實習(xí)模擬校園網(wǎng)絡(luò)設(shè)計方案

qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnm校內(nèi)網(wǎng)絡(luò)設(shè)計方案實習(xí)模擬方案2012/6/12Tuesday王華鋒、何媛萍

書目一．校內(nèi)網(wǎng)概述及分析 41.1概述 41.2校內(nèi)網(wǎng)建設(shè)的必要性 51.3應(yīng)用特點 6二、校內(nèi)網(wǎng)絡(luò)需求分析 62.1用戶需求分析 62.2校區(qū)網(wǎng)絡(luò)的設(shè)計目標: 72.3系統(tǒng)設(shè)計指導(dǎo)思想 8三、組網(wǎng)技術(shù)及產(chǎn)品選擇 93.1組網(wǎng)技術(shù)選擇 93.2網(wǎng)絡(luò)產(chǎn)品選型 10穩(wěn)定牢靠的網(wǎng)絡(luò) 10高帶寬 10易擴展的網(wǎng)絡(luò) 113.2.4QoS保證 11平安性 11簡潔限制管理 113.2.7IPMulticast 11符合IP發(fā)展趨勢的網(wǎng)絡(luò) 12四、校內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)計方案及分析 124.1網(wǎng)絡(luò)的分層設(shè)計原則 124.1.1核心層(CoreLayer) 124.1.2分布層(DistributionLayer) 134.1.3接入層(AccessLayer) 134.2校內(nèi)網(wǎng)方案特性分析 13高性能的網(wǎng)絡(luò)設(shè)計 13集成的用戶管理功能 14敏捷的網(wǎng)絡(luò)的可擴展性設(shè)計 14完善的QOS功能 15牢靠的網(wǎng)絡(luò)平安設(shè)計 15便利的網(wǎng)絡(luò)管理和維護 16運營級的網(wǎng)絡(luò)高牢靠性的設(shè)計 164.3系統(tǒng)平臺和應(yīng)用系統(tǒng) 17系統(tǒng)平臺選擇 17采納WIN2003SERVER能建立的服務(wù)器角色 17WEB服務(wù)器 17五.思科公司校內(nèi)網(wǎng)解決方案 215.1系統(tǒng)組成與拓撲結(jié)構(gòu) 215.2VLAN及IP地址規(guī)劃 24六、綜合布線系統(tǒng) 256.1結(jié)構(gòu)化布線設(shè)計的要求 256.2系統(tǒng)設(shè)計原則 26設(shè)計原則 26設(shè)計目標 26七、技術(shù)支持及售后服務(wù) 267.1服務(wù)內(nèi)容 277.2設(shè)計服務(wù) 277.3場地檢查 277.4系統(tǒng)安裝調(diào)試 277.5測試和驗收 287.6系統(tǒng)后期維護和支持 287.7客戶技術(shù)培訓(xùn) 297.8設(shè)備保修與軟件升級 29校內(nèi)網(wǎng)系統(tǒng)方案一．校內(nèi)網(wǎng)概述及分析1.1概述中國教化科研計算機網(wǎng)（CERNET）于1994年正式啟動以來，已與國內(nèi)幾百所學(xué)校相連。為廣闊師生及科研人員供應(yīng)了一個全新的網(wǎng)絡(luò)環(huán)境。1998年10月,中國教化科研網(wǎng)(CERNET)二期工程正式啟動,工程安排到2000年二期工程完成時,除達到連接1000所高校的目標外,對有條件的中小學(xué)也供應(yīng)接入上網(wǎng)服務(wù)。的確,隨著信息技術(shù)的飛速發(fā)展,中小學(xué)校內(nèi)網(wǎng)的建設(shè)已經(jīng)漸漸提到議事日程上來。但是我國目前大多數(shù)校內(nèi)網(wǎng)上的應(yīng)用還不豐富，與學(xué)校原有一些計算機業(yè)務(wù)系統(tǒng)還沒有充分發(fā)揮，應(yīng)用水平的低下是對校內(nèi)網(wǎng)資源的極大奢侈。只有提高校內(nèi)網(wǎng)上的應(yīng)用水平，才能切實提高學(xué)校各項業(yè)務(wù)水平，適應(yīng)信息時代的要求。因而，如何利用當前先進的計算機技術(shù)與校內(nèi)網(wǎng)資源，實現(xiàn)學(xué)校各項業(yè)務(wù)系統(tǒng)的集成，提高應(yīng)用水平將是學(xué)校校內(nèi)網(wǎng)建設(shè)的下一個工作重點。當前由于網(wǎng)絡(luò)、數(shù)據(jù)庫及與之相關(guān)的應(yīng)用技術(shù)不斷發(fā)展，尤其國際互聯(lián)網(wǎng)（Internet）和內(nèi)部網(wǎng)（Intranet）技術(shù)的廣泛應(yīng)用，世界正在邁入網(wǎng)絡(luò)中心計算（NetworkCentricComputing）時代。人們傳統(tǒng)的交互和工作模式正在變更。處在不同地理位置的人們可以共享數(shù)據(jù)，運用群件技術(shù)（GroupWare）進而能夠協(xié)同工作；多媒體數(shù)據(jù)的存儲、傳輸、應(yīng)用技術(shù)的不斷成熟；以上這些計算機技術(shù)的發(fā)展對學(xué)校傳統(tǒng)的計算機業(yè)務(wù)系統(tǒng)產(chǎn)生影響，運用戶能更便利。更直觀的運用系統(tǒng)，也使系統(tǒng)的性能更完善、功能更強大。校內(nèi)網(wǎng)建設(shè)的目標簡而言之是將校內(nèi)內(nèi)各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成校內(nèi)園區(qū)內(nèi)部的Intranet系統(tǒng)，對外通過路由設(shè)備接入廣域網(wǎng)。建設(shè)校內(nèi)網(wǎng)對每個學(xué)校來說都不是一件簡潔的事情,都要經(jīng)過周密的論證、謹慎的決策和驚慌的施工。當一堆設(shè)備變成網(wǎng)絡(luò)的時候,大部分學(xué)校的滿腔熱忱也漸漸地冷卻凝固。