校園網(wǎng)中跨交換機(jī)的端口隔離應(yīng)用研究——以滁州學(xué)院校園網(wǎng)為例

祁　輝，趙生慧，邵雪梅

?

校園網(wǎng)中跨交換機(jī)的端口隔離應(yīng)用研究
——以滁州學(xué)院校園網(wǎng)為例

祁輝，趙生慧，邵雪梅

摘要:在校園網(wǎng)中，最為常見(jiàn)的故障是用戶頻繁掉線、網(wǎng)速變慢甚至不能正常上網(wǎng)。引起這些故障最常見(jiàn)的原因就是ARP欺騙攻擊、非法DHCP Server等，端口隔離技術(shù)是解決此類問(wèn)題的有效方式。在分析常規(guī)端口隔離存在的問(wèn)題基礎(chǔ)上，應(yīng)用跨交換機(jī)的端口隔離技術(shù)解決校園網(wǎng)中存在的以上問(wèn)題。

關(guān)鍵詞:端口隔離；VLAN；校園網(wǎng)

1校園網(wǎng)現(xiàn)狀分析

目前，滁州學(xué)院校園網(wǎng)主要由學(xué)生宿舍有線網(wǎng)和辦公網(wǎng)兩個(gè)局域網(wǎng)組成，隨著高校校園網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，尤其是學(xué)生宿舍網(wǎng)絡(luò)用戶數(shù)量的劇增，給整個(gè)校園網(wǎng)絡(luò)帶來(lái)更多的安全隱患。在校學(xué)生有16000多人，每個(gè)學(xué)生在宿舍區(qū)都擁有一個(gè)獨(dú)立的網(wǎng)絡(luò)信息點(diǎn)，學(xué)生通過(guò)802.1X客戶端的方式認(rèn)證接入校園網(wǎng)。在學(xué)生宿舍區(qū)每一層樓被劃分為一個(gè)小局域網(wǎng)，每個(gè)小局域網(wǎng)內(nèi)，通過(guò)DHCP動(dòng)態(tài)分配一個(gè)或兩個(gè)C類的私有地址。

滁州學(xué)院的學(xué)生宿舍有線網(wǎng)絡(luò)采用基于802.1X協(xié)議的客戶端認(rèn)證方式，在一定程度上杜絕了學(xué)生使用桌面路由器來(lái)搭建非法的DHCP Server，但一些用戶的主機(jī)仍然有成為非法DHCP Server的可能，從而導(dǎo)致同一VLAN下的一些用戶不能正常獲得合法的DHCP地址。同時(shí)，局域網(wǎng)中如有主機(jī)感染了ARP病毒，會(huì)不斷的以廣播或單播的形式偽造ARP報(bào)文，引起ARP欺騙攻擊等，從而導(dǎo)致用戶頻繁掉線、網(wǎng)速變慢甚至網(wǎng)絡(luò)中斷等網(wǎng)絡(luò)故障。對(duì)于解決上述問(wèn)題，各高校使用較廣泛的就是端口隔離技術(shù)。筆者結(jié)合日常網(wǎng)絡(luò)運(yùn)維經(jīng)驗(yàn)，研究應(yīng)用跨交換機(jī)的端口隔離方式，來(lái)減少網(wǎng)絡(luò)中的ARP欺騙攻擊和非法DHCP Server等隱患問(wèn)題，阻止局域網(wǎng)內(nèi)主機(jī)之間的數(shù)據(jù)傳送，將攻擊行為扼殺在交換機(jī)的每個(gè)接入端口中，從而保障網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

2端口隔離相關(guān)技術(shù)

2.1ARP攻擊原理

ARP(Address Resolution Protocol縮寫(xiě))協(xié)議即地址解析協(xié)議，其基本功能是通過(guò)目的主機(jī)的IP地址，查詢出目的主機(jī)的MAC地址，以保證主機(jī)間可靠快速的通信[1]。ARP攻擊從本質(zhì)上看是攻擊者利用ARP協(xié)議的無(wú)狀態(tài)性及通信是建立在信任基礎(chǔ)上的等缺陷，來(lái)發(fā)布虛假的ARP報(bào)文，從而影響局域網(wǎng)中主機(jī)間的通信，達(dá)到攻擊的目的。

