VLAN网络技术在送变电企业网络安全中的应用

当前，局域网与外界的信息传输几乎包含了除卫星以外目前所有的传输方式，规模的庞大、结构的复杂、各类形式的安全隐患给我们的网络管理带来了越来越多的挑战。尤其是近两年互联网病毒严重侵蚀着我们的网络，形成的广播风暴致使网络时常瘫痪，客户端系统更是深受其害，为了解决这一问题，从软硬件两方面对网络进行改造，消除和防范计算机网络病毒（以我公司的实际情况进行讲解）。

一、造成网络病毒和网络瘫痪的原因分析及问题的解决

各类病毒通过局域网进行扩散，二三百台的微机全部都在一个214网段，一台计算机感染病毒，本机的网卡便会通过广播的方式迅速传遍这个网络，然后被感染的计算机也向交换机发送广播，致使交换机堆积了大量的垃圾数据堵塞在各网络节点，导致交换机的瘫痪。后果是所有的网络用户都无法上网。

由于网络设备性能的问题，网络管理员无法有效的对网络内用户进行足够的分层次管理，网络内约300台电脑处于一个二层的平的网段，无法在保证关键应用的关键服务，无法保证关键应用的可靠。数据库服务器的权限可能等同于一台普通用户PC的权限，其安全性，可靠性也与一台普通PC相同。

网络内300多台PC处于一个大的广播域，即使在网络正常应用的情况下，网络内也将充斥这大量的数据包的广播，比如某些应用程序可能会定期发出广播包，某台PC更换网卡后，其他PC将通过广播的方式，查找新网卡的MAC地址，再比如如果某块网卡出现故障的情况下，该PC将不断的通过发出大量广播包的方式，来监听网络等等。这些广播包的数量将在网络利用中占极大的比重。

如果网络内的某一台PC被感染病毒，由于没有任何的防范措施，该病毒将很快的传播给其他PC，即使有的PC安装有杀毒软件不会被感染，但是网络带宽将被感染病毒的PC发出的数据包所充斥，如果网络内的PC被感染了，那么发出垃圾数据包的PC的数量将不止是一台，可能是几十台甚至上百台，那么网络内正常的数据传输将得不到应有的网络资源。网络正常的服务将得不到保证，用户可能无法正常访问网络，如果严重的话，可能会因负载过大造成网络的瘫痪。

如果病毒不单单是冲击波病毒，而且含有恶意攻击的话，恶意用户可能登陆到服务器，任意篡改，窃取数据，并且控制服务器，其后果将是非常严重的。

我们利用CISC04506交换机所独有的第2层和第三层控制功能的组合，消除了今天基于路由器的主干的性能瓶颈和拓扑局限性。这样可以根据不同的部门，不同权限的用户，规划网络，使其处于不同的虚拟局域网（VLAN）。CISC04506交换机，将作为这个网络的核心交换机，对具有不同权限的用户组成的不同VLAN，分配不同的权限，根据实际情况分配指定丰富的访问策略。组建一个层次化和模块化分明的网络。

网络服务器千兆光纤网卡，直接连接到CISC04506上，并且划分单独的服务器VLAN，通过在该VLAN接口上实施访问策略，网络管理员可以有选择的使网络内的用户访问服务器，并且通过关闭不安全的端口，即使有病毒袭击，也因为在进入VLAN端口上关闭了不安全的端口而将病毒拒绝，保证了服务器的正常使用。

由于根据不同用户，划分了不同的VLAN，缩小了广播域的规模，每个VLAN，就是一个广播域。网络中正常的和非正常的广播，都在VLAN之内传播，而不会影响到其他VLAN内的用户。即使某个VLAN中Pc中了病毒，恶意的数据包也不会透过VLAN传递到其他VLAN中。

在CISC04006和CISC04506之间通过双千兆光纤连接，通过链路聚会功能，在两个交换机之间实现双向4G的带宽。路由器10M接口，连接防火墙和交换机，10M接口已成为整个网络的瓶颈，并且在这个网络当中，在交换机和防火墙之间放置路由器并不是必要的。虽然划分了不同的网段，但是路由器并不能在各个网段直接隔离二层的广播包，各个网段仍可以通过路由器连接交换机的端口上的不同IP地址，进行访问。路由器的放置，不但影响了网络性能，并且增加了故障点，并且起不到保护各个网段的作用。在CISC04006交换机和防火墙之间放置了CIS-C04506交换机后，具备三层交换功能的交换机将三层和四层数据包的交换功能从CISC0261 1路由器的几万个包提高到上百万的数据包，不但实现了VLAN之间设备的互访，还极大的提高了不同网段之间的数据包的路由和交换速率，CISC04006交换机和CISC04506的速率通过千兆模块连接，达到千兆。

二、改造效果价值评价

网络在进行改造后，经过近一年的运行，完全达到了预期效果。服务器网络传输达到了1000M交换，用户访问服务器的速度大大提高。并且通过网上监测发现，消除了各类病毒的可疑代码，整体网络运行速度非常正常，工作效率得到了很大提高。