网络安全与物理网络基础配线

网络已经成为人们生活中不可或缺的东西。看看上海的高楼大厦，几乎所有的大厦中，都有无数看不见的网络线路正在"流淌"着各种各样的信息流。这些信息流有关系国计民生的，有关系社会发展的，有关系党和国家利益的，有关系国家安全的……它们都安全吗?现在是否有有效的手段对这些信息脉络进行管理呢?这些就是人们天天要考虑的网络安全问题。

一说到网络安全，大部分人首先想到的是投入巨资来购买高级的防火墙软硬件，这是无可厚非的。然而，绝大多数的用户却对网络最基础设施——线路，投入很少的关注，这无疑是不应该的。大量的事实表明，绝大多数的网络安全事故来自网络内部。大量的精力需要被投入到内部的网络管理上，尤其是线路管理，才能使许多网络安全问题迅速被管理和控制起来，而不是无时无刻地有问题需要解决。

毫不夸张地说，90％以上的公司没有完整的网络基础配线信息，没有最新的网络基础配线信息。读者可以随便问一个公司的网络管理员，能不能随时说出某个模块端口连接到哪个配线架端口，又连接到哪个交换机端口，它的状态如何，估计没人能给出准确回答，这个问题就直接导致了大量的网络安全隐患。本文将简单列举几个与基础配线信息相关的网络安全问题。然后分析基础配线信息的管理有哪些困难，以及有哪些最新的技术被用于解决这些问题。不过，在此之前要先介绍一下什么是"配线表"以及它的重要性。

物理网络基础配线信息

"物理网络配线信息"在许多场合被称为"综合布线工程配线表"(以下简称"配线表")是由网络建设施工单位在整个网络建设完成后，所交付给使用单位或用户的布线链路数据表。这份数据是施工验收的重要数据依据。重大国家建设项目的这些配线信息要和其它重要基础数据一起提交给国家档案馆或当地政府档案管理部门归档管理。但广义上的物理网络配线信息远不止这些，它不仅包含许多工程级别的不动的配线信息表，也包含许多变动的网络实际使用过程中的配线信息表。这里都统称为"配线表"。

"配线表"的内容看起来非常简单。就是网络配线关系的表格，这些数据分别代表着网络链路里各个节点的对应关系。通过配线表，网络管理技术人员可以很轻松地获取每个设备端口、配线架端口、模块端口之间的链路关系。

基础配线信息在网络安全中应用的几个实例

1．VLAN技术与网络配线

VLAN简单来说就是虚拟局域网，把一个物理局域网划分成多个互相之间具有访问限制规则的子网络。即可以把物理上连接在相同设备上的链路，从逻辑上划分成多个局域网。这些技术都是基于把一个物理局域网划分成多个逻辑子网，并进行管理的基础上附加更多的安全和管理机制。

虽然VLAN在提高传输效率、降低建设成本和访问安全性上功不可没，但在网络调试和网络设置中却增加了不少麻烦。由于每个VLAN的IP地址、子网掩码和默认网关都不相同。所以，要求网络管理员必须制作一份非常完善的"配线表"，否则网络配置过程就将演变成一场灾难。另外，不同端口往往属于不同VLAN，如果跳线时插错了端口就无法实现通信。因此，在VLAN划分完毕之后，一定要在配线间留一份"配线表"。在跳线时，注意查看交换机的端口号，以免出错。不妨以医院为例说明这一点。

医院会有较多的敏感部门和信息内容，如HIS的信息、RIS的信息、PACS的信息、图书杂志数据库信息、办公信息、需要与外网相交换的信息(如远程会诊信息)等。所以，需要根据不同的信息划分多个不同的VLAN以独立地交换各部分的信息，并需要设置相应的访问策略，以提高数据访问安全。不同VLAN的计算机均使用不同的IP地址段、子网掩码和默认网关，访问不同的数据。对于一个信息化程度高的医院来说，一间手术室需要至少5段VLAN分别用来交换HIS信息、RIS信息、PACS信息、办公信息和外网相交换信息。那么，每个手术室至少就有5个上网端口模块分别连接5个需要交换相应不同数据的设备，以及这些模块在网络设备机房对应的5个不同VLAN的交换机端口(这里用交换机11号～15号口来代表)。那么此时问题就产生了，如果交换机11号到15号口跳线出现错误，例如相互连接顺序颠倒，那么本来需要访问办公信息的设备，无法获取病人数据信息，主刀医生不能确认病人的真实身份，就更无从谈起下手开刀了。如果开刀时需要调用RIS放射科信息时，由于12号口的错误会造成无法获取信息延误开刀进程。如果需要通过外网联系别家医院医生会诊协助开刀，由于15号口的错误致使连接错误无法汇诊等情况。那么这些将造成无法挽回的医疗事故。归根到底这些问题都是由"配线表"数据的不准确造成的。因为交换机的配置和现场跳线的顺序都是根据"配线表"的数据来做的，如果"配线表"数据不准确。所有工作都不准确，一步错，满盘皆错。

