申繼年 李毅治 邢雪梅

中國藥科大學(xué)現(xiàn)代教育技術(shù)中心 江蘇 210009

0 前言

本文將介紹校園網(wǎng)的接入層的相關(guān)技術(shù)策略，從而構(gòu)建一個安全高效的網(wǎng)絡(luò)，不但要讓用戶方便易用，還要讓校園網(wǎng)管理者能夠有效管理，從接入層解決校園網(wǎng)的安全隱患。

1 IP地址的分配與管理

1.1 全網(wǎng)DHCP動態(tài)分配IP

在計算機數(shù)量眾多并且劃分多個子網(wǎng)的網(wǎng)絡(luò)中，DHCP服務(wù)的優(yōu)勢更加明顯，其優(yōu)點如下：

(1) 減小輸入錯誤的可能；

(2) 避免IP沖突；

(3) 減小管理員的工作量；

(4) 當(dāng)網(wǎng)絡(luò)更改IP地址段時，不需要重新配置每臺計算機的IP；

(5) 計算機移動到其它子網(wǎng)不必重新配置IP。

1.2 DHCP服務(wù)所帶來新問題

隨著DHCP服務(wù)的廣泛應(yīng)用，也給網(wǎng)絡(luò)管理帶來一些新的問題，具體表現(xiàn)在：

(1) 私自架設(shè)非法的DHCP服務(wù)器

由于DHCP報文在客戶端和服務(wù)器的交互過程中并沒有認(rèn)證機制，如果網(wǎng)絡(luò)中存在非法DHCP服務(wù)器，管理員將無法保證客戶端從管理員指定的DHCP服務(wù)器獲取合法地址，客戶機有可能從非法DHCP服務(wù)器獲得IP地址等配置信息，導(dǎo)致網(wǎng)絡(luò)地址分配混亂。

(2) 私自指定IP地址

在部署DHCP服務(wù)的子網(wǎng)中，如果出現(xiàn)用戶私自設(shè)置IP地址，將有可能造成網(wǎng)絡(luò)地址沖突，影響IP地址的正常分配。

(3) 為特定主機分配固定IP

校園網(wǎng)中有些主機由于要提供服務(wù)，需要固定IP地址，比如服務(wù)器，這就需要在DHCP服務(wù)器和接入交換機上構(gòu)建一個IP和MAC綁定的跨網(wǎng)DHCP強制分配機制。

通過以上分析，必須采取有效措施來應(yīng)對上述三個問題。我們利用接入交換機的DHCP-Snooping功能屏蔽非法DHCP 服務(wù)器、過濾非法DHCP報文、防止用戶私設(shè)IP，還可以為用戶指定固定的IP地址，可以有效解決非法DHCP服務(wù)器擾亂用戶網(wǎng)絡(luò)和防止私設(shè)IP用戶使用網(wǎng)絡(luò)。

2 DHCP防護

2.1 DHCP-Snooping技術(shù)簡介

DHCP-Snooping 技術(shù)就像是在非信任端口的主機和DHCP服務(wù)器之間安裝了一道防火墻，通過DHCP Snooping來區(qū)分連接到終端客戶的非信任端口和連接到DHCP 服務(wù)器或者其他交換機的信任端口。

DHCP-Snooping具有屏蔽非法DHCP 服務(wù)器和過濾非法DHCP報文的功能，解決了DHCP Client和DHCP Server之間DHCP報文交互的安全問題。DHCP-Snooping簡稱DHCP偵聽，接入交換啟動DHCP-Snooping功能后可實現(xiàn)對DHCP Client和DHCP Server之間DHCP交互報文的窺探。通過窺探，DHCP-Snooping記錄合法DHCP用戶的信息(IP、MAC、所屬VLAN、端口、租約時間等)，形成DHCP-Snooping數(shù)據(jù)庫。借助DHCP偵聽功能，通過只允許來自面對不可信用戶的端口的DHCP請求(而非響應(yīng))，進而阻止DHCP欺騙。

2.2 防止私設(shè)DHCP

(1) 打開DHCP-Snooping 全局開關(guān)

configure terminal

ip dhcp snooping

end

(2) DHCP服務(wù)器與DHCP 客戶端不在同一子網(wǎng)時，需要打開DHCP中繼功能，并配置DHCP 服務(wù)器地址

configure terminal

service dhcp

ip helper-address 192.168.1.100

end

(3) 將連接合法DHCP 服務(wù)器的端口配置為信任口，連接用戶的端口默認(rèn)為非信任口

configure terminal

interface gig 1/1

ip dhcp snooping trust

end

2.3 防止私設(shè)靜態(tài)IP

為了防止私設(shè)IP 地址的用戶使用網(wǎng)絡(luò)，需要打開接口上的地址綁定開關(guān)，通過硬件對非法 IP 報文進行過濾

configure terminal

interface range fastethernet 0/1-24

ip dhcp snooping address-bind

end

2.4 為用戶指定固定IP

對于需要使用靜態(tài)IP 地址的用戶，可以通過添加靜態(tài)綁定實現(xiàn)(假設(shè)一臺服務(wù)器需要使用靜態(tài)IP 地址，其MAC為：00d0.fa88.5687；VLAN 號為：1；IP 為：192.168.11.3；端口為：2)。