校內(nèi)網(wǎng)建成了,各種問題也不斷涌現(xiàn):設(shè)計目標根本無法實現(xiàn),沒有合適的應(yīng)用軟件,很多設(shè)想根本無法實施,后續(xù)的維護費用不堪承受等等。1.2校內(nèi)網(wǎng)建設(shè)的必要性是否在學(xué)校采納最先進的信息和傳播技術(shù)是一個有確定性意義的問題,而且特別重要的是,學(xué)校應(yīng)當處于影響整個社會深刻變革的中心地位。隨著計算機多媒體和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與普及，校內(nèi)網(wǎng)信息系統(tǒng)的建設(shè)，是特別必要的，也是可行的。主要表現(xiàn)在：（1）當前校內(nèi)網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學(xué)和協(xié)作工作的階段，發(fā)展對學(xué)校教化現(xiàn)代化的建設(shè)提出了越來越高的要求。（2）教化信息量的不斷增多,使各級各類學(xué)校、家庭和教化管理部門對教化信息計算機管理和教化信息服務(wù)的要求越來越劇烈。個人是否具有獲得信息和處理信息的實力對于能否勝利進入職業(yè)界和融入社會及文化環(huán)境都是個確定性的因素,因此學(xué)校應(yīng)當培育全部學(xué)生具有駕馭和駕馭這種技術(shù)的實力。另一方面,信息技術(shù)在作為青少年教化工具的同時也向青少年供應(yīng)了前所未有的機會。新技術(shù)供應(yīng)的機會以及它們在教學(xué)方面具有的優(yōu)勢都是很多的,特殊是計算機和多媒體系統(tǒng)的運用有助于個人化的道路,每個學(xué)生在個人的學(xué)習(xí)道路上都可以依據(jù)自己的速度發(fā)展。（3）我國各級教化探討部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級學(xué)校不斷開發(fā)供應(yīng)了各種在網(wǎng)絡(luò)上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、好用化，迫切須要網(wǎng)絡(luò)環(huán)境。（4）現(xiàn)代教化改革的須要。在校內(nèi)網(wǎng)中將計算機引入教學(xué)各個環(huán)節(jié)，從而引起了教學(xué)方法，教學(xué)手段，教學(xué)工具的重大革新。對提高教學(xué)質(zhì)量，推動我國教化現(xiàn)代化的發(fā)展起著不行估量的作用。網(wǎng)絡(luò)又為學(xué)校的管理者和老師供應(yīng)了獲得資源、協(xié)同工作的有效途徑。毫無疑問,校內(nèi)網(wǎng)是學(xué)校提高管理水平、工作效率、改善教學(xué)質(zhì)量的有力手段,是解決信息時代教化問題的基本工具。（5）隨著經(jīng)濟發(fā)展，我國各級政府對教化的投入不斷加大；計算機技術(shù)的飛速發(fā)展，使相應(yīng)產(chǎn)品價格不斷下降；同時人們的相識水平和經(jīng)濟實力不斷提高。大量計算機進入學(xué)校和家庭，使得計算機用于教化信息管理和信息服務(wù)是完全可行的。1.3應(yīng)用特點隨著現(xiàn)代化教學(xué)活動的開展和與國內(nèi)外教學(xué)機構(gòu)交往的增多，對通過Internet/Intranet網(wǎng)絡(luò)進行信息溝通的需求越來越迫切，為促進教學(xué)、便利管理和進一步發(fā)揮學(xué)生的創(chuàng)建力，校內(nèi)網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教化機構(gòu)的必定選擇。校內(nèi)網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個基本的校內(nèi)網(wǎng)具有以下的特點：高速的局域網(wǎng)連接校內(nèi)網(wǎng)的核心為面對校內(nèi)內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點，由于參加網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項基本要求；信息結(jié)構(gòu)多樣化校內(nèi)網(wǎng)應(yīng)用分為電子教學(xué)（多媒體教室、電子圖書館等）、辦公管理和遠程通訊（遠程教學(xué)、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學(xué)包含大量多媒體信息，辦公管理以數(shù)據(jù)庫為主，遠程通訊則多為WWW方式，因此數(shù)據(jù)成分困難，不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求；平安牢靠校內(nèi)網(wǎng)中同樣有大量關(guān)于教學(xué)和檔案管理的重要數(shù)據(jù)，不論是被損壞、丟失還是被竊取，都將帶來極大的損失；操作便利，易于管理校內(nèi)網(wǎng)面對不同學(xué)問層次的老師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太過專業(yè)化；經(jīng)濟好用學(xué)校對網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟好用，具備很高的性能價格比。二、校內(nèi)網(wǎng)絡(luò)需求分析2.1用戶需求分析設(shè)計一個網(wǎng)絡(luò)，首先要為用戶分析目前面臨的主要問題，確定用戶對網(wǎng)絡(luò)的真正需求，并在結(jié)合將來可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，供應(yīng)用戶滿足的高質(zhì)服務(wù)。網(wǎng)絡(luò)在日常教學(xué)辦公環(huán)境中起著至關(guān)重要的作用，校內(nèi)網(wǎng)的運作模式會帶來大量動態(tài)的www應(yīng)用數(shù)據(jù)傳輸，會有相當一部分應(yīng)用的主服務(wù)器有高速接入網(wǎng)絡(luò)的需求（目前為100/1000Mbps，今后可會更高）。