【正文】 37 UDLD 單向鏈路檢測(cè) UDLD 可以 檢測(cè)一對(duì)光纖 鏈路收發(fā)是否存在故障，如果存在單向鏈路故障容易導(dǎo)致環(huán)路發(fā)生 UDLD 的工作原理： 周期性發(fā)送 UDLD 二層幀（ UDLD hello 包），對(duì)端會(huì)有 UDLD 的回應(yīng)，說(shuō)明鏈路正常 。例如，用戶可以允許 Email 通信流量被路由，拒絕所有的 Tel 通信流量。 ACL 允許主機(jī) A 訪問(wèn)人力資源網(wǎng)絡(luò)，而拒絕主機(jī) B 訪問(wèn)。例如， ACL 可以限定 或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過(guò)路由器某一網(wǎng)段的通信流量。例如， ACL 可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。 訪問(wèn)控制列表（ Access Control List， ACL） 是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。 訪問(wèn)控制安全 信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的 目的。在這種模式下，端口安全的違規(guī)處理（ violation）功能將被關(guān)閉。 如果同時(shí)開啟，則兩者也只是一種寬松的合作關(guān)系， IP 源防護(hù)防止 IP 地址欺騙，端口 安 36 全防止 MAC 地址欺騙。 當(dāng)交換機(jī)只使用“ IP 源地址過(guò)濾”時(shí)， IP 源保護(hù)功能與端口安全功能是相互獨(dú)立的。 對(duì)于沒(méi)有選項(xiàng) 82 的 DHCP 報(bào)文，交換機(jī)不能確定用于轉(zhuǎn)發(fā) DHCP服務(wù)器響應(yīng)的客戶端主機(jī)端口。 基于源 IP+源 MAC 地址過(guò)濾： 根據(jù)源 IP 地址和源 MAC 地址對(duì) IP 流量進(jìn)行過(guò)濾，只有當(dāng)源 IP 地址和源MAC 地址 都與 IP 源綁定條目匹配， IP 流量才允許通過(guò)。為了能夠反映 IP 源綁定的變更，端口 PACL 將被重新修改并重新應(yīng)用到端口上。對(duì)于非信任端口存在兩種級(jí)別的 IP 流量安全過(guò)濾： 基于源 IP 地址過(guò)濾： 根據(jù)源 IP 地址對(duì) IP 流量進(jìn)行過(guò)濾，只有當(dāng)源 IP 地址與 IP 源綁定條目匹配，IP 流量才允許通過(guò)。 35 IPSG 技術(shù)原理 IP 源保護(hù)只支持第 2 層端口，其中包括 Access 端口和 Trunk 端口。 IPSG 實(shí)施時(shí)往往與 DHCP Snooping 特性一起使用。 IPSG 技術(shù)原理 : IP 源保護(hù)（ IP Source Guard，簡(jiǎn)稱 IPSG）是一種基于 IP 或 IP+MAC 的端口流量過(guò)濾技術(shù)，它可以防止局域網(wǎng)內(nèi)的 IP 地址欺騙攻擊。 I P : 1 0 . 1 . 1 . 11 0 .1 . 1 .2DA I ( u n t r u s t )S n o o p in g b in d in gM A C : 0 0 0 0 . 0 0 0 0 . 0 0 0 1No t b y M y Bin d i n g T a b leM y G W I s1 0 .1 .1 .1I ’m Your GW: 10.1.1.1Mac：0000.0000.0002t r u s tX主動(dòng) A RP 改變終端設(shè)備的 A RP 與 M A C 地址動(dòng)態(tài) A RP 檢測(cè)可以利用 DH CP Snoo pi ng 綁定表（ IP+ M A C+ 端口號(hào)）檢查所有非信任端口的 A R P 請(qǐng)求和應(yīng)答（主動(dòng)式 A RP 和非主動(dòng)式 A RP ），確保應(yīng)答來(lái)自真正的 A RP 所有者。 該特性的實(shí)現(xiàn)也要借助于 DHCP snooping 的綁定表或手工配置。 33 DAI 技術(shù)原理 ： DAI（ Dynamic arp inspection，動(dòng)態(tài) arp 檢測(cè)）是一種能夠驗(yàn)證網(wǎng)絡(luò)中 ARP數(shù)據(jù)包是否合法的交換安全特性。 