张珏

摘要：企业内部网络的可靠与否对企业的日常运营有着很大的影响。为了保证企业内网的安全、稳定地运行，需要采用人防+技防相结合的总体策略。该文主要阐述了由Vlan、三层交换技术、ACL控制列表以及端口绑定等几种中小型局域网中常见的技术所构成的安全策略，分析了每一种技术的原理及作用，有针对性地逐步解决了企业内网中容易出现的安全问题。

关键词：Vlan；三层交换；ACL；端口绑定

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2019）10-0009-03

開放科学（资源服务）标识码（OSID）：

1 引言

随着网络的应用越来越广泛，企业的日常运营对内部网络的依赖性也越来越高，网络的安全性与稳定性也日益受到企业的重视。一个没有安全措施防护的企业内部网络，很容易产生病毒蔓延、广播风暴等严重的网络问题，对网络安全造成了严重的威胁，极大地影响了网络的日常使用，甚至会使企业的机密信息外泄。一般来说，企业内网的安全威胁具体体现在以下几个方面：滥用网络资源，降低了员工日常工作效率；内部非法外联，给外部入侵打开了方便之门；重要信息外泄，给企业造成了无可挽回的损失；网络经常瘫痪，影响网络的正常使用；病毒、木马横行肆虐，一旦发作，整个网络再无安全可言，即使花费巨大的代价也不能完全消除这种隐患。

要使企业内部网络一直能处于安全、可靠、保密的环境下运行，需要哪些具体的措施呢？这是网络管理中经常思考的问题。经调查分析，要保证网络安全可靠，对网络管理的要求可简单地概括为以下几点：

? 能迅速控制网络内病毒的扩散与蔓延，将影响限制在尽可能小的范围。

? 能及时控制广播风暴的形成，防止网络堵塞甚至瘫痪。

? 能禁止外来人员自带设备随意接入企业内网，杜绝病毒等安全隐患。

? 能有效地控制对关键部门的访问，防止重要数据信息外泄。

要达到以上网络管理目的，需采用人防+技防相结合的方法。也就是说除了制定严格的网络使用规范和惩处制度外，还需要在企业内网中应用由相应的技术所构成安全策略：

（1）使用Vlan划分相互隔离的子网，缩小广播域的范围，防止广播风暴在全网的形成。

（2）使用三层交换技术有控制实现Vlan间的数据交换，禁止随意的访问。

（3）使用防火墙+ACL实现数据包的过滤，控制对关键部门、关键数据的访问。

（4）使用端口安全及访问管理技术实现将交换机端口与下联主机的MAC地址及IP地址的绑定，可以有效地控制随意地接入。

2 Vlan及三层交换技术

2.1 二层交换的技术缺陷

OSI七层标准网络模型从下至上共分七层，二层交换技术就是基于数据链路层的相关协议来完成数据交换操作的。MAC地址是二层交换技术中数据帧转发的依据，所谓MAC地址就是硬件的物理地址，因此二层交换实际上靠硬件来实现数据交换的。与基于软件的数据交换相比，二层交换的最大优点是速度快，但其也存在着较大的缺点，即其广播域太大容易引起广播风暴，从而可能导致整个网络阻塞而瘫痪；同时二层交换只能把交换范围局限于同一个网络，无法实现不同IP子网间的数据交换，对网络的安全控制能力也较弱。

早期大部分的企业内部信息网络都是在采用二层交换技术为架构的局域网基础之上建立起来的，所采用的组网设备主要包括Hub、网桥或二层交换机等，网络中的所有节点可以没有任何限制的直接通信。当网络规模较小时，网络的性能也许还能满足企业业务处理的需求，但一旦网络的规模随着企业本身的需求而扩大到一定规模时，网络的整体性能也随之会明显下降，特别是大量无效广播包的存在始终是二层交换网络中无法回避的问题。

2.2 Vlan的概念及作用

VLAN（Virtual Local Area Network）是虚拟局域网的英文简称，是一种实现虚拟工作组的网络技术，它是通过将局域网内的设备从逻辑的角度划分在不同的网络分段内、不依靠设备的物理位置实现隔离或分组。不同VLAN内的数据在没有三层路由的支持下是不能直接通信的，一定程度上实现了虚网之间的隔离。这不仅有效地防止来自外部的非法入侵，提高了网络安全性，同时也缩小了广播域，将广播风暴控制在一个VLAN内，大大地改善了网络性能，最终使网络的管理也趋于简单和直接。

