网络安全与物理网络基础配线

　　网络已经成为人们生活中不可或缺的东西。看看上海的高楼大厦，几乎所有的大厦中，都有无数看不见的网络线路正在“流淌”着各种各样的信息流。这些信息流有关系国计民生的，有关系社会发展的，有关系党和国家利益的，有关系国家安全的……它们都安全吗?现在是否有有效的手段对这些信息脉络进行管理呢?这些就是人们天天要考虑的网络安全问题。

　　一说到网络安全，大部分人首先想到的是投入巨资来购买高级的防火墙软硬件，这是无可厚非的。然而，绝大多数的用户却对网络最基础设施——线路，投入很少的关注，这无疑是不应该的。大量的事实表明，绝大多数的网络安全事故来自网络内部。大量的精力需要被投入到内部的网络管理上，尤其是线路管理，才能使许多网络安全问题迅速被管理和控制起来，而不是无时无刻地有问题需要解决。

　　毫不夸张地说，90％以上的公司没有完整的网络基础配线信息，没有最新的网络基础配线信息。读者可以随便问一个公司的网络管理员，能不能随时说出某个模块端口连接到哪个配线架端口，又连接到哪个交换机端口，它的状态如何，估计没人能给出准确回答，这个问题就直接导致了大量的网络安全隐患。本文将简单列举几个与基础配线信息相关的网络安全问题。然后分析基础配线信息的管理有哪些困难，以及有哪些最新的技术被用于解决这些问题。不过，在此之前要先介绍一下什么是“配线表”以及它的重要性。

　　物理网络基础配线信息

　　“物理网络配线信息”在许多场合被称为“综合布线工程配线表”(以下简称“配线表”)是由网络建设施工单位在整个网络建设完成后，所交付给使用单位或用户的布线链路数据表。这份数据是施工验收的重要数据依据。重大国家建设项目的这些配线信息要和其它重要基础数据一起提交给国家档案馆或当地政府档案管理部门归档管理。但广义上的物理网络配线信息远不止这些，它不仅包含许多工程级别的不动的配线信息表，也包含许多变动的网络实际使用过程中的配线信息表。这里都统称为“配线表”。

　　“配线表”的内容看起来非常简单。就是网络配线关系的表格，这些数据分别代表着网络链路里各个节点的对应关系。通过配线表，网络管理技术人员可以很轻松地获取每个设备端口、配线架端口、模块端口之间的链路关系。

　　基础配线信息在网络安全中应用的几个实例

　　1．VLAN技术与网络配线

　　VLAN简单来说就是虚拟局域网，把一个物理局域网划分成多个互相之间具有访问限制规则的子网络。即可以把物理上连接在相同设备上的链路，从逻辑上划分成多个局域网。这些技术都是基于把一个物理局域网划分成多个逻辑子网，并进行管理的基础上附加更多的安全和管理机制。

　　虽然VLAN在提高传输效率、降低建设成本和访问安全性上功不可没，但在网络调试和网络设置中却增加了不少麻烦。由于每个VLAN的IP地址、子网掩码和默认网关都不相同。所以，要求网络管理员必须制作一份非常完善的“配线表”，否则网络配置过程就将演变成一场灾难。另外，不同端口往往属于不同VLAN，如果跳线时插错了端口就无法实现通信。因此，在VLAN划分完毕之后，一定要在配线间留一份“配线表”。在跳线时，注意查看交换机的端口号，以免出错。不妨以医院为例说明这一点。

　　医院会有较多的敏感部门和信息内容，如HIS的信息、RIS的信息、PACS的信息、图书杂志数据库信息、办公信息、需要与外网相交换的信息(如远程会诊信息)等。所以，需要根据不同的信息划分多个不同的VLAN以独立地交换各部分的信息，并需要设置相应的访问策略，以提高数据访问安全。不同VLAN的计算机均使用不同的IP地址段、子网掩码和默认网关，访问不同的数据。对于一个信息化程度高的医院来说，一间手术室需要至少5段VLAN分别用来交换HIS信息、RIS信息、PACS信息、办公信息和外网相交换信息。那么，每个手术室至少就有5个上网端口模块分别连接5个需要交换相应不同数据的设备，以及这些模块在网络设备机房对应的5个不同VLAN的交换机端口(这里用交换机11号～15号口来代表)。那么此时问题就产生了，如果交换机11号到15号口跳线出现错误，例如相互连接顺序颠倒，那么本来需要访问办公信息的设备，无法获取病人数据信息，主刀医生不能确认病人的真实身份，就更无从谈起下手开刀了。如果开刀时需要调用RIS放射科信息时，由于12号口的错误会造成无法获取信息延误开刀进程。如果需要通过外网联系别家医院医生会诊协助开刀，由于15号口的错误致使连接错误无法汇诊等情况。那么这些将造成无法挽回的医疗事故。归根到底这些问题都是由“配线表”数据的不准确造成的。因为交换机的配置和现场跳线的顺序都是根据“配线表”的数据来做的，如果“配线表”数据不准确。所有工作都不准确，一步错，满盘皆错。

