日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

如何增強VLAN的安全性

云知道

千兆以太網(wǎng)技術(shù)作為當前的主流局域網(wǎng)技術(shù) , 已經(jīng)得到廣泛應(yīng)用 。千兆以太網(wǎng)對QoS的保證來源于兩個方面:一是標準和協(xié)議的制定 , 如IEEE802.1Q/P、RSVP等;二是第三層交換技術(shù)的應(yīng)用 。在QoS的實現(xiàn)策略方面 , 千兆以太網(wǎng)與ATM一樣 , 也分為4種 , 即業(yè)務(wù)分類、排隊機制、帶寬治理和擁塞控制 。在LAN交換技術(shù)中 , 虛擬局域網(wǎng)(VLAN/L3交換)是一種迅速發(fā)展的技術(shù) 。VLAN/L3交換技術(shù)的引入給網(wǎng)絡(luò)設(shè)計、治理和維護帶來某些根本性的改變 , 使得計算機設(shè)備的互聯(lián)和治理不再受地理環(huán)境和位置的制約;使網(wǎng)絡(luò)結(jié)構(gòu)變得靈活、方便、隨心所欲 。隨著VLAN / L3技術(shù)的廣泛應(yīng)用 , 技術(shù)人員提出了新的要求: 是否可以基于LAN環(huán)境提供某些服務(wù)質(zhì)量(QoS)特性 , 以實現(xiàn)對VLAN用戶流量控制方面的治理呢? 針對不同網(wǎng)絡(luò)設(shè)備生產(chǎn)廠家的不同產(chǎn)品 , 具體可以實現(xiàn)的QoS特性會有較大區(qū)別 。以3Com公司的企業(yè)級千兆交換機Switch4007為例 , 簡單討論基于該型千兆交換機的QoS特性來增強VLAN安全性的實現(xiàn)方法 。制定VLAN之間的訪問控制策略 一個典型的校園網(wǎng)環(huán)境 , 一般可以根據(jù)不同的業(yè)務(wù)部門來劃分VLAN 。我們把所有的外來人員、流動用戶或是學(xué)生 , 劃到一個獨立的VLAN9 。出于保護內(nèi)部網(wǎng)絡(luò)安全的考慮 , 我們要限制VLAN9用戶對校園網(wǎng)內(nèi)部其他VLAN的訪問 , 同時答應(yīng)VLAN9用戶向外的合法訪問 ?;诖?, 我們制定了如下過濾規(guī)則: ● 答應(yīng)VLAN9用戶訪問DHCP服務(wù)器; ● 答應(yīng)VLAN9用戶訪問FireWall服務(wù)器; ● 答應(yīng)VLAN9用戶訪問校園網(wǎng)內(nèi)部的一些應(yīng)用服務(wù)器 , 如VOD視頻點播服務(wù)器; ● 不答應(yīng)VLAN9用戶訪問其他VLAN用戶; ● 答應(yīng)VLAN9用戶訪問Internet 。訪問控制策略在3Com 4007上的實現(xiàn) (1)創(chuàng)建classfier Classfier用于實現(xiàn)源網(wǎng)絡(luò)/源端口到目的網(wǎng)絡(luò)/目的端口的流量定義 。在本文中 , 不答應(yīng)9網(wǎng)段訪問其他網(wǎng)段 , 只能上網(wǎng) , 定義規(guī)則如表1所示 。具體實現(xiàn)步驟可以參考有關(guān)技術(shù)手冊 ?;舅悸肥菍崿F(xiàn)VLAN9→VLAN1、VLAN1→VLAN9、VLAN9→ VLAN2、VLAN2→VLAN9的流量定義 , 假如網(wǎng)絡(luò)中存在其他VLAN , 可以用相同方法實現(xiàn) 。完成了對所有VLAN的流量定義后 , 就定義完了Classfier 9-to-otherlan , 序號為99 。在創(chuàng)建classfier的過程中 , 序號非常重要 , 它決定了控制策略執(zhí)行的順序 。其他Classfier的定義方法可以參見9-to-otherlan的定義步驟 。(2)創(chuàng)建Control實現(xiàn)對Classfier的控制 創(chuàng)建Control來控制各個Classfier , 包括答應(yīng)、拒絕、速率等級等 , 最重要的是答應(yīng)/拒絕操作 。Control的序列號有順序要求 , 先執(zhí)行低級別的Control 。其定義規(guī)則如表2所示 。具體實現(xiàn)步驟可以參考有關(guān)技術(shù)手冊 。基本思路是首先完成對Control 15到 Internet及Control 14到otherlan的定義 , 其他Control的定義方法可以參考上述步驟完成 。【如何增強VLAN的安全性】在3Com 4007上完成了設(shè)計的過濾規(guī)則后 , 還需要在實際的網(wǎng)絡(luò)環(huán)境中做必要的測試 , 以保證所做的設(shè)置是成功的、有效的 。

    推薦閱讀