智慧司法網(wǎng)絡(luò)培訓(xùn)

智慧司法網(wǎng)絡(luò)培訓(xùn)智慧司法網(wǎng)絡(luò)培訓(xùn)

一、項(xiàng)目概況智慧司法內(nèi)網(wǎng)是依托甘肅省政法網(wǎng)建設(shè)省司法廳內(nèi)網(wǎng)云計(jì)算中心、省司法廳核心、市州司法局核心和縣區(qū)司法局核心，實(shí)現(xiàn)資源共享，快速辦公的網(wǎng)絡(luò)，各級(jí)單位通過(guò)現(xiàn)有的政法網(wǎng)接入設(shè)備接入政務(wù)內(nèi)網(wǎng)，通過(guò)政務(wù)內(nèi)網(wǎng)承載內(nèi)網(wǎng)協(xié)同辦公、電子郵件等系統(tǒng)的應(yīng)用。通過(guò)購(gòu)置移動(dòng)智能終端使司法系統(tǒng)內(nèi)部人員實(shí)現(xiàn)移動(dòng)便捷辦公。智慧司法外網(wǎng)是依托移動(dòng)運(yùn)營(yíng)商互聯(lián)網(wǎng)專線建設(shè)省司法廳外網(wǎng)云計(jì)算中心、省司法廳核心、市州司法局核心和縣區(qū)司法局核心的網(wǎng)絡(luò)，相關(guān)單位通過(guò)互聯(lián)網(wǎng)專線接入政務(wù)外網(wǎng)，通過(guò)政務(wù)外網(wǎng)運(yùn)行國(guó)家司法部相關(guān)業(yè)務(wù)系統(tǒng)，如行政審批系統(tǒng)、電子監(jiān)察系統(tǒng)、外網(wǎng)辦公、外網(wǎng)門戶網(wǎng)站、律師考試、司法鑒定、法制宣傳、法律援助、公證業(yè)務(wù)、社區(qū)矯正人員管理，實(shí)現(xiàn)跨部門、跨區(qū)域的信息資源共享。一、項(xiàng)目概況智慧司法內(nèi)外網(wǎng)云平臺(tái)采用H3C的云計(jì)算解決方案，H3云計(jì)算解決方案涵蓋了網(wǎng)絡(luò)、云軟件、計(jì)算、存儲(chǔ)四大類產(chǎn)品。目標(biāo)是為用戶在以太網(wǎng)和云計(jì)算相關(guān)技術(shù)基礎(chǔ)上，實(shí)現(xiàn)數(shù)據(jù)中心資源的高效利用。本次項(xiàng)目建設(shè)中建設(shè)兩套平臺(tái)分別承載內(nèi)網(wǎng)辦公業(yè)務(wù)系統(tǒng)和外網(wǎng)辦公業(yè)務(wù)系統(tǒng)

一、項(xiàng)目概況二、智慧司法內(nèi)外網(wǎng)云平臺(tái)1、內(nèi)網(wǎng)云平臺(tái)

內(nèi)網(wǎng)云平臺(tái)主要是承載智慧司法內(nèi)網(wǎng)各辦公業(yè)務(wù)的系統(tǒng)。采用H3CR390、R590及浪潮8420M3系列服務(wù)器，H3CP5730系列存儲(chǔ)以及H3CS5820和S5800系列交換機(jī)。平臺(tái)出口使用啟明星辰防火墻，通過(guò)主備兩條1000M裸光纖接入省司法廳核心網(wǎng)絡(luò)。其在內(nèi)部?jī)膳_(tái)S5820和兩臺(tái)S5800之間做堆疊，使得網(wǎng)絡(luò)更具可用性，可擴(kuò)展性和可靠性。二、智慧司法內(nèi)外網(wǎng)云平臺(tái)2、外網(wǎng)云平臺(tái)外網(wǎng)云平臺(tái)主要是承載智慧司法外網(wǎng)各辦公業(yè)務(wù)的系統(tǒng)。采用H3CR390、R590、浪潮8420M3及850系列服務(wù)器，H3CP5730系列存儲(chǔ)以及H3CS5800系列交換機(jī)。平臺(tái)出口使用啟明星辰防火墻，通過(guò)主備兩條100M裸光纖接入移動(dòng)互聯(lián)網(wǎng)核心。其在內(nèi)部S5800和移動(dòng)核心交換機(jī)之間做，使得網(wǎng)絡(luò)更具可靠性。三、智慧司法內(nèi)網(wǎng)1、省司法廳內(nèi)網(wǎng)核心政務(wù)內(nèi)網(wǎng)依托甘肅政法網(wǎng)，司法廳中心機(jī)房連接一號(hào)樓、二號(hào)樓等7個(gè)節(jié)點(diǎn)（不同的辦公地點(diǎn)），由運(yùn)營(yíng)商提供100M光纖鏈路點(diǎn)對(duì)點(diǎn)連接，上連甘肅省政法網(wǎng)，形成省廳到市（州）司法局，市（州）到縣（區(qū)）司法局三級(jí)網(wǎng)絡(luò)。市（州）及縣（區(qū)）接入拓?fù)浣Y(jié)構(gòu)

