【正文】 P 流量才允許通過。 I P : 1 0 . 1 . 1 . 11 0 .1 . 1 .2DA I ( u n t r u s t )S n o o p in g b in d in gM A C : 0 0 0 0 . 0 0 0 0 . 0 0 0 1No t b y M y Bin d i n g T a b leM y G W I s1 0 .1 .1 .1I ’m Your GW: 10.1.1.1Mac：0000.0000.0002t r u s tX主動 A RP 改變終端設備的 A RP 與 M A C 地址動態(tài) A RP 檢測可以利用 DH CP Snoo pi ng 綁定表（ IP+ M A C+ 端口號）檢查所有非信任端口的 A R P 請求和應答（主動式 A RP 和非主動式 A RP ），確保應答來自真正的 A RP 所有者。 如果要求客戶端只能以動態(tài)獲得 IP 的方式接入網(wǎng)絡，則必須借助于 IPSG 和DAI 技術。 這張表不僅解決了 DHCP 用戶的 IP 和端口跟蹤定 位問題，為用戶管理提供方便，而且還為后續(xù)的 IPSG 和 DAI 技術提供動態(tài)數(shù)據(jù)庫支持。這樣就防止了 DHCP 耗竭攻擊。 3) 手工分配 網(wǎng)絡管理員為某些少數(shù)特定的 Host 綁定固定 IP 地址，且地址不會過期。 交換機支持以每個端口或者整個交換機配置 BPDU 過濾。要防止此問題，可以在接入端口激活 BPDU Guard（ BPDU保護）來監(jiān)控是否有 BPDU 進入。 AP 的最大凈荷吞吐量為： 23Mbps，用戶的增加總帶帶下降量不大， 100kbps/用戶，按 128 用戶進行規(guī)劃； 300kbps/用戶按 64 用戶進行規(guī)劃； 1Mbps/用戶按22 用戶進行規(guī)劃； ，從系統(tǒng)能力的角度出發(fā)，可以支持 64 用戶接入。其交換容量 16Gbps，實現(xiàn)無線業(yè)務數(shù)據(jù)的高轉發(fā)，提高網(wǎng)絡整體性能。此外， 無線 AP 要 具有 較高 的發(fā)射功率，在使用分布式合路部署時，可以靈活方便 地對大樓 進行覆蓋。 無線 AP 由 POE 交換機進行遠程供電，提高設備部署的靈活性。 在這樣的環(huán)境下，基于 無線交換機 技術的第三代 WLAN 產(chǎn)品應運而生。 ? MSTP 把一個交換網(wǎng)絡劃分成多個域，每個域內(nèi)形成多棵生成樹，生成樹之間彼此獨立。它既可以快速收斂，也能使不同 VLAN 的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負載分擔機制。在任一時刻，配置了 HSRP 協(xié)議的路由器都將處于以下五種狀態(tài)之一： Initial——— HSRP 啟動時的狀態(tài)， HSRP 還沒有運行，一般是在改變配置或 16 端口剛剛啟動時進入該狀態(tài)。當在一個局域網(wǎng)上有多個熱備份組存在時，把主機分布到不同的熱備份組，可以使負載得到分擔。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網(wǎng)絡內(nèi)的 主機看來，虛擬路由器沒有改變。 HSRP 運行在 UDP 上，采用端口號 1985。 HSRP：熱備份 路由器 協(xié)議（ HSRP： Hot Standby Router Protocol），是 cisco平臺一種特有的技術，是 cisco 的私有協(xié)議。 5) 通過嚴格劃分路由的級別（共分四極），提供更可信的路由選擇。（有路由變化時才會發(fā)送）。 