大学宿舍网络方案

大学宿舍网络方案内容摘要：

个网络的边缘，学生通过接入设备接入网络。 为保证整个网络安全高效的运行，作为网络的入口接入设备的智能识别是一项重要的功能。 智能识别包括用户识别和数据业务类型识别。 用户识别是为了保证网络的安全。 业务类型识别是保证业务数据的分类，帮助 网络对业务数据的服务质量。 接入层需要满足以下功能： •将流量接入网络 •控制访问－ 的能力 •执行其它的边缘功能 •端到端的 ACL 访问控制能力，并能够提供极高的安全特性，如防 ARP 欺骗，防 clonePC 等。 •端到端的 QOS 运营质量提供能力 根据学校应用需求，建议接入交换机采用神州数码 DCS3950 系列智能可堆叠交换机，其中 24 口百兆接入交换机采用 DCS395028CT,48 口百兆交换机采用 DCS395052CT。 DCS3950 系列智能安全接入交换机属于百兆接入、千兆上联的二层以太网 交换设备 ,其在安全、运营等方面极具特色，适用于教育、政府、大中型企业的网络接入。 DCS395028CT 提供 24 个百兆电口，在固化 2 个千兆 Combo 的基础上 ,更提供 2 个固化千兆电口，一共提供 4 个千兆端口，或光或电或堆叠，用户可随心选择； DCS395052CT 提供 48 个百兆电口，在固化 2 个千兆 Combo 的基础上 ,更提供 2 个固化千兆电口，一共提供 4 个千兆端口，不仅能为工作组内服务器提供千兆铜缆的直接接入，还同时为级联、堆叠、上行提供了丰富的端口选择。 DCS3950 系列支持堆叠功能 ,采取无风扇静音设 计，并采取固化上联端口的形式，端口类型组合丰富，为用户组网提供了很大的扩展性和便利性。 作为新一代的网络产品， DCS3950 系列交换机具有强大的安全特性，如强大的 ACL、整机支持 1K 条 ACL，且 ACL 可以在所有端口自由分配，防攻击能力可有效抵抗病毒和 DOS 攻击，保护自身和汇聚、核心设备的安全稳定运行。 完全的硬件转发、以及基于 ASIC 的 ACL 机制可以在病毒泛滥时使正常数据不受任何影响。 同时 DCS3950 系列交换机支持完整的神州数码增强型 认证计费解决方案，支持按交换机端口和 MAC 地址方式的认证。 实施该套方案后，用户在不通过认证的情况下将无法使用网络，可以有效避免用户私自更改 IP 对网络的冲击。 配合神州数码的安全接入控制与计费系统 DCBI3000 和 客户端，可以实现按时长 /流量计费，可以实现用户帐号、密码、 IP、 MAC、 VLAN、端口、交换机的严格绑定，还可以防止代理软件，对合法客户发送通知 /广告，进行上网时段控制，基于用户动态实现 VLAN 授权和带宽授权，可基于组策略实现动态 IP 地址分配而不必使用 DHCP 服务器等。 DCS3900S 系列交换机是实现网络运营的非常理想的接入交换机。 认证计费系统： DCBI3000 根据此次的要求，在核心交换机上需要以旁路的形式，侧挂认证计费系统， DCBI3000 具有最大支持 10 万用户。 支持增强 、增强 Web、 PPPoE 等认证方式，能够为校园、企业、宽带小区提供可管理、可运营的完整的解决方案。 认证计费系统是校园网运营的核心组件，如果一旦出现问题重要数据的丢失会给学校带来不可估量的损失。 用户认证计费系统对维护校园网络的正常运营至关重要，建议采用一主一备的配备。 在一套系统出现服务中断的情况下，另外一套系统能够立刻接管。 第五章 宿舍网 络安全解决规划及解决方案 ARP 常见威胁及 DCN 方案 ARP 欺骗是指什么。 很多网络用户都不太明白，但他们在使用网络的时候，却时常会遇到这样的现象：计算机网络连接正常，但却无法打开网页，并且发现发送的数据包明显少于接收的数据包； 网络访问时断时继，掉线频繁，网络访问速度越来越慢，有时则长时间不能上网， 有时 过一段时间后又会恢复正常 ； IE 浏览器频繁出错，以及一些常用软件出现故障等 ；仔细检查你会发现 同一网段的所有上网机器均无法正常连接网络 ， 打开 交换或路由设备 的系统历史记录中看到大量的 MAC 更换信息。 