银行网络规划与设计

辽宁工业大学
计算机网络基础实训报告
题目：锦州银行网络规划
院（系）: 软件学院
专业班级：楼宇自动化112班
学号：111407058
学生姓名：刘博睿
指导教师：李宁
教师职称：助教
起止时间：2012.5.23-2012.6.05
实训任务及评语
目录
一、任务分配 ------------------------------------------------------------------------------------------------------ 1
二、银行概况 ------------------------------------------------------------------------------------------------------ 1
（一）银行网络基本情况 -------------------------------------------------------------------------------- 1 （二）镇银行各部门分配 -------------------------------------------------------------------------------- 1
1、公司业务部 ---------------------------------------------------------------------------------------- 1
2、个人业务部 ---------------------------------------------------------------------------------------- 2
3、国际业务部 ---------------------------------------------------------------------------------------- 2
4、资金营运部 ---------------------------------------------------------------------------------------- 2
5、信贷审批部 ---------------------------------------------------------------------------------------- 2
6、风险管理部 ---------------------------------------------------------------------------------------- 2
7、合规部 ---------------------------------------------------------------------------------------------- 2
8、计财部 ---------------------------------------------------------------------------------------------- 2
9、会计结算部 ---------------------------------------------------------------------------------------- 3
10、出纳保卫部 -------------------------------------------------------------------------------------- 3
11、科技部--------------------------------------------------------------------------------------------- 3
12、内审部--------------------------------------------------------------------------------------------- 3
13、人力资源部 -------------------------------------------------------------------------------------- 3
14、接待部--------------------------------------------------------------------------------------------- 3
（三）银行网络的特点 ----------------------------------------------------------------------------------- 3
1、银行网络的速度---------------------------------------------------------------------------------- 3
2、银行网络安全现状分析 ------------------------------------------------------------------------ 4
（1）银行网络系统安全现状 --------------------------------------------------------------- 4
（2）银行网络系统所面临的安全威胁和风险 ----------------------------------------- 4 1）失密和窃密 --------------------------------------------------------------------------- 5
2）信息篡改------------------------------------------------------------------------------- 5
3）假冒和伪造 --------------------------------------------------------------------------- 5
4）重播------------------------------------------------------------------------------------- 6
5）信息欺骗抵赖 ------------------------------------------------------------------------ 6
6）信息丢失、销毁 --------------------------------------------------------------------- 6
7）拒绝服务------------------------------------------------------------------------------- 6
8）网络间谍------------------------------------------------------------------------------- 6
9）黑客侵扰------------------------------------------------------------------------------- 7
10）计算机病毒-------------------------------------------------------------------------- 7
11）蠕虫程序 ----------------------------------------------------------------------------- 7
12）特洛伊木马-------------------------------------------------------------------------- 7
13）逻辑炸弹 ----------------------------------------------------------------------------- 7
14）陷阱门 -------------------------------------------------------------------------------- 8
15)内部人员的破坏---------------------------------------------------------------------- 8
16)非授权访问 ---------------------------------------------------------------------------- 8
17)信息流的利用与拥塞 --------------------------------------------------------------- 8
（3）银行网络系统安全分析 --------------------------------------------------------------- 8
1)没有较完善的安全体系-------------------------------------------------------------- 8
2)没有较完备的安全保密措施-------------------------------------------------------- 8
3)没有建立安全防预中心-------------------------------------------------------------- 8
4)没有建立全网的访问控制中心和安全管理系统------------------------------- 9
5)网络之间没有配置相应的防火墙 ------------------------------------------------- 9
6)没有建立对信息包内容的监管记录系统 ---------------------------------------- 9
7)没有采用先进的硬件和软件加密技术和设备---------------------------------- 9
8)没有配备反病毒的安全措施-------------------------------------------------------- 9
9)在交换机上没有设置足够的安全措施 ------------------------------------------ 10
10)没有建立“安全技术应急反应中心” -------------------------------------------- 10
11)没有建立相应的安全组织、管理、技术机构 ------------------------------- 10
三、现象分析 ----------------------------------------------------------------------------------------------------- 10
四、网络技术选择----------------------------------------------------------------------------------------------- 11
（一）端口聚合-------------------------------------------------------------------------------------------- 11
1、端口汇聚简介（TRUNK）---------------------------------------------------------------------- 11
2、TRUNK的具体应用 ------------------------------------------------------------------------------ 12
3、端口聚合优点: --------------------------------------------------------------------------------- 12
（二）Vlan技术 ------------------------------------------------------------------------------------------- 13
1、划分vlan的优点： ---------------------------------------------------------------------------- 14
1）控制广播风暴------------------------------------------------------------------------------ 14
2）提高网络整体安全性 -------------------------------------------------------------------- 14
3）网络管理简单、直观 -------------------------------------------------------------------- 14 （三）千兆交换以太网技术 ---------------------------------------------------------------------------- 14
1、简介----------------------------------------------------------------------------------------------- 14
2、特点----------------------------------------------------------------------------------------------- 15
1）千兆以太网的特点主要包括如下----------------------------------------------------- 15 （四）、生成树协议 --------------------------------------------------------------------------------------- 16
1、生成树协议主要功能 -------------------------------------------------------------------------- 16
（五）端口安全-------------------------------------------------------------------------------------------- 16 五、网络连接的设备-------------------------------------------------------------------------------------------- 18
（一）核心层交换机 ------------------------------------------------------------------------------------- 18 （二）接入层交换机 ------------------------------------------------------------------------------------- 20 （三）路由器----------------------------------------------------------------------------------------------- 21 （四）防火墙----------------------------------------------------------------------------------------------- 22
一、任务分配
刘博睿Word制作，设备清单。

