实名认证解IP地址冲突和网络安全之困

网络安全实例之背景分析

在没实施实名认证之前，校园网的用户(包括单位用户和家庭用户)上网都是固定的IP地址。但是也可以说是不固定的，因为我们学院把每个部门和每栋家属楼细化了VLAN，在这个VLAN 中一般IP 地址划分给这个VLAN。

所以有的用户知道这种情况后，科室或者家里增加了电脑，就能猜到IP地址，如果和别人的发生了冲突，那么会造成抢网的事件，而且不便于网络中心的工作人员管理网络。对于网络安全也存在很大的隐患，如果用户中毒或者在网上发布影响学校或者国家的帖子，可能找不到本人。

正是由于这些不利的因素，学校准备实施校园网扩建工程的实名认证。

网络安全实例之方案介绍

“学院校园网项目”是校园网工程的一部分，包括教师宿舍、教学区、综合楼和老教学区的楼栋汇聚、楼层接入网络交换设备与集成、管理系统和认证计费系统。项目完成后将为整个校园提供一个高效、稳定的网络通信平台。对校园网的整体设计要求实现百兆到桌面，主干双链路千兆到楼宇汇聚，并保证子网的每个信息点有802.1X认证的交换机端口。同时，还要保证在接入层实现安全控制接入。

网络安全实例之实施要求

软件上需要能够提供对学生上网的管理，如用户合法性的验证，IP、MAC的绑定，帐号的分配及管理；日常运营所需要的收费、计费服务；学生自助服务系统和设备管理。

交换机方面需要能够为教师宿舍、教学区、综合楼和老教学区提供稳定、快速的接入服务，汇聚交换机能够提供VLAN划分和三层交换，接入需要支持802.1X以保证运营的实施。

学院校园网拓扑图如图1。

图１ 学院校园网拓扑

网络安全实例之网络拓扑说明

出口使用某厂商的RSR50-40路由器作为出口设备与移动网和教育网相连。

核心层采用两台RG-S8606核心交换机，负责整个网络的数据交换。汇聚层是千兆交换机S3760-12SFP/GT，千兆光纤连接核心交换机及每层楼的接入交换机。每栋楼的小汇聚使用的是S2126G，同时也可提供接入服务，使用双绞线与接入交换机S2026F互联。

网络安全实例之方案实施

首先需要安装SAM 服务器，学院选用的是RG-SAM 2.x企业版,拥有2000用户。

其次是安全管理规划，系统使用W i n d o w s 2 0 0 3 Server+SP2，并在相应网站下载补丁程序升级，并建议客户 预装杀毒程序以保障机器的安全。

同时在交换机上通过ACL做服务器网段和用户网段的隔离，并进行端口过滤，只允许服务器进行所需端口通过。

a)8080.TCP端口.http访问端口 
b)8443.TCP端口,https访问端口 
c)1812.UDP端口.默认的认证报文接收端口 
d)1813.UDP端口.默认的记帐报文接收端口 
e)1433.TCP端口.SQLSERVER的默认监听端口 
f)1434.UDP端口.SQLSERVER的默认监听端口. 
g)8009.TCP端口.ajp端口 
h)1099.TCP端口.jnp端口 
i)1098.TCP端口.rmi端口 
j)8090.TCP端口.JBossMQOILservice端口 
k)8092.TCP端口.JBossMQOIL2service端口 
l)8093.TCP端口.JBossMQUILservice端口 
m4444.TCP端口.RMIOBJECTPort 
n)4445.TCP端口.ServerBindPort 
o)1162.UDP端口.JBosssnmpagent端口.

#p#

网络安全实例之数据库系统规划

安全管理规划：数据库软件选用的是MS SQL Server 2000 标准版或企业版+SP4。

数据的备份：

1.SQL Server Agent服务启动，建数据库维护计划实现数据库备份，计划的名字为sambackup。

2.SQL数据的备份采用完全备份方式，备份目录为k:/ backup，备份时间为每天凌晨三点，保留一个月内的完全备份数据。

3.由于RG-SAM的后台数据信息非常重要，需要经常性质地将数据进行备份。

数据的恢复：

在原服务器上完全备份数据到指定的文件(假定为SAMdata060526)

1.手动备份数据库。

2.将上一步备份的文件SAMdata060526复制到新的机器上并执行还原操作。

3.删除原数据库中的sam关联。

4.在后台数据库中创建和sam帐号的关联。成功完成后，移到新服务器上，便可在新服务器上启动SAM，注意启动前要将服务器的IP改为原服务器的IP。 SAM 系统规划及设置

网络安全实例之用户开户的方式

采用批量导入的方式进行用户开户。

将要开户的用户按一定的格式编辑成相应的文本文件，在管理界面中批量导入进行开户。

1.在开户之前先要定义组，比如说办公的用户就划分为office组，家庭的划分为home组，学生的划分为student组等等，然后把个人的姓名拼音当做用户名，绑定IP地址，最后选择组(请个人账户的格式是用户名+IP地址+组)。

此外，我们为什么没有绑定MAC地址，是因为如果用户电脑换了或者网卡换了就不能上网了，考虑到这原因，我们就没有绑定MAC地址，也是为了便于管理。

2.接入交换机sam系统配置

Switch#config t 进入全局配置层以后,配置以下:

radius-serverhost10.6.0.67----------配置认证服务器地址 
aaaauthenticationdot1x-------------开启认证 
aaaaccountingserver10.6.0.67--------配置记账服务器 
aaaaccounting--------开启记账 
dot1xclient-probeenable-------开启户端探测 
dot1xprobe-timerinterval30--------客户端与服务器交互时间 
dot1xprobe-timeralive90---------在线探测时间，即上面时间的三倍，交换机连续三次没收到客户端的交互报文，则认为客户端已下线 
dot1xtimeoutquiet-period2---------服务器端报文重传间隔 
dot1xtimeouttx-period3----------报文重传间隔 
nodot1xre-authentication-------关掉重认证 
radius-serverkeyznufesam--------配置认证KEY 
snmp-servercommunityznuferorw------配置SNMP管理字 
interfacefastEthernet0/1----------进入端口模式 
dot1xport-controlauto-------开启端口认证

3.所有用户需要安装客户端，设置在网络中心注册的合法IP地址。打开认证软件就可以看到认证软件的界面。根据在网络中心签的入网协议上的用户名和密码，选择网卡类型(为什么要选择网卡类型，因为有些电脑是二个网卡，软件自己是识别不出来的，所以要选择填了正确IP地址的网卡)，点击链接，那么你的电脑就会自动和SAM服务器“握手”，匹配是否合法，如果信息匹配成功，那么就可以正常上网了(这个匹配的时间就1-2秒钟)。

4.部分用户可能觉得这样上网麻烦，那可以在这个用户参数设置里面把“保存密码”，“启动软件后自动认证”，“开机自动运行”这三项前面打勾，那么启动电脑，这个认证的软件就自动认证。

网络安全实例之方案实施后的效果

自从校园网实施实名认证升级后，再也没有发生过IP地址冲突之类的事件，而且还限制了用户在办公室或者家里私自接内网，防止破坏校园网整体结构。

实施实名认证后，通过每个用户名和IP地址绑定，如果用户中毒或者是在网上发影响学校或者国家的帖子，可以找到他的IP地址，从而可以找到他本人。这样很大程度上解决了网络中心的安全隐患，也为网管人员减轻了不少工作负担！