科学架设和优化校园组网结构 提升内部网络访问和管理水平 段运生 ysduan@ahu.edu.cn
用户上网感知的影响因素
目录 优化校园网拓扑 合理配置网络设备 建立完备的监控体系
网络拓扑结构
常见的拓扑问题 1、核心交换与网络末端设备间跳接过多的网络设备; 2、设备的性能和网络拓扑层次不匹配; 3、设备性能:端口速率、背板带宽、包转发率、吞吐量、最大连接数
环形主干+链路捆绑
双链路汇聚
目录 优化校园网拓扑 合理配置网络设备 建立完备的监控体系
基于端口的VLAN Host A和Host C属于部门A,但是通过 不同的设备接入公司网络;Host B和 Host D属于部门B,也通过不同的设 备接入校园网络。为了通信的安全性, 以及避免广播报文泛滥,网络中使用 VLAN技术来隔离部门间的二层流量。 其中部门A使用VLAN 100,部门B使 用VLAN 200。
端口隔离 为了实现报文之间的隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间数据的隔离。 Site 1和Site 2是两个部门,分别在VLAN 2和VLAN 3上承载业务,为了实现报文之间的隔离,可以 将不同的端口加入不同的VLAN,但会浪费有限 的VLAN资源。采用端口隔离特性,可以实现同 一VLAN内端口之间的隔离。用户只需要将端口 加入到隔离组中,就可以实现隔离组内端口之间 数据的隔离。并接入Device A。 Device A通过Ten-GigabitEthernet1/0/1端口与外部 网络相连。 希望这两个部门都可以通过Device A和外部网络 通信,但两部门内部的二层流量都互相隔离。
链路备份 在A设备上建立两个互为备份 的二层接口A1和A2,其中A1处 于活动状态,A2处于阻塞状态。 此时,网络中的业务流量路径 为蓝色线条所表示。如果A1链 接的Link1链路故障,那么A2立 刻切换为非阻塞状态。当业务 流量切换完成后,网络中的流 量路径为图中的红色线条表示。
环路预防 开启生成树协议,防止 接入层交换机上发生环 路; 下联口开启BPDUGUARD, 防止下联普通交换机发 生环路 下联口开启Portfast(使 交换机跳过侦听学习状 态而进入STP转发状态), 设置连接PC的边缘端口
二层链路聚合 链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组, 使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条 逻辑链路。 链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担,以增加 带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连 接可靠性。
二层链路聚合 1、Device A和Device B之间提供较大的链路带宽来使相同VLAN内的用户互相通信。 2、捆绑一起的链路形成相互动态备份,提高数据传输的可靠性。 1、由于上网终端不断增加,要求接入层具有易管理能力和强扩展能力,可以提供更多的端口来满足PC的接入需求。 2、由于接入层的流量增加,要求增强接入层到汇聚层的链路具有较高可靠性,且可实现流量的负载分担。
广播风暴抑制
DHCP协议
DHCP SNOOPING 根据项目组的规模,分配不同范围的IP地址,为 group1分配192.168.0.2~192.168.0.39之间的IP地 址,为group2分配192.168.0.40~192.168.0.99之 间的IP地址,为group3分配192.168.0.100~ 192.168.0.200之间的IP地址; 保证客户端从合法的服务器获取IP地址; 禁止用户通过配置静态IP地址的方式接入网络。 在多个DHCP Snooping设备级联的网络中,为了 节省系统资源,不需要每台DHCP Snooping设备 都记录所有DHCP客户端的IP地址和MAC地址的绑 定信息,只需在与客户端直接相连的不信任端口 上记录绑定信息。间接与DHCP客户端相连的不信 任端口不需要记录IP地址和MAC地址绑定信息, 需要配置绑定关系的不信任端口。 在DHCP Snooping设备上指向合法的DHCP服务器 方向的端口需要设置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文, 保证DHCP客户端能够从合法的DHCP服务器获取 IP地址。
ARP报文泛洪攻击 防止因恶意用户对网关发送大量ARP请求/应 答报文,造成设备瘫痪,并导致其它用户无 法正常地访问外部网络;同时,对于正常的 大量ARP请求/应答报文仍然会进行处理。 配置源MAC固定ARP报文攻击检测的阈值 配置源MAC固定的ARP防攻击检测表项的老 化时间 配置保护MAC
