李維峰

（中國飛行試驗研究院信息網(wǎng)絡(luò)中心，陜西 西安 710089）

1 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全越來越受到人們的重視，其中訪問控制就是網(wǎng)絡(luò)安全中的重要一環(huán)。交換機作為網(wǎng)絡(luò)的核心設(shè)備之一，通常使用VLAN來劃分廣播域，從而增強局域網(wǎng)的安全性。近年來在一些對安全需求較高的網(wǎng)絡(luò)建設(shè)中，對于訪問控制策略細粒度的要求越來越高，單純使用VLAN技術(shù)已經(jīng)不能滿足工程中的實際需要。本文結(jié)合工程實際提出一種更安全的基于VLAN技術(shù)的局域網(wǎng)建設(shè)方法。

2 單一VLAN技術(shù)的安全缺陷

一般來說，為了保證網(wǎng)絡(luò)用戶通信的相對安全性，解決方法是給每個客戶端分配一個VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個客戶端被從第二層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽[1]。然而，這種簡單的VLAN劃分方法忽略了同一VLAN中的客戶端間相互攻擊的風(fēng)險。在一些對網(wǎng)絡(luò)安全有特殊需求的單位中，僅僅只通過劃分VLAN來隔離客戶端是不能達到其訪問控制細粒度要求的。主要缺陷有下述幾個方面：

①廣播隔離不徹底：僅隔離VLAN間的廣播，而對同一VLAN中客戶端間的廣播不進行隔離，從而影響網(wǎng)絡(luò)效率。

②無法控制非法接入的客戶端：未經(jīng)授權(quán)的客戶端只要配上正確的IP地址都能進入到局域網(wǎng)中，造成安全隱患。

③客戶端間可互訪：在一些局域網(wǎng)中需要限制客戶端的訪問方向，以滿足特定的安全需求。

3 綜合VLAN技術(shù)的安全優(yōu)勢

所謂綜合VLAN技術(shù)是指結(jié)合端口隔離、MAC地址綁定等其他手段來提高局域網(wǎng)絡(luò)安全性的一種混合技術(shù)。它能彌補在單一使用VLAN技術(shù)建設(shè)的局域網(wǎng)中所存在的安全缺陷。本文結(jié)合工程實際，以華為交換機為例，提出如下的綜合VLAN技術(shù)，以建設(shè)高安全性的局域網(wǎng)。

①合理利用port-isolate enable命令。port-isolate enable命令用來啟用端口隔離功能。端口隔離啟用后，該端口會與啟用端口隔離的端口之間實現(xiàn)兩兩隔離，該端口與沒有啟用端口隔離的端口可以互通。因此，合理使用該命令可以有效隔離端口間的廣播，提高網(wǎng)絡(luò)效率[2]。使用實例如下所示：

②合理利用端口綁定命令。port-security mac-address sticky命令用來啟用接口sticky-mac功能。啟用sticky-mac功能后接口會將學(xué)習(xí)到的動態(tài)MAC地址轉(zhuǎn)化為靜態(tài)MAC地址。如果當前的sticky-mac數(shù)還沒有達到接口限制數(shù)，該端口對于新學(xué)到的動態(tài)MAC地址繼續(xù)轉(zhuǎn)化為靜態(tài)MAC地址，如果已經(jīng)達到限制數(shù)，將丟棄該接口學(xué)習(xí)到的非sticky-mac表項中的MAC地址，并根據(jù)接口保護模式的配置，決定是否上送trap告警。因此，合理使用該命令可以防止未授權(quán)的客戶端接入局域網(wǎng)內(nèi)。使用實例如下所示：

③合理利用Hybrid類型的端口。Hybrid類型的端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文，可以用于交換機間的連接，也可以用于連接用戶的計算機。靈活運用Hybrid類型的端口可以對不同VLAN間的通訊進行訪問控制。

4 應(yīng)用舉例

現(xiàn)有某單位需建設(shè)一個局域網(wǎng)，該單位有3個下屬部門：人力資源部、財務(wù)部和經(jīng)理部；共有4臺服務(wù)器，分別為：人力資源系統(tǒng)服務(wù)器、財務(wù)管理系統(tǒng)服務(wù)器、OA服務(wù)器及殺毒軟件服務(wù)器。要求3個下屬部門客戶端之間不能互訪；人力資源部客戶端可以訪問人力資源系統(tǒng)服務(wù)器；財務(wù)部客戶端可以訪問財務(wù)管理系統(tǒng)服務(wù)器；經(jīng)理部客戶端可以訪問所有服務(wù)器；人力資源部客戶端和財務(wù)部客戶端均可訪問OA服務(wù)器；所有客戶端及服務(wù)器均可訪問殺毒軟件服務(wù)器；除殺毒軟件服務(wù)器之外，其他所有服務(wù)器間不能互訪。鏈接關(guān)系如下圖所示：

