摘　要：隨著物聯(lián)網(wǎng)的快速發(fā)展，用戶局域網(wǎng)中往往運行著數(shù)量眾多的終端及啞終端。為了精準測繪及管理局域網(wǎng)的網(wǎng)絡空間地圖，管理者需要實時了解知悉網(wǎng)絡空間中每個資產的具體位置。基于資產探測的成果，通過安全外殼協(xié)議交互、簡單網(wǎng)絡管理協(xié)議服務、網(wǎng)絡資產測繪相結合的方式探究交換機端口屬性，完成交換機級聯(lián)端口精準識別，為繪制網(wǎng)絡空間拓撲及交換機端口級的準入管控提供精準數(shù)據(jù)。

內容目錄：

1  級聯(lián)端口的理論概述
2　端口識別技術
2.1　資產探測
2.2　SSH 交互
2.3　SNMP 服務
2.4　網(wǎng)絡資產測繪
3　系統(tǒng)原理與實現(xiàn)
3.1　系統(tǒng)工作原理
3.2　系統(tǒng)實現(xiàn)
4　結　語

隨著網(wǎng)絡的不斷發(fā)展以及用戶對網(wǎng)絡使用需求量的急劇增長，網(wǎng)絡規(guī)模不斷擴大、網(wǎng)絡空間趨于復雜，通過網(wǎng)絡空間資產的探測，可以及時發(fā)現(xiàn)潛在的安全風險，避免被不法之徒攻擊。國家已把網(wǎng)絡空間安全概念提升到一個重要的層次，更加顯示了網(wǎng)絡空間安全的重要。在網(wǎng)絡攻防對抗中，首先需要了解網(wǎng)絡，要了解網(wǎng)絡空間，就需要對網(wǎng)絡空間進行精確的資產探測。科學刻畫資產空間地圖是網(wǎng)絡攻防的安全基石，將網(wǎng)絡空間、地理位置、交換機屬性、端口連接等進行相互映射，將虛幻、動態(tài)的網(wǎng)絡空間繪制成一份精準、可靠、動態(tài)、直接的資產地圖，能夠為防守方提供有效的資產情報信息。

資產探測的核心之一是準確識別資產位置及各級資產之間的相互連接關系。目前在大型局域網(wǎng)中，存在各種類型的啞終端設備及終端設備共同連接在一臺交換機上的情況，并且各交換機之間還有相互級聯(lián)關系。這種復雜的串接關系，導致局域網(wǎng)中設備管理較為混亂，存在重大安全隱患。此外，傳統(tǒng)的資產探測、主機識別、端口準入控制等技術，也存在交換機級聯(lián)端口無法精準識別的技術盲區(qū)，無法完全繪制出局域網(wǎng)內設備的連接關系和準確定位，不能解決局域網(wǎng)中設備管理存在的所有安全隱患。本文采用多種方式探究局域網(wǎng)交換機的上下級聯(lián)端口識別和控制技術，以期通過精準識別交換機各個端口屬性，提高對局域網(wǎng)的管控能力，補充和完善網(wǎng)絡空間繪制能力，細化資產準入管控的管理粒度。

1 級聯(lián)端口的理論概述

交換機作為網(wǎng)絡中電（光）信號的轉發(fā)設備，可以為任意兩個網(wǎng)絡節(jié)點提供獨享的網(wǎng)絡通路，承擔終端接入、流量轉發(fā)、流量匯聚和隔離控制等功能。由于以太網(wǎng)交換機不對接入用戶進行合法性驗證，因此存在未授權的用戶接入交換機訪問局域網(wǎng)內網(wǎng)的網(wǎng)絡安全風險。此外，由于接入交換機又分為終端接入和交換機互聯(lián)，要實現(xiàn)對接入終端的管理，必須區(qū)分出接入的設備類型。