ARP 協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。 如果要求客戶端只能以動(dòng)態(tài)獲得 IP 的方式接入網(wǎng)絡(luò)，則必須借助于 IPSG 和DAI 技術(shù)。 信任端口的客戶端信息不會(huì)被記錄到 DHCP 監(jiān)聽綁定表里。這就表示客戶端可以以靜態(tài)指定 IP 地址的方式通過(guò)非信任端口接入網(wǎng)絡(luò)。 非信任端口只允許客戶端的 DHCP 請(qǐng)求報(bào)文通過(guò)，這里只是相對(duì)于 DHCP報(bào)文來(lái)說(shuō)的。 這張表不僅解決了 DHCP 用戶的 IP 和端口跟蹤定 位問(wèn)題，為用戶管理提供方便，而且還為后續(xù)的 IPSG 和 DAI 技術(shù)提供動(dòng)態(tài)數(shù)據(jù)庫(kù)支持。 當(dāng)交換機(jī)收到一個(gè) DHCPDECLINE 或 DHCPRELEASE 廣播報(bào)文，并且報(bào)文頭的源 MAC 地址存在于 DHCP 監(jiān)聽綁定表的一個(gè)條目中。 DHCP 監(jiān)聽還有一個(gè)非常重要的作用就是建立一張DHCP 監(jiān)聽綁定表（ DHCP Snooping Binding）。通過(guò)在每個(gè)非信任端口下進(jìn)行限速，將可以阻止合法 DHCP 請(qǐng)求報(bào)文的廣播攻擊。這樣就防止了 DHCP 耗竭攻擊。 Trust 端口和 Untrust 端口 ： Trust 端口允許所有 DHCP 報(bào)文經(jīng)過(guò)，用來(lái)連接合法 DHCP 服務(wù)器； Untrust 端口不能接受 DHCP OFFER 和 ACK 報(bào)文，用來(lái)連接 DHCP 客戶端。 DHCP Snooping 技術(shù)原理 DHCP Snooping 是一種功能非常強(qiáng)大的保證 DHCP 服務(wù)安全部署的機(jī)制 ；通過(guò)在開啟 DHCP Snooping 功能的交換機(jī)上定義 trust端口和 untrust端口來(lái)實(shí)現(xiàn)對(duì) DHCP Server 冒充攻擊的防范； DHCP Snooping 機(jī)制使得交換機(jī)可以嗅探經(jīng)過(guò)的 DHCP 報(bào)文，控制 DHCP 報(bào)文按照相關(guān)的安全 策略來(lái)操作； DHCP Snooping還提供了一張動(dòng)態(tài)的 binding 表，綁定表中包含有獲取到的 IP 地址、客戶端的MAC 地址、租約時(shí)間、綁定類型（靜態(tài) /動(dòng)態(tài)）、 VLAN 號(hào)、端口號(hào)等信息。 重則用戶終端獲取到不安全的 IP 信息，造成中間人攻擊（ ARP攻擊也是一種中間人攻擊）或網(wǎng)絡(luò)釣魚 。 3) 手工分配 網(wǎng)絡(luò)管理員為某些少數(shù)特定的 Host 綁定固定 IP 地址，且地址不會(huì)過(guò)期。 2) 動(dòng)態(tài)分配 DHCP 為客戶端分配具有一定有效期限的 IP 地址，到達(dá)使用期限后，客戶端需要重新申請(qǐng)地址。 如果在與啟用了 BPDU 過(guò)濾的相同接口上配置了 BPDU 保護(hù)，因?yàn)?BPDU過(guò)濾的優(yōu)先級(jí)高于 BPDU 保護(hù)，所以 BPDU 保護(hù)將不起作用。 如果在接口上明確配置了 BPDU 過(guò)濾功能，那么交換機(jī)將不發(fā)送任何的BPDU，并且將把接收到的所有 BPDU 都丟棄。 交換機(jī)支持以每個(gè)端口或者整個(gè)交換機(jī)配置 BPDU 過(guò)濾。對(duì)于配置了 PortFast 特性的端口，它通常連接到主機(jī)設(shè)備，因?yàn)橹鳈C(jī)不需要參與 STP，所有它將丟棄所接收到的 BPDU。想讓進(jìn)入 errordisable 狀態(tài)的接口重新啟用，必須手動(dòng)進(jìn)行配置，在服務(wù)提供商的網(wǎng)絡(luò)環(huán)境中， BPDU 防護(hù)特性也常用與防止某個(gè) access 端口參與生出樹協(xié)議。在這種情況下， BPDU 防護(hù)特性會(huì)將這個(gè)端口切換進(jìn) errordisable（關(guān)閉）狀態(tài)。要防止此問(wèn)題，可以在接入端口激活 BPDU Guard（ BPDU保護(hù)）來(lái)監(jiān)控是否有 BPDU 進(jìn)入。 