基于VLAN的档案馆新型计算机信息网络

随着档案信息资源数字化、网络化进程进一步加快，数字档案馆的建设与研究成为档案界关注的热点。档案馆局域网已经发展成为集档案管理、办公、通信和资源共享的信息平台，数字档案信息的安全性也成为人们关注的焦点。对档案馆局域网来说，各部门之间数据交换效率、安全互访成为信息平台建设中的重中之重。但传统的共享网络却普遍存在安全隐患，以VLAN为基础的计算机网络为此提供了比较完善的解决方案。

虚拟局域网（Virtual Local Area Network，VLAN），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术，IEEE 802.1Q中对VLAN做了详细定义。

当前档案馆局域网中的安全隐患

安全性有待提高

根据笔者调查，当前国内档案馆局域网普遍是采用WORKGROUP的共享式网络，而采用DOMAIN的相对安全的网络则极为罕见。在WORKGROUP的模式下，用户可以随时加入同一网络上的任何工作组，也可以随时离开一个工作组。任何一台终端只要接入该网络，就可以访问网内共享的文件、打印机、扫描仪、互联网等共享资源。事实证明，尽管网络上的共享资源可以追加访问密码，但也容易被破解，特别是在由WINDOWS平台构成的网络中，数据非常不安全。

在DOMAIN模式下，档案馆局域网内至少有一台服务器负责每一台接入网络的电脑和用户的验证工作，域控制器（Domain Controller，DC）中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据。当用户接入网络时，DC鉴别该计算机是否属于档案馆内的域，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，DC就拒绝该用户从这台电脑登录，用户就不能访问域所保护的资源，只能以对等网用户的方式访问共享出来的资源。这在一定程度上能保护网络上的资源，减少安全隐患。

这里的安全性还表现在由于档案馆局域网的基础是相互信任的共享式机制，局域网上的广播必然会产生安全问题，用户只要接入任一活动接点就可监听所属网段内传输的数据。而采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。如果结合DOMAIN模式，必然使档案馆网络更加安全可靠。

广播风暴较难控制，数据交换效率受限

在CSMA/CD (Carrier Sense Multiple Access /Collision Detected）的共享机制的以太网中，整个局域网是一个广播域。风暴一旦产生，必将影响网内所有成员，甚至导致错误数据包呈几何级数产生，严重的网络堵塞甚至瘫痪就开始形成，特别是在使用HUB等设备在物理层扩展时表现得更加明显。

在CSMA/CD机制下，节点可以在要发送数据的任意时刻使用总线。节点在传输数据之前监听总线以了解网络是否繁忙，如果总线空闲就开始传送数据，如果正在使用，则节点就会延迟一段时间再进行监听。问题随即产生，如果档案馆局域网内设备较多，或者网内出现了环路、蠕虫病毒甚至有些故障设备在网络中广播数据包，则单位时间段监听的设备必然增多，就必然会导致网络带宽使用效率低下。

笔者曾经处理过一个有故障网卡，该卡只要加电，就立刻向整个网络大量广播无效数据包，虽然不如前不久流行的ARP欺骗攻击造成的网络故障严重，但也大大影响了网络速度。而且由于整个网络作为一个广播域，使得排错比较困难。

流量和站点单独限制困难

这里的流量和站点限制主要体现在对档案馆电子阅览室的管理过程中。由于档案馆电子阅览室的特殊性，禁止师生在电子阅览室浏览和使用未经许可的包括MSN、QQ和下载电影等互联网资源。在共享式局域网中，对流量和站点进行单独限制比较困难。

VLAN的优点及其基本构建策略

VLAN的优点。通常，只有通过划分子网才可以隔离广播，但在VLAN中，一个VLAN就是一个逻辑广播域，VLAN中的广播只有其所属成员才能侦听到，而不会传到其他VLAN中。

在安全性方面，通过控制路由访问列表和MAC分配，可以控制用户访问权限和逻辑网段，将不同用户划分在不同VLAN中，从而提高网络的稳定性和安全性。通常，若没有路由的话，不同VLAN之间不能互相通信，网络管理员可以通过配置VLAN之间的路由来控制网内不同单元之间的安全互访。

