6月答辩-基于IPV6的校园网络安全解决方案.doc

1、本科毕业论文(设计)基于IPV6的校园网络安全解决方案诚 信 声 明我声明，所呈交的毕业论文（设计）是本人在老师指导下进行的研究工作及取得的研究成果。据我查证，除了文中特别加以标注和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写过的研究成果，也不包含为获得其他教育机构的学位或证书而使用过的材料。我承诺，论文（设计）中的所有内容均真实、可信。毕业论文（设计）作者（签名）： 年 月 日基于IPV6的校园网络安全解决方案【摘要】 作为当前Internet网络基石的IPv4协议由于其固有的局限，在面对新一轮的Internet发展时表现出越来越多的不足。IPv6具有诸如海量地址、组播、邻居发现、

2、自动配置等许多新特性，已经成为下一代Internet网络的首选协议。本文针对IPV6下的校园网络安全问题展开讨论和研究，对IPv6的新特性进行分析，对其组件、特性等进行了必要描述，并对目前常用的三种过渡技术双协议栈、隧道和IPv6/IPv4协议与地址转换进行分析；然后，对某校园网结构进行分析，评价，并推荐采用新一代校园网络的安全设备CISCO产品来构建新型校园网，介绍CISCO设备应用于校园网的关键技术。在设计方案中还阐述网络攻击的主要途径以及构建新型校园网应该注意的问题等。本文还构建了基于网络设备仿真软件的IPv6实验平台，在实验中本着立足实际情况，充分体现IPv6的特性的基础上，运用CIS

3、CO技术开展IPv6试验网的实验与验证.【关键词】 IPv6；校园网；安全；思科；The Solution of Security Campus Network Based on IPv6Abstract Facing a new generation Internet development ,the TCP/IP protocol which is the basis on IPV4 is becoming more and more inadequate because of its weakness. IPv6 have a lot of new properties includin

4、g many addresses, group broadcast, neighbor detect ,automatic scheme and so on. It becomes the next generation network protocol. This dissertation discuss and analyze the security campus network based on IPv6,analyze the new properties of IPv6 and give a description of components and characteristics

5、 of IPv6 protocol. It also analyzes the three technology protocol, dual stack tunnel and the translation between IPv6/ IPv4 address. This dissertation then analyze and appraise the structure of the one campus network, and commend a new security equipment of campus network-Cisco, Introduce the key te

6、chnologies of campus network in Cisco system. And I also elaborate the primary ways to the cyber attacks and the problems that should be paid attention to when making up a new campus network, and structure the software-IPv6 experimental platform based on cyber equipment. On the basis of examplifying

7、 the characteristics of IPV6, I also mesh with the present practices in the experiment, and use Cisco technology to launch the experiment and verification of IPV6 experimental network.Key words IPv6 Campus Network Security Cisco目 录1 前言11.1 选题目的和意义11.2 校园网的普遍现状11.3 IPV6的引入21.4 IPV6与下一代互联网32 IPv6理论基础4

8、2.1 IPv6的组成42.2 IPv6地址的表示形式42.3 IPv6地址类型52.4 IPv6路由62.5 邻居发现协议62.6 IPv6的安全机制73 清远市某中学校园网络分析93.1 拓扑分析93.2 该中学网络存在的安全缺陷93.3 构建新型现代的校园网络113.4 下一代互联网-CERNET2124 逐步走进新型校园网- IPv4到IPv6的过渡144.1“海洋与孤岛”理论144.2 过渡原则154.3 过渡策略155.基于IPV6的校园网络安全设计185.1 网络建设需求185.2 设计方案应注意的安全问题185.3 网络攻击的防范205.4 基于IPV6的安全方案设计215.5

9、校园网络安全设备的选取245.5.1 思科的介绍245.5.2 思科的关键技术应用于校园网256 GNS3/ Packet Tracer 平台的介绍与构建276.1 软件介绍276.2 基于IPV6的设计实验-配置IPV6地址与静态路由286.3 IPv4 over IPv6 的配置 （gre ipv6隧道配置）326.4 基于安全的实验-配置HSRP387. 结论41参考文献42致 谢431 前言1.1 选题目的和意义校园网作为现代化教学中最重要的信息载体，在学校建设和管理中发挥着日益重要的作用。因此，提高校园网络安全对提高学校的管理水平和教学质量都具有十分重要的意义。校园网规模日趋扩大、应

