基于PT6.1.1的VLAN技術(shù)在校園網(wǎng)中的安全性研究

胡元闖 盧利莉 朱漢武

摘 要：本文基于Cisco Packet Tracer仿真模擬軟件，以賀州學(xué)院為例，主要采用分層網(wǎng)絡(luò)設(shè)計(jì)和VLAN技術(shù)相結(jié)合對(duì)校園網(wǎng)進(jìn)行設(shè)計(jì)，并在Cisco Packet Tracer上進(jìn)行模擬仿真驗(yàn)證。主要實(shí)現(xiàn)的功能有：采用分層網(wǎng)絡(luò)設(shè)計(jì)的方法來(lái)設(shè)計(jì)校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)，同時(shí)在相應(yīng)的層次進(jìn)行冗余設(shè)計(jì)對(duì)鏈路和設(shè)備進(jìn)行冗余；利用VLAN技術(shù)對(duì)校園網(wǎng)的廣播域進(jìn)行分割以防止廣播風(fēng)暴，采用三層交換技術(shù)實(shí)現(xiàn)VLAN間的通信。仿真測(cè)試結(jié)果表明，采用分層網(wǎng)絡(luò)設(shè)計(jì)和VLAN技術(shù)相結(jié)合的方法對(duì)校園網(wǎng)進(jìn)行設(shè)計(jì)，可以實(shí)現(xiàn)網(wǎng)絡(luò)的冗余設(shè)計(jì)和網(wǎng)絡(luò)廣播域的分割，能滿足校園網(wǎng)高性能、高可靠、高安全的需求。

關(guān)鍵詞：校園網(wǎng)；虛擬局域網(wǎng)（VLAN）；分層網(wǎng)絡(luò)；安全性

傳統(tǒng)的共享式網(wǎng)絡(luò)被交換式網(wǎng)絡(luò)取代后，網(wǎng)絡(luò)性能得到了很大提高，但是隨著網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大和交換機(jī)的大量應(yīng)用，也導(dǎo)致了新的難題出現(xiàn)。因?yàn)榻粨Q機(jī)不能隔離廣播域，且它對(duì)廣播幀的處理方式是泛洪即交換機(jī)接收到廣播幀時(shí)，會(huì)將該廣播幀轉(zhuǎn)發(fā)到除了接收端口之外的所有端口。所以隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和交換機(jī)的廣泛使用將會(huì)導(dǎo)致廣播域的范圍不斷增大，廣播幀的數(shù)量不斷增加，帶寬被大量的占據(jù)，延時(shí)增長(zhǎng)，嚴(yán)重時(shí)會(huì)造成全網(wǎng)堵塞甚至網(wǎng)絡(luò)停運(yùn)癱瘓，這種情況被人們稱為廣播風(fēng)暴[1]。要解決廣播風(fēng)暴帶來(lái)的問題就必須想辦法隔離廣播域。

