交換機(jī)端口的安全管理技術(shù)

摘 要：隨著計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)技術(shù)逐漸發(fā)展，鏈路層中對(duì)于網(wǎng)絡(luò)安全的交換機(jī)端口的管理技術(shù)也層出不窮，為物理端口提供了安全高效的管理手段和方式，以校園網(wǎng)絡(luò)的交換機(jī)端口管理為例，以交換機(jī)端口的現(xiàn)狀以及必要性分析為基礎(chǔ)，明確分析了交換機(jī)端口的安全管理技術(shù)，通過(guò)對(duì)交換機(jī)端口中的LAN、VLAN、IP綁定技術(shù)的分析，明確了不同端口管理技術(shù)的特點(diǎn)，為類似交換機(jī)端口的安全管理提供了可供參考的經(jīng)驗(yàn)。

關(guān)鍵詞：交換機(jī)；端口；安全管理；技術(shù)

中圖分類號(hào)：TP

隨著校園信息化建設(shè)的持續(xù)推進(jìn)，接入校園網(wǎng)的用戶數(shù)量急劇增加，致使大量交換機(jī)端口信息缺乏有效的管理，由此應(yīng)建立相應(yīng)的交換機(jī)端口的統(tǒng)一管理體系。傳統(tǒng)的交換機(jī)端口信息是通過(guò)人工管理的。人工管理的方式較為復(fù)雜、同時(shí)也受到交換機(jī)地點(diǎn)的限制，并且人工管理過(guò)程中，相應(yīng)的端口數(shù)據(jù)容易丟失，為了有效提高管理效率，還應(yīng)在明確端口管理現(xiàn)狀以及端口管理技術(shù)的基礎(chǔ)之上，根據(jù)網(wǎng)絡(luò)建設(shè)和使用實(shí)際選擇相應(yīng)的管理技術(shù)，為交換機(jī)端口的安全管理奠定了基礎(chǔ)。

1 交換機(jī)端口管理

對(duì)于交換機(jī)端口管理工作而言，以太網(wǎng)應(yīng)用初始階段并未受到重視，在由HuB至交換機(jī)轉(zhuǎn)變過(guò)程中，因硬件自身所存在著的局限性，網(wǎng)絡(luò)設(shè)備基本上都是即插即用樣式，而交換機(jī)則因其端口位置是開(kāi)放狀態(tài)，所以只要是兼容二層及以上網(wǎng)絡(luò)協(xié)議的關(guān)聯(lián)性內(nèi)容即可使用。近年來(lái)，隨著科技水平的不斷提高，網(wǎng)絡(luò)范圍也在不斷的擴(kuò)展，一系列中型、大型網(wǎng)絡(luò)系統(tǒng)快速出現(xiàn)，交換機(jī)端口管理工作顯得越來(lái)越重要?jiǎng)t，其中重要的交換機(jī)端口管理工作機(jī)器管理方式，基本上都是從互聯(lián)、認(rèn)證以及分割和隔離等，四個(gè)環(huán)節(jié)開(kāi)展。

2 交換機(jī)端口管理的重要價(jià)值

實(shí)踐中可以看到，雖然交換機(jī)端口采用的即插即用應(yīng)用方式相對(duì)比較簡(jiǎn)便，但同時(shí)也存在著一些弊端與不足，比如APR病毒非常的泛濫，因ARP協(xié)議存在著一定的缺陷，導(dǎo)致交換機(jī)難以有效地辨別冒充網(wǎng)關(guān)的一系列MAC地址，從而造成網(wǎng)絡(luò)中斷、網(wǎng)絡(luò)嗅探等問(wèn)題的頻頻發(fā)生，同時(shí)在企業(yè)信息網(wǎng)絡(luò)系統(tǒng)之中，基于對(duì)安全的充分考慮，我國(guó)不希望即插即用出現(xiàn)在鏈路層，因此應(yīng)當(dāng)對(duì)接入系統(tǒng)中的網(wǎng)絡(luò)設(shè)備予以辨認(rèn)。同時(shí)，大型的網(wǎng)絡(luò)系統(tǒng)中的廣播域相互之間可能會(huì)產(chǎn)生一定的影響，這無(wú)形中增大了網(wǎng)管人員的管理力度。在該種情況下，應(yīng)當(dāng)通過(guò)較為嚴(yán)格的交換機(jī)管理程序，來(lái)有效保證網(wǎng)絡(luò)持續(xù)運(yùn)行。目前來(lái)看，交換機(jī)性能持續(xù)增加，這主要表現(xiàn)在背板的有效的寬帶方面，而且交換機(jī)端口速率也由原來(lái)的10M發(fā)展到現(xiàn)代的千兆，甚至萬(wàn)兆速率。

