【正文】 P地址，增強(qiáng)網(wǎng)絡(luò)安全，最常見的方法是采用靜態(tài)的 ARP命令捆綁 IP地址和 MAC地址，從而阻止非法用戶在不修改 MAC地址的情況下冒用 IP地址進(jìn)行的訪問，同時(shí)借助交換機(jī)的端口安全即 MAC地址綁定功能可以解決非法校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 23 用戶修改 MAC地址以適應(yīng)靜態(tài) ARP表的問題。但這種方法由于要事先收集所有機(jī)器的 MAC地址及相應(yīng)的 IP地址，然后還要通過人工輸入方法來建立 IP地址和 MAC地址的捆綁表，不僅工作量 繁重，而且也難以維護(hù)和管理。 另一個(gè)顯著的問題就是帶有攻擊特性的 ARP欺騙。地址解析協(xié)議（ ARP，Address Resolution Protocol）最基本的功能是用來實(shí)現(xiàn) MAC地址和 IP地址的綁定，這樣兩個(gè)工作站才可以通訊，通訊發(fā)起方的工作站以 MAC廣播方式發(fā)送 ARP請(qǐng)求，擁有此 IP地址的工作站給予 ARP應(yīng)答，并附上自己的 IP和 MAC地址。 ARP協(xié)議同時(shí)支持一種無(wú)請(qǐng)求 ARP功能，局域網(wǎng)段上的所有工作站收到主動(dòng) ARP，會(huì)將發(fā)送者的 MAC地址和其宣布的 IP地址保存，覆蓋以前的同一 IP地址和對(duì)應(yīng)的 MAC地址 。術(shù)語(yǔ)“ ARP欺騙”或者說“ ARP中毒”就是指利用主動(dòng) ARP來誤導(dǎo)通信數(shù)據(jù)傳往一個(gè)惡意計(jì)算機(jī)的黑客技術(shù)，該計(jì)算機(jī)就能成為某個(gè)特定局域網(wǎng)網(wǎng)段上的兩臺(tái)終端工作站之間 IP會(huì)話的“中間人”了。 如果 黑客 想探聽同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信（即使是通過交換機(jī)相連），他會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè) ARP 應(yīng)答包，讓兩臺(tái)主機(jī)都“誤”認(rèn)為對(duì)方的 MAC地址是第三方黑客所在的主機(jī)，這樣，雙方看似“直接”的通信連接，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容，并可以通過工具破譯賬號(hào)、密碼、信息，另一方面， 還可以惡意更改數(shù)據(jù)包中的一些信息。同時(shí)，這種 ARP欺騙又極具隱蔽性，攻擊完成后再恢復(fù)現(xiàn)場(chǎng)，所以不易發(fā)覺、事后也難以追查，被攻擊者往往對(duì)此一無(wú)所知。 病毒入侵問題也是所有客戶普遍關(guān)心的問題。這些病毒，可以在極短的時(shí)間內(nèi)迅速感染大量系統(tǒng)，甚至造成網(wǎng)絡(luò)癱瘓和信息失竊，給客戶造成嚴(yán)重?fù)p失。木馬病毒往往會(huì)利用 ARP的欺騙獲取賬號(hào)和密碼，而蠕蟲病毒也往往利用 IP地址欺騙技術(shù)來掩蓋它們真實(shí)的源頭主機(jī)。例如“局域網(wǎng)終結(jié)者”（ ）病毒，通過偽造 ARP包來欺騙網(wǎng)絡(luò)主機(jī)，使指定的主機(jī)網(wǎng)絡(luò)中斷，嚴(yán) 重影響到網(wǎng)絡(luò)的運(yùn)行。 最后，令網(wǎng)絡(luò)管理員頭痛的問題是如何準(zhǔn)確定位。當(dāng)出現(xiàn) IP地址被非法使用、IP地址沖突，或網(wǎng)絡(luò)出現(xiàn)異常流量包括由于網(wǎng)絡(luò)掃描、病毒感染和網(wǎng)絡(luò)攻擊產(chǎn)生的流量，為了查找這些 IP地址的機(jī)器，一般采用如下步驟： (1) 確定出現(xiàn)問題的 IP地址。 (2) 查看當(dāng)前網(wǎng)絡(luò)設(shè)備的 ARP表，從中獲得網(wǎng)卡的 MAC地址。 (3) 檢查交換機(jī)的 MAC地址列表，確定機(jī)器位置。 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 24 這個(gè)過程往往要花費(fèi)大量的時(shí)間才能夠定位機(jī)器具體連接的物理端口，而對(duì)于偽造的源 IP地址要查出是從哪臺(tái)機(jī)器產(chǎn)生的就更加困難了。