VALN技術(shù)[2]是一種允許一組有共同需求但物理位置不同的網(wǎng)絡(luò)用戶共享一個(gè)獨(dú)立的廣播域的技術(shù)。VLAN技術(shù)可以根據(jù)網(wǎng)絡(luò)用戶的位置、功能、職能或者網(wǎng)絡(luò)用戶所使用的應(yīng)用程序或協(xié)議將其劃分到不同的VLAN中，同一VLAN中的網(wǎng)絡(luò)用戶通過VLAN協(xié)議可以直接進(jìn)行通信，不同VLAN的網(wǎng)絡(luò)用戶則需要經(jīng)通過路由器或者第三層交換機(jī)進(jìn)行通信。使用VLAN技術(shù)主要有以下優(yōu)點(diǎn)[3]：1、安全：含有敏感數(shù)據(jù)或者信息需要保密的用戶組可以和網(wǎng)絡(luò)的其他部分隔離開，從而降低泄露重要信息的風(fēng)險(xiǎn)；2、降低成本：成本昂貴的網(wǎng)絡(luò)更新或者升級(jí)需求減少，原有的上行鏈路和帶寬的利用率增加，因此可節(jié)約網(wǎng)絡(luò)建設(shè)所需的投資成本；3、提高網(wǎng)絡(luò)性能：將第二層平面網(wǎng)絡(luò)分割成多個(gè)廣播域來(lái)減少網(wǎng)絡(luò)上多余的流量，有利于網(wǎng)絡(luò)性能的提高；4、廣播風(fēng)暴的防范：將整個(gè)網(wǎng)絡(luò)劃分為多個(gè)VALN可以減少參與廣播風(fēng)暴的設(shè)備數(shù)量，而局域網(wǎng)（LAN）分段能有效防止廣播風(fēng)暴殃及整個(gè)網(wǎng)絡(luò)；5、簡(jiǎn)化網(wǎng)絡(luò)管理和維護(hù)：由于將有相同需求的網(wǎng)絡(luò)用戶劃分到同一個(gè)VLAN中，所以當(dāng)管理員要給某一個(gè)VALN添加一臺(tái)新的交換機(jī)時(shí)，之前給該VLAN配置的所有規(guī)程和策略基本上都可以應(yīng)用在新交換機(jī)指定了該VLAN的端口上。另外，還可以根據(jù)VLAN實(shí)現(xiàn)的功能，給其設(shè)定一個(gè)適當(dāng)?shù)拿Q，讓管理員一看便知該VLAN實(shí)現(xiàn)的功能。

一、VLAN技術(shù)原理

（一）VLAN的劃分方法。VLAN的劃分方法有：1、基于端口劃分的VLAN：是指將交換機(jī)的端口劃分到不同的VLAN，它的實(shí)現(xiàn)建立在物理層；2、基于MAC地址劃分的VLAN：是指根據(jù)每個(gè)接入網(wǎng)絡(luò)的主機(jī)的MAC地址進(jìn)行劃分的，它的實(shí)現(xiàn)建立在數(shù)據(jù)鏈路層；3、基于協(xié)議劃分的VLAN：是指根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型進(jìn)行劃分的，它的實(shí)現(xiàn)建立在第三層；4、基于IP組播劃分的VLAN：是指一個(gè)組播組就是一個(gè)VLAN，它的實(shí)現(xiàn)建立在第三層[4]。

（二）VLAN的實(shí)現(xiàn)原理。為實(shí)現(xiàn)VLAN在局域網(wǎng)中的應(yīng)用，就必須使用VLAN中繼，VLAN中繼的作用是指定VLAN內(nèi)網(wǎng)絡(luò)的不同部分之間傳送流量，簡(jiǎn)單的說(shuō)，就是在單個(gè)鏈路上負(fù)責(zé)多個(gè)VLAN流量的傳輸。而且VLAN中繼不屬于具體某個(gè)VLAN，而是作為VLAN在交換機(jī)上的管道 它存在讓VLAN的應(yīng)用擴(kuò)展到整個(gè)網(wǎng)絡(luò)上。

VLAN中繼是在普通以太網(wǎng)幀中用801.2Q對(duì)幀頭進(jìn)行封裝，以指出被封裝的幀屬于哪個(gè)VLAN。

封裝后的VLAN幀格式如圖1所示。

（三）VLAN的標(biāo)簽交換。由于VLAN重新劃分了物理局域網(wǎng)成員的邏輯連接關(guān)系，所以，原本處于同一個(gè)IP子網(wǎng)或者連接在同一個(gè)交換機(jī)的主機(jī)間的通信受到了限制。VLAN成員之間的尋址方式不再簡(jiǎn)單地按照橋接方式的MAC地址或是路由方式的IP地址進(jìn)行。VLAN幀在網(wǎng)絡(luò)互連設(shè)備中的轉(zhuǎn)發(fā)是根據(jù)VLAN標(biāo)簽中的尋址結(jié)構(gòu)VID進(jìn)行，這就是VLAN標(biāo)簽交換的含義。

