無線局域網(wǎng)安全
無線局域網(wǎng)安全
局域網(wǎng)(Local Area Network,LAN)是指在某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組。一般是方圓幾千米以內(nèi)。局域網(wǎng)可以實現(xiàn)文件管理、應用軟件共享、打印機共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務等功能。局域網(wǎng)是封閉型的,可以由辦公室內(nèi)的兩臺計算機組成,也可以由一個公司內(nèi)的上千臺計算機組成。下面是小編收集整理的無線局域網(wǎng)安全范文,歡迎借鑒參考。
無線局域網(wǎng)安全(一)
一、無線局域網(wǎng)
無線局域網(wǎng)是用無線通信技術(shù)將終端設備互聯(lián)起來,構(gòu)成可以互相通信和實現(xiàn)資源共享的局域網(wǎng)絡體系。無線局域網(wǎng)特點是通過無線的方式建立連接,利用無線技術(shù)在空中傳輸數(shù)據(jù),從而使網(wǎng)絡的構(gòu)建和終端的移動更加靈活。無線局域網(wǎng)常規(guī)的有效使用距離在100 m以內(nèi)。
無線局域網(wǎng)在一定程度上扔掉了有線網(wǎng)絡必須依賴的網(wǎng)線。這樣,用戶可以坐在家里的任何一個角落,抱著筆記本電腦,享受網(wǎng)絡的樂趣,而不像從前那樣必須要遷就于網(wǎng)絡接口的布線位置。
無線局域網(wǎng)包括2種基本的工作模式:如圖1所示的帶無線路由器工作模式和如圖2所示的不帶無線路由器工作模式。
在帶無線路由器工作模式下,通信需要一個專門的無線局域網(wǎng)設備:無線路由器;在不帶無線路由器工作模式下,無線終端相互之間直接發(fā)送數(shù)據(jù)。在日常的使用中,用戶基本上使用帶無線路由器的模式。
全球范圍內(nèi),無線局域網(wǎng)技術(shù)主要包括IEEE802.11系列、Hiper LAN技術(shù)、Home RF和藍牙技術(shù),目前,應用比較廣泛是IEEE802.11系列和Hiper LAN。
(1)ISO/IEC802.11 系列標準技術(shù):是美國電氣和電子工程師協(xié)會(IEEE)頒布的無線局域網(wǎng)標準。IEEE802.11系列技術(shù)和產(chǎn)品的安全性一直沒能很好地解決。近年來,IEEE802.11技術(shù)和產(chǎn)品不斷爆出重大安全性問題,造成用戶巨大的經(jīng)濟損失。
(2)Hiper LAN: Hiper LAN是以歐洲電信標準協(xié)會(ETSI)頒布的無線局域網(wǎng)標準為核心的技術(shù)和產(chǎn)品的總稱。
二、無線局域網(wǎng)安全概述
安全是無線局域網(wǎng)面臨的最大問題,這是由無線信號在空中幾乎無邊界的傳播特性造成的,不論信號中的數(shù)據(jù)要發(fā)送的目的地是哪里,任何無線終端在無線信號覆蓋的范圍內(nèi)都可以接收到。為了保證安全通信,無線局域網(wǎng)中應采取必要的安全技術(shù),包括鑒別、加密、數(shù)據(jù)完整性保護等。
1、鑒別
鑒別提供了用戶身份合法性的保證,這意味著當用戶聲稱具有一個特定的身份時,鑒別技術(shù)將提供某種方法來證實這一聲明是正確的。用戶在登錄無線局域網(wǎng)的時候,需要輸入特定的密碼或身份信息等來進行身份合法性的驗證。
盡管不同的鑒別方式?jīng)Q定用戶身份驗證的具體流程不同,但基本功能是一致的。目前,無線局域網(wǎng)中采用的鑒別方式主要有基于瀏覽器頁面的身份鑒別、基于密碼的身份鑒別、基于數(shù)字證書的身份鑒別。
