大学设计方案,学校网络安全探究,大学方案

1、论文题目：宿舍网络安全探究 专 业：电子信息技术工程 准考证号： 学生姓名：宫野 指导教师：秦贵和 2012年 3 月 7 日 宿舍网络安全探究 摘要 In ternet是一个开放的、互操作的通信系统，其基础协议是TCP/IP。I nternet协议 地址（简称IP地址）是TCP/IP网络中可寻址设施的唯一逻辑标识，它是一个32位的二 进制无符号数。对于In ternet上的任一主机，它都必须有一个唯一的IP地址。IP地址 由In terNIC及其下级授权机构分配，没有分配到自己的IP地址的主机不能够直接连接 到 In ternet 。 随着In ternet的迅速发展，IP地址的消耗非常快，

2、据权威机构预测，现行IPv4版 本的IP只够用到2007年。现在，企业、机构、个人要申请到足够的IP地址都非常困 难，作为一种稀缺资源，IP地址的盗用就成为很常见的问题。特别是在按IP流量计费的 CERNE网络，由于费用是按IP地址进行统计的，许多用户为了逃避网络计费，用IP地 址盗用的办法，将网络流量计费转嫁到他人身上。另外，一些用户因为一些不可告人的 目的，采用IP地址盗用的方式来逃避追踪，隐藏自己的身份。 IP地址盗用侵害了 In ternet网络的正常用户的权利，并且给网络计费、网络安全和 网络运行带来了巨大的负面影响，因此解决IP地址盗用问题成为当前一个迫切的课题。 IP地址的盗用方

3、法多种多样，其常用方法有很多种，例如静态修改 IP地址、成对修 改IP-MAC地址等等，针对IP盗用问题，我们将从网卡交换机以及 802.1X协议方面详细 讲解防止IP地址的盗用的方法。 关键词：通信系统IP地址盗用 Dormitory n etwork security explored Pick to Internet is an ope n, in teroperable com muni cati ons system, its basic agreeme nt is TCP/IP. I nternet protocol address (here in after referred

4、to as the IP address) is TCP/IP network addressable facilities of the only logical logo, it is a 32-bit binary unsigned nu mber. For the Internet of any one of the host, it must have a unique IP address. IP address and its authorized orga ni zati on by In terNIC at a lower level distributio n, not a

5、ssig ned to own the IP address of host cant directly conn ected to the Intern et. With the rapid development of Internet, the consumption of IP address is very fast, accord ing to authorities forecast, the curre nt IPv4 versi on of the IP only eno ugh to 2007. Now, en terprises, in stituti ons and i

6、n dividuals who want to apply for to eno ugh IP address is very difficult, as a scarce resource, the IP address for theft will become very com mon problem. Especially in the IP flow of billi ng CERNET n etwork, because of cost is according to the IP address of the statistics, many users in order to

7、escape network billing, with IP address to the theft, network flow billing passed on to others. In addition, some users because some ulterior purpose, USES the IP address of the theft way to avoid tracking, to hide their identity. IP address infringement of Internet network theft of normal user righ

8、ts, and to the n etwork billi ng, n etwork security and n etwork operati on brings huge n egative effects, therefore solve the IP address theft problem curre ntly become a press ing issue. The IP address for theft various ways, the com monly used method has a lot of kin ds, such as static IP address

9、 cha nges in pairs, modify IP-MAC address and so on, in view of the IP theft problem, we will from nic switches and 802.1 X agreement explained to preve nt the IP address for the method of theft. Keywords: com muni cati on system IP address theft 0. 前言 1 1. 宿舍网络安全简介 2 2. 网卡 4 2.1 网卡的基本构造 4 2.2 网卡的工作

10、原理 4 2.3 网卡的工作模式及功能 5 2.4 MAC 地址的简介 5 2.5 IP与MAC勺绑定6 3. 交换机 8 3.1 什么是交换机 8 3.2 交换机勺种类 8 3.3 交换机勺工作原理 8 3.4可网管交换机VLAN技术9 3.5 MAC和交换机端口的绑定10 4.802.1x 认证技术简介 11 4.1 引言 11 4.2 802.1x 协议简介 12 4.3 802.1x 认证体系 12 4.4 802.1x 认证特点 13 4.5 802.1x 认证流程 13 4.6 802.1x 配置 14 5. 病毒、木马、防火墙 15 5.1 计算机病毒及特点 15 5.2 计算机

