劉 暉 周明君 吳溪婷

（1.沈陽(yáng)市旅游學(xué)校 遼寧 110011；2.沈陽(yáng)廣播電視大學(xué) 遼寧 110003；3.沈陽(yáng)醫(yī)學(xué)院 遼寧 110034）

0 引言

證券公司的許多業(yè)務(wù)都運(yùn)行在計(jì)算機(jī)網(wǎng)絡(luò)上，網(wǎng)上數(shù)據(jù)就是交易的全部憑證和依據(jù)，因此數(shù)據(jù)安全顯得非常重要。但目前多數(shù)證券公司網(wǎng)絡(luò)仍然存在一定安全問題，比如：在公司局域網(wǎng)中，交易、行情、辦公數(shù)據(jù)等信息混雜傳遞，信息流量管理困難，甚至系統(tǒng)資源訪問權(quán)限不清等。

如果根據(jù)功能、保密水平及安全水平等要求的差異將網(wǎng)絡(luò)進(jìn)行分段隔離，將可以在一定程度上解決上述安全問題，提高網(wǎng)絡(luò)整體的安全水平。VLAN技術(shù)可以解決局域網(wǎng)絡(luò)劃分網(wǎng)段的安全問題。它將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接技術(shù)，因此，這在一定程度上也減小了網(wǎng)絡(luò)負(fù)荷。

1 基于VLAN改進(jìn)方案的實(shí)現(xiàn)

借助于VLAN Trunking技術(shù)，多個(gè)VLAN可通過一條物理中繼線路通訊。利用SPT/VLAN技術(shù)，在交換機(jī)間互連的物理線路冗余的情況下，可提高雙連接的效率，既能互為備份又能負(fù)載共享。

在使用VLAN作為控制廣播域手段后，流量管理變得容易了，因?yàn)檫@種模式流量模式是穩(wěn)定的。

基于VLAN技術(shù)設(shè)計(jì)的網(wǎng)絡(luò)安全措施是選用具備VLAN支持能力的交換機(jī)設(shè)備，按照用戶群組和系統(tǒng)資源的訪問權(quán)限進(jìn)行安全劃分。比如：將運(yùn)行綜合業(yè)務(wù)系統(tǒng)（CBPS）的主機(jī)、PC和網(wǎng)絡(luò)終端單獨(dú)作為一個(gè)CBPS VLAN等。

具有VLAN支持能力交換機(jī)設(shè)備選用Catalyst 6509交換機(jī)，安裝WS-X6K-SUPIA管理引擎等。在交換機(jī)內(nèi)劃有3個(gè)虛擬網(wǎng)，分別為業(yè)務(wù)CBPS VLAN、財(cái)務(wù)CLAF VLAN、清算LIQ VLAN。

網(wǎng)絡(luò)中VLAN交換方式采用幀交換方式。VLAN劃分采用基于MAC地址的VLAN劃分方法，把屬于不同VLAN的MAC地址之間的數(shù)據(jù)流過濾掉。

2 證券局域網(wǎng)中VLAN的實(shí)現(xiàn)

由一臺(tái)具備三層交換功能的核心交換機(jī)接幾臺(tái)分支交換機(jī)。假設(shè)核心交換機(jī)名稱為：COM；分支交換機(jī)分別為：PAR1、PAR2、PAR3，分別通過Port 1光線模塊與核心交換機(jī)相連；并且假設(shè)VLAN名稱分別為CBPS、CLAF、LIQ……

具體如下：

（1）設(shè)置VTP DOMAIN（管理域）

交換VTP更新信息的所有交換機(jī)必須配置為相同的管理域。

這里設(shè)置核心交換機(jī)為 Server模式是指允許在該機(jī)上創(chuàng)建、修改、刪除VLAN及其他一些對(duì)整個(gè)VTP域的配置參數(shù)，同步本VTP域中其他交換機(jī)傳遞來(lái)的最新的VLAN信息。

（2）配置中繼。

這里，采用Cisco交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的VLAN分配和進(jìn)行配置。在核心交換機(jī)端配置如下：

在分支交換機(jī)端配置如下：

（3）創(chuàng)建VLAN

COM（vlan）#Vlan 12 name LIQ 創(chuàng)建了一個(gè)編號(hào)為12 名字為L(zhǎng)IQ的 VLAN

注意，這里的VLAN是在核心交換機(jī)上建立的。

（4）將交換機(jī)端口劃入VLAN

這里，要將PAR1、PAR2、PAR3分支交換機(jī)的端口1劃入COUNTER VLAN，端口2劃入MARKET VLAN，端口3劃入MANAGING VLAN.

（5）配置三層交換

下面，需要給各 VLAN分配網(wǎng)絡(luò)（IP）地址。這里，給VLAN所有的節(jié)點(diǎn)分配動(dòng)態(tài)IP地址。給VLAN CBPS分配的接口 IP地址為 22.168.2.1/24，網(wǎng)絡(luò)地址為：22.168.2.0；VLAN CLAF 分配的接口 IP地址為 22.168.3.1/24，網(wǎng)絡(luò)地址為：22.168.3.0；VLAN LIQ分配的接口IP地址為22.168.4.1/24，網(wǎng)絡(luò)地址為 22.168.4.0；設(shè)網(wǎng)絡(luò)上的 DHCP服務(wù)器 IP地址為22.168.0.31。

① 給VLAN所有的節(jié)點(diǎn)分配動(dòng)態(tài)IP地址。

首先在核心交換機(jī)上分別設(shè)置各VLAN的接口IP地址和同樣的DHCP服務(wù)器的IP地址，如下：

再在 DHCP服務(wù)器上設(shè)置網(wǎng)絡(luò)地址分別為 22.168.2.0， 22.168.3.0，22.168.4.0的作用域，并將這些作用域的“路由器”選項(xiàng)設(shè)置為對(duì)應(yīng)VLAN的接口IP地址。最后在各接入VLAN的計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)設(shè)置，將IP地址選項(xiàng)設(shè)置為自動(dòng)獲得IP地址即可?；赩LAN技術(shù)防護(hù)機(jī)制，對(duì)屬于同一個(gè)VLAN數(shù)據(jù)包，經(jīng)過相應(yīng)的網(wǎng)卡轉(zhuǎn)發(fā)；對(duì)不屬于同一個(gè)VLAN的數(shù)據(jù)包，拋棄，禁止了沒有權(quán)限的計(jì)算機(jī)對(duì)數(shù)據(jù)庫(kù)的訪問，保證了數(shù)據(jù)庫(kù)中的數(shù)據(jù)安全可靠。

[1]Em ilie Lundin， Erland Jonsson.Anomaly-based intrusion detection：privacy concerns and other problems[J].Computer Networks.2000，34（2）：623-640.

[2]劉全.網(wǎng)絡(luò)控制系統(tǒng)的網(wǎng)絡(luò)安全研究.微計(jì)算機(jī)信息.2006，9（3）：71-73.

[3]Addison Wesley.Firwalls and Internet Security：Repelling the W ily Hacker.Professional Computing.2000.