浅析VLAN及其安全性毕业论.docx
- 文档编号:12322924
- 上传时间:2023-04-18
- 格式:DOCX
- 页数:25
- 大小:97.61KB
浅析VLAN及其安全性毕业论.docx
《浅析VLAN及其安全性毕业论.docx》由会员分享,可在线阅读,更多相关《浅析VLAN及其安全性毕业论.docx(25页珍藏版)》请在冰豆网上搜索。
浅析VLAN及其安全性毕业论
毕业论文
浅析VLAN及其安全性
毕业设计(论文)原创性声明和使用授权说明
原创性声明
本人郑重承诺:
所呈交的毕业设计(论文),是我个人在指导教师的指导下进行的研究工作及取得的成果。
尽我所知,除文中特别加以标注和致谢的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得及其它教育机构的学位或学历而使用过的材料。
对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了谢意。
作者签名:
日 期:
指导教师签名:
日 期:
使用授权说明
本人完全了解大学关于收集、保存、使用毕业设计(论文)的规定,即:
按照学校要求提交毕业设计(论文)的印刷本和电子版本;学校有权保存毕业设计(论文)的印刷本和电子版,并提供目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制手段保存论文;在不以赢利为目的前提下,学校可以公布论文的部分或全部内容。
作者签名:
日 期:
学位论文原创性声明
本人郑重声明:
所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。
除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律后果由本人承担。
作者签名:
日期:
年月日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
涉密论文按学校规定处理。
作者签名:
日期:
年月日
导师签名:
日期:
年月日
注意事项
1.设计(论文)的内容包括:
1)封面(按教务处制定的标准封面格式制作)
2)原创性声明
3)中文摘要(300字左右)、关键词
4)外文摘要、关键词
5)目次页(附件不统一编入)
6)论文主体部分:
引言(或绪论)、正文、结论
7)参考文献
8)致谢
9)附录(对论文支持必要时)
2.论文字数要求:
理工类设计(论文)正文字数不少于1万字(不包括图纸、程序清单等),文科类论文正文字数不少于1.2万字。
3.附件包括:
任务书、开题报告、外文译文、译文原文(复印件)。
4.文字、图表要求:
1)文字通顺,语言流畅,书写字迹工整,打印字体及大小符合要求,无错别字,不准请他人代写
2)工程设计类题目的图纸,要求部分用尺规绘制,部分用计算机绘制,所有图纸应符合国家技术标准规范。
图表整洁,布局合理,文字注释必须使用工程字书写,不准用徒手画
3)毕业论文须用A4单面打印,论文50页以上的双面打印
4)图表应绘制于无格子的页面上
5)软件工程类课题应有程序清单,并提供电子文档
5.装订顺序
1)设计(论文)
2)附件:
按照任务书、开题报告、外文译文、译文原文(复印件)次序装订
指导教师评阅书
指导教师评价:
一、撰写(设计)过程
1、学生在论文(设计)过程中的治学态度、工作精神
□优□良□中□及格□不及格
2、学生掌握专业知识、技能的扎实程度
□优□良□中□及格□不及格
3、学生综合运用所学知识和专业技能分析和解决问题的能力
□优□良□中□及格□不及格
4、研究方法的科学性;技术线路的可行性;设计方案的合理性
□优□良□中□及格□不及格
5、完成毕业论文(设计)期间的出勤情况
□优□良□中□及格□不及格
二、论文(设计)质量
1、论文(设计)的整体结构是否符合撰写规范?
□优□良□中□及格□不及格
2、是否完成指定的论文(设计)任务(包括装订及附件)?
□优□良□中□及格□不及格
三、论文(设计)水平
1、论文(设计)的理论意义或对解决实际问题的指导意义
□优□良□中□及格□不及格
2、论文的观念是否有新意?
设计是否有创意?
□优□良□中□及格□不及格
3、论文(设计说明书)所体现的整体水平
□优□良□中□及格□不及格
建议成绩:
□优□良□中□及格□不及格
(在所选等级前的□内画“√”)
指导教师:
(签名)单位:
(盖章)
年月日
评阅教师评阅书
评阅教师评价:
一、论文(设计)质量
1、论文(设计)的整体结构是否符合撰写规范?
□优□良□中□及格□不及格
2、是否完成指定的论文(设计)任务(包括装订及附件)?
