1、职教校园网技术方案目 录1 概述 32 设计目标 32.1 需求分析 32.2 设计目标 43 技术方案 43.1 组网方案 43.1.1 网络模型 43.1.2 核心层 53.1.3 汇聚层 53.1.4 接入层 53.2 用户接入方式规划 63.2.1 内网访问 63.2.2 外网访问 63.3 PPPoE 认证 .73.4 AAA 技术 83.4.1 背景 83.4.2 概念介绍 83.4.3 AAA 实现技术 93.5 VLAN 规划 .93.6 IP 地址规划 .103.7 可靠性设计 113.8 QOS 业务控制 .123.8.1 QOS 实施策略 .123.8.2 职教校园网 Q
2、OS 解决方案 133.9 IPV6 预置 143.10 网络 ARP 攻击防范 153.10.1 什么是 ARP?.153.10.2 什么是 ARP 欺骗? 153.10.3 如何防范 ARP 欺骗? 153.10.4 如何防范大量 ARP 报文导致的 DOS 攻击? 163.11 网络管理 163.11.1 网管的必要性 161 概 述职业教育学院是经教育部批准,由国家一流科研单位设立的高等院校。学院已有近三十年的办学历史,为国家培养了大批优秀科研人员和生产骨干。学院师资雄厚,专职教师中有教授 8 名、副教授 44 名、博士 6 名、硕士 23 名,并长期聘有多位两院院士和专家学者担任客座
3、教授。学院现有两个校区,教学生活设施齐全。建有教学大楼、实验大楼、科技开发楼、图书馆、学术报告厅、培训楼和设备先进的数控加工培训中心、CAD/CAM 实验室、反求工程实验室、传统机械加工培训中心、电机拖动实验室、自动控制实验室、计算机网络实验室等大型实验室和实训基地。拥有高精度的数控机床、三座标测量仪、数字金相显微镜、计算机站等一流仪器设备,配有 UG、IDEAS 等大型设计、计算软件。为了全面提升学院的信息化水平和满足教学科研对信息化基础设施的需求,学院拟部署新校园网络,实现各单位之间的信息互连,并实施统一的网络管理和安全策略,实现信息化效率和安全的统一发展,为全院师生的学习、教学、科研、生
4、活提供全方位的信息服务。2 设 计 目 标2.1 需 求 分 析根据对职教校园网的技术需求分析和现代校园网技术发展方向的研究,总结出以下基本技术要点:实现校园内部所有信息点的接入和汇聚;校园通过统一的出口实现到 Internet 的连接;可管理、可运营校园网发展趋势要求实现内网资源访问免费、外网资源访问计费的认证计费管理模式;考虑到校园规模和教学科研业务的未来扩展,采用核心、汇聚、接入三层的星型拓扑来构建校园网;根据未来各单位和业务流量规模的发展需求,核心到汇聚层要具备万兆链路扩展能力;考虑到校园网和 CERNET 新老骨干网的对接,要求网络核心层面具备 IPV6 能力。采用百兆到桌面的接入部
5、署;实施全面的 QoS 策略,确保对不同业务流量的服务质量;网络要充分体现安全性,可靠性,先进性,开放性,可扩充性及优良的性价比。2.2 设 计 目 标基于以上对职教校园网基本需求的分析,本方案的设计目标是采用业界领先的网络设备,在充分满足基本需求的同时,使整个网络具备易管理、可运营、高扩展性、高可靠性、能进行高质量的多业务承载的特征,真正构建出一个高品质的新型校园网。3 技 术 方 案3.1 组 网 方 案根据职教校园网的当前状况和未来发展趋势,我们提供了全面的整体解决方案,整个网络方案突出层次化、模型化、高可靠性的原则,确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。3.1.1 网
6、络模型职教校园网包括的信息点数量较多,采用核心、汇聚、接入三层的网络层次,基本架构模型如图。3.1.2 核心层在典型的层次化模式中,组件间通过核心层互联,核心用作网络骨干。鉴于各组件都依赖核心进行连接,因此,核心必须速度很快且可靠性极高。现在的硬件加速系统具备以线速提供复杂业务的潜能。建议在网络核心采用“越简单越好”的方法。最低的核心配置可降低配置复杂性,从而减少出现运行错误的几率。核心层用于承担校园网各分布区域的子网互连。核心层是整个网络可用性和可靠性的关键,需要进行各关键设备和关键器件的冗余,由于核心层主要承担校园网内各子网的互连和数据流量的融合和贯通,同时承担各单位到 Internet
