網(wǎng)絡(luò)技術(shù)建議書

1、網(wǎng)絡(luò)技術(shù)建議書HUAWEI華為技術(shù)有限公司2014年10月 TOC o 1-5 h z HYPERLINK l bookmark35 o Current Document 總體系統(tǒng)規(guī)劃3系統(tǒng)設(shè)計原則3網(wǎng)絡(luò)設(shè)計概述4總體網(wǎng)絡(luò)邏輯架構(gòu)4 HYPERLINK l bookmark39 o Current Document 網(wǎng)絡(luò)架構(gòu)設(shè)計5互聯(lián)區(qū)網(wǎng)絡(luò)規(guī)劃5物理組網(wǎng)規(guī)劃概述5 HYPERLINK l bookmark45 o Current Document Internet 互聯(lián).5 HYPERLINK l bookmark49 o Current Document VLAN 規(guī)劃5 HYPERLINK

2、 l bookmark53 o Current Document VLAN 概述5 HYPERLINK l bookmark57 o Current Document VLAN功能劃分6 HYPERLINK l bookmark73 o Current Document VLAN 規(guī)劃原則1 6 HYPERLINK l bookmark86 o Current Document VLAN規(guī)劃建議7 HYPERLINK l bookmark108 o Current Document IP規(guī)劃7 HYPERLINK l bookmark113 o Current Document IP地址規(guī)劃原

3、則 8 HYPERLINK l bookmark129 o Current Document DHCP規(guī)劃建議9 HYPERLINK l bookmark151 o Current Document DNS 規(guī)劃9可靠性規(guī)劃10設(shè)備可靠性10網(wǎng)絡(luò)可靠性11安全設(shè)計11 HYPERLINK l bookmark172 o Current Document 安全概述11網(wǎng)絡(luò)安全規(guī)劃12邊界安全規(guī)劃17總體系統(tǒng)規(guī)劃1.1.系統(tǒng)設(shè)計原則計算機網(wǎng)絡(luò)系統(tǒng)，通過承載企業(yè)的多種業(yè)務(wù)，形成一個園區(qū)網(wǎng)絡(luò)。園區(qū)網(wǎng)絡(luò) 設(shè)計必須適應(yīng)當(dāng)前信息化各項應(yīng)用，又可面向未來信息化發(fā)展的需要，因此必須 是高質(zhì)量的。園區(qū)網(wǎng)通常是一種

4、用戶高密度的非運營網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的 終端和用戶。同時對于園區(qū)網(wǎng)而言，注重的是網(wǎng)絡(luò)的簡單可靠、易部署、易維護。 因此在園區(qū)網(wǎng)中，拓?fù)浣Y(jié)構(gòu)通常以星型結(jié)構(gòu)為主，較少使用環(huán)網(wǎng)結(jié)構(gòu)（環(huán)網(wǎng)結(jié)構(gòu) 較多的運用在運營商的城域網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)中，可以節(jié)約光纖資源）?；谛切徒Y(jié)構(gòu)的園區(qū)網(wǎng)設(shè)計，通常遵循如下原則：層次化將園區(qū)網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易 于擴展和維護。模塊化將園區(qū)網(wǎng)絡(luò)中的每個部門或者每個功能區(qū)劃分為一個模塊，模塊內(nèi)部的調(diào)整 涉及范圍小，易于進行問題定位。冗余性關(guān)鍵設(shè)備采用雙節(jié)點冗余設(shè)計；關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載 分擔(dān);關(guān)鍵設(shè)備的電源、主控

