校園網(wǎng)絡(luò)設(shè)計(jì)方案最新[1]

1、溫州春華校園網(wǎng)絡(luò)方案溫州春華校園網(wǎng)絡(luò)方案思科系統(tǒng)網(wǎng)絡(luò)技術(shù)思科系統(tǒng)網(wǎng)絡(luò)技術(shù)二零零八年十二月一校園一校園網(wǎng)網(wǎng)概述及分析概述及分析.4概述.41.2 校園網(wǎng)建設(shè)的必要性.5應(yīng)用特點(diǎn).6二、校園網(wǎng)絡(luò)需求分析二、校園網(wǎng)絡(luò)需求分析.6用戶需求分析.6校區(qū)網(wǎng)絡(luò)的設(shè)計(jì)目標(biāo): .7系統(tǒng)設(shè)計(jì)指導(dǎo)思想.8三、組網(wǎng)技術(shù)及產(chǎn)品選擇三、組網(wǎng)技術(shù)及產(chǎn)品選擇.9組網(wǎng)技術(shù)選擇.9網(wǎng)絡(luò)產(chǎn)品選型.10穩(wěn)定可靠的網(wǎng)絡(luò).10高帶寬.10易擴(kuò)展的網(wǎng)絡(luò).113.2.4 QoS 保證 .11平安性.11容易控制管理.113.2.7 IP Multicast.11符合 IP 開展趨勢的網(wǎng)絡(luò).12四、校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案及分析四、校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方

2、案及分析.124.1 網(wǎng)絡(luò)的分層設(shè)計(jì)原那么.124.1.1 核心層 (Core Layer).124.1.2 分布層 (Distribution Layer).134.1.3 接入層 (Access Layer).13校園網(wǎng)方案特性分析.13高性能的網(wǎng)絡(luò)設(shè)計(jì).13集成的用戶管理功能.14靈活的網(wǎng)絡(luò)的可擴(kuò)展性設(shè)計(jì).14完善的 QOS 功能.15可靠的網(wǎng)絡(luò)平安設(shè)計(jì).15方便的網(wǎng)絡(luò)管理和維護(hù).16運(yùn)營級的網(wǎng)絡(luò)高可靠性的設(shè)計(jì).16系統(tǒng)平臺和應(yīng)用系統(tǒng).17系統(tǒng)平臺選擇.17采用 WIN2003 SERVER 能建立的效勞器角色.17WEB 效勞器.17五五.思科公司校園網(wǎng)解決方案思科公司校園網(wǎng)解決方案.

3、21系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu).215.2 VLAN 及 IP 地址規(guī)劃.24六、綜合布線系統(tǒng)六、綜合布線系統(tǒng).256.1 結(jié)構(gòu)化布線設(shè)計(jì)的要求.25系統(tǒng)設(shè)計(jì)原那么.26設(shè)計(jì)原那么.26設(shè)計(jì)目標(biāo).26七、技術(shù)支持及售后效勞七、技術(shù)支持及售后效勞.267.1 效勞內(nèi)容.277.2 設(shè)計(jì)效勞.277.3 場地檢查.277.4 系統(tǒng)安裝調(diào)試.277.5 測試和驗(yàn)收.287.6 系統(tǒng)后期維護(hù)和支持.287.7 客戶技術(shù)培訓(xùn).297.8 設(shè)備保修與軟件升級.29校園網(wǎng)系統(tǒng)方案校園網(wǎng)系統(tǒng)方案一校園網(wǎng)概述及分析一校園網(wǎng)概述及分析中國教育科研計(jì)算機(jī)網(wǎng)CERNET于 1994 年正式啟動(dòng)以來，已與國內(nèi)幾百所學(xué)校相連。為

4、廣闊師生及科研人員提供了一個(gè)全新的網(wǎng)絡(luò)環(huán)境。1998 年10 月,中國教育科研網(wǎng)(CERNET)二期工程正式啟動(dòng),工程方案到 2000 年二期工程完成時(shí),除到達(dá)連接 1000 所大學(xué)的目標(biāo)外,對有條件的中小學(xué)也提供接入上網(wǎng)效勞。確實(shí),隨著信息技術(shù)的飛速開展,中小學(xué)校園網(wǎng)的建設(shè)已經(jīng)逐漸提到議事日程上來。但是我國目前大多數(shù)校園網(wǎng)上的應(yīng)用還不豐富，與學(xué)校原有一些計(jì)算機(jī)業(yè)務(wù)系統(tǒng)還沒有充分發(fā)揮，應(yīng)用水平的低下是對校園網(wǎng)資源的極大浪費(fèi)。只有提高校園網(wǎng)上的應(yīng)用水平，才能切實(shí)提高學(xué)校各項(xiàng)業(yè)務(wù)水平，適應(yīng)信息時(shí)代的要求。因而，如何利用當(dāng)前先進(jìn)的計(jì)算機(jī)技術(shù)與校園網(wǎng)資源，實(shí)現(xiàn)學(xué)校各項(xiàng)業(yè)務(wù)系統(tǒng)的集成，提高應(yīng)用水平將是學(xué)

5、校校園網(wǎng)建設(shè)的下一個(gè)工作重點(diǎn)。當(dāng)前由于網(wǎng)絡(luò)、數(shù)據(jù)庫及與之相關(guān)的應(yīng)用技術(shù)不斷開展，尤其國際互聯(lián)網(wǎng)Internet和內(nèi)部網(wǎng)Intranet技術(shù)的廣泛應(yīng)用，世界正在邁入網(wǎng)絡(luò)中心計(jì)算NetworkCentricComputing時(shí)代。人們傳統(tǒng)的交互和工作模式正在改變。處在不同地理位置的人們可以共享數(shù)據(jù)，使用群件技術(shù)GroupWare進(jìn)而能夠協(xié)同工作；多媒體數(shù)據(jù)的存儲、傳輸、應(yīng)用技術(shù)的不斷成熟；以上這些計(jì)算機(jī)技術(shù)的開展對學(xué)校傳統(tǒng)的計(jì)算機(jī)業(yè)務(wù)系統(tǒng)產(chǎn)生影響，使用戶能更方便。更直觀的使用系統(tǒng)，也使系統(tǒng)的性能更完善、功能更強(qiáng)大。校園網(wǎng)建設(shè)的目標(biāo)簡而言之是將校園內(nèi)各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接

6、起來，形成校園園區(qū)內(nèi)部的 Intranet 系統(tǒng)，對外通過路由設(shè)備接入廣域網(wǎng)。建設(shè)校園網(wǎng)對每個(gè)學(xué)校來說都不是一件容易的事情,都要經(jīng)過周密的論證、謹(jǐn)慎的決策和緊張的施工。當(dāng)一堆設(shè)備變成網(wǎng)絡(luò)的時(shí)候,大局部學(xué)校的滿腔熱情也慢慢地冷卻凝固。校園網(wǎng)建成了,各種問題也不斷涌現(xiàn):設(shè)計(jì)目標(biāo)根本無法實(shí)現(xiàn),沒有適宜的應(yīng)用軟件,許多設(shè)想根本無法實(shí)施,后續(xù)的維護(hù)費(fèi)用不堪承受等等。1.21.2 校園網(wǎng)建設(shè)的必要性校園網(wǎng)建設(shè)的必要性是否在學(xué)校采用最先進(jìn)的信息和傳播技術(shù)是一個(gè)有決定性意義的問題,而且十分重要的是,學(xué)校應(yīng)該處于影響整個(gè)社會(huì)深刻變革的中心地位。 隨著計(jì)算機(jī)多媒體和網(wǎng)絡(luò)技術(shù)的不斷開展與普及，校園網(wǎng)信息系統(tǒng)的建設(shè)，

7、是非常必要的，也是可行的。主要表現(xiàn)在：1)、當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)開展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動(dòng)態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段，開展對學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。2)、教育信息量的不斷增多,使各級各類學(xué)校、家庭和教育管理部門對教育信息計(jì)算機(jī)管理和教育信息效勞的要求越來越強(qiáng)烈。個(gè)人是否具有獲得信息和處理信息的能力對于能否成功進(jìn)入職業(yè)界和融入社會(huì)及文化環(huán)境都是個(gè)決定性的因素,因此學(xué)校應(yīng)該培養(yǎng)所有學(xué)生具有駕馭和掌握這種技術(shù)的能力。另一方面,信息技術(shù)在作為青少年教育工具的同時(shí)也向青少年提供了前所未有的時(shí)機(jī)。新技術(shù)提供的時(shí)機(jī)以及它們在教學(xué)方面具有的優(yōu)勢都是很多的,特別