　　2．Telnet传输控制协议与网络配线

　　在网络的实际使用过程中，对交换机端口进行重新配置是非常正常的事(例如：办公室变更、人员调整等)。往往网管人员在遇到这类问题时都是坐在办公室内，通过办公室电脑利用Telnet协议远程登录到相应交换机对其相应端口进行配置，这样做既便捷又轻松。但是此时的便捷和轻松都是建立在准确的“配线表”数据基础之上的，如果配线表数据不准确，那么管理员就只有背着笔记本，拿着测线仪器到机房去核实配线信息后，再能进行交换机配置调整工作。那么，此时工作的复杂程度往往是难以预料的。不过这还不是最糟糕的情况，如果工作人员错误地将数据不准确的“配线表”当作是准确数据来处理，并对交换机做出配置调整后，将会造成不同程度的安全隐患。例如：某宾馆101房间和102房间的IPTV端口分别是连接的是交换机1号口和2号口。但是“配线表”数据错误的记录了101房间的端口连接到了2号口上，而102房间的端口连接到了1号口上。此时如果101的房间需开通免费IPTV服务，但是工作人员错误的将“配线表”数据作为准确数据来远程Telnet配置的话，就会错误的为102房间开通免费IPTV服务。由此造成安全上、经济上和服务信誉上的损失是无法估量的。

　　3．广播风暴和网络配线

　　网络上运行的协议本身会有很多这样那样的缺陷，使用者使用这些技术和协议时也不可能面面俱到，总会给网络带来许多安全隐患。广播风暴就是其中一种。广播风暴指当主机系统响应一个在网上不断循环的报文分组或者试图响应一个没有应答的系统时就会发生广播风暴。这时，请求或者响应分组源源不断地产生出来，这会使情况变得非常糟糕。随着网络上分组数目的增加。拥塞会随之出现，从而降低网络的性能直至使整个网络陷入瘫痪。网络风暴是一种非常严重的网络安全问题。造成广播风暴的主要原因有以下几点：

　　网络设备故障：在购买网络设置时，不要将智能型的HUB误当成交换机。否则，在网络稍微繁忙的时候，肯定会产生广播风暴了。

　　网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，产生了广播风暴。由于网卡物理损坏引起的广播风暴，故障比较难排除。因为损坏的网卡一般还能上网，管理员常常借用Sniffer局域网管理软件查看网络数据流量，以此来判断故障点的位置。

　　网络环路：这种情况是一个很可笑的错误，但在实际情况中却普遍存在。一条双绞线，两端插在同一个交换机的不同端口上，导致了网络性能急剧下降，打开网页都非常困难。这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端同时接在了一台网络设备中。

　　网络病毒：Funlove、震荡波、RPC等是目前比较流行的网络病毒。一旦有机器中毒后，会立即通过网络进行传播。网络病毒的传播会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。

　　黑客软件的使用：目前，一些上网者经常利用网络执法官、网络剪刀手等黑客软件，对内部网络进行攻击，这些软件的使用也可能会引起网络的广播风暴。 

　　根据网络风暴的起因和性质来分析，解决此类问题的办法有以下几点：

　　A．有效分割过大网络，使广播包只在有限的范围内传播；

　　B．使用网关，对数据包进行分拣；

　　C．使用路由器，隔离不同的子网；

　　D．保证链路的准确，防止环路产生；

　　E．网络组建时，对设备质量严格把关；

　　F．网络中的防火墙系统建设，以应对日趋发展的网络病毒和黑客软件。

　　那么，广播风暴和网络基础配线信息之间有哪些关系呢?根据解决方法A的描述，“有效分割过大网络，使广播包只在有限的范围内传播”指的就是将一个过大网络逻辑上划分为多个VLAN，使广播包只在有限的范围内传播。从上文可知，配线表和VLAN的关系是密不可分的，由此可知配线表对于广播风暴的控制和管理是必须的。对解决方法D分析可知，“保证链路的准确，防止环路产生”其实就是指要保证“配线表”数据的准确性，因为“配线表”实际上就是网络链路关系的表格，其中的数据分别代表着网络链路里各个节点的对应关系，只要对应关系准确了，就不会出现环路这种低级的人为错误。当然，对于非常庞大和复杂的网络规模来说还是需要一套配线表管理系统来协助判断是否出现环路。防止广播风暴的各个方法中涉及到的网络部件，如：防火墙、路由器、网关等的有效和及时的管理都要依赖准确的网络物理配线信息。

