肇慶市體育館競(jìng)賽網(wǎng)絡(luò)方案設(shè)計(jì)要點(diǎn)說明

1、 學(xué)院計(jì)算機(jī)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程課程設(shè)計(jì)報(bào)告題 目 市體育館競(jìng)賽網(wǎng)絡(luò)方案設(shè)計(jì)班 級(jí) 09網(wǎng)絡(luò)工程1班組 長(zhǎng) 文佳 成 員 羅高祥文佳何偉輝 黎 淵指導(dǎo)教師 帆 完成時(shí)間 2011 年 12 月 28 日學(xué)號(hào)完成任務(wù)簽名成績(jī)7羅高祥鏈路流量需求分析、網(wǎng)絡(luò)安全實(shí)施規(guī)設(shè)計(jì)、與文檔資料整理等3文佳負(fù)責(zé)協(xié)調(diào)組員的各項(xiàng)工作與全面掌握材料與指導(dǎo)工程的全過程8何偉輝VLAN劃分與配置、IP地址的分配等5黎 淵VRRP與鏈路冗余設(shè)計(jì)和督促組員工作目 錄1 需求分析. 31.1 市中心體育館概況 .31.2 要進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)的業(yè)務(wù)口.31.3 IPV6應(yīng)用需求 . 31.4 工程設(shè)計(jì)的建設(shè)原則.31.5 架構(gòu)層次需求

2、分析.41.6 進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)的業(yè)務(wù)與流量需求分析.41.7 場(chǎng)館上行帶寬需求分析.41.8 體育館競(jìng)賽中心Internet出口帶寬需求分析.51.9 設(shè)計(jì)原則.5 1.9.1 連通性與安全性并重的原則.5 1.9.2 冗余性與經(jīng)濟(jì)性平衡的原則.5 1.9.3 成熟性與穩(wěn)定性優(yōu)先的原則.5 1.9.4 可管理、靈活易維護(hù)的原則.52 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì).62.1.體育館接入層.62.2.VLAN劃分規(guī).8 2.2.1 VLAN劃分說明.82.3 IP地址規(guī).82.4 生成樹設(shè)計(jì)實(shí)現(xiàn).9 2.4.1 生成樹配置.92.5 VRRP設(shè)計(jì).10 2.5.1 VRRP設(shè)計(jì)實(shí)現(xiàn).10 2.5.2 VRRP配置.

3、103 網(wǎng)絡(luò)安全實(shí)施規(guī).12 3.1 CPU保護(hù)安全. .12 3.1.1 CPU保護(hù)配置規(guī). .12 3.2 風(fēng)暴控制設(shè)計(jì). .12 3.2.1 風(fēng)暴控制設(shè)計(jì)實(shí)現(xiàn). .12 3.2.2 風(fēng)暴控制配置規(guī). .12 3.3 防ARP欺騙.12 3.3.1 防ARP欺騙設(shè)計(jì)實(shí)現(xiàn).12 3.3.2 防ARP欺騙配置規(guī).12 3.4 防非法dhcp欺騙.13 3.4.1 防dhcp欺騙配置規(guī).134 設(shè)備配置文件. .135 課程設(shè)計(jì)總結(jié). .23第一章 需求分析1.1 市中心體育館概況：市中心體育館主要承擔(dān)拳擊、古典式和自由式摔跤等各類比賽。2000年，該館曾舉行過全國(guó)跆拳道、拳擊、摔跤等項(xiàng)目的大型

4、錦標(biāo)賽，并按全運(yùn)會(huì)的規(guī)進(jìn)行了試運(yùn)行，受到國(guó)家體育總局的充分肯定。中心體育館也承載市一些大型的演唱會(huì)，該館建筑面積7400平方米，可容納觀眾3800人，并設(shè)貴賓休息室、記者工作室、休息室和新聞中心。該館距離運(yùn)動(dòng)員接待酒店僅300米，交通方便。1.2 要進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)的業(yè)務(wù)口分別有：工作人員辦公室、比賽信息臺(tái)、成績(jī)處理工作室、尿檢工作室、運(yùn)動(dòng)員檢錄區(qū)、運(yùn)動(dòng)員醫(yī)務(wù)區(qū)、媒體工作室、興奮劑檢查室、貴賓休息廳、場(chǎng)館運(yùn)行中心、場(chǎng)館技術(shù)運(yùn)行中心、觀眾服務(wù)管理辦公室、場(chǎng)館主任辦公室、新聞發(fā)布中心、競(jìng)賽主任辦公室、賽事監(jiān)控系統(tǒng)、語(yǔ)言服務(wù)辦公室、新聞發(fā)布廳、打印復(fù)印分發(fā)辦公室共22個(gè)業(yè)務(wù)口。1.3 IPV6應(yīng)用需求：

