基于校园网络的核心交换机安全配置

基于校园网络的核心交换机的防攻击策略★姓名：沈斌良班级：计算机083学号：08011187姓名：陈显锚班级：计算机083学号：08011216(★为本方案的主要负责同学）计算机与信息学院二〇一一年六月一、方案背景随着高校信息化建设的发展，高校校园网普及程度越来越高，校园网在教学、科研、校内政务管理方面起到了积极地作用。校园计算机网络的建设已成为学校建设中，上档次、上规模的一个重要标志。目前在各高等院校甚至在很多中学都已建立了自己的校园网，一些学校已开始将网络节点延伸至学生寝室，即将校园网面向学生全面开放，使得学校校园网真正在教学科研及管理等各方面起到重要的作用。近年来中国大步跨入了信息化社会，校园网是Intranet/Interner技术在教育机构的一个应用。它是指在学校范围内，在一定的教育思想和理论指导下，为学校教学，科研和管理等教育提供资源共享，信息交流和协同工作的计算机网络。由于校园网的特殊性和高校学生群体的特殊性，校园网络受到了更多的攻击，包括黑客恶意攻击和无意识攻击。在核心交换机配置防攻击策略，可以达到保护校园骨干网的正常运行，提高校园网的完全性。二、方案设计任务分工沈斌良：方案撰写陈显锚：资料搜集三、需求分析该方案主要致力于在校园网络中对于核心交换机的安全配置，随着校园网的普及和迅速发展，校园网的安全性成为当前备受关注的问题。核心交换机较高的可靠性和性能，不仅保障了骨干网高速转发通信和性能优化，而且通过防防攻击策略，可以提高校园网的安全性。在核心交换机中，我们主要需要解决一下几个问题：1．MAC／CAM攻击防范；2．DHCP攻击防范；3．ARP攻击防范；这3个安全防范对于校园网络来说是非常重要的：1．MAC／CAM攻击防范：交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表以此建立交换路径，这个表就是通常我们所说的CAM表。CAM表的大小是固定的，不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC，快速填满CAM表，交换机CAM表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。CAM表满了后，流量以洪泛方式发送到所有接口，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。2．DHCP攻击防范：采用DHCPserver可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，随之存在的隐患有DHCPserver的冒充、DHCPserver的Dos攻击、用户随便指定地址而造成网络地址冲突。3．ARP攻击防范：ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续小断的发出伪造ARP响应包就能更改目标主机ARP缓存中的IP—MAC条目，造成网络中断或中间人攻击。四、网络安全设计方案1.网络拓扑结构图图表1网络拓扑图2.设备选型鉴于本方案主要是实施在核心交换机上，因此其他设备不做介绍，主要介绍核心交换机的选择。核心交换设备应当采用高性能模块化三层交换机，支持交换引擎冗余和关键部件的热插拔。建议选择CiscoCatalyst6500-E系列（如图2所示）或锐捷RG―S8600系列产品。较小规模的学院级校园网络，也可以选择CiscoCatalyst6500-E系列或锐捷RG―S6800-E系列产品作为核心交换机。图表2CiscoCatalyst6500-E3.安全架构分析本设计的安全架构分析主要基于在需求分析中所提出的三种攻击防范，通过在核心交换机中的命令输入来实现对其的配置。1．MAC／CAM攻击防范：通过PortSecurityfeature可以防止MAC和MAC／CAM攻击.。通过配置PortSecurity可以控制端口上最大可以通过的MAC地址数量、端口上学习或通过哪些MAC地址、对于超过规定数量的MAC处理进行违背处理。例如，端口上最大可通过的MAC地址为10，通过端口的MAC地址为000b．dbld．6ccd。对于超过数量的MAC的非法流量丢弃并报警，具体配置如下：Switch(config-if)#switchportport—securitymaximum10Switch(Config—if)#switchportport—securitymac-addresssticky010c．dbld．6ccdSwitch(config—if)#switchportport—securityviolationrestrict2．DHCP攻击防范；通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息，这些信息是指来自小信任区域的DHCP信息。例如：对VLANl00使用DHCP嗅探过滤信息；设置信任端口正常转发DHCPOffer报文，不记录ip和mac地址的绑定，其余端口默认为不信任端口：绑定静态ip和mac。具体配置如下：Switch(config)#ipdhcpsnoopingvlanl00Switch(config)#inte1Switch(Config—if)#iPdhcpsnoopingtrustSwitch#ipdhcpsnoopingbinding0lOc.dbld.6ccdvlan7192.168.10.5interfacee13．ARP攻击防范:DynamicARPInspectInspection((DAI)在交换机上提供IP地址和MAC地址的绑定，并动态建立绑定关系。DAI以DHCPSnooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARPaccess一1ist实现⋯。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。定义arpinspection作用的vlan，它是根据dhcpsnoopingbinding表做判断的：侦测满足src-macdst-macip有效客户端：Switch(config)#ipdhcpsnoopingvlan100Switch(config)#iparpinspectionvlan100Switch(config)#iparpinspectionvalidatesrc—macdst-macip定义哪些接口是信任接口，通常是网络设备接口，TRUNK接口等；定义接口每秒ARP报文数量：Switch(config)#inte1Switch(config—if)#iparpinspectiontrust/*iparpinspection1imitrate20对于没有使用DHCP设备可以采用下面办法：Switch(config)#arpaccess一1iststatic—arpSwitch(config)#permitiphost192.168.55.11machost0016.9bcc.d154Switch(config)#iparpinspectionfilterstatic—arpvlanlOO五、总结本文主要介绍了校园网常见的攻击方法，以及在核心交换机针对这些攻击采取的防攻击策略的具体实施，实践证明，整个网络提高了抗攻击性，网络运行状态更为稳定。大学校园网安全是一项系统工程，在实施时要充分考虑各种情况，针对各种不同情况采取相应的措施。基于核心交换机的安全只是其中比较重要的一项，但只要长期有效的坚持，河里地配置好网络设备，再将防火墙、入侵检测系统、网络杀毒等系统纳入，就可以构筑立体的、动态的、安全灵便的网络空间，为学生和教师提供安全的上网环境。当然除了这些，还有包括一些比如vlan的划分、建立访问控制列表控制权限、IP与MAC地址绑定、一些危险端口的关闭等，由于比较简单在，就不一一举例了。核心交换机中除了设置安全策略之外，还需要设置其他许多的东西，这也是我们以后需要深入学习的，不过通过这次的资料搜集和仔细研究，我们也收获了很多，这3种安全防范就是我们通过查阅资料总结出来的，虽然没有实践过，但是通过这些代码我们也学到了如何对交换机进行安全方面的设置。