南京艺术学院校园网解决方案探析

n更多企业学院： 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料n更多企业学院： 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料南京艺术学院校园网解决方案2009年12月30日目录1. 项目概况南京艺术学院当前的网络设施和服务器基本于2003年购买。当时添置了1台Matrix N7核心交换机，1台Netscreen204防火墙，1台Dell1750服务器，10台Dell2650服务器，1台EMC CX400 1T SAN存储，2007年底，新购置了一台NetscreenISG2000防火墙。随着网络应用的不断深入，部分网络设备老化不能满足校园网络应用的需求，本次校园网络的升级改造本着为了校园网络发展的需要，准备升级原有NetscreenISG2000防火墙，购买核心交换机、出口交换机、流控产品、防毒墙、网络版服务器杀毒软件、刀片服务器、存储、计费网关等网络设备以及办公自动化及校园网站集群系统，加快数字化校园的建设，满足广大师生日益增长的信息化需求。2. 设计原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在 安全、可管理性较差、无业务增值能力 等方面的问题。现在南京艺术学院校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学自动化，将来还要通过Internet实现远程教学，提供可增值可管理的业务，因此必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。南京艺术学院校园网络建设遵循以下基本原则：高带宽南京艺术学院校园网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性南京艺术学院校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到南京艺术学院校园用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，南京艺术学院校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。3. 整体设计3.1. IP校园网络平台南京艺术学院校园网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。组网图如下所示：层次化设计：在校园园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。典型的校园园区网络结构可以分成三层：接入层、汇聚层、核心层。1) 接入层：提供网络的第一级接入功能，完成简单的二交换，安全、Qos和POE功能都位于这一层。对于校园园区网的接入层设备，建议采用百兆二层接入交换机，应该具有线速二层交换、QoS策略等功能。2) 汇聚层：汇聚来自接入层的流量和执行策略；对于校园园区网的汇聚层设备，应该能够承载校园园区的多种融合业务，能够融合网络安全等多种业务，能够承载校园园区融合业务的需求。3) 核心层：网络的骨干，能够提供高速数据交换和路由快速收敛，具有较高的可靠性、稳定性和易扩展性等。对于校园园区网核心层，必须提供高性能、高可靠的网络结构。对于校园园区网核心层设备，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为校园园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。核心层与汇聚层交换机通过双链路上联提供冗余链路，通过MSTP+VRRP协议实现网络冗余与负载分担技术，从而提供稳定可靠的网络传输核心，为整个网络提供不间断的服务。全分布式转发体系结构，提供高密度接口板，并全部支持线速转发。设备基于逐包转发的机制，能够有效抵御宏病毒及冲击波病毒的攻击，网络安全性及可靠性高。3) 出口路由器：网络的出口，用来连接教育网和电信出口。整网采用千兆骨干、百兆到桌面的设计理念，拓扑结构采用双星型的拓扑结构。采用高吞吐量，线速转发的核心路由器交换机，所有关键器件的冗余，包括主控板、交换网板、电源等，支持板件的热插拔技术，保证网络的高效运转。在骨干网络核心层通过骨干千兆光纤线路分别下联各单体楼汇聚。从而形成如上图所示的骨干网络拓扑结构，整网结合OSPF动态路由选择协议，为校园网络提供稳定、高速的数据转发和处理。3.2. 校园智能管理中心校园网管理是随着校园网络的发展历程而变迁的。