楊劍

摘要：目前，隨著網(wǎng)絡(luò)信息技術(shù)的迅猛發(fā)展，中職學(xué)校校園網(wǎng)絡(luò)的不安全因素和故障越來(lái)越多。解決這個(gè)問(wèn)題的方法不少，其中值得在中職學(xué)校中推廣的技術(shù)就是VLAN技術(shù)。本文介紹了VLAN技術(shù)及在中職學(xué)校的應(yīng)用方法。

關(guān)鍵詞：校園網(wǎng)；VLAN；端口

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）07-0075-03

Abstract： at present， with the rapid development of information technology， the unsafe factors of campus network in secondary vocational schools and more faults. The way of solving this problem a lot， which is worth popularizing in vocational school technique is VLAN technology. This paper introduces the method of VLAN technology and its application in secondary vocational school.

Key words： campus network； VLAN； port

1 引言

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，接入互聯(lián)網(wǎng)的成本越來(lái)越低，目前很多中職學(xué)校都有了校園網(wǎng)并通過(guò)Internet接入商（ISP）接入了互聯(lián)網(wǎng)，學(xué)校的信息化、數(shù)字化應(yīng)用水平越來(lái)越高，大大地提高了學(xué)校的信息化管理水平。但與此同時(shí)，隨著校園網(wǎng)的規(guī)模不斷擴(kuò)大，應(yīng)用系統(tǒng)不斷增加，功能不斷增強(qiáng)，校園網(wǎng)的應(yīng)用環(huán)境也變得非常復(fù)雜，中職學(xué)校的網(wǎng)絡(luò)管理人員相對(duì)較少，校園網(wǎng)的安全管理變得越來(lái)越重要，尤其是數(shù)字校園建設(shè)的不斷推進(jìn)以后，如何有效地提高校園網(wǎng)絡(luò)的穩(wěn)定性和安全性就成了學(xué)校及網(wǎng)絡(luò)管理人員必須重視的問(wèn)題。

中職學(xué)校校園網(wǎng)的安全隱患主要表現(xiàn)在以下幾個(gè)方面：

1）計(jì)算機(jī)病毒：計(jì)算機(jī)病毒的威脅歷來(lái)已久，給人們?cè)斐傻膿p失也是非常大。隨著計(jì)算機(jī)程序技術(shù)和校園網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，病毒的傳播速度越來(lái)越快，傳播途徑也更多，傳播方式更隱蔽，其破壞性也更強(qiáng)，輕則造成系統(tǒng)單單故障，重則造成數(shù)據(jù)丟失、硬件損壞，甚至整個(gè)校園網(wǎng)絡(luò)癱瘓。

2）黑客攻擊：黑客為了顯示他的本事或?yàn)榱私厝C(jī)密數(shù)據(jù)，常常采用各種手段非法入侵校園網(wǎng)系統(tǒng)和用戶(hù)計(jì)算機(jī)。在校園網(wǎng)中丟失銀行帳號(hào)、QQ號(hào)等比比皆是，甚至有校園中的學(xué)生利用黑客工具進(jìn)行入侵和破壞。

3）操作系統(tǒng)安全漏洞：目前所有的操作系統(tǒng)幾乎都存在缺陷，校園網(wǎng)的服務(wù)器也存在安全漏洞，越來(lái)越多的系統(tǒng)補(bǔ)丁就是最好的證明。這些漏洞也幾乎是被黑客首先發(fā)現(xiàn)的，然后才有系統(tǒng)的補(bǔ)丁提供。與病毒一樣，漏洞也是事后才被用戶(hù)發(fā)現(xiàn)。

4）校園網(wǎng)用戶(hù)安全防范意識(shí)薄弱：在校園網(wǎng)中，用戶(hù)的安全防范意識(shí)卻是非常薄弱的。首先表現(xiàn)在他們的信息化技術(shù)水平不高，其次在上網(wǎng)時(shí)對(duì)病毒或木馬的辨別能力不高和相應(yīng)的處理能力不夠，用戶(hù)計(jì)算機(jī)的系統(tǒng)越來(lái)越慢，整個(gè)校園網(wǎng)的正常運(yùn)行也受到影響。

