蘇寧

摘要：該文介紹了端口技術(shù)的概況，詳細(xì)描述了該技術(shù)在校園網(wǎng)中應(yīng)用的主要作用與弊端，并簡(jiǎn)單介紹了端口隔離技術(shù)的配置方法。

關(guān)鍵詞：端口隔離；VLAN；病毒

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)21-5074-02

The Application Research of Port Isolation Technology in the Campus Network Practical

SU Ning

（City College of Dongguan University of Technology，Dongguan 523106, China）

Abstract: This paper introduces the port technology overview, a detailed description of the technology application in the campus network main effects and disadvantages, and introduces the configuration method of port isolation technology.

Key words: port isolate; VLAN; virus

近年來(lái)隨著各高校的不斷擴(kuò)招，在校學(xué)生人數(shù)也隨著不斷增長(zhǎng)。校園網(wǎng)為了將教育資源更多地共享給學(xué)生，不斷擴(kuò)建網(wǎng)絡(luò)規(guī)模和增加信息點(diǎn)。一所普通的高校動(dòng)輒就擁有上萬(wàn)級(jí)別的信息點(diǎn)，網(wǎng)絡(luò)的穩(wěn)定可靠性也越來(lái)越難以實(shí)現(xiàn)。如東莞理工學(xué)院城市學(xué)院，目前在校學(xué)生已有一萬(wàn)余，每個(gè)學(xué)生在宿舍區(qū)幾乎都擁有一個(gè)獨(dú)立的百兆網(wǎng)絡(luò)接口接入校園網(wǎng)。這些在校學(xué)生使用網(wǎng)絡(luò)有點(diǎn)非常明顯的特點(diǎn)：數(shù)量集中，聯(lián)網(wǎng)時(shí)段集中。這給網(wǎng)絡(luò)設(shè)備造成非常大的壓力，而目前PC機(jī)的硬盤存儲(chǔ)容量已經(jīng)達(dá)到T級(jí)別，個(gè)人桌面網(wǎng)絡(luò)連接速度則仍停留在百兆級(jí)別，相差甚遠(yuǎn)。學(xué)生在校園網(wǎng)中傳輸大容量的資源，如高清視頻、大型游戲等等，往往會(huì)造成網(wǎng)絡(luò)設(shè)備的高負(fù)荷運(yùn)行，容易出現(xiàn)網(wǎng)絡(luò)設(shè)備的硬件資源不足，死機(jī)等故障。近年來(lái)各廠家針對(duì)這種問(wèn)題研發(fā)各種新型網(wǎng)絡(luò)技術(shù)來(lái)解決上述問(wèn)題，目前在各高校使用最為廣泛的就是端口隔離技術(shù)。筆者所在單位東莞理工學(xué)院城市學(xué)院也在2008年網(wǎng)絡(luò)改造時(shí)采用了該技術(shù)，現(xiàn)就幾年來(lái)的使用情況和經(jīng)驗(yàn)進(jìn)行實(shí)用性探討。

1端口隔離技術(shù)簡(jiǎn)介

有過(guò)大型局域網(wǎng)管理經(jīng)驗(yàn)的人都知道，為了實(shí)現(xiàn)報(bào)文之間的二層廣播隔離，可以將不同的端口加入不同的VLAN，但會(huì)浪費(fèi)有限的VLAN資源。VLAN標(biāo)記中的用于區(qū)分不同VLAN的ID字段只有12位，也就是說(shuō)在同一個(gè)局域網(wǎng)中最多只能支持不超過(guò)4096個(gè)VLAN。對(duì)于如上所述的大型校園網(wǎng)，如果為了控制學(xué)生在二層之間的廣播數(shù)據(jù)量而單純使用有限VLAN進(jìn)行隔離，顯然是不明智的。而采用交換設(shè)備上的端口隔離特性，我們可以實(shí)現(xiàn)在同一虛擬子網(wǎng)內(nèi)的二層廣播數(shù)據(jù)隔離。網(wǎng)管人員只需將需要將需要隔離的端口加入到隔離組中，就可以實(shí)現(xiàn)同一隔離組內(nèi)端口之間的二層數(shù)據(jù)隔離?？梢哉f(shuō)端口隔離技術(shù)為校園網(wǎng)提供了更為安全和靈活的組網(wǎng)方案。

