局域网安全 当前，保证局域网安全的解决办法有以下几种： 　　1. *** 分段 *** 分段通常被认为是控制 *** 广播风暴的一种基本手段，但其实也是保证 *** 安全的一项重要措施。其目的就是将非法用户与敏感的 *** 资源相互隔离，从而防止可能的非法侦听， *** 分段可分为物理分段和逻辑分段两种方式。 目前，一般的局域网大多采用以交换机为中心、路由器为边界的 *** 格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种 *** ，来实现对局域网的安全控制。例如：普遍使用的DEC MultiSwitch 900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。 　　2.以交换式集线器代替共享式集线器 对局域网的中心交换机进行 *** 分段后，以太网侦听的危险仍然存在。这是因为 *** 最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符(包括用户名、密码等重要信息)，都将被明文发送，这就给黑客提供了机会。 因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。 　　VLAN的划分 为了克服以太网的广播问题，除了上述 *** 外，还可以运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，防止大部分基于 *** 侦听的入侵。 目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。