周力

摘要：本文通過對(duì)影響校園網(wǎng)安全的各因素的分析，實(shí)施針對(duì)性的安全措施，保障校園網(wǎng)絡(luò)安全。

關(guān)鍵詞：校園網(wǎng)；安全；體系

中圖分類號(hào)：G642.0 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1674-9324（2015）16-0255-02

一、前言

縱觀網(wǎng)絡(luò)的發(fā)展歷史，我們知道，網(wǎng)絡(luò)的開放性和容錯(cuò)性決定了網(wǎng)絡(luò)上沒有絕對(duì)的安全，只有相對(duì)的安全。所謂相對(duì)的安全，是指在現(xiàn)有網(wǎng)絡(luò)環(huán)境和技術(shù)手段支持下，通過對(duì)已有網(wǎng)絡(luò)危害行為的實(shí)現(xiàn)方法進(jìn)行分析，采取相應(yīng)的規(guī)則將危害行為封堵或限制在一定范圍內(nèi)，從而縮短網(wǎng)絡(luò)失效時(shí)間，保障大部分用戶的網(wǎng)絡(luò)行為正常實(shí)施。

二、影響校園網(wǎng)絡(luò)安全的因素

隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)架構(gòu)日趨復(fù)雜，網(wǎng)絡(luò)應(yīng)用日益增長，會(huì)不斷出現(xiàn)如病毒攻擊、黑客入侵、網(wǎng)絡(luò)資源透支等影響學(xué)校教學(xué)、管理、生活的網(wǎng)絡(luò)安全事件。因此，需要構(gòu)建校園安全訪問體系，保障校園的正常運(yùn)轉(zhuǎn)。

1.傳統(tǒng)校園網(wǎng)大都采用核心層、匯聚層、接入層的三層網(wǎng)絡(luò)體系結(jié)構(gòu)。其好處是有效分隔接入層設(shè)備，減輕核心層的負(fù)擔(dān)，但隨著網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，網(wǎng)絡(luò)交換技術(shù)的發(fā)展，其不利的一面越來越明顯。（1）核心層資源浪費(fèi)。核心層設(shè)備的交換能力現(xiàn)已發(fā)展到1T，核心交換能力的閑置，將造成設(shè)備投資上的浪費(fèi)。（2）匯聚層靈活度不夠，作用日顯多余。隨著網(wǎng)絡(luò)需求的不斷變化，接入設(shè)備功能的交叉，導(dǎo)致匯聚層功能失效，還增加了網(wǎng)管上的復(fù)雜度。（3）從網(wǎng)絡(luò)維護(hù)的角度出發(fā)，匯聚層的存在增加了網(wǎng)絡(luò)維護(hù)的步驟，增加了網(wǎng)絡(luò)復(fù)雜程度。

2.網(wǎng)絡(luò)設(shè)備配置不合理，不但不能保護(hù)網(wǎng)絡(luò)，還會(huì)導(dǎo)致用戶出現(xiàn)不明原因的故障。

3.網(wǎng)絡(luò)回路的問題?，F(xiàn)行網(wǎng)絡(luò)中若經(jīng)人為或設(shè)備損壞，形成閉合回路，會(huì)造成數(shù)據(jù)包的不斷循環(huán)發(fā)送而產(chǎn)生網(wǎng)絡(luò)風(fēng)暴，大量占用網(wǎng)絡(luò)資源，進(jìn)而導(dǎo)致設(shè)備癱瘓，網(wǎng)絡(luò)崩潰。

4.病毒攻擊的問題。計(jì)算機(jī)病毒利用網(wǎng)絡(luò)傳播的特性，以其特有的方式，對(duì)校園網(wǎng)造成嚴(yán)重的威脅。

5.設(shè)備安全的問題。網(wǎng)絡(luò)設(shè)備遍布全校，管理上有難度，人為的私接、占用他人線路，時(shí)有發(fā)生。

三、合理配置交換機(jī)，建設(shè)校園網(wǎng)安全訪問系統(tǒng)

針對(duì)影響校園網(wǎng)絡(luò)安全的諸多威脅，必須建立全方位的實(shí)用的交換機(jī)安全訪問策略，才能保護(hù)校園網(wǎng)內(nèi)的各種資源不被破壞和濫用，維護(hù)校園網(wǎng)絡(luò)的安全。

1.優(yōu)化網(wǎng)絡(luò)架構(gòu)。隨著核心交換機(jī)交換能力的快速提高到萬兆，交換容量的不斷增大，單板支持的千兆端口數(shù)可達(dá)48個(gè)，光交換技術(shù)的日漸成熟，核心交換機(jī)的購入成本和單模光纖的布設(shè)投入不斷降低。但是桌面交換機(jī)因終端對(duì)接及維護(hù)的技術(shù)和成本相對(duì)較高而未能有大的突破。在此前提下，將三層的網(wǎng)絡(luò)結(jié)構(gòu)簡化成二層，將匯聚層的功能分解到核心層和接入層中，充分利用和發(fā)揮核心層的功能，避免了投資的閑置。

