校園網安全訪問體系實踐研究

周力

摘要：本文通過對影響校園網安全的各因素的分析，實施針對性的安全措施，保障校園網絡安全。

關鍵詞：校園網；安全；體系

中圖分類號：G642.0 文獻標志碼：A 文章編號：1674-9324（2015）16-0255-02

一、前言

縱觀網絡的發展歷史，我們知道，網絡的開放性和容錯性決定了網絡上沒有絕對的安全，只有相對的安全。所謂相對的安全，是指在現有網絡環境和技術手段支持下，通過對已有網絡危害行為的實現方法進行分析，采取相應的規則將危害行為封堵或限制在一定范圍內，從而縮短網絡失效時間，保障大部分用戶的網絡行為正常實施。

二、影響校園網絡安全的因素

隨著校園網規模的不斷擴大，網絡架構日趨復雜，網絡應用日益增長，會不斷出現如病毒攻擊、黑客入侵、網絡資源透支等影響學校教學、管理、生活的網絡安全事件。因此，需要構建校園安全訪問體系，保障校園的正常運轉。

1.傳統校園網大都采用核心層、匯聚層、接入層的三層網絡體系結構。其好處是有效分隔接入層設備，減輕核心層的負擔，但隨著網絡環境的日趨復雜，網絡交換技術的發展，其不利的一面越來越明顯。（1）核心層資源浪費。核心層設備的交換能力現已發展到1T，核心交換能力的閑置，將造成設備投資上的浪費。（2）匯聚層靈活度不夠，作用日顯多余。隨著網絡需求的不斷變化，接入設備功能的交叉，導致匯聚層功能失效，還增加了網管上的復雜度。（3）從網絡維護的角度出發，匯聚層的存在增加了網絡維護的步驟，增加了網絡復雜程度。

2.網絡設備配置不合理，不但不能保護網絡，還會導致用戶出現不明原因的故障。

3.網絡回路的問題。現行網絡中若經人為或設備損壞，形成閉合回路，會造成數據包的不斷循環發送而產生網絡風暴，大量占用網絡資源，進而導致設備癱瘓，網絡崩潰。

4.病毒攻擊的問題。計算機病毒利用網絡傳播的特性，以其特有的方式，對校園網造成嚴重的威脅。

5.設備安全的問題。網絡設備遍布全校，管理上有難度，人為的私接、占用他人線路，時有發生。

三、合理配置交換機，建設校園網安全訪問系統

針對影響校園網絡安全的諸多威脅，必須建立全方位的實用的交換機安全訪問策略，才能保護校園網內的各種資源不被破壞和濫用，維護校園網絡的安全。

1.優化網絡架構。隨著核心交換機交換能力的快速提高到萬兆，交換容量的不斷增大，單板支持的千兆端口數可達48個，光交換技術的日漸成熟，核心交換機的購入成本和單模光纖的布設投入不斷降低。但是桌面交換機因終端對接及維護的技術和成本相對較高而未能有大的突破。在此前提下，將三層的網絡結構簡化成二層，將匯聚層的功能分解到核心層和接入層中，充分利用和發揮核心層的功能，避免了投資的閑置。

2.合理分配交換機資源。交換機的交換資源是有限的，在交換機的使用上要注意合理搭配。在鏈路匹配上，桌面交換機遵守百兆下聯、千兆上聯的原則，核心交換機則遵循千兆下聯、萬兆上聯和對聯的原則，形成一條遞增的傳輸鏈，避免形成單端口瓶頸，提高線速交換的保證率。在端口使用上，將單板端口的使用率控制在50%以下，避免出現過多配置，過度使用單板端口情況。在保證端口使用的前提下，做好交換機的冗余設備互備，減少單點故障。在投資許可的情況下，對每個關鍵點進行冗余互備。

3.配置全網交換機遠程管理。全網選用可網管的交換機，實現交換機的遠程網管，下面以H3C2403為例進行說明。（1）指定專用管理vlan，編制網絡設備管理信息表。（2）設置交換機遠程登陸安全密碼，服務類型及認證模式。

[H3C-luser-admin]password simple ****（*為密碼形如admin123）

[H3C-luser-admin]service-type telnet level 3（3級為最高級）

[H3C] user-interface vty 0 4

[H3C-ui-vty0-4] authentication-mode scheme

（3）交換機遠程管理屬性設置。

[H3C-Vlan-interface99]ip address *.*.*.*

255.255.254.0

[h3c]ip route-static 0.0.0.0 0.0.0.0 *.*.*.*

（*為管理段網關的IP地址）

通過全網網管，可以實時收集桌面交換機的運行狀態信息。在無現維人員的情況下，進行網絡故障的簡單處理，遠程優化交換機的配置，統一分發交換機配置。通過設置登陸密碼，保護交換機的配置安全。

