【正文】 DCRS6800。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 35 頁，共 54 頁 第六章 相關(guān)產(chǎn)品技術(shù)資料 匯聚交換機(jī)（高配）： DCRS6800 技術(shù)資料 產(chǎn)品概述 DCRS6800 系列路由交換機(jī)為企業(yè)和電信網(wǎng)絡(luò)提供了優(yōu)秀的安全性、可靠性、業(yè)務(wù)多樣性和擴(kuò)展能力。 注意：當(dāng)發(fā)送上述 arp Repuest報(bào)文后，本機(jī)也回應(yīng)一個(gè) arp Response報(bào)文。（這里指的是發(fā)送方 ip地址填的是 ） 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 34 頁，共 54 頁 mac為組播 mac 0x010beb5b26ac防止了用戶的 ip為 ，但是如果用戶的 ip為 clonePC 對(duì)于其他一些報(bào)文格式的填充將不能滿足每個(gè) clonePC都回一個(gè) Arp回應(yīng)報(bào)文。 防止 clonePC主要采用 arp欺騙技術(shù)，具體方法如下： 客戶端試圖發(fā)送一個(gè) arp Request報(bào)文，報(bào)文格式如下 ： 其中 (只對(duì)主要字段進(jìn)行說明 )： ?? 以太網(wǎng)目的地址 :0Xffffffffffff ?? 以太網(wǎng)源地址 ： 0x010beb5b26ac（組播 mac） ?? 發(fā)送方以太網(wǎng)地址： 0x010beb5b26ac ?? 發(fā)送方 ip地址： ?? 目的以太網(wǎng)地址： 0 ?? 目的 ip地址：該網(wǎng)卡對(duì)應(yīng)的 ip地址 在這個(gè)報(bào)文中 ?? 發(fā)送方以太網(wǎng)地址必須填充為組播 mac，這里選用的是 0x010beb5b26ac，希望沒有重復(fù)的 mac出現(xiàn)，如果選用單播 mac只有本機(jī)會(huì)對(duì)這個(gè) arp Request報(bào) 文做出相應(yīng)，而無法探測出 clone pc。 目前大多數(shù)高校的 運(yùn)營網(wǎng)絡(luò)存在 clonePC 盜用的運(yùn)營漏洞和隱患。 ClonePC 盜用威脅以及 DCN 解決方案 ClonePC 威脅 校園網(wǎng)運(yùn)營一般采用 認(rèn)證方式，一旦用戶的的 mac 地址通過了 認(rèn)證，則交換機(jī)會(huì) 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 33 頁，共 54 頁 認(rèn)為該 MAC 地址為合法的 MAC 地址，只要源 MAC 地址為合法的數(shù)據(jù)包可正常轉(zhuǎn)發(fā)。 3） 如果該主機(jī)終端附合目前的最低安全規(guī)則，則允許該主機(jī)進(jìn)入安全網(wǎng)絡(luò)。注意在上傳這些數(shù)據(jù)時(shí)，該用戶仍然是被隔離在網(wǎng)絡(luò)之外的，所以不存在病毒傳染的問題。 最后，主機(jī)終端需要安裝神州數(shù)碼安全 client 和瑞星防病毒軟件，并使用神州數(shù)碼安全 client 進(jìn)入網(wǎng)絡(luò)。下面以與瑞星聯(lián)動(dòng)為例進(jìn)行說明。等在主機(jī)終端上把所有安全隱患消除后，才允許其進(jìn)入安全網(wǎng)絡(luò)。所 以我們要在主機(jī)終端進(jìn)入網(wǎng)絡(luò)之前就對(duì)其進(jìn)行染病情況的判斷和操作系統(tǒng)漏洞方面的判斷。 通過 DCBI3000/DCSM8000 還可以實(shí)現(xiàn)與防病毒軟件的聯(lián)動(dòng)，實(shí)現(xiàn)多方安全產(chǎn)品統(tǒng)一管理，全方面實(shí)現(xiàn)用戶的內(nèi)網(wǎng)和終端的安全。 解決這樣的問題，就需要更專業(yè)的終端安全廠家的協(xié)助來完成網(wǎng)絡(luò)終端本身的安全。 