运营商用户接入安全控制方案

某某运营商用户接入安全控制方案

用户接入方案一

概述：

采用DHCP,结合多项技术防范用户私自接入。

所有用户IP地址采用DHCP由中心服务器统一动态分配。

优缺点：

优点：

1．  合理的动态利用IP地址资源，减少用户配置

2．  可以限制每个用户只有1个电脑可以上网(可以根据情况设置)

3．  由于用户采用DHCP获得地址，减少IP地址冲突发送

4．  禁止用户私自配置ip地址上网

5．  防止用户的arp二层攻击和假冒ip地址攻击

6．  可以根据DHCP服务器的记录最终到每个用户上网ip记录

缺点：

1．  对设备功能要求较高，要求具有如下技术功能

采用技术和相应安全防范功能：

1．通过Port Security的最大MAC数量限制限制用户上网电脑数量，同时防范MAC泛滥攻击

2．设备配置dhcpsnooping防止用户私自架设DHCP服务器干扰和DHCP欺骗攻击，建立IP/MAC和端口对应表，用于下面2个安全防范检查（如果没有DHCP，需要手动在每台交换机建立对应列表） 

3．通过动态ARP检查（DAI，Dynamic ARP Inspection）防止用户的ARP欺骗攻击

4．通过IP Guard技术防止伪造IP攻击

模拟环境和示范配置： 

网络拓扑图如下：

Vlan901：（地址段10.30.2.1/29,网关10.30.2.1）

用户A/B

Vlan902：（地址段10.30.3.1/29,网关10.30.3.1）

用户C（设备C）

     DHCP服务器配置如下：

     Pool 1：10.30.2.2－10.30.2.6

             Mask:255.255.255.248

             Default gateway: 10.30..2.1

             DNS server: 211.141.90.68

     Pool 2：10.30.3.2－10.30.3.6

             Mask:255.255.255.248

             Default gateway: 10.30.3.1

             DNS server: 211.141.90.68

三层汇聚3550上配置:

!建立Vlan901-902

     Vlan 901-902

interface vlan 901

 !设置dhcp服务器地址,可以设置多个服务器作为备份

ip helper-address 10.30.1.10

 interface vlan 902

!设置dhcp服务器地址,可以设置多个服务器作为备份

ip helper-address 10.30.1.10

用户接入交换机3560上配置：

!建立Vlan901-902

Vlan 901-902

!设置端口在port-security导致的关闭后可以自动恢复

errdisable recovery cause psecure-violation

!设置30秒后自动恢复

errdisable recovery interval 30

!对Vlan901,902打开DHCP snooping监控

ip dhcp snooping vlan 901,902

ip dhcp snooping information option

ip dhcp snooping

!对Vlan901,902打开DAI检查

ip arp inspection vlan 901,902

ip arp inspection log-buffer entries 1024

ip arp inspection log-buffer logs 1024 interval 10

!

!上联Trunk端口不做检查和限制

int range F0/24

switchport trunk encapsulation dot1Q

    switchport mode trunk

switchport trunk allowed vlan 901,902 

ip dhcp snooping trust

ip arp inspection trust

!  

int range F0/1 - 3

switchport mode access

!设置port-secutiry,只允许1个MAC地址通过

switchport port-security

switchport port-security maximum 1

switchport port-security violation shutdown

!禁止端口提供dhcp服务

no ip dhcp snooping trust

!限制端口每秒的dhcp请求数量

ip dhcp snooping limit rate 10

!端口进行ARP检查

no ip arp inspection trust

!限制端口每秒的ARP包数量

ip arp inspection limit rate 15

!端口进行IP检查

ip verify source vlan dhcp-snooping port-security

! 

int F0/1

 switchport access vlan 901

int F0/2

 switchport access vlan 901

int F0/3

 switchport access vlan 903

过程说明：

1．PC（A）发出DHCP请求

2．3550－48收到请求，将此请求转发到DHCP服务器，转发数据包源地址取当前网段接口地址（A所在网段，即Vlan901的地址10.30.2.1），目的地址为当前端口配置的help-address（DHCP服务器地址），数据包MAC地址为A的源地址

3．DHCP服务器收到此请求，根据此请求源地址（10.30.2.1）查找属于此地址段的地址池，找到Pool－1（10.30.2.2-10.30.2.6），分配地址

