申繼年 李毅治 邢雪梅

中國藥科大學現(xiàn)代教育技術中心 江蘇 210009

0 前言

本文將介紹校園網(wǎng)的接入層的相關技術策略，從而構建一個安全高效的網(wǎng)絡，不但要讓用戶方便易用，還要讓校園網(wǎng)管理者能夠有效管理，從接入層解決校園網(wǎng)的安全隱患。

1 IP地址的分配與管理

1.1 全網(wǎng)DHCP動態(tài)分配IP

在計算機數(shù)量眾多并且劃分多個子網(wǎng)的網(wǎng)絡中，DHCP服務的優(yōu)勢更加明顯，其優(yōu)點如下：

(1) 減小輸入錯誤的可能；

(2) 避免IP沖突；

(3) 減小管理員的工作量；

(4) 當網(wǎng)絡更改IP地址段時，不需要重新配置每臺計算機的IP；

(5) 計算機移動到其它子網(wǎng)不必重新配置IP。

1.2 DHCP服務所帶來新問題

隨著DHCP服務的廣泛應用，也給網(wǎng)絡管理帶來一些新的問題，具體表現(xiàn)在：

(1) 私自架設非法的DHCP服務器

由于DHCP報文在客戶端和服務器的交互過程中并沒有認證機制，如果網(wǎng)絡中存在非法DHCP服務器，管理員將無法保證客戶端從管理員指定的DHCP服務器獲取合法地址，客戶機有可能從非法DHCP服務器獲得IP地址等配置信息，導致網(wǎng)絡地址分配混亂。

(2) 私自指定IP地址

在部署DHCP服務的子網(wǎng)中，如果出現(xiàn)用戶私自設置IP地址，將有可能造成網(wǎng)絡地址沖突，影響IP地址的正常分配。

(3) 為特定主機分配固定IP

校園網(wǎng)中有些主機由于要提供服務，需要固定IP地址，比如服務器，這就需要在DHCP服務器和接入交換機上構建一個IP和MAC綁定的跨網(wǎng)DHCP強制分配機制。

通過以上分析，必須采取有效措施來應對上述三個問題。我們利用接入交換機的DHCP-Snooping功能屏蔽非法DHCP 服務器、過濾非法DHCP報文、防止用戶私設IP，還可以為用戶指定固定的IP地址，可以有效解決非法DHCP服務器擾亂用戶網(wǎng)絡和防止私設IP用戶使用網(wǎng)絡。

2 DHCP防護

2.1 DHCP-Snooping技術簡介

DHCP-Snooping 技術就像是在非信任端口的主機和DHCP服務器之間安裝了一道防火墻，通過DHCP Snooping來區(qū)分連接到終端客戶的非信任端口和連接到DHCP 服務器或者其他交換機的信任端口。

DHCP-Snooping具有屏蔽非法DHCP 服務器和過濾非法DHCP報文的功能，解決了DHCP Client和DHCP Server之間DHCP報文交互的安全問題。DHCP-Snooping簡稱DHCP偵聽，接入交換啟動DHCP-Snooping功能后可實現(xiàn)對DHCP Client和DHCP Server之間DHCP交互報文的窺探。通過窺探，DHCP-Snooping記錄合法DHCP用戶的信息(IP、MAC、所屬VLAN、端口、租約時間等)，形成DHCP-Snooping數(shù)據(jù)庫。借助DHCP偵聽功能，通過只允許來自面對不可信用戶的端口的DHCP請求(而非響應)，進而阻止DHCP欺騙。

2.2 防止私設DHCP

(1) 打開DHCP-Snooping 全局開關

configure terminal

ip dhcp snooping

end

(2) DHCP服務器與DHCP 客戶端不在同一子網(wǎng)時，需要打開DHCP中繼功能，并配置DHCP 服務器地址

configure terminal

service dhcp

ip helper-address 192.168.1.100

end

(3) 將連接合法DHCP 服務器的端口配置為信任口，連接用戶的端口默認為非信任口

configure terminal

interface gig 1/1

ip dhcp snooping trust

end

2.3 防止私設靜態(tài)IP

為了防止私設IP 地址的用戶使用網(wǎng)絡，需要打開接口上的地址綁定開關，通過硬件對非法 IP 報文進行過濾

configure terminal

interface range fastethernet 0/1-24

ip dhcp snooping address-bind

end

2.4 為用戶指定固定IP

對于需要使用靜態(tài)IP 地址的用戶，可以通過添加靜態(tài)綁定實現(xiàn)(假設一臺服務器需要使用靜態(tài)IP 地址，其MAC為：00d0.fa88.5687；VLAN 號為：1；IP 為：192.168.11.3；端口為：2)。