校园网的发展经历了最初的计算机房、万兆校园网、数字化校园网等几个阶段，校园网络的管理也从最初的设备管理时代、发展到网络管理时代，再到用户和业务管理时代。H3C数字化校园的管理针对网络平台资源、用户资源、数据资源、媒体资源进行统一配置与控制。智能管理中心主要面向四个类别的资源进行统筹管理。H3C校园智能管理中心方案特点IToIP数字化校园解决方案的整体优势 实现校园统一系统标准利用统一信息标准、统一应用标准、统一集成标准，解决重建设轻标准、缺乏IT系统的标准化和集成整和的问题，解决异构IT资源难以整合的问题； 实现校园数字业务定制建设统一数据中心、建立统一业务中心、构建随需而动的智能系统，解决数字化校园重网络轻应用- 路多车少的问题 实现统一校园IT资源管理建设智能管理中心、整合IT资源统一管理，建立灵活完善的数据管理能力、建立完整网络资源管理、建立统一媒体管理。 实现统一信息安全管理建立统一安全管理中心，完成网络层、业务层、数据层、用户层安全管理，解决重建设轻维护和缺乏整体安全部署方法的问题4. IP 校园网络平台一般，校园园区网络规模比较大，接入节点数目比较多，各院系的数据在网络上的传输也必须保证端到端的安全，各院系、各部门间的业务隔离需求就显得比较迫切，随着各校园业务的快速增长，校园网络的扩展性也应该比较强。针对校园园区网络建设的这些特点，H3C公司提出了校园园区的IP智能安全渗透网络方案，该方案包括层次化设计、高可靠性设计。校园IP网络平台还包括网络安全性设计，我们将在后续章节重点阐述。4.1. IP地址及路由规划4.1.1. IPv4地址规划IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址规划必须考虑到今后和其他院系互联后的地址冲突问题，建议参考全校的统一地址规划。IP地址分配原则IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则： 唯一性：一个IP网络中不能有两个主机采用相同的IP地址； 简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性 灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当校园网以私网地址分配或采用混合网络地址接入时，要求校园网提供地址变换功能，过滤掉私网地址。IP地址规划方案地址编码规范建议校园网的IP地址进行严格的编码，每位代表不同的含义。通过地址标识可以清楚地区分出IP地址地来源，便于路由汇聚和访问控制。通过我们的规划，我们能从IP地址分析出IP地址的来源、用途等，这将为网络的维护带来方便。具体的IP地址定义将结合实际情况确定。中心交换机支持静态或动态的IP地址分配，并支持动态 IP 地址分配方式下DHCP-Relay功能，DHCP SERVER可安放在园区内部。对于固定IP地址用户，需要针对标识符（MAC地址）设定保留IP地址。4.1.2. IPv4路由规划路由协议的规划：1） 整个骨干网络采用OSPF路由协议，OSPF协议在整个骨干网中不会引起路由回环，利于校园网骨干网的健壮性。2） 在汇聚与核心交换机之间采用OSPF路由的方式，OSPF路由的方式可以建设网络中心人员对于校园网的维护量。3） OSPF在校园网中只在核心骨干中进行运行这样大大减少了骨干节点之间OSPF协议的收敛周期，在实际的应用的过程当中可以提高校园网的高稳定性。4） 内置DHCP Server实现全网的DHCP Server的分散，避免单点故障。4.2. 组播与QoS规划4.2.1. 组播业务通过标准的组播协议完成用户的组播管理，可以支持丰富的组播协议，包括ICMP、PIMSM、PIMDM、MSDP等组播协议，可支持丰富的业务，包括视频点播、流媒体点播，可支持各种流媒体终端以及组播源的种类。并可以并通过HGMP协议将各楼道交换机也纳入到组播实现中。通过这种机制，使得整个网络的流量做到最优，有效的保证了视频点播、网络电视、会议电视、视频游戏等视频业务的开展，通过组播实现的视频业务有：会议电视：利用网络和数字视像技术实现异地会议的交互传输和控制。付费视频：按节目收费的视讯节目。视频点播：交互式电视的一部分，它使用户可以随意选择所需的视讯节目，并可随意地控制节目播出（如快进、快倒、暂停等）。网络教学：使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教学，实现学生和教师的实时交流，学生还可随时进行学习点播和查询。对于IPv6的业务开展，对于IPv6流媒体的访问同样可以采用IPv6组播协议进行IPv6业务的开展，通过核心、汇聚IPv6协议的支持，可以在全网开展IPv6业务，确保IPv6组播业务能够很好的开展，便于IPv6业务的丰富、提高。