【正文】 使能對指定VLAN內(nèi)所有端口的ARP檢測功能，即對該VLAN內(nèi)端口收到的ARP報文的源IP或源MAC進(jìn)行檢測，只有符合綁定表項(xiàng)的ARP報文才允許轉(zhuǎn)發(fā)；如果端口接收的ARP報文的源IP或源MAC不在。在DHCP的網(wǎng)絡(luò)環(huán)境中，使能DHCP Snooping功能，設(shè)計中選用的接入層交換機(jī)會記錄用戶的IP和MAC信息，形成IP+MAC+Port+VLAN的綁定記錄。由于網(wǎng)絡(luò)用戶具有很強(qiáng)的專業(yè)背景，致使網(wǎng)絡(luò)黑客攻擊頻繁發(fā)生，地址盜用和用戶名仿冒等問題屢見不鮮。當(dāng)然往端口一個個去添加訪問控制組比較麻煩，可以結(jié)合interface range命令來減少命令的輸入量。就是定義一個訪問列表，該訪問列表禁止source port為67而destiion port為68的UDP報文通過。但在很多環(huán)境中這個功能的使用存在局限，或者不會為了私設(shè)DHCP服務(wù)器的緣故去改造網(wǎng)絡(luò)。接入層設(shè)備交換機(jī)可以支持多種禁止私設(shè)DHCP Server的方法。MAC地址盜用的防止在網(wǎng)絡(luò)的應(yīng)用當(dāng)中IP地址的盜用是最為經(jīng)常的一種非法手段，用戶在認(rèn)證通過以后將自己的MAC地址進(jìn)行修改，然后在進(jìn)行一些非法操作，網(wǎng)絡(luò)設(shè)計當(dāng)中我們針對該問題，在接入層交換機(jī)上提供防止MAC地址盜用的功能，用戶在更改MAC地址后，接入層設(shè)備對于與綁定MAC地址不相符的用戶直接將下線，其下線功能是由接入層設(shè)備交換機(jī)來實(shí)現(xiàn)的。MAC地址的綁定可以直接實(shí)現(xiàn)用戶對于邊緣用戶的管理，提高整個網(wǎng)絡(luò)的安全性、可維護(hù)性。 網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)入侵防御系統(tǒng)（IPS）具有強(qiáng)大的攻擊防護(hù)和流量模型自學(xué)習(xí)能力，當(dāng)攻擊發(fā)生、或者短時間內(nèi)大規(guī)模爆發(fā)的病毒導(dǎo)致網(wǎng)絡(luò)流量激增時，能自動發(fā)現(xiàn)并阻斷攻擊和異常流量，以保護(hù)路由器、交換機(jī)、VoIP系統(tǒng)、DNS服務(wù)器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭各種惡意攻擊，保證關(guān)鍵業(yè)務(wù)的通暢。 零時差的應(yīng)用保護(hù)設(shè)備廠商需提供專業(yè)安全團(tuán)隊(duì)密切跟蹤全球知名安全組織和廠商發(fā)布的安全漏洞公告，通過準(zhǔn)確的分析，快速生成保護(hù)操作系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫漏洞的特征庫；同時，通過部署于全球的蜜罐系統(tǒng)，實(shí)時掌握最新的攻擊技術(shù)和趨勢，以定期（每周）和緊急（當(dāng)重大安全漏洞被發(fā)現(xiàn)）兩種方式發(fā)布，并自動或手動地分發(fā)到IPS設(shè)備中，使用戶的IPS快速具備防御零時差攻擊的能力。采用第二代啟發(fā)式代碼分析、iChecker實(shí)時監(jiān)控和獨(dú)特的腳本病毒攔截等多種最尖端的反病毒技術(shù)，能實(shí)時查殺各種文件型、網(wǎng)絡(luò)型和混合型病毒；并采用新一代虛擬脫殼和行為判斷技術(shù)，準(zhǔn)確查殺各種變種病毒、未知病毒。