一種解決內外網間橋接或環路問題的方法

王栗根

【摘要】 在部署有內網和外網兩套網絡的政企單位，極易發生內外網插口意外橋接或環路的情況。為了解決處于內、外網兩個網絡間的橋接和環路對網絡信息安全和網絡性能的嚴重負面影響，提出基于生成樹協議（STP）和二層網絡訪問控制列表的解決方法。通過在單位信息機房內、外網兩個網絡的二層匯聚交換機之間互通生成樹的網橋協議數據單元（BPDU），同時又借助二層訪問控制列表限制該條鏈路不能構成兩個不同網絡間的信息通道的方法較圓滿的解決了這一網絡隱患。

【關鍵詞】 環路 生成樹協議（STP） 訪問控制列表（ACL） 網橋協議數據單元（BPDU）

引言

當前，整個社會已步入信息化時代，廣大政府、企事業單位、各類組織團體越來越依賴于計算機網絡開展自己的業務活動。但因單位內部對辦公室內的網絡環境管理不善，極易發生小交換機和無線路由器泛濫、網線亂接亂插的情況。尤其是在廣大政府、事業單位的信息化網絡應用環境中，普遍會有內網和外網的區分，各辦公室的墻上有內、外網兩套網絡插口。外網用于連接訪問互聯網，內網則是內部的業務網絡，要與互聯網進行隔離?；靵y的辦公室網絡環境中一但發生內、外兩個網絡間的橋接或環路則會比單一網絡環境引發更為復雜的問題。一方面是環路會造成廣播風暴，嚴重時會使整個網絡陷入癱瘓；另一方面兩網間的橋接會破壞內網與互聯網隔離的要求，引發網絡信息安全的隱患或事故。因此，政府部門除開展辦公室網絡使用環境的整治、加強管理力度以外，很迫切的需要一種簡便易行的方法從技術的角度解決內、外網間的橋接或環路問題。

我們知道生成樹協議（STP）是應用于以太網中的一種鏈路管理協議，它能夠為網絡提供路徑冗余的同時有效防止環路的產生。本文的主要思路是研究一種在內、外網兩個不同網絡中合理利用STP技術，消除環路且避免兩個網絡間的互相橋接連通。而這就需要本文所討論的另一項網絡技術：訪問控制列表（ACL）[1]。

一、內、外網間橋接或環路的分析

1.1故障實例

某政府單位的網絡連接如圖1所示。該單位有互聯網（外網）和政務網（內網）兩套網絡，并分別擁有獨立的網絡設備和布線系統。主樓采用網線匯聚各樓層交換機，北樓和南樓采用樓間光纜實現和匯聚交換機的連接。在每個辦公室里，墻壁上安裝有雙口信息插座，可提供辦公室內的微機有選擇的接入外網或內網。外網對每個樓層劃分了VLAN及局域網地址段，內網因接入的微機較少未劃分VLAN且整體為一個地址段。

某日該單位反映其位于主樓五樓的某辦公室無法連接互聯網。網絡維護人員現場檢查時很意外的發現，從互聯網匯聚交換機上看該辦公室微機的MAC地址竟然從北樓與匯聚交換機的接口上來，而北樓的交換機是通過樓間光纜連接到匯聚交換機的。維護人員將這臺微機配置上北樓所屬的IP地址段居然還能正常上網！再進一步追蹤MAC地址來源甚至能確定到是從北樓接入層交換機一個具體接口上來的。毫無疑問主樓五樓辦公室的網線肯定是接入到了五樓的交換機，不可能有網線連接到北樓的交換機上，但這種不合常理的情況是如何發生的呢？后來經過維護人員追蹤MAC地址，核對端口與辦公室的對應資料，以及到北樓現場查看，最后終于弄清楚了本次故障發生的蹊蹺之處。故障發生時的網絡連接情況如圖2所示。