11、病毒的传播 15 5.3 防火墙与查杀软件 16 5.4 病毒的清除 16 6. 结束语 17 6.1 论文总结 17 6.2 工作展望 17 参考文献、资料索引 18 致 谢 19 、八 0. 前言 如今，校园宿舍网呈现用户多且密度大、网络节点多、难以管理的特点。宿舍网的用 户相对其他网络的用户分布要密集很多，而众多用户与不同宿舍楼之间的网络连接结构相 似，但节点甚至比办公大楼、实验室等其他区域的网络节点还要多，管理起来工作量大。同 时，不容忽视的是，学校拥有一大批活跃、求知欲强的学生用户，因此 IP 地址盗用等现象 频频发生。在传统的IP和MAC地址绑定、流量计费的运营管理模式下，为了防止

12、 IP地址盗 用现象，将大量IP和MAC地址绑定，不仅加大了服务中心工作人员的工作量，甚至造成了 超负荷工作，工作人员对此有很大意见；同时，用户对不能正常使用网络的抱怨也时有发 生。各种原因交织在一起最终导致了管理难的问题。因此，我们一直在寻找由难到易的宿舍 网运营计费认证管理办法，需要它营造出一种方便、实用、快捷、易于管理的网络环境。 同时，由于宿舍区网络使用者知识能力等所限，被病毒、木马等威胁的实例也层出不 穷，例如：局域网爆发 ARF病毒，具体表现为局域网内一些正在上网的电脑主机频繁掉线或 是断线。这是因为局域网内有电脑运行 ARP欺骗程序（比如：传奇、QC盗号的软件等）发 送ARP数据

13、包，致使被攻击的电脑不能上网。为了有效防范宿舍区内病毒等的发生与蔓延， 有必要认真研究解决对策。 1. 宿舍网络安全简介 随着网络的快速发展和上网用户的急剧增多，网络中的不安全因素日益暴露无遗，主 要表现在： 1) 由于IP和MAC地址的可变性而导致的冒用合法用户入网问题。非法用户只要连接 网线，对电脑进简单的网络配置就可以上网。由于IP和MAC盗用会导致合法用户不能上 网，甚至非法入网者会以合法用户的名义从事非法勾当，对网络的安全管理造成很大的威 胁； 2) 操作系统和应用软件存在大量漏洞，这是造成网络安全问题的严峻的一个主要原 因。国际权威应急组织 CERT/CC统计，截至2004年以来漏

14、洞公布总数16726个，并且利用 漏洞发动攻击的速度也越来越快； 3) 校园网用户安全意识不强及计算机水平有限。大部分学校普遍都存在重技术、轻安 全、轻管理的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，甚至有些学 校直接连接互联网，严重缺乏防范黑客攻击的意识。 学生宿舍网作为服务于教育、科研和行政管理的计算机网络，实现了校园内连网、信息 共享，并与 Internet 互联。宿舍网连接的校内学生机，存在许多安全隐患，主要表现有： 1) 宿舍网与 Internet 相连，面临着外网攻击的风险。 2) 来自内部的安全威胁。 3) 接入宿舍网的节点数日益增多，这些节点会面临病毒泛滥、信息

15、丢失、数据损坏等安 全问题。 通过对宿舍网的安全设计，在不改变原有网络结构的基础上实现多种信息安全，保障宿 舍网络安全 ，一个整体一致的内网安全体系，应该包括身份认证、授权管理、数据保密和 监控审计四个方面，并且，这四个方面应该是紧密结合、相互联动的统一平台，才能达到构 建可信、可控和可管理的安全内网的效果。 身份认证是内网安全管理的基础，不确认实体的身份，进一步制定各种安全管理策略也 就无从谈起。内网的身份认证，必须全面考虑所有参与实体的身份确认，包括服务器、客户 端、用户和主要设备等。其中，客户端和用户的身份认证尤其要重点关注，因为他们具有数 量大、环境不安全和变化频繁的特点。 授权管理是

