校园网内部网络安全Word格式.docx

1、不过来自内部网络的威胁同样不可小视，俗话说，堡垒最容易从内部攻破。内部网络的威胁主要包括非法DHCP服务器、ARP欺骗、用户私设IP地址、用户私接交换机、用户连接失误造成的网络环路等。有些是用户无意识的行为（例如ARP攻击，用户主机可能中了ARP病毒），但有些却有可能是有意为之（例如私设DHCP服务器，造成其他用户获取到错误的IP地址）。这些威胁都能造成内部网络的不稳定，使用户的网络使用体验变差。对于这些威胁的防范，路由防火墙通常无能为力。但是，有一点，因为这些威胁是通过内部网络设备（主要为交换机）在用户主机之间形成干扰的，所以如果网络设备支持对这些威胁的防范（具有相应的功能），我们就能在用户

2、级别掐灭这些干扰因素。该文主要是基于此交换机层面，来对如何防范这些威胁作一些探讨。我校校园网初期的网络设备主要来自北电（Nortel），因为是其较早时期的设备（2004年左右），所以基本上不具备对此类威胁的防范（尽管也可网管，但不具备这些功能）。不过，于2011年1月份期间，我校将所有的网络设备都进行了更换，品牌主要为H3C。当时厂商的技术人员仅仅是将校园网络调通，设备的很多安全功能并没有启用。我在仔细阅读了相关的技术文档之后，发现这些设备均可对上述威胁做到有效防范，于是逐渐启用了这些功能。该文也是对此过程中的一些心得体会，做一个归纳总结。本校校园网络大致拓扑图如图1所示。因为这些功能的启用主

3、要是在交换机上进行，所以本文以核心交换机至1号楼主教学楼之间的交换机为例描述即可，如图2 所示，图中以主教学楼中的5台交换机作为代表，其中s-build-1为汇聚层，另外4台为接入层，其余尚有十几台未在图中显示的也属于接入层。其他楼层交换机相关的配置大致相同。 图1 本校校园网络大致拓扑图 1 防范非法DHCP服务器 用户如果私设DHCP服务器（不管是因为学习DHCP而无意的造成，还是有意的搞破坏），将会对其端口所属VLAN段中所有用户主机形成干扰。我校在更换网络设备以前，常有这样的情况发生。通过逐一查找交换机中的mac-address表，或许可以将其“抓住”，但这样太麻烦，严重增加管理工作量

4、，而且是一种事后被动的防范措施。而启用交换机的dhcp-snooping功能，可以轻松地实现对非法DHCP服务器的主动防范。1.1 Dhcp-snooping简要原理分析 Dhcp-snooping的原理比较简单。客户端在与DHCP服务器获取IP地址的过程中，总共有4个阶段。如果有非法DHCP服务器存在，客户端就可能接收到非法DHCP服务器的“DHCP-Offer”及“DHCP-ACK”消息，从而获取到错误的IP地址。配置交换机的dhcp-snooping功能时，一般是将接入层和汇聚层交换机的上行端口设置为trust端口，其余端口默认为非trust，这样非法DHCP服务器的“DHCP-Offe

5、r”及“DHCP-ACK”消息将被隔离，不会被客户端接收到，从而起到了防范非法DHCP服务器的作用。1.2 配置交换机的dhcp-snooping功能 对应到本校图2 中所示交换机的dhcp-snooping配置如下：1） 在系统视图模式下，启用主教学楼中所有接入层交换机的dhcp-snooping功能：system-view /进入系统视图 dhcp-snooping /开启dhcp-snooping功能 2） 将这些交换机的上行端口设置为trust端口，以s-teac-2交换机为例，配置如下 ：interface GigabitEthernet1/1/1 dhcp-snooping tru

6、st /设置该端口为可信端口 启用dhcp-snooping功能是本文后续其他防范措施的前提和基础，这也是首先描述该功能的原因。2 防范ARP欺骗 曾经一段时期，防范ARP欺骗是一件令网络管理员非常头疼的事情。一台中了ARP病毒的主机，常常会搅得整个网段中的主机不得安宁。典型表现是用户感觉上网缓慢，且时断时续。2.1 防范ARP欺骗的原理分析 开启ARP入侵检测功能后，如果ARP报文中的源MAC 地址、源IP 地址、接收ARP 报文的端口编号以及端口所在VLAN与DHCP Snooping表或手工配置的IP静态绑定表表项一致，则认为该报文是合法的ARP报文，进行转发，否则认为是非法ARP报文，

7、直接丢弃。 2.2 实施ARP欺骗防范的过程步骤 1） 开启交换机ARP入侵检测功能 开启交换机ARP入侵检测功能的步骤如下（以图2中s-tea-2交换机为例，其余接入层交换机配置与之相似，汇聚层交换机s-build-1不作此配置）：? 开启dhcp-snooping功能（这是前提） vlan 11 /进入到VLAN视图模式中 arp detection enable 注：对属于该VLAN的所有端口启用ARP入侵检测。如果交换机中还有有他vlan，则重复上述命令即可。 interface g 1/1/1 arp detection trust 将上行接口设置为arp可信任端口，不对进入此接口的