防止仿冒用户、仿冒网关攻击典型 通过在接入交换机上全面部署ARP攻击防御相关特性, 形成保护屏障,过滤掉仿冒用户、欺骗网关的攻击报 文。 为防止仿冒用户、欺骗网关等ARP攻击形式,可以在 接入交换机上配置ARP Detection功能,通过ARP Detection功能对ARP报文的有效性和用户合法性进行 检查,以达到防止仿冒用户、欺骗网关的目的。 根据组网情况,配置ARP Detection功能的用户合法性 检查采用基于IP Source Guard静态绑定表项的检查(针 对需要配置静态IP地址访问网络的主机)和DHCP Snooping安全表项的检查(针对通过DHCP服务器动态 获取IP地址的主机,并且需要在接入设备上开启DHCP Snooping功能)。 在配置ARP Detection功能后,为防止ARP泛洪攻击对 ARP Detection功能的影响,在Switch A和Switch B所有 直接连接客户端的端口上开启ARP报文限速功能。
动静态绑定表项 在Switch A的端口GigabitEthernet1/0/1上为Host A创建静态 绑定表项。 Host A的MAC地址为00-01-02-03-04-05,IP地址通过手工配置, 为192.168.0.1/24。 Host B,Host C通过DHCP Server动态获取IP地址。 Switch A上开启DHCP Snooping功能,记录客户端的DHCP Snooping表项。 Switch A的端口GigabitEthernet1/0/1上配置静态绑定表项,只 允许Host A发送的报文通过,在端口GigabitEthernet1/0/2, 端口GigabitEthernet1/0/3上开启动态绑定功能,防止客户端 使用伪造的不同源IP地址对服务器进行攻击。 在Switch A的端口GigabitEthernet1/0/1上为Host A创建静态 绑定表项。 开启Switch A的DHCP Snooping功能,并配置上行口为 DHCP Snooping信任端口。 在Switch A的端口GigabitEthernet1/0/2,端口 GigabitEthernet1/0/3上开启IP Source Guard动态绑定功能, 利用IP Source Guard的动态绑定功能防止客户端使用伪造 的不同源IP地址对服务器进行攻击。
动静态绑定表项
基本路由功能 普通报文的转发依据报文的目的地址查询转发表来实现
策略路由功能 1、访问网通的网络走网通线路 2、访问其他网络使用负载均衡的方式分别走两条电信线路 3、电信中断后网通备份
单播反向路径转发 在ISP网络中存在DoS (Denial of Service)攻击, 导致网络中的用户无法正 常访问,运营商希望能够 在出口设备上对报文的源IP 地址进行验证,阻止非法 用户用伪造的源IP地址进行 DoS攻击。 配置URPF功能,对用户报 文的源地址进行反查。在 ISP与用户端,配置严格 URPF。
防火墙
访问控制配置 192.168.1.0/24、 192.168.2.0/24、 192.168.3.0/24分别属于A、B、C三 个部门。工作时间为每周工作日的8 点到18点。 通过在安全域间实例上配置包过滤, 允许A在任意时间、B在工作时间访 问数据库服务器,禁止其它部门在 任何时间、B在非工作时间访问该服 务器。
连接数限制 192.168.0.0/24网段的每台主机 最多只能与外网建立100条连 接,其他网段的主机不作限制。 同一时刻DNS服务器只接受 10000条查询请求。 同一时刻Web服务器只接受 10000条连接请求。
攻击检测与防范(单包攻击、扫描攻击及泛洪攻击) 为防范外部网络对内部网络主机的Smurf攻击和扫 描攻击,需要在接口GigabitEthernet1/0/2上开启 Smurf攻击防范和扫描攻击防范。具体要求为:低 防范级别的扫描攻击防范;将扫描攻击者添加到 黑名单中(老化时间为10分钟);检测到Smurf攻 击或扫描攻击后,输出告警日志。 为防范外部网络对内部服务器的SYN flood攻击, 需要在接口GigabitEthernet1/0/2上开启SYN flood 攻击防范。具体要求为:当设备监测到向内部服 务器每秒发送的SYN报文数持续达到或超过5000 时,输出告警日志并丢弃攻击报文。
网络应用变迁带来的挑战
带宽限制 对三个网段的P2P流量分别限速7M、2M、 1M,对流媒体总体限速20M,对其它流 量总体限速70M。3种流量总带宽共 100Mbps。 有需要时,在总体限流的基础上对每个 IP用户进行限速10kbps。
目录 优化校园网拓扑 合理配置网络设备 建立完备的监控体系
基于SNMP的监测技术
网络设备监控 1、端口的实时数据流量 2、广播风暴:广播包和非广播包 3、线路问题:错误数据数量 4、CPU 5、温度 6、连接数
基于FLOW的监测技术
异常流量告警
DHCP监控-dhcpstatus
DNS监控
URL监控
WEB应用审计
NAT日志
谢谢!