5、本項(xiàng)目還承擔(dān)一些IPV6應(yīng)用項(xiàng)目。本設(shè)計(jì)考慮了未來IPV6城域網(wǎng)的應(yīng)用需求，包括（但不限于）下列應(yīng)用需求：IPV6智能家居。通過此應(yīng)用，充分展示IPV6地址豐富的能力，家中的每個(gè)電器設(shè)備，都可以通過網(wǎng)絡(luò)控制。IPV6 RFID。由于IPv6的地址空間巨大，對(duì)于RFID來說非常適合，IPv6的大量地址可以實(shí)現(xiàn)為每一個(gè)RFID分配一個(gè)地址。IPV6寬帶視頻。即插即用的視頻類業(yè)務(wù)適合用IPV6技術(shù)來支撐。IPV6官方。大學(xué)網(wǎng)絡(luò)是IPV6使用最廣泛的網(wǎng)絡(luò)，因此開辟IPV6官方，有助于為運(yùn)動(dòng)競(jìng)賽、演唱會(huì)提供一個(gè)更好的宣傳渠道。1.4 工程設(shè)計(jì)的建設(shè)原則：分析如上應(yīng)用，網(wǎng)絡(luò)主要承載實(shí)時(shí)非高交互性業(yè)務(wù)，傳統(tǒng)

6、視頻點(diǎn)播業(yè)務(wù)，IPTV業(yè)務(wù)，傳統(tǒng)數(shù)據(jù)業(yè)務(wù)。流量大，實(shí)時(shí)性要求高。帶寬需求大，轉(zhuǎn)發(fā)性能、可靠性要求高，故障切換快速。要求網(wǎng)絡(luò)必須24小時(shí)不間斷運(yùn)行，可用性要達(dá)到99.999% 以上。為確保達(dá)到如上網(wǎng)絡(luò)建設(shè)目標(biāo)，保證競(jìng)賽網(wǎng)絡(luò)的順利正常運(yùn)行，本設(shè)計(jì)建設(shè)的投標(biāo)方所涉與的網(wǎng)絡(luò)系統(tǒng)的要求較高，要求的特點(diǎn)如下：轉(zhuǎn)發(fā)性能高、設(shè)備可靠性高、系統(tǒng)可靠性高、豐富的安全控制能力、強(qiáng)大的軟硬件QoS保證、網(wǎng)絡(luò)可維護(hù)性高、支持IPv4/IPv6雙棧。1.5 架構(gòu)層次需求分析：由于體育館場(chǎng)館部信息點(diǎn)數(shù)量相對(duì)較少，接入層交換機(jī)數(shù)量少，網(wǎng)絡(luò)拓?fù)鋱D比較簡(jiǎn)單，所以體院館只分為競(jìng)賽場(chǎng)館接入層、匯聚層兩個(gè)層面。競(jìng)賽場(chǎng)館接入層即每賽場(chǎng)館

7、的部局域網(wǎng)，包括中心交換與樓道接入兩個(gè)子層。1.6 進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)的業(yè)務(wù)與流量需求分析：下面從以下2個(gè)方面分析體育館競(jìng)賽網(wǎng)絡(luò)的帶寬需求，從而可以為主干網(wǎng)鏈路級(jí)別的選擇提供依據(jù)：場(chǎng)館上行帶寬需求；Internet出口帶寬需求。1.7 場(chǎng)館上行帶寬需求分析：體育館競(jìng)賽中心分為三個(gè)級(jí)別，帶寬估算由如下部分組成： （1）賽事管理業(yè)務(wù)流量。該系統(tǒng)包括4個(gè)子系統(tǒng)，但我們假定一個(gè)用戶在一個(gè)時(shí)刻只會(huì)使用其中的一個(gè)子系統(tǒng)。根據(jù)應(yīng)用設(shè)計(jì)的需求，無(wú)論哪個(gè)子系統(tǒng)，每次查詢的數(shù)據(jù)量為100KB。由于采用B/S結(jié)構(gòu)，HTML/XML的標(biāo)簽開銷很大。為了保證使用者的正?？焖偈褂?，這些數(shù)據(jù)需要在小于0.5秒的時(shí)間傳輸完畢，因此