7、的接入,故必须能满足大业务横向流量的性能要求,也要满足出纵向业务流量的性能和功能要求。基于以上的基本数据流量模型分析,采用 1 台 BRAS 设备和 2 台核心交换机组成的纵向横向设备分离的模型作为核心层的网络架构。其中,核心交换机通过和汇聚层设备组双星型网的方式构建校园网内各子网间的横向互连,由于校园网内横向流量较大,且随着校园规模的扩展和业务的发展而快速增加,因此采用千兆链路来互连,并具备 10GE 链路平滑扩展的能力。此外,双核心交换机之间通过两条 10GE 或者 nGE 链路捆绑方式进行互联以实现 VRRP 心跳报文互通和业务数据流量的互通。为了实现各单位/部门到 Internet 和
8、 CERNET 的接入,核心交换机通过 GE 链路直接和 BRAS 设备进行纵向连接,转发所有出校园网的数据流量。BRAS 设备通过千兆链路和 UTM 或者流控等出口设备相连,最后通过多 ISP 接入 Internet 或者教育骨干网,保证校园网到广域网流量的可靠转发。3.1.3 汇聚层汇聚层主要承担校园网内部各单位/部门的数据互通并汇聚流往核心层的数据。基于汇聚层冗余路由快速切换的考虑,各汇聚层交换机通过双归属链路和两台核心交换机进行连接,实现主备或者负荷分担的可靠链路。由于各单位/部门内部的局域网的业务流量很大,汇聚层需要有足够的带宽容量来支撑突发的海量数据并提供良好的 QoS 保障,因此
9、采用千兆链路来构建汇聚层,并具备万兆链路的扩展能力。由于采用了到两台核心交换机的双归属链路,可以在两台核心交换机启用 VRRP协议来实现缺省网关的保护(实现内网资源访问),这样两条到核心层内网资源缺省网关的链路处于主备工作状态。3.1.4 接入层接入层主要承担各信息点的接入。接入层要求为各信息点提供百兆带宽的接入,实现无阻塞快速的数据接入。接入层交换机通过千兆链路上连到所属子网的汇聚交换机上。为了在接入层就启用较好的防 ARP 攻击等策略,同时考虑到校园网的技术前瞻性,接入层交换机采用具备 ACL 功能的智能二层交换机,并且通过千兆链路和汇聚层交换机互通。3.2 用 户 接 入 方 式 规 划
10、3.2.1 内网访问校园网的主要用途之一是承载师生和教职工家属等对内网各类应用服务的访问,比如 FTP 服务、VOD 点播、课件下载/上传、校园网站浏览/BBS 等,因此校园网首先要保证所有信息点对内部服务器区域的无阻塞访问。内网访问流量模型如下:如图,用户依次经过接入、汇聚、核心交换机,并通过内网防火墙的过滤后实现对内网服务器的访问,整个路径可以采用二层网络方式,主要通过二层 VPN 技术进行业务/单位/功能子网的隔离,并对不同 VPN 实施 Qos 来实现内网访问流量的多业务承载,具体实施方式参见下文 VLAN 规划和 Qos 规划。3.2.2 外网访问校园网的另一主要用途是实现学生、教职
11、工、家属对外网的访问,包括 Internet和 Cernet 的访问。由于 Internet 接入是付费的,因此用户对外网特别是 Internet的访问需要进行严格的管理,实施针对用户的认证、授权、计费(AAA)管理,不仅能提升校园网使用的安全性,还能打造出可运营的新一代校园网,实现信息基础设施的良好投资回报率。外网访问流量模型如下:如图可见,用户对外网的访问三种基本数据流量:用户终端到 BRAS 的 PPPoE 报文流量,BRAS 到 AAA 服务器之间的认证计费数据流量,认证通过后用户到外网的业务应用流量。具体流程参见下文的 PPPoE 认证和 AAA 技术。3.3 PPPoE 认 证通过
12、 PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现 PPP 协议的主要功能,包括采用各种灵活的方式管理用户。PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个 PPP 对话。PPPoE 的建立需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。当一台主机希望启动一个 PPPoE 对话,它首先必须完成搜寻阶段以确定对端的以太网 MAC 地址,并建立一个 PPPoE 的对话号(
