河南安阳师范学院数字化校园信息化建设方案 - 图文

更新时间:2024-04-18 21:32:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

安阳师范学院数字化校园信息化建设方案

中国联合网络通信有限公司安阳市分公司

二○一二年五月

目录

第1章、 网络设计原则....................................................................................................................................... 4 1.1、 IPV6技术、WLAN新技术的广泛应用 .................................................................................................... 4 1.2、 高带宽 ..................................................................................................................................................... 4 1.3、 可增值性 ................................................................................................................................................. 4 1.4、 可扩充性 ................................................................................................................................................. 4 1.5、 开放性 ..................................................................................................................................................... 5 1.6、 安全可靠性 ............................................................................................................................................. 5 1.7、 设计依据及引用标准 ............................................................................................................................. 5 第2章、 网络设计............................................................................................................................................... 6

2.1. 2.2. 2.3. 2.4. 2.5. 2.6.

拓扑结构图 ........................................................................................................................................ 8

业务数据流向 ................................................................................................... 错误!未定义书签。 骨干网链路设计 ................................................................................................................................ 8 核心交换区设计 ................................................................................................................................ 9 楼层汇聚区设计 .............................................................................................................................. 10 楼层接入区设计 .............................................................................................................................. 10

第3章、 校园网高可用设计 ............................................................................................................................. 12

3.1.1、 操作系统模块化 .......................................................................................................................... 12

3.1.2、 引擎切换无中断 .......................................................................................................................... 12 3.1.3、 三平面分离保护 .......................................................................................................................... 15 3.1.4、 硬件CPU保护 .............................................................................................................................. 15 3.2、 二层高可用性设计 ............................................................................................................................... 16 3.2.1、 生成树设计 .................................................................................................................................. 16 3.2.2、 RLDP设计 ..................................................................................................................................... 17 3.3、 三层高可用性设计 ............................................................................................................................... 18 3.3.1、 VSU技术 ....................................................................................................................................... 18 3.3.2、 路由冗余设计 .............................................................................................................................. 19 3.4、 网络服务质量保证 ............................................................................................................................... 20

第4章、 校园网高安全设计 ............................................................................................................................. 22 4.1、 核心交换机内置强大的安全特性 ....................................................................................................... 22

4.1.1、 关键部件的安全稳定 .................................................................................................................. 22

4.1.2、 病毒和攻击防护 .......................................................................................................................... 22 4.1.3、 设备管理安全 .............................................................................................................................. 23 4.1.4、 接入安全 ...................................................................................................................................... 23 4.2、 汇聚层网络安全规划 ........................................................................................................................... 23 4.3、 接入层网络安全规划 ........................................................................................................................... 23 4.3.1、 接入层实现对用户身份的准确验证 ........................................................................................... 24 4.3.2、 接入层实现对网络病毒和攻击的有效控制 ............................................................................... 24 4.4、 网络设备自身安全加固 ....................................................................................................................... 28 4.4.1、 路由认证和保护 .......................................................................................................................... 28

第 1 页 共 73 页

4.4.2、 关闭IP功能服务 ........................................................................................................................ 28 4.4.3、 设备安全防护 .............................................................................................................................. 29 4.4.4、 关闭设备服务 .............................................................................................................................. 33 4.4.5、 其它安全措施 .............................................................................................................................. 34 4.5、 统一身份认证、安全运营管理平台设计 ........................................................................................... 35 4.5.1、 方案组件 ...................................................................................................................................... 35 4.5.2、 高融合 .......................................................................................................................................... 35 4.5.3、 高安全 .......................................................................................................................................... 36 4.5.4、 高可用 .......................................................................................................................................... 38 4.5.5、 可运营 .......................................................................................................................................... 39 4.5.6、 易管理 .......................................................................................................................................... 43

第5章、 IPV6校园网规划设计 ....................................................................................................................... 52 5.1、 IPV6背景介绍 ...................................................................................................................................... 52 5.2、 IPV4的局限性 ...................................................................................................................................... 52 5.3、 IPV6新特性 .......................................................................................................................................... 53 5.4、 CNGI的发展 .......................................................................................................................................... 56 5.5、 IPV6试验网规划设计 .......................................................................................................................... 56

5.5.1、 过渡阶段 ...................................................................................................................................... 56 5.5.2、 过渡策略 ...................................................................................................................................... 57 5.6、 IPV6详细设计 ...................................................................................................................................... 57 5.6.1、 核心网IPv6设计 ........................................................................................................................ 57 5.6.2、 汇聚网IPv6设计 ........................................................................................................................ 57 5.6.3、 接入网IPv6设计 ........................................................................................................................ 57 5.6.4、 网络出口区IPv6设计 ................................................................................................................ 58

第6章、 校园网出口规划设计 ......................................................................................................................... 59 6.1、 边界连接设计 ....................................................................................................................................... 61 6.2、 流量控制设计 ....................................................................................................................................... 62 6.3、 日志审计设计 ....................................................................................................................................... 63 6.4、 热点内容加速缓存 ............................................................................................................................... 63 6.5、 安全防护设计 ....................................................................................................................................... 64

6.5.1、 报文过滤 ...................................................................................................................................... 64

6.5.2、 状态检测 ...................................................................................................................................... 64 6.5.3、 攻击防御 ...................................................................................................................................... 64 6.5.4、 内容过滤 ...................................................................................................................................... 64 6.6、 远程接入设计 ........................................................................................................ 错误!未定义书签。 6.6.1、 VPN接入技术选择 ........................................................................................ 错误!未定义书签。 6.6.2、 VPN系统性能及管理性要求 ......................................................................... 错误!未定义书签。

第7章、 建设面向服务的“五位一体”数字化校园网络 ............................................................................. 65 7.1、 校园网安全运营管理的挑战 ............................................................................................................... 65 7.2、 “五位一体”的数字化校园网络 ....................................................................................................... 66

7.2.1、 “准入和准出一体化”设计 ....................................................................................................... 66 7.2.2、 “802.1x认证和Web认证一体化”设计 .................................................................................. 67

第 2 页 共 73 页

7.2.3、 “有线和无线一体化”设计 ....................................................................................................... 69 7.2.4、 “校内和校外一体化”设计 ....................................................................................................... 69 7.2.5、 “IPv4和IPv6一体化”设计 .................................................................................................... 70 7.3、 “五位一体”建设效果 ....................................................................................................................... 71 7.4、 热点区域无线覆盖、占领信息化制高点 ............................................................ 错误!未定义书签。 7.5、 全网部署IPV6、紧扣前沿技术脉搏 ................................................................................................... 71 7.6、 高性能、高安全、带宽透明管理的边界网 ....................................................................................... 71 7.7、 信息点数量统计 .................................................................................................... 错误!未定义书签。

第 3 页 共 73 页

第1章、网络设计原则

1.1、IPv6技术、WLAN新技术的广泛应用

根据新一代互联网技术的要求,接入、汇聚、核心网络设备、必须支持IPv6,并且可随时完成向IPv6网络平滑迁移。

随着信息技术的飞速发展,教师和学生对校园网的依赖性相当之高,“随时随地获取信息”已成为广大师生们的新需求。因此我院迫切需要为广大教师、学生、行政管理人员、后勤人员打造一个具有打造一个具有技术前瞻性的无线校园网,与目前的有线网络进行无缝融合,提供优良的无线体验。

1.2、高带宽

校园网是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特性,整网的核心交换要求能够提供无瓶颈的数据交换。

1.3、可增值性

校园网的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰 富的宽带增值业务,使网络具有自我造血机制,实现以网养网。

1.4、可扩充性

考虑到用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。

第 4 页 共 73 页

1.5、开放性

技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。

1.6、安全可靠性

设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。

1.7、设计依据及引用标准

? GB/T 50311-2007《建筑与建筑群结构化综合布线系统工程设计规范》 ? GB/T50314--2006《智能建筑设计标准》

? GB/T 50312-2007《建筑与建筑群结构化综合布线系统工程验收规范》 ? GB50303-2004 《建筑物电子信息系统防雷规范》 ? GBJ/T16-92《民用建筑电气设计规范》 ? ISO/IEC 11801《信息技术-布线标准》

