利用VLAN+IP+MAC+端口綁定技術(shù)實現(xiàn)企業(yè)網(wǎng)絡(luò)安全

【摘 要】現(xiàn)在局域網(wǎng)的應(yīng)用越來越廣泛，一個沒有防護的局域網(wǎng)，很容易造成病毒蔓延、廣播風暴嚴重等網(wǎng)絡(luò)問題。該如何有效控制局域網(wǎng)病毒的擴散、控制廣播風暴、禁止外來人員自帶設(shè)備隨意接入局域網(wǎng)等局域網(wǎng)安全問題。本文根據(jù)公司實際狀況，對局域網(wǎng)的安全做了安全分析，并實施了相應(yīng)的安全防護措施。

【關(guān)鍵詞】局域網(wǎng)；VLAN；廣播風暴；IP地址；MAC地址；端口；綁定

本人所在企業(yè)的以前網(wǎng)絡(luò)結(jié)構(gòu)較為單一，三百多臺電腦共同存在于一個局域網(wǎng)內(nèi)，使用同一個網(wǎng)關(guān)，都可以互相訪問，因此導(dǎo)致當ARP病毒爆發(fā)時，對我公司網(wǎng)絡(luò)造成極大的危害，使得本局域網(wǎng)癱瘓將近半月之久。為了能夠有效防止該類事情的再次發(fā)生，防止網(wǎng)絡(luò)病毒的蔓延擴散，我們便使用了VLAN+IP+MAC+端口綁定技術(shù)對局域網(wǎng)做了隔離保護，并有效控制了電腦的隨意接入。

一、局域網(wǎng)介紹

局域網(wǎng)的發(fā)展是VLAN產(chǎn)生的基礎(chǔ)，所以在介紹VLAN之前，我們先來了解一下局域網(wǎng)的有關(guān)知識。

局域網(wǎng)（LAN）通常是一個單獨的廣播域，主要由Hub、網(wǎng)橋或交換機等網(wǎng)絡(luò)設(shè)備連接同一網(wǎng)段內(nèi)的所有節(jié)點形成。處于同一個局域網(wǎng)之內(nèi)的網(wǎng)絡(luò)節(jié)點之間可以直接通信，而處于不同局域網(wǎng)段的設(shè)備之間的通信則必須經(jīng)過路由器才能通信。隨著網(wǎng)絡(luò)的不斷擴展，接入設(shè)備逐漸增多，網(wǎng)絡(luò)結(jié)構(gòu)也日趨復(fù)雜，必須使用更多的路由器才能將不同的用戶劃分到各自的廣播域中，在不同的局域網(wǎng)之間提供網(wǎng)絡(luò)互聯(lián)。

但這樣做存在兩個缺陷：首先，隨著網(wǎng)絡(luò)中路由器數(shù)量的增多，網(wǎng)絡(luò)延時逐漸加長，從而導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)傳輸速度的下降。這主要是因為數(shù)據(jù)在從一個局域網(wǎng)傳遞到另一個局域網(wǎng)時，必須經(jīng)過路由器的路由操作：路由器根據(jù)數(shù)據(jù)包中的相應(yīng)信息確定數(shù)據(jù)包的目標地址，然后再選擇合適的路徑轉(zhuǎn)發(fā)出去。其次，用戶是按照它們的物理連接被自然地劃分到不同的用戶組（廣播域）中。這種分割方式并不是根據(jù)工作組中所有用戶的共同需要和帶寬的需求來進行的。因此，盡管不同的工作組或部門對帶寬的需求有很大的差異，但它們卻被機械地劃分到同一個廣播域中爭用相同的帶寬。

二、VLAN技術(shù)介紹

VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的802.1Q協(xié)議標準草案。

VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。

三、VLAN的劃分與交換技術(shù)的關(guān)聯(lián)

