【文章內(nèi)容簡介】 礎(chǔ)上增加了 VLAN 頭 ， 用 VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每 個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。雖然 VLAN 所連接的設(shè)備來自不同的網(wǎng)段，但是相互之間可以進行直接通信，好像處于同一網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。相比較傳統(tǒng)的局域網(wǎng)布局， VLAN技術(shù)更加靈 .活。 一個 VLAN 可以在一個交換機或者跨交換機實現(xiàn)。 域網(wǎng) vlan主要特點：便于管理，便于錯誤排除，便于流量控制 VLAN 可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進行分組。基于交換機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、 帶寬問題。傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個廣播域中，會引起網(wǎng)絡(luò)性能的下降，浪費可貴的帶寬；而且對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實現(xiàn) ， VLAN 能夠?qū)V播風(fēng)暴控制在一個 VLAN 內(nèi)部，劃分 VLAN 后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的 VLAN 之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實現(xiàn)的，因此使用 VLAN 技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機的每一個端口來控制網(wǎng)絡(luò)用 戶對網(wǎng)絡(luò)資源的訪問，同時 VLAN 和第三層第四層的交換結(jié)合使用能夠為網(wǎng)絡(luò)提供較好的安全措施。另外， VLAN 具有靈活性和可擴張性等特點，方便于網(wǎng)絡(luò)維護和管理，這兩個特點正是現(xiàn)代局域網(wǎng)設(shè)計必須實現(xiàn)的兩個基本目標，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運行效率。 對于不同的應(yīng)用子網(wǎng)，我們在交換機上通常會劃到不同的 中 進行隔離。那么采用 VLAN 技術(shù)究竟有什么樣的優(yōu)點呢？ 1. 控制網(wǎng)絡(luò)上的廣播風(fēng)暴，某些應(yīng)用程序在發(fā)起連接的時候會采用廣播的方式?？蛻舳溯^少（幾臺到 10 幾臺設(shè)備）時可以忽略這個問題。但是當客戶端較多（有上百 臺設(shè)備）時，這種廣播流量對網(wǎng)絡(luò)帶寬的影響就不可以忽略不計。假設(shè)所有設(shè)備都在一個 vlan 中。那么當某臺設(shè)備發(fā)出一個廣播報文，當這個報文到達交換機以后會被交換機復(fù)制到除接收該報文的接口外的其余所有接口。如果本來就只應(yīng)該有一臺設(shè)備對 該廣播報文進行處理和回復(fù)，那么其余設(shè)備接收到該廣播報文就是多余的，換句話說就是浪費了其余設(shè)備帶寬。 為了控制網(wǎng)絡(luò)中由于應(yīng)用程序本身或者其余某些不可控因素產(chǎn)生的大量廣播報文，我們應(yīng)該將不同的子系統(tǒng)劃分到不同的 vlan 中。在劃分 vlan 之后，我們就能夠很好的保證一個 vlan 中的廣播不會送到該 vlan 外，這樣就減少廣播流量，釋放更多的帶寬給用戶應(yīng)用。但是劃分的時候有一點我們需要特別注意：由于劃分 vlan 之后，不同 vlan 中的設(shè)備在 2 層是沒有辦法直接通信的。需要通過 3 層路由的方式才能實現(xiàn)彼此的互通。而路由接口是絕對不會轉(zhuǎn)發(fā)廣播報文的。因此對于那些彼此之間必須通過廣播方式建立連接進而實現(xiàn)通信的應(yīng)用程序，那么他們各自所屬的設(shè)備應(yīng)該是劃在一個vlan 當中。 2. 降低環(huán)路造成的危害。