交換機之間的連接方式一般分為級聯(lián)、鏈路聚合、堆疊和集群等。級聯(lián)是局域網(wǎng)中最為常見的交換機之間的連接方式，分為普通端口級聯(lián)和 Uplink 端口級聯(lián)。其中，普通端口級聯(lián)是通過交換機的某一個常用端口（如 RJ-45 端口）進行的相互連接；Uplink 端口級聯(lián)是將 Uplink端口連接到上一級交換機上除 Uplink 端口外的任意端口，Uplink 級聯(lián)常用于上行連接。鏈路聚合是通過多個物理接口捆綁聚合成為一個邏輯接口，可在不升級硬件的條件下達到增加帶寬、提供冗余備份或負載均衡等效果。堆疊和集群是指將一臺以上的交換機組合起來，在邏輯上作為一臺交換機共同工作，以提高交換機端口密度及性能。鏈路聚合、堆疊和集群主要應用在大型網(wǎng)絡中，在對端口需求比較大的情況下使用，通過交換機的額外配置分布在核心交換網(wǎng)中，一般不存在于普通局域網(wǎng)中。

本文針對級聯(lián)模式開展識別技術研究。首先，設計交換機端口識別軟件系統(tǒng)并進行應用；其次，利用簡單網(wǎng)絡管理協(xié)議（Simple Network Management Protocol，SNMP）、 安 全 外 殼 協(xié) 議（Secure Shell，SSH）技術實現(xiàn)交換機各個端口屬性的快速探測和分析，獲取交換機端口準確、全面的屬性，構建交換機端口屬性模型；最后，通過算法不斷分析改進端口級聯(lián)屬性識別過程，根據(jù)不同類型端口提供不同的控制策略，提升交換機的管控性，為輔助網(wǎng)絡空間繪制和基于交換機端口的準入控制提供數(shù)據(jù)支撐。

2 端口識別技術

采用資產探測、SSH 交互、SNMP 服務、網(wǎng)絡資產測繪相結合建模的識別方法，其步驟分為 4 個部分。

2.1　資產探測

使用的工具是 Nmap，它將設備端口劃分為6 個狀態(tài)。通過配置不同的探測參數(shù)，實現(xiàn)對整個網(wǎng)段各 IP 地址的掃描識別。掃描識別指的是直接進行資產探測的相關技術，如通過主動發(fā)送數(shù)據(jù)包進行掃描，Nmap 主動向目標網(wǎng)絡資產發(fā)送構建的各類型數(shù)據(jù)包，從各個資產返回數(shù)據(jù)包中解析提取目標資產指紋特征等，并與指紋庫中的特征信息進行分析對比，準確了解各個 IP 資產對應的設備介質訪問控制（Media Access Control，MAC）地址、設備廠商、操作系統(tǒng)、設備類型、設備端口信息等，不停輪詢掃描并對識別的資產進行指紋特征分類處理，直到找到局域網(wǎng)中各交換機，明確各交換機的廠商、型號、類型，建立交換機端口關系模型 。

2.2 SSH 交互

通過系統(tǒng) Web 端配置交換機 SSH 用戶名以及密碼，基于交換機 TCL 語言開發(fā)，采用 expect功能實現(xiàn)不同交換機之間的交互配置，交換機廠商和型號決定不同交換機之間的命令各不相同，通過內置命令模板可實現(xiàn)各交換機的相關配置及信息獲取。

H3c 的 SNMP 配置如圖 1 所示，通過 expect功 能 來 配 置 廠 商 H3c 的 5500 型 號 交 換 機 的SNMP，同時配置 SNMPv1、SNMPv2c 和 SNMPv3，保證它能與服務端進行通信，并接受服務端管理，txt 中是各種交換機的 TCL 語言各配置項模板。

圖 1 H3c 的 SNMP 配置

通過執(zhí)行“expect -f H3c_5500_Snmp_Configura.txt 交換機 IP SSH 用戶名 SSH 密碼 參數(shù) 1 參數(shù)2”命令，完成交換機的 SNMP 管理配置；通過執(zhí)行“expect -f H3c_5500_Get_AllInfo.txt 交換機IP SSH 用戶名 SSH 密碼 參數(shù) 1 參數(shù) 2”命令，獲取交換機的所有配置信息；交換機 MAC 表如圖 2 所示，通過執(zhí)行“expect -f H3c_5500_Get_MAC.txt 交 換 機 IP SSH 用 戶 名 SSH 密 碼 參 數(shù)1 參數(shù) 2”命令，獲取交換機 MAC 信息；交換機地址解析協(xié)議（Address Resolution Protocol，ARP） 表 如 圖 3 所 示， 通 過 執(zhí) 行“expect -fH3c_5500_Get_Portinfo.txt 交換機 IP SSH 用戶名SSH 密碼 參數(shù) 1 參數(shù) 2”命令，獲取交換機端口狀態(tài)、屬性等。

