浅析校园的安全管理

摘要：随着网络的不断扩展，校园网络覆盖以及网络接入方式逐渐增多，通过对VLAN技术的构建、特点，以及安全隐患和安全问题的解决措施介绍，结合校园网的现状进行分析，对校园VLAN的应用进行探讨。

关键词：VLAN技术；校园网；安全隐患；安全措施

中图分类号：G434 文献标识码：A文章编号：1007-9599(2012)01-0000-02

Safety Management of Of Campus VLAN

Qiu Jin

(Guangzhou Traffic and Transportation Vocational School,Guangzhou510440,China)

Abstract:With the ever-expanding network,campus network coverage and network access methods gradually increased,by VLAN technology,features, and safety hazards and security problems solutions,the combination of the campus network to analyze the situation on campus VLAN application.

Keywords:VLAN technology;Campus network;Security risks;Safety measures

一、VLAN技术

VLAN（Virtual Local Area Network）又称虚拟局域网，是一种比较前沿的技术，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络，是在局域网的基础之上建立的。一个VLAN是一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN工作在OSI参考模型的第2层和第3层，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，这项技术是交换技术的重要组成部分，也是交换机技术的重要进步之一。VLAN是建立在物理网络基础上的一种逻辑子网，当网络中的不同VLAN间进行相互通信时，这时就需要增加路由设备――要实现路由功能，既可采用路由器，也可采用三层交换机来完成。

二、VLAN技术在校园网中的优势

（一）防范广播风暴

广播风暴多是出现在以hub连接的容易产生环形局域网中，限制网络上的广播，局域网的整个网络是广播域，VLAN可以提供建立防火墙的机制，分段为防止广播风暴波及整个网络，将校园网络划分为多个VLAN可减少参与广播风暴的设备数量。使用VLAN，可防止交换网络的过量广播。可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，提高了带宽的利用率，减少广播的产生。

（二）增强局域网安全性

VLAN技术可以把通信频繁的用户或含有敏感数据的用户组可与网络的其余部分隔离或划分到一个VLAN中，组内传输从而减轻广播包被截而引起的信息泄露的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。校园网中各个部门要求的安全级别不同，可以利用VLAN技术把部门分到不同的工作组中，达到限制用户访问的目的。

（三）组网成本降低

成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。在许多情况下，安装一个VLAN要比有线网络便宜，更别是在不同大楼内的计算机联网时，楼宇间的同轴电缆价格昂贵，有时还受施工方面的限制，而VLAN可以提供一个简单的解决方案。从长远考虑，有线设备线路由于受外面环境的影响常易导致金属接头生锈、渗水或者接触不良等人为因素，而VLAN则不会受这些方面的影响，可以节省大量的管理费用。

（四）提高网络设计的灵活性

随着教职员工的移动办公设备越来越多，对移动办公环境的要求也越来越高，VLAN最大的优点就是灵活，VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。用户可以随时移动而同时与网络保持联接，最大传输范围可达到数十千米。用户移动网络范围，不需要重新进行布线和调试，只需网络管理员重新分配端口到该VLAN就可以了。同时，借助VLAN技术，也可以将不同物理位置的用户划分到同一个局域网中，不受地理位置的限制。

三、校园VLAN的安全隐患

（一）拒绝服务攻击

校园VLAN拒绝服务攻击是一种特殊的拒绝服务器攻击，即攻击者想办法让目标机器停止提供服务，或者通过发送与VLAN相同频率的干扰信号来干扰网络的正常运行，是黑客常用的攻击手段之。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，使其能源耗尽而不能继续工作，不接收新的请求，通常也称为能源消耗攻击；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

