高校校园网(PPPOE)解决方案.pdf

资源描述

《高校校园网(PPPOE)解决方案.pdf》由会员分享，可在线阅读，更多相关《高校校园网(PPPOE)解决方案.pdf（17页珍藏版）》请在三一文库上搜索。

1、职教校园网技术方案目录 1 概述 . 3 2 设计目标 . 3 2.1 需求分析 . 3 2.2 设计目标 . 4 3 技术方案 . 4 3.1 组网方案 . 4 3.1.1 网络模型 . 4 3.1.2 核心层 . 5 3.1.3 汇聚层 . 5 3.1.4 接入层 . 5 3.2 用户接入方式规划. 6 3.2.1 内网访问 . 6 3.2.2 外网访问 . 6 3.3 PPPoE认证 . 7 3.4 AAA技术 . 8 3.4.1 背景 . 8 3.4.2 概念介绍 . 8 3.4.3 AAA实现技术. 9 3.5 VLAN规划 9 3.6 IP 地址规划. 10 3.7 可靠性设计

2、. . 11 3.8 QOS 业务控制 12 3.8.1 QOS 实施策略 12 3.8.2 职教校园网QOS解决方案 . . 13 3.9 IPV6 预置 . 14 3.10 网络 ARP攻击防范 . . 15 3.10.1 什么是 ARP? . 15 3.10.2 什么是 ARP欺骗 ? . 15 3.10.3 如何防范 ARP欺骗？ . . 15 3.10.4 如何防范大量ARP报文导致的DOS 攻击？ 16 3.11 网络管理 . . 16 3.11.1 网管的必要性 . . 16 1概述职业教育学院是经教育部批准, 由国家一流科研单位设立的高等院校。学院已有近三十年的办学历史，为

3、国家培养了大批优秀科研人员和生产骨干。学院师资雄厚，专职教师中有教授8 名、副教授44 名、博士6 名、硕士23 名，并长期聘有多位两院院士和专家学者担任客座教授。学院现有两个校区，教学生活设施齐全。建有教学大楼、实验大楼、科技开发楼、图书馆、学术报告厅、培训楼和设备先进的数控加工培训中心、CAD/CAM 实验室、反求工程实验室、传统机械加工培训中心、电机拖动实验室、自动控制实验室、计算机网络实验室等大型实验室和实训基地。拥有高精度的数控机床、三座标测量仪、数字金相显微镜、计算机站等一流仪器设备，配有UG 、IDEAS等大型设计、计算软件。为了全面提升学院的信息化水平和满足教学

4、科研对信息化基础设施的需求，学院拟部署新校园网络，实现各单位之间的信息互连，并实施统一的网络管理和安全策略，实现信息化效率和安全的统一发展，为全院师生的学习、教学、科研、生活提供全方位的信息服务。 2设计目标 2.1需求分析根据对职教校园网的技术需求分析和现代校园网技术发展方向的研究，总结出以下基本技术要点：实现校园内部所有信息点的接入和汇聚；校园通过统一的出口实现到Internet的连接；可管理、可运营校园网发展趋势要求实现内网资源访问免费、外网资源访问计费的认证计费管理模式；考虑到校园规模和教学科研业务的未来扩展，采用核心、汇聚、接入三层的星型拓扑来构建校园网；根据

5、未来各单位和业务流量规模的发展需求，核心到汇聚层要具备万兆链路扩展能力；考虑到校园网和CERNET 新老骨干网的对接，要求网络核心层面具备IPV6 能力。采用百兆到桌面的接入部署；实施全面的QoS策略，确保对不同业务流量的服务质量；网络要充分体现安全性，可靠性，先进性，开放性，可扩充性及优良的性价比。 2.2设计目标基于以上对职教校园网基本需求的分析，本方案的设计目标是采用业界领先的网络设备，在充分满足基本需求的同时，使整个网络具备易管理、可运营、高扩展性、高可靠性、能进行高质量的多业务承载的特征，真正构建出一个高品质的新型校园网。 3技术方案 3.1组网方案根据职教校园网的