10、用环境日趋复杂，IP地址资源的紧缺，校园网络安全事故时有发生。因此，如何提高防范校园网络安全事故，增加IP地址数量，保证校园网高效稳定地运转，就成为各学校越来越重视的问题。可见研究IPV6应用于校园网的方案对今后的大规模IPV6网络应用部署具有积极意义。本次研究就是基于校园网的安全问题而开展的。1.2 校园网的普遍现状随着网络技术的不断发展和Internet的日益普及，许多学校都建立了校园网络并投入使用，这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题，登陆了一些非法网站和使用了带病毒的软件，导致了校园计

11、算机系统的崩溃，给计算机教师带来了大量的工作负担，也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时，教师和学生都应加强对校园网络的安全重视。正如人们经常所说的：网络的生命在于其安全性。因此，如何在现有的条件下，如何搞好网络的安全，就成了校园网络管理人员的一个重要课题。校园网由于网络应用普及、用户群密集而且活跃的特点，是安全问题比较突出的地方，安全管理也更为复杂、困难【1】。与政府或企业网相比，学院校园网的以下特点导致安全管理非常复杂：（一）资金投入不足，校园网的建设和管理通常都轻视网络安全【2】 ,大多数学校网络建设经费不足 ,所以就将有限的经费投在关键设备上 ,对于

12、网络安全建设一直没有比较系统的投入 ,致使校园网处在一个开放的状态 ,缺少有效的安全预警手段和防范措施。（二）校园网中的计算机系统管理比较复杂，校园网中的计算机系统的购置和管理情况非常复杂。比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的。在这种情况下，要求所有的端系统实施统一的安全政策（比如安装防病毒软件、设置可靠的口令）是非常困难的。由于没有统一的设备管理，出现安全问题后通常无法分清责任。（三）用户群体规模大校园内用户群体密集，由于高带宽和大用户量的特点,网络安全问题一般蔓延较快 ,对网络的影响比较严重。（四）网络安全意识淡薄 ,没有制定完善的网络安全管理制度校园网络上的用户安全意识

13、淡薄 ,大量的非正常访问导致网络资源的浪费 ,同时也为网络带来了极大的安全隐患。1.3 IPV6的引入IP地址已经成为我国互联网以及通信网络发展的瓶颈，IP地址的不足使得新一代IP协议被引入。IPv6是“Internet Protocol Version 6”的缩写，它是IETF设计的用于替代现行版本IP协议-IPv4-的下一代IP协议。 目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议，是TCP/IP协议族的核心协议。IPv6正处在不断发展和完善的过程中，它在不久的将来将取代目前被广泛使用的IPv4。每个人将拥有更多IP地址。目前我们使用的第二代互联

14、网IPv4技术，核心技术属于美国。它的最大问题是网络地址资源有限，从理论上讲，编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后，可用的网络地址和主机地址的数目大打折扣，以至目前的IP地址近乎枯竭。其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个，中国只有3千多万个，只相当于美国麻省理工学院的数量。地址不足，严重地制约了我国及其他国家互联网的应用和发展。一方面是地址资源数量的限制，另一方面是随着电子技术及网络技术的发展，计算机网络将进入人们的日常生活，可能身边的每一样东西都需要连入全球因特网。在这样的环境下，IPv6应运而生。单从数字上来说，IPv6所拥有的地址容

15、量是IPv4的约81028倍，达到2128-1个。这不但解决了网络地址资源数量的问题，同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。1.4 IPV6与下一代互联网随着Internet的发展越来越快，当前采用的IPv4网络协议也被广泛使用。但是由于IPv4协议本身的缺陷和局限性，使得Internet的应用在很多方面受到限制，因此IETE提出了研究开发下一代IP协议，即IPv6协议。IPv6具有长达128位的地址空间，可以彻底解决IPv4地址不足的问题；除此之外，IPv6还采用了分级地址模式、高效CH 包头、服务质量、主机地址自动配置、认证和加密等许多技术，弥补了IPv4协议的许多缺陷，