5、板等關(guān)鍵部件冗余備份。提高了整個網(wǎng)絡(luò)的可靠性。 安全隔離園區(qū)網(wǎng)絡(luò)應(yīng)具備有效的安全控制。在園區(qū)網(wǎng)絡(luò)出口處部署防火墻，既可按業(yè) 務(wù)、按權(quán)限進行分區(qū)邏輯隔離，又對園區(qū)內(nèi)部網(wǎng)絡(luò)起到重要的保護作用?？晒芾硇院涂删S護性網(wǎng)絡(luò)應(yīng)當(dāng)具有良好的可管理性。為了便于維護，應(yīng)盡可能選取集成度高、模 塊可通用的產(chǎn)品。1.2.網(wǎng)絡(luò)設(shè)計概述根據(jù)遂寧應(yīng)急辦辦公樓網(wǎng)絡(luò)應(yīng)用及業(yè)務(wù)特點，特把遂寧應(yīng)急辦辦公樓辦公網(wǎng) 絡(luò)物理分成內(nèi)部、外部兩大區(qū)域。其中，園區(qū)內(nèi)部，指遂寧應(yīng)急辦辦公大樓范圍 內(nèi)的計算機局域網(wǎng)網(wǎng)絡(luò)。外部，指Internet及政法內(nèi)網(wǎng)等。根據(jù)遂寧應(yīng)急辦辦公樓網(wǎng)絡(luò)物理硬件劃分，則分為互聯(lián)網(wǎng)絡(luò)及政務(wù)內(nèi)網(wǎng)，兩 張網(wǎng)絡(luò)。1.3 .總體

6、網(wǎng)絡(luò)邏輯架構(gòu)園區(qū)網(wǎng)絡(luò)的邏輯架構(gòu)包括五大部分。應(yīng)用層包含園區(qū)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機、傳真、SIP話 機、視頻設(shè)備等等。接入層負(fù)責(zé)將各種終端接入到園區(qū)網(wǎng)絡(luò)，通常由以太網(wǎng)交換機組成。對于某些終端， 可能還要增加特定的接入設(shè)備，例如無線接入的AP設(shè)備等。接入層交換機，通 常部署在樓層配線間。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴展 核心層接入用戶的數(shù)量。匯聚層通常還作為用戶三層網(wǎng)關(guān)，承擔(dān)L2/L3邊緣設(shè)備 的角色，提供用戶管理、安全管理、QoS (QualityofService)調(diào)度等各項跟用戶 和業(yè)務(wù)相關(guān)的處理。匯聚層交換機，通常部署在樓宇設(shè)

7、備間。 核心層核心層負(fù)責(zé)整個園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要 實現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。園區(qū)出口園區(qū)出口是園區(qū)網(wǎng)絡(luò)到外部公網(wǎng)的邊界，園區(qū)網(wǎng)的內(nèi)部用戶通過邊緣網(wǎng)絡(luò)接 入到公網(wǎng)，外部用戶(包括分支機構(gòu)、遠(yuǎn)程用戶等)也通過邊緣網(wǎng)絡(luò)接入到內(nèi)部 網(wǎng)絡(luò)。網(wǎng)絡(luò)架構(gòu)設(shè)計互聯(lián)區(qū)網(wǎng)絡(luò)規(guī)劃物理組網(wǎng)規(guī)劃概述出催脂InternetsInternet互聯(lián)區(qū)中主要設(shè)備為出口防火墻。其中出口防火墻具備包括防火墻 和IPS兩項功能。入侵檢測系統(tǒng)IPS對摻雜在應(yīng)用數(shù)據(jù)流中的惡意代碼、攻擊行為、DDOS 攻擊等進行偵測，并實時進行響應(yīng)。防火墻在網(wǎng)絡(luò)層面，過濾非法流量、抵御外部的攻擊，保護內(nèi)部資源。

8、防火墻和IPS本身都是重要的網(wǎng)絡(luò)設(shè)備，而且其位置一般都是作為網(wǎng)絡(luò)的出 口。其位置和功能決定了防火墻和IPS設(shè)備應(yīng)該具有非常高的可靠性。VLAN 規(guī)劃VLAN概述VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個個網(wǎng)段，從而實 2015-03-10HUAWEI ConfidentialPage5, Total18現(xiàn)在一個LAN內(nèi)隔離廣播域的技術(shù)。當(dāng)網(wǎng)絡(luò)規(guī)模越來越龐大時，局部網(wǎng)絡(luò)出現(xiàn) 的故障會影響到整個網(wǎng)絡(luò)，VLAN的出現(xiàn)可以將網(wǎng)絡(luò)故障限制在VLAN范圍內(nèi)， 增強了網(wǎng)絡(luò)的健壯性。VLAN功能劃分用戶 VLAN用戶VLAN即普通VLAN，也就是我們?nèi)粘Ｋf的VLAN，是用來對不同 端口進行隔離的