6、当前状况和未来发展趋势，我们提供了全面的整体解决方案，整个网络方案突出层次化、模型化、高可靠性的原则，确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。 3.1.1网络模型职教校园网包括的信息点数量较多，采用核心、汇聚、接入三层的网络层次，基本架构模型如图。 3.1.2核心层在典型的层次化模式中，组件间通过核心层互联，核心用作网络骨干。鉴于各组件都依赖核心进行连接，因此，核心必须速度很快且可靠性极高。现在的硬件加速系统具备以线速提供复杂业务的潜能。建议在网络核心采用“越简单越好”的方法。最低的核心配置可降低配置复杂性，从而减少出现运行错误的几率。核心层用于承担校园网各分

7、布区域的子网互连。核心层是整个网络可用性和可靠性的关键，需要进行各关键设备和关键器件的冗余，由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通，同时承担各单位到Internet的接入，故必须能满足大业务横向流量的性能要求，也要满足出纵向业务流量的性能和功能要求。基于以上的基本数据流量模型分析，采用1 台 BRAS设备和 2 台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。其中，核心交换机通过和汇聚层设备组双星型网的方式构建校园网内各子网间的横向互连，由于校园网内横向流量较大，且随着校园规模的扩展和业务的发展而快速增加，因此采用千兆链路来互连，并具备10G

8、E链路平滑扩展的能力。此外，双核心交换机之间通过两条10GE或者 nGE链路捆绑方式进行互联以实现VRRP心跳报文互通和业务数据流量的互通。为了实现各单位/ 部门到 Internet和 CERNET 的接入，核心交换机通过GE链路直接和 BRAS设备进行纵向连接，转发所有出校园网的数据流量。BRAS设备通过千兆链路和 UTM 或者流控等出口设备相连，最后通过多ISP 接入 Internet或者教育骨干网，保证校园网到广域网流量的可靠转发。 3.1.3汇聚层汇聚层主要承担校园网内部各单位/ 部门的数据互通并汇聚流往核心层的数据。基于汇聚层冗余路由快速切换的考虑，各汇聚层交换机通过

9、双归属链路和两台核心交换机进行连接，实现主备或者负荷分担的可靠链路。由于各单位 / 部门内部的局域网的业务流量很大，汇聚层需要有足够的带宽容量来支撑突发的海量数据并提供良好的QoS 保障，因此采用千兆链路来构建汇聚层，并具备万兆链路的扩展能力。由于采用了到两台核心交换机的双归属链路，可以在两台核心交换机启用VRRP 协议来实现缺省网关的保护（实现内网资源访问），这样两条到核心层内网资源缺省网关的链路处于主备工作状态。 3.1.4接入层接入层主要承担各信息点的接入。接入层要求为各信息点提供百兆带宽的接入，实现无阻塞快速的数据接入。接入层交换机通过千兆链路上连到所属子网的汇聚交换

10、机上。为了在接入层就启用较好的防ARP攻击等策略，同时考虑到校园网的技术前瞻性，接入层交换机采用具备ACL 功能的智能二层交换机，并且通过千兆链路和汇聚层交换机互通。 3.2用户接入方式规划 3.2.1内网访问校园网的主要用途之一是承载师生和教职工家属等对内网各类应用服务的访问，比如 FTP服务、 VOD点播、课件下载/上传、校园网站浏览/BBS等，因此校园网首先要保证所有信息点对内部服务器区域的无阻塞访问。内网访问流量模型如下：如图，用户依次经过接入、汇聚、核心交换机，并通过内网防火墙的过滤后实现对内网服务器的访问，整个路径可以采用二层网络方式，主要通过二层VPN技术进行业

11、务 / 单位 / 功能子网的隔离，并对不同VPN实施 Qos 来实现内网访问流量的多业务承载，具体实施方式参见下文VLAN规划和 Qos规划。 3.2.2外网访问校园网的另一主要用途是实现学生、教职工、家属对外网的访问，包括Internet 和 Cernet 的访问。由于Internet接入是付费的，因此用户对外网特别是Internet的访问需要进行严格的管理，实施针对用户的认证、授权、计费（AAA ）管理，不仅能提升校园网使用的安全性，还能打造出可运营的新一代校园网，实现信息基础设施的良好投资回报率。外网访问流量模型如下：如图可见，用户对外网的访问三种基本数据流量：用户终端到BR

