一種解決內(nèi)外網(wǎng)間橋接或環(huán)路問題的方法

王栗根

【摘要】 在部署有內(nèi)網(wǎng)和外網(wǎng)兩套網(wǎng)絡(luò)的政企單位，極易發(fā)生內(nèi)外網(wǎng)插口意外橋接或環(huán)路的情況。為了解決處于內(nèi)、外網(wǎng)兩個網(wǎng)絡(luò)間的橋接和環(huán)路對網(wǎng)絡(luò)信息安全和網(wǎng)絡(luò)性能的嚴(yán)重負(fù)面影響，提出基于生成樹協(xié)議（STP）和二層網(wǎng)絡(luò)訪問控制列表的解決方法。通過在單位信息機(jī)房內(nèi)、外網(wǎng)兩個網(wǎng)絡(luò)的二層匯聚交換機(jī)之間互通生成樹的網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU），同時又借助二層訪問控制列表限制該條鏈路不能構(gòu)成兩個不同網(wǎng)絡(luò)間的信息通道的方法較圓滿的解決了這一網(wǎng)絡(luò)隱患。

【關(guān)鍵詞】 環(huán)路 生成樹協(xié)議（STP） 訪問控制列表（ACL） 網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU）

引言

當(dāng)前，整個社會已步入信息化時代，廣大政府、企事業(yè)單位、各類組織團(tuán)體越來越依賴于計算機(jī)網(wǎng)絡(luò)開展自己的業(yè)務(wù)活動。但因單位內(nèi)部對辦公室內(nèi)的網(wǎng)絡(luò)環(huán)境管理不善，極易發(fā)生小交換機(jī)和無線路由器泛濫、網(wǎng)線亂接亂插的情況。尤其是在廣大政府、事業(yè)單位的信息化網(wǎng)絡(luò)應(yīng)用環(huán)境中，普遍會有內(nèi)網(wǎng)和外網(wǎng)的區(qū)分，各辦公室的墻上有內(nèi)、外網(wǎng)兩套網(wǎng)絡(luò)插口。外網(wǎng)用于連接訪問互聯(lián)網(wǎng)，內(nèi)網(wǎng)則是內(nèi)部的業(yè)務(wù)網(wǎng)絡(luò)，要與互聯(lián)網(wǎng)進(jìn)行隔離。混亂的辦公室網(wǎng)絡(luò)環(huán)境中一但發(fā)生內(nèi)、外兩個網(wǎng)絡(luò)間的橋接或環(huán)路則會比單一網(wǎng)絡(luò)環(huán)境引發(fā)更為復(fù)雜的問題。一方面是環(huán)路會造成廣播風(fēng)暴，嚴(yán)重時會使整個網(wǎng)絡(luò)陷入癱瘓；另一方面兩網(wǎng)間的橋接會破壞內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離的要求，引發(fā)網(wǎng)絡(luò)信息安全的隱患或事故。因此，政府部門除開展辦公室網(wǎng)絡(luò)使用環(huán)境的整治、加強(qiáng)管理力度以外，很迫切的需要一種簡便易行的方法從技術(shù)的角度解決內(nèi)、外網(wǎng)間的橋接或環(huán)路問題。

我們知道生成樹協(xié)議（STP）是應(yīng)用于以太網(wǎng)中的一種鏈路管理協(xié)議，它能夠為網(wǎng)絡(luò)提供路徑冗余的同時有效防止環(huán)路的產(chǎn)生。本文的主要思路是研究一種在內(nèi)、外網(wǎng)兩個不同網(wǎng)絡(luò)中合理利用STP技術(shù)，消除環(huán)路且避免兩個網(wǎng)絡(luò)間的互相橋接連通。而這就需要本文所討論的另一項網(wǎng)絡(luò)技術(shù)：訪問控制列表（ACL）[1]。