13、SESSION_ID)。在 PPP 协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信的可能有不只一个网络设备。在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成,主机和网络设备将拥有能够建立 PPPoE 的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。优点:和原有窄带网络用户接入认证体系一致,计费精确,符合用户习惯,用户容易接受。PPP 连接是点对点连接,克服了局域网共享连接病毒猖
14、獗的有助于用户管理控制,可为不同用户定制服务,分配各自的独享带宽,提供差异化运营服务。有助于提供平滑的 QoS,可区分不同业务,有效管理出口流量,抑制 P2P 流量和病毒引起的突发流量。专用客户端支持防代理功能,可防止资费流失。运营商普遍采用 PPPoE 认证技术,因此,可以跟随运营商,享受后续的技术更新。在运营商普遍采用 PPPoE 实现家庭用户接入的情况下,校园网用户更容易适应这种方式。3.4 AAA 技 术3.4.1 背景随着 Internet 的发展,越来越多的应用通过网络得以实现,拨号用户、专线用户以及各种商用业务的发展使 Internet 面临许多挑战。如何安全、有效、可靠的保证计
15、算机网络信息资源存取及用户如何以合法身份登陆、怎样授予相应的权限,又怎样记录用户做过什么的过程成为任何网络服务提供者需要考虑和解决的问题。正是基于此需求,AAA 协议逐渐发展完善起来,成为很多网络设备解决该类问题的标准。3.4.2 概念介绍AAA 指的是 Authentication(认证)、Authorization(授权)、Accounting(计费)。自网络诞生以来,认证、授权以及计费体制(AAA )就成为其运营的基础。网络中各类资源的使用,需要由认证、授权和计费进行管理。认证(Authentication):用户在使用网络系统中的资源时对用户身份的确认。这一过程通过与用户的交互获得身份
16、信息(诸如:用户名-口令组合、生物特征获得等),然后提交给认证服务器;后者对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。例如:网络接入服务器(NAS)能够识别接入的宽带用户。授权(Authorization):网络系统授权用户以特定的方式使用其资源。这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予的 IP 地址等。计费(Accounting):网络系统收集、记录用户对网络资源的使用,以便向用户收取资源使用费用,或者用于审计等目的。以互联网接入业务供应商 ISP 为例,用户的网络接入使用情况可以按流量或者时间被准确记录下来。认证、
17、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。3.4.3 AAA 实现技术目前有多种 AAA 实现技术,每种技术都有其优缺点和不同的使用场景。比较流行的 AAA 技术有 Kerberos、TACACS+、Radius、Diameter。当前最应用最多的AAA 技术协议是 Radius 协议。Radius 是 IETF 制定的标准,是一种完全开放的协议,分布源码格式,这样任何安全系统和厂商都可以用。是目前最常用的认证计费协议之一,它简单安全,易于管理,扩展性好,所以得到广泛应用。3.5 VL
18、AN 规 划采用虚拟局域网 VLAN 主要出于三个目的:用户隔离、提高网络效率;提供灵活的管理;提高系统安全性。因此,规划 VLAN 时也应该综合考虑这三方面的因素。接入层交换机可通过 VLAN 的启用来对单位/部门内部的各信息点进行进一步归类,不仅可以实现部门的细分和隔离,还能有效的防止单位/部门内部的广播风暴。同时,接入层交换机还可以通过 ACL 的启用来更加有效的对单位/部门内部的信息点的互访及信息点对外网的访问进行控制,是数据流量在接入层就能够开始得到合理有效的控制。校园网内不仅有科研单位/区域,老师办公区,电化教室,还包括学生宿舍、教工宿舍等,不通的区域有不同的数据流量模式,需要进行
