【正文】 正常情況下，路由器采用主路由發(fā)高校網(wǎng)絡(luò) 方案 模板 37 送數(shù)據(jù)。當線路發(fā)生故障時，該路由自動隱藏，路由器會選擇余下的優(yōu)先級最高的備份路由 作為數(shù)據(jù)發(fā)送的途徑。這樣，也就實現(xiàn)了主路由到備份路由的切換。當主路由恢復正常時，路由器恢復相應的路由，并重新選擇路由。由于該路由的優(yōu)先級最高，路由器選擇主路由來發(fā)送數(shù)據(jù)。 采用源地址路由，讓 Inter 地址訪問 Inter； 采用 ACL，防止訪問 Cer 的流量通過 Inter； 采用 ACL，防止來自校園網(wǎng)的 Inter 地址。 安安 全全 與與 流流 量量 控控 制制 網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全 控控 制制 ● 對端口 ARP 檢查防止 ARP 攻擊； ● 交換設(shè)備 BPDU Guard 功能，過濾非法 BPDU 報文 ，防止 STP 攻擊交換機； ● 端口安全：端口靜態(tài)綁定，自動綁定 IP 和 MAC 地址防止 DOS 攻擊； ● 智能安全到邊緣：多種 ACL，滿足不同網(wǎng)絡(luò)應用，過濾病毒 ； ● SSH 密文傳輸，限制管理 IP 等措施保證設(shè)備管理可靠； VLAN 需需 求求 默認時，交換機分隔沖突域 ， 路由器分隔廣播域。第 2 層交換式網(wǎng)絡(luò)的最大好處是，它為插入到交換機每個端口的每臺設(shè)高校網(wǎng)絡(luò) 方案 模板 38 備創(chuàng)建了各自的沖突域。但用戶和設(shè)備的數(shù)量越大，每臺交換機必須處理的廣播和數(shù)據(jù)包就越多。 安全性也是一個問題，因為在典型的第 2 層交換式互聯(lián) 網(wǎng)絡(luò)的內(nèi)部，默認時所有用戶都可以看見所有的設(shè)備。你不能讓設(shè)備停止廣播，也不能讓用戶不響應廣播。連接到物理網(wǎng)絡(luò)的任何人都可以訪問位于物理 LAN 上的網(wǎng)絡(luò)資源，用戶只需將其工作站插入到現(xiàn)有的集線器中，就可以加入某個工作組。安全性選項只能限于在服務(wù)器和其他設(shè)備上設(shè)置口令。 通過創(chuàng)建虛擬局域網(wǎng)（ VLAN） ，就可以在一個純交換式的互聯(lián)網(wǎng)絡(luò)中，分隔廣播域。 VLAN 是兩個部分的邏輯組合：一是網(wǎng)絡(luò)用戶；二是在管理上連接到交換機所定義端口的資源。 如果創(chuàng)建了 VLAN，情況就可以大大改善。在虛擬創(chuàng)建局域網(wǎng)時，可以將交換 機上的不同端口分派到不同的子網(wǎng)中，這樣就可以在第二層交換式互聯(lián)網(wǎng)絡(luò)中創(chuàng)建一些小的廣播域?？梢韵髮Υ龁为毜淖泳W(wǎng)和廣播域一樣來對待 VLAN，這意味著網(wǎng)絡(luò)上的廣播域只在同一個 VLAN 內(nèi)部的邏輯組的端口之間進行轉(zhuǎn)發(fā)。 用 VLAN 來簡化網(wǎng)絡(luò)管理的方式有多種： ● 通過將某個端口配置到合適的 VLAN 中，就可以實現(xiàn)網(wǎng)絡(luò)的添加、移動和改變。 高校網(wǎng)絡(luò) 方案 模板 39 ● 將對安全性要求高的一組用戶放入 VLAN 中，這樣， VALN 外部的用戶就無法與他們通信。 ● 作為功能上的邏輯用戶組，可以認為 VLAN 獨立于它們的物 理位置或地理位置。 ● VLAN 可以增強網(wǎng)絡(luò)安全性。 ● VLAN 增加了廣播域的數(shù)量，同時減少了廣播域的范圍。 使用 VLAN 具有以下優(yōu)點： 一個 VLAN 就是一個邏輯廣播域，通過對 VLAN 的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風暴的產(chǎn)生。 通過路由訪問列表和 MAC 地址分配等 VLAN 劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同 VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。 