基于校园网络的核心交换机安全配置.doc

基于校园网络的核心交换机的防攻击策略姓名： 沈斌良 班级： 计算机083 学号： 08011187 姓名： 陈显锚 班级： 计算机083 学号： 08011216 (为本方案的主要负责同学）计算机与信息学院二一一年六月一、方案背景 随着高校信息化建设的发展，高校校园网普及程度越来越高，校园网在教学、科研、校内政务管理方面起到了积极地作用。校园计算机网络的建设已成为学校建设中，上档次、上规模的一个重要标志。目前在各高等院校甚至在很多中学都已建立了自己的校园网，一些学校已开始将网络节点延伸至学生寝室，即将校园网面向学生全面开放，使得学校校园网真正在教学科研及管理等各方面起到重要的作用。近年来中国大步跨入了信息化社会，校园网是Intranet/Interner技术在教育机构的一个应用。它是指在学校范围内，在一定的教育思想和理论指导下，为学校教学，科研和管理等教育提供资源共享，信息交流和协同工作的计算机网络。由于校园网的特殊性和高校学生群体的特殊性，校园网络受到了更多的攻击，包括黑客恶意攻击和无意识攻击。在核心交换机配置防攻击策略，可以达到保护校园骨干网的正常运行，提高校园网的完全性。二、方案设计任务分工沈斌良：方案撰写陈显锚：资料搜集三、需求分析该方案主要致力于在校园网络中对于核心交换机的安全配置，随着校园网的普及和迅速发展，校园网的安全性成为当前备受关注的问题。核心交换机较高的可靠性和性能，不仅保障了骨干网高速转发通信和性能优化，而且通过防防攻击策略，可以提高校园网的安全性。在核心交换机中，我们主要需要解决一下几个问题：1MACCAM攻击防范；2DHCP攻击防范；3ARP攻击防范；这3个安全防范对于校园网络来说是非常重要的：1MACCAM攻击防范：交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的，不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后，流量以洪泛方式发送到所有接口，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。2DHCP攻击防范：采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，随之存在的隐患有DHCP server的冒充、DHCP server的Dos攻击、用户随便指定地址而造成网络地址冲突。3ARP攻击防范：ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续小断的发出伪造ARP响应包就能更改目标主机ARP缓存中的IPMAC条目，造成网络中断或中间人攻击。四、网络安全设计方案1. 网络拓扑结构图图表 1 网络拓扑图2. 设备选型鉴于本方案主要是实施在核心交换机上，因此其他设备不做介绍，主要介绍核心交换机的选择。核心交换设备应当采用高性能模块化三层交换机，支持交换引擎冗余和关键部件的热插拔。建议选择Cisco Catalyst 6500-E系列（如图2所示）或锐捷RGS8600系列产品。较小规模的学院级校园网络，也可以选择Cisco Catalyst 6500-E系列或锐捷RGS6800-E系列产品作为核心交换机。图表 2 Cisco Catalyst 6500-E3. 安全架构分析本设计的安全架构分析主要基于在需求分析中所提出的三种攻击防范，通过在核心交换机中的命令输入来实现对其的配置。1MACCAM攻击防范：通过Port Security feature可以防止MAC和MACCAM攻击.。通过配置PortSecurity可以控制端口上最大可以通过的MAC地址数量、端口上学习或通过哪些MAC地址、对于超过规定数量的MAC处理进行违背处理。例如，端口上最大可通过的MAC地址为10，通过端口的MAC地址为000bdbld6ccd。对于超过数量的MAC的非法流量丢弃并报警，具体配置如下：Switch(config-if)#switchport portsecurity maximum 10Switch(Configif)#switchportportsecurity mac-address sticky 010cdbld6ccdSwitch(configif)#switchport portsecurity violation restrict2DHCP攻击防范；通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自小信任区域的DHCP信息。例如：对VLANl00使用DHCP嗅探过滤信息；设置信任端口正常转发DHCP Offer报文，不记录ip和mac地址的绑定，其余端口默认为不信任端口：绑定静态ip和mac。具体配置如下：Switch(config)#ip dhcp snooping vlanl00Switch(config)#int e1Switch(Configif)#iP dhcp snooping trustSwitch#ip dhcp snooping binding 0lOc.dbld.6ccd vlan 7 192.168.10.5 interface e13ARP攻击防范:Dynamic ARP Inspect Inspection( (DAI)在交换机上提供IP地址和MAC地址的绑定，并动态建立绑定关系。DAI以DHCP Snoopi ng绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access一1ist实现。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。定义arp inspection作用的vlan，它是根据dhcp snooping binding表做判断的：侦测满足src-mac dst-mac ip有效客户端：Switch(config)#ip dhcp snooping vlan 100Switch(config)#ip arp inspection vlan 100Switch(config)#ip arp inspection validate srcmac dst-mac ip定义哪些接口是信任接口，通常是网络设备接口，TRUNK接口等；定义接口每秒ARP报文数量：Switch(config)#int e1Switch(configif)#ip arp inspection trust /* ip arp inspection 1imit rate 20对于没有使用DHCP设备可以采用下面办法：Switch(config)#arp access一1ist staticarpSwitch(config)#permit ip host 192.168.55.11 mac host 0016.9bcc.d154Switch(config)#ip arp inspection filter staticarp vlan lOO五、总结本文主要介绍了校园网常见的攻击方法，以及在核心交换机针对这些攻击采取的防攻击策略的具体实施，实践证明，整个网络提高了抗攻击性，网络运行状态更为稳定。大学校园网安全是一项系统工程，在实施时要充分考虑各种情况，针对各种不同情况采取相应的措施。基于核心交换机的安全只是其中比较重要的一项，但只要长期有效的坚持，河里地配置好网络设备，再将防火墙、入侵检测系统、网络杀毒等系统纳入，就可以构筑立体的、动态的、安全灵便的网络空间，为学生和教师提供安全的上网环境。当然除了这些，还有包括一些比如vlan的划分、建立访问控制列表控制权