這就要求網(wǎng)絡(luò)有足夠的主干帶寬和擴展實力。同時，一些新的應(yīng)用類型，如網(wǎng)絡(luò)教學(xué)、視頻直播/廣播等，也對網(wǎng)絡(luò)提出了支持多點廣播和寬帶高速接入的要求。除上述考慮外，還要留意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必需分開，所以建成后校內(nèi)網(wǎng)應(yīng)能供應(yīng)多個網(wǎng)段的劃分和隔離，并能做到敏捷變更配置，以適應(yīng)教學(xué)辦公環(huán)境的調(diào)整和變更。中心機房到匯聚層節(jié)點采納4兆光纖（多模）連接，匯聚層到接入層采納百兆的五類線（或者超五類）連接。通?？紤]，建議數(shù)據(jù)信息點的接入用交換10/100Mbps自適應(yīng)以太網(wǎng)端口接入，以便能較經(jīng)濟的供應(yīng)較高的帶寬。整個方案設(shè)計的目的是建設(shè)一個集數(shù)據(jù)傳輸和備份、多媒體應(yīng)用、語音傳輸、OA應(yīng)用和Internet訪問等于一體的高牢靠、高性能的寬帶多媒體校內(nèi)網(wǎng)。2.2校區(qū)網(wǎng)絡(luò)的設(shè)計目標:校區(qū)網(wǎng)絡(luò)建設(shè)的目標應(yīng)當是：建成后的網(wǎng)絡(luò)能充分利用Internet、國家信息網(wǎng)、教化網(wǎng)、全國高?；ヂ?lián)網(wǎng)上的各種信息，實現(xiàn)資源共享，能夠為在此校區(qū)學(xué)習(xí)的學(xué)生供應(yīng)豐富的多媒體教學(xué)手段，實現(xiàn)高質(zhì)高效的教學(xué)目標。由此，我們認為，校內(nèi)網(wǎng)網(wǎng)絡(luò)是一個典型的面對將來的網(wǎng)絡(luò)化、信息化、自動化的集消遣、教學(xué)、辦公于一體的，具備多媒體綜合業(yè)務(wù)發(fā)展需求的園區(qū)網(wǎng)絡(luò)。系統(tǒng)總體設(shè)計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進性、高度的平安牢靠性，同時具有良好的開放性、可擴展性。本著為學(xué)校校區(qū)著想，合理運用建設(shè)資金，使系統(tǒng)經(jīng)濟可行。學(xué)校網(wǎng)絡(luò)應(yīng)當實現(xiàn)如下功能：提高公司網(wǎng)絡(luò)狀況,滿足各公司,辦事處,移動用戶的internet訪問須要等。分公司與總公司之間的互訪、數(shù)據(jù)傳送?？偛颗c分公司以及各公司之間的電話、傳真通訊及視頻會議等。提高公司內(nèi)部數(shù)據(jù)平安，快速，穩(wěn)定的傳輸。通過網(wǎng)絡(luò)為辦公室建設(shè)一套技術(shù)先進、運行成熟、操作簡潔和簡潔維護的本地及遠程監(jiān)控系統(tǒng)。通過本系統(tǒng)時間本地及遠程對辦公室整個監(jiān)控區(qū)域進行全面監(jiān)視，加強辦公室監(jiān)控安防措施，讓企業(yè)管理者能隨時了解辦公室狀況，便利企業(yè)做行政監(jiān)控。透過本系統(tǒng)可以為企業(yè)商品或生產(chǎn)現(xiàn)場做網(wǎng)上實時展示演播，提高企業(yè)商品的知名度錄像系統(tǒng)能夠?qū)θ烤W(wǎng)絡(luò)攝像機進行實時錄像或動態(tài)監(jiān)測感知錄像，同時可以進行實時回放。系統(tǒng)要求采納數(shù)字監(jiān)控系統(tǒng)與傳統(tǒng)模擬監(jiān)控系統(tǒng)結(jié)合，采納二個系統(tǒng)的特長組建一個高性能的網(wǎng)絡(luò)監(jiān)控系。要求在限制中心組建一個電視監(jiān)控墻，電視監(jiān)控墻的視頻來自本公司內(nèi)部網(wǎng)絡(luò)，一次本系統(tǒng)在網(wǎng)絡(luò)方面要求很高。系統(tǒng)要求在10個分控點的本地監(jiān)控系統(tǒng)采納模擬監(jiān)控，但要具備強大的網(wǎng)絡(luò)功能，以便于限制中心遠程通過有限的網(wǎng)絡(luò)資源來用電視墻監(jiān)視及限制。2.3系統(tǒng)設(shè)計指導(dǎo)思想建設(shè)校內(nèi)網(wǎng)絡(luò)，本著少花錢辦大事的原則，充分利用有限的投資，在保證網(wǎng)絡(luò)先進性的前提下，選用性能價格比最好的設(shè)備，我們認為校內(nèi)網(wǎng)建設(shè)應(yīng)當遵循以下原則：●先進性以先進、成熟的網(wǎng)絡(luò)通信技術(shù)進行組網(wǎng)，支持數(shù)據(jù)、語音、視像等多媒體應(yīng)用，用基于交換的技術(shù)替代傳統(tǒng)的基于路由的技術(shù)?！駱藴驶烷_放性網(wǎng)絡(luò)協(xié)議采納符合ISO及其他標準，如：IEEE、ITUT、ANSI等制定的協(xié)議，采納遵從國際和國家標準的網(wǎng)絡(luò)設(shè)備?！窭慰啃院涂捎眯赃x用高牢靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)在程序運行時的應(yīng)變實力和容錯實力，確保整個系統(tǒng)的平安與牢靠。●設(shè)備的兼容性選用符合國際發(fā)展潮流的國際標準的軟件技術(shù)，以便系統(tǒng)有牢靠性強、可擴展和可升級等特點，保證今后可快速采納計算機網(wǎng)絡(luò)發(fā)展出現(xiàn)的新技術(shù)，同時為現(xiàn)存不同的網(wǎng)絡(luò)設(shè)備、小型機、工作站、服務(wù)器、和微機等設(shè)備供應(yīng)入網(wǎng)和互連手段。●好用性和經(jīng)濟性從好用性和經(jīng)濟性動身，著眼于近期目標和長期的發(fā)展，選用先進的設(shè)備，進行最佳性能組合，利用有限的投資構(gòu)造一特性能最佳的網(wǎng)絡(luò)系統(tǒng)?！衿桨残院捅Ｃ苄栽诮尤隝nternet的狀況下，必需保證網(wǎng)上信息和各種應(yīng)用系統(tǒng)的平安。