宿舍网络交换机安全配置研究.docVIP

宿舍网络交换机安全配置研究 　　摘要:从网络安全分析出发,采用软件原形法进行研究。从宿舍网络核心到网络接入交换机进行至上而下的安全规划和配置,以实例的方式采用802.1x、VLAN、路由等技术保障宿舍网络安全。 　　关键词:网络安全;VLAN;认证;MAC 　　中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2009)36-10203-02 　　The Reserch of Dormitory Network Switch Security Configuration 　　LV Wei-chun, DONG Jian 　　(Center of Network Management, Suzhou Vocational University, Suzhou 215104, China) 　　Abstract: The paper adopts the software prototype method to study from the network security analysis. By way of example using 802.1x, VLAN, routing and other technical support the network security from the dormitory network core to the network access switch to top-down security planning and configuration. 　　key words: network security; VLAN; certification; MAC 　　1 网络安全分析 　　随着互联网上大量的傻瓜化的黑客攻击工具的泛滥,网络面临着各攻击行为的挑战。学生的好奇心导致对宿舍网络提出了新的要求。而网络各层次都会受到各种各样的威胁,网络中的各个设备必工作于协议栈的某个层次。应用层的安全问题主要是由提供服务所采用的应用软件和数据的安全性产生,包括WEB服务、电子邮件系统、FTP等,此外还包括病毒对系统的威胁;传输层安全关注的是面向连接和非面向连接的攻击;网络层安全关注的是IP地址扫描/欺骗/盗用;数据链路层安全关注的是MAC地址扫描/欺骗/攻击、ARP欺骗/攻击、STP攻击、DHCP攻击;物理层安全关注的是线路的安全、物理设备的安全、机房的安全等。 　　2 宿舍网络设计 　　宿舍网络系统采用了三层架构:宿舍网核心层,宿舍网汇聚层和接入层。其中宿舍网汇聚层又包含宿舍区域汇聚和宿舍楼栋汇聚。网络拓扑如图1。 　　为了能够更好地实现网络安全方面的控制,防范内网的病毒泛滥、病毒攻击和黑客攻击,造成网络的堵塞和瘫痪,及重要部门数据被破坏和窃听,宿舍设备采用了内嵌丰富安全机制的交换机,以防护各种攻击和病毒的泛滥,同时具有身份确认、防止IP冲突、帐号盗用、控制上网的时间、限制一些应用程序使用、灵活计费等功能。 　　宿舍网核心层到宿舍区域汇聚采用的是静态路由的设计;宿舍区域汇聚到宿舍楼栋汇聚同样采用静态路由的设计;宿舍楼栋汇聚到接入层采用了Trunk方式连接。各级分工明确,逻辑性强,安全设计灵活简便。 　　3 宿舍网络安全接入技术 　　传统基于CA的认证方式可以解决电子身份的问题,而人员的身份证等可以解决现实身份的问题。但是,由于缺乏有效的现实身份到电子身份映射问题,也就是无法唯一确认网络使用者的身份,内部安全问题一直是网络安全的最大隐患。 　　宿舍网络采用的是基于802.1X协议的认证计费系统SAM,可以根据用户名、用户密码、IP、MAC、接入交换机IP、接入交换机端口等信息的灵活绑定来确认接入用户身份的唯一性。真正做到接入的安全。 　　虚拟局域网(VLAN)技术是为了解决桥接的局域网中存在的广播风暴,以及网络系统的可扩展性、灵活性和易管理性方面的问题,第二层交换机基本上都支持VLAN划分。在局域网设计中,我们可以根据不同楼层划分VLAN。VLAN技术的采用为宿舍网络系统带来了以下的优点: 　　1)控制广播 　　VLAN之间是相互隔离的,所有的广播和多点广播都被限制在一个VLAN的范围内,即一个VLAN产生的广播信息不会被传播到其它的VLAN中,有效地防止了局域网上广播风暴的产生,提供了带宽的利用率。 　　2)提高安全性 　　由于VLAN之间是相互隔离的,因此可将高安全性要求的主机服务器可划分到一个VLAN中,而其它VLAN的用户则不能访问它们。如果VLAN之间要进行通信则必需通过三层交换机才能完成,而三层交换机上具有访问控制(Access-List)以及防火墙等安全控制功能,因此VLAN之间的访问可以通过三层交换机进行控制。