小型企业域网改造方案.doc

. 精选范本 课课程程设设计计报报告告 题目名称：题目名称：小型企业域网改造方案 学学 院：院：计算机科学技术学院 专业年级：专业年级：计算机科学与技术（师）08 级 学生姓名：学生姓名： 马剑超 班级学号：班级学号： 1 班 14 号 指导教师：指导教师： 高 诚 二二一一年年 七七 月月 . 精选范本 摘要 随着计算机应用的不断普及，随着网络技术的迅速发展，校园网正逐渐 成为学校必备的信息基础设施。校园网的实施，为各学校能够适应新形势发 展并更充分地利用现有的教学资源进行教学、管理提供了保障。综合布线作 为构建智能建筑网络的物理基础。利用各种传输介质将通信管理设备和终端 连接起来其性能好坏影响到网络能否正常运行和使用寿命长短。因此。应 满足以下要求：标准性：符合国际和国家相关标准，支持主流设备端口，符 合世界的发展趋势。稳定性：传输性能稳定且经久耐用，满足现在和将来 高速数据传输的需要。扩展性：预留适当的传输性能，易于扩充，能适应客 户未来。校园网建设中最关键的要素就是网络布线，一个学校能否建设成低 成本、高性能的校园网，关键看网络布线。因此，设计科学、合理、优化的 校园网络布线系统，是进一步发挥各种网络设备功能，实现学校各项业务系 统的集成，提高应用水平的重点。 关键词：校园网 综合布线 . 精选范本 With the increasing popularity of computer application, along with the rapid development of network technology, campus network is becoming a school the necessary information infrastructure. The implementation of the campus network, for the schools can adapt to the new situation to develop and make full use of the present teaching resources to carry on the teaching, management to provide the safeguard. Integrated wiring as construction of intelligent building networks physical basis. Use all sorts of transmission medium will communication management equipment and terminal. The performance is connected to the network can affect the normal operation and service life length. So. Should meet the following requirements: standard sex: meet international and national standards, support, accord with the world leading equipment port the development trend. Stability: transmission stable performance. And durable, meet now and in the future high-speed KEYWORDS:KEYWORDS: CAMPUSCAMPUS NETWORKNETWORK INTEGRATEDINTEGRATED WIRINGWIRING . 精选范本 . 精选范本 第一章第一章 网络需求分析网络需求分析 某小企业域网为三层网络结构，分为核心层、汇聚层和接入层，网络结 构如下图所示： 该企业域网核心交换机为两台 Cisco Catalyst4506 交换机，采用主备方 式工作，主核心交换机为 2007 年购置的采用 Supervisor Engine 720 交换引 擎的高性能的 Catalyst4506 交换机，备份核心交换机为购置时间较早采用 Supervisor Engine 2 引擎的性能较低的 Catalyst4506 交换机，两台核心交 换机通过双千兆光纤连接，分布完成交换模式和路由模式的互连；各楼层汇 聚交换机为 Cisco Catalyst3550 交换机，Catalyst3550 交换机通过千兆光纤 分别连接两台核心交换机，形成高可靠性的网络核心连接；各楼层的接入交 换机为早期的 Cisco Catalyst2924 和 Cisco Catalyst1924 交换机，每台接 入交换机采用 2 个百兆绑定的方式以星型结构接入本楼层的汇聚交换机。 