QQ:574461795
您当前的位置:首页 > 理工学 > 计算机 > 正文

基于VLAN技术的校园网安全研究

摘要 本文以湖南铁道职业技术学院的校园网为背景,从校园网的特点和传统局域网技术入手,研究了VLAN技术在校园网安全中的应用。关键词  VLAN技术   校园网   网络安全  0 引言      随着Internet 技术、网络技术、信息技术、多媒体技术的迅猛发展,校园网已经成为学校教学、科研、管理、信息获取的重要手段。但是,校园网访问方式多、用户群庞大、网络行为突发性高,为了保证校园网的正常运行和安全,本文主要针对校园网的特点和传统局域网的缺陷,重点介绍了基于VLAN技术构建安全校园网络的应用。 1 传统LAN环境      传统LAN通常由HUB、网桥、交换机等网络设备将同一网段的所有节点连接在一起而形成,各节点通常按照它们的物理连接被自然地划分到各个广播域。处于同一LAN内的网络节点间可以直接通信,而处于不同局域网之间的通信则必须通过路由器才能通信。典型的局域网环境如图1所示

图 1  传统LAN环境       当LAN中出现机器网卡损坏、网络环路或由于病毒等现象引起广播风暴时,由于LAN的连接设备大多采用集线器、网桥或交换机,而它们都不具备隔离广播风暴的功能,因此整个网络的通信就会陷入瘫痪。      为了隔离广播风暴,往往采用将一个大的网络划分为若干个小的广播域,用能隔离广播风暴的设备路由器将各个小广播域连接起来。      随着网络应用的不断加强,网络结构越来越复杂,各LAN之间、各小广播域之间的通信需要更多的路由器。通信信息经过路由器后,路由器根据数据包中的信息确定数据包的目标地址,然后通过路由表选择最佳的路径将信息传递到目的地,随着路由器数目的增多,网络时延逐渐加长,最终导致网络数据传输速度下降。      而且在LAN环境中,每次人员的变动都必须从物理上对其进行变更,须耗费很多的时间和精力。 2 校园网络特点分析      在发达国家中,校园网的发展已经有20多年的历史,已成为学校发展的重要基础设施。麻省理工大学是美国最早建立校园网的学校之一[1 ],目前主干网采用FDDI,子网选用以太网。我国校园网建设起步较晚,1987年清华大学创建的校园网是我国最早的,采用100M的FDDI主干,子网选用以太网。      校园网对于提高教学和科研质量、加快学校信息化建设、开展多媒体教学与研究、改善教学和科研条件有着十分重要的意义。      校园网网络大,故障定位复杂,维护难度大。由于教学逐步走向网络化、多媒体计算机教学越来越普及、学生在线学习、娱乐时间增加,不仅要保证校园网的稳定可靠,还必须提供7*24小时正常和高效运行,因此网络的维护只能利用比较空闲、相对流量较小的时间段。      校园网用户群密集,网络安全问题蔓延快、对网络影响严重。某台计算机由于各种原因出现故障,反过来又会影响整个网络。而且应用网络的年轻群体占大部分,好奇心大、敢于尝试,不考虑网络的运行环境,在网上大胆尝试随意下载的、学到的或自己创新的技术,不顾及是否有后门或其他风险,对网络产生破坏和影响。      校园网业务多,开放性强。校园网是教学、科研的特定场所,也是新技术、新知识最先应用的场所,业务项目多,网络环境相对比较宽松。不能像企业中一样,采取哪一部分影响网络的运行安全就停止该服务或关闭该端口的措施,因此安全隐患比较大。      校园网管理难度大。计算机购置和配置情况复杂,部分是统一购置,部分是个人购买,其配置程度不一,不可能统一进行管理;没有相应的安全管理措施,一旦出现安全问题,责任难于到位;还有的学校由于人手不够或其他原因,甚至出现无人管理校园网络的情况。      随着每个端口以太网和令牌环网的交换机价格下降,为了获得更高的带宽,越来越多的学校和组织倾向于给每个用户分配一个单独的交换端口。      校园网的使用引起了教学方法、教学手段、教学工具的重大革新,为学校管理者和老师提供了获取资源、协同工作的有效途径,是教育信息化发展不可或缺的工具。校园网安全、高效运行是每个校园网信息获取和教学的保障,在校园网中采用新兴技术迫在眉睫。3         VLAN技术      VLAN技术是在局域网内将工作站逻辑的划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了802.1Q关于VLAN的协议草案。是为了解决以太网广播问题和安全性而提出的协议。       VLAN并非一种新型的网络,是包含一组端站点的逻辑上的LAN,其中的站点好像被同一网线连接在一起,而实际上可能出于LAN的不同物理网段。是一组逻辑上的设备或用户,它们就好像处于同一个物理LAN中一样相互通信,不受物理位置的限制。      基于交换网络的VLAN目前大致可分为4类:基于端口的VLAN(见图2、图3)、基于MAC地址的VLAN、基于路由的VLAN和基于策略的VLAN。基于端口的VLAN划分是最简单、最有效的划分方法,是基于交换机端口的划分方法,只需网络管理员对网络设备的交换端口进行重新分配,不需考虑该端口所连接的设备,就可将属于不同交换机端口的不同网段划分在一个VLAN中;基于MAC地址的VLAN是MAC地址的集合,允许网络用户从一个位置移动到另一个物理位置,且自动保留起所属VLAN的成员身份,是基于网络用户的,但由于MAC地址的唯一性,初始化困难,且网卡更换就必须重新配置,另外它不能防止MAC欺骗攻击,有可能受到假冒MAC地址攻击的危险。 图 2  同一交换机的端口划分到不同的VLAN图 3  不同交换机的端口划分到同一VLAN       VLAN技术的出现为网络设计、扩展、更改提供了更大的灵活性,主要体现如下:     1)提高网络设计的灵活性。