12、AS的 PPPoE报文流量， BRAS到 AAA服务器之间的认证计费数据流量，认证通过后用户到外网的业务应用流量。具体流程参见下文的PPPoE认证和 AAA技术。 3.3PPPoE认证通过 PPPoE （Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。 PPPoE （Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。 PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery st

13、age）和点对点对话阶段（ PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC 地址，并建立一个PPPoE的对话号（ SESSION_ID ）。在 PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户- 服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立 PPPoE的所有信息。搜索阶段将在点对点对话建立之前一直存在。一

14、旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。优点：和原有窄带网络用户接入认证体系一致，计费精确，符合用户习惯，用户容易接受。 PPP连接是点对点连接，克服了局域网共享连接病毒猖獗的有助于用户管理控制，可为不同用户定制服务，分配各自的独享带宽，提供差异化运营服务。有助于提供平滑的QoS ，可区分不同业务，有效管理出口流量，抑制P2P流量和病毒引起的突发流量。专用客户端支持防代理功能，可防止资费流失。运营商普遍采用PPPoE认证技术，因此，可以跟随运营商，享受后续的技术更新。在运营商普遍采用PPPoE实现家庭用户接入的情况下，校园网用户更容易适应这

15、种方式。 3.4AAA技术 3.4.1背景随着 Internet的发展，越来越多的应用通过网络得以实现，拨号用户、专线用户以及各种商用业务的发展使Internet面临许多挑战。如何安全、有效、可靠的保证计算机网络信息资源存取及用户如何以合法身份登陆、怎样授予相应的权限，又怎样记录用户做过什么的过程成为任何网络服务提供者需要考虑和解决的问题。正是基于此需求， AAA协议逐渐发展完善起来，成为很多网络设备解决该类问题的标准。 3.4.2概念介绍 AAA指的是 Authentication（认证）、 Authorization（授权）、 Accounting （计费）。自网络诞生以来，

16、认证、授权以及计费体制（AAA ）就成为其运营的基础。网络中各类资源的使用，需要由认证、授权和计费进行管理。认证（ Authentication）：用户在使用网络系统中的资源时对用户身份的确认。这一过程通过与用户的交互获得身份信息（诸如：用户名 -口令组合、生物特征获得等），然后提交给认证服务器；后者对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。例如：网络接入服务器（NAS ）能够识别接入的宽带用户。授权（ Authorization）：网络系统授权用户以特定的方式使用其资源。这一过程指定了被认证的用户在接入网络后能够使用的业务和拥

17、有的权限，如授予的IP 地址等。计费（ Accounting ）：网络系统收集、记录用户对网络资源的使用，以便向用户收取资源使用费用，或者用于审计等目的。以互联网接入业务供应商ISP 为例，用户的网络接入使用情况可以按流量或者时间被准确记录下来。认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。 3.4.3AAA实现技术目前有多种AAA 实现技术，每种技术都有其优缺点和不同的使用场景。比较流行的 AAA技术有 Kerberos 、TACACS+ 、Radius 、Diam

18、eter 。当前最应用最多的AAA技术协议是 Radius 协议。 Radius 是 IETF 制定的标准，是一种完全开放的协议，分布源码格式，这样任何安全系统和厂商都可以用。是目前最常用的认证计费协议之一，它简单安全，易于管理，扩展性好，所以得到广泛应用。 3.5VLAN规划采用虚拟局域网VLAN主要出于三个目的：用户隔离、提高网络效率；提供灵活的管理；提高系统安全性。因此，规划VLAN时也应该综合考虑这三方面的因素。接入层交换机可通过VLAN的启用来对单位/ 部门内部的各信息点进行进一步归类，不仅可以实现部门的细分和隔离，还能有效的防止单位/ 部门内部的广播风暴。同时，接入

19、层交换机还可以通过ACL的启用来更加有效的对单位/ 部门内部的信息点的互访及信息点对外网的访问进行控制，是数据流量在接入层就能够开始得到合理有效的控制。校园网内不仅有科研单位/ 区域，老师办公区，电化教室，还包括学生宿舍、教工宿舍等，不通的区域有不同的数据流量模式，需要进行合理的隔离和子网划分。建议对不同区域的信息点和业务进行统一划分，分配不同的VLAN ，以实现二层数据隔离，保障各区域的子网安全并限制各区域数据流量的互相影响。由于汇聚层设备需要对下属接入交换机构成的各单位/ 部门进行区分，而对不同接入交换机上行的流量应该按单位/ 部门进行汇聚，如果接入层上部署PUPV （每用户