? EIA 568A/TIA 568B《商业建筑运营商布线标准》 ? EIA/TIA586《民用建筑线缆标准》

? EIA/TIA TSB67《非屏蔽双绞线布线测试标准》 ? YD/T 926-1997《大楼通信结构化综合布线系统》 ? 《工业企业通讯设计规范》 ? EMC

欧洲电磁兼容性标准

? ITU-T 国际运营商联盟标准

? ANSI FDDI 美国国家标准:分布式光纤数据接口 ? IEEE 802.3ae 国际电子电气工程师协会 ? IEEE 802.5 国际电子电气工程师协会

第 5 页 共 73 页

第2章、网络设计

随着计算机、通信、多媒体技术高速融合发展和数字校园资源的深度整合,越来越多的应用将逐步迁移到校园网的计算机网络平台上来。同时在多媒体教育和管理等方面的需求,对校园网络也提出了更高的的要求。因此安阳师范学院校园网需要建设一个高速的、先进的、高可靠、高安全、可扩展的校园网络以适应当前网络技术的发展,并满足学校安阳师范学院在网络通信领域方面的科研和教学的需求。

2.1. 校园网数据流量分析

一、校内访问校外的数据流量主要有两类:

1)办公区访问互联网(internet和cernet)

BT、视频网站访问流量大; 安全认证要求不高;

安全管理要求维护方便;校内访客需要区分访问权限,只能访问internet; 对关键用户要重点保证带宽;

需要日志记录,出现安全事件定位到人。

2)学生宿舍,家属区访问互联网(internet和cernet)

BT、视频网站访问流量大; 安全认证要求高;

安全管理要求严格,客户端需要防代理、防破解; 若需要差异化运营,需要提供个性化服务; 需要日志记录,出现安全事件定位到人。

二、校外访问校内的数据流量主要有三类:

1)校外用户访问学校网站

流量不大但多样,需要路由器具备智能DNS技术;

2)校外用户访问VPN,进行FTP下载

第 6 页 共 73 页

流量不大但突发;

需要统一认证。

3)校外学生访问校内课件资源

流量逐步增大,但对数据流质量要求高。

三、校内互访的数据流量主要有三类:

1)办公区用户访问学校数据中心

流量不大,但稳定性要求高,但瞬时流量要求高(邮件的大附件等)。

2)学生宿舍用户访问学校数据中心

多媒体访问流量大,需要对关键业务服务器的健康度和繁忙度进行监控管理 其他访问安全防护要求高,需要日志记录,出现安全事件定位到人。

3)办公区和学生宿舍区互访流量少。

第 7 页 共 73 页

2.2. 拓扑结构图

以万兆以太网技术为基础,十万兆以太网为目标,采用“主支干万兆,千兆到宿舍”的设计思路,分为核心层、区域分核心,楼宇汇聚层、接入层。核心层设置在逸夫楼7层,部署2台高性能十万兆核心路由交换机,区域汇聚层分为老校区、教学办公区、家属区、宿舍区4个区域,

每个区域汇聚由两台区域汇聚交换机与核心交换机之间通过四条万兆链路互联,采用动态协议实现负载均衡的同时完成链路的备份

宿舍楼部署楼宇汇聚交换机并通过3层千兆光纤链路上联区域汇聚交换机,家属区通过接入交换机通过千兆光纤链路直接上行至区域汇聚交换机;接入层交换机下行端口以千兆比特位每秒与终端相连,接入Internet速率由终端用户申请的账户带宽决定。所有主干和接入设备均可网管,要求支持全线速转发。

2.3. 骨干网链路设计

有线网络的设计和建设需要考虑未来5-10年的先进性,因此骨干网需要建成一个高性能、高

第 8 页 共 73 页

可用、高稳定的校园骨干网络平台。安阳师范学院可通过支持10万兆平台的高性能核心交换机构建全冗余支持100G骨干网络架构。各汇聚设备采用多条万兆链路聚合连接到骨干网络设备上,增大校区骨干网络之间的链接带宽和转发性能。实现校内多万兆骨干网络的新一代校园网络架构。

2.4. 核心交换区设计

核心交换区负责汇聚各个功能区高性能数据转发,同时也负责与服务器区、校园网出口区之间的流量转发。核心交换区是一个高速的Layer3交换骨干,不建议进行终端系统的连接,也不建议实施影响高速交换性能的安全访问控制(ACL)等功能。设计时还需要通过设备冗余、路由冗余、链路冗余等技术,充分保障网络系统稳定性。

核心交换区建议部署2台核心交换机, 2台核心交换机通过10G链路互联实现VSU虚拟化,并通过链路聚合技术采用4*40GE链路与数据中心的服务区汇聚交换机互联;宿舍区组团,家属区组团,教学办公区组团,老校区组团区域汇聚交换机均通过4*10GE万兆光纤链路与核心交换机互联;出口万兆流控通过4*10GE万兆链路与核心交换机互联

在核心交换机上不建议配置复杂的协议,只需要启动三层路由协议和CPU保护即可。

2.5. 园区汇聚区:

主要包含老校区、教学办公区、家属区、宿舍区在内四个校园网区域,每区域分别采用两台高密度插槽数的万兆三层交换机通过虚拟化技术采用2*1GE双聚合链路与宿舍区楼宇汇聚交换机。通过高密度接入端口数量,大容量的三层表项以及完备的IPv4/IPv6双栈支持满足安阳师范校园网的应用和发展。

主要实现以下的功能:

? 部署本区域的VLAN信息(如老校区家属区,宿舍区,新校区家属区),实现VLAN终结。 ? 汇聚本区域的IP地址或路由。 ? 实现到核心交换区的路由策略。

? 实施安全访问控制(ACL),保证网络安全。

2.6. 数据中心交换机

采用两台支持VEPA的数据中心级高密度万兆以太网交换机和各类虚拟服务器构建安阳师范学

第 9 页 共 73 页

院校园网数据中心区,通过VEPA(Virtual Ethernet Port Aggregator)技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理,不仅实现了虚拟机间的流量转发,同时还解决了虚拟机流量监管、访问控制策略部署等问题;另外安阳师范学院校园网数据中心的二层网络架构也为数据中心虚拟机的迁移提供了良好的网络架构;以及两台服务器汇聚交换机实现VSU虚拟化,具有即插即用,简化管理的优点,同时大大降低了系统扩展的成本。

主要实现如下功能: ? 服务器群的汇聚

? 承载学校部署的各业务系统

? 部署服务器区的VLAN信息,实现VLAN终结在服务器区。 ? 实现服务器区之间以及到核心交换平台的访问策略; ? 实施安全访问控制(ACL),保证网络安全。

2.7. 楼宇汇聚区设计

宿舍楼楼栋汇聚区主要负责楼栋内信息点的汇聚,是路由域与交换域的分界层。以各个建筑物为单位分别部署汇聚节点,每个楼栋汇聚节点部署楼栋汇聚交换机,楼栋汇聚交换机通过layer3层千兆光纤链路上联核心交换机,通过layer2层千兆光纤链路与楼层接入区接入交换机互联。

主要实现以下的功能:

? 汇聚本楼层的IP地址或路由。

? 部署本楼层的VLAN信息,实现VLAN终结与本楼栋内。 ? 实现本楼层到核心交换区的路由策略。 ? 实施安全访问控制(ACL),保证网络安全。

2.8. 楼层接入区设计

楼栋接入区主要是负责本楼层内的信息点互联起来,为各个信息点提供layer2层接入功能。主要完成以下功能:

? 部署802.1.X协议,实现“入网身份认证、主机健康检查、网络安全事件监控与主动防御”。 ? 实现802.1X协议、web认证在同一个端口上部署,实现方便快捷上网。 ? 通过VLAN定义实现业务划分。

