【正文】 下聯(lián)該私設(shè)DHCP服務(wù)器，那么可以直接disable該端口。新的命令因?yàn)樗娜忠饬x，也為了突出該安全功能，建議有如下單條命令的配置：service dhcpoffer deny [exclude interface interfacetype interfacenumber ][ interface interfacetype interfacenumbert | none]如果輸入不帶選項(xiàng)的命令no dhcpoffer，那么整臺交換機(jī)上連接的DHCP服務(wù)器都不能提供DHCP服務(wù)。訪問控制列表對于有三層功能的交換機(jī)，可以用訪問列表來實(shí)現(xiàn)。. 防止對DHCP服務(wù)器的攻擊使用DHCP Server動(dòng)態(tài)分配IP地址會(huì)存在兩個(gè)問題：一是DHCP Server假冒，用戶將自己的計(jì)算機(jī)設(shè)置成DHCP Server后會(huì)與局方的DHCP Server沖突；二是用戶DHCP Smurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。MAC地址的綁定可以直接實(shí)現(xiàn)用戶對于邊緣用戶的管理，提高整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。也就是說三層交換機(jī)在進(jìn)行數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)時(shí)主要根據(jù)數(shù)據(jù)報(bào)文的五元組特征進(jìn)行精確命中數(shù)據(jù)轉(zhuǎn)發(fā)，對于“紅色代碼”病毒攻擊時(shí)由于其病毒報(bào)文的端口號是頻繁進(jìn)行變換，其五元組信息始終處于一個(gè)不停變換階段，這樣導(dǎo)致三層交換機(jī)CPU不停進(jìn)行路由查找，由于這類報(bào)文另外一個(gè)特征就是短時(shí)間內(nèi)產(chǎn)生大量報(bào)文，從而最終導(dǎo)致三層交換機(jī)CPU在轉(zhuǎn)發(fā)過程中癱機(jī)，同時(shí)這臺交換機(jī)下掛的三層交換機(jī)同樣接收到大量病毒報(bào)文，基于上述原因其CPU轉(zhuǎn)發(fā)引擎也將癱機(jī)。流轉(zhuǎn)發(fā)為一次路由多次交換，它的特點(diǎn)是一旦查找一次路由后，就把查找結(jié)果存放在CACHE里，以后同樣目的地址的包就不用重新查找，直接采用類似二層交換的技術(shù)，直接轉(zhuǎn)發(fā)到目的端口去。l 全局性、均衡性原則安全解決方案的設(shè)計(jì)從全局出發(fā)，綜合考慮信息資產(chǎn)的價(jià)值、所面臨的安全風(fēng)險(xiǎn)，平衡兩者之間的關(guān)系，根據(jù)信息資產(chǎn)價(jià)值的大小和面臨風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。核心層：核心層在本地的交換接口為GE，這種情況下要求設(shè)備高速轉(zhuǎn)發(fā)，而在DifferServ模型體系中，對高優(yōu)先級的IP報(bào)文，以太網(wǎng)交換機(jī)會(huì)實(shí)現(xiàn)優(yōu)先轉(zhuǎn)發(fā)，高速接口上，對限速或是帶寬保證的意義已經(jīng)不大， QOS功能僅作為在核心基于控制的需要，可完成流量監(jiān)管，流量整形，隊(duì)列調(diào)度等QOS。l 擁塞避免（Congestion Avoidance），是指通過監(jiān)視網(wǎng)絡(luò)資源（如隊(duì)列或內(nèi)存緩沖區(qū)）的使用情況，在擁塞有加劇的趨勢時(shí)，主動(dòng)丟棄報(bào)文，通過調(diào)整網(wǎng)絡(luò)的流量來解除網(wǎng)絡(luò)過載的一種流控機(jī)制。l 流量整形（Traffic Shaping）是一種主動(dòng)調(diào)整流量輸出速率的措施。QoS部署策略從已建成的各種類型的校園網(wǎng)的組網(wǎng)來看，最為典型的是核心層，匯聚層，接入層的組網(wǎng)模式，往上行的流量會(huì)比較大，帶寬較高，接入層和匯聚層設(shè)備眾多。. QoS優(yōu)化校園網(wǎng)絡(luò)的發(fā)展日新月異，IP融合是大勢所趨，校園網(wǎng)上語音、視訊等新應(yīng)用的不斷出現(xiàn)，對校園網(wǎng)絡(luò)的服務(wù)質(zhì)量也提出了新的要求，例如VoIP等實(shí)時(shí)業(yè)務(wù)就對報(bào)文的傳輸延遲有較高要求，如果報(bào)文傳送延時(shí)太長，將是用戶所不能接受的（相對而言，EMail和FTP業(yè)務(wù)對時(shí)間延遲并不敏感）。付費(fèi)視頻：按節(jié)目收費(fèi)的視訊節(jié)目。4） 內(nèi)置DHCP Server實(shí)現(xiàn)全網(wǎng)的DHCP Server的分散，避免單點(diǎn)故障。對于固定IP地址用戶，需要針對標(biāo)識符（MAC地址）設(shè)定保留IP地址。通過地址標(biāo)識可以清楚地區(qū)分出IP地址地來源，便于路由匯聚和訪問控制。 靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。 唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；252。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。 實(shí)現(xiàn)統(tǒng)一信息安全管理——建立統(tǒng)一安全管理中心，完成網(wǎng)絡(luò)層、業(yè)務(wù)層、數(shù)據(jù)層、用戶層安全管理，解決重建設(shè)輕維護(hù)和缺乏整體安全部署方法的問題4. IP 校園網(wǎng)絡(luò)平臺一般，校園園區(qū)網(wǎng)絡(luò)規(guī)模比較大，接入節(jié)點(diǎn)數(shù)目比較多，各院系的數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸也必須保證端到端的安全，各院系、各部門間的業(yè)務(wù)隔離需求就顯得比較迫切，隨著各校園業(yè)務(wù)的快速增長，校園網(wǎng)絡(luò)的擴(kuò)展性也應(yīng)該比較強(qiáng)。 實(shí)現(xiàn)校園統(tǒng)一系統(tǒng)標(biāo)準(zhǔn)——利用統(tǒng)一信息標(biāo)準(zhǔn)、統(tǒng)一應(yīng)用標(biāo)準(zhǔn)、統(tǒng)一集成標(biāo)準(zhǔn)，解決重建設(shè)輕標(biāo)準(zhǔn)、缺乏IT系統(tǒng)的標(biāo)準(zhǔn)化和集成整和的問題，解決異構(gòu)IT資源難以整合的問題；216。校園網(wǎng)的發(fā)展經(jīng)歷了最初的計(jì)算機(jī)房、萬兆校園網(wǎng)、數(shù)字化校園網(wǎng)等幾個(gè)階段，校園網(wǎng)絡(luò)的管理也從最初的設(shè)備管理時(shí)代、發(fā)展到網(wǎng)絡(luò)管理時(shí)代，再到用戶和業(yè)務(wù)管理時(shí)代。采用高吞吐量，線速轉(zhuǎn)發(fā)的核心路由器交換機(jī)，所有關(guān)鍵器件的冗余，包括主控板、交換網(wǎng)板、電源等，支持板件的熱插拔技術(shù)，保證網(wǎng)絡(luò)的高效運(yùn)轉(zhuǎn)。全分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)，提供高密度接口板，并全部支持線速轉(zhuǎn)發(fā)。3) 核心層：網(wǎng)絡(luò)的骨干，能夠提供高速數(shù)據(jù)交換和路由快速收斂，具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。典型的校園園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)可以分成三層：接入層、匯聚層、核心層。