学校 多运营商方案

浙江广厦技术学院校园网

多运营商方案

快威科技集团有限公司

2011年9月

浙江广厦技术学院校园网优化方案

目 录

第一章 概述 ..................................................................................................................................... 2 第二章 广厦技术学院校园网现状 ................................................................................................. 3

2.1 广厦技术学院校园网网络现状 ........................................................................................ 3 2.2广厦技术学院校园网网络拓扑现状 ................................................................................. 3 2.2 存在问题 ............................................................................................................................ 3

2.2.1单点故障问题 .......................................................................................................... 3 2.2.2 校园网单一出口，单一业务 ................................................................................. 3

第三章 典型校园网多运营商接入 ................................................................................................. 4

3.1 学生上网业务实现方式 .................................................................................................... 4 3.2 不同运营商业务区分 ........................................................................................................ 4 3.3 汇聚层网络结构优化 ........................................................................................................ 4 3.4 核心层网络结构优化改造 ................................................................................................ 5 第四章 广厦技术学院校园网多运营商接入优化 ......................................................................... 6

4.1网络优化方案 ..................................................................................................................... 6 4.2 网络优化设备清单 ............................................................................................................ 6 第五章 配置规范化 ......................................................................................................................... 8

4.1 设备的名称（以Cisco设备为例） ................................................................................. 8 4.2 端口的描述 ........................................................................................................................ 8 4.3 Vlan的名字 ........................................................................................................................ 9 4.4 ACL的规范 ........................................................................................................................ 9 4.5 无效配置的清理 .............................................................................................................. 10 第六章 二层网络结构优化 ........................................................................................................... 11

5.1 trunk的过滤 ..................................................................................................................... 11

5.2.3 网络接入层直连用户端口优化 ........................................................................... 11 5.2.4 网络接入层下联中继端口优化 ........................................................................... 12

第七章 Vlan资源优化 .................................................................................................................. 13

6.1 QinQ原理介绍 ................................................................................................................. 13 6.2 QinQ在校园网中的实现 ................................................................................................. 13 第七章 安全和审计 ....................................................................................................................... 15

7.1 AAA部署 ......................................................................................................................... 15

7.1.1 TACACS+ 认证方式 ............................................................................................ 16 7.1.2 Radius 认证方式 ................................................................................................... 17 7.2 SNMP协议的访问控制 ................................................................................................... 18 7.3日志信息的记录 ............................................................................................................... 18

7.3.1全网时钟的同步 .................................................................................................... 18 7.3.2 Syslog的集中处理和分析 .................................................................................... 19 7.4 Login banner的法律声明 ................................................................................................ 20 7.5其他网络安全配置 ........................................................................................................... 20

7.5.1使用ACL病毒流量 ...................................................................................... 21 7.5.2 L2安全性配置 ...................................................................................................... 21

7.5.3固定IP用户接入的安全控制 ..................................................................... 22

第1页 共24页

浙江广厦技术学院校园网优化方案

第一章 概述

随着行业重组中国电信、中国联通和中国移动拥有了全业务运营牌照,校园宽带接入网势必成为三家运营商精彩表演的竞技场,多运营商共同运营现象也必将越来越普遍。与学校运营相比,运营商凭借其带宽资源和成熟的网络服务质量,能够为学生提供更为充足的流量保证,使学生有机会根据服务质量和资费选择不同的运营商。1多运营商共存模式从技术标准看,有不同的宽带接入方式:PPPOE、802.1X、WEB和VPN等。不同的接入方式在组征和故障表现上会有一定的差异。

广厦技术学院对校园网的网上应用和用户数量的不断增长，对网络的实时性，可靠性要求越来越高，学校师生更倾向于灵活选择适合自己的宽带网络，多运营商共存于校园网成为必然趋势。

第2页 共24页

浙江广厦技术学院校园网优化方案

第二章 广厦技术学院校园网现状

2.1 广厦技术学院校园网网络现状

广厦技术学院校园宽带网目前使用的是中国电信的宽带业务，校园网络由金华电信负责运行和维护。学校internet出口为中国电信。学生上网主要采用中国电信数字校园闪讯套餐，教师上网既可以通过闪讯套餐上网，也可以通过DHCP获得私网地址做地址转换上网。目前广厦技术学院全部用户大概在8000左右。

