Subnet的應用

使用Subnet是要解決只有一組CClass但需要數(shù)個NetworkNumber的問題,并不是解決IPAddress不夠用的問題,因為使用 Subnet反而能使用的IPAddress會變少,Subnet通常是使用在總公司在臺北,但分公司在臺中,兩者之間使用Router連線 ,同時也上Internet,但只申請到一組CCLassIPAddress,過Router又需不同的Network,所以此時就必須使用到Subnet,當然二 辦公司間可以RemoteBridge連接,那便沒有使用Subnet的問題,這點在此不討論,所以在以上情況下的網(wǎng)路連線架 構及IPAddress的使用

TCP/IP（傳輸控制協(xié)議/網(wǎng)間協(xié)議）是一種網(wǎng)絡通信協(xié)議，它規(guī)范了網(wǎng)絡上的所有通信設備，尤其是一個主機與另一個主機之間的數(shù)據(jù)往來格式以及傳送方式。TCP/IP是INTERNET的基礎協(xié)議，也是一種電腦數(shù)據(jù)打包和尋址的標準方法。在數(shù)據(jù)傳送中，可以形象地理解為有兩個信封，TCP和IP就像是信封，要傳遞的信息被劃分成若干段，每一段塞入一個TCP信封，并在該信封面上記錄有分段號的信息，再將TCP信封塞入IP大信封，發(fā)送上網(wǎng)。在接受端，一個TCP軟件包收集信封，抽出數(shù)據(jù)，按發(fā)送前的順序還原，并加以校驗，若發(fā)現(xiàn)差錯，TCP將會要求重發(fā)。因此，TCP/IP在INTERNET中幾乎可以無差錯地傳送數(shù)據(jù)。

在任何一個物理網(wǎng)絡中,各站點都有一個機器可識別的地址,該地址叫做物理地址.物理地址有兩個特點:

物理地址的長度,格式等是物理網(wǎng)絡技術的一部分,物理網(wǎng)絡不同,物理地址也不同.

同一類型不同網(wǎng)絡上的站點可能擁有相同的物理地址.

以上兩點決定了,不能用物理網(wǎng)絡進行網(wǎng)間網(wǎng)通訊.

在網(wǎng)絡術語中，協(xié)議中，協(xié)議是為了在兩臺計算機之間交換數(shù)據(jù)而預先規(guī)定的標準。TCP/IP并不是一個而是許多協(xié)議，這就是為什么你經常聽到它代表一個協(xié)議集的原因，而TCP和IP只是其中兩個基本協(xié)議而已。

你裝在計算機-的TCP/IP軟件提供了一個包括TCP、IP以及TCP/IP協(xié)議集中其它協(xié)議的工具平臺。特別是它包括一些高層次的應用程序和FTP(文件傳輸協(xié)議)，它允許用戶在命令行上進行網(wǎng)絡文件傳輸。

TCP/IP是美國政府資助的高級研究計劃署(ARPA)在二十世紀七十年代的一個研究成果，用來使全球的研究網(wǎng)絡聯(lián)在一起形成一個虛擬網(wǎng)絡，也就是國際互聯(lián)網(wǎng)。原始的Internet通過將已有的網(wǎng)絡如ARPAnet轉換到TCP/IP上來而形成，而這個Internet最終成為如今的國際互聯(lián)網(wǎng)的骨干網(wǎng)。
 
　

