網絡分段通常被認為是控制網絡廣播風暴的一種基本手段,但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法偵聽。一般來說,網絡分段可分為邏輯分段和物理分段兩種方式。
1.邏輯分段
例如把局域網分成了192.168.0.X和192.168.1.X兩個邏輯分段。由於兩個IP地址段不存在相同的廣播地址,從而可以有效地避免相互間的攻擊和病毒擴散。而服務器如果添加合理的管理軟件,更可以實現對兩個網絡分段的通信管理,如可以實現服務器管理“192.168.0.1~192.168.0.X”中的哪些計算機能夠訪問另一網段的“192.168.1.1”計算機;反之也可以屏蔽它們之間的相互通信。
2.物理分段
目前的局域網,很少使用純粹的物理分段來提高安全性。一般多采用以交換機為中心、路由器為邊界的網絡格局,重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控制。例如:普遍使用的DEC MultiSwitch 900的入侵檢測功能,就是一種基於Mac地址的訪問控制,也就是一種數據鏈路層的物理分段形式。
From:http://tw.wingwit.com/Article/Network/201309/3907.html