【正文】 掃描網(wǎng)絡(luò)內(nèi)活動的主機開始的，大量的掃描報文也 急劇占用網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無法進行。 防范： 交換機端口安全：端口靜態(tài)綁定； 交換機整機綁定 IP 和 MAC 地址； DHCP 動態(tài)綁定； ； 檢查 IP 報文中源 IP 和源 MAC 是否和交換機中管理員設(shè)定的是否一致，不一 湖南信息職業(yè)技術(shù)學(xué)院計算機工程系（網(wǎng)絡(luò)技術(shù)專業(yè)）畢業(yè)論文 13 致，報文丟棄，并發(fā)送告警信息。 弱點： DHCP 協(xié)議本身存在私設(shè)服務(wù)器，泛洪攻擊等問題，如果是原來沒有使用dhcp 技術(shù)，專門為了解決 ARP 欺騙而引入該技術(shù)；由于高教網(wǎng)絡(luò)復(fù)雜，通常接入存在多個網(wǎng)段，且在面向數(shù)萬人部署時， DHCP 壓力也非常大。 并且 接入交換機配合 RGSAMII 認(rèn)證計費系統(tǒng)， 實現(xiàn)以下 地址管理： 對于靜態(tài)分配地址的用戶，只有用預(yù)先分配的 IP 地址才可以上網(wǎng)； 對于動態(tài)分配地址的用戶，只有通過 DHCP 方式獲得 IP 地址才可以上網(wǎng)； 獲得有效 IP 地址上網(wǎng)后，試圖修改 IP 地址，均會自動與網(wǎng)絡(luò)斷線； 以上手段，保證了 IP 地址不會沖突，因而可以對 IP 地址資源的使用進行有效的管理和控制。只能用交換機實現(xiàn)， ① 限制帶寬 例如 : 使用交換機的 QOS 實現(xiàn)限速，學(xué)校的 S2126 及以上都可以實現(xiàn)， 湖南信息職業(yè)技術(shù)學(xué)院計算機工程系（網(wǎng)絡(luò)技術(shù)專業(yè)）畢業(yè)論文 8 那我寢室來說 6 個人上網(wǎng)，網(wǎng)段： 。 vlan 規(guī)劃。同時也簡化了流量不用再經(jīng)過核心，減少了核心的負荷。整合目前零星的網(wǎng)絡(luò)應(yīng)用以及能用的硬件資源，在網(wǎng)絡(luò)平臺的基礎(chǔ)上，建立校園內(nèi)網(wǎng)資源服務(wù)。網(wǎng)管中心到北院各樓棟設(shè)備間采用多模光釬。 1. 接入層的主要設(shè)備是銳捷 S212 1926+系列以及 cisco 的 2950. 2. 匯聚層主要使用銳捷 S3760、 S3550,其中 S3550 是一款應(yīng)急產(chǎn)品實際上和S2126 是一個系列，并不具備做匯聚層應(yīng)有的帶寬。 作為 1000M 級校園網(wǎng)建設(shè)我院走在了前面，但因網(wǎng)絡(luò)因用服務(wù)的擴展（電驢、BT、 P2P 軟件、網(wǎng)絡(luò)病毒的多樣化）、學(xué)院用戶量的增加，同時我院對學(xué)生段接入方式采用的為不限流量不限類型， 2020 年當(dāng)學(xué)院加強機房建設(shè)同時可上網(wǎng) PC的大幅度 降價（普通 PC 價格只需 2500 元），用戶量增加學(xué)院網(wǎng)絡(luò)出現(xiàn)了在高峰期網(wǎng)絡(luò)延時大及斷線情況。優(yōu)化方 Abstract: According to some of the existing University work example: aging equipment, brand mix, insufficient bandwidth, private pull random access and so first is the work host platform hardware optimization, restructuring, construction of a highperformance, high bandwidth, reliable campus work load , through enhanced work management and access to certification, to purify the work environment, the purpose of optimizing the work space, so that spam to real focus of this program is to enhance equipment utilization, optimize the flow. Keywords: Campus work。