圖 2　交換機 MAC 表

圖 3　交換機 ARP 表

分析上述端口、MAC表、ARP表等返回的信息，得出資產 MAC、IP 信息，將存活資產與交換機端口進行關聯(lián)標記，進一步完善交換機端口關系模型。

基于獲取的 ARP 表，交換機更新后的 MAC地址、端口摘要等信息，發(fā)現(xiàn)端口下存在多個不同 MAC 資產，將該端口標記為疑似級聯(lián)端口，每臺交換機可能存在多個級聯(lián)端口。根據(jù)長期應用使用驗證，若正在使用的端口存在 MAC 地址大于 10 個或者更多的情況，則可判斷為上級聯(lián)端口；若一個交換機只劃分一個虛擬局域網(wǎng)（Virtual Local Area Network，VLAN），則不存在上級聯(lián)端口下有多個 MAC 地址的情況，這時需要用到網(wǎng)關的 MAC、IP 地址來進行輔助判斷，在明確網(wǎng)關的 MAC、IP 地址的情況下，查看網(wǎng)關地址在哪個端口下，則可判斷該端口為上級聯(lián)端口。若 MAC 表中 GE0/0/2 端口下地址大于10 個，同時 172.30.200.1 網(wǎng)關地址也存在于該端口下，則可判斷出 GE0/0/2 為上級聯(lián)端口。若GE0/0/24 下端口存在兩個存活資產（通常指的是在網(wǎng)絡探測過程中確定為活動的、可通信的設備或系統(tǒng)），可以通過對比已探查出的資產信息來判斷資產指紋類型是否為虛擬機資產、云資產等，并將 GE0/0/24 標記為疑似級聯(lián)端口。

交換機所存在的子網(wǎng)需要和子網(wǎng)外進行通信，如果交換機配置有管理地址，可通過管理地址上的網(wǎng)關及 ARP 表和 MAC 表來確認交換機的級聯(lián)端口，根據(jù)路由表或配置中的默認路由，來判斷下一跳的方式，并更新 ARP 表和 MAC 表，然后根據(jù) ARP 表中的下一跳所在的端口，來判斷上級聯(lián)端口。

2.3 SNMP 服務

SNMP 服務主要由網(wǎng)絡管理系統(tǒng)（Network Management System，NMS）、代理進程 Agent、被管對象和管理信息庫（Management Information Base，MIB）4 個部分組成。其中 MIB 對象是被管對象的一個集合，主要用來保存數(shù)據(jù)項及其對應的類型和操作等。NMS 則能夠借助于 SNMP協(xié)議數(shù)據(jù)報文對 MIB 進行相關處理，從而實現(xiàn)交換機端口的監(jiān)控，NMS 作為整個網(wǎng)絡的網(wǎng)管中心，對交換機設備進行管理。

服務端通過之前 SSH 配置的交換機 SNMP 服務，使得服務器上的 SNMP 模塊能夠直接管理交換機。SNMP 模塊通過采用 C 程序、snmpwalk 命令、對象標識符（Object Identifier，OID）相結合的方式獲取交換機上端口屬性，完善交換機端口關系模型，同時進一步加強服務端對交換機的管控能力。模塊具體操作方法接口函數(shù)如圖 4 所示。

圖 4　操作方法接口函數(shù)

各接口采取不同的 OID 與交換機 Agent 進行交互，如圖 5 所示。

圖 5 MIB 對象

關聯(lián)疑似級聯(lián)端口，對每個疑似端口的出入單播報文、出入組播或者廣播報文進行比對，對端口中由此子層傳遞到一個更高層或更次層的數(shù)據(jù)包數(shù)和各端口兩個子層次之間關系的狀態(tài)進行梳理、分析、計算 [5]，使用樸素貝葉斯概率分類算法如下：

