【正文】 ? 動(dòng)態(tài)功率控制 — 該系統(tǒng)可動(dòng)態(tài)調(diào)整各接入點(diǎn)的功率輸出，來適應(yīng)不斷變化的網(wǎng)絡(luò)情況，以確保達(dá)到預(yù)期的無線性能和可靠性。 ? 負(fù)載均衡 — 此系統(tǒng)對多個(gè)接入點(diǎn)提供了自動(dòng)的用戶負(fù)載均衡，即使負(fù)載量 很大，也能獲得最優(yōu)網(wǎng)絡(luò)性能。 思科無線局域網(wǎng)控制器 所管理的特定智能 RF功能包括： ? 動(dòng)態(tài)信道分配 — 信道可根據(jù)不斷變化的 RF 情況進(jìn)行調(diào)整，以優(yōu)化網(wǎng)絡(luò)覆蓋范圍和性能。思科WLAN 系統(tǒng)使用即將榮獲專利的無線資源管理 (RRM)算法，來實(shí)時(shí)發(fā)現(xiàn)空中無線資源使用的變化并作出調(diào)整。同時(shí) QoS 的擁塞避免機(jī)制，如數(shù)據(jù)包丟棄 WRED 也可以同時(shí)在相應(yīng)的廣域網(wǎng)端口上實(shí)施，以保證高優(yōu)先級業(yè)務(wù)數(shù)據(jù)的服務(wù)質(zhì)量。 ? 數(shù)據(jù)中心之間的廣域 網(wǎng)鏈路，數(shù)據(jù)中心與一級節(jié)點(diǎn)之間的廣域網(wǎng)鏈路都是可能發(fā)生擁塞的網(wǎng)段，需要使用 QoS 的擁塞管理機(jī)制， CBWFQ。 QoS 擁塞管理與擁塞避免 ? 由于數(shù)據(jù)中心局域網(wǎng)多采用千兆或捆綁的多千兆端口互聯(lián)，應(yīng)該不會存在網(wǎng)絡(luò)擁塞的情況。 ? OA 業(yè)務(wù)及視頻類 ? 在數(shù)據(jù)中心內(nèi)部， EAS 類數(shù)據(jù)服務(wù)和視頻數(shù)據(jù)主要在交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級分類可以在數(shù)據(jù)中心核心交換機(jī)等交換機(jī)上根據(jù)應(yīng)用類型或連接相應(yīng)網(wǎng)段的交換端口上完成。 QoS 數(shù)據(jù)分類 ? 業(yè)務(wù)類 ? 在網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi)部，辦公類應(yīng)用數(shù)據(jù)和業(yè)務(wù)類數(shù)據(jù)主要在業(yè)務(wù)交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級分類可以在數(shù)據(jù)中心核心交換機(jī)上根據(jù)連接主機(jī)的端口上完成。 IP 優(yōu)先級劃分 ? 針對 本公司 信息化網(wǎng)絡(luò)的實(shí)際的應(yīng)用情況，可以把需要使用 QOS 的各種應(yīng)用劃分為 5類： 1. 辦公類應(yīng)用：這是對延時(shí)非常敏感的一種應(yīng)用，實(shí)時(shí)性要求高，應(yīng)該定義為最高級別的優(yōu)先級； 2. 視頻 /語音： 這類數(shù)據(jù)對延時(shí)也非常敏感，但屬于多媒體業(yè)務(wù)，可以定義為次優(yōu)先級； 3. 工程類業(yè)務(wù)： 這類數(shù)據(jù)的特點(diǎn)是交易包長度固定，交易時(shí)限要求實(shí)時(shí)，上下行數(shù)據(jù)流量基本對等，因?yàn)槭蔷W(wǎng)絡(luò)中的關(guān)鍵應(yīng)用，所以應(yīng)定義為比較高的優(yōu)先級； 4. 管理類業(yè)務(wù)： 這類數(shù)據(jù)通常對網(wǎng)絡(luò)實(shí)時(shí)性要求不高，可定義為一般優(yōu)先級業(yè)務(wù)； 5. 