端口隔离

校园网中跨交换机的端口隔离应用研究--以滁州学院校园网为

例

祁辉;赵生慧;邵雪梅

【摘要】在校园网中，最为常见的故障是用户频繁掉线、网速变慢甚至不能正常

上网。引起这些故障最常见的原因就是ARP欺骗攻击人机围棋 、非法DHCPServer等，

端口隔离技术是解决此类问题的有效方式。在分析常规端口隔离存在的问题基础上，

应用跨交换机的端口隔离技术解决校园网中存在的以上池塘 问题。

【期刊名称】《滁州学院学报》

【年(卷),期】2015(000)005

【总页数】3页(P49-51)

【关键词】端口隔离;VLAN;校园网

【作者】祁辉;赵生慧;邵雪梅

【作者单位】滁州学院计算机与信息工程学院安徽滁州239000;滁州学院计算机

与信息工程学院安徽滁州239000;滁州学院计算机与信息工程学院安徽滁州

239000

【正文语种】中文

【中图分类】TP393.1

目前，滁州学院校园网主要由学生宿舍有线网和办公网两个局域网组成，随着高校观摩是什么意思

校园网络规模的不断扩大，尤其是学生宿舍网络用户数量的剧增，给整个校园网络

带来更多的安全隐患。在校学生有16000多人，每个学生在宿舍区都拥有一个独

立的网络信息点，学生通过802.1X客户端的方式认证接入校园网。在学生宿舍区

每一层楼被划分为一个小局域网，每个小局域网内，通过DHCP动态分配一个或

两个C类的私有地址。

滁州学院的学生宿舍有线网络采用基于802.1X协议的客户端认证方式，在一定程

度上杜绝了学生使用桌面路由器来搭建非法的DHCPServer，但一些用户的主机

仍然有成为非法DHCPServer的可能，从而导致同一VLAN下的一些用户不能正

常获得合法的DHCP地址。同时，局域网中如有主机感染了ARP病毒，会不断的

以广播或单播的形式伪造ARP报文，引起ARP欺骗攻击等，从而导致用户频繁掉

线、网速变慢甚至网络中断等网络故障。对于解决上述问题，各高校使用较广泛的

就是端口隔离技术。笔者结合日常网络运维经验，研究应用跨交换机的端口隔离方

式，来减少网络中的ARP欺骗攻击和非法DHCPServer等隐患问题，阻止局域

网内主机之间的数据传送，将攻击行为扼杀在交换机的每个接入端口中，从而保障

网络的稳定运行。

2.1ARP攻击原理

ARP(AddressResolutionProtocol缩写)协议即地址解析协议，其基本功能是通

过目的主机的IP地址，查询出目的主机的MAC地址，以保证主机间可靠快速的

通信[1]。ARP攻击从本质上看是攻击者利用ARP协议的无状态性及通信是建立

在信任基础上的等缺陷，来发布虚假的ARP报文，从而影响局域网中主机间的通

信，达到攻击的目的。

攻击者通过伪装ARP应答，提供一个错误的IP地址与MAC地址的映射关系，而

使得信息流向本来并不存在的病毒主机[2]，并不停地广播到网络中，从而修改主

机的ARP缓存表，让被欺骗的主机向假网关发送数据，从影响主机的正常通信，

[3]如图1所示。

2.2端口隔离技术

端口隔离技术是一种为实现交换机端口所接计算机之间通信进行二层隔离的技术

[4]，配合VLAN使用，可以实现同一VLAN内端口的二层广播数据隔离[5]。通过

端口隔离技术，交换机的下联端口之间不允许通信，阻断了局域网内部的通信，有

效地阻止了ARP攻击和非法DHCP报文的发送，保证了网络的正常运行，为校园

网提供了更为安全和灵活的组网方案。

2.3端口隔离技术实现

我校校园网使用的交换机品牌和型号较多，主要包括了华为、中兴、H3C、思科、

锐捷和Juniper等多家品牌的多种型号，不同品牌的不同型号的交换机端口隔离实

现起来也有所不同，这里主要总结了三类交换机的端口隔离方法，分别是基于物联

接口的端口隔离、基于VLAN的端口隔离和hybrid端口隔离[6]，具体支持命令

需要查看相应设备的技术文档。

3.1常规端口隔离的弊端