我們知道交換機在進行 2 層轉(zhuǎn)發(fā)的時候是通過查找 MAC 地址表來實現(xiàn)的。因此 MAC 表的正確與否直接關(guān)系到數(shù)據(jù)能否正確的轉(zhuǎn)發(fā)到目的地。而 環(huán)路會造成交換機 MAC 地址表學(xué)習(xí)錯誤。這樣直接造成的后果就是交換機上整個數(shù)據(jù)轉(zhuǎn)發(fā)出現(xiàn)問題，與交換機直連的所有設(shè)備之間的通信都會中斷。后果極其嚴重。劃分 vlan 之后，環(huán)路造成影響的范圍會縮小到 vlan 之內(nèi)。某一 vlan 內(nèi)部形成環(huán)路只會造成該 vlan 內(nèi)部設(shè)備間的通信出現(xiàn)問題而不會影響到其余 vlan。因而我們建議將各個子系統(tǒng)劃分到不同的 vlan之中并且再在各個 vlan內(nèi)部的端口上啟用環(huán)路檢測功能（或生成樹協(xié)議），這樣就在最大限度上縮小了環(huán)路造成的危害。 3. 增加網(wǎng)絡(luò)的安全性。因為一個 VLAN 就是一個單獨的廣播域， VLAN之間相互隔 離，這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。人們在LAN 上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng)提供訪問控制等安全手段。一個有效和容易實現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個不同的廣播組，網(wǎng)絡(luò)管理員限 VLAN 中用戶的數(shù)量，禁止未經(jīng)允許的用戶訪問VLAN 中的應(yīng)用。交換機上的端口可以基于應(yīng)用類型和訪問特權(quán)來進行分組，被限制的應(yīng)用程序和資源一般置于安全性較高的 VLAN 中。 Vlan 的劃分規(guī)則如下，對于行政樓來說，由于每一層的管理的功能不同，所以給每一層劃分為一個 vlan，其中每層有信息點 20 個，考慮到擴展性，所以最少要分配 6位主機位。所以得出以下的 VLAN 劃分方案： vlan 子網(wǎng)號 掩碼 主機地址范圍 分配區(qū)域 同一部門在不同物理網(wǎng)段的結(jié)點可被設(shè)為同一邏輯子網(wǎng)，實現(xiàn)與物理位置的無關(guān)性。對于網(wǎng)絡(luò)中心，財務(wù)部門等要害部門可采用基于傳統(tǒng)的MAC 地址的 VLAN 劃分技術(shù)，以防止非授權(quán)結(jié)點在該子網(wǎng)中的出現(xiàn)。對于 員工 宿舍物理子網(wǎng)比較多，難以有效管理的地方可采用混合策略，如在同一端口細分不同 的邏輯虛擬子網(wǎng)或基于 MAC 地址劃分子網(wǎng)，以盡量減少 IP 地址盜用和其它安全問題。 VPN 技術(shù) VPN 即 虛擬專用網(wǎng) ，是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常， VPN 是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。 VPN 可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙 伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。 VPN 架構(gòu)中采用了多種安全機制，如隧道技術(shù)（ Tunneling ）、加解密技術(shù)（ Encryption ）、密鑰管理技術(shù)、身份 認證技術(shù) （ Authentication ）等，通過上述的各項網(wǎng)絡(luò)安全技術(shù)，確保資料在公眾網(wǎng)絡(luò)中不被竊取，或是即使被竊取了，對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。是一種 “ 基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù) ” 。 VPN 極大地降低了用戶的費用，而且提供了比傳統(tǒng)方法更強的安全性和可 行 性。 