2 校園網(wǎng)VLAN技術(shù)的概念

2.1 VLAN技術(shù)產(chǎn)生背景

虛擬網(wǎng)技術(shù)（VLAN，Virtual Local Area Network）的誕生主要源于廣播。許多網(wǎng)絡(luò)協(xié)議都要用到廣播，局域網(wǎng)通常被定義為一個(gè)單獨(dú)的廣播域，主要使用集線(xiàn)器或交換機(jī)等網(wǎng)絡(luò)設(shè)備連接同一網(wǎng)段內(nèi)的所有節(jié)點(diǎn)。在網(wǎng)絡(luò)中的數(shù)據(jù)保密要求和網(wǎng)絡(luò)的組織結(jié)構(gòu)上的要求等這些問(wèn)題都促使了虛擬局域網(wǎng)的誕生。

2.2 VLAN技術(shù)定義

VLAN （ Virtual Local Area Network）即虛擬局域網(wǎng)， 是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。虛擬網(wǎng)絡(luò)是在整個(gè)網(wǎng)絡(luò)中通過(guò)網(wǎng)絡(luò)交換設(shè)備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于OSI 模型的第三層的廣播域， 與具體的物理網(wǎng)及地理位置無(wú)關(guān)， 虛擬工作組可以包含不同位置的部門(mén)和工作組， 不必在物理上重新配置任何端口， 真正實(shí)現(xiàn)了網(wǎng)絡(luò)用戶(hù)與它們的物理位置無(wú)關(guān)。

2.3 應(yīng)用VLAN的條件

VLAN是在邏輯上對(duì)物理網(wǎng)絡(luò)的劃分，應(yīng)用VLAN的先決條件就是要把持VLAN的硬件設(shè)備，如路由器或交換機(jī)，同時(shí)這些設(shè)備是可以進(jìn)行網(wǎng)絡(luò)管理的，因此交換機(jī)須是三層交換機(jī)。

2.4 劃分VLAN的原則

在支持VLAN的設(shè)備上劃分VLAN可以采用以下三種原則：基于端口的VLAN劃分、基于網(wǎng)絡(luò)層的VLAN劃分和基于MAC地址的VLAN劃分。

基于端口的VLAN劃分是目前校園網(wǎng)應(yīng)用最多的一種方法，其優(yōu)點(diǎn)是：定義VLAN成員非常簡(jiǎn)單，我們只要將所有的端口都定義為各自相應(yīng)的VLAN即可。其缺點(diǎn)是：如果某用戶(hù)離開(kāi)了原來(lái)的端口，到了一個(gè)新交換機(jī)的某個(gè)端口，VLAN則失去作用。

基于MAC地址劃分VLAN的最大優(yōu)點(diǎn)：就是當(dāng)用戶(hù)物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，因?yàn)樗腔贛AC地址，即用戶(hù)，而不是基于交換機(jī)的端口。這種方法的缺點(diǎn)是：在進(jìn)行初始設(shè)置時(shí)，每一塊網(wǎng)卡都必須進(jìn)行配置，如果用戶(hù)較多的話(huà)，配置非常煩瑣，所以這種劃分方法對(duì)于小型局域網(wǎng)比較適合，對(duì)于大型局域網(wǎng)是不可想象的。另外，一旦某一工作站的網(wǎng)卡更換，VLAN就必須重新配置，這是很不方便的。

基于網(wǎng)絡(luò)層協(xié)議劃分VLAN優(yōu)點(diǎn)是：用戶(hù)的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類(lèi)型來(lái)劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要。還有，這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的流量。這種方法的缺點(diǎn)是：效率降低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的。

3 校園網(wǎng)安全防范措施

在校園網(wǎng)中，如何才能進(jìn)行有效地進(jìn)行防范，確保校園網(wǎng)的安全呢？這就要求我們除了嚴(yán)格執(zhí)行校園網(wǎng)的相關(guān)管理制度以外，還要在進(jìn)行校園網(wǎng)設(shè)計(jì)時(shí)要掌握幾個(gè)原則：可靠性、安全性、易用性、可擴(kuò)充性和經(jīng)濟(jì)實(shí)用性等。

3.1 在校園網(wǎng)入口部署防火墻

防火墻的基本功能是對(duì)網(wǎng)絡(luò)通信進(jìn)行篩選、屏蔽、以防止未授權(quán)的訪問(wèn)進(jìn)出校園網(wǎng)，是整個(gè)校園網(wǎng)的第一道安全防線(xiàn)。防火墻是基于成熟可靠的多核處理器硬件平臺(tái)，可以完整實(shí)現(xiàn)狀態(tài)檢測(cè)、包過(guò)濾、IPSec VPN、SSL VPN、URL過(guò)濾、綠色上網(wǎng)、流量控制、用戶(hù)認(rèn)證等綜合安全功能。

