VLan介紹網(wǎng)絡(luò)安全研究資料講解

2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義1VLan介紹2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第2頁(yè)什么是VLANVLAN（VirtualLocalAreaNetwork）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。

2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第3頁(yè)

沖突的產(chǎn)生降低了以太網(wǎng)的帶寬，而且這種情況又是不可避免的。所以，當(dāng)導(dǎo)線上的節(jié)點(diǎn)越來越多后，沖突的數(shù)量將會(huì)增加。顯而易見的解決方法是限制以太網(wǎng)導(dǎo)線上的節(jié)點(diǎn)，需要對(duì)網(wǎng)絡(luò)進(jìn)行物理分段。將網(wǎng)絡(luò)進(jìn)行物理分段的網(wǎng)絡(luò)設(shè)備用到了網(wǎng)橋與交換機(jī)。網(wǎng)橋和交換機(jī)的基本作用是只發(fā)送去往其他物理網(wǎng)段的信息。所以，如果所有的信息都只發(fā)往本地的物理網(wǎng)段，那么網(wǎng)橋和交換機(jī)上就沒有信息通過。這樣可以有效減少網(wǎng)絡(luò)上的沖突。網(wǎng)橋和交換機(jī)是基于目標(biāo)MAC地址做出轉(zhuǎn)發(fā)決定的，它們是二層設(shè)備。2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第5頁(yè)VLAN的優(yōu)勢(shì)控制廣播風(fēng)暴

一個(gè)VLAN就是一個(gè)邏輯廣播域，通過對(duì)VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。提高網(wǎng)絡(luò)整體安全性

通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第6頁(yè)網(wǎng)絡(luò)管理簡(jiǎn)單、直觀

對(duì)于交換式以太網(wǎng)，如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個(gè)VLAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。在一個(gè)交換網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第7頁(yè)VLAN如何實(shí)現(xiàn)基于端口的VLAN劃分

這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。當(dāng)用戶從一個(gè)端口移動(dòng)到另一個(gè)端口時(shí)，網(wǎng)絡(luò)管理員必須對(duì)VLAN成員進(jìn)行重新配置。但ＩＰ地址利用率不高，原因是一個(gè)完整的子網(wǎng)由網(wǎng)段地址、網(wǎng)關(guān)地址、用戶地址和廣播地址組成。這樣，只包含一個(gè)用戶的ＶＬＡＮ就由４個(gè)ＩＰ地址組成，而真正被用戶使用的ＩＰ地址只有一個(gè)（用戶地址）。我們知道，ＩＰ地址是一種有限的資源，這樣的劃分方法將帶來ＩＰ地址的浪費(fèi)，因此端口ＶＬＡＮ方式的地址使用率較低。

2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第8頁(yè)2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第9頁(yè)2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第10頁(yè)基于MAC地址的VLAN劃分這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置。這種方法的缺點(diǎn)是初始化時(shí)，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低。另外，用戶的網(wǎng)卡一旦更換，VLAN就必須重新配置。2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第11頁(yè)根據(jù)網(wǎng)絡(luò)層地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址的，比如IP地址。這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址需要消耗更多的處理時(shí)間2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第12頁(yè)根據(jù)IP組播劃分VLANIP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展。這種方法不適合局域網(wǎng)，主要是效率不高。2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第13頁(yè)三層交換技術(shù)傳統(tǒng)的路由器在網(wǎng)絡(luò)中有路由轉(zhuǎn)發(fā)、防火墻、隔離廣播等作用，而在一個(gè)劃分了VLAN以后的網(wǎng)絡(luò)中，邏輯上劃分的不同網(wǎng)段之間通信仍然要通過路由器轉(zhuǎn)發(fā)。由于在局域網(wǎng)上，不同VLAN之間的通信數(shù)據(jù)量是很大的，這樣，如果路由器要對(duì)每一個(gè)數(shù)據(jù)包都路由一次，隨著網(wǎng)絡(luò)上數(shù)據(jù)量的不斷增大，路由器將不堪重負(fù)，路由器將成為整個(gè)網(wǎng)絡(luò)運(yùn)行的瓶頸。

2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第14頁(yè)在這種情況下，出現(xiàn)了第三層交換技術(shù)，它是將路由技術(shù)與交換技術(shù)合二為一的技術(shù)。三層交換機(jī)在對(duì)第一個(gè)數(shù)據(jù)流進(jìn)行路由后，會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次通過時(shí)，將根據(jù)此表直接從二層通過而不是再次路由，從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率，消除了路由器可能產(chǎn)生的網(wǎng)絡(luò)瓶頸問題。可見，三層交換機(jī)集路由與交換于一身，在交換機(jī)內(nèi)部實(shí)現(xiàn)了路由，提高了網(wǎng)絡(luò)的整體性能。

2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第15頁(yè)跨交換機(jī)VLAN通過VLANTrunk來解決。如果交換機(jī)1的VLAN1中的機(jī)器要訪問交換機(jī)2的VLAN1中的機(jī)器，可以把兩臺(tái)交換機(jī)的級(jí)聯(lián)端口設(shè)置為Trunk端口當(dāng)交換機(jī)把數(shù)據(jù)包從級(jí)聯(lián)口發(fā)出去的時(shí)候，會(huì)在數(shù)據(jù)包中做一個(gè)標(biāo)記（TAG），以使其它交換機(jī)識(shí)別該數(shù)據(jù)包屬于哪一個(gè)VLAN，其它交換機(jī)收到這樣一個(gè)數(shù)據(jù)包后，只會(huì)將該數(shù)據(jù)包轉(zhuǎn)發(fā)到標(biāo)記中指定的VLAN，從而完成了跨越交換機(jī)的VLAN內(nèi)部數(shù)據(jù)傳輸。VLANTrunk目前有兩種標(biāo)準(zhǔn)，ISL和802.1Q2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第16頁(yè)IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。

該標(biāo)準(zhǔn)通過VLANID來進(jìn)行整個(gè)企業(yè)網(wǎng)絡(luò)的VLAN劃分。802.1q在以太網(wǎng)幀中的以太網(wǎng)類型字段前增加了4個(gè)字節(jié)，其中最后12個(gè)bit用于標(biāo)識(shí)VLAN劃分，共支持4096個(gè)VLAN。2003-11-16計(jì)算機(jī)網(wǎng)絡(luò)講義第17頁(yè)ISL是Cisco公司的專有封裝