該故障發生時的奇怪現象主要兩個因素共同導致：

1、北樓某辦公室為圖方便將墻壁上內、外網兩個插口的網線接到同一臺小交換機上，而后不管內網微機還是外網微機都統統連到了這臺小交換機上。

2、主樓五樓反映故障的這間辦公室是將墻壁上政務網插口接了小交換機，又把需要上互聯網的微機（電腦A）接到小交換機上。

首先，電腦A由于實際接到了五樓政務網交換機上，當然使用五樓互聯網IP地址是無法上網的，同時在五樓互聯網接入交換機上也自然看不到該微機的MAC地址上來。但從電腦A連接網絡的整個情況來看，它最終還是能接通到互聯網匯聚交換機上來，這條路徑是這樣的：電腦A→辦公室小交換機→墻壁政務網插口→五樓政務網接入交換機→政務網匯聚交換機→北樓政務網接入交換機→北樓辦公室墻壁政務網插口→北樓辦公室小交換機→北樓辦公室墻壁互聯網插口→北樓互聯網接入交換機→樓間光纜→主樓互聯網匯聚交換機→互聯網。簡單的說就是北樓某辦公室的小交換機起到了橋接的作用，將內、外兩個網合成了一個，不僅是引發了古怪的故障，更重要的是破壞了政務網（內網）要與互聯網隔離的要求，造成了嚴重的網絡信息安全隱患。另一方面我們看圖2中電腦A所在辦公室如果將墻壁互聯網插口也與小交換機相連（網線A虛線所示），將會又在內、外網交換機之間增加一條橋接通道，從而在整個內、外網絡上形成一個大的環路，而環路的形成無疑會給網絡帶來廣播風暴、丟包甚至整個網絡的癱瘓。

1.2橋接或環路發生的場景

由于缺乏網絡接入的規范管理以及專業技術人員的指導，很多政府部門和企事業單位的辦公室網絡環境比較混亂，造成橋接和環路隱患的場景五花八門。稍做歸納大致有如圖3所示的幾種典型情況。簡要描述如表1所列。

1.3橋接或環路引發的嚴重問題

由1.2節分析可知，兩網間橋接或環路主要會引發兩類問題：

1.環路造成廣播風暴，擁塞網絡。

如圖4所示，網絡上的主機在接入網絡后會將自己的MAC地址廣播出去，以太網交換機接收到該廣播后會記錄學習到的該主機MAC地址以及端口，并將該廣播從其它端口轉發出去。如果網絡中存在環路，則轉發出去的幀會在另一個端口被它自己收到，將會引發重新記錄該MAC地址與學習到該MAC的端口對應信息，并再次將該數據幀進行轉發。由此會引發一系列的連鎖反應，一方面造成MAC地址表不穩定，無法確定一個MAC地址所對應的主機真實情況是連接在哪個端口，引起通信異常，造成丟包；另一方面連鎖反應的廣播包將會很快充斥整個網絡，消耗設備CPU資源，并占用大量帶寬，進而引起整個網絡的擁塞，直至網絡癱瘓[2]。

2.橋接造成內外網隔離失效，嚴重威脅信息安全

2001年1月1日，國家保密局頒布實施的《計算機信息系統國際互聯網保密管理規定》中明確規定：“電子政務網絡由政務內網和政務外網構成，兩網之間物理隔離，政務外網與互聯網之間邏輯隔離?！盵3]由此可見，內、外網隔離是有效保障網絡信息安全的必要措施。同時據有關調查顯示，網絡安全攻擊事件中有70%都是由于內部網絡的安全隱患引發的?；ヂ摼W的開放性意味著上網用機是最容易被黑客入侵或因中病毒、木馬而成為黑客的肉雞，如果內網與外網之間不能嚴格有效的隔離，這些已被攻破的微機就會成為黑客進一步攻擊內部網絡的跳板，有著極大的危害性。因為內、外網交換機間的意外橋接造成內、外網隔離失效，是無法依靠已投入巨資部署在網絡邊緣的安全設備、隔離設備等來彌補的。

1.4橋接或環路的一般處理手段

一般情況下，單一網絡環境下出現的網絡環路問題主要是1.2節中描述的（C）（E）（F）三類場景。大多數辦公室內安裝的小交換機為傻瓜交換機，不支持生成樹協議的部署，通過對上層接入、匯聚交換機上啟用STP協議可以解決（E）（F）兩類場景的環路。（C）類環路場景（單端口環路）可以在接入交換機上啟用單端口環路檢測功能。

對于不能在上層設備啟用STP的情況下就只有依靠人工來排查各類環路故障，人工排查的主要手段有：

1.查看端口指示燈狀態，判斷端口流量大小。

2.登錄并查詢交換機端口流量統計信息。

3.跟蹤查詢交換機學習MAC地址的來源端口

4.逐個撥插網絡接頭觀察網絡是否恢復

人工排查環路不僅僅是具有工作量大，耗時，在網絡規模大時難以做到徹底等缺點。當在內、外網環境下僅有一處發生1.2節中所述（A）（B）（D）三類情況時，內、外網會被橋接成一個大網，但是又沒有發生環路，所以此時僅僅是發生了網絡安全的隱患問題，并沒有發生影響網絡性能或能造成擁塞的網絡故障。這時人工排查甚至都不能意識到網絡已發生了問題。

所以找到一種簡便易行的，通過技術手段排查處理內、外兩網橋接或環路的手段迫在眉睫。簡便易行就是要求解決方案的著手點要從已有的成熟技術且現有的網絡設備已然支持的特性開始，在這里我把目光放在了生成樹協議和二層訪問控制列表上。