如今TCP/IP如此重要的原因，在于它允許獨立的網(wǎng)格加入到Internet或組織在一起形成私有的內部網(wǎng)（Intranet）。構成內部網(wǎng)的每個網(wǎng)絡通過一種-做路由器或IP路由器的設備在物理上聯(lián)接在一起。路由器是一臺用來從一個網(wǎng)絡到另一個網(wǎng)絡傳輸數(shù)據(jù)包的計算機。在一個使用TCP/IP的內部網(wǎng)中，信息通過使用一種獨立的叫做IP包（IPpacket）或IP數(shù)據(jù)報(IPdatagrams)的數(shù)據(jù)單元進--傳輸。TCP/IP軟件使得每臺聯(lián)到網(wǎng)絡上的計算機同其它計算機“看”起來一模一樣，事實上它隱藏了路由器和基本的網(wǎng)絡體系結構并使其各方面看起來都像一個大網(wǎng)。如同聯(lián)入以太網(wǎng)時需要確認一個48位的以太網(wǎng)地址一樣，聯(lián)入一個內部網(wǎng)也需要確認一個32位的IP地址。我們將它用帶點的十進制數(shù)表示，如128.10.2.3。給定一個遠程計算機的IP地址，在某個內部網(wǎng)或Internet上的本地計算機就可以像處在同一個物理網(wǎng)絡中的兩臺計算機那樣向遠程計算機發(fā)送數(shù)據(jù)。

TCP/IP提供了一個方案用來解決屬于同一個內部網(wǎng)而分屬不同物理網(wǎng)的兩臺計算機之間怎樣交換數(shù)據(jù)的問題。這個方案包括許多部分，而TCP/IP協(xié)議集的每個成員則用來解決問題的某一部分。如TCP/IP協(xié)議集中最基本的協(xié)議-IP協(xié)議用來在內部網(wǎng)中交換數(shù)據(jù)并且執(zhí)行一項重要的功能：路由選擇－－選擇數(shù)據(jù)報從A主機到B主機將要經過的路徑以及利用合適的路由器完成不同網(wǎng)絡之間的跨越（hop）。

TCP是一個更高層次的它允許運行在在不同主機上的應用程序相互交換數(shù)據(jù)流。TCP將數(shù)據(jù)流分成小段叫做TCP數(shù)據(jù)段（TCPsegments），并利用IP協(xié)議進行傳輸。在大多數(shù)情況下，每個TCP數(shù)據(jù)段裝在一個IP數(shù)據(jù)報中進行發(fā)送。但如需要的話，TCP將把數(shù)據(jù)段分成多個數(shù)據(jù)報，而IP數(shù)據(jù)報則與同一網(wǎng)絡不同主機間傳輸位流和字節(jié)流的物理數(shù)據(jù)幀相容。由于IP并不能保證接收的數(shù)據(jù)報的順序相一致，TCP會在收信端裝配TCP數(shù)據(jù)段并形成一個不間斷的數(shù)據(jù)流。FTP和Telnet就是兩個非常流行的依靠TCP的TCP/IP應用程序。

另一個重要的TCP/IP協(xié)議集的成員是用戶數(shù)據(jù)報協(xié)議(UDP)，它同TCP相似但比TCP原始許多。TCP是一個可靠的協(xié)議，因為它有錯誤檢查和握手確認來保證數(shù)據(jù)完整的到達目的地。UDP是一個“不可靠”的協(xié)議，因為它不能保證數(shù)據(jù)報的接收順序同發(fā)送順序相同，甚至不能保證它們是否全部到達。如果有可靠性要求，則應用程序避免使用它。同許多TCP/IP工具同時提供的SNMP(簡單網(wǎng)絡管理協(xié)議)就是一個使用UDP協(xié)議的應用例子。

其它TCP/IP協(xié)議在TCP/IP網(wǎng)絡中工作在幕后，但同樣也發(fā)揮著重要作用。例如地址轉換協(xié)議(ARP)將IP地址轉換為物理網(wǎng)絡地址如以太網(wǎng)地址。而與其對應的反向地址轉換協(xié)議(RARP)做相反的工作，即將物理網(wǎng)絡地址轉換為IP地址。網(wǎng)際控制報文協(xié)議(ICMP)則是一個支持性協(xié)議，它利用IP完成IP數(shù)據(jù)報在傳輸時的控制信息和錯誤信息的傳輸。例如，如果一個路由器不能向前發(fā)送一個IP數(shù)據(jù)報，它就會利用ICMP來告訴發(fā)送者這里出現(xiàn)了問題。