16、以身份认证为基础的，其主要对内部信息网络各种信息资源的使用进行授 权，确定“谁”能够在那些“计算机终端或者服务器”使用什么样的“资源和权限”。授权 管理的信息资源应该尽可能全面，应该包括终端使用权、外设资源、网络资源、文件资源、 服务器资源和存储设备资源等。 数据保密是内网信息安全的核心，其实质是要对内网信息流和数据流进行全生命周期的 有效管理，构建信息和数据安全可控的使用、存储和交换环境，从而实现对内网核心数据的 保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样，所以要求数 据保密技术必须具有通用性和应用无关性。 监控审计是宿舍网络安全不可缺少的辅助部分，可以实现对宿舍网

17、络安全状态的实时监 控，提供宿舍网络安全状态的评估报告，并在发生宿舍网络安全事件后实现有效的取证。 宿舍网络安全已经成为信息安全的新热点，其技术和标准也在成熟和演进过程中，我们 有理由相信，随着同学们对宿舍网络安全认识的加深，用户宿舍网络安全管理制度的完善， 整体一致的宿舍网安全解决方案和体系建设将成为宿舍网安全的主要发展趋势。 宿舍内部网络安全经常会发生IP盗用现象，恶意修改 MAC地址，严重危害了正常的上 网秩序，下面我们先从网卡开始探讨网络的安全问题。 2. 网卡 2.1 网卡的基本构造 网卡包括硬件和固件程式（只读存储器中的软件例程），该固件程式实现逻辑链路控制 和媒体访问控制的功能，

18、还记录唯一的硬件地址即MAC地址。网卡上一般有缓存。网卡须分 配中断 IRQ 及基本 I/O 端口地址，同时还须配置基本内存地址（ base memory address ）和 收发器（transceiver ），主要由网卡的控制芯片、晶体震荡器、BOOT插槽、EPROM内接 式转换器、RJ-45和BNC接头、信号指示灯等部分。 网卡的控制芯片是网卡中最重要元件，是网卡的控制中央，有如电脑的CPU控制着整个 网卡的工作，负责数据的的传送和连接时的信号侦测。早期的10/100m的双速网卡会采用两 个控制芯片（单元）分别用来控制两个不同速率环境下的运算，而现在较先进的产品通常只 有一个芯片控制两种

19、速度。 内接式转换器只要有BNC接头的网卡都会有这个芯片，并紧邻在 BNC接头旁，它的功能 是在网卡和BNCS头之间进行数据转换，让网卡能通过它从 BNC接头送出或接收资料。 信号指示灯在网卡后方会有二到三个不等的信号灯，其作用是显示现在网络的连线状 态，通常具备TX和RX两个信息。TX代表正在送出资料，RX代表正在接收资料，若看到两 个灯同时亮则代表现在是处于全双工的运作状态，也可由此来辨别全双工的网卡是否处于全 双工的网络环境中部分。 2.2 网卡的工作原理 网卡的主要工作原理是整理计算机上发往网线上的数据，并将数据分解为适当大小的 数据包之后向网络上发送出去。对于网卡而言，每块网卡都有一

20、个唯一的网络节点地址，它 是网卡生产厂家在生产时烧入 RO（只读存储芯片）中的，我们把它叫做 MAC地址（物理地 址），且保证绝对不会重复。 发送数据时，网卡首先侦听介质上是否有载波（载波由电压指示），如果有，则认为 其他站点正在传送信息，继续侦听介质。一旦通信介质在一定时间段内（称为帧间缝隙 IFG=9.6 微秒）是安静的，即没有被其他站点占用，则开始进行帧数据发送，同时继续侦听 通信介质，以检测冲突。在发送数据期间 , 如果检测到冲突，则立即停止该次发送，并向介 质发送一个“阻塞”信号，告知其他站点已经发生冲突，从而丢弃那些可能一直在接收的受 到损坏的帧数据，并等待一段随机时间（CSMA/