VPN可分為三大類：（ 1）企業(yè)各部門與遠程分支之間 的 Intra VPN；（ 2）企業(yè)網(wǎng)與遠程（移動）雇員之間的遠程訪問（ Remote Access） VPN；（ 3）企業(yè)與合作伙伴、客戶、供應(yīng)商之 間的Extra VPN 功能 由于采用了 “ 虛擬專用網(wǎng) ” 技術(shù)，即用戶實際上并不存在一個獨立專用的號 1 ~ 行政樓 1 層 2 ~ 行政樓 2 層 3 ~ 行政樓 3 層 4 ~ 行政樓 4 層 5 ~ 宿舍 1樓 6 ~ 宿舍 2樓 7 ~ 銷售部 1 區(qū) 8 ~ 銷售部 2 區(qū) 網(wǎng)絡(luò)，用戶既不需要建設(shè)或租用專線，也不需要裝備專用的設(shè)備，就能組成一個屬于用戶自己專用的電信網(wǎng)絡(luò)。 虛擬專用網(wǎng)是利用公用電信網(wǎng)組建起來的功能性網(wǎng)絡(luò)。不同類型的公用網(wǎng)絡(luò)，通過網(wǎng)絡(luò)內(nèi)部的軟件控制就可以組建不同種類的虛擬專用網(wǎng) 。 VPN 的要 求 VPN 提供用戶一種私人專用（ Private）的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。 VPN 的安全性可通過隧道技術(shù)、加密和認證技術(shù)得到解決。在 Intra VPN 中，要有高強度的加密技術(shù)來保護敏感信息；在遠程訪問 VPN中要有對遠程用戶可 *的認證機制。 性能 VPN 要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管 網(wǎng)絡(luò)速度 不斷提高，但在Inter 時代，隨著電子商務(wù)活動的激增， 網(wǎng)絡(luò)擁塞 經(jīng)常發(fā)生，這給 VPN 性能的穩(wěn)定帶來極大的影響。因此 VPN解決方案應(yīng)能夠讓 管理員 進行通信控制來確保其性能。通過 VPN 平臺，管理員 定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴格要求和高優(yōu)先級應(yīng)用的性能，又不會 “ 餓死 ” ，低優(yōu)先級的應(yīng)用。 管理問題 由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶所需的 IP 地址數(shù)量持續(xù)增長，對越來越復(fù)雜的網(wǎng)絡(luò)管理，網(wǎng)絡(luò)安全處理能力的大小是 VPN 解決方案好壞的至關(guān)緊要的區(qū)分。 VPN 是公司對外的延伸，因此 VPN 要有一個固定管理方案以減輕管理、報告等方面負擔(dān)。管理平臺要有一個定義安全政策的簡單方法，將安全政策進行分布，并管理大量設(shè)備間 。 解決方案 針對不同的用戶要求， VPN 有三種解決方案： 遠程 訪問虛擬網(wǎng)（ Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（ Intra VPN）和企業(yè)擴展虛擬網(wǎng)（ Extra VPN）， 這三種類型的 VPN 分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的 Intra 以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra（外部擴展）相對應(yīng)。 對于很多 IPSec VPN 用戶來說， IPSec VPN 的解決方案的高成本和復(fù)雜的結(jié)構(gòu)是很頭疼的。存在如下事實：在部署和使用軟硬件客戶端的時候，需要大量的評價、部署、培訓(xùn)、升級和支持，對于用戶來說，這些無論是在經(jīng)濟上和技術(shù)上都是個很大的負擔(dān) ，將遠程解決方案和昂貴的內(nèi)部應(yīng)用相集成，對任何 IT 專業(yè)人員來說都是嚴峻的挑戰(zhàn)。由于受到以上 IPSec VPN 的限制，大量的企業(yè)都認為 IPSec VPN 是一個成本高、復(fù)雜程度高，甚至是一個無法實施的方案。為了保持競爭力，消除企業(yè)內(nèi)部信息孤島，很多公司需要在與企業(yè)相關(guān)的不同的組織和個人之間傳遞信息，所以很多公司需要找一種實施簡便，不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，運營成本低的解決方案。 代理服務(wù)器的安裝與配置 一 基本概念 代理服務(wù)器（ Proxy Server）是一種重要的安全功能，它的工作主要在開放系統(tǒng)互 聯(lián) (OSI)模型的對話層，從而起到防火墻的作用。