8、是計(jì)算機(jī)和多媒體系統(tǒng)的使用有助于個(gè)人化的道路,每個(gè)學(xué)生在個(gè)人的學(xué)習(xí)道路上都可以按照自己的速度開展。3)、我國各級教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供給商和各級學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運(yùn)行的軟件及多媒體系統(tǒng)，并且越來越形象化、實(shí)用化，迫切需要網(wǎng)絡(luò)環(huán)境。4)、現(xiàn)代教育改革的需要。在校園網(wǎng)中將計(jì)算機(jī)引入教學(xué)各個(gè)環(huán)節(jié)，從而引起了教學(xué)方法，教學(xué)手段，教學(xué)工具的重大革新。對提高教學(xué)質(zhì)量，推動(dòng)我國教育現(xiàn)代化的開展起著不可估量的作用。網(wǎng)絡(luò)又為學(xué)校的管理者和老師提供了獲取資源、協(xié)同工作的有效途徑。毫無疑問,校園網(wǎng)是學(xué)校提高管理水平、工作效率、改善教學(xué)質(zhì)量的有力手段,是解決信息時(shí)代教育問題的根本工具。5)

9、、隨著經(jīng)濟(jì)開展，我國各級政府對教育的投入不斷加大；計(jì)算機(jī)技術(shù)的飛速開展，使相應(yīng)產(chǎn)品價(jià)格不斷下降；同時(shí)人們的認(rèn)識水平和經(jīng)濟(jì)實(shí)力不斷提高。大量計(jì)算機(jī)進(jìn)入學(xué)校和家庭，使得計(jì)算機(jī)用于教育信息管理和信息效勞是完全可行的。應(yīng)用特點(diǎn)應(yīng)用特點(diǎn) - 隨著現(xiàn)代化教學(xué)活動(dòng)的開展和與國內(nèi)外教學(xué)機(jī)構(gòu)交往的增多，對通過Internet/Intranet 網(wǎng)絡(luò)進(jìn)行信息交流的需求越來越迫切，為促進(jìn)教學(xué)、方便管理和進(jìn)一步發(fā)揮學(xué)生的創(chuàng)造力，校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機(jī)構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個(gè)根本的校園網(wǎng)具有以下的特點(diǎn)： 高速的局域網(wǎng)連接-校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該

10、系統(tǒng)的建設(shè)重點(diǎn)，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項(xiàng)根本要求； 信息結(jié)構(gòu)多樣化-校園網(wǎng)應(yīng)用分為電子教學(xué)多媒體教室、電子圖書館等 、辦公管理和遠(yuǎn)程通訊遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入三大局部內(nèi)容：電子教學(xué)包含大量多媒體信息，辦公管理以數(shù)據(jù)庫為主，遠(yuǎn)程通訊那么多為 WWW方式，因此數(shù)據(jù)成分復(fù)雜，不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求； 平安可靠-校園網(wǎng)中同樣有大量關(guān)于教學(xué)和檔案管理的重要數(shù)據(jù)，不管是被損壞、喪失還是被竊取，都將帶來極大的損失； 操作方便，易于管理-校園網(wǎng)面向不同知識層次的教師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太

11、過專業(yè)化； 經(jīng)濟(jì)實(shí)用-學(xué)校對網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟(jì)實(shí)用，具備很高的性能價(jià)格比。 二、校園網(wǎng)絡(luò)需求分析二、校園網(wǎng)絡(luò)需求分析設(shè)計(jì)一個(gè)網(wǎng)絡(luò)，首先要為用戶分析目前面臨的主要問題，確定用戶對網(wǎng)絡(luò)的真正需求，并在結(jié)合未來可能的開展要求的根底上選擇、設(shè)計(jì)適宜的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，提供用戶滿意的高質(zhì)效勞。 網(wǎng)絡(luò)在日常教學(xué)辦公環(huán)境中起著至關(guān)重要的作用，校園網(wǎng)的運(yùn)作模式會(huì)帶來大量動(dòng)態(tài)的 www 應(yīng)用數(shù)據(jù)傳輸，會(huì)有相當(dāng)一局部應(yīng)用的主效勞器有高速接入網(wǎng)絡(luò)的需求目前為 100/1000Mbps，今后可會(huì)更高 。這就要求網(wǎng)絡(luò)有足夠的主干帶寬和擴(kuò)展能力。同時(shí)，一些新的應(yīng)用類型，如網(wǎng)絡(luò)教學(xué)、視頻直播/播

12、送等，也對網(wǎng)絡(luò)提出了支持多點(diǎn)播送和寬帶高速接入的要求。 除上述考慮外，還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開，所以建成后校園網(wǎng)應(yīng)能提供多個(gè)網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應(yīng)教學(xué)辦公環(huán)境的調(diào)整和變化。中心機(jī)房到會(huì)聚層節(jié)點(diǎn)采用 4 兆光纖多模連接，會(huì)聚層到接入層采用百兆的五類線或者超五類連接。通常考慮，建議數(shù)據(jù)信息點(diǎn)的接入用交換10/100Mbps 自適應(yīng)以太網(wǎng)端口接入，以便能較經(jīng)濟(jì)的提供較高的帶寬。整個(gè)方案設(shè)計(jì)的目的是建設(shè)一個(gè)集數(shù)據(jù)傳輸和備份、多媒體應(yīng)用、語音傳輸、OA 應(yīng)用和 Internet 訪問等于一體的高可靠、高性能的寬帶多媒體校園網(wǎng)。2.22.2 校區(qū)網(wǎng)絡(luò)的設(shè)計(jì)目標(biāo)校區(qū)

13、網(wǎng)絡(luò)的設(shè)計(jì)目標(biāo): :校區(qū)網(wǎng)絡(luò)建設(shè)的目標(biāo)應(yīng)該是：建成后的網(wǎng)絡(luò)能充分利用 Internet、國家信息網(wǎng)、教育網(wǎng)、全國高?；ヂ?lián)網(wǎng)上的各種信息，實(shí)現(xiàn)資源共享，能夠?yàn)樵诖诵^(qū)學(xué)習(xí)的學(xué)生提供豐富的多媒體教學(xué)手段，實(shí)現(xiàn)高質(zhì)高效的教學(xué)目標(biāo)。由此，我們認(rèn)為，校園網(wǎng)網(wǎng)絡(luò)是一個(gè)典型的面向未來的網(wǎng)絡(luò)化、信息化、自動(dòng)化的集娛樂、教學(xué)、辦公于一體的，具備多媒體綜合業(yè)務(wù)開展需求的園區(qū)網(wǎng)絡(luò)。系統(tǒng)總體設(shè)計(jì)將本著總體規(guī)劃、分布實(shí)施的原那么，充分表達(dá)系統(tǒng)的技術(shù)先進(jìn)性、高度的平安可靠性，同時(shí)具有良好的開放性、可擴(kuò)展性。本著為學(xué)校校區(qū)著想，合理使用建設(shè)資金，使系統(tǒng)經(jīng)濟(jì)可行。學(xué)校網(wǎng)絡(luò)應(yīng)當(dāng)實(shí)現(xiàn)如下功能： 訪問互聯(lián)網(wǎng)絡(luò) 訪問學(xué)校虛擬網(wǎng)絡(luò) 校

14、園網(wǎng)站建立 遠(yuǎn)程教育 VOD 點(diǎn)播 網(wǎng)絡(luò)平安管理 電子郵件和電子公告 計(jì)算機(jī)輔助教學(xué) 教師備課功能 對外交流 校園管理平臺 信息資源庫 建設(shè)校園網(wǎng)絡(luò)，本著少花錢辦大事的原那么，充分利用有限的投資，在保證網(wǎng)絡(luò)先進(jìn)性的前提下，選用性能價(jià)格比最好的設(shè)備，我們認(rèn)為校園網(wǎng)建設(shè)應(yīng)該遵循以下原那么： 先進(jìn)性 以先進(jìn)、成熟的網(wǎng)絡(luò)通信技術(shù)進(jìn)行組網(wǎng)，支持?jǐn)?shù)據(jù)、語音、視像等多媒體應(yīng)用，用基于交換的技術(shù)替代傳統(tǒng)的基于路由的技術(shù)。 標(biāo)準(zhǔn)化和開放性 網(wǎng)絡(luò)協(xié)議采用符合 ISO 及其他標(biāo)準(zhǔn)，如：IEEE、ITUT、ANSI 等制定的協(xié)議，采用遵從國際和國家標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)備。 可靠性和可用性 選用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)