21、CD确定等待时间的算法是二进制指数退避算 法）。在等待一段随机时间后，再进行新的发送。接收时，网卡浏览介质上传输的每个帧， 如果其长度小于 64 字节，则认为是冲突碎片。如果接收到的帧不是冲突碎片且目的地址是 本地地址，则对帧进行完整性校验，如果帧长度大于 1518 字节（称为超长帧，可能由错误 的LAN驱动程序或干扰造成）或未能通过 CRC校验，则认为该帧发生了畸变。通过校验的帧 被认为是有效的，网卡将它接收下来进行本地处理。 2.3 网卡的工作模式及功能 1. 工作模式分为以下四种： 1）广播模式（Broad Cast Model）:它的物理地址（MAC地址是OXffffff 的帧为 广

22、播 帧 ， 工 作 在 广 播 模 式 的 网 卡 接 收 广 播 帧 。 2 ）多播传送（ MultiCast Model ）：多播传送地址作为目的物理地址的帧可以被组内 的其它主机同时接收，而组外主机却接收不到。但是，如果将网卡设置为多播传送模式，它 可 以 接 收 所 有 的 多 播 传 送 帧 ， 而 不 论 它 是 不 是 组 内 成 员 。 3 ）直接模式（Direct Model ）:工作在直接模式下的网卡只接收目地址是自己 MAC地 址的帧。 4 ）混杂模式（ Promiscuous Model ）: 工作在混杂模式下的网卡接收所有的流过网卡的 帧，信包捕获程序就是在这种模式下

23、运行的。网卡的缺省工作模式包含广播模式和直接模 式，即它只接收广播帧和发给自己的帧。如果采用混杂模式，一个站点的网卡将接受同一网 络内所有站点所发送的数据包这样就可以到达对于网络信息监视捕获的目的。 比如，可以实施远程扫描来确定一块网卡是否工作在混杂模式。象 AntiSniff 这样的 程序使用三种主要的方法来检测网卡是否工作于混杂模式： 1. 检测网卡电子方面的变化来确定网卡的工作模式。 2. 发送各种包（ARP请求，ICMP包，DNS请求，TCP SYN floods，等等）。如果从某 台主机返回的包等待了一段不正常的时间，而且没有被主机处理过的迹象，则程序便推断出 该主机的网卡可能出于混

24、杂模式。 3. 将错误的ICMP请求包含在无效的以太网地址头中。所有没有工作在混杂模式的系 统将忽略这些请求，而那些回复错误的ICMP请求的主机将有可能出于混杂模式。 像 AntiSniff 这样的程序通过推论来判断网卡是否工作在混杂模式。由于这些程序只 是根据有限的数据来下结论，所以容易出现误报。通常明智的做法是定时进行混杂模式检测 的扫描。例如，LOpht包含其自身的调度。使用 WindwosNT Scheduler或UNIX的cron程 序，你可以自动实施所有扫描。 LOpht 还提供的 UNIX 版本的 AntiSniff 。然而你需要编译 它，并且只能运行在FreeBSD和Solar

25、is操作系统下。 2.4 MAC 地址的简介 1.什么是MAC地址 网卡的身份证号一MAC地址,也叫物理地址、硬件地址或链路地址，由网络设备制造商生 产时写在硬件内部。他是识别网卡身份的标志！MAC地址的长度为48位（6个字节）,通常 表示为12个16进制数,每2个16进制数之间用冒号隔开,如：08:00:20:0A:8C:6D 就是一 个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE （电气 与电子工程师协会）分配 , 而后 3 位 16 进制数 0A:8C:6D 代表该制造商所制造的某个网络产 品（如网卡）的系列号。只要你不去更改自己的MAC地址,那

26、么你的MAC地址在世界是惟一 的。 2. MAC地址的应用 MAC地址主要用于与网络服务商提供的IP地址、端口以及用户提供的信息等绑定， 防止其他人盗用.学校里面的校园网就是这样的！但是 MAC是可以改变的！ 3. 查看MAC地址 在输入“ cmd（引号里面部分）进入命令提示符状态然后输入“IPconfig /all” 其中Physical Address 就是计算机的MAC地址。 4. 更改MAC地址 一般MAC地址在网卡中是固定的，当然也有网络高手会想办法去修改自己的MAC地 址。修改自己的MAC地址有两种方法，一种是硬件修改，另外一种是软件修改。硬件的方法 就是直接对网卡进行操作，修改保