8、每個(gè)終端使用相關(guān)業(yè)務(wù)的帶寬需求為： 0.1MB * 8b/B * 4 / 0.5s = 6.4Mbps （2）上網(wǎng)和收發(fā)的流量：按照一般寬帶應(yīng)用需求計(jì)算為2Mbps，并在接入交換機(jī)上做相應(yīng)的帶寬限制確保單用戶流量不超過該數(shù)值。 （3）資料下載的流量：按照一般E-Learning的帶寬需求計(jì)算為4Mbps，并在接入交換機(jī)上做相應(yīng)的帶寬限制確保單用戶流量不超過該數(shù)值。 上述3個(gè)部分的流量為工作人員產(chǎn)生的流量，并且可能是同時(shí)發(fā)生的。據(jù)調(diào)查，場(chǎng)館有50個(gè)工作人員需要同時(shí)使用計(jì)算機(jī)網(wǎng)絡(luò)。根據(jù)場(chǎng)館網(wǎng)絡(luò)應(yīng)用的需求特征，我們對(duì)上述三種流量的忙時(shí)集中系數(shù)分別賦予0.5、0.3、0.2，則由于工作人員的需要產(chǎn)生的

9、每個(gè)場(chǎng)館流量的上行流量為： （6.4*0.5 + 2*0.3 + 4*0.2 ）* 50 = 230（Mbps）視頻監(jiān)控帶寬：場(chǎng)館使用4個(gè)高清攝像頭，帶寬為： 4*8=32（Mbps）。賽事專網(wǎng)：因?yàn)橘愂聰?shù)據(jù)的傳遞要求有一個(gè)快速、高效的承載網(wǎng)絡(luò)。每組數(shù)據(jù)的傳遞應(yīng)該在0.1秒完成，這樣才能保證經(jīng)過服務(wù)器處理與經(jīng)過轉(zhuǎn)發(fā)到官方和處理后，可以在小于一秒的時(shí)間具備向媒體和用戶發(fā)布即時(shí)比賽成績(jī)的能力。使用戶在網(wǎng)上觀看到的數(shù)據(jù)更新與視頻直播之間不會(huì)產(chǎn)生人能感知的明顯時(shí)間差異。因?yàn)槊織l信息的數(shù)據(jù)量大約是1KB。每個(gè)XML文件包括多條信息，按照每個(gè)XML文件10KB計(jì)算。一次比賽結(jié)果上傳需要傳遞XML文件包括：

10、名次公告、每個(gè)運(yùn)動(dòng)員的成績(jī)、技術(shù)統(tǒng)計(jì)信息、積分計(jì)算、犯規(guī)信息、輪次晉級(jí)等等，這些信息需要上傳到數(shù)據(jù)中心，經(jīng)過處理與時(shí)發(fā)布到信息網(wǎng)上，并進(jìn)一步發(fā)布到網(wǎng)絡(luò)媒體上供查詢或滾動(dòng)播出。賽事專網(wǎng)有8種需要立即上傳的數(shù)據(jù)，其中，技術(shù)統(tǒng)計(jì)信息包含的數(shù)據(jù)比較多，應(yīng)按5倍計(jì)算，則一共相當(dāng)于共計(jì)12個(gè)10KB的XML文件。所以，一次發(fā)布的總數(shù)據(jù)量（含開銷）大約為： 12 * 10 KB = 120KB。根據(jù)上述分析，為保證足夠快速地將比賽成績(jī)與相關(guān)信息上報(bào)，需要保留的帶寬需求估算為： (120KB * 8b/B) / 0.1s = 9.6Mbps 此外，考慮到還有一些未盡的因素以與作為重大賽事網(wǎng)的重要性，帶寬需要一

11、定的冗余設(shè)計(jì)。根據(jù)已有賽事網(wǎng)的經(jīng)驗(yàn)，一般設(shè)帶寬冗余系數(shù)為1.5。因此上述三個(gè)方面的的帶寬分別為：用戶應(yīng)用帶寬應(yīng)為：230*1.5=345（Mbps）視頻監(jiān)控帶寬應(yīng)為：32*1.5=48（Mbps），賽事專網(wǎng)帶寬應(yīng)為：9.6*1.5=14.4根據(jù)這些條件，計(jì)算得到場(chǎng)館上行總帶寬需求為：中心場(chǎng)館：345+ 48 + 14.4= 407.4（Mbps），因此，總體上場(chǎng)館上行的帶寬需求為千兆以太網(wǎng)級(jí)別。1.8 體育館競(jìng)賽中心Internet出口帶寬需求分析：流量中的一部分為Internet流量。每個(gè)用戶的Internet帶寬為2Mbps，每場(chǎng)館40個(gè)用戶，總的Internet出口帶寬需求為： 2Mbp