15、在程序運(yùn)行時(shí)的應(yīng)變能力和容錯(cuò)能力，確保整個(gè)系統(tǒng)的平安與可靠。 設(shè)備的兼容性 選用符合國際開展潮流的國際標(biāo)準(zhǔn)的軟件技術(shù)，以便系統(tǒng)有可靠性強(qiáng)、可擴(kuò)展和可升級等特點(diǎn)，保證今后可迅速采用計(jì)算機(jī)網(wǎng)絡(luò)開展出現(xiàn)的新技術(shù)，同時(shí)為現(xiàn)存不同的網(wǎng)絡(luò)設(shè)備、小型機(jī)、工作站、效勞器、和微機(jī)等設(shè)備提供入網(wǎng)和互連手段。 實(shí)用性和經(jīng)濟(jì)性 從實(shí)用性和經(jīng)濟(jì)性出發(fā)，著眼于近期目標(biāo)和長期的開展，選用先進(jìn)的設(shè)備，進(jìn)行最正確性能組合，利用有限的投資構(gòu)造一個(gè)性能最正確的網(wǎng)絡(luò)系統(tǒng)。 平安性和保密性 在接入 Internet 的情況下，必須保證網(wǎng)上信息和各種應(yīng)用系統(tǒng)的平安。 擴(kuò)展性和升級能力 網(wǎng)絡(luò)設(shè)計(jì)應(yīng)具有良好的擴(kuò)展性和升級能力，選用具有良好升

16、級能力和擴(kuò)展性的設(shè)備。在以后對該網(wǎng)絡(luò)進(jìn)行升級和擴(kuò)展時(shí)，必須能保護(hù)現(xiàn)有投資。應(yīng)支持多種網(wǎng)絡(luò)協(xié)議、多種高層協(xié)議和多媒體應(yīng)用。 網(wǎng)絡(luò)的靈活性 系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負(fù)載平衡等方面，配合交換機(jī)產(chǎn)品與路由器產(chǎn)品支持的最先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù)，整個(gè)網(wǎng)絡(luò)系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個(gè)網(wǎng)絡(luò)轉(zhuǎn)移到另一個(gè)網(wǎng)絡(luò)，可以跨越辦公室、辦公樓，而無需任何硬件的改變，以適應(yīng)機(jī)構(gòu)的變化。同時(shí)也可以通過平衡網(wǎng)絡(luò)的流量，以提高網(wǎng)絡(luò)的性能。三、組網(wǎng)技術(shù)及產(chǎn)品選擇三、組網(wǎng)技術(shù)及產(chǎn)品選擇 在校園網(wǎng)校區(qū)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對網(wǎng)絡(luò)建設(shè)的成功與否起著決定性的作用。選擇適合校園網(wǎng)絡(luò)需求特點(diǎn)的主流網(wǎng)絡(luò)技術(shù)，不

17、但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進(jìn)性和擴(kuò)展性，能夠在未來向更新技術(shù)平滑過渡，保護(hù)用戶的投資。目前在局域網(wǎng)絡(luò)上應(yīng)用最廣泛的技術(shù)有以太網(wǎng)、快速以太網(wǎng)、FDDI、Token Ring 以及最新崛起的 ATM異步傳輸模式 、千兆以太網(wǎng)等。交換式以太網(wǎng)作為幾年前主干網(wǎng)組網(wǎng)的主要技術(shù)，現(xiàn)在主要被用于工作組級組網(wǎng)，使網(wǎng)絡(luò)交換到桌面工作站。 快速以太網(wǎng)是一種非常成熟的組網(wǎng)技術(shù)，造價(jià)很低，性能價(jià)格比很高，可作為資金不很充裕的中小型單位組建 Intranet 網(wǎng)的首選技術(shù)?？焖僖蕴W(wǎng)技術(shù)現(xiàn)在被廣泛用于大型企業(yè)網(wǎng)的二級、三級網(wǎng)絡(luò)組網(wǎng)或直接連至桌面工作站。 FDDI 也是一種成熟的組網(wǎng)技術(shù)，但技術(shù)復(fù)雜、造價(jià)高，

18、FDDI 網(wǎng)絡(luò)難以向更先進(jìn)的網(wǎng)絡(luò)技術(shù)升級，現(xiàn)在用 FDDI 組建主干網(wǎng)的情況已非常少見。 ATM 技術(shù)成熟而復(fù)雜，組網(wǎng)本錢高，是多媒體應(yīng)用系統(tǒng)的理想網(wǎng)絡(luò)平臺。但是，網(wǎng)絡(luò)帶寬的實(shí)際利用率很低。 在選擇校園校區(qū)網(wǎng)絡(luò)技術(shù)時(shí)應(yīng)該考慮如下：在選擇校園校區(qū)網(wǎng)絡(luò)技術(shù)時(shí)應(yīng)該考慮如下： 1)、長遠(yuǎn)來看如何保護(hù)現(xiàn)有投資。保護(hù)現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡(luò)技術(shù)升級時(shí)還能使用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品。如同計(jì)算機(jī)的開展速度一樣，網(wǎng)絡(luò)技術(shù)的開展也是非常迅速的。從目前的趨勢來看，采用快速以太網(wǎng)技術(shù)是最適宜的。 在校園網(wǎng)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對網(wǎng)絡(luò)建設(shè)的成功與否起著決定性的作用。選擇校園網(wǎng)網(wǎng)絡(luò)需求特點(diǎn)的主流網(wǎng)絡(luò)技

19、術(shù)，不但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進(jìn)性和擴(kuò)展性，能夠在未來向更新技術(shù)平滑過渡，保護(hù)用戶的投資。根據(jù)我們對校園網(wǎng)網(wǎng)絡(luò)需求的分析并結(jié)合目前高速主干網(wǎng)絡(luò)技術(shù)的特點(diǎn)，我公司建議采用快速以太網(wǎng)技術(shù)做為校園網(wǎng)的主干網(wǎng)絡(luò)。 校區(qū)網(wǎng)絡(luò)建設(shè)應(yīng)該以應(yīng)用為核心，在設(shè)計(jì)中充分考慮到教育管理和多媒體教學(xué)的要求，并且網(wǎng)絡(luò)技術(shù)上應(yīng)該具有一定的先進(jìn)性，同時(shí)還要為以后的擴(kuò)展留有一定的空間。為此校園校區(qū)網(wǎng)絡(luò)網(wǎng)應(yīng)該能到達(dá)以下要求：穩(wěn)定可靠的網(wǎng)絡(luò)穩(wěn)定可靠的網(wǎng)絡(luò)只有運(yùn)行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)的可靠運(yùn)行取決于諸多因素，如網(wǎng)絡(luò)的設(shè)計(jì)，產(chǎn)品的可靠，而選擇一個(gè)具有運(yùn)營此類網(wǎng)絡(luò)規(guī)模經(jīng)驗(yàn)的網(wǎng)絡(luò)合作廠商那么更為重要。要求有物理層

20、、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。高帶寬高帶寬由于校園校區(qū)網(wǎng)絡(luò)網(wǎng)絡(luò)應(yīng)用的特殊性,它對整個(gè)網(wǎng)絡(luò)系統(tǒng)的性能要求相對來說比擬高。其中，網(wǎng)絡(luò)速率要求主要的信息點(diǎn)100M交換到桌面，園區(qū)網(wǎng)中各終端間具有快速交換功能。為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國際先進(jìn)水平。要采用最先進(jìn)的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來的開展。為此應(yīng)選用高帶寬的先進(jìn)技術(shù)。易擴(kuò)展的網(wǎng)絡(luò)易擴(kuò)展的網(wǎng)絡(luò)系統(tǒng)要有可擴(kuò)展性和可升級性。易擴(kuò)展不僅僅指設(shè)備端口的擴(kuò)展，還指網(wǎng)絡(luò)結(jié)構(gòu)的易擴(kuò)展性：即只有在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)合理的情況下，新的網(wǎng)絡(luò)節(jié)點(diǎn)才能方便地參加已有網(wǎng)絡(luò)；網(wǎng)絡(luò)協(xié)議的

21、易擴(kuò)展：無論是選擇第三層網(wǎng)絡(luò)路由協(xié)議，還是規(guī)劃第二層虛擬網(wǎng)的劃分，都應(yīng)注意其擴(kuò)展能力。對于核心網(wǎng)絡(luò)設(shè)備，要求骨干交換機(jī)具備第三層交換能力，要求支持今后的視頻點(diǎn)播、電視 會(huì)議的寬帶多媒體應(yīng)用，并要求留有一定的擴(kuò)充能力。 QoSQoS 保證保證隨著網(wǎng)絡(luò)中多媒體的應(yīng)用越來越多，這類應(yīng)用對效勞質(zhì)量的要求較高，本網(wǎng)絡(luò)系統(tǒng)應(yīng)能保證QoS，以支持這類應(yīng)用。平安性平安性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的平安性，由于網(wǎng)絡(luò)連接園區(qū)內(nèi)部所有用戶，平安管理十分重要。網(wǎng)絡(luò)具有防止及便于捕殺病毒功能。應(yīng)支持VLAN的劃分，并能在VLAN之間進(jìn)行第三層交換時(shí)進(jìn)行有效的平安控制，以保證系統(tǒng)的平安性。校區(qū)網(wǎng)絡(luò)與校園網(wǎng)相連后具有“防火墻過濾功