处于不同地理位置的站点可划分到同一个虚拟网中,不受地理位置的限制;可根据功能、项目组、应用的需要来划分用户和设备,可根据实际情况增加和减少用户。       2)方便站点的移动、增加和变化,大大提高管理动态网络的能力。由于某种原因,用户工作位置发生变化时,采用传统局域网技术的用户需要对站点的IP地址、缺省网关进行修改后才能上网;采用基于MAC地址VLAN技术的用户则可不作任何修改,在网上的任意位置都可上网,因为VLAN成员不是捆绑在某固定工作站上的;反过来,用户的实际位置不发生改变却变更了部门,网络管理员也可以通过改变VLAN成员的方式让用户与VLAN的逻辑关系发生改变。减少了日常管理开销,提供了更大的配置灵活性。      3)提高网络安全功能。采用传统局域网技术的网络,只要利用一台PC装上协议分析软件,连到集线器上就可拦截该网段上的所有数据,采用基于MAC地址的VLAN技术时就不可能拦截该VLAN的数据;VLAN与VLAN间逻辑上是分开的,VLAN成员的数据包只能在同一VLAN内部传送,即使处于同一网络中,不同VLAN间也不能进行直接通信,有效的避免了广播风暴的传播;校园网中如财务管理、人事档案管理及一些不对外公开的科研数据资料库等应用系统,网络管理员可采用VLAN技术对广播域进行逻辑划分,达到限制用户非法访问的目的,从而确保重要部门的数据安全。除非设置了监听口,信息交换就不可能存在监听和插入问题,提高了网络的安全性能;对于内网,采用基于MAC地址的VLAN技术,可有效防止IP地址盗用问题。       4)采用VLAN技术的网络中,每个VLAN内的站点可直接访问该VLAN内的服务器,提高了网络的响应速度;同时,同一个VLAN内的站点可以非常方便的进行通信。5)简化网络管理:VLAN是一个在物理网络上根据用途、工作组、应用等来逻辑划分的局域网络,与用户的物理位置没有关系 [3][4] 。采用VLAN技术,网络管理员只需设置指令就能为某个项目或任务建立VLAN[2]。4  VLAN技术在我校校园网中的应用 4.1我校校园网概况       校园网以设在教学楼的校园网网络中心为核心,覆盖东校区办公楼、东校区教学楼、东校区实验楼、主校区办公楼、主校区实验楼、主校区教学楼、多媒体中心、图书馆、后勤公司等主要大楼。采用CISCO 3550交换机作为中心交换机,在其他楼配置二级交换机,楼与楼之间采用START产品作为三级交换机,办公室采用TP-LINK连接各工作站。中心交换机与防火墙相连,各服务器都连到防火墙上,防火墙同时与路由器相连,通过路由器连接INTERNET。4.2 校园网具体情况介绍      1)出口:学校与电信的网络接口带宽为100MB,与教育网的网络接口带宽为64KB;      2)域名:hnrpc.com      3) IP地址范围:218.75.196.218-----     4)中心交换机:CISCO 3550     目前校园网覆盖的楼包括:图书馆、办公楼、各校区教学楼、实验楼、多媒体中心。学生宿舍楼没有介入校园网,由电信负责接入。4.3 学校系统情况目前学校运行的系统主要为:WEB服务器一台;流媒体服务器一台;图书管理系统;财务系统      就网络整体结构而言,我校校园网是一个千兆和百兆以太网链路连接的园区网络。整个网络根据范围的限制可分为两个大的部分:内网和外网。从网络安全级别的角度考虑又可将内网分为两大部分:第一部分为重点信息安全保护区,即校园网的重要应用服务器群和重要部门的网络设备和用户;第二部分为普通信息安全区,即校园网中普通应用的网络设备和用户。外网即为校园外部网络区域,也就是与校园网相连的教育网和INTERNET。校园网重点考虑网络内部安全:包括信息访问安全和物理安全。信息访问安全即为内部网络各部门和用户之间要能相互进行信息交换,又要保护重要部门数据的保密性,同时应禁止外部用户非法访问内部数据 。4.4 校园网系统规划      安全技术:根据校园网的具体情况,为了达到信息流量的控制,并提供良好的安全性,通过对网络逻辑结构进行分析和合理划分,采用基于端口VLAN技术对校园内部网络不同部门之间进行逻辑隔离,同时抑制广播风暴。根据学校具体建筑物分布情况,每栋楼设置为一个VLAN,共设置10个,VLAN2到VLAN10,VLAN1为交换机出厂时设置,不可更改,不可删除。      拓扑结构:以太网拓扑结构主要有总线型、星型、环型、网状型、树型。总线型拓扑所有的站点都链接在同一电缆上,很难进行错误诊断和网络隔离,电缆上的一处故障可能会导致整个网络瘫痪;星型拓扑结构有一个中心控制点,连接简单,故障检测和隔离方便,网络访问协议简单,服务方便,成本低、易于管理、容易扩展,我校网络是以网络中心作为中心点,向周围建筑物辐射,所以校园网拓扑结构主体采用星型拓扑,内部网络拓扑为典型的树型拓扑结构。 图 4   校园网拓扑结构图 参考文献:[1]Victor S. Frost,K.Sam Shamugan. Generic Approach to LAN Modeling. IEEE Transactions on Communications 1997.5:716[2]林维忠.虚拟局域网(VLAN)技术.西部广播电视. 2003,3:44-45[3]Dr.V.Rajaravivarma. Virtual Local Area Network Technology and Applications. IEEE Transactions on Communications,1997:49-52[4]李晋平.局域网组建和安全管理的实用技术.电脑开发与应用. 2002,15(10):33-35

相关内容推荐