论文部分内容阅读
校园网作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。随着应用的深入,校园网上的各种数据急剧增加,各种各样的安全问题开始困扰我们。笔者结合几年来在校园网建设安全管理中逐步摸索、积累的经验和教训,谈谈解决校园网内由ARP欺骗导致的网络中断和限制迅雷、BT等下载软件的下载速度的方法。
一、关于RouterOS
RouterOS是路由操作系统,可以通过该系统软件将标准的PC机做成专用的路由器。RouterOS在经历了多次更新和改进后,它的功能在不断增强和完善,特别在无线、认证、策略路由、带宽控制和防火墙过滤等方面上有着非常强大的功能。笔者采用的软件是MikroTik RouterOS v2.9 版本。此版本要求:CPU为核心频率在100MHZ或更高的单核心i386处理器以及与CPU兼容的主板;RAM最小32MB, 最大1GB,推荐64MB或更高;硬盘(闪盘)采用标准的ATA接口。完全安装小于40MB。
二、硬件准备及连接
RouterOS对于硬件要求不高,很低的配置就能很好地工作。为了保证路由性能,笔者选用了CII800 CPU,256M内存,容量为128MCF卡作为电子盘,两张性能较好的网卡,如3COM或INTEL(分别连接光纤收发器和中心交换机)。我校的网络拓扑结构如图1所示。
三、RouterOS配置
1.网卡设置
(1)启动后,填入用户admin,密码为空,进入系统。
(2)设置第一块网卡的IP:在提示符下输入setup命令,如果本机网卡是PCI的,会提示设置ether1(即第一块网卡),输入ipaddress(IP地址):10.12.8.1、netmask(子网掩码):255.255.254.0、gateway:10.163.12.254、network:10.12.8.0、broadcast:10.12.9.255。默认直接回车。
(3)在客户机(Windows系统)上,将其网卡的IP地址设成10.12.8.X,在IE地址栏输入10.12.8.1,回车后会出现routeros的欢迎画面,点击下载Winbox软件。
(4)运行Winbox,输入10.12.8.1,用户名admin,密码为空。
(5)启用第二块网卡:点击Interface,选择第二块卡,选择对号,启用此网卡。
(6)设置地址:选择IP→Address,单击“+”号,输入第二块卡的IP地址(一般由因特网服务提供商ISP提供,例如我校的是区教育信息中心提供的IP:10.163.12.228)。为了便于管理,将这两块网卡的名字重新命名:第一块网卡是Local,第二块卡是Public,如图2所示。
2.开通路由
添加静态路由:选择IP→Routes,单击“+”号,选中gateway,输入网关地址10.163.12.254,destination使用默认0.0.0.0 ,表示路由所有地址,也可以根据需要,指定IP范围路由。静态路由可以有多条,比如可以分别指定多个IP段,达到管理的目的。这里笔者使用默认0.0.0.0,如图3所示。
3.带宽管理
在网络管理工作中,困扰我们最多的是校园网络的速度问题。我校共有400多台电脑,以前用迈普2600作为互联网接入设备,带宽为10M,但由于学校的教师比较喜欢使用BT软件或迅雷软件,导致学校网络的网速极慢,经常使学校网络出口的带宽达到极限,有时还会出现掉网现象。
针对上述问题,笔者利用RouterOS的带宽管理工具Simple queues对每个IP限速。不管是BT还是P2P式下载软件都会按照设定的下载速度去下载。此方法只是限速而不是禁止使用BT软件或迅雷软件等。
在Interface中,查看Public网卡的流量时,RX为下行流量,TX为上行流量;查看Local网卡的流量时,RX为上行流量,TX为下行流量。
运行Winbox进入系统,选择queues→simple queues,对每个IP限速1228800/1228800(下载150KB/上传150KB),如图4所示。
下面是限速的脚本:
/ queue simple
Add name="8net20" target-address=0.0.0.0/0 dst-address=10.12.8.20/32
interface=public queue=default priority=8 limit-at=0/0
max-limit=1228800/1228800 disabled=no
