLAN可以實現(xiàn)加密體制包含了對稱密鑰的體制，也包含了基于公鑰的體制，這樣做的主要目的是為了在不同的系統(tǒng)應用中來使用不同的手段來進行加密，這樣以來，不僅能夠最大限度的保證系統(tǒng)的安全，也在很大程度上提高系統(tǒng)的效率。

4.2 實現(xiàn)系統(tǒng)授權和訪問機制

企業(yè)的信息管理系統(tǒng)采取集中式管理的，所以系統(tǒng)就相應的需要采用集中的授權訪問控制模式。該模式下的授權訪問可以對用戶的屬性集中管理，然后通過屬性值為用戶發(fā)生授權證書。授權中心的業(yè)務管理人員具體管理用戶的授權屬性的信息，各個應用系統(tǒng)同時對用戶的授權和身份證書同時進行驗證，這樣才能確定用戶具備什么權限，從而為具體的用戶進行授權的訪問控制。授權證書中包括用戶的多種屬性信息，這些信息能確定用戶的權限。例如基于用戶角色、用戶標識、用戶資源級別等訪問控制，而對訪問控制的粒度而言，也是可以靈活變化的，從基于IP的控制到對數(shù)據(jù)庫字段的控制，訪問控制粒度從粗到細，可以根據(jù)不同的應用系統(tǒng)進行靈活選擇。

4.3 實現(xiàn)全網統(tǒng)一的管理策略

企業(yè)通過VLAN能夠對用戶的身份和用戶的權限都是通過密鑰和證書管理進行集中管理的，從其安全管理策略來看，其核心的內容是人和資源的對應關系：

非法用戶缺少身份證書，將不能訪問任何資源。

具有身份證書的合法用戶，其具有的屬性決定了其能訪問哪些具體內容，能夠具有哪些具體操作。

安全管理策略可以對用戶的屬性進行調整，例如：用戶的訪問權限有時提高，有時降低，有時不具備任何權限，有的用戶已經變?yōu)榉欠ㄓ脩舻鹊?，兩種證書能夠將每一個變化情況顯現(xiàn)出來。

5 小結

VLAN技術是今年來應用非常廣發(fā)的企業(yè)網絡架構技術，通過VLAN的設置可以解決現(xiàn)在大多數(shù)企業(yè)面臨的網絡安全隱患。通過在企業(yè)內使用VLAN技術可以較為靈活的對企業(yè)的局域網進行設置，并能同時解決很多網絡安全問題。雖然，現(xiàn)在VLAN技術中還存在一些技術和標準上的缺陷。但是，筆者相信，隨著VLAN技術的不斷完善，其必將在網絡的擴展和網絡的安全方面體現(xiàn)中更多的優(yōu)勢，從而保障企業(yè)的健康穩(wěn)定的發(fā)展。

參考文獻：

[1]趙毅.高校校園計算機網絡設計與實現(xiàn)[C].重慶大學，2006，5.

[2]王湘渝，陳立.基于多層防護的校園網安全體系研究[J].計算機安全，2009，8.

[3]唐正軍，李建華.入侵檢測技術[M].北京：清華大學出版社，2010.

[4]李晉平.局域網組建和安全管理的實用技術[J].電腦開發(fā)與應用，2011.

作者簡介：唐年慶（1974-），男，四川廣安人，副教授，碩士，主要研究方向：計算機應用、信息安全。

作者單位：內江師范學院計算機科學學院，四川內江 641112