12、s * 40 * = 80 Mbps由于Internet帶寬不是賽事最關(guān)鍵的流量，選用百兆級(jí)帶寬出口即可，并使用流量控制設(shè)備，對(duì)不必要的流量和可能出現(xiàn)的擁塞進(jìn)行控制，以保證最基本的功能如收發(fā)等工作的正常進(jìn)行。1.9 設(shè)計(jì)原則：根據(jù)體育館的通信和信息系統(tǒng)建設(shè)指導(dǎo)性綱領(lǐng)“安全、可靠、實(shí)用、先進(jìn)、經(jīng)濟(jì)”的定位，并根據(jù)上述應(yīng)用需求的分析，尤其是關(guān)于需求特點(diǎn)的分析，我們認(rèn)為體育館平臺(tái)的設(shè)計(jì)和建設(shè)，應(yīng)該遵循以下一些原則：連通性與安全性并重的原則，冗余性與經(jīng)濟(jì)性平衡的原則，成熟性與穩(wěn)定性優(yōu)先的原則，可管理、靈活易維護(hù)的原則。1.9.1 連通性與安全性并重的原則有：多數(shù)節(jié)點(diǎn)布置的防火墻以透明防火墻為主，不割裂

13、網(wǎng)絡(luò)；安全性設(shè)計(jì)以預(yù)防DoS攻擊為最主要的任務(wù)，確保網(wǎng)絡(luò)暢通；在網(wǎng)絡(luò)中以并聯(lián)方式使用IDS、與流量分析設(shè)備，以便預(yù)防和與早發(fā)現(xiàn)問題，而不形成瓶頸；總之，要確保網(wǎng)絡(luò)既安全又可靠的運(yùn)行。1.9.2 冗余性與經(jīng)濟(jì)性平衡的原則有：鏈路冗余：除了臨時(shí)布線網(wǎng)絡(luò)以外的部分均采用雙鏈路；設(shè)備冗余：主干網(wǎng)絡(luò)部分（包括接入層交換機(jī)和匯聚層交換機(jī)）使用雙設(shè)備；同時(shí)，本網(wǎng)的設(shè)計(jì)還須考慮經(jīng)濟(jì)性原則。1.9.3 成熟性與穩(wěn)定性優(yōu)先的原則：要的復(fù)雜功能或新功能，盡可能避免潛在的、甚至不可預(yù)知的問題。1.9.4 可管理、靈活易維護(hù)的原則：網(wǎng)絡(luò)還應(yīng)該具備靈活機(jī)動(dòng)、快速安裝、快速調(diào)整的特點(diǎn)，以便滿足臨時(shí)布線布網(wǎng)、故障設(shè)備快速更換

14、的要求。根據(jù)上述原則，并進(jìn)一步結(jié)合對(duì)需求的分析中指出本項(xiàng)目網(wǎng)絡(luò)流量結(jié)構(gòu)清晰、路由表結(jié)構(gòu)簡(jiǎn)單，因此，本項(xiàng)目主體網(wǎng)絡(luò)設(shè)備不需要采用路由功能和MPLS等其它功能非常強(qiáng)大的高端路由器，而是采用具有高轉(zhuǎn)發(fā)性能和一定路由功能的路由式交換機(jī)，既成熟可靠、高速高效，又經(jīng)濟(jì)實(shí)用、維護(hù)便捷。總之，穩(wěn)定可靠、通暢安全、確保賽事運(yùn)行，是體育競(jìng)賽網(wǎng)絡(luò)平臺(tái)壓倒一切的要求。第二章 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)2.1.體育館接入層：經(jīng)調(diào)查一共有85左右的信息點(diǎn)，體育館需要7臺(tái)RG-S3760-24、固化24個(gè)10/100Mbps電口、4個(gè)千兆光電復(fù)用端口作為接入層交換機(jī)。還有兩臺(tái)5750匯聚交換機(jī)RG-S5750-24GT、固化12個(gè)千兆電

15、口、12個(gè)千兆光電復(fù)用端口、2個(gè)擴(kuò)展插槽、五臺(tái)服務(wù)器、兩臺(tái)防火墻。2.1.1場(chǎng)館拓?fù)浣榻B：場(chǎng)館采用兩臺(tái)中心機(jī)房交換機(jī)，負(fù)責(zé)本場(chǎng)館的數(shù)據(jù)轉(zhuǎn)發(fā)核心。場(chǎng)館中心機(jī)房交換機(jī)上聯(lián)到中間鏈路上聯(lián)到電信，中間各安置一臺(tái)防火墻作為數(shù)據(jù)流的訪問控制。場(chǎng)館中心機(jī)房交換機(jī)下聯(lián)分為如下四個(gè)模塊： 1.樓道交換機(jī)：負(fù)責(zé)場(chǎng)館辦公與技術(shù)網(wǎng)絡(luò)和賽事成績(jī)與其他他信息PC的接入； 2.服務(wù)器交換機(jī) ：包括FTP、WWW、DNS服務(wù)器與審計(jì)交換機(jī)和檢錯(cuò)交換機(jī)； 3.場(chǎng)的臨時(shí)交換機(jī)：在臨時(shí)需要接入信息點(diǎn)時(shí)，可以在場(chǎng)部署臨時(shí)交換機(jī)，臨時(shí)交換機(jī)與場(chǎng)館中心機(jī)房交換機(jī)的連接屬于按需連接方式。為滿足標(biāo)準(zhǔn)化、規(guī)化的要求，計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備有一定的命名