配合網(wǎng)絡(luò)規(guī)劃，設(shè)置 AP 群功能，在一個(gè)群內(nèi)的 AP 通過(guò)組播報(bào)文實(shí)時(shí)通報(bào)接入用戶數(shù)量，當(dāng)發(fā)現(xiàn) AP 間用戶數(shù)差值大于設(shè)定閥值，接入用戶多的 AP 將部分用戶趕下網(wǎng)。具體可部署的負(fù)載均衡策略有： 對(duì)所有 AP 設(shè)置基于用戶數(shù)的負(fù)載均衡功能， AP 通過(guò)對(duì)接入用戶數(shù)的統(tǒng)計(jì)，與設(shè)定 AP 接入用戶數(shù)量閥值比較，達(dá)到閥值后，不允許新的用戶接入。因此，建議每個(gè) AP 接入用戶數(shù)按 30 個(gè)人來(lái)計(jì)算。 AP 的最大凈荷吞吐量為： 23Mbps，用戶的增加總帶帶下降量不大， 100kbps/用戶，按 128 用戶進(jìn)行規(guī)劃； 300kbps/用戶按 64 用戶進(jìn)行規(guī)劃； 1Mbps/用戶按22 用戶進(jìn)行規(guī)劃； ，從系統(tǒng)能力的角度出發(fā)，可以支持 64 用戶接入。每個(gè) AP 具有 150Mbps、 54Mbps、48Mbps、 36Mbps、 18Mbps 等的覆蓋范圍，對(duì)于 54Mbps 的覆蓋范圍不重疊，對(duì)于 54Mbps 與 18Mbps 就可能進(jìn)行重疊，可以根據(jù)網(wǎng)絡(luò)側(cè)的負(fù)載功能進(jìn)行實(shí)現(xiàn)一定程度的頻率復(fù)用功能，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)， WLAN 基本上、下行無(wú)線鏈路復(fù)用的處理問(wèn)題，因?yàn)槟壳岸际?DCF 方式，而從只能結(jié)合 業(yè)務(wù)目標(biāo)實(shí)現(xiàn)網(wǎng)絡(luò)覆蓋效果。 無(wú)線 AP 通過(guò)信號(hào)覆蓋規(guī)劃如下所示： 樓層 放置點(diǎn) 覆蓋區(qū)域 AP 數(shù)量 一樓 部門經(jīng)理 左外墻 部門經(jīng)理室及周邊 1 23 KM 部門經(jīng)理外墻 KM 部門經(jīng)理及周邊 1 背景墻 前臺(tái)區(qū)域 1 會(huì)議室 會(huì)議室及周邊 1 改裝車庫(kù)外墻 改裝車庫(kù)周邊 1 PMD 部門經(jīng)理外墻 PMD 部門經(jīng)理及外墻 1 二樓 左邊工作間 工作間及周圍 1 左部門經(jīng)理外墻 部門經(jīng)理及周邊 1 BU 總經(jīng)理室外墻 BU 總經(jīng)理室及周邊 1 左辦公區(qū) 左辦公區(qū) 1 樣機(jī)房 樣機(jī)房及周邊 1 右工作間 右工作間及周邊 1 右部門經(jīng)理外墻 右部門經(jīng)理周邊 1 三樓 左測(cè)試房外墻 左測(cè)試房及周邊 1 左辦公區(qū) 左辦公區(qū) 1 暗房外墻 暗房及周邊 1 會(huì)議室 會(huì)議室及 ME 工作間 1 PVM Bench Test PVM Bench Test 周邊 1 部門經(jīng)理室外墻 部門經(jīng)理室及周邊 1 右辦公區(qū) 右辦公區(qū) 1 總計(jì) 20 頻率規(guī)劃 目前針對(duì) WLAN 來(lái)講， 具有 3 具不重疊的信道，針對(duì) 具有 5 個(gè)不重疊信道。 無(wú)線網(wǎng)絡(luò)規(guī)劃 信號(hào)覆蓋規(guī)劃 無(wú)線覆蓋區(qū)域 包括 德賽西威研發(fā)大樓 三層 區(qū)域，對(duì)無(wú)線網(wǎng)絡(luò)的性能和穩(wěn)定性要求較高，無(wú)線 AP 高密度部署。其交換容量 16Gbps，實(shí)現(xiàn)無(wú)線業(yè)務(wù)數(shù)據(jù)的高轉(zhuǎn)發(fā)，提高網(wǎng)絡(luò)整體性能。 POE 交換機(jī)采用 思科 2900 系列 POE 供電交換機(jī)。 POE 交換機(jī) 由于本次無(wú)線網(wǎng)中 AP 設(shè)備數(shù)量 不少 ， AP 布放位置根據(jù)實(shí)際覆蓋效果而調(diào)整， 在 建筑物上較難進(jìn)行本地供電 。 本方案中，在 大樓某些辦公區(qū) ，由于 某些辦公房間為 封閉區(qū)域。