天水市气象局雷达站甘肃天水741000清水县气象局甘肃清水741400天水市气象局雷达站甘肃天水741000
摘要:由于我国的互联网很容易受到不法分子的侵袭,有着十分复杂的安全问题,特别是现如今由局域网中文播报文所造成的广播风暴、流量劫持以及报文欺骗等大量安全事件时有发生。而利用过VLAN技术隔离交换机端口,则可以有效的避免出现各类安全问题。因此,本文首先将概述VLAN技术的基本原理,然后详细阐述非对称VLAN模型的应用,希望能够为相关工作人员提供有用的参考,更好的保护我国的网络安全。
关键词:VLAN技术;基本原理;非对称VLAN模型
随着现代信息技术的迅猛发展,现代人们已经彻底进入了信息时代,网络则是现代人们在日常生活中必不可少的一项工具。因此,现在很多单位都已经建立了自身独立的网络,不仅可以更好的服务单位员工,还可以有效提高单位的工作效率。然而,由于自身独立网络通常都有着比较复杂的结构,再加上大量比较活跃的密集用户群体,使得我国网络的规模也比较庞大,造成其所面临的安全隐患也是急剧上升,这就需要我们能够采取有针对性的手段保护网络安全不受侵害。
一、概述具有代表性的安全威胁
第一,IPOE以及PPPOE方面所面临的安全威胁。由于现代网络的基础架构正在向着扁平化的方向发展,在宽带被远程接入到服务器后,BRAS就会被逐渐设置在网络核心区域,用户接入也由传统的静态分配IP地址,转换为IPOE以及PPPOE,而这两种分配IP地址的方式,却难以很好的防止相同的广播域私自设立IPOE以及PPPOE服务器,导致出现流量劫持以及网关欺骗的问题发生。第二,局域网内部被计算机病毒渗透。通过将入侵防御系统部署到网络便捷,可以有效的避免遭受网络攻击,然而这种安全防护错误却不能防止计算机病毒由局域网渗透到网络之中,因为局域网内部通常没有良好的内部隔离,这就会造成即使仅有一台计算机被感染,也会导致全部网络被渗透。第三,以太网环境中的ARP攻击。现如今网络的不法分子可以利用ARP的原有的协议漏洞对局域网进行攻击,最常见的方式就是利用发送伪造的ARP广播报文,将要袭击目标主机的MAC地址进行伪装,这样就可以达成其发动泛洪攻击或者是劫持用户流量的目的。第四,接入段环路导致的广播风暴。由于我国的网络用户通常都比较活跃,导致难以有效的对用户的网络行为进行合控制,导致错误链接局域网设备,致使环路问题经常出现,而一旦出现这种问题,就会造成广播风暴的发生,从而造成在同一个广播域中的全部计算机都难以使用网络,如果情况严重的话,还会对处于网关的三层设备转发性能造成极大的不良影响,从而致使整个网络都无法发挥作用[1]。
二、VLAN技术的基本原理以及非对称VLAN模型
(一)VLAN技术的基本原理
VLAN技术是结合相应的策略,使物理上形成的聚缘网转变为各不相同的逻辑子网,将数据链路层的广播报文在逻辑子网内被隔离,从而能够形成较为独立的广播域,而每一个逻辑子网都属于“虚拟的局域网”,而全部被接入到支持VLAN的交换机终端设备,都属于特定的VLAN,而处于不同VLAN的计算机却不能直接利用数据链路层进行通信。通过应用VLAN技术,能够很好的对广播报文的传输范围进行限制,这样就能够有效的对广播风暴进行抑制,从而使网络的安全性大幅上升,可以很好的被应用到校园网络、企业网络以及社区网络之中。现如今在国际上最为通用的VLAN标准就是IEEE802.1Q,该国际标准定义在桥接局域网中支持VLAN的机制,然后利用动态学习或者是静态配置的方式,通过交换机将部分端口集合指派为在VLAN中的某一台计算机,这时交换机就可以结合报文中的VLAN标记,将报文的VLAN进行合适的归属,然后再将其转发到向对应的端口之中[2]。
由于网络交换机设备在进行VLAN识别使,需要结合报文封装的VLAN标记头部,从而确定其应该归属那种VLAN,然后利用过滤数据库,过滤报文之后再进行转发。通过交换机进行转发报文,需要通过三个阶段进行,分别是报文入口过滤过程、报文转发过程以及报文出口处理过程。第一,入口过滤。通过对VLAN报文的标记头部进行匹配,从而对其进行有效的过滤并进行分类,从而使报文的VLAN归属得到确认,只有在标记的头部相匹配的情况,才会使报文进入下一阶段的处理,如果不匹配就会直接丢弃报文。第二,报文转发过程.在报文经过过滤后,利用FDB表项确认对报文的处理方式,使报文转发的格式以及目的端口进行确定,然后管理员就可以利用交换机的FDB表项进行动态学习或者手动静态维护获取。第三,报文出口处理过程。由于VLAN标记帧不能被接入计算机接受,就需要对转发的报文格式进行确认,使其可以被接收[3]。
(二)非对称VLAN模型
根据前文对VLAN的技术原理分析,我们能够清晰的认识到只有处于同一个VLAN中的计算机设备,才能够直接的进行通信,也就是说这些计算机设备需要使用统一的VID进行接收以及传输报文。但是,在某些特殊的情况下,也能够通过两个不同的VID进行传输数据,其中一个可以由对端传输数据到本端,另一个则可以由本端传输数据到对端。这种模式救赎属于非对称VLAN模型,其名为“多网段嵌套服务器”,在应用该模型的过程中,如果客户端以及服务器都属于非VLAN识别设备,那么其只具有发送以及接受无标记帧的功能。而如果交换机端口的入口分类规则符合IEEE802.1Q标准中的VLAN分类方式,就可以利用静态配置FDB满足VLAN成员端口集以及无标记端口集的目的[4]。
三、结束语
总而言之,通过应用非对称VLAN的端口隔离技术,能够有效的避免出现由于终端设备广播报文导致的网络攻击,有效的解决其中的安全隐患,相比各种比较高级的安全技术,这种安全防护手段有着更加明显的优势以及普适性。因为非对称VLAN的端口隔离技术能够在数据链层面进行全面的隔离,有效的摆脱了传统隔离方式的局限性,能够有效简化网络管理,还能够有效延长原有设备的使用寿命,能够有效的被应用于网络安全的工作之中。
参考文献:
[1]孟祥成.基于eNSP的二层VLAN虚拟仿真实验[J].实验室研究与探索,2017,36(9):102-106.
[2]林初建,张四海,王海英,等.基于非对称VLAN的端口隔离技术研究与应用[J].华东师范大学学报(自然科学版),2017,2017(S1):232-239.
[3]祁辉,赵生慧,邵雪梅.校园网中跨交换机的端口隔离应用研究--以滁州学院校园网为例[J].滁州学院学报,2017(5):49-51.
[4]唐磊.端口隔离技术在校园网络管理中的应用[J].网络空间安全,2017,6(7):76-78.