在校园网中，海边的英文 端口隔离技术主要作用是隔离同一局域网中各主机之间的通信，但在

我校的实际环境中起到的效果并不彻底。如图2所示为我校学生宿舍区域的简单

网络拓扑示意图。

接入交换机和楼层汇聚交换机(图中虚线框内)的所有用户接口均属于同一VLAN，

同时，楼层汇聚交换机(类似S3等)又将多台接入交换机(类似S1、S2等)汇聚后上

联至楼栋汇聚交换机(类似S5等)，之后楼栋汇聚交换机再接入核心交换机。常规

的端口隔离一般配置在交换机的用户接口上，即如图2中所示类似S1的E1口和

E2口。此种配置方式，可以有效的实现同一交换机上的两个端口之间的互相隔离，

例如交换机S1上的主机PC1和PC2是相互隔离的，交换机S2上的主机PC3和

PC4也是相互隔离的。接入交换机与楼层汇聚交换机之间是通过Trunk口互联，

而Trunk口的作用就是保证在跨越多个交换机上建立的同一个VLAN的成员能够

相互通讯，这也就决定了接入交换机如S1和S2通过Trunk口与楼层汇聚交换机

S3互联后，位于同一VLAN的主机PC1与PC3或PC4之间可以相互通信，相应

的，交换机S1上的用户均可实现与交换机S2上的用户之间的通信，也就不能实

现有效的用户隔离，从而，也就达不到防ARP欺骗攻击等的效果。

3.2跨交换机端口隔离实现

针对常规的端口隔离存在跨交换机通过Trunk口互联后就不能有效隔离的问题，

笔者通过在不同层次交换机的用户口、上联口、下联口等多种类型接口中配置端口

隔离来观察不同主机间、不同交换机间的连通性情况，通过测试发现可以通过逐层

配置隔离端口的方式来彻底实现同一局域网内各主机之间通信的相互隔离。

在接入层交换机，按常规的配置方式进行配置，即在用户的接入端口中配置端口隔

离；在接入交换机与楼层汇聚交换机互联时，把接入交换机当作是一台“主机”，

即在楼层汇聚交换机与其相连的接口(一般是Trunk模式)上配置端口隔离，从而实

现楼层汇聚所下联交换机之间的相互隔离；楼栋汇聚交换机的配置依次类推，配置

举例如下所示。

接入交换机S1的端口配置(以华为S2326TP-EI为例)：

配置E1和E2接口的端口隔离：

[S1]interfaceEthernet0/0/1

[S1-Ethernet0/0/1]port-isolateenablegroup1

[S1-Ethernet0/0/1]interfaceEthernet0/0/2

[S1-Ethernet0/0/2]port-isolateenablegroup1

配置级联口G1为Trunk口，并允许用户VLAN通过，不需要配置端口隔离：

[S1]interfaceGigabitEthernet0/0/1

[S1-GigabitEthernet0/0/1]portlink-typetrunk

[S1-GigabitEthernet0/0/1]porttrunkallow-passvlanall

类似的，对接入交换机S2进行相应的配置。

楼层汇聚交换机S3的端口配置(以华为S3328TP-EI为例)：

配置E1和E2接口：接口类型Trunk，允许相应的VLAN通过，并配置端口隔离：

[S3]interfaceEthernet0/0/1

[S3-Ethernet0/0/1]portlink-typetrunk

[S3-Ethernet0/0/1]porttrunkallow-passvlan

[S3-Ethernet0/0/1]port-isolateenablegroup1

[S3-Ethernet0/0/1]interfaceEthernet0/0/2

[S3-Ethernet0/0/2]portlink-typetrunk

[S3-Ethernet0/0/2]porttrunkallow-passvlan

[S3-Ethernet0/0/2]port-isolateenablegroup1

配置上联口G1：接口类型为Trunk，并允许相应VLAN通过，不需要配置端口隔