(1)基于瀏覽器頁面的身份鑒別
基于瀏覽器頁面的身份鑒別一個非常重要的特點是客戶端只需要在瀏覽器上輸入正確的接入信息憑證即可。這類身份鑒別的技術(shù)在公共場所(如機場、酒店、商場等地方)經(jīng)常用到,用戶輸入手機號碼,通過手機獲得相關(guān)的登錄驗證碼,然后將登錄驗證碼輸入到瀏覽器中即可使用網(wǎng)絡服務。
這種身份鑒別技術(shù)屬于安全性最低的一種方案,它只是在無線局域網(wǎng)的上層應用簡單進行身份信息的對比,實現(xiàn)對用戶使用某種服務的控制?;跒g覽器頁面的身份鑒別技術(shù)并沒有融入密碼學相關(guān)技術(shù)來實現(xiàn)身份信息的保密性和不可篡改性。在無線局域網(wǎng)底層沒有調(diào)用任何安全技術(shù)的保護,所有通信信息明文傳輸,存在較大的安全風險。這種方案類似于所有訪客,先進入大門,然后再用筆寫下自己的聯(lián)系方式。
(2)基于密碼的身份鑒別
基于密碼的身份鑒別是指用戶利用手機或者筆記本電腦原始控制接入無線局域網(wǎng)的界面,輸入所選擇的無線網(wǎng)絡的接入密碼實現(xiàn)網(wǎng)絡登錄。這類身份鑒別的技術(shù)在家庭、辦公室等場景經(jīng)常用到。
這種身份鑒別技術(shù)屬于安全性中等的一種方案,它通過綁定密碼學的技術(shù)實現(xiàn)用戶接入身份的鑒別,同時完成對通信數(shù)據(jù)的加密處理。這種技術(shù)的缺點在于密碼容易傳播,且所有人使用相同的密碼,容易造成無法追溯或者“好人辦壞事”的情況。這種方案類似于所有訪客,使用同一張卡進入同一個大門。
(3)基于數(shù)字證書的身份鑒別
基于數(shù)字證書的身份鑒別是指用戶登錄到無線局域網(wǎng)之前,需要由特定的機構(gòu)對用戶的身份進行嚴格的審核,并為用戶頒發(fā)數(shù)字證書,通過公鑰加密技術(shù)對用戶的公鑰信息和用戶的身份信息做數(shù)字簽名,把用戶的身份信息與公鑰綁定在一起。用戶使用證書進行身份鑒別時,可基于對權(quán)威鑒別機構(gòu)的信賴而信賴證書所對應的實體身份,實現(xiàn)對身份的鑒別。
這種技術(shù)屬于安全性最高的一種方案,它通過密碼學的技術(shù)不但綁定用戶接入身份的鑒別流程,而且還綁定用戶身份本身,同時也完成對通信數(shù)據(jù)的加密處理。使用這樣的方法,每個用戶都有屬于自己個人的接入憑證,無法抵賴。這種方案類似于所有訪客,使用唯一標識自己身份的一張卡進入同一個大門。
2、加密
加密就是保護信息不泄露或不暴露給那些未授權(quán)掌握這一信息的實體。通常需要選擇特定的密碼算法來實現(xiàn)。常見的密碼算法如下。
(1)數(shù)據(jù)加密標準DES(Data Encryption Standard):DES的出現(xiàn)引起了學術(shù)界和企業(yè)界的廣泛重視,許多廠家很快生產(chǎn)出實現(xiàn)DES算法的產(chǎn)品,但其最大的缺點在于DES的密鑰太短,不能抵抗無窮搜索密鑰攻擊。
(2)高級加密標準AES(Advanced Encryption Standard):為了克服DES的缺點,美國國家標準和技術(shù)研究所(NIST)開始尋求高強度、高效率的替代算法,并于1997年推出AES標準。
(3)SM4:SM4是在國內(nèi)正式使用并于2006年公布的第一個用于無線局域網(wǎng)的商用分組密碼算法。WAPI的無線局域網(wǎng)保密基礎結(jié)構(gòu)(WPI, WLAN Privacy Infrastructure)采用對稱密碼算法SM4實現(xiàn)對MAC層MSDU的加、解密操作。