216。 強(qiáng)大的入侵抵御能力推薦入侵防御系統(tǒng)（IPS）集成漏洞庫、專業(yè)病毒庫、應(yīng)用協(xié)議庫。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。 濫用——用戶的違規(guī)行為；深度檢測防御識別出任何不希望有的活動，從而限制這些活動，以保護(hù)系統(tǒng)的安全。一般認(rèn)為違反安全策略的行為有：216。因此在關(guān)鍵路徑上部署獨(dú)立的具有深度檢測防御的IPS（入侵防御系統(tǒng)）就顯得非常重要。這些威脅直接攻擊IDC核心服務(wù)器和應(yīng)用，給業(yè)務(wù)帶來了重大損失；攻擊終端用戶計算機(jī)，給用戶帶來信息風(fēng)險甚至財產(chǎn)損失；對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、等即時通信軟件的普及，寶貴的帶寬資源被業(yè)務(wù)無關(guān)流量浪費(fèi)，形成巨大的資源損失。當(dāng)用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門時，可以通過添加或者減少防火墻實(shí)例的方式十分靈活的解決后續(xù)網(wǎng)絡(luò)擴(kuò)展問題，簡化了網(wǎng)絡(luò)管理的復(fù)雜度。2. 豐富的VPN特性集成IPSec、L2TP、GRE等多種成熟VPN接入技術(shù)，保證移動用戶、合作伙伴和分支機(jī)構(gòu)安全、便捷的遠(yuǎn)程接入。 部署插卡式防火墻，提供網(wǎng)絡(luò)層安全為了保證網(wǎng)絡(luò)的安全性，我們建議在省廳核心交換機(jī)、地市局核心交換機(jī)及地市城域網(wǎng)交換機(jī)節(jié)點(diǎn)配置部署高性能防火墻安全插卡，能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、等功能，有效的保證網(wǎng)絡(luò)的安全。當(dāng)一臺交換機(jī)上的一塊安全插卡的性能不夠時，可以再插入一塊或多塊插卡實(shí)現(xiàn)性能的平滑疊加。此時再也無需擔(dān)心安全業(yè)務(wù)接口不夠而帶來網(wǎng)絡(luò)安全部署的局限性。u 業(yè)務(wù)接口靈活。安全插卡采用背板與交換機(jī)互連，所以互連線路可靠性高，不會存在互連線路故障點(diǎn)。安全插卡采用背板總線與交換機(jī)進(jìn)行互連，背板總線帶寬一般可超過40Gbps，相比傳統(tǒng)的獨(dú)立安全設(shè)備采用普通千兆以太網(wǎng)接口進(jìn)行互連，在互連帶寬上有了很大的提升，而且無需增加布線、光纖和光模塊成本。如本次組網(wǎng)中，可針對監(jiān)控視頻流量進(jìn)行引流，不對其進(jìn)行安全報文檢測，以實(shí)現(xiàn)高速監(jiān)控視頻數(shù)據(jù)的交換。安全融合網(wǎng)絡(luò)解決方案示意圖如下：貴州省公安視頻監(jiān)控網(wǎng)絡(luò)安全設(shè)計拓?fù)鋱D：依據(jù)貴州省公安視頻監(jiān)控承載網(wǎng)廣域網(wǎng)組網(wǎng)架構(gòu)，結(jié)合整體業(yè)務(wù)流量的分布，建議在省廳、9個地市局及地市局下轄城域網(wǎng)節(jié)點(diǎn)都部署核心交換機(jī)防火墻業(yè)務(wù)插卡及入核心交換機(jī)侵防御業(yè)務(wù)插卡，以實(shí)現(xiàn)骨干網(wǎng)絡(luò)2－7層的深度安全防御。