VLAN技術網絡安全論文

下面小編整理了一些《VLAN技術網絡安全論文(精選3篇)》，希望對大家有所幫助。摘要：本文首先介紹了VLAN技術在信息網絡中的應用及工作原理，并通過一個配置VLAN實例，詳細闡述VLAN配置方法及過程。

VLAN技術網絡安全論文 篇1：

VLAN網絡技術在送變電企業網絡安全中的應用

當前，局域網與外界的信息傳輸幾乎包含了除衛星以外目前所有的傳輸方式，規模的龐大、結構的復雜、各類形式的安全隱患給我們的網絡管理帶來了越來越多的挑戰。尤其是近兩年互聯網病毒嚴重侵蝕著我們的網絡，形成的廣播風暴致使網絡時常癱瘓，客戶端系統更是深受其害，為了解決這一問題，從軟硬件兩方面對網絡進行改造，消除和防范計算機網絡病毒（以我公司的實際情況進行講解）。

一、造成網絡病毒和網絡癱瘓的原因分析及問題的解決

各類病毒通過局域網進行擴散，二三百臺的微機全部都在一個214網段，一臺計算機感染病毒，本機的網卡便會通過廣播的方式迅速傳遍這個網絡，然后被感染的計算機也向交換機發送廣播，致使交換機堆積了大量的垃圾數據堵塞在各網絡節點，導致交換機的癱瘓。后果是所有的網絡用戶都無法上網。

由于網絡設備性能的問題，網絡管理員無法有效的對網絡內用戶進行足夠的分層次管理，網絡內約300臺電腦處于一個二層的平的網段，無法在保證關鍵應用的關鍵服務，無法保證關鍵應用的可靠性服務。數據庫服務器的權限可能等同于一臺普通用戶PC的權限，其安全性，可靠性也與一臺普通PC相同。

網絡內300多臺PC處于一個大的廣播域，即使在網絡正常應用的情況下，網絡內也將充斥這大量的數據包的廣播，比如某些應用程序可能會定期發出廣播包，某臺PC更換網卡后，其他PC將通過廣播的方式，查找新網卡的MAC地址，再比如如果某塊網卡出現故障的情況下，該PC將不斷的通過發出大量廣播包的方式，來監聽網絡等等。這些廣播包的數量將在網絡利用中占極大的比重。

如果網絡內的某一臺PC被感染病毒，由于沒有任何的防范措施，該病毒將很快的傳播給其他PC，即使有的PC安裝有殺毒軟件不會被感染，但是網絡帶寬將被感染病毒的PC發出的數據包所充斥，如果網絡內的PC被感染了，那么發出垃圾數據包的PC的數量將不止是一臺，可能是幾十臺甚至上百臺，那么網絡內正常的數據傳輸將得不到應有的網絡資源。網絡正常的服務將得不到保證，用戶可能無法正常訪問網絡，如果嚴重的話，可能會因負載過大造成網絡的癱瘓。

如果病毒不單單是沖擊波病毒，而且含有惡意攻擊性行為的話，惡意用戶可能登陸到服務器，任意篡改，竊取數據，并且控制服務器，其后果將是非常嚴重的。

我們利用CISC04506交換機所獨有的第2層和第三層控制功能的組合，消除了今天基于路由器的主干的性能瓶頸和拓撲局限性。這樣可以根據不同的部門，不同權限的用戶，規劃網絡，使其處于不同的虛擬局域網（VLAN）。CISC04506交換機，將作為這個網絡的核心交換機，對具有不同權限的用戶組成的不同VLAN，分配不同的權限，根據實際情況分配指定豐富的訪問策略。組建一個層次化和模塊化分明的網絡。

網絡服務器千兆光纖網卡，直接連接到CISC04506上，并且劃分單獨的服務器VLAN，通過在該VLAN接口上實施訪問策略，網絡管理員可以有選擇的使網絡內的用戶訪問服務器，并且通過關閉不安全的端口，即使有病毒襲擊，也因為在進入VLAN端口上關閉了不安全的端口而將病毒拒絕，保證了服務器的正常使用。