19、合理的隔离和子网划分。建议对不同区域的信息点和业务进行统一划分,分配不同的 VLAN,以实现二层数据隔离,保障各区域的子网安全并限制各区域数据流量的互相影响。由于汇聚层设备需要对下属接入交换机构成的各单位/部门进行区分,而对不同接入交换机上行的流量应该按单位/部门进行汇聚,如果接入层上部署 PUPV(每用户每 VLAN),那么可以采用基于策略的 QinQ 技术在汇聚层上将所有流量重新打上VLANID,此 VLANID 是基于单位/部门功能子网划分的。比如在接入层的每个功能子网内部部署 VLAN100n(n4096),而在汇聚层接入端口实施 QinQ,根据功能子网将VLAN 统一替换为 VLAN
20、19;这样能实现校园网内各单位/部门之间、单位/部门的各办公室之间以及不同用户信息点之间的数据流量隔离和互通。而核心交换机可以基于 QinQ 的外层 VLAN 进行数据交换,实现二层的 VPN 隔离。考虑到校园网对不同特性数据流量的统一承载,比如语音、数据、视频等,为了实现良好的业务隔离,保证不同业务的安全性和性能,可以将各特殊业务的 VLAN 进行统一规划,比如视频会议用 VLAN10,IP 电话用 VLAN20,等等。所有的 VLAN 都在 BRAS 上进行终结,转入三层转发模式。VLAN 规划如图:3.6 IP 地 址 规 划(1)概述网络地址、域名统一规划:由于 IP 地址及域名尚未确
21、定,本次方案中只简要提出 IP 分配及域名规划的原则。域名规划要注意层次性和一致性。内部域名、外部域名要分别设置,能体现组织结构并易于管理。(2)IP 地址分配的原则地址分配要遵循以下原则:简单性:地址的分配应该简单,避免在主干上采用复杂的掩码方式。连续性:为同一个网络区域分配连续的网络地址,便于采用 SUMMARIZATION 及CIDR(CLASSLESS INTER-DOMA IN ROUTING)技术缩减路由表的表项,提高路由器和三层交换机的处理效率。可扩充性:为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性。灵活性:地址分配不应该基于某个网络
22、路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化。可管理性:地址的分配应该有层次,某个局部的变动不要影响上层、全局。安全性:网络内应按工作内容划分成不同网段即子网以便进行管理。(2)IP 地址分配方案路由器的管理地址采用单独规划的 loopback 地址,交换机的管理地址采用特定三层接口的 IP 地址。设备配置名称采用 A-BB-C-DDDD-EEE,A:楼栋;BB:楼层;C:产品类型(R 代表路由器,S 代表交换机,F 代表防火墙,I 代表入侵检测系统,E 代表安全评估系统,A 代表安全审计系统);DDDD:设备型号,比如 2826;EEE:如果有相同型号设备用数字区分。设
23、备的管理地址:统一采用 192.168.1.0/24 这个网段作为设备管理地址使用,未分配完的地址保留以便于以后扩展。互联地址:192.168.4.0/24 作为设备互联地址。业务地址如果各单位/部门存在互连互通的需求,则要保证其 IP 地址不能重叠,因此建议统一为各单位/部门分配私网 IP 地址来配置各信息点,使各单位/部门的 IP 地址均不重叠。并通过在 BRAS 或者 UTM 设备上启用 NAT 技术和策略路由来实现对 Internet 的访问。3.7 可 靠 性 设 计可靠性和自愈能力包括设备冗余、模块冗余、链路冗余等要求: 1)设备冗余。在核心层等关键节点需要采用设备冗余,以避免星型
24、组网方式下一个核心故障而影响全网。双核心通过 VRRP 等协议进行配合,能在某台设备故障的情况下自动快速切换到另一个备用核心,保证整网业务不中断运行。2)模块冗余。主要设备的所有模块和环境部件应具备 1+1 或 1:N 热备份的功能。所有模块具备热插拔的功能,核心层设备对主控模块及关键部件应采取 1+1 的冗余。3) 链路冗余。在核心层和汇聚层采用了基于 VRRP 的方式来实施双链路冗余,保证单段链路中断的情况下能继续提供可靠的数据转发。在校园网的 UTM 上采用多出口来实现到 Internet 的链路冗余,当个别链路故障时,出行流量可以自动切换到保护链路上。3.8 QOS 业 务 控 制校园
