基于核心交换机的校园网络安全策略实现

基于核心交换机的校园网络安全策略实现

作者：陆玉阳

来源：《无线互联科技》2014年第12期

摘 要：校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。随着校园网功能的不断完善，针对校园网络的安全威胁也是越来越多，本文通过在校园网络中的核心交换机上运用各种安全策略，主要包括NAT、VLAN、Access-List等，有效地保障了校园网络的安全。

关键词：核心交换机；校园网；Cisco Ios；安全策略

随着高校教育信息化工作的深入开展，稳定的网络和计算机系统已成为教育信息化的重要保障，伴随产生了日益严重的信息安全问题，网络及信息安全也成为高校关注焦点之一。网络作为学校重要的基础设施，在学校教学科研、管理和对外交流中担当重要角色。对于大多数校园网络来说，网络都是开放的 无论是有意的攻击，还是无意的误操作，都将会给信息系统带来不可估量的损失。非法入侵、系统漏洞、计算机病毒等对校园网产生了巨大的威胁。因此，如何保证校园网络安全运行已成为各高校亟需解决的问题。本文以Cisco技术与设备为基础，通过实例来强调在实现信息安全时，首要任务是做好技术选型和设备选型，其次重点是在校园网络中采用有效地安全策略与技术手段来保护网络。

龙源期刊网 http://www.qikan.com.cn

1 校园网络中核心交换机

如下图1.1所示，某某学校校园网络拓扑图，该学院校园网络核心交换机选用Cisco Catalyst 6500系列交换机。

1.1 核心交换机

组建计算机网络时，一般分为三层：接入层、汇聚层、核心层。核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。位于核心层的交换机我们称之为核心交换机，它应用有更高的可靠性、性能和吞吐量。

1.2 Cisco IOS

Cisco IOS（ Internet work Operating System）Cisco网际操作系统，是全球网络最负盛名的Cisco公司所开发，专门用于配置Cisco路由器硬件，令其将信息从一个网络路由或桥接至另一个网络。操作系统在提供管理服务的同时，安全性也是必不可少的，在IOS Ver sion12.2中，可供选择的网络安全技术主要有：认证授权、数据加密、访问控制、安全审计等。而提供安全网关服务的类型有：地址转换、包过滤、应用代理、虚拟网划分、访问列表和DoS防御。

1.3 Cisco Catalyst 6500

龙源期刊网 http://www.qikan.com.cn

Cisco Catalyst 6500系列交换机能够提供安全的端到端融合网络服务，其使用范围从布线室到核心，再到数据中心和广域网边缘。Cisco Catalyst 6500系列能够通过多种机箱配置和LAN/WAN/MAN接口提供可扩展的性能和端口密度，因而能帮助企业和电信运营商降低总体拥有成本。

如上图某某学校1.1中，网络结构采用Cisco Catalyst 6509作为整个校园网核心层的交换机，Cisco Catalyst 2960作为接入层交换机。由于Cisco Catalyst 6509是具有路由功能的三层交换机，支持IOS 运行，所以在Cisco Catalyst 6509上直接做安全策略是高效的、可靠的。

2 虚拟局域网VLAN安全策略

为了提高网络的安全性，减少广播风暴，同时为了更好地管理网络，我们可以在核心交换机上对校园网络进行网络规划，即划分若干个子网，实现该方法主要采用VLAN划分。VLAN （Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的技术。由于VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以VLAN之间的通讯是需要有路由来完成。结合某某学校实际网络需求情况，共划分三个网络区域：教学办公区、学生宿舍区及职工宿舍区，在交换机上共设置32个VLAN。为了便于管理，我们在交换机上启用VTP，配置如下：

/ * 激活VTP V2 （ 交换机默认的是VTP V1），同时将交换机名改为SW2960 * /

龙源期刊网 http://www.qikan.com.cn

SW2960#vlan database

SW2960（ vlan）# vtp v2 mode

/ * 创建VLAN并查看VLAN* /

SW2960#vlan database

SW2960（ vlan）#vlan vlan id name vlan- name

SW2960#show vlan name vlan- name

SW2960（ vlan） #no vlan vlan-id/ / 删除VLAN

/ * 将端口加入VLA N* /

SW2960#conf igure terminal

SW2960（ config） #interface interface-id

SW2960 （config-if） #switchport mode access

SW2960（ config-if） #switchport access vlan vlan- id

龙源期刊网 http://www.qikan.com.cn

SW2960#show interface interface-id switchport

/ * 配置t runk 端口* /

SW2960#conf igure terminal

SW2960（ config ） #interface f 0/24

SW2960（ conf ig-if ） #switchpor t mode trunk

SW2960（ config-if ） #end

/ * 配置交换机6509，改名为SW6509* /

SW6509#set vlan 10 name v10 type ethernet mtu 1500 said 100008 state active

/ * 配置t runk 上允许的VLAN* /

SW2960（ config） #interface interface-id

SW2960（ conf ig-if ） #switchpor t mode trunk

SW2960（ conf ig-if ） #switchport trunk allowed vlan remove vlan-id

龙源期刊网 http://www.qikan.com.cn

range

SW2960（ conf ig-if ） #switchport trunk allowed vlan add vlan-id range

SW2960（ config-if ） #end

SW6509 #set trunk 3/ 6 auto nego tiate 10，253，1002，1005

3 NAT地址转换策略

学校公网地址数量是有限的，为了保证所有宿舍、教学区、公寓等场所能够连网，我们可以使用网络地址转换（NAT，Network Address Translation）实现私有地址访问公网地址的功能。NAT功能可以实现对防火墙外部的网络访问时隐藏内部的网络地址。在内部网络中我们使用私有的地址，然后基于NAT 在防火墙上把这些未注册的IP地址转换成合法的地址。可以实现多个私有地址对应一个公网地址，也可以是多个私有地址对多个公网地址，但在经过防火墙后所有的私有地址都被转换成统一的地址。由于隐藏了内部地址，NAT 提供了一定的入侵防护。另外，NAT在外部名字空间中去除了所有的内部服务，所以NAT不能与RPC、VDOLive及SQL *Net时“Redirected”等应用层协议一起工作。