由于VLAN可以跨不同的交换机实现，某个网络用户根据自己的业务需求、不受物理位置的限制而自由地移动。只要不改变所属的VLAN，就意味着原来的应用环境没有变化，该用户也不需要做出相应的变化来适应环境，因此VLAN也可以增强网络应用的灵活性。

2.3 三层交换技术

OSI网络模型的第三层即网络层，也称IP层，因此三层交换技术，也称IP交换技术。三层交换技术的最大优势是基于二层交换技术基础上借助路由技术实现网络分组的高速转发，因此三层交换技术可以简单地概括为“二层交换技术+路由”。三层交换技术的出现既解决了二层交换技术中不能跨子网或VLAN转发数据的缺点，又解决了传统路由器转发效率低而造成的网络瓶颈问题。

1999年，IEEE颁布了用以实现标准化VLAN方案的802.1q协议草案，在该协议中规定不同VLAN间的通信需要通过基于第三层的交换技术来实现。因此结合第三层交换技术与VLAN技术的优点，可以搭建既安全可靠，又简单有效，同时也能灵活应用的企业内部网络。

2.4 层次化的三层网络架构

为了使得网络便于实施和有效管理，一般在网络组建时采用层次化模型设计，常见的模型就是将网络分成核心层、汇聚层和接入层的三层网络架构。在这种层次化的架构模型中，每一层只注重于实现特定的功能，使得网络的每个部分有明确的分工而便于管理。

（1）核心层

该层是网络实现高速交换的关键主干，主要负责完成各汇聚层之间的互联，同时最重要的是能高效地实现相互之间数据传输及交换。该层不仅用于内部网络高速互联与交换，也提供对外部网络（主要是Internet）的访问与连接。核心层所使用的交换机应当全部采用模块化结构，具有强大的网络扩展能力和强大的吞吐量。

（2）汇聚层

该层起到承上启下的作用，是网络接入层和核心层的分界点，负责将各种接入业务集中在一起与核心层相连。除了为接入层提供数据的汇聚外，还能进行局部的数据交换及转发，也能为接入层提供基于策略的连接、VLAN的划分与内网的隔离，并限制对核心层的随意访问，保证核心层的安全与稳定。汇聚层所使用的交换机需提供到核心层的上行链路，与接入层交换机相比，需要更高的性能，更少的接口和更高的交换速率。

（3）接入层

该层提供了网络最终用户被许可接入的点位，直接面向用户的访问，也是企业网络业务实现的节点，因此该层也被称为业务层。该层的主要功能是完成用户流量的接入和隔离，并通过访问控制技术（ACL）提供对用户流量的有效控制，从源头上防止无效的访问和非法的访问，从而减轻整个网络的负担。在该层的实现上可以选择不支持VLAN和三层交换技术的普通交换机。

3 利用ACL实现Vlan间的访问控制

3.1 Vlan 划分

基于二层交换技术的网络架构存在着致命的弱点，无法解决广播域过大而引起的广播风暴问题，网络中安全控制也无法有效地解决。通过Vlan把一个大的交换网络划分为多个较小的广播域；同一个Vlan内的设备才能交换数据，不同的Vlan之间不能直接相互访问；各Vlan之间通过三层交换技术互通是目前普遍采用的方法，可以使整个网络更加合理、安全与稳定。

Vlan的划分本质上就是根据用户需要进行网络分段，可以采用以下几种方法：

（1）基于端口的划分：这是一种最常用的划分方法，把一个或多个交换机上的几个端口划分在一个Vlan内。

（2）基于MAC地址的划分：根据每个主机网卡的MAC地址來划分，通过检查并记录端口所连接的网卡的MAC地址来决定端口所属的VALN。

（3）基于IP地址的划分：根据每个主机的网络层地址划分，将任何属于同一个IP广播组的主机认为属于同一VLAN。

（4）基于网络层协议的划分：根据每个主机所使用协议类型，可以划分为IP/IPX/DECnet/AppleTalk/Banyan等VLAN网络。

每一种Vlan划分的方法都有其优点和缺点，用户可根据实际情况选择合适的划分方法。

3.2 Vlan间访问控制的必要性

Vlan的其中一个重要作用就是用来隔离网络，提高安全性。但是当在三层交换机配置各Vlan的路由虚拟接口（SVI）后，默认情况下，各个Vlan之间就可以进行相互访问了。随着网络规模的逐步扩大，假如不采用相应的措施来限制这种随意访问的话，那么在访问上与二层交换网络并无二致，给企业内网的安全、高效与稳定带来新的隐患。因此就必须在Vlan间采用访问控制策略，才能加强网络的整体安全性，消除这种新的隐患。