4.2.2. QoS优化校园网络的发展日新月异，IP融合是大势所趋，校园网上语音、视讯等新应用的不断出现，对校园网络的服务质量也提出了新的要求，例如VoIP等实时业务就对报文的传输延迟有较高要求，如果报文传送延时太长，将是用户所不能接受的（相对而言，E-Mail和FTP业务对时间延迟并不敏感）。为了支持具有不同服务需求的语音、视频以及数据等业务，要求网络能够区分出不同的通信，进而为之提供相应的服务，QoS（Quality of Service，服务质量）技术的出现便致力于解决这个问题。现实情况是，大家都认为QoS非常重要，却极少在校园网中实施QoS，QoS已经成为校园网中IP融合的技术瓶颈，一方面是以往校园网应用远远没有像今天这样丰富，QoS部署的急迫性并没有被大家所重视，另一方面是在传统组网模式下，特别是在校园网这种复杂的网络环境下，QoS整网部署并不那么容易。本文依据DiffServ模型，分析了在各类已建成的校园网中部署QoS的典型方案。QoS部署策略从已建成的各种类型的校园网的组网来看，最为典型的是核心层，汇聚层，接入层的组网模式，往上行的流量会比较大，带宽较高，接入层和汇聚层设备众多。 在校园网中，结合DifferServ理论，我们针对业务的QOS功能有对应的设计方法，l 报文的分类和标识：这是所有QOS的基础，报文分类的清晰度，直接影响后续QOS实现的功能需求，这是先决条件，当然分类可根据基于IP的ACL五元组或是IP报文的TOS优先级，如IP Precendence或是DSCP值，基于MPLS标签交换的还可使用MPLS EXP值来定义，或是通过以太网技术中的802.1p优先级。l CAR (Commited Access Rate)，它根据报文的ToS或CoS值（对于IP报文是指IP优先级或者DSCP，对于MPLS报文是指EXP域等等）、IP报文的五元组等信息进行报文分类，完成报文的标记和流量监管。常用于对业务流进行限速。l 流量整形（Traffic Shaping）是一种主动调整流量输出速率的措施。流量整形与流量监管的主要区别在于，流量整形对流量监管中需要丢弃的报文进行缓存通常是将它们放入缓冲区或队列内，整形可能会增加延迟，而监管几乎不引入额外的延迟。l 队列技术： PQ、CQ、WFQ、CBWFQ等队列技术对拥塞的报文进行缓存和调度，实现拥塞管理。主要应用在转发设备的出接口上，重点用于保证相应的业务流的带宽或是减少时延。l 拥塞避免（Congestion Avoidance），是指通过监视网络资源（如队列或内存缓冲区）的使用情况，在拥塞有加剧的趋势时，主动丢弃报文，通过调整网络的流量来解除网络过载的一种流控机制。与端到端的流控相比，这里的流控有更广泛的意义，它影响到路由器中更多的业务流的负载。当然，路由器在丢弃报文时，并不排斥与源端的流控动作比如TCP流控的配合，更好地调整网络的流量到一个合理的负载状态。好的丢包策略和源端流控机制的组合，总是追求网络的吞吐量和利用效率最大化，并且使报文丢弃和延迟最小化。核心层：核心层在本地的交换接口为GE，这种情况下要求设备高速转发，而在DifferServ模型体系中，对高优先级的IP报文，以太网交换机会实现优先转发，高速接口上，对限速或是带宽保证的意义已经不大， QOS功能仅作为在核心基于控制的需要，可完成流量监管，流量整形，队列调度等QOS。通过以上的设置和规划，充分利用交换机硬件转发的能力，对流分类时采用IP TOS值的定义，可有效地实现网络中在需要部署QOS的设备或是线路上进行控制，不需要时不用消耗网络设备的资源，不用信令交互，根据数据业务的流向，实现端到端的QOS。同时为减轻相应的业务流量，在校园网的应用中，多采用组播技术也能有效地节省线路带宽资源。5. 校园安全渗透网络设计在规划南京艺术学院校园网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系化的整体网络安全解决方案：l 体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。l 全局性、均衡性原则安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。l 可动态演进的原则方案应该针对南京艺术学院校园制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。5.1. 核心交换机强大内置安全特性逐包转发机制防止病毒冲击核心交换机是采用了逐包转发的机制，它和传统的流转发机制在安全性方面有着根本的差异。