3、數(shù)據(jù)完整性保護
數(shù)據(jù)完整性保護,是使接收方能夠確切地判斷所接收到的消息在傳輸過程中是否遭到插入、篡改、重排序等形式的破壞。完善的數(shù)據(jù)完整性業(yè)務不僅能發(fā)現(xiàn)完整性是否遭到破壞,還能采取某種措施從完整性中恢復出來。
三、無線局域網(wǎng)面臨的安全問題
無線局域網(wǎng)已廣泛應用于各行各業(yè)中,受到人們的青睞,并成為無線通信與互聯(lián)網(wǎng)技術(shù)相結(jié)合的最熱門技術(shù)。無線局域網(wǎng)的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡互連的可移動性,它能大幅度提高用戶訪問信息的及時性和有效性,還可以克服有線限制引起的不便性。但因無線局域網(wǎng)應用具有很大的開放性,數(shù)據(jù)傳播的范圍較難控制,無線局域網(wǎng)面臨非常嚴峻的安全問題。無線局域網(wǎng)面臨的基本安全問題如下。
1、非法接入風險
主要是指通過未授權(quán)的設備接入無線網(wǎng)絡,例如,企業(yè)內(nèi)部一些員工,購買便宜小巧的無線路由器,通過有線以太網(wǎng)口接入網(wǎng)絡,如果這些設備配置有問題,處于沒加密或弱加密的條件下,那么整個網(wǎng)絡的安全性就大打折扣,造成接入危險。或者是企業(yè)外部的非法用戶與企業(yè)內(nèi)部的合法無線路由器建立了連接,這也會使網(wǎng)絡安全失控。
2、客戶端連接不當
一些部署在工作區(qū)域周圍的無線路由器可能沒有做安全控制,企業(yè)內(nèi)一些合法用戶的無線網(wǎng)卡可能與這些外部無線路由器連接,一旦這個用戶連接到外部無線路由器,企業(yè)的網(wǎng)絡就處于風險之中。
3、竊聽
一些黑客借助Wi-Fi分析器,會捕捉到所有的無線通信數(shù)據(jù),如果信息沒有保護,則可以閱讀信號中傳輸?shù)膬?nèi)容。如果黑客手段更高明一點,就可以偽裝成合法用戶,修改空中傳輸?shù)木W(wǎng)絡數(shù)據(jù)等。
4、拒絕服務攻擊
這種攻擊方式,不以獲取信息為目的,黑客只是想讓用戶無法訪問網(wǎng)絡服務而不斷地發(fā)送信息,使合法用戶的信息一直處于等待狀態(tài),無法正常工作。
上面所述的安全問題的解決,其核心在于安全機制和安全協(xié)議如何制定。當前主流的無線局域網(wǎng)技術(shù)Wi-Fi從技術(shù)發(fā)明和協(xié)議設計初期到現(xiàn)在,都不能有效解決這些問題。導致根據(jù)協(xié)議開發(fā)出來的所有產(chǎn)品,雖然來自不同的廠家,但均面臨著隨時被破解的危險。
四、無線局域網(wǎng)安全性
1、Wi-Fi初期安全技術(shù)WEP
Wi-Fi安全技術(shù)最初通過有線對等保密協(xié)議WEP(Wired Equivalent Privacy)來實現(xiàn)鑒別與數(shù)據(jù)加密,此類安全協(xié)議非常脆弱,可輕易從互聯(lián)網(wǎng)上下載到破解軟件,在幾秒內(nèi)破解。目前處于正在被淘汰的過程中。
2、Wi-Fi當前安全技術(shù)WPA/WPA2
為了使Wi-Fi技術(shù)從WEP可以被輕易破解這種被動局面中解脫出來,IEEE重新建立的工作組,開發(fā)了新的安全標準IEEE802.11i,標準中除了保留有原來的WEP之外,新添加了WPA/WPA2這2種技術(shù)。
不幸的是,由于WPA/WPA2依然采用不安全的設計理念,WPA技術(shù)在頒布之后就輕易又遭到破解,而當前針對WPA2的破解也已經(jīng)從理論破解分析發(fā)展到了破解工具開發(fā)的階段,在不久的將來,就會面對WEP和WPA被輕易破解的相同局面。