2.合理分配交換機(jī)資源。交換機(jī)的交換資源是有限的，在交換機(jī)的使用上要注意合理搭配。在鏈路匹配上，桌面交換機(jī)遵守百兆下聯(lián)、千兆上聯(lián)的原則，核心交換機(jī)則遵循千兆下聯(lián)、萬兆上聯(lián)和對(duì)聯(lián)的原則，形成一條遞增的傳輸鏈，避免形成單端口瓶頸，提高線速交換的保證率。在端口使用上，將單板端口的使用率控制在50%以下，避免出現(xiàn)過多配置，過度使用單板端口情況。在保證端口使用的前提下，做好交換機(jī)的冗余設(shè)備互備，減少單點(diǎn)故障。在投資許可的情況下，對(duì)每個(gè)關(guān)鍵點(diǎn)進(jìn)行冗余互備。

3.配置全網(wǎng)交換機(jī)遠(yuǎn)程管理。全網(wǎng)選用可網(wǎng)管的交換機(jī)，實(shí)現(xiàn)交換機(jī)的遠(yuǎn)程網(wǎng)管，下面以H3C2403為例進(jìn)行說明。（1）指定專用管理vlan，編制網(wǎng)絡(luò)設(shè)備管理信息表。（2）設(shè)置交換機(jī)遠(yuǎn)程登陸安全密碼，服務(wù)類型及認(rèn)證模式。

[H3C-luser-admin]password simple ****（*為密碼形如admin123）

[H3C-luser-admin]service-type telnet level 3（3級(jí)為最高級(jí)）

[H3C] user-interface vty 0 4

[H3C-ui-vty0-4] authentication-mode scheme

（3）交換機(jī)遠(yuǎn)程管理屬性設(shè)置。

[H3C-Vlan-interface99]ip address *.*.*.*

255.255.254.0

[h3c]ip route-static 0.0.0.0 0.0.0.0 *.*.*.*

（*為管理段網(wǎng)關(guān)的IP地址）

通過全網(wǎng)網(wǎng)管，可以實(shí)時(shí)收集桌面交換機(jī)的運(yùn)行狀態(tài)信息。在無現(xiàn)維人員的情況下，進(jìn)行網(wǎng)絡(luò)故障的簡單處理，遠(yuǎn)程優(yōu)化交換機(jī)的配置，統(tǒng)一分發(fā)交換機(jī)配置。通過設(shè)置登陸密碼，保護(hù)交換機(jī)的配置安全。

4.通過接入交換機(jī)的端口設(shè)置，提高網(wǎng)絡(luò)訪問的安全性。合理限制交換機(jī)端口的交換速率，下接設(shè)備數(shù)量及環(huán)路檢測。從源頭限制帶寬的惡意侵占，減輕個(gè)別用戶因中毒或使用過度占用帶寬的軟件對(duì)同交換機(jī)別的用戶的網(wǎng)速干擾。開啟交換機(jī)環(huán)路自檢功能，可及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)風(fēng)暴問題，避免問題擴(kuò)大化。用戶在交換模式下的私接、亂接不僅是對(duì)網(wǎng)絡(luò)資源的非法侵占，而且是一種網(wǎng)絡(luò)破壞行為，嚴(yán)重者會(huì)導(dǎo)致物理端口的損壞。

（1）交換機(jī)端口的環(huán)路檢測配置。

[H3C-Ethernet*/*/*]loopback-detection enable

（*/*/*為端口號(hào)）

（2）交換機(jī)端口安全限定的設(shè)置。

打開端口安全功能 [H3C] port-security enable

設(shè)置重新學(xué)習(xí)時(shí)間[H3C] port-security timer autolearn*（*為分鐘數(shù)）

進(jìn)入端口模式 [H3C]int ethernet */*/*endprint

設(shè)置端口MAC地址獲取方式為自動(dòng)學(xué)習(xí)

[H3C-Ethernet1/0/3]port-security port-mode autolearn

限制端口直聯(lián)下MAC地址通過數(shù)量

[H3C-Ethernet1/0/3]port-security max-mac-count *（*數(shù)量）

（3）交換機(jī)端口限速。交換機(jī)端口限速是通過對(duì)進(jìn)出兩個(gè)方向分別設(shè)限而實(shí)現(xiàn)的。實(shí)際速率=限定值/8。如設(shè)定4096kbps，則實(shí)際下載速度可達(dá)512KB/秒左右。另外，在保證計(jì)算機(jī)的正常使用、良好上網(wǎng)體驗(yàn)的前提下，最優(yōu)設(shè)置為8M。端口模式下限制入端口速率[H3C-Ethernet1/0/19]line-rate inbound *