式 中：為 端 口 的 類 型 屬 性；為各特征信息；為端口屬性特征數(shù)據(jù) D 屬于 C 的概率。將交換機上疑似級聯(lián)端口的屬性，進一步完善端口關系模型，標記出交換機端口連接關系。

2.4　網(wǎng)絡資產測繪

對比分析各端口下的資產類型、資產服務端口、交換機端口關系模型、交換機端口屬性等。根據(jù)資產探測到的數(shù)據(jù)，以網(wǎng)關 IP 為根，以各個交換機物理端口及 IP、MAC 數(shù)據(jù)集合為非終端節(jié)點，以各類終端 IP、MAC 數(shù)據(jù)集合為葉子終端節(jié)點，按樹形結構模擬構造出交換機拓撲圖?；谔綔y數(shù)據(jù)推測網(wǎng)絡資產上的各節(jié)點數(shù)據(jù)是交換機（針對交換機有 IP 的情況）還是虛擬化環(huán)境（虛擬化環(huán)境存在 IP 及相關虛擬化業(yè)務的服務端口，針對樹中度為 0 的終端葉子節(jié)點上的數(shù)據(jù)，若不存在虛擬化環(huán)境的 IP、MAC，視為集線器類型的交換機級聯(lián)狀態(tài)；若存在虛擬化環(huán)境的 IP、MAC，即使虛擬化環(huán)境接在集線器上，也一致強制視為該終端葉子節(jié)點屬于虛擬化環(huán)境而非交換機級聯(lián)狀態(tài)），同時對各級數(shù)據(jù)進行匯聚、清洗、抽取、校驗，更新至IP、MAC 及對應的服務端口等信息，保障了數(shù)據(jù)融合分析結果的可信性。數(shù)據(jù)抽取和校驗的是不同來源的相同對象的數(shù)據(jù)，按照符合統(tǒng)一標準的模型，清晰地梳理出局域網(wǎng)中設備、系統(tǒng)、服務、應用等指紋結構特征和上下級聯(lián)關系，構架出虛擬的指紋層次關系結構及關聯(lián)關系，測繪出精準的網(wǎng)絡資產，根據(jù)交換機端口連接不同的資產類型，采用不同的準入策略，針對終端采取 802.1x 端口準入控制，針對無代理啞終端采取端口靜態(tài)指紋準入控制，針對級聯(lián)端口采取級聯(lián)監(jiān)控策略。建立起高效的網(wǎng)絡資產安全監(jiān)測接入體系，高效管理局域網(wǎng)中各類資產，全方位、多維度地提升局域網(wǎng)中安全感知、精準控制的能力。

3 系統(tǒng)原理與實現(xiàn)

3.1　系統(tǒng)工作原理 

采用B/S 架構，通過在服務端部署服務軟件采集各級交換機端口信息，以達到精準識別交換機端口的目的。服務端的管理界面采用 Web架構，部署在應用服務中，用于實現(xiàn)網(wǎng)絡設備管理、端口安全檢測、端口接入總覽等功能的展示與基本操作；分析服務由探測服務和端口分析服務組成，主要實現(xiàn)對交換機端口接入情況的探測，并根據(jù)檢測策略進行端口接入分析；利用 SSH 和 SNMP 實現(xiàn)對交換機端口的數(shù)據(jù)采集。系統(tǒng)工作原理如圖 6 所示。