●擴展性和升級實力網(wǎng)絡(luò)設(shè)計應(yīng)具有良好的擴展性和升級實力，選用具有良好升級實力和擴展性的設(shè)備。在以后對該網(wǎng)絡(luò)進行升級和擴展時，必需能愛護現(xiàn)有投資。應(yīng)支持多種網(wǎng)絡(luò)協(xié)議、多種高層協(xié)議和多媒體應(yīng)用?！窬W(wǎng)絡(luò)的敏捷性系統(tǒng)的敏捷性主要表現(xiàn)在軟件配置與負載平衡等方面，協(xié)作交換機產(chǎn)品與路由器產(chǎn)品支持的最先進的虛擬網(wǎng)絡(luò)技術(shù)，整個網(wǎng)絡(luò)系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個網(wǎng)絡(luò)轉(zhuǎn)移到另一個網(wǎng)絡(luò)，可以跨越辦公室、辦公樓，而無需任何硬件的變更，以適應(yīng)機構(gòu)的變更。同時也可以通過平衡網(wǎng)絡(luò)的流量，以提高網(wǎng)絡(luò)的性能。三、組網(wǎng)技術(shù)及產(chǎn)品選擇3.1組網(wǎng)技術(shù)選擇在校內(nèi)網(wǎng)校區(qū)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對網(wǎng)絡(luò)建設(shè)的勝利與否起著確定性的作用。選擇適合校內(nèi)網(wǎng)絡(luò)需求特點的主流網(wǎng)絡(luò)技術(shù)，不但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進性和擴展性，能夠在將來向更新技術(shù)平滑過渡，愛護用戶的投資。目前在局域網(wǎng)絡(luò)上應(yīng)用最廣泛的技術(shù)有以太網(wǎng)、快速以太網(wǎng)、FDDI、TokenRing以及最新崛起的ATM（異步傳輸模式）、千兆以太網(wǎng)等。交換式以太網(wǎng)作為幾年前主干網(wǎng)組網(wǎng)的主要技術(shù)，現(xiàn)在主要被用于工作組級組網(wǎng)，使網(wǎng)絡(luò)交換到桌面工作站。快速以太網(wǎng)是一種特別成熟的組網(wǎng)技術(shù)，造價很低，性能價格比很高，可作為資金不很充裕的中小型單位組建Intranet網(wǎng)的首選技術(shù)。快速以太網(wǎng)技術(shù)現(xiàn)在被廣泛用于大型企業(yè)網(wǎng)的二級、三級網(wǎng)絡(luò)組網(wǎng)或干脆連至桌面工作站。FDDI也是一種成熟的組網(wǎng)技術(shù)，但技術(shù)困難、造價高，F(xiàn)DDI網(wǎng)絡(luò)難以向更先進的網(wǎng)絡(luò)技術(shù)升級，現(xiàn)在用FDDI組建主干網(wǎng)的狀況已特別少見。ATM技術(shù)成熟而困難，組網(wǎng)成本高，是多媒體應(yīng)用系統(tǒng)的志向網(wǎng)絡(luò)平臺。但是，網(wǎng)絡(luò)帶寬的實際利用率很低。在選擇校內(nèi)校區(qū)網(wǎng)絡(luò)技術(shù)時應(yīng)當考慮如下：長遠來看如何愛護現(xiàn)有投資。愛護現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡(luò)技術(shù)升級時還能運用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品。猶如計算機的發(fā)展速度一樣，網(wǎng)絡(luò)技術(shù)的發(fā)展也是特別快速的。從目前的趨勢來看，采納快速以太網(wǎng)技術(shù)是最相宜的。在校內(nèi)網(wǎng)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對網(wǎng)絡(luò)建設(shè)的勝利與否起著確定性的作用。選擇校內(nèi)網(wǎng)網(wǎng)絡(luò)需求特點的主流網(wǎng)絡(luò)技術(shù)，不但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進性和擴展性，能夠在將來向更新技術(shù)平滑過渡，愛護用戶的投資。依據(jù)我們對校內(nèi)網(wǎng)網(wǎng)絡(luò)需求的分析并結(jié)合目前高速主干網(wǎng)絡(luò)技術(shù)的特點，我公司建議采納快速以太網(wǎng)技術(shù)做為校內(nèi)網(wǎng)的主干網(wǎng)絡(luò)。3.2網(wǎng)絡(luò)產(chǎn)品選型校區(qū)網(wǎng)絡(luò)建設(shè)應(yīng)當以應(yīng)用為核心，在設(shè)計中充分考慮到教化管理和多媒體教學(xué)的要求，并且網(wǎng)絡(luò)技術(shù)上應(yīng)當具有肯定的先進性，同時還要為以后的擴展留有肯定的空間。為此校內(nèi)校區(qū)網(wǎng)絡(luò)網(wǎng)應(yīng)當能達到以下要求：穩(wěn)定牢靠的網(wǎng)絡(luò)只有運行穩(wěn)定的網(wǎng)絡(luò)才是牢靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)的牢靠運行取決于諸多因素，如網(wǎng)絡(luò)的設(shè)計，產(chǎn)品的牢靠，而選擇一個具有運營此類網(wǎng)絡(luò)規(guī)模閱歷的網(wǎng)絡(luò)合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。為了讓學(xué)校安心正常運行,在核心交換機上運用雙機熱備份技術(shù).雙機熱備份技術(shù)是一種軟硬件結(jié)合的較高容錯應(yīng)用方案。該方案是由兩臺服務(wù)器系統(tǒng)和一個外接共享磁盤陣列柜（也可沒有，而是在各自的服務(wù)器中實行RAID卡）及相應(yīng)的雙機熱備份軟件組成。在這個容錯方案中，操作系統(tǒng)和應(yīng)用程序安裝在兩臺服務(wù)器的本地系統(tǒng)盤上，整個網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)是通過磁盤陣列集中管理和數(shù)據(jù)備份的。