第 10 页 共 73 页

? 实现QoS,对数据包进行分类和标记。

? 接入网设备全部采用千兆链路上连汇聚设备,以保证接入网连接汇聚网的带宽及可靠性要

求。

? 接入网作为用户终端接入校园网的唯一接口,在为用户终端提供高速、方便的网络接入服

务的同时,需要对用户终端进行入网认证、访问行为规范控制,从而拒绝非法用户使用网络,保证合法用户合理使用网络资源,并有效防止和控制病毒传播和网络攻击。

第 11 页 共 73 页

第3章、校园网高可用设计

3.1.1、操作系统模块化

网络的通用操作系统,已成为网络全线交换路由产品统一的系统平台。

RGOS模块化操作系统设计原理图

? 这是一种模块化软件平台(对软件系统进行划分之后,将不同的系统任务分割成一些很少

交互的可管理子集)

? 系统内核通过POSIX连接各功能模块。各功能模块独立,故障隔离,提升新功能开发测试

效率和系统稳定性。

? RGOS系统内核通过POSIX接口连接硬件抽象层,扩展支持多种网络产品,如交换机、路由

器、出口设备等。通过RGOS的开放性设计,可以整合多种产品资源,加速产品与技术发展。利用多种网络产品组网形成基于RGOS的智能、融合的IP网络。

3.1.2、引擎切换无中断

随着网络规模及应用领域的急速扩张,网络日益成为社会生活中不可或缺的部分,企业与个人的通信与交流都离不开网络的使用。随着企业对网络依赖性的增加,网络必须安全可靠,一旦网络服务不可用,可能严重影响企业的生产力及赢利。

第 12 页 共 73 页

交换机支持UISS(UnInterrupted SupervisorEngine Switchover),即无中断引擎切换技术,保证主从管理板的切换在1秒间实现,同时在切换过程中,各主机线卡可以继续转发原有的数据流,不影响网络业务的正常透明运行,实现管理板的平滑切换,极大地保证了核心的可靠性和网络可用性。

系统停机可划分两类: ? 未经计划的停机(故障)

它们是不可控的、随机的,通常与软硬组件缺陷相关。 ? 有计划的停机(维护)

如系统的修理、升级等,由于它们在一定范围内是可调度的,因此对可用性的冲击可以降低到最低限度。

由于网络应用需要穿越多个网络段,要保证网络的可用性,所有的网络段都必须具有故障中恢复的能力,恢复要快至对于用户和网络应用都是透明的、不可觉察的。

UISS热备份功能的构成

UISS热备份功能支持由热备份框架与备份集合构成。热备份框架系统由Checkpoint Facility、Redundancy Facility和Redundancy Protocol三个主要组件构成。热备份框架为整个系统热备份提供基础平台,需要热备份的模块通过这个基础平台提供的通信、管理等功能完成热备份所需的同步信息传输。

依据对高可用性的支持程度,设备的功能可划分为以下几类: ?

High Availability Supported Feature——完全支持高可用性,在Active Supervisor engine与Stand Supervisor engineer之间进行了数据同步; ?

High Availability Compatible Feature ——这些特性不支持高可用性,它们的状态数据没有进行同步,但是在高可用性启用时,这些功能仍然可以使用,在切换后,这些功能从初始化状态开始运行; ?

High Availability Incompatible Feature——这些特性不支持高可用,它们的状态数据没有进行同步,在高可用性启用时,这些特性不能使用,否则可能导致系统行为的不正常。 在系统中,需要使用热备份子系统进行信息同步的实体(也就是High Availability Supported Feature)所构成的集合称为“备份集合”。备份集合中的实体一般是系统运行过程动态创建的,是Master作为对外事件的响应而产生的状态变化。由于状态变化是作为对外部事件的响应而产生的,如用户配置、协议数据接收等,而Slave接收不到这些事件,它将Master同步信息当作外部事件来

第 13 页 共 73 页

处理。

热备份框架与备份集合的关系是平台与使用者之间的关系。从平台角度来看,它不关心使用者是谁,而使用者之间并不因为同时使用某个平台功能而改变了它们之间的关系。因此,在使用热备份框架提供的功能后,备份集合内的实体静态关系并未发生变化。 ?

具体切换过程及实现

1、切换前状态信息同步

2、主引擎出现故障时,数据不间断转发

3、备份引擎启动,故障引擎重启动,备份引擎下发FIB表更新,待故障引擎重启完毕后,新的主引擎将状态信息同步到重启后的引擎,此时完成切换。

第 14 页 共 73 页

UISS热备份设计可以保证交换机主从管理板的切换在1秒间实现,同时在切换过程中,各主机线卡可以继续转发原有的数据流,不影响网络业务的正常透明运行,实现管理板的平滑切换,极大地保证了网络设备的可靠性和网络可用性。

3.1.3、三平面分离保护

传统交换机系统分为数据平面和控制平面两部分。控制平面负责各种协议的运行和控制,提供TELNET、WEB、SSH、SNMP等管理接口,执行管理员对于网络设备各种网络功能的设置命令,交换机是否稳定的直接根源。数据平面数据的各种处理转发过程,包括L2/L3/ACL/QOS/组播等各种功能。数据平面是交换机最耗费资源的平面。

高端的交换机将控制平面再分离,分为控制平面和管理平面,由管理平面负责提供TELNET、WEB、SSH、SNMP等管理接口,保证在路由震荡、网络复杂、病毒攻击条件下,控制平面的协议运行占用大量设备资源,管理平面独立于控制平面,可以轻松通过管理平面在线定位和规避网络设备的非正常运行,高度保证了系统稳定性。

交换机在“三平面分离”的基础上加强了各平面内部的保护。

“平面保护”通过分别对“控制平面、管理平面、数据平面”三个平面提供大量的保护技术,极大地保证了各个平面的内部稳定性。

3.1.4、硬件CPU保护

目前众多的网络病毒都是通过对网络设备的CPU上进行特定协议的攻击。例如,利用伪造的数

第 15 页 共 73 页

据包瞄准具体协议,向网络设备发动攻击。攻击会大量消耗CPU上的资源(CPU循环和通信队列),从而达到攻击目的。

网络交换机通过硬件的方式对发往控制平面的数据进行分类,把不同的协议数据归类到不同的队列然后对不同的队列进行限速,专门对路由引擎进行保护,阻挡外界的 DOS 攻击。而且并不影响转发速度,所以CPP能够在不影响性能的前提下,灵活且有力的防止攻击,而且保证了即使有大规模攻击数据发往CPU的时候依然可以在交换机内部对数据进行区分对外。

CPP提供三种保护方法,来保护CPU的利用率。

第一,可以配置CPU接受数据流的总带宽,从全局上保护CPU。 第二,可以设备QOS队列,为每种队列设置带宽。 第三,为每种类型的报文设置最大速率。

经过信息产业部权威测试中心测试,得出结论:“网络的CPP功能可进一步提高交换机抗攻击的能力和保持网络拓扑与CPU的稳定性”

3.2、二层高可用性设计

3.2.1、生成树设计

STP(Spanning Tree Protocol 生成树协议)是在IEEE 802.1D中定义的二层网络管理协议,通过生成树算法消除网络环路,同时提供链路冗余备份功能。RSTP(Rapid Spanning Tree Protocol快速生成树协议)是在IEEE 802.1W中定义的,在STP的基础上实现了快速握手协商的机制,从而使收敛时间大幅提高。MSTP(Multiple Spanning Tree Protocol 多生成树协议)是在IEEE802.1S中定义的,它弥补了STP和RSTP的缺陷,既可以实现快速收敛,又能保证不同VLAN的流量沿着各自的