網(wǎng)絡設計者在解決網(wǎng)絡體系結構時經常使用ISO/OSI（ 國際標準化組織/開放系統(tǒng)互連）七層模型，該模型每 一層代表一定層次的網(wǎng)絡功能。最下面是物理層，它 代表著進行數(shù)據(jù)轉輸?shù)奈锢斫橘|，換句話說，即網(wǎng)絡 電纜。其上是數(shù)據(jù)鏈路層，它通過網(wǎng)絡接口卡提供服 務。最上層是應用層，這里運行著使用網(wǎng)絡服務的應 用程序。

TCP/IP是同ISO/OSI模型等價的。當一個數(shù)據(jù)單元 從網(wǎng)絡應用程序下流到網(wǎng)絡接口卡，它通過了一列的TCP/IP 模塊。這其中的每一步，數(shù)據(jù)單元都會同網(wǎng)絡另一端 對等TCP/IP模塊所需的信息一起打成包。這樣當數(shù)據(jù)最 終傳到網(wǎng)卡時，它成了一個標準的以太幀(假設物理 網(wǎng)絡是以太網(wǎng))。而接收端的TCP/IP軟件通過剝去以太網(wǎng) 幀并將數(shù)據(jù)向上傳輸過TCP/IP棧來為處于接收狀態(tài)的應 用程序重新恢復原始數(shù)據(jù)(一種最好的了解TCP/IP工作實 質的方法，是使用探測程序來觀察網(wǎng)絡中的到處流動 的幀中被不同TCP/IP模塊所加上的信息)。

為了勾勒TCP/IP在現(xiàn)實網(wǎng)絡世界中所扮演的角色， 請考慮當使用HTTP(超文本傳輸協(xié)議)的Web瀏覽器從連接 在Internet上的Web服務器上獲取一頁HTML數(shù)據(jù)時所發(fā)生的情 況。為形成同Web服務器的虛鏈路，瀏覽器使用一種被 抽象地稱為套接口(socket)的高層軟件。為了獲 取Web頁，它通過向套接口向套接口寫入HTTPGET命令來向Web 服務器發(fā)出該指令。接下來套接口軟件使用TCP協(xié)議向 Web服務器發(fā)出包含GET命令的字節(jié)流和位流，TCP將數(shù)據(jù) 分段并將各獨立段傳到IP模塊，該模塊將數(shù)據(jù)段轉換 成數(shù)據(jù)報并發(fā)送給Web服務器。

如果瀏覽器和服務器運--在不同物理網(wǎng)絡的計 算機上(一般情況如此)，數(shù)據(jù)報從一個網(wǎng)絡傳到另一 個網(wǎng)絡，直到抵達服務器所在的那個網(wǎng)。最終，數(shù)據(jù) 被傳輸?shù)侥康牡刂凡⒈恢匦卵b配，這樣Web服務器通過 讀自己的套接口來獲得數(shù)據(jù)主干，并進而查看連續(xù)的 數(shù)據(jù)流。對瀏覽器和服務器來說，數(shù)據(jù)在這一端寫入 套接口而在另一端出現(xiàn)如同魔術一般，但這只是底 下發(fā)生的各種復雜的交互，它創(chuàng)造了數(shù)據(jù)經過網(wǎng)絡無 縫傳輸?shù)募傧蟆?

