在兰炼Intranet系统中,利用LANNET的网管软件,将3LS与VLAN相结合,在企业网内部形成一套严密的安全访问机制,取得了很好的效果。其中,VLAN是一组可以互换单一播送和广播数据包的交换机上的端口。
基于以下的原因,需要在网络系统中定义VLAN。
◇ 如果不采用VLAN技术,用户很容易通过重构其工作站的IP地址来利用或破坏其自身IP子网内的资源。因为同一IP子网内的主机之间的通信只到达多层交换机的第二层交换核心, 例如,在一个Intranet系统中,DNS位于地址为138.1.1.0(子网掩码255.255.255.0)这样一个子网内,其IP地址是138.1.1.80,该子网内只有IP为138.1.1.100的那台主机有权对防火墙的配置进行修改。那么,其它非授权主机如果****系统管理员密码,并将其IP也改为138.1.1.100,就有可能对防火墙的安全构成威胁。
◇ 如果不定义VLAN,整个网络系统内庞大的主机数目和协议类型容易造成巨大的广播风暴,使网络效率下降甚至瘫痪。如果用VLAN将网络划分为多个广播域,就可以有效地控制广播风暴的发生。
基于以上原因,兰炼Intranet将网络系统划分成多个VLAN,以限制网络中广播风暴的发生,同时使用3LS网管软件3LS VIEW来实现兰炼Intranet中多层交换和VLAN相结合的网络安全机制和管理模式。在这种模式下,网管人员可以定义某段或某个IP只能在特定的 VLAN中连入网络,一旦离开这个VLAN,便无法使用该IP。在前面提到的例子中,如果我们将138.1.1.100这台主机与其子网内其他主机分别划分在两个VLAN中——V1和V2:将整个IP子网138.1.1.0划归V2,然后通过3LS的数据包过滤功能将V2中的138.1.1.100屏蔽,并将它定义到V1中。这样,V2中的任何一台主机都将无法使用138.1.1.100这个地址与其它主机通讯,从而防止了非法用户通过修改IP来使用超越其权限的网络资源,网络的安全性和可管理性得到了充分的保证。
在兰炼Intranet系统实际应用中,使用3LS VIEW 让公共主机,如域名服务器、邮件服务器同属一个IP子网,并将它们定义在一个VLAN中;将用于网管的主机、系统开发人员的主机也依照同样的办法定义在不同的VLAN中;再将普通用户定义在其他 IP子网和VLAN中。同时利用3LS VIEW中的防火墙功能,对各VLAN中的主机与其他主机之间的通讯进行详细的规划,诸如主机之间是否通信、采用何种协议等等,都可以通过3LS VIEW简单的完成。
只讨论了3LS基于TCP/IP协议的的应用,其实它对于IPX协议同样可以实现第三层转发的功能。对于其它常见的路由协议如DECnet或无路由协议如NetBios、DEC LAT、IBM PLC等,多层交换机只要在第二层中运用网桥功能有选择的采用这些协议,也应该有一个满意的解决方案。
编辑:
