基于核心交換機(jī)的校園網(wǎng)絡(luò)安全策略實(shí)現(xiàn)

摘 要：校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)。隨著校園網(wǎng)功能的不斷完善，針對校園網(wǎng)絡(luò)的安全威脅也是越來越多，本文通過在校園網(wǎng)絡(luò)中的核心交換機(jī)上運(yùn)用各種安全策略，主要包括NAT、VLAN、Access-List等，有效地保障了校園網(wǎng)絡(luò)的安全。

關(guān)鍵詞：核心交換機(jī)；校園網(wǎng)；Cisco Ios；安全策略

隨著高校教育信息化工作的深入開展，穩(wěn)定的網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)已成為教育信息化的重要保障，伴隨產(chǎn)生了日益嚴(yán)重的信息安全問題，網(wǎng)絡(luò)及信息安全也成為高校關(guān)注焦點(diǎn)之一。網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施，在學(xué)校教學(xué)科研、管理和對外交流中擔(dān)當(dāng)重要角色。對于大多數(shù)校園網(wǎng)絡(luò)來說，網(wǎng)絡(luò)都是開放的 無論是有意的攻擊，還是無意的誤操作，都將會給信息系統(tǒng)帶來不可估量的損失。非法入侵、系統(tǒng)漏洞、計(jì)算機(jī)病毒等對校園網(wǎng)產(chǎn)生了巨大的威脅。因此，如何保證校園網(wǎng)絡(luò)安全運(yùn)行已成為各高校亟需解決的問題。本文以Cisco技術(shù)與設(shè)備為基礎(chǔ)，通過實(shí)例來強(qiáng)調(diào)在實(shí)現(xiàn)信息安全時(shí)，首要任務(wù)是做好技術(shù)選型和設(shè)備選型，其次重點(diǎn)是在校園網(wǎng)絡(luò)中采用有效地安全策略與技術(shù)手段來保護(hù)網(wǎng)絡(luò)。

1 校園網(wǎng)絡(luò)中核心交換機(jī)

如下圖1.1所示，某某學(xué)校校園網(wǎng)絡(luò)拓?fù)鋱D，該學(xué)院校園網(wǎng)絡(luò)核心交換機(jī)選用Cisco Catalyst 6500系列交換機(jī)。

1.1 核心交換機(jī)

組建計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，一般分為三層：接入層、匯聚層、核心層。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心層設(shè)備將占投資的主要部分。位于核心層的交換機(jī)我們稱之為核心交換機(jī)，它應(yīng)用有更高的可靠性、性能和吞吐量。

1.2 Cisco IOS

Cisco IOS（ Internet work Operating System）Cisco網(wǎng)際操作系統(tǒng)，是全球網(wǎng)絡(luò)最負(fù)盛名的Cisco公司所開發(fā)，專門用于配置Cisco路由器硬件，令其將信息從一個(gè)網(wǎng)絡(luò)路由或橋接至另一個(gè)網(wǎng)絡(luò)。操作系統(tǒng)在提供管理服務(wù)的同時(shí)，安全性也是必不可少的，在IOS Ver sion12.2中，可供選擇的網(wǎng)絡(luò)安全技術(shù)主要有：認(rèn)證授權(quán)、數(shù)據(jù)加密、訪問控制、安全審計(jì)等。而提供安全網(wǎng)關(guān)服務(wù)的類型有：地址轉(zhuǎn)換、包過濾、應(yīng)用代理、虛擬網(wǎng)劃分、訪問列表和DoS防御。

1.3 Cisco Catalyst 6500

Cisco Catalyst 6500系列交換機(jī)能夠提供安全的端到端融合網(wǎng)絡(luò)服務(wù)，其使用范圍從布線室到核心，再到數(shù)據(jù)中心和廣域網(wǎng)邊緣。Cisco Catalyst 6500系列能夠通過多種機(jī)箱配置和LAN/WAN/MAN接口提供可擴(kuò)展的性能和端口密度，因而能幫助企業(yè)和電信運(yùn)營商降低總體擁有成本。

如上圖某某學(xué)校1.1中，網(wǎng)絡(luò)結(jié)構(gòu)采用Cisco Catalyst 6509作為整個(gè)校園網(wǎng)核心層的交換機(jī)，Cisco Catalyst 2960作為接入層交換機(jī)。由于Cisco Catalyst 6509是具有路由功能的三層交換機(jī)，支持IOS 運(yùn)行，所以在Cisco Catalyst 6509上直接做安全策略是高效的、可靠的。

2 虛擬局域網(wǎng)VLAN安全策略

為了提高網(wǎng)絡(luò)的安全性，減少廣播風(fēng)暴，同時(shí)為了更好地管理網(wǎng)絡(luò)，我們可以在核心交換機(jī)上對校園網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)規(guī)劃，即劃分若干個(gè)子網(wǎng)，實(shí)現(xiàn)該方法主要采用VLAN劃分。VLAN （Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。由于VLAN隔離了廣播風(fēng)暴，同時(shí)也隔離了各個(gè)不同的VLAN之間的通訊，所以VLAN之間的通訊是需要有路由來完成。結(jié)合某某學(xué)校實(shí)際網(wǎng)絡(luò)需求情況，共劃分三個(gè)網(wǎng)絡(luò)區(qū)域：教學(xué)辦公區(qū)、學(xué)生宿舍區(qū)及職工宿舍區(qū)，在交換機(jī)上共設(shè)置32個(gè)VLAN。為了便于管理，我們在交換機(jī)上啟用VTP，配置如下：

/ * 激活VTP V2 （ 交換機(jī)默認(rèn)的是VTP V1），同時(shí)將交換機(jī)名改為SW2960 * /

SW2960#vlan database

SW2960（ vlan）# vtp v2 mode

/ * 創(chuàng)建VLAN并查看VLAN* /

SW2960#vlan database

SW2960（ vlan）#vlan vlan id name vlan- name

SW2960#show vlan name vlan- name

SW2960（ vlan） #no vlan vlan-id/ / 刪除VLAN

/ * 將端口加入VLA N* /

SW2960#conf igure terminal

SW2960（ config） #interface interface-id

SW2960 （config-if） #switchport mode access

SW2960（ config-if） #switchport access vlan vlan- id

SW2960#show interface interface-id switchport

/ * 配置t runk 端口* /

SW2960#conf igure terminal

SW2960（ config ） #interface f 0/24

SW2960（ conf ig-if ） #switchpor t mode trunk

SW2960（ config-if ） #end

/ * 配置交換機(jī)6509，改名為SW6509* /

SW6509#set vlan 10 name v10 type ethernet mtu 1500 said 100008 state active

/ * 配置t runk 上允許的VLAN* /

SW2960（ config） #interface interface-id

SW2960（ conf ig-if ） #switchpor t mode trunk

SW2960（ conf ig-if ） #switchport trunk allowed vlan remove vlan-id range

SW2960（ conf ig-if ） #switchport trunk allowed vlan add vlan-id range

SW2960（ config-if ） #end

SW6509 #set trunk 3/ 6 auto nego tiate 10，253，1002，1005

3 NAT地址轉(zhuǎn)換策略

學(xué)校公網(wǎng)地址數(shù)量是有限的，為了保證所有宿舍、教學(xué)區(qū)、公寓等場所能夠連網(wǎng)，我們可以使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translation）實(shí)現(xiàn)私有地址訪問公網(wǎng)地址的功能。NAT功能可以實(shí)現(xiàn)對防火墻外部的網(wǎng)絡(luò)訪問時(shí)隱藏內(nèi)部的網(wǎng)絡(luò)地址。在內(nèi)部網(wǎng)絡(luò)中我們使用私有的地址，然后基于NAT 在防火墻上把這些未注冊的IP地址轉(zhuǎn)換成合法的地址?？梢詫?shí)現(xiàn)多個(gè)私有地址對應(yīng)一個(gè)公網(wǎng)地址，也可以是多個(gè)私有地址對多個(gè)公網(wǎng)地址，但在經(jīng)過防火墻后所有的私有地址都被轉(zhuǎn)換成統(tǒng)一的地址。由于隱藏了內(nèi)部地址，NAT 提供了一定的入侵防護(hù)。另外，NAT在外部名字空間中去除了所有的內(nèi)部服務(wù)，所以NAT不能與RPC、VDOLive及SQL *Net時(shí)“Redirected”等應(yīng)用層協(xié)議一起工作。

某某學(xué)校內(nèi)網(wǎng)的私有地址為172.26.0.0，為保護(hù)校內(nèi)網(wǎng)絡(luò)的穩(wěn)定性以及資源的安全，在劃分VLAN基礎(chǔ)上實(shí)現(xiàn)公網(wǎng)連接，即設(shè)定一個(gè)公網(wǎng)地址池POOL，地址有218.3.172.50--218.3.172.60，利用NAT功能實(shí)現(xiàn)地址的轉(zhuǎn)換，配置如下：

/ * 修改6509交換機(jī)名稱為SW6509，并定義網(wǎng)絡(luò)的內(nèi)部/ 外部端口* /

Switch#conf t

Switch（config）#hostname SW6509

SW6509（ config ） #interface vlan 2

SW6509（ conf ig-if） # ip address 172.26.1.1 255.255.255.0

SW6509（ config-if） #ip nat inside

......

SW6509（ config） #interface f0/24

SW6509（config-if） #ip address 218.3.172.50 255.255.255.0

SW6509 （ config-if ） #ip nat outside

/ * 配置需要轉(zhuǎn)換的ACL* /

SW6509 （ conf ig ） #access- list 1 permit 172.26.0.0 0.0.0.255

SW6509 （ conf ig ） #access -list 1 permit 172.25.0.0 0.0.0.255

......