2.2广厦技术学院校园网网络拓扑现状

（待定）

2.2 存在问题

2.2.1单点故障问题

由于目前广厦学生用户的业务都是承载于电信出口设备。当出口出现故障时将影响整个学校的学生用户对内网资源以及公网资源的正常访问(当设备出现故障不能运行时，用户同时不能访问内，并且没有恢复网络的临时解决方案)。后果是极其严重的，具有很大的潜在风险。

2.2.2 校园网单一出口，单一业务

目前广厦技术学院校园网只有电信出口，访问联通，移动网络资源时速度较慢，延迟很高，学生上网选择只有电信一种，业务比较单一。

第3页 共24页

浙江广厦技术学院校园网优化方案

第三章 典型校园网多运营商接入

为了满足学生自主灵活选择宽带套餐的需求，广厦技术学院考虑引入移动接入。由于不同运营商上网实现方式有可能不同，一个学生可能需要两个端口来满足电信、移动的上网业务，这需要每个运营商从接入层到核心层全部重新部署，造成资源的极大浪费。为了尽量减少接入层的改动，本方案依照金华电信PPPoE拨号上网模式，调整汇聚层和核心层的网络结构和配置，实现多运营商接入。

3.1 学生上网业务实现方式

学生上网业务采用PPPoE拨号方式实现。多运营商接入时，每个ISP需要配置各自的汇聚交换机，BRAS设备，运营商共享接入层端口资源和vlan资源，在汇聚层上进行分流，汇聚交换机上联不同运营商的BAS设备

3.2 不同运营商业务区分

因为接入层资源共享，每个学生只有一个vlan资源，为了能够区分该学生是采用哪个运营商的宽带服务的，可以通过部署802.1x+动态vlan技术来实现动态分配用户端口的归属vlan，但这需要接入交换机支持802.1x，同时要部署额外的radius服务器。另一种业务区分方法是通过账号domain来区分，拨号时账号带后缀，不同的运营商只对自己的domain做pado相应，比如目前电信的闪讯账号带zsd.xy后缀，电信的BAS只响应带该后缀的pppoe拨号。这样学生可以用同一个vlan，用不同的账号拨入不同运营商的BAS。

3.3 汇聚层网络结构优化

目前广厦技术学院采用华为3COM设备作为汇聚交换机，用户通过单层vlan拨号上网，随着用户数量的不断增加，vlan资源很快就会耗尽。本次优化建议引入QINQ技术，在汇聚交换机上封装外层vlan标签。这里可以为不同的运营商分配不同的外层标签，实现业务区分。

第4页 共24页

浙江广厦技术学院校园网优化方案

3.4 核心层网络结构优化改造

依据广厦技术学院校园网网络结构现状，移动需要部署自己BAS设备、radius服务器。拓扑如下：

电信移动BRAS-1BRAS-2BRAS-1BRAS-2核心出口-1核心出口-2核心出口-1核心出口-2汇聚交换机汇聚交换机汇聚交换机汇聚交换机

第5页 共24页

浙江广厦技术学院校园网优化方案

第四章 广厦技术学院校园网多运营商接入

优化

4.1网络优化方案

本次网络结构优化建议将汇聚交换机更换为具备灵活QinQ功能的交换机，可以为之后的vlan规划提供条件。。

4.2 网络优化设备清单

设备型号 C6509 C6148板卡 C3500 C2950（48口） SFP-L模块 核心出口交换 48口GE接口板 24百兆端口以太口+4GE光接口 48百兆端口 单模10公里千兆以太网模块 规格描述 数量 2 4 15 172 34 报价 4.3接入设备配置清单

表格 1

宿舍楼 类型 1 2 3 4 5 6 7 功能 数量 接入 14 学生(4线+1电话) 汇聚 1 接入 14 学生(4线+1电话) 汇聚 1 接入 14 学生(4线+1电话) 汇聚 1 接入 14 学生(4线+1电话) 汇聚 1 接入 14 学生(4线+1电话) 汇聚 1 接入 11 学生 汇聚 1 接入 11 学生 汇聚 1 第6页 共24页