3.2 在校園網(wǎng)用戶(hù)出口部署上網(wǎng)行為管理系統(tǒng)

隨著互聯(lián)網(wǎng)的迅猛發(fā)展和網(wǎng)絡(luò)接入用戶(hù)的爆炸性增長(zhǎng)，網(wǎng)絡(luò)威脅已不再局限于來(lái)自網(wǎng)校園網(wǎng)外部的入侵和攻擊；據(jù)國(guó)內(nèi)外眾多安全研究機(jī)構(gòu)的調(diào)查，組織機(jī)構(gòu)內(nèi)部人員不安全的互聯(lián)網(wǎng)訪問(wèn)，已成為現(xiàn)今信息安全的最大隱患。但目前大部分網(wǎng)絡(luò)普遍缺乏基于應(yīng)用層的安全防護(hù)能力，其中包括P2P/IM安全控制、內(nèi)容過(guò)濾、防病毒以及防垃圾郵件等應(yīng)用過(guò)濾功能；單純依賴(lài)于現(xiàn)有的網(wǎng)絡(luò)設(shè)備已無(wú)法滿(mǎn)足用戶(hù)的實(shí)際網(wǎng)絡(luò)安全需求。在校園網(wǎng)用戶(hù)到防火墻之間部署上網(wǎng)行為管理系統(tǒng)就顯得很有必要，不但可以記錄用戶(hù)的上網(wǎng)行為，還可以進(jìn)行帶寬控制，用戶(hù)上網(wǎng)行為的控制與管理。

3.3 安裝校園網(wǎng)網(wǎng)絡(luò)殺毒軟件

在用戶(hù)計(jì)算機(jī)安裝殺毒軟件可以在一定程度上防止該用戶(hù)系統(tǒng)被病毒感染，但是如果校園網(wǎng)內(nèi)一臺(tái)計(jì)算機(jī)被感染后可以造成整個(gè)系統(tǒng)的運(yùn)行故障，最好的辦法是在校園網(wǎng)內(nèi)安裝網(wǎng)絡(luò)殺毒軟件，不但可以避免給每一臺(tái)計(jì)算機(jī)都安裝殺毒軟件的麻煩，而且可以輕松地讓網(wǎng)絡(luò)管理員及時(shí)升級(jí)病毒庫(kù)，針對(duì)所有的客戶(hù)機(jī)定時(shí)殺毒。

3.4 用戶(hù)計(jì)算機(jī)安裝系統(tǒng)補(bǔ)丁

及時(shí)給用戶(hù)計(jì)算機(jī)系統(tǒng)打上補(bǔ)丁，可以盡量少地給病毒和木馬創(chuàng)造入侵機(jī)會(huì)，為了盡可能快地升級(jí)，校園網(wǎng)管理員可以在校園網(wǎng)內(nèi)部署類(lèi)似Windows Software Auto Update Services服務(wù)器。

3.5 校園網(wǎng)應(yīng)用VLAN技術(shù)進(jìn)行控制

VLAN技術(shù)允許網(wǎng)絡(luò)管理員將物理局域網(wǎng)根據(jù)邏輯依據(jù)劃分為不同的虛擬局域網(wǎng)或廣播域。但是由于它的劃分依據(jù)僅僅是邏輯需要，所以不需要在物理上改變局域網(wǎng)的節(jié)點(diǎn)物理位置。從管理員角度分析，該技術(shù)可以簡(jiǎn)化網(wǎng)絡(luò)管理、降低成本、提高性能、避免網(wǎng)絡(luò)廣播風(fēng)暴、提高管理效率，讓管理員對(duì)控制局域網(wǎng)內(nèi)廣播活動(dòng)更加便捷，從而提高整個(gè)網(wǎng)絡(luò)的安全性。

4 VLAN技術(shù)在校園網(wǎng)安全管理中的應(yīng)用實(shí)例

4.1 某中職學(xué)校校園辦公網(wǎng)絡(luò)需求

某中職學(xué)校有招就辦、財(cái)務(wù)科、教務(wù)科、黨政辦、信息技術(shù)中心、后勤科、學(xué)生科等部門(mén)，這些部門(mén)分布在教學(xué)樓、綜合大樓、學(xué)生公寓等建筑物內(nèi)，校園公辦網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖1所示。

該中職學(xué)校的七大部門(mén)下設(shè)有辦公室若干，各棟樓通過(guò)三臺(tái)中興交換機(jī)2852S連接到可管理匯聚交換機(jī)中興3952A，現(xiàn)要求在該公辦網(wǎng)絡(luò)環(huán)境中應(yīng)用VLAN技術(shù)加強(qiáng)網(wǎng)絡(luò)安全管理。