27、存在网卡的EPROM!面的MAO址，通过网卡生产厂家提 供的修改程序可以更改存储器里的地址。当然软件修改的方法就相对来说要简单得多了，在 Windows中，网卡的MAC呆存在注册表中，实际使用也是从注册表中提取的，所以只要修改 注册表就可以改变 MAC。 2.5 IP与MAC勺绑定 例如局域网某一用户的IP地址为：192.168.1.11 ，MAC地址为：00-11-2F-3F-96-88 在 命令提示符下输入“ IPconfig /all ”显示如下信息 : DHCP En abled :No P Address :192.168.1.11 Subn et Mask :255.255.255

28、.0 Default Gateway :192.168.1.1 DNS Servers :61.177.7.1 Primary WINS Server :192.168.1.254 图2-1查看MAC IP地址 以上信息就是你现在计算机的IP地址及MAC地址! 回车就绑定了 在命令行下输入：arp -s 192.168.1.11 00-11-2F-3F-96-88 查看是否绑定：在命令行下输入 arp -a 192.168.1.11回车，会得到如下提示: Internet Address Physical Address Type 192.168.1.30 00-11-2f-3f-96-88

29、static 就是成功完成了。 ARP命令仅对局域网的上网代理服务器有用，而且是针对静态IP地址，如果采用 Modems号上网或是动态IP地址就不起作用。 不过，只是简单地绑定IP和MACM址是不能完全的解决IP盗用问题的。设计一个好 的网络，我们有责任为用户解决好这些问题之的后，才交给用户使用，而不是把安全问题交 给用户来解决。不应该让用户来承担一些不必要盗用的损失。所以在网络安全方面，最常用 也是最有效的解决方法就是在IP、MAC绑定的基础上，再把端口绑定进去，即IP - MAC- PORT三 者绑定在一起，端口（ PORT指的是交换机的端口。下面我们将针对此问题对交换 机展开研究。 3.

30、 交换机 3.1 什么是交换机 交换机是一种基于 MAC（网卡的硬件地址）识别，能完成封装转发数据包功能的网络设 备。交换机可以“学习” MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和 目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。 3.2 交换机的种类 按照不同的分类方法，交换机有很多种分类。如按工作方式可分为二层交换机，三层交 换机，多层交换机；从广义上来看，交换机分为两种：广域网交换机和局域网交换机。广域 网交换机主要应用于电信领域，提供通信用的基础平台。而局域网交换机则应用于局域网 络，用于连接终端设备，如 PC机及网络打印机等。 3.3 交换机的工

31、作原理 1、“共享”与“交换”数据传输技术 要明白交换机的优点我们首先就必须明白交换机的基本工作原理，而交换机的工作原 理其实最根本的是要理解“共享” （Share）和“交换” （Switch ）这两个概念。集线器是 采用共享方式进行数据传输的，而我们在这里要讲的交换机工作原理则是采用“交换”方式 进行数据传输的。在交换机技术上把这种“独享”道宽（网络上称之为“带宽”）情况称之 为“交换”，这种网络环境称为“交换式网络”，交换式网络必须采用交换机（ Switch ）来 实现。交换式网络可以是“全双工”（ Full Duplex ）状态，即可以同时接收和发送数据， 数据流是双向的。而集线器的“共

32、享”方式的网络就称之为“共享式网络”，共享式网络采 用集线器（集线器）作为网络连接设备。显然，共享网络的效率非常低，在任一时刻只能有 一个方向的数据流，即处于“半双工”（ Half Duplex ）模式，也称为“单工”模式。 2、数据传递的方式 对于交换机而言，它能够“认识”连接到自己身上的每一台电脑，凭什么认识呢？就是 凭每块网卡物理地址，俗称“ MAC地址”。交换机还具有 MAC地址学习功能，它会把连接到 自己身上的MAC地址记住，形成一个节点与 MAC地址对应表。凭这样一张表，它就不必再进 行广播了，从一个端口发过来的数据，其中会含有目的地的MAO址，交换机在保存在自己 缓存中的MAO址