　　网络风暴其实是一个非常综合的网络问题，它的管理和控制手段也涉及到网络管理的各个方面。从它的管理、预防和解决手段不难看出，网络基础配线信息的有效管理其实是非常基础的管理需求。在网络越来越复杂的今天，必须给网络基础配线以足够的重视。

　　4．配线表和人为安全隐患

　　在这里涉及到的人为安全隐患指的是由于多人协作、人员变动或人事调整等情况所造成的网络安全问题。对于一个经验丰富的网络主管人员来说，任何网络硬件、软件、维护、建设等问题都是可以解决的，但是网管人员的素质或人事变动调整等问题才是如今网络中一直无法真正攻克的难题。总体上来说，这些人员问题所能造成的最大隐患其实就是会影响到“配线表”数据的准确性。而从上文来看，“配线表”数据的准确性又涉及到整个网络的安全性，可以说是网络状况“健康程度”的标准。所以人为因素将直接影响到整个网络的安全性。

　　那么为什么“配线表”数据的准确性问题是人员问题所能造成的最大隐患呢?这是由于现今网络的“配线表”数据基本都是人员手工的方式提供的，它的内容是随着网络的扩建、维护、发展逐步发生变化的数据，它的准确与否很大程度上依赖于网管人员的工作态度和个人素质。并且，“配线表”数据的问题又是一种隐性问题，它并不会立即被发现，而是经过时间的流逝逐步暴露出来。往往这类问题就像温水煮青蛙，慢慢致命，一旦发生将无法挽回。

　　下面举例说明人为因素如何造成网络安全性问题。某大学网络中心管理员小李和小王是学校网络现场工程师，小李负责全校教师网络，小王负责全校学生网络的日常建设和维护工作。小李为人稳重，工作责任心强，每次在日常工作后都会将所有的工作内容写成日志，留下文档．并调整“配线表”中由于工作需要而变更的数据，以保证其准确性，为日后的工作做好数据基础，避免不必要的麻烦。但是小李由于个人性格问题无法融入整个工作团队中，且和部门领导关系一直处于僵持状态。小王性格开朗和所有同事关系都很融洽，且为人聪明能干，工作效率高，一般遇到重大网络建设工程都依赖小王处理。但是小王过于自负，基本不做日常工作数据积累，“配线表”的文档也就只有原始建设数据，从来不根据实际情况做出调整。一切问题都只依赖于自己的小聪明来解决。虽然问题都能暂时缓解，但是逐步影响到整个网络的安全性。随着时间的推移，突然有一天，小李提出了辞职申请，且由于人际关系问题，小李带走了自己所有的工作文档，使整个教师网络陷入非常尴尬的安全危机。临危新聘的工作人员根本连现场网络机房在哪里都搞不清楚，就更别谈接手工作了。小王也终于有一天因为“配线表”数据的不准确而造成的错误操作，使得整个学生网络瘫痪，影响在校学生的日常上课和学习，造成重大教学事故。仅仅是由于两个工作人员的个人问题使整个学校的网络岌岌可危，像这样类似的问题在许多单位和许多场合都普遍存在，很值得人们深思。

　　5．其他

　　当然，网络基础配线不仅仅和网络安全有着重要的联系，还与网络维护人员的日常所有工作有着直接的影响。笔者亲历了很多由于缺少基础配线信息而造成的各种事故。某全国知名大学新盖的大楼，第一次入住办公室的老师都能轻松地得到网络服务。而后不久，由于人事变动，对网络连接有了新的要求，要添加新的节点或更改节点的属性。这时候问题来了，网络管理员根本不知道机房内哪些节点是连接到这些办公室的。万不得已的情况下，又从机房沿着墙角重新拉了几根线到办公室。这样的例子不胜枚举，即使在电信、网通等大公司里也是经常发生。

　　难以获取的网络配线

　　一个合格的网络管理人员都应该知道网络物理基础配线的重要性。但事实上，对大部分稍微复杂一点的网络来说，要想获得准确的基础配线是非常困难的。为什么会造成这种状况?仔细分析一下就会明白。

　　网络基础配线包括两部分。一是综合布线时就固定住的，以后也不会变化的部分。这部分主要体现在接入层上，通俗点说就是模块到配线架这部分的连接关系。二是变化的部分。这部分主要是集中在汇聚层和核心层。当然，核心层的变动相对来说少得多。通俗点说就是不同的设备之间的连接关系以及这些设备与配线之间的连接关系。在国外的许多标准布线中，采用双配线架的比较多，这时候配线架和配线架之间的跳线也是经常变动的。那么，获得这两部分的配线信息有什么难处呢?