ppt制作。

网络施工图。

网络拓扑图。

二、银行概况
（一）银行网络基本情况
随着信息技术的发展，社会的信息化程度提高了，网络银行、电子银行出现了，整个银行业、金融业都依赖于信息系统。

交易网络化、系统化、快速化和货币数字经是当前金融业的特点，这对金融信息系统的安全保密性提出了严格的要求。

金融信息系统必须保证金融交易的机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖性和可靠性。

为了适应金融业的需要，各家银行都投资建网。

但是，由于各种因素的制约，网络的安全体系不完善，安全措施不完备，存在严重的安全漏洞和安全隐患。

这些安全漏洞和隐患有可能造成中国的金融风暴，给国家带来重大损失，因此必须采取强有力的措施，解决银行网络的安全问题。

某镇银行系统在镇中共有两处营业点，其中一营业点与镇分理处相距1500米，主要有一层楼用于银行办理业务，另一营业点与分理处在一处办公，是二层楼，一层是营业点，二层是分理处，各司其职。

（二）镇银行各部门分配
1、公司业务部
主要负责对公业务，审核等。

2、个人业务部
主要负责个人业务，居民储蓄，审核。

3、国际业务部
主要负责国际打包放款，国际电汇，外汇结算等。

4、资金营运部
主要是资金结算。

5、信贷审批部
负责各类贷款审批等。

6、风险管理部
就是在银行评估、管理、解决业务风险的部门。

银行的业务风险主要有：信贷的还款风险、会计的结算风险、新业务的试水风险、财务的管理风险、业务文件的法律风险等等。

所有这些风险的控制，特别是前三类业务的风险控制，都是由风险管理部牵头制订解决办法的。

7、合规部
“合规风险”指的是：银行因未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则、已经适用于银行自身业务活动的行为准则，而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。

8、计财部
财务和计划方面的事情，是银行的核心和权利部门。

9、会计结算部
安全防范为主题，强化会计结算基础管理工作，揽存增储、中间业务、保险、基金等各项任务，全员的防范意识、业务素质、核算质量、服务技能工作，加强管理、监督、检查与辅导，指导全员严格按照规章制度和操作流程办理业务，加强人员培训，提高业务素质和核算质量。