8、arp报文进行arp检测。因为交换机要将ARP报文（不论是request还是reponse类型的）与dhcp-snooping表比较，所以这也意味着客户端主机需要设置为自动获取IP地址，否则不会在dhcp-snooping表中形成自己的记录，自身将无法正常通信。这从另一个方面也可以起到防止用户私设IP地址的功效。如果某端口下所接主机必需设置为静态IP地址（如电子显示屏、网络打印机等），只需将该端口设置为“arp detection trust”即可。2） 保护网关 ARP欺骗的各种行为中，最喜欢的莫过于欺骗网关了。这样同网段中被欺骗主机的流量都会统统流向自己，以方便盗取其他主机的隐私，这也正是

9、其他主机感觉上网缓慢并时断时续的原因所在。开启交换机ARP网关防护功能的步骤如下（以图2中s-tea-2交换机为例，其余同）： interface g 1/1/1 /进入接口视图模式（上行接口） arp filter binding 192.168.12.1 3ce5-a680-a342 arp filter binding 192.168.28.1 3ce5-a680-a342 arp filter binding 192.168.32.1 3ce5-a680-a342 上述命令表明，凡进入该接口的ARP报文，其源IP地址及源MAC地址不符合上述绑定的，均将被丢弃。经过实验证实，一个接口可以

10、同时绑定最多8条。注意H3C核心交换机为其所有VLAN虚接口IP地址（即为各网段主机的网关）提供的对应MAC地址都是一样的（此处为3ce5-a680-a342），也许它认为这样足够了，反正又不是属于同一个网段。 interface e 1/0/1 /进入接口视图模式（各下行接口） arp filter source 192.168.12.1 上述命令表明，进入接口e1/0/1的ARP报文，如果其源IP地址为192.168.12.1，则被认为是欺骗网关ARP报文，并被丢弃，因为该接口下不可能出现源IP地址为192.168.12.1的ARP报文。对各接口均运行上述命令，注意命令中IP地址要与该接口

11、所属的VLAN的虚接口IP地址相一致。3） ARP报文限速 如果攻击者恶意构造大量ARP报文发往交换机的某一端口，会导致CPU负担过重，从而造成其他功能无法正常运行甚至设备瘫痪（类似DDOS）。此时可以启用交换机的端口ARP 报文限速功能，使受到攻击的端口暂时关闭，来避免此类攻击对CPU 的冲击。其配置步骤如下（以图2中s-tea-2交换机为例，其余同）： arp rate-limit enable /启用arp限速 arp rate-limit 15 /接口每秒接收的arp报文若超过15个，则丢弃后续的 如果是汇聚层交换机的下行接口，可适当调高rate-limit的值（例如150，默认值为1

12、5）。对各下行接口均运行上述命令 system-view /退回至系统视图模式 arp protective-down recover enable arp protective-down recover interval 300 上述命令表明，如果接口接收到的arp报文的速率超过rate-limit指定的值，该接口将自动关闭，并在300秒后自动开启。当开启此功能后，校园网内确实有少数用户受到影响，这些用户的感觉是，电脑会莫名其妙地断网一段时间（其实大约就是5分钟了），然后又能连接上，然后又断开，如此反复。经检查其系统确实有问题，经过杀毒等措施处理后，就正常了。说明交换机此功能确实有效，并没有

13、“冤枉”用户。4） 防御ARP洪泛攻击 此防范主要在三层核心交换机的vlan-interface上实施。通过配置允许学习动态ARP 表项的最大个数。当该VLAN 接口动态学习到的ARP表项超过限定的最大值后，将不进行动态地址表项的学习，从而防止某一VLAN 内的恶意用户发动ARP 泛洪攻击造成的危害。开启交换机防御ARP洪泛攻击功能的步骤如下（此配置只在图2的核心交换机上进行）： interface Vlan-interface11 /进入到vlan-interface接口模式 arp max-learning-num 256 /配置最大ARP学习表项为256 如果与VLAN相应的IP段为C类

14、（或更小），则学习表项最大值取256就足够了。在核心交换机中对所有的vlan-interface运行上述命令。 5） 开启ARP报文源MAC一致性检查 这是防范ARP欺骗报文的另一种有效措施。在以太网中（绝大部分的局域网），ARP报文毕竟是要封装在以太网帧（ethernet-frame）中传递的。正常ARP报文的源MAC地址应该与其外包裹的ethernet-frame中的源MAC地址相同，否则就是ARP欺骗报文。这就是ARP报文源MAC一致性检查的原理。其配置过程如下（以图2中s-tea-2交换机为例，其余同）： System-view /进入系统视图模式 arp anti-attack va

15、lid-check enable /开启ARP报文源MAC一致性检查 对于防范ARP欺骗，还有一种情况值得考虑，即接入层交换机属于非网管型交换机（或不支持上述功能），那么上述防范ARP欺骗的措施都无法施行了。机房是这样的一个典型例子。机房中的交换机大部分是简易不具备网管功能的。事实上机房是被ARP欺骗骚扰最多的区域。我对此的应对措施是：多划分VLAN。尽量每个机房分别对应一个VLAN（当然要在核心交换机上配置相应虚接口的IP地址）。这样的话，即便出现ARP欺骗，也顶多影响到一个机房，其他机房不受影响，毕竟ARP伪造报文是按OSI第二层原理运行的。缩小了范围，寻找ARP欺骗的源主机也不再是难事。