二、技術手段解決內、外網間橋接或環路

2.1技術原理

2.1.1生成樹協議（STP）

為了解決冗余鏈路引起的問題，生成樹協議 STP （ Spanning Tree Protocol）應運而生。STP協議的基本思想十分簡單，是將一個存在物理環路的交換網絡變成一個沒有環路的邏輯樹型網絡，達到邏輯上裁剪冗余環路，同時物理上實現鏈路備份和路徑最優化的技術[4]。在網絡中，運行了生成樹協議的交換機會推舉出一臺根網橋，根網橋是LAN中的所有其它網橋需通過的最短路徑抵達的網橋。LAN中，運行了生成樹協議的交換機會計算自身通向根網橋的各條路徑的開銷。除根網橋以外的每臺交換機都會保留具有最低開銷的路徑，并會切斷所有其它路徑。這樣使得接入網絡的計算機在與其它計算機通訊時，只有一條鏈路生效，既保障了網絡的正常運行，又保障了冗余能力。

生成樹協議通過交換網橋協議數據單元（BPDU）來協調工作。STP BPDU是一種二層報文，目的MAC是多播地址01 80 C2 00 00 00，所有支持STP協議的交換機都會接收并處理收到的BPDU報文。生成樹協議工作時，交換機的每一個端口都會經歷一系列的生成樹狀態，狀態流程圖如圖5所示[1]。

2.1.2訪問控制列表（ACL）

ACL（Access Control List，訪問控制列表）主要用來實現數據流識別功能。各網絡間的通信、內外網絡的通信都是企事業單位的網絡中必不可少的業務需求，但為了保證內網的安全性，需要通過安全策略來使非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的[5]。網絡設備為了過濾數據包，需要配置一系列的匹配規則，以識別需要過濾的報文。由ACL定義的數據包匹配規則，可以被其它需要對流量進行區分的功能引用。根據應用目的可以將ACL分為以下幾種：

1.三層ACL，根據三層源IP地址設置規則。

2.高級ACL，根據數據包的源和目的IP地址信息、IP承載的協議類型、協議特性等設置規則。

3.二層ACL，根據源和目的的MAC地址、VLAN優先級、二層協議類型等設置規則。

4.用戶自定義ACL，以數據包的頭部為基準，指定特定位置截取的字符串與用戶定義的字符串進行比較。

2.2解決方法研究

2.2.1解決方法思路

要利用生成樹協議來達到剪裁冗余鏈路消除環路的目的就要在單位信息機房內、外網兩個網絡的二層匯聚交換機之間創建一個人為的連接，使其能夠互通生成樹的網橋協議數據單元（BPDU），但同時出于網絡間隔離的需要，又不能讓該連接完全提供兩個不同網絡間的信息通信。因此考慮借助二層訪問控制列表來實現數據幀的過濾。由于STP BPDU是要進行目標MAC地址是01-80-C2-00-00-00的廣播，所以確定可以通過對該目的MAC地址過濾的ACL允許BPDU傳遞，而通過對其它源和目的MAC地址是任意的數據幀進行阻斷的ACL達到隔離通信的目的。

2.2.2實驗環境搭建

為了驗證2.2.1小節設想的解決思路，特采用最普通的二層交換機設備設計了一個實驗方案，實驗設備連接如圖6所示。

2.2.3實驗過程記錄

表2 實驗操作記錄表

三、結論

通過對內、外網間橋接或環路的引發的故障實例分析，對各類橋接或環路發生的場景進行研究，提出了基于STP及ACL兩項以太網交換機功能解決現實問題的思路，針對設想的思路組織了一套簡單的實驗方案進行驗證。驗證結果表明該解決方法可以較圓滿的解決1.2節描述的（A）（B）（D）（E）（F）的橋接或環路場景。對于（C）類的場景，可以在接入交換機上配置單端口檢測（loopback-detection）功能來解決。本文通過簡便易行的技術手段解決內、外網間橋接和環路問題，極大的提高了網絡的可靠性。并且在橋接或環路發生時，根據被STP協議置于非轉發狀態的端口，可以很容易的找到環路發生的位置并人工拆除引發環路的網線，但與采用該措施前相比，處理所需要的人工工作量已經大幅的減少了。

參 考 文 獻

[1] Gary A. Donahue.Network Warrior-思科網絡工程師必備手冊[M].第2版：人民郵電出版社，2012：80-105

[2] 黃向農，羅必然.網絡環路輕視不得[J].網管員世界，2006（1）：99-101

[3] 張永鋒.網絡信息安全探討與隔離技術的應用[J].中國新通信，2012（22）：61-62

[4] 郭彥偉，鄭建德. 生成樹協議與交換網絡環路研究[J].廈門大學學報：自然科學版，2006，45（B05）：301-304

[5] 謝聲時，陳海鴻，汪浩 等.交換機ACL的研究與應用[J].華南金融電腦，2009，17（12）：40-41