22、能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)?？蓪尤胍蛱鼐W(wǎng)的各網(wǎng)絡(luò)用戶進(jìn)行權(quán)限控制。容易控制管理容易控制管理對于網(wǎng)絡(luò)管理，要求采用智能化網(wǎng)絡(luò)管理軟件，實(shí)現(xiàn)對網(wǎng)絡(luò)的自動(dòng)監(jiān)測和控制。并支持虛擬網(wǎng)絡(luò)功能，對網(wǎng)絡(luò)用戶具有分類控制功能。 IPIP MulticastMulticast由于校園校區(qū)網(wǎng)絡(luò)中包含許多多媒體應(yīng)用通信，會(huì)存在許多的播送信息，占用大量的帶寬資源。所以網(wǎng)絡(luò)系統(tǒng)應(yīng)能支持IP Multicast，可以減少網(wǎng)絡(luò)中不必要的播送，節(jié)省主干的帶寬。符合符合 IPIP 開展趨勢的網(wǎng)絡(luò)開展趨勢的網(wǎng)絡(luò)在當(dāng)前任何一個(gè)提供效勞的網(wǎng)絡(luò)中，對IP的支持效勞是最普遍的，而IP技術(shù)本身又處在開展變化中，如IpV6，IP QoS

23、，IP Over SONET等等新興的技術(shù)不斷出現(xiàn)，校園網(wǎng)絡(luò)必須跟緊IP開展的步伐，也就是必須選擇處于IP開展領(lǐng)導(dǎo)地位的網(wǎng)絡(luò)廠商。四、校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案四、校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案及分析及分析4.14.1 網(wǎng)絡(luò)的分層設(shè)計(jì)網(wǎng)絡(luò)的分層設(shè)計(jì)原那么原那么核核心心層層高高速速交交換換技技術(shù)術(shù)分分布布層層基基于于策策略略的的操操作作接接入入層層本本地地/ /遠(yuǎn)遠(yuǎn)程程工工作作組組接接入入 可擴(kuò)展性：因?yàn)榫W(wǎng)絡(luò)可模塊化增長而不會(huì)遇到問題； 簡單性：通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易，能隔離播送風(fēng)暴的傳播、防止路由循環(huán)等潛在的問題； 設(shè)計(jì)的靈活性：使網(wǎng)絡(luò)容易升級到最新的技術(shù)，升級任意層次

24、的網(wǎng)絡(luò)不會(huì)對其他層次造成影響，無需改變整個(gè)環(huán)境； 可管理性：層次結(jié)構(gòu)使單個(gè)設(shè)備的配置的復(fù)雜性大大降低，更易管理。 從邏輯上，校園網(wǎng)絡(luò)可分為核心層、分布層和接入層，每層都有其特點(diǎn)。層次化設(shè)計(jì)的優(yōu)點(diǎn)可以總結(jié)為如下幾點(diǎn)： 核心層核心層 (Core(Core LayerLayer) ) 核心層為下兩層提供優(yōu)化的數(shù)據(jù)輸運(yùn)功能，它是一個(gè)高速的交換骨干，其作用是盡可能快地交換數(shù)據(jù)包而不應(yīng)卷入到具體的數(shù)據(jù)包的運(yùn)算中(ACL，過濾等)，否那么會(huì)降低數(shù)據(jù)包的交換速度。 分布層分布層 (Distribution(Distribution LayerLayer) ) 分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪問層

25、的分界點(diǎn)，定義了網(wǎng)絡(luò)的邊界，對數(shù)據(jù)包進(jìn)行復(fù)雜的運(yùn)算。在園區(qū)網(wǎng)絡(luò)環(huán)境中，分布層主要提供如下功能： 地址的聚集 部門和工作組的接入 播送域/多目傳輸域的定義 Inter VLAN 路由 任何介質(zhì)的轉(zhuǎn)換 平安控制 接入層接入層 (Access(Access LayerLayer) ) 接入層的主要功能是為最終用戶提供對園區(qū)網(wǎng)絡(luò)訪問的途徑。本層也可以提供進(jìn)一步的調(diào)整，如 Access-list Filtering 等。在園區(qū)網(wǎng)絡(luò)環(huán)境中，接入層主要提供如下功能： 帶寬共享Shared Bandwidth 交換帶寬Switched Bandwidth MAC 層過濾MAC Layer Filtering(

26、possibly) 微分網(wǎng)段Microsegmentation 在廣域網(wǎng)環(huán)境中，接入層主要提供通過 Frame Relay、ISDN、Leased Line 連入遠(yuǎn)程節(jié)點(diǎn)。高性能的網(wǎng)絡(luò)設(shè)計(jì)高性能的網(wǎng)絡(luò)設(shè)計(jì)設(shè)備的高性能：核心節(jié)點(diǎn)的交換機(jī)是整個(gè)校園網(wǎng)絡(luò)的核心，應(yīng)當(dāng)采用有多層交換功能的交換機(jī)。核心交換機(jī)應(yīng)采用模塊化設(shè)計(jì)，有良好的擴(kuò)展性能、多種接入模塊；具備增強(qiáng)的網(wǎng)絡(luò)傳輸能力，支持 VLAN、RIP 和 OSPF 協(xié)議、效勞質(zhì)量QOS 、IP 組播、DHCP 中繼和 AAA 認(rèn)證等功能；支持通用的管理特性SNMP ，能使用流行的網(wǎng)管軟件對它進(jìn)行管理，如 HP OpenView 等。會(huì)聚層交換連接核心和

27、接入層，應(yīng)當(dāng)采用帶 VLAN 和網(wǎng)管功能的中低檔交換機(jī)。會(huì)聚層交換機(jī)具有快速的級聯(lián)核心的以太端口以及高速堆疊模塊；帶VLAN 子網(wǎng)劃分功能，能很好的管理接入層用戶；支持IEEE802.1Q、VTP、SNMP 等協(xié)議。網(wǎng)絡(luò)的高性能設(shè)計(jì)：整個(gè)校園的建設(shè)可以采用全交換方式，100 兆到每個(gè)接入層用戶。有效的子網(wǎng)劃分和流量控制使整個(gè)校園網(wǎng)絡(luò)能高速、平安的運(yùn)行。集成的用戶管理功能集成的用戶管理功能提供完善的用戶管理機(jī)制，實(shí)現(xiàn)全面的用戶認(rèn)證、鑒權(quán)和計(jì)費(fèi)(AAA)功能。用戶管理引擎實(shí)現(xiàn)了根據(jù)用戶 MAC 地址、VLAN ID 和 IP 地址的綁定關(guān)系鑒別用戶的合法性的功能。可根據(jù)用戶的權(quán)限，實(shí)現(xiàn)對用戶訪問資

28、源的控制。實(shí)現(xiàn)基于 VLANID/MAC 地址、接入模塊號和接入設(shè)備號的全程用戶唯一標(biāo)識，便于用戶管理開戶、銷戶、欠費(fèi)停機(jī)等和網(wǎng)絡(luò)故障維護(hù)。靈活的網(wǎng)絡(luò)的可擴(kuò)展性設(shè)計(jì)靈活的網(wǎng)絡(luò)的可擴(kuò)展性設(shè)計(jì)網(wǎng)絡(luò)的擴(kuò)展性對網(wǎng)絡(luò)業(yè)務(wù)的開展至關(guān)重要，它直接決定了校園網(wǎng)是否能夠在節(jié)約本錢的根底上跟上網(wǎng)絡(luò)技術(shù)的開展和滿足學(xué)校信息不斷增長的需要，一個(gè)擴(kuò)展性差的網(wǎng)絡(luò)不僅為學(xué)校的投資造成了巨大的浪費(fèi)，同時(shí)又無法滿足學(xué)校網(wǎng)絡(luò)業(yè)務(wù)不斷開展和信息的增長的需要，為了保證網(wǎng)絡(luò)能夠不斷的適應(yīng)學(xué)校網(wǎng)絡(luò)業(yè)務(wù)今后開展的不斷需求，可以采用以下的措施來保證網(wǎng)絡(luò)的擴(kuò)展性。1所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)當(dāng)具有良好的擴(kuò)展性。選擇的網(wǎng)絡(luò)設(shè)備最好是模塊化的，便于網(wǎng)絡(luò)的