/ *地址翻譯，配置地址池* /

SW6509 （ conf ig ） #ip nat pool xuexiao 218.3.172.50 218.3.172.50 netmask 255.255.255.0

/ * 實(shí)現(xiàn)私有地址與公網(wǎng)地址的轉(zhuǎn)換* /

SW6509（ config ） #ip nat inside source list 1 pool xuexiao overload

4 訪問控制ACL列表策略實(shí)現(xiàn)

訪問控制列表也稱為訪問列表（ Access-List ） ，它主要功能是對進(jìn)出路由器端口的數(shù)據(jù)包進(jìn)行過濾，符合條件的數(shù)據(jù)包允許通過，不符合條件的數(shù)據(jù)包不允許通過。它對病毒入侵、黑客攻擊、未經(jīng)授權(quán)訪問等網(wǎng)絡(luò)行為有遏止作用。

/ *教學(xué)辦公網(wǎng)段訪問限制，阻止相關(guān)探測* /

SW6509（ config ） #access-lisy 100 deny icmp 172.18.1.0 0.0.0.255 172.16.0.0 0.0.0.255 echo

SW6509（ config ） #access-lisy 100 deny icmp 172.16.0.0 0.0.0.255 172.18.1.0 0.0.0.255 echo reply

......

/ * 為提高網(wǎng)絡(luò)的安全性，關(guān)閉某些網(wǎng)網(wǎng)段大于1023的所有端口* /

SW6509（ config ） #access-list 100 deny tcp 172.18.1.0 0.0.0.255 gt 1023 172.16，0.0 0.0.0.255 lt 1024

SW6509（ config ） #access-list 100 deny tcp 172.16.0.0 0.0.0.255 lt 1024 172.18.1.0 0.0.0.255 gt 1023

/ * 禁用ping命令，關(guān)閉135、139、445、4444 端口，預(yù)防“沖擊波”、蠕蟲病毒等* /

SW6509（config） #access-list 100 deny icmp any any eq ping

SW6509（config） #access-list 100 deny tcp any any eq 4444

SW6509（config） #access-list 100 deny tcp any any eq 445

SW6509（config） #access-list 100 deny udp any any eq tf tp

SW6509（config） #access-list 100 deny tcp any any eq 135

SW6509（config） #access-list 100 deny udp any any eq 135

SW6509（config） #access-list 100 deny tcp any any eq 139

SW6509（config） #access-list 100 deny tcp any any eq 445

SW6509（config） #access-list 100 permit ip any any

/ * 在接口模式下關(guān)閉某些用于網(wǎng)絡(luò)診斷的服務(wù)，抵御拒絕服務(wù)攻擊（ DoS） * /

SW26（config） #no service udp small

SW26（config） #no service tcp small

SW26（config）#no service service finger

SW26（config）#no ip directed broadcast

網(wǎng)絡(luò)安全問題是一個(gè)長期問題，我們需要不斷的學(xué)習(xí)和實(shí)踐。本文通過在交換機(jī)上劃分VLAN、應(yīng)用NAT、關(guān)閉相應(yīng)端口及協(xié)議，可以在一定程度上保障網(wǎng)絡(luò)安全，但在實(shí)際應(yīng)用中不可預(yù)知的事情多有發(fā)生，為了提高網(wǎng)絡(luò)的安全性和長久穩(wěn)定性，我們需要在網(wǎng)絡(luò)安全設(shè)置時(shí)綜合考慮，必須構(gòu)筑完整的聯(lián)運(yùn)安全體系，將網(wǎng)絡(luò)安全硬件、軟件、網(wǎng)絡(luò)操作系統(tǒng)等集成，動態(tài)更新安全策略，能夠做到問題的及時(shí)發(fā)現(xiàn)，漏洞的及時(shí)更新以及對發(fā)現(xiàn)的破壞、攻擊事件進(jìn)行封堵、追蹤、查殺，從而對網(wǎng)絡(luò)安全提供保障。

[參考文獻(xiàn)]

[1]李楠.計(jì)算機(jī)網(wǎng)絡(luò)安全問題分析及防范[J].無線互聯(lián)科技.2014（5）.

[2]孫利國.防火墻技術(shù)的研究知識與技能要求[J].無線互聯(lián)科技.2014（5）.

[3]陳建銳.軟件仿真下的VLAN配置實(shí)驗(yàn)探討[J].實(shí)驗(yàn)室研究與探索.2011（2）：79-81.

[4]范俊俊，魯云萍.基于交換機(jī)的ARP安全機(jī)制研究[J].計(jì)算機(jī)工程與設(shè)計(jì).2008（8）.

[5]張晗，譚箐，劉洪源.實(shí)驗(yàn)室內(nèi)部網(wǎng)絡(luò)終端安全管理[J].現(xiàn)代電子技術(shù).2012（17）.

[6]申健.校園網(wǎng)路由策略分析及應(yīng)用[J].實(shí)驗(yàn)技術(shù)與管理.2013（11）.

[7]肖勝仁.基于網(wǎng)絡(luò)安全的交換機(jī)和路由器設(shè)置探析[J].電子制作.2013（21）.