基于VLAN和三层交换的企业网络安全策略研究

摘要

随着企业信息化水平的提高，企业信息系统网络规模在不断扩大，随之而来的网络安全、网络流量、网络通信速度、网络维护工作量等问题明显增加。究其原因，是由于各企业的信息网络普遍使用二层交换技术的网络架构造成的。二层交换技术架构网络的主要弱点是：在局域网内不能划分VLAN，网络物理链路存在安全漏洞，同一个网段内的工作站过多会引起广播风暴，甚至导致网络瘫痪，不能有效地解决各种网络互连、安全控制等问题。三层交换技术的出现主要是为了解决规模较大的网络中的广播问题，通过VLAN把一个大的交换网络划分为多个较小的广播域，各个VLAN之间再采用三层交换技术互通。企业信息网络采用三层交换技术，可以确保计算机网络更加合理、安全、有效。 对于企业网络安全而言，主要通过采用网络物理链路安全和访问控制两个方面的安全策略来实现企业网络安全，而采用三层交换技术的网络架构，很大程度上避免了二层交换技术的缺陷，能够较好地实现此类安全策略目标。随着网络规模的升级，信息流量逐渐加大，人员管理变得日益复杂，给企业网的安全、稳定和高效运行带来新的隐患，如何消除这些隐患呢?在VLAN问采用访问控制策略，能够加强网络的整体安全。在核心层和汇接层交换机的接口上建立访问控制列表来实现VLAN之间的访问控制，决定哪些用户数据流可以在VLAN之间进行交换，以及最终到达核心层。 论文简要介绍了VLAN技术在当前企业中的应用状况，实施VLAN的必要性及存在的问题，依据IEEE802.1Q标准和CISCO公司的VLAN协议阐述了VLAN的工作机制。论文中讨论了VLAN之间的两种通信方式：(1)通过路由器实现VLAN间的通信；(2)通过三层交换机实现VLAN问的通信。 论文对某石化企业网络安全性进行了分析，针对企业网络的实际情况，基于vLAN和三层交换技术安全策略，提出了解决方案，并且在企业网络安全项目中进行了具体实施，解决了企业局域网安全方面的主要问题，达到项目预期目标。

目录

文摘

英文文摘

声明

第一章引言

1.1传统交换和路由存在的问题

1.1.1交换技术如何转发数据

1.1.2路由器转发数据与交换机的不同

1.1.3路由器的缺陷

1.1.4交换机结合路由器的问题

1.2第三层交换技术产生的背景及其解决的问题

1.3第二层和第三层交换技术比较

1.3.1传统的第二层交换技术

1.3.2具有路由功能的第三层交换技术

1.4研究的意义

1.5论文的组织安排

第二章VLAN工作原理

2.1 VLAN的划分

2.1.1根据端口划分VLAN

2.1.2根据MAC地址划分VLAN

2.1.3基于第三层的VLAN

2.1.4根据IP组播划分VLAN

2.2传达虚拟局域网成员信息

2.2.1通过发信号作表维护

2.2.2帧标记

2.2.3 TDM

2.3 VLAN的帧标记

2.3.1 VLAN帧标识方法

2.3.2 IEEE 802.1Q帧标识

2.3.3 ISL帧标识

2.4虚拟局域网的标准

2.4.1 802.10《虚拟局域网标准》

2.4.2 802.1因特网工作分会

2.5动态VLAN管理协议

2.5.1通用属性注册协议GARP

2.5.2动态VLAN注册协议GVRP

2.5.3 VLAN干道协议VTP

第三章第三层交换实现VLAN之间的通信

3.1路由器实现VLAN间通信

3.2路由器的局限性

3.2.1 80/20规则对传统路由器的影响

3.2.2采用路由器作为局域网核心所产生的问题

3.3三层交换的概念

3.3.1三层交换原理解析

3.3.2三层交换的实现方法

3.4三层交换机

3.4.1什么是三层交换机

3.4.2三层交换机种类

3.5多层交换

第四章某石化企业网络安全需求分析

4.1网络安全体系结构

4.2某石化企业原有计算机网络的安全评估

4.2.1某石化企业原有计算机网络的拓扑结构

4.2.2某石化企业原有计算机网络的基本情况

4.2.3存在的网络安全问题

4.2.4网络安全策略

第五章基于VLAN和三层交换的企业网络安全策略实现

5.1网络安全优化项目

5.2网络三层结构设计

5.3基于VLAN和三层交换的网络安全架构

5.3.1网络三层架构

5.3.2 VLAN划分

5.3.3 VLAN之间的访问控制

5.4网络设备关键配置ISO命令实例

5.5对应用情况的总结

5.5.1用户访问控制和文件保密方面应用

5.5.2防病毒方面应用

5.5.3性能分析

5.5.3应用效果总结

总结

致谢

参考文献

攻读学位期间主要的研究成果