校园网络安全性设计与部署

【摘 要】随着校园用户的增多和资源共享的加剧，网络安全问题越发突出，如：病毒泛滥、恶意攻击、服务拒绝等,给高校的教学、科研及管理带来很大的不便。本文主要是以福建师范大学福清学院的现有网络为背景，对学院网络进行需求分析、概要设计、详细设计，后得出一套系统的、可行的解决方案。针对目前学院内部网络存在的安全问题，本文提出用SSH协议来保证传输信息的安全；开启OSPF验证加密来保证路由安全；采用802.1x标准、VLAN间的访问控制列表技术、虚拟局域网（VLAN）技术来构建交换网络的安全；在AAA上实施Radius认证实现对网络设备的帐户身份、管理权限控制；在整个校园网络中分级部署瑞星防病毒系统来有效解决内网病毒泛滥的问题。

【关键字】内部网络安全；SSH；OSPF验证加密；Radius认证；801.X；防病毒

目录

引言 ........................................................................ 2 1．校园网络需求分析 .......................................................... 3

1.1校园网的应用 ......................................................... 3 1.2福清学院概况 ......................................................... 3 1.3 学院网络分析 ......................................................... 4

1.3.1学院校园网的发展 ............................................... 4

1

1.3.2存在的安全问题 ................................................. 5 1.3.3安全规划的必要性 ............................................... 5

2．校园网络安全规划 .......................................................... 5

2.1网络存在的安全隐患 ................................................... 5

2.1.1校园网的特点 ................................................... 5 2.1.2校园网的安全隐患 ............................................... 5 2.2 网络安全技术 ......................................................... 6

2.2.1 加密技术 ....................................................... 6 2.2.2 访问控制技术 ................................................... 6 2.2.3 虚拟局域网技术 ................................................. 6 2.2.4 防病毒技术 ..................................................... 6 2.3 网络安全协议 ......................................................... 7

2.3.1 SSH协议 ....................................................... 7 2.3.2 OSPF协议 ...................................................... 7 2.3.3 802.1X协议 .................................................... 7 2.3.4 RADIUS协议 .................................................... 8

3．校园网络安全设计 .......................................................... 8

3.1 设计原则 ............................................................. 8 3.2 详细设计 ............................................................. 9

3.2.1 传输安全设计 ................................................... 9 3.2.2 路由安全设计 .................................................. 10 3.2.3 交换安全设计 .................................................. 11 3.2.4 权限管理设计 .................................................. 14 3.2.5 病毒防护设计 .................................................. 16

4．校园网络设计总结 ......................................................... 18

4.1设计特点 ............................................................ 18 4.2论文总结 ............................................................ 18 参考文献.................................................................... 19 附录 ....................................................................... 19

引言

中国教育事业的发展使得很多高校都首先建设了校园网并通过各种渠道接入了Internet。在国家信息化工作逐步深入开展的大环境下，校园网建设则是处于关键的位置。校园网对提高学校的管理水平、教学质量及高校的科研具有十分重要的意义；它为高校的发展提供了极大的促进作用。校园网络中提供得比较普及的是Web服务、E-Mail服务、FTP服务、办公自动化服务、教学教务管理服务和电子图书馆的信息服务等。随着这些应用系统

2

服务的深入应用、网络用户的增多及网络资源共享的进一步加剧。随之而来的网络安全问题也是日益突出。如：病毒泛滥、恶意者的攻击、服务被拒绝等等，这些安全问题严重的扰乱了学校正常的教学、管理及科研，使得学校的教学不能正常、按序的进行，校园的网络化管理不能行之有效，学校科研活动无法进行；甚至严重者，学校重要资料、最新科研成果等遭到盗窃或者破坏。这些损失是十分严重的。因此在这样的一个前提下，对校园网络进行安全分析、设计并将其有效的部署起来对校园网的建设、学校现代化的管理中有着极其重要作用。

1．校园网络需求分析

1.1校园网的应用

当前随着全国高等教育信息化的推进，校园网建设在全国高教系统迅速普及。计算机 网络在现代高等教育中的应用越来越受到人们的重视。在应用系统建设方面，高校已取得了长足的进展。作为学校对外宣传的窗口，学校网站建设成效明显；办公自动化系统、 财务系统和教务教学管理系统的应用已成型；高校毕业生就业网快速发展；一卡通系统信息基础设施的建立使得实现数字化、信息化和资源共享进一步紧密。由此可见校园网不仅做为重要的IT基础设施肩负着学校信息化教学的重任，而且承载着网络办公、资源管理、信息发布等多项核心业务及应用系统。而上述的信息管理系统，绝大部分都是基于TCP/IP这个主流技术，IP通信网络的好坏直接影响管理信息系统，从而影响日常校园信息化的正常运作。

目前福清学院规模并不是很大，作为福建师范大学的一个校区，在规模上应该中小型校园网，网络应用在目前的情况下还不是很多，不过随着学校的发展，特别是近几年的发展；其功能服务将会日堪完善。而现在学院提供的主要网络服务有宽带网络接入、校园网站、图书馆系统、教学上的教务管理系统、学生学籍管理系统及其它的Internet服务(如DNS,FTP等)。

