前言

网络的普及带给人们许多便利，数据的撷取、知识的传递，上个网即随手可得。但相对地，数据窃取与破坏也透过网络之延伸成为更大的隐忧。

现今对网络的保护几乎是以防火墙为主，以保护内部网络与Internet间的联机。但是，对于内部网络之防护呢？我们可以利用VLAN功能将组织中的服务器独立成一个或数个Server Farm VLAN，用户依其特性也可区分成数个VLAN，如此即可利用防火墙来保护服务器的安全了。但这样的防护真的安全吗？

有关防火墙的解析

防火墙的基本运作原理，是利用来源(source)与目的地(destination)的 IP Address与TCP/UDP Port Number来判断封包是否被允许通过。因此，从防火墙的原则来看，今天若有办法知道那些用户的IP是被允许存取服务器中的数据，那么，不法之徒只需将IP设定为这些合法IP，也就能以相同的方法存取服务器了。

VLAN之解释

再者，关于VLAN的架构与设定，现今市场上所见的VLAN设定原则几乎只提供Port-Based VLAN，也就是说，不论你愿不愿意，一台交换器内的某些埠一旦设定是属于某一个VLAN，则其所辖的所有设备都是在同一VLAN中。(图一)

《图一 Server Farm VLAN的架构1》

在这种条件下，也就是说，一个用户一打开计算机，他就有网络的使用权了；而他属于那一个 VLAN 则看他接在那一个交换器埠上。

因此若把firewall与VLAN的问题结合在一起，那问题就大了。不法之徒只需将其计算机接在某一 VLAN埠之下，他就有内定的网络使用权，以及此VLAN的相关功能(如网络芳邻等)，若再使用相对的IP Address，他可能就可以轻而易举的窃取服务器上的数据。

VLAN 新想法

我们能不能对VLAN有比较不一样的想法呢？不要再以交换器埠来决定VLAN成员的关系，而要以用户所输入的用户姓名与密码来决定其所属的 VLAN，再者，我们应视所有用户内定是没有网络使用权，除非经过授权。

在AVLAN(Authentication VLAN)的环境下(图二)，用户一开机时Windows会显示一个认证窗口，等待用户输入姓名与密码，当然在这个时候，用户是没有什么网络使用权的。一旦用户输入姓名密码并通过认证后，此时便会授权给此用户有那些权限，亦即属于那个VLAN与可使用那些服务。当然，AVLAN也可与Firewall相结合，提供更安全的网络环境。但是另一个问题来了，那要如何储存这些用户的数据以供认证授权使用呢？如果存放在交换器中，对大型组织来说，可能会放不下，也会造成维护上的困扰，而目录服务就提供了一个最好的储存空间与方式。由于Windows 2000的 Active Directory也是目录服务的一种，因此可充分使用在AVLAN的环境下。

《图二 Server Farm VLAN的架构2》

结语

AVLAN非常适合使用在有高度安全考虑的网络环境，以及需要控制网络使用权的环境，前者如银行证券保险业，后者如校园与宿舍网络。例如在宿舍网络中，没有缴交网络实习费者不得使用网络。不过，要是在以前，是很难做到管制的，现在只要利用 AVLAN，没有缴费者由于没有密码，因此无法使用网络。再者，在使用AVLAN时，可强迫用户必需使用DHCP以取得动态IP，这也可避免同学违法使用校园网络，如开FTP或WWW站台。