要限多少个IP,就写多少个,再在Terminal模式下用Import命令导入到系统。
经过长时间的测试和使用,学校网络在10M的带宽的环境下,随时保持100~200机器同时在线,PING 值一般小于10MS,没有发现丢包现象。
4.IP_MAC绑定
ARP欺骗的原理是在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要意义,通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞。导致欺骗成功的最主要的原因就是ARP协议在最初设计时没有考虑安全机制,默认就是信任全部以太网内的主机。
校园网由于病毒产生了ARP欺骗,导致校园网的通信时断时续,影响了学校的一系列正常工作。
我们采用双向绑定的方法来防止ARP欺骗和IP冲突。
1.在RouterOS里绑定所有客户机的IP地址和MAC地址,在IP Address中填入要绑定的IP地址,在MAC Address中填入要绑定的客户机的网卡实际地址,再在Interface中选择local。
2.选择Interface,双击local网卡选择General。在ARP选项中把Local网卡模式改成reply-only。
3.把Local网段里没用的IP的MAC全部绑成00000000000,防止IP欺骗。
4.以上几步即可防止RouterOS掉线,客户机此时只需要装一个防ARP的软件,适时刷新正确的网关,就能保证客户机也不掉线了。
四、客户机设置
笔者在校园网内配置了一台DHCP服务器,由它负责全校计算机的IP地址的分配工作。使用了DHCP功能后,可以更好地保证校园网中每台客户机的安全性,并且不会出现校园网IP冲突,或者无故掉线等奇怪现象。设置方法:在TCP/IP属性里面选择“自动获得IP地址”和“自动获得DNS”。
以上是笔者这几年来在校园网建设安全管理中逐步摸索、积累的一些做法,经过我们的大胆尝试,结合RouterOS路由操作系统的强大功能,摸索出了一套能使数字化校园网络得以健康、和谐发展的方法,使我校教学、科研、管理和对外交流活动得以顺利开展。
参考文献[1]信息安全基础.广州出版社,2003年12月.
[2]信息安全技术.广州出版社,2003年12月.
[3]曾祥潘,龙丽嫦.使用OpenBSD构建安全校园网络,中小学信息技术教育,2006年第2期.
[4]RouterOS专题.中国IT实验室网站,http://www.chinaitlab.com.
一、关于RouterOS
RouterOS是路由操作系统,可以通过该系统软件将标准的PC机做成专用的路由器。RouterOS在经历了多次更新和改进后,它的功能在不断增强和完善,特别在无线、认证、策略路由、带宽控制和防火墙过滤等方面上有着非常强大的功能。笔者采用的软件是MikroTik RouterOS v2.9 版本。此版本要求:CPU为核心频率在100MHZ或更高的单核心i386处理器以及与CPU兼容的主板;RAM最小32MB, 最大1GB,推荐64MB或更高;硬盘(闪盘)采用标准的ATA接口。完全安装小于40MB。
二、硬件准备及连接
RouterOS对于硬件要求不高,很低的配置就能很好地工作。为了保证路由性能,笔者选用了CII800 CPU,256M内存,容量为128MCF卡作为电子盘,两张性能较好的网卡,如3COM或INTEL(分别连接光纤收发器和中心交换机)。我校的网络拓扑结构如图1所示。
三、RouterOS配置
1.网卡设置
(1)启动后,填入用户admin,密码为空,进入系统。
(2)设置第一块网卡的IP:在提示符下输入setup命令,如果本机网卡是PCI的,会提示设置ether1(即第一块网卡),输入ipaddress(IP地址):10.12.8.1、netmask(子网掩码):255.255.254.0、gateway:10.163.12.254、network:10.12.8.0、broadcast:10.12.9.255。默认直接回车。
(3)在客户机(Windows系统)上,将其网卡的IP地址设成10.12.8.X,在IE地址栏输入10.12.8.1,回车后会出现routeros的欢迎画面,点击下载Winbox软件。
(4)运行Winbox,输入10.12.8.1,用户名admin,密码为空。
(5)启用第二块网卡:点击Interface,选择第二块卡,选择对号,启用此网卡。
