论文部分内容阅读
摘要:本文主要以保障校园内网安全为切入点,着重阐述了交换机端口安全等相关知识和配置方法,结合本人工作实际,分别从交换机端口安全地址的绑定,限制交换机端口的最大连接数三方面进行实际配置,从而保障了校园网中交换机的端口安全。
关键词:校园网安全;端口绑定;端口隔离;最大连接数
中图分类号:TP39 文献识别码:A 文章编号:1001-828X(2015)024-0000-01
一、引言
随着国家网络信息化建设的飞速发展,网络已成为人们生活中不可或缺的工具并享受着更便捷的生活方式,随着数字化校园建设的不断推进,越来越多的学校利用自己的校园网络进行教学和管理,通过Internet的形式来实现远程教育教学,教育不再受地域、学校、学科的限制,学习者也能够充分享受教育的多样性、多面性提高学习者的趣味性、选择性。鉴于校园网特殊的使用群体,日常师生较多访问量校园网,因此安全问题已为各类学校所关注,校园网安全状况直接影响着学校学习、教学的方方面面,作为局域网中不可或缺的交换设备-“交换机”就成为安全防范的着眼点。
为了保证网络的安全,一般我们需要在网络的边缘——接入层进行安全控制。在接入层所能的实施安全措施主要包括以下几个方面:Mac-ip地址绑定技术、端口接入认证技术、端口隔离技术 报文过滤技术。
二、 MAC-IP地址绑定技术
首先谈一下MAC地址与端口绑定,进行绑定操作后,只有指定MAC地址和IP地址的计算机发出的报文才能通过指定端口转发,提高了系统的安全性,增强了对网络安全的监控,同时也防止内部人员进行非法IP盗用,以H3C交换机为例(网络拓扑如图所示):
参数配置命令:
[JX]interface ethernet1/0/2
[JX-Ethernet1/0/2] user-bind ip-address 10.1.1.1 mac-address 0001-0201-2123
[JX]interface ethernet1/0/3
[JX-Ethernet1/0/3] user-bind ip-address 10.2.1.1 mac-address 0001-0401-2126
[JX]interface ethernet1/0/4
[JX-Ethernet1/0/4] user-bind ip-address 10.3.1.1 mac-address 0002-0261-2562
三、端口隔離技术概述
所谓端口隔离技术是指在客户端的端口间实现足够的隔离度从而确保一个客户端不会收到另外客户端的流量的技术。所实现的方法为用户将受控端口加入到某个隔离组中,进而达到实现组中的端口间二层、三层的数据隔离,进一步增加网络的灵活性和安全性。使用该技术后单播、广播和组播便不会在隔离端口间产生,ARP 病毒也就不会在被隔离计算机之间传播。(参照网络拓扑如上图)。
配置参数命令:
[JX]interface ethernet1/0/2
[JX-Ethernet1/0/2] port-isolate enable
[JX]interface ethernet1/0/3
[JX-Ethernet1/0/3] port-isolate enable
[JX]interface ethernet1/0/4
[JX-Ethernet1/0/4] port-isolate enable
[JX]interface ethernet1/0/1
[JX-Ethernet1/0/1] port-isolate uplink-port
四、端口接入认证技术802.1x
802.1X身份验证协议由最初的无线网络应用,后来扩展到在二层交换机和路由器等网络设备上使用。它对用户身份进行认证可基于端口来完成,也就是说当用户的数据流量试图通过配置过802.1X协议的端口时,必须要进行身份的验证,只有合法则允许其访问网络。这样的做的有点可以对内网用户进行认证,并且配置简化,在一定的程度上可以取代Windows的AD。
802.1X身份验证协议的配置,首先必须要全局启用aaa认证,这与在边界网络上使用aaa认证没有过多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证协议,并使用radius服务器来管理用户名和密码)
下面的配置aaa认证,所使用的为本地用户名和密码。
3560#config
3560(config)#aaa new-model /启用aaa认证。
3560(config)#aaa authentication dot1x default local /启用802.1X协议认证,并使用本地用户名与密码。
3560(config)# interface range fastethernet 0/1-24
3560(config-if-range)#dot1x port-control auto /在所有接口上启用802.1X身份验证。
五、结束语
综上所述,在校园网环境中,为能够实现用户稳定、安全、高效的上网,更好地服务于教育教学,网络管理人员都应当采用多元化的管理模式,对地址绑定技术、端口接入认证技术、端口隔离技术 报文过滤技术的分析,明确了交换机端口管理技术的特点,结合自己工作实际和我校的网络应用现状,选择合理的模式来管理交换机的端口。为校园网络的安全管理和有效实践奠定了良好的基础。
参考文献:
[1]陈程,欧阳昌华.互联网网络安全性及其对策[J].企业技术开发,2007(09).