1.2福清学院概况

福清学院是福建师范大学的一个校区，全校计算机数量逾1000台（不包括学生群体和教师群体），信息点近900个，目前主要楼宇有教学楼、图书馆、科学楼、昌檀楼等，规划区内部局域网都是一个的网络，相互之间并不联通，其它还有11幢学生宿舍楼，8幢教师宿舍. 学校的平面示意图如图：

3

1.3 学院网络分析

1.3.1学院校园网的发展

校园网是学院的信息基础设施，是实现学校现代化管理的强有力保证。师大的领导、学院的领导一直以来都非常重视校园网的建设。到目前为止已对校园网已进行了四期的工程改造。一、二期工程主要完成中心机房建筑群的校园网工程；而三期工程主要完成校门内教师宿舍建筑群和校门外教师宿舍建筑群的校园网接入工作及主设备机房的网络设备升级任务；四期工程建设则是把校园网络改造成具有核心层、汇聚层、接入层等三层结构的IP网络。经过这四期网络工程建设，形成的校园网已经能基本实现信息化。

目前学院校园网络采用1台S7506交换机组成核心层，由3台S5100交换机组成汇聚层，由单主干光纤链路连接核心层交换机S7506；再由6台二级交换机将各建筑群的连入网络；最后用2台路由器各连入师大本部及福清城区的网络。构成的拓扑结构如下：

4

1.3.2存在的安全问题

通过学院的网络拓扑图和对网络中心管理人员的了解，学院网络存在的安全问题主 要有以下的几个方面：

1.校园内网和外部直接互联，没有硬件防火墙对信息进行有效控制。

2.校园网用户中毒现象严重，整个校园网络没有统一规划、部署有效的防病毒系统。 3.广播风暴现象突出，网络流量被大量的浪费，没能得到有效的利用。 4.网络设备和信息资源的使用及访问权限不明确。

5.用户可以访问非授权资源，访问用户的身份没能得到有效的认证。 6.IP地址盗用、冲突的情况时有发生。 1.3.3安全规划的必要性

随着计算机网络的发展，校园网已成为每个学校走向信息化时代的必然发展趋势；教 育管理越来越向智能化方向发展，校园网络的建设、网络安全的合理设计是关键。它关系到学校整体的形象和长远的发展，关系到学生的全面成长和成才。此外，也关系到学校的整体利益。目前在各类学校的网络中都存储着大量的信息资料，许多方面的工作也越来越依赖网络，一旦网络安全方面出现问题，造成信息的丢失或不能及时流通，或者被篡改、增删、破坏、窃用，都将带来难以弥补的损失。所以在校园网络建设的同时，我们更应该重视网络系统在运行时的安全问题。才能使得学校的教学正常、按序的进行，校园的网络化管理行之有效，学校科研活动正常进行。

2. 校园网络安全规划

2.1网络存在的安全隐患

2.1.1校园网的特点

校园网络与企业或网络相比，由于自身的特点导致出现的安全问题非常复杂，具 体体现在以下几个方面：

1. 校园网的规模大和速度快，高校校园网络目前普遍使用千兆互连、百兆到桌面。

用户群体比较打，比较密集。正是由于高带宽和大用户量的特点，网络安全问题一般蔓延快、影响大。

2. 用户群体活跃，高校的学生和部分教师通常是最活跃的网络用户。对网络新技术

充满好奇，勇于尝试。可能对网络造成一定的影响和破坏。 3. 系统管理比较复杂，对校园网中的所有用户端系统实施统一的安全策略非常困难。

出现安全问题后也较难份清责任。

4. 网络的开放性，校园网由于其目的性，以教学和科研为主的目的决定了校园网络

的环境应该是开放的，管理也是比较宽松的，至少在校园网的主干不能实施过多的，否则一些新的应用、新的技术很难在校园网内部实施。开放的网络环境必然会带来安全上的问题。

5. 重硬件，轻管理，校园网络的建设投入在硬件上一般都是会比较充足的，但在管

理和维护方面的投入明显不足。

2.1.2校园网的安全隐患

由校园网络的特点所决定的安全隐患大致来自以下五个方面：

1.校园网通过与Internet相联，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

2.操作系统存在安全漏洞，无法得到及时的升级。对网络安全构成了威胁。

5

[1]

3内网存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。

4.接入校园网节点增多，而这些节点大部分没有采取一定的防护措施，随时有可能造

[4]

成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

5.大多数网络防护体系中还缺少硬件级防火墙这一防护环节，即没有对内部网和外部网进行有效的隔离，入侵就很难避免。

2.2 网络安全技术

2.2.1 加密技术

加密技术是网络安全最有效的技术之一，它不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法。加密技术就是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取信息真实内容的一种技术手段，目前常用的有链路加密、节点加密、端到端加密。其密码也有对称和非对称之分。对称密钥加密即收发双方使用相同密钥的密码，采用的加密算法有DES，PCR，IDEA，3DES等，其中DES使用最普遍， DES主要采用替换和移位的方法加密。它用56位密钥对位二进制数据块进行加密，运算速度快，密钥生产容易，适合于在当前大多数计算机上用软件方法实现。而非对称加密则是收发双方使用不同密钥的密码，公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可以方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密。RSA是其最有影响的代表。