開放性技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護(hù)、測量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)建設(shè)遵循以下基本原則：高帶寬南京藝術(shù)學(xué)院校園網(wǎng)絡(luò)是一個(gè)龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計(jì)的無瓶頸性，要求方案設(shè)計(jì)的階段就要充分考慮到，同時(shí)要求核心交換機(jī)具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換。當(dāng)時(shí)添置了1臺Matrix N7核心交換機(jī)，1臺Netscreen204防火墻，1臺Dell1750服務(wù)器，10臺Dell2650服務(wù)器，1臺EMC CX400 1T SAN存儲(chǔ)，2007年底，新購置了一臺NetscreenISG2000防火墻。《國學(xué)智慧、易經(jīng)》46套講座《人力資源學(xué)院》56套講座+27123份資料《各階段員工培訓(xùn)學(xué)院》77套講座+ 324份資料《員工管理企業(yè)學(xué)院》67套講座+ 8720份資料《工廠生產(chǎn)管理學(xué)院》52套講座+ 13920份資料《財(cái)務(wù)管理學(xué)院》53套講座+ 17945份資料《銷售經(jīng)理學(xué)院》56套講座+ 14350份資料《銷售人員培訓(xùn)學(xué)院》72套講座+ 4879份資料n更多企業(yè)學(xué)院： 《中小企業(yè)管理全能版》183套講座+89700份資料《總經(jīng)理、高層管理》49套講座+16388份資料《中層管理學(xué)院》46套講座+6020份資料隨著網(wǎng)絡(luò)應(yīng)用的不斷深入，部分網(wǎng)絡(luò)設(shè)備老化不能滿足校園網(wǎng)絡(luò)應(yīng)用的需求，本次校園網(wǎng)絡(luò)的升級改造本著為了校園網(wǎng)絡(luò)發(fā)展的需要，準(zhǔn)備升級原有NetscreenISG2000防火墻，購買核心交換機(jī)、出口交換機(jī)、流控產(chǎn)品、防毒墻、網(wǎng)絡(luò)版服務(wù)器殺毒軟件、刀片服務(wù)器、存儲(chǔ)、計(jì)費(fèi)網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備以及辦公自動(dòng)化及校園網(wǎng)站集群系統(tǒng)，加快數(shù)字化校園的建設(shè)，滿足廣大師生日益增長的信息化需求?？稍鲋敌阅暇┧囆g(shù)學(xué)院校園網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。 安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。1) 接入層：提供網(wǎng)絡(luò)的第一級接入功能，完成簡單的二交換，安全、Qos和POE功能都位于這一層。對于校園園區(qū)網(wǎng)核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)。設(shè)備基于逐包轉(zhuǎn)發(fā)的機(jī)制，能夠有效抵御宏病毒及沖擊波病毒的攻擊，網(wǎng)絡(luò)安全性及可靠性高。在骨干網(wǎng)絡(luò)核心層通過骨干千兆光纖線路分別下聯(lián)各單體樓匯聚。H3C數(shù)字化校園的管理針對網(wǎng)絡(luò)平臺資源、用戶資源、數(shù)據(jù)資源、媒體資源進(jìn)行統(tǒng)一配置與控制。 實(shí)現(xiàn)校園數(shù)字業(yè)務(wù)定制——建設(shè)統(tǒng)一數(shù)據(jù)中心、建立統(tǒng)一業(yè)務(wù)中心、構(gòu)建隨需而動(dòng)的智能系統(tǒng)，解決數(shù)字化校園重網(wǎng)絡(luò)輕應(yīng)用 路多車少的問題216。針對校園園區(qū)網(wǎng)絡(luò)建設(shè)的這些特點(diǎn)，H3C公司提出了校園園區(qū)的IP智能安全滲透網(wǎng)絡(luò)方案，該方案包括層次化設(shè)計(jì)、高可靠性設(shè)計(jì)。IP地址規(guī)劃必須考慮到今后和其他院系互聯(lián)后的地址沖突問題，建議參考全校的統(tǒng)一地址規(guī)劃。 簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表項(xiàng)252。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。通過我們的規(guī)劃，我們能從IP地址分析出IP地址的來源、用途等，這將為網(wǎng)絡(luò)的維護(hù)帶來方便。. IPv4路由規(guī)劃路由協(xié)議的規(guī)劃：1） 整個(gè)骨干網(wǎng)絡(luò)采用OSPF路由協(xié)議，OSPF協(xié)議在整個(gè)骨干網(wǎng)中不會(huì)引起路由回環(huán)，利于校園網(wǎng)骨干網(wǎng)的健壯性。. 組播與QoS規(guī)劃. 組播業(yè)務(wù)通過標(biāo)準(zhǔn)的組播協(xié)議完成用戶的組播管理，可以支持豐富的組播協(xié)議，包括ICMP、PIM－SM、PIM－DM、MSDP等組播協(xié)議，可支持豐富的業(yè)務(wù)，包括視頻點(diǎn)播、流媒體點(diǎn)播，可支持各種流媒體終端以及組播源的種類。視頻點(diǎn)播：交互式電視的一部分，它使用戶可以隨意選擇所需的視訊節(jié)目，并可隨意地控制節(jié)目播出（如快進(jìn)、快倒、暫停等）。為了支持具有不同服務(wù)需求的語音、視頻以及數(shù)據(jù)等業(yè)務(wù)，要求網(wǎng)絡(luò)能夠區(qū)分出不同的通信，進(jìn)而為之提供相應(yīng)的服務(wù)，QoS（Quality of Service，服務(wù)質(zhì)量）技術(shù)的出現(xiàn)便致力于解決這個(gè)問題。 在校園網(wǎng)中，結(jié)合DifferServ理論，我們針對業(yè)務(wù)的QOS功能有對應(yīng)的設(shè)計(jì)方法，l 報(bào)文的分類和標(biāo)識：這是所有QOS的基礎(chǔ)，報(bào)文分類的清晰度，直接影響后續(xù)QOS實(shí)現(xiàn)的功能需求，這是先決條件，當(dāng)然分類可根據(jù)基于IP的ACL五元組或是IP報(bào)文的TOS優(yōu)先級，如IP Precendence或是DSCP值，基于MPLS標(biāo)簽交換的還可使用MPLS EXP值來定義。流量整形與流量監(jiān)管的主要區(qū)別在于，流量整形對流量監(jiān)管中需要丟棄的報(bào)文進(jìn)行緩存——通常是將它們放入緩沖區(qū)或隊(duì)列內(nèi)，整形可能會(huì)增加延遲，而監(jiān)管幾乎不引入額外的延遲。與端到端的流控相比，這里的流控有更廣泛的意義，它影響到路由器中更多的業(yè)務(wù)流的負(fù)載。通過以上的設(shè)置和規(guī)劃，充分利用交換機(jī)硬件轉(zhuǎn)發(fā)的能力，對流分類時(shí)采用IP TOS值的定義，可有效地實(shí)現(xiàn)網(wǎng)絡(luò)中在需要部署QOS的設(shè)備或是線路上進(jìn)行控制，不需要時(shí)不用消耗網(wǎng)絡(luò)設(shè)備的資源，不用信令交互，根據(jù)數(shù)據(jù)業(yè)務(wù)的流向，實(shí)現(xiàn)端到端的QOS。l 可動(dòng)態(tài)演進(jìn)的原則方案應(yīng)該針對南京藝術(shù)學(xué)院校園制定統(tǒng)一技術(shù)和管理方案，采取相同的技術(shù)路線，實(shí)現(xiàn)統(tǒng)一安全策略的制定，并能實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò)，向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn)，形成一個(gè)閉環(huán)的動(dòng)態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)。如果路由表項(xiàng)幾乎不變化，則可通過上面所述的硬件精確匹配的方式能夠很快的速度進(jìn)行查表轉(zhuǎn)發(fā)。