4．DHCP服务器将分配地址接口转发回3550-48，告诉3550-48 MAC地址为A的机器地址为10.30.2.2、29

5．3550-48收到此数据，根据MAC地址返回给A，完成DHCP过程 

6．此过程中，在用户接入交换机3560中通过DHCP Snooping建立对应表如下：

3560#sh ip dhcp snooping binding MacAddress        IpAddress    Lease(sec)  Type      VLAN  Interface ------------------      ---------------    ----------    -------          ----  -------------------- 00:0D:60:2D:45:0D   10.30.2.2    600735   dhcp-snooping  901   FastEthernet0/1

7．  根据如上信息，DAI和IP source-guard对用户数据包进行相应检查，符合的才能通过

效果讨论： 

1．如果用户没有经过dhcp获得地址，而是私自设置地址，由于没有建立相应的DHCP snooping数据库，导致DAI检查和IP Source-guard检查失败，从而无法上网

2． 如果用户连接多余1台设备上网，由于设置只能允许1台电脑，导致端口自动errordisable，用户无法上网，30s后端口自动恢复，用户如果拔除多余电脑，端口正常

3． 同样用户如果伪造ARP攻击或者伪造IP攻击，均会导致DAI检查和IP Source-guard检查失败，从而伪造流量无法进入交换机

4． 由于通过DAI配置了ARP限制，用户如果发起ARP攻击，每秒也只能有15个ARP进入交换机，其他均丢弃

5．  由于配置了Port－security限制，同样防止了MAC泛洪攻击

6． 由于配置DHCP snooping频率限制，用户同样无法发起大量DHCP请求攻击dhcp服务器

7． 通过DHCP服务器的日志记录，可以实现对用户的跟踪记录，同时无需登记用户的MAC地址信息

总计：

此方案的安全效果完全能够满足用户要求，推荐用户使用。

用户接入方案二

    概述：

MAC绑定

记录用户接入设备的MAC地址，IP地址采用静态配置或者 DHCP由中心服务器统一静态的根据用户MAC地址对应分配，在网关路由器上将IP地址与MAC地址实现静态绑定

    优缺点：

     优点：

1．严格控制用户（可防止用户私自接入未经许可设备）,通过将未分配的地址对应错误的MAC地址从而禁止用户使用这些地址

2．解决地址冲突问题

3．对设备硬件要求较低

   缺点：

1.需要登记用户MAC地址，用户机器更换网卡后需要重新登记，手续繁琐

2.每增加1各用户都需在对应3层设备配置1次，在开设大量用户后，配置很大

3. 配置不灵活，不能防止用户的arp二层攻击

4. 虽然用户配置其他用户地址不能上网，但是仍然会导致其他用户收到IP地址冲突告警，干扰其他用户

5. 无法防范ARP攻击和MAC地址泛洪等二层攻击

模拟环境和示范配置：

如图（设备A的对应IP地址 10.30.2.2,设备B的 IP地址10.30.2.3 ）

3层汇聚3550配置：

! /* 注 此次 00B0.D0BF.3ED2 为MAC地址的另一种写法，4位连写 */

arp 10.30.2.2 00B0.D0BF.3ED2 arpa

arp 10.30.2.3 0000.3988.363C arpa

!以下配置禁止用户使用剩余的地址（也可以通过访问控制列表实现）

arp 10.30.2.4 0000.0000.0000 arpa

arp 10.30.2.5 0000.0000.0000 arpa

arp 10.30.2.6 0000.0000.0000 arpa

 说明：

1）当用户A、B正常配置IP时,双方均能正常通讯，浏览Internet

2）在Vlan100私自接入1台设备D（IP为A的地址10.30.2.2，MAC地址00-00-86-4A-9F-E2）, 经测试在用户A下线时也无法与网络连通，达到阻止其使用正常用户IP的目的。

此时将设备D配置IP为10.30.2.5,由于3550上对此地址也有控制（MAC绑定或者ACL）此处私自连接的机器D无法连通Internet，只有原先登记MAC地址的机器B可以连通Internet，且IP地址必须为设定的10.30.2.3，达到控制效果。

3）  将D视为Vlan新增加的用户,则需要在3550上修改对应表如下：

SW03(config)#arp 10.30.2.5 0000.864A.9FE2 arpa 

(不需要将原有配置清除，直接覆盖 即可) 

 此后，此设备D可正常访问Internet 

如果原来使用ACL访问控制列表，则修改ACL。

总计：

此方案仅仅能够满足基本需求。