25、网将支持多种多媒体运用,整网要有良好的 QOS 业务规划,已满足包括语音、视频在内的多种业务应用系统对服务质量的不同需求,特别是对一些时效性要求很高的网络应用,系统要有很好的保证。本方案在以下方面保证服务质量:采用高性能、大容量的路由交换设备,保证数据的线速交换;采用高带宽的核心网络,消除瓶颈;支持丰富的 QOS 策略以及 QOS 保证技术。3.8.1 QOS 实施策略QoS 方案的设计实施,首先需要考虑选择合适的技术框架,也即服务模型。服务模型指的是一组端到端的 QoS 功能,目前有以下三种 QoS 服务模型:Best-Effort service尽力服务Integrated service
26、(Intserv)综合服务Differentiated service(Diffserv)区分服务这三种服务模型中,只有 Intserv 与 Diffserv 这两种能提供多服务的 QoS 保障。从技术上看,Intserv 需要网络对每个流均维持一个软状态,因此会导致设备性能的下降,或实现相同的功能需要更高性能的设备,另外,还需要全网设备都能提供一致的技术才能实现 QoS。而 Diffserv 则没有这方面的缺陷,且处理效率高,部署及实施可以分布进行,它只是在构建网络时,需要对网络中的路由器设置相应的规则,会使配置管理比较复杂。由于要承载数据、语音、视频等多种实时和非实时的业务,加之网络应用中
27、突发海量数据流量对网络带宽的瞬间吞噬,这对网络设备的流量区分和调度能力是一个很大的考验。考虑到 Diffserv 模式具有处理效率高,部署和实施方便的特点,同时以太网、IP 网和 MPLS 网络对 Diffserv 模式的支持非常成熟和有效,在全网规划和实施Diffserv 比较方便,我们建议在方案中选用 Diffserv 模式。总之,在职教校园网中,可以基于 DiffServ 框架,合理的利用一系列 QOS 功能组件,在网络的边缘根据业务及应用的不同对数据报文进行流量监控及流分类,将报文分成优先级不同的几个业务等级,并根据分类结果对报文进行标记;在网络核心,根据报文中的业务等级标记,对报文进
28、行一系列不同的操作,包括队列调度,流量整形,丢弃处理等,从而满足高优先级业务的服务质量,同时尽可能的保护了低优先级的业务。3.8.2 职教校园网 QOS 解决方案校园网是一个集成了数据、语音、视频等多业务的跨区域、跨部门、跨链路的综合网络,不同的业务系统对网络服务的要求不同。在这个统一的网络平台上,应该保证对于不同的应用数据根据其具体要求提供相应的网络服务,并能在因故障导致网络资源稀缺时优先保证关键性业务数据的传输。根据应用系统对网络需求分析,业务可分为以下几类:非实时类:包括资料传输、办公自动化系统及 WEB 服务等,数据流量大、突发性强、对实时性要求较低,但要求能够可靠传输;准实时类:动态
29、路由协议控制报文、VPN 通道控制维护报文、视频业务控制报文等,数据流量不大、对延迟要求较高,过大的延迟将影响到路由收敛的速度和业务运行的效率;实时类:语音、视频业务对延迟要求高,随机性强,并且一定要保证带宽。根据以上需求,网络传输的服务质量可以包括三项参数:延迟、抖动和带宽。具体到各项业务的转发处理过程中,可以通过转发优先权和转发带宽这两个控制参数来调整各项业务的实际服务质量:为视频、语音业务赋予最高的转发优先权,并分配较高的带宽;为准实时类业务赋予较高的转发优先权,并分配较低的带宽;为非实时类业务赋予最低的转发优先权,并分配最高的带宽。以上配置使各项业务能够按需得到各自的与其业务相匹配的服
30、务质量,既保证了视频业务的实时性,也保证了非实时类业务的可靠性。根据以上规则,其它业务也可以根据其自身的需求,同样通过控制转发优先权和转发带宽,而得到其所需要的服务质量。为了达到以上对业务服务质量控制的要求,根据 Intserv 和 DiffServ 两类 QoS模型的成熟性、可扩展性和可控制性的特点,我们建议整个网络的 QoS 模型采用成熟的差别服务 DiffServ 模型方式进行构建,要区分不同的服务并提供质量保障:1)首先需要区分不同服务的数据,即利用 ACL、VLAN ID、IP 地址、TCP 端口、UDP 端口、TOS 字段等对数据流进行分类识别;2)在线路上采用带宽分配、优先级控制
