基于Vlan技術的企業內部網絡的安全策略淺析

張玨

摘要：企業內部網絡的可靠與否對企業的日常運營有著很大的影響。為了保證企業內網的安全、穩定地運行，需要采用人防+技防相結合的總體策略。該文主要闡述了由Vlan、三層交換技術、ACL控制列表以及端口綁定等幾種中小型局域網中常見的技術所構成的安全策略，分析了每一種技術的原理及作用，有針對性地逐步解決了企業內網中容易出現的安全問題。

關鍵詞：Vlan；三層交換；ACL；端口綁定

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）10-0009-03

開放科學（資源服務）標識碼（OSID）：

1 引言

隨著網絡的應用越來越廣泛，企業的日常運營對內部網絡的依賴性也越來越高，網絡的安全性與穩定性也日益受到企業的重視。一個沒有安全措施防護的企業內部網絡，很容易產生病毒蔓延、廣播風暴等嚴重的網絡問題，對網絡安全造成了嚴重的威脅，極大地影響了網絡的日常使用，甚至會使企業的機密信息外泄。一般來說，企業內網的安全威脅具體體現在以下幾個方面：濫用網絡資源，降低了員工日常工作效率；內部非法外聯，給外部入侵打開了方便之門；重要信息外泄，給企業造成了無可挽回的損失；網絡經常癱瘓，影響網絡的正常使用；病毒、木馬橫行肆虐，一旦發作，整個網絡再無安全可言，即使花費巨大的代價也不能完全消除這種隱患。

要使企業內部網絡一直能處于安全、可靠、保密的環境下運行，需要哪些具體的措施呢？這是網絡管理中經常思考的問題。經調查分析，要保證網絡安全可靠，對網絡管理的要求可簡單地概括為以下幾點：

? 能迅速控制網絡內病毒的擴散與蔓延，將影響限制在盡可能小的范圍。

? 能及時控制廣播風暴的形成，防止網絡堵塞甚至癱瘓。

? 能禁止外來人員自帶設備隨意接入企業內網，杜絕病毒等安全隱患。

? 能有效地控制對關鍵部門的訪問，防止重要數據信息外泄。

要達到以上網絡管理目的，需采用人防+技防相結合的方法。也就是說除了制定嚴格的網絡使用規范和懲處制度外，還需要在企業內網中應用由相應的技術所構成安全策略：

（1）使用Vlan劃分相互隔離的子網，縮小廣播域的范圍，防止廣播風暴在全網的形成。

（2）使用三層交換技術有控制實現Vlan間的數據交換，禁止隨意的訪問。

（3）使用防火墻+ACL實現數據包的過濾，控制對關鍵部門、關鍵數據的訪問。

（4）使用端口安全及訪問管理技術實現將交換機端口與下聯主機的MAC地址及IP地址的綁定，可以有效地控制隨意地接入。

2 Vlan及三層交換技術

2.1 二層交換的技術缺陷

OSI七層標準網絡模型從下至上共分七層，二層交換技術就是基于數據鏈路層的相關協議來完成數據交換操作的。MAC地址是二層交換技術中數據幀轉發的依據，所謂MAC地址就是硬件的物理地址，因此二層交換實際上靠硬件來實現數據交換的。與基于軟件的數據交換相比，二層交換的最大優點是速度快，但其也存在著較大的缺點，即其廣播域太大容易引起廣播風暴，從而可能導致整個網絡阻塞而癱瘓；同時二層交換只能把交換范圍局限于同一個網絡，無法實現不同IP子網間的數據交換，對網絡的安全控制能力也較弱。

早期大部分的企業內部信息網絡都是在采用二層交換技術為架構的局域網基礎之上建立起來的，所采用的組網設備主要包括Hub、網橋或二層交換機等，網絡中的所有節點可以沒有任何限制的直接通信。當網絡規模較小時，網絡的性能也許還能滿足企業業務處理的需求，但一旦網絡的規模隨著企業本身的需求而擴大到一定規模時，網絡的整體性能也隨之會明顯下降，特別是大量無效廣播包的存在始終是二層交換網絡中無法回避的問題。

2.2 Vlan的概念及作用

VLAN（Virtual Local Area Network）是虛擬局域網的英文簡稱，是一種實現虛擬工作組的網絡技術，它是通過將局域網內的設備從邏輯的角度劃分在不同的網絡分段內、不依靠設備的物理位置實現隔離或分組。不同VLAN內的數據在沒有三層路由的支持下是不能直接通信的，一定程度上實現了虛網之間的隔離。這不僅有效地防止來自外部的非法入侵，提高了網絡安全性，同時也縮小了廣播域，將廣播風暴控制在一個VLAN內，大大地改善了網絡性能，最終使網絡的管理也趨于簡單和直接。