中心服务器通过千兆光纤、千兆双绞线或百兆双绞线分别接入两台核心 交换机。 . 精选范本 1.1网络现状分析网络现状分析 目前该企业域网运行中存在如下问题： （1） 局域网备份核心交换机性能较低，同时软件功能满足网络扩展的 需求。 （2） 楼层汇聚交换机为单故障点，一台 Catalyst3550 交换机的故障会 造成多个楼层的中断。 （3） 早期的 Cisco Catalyst2924 和 Cisco Catalyst1924 交换机功能 简单，不能满足新的安全、管理等网络要求。 1.2网络改造的目标网络改造的目标 针对局域网的网络现状，本次网络改造的目标为： （1）构建高可靠、高性能、功能完善的网络核心。 （2）采用层次化网络设计，优化现有的网络结构。 （3）接入层全面采用安全功能丰富新型的网络交换机。 . 精选范本 第二章第二章 网络建设方案网络建设方案 2.1网络拓扑结构网络拓扑结构 城域网改造后的网络拓扑结构如下图所示： 该企业域网由三层网络结构改为二层网络结构，采用核心层和接入层设 置。 网络采用双核心交换机的网络结构，两台交换机间采用两条千兆链路互 连，同时通过 EtherChannel 技术实现链路间的负载均衡和互为备份。千兆 EtherChannel 技术是在 1000M 以太网的基础上将多条线路组合成一个传输信 道，用以提高两台核心交换机之间的连接速率，组成 EtherChannel 的通道的 千兆线路互为备份、负载均衡，在任何一条线路发生故障的情况下数据流仍 旧可以从剩余的线路上传送。 . 精选范本 每个配线间每个通过 2 条千兆链路分别连接两台核心交换机，形成上联 链路的冗余，每个配线间根据实际接入工作站的数量配置相应数量的交换机， 第一台交换机接入核心交换机 1，最后一台交换机接入核心交换机 2，交换机 间通过千兆光纤连接，即每个配置间交换机与核心交换机构成环形网络。 2.2设备配置说明设备配置说明 1核心交换机 锦湖轮胎增加一台核心交换机替换原有的备份核心交换机，新增的核心 交换机采用 Cisco Catalyst 4506 交换机，配置双电源、双引擎以保证系统 的可靠性，引擎采用 Supervisor Engine 720，提供 720G 的交换能力， 400Mpps 的三层转发能力，核心交换机同时配置如下网络模块： 2 块 24 端口千兆光纤模块WS-X6724-SFP，WS-X6724-SFP 提供 40G 的交换带宽，用于连接配线间接入交换机、城域网交换机，同时实 现光纤接口的中心服务器接入。 1 块 48 端口千兆双绞线模块WS-X6748-GE-TX，WS-X6748-GE-TX 也 提供 40G 的交换带宽，用于连接双绞线接口的中心服务器、工作站 和网络设备。 2接入交换机 接入交换机采用 Catalyst 3560G，根据该企业域网环境选择 WS-C3560G- 48TS 和 WS-C3560G-24TS 两种型号，其中 WS-C3560G-48TS 交换机提供 4 个千 兆光纤端口和 48 个 10/100/1000M RJ45 端口，WS-C3560G-24TS 交换机提供 4 个千兆光纤端口和 24 个 10/100/1000M RJ45 端口,每台交换机占用 2 个千兆 光端口连接核心交换机或本配线间接入交换机。 各配线间现有的汇聚交换机 Catalyst3550 继续使用，同时配置相应数量 的 Catalyst3560G 以替换早期的 Cisco Catalyst2924 和 Cisco Catalyst1924 交换机，同时配置相应数量的多模千兆接口转换模块实现设备间的互连，详 细配置数量如下： . 