浅析vlan及其安全性_毕业论文(编辑修改稿)

浅析vlan及其安全性_毕业论文(编辑修改稿)内容摘要：

全性等级 , 限制广播域的大小 , 通过冗余链路负载分担网络流量 , 跨越交换机配置 VLAN 通信 , 监控交通流量和 VLAN 使用的网络带宽。 这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能 ,减少了管理的费用 [7]。 VLAN 技术的局限性 随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，都要求保证网络用户通信的相对安全性 ,要求能防范各种病毒和攻击等，现在一般使用的做法是给每个客户分配一个 VLAN 和相关的 IP 子网，通过使用 VLAN，每个客户被从第二层隔离开，可以防止任何恶意的获取资料的行为和以太网数据的信息探听 [8]。 但是，这种分配每个客户单一 VLAN 和 IP 子网的模式造成了巨大的可扩展方面的局限。 这些局限主要有以下几个方面。 ① VLAN 数目的限制：交换机上固有的对 VLAN 数目的限制； ② 复杂的 STP：对于每个 VLAN，每个相关的 Spanning Tree 的拓扑都需要管理，造成了交换机的巨大负载； ③ IP 地址 的紧缺： IP 子网的划分一定会造成一些 IP 地址的浪费，造成资源浪费； 路由的限制：每个 VLAN 在路由器或者三层交换机上都需要相应的默认的网关的配置。 2 本课题的意义 随着高校信息化建设的不断深入 , 高校网络建设的 规模也在不断扩大 , 同时校园网多媒体教学、数据安全保障以及高速网络交换的大量应用 , 使网络数据流量骤然增大 , 各种问题和故障也层出不穷 [9]。 因此 ,如何构建高效、稳定、易管理的校园网 , 增强校园网的 4 安全性和可控性 ， 已经成为高等院校网络管理人员面临的重点课题 , 也是提高学校信息化应用水平和整体投资效益的关键。 VLAN 技术在校园网内的应用，不但使得校园网络更加的安全，快速，并且也减轻了网络管理员的工作，保证了各个部门不同的要求和信息的安全，因此 VLAN技术在校园局域网内的应用是明智之举。 在本文中主要使用基 于端口的 VLAN 技术对校园网进行设计 ,具体实现了以下几个方面的作用 : ① 通过 VLAN 的划分 , 控制内部各 VLAN间的访问范围和权限 , 从而保障子网通信安全。 ② 避免了 IP 地址使用混乱的情况 . 随着校园网规模增大 , 往往会出现 IP 地址使用混乱和 IP 地址盗用的状况 . 通过划分 VLAN, 各部门的 IP 地址是固定的一个地址段 , VLAN 之间不能互相盗用地址 , 管理起来条理非常清楚。 ③ 充分利用网络带宽 , 防止了广播风暴的产生 , 提高了网络传输效率。 当然 VLAN 在校园网的应用有利也有弊 , 由于它是根据端口 逻辑地址进行网络划分 , 管理员无法很清楚地将网络的物理布局与逻辑结构相联系 , 这就要网络管理人员非常熟悉和了解网络设备的物理连接和逻辑连接 , 只有充分发挥它的长处 , 扬长避短 , 才能使校园网畅通无阻 , 充分 发挥作用。 3 VLAN 技术的讨论 TRUNK 链路技术 Trunk 技术是在两台交换机之间建立一条点到点的链路 , 每台交换机的相应端口称为中继端口。 一条中继链路可以传输多个 VLAN 的数据流 , 并允许用户将 VLAN 的范围从一台交换机扩展到另一台交换机 [10]。 Trunk 是一种封装技术 ,它是在 两台交换机之间的一条点到点链路 ,主要功能就是仅通过一条链路就可以连接多个交换机 ,从而扩展已配置的多个 VLAN,传输多个 VLAN 的数据流。 还可以采用通过 Trunk 技术和上级交换机级连接的方式来扩展端口的数量 ,将 VLAN的范围从一台交换机扩展到另一台交换机 ,节省了网络硬件的成本 ,从而扩展整个网络。 TRUNK 可通过的 VLAN 范围缺省下是 1～ 1005, 可以修改 , 但必须激活 Trunk 协议。 使用Trunk 的端口不在任何 VLAN 中。 在校园网建设时 , Trunk 绝对是必需的 . 在设置 Trunk 后 , Trunk 链路不属于任何一 5 个 VLAN. Trunk 链路在交换机之间起着 VLAN 管道的作用 ,交换机会将该 Trunk 以外及Trunk 中的端口处于一个 VLAN 中的其他端口的负载自动分配到该 Trunk 中的各个端口 . 