然而僅僅基于用戶 IP、 MAC 地址的管理還不能完全實(shí)現(xiàn)內(nèi)網(wǎng)的安全。 在采用 DCBI3000/DCSM8000 的內(nèi)網(wǎng)安全方案后，在用戶主機(jī)未通過身份準(zhǔn)入規(guī)則進(jìn)入網(wǎng)絡(luò)之前，即使該用戶主機(jī)已經(jīng)通過有線或無線在物理上連入進(jìn)網(wǎng)絡(luò)，但仍然是不能訪問網(wǎng)絡(luò)的，并且該用戶的所有數(shù)據(jù)包都不能發(fā)送到網(wǎng)絡(luò)上。只有從端系統(tǒng)著手，才可能有效的遏制病毒和黑 客攻擊。 對(duì)于這些系統(tǒng)漏洞，黑客和病毒可以通過它們直接入侵端系統(tǒng)，導(dǎo)致端系統(tǒng)不能正常使用，例如拒絕服務(wù)等等。當(dāng)然大多數(shù)攻擊成功的范例還是利用了系統(tǒng)軟件本身的漏洞，這些漏洞中比較出名的有 Windows共享目錄密碼校驗(yàn)漏洞、 IE 異常處理 Mime 頭漏洞、 Unicode 漏洞等等。網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰， 破壞服務(wù)器信息，使多年工作毀于一旦。而企業(yè)網(wǎng)絡(luò)中，只要有一臺(tái)工作站未能消毒干凈 ，就可能使整個(gè)網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成清除工作的一臺(tái)工作站就有可能被網(wǎng)上另一臺(tái)帶毒工作站所感染。 ? 難于徹底清除。 ? 傳播的形式復(fù)雜多樣。 ? 擴(kuò)散面廣。可以說，網(wǎng)絡(luò)化帶來了病毒傳染的高效率，具體體 現(xiàn)在： ? 感染速度快。 啟用交換機(jī)的 DCN 交換機(jī)的 IPSnooping 的功能防御 IP 掃描 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 30 頁，共 54 頁 病毒、系統(tǒng)漏洞威脅及神州數(shù)碼解決方案 病毒、系統(tǒng)漏洞相關(guān)威脅 病毒威脅 目前，互聯(lián)網(wǎng)已經(jīng)成為病毒傳播最大的來源，電子郵件和網(wǎng)絡(luò)信息傳遞為病毒傳播打開了高速的通道。 交換機(jī)端口與 IP 地址綁定 用戶有如下配置需求：交換機(jī)的 1 端口連接 ，管理員希望用戶 IP 為 的 IP 地址才允許上網(wǎng)。 DCN防 IP威脅解決方案 防范思路： IP 地址沖突的問題，可以采用以下三種預(yù)防措施： 1） 使用動(dòng)態(tài) IP 地址分配 (DHCP)； 2）將分配給用戶的靜態(tài) IP 地址與交換機(jī)的端口綁定； 3）將用戶的 IP 地址和計(jì)算機(jī)的 MAC 地址進(jìn)行綁定。造成 IP 地址沖突的主要原因是由于失誤錯(cuò)配參數(shù)或有意盜用他人的 IP 地址。然而如果 管理方法不當(dāng)， IP 地址沖突的麻煩將不可避免。如是上面的信息附合綁定的要求，將 Radius Server 下發(fā)該用戶認(rèn)證通過的信息給 安全接入交換機(jī)。 2） 安全接入交換機(jī)將上面的信息通過另一種形式上傳給安全策略服務(wù)器DCBI3000。 啟用 DCN交換機(jī)的 ARPSnooping（ SARP） 功能 配置命令：詳見 基于神州數(shù)碼 DCBI3000/DCSM8000的內(nèi)網(wǎng)安全管理系統(tǒng)，不但可以實(shí)現(xiàn)上面的綁定準(zhǔn)入控制，而且實(shí)現(xiàn)了基于每個(gè)數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)的交換芯片的 IP、 MAC綁定過濾規(guī)則，從而完成杜絕了上面提到的MAC欺騙的威脅。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 28 頁，共 54 頁 MAC 威脅解決方案 交換機(jī) MAC－ Port 綁 定 使能端口 1的 MAC 地址綁定功能。 