S12500核心交換機(jī)作為中心網(wǎng)絡(luò)核心設(shè)備，通過(guò)多級(jí)交換架構(gòu)，提供大容量的轉(zhuǎn)發(fā)能力，完全滿足大型數(shù)據(jù)中心的流量轉(zhuǎn)發(fā)需求，并提供、等高可靠機(jī)制保障核心網(wǎng)絡(luò)的穩(wěn)定可靠；結(jié)合H3C其它交換機(jī)及安全、路由設(shè)備一起組成完善的解決方案。三、智慧司法內(nèi)網(wǎng)2、市州司法局核心市州司法局考慮建設(shè)一個(gè)經(jīng)濟(jì)型的局域網(wǎng)，部署單核心、二層網(wǎng)絡(luò)，主要實(shí)現(xiàn)市州司法局內(nèi)部網(wǎng)絡(luò)互連，同時(shí)需要具備一定的縣級(jí)司法網(wǎng)絡(luò)管理職能，因此，在方案設(shè)計(jì)時(shí)主要考慮網(wǎng)絡(luò)連接，兼顧網(wǎng)絡(luò)垂直管理功能。每個(gè)市州部署1臺(tái)核心交換機(jī)，通過(guò)政法網(wǎng)專線與省廳內(nèi)網(wǎng)數(shù)據(jù)中心進(jìn)行連接，同時(shí)通過(guò)千兆鏈路與接入交換機(jī)互聯(lián)，在設(shè)備上保留空余接口和槽位以便于擴(kuò)展。交保障市局網(wǎng)絡(luò)的高可靠性，保障各業(yè)務(wù)穩(wěn)定運(yùn)行，通過(guò)防火墻以及數(shù)據(jù)加密功能，提供對(duì)市局內(nèi)網(wǎng)進(jìn)行安全防護(hù)。三、智慧司法內(nèi)網(wǎng)3、區(qū)縣司法局核心區(qū)縣司法局處于司法廳網(wǎng)絡(luò)系統(tǒng)的末端，數(shù)量龐大，維護(hù)難度大，在該層次部署的設(shè)備應(yīng)具有零配置開局、U盤開局的功能，利用路由器連接政法網(wǎng)，兼容各種廣域網(wǎng)接口，便于部署隧道，同時(shí)提供安全功能。下掛一臺(tái)交換機(jī)，提供足夠多的接口以支持司法所及政務(wù)大廳等單位全面接入。每個(gè)區(qū)縣部署1臺(tái)全千兆接入交換機(jī)，上行通過(guò)政法網(wǎng)專線直接上聯(lián)至省廳網(wǎng)絡(luò)中心，下行通過(guò)交換機(jī)接入終端。四、智慧司法外網(wǎng)1、省司法廳外網(wǎng)核心司法廳外網(wǎng)依托移動(dòng)運(yùn)營(yíng)商互聯(lián)網(wǎng)主干鏈路連接，省廳中心節(jié)點(diǎn)在統(tǒng)辦一號(hào)樓12樓機(jī)房，向下連接1#樓、2#樓等7個(gè)辦公地點(diǎn)，由運(yùn)營(yíng)商提供100M光纖線路點(diǎn)對(duì)點(diǎn)連接。通過(guò)各市（州）、縣（區(qū)）移動(dòng)互聯(lián)網(wǎng)專線下連市（州）司法局，縣（區(qū)）司法局，有條件的鄉(xiāng)（鎮(zhèn)）司法所可以通過(guò)線路（由運(yùn)營(yíng)商提供城域網(wǎng))通道接入政務(wù)外網(wǎng)。形成覆蓋全省的三（四）級(jí)政務(wù)外網(wǎng)網(wǎng)絡(luò)。四、智慧司法外網(wǎng)2、市州司法局外網(wǎng)核心市州司法局考慮建設(shè)一個(gè)經(jīng)濟(jì)型的局域網(wǎng)，部署單核心、二層網(wǎng)絡(luò)，主要實(shí)現(xiàn)市州司法局內(nèi)部網(wǎng)絡(luò)互連，同時(shí)需要具備一定的縣級(jí)司法局網(wǎng)絡(luò)管理職能，因此，在方案設(shè)計(jì)時(shí)主要考慮網(wǎng)絡(luò)連接，兼顧網(wǎng)絡(luò)垂直管理功能。