引:我们发现计算机领域中使用的术语总是非常有趣。例如“虚拟”(Virtual)这个词,在计算机领域,它是指某件东西并不存在,但是通过软件模拟出来了。
笔者对“虚拟”这个概念最初的感受来自虚拟内存的使用。当操作系统用完(物理)内存的时候,它会将一部分数据从物理内存移动到虚拟内存(即从硬盘上开辟出一部分存储空间,以弥补物理内存不足的问题),以便让出物理内存处理其他的数据。这种“虚拟”概念所发挥出来的优势是显而易见的,当然人们将这种思想的应用领域并没有仅仅限于内存。
让我们来看看VLAN(虚拟LAN)。VLAN的功能和普通的LAN相同,但是相互连接的设备并不一定真的处在同一个物理段中。换句话说,VLAN是由多个网络组成的一个更大的网络。现在很多企业或机构已经使用VLAN技术实现对LAN的扩展,这样的网络可以包含数百台主机,跨域多个地点。此外,VLAN还允许用户将网络分段,在同一个物理网络中制造多个独立的网络,当数据在这些小网络之间传输时会经过过滤。通常,一个组织可以为不同的部门建立彼此独立的VLAN,通过对网络中的某些通讯进行隔离来提高网络的性能。
VLAN技术除了适合于对以太网进行分段,还可以充当无线网络的安全工具。无线网络用户处在热点环境中时,往往面临着很大的安全威胁。出于安全方面的考虑,VLAN技术经常被用来将无线通信系统从其他网络通信系统中隔离出来。例如,假设你在企业的餐厅或者其他公共场所提供了无线连接,那么对于普通的Internet访问,可以将无线网络连接放到一个不受保护的VLAN中,它只和外面的网络进行通信,但是无法访问企业的内部网络;对于向企业内部网络的访问请求,用户必须进入另外一个独立的VLAN,它与网络其他部分之间的连接受到防火墙的保护。除此之外,还可以禁止用户加入VLAN网络,限制用户的访问以及防范有害的入侵行为。
如此以来,VLAN可以提供一些普通LAN所不具备的安全功能。恰当使用VLAN能够提高无线网络的安全性,此外还可以采用更多的安全手段(例如公钥架构)对敏感数据进行保护。既然VLAN有这么多优点,也意味着它的成本要比传统的LAN更高。VLAN实际上就是WAN,经常要用来组建空间上散布范围很广的网络,并采用额外的安全功能。因此,这会带来成本的增加。一般来说,VLAN比普通LAN的安装更加复杂,组建普通LAN时往往只需要将一栋建筑物中的计算机进行组织连接和配置。
VLAN的配置既可以是静态的也可以是动态的。静态配置可以实现更高的安全性,因此在目前的网络中最为常见。静态VLAN根据交换机的端口分配成员资格,而不是根据连接到端口上的设备的MAC地址进行分配。动态VLAN的安全性要低一点,应用也较少,VLAN的成员资格是根据设备或者主机的MAC地址进行分配的。简单地说,如果一个端口被配置为支持VLAN,当它和主机连接时,交换机会决定哪个特定的MAC地址属于哪个VLAN,然后将其纳入对应的VLAN中。
尽管静态配置具有更好的安全性,但是它仍然无法保证绝对安全。虽然它能防止网络通信的偶然泄露,但是VLAN也有它自己的安全缺陷,例如VLAN出现“跳跃”现象时,从一个VLAN发出的数据包可能会被传送到其他VLAN中,或者被其他VLAN截获,VLAN的安全将因此而受到威胁。
经验丰富的黑客会利用这些缺陷窃取密码或者其他关键数据,他们可以在VLAN的第二交换层中做到这一点。由于普通的交换机并不能担任防火墙或者路由器的角色,因此在这类攻击面前其安全性显得比较脆弱。幸运的是,新型的智能交换机将解决这个问题,帮助VLAN抵御这种攻击,VLAN的安全价值也将进一步提高。
|