2端口隔離技術(shù)的作用

2.1端口隔離技術(shù)用于防御二層廣播型病毒

ARP廣播型病毒通過(guò)采用假冒網(wǎng)關(guān)MAC地址的形式向同一子網(wǎng)內(nèi)的所以終端機(jī)器進(jìn)行網(wǎng)關(guān)欺騙，受欺騙的局域網(wǎng)內(nèi)所有機(jī)器會(huì)將數(shù)據(jù)的傳輸方向指向中毒機(jī)器，從而造成信息被他人竊取或者網(wǎng)絡(luò)癱瘓。這種病毒如若只傳染一部終端，對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)是很容易找出并加以處理的。但是近年來(lái)隨著ARP病毒的不斷變種，其在局域網(wǎng)內(nèi)偽裝性也變得越來(lái)越強(qiáng)，最常見(jiàn)的就是其病毒主體感染同一子網(wǎng)內(nèi)所有機(jī)器，令這些感染病毒的機(jī)器也同時(shí)欺騙網(wǎng)關(guān)，那么網(wǎng)管人員就很難確定真正病毒宿主所在，往往都是通過(guò)對(duì)每臺(tái)終端進(jìn)行隔離的排除法來(lái)處理，工作量巨大。當(dāng)采用端口隔離技術(shù)后，由于同一子網(wǎng)內(nèi)的所有機(jī)器相互之間不能傳播二層廣播型數(shù)據(jù)，所以同一子網(wǎng)來(lái)即使有機(jī)器感染ARP病毒，也不會(huì)向周圍同一子網(wǎng)來(lái)的機(jī)器進(jìn)行擴(kuò)散，一定程序上控制了病毒的蔓延。

2.2端口隔離技術(shù)用于防止非法DHCP服務(wù)器

由于現(xiàn)在小型家用路由的泛濫使用，導(dǎo)致一些不懂網(wǎng)絡(luò)技術(shù)的學(xué)生，將家用路由器錯(cuò)接駁到校園中，將其充當(dāng)交換機(jī)使用的形象頻頻發(fā)生。這些錯(cuò)接進(jìn)大型局域網(wǎng)的路由器在局域網(wǎng)內(nèi)非法分發(fā)IP地址，設(shè)置錯(cuò)誤的網(wǎng)關(guān)，導(dǎo)致網(wǎng)絡(luò)阻塞在其小型路由器上。解決這些問(wèn)題往往需要校園網(wǎng)絡(luò)管理員到現(xiàn)場(chǎng)進(jìn)行路由器搜查，也給網(wǎng)絡(luò)管理員帶來(lái)了大量工作量。目前各高校會(huì)DHCP Snoop ing技術(shù)來(lái)解決該問(wèn)題，但僅局限于三層匯聚的設(shè)備支持該技術(shù)，二層設(shè)備由于成本原因往往不能支持該技術(shù)。若在二層采用端口隔離技術(shù)，由于同一子網(wǎng)中的終端二層端口的隔離，而三層網(wǎng)關(guān)不支持非法DHCP的穿透，能有效防止這種家用路由器上的非法DHCP服務(wù)器進(jìn)行地址分發(fā)。

2.3端口隔離技術(shù)用于控制二層間的網(wǎng)絡(luò)流量

如今許多學(xué)生經(jīng)常采用P2P軟件在局域內(nèi)互傳資源，最常見(jiàn)的如使用“飛鴿傳書(shū)”工具互傳高清電影、游戲等等。由于二層交換機(jī)一般都具備24個(gè)百兆端口以上，而上聯(lián)端口往往則只有1G的上下行帶寬，如若同一VLAN內(nèi)包含多個(gè)二層交換機(jī)，那么當(dāng)大量學(xué)生采用P2P工具進(jìn)行數(shù)據(jù)傳輸時(shí)，上聯(lián)端口往往成為數(shù)據(jù)傳輸?shù)钠款i。當(dāng)采用端口隔離技術(shù)后，這些P2P工具便無(wú)法通過(guò)二層廣播互相連接，也無(wú)法通過(guò)二層來(lái)傳輸數(shù)據(jù)。