20、每 VLAN ），那么可以采用基于策略的QinQ技术在汇聚层上将所有流量重新打上VLANID ，此 VLANID 是基于单位 / 部门功能子网划分的。比如在接入层的每个功能子网内部部署 VLAN100 n（n4096），而在汇聚层接入端口实施QinQ，根据功能子网将VLAN统一替换为 VLAN1 9；这样能实现校园网内各单位/ 部门之间、单位/ 部门的各办公室之间以及不同用户信息点之间的数据流量隔离和互通。而核心交换机可以基于QinQ的外层 VLAN进行数据交换，实现二层的VPN隔离。考虑到校园网对不同特性数据流量的统一承载，比如语音、数据、视频等，为了实现良好的业务隔离，保证不同

21、业务的安全性和性能，可以将各特殊业务的VLAN进行统一规划，比如视频会议用VLAN10 ，IP 电话用 VLAN20 ，等等。所有的 VLAN都在 BRAS 上进行终结，转入三层转发模式。 VLAN规划如图： 3.6IP 地址规划（1）概述网络地址、域名统一规划：由于IP 地址及域名尚未确定，本次方案中只简要提出 IP 分配及域名规划的原则。域名规划要注意层次性和一致性。内部域名、外部域名要分别设置，能体现组织结构并易于管理。（2）IP 地址分配的原则地址分配要遵循以下原则：简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式。连续性：为同一个网络区域分配连续的网络地址

22、，便于采用SUMMARIZATION 及 CIDR(CLASSLESS INTER-DOMA IN ROUTING)技术缩减路由表的表项，提高路由器和三层交换机的处理效率。可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性。灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化。可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。（2）IP 地址分配方案路由器的管理地址采用单独规划的loopback 地址，交

23、换机的管理地址采用特定三层接口的IP 地址。设备配置名称采用A-BB-C-DDDD-EEE ，A：楼栋； BB：楼层； C：产品类型（ R代表路由器， S代表交换机， F 代表防火墙， I 代表入侵检测系统，E代表安全评估系统，A 代表安全审计系统）；DDDD ：设备型号，比如2826；EEE ：如果有相同型号设备用数字区分。设备的管理地址：统一采用192.168.1.0/24这个网段作为设备管理地址使用, 未分配完的地址保留以便于以后扩展。互联地址： 192.168.4.0/24作为设备互联地址。业务地址如果各单位 / 部门存在互连互通的需求，则要保证其IP 地址不能重叠，

24、因此建议统一为各单位/部门分配私网IP 地址来配置各信息点，使各单位/ 部门的 IP 地址均不重叠。并通过在BRAS或者 UTM设备上启用NAT技术和策略路由来实现对Internet的访问。 3.7可靠性设计可靠性和自愈能力包括设备冗余、模块冗余、链路冗余等要求: 1）设备冗余。在核心层等关键节点需要采用设备冗余，以避免星型组网方式下一个核心故障而影响全网。双核心通过VRRP等协议进行配合，能在某台设备故障的情况下自动快速切换到另一个备用核心，保证整网业务不中断运行。 2）模块冗余。主要设备的所有模块和环境部件应具备1+1 或 1：N热备份的功能。所有模块具备热插拔的功能, 核心

25、层设备对主控模块及关键部件应采取1+1 的冗余。 3）链路冗余。在核心层和汇聚层采用了基于VRRP 的方式来实施双链路冗余，保证单段链路中断的情况下能继续提供可靠的数据转发。在校园网的UTM上采用多出口来实现到Internet的链路冗余，当个别链路故障时，出行流量可以自动切换到保护链路上。 3.8QOS业务控制校园网将支持多种多媒体运用，整网要有良好的QOS 业务规划，已满足包括语音、视频在内的多种业务应用系统对服务质量的不同需求，特别是对一些时效性要求很高的网络应用，系统要有很好的保证。本方案在以下方面保证服务质量：采用高性能、大容量的路由交换设备，保证数据的线速交换；采