16、并极大地提高了安全性。目前世界上许多国家都开展了基于IPv6协议的下一代互联网Internet2的建设，而国内下一代互联网工程的最大核心网和唯一学术网CERNET2也已建成并投入使用，为各高校和科研机构的资源共享与教学科研提供了可靠的网络基础平台。CERNET2已经接入北京大学、清华大学、复旦大学、上海交通大学、浙江大学等100多所国内高校，并与谷歌实现基于IPv6的1Gbps高速互联。2 IPv6理论基础2.1 IPv6的组成IPv6包由IPv6包头（40字节固定长度）、扩展包头和上层协议数据单元三部分组成。IPv6包扩展包头中的分段包头中指名了IPv6包的分段情况。其中不可分段部分包括：I

17、Pv6包头、Hop-by-Hop选项包头、目的地选项包头（适用于中转路由器）和路由包头；可分段部分包括：认证包头、ESP协议包头、目的地选项包头（适用于最终目的地）和上层协议数据单元。2.2 IPv6地址的表示形式 以下是用来将 IPv6 地址表示为文本字符串的三种常规形式： 冒号十六进制形式:这是首选形式 n:n:n:n:n:n:n:n。每个 n 都表示八个 16 位地址元素之一的十六进制值。例如：3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562.压缩形式:由于地址长度要求，地址包含由零组成的长字符串的情况十分常见。为了简化对这些地址的写入，可以使用压缩形式，在

18、这一压缩形式中，多个 0 块的单个连续序列由双冒号符号 (:) 表示。此符号只能在地址中出现一次。例如，多路广播地址 FFED:0:0:0:0:BA98:3210:4562 的压缩形式为 FFED:BA98:3210:4562。单播地址 3FFE:FFFF:0:0:8:800:20C4:0 的压缩形式为 3FFE:FFFF:8:800:20C4:0。环回地址 0:0:0:0:0:0:0:1 的压缩形式为 :1。未指定的地址 0:0:0:0:0:0:0:0 的压缩形式为 :混合形式:此形式组合 IPv4 和 IPv6 地址。在此情况下，地址格式为 n:n:n:n:n:n:d.d.d.d，其中每个

19、 n 都表示六个 IPv6 高序位 16 位地址元素之一的十六进制值，每个 d 都表示 IPv4 地址的十进制值。2.3 IPv6地址类型RFC3513中，仍然建议IPv6地址分为单播、任播、组播三种类型。(1)单播地址。一个单接口有一个标识符。发送给一个单播地址的包传递到由该地址标识的接口上。RFC3513建议了新的IPv6全球单播地址通用格式如下所示:表2-1 全球单播地址通用格式表2-1 全球单播地址通用格式n bitsm bits128-n-m全球路由前缀子网ID接口ID全球路由前缀是分配给站点(一组子网/链接)的一个典型层次结构值，子网ID是一个站点内子网的标识。IPv6单播地址中的

20、接口标识符是用来确定链路上一个接口的。(2)任意播地址任播地址表示单播地址的集合。属于不同节点的一组接口可以有一个标识符。发送给一个任播地址的包传送到该地址标识的、根据选路协议距离度量最近的一个接口上。通常任播地址用于标识提供同样服务的节点集。也就是，将包发送给一个任播地址的节点并不在意由节点集中的哪一个来响应，因为任意播地址的多个成员都可能响应对其链路层地址的请求。目前，此类地址仅被用做目标地址，且仅分配给路由器使用。(3)组播地址组播地址是一种多点传送地址。IPv6协议没有定义广播地址，IPv6认为广播是组播的一种特殊形式。一般属于不同节点的一组接口有一个标识符。发送给一个组播地址的包传递