建議采用安全插卡方式可以很好的解決上述問題，安全插卡（FW、IPS、LB、SSL VPN等）可直接插在核心交換機(jī)的業(yè)務(wù)槽位，通過交換機(jī)背板互連實(shí)現(xiàn)流量轉(zhuǎn)發(fā)，共用交換機(jī)電源、風(fēng)扇等基礎(chǔ)部件。5 安全與網(wǎng)絡(luò)融合解決方案在傳統(tǒng)的網(wǎng)絡(luò)安全部署時，往往是網(wǎng)絡(luò)與安全各自為戰(zhàn)，在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點(diǎn)串接安全設(shè)備(如FW、IPS、LB等)。第五章 網(wǎng)絡(luò)安全設(shè)計保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行是網(wǎng)絡(luò)設(shè)計的一個重要環(huán)節(jié)，網(wǎng)絡(luò)安全是保證系統(tǒng)安全運(yùn)行的重要基礎(chǔ)，因此，在本方案中需要為網(wǎng)絡(luò)建立安全控制機(jī)制。通過跨設(shè)備鏈路聚合技術(shù)，將多條物理鏈路聚合成一條邏輯鏈路，鏈路之間故障切換不需要MSTP、VRRP復(fù)雜的計算和收斂，最高可以達(dá)到50毫秒的故障自動恢復(fù)。智能彈型技術(shù)作為一種通用的虛擬技術(shù)，對不同形態(tài)產(chǎn)品的堆疊一體化的實(shí)現(xiàn)，使用同一技術(shù)，同時支持盒式設(shè)備的堆疊，以及框式分布式設(shè)備的堆疊。智能彈型支持包括IPvIPvMPLS、安全特性、OAA插卡、高可用性等全部交換機(jī)特性，并且能夠高效穩(wěn)定地運(yùn)行這些功能，大大擴(kuò)展了智能彈型設(shè)備的應(yīng)用范圍。因此，智能彈型技術(shù)能夠通過多個單機(jī)設(shè)備的堆疊，輕易的將設(shè)備的核心交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高了設(shè)備的性能。高性能。堆疊的高可靠性體現(xiàn)在多個方面，比如：成員設(shè)備之間堆疊物理端口支持聚合功能，堆疊系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了堆疊系統(tǒng)的可靠性；堆疊系統(tǒng)由多臺成員設(shè)備組成，Master設(shè)備負(fù)責(zé)堆疊的運(yùn)行、管理和維護(hù)，Slave設(shè)備在作為備份的同時也可以處理業(yè)務(wù)，一旦Master設(shè)備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過堆疊的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備級的1:N備份。很好的保護(hù)了用戶投資。保護(hù)用戶投資。強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力。低成本：智能彈型技術(shù)是將一些較低端的設(shè)備虛擬成為一個相對高端的設(shè)備使用，從而具有高端設(shè)備的端口密度和帶寬，以及低端設(shè)備的成本。這樣省去了設(shè)備間大量協(xié)議報文的交互，簡化了網(wǎng)絡(luò)運(yùn)行，縮短了網(wǎng)絡(luò)動蕩時的收斂時間。簡化網(wǎng)絡(luò)運(yùn)行。2臺核心交換機(jī)進(jìn)行虛擬后邏輯圖如下：智能彈型堆疊具有以下主要優(yōu)點(diǎn)：簡化管理。 