端口隔离技术在校园网络管理中的应用.docVIP

端口隔离技术在校园网络管理中的应用 【 摘 要 】 校园网络管理是学院信息化建设工作的重中之重，稳定畅通的网络有助于学院信息化建设的快速发展。在实际网络管理工作中，IP冲突、ARP病毒攻击和非法DHCP服务器是影响校园网络稳定的主要故障。论文通过介绍如何实现交换机等网络设备的端口隔离，从而有效防止以上现象网络故障的发生。 【 关键词 】 端口隔离；DHCP；ARP；VLAN 【 Abstract 】 The campus network management is the priority among priorities of informationization construction work， stable and rapid development of open network helps college information construction. In the actual network management， IP ARP conflict， virus attacks and illegal DHCP server is the main fault which affects the stability of campus network， this paper introduces how to realize port isolation switches and other network equipment， so as to effectively prevent the occurrence of the above network fault. 【 Keywords 】 port isolation； dhcp； arp； vlan 1 引言 以重庆三峡职业学院校园网为例，校园网由多个局域网组成，一般一栋楼就是一个小局域网，每个局域网占用一个C类地址，办公和学生用户数量多，特别是学生公寓用户，每栋学生宿舍分为多个C类地址，宿舍内每个交换机对应一个C类地址，如果没有相应的端口对应表，静态IP分配就变得错踪复杂。所以基本上都采用DHCP动态分配IP地址。但网络布线是一个房间1-2个网络信息点，网络信息点数量无法满足学生用户的使用，因此很多学生宿舍会使用桌面路由器，个别用户不关闭其DHCP功能，导致同一VLAN下很多用户无法分配到合法的DHCP地址；在加之局域内办公用户和学生用户的计算机感染上ARP病毒，不断地以广播或单播形式发送伪造的ARP和响应数据报文，欺骗所在网段的其他主机，将自己的MAC地址伪装成网关MAC，导致网段内其他主机无法上网或频繁掉线。 本文通过端口隔离的办法有效的减少网络中的ARP攻击和DHCP服务器隐患问题，阻止了局域网内的数据传送，病毒攻击的范围被缩小到每个端口之内，从而保障了网络的畅通。 2 端口隔离技术综述 端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术，用户可以将需要进行控制的端口加入到隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，既增强了网络的安全性，也为用户提供了灵活的组网方案。使用隔离技术后隔离端口之间就不会产生单播、广播和组播，病毒就不会在隔离计算机之间传播，尤其对ARP病毒效果明显。目前主流交换设备都支持端口隔离特性，命令简单明了容易配置。而一些老旧设备也可以通过PVLAN或VLAN重叠来实现端口隔离的效果。 3 端口隔离技术的实现 3.1 端口隔离技术在H3C和Quidway交换机上的实现 system-view 进入系统视图；interface interface-type interface-number 进入以太网端口视图；port isolate 将以太网端口加入到隔离组中。端口隔离技术在H3C和Quidway交换机上实现很强，使用也方便，上述的三条命令就可以实现相应端口之间隔离。 3.2 端口隔离技术在中兴接入层交换机上的实现 中兴3928等中高端交换机没有专门的端口隔离或VLAN隔离命令，但可以通过PVLAN来实现端口隔离功能。PLAN将VLAN中的端口分为两类：与用户相连的端口为隔离端口，上行与路由器相连的端口为混合端口。隔离端口只能与混合端口通信，相互之间不能通信。这样就将同一个VLAN下的端口隔离开来，用户只能与自己的默认网关通信，网络的安全性得到了保障。 ZXR10（config）#vlan private-map session-id 1 isolate fei_1/1-23 promis fei_1/24； #端口fei_1/1-23为隔离端口，端口fei_1/24为混合端口； 中兴的2826等低端交换机不支持PLAN命令，可以通过VLAN重