(6)设置地址:选择IP→Address,单击“+”号,输入第二块卡的IP地址(一般由因特网服务提供商ISP提供,例如我校的是区教育信息中心提供的IP:10.163.12.228)。为了便于管理,将这两块网卡的名字重新命名:第一块网卡是Local,第二块卡是Public,如图2所示。
2.开通路由
添加静态路由:选择IP→Routes,单击“+”号,选中gateway,输入网关地址10.163.12.254,destination使用默认0.0.0.0 ,表示路由所有地址,也可以根据需要,指定IP范围路由。静态路由可以有多条,比如可以分别指定多个IP段,达到管理的目的。这里笔者使用默认0.0.0.0,如图3所示。
3.带宽管理
在网络管理工作中,困扰我们最多的是校园网络的速度问题。我校共有400多台电脑,以前用迈普2600作为互联网接入设备,带宽为10M,但由于学校的教师比较喜欢使用BT软件或迅雷软件,导致学校网络的网速极慢,经常使学校网络出口的带宽达到极限,有时还会出现掉网现象。
针对上述问题,笔者利用RouterOS的带宽管理工具Simple queues对每个IP限速。不管是BT还是P2P式下载软件都会按照设定的下载速度去下载。此方法只是限速而不是禁止使用BT软件或迅雷软件等。
在Interface中,查看Public网卡的流量时,RX为下行流量,TX为上行流量;查看Local网卡的流量时,RX为上行流量,TX为下行流量。
运行Winbox进入系统,选择queues→simple queues,对每个IP限速1228800/1228800(下载150KB/上传150KB),如图4所示。
下面是限速的脚本:
/ queue simple
Add name="8net20" target-address=0.0.0.0/0 dst-address=10.12.8.20/32
interface=public queue=default priority=8 limit-at=0/0
max-limit=1228800/1228800 disabled=no
要限多少个IP,就写多少个,再在Terminal模式下用Import命令导入到系统。
经过长时间的测试和使用,学校网络在10M的带宽的环境下,随时保持100~200机器同时在线,PING 值一般小于10MS,没有发现丢包现象。
4.IP_MAC绑定
ARP欺骗的原理是在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要意义,通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞。导致欺骗成功的最主要的原因就是ARP协议在最初设计时没有考虑安全机制,默认就是信任全部以太网内的主机。
校园网由于病毒产生了ARP欺骗,导致校园网的通信时断时续,影响了学校的一系列正常工作。
我们采用双向绑定的方法来防止ARP欺骗和IP冲突。
1.在RouterOS里绑定所有客户机的IP地址和MAC地址,在IP Address中填入要绑定的IP地址,在MAC Address中填入要绑定的客户机的网卡实际地址,再在Interface中选择local。
2.选择Interface,双击local网卡选择General。在ARP选项中把Local网卡模式改成reply-only。
3.把Local网段里没用的IP的MAC全部绑成00000000000,防止IP欺骗。
4.以上几步即可防止RouterOS掉线,客户机此时只需要装一个防ARP的软件,适时刷新正确的网关,就能保证客户机也不掉线了。
四、客户机设置
笔者在校园网内配置了一台DHCP服务器,由它负责全校计算机的IP地址的分配工作。使用了DHCP功能后,可以更好地保证校园网中每台客户机的安全性,并且不会出现校园网IP冲突,或者无故掉线等奇怪现象。设置方法:在TCP/IP属性里面选择“自动获得IP地址”和“自动获得DNS”。
以上是笔者这几年来在校园网建设安全管理中逐步摸索、积累的一些做法,经过我们的大胆尝试,结合RouterOS路由操作系统的强大功能,摸索出了一套能使数字化校园网络得以健康、和谐发展的方法,使我校教学、科研、管理和对外交流活动得以顺利开展。
参考文献[1]信息安全基础.广州出版社,2003年12月.
[2]信息安全技术.广州出版社,2003年12月.
[3]曾祥潘,龙丽嫦.使用OpenBSD构建安全校园网络,中小学信息技术教育,2006年第2期.
[4]RouterOS专题.中国IT实验室网站,http://www.chinaitlab.com.