攻擊者通過(guò)偽裝ARP應(yīng)答，提供一個(gè)錯(cuò)誤的IP地址與MAC地址的映射關(guān)系，而使得信息流向本來(lái)并不存在的病毒主機(jī)[2]，并不停地廣播到網(wǎng)絡(luò)中，從而修改主機(jī)的ARP緩存表，讓被欺騙的主機(jī)向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)，從影響主機(jī)的正常通信，[3]如圖1所示。

圖1　ARP欺騙示意圖

2.2端口隔離技術(shù)

端口隔離技術(shù)是一種為實(shí)現(xiàn)交換機(jī)端口所接計(jì)算機(jī)之間通信進(jìn)行二層隔離的技術(shù)[4]，配合VLAN使用，可以實(shí)現(xiàn)同一VLAN內(nèi)端口的二層廣播數(shù)據(jù)隔離[5]。通過(guò)端口隔離技術(shù)，交換機(jī)的下聯(lián)端口之間不允許通信，阻斷了局域網(wǎng)內(nèi)部的通信，有效地阻止了ARP攻擊和非法DHCP報(bào)文的發(fā)送，保證了網(wǎng)絡(luò)的正常運(yùn)行，為校園網(wǎng)提供了更為安全和靈活的組網(wǎng)方案。

2.3端口隔離技術(shù)實(shí)現(xiàn)

我校校園網(wǎng)使用的交換機(jī)品牌和型號(hào)較多，主要包括了華為、中興、H3C、思科、銳捷和Juniper等多家品牌的多種型號(hào)，不同品牌的不同型號(hào)的交換機(jī)端口隔離實(shí)現(xiàn)起來(lái)也有所不同，這里主要總結(jié)了三類交換機(jī)的端口隔離方法，分別是基于物聯(lián)接口的端口隔離、基于VLAN的端口隔離和hybrid端口隔離[6]，具體支持命令需要查看相應(yīng)設(shè)備的技術(shù)文檔。

3跨交換機(jī)的端口隔離

3.1常規(guī)端口隔離的弊端

在校園網(wǎng)中，端口隔離技術(shù)主要作用是隔離同一局域網(wǎng)中各主機(jī)之間的通信，但在我校的實(shí)際環(huán)境中起到的效果并不徹底。如圖2所示為我校學(xué)生宿舍區(qū)域的簡(jiǎn)單網(wǎng)絡(luò)拓?fù)涫疽鈭D。

圖2　學(xué)生宿舍區(qū)域網(wǎng)絡(luò)拓?fù)鋱D

接入交換機(jī)和樓層匯聚交換機(jī)(圖中虛線框內(nèi))的所有用戶接口均屬于同一VLAN，同時(shí)，樓層匯聚交換機(jī)(類似S3等)又將多臺(tái)接入交換機(jī)(類似S1、S2等)匯聚后上聯(lián)至樓棟匯聚交換機(jī)(類似S5等)，之后樓棟匯聚交換機(jī)再接入核心交換機(jī)。常規(guī)的端口隔離一般配置在交換機(jī)的用戶接口上，即如圖2中所示類似S1的E1口和E2口。此種配置方式，可以有效的實(shí)現(xiàn)同一交換機(jī)上的兩個(gè)端口之間的互相隔離，例如交換機(jī)S1上的主機(jī)PC1和PC2是相互隔離的，交換機(jī)S2上的主機(jī)PC3和PC4也是相互隔離的。接入交換機(jī)與樓層匯聚交換機(jī)之間是通過(guò)Trunk口互聯(lián)，而Trunk口的作用就是保證在跨越多個(gè)交換機(jī)上建立的同一個(gè)VLAN的成員能夠相互通訊，這也就決定了接入交換機(jī)如S1和S2通過(guò)Trunk口與樓層匯聚交換機(jī)S3互聯(lián)后，位于同一VLAN的主機(jī)PC1與PC3或PC4之間可以相互通信，相應(yīng)的，交換機(jī)S1上的用戶均可實(shí)現(xiàn)與交換機(jī)S2上的用戶之間的通信，也就不能實(shí)現(xiàn)有效的用戶隔離，從而，也就達(dá)不到防ARP欺騙攻擊等的效果。

3.2跨交換機(jī)端口隔離實(shí)現(xiàn)

針對(duì)常規(guī)的端口隔離存在跨交換機(jī)通過(guò)Trunk口互聯(lián)后就不能有效隔離的問(wèn)題，筆者通過(guò)在不同層次交換機(jī)的用戶口、上聯(lián)口、下聯(lián)口等多種類型接口中配置端口隔離來(lái)觀察不同主機(jī)間、不同交換機(jī)間的連通性情況，通過(guò)測(cè)試發(fā)現(xiàn)可以通過(guò)逐層配置隔離端口的方式來(lái)徹底實(shí)現(xiàn)同一局域網(wǎng)內(nèi)各主機(jī)之間通信的相互隔離。