此外， 無(wú)線 AP 要 具有 較高 的發(fā)射功率，在使用分布式合路部署時(shí)，可以靈活方便 地對(duì)大樓 進(jìn)行覆蓋。同時(shí)該控制器提供了集中式安全策略、無(wú)線入侵防御系統(tǒng)（ WIPS）功能、榮獲大獎(jiǎng)的無(wú)線射頻管理以及語(yǔ)音和視頻服務(wù)質(zhì)量（ QOS）。 根據(jù)實(shí)際規(guī)劃，選用適合中小型企業(yè)和分支機(jī)構(gòu)提供系統(tǒng)級(jí)的無(wú)線功能的無(wú)線控制器。 整體 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示： 21 無(wú)線控制器 根據(jù)現(xiàn)場(chǎng)的實(shí)際考察，本次網(wǎng)絡(luò)建設(shè)需部署 20 個(gè)無(wú)線 AP。 無(wú)線 AP 由 POE 交換機(jī)進(jìn)行遠(yuǎn)程供電，提高設(shè)備部署的靈活性。 無(wú)線網(wǎng)絡(luò)建設(shè)以現(xiàn)有局域網(wǎng)絡(luò)為基礎(chǔ)， 無(wú)線控制器 部署 在中心機(jī)房。 無(wú)線網(wǎng)絡(luò)結(jié)構(gòu) 根據(jù)實(shí)際情況， 德賽西威研發(fā)大樓 進(jìn)行全面無(wú)線網(wǎng)絡(luò)覆蓋，需要部署的無(wú)線AP 數(shù)量不少，管理難度大。 使得無(wú)線 局域網(wǎng)的 網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力 得以大幅提高。 在這樣的環(huán)境下，基于 無(wú)線交換機(jī) 技術(shù)的第三代 WLAN 產(chǎn)品應(yīng)運(yùn)而生。 第一代無(wú)線局域網(wǎng)主要是采用 Fat AP（即“胖” AP） ，每一臺(tái) AP 都要單獨(dú)進(jìn)行配置，費(fèi)時(shí)、費(fèi)力、費(fèi)成本； 第二代無(wú)線局域網(wǎng)融入 了 無(wú)線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置 ，其管理性 和 安全 性 以及 對(duì)有線 網(wǎng)絡(luò) 的依賴成為了第一代和第二代 WLAN 產(chǎn)品發(fā)展的瓶頸， 由于這一代技術(shù)的 AP 儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙， Radius client 的安全密碼 (secret) 等，而 AP 又是分散在建筑物中的各個(gè)位置，一旦 AP 的配置被盜取讀出并修改，其無(wú)線網(wǎng)絡(luò)系統(tǒng)就失去了安全性 。此時(shí)一定要注意，生成樹主交換機(jī)必須和雙機(jī)熱備主核心交換機(jī)配置為同一臺(tái)。 ? MSTP 兼容 STP 和 RSTP 3) HSRP 與 MSTP 結(jié)合部署 MSTP 會(huì)通過(guò)生成樹計(jì)算阻塞一條上行鏈路。 ? MSTP 把一個(gè)交換網(wǎng)絡(luò)劃分成多個(gè)域，每個(gè)域內(nèi)形成多棵生成樹，生成樹之間彼此獨(dú)立。 ? 本設(shè)計(jì)方案 采用 MSTP（ Multiple Spanning Tree Protocol，多生成樹協(xié)議 ）。并在拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)能夠迅速響應(yīng)，保證全網(wǎng)的連通性。 17 但是由 于 設(shè)備和鏈路的備份冗余使得網(wǎng)絡(luò)中出現(xiàn)了物理環(huán)路； 根據(jù)交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)原理，那么就會(huì)導(dǎo)致數(shù)據(jù)轉(zhuǎn)發(fā)的循環(huán)； 從而 引起廣播風(fēng)暴、 MAC 轉(zhuǎn)發(fā)表不穩(wěn)定等問(wèn)題，最終造成網(wǎng)絡(luò)不可用。它既可以快速收斂，也能使不同 VLAN 的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負(fù)載分擔(dān)機(jī)制。 2) MSTP（多生成樹協(xié)議） 多生成樹（ MST）使用修正的快速生成樹（ RSTP）協(xié)議，叫 做多生成樹協(xié)議（ MSTP） MSTP（ Multiple Spa