2.2.2 访问控制技术

访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。它是 网络安全防范和保护的主要策略，访问控制在用户身份认证和授权之后，根据预先设定的规则对用户访问进行控制，只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。常用的访问控制技术有访问控制列表（Access Control List，ACL), ACL技术在是一种基于包过滤的流控制技术。它先建立一个访问规则，对符合条件的数据包允许通过。不符合的，则拒绝通过。用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。

[8]

2.2.3 虚拟局域网技术

虚拟局域网(Virtual Local Area Network)，即VLAN，是在交换环境中为了克服网络 物理分段的而建立的逻辑网络段。VLAN技术在物理网络的基础上，能根据需要灵活的划出许多逻辑网络，从而摆脱了建筑物、楼层、地址空间等物理地域，能根据用户实际需要灵活地建立逻辑的专用网络;它主要是在以太网帧的基础上增加了VLAN头，用VLAN ID是一个虚拟局域网，从而广播范围。VLAN让网络更安全、更畅通、更便于管理和让带宽更有保证。而各个逻辑网络之间的通信则是通过路由器或者是具有路由功能的三层交换机来实现。

[7]

2.2.4病毒防护技术

防病毒技术是通过部署杀毒系统，对整体网络进行统一、有效的规划，使得网络能及时的发现病毒和清除病毒，目前防病毒技术主要应用在以下两方面：

1.主机防病毒。主机防病毒的特点是通过主机防病毒代理引擎，实时监测电脑的文件访问和网络交换，把文件与预存的病毒特征码相比对，发现病毒就通过删除病毒特征串实现解毒，或把文件隔离成非执行文件的方式，保护电脑主机不受侵害。 2.网关防病毒。网关防病毒是重要的防病毒措施，它采用御毒于网门之外的原则，在

[6]

6

网关位置对可能导致病毒进入的途径，进行截留查杀，对于管理规范的网络是必要的安全措施。

2.3 网络安全协议

2.3.1 SSH协议

SSH的英文全称是Secure SHell。通过使用SSH，你可以把所有传输的数据进行加密。 这样“中间人”这种攻击方式就不可能实现了， 而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。 SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的“通道”。 SSH提供两种级别的安全验证:

第1种级别是基于口令的安全验证。只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是目标的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到\"中间人\"这种方式的攻击。

第2种级别是基于密匙的安全验证。则需要依靠密匙，也就是你必须创建一对密匙，并把公用密匙放在需要访问的服务器上。如果需要连接到SSH服务器上，客户端软件就会向服务器发出请求，请求用使用者的密匙进行安全验证。服务器收到请求之后，先在使用者服务器的目录下寻找公用密匙，然后把它和发送过来的公用密匙进行比较。如果两个密匙一致，服务器就用公用密匙加密\"质询\"(challenge)并把它发送给客户端软件。客户端软件收到\"质询\"之后就可以用使用者的私人密匙解密再把它发送给服务器。从而保证了数据传输的安全性。

2.3.2 OSPF协议

OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内（指在一个自治系统AS）。通过统一的路由或路由协议互相交换路由信息。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。

OSPF数据包有以下五种：

Hello-用于建立和维护相邻的两个OSPF路由器的关系，该数据包是周期性地发送的。 Database Description-用于描述整个数据库，该数据包仅在OSPF初始化时发送。 Link state request-用于向相邻的OSPF路由器请求部分或全部的数据。

Link state update-这是对link state请求数据包的响应，即通常所说的LSA数据包。 Link state acknowledgment-是对LSA数据包的响应。

OSPF采用的是SPF算法及最短路径树 ，SPF算法是OSPF路由协议的基础。SPF算法有时也被称为Dijkstra算法，这是因为短路径优先算法SPF是Dijkstra发明的。SPF算法将每一个路由器作为根（ROOT）来计算其到每一个目的地路由器的距离，每一个路由器根据一个统一的数据库会计算出路由域的拓扑结构图，该结构图类似于一棵树，在SPF算法中，被称为最短路径树。在OSPF路由协议中，最短路径树的树干长度，即OSPF路由器至每一个目的地路由器的距离，称为OSPF的Cost，其算法为：Cost = 100×106/链路带宽 在这里，链路带宽以bps来表示。也就是说，OSPF的Cost 与链路的带宽成反比，带宽越高，Cost越小，表示OSPF到目的地的距离越近。

[9]

2.3.3 802.1X协议

802.1x协议是基于C/S的访问控制和认证协议。它可以未经授权的用户通过接入

7

端口访问网络。其工作过程如下：

1. 当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和

口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入

的用户名送上来。

3. 客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机

将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 4. 认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。