4.通過接入交換機的端口設置，提高網絡訪問的安全性。合理限制交換機端口的交換速率，下接設備數量及環路檢測。從源頭限制帶寬的惡意侵占，減輕個別用戶因中毒或使用過度占用帶寬的軟件對同交換機別的用戶的網速干擾。開啟交換機環路自檢功能，可及時發現網絡風暴問題，避免問題擴大化。用戶在交換模式下的私接、亂接不僅是對網絡資源的非法侵占，而且是一種網絡破壞行為，嚴重者會導致物理端口的損壞。

（1）交換機端口的環路檢測配置。

[H3C-Ethernet*/*/*]loopback-detection enable

（*/*/*為端口號）

（2）交換機端口安全限定的設置。

打開端口安全功能 [H3C] port-security enable

設置重新學習時間[H3C] port-security timer autolearn*（*為分鐘數）

進入端口模式 [H3C]int ethernet */*/*endprint

設置端口MAC地址獲取方式為自動學習

[H3C-Ethernet1/0/3]port-security port-mode autolearn

限制端口直聯下MAC地址通過數量

[H3C-Ethernet1/0/3]port-security max-mac-count *（*數量）

（3）交換機端口限速。交換機端口限速是通過對進出兩個方向分別設限而實現的。實際速率=限定值/8。如設定4096kbps，則實際下載速度可達512KB/秒左右。另外，在保證計算機的正常使用、良好上網體驗的前提下，最優設置為8M。端口模式下限制入端口速率[H3C-Ethernet1/0/19]line-rate inbound *

（*為所限速率，單位為kbps）

限制出端口速率[H3C-Ethernet1/0/19]line-rate outbound *

5.優選vlan配置方案。Vlan的設置對保障網絡的安全訪問有很重要的作用，一個有效且切實可行的vlan配置方案，應滿足以下要求：能夠實現接入層所有端口用戶不同vlan的分隔，vlan方案要易于實現，操作上不能太復雜，便于后期的維護，vlan的劃分不影響端口間的正常通信，節約vlan資源。雙層標簽的QinQ技術完全滿足上述要求。

（1）根據業務類型規劃內外層vlan。內層vlan根據業務類型劃分。外層vlan根據端口劃分再依區域分類管理。

（2）端口模式下配置接入交換機的內層vlan。

[H3C-Ethernet*/*/*] port access vlan *（*為端口所屬vlan號）

（3）核心交換機上的外層vlan配置（以下以h3c12508配置為例）允許外層vlan [h3c] vlan 1201 to 2600

端口工作模式相關配置

[h3c-gigabitethernet*/*/*/*] port link-mode bridge（接口二層工作模式）

[h3c-gigabitethernet*/*/*/*] port link-type hybrid（混雜模式）

管理vlan標記通過

[h3c-gigabitethernet*/*/*/*]port hybrid vlan * tagged

（vlan標號此例為99）

一般vlan去標通過

[h3c-gigabitethernet*/*/*/*] port hybrid vlan * * untagged

（*為外層相關允許業務vlan標號）端口的接收方向應用qinq規則

[h3c-gigabitethernet*/*/*/*] qos apply policy qinq-

01 inbound

（qinq-01為qinq規則編號）

創建流分類規則

[h3c] traffic classifier cvlan-oa operator or

[h3c-cvlan-0a] if-match service-vlan-id 100 to 200

私有vlan相關設置

[h3c]traffic behavior pvlan2401 （pvlan2401對應行為名。）

[h3c-behavior-pvlan2401]nest top-most vlan-id 2401

（填加相應外層vlan標記）

QOS規則配置

[h3c] qos policy qinq-14

[h3c-qinq-14]classifier cvlan-oa behavior pvlan-oa-1414

[h3c]classifier cvlan-card behavior pvlan-card

6.布署網絡預警系統。網絡預警是通過基于SNMP的網絡監控管理軟件，隨時臨測網絡中設備的狀態、服務器使用率、網絡帶寬占用比等實時數據，對比數據庫中的歷史數據，根據預設的報警條件進行通知。通過預警系統能使管理人員及時得到異常報警，提前做準備工作。

四、結語

校園網絡的安全，不僅要綜合考慮設備、技術和管理方面的問題，還要綜合考慮被保護者的價值、被攻擊事件的嚴重性和投入的資金，從而在各種安全保障手段間做出平衡取舍，建設一個安全、高效的校園網。

參考文獻：

[1]張萌.校園網訪問控制體系的構建[J].硅谷，2012，（8）.

[2]劉曉云.校園網安全訪問控制體系的構建[J].現代電子技術，2012，（17）.

[3]H3C.H3C s12500系列路由交換機配置指導[EB/OL]. http：//www.h3c.com.cn/Service/Document_Center/Switches/Catalog/S12500/S12500/#命令.

[4]H3C.H3C中低端交換機配置手冊[EB/OL].

http：//www.uzzf.com/qudong/35524.htmlendprint