3、中國無線局域網(wǎng)安全標準WAPI
無線局域網(wǎng)鑒別和保密基礎結(jié)構(gòu)(WAPI,WLAN Authentication and Privacy Infrastructure)是中國唯一的無線局域網(wǎng)技術(shù)標準。WAPI 采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法,實現(xiàn)設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護,旨在徹底扭轉(zhuǎn)目前WLAN采用多種安全機制并存且互不兼容的現(xiàn)狀,從根本上解決安全問題和兼容性問題。
WAPI由無線局域網(wǎng)鑒別基礎結(jié)構(gòu)(WAI, WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎結(jié)構(gòu)(WPI, WLAN Privacy Infrastructure)兩部分組成,WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸數(shù)據(jù)的加密。
WAPI整個系統(tǒng)由站點STA、接入點AP和認證服務單元ASU組成。其中,ASU用于幫助STA和AP完成身份鑒別等;STA與AP上都安裝有ASU發(fā)放的公鑰證書,作為自己的數(shù)字身份憑證。當STA登錄到無線接入點AP時,在使用或訪問網(wǎng)絡之前必須通過ASU進行身份驗證。根據(jù)驗證的結(jié)果,只有持有合法證書的站點STA才能接入持有合法證書的無線接入點AP。這樣,不僅可以防止非法STA接入AP而訪問并占用網(wǎng)絡資源,而且還可以防止STA登錄到非法AP而造成信息泄露。
五、WAPI技術(shù)介紹
1、系統(tǒng)組成
在一個典型的WAPI系統(tǒng)中,WAPI用戶STA通過WAPI無線路由器AP接入互聯(lián)網(wǎng)。如圖3所示。首先,STA與AP進行網(wǎng)絡發(fā)現(xiàn)協(xié)商并開啟WAPI功能,STA和AP啟動身份鑒別過程,利用AS完成雙向身份鑒別。當身份鑒別通過后,STA和AP進行密鑰管理,協(xié)商用于保護通信數(shù)據(jù)的密鑰,并利用協(xié)商出來的密鑰加密通信數(shù)據(jù)。
2、WAPI 網(wǎng)絡發(fā)現(xiàn)
在一個采用了WAPI安全的無線局域網(wǎng)中,當STA需要訪問該無線局域網(wǎng)時,通過被動偵聽AP的信標(Beacon)幀或主動發(fā)送探詢幀(主動探詢過程如圖4所示)以識別AP所采用的安全策略。
(1)若AP采用WAPI證書鑒別方式,AP將發(fā)送鑒別激活分組啟動證書鑒別過程,當證書鑒別過程成功結(jié)束后,AP和STA再進行單播密鑰協(xié)商和組播密鑰通告。
(2)若AP采用WAPI預共享密鑰鑒別方式,AP將與STA直接進行單播密鑰協(xié)商和組播密鑰通告。
3、WAPI 的身份鑒別
WAPI 支持2種身份鑒別方式:證書鑒別方式和預共享密鑰鑒別方式。
(1)證書鑒別方式
數(shù)字證書是一種經(jīng)公鑰基礎設施(PKI, Public Key Infrastructure)證書授權(quán)中心簽名的、包含公開密鑰及用戶相關(guān)信息的文件,是網(wǎng)絡用戶的數(shù)字身份憑證。WAPI 系統(tǒng)中所使用的用戶證書為數(shù)字證書,通過ASU 對用戶證書進行驗證,可以唯一確定WAPI 用戶的身份及其合法性。
