用Vlan提高校园网网络安全

摘 要：校园网作为学校网络信息基础，承担着学校教学，科研和管理许对外交流等多种角色，是学校开展的各项工作不可缺少的资源。要建立一个有效的网络安全保护机制，是校园网络信息安全的重要环节。相对可靠的校园网络安全体系建设，结合vlan（虚拟网）技术在网络安全中的应用，根据校园网的业务应用，规划和实施不同的策略的虚拟网络，以提高校园网络管理的灵活性和安全性。

关键词：校园网 网络安全 虚拟网络 VLAN

中图分类号：G64 文献标识码：A 文章编号：1674-098X（2014）02（c）-0039-02

随着校园网络规模的建设进一步加快，信息化建设在学校的校园网中起到了至关重要的作用。如果网络的安全性考虑不全面，会导致在网络通信和数据通信过程中不可避免的安全问题的。我们可以通过应用VLAN的网络技术，充分利用现有的网络带宽，提高网络的安全性，同时减少因为用户和业务的变化带来了管理的难度。

1 校园网络安全现状分析

影响校园网络安全的因素是多方面的，概括起来有以下几个方面。

1.1 物理因素

包括硬件因素、操作系统因素、网络系统的设计缺陷的因素、系统漏洞和网络软件的漏洞等。无论大型网络或LAN都不可能离开网络操作系统，如果网络操作系统安全出了问题，整个校园网络也会存在重大问题。而任何一个系统也都会有不同程度的系统洞。由于系统漏洞的存在，故因系统漏洞而出现的网络攻击和蠕虫病毒也层出不穷。同样，网络软件也不可能是一个没有缺陷的百分之百没有漏洞，这些漏洞和缺陷就是黑客攻击的首选目标。

1.2 人为因素

包括无意的失误和人为恶意的攻击，人为失误大多都是因为管理员配置不当所造成的安全漏洞，用户的安全意识不强，口令选择不慎，用户将自己的帐户转借给他人或与他人共享等，这些都会对校园网络的安全造成威胁。恶意攻击是计算机网络面临的最大威胁，主要是指网络设备和网络系统的被破坏。恶意攻击可以中断、篡改和伪造的相关信息。威胁信息的私密性，可用性和完整性。敌意的攻击和计算机犯罪属于同一类。作为校园网的结构和技术的公开性，外部用户可能利用系统和应用软件的漏洞和管理上的不慎，恶意攻击校园网络的核心设备，入侵校园网、窃取重要信息、资源的非法访问、破坏系统等。这类攻击还可以分为两类：一类是主动攻击，它用各种方法选择性地破坏信息的有效性和完整性，另一种是被动攻击，它是在没有影响网络正常工作的前提下进行拦截、窃取、破译以获得重要机密信息。计算机网络上的这两起袭击事件都可能造成很大的伤害，并导致机密数据泄漏。

1.3 垃圾电子邮件与病毒

垃圾邮件对校园网网络的破坏性非常大，它降低了校园网络的效率，损害了用户的利益，垃圾邮件也是网络病毒攻击和不良信息传播的重要途径之一。此外，一些不法分子为了自己的利益，制造病毒攻击校园网，一些不懂法的年轻人，为了显摆自己的本事，也制造病毒攻击校园网络；一些校园网用户因缺乏电脑知识。意外感染病毒，造成校园网张的堵塞。

2 虑拟网络技术（VLAN）介绍

对于VLAN目前还没有严格的定义，我们可以把VLAN比喻为一组最终用户的集合。这些用户可以在不同物理LAN上，但他们可以像在同一个LAN内一样进行自由沟通，尽管它们的物理位置不同，却不受物理位置的限制。在传统的LAN里，站点共享传输信道冲突和引起的广播风暴是影响网络性能的重要因素。在逻辑上VLAN相当于网络广播域，广播域的是基于物理网络上的区分的，网络站点被束缚在物理网中，而不是根据业务需要将网络划分为相应的逻辑子网，网络结构缺乏相应的灵活性，效率和安全性明显的缺陷。网络管理员可以根据不同的需求。通过灵活建立相应的网络软件和配置虚拟网，并为每个虚拟网配置它所需要的带宽。

2.1 虚拟网的类型

虚拟网的按分配方式可实现动态和静态分配，也可以根据地址和网络协议进行分配，主要有以下几种方法：基于端口的VLAN，基于MAC层VLAN（虚拟网）。基于协议的VLAN（虚拟网），基于网络层的VLAN（虚拟网），基于IP广播组的VLAN（虚拟网），混合的VLAN（虚拟网）和基于管理策略的VLAN（虚拟网）。

2.2 VLAN的优点

2.2.1节约成本，减少开销

虚拟网可以减少因为用户添加，删除，移动而产生的隐性成本，当计算机从一个子网传转到另一个交换机子网时可以设置子网移动组，迁移工作只在交换机进行，交换机可以自动跟踪终端的MAC地址，用户不管是用交换机的哪一个端口，都能得到最好的服务。虚拟网的应用大大改善了动态网络的集中管理能力和相应的降低成本。使用IP协议的网络。这点更为突出。

2.2.2 VLAN自动地形成广播域，减少了广播风暴

以往用户组发送广播包会占用整个网络大量的资源，使正常的数据包不能得到正常的带宽，严重影响了网络的效率。而VLAN技术，大大降低了网络带宽的占用，VLAN（虚拟网）在三层交换中使用，减少网络路由器使用，VLAN之间的通信比使用路由技术更容易实现第三层交换，这种交换技术比使用路由更简便，从而提高带宽传输效率，并能有效地避免广播风暴的产生。

2.2.3 建立虚拟工作组，实现有效管理与监控自动化

使用虚拟网的另一个目的是建立一个工作组的虚拟模型。当校园虚拟网建成后。一个部门的人员可以在虚拟工作组模式下共享一个“局域网”。因此大多数的网络流量可以被限制在VLAN（虚拟网）广播域的内部。多层次查看网络连接和虚拟物理连接，网络通信的统计数据的详细视图，根据网络VLAN（虚拟网）的身份作出管理，这对用户还是对网络管理员来说，VLAN带来了及大的的灵活性。

2.2.4 减少了路由器的使用

使用虚拟网的优势就是支持虚拟网的交换机可在没有路由器的情况下很好地控制广播流量。在VLAN中，从服务器到客户端的广播信息只会在连接本虚拟网客户机的交换机端口上被复制，而在其它的端口上，广播信息终止了。只有那些需要跨越虚拟网的数据包才会穿过路由器。在这种工作方式下，交换机事实上扮演的是路由器的角色。在虚拟网中路由器用于连接不同的VLAN.同时，还要为局域网和广域网之间的连接提供有效的广播过滤功能。