2. VLAN隔离法

    VLAN（虚拟局域网）技术是为了避免当一个网络系统中网络设备数量增加到一定程度后，众多的网络广播报文消耗大量的网络带宽，使得真正的数据传递受到很大的影响；确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的方法。在此仅对VLAN技术实现访问控制的一些基本方面作一简单介绍。

    通过VALN技术，可以把一个网络系统中的众多网络设备分成若干个虚拟的“工作组”，组和组之间的网络设备在二层上互相隔离，形成不同的广播域，进而将广播流量限制在不同的广播域中。

    由于VALN技术是基于二层和三层之间的隔离技术，被广泛应用于网络安全方面，可以通过将不同的网络用户与网络资源进行分组，通过支持VLAN的交换机阻隔不同组内网络设备间的数据交换来达到网络安全的目的。该方式允许同一VLAN上的用户互相通信，而处于不同VLAN的用户之间在链路层上是断开的，只能通过三层路由器才能访问。

    如下图所示，右从左至右工作站的编号为1~6。在该图中将编号为1、3、5的工作站划分到一个VLAN中，将编号为2、4、6的工作站划分到另一个VLAN中，这样编号为1、3、5的工作站之间可以相互通信，编号为2、4、6的工作站之间也可以相互通信，但两个组之间不可以直接通信，这样可以确保本组资源只能由本组用户访问。

点击看大图

    目前基于VLAN隔离方式的访问控制方法，在一些中小型企业中也得到广泛应用。如企业中的人事部和财务部等部门都是相对来说安全性要求更高一些的，通常不允许其它部门用户随意访问、查阅相关资料，通过VLAN方式划分后，两个部门的网络数据就不会被其他用户访问了，虽然他们与其它部门一样同处一个网络。还有一点要注意的是，虽然别的用户不能随意访问VLAN组用户，但VLAN组用户却可随意访问其它非VLAN组用户，除非也做了访问限制配置。

    不同的交换机VLAN划分的方法不尽相同，可以分别基于端口、MAC、IP地址进行，具体因篇幅关系，在此不作详细介绍。

    虽然我们说VLAN隔离方式具有比较明显的优点，但同时也有一个非常明显的缺点，那就是要求网络管理员必须明确交换机每一物理端口上所联接的设备的MAC地址或是IP地址，并要根据不同的工作组对交换机进行VLAN配置。当某一网络终端的网卡、IP地址或是物理位置发生变化时，需要对整个网络系统中的多个相关的网络设备进行重新配置，这同样对于网管来说负担是相当重的，所以只适用于在小型网络中使用。

    在安全性方面也存在隐患，VLAN技术可以保证网络设备间的隔离，但对于同一台服务器，只能做到同时向多个VLAN组全面开放或是只向某个VLAN组全面开放，而不能针对个别用户进行限制。而在通常情况下，一台服务器会提供多种服务，担当多种服务器角色，同时为多个VLAN组用户提供不同的服务，这样带来了一定的安全隐患。例如一个数据库服务器中可能存有财务数据，也可能同时担当市场部电子商务中服务器角色，存有客户的数据，这样这台服务器就得同时向财务人员与市场人员开放，单纯采用VLAN技术就无法避免市场人员查看财务数据的情况发生。当然这种安全隐患可通过其它途经来解决。