證書鑒別是基于STA和AP雙方的證書所進行的鑒別。鑒別前STA和AP必須預先擁有各自的證書,然后通過ASU對雙方的身份進行鑒別,根據(jù)雙方產(chǎn)生的臨時公鑰和臨時私鑰生成基密鑰,并為隨后的單播密鑰協(xié)商和組播密鑰通告做好準備。
(2)預共享密鑰鑒別方式
預共享密鑰鑒別是基于STA和AP雙方的密鑰所進行的鑒別。鑒別前STA和AP必須預先配置有相同的密鑰,即預共享密鑰。鑒別時直接將預共享密鑰轉(zhuǎn)換為基密鑰,然后進行單播密鑰協(xié)商和組播密鑰通告。
4、WAPI 的密鑰管理
STA 與 AP 之間交互的單播數(shù)據(jù)利用單播密鑰協(xié)商過程所協(xié)商出的單播加密密鑰和單播完整性校驗密鑰進行保護;AP 利用自己通告的、由組播主密鑰導出的組播加密密鑰和組播完整性校驗密鑰對其發(fā)送的廣播/組播數(shù)據(jù)進行保護,而STA 則采用AP通告的、由組播主密鑰導出的組播加密密鑰和組播完整性校驗密鑰對收到的廣播/組播數(shù)據(jù)進行解密。首先要進行單播密鑰的協(xié)商
當單播密鑰協(xié)商完成后,再使用單播密鑰協(xié)商過程所協(xié)商出的密鑰進行組播密鑰的通告
5、WAPI 的通信數(shù)據(jù)加密
WAPI對通信數(shù)據(jù)進行加、解密處理。WAPI密碼套件中首選采用的分組密碼算法為SM4,該算法的分組長度為128bit,密鑰長度為128bit。完整性校驗算法工作在CBC-MAC模式,數(shù)據(jù)保密采用的對稱加密算法工作在OFB模式。
六、無線局域網(wǎng)(WAPI)安全配置實例
下面給出一個實例說明如何進行無線局域網(wǎng)安全配置?;静襟E如下。
(1)本配置實例中使用的是IWN A2410(WLR4038)無線路由器。
(2)本配置實例通過在無線路由器側(cè)啟用WAPI-Cert或者WAPI-PSK安全模式來達到對客戶端數(shù)據(jù)進行保護的目的。
(3)主要配置內(nèi)容如圖8所示,包括:添加無線網(wǎng)絡名稱(SSID)、設定射頻發(fā)射功率、無線工作模式、信道、SSID名稱、該SSID綁定的網(wǎng)絡接口(建議綁定到LAN口)、選擇接入網(wǎng)絡的安全類型(WAPI-Cert或WAPI-PSK)、密鑰更新、MAC地址過濾、WMM選定等設備和接口配置。以上內(nèi)容可實現(xiàn)開機“一鍵配置”。
無線局域網(wǎng)安全(二)
在互聯(lián)網(wǎng)迅猛發(fā)展的今天,我們每個人都在有意識和無意識的留下很多的數(shù)字足跡,如何保護個體的信息隱私安全成為了每個人都關(guān)心的事情。
在使用專利數(shù)據(jù)庫檢索和分析時,有不少客戶會問:我的檢索分析記錄會被搜集到嗎?專利數(shù)據(jù)庫面向的客戶大部分是企業(yè),企業(yè)對知識產(chǎn)權(quán)和商業(yè)信息的保密性就會更加敏感。Patentics非常理解客戶的擔心,也深知專利數(shù)據(jù)商有責任有義務給用戶提供安全、高效、成本低的解決方案。
為此,Patentics推出了一套完整的解決方案,可以提供從檢索、分析到工作成果分享的全流程、360度無死角的安全保證。這套解決方案包括:無痕檢索、局域網(wǎng)專題庫和本地化語義系統(tǒng)。本周先主要介紹下局域網(wǎng)專題庫這個功能。
出于安全性的考量,有不少大型企業(yè)為了搭建專利數(shù)據(jù)庫斥資幾十萬甚至更多來購置服務器,幾十萬甚至百萬來購買數(shù)據(jù),還要分配專門的人力來做運維。對于一家大型企業(yè)來說,也許是可以負擔的,但對于占絕大多數(shù)的中小企業(yè)來說是可望而不可及的。