□优□良□中□及格□不及格
二、论文(设计)水平
1、论文(设计)的理论意义或对解决实际问题的指导意义
□优□良□中□及格□不及格
2、论文的观念是否有新意?
设计是否有创意?
□优□良□中□及格□不及格
3、论文(设计说明书)所体现的整体水平
□优□良□中□及格□不及格
建议成绩:
□优□良□中□及格□不及格
(在所选等级前的□内画“√”)
评阅教师:
(签名)单位:
(盖章)
年月日
教研室(或答辩小组)及教学系意见
教研室(或答辩小组)评价:
一、答辩过程
1、毕业论文(设计)的基本要点和见解的叙述情况
□优□良□中□及格□不及格
2、对答辩问题的反应、理解、表达情况
□优□良□中□及格□不及格
3、学生答辩过程中的精神状态
□优□良□中□及格□不及格
二、论文(设计)质量
1、论文(设计)的整体结构是否符合撰写规范?
□优□良□中□及格□不及格
2、是否完成指定的论文(设计)任务(包括装订及附件)?
□优□良□中□及格□不及格
三、论文(设计)水平
1、论文(设计)的理论意义或对解决实际问题的指导意义
□优□良□中□及格□不及格
2、论文的观念是否有新意?
设计是否有创意?
□优□良□中□及格□不及格
3、论文(设计说明书)所体现的整体水平
□优□良□中□及格□不及格
评定成绩:
□优□良□中□及格□不及格
教研室主任(或答辩小组组长):
(签名)
年月日
教学系意见:
系主任:
(签名)
年月日
内容摘要
无线通信和Internet的迅速发展给人们的生活方式和生活质量带来了巨大变化,大家随时随地浏览新闻、收发电子邮件、欣赏多媒体影音、聊天、对战网络游戏、不受空间限制[1]的享受生活的乐趣。
本文在设计中,采用了VLAN技术,通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组[2],在不改动网络物理连接的情况下可以任意移动工作站组成新的逻辑工作组或虚拟子网,从而提高了系统的运作性能,起到了均衡网络数据流量,合理利用网络资源的作用。
有效利用VLAN技术,根据不同需要实施不同策略,统筹规划,科学设计,完全可以建设稳定性好、管理性强、安全性高的网络。
[关键词]无线通信VLAN稳定性
1VLAN技术背景1
1.1VLAN技术产生背景1
1.2VLAN技术的定义1
1.3VLAN技术的特征1
1.4VLAN技术的发展2
1.5VLAN技术的应用2
1.6VLAN技术的优点2
1.7VLAN技术的局限性3
2本课题的意义3
3VLAN技术的讨论4
3.1TRUNK链路技术4
3.2VTP协议5
3.3VLAN之间的通信7
3.4VLAN的划分方式9
3.5VLAN间通信13
注释16
参考文献17
致谢18
1VLAN技术背景
1.1VLAN技术产生背景
虚拟网技术(VLAN,VirtualLocalAreaNetwork)的诞生主要源于广播。
广播在网络中起着非常重要的作用,如发现新设备、调整网络路径、IP地址租赁等等,许多网络协议都要用到广播,局域网通常被定义为一个单独的广播域[3],主要使用集线器或交换机等网络设备连接同一网段内的所有节点。
然而,随着网络内计算机数量的增多,广播包的数量也会急剧增加,网络的传输效率将会明显下降。
所以当所有的网络节点都处于同一个广播域内,这大大增加了网络中所有设备之间的数据流量。
随着网络的不断扩充,很有可能出现广播风暴,导致整个网络无法使用。
在网络中的数据保密要求和网络的组织结构上的要求等这些问题都促使了虚拟局域网的诞生。
1.2VLAN技术的定义
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。
虚拟网在逻辑上等于OSI模型的第三层的广播域,与具体的物理网及地理位置无关,虚拟工作组可以包含不同位置的部门和工作组,不必在物理上重新配置任何端口,真正实现了网络用户与它们的物理位置无关。
它以其高速、灵活、管理简便和扩充容易得到了广泛应用。
一方面,VLAN建立在局域网交换机的基础之上;另一个方面,VLAN是局域交换网的灵魂[4]。
VLAN用户能方便的在网络中移动和快捷的组建宽带网络,而无需改变任何硬件和通信线路。
网络管理员能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。
它与普通局域网从原理上讲没有什么不同,但它与普通局域网最基本的差异体现在:
VLAN并不局限于某一网络或物理范围,VLAN中的用户可以位于一个园区甚至国家的任意位置。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案[5]。
1.3VLAN技术的特征
VLAN的特性使局域网的通信流量控制和数据保密性方面有了很大的提高,VLAN具有以下一些特征:
1 同一个VLAN中的所有成员共同拥有一个VLANID,在逻辑上组成一个虚拟局域网络;
2 同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包,但收不到其他VLAN
中成员发来的广播包。
不同的VLAN处在不同的广播域中;
3 不同VLAN的成员之间不可相互直接通信,需要通过路由支持才能相互通信,而同一VLAN中的成员通过VLAN交换机可以直接通信,不需路由支持。
1.4VLAN技术的发展
随着VLAN技术的逐渐发展,出现了VLAN中继协议和动态VLAN等技术,现在宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但其网络中的流量控制和数据保密性仍然存在很多问题。
现在已有的VTP技术、STP技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的问题,IEEE正在制定和完善IEEE802.1S和IEEE802.1W来改善VLAN的各种技术。
随着各种技术的逐步完善,VLAN也将在未来的网络中发挥出更多的功能。
1.5VLAN技术的应用
现在VLAN主要应用在以太局域网中,也可以用在ATM网络中。
因为现在很多的局域网均采用以太网,所以它适用于现在大部分企业、学校的局域网中,它能够隔离不同工作组的数据,因为一个VLAN内的用户不能和其它VLAN内的用户直接通信,所以可以保护用户的数据安全,减少网络的拥堵情况,提高网络的传输效率。
而且同一工作组的用户也不必局限于某一固定的物理范围,网络的构建和维护更方便灵活,这些种种的优点都使VLAN在局域网中广泛应用。
1.6VLAN技术的优点
1 增加了网络连接的灵活性
网络管理员对网络工作站可以按业务功能,而不必按地理位置分组。
VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
2 有效地控制网络上的广播风暴
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴。
使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组。
该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播风暴。
这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生[6]。
3 增加网络的安全性
人们在LAN上经常传送一些保密的、关键性的数据。
保密的数据应提供访问控制等安全手段。
一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。
交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
4 增加了集中化的管理控制
通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。
这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能,减少了管理的费用[7]。
1.7VLAN技术的局限性
随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,都要求保证网络用户通信的相对安全性,要求能防范各种病毒和攻击等,现在一般使用的做法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第二层隔离开,可以防止任何恶意的获取资料的行为和以太网数据的信息探听[8]。
但是,这种分配每个客户单一VLAN和IP子网的模式造成了巨大的可扩展方面的局限。
这些局限主要有以下几个方面。
1 VLAN数目的限制:
交换机上固有的对VLAN数目的限制;
2 复杂的STP:
对于每个VLAN,每个相关的SpanningTree的拓扑都需要管理,造成了交换机的巨大负载;
3 IP地址的紧缺:
IP子网的划分一定会造成一些IP地址的浪费,造成资源浪费;
路由的限制:
每个VLAN在路由器或者三层交换机上都需要相应的默认的网关的配置。
2本课题的意义
随着高校信息化建设的不断深入,高校网络建设的规模也在不断扩大,同时校园网多媒体教学、数据安全保障以及高速网络交换的大量应用,使网络数据流量骤然增大,
各种问题和故障也层出不穷[9]。
因此,如何构建高效、稳定、易管理的校园网,增强校园网的安全性和可控性,已经成为高等院校网络管理人员面临的重点课题,也是提高学校信息化应用水平和整体投资效益的关键。
VLAN技术在校园网内的应用,不但使得校园网络更加的安全,快速,并且也减轻了网络管理员的工作,保证了各个部门不同的要求和信息的安全,因此VLAN技术在校园局域网内的应用是明智之举。
在本文中主要使用基于端口的VLAN技术对校园网进行设计,具体实现了以下几个方面的作用:
1 通过VLAN的划分,控制内部各VLAN间的访问范围和权限,从而保障子网通信安全。
2 避免了IP地址使用混乱的情况.随着校园网规模增大,往往会出现IP地址使用混乱和IP地址盗用的状况.通过划分VLAN,各部门的IP地址是固定的一个地址段,VLAN之间不能互相盗用地址,管理起来条理非常清楚。
3 充分利用网络带宽,防止了广播风暴的产生,提高了网络传输效率。
当然VLAN在校园网的应用有利也有弊,由于它是根据端口逻辑地址进行网络划分,管理员无法很清楚地将网络的物理布局与逻辑结构相联系,这就要网络管理人员非常熟悉和了解网络设备的物理连接和逻辑连接,只有充分发挥它的长处,扬长避短,才能使校园网畅通无阻,充分发挥作用。
3VLAN技术的讨论
3.1TRUNK链路技术
Trunk技术是在两台交换机之间建立一条点到点的链路,每台交换机的相应端口称为中继端口。
一条中继链路可以传输多个VLAN的数据流,并允许用户将VLAN的范围从一台交换机扩展到另一台交换机[10]。
Trunk是一种封装技术,它是在两台交换机之间的一条点到点链路,主要功能就是仅通过一条链路就可以连接多个交换机,从而扩展已配置的多个VLAN,传输多个VLAN的数据流。
还可以采用通过Trunk技术和上级交换机级连接的方式来扩展端口的数量,将VLAN的范围从一台交换机扩展到另一台交换机,节省了网络硬件的成本,从而扩展整个网络。
TRUNK可通过的VLAN范围缺省下是1~1005,可以修改,但必须激活Trunk协议。
使用Trunk的端口不在任何VLAN中。
在校园网建设时,Trunk绝对是必需的.在设置Trunk后,Trunk链路不属于任何一个VLAN.Trunk链路在交换机之间起着VLAN管道的作用,交换机会将该Trunk以外及Trunk中的端口处于一个VLAN中的其他端口的负载自动分配到该Trunk中的各个端口.因为同一个VLAN中的端口之间会相互转发数据,而位于Trunk中的Trunk端口被当作一个端口来看待,因此在设置了Trunk后,该Trunk将自动加入其成员端口所属的VLAN中,而其成员端口则自动从VLAN中删除。
对于Trunk端口来说,其上允许通过的VLAN范围体现的是一种能力,与系统中是否存在对应的VLAN实体没有关系。
Trunk技术具有以下优点:
1 可以在不同的交换机之间连接多个VLAN,可以将VLAN扩展到整个网络中;
2 Trunk可以捆绑任何相关的端口,也可以随时取消设置,提供了很高的灵活性;
3 Trunk可以提供负载均衡能力以及系统容错.由于Trunk实时平衡各个交换机端口和服务器接口的流量,若某个端口出现故障,它会自动把故障端口从Trunk组中撤消,进而重新分配各个Trunk端口的流量,从而实现系统容错。
3.2VTP协议
VLAN中继协议最早由思科公司提出的[11]。
作为思科VLAN技术的重要组成部分,VTP减少了跨越网络设置VLAN的管理任务,减少了配置的不连续性。
VLAN干道协议是VLAN动态协议的一种,它能自动的在网络中传播VLAN的各种配置信息,因此能保持VLAN在网络中的连续性和统一性,VTP是一个交换机到交换机,交换机到路由器VLAN管理协议。
VTP是一种消息协议,它通过一台工作在服务器模式下的交换机,通过使用二层中继Frame在整个网络中负责管理VLAN的添加,删除和重命名。
从而保证VLAN在网络中的传播和统一,VTP负责在VLAN域内同步VLAN信息,能传播到每一台工作在客户机模式下的交换机中,从而简化了网络管理员的配置量,也减少了错误率。
图2.1为VTP的报文格式。
图2.1VTP报文格式
VTP要从Trunk中传输,所以一般VTP报文会封装在ISL或者dot1q中。