5. 客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。

6. 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

[9]

2.3.4 RADIUS协议

RADIUS 是一种提供在网络接入服务器（Network Access Server）和共享认证服务器 间传送认证、授权和配置信息等服务的协议；是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。

RADIUS的基本工作原理。用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

3．校园网络安全设计

3.1 设计原则

网络信息安全系统应遵循如下设计原则：

1.满足因特网的分级管理需求：根据Internet网络规模大、用户众多的特点，对Internet&Intranet信息安全实施分级管理的解决方案。

2.需求、风险、代价平衡的原则：对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际的研究并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

8

[5]

3.综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。

4.可用性原则：安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。

5.分步实施原则：分级管理，分步实施。由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

3.2 详细设计

3.2.1 传输安全设计

信息的传递无可避免的涉及到其安全性。如何有效的保证这些传输的信息的安全呢？ 在设计此安全方案中，我比较了SSH、SSL、SET、PKI等网络安全协议，根据学院的实际情况，选择SSH安全协议。而能在Cisco路由器上配置SSH服务的路由器产品系列中只有7200系列、7500系列和12000系列(GSR)等高端产品。下列的配置实例，选用cisco7200系列的路由器。

〉enable / 进入模式 Router#config t / 进入全局配置模式

Router(config)#hostname SSH-7200 / 将改路由器命名为SSH-7200 SSH-7200 (config)#ip domain-name FJSDFX.COM SSH-7200 (config)#username test password 123

/ 创建一个用户，名为test，口令为123

SSH-7200 (config)#line vty 0 4

SSH-7200 (config-line)#login local / 设置远程登陆 SSH-7200 (config)#cryp to key generate rsa / 配置SSH的服务

The name for the keys will be: SSH-7200.FJSDFX.COM / SSH的关键字名为：SSH-7200.FJSDFX.COM

Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: Generating RSA keys ... [OK]

SSH-7200 (config)#end SSH-7200#write

Building configuration...

SSH-7200 (config)# ip ssh time-out 180

/ 配置SSH的超时时间，把默认值改为180秒

SSH-7200 (config)# ip ssh authentication-retries 5

/ 配置SHH重试次数，把默认值改成5次

这样就完成SHH的设置了。

9

3.2.2 路由安全设计

目前福清学院的校园网络采用的是品牌不一的路由器，运行的路由协议最优选择是OSPF协议。OSPF协议是开放式最短路径优先算法，它是真正的LOOP- FREE（无路由自环）路由协议。收敛速度快，能减少需要传递的路由信息数量，使得路由信息不会随网络规模的扩大而急剧膨胀。进而提供更可信的路由选择。但是OSPF邻居关系的建立和维持却是依赖于路由器之间Hello报文的交换和维持，而且在默认情况下，OSPF协议是以明文的形式来发送的。这样就很容易出现安全问题。比如：hello报文被截获、hello报文被伪造，从而危害了路由器的安全。因此，在这几方面的因素下，在相同OSPF区域的路由器上启用身份验证的功能，因为只有经过身份验证的同一区域的路由器才能互相通告路由信息。这样就能有效的解决hello报文被伪造这一问题。而hello报文被截获这一问题，我则是启用OSPF消息摘要(md5)身份验证。使得传输的口令先得到加密。即便是被截获了，也可以保证其安全。

Router1的配置如下：

Eanble / 进入模式 Config t / 进入全局配置模式 Hostname R1 / 把路由器命名为R1

interface s0/0 / 进入路由器的s0/0端口

ip address 192.200.10.5 255.255.255.252 / 设置端口的IP地址，子网掩码 no shut / 激活端口

clock rate 128000 / 设置时钟率为128000 interface e1/0 ip address 192.1.0.129 255.255.255.192 no shut ip ospf message-digest-key 1 md5 FJSDFX / 启用消息摘要身份认证，加密密码为FJSDFX router ospf 100 / 运行OSPF路由协议，自治系统号为100 network 192.200.10.4 0.0.0.3 area 0 / 宣告网络直接相连的网络为

192.200.10.4 0.0.0.3，属于区域0

network 192.1.0.128 0.0.0.63 area 1

area 0 authentication message-digest / 在0区域内启用身份验证的功能 Router2配置如下: Eanble Config t Hostname R2 interface e1/0

ip address 192.1.0.65 255.255.255.192 no shut

Interface s0/0

ip address 192.200.10.6 255.255.255.252 no shut

ip ospf message-digest-key 1 md5 FJSDFX router ospf 200

network 192.200.10.4 0.0.0.3 area 0 network 192.1.0. 0.0.0.63 area 2 area 0 authentication message-digest

