利用VLAN技术提高网络安全水平

1、利用VLAN技术提高网络安全水平: The internal network was divided by using the VLAN technology, greatly improved the network security level. Effective control of the entire network broadcast storm. At the same time, can also avoid the network virus such as ARPwhole mine hazards. Reduce the possibility of important

2、 system affected by the virus.一、背景顾北矿现有网络覆盖广， 包括全矿各个单位及外委队， 网络 用户数已达五百多户， 因此网络安全问题日益突出。 为了保证煤 矿各个重要应用系统如瓦斯上传监控系统、 煤质运销系统、 调度 系统、CI系统等的正常运行，避免因网络故障或网络病毒引起 这些重要系统的无法使用， 结合顾北矿现有网络实际情况， 利用 VLAN技术对顾北矿网络进行了划分，极大的提高了顾北矿网络 安全水平。二、VLAN技术简介逻辑上把网络资源和网络用户按照一定的原则进行划分， 把 一个物理上实际的网络划分成多个小的逻辑的网络。 这些小的逻 辑的网络形成各自的广播域

3、，也就是虚拟局域网VLAN IEEE于1999年颁布了用以标准化 VLAN实现方案的802.1Q协议标准草 案。VLAN是为解决以太网的广播问题和安全性而提出的一种协 议，它在以太网帧的基础上增加了 VLAN头，用VLAN ID把用户 划分为更小的工作组， 限制不同工作组间的用户二层互访， 每个 工作组就是一个虚拟局域网。 虚拟局域网的好处是可以限制广播 范围，并能够形成虚拟工作组动态管理网络。 基于交换式的以太 网要实现虚拟局域网主要有三种途径：基于端口的虚拟局域网（一般为管理员手工添加，称之为静态VLAN、基于MAC地址（一 般使用智能化的管理软件，创建动态 VLAN的虚拟局域网和基于 I

4、P 地址的虚拟局域网（一般为管理员手工添加）。使用VLAN具有以下优点：1为转发过程中，携带着目的 MAC地址的帧是否发往目的 端口提供查询。静态滤波条目、静态 VLAN注册条目只能由管理 层控制。动态滤波条目、动态 VLAN注册条目由学习过程生成和 更新，可以被管理层读取。滤波数据库支持学习过程对其 Entry 进行创建、更新和删除2、创建虚拟工作组：使用VLAN的最终目标就是建立虚拟工作组模型，例如，在 企业网中，同一个部门的就好像在同一个 LAN上一样，很容易的 互相访问，交流信息，同时，所有的广播包也都限制在该虚拟 LAN上，而不影响其他 VLAN的人。一个人如果从一个办公地点 换到另

5、外一个地点，而他仍然在该部门，那么，该用户的配置无 须改变；同时，如果一个人虽然办公地点没有变，但他更换了部 门，那么，只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境， 当然，这只是一个理想 的目标，要实现它，还需要一些其他方面的支持。用户不受到物 理设备的限制，VLAN用户可以处于网络中的任何地方，VLAN对用户的应用不产生影响。3、网络管理简单、直观对于交换式以太网， 如果对某些用户重新进行网段分配， 需 要网络管理员对网络系统的物理结构重新进行调整， 甚至需要追 加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门

6、职能、对象组或者应用将不 同地理位置的网络用户划分为一个逻辑网段。 在不改动网络物理 连接的情况下可以任意地将工作站在工作组或子网之间移动。 利 用虚拟网络技术， 大大减轻了网络管理和维护工作的负担， 降低 了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。总之，VLAN技术的优势真的很明显，当然，默认时，一个 VLAN上的所有主机都不能和另外一个 VLAN中的任何主机进行通 信，因此，如果想要在VLAN之间进行通信，仍然需要路由器（或 者三层交换机）。三、用途集团公司分配给顾北矿的 IP 地址段 137.12.108.1-137.12.111.254, 网络覆盖全矿各

7、个生产办公楼 及选煤厂，覆盖面广，网络用户多。考虑到网络的安全性及矿井重要应用系统的稳定性，采用在矿内基于端口划分虚拟网VLAN这样就可以将重要部门、 重要系统的网络用户与其它普 通网络用户分开， 如果普通用户电脑中病毒等不安全情况不会影 响到其它网段的用户。四、原理及应用方案VLAN通信原理：1、利用三层交换机，它是将路由器和交换 机合成的一种设备，融合了路由器和交换机各自的优势。2、为了解决物理接口需求过大的问题，在 VLAN技术的发展中，出现 了独臂路由器，用于实现 VLAN间通信的三层网络设备路由器， 它只需要一个以太网接口，通过创建子接口可以承担所有 VLAN 的网关，而在不同的 VLAN间转发数据。根据上面的原理，顾北 矿VLAN划分如下：把机关单位及瓦斯监控上传系统、 煤质运销系统、 用友财务 系统、朗新人力资源系统划分在 108段虚拟网络； 把基层单位及 外委队划分在 109段；物管科及 CI 系统划分在 110段；科技