16、3 防止用户私设IP地址 用户私设静态IP地址的后果可能是：（1）造成IP地址冲突；（2）破坏IP地址的分配原则；（3）IP地址设置错误，用户上不了网。3.1 原理简要分析 配置交换机，使其对进入其接口的任何数据包，都要与dhcp-snooping表相对比，若不符则丢弃。用户主机若不设置自动获取IP，则不会在dhcp-snooping表中形成自身的IP地址表记录，因而数据报文肯定被丢弃！3.2 配置步骤 只在接入层交换机中实施，以图2中s-tea-2交换机为例，其余同： interface Ethernet1/0/1 /进入接口模式 ip check source ip-address mac

17、-address /启用源IP及MAC地址检查 在所有需要启用的接口上运行上述命令。若接口下所接主机需要静态IP地址，则不要启用。4 防止用户误操作形成环路 在图2中，主机pc-tea-1与主机pc-tea-5有可能在一个办公室，而且其主人可能就隔了一张办公桌。如果一条网线就在这办公桌下，一端在pc-tea-1主人的办公桌处，另一端刚好在pc-tea-5主人的办公桌处，两位主人都以为那个网线头是自己主机的，于是都插入到自己办公桌的网线模块座中。过了一会，所有老师的办公电脑都断网了！用户很正常的一个不经意的动作，就可导致网络瘫痪，这是让人无法接受的。这是本人所经历并解决的一次网络事故。那时我认识

18、到，网络设备即便没有设计为环状（以提供冗余），仅仅只是单一的树状分枝，也是有必要启用STP的（这可能就是思科交换机默认已启用了STP的原因吧）。H3C交换机默认并没有启用STP！4.1 实施步骤 将图2主教学楼中所有的交换机启用MSTP，并配置为一个MSTP区域（zone），每个VLAN分别对应一个instance。配置如下： system-view stp enable stp region-configuration /进入region-configuration模式 region-name building-1 revision-level 0 instance 1 vlan 11 in

19、stance 2 vlan 28 instance 3 vlan 32 active region-configuration 在图2所示主教学楼中所有的交换机上运行上述相同命令。然后在s-build-1中运行下述命令（system-view模式下），将其指定为该区域内所有instance的主根。 stp instance 0 root primary stp instance 1 root primary stp instance 2 root primary stp instance 3 root primary 如果你不想麻烦，在所有交换机上只运行一句“stp enable”也是可以的。

20、5 防止用户私接交换机 实现此目的比较容易，启用交换机的port-security可达到目的。配置如下（只需在接入层交换机中实施，以图2中s-tea-2交换机为例，其余同）： port-security enable /启用port security port-security timer disableport 300 /若有违反，临时禁用端口300秒 在所有要防止用户私接交换机的端口上运行下述命令。 interface e 1/0/1 port-security max-mac-count 1 /只允许一台主机接入 port-security port-mode autolearn ? p

21、ort-security intrusion-mode disableport-temporarily 6 网络设备本身的安全 校园网中，任何一台主机运行“telnet 自己主机网关”，都能得到响应。这个响应当然是来自核心交换机。H3C交换机默认情况下响应任何对自己的telnet请求。用户尽管不知道用户名和密码，但让恶意用户这样无休止的尝试是不能让人接受的。可以使用访问控制列表来防范这种威胁，配置如下（以图2的核心交换机配置为例，其余同）：首先创建合适的ACL，只响应来自合法IP地址telnet，如下所示。 acl number 2000 name limit-telnet-access st

22、ep 10 rule 0 permit source 192.168.100.0 0.0.0.255 rule 10 permit source 192.168.12.181 0 rule 20 deny 然后在vty接口上实施该规则，如下所示。 user-interface vty 0 15 acl 2000 inbound authentication-mode scheme idle-timeout 30 0 7 结束语 自从在校园网内部网络的交换机层面实施本文前述的各种规则之后，效果确实是不错。合理发掘网络设备本身的功能，充分发挥其最大效能，将使你的网络更加稳健流畅。以上所述是本人在管

23、理校园内部网络时的心得体会，希望能够得到同行的指教或对同行有所帮助。参考文献：1 华三通信技术有限公司.S7500E系列以太网交换机操作手册-Release 6600系列（V1.00）M.华三通信技术有限公司，2009，5. 2 华三通信技术有限公司. E126/E126A以太网交换机操作手册M.华三通信技术有限公司，2010，4. 3 cisco. CCNP BSCI Student Guide Version 3.0 Vol.1（2006）M.cisco，2006，6. 4 Charles M.Kozierok. TCP/IP指南（卷I）：底层核心协议M.北京：人民邮电出版社，2008，5. 5 Douglas E.Comer.用TCP/IP进行网际互联第I卷-原理、协议与结构M.5版.北京：电子工业出版社，2008，11.