2．Telnet传输控制协议与网络配线

在网络的实际使用过程中，对交换机端口进行重新配置是非常正常的事(例如：办公室变更、人员调整等)。往往网管人员在遇到这类问题时都是坐在办公室内，通过办公室电脑利用Telnet协议远程登录到相应交换机对其相应端口进行配置，这样做既便捷又轻松。但是此时的便捷和轻松都是建立在准确的"配线表"数据基础之上的，如果配线表数据不准确，那么管理员就只有背着笔记本，拿着测线仪器到机房去核实配线信息后，再能进行交换机配置调整工作。那么，此时工作的复杂程度往往是难以预料的。不过这还不是最糟糕的情况，如果工作人员错误地将数据不准确的"配线表"当作是准确数据来处理，并对交换机做出配置调整后，将会造成不同程度的安全隐患。例如：某宾馆101房间和102房间的IPTV端口分别是连接的是交换机1号口和2号口。但是"配线表"数据错误的记录了101房间的端口连接到了2号口上，而102房间的端口连接到了1号口上。此时如果101的房间需开通免费IPTV服务，但是工作人员错误的将"配线表"数据作为准确数据来远程Telnet配置的话，就会错误的为102房间开通免费IPTV服务。由此造成安全上、经济上和服务信誉上的损失是无法估量的。

3．广播风暴和网络配线

网络上运行的协议本身会有很多这样那样的缺陷，使用者使用这些技术和协议时也不可能面面俱到，总会给网络带来许多安全隐患。广播风暴就是其中一种。广播风暴指当主机系统响应一个在网上不断循环的报文分组或者试图响应一个没有应答的系统时就会发生广播风暴。这时，请求或者响应分组源源不断地产生出来，这会使情况变得非常糟糕。随着网络上分组数目的增加。拥塞会随之出现，从而降低网络的性能直至使整个网络陷入瘫痪。网络风暴是一种非常严重的网络安全问题。造成广播风暴的主要原因有以下几点：

网络设备故障：在购买网络设置时，不要将智能型的HUB误当成交换机。否则，在网络稍微繁忙的时候，肯定会产生广播风暴了。

网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，产生了广播风暴。由于网卡物理损坏引起的广播风暴，故障比较难排除。因为损坏的网卡一般还能上网，管理员常常借用Sniffer局域网管理软件查看网络数据流量，以此来判断故障点的位置。

网络环路：这种情况是一个很可笑的错误，但在实际情况中却普遍存在。一条双绞线，两端插在同一个交换机的不同端口上，导致了网络性能急剧下降，打开网页都非常困难。这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端同时接在了一台网络设备中。

网络病毒：Funlove、震荡波、RPC等是目前比较流行的网络病毒。一旦有机器中毒后，会立即通过网络进行传播。网络病毒的传播会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。

黑客软件的使用：目前，一些上网者经常利用网络执法官、网络剪刀手等黑客软件，对内部网络进行攻击，这些软件的使用也可能会引起网络的广播风暴。 

根据网络风暴的起因和性质来分析，解决此类问题的办法有以下几点：

A．有效分割过大网络，使广播包只在有限的范围内传播；

B．使用网关，对数据包进行分拣；

C．使用路由器，隔离不同的子网；

D．保证链路的准确，防止环路产生；

E．网络组建时，对设备质量严格把关；

F．网络中的防火墙系统建设，以应对日趋发展的网络病毒和黑客软件。

那么，广播风暴和网络基础配线信息之间有哪些关系呢?根据解决方法A的描述，"有效分割过大网络，使广播包只在有限的范围内传播"指的就是将一个过大网络逻辑上划分为多个VLAN，使广播包只在有限的范围内传播。从上文可知，配线表和VLAN的关系是密不可分的，由此可知配线表对于广播风暴的控制和管理是必须的。对解决方法D分析可知，"保证链路的准确，防止环路产生"其实就是指要保证"配线表"数据的准确性，因为"配线表"实际上就是网络链路关系的表格，其中的数据分别代表着网络链路里各个节点的对应关系，只要对应关系准确了，就不会出现环路这种低级的人为错误。当然，对于非常庞大和复杂的网络规模来说还是需要一套配线表管理系统来协助判断是否出现环路。防止广播风暴的各个方法中涉及到的网络部件，如：防火墙、路由器、网关等的有效和及时的管理都要依赖准确的网络物理配线信息。

网络风暴其实是一个非常综合的网络问题，它的管理和控制手段也涉及到网络管理的各个方面。从它的管理、预防和解决手段不难看出，网络基础配线信息的有效管理其实是非常基础的管理需求。在网络越来越复杂的今天，必须给网络基础配线以足够的重视。

来源：中电网