configure terminal

ip dhcp snooping binding 00d0.fa88.5687 vlan 1 ip 192.168.11.3 interface fastethernet 0/2

end

3 ARP欺騙

3.1 ARP欺騙原理

ARP協(xié)議(Address Resolution Protocol)的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進行。ARP協(xié)議是簡單的報文交互而沒有認(rèn)證機制的，基于ARP協(xié)議的這一工作特性，任何人通過向計算機或者網(wǎng)絡(luò)設(shè)備發(fā)送虛假的ARP報文便可達到ARP欺騙的目的。

當(dāng)前校園網(wǎng)大都采用VLAN技術(shù)，多臺主機同處于一個VLAN，致使ARP病毒冒充主機欺騙網(wǎng)關(guān)或冒充網(wǎng)關(guān)欺騙主機，造成的危害較大。針對這一問題，采用DHCP-Snooping+ ARP-Check方案可以有效攔截非法的ARP報文，抵御ARP欺騙，保證網(wǎng)絡(luò)的暢通。

3.2 防御APR欺騙

ARP-Check通過硬件過濾ARP欺騙報文，保證送到CPU的ARP報文都是合法的，有效降低了CPU 的負荷。DHCPSnooping功能在將DHCP-Snooping 數(shù)據(jù)庫用戶信息添加到IP報文硬件過濾表時，同時添加到ARP報文硬件過濾表。ARP-Check根據(jù)ARP報文硬件過濾表對ARP欺騙報文進行過濾。

DHCP-Snooping + ARP-Check方案同樣也部署于接入層交換機。

(1) 網(wǎng)關(guān)欺騙

在各端口上綁定正確的網(wǎng)關(guān)，防止針對網(wǎng)關(guān)的ARP欺騙。

configure terminal

interface rang fastEthernet 0/1-24

Anti-ARP-Spoofing ip 192.168.200.1

(2) 主機欺騙

ARP-Check 應(yīng)用于端口模式下，需要對該端口上收到的ARP 欺騙報文進行硬件過濾時，在該端口上啟用ARP-Check功能，進行端口的ARP校驗，比如需要在端口1 和端口2 上啟用該功能。

configure terminal

interface range fastethernet 0/1-24

port-security arp-check

port-security arp-check cpu

end

4 ACL—病毒防護

4.1 來自接入層的網(wǎng)絡(luò)威脅

與其它園區(qū)網(wǎng)相比，校園網(wǎng)由于其客戶群體的特殊性，安全問題也存在顯著特點。校園網(wǎng)中學(xué)生群體占絕大比重，學(xué)生好奇心強，電腦水平高，應(yīng)用也比較復(fù)雜，所以來自校園網(wǎng)內(nèi)部的威脅比較多。例如：有些學(xué)生由于好奇心的驅(qū)動會主動的在校園網(wǎng)內(nèi)部試驗各種掃描軟件、攻擊軟件、木馬或病毒；由于其應(yīng)用復(fù)雜，被動感染木馬和病毒的比例也相當(dāng)高。這些都給校園網(wǎng)帶來了巨大的安全隱患。為了防止這種攻擊和病毒蔓延到整個校園網(wǎng)，最好的解決方法就是利用ACL將來自攻擊者的端口掃描和惡意數(shù)據(jù)流阻擋在接入層。

4.2 ACL部署

木馬、病毒等網(wǎng)絡(luò)攻擊都是利用一些特殊的端口進行的。所以，利用ACL限制這些特殊口訪問，可以很大程度上保證安全性。

ACL查找是在硬件中完成的，所以，當(dāng)實現(xiàn)基于ACL的安全性時，轉(zhuǎn)發(fā)性能不會受到影響。針對第二層接口的基于端口的ACL，允許在每個交換機端口上應(yīng)用安全性策略。

5 總結(jié)

本文根據(jù)校園網(wǎng)的實際情況，針對IP地址的管理、DHCP防護、ARP欺騙以及病毒與攻擊等主要問題，提出了在接入層的安全解決方案。通過實際測試表明，部署在接入層的安全策略可以有效的解決以上主要問題，從而為校園網(wǎng)絡(luò)提供了一個安全有效的網(wǎng)絡(luò)管理模式。