每個(gè)市州部署1臺(tái)接入路由器、1臺(tái)全千兆核心交換機(jī)及部分接入交換機(jī)，通過(guò)移動(dòng)互聯(lián)網(wǎng)鏈路與省廳外網(wǎng)數(shù)據(jù)中心進(jìn)行訪問(wèn)，同時(shí)通過(guò)千兆鏈路與接入交換機(jī)互聯(lián)，在設(shè)備上保留空余接口和槽位以便于擴(kuò)展，要求路由器設(shè)備具備一定的安全防護(hù)及數(shù)據(jù)流量分析功能，以保障市局網(wǎng)絡(luò)的高可靠性及各業(yè)務(wù)穩(wěn)定運(yùn)行；提供數(shù)據(jù)加密功能，以提供移動(dòng)辦公用戶的遠(yuǎn)程接入。四、智慧司法外網(wǎng)3、區(qū)縣司法局外網(wǎng)核心區(qū)縣司法局因網(wǎng)絡(luò)規(guī)模較小，因此考慮建設(shè)一個(gè)適用型局域網(wǎng)，部署一個(gè)單核心，二層網(wǎng)絡(luò)，主要用于區(qū)縣司法局外網(wǎng)互聯(lián)，在86個(gè)縣（區(qū)）級(jí)各配置一臺(tái)路由器、一臺(tái)交換機(jī)、一臺(tái)防火墻，結(jié)合綜合布線系統(tǒng)，組成縣（區(qū)）級(jí)的外網(wǎng)網(wǎng)絡(luò)。（同級(jí)別的勞教、監(jiān)獄也按此配置組網(wǎng)）。五、使用協(xié)議及劃分省內(nèi)網(wǎng)核心及云平臺(tái)核心采用。在內(nèi)網(wǎng)的骨干區(qū)域內(nèi)，采用了動(dòng)態(tài)的、基于鏈路狀態(tài)的協(xié)議。為了保證整網(wǎng)的性能，考慮的分域規(guī)劃，區(qū)域的劃分同政法網(wǎng)接入時(shí)區(qū)域劃分保持一致。1、省核心兩臺(tái)S12508做2虛擬為一臺(tái)交換機(jī)和S7606S同政法網(wǎng)6616路由器通過(guò)進(jìn)行連接。2、云平臺(tái)核心兩臺(tái)S5820做虛擬為一臺(tái)交換機(jī)通過(guò)防火墻同省核心交換機(jī)連接。具體區(qū)域劃分如下：五、使用協(xié)議及劃分省外網(wǎng)核心及云平臺(tái)核心采用。在外網(wǎng)核心級(jí)市州、區(qū)縣對(duì)外采用地址轉(zhuǎn)換方式同運(yùn)營(yíng)商連接，對(duì)內(nèi)采用動(dòng)態(tài)分配方式為局域網(wǎng)劃分地址。在外網(wǎng)云平臺(tái)采用備份方式同運(yùn)營(yíng)商連接，內(nèi)部各服務(wù)器及交換機(jī)之間采用固定地址分配方式。五、使用協(xié)議及劃分內(nèi)網(wǎng)地址劃分詳見附表：司法廳地址規(guī)劃外網(wǎng)地址劃分，因外網(wǎng)同運(yùn)營(yíng)商是通過(guò)地址轉(zhuǎn)換的方式，所以每個(gè)節(jié)點(diǎn)局域網(wǎng)地址使用不受影響，均采用192.168，以自動(dòng)獲取方式獲得。六、網(wǎng)絡(luò)維護(hù)及處理方法當(dāng)今的網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，主要表現(xiàn)在以下方面：

