收藏 分销(赏)

基于校园网络的核心交换机安全配置.docx

上传人:pc****0 文档编号:8758210 上传时间:2025-03-01 格式:DOCX 页数:8 大小:128.81KB 下载积分:10 金币
下载 相关 举报
基于校园网络的核心交换机安全配置.docx_第1页
第1页 / 共8页
基于校园网络的核心交换机安全配置.docx_第2页
第2页 / 共8页


点击查看更多>>
资源描述
基于校园网络的核心交换机的防攻击策略 ★姓名: 沈斌良 班级: 计算机083 学号: 08011187 姓名: 陈显锚 班级: 计算机083 学号: 08011216 (★为本方案的主要负责同学) 计算机与信息学院 二〇一一年六月 一、方案背景 随着高校信息化建设的发展,高校校园网普及程度越来越高,校园网在教学、科研、校内政务管理方面起到了积极地作用。校园计算机网络的建设已成为学校建设中,上档次、上规模的一个重要标志。目前在各高等院校甚至在很多中学都已建立了自己的校园网,一些学校已开始将网络节点延伸至学生寝室,即将校园网面向学生全面开放,使得学校校园网真正在教学科研及管理等各方面起到重要的作用。近年来中国大步跨入了信息化社会,校园网是Intranet/Interner技术在教育机构的一个应用。它是指在学校范围内,在一定的教育思想和理论指导下,为学校教学,科研和管理等教育提供资源共享,信息交流和协同工作的计算机网络。由于校园网的特殊性和高校学生群体的特殊性,校园网络受到了更多的攻击,包括黑客恶意攻击和无意识攻击。在核心交换机配置防攻击策略,可以达到保护校园骨干网的正常运行,提高校园网的完全性。 二、方案设计任务分工 沈斌良:方案撰写 陈显锚:资料搜集 三、需求分析 该方案主要致力于在校园网络中对于核心交换机的安全配置,随着校园网的普及和迅速发展,校园网的安全性成为当前备受关注的问题。核心交换机较高的可靠性和性能,不仅保障了骨干网高速转发通信和性能优化,而且通过防防攻击策略,可以提高校园网的安全性。在核心交换机中,我们主要需要解决一下几个问题: 1.MAC/CAM攻击防范; 2.DHCP攻击防范; 3.ARP攻击防范; 这3个安全防范对于校园网络来说是非常重要的: 1.MAC/CAM攻击防范:交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的,不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ,快速填满 CAM 表,交换机 CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有接口,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。 2.DHCP攻击防范:采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,随之存在的隐患有DHCP server的冒充、DHCP server的Dos攻击、用户随便指定地址而造成网络地址冲突。 3.ARP攻击防范:ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续小断的发出伪造ARP响应包就能更改目标主机ARP缓存中的IP—MAC条目,造成网络中断或中间人攻击。 四、网络安全设计方案 1. 网络拓扑结构图 图表 1 网络拓扑图 2. 设备选型 鉴于本方案主要是实施在核心交换机上,因此其他设备不做介绍,主要介绍核心交换机的选择。核心交换设备应当采用高性能模块化三层交换机,支持交换引擎冗余和关键部件的热插拔。建议选择Cisco Catalyst 6500-E系列(如图2所示)或锐捷RG―S8600系列产品。较小规模的学院级校园网络,也可以选择Cisco Catalyst 6500-E系列或锐捷RG―S6800-E系列产品作为核心交换机。 图表 2 Cisco Catalyst 6500-E 3. 安全架构分析 本设计的安全架构分析主要基于在需求分析中所提出的三种攻击防范,通过在核心交换机中的命令输入来实现对其的配置。 1.MAC/CAM攻击防范: 通过Port Security feature可以防止MAC和MAC/CAM攻击.。通过配置PortSecurity可以控制端口上最大可以通过的MAC地址数量、端口上学习或通过哪些MAC地址、对于超过规定数量的MAC处理进行违背处理。例如,端口上最大可通过的MAC地址为10,通过端口的MAC地址为000b.dbld.6ccd。对于超过数量的MAC的非法流量丢弃并报警,具体配置如下: Switch(config-if)#switchport port—security maximum 10 Switch(Config—if)#switchportport—security mac-address sticky 010c.dbld.6ccd Switch(config—if)#switchport port—security violation restrict 2.DHCP攻击防范; 通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自小信任区域的DHCP信息。例如:对VLANl00使用DHCP嗅探过滤信息;设置信任端口正常转发DHCP Offer报文,不记录ip和mac地址的绑定,其余端口默认为不信任端口:绑定静态ip和mac。具体配置如下: Switch(config)#ip dhcp snooping vlanl00 Switch(config)#int e1 Switch(Config—if)#iP dhcp snooping trust Switch#ip dhcp snooping binding 0lOc.dbld.6ccd vlan 7 192.168.10.5 interface e1 3.ARP攻击防范: Dynamic ARP Inspect Inspection( (DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI以DHCP Snoopi ng绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access一1ist实现⋯。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。 定义arp inspection作用的vlan,它是根据dhcp snooping binding表做判断的:侦测满足src-mac dst-mac ip有效客户端: Switch(config)#ip dhcp snooping vlan 100 Switch(config)#ip arp inspection vlan 100 Switch(config)#ip arp inspection validate src—mac dst-mac ip 定义哪些接口是信任接口,通常是网络设备接口,TRUNK接口等;定义接口每秒ARP报文数量: Switch(config)#int e1 Switch(config—if)#ip arp inspection trust /* ip arp inspection 1imit rate 20 对于没有使用DHCP设备可以采用下面办法: Switch(config)#arp access一1ist static—arp Switch(config)#permit ip host 192.168.55.11 mac host 0016.9bcc.d154 Switch(config)#ip arp inspection filter static—arp vlan lOO 五、总结 本文主要介绍了校园网常见的攻击方法,以及在核心交换机针对这些攻击采取的防攻击策略的具体实施,实践证明,整个网络提高了抗攻击性,网络运行状态更为稳定。大学校园网安全是一项系统工程,在实施时要充分考虑各种情况,针对各种不同情况采取相应的措施。基于核心交换机的安全只是其中比较重要的一项,但只要长期有效的坚持,河里地配置好网络设备,再将防火墙、入侵检测系统、网络杀毒等系统纳入,就可以构筑立体的、动态的、安全灵便的网络空间,为学生和教师提供安全的上网环境。 当然除了这些,还有包括一些比如vlan的划分、建立访问控制列表控制权限、IP与MAC地址绑定、一些危险端口的关闭等,由于比较简单在,就不一一举例了。核心交换机中除了设置安全策略之外,还需要设置其他许多的东西,这也是我们以后需要深入学习的,不过通过这次的资料搜集和仔细研究,我们也收获了很多,这3种安全防范就是我们通过查阅资料总结出来的,虽然没有实践过,但是通过这些代码我们也学到了如何对交换机进行安全方面的设置。
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 管理财经 > 管理学资料

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服