关于信息大厦局域网防范非授权网络设备接入的低成本实现

摘 要：计算机网络的物理覆盖范围是网络安全的重要方面，严格管理网络的覆盖范围能够有效控制破解、入侵等潜在的网络威胁。本文探讨如何以最小的成本尽力规避该类风险。

关键词：局域网；防范；非授权网络设备接入

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2013） 12-0000-01

2010年落成的信息大厦，办公网局域采用单核心星型拓扑，核心交换机H3C 7510-E对下汇接所有楼层的接入交换机H3C 5100-E，部分接入交换机下联无线AP H3C WA2210-AG，核心交换机对上连接互联网出口设备，局域网拓扑示意图如下：

在核心交换机上，除划分若干服务器vlan外，还为每楼层划分了独立的Vlan，每层的网关也集中部署于核心交换机，与接入交换机通过Trunk电路互联。

各楼层交换机仅用于终端和无线AP的接入，接入端口按用户实际需要开通，楼层交换机软件版本如下：

H3C Comware Platform Software

Comware Software， Version 3.10， Release 2203P08

Copyright （c） 2004-2009 Hangzhou H3C Technologies Co.， Ltd. All rights reserved.

H3C S5100-50C-EI with 1 Processor

64M bytes DRAM

16M bytes Flash Memory

Config Register points to FLASH

Hardware Version is REV.B

CPLD Version is 002

Bootrom Version is 803

可以支持接口MAC地址绑定，且每台交换机支持不小于1024条的MAC地址表，可以满足楼层用户接入的需要。

局域网投产初期，运行稳定、用户反映良好，日常维护中逐渐发现，不少用户出于使用方便，私自连接各型无线网络设备对局域网接入范围进行物理扩展，并且任意终端均可通过未授权的网络设备接入，严重影响局域网的安全性和可控性。以下探讨如何在现有条件下，对此类非法接入进行严格的技术限制。

一、目标

以最低成本防范办公网局域网连接未授权的无线网络设备，以此杜绝用户终端通过这类未授权的网络设备接入办公楼局域网。同时，尽量照顾局域网用户现有的上网习惯，如开机即在线――无需身份认证，手机、平板等智能终端可以在大厦内移动使用――无线网络有缝自动切换。具体目标如下：

1.非授权的网络设备即使连接局域网，也无法提供有效的网络服务

2.授权的网络设备提供的网络服务，必须是加密的

二、措施

在各楼层接入交换机的在用接口下进行IP-MAC地址绑定，每个接口的配置步骤如下：

1.绑定IP-MAC地址表：

参考命令：am user-bind mac-addr f80f-413a-8f7f ip-addr 10.1.0.1 ，其中f80f-413a-8f7f 是客户机MAC地址，10.1.0.1是给客户机分配的IP地址。

2.配置源IP、MAC地址检测：

参考命令：ip check source ip-address mac-address

辅以管理手段：一方面禁止用户携带私人网络设备接入局域网，另一方面，公司为无线网络覆盖不到的用户采购可加密的无线AP设备，由技术部门部署，满足这部分用户的网络访问需求。

三、方案评价

1.MAC绑定优化的局限性。经过与运营商、设备制造商的交流，除了进行MAC地址绑定外，暂不存在其他识别接入设备的技术手段，由此导致，为了接入授权的网络设备、并排除非授权的网络设备，不得不将用户终端（如PC、智能手机等）也纳入MAC地址绑定范围，既给用户带来不便，也增加了安全防控的成本。同时，该方法不能控制集线器等ISO物理层设备对网络进行的扩展。

2.存在变通的解决方案：终端准入控制。准入控制系统能够保证在网络覆盖范围弹性变化的情况下，接入的终端都是合法用户授权的，而用户是否合法是由管理员统一管理的、接入的终端是否合规可由配套的软件进行实时检测，并且每个用户能够访问的资源也是由管理员统一管理的；加之一定的审计系统，就能够实现较完备的终端管控（黑白软件名单）、接入控制（身份验证通过才能使用网络）、访问控制（给用户授权一部分目标主机）和事后监督（针对问题查找用户的访问日志）。准入控制系统存在维护成本，尤其是用户与访问资源之间的对应关系维护，岗位变更、业务升级等都会导致准入控制的调整，要确保各项调整的及时性，人力成本是必须考虑的。

3.MAC绑定高昂的维护成本。正如措施中说明的，MAC地址绑定必须在接入交换机的每个接口下分别进行，导致新终端入网、老终端迁移都更加不便。当前，大厦全网部署DHCP且未配置任何安全绑定，用户增加新终端几乎无需技术支持，用户可以利用现有的有线或无线网络环境自行入网，终端迁移也非常方便。但安全加固后，通常不再需要DHCP服务，用户使用任何新终端（例如，更换PC机或智能终端等）访问办公网都必须先提供MAC地址（即使用户不具备自己查询MAC地址的能力）和上网地点（例如，工位、房号、楼层等），管理员准确完成（包括空闲的IP地址、正确的楼层交换机、正确的接口号、正确的MAC地址）绑定后，用户才能在指定的环境中（例如，固定的工位，或某一台AP的覆盖范围内）使用办公网。如果用户需要在较大的范围使用自己的终端（例如，更换办公室，便携式办公等），则必须在多个接口、甚至多台接入交换机上进行重复的绑定。由此导致的服务时间每终端预计不低于30分钟，包括联系用户确认需求的时间、变更申请的时间、变更操作的时间等；如果用户接入的是无线网络设备，还应考虑无线设备配置的时间（不低于30分钟）。其维护的效率之低可见一斑。

[作者简介]尹若光（1981.06-），男，硕士，网络工程师，2003年取得西安交通大学工学学士学位，同年留学法国，2006年于特鲁瓦工程技术大学获得工程师学位（相当于工学硕士学位）。2006年9月入职陕西省邮政公司信息技术局，作为全省信息网网络管理员，先后负责185客服中心、省内骨干升级改造、同城网络优化、OA项目、数据中心搬迁、信息大厦网络规划、西安世园会网络建设、等级保护工程等工作。