10、出纳保卫部
主要负责现金管理、安全检查、监控管理、消防安全等安保工作。

11、科技部
主要负责银行计算机软硬件方面的维护。

12、内审部
主要负责各家支行传票的审核，检查柜员的差错等。

13、人力资源部
主要负责银行内部人员的考勤。

14、接待部
主要负责接待来银行办理业务的人。

（三）银行网络的特点
1、银行网络的速度
银行网络响应速度一定要快，不要太慢。

2、银行网络安全现状分析
（1）银行网络系统安全现状
现在，信息攻击技术发展很快，攻击手段层出不穷，但银行网络日前的安全措施大部分仅是保密，极少采用数字签名，认证机制不健全，这完全不适应现代金融系统的安全需求。

具体表现在以下五个方面：
➢有投入，有人员，但投入不够，人员不固定。

遇有冲突，立刻舍弃；
只求速上，不求正常、配套、协调建设，从根本上没有改变以前轻视安全的做法。

➢对整个网络建设缺乏深入、细致、具体的安全体系研究，更缺乏建立安全体系的迫切性。

➢有制度、措施、标准，但不完备，也没有认真执行，大部分流于形式，缺乏安全宣传教育。

➢缺乏有效的监督检查措施。

➢从根本上没有处理好发展与安全的关系。

（2）银行网络系统所面临的安全威胁和风险
由于金融信息系统中处理、传输、存贮的都是金融信息，对其进行攻击将获得巨额的金钱，而且，对金融信息系统的攻击，可能造成国家经济命脉的瘫痪和国家经济的崩溃，因此金融信息系统面临着巨大的风险和威胁。

银行网络系统面临的攻击手段较多，既有来自外部的，也有来自内部的。

由于对银行网络系统的攻击可以获得较大的经济、政治、军事利益，因此银行网络系统成为敌对国家、犯罪集团、高智商犯罪分子的首选攻击目标。

在80年代以前，对信息的攻击主要依赖信号的截获与破译，这是一种被动攻击手段。

80年代中后期，随着信息技术、网络技术、计算机技术的发展和融合，大型信息系统或通信系统出现了。

针对信息系统的新型攻击手段应运而生，各种被动攻击手段、主动攻击手段层出不穷。

攻击者利用各种高科技手段和仪器，利用网络协议本身的不安全性，路由器、口令文件、X11、Gopher的安全隐患，Unix、WindowsNT等操作系统的不
安全性，JavaApplet、Activex，CGI的安全隐患，数据库的安全隐患和其他计算机软硬件产品的不安全性，对信息系统实施攻击。

对于金融信息系统，更严重的威胁来自各种主动攻击手段。

主动攻击手段较多，如伪造票据、假冒客户、交易信息篡改与重放、交易信息销毁、交易信息欺诈与抵赖、非授权访问、网络间谍、“黑客”人侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹等。

这些攻击完全能造成金融信息系统瘫痪、资金流失或失踪。

这些攻击可能来自内部，也可能来自外部。

各种攻击将给金融信息系统造成以下几种危害：
1）失密和窃密
利用搭线、使用高性能的协议分析仪器和信道监测设备、接收电磁辐射信息、陷阱和后门程序、黑客等手段，窃取计算机系统的操作密码，破解系统的核心密码，窃取用户帐号和密码等。