精选范本 配线间交换机配置 主楼 4 层配置 3 台 48 端口 Catalyst3560G，以 替换现有的 1 台 2924 交换机和 4 台 1924 交换机 主楼 7 层增加 1 台 24 端口 Catalyst3560G 主楼 9 层配置 1 台 48 端口 Catalyst3560G，以 替换现有的 1 台 2924 交换机和 1 台 1924 交换机 主楼 11 层配置 2 台 48 端口 Catalyst3560G，以 替换现有的 1 台 2924 交换机和 2 台 1924 交换机 主楼 15 层配置 2 台 48 端口 Catalyst3560G，以 替换现有的 1 台 2924 交换机和 3 台 1924 交换机 辅楼 3 层配置 2 台 48 端口 Catalyst3560G，以 替换现有的 1 台 2924 交换机和 2 台 1924 交换机 辅楼 6 层配置 2 台 48 端口 Catalyst3560G，以 替换现有的 1 台 2924 交换机和 2 台 1924 交换机 辅楼 9 层配置 2 台 48 端口 Catalyst3560G，以 替换现有的 1 台 2924 交换机和 3 台 1924 交换机 辅楼 12 层配置 2 台 48 端口 Catalyst3560G，以 替换现有的 1 台 2924 交换机和 3 台 1924 交换机 辅楼 15 层配置 2 台 48 端口 Catalyst3560G，以 替换现有的 1 台 2924 交换机和 3 台 1924 交换机 . 精选范本 裙楼 2 层配置 2 台 48 端口 Catalyst3560G，以 替换现有的 1 台 2924 交换机和 2 台 1924 交换机 . 精选范本 第三章第三章 网络实现方案网络实现方案 3.1路由实现方案路由实现方案 该企业域网与省广域网、城域网、东电、国电通过路由实现网络的连通， 其中与广域网路由器采用 OSPF 路由协议，与城域网、东电、国电采用静态路 由协议，局域网改造后路由设置保持不变。 3.2网络可靠性实现方案网络可靠性实现方案 1核心交换机设备可靠性 核心交换机 Catalyst 4506 采用冗余配置，同时 Catalyst 4506 通过 SSO 和 NSF 技术保证系统引擎切换时间小于 1 秒，同时二、三层数据可以正常 转发。 2Cisco EtherChannel 保证核心交换机间连接的可靠性 Cisco EtherChannel 技术是在 100M、1000M、10000M 以太网的基础上将 多条线路组合成一个传输信道，用以提高交换机之间、交换机与服务器之间 的连接速率。在每条链路都工作在全双工的方式下时最大可以将 8 条线路组 合成一个 16Gbps 的通道。组成 Gigabit EtherChannel 的通道的线路互为备 份、负载均衡，在任何一条线路发生故障的情况下数据流仍旧可以从剩余的 线路上传送，而受影响的只是 Gigabit EtherChannel 整体的传输速率。 . 精选范本 3RSTP 技术保证接入层网络连接可靠性 功能强大、可靠的网络需要有效地传输流量，同时提供冗余和故障快速 恢复功能。在第二层网络中，路由协议不可用，生成树协议通过从网格化物 理拓扑结构而构建一个无环路逻辑转发拓扑结构，提供了冗余连接，消除了 数据流量环路的威胁。原始生成树协议 IEEE 802.1D 通常在 50 秒内就可以恢 复一个链接故障，当设计此协议时，这种停机还是可接受的，但是当前的关 键任务应用(如语音和视频)却要求更快速的网络融合，为加速网络融合并解 决与生成树和虚拟 LAN(VLAN)交互相关的地址可扩展性限制的问题，为此设计 了一种全新的 802.1w 快速生成树协议(RSTP)，以解决 802.1D 的融合问题。 IEEE 802.1w RSTP 的特点是通过一种主动的网桥到网桥握手机制取代 802.1D 根网桥中定义的计时器功能，IEEE 802.1w 协议提供了交换机(网桥)、交换机 端口(网桥端口)或整个 LAN 的快速故障恢复功能。在 RSTP 中，拓扑结构变更 只在非边缘端口转入转发状态时发生，丢失连接-例如端口转入阻塞状态， 不会像 802.1D 一样引起拓扑结构变更，802.1w 的拓扑结构变更通知(TCN)功 能不同于 802.1D，它减少了数据的溢流，RSTP 通过明确地告知网桥，溢出除 了经由 TCN 接收端口了解到的内容外的所有内容，优化了该流程，TCN 行为的 这一改变极大地降低了拓扑结构变更过程中，MAC 地址的溢出量，RSTP 还引 入了新的 BPDU 处理和新的拓扑结构变更机制。每个网桥每次hello time都 会生成 BPDU，即使它不从根网桥接收时也是如此。BPDU 起着网桥间保留信息 的作用，如果一个网桥未能从相邻网桥收到 BPDU，它就会认为已与该网桥失 去连接，从而实现更快速的故障检测和融合。 4HSRP（或 VRRP）协议保证核心交换机间三层网关的可靠性 HSRP（Hot Standby router protocol 路由器的热备份协议）与 VRRP 协 议的工作机制相同，但提供了更丰富的功能和最短的网络切换时间，所以本 方案采用 HSRP 协议。