越來(lái)越多的應(yīng)用需要因特網(wǎng)提供支持，包括數(shù)據(jù)、語(yǔ)音、視頻以及它們的集成傳輸。新業(yè)務(wù)發(fā)展使對(duì)網(wǎng)絡(luò)帶寬的需求不斷增長(zhǎng)，新技術(shù)的不斷出現(xiàn)。例如：十兆以太網(wǎng)向百兆、千兆以太網(wǎng)的演進(jìn)；技術(shù)的出現(xiàn)。新技術(shù)在應(yīng)用的同時(shí)還要兼顧傳統(tǒng)的技術(shù)。而網(wǎng)絡(luò)環(huán)境越復(fù)雜，網(wǎng)絡(luò)故障發(fā)生的可能性越大，引發(fā)故障的原因也越發(fā)難以確定。重要的是要建立系統(tǒng)化的故障處理思想。1、故障處理思路及原則故障處理系統(tǒng)化是合理地一步一步找出故障原因，并解決故障的總體原則。其基本思想是系統(tǒng)地將故障的所有可能原因縮減或隔離成幾個(gè)小的子集，從而使問(wèn)題的復(fù)雜度迅速下降，有序的故障處理思路有助于解決所遇到的困難網(wǎng)絡(luò)故障處理的基本步驟是：觀察現(xiàn)象、收集信息、判斷分析、原因排查2、一般故障分類及處理方法故障分類：連通性問(wèn)題硬件、媒介、電源故障配置錯(cuò)誤不正確的相互作用性能問(wèn)題網(wǎng)絡(luò)擁塞到目的地不是最佳路由供電不足處理方法：分層法、分塊法、分段法、替換法分層故障排除法。。。。物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層所有的技術(shù)都是分層的！關(guān)注電纜、連接頭、信號(hào)電平、編碼、時(shí)鐘和組幀關(guān)注封裝協(xié)議和相關(guān)參數(shù)、鏈路利用率等關(guān)注地址分配、路由協(xié)議參數(shù)等分塊故障排除法通?？紤]故障分塊如下：管理部分（路由器名稱、口令、服務(wù)、日志等）端口部分（地址、封裝、、認(rèn)證等）路由協(xié)議部分（靜態(tài)路由、、、、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制臺(tái)、登錄或啞終端、撥號(hào)等）其他應(yīng)用部分（語(yǔ)言配置、配置、配置等）分段故障排除法可將網(wǎng)絡(luò)分為若干段，逐段測(cè)試，縮小故障范圍，逐段定位網(wǎng)絡(luò)故障，并排除。3、日常維護(hù)概述維護(hù)目的：通過(guò)日常的網(wǎng)絡(luò)維護(hù)，保證整個(gè)網(wǎng)絡(luò)位系統(tǒng)可靠運(yùn)行。維護(hù)方式：突發(fā)性維護(hù)指因?yàn)樵O(shè)備故障、網(wǎng)絡(luò)調(diào)整等原因進(jìn)行的維護(hù)。在網(wǎng)絡(luò)日常維護(hù)中，有時(shí)候因設(shè)備斷電、模塊故障、設(shè)備損壞、接口線路故障以及網(wǎng)絡(luò)節(jié)點(diǎn)接入、網(wǎng)絡(luò)拓?fù)湔{(diào)整等原因進(jìn)行維護(hù)，在這過(guò)程中需要將維護(hù)的整個(gè)過(guò)程細(xì)節(jié)文檔化。日常例行維護(hù)指每天必須進(jìn)行的維護(hù)項(xiàng)目。在日常維護(hù)中需要對(duì)主要接入節(jié)點(diǎn)進(jìn)行連通性測(cè)試，它能使維護(hù)人員隨時(shí)了解網(wǎng)絡(luò)運(yùn)行情況，以便及時(shí)解決問(wèn)題。在發(fā)現(xiàn)問(wèn)題時(shí)，詳細(xì)記錄相關(guān)故障發(fā)生的位置和現(xiàn)象，以便及時(shí)維護(hù)和排除隱患。周期性例行維護(hù)指定周期進(jìn)行的維護(hù)。在一定的時(shí)間內(nèi)，比如一季度或者半年期將設(shè)備相關(guān)配置進(jìn)行保存，將目前網(wǎng)絡(luò)的運(yùn)行情況，連接模式進(jìn)行總結(jié)匯總。以便維護(hù)人員可以了解設(shè)備的長(zhǎng)期工作情況。日常維護(hù)基本原則是：及時(shí)發(fā)現(xiàn)、解決問(wèn)題、防患于未然日常維護(hù)中常用命令命令：用于檢查網(wǎng)絡(luò)連接以及主機(jī)是否可達(dá)。命令：用于探測(cè)報(bào)文在源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間所經(jīng)過(guò)的路線。命令：用于遠(yuǎn)程登錄設(shè)備。命令：