VLAN標(biāo)簽交換包含以下三個(gè)方面的基本工作：1、網(wǎng)絡(luò)互聯(lián)設(shè)備要給物理局域網(wǎng)普通幀貼上VLAN標(biāo)簽。該VLAN標(biāo)簽由IEEE 802.1Q標(biāo)準(zhǔn)規(guī)定；2、網(wǎng)絡(luò)互連設(shè)備要建立好VID與端口間的關(guān)聯(lián)。VID與端口間的關(guān)聯(lián)由GARP（組地址解析協(xié)議）或者VRMP（VLAN成員關(guān)系解析協(xié)議） 協(xié)議實(shí)現(xiàn)；3、網(wǎng)絡(luò)互連設(shè)備根據(jù)VID與端口間的關(guān)聯(lián)，把攜帶某個(gè)VID的VLAN幀 從與該VID關(guān)聯(lián)的端口轉(zhuǎn)發(fā)出去。

圖2所示的是目的主機(jī)與源主機(jī)在同一交換機(jī)上時(shí)VLAN標(biāo)簽的交換過程，即當(dāng)數(shù)據(jù)到達(dá)進(jìn)入端口時(shí)，根據(jù)進(jìn)入端口的入口規(guī)則決定是否接收此數(shù)據(jù)；如果接收，則再根據(jù)出口規(guī)則決定是否應(yīng)該轉(zhuǎn)發(fā)此數(shù)據(jù)。如果決定轉(zhuǎn)發(fā)，就查閱VMIB信息來(lái)把數(shù)據(jù)轉(zhuǎn)發(fā)到目的VLAN相對(duì)應(yīng)的端口。在其他情況下，則把數(shù)據(jù)丟棄。

二、校園網(wǎng)中的VLAN設(shè)計(jì)

（一）校園網(wǎng)中VLAN的設(shè)計(jì)原則

校園網(wǎng)是一個(gè)較大的局域網(wǎng)，而校園網(wǎng)中的各職能部門和實(shí)體（如用于教學(xué)的樓宇、宿舍）需要建立二級(jí)局域網(wǎng)。對(duì)多個(gè)二級(jí)局域網(wǎng)互連時(shí)，出于對(duì)實(shí)體和各職能部門的安全、管理和整體網(wǎng)絡(luò)性能的考慮，需要對(duì)各二級(jí)局域網(wǎng)進(jìn)行即獨(dú)立又統(tǒng)一的管理，那么就需要用到VLAN技術(shù)，所以VLAN技術(shù)非常適合應(yīng)用在校園網(wǎng)的建設(shè)中。

（二）校園網(wǎng)中VLAN的IP規(guī)劃

結(jié)合賀州學(xué)院的實(shí)際情況，根據(jù)學(xué)校中的各職能部門和不同實(shí)體實(shí)現(xiàn)的功能將整個(gè)校園網(wǎng)劃分為多干個(gè)VLAN，每個(gè)VLAN都有屬于自己的VID和VLAN名稱，每個(gè)VLAN都有自己的對(duì)應(yīng)的IP地址范圍、子網(wǎng)掩碼和網(wǎng)管地址。且每個(gè)VLAN的前10個(gè)IP地址保留下來(lái)供路由器接口、服務(wù)器、本地打印機(jī)、交換機(jī)管理和默認(rèn)網(wǎng)關(guān)使用除服務(wù)器所在的VLAN的IP地址是管理員手動(dòng)配置外，其他VLAN中主機(jī)的IP地址都是通過DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）來(lái)獲取。

根據(jù)賀州學(xué)院當(dāng)前各部門的情況，劃分的vlan涉及36個(gè)部門，網(wǎng)絡(luò)地址采用172.16的私有地址，采用變長(zhǎng)子網(wǎng)掩碼，掩碼從22位到30位不等，各個(gè)vlang根據(jù)實(shí)際需要?jiǎng)澐帧２⑴渲煤孟鄳?yīng)網(wǎng)關(guān)。