与主机的双机热备份原理相似，可由两台或多台路由器 组成一个备份组，其中一台为主路由器，而其余的为备份路由器，对外呈现 相同 MAC 地址。这样当主路由器发生故障时，热等待的路由器将接管公共的 虚拟 MAC 地址和 IP 地址。这一切接管对于网络站点来说是透明的，从而保证 . 精选范本 整个网络的正常运行。 HSRP LAN Switch LAN Switch Provides VLAN Routing Backup Between Routers PrimarySecondary DefaultDefault IP GatewayIP Gateway Enterprise WAN Router A Router B 3.3QoS 实现方案实现方案 QoS 实现主要有 IntServ (Integrated Services)和 DiffServ (Differentiated Services)两种模型，DiffServ 对聚合的业务类提供 QoS 保 证，可扩展性好，便于在大规模网络中使用。本方案采用 DiffServ 机制实现 QoS。 DiffServ 模型的基本原理是将网络中的流量分成多个类，每个类接受不 同的处理，尤其是网络出现拥塞时不同的类会享受不同的优先处理，从而得 到不同的丢弃率、时延以及时延抖动。在 DiffServ 的体系结构下，IETF 已经 定义了 EF（Expedite Forwarding） 、AF1-AF4（Assured Forwarding） 、 BE（Best Effort）等六种标准 PHB（Per-hop Behavior）及业务。 DiffServ 域将设备分为两类，边缘设备和核心设备，其中边缘设备承担 了较多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整 形等。如果由单一设备全部处理，开销较大，容易形成网络瓶颈，因此需要 将这些功能分布到不同的设备上去，如流分类功尽量在边缘实现。 采用 Diffserv/CoS 的方法需要对所有的 IP 包在网络边缘进行流分类， 打上 Diffserv 或 CoS 标识，并在 DS 域内的路由器、交换机根据优先级进行 转发，保证高优先级业务的 QoS 要求。 Cisco 交换机通过模块化 QoS 设置命令，对 Differ Serv 提供全面的支 . 精选范本 持。该企业域网中的 Catalyst 4506 和 Catalyst 3560 交换机采用如下 QoS 设置： 在网络边缘接入根据二层、三层和四层信息进行流分类，并完成基 于 802.1p CoS and Differentiated Services Code Point (DSCP) 的标记。 在网络边缘同时可根据需要对接入速率进行控制。 核心交换机与接入交换机互连端口采用 WRR 调度算法，通过权重的 设置，实现智能的队列电力和每类数据流的带宽保证，同时通过严 格优先队列满足语音、视频等实时业务对延时和抖动的要求。 3.4网络安全实现方案网络安全实现方案 3.4.1安全分析安全分析 传统的安全实现方案为网络周边的安全，通过防火墙和网络策略的使用 而得到保护。这些设备和策略的设计目的是在保护网络内部的同时，支持越 来越开放的访问权限，从而满足业务需求。但是随着蠕虫和病毒（例如 Slammer、SoBig 和 MSBlaster）的出现，网络安全实现的复杂程度提高，传 统的安全策略已经无法有效地保护网络。 在内部，安全主要是基于用户 ID/密码，并被集成到受保护的应用中。 计算机（通常为台式机）在网络上被视为“可信任的” 。但是现在，笔记本电 脑开始迅速普及。这些便携式计算机的设计目的是提高生产率，但是它们也 带来了更高的安全风险。当员工往返于网络“内部”和“外部”之间时，他 们可能会在无意中携带了威胁到网络安全的病毒和蠕虫。它们能够以类似于 周边入侵的方式，破坏关键任务型业务应用的基础。 由于所有这些变化和进展，显然过去的网络安全模式已经不能满足当今 网络的需求。因此需要构建新型的网络安全需要一种全新的、主动的网络安 全模式。这种全面的模式应当采用特殊的设计，即将外部入侵者拒之门外， 也可防范内部员工的安全攻击。这样的解决方案需要提供： . 精选范本 完全嵌入到网络基础设施中的、覆盖整个网络的安全性 保护、防御和自愈能力 控制“谁”可以访问网络和他们可以在网络上做“什么” 3.4.2网络安全实现分析网络安全实现分析 传统的网络安全建设专注于网络层面的安全产品集成、应用层的安全防 护，管理层面的安全策略体系，而实际上网络安全是信息安全的基础，没有 网络安全就没有信息安全，正是在这样的背景下，合理网络架构和完备的安 全保障体系建设显得更为重要。 