第 16 页 共 73 页

路径转发,从而为冗余链路提供负载均衡。

? 本网络设计中,涉及生成树的模块有1个,分别是楼栋汇聚交换机—楼层接入交换机 ? 生成树协议统一使用MSTP。

? 对于接PC或者服务器的交换机设备端口,配置portfast、bpduguard。

3.2.2、RLDP设计

RLDP 全称是Rapid Link Detection Protocol,用于快速检测以太网链路故障的链路协议。 一般的以太网链路检测机制都只是利用物理连接的状态,通过物理层的自动协商来检测链路的连通性。但是这种检测机制存在一定的局限性,在一些情况下无法为用户提供可靠的链路检测信息,比如在光纤口上光纤接收线对接错,由于光纤转换器的存在,造成设备对应端口物理上是linkup 的,但实际对应的二层链路却是无法通讯的。再比如两台以太网设备之间架设着一个中间网络,由于网络传输中继设备的存在,如果这些中继设备出现故障,将造成同样的问题。

利用RLDP 协议用户将可以方便快速地检测出以太网设备的链路故障,包括单向链路故障、双向链路故障、环路链路故障。

在二层网络中生成树的部署可以避免大多数的网络环路风险,但是面对单端口下存在的环路,就无能力为力,因此需要在所有的接入层交换机上部署RLDP,实现端口环路检测功能,避免环路给网络带来的灾难。

第 17 页 共 73 页

3.3、三层高可用性设计

3.3.1、VSU技术

为了保证网络的可靠性、故障自愈性,在方案设计中均需要考虑各种冗余设计,如网络冗余节点、冗余链路等。冗余的设计使网络结构中出现了环路以及环路有可能引起的广播风暴等风险,生成树技术(STP)应运而生。它虽然消除了环路,但却带来了链路性能利用不足的新的问题。随之MSTP技术利用通过多实例的划分来实现不同链路流量的负载分担,提高了链路可用性能,但与此同时却将网络的结构,管理维护工作量翻了几番。而管理维护量大会导致一旦配置出错会又回到起初环路产生所带来的广播风暴的问题。

从根本上讲,网络结构、业务、管理维护的复杂度,:一方面是由于网络设备数量众多直接带来的;另一方面是由于网络设备数量众多衍生出的类似STP、VRRP这些特性间接带来的。但无论是直接还是间接引起,本质上都是网络设备数量的问题。所以,最根本的方法,就是要减少逻辑设备的数量。换句话讲,就是将多台物理设备虚拟为一台逻辑上统一的设备,使其能够实现统一的运行,从而达到减小网络规模的目的。

为了解决传统网络的这些问题,网络提出一种把两台物理交换机组合成一台虚拟交换机的新技术,称为VSU,全称是Virtual Switch Unit,即虚拟交换单元。把传统网络中两台核心层交换机用VSU替换,VSU和汇聚层交换机通过聚合链路连接。在外围设备看来,VSU相当于一台交换机。

VSU技术有如下特点:

3.3.1.1、速度更快

高端交换机性能和端口密度的提升会受到其硬件的限制,而VSU系统的性能和端口密度是VSU内部所有设备性能和端口数量的总和。因此,VSU技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高单台设备的性能。

此外传统的生成树等技术为了避免环路的发生,会采用阻断一条链路的方式,而VSU可以通过跨设备链路聚合等特性,让原本“Active-standby”的工作模式,转变成为负载分担的模式,从而提高整网的运行效率。

第 18 页 共 73 页

3.3.1.2、网络更加可靠

链路级:VSU设备之间的物理端口支持链路聚合,VSU系统和上、下层设备之间的物理连接也支持聚合功能,这样,通过多链路备份提高了链路的可靠性。

协议级:VSu提供实时的协议热备份功能,负责将协议的配置信息备份到其他所有的成员设备,从而实现协议可靠。

设备级:VSU系统由多台成员设备组成,Master设备负责系统的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的备份。相比传统的二层生成树技术和三层的VRRP技术,其收敛时间从N秒级缩短到毫秒级。

3.3.1.3、无任何业务限制

帮助用户在实现基本功二层、三层能的同时,提供包括防火墙模块、流量分析模块等更广的业务应用。此外还支持IPv6、组播、MPLS等多种业务。

VSU不仅可以提供机架内的高性价比连接方案,还可以通过标准光纤实现长达70km的跨区域远距系统连接方案,提高了智能弹性系统的可用性。

3.3.1.4、高性能硬件模块

采用高性能硬件模块实现,进行设备机箱见得快速检测和设备间数据高度转发。适用于大规模的网络,无软件升级方式带来的弊端。

3.3.2、路由冗余设计

选择何种路由协议,对于最大程度的发挥网络的效能具有重要意义,因此本次网络建设的路由协议的选择也就十分重要。

3.3.2.1、路由协议选择原则

在大型网络中,选择适当的路由协议是非常重要的。目前常用的路由协议有多种,如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由协议有各自的特点,分别适用于不同的条件之下。

选择适当的路由协议需要考虑以下因素:

第 19 页 共 73 页

? 路由协议的开放性:开放性的路由协议保证了不同厂商都能对本路由协议进行支持,这不

仅保证了目前网络的互通性,而且保证了将来网络发展的扩充能力和选择空间。 ? 网络的拓扑结构 :网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议

不支持分层次的路由信息计算,对复杂网络的适应能力较弱。路由协议还必须支持网络拓扑的变化,在拓扑发生变化时,无论是对网络中的路由本身,还是网络设备的管理都要使影响最小。

? 网络节点数量:不同的协议对于网络规模的支持能力有所不同,需要按需求适当选择,有

时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。 ? 对于本网络,在选择路由协议时不能只看眼前,还要充分考虑今后的扩展性

? 与其他网络的互连要求:通过划分成相对独立管理的网络区域,可以减少网络间的相关性,

有利于网络的扩展,路由协议要能支持减少网络间的相关性,是通常划分为一个自治系统(AS),在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。

? 管理和安全上的要求:通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为

了实现比较完善的管理功能或为了满足安全的需要,例如对路由的传播和选用提出一些人为的要求,就需要路由协议对策略的支持。

3.3.2.2、路由协议选择

考虑到协议的通用性、标准性以信息网的网络规模,建议在本次网络建设中选择OSPF作为未来网络动态路由协议,选择OSPF主要有以下几个原因:

? 标准开放性及成熟性

OSPF是开放的标准协议,受到广大厂家设备及组织的支持,也是目前网络构建中用得最多的协议,也是在企业网中应用最广泛的IGP协议;因此其性能是经受过考验及验证的。 ? 扩展能力分域功能非常适合网络扩展

OSPF提供分域功能一方面保证路由转发效率,另一方面要提供很好的网络扩展能力。

3.4、网络服务质量保证

建议方案,以学校实际规划为主。

在传统的IP网络中,所有的报文都被无区别的等同对待,每个网络设备对所有的报文均采用先

第 20 页 共 73 页

入先出(FIFO)的策略进行处理,它尽最大的努力(best-effort)将报文送到目的地,但对报文传送的可靠性、传送延迟等性能不提供任何保证。

随着IP技术的日趋成熟,IP网络运营商化已经成为大势所趋,于是形成了语音、视频、数据等多种业务IP统一承载,由于语音、视频等实时业务自身的特点对承载平台提出了严格的服务质量要求,因此就必须在网络中部署相应的QoS技术,使得网络管理者能够有效地控制网络资源的使用,能够在有限资源的IP平台上综合语音、视频及数据等多种业务,能够区分业务、针对不同的业务提供特色的差分服务。

QoS旨在针对各种应用的不同需求,为其提供不同的服务质量,例如:提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。为实现上述目的,QoS提供了下述功能:

1、报文分类和着色 2、避免和管理网络拥塞 3、流量监管和流量整形 4、QoS信令协议

在网络设计中,设计合理的QOS保障方案,利用有限的资源,以获得更好的网络使用效益,是非常必要的。良好的QOS保障方案可以确保一般情况下网络具有最好的使用效率、实时业务具有较小延时,恶劣情况下保证关键业务得到应有的网络服务。