21、到该地址所标识的所有接口上。IPv6组播地址是一组节点的标识符，一个节点可以归属于任意数量的组播组。组播地址格式，见表2-2.表2-2 组播地址格式84411211111111flagscop组播格式前缀为1111 1111(十六进制表示为ffxx:/32)标识这种地址为组播地址。请求节点地址:FF02:0:0:0:0:1:FFXX:XXXY如本IPv6协议分析中地址解析使用FF02:1:FF00:2来获得对方主机的MAC地址。 图2-1 地址解析2.4 IPv6路由IPv6使用的计算路由表的协议主要有三种，分别是RIPv6、OSPFv6、IDRPv6。而IPv4使用的路由算法都不能不加改动的

22、使用，因为它们不能传送128位地址。内部网关协议（Exterior Gateway Protocol，外部网关协议）RIPv6 、RIP（Routing Information Protocol，路由信息协议）OSPFv6、OSPF（Open Shortest Path First，开放最短路径优先） 外部网关协议IDRPv2、域间路由协议（IDRP）协议 2.5 邻居发现协议邻居发现协议是IPv6协议的一个组成部分，它解决同一链路上节点之间的互操作问题。邻居发现协议定义了解决如下一些问题的机制:(1)地址自动配置：节点为自身的网络接口配置IPv6地址，与之关联的有重复地址检测机制等。(2)地

23、址解析：由其它节点的IPv6地址得到其链路层地址。(3)路由发现：主机发现同一链路上的路由，与之关联的还有参数发现、前缀发现等机制。在隧道实验配置中在Cisco路由器上使用debug ipv6 icmp；debug ipv6 packets可以观察邻居发现的具体操作过程图2-2 邻居发现在路由器上使用ping命令观察Debug 输出，观察ICMP echo的操作过程。图2-3 ICMP ECHO操作2.6 IPv6的安全机制IPv6在IP层引入了安全机制。IPv6标准规定，IPv6的实现遵循IPsec（因特网协议安全）体系结构，该体系在RFC2401、RFC2402、RFC2406中有详尽的描

24、述。IPv6主要是通过两个专用的扩展报头将安全功能引入的，这两个扩展报头是：认证报头（Autentication Header，AH）和安全有效负载封装报头（Encrypted Security Payload，ESP），它们具有互补功能。 AH报头是设计用来确认信息包的可靠性和完整性。它的出现保护网络不受两种威胁：固定字段的非法修改和信息包电子欺骗。在另一方面，ESP报头则提供数据加密封装，确保只有目的节点才可以阅读由IP信息包发送的有效数据。这两个报头可以一起使用，同时提供所有的安全功能。AH报头和ESP报头两者都采用了SA（Security association，安全关联）的理论，保持

25、发送方和接收方之间的安全算法及参数的一致性。总的来说，每个IPv6节点都管理一系列的SA，每个都保证当前通信的安全。安全参数索引（Security Parameters Index，SPI）是在AH报头和ESP报头中都包括的一个参数，它指明用哪一个SA来对信息包进行加密或身份验证。3 清远市某中学校园网络分析3.1 拓扑分析通过到该中学了解，发现该中学自建校以来一直没更改网络设备与拓扑结构，拓扑如下：图3-1 某中学拓扑3.2 该中学网络存在的安全缺陷1网络自身的安全缺陷由于校园网络是一个开放的环境,TCP/IP是一个通用的协议,即通过IP地址作为网络节点的唯一标识,该协议的最大缺点就是缺乏对

26、IP地址的保护,缺乏对源IP地址真实性的认证机制,这就是TCP/IP协议不安全的根本所在。通过TCP/IP协议缺陷进行的常见攻击有很多，因此此校园网络最容易经受的攻击有：源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议攻击、SYN攻击等等。 2网络结构、配置、物理设备不安全 此中学最初的设计只是用于少数可信的用户群体,因此设计时没有充分考虑安全威胁,经过10年时间没更新设备，互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。并且网络使用中由于所连接的计算机硬件多,一些厂商可能将未经严格测试的产品推向市场,留下大量安全隐患。同时,由于操作人员技术水平有限,所以在网络系统维护阶段会

