企业网络架设及安全防护浅谈

第六采油厂2014年科技论文发布会专业：计算机-1-企业网络架设及安全防护浅谈辛颖楠（大庆油田第六采油厂地质大队）摘要随着油田生产的不断发展,单位规模在不断扩大,用户在不断增加,网络应用也在不断增长,网络变得越来越拥挤,冲突不断产生,管理难度日益加大。单位内部对于灵活、动态地组建LAN网段的要求也越来越多,客观上要求LAN本身的结构可以实现动态组建、调整和管理。主题词网络建设网关绑定现代计算机及通信技术飞跃发展，企业内部管理的网络化及信息化成为一种必然的发展趋势，网络技术己经广泛地应用到各个技术领域和整个社会的各个方面，本文从以下三个方面来研究探讨单位内部网络架设的合理性及安全性。1.企业网络建设1.1建设原则要组建一个符合企业需求，并为未来发展预留空间的可靠性与高效率企业信息网络，网络总体设计思路与工程蓝图就成为单位网络建设的核心任务。所以网络建设应遵循以下原则：统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性。1.2需求分析为提高网络可靠性及安全性，需要在主干网采用光纤布线。企业网应实现虚拟局域网（VLAN）的功能，以保证全网的良好性能及网第六采油厂2014年科技论文发布会专业：计算机-2-络安全性。主干网交换机应具有很高的包交换速度，整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、可靠的快速以太网和千兆位以太网技术作为企业网主干。企业网应选用先进的网管软件，建立完善的网络管理体系。下面以地质大队栋办公楼为实例。业务室安全性楼层数信息点数使用人数动态室及综合室高16011动态室高26023综合室高38014三采室高48030开发室及天然气室高580251.3网络建设局域网经常采用总线型、环型、星型和混和型拓扑结构，因此可以把局域网分为总线型局域网、环型局域网、星型局域网和混和型局域网等类型。根据实地考察我们单位内部局域网采用了混合型域网，星型局域网和环形局域网。图1第六采油厂2014年科技论文发布会专业：计算机-3-从（图1）中我们将单位的整个网络分为核心层、汇聚层、接入层三个逻辑层次。各建筑物之间采用光纤进行互连，楼内采用超5类非屏蔽双绞线布线，在同一幢楼的汇聚层和接入层交换机之间也采用超5类非屏蔽双绞线进行连接。其中核心层由大容量以太网交换机组成，汇聚层由三层交换设备组成，接入层由二层交换设备组成。单一楼层中所用交换机为环形局域网，与主交换机的链接为星型局域网。2.交换机配置对单位所使用的网关交换机及接入层交换机进行合理配置，使其同时具有物理管理模式和web管理模式。在网络中进行合理VLAN划分,可通过解决端口隔离充分防止冲突的产生。2.1配置网关基础信息sysysnamedizhi5328aaalocal-userhuaweipasswordsimpledizhixxxxlocal-userhuaweiservice-typetelnetlocal-userhuaweilevel15quituser-interfacevty04authentication-modeaaaquit2.2给交换机一个管理访问的网络地址，以备TELNET方式或ＷＥＢ第六采油厂2014年科技论文发布会专业：计算机-4-方式管理之用。SY]INTVLAN1]IPADDRESS10.64.180.251255.255.255.0]QSAVE添加WEB管理用户，用户名为”huawei”,密码为“admin”。]LOCAL-USERhuawei增加用户名]Newlocaluseradded.]PASSWORDCIPHERadmin（CIPHER为用户配置加密的密码）。]SERVICE-TYPETELNETLEVEL3(level3管理员权限)]QSAVE在浏览器的地址栏中输入事先配置好的IP地址输入用户名和密码就可以登录交换机的管理界面了（图2），通过这个界面可以知道端口状态。白色:未连接的端口。黄色：工作在低速状态的10/100/1000M自适应端口。绿色：工作在最大速率下的10/100/1000MRJ45,RJ45SFP端口，或者已连接的10G端口。第六采油厂2014年科技论文发布会专业：计算机-5-图22.3VLAN的作用VLAN即虚拟局域网。VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便。因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。3.利用ip-mac-port绑定提高网络安全级别信息安全管理员都希望在发生安全事件时，不仅可以定位到计算机，而且定位到使用者的实际位置，利用MAC与IP的绑定是常用的方式，IP地址是计算机的“姓名”，网络连接时都使用这个名字；MAC地址则是计算机网卡的“身份证号”，不会有相同的，因为在厂家生产时就确定了它的编号。IP地址的修改是方便的，也有很多工具软件，可以方便地修改MAC地址，“身份冒充”相对容易，网络就不安第六采油厂2014年科技论文发布会专业：计算机-6-全了。而加入了计算机所在端口port的接入绑定，这样就使我们的网络更安全了。3.1mac-port绑定端口绑定实际上是让接入口失去MAC地址学习功能，计算机就只能使用事先指定的MAC上网。3.1.1建基础档案。确定用户计算机的IP地址，MAC地址和所在交换机上的端口号。用Ipscan（图3）一类的软件扫描网段中的计算机设备，制作基本档案，计算机名，IP，MAC，留一列待放交换机端口号。图33.1.2确定对应关系。要确定每台计算机所在端口不是一件简单的事，一是让指定的用户关启网卡或拔插网线在交换机一端确认所在端口，二是用测线器测线查找对应房间的网络接口，三是用交换机的WEB第六采油厂2014年科技论文发布会专业：计算机-7-管理功能中提供的MAC地址与档案中的MAC对照确认计算机对应的端口。交换机WEB管理功能已启用，可以使用MAC地址管理功能查证端口对应的用户，并建立对应表。3.1.3绑定实施port+mac绑定如图4在cmd模式下键入telnetIP(交换机IP)。图4第六采油厂2014年科技论文发布会专业：计算机-8-sy]INTETH1/0/portnumber]MAC-ADDRESSMAX-MAC-COUNT0]MAC-ADDRESSSTATIC????-????-????VLAN1]QSAVE上述命令可以在电子表格中创建，批量粘入TELNET状态窗口中运行即可。3.2IP-MAC+PORT绑定IP-MAC+PORT绑定可以有效毕免计算机更改MAC或非法接入现象，即使用其它计算机更改MAC上网也只能在此端口联入。无法随意更改IP地址上网如图5。图5绑定方法如下：TELNET10.64.180.251（用户自已的网关地址）第六采油厂2014年科技论文发布会专业：计算机-9-用户名口令sy]ARPSTATIC10.64.180.?XXXX-XXXX-XXXX(已分配用户的IP)]QSAVE图6如图6所示，华为s5328支持三项绑定，但是所绑定的port为网关交换机上的端口，并不能实现绑定端口的唯一性，所以在接入层交换机上做一遍mac-port的绑定。4.认识企业网的安全管理是一项复杂的系统工程,没有一劳永逸的安全措施。要在企业网的建设和管理过程中及时分析企业网中的安全问题,第六采油厂2014年科技论文发布会专业：计算机-10-并研究方法,制订措施,确保企业网正常、高效、安全地运行,为企业的管理和科研服好务。参考文献：[1]彭澎吴震瑞等编著《计算机网络教程》(第三版)机械工业出版社2007.11.9[2]胡建斌.网络与信息安全概论.北京大学网络与信息安全研究室，电子教材，2005[3]李建民，《网络设计基础》，北京希望电子出版社，2000年第一版[4]蒋先华、许以臣，《企业网络组建与应用》，科学出版社，2003年6月作者简介辛颖楠（1984.10）男第六采油厂地质大队助工网络管理岗联系电话：5836682