　　获得固定部分的配线信息有困难吗?也许有人会这样问。不过答案是肯定的。有困难，而且是大困难。原因很简单，首先是许多综合布线工程结束后，会验收一份综合布线的文档，这份文档会给出所有详细的正确的固定部分的配线信息。而实际上根本无法做到详细和正确。因为规划的时候会在图纸上明确哪里到哪里，线路怎么走，但实际施工的时候根本不可能完全按照图纸施工。虽然没有官方的统计数据表明设计图和实际线路误差是多少，但从实际的工作中可以略见一斑。在实际工作中，笔者有很多次这样的经历，按照最原始的固定配线表去查找线路．基本都是错误的，最后只能自己用侧线仪器慢慢测。

　　肯定有人又会有这样疑问，布线结束后重新检测一遍所有的线路。然后归档不就可以了吗?这是个好办法，但实际操作中，这样做所耗费的人力时间和成本都很高。而且，另外一个重要问题是，检测结束后的信息需要重新整理成规范的文档。这个过程的工作量也不小。要想信息化管理那就更麻烦了。

　　获得变动部分的配线信息更加困难是可以想象的。如果想随时获得准确的变动部分的配线信息，前提就是每一次人为或非人为的变动都要被实时地记录下来。事实上这是无法做到的。现在许多重要的单位，如：银行、证券公司等会使用智能配线架来管理这些变动的基础配线，使得每一次变动都能实时地反映到后台系统。但是这种配线架是有缺陷的，它首先会影响网络的通信质量，其次是成本非常高。除此之外，目前对于这些变动的配线部分几乎是毫无办法的。只能依赖于现场人员工作的自觉性以及认真的态度。随着时间的积累，变动部分的配线信息的混乱是必然的也是不可避免的。

　　那么有没有方便、廉价的办法及时准确地获取这些信息呢?办法不多，但是肯定是有的。上海互惠信息技术有限公司就针对这些问题开发出一些实用的工具和系统来解决这些问题。首先，是一组能够快速识别所有模块、配线架和设备连接的查线工具套件。利用这些套件，能够及时准确地获取所有固定部分的配线信息，并将这些信息以电子数据的形式呈现给客户，实现信息化管理。其次，有一套完整的线路识别器，可以识别每一根物理线路。无论是光纤、同轴电缆还是双绞线都能随时随地地被识别，这些线路信息构成了完整的网络配线信息。配合自主开发的管理系统，可以实时地得到和管理所有的配线信息。

　　网络配线的管理需求

　　获取了准确的信息以后，便是如何有效地管理、高效地利用这些信息了。

　　在如今的实际应用中，首要的需求便是能够快速地随时随地检索和直观地表示这些信息。对物理网络的管理主要在两种场所：一是办公室，二是机房或者其他任何有物理网络的场所，可以简称为现场。办公室管理人员要能够直观地看到每一根线路的链路状况，要能按照自己的需要随时查找任何的物理线路。不仅如此，还要能对现场(机房或者其他场所)的这些线路信息进行调整，调整结束后的信息在现场就能立刻表达出来．便于现场人员去调整实际的物理线路。同样，在现场也要能随时随地查询任意的链路信息，同时可以更改每一根物理链路信息．这些信息都要及时被记录和统计。并最终呈现给管理员。管理员在办公室和在物理线路的现场都能够简洁快速的运用这些信息，最终达到办公室和现场的无缝关联。

　　另外一个管理的需求就是对安全性的需求。从上文的描述可以知道物理链路的准确性非常重要，它的安全性同样重要。这主要是因为安全性是准确性的保障，并且安全性直接关系着所传输的信息的安全。为了保证安全。对于现场所有的物理线路的调整或变更的人员必须有身份验证。对于每一个变更和调整都要能够实时地被察觉。然后对照安全策略来计算其是否合法。这些安全策略有很多，如：环路的计算等。总体性的调整更不用说了，需要多方的验证和计算，以保证物理线路的绝对安全。

　　对于重要的链路，比如：医院网络和银行网络中的重要链路，不仅要能够将每一个物理的线路管理起来，还要将这些重要链路的逻辑连接及逻辑信息统一管理起来，以保障链路的绝对安全和高效。