29、擴(kuò)大和更改，其中核心交換機(jī)應(yīng)具有多種模塊類型，以滿足各種網(wǎng)絡(luò)類型的接入。會(huì)聚層交換機(jī)可以采用一款可堆疊的網(wǎng)管型以太網(wǎng)交換機(jī)，半/全雙工模式自適應(yīng)，具有擴(kuò)展槽，能使用多種可選模塊。2所選擇的設(shè)備都具有良好的軟件再升級能力。我們所選擇的網(wǎng)絡(luò)設(shè)備都是可以通過軟件升級來不斷的滿足客戶的新的需求同時(shí)跟上網(wǎng)絡(luò)技術(shù)的開展。由于網(wǎng)絡(luò)的技術(shù)層出不窮，用戶的需求也不斷增加，現(xiàn)在是新的技術(shù)，再過一段時(shí)間就會(huì)落后了，為了保證用戶的網(wǎng)絡(luò)產(chǎn)品能夠跟上這一節(jié)奏，而不需要更換網(wǎng)絡(luò)設(shè)備，從而減少了用戶的投資。完善的完善的 QOSQOS 功能功能帶寬控制特性以太網(wǎng)是一種基于播送機(jī)制的共享型技術(shù)，任何一個(gè)位于以太網(wǎng)上的用戶均可以向

30、網(wǎng)上發(fā)送信息，在以太網(wǎng)的技術(shù)中沒有具體帶寬控制的機(jī)理。網(wǎng)絡(luò)產(chǎn)品應(yīng)提供對用戶帶寬控制的功能。帶寬控制通過對每一個(gè)用戶的上行帶寬與下行帶寬進(jìn)行限制，保證對每個(gè)用戶的公平性，防止在共享型網(wǎng)絡(luò)結(jié)構(gòu)中某一用戶長期惡意霸占帶寬而導(dǎo)致其他用戶無法享受效勞的現(xiàn)象。Qos 控制特性隨著IP網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)上的實(shí)時(shí)業(yè)務(wù)量也在不斷增長，同時(shí)網(wǎng)絡(luò)上的應(yīng)用類型多種多樣，不同的應(yīng)用對網(wǎng)絡(luò)的需求也有所不同。IP網(wǎng)絡(luò)中引入QoS技術(shù)，就是為了確保實(shí)時(shí)業(yè)務(wù)的通信質(zhì)量，滿足各種業(yè)務(wù)對網(wǎng)絡(luò)資源的需求，使網(wǎng)上資源獲得最正確利用，降低本錢，改善對用戶的效勞?？煽康木W(wǎng)絡(luò)平安設(shè)計(jì)可靠的網(wǎng)絡(luò)平安設(shè)計(jì) 平安性是網(wǎng)絡(luò)設(shè)計(jì)要考慮的最重要的因

31、素之一，設(shè)計(jì)中充分考慮了網(wǎng)絡(luò)的平安性，具體表達(dá)在以下幾個(gè)方面：(1)通過 VLAN 的劃分，限制了不同 VLAN 之間的互訪，從而保證了不同網(wǎng)絡(luò)之間不會(huì)發(fā)生未經(jīng)授權(quán)的非法訪問。(2)在核心節(jié)點(diǎn)可提供基于地址的 Access-list，以控制用戶對于關(guān)鍵資源的訪問。通過在會(huì)聚和核心交換機(jī)上設(shè)置 VLAN 路由以及訪問過濾，保證了在VLAN 之間只有被允許的訪問才能發(fā)生，而未經(jīng)授權(quán)的訪問都會(huì)被禁止。(3)通過對上網(wǎng)的平安教育，提高平安意識，特別是增強(qiáng)計(jì)算機(jī)操作人員的密碼管理意識，以防止由于操作員密碼有意無意泄露給他人而造成的損失。(4)制定嚴(yán)格的平安制度，包括人員審查制度、崗位定職定責(zé)制度、使用計(jì)

32、算機(jī)的權(quán)限制度以及防病毒制度，從制度上保證網(wǎng)絡(luò)平安性得以實(shí)現(xiàn)。(5可以對所有的重要事件進(jìn)行Log，這樣方便網(wǎng)絡(luò)管理員進(jìn)行故障查找；(6可以對所有的Telnet以及SNMP的訪問進(jìn)行限制，從而最大程度地保證會(huì)聚層系統(tǒng)地平安。(7可以在接入層中通過限制MAC地址的訪問提高網(wǎng)絡(luò)平安。方便的網(wǎng)絡(luò)管理和維護(hù)方便的網(wǎng)絡(luò)管理和維護(hù)1為了提高網(wǎng)絡(luò)管理能力設(shè)計(jì)中所有設(shè)備最好具有網(wǎng)管功能，不存在光纖收發(fā)器等類似不可網(wǎng)管設(shè)備，提高了網(wǎng)絡(luò)可靠性和可管理。2支持通用的網(wǎng)絡(luò)管理協(xié)議如SNMP ，方便網(wǎng)絡(luò)的管理和維護(hù)。3支持通用的的網(wǎng)絡(luò)管理軟件，如 Cisco Ciscoworks、HP Open View、3Com Tr

33、ensand。運(yùn)營級的網(wǎng)絡(luò)高可靠性的設(shè)計(jì)運(yùn)營級的網(wǎng)絡(luò)高可靠性的設(shè)計(jì)可以從兩方面來考慮：關(guān)鍵設(shè)備的主要模塊和電源的冗余備分考慮在網(wǎng)絡(luò)設(shè)計(jì)中所涉及的所有主要設(shè)備，均采用高可靠設(shè)計(jì)的原那么。核心關(guān)鍵部件的冗余備份：電源冗余、主控板冗余、模塊冗余等。網(wǎng)絡(luò)鏈路的冗余備分考慮系統(tǒng)平臺和應(yīng)用系統(tǒng)系統(tǒng)平臺和應(yīng)用系統(tǒng)系統(tǒng)平臺選擇系統(tǒng)平臺選擇系統(tǒng)平臺的建設(shè)主要包括：網(wǎng)絡(luò)操作系統(tǒng)、桌面平臺、數(shù)據(jù)庫、防火墻等的選擇。一般校園網(wǎng)絡(luò)，效勞器系統(tǒng)平臺可以選擇微軟 WINDOWS2003 SERVER 操作系統(tǒng)的解決方案，提供域名效勞、WWW 效勞、FTP 效勞、Email 效勞等。具有強(qiáng)大的網(wǎng)絡(luò)功能和可二次開發(fā)性。桌面操作

34、系統(tǒng)比擬可以選擇 XP 和LINUX 等平臺。采用采用 WINdows2003WINdows2003 SERVERSERVER 建立建立 FTPFTP 效勞器效勞器一般來說，用戶聯(lián)網(wǎng)的首要目的就是實(shí)現(xiàn)信息共享，文件傳輸是信息共享非常重要的一個(gè)內(nèi)容之一。 在校園內(nèi)部信息交流是非常頻繁，所以有必要在網(wǎng)絡(luò)中使用WINdows2003 SERVER 架設(shè)起一個(gè) FTP 效勞器。5.15.1系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)校園網(wǎng)的建設(shè)主要是為了教學(xué)應(yīng)用，而多媒體輔助教學(xué)和多媒體教室是教學(xué)應(yīng)用的核心，在網(wǎng)絡(luò)建設(shè)時(shí)應(yīng)考慮多媒體信息的特點(diǎn)，如信息量大，對時(shí)間延遲敏感等；在校園網(wǎng)中常會(huì)出現(xiàn)幾十個(gè)學(xué)生執(zhí)行相同

35、操作的現(xiàn)象，所以要考慮并發(fā)信息的控制；學(xué)生利用網(wǎng)絡(luò)做作業(yè)，教師要在家撥號訪問學(xué)校網(wǎng)絡(luò)，學(xué)籍管理信息在網(wǎng)上傳輸，所以也要考慮網(wǎng)絡(luò)的平安性，防止黑客破壞網(wǎng)絡(luò)，學(xué)生抄襲作業(yè)；校園網(wǎng)又是面向不同知識層次的教師、學(xué)生和辦公人員的工具，它幫助我們更好地提高教學(xué)水平、辦公效率和學(xué)習(xí)興趣，所以應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太專業(yè)化?？紤]到春華學(xué)校的具體情況如性質(zhì)、規(guī)模、財(cái)務(wù)等，這是一個(gè)相對小型的校園網(wǎng)絡(luò)，單一建筑內(nèi)的網(wǎng)絡(luò)應(yīng)用，思科公司提出以下校園網(wǎng)解決方案： 方案特點(diǎn)如下： 1支持多媒體應(yīng)用，包括多媒體教室、電子閱覽室、多媒體教學(xué)； 2高性能，全交換，滿足用戶需求； 3管理簡單，瀏覽器方式無需專門培訓(xùn)；

