摘要：網(wǎng)絡(luò)管理隨著網(wǎng)絡(luò)的發(fā)展逐漸成熟，在鏈路層對(duì)網(wǎng)絡(luò)安全進(jìn)行控制的交換機(jī)端口管理技術(shù)也層出不窮，從IP-MAC綁定、VLAN、PVLAN、到端口隔離技術(shù)，都提供了安全高效的物理端口管理手段，本文旨在為廣大讀者介紹這些端口管理技術(shù)，分辨各種端口管理的優(yōu)劣，并選擇合適的端口管理技術(shù)使用在相應(yīng)的使用環(huán)境中。

關(guān)鍵詞：交換機(jī)端口；安全；管理技術(shù)

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 15-0000-02

1 端口管理的現(xiàn)狀

端口管理在早期以太網(wǎng)絡(luò)中并沒(méi)有得到重視，從hub到交換機(jī)，由于硬件的局限性，一直以來(lái)，網(wǎng)絡(luò)設(shè)備都是即插即用，對(duì)交換機(jī)來(lái)說(shuō)，端口都是開(kāi)放的，只要支持二層網(wǎng)絡(luò)協(xié)議的相關(guān)互聯(lián)內(nèi)容就可以了。

隨著科技的進(jìn)步，由于網(wǎng)絡(luò)的范圍逐步擴(kuò)展，中型、大型網(wǎng)絡(luò)不斷出現(xiàn)，交換機(jī)的端口管理就必然出現(xiàn)，主要的幾種方法都圍繞著分割、互聯(lián)、隔離、安全認(rèn)證來(lái)進(jìn)行。

2 端口管理的必要性

交換機(jī)的端口的即插即用雖然很方便，但是也帶來(lái)一系列問(wèn)題，在ARP病毒泛濫的時(shí)期，由于ARP協(xié)議的自身缺陷，對(duì)冒充網(wǎng)關(guān)的MAC地址欺騙，交換機(jī)沒(méi)有辦法辨別，造成網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)中斷頻發(fā)；由于在企業(yè)信息網(wǎng)絡(luò)中，基于安全考慮，并不希望在鏈路層即插即用，這樣的話(huà)，就需要對(duì)接入的網(wǎng)絡(luò)設(shè)備有一個(gè)辨別、認(rèn)可的過(guò)程。另外大型網(wǎng)絡(luò)中一個(gè)廣播域中的互相影響也很?chē)?yán)重。這些方面的問(wèn)題，對(duì)網(wǎng)絡(luò)管理人員提出了新的要求，那就是有必要實(shí)行嚴(yán)格的網(wǎng)絡(luò)交換機(jī)端口管理?，F(xiàn)代的交換機(jī)性能在不斷加強(qiáng)，主要表現(xiàn)在背板帶寬上，端口速率上也從10M半雙工發(fā)展到現(xiàn)在的千兆、萬(wàn)兆速率，同步的交換機(jī)的管理技術(shù)也有日新月異的發(fā)展。

3 端口管理的幾種方法

3.1 LAN

傳統(tǒng)的以太網(wǎng)是一個(gè)平面網(wǎng)絡(luò)，網(wǎng)絡(luò)中的所有主機(jī)通過(guò)HUB或交換機(jī)相連，處在同一個(gè)廣播域中。HUB是物理層設(shè)備，沒(méi)有交換功能，接收的報(bào)文會(huì)向所有端口轉(zhuǎn)發(fā)；交換機(jī)是鏈路層設(shè)備，具備根據(jù)報(bào)文的目的MAC地址進(jìn)行轉(zhuǎn)發(fā)的能力，但在收到廣播報(bào)文或未知單播報(bào)文（報(bào)文的目的MAC地址不在交換機(jī)MAC地址表中）時(shí)，也會(huì)向除報(bào)文入端口之外的所有端口轉(zhuǎn)發(fā)。上述情況使網(wǎng)絡(luò)中的主機(jī)會(huì)收到大量并非以自身為目的地的報(bào)文，在浪費(fèi)大量帶寬資源的同時(shí)，也造成了嚴(yán)重的安全隱患。隔離廣播域的傳統(tǒng)方法是使用路由器，但是路由器成本較高，而且端口較少，無(wú)法劃分細(xì)致的網(wǎng)絡(luò)。

