安全园区网的建设

普 通 高 等 教 育 考 试

题 目 成 绩 姓 名 考 号 专 业 指导教师 工作单位 职 称

毕业设计论文（本科）

年 月

1

日

安全园区网的建设

【摘要】本题设计建设对象为1000户居民的小区，共有20栋楼盘，目的是为其建立一个可扩展的、高速的、安全的、充分冗余的、基于标准的网络，选用设备为cisco产品。

【关键字】园区网，安全，VLAN，ACL 【正文】

序言

随着网络技术的飞速发展,网络用户的数量急剧增加,各种

网络应用系统也逐渐普及,这就使得网络的安全性、高效性及其可靠性问题日益突出,如何构建一个安全可靠的园区网络,就成为当前网络发展中面临的一个重要问题。地址盗用、非法用户、网络原始的直接接入方式存在IP病毒泛滥等多种问题;传统认证方式对园区网中大数量数据包繁琐的处理造成了网络传输瓶颈,通过增加其他网络设备来解决传输瓶颈的问题又势必造成网络成本的提升,这些均无法满足校园网对网络安全性、高效性

2

和可靠性的要求。对于构建一个安全的园区网应该采用如下基本原则：

1 采用先进、成熟的技术

在规划网络、选择网络技术和网络设备时 ,一定要采用先进、成熟的技术 ,只有这样 ,才能保证建成的网络有良好的性能 ,从而有效地保护建网投资 ,保证网络设备之间、网络设备和计算机之间的互联 ,以及网络的尽快使用、可靠运行。 2 遵循国际标准

坚持开放性原园区网的建设应遵循国际标准 ,采用大多数厂家支持的标准协议及标准接口 ,从而为各机、各操作系统的互联提供极大的便利和可能。 3 网络的可管理性

具有良好可管理性的网络 ,网管人员可借助先进的网管软件 ,方便地完成设备配置、状态监视、信息统计、流量分析、故障报警、诊断和排除任务。 4 系统的安全性

一方面是外部不可信用网络与本单位网络之间的互联的的安全性问题。如目前许多银行为单位提供的实时代收费业务 ,这些业务都要求银行与银行、银行与其他单位之间的网络必须

3

互联;另一方面是计算机系统自身的系统管理的安全性问题。要确保主机系统的安全 ,特别是 ROOT账户密码不能被窃。 5 灵活性和可扩充性

网络的主干设备应采用功能强、扩充性好的设备 ,如模块化结构、软件可升级 ,背板总线速度高、吞吐量大。主干设备的核心是园区网的中心交换机 ,它应具有很大的 MAC地址表 ,较多的优先级队列 ,背板总线速度达几十 Gbps,交换速度达到每秒几百万个数据包以上 ,有 5个以的插槽 ,可灵活选择以太网、快速以太网、千兆以太网、FDDI、ATM网络模块进行配置 ,关键元件应具有冗余备份的功能。 6 系统稳定性和可靠性

关键网络设备和重要服务器的选择应考虑是否具有良好的电源备份系统、链路备份系统 ,是否具有中心处理模块的备份 ,系统是否具有快速、良好的自愈能力等。不应追求那些功能大而全但不可靠或不稳定的产品 ,也不要选择那些不成熟和没有形成规范的产品。

第一章：构建可行的园区网

本校园网设计方案主要由交换模块和功能模块两大部分构成，拓扑图如下：

4

第一节：交换模块

1.核心层

核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。

本实例中的核心层交换机采用的是Cisco 4006交换机，上光纤模块。所有交换机通过光纤链接，其中的CoreSwitch1透过防火墙连接Internet接入路由器。以CoreSwitch1为例，具体配置如下：

1.配置核心层交换机CoreSwitch1的基本参数

5

2.配置核心层交换机CoreSwitch1的管理IP、默认网关 3.配置核心层交换机CoreSwitch1的端口参数 4.配置核心层交换机CoreSwitch1的路由功能

2.分布层

分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。

这里的分布层交换机采用的是Cisco Catalyst 3550交换机。作为3层交换机，Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口。以DistributeSwitch1为例，具体配置如下：

1.配置分布层交换机DistributeSwitch1的基本参数 2.配置分布层交换机DistributeSwitch1的管理IP、默认网关 3．配置分布层交换机DistributeSwitch1的VTP 4．在分布层交换机DistributeSwitch1上定义VLAN 5．配置分布层交换机DistributeSwitch1的端口基本参数

6

3.接入层

访问层为所有的终端用户提供一个接入点。

这里的访问层交换机采用的是Cisco Catalyst 2950 24口交换机（WS-C2950-24）。交换机拥有24个10/100Mbps自适应快速以太网端口，我们以AccessSwitch1为例进行配置介绍： 1. 配置访问层交换机AccessSwitch1的基本参数

2. 配置访问层交换机AccessSwitch1的管理IP、默认网关 3. 配置访问层交换机AccessSwitch1的VLAN及VTP

第二节 功能模块设计

1. 路由模块

在本设计中，广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的3640路由器。

7

它通过自己的串行接口serial 0/0使用DDN（128K）技术接入Internet。它的作用主要是在Internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（Access Control List，ACL），广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。