4.2 需求分析

根據(jù)該中職學(xué)校校園辦公網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，為了加強(qiáng)辦公網(wǎng)絡(luò)安全管理，可以利用基于端口劃分VLAN的方法將七個(gè)部門(mén)劃分到七個(gè)不同的VLAN中，進(jìn)行各部門(mén)間的相互隔離，同時(shí)還能訪問(wèn)服務(wù)器群中的指定服務(wù)器，這就需要在可管理交換機(jī)上配置VLAN和VLAN的透?jìng)?。在交換機(jī)3952A上配置VLAN，在交換機(jī)2852S上也要配置以上VLAN，如表1所示。

4.3 配置過(guò)程

1）首先要連接到交換機(jī)，首次連接必須采用Windows超級(jí)終端或其它軟件如putty等，通過(guò)連接線(xiàn)連接到交換機(jī)的Consol接口才能配置交換機(jī)。在交換機(jī)上配置好telnet以后就可以通過(guò)網(wǎng)絡(luò)登錄該交換機(jī)進(jìn)行配置。

2）如果通過(guò)Consol連接到交換機(jī)，可以直接輸入密碼zhongxing，如果是通過(guò)telnet連接到交換機(jī)可以輸入用戶(hù)名和密碼，進(jìn)入命令行配置界面，提示為“>”。

3）在以上提示符下輸入“enable”進(jìn)入特權(quán)模式，“enable”可以簡(jiǎn)寫(xiě)為“en”，提示符變?yōu)椤?”。

4）在特權(quán)模式下，輸入“config terminal”，進(jìn)入系統(tǒng)配置命令行，提示符變?yōu)椤埃╟onfig）#”。

5）輸入“vlan 10”即可創(chuàng)建Id號(hào)為10的VLAN，采用相同的方法可以創(chuàng)建其它VLAN。

6）完成創(chuàng)建VLAN的工作后就可使用“interface vlan 10”進(jìn)入Vlan 10的配置接口，將該接口配置為普通的access接口或匯聚的trunk接口或混合接口hybrid。在本例中應(yīng)該將接口1-7配置為trunk接口，將8-12和23配置為混合接口，服務(wù)器連接接口配置為混合接口hybrid。

7）在各接入交換機(jī)上進(jìn)行VLAN透?jìng)?，使所有的用?hù)都能訪問(wèn)服務(wù)器。

8）在交換機(jī)上啟用路由功能。

在完成交換機(jī)的配置后，該中職學(xué)校辦公網(wǎng)絡(luò)就可以訪問(wèn)校園網(wǎng)內(nèi)的服務(wù)器和訪問(wèn)Internet，同時(shí)各部門(mén)之間是相互隔離的，不能直接訪問(wèn)，這樣通過(guò)劃分VLAN就可以加強(qiáng)校園辦公網(wǎng)絡(luò)的安全了。

5 結(jié)論

在學(xué)校中應(yīng)用VLAN技術(shù)，不但可以使校園網(wǎng)絡(luò)更加的安全、快速，而且也大大地減輕了網(wǎng)絡(luò)管理員的工作量，保證了各部門(mén)對(duì)網(wǎng)絡(luò)環(huán)境不同的要求和信息的安全，以交換技術(shù)為基礎(chǔ)的校園網(wǎng)的VLAN應(yīng)用，為在多部門(mén)環(huán)境下，組建實(shí)用、高效、先進(jìn)、安全，能滿(mǎn)足多種業(yè)務(wù)需求的綜合性校園網(wǎng)提供了一套可行的解決方案，對(duì)中職學(xué)校校園網(wǎng)建設(shè)來(lái)說(shuō)是明智之舉。

參考文獻(xiàn)：

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社，2005.

[2] 劉金濤.淺談職業(yè)學(xué)校校園網(wǎng)的安全管理[J].濰坊學(xué)院學(xué)報(bào)，2008（7）.

[3] 馮昊，黃治虎.路由器配置與管理[M].北京： 清華大學(xué)出版社，2005.

[4] 張國(guó)祥.校園網(wǎng)VLAN 的研究與實(shí)現(xiàn)[J].湖北師范學(xué)院學(xué)報(bào)，2004（6）.

[5] 竇清.VLAN在大學(xué)校園網(wǎng)中的應(yīng)用[J].廣西民族學(xué)院學(xué)報(bào)，2002（4）.