9、一種手段。VLAN通常根據(jù)業(yè)務(wù)需要進行規(guī)劃，需要隔離的端口 配置不同的VLAN，需要防止廣播域過大的地方配置VLAN用于減小廣播域。VLAN最好不要跨交換機，即使跨交換機，數(shù)目也需要限制。Voice VLANVoice VLAN是為用戶的語音數(shù)據(jù)流劃分的VLAN，用戶通過創(chuàng)建Voice VLAN并將連接語音設(shè)備的端口加入Voice VLAN，可以使語音數(shù)據(jù)集中在Voice VLAN中進行傳輸，便于對語音流進行有針對性的QoS配置，提高語音流量的 傳輸優(yōu)先級，保證通話質(zhì)量。Guest VLAN網(wǎng)絡(luò)中用戶在通過802.1x等認(rèn)證之前接入設(shè)備會把該端口加入到一個特定 的VLAN（艮口 Guest V

10、LAN），用戶訪問該VLAN內(nèi)的資源不需要認(rèn)證，只能訪 問有限的網(wǎng)絡(luò)資源。用戶從處于Guest VLAN的服務(wù)器上可以獲取802.1x客戶端 軟件，升級客戶端或執(zhí)行其他應(yīng)用升級程序（例如：防病毒軟件、操作系統(tǒng)補丁 程序等）。認(rèn)證成功后，端口離開Guest VLAN加入用戶VLAN，用戶可以訪問 其特定的網(wǎng)絡(luò)資源。VLAN規(guī)劃原則一個二層網(wǎng)絡(luò)規(guī)劃的基本原則：區(qū)分業(yè)務(wù)VLAN、管理VLAN和互聯(lián)VLAN按照業(yè)務(wù)區(qū)域劃分不同的VLAN同一業(yè)務(wù)區(qū)域按照具體的業(yè)務(wù)類型（如：Web、APP、DB）劃分不同的VLAN VLAN需連續(xù)分配，以保證VLAN資源合理利用預(yù)留一定數(shù)目VLAN方便后續(xù)擴展VLAN規(guī)劃

11、建議VLAN根據(jù)多種原則組合劃分。按照邏輯區(qū)域劃分VLAN范圍：例如：核心網(wǎng)絡(luò)區(qū)：100199服務(wù)器區(qū)：200999,預(yù)留10001999接入網(wǎng)絡(luò)：20003499業(yè)務(wù)網(wǎng)絡(luò)：35003999按照地理區(qū)域劃分VLAN范圍例如：接入網(wǎng)絡(luò)A的地理區(qū)域使用20002199接入網(wǎng)絡(luò)B的地理區(qū)域使用22002399按照人員結(jié)構(gòu)劃分VLAN范圍例如：接入網(wǎng)絡(luò)A地理區(qū)域A部門使用20002009接入網(wǎng)絡(luò)A地理區(qū)域B部門使用20102019按照業(yè)務(wù)功能劃分VLAN范圍例如：Web服務(wù)器區(qū)域：200299APP服務(wù)器區(qū)域：300399DB服務(wù)器區(qū)域：400499IP規(guī)劃考慮到后期擴展性，在園區(qū)IP地址規(guī)劃時主要以

12、易管理為主要目標(biāo)。園區(qū) 網(wǎng)中的DMZ區(qū)或Internet互聯(lián)區(qū)有少量設(shè)備使用公網(wǎng)IP,園區(qū)內(nèi)部使用的則是 私網(wǎng)IP。IP地址是動態(tài)IP或靜態(tài)IP的選取原則如下：原則上服務(wù)器，特殊終端設(shè)備（打卡機，打印服務(wù)器，視訊終端設(shè)備等） 和生產(chǎn)設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動態(tài)獲取，如辦公用PC、IP電話等。IPM址規(guī)劃原則IP地址規(guī)劃的原則唯一性一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址。即使使用了支持地址重 疊的MPLS/VPN技術(shù)，也盡量不要規(guī)劃為相同的地址。連續(xù)性連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路徑疊合，大大縮減路由表，提高路由 算法的效率。擴展性地址分配在每一層次上都要留有

