端口隔离技术

端口隔离技术（精选5篇）

篇1：端口隔离技术

现在网络安全要求也越来越多样化了，一个局域网有时候也希望用户不能互相访问(如小区用户)，只能和网关进进行通讯，H3C交换机可以用端口隔离来实现，下面给大家介绍一下在cisco的交换机上面如何来实现这样的（端口隔离）需求。

在cisco 低端交换机中的实现方法:

1.通过端口保护(Switchitchport protected)来实现的。

2.通过PVLAN(private vlan 私有vlan)来实现.

主要操作如下:

相对来说cisco 3550或者2950交换机配置相对简单，进入网络接口配置模式:

Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口

Switch(config-if-range)#Switchitchport protected #开启端口保护

ok...到此为止,在交换机的每个接口启用端口保护,目的达到.

由于4500系列交换机不支持端口保护，可以通过PVLAN方式实现。

主要操作如下:

交换机首先得设置成transparents模式，才能完成pvlan的设置。

首先建立second Vlan 2个

Switch(config)#vlan 101

Switch(config-vlan)#private-vlan community

###建立vlan101 并指定此vlan为公共vlan

Switch(config)vlan 102

Switch(config-vlan)private-vlan isolated

###建立vlan102 并指定此vlan为隔离vlan

Switch(config)vlan 200

Switch(config-vlan)private-vlan primary

Switch(config-vlan)private-vlan association 101

Switch(config-vlan)private-vlan association add 102

###建立vlan200 并指定此vlan为主vlan，同时制定vlan101以及102为vlan200的second vlan

Switch(config)#int vlan 200

Switch(config-if)#private-vlan mapping 101,102

###进入vlan200 配置ip地址后，使second vlan101与102之间路由，使其可以通信

Switch(config)#int f3/1

Switch(config-if)#Switchitchport private-vlan host-association 200 102

Switch(config-if)#Switchitchport private-vlan mapping 200 102

Switch(config-if)#Switchitchport mode private-vlan host

###进入接口模式，配置接口为PVLAN的host模式，配置Pvlan的主vlan以及second vlan，一定用102，102是隔离vlan

至此，配置结束，经过实验检测，各个端口之间不能通信，但都可以与自己的网关通信，

注:如果有多个vlan要进行PVLAN配置，second vlan必须要相应的增加，一个vlan只能在private vlan下作为 second vlan。

来自中国IT实验室

篇2：端口隔离技术

端口扫描技术详解

，

篇3：端口隔离在网络管理中的应用

作为一个网络管理者, 需对联网计算机采取隔离措施。以下是我在单位中常遇到需要隔离的事例:

事例1:要在电脑教室中进行某类考试, 各计算机之间不允许互相通信。但每台学生机必须能联通到教师机, 因为教师机需要给每台学生机下发试题, 同时学生机需要上交试卷到教师机。

事例2:学生喜欢联网共享游戏, 这就需要学生机互相隔离。但学生机是需要联通到学校局域网和Internert的, 因为学生需要访问学校网站和到外网上查找资料。

事例3:根据需要进行分组隔离。

联网计算机相互隔离的方法

方法一:通过操作系统本身禁止共享和访问。

1.在“服务”中关闭“Server”服务和“Workstation”服务;

2.在“用户权限分配”的“允许从网络访问这台计算机”中删除“Everyone”和“Guest”等用户;

3.在“拒绝从网络访问这台计算机”当中增加“Everyone”和“Guest”等用户。

方法二:通过VLAN、子网或ACL进行隔离。

把需要隔离的计算机划分到不同的VLAN中;或把需要隔离的计算机划分到不同的子网中;或利用ACL等。这些都可以实现隔离的目的, 但都没有端口隔离来得简明扼要。

方法三:通过交换机的端口隔离进行隔离。

不同型号交换机的端口隔离命令有些区别, 比如有些Cisco和锐捷交换机隔离命令是switchport protected。有些华为和H3C交换机隔离命令是Port-isolate enable或者交换机隔离命令是isolateport allowed ethernet<Interface List>。本文以华为S5700为例, 其它型号可举一反三。