2）信息篡改
非授权改变金融交易传输过程和存贮中的信息，并造成非法后果的行为就是信息篡改。

这种攻击手段，既可使信息变得无效，又可使信息变得有利于己方，这样将造成不估量的损失。

3）假冒和伪造
一个实体装扮成另一个实体的行为就是假冒。

利用假冒的身份，杜撰票据或交易等，这种行为就是伪造。

假冒和伪造经常是相伴发生的，而且假冒还伴随着其它形式的干预型攻击，如重播和篡改交易信息。

假冒分内部和外部两种，如拥有低权限的合法实体可利用伪装的手法假冒高权限的实体以便获得更多的访问权限。

假冒和伪造是金融系统中常见的攻击手段。

如伪造各类业务信息，未授权篡改数据，改变业务信息流的次序、时序、流向，破坏金融信息的完整性，假冒合法用户肆意篡改信息，假冒合法用户实施金融欺诈等。

4）重播
将一则交易、信息或者其中的一部分重复使用以产生非法的效果，这样的攻击手段就是重播。

例如，在输入帐号和密码时，包含帐号和密码的一段消息被攻击者截获了，攻击者就重播这段消息，以实现攻击目的。

5）信息欺骗抵赖
在银行网络系统中，交易的欺骗抵赖是常见的攻击手段。

交易欺骗就是攻击者通过银行网络系统发出一些无效的交易报文，骗取交易中心做出有利于攻击者的响应，或者修改交易报文的内容、目的地，实施交易欺诈。

抵赖分为源抵赖和宿抵赖。

源抵赖就是交易发起者否认进行过交易；宿抵赖就是交易报文的接收者否认接收到交易报文。

在银行网络系统中，保证交易的不可抵赖性是非常重要的。

6）信息丢失、销毁
交易信息在传输、存贮过程中丢失或销毁，不能到达目的地，或者不能再使用。

7）拒绝服务
金融信息系统或者其中的一个实体拒绝完成本身的任务，或妨碍系统的其它实体完成本身的任务的行为称谓拒绝服务。

这种攻击有两种可能性：第一种是无特定目标的袭击，系统或其中一个文体抑制所有的信息；第二种是有目标的袭击，系统或其中一个实体抑制所有送往特定目的地的信息，如安全保密审查服务信息。

这种攻击包括抑制业务量和生成多余的业务量，也有可能生成破坏网络操作的信息，改变路由选择等。

8）网络间谍
银行网络系统为国际间谍战提供了一个新的舞台。

目前，国际间谍战的重心已由军事、政治领域转移到经济和金融领域。

通过计算机网络从事谍报活动已是国际间谍战的一种新方式。

9）黑客侵扰
黑客侵扰类似于网络间谍，但前者没有政治和经济目的，仅仅是一些计算机迷为了猎奇，利用自己精通计算机知识，利用他人编程的漏洞，侵入金融信息系统，调阅各种资料，篡改他人的资料，将机密信息在公用网上散发广播等。

10）计算机病毒
计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序，它通过软盘、终端或其它方式进入计算机系统或计算机网络，引起整个系统或网络紊乱，甚至造成瘫痪，因此防范计算机病毒的污染和传播，是非常重要的。