一、內(nèi)、外網(wǎng)間橋接或環(huán)路的分析

1.1故障實例

某政府單位的網(wǎng)絡(luò)連接如圖1所示。該單位有互聯(lián)網(wǎng)（外網(wǎng)）和政務(wù)網(wǎng)（內(nèi)網(wǎng)）兩套網(wǎng)絡(luò)，并分別擁有獨立的網(wǎng)絡(luò)設(shè)備和布線系統(tǒng)。主樓采用網(wǎng)線匯聚各樓層交換機(jī)，北樓和南樓采用樓間光纜實現(xiàn)和匯聚交換機(jī)的連接。在每個辦公室里，墻壁上安裝有雙口信息插座，可提供辦公室內(nèi)的微機(jī)有選擇的接入外網(wǎng)或內(nèi)網(wǎng)。外網(wǎng)對每個樓層劃分了VLAN及局域網(wǎng)地址段，內(nèi)網(wǎng)因接入的微機(jī)較少未劃分VLAN且整體為一個地址段。

某日該單位反映其位于主樓五樓的某辦公室無法連接互聯(lián)網(wǎng)。網(wǎng)絡(luò)維護(hù)人員現(xiàn)場檢查時很意外的發(fā)現(xiàn)，從互聯(lián)網(wǎng)匯聚交換機(jī)上看該辦公室微機(jī)的MAC地址竟然從北樓與匯聚交換機(jī)的接口上來，而北樓的交換機(jī)是通過樓間光纜連接到匯聚交換機(jī)的。維護(hù)人員將這臺微機(jī)配置上北樓所屬的IP地址段居然還能正常上網(wǎng)！再進(jìn)一步追蹤MAC地址來源甚至能確定到是從北樓接入層交換機(jī)一個具體接口上來的。毫無疑問主樓五樓辦公室的網(wǎng)線肯定是接入到了五樓的交換機(jī)，不可能有網(wǎng)線連接到北樓的交換機(jī)上，但這種不合常理的情況是如何發(fā)生的呢？后來經(jīng)過維護(hù)人員追蹤MAC地址，核對端口與辦公室的對應(yīng)資料，以及到北樓現(xiàn)場查看，最后終于弄清楚了本次故障發(fā)生的蹊蹺之處。故障發(fā)生時的網(wǎng)絡(luò)連接情況如圖2所示。

該故障發(fā)生時的奇怪現(xiàn)象主要兩個因素共同導(dǎo)致：

1、北樓某辦公室為圖方便將墻壁上內(nèi)、外網(wǎng)兩個插口的網(wǎng)線接到同一臺小交換機(jī)上，而后不管內(nèi)網(wǎng)微機(jī)還是外網(wǎng)微機(jī)都統(tǒng)統(tǒng)連到了這臺小交換機(jī)上。

2、主樓五樓反映故障的這間辦公室是將墻壁上政務(wù)網(wǎng)插口接了小交換機(jī)，又把需要上互聯(lián)網(wǎng)的微機(jī)（電腦A）接到小交換機(jī)上。

首先，電腦A由于實際接到了五樓政務(wù)網(wǎng)交換機(jī)上，當(dāng)然使用五樓互聯(lián)網(wǎng)IP地址是無法上網(wǎng)的，同時在五樓互聯(lián)網(wǎng)接入交換機(jī)上也自然看不到該微機(jī)的MAC地址上來。但從電腦A連接網(wǎng)絡(luò)的整個情況來看，它最終還是能接通到互聯(lián)網(wǎng)匯聚交換機(jī)上來，這條路徑是這樣的：電腦A→辦公室小交換機(jī)→墻壁政務(wù)網(wǎng)插口→五樓政務(wù)網(wǎng)接入交換機(jī)→政務(wù)網(wǎng)匯聚交換機(jī)→北樓政務(wù)網(wǎng)接入交換機(jī)→北樓辦公室墻壁政務(wù)網(wǎng)插口→北樓辦公室小交換機(jī)→北樓辦公室墻壁互聯(lián)網(wǎng)插口→北樓互聯(lián)網(wǎng)接入交換機(jī)→樓間光纜→主樓互聯(lián)網(wǎng)匯聚交換機(jī)→互聯(lián)網(wǎng)。簡單的說就是北樓某辦公室的小交換機(jī)起到了橋接的作用，將內(nèi)、外兩個網(wǎng)合成了一個，不僅是引發(fā)了古怪的故障，更重要的是破壞了政務(wù)網(wǎng)（內(nèi)網(wǎng)）要與互聯(lián)網(wǎng)隔離的要求，造成了嚴(yán)重的網(wǎng)絡(luò)信息安全隱患。另一方面我們看圖2中電腦A所在辦公室如果將墻壁互聯(lián)網(wǎng)插口也與小交換機(jī)相連（網(wǎng)線A虛線所示），將會又在內(nèi)、外網(wǎng)交換機(jī)之間增加一條橋接通道，從而在整個內(nèi)、外網(wǎng)絡(luò)上形成一個大的環(huán)路，而環(huán)路的形成無疑會給網(wǎng)絡(luò)帶來廣播風(fēng)暴、丟包甚至整個網(wǎng)絡(luò)的癱瘓。