如果不能及時(shí)對(duì) 故障源準(zhǔn)確地定位、迅速地隔離，將會(huì)導(dǎo)致嚴(yán)重的后果，即使在網(wǎng)絡(luò)恢復(fù)正常后隱患依然存在。 （二）阻止來自網(wǎng)絡(luò)第二層攻擊的重要性 工具對(duì)網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理 賬戶 和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進(jìn)行進(jìn)一步竊取機(jī)密文件。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺騙，同時(shí)還會(huì)帶來網(wǎng)絡(luò)流量加大、設(shè)備 CPU利用率過高、二層生成樹環(huán)路、網(wǎng)絡(luò)癱瘓等現(xiàn)象。 網(wǎng)絡(luò)第二層的攻擊是網(wǎng)絡(luò)安全攻擊者最容易實(shí)施，也是最不容易被發(fā)現(xiàn)的安全威脅，它的目標(biāo)是讓網(wǎng)絡(luò)失效或者通過獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的安全。因?yàn)槿魏我粋€(gè)合法用 戶都能獲取一個(gè)以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時(shí)由于設(shè)計(jì) OSI模型的時(shí)候，允許不同通信層在相互不了解情況下也能進(jìn)行工作，所以第二層的安全就變得至關(guān)重要。如果這一層受到黑客的攻擊，網(wǎng)絡(luò)安全將受到嚴(yán)重威脅，而且其他層之間的通信還會(huì)繼續(xù)進(jìn)行，同時(shí)任何用戶都不會(huì)感覺到攻擊已經(jīng)危及應(yīng)用層的信息安全。 所以，僅僅基于認(rèn)證（如 IEEE ）和訪問控制列表（ ACL， Access Control Lists）的安全措施是無(wú)法防止本文中提到的來自網(wǎng)絡(luò)第二層的安全攻擊。一個(gè)經(jīng)過認(rèn)證的用戶仍然可以有惡意 ，并可以很容易地執(zhí)行本文提到的所有攻擊。目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用。 歸納前面提到的局域網(wǎng)目前普遍存在的安全問題，根據(jù)這些安全威脅的特征分析，這些攻擊都來自于網(wǎng)絡(luò)的第二層，主要包括以下幾種： (1) MAC地址泛濫攻擊 (2) DHCP服務(wù)器欺騙攻擊 (3) ARP欺騙 Cisco Catalyst交換系列的創(chuàng)新特性針對(duì)這類攻擊提供了全面的解決方案，將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在通往內(nèi)部網(wǎng)的第一入口處，主要基于下面的幾個(gè)關(guān)鍵的 技術(shù)： (1) Port Security (2) DHCP Snooping (3) Dynamic ARP Inspection (DAI) 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 25 下面主要針對(duì)目前這些非常典型的二層攻擊和欺騙說明如何在思科交換機(jī)上組合運(yùn)用和部署上述技術(shù)，從而防止在交換環(huán)境中的“中間人”攻擊、 MAC/CAM攻擊、 DHCP攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署可以簡(jiǎn)化地址管理，直接跟蹤用戶 IP和對(duì)應(yīng)的交換機(jī)端口，防止 IP地址沖突。同時(shí)對(duì)于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報(bào)警和隔離。 （三） MAC 泛濫攻擊防范方法 限制單個(gè)端口所連接 MAC地址的數(shù)目可以有效防止類似 macof工具和 SQL蠕蟲病毒發(fā)起的攻擊， macof可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機(jī)源 MAC地址和隨機(jī)目的 MAC地址的數(shù)據(jù)包，可以在不到 10秒的時(shí)間內(nèi)填滿交換機(jī)的 CAM表。 