圖 6　系統(tǒng)工作原理

系統(tǒng)工作原理如下所述：

（1）服務端探測局域網(wǎng)內的資產信息；

（2）根據(jù)算法構造資產、端口模型；

（3）與交換機進行 SSH 交互，獲取存活端口屬性信息；

（4）進一步完善資產和端口模型；

（5）對交換機進行 SNMP 探查；

（6）形成最終的端口連接模型；

（7）繪制網(wǎng)絡空間地圖，并形成每個端口獨立的端口控制策略。

該系統(tǒng)可以精確分析接入交換機的每一個具體端口，根據(jù)交換機的不同端口進行各種策略的控制實施。若識別到端口是級聯(lián)端口，則采取級聯(lián)端口策略來進行控制；若識別到端口是打印機、攝像頭等無代理的終端，則采取 MAC準入控制、網(wǎng)絡流量監(jiān)控、指紋控制相結合的方式進行端口準入控制。精準識別各種交換機端口串接設備是整個系統(tǒng)實現(xiàn)的關鍵點，在此基礎上實現(xiàn)整個網(wǎng)絡空間指紋化、地圖化，清晰明了地呈現(xiàn)各種設備的關系，不僅為網(wǎng)絡安全監(jiān)控、威脅態(tài)勢感知提供了系統(tǒng)的認知，還能根據(jù)掌握的網(wǎng)絡資產情況管控各設備接入局域網(wǎng)。

3.2　系統(tǒng)實現(xiàn)

服務端通過繪制網(wǎng)絡空間地圖，標記出交換機在網(wǎng)絡空間的位置，雙擊交換機即可詳細展示交換機的信息，通過交換機端口模型的信息、不同顏色狀態(tài)顯示交換機的不同類型端口。端口狀態(tài)展示頁面如圖 7 所示，頁面上部為交換機端口展示區(qū)域；左下部為采集到的交換機信息；右下部為選擇的端口屬性詳情信息（默認顯示端口 1 信息）。

圖 7　端口狀態(tài)展示頁面

通過資產探測、SSH 交互、SNMP 服務、網(wǎng)絡資產測繪相結合的方式，確定交換機信息和每個端口的屬性，并通過頁面直觀、準確地展示出來，方便管理員掌握局域網(wǎng)內交換機的情況。具體展示的內容如下：

（1）交換機端口主要包括 4 種狀態(tài)，分別為上聯(lián)口、下聯(lián)口、已連接端口和未連接端口；

（2）交換機信息包括廠商、型號、版本、上下級聯(lián)口、VLAN 信息等；

（3）端口屬性包括端口號、是否是級聯(lián)口、端口狀態(tài)、速率、所屬 VLAN、連接終端信息等。

系統(tǒng)通過算法分析實現(xiàn)交換機級聯(lián)端口的精準識別，對各級交換機端口實行動態(tài)感知，通過對交換機上不同端口的接入資產定義對應的安全策略，實現(xiàn)內網(wǎng)接入設備的用戶、身份、網(wǎng)絡位置、訪問權限和管理的合法性，以加強內網(wǎng)中各級各資產的細致管控。

4 結　語

隨著網(wǎng)絡業(yè)務的擴展，各種類型的啞終端設備被應用到企業(yè)的管理與運營中，大量終端設備的資產位置依賴于對網(wǎng)絡交換機的精準識別。本文采用資產探測、SSH 交互、SNMP 服務、網(wǎng)絡資產測繪相結合的方式，辨別交換機各個端口的級聯(lián)屬性，能夠有效地檢測識別不同品牌及型號的交換機端口，結合端口控制準入能及時對交換機上存在問題的端口資產進行整改，最大限度地消除影響，從被動防御向主動監(jiān)控轉化。未來，將嘗試分析交換機配置信息中的Trunk、Hybrid、Access 狀態(tài)、VLAN 相關信息以及端口虛擬局域網(wǎng)標識信息等，進一步細化區(qū)分集線器、虛擬化平臺及交換機級聯(lián)口對應的級聯(lián)狀態(tài)。

引用格式：鄭睿 , 唐橋丹 , 倪琛 , 等 . 基于端口屬性的交換機級聯(lián)端口識別技術淺析 [J]. 信息安全與通信保密 ,2024(3):68-76.
作者簡介 >>>
鄭　睿，男，學士，工程師，主要研究方向為信息安全和網(wǎng)絡安全；
唐橋丹，男，學士，工程師，主要研究方向為信息安全和網(wǎng)絡安全；
倪　琛，女，學士，高級工程師，主要研究方向為信息安全和網(wǎng)絡安全；
范競丹，女，碩士，工程師，主要研究方向為網(wǎng)絡安全。
選自《信息安全與通信保密》2024年第3期（為便于排版，已省去原文參考文獻）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權轉載，版權歸原作者所有，不代表銳成觀點，轉載的目的在于傳遞更多知識和信息。