校园网络IP地址分配策略和管理

由于高校校园网规模的不断扩大, 用户类型的不同, 以及网络应用的扩展等因素, 要求我们在校园网络的IP地址分配和管理方面, 采用灵活务实的策略满足各种网络应用需要, 为学校教学、科研服务。

我们以某学院为例, 该学院多媒体校园网络建于1999年, 目前网络范围基本覆盖整个学院。整个网络采用三层网络结构1000Mbps快速以太网技术, 核心网络设备通过一台思科路由器接入到互联网, 在网络核心使用一台阿尔卡特7700交换机, 所有的二层交换机为可管理的基于IOS的交换机。对于宿舍区, 用一台方正防火墙进行管理。

目前, 学院办公、教学电脑采用真实IP地址上网。在宿舍区, 由于IP地址数量不足, 该部分采用防火墙进行网络地址转换。

1 使用VLAN技术分配办公、教学电脑

VLAN (Virtual Local Area Network) 即虚拟局域网, 遵循IEEE 802.1Q协议标准, 是一种将网络设备在逻辑上划分为多个网段的虚拟工作组技术。这种技术应用于办公、教学电脑, 即学院各部门、多媒体课室、实验机房的上网电脑, 将同一个部门分布在不同物理位置的电脑在逻辑上划分为同一网段, 既可以享有同一网段的便利, 又可以将不同部门的信息在二层上隔离。

如表1所示, 我们将不同部门的电脑划分为各自的V L A N。

配置的关键命令如下: (以创建VLAN101为例)

vlan 101 name network;/创建VLAN101, 同时设置一个描述/

vlan 101 route ip 200.200.100.1 mask255.255.255.0 forward e2;

/为VLAN101配置一个IP router port200.200.100.1, 子网掩码为255.255.255.0, 路由转发状态为forwarding, 路由端口为Ethernet-II格式, 使VLAN101可以路由本V L A N内数据到其它子网/

2 使用ACL技术实现网络层权限控制

ACL (Access Control List) 是Cisco IOS所提供的一种访问控制技术, 初期仅在路由器上支持, 近些年来已经扩展到三层交换机。ACL使用包过滤技术, 在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等, 根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的。下文所有的配置实例均基于Cisco IOS的ACL进行编写。

2.1 关闭常见易受攻击的端口

T C P/I P协议中的端口范围是从0到65535, 因为IP地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。由于近年来互联网上病毒泛滥, 很多病毒借助某些端口进行传播和攻击, 譬如冲击波病毒和震荡波病毒。因此对于常见易遭受攻击端口进行封堵, 就显得尤为重要。如下控制列表access-list 120就是专门针对常见漏洞端口设计的, 将其应用在边界路由上, 便能够抵御来自互联网的大部分常见攻击。

访问控制列表access-list120及其作用:

access-list 120 deny tcp any any eq 5800access-list 120 deny tcp any any eq 5900用于防止受感染的系统被远程控制;

access-list 120 deny tcp any any eq 6667access-list 120 deny tcp any any eq 6588用于控制IP Protocol为255和0的流量;access-list 120 deny tcp any any eq 69access-list 120 deny tcp any any eq 135用于控制冲击波病毒的扫描和感染;

access-list 120 deny tcp any any eq 5554access-list 120 deny tcp any any eq 445用于控制震荡波病毒的扫描和感染;

access-list 120 permit ip any any

2.2 对网络设备的安全控制

交换路由设备默认是启用H t t p服务和Telnet服务的, 为了安全起见, 我们需要进行如下的安全控制。

2.2.1 关闭网络设备的Http服务

关闭交换路由设备的HTTP服务, 采用如下指令:no ip http server

HTTP服务是Cisco交换路由设备提供的Web管理服务, 但其存在一些安全漏洞, 所以最好将其关闭。

2.2.2 只允许网管电脑对交换路由设备的访问

网络控制部门的电脑在network网段内, 现在只允许源地址为200.200.100.2的包通过, 其它的包全部过滤掉。

access-list 1 permit host 200.200.100.2

line vty 0 4 (部分设备是15)

access-class 1 in

这里line vty 0 4代表我们使用Telnet登录交换路由设备时使用的几个虚拟接口。Telnet都是访问的设备上的line vty, 在line vty下面使用access-class与ACL组进行关联, in关键字表示控制进入的连接。这条规则应用之后, 只有从主机200.200.100.2发起的Telnet请求才会被接受。

我们来分析一下这个需求, 浏览internet现在基本上都是使用http或https进行访问, 标准端口是TCP/80端口和TCP/443, MSN使用T C P/1 8 6 3端口, Q Q登录会使用到TCP/UDP8000这两个端口, 还有可能使用到udp/4000进行通讯。而且这些软件都能支持代理服务器, 目前的代理服务器主要布署在TCP 8080、TCP 3128 (HTTP代理) 和TCP1080 (socks) 这三个端口上。这个需求如表2所示。

关键代码如下:

摘要：本文针对目前高校校园网的现状, 介绍常用的几种IP地址的分配策略:VLAN技术、ACL技术以及由此扩展开的网络管理, 并提出可行的管理操作模型。

关键词：VLAN技术,ACL技术,路由器,主干交换机

参考文献

[1] 赵刚.Rajesh Kumar Sharma.NIIT.Cisco网络安全宝典[M].北京:电子工业出版社, 2002.

[2] 诸晔.用ACL实现系统的安全访问控制[J].计算机应用与软件, 2005, 3.

[3] 阿尔卡特.OmniSwitch.7000.UserManuals.