根据网络安全技术框架，合理的网络架构包括如下几个方面： （1）网络结构应层次分明，采用核心层、汇聚层、接入层等划分原则， 划分不规范不利于网络优化和调整。 （2）网络边界应该清晰，边界不清晰不便于安全控制。 （3）关键业务系统和非关键业务系统之间应进行有效分离，同时应保证 分离后各业务区域之间的逻辑控制合理，业务系统之间的交叠不但影响网络 的性能也会给网络带来安全上的隐患。 安全保障体系应在合理的网络架构上建设，主要包括如下几个方面： （1）对设备本身安全进行配置。 （2）各 VLAN 内和 VLAN 间的进行合理地安全控制。 （3）配置合理的 QOS 以增加网络的可用性。 （4）保证安全防护体系地坚固，整个网络系统中应部署防火墙、抗拒绝 服务系统、漏洞扫描系统、IDS 和 IPS 系统、防病毒体系、口令认证系统，各 个安全系统之间的集成应合理。 （4）网络系统流量分析系统应完备，网络系统数据流比较大，而且复杂， 如果流量分析系统不完备，当网络流量异常时或遭 DOS 攻击时，也很难有应 对措施。 . 精选范本 3.4.3网络安全实现方案网络安全实现方案 该企业域网安全的设计应综合网络安全的体现结构、网络建设的实际情 况和网络产品的部署等因素，构建全面的、立体的网络安全体系。 1 1Multi-VrfMulti-Vrf 技术构建基于安全的网络技术构建基于安全的网络架构架构 现在的网络中，所有的网络接入点都作为网络的安全控制点，所以网络 安全的实现变成了一个庞大、复杂的工作，通过在网络中进行逻辑安全区域 的划分，可实现在内部网络定义安全边界，使网络安全集中在几个点，从而 简化网络安全的部署，这就要采用业界先进安全技术对计算机或业务系统进 行逻辑隔离，通常采用 MPLS-VPN 或 Multi-Vrf 技术来进行逻辑划分并进行互 访控制。 该企业域网将采用 Multi-Vrf 技术来进行逻辑划分并进行互访控制。 在今天的网络建设中，三层交换技术已经成为局域网建设的普遍技术， 同时网络安全也成为网络建设最重要的一个方面。在基于三层交换的网络中 采用防火墙技术实现三层交换网络间的互连已成为网络安全实现的最有效的 方案之一。 防火墙以前通常使用在不同局域网间的互连中，现在对网络安全提出了 更高的要求，在同一局域网中也需要采用防火墙实现对网络中不同区域（如 核心服务器区域）提供安全防护。但三层交换网络的特点是，网络中的不同 网段通过三层交换直接实现了互连，如何使防火墙在网络中发挥作用？这为 我们提出了一个新的课题。正是在这样的安全需求下，提出了 MultiVrf 技 术。 MultiVrf 技术与 Vlan 技术不同点是：Vlan 技术实现了网络的二层逻 辑划分，MultiVrf 技术实现了网络的三层逻辑划分，我们把这种划分通常 成为 VPN； MultiVrf 技术与 Vlan 技术的相同点是：它们都可在同一个物理平台 上实现网络的逻辑区域划分，通过 Vlan 技术划分的几个二层区域通过三层路 由实现互连，通过 MultiVrf 技术划分的几个三层区域通过防火墙或其他安 全产品实现互连。 . 精选范本 而逻辑划分的共同点是：网络建设节约了设备投资，同时网络具有了更 大的灵活性。 MultiVrf 技术作为 MPLS VPN 技术向局域网的延伸，与 MPLS VPN 实现 的机制相同，具有与 MPLS VPN 相同的安全性，而 MPLS VPN 是在电信服务商 网络中采用的重要技术，其安全性已经得到了广泛的认可，所以 MultiVrf 技术的安全性是可以信赖的。 2 2网络设备的安全设置网络设备的安全设置 整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问 一台机器、路由器或防火墙。 为了保障网络设备的安全性，我们要考虑从以下几个方面的因素： （1）设备安全防护 口令管理：为防止对系统未经授权的访问，系统必须具有完善的密码管 理功能。网络设备应采用 RADIUS 或 TACACS 认证服务器进行口令管理。 （2）控制对设备的访问 控制台是设备提供的最基本的配置方式。控制台拥有对设备最高配置权 限，对控制台访问方式的权限管理应拥有最严格的方式。 （3）异步辅助端口的本地/远程拨号访问 设备的异步辅助端口提供对设备进行本地、远程拨号配置，对于非控制 台的其它一切配置手段，必须要求设备配置身份验证，如果设备未配，将拒 绝接受用户登录。 （4）TELNET 访问 TELNET 访问要求采用身份验证如果用户未未配，将拒绝登录。