其它應(yīng)用： 其它應(yīng)用包括大部分 Inter 訪問，典型的應(yīng)用是 FTP或 HTTP 等，可以把這類應(yīng)用定義為最低的優(yōu)先級。 ? 步驟四：報(bào)告――具有多種報(bào)告功能，它可以產(chǎn)生報(bào)告、圖表、數(shù)據(jù)和簡單網(wǎng)絡(luò)管理協(xié)議的管理信息庫（ SNMP MIB）。您可以為每個(gè)對話（ session）、每個(gè)應(yīng)用程序指定具體的帶寬。 ? 步驟二：分析――提供詳細(xì)的應(yīng)用程序性能和網(wǎng)絡(luò)效率分析，描述最大和平均帶寬利用率、響應(yīng)時(shí)間（細(xì)分到網(wǎng)絡(luò)與服務(wù)器延遲等）、最主要 的用 24 戶、網(wǎng)頁、應(yīng)用程序以及其他信息。 ? 步驟一：分類――自動(dòng)根據(jù)應(yīng)用程序的種類、子網(wǎng)、 URL 和其他信流特征，將網(wǎng)絡(luò)信息流分成為不同的類別。 ? 針對 貴公司 信息網(wǎng)，整網(wǎng)部屬 QoS 以來滿足應(yīng)用數(shù) 據(jù)的分類傳輸，保證關(guān)鍵應(yīng)用的網(wǎng)絡(luò)質(zhì)量。它能根據(jù)一個(gè)特定信息流的特點(diǎn)，根據(jù) IP 地址，子網(wǎng)，服務(wù)器地點(diǎn)， TCP 應(yīng)用口，域名及應(yīng)用將這個(gè)信息流和其它信息流區(qū)分開來，再根據(jù)不同的需要給予適當(dāng)或應(yīng)有的帶寬分區(qū)（ Partition）和帶寬政策（ Policy）。專業(yè)流量控制器通過對通訊兩端機(jī)器通訊流量 的同時(shí)及直接控制，有效地解決擁擠和阻塞。通過國際互聯(lián)網(wǎng)或內(nèi)聯(lián)肉進(jìn)行的各種應(yīng)用遇到響應(yīng)遲緩及中斷等問題，尤其是圖象和語音，通訊質(zhì)量得不到保障。 TCP/IP 協(xié)議的天然屬性以及路由器上優(yōu)化技術(shù)的不完美為問題的解決帶來重重障礙。 ISP 接入的處理 ISP 接入地址由 ISP 供應(yīng)商提供。 服務(wù)器群地址： 在網(wǎng)絡(luò)系統(tǒng)中有大量服務(wù)器，為了對服務(wù)器進(jìn)行統(tǒng)一的管 理，我們建議采用（ 預(yù)留地址），服務(wù)器群所使用的 VLAN ID 與網(wǎng)段第三個(gè)數(shù)字相同為 VLAN 10。 IP 地址分類 網(wǎng)絡(luò)設(shè)備地址：網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備所使用的 VLAN/IP 地址 服務(wù)器群地址：網(wǎng)絡(luò)系統(tǒng)中對內(nèi) /對外的服務(wù)器所使用的 VLAN/IP 地址； 網(wǎng)絡(luò)管理地址：網(wǎng)絡(luò)系統(tǒng)管理人員及中心機(jī)房內(nèi)的電腦所使用的 VLAN/IP 地址； 固定用戶：相對固定的網(wǎng)絡(luò)用戶，分別屬于各個(gè)接入層的用戶所使用的 22 VLAN/IP 地址； 動(dòng)態(tài)用戶：通過 DHCP 自動(dòng)分配地址的接入網(wǎng)絡(luò)的用戶所使用的 VLAN/IP 地址； VPN 用戶：通過 VPN 接入網(wǎng)絡(luò)的用戶所使用的 IP 地址 ISP 接入：需要訪 問 INTERNET 所需要的 IP 地址 網(wǎng)絡(luò)設(shè)備地址 為了更好的對網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理監(jiān)控，需要為網(wǎng)絡(luò)設(shè)備分配一個(gè) IP 地址，根據(jù)前面所建議的，我們采用 C 類地址，使用 24 位掩碼（ ）作為網(wǎng)絡(luò)設(shè)備的地址，這樣就將網(wǎng)絡(luò)內(nèi)部用戶所使用的 IP 地址與網(wǎng)絡(luò)設(shè)備地址區(qū)分開，所產(chǎn)生的效果是既加強(qiáng)的網(wǎng)絡(luò)系統(tǒng)的安全性，又方便了網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的管理。