13、余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所 需的連續(xù)性。實意性“望址生意”，好的IP地址規(guī)劃使每個地址具有實際含義，看到一個地址就 可以大致判斷出該地址所屬的設(shè)備。園區(qū)IP地址基本分類Loopback 地址為了方便管理，會為每一臺路由器創(chuàng)建一個Loopback接口，并在該接口上 單獨指定一個IP地址作為管理地址。Loopback地址務(wù)必使用32位掩碼的地址。最后一位是奇數(shù)的表示路由器， 是偶數(shù)的表示交換機，越是核心的設(shè)備，Loopback地址越小?；ヂ?lián)地址互聯(lián)地址是指兩臺網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址，互聯(lián)地址務(wù)必使 用30位掩碼的地址。核心設(shè)備使用較小的一個地址，互聯(lián)地址通常要聚合后發(fā) 布，

14、在規(guī)劃時要充分考慮使用連續(xù)的可聚合地址。業(yè)務(wù)地址業(yè)務(wù)地址是連接在以太網(wǎng)上的各種服務(wù)器、主機所使用的地址以及網(wǎng)關(guān)的地 址，業(yè)務(wù)地址規(guī)劃時所有的網(wǎng)關(guān)地址統(tǒng)一使用相同的末位數(shù)字，如：.1都是表示 網(wǎng)關(guān)。園區(qū)網(wǎng)內(nèi)部的IP地址建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡(luò)通過NAT轉(zhuǎn)換成公網(wǎng)地址后接入公網(wǎng)。匯聚交換機下接入的網(wǎng)段可能有很多，在規(guī)劃的時候需要考慮路由是可以聚 合的，這樣可以減少核心網(wǎng)絡(luò)的路由數(shù)目。2.3.2. DHCP規(guī)劃建議隨著后期園區(qū)網(wǎng)中辦公網(wǎng)絡(luò)的逐漸擴容，建議使用DHCP，每個DHCP網(wǎng)段 應(yīng)保留部分靜態(tài)IP供服務(wù)器等設(shè)備使用。DHCP園區(qū)部署基本架構(gòu)建議在園區(qū)數(shù)據(jù)中心或服務(wù)器區(qū)部署獨立的DHCP

15、 Server。在匯聚層網(wǎng)關(guān)部署DHCP Relay指向DHCP Server統(tǒng)一分配地址。DHCP園區(qū)內(nèi)一般通過VLAN分配地址，如有特殊要求，在接入交換機 部屬Option82，由接入交換機提供的Option82信息分配地址。DHCP部署基本原則固定IP地址段和動態(tài)分配IP地址段保持連續(xù)。按照業(yè)務(wù)區(qū)域進行DHCP地址的劃分，便于統(tǒng)一管理及問題定位。DHCP需要跨網(wǎng)段獲得IP地址時，啟動DHCP Relay功能。啟動DHCP安全功能，禁止非法DHCP Server的架設(shè)和非法用戶的接入。DNS規(guī)劃2.3.3.1. DNS服務(wù)器的角色劃分Master服務(wù)器：主服務(wù)器作為DNS的管理服務(wù)器，可以

16、增加、刪除、修改域名，修改的信息可 以同步到Slave服務(wù)器，一般部署1臺。Slave服務(wù)器：從服務(wù)器從Master服務(wù)器獲取域名信息，采用多臺服務(wù)器形成集群的方式，統(tǒng)一 對外提供DNS服務(wù)，一般采用基于硬件的負(fù)載均衡器提供服務(wù)器集群 的功能。一般部署2臺從服務(wù)器。Cache服務(wù)器：緩存服務(wù)器用于緩存內(nèi)部用戶的DNS請求結(jié)果，加快后續(xù)的訪問。一般部署在Slave 服務(wù)器上。2.3.3.2. DNS服務(wù)器的IP地址Master服務(wù)器：采用政法內(nèi)網(wǎng)地址。Slave服務(wù)器：分配政法私網(wǎng)地址，并在負(fù)載均衡器上分配一個虛擬的 企業(yè)內(nèi)網(wǎng)地址。Internet域名地址有兩種方案：一種是在防火墻上做NAT映射