簡單、直觀 對于交換式以太網(wǎng)，如果對某些用戶重新進行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對于采用 VLAN 技術(shù)的網(wǎng)絡(luò)來說，一個 VLAN 可以根據(jù)部門職能、對象組或者應用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移高校網(wǎng)絡(luò) 方案 模板 40 動。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護工作的負擔，降低了網(wǎng)絡(luò)維護費用。在一個交換網(wǎng)絡(luò)中， VLAN 提供了網(wǎng)段和機構(gòu)的彈性組合機制。 VLAN 劃劃 分分 設(shè)設(shè) 計計 VLAN 概述： VLAN（ Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個 VLAN 組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。 組建 VLAN 的條件 ， VLAN 是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立 VLAN 需要相應的支持 VLAN 技術(shù)的網(wǎng)絡(luò)設(shè)備。當網(wǎng)絡(luò)中的不同 VLAN 間進行相互通信時，需要路由 的支持，這時就需要增加路由設(shè)備 —— 要實現(xiàn)路由功能，既可采用路由器，也可采用三層交換機來完成。 劃分 VLAN 的基本策略 ， 從技術(shù)角度講， VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法： VLAN 劃分 這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員高校網(wǎng)絡(luò) 方案 模板 41 對網(wǎng)絡(luò)設(shè)備的交換端口進行重新分配即可，不用考慮該端口所連接的設(shè)備。 MAC 地址的 VLAN 劃分 MA 地址其實就是指網(wǎng)卡的標識符，每一塊網(wǎng)卡的 MAC 地址都是惟一 且固化在網(wǎng)卡上的。 MAC 地址由 12 位 16 進制數(shù)表示，前 8 位為廠商標識，后 4 位為網(wǎng)卡標識。網(wǎng)絡(luò)管理員可按 MAC 地址把一些站點劃分為一個邏輯子網(wǎng)。 VLAN 劃分 路由協(xié)議工作在網(wǎng)絡(luò)層，相應的工作設(shè)備有路由器和路由交換機（即三層交換機）。該方式允許一個 VLAN 跨越多個交換機，或一個端口位于多個 VLAN 中。 高校學生的流動性大，例如換寢室，畢業(yè)等，而導致的學生的人數(shù)和班級的變動。基于端口的劃分，相對來說容易設(shè)置和監(jiān)控，只需要將端口配置的 VLAN 重新分配。 因此校園網(wǎng)建議基于端口劃分 VLAN。 流流 量量 監(jiān)監(jiān) 控控 與與 控控 制制 校園網(wǎng)作為學校師生及管理人員所依托的重要資源，也是學校辦學的一種重要基礎(chǔ)設(shè)施，為學校師生及科研人員提供網(wǎng)絡(luò)下載、視頻點播、網(wǎng)絡(luò)聊天、專項課題研究、網(wǎng)絡(luò)化教學、辦公自動化、計算機管理、資源共享及信息交流等全方位的服務(wù)。學校高校網(wǎng)絡(luò) 方案 模板 42 要求網(wǎng)絡(luò)具有高性能、高可用性和高安全性。學校規(guī)模在不斷擴大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴展性。 現(xiàn)在的應用流量主要由三種類型的數(shù)據(jù)構(gòu)成： ● 各種對傳送時間非常敏感的數(shù)據(jù)，其中包括各類話音、視頻和音頻流量，例如跨越 Inter 進行傳輸?shù)囊纛l流量以及通過局域網(wǎng)基礎(chǔ)網(wǎng)絡(luò)實現(xiàn)互聯(lián)的電話系統(tǒng)等 。 ● 各種關(guān)鍵性的業(yè)務(wù)數(shù)據(jù)，其中包括各種數(shù)據(jù)庫事物處理流量以及在線交易過程數(shù)據(jù)等 。 ● 各種突發(fā)性的數(shù)據(jù)流量，包括電子郵件、文件傳輸協(xié)議（ FTP）以及 Web 瀏覽等 。 當以上這些不同類型的流量以同樣的身份爭用網(wǎng)絡(luò)中有限的帶寬的時候，網(wǎng)絡(luò)將會很快 地過載，進而導致網(wǎng)絡(luò)對用戶請求的響應時間變得非常漫長以及應用請求的超時，并且使用戶變得焦躁煩惱。隨著學校逐漸在網(wǎng)絡(luò)之上加載越來越多類型的不同應用，這種因應用爭用帶寬而引起的瓶頸 現(xiàn)象將會變得越來越嚴重。網(wǎng)絡(luò)管理員需要的是能夠提供更高帶寬以及對應用數(shù)據(jù)進行更好地控制的解決方案。 解決方案： 一、 服務(wù)質(zhì)量（ QoS） 利用交換機中的服務(wù)質(zhì)量特性，用戶能夠?qū)νㄟ^網(wǎng)絡(luò)進行傳輸?shù)膽昧髁績?yōu)先級進行控制，消除網(wǎng)絡(luò)中的瓶頸現(xiàn)象。交換機高校網(wǎng)絡(luò) 方案 模板 43 能夠根據(jù)加載于其上的流量優(yōu)先級別辨識出不同類型的應用流量，進而實現(xiàn)對關(guān)鍵性數(shù)據(jù)的更快轉(zhuǎn)發(fā)。 為了進一步提高數(shù)據(jù)包的傳遞效率，交換機的第二、第三和第四層技術(shù)，賦予了產(chǎn)品辨識、標記數(shù)據(jù)并為不同的數(shù)據(jù)流量賦予不同的優(yōu)先級別的能力。 ● 在第二層技術(shù)方面，對 IEEE 標準的支持，從而在交換機上實現(xiàn)了簡單的流量優(yōu)先級劃分。 ● 在第三層技術(shù)方面，對差別化業(yè)務(wù)編碼點（ Differential Services Code Point， DSCP）技術(shù)的支持。該技術(shù)可以支持對業(yè)務(wù)級別高達 64 種的劃分。 ● 在第四層技術(shù)方面，交換機可以對數(shù)據(jù)流量的目的 IP 地址與 TCP/IP 端口號的組合進行分析，并利用這一分析結(jié)果將 HTTP 流量與 FTP 流量或 POP3 郵件流量區(qū)分開，或者為了實現(xiàn)更高的 Inter 訪問速度將用戶的 Web 流量重 新引導至一臺 Web 緩存服務(wù)器上。 從接入層交換機到核心設(shè)備，全面覆蓋端口速率限制，應用流分類識別，關(guān)鍵服務(wù)流量帶寬保證等多層交換質(zhì)量保證。 基于交換機時間、物理端口、 MAC 地址、 IP 地址、 TCP/UDP 端口號的應用流分類識別和帶寬限速機制，完成了高校全網(wǎng)端到端的 QOS 保證。 高校網(wǎng)絡(luò) 方案 模板 44 解決出口帶寬小的問題 ， 最直接的辦法是增加出口帶寬，不過 在 費用問題不允許增加帶寬 的情況下 ， 網(wǎng)絡(luò)設(shè)備能夠 在提供智能的流分類、完善的服務(wù)質(zhì)量和組播應用管理特性的同時，基于用戶 MAC 地址，交換機的物理端口，用戶的 IP， TCP/UDP 應用 等，進行 端口帶寬分配與限制速度。并可以根據(jù) 全 網(wǎng)絡(luò)的實際使用環(huán)境，實施靈活多樣的安全控制策略。 在網(wǎng)絡(luò)設(shè)備上對用戶接入的業(yè)務(wù)流進行匹配，對相應用戶業(yè)務(wù)流按照約定的速率進行帶寬限制，通過入口或出口的 CAR 和流量整形進行調(diào)整，保證重要業(yè)務(wù)流的帶寬；進行擁塞設(shè)置，當流量超過緩存值時，路由器入口處就將該流量超過閥值的數(shù)據(jù)包丟棄，同時告訴數(shù)據(jù)源端的 TCP 應用減少窗口尺寸。 二、 安全日志管理，流量監(jiān)控 保證網(wǎng)絡(luò)設(shè)備具備審計信息發(fā)送、查詢、統(tǒng)計等功能；進行設(shè)備日志的配置，記錄和觀察網(wǎng)絡(luò)的運行情況，來進行信 息跟蹤。 