网划分和流量控制使整个校园网络能高速、安全的运行。
4.2.2集成的用户管理功能
提供完善的用户管理机制,实现全面的用户认证、鉴权和计费(AAA)功能。
用户管理引擎实现了根据用户MAC地址、VLAN ID和IP地址的绑定关系鉴别用户的合法性的功能。可根据用户的权限,实现对用户访问资源的控制。
实现基于VLANID/MAC地址、接入模块号和接入设备号的全程用户唯一标识,
便于用户管理(开户、销户、欠费停机等)和网络故障维护。
4.2.3灵活的网络的可扩展性设计
(1)所选择的网络设备应当具有良好的扩展性。(2)所选择的设备都具有良好的软件再升级能力。
可靠的网络安全设计
安全性是网络设计要考虑的最重要的因素之一,设计中充分考虑了网络的安全性,具体体现在以下几个方面:
(1)通过VLAN的划分,限制了不同VLAN之间的互访,从而保证了不同网络之间不会发生未经授权的非法访问。
(2)在核心节点可提供基于地址的Access-list,以控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置VLAN路由以及访问过滤,保证了在VLAN之间只有被允许的访问才能发生,而未经授权的访问都会被禁止。
(3)通过对上网的安全教育,提高安全意识,特别是增强计算机操作人员的密码管理意识,以防止由于操作员密码有意无意泄露给他人而造成的损失。
(4)制定严格的安全制度,包括人员审查制度、岗位定职定责制度、使用计算机的权限制度以及防病毒制度,从制度上保证网络安全性得以实现。
(5可以对所有的重要事件进行Log,这样方便网络管理员进行故障查找;
(6可以对所有的Telnet以及SNMP的访问进行限制,从而最大程度地保证汇聚层系统地安全。
(7可以在接入层中通过限制MAC地址的访问提高网络安全。
4.2.6方便的网络管理和维护
(1)为了提高网络管理能力设计中所有设备最好具有网管功能,不存在光纤收发器等类似不可网管设备,提高了网络可靠性和可管理。
(2)支持通用的网络管理协议如(SNMP),方便网络的管理和维护。 (3)支持通用的的网络管理软件,如Cisco Ciscoworks、HP Open View、3Com Trensand。
4.2.7运营级的网络高可靠性的设计
可以从两方面来考虑:
关键设备的主要模块和电源的冗余备分考虑
在网络设计中所涉及的所有主要设备,均采用高可靠设计的原则。核心关键部件的冗余备份:电源冗余、主控板冗余、模块冗余等。
网络链路的冗余备分考虑
五.校园网解决方案
5.1 系统组成与拓扑结构
方案特点如下:
(1)支持多媒体应用,包括多媒体教室、电子阅览室、多媒体教学; (2)高性能,全交换,满足用户需求; (3)管理简单,浏览器方式无需专门培训; (4)系统安全,保密性高;
(5)ADSL连接方式,按需建立连接降低链路费用。 (6)互联网接入,安全的广域网访问。 方案拓扑结构如下:
由图可看出,网络设备组成为: Catalyst 2900交换机 五台 Cisco850路由器 一台
考虑到Internet接入是校园网的发展趋势,在这套解决方案中都用到了路由器来引入广域网的远程连接,这套方案中用到了思科公司的低端路由器Cisco 850,它提供了对内的10/100M局域网接口和对外的ADSL连接,通过Internet实现远程教学或教学演播等应用。传输稳定,连接迅速。在实现基本数据传递的基础上,用户可以根据自己的需要灵活选用上述网络设备中的某些性能。如:路由器和交换机的组内广播功能可为多媒体信息的传输提供更高的服务质量;而catalyst2900之间建立快速以太网通道,在全双工模式下达到400M的高速级联;此外, 850路由器兼任了防火墙--思科公司系列中、低端路由器都可以通过操作系统升级具备防火墙性能,在承担远程连接的同时实施数据包检验和过滤,防止非法用户侵入到内部局域网中--对连接到Internet这一开放网络的用户来说,安全性是网络设计中不容忽视的一项重要因素。
5.2校园网络安全接入
.1校园网络安全
校园网络承担着整个校园的通讯枢纽功能,连接着所有的应用服务器和数据系统,任何网络安全问题都会扰乱学校办公、教务的正常运转,给学校带来不可弥补的损失。
目前在局域网中遇到的问题主要有以下几种:
? IP地址的管理问题,包括IP地址非法使用、IP地址冲突和
IP地址欺骗
? 利用ARP欺骗获取账号、密码、信息,甚至恶意篡改信息内
容、嫁祸他人问题
? 木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题 ? 攻击或病毒源机器的快速定位、隔离问题
。
2: 阻止来自网络第二层攻击的重要性
网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。
所以,仅仅基于认证(如IEEE 802.1x)和访问控制列表(ACL,Access Control Lists)的安全措施是无法防止本文中提到的来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意,并可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。
3 MAC泛滥攻击的原理和危害
交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时新目的MAC地址的数据包就会广播到交换机所有端口,交换机就像共享HUB一样工作,黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能。
当交换机的CAM表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。更为严重的是,这种攻击也会导致所有邻接的交换机CAM表被填满,流量以洪泛方式发送到所有交换机的所有含有此VLAN的接口,从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。
5.3.4 MAC泛滥攻击防范方法
网管软件需求分析文档