Patentics局域網(wǎng)專題庫就可以很好的解決這個問題,而這就必須要用一種特別的產(chǎn)品架構(gòu)—C/S架構(gòu)(Client/Server,即客戶端/服務器端架構(gòu))。
C/S 一般面向相對固定的用戶群, 對信息安全的控制能力很強. 一般高度機密的信息系統(tǒng)采用C/S 結(jié)構(gòu)適宜。B/S 建立在廣域網(wǎng)之上, 對安全的控制能力相對弱, 面向是不可知的用戶群。
目前市面上的專利數(shù)據(jù)庫基本都是B/S架構(gòu)(Browser/Server,即瀏覽器/服務器架構(gòu))。Patentics是一家既擁有瀏覽器B/S架構(gòu)網(wǎng)頁版和C/S架構(gòu)客戶端產(chǎn)品的數(shù)據(jù)商,而且客戶端賬號既可以登陸網(wǎng)頁版,也可以登錄客戶端。
客戶端就好比數(shù)據(jù)加工車間或者數(shù)據(jù)加工的萬能車床。c/s架構(gòu)的好處在于可以高度自由地處理數(shù)據(jù),只要有專利就可以一層層的挖掘下去,而瀏覽器架構(gòu)可挖的層數(shù)就相對有限,不同數(shù)據(jù)集之間也難以進行運算和關(guān)聯(lián)處理。客戶端可以實現(xiàn)從專利檢索、搜索可視化、導入、無限嵌套分析、智能技術(shù)分組、批量/協(xié)同/智能標引、本地庫自動生成、專利地圖、批量專利攻防分析、競爭點位組、專利價值譜圖等等全自動化一氣呵成。
更重要的是,由于客戶端是將檢索數(shù)據(jù)先下載到本地再進行相應的分析,整個分析過程都是在本地進行,分析結(jié)果也保存在本地,即使被他人盜取了賬號密碼,由于云端不保存分析項目,也無法獲取您的分析情報,無需擔心線上分析情報泄露的問題。配合無痕檢索和局域網(wǎng)專題庫的使用,可從檢索、分析、結(jié)果保存到情報共享做到全流程全方位的保密環(huán)境。
以下是新版客戶端中分析保密性項目的典型流程,首先開啟無痕檢索檢索出樣本數(shù)據(jù),導入客戶端在本地加工分析整理成包含可視化圖表和技術(shù)標引信息的專利情報,將數(shù)據(jù)可視化圖圖表和專利列表生成私享的本地庫(參看:https://mp.weixin.qq.com/s/95AAyvlDpf-4w0yedJ_vHQ),或直接通過局域網(wǎng)專題庫這一功能,將工作成果發(fā)布在企業(yè)局域網(wǎng),企業(yè)的相關(guān)人員通過一個本機IP地址開頭的鏈接就可以訪問到上述工作成果。
局域網(wǎng)專題庫是將使用者自己的電腦變成了一臺局域網(wǎng)本地服務器,通過Patentics客戶端這一數(shù)據(jù)加工工廠,可不限量隨意加工生成屬于自己的局域網(wǎng)專題庫。
無線局域網(wǎng)安全(三)
二層交換是一個局域網(wǎng)的技術(shù),我們通過二層交換機,可以組建校園網(wǎng)、辦公網(wǎng)等小型的網(wǎng)絡,如果一個交換機的接口數(shù)量不夠,或者各個辦公室之間距離稍有點遠,可以采用交換機級聯(lián)的方式組網(wǎng),交換機下面再下掛交換機。
網(wǎng)絡的大小是相對的,如果一個公司的主機的數(shù)量有上百臺,雖然和廣域網(wǎng)比很少,但也是一個不小的公司了,采用二層組網(wǎng)的話,二層交換有一個無法回避的廣播域的問題,這幾百臺的電腦廣播起來也是很煩的。
如果一個公司有技術(shù)部、市場部、財務部、后勤部等各個部門,這些部門的主機主要還是和本部門的主機互相打交道比較多,跨部門的業(yè)務很少,我們可以采用一種技術(shù),將一個局域網(wǎng)的廣播域的范圍再進一步劃小一點,這就是VLAN。