2.冗余备份模块

为了提供主干道的吞吐量以及实现冗余设计，在本设计中，我们用CoreSwitch2用过两条GigabitEthernet与核心层交换机CoreSwitch1相连一起实现2000Mbps的千兆以太网信道，其中CoreSwitch2也采用CoreSwitch1同样的设备，除加一条捆绑命令外其他设置同CoreSwitch1一样。

第二章 构建可扩展的园区网

第一节 IP/VLAN的合理规划

IP/VLAN

规划是园区网设计实现的一项重要内容，不合理的

8

规划会直接影响日后的管理维护。所谓IP / VLAN规划，就是为接入园区网的所有设备，包括交换机、路由器、防火墙、服务器、客户机、打印服务器等，分配一个惟一的IP地址，并为其指定适当的VLAN。考虑到日后的扩展、维护等问题，园区网的IP/VLAN规划不仅应符合网络设计规范，还要有规律、易记忆，能反映园区网的特点。

园区网选用的主干技术、拓扑结构不同，IP/VLAN规划也会有所区别。本文主要针对在园区网建设中应用最广泛的“千兆以太网做主干＋二级局域网络”方案，就其IP/VLAN规划需要考虑的问题进行讨论。

1． 确定园区网－内网IP地址的类型

在分配IP地址前，应首先到有关部门申请IP地址。由于Internet上IP地址比较紧张，申请到的IP地址可能不够分配给内部网的每一个设备，这时就需对有限IP地址进行规划。 该园区的1000个用户无法每人拥有一个Internet注册IP，如何解决这个问题呢？目前有两种技术，一种是地址池，就是申请比较少的Internet合法IP地址组成地址池，有用户需要链入网络是从地址池中取一个，用完再还到池中。第二种是地址转换，只用一个公网地址，园区内网需要连入公网时用唯一的公

9

网地址加一个端口号组成地址。

2． 规划主交换机端口VLAN 及网络设备IP 网络中的主交换机提供了到各楼宇二级交换机的连接，因此为主交换机的端口指定VLAN 是规划整个内部网的关键。将网络中的主交换机、二级交换机都划到VLAN11，实现对网络设备安全、有效管理。

3． 规划虚拟局域网IP地址

在具有三层交换功能的园区网中，可以按照物理建筑划分虚拟局域网；也可以按职能部门划分虚拟局域网（VLAN），VLAN成员可以不受地理位置的限制。

VLAN划分分为两类，根据接入层交换机的端口划分称为静态VLAN，根据网卡的MAC地址划分称为动态VLAN。当园区网规模较大时，动态VLAN实现较为复杂，一般较少采用；应用最多的还是静态VLAN。为了方便日后的维护管理，VLAN与IP子网之间一般是一一对应的关系。

针对有些部门办公地点分散在几栋楼宇的情况，可以将对应楼宇交换机的指定端口统一划到一个指定VLAN。这正是使用VLAN技术的优势， 其成员不受地理位置的限制。 4．规划防火墙、路由器、服务器的IP地址

10

WWW/MAIL/DNS服务器、防火墙内网卡、防火墙的外网卡、路由器以太网口1、路由器以太网口2、路由器广域网口1应该使用从ISP申请到的合法IP。

5．规划园区网内网用户的IP地址

规划完子网与VLAN，接下来就要考虑园区网用户IP的分配方式。

针对用户比较集中、信息点位置相对固定的情况，建议使用静态IP。这对于日后的管理、维护、故障排查非常重要，管理员可以根据IP地址迅速确定主机所在位置。使用静态IP，园区网用户与联接交换机的端口处于同一VLAN。为方便新的用户IP地址的分配，应做好现有用户IP地址的记录。 当用户变动较大，信息点数量无法准确计算时，建议使用动态IP。动态IP的优势在于方便用户使用，特别适合计算机基础较弱的用户群体。用户只需要将网络属性中的IP地址栏设成自动获取，用户的本机IP、缺省网关、DNS、WINS等关键信息，会自动从DHCP服务器中得到。

使用DHCP服务器可以大大减轻管理员的工作，但也会带来一些新的问题，例如：需要用一台主机提供DHCP服务；在上网计算机较多的情况下，如果DHCP服务器不稳定，会出现IP不

11

能回收、IP发放不出去等问题。 6．园区网内网NAT实现

当园区网的IP / VLAN规划基本完成后，要采用网络地址转换（NAT）技术，即通过1 个或几个外部IP 地址来实现园区网－内网用户访问Internet。目前支持NAT的产品非常多，可以是软件，比如Winrouterpro、Sygate、Wingate、Winproxy 等；也可以是硬件，比如路由器、防火墙。 我们才用的是路由模块来完成。

第二节 服务器模块的扩展

服务器模块用来对校园网的接入用户提供各种服务。在本设计方案中，所有的服务器被集中到VLAN 100构成服务器群并通过分别层交换机DistributeSwitch1的端口fastethernet 1～20接入校园网。如图所示。

