网络安全与物理网络基础配线

上海互惠信息技术有限公司 欧书云

上海财经大学 李钊轶

二、基础配线信息在网络安全中应用的几个实例

1、VLAN技术与网络配线

VLAN简单来说就是虚拟局域网，把一个物理局域网划分成多个互相之间具有访问限制规则的子网络。也就是可以把物理上连接在相同设备上的链路，从逻辑上划分成多个局域网。后来VLAN技术又有进一步发展，其中有VLAN stacking (or “Q-in-Q”)、VLAN swapping和VLAN stripping等。这些技术都是基于把一个物理局域网划分成多个逻辑子网，并进行管理的基础上附加更多的安全和管理机制。

虽然VLAN在提高传输效率、降低建设成本和访问安全性上功不可没，但在网络调试和网络设置中却增加了不少的麻烦。由于每个VLAN的IP地址、子网掩码和默认网关都不相同。所以，要求网络管理员必须制作一份非常完善的“配线表”，否则网络配置过程就将演变成一场灾难。另外，不同端口往往属于不同VLAN，跳线时如果插错了端口就无法实现与网络的通讯。因此，在VLAN划分完毕之后，一定要在配线间留一份“配线表”。在跳线时，注意查看交换机的端口号，以免出错。不妨以医院为例说明这一点。

医院会有较多的敏感部门和信息内容，如HIS的信息、RIS的信息、PACS的信息、图书杂志数据库信息、办公信息、需要与外网相交换的信息（如远程会诊信息）等。所以，根据不同的信息需要划分为多个不同的VLAN用来独立的交换各部分的信息，并需要设置相应的访问策略，以提高数据访问安全。不同VLAN的计算机均使用不同的IP地址段、子网掩码和默认网关，访问不同的数据。对于一个信息化程度高的医院来说，一间手术室需要至少5段VLAN分别用来交换HIS信息、RIS信息、PACS信息、办公信息和外网相交换信息。那么每个手术室至少就有5个上网端口模块分别连接五个需要交换相应不同数据的设备，以及这些模块在网络设备机房对应的5个不同VLAN的交换机端口（这里我们用交换机11~15号口来代表）。那么此时问题就产生了，如果交换机11到15号口跳线出现错误，例如相互连接顺序颠倒，那么本来需要访问办公信息的设备，无法获取病人数据信息，主刀医生不能确认病人的真实身份，就更无从谈起下手开刀了。如果开刀时需要调用RIS放射科信息时，由于12号口的错误会造成无法获取信息延误开刀进程。如果需要通过外网联系别家医院医生会诊协助开刀，由于15号口的错误致使连接错误无法汇诊等情况。那么这些将造成无法挽回的医疗事故。归根到底这些问题都是由“配线表”数据的不准确造成的。因为交换机的配置和现场跳线的顺序都是根据“配线表”的数据来做的，如果“配线表”数据不准确那么所有工作都不准确，一步错满盘皆错。

2、Telnet传输控制协议与网络配线

在网络的实际使用过程中，对交换机端口进行重新配置是非常正常的事。（例如：办公室变更、人员调整等）往往网管人员在遇到这类问题时都是坐在办公室内，通过办公室电脑利用telnet协议远程登录到相应交换机对其相应端口进行配置，这样做既便捷又轻松。但是此时的便捷和轻松都是建立在准确的“配线表”数据的基础之上，如果配线表数据不准确，那么管理员就只有背着笔记本，拿着测线仪器到机房去核实配线信息后，再能进行交换机配置调整工作。那么此时工作的复杂程度往往是难以预料的。不过这还不是最糟糕的情况，如果工作人员错误的将数据不准确的“配线表”当作是准确数据来处理，并对交换机做出配置调整后，将会造成不同程度的安全隐患。例如：某宾馆101房间和102房间的IPTV端口分别是连接的是交换机1号口和2号口。但是“配线表”数据错误的记录了101房间的端口连接到了2号口上，而102房间的端口连接到了1号口上。此时如果101的房间需开通免费IPTV服务，但是工作人员错误的将“配线表”数据作为准确数据来远程Telnet配置的话，就会错误的为102房间开通免费IPTV服务。由此造成安全上、经济上和服务信誉上的损失是无法估量的。如果此类问题发生在医院、电信、银行等敏感部门，将造成更无法挽回的损失。

3、广播风暴和网络配线

网络上运行的协议本身会有很多这样那样的缺陷，使用者使用这些技术和协议时也不可能考虑的面面俱到，总会给网络带来许多安全隐患。广播风暴就是其中一种。指当主机系统响应一个在网上不断循环的报文分组或者试图响应一个没有应答的系统时就会发生广播风暴。这时，请求或者响应分组源源不断地产生出来，这会使情况变得非常糟糕。随着网络上分组数目的增加，拥塞会随之出现，从而降低网络的性能直致使整个网络陷入瘫痪。网络风暴是一种非常严重的网络安全问题。造成广播风暴的主要原因有以下几点：

网络设备故障：在我们购买网络设置时，不要将智能型的Hub误当成交换机。这样，在网络稍微繁忙的时候，肯定会产生广播风暴了。

网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，产生了广播风暴。由于网卡物理损坏引起的广播风暴，故障比较难排除，由于损坏的网卡一般还能上网，我们一般借用Sniffer局域网管理软件，查看网络数据流量，来判断故障点的位置。

网络环路：这种情况是一个很可笑的错误，但在实际情况中却普遍存在，一条双绞线，两端插在同一个交换机的不同端口上，导致了网络性能急骤下降，打开网页都非常困难。这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中。