網(wǎng)絡(luò)虛擬化技術(shù)優(yōu)點(diǎn)從方案的角度設(shè)計，2臺核心交換機(jī)以10G鏈路互聯(lián)，采用智能彈型虛擬交換機(jī)技術(shù)，形成分布式交換架構(gòu)，從管理配置和組網(wǎng)角度服務(wù)基礎(chǔ)上，成為一臺虛擬交換設(shè)備?？傊@些系統(tǒng)相關(guān)的問題對各種特性來說都需要新的技術(shù)加以解決。例如堆疊的一個特點(diǎn)是每個成員都有獨(dú)立的控制能力，如何協(xié)調(diào)各成員的控制就是一個問題。技術(shù)不成熟造成運(yùn)行不穩(wěn)定。由于基本架構(gòu)的不同，很多功能在堆疊產(chǎn)品上的實(shí)現(xiàn)不同于任何已有產(chǎn)品，用戶在使用堆疊產(chǎn)品前必須熟悉這些差異。大部分廠商在堆疊技術(shù)實(shí)現(xiàn)時采用了全新的系統(tǒng)架構(gòu)，導(dǎo)致在其它設(shè)備上很普通很成熟的技術(shù)，在堆疊設(shè)備上都必須進(jìn)行單獨(dú)的支持，而多年的技術(shù)積累很難在短時間內(nèi)重新實(shí)現(xiàn)，因此只能保證堆疊設(shè)備首先支持基本功能，而大量的增值服務(wù)可能缺失。這種虛擬設(shè)備既具有盒式設(shè)備的低成本優(yōu)點(diǎn)，又具有框式分布式設(shè)備的擴(kuò)展性以及高可靠性優(yōu)點(diǎn)。智能彈型堆疊就是將多臺設(shè)備通過堆疊口連接起來形成一臺虛擬的邏輯設(shè)備。但它相比盒式交換機(jī)也有一些缺點(diǎn)，比如首次投入成本高、單端口成本高等。 虛擬化架構(gòu)設(shè)計 網(wǎng)絡(luò)設(shè)備虛擬交換構(gòu)架介紹目前，網(wǎng)絡(luò)中主要存在兩種形態(tài)的通信設(shè)備：盒式設(shè)備和框式分布式設(shè)備。RPR是IEEE ，結(jié)合了大量設(shè)備供應(yīng)商、芯片供應(yīng)商和運(yùn)營商的意見和建議，經(jīng)過大量研究和論證，廣泛達(dá)成共識，形成的標(biāo)準(zhǔn)技術(shù)。管理維護(hù)前面提到，在RPR幀結(jié)構(gòu)中包含了大量用于性能管理、故障管理、配置管理的各種選項(xiàng)參數(shù)，為RPR的運(yùn)行維護(hù)管理(OAM)奠定了良好的基礎(chǔ)。可能的拓?fù)浣Y(jié)構(gòu)包括全環(huán)回結(jié)構(gòu)和鏈狀結(jié)構(gòu)(當(dāng)部分鏈路故障時)。拓?fù)浒l(fā)現(xiàn)RPR支持拓?fù)渥詣影l(fā)現(xiàn)。當(dāng)RPR鏈路故障出現(xiàn)時，立即啟動繞回方式進(jìn)行保護(hù)，不中斷業(yè)務(wù)；當(dāng)各節(jié)點(diǎn)的各種狀態(tài)數(shù)據(jù)(拓?fù)湫畔⒌?重新收斂并穩(wěn)定下來后，切換到抄近方式，以便節(jié)省帶寬。抄近方式避免了帶寬的浪費(fèi)，但是由于需要重新收斂，恢復(fù)時間較長，可能會造成一些業(yè)務(wù)的中斷。這里以下圖為例加以說明：左圖是故障前的正常數(shù)據(jù)流，A節(jié)點(diǎn)到D節(jié)點(diǎn)，走0環(huán)，路徑為A－B－C－D；中圖為故障后繞回保護(hù)方式，故障發(fā)生后，在故障鏈路兩端的節(jié)點(diǎn)上通過光路環(huán)回，數(shù)據(jù)路徑也在此環(huán)回，總的路徑為A－B－A－F－E－D－C－D；右圖為故障后抄近保護(hù)方式，從A節(jié)點(diǎn)到D節(jié)點(diǎn)的數(shù)據(jù)流量改抄近道，走另外一個環(huán)(這里是1環(huán))到達(dá)目的節(jié)點(diǎn)，路徑為A－F－E－D。