（*為所限速率，單位為kbps）

限制出端口速率[H3C-Ethernet1/0/19]line-rate outbound *

5.優(yōu)選vlan配置方案。Vlan的設(shè)置對(duì)保障網(wǎng)絡(luò)的安全訪問有很重要的作用，一個(gè)有效且切實(shí)可行的vlan配置方案，應(yīng)滿足以下要求：能夠?qū)崿F(xiàn)接入層所有端口用戶不同vlan的分隔，vlan方案要易于實(shí)現(xiàn)，操作上不能太復(fù)雜，便于后期的維護(hù)，vlan的劃分不影響端口間的正常通信，節(jié)約vlan資源。雙層標(biāo)簽的QinQ技術(shù)完全滿足上述要求。

（1）根據(jù)業(yè)務(wù)類型規(guī)劃內(nèi)外層vlan。內(nèi)層vlan根據(jù)業(yè)務(wù)類型劃分。外層vlan根據(jù)端口劃分再依區(qū)域分類管理。

（2）端口模式下配置接入交換機(jī)的內(nèi)層vlan。

[H3C-Ethernet*/*/*] port access vlan *（*為端口所屬vlan號(hào)）

（3）核心交換機(jī)上的外層vlan配置（以下以h3c12508配置為例）允許外層vlan [h3c] vlan 1201 to 2600

端口工作模式相關(guān)配置

[h3c-gigabitethernet*/*/*/*] port link-mode bridge（接口二層工作模式）

[h3c-gigabitethernet*/*/*/*] port link-type hybrid（混雜模式）

管理vlan標(biāo)記通過

[h3c-gigabitethernet*/*/*/*]port hybrid vlan * tagged

（vlan標(biāo)號(hào)此例為99）

一般vlan去標(biāo)通過

[h3c-gigabitethernet*/*/*/*] port hybrid vlan * * untagged

（*為外層相關(guān)允許業(yè)務(wù)vlan標(biāo)號(hào)）端口的接收方向應(yīng)用qinq規(guī)則

[h3c-gigabitethernet*/*/*/*] qos apply policy qinq-

01 inbound

（qinq-01為qinq規(guī)則編號(hào)）

創(chuàng)建流分類規(guī)則

[h3c] traffic classifier cvlan-oa operator or

[h3c-cvlan-0a] if-match service-vlan-id 100 to 200

私有vlan相關(guān)設(shè)置

[h3c]traffic behavior pvlan2401 （pvlan2401對(duì)應(yīng)行為名。）

[h3c-behavior-pvlan2401]nest top-most vlan-id 2401

（填加相應(yīng)外層vlan標(biāo)記）

QOS規(guī)則配置

[h3c] qos policy qinq-14

[h3c-qinq-14]classifier cvlan-oa behavior pvlan-oa-1414

[h3c]classifier cvlan-card behavior pvlan-card

6.布署網(wǎng)絡(luò)預(yù)警系統(tǒng)。網(wǎng)絡(luò)預(yù)警是通過基于SNMP的網(wǎng)絡(luò)監(jiān)控管理軟件，隨時(shí)臨測網(wǎng)絡(luò)中設(shè)備的狀態(tài)、服務(wù)器使用率、網(wǎng)絡(luò)帶寬占用比等實(shí)時(shí)數(shù)據(jù)，對(duì)比數(shù)據(jù)庫中的歷史數(shù)據(jù)，根據(jù)預(yù)設(shè)的報(bào)警條件進(jìn)行通知。通過預(yù)警系統(tǒng)能使管理人員及時(shí)得到異常報(bào)警，提前做準(zhǔn)備工作。

四、結(jié)語

校園網(wǎng)絡(luò)的安全，不僅要綜合考慮設(shè)備、技術(shù)和管理方面的問題，還要綜合考慮被保護(hù)者的價(jià)值、被攻擊事件的嚴(yán)重性和投入的資金，從而在各種安全保障手段間做出平衡取舍，建設(shè)一個(gè)安全、高效的校園網(wǎng)。

參考文獻(xiàn)：

[1]張萌.校園網(wǎng)訪問控制體系的構(gòu)建[J].硅谷，2012，（8）.

[2]劉曉云.校園網(wǎng)安全訪問控制體系的構(gòu)建[J].現(xiàn)代電子技術(shù)，2012，（17）.

[3]H3C.H3C s12500系列路由交換機(jī)配置指導(dǎo)[EB/OL]. http：//www.h3c.com.cn/Service/Document_Center/Switches/Catalog/S12500/S12500/#命令.

[4]H3C.H3C中低端交換機(jī)配置手冊[EB/OL].

http：//www.uzzf.com/qudong/35524.htmlendprint