服务器群

园区网络中常见的服务器包括： WEB服务器：提供WEB网站服务。

DNS、目录服务器：提供域名解析以及目录服务。

12

FTP、文件服务器：提供文件传输、共享服务。 邮件服务器：提供邮件收发服务。 打印服务器：提供打印机共享服务。

流媒体服务器：提供各种流媒体播放、点播服务。 网管服务器：对校园网网络设备进行综合管理。

第三章 构建安全的园区网

第一节 ACL在园区网中的应用

ACL：Accesscontrollist，即为“访问控制列表”，它是一个永久性的列表，列示出了各个主体（如用户和用户组）访问资源的权限，通常用在文件系统的描述中，由文件系统维护这样的一个永久性的列表，以定义用户和组对文件和目录访问的许可权限。在网络环境中普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计：

（1）对外屏蔽简单网管协议，即SNMP

利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。如图所示，显示了如何设置对外屏蔽简单网管协议SNMP。

13

对外屏蔽简单网管协议SNMP

（２）对外屏蔽远程登录协议telnet

首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。如图所示，显示了如何对外屏蔽远程登录协议telnet

对外屏蔽远程登录协议telnet

（３）对外屏蔽其它不安全的协议或服务

这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，如图所示。

14

图2-1 对外屏蔽其它不安全的协议或服务

（４）针对DoS攻击的设计

DoS攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。图显示了如何设计针对常见DoS攻击的ACL

（５）保护路由器自身安全

作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。

15

应只允许来自服务器群的IP地址访问并配置路由器。这时，可以使用ACCESS-CLASS命令进行VTY访问控制。如图所示。

图2-1 保护路由器自身安全

第二节：配置身份认证

对远程的用户进行身份认证也是一个保护网络必要的步骤。

PPP提供了两种可选的身份认证方法：口令验证协议PAP（Password Authentication Protocol，PAP）和质询握手协议（Challenge Handshake Authentication Protocol，CHAP）。 PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。 CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为\"挑战字符串\"。如图14-1-5所示。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。

16

CHAP对端系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源，因此只用在对安全要求很高的场合。

PAP虽然有着用户名和密码是明文发送的弱点，但是认证只在链路建立初期进行，因此节省了宝贵的链路带宽。 本设计中将采用PAP身份认证方法。

（1）建立本地口令数据库。如图所示建立本地口令数据库。

建立本地口令数据库

（2）设置进行PAP认证

建立本地口令数据库

第三节 网络入侵检测防御技术

在 IDS（网络入侵检测防御） 尚未出现时，网络安全管理人员主要依靠人工阅读网络日志来分析是否有网络入侵事件的发生。随着网络的发展，据统计数字表明入侵和攻击的模式发生了变化。在2003年，70%的攻击主要来自于外部网络，另30% 的攻击来自于内部。从而促使网络安全领域对网络入侵检测技术

17

进行研究，并提出了IDS。随着网络入侵检测防御技术的发展，先后有基于行为的入侵检测技术，基于知识的入侵检测技术，基于时间线的入侵防御系统，目前最可靠的还是后者基于时间线的入侵防御系统，它主要的目的就是将目前在时间线上离散的各项安全技术综合起来，实现一种新的安全系统，该系统使用的安全技术在时间线上的作用范围是连续的，也即其中每项安全技术具有对其它安全技术的反馈作用。它主要具有以下特点:入侵前期的各项技术如安全策略配置等，可以利用它们的信息对入侵零点检测技术如IDS/IPS 系统进行配置，从而提高这类技术对入侵行为检测的准确度。而且该配置过程可以实现连续和自动化。

根据时间线的三个部分，对各项安全技术划分成三个部分:第一部分是针对入侵前期，这类技术主要分为三个类，一类是安全规章制度，安全策略的配置等，第二类是对网络进行当前已知的各项漏洞进行检测，第三类是通过专人对网络进行实际的入侵检测厂这部分的技术的主要目的是预先评估和增强网络的安全性，减少被入侵的可能性。第二部分是针对入侵时间零点，这部分的安全技术要针对的是正在进行的入侵活动，它又分成二类。第一类是诸如防火墙的访问控制技术和本文以上所

18

介绍的IDS和IPS系统。它们是在当入侵活动发生时，及时检测和阻止入侵活动。第三部分即是入侵后处理技术，这一部分有安全事件管理系统和安全信息管理技术，以及对入侵造成的破坏的恢复技术。

目前世面上的网络入侵检测防御技术软件还不是很多，主要有NetWatch，黑盾等。

结语

在人们日益追求生活质量和工作效率的今天，网络的重要性已经不言而喻了。这使的人们开始花费大量的精力和财力来研究网络，许多公司企业也花巨资建设网络，网络已经成为一个非常有潜力的行业，各项新技术让我们的网络越来越智能，越来高效，越来越安全，关于安全园区网的研究我们会一直研究下去。

【参考文献】

《网络入侵检测》

19

指导教师评语： 指导教师签名： 年 月 日 20

答辩委员会（小组）成员 姓名 职称 工作单位 备注 21

答辩委员会（小组）对设计答辩的评语及成绩的评定： 成绩： 答辩委员会（小组）主任（组长）签名：

22