校园网网络安全与管理研究

杨 凯，李桂青

（1.武汉音乐学院，湖北 武汉 430000；2.曲阜师范大学，山东 济宁 272000）

0 引 言

校园网是一个集计算机网络技术、办公自动化、信息管理及信息发布等功能于一体的综合信息平台，是一个服务器、网络设备、终端及众多用户组成的局域网，通过有线方式和无线方式实现数据传输和信息共享。但是，网络病毒、黑客入侵及管理不善等使校园网面临着严重威胁[1]。针对校园网目前存在的安全隐患，本文重点研究和设计了合理稳定的网络拓扑结构，整体实现了网络拓扑结构的健壮性，并实现了负载均衡。

1 校园网安全解决方案

1.1 安全架构设计

网络基础架构设计和网络信息安全是相互依存的，因此规划校园网整体网络和信息安全系统方案时，需引入新的层次型网络和信息安全区域模型。

根据校园网网络实际应用，可分为3个层次，由上到下分别对应由高到低3个防护等级（核心层、隔离层及接入层）。每个防护等级中的设备采用类似的安全防护功能[2]。

（1）核心层：设置安全等级为高，主要对应校园网核心设备。

（2）隔离层：设置安全等级为中，主要是各种数据转发设备。

（3）接入层：设置安全等级为低，主要存放各种网络接入设备。

对整个校园网采取分层分级别防护，可有效增加安全系数。外部入侵需多层破解，增加了攻击难度，为主动防御争取了时间。

1.2 校园网设计

校园网网络建设不仅要满足学校的现状需求，而且要符合国家规定的校园网建设标准。同时，需充分考虑网络的健壮性，不能出现单一节点，避免其中一台网络设备性能下降或出现网络故障影响校园网正常办公[3]。此外，校园网的安全防范既要做到避免外网攻击，又要做到避免内网攻击，拓扑设计如图1所示。

由图1可知，核心交换区、内网接入区、互联网区及服务器等组成了一个完整可行的校园网。

2 校园网安全功能详细设计

该校园网中主要使用IP Sec 虚拟专用网技术、NAT技术、静态路由协议技术、防火墙技术及LACP技术等。

2.1 虚拟专用网技术

考虑在公共网络中传输数据的不安全性，引入了IP Sec VPN。对使用的数据隧道进行加密，可实现公共网络传递私有数据，相当于在共有网络中建立一个私有专用网[4]。

具体实现步骤和代码如下：

（1）配置组属性的查询模式

WHmusic(conf i g)#aaa new-model //启用

WHmusic(conf i g)#aaa authentication login yk local //定义一个名叫yk登陆认证，使用本地数据库进行验证

WHmusic(config)#aaa authorization network yk1 local //命名yk1，对yk的事件授权

WHmusic(config)#username cisco password 0 cisco//创建用户名密码

（2）配置IKE（ISAKMP）策略，IPSec第一阶段配置

WHmusic(conf i g)#crypto isakmp policy 10 //创建IKE策略10

WHmusic(conf i g-crypto)#encryption 3des //采用3des加密方式

图1 校园网整体网络拓扑图

WHmusic(conf i g-crypto)#hash md5 //使用md5哈希散列算法

WHmusic(config-crypto)#authentication pre-share //采用预共享密钥的认证方式

WHmusic(conf i g-crypto)#group 2 //指定密钥的位数

（3）定义EzVPN client连接后自动分配的地址池

WHmusic(config)#ip local pool ez 192.168.129.10 192.168.129.100

（4）配置用户组策略

WHmusic(conf i g)#crypto isakmp client conf i guration group wuhanmusic //配置组和密码

WHmusic(conf i g-crypto)#key ykwh

WHmusic(conf i g-crypto)#pool yk

（5）配置Ipsec交换集，IPSec第二阶段配置

WHmusic(conf i g)#crypto ipsec transform-set wh esp-3des esp-md5-hmac //配置交换集twh，设置esp加密算法3des，esp的完整性用哈希算法md5来保证

WHmusic(config)#crypto dynamic-map ezmap 10 //动态加密图

WHmusic(config-crypto-map)#set transform-set tim//tim与lmmap关联

（6）关联认证信息

对VPN进行认证，授权配置，list是调用上面AAA配置名，liming是客户端保密图的名字，lmmap为动态保密图的名字，最后动态加密图必须有静态绑定。

WHmusic(config)#crypto map liming client authentication list yk

WHmusic(config)#crypto map liming isakmp authorization list yk1

WHmusic(config)#crypto map liming client conf i guration address respond //客户端响应服务器

WHmusic(config)#crypto map liming 10 ipsecisakmp dynamic lmmap

（7）应用crypto map

WHmusic(conf i g-if)#crypto map tom //绑定到接口

2.2 NAT技术

为解决内部网络使用私有地址主机和因特网上使用公有地址主机的通信问题，必须进行网络地址转换（NAT），即通信时把私有地址转换成因特网上合法的公有地址[5]。

NAT技术结合ACL技术可对访问公网的源地址进行访问控制，即内网网络管理中心楼的机器出于安全考虑，不允许访问互联网，可通过ACL具体配置，代码如下：

WHmusic(config)#access-list 10 deny 192.168.70.0 0.0.0.255

//拒绝地址为192.168.70.0网段的数据包通过

WHmusic(conf i g)#access-list 10 permit any //允许其他网段地址的数据包通过

WHmusic(config)#ip nat inside source list 10 interface Serial0/3/0 overload //表示以端口复用方式，将访问控制列表10中的私有地址转换为路由器外部接口的合法IP地址

WHmusic(conf i g)#interface FastEthernet0/0 //进入接口并配置ip地址

WHmusic(config-if)#ip address 192.168.129.2 255.255.255.0

WHmusic(conf i g-if)#ip nat inside //指定NAT的内部转换接口

WHmusic(conf i g)#interface Serial0/3/0 //进入接口并配置ip地址

WHmusic(config-if)#ip address 158.18.18.1 255.255.255.252

WHmusic(conf i g-if)#ip nat outside //指定NAT的外部转换接口，此接口翻译为内部全局地址到达外部网络

3 结 论

该校园网安全设计是基于当前校园网网络功能进行改进，考虑了核心层的冗余备份和服务器群的安全性，并设计了三层安全防护措施。该设计的不足之处在于模拟器的功能有限，审计和统计管理等功能无法实现，需在后期实际应用中进行扩展。