圖1 鏈接關(guān)系圖

配制環(huán)境參數(shù)：

①Sw itch1的E0/1連接PC1屬于vlan10;

②Sw itch1的E0/2連接Sw itch2;

③Sw itch1的E0/3連接PC3屬于vlan30;

④Sw itch1的E0/4連接PC2屬于vlan20;

⑤Sw itch2的E0/1連接S1屬于vlan40;

⑥Sw itch2的E0/2連接S2屬于vlan50;

⑦Sw itch2的E0/3連接S3屬于vlan60;

⑧Sw itch2的E0/4連接S4屬于vlan70;

⑨Sw itch2的E0/5連接Sw itch1。

組網(wǎng)需求：

①利用交換機端口的Hybrid屬性靈活實現(xiàn)VLAN之間的靈活互訪；

②除交換機間的連接端口外，其余各端口實現(xiàn)廣播隔離；

③除交換機間的連接端口外，其余各端口實現(xiàn)與所連接的客戶端或者服務(wù)器之間的MAC地址綁定；

④PC1 可以訪問 S1、S3、S4；

⑤PC2 可以訪問 S2、S3、S4；

⑥PC3 可以訪問 S1、S2、S3、S4；

⑦PC1、PC2、PC3 之間不能互訪；

⑧S1、S2、S3 之間不能互訪；

九 S1、S2、S3 均能訪問 S4。

配制流程：

①在Sw itch1上創(chuàng)建業(yè)務(wù)需要的vlan：

（2）在Sw itch2上創(chuàng)建業(yè)務(wù)需要的vlan：

（3）每個端口都設(shè)置為Hybrid狀態(tài)：

（4）設(shè)置該端口所屬的pvid等于該端口所屬的vlan:

（5）將希望可以互通的端口的pvid vlan設(shè)置為untagged vlan,這樣從該端口發(fā)出的廣播幀就可以到達本端口：

（6）對端口進行隔離：

（7）綁定該端口所連接計算機的MAC地址：

（8）對Sw itch1與Sw itch2連接的端口配制：

（9）以下各端口類似：

5 應(yīng)用擴展

上述例子是對實際環(huán)境中的局域網(wǎng)進行抽象而得出的典型結(jié)構(gòu)，一般對網(wǎng)絡(luò)安全要求較高的單位并不僅僅只依靠交換機來為局域網(wǎng)提供安全防護手段，往往還要結(jié)合其他設(shè)備。與網(wǎng)絡(luò)安全相關(guān)的設(shè)備眾多，例如：防火墻、入侵防御系統(tǒng)、身份認證系統(tǒng)等等。嚴密的交換機配置加上這些設(shè)備，能夠大大提高局域網(wǎng)的安全性。如圖2所示：

圖2 結(jié)合防火墻的訪問控制示意圖

交換機的安全配置是從數(shù)據(jù)鏈路層進行訪問控制的，如果結(jié)合更高層的設(shè)備可使防御更加立體。單位的局域網(wǎng)中在對交換機進行安全配置的同時，結(jié)合防火墻策略往往能收到更好的效果。如上圖所示，利用防火墻將客戶端及服務(wù)器端隔離開，在防火墻的配置中細分區(qū)域，梳理各區(qū)域間的訪問控制策略，比如可將服務(wù)器分為不同的類型，限制各服務(wù)器之間的非正常互訪；把客戶端分為不同的類型，隔離客戶端間的互訪，限制客戶端能訪問的服務(wù)器。

6 結(jié)束語

訪問控制策略作為網(wǎng)絡(luò)安全中的重要組成部分，隨著網(wǎng)絡(luò)應(yīng)用的深入，變得越來越詳盡，各種防御手段層出不窮，且呈現(xiàn)立體化的趨勢。本文僅結(jié)合筆者的工程經(jīng)驗提供一種運用于局域網(wǎng)的訪問控制手段以供大家探討。

[1]百度文庫專用虛擬局域網(wǎng)(PVLAN)技術(shù)與應(yīng)用.http://wenku.baidu.com/view/f6b068fb770bf78a65295491.htm l，2010-6-3

[2]支林仙.PVLAN技術(shù)在中小型園區(qū)接入網(wǎng)絡(luò)中的應(yīng)用[J].計算機與現(xiàn)代化,2007(6).

[3]華為技術(shù)有限公司.S3700HIV200R 001C00命令參考05.chm http://support.huawei.com/enterprise/docinforeader.action contentId=DOC0000701668&idPath=7919710|9856733|7923144|6691596,2013-4-10

[4]百度文庫華為交換機hybrid接口案例分析.http://wenku.baidu.com/view/5d2b5efcc8d376eeaeaa311a.htm l,2011-2-24