2.2.1VTP具有如下的优点:
1 VLAN配置在整个网络中都不变,且都保持一致;
2 在混合介质的网络中允许一个VLAN被中继的映射机制,能跨多个交换机;
3 能对VLAN进行精确的跟踪和控制;
4 全网范围内增加VLAN的动态报告。
为了在网络中管理和建立VLAN,所以必须建立一个VLAN管理域。
在域中能有相同的VLAN信息,在交换网络中,多个交换机构成了一个域。
VTP管理域由一组共享VTP域名的互联设备组成,同一VTP域中所有交换机共享它们的VLAN信息。
而且信息均相同,每个设备只能工作在一个VTP域,不同域中的交换机不能共享一个域中的VTP消息。
2.2.2VTP共有三种操作模式,分为服务器模式、客户机模式和透明模式。
1 服务器模式Server
当一台未经配置的思科交换机第一次工作的时候,它的默认配置模式是服务器模式。
VLAN在VTP服务器上被创建的时候,和其他VLAN配置信息一起存储在服务器的NVRAM并且当交换机重启的时候,配置信息还是被保留不会消失。
服务器模式中维持着该VTP域中所有VLAN信息列表,可以增加、删除或修改VLAN,VTP服务器周期性地广播VTP域名、VLAN配置,提供现行的配置修改号。
修改号是VTP域的一部分,它确保VTP域内的所有交换机有现行的、正确的VLAN配置信息。
2 客户机模式Client
客户交换机在NVRAM存储VLAN配置。
当客户交换机重启的时候,所有的VLAN配置信息丢失。
交换机启动完成后,需要发送一条VTP请求消息给VTP服务器,来获取现行的VLAN配置。
客户机只能从服务器模式下的交换机接收VLAN的各种信息,它也维护该VTP域中所有VLAN信息列表,但不能增加、删除或修改VLAN,任何变化的信息必须从VTPServer发布的通告报文中接收。
如果客户交换机要加入一个新的VLAN,VLAN必须被添加到VTP服务器上面去。
这样新的VLAN才能传递到所有的客户交换机。
当新的VLAN增加后,客户交换机上的端口会关联到新的VLAN。
3 透明模式Transparent
VTP透明模式和VTP客户模式不同,可以在交换机上手工配置本地的VLAN。
它如果是VTP域的一部分,可以从VTP服务器接收VLAN配置信息。
但是它不参与VTP工作,忽略所有接收到的
VTP信息,但能够将接收到的VTP报文转发出去。
它只拥有本设备上的VLAN信息,它不会通知VTP域本地配置的VLAN[12]。
所以,客户模式下的交换机也可以与透明模式下的交换机连接,交换各种VLAN信息。
3.3VLAN之间的通信
1.通过路由器实现VLAN间的通信
一个VLAN处在一个广播域中,VLAN之间在二层中是不能通信的,从而提高了网络的安全性,也解决了网络的广播控制问题。
如果想VLAN能通信,必须通过路由器或者三层交换机实现VLAN的通信。
可以利用路由器的多个端口实现VLAN间的路由选择。
这是最简单的一种方法,但是也是最浪费资源的一种方法,在现实生活中,路由器的造价往往很高,通过端口来实现VLAN路由选择的成本太高。
所以这种方法在现实中应用的很少,图2.5显示的是利用多个端口实现VLAN的路由选择。
图2.5利用路由器实现VLAN通信
2.通过三层交换实现VLAN通信
三层交换技术使一台交换机具有路由的功能。
传统的交换机工作在数据链路层,只能在第二层对数据进行转发,但是三层交换机能工作在网络层,并对数据进行高速转发,它解决了局域网中划分网段后必须通过路由器实现数据转发,和路由器造价高以及存在的网络瓶颈等问题。
三层交换技术的出现为VLAN的发展提供了更好的空间。
三层交换技术的原理是:
假设A和B要通信,A首先向交换机发送一个ARP请求包,寻找自己的缺省路由的MAC,然后将数据发送到交换机,若A和B在同一个子网中,直接通过二层转发出去,不再经过三层,若A和B不再同一个子网中,需要将数据转发到三层,在路由表中寻找匹配的条目,找到MAC地址,若存在直接在二层建立连接,使二层芯片处理数据通过二层转发可大大的节省时间,和提高效率。
若在表中无法找到相关项,需三层交换机将目的ip地址和路由表项对比,发送ARP数据包到目的主机,得到该主机的
MAC地址,然后再二层转发。
原理如图2.6所示。
图2.6三层交换原理
3.通过设置单臂路由实现VLAN间的通信
路由器与交换机之间是通过外部线路连接的,这
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 浅析 VLAN 及其 安全性 毕业