楊劍

摘要：目前，隨著網(wǎng)絡信息技術的迅猛發(fā)展，中職學校校園網(wǎng)絡的不安全因素和故障越來越多。解決這個問題的方法不少，其中值得在中職學校中推廣的技術就是VLAN技術。本文介紹了VLAN技術及在中職學校的應用方法。

關鍵詞：校園網(wǎng)；VLAN；端口

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）07-0075-03

Abstract： at present， with the rapid development of information technology， the unsafe factors of campus network in secondary vocational schools and more faults. The way of solving this problem a lot， which is worth popularizing in vocational school technique is VLAN technology. This paper introduces the method of VLAN technology and its application in secondary vocational school.

Key words： campus network； VLAN； port

1 引言

隨著網(wǎng)絡技術的快速發(fā)展，接入互聯(lián)網(wǎng)的成本越來越低，目前很多中職學校都有了校園網(wǎng)并通過Internet接入商（ISP）接入了互聯(lián)網(wǎng)，學校的信息化、數(shù)字化應用水平越來越高，大大地提高了學校的信息化管理水平。但與此同時，隨著校園網(wǎng)的規(guī)模不斷擴大，應用系統(tǒng)不斷增加，功能不斷增強，校園網(wǎng)的應用環(huán)境也變得非常復雜，中職學校的網(wǎng)絡管理人員相對較少，校園網(wǎng)的安全管理變得越來越重要，尤其是數(shù)字校園建設的不斷推進以后，如何有效地提高校園網(wǎng)絡的穩(wěn)定性和安全性就成了學校及網(wǎng)絡管理人員必須重視的問題。

中職學校校園網(wǎng)的安全隱患主要表現(xiàn)在以下幾個方面：

1）計算機病毒：計算機病毒的威脅歷來已久，給人們造成的損失也是非常大。隨著計算機程序技術和校園網(wǎng)絡技術的進一步發(fā)展，病毒的傳播速度越來越快，傳播途徑也更多，傳播方式更隱蔽，其破壞性也更強，輕則造成系統(tǒng)單單故障，重則造成數(shù)據(jù)丟失、硬件損壞，甚至整個校園網(wǎng)絡癱瘓。

2）黑客攻擊：黑客為了顯示他的本事或為了截取機密數(shù)據(jù)，常常采用各種手段非法入侵校園網(wǎng)系統(tǒng)和用戶計算機。在校園網(wǎng)中丟失銀行帳號、QQ號等比比皆是，甚至有校園中的學生利用黑客工具進行入侵和破壞。

3）操作系統(tǒng)安全漏洞：目前所有的操作系統(tǒng)幾乎都存在缺陷，校園網(wǎng)的服務器也存在安全漏洞，越來越多的系統(tǒng)補丁就是最好的證明。這些漏洞也幾乎是被黑客首先發(fā)現(xiàn)的，然后才有系統(tǒng)的補丁提供。與病毒一樣，漏洞也是事后才被用戶發(fā)現(xiàn)。

4）校園網(wǎng)用戶安全防范意識薄弱：在校園網(wǎng)中，用戶的安全防范意識卻是非常薄弱的。首先表現(xiàn)在他們的信息化技術水平不高，其次在上網(wǎng)時對病毒或木馬的辨別能力不高和相應的處理能力不夠，用戶計算機的系統(tǒng)越來越慢，整個校園網(wǎng)的正常運行也受到影響。

2 校園網(wǎng)VLAN技術的概念

2.1 VLAN技術產(chǎn)生背景

虛擬網(wǎng)技術（VLAN，Virtual Local Area Network）的誕生主要源于廣播。許多網(wǎng)絡協(xié)議都要用到廣播，局域網(wǎng)通常被定義為一個單獨的廣播域，主要使用集線器或交換機等網(wǎng)絡設備連接同一網(wǎng)段內(nèi)的所有節(jié)點。在網(wǎng)絡中的數(shù)據(jù)保密要求和網(wǎng)絡的組織結構上的要求等這些問題都促使了虛擬局域網(wǎng)的誕生。

2.2 VLAN技術定義

VLAN （ Virtual Local Area Network）即虛擬局域網(wǎng)， 是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。虛擬網(wǎng)絡是在整個網(wǎng)絡中通過網(wǎng)絡交換設備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于OSI 模型的第三層的廣播域， 與具體的物理網(wǎng)及地理位置無關， 虛擬工作組可以包含不同位置的部門和工作組， 不必在物理上重新配置任何端口， 真正實現(xiàn)了網(wǎng)絡用戶與它們的物理位置無關。