26、用高带宽的核心网络，消除瓶颈；支持丰富的QOS 策略以及QOS 保证技术。 3.8.1QOS 实施策略 QoS方案的设计实施，首先需要考虑选择合适的技术框架，也即服务模型。服务模型指的是一组端到端的QoS功能，目前有以下三种QoS服务模型： Best-Effort service尽力服务 Integrated service（Intserv）综合服务 Differentiated service（Diffserv）区分服务这三种服务模型中，只有Intserv与 Diffserv这两种能提供多服务的QoS保障。从技术上看， Intserv需要网络对每个流均维持一个软状态，因此会导致设备性

27、能的下降，或实现相同的功能需要更高性能的设备，另外，还需要全网设备都能提供一致的技术才能实现QoS 。而 Diffserv则没有这方面的缺陷，且处理效率高，部署及实施可以分布进行，它只是在构建网络时，需要对网络中的路由器设置相应的规则，会使配置管理比较复杂。由于要承载数据、语音、视频等多种实时和非实时的业务，加之网络应用中突发海量数据流量对网络带宽的瞬间吞噬，这对网络设备的流量区分和调度能力是一个很大的考验。考虑到Diffserv模式具有处理效率高，部署和实施方便的特点，同时以太网、 IP 网和MPLS网络对Diffserv模式的支持非常成熟和有效，在全网规划和实施 Diffs

28、erv比较方便，我们建议在方案中选用Diffserv模式。总之，在职教校园网中，可以基于DiffServ框架，合理的利用一系列QOS 功能组件，在网络的边缘根据业务及应用的不同对数据报文进行流量监控及流分类，将报文分成优先级不同的几个业务等级，并根据分类结果对报文进行标记；在网络核心，根据报文中的业务等级标记，对报文进行一系列不同的操作，包括队列调度，流量整形，丢弃处理等，从而满足高优先级业务的服务质量，同时尽可能的保护了低优先级的业务。 3.8.2职教校园网 QOS 解决方案校园网是一个集成了数据、语音、视频等多业务的跨区域、跨部门、跨链路的综合网络，不同的业务系统对网络服务

29、的要求不同。在这个统一的网络平台上，应该保证对于不同的应用数据根据其具体要求提供相应的网络服务，并能在因故障导致网络资源稀缺时优先保证关键性业务数据的传输。根据应用系统对网络需求分析，业务可分为以下几类：非实时类：包括资料传输、办公自动化系统及WEB服务等，数据流量大、突发性强、对实时性要求较低，但要求能够可靠传输；准实时类：动态路由协议控制报文、VPN通道控制维护报文、视频业务控制报文等，数据流量不大、对延迟要求较高，过大的延迟将影响到路由收敛的速度和业务运行的效率；实时类：语音、视频业务对延迟要求高，随机性强，并且一定要保证带宽。根据以上需求，网络传输的服务质量可以包

30、括三项参数：延迟、抖动和带宽。具体到各项业务的转发处理过程中，可以通过转发优先权和转发带宽这两个控制参数来调整各项业务的实际服务质量：为视频、语音业务赋予最高的转发优先权，并分配较高的带宽；为准实时类业务赋予较高的转发优先权，并分配较低的带宽；为非实时类业务赋予最低的转发优先权，并分配最高的带宽。以上配置使各项业务能够按需得到各自的与其业务相匹配的服务质量，既保证了视频业务的实时性，也保证了非实时类业务的可靠性。根据以上规则，其它业务也可以根据其自身的需求，同样通过控制转发优先权和转发带宽，而得到其所需要的服务质量。为了达到以上对业务服务质量控制的要求，根据Intserv和

31、 DiffServ两类 QoS模型的成熟性、可扩展性和可控制性的特点，我们建议整个网络的QoS 模型采用成熟的差别服务DiffServ模型方式进行构建，要区分不同的服务并提供质量保障： 1）首先需要区分不同服务的数据，即利用ACL 、VLAN ID、IP 地址、 TCP端口、 UDP 端口、 TOS字段等对数据流进行分类识别； 2）在线路上采用带宽分配、优先级控制、队列调度等QOS 控制技术保证各类应用数据的有效传输。具体实现如下图所示： QoS区分服务由图可见，在校园网的转发优先权业务规划中，考虑到全网语音、视频扩展的需要和覆盖面广、互通要求高的特点，因此建议全网各楼层的单位/