數(shù)據(jù)集中管理是通過雙機熱備份系統(tǒng)，將全部站點的數(shù)據(jù)干脆從中心存儲設(shè)備讀取和存儲，并由專業(yè)人員進行管理，極大地愛護了數(shù)據(jù)的平安性和保密性。用戶的數(shù)據(jù)存放在外接共享磁盤陣列中，在一臺服務(wù)器出現(xiàn)故障時，備機主動替代主機工作，保證網(wǎng)絡(luò)服務(wù)不間斷。雙機熱備份系統(tǒng)采納“心跳”方法保證主系統(tǒng)與備用系統(tǒng)的聯(lián)系。所謂“心跳”，指的是主從系統(tǒng)之間相互依據(jù)肯定的時間間隔發(fā)送通訊信號，表明各自系統(tǒng)當前的運行狀態(tài)。一旦“心跳”信號停止表明主機系統(tǒng)發(fā)生故障，或者備用系統(tǒng)無法收到主機系統(tǒng)的“心跳”信號，則系統(tǒng)的高可用性管理軟件認為主機系統(tǒng)發(fā)生故障，主機停止工作，并將系統(tǒng)資源轉(zhuǎn)移到備用系統(tǒng)上，備用系統(tǒng)將替代主機發(fā)揮作用，以保證網(wǎng)絡(luò)服務(wù)運行不間斷。雙機熱備份方案中，依據(jù)兩臺服務(wù)器的工作方式可以有三種不同的工作模式，即：雙機熱備模式、雙機互備模式和雙機雙工模式。工作模式雙機熱備模式即目前通常所說的active/standby方式，active服務(wù)器處于工作狀態(tài)；而standby服務(wù)器處于監(jiān)控打算狀態(tài)，服務(wù)器數(shù)據(jù)包括數(shù)據(jù)庫數(shù)據(jù)同時往兩臺或多臺服務(wù)器寫入（通常各服務(wù)器采納RAID磁盤陣列卡），保證數(shù)據(jù)的即時同步。當active服務(wù)器出現(xiàn)故障的時候，通過軟件診測或手工方式將standby機器激活，保證應(yīng)用在短時間內(nèi)完全復(fù)原正常運用。典型應(yīng)用在證券資金服務(wù)器或行情服務(wù)器。這是目前采納較多的一種模式，但由于另外一臺服務(wù)器長期處于后備的狀態(tài)，從計算資源方面考量，就存在肯定的奢侈。雙機互備模式是兩個相對獨立的應(yīng)用在兩臺機器同時運行，但彼此均設(shè)為備機，當某一臺服務(wù)器出現(xiàn)故障時，另一臺服務(wù)器可以在短時間內(nèi)將故障服務(wù)器的應(yīng)用接管過來，從而保證了應(yīng)用的持續(xù)性，但對服務(wù)器的性能要求比較高。配置相對要好。雙機雙工模式是目前cluster（群集:群集包括兩種，一種是網(wǎng)絡(luò)負載平衡，別一種是服務(wù)器群集。這里的雙機雙工模式是屬于網(wǎng)絡(luò)負載平衡群集。）的一種形式，兩臺服務(wù)器均為活動，同時運行相同的應(yīng)用，保證整體的性能，也實現(xiàn)了負載均衡和互為備份，須要利用磁盤柜存儲技術(shù)（最好采納San方式）。WEB服務(wù)器或FTP服務(wù)器等用此種方式比較多。高帶寬由于校內(nèi)校區(qū)網(wǎng)絡(luò)網(wǎng)絡(luò)應(yīng)用的特殊性,它對整個網(wǎng)絡(luò)系統(tǒng)的性能要求相對來說比較高。其中，網(wǎng)絡(luò)速率要求主要的信息點100M交換到桌面，園區(qū)網(wǎng)中各終端間具有快速交換功能。為了支持數(shù)據(jù)、話音、視像多媒體的傳輸實力，在技術(shù)上要到達當前的國際先進水平。要采納最先進的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮將來的發(fā)展。為此應(yīng)選用高帶寬的先進技術(shù)。易擴展的網(wǎng)絡(luò)系統(tǒng)要有可擴展性和可升級性。易擴展不僅僅指設(shè)備端口的擴展，還指網(wǎng)絡(luò)結(jié)構(gòu)的易擴展性：即只有在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計合理的狀況下，新的網(wǎng)絡(luò)節(jié)點才能便利地加入已有網(wǎng)絡(luò)；網(wǎng)絡(luò)協(xié)議的易擴展：無論是選擇第三層網(wǎng)絡(luò)路由協(xié)議，還是規(guī)劃其次層虛擬網(wǎng)的劃分，都應(yīng)留意其擴展實力。對于核心網(wǎng)絡(luò)設(shè)備，要求骨干交換機具備第三層交換實力，要求支持今后的視頻點播、電視電話會議的寬帶多媒體應(yīng)用，并要求留有肯定的擴充實力。QoS保證隨著網(wǎng)絡(luò)中多媒體的應(yīng)用越來越多，這類應(yīng)用對服務(wù)質(zhì)量的要求較高，本網(wǎng)絡(luò)系統(tǒng)應(yīng)能保證QoS，以支持這類應(yīng)用。 平安性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的平安性，由于網(wǎng)絡(luò)連接園區(qū)內(nèi)部全部用戶，平安管理特別重要。網(wǎng)絡(luò)具有防止及便于捕殺病毒功能。應(yīng)支持VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的平安限制，以保證系統(tǒng)的平安性。校區(qū)網(wǎng)絡(luò)與校內(nèi)網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)?？蓪尤胍蛱鼐W(wǎng)的各網(wǎng)絡(luò)用戶進行權(quán)限限制。簡潔限制管理對于網(wǎng)絡(luò)管理，要求采納智能化網(wǎng)絡(luò)管理軟件，實現(xiàn)對網(wǎng)絡(luò)的自動監(jiān)測和限制。并支持虛擬網(wǎng)絡(luò)功能，對網(wǎng)絡(luò)用戶具有分類限制功能。IPMulticast由于校內(nèi)校區(qū)網(wǎng)絡(luò)中包含很多多媒體應(yīng)用通信，會存在很多的廣播信息，占用大量的帶寬資源。