這就是TCP/IP所做的：將許多小網(wǎng)聯(lián)成一個大網(wǎng)。 并在這個大網(wǎng)也就是Internet上提供應用程序所需要的 相互通信的服務。

評論：

對于TCP/IP有許多可談的，但這里僅講三個關鍵 點：

·TCP/IP是一族用來把不同的物理網(wǎng)絡聯(lián)在一 起構成網(wǎng)際網(wǎng)的協(xié)議。TCP/IP聯(lián)接獨立的網(wǎng)絡形成一個 虛擬的網(wǎng)，在網(wǎng)內用來確認各種獨立的不是物理網(wǎng)絡 地址，而是IP地址。

·TCP/IP使用多層體系結構，該結構清晰定義了 每個協(xié)議的責任。TCP和UDP向網(wǎng)絡應用程序提供了高層 的數(shù)據(jù)傳輸服務，并都需要IP來傳輸數(shù)據(jù)包。IP有責任 為數(shù)據(jù)包到達目的地選擇合適的路由。

·在Internet主機上，兩個運行著的應用程序之 間傳送要通過主機的TCP/IP堆棧上下移動。在發(fā)送端TCP/IP 模塊加在數(shù)據(jù)上的信息將在接收端對應的TCP/IP模塊上 濾掉，并將最終恢復原始數(shù)據(jù)。

如果你有興趣學習更多的TCP/IP知識，這里有兩個 較高層次的信息源RFC(RequestforComment)1180——叫做“TCP/IP Tutorial”的文檔，你可以從許多普及的RFC的Internet節(jié)點上 下載。另一個是InternetworkingwithTCP/IP的第一卷：Principles，Protocols，and Architectures，作者DouglasE.Comer(1995，Prentice-Hall)。作為該系三部 曲中的第一部分，許多人把看成是一本TCP/IP圣經。（原 文刊載于Vol.15No.20）

二、傳輸層的安全性

在Internet應用編程序中，通常使用廣義的進程間通信(IPC)機制來與不同層次的安全協(xié)議打交道。比較流行的兩個IPC編程界面是BSD Sockets和傳輸層界面(TLI)，在Unix系統(tǒng)V命令里可以找到。

在Internet中提供安全服務的首先一個想法便是強化它的IPC界面，如BSD Sockets等，具體做法包括雙端實體的認證，數(shù)據(jù)加密密鑰的交換等。Netscape通信公司遵循了這個思路，制定了建立在可靠的傳輸服務(如TCP/IP所提供)基礎上的安全套接層協(xié)議(SSL)。SSL版本3(SSL v3)于1995年12月制定。它主要包含以下兩個協(xié)議：

SSL記錄協(xié)議 它涉及應用程序提供的信息的分段、壓縮、數(shù)據(jù)認證和加密。SSL v3提供對數(shù)據(jù)認證用的MD5和SHA以及數(shù)據(jù)加密用的R4和DES等的支持，用來對數(shù)據(jù)進行認證和加密的密鑰可以通過SSL的握手協(xié)議來協(xié)商。

SSL握手協(xié)議 用來交換版本號、加密算法、(相互)身份認證并交換密鑰。SSL v3 提供對Deffie-Hellman密鑰交換算法、基于RSA的密鑰交換機制和另一種實現(xiàn)在 Fortezza chip上的密鑰交換機制的支持。

Netscape通信公司已經向公眾推出了SSL的參考實現(xiàn)(稱為SSLref)。另一免費的SSL實現(xiàn)叫做SSLeay。SSLref和SSLeay均可給任何TCP/IP應用提供SSL功能。Internet號碼分配當局(IANA)已經為具備SSL功能的應用分配了固定端口號，例如，帶SSL的 HTTP(https)被分配的端口號為443，帶SSL的SMTP(ssmtp)被分配的端口號為465，帶SSL的NNTP(snntp)被分配的端口號為563。

微軟推出了SSL2的改進版本稱為PCT(私人通信技術)。至少從它使用的記錄格式來看，SSL和PCT是十分相似的。它們的主要差別是它們在版本號字段的最顯著位(The Most Significant Bit)上的取值有所不同: SSL該位取0，PCT該位取1。這樣區(qū)分之后，就可以對這兩個協(xié)議都給以支持。

1996年4月，IETF授權一個傳輸層安全(TLS)工作組著手制定一個傳輸層安全協(xié)議(TLSP)，以便作為標準提案向IESG正式提交。TLSP將會在許多地方酷似SSL。