10

3.2.3 交换网络安全设计

作为网络中应用最为广泛的交换机，如何能开发其安全特性以有效的保护对内部网络的访问呢？福清学院二层的以太网在校园网中是很重要的网络，属于是网络中的汇聚层，承担着网络信息的交换。在这层交换网络中，我主要是采取了802.1x标准协议来强制网络用户在访问任何设备和资源之前先要使访问者的身份得到有效的认证、进而在这层交换机上实施VLAN间的访问控制列表技术来阻止或者允许基于服务器和客户IP地址的网络访问，让网络管理者根据用户的需要分配给他们适合的角色、而虚拟局域网（VLAN）技术则可以把用户划分成若干小组，仅仅允许用户使用他们需要的网络资源。通过这样的部署，就比较层次地、有系统地保证交换网络的安全性。

1.802.1X标准

配置802.1X身份验证协议，首先要在全局下启用AAA认证，在交换机上启用AAA认 证如下：

Switch# configure terminal

Switch(config)# aaa new-model / 启用AAA认证 Switch(config)# aaa authentication dot1x default local

/全局启用802.1x协议认证，并使用本地用户名与密码。

接着在交换机的端口上启用802.1x 身份认证，如下： Switch# configure terminal

Switch(config)# interface range f0/1 -24 / 定义交换机的所有的端口 Switch(config-if)# dot1x port-control auto

/在所有的端口上启用802.1X身份验证。

Switch(config)#dot1x timeout tx-period 20 Switch(config)#dot1x test 123

Switch(config)#dot1x reauthentication

Switch(config)#radius-server host 192.168.1.0 auth-port 1812 key FJSDFX Switch(config-if)# end

2.虚拟局域网（VLAN）

福清学院的网络分布较为广泛，主要有图书馆、昌檀楼、科学楼、教学楼、校内学生宿舍、校外学生宿舍、校内教师宿舍和校外教师宿舍；根据学院的安全性要求，可划分为服务器子网、办公子网、教室子网、阅览室子网、学生子网、老师子网、机房子网、等7个子网。如图所示：

11

子网划分及IP信息如下： VLAN号 11 12 13 14 15 16 17 子网 服务器子网 办公子网 教室子网 学生子网 教师子网 阅览室子网 机房子网 网络信息包含点 学校服务器群 IP网段 192.168.11.0/24 科学楼、图书馆、昌檀楼的办公机子 192.168.12.0/24 科学、教学、物理实验楼的教学机子 192.168.13.0/24 校内、校外学生宿舍的机子 校内、校外老师宿舍的机子 图书馆除办公机子外的所有机子 数计系、经法系、人文系、外语系的计算机实验室 192.168.14.0/24 192.168.15.0/24 192.168.16.0/24 192.168.17.0/24

在交换网络上部署VLAN如下：

在交换机上划分子网，构建虚拟局域网。核心交换机名称为：Switch；分支交换机名称分别为：switch 1、switch 2、switch 3、switch 4、switch 5和switch 6。设置VTP DOMAIN配置如下：

核心交换机：

Switch #vlan database / 进入VLAN配置模式

Switch (vlan)#vtp domain FJSDFX / 设置VTP管理域名称FJSDFX Switch (vlan)#vtp server / 设置交换机为服务器模式 分支交换机：

switch 1#vlan database / 进入VLAN配置模式

switch 1 (vlan)#vtp domain FJSDFX / 设置VTP管理域名称FJSDFX switch 1 (vlan)#vtp Client / 设置交换机为客户端模式 …… （其他的5个交换机的配置略）

为了保证管理域能够覆盖所有的分支交换机，接着对交换机配置中继如下： 核心交换机：

12

Switch (config)#interface fa 2/1 / 进入端口

Switch (config-if)#switchport trunk encapsulation isl / 配置中继协议

Switch (config-if)#switchport mode trunk / 端口配置成为trunk模式 ……（端口2、3的配置同上） 分支交换机端配置如下：

switch 1 (config)#interface fa 0/1

switch 1 (config-if)#switchport mode trunk

……（switch2、switch3、switch4、switch5和switch6的配置也同上）

这样就完成了管理域的配置，可以创建VLAN了。在交换机上实现VLAN的配置下： Switch (vlan)#Vlan 11 name WORK / 创建一个编号为11，名字为WORK的VLAN

Switch (vlan)#Vlan 12 name OFF / 创建一个编号为12，名字为OFF的VLAN Switch (vlan)#Vlan 13 name ROOM / 创建一个编号为13，名字为ROOM的VLAN Switch (vlan)#Vlan 14 name STU / 创建一个编号为14，名字为STU的VLAN Switch (vlan)#Vlan 15 name TEC / 创建一个编号为15，名字为TEC的VLAN

Switch (vlan)#Vlan 16 name REA / 创建一个编号为16，名字为REA的VLAN

Switch (vlan)#Vlan 17 name COM / 创建一个编号为17，名字为COM的VLAN 将交换机端口划入VLAN ，将switch 3分支交换机的端口1划入OFF VLAN，端 口2划入ROOM VLAN，端口3划入COM VLAN。

switch 3 (config)#interface fastEthernet 0/1 / 配置端口1 switch 3 (config-if)#switchport access vlan 12

switch 3 (config)#interface fastEthernet 0/2 / 配置端口2 switch 3 (config-if)#switchport access vlan 13

switch 3 (config)#interface fastEthernet 0/3 / 配置端口3 cisco30-2 (config-if)#switchport access vlan 17