5) 配置接口 bandwidth 與物理帶寬一致，以確保 OSPF Cost 能反映真實的鏈路帶寬； 6) 配置點對點以太網(wǎng)的 OSPF 網(wǎng)絡類型為點對點，以加快收斂速度； 7) 將業(yè)務網(wǎng)段發(fā)布到 OSPF 進程； 8) 缺省路由引入 到 OSPF 進程； 12 OSPF 協(xié)議的優(yōu)點： 1) OSPF 是真正的 LOOP FREE（無路由自環(huán)）路由協(xié)議。 作為一種鏈路狀態(tài)的路由協(xié)議， OSPF 將鏈路狀態(tài)廣播數(shù)據(jù) LSA（ Link State Advertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點與距離矢量路由協(xié)議不同。 地區(qū)包括 000 到 111，共有 8 位。 結合德賽新研發(fā)大樓內(nèi)業(yè)務分類，可以根據(jù)不同業(yè)務、不同部門、不同應用，進行相應的 vlan 規(guī)劃。 事實上，該 VLAN 是一些 MAC地址的集合。 Vlan 隔離的優(yōu)點 ： ? 增加了網(wǎng)絡的連接靈活性 借助 VLAN 技術，能將不同地點、不同網(wǎng)絡、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡環(huán) 境 ，就像使用本地 LAN 一樣方便、靈活、有效。 核心層高可靠性拓撲設計 ： 新辦公樓兩臺核心交換機與原辦公樓兩臺核心交換機采用全連接形式（ FullMesh）。 在有線網(wǎng)絡基礎 之上，另采用一套企業(yè)級的無線網(wǎng)絡方案，以方便無線終端用戶的接入需求；其中采用一臺無線控制器對所有 AP 進行統(tǒng)一管理控制 ；通過設備智能管理方式，提供一套高質(zhì)量的，高智能的無線網(wǎng)絡方案。網(wǎng)絡設備必須采用智能化，可管理的設備 。 4) 開放性和互連性 具備與多種協(xié)議計算機通信網(wǎng)絡互連互通的特性，確保本計算機網(wǎng)絡系統(tǒng)的基礎設施的作用可以充分的發(fā)揮。 在有線網(wǎng)絡基礎之上，另外建立 一套 企業(yè)級的 無線 網(wǎng)絡 ，為大樓無線終端 提供無線 接入 點 ， 對 無線 接入 用戶的身份進行認證，控制無線用戶的訪問權限， 有效保護內(nèi)網(wǎng)數(shù)據(jù)安全 。 2) 安全可靠性 為保證各項業(yè)務應用，網(wǎng)絡必須具有高可靠性，盡量避免系統(tǒng)的單 點故障。 5) 經(jīng)濟性和投資保護 3 應以較高的性能價格比構 建本計算機網(wǎng)絡系統(tǒng)，使資金的產(chǎn)出投入比達到最大值。 本網(wǎng)絡技術方案采用典型二層組網(wǎng)架構：核心層，接入層。提供了高可靠性，并且能夠快速的適用路由選擇和拓撲的變更 。 鏈路聚合 ： 四臺核心交換機互聯(lián)鏈路均可采用 LACP/PAGP 技術。使用VLAN，可以將某個交換端口或用戶賦于某一個特定的 VLAN 組，該 VLAN組可以在一個交換網(wǎng)中或跨接多個交換機，在一個 VLAN 中的廣播不會送 7 到 VLAN 之外。 ? 基于第 3 層的 VLAN 基于第 3 層的 VLAN 是采用在路由器中常用的方法： IP 子網(wǎng)和 IPX 網(wǎng)絡號等。同時擴展性要預留一定量的 IP 地址這樣才能滿足企業(yè)的后期擴容。根據(jù)最后一位 1， 參照 IP 規(guī)劃表，可以知道屬于哪一臺具體的核心交換機網(wǎng)管地址。如果網(wǎng)絡的拓 撲結構是網(wǎng)狀并且任意兩臺三層交換機都有互通的需求，則應該使用 OSPF 動態(tài)路由協(xié)議。 