科学架设和优化校园组网结构 提升内部网络访问和管理水平

Slides:



Advertisements
Similar presentations
晏宏斌工程师 2014 年 9 月 “ 宽带网络校校通 ” 校园网建设要点和基础维护方法. – 中小学校园网络建设要点 – 常见网络故障处理基本方法 目 录目 录.
Advertisements

支援不同網際網路供應商路由 之線路備援機制 黃政欽 育達商業技術學院資管研究所
明新科技大學 電子計算機中心 盧裕溢 中心主任 1.  系統建置歷程  資料收集與管理方式  系統整合  學習歷程資料呈現  基本能力與畢業門檻資料查詢  系所課程地圖與目標人才設定  目標人才與 104 職缺對應  E 履歷與 104 履歷串接  UCAN 職能平台測驗分析 
大学计算机基础—— 系统工具与环境 (理工科用) 赵 欢 肖德贵 李丽娟 洪跃山 编著.
RG-S2600-S系列安全智能交换机主打胶片 睿易产品和解决方案市场部
第6章:计算机网络基础 网考小组.
大学计算机基础 (省精品课程) 计算机网络技术 (第八章) 华南农业大学  信息学院 1.
构建中型网络.
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
Curelan公司產品 網路日誌事件監控設備(Flowviewer)
第2章 黑客常用的系统攻击方法.
数字化校园建设与思考 扬州大学信息中心 沈 洁 2017年3月3日.
2011年“神州数码杯”省职业学校信息化教学大赛内容解读
数据通信与计算机网络 第1讲 绪论 浙江万里学院 邵鹏飞.
计算机网络高级工 梁绍宇.
2.4 计算机网络基础 什么是计算机网络? 计算机网络有哪些功能? 计算机网络的发展历史? 计算机网络体系结构的内容? 计算机网络如何分类?
龙芯多媒体电脑教室培训 龙梦极域电子教室 江苏龙芯梦兰科技股份有限公司.
彭江波.
信息犯罪与计算机取证 第三章计算机入侵.
中小型单位网络管理员面临的苦恼 工欲善其事,必先利其器 中小企业也需要: 网络管理软件 用户管理软件 移动办公矛盾凸显: 管理员
VOLANS认证培训 ——ARP攻击与防御.
第四章 网络层 网络层 网络层 网络层 网络层 网络层.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
《计算机网络技术》 课程整体设计介绍.
05 跨交换机实现同一VLAN中设备通信 淄博信息工程学校 计算机网络技术专业
模块四 网络设备选型.
网络工程规划与设计.
热烈欢迎 华容县各位领导参加教育信息化网络培训! 2015年8月.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
VOLANS认证培训 ——网络技术常见术语解析.
计算机系统与网络技术 第14讲 局域网构建技术 讲课教师:常姗
第9周 DHCP的安装与配置 计算机网络基础.
小学组全国总冠军.
第5章 交换机的选择和安装配置 教学目的: 在掌握交换机的基本原理和基本功能基础上,进一步学习交换机的分类、性能指标、选择,交换机的配置, 端口技术,VLAN技术,STP技术,交换机的管理等应用技术。
2017/4/6 课程整体设计 计算机组网技术 梁建华.
大 纲 一、备案系统数据迁移方案 二、备案系统过程数据处理方案 三、备案系统内存量数据核验方案 四、新备案系统信息真实性核验方案※
第7章 企业网设计 天津大学 计算机科学与技术学院 饶国政 博士.
企业网搭建及应用 重庆市永川职业教育中心
宽带路由器配置与应用.
网络地址转换(NAT) 及其实现.
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
實驗 3:Layer 2 交換器裝置之安全性設定與操作
第11章 網路資源的應用 11-1 認識網際網路 11-2 網際網路的應用.
以SNMP偵測阻斷區域網路ARP欺騙行為
聚合端口.
ARP Spoofing -ARP 攻擊- 報告者 A 洪靖雅.
第 2 章 TCP / IP 簡介.
知 识 回 顾 1、简述路由器的端口类型及其功能。 2、简述路由器的工作原理。 3、简述路由器的常用工作模式。
校園網路電話專案 建置說明 2018/12/6 D-Link Taiwan Version 1.03.
江西财经大学信息管理学院 《组网技术》课程组
劉大川1、陳一瑋2、 陳昌盛1 、林盈達1,2 1交通大學 計算機與網路中心 2交通大學網路測試中心 2008/10/20
第 17 章 網路規劃 著作權所有 © 旗標出版股份有限公司.
交換器(Switch)功能介紹.
网络系统设计与网络处理器 主讲:华蓓 实验室:电一楼(安徽省计算与通讯软件重点实验室) 电话:
常見網路設備簡介 A 周緯龍.
计算机网络技术及应用 制作:重庆大学 郭松涛.
Network Application Programming(3rd Edition)
基于DHCP的 校园网准入及无感知方案研究 作者 王道佳 马严 黄小红 北京邮电大学网络技术研究院.
Windows XP 簡易網路檢查 edo.
Chapter3 建立與設定區域網路 網路應用入門(一) Chapter3 建立與設定區域網路
Source: Journal of Network and Computer Applications, Vol. 125, No
網路安全管理 期末報告 A 許之青 24/04/2019.
校园常见网络管理设备 2018年 5月4日 南京市玄武中等专业学校 陈华
實驗目的: 明瞭無線網路基地台及無線區域網路之設定
第十七讲 网络系统的规划与设计.
大数据 西默路由器功能指导配置 上海西默通信技术有限公司
万方数据知识服务平台 论文相似性检测 培训师:何娟
基于C#的.NETFramework 程序设计语言
指導老師:王偉德 老師 學生:賴政揚 林怡君 戴明宏
DDoS A 林育全.
Presentation transcript:

科学架设和优化校园组网结构 提升内部网络访问和管理水平 段运生 ysduan@ahu.edu.cn

用户上网感知的影响因素

目录 优化校园网拓扑 合理配置网络设备 建立完备的监控体系

网络拓扑结构

常见的拓扑问题 1、核心交换与网络末端设备间跳接过多的网络设备; 2、设备的性能和网络拓扑层次不匹配; 3、设备性能:端口速率、背板带宽、包转发率、吞吐量、最大连接数

环形主干+链路捆绑

双链路汇聚

目录 优化校园网拓扑 合理配置网络设备 建立完备的监控体系

基于端口的VLAN Host A和Host C属于部门A,但是通过 不同的设备接入公司网络;Host B和 Host D属于部门B,也通过不同的设 备接入校园网络。为了通信的安全性, 以及避免广播报文泛滥,网络中使用 VLAN技术来隔离部门间的二层流量。 其中部门A使用VLAN 100,部门B使 用VLAN 200。

端口隔离 为了实现报文之间的隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间数据的隔离。 Site 1和Site 2是两个部门,分别在VLAN 2和VLAN 3上承载业务,为了实现报文之间的隔离,可以 将不同的端口加入不同的VLAN,但会浪费有限 的VLAN资源。采用端口隔离特性,可以实现同 一VLAN内端口之间的隔离。用户只需要将端口 加入到隔离组中,就可以实现隔离组内端口之间 数据的隔离。并接入Device A。 Device A通过Ten-GigabitEthernet1/0/1端口与外部 网络相连。 希望这两个部门都可以通过Device A和外部网络 通信,但两部门内部的二层流量都互相隔离。

链路备份 在A设备上建立两个互为备份 的二层接口A1和A2,其中A1处 于活动状态,A2处于阻塞状态。 此时,网络中的业务流量路径 为蓝色线条所表示。如果A1链 接的Link1链路故障,那么A2立 刻切换为非阻塞状态。当业务 流量切换完成后,网络中的流 量路径为图中的红色线条表示。

环路预防 开启生成树协议,防止 接入层交换机上发生环 路; 下联口开启BPDUGUARD, 防止下联普通交换机发 生环路 下联口开启Portfast(使 交换机跳过侦听学习状 态而进入STP转发状态), 设置连接PC的边缘端口

二层链路聚合 链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组, 使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条 逻辑链路。 链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担,以增加 带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连 接可靠性。

二层链路聚合 1、Device A和Device B之间提供较大的链路带宽来使相同VLAN内的用户互相通信。 2、捆绑一起的链路形成相互动态备份,提高数据传输的可靠性。  1、由于上网终端不断增加,要求接入层具有易管理能力和强扩展能力,可以提供更多的端口来满足PC的接入需求。 2、由于接入层的流量增加,要求增强接入层到汇聚层的链路具有较高可靠性,且可实现流量的负载分担。

广播风暴抑制

DHCP协议

DHCP SNOOPING  根据项目组的规模,分配不同范围的IP地址,为 group1分配192.168.0.2~192.168.0.39之间的IP地 址,为group2分配192.168.0.40~192.168.0.99之 间的IP地址,为group3分配192.168.0.100~ 192.168.0.200之间的IP地址; 保证客户端从合法的服务器获取IP地址; 禁止用户通过配置静态IP地址的方式接入网络。 在多个DHCP Snooping设备级联的网络中,为了 节省系统资源,不需要每台DHCP Snooping设备 都记录所有DHCP客户端的IP地址和MAC地址的绑 定信息,只需在与客户端直接相连的不信任端口 上记录绑定信息。间接与DHCP客户端相连的不信 任端口不需要记录IP地址和MAC地址绑定信息, 需要配置绑定关系的不信任端口。 在DHCP Snooping设备上指向合法的DHCP服务器 方向的端口需要设置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文, 保证DHCP客户端能够从合法的DHCP服务器获取 IP地址。

ARP报文泛洪攻击 防止因恶意用户对网关发送大量ARP请求/应 答报文,造成设备瘫痪,并导致其它用户无 法正常地访问外部网络;同时,对于正常的 大量ARP请求/应答报文仍然会进行处理。 配置源MAC固定ARP报文攻击检测的阈值 配置源MAC固定的ARP防攻击检测表项的老 化时间 配置保护MAC