因为同一个 VLAN中的端口之间会相互转发数据 ,而位于 Trunk中的 Trunk端口被当作一个端口来看待 ,因此在设置了 Trunk后 ,该 Trunk将自动加入其成员端口所属的 VLAN中 ,而其成员端口则自动从 VLAN 中删除。 对于 Trunk 端口来说 ,其上允许通过的 VLAN 范围体现的是一种能力 ,与系统中是否存在对应的 VLAN 实体没有关系。 Trunk 技术具有以下优点 : ① 可以在不同的交换机之间连接多个 VLAN,可以将 VLAN 扩展到整个网络中。 ② Trunk 可以捆绑任何相关的端口 ,也可以随时取消设置 ,提供了很高的灵活性。 ③ Trunk 可以提供负载均衡能力以及系统容错 . 由于 Trunk 实时平衡各个交换机端口和服务器接口的流量 ,若某个端口出现故障 ,它会自动把故障端口从 Trunk 组中撤消 ,进而重新分配各个 Trunk 端口的流量 ,从而实现系统容错。 VTP 协议 VLAN 中继协议最早由思科公司提出的 [11]。 作为思科 VLAN 技术的重要组成部分， VTP减少了跨越网络设置 VLAN 的管理任务，减少了配置的不连续性。 VLAN 干道协议是 VLAN动态协议的一种，它能自动的在网络中传播 VLAN 的各种配置信息，因此能保持 VLAN 在网络中的连续性和统一性， VTP 是一个交换机到交换机，交换机到路由器 VLAN 管理协议。 VTP 是一种消息协议，它通过一台工作在服务器模式下的交换机，通过使用二层中继Frame 在整个网络中负责管理 VLAN 的添加，删除和重命名。 从而保证 VLAN 在网络中的传播和统一， VTP 负责在 VLAN 域内同步 VLAN 信息，能传播到每一台 工作在客户机模式下的交换机中，从而简化了网络管理员的配置量，也减少了错误率。 图 为 VTP 的报文格式。 I S LH e a d e rE t h e r n e tH e a d e rL L CH e a d e rS N A PH e a d e rV T P H e a d e rV T P M e s s a g eC R C2 6 B y t e s 3 B y t e s 3 B y t e s1 4 B y t e s V a r i e d L e n g t h 图 VTP 报文格式 VTP 要从 Trunk 中传输，所以一般 VTP 报文会封装在 ISL 或者 dot1q 中。 6 VTP 具有如下的优点： ① VLAN 配置在整个网络中都不变，且都保持一致； ② 在混合介质的网络中允许一个 VLAN 被中继的映射机制，能跨多个交换机； ③ 能对 VLAN 进行精确的跟踪和控制； ④ 全网范围内增加 VLAN 的动态报告。 为了在网络中管理和建立 VLAN，所以必须建立一个 VLAN 管理域。 在域中 能有相同的VLAN 信息，在交换网络中，多个交换机构成了一个域。 VTP 管理域由一组共享 VTP 域名的互联设备组成，同一 VTP 域中所有交换机共享它们的 VLAN 信息。 而且信息均相同，每个设备只能工作在一个 VTP 域，不同域中的交换机不能共享一个域中的 VTP 消息。 VTP 共有三种操作模式，分为服务器模式、客户机模式和透明模式。 ① 服务器模式 Server 当一台未经配置的思科交换机第一次工作的时候，它的默认配置模式是服务器模式。 VLAN 在 VTP 服务器上被创建的时候，和其他 VLAN 配置信息一起存储在服务器的 NVRAM 并且当交换机重启的时候，配置信息还是被保留不会消失。 服务器模式中维持着该 VTP 域中所有 VLAN 信息列表，可以增加、删除或修改 VLAN，VTP 服务器周期性地广播 VTP 域名、 VLAN 配置，提供现行的配置修改号。 修改号是 VTP 域的一部分，它确保 VTP 域内的所有交换机有现行的、正确的 VLAN 配置信息。 ② 客户机模式 Client 客户交换机在 NVRAM 存储 VLAN 配置。 当客户交换机重启的时候，所有的 VLAN 配置信息丢失。 交换机启动完成后，需要发送一条 VTP 请求消息给 VTP 服务器，来获取现行的 VLAN 配 置。 客户机只能从服务器模式下的交换机接收 VLAN 的各种信息，它也维护该 VTP 域中所有 VLAN 信息列表，但不能增加、删除或修改 VLAN，任何变化的信息必须从 VTP Server发布的通告报文中接收。 如果客户交换机要加入一个新的 VLAN， VLAN必须被添加到 VTP 服务器上面去。 这样新的 VLAN 才能传递到所有的客户交换机。 当新的 VLAN 增加后，客户交换机上。