【正文】 。湖南信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系（網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)）畢業(yè)論文 24 參考文獻(xiàn) [1] 謝希仁 著 《計(jì)算機(jī)網(wǎng)絡(luò)》（第四版） 電子工業(yè)出版社 [2] 謝希仁 譯 《 TCP/IP 協(xié)議族》 清華大學(xué)出版社 [3] Cisco 著 《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程（第三、四學(xué)期）》 人民郵電出版社 [4] 盧澤新 白建軍 譯 《 IP 路由協(xié)議疑難解析》 人民郵電出版社 [5] 魏巍 趙青 譯 《 CCNP 自學(xué)指南》 電子工業(yè)出版社 [6] 《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成與方案實(shí)例》 陳俊良 著 機(jī)械工業(yè)出版社 [7] 網(wǎng)絡(luò)參考文獻(xiàn) 湖南信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系（網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)）畢業(yè)論文 25 致謝 我要特別的感謝指導(dǎo)老師吳伯橋老師，他認(rèn)真負(fù)責(zé)的工作 態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我受益匪淺。 湖南信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系（網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)）畢業(yè)論文 23 總結(jié)： 校園網(wǎng)是個(gè)復(fù)雜的網(wǎng)絡(luò)，這無(wú)疑對(duì)校園網(wǎng)的優(yōu)化帶來(lái)了很大的難度，本文從一個(gè)用戶(hù)的角度，在不增加設(shè)備和帶寬的基礎(chǔ)上進(jìn)行優(yōu)化，有一部是借鑒以往的優(yōu)化經(jīng)驗(yàn)，比如：限制 UDP 端口在 2020 一下。 校園網(wǎng)完全建成后主要應(yīng)實(shí)現(xiàn)以下應(yīng)用目標(biāo)： 支持學(xué)校的整個(gè)教學(xué)過(guò)程與教學(xué)管理：通過(guò)多媒體技術(shù)在校園網(wǎng)絡(luò)的 應(yīng)用，構(gòu)造豐富多彩的教學(xué)環(huán)境，實(shí)現(xiàn)多樣化的教學(xué)手段。 日志服務(wù)器記錄有用戶(hù)完整的訪(fǎng)問(wèn)記錄，包括源 IP、目的 IP、源端口、目的端口、源 MAC、目的 MAC、訪(fǎng)問(wèn)開(kāi)始時(shí)間、訪(fǎng)問(wèn)結(jié)束時(shí)間、發(fā)送流量、接受流量等，通過(guò)日志管理查詢(xún)系統(tǒng)，可以對(duì)日志進(jìn)行管理和查詢(xún)。網(wǎng)絡(luò)管理員可以在系統(tǒng)平臺(tái)上查看用戶(hù)的以上信息，并結(jié)合銳捷全系列交換機(jī)支持的端口環(huán)回測(cè)試功能，足不出戶(hù)的遠(yuǎn)程判斷用戶(hù)上網(wǎng)故障，幫助用戶(hù)解決上網(wǎng)問(wèn)題，并最大限度地降低了管 理員工作量。如下圖： 基于用戶(hù)流量的靈活管理 目前學(xué)校越來(lái)越多的用戶(hù)使用 P2P 等軟件進(jìn)行下載，造成學(xué)校出口帶寬壓力過(guò)大，為了能夠解決用戶(hù)上網(wǎng)流量過(guò)大的問(wèn)題，銳捷網(wǎng)絡(luò)在 RGSAM 上整合了新湖南信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系（網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)）畢業(yè)論文 21 的功能來(lái)對(duì)接入用戶(hù)進(jìn)行流量統(tǒng)計(jì)，從而控制用戶(hù)因大量下載而造成的出口帶寬壓力過(guò)大。 防止 IP 地址盜用策略 通過(guò)用戶(hù)帳號(hào)和 IP 地址的綁定，為每個(gè)用戶(hù)分配一個(gè) 固定的 IP 地址，防止IP 地址被他人盜用。