设备应对 telnet 用户数量必需做出上限控制，同时限制哪些用户可以通过 telnet 客户 端对设备进行访问。 （5）SNMP 访问 SNMP 是一种使用非常广泛的协议，主要用于设备的监控和配置的更改。 SNMP 协议自身有安全性保障，同时 SNMP Agent 还应该具备对网管站的访问进 行限制的能力。需特别指出：SNMP 的网管站通常有大量的关于验证信息的数 . 精选范本 据库，例如团体名。这些信息可以提供访问许多路由器或者其他网络设备的 途径。这使得网管站成为许多攻击的目标，因此，必须要保证网管站的安全。 建议采用 SNMPv3 协议进行网络设备管理，同时设置网管访问控制列表， 合法的 SNMP 报文将来自于某几个网管站。SNMP Agent 应使用访问列表对 SNMP 报文进行限制，仅仅允许指定 IP 地址的网管站访问。 （6）HTTP 访问 HTTP 访问方式通过 HTTP 协议对设备进行配置和监控，同样是对设备的 一种交互访问方式。对 HTTP 客户端进行身份认证，可以选择采用本地或 RADIUS、TACACS 协议等多种方式进行认证，同时与访问受限的网管站和 telnet 客户端一样，限制那些 HTTP 客户端能够对设备进行访问。 3 3集成化的安全功能保证二层网络的安全集成化的安全功能保证二层网络的安全 Cisco Catalyst 交换机系列提供了一系列新的安全功能，利用这些新的 安全功能，有助于防范一些通常来自于防火墙内部的攻击。这些攻击往往由 某个“冒充”有效网络设备的 IP 地址或者主机名称的人员所发动。这些新的 安全功能包括： 端口安全 DHCP 监听 动态地址解析协议（ARP）检测 IP 源保护 （1）端口安全 端口安全可以防范基于 MAC 的攻击。端口安全让网络管理员可以限制允 许使用的 MAC 地址，或者每个端口允许的 MAC 地址的最大数量。这使得某个 特定端口上的 MAC 地址可以由管理员静态配置，或者由交换机动态学习。如 果某个指定端口上的 MAC 地址超过最大允许数量，或者在该端口上发现一个 带有不安全的源 MAC 地址的帧，就违反了安全策略。该端口随后会被关闭， 或者会生成一个 SNMP 陷阱。对于动态的或者静态的安全 MAC 地址，可以利 用端口安全设置地址在没有活动时或者在一段预定间隔之后失效。端口安全 . 精选范本 可以关闭某个端口，阻止来自于某个终端的、MAC 地址与此前为该端口设定 的地址不符的访问。 MAC Flooding Attack Mitigation :Port Security Available starting in 12.1(13)EW1 Allows you to specify MAC addresses for each port, or to learn a certain number of MAC addresses per port Upon detection of an invalid MAC the switch can be configured to block only the offending MAC or just shut down the port Port security prevents macof from flooding the CAM table IP Telephony ports would specifiy a maximum of 3 addresses On each access port: switchport mode access switchportswitchport portport- -securitysecurity switchport port-security maximum 128 switchport port-security violation protect | restrict | shutdown Secured ports generate address-security violations under these conditions: The address table of a secured port is full and a station whose MAC address is not in the address table attempts to access the interface. An incoming packet has a source address assigned as a secure address on another secure port (on the same device!). 