所以網(wǎng)絡(luò)系統(tǒng)應(yīng)能支持IPMulticast，可以削減網(wǎng)絡(luò)中不必要的廣播，節(jié)約主干的帶寬。符合IP發(fā)展趨勢的網(wǎng)絡(luò)在當前任何一個供應(yīng)服務(wù)的網(wǎng)絡(luò)中，對IP的支持服務(wù)是最普遍的，而IP技術(shù)本身又處在發(fā)展變更中，如IpV6，IPQoS，IPOverSONET等等新興的技術(shù)不斷出現(xiàn)，校內(nèi)網(wǎng)絡(luò)必需跟緊IP發(fā)展的步伐，也就是必需選擇處于IP發(fā)展領(lǐng)導(dǎo)地位的網(wǎng)絡(luò)廠商。四、校內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)計方案及分析4.1網(wǎng)絡(luò)的分層設(shè)計原則可擴展性：因為網(wǎng)絡(luò)可模塊化增長而不會遇到問題；簡潔性：通過將網(wǎng)絡(luò)分成很多小單元，降低了網(wǎng)絡(luò)的整體困難性，使故障解除更簡潔，能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的問題；設(shè)計的敏捷性：使網(wǎng)絡(luò)簡潔升級到最新的技術(shù)，升級隨意層次的網(wǎng)絡(luò)不會對其他層次造成影響，無需變更整個環(huán)境；可管理性：層次結(jié)構(gòu)使單個設(shè)備的配置的困難性大大降低，更易管理。核心層(CoreLayer)核心層為下兩層供應(yīng)優(yōu)化的數(shù)據(jù)輸運功能，它是一個高速的交換骨干，其作用是盡可能快地交換數(shù)據(jù)包而不應(yīng)卷入到具體的數(shù)據(jù)包的運算中(ACL，過濾等)，否則會降低數(shù)據(jù)包的交換速度。分布層(DistributionLayer)分布層供應(yīng)基于統(tǒng)一策略的互連性，它是核心層和訪問層的分界點，定義了網(wǎng)絡(luò)的邊界，對數(shù)據(jù)包進行困難的運算。在園區(qū)網(wǎng)絡(luò)環(huán)境中，分布層主要供應(yīng)如下功能：地址的聚集部門和工作組的接入廣播域/多目傳輸域的定義InterVLAN路由任何介質(zhì)的轉(zhuǎn)換平安限制接入層(AccessLayer)接入層的主要功能是為最終用戶供應(yīng)對園區(qū)網(wǎng)絡(luò)訪問的途徑。本層也可以供應(yīng)進一步的調(diào)整，如Access-listFiltering等。在園區(qū)網(wǎng)絡(luò)環(huán)境中，接入層主要供應(yīng)如下功能：帶寬共享（SharedBandwidth）交換帶寬（SwitchedBandwidth）MAC層過濾（MACLayerFiltering(possibly)）微分網(wǎng)段（Microsegmentation）在廣域網(wǎng)環(huán)境中，接入層主要供應(yīng)通過FrameRelay、ISDN、LeasedLine連入遠程節(jié)點。4.2校內(nèi)網(wǎng)方案特性分析高性能的網(wǎng)絡(luò)設(shè)計設(shè)備的高性能：核心節(jié)點的交換機是整個校內(nèi)網(wǎng)絡(luò)的核心，應(yīng)當采納有多層交換功能的交換機。核心交換機應(yīng)采納模塊化設(shè)計，有良好的擴展性能、多種接入模塊；具備增加的網(wǎng)絡(luò)傳輸實力，支持VLAN、RIP和OSPF協(xié)議、服務(wù)質(zhì)量（QOS）、IP組播、DHCP中繼和AAA認證等功能；支持通用的管理特性（SNMP），能運用流行的網(wǎng)管軟件對它進行管理，如HPOpenView等。會聚層交換連接核心和接入層，應(yīng)當采納帶VLAN和網(wǎng)管功能的中低檔交換機。匯聚層交換機具有快速的級聯(lián)核心的以太端口以及高速堆疊模塊；帶VLAN子網(wǎng)劃分功能，能很好的管理接入層用戶；支持IEEE802.1Q、VTP、SNMP等協(xié)議。網(wǎng)絡(luò)的高性能設(shè)計：整個校內(nèi)的建設(shè)可以采納全交換方式，100兆到每個接入層用戶。有效的子網(wǎng)劃分和流量限制使整個校內(nèi)網(wǎng)絡(luò)能高速、平安的運行。集成的用戶管理功能供應(yīng)完善的用戶管理機制，實現(xiàn)全面的用戶認證、鑒權(quán)和計費(AAA)功能。用戶管理引擎實現(xiàn)了依據(jù)用戶MAC地址、VLANID和IP地址的綁定關(guān)系鑒別用戶的合法性的功能?？梢罁?jù)用戶的權(quán)限，實現(xiàn)對用戶訪問資源的限制。實現(xiàn)基于VLANID/MAC地址、接入模塊號和接入設(shè)備號的全程用戶唯一標識，便于用戶管理（開戶、銷戶、欠費停機等）和網(wǎng)絡(luò)故障維護。敏捷的網(wǎng)絡(luò)的可擴展性設(shè)計網(wǎng)絡(luò)的擴展性對網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展至關(guān)重要，它干脆確定了校內(nèi)網(wǎng)是否能夠在節(jié)約成本的基礎(chǔ)上跟上網(wǎng)絡(luò)技術(shù)的發(fā)展和滿足學(xué)校信息不斷增長的須要，一個擴展性差的網(wǎng)絡(luò)不僅為學(xué)校的投資造成了巨大的奢侈，同時又無法滿足學(xué)校網(wǎng)絡(luò)業(yè)務(wù)不斷發(fā)展和信息的增長的須要，為了保證網(wǎng)絡(luò)能夠不斷的適應(yīng)學(xué)校網(wǎng)絡(luò)業(yè)務(wù)今后發(fā)展的不斷需求，可以采納以下的措施來保證網(wǎng)絡(luò)的擴展性。（1）所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)當具有良好的擴展性。選擇的網(wǎng)絡(luò)設(shè)備最好是模塊化的，便于網(wǎng)絡(luò)的擴大和更改，其中核心交換機應(yīng)具有多種模塊類型，以滿足各種網(wǎng)絡(luò)類型的接入。