基于VLAN和三层交换的网络安全策略分析.pdfVIP

科赫 信I息I科I学 赵云盟 (秦皇岛市广电中心，河北秦皇岛066000) 摘要：当前的信息网络普遍使用二层交换技术的网络架构，但随着信息系统网络规模在不断扩大，网络安全、网络流量、网络通信速度、网络 维护工作量等问题明显增加。因此，结合本单位网络改造，探讨了信息网络如何采用三层交换技术，来确保计算机网络更加合理、安全、有效。 关键词：交换技术；网络安全；通信速度 引言 连接的，与局域网物理隔绝，各县区财务网上的电 3．2VLAN访问控制。在杨已层和汇凌层交换 脑则通过渤海在线的设备接入到财务网。 机的接口匕建立访问控制列表来实现VLAN之间 第三层交换技术是1997年前后才开始出现 的一种交换技术，最初是为了解决广播域的问题。 22改造后的三层交换网络架构。改造后网 的访问控制，决定哪些用户数据流可以在VLAN 经过多年发展，第三层交换技术已经成为构建多 络：整个办公大楼为19层，网络拓扑结构为一层 之间进行交换，以及最终到达核心层。访问控制列 业务融合网络的主要力量。在大规模局域网中，为 至八层通过位于四楼的汇聚交换机接人核心交换 表ACL由基于一套测试标准的一系列许可和拒 了减小广播风暴的危害，必须把大型局域网按功 机，十—层至十九层通过位于十楼的汇聚交换机 绝语句组成。其处理过程是自上向下的，一旦找到 能或地域等因素划分成多个小局域网，这样必然 接人核心交换机。将网络系统划分为上网和互联 了匹配语句，就不再继续处理。在访问控制列表末 导致不同子网间的大量互访，而单纯使用第二层 两大部分，相互之间互不影响，提高网络系统的可 尾设置—条隐含拒绝语句，若在访问控制列表中 交换技术，却无法实现子网间的互访。为了从技术 靠性。在此次网络系统升级改造设计中，我们将整 没有发现匹配，则最终与隐含拒绝语句相匹配。有 匕解决这个问题，网络厂商利用第三层交换技术 个中心局域网划分为多个VLN，每个甩户可以两种类型的访问控制列表： 开发了三层交换机，也叫做路由交换机，它是传统 被分配在网络的某一个物理区域内，各个VLAN (1)IP访问控制列表。IP访问控制列表实现第 交换叽与路由器的智能结合。简单地说，可以处理 之间既可以禁lE互相访问，互不影响，也可以根据 三层的访问控制，对于需要进行亡层转发的报文， 网络第三层数据转发的交换技术就是第三层交换 需要实现VLAN之间的信息共享和相互访问，同可以先获取报头信息，包括IP层所承载的上层协 技术。从硬件E看，在第三层交换机中，与路由器 时可以控制每个VLAN甚至每个终端用户的流议的协议号，数据包的源地址，目的地址，源端口 有关的第三层路由硬件漠块，也插接在高速背板， 量，以便保证有特殊需要的用户的流量，另外，接 和目的端口，然后和设定的访问规则进行比较，从 而决定数据包的转发或丢弃。 总线上。这种方式使得路由模块可以与需要路由 人中心局域网各专用子网将分别作为—个VLAN 的其它模块间，高速交换数据，从而突破了传统的 接人，这样既保证了专用子网的安全性及带宽，同 IP访问控制列表又分为标准型和扩展型。IP 外接路由器接口速率的限制。三层交换机是为IP 时也保证专用子网能共享局域网中的信鼠及局域 标准访问控制列表的编号是从l到99，其澳4试条 设计的，接口类型简单，拥有很强的三层包处理能 网中各用户的互访。 件只是基于源地址，扩展访问控制列表的编号是 力，价格又比相同速率的路由器低得多，非常适用 从100到199，其测试条件包含协议类型，源地址， 于大规模局域网络。 目的地址、应用端口和会话层信息，扩展访问控制 1三层交换技术 列表对基于应用的数据包具有更大程度的控制能 1．1三层交换原理。假设A跟B以前曾通过交