如何利用交換機端口隔離拒絕病毒入侵和傳播

 　　故障現象

　　單位局域網采用MyPower S3026G型號的普通樓層交換機，將位於大樓一、二、三層中的所有計算機全部連接起來，這些樓層交換機全部連接到單位的核心交換機中，核心交換機又通過天融信硬件防火牆與Internet網絡進行了連接。由於單位交換機都支持即插即用功能，網絡管理員對它們沒有進行任何配置，就直接連接到局域網網絡中; 在這種連接狀態下，局域網中所有樓層的計算機相互之間都能訪問，這樣一來單位同事們經常利用局域網網絡進行共享交流。

　　剛開始的時候，局域網運行一直很穩定;最近不知道由於什麼緣故，單位所有計算機都不能通過局域網進行共享訪問Internet網絡了，不過相互之間它們卻能夠正常訪問。

　　分析解決

　　對於這種故障現象，筆者想當然地認為問題肯定出在硬件防火牆或核心交換機上，而與普通計算機的上網設置以及網絡線纜連通性沒有任何關系;不過，當筆者斷開所有樓層交換機以及單位的服務器或重要工作站，僅讓一台工作狀態正常的筆記本電腦與核心交換機保持連接時，該筆記本電腦卻能夠正常訪問 Internet網絡，顯然核心交換機與硬件防火牆的工作狀態也是正常的。那問題究竟出現在什麼地方呢?

　　考慮到局域網中的所有計算機都不能上網，筆者估計可能出現了網絡環路，或者存在類似ARP這樣的網絡病毒，只有這些因素才能造成整個局域網大面積不能正常上網。由於網絡環路故障排查起來相對復雜一些，筆者打算先從網絡病毒因素開始查起;想到做到，筆者立即與其他幾個單位員工分頭行動，使用最新版本的殺毒軟件依次對每一台普通工作站進行病毒查殺操作;經過一番持久戰，潛藏在局域網中的許多病毒的確被我們消滅干淨了。原本以為解決了網絡病毒，局域網不能上網的故障現象也應該自動消除了，可是重新將所有計算機接入到單位局域網中後，發現上述故障現象依然存在，難道這樣的故障現象真的與網絡病毒沒有任何關系?

　　之後，筆者打算檢查局域網中是否存在網絡環路現象。經過仔細分析，筆者認為要是某個交換端口下面的子網絡存在網絡環路現象時，那麼對應交換端口的輸入、輸出流量都應該很大才對;基於這樣的認識，筆者立即進入單位局域網的核心交換機後台管理系統，利用該系統自帶的診斷功能，對每一個交換端口進行了掃描檢查，從反饋回來的結果中筆者發現每一個交換端口的輸入、輸出流量正常，這說明網絡環路現象也不存在。

　　在萬般無奈之下，筆者任意找了一台故障計算機，利用系統自帶的ping、tracert等命令，對局域網網關地址進行了跟蹤測試，結果發現系統竟然會去尋找一個並不存在的網關地址，顯然計算機系統中存在網絡病毒，那麼為什麼殺毒軟件沒有將這些病毒掃描出來呢?經過上網搜索，筆者得知網絡存在一種特殊的網絡病毒，它們專門修改局域網的網關地址，造成計算機無法上網，並且這種網絡病毒可以躲避殺毒軟件的“圍剿”，這也是我們使用殺毒軟件沒有找到該網絡病毒的原因。後來，筆者按照網上提供的方案將該網絡病毒清除後，故障計算機果然能夠正常上網了;按照相同的處理方法，其他計算機無法上網故障一一被解決了。

　　深入應對

　　雖然上述故障已經被解決了，但是該局域網無法阻止網絡病毒大面積傳播的事實，警醒了筆者和同事;為了提升網絡運行安全性，確保網絡運行穩定性，筆者決定對單位局域網組網方式進行適當調整，以便讓每個樓層的交換端口相互隔離，從而拒絕網絡病毒在局域網中的快速傳播。

　　由於MyPower S3026G型號的交換機共包含26個交換端口，筆者打算使用每個樓層交換機的25、26兩個端口，級聯到單位局域網的核心交換機上，其他的交換端口全部設置為隔離端口，單位中的所有普通計算機全部連接到隔離端口上，那樣一來局域網中的所有普通計算機之間就只能通過核心交換機訪問Internet網絡，它們相互之間就不能進行訪問了，這樣可以保證網絡病毒無法大面積傳播了。考慮到單位局域網中還有一些服務器和重要工作站，為了讓普通用戶能訪問到它們，筆者決定將核心交換機的1、2、3、4、5、6端口設置為共享端口，這些端口連接單位服務器或重要工作站，25、26兩個端口作為上行連接端口，用於連接局域網中的硬件防火牆，其他交換端口設置為隔離端口，全部用來連接

　　普通的樓層交換機或者普通計算機。

　　基於這樣的思路，筆者使用百兆雙絞線將位於大樓一、二、三層中的樓層交換機上行端口，全部連接到核心交換機的7-24端口上，將核心交換機的上行端口連接到天融信硬件防火牆的接口上，將單位中的重要工作站和各種服務器連接到核心交換機的1、2、3、4、5、6端口上，以便讓所有普通的計算機都能共享訪問到，所有計算機都位於同一個網段之中。

　　在完成上面的物理連接之後，筆者使用MyPower S3026G交換機自帶的控制線纜連接到核心交換機後台管理系統，同時進入該系統的全局配置狀態，在該狀態下執行字符串命令“isolate-port allowed ethernet 0/0/1-6;25;26”，將核心交換機的1、2、3、4、5、6端口設置為共享端口，將25、26兩個端口作為上行連接端口;接著切換進入指定網段，例如假設執行“vlan 10”字符串命令，將交換機切換到vlan 10網段配置狀態，再執行字符串命令“switchport interface ethernet 0/0/1-26”，將核心交換機的其他交換端口配置成隔離端口，之後依次執行“exit”、“write”命令，完成上述配置的保存操作，最後使用 “reload”命令完成上述配置的重新加載工作，那樣一來核心交換機的各項配置就能正式生效了。

　　按照同樣的操作方法，在普通樓層交換機的全局配置狀態下，執行“isolate-port allowed ethernet 0/0/25;26”字符串命令，將樓層交換機的25、26兩個端口設置為上行端口，執行“switchport interface ethernet 0/0/1-26”字符串命令，將其他端口全部設置為隔離端口，最後再加載、保存好上述交換配置。

　　經過上述重新連接以及交換配置操作後，局域網中的所有普通用戶只能通過局域網訪問Interent網絡，同時也能夠訪問局域網中的服務器或重要工作站，但是不能訪問其他普通計算機，而局域網中的服務器或重要工作站卻能夠訪問所有普通計算機，如此一來日後普通計算機中即便存在網絡病毒，也不會通過網絡發生大面積的病毒傳播，那麼局域網網絡的運行安全性就能得到保證了，同時網絡訪問更加暢通了。