摘 要：隨著計算機技術(shù)以及網(wǎng)絡(luò)技術(shù)逐漸發(fā)展，鏈路層中對于網(wǎng)絡(luò)安全的交換機端口的管理技術(shù)也層出不窮，為物理端口提供了安全高效的管理手段和方式，以校園網(wǎng)絡(luò)的交換機端口管理為例，以交換機端口的現(xiàn)狀以及必要性分析為基礎(chǔ)，明確分析了交換機端口的安全管理技術(shù)，通過對交換機端口中的LAN、VLAN、IP綁定技術(shù)的分析，明確了不同端口管理技術(shù)的特點，為類似交換機端口的安全管理提供了可供參考的經(jīng)驗。

關(guān)鍵詞：交換機；端口；安全管理；技術(shù)

中圖分類號：TP

隨著校園信息化建設(shè)的持續(xù)推進，接入校園網(wǎng)的用戶數(shù)量急劇增加，致使大量交換機端口信息缺乏有效的管理，由此應(yīng)建立相應(yīng)的交換機端口的統(tǒng)一管理體系。傳統(tǒng)的交換機端口信息是通過人工管理的。人工管理的方式較為復(fù)雜、同時也受到交換機地點的限制，并且人工管理過程中，相應(yīng)的端口數(shù)據(jù)容易丟失，為了有效提高管理效率，還應(yīng)在明確端口管理現(xiàn)狀以及端口管理技術(shù)的基礎(chǔ)之上，根據(jù)網(wǎng)絡(luò)建設(shè)和使用實際選擇相應(yīng)的管理技術(shù)，為交換機端口的安全管理奠定了基礎(chǔ)。

1 交換機端口管理

對于交換機端口管理工作而言，以太網(wǎng)應(yīng)用初始階段并未受到重視，在由HuB至交換機轉(zhuǎn)變過程中，因硬件自身所存在著的局限性，網(wǎng)絡(luò)設(shè)備基本上都是即插即用樣式，而交換機則因其端口位置是開放狀態(tài)，所以只要是兼容二層及以上網(wǎng)絡(luò)協(xié)議的關(guān)聯(lián)性內(nèi)容即可使用。近年來，隨著科技水平的不斷提高，網(wǎng)絡(luò)范圍也在不斷的擴展，一系列中型、大型網(wǎng)絡(luò)系統(tǒng)快速出現(xiàn)，交換機端口管理工作顯得越來越重要則，其中重要的交換機端口管理工作機器管理方式，基本上都是從互聯(lián)、認證以及分割和隔離等，四個環(huán)節(jié)開展。

2 交換機端口管理的重要價值

實踐中可以看到，雖然交換機端口采用的即插即用應(yīng)用方式相對比較簡便，但同時也存在著一些弊端與不足，比如APR病毒非常的泛濫，因ARP協(xié)議存在著一定的缺陷，導致交換機難以有效地辨別冒充網(wǎng)關(guān)的一系列MAC地址，從而造成網(wǎng)絡(luò)中斷、網(wǎng)絡(luò)嗅探等問題的頻頻發(fā)生，同時在企業(yè)信息網(wǎng)絡(luò)系統(tǒng)之中，基于對安全的充分考慮，我國不希望即插即用出現(xiàn)在鏈路層，因此應(yīng)當對接入系統(tǒng)中的網(wǎng)絡(luò)設(shè)備予以辨認。同時，大型的網(wǎng)絡(luò)系統(tǒng)中的廣播域相互之間可能會產(chǎn)生一定的影響，這無形中增大了網(wǎng)管人員的管理力度。在該種情況下，應(yīng)當通過較為嚴格的交換機管理程序，來有效保證網(wǎng)絡(luò)持續(xù)運行。目前來看，交換機性能持續(xù)增加，這主要表現(xiàn)在背板的有效的寬帶方面，而且交換機端口速率也由原來的10M發(fā)展到現(xiàn)代的千兆，甚至萬兆速率。

3 加強交換機端口管理

3.1 LAN技術(shù)

對于傳統(tǒng)的以太網(wǎng)而言，它是平面網(wǎng)絡(luò)的一種，而且網(wǎng)絡(luò)之中的全部主機均通過Hub、交換機等有效的連接在一起，即隸屬于相同的廣播域。從本質(zhì)上來講，Hub即物理層機械設(shè)備，沒有所謂的交換功能，但可將接收的所有報文轉(zhuǎn)發(fā)給所有的端口；交換機則是鏈路層設(shè)備，其主要是依據(jù)報文目的MAC地質(zhì)予以有效轉(zhuǎn)發(fā)，然在收到廣播報文、未知單播報文過程中，也會將所收到的報文向所有端口進行轉(zhuǎn)發(fā)。上述情況下，網(wǎng)絡(luò)主機將收到大量的、并非目的性的報文，在大量帶寬資源嚴重浪費的情況下，也可能會造成非常嚴重的一系列安全隱患問題。傳統(tǒng)的廣播域隔離方式是路由器，但路由器的應(yīng)用成本非常的高，而且端口相對比較少，因此難以對一些較為細致的網(wǎng)絡(luò)系統(tǒng)予以劃分。