交換技術(shù)的發(fā)展，也加快了新的交換技術(shù)（VLAN）的應(yīng)用速度。通過(guò)將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個(gè)物理的網(wǎng)段就是一個(gè)廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址（MAC地址）組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來(lái)劃分。這種基于工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個(gè)VLAN中的工作站，不論它們實(shí)際與哪個(gè)交換機(jī)連接，它們之間的通訊就好象在獨(dú)立的交換機(jī)上一樣。同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽(tīng)到，而不會(huì)傳輸?shù)狡渌腣LAN中去，這樣可以很好的控制不必要的廣播風(fēng)暴的產(chǎn)生。同時(shí)，若沒(méi)有路由的話(huà)，不同VLAN之間不能相互通訊，這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門(mén)之間的安全性。網(wǎng)絡(luò)管理員可以通過(guò)配置VLAN之間的路由來(lái)全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機(jī)是根據(jù)交換機(jī)的端口來(lái)劃分VLAN的。所以，用戶(hù)可以自由的在企業(yè)網(wǎng)絡(luò)中移動(dòng)辦公，不論他在何處接入交換網(wǎng)絡(luò)，他都可以與VLAN內(nèi)其他用戶(hù)自如通訊。

3.2 PVLAN技術(shù)

隨著網(wǎng)絡(luò)的迅速發(fā)展，用戶(hù)對(duì)于網(wǎng)絡(luò)數(shù)據(jù)通信的安全性提出了更高的要求，諸如防范黑客攻擊、控制病毒傳播等，都要求保證網(wǎng)絡(luò)用戶(hù)通信的相對(duì)安全性；傳統(tǒng)的解決方法是給每個(gè)客戶(hù)分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過(guò)使用VLAN，每個(gè)客戶(hù)被從第2層隔離開(kāi)，可以防止任何惡意的行為和Ethernet的信息探聽(tīng)。然而，這種分配每個(gè)客戶(hù)單一VLAN和IP子網(wǎng)的模型造成了巨大的可擴(kuò)展方面的局限。這些局限主要有下述幾方面。（1）VLAN的限制：交換機(jī)固有的VLAN數(shù)目的限制，我們不可能給每一個(gè)端口都單獨(dú)設(shè)置一個(gè)VLAN來(lái)實(shí)現(xiàn)端口隔離功能；（2）IP地址的緊缺：IP子網(wǎng)的劃分勢(shì)必造成一些IP地址的浪費(fèi)；（3）路由的限制：每個(gè)子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置

現(xiàn)在有了一種新的VLAN機(jī)制，所有網(wǎng)絡(luò)設(shè)備在同一個(gè)子網(wǎng)中，但網(wǎng)絡(luò)設(shè)備只能與自己的默認(rèn)網(wǎng)關(guān)通信。這一新的VLAN特性就是專(zhuān)用VLAN（Private VLAN）。PVLAN的應(yīng)用對(duì)于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的，用戶(hù)只需與自己的默認(rèn)網(wǎng)關(guān)連接，一個(gè)PVLAN不需要多個(gè)VLAN和IP子網(wǎng)就提供了具備第2層數(shù)據(jù)通信安全性的連接，所有的用戶(hù)都接入PVLAN，從而實(shí)現(xiàn)了所有用戶(hù)與默認(rèn)網(wǎng)關(guān)的連接，而與PVLAN內(nèi)的其他用戶(hù)沒(méi)有任何訪問(wèn)。PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過(guò)Trunk端口。這樣即使同一VLAN中的用戶(hù)，相互之間也不會(huì)受到廣播的影響。PVLAN技術(shù)在解決通信安全、防止廣播風(fēng)暴和浪費(fèi)IP地址方面的優(yōu)勢(shì)是顯而易見(jiàn)的，而且采用PVLAN技術(shù)有助于網(wǎng)絡(luò)的優(yōu)化，再加上PVLAN在交換機(jī)上的配置也相對(duì)簡(jiǎn)單，PVLAN技術(shù)越來(lái)越得到網(wǎng)絡(luò)管理人員的青睞。

3.3 IP-MAC綁定

在早期的校園網(wǎng)中經(jīng)常見(jiàn)到IP盜用情況。原因就是網(wǎng)絡(luò)接入交換機(jī)很隨意，并且沒(méi)有任何安全設(shè)置的時(shí)候，用戶(hù)只要插上網(wǎng)線，在任何地方都能夠上網(wǎng)，這雖然使正常情況下的大多數(shù)用戶(hù)很方便很滿(mǎn)意，卻很容易出現(xiàn)用戶(hù)盜用IP的現(xiàn)象。