33、表里寻找与这个数据包中包含的目的 MAC地址对应的节点，找到以后，便 在这两个节点间架起了一条临时性的专用数据传输通道，这两个节点便可以不受干扰地进行 通信了。 3、交换机的数据传递工作原理 可以简单地这样来说明：当交换机从某一节点收到一个以太网帧后，将立即在其内存中 的地址表（端口号MAC地址）进行查找，以确认该目的 MAC勺网卡连接在哪一个节点上， 然后将该帧转发至该节点。如果在地址表中没有找到该MAC地址，也就是说，该目的 MAC地 址是首次出现，交换机就将数据包广播到所有节点。拥有该MACM址的网卡在接收到该广播 帧后，将立即做出应答，从而使交换机将其节点的“MAC地址”添加到MAC地

34、址表中。换言 之，当交换机从某一节点收到一个帧时（广播帧除外），将对地址表执行两个动作，一是检 查该帧的源MAC地址是否已在地址表中，如果没有，则将该 MAO址加到地址表中，这样以 后就知道该MAC地址在哪一个节点；二是检查该帧的目的 MAC地址是否已在地址表中，如果 该MAC地址已在地址表中，贝U将该帧发送到对应的节点即可，而不必像集线器那样将该帧发 送到所有节点，只须将该帧发送到对应的节点，从而使那些既非源节点又非目的节点的节点 间仍然可以进行相互间的通信，从而提供了比集线器更高的传输速率。如果该MAC地址不在 地址表中，则将该帧发送到所有其它节点（源节点除外），相当于该帧是一个广播帧。

35、交换机根据以太网帧中的源 MAC地址来更新地址表。当一台计算机打开电源后，安装在 该系统中的网卡会定期发出空闲包或信号，交换机即可据此得知它的存在以及其MAC地址。 由于交换机能够自动根据收到的以太网帧中的源 MAC地址更新地址表的内容，所以交换机使 用的时间越长，学到的 MAC地址就越多，未知的 MAC地址就越少，因而广播的包就越少，速 度就越快。由于交换机中的内存毕竟有限，能够记忆的MAC地址数量也是有限的。既然不能 无休止地记忆所有的MAO址，那么就必须赋予其相应的忘却机制。事实上，为交换机设定 了一个自动老化时间（Auto aging ），若某MAC地址在一定时间内（默认为 300秒）

36、不再 出现，那么，交换机将自动把该 MAC地址从地址表中清除。当下一次该 MAC地址重新出现 时，将会被当作新地址处理。 3.4可网管交换机VLAN技术 VLAN艮卩虚拟局域网（Virtual Local Area Network的缩写），是一种通过将局域网内 的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组技术。VLAN是为解决以 太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把 用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局 域网。 先来了解一下交换机是如何使用 VLAN分割广播域的首先，在一台未设置任何

37、VLAN的二 层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口（ Flooding ）。例如， 计 算 机 A 发 送 广 播 信 息 后 ， 会 被 转 发 给 端 口 2 、 3 、 4 。 交换机收到广播帧后，转发到除接收端口外的其他所有端口。这时，如果在交换机上生 成红、蓝两个VLAN同时设置端口 1、2属于红色VLAN端口 3、4属于蓝色VLAN再从A 发出广播帧的话，交换机就只会把它转发给同属于一个VLAN的其他端口一一也就是同属于 红色VLAN的端口 2,不会再转发给属于蓝色 VLAN的端口。同样，C发送广播信息时，只会 被转发给其他属于蓝色VLAN的端口，不会被转发

38、给属于红色VLAN的端口（如左图）。 图3-2 VLAN划分示意图 如果要更为直观地描述 VLAN的话，我们可以把它理解为将一台交换机在逻辑上分割成 了数台交换机。在一台交换机上生成红、蓝两个 VLAN也可以看作是将一台交换机换做- 红一蓝两台虚拟的交换机（如上图）。 3.5 MAC和交换机端口的绑定 在了解了交换机的基本知识之后，我们来在交换机上寻求一种防止盗号上网的方法一一 将网卡的MAC地址与交换机的端口绑定，从在交换机上遏制盗号上网的现象。 我们以思科的交换机为例。 switch#c onfig t / 进 入 到 全局 配置 模 式 switch (config) #int fO/1

39、 / 进 入到0/1 号 端 口 switch ( config-if )#switchport mode access / 设 置交换机的 端 口模式 为 access 模 式，注意缺 省是 dyn amic dyn amic 模 式 下是 不能使 用Port-security 功能 switch （ con fig-if )#switchport port-security / 打 开port-security 功 能 switch (config-if ) #switchport port-security MAC-address xxxx.xxxx.xxxx /xxxx.xxxx.xx