由于根據不同用戶，劃分了不同的VLAN，縮小了廣播域的規模，每個VLAN，就是一個廣播域。網絡中正常的和非正常的廣播，都在VLAN之內傳播，而不會影響到其他VLAN內的用戶。即使某個VLAN中Pc中了病毒，惡意的數據包也不會透過VLAN傳遞到其他VLAN中。

在CISC04006和CISC04506之間通過雙千兆光纖連接，通過鏈路聚會功能，在兩個交換機之間實現雙向4G的帶寬。路由器10M接口，連接防火墻和交換機，10M接口已成為整個網絡的瓶頸，并且在這個網絡當中，在交換機和防火墻之間放置路由器并不是必要的。雖然劃分了不同的網段，但是路由器并不能在各個網段直接隔離二層的廣播包，各個網段仍可以通過路由器連接交換機的端口上的不同IP地址，進行訪問。路由器的放置，不但影響了網絡性能，并且增加了故障點，并且起不到保護各個網段的作用。在CISC04006交換機和防火墻之間放置了CIS-C04506交換機后，具備三層交換功能的交換機將三層和四層數據包的交換功能從CISC0261 1路由器的幾萬個包提高到上百萬的數據包，不但實現了VLAN之間設備的互訪，還極大的提高了不同網段之間的數據包的路由和交換速率，CISC04006交換機和CISC04506的速率通過千兆模塊連接，達到千兆。

二、改造效果價值評價

網絡在進行改造后，經過近一年的運行，完全達到了預期效果。服務器網絡傳輸達到了1000M交換，用戶訪問服務器的速度大大提高。并且通過網上監測發現，消除了各類病毒的可疑代碼，整體網絡運行速度非常正常，工作效率得到了很大提高。

作者：付寧

VLAN技術網絡安全論文 篇2：

VLAN技術在企業信息網絡安全中的應用實踐

摘要：本文首先介紹了VLAN技術在信息網絡中的應用及工作原理，并通過一個配置VLAN實例，詳細闡述VLAN配置方法及過程。

關鍵詞：VLAN；企業；安全；信息網絡

VLAN Technology Application Practice in the Enterprise Information Network Security

Gao Yue

(Eastern Inner Mongolia Electric Power Co.,Ltd.，Xing’an Electric Power Bureau,Ulanhaote 137400,China)

引言：信息技術在過去的十幾年里的發展是非常驚人的，曾經被認為昂貴且復雜的許多網絡設備，而今已被企業廣泛采用，曾經被認為是大公司的專利，現如今幾乎到處可見。所有這些都源于人們越來越意識到了網絡安全的重要性。VLAN技術的出現打破了傳統網絡的許多固有觀念，使網絡結構變得靈活、方便、隨心所欲。

一、VLAN技術

VLAN即虛擬局域網，是一種通過將局域網內的設備邏輯的而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。VLAN技術的出現，主要為了解決交換機在進行局域網互連時無法限制廣播的問題。這種技術可以把一個LAN劃分成多個邏輯的LAN，每一個VLAN是一個廣播域，VALN內的主機間通信就和在一個LAN內一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內。VLAN的優點：

（一）限制廣播域

廣播域被限制在一個VLAN內，節省了帶寬，提高了網絡的處理能力。

（二）增強局域網的安全性

不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，如果不同VALN要進行通信，則需要通過路由器或者三層交換機等三層設備。

（三）靈活構建虛擬工作組

用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網絡構建和維護更方便靈活。

二、創建及配置VLAN

VLAN實現通常是以端口為中心的，與節點相連的端口將確定它所留的VLAN。將端口分配給VLAN的方法有兩種：靜態的和動態的。形成靜態VLAN的過程是將端口強制性地分配給VLAN的地程。即先在VTP服務器上建立VLAN，然后將每個端口分配給相應的VLAN的過程。這是創建VLAN是常用的方法。動態VLAN的形成很簡單，由端口決定自己屬于哪個VLAN。即先建立一個VMPS VLAN管理策略服務器，里面包含一個文本文件，文件中存有與VLAN映射的MAC地址表。交換機根據這個映射表決定將端口分配給何種VLAN。這種方法有很大的優勢，但是創建數據庫是一項非常艱苦而且非常繁瑣的工作。

