用VLAN实现校园网络安全管理

1用VLAN实现校园网络安全管理六盘水市第八中学赵庆文在经历“熊猫烧香”穿透还原删除备份gho文件、CIH重写硬盘引导分区和主板BIOS的同时，计算机网络用户还在饱受着“机器狗”、“震荡波”、“AV终结者”等病毒的折磨。更为不幸的是，进入二十一世纪以来，一种更为隐匿和难以防御的“木马”程序正在互联网上泛滥，使网络用户的个人信息和公司财物遭受损失，同时阻碍了电子商务的发展。与病毒、木马相比，恶意软件（又叫流氓软件）是最年轻的一个，它在未明确提示用户或未经用户许可的情况下，在用户计算机或其它终端上安装运行，侵害用户合法权益，主要有强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑等危害用户软件的特征。计算机网络安全的威胁使我们谈“毒”色变，时时小心翼翼，处处不敢掉以轻心。我们在内外网间装有防火墙，电脑上也安装了安全卫士、杀毒软件，还及时打上了各种软件的安全漏洞补丁，密码够复杂，也未随便点击不明网页，但我的电脑还是有安全问题，网络时断时续，电脑反应明显变慢，还泄漏敏感信息，校园局域网用户总是报怨。自己电脑明明没有中毒，却还是要遭受其害。其实，在局域网内部，最常见的是ARP病毒，它通过伪造IP地址和MAC地址对路由器ARP表或者内网PC的网关进行欺骗，在PC和真正网关间形成一个代理，趁机获取通信信息。大量的伪装MAC地址包在局域网上广播，不但容易把内网敏感数据通过假冒网关泄漏出去，更是造成了局域网的拥堵，使交换设备资源耗尽而全网瘫痪。由于交换式局域网中的设备是通过间断广播自己的MAC地址来建立联系的，因此，为了防止ARP病毒，人们普遍采用靜态IP上网，并且让IP地址和MAC地址绑定，甚至网关和PC机双向绑定。但是，一旦ARP假冒网关的广播时间间隔比真正网关的广播时间间隔还要短，还是会让PC机错误绑定网关，从而中招。ARP假冒PC机时还会造成IP冲突，影响网内用户上网。基于ARP病毒和局域网的安全威胁考虑，减小局域网的广播域是有效的方法。传统的方法是把一个大的局域网划分为多个小局域网，再用网桥或路由器把它们互联起来。由于成本和管理上的原因，笔者更喜欢使用VLAN技术。IEEE于1999年颁布了用以标准化VLAN（VirtualLocalAreaNetwork）实现方案的802.1Q协议标准草案。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、增加网络连接的灵活性，简化网络管理、提高网络的安全性。我校校园网主要由教学网、办公网和机房网三大部分构成。与Internet采用RuijieRG-EG1000S易网关接入，防火墙采用SANGFOR（深信服）AF－1120，配置为透明模式。内部网采用三层结构：核心层RG-S8600三层交换机，支持VLAN，PVLAN，SuperVLAN，汇聚层RG-S5750－24GT/8SFP-E三层交换机，支持VLAN，PVLAN，SuperVLAN，接入层RG－S2628G-E二层交换机，支持VLAN，PVLAN。SuperVLAN是VLAN划分的一种方式。SuperVLAN又称为VLAN聚合，是一种专门优化IP地址的管理技术。其原理是将一个网段的IP分给不同的子VLAN(SubVLAN)，这些SubVLAN同属于一个SuperVLAN。而每一个SubVLAN都是独立的广播域，不同SubVLAN之2间二层相互隔离。当SubVLAN内的用户需要进行三层通信时，将使用SuperVLAN的虚接口（SVI）的IP地址作为网关地址，这样多个VLAN共享一个IP地址，从而节省了IP地址资源。同时，为了实现不同SubVLAN间的三层互通及SubVLAN与其他网络的互通，需要利用ARP代理功能。通过ARP代理可以进行ARP请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。