代理服務(wù)器大多被用來連接 INTERNET（國際互聯(lián)網(wǎng)）和 INTRANET（局域網(wǎng)）。 局域網(wǎng)內(nèi)沒有與外網(wǎng)相連的機器必須通過內(nèi)網(wǎng)服務(wù)器連接到外網(wǎng)。為獲得更大的速度，通過帶寬較大的代理服務(wù)器與目標主機連接，同時，也能與同一地區(qū)不同的網(wǎng)絡(luò)相連接， 在一般情況下，我們使用網(wǎng)絡(luò)瀏覽器直接去連接其他Inter 站點取得網(wǎng)絡(luò)信息時，是直接聯(lián)系到目的站點服務(wù)器，然后由目的站點服務(wù)器把信息傳送回來。 代理服務(wù)器是介于客戶端和 Web服務(wù)器之間的另一臺服務(wù)器，有了它之后，瀏覽器 不是直接到 Web 服務(wù)器去取回網(wǎng)頁而是向代理服務(wù)器發(fā)出請求，信號會先送到代理服務(wù)器，由代理服務(wù)器來取回瀏覽器所需要的信息并傳送給你的瀏覽器。 圖 代理服務(wù)器的作用 在網(wǎng)址框中輸入您要訪問的網(wǎng)站地址，點擊代理瀏覽便會打開新的窗口鏈接代理服務(wù)器，等待幾秒即可，如果此時出現(xiàn)無法鏈接服務(wù)器等錯誤，請在上面嘗試選擇其它的服務(wù)器，因為代理服務(wù)器對資源的消耗比較大，并且存在時效性，因此有時候無法打開，必須多次嘗試代理服務(wù)器。每天自動更新最新可用服務(wù)器。 大部分代理服務(wù)器都具有緩沖的功能，就好像一個大的 Cache，它有很大的存儲空間，它不斷將新取得數(shù)據(jù)儲存到它本機的存儲器上，如果瀏覽器所請求的數(shù)據(jù)在它本機的存儲器上已經(jīng)存在而且是最新的，那么它就不重新從 Web服務(wù)器取數(shù)據(jù)，而直接將存儲器上的數(shù)據(jù)傳送給用戶的瀏覽器，這樣就能顯著提高瀏覽速度和效率。 更重要的是：代理服務(wù)器是 Inter 鏈路級網(wǎng)關(guān) (Gateway)所提供的一種重要的安全功能，它的工作主要在開放系統(tǒng)互聯(lián) (OSI) 模型的對話層，從而起到防火墻的作用。 二 代理服務(wù)器的功能 （ 1)設(shè)置 用戶驗證和記賬功能，可按用戶進行記賬，沒有登記的用戶無權(quán)通過代理服務(wù)器訪問 Inter 網(wǎng)。并對用戶的訪問時間、訪問地點、信息流量進行統(tǒng)計。 (2)對用戶進行分級管理，設(shè)置不同用戶的訪問權(quán)限，對外界或內(nèi)部的Inter 地址進行過濾，設(shè)置不同的訪問權(quán)限。 (3)增加緩沖器 (Cache)，提高訪問速度，對經(jīng)常訪問的地址創(chuàng)建緩沖區(qū)，大大提高熱門站點的訪問效率。通常代理服務(wù)器都設(shè)置一個較大的硬盤緩沖區(qū) (可能高達幾個 GB或更大 )，當有外界的信息通過時，同時也將其保存到緩沖區(qū)中，當其他用戶再訪問相同的 信息時，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度。 (4)連接內(nèi)網(wǎng)與 Inter，充當防火墻 (Firewall):因為所有內(nèi)部網(wǎng)的用戶通過代理服務(wù)器訪問外界時，只映射為一個 IP 地址，所以外界不能直接訪問到內(nèi)部網(wǎng) 。同時可以設(shè)置 IP地址過濾，限制內(nèi)部網(wǎng)對外部的訪問權(quán)限。 (5)節(jié)省 IP開銷 :代理服務(wù)器允許使用大量的偽 IP 地址，節(jié)約網(wǎng)上資源，即用代理服務(wù)器可以減少對 IP 地址的需求，對于使用局域網(wǎng)方式接入 Inter ，如果 為局域網(wǎng) (LAN)內(nèi)的每一個用戶都申請一個 IP地址，其費用可想而知。但使用代理服務(wù)器后，只需代理服務(wù)器上有一個合法的 IP 地址， LAN 內(nèi)其他用戶可以使用 10.*.*.*這樣的私有 IP 地址，這樣可以節(jié)約大量的 IP，降低網(wǎng)絡(luò)的維護成 本。 防火墻的基本知識與配置 一 定義 防火墻是一個或一組系統(tǒng)，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實防火墻的實際方式