如何利用交换机端口隔离拒绝病毒入侵和传播
故障现象
单位局域网采用MyPower S3026G型号的普通楼层交换机,将位于大楼一、二、三层中的所有计算机全部连接起来,这些楼层交换机全部连接到单位的核心交换机中,核心交换机又通过天融信硬件防火墙与Internet网络进行了连接。由于单位交换机都支持即插即用功能,网络管理员对它们没有进行任何配置,就直接连接到局域网网络中; 在这种连接状态下,局域网中所有楼层的计算机相互之间都能访问,这样一来单位同事们经常利用局域网网络进行共享交流。
刚开始的时候,局域网运行一直很稳定;最近不知道由于什么缘故,单位所有计算机都不能通过局域网进行共享访问Internet网络了,不过相互之间它们却能够正常访问。
分析解决
对于这种故障现象,笔者想当然地认为问题肯定出在硬件防火墙或核心交换机上,而与普通计算机的上网设置以及网络线缆连通性没有任何关系;不过,当笔者断开所有楼层交换机以及单位的服务器或重要工作站,仅让一台工作状态正常的笔记本电脑与核心交换机保持连接时,该笔记本电脑却能够正常访问 Internet网络,显然核心交换机与硬件防火墙的工作状态也是正常的。那问题究竟出现在什么地方呢?
考虑到局域网中的所有计算机都不能上网,笔者估计可能出现了网络环路,或者存在类似ARP这样的网络病毒,只有这些因素才能造成整个局域网大面积不能正常上网。由于网络环路故障排查起来相对复杂一些,笔者打算先从网络病毒因素开始查起;想到做到,笔者立即与其他几个单位员工分头行动,使用最新版本的杀毒软件依次对每一台普通工作站进行病毒查杀操作;经过一番持久战,潜藏在局域网中的许多病毒的确被我们消灭干净了。原本以为解决了网络病毒,局域网不能上网的故障现象也应该自动消除了,可是重新将所有计算机接入到单位局域网中后,发现上述故障现象依然存在,难道这样的故障现象真的与网络病毒没有任何关系?
之后,笔者打算检查局域网中是否存在网络环路现象。经过仔细分析,笔者认为要是某个交换端口下面的子网络存在网络环路现象时,那么对应交换端口的输入、输出流量都应该很大才对;基于这样的认识,笔者立即进入单位局域网的核心交换机后台管理系统,利用该系统自带的诊断功能,对每一个交换端口进行了扫描检查,从反馈回来的结果中笔者发现每一个交换端口的输入、输出流量正常,这说明网络环路现象也不存在。
在万般无奈之下,笔者任意找了一台故障计算机,利用系统自带的ping、tracert等命令,对局域网网关地址进行了跟踪测试,结果发现系统竟然会去寻找一个并不存在的网关地址,显然计算机系统中存在网络病毒,那么为什么杀毒软件没有将这些病毒扫描出来呢?经过上网搜索,笔者得知网络存在一种特殊的网络病毒,它们专门修改局域网的网关地址,造成计算机无法上网,并且这种网络病毒可以躲避杀毒软件的“围剿”,这也是我们使用杀毒软件没有找到该网络病毒的原因。后来,笔者按照网上提供的方案将该网络病毒清除后,故障计算机果然能够正常上网了;按照相同的处理方法,其他计算机无法上网故障一一被解决了。
深入应对
虽然上述故障已经被解决了,但是该局域网无法阻止网络病毒大面积传播的事实,警醒了笔者和同事;为了提升网络运行安全性,确保网络运行稳定性,笔者决定对单位局域网组网方式进行适当调整,以便让每个楼层的交换端口相互隔离,从而拒绝网络病毒在局域网中的快速传播。
由于MyPower S3026G型号的交换机共包含26个交换端口,笔者打算使用每个楼层交换机的25、26两个端口,级联到单位局域网的核心交换机上,其他的交换端口全部设置为隔离端口,单位中的所有普通计算机全部连接到隔离端口上,那样一来局域网中的所有普通计算机之间就只能通过核心交换机访问Internet网络,它们相互之间就不能进行访问了,这样可以保证网络病毒无法大面积传播了。考虑到单位局域网中还有一些服务器和重要工作站,为了让普通用户能访问到它们,笔者决定将核心交换机的1、2、3、4、5、6端口设置为共享端口,这些端口连接单位服务器或重要工作站,25、26两个端口作为上行连接端口,用于连接局域网中的硬件防火墙,其他交换端口设置为隔离端口,全部用来连接
普通的楼层交换机或者普通计算机。
基于这样的思路,笔者使用百兆双绞线将位于大楼一、二、三层中的楼层交换机上行端口,全部连接到核心交换机的7-24端口上,将核心交换机的上行端口连接到天融信硬件防火墙的接口上,将单位中的重要工作站和各种服务器连接到核心交换机的1、2、3、4、5、6端口上,以便让所有普通的计算机都能共享访问到,所有计算机都位于同一个网段之中。
在完成上面的物理连接之后,笔者使用MyPower S3026G交换机自带的控制线缆连接到核心交换机后台管理系统,同时进入该系统的全局配置状态,在该状态下执行字符串命令“isolate-port allowed ethernet 0/0/1-6;25;26”,将核心交换机的1、2、3、4、5、6端口设置为共享端口,将25、26两个端口作为上行连接端口;接着切换进入指定网段,例如假设执行“vlan 10”字符串命令,将交换机切换到vlan 10网段配置状态,再执行字符串命令“switchport interface ethernet 0/0/1-26”,将核心交换机的其他交换端口配置成隔离端口,之后依次执行“exit”、“write”命令,完成上述配置的保存操作,最后使用 “reload”命令完成上述配置的重新加载工作,那样一来核心交换机的各项配置就能正式生效了。
按照同样的操作方法,在普通楼层交换机的全局配置状态下,执行“isolate-port allowed ethernet 0/0/25;26”字符串命令,将楼层交换机的25、26两个端口设置为上行端口,执行“switchport interface ethernet 0/0/1-26”字符串命令,将其他端口全部设置为隔离端口,最后再加载、保存好上述交换配置。
经过上述重新连接以及交换配置操作后,局域网中的所有普通用户只能通过局域网访问Interent网络,同时也能够访问局域网中的服务器或重要工作站,但是不能访问其他普通计算机,而局域网中的服务器或重要工作站却能够访问所有普通计算机,如此一来日后普通计算机中即便存在网络病毒,也不会通过网络发生大面积的病毒传播,那么局域网网络的运行安全性就能得到保证了,同时网络访问更加畅通了。