流转发主要存在下面两个问题：（1）、在网络拓扑频繁变化时，设备的适应性差，转发性能下降严重；（2）存在一定安全隐患问题，尤其在网络遭受到类似“红色代码”这类病毒攻击时问题尤为严重。流转发为一次路由多次交换，它的特点是一旦查找一次路由后，就把查找结果存放在CACHE里，以后同样目的地址的包就不用重新查找，直接采用类似二层交换的技术，直接转发到目的端口去。如果路由表项几乎不变化，则可通过上面所述的硬件精确匹配的方式能够很快的速度进行查表转发。但是如果应用的情况为路由表项经常出现变更的情况，就会导致无法通过硬件的精确匹配的方式查找到路由，这时三层以太网交换机的就会转为通过CPU软件进行路由查找，查表和转发速度就会急剧下降。这是工作基本上是处于靠CPU软件进行路由的“多次慢路由”的情况。也就是说三层交换机在进行数据报文转发时主要根据数据报文的五元组特征进行精确命中数据转发，对于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进行变换，其五元组信息始终处于一个不停变换阶段，这样导致三层交换机CPU不停进行路由查找，由于这类报文另外一个特征就是短时间内产生大量报文，从而最终导致三层交换机CPU在转发过程中瘫机，同时这台交换机下挂的三层交换机同样接收到大量病毒报文，基于上述原因其CPU转发引擎也将瘫机。与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中，这样网络路由必然就会出现较大振荡，交换机转发性能急剧下降，最终导致所有交换机瘫机，整个网络不可用。对于采用网络拓扑驱动的路由交换机而言由于采用逐包转发，进行的是最大匹配方式路由查找，当数据报文端口号进行变换的情况下，对路由器转发不造成影响，所以一旦遭受“红色代码”病毒攻击时没有任何问题。5.2. 基层网络安全5.2.1. 端口IPMAC地址的绑定：用户上网的安全性非常重要，H3C E100系列可以做到，端口+IP+MAC地址的绑定关系，H3C E100系列交换机可以支持基于MAC地址的802.1X认证，整机最多支持1K个下挂用户的认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、可维护性。如：每个用户分配一个端口，并与该用户主机的MAC、IP、VLAN等进行绑定，当用户通过802.1X 客户端认证通过以后用户便可以实现MAC地址端口IP用户ID的绑定，这种方式具有很强的安全特性：防D.O.S的攻击，防止用户的MAC地址的欺骗，对于更改MAC地址的用户（MAC地址欺骗的用户）可以实现强制下线。5.2.2. 接入层防Proxy的功能考虑到大学用户的技术性较强，在实际的应用的过程当中应当充分考虑到Proxy的使用，对于Proxy的防止，H3C公司交换机配合H3C公司的802.1X的客户端，一旦检测到用户PC机上存在两个活动的IP地址（不论是单网卡还是双网卡），交换机将会下发指令将该用户直接踢下线。5.2.3. MAC地址盗用的防止在校园网的应用当中IP地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自己的MAC地址进行修改，然后在进行一些非法操作，网络设计当中我们针对该问题，在接入层交换机上提供防止MAC地址盗用的功能，用户在更改MAC地址后，交换机对于与绑定MAC地址不相符的用户直接将下线，其下线功能是由交换机来实现的。5.2.4. 防止对DHCP服务器的攻击使用DHCP Server动态分配IP地址会存在两个问题：一是DHCP Server假冒，用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突；二是用户DHCP Smurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。H3C系列交换机可以支持多种禁止私设DHCP Server的方法。Private VLAN解决这个问题的方法之一是在桌面交换机上启用Private VLAN的功能。但在很多环境中这个功能的使用存在局限，或者不会为了私设DHCP服务器的缘故去改造网络。访问控制列表对于有三层功能的交换机，可以用访问列表来实现。就是定义一个访问列表，该访问列表禁止source port为67而destination port为68的UDP报文通过。之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访问控制组比较麻烦，可以结合interface range命令来减少命令的输入量。