2.4端口隔離技術(shù)用于校園網(wǎng)安全

校園網(wǎng)的學(xué)生的計(jì)算機(jī)技術(shù)正處于學(xué)習(xí)階段，對(duì)安全防范意識(shí)較薄弱，往往容易受他人入侵和攻擊。如有學(xué)生安裝WIN DOWS 2003服務(wù)器版本，又不懂得設(shè)置管理員密碼，同一局域網(wǎng)內(nèi)的其他學(xué)生通過(guò)掃描工具便能輕松發(fā)現(xiàn)并使用隱藏共享方式直接盜取其信息數(shù)據(jù)。

3端口隔離技術(shù)的實(shí)現(xiàn)

端口隔離技術(shù)的實(shí)現(xiàn)還是相對(duì)較簡(jiǎn)單的。以中興接入層ZTE 2826S設(shè)備為例，我們可以結(jié)合PVLAN進(jìn)行配置。假設(shè)要將二層交換機(jī)的1端口與2端口相互隔離，而上聯(lián)端口為端口25。那么配置方法如下：

首先將端口1與端口2打上PVID標(biāo)記；

set port 1 pvid 121

set port 2 pvid 121

設(shè)置端口是否透?jìng)鳂?biāo)記；

set vlan 121 add port 1-2 untag

set vlan 121 add port 25 tag

set pvlan session 1 add isolated-port 1-2

set pvlan session 1 add promiscuous port 25

4端口隔離技術(shù)的弊端

由于端口隔離技術(shù)的二層數(shù)據(jù)隔離特性，也相應(yīng)限制了一些資源的共享，如打印機(jī)無(wú)法通過(guò)網(wǎng)絡(luò)進(jìn)行共享；自建FTP服務(wù)器無(wú)法上傳下載數(shù)據(jù)；一些協(xié)同工作系統(tǒng)之間無(wú)法通信等等。為了滿足辦公區(qū)的各種應(yīng)用，端口隔離技術(shù)也可以通過(guò)分組的形式進(jìn)行配置，但在管理上相比VLAN沒(méi)有任何優(yōu)勢(shì)，反而增加網(wǎng)管人員的工作量。因此該技術(shù)并不適用校園網(wǎng)中結(jié)構(gòu)復(fù)雜的辦公區(qū)，和有著大量資源共享的服務(wù)器區(qū)。

另外由于采用端口隔離技術(shù)隔離了二層的數(shù)據(jù)傳輸，網(wǎng)絡(luò)資源的共享與傳輸往往通過(guò)三層來(lái)進(jìn)行傳輸，這對(duì)三層匯聚設(shè)備的性能要求更加高。在一些早期建設(shè)的校園網(wǎng)中，若匯聚層設(shè)備性能較一般，網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)钠款i將會(huì)轉(zhuǎn)向網(wǎng)關(guān)匯聚層。

5結(jié)束語(yǔ)

通過(guò)在二層實(shí)施端口隔離技術(shù)，有效地解決了校園網(wǎng)一些管理與安全方面的問(wèn)題，網(wǎng)絡(luò)管理員的工作重心從大量二層設(shè)備轉(zhuǎn)向少量的三層設(shè)備，一定程度上減少了網(wǎng)管員的工作量。我們應(yīng)該權(quán)衡利弊，結(jié)合自身人力資源投入與建設(shè)成本的實(shí)際情況，在校園網(wǎng)中合理地實(shí)施端口隔離技術(shù)。

參考文獻(xiàn)：

[1]章海亮.如何預(yù)防和處理ARP地址欺騙和攻擊[J].華東交通大學(xué)學(xué)報(bào),2007(5).

[2]胡寅,呂浩勇.高校局域網(wǎng)下的DHCP安全研究[J].電腦知識(shí)與技術(shù),2011(30).

[3]陰國(guó)富.VLAN及其在校園網(wǎng)中應(yīng)用分析[J].電子設(shè)計(jì)工程,2009,17(10):125-126.