广电网络的整改思路

1、广电网络的整改思路一、MAC地址认证概述:MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限 进行控制的认证方法，它不需要用户安装任何客户端软件。设备在 启动了 MAC地址认证的端口上首次检测到用户的MAC地址以后，即启 动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或 者密码。若该用户认证成功，则允许其通过端口访问网络资源，否则 该用户的MAC地址就被添加为静默MAC。在静默时间内（可通过静默 定时器配置），来自此MAC地址的用户报文到达时，设备直接做丢弃 处理，以防止非法MAC短时间内的重复认证。为了将受限的网络资源与用户隔离，通常将受限的网络资源和 用户划分到不同的

2、VLANo当用户通过身份认证后，受限的网络资源 所在的VLAN会作为授权VLAN从授权服务器上下发。同时用户所在的 端口被加入到此授权VLAN中，用户可以访问这些受限的网络资源。 要实现MAC地址认证，需要提供以下功能组件：具有MAC地址认证功能的交换机为了能够对接入终端进行MAC地址认证，需要接入交换机拥有MAC 认证功能，能够直接对接入终端进行地址认证。Radius服务器一般情况下，接入交换机无法判断终端的MAC地址是否合法，需要将 终端的MAC提交给Radius服务器进行验证，在 Windows server 2003中，Windows IAS服务能够提供标准的 Radius服务，但IA

3、S无法建立MAC帐户，利用Windows的 Active Directory （AD活动目录）服务与IAS服务结合，就可以实 现认证和管理MAC帐户的功能。二、广电办公网的MAC认证方案1、市局现有的设备支持MAC认证管理，可以在接入设备上启用此功 能，实现MAC地址的认证。2、认证方式有2个办法：一、在核心上启用local用户，用户名和 密码是微机的MAC地址，方式是本地认证就可；二、Radius认证， 需要增加服务器一台，安装2003操作系统就可实现。考虑到广电办 公网的管理和扩容，建议使用第二中方式，增加服务器，进行Radius 认证。3、县公司增加的接入设备，一定要具有MAC认证功能，

4、这样，广电 的办公网就可以实现全部的MAC认证。三、解决办公网出现的自环问题办公网内出现自环现象，容易引起整个网络的广播风暴，解决整 个问题的办法就是启用端口的抑制功能。当出现自环时，端口自动关 系。当前广电的设备支持端口抑制功能，开启后就能抑制自环。具体 办法为：交换机开启STP或者风暴控制功能STP：交换机开启配置stp协议后，会对整个网络进行生成树 的计算，整网成树的形状，保证网络中无换路出现。风暴控制：通过监控端口入方向的广播的报文速率，在设定的检 测时间间隔内，当接口上接收报文的平均速率大于上限时，支持阻断对应流量或者shutdown接口，避免广播风暴对整网的冲击。其他说明：对所有的

5、接入交换机，当前不使用的端口进行人工Shutdown,及时接入网线或者微机，端口也不进行工作，从而也避免环网的出现。四、交换机ip+mac绑定为了避免员工私自修改本机的IP地址，出现IP冲突或者IP地 址使用混乱问题，建议在整个广电网络上实现IP+MAC绑定功能，从 而大大提高网络的安全性。具体措施：通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能，先在VLAN下配置的静态绑定表，静态绑定表的IP和MAC为待绑定PC的IP和MAC,然后再与PC相连的交换机接口上配置IP和ARP报文检查功能。五、某些重要业务vlan的传输速率保证针对某些重要的业务，比如BOSS,财务等。这些业务的连续性 是最重要的。因而，保证这些业务的传输速率是工作重点。具体措施：通过在交换机上qos功能，对某些重要业务不进行带宽限 制，相对于不重要的业务，如上网业务等，将进行接口限速，使之不 能超过某个阀值。五、设定某特定ip对交换机进行管理为了便于设备的管理，现在广电的设备都启用了远程管理功能, 在方便管理的基础上，也会出现无关人员登入设备的问题。解决办法 是设定某特定ip才能对