宿舍網絡交換機安全配置研究

摘要:從網絡安全分析出發，采用軟件原形法進行研究。從宿舍網絡核心到網絡接入交換機進行至上而下的安全規劃和配置，以實例的方式采用802.1x、VLAN、路由等技術保障宿舍網絡安全。

關鍵詞:網絡安全;VLAN;認證;MAC

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2009)36-10203-02

The Reserch of Dormitory Network Switch Security Configuration

LV Wei-chun， DONG Jian

(Center of Network Management， Suzhou Vocational University， Suzhou 215104， China)

Abstract: The paper adopts the software prototype method to study from the network security analysis. By way of example using 802.1x， VLAN， routing and other technical support the network security from the dormitory network core to the network access switch to top-down security planning and configuration.

key words: network security; VLAN; certification; MAC

1 網絡安全分析

隨著互聯網上大量的傻瓜化的黑客攻擊工具的泛濫，網絡面臨著各攻擊行為的挑戰。學生的好奇心導致對宿舍網絡提出了新的要求。而網絡各層次都會受到各種各樣的威脅，網絡中的各個設備必工作于協議棧的某個層次。應用層的安全問題主要是由提供服務所采用的應用軟件和數據的安全性產生，包括WEB服務、電子郵件系統、FTP等，此外還包括病毒對系統的威脅;傳輸層安全關注的是面向連接和非面向連接的攻擊;網絡層安全關注的是IP地址掃描/欺騙/盜用;數據鏈路層安全關注的是MAC地址掃描/欺騙/攻擊、ARP欺騙/攻擊、STP攻擊、DHCP攻擊;物理層安全關注的是線路的安全、物理設備的安全、機房的安全等。

2 宿舍網絡設計

宿舍網絡系統采用了三層架構:宿舍網核心層，宿舍網匯聚層和接入層。其中宿舍網匯聚層又包含宿舍區域匯聚和宿舍樓棟匯聚。網絡拓撲如圖1。

為了能夠更好地實現網絡安全方面的控制，防范內網的病毒泛濫、病毒攻擊和黑客攻擊，造成網絡的堵塞和癱瘓，及重要部門數據被破壞和竊聽，宿舍設備采用了內嵌豐富安全機制的交換機，以防護各種攻擊和病毒的泛濫，同時具有身份確認、防止IP沖突、帳號盜用、控制上網的時間、限制一些應用程序使用、靈活計費等功能。

宿舍網核心層到宿舍區域匯聚采用的是靜態路由的設計;宿舍區域匯聚到宿舍樓棟匯聚同樣采用靜態路由的設計;宿舍樓棟匯聚到接入層采用了Trunk方式連接。各級分工明確，邏輯性強，安全設計靈活簡便。

3 宿舍網絡安全接入技術

傳統基于CA的認證方式可以解決電子身份的問題，而人員的身份證等可以解決現實身份的問題。但是，由于缺乏有效的現實身份到電子身份映射問題，也就是無法唯一確認網絡使用者的身份，內部安全問題一直是網絡安全的最大隱患。

宿舍網絡采用的是基于802.1X協議的認證計費系統SAM，可以根據用戶名、用戶密碼、IP、MAC、接入交換機IP、接入交換機端口等信息的靈活綁定來確認接入用戶身份的唯一性。真正做到接入的安全。

虛擬局域網(VLAN)技術是為了解決橋接的局域網中存在的廣播風暴，以及網絡系統的可擴展性、靈活性和易管理性方面的問題，第二層交換機基本上都支持VLAN劃分。在局域網設計中，我們可以根據不同樓層劃分VLAN。VLAN技術的采用為宿舍網絡系統帶來了以下的優點:

1)控制廣播

VLAN之間是相互隔離的，所有的廣播和多點廣播都被限制在一個VLAN的范圍內，即一個VLAN產生的廣播信息不會被傳播到其它的VLAN中，有效地防止了局域網上廣播風暴的產生，提供了帶寬的利用率。

2)提高安全性

由于VLAN之間是相互隔離的，因此可將高安全性要求的主機服務器可劃分到一個VLAN中，而其它VLAN的用戶則不能訪問它們。如果VLAN之間要進行通信則必需通過三層交換機才能完成，而三層交換機上具有訪問控制(Access-List)以及防火墻等安全控制功能，因此VLAN之間的訪問可以通過三層交換機進行控制。

3)提高性能

通過VLAN的劃分，可將需訪問同一服務器/服務器組的用戶放到同一個VLAN中，這樣該VLAN內部的服務器只由本VLAN內的成員訪問，其它VLAN的用戶不會影響服務器的性能。

4)便于管理

由于VLAN的劃分是邏輯上的，因此用戶不再受到物理位置的限制，任意位置的用戶可以屬于任意一個VLAN，VLAN內的成員可以任意地增加，修改和刪除，使得網絡管理更加簡便易行。

4 交換機安全配置設計

交換機是宿舍網絡中的主要設備， 特別是核心、匯聚交換機承主要負責數據的交換， 在突發異常數據或遭受攻擊時， 很容易使設備負載過重或出現宕機現象。為了保障網良好的運行， 減輕設備的負載， 各個廠商在設備上都開發了一些安全防范技術， 這些配置和安全技術在我校宿舍網絡中均有效實施。

4.1 防止MAC攻擊的實現和配置

交換機內部的MAC地址表空間是有限的，MAC攻擊會很快占滿交換機內部MAC地址表，使得單播包在交換機內部也變成廣播包向同一個VLAN中所有端口轉發，每個連在端口上的客戶端都可以收到該報文，交換機變成了一個Hub，用戶的信息傳輸也沒有安全保障了，利用MAC地址洪泛攻擊來截獲客戶信息。MAC攻擊原理如圖2。

利用交換機端口安全功能下的MAC動態地址鎖/端口靜態綁定MAC，或802.1x端口下端口自動動態綁定MAC/IP，來限定交換機某個端口上可以學習的源MAC數量或源MAC地址，當該端口學習的MAC數量超過限定數量或者和綁定的MAC地址不一樣時，交換機將產生違例動作。

配置案例:將MAC 地址與端口進行綁定:

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security mac-address 0016.d34e.e625

Switch(config-if)#switchport port-security aging time 600

4.2 防止IP掃描攻擊的實現和配置

眾所周知，許多黑客攻擊、網絡病毒入侵都是從掃描網絡內活動的主機開始的，大量的掃描報文也急劇占用網絡帶寬，導致正常的網絡通訊無法進行。銳捷三層交換機提供了防掃描的功能，用以防止黑客掃描和類似“沖擊波病毒”的攻擊，并能減少三層交換機的CPU 負擔。

配置案例:在三層交換機接口下，啟用防掃描功能，隔離時間1200秒，對某個不存在的IP不斷的發IP報文進行攻擊的閥值設置為30，對一批IP網段進行掃描攻擊的閥值為10。

Switch(config)#interface gigabitEthernet 1/1

Switch((config-if)#)#system-guard enable

Switch((config-if)#)#system-guard isolate-time 1200

Switch((config-if)#)#system-guard same-ip-attack-packets 30

Switch((config-if)#)#system-guard scan-ip-attack-packets 10

4.3 防止STP攻擊的實現和配置

STP攻擊是發送虛假的BPDU報文，擾亂網絡拓撲和鏈路架構，充當網絡根節點，獲取信息。

配置案例:在接入層交換機直連終端的端口上，在ACCESS PORT上起用PORTFAST功能，同時起用BPDU GUARD、 BPDU FILTER功能，可以禁止網絡中直接接用戶的端口收到BPDU報文。從而防范用戶發送非法BPDU報文。

Switch(config)#spanning-tree //啟用生成樹協議

Switch(config)#interface fastethernet 0/1-24

Switch(config-if-range)#spanning-tree bqdufilter enabled //過濾BPDU報文

Switch(config-if-range)#spanning-tree portfast //端口直接forwarding，這樣可免去端口等待forwarding 的過程(如果不配置Port Fast 的端口，就要等待30 秒forwarding)

4.4 唯一合法性探測的實現和配置

根據一個IP 地址，檢測是否有多個用戶(以MAC地址來區別，多個用戶即指多個MAC 址)在使用它，如果有多個用戶在使用同一個IP，那么將通過TRAP 方式警告用戶，并以log 日志形式在帶外及終端上顯示。配置案例:通過命令no detect user-conflict，來關閉唯一合法性探測。

以下設置步驟探測ip 范圍段為10.1.1.1-10.1.1.255，并設置探測的間隔時間為2 分鐘:

Switch(config)# detect user-conflict 10.1.1.1 10.1.1.255

Switch(config)# detect user-conflict interval 120

Switch(config)# exit

4.5 防止廣播風暴的實現和配置

端口接收到過量的廣播、未知名多播或未知名單播包時，一個數據包的風暴就產生，這會導致網絡變慢和報文傳輸超時幾率大大增加。

配置案例:設置步驟打開端口廣播風暴控制功能:

Switch(config)# interface fastethernet0/1

Switch(config)# storm-control multicast

Switch(config)# storm-control broadcast

Switch(config)# storm-control unicast

Switch(config)# end

5 總結

交換機是宿舍網絡中的主要網絡設備，做好交換機的安全配置是構建安全穩定的宿舍網絡的必要條件。結合本人在蘇州市職業大學宿舍網管中心的實際工作情況，從網絡的規劃設計，自上而下的對宿舍網絡交換機設備實施安全技術的配置，能及時記錄、告警告知網絡管理員，從而保障宿舍網絡以及整個校園網絡的穩定、安全、可靠的運行。本文主要是針對目前比較流行的病毒、黑客攻擊等做相應的安全配置，未涉及網絡具體應用的QoS服務保障，在今后的研究中將有所體現。

參考文獻:

[1] 呂偉春.校園網絡安全的攻防技術研究[J].蘇州市職業大學學報，2007，18(4):62-64.

[2] 呂偉春，胡洪新.構建安全穩定的高校宿舍網絡[J].蘇州市職業大學學報，2009，20(3):50-53.

[3] 陳京海.淺談華為核心交換機的安全配置[J].池州學院學報，2008，22(3):57-60.

[4] 張曉河.基于Cisco 交換機的VLAN 設計與安全配置實現方法[J].河西學院學報，2007，23(2):98-101.