防止仿冒用户、仿冒网关攻击典型 通过在接入交换机上全面部署ARP攻击防御相关特性, 形成保护屏障,过滤掉仿冒用户、欺骗网关的攻击报 文。 为防止仿冒用户、欺骗网关等ARP攻击形式,可以在 接入交换机上配置ARP Detection功能,通过ARP Detection功能对ARP报文的有效性和用户合法性进行 检查,以达到防止仿冒用户、欺骗网关的目的。 根据组网情况,配置ARP Detection功能的用户合法性 检查采用基于IP Source Guard静态绑定表项的检查(针 对需要配置静态IP地址访问网络的主机)和DHCP Snooping安全表项的检查(针对通过DHCP服务器动态 获取IP地址的主机,并且需要在接入设备上开启DHCP Snooping功能)。 在配置ARP Detection功能后,为防止ARP泛洪攻击对 ARP Detection功能的影响,在Switch A和Switch B所有 直接连接客户端的端口上开启ARP报文限速功能。

动静态绑定表项 在Switch A的端口GigabitEthernet1/0/1上为Host A创建静态 绑定表项。 Host A的MAC地址为00-01-02-03-04-05,IP地址通过手工配置, 为192.168.0.1/24。 Host B,Host C通过DHCP Server动态获取IP地址。 Switch A上开启DHCP Snooping功能,记录客户端的DHCP Snooping表项。 Switch A的端口GigabitEthernet1/0/1上配置静态绑定表项,只 允许Host A发送的报文通过,在端口GigabitEthernet1/0/2, 端口GigabitEthernet1/0/3上开启动态绑定功能,防止客户端 使用伪造的不同源IP地址对服务器进行攻击。 在Switch A的端口GigabitEthernet1/0/1上为Host A创建静态 绑定表项。 开启Switch A的DHCP Snooping功能,并配置上行口为 DHCP Snooping信任端口。  在Switch A的端口GigabitEthernet1/0/2,端口 GigabitEthernet1/0/3上开启IP Source Guard动态绑定功能, 利用IP Source Guard的动态绑定功能防止客户端使用伪造 的不同源IP地址对服务器进行攻击。

动静态绑定表项

基本路由功能 普通报文的转发依据报文的目的地址查询转发表来实现

策略路由功能 1、访问网通的网络走网通线路 2、访问其他网络使用负载均衡的方式分别走两条电信线路 3、电信中断后网通备份

单播反向路径转发 在ISP网络中存在DoS (Denial of Service)攻击, 导致网络中的用户无法正 常访问,运营商希望能够 在出口设备上对报文的源IP 地址进行验证,阻止非法 用户用伪造的源IP地址进行 DoS攻击。 配置URPF功能,对用户报 文的源地址进行反查。在 ISP与用户端,配置严格 URPF。

防火墙

访问控制配置 192.168.1.0/24、 192.168.2.0/24、 192.168.3.0/24分别属于A、B、C三 个部门。工作时间为每周工作日的8 点到18点。  通过在安全域间实例上配置包过滤, 允许A在任意时间、B在工作时间访 问数据库服务器,禁止其它部门在 任何时间、B在非工作时间访问该服 务器。

连接数限制 192.168.0.0/24网段的每台主机 最多只能与外网建立100条连 接,其他网段的主机不作限制。 同一时刻DNS服务器只接受 10000条查询请求。 同一时刻Web服务器只接受 10000条连接请求。

攻击检测与防范(单包攻击、扫描攻击及泛洪攻击) 为防范外部网络对内部网络主机的Smurf攻击和扫 描攻击,需要在接口GigabitEthernet1/0/2上开启 Smurf攻击防范和扫描攻击防范。具体要求为:低 防范级别的扫描攻击防范;将扫描攻击者添加到 黑名单中(老化时间为10分钟);检测到Smurf攻 击或扫描攻击后,输出告警日志。 为防范外部网络对内部服务器的SYN flood攻击, 需要在接口GigabitEthernet1/0/2上开启SYN flood 攻击防范。具体要求为:当设备监测到向内部服 务器每秒发送的SYN报文数持续达到或超过5000 时,输出告警日志并丢弃攻击报文。

网络应用变迁带来的挑战

带宽限制 对三个网段的P2P流量分别限速7M、2M、 1M,对流媒体总体限速20M,对其它流 量总体限速70M。3种流量总带宽共 100Mbps。 有需要时,在总体限流的基础上对每个 IP用户进行限速10kbps。

目录 优化校园网拓扑 合理配置网络设备 建立完备的监控体系

基于SNMP的监测技术

网络设备监控 1、端口的实时数据流量 2、广播风暴:广播包和非广播包 3、线路问题:错误数据数量 4、CPU 5、温度 6、连接数

基于FLOW的监测技术

异常流量告警

DHCP监控-dhcpstatus

DNS监控

URL监控

WEB应用审计

NAT日志

谢谢!