3 加強(qiáng)交換機(jī)端口管理

3.1 LAN技術(shù)

對(duì)于傳統(tǒng)的以太網(wǎng)而言，它是平面網(wǎng)絡(luò)的一種，而且網(wǎng)絡(luò)之中的全部主機(jī)均通過(guò)Hub、交換機(jī)等有效的連接在一起，即隸屬于相同的廣播域。從本質(zhì)上來(lái)講，Hub即物理層機(jī)械設(shè)備，沒(méi)有所謂的交換功能，但可將接收的所有報(bào)文轉(zhuǎn)發(fā)給所有的端口；交換機(jī)則是鏈路層設(shè)備，其主要是依據(jù)報(bào)文目的MAC地質(zhì)予以有效轉(zhuǎn)發(fā)，然在收到廣播報(bào)文、未知單播報(bào)文過(guò)程中，也會(huì)將所收到的報(bào)文向所有端口進(jìn)行轉(zhuǎn)發(fā)。上述情況下，網(wǎng)絡(luò)主機(jī)將收到大量的、并非目的性的報(bào)文，在大量帶寬資源嚴(yán)重浪費(fèi)的情況下，也可能會(huì)造成非常嚴(yán)重的一系列安全隱患問(wèn)題。傳統(tǒng)的廣播域隔離方式是路由器，但路由器的應(yīng)用成本非常的高，而且端口相對(duì)比較少，因此難以對(duì)一些較為細(xì)致的網(wǎng)絡(luò)系統(tǒng)予以劃分。

3.2 VLAN技術(shù)

隨著交換技術(shù)的發(fā)展，當(dāng)前新交換技術(shù)（VLAN）的應(yīng)用也在加快。該技術(shù)可以先將企業(yè)中的網(wǎng)絡(luò)系統(tǒng)有效地劃分成虛擬網(wǎng)絡(luò)網(wǎng)段，這對(duì)于加強(qiáng)網(wǎng)絡(luò)管理、不斷提高其安全性以及實(shí)現(xiàn)數(shù)據(jù)廣播管理，具有非常重要的作用。在網(wǎng)絡(luò)資源共享過(guò)程中，物理網(wǎng)段即為廣播域，然而在交換網(wǎng)絡(luò)當(dāng)中，廣播域則是一組可根據(jù)需要選定的網(wǎng)絡(luò)地址，即由MAC地址形成的一個(gè)虛擬網(wǎng)段。在網(wǎng)絡(luò)組運(yùn)行過(guò)程中，通過(guò)工作組的有效劃分可突破共享網(wǎng)絡(luò)中的相關(guān)地理位置大量閑置等藩籬，嚴(yán)格按照管理功能之要求，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的有效劃分。從實(shí)踐來(lái)看，這種基于工作流的管理與分組模式，即可以有效的提高網(wǎng)絡(luò)規(guī)劃效率，又可以對(duì)網(wǎng)絡(luò)管理功能進(jìn)行有效的重組。

對(duì)于相同的VLAN工作站而言，不管其實(shí)際上是否與某一個(gè)交換機(jī)有所連接，二者之間的通訊均類似于在相同的交換機(jī)之上，對(duì)于相同的VLAN廣播而言，通常只有VLAN中的組員能夠接收到信息，而并不會(huì)傳輸?shù)絍LAN當(dāng)中，由此能對(duì)不必要的廣播風(fēng)暴進(jìn)行了控制。由此，若是缺乏路由器，那么在不同類型的VLAN間將難以實(shí)現(xiàn)有效的通訊。由此不僅便利了企業(yè)用戶的應(yīng)用，也在很大程度上提高了交換機(jī)的管理效率。

3.3 IP-MAC綁定技術(shù)

早期的校園網(wǎng)當(dāng)中，常出現(xiàn)IP盜用的狀況，這是由于網(wǎng)絡(luò)接入交換機(jī)時(shí)，太隨意，而且接入時(shí)并未設(shè)置任何安全裝置，因此用戶只要接入網(wǎng)線，無(wú)論在什么地方均可以上網(wǎng)。雖然這種模式方便，卻很容易出現(xiàn)IP被盜等問(wèn)題。

