保障企業(yè)信息安全 VLAN交換機選購分析

隨著企業(yè)對于信息安全性重視程度的加強，越來越多的企業(yè)開始考慮，在企業(yè)內(nèi)部部署虛擬局域網(wǎng)，目的就是為了能夠把一些企業(yè)的機密部門，如研發(fā)部門的網(wǎng)絡通過虛擬局域網(wǎng)隔離開來，以實現(xiàn)數(shù)據(jù)的安全性。為此，企業(yè)對于VLAN交換機的需求也就越來越大。

一、 VLAN的工作方式的選擇

VLAN的工作方式，使我們選擇VLAN交換機的主要標準之一�，F(xiàn)在的VLAN交換機，工作方式主要分為兩種，一種是靜態(tài)的端口配置，也就是說，我們在虛擬局域網(wǎng)管理的時候，可以把交換機的某幾個端口設置成為一個局域網(wǎng)，而把另外一個端口設置成為另外一個虛擬局域網(wǎng)。在交換機設置完成之后，這些端口屬于哪個虛擬局域網(wǎng)就是固定了的。這就會產(chǎn)生一個問題，如研發(fā)部分經(jīng)理原來是屬于研發(fā)部門的網(wǎng)絡，但是現(xiàn)在他拿著筆記本到會議室開會，他在會議室上網(wǎng)的話，就不是屬于研發(fā)部門的網(wǎng)絡帶了，因為在會議室上網(wǎng)跟他在辦公室上網(wǎng)的話，所用的交換機端口是不一樣的。而交換機則是根據(jù)端口來判斷是屬于哪個交換機的�？梢�，若是靜態(tài)配置虛擬局域網(wǎng)的話，就比較死板，當員工位置變化時，交換機部能夠智能的進行判斷，員工的電腦是屬于哪個網(wǎng)絡。所以，對于員工位置經(jīng)常發(fā)生變化，或者有移動辦公需求的企業(yè)來說，采用這種工作方式的交換機是不怎么合適的。

另外一種工作方式就是動態(tài)的分配虛擬局域網(wǎng)的端口。這個工作方式具體又有很多的實現(xiàn)方式。

1、可以基于Mac地址進行虛擬局域網(wǎng)的劃分。用戶每臺電腦都有一個唯一的MAC地址，而且一般我們網(wǎng)絡管理員都可以通過種種手段限制用戶對這個MAC地址進行更改。在具體管理的時候，我們可以先收集用戶的MAC地址，然后根據(jù)MAC地址在交換中設置虛擬局域網(wǎng)。當用戶連接到交換機的時候，交換機就會根據(jù)用戶電腦MAC地址的不同，選擇對應的虛擬局域網(wǎng)。如此的話，明顯當研發(fā)部門經(jīng)理把筆記本電腦從研發(fā)部門辦公室搬到會議室的時候，其還是屬于研發(fā)部門的局域網(wǎng)，因為雖然其端口改變了，但是其MAC地址沒有改變，所以，其原有的網(wǎng)絡性質(zhì)也沒有改變。不過，這個處理方式也有一個麻煩，就是每當企業(yè)新增一臺主機或者更換一快網(wǎng)卡的時候，就可能需要改變虛擬局域網(wǎng)交換機的配置，這可能會稍微麻煩一點。另外，這種工作方式對于交換機的效率也會有影響。因為交換機每進行一次通信，就需要判斷這個數(shù)據(jù)包的MAC地址是屬于哪個虛擬局域網(wǎng)的，能否進行轉(zhuǎn)發(fā)等等，所以，采用這種工作方式的交換機，效率會低一些。

2、基于用戶名密碼的虛擬局域網(wǎng)劃分。這主要是根據(jù)用戶登錄網(wǎng)絡用戶名與密碼來判斷應該是屬于哪個局域網(wǎng)的。不過一般這種處理方式，往往是在特殊的場合中應用。如為了信息安全性考慮，把某個特殊的文件服務器，如這個服務器只允許特定的用戶訪問，就把這個文件服務器放在一個虛擬局域網(wǎng)內(nèi)。如此的話，其他用戶需要訪問這臺服務器的話，就需要先利用用戶名與密碼，訪問這個網(wǎng)絡。若用戶名密碼不對的話，就不能訪問這個網(wǎng)絡，更加不能訪問這個服務器了。