MAC Flood 攻擊 惡意用戶 通過快速 (比如超過 1000 線程 ) 發(fā)送大量偽造 MAC 地址數(shù)據(jù)包，會(huì)造成交換機(jī)的 MAC端口表塞滿，但為了正常數(shù)據(jù)不被丟棄，大多數(shù)交換機(jī)會(huì)采取類似 HUB 一樣方式：廣播的方式發(fā)送數(shù)據(jù)。1/12 上；惡意用戶 MacBB連接在非信任端口 1/10 上，試圖偽裝 DHCP Server（發(fā)送 DHCPACK）。 在 Radius Server上判斷該用戶的 MAC是否合法，如果合法下發(fā) ACL打開交換機(jī)端口，允許DHCP Server給客戶端分配 IP地址；否則不予通過審核，交換機(jī)端口保持關(guān)閉狀態(tài)。 2） 將 DHCP Server與實(shí)際的 DCBI認(rèn)證系統(tǒng) 相 結(jié)合 如下圖所示： 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 26 頁，共 54 頁 過程： 首先客戶端接入網(wǎng)絡(luò)前，上聯(lián)的交換機(jī)端口默認(rèn)情況下是關(guān)閉的； 用戶在上網(wǎng)認(rèn)證時(shí)，將自己的 MAC地址上傳給 。 DHCP 常見威脅及 DCN 解決方案 ） DHCP相關(guān)威脅 DHCP 拒絕服務(wù)攻擊 惡意用戶通過不斷更換終端的 MAC 地址，向 DHCP Server 申請(qǐng)大量的 IP 地址，耗盡 DHCP Server IP池中，可分配的 IP 地址，從而導(dǎo)致正常的 IP 地址申請(qǐng)無法實(shí)現(xiàn)，導(dǎo)致 DHCP 拒絕服務(wù)。 方案示例： 網(wǎng)關(guān) 主機(jī) D 主機(jī) C 主機(jī) B 主機(jī) A “啊，我沒有通行證了！ ” 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 23 頁，共 54 頁 圖 01 防 ARP 掃描典型配置案例 在上述網(wǎng)絡(luò)拓?fù)鋱D中， SWITCH B 的端口 e4/1 于 SWITCH A 的端口 e4/19 相連， SWITCH A 上的端口 e4/2 與文件服務(wù)器 (IP 地址為 )相連，其他端口都與普通 PC 相連。此兩 種防 ARP 掃描功能可以同時(shí)啟用。基于端口的 ARP 掃描會(huì)計(jì)算一段時(shí)間內(nèi)從某個(gè)端口接收到的 ARP 報(bào)文的數(shù)量，若超過了預(yù)先設(shè)定的閾值，則會(huì) down 掉此端口。這種實(shí)現(xiàn)方式在另一個(gè)方面也是對(duì) CPU 進(jìn)行了很好的保護(hù)。 這里說的 200pps 指的是報(bào)文上 CPU 的速度，每秒鐘只接收 200 個(gè)數(shù)據(jù)包，在每秒時(shí)間內(nèi)， 200 個(gè)數(shù)據(jù)包都是有令牌的合法的，高于這個(gè)速度的數(shù)據(jù)包則不具有通行證，會(huì)被芯片 自動(dòng)丟棄，所以， ARP 限速本身不占用 CPU 資源，是芯片限速。 如下圖所示： SARP 是如何實(shí)現(xiàn)它的安全機(jī)制的呢？簡單來說，系統(tǒng)會(huì)不斷的接收到 ARP 報(bào)文， ARP flooding 攻擊就是向系統(tǒng)大量發(fā)送 ARP 請(qǐng)求包導(dǎo)致緩存表占滿來實(shí)現(xiàn)攻擊的。 此時(shí) ARP 表項(xiàng)是所有終端的，而且完全正確的。 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 22 頁，共 54 頁 找尋一個(gè)所有人都在線的時(shí)間、且網(wǎng)絡(luò)運(yùn)行正常。新開機(jī)的終端 ARP 會(huì)被繼續(xù)學(xué)習(xí)，反復(fù)幾次 ，可使靜態(tài) ARP 表接近整網(wǎng)。 