浙江广厦技术学院校园网优化方案

8 9 10 11 12 14 15 接入 汇聚 接入 学生(2线) 汇聚 接入 学生(2线) 汇聚 接入 学生(6线+1电话) 汇聚 接入 学生(6线+1电话) 汇聚 接入 学生(4线,无电话) 汇聚 接入 教师(4线,无电话) 汇聚 学生 11 1 9 1 9 1 14 1 14 1 12 1 12 1

第7页 共24页

浙江广厦技术学院校园网优化方案

第五章 配置规范化

由于校园网的设备经过多期扩容，目前存在命名规则不统一的问题，对日常的维护造成的诸多不便，需要进行统一的规范。

4.1 设备的名称（以Cisco设备为例）

设备的名称应体现设备的级别、地名、型号、序号和角色等信息。 命名规则：

ZSD－安装地点－型号－序号－2，3层

示例：

设备 校园网核心交换机6509 校园网4506交换机

设备名称 说明 ZSD-XX-C6509-1-SW XX代表安装地点 ZSD-YY-C4506-1-SW YY代表安装地点 地名使用设备实际安装点地名的首字母或全拼。

型号使用设备的实际型号，如7609、6509、4506、4006、3550、10720、7304、7401等。

对同一地点有两台或两台以上相同型号的设备，第2台及以后的设备在型号后加序号，如4506-2，3550-3等。

对6509或4006二、三层还没分开的设备，应在型号和序号的后面再加S或R加以区别。

4.2 端口的描述

端口的描述：该端口的用处、对端设备及端口、端口速度、添加和修改时间、链路的有效期，添加的人员等。

本次网优项目实施设备端口命名规范为：

端口类型 用户端口 互联端口 命名方式 Username-rate Devicename-port 第8页 共24页

浙江广厦技术学院校园网优化方案

4.3 Vlan的名字

VLAN命名统一，提高易读性和简化排错步骤。

其中：VLAN用户标识或者是小区位置标识、VLAN类型（L3的VLAN、L2 VLAN、DHCP、固定IP的PPPOE、设备互连VLAN 等）、VLAN范围（本地还是非本地）等其他信息。

本次网优项目实施VLAN命名规范为：

VLAN类型 DHCP接入 固定IP接入 网管 互联VLAN 命名规则 DHCP-宿舍楼名 ZX-用户名 WG-网管设备 HL－对端设备 4.4 ACL的规范

ACL（Access Control List）即访问控制列表，用户和设备可以访问的那些现有服务和信息的列表。它是用来保证系统安全性的一种手段。是Cisco IOS所提供的一种访问控制技术。ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。使用适当的ACL可以帮助用户有效减少安全风险。

ACL的编号没有统一规划，每台交换机基本上都各自为政，同一ID的ACL在不同的设备上可能内容就不一样。给维护人员增加了不少麻烦。

本次网优项目实施ACL命名规范为：

ACL的ID 1-49 用途 标准ACL，全市统一规划、统一分配，同一ID对应同一配置。 50-69 70-99 101-149 标准ACL，预留 标准ACL，只用于本机，不同交换机可以复用。 扩展ACL，全市统一规划、统一分配，同一ID对应同一配置。 150-169 170-199 扩展ACL，预留 扩展ACL，只用于本机，不同交换机可以复用。 防病毒的ACL建议统一采用扩展的ACL，便于后续维护：

ip access-list extended AntiVirus deny …..

第9页 共24页

浙江广厦技术学院校园网优化方案

permit ip any any

4.5 无效配置的清理

网络设备在经过业务调整或割接后，往往会残留一些无用的配置语句。无效配置会造成网络设备里的配置文件信息杂乱，降低配置文件可读性，影响网管效率，甚至还会给网络设备的安全和稳定性带来很大的隐患。

所以，在本次网络优化项目中需要对所有网络设备里的配置文件信息进行检查，主要清理下列的无效配置：

 无效的访问列表  无效的VLAN ID

 无效的静态路由和网关设置  缺省有害配置的清理

对于目前配置ACL或者路由指向到null0的网络设备中，ICMP unreachables 将引起设备的高CPU利用率，在一些需要ICMP unreachable的环境中，我们可以采用rate limiting来保证CPU利用率的控制：ip icmp rate-limit unreachable