单交换机端口隔离的实现

如图1所示的拓扑结构, g0/0/1-g0/0/22为学生机端口, g0/0/23为教师机端口, g0/0/24为上联端口。其中上联端口和教师机端口不要被隔离, 只把学生机所在的端口隔即可。隔离命令为:

跨交换机端口隔离的实现

事实上, 如果电脑室有56台计算机, 若使用24电口交换机就需要三台。通过实际操作会发现下面的问题, 计算机接入端口被隔离后, 同一交换机下的所有计算机确实是被隔离了, 但跨交换机之间的计算机仍然是能ping通的。也就是说, 计算机所在端口隔离只隔离了同一交换机端口下的计算机, 对于跨交换机端口下的计算机并没有被隔离。如2拓扑图中, 学生机1和学生机2被隔离了, 但学生机1和学生机3、学生机1和学生机4还是可以通信的。

要实现跨交换机的隔离, 必须要把承担着汇聚的交换机S1的下联端口当成普通接入端口进行隔离, 如图2所示的拓扑图中S1的GE0/0/21和GE0/0/22端口。而各交换机的上联端口是不能被隔离的, 如S1、S2和S3的GE0/0/24端口, 否则上联端口不能转发数据。S1具体配置如下:

S2和S3的配置同理可得, 略。

分组隔离

篇4：交换机端口的安全管理技术

关键词：交换机；端口；安全管理；技术

中图分类号：TP

随着校园信息化建设的持续推进，接入校园网的用户数量急剧增加，致使大量交换机端口信息缺乏有效的管理，由此应建立相应的交换机端口的统一管理体系。传统的交换机端口信息是通过人工管理的。人工管理的方式较为复杂、同时也受到交换机地点的限制，并且人工管理过程中，相应的端口数据容易丢失，为了有效提高管理效率，还应在明确端口管理现状以及端口管理技术的基础之上，根据网络建设和使用实际选择相应的管理技术，为交换机端口的安全管理奠定了基础。

1 交换机端口管理

对于交换机端口管理工作而言，以太网应用初始阶段并未受到重视，在由HuB至交换机转变过程中，因硬件自身所存在着的局限性，网络设备基本上都是即插即用样式，而交换机则因其端口位置是开放状态，所以只要是兼容二层及以上网络协议的关联性内容即可使用。近年来，随着科技水平的不断提高，网络范围也在不断的扩展，一系列中型、大型网络系统快速出现，交换机端口管理工作显得越来越重要则，其中重要的交换机端口管理工作机器管理方式，基本上都是从互联、认证以及分割和隔离等，四个环节开展。

2 交换机端口管理的重要价值

实践中可以看到，虽然交换机端口采用的即插即用应用方式相对比较简便，但同时也存在着一些弊端与不足，比如APR病毒非常的泛滥，因ARP协议存在着一定的缺陷，导致交换机难以有效地辨别冒充网关的一系列MAC地址，从而造成网络中断、网络嗅探等问题的频频发生，同时在企业信息网络系统之中，基于对安全的充分考虑，我国不希望即插即用出现在链路层，因此应当对接入系统中的网络设备予以辨认。同时，大型的网络系统中的广播域相互之间可能会产生一定的影响，这无形中增大了网管人员的管理力度。在该种情况下，应当通过较为严格的交换机管理程序，来有效保证网络持续运行。目前来看，交换机性能持续增加，这主要表现在背板的有效的宽带方面，而且交换机端口速率也由原来的10M发展到现代的千兆，甚至万兆速率。