在接入層交換機(jī)，按常規(guī)的配置方式進(jìn)行配置，即在用戶的接入端口中配置端口隔離；在接入交換機(jī)與樓層匯聚交換機(jī)互聯(lián)時(shí)，把接入交換機(jī)當(dāng)作是一臺(tái)“主機(jī)”，即在樓層匯聚交換機(jī)與其相連的接口(一般是Trunk模式)上配置端口隔離，從而實(shí)現(xiàn)樓層匯聚所下聯(lián)交換機(jī)之間的相互隔離；樓棟匯聚交換機(jī)的配置依次類推，配置舉例如下所示。

接入交換機(jī)S1的端口配置(以華為S2326TP-EI為例)：

配置E1和E2接口的端口隔離：

[S1] interface Ethernet 0/0/1

[S1-Ethernet0/0/1] port-isolate enable group 1

[S1-Ethernet0/0/1] interface Ethernet 0/0/2

[S1-Ethernet0/0/2] port-isolate enable group 1

配置級(jí)聯(lián)口G1為Trunk口，并允許用戶VLAN通過(guò)，不需要配置端口隔離：

[S1] interface GigabitEthernet 0/0/1

[S1-GigabitEthernet0/0/1] port link-type trunk

[S1-GigabitEthernet0/0/1] port trunk allow-pass vlan all

類似的，對(duì)接入交換機(jī)S2進(jìn)行相應(yīng)的配置。

樓層匯聚交換機(jī)S3的端口配置(以華為S3328TP-EI為例)：

配置E1和E2接口：接口類型Trunk，允許相應(yīng)的VLAN通過(guò)，并配置端口隔離：

[S3] interface Ethernet 0/0/1

[S3-Ethernet0/0/1] port link-type trunk

[S3-Ethernet0/0/1] port trunk allow-pass vlan

[S3-Ethernet0/0/1] port-isolate enable group 1

[S3-Ethernet0/0/1] interface Ethernet 0/0/2

[S3-Ethernet0/0/2] port link-type trunk

[S3-Ethernet0/0/2] port trunk allow-pass vlan

[S3-Ethernet0/0/2] port-isolate enable group 1

配置上聯(lián)口G1：接口類型為Trunk，并允許相應(yīng)VLAN通過(guò)，不需要配置端口隔離：

[S3] interface GigabitEthernet 0/0/1

[S3- GigabitEthernet0/0/1] port link-type trunk

[S3- GigabitEthernet0/0/1] port trunk allow-pass vlan all

至此，實(shí)現(xiàn)了位于同一樓層的局域網(wǎng)內(nèi)的同一接入交換機(jī)所接用戶之間和不同接入交換機(jī)所接用戶之間的有效隔離。同時(shí)，我校樓層交換機(jī)的管理IP地址屬于同一VLAN，例如S3及下聯(lián)交換機(jī)和S4及下聯(lián)交換機(jī)的管理IP是均屬于同一個(gè)VLAN，為了盡量增加端口隔離的效果，建議在樓棟匯聚交換機(jī)S5的下聯(lián)口上配置端口隔離策略，配置如下(以華為S5328C-EI-24S為例)：

[S5]interface GigabitEthernet0/0/1

[S5-GigabitEthernet0/0/1] port link-type trunk

[S5-GigabitEthernet0/0/1] port trunk allow-pass vlan all

[S5-GigabitEthernet0/0/1]port-isolate enable group 1

對(duì)于樓棟匯聚交換機(jī)與核心交換機(jī)互連的接口，在端口隔離方面則不需要做特別的設(shè)置。最終實(shí)現(xiàn)的各接口的端口隔離狀態(tài)如圖2中標(biāo)識(shí)所示：交換機(jī)S1的用戶口為隔離狀態(tài)，其上聯(lián)口G1口為非隔離狀態(tài)，與其互聯(lián)的樓棟匯聚交換機(jī)S3的E1口為隔離狀態(tài)，其他交換機(jī)類似。通過(guò)這種逐層隔離的方式，基本可以完全實(shí)現(xiàn)同一局域網(wǎng)中各主機(jī)之間的相互隔離，從而有效地阻止了ARP攻擊和非法DHCP報(bào)文的發(fā)送。