3.2 VLAN技術(shù)

隨著交換技術(shù)的發(fā)展，當前新交換技術(shù)（VLAN）的應(yīng)用也在加快。該技術(shù)可以先將企業(yè)中的網(wǎng)絡(luò)系統(tǒng)有效地劃分成虛擬網(wǎng)絡(luò)網(wǎng)段，這對于加強網(wǎng)絡(luò)管理、不斷提高其安全性以及實現(xiàn)數(shù)據(jù)廣播管理，具有非常重要的作用。在網(wǎng)絡(luò)資源共享過程中，物理網(wǎng)段即為廣播域，然而在交換網(wǎng)絡(luò)當中，廣播域則是一組可根據(jù)需要選定的網(wǎng)絡(luò)地址，即由MAC地址形成的一個虛擬網(wǎng)段。在網(wǎng)絡(luò)組運行過程中，通過工作組的有效劃分可突破共享網(wǎng)絡(luò)中的相關(guān)地理位置大量閑置等藩籬，嚴格按照管理功能之要求，可以實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的有效劃分。從實踐來看，這種基于工作流的管理與分組模式，即可以有效的提高網(wǎng)絡(luò)規(guī)劃效率，又可以對網(wǎng)絡(luò)管理功能進行有效的重組。

對于相同的VLAN工作站而言，不管其實際上是否與某一個交換機有所連接，二者之間的通訊均類似于在相同的交換機之上，對于相同的VLAN廣播而言，通常只有VLAN中的組員能夠接收到信息，而并不會傳輸?shù)絍LAN當中，由此能對不必要的廣播風暴進行了控制。由此，若是缺乏路由器，那么在不同類型的VLAN間將難以實現(xiàn)有效的通訊。由此不僅便利了企業(yè)用戶的應(yīng)用，也在很大程度上提高了交換機的管理效率。

3.3 IP-MAC綁定技術(shù)

早期的校園網(wǎng)當中，常出現(xiàn)IP盜用的狀況，這是由于網(wǎng)絡(luò)接入交換機時，太隨意，而且接入時并未設(shè)置任何安全裝置，因此用戶只要接入網(wǎng)線，無論在什么地方均可以上網(wǎng)。雖然這種模式方便，卻很容易出現(xiàn)IP被盜等問題。

網(wǎng)卡MAC地址，即12位16進制數(shù)，而且是唯一的，它對MAC地址在系統(tǒng)網(wǎng)絡(luò)中的計算機身份進行了明確。實踐中，為方便管理，管理員通過對用戶MAC地址登記，將該地址和交換機端口有效的綁定在一起。通常情況下，MAC地址主要集中在交換機端口綁定以后，其地址數(shù)據(jù)流嚴格自綁定端口位置進入，決不允許由另外的端口大量出入。簡單地說，就是特定主機只允許在特定端口位置下發(fā)送數(shù)據(jù)幀，只有這樣才能被交換機所接收，并予以轉(zhuǎn)發(fā)。實踐中，若干該主機移動至其他位置，那么將難以正常連接網(wǎng)絡(luò)。

MAC與交換機端口相互綁定以后，該交換機端口可讓其他MAC地址的數(shù)據(jù)流通過。然而在實際的運行過程中，部分工具軟件、病毒等，很容易偽造成MAC地址，然后進入到網(wǎng)絡(luò)系統(tǒng)之中?；趯W(wǎng)絡(luò)系統(tǒng)的安全運行之考慮，決不可將網(wǎng)絡(luò)系統(tǒng)的安全信任關(guān)系一味地建立于IP基礎(chǔ)、MAC地址之上，最為理想的方式是將網(wǎng)絡(luò)安全信任建立在IP+MAC之上，采用MAC地址+端口+IP的綁定模式，由此實現(xiàn)了對報文轉(zhuǎn)發(fā)的過濾控制，有效提高了網(wǎng)絡(luò)的安全性能。

4 結(jié)束語

根據(jù)實際的分析可了解到，在企業(yè)、校園網(wǎng)環(huán)境之中，為能夠有效保證用戶的安全應(yīng)用性，管理人員都應(yīng)當采用多元化的管理模式，對LAN、VLAN、IP綁定技術(shù)的分析，明確了不同端口管理技術(shù)的特點，相應(yīng)的企業(yè)以及校園應(yīng)根據(jù)自身的網(wǎng)絡(luò)應(yīng)用現(xiàn)狀，選擇合理的交換機端口的管理模式和手段。上述的交換機端口管理方式相輔相成，由此在實際的應(yīng)用過程中應(yīng)結(jié)合自身管理需求進行考慮，從而營造一個健康、安全、快速、高效的網(wǎng)絡(luò)管理體系。同時通過對相應(yīng)交換機端口安全管理技術(shù)的分析，為相應(yīng)的交換機的安全管理和有效實踐奠定了良好的基礎(chǔ)。

參考文獻：

[1]高國璐.虛擬局域網(wǎng)VLAN在網(wǎng)絡(luò)管理中的應(yīng)用[J].時代教育（教育教學），2010（09）.

[2]陳程，歐陽昌華.互聯(lián)網(wǎng)網(wǎng)絡(luò)安全性及其對策[J].企業(yè)技術(shù)開發(fā)，2007（09）.

[3]崔煒.基于VC++6.0的登錄控制設(shè)計[J].佳木斯教育學院學報，2011（04）.

[4]任娟，裘正定.普適計算中的隱私保護[J].信息安全與通信保密，2006（02）.

[5]王以伍，任宇，陳俊.IPv6安全技術(shù)分析[J].電腦知識與技術(shù)，2008（32）.

[6]賴志剛，寧輝華.淺談VLAN技術(shù)[J].科技資訊，2008（03）.

作者單位：徐州孟家溝現(xiàn)代物流有限公司，江蘇徐州 221007