40、xx就是你要关联的 MAC地址。 随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行 控制和配置。尤其是 WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控 制以实现用户级的接入控制， 802.lx 就是 IEEE 为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。 4.802.1x 认证技术简介 4.1 引言 802.1x 协议起源于 802.11 协议，后者是 IEEE 的无线局域网协议，制订 802.1x 协议的 初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAF协议

41、定义的局域网并不提供 接入认证，只要用户能接入局域网控制设备 （如LANS witch），就可以访问局域网中的设备 或资源。这在早期企业网有线 LAN应用环境下并不存在明显的安全隐患。 4.2 802.1x 协议简介 802.1x 协议是基于 Client/Server 的访问控制和认证协议。可以限制未经授权的用 户/设备通过接入端口访问LAN/WLAN在获得交换机或LAN提供的各种业务之前，802.1x 对连接到交换机端口上的用户 /设备进行认证。在认证通过之前， 802.1x 只允许 EAPoL （基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的 数据可以顺利地

42、通过以太网端口。它具有完备的用户认证、管理功能，可以很好地支撑宽 带网络的计费、安全、运营和管理要求，对宽带 IP 城域网等电信级网络的运营和管理具 有优势。IEEE802.1X协议对认证方式和认证体系结构上进行了优化，解决了传统PPPO和 WEB/PORTAL证方式带来的问题，更加适合在宽带以太网中的使用。网络访问技术的核心 部分是PAE（端口访问实体）。在访问控制流程中，端口访问实体包含3部分：认证者- 对接入的用户 /设备进行认证的端口；请求者 -被认证的用户 /设备；认证服务器 - 根据认 证者的信息，对请求访问网络资源的用户 /设备进行实际认证功能的设备。 4.3 802.1x 认证

43、体系 802.1x 是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。端口可 以是一个物理端口，也可以是一个逻辑端口（如VLAN。对于无线局域网来说，一个端口就 是一个信道。 802.1x 认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认 证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保 “ 关 闭 ”， 即 只 允 许 802.1x 的 认 证 协 议 报 文 通 过 。 802.1X认证体系分为请求者系统、认证系统和认证服务器系统三部分： （1）请求者系统 请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行 认证。请

44、求者通常是支持 802.1x 认证的用户终端设备，用户通过启动客户端软件发起 802.lx 认证，后文的认证请求者和客户端二者表达相同含义。 （2）认证系统 认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx 协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一 般在用户接入设备（如LAN Switch和AP）上实现802.1x认证。后文的认证系统、认证点和 接入设备三者表达相同含义。 （3） 认证服务器系统 认证服务器是为认证系统提供认证服务的实体，建议使用RADIUS服务器来实现认证 服务器的认证和授权功能。请求者和认证系统之间运行 8

45、02.1x 定义的 EAPO （Extensible Authentication Protocolover LAN）协议。当认证系统工作于中继方式时，认证系统与认证 服务器之间也运行 EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中 （如RADIUS，以便穿越复杂的网络到达认证服务器；当认证系统工作于终结方式时，认证 系统终结EAPoL消息，并转换为其它认证协议（如RADIUS）传递用户认证信息给认证服务 器系统。认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双 向连通状态，主要用来传递 EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证

46、报 文；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。 4.4 802.1x 认证特点 基于以太网端口认证的 802.1x 协议有如下特点： IEEE802.1x 协议为二层协议，不需要 到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用 的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼 容； 802.1x 的认证体系结构中采用了 可控端口和不可控端口 的逻辑功能，从而可以实 现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与 控制，业务报文直接承载在正常的二层报文上通过可控端

47、口进行交换，通过认证之后的数据 包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务 支持；可以映射不同的用户认证等级到不同的VLAN可以使交换端口和无线LAN具有安全 的认证接入功能。 4.5 802.1x 认证流程 基于802.1X的认证系统在客户端和认证系统之间使用EAPOI格式封装EAP协议传送认 证信息，认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展 性，基于EAP协议的认证系统可以使用多种不同的认证算法，如EAP-MD5 EAP-TLS EAP- SIM, EAP-TTLS以及EAP-AKA等认证方法。以EAP-MD为例