新的命令因为它的全局意义，也为了突出该安全功能，建议有如下单条命令的配置：service dhcp-offer deny exclude interface interface-type interface-number interface interface-type interface-numbert | none如果输入不带选项的命令no dhcp-offer，那么整台交换机上连接的DHCP服务器都不能提供DHCP服务。exclude interface interface-type interface-number ：是指合法DHCP服务器或者DHCP relay所在的物理端口。除了该指定的物理端口以外，交换机会丢弃其他物理端口的in方向的DHCP OFFER报文。interface interface-type interface-numbert | none：当明确知道私设DHCP服务器是在哪个物理端口上的时候，就可以选用这个选项。当然如果该物理端口下面仅仅下联该私设DHCP服务器，那么可以直接disable该端口。该选项用于私设DHCP服务器和其他的合法主机一起通过一台不可网管的或不支持关闭DHCP Offer功能的交换机上联的情况。选择none就是放开对dhcp-offer的控制。5.2.5. 防止ARP的攻击随着网络规模的扩大和用户数目的增多，网络安全和管理越发显出它的重要性。由于校园网用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。因此，ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已，也对网络的接入安全提出了新的挑战。ARP攻击包括中间人攻击(Man In The Middle)和仿冒网关两种类型：中间人攻击：按照 ARP 协议的原理，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 仿冒网关：攻击者冒充网关发送免费ARP，其它同一网络内的用户收到后，更新自己的ARP表项，后续，受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。认证模式ARP攻击防御原理801.1X认证模式示意图1 接入交换机绑定用户PC的IP-MAC映射在用户进行802.1X认证的过程中，通过扩展802.1X协议报文，在eapol的response报文（code=1、type=2）中携带用户PC的IP地址（iNode客户端需选定“上传IP地址”选项，且推荐客户PC上手工配置IP地址及网关），接入交换机通过监听802.1X认证过程的协议报文，将用户PC的IP地址、MAC地址和接入端口形成绑定关系，在接入交换机上建立IP-MAC-Port映射表项，并据此对用户发送的ARP/IP报文进行检测，从而有效防止用户的非法ARP/IP报文进入网络。2 用户PC上绑定网关的IP-MAC映射在用户进行802.1X认证的过程中，通过CAMS服务器下发预定的网关IP-MAC映射到iNode客户端，iNode客户端在用户PC上针对所有网卡查找匹配的网关，并将匹配网关的IP-MAC映射关系在PC上形成静态ARP绑定，从而有效防止针对主机的网关仿冒ARP攻击。DHCP监控模式ARP攻击防御原理图1 DHCP Snooping模式示意图接入交换机通过监听客户PC动态IP地址获取过程中的DHPC request和ack报文，取得客户PC合法的IP-MAC映射关系与客户PC的接入端口形成绑定关系并建立表项；接入交换机依据这些IP-MAC-Port表项过滤掉所有不匹配绑定关系的ARP/IP报文，防止非法报文进入网络造成损害。5.3. 网络层安全解决方案5.3.1. 全面网络基础设施可靠性保证措施首先，可取采取的措施为多种冗余备份能力，包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余，通过这些冗余能力，实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构，在南京艺术学院校园的网络改造建议方案中，我们设计了足够的线路冗余能力。网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备，通过双机进行实现相互备份和负载均衡，在南京艺术学院校园的网络改造建议方案中，我们在关键的节点都进行了双机配置。网络设备可以采取的冗余配置措施主要包括冗余电源配置、冗余模块配置、冗余引擎配置等，基于H3C网络设备丰富的冗余特性，可以有效的实现这些冗余配置模式。其次，采取高安全性的网络设备，网络与安全的融合是未来网络发展的必然趋势，随着网络设备特性的不断更新，H3C系列网络设备自身具备的安全能力也在不断加强。