下面以實例說明如何在一個典型的快速以太局域網中實現VLAN。所謂典型的局域網就是指由一臺具備三層交換功能核心交換機接幾臺分支交換機。我們假設核心交換機的名稱為SW；分支交換機S1、S2，分別通過吉比特光纖端口g0/1與核心交換機相連，并且假設VLAN名稱分別為COUNTER、MARKET。

三、設置VTP DOMAIN管理域

交換VTP更新信息的所有交換機必須配置為相同的管理域。如果所有的交換機都以中繼線相連，那么只要在核心交換上設置一個管理域，網絡上的所有的交換機都加該域，這樣管理域里所有的交換機就能夠了解彼此的VLAN列表。

在核心交換機上配置：

SW#vlan database SW（VLAN）# vtp domain SW SW（VLAN）#vtp server

在分支交換機上分別配置：

S1#vlan database S1（VLAN）#vtp domain SW S1（VLAN）#vtp client

S2交換機的配置同上

四、配置中繼

配置中繼是為了保證管理域能夠覆蓋所有的分支交換機，因此必須配置中繼。

在核心交換機上配置如下：

SW（config）#int rang g2/1- 2 SW（config-if）#switchport

SW（config-if）# switchport trunk encapsulation is1

SW（config-if）# switchport mode trunk

在分支換機配置如下：

S1（config）#int g0/1 S1（config-if）#switchport mode trunk

S2（config）#int g0/1 S2（config-if）#switchport mode trunk

五、創建VLAN

我們一旦建立了管理域，就可以創建VLAN了。

SW（VLAN）#vlan 10 name counter SW（VLAN）#vlan 11 name market

六、將交換機端口劃分到VLAN中

S1（config）#int f0/1 S1（config-if）#switchport access vlan 10

S1（config）#int f0/2 S1（config-if）#switchport access vlan 11

交換機S2的配置同S1

七、配置三層交換

VLAN已經基本劃分完畢，但是，VLAN間如何實現三層交換呢，這時就要給各VLAN分配網絡IP地址了。給VLAN分配靜態的IP地址，首先在核心交換機上分別設置各VLAN的接口IP地址。

SW（config）#int vlan 10 SW（config-if）#ip address 172.16.58.1 255.255.255.0

SW（config）#int vlan 11 SW（config-if）#ip address 172.16.59.1 255.255.255.0

再在各接入VLAN的計算機上設置與所屬VLAN的網絡地址一致的IP地址，并且把默認網關設置為該VLAN的接口地址。這樣所有的VLAN也可以互訪了。

我們采用VLAN技術來構建網絡，可以把一個本地網絡根據業務的需要來進行邏輯上的劃分，靈活多變的VLAN劃分方式可以保證網絡不受地理位置的影響來進行劃分，可以把原來本地網絡內部的廣播域分割成多個不同的小的廣播域，避免網絡內部廣播風暴的出現?？梢詫⒁恍┚W絡故障限制在一個VLAN之內，增強了網絡的健壯性。這使得VLAN技術在新一代的網絡構建中占有重要的地位。

作者：高躍

VLAN技術網絡安全論文 篇3：

基于VLAN聚合技術的以太網設計

摘要：在局域網的搭建中，通常要劃分多個VLAN。傳統上要為每個VLAN分配單獨的IP網段，每個網段擁有獨立的網絡地址、廣播地址和網關地址，有大量的IP地址浪費?；贗P地址節約的原則，采用典型以太網拓撲，對VLAN聚合技術進行了探討。VLAN聚合技術可以通過Super-VLAN將多個Sub-VLAN進行聚合，使多個VLAN能夠共享同一個邏輯IP網段，有效地實現了以太網中IP地址的節約。