需要特別注意的是，每個(gè)交換機(jī)上聯(lián)口一定不能設(shè)置為隔離狀態(tài)，如圖2中所標(biāo)識(shí)的交換機(jī)S1的G1口、交換機(jī)S2的G1口、交換機(jī)S3的G1口等，否則此交換機(jī)上所有接入的用戶或交換機(jī)均不能正常接入網(wǎng)絡(luò)。

3.3實(shí)現(xiàn)效果分析

通過(guò)將跨交換機(jī)的端口隔離配置在校園網(wǎng)中實(shí)現(xiàn)，達(dá)到如下兩個(gè)預(yù)期效果。

第一，實(shí)現(xiàn)了有效的二層隔離，網(wǎng)絡(luò)數(shù)據(jù)流量更干凈了：相比實(shí)施前所抓取的網(wǎng)絡(luò)數(shù)據(jù)包，實(shí)施后的數(shù)據(jù)包中異常的ARP數(shù)據(jù)包明顯的大大減少。第二，用戶報(bào)修故障率明顯降低：在實(shí)施后，網(wǎng)絡(luò)用戶的故障報(bào)修數(shù)量明顯減少，同時(shí)在報(bào)修的故障中因ARP欺騙引起的用戶頻繁掉線等故障也明確減少。但是，由于端口隔離會(huì)造成局域網(wǎng)端口之間的通訊不能進(jìn)行，例如在局域網(wǎng)之間進(jìn)行文件共享等會(huì)受到限制。從整體的效益來(lái)看，端口隔離對(duì)整個(gè)校園網(wǎng)的作用是利大于弊的。

4結(jié)束語(yǔ)

對(duì)于目前三層架構(gòu)的校園網(wǎng)來(lái)說(shuō)，端口隔離是在用戶接入層設(shè)備上比較有效且易行的解決ARP攻擊和非法DHCP Server問(wèn)題的一種技術(shù)，其會(huì)將病毒攻擊范圍縮小到了一個(gè)接入交換機(jī)端口之內(nèi)，確保了校園網(wǎng)大環(huán)境的網(wǎng)絡(luò)正常運(yùn)行，一定程度上減少了網(wǎng)絡(luò)管理人員的工作量。

隨著校園網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，將會(huì)有更多的方式與方法來(lái)解決校園網(wǎng)中存在的各種問(wèn)題，例如運(yùn)營(yíng)商網(wǎng)絡(luò)中被廣泛使用的扁平化網(wǎng)絡(luò)加QinQ技術(shù)，將會(huì)更進(jìn)一步的來(lái)解決因ARP攻擊等問(wèn)題，這就要求網(wǎng)絡(luò)管理員與時(shí)俱進(jìn)，不斷探索新技術(shù)，解決新問(wèn)題。

[參考文獻(xiàn)]

[1]吳哲.校園網(wǎng)ARP欺騙及攻擊和安全防范措施[J].現(xiàn)代企業(yè)教育,2013,2:131-132.

[2]楊劍.高校校園網(wǎng)ARP攻擊防御研究[J].信息系統(tǒng)工程,2013,5(20):81.

[3]覃仲宇.基于DHCP Snooping的校園網(wǎng)ARP防范研究.電腦知識(shí)與技,2014,10(19): 4438-4441.

[4]谷安琪.端口隔離在企業(yè)網(wǎng)絡(luò)安全中的研究[J].科技與企業(yè)，2014,08(257):121.

[5]蘇寧.端口隔離技術(shù)在校園網(wǎng)實(shí)用性應(yīng)用研究[J].電腦知識(shí)與技術(shù),2012,8(21):5074-5075.

[6]李梅,梁岸兵.端口隔離在校園網(wǎng)中的實(shí)施和分析[J].電腦知識(shí)與技術(shù),2010,6(6):1307-1308.

責(zé)任編輯：王與

收稿日期：2015-04-11

基金項(xiàng)目：滁州學(xué)院科研項(xiàng)目(2014KJ09)；滁州學(xué)院科研啟動(dòng)金項(xiàng)目(2014qd021)

作者簡(jiǎn)介：祁輝，趙生慧，邵雪梅，滁州學(xué)院計(jì)算機(jī)與信息工程學(xué)院(安徽 滁州 239000)。

中圖分類號(hào):TP393.1

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1673-1794(2015)05-0049-03