前面已介紹Internet層安全機制的主要優(yōu)點是它的透明性，即安全服務的提供不要求應用層做任何改變。這對傳輸層來說是做不到的。原則上，任何TCP/IP應用，只要應用傳輸層安全協(xié)議，比如說SSL或PCT，就必定要進行若干修改以增加相應的功能，并使用(稍微)不同的IPC界面。于是，傳輸層安全機制的主要缺點就是要對傳輸層IPC界面和應用程序兩端都進行修改�？墒�，比起Internet層和應用層的安全機制來，這里的修改還是相當小的。另一個缺點是，基于UDP的通信很難在傳輸層建立起安全機制來。同網(wǎng)絡層安全機制相比，傳輸層安全機制的主要優(yōu)點是它提供基于進程對進程的(而不是主機對主機的)安全服務。這一成就如果再加上應用級的安全服務，就可以再向前跨越一大步了。

三、應用層的安全性

必須牢記(且須仔細品味): 網(wǎng)絡層(傳輸層)的安全協(xié)議允許為主機(進程)之間的數(shù)據(jù)通道增加安全屬性。本質上，這意味著真正的(或許再加上機密的)數(shù)據(jù)通道還是建立在主機(或進程)之間，但卻不可能區(qū)分在同一通道上傳輸?shù)囊粋�具體文件的安全性要求。比如說，如果一個主機與另一個主機之間建立起一條安全的IP通道，那么所有在這條通道上傳輸?shù)腎P包就都要自動地被加密。同樣，如果一個進程和另一個進程之間通過傳輸層安全協(xié)議建立起了一條安全的數(shù)據(jù)通道，那么兩個進程間傳輸?shù)乃�有消息就都要自動地被加密�?

如果確實想要區(qū)分一個具體文件的不同的安全性要求，那就必須借助于應用層的安全性。提供應用層的安全服務實際上是最靈活的處理單個文件安全性的手段。例如一個電子郵件系統(tǒng)可能需要對要發(fā)出的信件的個別段落實施數(shù)據(jù)簽名。較低層的協(xié)議提供的安全功能一般不會知道任何要發(fā)出的信件的段落結構，從而不可能知道該對哪一部分進行簽名。只有應用層是唯一能夠提供這種安全服務的層次。

一般來說，在應用層提供安全服務有幾種可能的做法，第一個想到的做法大概就是對每個應用(及應用協(xié)議)分別進行修改。一些重要的TCP/IP應用已經這樣做了。在RFC 1421至1424中，IETF規(guī)定了私用強化郵件(PEM)來為基于SMTP的電子郵件系統(tǒng)提供安全服務。由于種種理由，Internet業(yè)界采納PEM的步子還是太慢，一個主要的原因是PEM依賴于一個既存的、完全可操作的PKI(公鑰基礎結構)。PEM PKI是按層次組織的，由下述三個層次構成:

頂層為Internet安全政策登記機構(IPRA)

次層為安全政策證書頒發(fā)機構(PCA)

底層為證書頒發(fā)機構(CA)

建立一個符合PEM規(guī)范的PKI也是一個政治性的過程，因為它需要多方在一個共同點上達成信任。不幸的是，歷史表明，政治性的過程總是需要時間的，作為一個中間步驟，Phil Zimmermann開發(fā)了一個軟件包，叫做PGP(pretty Good Privacy)。PGP符合PEM的絕大多數(shù)規(guī)范，但不必要求PKI的存在。相反，它采用了分布式的信任模型，即由每個用戶自己決定該信任哪些其他用戶。因此，PGP不是去推廣一個全局的PKI，而是讓用戶自己建立自己的信任之網(wǎng)。這就立刻產生一個問題，就是分布式的信任模型下，密鑰廢除了怎么辦。

