宿舍網(wǎng)絡(luò)交換機(jī)安全配置研究

摘要:從網(wǎng)絡(luò)安全分析出發(fā)，采用軟件原形法進(jìn)行研究。從宿舍網(wǎng)絡(luò)核心到網(wǎng)絡(luò)接入交換機(jī)進(jìn)行至上而下的安全規(guī)劃和配置，以實(shí)例的方式采用802.1x、VLAN、路由等技術(shù)保障宿舍網(wǎng)絡(luò)安全。

關(guān)鍵詞:網(wǎng)絡(luò)安全;VLAN;認(rèn)證;MAC

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2009)36-10203-02

The Reserch of Dormitory Network Switch Security Configuration

LV Wei-chun， DONG Jian

(Center of Network Management， Suzhou Vocational University， Suzhou 215104， China)

Abstract: The paper adopts the software prototype method to study from the network security analysis. By way of example using 802.1x， VLAN， routing and other technical support the network security from the dormitory network core to the network access switch to top-down security planning and configuration.

key words: network security; VLAN; certification; MAC

1 網(wǎng)絡(luò)安全分析

隨著互聯(lián)網(wǎng)上大量的傻瓜化的黑客攻擊工具的泛濫，網(wǎng)絡(luò)面臨著各攻擊行為的挑戰(zhàn)。學(xué)生的好奇心導(dǎo)致對(duì)宿舍網(wǎng)絡(luò)提出了新的要求。而網(wǎng)絡(luò)各層次都會(huì)受到各種各樣的威脅，網(wǎng)絡(luò)中的各個(gè)設(shè)備必工作于協(xié)議棧的某個(gè)層次。應(yīng)用層的安全問(wèn)題主要是由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括WEB服務(wù)、電子郵件系統(tǒng)、FTP等，此外還包括病毒對(duì)系統(tǒng)的威脅;傳輸層安全關(guān)注的是面向連接和非面向連接的攻擊;網(wǎng)絡(luò)層安全關(guān)注的是IP地址掃描/欺騙/盜用;數(shù)據(jù)鏈路層安全關(guān)注的是MAC地址掃描/欺騙/攻擊、ARP欺騙/攻擊、STP攻擊、DHCP攻擊;物理層安全關(guān)注的是線路的安全、物理設(shè)備的安全、機(jī)房的安全等。

2 宿舍網(wǎng)絡(luò)設(shè)計(jì)

宿舍網(wǎng)絡(luò)系統(tǒng)采用了三層架構(gòu):宿舍網(wǎng)核心層，宿舍網(wǎng)匯聚層和接入層。其中宿舍網(wǎng)匯聚層又包含宿舍區(qū)域匯聚和宿舍樓棟匯聚。網(wǎng)絡(luò)拓?fù)淙鐖D1。

為了能夠更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全方面的控制，防范內(nèi)網(wǎng)的病毒泛濫、病毒攻擊和黑客攻擊，造成網(wǎng)絡(luò)的堵塞和癱瘓，及重要部門數(shù)據(jù)被破壞和竊聽(tīng)，宿舍設(shè)備采用了內(nèi)嵌豐富安全機(jī)制的交換機(jī)，以防護(hù)各種攻擊和病毒的泛濫，同時(shí)具有身份確認(rèn)、防止IP沖突、帳號(hào)盜用、控制上網(wǎng)的時(shí)間、限制一些應(yīng)用程序使用、靈活計(jì)費(fèi)等功能。

宿舍網(wǎng)核心層到宿舍區(qū)域匯聚采用的是靜態(tài)路由的設(shè)計(jì);宿舍區(qū)域匯聚到宿舍樓棟匯聚同樣采用靜態(tài)路由的設(shè)計(jì);宿舍樓棟匯聚到接入層采用了Trunk方式連接。各級(jí)分工明確，邏輯性強(qiáng)，安全設(shè)計(jì)靈活簡(jiǎn)便。

3 宿舍網(wǎng)絡(luò)安全接入技術(shù)

傳統(tǒng)基于CA的認(rèn)證方式可以解決電子身份的問(wèn)題，而人員的身份證等可以解決現(xiàn)實(shí)身份的問(wèn)題。但是，由于缺乏有效的現(xiàn)實(shí)身份到電子身份映射問(wèn)題，也就是無(wú)法唯一確認(rèn)網(wǎng)絡(luò)使用者的身份，內(nèi)部安全問(wèn)題一直是網(wǎng)絡(luò)安全的最大隱患。

宿舍網(wǎng)絡(luò)采用的是基于802.1X協(xié)議的認(rèn)證計(jì)費(fèi)系統(tǒng)SAM，可以根據(jù)用戶名、用戶密碼、IP、MAC、接入交換機(jī)IP、接入交換機(jī)端口等信息的靈活綁定來(lái)確認(rèn)接入用戶身份的唯一性。真正做到接入的安全。