给VLAN所有的节点分配动态IP地址，首先在核心交换机上分别设置各VLAN的接口IP地址和同样的DHCP服务器的IP地址: Switch (config)#interface vlan 11

Switch (config-if)#ip address 192.168.11.0 255.255.255.0 VLAN11 接口IP

Switch (config-if)#ip helper-address 192.168.11.1 DHCP Server IP ……

从管理域的配置，到中继的配置，再到VLAN用户的划分，最后到IP的分配，这样完成了VLAN的整体配置，使之能有效的控制广播风暴，提高交换式网络的整体性能和安全性。让校园网络的管理更简单、更直观。

3. VLAN之间的访问控制列表（ACL）

从福清学院划分的7个子网群体，我们不难看出，要保证校园网的内部信息安全，必 须对各类的用户群体的访问做出控制。出于各类用户群体对信息的需求特征，我对这7个子网的用户做了以下的访问控制。 VLAN11 VLAN12 VLAN13 VLAN14 VLAN15

VLAN11 ——— ○ ○ ○ ○ VLAN12 ○ ——— ¤ ¤ ¤ VLAN13 ○ ¤ ——— ¤ ¤ VLAN14 ○ ¤ ¤ ——— ¤ VLAN15 ○ ¤ ¤ ¤ ——— VLAN16 VLAN17 ○ ¤ ○ ○ ○ ○ ¤ ¤ ¤ ¤ 13

VLAN16 VLAN17

注： ○：可以访问 ¤：不可以访问 ———：不列入 由以上的访问信息表，我在交换机上配置以下的ACL列表：

Switch(config)# access-list 101 permit ip 192.168.11.0 0.0.0.255 192.168.12.0 0.0.0.255 Switch(config)# access-list 102 permit ip 192.168.11.0 0.0.0.255 192.168.13.0 0.0.0.255 Switch(config)# access-list 103 permit ip 192.168.11.0 0.0.0.255 192.168.14.0 0.0.0.255 Switch(config)# access-list 104 permit ip 192.168.11.0 0.0.0.255 192.168.15.0 0.0.0.255 Switch(config)# access-list 105 permit ip 192.168.11.0 0.0.0.255 192.168.16.0 0.0.0.255 Switch(config)# access-list 106 permit ip 192.168.11.0 0.0.0.255 192.168.17.0 0.0.0.255 Switch(config)# access-list 107 permit ip 192.168.13.0 0.0.0.255 192.168.16.0 0.0.0.255 Switch(config)# access-list 107 permit ip 192.168.14.0 0.0.0.255 192.168.16.0 0.0.0.255 Switch(config)# access-list 107 permit ip 192.168.15.0 0.0.0.255 192.168.16.0 0.0.0.255 Switch(config)# access-list 107 permit ip 192.168.16.0 0.0.0.255 192.168.17.0 0.0.0.255 接着将配置好的ACL的访问列表应用至VLAN端口 Switch(config)# int vlan 11

Switch(config-if)# ip access-group 101 in

--------（其他的访问列表的端口应用同101，在此省略）

各个VLAN的访问信息就会先在交换机的端口上被有效的隔离，从而起到保护的作用。

[12]

3.2.4 权限管理设计

在福清学院的网络中，路由器交换机等设备的远程管理还是通过telnet来实现的、网络设备中只有单一的用户名和密码，而且是配置在网络设备的本地数据库上，这样造成了统一管理的困难，且所有的用户都拥有相同的权限，对网络的安全和稳定造成了威胁；整个网络环境中的设备如：路由器、交换机等缺乏一套完整的，具有可操作性的访问安全策略。针对以上问题，有必要对帐户进行统一的管理，统一的权限分派。结合现有网络状况和对安全性的需求决定在AAA上使用RADIUS协议，RADIUS可以应用在一些分布的网络环境下需要进行某种验证过程的系统中，可以很好的解决这个问题。

首先创建RADIUS服务器，使用cisco的secure ACS作为AAA服务器端软件。如下：

○ ○ ○ ¤ ○ ¤ ○ ¤ ¤ ¤ ——— ○ ○ ———

14

用secure ACS创建一个AAA服务器，服务器的IP地址为192.168.200.5，并在该服务 器中增加一个AAA client，在本网络中该client为一台路由器FJSDFX，其IP地址为192.168.200.10；接着，在secure ACS下面创建多个用户，每个用户具有不同的权限，具体如下表所示：

用户名 fjsdfx fjsdfx_user 备注 系统管理员 系统维护员 密码 fjsdfx fjsdfx_user 级别 最高级别 较低级别 可执行操作 任何操作 只能进行查看操作 创建用户fjsdfx,规定其最大的权限为15,该帐号作为系统管理员的帐号，它具有最高级别，可以对网络设备进行任何的操作。

创建用户fjsdfx_user，作为系统维护人员的帐号，其级别较低，只能进行查看操作.