36、 4系統(tǒng)平安，保密性高； 5ADSL 連接方式，按需建立連接降低鏈路費(fèi)用。 6互聯(lián)網(wǎng)接入，平安的廣域網(wǎng)訪問。方案拓?fù)浣Y(jié)構(gòu)如下：由圖可看出，網(wǎng)絡(luò)設(shè)備組成為：Catalyst 2900 交換機(jī) 五臺 Cisco850 路由器 一臺 思科公司的 cisco850 路由器是這一網(wǎng)絡(luò)的核心設(shè)備，可降低擁有本錢，簡化遠(yuǎn)程管理，提供結(jié)合 CSU/DSU、復(fù)用器、調(diào)制解調(diào)器、語音/數(shù)據(jù)網(wǎng)關(guān)、ISDN NT1、防火墻、VPN、加密和壓縮設(shè)備的集成化網(wǎng)絡(luò)。Catalyst2900 交換機(jī)它提供了 24 個(gè) 10/100M 自適應(yīng)的快速以太網(wǎng)端口， 。這是一個(gè)全交換的網(wǎng)絡(luò)，相對共享式集線器而言，交換機(jī)各端口擁有獨(dú)占

37、的帶寬，能實(shí)現(xiàn)多路并行傳輸，不易發(fā)生沖突，能為多媒體信息提供更好的保障。 考慮到 Internet 接入是校園網(wǎng)的開展趨勢，在這套解決方案中都用到了路由器來引入廣域網(wǎng)的遠(yuǎn)程連接，這套方案中用到了思科公司的低端路由器Cisco 850，它提供了對內(nèi)的 10/100M 局域網(wǎng)接口和對外的 ADSL 連接，通過Internet 實(shí)現(xiàn)遠(yuǎn)程教學(xué)或教學(xué)演播等應(yīng)用。傳輸穩(wěn)定，連接迅速。在實(shí)現(xiàn)根本數(shù)據(jù)傳遞的根底上，用戶可以根據(jù)自己的需要靈活選用上述網(wǎng)絡(luò)設(shè)備中的某些性能。如：路由器和交換機(jī)的組內(nèi)播送功能可為多媒體信息的傳輸提供更高的效勞質(zhì)量；而 catalyst2900 之間建立快速以太網(wǎng)通道，在全雙工模式下到

38、達(dá) 400M的高速級聯(lián)；此外， 850 路由器兼任了防火墻思科公司系列中、低端路由器都可以通過操作系統(tǒng)升級具備防火墻性能，在承當(dāng)遠(yuǎn)程連接的同時(shí)實(shí)施數(shù)據(jù)包檢驗(yàn)和過濾，防止非法用戶侵入到內(nèi)部局域網(wǎng)中對連接到 Internet 這一開放網(wǎng)絡(luò)的用戶來說，平安性是網(wǎng)絡(luò)設(shè)計(jì)中不容無視的一項(xiàng)重要因素。 這套方案的好處是簡便易行，本錢很低，并且兼顧了教學(xué)、管理和通訊三方面應(yīng)用。方案中所用到的產(chǎn)品都屬思科公司產(chǎn)品中的低端設(shè)備，在實(shí)現(xiàn)高性價(jià)比的桌面應(yīng)用的同時(shí)又做到易于配置和管理：catalyst2900 屬即插即用的設(shè)備，如果不添加特殊功能那么不需任何配置，cisco850 的設(shè)置和管理也十分方便，這樣用戶使用起

39、來將得心應(yīng)手，無后顧之憂。 IPIP 地址地址規(guī)劃規(guī)劃建議建議在設(shè)計(jì) IP 地址方案之前，應(yīng)考慮以下幾個(gè)問題: 1. 是否將網(wǎng)絡(luò)用真實(shí)地址連入 Internet。 2. 是否將網(wǎng)絡(luò)劃分為假設(shè)干子網(wǎng)以方便網(wǎng)絡(luò)管理。 3. 是采用靜態(tài) IP 地址分配還是動(dòng)態(tài) IP 地址分配。 4. 每個(gè)子網(wǎng)現(xiàn)在規(guī)劃多少個(gè)信息點(diǎn)。 5. 每個(gè)子網(wǎng)將來會(huì)增加多少個(gè)信息點(diǎn)。 通過 Proxy 或 NAT 方式使私有地址能夠訪問公網(wǎng)資源 在申請的公網(wǎng) IP 地址不能完全滿足每個(gè)信息點(diǎn)一個(gè)的情況下，可以采用公網(wǎng)地址與私網(wǎng)地址結(jié)合的方式。但是有時(shí)分配了私網(wǎng)地址的客戶端也要訪問 Internet。針對這種情況，可以采用不同的技

40、術(shù)使私有地址能夠訪問公網(wǎng)資源。通常可以利用代理效勞 (Proxy) 和網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 這兩項(xiàng)技術(shù)。 園區(qū)網(wǎng)分配 IP 地址方案 ，一個(gè)有效的 IP 地址規(guī)劃或 IP 地址方案就是在地址資源的效率性和管理的方便性之間找到最正確的平衡點(diǎn)。 按行政隸屬劃分是指按信息節(jié)點(diǎn)的行政隸屬關(guān)系將用戶按校園各部門進(jìn)行 IP 地址分配規(guī)劃。由于各部門之間在地域位置上并不一定集中，但需要統(tǒng)一管理，因此我們建議采用行政隸屬的方式劃分 IP 地址段。 按樓宇規(guī)劃在傳統(tǒng)的網(wǎng)絡(luò)平臺上很難實(shí)現(xiàn)。主要是因?yàn)閭鹘y(tǒng)的網(wǎng)絡(luò)平臺局限于設(shè)備的地理位置，無法跨地域進(jìn)行靈活規(guī)劃。但現(xiàn)今的網(wǎng)絡(luò)平臺都支持虛擬網(wǎng)絡(luò) VLAN 技術(shù)。該技

41、術(shù)避開了物理位置的缺陷，可以在邏輯上靈活組網(wǎng)。因此，IP 網(wǎng)段規(guī)劃可以與 VLAN 的劃分相一致。 規(guī)劃每個(gè)網(wǎng)段中的信息點(diǎn)數(shù)時(shí)，既要考慮到當(dāng)前 IP 地址資源的充分利用性，又要預(yù)留出適當(dāng)?shù)臄U(kuò)展余地，因此如果采用私網(wǎng)地址分配 IP，建議我們都采用 的網(wǎng)絡(luò)，根據(jù)具體的部門情況再分為具體的子網(wǎng)。 從經(jīng)驗(yàn)角度，通常一個(gè) IP 網(wǎng)段也是一個(gè)獨(dú)立的 VLAN，也就是一個(gè)獨(dú)立的播送域。一個(gè)網(wǎng)段內(nèi)的信息節(jié)點(diǎn)數(shù)在 40 - 200 個(gè)時(shí)，性能和地址資源的最正確利用性較理想，并且將來可擴(kuò)充到 254 個(gè)。寬帶接入用戶接入寬帶 IP 網(wǎng)的方式可以有多種形式：首先，用戶利

42、用固定 IP 地址接入，那么無需其它的認(rèn)證過程，只需將用戶所連的交換機(jī)端口劃入某一特點(diǎn) VLAN 即可；其次用戶通過 PPP 方式接入，即虛擬撥號方式，那么需要一個(gè)專用的 PPP 終結(jié)設(shè)備終結(jié) PPP 進(jìn)程，通過對 PPP 進(jìn)程的認(rèn)證，可以確認(rèn)用戶身份；用戶還可以利用 DHCP 獲得 IP 地址。另外交換機(jī)可以實(shí)現(xiàn)專用 VLAN 技術(shù)，可以通過配置選擇實(shí)現(xiàn)在同一 VLAN 內(nèi)用戶是否可以互通，進(jìn)行數(shù)據(jù)交換。根據(jù)溫州春華的教務(wù)和公務(wù)的情況，劃分以下兩個(gè)子網(wǎng)即可。表 1-1 春華學(xué)校網(wǎng)絡(luò)終端分布專業(yè)機(jī)房臺式 PC 機(jī) 16 臺萬博機(jī)房一臺式 PC 機(jī) 16 臺萬博機(jī)房二臺式 PC 機(jī) 18 臺教室