虛擬局域網(wǎng)(VLAN)技術(shù)是為了解決橋接的局域網(wǎng)中存在的廣播風(fēng)暴，以及網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)展性、靈活性和易管理性方面的問(wèn)題，第二層交換機(jī)基本上都支持VLAN劃分。在局域網(wǎng)設(shè)計(jì)中，我們可以根據(jù)不同樓層劃分VLAN。VLAN技術(shù)的采用為宿舍網(wǎng)絡(luò)系統(tǒng)帶來(lái)了以下的優(yōu)點(diǎn):

1)控制廣播

VLAN之間是相互隔離的，所有的廣播和多點(diǎn)廣播都被限制在一個(gè)VLAN的范圍內(nèi)，即一個(gè)VLAN產(chǎn)生的廣播信息不會(huì)被傳播到其它的VLAN中，有效地防止了局域網(wǎng)上廣播風(fēng)暴的產(chǎn)生，提供了帶寬的利用率。

2)提高安全性

由于VLAN之間是相互隔離的，因此可將高安全性要求的主機(jī)服務(wù)器可劃分到一個(gè)VLAN中，而其它VLAN的用戶則不能訪問(wèn)它們。如果VLAN之間要進(jìn)行通信則必需通過(guò)三層交換機(jī)才能完成，而三層交換機(jī)上具有訪問(wèn)控制(Access-List)以及防火墻等安全控制功能，因此VLAN之間的訪問(wèn)可以通過(guò)三層交換機(jī)進(jìn)行控制。

3)提高性能

通過(guò)VLAN的劃分，可將需訪問(wèn)同一服務(wù)器/服務(wù)器組的用戶放到同一個(gè)VLAN中，這樣該VLAN內(nèi)部的服務(wù)器只由本VLAN內(nèi)的成員訪問(wèn)，其它VLAN的用戶不會(huì)影響服務(wù)器的性能。

4)便于管理

由于VLAN的劃分是邏輯上的，因此用戶不再受到物理位置的限制，任意位置的用戶可以屬于任意一個(gè)VLAN，VLAN內(nèi)的成員可以任意地增加，修改和刪除，使得網(wǎng)絡(luò)管理更加簡(jiǎn)便易行。

4 交換機(jī)安全配置設(shè)計(jì)

交換機(jī)是宿舍網(wǎng)絡(luò)中的主要設(shè)備， 特別是核心、匯聚交換機(jī)承主要負(fù)責(zé)數(shù)據(jù)的交換， 在突發(fā)異常數(shù)據(jù)或遭受攻擊時(shí)， 很容易使設(shè)備負(fù)載過(guò)重或出現(xiàn)宕機(jī)現(xiàn)象。為了保障網(wǎng)良好的運(yùn)行， 減輕設(shè)備的負(fù)載， 各個(gè)廠商在設(shè)備上都開發(fā)了一些安全防范技術(shù)， 這些配置和安全技術(shù)在我校宿舍網(wǎng)絡(luò)中均有效實(shí)施。

4.1 防止MAC攻擊的實(shí)現(xiàn)和配置

交換機(jī)內(nèi)部的MAC地址表空間是有限的，MAC攻擊會(huì)很快占滿交換機(jī)內(nèi)部MAC地址表，使得單播包在交換機(jī)內(nèi)部也變成廣播包向同一個(gè)VLAN中所有端口轉(zhuǎn)發(fā)，每個(gè)連在端口上的客戶端都可以收到該報(bào)文，交換機(jī)變成了一個(gè)Hub，用戶的信息傳輸也沒(méi)有安全保障了，利用MAC地址洪泛攻擊來(lái)截獲客戶信息。MAC攻擊原理如圖2。

利用交換機(jī)端口安全功能下的MAC動(dòng)態(tài)地址鎖/端口靜態(tài)綁定MAC，或802.1x端口下端口自動(dòng)動(dòng)態(tài)綁定MAC/IP，來(lái)限定交換機(jī)某個(gè)端口上可以學(xué)習(xí)的源MAC數(shù)量或源MAC地址，當(dāng)該端口學(xué)習(xí)的MAC數(shù)量超過(guò)限定數(shù)量或者和綁定的MAC地址不一樣時(shí)，交換機(jī)將產(chǎn)生違例動(dòng)作。

配置案例:將MAC 地址與端口進(jìn)行綁定:

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security mac-address 0016.d34e.e625

Switch(config-if)#switchport port-security aging time 600

4.2 防止IP掃描攻擊的實(shí)現(xiàn)和配置

眾所周知，許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動(dòng)的主機(jī)開始的，大量的掃描報(bào)文也急劇占用網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無(wú)法進(jìn)行。銳捷三層交換機(jī)提供了防掃描的功能，用以防止黑客掃描和類似“沖擊波病毒”的攻擊，并能減少三層交換機(jī)的CPU 負(fù)擔(dān)。

配置案例:在三層交換機(jī)接口下，啟用防掃描功能，隔離時(shí)間1200秒，對(duì)某個(gè)不存在的IP不斷的發(fā)IP報(bào)文進(jìn)行攻擊的閥值設(shè)置為30，對(duì)一批IP網(wǎng)段進(jìn)行掃描攻擊的閥值為10。