由于VLAN可以跨不同的交換機實現，某個網絡用戶根據自己的業務需求、不受物理位置的限制而自由地移動。只要不改變所屬的VLAN，就意味著原來的應用環境沒有變化，該用戶也不需要做出相應的變化來適應環境，因此VLAN也可以增強網絡應用的靈活性。

2.3 三層交換技術

OSI網絡模型的第三層即網絡層，也稱IP層，因此三層交換技術，也稱IP交換技術。三層交換技術的最大優勢是基于二層交換技術基礎上借助路由技術實現網絡分組的高速轉發，因此三層交換技術可以簡單地概括為“二層交換技術+路由”。三層交換技術的出現既解決了二層交換技術中不能跨子網或VLAN轉發數據的缺點，又解決了傳統路由器轉發效率低而造成的網絡瓶頸問題。

1999年，IEEE頒布了用以實現標準化VLAN方案的802.1q協議草案，在該協議中規定不同VLAN間的通信需要通過基于第三層的交換技術來實現。因此結合第三層交換技術與VLAN技術的優點，可以搭建既安全可靠，又簡單有效，同時也能靈活應用的企業內部網絡。

2.4 層次化的三層網絡架構

為了使得網絡便于實施和有效管理，一般在網絡組建時采用層次化模型設計，常見的模型就是將網絡分成核心層、匯聚層和接入層的三層網絡架構。在這種層次化的架構模型中，每一層只注重于實現特定的功能，使得網絡的每個部分有明確的分工而便于管理。

（1）核心層

該層是網絡實現高速交換的關鍵主干，主要負責完成各匯聚層之間的互聯，同時最重要的是能高效地實現相互之間數據傳輸及交換。該層不僅用于內部網絡高速互聯與交換，也提供對外部網絡（主要是Internet）的訪問與連接。核心層所使用的交換機應當全部采用模塊化結構，具有強大的網絡擴展能力和強大的吞吐量。

（2）匯聚層

該層起到承上啟下的作用，是網絡接入層和核心層的分界點，負責將各種接入業務集中在一起與核心層相連。除了為接入層提供數據的匯聚外，還能進行局部的數據交換及轉發，也能為接入層提供基于策略的連接、VLAN的劃分與內網的隔離，并限制對核心層的隨意訪問，保證核心層的安全與穩定。匯聚層所使用的交換機需提供到核心層的上行鏈路，與接入層交換機相比，需要更高的性能，更少的接口和更高的交換速率。

（3）接入層

該層提供了網絡最終用戶被許可接入的點位，直接面向用戶的訪問，也是企業網絡業務實現的節點，因此該層也被稱為業務層。該層的主要功能是完成用戶流量的接入和隔離，并通過訪問控制技術（ACL）提供對用戶流量的有效控制，從源頭上防止無效的訪問和非法的訪問，從而減輕整個網絡的負擔。在該層的實現上可以選擇不支持VLAN和三層交換技術的普通交換機。

3 利用ACL實現Vlan間的訪問控制

3.1 Vlan 劃分

基于二層交換技術的網絡架構存在著致命的弱點，無法解決廣播域過大而引起的廣播風暴問題，網絡中安全控制也無法有效地解決。通過Vlan把一個大的交換網絡劃分為多個較小的廣播域；同一個Vlan內的設備才能交換數據，不同的Vlan之間不能直接相互訪問；各Vlan之間通過三層交換技術互通是目前普遍采用的方法，可以使整個網絡更加合理、安全與穩定。

Vlan的劃分本質上就是根據用戶需要進行網絡分段，可以采用以下幾種方法：

（1）基于端口的劃分：這是一種最常用的劃分方法，把一個或多個交換機上的幾個端口劃分在一個Vlan內。

（2）基于MAC地址的劃分：根據每個主機網卡的MAC地址來劃分，通過檢查并記錄端口所連接的網卡的MAC地址來決定端口所屬的VALN。

（3）基于IP地址的劃分：根據每個主機的網絡層地址劃分，將任何屬于同一個IP廣播組的主機認為屬于同一VLAN。

（4）基于網絡層協議的劃分：根據每個主機所使用協議類型，可以劃分為IP/IPX/DECnet/AppleTalk/Banyan等VLAN網絡。

每一種Vlan劃分的方法都有其優點和缺點，用戶可根據實際情況選擇合適的劃分方法。

3.2 Vlan間訪問控制的必要性

Vlan的其中一個重要作用就是用來隔離網絡，提高安全性。但是當在三層交換機配置各Vlan的路由虛擬接口（SVI）后，默認情況下，各個Vlan之間就可以進行相互訪問了。隨著網絡規模的逐步擴大，假如不采用相應的措施來限制這種隨意訪問的話，那么在訪問上與二層交換網絡并無二致，給企業內網的安全、高效與穩定帶來新的隱患。因此就必須在Vlan間采用訪問控制策略，才能加強網絡的整體安全性，消除這種新的隱患。