43、一2 臺臺式機(jī) 1 臺、筆記本 1 臺教室二2 臺臺式機(jī) 1 臺、筆記本 1 臺教室三臺式 PC 機(jī) 19 臺多媒體教室2 臺臺式機(jī) 1 臺、筆記本 1 臺辦公室10 臺臺式機(jī) 5 臺、筆記本 5 臺校長室筆記本 1 臺學(xué)生會(huì)辦公室臺式 PC 機(jī) 2 臺咨詢室 1臺式 PC 機(jī) 1 臺咨詢室 2筆記本 2 臺前臺臺式 PC 機(jī) 1 臺 表 1-2IP 子網(wǎng)劃分方案子網(wǎng)號IP 網(wǎng)段默認(rèn)網(wǎng)關(guān)說明CHJW68.1.1包括教室三清華萬博六班、萬博 1 機(jī)房等所有的教務(wù)場所CHGW68.包括校長室、辦公室等所有辦公場所校園 網(wǎng)絡(luò)平安校園網(wǎng)絡(luò)承當(dāng)著整個(gè)校

44、園的通訊樞紐功能，連接著所有的應(yīng)用效勞器和數(shù)據(jù)系統(tǒng)，任何網(wǎng)絡(luò)平安問題都會(huì)擾亂學(xué)校辦公、教務(wù)的正常運(yùn)轉(zhuǎn)，給學(xué)校帶來不可彌補(bǔ)的損失。目前在局域網(wǎng)中遇到的問題主要有以下幾種：IP 地址的管理問題，包括IP 地址非法使用、 IP 地址沖突和IP 地址欺騙利用 ARP 欺騙獲取賬號、密碼、信息，甚至惡意篡改信息內(nèi)容、嫁禍他人問題木馬、蠕蟲病毒攻擊導(dǎo)致的信息失竊、網(wǎng)絡(luò)癱瘓問題攻擊或病毒源機(jī)器的快速定位、隔離問題IP的地址管理一直是長期困擾局域網(wǎng)平安穩(wěn)定運(yùn)行的首要問題。在局域網(wǎng)上任何用戶使用未經(jīng)授權(quán)的IP地址都應(yīng)視為 IP非法使用。由于 終端用戶可以自由修改IP地址，從而產(chǎn)生了 IP地址非法使用問題。改動(dòng)后

45、的 IP地址在局域網(wǎng)中運(yùn)行時(shí)可能出現(xiàn)以下 情況。 非法的 IP 地址即 IP 地址不在規(guī)劃的局域網(wǎng)范圍內(nèi) 重復(fù)的 IP 地址與已經(jīng)分配且正在局域網(wǎng)運(yùn)行的合法的 IP 地址發(fā)生資源沖突，使合法用戶無法上網(wǎng) 冒用合法用戶的 IP 地址當(dāng)合法用戶不在線時(shí)，冒用其 IP 地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害無論是有意或無意地使用非法IP地址都可能會(huì)給企業(yè)帶來嚴(yán)重的后果，如重復(fù)的 IP地址會(huì) 干擾、破壞網(wǎng)絡(luò)效勞器和網(wǎng)絡(luò)設(shè)備的正常運(yùn)行，甚至導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定，從而影響業(yè)務(wù)；擁有被非法使用的 IP地址所擁有的特權(quán) ，威脅網(wǎng)絡(luò)平安；利用欺騙性的 IP地址 進(jìn)行網(wǎng)絡(luò)攻擊，如富有侵略性的 TCP SYN洪泛攻擊來源于

46、一個(gè)欺騙性的IP地址，它是利用 TCP三次握手會(huì)話對效勞器進(jìn)行顛覆的一種攻擊方式，一 個(gè)IP地址欺騙攻擊者可以通過手動(dòng)修改地址或者運(yùn)行一個(gè)實(shí)施地址欺騙的程序來假冒一個(gè)合法地址。為了防止非法 使用 IP地址，增強(qiáng)網(wǎng)絡(luò)平安，最常見 的方法 是采用靜態(tài)的 ARP命令捆綁 IP地址和 MAC地址 ，從而 阻止非法用戶在不修改MAC地址的情況下冒用 IP地址進(jìn)行 的訪問 ，同時(shí) 借助交換機(jī)的端口 平安即 MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài) ARP表的問題。 但這種方法由于要事先收集所有機(jī)器的MAC地址及相應(yīng)的IP地址，然后還要通過人工輸入方法來建立IP地址和 MAC地址 的捆綁表

47、，不僅工作量繁重，而且也難以維護(hù)和管理。另一個(gè)顯著的問題就是帶有攻擊特性的ARP欺騙。地址解析協(xié)議ARP，Address Resolution Protocol最根本的功能是用來實(shí)現(xiàn)MAC地址和 IP地址的綁定，這樣兩個(gè)工作站才可以通訊，通訊發(fā)起方的工作站以 MAC播送方式發(fā)送 ARP請求，擁有此 IP地址的工作站給予 ARP應(yīng)答，并附上自己的 IP和MAC地址。 ARP協(xié)議同時(shí)支持一種無請求ARP功能，局域網(wǎng)段上的所有工作站收到主動(dòng)ARP，會(huì)將發(fā)送者的 MAC地址和其宣布的 IP地址保存，覆蓋以前的同一IP地址和對應(yīng)的 MAC地址 。術(shù)語 “ARP欺騙 或者說 “ARP中毒 就是指 利用 主

48、動(dòng) ARP來誤導(dǎo)通信數(shù)據(jù)傳往一個(gè)惡意計(jì)算機(jī)的黑客技術(shù)，該計(jì)算機(jī)就能成為某個(gè)特定局域網(wǎng)網(wǎng)段上的兩臺終端工作站之間IP會(huì)話的 “中間人 了。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機(jī)之間的通信即使是通過交換機(jī)相連 ，他會(huì)分別給這兩臺主機(jī)發(fā)送一個(gè)ARP 應(yīng)答包，讓兩臺主機(jī)都 “誤認(rèn)為對方的 MAC地址是第三方黑客所在的主機(jī)，這樣，雙方看似 “直接 的通信連接，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容，并可以通過工具破譯賬號、密碼、信息 ，另一方面， 還可以惡意 更改數(shù)據(jù)包中的一些信息。同時(shí)，這種ARP欺騙又極具隱蔽性，攻擊完成后再恢復(fù)現(xiàn)場，所以不易覺察、事后也難以追查，被攻擊者往

49、往對此一無所知。病毒入侵問題也是所有客戶普遍關(guān)心的問題。這些病毒，可以在極短的時(shí)間內(nèi)迅速感染大量系統(tǒng)，甚至造成網(wǎng)絡(luò)癱瘓和信息失竊，給客戶造成嚴(yán)重?fù)p失。木馬病毒往往會(huì)利用 ARP 的欺騙獲取賬號和密碼，而蠕蟲病毒也往往利用 IP地址欺騙技術(shù)來掩蓋它們真實(shí)的源頭主機(jī)。例如“局域網(wǎng)終結(jié)者Win32.Hack.Arpkill病毒，通過偽造 ARP 包來欺騙網(wǎng)絡(luò)主機(jī)，使指定的主機(jī)網(wǎng)絡(luò)中斷，嚴(yán)重影響到網(wǎng)絡(luò)的運(yùn)行。最后，令網(wǎng)絡(luò)管理員頭痛的問題是如何準(zhǔn)確定位。當(dāng)出現(xiàn) IP 地址被非法使用、IP 地址沖突，或網(wǎng)絡(luò)出現(xiàn)異常流量包括由于網(wǎng)絡(luò)掃描、病毒感染和網(wǎng)絡(luò)攻擊產(chǎn)生的流量，為了查找這些 IP 地址的機(jī)器，一般采用

50、如下步驟： 1. 確定出現(xiàn)問題的 IP 地址。2. 查看當(dāng)前網(wǎng)絡(luò)設(shè)備的 ARP 表，從中獲得網(wǎng)卡的 MAC 地址。 3. 檢查交換機(jī)的 MAC 地址列表，確定機(jī)器位置。 這個(gè)過程往往要花費(fèi)大量的時(shí)間才能夠定位機(jī)器具體連接的物理端口，而對于偽造的源 IP 地址要查出是從哪臺機(jī)器產(chǎn)生的就更加困難了。如果不能及時(shí)對故障源準(zhǔn)確地定位、迅速地隔離，將會(huì)導(dǎo)致嚴(yán)重的后果，即使在網(wǎng)絡(luò)恢復(fù)正常后隱患依然存在。5.3.2 阻止來自網(wǎng)絡(luò)第二層攻擊的重要性以上所提到的攻擊和欺騙行為主要來自網(wǎng)絡(luò)的第二層。在網(wǎng)絡(luò)實(shí)際環(huán)境中，其來源可概括為兩個(gè)途徑：人為實(shí)施，病毒或蠕蟲。人為實(shí)施通常是指使用一些黑客的工具對網(wǎng)絡(luò)進(jìn)行掃描和嗅

