校园网安全访问体系实践研究

2015-12-09周力

教育教学论坛 2015年16期

关键词：校园网安全体系

周力

摘要：本文通过对影响校园网安全的各因素的分析，实施针对性的安全措施，保障校园网络安全。

关键词：校园网；安全；体系

中图分类号：G642.0 文献标志码：A 文章编号：1674-9324（2015）16-0255-02

一、前言

纵观网络的发展历史，我们知道，网络的开放性和容错性决定了网络上没有绝对的安全，只有相对的安全。所谓相对的安全，是指在现有网络环境和技术手段支持下，通过对已有网络危害行为的实现方法进行分析，采取相应的规则将危害行为封堵或限制在一定范围内，从而缩短网络失效时间，保障大部分用户的网络行为正常实施。

二、影响校园网络安全的因素

随着校园网规模的不断扩大，网络架构日趋复杂，网络应用日益增长，会不断出现如病毒攻击、黑客入侵、网络资源透支等影响学校教学、管理、生活的网络安全事件。因此，需要构建校园安全访问体系，保障校园的正常运转。

1.传统校园网大都采用核心层、汇聚层、接入层的三层网络体系结构。其好处是有效分隔接入层设备，减轻核心层的负担，但随着网络环境的日趋复杂，网络交换技术的发展，其不利的一面越来越明显。（1）核心层资源浪费。核心层设备的交换能力现已发展到1T，核心交换能力的闲置，将造成设备投资上的浪费。（2）汇聚层灵活度不够，作用日显多余。随着网络需求的不断变化，接入设备功能的交叉，导致汇聚层功能失效，还增加了网管上的复杂度。（3）从网络维护的角度出发，汇聚层的存在增加了网络维护的步骤，增加了网络复杂程度。

2.网络设备配置不合理，不但不能保护网络，还会导致用户出现不明原因的故障。

3.网络回路的问题。现行网络中若经人为或设备损坏，形成闭合回路，会造成数据包的不断循环发送而产生网络风暴，大量占用网络资源，进而导致设备瘫痪，网络崩溃。

4.病毒攻击的问题。计算机病毒利用网络传播的特性，以其特有的方式，对校园网造成严重的威胁。

5.设备安全的问题。网络设备遍布全校，管理上有难度，人为的私接、占用他人线路，时有发生。

三、合理配置交换机，建设校园网安全访问系统

针对影响校园网络安全的诸多威胁，必须建立全方位的实用的交换机安全访问策略，才能保护校园网内的各种资源不被破坏和滥用，维护校园网络的安全。

1.优化网络架构。随着核心交换机交换能力的快速提高到万兆，交换容量的不断增大，单板支持的千兆端口数可达48个，光交换技术的日渐成熟，核心交换机的购入成本和单模光纤的布设投入不断降低。但是桌面交换机因终端对接及维护的技术和成本相对较高而未能有大的突破。在此前提下，将三层的网络结构简化成二层，将汇聚层的功能分解到核心层和接入层中，充分利用和发挥核心层的功能，避免了投资的闲置。

2.合理分配交换机资源。交换机的交换资源是有限的，在交换机的使用上要注意合理搭配。在链路匹配上，桌面交换机遵守百兆下联、千兆上联的原则，核心交换机则遵循千兆下联、万兆上联和对联的原则，形成一条递增的传输链，避免形成单端口瓶颈，提高线速交换的保证率。在端口使用上，将单板端口的使用率控制在50%以下，避免出现过多配置，过度使用单板端口情况。在保证端口使用的前提下，做好交换机的冗余设备互备，减少单点故障。在投资许可的情况下，对每个关键点进行冗余互备。

3.配置全网交换机远程管理。全网选用可网管的交换机，实现交换机的远程网管，下面以H3C2403为例进行说明。（1）指定专用管理vlan，编制网络设备管理信息表。（2）设置交换机远程登陆安全密码，服务类型及认证模式。

[H3C-luser-admin]password simple ****（*为密码形如admin123）

[H3C-luser-admin]service-type telnet level 3（3级为最高级）

[H3C] user-interface vty 0 4

[H3C-ui-vty0-4] authentication-mode scheme

（3）交换机远程管理属性设置。

[H3C-Vlan-interface99]ip address *.*.*.*

255.255.254.0

[h3c]ip route-static 0.0.0.0 0.0.0.0 *.*.*.*

（*为管理段网关的IP地址）

通过全网网管，可以实时收集桌面交换机的运行状态信息。在无现维人员的情况下，进行网络故障的简单处理，远程优化交换机的配置，统一分发交换机配置。通过设置登陆密码，保护交换机的配置安全。

4.通过接入交换机的端口设置，提高网络访问的安全性。合理限制交换机端口的交换速率，下接设备数量及环路检测。从源头限制带宽的恶意侵占，减轻个别用户因中毒或使用过度占用带宽的软件对同交换机别的用户的网速干扰。开启交换机环路自检功能，可及时发现网络风暴问题，避免问题扩大化。用户在交换模式下的私接、乱接不仅是对网络资源的非法侵占，而且是一种网络破坏行为，严重者会导致物理端口的损坏。

（1）交换机端口的环路检测配置。

[H3C-Ethernet*/*/*]loopback-detection enable

（*/*/*为端口号）

（2）交换机端口安全限定的设置。

打开端口安全功能 [H3C] port-security enable

设置重新学习时间[H3C] port-security timer autolearn*（*为分钟数）

进入端口模式 [H3C]int ethernet */*/*endprint

设置端口MAC地址获取方式为自动学习

[H3C-Ethernet1/0/3]port-security port-mode autolearn

限制端口直联下MAC地址通过数量

[H3C-Ethernet1/0/3]port-security max-mac-count *（*数量）

（3）交换机端口限速。交换机端口限速是通过对进出两个方向分别设限而实现的。实际速率=限定值/8。如设定4096kbps，则实际下载速度可达512KB/秒左右。另外，在保证计算机的正常使用、良好上网体验的前提下，最优设置为8M。端口模式下限制入端口速率[H3C-Ethernet1/0/19]line-rate inbound *

（*为所限速率，单位为kbps）

限制出端口速率[H3C-Ethernet1/0/19]line-rate outbound *

5.优选vlan配置方案。Vlan的设置对保障网络的安全访问有很重要的作用，一个有效且切实可行的vlan配置方案，应满足以下要求：能够实现接入层所有端口用户不同vlan的分隔，vlan方案要易于实现，操作上不能太复杂，便于后期的维护，vlan的划分不影响端口间的正常通信，节约vlan资源。双层标签的QinQ技术完全满足上述要求。

（1）根据业务类型规划内外层vlan。内层vlan根据业务类型划分。外层vlan根据端口划分再依区域分类管理。

（2）端口模式下配置接入交换机的内层vlan。

[H3C-Ethernet*/*/*] port access vlan *（*为端口所属vlan号）

（3）核心交换机上的外层vlan配置（以下以h3c12508配置为例）允许外层vlan [h3c] vlan 1201 to 2600

端口工作模式相关配置

[h3c-gigabitethernet*/*/*/*] port link-mode bridge（接口二层工作模式）

[h3c-gigabitethernet*/*/*/*] port link-type hybrid（混杂模式）

管理vlan标记通过

[h3c-gigabitethernet*/*/*/*]port hybrid vlan * tagged

（vlan标号此例为99）

一般vlan去标通过

[h3c-gigabitethernet*/*/*/*] port hybrid vlan * * untagged