局域网作为整个网络的基础,应用非常广泛,但是局域网在技术上存在一定的安全缺陷。目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之问的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。
因此,黑客只要接入以太网上的任一节点进行侦听,比如通过网络摄像机的光电转换器,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。另外,由于局域网采取广播的通信方式,很容易造成广播风暴。而与物理位置无关的逻辑工作组虚拟局域网VLAN技术则可以很好地解决这个问题。
远程网络摄像机通过光纤接入局域网,建议采用MAC地址划分VLAN,MAC 地址就是指网卡的标识符,每一块网卡的MAC 地址都是惟且固化在网卡上的。网络管理员可按MAC 地址把一些站点划分为一个逻辑子网,使得网络节点不会因为地理位置的变化而改变其所属的网络,从而解决了网络节点的变更问题。对于连接于交换机的远程网络摄像机来说,在它们初始化时,核心三层交换机要在VLAN 的管理信息库MIB 中检查MAC 地址,从而动态地匹配该端口到相应的VLAN 中。
典型配置如下:
我们把监控网络的所有网络设备通过MAC地址划分VLAN的方式,划到一个独立的VLAN1。出于保护内部网络安全的考虑,我们要限制VLAN1的设备对内部其他VLAN的访问,同时允许需要其他VLAN用户合法访问访问监控网络。基于此,我们需要在核心三层路由交换机上制定了如下过滤规则:
● 拒绝VLAN1用户访问其他VLAN用户;
● 允许其他VLAN用户访问VLAN;
通过以上规则定制,完成了监控网络与其他网络的连接和安全控制,并且避免了远程网络摄像机由于端口绑定造成的缺乏灵活性问题。
因篇幅问题不能全部显示,请点此查看更多更全内容