32、部门局域网对不同业务采用统一的VLAN ，例如 VLAN20为实时业务， VLAN10为准实时业务，其他VLAN为非实时业务。在各单位 /部门局域网的二层交换机或三层交换机的端口分配相应的VLAN后接入，映射802.1P 或直接按照设定的优先级进行转发。汇聚层交换在根据单位/ 部门重新映射 VLAN ID 后，同样根据报文的802.1P 字段或直接按照设定的优先级进行转发。核心交换机同样根据报文的802.1P 字段或直接按照设定的优先级进行转发。BRAS实现 VLAN 的终结，并将根据接收报文的802.1P 字段或TOS/DSCP 字段中的QoS标记来做区分服务的转发，并可根据策

33、略为报文的后续三层转发提供QOS 标记。 3.9IPV6 预置根据 IPV6 发展前途和必然性的考虑，校园网完全应该对即将来临的IPV6 业务做好准备，预置IPV6 应该遵循以下原则：现有的 IPv4 网络是一个巨大的网络，只有是保护已有投资基础上的IPv6 布署才是一个好的布署方案。网络中的不同路由器分别在不同的层次上。在布署IPv6 时，要避免对已有的设备浪费，避免影响已有的用户和网络，保护用户的投资。 IPv6 的业务是影响IPv6 应用的一个重要因素。在布署IPv6 设备时，要保证已有的 IP 业务，使得其平滑的过渡到IPv6 的网络中。 IPv6 和 IPv4 间良好的过

34、渡机制也会方便IPv6 的布署。在进行网络建设时，应该提供完善的过渡机制，尽可能的方便IPv4 和 IPv6 之间的访问。根据上述因素，结合职教校园网的现有状况，首先应该要求在核心层的BRAS 设备和核心交换机上具备IPV6 功能，以满足未来接入基于IPV6 的专用骨干网和Internet。 3.10网络 ARP攻击防范 3.10.1什么是 ARP? ARP （Address Resolution Protocol，地址解析协议）是一个位于TCP/IP 协议栈中的低层协议，负责将某个IP 地址解析成对应的MAC 地址。 3.10.2什么是 ARP欺骗? 从影响网络连接通畅的方式来看，A

35、RP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种 ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC 地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC 地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的 PC向假网关发数据，而不是通过正常的路由器途径上网。在 PC看来，就是上不了网了， “网络掉线了”。 3.10.3如何防范 ARP欺骗？对于 ARP欺骗的防范可以通过以下的手段： 1、在用户端计算机上绑定交换机

36、网关的IP 和 MAC 地址。将网关IP 和 MAC 地址绑定成静态不可修改, 这样就不会出现ARP欺骗了。防假网关。 2、在接入交换机上配置ACL对端口作ARP报文监测，只允许网关设备才能够发送网关的 ARP报文。防假网关，防ARP表的欺骗。 3、动态 ARP检查是根据用户配置的ARP访问控制列表(ACLs) 来进行 ARP包的合法性验证。通过把交换机的连接用户的端口设为untrust端口，并设置ARP ACLs ，来阻止所有宣告自己为网关地址的MAC 的 ARP请求和应答，从而保护了正确的网关IP-MAC 地址配对。对于交换机上联与交换机之间的端口需要设为trust端口允许真正的网

37、关进行 ARP请求和应答。防假网关，防ARP表的欺骗。从现在的情况看，只有带ACL的交换机才能有效地控制ARP欺骗。不带ACL的交换机只能借助于外部系统。 4、通过结合DHCP Snooping 来进行 ARP入侵检测。 ARP入侵检测在接入交换机进行部署，接入交换机同时启用DHCP Snooping 对 DHCP报文进行监测。DHCP Snooping 通过监测 DHCP 报文记录了用户的IP/MAC/VLAN/PORT等信息，并形成一个 DHCP Snooping 绑定表。交换机端口接收到ARP报文后，通过查找DHCP Snooping建立的绑定关系表，来判断 ARP应答报文的发