16、規(guī)要求：設(shè)備命名分別為：RG_A1、RG_A2為匯聚層中心主設(shè)備的名稱。RG_B1、.RG_B7為樓道接入層設(shè)備名稱。RG_F1、RG_F2為防火墻設(shè)備名稱。2.2. VLAN劃分規(guī)：2.2.1 VLAN劃分說明：按照體育館的業(yè)務(wù)要求，合理地對(duì)不同的業(yè)務(wù)劃分VLAN,有利于業(yè)務(wù)之間的的隔離、縮小廣播域、并對(duì)IP地址規(guī)劃和QoS、安全設(shè)計(jì)等有直接的支持作用。劃分原則：把功能（應(yīng)用）相近的設(shè)備群組（端口）劃分到同一VLAN，將不同性質(zhì)的設(shè)備（端口）劃分到不同VLAN。各VLAN成員之間不能直接訪問，不同VLAN之間的流量必須經(jīng)過路由。在辦公網(wǎng)現(xiàn)有規(guī)劃的基礎(chǔ)上，進(jìn)行VLAN的設(shè)計(jì)與劃分，如下：賽事專

17、網(wǎng)：VLAN 10；技術(shù)部門：VLAN 11；辦公新聞官員服務(wù)：VLAN 12；詳見附頁(yè)：Excel文檔：中心交換機(jī)，信息點(diǎn)IP地址與VLAN劃分表。 2.3 IP地址規(guī)：由于市體育館使用的網(wǎng)絡(luò)比較小，所以采用C類保留網(wǎng)段，55的255個(gè)C類地址，并通過適當(dāng)?shù)囊?guī)劃區(qū)分物理位置和業(yè)務(wù)。詳見附表。 2.4 生成樹設(shè)計(jì)實(shí)現(xiàn)：1.生成樹協(xié)議統(tǒng)一使用MSTP。2.如涉與到兩臺(tái)場(chǎng)館中心交換機(jī)，統(tǒng)一設(shè)置01號(hào)設(shè)備為主根設(shè)備，02號(hào)設(shè)備為備根設(shè)備。3.對(duì)于接PC或者服務(wù)器的D/E設(shè)備端口，接入端口配置portfast、bpduguard。4-開啟TPP功能，防止

18、由于CPU利用率過高時(shí)導(dǎo)致拓?fù)湔鹗帯?.4.1 生成樹配置： 以正式比賽場(chǎng)館為模板進(jìn)行配置規(guī)：RG-A1：Ruijie(config)#spanning-treeRuijie(config)#spanning-tree mode MSTPRuijie(config)#spanning-tree mst 0 priority 4096 /配置生成樹，模式MSTP，優(yōu)先級(jí)4096cpu topology-limit 60 /設(shè)置CPU利用率閥值為60，推薦值為50-70cpu-pro typ arp pps 1000 /配置arp報(bào)文的帶寬為1000ppscpu-pr typ arp pri 4

19、/配置arp報(bào)文的優(yōu)先級(jí)為4，數(shù)值越高，優(yōu)先級(jí)越高cpu-pr typ vrrp pps 800 /配置VRRP報(bào)文的帶寬為800ppscpu-pr typ crrp pri 7 /配置VRRP報(bào)文的優(yōu)先級(jí)為7spanning-tree tc-protection /打開全局tc-protection，防止TC BPDU報(bào)文的大量攻擊int rang gi 0/1-4，0/11 /配置進(jìn)入多個(gè)接口switch mode trunk /配置接口為trunktp-guard port enable /如果設(shè)備支持TPP，則在端口上開啟TPP功能，即配置 tp-guard port enable命令

20、，當(dāng)設(shè)備cpu利用率超過60 時(shí)，會(huì)保持拓?fù)渲蠱STP和VRRP狀態(tài)不變，防止拓?fù)浒l(fā)生振蕩。RG-A2：Ruijie(config)#spanning-treeRuijie(config)#spanning-tree mode MSTPRuijie(config)#spanning-tree mst 0 priority 8192 /配置生成樹，模式MSTP，優(yōu)先級(jí)8192cpu topology-limit 60 /設(shè)置CPU利用率閥值為60，推薦值為50-70cpu-pro typ arp pps 1000 /配置arp報(bào)文的帶寬為1000ppscpu-pr typ arp pri 4 /