第10页 共24页

浙江广厦技术学院校园网优化方案

第六章 二层网络结构优化

5.1 trunk的过滤

在交换机之间其他VLAN的透传，使用命令clear trunk、或者是switch trunk allowed vlan，通过该步骤，我们可以减少VLAN中不必要的广播扩散，减少收到影响的设备的范围；加快PVST的收敛速度；加快交换机广播寻址的速度；降低L2广播带来的高CPU利用率；

本次网优实施清理的原则如下：

1) 本地“show vlan”不存在的vlan，全部在Trunk中清除 2) 本地终结的vlan在连接上层交换机的Trunk上中清除 3) Trunk对端交换机上不存在的vlan全部在Trunk上中清除 4) vlan 1全部在Trunk中清除

在具体进行trunk过滤之前，我们将和局方一起详细对每个trunk上的vlan使用情况进行统计和核对，确认无误后再进行配置，以确保网络业务的正常使用。 按下表进行统计：

设备名 端口 相联设备 trunk能过的vlan 配置命令：

Interface mod/port

switchport trunk pruning vlan_name switchport trunk allowed vlan_name

5.2.3 网络接入层直连用户端口优化

网络接入层(主要是3550/2950)，对于交换机上那些直连用户终端的端口(对端不是hub/switch)就可以启动port-fast和bpdu-guard功能。

第11页 共24页

浙江广厦技术学院校园网优化方案

Port-fast启动后端口可以直接由 blocking状态转到forwarding状态，无须经过listening和learning状态，这样可以由45m左右的时间缩短到15m左右。

Bpdu-guard的功能是，防止端口收到bpdu数据包， 直接连接终端用户的交换机端口正常状态下是不会收到bpdu数据包的(尽管会发送bpdu数据包)；如果收到一定是用户把网络环起来了，或者用户中毒(一种病毒可以伪装成switch，发送prioty=0的bpdu包， 抢夺所在vlan中spantree root switch的地位，一旦得逞，严重影响网络spantree )；Bpdu-guard功能在端口上起用后，一旦该端口收到bpdu包后，就会立即disable或shutdown该端口。

CatSwitch-IOS(config)#spanning-tree portfast bpduguard CatSwitch-IOS(config)#errdisable recovery cause bpduguard CatSwitch-IOS(config)#errdisable recovery interval

5.2.4 网络接入层下联中继端口优化

接入的交换机3550/2950上的非连接终端的端口上(连接小交换机或HUB或DSLAM机)为了防止个别用户环路了网络，或者病毒发bpdu数据包引起spantree问题，需要这类问题严重的交换机的端口上启动bpdufilter。 IOS命令

Router(config-if)# spanning-tree bpdufilter enable

第12页 共24页

浙江广厦技术学院校园网优化方案

第七章 Vlan资源优化

考虑到目前网络每个接入层交换机端口一个vlan，cisco4506上的vlan资源消耗很快，随着校园网规模的不断扩大，每台cisco4506上的vlan资源最终会耗尽。为了能充分利用vlan资源，并考虑到交换机每个端口需要隔离，本次优化对用户做普通QinQ技术，提高网络的扩展性。

6.1 QinQ原理介绍

QinQ 是指将用户内层vlan tag封装在外层vlan tag中，使报文带着两层vlan tag穿越网络。在网络中，报文只根据外层vlan tag进行传播，用户内层vlan tag被屏蔽。

设备提供的端口QinQ特性，可以给报文打两层vlan tag，从而最多可以提供4094 X 4094个vlan，满足网络对VLAN数量的需求。由于QinQ 的实现是基于802.1Q 协议中的trunk端口概念，要求隧道上的设备都必须支持802.1Q协议，所以QinQ 只适用于企业网或小规模的城域网。

QinQ主要可以解决如下几个问题：

1）缓解日益紧缺的公网vlan ID 资源问题；

2）用户可以规划自己的私网vlan ID，不会导致和公网vlan ID 冲突； 3）为小型城域网或企业网提供一种较为简单的二层VPN 解决方案。

6.2 QinQ在校园网中的实现

本次优化对接入层交换机端口vlan不做改动，在cisco4506下联口打外层vlan tag，按每层宿舍楼一个外层的原则。拓扑图如下：

第13页 共24页

浙江广厦技术学院校园网优化方案

cisco4506Access vlan 1001switchport mode dot1q-tunnelTrunk allow vlan 101-124接入层交换机vlan 101-124