17、，把Slave服務(wù)器的虛擬地址映射為一個 公網(wǎng)IP地址，用于外部Internet用戶的訪問。另一種是在鏈路負(fù)載均衡設(shè)備上通過智能DNS為外部Internet用戶提供 服務(wù)。2.4.可靠性規(guī)劃2.4.1.設(shè)備可靠性設(shè)備本身要具有電信級5個9的可靠性，需要網(wǎng)絡(luò)設(shè)備支持：AC電源1+1備份所有模塊支持熱插拔完善的告警功能單設(shè)備是通過部件的冗余設(shè)計來保證高可靠性。對于設(shè)備本身的節(jié)點故障， 一般通過網(wǎng)絡(luò)協(xié)議感知故障點后進行動態(tài)調(diào)整，實現(xiàn)流量的快速切換，提高可靠 性，但是切換的時間比較長。華為支持框式交換機的集群CSS(Cluster Switch System)和盒式交換機的堆疊iStack技術(shù)，能夠把

18、多臺物理設(shè)備連接在一起，對 外表現(xiàn)為一臺邏輯設(shè)備，從功能和管理方面，都可以作為一臺設(shè)備來看待。單節(jié) 點物理設(shè)備的故障，邏輯設(shè)備能夠快速感知，并快速將流量切換到UP狀態(tài)的鏈 路上，減少丟包時間，具有更高的可靠性。2.4.2.網(wǎng)絡(luò)可靠性園區(qū)網(wǎng)絡(luò)可靠性設(shè)計方案園區(qū)網(wǎng)絡(luò)架構(gòu)為二層網(wǎng)絡(luò)結(jié)構(gòu)：接入層、核心層。接入交換機為二/三層交換 機，核心交換機作為用戶網(wǎng)關(guān)。可靠性的設(shè)計也應(yīng)該根據(jù)層次來設(shè)計。接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機與核心交換機之間通過SmartLink/STP/RSTP/MSTP /RRPP/SEP解決二層網(wǎng)絡(luò)環(huán)路問題，同時保證網(wǎng)絡(luò)可 靠性。匯聚交換機之間堆疊實現(xiàn)虛擬化，保證無單點故障可靠性。

19、或采用VRRP 虛擬網(wǎng)關(guān)，匯聚交換機間使用Trunk鏈路連接，保證鏈路可靠性。匯聚交換機與 接入交換機之間可通過DLDP協(xié)議檢測光纖單向故障（單通故障）。2.5.安全設(shè)計安全概述隨著企業(yè)網(wǎng)絡(luò)的應(yīng)用和發(fā)展，企業(yè)生產(chǎn)和經(jīng)營活動對于網(wǎng)絡(luò)的依賴性不斷增 強。但病毒、木馬、間諜軟件、網(wǎng)絡(luò)攻擊等各種信息安全威脅也在不斷增加。統(tǒng) 計表明，網(wǎng)絡(luò)安全已經(jīng)超過對網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的需求，成為企 業(yè)用戶最關(guān)心的問題，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為企業(yè)網(wǎng)建設(shè)的重點。在傳統(tǒng)的園區(qū)網(wǎng)絡(luò)建設(shè)中，一般認(rèn)為園區(qū)內(nèi)部是安全的，威脅主要來自外界。 在園區(qū)邊界上，一般使用防火墻、IDS/IPS作為安全設(shè)備。隨著安全挑戰(zhàn)的不斷

20、 升級，僅通過傳統(tǒng)的安全措施和獨立工作的形式進行邊界防御已經(jīng)遠(yuǎn)遠(yuǎn)不夠了， 安全模型需要由被動模式向主動模式轉(zhuǎn)變，從根源一終端徹底解決網(wǎng)絡(luò)安全問題， 提高整個企業(yè)的信息安全水平。目前園區(qū)網(wǎng)絡(luò)安全一般從網(wǎng)絡(luò)監(jiān)管、邊界防御、接入安全及遠(yuǎn)程接入等方面 進行考慮。接入安全主要指導(dǎo)園區(qū)內(nèi)的安全接入，包括終端安全接入控制，例如： 用戶隔離，端口隔離等；遠(yuǎn)程接入涉及分支機構(gòu)、出差人員對園區(qū)內(nèi)部的安全訪 問；邊界防御通過防火墻、IPS/IDS對園區(qū)出口，園區(qū)內(nèi)的各個組織單元之間進 行有效防護和隔離。2.5.2.網(wǎng)絡(luò)安全規(guī)劃網(wǎng)絡(luò)的安全是園區(qū)網(wǎng)安全最基本的保證。這里主要從交換機的安全特性上的 使用來保證網(wǎng)絡(luò)的安全。