3、基于策略的訪問。這種訪問方法是把以上一種方式混合起來，如MAC地址、IP地址、協(xié)議等等，用戶根據(jù)一定的規(guī)則，可以設置眾多的參數(shù)來進行虛擬局域網(wǎng)的劃分。如雖然是同一臺主機，但是其訪問網(wǎng)絡的協(xié)議不同，就可以劃分為不同的虛擬局域網(wǎng)。這種處理方式，一般在企業(yè)網(wǎng)絡中不怎么經(jīng)常用到。因為這種處理方式會大大降低虛擬局域網(wǎng)交換機的處理性能，而且在實際應用中，一般企業(yè)也不需要這么復雜的控制。他主要用于對于安全程度要求特別高，如銀行企業(yè)用的比較多。而在一般企業(yè)中，用這種處理方式的話，就有點牛刀小用的感覺。

二、 操作方式的選擇

一般配置虛擬局域網(wǎng)有兩種方式，一是基于命令行的，二是基于圖形的。這兩種處理方式各有各的優(yōu)點。

若是通過命令行管理虛擬局域網(wǎng)的，管理效率要比較高，因為基于命令行的管理模式，其命令的執(zhí)行效率比較高。所以，一般局域網(wǎng)管理的高手，都喜歡采用命令行，而不會采用圖形界面的管理方式。

另外一種是基于WEB技術的圖形管理界面。這種管理方式，很明顯非常的直觀，但是，需要開啟交換機上的一些服務。這對于交換機來說，不怎么安全，容易受到病毒或者木馬的攻擊。所以，若從安全性上考慮，采用這種管理模式是不怎么明智的。不過這種處理方式由于其簡便、直觀，所以，比較受新手的歡迎。

在選購虛擬局域網(wǎng)交換機的時候，網(wǎng)絡管理員要根據(jù)自己的實際情況，選擇合適的處理方式，并選購那些支持這種處理方式的交換機，以免到時會搬起石頭砸了自己的腳。

三、 虛擬局域網(wǎng)的通信問題

有時候，我們可能不只在一個交換機上實現(xiàn)虛擬局域網(wǎng)的管理，而可能在三個交換機、甚至更多的交換機環(huán)境下，實現(xiàn)虛擬局域網(wǎng)的管理。也就是說，當用戶數(shù)量多的時候，我們可能同一個虛擬局域網(wǎng)分布在多個局域網(wǎng)交換機上。如行政部門連接在交換機A上；而生產(chǎn)部門則連接在交換機B上，但是，行政部門與生產(chǎn)部門屬于同一個虛擬局域網(wǎng)，這該如何呢？所以，我們在選購交換機的時候，若需要在交換機上實現(xiàn)虛擬局域網(wǎng)的管理，就需要考慮是否存在這種情況。若確實有這種需求的話，則就要考慮，交換機是否支持這種跨越交換機的虛擬局域網(wǎng)管理？

另外，有時會不同的虛擬局域網(wǎng)也需要進行通信。如研發(fā)部門雖然獨立的屬于一個局域網(wǎng)，但是，有時候，其也需要訪問行政部門電腦上的人事通知等等，這該如何管理？因為這要注意，這是單向的訪問。也就是說，行政部門不能夠訪問研發(fā)部門的網(wǎng)絡，而研發(fā)部門則需要訪問行政部門的網(wǎng)絡。若兩者之間隨意訪問的話，則直接可以通過路由器進行相連就可以解決問題了。但是，現(xiàn)在是需要實現(xiàn)有限制的訪問。所以，這就給虛擬局域網(wǎng)的管理提出了一個新的挑戰(zhàn)。一般來說，我們可以通過路由器的訪問控制列表來實現(xiàn)這個需求。或者，我們還可以通過網(wǎng)絡設計，巧妙防止電腦的位置從而實現(xiàn)這個需求。