外层vlan规划原则：外层vlan从1000开始往后分，建议后两位分别为楼号和楼层好，入1011表示1号楼的1楼。

第14页 共24页

浙江广厦技术学院校园网优化方案

第七章 安全和审计

7.1 AAA部署

为了管理方便，应该设置具有不同访问和管理权限的用户帐户和相应的密码。对操作权限，可以设置以下几类用户：

1）全局超级用户级别---对所有网络设备拥有安全的权限，市局的系统管理员才拥有这样的权限。

2）县市局超级用户级别---只对自己管理范围内的网络设备拥有完全的权限，县市局的系统管理员拥有这样的权限。

3）配置的用户级别---对网络设备拥有部分权限，比如可以进行端口配置和vlan的设置，进行日常的开户操作等，但不能修改一些敏感数据，如enable的口令、路由协议的参数等。

4）可以在使用AAA中的授权方式来控制每个用户的权限和访问级别。通过在设备中定义不同级别的privilege属性，来区分不同的用户权限。

privilege configure level 5 interface privilege interface level 5 shutdown privilege exec level 5 show ip route privilege exec level 5 configure terminal privilege exec level 5 show running-config 5）只读级别---对网络设备只拥有只读的权限。一般情况下，出于网络测试等的需要，可以在单命令的基础上给这类用户授予基本的连通性测试命令，比如：ping、traceroute、show ip route等。

为了便于管理，对帐户的密码也需要进行相应的设置，比如设置密码的有效期，如1个月，要求系统管理员每个月都修改一次，否则密码就失效，每个人都自己管理自己的密码，这样就可以大大降低应长时间使用同一密码而带来的安全隐患。另外，对非本局人员的帐户，在设置密码时可根据需要设定期限并其更改密码，这样即可以保证非本局人员的施工需要，并确保施工结束后及时收回密码。

第15页 共24页

浙江广厦技术学院校园网优化方案

7.1.1 TACACS+ 认证方式

cisco 公司推荐使用TACACS+，因为CISCOSECURE ACS 在NT，UNIX或者第三方的软件中比较容易实现。TACACS+的特征包括：一些命令使用方法和系统使用方法的详细条目，MD5的编码方法和在验证、验证程序上的管理控制验。在下面的例子子中，系统的登陆和进入模式使用了TACACS+服务器做为验证和本地验证的反馈，如果这个服务器是不可靠的。这个重要的后门离开了大多数的网络。下面各项显示了TACACS+的命令设置：:

set tacacs server server IP primary set tacacs server server IP !--- Redundant servers are possible. 可以设置多余的服务器

set tacacs attempts 3 !--- This is the default. 设置超时值 5是默认的

set tacacs key key !--- MD5 encryption key.

set tacacs timeout 15 !--- 系统设置的超时值为15 ，系统默认为5

set authentication login tacacs enable set authentication enable tacacs enable set authentication login local enable set authentication enable local enable !--- 最后两条命令是默认的，他们允许回退

我们可以在交换机中使用TACACS+实现对每个用户或用户组的授权，但是这个推荐还是比较困难的，在这个范围内几乎全部的用户都有自己的个人需求。

涉及到交换机的列表：使用证明，授权和一些更多的条目。最后这些条目命令会提供个人使用者的审计信息。

配置模板：

IOS：

aaa new-model aaa authentication login default tacacs+ line none aaa authentication enable default tacacs+ enable none aaa authorization commands 15 default tacacs+ none aaa accounting exec default start-stop tacacs+ aaa accounting commands 1 default start-stop tacacs+ aaa accounting commands 15 default start-stop tacacs+ 第16页 共24页

浙江广厦技术学院校园网优化方案

tacacs-server host #.#.#.# tacacs-server timeout 3 tacacs-server key your_key

CatOS

set authentication login local enable set authentication login tacacs enable set tacacs server #.#.#.# set tacacs key your_key

7.1.2 Radius 认证方式

RADIUS（Remote Authentication Dial In User Service）协议，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。

RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。 配置模板：

IOS：

aaa new-model

aaa authentication login default radius local aaa authentication login no_radius enable aaa authentication ppp default if-needed radius aaa authorization network radius aaa accounting exec start-stop radius aaa accounting network start-stop radius

radius-server host #.#.#.# auth-port 15 acct-port 16 radius-server key your_key

line con 0

exec-timeout 0 0

login authentication no_radius CatOS：

set authentication login local enable

第17页 共24页

浙江广厦技术学院校园网优化方案

set authentication login radius enable

set radius server #.#.#.# auth-port 15 acct-port 16 primary set radius key your_key

7.2 SNMP协议的访问控制

SNMP协议是一个标准的网络管理协议，SNMP服务器可以通过获取设备的配置信息和修改设备配置信息，建议在网络设备上配置ACL和SNMP相关参数来避免SNMP带来的安全隐患。

在snmp协议中增加access-list列表，这样只允许固定的ip 地址能采集snmp信息(如网管软件ciscoworks2000)，防止别的用户安装网管软件后能采集到snmp信息. 配置模板：

IOS命令

access-list 4 permit 172.16.2.1 0 0 snmp-server community ro 4

CatOS命令

Console> (enable) set ip permit 172.20.52.32 255.255.255.224 snmp

7.3日志信息的记录

7.3.1全网时钟的同步

大量的日志、事件、故障信息都依赖于网络设备的时钟，为了保证全网设备的时钟同步，建议在网络中配置NTP服务器，别的设备配置为NTP客户端，保证全网设备时钟同步。

全地区时钟的同步：全地区统一的NTP(network time protocol) server的建立、NTP全网的实施、以及NTP的加密等。

目前很多网络设备上的时钟大都没有设置过的，“show clock”发现许多时间都是1993年，有些设备的时间虽然设置过和当前时间一致，但设备重启动后，时间又恢复到日历寄存器的初始值。这样混乱的设备时钟使得设备的日志的时间信息也同样的混乱。给运维人员判断故障发生时间带来不小的困难。

在金华电信城域网的核心设备上启用NTP的Server，在全网的Cisco设备

第18页 共24页

浙江广厦技术学院校园网优化方案

上启用NTP client，并配置MD5的加密和NTP源地址，也可以配置ACL做NTP的访问控制。

在核心的节点上启用NTP源：

clock timezone PRC 8 ntp master 2 ntp source Loopback0 在校园网设备上配置NTP client的特性，保证NTP时间的全网统一和稳定。

NTP client IOS的配置：

clock timezone PRC 8

access-list 5 permit loopback_ip_of_ntp_server access-list 5 deny any

ntp authentication-key 1234 md5 ntp authenticate ntp trusted-key 1234 ntp source Loopback0 ntp access-group serve 5 ntp update-calendar

ntp server ip_address_ntp_server

NTP client CATOS的配置方法: set ntp client enable

set ntp authentication enable

set ntp key 10 trusted md5 ticktock set ntp server 10.10.10.1 key 10 set timezone PRC 8

通过NTP的实施，设备日志信息中时间信息的可读性大大提高；同时方便运维人员的对设备的管理和错误跟踪。

Native IOS：

service timestamps log datetime localtime msec service timestamps debug datetime localtime msec

CATOS

Set logging timestamp enable

7.3.2 Syslog的集中处理和分析

在校园网中网络设备都提供详细的日志功能，网络设备故障、安全事件在前期都可能通过日志分析进行安全预防，建议本次网络优化中配置系统日志服务器，对收有设备的日志进行集中的管理和分析。

第19页 共24页

浙江广厦技术学院校园网优化方案

网络设备配置模板：

IOS命令

switch (config)#logging on switch (config)#logging x.x.x.x(为log服务器的ip地址) switch (config)#logging interface loopback0 switch (config)#logging trap debug switch (config)#logging facility local7 Severity Level Description 0—emergencies 1—alerts 2—critical 3—errors 4—warnings 5—notifications 6—informational 7—debugging Log-input命令把acl信息记录到log中