51、探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進(jìn)行進(jìn)一步竊取機(jī)密文件。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺騙，同時(shí)還會(huì)帶來網(wǎng)絡(luò)流量加大、設(shè)備 CPU 利用率過高、二層生成樹環(huán)路、網(wǎng)絡(luò)癱瘓等現(xiàn)象。網(wǎng)絡(luò)第二層的攻擊是網(wǎng)絡(luò)平安攻擊者最容易實(shí)施，也是最不容易被發(fā)現(xiàn)的平安威脅，它的目標(biāo)是讓網(wǎng)絡(luò)失效或者通過獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的平安。因?yàn)槿魏我粋€(gè)合法用戶都能獲取一個(gè)以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時(shí)由于設(shè)計(jì) OSI 模型的時(shí)候，允許不同通信層在相互不了解情況下也能進(jìn)行工作，所以第二層的平安就變得至關(guān)重要。如果這一層受到黑客的攻擊，網(wǎng)絡(luò)平安將受到嚴(yán)重威脅，而且其他

52、層之間的通信還會(huì)繼續(xù)進(jìn)行，同時(shí)任何用戶都不會(huì)感覺到攻擊已經(jīng)危及應(yīng)用層的信息平安。所以，僅僅基于認(rèn)證如 IEEE 802.1x和訪問控制列表ACL，Access Control Lists的平安措施是無法防止本文中提到的來自網(wǎng)絡(luò)第二層的平安攻擊。一個(gè)經(jīng)過認(rèn)證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用。歸納前面提到的局域網(wǎng)目前普遍存在的平安問題，根據(jù)這些平安威脅的特征分析，這些攻擊都來自于網(wǎng)絡(luò)的第二層，主要包括以下幾種：MAC 地址泛濫攻擊地址泛濫攻擊DHCP 效勞器欺騙攻擊效勞器欺騙攻擊ARP 欺騙欺騙Cisco Catalyst 交換系

53、列的創(chuàng)新特性針對這類攻擊提供了全面的解決方案，將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在通往內(nèi)部網(wǎng)的第一入口處，主要基于下面的幾個(gè)關(guān)鍵的技術(shù)。Port SecurityDHCP Snooping Dynamic ARP Inspection (DAI)下面主要針對目前這些非常典型的二層攻擊和欺騙說明如何在思科交換機(jī)上組合運(yùn)用和部署上述技術(shù)，從而防止在交換環(huán)境中的“中間人攻擊、MAC/CAM 攻擊、DHCP 攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署可以簡化地址管理，直接跟蹤用戶 IP 和對應(yīng)的交換機(jī)端口，防止 IP 地址沖突。同時(shí)對于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報(bào)警和隔離。5.3.

54、3 MAC 泛濫攻擊的原理和危害交換機(jī)主動(dòng)學(xué)習(xí)客戶端的 MAC 地址，并建立和維護(hù)端口和 MAC 地址的對應(yīng)表以此建立交換路徑，這個(gè)表就是通常我們所說的 CAM 表。CAM 表的大小是固定的，不同的交換機(jī)的 CAM 表大小不同。MAC/CAM 攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿 CAM 表，交換機(jī) CAM 表被填滿。黑客發(fā)送大量帶有隨機(jī)源 MAC 地址的數(shù)據(jù)包，這些新 MAC 地址被交換機(jī) CAM 學(xué)習(xí)，很快塞滿 MAC 地址表，這時(shí)新目的 MAC 地址的數(shù)據(jù)包就會(huì)播送到交換機(jī)所有端口，交換機(jī)就像共享 HUB 一樣工作，黑客可以用 sniffer 工具監(jiān)聽所有端口的流量。此類攻擊不僅造成

55、平安性的破壞，同時(shí)大量的播送包降低了交換機(jī)的性能。當(dāng)交換機(jī)的 CAM 表被填滿后，交換機(jī)以播送方式處理通過交換機(jī)的報(bào)文，這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。更為嚴(yán)重的是，這種攻擊也會(huì)導(dǎo)致所有鄰接的交換機(jī) CAM 表被填滿，流量以洪泛方式發(fā)送到所有交換機(jī)的所有含有此 VLAN 的接口，從而造成交換機(jī)負(fù)載過大、網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。5.3.4 MAC 泛濫攻擊防范方法限制單個(gè)端口所連接 MAC 地址的數(shù)目可以有效防止類似 macof 工具和SQL 蠕蟲病毒發(fā)起的攻擊，macof 可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機(jī)源 MAC 地址和隨機(jī)目的 MAC 地址的數(shù)據(jù)包，可以在不到 10 秒的時(shí)間內(nèi)填滿交換

56、機(jī)的 CAM表。Cisco Catalyst 交換機(jī)的端口平安Port Security和動(dòng)態(tài)端口平安功能可被用來阻止 MAC 泛濫攻擊。例如交換機(jī)連接單臺工作站的端口，可以限制所學(xué)MAC 地址數(shù)為 1；連接 IP 和工作站的端口可限制所學(xué) MAC 地址數(shù)為 3：IP 、工作站和 IP 內(nèi)的交換機(jī)。通過端口平安功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個(gè)端口所允許連接的合法 MAC 地址，實(shí)現(xiàn)設(shè)備級的平安授權(quán)。動(dòng)態(tài)端口平安那么設(shè)置端口允許合法MAC 地址的數(shù)目，并以一定時(shí)間內(nèi)所學(xué)習(xí)到的地址作為合法 MAC 地址。通過配置 Port Security 可以控制：端口上最大可以通過的 MAC 地址數(shù)量端口上

57、學(xué)習(xí)或通過哪些 MAC 地址對于超過規(guī)定數(shù)量的 MAC 處理進(jìn)行違背處理端口上學(xué)習(xí)或通過哪些 MAC 地址，可以通過靜態(tài)手工定義，也可以在交換機(jī)自動(dòng)學(xué)習(xí)。交換機(jī)動(dòng)態(tài)學(xué)習(xí)端口 MAC，直到指定的 MAC 地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。目前較新的技術(shù)是 Sticky Port Security，交換機(jī)將學(xué)到的mac 地址寫到端口配置中，交換機(jī)重啟后配置仍然存在。對于超過規(guī)定數(shù)量的 MAC 處理進(jìn)行處理一般有三種方式針對交換機(jī)型號會(huì)有所不同：Shutdown：端口關(guān)閉。Protect：丟棄非法流量，不報(bào)警。Restrict：丟棄非法流量，報(bào)警。.5 DHCPDHCP 欺騙攻擊的防范

58、欺騙攻擊的防范采用采用 DHCP 管理的常見問題管理的常見問題采用 DHCP server 可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò) IP 地址、掩碼、網(wǎng)關(guān)、DNS、WINS 等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP 管理使用上也存在著一些另網(wǎng)管人員比擬問題，常見的有：DHCP server 的冒充。DHCP server 的 DOS 攻擊。有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。由于 DHCP 的運(yùn)作機(jī)制，通常效勞器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺 DHCP 效勞器將會(huì)給網(wǎng)絡(luò)照成混亂。由于不小心配置了 DHCP 效勞器引起的網(wǎng)絡(luò)混亂也非常常見。黑客利用類似 Goobler 的工具可

59、以發(fā)出大量帶有不同源 MAC 地址的DHCP 請求，直到 DHCP 效勞器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成 DOS 的破壞，也可和 DHCP 效勞器欺詐結(jié)合將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。DHCP 效勞器欺詐可能是成心的，也可能是無意啟動(dòng) DHCP 效勞器功能，惡意用戶發(fā)放錯(cuò)誤的 IP 地址、DNS 效勞器信息或默認(rèn)網(wǎng)關(guān)信息，以此來實(shí)現(xiàn)流量的截取。DHCPDHCP SnoopingSnooping 技術(shù)技術(shù)概述概述DHCP Snooping 技術(shù)是 DHCP 平安特性，通過建立和維護(hù) DHCP Snooping綁定表過濾不可信任的 DHCP 信息，這些信息是指來自不信任區(qū)域

60、的 DHCP 信息。 通過截取一個(gè)虛擬局域網(wǎng)內(nèi)的 DHCP 信息，交換機(jī)可以在用戶和 DHCP效勞器之間擔(dān)任就像小型平安防火墻這樣的角色， “DHCP 監(jiān)聽功能基于動(dòng)態(tài)地址分配建立了一個(gè) DHCP 綁定表，并將該表存貯在交換機(jī)里。在沒有 DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè) DHCP 綁定條目包含客戶端地址一個(gè)靜態(tài)地址或者一個(gè)從 DHCP 效勞器上獲取的地址 、客戶端MAC 地址、端口、VLAN ID、租借時(shí)間、綁定類型靜態(tài)的或者動(dòng)態(tài)的 。根本防范根本防范為了防止這種類型的攻擊，Catalyst DHCP 偵聽DHCP Snooping功能可有效阻止此類攻擊，當(dāng)翻開此功能