配置命令如上：Switchport Portsecurity （2）DHCP 监听 在某些情况下，入侵者可以将一个 DHCP 服务器加入网络，令其“冒充” 这个网段的 DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器（DNS 和 WINS）提供错误的 DHCP 信息，从而将客户端指向黑客的主机。这种误导 让黑客可以成为“中间人” ，获得对保密信息的访问权限，例如用户名和密码， 而最终用户对攻击一无所知。为了防止出现这种情况，可以使用 DHCP 监听。 DHCP 监听是一种针对端口的安全机制，被用于区分连接最终用户的不可 信交换机端口和一个连接 DHCP 服务器或者其他交换机的可信任交换机端口。 它可以在每个 VLAN 的基础上启用。DHCP 监听只允许经过授权的 DHCP 服务 器响应 DHCP 请求和向客户端分发网络信息。它还提供了在客户端端口上对 DHCP 请求进行速率限制的能力，从而可以减轻来自于单个客户端/接入端口 的 DHCP DOS 攻击的影响力。 . 精选范本 DHCP Snooping Configuration / / / / G Gl l o ob ba al l c co on nf f i i g gu ur r a at t i i o on n: : e en na ab bl l e e D DH HC CP P s sn no oo op pi i n ng g a an nd d r r a an ng ge e o of f V VL LA AN Ns s 1 10 0 t t h hr r o ou ug gh h 2 20 0 i i p p d dh hc cp p s sn no oo op pi i n ng g i i p p d dh hc cp p s sn no oo op pi i n ng g v vl l a an n 1 10 0 2 20 0/ / / / R Ra an ng ge e o of f V VL LA AN Ns s 1 10 0 t t h hr r o ou ug gh h 2 20 0 / / / / I I n nt t e er r f f a ac ce e l l e ev ve el l c co on nf f i i g gu ur r a at t i i o on n, , t t r r u us st t t t h he e D DH HC CP P s se er r v ve er r i i n nt t e er r f f a ac ce e G Gi i g ga ab bi i t t E Et t h he er r n ne et t2 2/ / 1 1 s sw wi i t t c ch hp po or r t ta ac cc ce es ss s v vl l a an n 1 14 4 s sw wi i t t c ch hp po or r t tmm o od de e a ac cc ce es ss s l l o og gg gi i n ng g e ev ve en nt t l l i i n nk k- - s st t a at t u us s i i p p d dh hc cp p s sn no oo op pi i n ng g t t r r u us st t / / / / R Ra at t e e L Li i mm i i t t i i n ng g o of f D DH HC CP P p pa ac ck ke et t s s I I n nt t e er r f f a ac ce e F Fa as st t E Et t h he er r n ne et t3 3/ / 1 1 i i p p d dh hc cp p s sn no oo op pi i n ng g l l i i mm i i t t r r a at t e e 1 10 00 0 / / / / L Li i mm i i t t u up p t t o o 1 10 00 0 D DH HC CP P p pa ac ck ke et t s s/ / s se ec co on nd d o on n t t h he e c cl l i i e en nt t （3）动态 ARP 检测 ARP 并不具有身份验证功能。