15

AAA客户端的相应配置：

FJSDFX#show running-config hostname FJSDFX

username fjsdfx_user password 0 user

/ 在本地数据库中添加一个帐号作为AAA服务失效后的应急方案

aaa new-model / 开启AAA服务

aaa authentication login default group tacacs+ local /在所有线路下打开AAA验证 aaa authentication enable default group tacacs+ enable

/使用AAA来设定进入模式的密码

interface FastEthernet0/0

ip address 192.168.200.10 255.255.0.0 /配置与AAA服务器相连的接口地址

tacacs-server host 192.168.200.5 tacacs-server key fjsdfx

privilege exec level 3 show ip route /设定模式3所能使用的命令 privilege exec level 3 show ip interface /主要包括一系列的show命令 privilege exec level 3 show ip protocol privilege exec level 3 show running-config line con 0

login authentication default /在console口使用AAA验证 line vty 0 4

login authentication default /在vty线路下使用AAA验证

3.2.5病毒防护设计

随着学院计算机应用的大范围普及，接入校园网节点是日渐增多。这些节点大部分都没有采取一定的安全防护措施，特别是核心区和互联区并没有做相应的安全保护，存在着很大安全隐患，而且信息点的操作系统主要以Win XP为主，漏洞多，很容易受到攻击；网络出口处没有硬件防火墙、内部没有防护措施。计算机病毒大肆泛滥，隐蔽危害更大的新病毒层出不穷，各种引导型病毒、文件型病毒、宏病毒、蠕虫病毒等进入大学内部网络，各种Java、ActiveX恶意网页小程序也不断攻击内部网络系统，给校园的网络造成巨大的破坏。造成比较非常严重的后果，给教学、科研和管理工作带来不便。因此在学院的防毒网络体系中，我建议采用分布式的防病毒体系结构来实现对病毒的发现和查杀，同时加强对校园网常见病毒（如：ARP）的防范处理。

[8]

1. 分布式的防病毒体系的构建（瑞星体系）

整个体系由系统中心、服务器端、客户端、管理员控制台协同工作，共同完成对整个网络的病毒防护工作，如下图所示：

系统中心是整个瑞星杀毒软件网络版网络防病毒体系的信息管理和病毒防护的自动控制核

16

心，它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息，同时根据管理员控制台的设置，实现对整个防护系统的自动控制。服务器端/客户端是分别针对网络服务器/网络工作站(客户机)设计的，承担着对当前服务器/工作站上病毒的实时监控、检测和清除，自动向系统中心报告病毒监测情况，以及自动进行升级的任务。管理员控制台是为网络管理员专门设计的，是整个瑞星杀毒软件网络版网络防病毒系统设置、管理和控制的操作平台，它集中管理网络上所有已安装过瑞星杀毒软件网络版的计算机，同时实现对系统中心的管理，它可以安装到任何一台安装了瑞星杀毒软件网络版的计算机上，实现移动式的管理。瑞星杀毒软件网络版能够随时启动对全网的统一查杀毒，这样就能全网统一行动，最大程度的减小了病毒传播的可能。

2. ARP病毒的防护处理

对校园常见病毒ARP防护处理，则是在交换机上开启DHCP Snooping和ARP inspection服务；DHCP Snooping可以构建一张建立DHCP Snooping绑定表，表中包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并从中提取并记录IP地址和MAC地址信息。让信任端口可以正常接收并转发DHCP Offer报文，而把不信任端的DHCP Offer报文丢弃。来完成交换机对假冒DHCP Server的屏蔽作用，确保客户端获得合法的DHCP Server IP地址。而ARP inspection服务以dhcp-snooping的绑定表为基础来检测arp请求的，能有效的解决ARP假冒和攻击。如下图：

在交换机上配置dhcp-snooping如下：

switch（config）#ip dhcp snooping switch（config）#ip dhcp snooping vlan 11

switch（config-if）#ip dhcp snooping limit rate 10 switch（config-if）#ip dhcp snooping trust

switch（config）#ip dhcp snooping database tftp:// 192.168.10.1/dhcp_table

17

------（其他VLAN的端口同上配置） 在交换机上配置ARP inspection如下：

switch（config）#ip dhcp snooping vlan 11

switch（config）#ip dhcp snooping information option switch（config）#ip dhcp snooping

switch（config）#ip arp inspection vlan 11

switch（config）#ip arp inspection validate src-mac dst-mac ip switch（config-if）#ip dhcp snooping limit rate 10 switch（config-if）#ip arp inspection limit rate 15 switch（config-if）#ip arp inspection trust ------（其他VLAN的端口同上配置）

4. 校园网络设计总结

4.1设计特点

本文主要对校园网络安全设计与部署进行了简单的研究，无论校园大小、学生多少，校园网络安全都是同等的重要，它是一项系统的工程。需要综合考虑各方面的因素，只有这样，才能建立一个有效的网络安全防护体系。

论文研究了高校校园网络环境中的各类网络安全产品之间如何有效的配置和协调等问 题，利用网络安全相关的基本理论、基本技术和基本方法，结合学院的实际情况，设计出一套比较系统的解决方案。本设计方案具有以下的特点：