H3C系列网络设备包括路由器、交换机，都统一采用H3C自主研发的Comware软件平台。除了上述丰富的基本安全特性，H3C网络设备具备非常丰富的动态安全特性，主要包括动态VLAN的下发和动态ACL的下发，H3C系列网络设备不仅支持标准的802.1Q VLAN，而且提供端口隔离功能，只允许用户端口与上行端口转发报文，从而阻断下挂各个用户私有网络之间的互相访问，从链路层保障用户转发数据的安全；通过启用802.1x和Web认证后下发动态VLAN及ACL，实现用户的动态隔离，保证用户数据的隐私，杜绝内部攻击，与其他安全防护设备进行联动，构建全局的、立体的、动态安全防护体系。最后，采取具备丰富的安全管理特性的网管系统，在网络系统中，整个网络的安全首先要确保网络设备的安全：非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备，采用网络管理系统是一种有效的解决方法，通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能，可以实现网络设备安全有效的配置，为整个网络系统提供安全运行的基石。网关系统的基本功能描述如下：配置管理：主要包括设备监控、远程控制、远程维护、自动搜索等；性能管理：主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等；失效管理：主要包括故障定位、故障报警、故障恢复等；安全管理：访问认证和授权、网络隔离、远程访问控制、应用访问控制等。5.3.2. 组合丰富的VLAN功能进行业务隔离大部分网络设备都可以提供对VLAN功能的完善的支持，通过VLAN的划分，可以区分不同的业务，灵活的根据端口、MAC等进行VLAN的划分，实现对各种业务的有效的隔离。同时，通过各种特性VLAN的部署，可以更加灵活的实现网络流量和业务的隔离，比如，通过PVLAN技术，可以实现同一个VLAN内部服务器之间相互访问的隔离；通过动态VLAN的部署，可以实现用户在任何位置接入网络都能被隔离到自己所属的VLAN中。5.3.3. 配置防火墙进行网络区域的隔离防火墙是网络层的核心防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, ）、端口扫描（port scanning）、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。在南京艺术学院校园网络中，可以在以下位置部署防火墙和IPS产品：数据中心需要通过防火墙进行有效的隔离，网络安全隔离一直是Internet技术发展的重要研究课题。以太网技术如何和安全隔离技术融合，提供给南京艺术学院校园用户一个安全、可靠的网络环境是以太网交换机在组网应用中一个常见的问题。为了能够确保用户的安全需求，并提供一体化的解决思路，在，可以根据用户对于安全防护的考虑，将Secure VLAN技术融入到VLA技术中，可以实现对内网，DMZ多个区域的保护，可以用于内网的VLAN跨区域保护。另外数据中心集中了大量的服务器，小型机和数据库系统，他们是整个网络的大脑，为网络提供各种应用，对于数据中心服务器安全的保障方面H3C提供的虚拟补丁功能可以提供用户对各类操作系统的免安装补丁服务，高性能的入侵防御系统能作为虚拟软件补丁，保护网络中尚未安装补丁、具有漏洞的计算机免于遭受侵害。在恶意程序对预定目标进行攻击时，虚拟补丁程序就会立即“现身” 确定并阻挡发送来的恶意通讯。这种虚拟补丁程序之所以如此有效，是因为它采用了高精确的漏洞过滤器技术。这种专门设计的过滤器可应对最大范围的攻击和应对最大弹性的规避。Internet边界防火墙部署：南京艺术学院校园网络出口包括多个应用安全区域：基本可分为互连网出口区，对外服务区，内网区域，我们建议在核心交换机Internet路由器之间配置防火墙，在实现安全控制的同时保证线路的可靠性；此防火墙的配置策略我们建议如下：配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范；配置防火墙全面安全防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等；防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；由外往内的访问控制规则：在防火墙上设置允许VPN协议数据包穿越防火墙，满足移动用户通过IPSec