基于策略VLAN的安全接入控制

blackmask

引言：
VLAN的概念从有网络交换机时就有，当时VLAN最大的用途是进行广播域的划分和隔离；在传统的网络概念中，VLAN是一组交换机端口的集合，在同一个VLAN中的终端属于同一广播域，终端之间通过MAC地址进行通信。如果想改变终端的VLAN属性，必须对交换机端口进行重新配置。在对网络安全越来越重视的当今网络设计中，VLAN技术成为了对用户终端、应用的最基础的区分和隔离手段；当用户接入网络时即被赋予了相应的VLAN属性，从而保证了与其他用户的有效区分，同时也被赋予了相应资源的存取权限。因此可以说，没有VLAN就没有网络安全；对用户、终端接入网络的第一步安全控制就是让其进入相对应的VLAN；那么，终端以何种方式进入哪一个VLAN就显得非常重；可以说，网络交换设备只有能够很好地解决VLAN问题，并可以有效实施、应用，才有资格谈到网络安全。下文将以Alcatel OmniSwitch为例，以其策略VLAN为基础来进一步分析网络的接入安全控制。本文主要分两个部分，第一部分将对Alcatel的策略VLAN技术进行介绍和描述；第二部分将结合当今网络安全需求给出Alcatel相应的解决方案，使用户能够对Alcatel基于策略VLAN的安全接入技术有更加具体的了解，并帮助现有Alcatel用户更好地利用策略VLAN技术构建更加安全、灵活、易用的网络。

完整的文档: http://ligf.cn/doc/avlan.pdf


Alcatel策略VLAN打破了这种以固定端口划分VLAN的传统模式，将每一个VLAN赋予一定的策略，用户终端最终进入哪一个VLAN与其接入的交换机端口无直接联系，而与终端
的特性是否与VLAN策略的匹配相关；Alcatel策略VLAN实现了用户终端真正的即插即用，同时为用户、终端提供安全的数据隔离。Alcatel的VLAN策略包括：