（三）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

賀州學(xué)院采用的是分層網(wǎng)絡(luò)設(shè)計(jì)即核心層、匯聚層、接入層，核心層到匯聚層是第一個(gè)星型，匯聚層到接入層是第二個(gè)星型，因此校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)為樹形結(jié)構(gòu)。如下圖3所示是根據(jù)賀州學(xué)院的地理分布所設(shè)計(jì)的拓?fù)浣Y(jié)構(gòu)，核心層交換設(shè)備樹形結(jié)構(gòu)的第一層，匯聚層交換設(shè)備為樹形結(jié)構(gòu)的第二層，接入層交換設(shè)備則是樹形結(jié)構(gòu)的第三層。

三、網(wǎng)絡(luò)配置與測(cè)試

（一）網(wǎng)絡(luò)設(shè)備配置

在進(jìn)行交換機(jī)和路由器的配置后，對(duì)服務(wù)器進(jìn)行配置，過程如下：

1、DNS服務(wù)器配置如圖4所示。

2、對(duì)WEB服務(wù)器、FTP服務(wù)器及Email服務(wù)器進(jìn)行配置。

（二）網(wǎng)絡(luò)測(cè)試

1、網(wǎng)絡(luò)測(cè)試的目的和原則

網(wǎng)絡(luò)測(cè)試指的是在基礎(chǔ)設(shè)施部署完成后，根據(jù)設(shè)計(jì)方案對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置，配置完成后對(duì)網(wǎng)絡(luò)的功能和性能進(jìn)行測(cè)試的過程。本文使用Cisc Packet Tracer仿真模擬軟件進(jìn)行模擬仿真測(cè)試，以檢驗(yàn)所建設(shè)的校園網(wǎng)是否滿足用戶需求和技術(shù)目標(biāo)，以及時(shí)發(fā)現(xiàn)問題，排除隱患，保證網(wǎng)絡(luò)的正常運(yùn)行。

2、網(wǎng)絡(luò)測(cè)試的內(nèi)容

網(wǎng)絡(luò)測(cè)試的主要內(nèi)容包括：

（1）自動(dòng)獲取IP測(cè)試：除個(gè)別VLAN手動(dòng)設(shè)置外，其他VLAN中的主機(jī)自動(dòng)獲取IP；

（2）連通性測(cè)試：利用ping對(duì)同一VLAN內(nèi)的主機(jī)進(jìn)行連通性測(cè)試；對(duì)不同VLAN內(nèi)的主機(jī)的連通性進(jìn)行測(cè)試；對(duì)安全有特殊要求的主機(jī)進(jìn)行連通性測(cè)試（財(cái)務(wù)部所在VLAN的主機(jī)不允許其他VLAN的主機(jī)進(jìn)行訪問）；

（3）訪問服務(wù)器測(cè)試：各VLAN內(nèi)的主機(jī)對(duì)服務(wù)器的訪問測(cè)試，但個(gè)別有特殊要求的VLAN不能訪問某些服務(wù)器。

3、網(wǎng)絡(luò)測(cè)試工具

（1）查看網(wǎng)絡(luò)接口的工具ipconfig；

（2）測(cè)試網(wǎng)絡(luò)連通狀態(tài)工具ping；

（3）用戶訪問FTP服務(wù)器工具ftp。

4、網(wǎng)絡(luò)測(cè)試過程

（1）圖5顯示為教學(xué)樓主機(jī)PC1或設(shè)備自動(dòng)從內(nèi)部DHCP服務(wù)器獲取IP相關(guān)信息。

（2）測(cè)試教學(xué)樓主機(jī)教PC1對(duì)教學(xué)樓主機(jī)教PC2進(jìn)行ping測(cè)試ping成功；圖10顯示為教學(xué)樓主機(jī)PC1對(duì)藝術(shù)樓主機(jī)PC3進(jìn)行ping測(cè)試ping成功；圖11顯示為教學(xué)樓主機(jī)PC1對(duì)財(cái)務(wù)部主機(jī)進(jìn)行ping測(cè)試ping失敗。