湖南信息職業(yè)技術(shù)學(xué)院計算機工程系（網(wǎng)絡(luò)技術(shù)專業(yè)）畢業(yè)論文 I 湖南信息職業(yè)技術(shù)學(xué) 院 學(xué)生畢業(yè)設(shè)計 (論文 ) 題 目 ： 校園網(wǎng)絡(luò)優(yōu)化設(shè)計方案 姓 名 ： 學(xué) 號 ： 系 (部 ) ： 計算機工程系 專 業(yè) ： 計算機網(wǎng)絡(luò) 指導(dǎo)教師 ： 開 題時間： 2020 年 5 月 22 日 完成時間： 20200 年 10 月 22 日 2020 年 10 月 22 日 湖南信息職業(yè)技術(shù)學(xué)院計算機工程系（網(wǎng)絡(luò)技術(shù)專業(yè)）畢業(yè)論文 II 摘 要： 本文根據(jù)學(xué)院網(wǎng)絡(luò)目前存在的某些問題。 關(guān)鍵詞： 校園網(wǎng) 。 2020年學(xué)院核心交換設(shè)備因在 99%負荷下工作了幾年，主控電路板壞學(xué)院更換了RS6806E 核心交換機。 網(wǎng)絡(luò)系統(tǒng) 學(xué)院采用接入層、匯聚層（分布層）、核心層三層模式。千兆光纖到棟樓設(shè)備間，網(wǎng)管中心到南院各樓棟設(shè)備 間采用單模。 資源整合。使用單獨出口可以保持上網(wǎng)帶寬的穩(wěn)定性不會因為學(xué)生上網(wǎng)高峰而影響到辦公。 IP 地址的分配必須采用 VLSM 技術(shù)，充分合理利用已申請的地址空間，保證 IP 地址的利用效率，采用 CIDR 技術(shù)，減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小； 在三層路由交換機建立相應(yīng)的 VLAN 以及與 VLAN 綁定的 IP 子網(wǎng)網(wǎng)關(guān)。 南一棟及教師宿舍： ip route Vlan 1 南五棟及教學(xué)樓： ip route Vlan 1 南六棟及教師宿舍： ip route Vlan 1 北八棟及教師宿舍： ip route Vlan 1 提升設(shè)備使用率，優(yōu)化流量 P2P 應(yīng)用消耗了大量的網(wǎng)絡(luò)帶寬，對某些 P2P 要進行完全的限制（如電驢、電騾、迅雷） 由于沒有流控設(shè)備。 湖南信息職業(yè)技術(shù)學(xué)院計算機工程系（網(wǎng)絡(luò)技術(shù)專業(yè)）畢業(yè)論文 9 配置如下： ip accesslist extended deny ip any deny ip any deny ip any deny ip any deny ip any deny ip any permit ip any any ④ 動態(tài)地址配置 對于學(xué)生區(qū)使用 DHCP 服務(wù)器動態(tài)分配 給客戶端分配 IP 地址、 DNS 服務(wù)器、網(wǎng)關(guān)等配置信息。該操作不占用交換機 CPU 資源，直接由端口芯片理。 IP/MAC 欺騙攻擊 1. MAC 欺騙：盜用合法用戶的 MAC 地址，侵入網(wǎng)絡(luò)，使得正常用戶無法上網(wǎng)； 2. IP 欺騙：盜用合法用戶的 IP地址，使得到合法用戶的通訊得不到響應(yīng)，造成 Ping of death，和 ICMP 不可達風(fēng)暴；不斷修改 IP，發(fā)送 TCP SYN 連接，攻擊 Server，造成 SYN Flood。 對于接入層交換機，在沒有冗余鏈路的情況下，盡量不用開啟 STP協(xié)議。 限制可以管理交換機的 IP，銳捷交換機均支持 Tel 和 Web的源 IP 訪問控制列表。當(dāng)用戶訪問網(wǎng)絡(luò)時，他的任何網(wǎng)絡(luò)參數(shù)都是不可以更改的，如果更改任何網(wǎng)絡(luò)參數(shù)，系統(tǒng)會發(fā)現(xiàn)并迅速將該用戶提下線，保證接入用戶網(wǎng)絡(luò)參數(shù)的準(zhǔn)確性，這樣學(xué)生用戶在網(wǎng)絡(luò)上的一切行為都是以他真實的 IP 和 MAC 所反應(yīng)的，即使出現(xiàn)安全事故，管理員也可以通過訪問日志找到該用戶，確保能準(zhǔn)確的找出肇事者。如下圖： 湖南信息職業(yè)技術(shù)學(xué)院計算機工程系（網(wǎng)絡(luò)技術(shù)專業(yè)）畢業(yè)論文 20 完善的 IP 沖突解決方案 防止 IP 地址沖突策略 通過銳捷網(wǎng)絡(luò) RGSAM 對用戶在認(rèn)證時的 IP 屬性校驗，完全杜絕了 IP 地址沖突的發(fā)生，包括認(rèn)證前 IP 不按要求設(shè)置就不予通過認(rèn)證以及認(rèn)證通過后更改IP 立即下線。 Inter，為全校師生提供全球信息資源共享服務(wù)，為學(xué)校與外界聯(lián)系提供網(wǎng)絡(luò)支持