31、、队列调度等 QOS 控制技术保证各类应用数据的有效传输。具体实现如下图所示:QoS 区分服务由图可见,在校园网的转发优先权业务规划中,考虑到全网语音、视频扩展的需要和覆盖面广、互通要求高的特点,因此建议全网各楼层的单位/部门局域网对不同业务采用统一的 VLAN,例如 VLAN20 为实时业务,VLAN10 为准实时业务,其他 VLAN为非实时业务。在各单位/部门局域网的二层交换机或三层交换机的端口分配相应的 VLAN 后接入,映射 802.1P 或直接按照设定的优先级进行转发。汇聚层交换在根据单位/部门重新映射 VLAN ID 后,同样根据报文的 802.1P 字段或直接按照设定的优先级进行
32、转发。核心交换机同样根据报文的 802.1P 字段或直接按照设定的优先级进行转发。BRAS 实现VLAN 的终结,并将根据接收报文的 802.1P 字段或 TOS/DSCP 字段中的 QoS 标记来做区分服务的转发,并可根据策略为报文的后续三层转发提供 QOS 标记。3.9 IPV6 预 置根据 IPV6 发展前途和必然性的考虑,校园网完全应该对即将来临的 IPV6 业务做好准备,预置 IPV6 应该遵循以下原则:现有的 IPv4 网络是一个巨大的网络,只有是保护已有投资基础上的 IPv6 布署才是一个好的布署方案。网络中的不同路由器分别在不同的层次上。在布署 IPv6 时,要避免对已有的设备
33、浪费,避免影响已有的用户和网络,保护用户的投资。IPv6 的业务是影响 IPv6 应用的一个重要因素。在布署 IPv6 设备时,要保证已有的 IP 业务,使得其平滑的过渡到 IPv6 的网络中。IPv6 和 IPv4 间良好的过渡机制也会方便 IPv6 的布署。在进行网络建设时,应该提供完善的过渡机制,尽可能的方便 IPv4 和 IPv6 之间的访问。根据上述因素,结合职教校园网的现有状况,首先应该要求在核心层的 BRAS 设备和核心交换机上具备 IPV6 功能,以满足未来接入基于 IPV6 的专用骨干网和Internet。3.10 网 络 ARP 攻 击 防 范3.10.1 什么是 ARP?
34、ARP(Address Resolution Protocol,地址解析协议)是一个位于 TCP/IP 协议栈中的低层协议,负责将某个 IP 地址解析成对应的 MAC 地址。3.10.2 什么是 ARP 欺骗?从影响网络连接通畅的方式来看,ARP 欺骗分为二种,一种是对路由器 ARP 表的欺骗;另一种是对内网 PC 的网关欺骗。第一种 ARP 欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC 地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的 MAC 地址,造成正常 PC 无法收到信息。第二种 ARP 欺骗的原理是伪造网
35、关。它的原理是建立假网关,让被它欺骗的PC 向假网关发数据,而不是通过正常的路由器途径上网。在 PC 看来,就是上不了网了,“网络掉线了”。3.10.3 如何防范 ARP 欺骗?对于 ARP 欺骗的防范可以通过以下的手段:1、在用户端计算机上绑定交换机网关的 IP 和 MAC 地址。将网关 IP 和 MAC 地址绑定成静态不可修改,这样就不会出现 ARP 欺骗了。防假网关。2、在接入交换机上配置 ACL 对端口作 ARP 报文监测,只允许网关设备才能够发送网关的 ARP 报文。防假网关,防 ARP 表的欺骗。3、动态 ARP 检查是根据用户配置的 ARP 访问控制列表(ACLs)来进行 ARP
36、 包的合法性验证。通过把交换机的连接用户的端口设为 untrust 端口,并设置 ARP ACLs,来阻止所有宣告自己为网关地址的 MAC 的 ARP 请求和应答,从而保护了正确的网关 IP-MAC 地址配对。对于交换机上联与交换机之间的端口需要设为 trust 端口允许真正的网关进行 ARP 请求和应答。防假网关,防 ARP 表的欺骗。从现在的情况看,只有带 ACL 的交换机才能有效地控制 ARP 欺骗。不带 ACL 的交换机只能借助于外部系统。4、通过结合 DHCP Snooping 来进行 ARP 入侵检测。ARP 入侵检测在接入交换机进行部署,接入交换机同时启用 DHCP Snoopi