21、配置arp報(bào)文的優(yōu)先級(jí)為4，數(shù)值越高，優(yōu)先級(jí)越高cpu-pr typ vrrp pps 800 /配置VRRP報(bào)文的帶寬為800ppscpu-pr typ crrp pri 7 /配置VRRP報(bào)文的優(yōu)先級(jí)為7spanning-tree tc-protection /打開全局tc-protection，防止TC BPDU報(bào)文的大量攻擊int rang gi 0/1-4，0/11 /配置進(jìn)入多個(gè)接口switch mode trunk /配置接口為trunktp-guard port enable /如果設(shè)備支持TPP，則在端口上開啟TPP功能，即配置 tp-guard port enable命令，

22、當(dāng)設(shè)備cpu利用率超過60時(shí)， 會(huì)保持拓?fù)渲蠱STP和VRRP狀態(tài)不變，防止拓?fù)浒l(fā)生振蕩RS-B1：Ruijie(config)#spanning-treeRuijie(config)#spanning-tree mode MSTP /配置生成樹，模式MSTPRuijie(config)#interface fastethernet 0/1 /連接終端的接口Ruijie(config-if)#spanning-tree portfastRuijie(config-if)#spanning-tree bpduguard enableexitRuijie(config)#error-recover

23、y interval 60 /配置自動(dòng)恢復(fù)時(shí)間為60秒cpu topology-limit 60 /設(shè)置CPU利用率閥值為60，推薦值為50-70cpu-pro typ bpdu pri 6 /配置bpdu報(bào)文的優(yōu)先級(jí)為4spanning-tree tc-protection /打開全局tc-protection，防止TC BPDU報(bào)文的大量攻擊int rang gi 0/23-24 /配置進(jìn)入多個(gè)接口switch mode trunk /配置接口為trunktp-guard port enable /如果設(shè)備支持TPP，則在端口上開啟TPP功能，即配置 tp-guard port enabl

24、e命令，當(dāng)設(shè)備cpu利用率超過60時(shí)， 會(huì)保持拓?fù)渲蠱STP和VRRP狀態(tài)不變，防止拓?fù)浒l(fā)生振蕩 2.5 VRRP設(shè)計(jì)： 2.5.1 VRRP設(shè)計(jì)實(shí)現(xiàn)：1、VRRP的主備設(shè)置：統(tǒng)一設(shè)置奇數(shù)序號(hào)設(shè)備為VRRP主設(shè)備，偶數(shù)序號(hào)設(shè)備為VRRP備設(shè)備，保證VRRP主設(shè)備同生成樹的根保持一致。2、為了防止VRRP頻繁切換，VRRP的主設(shè)備啟用搶占延時(shí)，搶占延時(shí)為10秒。3、為了防止非法的VRRP設(shè)備接入，VRRP的兩端開啟認(rèn)證，增強(qiáng)網(wǎng)絡(luò)的安全性。 2.5.2 VRRP配置：RS-A1，X為奇數(shù)作為VRRP的主設(shè)備， X為偶數(shù)作為VRRP的備設(shè)備RS-A1：Ruijie(config)#interface

25、 vlan X /進(jìn)入特定的接口，服務(wù)器VLANRuijie(config-if-VLAN 1)#vrrp 1 ip x.x.x.254 /配置特定的組和虛擬網(wǎng)關(guān)地址Ruijie(config-if-VLAN 1)vrrp 1 priority 150 /配置特定組的優(yōu)先級(jí)Ruijie(config-if-VLAN 1)#vrrp 1 preempt delay 120 /處于備份狀態(tài)的VRRP路由設(shè)備準(zhǔn)備宣告自己擁有Master 身份之前的延遲120秒防止VRRP震蕩RS-A2：Ruijie(config)#interface vlan X /進(jìn)入特定的接口，服務(wù)器VLANRuijie(co

26、nfig-if-VLAN1)#vrrp 1 ip x.x.x.254 /配置特定的組和虛擬網(wǎng)關(guān)地址備注：所有服務(wù)器的網(wǎng)關(guān)均設(shè)置為X.X.X.254，也就是VRRP組的虛擬IP地址為X.X.X.254虛擬路由器冗余協(xié)議（VRRP）是一種選擇協(xié)議，它可以把一個(gè)虛擬路由器的責(zé)任動(dòng)態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺(tái)。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器，它負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動(dòng)態(tài)的故障轉(zhuǎn)移機(jī)制，這就允許虛擬路由器的 IP 地址可以作為終端主機(jī)的默認(rèn)第一跳路由器。使用 VRRP 的好處是有更高的默認(rèn)路徑的可用性而無(wú)