3) 提出區(qū)域（ area）劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。 ? 在各類可以多址訪問的網(wǎng)絡中（廣播， NBMA），通過選舉 DR，使同網(wǎng)段的路由器之間的路由交換（同步）次數(shù)由 O（ N*N）次減少為 O （ N）次。 工程調(diào)測當中，可以根據(jù)客戶意愿，通過調(diào)整不同鏈路開銷值，進行不同數(shù)據(jù)流分流，相同數(shù)據(jù)流負載均衡等。終端主機將它們各自的數(shù)據(jù)包轉發(fā)到該虛擬路由器上。這同時對網(wǎng)絡的穩(wěn)定性提出了更高的要求，人們自然想到了基于設備的備份結構，就像在服務器中為提高數(shù)據(jù)的安全性而采用雙硬盤結構一樣。如果活動路由器失效，備份路由器將接管成為活動路由器。路由器的缺省優(yōu)先級是 100，所以如果只設置一個路由器的優(yōu)先級高于 100，則該路由器將成為主動路由器。 Speak——— 在該狀態(tài)下，路由器定期發(fā)送 HELLO 報文，并且積極參加活動路由器或等待路由器的競選。 18 引入 生成數(shù)協(xié)議目的是要在一個存在物理鏈路環(huán)路的二層交換網(wǎng)絡上，根據(jù)生成樹算法在鏈路層上阻塞一些端口的報文收發(fā)，生成一個邏輯上沒有環(huán)路的樹狀拓撲結構。 HSRP 通過雙核心維持一個虛擬網(wǎng)關，實際數(shù)據(jù)通信是由優(yōu)先級高的核心交換機完成。 20 室內(nèi)無線覆蓋將使用大量無線接入點（ AP）提供無線網(wǎng)絡接入服務，必須有效實現(xiàn)多個 AP 的統(tǒng)一策略部署和可靠的安全認證機制，因此，采用 FIT AP的解決方案，即采用無線控制器結合 FIT AP 與無線網(wǎng)絡管理系統(tǒng)的架構。因此， 無線控制器必須 可管理 20 個 以上 無線 AP。因此，通過在每個 房間 配置全向天線； AP 通過射頻線纜連接定向天線，實現(xiàn)對 各個區(qū)域 的無線信號覆蓋。 為了提高無線信號質(zhì)量， 無線 AP 采用企業(yè)級芯片和優(yōu)化的無線技術構建，有助于擴展無線覆蓋范圍，提高系統(tǒng)容量和性能。 負載均衡 AP 上支持標準的 IAPP 協(xié)議框架，通過負載均衡的部署，可實現(xiàn)在一個熱點內(nèi)用戶平均分配到所部署的所有 AP 上，達到在一個服務區(qū) AP 接入用戶數(shù)何 26 流量的平衡，為用戶提供更高的服務質(zhì)量。 BPDU 防護特性可以對網(wǎng)絡中的錯誤做出響應。 注意，如果在鏈接到其他交換機的端口上配置了 BPDU 過濾，那么就有可能導致橋接環(huán)路，所以在部署 BPDU 過濾時要格外小心 。 2) DHCP 服務 器 DOS 攻擊 30 DHCP 客戶端在有意或無意的情況下借助相關攻擊軟件向網(wǎng)絡中發(fā)出大量的 DHCP 請求，直到把 DHCP 服務器中相應地址池中的地址全部耗盡，從而讓DHCP 服務器無法響應正常 DHCP 請求，造成大量客戶機無法獲取到有效 IP 地址。 建立 DHCP 監(jiān)聽綁定表 。其他非 DHCP 報文還是可以正常轉發(fā)的。通過偽造 IP 地址和 MAC 地址實現(xiàn) ARP 欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡阻塞或者實 現(xiàn)“ man in the middle” 進行 ARP 重定向和嗅探攻擊。 IPSG 能夠確保第 2 層網(wǎng)絡中終端設備的 IP 地址不會被劫持，而且還能確保非授權設備不能通過自己指定 IP 地址的方式來訪問網(wǎng)絡或攻擊網(wǎng)絡導致網(wǎng)絡崩潰及癱瘓。 