匯聚層交換機可以采納一款可堆疊的網(wǎng)管型以太網(wǎng)交換機，半/全雙工模式自適應(yīng)，具有擴展槽，能運用多種可選模塊。（2）所選擇的設(shè)備都具有良好的軟件再升級實力。我們所選擇的網(wǎng)絡(luò)設(shè)備都是可以通過軟件升級來不斷的滿足客戶的新的需求同時跟上網(wǎng)絡(luò)技術(shù)的發(fā)展。由于網(wǎng)絡(luò)的技術(shù)層出不窮，用戶的需求也不斷增加，現(xiàn)在是新的技術(shù)，再過一段時間就會落后了，為了保證用戶的網(wǎng)絡(luò)產(chǎn)品能夠跟上這一節(jié)奏，而不須要更換網(wǎng)絡(luò)設(shè)備，從而削減了用戶的投資。完善的QOS功能帶寬限制特性以太網(wǎng)是一種基于廣播機制的共享型技術(shù)，任何一個位于以太網(wǎng)上的用戶均可以向網(wǎng)上發(fā)送信息，在以太網(wǎng)的技術(shù)中沒有具體帶寬限制的機理。網(wǎng)絡(luò)產(chǎn)品應(yīng)供應(yīng)對用戶帶寬限制的功能。帶寬限制通過對每一個用戶的上行帶寬與下行帶寬進行限制，保證對每個用戶的公允性，防止在共享型網(wǎng)絡(luò)結(jié)構(gòu)中某一用戶長期惡意霸占帶寬而導(dǎo)致其他用戶無法享受服務(wù)的現(xiàn)象。Qos限制特性隨著IP網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)上的實時業(yè)務(wù)量也在不斷增長，同時網(wǎng)絡(luò)上的應(yīng)用類型多種多樣，不同的應(yīng)用對網(wǎng)絡(luò)的需求也有所不同。IP網(wǎng)絡(luò)中引入QoS技術(shù)，就是為了確保實時業(yè)務(wù)的通信質(zhì)量，滿足各種業(yè)務(wù)對網(wǎng)絡(luò)資源的需求，使網(wǎng)上資源獲得最佳利用，降低成本，改善對用戶的服務(wù)。牢靠的網(wǎng)絡(luò)平安設(shè)計平安性是網(wǎng)絡(luò)設(shè)計要考慮的最重要的因素之一，設(shè)計中充分考慮了網(wǎng)絡(luò)的平安性，具體體現(xiàn)在以下幾個方面：（1）通過VLAN的劃分，限制了不同VLAN之間的互訪，從而保證了不同網(wǎng)絡(luò)之間不會發(fā)生未經(jīng)授權(quán)的非法訪問。（2）在核心節(jié)點可供應(yīng)基于地址的Access-list，以限制用戶對于關(guān)鍵資源的訪問。通過在匯聚和核心交換機上設(shè)置VLAN路由以及訪問過濾，保證了在VLAN之間只有被允許的訪問才能發(fā)生，而未經(jīng)授權(quán)的訪問都會被禁止。（3）通過對上網(wǎng)的平安教化，提高平安意識，特殊是增加計算機操作人員的密碼管理意識，以防止由于操作員密碼有意無意泄露給他人而造成的損失。（4）制定嚴格的平安制度，包括人員審查制度、崗位定職定責制度、運用計算機的權(quán)限制度以及防病毒制度，從制度上保證網(wǎng)絡(luò)平安性得以實現(xiàn)。（5）可以對全部的重要事務(wù)進行Log，這樣便利網(wǎng)絡(luò)管理員進行故障查找；（6）可以對全部的Telnet以及SNMP的訪問進行限制，從而最大程度地保證匯聚層系統(tǒng)地平安。（7）可以在接入層中通過限制MAC地址的訪問提高網(wǎng)絡(luò)平安。便利的網(wǎng)絡(luò)管理和維護（1）為了提高網(wǎng)絡(luò)管理實力設(shè)計中全部設(shè)備最好具有網(wǎng)管功能，不存在光纖收發(fā)器等類似不行網(wǎng)管設(shè)備，提高了網(wǎng)絡(luò)牢靠性和可管理。（2）支持通用的網(wǎng)絡(luò)管理協(xié)議如（SNMP），便利網(wǎng)絡(luò)的管理和維護。（3）支持通用的的網(wǎng)絡(luò)管理軟件，如CiscoCiscoworks、HPOpenView、3ComTrensand。運營級的網(wǎng)絡(luò)高牢靠性的設(shè)計可以從兩方面來考慮：關(guān)鍵設(shè)備的主要模塊和電源的冗余備分考慮在網(wǎng)絡(luò)設(shè)計中所涉及的全部主要設(shè)備，均采納高牢靠設(shè)計的原則。核心關(guān)鍵部件的冗余備份：電源冗余、主控板冗余、模塊冗余等。網(wǎng)絡(luò)鏈路的冗余備分考慮4.3系統(tǒng)平臺和應(yīng)用系統(tǒng)系統(tǒng)平臺選擇系統(tǒng)平臺的建設(shè)主要包括：網(wǎng)絡(luò)操作系統(tǒng)、桌面平臺、數(shù)據(jù)庫、防火墻等的選擇。一般校內(nèi)網(wǎng)絡(luò)，服務(wù)器系統(tǒng)平臺可以選擇微軟WINDOWS2003SERVER操作系統(tǒng)的解決方案，供應(yīng)域名服務(wù)、WWW服務(wù)、FTP服務(wù)、E－mail服務(wù)等。具有強大的網(wǎng)絡(luò)功能和可二次開發(fā)性。桌面操作系統(tǒng)比較可以選擇XP和LINUX等平臺。采納WINdows2003SERVER建立FTP服務(wù)器一般來說，用戶聯(lián)網(wǎng)的首要目的就是實現(xiàn)信息共享，文件傳輸是信息共享特別重要的一個內(nèi)容之一。在校內(nèi)內(nèi)部信息溝通是特別頻繁，所以有必要在網(wǎng)絡(luò)中運用WINdows2003SERVER架設(shè)起一個FTP服務(wù)器。五.思科公司校內(nèi)網(wǎng)解決方案5.1系統(tǒng)組成與拓撲結(jié)構(gòu)校內(nèi)網(wǎng)的建設(shè)主要是為了教學(xué)應(yīng)用，而多媒體協(xié)助教學(xué)和多媒體教室是教學(xué)應(yīng)用的核心，在網(wǎng)絡(luò)建設(shè)時應(yīng)考慮多媒體信息的特點，如信息量大，對時間延遲敏感等；在校內(nèi)網(wǎng)中常會出現(xiàn)幾十個學(xué)生執(zhí)行相同操作的現(xiàn)象，所以要考慮并發(fā)信息的限制；學(xué)生利用網(wǎng)絡(luò)做作業(yè)，老師要在家撥號訪問學(xué)校網(wǎng)絡(luò)，學(xué)籍管理信息在網(wǎng)上傳輸，所以也要考慮網(wǎng)絡(luò)的平安性，防止黑客破壞網(wǎng)絡(luò)，學(xué)生抄襲作業(yè)；校內(nèi)網(wǎng)又是面對不同學(xué)問層次的老師、學(xué)生和辦公人員的工具，它幫助我們更好地提高教學(xué)水平、辦公效率和學(xué)習(xí)愛好，所以應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太專業(yè)化?？