27、需在每個(gè)終端主機(jī)上配置動(dòng)態(tài)路由或路由發(fā)現(xiàn)協(xié)議，同時(shí)VRRP的主備切換對(duì)于終端來說是透明的。網(wǎng)絡(luò)正常情況下，終端的網(wǎng)關(guān)在VRRP主設(shè)備，通過VRRP主設(shè)備訪問外部網(wǎng)絡(luò)資源；故障情況下：1. 當(dāng)01號(hào)線路的線路出現(xiàn)故障，由于VRRP開啟了track功能，此時(shí)VRRP的虛擬網(wǎng)關(guān)切換至VRRP備設(shè)備，終端通過VRRP主設(shè)備訪問外部網(wǎng)絡(luò)資源；2. 當(dāng)02號(hào)線路的線路出現(xiàn)故障，對(duì)網(wǎng)絡(luò)沒有任何影響，終端通過VRRP主設(shè)備訪問外部網(wǎng)絡(luò)資源；3. 當(dāng)03號(hào)線路的線路出現(xiàn)故障，VRRP主備設(shè)備不切換，虛擬網(wǎng)關(guān)地址在VRRP主，終端通過VRRP主設(shè)備訪問外部網(wǎng)絡(luò)資源。第三章 網(wǎng)絡(luò)安全實(shí)施規(guī) 3.1 CPU保護(hù)安全：

28、在網(wǎng)絡(luò)環(huán)境中經(jīng)常發(fā)現(xiàn)一些惡意的攻擊，這些攻擊會(huì)給交換機(jī)帶來過重的負(fù)擔(dān)。有時(shí)當(dāng)網(wǎng)絡(luò)中的管理報(bào)文超過了交換機(jī)所能負(fù)荷的能力，這些都會(huì)造成交換機(jī)CPU 利用率過高，導(dǎo)致交換機(jī)無(wú)常運(yùn)行。通過部署網(wǎng)絡(luò)設(shè)備相應(yīng)的CPU保護(hù)的功能，區(qū)分不同的CPU處理報(bào)文的隊(duì)列以與優(yōu)先級(jí)、送CPU處理的報(bào)文速率，用以減輕交換機(jī)CPU 負(fù)擔(dān)，保護(hù)交換機(jī)的正常處理能力。當(dāng)設(shè)備受到攻擊時(shí)，設(shè)備的CLI （Command Line Interface）管理界面仍可進(jìn)行正常的管理操作，不會(huì)導(dǎo)致CPU 利用率過高，設(shè)備對(duì)收到的其他協(xié)議報(bào)文仍可以被交換機(jī)與時(shí)處理。 3.1.1 CPU保護(hù)配置規(guī)：cpu-protect type bpdu

29、 pri 6cpu-protect type arp pps 1000cpu-protect type arp pri 4cpu-protect type ospf pps 400cpu-protect type ospf pri 5cpu-protect type vrrp pps 800cpu-protect type vrrp pri 7 3.2 風(fēng)暴控制設(shè)計(jì)： 3.2.1 風(fēng)暴控制設(shè)計(jì)實(shí)現(xiàn)：當(dāng)LAN中存在過量的廣播、多播或未知播包時(shí)，就會(huì)導(dǎo)致網(wǎng)絡(luò)變慢和報(bào)文傳輸超時(shí)幾率大大增加。這種情況就是LAN風(fēng)暴。協(xié)議棧的執(zhí)行錯(cuò)誤或?qū)W(wǎng)絡(luò)的錯(cuò)誤配置都有可能導(dǎo)致風(fēng)暴的產(chǎn)生。我們分別針對(duì)廣播、多播和未知

30、播數(shù)據(jù)流進(jìn)行風(fēng)暴控制。當(dāng)接口接收到的廣播、多播或未知播包的速率超過所設(shè)定的閥值時(shí)，設(shè)備將只允許通過所設(shè)定閥值帶寬的報(bào)文，超出閥值部分的報(bào)文將被丟棄，直到數(shù)據(jù)流恢復(fù)正常，從而避免過量的泛洪報(bào)文進(jìn)入LAN中形成風(fēng)暴。 3.2.2 風(fēng)暴控制配置規(guī)：在體育館樓道交換機(jī)上配置Ruijie(config)#interface fastethernet 0/1Ruijie(config-if)#storm-control broadcastRuijie(config-if)#storm-control uncast /針對(duì)需要開啟的端口，進(jìn)行廣播、未知播的速率限制3.3 防ARP欺騙： 3.3.1 防ARP