與此同時(shí)當(dāng)上層交換機(jī)從轉(zhuǎn)發(fā)報(bào)文中緩解過來時(shí)而下層交換機(jī)又處于癱機(jī)中，這樣網(wǎng)絡(luò)路由必然就會(huì)出現(xiàn)較大振蕩，交換機(jī)轉(zhuǎn)發(fā)性能急劇下降，最終導(dǎo)致所有交換機(jī)癱機(jī)，整個(gè)網(wǎng)絡(luò)不可用。如：每個(gè)用戶分配一個(gè)端口，并與該用戶主機(jī)的MAC、IP、VLAN等進(jìn)行綁定， 客戶端認(rèn)證通過以后用戶便可以實(shí)現(xiàn)MAC地址＋端口＋I(xiàn)P＋用戶ID的綁定，這種方式具有很強(qiáng)的安全特性：，防止用戶的MAC地址的欺騙，對于更改MAC地址的用戶（MAC地址欺騙的用戶）可以實(shí)現(xiàn)強(qiáng)制下線。H3C系列交換機(jī)可以支持多種禁止私設(shè)DHCP Server的方法。就是定義一個(gè)訪問列表，該訪問列表禁止source port為67而destination port為68的UDP報(bào)文通過。exclude interface interfacetype interfacenumber ：是指合法DHCP服務(wù)器或者DHCP relay所在的物理端口。該選項(xiàng)用于私設(shè)DHCP服務(wù)器和其他的合法主機(jī)一起通過一臺不可網(wǎng)管的或不支持關(guān)閉DHCP Offer功能的交換機(jī)上聯(lián)的情況。因此，ARP攻擊、地址仿冒、MAC地址攻擊、DHCP攻擊等問題不僅令網(wǎng)絡(luò)中心的老師頭痛不已，也對網(wǎng)絡(luò)的接入安全提出了新的挑戰(zhàn)。在這種嗅探方式中，黑客所在主機(jī)是不需要設(shè)置網(wǎng)卡的混雜模式的，因?yàn)橥ㄐ烹p方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機(jī)的。認(rèn)證模式ARP攻擊防御原理1． 接入交換機(jī)綁定用戶PC的IPMAC映射，在eapol的response報(bào)文（code=type=2）中攜帶用戶PC的IP地址（iNode客戶端需選定“上傳IP地址”選項(xiàng)，且推薦客戶PC上手工配置IP地址及網(wǎng)關(guān)），將用戶PC的IP地址、MAC地址和接入端口形成綁定關(guān)系，在接入交換機(jī)上建立IPMACPort映射表項(xiàng)，并據(jù)此對用戶發(fā)送的ARP/IP報(bào)文進(jìn)行檢測，從而有效防止用戶的非法ARP/IP報(bào)文進(jìn)入網(wǎng)絡(luò)。網(wǎng)絡(luò)線路冗余主要包括如采用網(wǎng)狀或者盡量網(wǎng)狀連接來代替星形、樹形的連接結(jié)構(gòu)，在南京藝術(shù)學(xué)院校園的網(wǎng)絡(luò)改造建議方案中，我們設(shè)計(jì)了足夠的線路冗余能力。H3C系列網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)，都統(tǒng)一采用H3C自主研發(fā)的Comware軟件平臺。. 組合豐富的VLAN功能進(jìn)行業(yè)務(wù)隔離大部分網(wǎng)絡(luò)設(shè)備都可以提供對VLAN功能的完善的支持，通過VLAN的劃分，可以區(qū)分不同的業(yè)務(wù)，靈活的根據(jù)端口、MAC等進(jìn)行VLAN的劃分，實(shí)現(xiàn)對各種業(yè)務(wù)的有效的隔離。以太網(wǎng)技術(shù)如何和安全隔離技術(shù)融合，提供給南京藝術(shù)學(xué)院校園用戶一個(gè)安全、可靠的網(wǎng)絡(luò)環(huán)境是以太網(wǎng)交換機(jī)在組網(wǎng)應(yīng)用中一個(gè)常見的問題。這種虛擬補(bǔ)丁程序之所以如此有效，是因?yàn)樗捎昧烁呔_的漏洞過濾器技術(shù)。 網(wǎng)關(guān)防病毒：Internet是現(xiàn)在病毒傳播的一個(gè)最主要的路徑，訪問Internet網(wǎng)站可能會(huì)感染蠕蟲病毒，從Internet下載軟件和數(shù)據(jù)可能會(huì)同時(shí)把病毒、黑客程序都帶進(jìn)來，對外開放的WEB服務(wù)器也可能在接受來自Internet的訪問時(shí)被感染上病毒。另一方面，防范郵件病毒傳播要加強(qiáng)對用戶的安全教育，對于所有來源不明的