為了與用戶地址進(jìn)行區(qū)分，采用 C 類地址，使用 24 位掩碼（ ）作為網(wǎng)絡(luò)設(shè)備的地址。以便于日后的網(wǎng)絡(luò)擴(kuò)展，方便管理，有利于網(wǎng)絡(luò)信息安全。為了域名正確匹配網(wǎng)絡(luò)地址，在省廳網(wǎng)管中心設(shè)置一個(gè)域名服務(wù)器（ DNS）。一些單位如果不能明確劃分，可劃入“其它”類。第二層域?yàn)橛脩魧佑?，一般這一層域名與頂層域名一起，基本上可以描述該用戶的名稱等性質(zhì)。域名系統(tǒng)（ DNS）是Inter/Intra 解決無意義的 IP 地址和有 意義的名字之間的映射的網(wǎng)絡(luò)服務(wù)機(jī)制。 21 IP 地址規(guī)劃設(shè)計(jì) 本公司 網(wǎng)絡(luò)作為一個(gè)覆蓋全各系統(tǒng)，基于 TCP/IP 協(xié)議的網(wǎng)絡(luò)系統(tǒng)， IP 地址和域名應(yīng)該遵循統(tǒng)一規(guī)則。 簡化業(yè)務(wù)： 通過分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個(gè)網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率 ，并且支持堆疊組內(nèi)所有設(shè)備的單一 IP 管理 。 10）、交換機(jī)的管理安全 網(wǎng)絡(luò)管理可以說是網(wǎng)絡(luò)中最薄弱的一個(gè)環(huán)節(jié)，因?yàn)橐坏┕粽叩卿浗粨Q機(jī)，那么交換機(jī)配置的所有安全防范措施則化為烏有，因此必須重視交換機(jī)管理安全： 一般的網(wǎng)絡(luò)管理協(xié)議： SNMPv2， Tel， Web 等都是明文登錄和傳輸信息的，因此，盡量使用 SSH、 SNMPv3 等秘文傳輸方式登錄交換機(jī)，因?yàn)樗鼈兌寂c交換機(jī)之間都是加密傳輸。 防范： 在交換機(jī)上啟用 IGMP 源端口檢查的功能，從而達(dá)到防范非法組播源的目的。打開端口對應(yīng)風(fēng)暴控制開關(guān)，則該端口對應(yīng)輸入報(bào)文的速度限制為 12288幀 /秒，百兆接口缺省限制廣播和未知名單播的速度，限制為 12288 幀 /秒。 被監(jiān)控的攻擊主機(jī)數(shù)量、隔離用戶的時(shí)間都可以根據(jù)網(wǎng)絡(luò)實(shí)際狀況設(shè)置。 7）、 IP 掃描攻擊 許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動(dòng)的主機(jī)開始的，大量的掃描報(bào)文也急劇占用網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無法進(jìn)行。攻擊報(bào)文主要是采用偽裝源 IP。 19 對于接入層交換機(jī)，在沒有冗余鏈路的情況下，盡量不用開啟 STP 協(xié)議。 防范： 使用交換機(jī)具備的 BPDU Guard 功能，可以禁止網(wǎng)絡(luò)中直接接用戶的端口或接入層交換機(jī)的下連端口收到 BPDU 報(bào)文。 防范有以下幾種： ? 交換機(jī)端口安全：端口靜態(tài)綁定； ? 交換機(jī)整機(jī)綁定 IP和 MAC 地址； ? DHCP 動(dòng)態(tài)綁定； ? 