下面是鏈路故障時的保護(hù)情況，在故障鏈路兩端的節(jié)點(diǎn)內(nèi)部把0環(huán)和1環(huán)連接在一起，重新形成一個新的環(huán)網(wǎng)。RPR為了避免Headof line blocking 而支持multichoke 算法，公平算法更加可靠；建議速率(advertise rate)實(shí)現(xiàn)機(jī)制，使數(shù)值調(diào)整更加平滑，網(wǎng)絡(luò)流量不會出現(xiàn)大的動蕩。在這個案例中的流量都是要求絕對公平的流量。A節(jié)點(diǎn)收到控制報文后也作相應(yīng)處理。B節(jié)點(diǎn)收到控制報文后，也立即降低本地上載的流量，根據(jù)公平算法計算值，C、B兩節(jié)點(diǎn)的上載流量都調(diào)整為750Mbps。接下來A節(jié)點(diǎn)也注入1000Mbps流量發(fā)送至D節(jié)點(diǎn)，C－D段流量要達(dá)到3Gbps，C－D段出現(xiàn)擁塞。如下圖，RPR環(huán)中有A、B、C、D四個節(jié)點(diǎn)，流量通過0環(huán)傳送。在公平控制單元內(nèi)實(shí)現(xiàn)的公平算法協(xié)議具有以下的功能：l 檢測擁塞的發(fā)生和消除；l 發(fā)送和接收RPR節(jié)點(diǎn)之間的公平控制消息；l 根據(jù)不同服務(wù)級別對環(huán)路帶寬提供訪問控制，采用等值或加權(quán)的公平算法來控制環(huán)路總帶寬的使用；l 0環(huán)和1環(huán)分別提供獨(dú)立的帶寬公平操作，把環(huán)上任意兩個節(jié)點(diǎn)間的所有帶寬作為全局資源分配給用戶；l 每個節(jié)點(diǎn)可以根據(jù)服務(wù)等級、環(huán)路帶寬的使用情況控制向環(huán)上轉(zhuǎn)發(fā)數(shù)據(jù)包的速度，保證每個節(jié)點(diǎn)都獲得公平的環(huán)路帶寬分配；l 針對同一環(huán)路的帶寬公平控制幀與相關(guān)聯(lián)的數(shù)據(jù)流分別在不同的子環(huán)上流動，且流動方向相反。帶寬公平和擁塞控制機(jī)制屬于RPR數(shù)據(jù)鏈路層MAC控制子層部分的功能。RPR的公平算法是一種分布式的公平算法，節(jié)點(diǎn)間通過控制報文傳遞公平算法所需的各項(xiàng)信息，包括允許速率、建議速率、策略指示等。但是當(dāng)流量較大的時候，往往會出現(xiàn)鏈路過載、流量擁塞的情況，流量對鏈路帶寬占用需求不能得到完全滿足，在這種情況下，有些節(jié)點(diǎn)可以會利用自身位置優(yōu)勢(近水樓臺先得月)或時間優(yōu)勢(先入為主)，過多地霸占帶寬，影響其他節(jié)點(diǎn)對帶寬的享用。公平算法RPR采用共享帶寬方式實(shí)現(xiàn)各節(jié)點(diǎn)對帶寬資源的利用。測試表明， RPR環(huán)的多個節(jié)點(diǎn)之間的時延僅為數(shù)十微秒，滿足實(shí)時業(yè)務(wù)對網(wǎng)絡(luò)的要求。但是，對于運(yùn)營商的IP城域網(wǎng)、骨干網(wǎng)，由于要承載多種業(yè)務(wù)，包括高品質(zhì)的業(yè)務(wù)，因此必須采用雙過環(huán)隊(duì)列方式；對于大型教育網(wǎng)、大型企業(yè)網(wǎng)等網(wǎng)絡(luò)，往往也要承載IP話音、視頻等一些業(yè)務(wù)，有比較高的性能需求，因此也建議采用雙過環(huán)隊(duì)列方式。