access-list 101 permit ip any log-input

7.4 Login banner的法律声明

在网络设备的登陆Banner上明确警告试图非法登录的用户，修改和恶意操作该网络设备的行为将承担相应法律责任。 配置模板：

IOS：

banner login #

This is the property of China Telecom

Unauthorized access prohibited! #

7.5其他网络安全配置

最近一段时间，网络中流行的冲击波、震荡波病毒攻击疯狂，已经造成了大规模的网络灾滥。此次网络优化将主要针对网络流行的各类病毒使用 ACL技术对其端口屏蔽。

第20页 共24页

浙江广厦技术学院校园网优化方案

7.5.1使用ACL病毒流量

在所有6509和4006的2层上配置ACL，阻止冲击波等病毒

在所有6509和4506/4006骨干互连三层接口上配置上防止病毒的ACL access-list 101 deny udp any any eq 1434 access-list 101 deny tcp any any eq 4444 access-list 101 deny tcp any eq 135 any access-list 101 deny tcp any eq 137 any access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 139 access-list 101 deny tcp any any eq 445 access-list 101 deny tcp any any eq 593 access-list 101 deny udp any any eq 69 access-list 101 deny udp any any eq 135 access-list 101 deny udp any any eq 137 access-list 101 deny udp any any eq 138 access-list 101 deny tcp any eq 139 any access-list 101 deny tcp any eq 4444 any access-list 101 deny tcp any eq 445 any access-list 101 deny tcp any eq 593 any access-list 101 deny udp any eq 69 any access-list 101 deny udp any eq 135 any access-list 101 deny udp any eq 137 any access-list 101 deny udp any eq 138 any access-list 101 permit ip any any

7.5.2 L2安全性配置

Arp-inspection

在接入层交换机3550/2950上配置

set security acl arp-inspection match-mac enable

以太地址和arp数据包中的源MAC地址不匹配的数据包 在接入层交换机3550/2950上配置

set security acl arp-inspection address-validation enable

交换机将丢弃有非法IP和MAC地址的数据包 下列是该命令识别非法的IP地址

•0.0.0.0

•255.255.255.255

•Class D multicast IP addresses 下列是该命令识别非法的MAC地址

•00-00-00-00-00-00

•Multicast MAC addresses •ff-ff-ff-ff-ff-ff

第21页 共24页

浙江广厦技术学院校园网优化方案

应用到具体的vlan

Console> (enable) set security acl arp-inspection dynamic enable 100 端口上来的ARP 包巨量时候，交换机丢弃包直至关闭端口

set port arp-inspection 2/1 drop-threshold 500 shutdown-threshold 1000

Port广播流量控制

3550/2950下联端口上配置上广播包抑制功能，20%

IOS 命令

storm-control broadcast level 20

使用CAR攻击的流量 举例：

在交换机的2层接口上配置CAR，把icmp ICMP流量在3M/s以内 interface xy

rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop

access-list 2020 permit icmp any any echo-reply

注意可以配置成其他病毒，或者可以利用CARSYN Flood 攻击： access-list 2020 permit tcp any host victim-host syn access-list 2020 deny ip any any

7.5.3固定IP用户接入的安全控制

安全访问控制列表

访问控制列表的应用举例：

4006三层中 原来配置

interface Port-channel1.865 description QiuZhi_netbar encapsulation dot1Q 865

ip address 218.75.94.109 255.255.255.252 no ip directed-broadcast

优化后配置

interface Port-channel1.865 description QiuZhi_netbar encapsulation dot1Q 865

ip address 218.75.94.109 255.255.255.252 ip access-group 101 in no ip redirects no ip unreachables

no ip directed-broadcast no ip proxy-arp

第22页 共24页

浙江广厦技术学院校园网优化方案

end

access-list 101 deny udp any any eq 1434 access-list 101 deny tcp any any eq 4444 access-list 101 deny tcp any eq 135 any access-list 101 deny tcp any eq 137 any access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 139 access-list 101 deny tcp any any eq 445 access-list 101 deny tcp any any eq 593 access-list 101 deny udp any any eq 69 access-list 101 deny udp any any eq 135 access-list 101 deny udp any any eq 137 access-list 101 deny udp any any eq 138 access-list 101 deny tcp any eq 139 any access-list 101 deny tcp any eq 4444 any access-list 101 deny tcp any eq 445 any access-list 101 deny tcp any eq 593 any access-list 101 deny udp any eq 69 any access-list 101 deny udp any eq 135 any access-list 101 deny udp any eq 137 any access-list 101 deny udp any eq 138 any

access-list 101 permit ip host 218.75.94.110 any

第23页 共24页