端口隔离技术在校园网络管理中的应用

【 摘 要 】 校园网络管理是学院信息化建设工作的重中之重，稳定畅通的网络有助于学院信息化建设的快速发展。在实际网络管理工作中，IP冲突、ARP病毒攻击和非法DHCP服务器是影响校园网络稳定的主要故障。论文通过介绍如何实现交换机等网络设备的端口隔离，从而有效防止以上现象网络故障的发生。

【 关键词 】 端口隔离；DHCP；ARP；VLAN

【 Abstract 】 The campus network management is the priority among priorities of informationization construction work， stable and rapid development of open network helps college information construction. In the actual network management， IP ARP conflict， virus attacks and illegal DHCP server is the main fault which affects the stability of campus network， this paper introduces how to realize port isolation switches and other network equipment， so as to effectively prevent the occurrence of the above network fault.

【 Keywords 】 port isolation； dhcp； arp； vlan

1 引言

以重庆三峡职业学院校园网为例，校园网由多个局域网组成，一般一栋楼就是一个小局域网，每个局域网占用一个C类地址，办公和学生用户数量多，特别是学生公寓用户，每栋学生宿舍分为多个C类地址，宿舍内每个交换机对应一个C类地址，如果没有相应的端口对应表，静态IP分配就变得错踪复杂。所以基本上都采用DHCP动态分配IP地址。但网络布线是一个房间1-2个网络信息点，网络信息点数量无法满足学生用户的使用，因此很多学生宿舍会使用桌面路由器，个别用户不关闭其DHCP功能，导致同一VLAN下很多用户无法分配到合法的DHCP地址；在加之局域内办公用户和学生用户的计算机感染上ARP病毒，不断地以广播或单播形式发送伪造的ARP和响应数据报文，欺骗所在网段的其他主机，将自己的MAC地址伪装成网关MAC，导致网段内其他主机无法上网或频繁掉线。

本文通过端口隔离的办法有效的减少网络中的ARP攻击和DHCP服务器隐患问题，阻止了局域网内的数据传送，病毒攻击的范围被缩小到每个端口之内，从而保障了网络的畅通。

2 端口隔离技术综述

端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术，用户可以将需要进行控制的端口加入到隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，既增强了网络的安全性，也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播，病毒就不会在隔离计算机之间传播，尤其对ARP病毒效果明显。目前主流交换设备都支持端口隔离特性，命令简单明了容易配置。而一些老旧设备也可以通过PVLAN或VLAN重叠来实现端口隔离的效果。

3 端口隔离技术的实现

3.1 端口隔离技术在H3C和Quidway交换机上的实现

system-view 进入系统视图；interface interface-type interface-number 进入以太网端口视图；port isolate 将以太网端口加入到隔离组中。端口隔离技术在H3C和Quidway交换机上实现很强，使用也方便，上述的三条命令就可以实现相应端口之间隔离。

3.2 端口隔离技术在中兴接入层交换机上的实现

中兴3928等中高端交换机没有专门的端口隔离或VLAN隔离命令，但可以通过PVLAN来实现端口隔离功能。PLAN将VLAN中的端口分为两类：与用户相连的端口为隔离端口，上行与路由器相连的端口为混合端口。隔离端口只能与混合端口通信，相互之间不能通信。这样就将同一个VLAN下的端口隔离开来，用户只能与自己的默认网关通信，网络的安全性得到了保障。

ZXR10（config）#vlan private-map session-id 1 isolate fei_1/1-23 promis fei_1/24；

#端口fei_1/1-23为隔离端口，端口fei_1/24为混合端口；

中兴的2826等低端交换机不支持PLAN命令，可以通过VLAN重叠―FID来实现端口隔离。

4 在校园网中应用与实现

以重庆三峡职业学院校园网为例，校园网核心交换机由两台Quidway S9306组成，分别支持学生用户和办公用户，学生宿舍各楼栋用Quidway S5328C-EI-24S作汇聚交换机，信科楼、动科楼、图书馆用Quidway S2352P-EI作汇聚交换机，农林楼用H3C E528作汇聚交换机，行政楼、就业大厅和奥训楼用H3C S5800-32C作汇聚交换机，博雅楼用Quidway S2326TP-EI作汇聚交换机，学生宿舍各楼栋和办公区域接入层交换机均为Quidway S2352P-EI。校园网拓扑结构如图 1所示。

在学校网络建设初期，核心层交换机、汇聚层交换机和接入层交换机未做端口隔离。不少用户为了在网络中实现手机无线上线，使用无线路由器，在使用时未关闭路由器DHCP功能，导致网络中不少用户获取到该路由器的IP地址，影响其正常上网。如信科楼，农林楼和动科楼等用户从路由器获取到IP地址192.168.1.X，无法获取学校DHCP服务中规划的IP，导致客户端无法拔号上网，学生寝室区域由于使用NeetKeeper拔号上网，直接跳过防火墙通过电信认证服务器连接网络，故不受影响。加之某些计算机上感染了ARP病毒，导致网络出现频繁掉线或无法上网等故障。如奥训楼经常出现大规模断网，关闭某个交换机端口后能正常上网。鉴于以上情况，应对核心层、汇聚层和接入层交换机做端口隔离，各层交换机设置如下：

核心层：

奥训楼、就业大厅和行政楼使用H3C5800作为汇聚交换机，其设置过程与Quidway系列的交换机相同。

接入层：由于接入层均使用Quidway系列的交换机，故设置过程与汇聚层Quidway系统交换机相同。

5 结束语

通过对核心层、汇聚层和接入层的交换机端口隔离设置后，目前学校网络使用基本正常，很有效地解决了ARP攻击和非法DHCP服务器所引起的网络堵塞，将故障排查范围缩小到了每一个接入层交换机的端口之内，减轻了网络管理员的维护工作量，确保了整个学校的网络畅通。

参考文献

[1] 王韬.校园网中端口隔离的实现[J].科技信息，2011，（32）：36.

[2] 莫洪林.浅析交换机端口隔离在校园网防范ARP攻击中的应用[J].信息安全与技术，2011，（6）：50.

[3] 李梅，梁岸兵.端口隔离在校园网中的实施和分析[J].电脑知识与技术，2010，6（6）：1308.

[4] 莫泓铭.浅论端口隔离在大学生宿舍网中的运用[J].科技传播，2010，（7）：124.1.

作者简介：

唐磊（1983-），男，重庆万州人，重庆大学，计算机技术工程硕士，助理实验师；主要研究方向和关注领域：计算机网络、软件开发。