基于 的 SAM 系統(tǒng)，可在交換機(jī)上自動(dòng)綁定用戶的 IP 和 MAC； 綁定后，交換機(jī)檢查 IP 報(bào)文中源 IP和源 MAC 是否和交換機(jī)中管理員設(shè)定的是否一致，不一致，報(bào)文丟棄（在 SAM 環(huán)境中，并發(fā)送告警信息）。 ARP 欺騙的防范： 利用交換機(jī)端口 ARP 檢查安全功能：打開 ARP 報(bào)文檢查 ARP 報(bào)文中的源 IP和源 MAC 是否和綁定的一致，可有效防止安全端口上欺騙 ARP，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的 IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。這比僅僅設(shè) 18 定交換機(jī)某個(gè)端口可以接受 DHCP 響應(yīng)報(bào)文更合理和可靠。 交換機(jī) CPU 處理后，以單播的形式發(fā)往指定的 DHCP Server。 防范：接入交換機(jī)一般不具 有 DHCP Relay 功能，收到 DHCP 請求廣播報(bào)文后，并在 VLAN 內(nèi)是向所有端口轉(zhuǎn)發(fā)。 DHCP 攻擊之二： 非法 DHCP Server，為合法用戶的 IP請求分配不正確的 IP 地址、網(wǎng)關(guān)、 DNS等錯(cuò)誤信息，不僅影響合法用戶的正 常通訊，還導(dǎo)致合法用戶的信息都發(fā)往非法DHCP Server，嚴(yán)重影響合法用戶的信息安全。 防范 ：利用交換機(jī)端口安全功能： MAC 動(dòng)態(tài)地址鎖和端口靜態(tài)綁定 MAC、 1x端口下的自動(dòng)動(dòng)態(tài)綁定用戶 IP/MAC，來限定交換機(jī)某個(gè)端口上可以訪問網(wǎng)絡(luò)的MAC 地址，從而控制：那些通過變化 MAC 地址來惡意請求不同 IP地址和消耗 IP資源的 DHCP 攻擊。 防范：利用交換機(jī)端口安全功能下的 MAC 動(dòng)態(tài)地址鎖 /端口靜態(tài)綁定 MAC，或1x端口下端口自動(dòng)動(dòng)態(tài)綁定 MAC/IP，來限定交換機(jī)某個(gè)端口上可以學(xué)習(xí)的源 MAC數(shù)量或源 MAC 地址，當(dāng)該端口學(xué)習(xí)的 MAC 數(shù)量超過限定數(shù)量時(shí)，交換機(jī)將產(chǎn)生違例動(dòng)作。 防網(wǎng)絡(luò)攻擊設(shè)計(jì) 網(wǎng)絡(luò)中針對交換機(jī)的攻擊和必須經(jīng)過交換機(jī)的攻擊主要有如下幾種： ?MAC 攻擊 ?DHCP 攻擊 ?ARP 攻擊 ?IP/MAC 欺騙攻擊 ?STP 攻擊 ?DoS/DDoS 攻擊 ?IP 掃描攻擊 ?網(wǎng)絡(luò)設(shè)備管理安全 1）、 MAC 攻擊 攻擊一： MAC 地址欺騙，將合法的 MAC 地址修改成不存在的 MAC 地址或其它計(jì)算機(jī)的 MAC 地址，從而隱藏自己真實(shí)的 MAC，來達(dá)到一些不可告人的目的，這就是 MAC 地址欺騙。 16 rule 2 deny icmp any any 阻斷感染病毒的 PC 向外發(fā)送大量的 ICMP 報(bào)文，防止其堵塞網(wǎng)絡(luò)。 在這里可以利用接入層交換機(jī)的 ACL 來關(guān)閉 ICMP 服務(wù)，以及相應(yīng)端口，達(dá)到控制沖擊波病毒傳播的目的。 遭到?jīng)_擊波病毒感染的計(jì)算機(jī)會出現(xiàn)如下癥狀： 用戶上網(wǎng)變慢， ping 丟包嚴(yán)重； 莫名其妙地死機(jī) 或重新啟動(dòng)計(jì)算機(jī)； IE瀏覽器不能正常地打開鏈接； 不能復(fù)制粘貼；有時(shí)出現(xiàn)應(yīng)用程序，比如 Word 異常。 如果攻擊成功，會監(jiān)聽目標(biāo)系統(tǒng)的 TCP/4444 端口作為后門，并綁定 。 