VPN和分支机构VPN网关访问内网的需求；通过防火墙的访问控制策略，拒绝任何来自Internet对内网的访问数据，保证任何Internet数据都不能主动进入内部网，屏蔽所有来自Internet的攻击行为；由内往外的访问控制规则：通过防火墙的访问控制策略，对内部用户访问Internet进行基于IP地址的控制，初步实现控制内部用户能否访问Internet，能够访问什么样的Inertnet资源；通过配置防火墙提供的IP/MAC地址绑定功能，以及身份认证功能，提供对内部用户访问Internet的更严格有效的控制能力，加强内部用户访问Internet控制能力；通过配置防火墙提供的SMTP邮件过滤功能和HTTP内容过滤，实现对用户访问Internet的细粒度的访问控制能力，实现基本的用户访问Internet的行为管理；防火墙是以网络层为核心的防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, ）、端口扫描（port scanning）、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。5.4. 用户层解决方案网络环境下的防病毒必须层层设防，逐层把关，堵住病毒传播的各种可能途径，为南京艺术学院校园网络系统提供一个稳定高效、技术一流、方便管理、服务周全的网络病毒防护体系，网络防病毒体系主要包括： 网关防病毒：Internet是现在病毒传播的一个最主要的路径，访问Internet网站可能会感染蠕虫病毒，从Internet下载软件和数据可能会同时把病毒、黑客程序都带进来，对外开放的WEB服务器也可能在接受来自Internet的访问时被感染上病毒。因此需要在南京艺术学院校园与Internet接口处重点防范病毒的传播。 邮件防病毒：邮件附件是当前网络病毒传播的一个重要途径，因此要在邮件服务器上配置邮件防病毒软件，检查所有从邮件服务器发送和接收的邮件，特别是其邮件附件。另一方面，防范邮件病毒传播要加强对用户的安全教育，对于所有来源不明的邮件不要轻易打开，特别是其附带的邮件附件。在打开邮件之前，最好打电话与发件人确认，因为很多邮件病毒是自动从通讯录中查找收件人的。发送邮件时，最好不要使用复杂的格式，可以直接使用纯文本格式，这样邮件带病毒传播的机会就很小了。 服务器防病毒：对重要的服务器，配置服务器防病毒软件，南京艺术学院校园包含了大量复杂的应用系统，需要大量的不同平台的服务器，我们建议对这些服务器分别安装防病毒系统，加强这些重点服务器的病毒防范能力。 主机防病毒：网络中的主要用户使很多主机终端，因此必须为所有的单机，特别是一些处理关键业务的用户机配置主机防病毒软件。 集中控管能力：防病毒需要具有集中控管能力，对所有的防病毒产品模块提供一个集中的管理机制，监控各个防毒产品的防杀状态，病毒码及杀毒引擎的更新升级等，并在各个防毒产品上收集病毒防护情况的日志，并进行分析报告。l 设备选型建议： 我们建议选择瑞星的网络防病毒解决方案5.5. 业务层解决方案5.5.1. 设备冗余及网络存储配置建议业务系统的可靠性和可用性是网络安全的一个很重要的特性，可靠性与可用性的重要基础是各种设备的冗余配置，下面我们对业务系统的涉及到的设备（主要是服务器和存储系统）进行分析，并给出建议性的配置方案，主要包括：服务器可以采用的冗余配置主要包括冗余电源、冗余CPU、冗余网卡等重要的配件的冗余配置，对于核心服务器可以采用双机热备措施来保证服务的不间断性，现在有很成熟的系统支持这种应用模式。存储系统的冗余配置是最重要的，因为数据安全才是整个安全系统的根本目的，数据的可靠性和可用性是数据安全的根本。存储系统主要的冗余配置模式是磁盘阵列系统，现在磁盘阵列技术已经发展得很完善了，各种现有的存储设备对磁盘阵列的技术的支持也已经完善了，另外在磁盘阵列的基础上发展起来的网络存储系统（SAN、SNA），提供了更高的存储性能和可靠性。5.5.2. 漏洞扫描及安全评估系统的配置为了事先发现网络中各种操作系统和应用平台的安全性，可以采用漏洞扫描系统对重要的服务器先进行扫描，以发现系统中可能存在的安全漏洞和安全薄弱环节，通过漏洞扫描系统可以解决我们前面分析的操作系统以及服务平台的安全隐患。漏洞扫描系统在网络当中并不是一个实时启动的系统，只需要定期挂接到网络中，对当前网段上的重点服务器（如WEB服务器、邮件服务器、DNS服务器、主域服务器等）以及主机进行一次扫描，即可得到当前系统中存在的各种安全漏洞，并会针对性地提出补救措施。5.5.3. 应用系统开发中加强安全机制我们建议南京艺术学院校园在应用系统开发时，要在应用程序中加强对程序代码的控制，提高应用系统自身的安全性，在开发应用系统时，有以下几个方面要特别注意：1） 要加强对输入的判断，除了在浏览器端要进行简单的判断之外，更主要的是要在服务器端做相应的判断：一要检查输入值的长度和大小；二要检查输入值中是否带有非法字符，特别是在WEB应用中的单引号和一些控制字符。