2.3 應用VLAN的條件

VLAN是在邏輯上對物理網(wǎng)絡的劃分，應用VLAN的先決條件就是要把持VLAN的硬件設備，如路由器或交換機，同時這些設備是可以進行網(wǎng)絡管理的，因此交換機須是三層交換機。

2.4 劃分VLAN的原則

在支持VLAN的設備上劃分VLAN可以采用以下三種原則：基于端口的VLAN劃分、基于網(wǎng)絡層的VLAN劃分和基于MAC地址的VLAN劃分。

基于端口的VLAN劃分是目前校園網(wǎng)應用最多的一種方法，其優(yōu)點是：定義VLAN成員非常簡單，我們只要將所有的端口都定義為各自相應的VLAN即可。其缺點是：如果某用戶離開了原來的端口，到了一個新交換機的某個端口，VLAN則失去作用。

基于MAC地址劃分VLAN的最大優(yōu)點：就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，因為它是基于MAC地址，即用戶，而不是基于交換機的端口。這種方法的缺點是：在進行初始設置時，每一塊網(wǎng)卡都必須進行配置，如果用戶較多的話，配置非常煩瑣，所以這種劃分方法對于小型局域網(wǎng)比較適合，對于大型局域網(wǎng)是不可想象的。另外，一旦某一工作站的網(wǎng)卡更換，VLAN就必須重新配置，這是很不方便的。

基于網(wǎng)絡層協(xié)議劃分VLAN優(yōu)點是：用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡管理者來說很重要。還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網(wǎng)絡的流量。這種方法的缺點是：效率降低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡層地址是需要消耗處理時間的。

3 校園網(wǎng)安全防范措施

在校園網(wǎng)中，如何才能進行有效地進行防范，確保校園網(wǎng)的安全呢？這就要求我們除了嚴格執(zhí)行校園網(wǎng)的相關管理制度以外，還要在進行校園網(wǎng)設計時要掌握幾個原則：可靠性、安全性、易用性、可擴充性和經(jīng)濟實用性等。

3.1 在校園網(wǎng)入口部署防火墻

防火墻的基本功能是對網(wǎng)絡通信進行篩選、屏蔽、以防止未授權的訪問進出校園網(wǎng)，是整個校園網(wǎng)的第一道安全防線。防火墻是基于成熟可靠的多核處理器硬件平臺，可以完整實現(xiàn)狀態(tài)檢測、包過濾、IPSec VPN、SSL VPN、URL過濾、綠色上網(wǎng)、流量控制、用戶認證等綜合安全功能。

3.2 在校園網(wǎng)用戶出口部署上網(wǎng)行為管理系統(tǒng)

隨著互聯(lián)網(wǎng)的迅猛發(fā)展和網(wǎng)絡接入用戶的爆炸性增長，網(wǎng)絡威脅已不再局限于來自網(wǎng)校園網(wǎng)外部的入侵和攻擊；據(jù)國內(nèi)外眾多安全研究機構的調(diào)查，組織機構內(nèi)部人員不安全的互聯(lián)網(wǎng)訪問，已成為現(xiàn)今信息安全的最大隱患。但目前大部分網(wǎng)絡普遍缺乏基于應用層的安全防護能力，其中包括P2P/IM安全控制、內(nèi)容過濾、防病毒以及防垃圾郵件等應用過濾功能；單純依賴于現(xiàn)有的網(wǎng)絡設備已無法滿足用戶的實際網(wǎng)絡安全需求。在校園網(wǎng)用戶到防火墻之間部署上網(wǎng)行為管理系統(tǒng)就顯得很有必要，不但可以記錄用戶的上網(wǎng)行為，還可以進行帶寬控制，用戶上網(wǎng)行為的控制與管理。

3.3 安裝校園網(wǎng)網(wǎng)絡殺毒軟件

在用戶計算機安裝殺毒軟件可以在一定程度上防止該用戶系統(tǒng)被病毒感染，但是如果校園網(wǎng)內(nèi)一臺計算機被感染后可以造成整個系統(tǒng)的運行故障，最好的辦法是在校園網(wǎng)內(nèi)安裝網(wǎng)絡殺毒軟件，不但可以避免給每一臺計算機都安裝殺毒軟件的麻煩，而且可以輕松地讓網(wǎng)絡管理員及時升級病毒庫，針對所有的客戶機定時殺毒。

3.4 用戶計算機安裝系統(tǒng)補丁

及時給用戶計算機系統(tǒng)打上補丁，可以盡量少地給病毒和木馬創(chuàng)造入侵機會，為了盡可能快地升級，校園網(wǎng)管理員可以在校園網(wǎng)內(nèi)部署類似Windows Software Auto Update Services服務器。