關(guān)閉 ARP 自動(dòng)更新（指定 VLAN 或者全局） 此時(shí)網(wǎng)管員可進(jìn)行監(jiān)控，若有個(gè)別用戶投訴（在關(guān)閉更新前交換機(jī)接收到了非法 ARP 信息并把它放進(jìn)了 ARP 表中，導(dǎo)致正確用戶無法上網(wǎng)），則根據(jù)該用戶 IP 信息將非法 ARP 表項(xiàng)刪除。 同時(shí)還我們配置相關(guān)命令，讓交 換機(jī)丟棄帶有欺騙性質(zhì)的 ARP 報(bào)文。 為了保護(hù) 三層交換機(jī)的 ARP 表項(xiàng)，我們可以在三層交換機(jī)上啟動(dòng) DHCP SNOOPING 綁定 ARP 功能，交換機(jī)自動(dòng)監(jiān)控接入用戶分配的 IP 地址和接入端口并配置綁定 ARP 表項(xiàng)；用戶再次接入獲取不同 IP 地址或者從不同端口接入時(shí)，交換機(jī)自動(dòng)更新綁定 ARP 表項(xiàng)。這種方式管理復(fù)雜度低，交換機(jī)配置簡單并且基本不需要變更。 PC 啟動(dòng) DHCP 功能，可以從 DHCP SERVER 獲取合法 IP 地址，用戶啟動(dòng) DOT1X CLIENT，認(rèn)證通過之后，可以訪問任意資源。 方案二 DCN 接入交換機(jī)＋ DCBI 在全局模式下，啟動(dòng) DHCP Snooping： 全局使能 DHCP SNOOPING 綁定功能，在此基礎(chǔ)上配置 DHCP SNOOPING 其它綁定功能參數(shù) ； 在端口上啟動(dòng) DHCP SNOOPING 綁定 DOT1X 功能。 通過 DCBI 與交換機(jī)聯(lián)動(dòng)，能有效的的防范 ARP 欺騙及 ARP 掃描。（如下圖所示：采用 DHCP Snooping 方式，可在 DCBI3000 上監(jiān)控到每個(gè)合法用戶所使用的 IP、 MAC 信息，并在交換機(jī)上實(shí)現(xiàn) IP、 MAC 定過濾） 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 20 頁，共 54 頁 5） 這時(shí)用戶就可以正常上網(wǎng)了。由于綁定的 IP、 MAC 是保存在 DCBI 中，所以一旦交換機(jī)重啟，則 DCBI 會(huì)在后臺(tái)與交換機(jī)交互綁定數(shù)據(jù)，不會(huì)導(dǎo)致綁定信息的丟失。 4） 安全接入交換機(jī)會(huì)將該用戶所在端口打開，或?qū)⒃撚脩舻?MAC 地址設(shè)為合法，再用另一種信息形式將這個(gè)信息傳給用戶主機(jī)。（如下圖所示：通過 DCBI3000 實(shí)現(xiàn)靜態(tài)的IP、 MAC 過濾規(guī)則） 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 19 頁，共 54 頁 ii. 如果用戶網(wǎng)絡(luò)采用的是動(dòng)態(tài) DHCP 的 IP 地址管理方式，由于用戶通過認(rèn)證前沒有IP 地址，所以無法進(jìn)行綁定規(guī)則的下發(fā)。與上面的傳統(tǒng)方式不同的是： DCBI3000 針對(duì)動(dòng)態(tài) DHCP 管理方式和靜態(tài) IP 方式按著兩種方式進(jìn)行處理。 3） 在 DCBI3000 上判斷該用戶的 IP、 MAC 等信息是否附合綁定的要求。具體實(shí)現(xiàn)的功能過程如下圖所示： 網(wǎng)關(guān) 主機(jī) D 主機(jī) C 主機(jī) B 主機(jī) A …… …… MAC C MAC B MAC A 對(duì) 交換機(jī)下聯(lián)的端系統(tǒng)IP、 MAC進(jìn)行綁定 廣東教育學(xué)院學(xué)生宿舍網(wǎng)絡(luò)方案 第 18 頁，共 54 頁 如圖上圖所示，基于每個(gè)包都進(jìn)行綁定判 斷過濾的安全準(zhǔn)入： 1） 用戶在上網(wǎng)認(rèn)證時(shí)，將自已的用戶帳號(hào)、密碼、 IP 地址、 MAC 地址上傳給