11）蠕虫程序
蠕虫是一段独立程序，通过爆炸性的自我复制方式，在网络上从一台计算机扩散到另一台计算机，和病毒不同之处是蠕虫程序不修改其他程序。

12）特洛伊木马
特洛伊木马是隐藏在程序里并具有伪装功能的一段程序代码。

通常，用来伪装病毒或蠕虫程序。

特洛伊木马可以伪装成一种与安全有关的工具，例如象分析网络安全的管理工具(SATAN)。

SATAN用于检查Unix系统安全漏洞，可以免费使用。

如果有人编辑这段程序，使它把每笔交易以E－mail报文形式送回来，就能知道更多有用的信息。

精心设计的特洛伊木马程序里不会留下它出现的踪迹，因为它不造成可检测的损害，所以难以检测到它。

13）逻辑炸弹
逻辑炸弹是由系统开发者或者程序员埋置在系统内部的一段独立程序或程序代码。

它是特洛伊木马的一种类型，在一定条件下它可以释放病毒、蠕虫或者实施其它类型的攻击。

14）陷阱门
陷阱门又称后门，是系统设计者预先在系统中设置的一段程序，其作用是使设计者能越过正常的系统保护，提供一种潜入系统的方法。

15)内部人员的破坏
内部人员熟悉金融信息系统的应用业务和薄弱环节，可以比较容易地篡改系统数据、泄漏信息和破坏系统的软硬件。

16)非授权访问
内部、外部人员非授权访问交易系统。

17)信息流的利用与拥塞
攻击者在有用信息的空隙插入有害信息，有害信息抢占信道和网络资源、业务资源，造成信道、网络和应用系统拥塞。

（3）银行网络系统安全分析
1)没有较完善的安全体系
目前，银行网络系统的问题缘自没有进行安全体系的研究。

采用的安全方案比较单一，仅能防止从信道上侦收信息，不能阻止来自业务系统和用户的网络攻击，不能适应银行网络系统的安全需求。

2)没有较完备的安全保密措施
由于银行网络系统没有较完善的安全体系，采取的安全措施不完备，不能防御所有的威胁和攻击。

3)没有建立安全防预中心
目前，银行网络系统没有建立全网的安全监控预警系统，或称为安全防预中
心。

全网的安全监控预警系统备有先进的安全技术和设备，监察网上的异常活动、非安全活动，监视骨干网、骨干网设备及信息是否安全。

全网的安全监控预警系统负责安排骨干网的安全技术设备、措施和程序，如各种跟踪、预警和记录黑客、破坏者活动和重大活动。

4)没有建立全网的访问控制中心和安全管理系统
目前，银行网络系统没有建立全网的访问控制中心和安全管理系统，不能对用户实施登录、授权、鉴别和访问控制。

5)网络之间没有配置相应的防火墙
在银行内部各个业务部门网络之间、在等级不一的各安全区之间、在不同业务系统之间、在不同数据库之间、从不同金融机构进入，一般应有5～7道安全措施。

而在银行网络系统中，没有层层设防的安全措施，如配置相应的防火墙。

6)没有建立对信息包内容的监管记录系统
金融机构都有交易监管系统，如ATM机的摄录系统。

在银行网络系统中，一般均设有对信息包及信息包内容监管的系统和设备，可以探测信息包的异常来源和去向，对信息包的内容进行检查。

而银行网络系统没有建立信息包内容的监管记录系统。

7)没有采用先进的硬件和软件加密技术和设备
银行的业务系统、网络和通信都有各自先进的软件加密和硬件加密，而且还应用了第三代、第四代加密技术。

业务系统、网络和通信采用不同商家的安全保密产品。

目前，银行网络系统只在远程通信采用了加密措施，设有专用的硬件和软件加密技术和设备。

8)没有配备反病毒的安全措施
由于网上病毒的增加，破坏性日益增大，金融机构都强化了反病毒的安全措
施，包括过滤通信中的信息病毒、电子邮件中的病毒、WWW中的病毒，对网络及网络上的设备系统进行反病毒的扫描。

银行网络系统没有配备网络反病毒的监管系统。

9)在交换机上没有设置足够的安全措施
ATM和帧中继交换机是网络和通信的要害设备。

外国金融机构极为重视交换机的安全措施，用安全防预中心的设备对交换机进行三A控制，即鉴别、授权、审计。

我国银行网络没有在所有交换机上设置完整的三A安全控制。

10)没有建立“安全技术应急反应中心”
大型信息系统都应设有“安全技术应急反应中心”，解决突发的安全事件，提供安全技术支援，在WWW上公布网络中出现的安全问题及解决措施，预告网络中可能出现的安全问题及解决措施。

11)没有建立相应的安全组织、管理、技术机构
为了解决大型信息系统的安全管理和安全维护问题，都应建立了相应的安全组织机构、管理机构和技术机构。

目前，银行网络没有建立相应的安全组织、管理、技术机构。

三、现象分析
该银行系统在镇中共有两处营业点，其中一营业点与镇分理处相距1500米，所以两银行之间用光纤连接；该银行共有14个部门，每个部门都在不同的vlan 中，通过对交换机的设置，不同vlan间不能相互访问，保证银行网络的数据信息安全；该银行人力资源部门设有指纹检测系统，银行内部的人员每天都要在指纹检测器上按指纹。

其中个人业务部、资金营运部、风险管理部、计财部、会计总结部和人力资源部在营业点的一楼，公司业务部、国际业务部、信贷审批部、合规部、出纳保
卫部、科技部和内审部在分理处的二楼，总共有19个房间，每个房间四个数据点和四个语音点，共76个数据点和76个语音点，需要两个核心交换机，两个汇聚交换机，四个接入交换机，一台路由器，一个防火墙，一个FTP服务器，一个WEB服务器，供银行内部人员上传和下载资料，个人业务部内个人储蓄的信息所有计算机都可以共享。