（3）測(cè)試教學(xué)樓PC1能夠通過DNS服務(wù)器解析域名之后正常訪問內(nèi)部WEB服務(wù)器；教PC1直接在瀏覽器打上WEB服務(wù)器地址后能夠正常訪問WEB頁(yè)面。

（4）測(cè)試FTP服務(wù)器、Email服務(wù)器可以正常訪問。

四、結(jié)論

本文以賀州學(xué)院校園網(wǎng)建設(shè)為背景，采用分層網(wǎng)絡(luò)和VLAN相結(jié)合的方法對(duì)校園網(wǎng)進(jìn)行設(shè)計(jì)，使用Cisco Packet Tracer仿真模擬器對(duì)賀州學(xué)院校園網(wǎng)進(jìn)行仿真模擬，最終實(shí)現(xiàn)以下主要功能：

1、VLAN的劃分：根據(jù)職能部門的功能對(duì)校園網(wǎng)進(jìn)行了VLAN的劃分，不僅突破了地理位置的局限，還實(shí)現(xiàn)了廣播域的切割，防止廣播風(fēng)暴的產(chǎn)生。

2、VLAN的通信：同一VLAN內(nèi)的主機(jī)通過第二層交換實(shí)現(xiàn)通信，不同VLAN內(nèi)的主機(jī)通過第三層路由功能實(shí)現(xiàn)通信。

3、VLAN的管理：通過VTP對(duì)VLAN進(jìn)行管理，同一VTP域內(nèi)的交換機(jī)，通過服務(wù)器模式的交換機(jī)對(duì)域進(jìn)行管理和配置，客戶端的交換機(jī)只能更新VTP配置，而透明模式的交換機(jī)只管理本地VLAN的配置且不與VTP網(wǎng)絡(luò)共享。實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的VLAN配置保持一致。

4、PVST+防止二層環(huán)路：網(wǎng)絡(luò)要實(shí)現(xiàn)二層冗余，就要使用相應(yīng)的辦法避免二層環(huán)路的產(chǎn)生。PVST+利用每個(gè)VLAN運(yùn)行一個(gè)STP實(shí)例，來(lái)選擇性的阻塞流量，實(shí)現(xiàn)二層環(huán)路的避免和負(fù)載均衡。

通過測(cè)試驗(yàn)證，結(jié)果表明，以賀州學(xué)院為研究背景所設(shè)計(jì)的校園網(wǎng)基本能夠滿足用戶是需求。

參考文獻(xiàn)：

[1]沈海娟.路由與交換[M].浙江：浙江大學(xué)出版社，2012.1：38

[2]喬輝，劉曉輝，張新明.網(wǎng)絡(luò)硬件搭建與配置實(shí)踐（第三版）[M].北京：電子工業(yè)出版社，2012.5：135.

[3]韓茂玲.VLAN技術(shù)及其在校園網(wǎng)中的應(yīng)用研究[D].中國(guó)知網(wǎng)，2007.11：33

[4]李永忠.計(jì)算機(jī)網(wǎng)絡(luò)測(cè)試與維護(hù)[M].西安：西安電子科技大學(xué)出版社，2011.9：150-153.

基金項(xiàng)目：2014年國(guó)家級(jí)大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目“VLAN技術(shù)在高校校園網(wǎng)中的應(yīng)用研究”，項(xiàng)目編號(hào)：（201411838005）；賀州學(xué)院2014年度大學(xué)生科研項(xiàng)目“高校機(jī)房網(wǎng)絡(luò)安全性研究”，項(xiàng)目編號(hào)：（2014DXSZK10）。