基于MAC地址VLAN划分的实际应用
2018-01-04高强葛先雷权循忠
高强 葛先雷 权循忠
摘要:基于MAC地址的VLAN是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。其可以根据每个端口所连的计算机,随时改变端口所属的VLAN,避免静态VLAN的频繁更改设定的操作,且由于计算机上网卡的MAC地址是全球唯一的,可以避免非法计算机的入侵登陆。结果表明,基于MAC地址划分的VLAN使得计算机不会因连接端口变化导致VLAN变化,增加了连接的灵活性;划分到特定VLAN的计算机只能访问相同VLAN的服务器,未被绑定MAC地址的计算机无法访问服务器,增强了计算机网络的安全性。
关键词:交换机;MAC地址:VLAN;安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)28-0015-02
1 引言
VLAN是指一种将局域网设备从逻辑上划分为一个个网段,从而实现虚拟工作组的数据交换技术。[1] 基于MAC地址的VLAN是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属,其可以根据每个端口所连的计算机,随时改变端口所属的VLAN,避免静态VLAN的频繁更改设定的操作。[2]由于计算机上网卡的MAC地址是全球唯一的,这样就可以避免非法计算机的入侵登陆。
2 设计原理
假定MAC地址“A”被交换机设定为属于VLAN “10”,那么不论MAC地址为“A”的这台计算机连在交换机哪个端口,该计算机都会被划分到VLAN 10。计算机连在端口1时,端口1属于VLAN 10;而计算机连在端口2时,则是端口2属于VLAN 10,相对于基于端口划分VLAN的静态方式,增加了连接的灵活性,而未被划分VLAN的MAC地址计算机是无法登陆访问的。
3 项目设计
组网场景:某公司财务部文件服务器IP地址为192.168.1.133/24,技术部文件服务器IP地址为192.168.1.199/24,两服务器连接在交换机上,财务部使用VLAN 10,技术部使用VLAN 20,为保证部门文件安全,要求只有经过MAC地址认证的计算机才能访问本部门的文件服务器,其他部门或未经过MAC地址认证的计算机均无法访问本部门文件服务器。(以烽火S5800交换机为例)。组网拓扑图如图1所示。
如图1所示,交换机1到10端口设置为混合端口,财务部和技术部计算机均可以连接,PC1为财务部计算机,PC2为技术部计算机,PC3为未划分VLAN的外来计算机。PC4为财务部文件服务器,PC5为技术部门文件服务器,PC4连接在22端口,PC5连接在24端口。
(1) 按照拓扑图连接各设备,设置各PC的IP地址、子网掩码如表1所示。
4 测试结果
测试使用Ping命令来检测网络的连通性。
(1)使用MAC地址为74:D0:2B:17:FF:C3的计算机即PC1,设置IP地址和子网掩码,通过2端口分别访问PC4和PC5,结果如图2所示。PC1连接到4端口再次访问PC4和PC5,结果如图3所示。
图2和图3表明,无论PC1连接到端口2或者端口4,拥有此MAC地址的计算机都会被交换机自动划分到VLAN 10,因此可以访问财务文件服务器PC4,不能访问技术文件服务器PC5。
(2)使用MAC地址38:2C:4A:03:85:60的计算机即PC2,设置IP地址和子网掩码,通过6端口分别访问PC4和PC5,结果如图4所示。PC2连接到8端口再次访问PC4和PC5,结果如图5所示。
图4和图5表明,无论PC2连接到端口6或者端口8,拥有此MAC地址的计算机会被交换机自动划分到VLAN 20,因此可以访问技术部文件服务器PC5,不能访问财务部文件服务器PC4。
(3)使用未绑定MAC地址的计算机即PC3,设置IP地址和子网掩码,通过端口5分别访问PC4和PC5,测试结果如图6所示。 (下转第25页)
图6表明,PC3既不能訪问财务文件服务器PC4,也不能访问技术文件服务器PC5。
测试结果表明,基于MAC地址的划分VLAN使得计算机不会因连接端口变化导致VLAN变化,增加了连接的灵活性,划分到特定VLAN的计算机只能访问属于相同VLAN的服务器,未被绑定MAC地址的计算机无法访问服务器,增加了计算机网络的安全性。
参考文献:
[1] 邓秀慧,袁宗福.路由与交换技术[M].北京:电子工业出版社,2012:78-79.
[2] 杨姝. VLAN 技术实验的设计与仿真实现研究[J]. 实验技术与管理, 2014:114-117.
【通联编辑:代影】