27、产生某些安全漏洞,尽管某些系统提供了一些安全机制,但由于种种原因使这些安全机制没有发挥其作用。3内部用户的安全威胁 校园网络中有不少学生或者老师无心之失或恶作剧等原因对网络进行破坏或攻击的行为,将会给网络信息系统带来更加难以预料的重大损失。U盘、移动硬盘等移动介质交叉使用和在联接互联网的电脑上使用,造成病毒交叉感染等等,都会给校园网络带来较大的安全威胁【3】。特别是近年来利用ARP协议漏洞进行窃听、流量分析、DNS劫持、资源非授权使用、植入木马病毒不断增加,严重影响了网络安全。 4软件的漏洞 一般认为,软件中的漏洞和软件的规模成正比,软件越复杂其漏洞也就越多。在网络系统运行过程中,由于操作系统

28、自身不够完善,针对系统漏洞本身的攻击较多,且影响也较严重。再加之,目前如办公、下载、视频播放、聊天等软件的流行,让使用率较高的程序也成为被攻击的目标。5病毒的传播网络的发展使资源的共享更加方便,移动设备使资源利用显著提高,但却带来病毒泛滥、网络性能急剧下降,许多重要的数据因此受到破坏或丢失,也就是说,网络在提供方便的同时,也成为了病毒传播最为便捷的途径。例如,“红色代码”、“尼姆达”、“冲击波”、“震荡波”、“欢乐时光”、“熊猫烧香”的爆发无不使成千上万的用户受到影响,再加之,近几年病毒的黑客化,使得病毒的感染和传播更加快速化、多样化,因而网络病毒的防范任务越来越严峻。 6各种非法入侵和攻击由

29、于校园网的接入点比较多,拥有众多的公共资源,并且使用者安全意识淡薄,安全防护比较薄弱,使得校园网成为易受攻击的目标。非法入侵者有目的的破坏信息的有效性和完整性,窃取数据,非法抢占系统控制权、占用系统资源。比如:漏洞、薄弱点扫描,口令破解;非授权访问或在非授权和不能监测的方式下对数据进行修改;通过网络传播病毒或恶意脚本,干扰用户正常使用或者占用过多的系统资源导致授权的用户不能获得应有的访问或操作被延迟产生了拒绝服务【4】等。3.3 构建新型现代的校园网络1配备高性能的防火墙产品防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。一般来说,防火墙设置在可信赖的内部网络和不可信赖的外部网络之

30、间。防火墙相当于分析器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。所以对防火墙作好安全设置,设定恰当的访问控制策略,保障网络资源不被非法使用和访问。 2网络设计、使用更合理化在网络设计之初,需要理解终端设备安全事件对网络的影响,确定需要采取的安全措施,通过已知身份验证的设备访问网络,防范未经授权的接触,让入侵者难以进入。这样网络才能提供可预测、可衡量、有保证的安全服务。3软件漏洞修复在校园网络系统运行过程中,一方面对用户进行分类,划分不同的用户等级,规定不同的用户权限;另一方面对资源进行区分,划分不同的共享级别,

31、例如:只读、安全控制、备份等等。同时,给不同的用户分配不同的帐户、密码,规定密码的有效期,对其进行动态的分配和修改,保证密码的有效性;配合防火墙使用的情况下,对一些IP地址进行过滤,以防止恶意破坏者入侵;建立补丁更新服务器,部署全局更新机制,实时、高效更新软件漏洞。 4防杀毒软件系统在互联网技术飞速发展的今天,病毒以每年两千种新病毒的速度递增。在校园网中使用带防火墙的企业版杀毒软件,就能对整个校园网络的起到安全防护的作用,使计算机免受病毒入侵。 5配备入侵检测系统(IDS)并建立蜜罐陷阱系统入侵检测就是对入侵行为的检测,通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,而蜜罐的目的在于吸引攻击者、然后记录下一举一动的计算机系统,攻击者入侵后,可以随时了解其针对服务器发出的最新的攻击和漏洞,这样系统就可以及时、有针对性的防范攻击和修复漏洞。 6系统安全风险评估互联网的不安全因素无时无刻的威胁着网络安全,只有在网络系统所面临的风险进行了有效评估的基础上,才能掌握网络安全中存在的漏洞和威胁,从而采取有效措施控制