纠正一下,我被打脸了,锐捷的认证系统在portal认证下前些时间被人找到了破解的方法
其中一个是利用工程人员一般默认把dns协议放通,这种情况可以把报文封装到dns报文中逃过认证
另外一种方式更巧妙,利用了认证流程上的一个漏洞,方法就不公布了
(不要问了,肯定修复了,只是说没有不透风的墙,不存在没有没有漏洞的系统)
填一个坑,一般学校的组网方式介绍:
首先是比较小的学校,人数不多,漏洞也不多,一台核心打天下,下面全是接入,用户网关在核心上,宿舍区可能会下放到汇聚
然后是最常见的类型,三层架构网络,大部分高校网络都是这个架构,用户网关一般在汇聚层交换机,汇聚-核心之间一般会跑动态路由协议。
当然很多学校已经做了扁平化改造,即使物理结构看起来还是3层,但网关全部上收到核心交换机上或者核心旁挂的一台BRAS上,可以降低逻辑网络复杂度和降低管理压力。为什么以前不做呢,因为以前的核心交换机扛不住上万人的
比较有钱的学校会上双核心冗余,核心交换机常用横向虚拟化技术虚拟成一台,比如锐捷的VSU、思科的VSS、华三有IRF
还有就是一些新技术的应用,比如加入SDN控制器、VXLAN等技术。锐捷、华为是以SDN控制器+支持SDN的交换机做流表控制来解决一些以前扁平化和三层网络方案都难以解决问题比如管理、业务变更、哑终端入网等,华三是直接采用VXLAN构建overlay的方式来做,各有特点,哪种方式是否适合校园网需要时间来做定论
~~~~~~~~~~原答案~~~~~~~~~
锐捷的网络一般是大二层设计,认证和网关是在核心,一般使用802.1x认证(客户端)或web portal认证(弹网页)
认证时返回那种提示确定是认证平台提供的时段控制
破解的话要么绕过认证要么修改认证平台的数据
首先设备不用想了,即使是高水准安全技术人员也没办法绕过去
唯一的弱点就在认证平台,如果你有把握就把锐捷的SAM平台或者他的数据库管理弄下来(社工学校网络管理部门什么的也可以哦)
还有就是把核心破了,一般实施不注意就忘了过滤学生端的telnet访问什么的,直接telnet你的网关看有没有反应就知道有没有戏了,破解方法基本靠猜和社工,或者搞出锐捷设备的漏洞什么的
总结,会社工或者有高水平的系统渗透技术,要不真不容易
高校常见组网方式等有时间写写
(施工中)
现在高校基本都是大二层+认证上收到核心的做法,由于学校管理,校园网资源和一些不能说的原因,网关和认证大多是下沉到学校机房的,不像家宽都在区域机房里
认证核心要么是华为或者中兴的BRAS设备比如ME60,要么就是锐捷和一些其它厂商定制强化了认证功能的核心交换机
认证系统若直接使用宽带账号登录就是认证设备直接与运营商的认证计费系统对接,如果学校自己管认证则会在校内设置一套认证计费系统,并且可以与运营商认证计费系统对接。大概用的就是锐捷深澜城市热点等等了
接入网一般为大二层和三层组网两种模式,大二层现在在高校属于主流构架,管理方便,运维技术难度低。大二层又有PON网和交换以太网两种接入方式,PON就是光纤家宽那种,核心部署一台OLT,下面一根光纤分光成很多根各连一个ONU(光猫)。交换以太网则是用传统的交换机接入,设备部署依旧可以分为接入汇聚核心三层,但一般在汇聚层的三层网关均上收到核心,再使用qinq或者supervlan等技术隔离接入端口,防止广播域过大
(待补几个图)
只有少数大学的网络宿舍区域还在用三层组网的模式。三层组网在学校里基本还是在办公区域里比较常见免责声明:文章内容来自互联网,本站仅提供信息存储空间服务,真实性请自行鉴别,本站不承担任何责任,如有侵权等情况,请与本站联系删除。
转载请注明出处:一般高校的校内网络结构是怎样的?-大学校园的网络 https://www.bxbdf.com/a/144604.shtml