由于單隊(duì)列方式不需要對A級和B、C級流量分開進(jìn)行排隊(duì)處理，因此硬件實(shí)現(xiàn)上要容易得多，成本上也會有大幅度節(jié)約。很顯然，從技術(shù)性能上看，雙隊(duì)列方式明顯要優(yōu)于單隊(duì)列方式，A級流量的排隊(duì)調(diào)度不受B、C級流量的影響，可以有效地保證高優(yōu)先級、低時延的業(yè)務(wù)。也就是說，對于雙過環(huán)隊(duì)列方式的RPR，RPR環(huán)路對高優(yōu)先業(yè)務(wù)和低優(yōu)先業(yè)務(wù)采用單獨(dú)的緩存隊(duì)列，采用嚴(yán)格優(yōu)先級隊(duì)列的方式進(jìn)行交換，即無論在何種情況下RPR環(huán)路MAC仲裁機(jī)制都會優(yōu)先處理高等級的業(yè)務(wù)，低優(yōu)先級的業(yè)務(wù)不會影響高優(yōu)先級的業(yè)務(wù)的實(shí)時交換。上圖是單過環(huán)隊(duì)列的示意圖，所有類型的過環(huán)流量全部在同一個隊(duì)列中進(jìn)行排隊(duì)調(diào)度。過環(huán)的Class A業(yè)務(wù)通過PTQ緩存，過環(huán)的Class B和Class C業(yè)務(wù)通過STQ緩存。級別A用于低時延/嚴(yán)格抖動的高優(yōu)先級流量，提供最低的端到端延時、抖動，具有承諾信息速率定義(CIR)；級別B用于承諾信息速率(CIR)和突發(fā)信息速率(EIR)的中等優(yōu)先級流量，其中對于CIR必須保證一定的帶寬，以及端到端的延時和抖動，而對于EIR則不需保證；級別C用于盡力傳送的低優(yōu)先級普通流量，沒有帶寬定義。RPR節(jié)點(diǎn)具有3個上環(huán)緩存隊(duì)列：A隊(duì)列、B隊(duì)列和C隊(duì)列，分別對應(yīng)A、B、C三個數(shù)據(jù)業(yè)務(wù)等級，提供不同的隊(duì)列調(diào)度優(yōu)先級。即便是采用直通模式的時候，仍然有可能用到存儲轉(zhuǎn)發(fā)模式，例如直通隊(duì)列被臨時阻塞，就需要轉(zhuǎn)入存儲轉(zhuǎn)發(fā)模式。存儲轉(zhuǎn)發(fā)模式實(shí)現(xiàn)起來簡單通用，而直通模式則能夠進(jìn)一步提高效率。MAC控制實(shí)體包含數(shù)據(jù)和控制這兩個平面的功能，包括公平控制、保護(hù)、拓?fù)浒l(fā)現(xiàn)、子環(huán)選擇、運(yùn)行管理維護(hù)以及數(shù)據(jù)封裝/拆封等重要功能，如下圖所示：MAC數(shù)據(jù)通道與各自子環(huán)數(shù)據(jù)傳送直接掛鉤，包括四個方面的功能：流量要整形(shaping)，使其能夠有序地進(jìn)入共享的環(huán)介質(zhì)；在源節(jié)點(diǎn)時，數(shù)據(jù)幀要開路(staging)；在過環(huán)節(jié)點(diǎn)時，數(shù)據(jù)幀要排隊(duì)(queuing)；要選擇數(shù)據(jù)幀遞送到本地客戶端或控制子層；要選擇數(shù)據(jù)幀從環(huán)上剔除。對于單播來說，就意味著只有數(shù)據(jù)流的源節(jié)點(diǎn)和目的節(jié)點(diǎn)才需要啟用MAC控制實(shí)體對數(shù)據(jù)進(jìn)行處理。這里舉個一個最簡單的例子，有三個RPR節(jié)點(diǎn)，假定一個數(shù)據(jù)流從節(jié)點(diǎn)S1發(fā)起，穿越節(jié)點(diǎn)S2，終結(jié)于節(jié)點(diǎn)S3，整個數(shù)據(jù)流程如下圖所示。MAC控制實(shí)體從這兩個數(shù)據(jù)通道