����。ê鲜≡狸柺须姌I局信息中心 湖南 岳陽 414000)
摘要: 公司信息網絡采用三層交換技術的網絡架構, 很大程度上避免了二層交換技術的缺陷����。在VLAN 間采用訪問控制策略,能夠加強網絡的整體安全�。在核心層和匯接層交換機的接口上建立訪問控制列表來實現VLAN 之間的訪問控制, 決定哪些用戶數據流可以在VLAN 之間進行交換, 以及最終到達核心層�。
關鍵詞:三層交換����;VLAN���;網絡安全
1 第三層交換實現VLAN之間的通信
1.1 路由器實現VLAN 間通信
VLAN 本質上是交換式的,VLAN 技術將一個物理的網絡在邏輯上劃分成若干個子網,每個子網都擁有自己的獨立的廣播區����。一個V L A N 內部的廣播和單播流量都不會轉發到其他VLAN 中, 從而有助于控制流量, 提高網絡的安全性����。劃分VLAN 雖然可以解決廣播控制問題, 但無法實現各子網間的正常通信,VLAN 之間的通信必須要通過第三層設備,我們可以添加一個“邊界路由器”來解決問題,當使用一臺外部路由器時, 會出現V L A N 間路由選擇的一個問題:外部路由器一個物理接口傳統上只支持一個子網或廣播域�����。當使用傳統技術時,路由器要為其負責路由選擇的交換機上的每個VLAN 單獨建立一條物理連接����。
1.2 三層交換的概念
三層交換(也稱多層交換技術,或IP 交換技術)是相對于傳統交換概念而提出的��。眾所周知,傳統的交換技術是在OSI 網絡標準模型中的第二層一一數據鏈路層進行操作的,而三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發��。
2 基于VLAN 和三層交換的網絡安全框架的構建
2.1 網絡三層架構
為減少網絡中各部分的相關性,便于網絡的實施及管理,在網絡的構建中,從整體上可以將網絡劃分為核心層���、匯聚層��、接入層等三
個層次�����。核心層是企業網的主干,負責完成各匯聚節點之間的互聯及完成高效的數據傳輸����、交換��、轉發及路由分發�。其主要功能如下:(1)
提供網內部各交換區塊間的連接;(2)提供到廣域網的訪問;(3)盡可能快地交換數據包;匯聚層是網絡核心層和接入層之間的分界點,負責將各種接入業務集中起來,除了進行局部數據的交換���、轉發以外,通過高速接口將數據輸送到核心層去,在更大的范圍內進行數據的路由以及處理�����。其主要功能如下:(1)部門或工作組接入;(2)VLAN 聚合;(3)VLAN 間路由;(4)安全性控制;匯聚層的主要任務是將接入層的大量工作組交換機���、桌面交換機和無線局域網的頭端匯聚在一起,通過多條千兆鏈路上聯到網絡中心,使網絡中心所需的千兆以太網下連端口減少,從而降低網絡建設的成本���。
2.2 VLAN 劃分
在安全控制方面,采用虛擬局域網(VLAN)來控制廣播域和網段流量,提高網絡性能���、安全性和可管理性�����。比如員工常常通過網絡聯機
游戲,有時游戲產生的網絡流量嚴重沖擊了骨干網絡的整體性能����。在使用VLAN 時,各端口不可以互通,僅可通過擴展模塊上聯端口或其
他上聯端口可訪問互聯網或社區服務器���。若用戶希望端口之間通信,則借助三層交換機或路由器進行路由轉發����。
2.3 VLAN 之間的訪問控制
三層交換機設置了VLANN 路由接口后,默認情況下, 任何兩個V L A N 之間都可以進行通信, 實現資源共享�。隨著網絡規模的升級,信息流量逐漸加大,人員管理變得日益復雜, 給企業網的安全����、穩定和高效運行帶來新的隱患, 如何消除這些隱患呢? 在VLAN 間采用訪問控制策略, 能夠加強網絡的整體安全�。在核心層和匯接層交換機的接口上建立訪問控制列表來實現VLAN 之間的訪問控制,決定哪些用戶數據流可以在VLAN 之間進行交換, 以及最終到達核心層�����。訪問控制列表ACL 由基于一套測試標準的一系列許可和拒絕語句組成����。其處理過程是自上向下的, 一旦找到了匹配語句, 就不再繼續處理���。在訪
問控制列表末尾設置一條隱含拒絕語句,若在訪問控制列表中沒有發現匹配,則最終與隱含拒絕語句相匹配�。有兩種類型的訪問控制列
表:(1)IP訪問控制列表:IP訪問控制列表實現第三層的訪問控制,對于需要進行三層轉發的報文,可以先獲取報頭信息,包括IP 層所承載
的上層協議的協議號,數據包的源地址,目的地址,源端口和目的端口,然后和設定的訪問規則進行比較, 從而決定數據包的轉發或丟棄��。I P 訪問控制列表又分為標準型和擴展型����。IP 標準訪問控制列表的編號是從1 到99,其測試條件只是基于源地址;擴展訪問控制列表的編號是從100 到199,其測試條件包含協議類型,源地址,目的地址����、應用端口和會話層信息,擴展訪問控制列表對基于應用的數據包具有更大程度的控制能力(2)L2訪問控制列表:L2 訪問控制列表可以實現第二層訪問控制,對于直接在第二層(鏈路層)交換的數據幀,可以根據幀頭信息設置具體的過濾規則��。二層報文常用的過濾屬性有: ①源/ 目的M A C地址②輸入/ 輸出端口③以太網封裝類型④以太幀所承載的協議⑤ VLAN 標識符��。
2.4 性能分析
三層交換的能力是完全滿足需要的,速度與第二層數據交換幾乎沒有區別��。但當研究所等部門進入中心網絡后,第三層交換數據量可能會有較大增加,到時第三層交換能力是否足夠還無法知曉��。由于沒有合適的數學模型或試驗方法來模擬這個問題,目前還無法得到足以說明這個問題的準確數據�。盡管這個問題是否會發生還是個問題,但可以通過以下辦法解決:如果第三層交換的能力不足,可以將數據交換頻繁或交換量較大的站點調整到一個VLAN 中, 將第三層交換變為第二層交換,從而消除第三層交換的瓶頸����。并且,如果兩個部門或幾個站點間有太多的數據交換,則他們之間的安全防范的必要性自然不高(認為他們是彼此信任的),將其合并并不影響網絡的安全性管理���。因此在規劃IP地址時,盡管各部門不在一個子網內,還是將IP地址的第四段進行了分段劃分,以方便將來可能發生的調整����。