各企業(yè)的信息網(wǎng)絡(luò)普遍使用二層交換技術(shù)的網(wǎng)絡(luò)架構(gòu)實現(xiàn)。隨著企業(yè)信息化水平的提高，企業(yè)信息系統(tǒng)網(wǎng)絡(luò)規(guī)模不斷擴大，隨之而來的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)通信速度、網(wǎng)絡(luò)維護工作量等問題明顯增加。但是二層交換技術(shù)架構(gòu)網(wǎng)絡(luò)的主要弱點是：在局域網(wǎng)內(nèi)不能劃分VLAN，網(wǎng)絡(luò)物理鏈路存在安全漏洞，同一個網(wǎng)段內(nèi)的工作站過多會引起廣播風暴，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓，不能有效地解決各種網(wǎng)絡(luò)互連、安全控制等問題。三層交換技術(shù)的出現(xiàn)主要是為了解決規(guī)模較大的網(wǎng)絡(luò)中的廣播問題，通過VLAN把一個大的交換網(wǎng)絡(luò)劃分為多個較小的廣播域，各個VLAN之間再采用三層交換技術(shù)互通。企業(yè)信息網(wǎng)絡(luò)采用三層交換技術(shù)，可以確保計算機網(wǎng)絡(luò)更加合理、安全、有效。

四、VLAN與綁定技術(shù)的結(jié)合

在三層交換機中可在VLAN間采用訪問控制策略，能夠加強網(wǎng)絡(luò)的整體安全。在核心層和匯接層交換機的接口上建立訪問控制列表來實現(xiàn)VLAN之間的訪問控制，決定哪些用戶數(shù)據(jù)流可以在VLAN之間進行交換，以及最終到達核心層。為了能夠進一步確保網(wǎng)絡(luò)安全，禁止外來人員隨意進入局域網(wǎng)，可結(jié)合三層交換機的IP+MAC+端口的綁定命令來規(guī)范局域網(wǎng)設(shè)備接入規(guī)則。這樣一方面可以有效控制住電腦的移動，確保網(wǎng)絡(luò)安全的同時，也為計算機臺賬管理提供了方便，計算機更換部門后，必須更換綁定的端口方可上網(wǎng)。

5VLAN+IP+MAC+端口綁定實施過程

首先規(guī)劃各個部門的VLANID（如圖一），收集各個部門的MAC地址信息和各個部門所在三層交換機的端口號。然后分別給每臺電腦分配IP地址，網(wǎng)卡MAC地址，并做成excel表格，便于后期查詢。然后就是在三層交換機上劃分VLAN和做IP、MAC、端口三者綁定。由于綁定端口的命令要三百多條，數(shù)量龐大，在這里有個小訣竅：可以通過前期生成的表格，按照命令格式，先做一條命令出來，剩余的按照前后順序排好IP、MAC和端口，分別在這三個字段前加入相應(yīng)的命令行格式，最后復(fù)制到普通的文本文檔中，則可得到完整的命令。另外一種方式則可利用文字編輯軟件（ultraedit等）替換命令，把識別字符替換成命令行字符命令格式。

在具體實施的過程中，沒有遇到太大的障礙。就是前期交換機配置需要大量時間，當所有交換機配置完成，并導(dǎo)入綁定的命令行后，開始實際運行時，會有少量的電腦需要做部分調(diào)整，運行一段時間后，則開始趨于穩(wěn)定。

圖一公司VLAN規(guī)劃

五、結(jié)束語

經(jīng)過企業(yè)內(nèi)部網(wǎng)絡(luò)改造，大規(guī)模的病毒爆發(fā)再沒有發(fā)生，給公司的正常辦公提供了技術(shù)保障，同時也大大的降低了因病毒造成的計算機維護量。

作者簡介：

王春偉（1979-），男，湖北省丹江口市人，本科學歷，漢江丹江口鋁業(yè)有限責任公司，工程師，研究方向：數(shù)據(jù)庫安全及網(wǎng)絡(luò)管理.