網(wǎng)絡(luò)維護(hù)和故障處理的重要工具，主要用于查看設(shè)備中的相關(guān)信息。4、網(wǎng)絡(luò)故障的判斷及處理使用命令，看能否通目的地址或網(wǎng)關(guān)。如不能通則做如下檢查。打開“網(wǎng)絡(luò)連接”，看是否出現(xiàn)“網(wǎng)絡(luò)電纜被拔出”的連接，如出現(xiàn)著種問(wèn)題，則表明網(wǎng)線有問(wèn)題，或者服務(wù)器或交換機(jī)端口故障。檢查網(wǎng)卡的配置是否正確（地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址）。如排查不是電腦問(wèn)題，轉(zhuǎn)為排查設(shè)備和線路。局域網(wǎng)電腦訪問(wèn)網(wǎng)絡(luò)故障連通性與網(wǎng)絡(luò)延遲的檢查使用命令或者群軟件檢查網(wǎng)絡(luò)設(shè)備的連接性與網(wǎng)絡(luò)的延遲情況。網(wǎng)絡(luò)設(shè)備的故障包括交換機(jī)故障、路由器故障、光纖收發(fā)器部能正常工作時(shí)的狀態(tài)。當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，通常能從設(shè)備的指示燈上顯現(xiàn)出來(lái)。一些交換機(jī)和路由器，當(dāng)使用命令無(wú)法登陸時(shí)，排除線路、設(shè)備故障等問(wèn)題時(shí)，可以定位為設(shè)備配置問(wèn)題。網(wǎng)絡(luò)設(shè)備的故障排查網(wǎng)絡(luò)設(shè)備的運(yùn)行情況檢查登陸上所需查看的設(shè)備登陸路由器后查看內(nèi)存的使用率是否正常登陸路由器后查看的使用率是否正常線路指設(shè)備與設(shè)備之間的線路，例如45網(wǎng)線或光纖等。如懷疑45網(wǎng)線故障，可以用測(cè)線儀檢查，或者用證明好的網(wǎng)線代替檢查。如果是光纖，可以看連接光纖設(shè)備的指示燈，如出現(xiàn)故障，應(yīng)該聯(lián)系當(dāng)?shù)仉娦胚\(yùn)營(yíng)商，協(xié)調(diào)檢查。線路故障排查網(wǎng)絡(luò)設(shè)備的鄰居關(guān)系檢查通過(guò)檢查互聯(lián)的網(wǎng)絡(luò)設(shè)備的路由鄰居關(guān)系，可以判斷他們的協(xié)議以及協(xié)議是否正常。具體命令如下：