3 加强交换机端口管理

3.1 LAN技术

对于传统的以太网而言，它是平面网络的一种，而且网络之中的全部主机均通过Hub、交换机等有效的连接在一起，即隶属于相同的广播域。从本质上来讲，Hub即物理层机械设备，没有所谓的交换功能，但可将接收的所有报文转发给所有的端口；交换机则是链路层设备，其主要是依据报文目的MAC地质予以有效转发，然在收到广播报文、未知单播报文过程中，也会将所收到的报文向所有端口进行转发。上述情况下，网络主机将收到大量的、并非目的性的报文，在大量带宽资源严重浪费的情况下，也可能会造成非常严重的一系列安全隐患问题。传统的广播域隔离方式是路由器，但路由器的应用成本非常的高，而且端口相对比较少，因此难以对一些较为细致的网络系统予以划分。

3.2 VLAN技术

随着交换技术的发展，当前新交换技术（VLAN）的应用也在加快。该技术可以先将企业中的网络系统有效地划分成虚拟网络网段，这对于加强网络管理、不断提高其安全性以及实现数据广播管理，具有非常重要的作用。在网络资源共享过程中，物理网段即为广播域，然而在交换网络当中，广播域则是一组可根据需要选定的网络地址，即由MAC地址形成的一个虚拟网段。在网络组运行过程中，通过工作组的有效划分可突破共享网络中的相关地理位置大量闲置等藩篱，严格按照管理功能之要求，可以实现对网络系统的有效划分。从实践来看，这种基于工作流的管理与分组模式，即可以有效的提高网络规划效率，又可以对网络管理功能进行有效的重组。

对于相同的VLAN工作站而言，不管其实际上是否与某一个交换机有所连接，二者之间的通讯均类似于在相同的交换机之上，对于相同的VLAN广播而言，通常只有VLAN中的组员能够接收到信息，而并不会传输到VLAN当中，由此能对不必要的广播风暴进行了控制。由此，若是缺乏路由器，那么在不同类型的VLAN间将难以实现有效的通讯。由此不仅便利了企业用户的应用，也在很大程度上提高了交换机的管理效率。

3.3 IP-MAC绑定技术

早期的校园网当中，常出现IP盗用的状况，这是由于网络接入交换机时，太随意，而且接入时并未设置任何安全装置，因此用户只要接入网线，无论在什么地方均可以上网。虽然这种模式方便，却很容易出现IP被盗等问题。

网卡MAC地址，即12位16进制数，而且是唯一的，它对MAC地址在系统网络中的计算机身份进行了明确。实践中，为方便管理，管理员通过对用户MAC地址登记，将该地址和交换机端口有效的绑定在一起。通常情况下，MAC地址主要集中在交换机端口绑定以后，其地址数据流严格自绑定端口位置进入，决不允许由另外的端口大量出入。简单地说，就是特定主机只允许在特定端口位置下发送数据帧，只有这样才能被交换机所接收，并予以转发。实践中，若干该主机移动至其他位置，那么将难以正常连接网络。

MAC与交换机端口相互绑定以后，该交换机端口可让其他MAC地址的数据流通过。然而在实际的运行过程中，部分工具软件、病毒等，很容易伪造成MAC地址，然后进入到网络系统之中。基于对网络系统的安全运行之考虑，决不可将网络系统的安全信任关系一味地建立于IP基础、MAC地址之上，最为理想的方式是将网络安全信任建立在IP+MAC之上，采用MAC地址+端口+IP的绑定模式，由此实现了对报文转发的过滤控制，有效提高了网络的安全性能。

4 结束语

根据实际的分析可了解到，在企业、校园网环境之中，为能够有效保证用户的安全应用性，管理人员都应当采用多元化的管理模式，对LAN、VLAN、IP绑定技术的分析，明确了不同端口管理技术的特点，相应的企业以及校园应根据自身的网络应用现状，选择合理的交换机端口的管理模式和手段。上述的交换机端口管理方式相辅相成，由此在实际的应用过程中应结合自身管理需求进行考虑，从而营造一个健康、安全、快速、高效的网络管理体系。同时通过对相应交换机端口安全管理技术的分析，为相应的交换机的安全管理和有效实践奠定了良好的基础。

参考文献：

[1]高国璐.虚拟局域网VLAN在网络管理中的应用[J].时代教育（教育教学），2010（09）.