21、包括DHCP Snooping ARP防攻擊、MAC防攻擊、IP 源防攻擊等。這些安全特性工作于OSI模型的鏈路層，可在接入層交換機上部 署。DHCP SnoopingDHCP Snooping 是 DHCP (Dynamic Host Configuration Protocol)的一種安 全特性，通過截獲DHCP Client和DHCP Server之間的DHCP報文進行分析處理， 可以過濾不信任的DHCP報文并建立和維護一個DHCP Snooping綁定表。該綁 定表包括MAC地址、IP地址、租約時間、綁定類型、VLANID、接口等信息。DHCP Snooping部署在二層設(shè)備上面，一般

22、部署在接入交換機上。如下圖所 示，匯聚交換機上配置DHCP Relay，在接入交換機上配置DHCP Snooping，其 中上行接口配置為Trust。DHCP服務(wù)器仿冒示意圖DHCP StiverDAI-ARP 欺騙動態(tài)ARP檢測(Dynamic ARP Inspection)應(yīng)用在設(shè)備的二層接口上，利用 DHCP Snooping綁定表來防御ARP攻擊。當(dāng)設(shè)備收到ARP報文時，將此ARP 報文中的源IP、源MAC、端口、VLAN信息和DHCP Snooping綁定表的信息進 行比較。如果信息匹配，說明是合法用戶，則允許此用戶的ARP報文通過；否 則，認(rèn)為是攻擊，丟棄該ARP報文。DAI-AR

23、P欺騙攻擊示意圖如上圖所示，交換機作為二層設(shè)備，用戶通過DHCP上線。用戶上線后， 設(shè)備會生成相應(yīng)的DHCP綁定表，綁定表包括用戶的源IP、源MAC、端口、VLAN 信息。當(dāng)用戶發(fā)送ARP報文時，設(shè)備查找此ARP信息是否和該用戶的綁定表匹 配，如果是相同的，則允許報文通過，否則丟棄該ARP報文。合法用戶存在綁 定表，其發(fā)送的ARP報文會被允許通過，而攻擊者發(fā)送虛假的ARP報文，無法 匹配到綁定表，報文被丟棄。ARP 限速ARP報文限速功能是指對上送CPU的ARP報文進行限速，可以防止大量 ARP報文對CPU進行沖擊。例如，在配置了 ARP Detection功能后，設(shè)備會將 收到的ARP報文重

24、定向到CPU進行檢查，這樣引入了新的問題。如果攻擊者惡 意構(gòu)造大量ARP報文發(fā)往設(shè)備，會導(dǎo)致設(shè)備的CPU負(fù)擔(dān)過重，從而造成其他功 能無法正常運行甚至設(shè)備癱瘓，這個時候可以啟用ARP報文限速功能來控制上 送CPU的ARP報文的速率。下圖給出了 ARP限速的示意圖。當(dāng)用戶發(fā)出ARP請求的速度在規(guī)定范圍內(nèi) 的時候，ARP請求報文可以正常上送，當(dāng)攻擊者以超過允許范圍的速度發(fā)出ARP 請求的時候，超過速度范圍的報文將被丟棄。ARP限速示意圖MAC 泛洪MAC泛洪攻擊是指攻擊主機通過程序偽造大量包含隨機源MAC地址的數(shù) 據(jù)幀發(fā)往交換機。有些攻擊程序一分鐘可以發(fā)出十幾萬條偽造源MAC地址的數(shù) 據(jù)幀，交換機根

25、據(jù)數(shù)據(jù)幀中的MAC地址進行學(xué)習(xí)，但一般交換機的MAC地址 表容量也就幾千條，交換機的MAC地址表瞬間被偽造的MAC地址填滿，交換 機的MAC表填滿后，交換機再收到數(shù)據(jù)，不管是單播、廣播還是組播，交換機 都不再學(xué)習(xí)MAC地址，如果交換機在MAC地址表中找不到目的MAC地址對 應(yīng)的端口，交換機就像集線器一樣，向所有端口廣播數(shù)據(jù)，這樣就可能造成廣播 風(fēng)暴。在華為交換機上，可以通過對MAC學(xué)習(xí)限制及流量抑制的功能來防止MAC 泛洪攻擊。MAC學(xué)習(xí)限制是指限制MAC學(xué)習(xí)的數(shù)目。華為交換機支持在接口、VLAN、 槽位和VSI四個方面對MAC學(xué)習(xí)數(shù)目進行限制。同時，華為交換機支持對未知 單播、廣播及組播流量