一旦网络出 现了上述的症状，你就该第一时间反应过来，你是否正收到来自 ARP 欺骗的威胁。 目前，恶意主机可以在端点毫不知情的情况下窃取两个端点之间的谈话内容。 攻击者不但可以窃取密码和数据，还可以偷听 IP 电话内容 ，给网络用户造成了极大的威胁。 一般，我们认为 ARP 欺骗有两种形式，一是 ARP 仿冒网关，另一是 ARP 欺骗主机，下面的内容将向你详细描述。 ARP 相关威胁 ARP 欺骗 ARP 欺骗主机 IP 地址欺骗攻击者可以模仿合法地址，方法是人工修改某个地址，或者通过程序执行地址欺骗 ，核心就是向网络中发 送错误的 IP 和 MAC 对应的 ARP 请求，使得网段内其它主机更新自己的缓存表，把错误信息加入到缓存表中，而使得网段内某些合法主机无法实现正常通信。 举例说明，如下图： 主机 D 维护着一个缓存表，正确的记录着网段内主机的网络地址和物理地址的对应关系，恶意主机A 发送 ARP 欺骗： 对应 MAC A，主机 D 对此作出响应，并更改自己的缓存表，如下图： 主机 D 主机 B 主机 A 向 D 发送 ARP 响 应 ： MAC A …… …… MAC C MAC B MAC A 广东教育学院学生宿舍网络方案 第 14 页，共 54 页 在主机 A 进行 ARP 欺骗前，主机 B 与主机 D 之间是正常的数据交互关系，而当主机 A 发起攻击后，主机 D 依错误请求修改了自己的缓存表，于是，主机 D 就把原本发给主机 B 的数据包全部发给了主机 A。 ARP 仿冒网关 ARP 仿冒网关可能会对整个网段造成更大的危害。 攻击者 通过 发送带假冒源地址的 ARP 包，希望默认网关或其它主机能够承认该地址，并将其保存在 ARP 表中。 ARP 协议不执行任何验证或过滤就会在目标主机中为这些恶意主机生成记录项， 这是网络隐患的开始。 举例说明，如下图： 网关维护着一个正确的网段内逻辑地址与物理 地址的对应表，如上图所示，恶意主机 A 为了攻击网关，在网段内不断的发送 ARP 请求，例如： 对应 MAC A， 则主机 B、 C、 D都相应的更新自己的缓存表，于是攻击源成功仿冒了网关。 网关 主机 D 主机 C 主机 B 主机 A 主机 D修改了缓存表，同时把发给 B的数据直接发给了 A …… …… MAC C MAC A MAC A 网关 E： 主机 D 主机 C 主机 B 主机 A 在 网 段 内 发 ARP 响应： MAC A …… …… MAC B MAC A MAC E 广东教育学院学生宿舍网络方案 第 15 页，共 54 页 如上图所示，系统认为主机 A 为网关，于是本该发到交换机 E 的数据都发到主机 A 上面，主机 A 成功的让被他欺骗的主机向假网关发数据，给网络造成了极大的安全隐患，表现在 B、 C、 D 主机上就是网络中断。 ARP 扫描和 Flood 攻击 ARP 扫描是一种常见的网络 攻击方式。 为了探测网段内的所有活动主机，攻击源将会产生大量的 ARP Request 报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源；攻击源甚至有可能通过伪造的ARP 报文在网络内实施大流量攻击，使网络带宽消耗殆尽而瘫痪。 遭受 ARP 扫描攻击的网络，网段内的主机表现出来的状态就是无法连接网络。 而且 ARP 通常是其他更加严重的攻击方式的前奏，如病毒自动感染，或者继而进行端口扫描、漏洞扫描以实施如信息窃取、畸形报文攻击，拒绝服务攻击等。 还有另外一种 ARP 攻击方式，它也是以大量发送 ARP 报文的攻击形式来实现的 ，我们称之为 ARP flood。 如上图所示，危险主机不断发送大量伪造 ARP 数据到交换机，刷新其 MAC 地址表，使其达到交换机 E 主机 D 主机 C 主机 B 主机 A 不断向 交换机 发送大量含虚假 MAC地址 的 ARP数据包 网关 E： 主机 D 主机 C 主机 B 主机 A 网段内其它主机修改自己的缓存表，并认为主机 A就是网关 „„ „„ MAC B MAC A MAC A 广东教育学院学生宿舍网络方案 第 16 页，共 54 页 存储上限，造成 MAC 地址表的溢出。 