默認情況下，如果端口在沒有存在 IP 源綁定條目的情況下啟用了 IP 源防護功能，默認的 PACL 將拒絕端口的所有流量（實際上是除 DHCP 報文以外的所有 IP 流量）。 而當交換機使用“源 IP 和源 MAC 地址過濾”時， IP 源保護功能與端口安全功能是就變成了一種“集成”關系，更確切的說是端口安全功能被集成到 IP源防護功能里，作為 IP 源保護的一個必須的組成部分。 ACL 可以限制網(wǎng)絡流量、提高網(wǎng)絡性能。例如：某部門要求只能使用 WWW 這個功能，就可以通過 ACL 實現(xiàn)； 又例如，為了某部門的保密性，不允許其訪問外網(wǎng)，也不允許外網(wǎng)訪問它，就可以通過 ACL 實現(xiàn)。 ACL是提供網(wǎng)絡安全訪問的基本手段。簡而言之， ACL 可以過濾網(wǎng)絡中的流量，是控制訪問的一種網(wǎng)絡技術手段。相應地， DHCP 服務器響應將被丟棄，客戶機不能獲得 IP 地址。 IP 源防護的信任端口 /非信任端口也就是 DHCP 監(jiān)聽的信任端口 /非信任端口。 交換機能夠檢測 DAI 非信任端口收到的 ARP 報文，如果其中的 mac 與 IP對應信息與綁定表中的信息一致則認為該 ARP 報文為合法報文 ，若不一致則被認為為非法 ARP 報文并丟棄，且收到該報文的接口進入 errdisabled 狀態(tài)，攻擊者也就不能繼續(xù)對網(wǎng)絡進行進一步的破壞。如果有一客戶端連接到了一個信任端口，即使它是通過正常的 DHCP 方式獲得 IP 地址， DHCP監(jiān)聽綁定表里也不有該客戶端的記錄。但是報文的實際接收端口與綁定表條目中的端口字段不一致時，該報文將被丟棄。 31 嗅探 DHCP 報文 并非所有來自 Untrust 端口的 DHCP 請求都被允許通過，交換機還可以比較封裝 DHCP 請求報文的以太網(wǎng)幀頭中的源 MAC 地址和 DHCP 請求報文內(nèi)DHCP 客戶機的硬件地址（即 CHADDR 字段），只有這兩者相同的請求報文才會被轉發(fā)，否則將被丟棄。絕大多數(shù)客戶端得到的都是這種動態(tài)分配的地址。通過使用 BPDU 過濾功能，將能夠防止向主機設備發(fā)送不必要的 BPDU。 7. 內(nèi)網(wǎng)安全 BPDU Guard 對于接入端口而言，可能臨時新鏈接 一臺交換機在其下，而這可能會引起STP拓撲不必要的變化。 AP 容量規(guī)劃 從業(yè)界實現(xiàn)的 DCF 方式來看，沒有一個最大用戶數(shù)的限制，但業(yè)界各個廠商進行實現(xiàn)時都基于一定理解的前提下進行默認限制，目前每個 AP 單射頻最大的用戶默認限制為 64 個用戶，從網(wǎng)絡規(guī)劃的角度出發(fā)， 按每個 AP 支持 30 個用戶 進行網(wǎng)絡規(guī)劃。 具體型號為：WSC296024PCL 供電交換機，配置 24 個百兆以太網(wǎng)電接口和 2 個千兆光電復用接 口，提供高密度的網(wǎng)絡接入服務。 無線 AP 考慮到 德賽西威研發(fā)大樓 對無線網(wǎng)絡有高穩(wěn)定性和高安全性的需求，因此，在本方案中，無線 AP 要 遵循 最高級別的 性能、覆蓋范圍和安全性 ， 至 22 少 能提供高達 54Mbps 的無線接入速度。 全網(wǎng)的無線 AP 均工作在 FIT 模式，由 控制器 集中管理，實現(xiàn)安全策略、無線 QoS 策略統(tǒng)一下發(fā) 。另外由于 AC 或無線網(wǎng)關的硬件多數(shù)是基于 Pentium架構的，所以當用戶接入數(shù)量 (IP ses