3.5 校園網(wǎng)應用VLAN技術進行控制

VLAN技術允許網(wǎng)絡管理員將物理局域網(wǎng)根據(jù)邏輯依據(jù)劃分為不同的虛擬局域網(wǎng)或廣播域。但是由于它的劃分依據(jù)僅僅是邏輯需要，所以不需要在物理上改變局域網(wǎng)的節(jié)點物理位置。從管理員角度分析，該技術可以簡化網(wǎng)絡管理、降低成本、提高性能、避免網(wǎng)絡廣播風暴、提高管理效率，讓管理員對控制局域網(wǎng)內(nèi)廣播活動更加便捷，從而提高整個網(wǎng)絡的安全性。

4 VLAN技術在校園網(wǎng)安全管理中的應用實例

4.1 某中職學校校園辦公網(wǎng)絡需求

某中職學校有招就辦、財務科、教務科、黨政辦、信息技術中心、后勤科、學生科等部門，這些部門分布在教學樓、綜合大樓、學生公寓等建筑物內(nèi)，校園公辦網(wǎng)絡拓撲結構圖如圖1所示。

該中職學校的七大部門下設有辦公室若干，各棟樓通過三臺中興交換機2852S連接到可管理匯聚交換機中興3952A，現(xiàn)要求在該公辦網(wǎng)絡環(huán)境中應用VLAN技術加強網(wǎng)絡安全管理。

4.2 需求分析

根據(jù)該中職學校校園辦公網(wǎng)絡拓撲結構圖，為了加強辦公網(wǎng)絡安全管理，可以利用基于端口劃分VLAN的方法將七個部門劃分到七個不同的VLAN中，進行各部門間的相互隔離，同時還能訪問服務器群中的指定服務器，這就需要在可管理交換機上配置VLAN和VLAN的透傳。在交換機3952A上配置VLAN，在交換機2852S上也要配置以上VLAN，如表1所示。

4.3 配置過程

1）首先要連接到交換機，首次連接必須采用Windows超級終端或其它軟件如putty等，通過連接線連接到交換機的Consol接口才能配置交換機。在交換機上配置好telnet以后就可以通過網(wǎng)絡登錄該交換機進行配置。

2）如果通過Consol連接到交換機，可以直接輸入密碼zhongxing，如果是通過telnet連接到交換機可以輸入用戶名和密碼，進入命令行配置界面，提示為“>”。

3）在以上提示符下輸入“enable”進入特權模式，“enable”可以簡寫為“en”，提示符變?yōu)椤?”。

4）在特權模式下，輸入“config terminal”，進入系統(tǒng)配置命令行，提示符變?yōu)椤埃╟onfig）#”。

5）輸入“vlan 10”即可創(chuàng)建Id號為10的VLAN，采用相同的方法可以創(chuàng)建其它VLAN。

6）完成創(chuàng)建VLAN的工作后就可使用“interface vlan 10”進入Vlan 10的配置接口，將該接口配置為普通的access接口或匯聚的trunk接口或混合接口hybrid。在本例中應該將接口1-7配置為trunk接口，將8-12和23配置為混合接口，服務器連接接口配置為混合接口hybrid。

7）在各接入交換機上進行VLAN透傳，使所有的用戶都能訪問服務器。

8）在交換機上啟用路由功能。

在完成交換機的配置后，該中職學校辦公網(wǎng)絡就可以訪問校園網(wǎng)內(nèi)的服務器和訪問Internet，同時各部門之間是相互隔離的，不能直接訪問，這樣通過劃分VLAN就可以加強校園辦公網(wǎng)絡的安全了。

5 結論

在學校中應用VLAN技術，不但可以使校園網(wǎng)絡更加的安全、快速，而且也大大地減輕了網(wǎng)絡管理員的工作量，保證了各部門對網(wǎng)絡環(huán)境不同的要求和信息的安全，以交換技術為基礎的校園網(wǎng)的VLAN應用，為在多部門環(huán)境下，組建實用、高效、先進、安全，能滿足多種業(yè)務需求的綜合性校園網(wǎng)提供了一套可行的解決方案，對中職學校校園網(wǎng)建設來說是明智之舉。

參考文獻：

[1] 謝希仁.計算機網(wǎng)絡[M].大連理工大學出版社，2005.

[2] 劉金濤.淺談職業(yè)學校校園網(wǎng)的安全管理[J].濰坊學院學報，2008（7）.

[3] 馮昊，黃治虎.路由器配置與管理[M].北京： 清華大學出版社，2005.

[4] 張國祥.校園網(wǎng)VLAN 的研究與實現(xiàn)[J].湖北師范學院學報，2004（6）.

[5] 竇清.VLAN在大學校園網(wǎng)中的應用[J].廣西民族學院學報，2002（4）.