網(wǎng)卡MAC地址，即12位16進(jìn)制數(shù)，而且是唯一的，它對(duì)MAC地址在系統(tǒng)網(wǎng)絡(luò)中的計(jì)算機(jī)身份進(jìn)行了明確。實(shí)踐中，為方便管理，管理員通過(guò)對(duì)用戶MAC地址登記，將該地址和交換機(jī)端口有效的綁定在一起。通常情況下，MAC地址主要集中在交換機(jī)端口綁定以后，其地址數(shù)據(jù)流嚴(yán)格自綁定端口位置進(jìn)入，決不允許由另外的端口大量出入。簡(jiǎn)單地說(shuō)，就是特定主機(jī)只允許在特定端口位置下發(fā)送數(shù)據(jù)幀，只有這樣才能被交換機(jī)所接收，并予以轉(zhuǎn)發(fā)。實(shí)踐中，若干該主機(jī)移動(dòng)至其他位置，那么將難以正常連接網(wǎng)絡(luò)。

MAC與交換機(jī)端口相互綁定以后，該交換機(jī)端口可讓其他MAC地址的數(shù)據(jù)流通過(guò)。然而在實(shí)際的運(yùn)行過(guò)程中，部分工具軟件、病毒等，很容易偽造成MAC地址，然后進(jìn)入到網(wǎng)絡(luò)系統(tǒng)之中?；趯?duì)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行之考慮，決不可將網(wǎng)絡(luò)系統(tǒng)的安全信任關(guān)系一味地建立于IP基礎(chǔ)、MAC地址之上，最為理想的方式是將網(wǎng)絡(luò)安全信任建立在IP+MAC之上，采用MAC地址+端口+IP的綁定模式，由此實(shí)現(xiàn)了對(duì)報(bào)文轉(zhuǎn)發(fā)的過(guò)濾控制，有效提高了網(wǎng)絡(luò)的安全性能。

4 結(jié)束語(yǔ)

根據(jù)實(shí)際的分析可了解到，在企業(yè)、校園網(wǎng)環(huán)境之中，為能夠有效保證用戶的安全應(yīng)用性，管理人員都應(yīng)當(dāng)采用多元化的管理模式，對(duì)LAN、VLAN、IP綁定技術(shù)的分析，明確了不同端口管理技術(shù)的特點(diǎn)，相應(yīng)的企業(yè)以及校園應(yīng)根據(jù)自身的網(wǎng)絡(luò)應(yīng)用現(xiàn)狀，選擇合理的交換機(jī)端口的管理模式和手段。上述的交換機(jī)端口管理方式相輔相成，由此在實(shí)際的應(yīng)用過(guò)程中應(yīng)結(jié)合自身管理需求進(jìn)行考慮，從而營(yíng)造一個(gè)健康、安全、快速、高效的網(wǎng)絡(luò)管理體系。同時(shí)通過(guò)對(duì)相應(yīng)交換機(jī)端口安全管理技術(shù)的分析，為相應(yīng)的交換機(jī)的安全管理和有效實(shí)踐奠定了良好的基礎(chǔ)。

參考文獻(xiàn)：

[1]高國(guó)璐.虛擬局域網(wǎng)VLAN在網(wǎng)絡(luò)管理中的應(yīng)用[J].時(shí)代教育（教育教學(xué)），2010（09）.

[2]陳程，歐陽(yáng)昌華.互聯(lián)網(wǎng)網(wǎng)絡(luò)安全性及其對(duì)策[J].企業(yè)技術(shù)開(kāi)發(fā)，2007（09）.

[3]崔煒.基于VC++6.0的登錄控制設(shè)計(jì)[J].佳木斯教育學(xué)院學(xué)報(bào)，2011（04）.

[4]任娟，裘正定.普適計(jì)算中的隱私保護(hù)[J].信息安全與通信保密，2006（02）.

[5]王以伍，任宇，陳俊.IPv6安全技術(shù)分析[J].電腦知識(shí)與技術(shù)，2008（32）.

[6]賴志剛，寧輝華.淺談VLAN技術(shù)[J].科技資訊，2008（03）.

作者單位：徐州孟家溝現(xiàn)代物流有限公司，江蘇徐州 221007