简析VLAN在计算机网络安全系统中的应用研究.docxVIP

简析VLAN在计算机网络安全系统中的应用研究　　摘要：随着计算机技术和网络技术的快速发展，其对人们的工作、生活和学习产生极其重要的影响，在企业单位中得到了广泛的应用和普及。但是随着网络技术应用的推广，使用网络的人员技术不一，水平有高有低，因此，网络安全管理成为制约网络应用发展的阻碍之一。因此，为了能够有效的提升网络系统的安全性能，许多学者对其进行了研究，将VLAN技术应用在计算机网络安全管理过程中，有效的提升了网络安全的性能。　　关键词：网络安全 VLAN MAC地址　　中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2014）01-0192-01　　1 引言　　为了满足人们的需求，提升网络系统的安全性，使得不同的人们仅仅能够享受自己工作职责的模块，在原有网络的基础上，发展了VLAN技术，又被称为虚拟局域网，其可以将网络用户在逻辑上分成不同的组，以便能够访问不同的网络资源，将一个非常大的物理网络划分为许多个小的逻辑独立的网络，有效的提升了网络的安全，限制了人们对网络资源的使用[1]。　　2 VLAN技术　　目前，VLAN技术已经得到了许多的应用和发展，并且在实践过程中得到了许多改进，为了能够有效的控制网络安全，VLAN技术已经拥有四种实现方式，分别介绍如下。　　2.1 基于交换机端口的方式划分VLAN　　基于交换机的端口，划分VLAN，是一种比较常用的方法，由于许多交换机都能够支持VLAN协议，提供基于端口的VLAN配置技术方法，该方法将交换机中的一些端口配置到一个单独的区域中，形成一个VLAN，连接在同一VLAN端口的计算机属于一个网段，不同网段的VLAN进行通信，需要通过路由器才可行[2]。　　根据交换机端口划分VLAN，其优势是定义简单，划分的VLAN成员也很简单，只需要根据需求将不同的端口定义在一个VLAN即可，但是基于该方法的VLAN划分也非常麻烦，比如某一个用户离开了原来的端口，到了一个新交换机上了，则原来的VLAN就是去了控制作用。　　2.2 基于用户主机MAC地址划分VLAN　　由于用户主机拥有自己的网卡，每一个网卡都有一个独一无二的物理地址，被称为MAC地址，基于MAC地址可以划分VLAN，又被称为基于用户的VLAN[3]。　　基于用户的方式划分VLAN最大的优势是当用户的物理位置移动时，从一个交换机换到其他位置时，由于该方法基于MAC地址划分，而非根据交换机的端口，因此VLAN无需重新配置。该方法要求每一个网卡都需要重新配置，如果用户较多的话，这种基于用户配置VLAN的方式非常繁琐，因此划分方法对于小型局域网比较合适，大型的局域网配置起来工作力度非常大，因此某一网卡需要更换时，就需要重新配置VLAN，运行维护时非常繁琐。　　2.3 基于网络层协议的方式划分VLAN　　根据网络层协议的方式划分VLAN，具体执行方案有两种，分别是根据网络协议划分，比如网络中存在的IP、IPX和AppleTalk协议等，另一种是网络层地址等划分[4]。用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要。还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的流量。这种方法的缺点是：效率降低，因为检查每一个数据包的网络层地址是需要消耗处理时间的。　　3 VLAN技术在网络安全管理中的应用　　VLAN技术已经在网络安全管理方面取得非常明显的效果，主要表现在以下几个方面：　　3.1 降低改变与移动的代价　　当一个用户要从一个位置移动到另外一个位置，其网络属性可以动态的实现，而无需进行重新配置，这样就给使用者和管理者带来了非常大的好处，不论用户在何时何地都可以接入网络。绝大部分的VLAN都可以做到这点[5]。　　3.2 虚拟工作组　　建立一个虚拟工作组模型是我们采用VLAN网络的最终目的，比如，在企业网络中，同一部门就像在同一个LAN中，有利于信息的交流以及用户的相互访问。一个人无论办公地点在哪，只要他没有更换部门，就不用改变该用户的配置；但是如果更换了部门，就需要网管人员更改该用户的配置。为了实现该功能，就要创建一个动态的组织环境。动态环境的实现，需要很多方面的支持；VLAN不会对用户的应用造成影响；用户不会受物理设备的影响，在网络中的任何一个地方都可以实现VLAN用户的接入；VLAN的应用还解决了很多问题：对广播风暴导致的性能下降问题进行了有效解决；对广播包进行限制，提高了带宽的利用率；一个VLAN就是一个广播域，同VLAN中的成员都在该广播域中，所以，如果一个数据包没有路由，交换机不会把该数据包发送到所有的交换机的端口，而只会把它送到属于该VLAN的所有端口。　　3.3 增强了网络健壮性　　在整个网络中，一个VLAN内的网络出现了故障只会