銳捷網(wǎng)絡(luò) RGSAM 系統(tǒng)可以實(shí)現(xiàn)是否屏蔽用戶(hù)使用代理服務(wù)器，達(dá)到對(duì)用戶(hù)使用代理服務(wù)器的可控狀態(tài)，從而保證網(wǎng)絡(luò)安全及高效管理。如下圖： 湖南信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系（網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)）畢業(yè)論文 19 非法代理服務(wù)器的屏蔽 如果允許用戶(hù)使用代理服務(wù)器，當(dāng)被代理的用戶(hù)攻擊網(wǎng)絡(luò)、發(fā)布非法言論或是泄漏秘密文件時(shí)，由于使用代理服務(wù)器我們就無(wú)法找到改用戶(hù)，這樣就給網(wǎng)絡(luò)帶來(lái)安全隱患，也不方便管理。并且，通過(guò)多元素的綁定，可以做到事前（訪(fǎng)問(wèn)網(wǎng)絡(luò)之前）用戶(hù)身份的合法性，學(xué)生用戶(hù)想要訪(fǎng)問(wèn)網(wǎng)絡(luò)，上述信息就必須完全正確，否則用戶(hù)就無(wú) 法訪(fǎng)問(wèn)網(wǎng)絡(luò)。 為了確保接入用戶(hù)的合法性，銳捷網(wǎng)絡(luò) RGSAM 系統(tǒng)可以對(duì)用戶(hù)帳號(hào) 、 IP 地址、 MAC 地址、接入端口、接入服務(wù)器 IP 地址、禁止再撥號(hào)、禁止架設(shè)代理等多元素進(jìn)行靈活綁定，達(dá)到對(duì)用戶(hù)訪(fǎng)問(wèn)的最大程度的嚴(yán)格控制，同時(shí)，可以限制接入用戶(hù) IP 地址（如必須由 DHCP 獲得、只能靜態(tài)設(shè)置或不限制）、用戶(hù)的上下行速率等。如下圖： 高效的內(nèi)網(wǎng)定位策略 為了保證接入用戶(hù)身份的準(zhǔn)確性，利用銳捷 RGSAM 與交換機(jī)配合可對(duì)用戶(hù)湖南信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系（網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)）畢業(yè)論文 18 多元素進(jìn)行綁定，如用戶(hù)名、用戶(hù) IP、用戶(hù) MAC、 接入交換機(jī) IP、接入交換機(jī)端口等多元素的綁定，這樣可以做到事前（訪(fǎng)問(wèn)網(wǎng)絡(luò)之前）用戶(hù)身份的合法性，學(xué)生用戶(hù)想要訪(fǎng)問(wèn)網(wǎng)絡(luò)，上述信息就必須完全正確，否則用戶(hù)就無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)。如在用戶(hù)端，如果用戶(hù)不能經(jīng)過(guò)認(rèn)證，系統(tǒng)會(huì)提示用戶(hù)如“您的 IP 地址不正確”、“您的 MAC 地址不正確”、“您的帳號(hào)已欠費(fèi)”等等，如下圖所示： 同時(shí)在服務(wù)器端會(huì)有同樣的顯示，如下圖： 湖南信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系（網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)）畢業(yè)論文 17 用戶(hù)可以通過(guò)認(rèn)證但不能上網(wǎng)： 這種情況是在校園網(wǎng)中經(jīng)常遇到的一種情況，非常普遍。首先用戶(hù)不能上網(wǎng)分為兩種情況： 湖南信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系（網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)）畢業(yè)論文 16 用戶(hù)本身就沒(méi)有通過(guò)認(rèn)證： 基于這種情況，用戶(hù)本身就沒(méi)有通過(guò)認(rèn)證，那么用戶(hù)是一定不能上網(wǎng)的。 基于用戶(hù)上網(wǎng)故障的準(zhǔn)確分析 由于學(xué)校師生數(shù)量龐大，上網(wǎng)用戶(hù)眾多，那么對(duì)用戶(hù)上網(wǎng)情況的準(zhǔn)確把握也是對(duì)校園網(wǎng)有效管理的一項(xiàng)內(nèi)容，如果說(shuō)目前有那些用戶(hù)在線(xiàn)，他們的網(wǎng)絡(luò)參數(shù)如用戶(hù)的 IP、用戶(hù)的 MAC、用戶(hù)的接入交換機(jī) IP、用戶(hù)所接的交換機(jī)端口、用戶(hù)的 網(wǎng)關(guān)、用戶(hù)的子網(wǎng)掩碼、用戶(hù)的 DNS 等是什么，如果用戶(hù)說(shuō)我我不能上網(wǎng)怎么辦？