保障企業(yè)信息安全 VLAN交換機(jī)選購分析

隨著企業(yè)對于信息安全性重視程度的加強(qiáng)，越來越多的企業(yè)開始考慮，在企業(yè)內(nèi)部部署虛擬局域網(wǎng)，目的就是為了能夠把一些企業(yè)的機(jī)密部門，如研發(fā)部門的網(wǎng)絡(luò)通過虛擬局域網(wǎng)隔離開來，以實(shí)現(xiàn)數(shù)據(jù)的安全性。為此，企業(yè)對于VLAN交換機(jī)的需求也就越來越大。

一、 VLAN的工作方式的選擇

VLAN的工作方式，使我們選擇VLAN交換機(jī)的主要標(biāo)準(zhǔn)之一�，F(xiàn)在的VLAN交換機(jī)，工作方式主要分為兩種，一種是靜態(tài)的端口配置，也就是說，我們在虛擬局域網(wǎng)管理的時(shí)候，可以把交換機(jī)的某幾個(gè)端口設(shè)置成為一個(gè)局域網(wǎng)，而把另外一個(gè)端口設(shè)置成為另外一個(gè)虛擬局域網(wǎng)。在交換機(jī)設(shè)置完成之后，這些端口屬于哪個(gè)虛擬局域網(wǎng)就是固定了的。這就會(huì)產(chǎn)生一個(gè)問題，如研發(fā)部分經(jīng)理原來是屬于研發(fā)部門的網(wǎng)絡(luò)，但是現(xiàn)在他拿著筆記本到會(huì)議室開會(huì)，他在會(huì)議室上網(wǎng)的話，就不是屬于研發(fā)部門的網(wǎng)絡(luò)帶了，因?yàn)樵跁?huì)議室上網(wǎng)跟他在辦公室上網(wǎng)的話，所用的交換機(jī)端口是不一樣的。而交換機(jī)則是根據(jù)端口來判斷是屬于哪個(gè)交換機(jī)的。可見，若是靜態(tài)配置虛擬局域網(wǎng)的話，就比較死板，當(dāng)員工位置變化時(shí)，交換機(jī)部能夠智能的進(jìn)行判斷，員工的電腦是屬于哪個(gè)網(wǎng)絡(luò)。所以，對于員工位置經(jīng)常發(fā)生變化，或者有移動(dòng)辦公需求的企業(yè)來說，采用這種工作方式的交換機(jī)是不怎么合適的。

另外一種工作方式就是動(dòng)態(tài)的分配虛擬局域網(wǎng)的端口。這個(gè)工作方式具體又有很多的實(shí)現(xiàn)方式。

1、可以基于Mac地址進(jìn)行虛擬局域網(wǎng)的劃分。用戶每臺(tái)電腦都有一個(gè)唯一的MAC地址，而且一般我們網(wǎng)絡(luò)管理員都可以通過種種手段限制用戶對這個(gè)MAC地址進(jìn)行更改。在具體管理的時(shí)候，我們可以先收集用戶的MAC地址，然后根據(jù)MAC地址在交換中設(shè)置虛擬局域網(wǎng)。當(dāng)用戶連接到交換機(jī)的時(shí)候，交換機(jī)就會(huì)根據(jù)用戶電腦MAC地址的不同，選擇對應(yīng)的虛擬局域網(wǎng)。如此的話，明顯當(dāng)研發(fā)部門經(jīng)理把筆記本電腦從研發(fā)部門辦公室搬到會(huì)議室的時(shí)候，其還是屬于研發(fā)部門的局域網(wǎng)，因?yàn)殡m然其端口改變了，但是其MAC地址沒有改變，所以，其原有的網(wǎng)絡(luò)性質(zhì)也沒有改變。不過，這個(gè)處理方式也有一個(gè)麻煩，就是每當(dāng)企業(yè)新增一臺(tái)主機(jī)或者更換一快網(wǎng)卡的時(shí)候，就可能需要改變虛擬局域網(wǎng)交換機(jī)的配置，這可能會(huì)稍微麻煩一點(diǎn)。另外，這種工作方式對于交換機(jī)的效率也會(huì)有影響。因?yàn)榻粨Q機(jī)每進(jìn)行一次通信，就需要判斷這個(gè)數(shù)據(jù)包的MAC地址是屬于哪個(gè)虛擬局域網(wǎng)的，能否進(jìn)行轉(zhuǎn)發(fā)等等，所以，采用這種工作方式的交換機(jī)，效率會(huì)低一些。

2、基于用戶名密碼的虛擬局域網(wǎng)劃分。這主要是根據(jù)用戶登錄網(wǎng)絡(luò)用戶名與密碼來判斷應(yīng)該是屬于哪個(gè)局域網(wǎng)的。不過一般這種處理方式，往往是在特殊的場合中應(yīng)用。如為了信息安全性考慮，把某個(gè)特殊的文件服務(wù)器，如這個(gè)服務(wù)器只允許特定的用戶訪問，就把這個(gè)文件服務(wù)器放在一個(gè)虛擬局域網(wǎng)內(nèi)。如此的話，其他用戶需要訪問這臺(tái)服務(wù)器的話，就需要先利用用戶名與密碼，訪問這個(gè)網(wǎng)絡(luò)。若用戶名密碼不對的話，就不能訪問這個(gè)網(wǎng)絡(luò)，更加不能訪問這個(gè)服務(wù)器了。