正常的鄰居關(guān)系應(yīng)該處于狀態(tài)。

正常的鄰居關(guān)系應(yīng)該處于狀態(tài)。狀態(tài)表示鄰居關(guān)系正常狀態(tài)表示鄰居關(guān)系正常當(dāng)我們經(jīng)過(guò)一系列排查后列出可能的原因，然后根據(jù)所列出的可能原因制定相應(yīng)的故障排除計(jì)劃，分析最有可能的原因。當(dāng)針對(duì)某一原因執(zhí)行了排錯(cuò)方案后，需要對(duì)結(jié)果進(jìn)行分析，判斷問(wèn)題是否解決，是否引入新的問(wèn)題，如果問(wèn)題解決，可以直接進(jìn)入文檔化過(guò)程，如果沒(méi)有解決問(wèn)題，需要再次盡心故障排查過(guò)程。排除故障過(guò)程中，如果確認(rèn)為協(xié)議、環(huán)路、等邏輯問(wèn)題，需遠(yuǎn)程解決，如果解決不了，可尋求技術(shù)支持。排除故障過(guò)程中，如果確認(rèn)為本地設(shè)備、硬件或者線纜問(wèn)題，需要聯(lián)系當(dāng)?shù)刎?fù)責(zé)人配合排除故障。排除故障過(guò)程中，如果確認(rèn)為主干線路，或者主干線纜問(wèn)題，需要聯(lián)系電信線路負(fù)責(zé)人，予以解決。1、網(wǎng)絡(luò)設(shè)備地址沖突故障現(xiàn)象：某縣局域網(wǎng)上網(wǎng)時(shí)斷時(shí)通。組網(wǎng)結(jié)構(gòu):現(xiàn)象觀察：是整個(gè)局域網(wǎng)時(shí)斷時(shí)通還是部分網(wǎng)段時(shí)斷時(shí)通？是有規(guī)律的通斷還是無(wú)規(guī)律的通斷？通過(guò)與用戶進(jìn)一步交流，對(duì)故障現(xiàn)象描述為：縣局局域網(wǎng)整個(gè)網(wǎng)段上網(wǎng)有規(guī)律的時(shí)斷時(shí)通。信息收集：網(wǎng)絡(luò)結(jié)構(gòu)或配置是否做過(guò)修改帶網(wǎng)關(guān)地址觀察現(xiàn)象等命令查看日記記錄，告警信息打開信息后，提示有和網(wǎng)關(guān)地址沖突的告警信息。可能原因：攻擊，地址重復(fù)排查步驟：1，針對(duì)攻擊，用命令查看設(shè)備表有無(wú)異常，結(jié)果為多了網(wǎng)關(guān)項(xiàng)，其他正常，排除攻擊。2，針對(duì)地址重復(fù)，使用命令確認(rèn)網(wǎng)關(guān)地址及對(duì)應(yīng)端口。3、找到端口后跟用戶聯(lián)系確認(rèn)為下連設(shè)備配置同網(wǎng)關(guān)相同的管理地址，斷開后網(wǎng)絡(luò)正常故障處理過(guò)程文檔化。2、局域網(wǎng)防范工作機(jī)制協(xié)議是以太網(wǎng)等數(shù)據(jù)鏈路層的基礎(chǔ)協(xié)議，負(fù)責(zé)完成地址到硬件地址的映射。

工作過(guò)程簡(jiǎn)述如下：

(1)當(dāng)主機(jī)或者網(wǎng)絡(luò)設(shè)備需要解析一個(gè)地址對(duì)應(yīng)的地址時(shí)，會(huì)廣播發(fā)送請(qǐng)求報(bào)文。

(2)主機(jī)或者網(wǎng)絡(luò)設(shè)備接收到請(qǐng)求后，會(huì)進(jìn)行應(yīng)答。同時(shí)，根據(jù)請(qǐng)求發(fā)送者的地址和地址的對(duì)應(yīng)關(guān)系建立表項(xiàng)。

(3)發(fā)起請(qǐng)求的主機(jī)或者網(wǎng)絡(luò)設(shè)備接收到應(yīng)答后，同樣會(huì)將應(yīng)答報(bào)文中發(fā)送者的地址和地址的映射關(guān)系記錄下來(lái)，生成表項(xiàng)。攻擊類型攻擊是一種非常惡劣的網(wǎng)絡(luò)攻擊行為：

會(huì)造成網(wǎng)絡(luò)不穩(wěn)定，引發(fā)用戶無(wú)法上網(wǎng)或者企業(yè)斷網(wǎng)導(dǎo)致重大生產(chǎn)事故。

利用攻擊可進(jìn)一步實(shí)施攻擊，非法獲取游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的

帳號(hào)和口令，使被攻擊者造成利益上的重大損失。從工作機(jī)制可以看出，協(xié)議簡(jiǎn)單易用，但是卻沒(méi)有任何安全機(jī)制，攻擊者可以發(fā)送偽造報(bào)文對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。偽造報(bào)文具有如下特點(diǎn)：