（二）MAC地址欺骗

如图所示，两个用户PcA和PcB分别连接Cisco2912的portA和portB两个端口。

假如PcA的MAC的地址是00.00.AA.AA.AA.AA

PcB的MAC 的地址是 00.00.BB.BB.BB.BB

在正常的情况下，Cisco2912里会保存如下的一对映射关系：

(00.00.AA.AA.AA.AA)portA

(00.00.BB.BB.BB.BB)portB

(00.00.CC.CC.CC.CC)连接portC

依据这个映射关系，Cisco2912把从PortC上收到的信号通过PortA发送给PcA，而不会从PortB发出。但是如果我们通过某种手段使交换机改变了这个映射关系，则Cisco2912 就会将数据包转发到不应该去的端口，导致用户无法正常访问Internet等服务。显然，如果PcB ―直在发这种特意构造的包。用户PcA就无法通过Cisco2912正常访问Internet。更为严重的是，如果用户PcB构造portC上联设备（如路由器）的MAC地址（00.00.CC.CC.CC.CC)，则会导致Cisco 2912下面所有的用户无法正常访问Internet等业务。

（三）网络窃听

大多数网络通信都是以明文（非加密）格式出现的，网络窃听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据，这是黑客使用最好的方法。但是网络窃听只能应用于连接同一网段的主机，通常被用来获取用户密码等，这种威胁已成为VLAN面临的最大问题之一。

四、校园VLAN的安全措施

（一）掌控信号覆盖范围。部署了无线网络之后，应该用可移动的无线设备彻底的勘测信号覆盖情况，如果信号的覆盖超过了校园的物理范围，就必须做出相应的处理，比如移动AP的位置，也可以像SS所做的那样，以带有屏蔽效果的材质“装饰”他们的外墙。另外要特别注意一点，随着信号区域内物体的移动，信号覆盖范围可能会发生变动，在标记范围的时候最好为那些可能对信号产生较大影响的物体做特别的标注。

（二）禁用DHCP。动态主机设置协议DHCP（Dynamic Host Configure Protocol）是一个局域网的网络协议，DHCP指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。DHCP功能可在无线局域网内自动为每台电脑分配IP地址，不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数，如果启用了DHCP功能，那么别人就很容易地使用你的无线网络。因此，禁用DHCP功能对无线网而言很有必要，这样黑客在进行功击时不得不破译用户的IP地址、子网掩码及其它所需的TCP/IP参数。

（三）采用WPA安全加密和VPN技术。WPA全名为Wi―Fi Protected Access，有WPA和WPA2两个标准，是一种保护无线电线电脑网络（Wi―Fi）安全的系统，例如现在网络上热议的卡皇蹭网卡，一般只能破解WEP加密，对于WPA加密则无计可施。VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。VPN技术通过三级安全保障来确定权限，包括用户认证、加密和数据认证。VPN技术保证传输的信号被窃取后，没有充足的时间和精力是很难将信息解密，通过这两种安全技术能为VLAN的安全加上双保险。

（四）MAC地址过滤。MAC地址是一部联网设备身份编号，每个无线客户端都有唯一的一个物理地址，是全世界唯一的，通过MAC地址过滤，实现物理地址过滤可以阻止未经授权的无线客户端访问AP及进入内网，若不知道内网中其它客户端的地址，为方便起见，也可以直接在无线路由器的DHCP列表里查看所有从DHCP获取IP的主机MAC地址，MAC地址过滤，出现在MAC地址过滤列表里的网卡才被允许连接该无线路由器。未被授权的客户端，无论是通过有线还是无线的方式，都将无法访问无线路由器这种安全防御确实可以阻止一部分恶意的攻击行为。

结束语：随着校园网络规模不断扩大和发展，在VLAN校园网的发展中，安全问题是迫切需要解决的。这样不仅满足和提高了广大师生对网络交流和信息校园建设的需求，也加快了校园信息化建设步伐。

参考文献：

[1]陈小勇.无线局域网技术在校园网中的应用及安全策略研究.科技信息,2011,5

[2]杨芳,孙鲁宁.WLAN在校园网中的应用.长春理工大学学报,2011,3

[3]寸江涛.VLAN技术在校园网中的应用――以保山师专为例.保山师专学报,2009,3

[作者简介]

丘瑾，广州市交通运输职业学校，讲师