Cisco Catalyst交換機(jī)的端口安全（ Port Security）和動(dòng)態(tài)端口安全功能可被用來阻止 MAC泛濫攻擊。例如交換機(jī)連接單臺(tái)工作站的端口，可以限制所學(xué) MAC地址數(shù)為 1；連接 IP電話和工作站的端口可限制所學(xué) MAC地址數(shù)為 3： IP電話、工作站和 IP電話內(nèi)的交換機(jī)。 通過端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個(gè)端口所允許連接的合法MAC地址，實(shí) 現(xiàn)設(shè)備級(jí)的安全授權(quán)。動(dòng)態(tài)端口安全則設(shè)置端口允許合法 MAC地址的數(shù)目，并以一定時(shí)間內(nèi)所學(xué)習(xí)到的地址作為合法 MAC地址。 通過配置 Port Security可以控制： (1) 端口上最大可以通過的 MAC地址數(shù)量 (2) 端口上學(xué)習(xí)或通過哪些 MAC地址 (3) 對(duì)于超過規(guī)定數(shù)量的 MAC處理進(jìn)行違背處理 端口上學(xué)習(xí)或通過哪些 MAC地址，可以通過靜態(tài)手工定義，也可以在交換機(jī)自動(dòng)學(xué)習(xí)。交換機(jī)動(dòng)態(tài)學(xué)習(xí)端口 MAC，直到指定的 MAC地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。目前較新的技術(shù)是 Sticky Port Security， 交換機(jī)將學(xué)到的 mac地址寫到端口配置中，交換機(jī)重啟后配置仍然存在。 對(duì)于超過規(guī)定數(shù)量的 MAC處理進(jìn)行處理一般有三種方式（針對(duì)交換機(jī)型號(hào)會(huì)有所不同）： (1) Shutdown：端口關(guān)閉。 (2) Protect：丟棄非法流量，不報(bào)警。 (3) Restrict：丟棄非法流量，報(bào)警 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 26 （四） DHCP Snooping 技術(shù)概述 DHCP Snooping技術(shù)是 DHCP安全特性，通過建立和維護(hù) DHCP Snooping綁定表過濾不可信任的 DHCP信息，這些信息是指來自不信任區(qū)域的 DHCP信息。通過截取一個(gè)虛擬局域網(wǎng) 內(nèi)的 DHCP信息，交換機(jī)可以在用戶和 DHCP服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色?！?DHCP監(jiān)聽”功能基于動(dòng)態(tài)地址分配建立了一個(gè) DHCP綁定表，并將該表存貯在交換機(jī)里。在沒有 DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè) DHCP綁定條目包含客戶端地址（一個(gè)靜態(tài)地址或者一個(gè)從 DHCP服務(wù)器上獲取的地址）、客戶端 MAC地址、端口、 VLAN ID、租借時(shí)間、綁定類型。 基本防范 ： 為了防止這種類型的攻擊， Catalyst DHCP偵聽（ DHCP Snooping）功能可有效阻止此類攻擊，當(dāng)打開此功 能，所有用戶端口除非特別設(shè)置，被認(rèn)為不可信任端口，不應(yīng)該作出任何 DHCP響應(yīng)，因此欺詐 DHCP響應(yīng)包被交換機(jī)阻斷，合法的 DHCP服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。 Catalyst DHCP偵聽（ DHCP Snooping）對(duì)于下邊介紹的其他阻止 ARP欺騙和IP/MAC地址的欺騙是必需的。 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 27 六、綜合布線系統(tǒng) （一）結(jié)構(gòu)化布線設(shè)計(jì)的要求 結(jié)構(gòu)化布線設(shè)計(jì)應(yīng)該滿足以下目標(biāo) 1. 滿足 各項(xiàng)主要業(yè)務(wù)的需求，且兼顧未來長(zhǎng)遠(yuǎn)發(fā)展 2. 