[2]金刚善.局域网组网案例精编GBH.北京:中国水利水电出版社,2005.
[3] H3C交换机配置手册及文档.
关键词:校园网安全;端口绑定;端口隔离;最大连接数
中图分类号:TP39 文献识别码:A 文章编号:1001-828X(2015)024-0000-01
一、引言
随着国家网络信息化建设的飞速发展,网络已成为人们生活中不可或缺的工具并享受着更便捷的生活方式,随着数字化校园建设的不断推进,越来越多的学校利用自己的校园网络进行教学和管理,通过Internet的形式来实现远程教育教学,教育不再受地域、学校、学科的限制,学习者也能够充分享受教育的多样性、多面性提高学习者的趣味性、选择性。鉴于校园网特殊的使用群体,日常师生较多访问量校园网,因此安全问题已为各类学校所关注,校园网安全状况直接影响着学校学习、教学的方方面面,作为局域网中不可或缺的交换设备-“交换机”就成为安全防范的着眼点。
为了保证网络的安全,一般我们需要在网络的边缘——接入层进行安全控制。在接入层所能的实施安全措施主要包括以下几个方面:Mac-ip地址绑定技术、端口接入认证技术、端口隔离技术 报文过滤技术。
二、 MAC-IP地址绑定技术
首先谈一下MAC地址与端口绑定,进行绑定操作后,只有指定MAC地址和IP地址的计算机发出的报文才能通过指定端口转发,提高了系统的安全性,增强了对网络安全的监控,同时也防止内部人员进行非法IP盗用,以H3C交换机为例(网络拓扑如图所示):
参数配置命令:
[JX]interface ethernet1/0/2
[JX-Ethernet1/0/2] user-bind ip-address 10.1.1.1 mac-address 0001-0201-2123
[JX]interface ethernet1/0/3
[JX-Ethernet1/0/3] user-bind ip-address 10.2.1.1 mac-address 0001-0401-2126
[JX]interface ethernet1/0/4
[JX-Ethernet1/0/4] user-bind ip-address 10.3.1.1 mac-address 0002-0261-2562
三、端口隔離技术概述
所谓端口隔离技术是指在客户端的端口间实现足够的隔离度从而确保一个客户端不会收到另外客户端的流量的技术。所实现的方法为用户将受控端口加入到某个隔离组中,进而达到实现组中的端口间二层、三层的数据隔离,进一步增加网络的灵活性和安全性。使用该技术后单播、广播和组播便不会在隔离端口间产生,ARP 病毒也就不会在被隔离计算机之间传播。(参照网络拓扑如上图)。
配置参数命令:
[JX]interface ethernet1/0/2
[JX-Ethernet1/0/2] port-isolate enable
[JX]interface ethernet1/0/3
[JX-Ethernet1/0/3] port-isolate enable
[JX]interface ethernet1/0/4
[JX-Ethernet1/0/4] port-isolate enable
[JX]interface ethernet1/0/1
[JX-Ethernet1/0/1] port-isolate uplink-port
四、端口接入认证技术802.1x
802.1X身份验证协议由最初的无线网络应用,后来扩展到在二层交换机和路由器等网络设备上使用。它对用户身份进行认证可基于端口来完成,也就是说当用户的数据流量试图通过配置过802.1X协议的端口时,必须要进行身份的验证,只有合法则允许其访问网络。这样的做的有点可以对内网用户进行认证,并且配置简化,在一定的程度上可以取代Windows的AD。
802.1X身份验证协议的配置,首先必须要全局启用aaa认证,这与在边界网络上使用aaa认证没有过多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证协议,并使用radius服务器来管理用户名和密码)
下面的配置aaa认证,所使用的为本地用户名和密码。
3560#config
3560(config)#aaa new-model /启用aaa认证。
3560(config)#aaa authentication dot1x default local /启用802.1X协议认证,并使用本地用户名与密码。
3560(config)# interface range fastethernet 0/1-24
3560(config-if-range)#dot1x port-control auto /在所有接口上启用802.1X身份验证。
五、结束语
综上所述,在校园网环境中,为能够实现用户稳定、安全、高效的上网,更好地服务于教育教学,网络管理人员都应当采用多元化的管理模式,对地址绑定技术、端口接入认证技术、端口隔离技术 报文过滤技术的分析,明确了交换机端口管理技术的特点,结合自己工作实际和我校的网络应用现状,选择合理的模式来管理交换机的端口。为校园网络的安全管理和有效实践奠定了良好的基础。
参考文献:
[1]陈程,欧阳昌华.互联网网络安全性及其对策[J].企业技术开发,2007(09).
[2]金刚善.局域网组网案例精编GBH.北京:中国水利水电出版社,2005.
[3] H3C交换机配置手册及文档.