37、ng 对 DHCP 报文进行监测。DHCP Snooping通过监测 DHCP 报文记录了用户的 IP/MAC/VLAN/PORT 等信息,并形成一个 DHCP Snooping 绑定表。交换机端口接收到 ARP 报文后,通过查找 DHCP Snooping 建立的绑定关系表,来判断 ARP 应答报文的发送者源 IP、源 MAC 是否合法。若 ARP 报文中的发送者源 MAC、IP 匹配绑定表中的内容,则认为是合法的报文,允许通过;否则认为是欺骗攻击报文,就进行丢弃。为了进一步加强用户通过 DHCP 获取 IP 地址的安全性,还可以启用 802.1X 协议来进行用户接入控制,保证合法用户获得合
38、法的 IP 地址。3.10.4 如何防范大量 ARP 报文导致的 DOS 攻击?由于 ARP 欺骗攻击,经常伴随着发送大量的 ARP 报文,消耗网络带宽资源和交换机 CPU 资源,造成网络速度的速度降低。因此接入交换机还需要部署 ARP 报文限速,限制到 CPU 的报文的速度,以保证交换机的 CPU 资源不被过渡占用,从而保证了交换机的正常运行;此外还可以对每个端口的流量进行限速,当端口所连 PC 的报文流量异常增加时能很好地保障网络带宽资源。3.11 网 络 管 理3.11.1 网管的必要性校园网需要为各个部门用户提供端到端的数据和其它类型的业务。同时为了提高设备和网络的投资效率,所有相关业
39、务的承载网和接入网都需要本着资源共享、业务综合的原则进行统一规划、统一建设。面对上述业务提供中遇到的挑战,如果只依靠采用先进的技术和硬件设备是不够的,因为不论多先进的网络,如果缺乏一套专业,完善的网络管理系统也无法保障能为用户提供高效、优质的网络服务。利用网络管理系统提供的专业管理功能网络管理员需要实现对本地传输和接入网络从物理链路到上层复杂应用和业务的分层次集中管理,进而提高网络的可管理性和运行的稳定性,缩短网络在提供新业务时的开通周期。通过简化网络管理流程,提高管理员的工作效率,网络管理系统还将帮助降低网络的运行成本。本网络系统有其自身的显着特点,如网络规模较大,设备类型和所提供服务复杂,
40、网络的可用性要求高等等。因此用户对其网络管理系统也有很高的要求,不但要求能管理网络中的所有设备、服务,还要符合网络标准并能适应其网络规模,并提供极高的系统和管理稳定性。针对用户的上述网络管理需求,管理系统在管理特性上具有下列特点:1.基于公共的管理框架。为便于管理系统各功能模块间进行管理信息的共享和数据交换,所有管理体系中的其它管理工具和模块都与之进行集成,由其作为整个管理系统的支撑平台。2.模块化设计。包含了一组提供不同管理功能的管理工具,各管理工具即可以独立工作也可以通过集成共享管理信息。在网元设备管理层,通过选择集成在其管理框架上的不同网元设备模块,网络管理员可以管理网络中的任何网元硬件
41、设备。在服务和业务管理层,网络管理员可以通过选择不同的管理模块实现网络容量规划管理、配置管理、故障管理、性能管理和计费管理等一系列管理功能。这种模块化设计保证了用户可以根据自己的管理需求构建最符合要求的管理系统,节省用户的投资。3.高系统强壮性。并运行在 NT 或者 Unix 管理服务器平台上,管理软件自身具有良好的系统强壮性,符合用户对管理系统高可用性的要求。4.优秀的规模可扩展性。管理服务器不但支持单机中央处理模式,也同时支持多服务器分布式处理模式,并能实现从中央处理模式向分布式处理模式地平滑过渡。可保证网络管理系统能适应用户网络规模的增长。5.高容错性。管理系统中的管理工具都支持双机主备工作方式,当主管理服务器出现故障时,备用管理服务器可以接管主服务器的管理职能,保障管理系统的不间断运行。6.支持多种网络和设备管理标准。在网络层支持 SNMPv3 管理标准。7.提供安全认证和用户分权的管理机制。管理员首先需要登录才能使用管理系统对网络进行管理,这样就保证了只有拥有合法授权的管理员才能使用管理系统。同时可以利用管理系统的管理员分权机制,定义每一个登录的管理员所拥有的管理权限,进一步确保每个管理员只能管理他职责范围内网络资源。基于以上分析,建议在职教校园网中采用带内网管,建立集中的网管中心,对在网设备进行统一的管理及资源分配。