蠕蟲選擇目標(biāo) IP 地 址的時(shí)候會首先選擇受感染系統(tǒng)所在子網(wǎng)的 IP，然后再按照一定算法隨機(jī)在互連網(wǎng)上用 ICMP 掃描的方法選擇目標(biāo)攻擊，即發(fā)送大量的ICMP 報(bào)文（ Ping 包）。然后蠕蟲會在注冊表中添加以下鍵值： “windows auto update” =“ ” 以保證每次用戶登錄的時(shí)候蠕蟲都會自動(dòng)運(yùn)行。因?yàn)樵撀┒从绊懰袥]有安裝 MS03026補(bǔ)丁的 Windows20 Windows XP、Windows 2020 系統(tǒng)，不僅是服務(wù)器，也包括個(gè)人計(jì)算機(jī)在內(nèi)，所以危害極大。另外，也提供充足的時(shí)間讓網(wǎng)絡(luò)中的客戶進(jìn)行殺毒、修復(fù)等，等攻擊隱患消除后，再開啟對應(yīng)的服務(wù)端口（需要提供 Web服務(wù)的服務(wù)器）。根據(jù)監(jiān)聽分析通過一個(gè) 60 多臺 IIS 服務(wù)主機(jī)的網(wǎng)絡(luò)， RED CODE 內(nèi)外相互攻擊包每秒通過路由器平均達(dá) 4239 個(gè)，傳播速度非常驚人；如下圖： 紅色代碼及其變種利用微軟 IIS 遠(yuǎn)程緩存溢出的漏洞獲得系統(tǒng)權(quán)限，并在這個(gè)感染的 Web 服務(wù)器上拷貝一個(gè)后門程序，在 IIS上設(shè)置完全共享的虛擬目錄，給黑客完全的訪問權(quán)限，從而可以全面控制被攻擊網(wǎng)絡(luò)的全部資源，對網(wǎng)絡(luò)的安全構(gòu)成極高的威脅。病毒大量掃描和 DoS 攻擊導(dǎo)致網(wǎng)絡(luò)路由器和三層交換機(jī)過載，表現(xiàn)為用 戶上網(wǎng)速度變慢，網(wǎng)絡(luò)阻塞。 防網(wǎng)絡(luò)病毒設(shè)計(jì) 現(xiàn)在網(wǎng)絡(luò)病毒對網(wǎng)絡(luò)的沖擊影響已經(jīng)越來越大，如非常猖狂的紅色代碼（ codered）、沖擊波（ MS Blaster）等網(wǎng)絡(luò)病毒，所以 有必要對網(wǎng)絡(luò)病毒繼續(xù)有效的控制。 2）、 VLAN Routing 每一個(gè) VLAN 都具有一個(gè)標(biāo)識，不同的 VLAN 標(biāo)識亦不相同，交換機(jī)在數(shù)據(jù)鏈路層上可以識別不同的 VLAN 標(biāo)識，但不能修改該 VLAN 標(biāo)識，只有 VLAN 標(biāo)識相同的端口才能形成橋接 ，數(shù)據(jù)鏈路層的連接才能建立，因而不同 VLAN 的設(shè)備在數(shù)據(jù)鏈路層上是無法連通的。 ? 提 高性能 通過 VLAN 的劃分，可將需訪問同一服務(wù)器 /服務(wù)器組的 用戶放到同一個(gè) VLAN中，這樣該 VLAN 內(nèi)部的服務(wù)器只由本 VLAN 內(nèi)的成員訪問，其它 VLAN 的用戶不會影響服務(wù)器的性能。 ? 提 高安全性 由于 VLAN 之間是相互隔離的，因此可將高安全性要求的主機(jī)服務(wù)器可劃分 13 到一個(gè) VLAN 中，而其它 VLAN 的用戶則不能訪問它們。在局域網(wǎng)設(shè)計(jì)中，我們可以根據(jù)不同部門劃分 VLAN。 VLAN安全設(shè)計(jì) VLAN 安全設(shè)計(jì)包括 VLAN、 VLAN Routing 兩部分。 利用 VPN 功能，可以在網(wǎng)絡(luò)內(nèi)部，用它來實(shí)施 貴公司 系統(tǒng)的訪問控制，防范內(nèi)部用戶可能在無意之間引入網(wǎng)絡(luò)的蠕蟲、病毒和其他惡 意代碼。隧道協(xié)議分為第二層隧道協(xié)議 PPTP、 L2F、 L2TP 和第三層隧道協(xié)議GRE、 IPSEC。當(dāng)隧道