網(wǎng)管老師問(wèn)你的 IP 配的對(duì)么？你的網(wǎng)管配的對(duì)么？你的 DNS 是配的某某么？如果網(wǎng)管老師經(jīng)常這樣做，不僅讓網(wǎng)管老師的工作效率大打折扣、而且經(jīng)常會(huì)被一些瑣碎的小事占去很多寶貴時(shí)間。 交換機(jī)上不用的端口劃在一個(gè) VLAN 中，并將這些口 Shutdown，需要用時(shí)，再開(kāi)啟。因此，盡量使用 SSH、 SNMPv3 等秘文傳輸方式登錄 交換機(jī)，因?yàn)樗鼈兌寂c交換機(jī)之間都是加密傳輸。 湖南信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系（網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)）畢業(yè)論文 15 4 管理控制 交換機(jī)的網(wǎng)絡(luò)管理問(wèn)題 網(wǎng) 絡(luò)管理可以說(shuō)是網(wǎng)絡(luò)中最薄弱的一個(gè)環(huán)節(jié)，因?yàn)橐坏┕粽叩卿浗粨Q機(jī)，那么交換機(jī)配置的所有安全防范措施則化為烏有，因此必須重視交換機(jī)管理安全。 IP 掃描攻擊 許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動(dòng)的主機(jī)開(kāi)始的，大量的掃描報(bào)文也 急劇占用網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無(wú)法進(jìn)行。從而防范用戶(hù)發(fā)送非法 BPDU 報(bào)文。 STP 攻擊 發(fā)送虛假的 BPDU 報(bào)文，擾亂網(wǎng)絡(luò)拓?fù)浜玩溌芳軜?gòu)，可以導(dǎo)致整個(gè)校園網(wǎng)癱瘓。攻擊報(bào)文主要是采用偽裝源 IP。 防范： 交換機(jī)端口安全：端口靜態(tài)綁定； 交換機(jī)整機(jī)綁定 IP 和 MAC 地址； DHCP 動(dòng)態(tài)綁定； ； 檢查 IP 報(bào)文中源 IP 和源 MAC 是否和交換機(jī)中管理員設(shè)定的是否一致，不一 湖南信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系（網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)）畢業(yè)論文 13 致，報(bào)文丟棄，并發(fā)送告警信息。非常適合于湖南信息職業(yè)技術(shù)學(xué)院目前的情況下徹底解決 ARP 攻擊問(wèn)題。該方案有身份認(rèn)證的環(huán)境中，非常適合。 SAM+ARPCheck 網(wǎng)絡(luò)中有 SAM，必須是全部的身份認(rèn)證環(huán)境，銳捷 2126G 交換機(jī)在認(rèn)證過(guò)程中讀取 SAM 報(bào)文，獲取到用戶(hù)的 MAC 和 IP 信息，進(jìn)行綁定，不占有交換機(jī)資源 銳捷 2126G 對(duì)報(bào)文的源地址進(jìn)行檢查，對(duì)非法的攻擊報(bào)文一律丟棄處理。 弱點(diǎn)： DHCP 協(xié)議本身存在私設(shè)服務(wù)器，泛洪攻擊等問(wèn)題，如果是原來(lái)沒(méi)有使用dhcp 技術(shù)，專(zhuān)門(mén)為了解決 ARP 欺騙而引入該技術(shù)；由于高教網(wǎng)絡(luò)復(fù)雜，通常接入存在多個(gè)網(wǎng)段，且在面向數(shù)萬(wàn)人部署時(shí)， DHCP 壓力也非常大。（ DHCPRelay+Option82） 銳捷 2126G 對(duì)報(bào)文的源地址進(jìn)行檢查，對(duì)非法的攻擊報(bào)文一律丟棄處理。 利用 ANTIARPSMOOFING 功能：防范交換機(jī)下連口的終端設(shè)備冒 ARP 欺騙。 配置如下： service dhcp 開(kāi)啟交換機(jī)上 DHCP 服務(wù) ip dhcp pool vlan 88 地址池名稱(chēng) work 分配地址池網(wǎng)段，掩碼 dnsserver 默認(rèn) DNS 服務(wù)器地址設(shè)置 湖南信息職業(yè)技術(shù)學(xué)院