2016/2/1 16:37:48 数字化校园网络中交换机的安全管理

随着数字化校园建设的不断推进,越来越多的学校利用自己的校园网络进行教学和管理,通过 Internet 的形式来实现远程教育教学,教育不再受地域、学校、学科的限制,学习者也能够充分享受教育的多样性、多面性提高学习者的趣味性、选择性。鉴于校园网特殊的使用群体,日常师生较多访问量校园网,因此安全问题已为各类学校所关注,校园网安全状况直接影响着学校学习、教学的方方面面,作为局域网中不可或缺的交换设备 -“交换机”就成为安全防范的着眼点。

为了保证网络的安全,一般我们需要在网络的边缘——接入层进行安全控制。在接入层所能的实施安全措施主要包括以下几个方面:Mac-ip 地址绑定技术、端口接入认证技术、端口隔离技术  报文过滤技术。

二、 MAC-IP 地址绑定技术

首先谈一下 MAC 地址与端口绑定,进行绑定操作后,只有指定MAC 地址和 IP 地址的计算机发出的报文才能通过指定端口转发,提高了系统的安全性,增强了对网络安全的监控,同时也防止内部人员进行非法 IP 盗用,以 H3C 交换机为例 ( 网络拓扑如图所示 ):

参数配置命令:

汽车虚拟仿真配备指令

[JX]interface ethernet1/0/2

[JX-Ethernet1/0/2] user-bind ip-address 10.1.1.1 mac-address 0001-0201-2123

[JX]interface ethernet1/0/3

[JX-Ethernet1/0/3] user-bind ip-address 10.2.1.1 mac-address 0001-0401-2126

[JX]interface ethernet1/0/4

[JX-Ethernet1/0/4] user-bind ip-address 10.3.1.1 mac-address 0002-0261-2562

三、端口隔离技术概述

所谓端口隔离技术是指在客户端的端口间实现足够的隔离度从而确保一个客户端不会收到另外客户端的流量的技术。所实现的方法为用户将受控端口加入到某个隔离组中,进而达到实现组中的端口间二层、三层的数据隔离,进一步增加网络的灵活性和安全性。使用该技术后单播、广播和组播便不会在隔离端口间产生,ARP 病毒也就不会在被隔离计算机之间传播。( 参照网络拓扑如上图 )。

配置参数命令:

[JX]interface ethernet1/0/2

[JX-Ethernet1/0/2] port-isolate enable

[JX]interface ethernet1/0/3

[JX-Ethernet1/0/3] port-isolate enable

[JX]interface ethernet1/0/4

[JX-Ethernet1/0/4] port-isolate enable

[JX]interface ethernet1/0/1

[JX-Ethernet1/0/1] port-isolate uplink-port

四、端口接入认证技术 802.1x802.1X 身份验证协议由最初的无线网络应用,后来扩展到在二层交换机和路由器等网络设备上使用。它对用户身份进行认证可基于端口来完成,也就是说当用户的数据流量试图通过配置过 802.1X协议的端口时,必须要进行身份的验证,只有合法则允许其访问网络。这样的做的有点可以对内网用户进行认证,并且配置简化,在一定的程度上可以取代 Windows 的 AD。

802.1X 身份验证协议的配置,首先必须要全局启用 aaa 认证,这与在边界网络上使用 aaa 认证没有过多的区别,只不过认证的协议是 802.1X;其次则需要在相应的接口上启用 802.1X 身份验证。( 建议在所有的端口上启用 802.1X 身份验证协议,并使用 radius 服务器来管理用户名和密码 )

下面的配置 aaa 认证,所使用的为本地用户名和密码。3560#config3560(config)#aaa new-model / 启用 aaa 认证。3560(config)#aaa authentication dot1x default local / 启用 802.1X 协议认证,并使用本地用户名与密码。3560(config)# interface range fastethernet 0/1-243560(config-if-range)#dot1x port-control auto / 在所有接口上启用802.1X 身份验证。

综上所述,在校园网环境中,为能够实现用户稳定、安全、高效的上网,更好地服务于教育教学,网络管理人员都应当采用多元化的管理模式,对地址绑定技术、端口接入认证技术、端口隔离技术  报文过滤技术的分析,明确了交换机端口管理技术的特点,结合自己工作实际和我校的网络应用现状,选择合理的模式来管理交换机的端口。为校园网络的安全管理和有效实践奠定了良好的基础。


 
QQ在线咨询
销售热线
0371-53302651