缺省状态下，SuperVLAN和SubVLAN的ARP代理功能是打开的。采用SuperVLAN技术可以极大的节省IP地址，它只需对包含多个SubVLAN的SuperVLAN分配一个IP地址，既节省地址又方便网络管理。用户可以为每个SubVLAN配置其地址空间范围，以便设备区分给定的IP地址属于哪个SubVLAN.同一个SuperVLAN下的SubVLAN配置的地址空间范围不可以有交叉重叠或者互相包含的关系。我校教室共120个，都安装有“班班通”，为了减小广播域，方便管理，将其划为一个SuperVLAN,命名Classlan，其中包括6个SubVLAN,每个子网分配30个IP地址（预留10个）。子网命名用年级，如初一为subC1,高二为subG2……。所有子网用SuperVLAN的SVI地址作为网关通过三层交换机RG－S8600与Internet和其它VLAN通信。办公网是我校安全威胁最多的地方，因此，办公网被划为一个PVLAN(PrivateVLAN)。私有VLAN(PrivateVLAN)将一个VLAN的二层广播域划分成多个子域，每个子域都由一个私有VLAN对组成：主VLAN(PrimaryVLAN)和辅助VLAN(SecondaryVLAN)。一个私有VLAN域可以有多个私有VLAN对，每一个私有VLAN对代表一个子域。在一个私有VLAN域中所有的私有VLAN对共享同一个主VLAN。每个子域的辅助VLANID不同。一个私有VLAN域中只有一个主VLAN，辅助VLAN实现同一个私有VLAN域中的二层隔离，有两种类型的辅助VLAN：隔离VLAN(IsolatedVLAN)和群体VLAN(CommunityVLAN)。同一个隔离VLAN中的端口不能互相进行二层通信。一个私有VLAN域中只有一个隔离VLAN。同一个群体VLAN中的端口可以互相进行二层通信，但不能与其它群体VLAN中的端口进行二层通信。一个私有VLAN域中可以有多个群体VLAN。相应地，PrivateVLAN中端口也可分为三类：混杂端口（PromiscuousPort），属于主VLAN中的端口，可以与任意端口通讯，包括同一个私有VLAN域中辅助VLAN的隔离端口和群体端口；隔离端口(IsolatedPort)，隔离VLAN中的端口，只能与混杂口通讯。隔离端口接收到的报文可允许转发到TrunkPort，但TrunkPort接收到vid是隔离VLAN的报文不能向隔离端口转发；群体端口(Communityport)，属于群体VLAN中的端口，同一个群体VLAN的群体端口可以互相通讯，也可以与混杂口通讯。不能与其它群体VLAN中的群体端口及隔离VLAN中的隔离端口通讯。我校办公网PVLAN中，PrimaryVLAN命名Officeserve，主要用PromiscuousPort连接办公网络中的服务器。SecondaryVLAN中有多个CommunityVLAN和一个IsolatedVLAN。CommunityVLAN按处室命名，如：教务处（Comjwc）,教科处（Comjkc）等。IsolatedVLAN主要用来连接办公网中的一些专用电脑，如财务机、学生学籍管理机，教师业务档案管理机等。由于IsolatedVLAN中的电脑，一台电脑就是一个广播域，可以有效防止其它电脑的ARP攻击，保护机密信息不被泄漏。另外，每个CommunityVLAN都是一个广播域，可以将ARP攻击和用户错误设置IP所造成的威胁限制在较小的范围。机房网中主要有四个学生电脑机房和一个电子阅览室，每个机房一个VLAN。电子阅览室设置为静态IP上网，其它学生机房每个机房一个DHCP服务器，要教师开启DHCP服务器，分配IP给学生机后，学生电脑才能接入因特网，对学生机的管理非常有效。一年多来，本校网络安全形式明显好转，可见用VLAN隔离局域网广播风暴和抑制ARP病毒是非常有效的。