衡量QoS的指标包括:

1、带宽/吞吐量 - 指网络的两个节点之间特定应用业务流的平均速率; 2、时延 - 指数据包在网络的两个节点之间传送的平均往返时间; 3、抖动 - 指时延的变化;

4、丢包率 - 指在网络传输过程中丢失报文的百分比,用来衡量网络正确转发用户数据的能力; 5、可用性 - 指网络可以为用户提供服务的时间的百分比。 在本期网络中QOS方案部署如下:

在接入层交换机接入端口根据不同业务进行VLAN标记,并可以对报文进行802.1P优先级标记,以便后续的核心交换根据相应优先级标记(802.1P、DSCP)进行调度,当然还可以根据策略的需要部署CAR流量监管策略,对用户的接入速率进行控制,保证网络各项应用系统处于健康(轻载)的运行状态。

第 21 页 共 73 页

第4章、校园网高安全设计

4.1、核心交换机内置强大的安全特性

4.1.1、关键部件的安全稳定

主机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。 主机监控显示屏可直接显示交换机名、CPU利用率、内存利用率、管理模块与线卡温度、风扇和电源工作状态、持续工作时间等,提供及时的设备关键状态查看,提升系统安全稳定的维护能力。

主机实时检测CPU的使用状态,并提供业界领先的硬件CPU保护技术(CPP,CPU Protect Policy),CPP技术对发往CPU的数据进行流区分和流限速,避免非法攻击包对CPU的攻击和资源消耗。

4.1.2、病毒和攻击防护

采用硬件方式提供多种安全防护能力,例如NFPP、CPP、防DDOS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。

NFPP是英文Network Foundation Protection Policy的缩写,中文意思是“基础网络保护策略”;NFPP技术可以联动网络设备自身的安全检测和安全防护技术,实现网络设备的自动智能安全体系。

随着交换机应用的逐渐普及,以及网络攻击的不断增多,越来越需要为数据交换机提供一种保护机制,对发往交换机CPU的数据流,进行流分类和优先级分级处理,以及CPU的带宽限速,以确保在任何情况下CPU都不会出现负载过高的状况,从而能为用户提供一个稳定的网络环境,这种保护机制就是CPU Protect Policy,简称CPP。

提供业界最为强大的ACL特性,基于SPOH技术提供IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术,支持IPv4/IPv6双栈下的输入输出ACL。

提供线卡分布式的IPFIX监控技术,及时发现网络中的异常流量,有助于提早发现网络中病毒和攻击等不安全行为,并通过流量监控技术提供的详细异常流量数据信息,识别攻击源或攻击手段。

支持同时启用多组的多端口同步监控技术,并且支持灵活的输入、输出、双向数据镜像,满足

第 22 页 共 73 页

灵活的网络监控需求,提升网络监控能力。

4.1.3、设备管理安全

提供SSHv1/v2的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁。 Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理。

SNMPv3提供加密和鉴别功能,可以确保数据从合法的数据源发出,确保数据在传输过程中不被篡改,并且加密报文,确保数据的机密性。

4.1.4、接入安全

硬件支持IP、MAC、端口绑定,提高用户接入控制能力。 支持802.1X技术,满足6元素绑定接入限制。

支持IGMP源端口检查、源IP检查、IGMP过滤等功能,可有效控制非法组播源,提高网络安全。

IGMP v3支持通告客户端主机希望接收的多播源服务器的地址,避免非法的组播数据流占用网络带宽。

通过PVLAN(端口保护)隔离用户之间信息互通,不必占用VLAN资源。 支持根据带宽速率或带宽百分比进行未知名报文、多播包、广播包进行控制。

端口MAC地址锁、MAC地址过滤、端口MAC地址接入数量限制功能可以屏蔽非法主机的接入和非法数据包进入网络。

4.2、汇聚层网络安全规划

楼栋汇聚区、服务器区是路由域与交换域的分界层,用户的VLAN信息终结在汇聚交换机上。通过部署如下安全特性实现网络安全:

? 部署VLAN规划,实现业务的隔离; ? 部署ACL策略,实现业务的访问控制;

4.3、接入层网络安全规划

用户在访问网络的过程中,首先要经过的就是接入交换机,在用户试图进入网络的时候,也就

第 23 页 共 73 页

是在接入层交换机上部署网络安全无疑是达到更好的效果。

4.3.1、接入层实现对用户身份的准确验证

对于每一个需要访问网络的用户,利用802.1X技术对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的联合验证,达到如下的效果:

? 每一个用户的身份在整个网络中是唯一并且合法的

? 当安全事故发生的时候,只要能够发现肇事者的一项信息(如IP地址),就可以准确定位

到该用户,便于事件的追踪。

4.3.2、接入层实现对网络病毒和攻击的有效控制

接入层交换机内置了丰富的安全防护功能,如下图:

(1)防IP地址盗用和ARP攻击

接入层交换机通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。

(2)防MAC Flood\\SYN Flood攻击

第 24 页 共 73 页

通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。

并且此功能可直接在接入层交换机上实现,真正做到了安全控制到边缘! (3)非法组播源的屏蔽

接入层交换机均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于大规模网络应用环境。

以上可直接在接入交换机上部署,保证了组播应用的安全性,同时也提高了网络性能! (4)对DHCP攻击的控制

方式一、非法DHCP Server,为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息,不仅影响合法用户的正常通讯,还导致合法用户的信息都发往非法DHCP Server,严重影响合法用户的信息安全。

方式二、恶意用户通过更换MAC地址的方式向DHCP Server发送大量的DHCP请求,以消耗DHCP Server可分配的IP地址为目的,使得合法用户的IP请求无法实现。

接入层交换机均可对以上两种方式进行有效控制: ? 可检查和控制DHCP响应报文合法性

? 可遏制恶意用户不断更换MAC地址的DHCP请求 (5)对DOS攻击,扫描攻击的屏蔽

通过接入层设备部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。

第 25 页 共 73 页

(6)对网络病毒的控制

对于常见的比如冲击波、振荡波、ARP病毒等对网络危害特别严重的网络病毒,本次投标的所有接入层交换机内置了丰富的AC功能,能够对这些病毒进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了带宽的有效利用。 最有效的防病毒配置文件如下: ip access-list extended lan deny udp any any eq 136 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss deny udp any any eq 445 deny udp any any eq 593 deny udp any any eq 1434 deny tcp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 4444 deny tcp any any eq 5800 deny tcp any any eq 5900 deny tcp any any eq 6667 deny tcp any any eq 5554 deny tcp any any eq 9996 permit ip any any 端口135

服务Location Service

第 26 页 共 73 页

说明Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。

端口137、138、139 服务NETBIOS Name Service

说明其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 端口445

说明:445端口和139端口一样,都是用来开启SMB服务的端口。在2000系统里,445开启NBT(共享文件)服务,利用它,你才能看见网上邻居上的其他电脑,利用这个端口可以获取主机的相关信息。互联网上的蠕虫病毒以及其他病毒,利用这个端口对该机以外的其他机器进行病毒传播。在远程控制方面这个端口作用不是特别大,但是病毒传播的效果是很明显的。

应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389、4444端口 5800,5900端口

首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。

请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭 关闭的方法:

1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:Winntfont***plorer.exe)

2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:Winntexplorer.exe)

3、删除C:Winntfonts中的explorer.exe程序。

4、删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersi......

