摘要：目前网络的安全性能是人们最为关注的问题之一。而其中局域网和企业内部网络当中的安全性更是成为焦点。许多的解决方案被人们提出来解决网络的安全问题。

第1页:802.1x标准 第2页:虚拟局域网（VLAN）技术

 
　　
　　虚拟局域网（VLAN）技术
　　
　　虚拟局域网是人们非常熟悉的一个交换机功能。也是应用广泛的一个安全策略。虚拟局域网络是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：1、基于端口的VLAN划分，2、基于MAC地址的VLAN划分，3、基于路由的VLAN划分。就目前来说，对于VLAN的划分主要采取上述第1、3种方式。
　　
　　通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。而且通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。这样也使的网络管理变的简单、直观。
　　
　　“惩罚箱”策略
　　
　　下面介绍一种基于交换机的安全策略。目前一些学校发现一些学生总是尝试着攻击学校的数据库服务器，或者一些学生下载大量的多媒体文件，这些事情对网络拥塞非常严重使得网络访问变的很慢。针对这些问题，学校里使用了三层和四层交换机，并且建立安全策率以限制网络带宽和网络访问，这样有效的防止的学生的黑客行为和对带宽的占用。
　　
　　这些方法也被一些使用私用网络的公司中的E1交换机所采用。这些E1交换机支持三层和四层的服务例如基于IP地址，UDP协议端口和媒体访问控制层（MAC）地址的速度限制和访问控制列表（ACL）。UPN软件可以有效的利用这些特性使得网络的管理人员制定一些策略和具有一定限制的访问角色：一个全部特性的角色可能包括对全部服务的访问，并且保证在每秒100M的速度。而一个具有限制的角色（受限制的访问者或者和“惩罚箱”有关的一些人）可能被禁止对因特网的访问，只保留了一些电子邮箱和企业内部网服务的访问。并且被限制在一个比全部特性角色要低的带宽。
　　
　　在一些学校里ACL也被用来限制学生的活动，通过限制一定的IP地址组访问服务器和其他的禁止学生反问的资源就可以很好的保护网络的安全和性能。思科的Catalyst3550和2950交换机就具有三层ACL，包过滤和802.1x授权的功能，可以很好的用来保护校园网络中局域网的安全。这些智能的局域网交换机可以帮助学校使学生访问更多的服务而同时又能保护重要的资源如财务系统的服务器---仅仅可以让授权的用户访问。
　　
　　结论：
　　
　　许多的交换机都支持下面的这些功能，使用这些技术和协议可以很好的帮助用户对网络资源的访问控制。业界普遍认为安全应该遍布于整个网络之内，内网到外网的安全既需要通过防火墙之类的专业安全设备来解决，也需要交换机在保护用户方面发挥作用。目前，绝大多数用户对通过交换机解决安全问题抱积极态度，很多用户打算今后在实践中对交换机采取安全措施，希望通过加固遍布网络的交换机来实现安全目标。
　　
　　责任编辑：Honey