S-HTTP是Web上使用的超文本傳輸協(xié)議(HTTP)的安全增強版本，由企業(yè)集成技術公司設計。S-HTTP提供了文件級的安全機制，因此每個文件都可以被設成私人/簽字狀態(tài)。用作加密及簽名的算法可以由參與通信的收發(fā)雙方協(xié)商。S-HTTP提供了對多種單向散列(Hash)函數(shù)的支持，如: MD2，MD5及SHA; 對多種單鑰體制的支持，如：DES，三元DES，RC2，RC4，以及CDMF; 對數(shù)字簽名體制的支持，如: RSA和DSS。

目前還沒有Web安全性的公認標準。這樣的標準只能由WWW Consortium，IETF或其他有關的標準化組織來制定。而正式的標準化過程是漫長的，可能要拖上好幾年，直到所有的標準化組織都充分認識到Web安全的重要性。S-HTTP和SSL是從不同角度提供Web的安全性的。S-HTTP對單個文件作"私人/簽字"之區(qū)分，而SSL則把參與通信的相應進程之間的數(shù)據(jù)通道按"私用"和"已認證"進行監(jiān)管。Terisa公司的SecureWeb工具軟件包可以用來為任何Web應用提供安全功能。該工具軟件包提供有 RSA數(shù)據(jù)安全公司的加密算法庫，并提供對SSL和S-HTTP的全面支持。

另一個重要的應用是電子商務，尤其是信用卡交易。為使Internet上的信用卡交易安全起見，MasterCard公司(同IBM，Netscape，GTE和Cybercash一道) 制定了安全電子付費協(xié)議(SEPP)，Visa國際公司和微軟(和其他一些公司一道)制定了安全交易技術(STT)協(xié)議。同時，MasterCard，Visa國際和微軟已經同意聯(lián)手推出Internet上的安全信用卡交易服務。他們發(fā)布了相應的安全電子交易(SET)協(xié)議，其中規(guī)定了信用卡持卡人用其信用卡通過Internet進行付費的方法。這套機制的后臺有一個證書頒發(fā)的基礎結構，提供對X.509證書的支持。

上面提到的所有這些加安全功能的應用都會面臨一個主要的問題，就是每個這樣的應用都要單獨進行相應的修改。因此，如果能有一個統(tǒng)一的修改手段，那就好多了。通往這個方向的一個步驟就是赫爾辛基大學的Tatu Yloenen開發(fā)的安全shell(SSH)。SSH允許其用戶安全地登錄到遠程主機上，執(zhí)行命令，傳輸文件。它實現(xiàn)了一個密鑰交換協(xié)議，以及主機及客戶端認證協(xié)議。SSH有當今流行的多種Unix系統(tǒng)平臺上的免費版本，也有由Data Fellows公司包裝上市的商品化版本。

把SSH的思路再往前推進一步，就到了認證和密鑰分配系統(tǒng)。本質上，認證和密鑰分配系統(tǒng)提供的是一個應用編程界面(API)，它可以用來為任何網(wǎng)絡應用程序提供安全服務，例如: 認證、數(shù)據(jù)機密性和完整性、訪問控制以及非否認服務。目前已經有一些實用的認證和密鑰分配系統(tǒng)，如: MIT的Kerberos(V4與V5)，IBM的CryptoKnight和Netwrok Security Program，DEC的SPX，Karlsruhe大學的指數(shù)安全系統(tǒng)(TESS)等，都是得到廣泛采用的實例。甚至可以見到對有些認證和密鑰分配系統(tǒng)的修改和擴充。例如，SESAME和OSF DCE對Kerberos V5作了增加訪問控制服務的擴充，Yaksha對Kerberos V5作了增加非否認服務的擴充。