第 27 页 共 73 页

(7)对未知网络病毒的防范

对于未知的网络病毒,通过接入交换机部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如视频会议、视频监控、管理数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。

4.4、网络设备自身安全加固

网络系统安全主要考虑以下几个方面:路由安全、接入安全、访问控制和监测、日志记录、业务隔离等方面。

4.4.1、路由认证和保护

路由认证(Routing Authentication),就是运行于不同设备的相同的动态路由协议之间,对相互传递的路由刷新报文进行的确认,以便使得设备能够接受真正而安全的路由刷新报文。

任何运行一个不支持路由认证的路由协议,都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞,向网络发送不正确或者不一致的路由刷新,由于设备无法证实这些刷新,而使得设备被欺骗,最终导致网络的瘫痪。

目前,多数路由协议支持路由认证,并且实现的方式大体相同。认证过程有基于明文的,也有基于更安全的MD5校验。

MD5认证与明文认证的过程类似,只不过密钥不在网络上以明文方式直接传送。路由器将使用MD5算法产生一个密钥的“消息摘要”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。使用MD5认证算法的路由协议有:

? OSPF ? RIP版本2 ? BGP4

? OSPFv2 路由认证

为了保证网络路由协议的安全,在路由协议配置时必须配置OSPF的认证,建议采用MD5认证。

4.4.2、关闭IP功能服务

有些IP特性被恶意攻击者利用,会增加网络的危险,因此,网络设备应具备关闭这些IP功能

第 28 页 共 73 页

的能力。

1)IP源路由选项开关

在IP路由技术中,通常一个IP报文总是沿着网络中的每个路由器所选择的路径上转发分组。IP协议中提供了源站和记录路由选项,它的含义是允许源站明确指定一条到目的地的路由,覆盖掉中间路由器的路由选择。并且,在分组到达目的地的过程中,把该路由记录下来。源路由选项通常用于指定网络路径的故障诊断和某种特殊业务的临时传送。

因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程,而不管转发接口的工作状态,可能被恶意攻击者利用,刺探网络结构。 因此,设备应能关闭IP源路由选项功能。

2)重定向开关

网络设备向同一个子网的主机发送ICMP重定向报文,请求主机改变路由。一般情况下,设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文,以期改变主机的路由表,干扰主机正常的IP报文转发。

因此,设备应能关闭ICMP重定向报文的转发。 3)定向广播报文转发开关

在接口上进行配置,禁止目的地址为子网广播地址的报文从该接口转发,以防止smurf攻击。 因此,设备应能关闭定向广播报文的转发。缺省应为关闭状态。

4)ICMP协议的功能开关

很多常见的网络攻击利用了ICMP协议功能。

ICMP协议允许网络设备中间节点(路由器)向其它设备节点和主机发送差错或控制报文;主机也可用ICMP协议与网络设备或另一台主机通信。

对ICMP的防护比较复杂,因为ICMP中一些消息已经作废,而有一些消息在基本传送中不使用,而另外一些则是常用的消息,因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理,以减少ICMP对网络安全的影响。

4.4.3、设备安全防护

设备自身的安全防护技术 1)口令管理

为防止对系统未经授权的访问,系统必须具有完善的密码管理功能。虽然几乎所有数据通信设备都具有RADIUS或TACACS认证服务器进行口令管理的能力,但在设备本地进行密码分配和管理

第 29 页 共 73 页

仍是设备本身应具有的安全特性。这里只描述本地密码管理。

口令的密文显示

若系统的配置文件以文本方式进行保存,则在配置文件中,所有的口令都必须以密文方式显示和保存。

2)控制对设备的访问 控制台访问:

控制台是设备提供的最基本的配置方式。控制台拥有对设备最高配置权限,对控制台访问方式的权限管理应拥有最严格的方式。

用户登录验证

对从设备CONSOLE口进行访问配置的用户必需具有身份认证的能力,可以通过本地用户验证或RADIUS验证实现。

控制台超时注销

控制台访问用户超过一段时间对设备没有交互操作,设备将自动注销本次控制台配置任务。超时时间必须可配置,缺省为10分钟。

使能/禁止用户通过控制台对设备进行访问

通过禁止控制台数据收发,禁止用户直接通过异步线路进行配置。这样,即使非法用户占领了控制台,通过重启设备清除了控制台访问口令,也无法通过控制台对设备进行非法配置。

控制台终端锁定

配置用户离开配置现场,设备应提供暂时锁定终端的能力,并设置解锁口令。 3)异步辅助端口的本地/远程拨号访问

通过设备的其它异步辅助端口对设备进行本地、远程拨号的交互配置,是设备通供的额外配置方式。

缺省要求身份验证

对于非控制台的其它一切配置手段,必须要求设备配置身份验证,如果设备未配,将拒绝接受用户登录。

用户登录验证

原理同控制台访问控制的基本能力,这是无论那种配置方式都必需提供的基本控制能力。 终端超时注销/挂断

原理同控制台访问控制的基本能力,对于PSTN拨号配置方式,超时将挂断连接。 超时时间必须可配置,缺省为10分钟。

第 30 页 共 73 页

使能/禁止用户通过辅助端口对设备进行交互访问 终端锁定 拨号用户回呼功能

当通过辅助端口以拨号方式对设备进行配置时,可以保证当口令被盗用时,非法用户也不能盗用线路。

4)TELNET访问 缺省要求身份验证

对于非控制台的其它一切配置手段,必须要求设备配置身份验证,如果设备未配,将拒绝登录。 用户登录验证 终端超时退出

当telnet连接未交互超过一定时间时,将断开本次telnet连接。 超时时间必须可配置,缺省为10分钟

限制telnet用户数目

设备对telnet用户数量必需做出上限控制。 使能/禁止用户通过telnet方式对设备进行访问 telnet访问的限入限出

限制哪些用户可以通过telnet客户端对设备进行访问; 限制设备通过telnet客户端程序对那些目标主机进行访问 telnet终端锁定 5)SNMP访问

SNMP是一种使用非常广泛的协议,主要用于设备的监控和配置的更改。SNMP协议自身有安全性保障,同时SNMP Agent还应该具备对网管站的访问进行限制的能力。

需特别指出:SNMP的网管站通常有大量的关于验证信息的数据库,例如团体名。这些信息可以提供访问许多路由器或者其他网络设备的途径。这使得网管站成为许多攻击的目标,因此,必须要保证网管站的安全。

SNMPv1的安全性

SNMPV1使用的验证方式是基于团体名字符串的验证机制,SNMPv1的验证非常弱: 它使用明文作为验证字。

大部分的SNMP操作重复使用该字符串作为周期性轮流检测的一部分。 如果必须使用SNMPV1,应当注意如下事项,以避免安全隐患:

第 31 页 共 73 页

最好不要使用常用的\和\作为团体名;

对每个设备使用不同的团体名,或者至少是对网络上的每个区域使用不同的团体名。 不要使只读的团体名和读写的团体名一致。如果可能,应该实现使用只读的团体名进行周期性的轮流检测。读写的团体名应该仅仅用于当前的写操作。

SNMPv2的安全性

SNMP的后序版本SNMPv2进行了改进,它支持基于MD5的验证方案,并且允许对访问的管理数据进行存取上的限制。SNMPv2基本上是一个过渡版本,有多个版本,尽管也考虑了协议自身的安全性,但是技术上并不成熟,安全性仍比较弱。 尤其要注意的是,目前常用的SNMPv2c,没有增加安全特性,其安全能力与SNMPv1相同。

SNMPv3的安全性

SNMPv3对协议的安全性给出了全面的解决方案。

SNMPv3继承了SNMPv2u的很多优点,并且从系统的角度进行了优化。它提供了一个SNMP NMS和AGENT的完整的系统框架。从安全角度来讲,SNMPv3使用了基于用户的安全模式(USM)和基于视图的访问控制模式(VACM)。USM使用MD5或者SHA对报文进行验证,使用DES对报文进行加密。这样保证了数据的完整性和正确性。VACM则对当前用户的访问权限进行检查,看当前用户是否可以对管理数据进行操作。关于USM和VACM的详细介绍可以参见RFC2574和RFC2575。

