虚拟局域网的划分主要基于局域网交换技术实现。交换技术将传统的基于广播方式的局域网技术发展为面向连接的技术。信息传输实际上转变为点到点通信,信息只到达指定的地点,广播信息局限在特定的子网内,防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使虚拟网外的网络节点不能直接访问虚拟网内节点,提高了网络的安全性。
划分虚拟局域网的缺点在于虚拟网的交换设备相对复杂,容易成为被攻击的对象;划分虚拟局域网前,网络管理员为了网络安全而布置的基于网络广播原理的入侵监控技术需要重新设置;此外,基于MAC地址划分的虚拟局域网不能防范MAC地址欺骗攻击。
在局域网中规划虚拟局域网时首先要考虑的因素是,基于MAC地址的虚拟局域网划分将面临假冒MAC地址的攻击,因此,虚拟局域网的划分最好基于交换机端口。
其次,应该按照系统的安全性来划分虚拟局域网。可以将为局域网提供公共网络服务的服务器系统单独划做一个虚拟局域网,如数据库服务器、电子邮件服务器等。
第三,按照机构的设置来划分虚拟局域网。如将商业信息系统开发人员所在的网络单独作为一个“开发虚拟局域网”,其他部门分别作为不同的虚拟局域网。控制“开发虚拟局域网”与其他虚拟局域网之间为单向信息流向,即允许“开发”虚拟局域网查看其他虚拟局域网的相关信息,其他虚拟局域网不能访问“开发虚拟局域网”的信息。虚拟局域网之内的连接采用交换实现,虚拟局域网之间采用路由实现互访。由于路由控制的能力有限,为了确保“开发虚拟局域网”中的商业信息不外泄,还可以在“开发虚拟局域网”与其他虚拟局域网之间设置一个防火墙作为安全隔离设备,控制其他虚拟局域网与“开发虚拟局域网”之间的信息交流。