四、网络技术选择
（一）端口聚合
端口聚合也叫做以太通道（ethernet channel），主要用于交换机之间连接。

由于两个交换机之间有多条冗余链路的时候，STP会将其中的几条链路关闭，只保留一条，这样可以避免二层的环路产生。

但是，失去了路径冗余的优点，因为STP的链路切换会很慢，在50s左右。

使用以太通道的话，交换机会把一组物理端口联合起来，做为一个逻辑的通道，也就是channel－group，这样交换机会认为这个逻辑通道为一个端口。

1、端口汇聚简介（TRUNK）
TRUNK是端口汇聚的意思，就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。

Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。

基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提供整个网络能力。

一般情况下，在没有使用TRUNK时，大家都知道，百兆以太网的双绞线的这种传输介质特性决定在两个互连的普通10/100交换机的带宽仅为1 00M，如果是采用的全双工模式的话，则传输的最大带宽可以达到最大200
M，这样就形成了网络主干和服务器瓶颈。

要达到更高的数据传输率，则需要更换传输媒介，使用千兆光纤或升级成为千兆以太网，这样虽能在带宽上能够达到千兆，但成本却非常昂贵（可能连交换机也需要一块换掉），更本不适合低成本的中小企业和学校使用。

如果使用TRUNK技术，把四个端口通过捆绑在一起来达到800M带宽，这样可较好的解决了成本和性能的矛盾。

2、TRUNK的具体应用
TRUNK（端口汇聚）是在交换机和网络设备之间比较经济的增加带宽的方法，如服务器、路由器、工作站或其他交换机。

这中增加带宽的方法在当单一交换机和节点之间连接不能满足负荷时是比较有效的。

TRUNK 的主要功能就是将多个物理端口（一般为2－8个）绑定为一个逻辑的通道，使其工作起来就像一个通道一样。

将多个物理链路捆绑在一起后，不但提升了整个网络的带宽，而且数据还可以同时经由被绑定的多个物理链路传输，具有链路冗余的作用，在网络出现故障或其他原因断开其中一条或多条链路时，剩下的链路还可以工作。

但在VLAN数据传输中，各个厂家使用不同的技术，例如：思科的产品是使用其VLAN TRUNK 技术，其他厂商的产品大多支持802.1q协议打上TAG头，这样就生成了小巨人帧，需要相同端口协议的来识别，小巨人帧由于大小超过了标准以太帧的1518字节限制，普通网卡无法识别，需要有交换机脱TAG
3、端口聚合优点:
1)带宽增加，带宽相当于组成组的端口的带宽总和。

2)增加冗余，只要组内不是所有的端口都down掉，两个交换机之间仍然可以继续通信。

3)负载均衡，可以在组内的端口上配置，使流量可以在这些端口上自动进行负载均衡。

端口聚合它可将多物理连接当作一个单一的逻辑连接来处理，它允许两个交换器之间通过多个端口并行连接同时传输数据以提供更高的带宽、
更大的吞吐量和可恢复性的技术。

一般来说，两个普通交换器连接的最大带宽取决于媒介的连接速度（100BAST-TX双绞线为200M），而使用Trunk 技术可以将4个200M的端口捆绑后成为一个高达800M的连接。

这一技术的优点是以较低的成本通过捆绑多端口提高带宽，而其增加的开销只是连接用的普通五类网线和多占用的端口，它可以有效地提高子网的上行速度，从而消除网络访问中的瓶颈。

另外Trunk还具有自动带宽平衡，即容错功能：即使Trunk只有一个连接存在时，仍然会工作，这无形中增加了系统的可靠性。

（二）Vlan技术
VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。

一个VLAN可以在一个交换机或者跨交换机实现。

VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。

基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。

传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。

VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。

不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。

网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VL AN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。

另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。