38、送者源IP、源 MAC 是否合法。若ARP报文中的发送者源MAC 、 IP 匹配绑定表中的内容，则认为是合法的报文，允许通过; 否则认为是欺骗攻击报文，就进行丢弃。为了进一步加强用户通过DHCP 获取 IP 地址的安全性，还可以启用802.1X 协议来进行用户接入控制，保证合法用户获得合法的IP 地址。 3.10.4如何防范大量 ARP报文导致的 DOS 攻击？由于 ARP欺骗攻击，经常伴随着发送大量的ARP报文，消耗网络带宽资源和交换机 CPU资源，造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速，限制到CPU的报文的速度，以保证交换机的CPU资源不被过渡占用，从而

39、保证了交换机的正常运行；此外还可以对每个端口的流量进行限速，当端口所连PC的报文流量异常增加时能很好地保障网络带宽资源。 3.11网络管理 3.11.1网管的必要性校园网需要为各个部门用户提供端到端的数据和其它类型的业务。同时为了提高设备和网络的投资效率，所有相关业务的承载网和接入网都需要本着资源共享、业务综合的原则进行统一规划、统一建设。面对上述业务提供中遇到的挑战，如果只依靠采用先进的技术和硬件设备是不够的，因为不论多先进的网络，如果缺乏一套专业，完善的网络管理系统也无法保障能为用户提供高效、优质的网络服务。利用网络管理系统提供的专业管理功能网络管理员需要实现对本地传输和

40、接入网络从物理链路到上层复杂应用和业务的分层次集中管理，进而提高网络的可管理性和运行的稳定性，缩短网络在提供新业务时的开通周期。通过简化网络管理流程，提高管理员的工作效率，网络管理系统还将帮助降低网络的运行成本。本网络系统有其自身的显着特点，如网络规模较大，设备类型和所提供服务复杂，网络的可用性要求高等等。因此用户对其网络管理系统也有很高的要求，不但要求能管理网络中的所有设备、服务，还要符合网络标准并能适应其网络规模，并提供极高的系统和管理稳定性。针对用户的上述网络管理需求，管理系统在管理特性上具有下列特点： 1. 基于公共的管理框架。为便于管理系统各功能模块间进行管理信息的共

41、享和数据交换，所有管理体系中的其它管理工具和模块都与之进行集成，由其作为整个管理系统的支撑平台。 2. 模块化设计。包含了一组提供不同管理功能的管理工具，各管理工具即可以独立工作也可以通过集成共享管理信息。在网元设备管理层，通过选择集成在其管理框架上的不同网元设备模块，网络管理员可以管理网络中的任何网元硬件设备。在服务和业务管理层，网络管理员可以通过选择不同的管理模块实现网络容量规划管理、配置管理、故障管理、性能管理和计费管理等一系列管理功能。这种模块化设计保证了用户可以根据自己的管理需求构建最符合要求的管理系统，节省用户的投资。 3. 高系统强壮性。并运行在NT 或者 Unix

42、管理服务器平台上，管理软件自身具有良好的系统强壮性，符合用户对管理系统高可用性的要求。 4. 优秀的规模可扩展性。管理服务器不但支持单机中央处理模式，也同时支持多服务器分布式处理模式，并能实现从中央处理模式向分布式处理模式地平滑过渡。可保证网络管理系统能适应用户网络规模的增长。 5. 高容错性。管理系统中的管理工具都支持双机主备工作方式，当主管理服务器出现故障时，备用管理服务器可以接管主服务器的管理职能，保障管理系统的不间断运行。 6. 支持多种网络和设备管理标准。在网络层支持SNMPv3 管理标准。 7. 提供安全认证和用户分权的管理机制。管理员首先需要登录才能使用管理系统对网络进行管理，这样就保证了只有拥有合法授权的管理员才能使用管理系统。同时可以利用管理系统的管理员分权机制，定义每一个登录的管理员所拥有的管理权限，进一步确保每个管理员只能管理他职责范围内网络资源。基于以上分析，建议在职教校园网中采用带内网管，建立集中的网管中心，对在网设备进行统一的管理及资源分配。

展开阅读全文