在灵活性方面，采用VLAN技术的网络来说，一个VLAN可以根据部门职能或应用将不同地理位置的网络用户划分为一个逻辑网段，在不修改网络物理连接的情况下可以任意将工作站在部门之间移动。

构建VLAN的基本策略。VLAN是建立在物理网络基础上的一种逻辑子网，构建时需要相应的支持该技术的网络设备。用户在选择交换机的同时，应选择满足要求而且管理方便的交换机。从技术角度讲，VLAN的划分依据不同的原则，一般有基于端口、基于MAC地址和基于网络协议三种划分方法，经过反复论证和比较，我们采用了基于端口的划分方法。

VLAN在档案馆网络中的具体实现

VLAN规划。在档案馆局域网中，由于VLAN间通常不用通信，结合成本等因素，档案馆局域网的核心可以使用二层交换机。按功能的不同划分为5个VLAN。分别是VLAN10（档案馆办公室）、VLAN20（综合档案室）、VLAN30（人事档案室）、VLAN40（学生档案室）和VLAN50（电子阅览室和信息室）。其结构如图所示。

VLAN配置。D-Link公司的DES-3226S是一台二层交换机。在该设备上实现VLAN时，首先应将其console端口与计算机串口相连，按交换机推荐参数（比特率为9600，无奇偶校验模式），通过Windows超级终端登陆交换机，在正确输入用户名和密码后即可进入交换机的配置界面，根据组网需求创建配置。

首先，用Creat命令创建VLAN10和VLAN20。这时的VLAN 中没有任何成员。我们需要将相应的端口添加到 VLAN 中。由于该交换机所有端口默认属于名称为default的VLAN，配置时必须先删除default 中相应的端口，把这些端口从这个默认的VLAN中释放出来成为游离端口，才能将端口添加到所创建的VLAN 中。

验证VLAN。将这两台PC的 IP 地址设置为同一个网段，分别连接到所创建的VLAN10 和 VLAN20，并把这两台PC的防火墙的ICMP相关选项设置为例外，用Ping命令测试连通性，两台PC不能通信；而当两台PC接入同一VLAN中时，两台PC能通信。

同理，再创建VLAN30、VLAN40和VLAN50，配置档案馆办公室HUB接入VLAN10，综合档案室接入VLAN20，人事档案室接入VLAN30，学生档案室接入VLAN40，电子阅览室和信息室则接入VLAN50。在保证各科室特别是人事档案室安全的同时，信息室还可以通过局域网管理工具管理电子阅览室，档案馆网络的安全性得到增强。在配置相关权限后（对电子阅览室流量限制和防火墙规则制定等），由于各科室间广播互相隔离，网络稳定性将进一步提高。

在配置VLAN后，如果需要在不更改物理连接的前提下让VLAN成员之间互访（如档案馆办公室需要临时共享学生档案室资源），可以通过路由器或三层交换机转发来实现，若再配合基于MAC的端口过滤，在最靠近该站点的交换机或路由器的相应端口上，设定允许通过的MAC集，待共享完数据后再恢复原来的结构，就可以减小非法入侵者从内部盗用IP地址入侵的可能。

因此，从安全、规范和提高管理效率的原则来看，档案馆VLAN网络内不同科室间互访时应该以更改物理连接为首选。

本文分析了当前档案馆共享式网络中普遍存在的安全隐患，指出了应用VLAN技术对档案馆局域网安全的重大实际意义，并以实例说明了如何实现档案馆VLAN网络，以及这些安全隐患提供的较为完善的解决方案。

档案馆VLAN计算机网络，用二层的办法解决了三层的问题，使网络结构变得非常灵活，将网络划分为多个广播域，有效控制了广播风暴的影响，还能控制档案馆局域网中不同科室之间的安全互访，有助于增强网络的安全性、稳定性和灵活性，提高网络管理效率、控制流量，为解决当前档案馆共享网络中普遍存在的安全隐患提供了新的解决方案。?笮

（作者单位：成都理工大学档案馆610059）