[2]陈程，欧阳昌华.互联网网络安全性及其对策[J].企业技术开发，2007（09）.

[3]崔炜.基于VC++6.0的登录控制设计[J].佳木斯教育学院学报，2011（04）.

[4]任娟，裘正定.普适计算中的隐私保护[J].信息安全与通信保密，2006（02）.

[5]王以伍，任宇，陈俊.IPv6安全技术分析[J].电脑知识与技术，2008（32）.

[6]赖志刚，宁辉华.浅谈VLAN技术[J].科技资讯，2008（03）.

篇5：端口隔离在校园网中的实施和分析

1 ARP简介

1.1 ARP协议介绍

我们这里所说的ARP病毒不是病毒名称,而是对利用ARP协议漏洞进行传播的一类病毒的总称。目前,表现最多的是木马程序,盗号软件等。ARP全称为address resolution protrol,地址解析协议。它是用来将IP地址解析为硬件地址即MAC地址的协议。每个主机都有一个ARP高速缓存,用来存放局域网上各主机和路由器的IP地址到硬件地址的映射表。发送端主机通过查找ARP缓存查找目的端主机的IP对应的MAC地址,从而将数据发送过去。这个映射表是实时更新的,因为网络是时刻变化的。寻找目的主机的ARP请求是广播发送的,而ARP响应分组是普通的单播。

1.2 ARP欺骗过程

这种广播寻求目的主机,单播响应源主机的机制必须建立在局域网中的主机相互信任的基础上。但事实上,这种理想状态并不能长期保证,在局域网中,中毒的主机在接收到ARP广播报文后,会冒充目的主机响应发送端主机,将本该发送到其他IP地址的数据截获。这就是简单的欺骗过程,在校园网中,更为多见的是冒充网关的欺骗。局域网中的主机要访问互联网,要通过网关转发数据,而病毒主机会将网关的IP和自己主机的MAC地址映射起来,让其他主机误认为病毒主机就是网关,记录在ARP缓存中。本该发送给真网关的数据就被病毒主机监听到。被攻击的主机在路由器和病毒主机间互相转换,频繁掉线。

1.3 ARP中毒现象及简单防治

被ARP攻击的主机会造成上网频繁掉线,网速时快时慢极不稳定,网上银行,各种账号频繁丢失,甚至无法上网。从用户角度防范可以采用手工绑定网关IP和MAC地址,或者使用anti ARP软件,360安全卫士等等。但这种方式有很多弊端,不能从根本上解决攻击问题。从整个网络的角度考虑采取端口隔离的效果比个人防治更有效。

2 DHCP简介

2.1 DHCP协议介绍

DHCP全称为dynamic host configuration protrol,动态主机配置协议。它提供了一种即插即用连网机制,这种机制允许一台计算机加入新的网络和获取IP地址。DHCP使用客户服务器方式,需要IP地址的主机在启动时就向DHCP服务器广播发送报文,只有DHCP服务器才对此广播报文进行应答。当在数据库中查找到该计算机的信息时返回找到信息,找不到则从服务器的地址池中取一个地址分配给该计算机。

2.2 宿舍路由器DHCP隐患

目前,大部分高校的宿舍网络端口数不能满足学生电脑数量,因此很多学生会使用小型路由器,而小型路由器带有DHCP服务器功能。大多数学生直接接线使用没有关闭其中的DHCP服务器功能,干绕了局域网用户获取正确IP地址。使用DHCP服务器的人越多,网络就会越混乱。因此减少网络中DHCP服务器的数量对网络的有序运行很有意义。这里我们将使用小型路由器而没有关闭DHCP功能的机器和私自架设DHCP服务器的机器统称非法DHCP。