3、基于策略的訪問。這種訪問方法是把以上一種方式混合起來，如MAC地址、IP地址、協(xié)議等等，用戶根據(jù)一定的規(guī)則，可以設(shè)置眾多的參數(shù)來進(jìn)行虛擬局域網(wǎng)的劃分。如雖然是同一臺(tái)主機(jī)，但是其訪問網(wǎng)絡(luò)的協(xié)議不同，就可以劃分為不同的虛擬局域網(wǎng)。這種處理方式，一般在企業(yè)網(wǎng)絡(luò)中不怎么經(jīng)常用到。因?yàn)檫@種處理方式會(huì)大大降低虛擬局域網(wǎng)交換機(jī)的處理性能，而且在實(shí)際應(yīng)用中，一般企業(yè)也不需要這么復(fù)雜的控制。他主要用于對于安全程度要求特別高，如銀行企業(yè)用的比較多。而在一般企業(yè)中，用這種處理方式的話，就有點(diǎn)牛刀小用的感覺。

二、 操作方式的選擇

一般配置虛擬局域網(wǎng)有兩種方式，一是基于命令行的，二是基于圖形的。這兩種處理方式各有各的優(yōu)點(diǎn)。

若是通過命令行管理虛擬局域網(wǎng)的，管理效率要比較高，因?yàn)榛�于命令行的管理模式，其命令的�?zhí)行效率比較高。所以，一般局域網(wǎng)管理的高手，都喜歡采用命令行，而不會(huì)采用圖形界面的管理方式。

另外一種是基于WEB技術(shù)的圖形管理界面。這種管理方式，很明顯非常的直觀，但是，需要開啟交換機(jī)上的一些服務(wù)。這對于交換機(jī)來說，不怎么安全，容易受到病毒或者木馬的攻擊。所以，若從安全性上考慮，采用這種管理模式是不怎么明智的。不過這種處理方式由于其簡便、直觀，所以，比較受新手的歡迎。

在選購虛擬局域網(wǎng)交換機(jī)的時(shí)候，網(wǎng)絡(luò)管理員要根據(jù)自己的實(shí)際情況，選擇合適的處理方式，并選購那些支持這種處理方式的交換機(jī)，以免到時(shí)會(huì)搬起石頭砸了自己的腳。

三、 虛擬局域網(wǎng)的通信問題

有時(shí)候，我們可能不只在一個(gè)交換機(jī)上實(shí)現(xiàn)虛擬局域網(wǎng)的管理，而可能在三個(gè)交換機(jī)、甚至更多的交換機(jī)環(huán)境下，實(shí)現(xiàn)虛擬局域網(wǎng)的管理。也就是說，當(dāng)用戶數(shù)量多的時(shí)候，我們可能同一個(gè)虛擬局域網(wǎng)分布在多個(gè)局域網(wǎng)交換機(jī)上。如行政部門連接在交換機(jī)A上；而生產(chǎn)部門則連接在交換機(jī)B上，但是，行政部門與生產(chǎn)部門屬于同一個(gè)虛擬局域網(wǎng)，這該如何呢？所以，我們在選購交換機(jī)的時(shí)候，若需要在交換機(jī)上實(shí)現(xiàn)虛擬局域網(wǎng)的管理，就需要考慮是否存在這種情況。若確實(shí)有這種需求的話，則就要考慮，交換機(jī)是否支持這種跨越交換機(jī)的虛擬局域網(wǎng)管理？

另外，有時(shí)會(huì)不同的虛擬局域網(wǎng)也需要進(jìn)行通信。如研發(fā)部門雖然獨(dú)立的屬于一個(gè)局域網(wǎng)，但是，有時(shí)候，其也需要訪問行政部門電腦上的人事通知等等，這該如何管理？因?yàn)檫@要注意，這是單向的訪問。也就是說，行政部門不能夠訪問研發(fā)部門的網(wǎng)絡(luò)，而研發(fā)部門則需要訪問行政部門的網(wǎng)絡(luò)。若兩者之間隨意訪問的話，則直接可以通過路由器進(jìn)行相連就可以解決問題了。但是，現(xiàn)在是需要實(shí)現(xiàn)有限制的訪問。所以，這就給虛擬局域網(wǎng)的管理提出了一個(gè)新的挑戰(zhàn)。一般來說，我們可以通過路由器的訪問控制列表來實(shí)現(xiàn)這個(gè)需求�；蛘�，我們還可以通過網(wǎng)絡(luò)設(shè)計(jì)，巧妙防止電腦的位置從而實(shí)現(xiàn)這個(gè)需求。