VLAN(Virtual Local Area Network,虛擬局域網(wǎng)),VLAN是一種將局域網(wǎng)從邏輯上劃分成一個個更小的局域網(wǎng),VLAN之間在二層上是隔離的,從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。
從物理上來說,所有的主機下掛在一個交換機下,邏輯上通過VLAN劃分,相當于將一個交換機分成若干個邏輯上獨立的交換機,各個部門的主機之間隔離開,不會收到其他VLAN的廣播,耳根就清凈了不少。
跨交換機劃分VLAN也是一樣,交換機1和交換機2在兩個辦公樓里,從邏輯上劃分了VLAN之后,位于兩個樓里的同一部門的人組成了VLAN。
VLAN劃分方式有多種,可以根據(jù)物理端口、MAC地址、IP地址劃分,如果是基于端口的,只要接在指定端口之下的主機就固定屬于某個VLAN;而基于地址的劃分,只要地址不變,將主機換個地方,通過另外一個端口接入交換機,交換機還是認識它是屬于哪個部門的。
VLAN是靠在二層幀格式中間加了一個VLAN標簽(802.1Q),比如市場部VLAN標簽是1,技術(shù)部VLAN標簽是2,交換機可以識別這個標簽,哪個VLAN發(fā)來的數(shù)據(jù)幀,交換機只向本VLAN的端口進行廣播。
VLAN標簽中包含4部分。
1.Type:類型,固定是0x8100(0x表示后面的數(shù)字是十六進制數(shù),每位也就相當于二進制的4bit),以太網(wǎng)幀有可能是含有或不含VLAN標簽的,接收方讀到這個8100的時候就知道這是一個帶VLAN標簽的802.1Q數(shù)據(jù)幀。
2.PRI:Priority優(yōu)先級,3bit也就是8個優(yōu)先級,0~7值越大代表業(yè)務的級別越高。如果交換機的端口速率有限,無法按時發(fā)送每個VLAN的數(shù)據(jù)時,就按照這個優(yōu)先級排個隊,先將級別高的數(shù)據(jù)幀轉(zhuǎn)發(fā)。
關(guān)于優(yōu)先級這里多介紹一下,后面很多的幀格式里都會包含優(yōu)先級的字段,優(yōu)先級可以用來區(qū)分不同的端口、業(yè)務、用戶等,就像我們?nèi)ハM時VIP永遠會得到更優(yōu)質(zhì)體貼的服務,對于網(wǎng)絡來說就是VIP能夠優(yōu)先獲得網(wǎng)絡資源,通過優(yōu)先轉(zhuǎn)發(fā)保證網(wǎng)絡對高等級業(yè)務的服務質(zhì)量。每個幀結(jié)構(gòu)里的優(yōu)先級的表示都是在對應的層次有效的,交換機認識VLAN標簽里這個PRI,而到了路由器查看IP地址,就要通過IP地址里的DSCP去判斷優(yōu)先級,就像我們可以用工牌在本公司內(nèi)通行無阻,但是到了其他公司就要使用人家的來賓證。
3.CFI:Canonical Format Indicator,標準格式指示位,CFI為0時表示規(guī)范格式,為1時表示非規(guī)范格式,以太網(wǎng)幀CFI為0。
4.VID:VLAN ID,12bit,也就是一共4096個ID號可用,用來區(qū)分不同的VLAN。
VLAN標簽是可以嵌套的,也就是可以在以太網(wǎng)幀中插入兩層VLAN標簽,也就是QinQ技術(shù),可以支持4096×4096個不同VLAN。
VLAN將一個局域網(wǎng)劃分為若干個虛擬局域網(wǎng),VLAN之間無法再通過二層交換的方式通信了,可是不同部門之間還是要偶爾發(fā)送個郵件,那就只能通過更高的層面——三層路由去互通。