1.2橋接或環(huán)路發(fā)生的場景

由于缺乏網(wǎng)絡(luò)接入的規(guī)范管理以及專業(yè)技術(shù)人員的指導(dǎo)，很多政府部門和企事業(yè)單位的辦公室網(wǎng)絡(luò)環(huán)境比較混亂，造成橋接和環(huán)路隱患的場景五花八門。稍做歸納大致有如圖3所示的幾種典型情況。簡要描述如表1所列。

1.3橋接或環(huán)路引發(fā)的嚴(yán)重問題

由1.2節(jié)分析可知，兩網(wǎng)間橋接或環(huán)路主要會引發(fā)兩類問題：

1.環(huán)路造成廣播風(fēng)暴，擁塞網(wǎng)絡(luò)。

如圖4所示，網(wǎng)絡(luò)上的主機(jī)在接入網(wǎng)絡(luò)后會將自己的MAC地址廣播出去，以太網(wǎng)交換機(jī)接收到該廣播后會記錄學(xué)習(xí)到的該主機(jī)MAC地址以及端口，并將該廣播從其它端口轉(zhuǎn)發(fā)出去。如果網(wǎng)絡(luò)中存在環(huán)路，則轉(zhuǎn)發(fā)出去的幀會在另一個端口被它自己收到，將會引發(fā)重新記錄該MAC地址與學(xué)習(xí)到該MAC的端口對應(yīng)信息，并再次將該數(shù)據(jù)幀進(jìn)行轉(zhuǎn)發(fā)。由此會引發(fā)一系列的連鎖反應(yīng)，一方面造成MAC地址表不穩(wěn)定，無法確定一個MAC地址所對應(yīng)的主機(jī)真實情況是連接在哪個端口，引起通信異常，造成丟包；另一方面連鎖反應(yīng)的廣播包將會很快充斥整個網(wǎng)絡(luò)，消耗設(shè)備CPU資源，并占用大量帶寬，進(jìn)而引起整個網(wǎng)絡(luò)的擁塞，直至網(wǎng)絡(luò)癱瘓[2]。

2.橋接造成內(nèi)外網(wǎng)隔離失效，嚴(yán)重威脅信息安全

2001年1月1日，國家保密局頒布實施的《計算機(jī)信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》中明確規(guī)定：“電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成，兩網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。”[3]由此可見，內(nèi)、外網(wǎng)隔離是有效保障網(wǎng)絡(luò)信息安全的必要措施。同時據(jù)有關(guān)調(diào)查顯示，網(wǎng)絡(luò)安全攻擊事件中有70%都是由于內(nèi)部網(wǎng)絡(luò)的安全隱患引發(fā)的?；ヂ?lián)網(wǎng)的開放性意味著上網(wǎng)用機(jī)是最容易被黑客入侵或因中病毒、木馬而成為黑客的肉雞，如果內(nèi)網(wǎng)與外網(wǎng)之間不能嚴(yán)格有效的隔離，這些已被攻破的微機(jī)就會成為黑客進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)的跳板，有著極大的危害性。因為內(nèi)、外網(wǎng)交換機(jī)間的意外橋接造成內(nèi)、外網(wǎng)隔離失效，是無法依靠已投入巨資部署在網(wǎng)絡(luò)邊緣的安全設(shè)備、隔離設(shè)備等來彌補(bǔ)的。

1.4橋接或環(huán)路的一般處理手段

一般情況下，單一網(wǎng)絡(luò)環(huán)境下出現(xiàn)的網(wǎng)絡(luò)環(huán)路問題主要是1.2節(jié)中描述的（C）（E）（F）三類場景。大多數(shù)辦公室內(nèi)安裝的小交換機(jī)為傻瓜交換機(jī)，不支持生成樹協(xié)議的部署，通過對上層接入、匯聚交換機(jī)上啟用STP協(xié)議可以解決（E）（F）兩類場景的環(huán)路。（C）類環(huán)路場景（單端口環(huán)路）可以在接入交換機(jī)上啟用單端口環(huán)路檢測功能。