configure terminal

ip dhcp snooping binding 00d0.fa88.5687 vlan 1 ip 192.168.11.3 interface fastethernet 0/2

end

3 ARP欺騙

3.1 ARP欺騙原理

ARP協(xié)議(Address Resolution Protocol)的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。ARP協(xié)議是簡單的報文交互而沒有認證機制的，基于ARP協(xié)議的這一工作特性，任何人通過向計算機或者網(wǎng)絡設備發(fā)送虛假的ARP報文便可達到ARP欺騙的目的。

當前校園網(wǎng)大都采用VLAN技術，多臺主機同處于一個VLAN，致使ARP病毒冒充主機欺騙網(wǎng)關或冒充網(wǎng)關欺騙主機，造成的危害較大。針對這一問題，采用DHCP-Snooping+ ARP-Check方案可以有效攔截非法的ARP報文，抵御ARP欺騙，保證網(wǎng)絡的暢通。

3.2 防御APR欺騙

ARP-Check通過硬件過濾ARP欺騙報文，保證送到CPU的ARP報文都是合法的，有效降低了CPU 的負荷。DHCPSnooping功能在將DHCP-Snooping 數(shù)據(jù)庫用戶信息添加到IP報文硬件過濾表時，同時添加到ARP報文硬件過濾表。ARP-Check根據(jù)ARP報文硬件過濾表對ARP欺騙報文進行過濾。

DHCP-Snooping + ARP-Check方案同樣也部署于接入層交換機。

(1) 網(wǎng)關欺騙

在各端口上綁定正確的網(wǎng)關，防止針對網(wǎng)關的ARP欺騙。

configure terminal

interface rang fastEthernet 0/1-24

Anti-ARP-Spoofing ip 192.168.200.1

(2) 主機欺騙

ARP-Check 應用于端口模式下，需要對該端口上收到的ARP 欺騙報文進行硬件過濾時，在該端口上啟用ARP-Check功能，進行端口的ARP校驗，比如需要在端口1 和端口2 上啟用該功能。

configure terminal

interface range fastethernet 0/1-24

port-security arp-check

port-security arp-check cpu

end

4 ACL—病毒防護

4.1 來自接入層的網(wǎng)絡威脅

與其它園區(qū)網(wǎng)相比，校園網(wǎng)由于其客戶群體的特殊性，安全問題也存在顯著特點。校園網(wǎng)中學生群體占絕大比重，學生好奇心強，電腦水平高，應用也比較復雜，所以來自校園網(wǎng)內(nèi)部的威脅比較多。例如：有些學生由于好奇心的驅動會主動的在校園網(wǎng)內(nèi)部試驗各種掃描軟件、攻擊軟件、木馬或病毒；由于其應用復雜，被動感染木馬和病毒的比例也相當高。這些都給校園網(wǎng)帶來了巨大的安全隱患。為了防止這種攻擊和病毒蔓延到整個校園網(wǎng)，最好的解決方法就是利用ACL將來自攻擊者的端口掃描和惡意數(shù)據(jù)流阻擋在接入層。

4.2 ACL部署

木馬、病毒等網(wǎng)絡攻擊都是利用一些特殊的端口進行的。所以，利用ACL限制這些特殊口訪問，可以很大程度上保證安全性。

ACL查找是在硬件中完成的，所以，當實現(xiàn)基于ACL的安全性時，轉發(fā)性能不會受到影響。針對第二層接口的基于端口的ACL，允許在每個交換機端口上應用安全性策略。

5 總結

本文根據(jù)校園網(wǎng)的實際情況，針對IP地址的管理、DHCP防護、ARP欺騙以及病毒與攻擊等主要問題，提出了在接入層的安全解決方案。通過實際測試表明，部署在接入層的安全策略可以有效的解決以上主要問題，從而為校園網(wǎng)絡提供了一個安全有效的網(wǎng)絡管理模式。