48、，描述802.1x的认证流 程。EAP-MD是一种单向认证机制，可以完成网络对用户的认证，但认证过程不支持加密密 钥的生成。基于EAP-MD的 802.1X认证系统功能实体协议栈如图 2所示。基于EAP-MD5勺 802.1x 认证流程如图 3所示，认证流程包括以下步骤： 客户诜接入设备RADIUS | 图4-1 基于EAP-MD5勺802.1X认证系统功能实体协议栈 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入；(2) 接 入设备向客户端发送EAP-Request/lde ntity 报文，要求客户端将用户名送上来；(3) 客 户端回应一个EAP-Respo

49、nse/lde ntity给接入设备的请求，其中包括用户名；(4) 接入 设备将EAP-Response/ldentity 报文圭寸装到 RADIUS Access-Request报文中，发送给认证服 务器；(5)认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge 报文发送给客户端，其中包含有EAP-Request/MD5-Challenge ； (6)接入设备通过EAP- Request/MD5-Challenge发送给客户端，要求客户端进行认证；(7) 客户端收到 EAP- Request/MD5-Challenge 报文后，将密码和 Cha

50、llenge 做 MD5算法后的 Challenged-Pass- word，在 EAP-Response/MD5-Challenge 回应给接入设备；(8)接入设备将 Challenge， Challe nged Password 和用户名一起送到RADIUS服务器，由 RADIUS服务器进行认证； (9)RADIUS服务器根据用户信息，做 MD5算法，判断用户是否合法，然后回应认证成功 /失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。 如果认证失败，则流程到此结束；(10)如果认证通过，用户通过标准的 DHC助、议(可以 是DHCP Relay)，通过接入设

51、备获取规划的IP地址；(11)如果认证通过，接入设备发 起计费开始请求给 RADIUS用户认证服务器；(12)RADIUS用户认证服务器回应计费开始 请求报文。用户上线完毕。 4.6 802.1X 配置 先配置 switch 至U radius server 的通讯 全局启用802.1x身份验证功能 Switch# con figure termi nal Switch(co nfig)# aaa n ew-model Switch(co nfig)# aaa authe nticati on dot1x default method1method2 指定radius服务器和密钥 switch

52、(c on fig)#radius-server host IP_add key string 2、在 port 上起用 802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 配置关键点： 1、要保证在交换机上设置的认证和计费端口号和RADIUS服务器一致; 2、要保证在交换机上设置的

53、认证和计费加密密码与RADIUS服务器一致； 3、要是RADIUS艮务器非直连，那么要保证 RADIUS!务器与交换机是路由可达的。 有些时候，即使我们做了一系列的防范工作，还会有一些病毒和木马对我们的网络安全 工作带来威胁。这就需要我们了解病毒等的基本知识，运用一些防火墙或杀毒软件阻止和消 灭它们。 5. 病毒、木马、防火墙 5.1 计算机病毒及特点 计算机病毒是一种人为编写的程序。是指编制或者在计算机程序中插入的破坏计算机功 能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。其过程可 分为：程序设计 - 传播- 潜伏- 触发、运行 - 实行攻击。计算机病毒的特点有传染

54、性、隐蔽 性、潜伏性、破坏性。 5.2 计算机病毒的传播 计算机病毒的传播途径主要有：通过文件系统传播；通过电子邮件传播；通过局域网传 播；通过互联网上即时通讯软件和点对点软件等常用工具传播；利用系统、应用软件的漏洞 进行传利用系统配置缺陷传播，如弱口令、完全共享等；利用欺骗等社会工程的方法传播。 5.3 防火墙与查杀软件 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流 出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够 过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而 且它还能禁止特定端口的流出通信，封锁特洛伊木

55、马。最后，它可以禁止来自特殊站点 的访问，从而防止来自不明入侵者的所有通信。 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目 标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服 务，如视频流等，但至少这是你自己的保护选择。 防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和 计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中 所有计算机的代理和防火墙。最后，直接连在因特网的机器可以使用个人防火墙 杀毒软件是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成 监控识别、病毒扫描和清除和自动升级等