网管访问控制列表

在大多数网络中,合法的SNMP报文将来自于某几个网管站。SNMP Agent应使用访问列表对SNMP报文进行限制,仅仅允许指定IP地址的网管站访问。

6)HTTP访问

HTTP访问方式通过HTTP协议对设备进行配置和监控,同样是对设备的一种交互访问方式 HTTP用户验证

对HTTP客户端进行身份认证,可以选择采用本地或RADIUS、TACACS协议等多种方式进行认证。但目前HTTP协议本身仅支持明文验证。

HTTP访问控制列表

与访问受限的网管站和telnet客户端一样,限制那些HTTP客户端能够对设备进行访问。

第 32 页 共 73 页

4.4.4、关闭设备服务

1)关闭UDP/TCP小端口服务

早期的TCP/UDP端口服务,设计比较简单,没有考虑网络安全问题,这类小端口服务可能被恶意攻击者利用。

例如,7号UDP端口服务“echo”回应所有发送给它的包,19号UDP端口服务“chargen”自动发送字符串。常见网络攻击中,UDP洪水就是利用chargen和echo来传送毫无用处的占满带宽的数据:通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,从而消耗网络带宽。其他常见的端口服务索引参见RFC1700。

如果网络设备实现了这些早期的小端口服务,应能通过一条指令关闭所有的小端口服务。 作为网络设备,最好不实现这些无用的小端口服务。 2)关闭协议服务

设备上提供很多服务和应用,在不同的网络环境中这些服务可能是不必要的,若开启这些服务将对设备自身性能造成影响,因此需要这些关闭服务;有些服务还会带来潜在的安全问题,也同样需要关闭。

关闭finger服务

利用finger服务,远程主机可以监听到所有登录到设备中的用户login信息。若被恶意攻击者利用可以窃取登录到系统的所有用户的详细信息。网络设备需要禁止finger服务。

关闭NTP协议服务

NTP协议用来在整个网络发布精确时钟。通常在设备上指定特定的接口去发送和接收NTP报文;同时在某些特定接口上禁止接收NTP报文,以减少对设备性能的损耗。

3)设备健壮性设计

网络设备暴露出来的安全问题,很多情况下,并不是直接由设备安全不足产生的,而是设备本身不健壮导致的。

首先,流量负荷较重容易导致系统崩溃。网络在恶意攻击下,容易呈现流量不对称现象,有些设备对这个现象没有做相应的可靠性设计。

其次,设备需要对这类畸形包做健壮性设计。在常见网络攻击中,有一类是利用畸形包来攻击网络设备。例如: 泪滴(teardrop)攻击,对IP分片的报文头,伪造分段长度,制造出重叠偏移的情况。 某些设备的TCP/IP协议栈,在收到含有这样的重叠偏移分段时将崩溃。

第 33 页 共 73 页

因此,对于宽带产品,有必要在产品测试过程中,引入模拟网络攻击测试,验证各宽带产品在各类常见攻击下的可靠性。

4)设备安全补丁

软件补丁是为了对系统软件中的某些错误进行修改而发布的独立的软件单元。软件补丁应当在不影响系统正常运行的情况下,完成对系统错误的修正。对于设备存在的软件安全漏洞,可以采用打软件补丁的方法进行补救。

基本要求

软件补丁的加载和生效需要动态进行,即在不影响用户业务的情况下完成。 提供补丁软件校验码,增加补丁软件加载的自身安全。 注意事项

软件补丁动态加载的能力可能被恶意攻击者利用,需要加强权限管理。 缺省应关闭软件补丁动态加载的能力。

4.4.5、其它安全措施

1、信息隐匿:NAT

在出口路由器上使用NAT,使得公网用户无法看见本网络的用户IP地址,保护本网用户免受公网用户的攻击。

2、对所有重要事件log

利用Syslog记录重要的设备信息(如告警,设备状态变化信息),可以为故障定位排除提供有利数据。

3、URPF

对基于源地址欺骗的网络攻击,一般是使用防火墙技术来解决的,即通过手工配置防火墙策略来拒绝非法源地址的报文,但这种方法具有一定的局限性。首先,基于源地址欺骗的攻击者,会经常改变其报文的源地址来进行攻击,而防火墙是无法动态检测到这种变化的,需要网络管理人员定期地去更新防火墙的配置。其次,防火墙的实现需要在接口上配置ACL,如果配置过多的ACL,对性能会有很大的影响。

第 34 页 共 73 页

4.5、统一身份认证、安全运营管理平台设计

4.5.1、方案组件

以学校现有的RG-SAM身份认证管理平台为基础,配合: 1、客户端软件(RG-SU)---可选

2、安全认证交换机(支持802.1X或WEB认证)

4.5.2、高融合

4.5.2.1、多种接入方式的融合认证(802.1x、WEBportal、无线接入、VPN接入)

RG-SAM安全运营管理系统是一套基于标准的RADIUS协议开发的宽带认证计费管理系统。它不仅支持最安全的802.1X接入控制技术,还支持WEB portal的认证计费方式,支持无线接入、VPN接入认证。

4.5.2.2、不同服务区域的融合认证(不同区域、不同计费策略)

RG-SAM提供分区域精细化管理,按照地区区域区分用户和使用的服务,按区域分别定制计费策略和提供的服务,实现分区域的精细化管理。例如:在教学区和宿舍区,一个学生使用同一账户可以使用不同接入服务和相应的计费策略。

第 35 页 共 73 页

4.5.2.3、可以和LDAP对接,进行身份融合(一卡通)

RG-SAM支持LDAP协议,方便实施用户身份信息的统一集中管理

4.5.2.4、提供和第三方系统对接的第三方接口

RG-SAM提供丰富的二次开发接口,方便与一卡通等业务系统的集成

4.5.3、高安全

4.5.3.1、保证用户身份的唯一性

RG-SAM具备多元素绑定,自动绑定, IP地址类型控制等多种接入控制功能,提供业界最严格的接入控制功能。

当发生安全事件或者非法攻击时候,典型的六元素绑定结合完善的日志记录,可以准确审查定位到个人。

第 36 页 共 73 页

4.5.3.2、防代理、防拨号功能

网络的SAM安全计费管理系统对用户架设的各种代理服务器(包括单网卡、双网卡、NAT等)具有自动探测并且自动屏蔽的功能,可以做到代理服务器的可控管理(即可以允许某些账号能够使用代理,可以不允许某些账号不能使用代理服务器)。 通过代理屏蔽技术,可以避免最终用户通过代理服务器上网。其一可以保障运营的受益,其二可以保障准确定位到个人。而且SAM可以禁止用户在认证后再次拨号登录外网,满足金融保险等行业对内网高安全性的要求。

4.5.3.3、网络攻击的防范与控制

网络攻击呈上升趋势,攻击的手段越来越多样化,产生的影响越来越验证,据统计超过80%的攻击来自网络内部,最典型的比如DDoS分布式拒绝服务器攻击,对于网络的解决方案来说,无论网络采用静态IP地址分配,还是动态IP地址分配,本方案中的SAM系统可以绑定IP地址和MAC地址与端口,攻击主机一旦修改其源IP地址其报文就会被丢弃,不对网络造成影响,消除了DDOS对网络的攻击。

接入认证交换机内建强大的ACL功能,支持标准、扩展以及专家级的访问控制列表,并独有ACL80功能进行基于应用的数据安全检测。可以进行基于接入交换机的ARP欺骗攻击防护。

第 37 页 共 73 页

4.5.4、高可用

认证计费系统RG-SAM支持集群功能,可实现认证计费系统的高可用以及容灾备份。 高可用的群集技术不但可以有效地解决单服务器的性能限制,而且可以实现故障的快速转移,保证服务的高可用性以及灵活的扩展性。RGAC(即:RG Application Cluster——应用群集)方案很好地应用了这一技术,由多台服务器以对称的方式组成一个服务器集合,每台服务器都具有等价的地位,都可以单独对外提供服务而无须其他服务器的辅助。通过某种负载均衡技术,将外部发送来的请求均匀分配到对称结构中的某一台服务器上,而接收到请求的服务器独立地回应客户的请求。这种技术可以用最少的投资获得接近于大型主机的性能。