通過在核心層或匯聚層交換機的相應接口上建立訪問控制列表（ACL）并利用三層交換機的防火墻技術來實現Vlan間的訪問控制策略，有選擇性地確定哪些用戶的哪些流量可以在哪些VLAN間進行交換，并決定最終到達核心層的流量類型（由流量的來源、去向、上層協議類型及端口號確定）。這種訪問控制不僅可以根據數據流量的類型，還可以規定具體的訪問時間，從而進一步加強網絡的整體安全性和控制的有效性。

3.3 訪問控制列表ACL

訪問控制列表ACL是一個有序的語句集，包含了一系列許可語句和拒絕語句。ACL使用數據包過濾技術，通過自上而下逐條匹配報文中相關參數信息，從而允許報文或拒絕報文通過某個特定接口，并且采用一旦匹配成功就結束的原則；若無匹配語句，則采用隱含規則。

ACL控制列表可以概括為下面三個作用：

? 安全控制：非特權用戶只能訪問特定的網絡資源。

? 流量過濾：只在特定的時間內通過感興趣流。

? 數據流量標識：標識相關的流量以便做特殊處理。

訪問控制列表ACL有以下兩種類型：

（1）基于IP的訪問控制（IP規則）

這種類型的訪問控制基于第三層而實現，對于需要轉發的數據包，可以先獲取協議號、數據的源IP、目的IP、源端口和目的端口等報頭信息，并與列表中設定的訪問規則相比較，從而決定是否允許數據通過。基于IP的訪問控制又可分為標準型（只根據目的IP地址）和擴展型（根據所有可能的報頭信息）兩種。

（2）L2訪問控制（MAC規則）

L2訪問控制列表也稱第二層訪問控制，對于通過第二層交換而實現轉發的數據幀，可以根據幀頭信息設置具體的過濾和轉發規則。二層報文常用的過濾屬性有：源/目的MAC地址、I/O端口、以太網封裝類型、以太網所承載的協議和Vlan標識符。

在實際應用中，可以將兩種類型的ACL結合起來（MAC-IP規則）以實現更嚴格和精確的訪問控制。

4 端口綁定技術的應用

端口綁定技術的應用也是安全策略中的非常重要一環，可分為端口安全（Port Security）和訪問管理AM（Access Management）兩種技術。

端口安全可實現將端口與一個或多個MAC地址的綁定，并可以設定違例處理。由于MAC地址綁定的安全性能，所以被大多數的終端用戶所運用，以防止網絡非法用戶從非法途徑進入網絡，盜用網絡資源。

訪問管理AM可以事先綁定下聯主機的IP地址池或硬件（MAC）地址池，通過掃描所收到下聯主機的數據報文中的地址信息（源IP 地址或者源IP+源MAC），然后與所綁定的地址池相比較，如果匹配成功則轉發，否則丟棄。通過AM功能就可以實現控制特定用戶接入，從而嚴格、有效地管理內部用戶的訪問，在實現機制上可以有多種方式，主要有端口+IP、端口+IP+MAC 綁定。

5 結語

為保證一個企業內網安全、穩定地運行，上述幾種常見的技術是遠遠不夠的，還要在保證網絡設備的物理安全基礎之上，通過相關的網絡管理軟件對網絡做實時監控，并做到安裝最新的防病毒軟件、及時安裝系統補丁、做好系統數據備份、記錄詳細操作日志等日常工作，甚至有可能的話還要對保存的關鍵數據作加密處理。只有更全面、細致的安全策略才能保證網絡更可靠地運行，才能更好地發揮網絡在企業日常運營中的作用。

參考文獻：

[1] 卓曉瑜.淺談VLAN技術在提高企業局域網內安全性中的應用[J].信息通信，2018（09）：153-154.

[2] 陶沁.VLAN技術在企業網絡管理中的應用[J].電子技術與軟件工程，2018（08）：13.

[3] 陶崢.淺談VLAN技術研究及其在網絡管理中的應用[J].中國新通信，2018，20（07）：94.

[4] 甘麗，胡昊.中小企業內網安全管理的研究與實現[J].計算機技術與發展，2013（8）.

[5] 洪學銀，李亞娟.中小企業網絡構建[M].北京：清華大學出版社，2008.

【通聯編輯：代影】