1.及时了解网络的安全知识，充分利用现有网络的安全技术和安全产品，具有一定的先进性。

2.对学院网络的安全做了详细的需求分析，从现有网络存在的安全问题出发，提出解决思路，具有很强的针对性。

3.考虑了学院的实际情况，充分利用学院现有的网络设备，具有较强的实用性。 4.各种网络产品的配置、使用简洁明了，易于实现。具有较强的可操作性。

5.考虑到安全产品和技术的不断发展和更新，在设计时，预留了以后的发展空间，具有较好的可扩展性。

4.2论文总结

本论文从校园网络的应用和发展为基础，对学院现有的网络环境做出详细的需求分析，发掘其中存在的安全问题，从而有针对性的做出合理的网络安全规划，提出一套系统的、可行的设计方案。在此次的论文设计中，我深感自己在网络安全技术知识方面的不足，各方面的技术知识没能得到充分的整合，借此论文设计之时，再次梳理了这方面的知识，做出这个设计方案。但是知识的更新和技术的发展是日新月异的，网络安全的设计、部署也会随之进一步完善。相信未来随着技术的发展我们能更好地享受校园网络提供的安全、高速、便捷的信息服务。

在这个毕业论文设计期间，从选题到论文内容的规范再到论文的缺点和不足，我都得到了林为伟老师的热心指导。再此表示我诚挚的敬意和衷心的感谢！此外，我还要感谢我的同组成员陈亚军的帮助、宿舍成员的支持。正是因为有他们，我才能顺利的完成这个设计。

18

参考文献

[1] 王东方，苗军民，魏建行. 浅谈校园网存在的安全问题[J]. 河北大学网络中心 [2] 张帆. 校园网络安全与分析[J]. 黄石理工学院现代教育技术中心 [3] 张建. 川师大校园网络安全方案设计与实现[J].四川师范大学

[4] 王东方，苗军民，魏建行. 浅谈校园网存在的安全问题[J]. 河北大学网络中心 [5] 杨毅.四川建筑职业技术学院校园网建设及安全方案设计与实现[J].2005 [6] 敖卓缅.网络安全技术及策略在校园网中的应用研究[J].2007

[7] 骆耀祖，叶宇风，刘东远. 网络系统集成与管理[M].人民邮电出版社 2005 [8] 杨威，王云，刘景宜. 网络工程设计与系统集成[M].人民邮电出版社 2005 [9] 姚顾波，刘焕金. 网络安全完全解决方案[M].电子工业出版社 2003

[10] Cisco Systems. Cisco Networking Academy Program[M].人民邮电出版社 2005 [11] Todd Lammle.CCNA中文学习指南[M].电子工业出版社 2005 [12] 林薇薇.校园网络安全方案设计与实现[J]. 福建师范大学 2007

附录

SSH测试： show run

hostname SSH-7200 !

boot system flash gsr-k3p-mz.120-14.S.bin

enable secret 5 $1$DMyW$gdSIOkCr7p8ytwcRwtnJG. enable password 7 094F47C31A0A !

username test password 0835495D1D clock timezone PRC 16 redundancy main-cpu

auto-sync startup-config ! ! ! !

ip subnet-zero no ip finger

ip domain-name FJSDFX.COM !

hostname SSH-7200 !

boot system flash gsr-k3p-mz.120-14.S.bin

enable secret 5 $1$DMyW$gdSIOkCr7p8ytwcRwtnJG. enable password 6 124S47G31T0I !

username test password 0835495D1D

19

clock timezone PRC 16 redundancy main-cpu

auto-sync startup-config !

ip subnet-zero no ip finger

ip domain-name FJSDFX.COM ! OSPF测试:

R1#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set

192.200.10.0/30 is subnetted, 1 subnets

C 192.200.10.4 is directly connected, Serial0/0 192.1.0.0/26 is subnetted, 1 subnets C 192.1.0.128 is directly connected, Ethernet1/0 R2#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set

192.200.10.0/30 is subnetted, 1 subnets

C 192.200.10.4 is directly connected, Serial0/0 192.1.0.0/26 is subnetted, 1 subnets C 192.1.0. is directly connected, Ethernet1/0 认证测试：

Router#telnet 192.168.200.10 /使用telnet连接网络设备 Trying 192.168.200.10 ... Open

This is AAA Client

Username: fjsdfx /使用帐号fjsdfx登陆 Password:

FJSDFX>enable 15 /进入模式，级别为15 Password:

20

FJSDFX#conf /可以执行任何的配置命令 FJSDFX#configure t

FJSDFX#configure terminal Router#telnet 192.168.200.10 Trying 192.168.200.10 ... Open

This is AAA Client

Username: fjsdfx_user / 使用帐号fjsdfx_user登陆 Password: FJSDFX>en

FJSDFX>enable 3 / Password:

FJSDFX#conf t / 进入模式，级别为3 无法执行除了show以为的其他命令21