對于不能在上層設(shè)備啟用STP的情況下就只有依靠人工來排查各類環(huán)路故障，人工排查的主要手段有：

1.查看端口指示燈狀態(tài)，判斷端口流量大小。

2.登錄并查詢交換機(jī)端口流量統(tǒng)計信息。

3.跟蹤查詢交換機(jī)學(xué)習(xí)MAC地址的來源端口

4.逐個撥插網(wǎng)絡(luò)接頭觀察網(wǎng)絡(luò)是否恢復(fù)

人工排查環(huán)路不僅僅是具有工作量大，耗時，在網(wǎng)絡(luò)規(guī)模大時難以做到徹底等缺點。當(dāng)在內(nèi)、外網(wǎng)環(huán)境下僅有一處發(fā)生1.2節(jié)中所述（A）（B）（D）三類情況時，內(nèi)、外網(wǎng)會被橋接成一個大網(wǎng)，但是又沒有發(fā)生環(huán)路，所以此時僅僅是發(fā)生了網(wǎng)絡(luò)安全的隱患問題，并沒有發(fā)生影響網(wǎng)絡(luò)性能或能造成擁塞的網(wǎng)絡(luò)故障。這時人工排查甚至都不能意識到網(wǎng)絡(luò)已發(fā)生了問題。

所以找到一種簡便易行的，通過技術(shù)手段排查處理內(nèi)、外兩網(wǎng)橋接或環(huán)路的手段迫在眉睫。簡便易行就是要求解決方案的著手點要從已有的成熟技術(shù)且現(xiàn)有的網(wǎng)絡(luò)設(shè)備已然支持的特性開始，在這里我把目光放在了生成樹協(xié)議和二層訪問控制列表上。

二、技術(shù)手段解決內(nèi)、外網(wǎng)間橋接或環(huán)路

2.1技術(shù)原理

2.1.1生成樹協(xié)議（STP）

為了解決冗余鏈路引起的問題，生成樹協(xié)議 STP （ Spanning Tree Protocol）應(yīng)運而生。STP協(xié)議的基本思想十分簡單，是將一個存在物理環(huán)路的交換網(wǎng)絡(luò)變成一個沒有環(huán)路的邏輯樹型網(wǎng)絡(luò)，達(dá)到邏輯上裁剪冗余環(huán)路，同時物理上實現(xiàn)鏈路備份和路徑最優(yōu)化的技術(shù)[4]。在網(wǎng)絡(luò)中，運行了生成樹協(xié)議的交換機(jī)會推舉出一臺根網(wǎng)橋，根網(wǎng)橋是LAN中的所有其它網(wǎng)橋需通過的最短路徑抵達(dá)的網(wǎng)橋。LAN中，運行了生成樹協(xié)議的交換機(jī)會計算自身通向根網(wǎng)橋的各條路徑的開銷。除根網(wǎng)橋以外的每臺交換機(jī)都會保留具有最低開銷的路徑，并會切斷所有其它路徑。這樣使得接入網(wǎng)絡(luò)的計算機(jī)在與其它計算機(jī)通訊時，只有一條鏈路生效，既保障了網(wǎng)絡(luò)的正常運行，又保障了冗余能力。

生成樹協(xié)議通過交換網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU）來協(xié)調(diào)工作。STP BPDU是一種二層報文，目的MAC是多播地址01 80 C2 00 00 00，所有支持STP協(xié)議的交換機(jī)都會接收并處理收到的BPDU報文。生成樹協(xié)議工作時，交換機(jī)的每一個端口都會經(jīng)歷一系列的生成樹狀態(tài)，狀態(tài)流程圖如圖5所示[1]。

2.1.2訪問控制列表（ACL）

ACL（Access Control List，訪問控制列表）主要用來實現(xiàn)數(shù)據(jù)流識別功能。各網(wǎng)絡(luò)間的通信、內(nèi)外網(wǎng)絡(luò)的通信都是企事業(yè)單位的網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來使非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的[5]。網(wǎng)絡(luò)設(shè)備為了過濾數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識別需要過濾的報文。由ACL定義的數(shù)據(jù)包匹配規(guī)則，可以被其它需要對流量進(jìn)行區(qū)分的功能引用。根據(jù)應(yīng)用目的可以將ACL分為以下幾種：