26、進行速度限制。通過對MAC學(xué)習(xí)限制及流量抑制，可以 有效地防范MAC泛洪攻擊。下圖給出了 MAC泛洪攻擊的示意圖，圖中，假設(shè)攻擊者發(fā)出一個偽造目的 MAC的報文，交換機收到報文后發(fā)現(xiàn)找不到目的MAC就會向除接收端口的所 有端口發(fā)送此報文，導(dǎo)致此報文在廣播域內(nèi)廣播。如果攻擊者發(fā)送大量的報文， 就可能會造成網(wǎng)絡(luò)中斷或癱瘓。MAC泛洪攻擊示意圖IP Source GuardIP源地址防護能夠限制二層不信任端口的IP流量。它采取的方法是，通過 DHCP綁定表或手動綁定的IP源地址來對IP流量實行過濾此特性可以阻止IP 地址欺騙攻擊，也就是主機通過把自己的源IP地址修改成其他主機的IP地址實 現(xiàn)的攻擊。

27、任何從不信任的端口入站的IP流量，只要其源地址與指定（DHCP Snooping或靜態(tài)綁定表）的IP地址不同，就會被過濾掉。IP源地址與防護特性需要在不信任的二層接口上和DHCP Snooping共同使 用。IP源地址防護會生成一個IP源地址綁定表，并且對這個列表進行維護。這 個列表既可以通過DHCP學(xué)習(xí)到也可以手動配置。列表中的每個條目都包括IP 地址及與這個IP地址所關(guān)聯(lián)的MAC地址及VLANID。IP Source Guard功 能示意圖如上圖所示，在接入交換機上使能IP Source Guard功能。此時，合法用戶 的IP地址、MAC地址及VLAN信息能滿足綁定表的信息，用戶能正常訪問

28、網(wǎng) 絡(luò)。而非法用戶發(fā)出的報文卻會在接口上被丟棄，進而阻止了非法用戶危害網(wǎng)絡(luò) 安全。MFF 技術(shù)園區(qū)網(wǎng)絡(luò)中，通常使用MFF（MAC-Forced Forwarding）實現(xiàn)不同客戶端主 機之間的二層隔離和三層互通。MFF截獲用戶的ARP請求報文，通過ARP代 答機制，回復(fù)網(wǎng)關(guān)MAC地址的ARP應(yīng)答報文。通過這種方式，可以強制用戶 將所有流量（包括同一子網(wǎng)內(nèi)的流量）發(fā)送到網(wǎng)關(guān)，使網(wǎng)關(guān)可以監(jiān)控數(shù)據(jù)流量， 防止用戶之間的惡意攻擊，能更好的保障網(wǎng)絡(luò)部署的安全性。MFF特性包括兩種接口角色：用戶接口MFF的用戶接口是指直接接入網(wǎng)絡(luò)終端用戶的接口。用戶接口上對于不同的報文處理如下：-允許協(xié)議報文通過。對于ARP和DHCP報文上送CPU進行處理。-若已經(jīng)學(xué)習(xí)到網(wǎng)關(guān)MAC地址，則僅允許目的MAC地址為網(wǎng)關(guān) MAC地址的單播報文通過，其他報文都將被丟棄；若沒有學(xué)習(xí)到 網(wǎng)關(guān)MAC地址，目的MAC地址為網(wǎng)關(guān)MAC地址的單播報文也 被丟棄。組播數(shù)據(jù)和廣播報文都不允許通過。網(wǎng)絡(luò)接口MFF的網(wǎng)絡(luò)接口是指連接其他網(wǎng)絡(luò)設(shè)備（如：接入交換機、匯聚交 換機或網(wǎng)關(guān)）的接口。網(wǎng)絡(luò)接口上對于不同的報文處理如下：允許組播報文和DHCP報文通過。對于ARP報文則上送CPU進行處理。其他廣播報