符合當(dāng)前和長(zhǎng)遠(yuǎn)的信息傳輸要求 3. 布線系統(tǒng)設(shè)計(jì)遵 從國(guó)際（ ISO/IEC 11801） 標(biāo)準(zhǔn)和郵電部和建設(shè)部標(biāo)準(zhǔn) ,布線系統(tǒng)采用國(guó)際標(biāo)準(zhǔn)建議的星型拓?fù)浣Y(jié)構(gòu) 4. 布線系統(tǒng)將支持語(yǔ)音、數(shù)據(jù)等綜合信息（如 ADSL、 B－ ISDN 、 ATM 等）的高質(zhì)量傳輸，并適應(yīng)各種不同類型不同廠商的電腦及網(wǎng)絡(luò)產(chǎn)品 5. 布線系統(tǒng)的信息出口采用國(guó)際標(biāo)準(zhǔn)的 RJ45插座，以同一的線路規(guī)格和設(shè)備接口，使任意信息點(diǎn)都能接插不同類型的終端設(shè)備，如電腦、打印機(jī)、網(wǎng)絡(luò)終端、電話機(jī)、傳真機(jī)等，以支持話音、數(shù)據(jù)、圖象等數(shù)據(jù)信息和多媒體信息的傳輸 6. 布線系統(tǒng)符合綜合業(yè)務(wù)數(shù)據(jù)網(wǎng) ISDN的要求，以 便與國(guó)內(nèi)國(guó)際其它網(wǎng)絡(luò)互連。 （二）系統(tǒng)設(shè)計(jì)原則 1. 設(shè)計(jì)原則 (1)設(shè)計(jì)標(biāo)準(zhǔn)： ISO 11801國(guó)際綜合布線標(biāo)準(zhǔn) IEEE 802標(biāo)準(zhǔn) EIA/TIA 568工業(yè)標(biāo)準(zhǔn)及國(guó)際商務(wù)建筑布線標(biāo)準(zhǔn) (2)安裝與設(shè)計(jì)規(guī)范 建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范 CECS 72:97 建筑與建筑群綜合布線工程施工及驗(yàn)收規(guī)范 CECS 89:97 中國(guó)建筑電氣設(shè)計(jì)規(guī)范 工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范 2. 設(shè)計(jì)目標(biāo) （ 1） 實(shí)用性 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 28 實(shí)施后的布線系統(tǒng)，將能夠在現(xiàn)在和將來適應(yīng)技術(shù)的發(fā)展，并且實(shí)現(xiàn)數(shù)據(jù)通信、語(yǔ)音通信、圖像通信。 （ 2） 靈活性 布線系統(tǒng)能夠滿足靈活應(yīng)用的要求，即任一信息點(diǎn)能夠連接不同類型的設(shè)計(jì)，如計(jì)算機(jī)、打印機(jī)、終端或電話、傳真機(jī)。 （ 3） 模塊化 布線系統(tǒng)中，除去敷設(shè)在建筑內(nèi)的纜線外，其余所有的接插件都應(yīng)是積木式的標(biāo)準(zhǔn)件，以方便管理和使用。 （ 4） 擴(kuò)充性 由于所有基礎(chǔ)設(shè)施（材料、部件、通信設(shè)備）都采用國(guó)際標(biāo)準(zhǔn)，無(wú)論計(jì)算機(jī)設(shè)備、通信設(shè)備、控制設(shè)備隨技術(shù)如何發(fā)展，將來都可很方便地將這些設(shè)備擴(kuò)充到系統(tǒng)中去。 （ 5） 經(jīng)濟(jì)性 在滿足應(yīng)用要求的基礎(chǔ)上，盡可能低造價(jià)。 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 29 成績(jī)?cè)u(píng)定表 評(píng)分標(biāo)準(zhǔn) 1 報(bào)告結(jié)構(gòu)（ 20%） 2 方案內(nèi)容（ 40%） 3 排版格式（ 20%） 4 標(biāo)點(diǎn)錯(cuò)別字（ 20%） 5 創(chuàng)新點(diǎn)（ 10%） 成績(jī) 總成績(jī) 評(píng)閱意見 成績(jī)?cè)u(píng)閱表： 成員成績(jī)表： 成員排序 1（系數(shù)： 1） 2（系數(shù)： ） 3（系數(shù)： ） 4（系數(shù)： ） 5（系數(shù)： ） 姓名 夏紅 學(xué)號(hào) 0911090122 成績(jī) 評(píng)閱教師： 日期： 2021 年 7 月 18 日