　　不同种类信息的整合也是物理网络基础配线管理的必然要求。基础配线的表现形式有很多，既有基本的纸质的数据，也有部分的电子数据；既有CAD数据，也有一般图形数据；既有文字描述数据，也有详细报表数据。所有这些信息都需要被统一管理起来，并且在纸质的数据，也有部分的电子数据；既有CAD数据，也有一般图形数据；既有文字描述数据，也有详细报表数据；等等。所有这些信息都需要被统一管理起来，并且在需要的时候表现出来。

　　网络物理基础配线信息本身也是一种信息。这种信息需既能被安全的传输和统一管理，也能在任何地方通过多种手段来传输。这就对配线信息本身的传输提出了挑战，安全性和易用性要兼而有之，更是难上加难。

　　当然，需求还有很多。一些优秀的网络管理和维护人员一定会提出许多新的要求和设想，许多问题都是物理网络发展过程中的管理瓶颈。随着新技术的发展，需求也会越来越具体和现实。

　　网络配线的最新管理技术

　　网络配线领域是一个相对不显眼、却投入人力资源较多的领域，所以许多国际大公司并没有把眼光放到这里。可能还有一个原因是觉得这个领域的含金量不大。不过，在多年的实践中，笔者慢慢发现这是个蕴含着宝藏的领域。只要有好的解决办法，就能在为人们解决问题的同时，挖出宝藏。目前在这个领域做的工作比较多的团体应该属上海互惠信息技术有限公司。下面介绍一下该团队在这个领域做的一些工作。

　　首先，利用RFID技术对每一根物理线路进行管理。可能有些人对RFID这个词有点陌生，不过大部分人估计听说过“物联网”。RFID这个技术早已有之，近年逐渐兴起。“物联网”所依赖的最基本的技术原理就是RFID。许多研究机构在RFID原理的基础上，结合普适计算的思想以及物流领域的需求．逐渐提出“物联网”的概念。后来这一概念又被进一步延伸．已经突破物流领域的限制，成为普适计算目前最现实的一个蓝图。而普适计算一直被认为是继互联网之后影响人类生活的下一次技术浪潮。全世界现在有许多与RFID相关的标准，比如EPC体系、UID体系、ISO部分标准。

　　上海互惠信息技术有限公司利用RFID技术来检测互联网中的每一个线缆，这些线缆可以是五类线、光纤、同轴电缆等任意线路。在技术上有一定的难度。不过目前已经有很大突破。在实验室内已经完全可以实现对所有线路的控制和管理。当然，这项技术不仅可以用在基础网络的线路管理上，还可以用在电话线、管线等各种应用当中。

　　其次，利用先进的电子电路技术。RFID技术能够管理好所有的网络线路，但是必须有辅助的电子元器件和它配合才能形成完整的专用信息流的通信网络。在这个网络上可以传输各种基础配线信息，可以发送各种指令，可以指导网络现场的管理员对物理配线信息进行更改，可以控制非法的变更。上海互惠信息技术有限公司已经开发出一整套硬件，用这些硬件和RFID技术相配合，最终形成一个完整的硬件网络进行信息传输和指令处理。这些设备整体上可以分为三大类：RFID基本设备，该类设备的作用是识别每一根线，并对每一根线作标记；控制设备，该类设备的作用是控制每一个具体的RFID设备及其他小的电子设备，并对它们进行信息管理；网络设备，它的作用是将各种控制设备组建成一个专用的网络，和后台的管理系统和软件进行通信。

　　最后，利用软件技术。毫无疑问，要使RFID和整套的硬件结合起来按照预定的要求工作，需要大量的软件支持。这些软件既有在各个硬件内的嵌入式软件。也有运行于后端服务器端的整体管理系统。从软件体系结构上讲是非常复杂的，可以分成很多层和很多功能部分。在部署上，既要能够在局域网内通过B／S形式浏览，也要能通过PDA等移动设配随处可查；既可以通过专用网络传输到内部的硬件中显示，也可以控制每一个行为动作。

　　物理网络基础配线和网络安全的展望

　　庞大的“物联网”的发展及“普适计算”的进一步深入，必然会使未来网络中所有物理设备都能够以自己的特定身份参与到整个大的计算网络中去。在网络管理中，可以快速地定位到每一个具体的硬件或区段，使整个网络无论是从物理上还是逻辑上都被真正的监控和管理。从而使整个网络的安全性得到真正的控制，网络资源能做到最优化配置和管理。上海互惠信息技术有限公司和相关研究机构(合作伙伴)正在为实现这一目标而努力。
 
 作者：上海互惠信息技术有限公司  欧书云

　　上海财经大学  李钊轶