關于認證和密鑰分配系統(tǒng)的一個經常遇到的問題是關于它們在Internet上所受到的冷遇。一個原因是它仍要求對應用本身做出改動。考慮到這一點，對一個認證和密鑰分配系統(tǒng)來說，提供一個標準化的安全API就顯得格外重要。能做到這一點，開發(fā)人員就不必再為增加很少的安全功能而對整個應用程序大動手術了。因此，認證系統(tǒng)設計領域內最主要的進展之一就是制定了標準化的安全API，即通用安全服務API(GSS-API)。GSS-API(v1及v2)對于一個非安全專家的編程人員來說可能仍顯得過于技術化了些，但德州Austin大學的研究者們開發(fā)的安全網(wǎng)絡編程(SNP)，把界面做到了比GSS-API更高的層次，使同網(wǎng)絡安全性有關的編程更加方便了。

局域網(wǎng)在網(wǎng)絡層有什么不安全的地方？

不安全的地方

由于局域網(wǎng)中采用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就對可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。

網(wǎng)絡分段

網(wǎng)絡分段是保證安全的一項重要措施，同時也是一項基本措施，其指導思想在于將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。

網(wǎng)絡分段可分為物理分段和邏輯分段兩種方式：

物理分段通常是指將網(wǎng)絡從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無法進行直接通訊。目前，許多交換機都有一定的訪問控制能力，可實現(xiàn)對網(wǎng)絡的物理分段。邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡層（ISO/OSI模型中的第三層）上進行分段。例如，對于TCP/IP網(wǎng)絡，可把網(wǎng)絡分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關或防火墻等設備進行連接，利用這些中間設備（含軟件、硬件）的安全機制來控制各子網(wǎng)間的訪問。在實際應用過程中，通常采取物理分段與邏輯分段相結合的方法來實現(xiàn)對網(wǎng)絡系統(tǒng)的安全性控制。

VLAN的實現(xiàn)

虛擬網(wǎng)技術主要基于近年發(fā)展的局域網(wǎng)交換技術(ATM和以太網(wǎng)交換)。交換技術將傳統(tǒng)的基于廣播的局域網(wǎng)技術發(fā)展為面向連接的技術。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。

以太網(wǎng)從本質上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉變?yōu)辄c到點通訊，除非設置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。

由以上運行機制帶來的網(wǎng)絡安全的好處是顯而易見的：

信息只到達應該到達的地點。因此、防止了大部分基于網(wǎng)絡監(jiān)聽的入侵手段。

通過虛擬網(wǎng)設置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡節(jié)點不能直接訪問虛擬網(wǎng)內節(jié)點。

但是，虛擬網(wǎng)技術也帶來了新的安全問題：

執(zhí)行虛擬網(wǎng)交換的設備越來越復雜，從而成為被攻擊的對象�；�于網(wǎng)絡廣播原理的入侵監(jiān)控技術在高速交換網(wǎng)絡內需要特殊的設置�；�于MAC的VLAN不能防止MAC欺騙攻擊。

采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機端口。但這要求整個網(wǎng)絡桌面使用交換端口或每個交換端口所在的網(wǎng)段機器均屬于相同的VLAN。

VLAN之間的劃分原則

VLAN的劃分方式的目的是保證系統(tǒng)的安全性。因此，可以按照系統(tǒng)的安全性來劃分VLAN;可以將總部中的服務器系統(tǒng)單獨劃作一個VLAN,如數(shù)據(jù)庫服務器、電子郵件服務器等。也可以按照機構的設置來劃分VLAN，如將領導所在的網(wǎng)絡單獨作為一個Leader VLAN(LVLAN), 其他司局（或下級機構）分別作為一個VLAN,并且控制LVLAN與其他VLAN之間的單向信息流向，即允許LVLAN查看其他VLAN的相關信息，其他VLAN不能訪問LVLAN的信息。VLAN之內的連接采用交換實現(xiàn)， VLAN與VLAN之間采用路由實現(xiàn)。由于路由控制的能力有限，不能實現(xiàn)LVLAN與其他VLAN之間的單向信息流動，需要在LVLAN與其他VLAN之間設置一個Gauntlet防火墻作為安全隔離設備，控制VLAN與VLAN之間的信息交流。