网络病毒：目前，一些比较流行的网络病毒，Funlove、震荡波、RPC等病毒，一旦有机器中毒后，会立即通过网络进行传播。网络病毒的传播，就会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。

黑客软件的使用：目前，一些上网者，经常利用网络执法官、网络剪刀手等黑客软件，对内部网络进行攻击，由于这些软件的使用，网络也可能会引起广播风暴。

根据网络风暴的起因和性质来分析，解决此类问题的办法有以下几点：

A、有效分割过大网络，使广播包只在有限的范围内传播。

B、使用网关，对数据包进行分拣。

C、使用路由器，隔离不同的子网。

D、保证链路的准确，防止环路产生。

E、网络组建时，对设备质量严格把关

F、网络中的防火墙系统建设，以应对日趋发展的网络病毒和黑客软件。

那么广播风暴和网络基础配线信息之间有哪些关系呢？根据解决方法A的描述“有效分割过大网络，使广播包只在有限的范围内传播”指的就是将一个过大网络逻辑上划分为多个VLAN，使广播包只在有限的范围内传播。从上文可知，配线表和VLAN的关系是密不可分的，由此可知配线表对于广播风暴的控制和管理是必须的。从解决方法D来分析可知，“保证链路的准确，防止环路产生”其实就是指要保证“配线表”数据的准确性，因为“配线表”实际上就是网络链路关系的表格，其中的数据分别代表着网络链路里各个节点的对应关系，只要对应关系准确了就不会出现环路这种低级的人为错误。当然对于非常庞大和复杂的网络规模来说还是需要一套配线表管理系统来协助判断是否出现环路。防止广播风暴的其它各个方法中所涉及到的网络部件，如：防火墙、路由器、网关等的有效和及时的管理都要依赖于准确的网络物理配线信息。

网络风暴其实是一个非常综合的网络问题，它的管理和控制手段也涉及到网络管理的各个方面。从它的管理、预防和解决手段不难看出，网络基础配线信息的有效管理其实是非常基础的管理需求。在网络越来越复杂的今天，我们必须给网络基础配线足够的重视。

4、配线表和人为安全隐患

我们在这里涉及到的人为安全隐患指的是由于多人协作、人员变动或人事调整等情况所造成的网络安全问题。

对于一个经验丰富的网络主管人员来说，任何网络硬件、软件、维护、建设等问题都是可以解决的，但是网管人员的素质或人事变动调整等问题才是如今网络中一直无法真正攻克的难题。

总体上来分析这些人员问题所能造成的最大隐患其实就是会影响到“配线表”数据的准确性。而从上文来看“配线表”数据的准确性又涉及到整个网络的安全性，可以说是网络状况“健康程度”的标准，所以人为因素将直接影响到整个网络的安全性。

那么为什么“配线表”数据的准确性问题是人员问题所能造成的最大隐患呢？这是由于现今网络的“配线表”数据基本都是人员手工的方式提供的，它的内容是随着网络的扩建、维护、发展逐步发生变化的数据，它的准确性与否很大程度上依赖于网管人员的工作态度和个人素质。并且，“配线表”数据的问题又是一种隐性问题，它并不会立即被发现，而是经过时间的流逝逐步暴露出来。往往这类问题就像温水里煮青蛙，慢慢致命，一旦发生将无法挽回。

下面我就举例说明人为因素如何造成网络安全性问题。某大学网络中心管理员小李和小王是学校网络现场工程师，小李负责全校教师网络，小王负责全校学生网络的日常建设和维护工作。小李为人稳重，工作责任心强，每次在日常工作后都会将所有的工作内容写成日志留下文档并调整 “配线表”中由于工作而变更的数据以保证其准确性，为日后的工作做好数据基础，避免不必要的麻烦。但是小李由于个人性格问题无法融入整个工作团队中，且和部门领导关系一直处于僵持状态。小王性格开朗和所有同事关系都很融洽，且为人聪明能干，工作效率高，一般遇到重大网络建设工程都依赖小王处理。但是小王过于自负，基本不做日常工作数据积累，“配线表”的文档也就只有原始建设数据从来不根据实际情况做出调整，一切问题都只依赖于自己的小聪明来解决，虽然问题都能暂时缓解但是逐步影响到整个网络的安全性。随着时间的推移，突然有一天小李提出了辞职申请，且由于人际关系问题他的离职带走了自己所有的工作文档，使整个教师网络陷入非常尴尬的安全危机。临危新聘的工作人员根本连现场网络机房在哪里都搞不清楚就更别谈接手工作了。小王也终于有一天因为“配线表”数据的不准确而造成的错误操作，使得整个学生网络瘫痪，影响在校学生的日常上课和学习，造成重大教学事故。仅仅是由于两个工作人员的个人问题使得整个学校的网络岌岌可危，像这样类似的问题在许多单位许多场合都普遍存在，是很值得人们深思的。

5、其他

当然，网络基础配线不仅仅和网络安全有着重要的联系，还与网络维护人员的日常所有工作有着直接的影响。笔者亲历了很多由于缺少基础配线信息而造成的各种事故。某全国知名大学新盖的大楼，第一次入住办公室的老师都能轻松地得到网络服务。而后不久，由于人士变动，对网络连接都有新的要求，要添加新的节点或更改节点的属性。这时候问题来了，网络管理员根本不知道机房内哪些节点是连接到这些办公室的。万不得已的情况下，又从机房沿着墙角重新拉了几根线到办公室。这样的例子不胜枚举，即使在电信、网通等大公司内也是经常发生的。

本文发表于开放系统世界《嵌入式系统于软件》杂志总第37期