Switch(config)#interface gigabitEthernet 1/1

Switch((config-if)#)#system-guard enable

Switch((config-if)#)#system-guard isolate-time 1200

Switch((config-if)#)#system-guard same-ip-attack-packets 30

Switch((config-if)#)#system-guard scan-ip-attack-packets 10

4.3 防止STP攻擊的實(shí)現(xiàn)和配置

STP攻擊是發(fā)送虛假的BPDU報(bào)文，擾亂網(wǎng)絡(luò)拓?fù)浜玩溌芳軜?gòu)，充當(dāng)網(wǎng)絡(luò)根節(jié)點(diǎn)，獲取信息。

配置案例:在接入層交換機(jī)直連終端的端口上，在ACCESS PORT上起用PORTFAST功能，同時(shí)起用BPDU GUARD、 BPDU FILTER功能，可以禁止網(wǎng)絡(luò)中直接接用戶的端口收到BPDU報(bào)文。從而防范用戶發(fā)送非法BPDU報(bào)文。

Switch(config)#spanning-tree //啟用生成樹協(xié)議

Switch(config)#interface fastethernet 0/1-24

Switch(config-if-range)#spanning-tree bqdufilter enabled //過(guò)濾BPDU報(bào)文

Switch(config-if-range)#spanning-tree portfast //端口直接forwarding，這樣可免去端口等待forwarding 的過(guò)程(如果不配置Port Fast 的端口，就要等待30 秒forwarding)

4.4 唯一合法性探測(cè)的實(shí)現(xiàn)和配置

根據(jù)一個(gè)IP 地址，檢測(cè)是否有多個(gè)用戶(以MAC地址來(lái)區(qū)別，多個(gè)用戶即指多個(gè)MAC 址)在使用它，如果有多個(gè)用戶在使用同一個(gè)IP，那么將通過(guò)TRAP 方式警告用戶，并以log 日志形式在帶外及終端上顯示。配置案例:通過(guò)命令no detect user-conflict，來(lái)關(guān)閉唯一合法性探測(cè)。

以下設(shè)置步驟探測(cè)ip 范圍段為10.1.1.1-10.1.1.255，并設(shè)置探測(cè)的間隔時(shí)間為2 分鐘:

Switch(config)# detect user-conflict 10.1.1.1 10.1.1.255

Switch(config)# detect user-conflict interval 120

Switch(config)# exit

4.5 防止廣播風(fēng)暴的實(shí)現(xiàn)和配置

端口接收到過(guò)量的廣播、未知名多播或未知名單播包時(shí)，一個(gè)數(shù)據(jù)包的風(fēng)暴就產(chǎn)生，這會(huì)導(dǎo)致網(wǎng)絡(luò)變慢和報(bào)文傳輸超時(shí)幾率大大增加。

配置案例:設(shè)置步驟打開端口廣播風(fēng)暴控制功能:

Switch(config)# interface fastethernet0/1

Switch(config)# storm-control multicast

Switch(config)# storm-control broadcast

Switch(config)# storm-control unicast

Switch(config)# end

5 總結(jié)

交換機(jī)是宿舍網(wǎng)絡(luò)中的主要網(wǎng)絡(luò)設(shè)備，做好交換機(jī)的安全配置是構(gòu)建安全穩(wěn)定的宿舍網(wǎng)絡(luò)的必要條件。結(jié)合本人在蘇州市職業(yè)大學(xué)宿舍網(wǎng)管中心的實(shí)際工作情況，從網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)，自上而下的對(duì)宿舍網(wǎng)絡(luò)交換機(jī)設(shè)備實(shí)施安全技術(shù)的配置，能及時(shí)記錄、告警告知網(wǎng)絡(luò)管理員，從而保障宿舍網(wǎng)絡(luò)以及整個(gè)校園網(wǎng)絡(luò)的穩(wěn)定、安全、可靠的運(yùn)行。本文主要是針對(duì)目前比較流行的病毒、黑客攻擊等做相應(yīng)的安全配置，未涉及網(wǎng)絡(luò)具體應(yīng)用的QoS服務(wù)保障，在今后的研究中將有所體現(xiàn)。

參考文獻(xiàn):

[1] 呂偉春.校園網(wǎng)絡(luò)安全的攻防技術(shù)研究[J].蘇州市職業(yè)大學(xué)學(xué)報(bào)，2007，18(4):62-64.

[2] 呂偉春，胡洪新.構(gòu)建安全穩(wěn)定的高校宿舍網(wǎng)絡(luò)[J].蘇州市職業(yè)大學(xué)學(xué)報(bào)，2009，20(3):50-53.

[3] 陳京海.淺談華為核心交換機(jī)的安全配置[J].池州學(xué)院學(xué)報(bào)，2008，22(3):57-60.

[4] 張曉河.基于Cisco 交換機(jī)的VLAN 設(shè)計(jì)與安全配置實(shí)現(xiàn)方法[J].河西學(xué)院學(xué)報(bào)，2007，23(2):98-101.