一个恶意用户可以轻松地修改同一个 VLAN 上的其他主机的 ARP 表。在一个典型的攻击中，恶意用户可以主动地向子网 上的其他主机发送 ARP 答复（没有来由的 ARP 分组） ，其中包含了攻击者的 MAC 地址和缺省网关的 IP 地址。这种 ARP 修改行为会导致不同的中间人攻 击，从而对网络安全构成威胁。动态 ARP 检测可以避免将无效的或者没有来 由的 ARP 答复转发到同一个 VLAN 中的其他端口，从而防范中间人攻击，它 可以拦截不可信端口的上的所有 ARP 请求和答复。每个被阻截的分组都会被 检验，看是否存在有效的 IP-MAC 捆绑关系（每个都通过 DHCP 监听搜集）被 拒绝的 ARP 分组由交换机进行记录和审核。可信任端口上的输入 ARP 分组不 会被检查。 . 精选范本 Inbound ACLs Deny ARP Packets With an Incorrect IP/MAC Association. Attackers Cannot ARP Spoof the Default Gateway. DHCP Server Dynamic ARP Inspection / Configure on VLANs 2 to 10 4500( conf i g) #i p dhcp snoopi ng 4500( conf i g) #i p dhcp snoop vl an 2- 10 4500( conf i g) #i p ar p i ns vl an 2- 10 DAI Looks at the DHCP Offer, and validates the incoming ARP Entry for the MAC-IP Pair. This is How the ARP Table Is Populated. Non DHCP packets may be supported by ARP ACLs Supported on access and MVAP (Multi VLAN Access Ports) ports. 4 45 50 00 0( ( c co on nf f i i g g- - i i f f ) ) # #i i p p a ar r p p i i n ns sp pe ec ct t i i o on n l l i i mm i i t t r r a at t e e 1 10 00 0 / / / / p pp ps s （4）IP 源保护 IP 源保护是一种 Catalyst 交换机独有的 Cisco IOS 软件功能，有助于 避免 IP 伪装攻击。它可以阻止恶意主机通过盗用邻居的 IP 地址攻击网络。 IP 源保护能够提供基于每端口的对所分配的源 IP 地址进行线速 IP 流量过 滤。它可以根据 IP-MAC-交换机端口捆绑关系动态地维护基于每个端口的 VLAN ACL。捆绑表由 DHCP 监听功能或者静态配置填充。IP 源保护通常用于 接入层的不可信任交换机端口。 4 4基于硬件的三层访问控制基于硬件的三层访问控制 Cisco Catalyst 交换机支持三种访问控制机制：PACL基于端口的访问 控制；VACL基于 VLAN 的访问控制；RACL基于路由的访问控制，同时 Catalyst 二层交换机可实现基于 IP 地址和 TCP、UDP 端口的安全控制。 Cisco 交换机支持标准及扩展的 ACL：可以通过标准的 ACL 只设定一个简 单的地址范围，也可以使用扩展的 ACL 设定具体到协议、源地址范围、目的 地址范围、源端口范围、目的端口范围以及优先级与服务类型等。 网络访问控制一般通过核心交换机、接入交换机全面实现。 . 精选范本 在核心交换机设置如下安全策略： （1）采用 CAR 限制原有网络的 SYN 数据包。 （2）通过设置 ACL，限制 RFC 1918 定义的私有地址对内部网络的访问。 在接入交换机关闭下列攻击的默认端口： （1）Trinoo 冲击： 1524 tcp 27665 tcp 27444 udp 31335 udp （2）Stacheldraht 攻击： 16660 tcp 65000 tcp （3）冲击波病毒： 135tcp 139tcp 445tcp 实际应用中根据各种网络攻击端口的变化，随时调整网络访问控制的设 置。 5 5QoSQoS 技术实现的网络安全技术实现的网络安全 有些攻击的目标是用混乱的流量占满设备之间的连接，从而阻止合法流 量抵达目的地。QoS 功能可以划分流量类别和设