4.5.4.1、RGAC集群技术特点1——认证流量负载均衡

第 38 页 共 73 页

4.5.4.2、RGAC集群技术特点2——认证业务实时备份

采用网络高可用集群技术(RGAC),可提高认证计费系统的整体性能及稳定性的同时,实现系统异地容灾备份。并为后续建设的校园网络统一活动目录(LDAP)提供标准对接接口,实现认证计费系统账号与数字校园账号信息的无缝对接。

4.5.5、可运营

4.5.5.1、贴近用户的丰富计费模式

结合校园网络的实际应用,支持普通包月、包月限时长、包月限流量、计天、计时长、计流量以及特有的根据是否上线按天计费(day cost)等多种计费策略。完全满足各种用户的需求,更好的提高学校网络服务的满意度。

第 39 页 共 73 页

其中根据是否上线按天计费(day cost)的计费策略是指用户付费的单位是一天,即每天多少钱。当用户在某天只要上线使用网络,即系统自动扣除当天的费用,如果用户当天没有使用网络即不扣费。在记天的计费策略中,可以使用一次缴费分段开通的功能。

通过一次缴费分段开通的功能,可以较好的缓解用户缴费和管理员收费的矛盾。当采用了day cost之后,可以更好的解决这个问题。

4.5.5.2、用户欠费预提醒功能

RG-SAM系统支持用户预缴费自助开通功能。具备人性化的用户账号到期自动提醒功能,可以自定义提醒条件。

第 40 页 共 73 页

4.5.5.3、便利的接口,支持信息系统的集成

现在很多学校的EMAIL、一卡通等业务系统使用了基于LDAP的用户身份管理系统达到了多业务系统共享同一用户身份信息。

SAM按照扁平树,明文密码,指定UserID和UserPassword的字段的方式来实现对基于LDAP的用户身份信息共享。达到降低系统集成部署成本,节省客户TCO(总拥有成本)的目的。另外,通过对LDAP协议的支持,可方便实现统一身份管理。通过提供易用多样的第三方接口,为与一卡通之类的统一结算平台的对接提供了便利。

4.5.5.4、集团用户简化运营

集团用户是校园网实际运行中的特殊需求应运而生的。集团用户是指校园网内部的某些部门或者独立机构,比如公共机房,个别独立建立网络的院系等。对于这些部分,学校的网络中心往往无

第 41 页 共 73 页

法管辖到。

对这部分用户,通过在用户中增加一个集团用户类型,可单独进行添加、修改、删除、查询用户属性扩展一个“集团用户属性”字段,来存放用户的集团用户属性;也可以有自己的账号模板,但其上网不收取费用;另外,RG-NTD可以根据集团用户IP对照表,对相关流量信息进行记录,但可不计费

4.5.5.5、清晰的流程化故障处理

SAM基于自助的报修和丰富的日志,形成了一套以自助报修、日志定位、故障排除为处理流程的全套故障解决流程。(如上图)

通过自助报修简化了用户报修过程,提升了学校的专业形象;而SAM所具有的丰富的日志功能能够帮助支持人员更快捷更准确的定位用户故障;同时也提高了故障处理效率,方便了运营管理,尽

第 42 页 共 73 页

可能的维护了最终用户的权益。

4.5.6、易管理

4.5.6.1、为校园网独身打造的AGTS,方便管理维护用户账号

RG-SAM系统采用AGTS的用户管理模式,通过完整的组策略,将系统中的服务、计费策略、接入控制、接入时段、账号模板、用户组等功能进行全面系统组织,利于系统配置和管理;

上面所说的AGTS即账号(Account)、组(Group)、Template(模版)、Setting(设置),它的使用让管理员可以在设置的时候使用最少量的对应关系,从而大大提高帐户管理的效率。

第 43 页 共 73 页

4.5.6.2、丰富而强大的IP地址管理功能

网络SAM系统有多种IP管理模式:客户端IP地址强制自动获取、强制手动指定、服务器固定分配等。而且可以通过在服务器端设置IP段对用户IP地址进行分类管理,按照用户组对IP地址进行统一分配。可以有效管理资源有限的IP地址,杜绝用户之间抢占IP、地址冲突等混乱现状。

其中,首次登录自动绑定用户账号、IP、MAC、交换机IP、PORT等的功能,极大程度减轻了用户管理维护的工作量。

网络独有的DHCP Option82功能可以为不同等级权限的用户分配不同的类型的IP地址。结合ACL与策略路由功能,可以实现对不同权限的用户进行不同等级的网络访问控制,充分满足多层次的访问权限管理需求。

Option82功能可以按事先设定的权限实现如下IP地址分配: 动态私有IP 动态公网IP

动态固定私有IP(即每次分配IP地址都一样) 动态固定公网IP(即每次分配IP地址都一样)

第 44 页 共 73 页

4.5.6.3、用户时段控制功能

RG-SAM系统支持对用户上网实现每天24小时的任意时间段进行严格管理控制,同时支持对日常设置、周日设置、节日设计三种不同的自定义功能,实现灵活、方便、人性化的时段控制功能。而且最小可以小时为单位进行自由设置费用优惠时段。

SAM全面满足了各种时段控制背景,特别对于校园网内学生上网行为控制非常有效。

4.5.6.4、丰富的消息提示,方便的与最终用户进行沟通

消息提示包括全局通知信息、私有通知信息、认证失败原因信息、用户下线原因信息、自动欠费预通知信息、实时短消息信息。通过全局通知信息和私有通知信息可以让用户在认证时看到相关

第 45 页 共 73 页

的通知信息。认证失败原因信息、用户下线原因信息可以让用户准确的知道自己为何认证失败或者为何下线,从而为下一步的处理提供依据。自动欠费预通知信息可以让用户在费用快到期时得到系统自动的提示,从而保障用户使用的连续性并减少管理员的管理工作。实时短消息是指用户在接入网络的过程中,管理员可以实时的向单一、部分或者全部用户发送消息。

通过全局通知信息和私有通知信息可以让用户在认证时看到相关的通知信息。认证失败原因信息、用户下线原因信息可以让用户准确的知道自己为何认证失败或者为何下线,从而为下一步的处理提供依据。自动欠费预通知信息可以让用户在费用快到期时得到系统自动的提示,从而保障用户使用的连续性并减少管理员的管理工作。实时短消息是指用户在接入网络的过程中,管理员可以实时的向单一、部分或者全部在线用户发送消息,保障信息在最短的时间传递到在线用户。

第 46 页 共 73 页

4.5.6.5、完善的系统定制功能

SAM提供丰富完善的系统定制功能,便于运营者根据运营策略和实际情况来选择定制相关功能。

自助服务系统个性化定制,以适应各种不同的用户运营环境;

在线用户等统计信息的定制有利于满足各种数据分析,以便更方便掌控网络。

第 47 页 共 73 页

管理员权限的定制有利于系统管理的安全性,做到各司其职;

另外,RG-SAM系统支持自定义多种服务类别,根据访问权限不同,收费标准也不同。

4.5.6.6、用户自助服务

RG-SAM系统支持用户注册、开户、充值、修改资料、账号暂停及销户等操作全自助进行,并且可打印开户账单,为用户提供详细网络信息;以及方便灵活的用户自助转账功能,可以有效化解用户运营方矛盾,平衡双方利益,进一步增强SAM系统的可运营性。

第 48 页 共 73 页

下图为用户通过登录web自助服务器方式,自助注册账号,然后由管理员审核激活功能。大大减少了学校开通账号的工作量。

4.5.6.7、公用服务功能,方便新开账号用户的账号停用用户使用公用服务自助开通帐户

RG-SAM系统具备公用服务功能,可以对新开账号、注册账号、停用账号、欠费暂停账号等提供正常网络访问服务。访问时间可以由网络管理员自定义为每天n次,每次n秒钟(n为自然数)。

第 49 页 共 73 页

本文来源:https://www.bwwdw.com/article/8xdp.html

Top