2.3 非法DHCP对网络的影响和传统治理办法

局域网中如果有用户使用小型路由器,并且没有关闭DHCP服务器功能,那么其他用户就可能始终上不了网,因为分不到正确的地址。以本校为例,正确上网的IP地址为172开头,如果分得的地址为192或者169开头的,那么就有可能被带DHCP功能的路由器分到了错误地址。从网络管理的角度看,对用户路由器进行逐一手工关闭DHCP服务功能费时费力,如果用户重新开启该功能,那么之前的工作又要重复进行。

3 端口隔离的实施

3.1 端口隔离的可行性

端口隔离技术是一种将交换机端口之间的通讯进行阻隔的技术。在本校的实施中,我们将接入层交换机之间的端口隔离开,目的是阻断局域网之间的通信,阻止ARP病毒报文及非法DHCP报文的传送。用户仍能通过汇聚层交换机进行数据传送,保证和互联网的通信。目前市场上的大部分交换机支持端口隔离技术,因此实施起来具有可行性。具体拓扑如图1。

3.2 端口隔离的实现

这里我们总结了三类交换机的端口隔离方法,分别是基于物理端口的隔离方式,基于vlan的端口隔离和hybrid端口隔离。

3.2.1 基于物理端口的隔离方式

本校我们在接入层交换机H3C E126A和上联的汇聚交换机H3C S5100-24P-EI中使用了以下命令:

3.2.2 基于vlan的端口隔离方式

3.2.3 hybrid端口隔离方式:

基于vlan的端口隔离和hybrid端口隔离主要用在接入层交换机中,本校应用在Quid Way S2126-EI,E026-FE,E026-SI和S2403H-EI型号的交换机上。

对于用哪种方式进行隔离取决于交换机支持的类型,可以查看交换机的技术文档或者帮助文件。

3.3 其他辅助命令

有些交换机本身支持ARP和DHCP的防护功能,因此我们可以将其开启,配合端口隔离使用效果更好。

例如在E026A上加入命令:arp detection enable和dhcp-snooping

同时在上联口加入命令:dhcp-snooping trust和arp detection trust

4 端口隔离的实施效果分析

做完汇聚层交换机的端口隔离后,通过对学校故障数量的统计,我们发现局域网中的ARP攻击和非法DHCP分配地址的情况减少了大半。紧接着在接入层交换机做完隔离后,这两种攻击明显减少。其中非法DHCP的危害范围完全被隔离开,ARP病毒的泛滥基本被阻止。用户会频繁掉线的现象和因为得到错误地址而不能上网的现象基本消失。对于整个网络的安全性来说,端口隔离是比较有效易行的手段,和从用户角度防护相比,从根本上解决了ARP病毒和非法DHCP的问题。由于端口隔离有效的阻止了局域网内的数据传送,病毒攻击的范围被缩小到每个端口之内,因此我们可以知道,能在局域网内传播的一类病毒,都可以被隔离开。通过对端口隔离的长期观察,我们发现隔离也有其弊端,因为局域网内部端口的通讯被阻断,会造成局域网端口之间的通讯不能进行,例如在局域网玩游戏传送文件等会受到限制。从网络管理的角度看,端口隔离对整个网络的作用是利大于弊的,因此这种方法值得应用。随着科技的不断进步,病毒也在不断变种,因此作为网络管理员,我们必须时刻保持警惕,与时俱进,采取有效的措施保障网络的安全。

参考文献

[1]谢希仁.计算机网络[M].4版.北京:电子工业出版社,2006.

[2]Doyle J,Carroll J.TCP/IP路由技术[M]北京:人民邮电出版社,2007.

[3]杨云江.计算机与网络安全实用技术[M].北京:清华大学出版社,2007.