某某学校内网的私有地址为172.26.0.0，为保护校内网络的稳定性以及资源的安全，在划分VLAN基础上实现公网连接，即设定一个公网地址池POOL，地址有218.3.172.50--218.3.172.60，利用NAT功能实现地址的转换，配置如下：

龙源期刊网 http://www.qikan.com.cn

/ * 修改6509交换机名称为SW6509，并定义网络的内部/ 外部端口* /

Switch#conf t

Switch（config）#hostname SW6509

SW6509（ config ） #interface vlan 2

SW6509（ conf ig-if） # ip address 172.26.1.1 255.255.255.0

SW6509（ config-if） #ip nat inside

......

SW6509（ config） #interface f0/24

SW6509（config-if） #ip address 218.3.172.50 255.255.255.0

SW6509 （ config-if ） #ip nat outside

/ * 配置需要转换的ACL* /

SW6509 （ conf ig ） #access- list 1 permit 172.26.0.0 0.0.0.255

龙源期刊网 http://www.qikan.com.cn

SW6509 （ conf ig ） #access -list 1 permit 172.25.0.0 0.0.0.255

......

/ *地址翻译，配置地址池* /

SW6509 （ conf ig ） #ip nat pool xuexiao 218.3.172.50 218.3.172.50 netmask 255.255.255.0

/ * 实现私有地址与公网地址的转换* /

SW6509（ config ） #ip nat inside source list 1 pool xuexiao overload

4 访问控制ACL列表策略实现

访问控制列表也称为访问列表（ Access-List ） ，它主要功能是对进出路由器端口的数据包进行过滤，符合条件的数据包允许通过，不符合条件的数据包不允许通过。它对病毒入侵、黑客攻击、未经授权访问等网络行为有遏止作用。

/ *教学办公网段访问，阻止相关探测* /

SW6509（ config ） #access-lisy 100 deny icmp 172.18.1.0 0.0.0.255 172.16.0.0 0.0.0.255 echo

龙源期刊网 http://www.qikan.com.cn

SW6509（ config ） #access-lisy 100 deny icmp 172.16.0.0 0.0.0.255 172.18.1.0 0.0.0.255 echo reply

......

/ * 为提高网络的安全性，关闭某些网网段大于1023的所有端口* /

SW6509（ config ） #access-list 100 deny tcp 172.18.1.0 0.0.0.255 gt 1023 172.16，0.0 0.0.0.255 lt 1024

SW6509（ config ） #access-list 100 deny tcp 172.16.0.0 0.0.0.255 lt 1024 172.18.1.0 0.0.0.255 gt 1023

/ * 禁用ping命令，关闭135、139、445、4444 端口，预防“冲击波”、蠕虫病毒等* /

SW6509（config） #access-list 100 deny icmp any any eq ping

SW6509（config） #access-list 100 deny tcp any any eq 4444

SW6509（config） #access-list 100 deny tcp any any eq 445

SW6509（config） #access-list 100 deny udp any any eq tf tp

龙源期刊网 http://www.qikan.com.cn

SW6509（config） #access-list 100 deny tcp any any eq 135

SW6509（config） #access-list 100 deny udp any any eq 135

SW6509（config） #access-list 100 deny tcp any any eq 139

SW6509（config） #access-list 100 deny tcp any any eq 445

SW6509（config） #access-list 100 permit ip any any

/ * 在接口模式下关闭某些用于网络诊断的服务，抵御拒绝服务攻击（ DoS） * /

SW26（config） #no service udp small

SW26（config） #no service tcp small

SW26（config）#no service service finger

SW26（config）#no ip directed broadcast

网络安全问题是一个长期问题，我们需要不断的学习和实践。本文通过在交换机上划分VLAN、应用NAT、关闭相应端口及协议，可以在一定程度上保障网络安全，但在实际应用中不可预知的事情多有发生，为了提高网络的安全性和长久稳定性，我们需要在网络安全设置时综合考虑，必须构筑完整的联运安全体系，将网络安全硬件、软件、网

龙源期刊网 http://www.qikan.com.cn

络操作系统等集成，动态更新安全策略，能够做到问题的及时发现，漏洞的及时更新以及对发现的破坏、攻击事件进行封堵、追踪、查杀，从而对网络安全提供保障。

[参考文献]

[1]李楠.计算机网络安全问题分析及防范[J].无线互联科技.2014（5）.

[2]孙利国.防火墙技术的研究知识与技能要求[J].无线互联科技.2014（5）.

[3]陈建锐.软件仿真下的VLAN配置实验探讨[J].实验室研究与探索.2011（2）：79-81.

[4]范俊俊，鲁云萍.基于交换机的ARP安全机制研究[J].计算机工程与设计.2008（8）.

[5]张晗，谭箐，刘洪源.实验室内部网络终端安全管理[J].现代电子技术.2012（17）.

[6]申健.校园网路由策略分析及应用[J].实验技术与管理.2013（11）.

[7]肖胜仁.基于网络安全的交换机和路由器设置探析[J].电子制作.2013（21）.