對網(wǎng)絡(luò)的拓撲、設(shè)備、流量、等進行深入的分析，找出對網(wǎng)絡(luò)影響最大的因素或找出網(wǎng)絡(luò)流量、用戶及業(yè)務(wù)增長的規(guī)律，在網(wǎng)絡(luò)出現(xiàn)故障或者是在網(wǎng)絡(luò)即將出現(xiàn)瓶頸之前給出科學的預測，對網(wǎng)絡(luò)進行優(yōu)化、升級、或改造，以滿足不斷增長的用戶和業(yè)務(wù)的需求。 高校網(wǎng)絡(luò) 方案 模板 45 通過流量監(jiān)控，可以從上網(wǎng)行為上很容易辨認（比如非包月用戶長時間在線等） ，相應可以采用流量計費方式和資費政策使盜用的行為不能有效。 網(wǎng)網(wǎng) 絡(luò)絡(luò) 異異 常常 流流 量量 監(jiān)監(jiān) 測測 技技 術(shù)術(shù) 異常流量監(jiān)測系統(tǒng)的智能化主要體現(xiàn)在以下三個方面。 1．流量自學習能力。通過對網(wǎng)絡(luò)流量的監(jiān)測掌握網(wǎng)絡(luò)正常流量模型。通 過監(jiān)測一段時間的網(wǎng)絡(luò)流量，建立起一個基于時間的正常流量模型。該模型會在系統(tǒng)內(nèi)數(shù)據(jù)庫中，對監(jiān)測網(wǎng)絡(luò)的各個時間段內(nèi)的各種協(xié)議流量建立一個動態(tài)流量基線。當某個時段，某個協(xié)議流量與當前基線不符時，會給出一個異常告警，并隨著時間積累，會將告警逐步升級。因此，這種智能化的流量學習能力可以更加精確地掌握網(wǎng)絡(luò)中實際的正常流量的情況，為判斷異常流量提供有力的依據(jù)。 2．蠕蟲攻擊特征檢測。網(wǎng)絡(luò)蠕蟲攻擊一般在流量、協(xié)議、攻擊端口以及攻擊行為方面會具有一定的特征。因此，在對這類網(wǎng)絡(luò)蠕蟲攻擊進行監(jiān)測時可以根據(jù)其特征進行判斷。一方面 可以根據(jù)流量自學習功能掌握正常流量的基礎(chǔ)，分析判斷出一些異常流量，并提取這些流量特征，還為今后的分析判斷提供參考和借鑒；另一方面，建立一套蠕蟲攻擊特征的分發(fā)和收集系統(tǒng)，不斷從其他監(jiān)測點收集新的異常特征，又不斷將這些特征分發(fā)到域內(nèi)的監(jiān)測系統(tǒng)中。因此，這種智能化的蠕蟲攻擊特征檢測可以提高高校網(wǎng)絡(luò) 方案 模板 46 已知蠕蟲特征的攻擊監(jiān)測準確性，也可以提高監(jiān)測未知蠕蟲攻擊的能力。 3．攻擊源的自動追溯。攻擊源的自動追溯在發(fā)現(xiàn)攻擊時，對攻擊流量的源頭進行反向信息跟蹤，并將相關(guān)的流量信息進行關(guān)聯(lián)分析，以判斷攻擊源的位置。在發(fā)現(xiàn)攻擊時，根據(jù)接口 信息、AS、 BGP 路由等信息，最終將定位出最靠近攻擊源的接口信息。因此，這種智能化的攻擊源的自動追溯能力可以提高攻擊源的定位效率，從而大大提高應急響應的速度。 異常流量監(jiān)測系統(tǒng)與異常流量過濾系統(tǒng)進行聯(lián)動，也可以通過宣告黑洞路由、提供 ACL 過濾策略等方式與路由設(shè)備進行交互來有效的處理異常流量。而網(wǎng)絡(luò)應急響應體系的重要環(huán)節(jié)之一就是監(jiān)測，尤其是對網(wǎng)絡(luò)異常流量的監(jiān)測工作。沒有及時的發(fā)現(xiàn)安全問題，就談不上高效的做出應急響應。因此，異常流量監(jiān)測技術(shù)在整個網(wǎng)絡(luò)安全應急響應體系中占有十分重要的地位。 （一）骨干網(wǎng)監(jiān)測 考慮到骨干網(wǎng)流量大、范圍廣，因此骨干網(wǎng)監(jiān)測主要采用分布式監(jiān)測方式。監(jiān)測的主要目的是通過異常流量監(jiān)測系統(tǒng)和產(chǎn)品的流量自學習功能掌握正常流量模型，在此基礎(chǔ)上，能夠?qū)Ψ治龊团袛鄮捫汀袄绷髁抗?，例? SQLSlammer 蠕蟲攻擊等垃圾流量在大量占用骨干鏈路資源的情況。 （二）對核心層匯聚層監(jiān)測 高校網(wǎng)絡(luò) 方案 模板 47 監(jiān)測的主要目的是及時發(fā)現(xiàn)和定位來自網(wǎng)內(nèi)部的蠕蟲攻擊、DDOS 攻擊、網(wǎng)絡(luò)濫用行為（如網(wǎng)絡(luò)掃描）、垃