如何利用交换机端口隔离来拒绝病毒入侵和传播

故障现象

单位局域网采用普通楼层交换机连接大楼一、二、三层的所有计算机。 这些楼层交换机均连接至单元的核心交换机。 核心交换机通过天融信硬件防火墙与网络通信。 联系。 由于单位内的交换机支持即插即用功能，网络管理员无需对其进行任何配置，直接连接到LAN网络； 在这种连接状态下，局域网内各楼层的计算机都可以互相访问，所以一是单位同事经常使用局域网网络进行共享和通讯。

一开始，局域网运行得非常稳定； 最近，由于某种未知的原因，单位内的所有计算机不再能通过局域网共享访问网络，但可以正常互相访问。

分析并解决

对于这种故障现象，笔者想当然地认为问题一定出在硬件防火墙或者核心交换机上，与普通电脑的上网设置和网线的连通性无关； 然而，当笔者断开所有楼层交换机和单位的服务器或重要工作站时，只允许正常工作状态的笔记本电脑保持与核心交换机的连接，笔记本电脑就可以正常访问网络。 显然，核心交换机和硬件防火墙也处于正常工作状态。 那么问题出在哪里呢？

考虑到局域网内所有计算机都无法访问互联网，笔者估计可能存在网络环路或者ARP之类的网络病毒。 仅这些因素就可能导致整个局域网大面积无法正常上网。 由于网络环路排查比较复杂，所以我打算从网络病毒因素入手。 想到这里，我立即与其他几个单位的员工分头行动，使用最新版本的杀毒软件依次对每一个普通工作站进行攻击。 进行病毒查杀操作； 经过持久战，我们确实消灭了很多隐藏在局域网中的病毒。 本来以为网络病毒已经解决了，局域网无法上网的问题应该自动消除了。 然而，将所有电脑重新连接到公司局域网后，发现上述问题依然存在。 这个问题真的与网络病毒无关吗？ 有关系吗？

之后，笔者打算检查一下局域网内是否存在网络环路。 经过仔细分析，笔者认为，如果某个交换机端口下的子网中存在网络环路，则对应交换机端口的输入输出流量应该非常大。 基于这样的认识，笔者立即进入单位局域网的核心交换机后台管理系统，利用系统内置的诊断功能对各个交换机端口进行扫描检查。 从反馈结果来看，笔者发现交换机各端口的输入输出流量均正常，这说明网络环路现象也不存在。

无奈之下，笔者随机找了一台有故障的电脑，利用系统自带的ping等命令来跟踪测试局域网网关地址。 事实证明，系统实际上寻找的是一个不存在的网关地址。 显然，计算机系统中存在网络病毒，那么为什么杀毒软件没有扫描到这些病毒呢？ 笔者在网上搜索后了解到，网络上存在一种特殊的网络病毒，它专门修改局域网的网关地址，导致计算机无法访问互联网，而这种网络病毒可以逃避杀毒软件的“围剿”，这也是我们使用杀毒软件没有发现这种网络病毒的原因。 后来，笔者按照网上提供的解决方案清除了网络病毒后，故障计算机就能够正常上网了。 按照同样的处理方法，其他电脑无法上网的问题一一解决。

深入回应

虽然上述故障已经解决，但局域网无法阻止网络病毒大范围传播的事实却给笔者和同事们敲响了警钟； 为了提高网络运行的安全性，保证网络运行的稳定性，笔者决定对单位的局域网组网方式进行适当的调整。 通过调整，使各楼层交换机端口相互隔离，从而阻止网络病毒在局域网内快速传播。

由于该模型交换机共有26个交换端口，因此笔者计划利用每层交换机的25、26端口级联到单位局域网的核心交换机。 所有其他交换端口均设置为隔离端口。 单位内所有交换机所有普通计算机都连接到隔离端口，这样局域网内所有普通计算机只能通过核心交换机访问网络，而不能互相访问。 这样就保证了网络病毒不能大面积传播。考虑到单位局域网中有一些服务器和重要工作站，为了让普通用户能够访问，笔者决定设置端口1、2、3、4、 5、6号核心交换机作为共享端口。 这些端口连接到设备的服务器。 或者重要工作站，25、26端口作为上行连接端口，连接局域网内的硬件防火墙，其他交换机端口设置为隔离端口，全部用于连接

普通楼层开关或普通电脑。

基于这个思路，笔者采用100M双绞线将位于大楼一、二、三层的楼层交换机的上行端口连接到核心交换机的7-24端口，并连接核心交换机的上行端 *** 换机到天容通信硬件防火墙的接口上，将单位内的重要工作站和各类服务器连接到核心交换机的1、2、3、4、5、6端口，使所有普通计算机可以共享访问。 全部位于同一网段。

完成上述物理连接后，笔者使用交换机自带的控制线连接核心交换机后台管理系统，同时进入系统的全局配置状态，执行字符串命令“-port” 0/0/1”在此状态。 -6;25;26"，设置核心交换机的1、2、3、4、5、6端口为共享端口，25、26端口为上行连接端口；然后切换到指定网段，例如，假设执行“vlan 10”字符串命令将交换机切换到vlan 10网段配置状态，然后执行字符串命令“0/0/1-26”将核心交换机的其他交换机端口配置为隔离端口，然后依次执行“exit”和“write”命令，完成上述配置的保存操作，最后使用“”命令完成上述配置的重新加载，这样核心交换机的配置就可以了正式生效。

按照同样的操作方法，在普通楼层交换机的全局配置状态下，执行“-port 0/0/25;26”字符串命令，将楼层交换机的25和26两个端口设置为上行端口，执行“ 0 /0/1-26”字符串命令，将所有其他端口设置为隔离端口，最后加载并保存上述交换配置。

经过上述重连和交换配置操作后，局域网内的所有普通用户只能通过局域网访问网络，也可以访问局域网内的服务器或重要工作站，但不能访问其他普通计算机，也不能访问局域网内的服务器或重要工作站。局域网但可以访问所有普通计算机。 这样，即使将来普通计算机中出现网络病毒，也不会通过网络传播到大范围。 这样局域网网络的运行安全就能得到保证，网络访问也会更加顺畅。 。