交换机技术在局域网安全中的应用

随着网络技术的快速发展，人们的生活、工作、学习越来越离不开网络。网络的重要性日益增加，其安全保障性也是大家共同关注的问题。如何通过交换机技术来阻止黑客、病毒的攻击，确保网络的安全性，是构建局域网人们应研究的问题。

1 交换机的功能

安全性。交换机会认证和配置每一台接入点，当接入点没有得到正确地认证或配置时，交换机将断开它的连接。并且交换机还可以确保所有经过授权的接入点都遵守安全策略。接入点可被配置为只允许从交换机上修改安全策略，防止黑客通过一条控制台线缆将便携机连接在接入点上，修改配置，来破坏网络的安全。如果黑客试图切断合法的接入点，交换机将从物理层面切断欺诈接入点到企业网络的连接。

智能性。交换机可以改善用户漫游经过覆盖黑洞时移动设备间歇掉线的情况。交换机可以完全掌握移动设备失去与接入点的无线连接的情况，继续保持与应用服务器的可用连接。最差情况是用户可能经历应用延时，但应用依然可供使用并随时可从它断开的地方重新开始。

2 局域网现状及存在问题

局域网的三层网络结构模型，即核心层、汇聚层和接入层。每个终端电脑均经过接入层交换机接入，再经汇聚层交换机连入核心路由交换机，实现对应用层的访问控制。由于网络技术的发展，目前局域网范围广阔，地理位置不集中，不便于统一管理，通常会存在以下安全隐患：1）随意更换电脑网线接入外网及接插外置存储器等原因导致计算机病毒及木马的感染；2）安装操作系统补丁漏洞安装修复不及时，极易感染蠕虫病毒、僵尸病毒等；3）电脑私自卸载或不安装防病毒软件，感染病毒没有及时发现、处理。

3 局域网安全策略

3.1 虚拟局域网VALN

虚拟局域网（VLAN）是一种将局域网设备从逻辑上划分成每个网段，从而实现虚拟工作组的新兴数据交换技术。由于它是从逻辑上划分，所以同一个VLAN内的各个工作站可以在不同物理LAN网段。由于一个VLAN内部的广播和单播流量不会转发到其他VLAN中，从而方便于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

根据VLAN划分原则，划分方法主要有三种：1）根据端口的划分。是运用交换机的端口来划分VLAN成员，被设定的端口都在同一个广播域中，此方法配置过程简单明了。目前，这种根据端口来划分VLAN成员的方法是最常用的。2）根据MAC地址划分。是根据每个主机的MAC地址来划分，即对每个MAC地址的主机配置它属于哪个组。这种划分VLAN方法的最大优点就是当交换机物理位置移动时，VLAN不用重新配置。3）根据网络层划分。是根据每个主机的网络层地址或协议类型划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。VLAN优点：有效控制广播风暴；提高网络整体安全性，如限制网络中的计算机相互访问权限；网络管理简单、直观；实现不同地域部门内的局域网通信。

3.2 IP与MAC绑定+ACL规则

IP地址是根据现在的IPv4标准指定的，不受硬件限制比较容易记忆的地址，长度4个字节。MAC地址是用网卡的物理地址，保存在网卡的EPROM里面，与硬件有关系。IP地址的修改容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，但也因MAC地址不匹配而无法使用，而且由于网卡MAC地址是唯一，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

3.3 利用NetFlow应用程序增强网络安全性

局域网一旦遭到大规模分布式拒绝服务攻击，就会对大量用户的正常网络使用造成影响，严重甚至会网络瘫痪。如何检测网络中的异常行为和可疑行为，例如，传播中的蠕虫或DoS攻击。交换机在网络中总是“星罗棋布”，因此可以用来探测拒绝服务攻击，甚至蠕虫病毒，也是一种好的方法。在Cisco路由器以及某些高端交换机上使用Net-Flow，通过NFC采集NetFlow数据，对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。

一个Netflow系统包括三个主要部分：探测器，采集器，报告系统。探测器是用来监听网络数据的。采集器是用来收集探测器传来的数据的。报告系统是用来从采集器收集到的数据产生易读的报告的。Netflow常与流量监控管理软件联合使用，通过流量大小变化的监控，可以帮助发现异常流量，特别是大流量异常流量的流向，从而进一步查找异常流量的源、目的地址，及时处理异常问题。

3.4 访问控制列表

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。采用了访问控制列表ACL来实现包过滤防火墙的安全功能，增强安全防范能力。访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。

3.5 交换机端口安全

最常用的端口安全就是根据MAC地址来做对网络流量的控制和管理，即MAC地址与交换机端口绑定。MAC地址与端口绑定后，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将dow n掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。也可以通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，来自新的主机的数据帧将丢失。通过MAC地址绑定在一定程度上可保证内网安全。

3.6 防病毒安全系统

局域网一般安装网络版防病毒软件系统，通过服务器可实现对所有局域网终端电脑进行病毒查杀及系统软件的补丁安装。通过对服务器的防病毒安全检查，统计未安装防病毒软件和未及时安装操作系统漏洞补丁的电脑IP。根统计，通过在汇聚层交换机的ACL允许列表中进行手工操作，使其不能访问内部网络系统，并通知相关管理人员进行处理，待系统检查合格后重新加入列表，进行合法访问。

4 结语

交换机技术在局域网安全应用中起着重大的作用，更加突出交换机在现代网络中重要地位。由于在现代网络中使用着各种交换机，其性能、原理、安全设置方式也不尽相同，要注意运用交换机相关协议、特性、功能来增加局域网网络安全。同时，局域网的安全还要依靠其他网络设备及软件的配合，更有赖于网络管理人员创新研究，为维护网络安全作贡献。