偽造的報(bào)文中源地址/目的地址和以太網(wǎng)幀封裝中的源地址/目的地址不一致。

偽造的報(bào)文中源地址和源地址的映射關(guān)系不是合法用戶真實(shí)的映射關(guān)系。

目前主要的攻擊方式有如下幾類：

仿冒網(wǎng)關(guān)攻擊

仿冒用戶攻擊（欺騙網(wǎng)關(guān)或者其他主機(jī)）

泛洪攻擊

仿冒網(wǎng)關(guān)攻擊如圖所示，因?yàn)橹鳈C(jī)A仿冒網(wǎng)關(guān)向主機(jī)B發(fā)送了偽造的網(wǎng)關(guān)報(bào)文，導(dǎo)致主機(jī)B的表中記錄了錯(cuò)誤的網(wǎng)關(guān)地址映射關(guān)系，從而正常的數(shù)據(jù)不能被網(wǎng)關(guān)接收。仿冒網(wǎng)關(guān)攻擊是一種比較常見的攻擊方式，如果攻擊源發(fā)送的是廣播報(bào)文，或者根據(jù)其自身所掌握的局域網(wǎng)內(nèi)主機(jī)的信息依次地發(fā)送攻擊報(bào)文，就可能會(huì)導(dǎo)致整個(gè)局域網(wǎng)通信的中斷，是攻擊中影響較為嚴(yán)重的一種。仿冒用戶攻擊欺騙其他用戶如圖所示，主機(jī)A仿冒主機(jī)B向主機(jī)C發(fā)送了偽造的報(bào)文，導(dǎo)致主機(jī)C的表中記錄了錯(cuò)誤的主機(jī)B地址映射關(guān)系，從而正常的數(shù)據(jù)報(bào)文不能正確地被主機(jī)B接收。

泛洪攻擊網(wǎng)絡(luò)設(shè)備在處理報(bào)文時(shí)需要占用系統(tǒng)資源，同時(shí)因?yàn)橄到y(tǒng)內(nèi)存和查找表效率的要求，一般網(wǎng)絡(luò)設(shè)備會(huì)限制表的大小。攻擊者就利用這一點(diǎn)，通過(guò)偽造大量源地址變化的報(bào)文，使設(shè)備表溢出，合法用戶的報(bào)文不能生成有效的表項(xiàng)，導(dǎo)致正常通信中斷。

另外，通過(guò)向設(shè)備發(fā)送大量目標(biāo)地址不能解析的報(bào)文，使設(shè)備反復(fù)地對(duì)目標(biāo)地址進(jìn)行解析，導(dǎo)致負(fù)荷過(guò)重，也是泛洪攻擊的一種。

攻擊防范攻擊源一般來(lái)自于主機(jī)側(cè)，因此接入交換機(jī)在攻擊防范中是一個(gè)關(guān)鍵的控制點(diǎn)。針對(duì)攻擊的特點(diǎn)，接入交換機(jī)上的防范主要從兩個(gè)方面考慮：

建立正確的映射關(guān)系、檢測(cè)并過(guò)濾偽造的報(bào)文，保證經(jīng)過(guò)其轉(zhuǎn)發(fā)的報(bào)文正確合法。

抑制短時(shí)間內(nèi)大量報(bào)文的沖擊。

由于防范措施部署在接入側(cè)，因此無(wú)需在網(wǎng)關(guān)上部署，可以減輕網(wǎng)關(guān)負(fù)擔(dān)。

如果接入交換機(jī)上不支持攻擊防范功能，或者主機(jī)直接接入網(wǎng)關(guān)，則需要在網(wǎng)關(guān)上部署防范措施，部署思路從兩個(gè)方面考慮：

建立正確的表項(xiàng)，防止攻擊者修改。

抑制短時(shí)間內(nèi)大量報(bào)文或者需觸發(fā)解析的報(bào)文的沖擊。

直接在網(wǎng)關(guān)上進(jìn)行部署對(duì)接入交換機(jī)的依賴較小，可以較好的支持現(xiàn)有網(wǎng)絡(luò)，有效地保護(hù)用戶投資。

訪問(wèn)控制.單純依靠或來(lái)建立信任關(guān)系是不安全