31、欺騙設(shè)計(jì)實(shí)現(xiàn)：局域網(wǎng)中的ARP攻擊主要是針對(duì)網(wǎng)關(guān)進(jìn)行欺騙，一般是通過在LAN中洪泛非法的sender位為網(wǎng)關(guān)IP的ARP報(bào)文實(shí)現(xiàn)對(duì)正常用戶的欺騙，導(dǎo)致正常用戶無(wú)法上網(wǎng)，或者實(shí)現(xiàn)“中間者攻擊”，通過在接入層交換機(jī)上使能anti-arp-spoofing功能可以對(duì)ARP網(wǎng)關(guān)欺騙進(jìn)行防。 3.3.2 防ARP欺騙配置規(guī)：Ruijie（config）#interface fastethernet 0/1Ruijie（config-if）#anti-arp-spoofing ip x.x.x.x /指定本端口的網(wǎng)關(guān)IP地址 3.4 防非法dhcp欺騙：用戶可能通過dhcp方式獲取ip地址，為了防止體育館

32、存在用戶采用dhcp方式進(jìn)行欺騙，通過在接入層交換機(jī)上開啟dhcp-snooping功能來預(yù)防此類欺騙。 3.4.1 防dhcp欺騙配置規(guī)：Ruijie（config）#ip dhcp snoopingRuijie（config-if）#ip dhcp snooping trust/指定交換機(jī)上聯(lián)端口為可信任第四章設(shè)備配置文件 4.1 場(chǎng)館中心交換機(jī)（RS-A1）配置：配置命令如下：RG_A1的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/0 -7switchport mode tr

33、unkno shutint f0/1ip add no shutInt f0/2Ip add no shutint f0/3ip add no shutInt f0/4Ip add no shutInt f0/5Ip add no shutint f0/6ip add no shutin

34、t f0/7ip add no shutexitwrRG_A2的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan12exitconf teint range f0/0 -7switchport mode trunkno shutint f0/1ip add no shutInt f0/2Ip add no shutint f0/3ip add 255.255.

35、255.0no shutInt f0/4Ip add no shutInt f0/5Ip add no shutint f0/6ip add no shutint f0/7ip add no shutexitwrRG_B1的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitcofn teint range f0/1 -2s

36、witchport access vlan 12int range f0/3 -8switchport access vlan 11int range f0/9 -13switchport access vlan 12exitint range f0/14 -15switchport mode trunkno shutint f0/1ip add no shutInt f0/2Ip add no shutint f0/3ip add no

37、shutInt f0/4Ip add no shutInt f0/5Ip add no shutint f0/6ip add no shutint f0/7ip add no shutint f0/8ip add .no shutint f0/9ip add no shutInt f0/1

38、0Ip add no shutint f0/11ip add no shutInt f0/12Ip add no shutInt f0/13Ip add no shutexitwrRG_B2的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/1 -9switchport access

39、 vlan 12int range f0/14 -15switchport mode trunkno shutint f0/1ip add 1 no shutInt f0/2Ip add 2 no shutint f0/3ip add 3 no shutInt f0/4Ip add 4 no shutInt f0/5Ip add 5 no shut

40、int f0/6ip add 6 no shutint f0/7ip add 7 no shutint f0/8ip add 55.0no shutint f0/9ip add 9 no shutInt f0/10Ip add no shutint f0/11ip add no shutInt f0

41、/12Ip add no shutInt f0/13Ip add 0 no shutexitwrRG_B3配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/1 -4switchport access vlan 11int range f0/5 -6switchport access vlan 12int range f0/7 -9switchport access vlan 11int

42、range f0/10 -13switchport access vlan 12int range f0/14 -15switchport mode trunkno shutint f0/1ip add 4 no shutint f0/2ip add 55.0no shutint f0/3ip add 6 no shutInt f0/4Ip add 7 no shutint f0/5ip add 19

43、0 no shutInt f0/6Ip add 1 no shutint f0/7ip add 8 no shutint f0/8ip add 55.0no shutint f0/9ip add 0 no shutInt f0/10Ip add 2 no shutint f0/11ip add 192.16

44、8.55.23 no shutInt f0/12Ip add 4 no shutInt f0/13Ip add 5 no shutextiwrRG_B4的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/1 -6switchport access vlan 10int range f0/14 -15switchport mode trunkno shutint f

45、0/1ip add no shutint f0/2ip add .no shutint f0/3ip add no shutInt f0/4Ip add no shutint f0/5ip add no shutInt f0/6Ip add no shutexitwrRG_B5enavla

46、n dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/1 -13switchport access vlan 10int range f0/14 -15switchport mode trunkno shutint f0/1ip add no shutint f0/2ip add no shutint f0/3ip add no shutInt f0/4Ip

47、add 0 no shutint f0/5ip add 1 no shutInt f0/6Ip add 2 no shutint f0/7ip add 3 no shutint f0/8ip add 4 no shutint f0/9ip add 5 no shutInt f0/10Ip add 6 no shutint f0/11ip add 7 no shutInt f0/12Ip add 8 no