通过在核心层或汇聚层交换机的相应接口上建立访问控制列表（ACL）并利用三层交换机的防火墙技术来实现Vlan间的访问控制策略，有选择性地确定哪些用户的哪些流量可以在哪些VLAN间进行交换，并决定最终到达核心层的流量类型（由流量的来源、去向、上层协议类型及端口号确定）。这种访问控制不仅可以根据数据流量的类型，还可以规定具体的访问时间，从而进一步加强网络的整体安全性和控制的有效性。

3.3 访问控制列表ACL

访问控制列表ACL是一个有序的语句集，包含了一系列许可语句和拒绝语句。ACL使用数据包过滤技术，通过自上而下逐条匹配报文中相关参数信息，从而允许报文或拒绝报文通过某个特定接口，并且采用一旦匹配成功就结束的原则；若无匹配语句，则采用隐含规则。

ACL控制列表可以概括为下面三个作用：

? 安全控制：非特权用户只能访问特定的网络资源。

? 流量过滤：只在特定的时间内通过感兴趣流。

? 数据流量标识：标识相关的流量以便做特殊处理。

访问控制列表ACL有以下两种类型：

（1）基于IP的访问控制（IP规则）

这种类型的访问控制基于第三层而实现，对于需要转发的数据包，可以先获取协议号、数据的源IP、目的IP、源端口和目的端口等报头信息，并与列表中设定的访问规则相比较，从而决定是否允许数据通过。基于IP的访问控制又可分为标准型（只根据目的IP地址）和扩展型（根据所有可能的报头信息）两种。

（2）L2访问控制（MAC规则）

L2访问控制列表也称第二层访问控制，对于通过第二层交换而实现转发的数据帧，可以根据帧头信息设置具体的过滤和转发规则。二层报文常用的过滤属性有：源/目的MAC地址、I/O端口、以太网封装类型、以太网所承载的协议和Vlan标识符。

在实际应用中，可以将两种类型的ACL结合起来（MAC-IP规则）以实现更严格和精确的访问控制。

4 端口绑定技术的应用

端口绑定技术的应用也是安全策略中的非常重要一环，可分为端口安全（Port Security）和访问管理AM（Access Management）两种技术。

端口安全可实现将端口与一个或多个MAC地址的绑定，并可以设定违例处理。由于MAC地址绑定的安全性能，所以被大多数的终端用户所运用，以防止网络非法用户从非法途径进入网络，盗用网络资源。

访问管理AM可以事先绑定下联主机的IP地址池或硬件（MAC）地址池，通过扫描所收到下联主机的数据报文中的地址信息（源IP 地址或者源IP+源MAC），然后与所绑定的地址池相比较，如果匹配成功则转发，否则丢弃。通过AM功能就可以实现控制特定用户接入，从而严格、有效地管理内部用户的访问，在实现机制上可以有多种方式，主要有端口+IP、端口+IP+MAC 绑定。

5 结语

为保证一个企业内网安全、稳定地运行，上述几种常见的技术是远远不够的，还要在保证网络设备的物理安全基础之上，通过相关的网络管理软件对网络做实时监控，并做到安装最新的防病毒软件、及时安装系统补丁、做好系统数据备份、记录详细操作日志等日常工作，甚至有可能的话还要对保存的关键数据作加密处理。只有更全面、细致的安全策略才能保证网络更可靠地运行，才能更好地发挥网络在企业日常运营中的作用。

参考文献：

[1] 卓晓瑜.浅谈VLAN技术在提高企业局域网内安全性中的应用[J].信息通信，2018（09）：153-154.

[2] 陶沁.VLAN技术在企业网络管理中的应用[J].电子技术与软件工程，2018（08）：13.

[3] 陶峥.浅谈VLAN技术研究及其在网络管理中的应用[J].中国新通信，2018，20（07）：94.

[4] 甘丽，胡昊.中小企业内网安全管理的研究与实现[J].计算机技术与发展，2013（8）.

[5] 洪学银，李亚娟.中小企业网络构建[M].北京：清华大学出版社，2008.

【通联编辑：代影】