1.三層ACL，根據(jù)三層源IP地址設(shè)置規(guī)則。

2.高級ACL，根據(jù)數(shù)據(jù)包的源和目的IP地址信息、IP承載的協(xié)議類型、協(xié)議特性等設(shè)置規(guī)則。

3.二層ACL，根據(jù)源和目的的MAC地址、VLAN優(yōu)先級、二層協(xié)議類型等設(shè)置規(guī)則。

4.用戶自定義ACL，以數(shù)據(jù)包的頭部為基準(zhǔn)，指定特定位置截取的字符串與用戶定義的字符串進(jìn)行比較。

2.2解決方法研究

2.2.1解決方法思路

要利用生成樹協(xié)議來達(dá)到剪裁冗余鏈路消除環(huán)路的目的就要在單位信息機(jī)房內(nèi)、外網(wǎng)兩個網(wǎng)絡(luò)的二層匯聚交換機(jī)之間創(chuàng)建一個人為的連接，使其能夠互通生成樹的網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU），但同時出于網(wǎng)絡(luò)間隔離的需要，又不能讓該連接完全提供兩個不同網(wǎng)絡(luò)間的信息通信。因此考慮借助二層訪問控制列表來實現(xiàn)數(shù)據(jù)幀的過濾。由于STP BPDU是要進(jìn)行目標(biāo)MAC地址是01-80-C2-00-00-00的廣播，所以確定可以通過對該目的MAC地址過濾的ACL允許BPDU傳遞，而通過對其它源和目的MAC地址是任意的數(shù)據(jù)幀進(jìn)行阻斷的ACL達(dá)到隔離通信的目的。

2.2.2實驗環(huán)境搭建

為了驗證2.2.1小節(jié)設(shè)想的解決思路，特采用最普通的二層交換機(jī)設(shè)備設(shè)計了一個實驗方案，實驗設(shè)備連接如圖6所示。

2.2.3實驗過程記錄

表2 實驗操作記錄表

三、結(jié)論

通過對內(nèi)、外網(wǎng)間橋接或環(huán)路的引發(fā)的故障實例分析，對各類橋接或環(huán)路發(fā)生的場景進(jìn)行研究，提出了基于STP及ACL兩項以太網(wǎng)交換機(jī)功能解決現(xiàn)實問題的思路，針對設(shè)想的思路組織了一套簡單的實驗方案進(jìn)行驗證。驗證結(jié)果表明該解決方法可以較圓滿的解決1.2節(jié)描述的（A）（B）（D）（E）（F）的橋接或環(huán)路場景。對于（C）類的場景，可以在接入交換機(jī)上配置單端口檢測（loopback-detection）功能來解決。本文通過簡便易行的技術(shù)手段解決內(nèi)、外網(wǎng)間橋接和環(huán)路問題，極大的提高了網(wǎng)絡(luò)的可靠性。并且在橋接或環(huán)路發(fā)生時，根據(jù)被STP協(xié)議置于非轉(zhuǎn)發(fā)狀態(tài)的端口，可以很容易的找到環(huán)路發(fā)生的位置并人工拆除引發(fā)環(huán)路的網(wǎng)線，但與采用該措施前相比，處理所需要的人工工作量已經(jīng)大幅的減少了。

參 考 文 獻(xiàn)

[1] Gary A. Donahue.Network Warrior-思科網(wǎng)絡(luò)工程師必備手冊[M].第2版：人民郵電出版社，2012：80-105

[2] 黃向農(nóng)，羅必然.網(wǎng)絡(luò)環(huán)路輕視不得[J].網(wǎng)管員世界，2006（1）：99-101

[3] 張永鋒.網(wǎng)絡(luò)信息安全探討與隔離技術(shù)的應(yīng)用[J].中國新通信，2012（22）：61-62

[4] 郭彥偉，鄭建德. 生成樹協(xié)議與交換網(wǎng)絡(luò)環(huán)路研究[J].廈門大學(xué)學(xué)報：自然科學(xué)版，2006，45（B05）：301-304

[5] 謝聲時，陳海鴻，汪浩 等.交換機(jī)ACL的研究與應(yīng)用[J].華南金融電腦，2009，17（12）：40-41