用Vlan提高校園網網絡安全

徐夙雯

摘 要：校園網作為學校網絡信息基礎，承擔著學校教學，科研和管理許對外交流等多種角色，是學校開展的各項工作不可缺少的資源。要建立一個有效的網絡安全保護機制，是校園網絡信息安全的重要環節。相對可靠的校園網絡安全體系建設，結合VLAN（虛擬網）技術在網絡安全中的應用，根據校園網的業務應用，規劃和實施不同的策略的虛擬網絡，以提高校園網絡管理的靈活性和安全性。

關鍵詞：校園網 網絡安全 虛擬網絡 VLAN

中圖分類號：G64 文獻標識碼：A 文章編號：1674-098X（2014）02（c）-0039-02

隨著校園網絡規模的建設進一步加快，信息化建設在學校的校園網中起到了至關重要的作用。如果網絡的安全性考慮不全面，會導致在網絡通信和數據通信過程中不可避免的安全問題的。我們可以通過應用VLAN的網絡技術，充分利用現有的網絡帶寬，提高網絡的安全性，同時減少因為用戶和業務的變化帶來了管理的難度。

1 校園網絡安全現狀分析

影響校園網絡安全的因素是多方面的，概括起來有以下幾個方面。

1.1 物理因素

包括硬件因素、操作系統因素、網絡系統的設計缺陷的因素、系統漏洞和網絡軟件的漏洞等。無論大型網絡或LAN都不可能離開網絡操作系統，如果網絡操作系統安全出了問題，整個校園網絡也會存在重大問題。而任何一個系統也都會有不同程度的系統洞。由于系統漏洞的存在，故因系統漏洞而出現的網絡攻擊和蠕蟲病毒也層出不窮。同樣，網絡軟件也不可能是一個沒有缺陷的百分之百沒有漏洞，這些漏洞和缺陷就是黑客攻擊的首選目標。

1.2 人為因素

包括無意的失誤和人為惡意的攻擊，人為失誤大多都是因為管理員配置不當所造成的安全漏洞，用戶的安全意識不強，口令選擇不慎，用戶將自己的帳戶轉借給他人或與他人共享等，這些都會對校園網絡的安全造成威脅。惡意攻擊是計算機網絡面臨的最大威脅，主要是指網絡設備和網絡系統的被破壞。惡意攻擊可以中斷、篡改和偽造的相關信息。威脅信息的私密性，可用性和完整性。敵意的攻擊和計算機犯罪屬于同一類。作為校園網的結構和技術的公開性，外部用戶可能利用系統和應用軟件的漏洞和管理上的不慎，惡意攻擊校園網絡的核心設備，入侵校園網、竊取重要信息、資源的非法訪問、破壞系統等。這類攻擊還可以分為兩類：一類是主動攻擊，它用各種方法選擇性地破壞信息的有效性和完整性，另一種是被動攻擊，它是在沒有影響網絡正常工作的前提下進行攔截、竊取、破譯以獲得重要機密信息。計算機網絡上的這兩起襲擊事件都可能造成很大的傷害，并導致機密數據泄漏。

1.3 垃圾電子郵件與病毒

垃圾郵件對校園網網絡的破壞性非常大，它降低了校園網絡的效率，損害了用戶的利益，垃圾郵件也是網絡病毒攻擊和不良信息傳播的重要途徑之一。此外，一些不法分子為了自己的利益，制造病毒攻擊校園網，一些不懂法的年輕人，為了顯擺自己的本事，也制造病毒攻擊校園網絡；一些校園網用戶因缺乏電腦知識。意外感染病毒，造成校園網張的堵塞。

2 慮擬網絡技術（VLAN）介紹

對于VLAN目前還沒有嚴格的定義，我們可以把VLAN比喻為一組最終用戶的集合。這些用戶可以在不同物理LAN上，但他們可以像在同一個LAN內一樣進行自由溝通，盡管它們的物理位置不同，卻不受物理位置的限制。在傳統的LAN里，站點共享傳輸信道沖突和引起的廣播風暴是影響網絡性能的重要因素。在邏輯上VLAN相當于網絡廣播域，廣播域的是基于物理網絡上的區分的，網絡站點被束縛在物理網中，而不是根據業務需要將網絡劃分為相應的邏輯子網，網絡結構缺乏相應的靈活性，效率和安全性明顯的缺陷。網絡管理員可以根據不同的需求。通過靈活建立相應的網絡軟件和配置虛擬網，并為每個虛擬網配置它所需要的帶寬。

2.1 虛擬網的類型

虛擬網的按分配方式可實現動態和靜態分配，也可以根據地址和網絡協議進行分配，主要有以下幾種方法：基于端口的VLAN，基于MAC層VLAN（虛擬網）。基于協議的VLAN（虛擬網），基于網絡層的VLAN（虛擬網），基于IP廣播組的VLAN（虛擬網），混合的VLAN（虛擬網）和基于管理策略的VLAN（虛擬網）。

2.2 VLAN的優點

2.2.1節約成本，減少開銷

虛擬網可以減少因為用戶添加，刪除，移動而產生的隱性成本，當計算機從一個子網傳轉到另一個交換機子網時可以設置子網移動組，遷移工作只在交換機進行，交換機可以自動跟蹤終端的MAC地址，用戶不管是用交換機的哪一個端口，都能得到最好的服務。虛擬網的應用大大改善了動態網絡的集中管理能力和相應的降低成本。使用IP協議的網絡。這點更為突出。

2.2.2 VLAN自動地形成廣播域，減少了廣播風暴

以往用戶組發送廣播包會占用整個網絡大量的資源，使正常的數據包不能得到正常的帶寬，嚴重影響了網絡的效率。而VLAN技術，大大降低了網絡帶寬的占用，VLAN（虛擬網）在三層交換中使用，減少網絡路由器使用，VLAN之間的通信比使用路由技術更容易實現第三層交換，這種交換技術比使用路由更簡便，從而提高帶寬傳輸效率，并能有效地避免廣播風暴的產生。

2.2.3 建立虛擬工作組，實現有效管理與監控自動化

使用虛擬網的另一個目的是建立一個工作組的虛擬模型。當校園虛擬網建成后。一個部門的人員可以在虛擬工作組模式下共享一個“局域網”。因此大多數的網絡流量可以被限制在VLAN（虛擬網）廣播域的內部。多層次查看網絡連接和虛擬物理連接，網絡通信的統計數據的詳細視圖，根據網絡VLAN（虛擬網）的身份作出管理，這對用戶還是對網絡管理員來說，VLAN帶來了及大的的靈活性。

2.2.4 減少了路由器的使用

使用虛擬網的優勢就是支持虛擬網的交換機可在沒有路由器的情況下很好地控制廣播流量。在VLAN中，從服務器到客戶端的廣播信息只會在連接本虛擬網客戶機的交換機端口上被復制，而在其它的端口上，廣播信息終止了。只有那些需要跨越虛擬網的數據包才會穿過路由器。在這種工作方式下，交換機事實上扮演的是路由器的角色。在虛擬網中路由器用于連接不同的VLAN.同時，還要為局域網和廣域網之間的連接提供有效的廣播過濾功能。endprint