2） 在调用数据库资源时，要使用类似ODBC的接口，不要把数据库对象、对数据库具有操作权限的用户名、帐号等信息泄漏在WEB CGI程序中。3） 很多数据库在安装之后会有一个缺省的管理员帐号，且其口令一般为空或是通用口令，数据库管理员要及时更改这些帐号，并且设置高强度的口令字。4） 在WEB服务器上，要检查每一个目录、文件上的权限是否合适，如是否可以列表、读取、执行等，源程序或脚本是否可下载等。6. 校园管理中心设计6.1. 数字化校园管理综述“十五”期间数字化校园信息化建设取得了辉煌成果，基本实现了高带宽、广覆盖、可运营、可管理的数字化校园硬件平台，完成了学校基本的教学、科研、管理和服务系统的信息化建设。具体来说，在基础设施建设方面，完成了校园网改造、升级，解决了骨干带宽、出口带宽的问题；大规模的建设了学生宿舍区和校区的网络，实现了校园网络的大范围覆盖问题；开展了认证、计费、管理和网络安全方面的建设。在应用系统建设方面，实现了网络教学系统、数字化图书馆系统和网络实验室系统等面向教学和科研的应用系统；在校园管理信息系统、办公自动化系统、社区服务系统、一卡通系统等方面也取得了一定的成绩。但当前数字校园网络还面临许多挑战，在解决了带宽和覆盖问题的同时，校园网络需要进一步优化，校园网管理需要更加智能和易用。随着信息技术的发展，为提高办公效率及改善教学环境，当前的学校越来越多地应用了信息技术，对于网络的依赖性也越来越大，学生需要上网查阅资料、吸收新知识、接受网上教学，老师需要借此了解最新科研进展。校园网络上通常承载着学校的办公系统、教学系统及学生宿舍网络系统，网络如果发生问题，会对学校的正常运作产生严重的影响。随着网络基础架构日趋复杂，传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明，选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。6.2. 集成化管理平台H3C专注于IP产品与相关技术的研发、生产和销售，具备完善的产品技术、客户服务、渠道、认证培训体系，为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商，H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心（H3C Intelligent Management Center，以下简称H3C iMC）。H3C iMC是H3C IToIP解决方案的统一管理中心，基于SOA架构，采用灵活的组件化结构，支持与HP Openview、SNMPc等通用网管平台的集成，支持集成各多厂家设备管理系统，与H3C的数据通信设备产品一起为用户提供全网解决方案，帮助客户真正实现网络的按需构建。H3C iMC在IToIP解决方案中的位置H3C iMC作为IToIP解决方案核心管理系统，为用户提供了灵活的组件化结构，包括智能管理平台、智能配置中心（iCC）、ACL管理、MPLS VPN管理、用户接入管理、EAD解决方案、无线管理、EPON管理等业务组件，用户可以根据自己的管理需要和网络情况灵活选择需要的组件，真正实现“按需建构”。H3C智能管理中心解决方案架构如下图所示：H3C iMC解决方案架构由上图可以看出H3C iMC管理系统由智能管理平台以及各个业务组件组成，管理平台提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理、用户管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并可以无缝的集成在管理平台中，使得整个系统具有很强的可扩展性。H3C iMC智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于B/S架构，可以与H3C iMC 其他业务组件有效集成，形成多种解决方案。H3C iMC智能管理平台不仅可以实现H3C全线数据通信产品的管理，也可通过标准mib实现对Cisco、等各主流厂商的数据通信设备管理。6.2.1. 系统安全管理系统安全管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。所包含的主要功能有：操作员登录管理管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全性，通过访问控制模板约束操作员可以登录的终端机器的IP地址范围，避免恶意尝试另人密码进行登录的行为存在，通过密码控制策略，约束操作员密码组成要求，包括密码长度、