离：

[S3]interfaceGigabitEthernet0/0/1

[S3-GigabitEthernet0/0/1]portlink-typetrunk

[S3-GigabitEthernet0/0/1]porttrunkallow-passvlanall

至此，实现了位于同一楼层的局域网内的同一接入交换机所接用户之间和不同接入狗尾巴草的花语

交换机所接用户之间的有效隔离。同时，我校楼层交换机的管理IP地址属于同一

VLAN，例如S3及下联交换机和S4及下联交换机的管理IP是均属于同一个

VLAN，为了尽量增加端口隔离的效果，建议在楼栋汇聚交换机S5的下联口上配

置端口隔离策略，配置如下(以华为S5328C-EI-24S为例)：

[S5]interfaceGigabitEthernet0/0/1

[S5-GigabitEthernet0/0/1]portlink-typetrunk

[S5-GigabitEthernet0/0/1]porttrunkallow-passvlanall

[S5-GigabitEthernet0/0/1]port-isolateenablegroup1

对于楼栋汇聚交换机与核心交换机互连的接口，在端口隔离方面则不需要做特别的

设置。最终实现的各接口的端口隔离状态如图2中标识所示：交换机S1的用户口

为隔离状态，其上联口G1口为非隔离状态，与其互联的楼栋汇聚交换机S3的E1

口为隔离状态，其他交换机类似。通过这种逐层隔离的方式，基本可以完全实现同

一局域网中各主机摩羯座的爱情 之间的相互隔离，从而有效地阻止了ARP攻击和非法DHCP报

文的发送。

需要特别注意的是，每个交换机上联口一定不能设置为隔离状态，如图2中所标

识的交换机S1的G1口、交换机S2的G1口、交换机S3的G1口等，否则此交

换机上所有接入的用户或交换机均不能正常接入网络。

3.3实现效果分析

通过将跨交换机的端口隔离配置在校园网中实现，达到如下两个预期效果。

第一，实现了有效的二层隔离，网络数据流量更干净了：相比实施前所抓取的网络

数据包，实施后的数据包中异常的ARP数据包明显的大大减少。第二，用户报修

故障率明显降低：在实施后，网络用户的故障报修数量明显减少，同时在报修的故

障中因ARP欺骗引起的用户频繁掉线等故障也明确减少。但是，由于端口隔离会

造成局域网端口之间的通讯不能进行，例如在局域网之间进行文件共享等会受到限

制。从整体的效益来看，端口隔离对整个校园网的作用是利祝你生日快乐英文 大于弊的。

对于目前三层架构的校园网来说，端口隔离是在用户接入层设备上比较有效且易行

的解决ARP攻击和非法DHCPServer问题的一种技术，其会将病毒攻击范围缩

小到了一个接入交换机端口之内，确保了校园网大环境的网络正常运行，一定程度

上减少了网络管理人员的工作量。

随着校园网络技术的不断发展，将会有更多的方式与方法来解决校园网中存在的各

种问题，例如运营商网络中被广泛使用的扁平化网络加QinQ技术，将会更进一

步的来解决因ARP攻击等问题，这就要求网络管理员与时俱进，不断探索新技术，

解决新问题。

【相关文献】

[1]吴哲.校园网ARP欺骗及攻击和安全防范措施[J].现代企业教育,2013,2:131-132.

[2]杨剑.高校校园网ARP攻击防御研究[J].信息系统工程,2013,5(20):81.

[3]覃仲宇.基于DHCPSnooping的校园网ARP防范研究.电脑知识与技,2014,10(19):4438-

4441.

[4]谷安琪.端口隔离在企业网络安全中的研究[J].科技与企业，2014,08(257):121.

[5]苏宁.端口隔离技术在校园网实用性应用研究[J].电脑知识与技术,2012,8(21):5074-5075.

[6]李梅,梁岸兵.端口隔离在校园网中的实施和分析[J].电脑知识与技术,2010,6(6):1307-1308.