網(wǎng)卡的MAC地址是一個(gè)12位的16進(jìn)制數(shù)，它的唯一性確定了MAC地址在網(wǎng)絡(luò)中代表著計(jì)算機(jī)身份證的作用。為了安全和方便管理，網(wǎng)絡(luò)管理員將對(duì)用戶(hù)計(jì)算機(jī)的MAC地址進(jìn)行登記，并將MAC地址與接入交換機(jī)的端口進(jìn)行綁定。MAC地址與交換機(jī)端口綁定后，該MAC地址的數(shù)據(jù)流只能從綁定端口進(jìn)入，不能從其他端口進(jìn)入，也就是說(shuō)，特定主機(jī)只有在某個(gè)特定端口下發(fā)出數(shù)據(jù)幀時(shí)，才能被交換機(jī)接收并轉(zhuǎn)發(fā)，如果這臺(tái)主機(jī)移動(dòng)到其他位置，則無(wú)法實(shí)現(xiàn)正常上網(wǎng)。

MAC地址和交換機(jī)端口綁定后，該交換機(jī)端口仍然可以允許其他MAC地址的數(shù)據(jù)流通過(guò)。實(shí)際上，一些工具軟件和病毒很容易偽造計(jì)算機(jī)的MAC地址，因此通常的做法是不要把網(wǎng)絡(luò)安全信任關(guān)系單獨(dú)建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。因此，通過(guò)“MAC+IP+端口”綁定，可以實(shí)現(xiàn)設(shè)備對(duì)轉(zhuǎn)發(fā)報(bào)文的過(guò)濾控制，提高網(wǎng)絡(luò)安全性。

3.4 端口隔離

端口隔離技術(shù)是近幾年出現(xiàn)的更簡(jiǎn)單更簡(jiǎn)潔的端口互相隔離措施，現(xiàn)在的網(wǎng)絡(luò)應(yīng)用，同一廣播域之間通過(guò)廣播協(xié)議進(jìn)行通信的內(nèi)容越來(lái)越少，相反，一些廣播協(xié)議成了病毒、木馬肆虐的重災(zāi)區(qū)，通過(guò)端口隔離特性，在同一個(gè)交換機(jī)內(nèi)，各個(gè)用戶(hù)間的通信是禁止的，在基于TCP/IP的協(xié)議應(yīng)用上，各用戶(hù)僅僅和網(wǎng)關(guān)通信，從而提高用戶(hù)的網(wǎng)絡(luò)可用性。端口隔離技術(shù)是一種實(shí)現(xiàn)在客戶(hù)端的端口間的足夠的隔離度以保證一個(gè)客戶(hù)端不會(huì)收到另外一個(gè)客戶(hù)端的流量的技術(shù)。端口隔離特性主要用于保護(hù)用戶(hù)數(shù)據(jù)的私密性，防止惡意攻擊者獲取用戶(hù)信息。

采用端口隔離，可以實(shí)現(xiàn)同一VLAN內(nèi)部端口之間的隔離。通過(guò)端口隔離技術(shù)，用戶(hù)可以將需要進(jìn)行控制的端口加入到一個(gè)隔離組中，實(shí)現(xiàn)隔離組中的端口之間二層、三層數(shù)據(jù)的隔離。使用隔離技術(shù)后，隔離端口之間不會(huì)產(chǎn)生單播、廣播和組播，病毒也不會(huì)在隔離計(jì)算機(jī)之間傳播，因此增加了網(wǎng)絡(luò)安全性，提高了網(wǎng)絡(luò)性能。

綜上所述，在企業(yè)的應(yīng)用環(huán)境中，為了實(shí)現(xiàn)用戶(hù)安全、穩(wěn)定、高效的上網(wǎng)，企業(yè)的網(wǎng)絡(luò)管理員有必要使用多種的管理手段，在交換機(jī)的端口管理上，上文介紹的這幾種管理技術(shù)相輔相成。網(wǎng)絡(luò)管理員應(yīng)該根據(jù)運(yùn)行的實(shí)際情況以及交換機(jī)的軟件特性，選擇相應(yīng)的管理技術(shù)。

參考文獻(xiàn)：

[1]H3C 7500交換機(jī)手冊(cè)

[作者簡(jiǎn)介]唐小哲（1973-），男，陜西商洛人，本科，工程師，陜西省電力公司商洛供電局，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)、信息管理；賀雷（1971-），男，陜西涇陽(yáng)人，本科，工程師，陜西省電力公司商洛供電局，研究方向：電力系統(tǒng)自動(dòng)化。