關鍵詞：VLAN；以太網；IP地址；端口；通信

0引言

在傳統的以太網設計中，VLAN與子網是完全對應的。每一個VLAN都是一個獨立的廣播域，需要為其分配一個單獨的IP地址子網網段[1]。當網絡中VLAN的數量較多時，就需要為其劃分出大量的子網網段。雖然可以利用可變長子網掩碼（Variable-Length Subnet Masks，VLSM）技術來實現IP地址的節約，但每劃分出一個子網，就需要占用至少3個IP地址分別作為網絡地址、廣播地址和網關地址，在一定程度上依然會造成IP地址的浪費[2]。另外，出于節約IP地址的目的，為各個VLAN劃分的子網網段一般不會有太多的冗余IP地址，這也導致了VLAN的可擴展性不高。要從根本上解決該問題，就需要打破VLAN與子網之間的關聯，在保持VLAN作為獨立的廣播域的同時，不再與邏輯IP子網進行對應，所用到的技術即VLAN聚合（VLAN Aggregation）技術[3]。

1 VLAN聚合

VALN聚合技術，通常也稱為超級（Super）VLAN，是指在一個父VLAN下包括多個子VLAN，并允許多個VLAN使用同一個邏輯網段的IP地址[4]。為實現該功能，在VLAN聚合中，將VLAN劃分成了2種不同的類型，分別如下：

（1）Super-VLAN

即“父VLAN”，只能在3層交換機上創建。Super-VLAN不包含任何物理端口，主要作用是關聯Sub-VLAN并進行邏輯聚合，提供相應的3層虛接口地址作為它所聚合的Sub-VLAN中主機的網關地址。

（2）Sub-VLAN

即“子VLAN”，可以在2層或3層交換機上創建。Sub-VLAN負責交換機物理端口的接入，但不能創建相應的3層虛接口。多個Sub-VLAN被關聯到同一個Super-VLAN中，并共用Super-VLAN的3層虛接口的地址作為網關地址，即多個Sub-VLAN中的主機實際上使用同一個邏輯網段的IP地址。需要注意的是，關聯在同一個Super-VLAN中的多個Sub-VLAN彼此之間依然處于2層隔離狀態，無法進行直接通信[5]。

2 VLAN聚合技術實現

典型的局域網匯聚層交換機與接入層交換機連接拓撲如圖1所示。假設該網段能擁有192.168.1.0/24的網絡地址，交換機SW1和SW2上分別配置VLAN10和VLAN20，這2個VLAN作為Sub-VLAN，所有主機均使用網段192.168.1.0/24中的IP地址，交換機CoreSwitch上的VLAN100作為Super-VLAN，為其聚合的Sub-VLAN提供網關。

通過對比可以發現，使用VLAN聚合技術，該網段主機可用IP地址為192.168.1.1～192.168.1.253，共253個。而傳統VLAN技術中，主機可用IP地址為192.168.1.1～192.168.1.125，192.168.1.129～192.168.1.253，共250個。在實際的網絡規劃中，VLAN數目是比較多的。VLAN數目越多，VLAN聚合技術在IP地址節約和VLAN可擴展性方面的優勢就越突出。

4結束語

VLAN聚合技術通過Super-VLAN為多個Sub-VLAN配置使用同一個邏輯網段的IP地址，打破了傳統上VLAN與邏輯IP網段之間的關聯，有效地實現了IP地址的節約，同時也提高了VLAN的可擴展性。

參考文獻

[1]華為技術有限公司.HCNP路由交換學習指南[M].北京：人民郵電出版社，2017.

[2]秦文江，胡闊見.雙線路下網絡架構設計與應用[J].計算機與網絡，2018，44（16）：63-65.

[3]華為技術有限公司.HCNP路由交換實驗指南[M].北京：人民郵電出版社，2017.

[4]王光輝.基于三層交換的兩種VLAN間通信的設計與實現[J].信息通信，2019（8）：106-108.

[5]李景宇，劉曉華，謝旭生.三層交換機中VLAN技術的運用實踐探究[J].網絡安全技術與應用，2019（4）：13-14.

[6]田庚林，張少芳，田華，等.小型網絡組網技術[M].北京：清華大學出版社，2018.

作者：趙艷春 張少芳 殷建剛