此时，由于有大量的 MAC 地址刷新，交换机无法处理，于是交换机自动降级成为 HUB，执行泛洪操作，也就是把数据发往所有端口。 于是，大量的网络带宽被占用，同时交换机的 ARP 表被大量的错误信息占满，用户上网速度会变得非常的慢，或直接表现为网络中断。 DCN防 ARP威胁解决方案 ARP 欺骗首 先是通过伪造合法 IP 进入正常的网络环境，向交换机发送大量的伪造的 ARP 申请报文，交换机在学习到这些报文后，可能会覆盖原来学习到的正确的 IP、 MAC 地址的映射关系，将一些正确的IP、 MAC 地址映射关系修改成攻击报文设置的对应关系，导致交换机在转发报文时出错，从而影响整个网络的运行。 或者交换机被恶意攻击者利用，利用错误的 ARP 表，截获交换机转发的报文或者对其它服务器、主机或者网络设备进行攻击。 接入交换机 ACL 防止 ARP 仿冒网关 假定 DCN交换机 0/1/1口用于上联， 0/0/124直接连接计算机 终端，网关地址为 ，我们需要在下行口上增加 ACL阻止所有仿冒 ARP通告。 网关不同则相应得 16 进制数不同，配置的时候需要计算转换。 该配置完成后，终端发出的仿冒网关的 ARP 通告将被 deny。 DCN 接入交换机＋ DCBI＋静态 IP 地址分配 静态 IP 地址分配是指在每一台主机上面，手动配置 IP 地址。 在这种环境下，我们可以通过 DCBI 下发 ACL 到 DCN 接入交换机进行端口、 IP、 MAC 的绑定。 这样每个端口只能发出含正确源 MAC 地址和源 IP 地址的 ARP 报文。 如下图所示，交换机将不转发非法用户的数据包，并把它丢弃或者直接 shutdown下联的交换机端口，让攻击源无可乘之机。 广东教育学院学生宿舍网络方案 第 17 页，共 54 页 具体实现方式是：在交换机端口上开启 功能；同时配置 DCBI 认证系统。 举例说明使用过程： 计算机连接到交换机的端口 1/2上，端口 1/2开启 ，接入方式采用缺省的基于 MAC地址认证方式。 交换机的 IP地址设置为 ，并将除端口 1/2以外的任意一个端口与 RADIUS认证服务器相连接， RADIUS认证服务器的 IP地址设置为 ，认证、计费端口为缺省端口 1812和端口 1813。 计算机上安装 ，并通过使用此软件来实现。 配置 DCBI 基于神州数码 DCBI3000/DCSM8000 的内网安全管理系统，不但可以实现上面的绑定准入控制，而且实现了基于每个数据包转发时的交换芯片的 IP、 MAC 绑定过滤规则，从而完成杜绝了 ARP 欺骗及 ARP扫描等内网安全方面的威胁。 具体实现的功能过程如下图所示： 网关 主机 D 主机 C 主机 B 主机 A …… …… MAC C MAC B MAC A 对 交换机下联的端系统IP、 MAC进行绑定 广东教育学院学生宿舍网络方案 第 18 页，共 54 页 如图上图所示，基于每个包都进行绑定判 断过滤的安全准入： 1） 用户在上网认证时，将自已的用户帐号、密码、 IP 地址、 MAC 地址上传给 安全接入交换机。 2） 安全接入交换机将上面的信息通过另一种形式上传给安全策略服务器DCBI3000。 3） 在 DCBI3000 上判断该用户的 IP、 MAC 等信息是否附合绑定的要求。 如是上面的信息附合绑定的要求，将 Radius Server 下发该用户认证通过的信息给 安全接入交换机。 与上面的传统方式不同的是： DCBI3000 针对动态 DHCP 管理方式和静态 IP 方式按着两种方式进行处理。 i. 如果用户网 络采用是静态 IP 地址管理方式，则 DCBI3000 会把事先配置好的该用户 IP、 MAC 绑定信息下发到 交换机中。 （如下图所示：通过 DCBI3000 实现静态的IP、 MAC 过滤规则） 广东教育学院学生宿舍网络方案 第 19 页，共。