紤]到春華學(xué)校的具體狀況如性質(zhì)、規(guī)模、財務(wù)等。這是一個相對小型的校內(nèi)網(wǎng)絡(luò)，單一建筑內(nèi)的網(wǎng)絡(luò)應(yīng)用，思科公司提出以下校內(nèi)網(wǎng)解決方案：方案特點如下：（1）支持多媒體應(yīng)用，包括多媒體教室、電子閱覽室、多媒體教學(xué)；（2）高性能，全交換，滿足用戶需求；（3）管理簡潔，閱讀器方式無需特地培訓(xùn)；（4）系統(tǒng)平安，保密性高；（5）ADSL連接方式，按需建立連接降低鏈路費用。（6）互聯(lián)網(wǎng)接入，平安的廣域網(wǎng)訪問。方案拓撲結(jié)構(gòu)如下：由圖可看出，網(wǎng)絡(luò)設(shè)備組成為：atalyst2900交換機五臺Cisco850路由器一臺思科公司的cisco850路由器是這一網(wǎng)絡(luò)的核心設(shè)備，可降低擁有成本，簡化遠程管理，供應(yīng)結(jié)合CSU/DSU、復(fù)用器、調(diào)制解調(diào)器、語音/數(shù)據(jù)網(wǎng)關(guān)、ISDNNT1、防火墻、VPN、加密和壓縮設(shè)備的集成化網(wǎng)絡(luò)。Catalyst2900交換機它供應(yīng)了24個10/100M自適應(yīng)的快速以太網(wǎng)端口，。這是一個全交換的網(wǎng)絡(luò)，相對共享式集線器而言，交換機各端口擁有獨占的帶寬，能實現(xiàn)多路并行傳輸，不易發(fā)生沖突，能為多媒體信息供應(yīng)更好的保障。考慮到Internet接入是校內(nèi)網(wǎng)的發(fā)展趨勢，在這套解決方案中都用到了路由器來引入廣域網(wǎng)的遠程連接，這套方案中用到了思科公司的低端路由器Cisco850，它供應(yīng)了對內(nèi)的10/100M局域網(wǎng)接口和對外的ADSL連接，通過Internet實現(xiàn)遠程教學(xué)或教學(xué)演播等應(yīng)用。傳輸穩(wěn)定，連接快速。在實現(xiàn)基本數(shù)據(jù)傳遞的基礎(chǔ)上，用戶可以依據(jù)自己的須要敏捷選用上述網(wǎng)絡(luò)設(shè)備中的某些性能。如：路由器和交換機的組內(nèi)廣播功能可為多媒體信息的傳輸供應(yīng)更高的服務(wù)質(zhì)量；而catalyst2900之間建立快速以太網(wǎng)通道，在全雙工模式下達到400M的高速級聯(lián)；此外，850路由器兼任了防火墻－－思科公司系列中、低端路由器都可以通過操作系統(tǒng)升級具備防火墻性能，在擔當遠程連接的同時實施數(shù)據(jù)包檢驗和過濾，防止非法用戶侵入到內(nèi)部局域網(wǎng)中－－對連接到Internet這一開放網(wǎng)絡(luò)的用戶來說，平安性是網(wǎng)絡(luò)設(shè)計中不容忽視的一項重要因素。這套方案的好處是簡便易行，成本很低，并且兼顧了教學(xué)、管理和通訊三方面應(yīng)用。方案中所用到的產(chǎn)品都屬思科公司產(chǎn)品中的低端設(shè)備，在實現(xiàn)高性價比的桌面應(yīng)用的同時又做到易于配置和管理：catalyst2900屬即插即用的設(shè)備，假如不添加特殊功能則不需任何配置，cisco850的設(shè)置和管理也特別便利，這樣用戶運用起來將得心應(yīng)手，無后顧之憂。5.2IP地址規(guī)劃建議在設(shè)計IP地址方案之前，應(yīng)考慮以下幾個問題:（1）是否將網(wǎng)絡(luò)用真實地址連入Internet。（2）是否將網(wǎng)絡(luò)劃分為若干子網(wǎng)以便利網(wǎng)絡(luò)管理。（3）是采納靜態(tài)IP地址安排還是動態(tài)IP地址安排。（4）每個子網(wǎng)現(xiàn)在規(guī)劃多少個信息點。（5）每個子網(wǎng)將來會增加多少個信息點。通過Proxy或NAT方式使私有地址能夠訪問公網(wǎng)資源。在申請的公網(wǎng)IP地址不能完全滿足每個信息點一個的狀況下，可以采納公網(wǎng)地址與私網(wǎng)地址結(jié)合的方式。但是有時安排了私網(wǎng)地址的客戶端也要訪問Internet。針對這種狀況，可以采納不同的技術(shù)使私有地址能夠訪問公網(wǎng)資源。通?？梢岳么矸?wù)(Proxy)和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)這兩項技術(shù)。園區(qū)網(wǎng)安排IP地址方案，一個有效的IP地址規(guī)劃或IP地址方案就是在地址資源的效率性和管理的便利性之間找到最佳的平衡點。按行政隸屬劃分是指按信息節(jié)點的行政隸屬關(guān)系將用戶按校內(nèi)各部門進行IP地址安排規(guī)劃。由于各部門之間在地域位置上并不肯定集中，但須要統(tǒng)一管理，因此我們建議采納行政隸屬的方式劃分IP地址段。按樓宇規(guī)劃在傳統(tǒng)的網(wǎng)絡(luò)平臺上很難實現(xiàn)。主要是因為傳統(tǒng)的網(wǎng)絡(luò)平臺局限于設(shè)備的地理位置，無法跨地域進行敏捷規(guī)劃。但現(xiàn)今的網(wǎng)絡(luò)平臺都支持虛擬網(wǎng)絡(luò)—VLAN技術(shù)。該技術(shù)避開了物理位置的缺陷，可以在邏輯上敏捷組網(wǎng)。因此，IP網(wǎng)段規(guī)劃可以與VLAN的劃分相一樣。規(guī)劃每個網(wǎng)段中的信息點數(shù)時，既要考慮到當前IP地址資源的充分利用性，又要預(yù)留出適當?shù)臄U展余地，因此假如采納私網(wǎng)地址安排IP，建議我們都采納的網(wǎng)絡(luò)，依據(jù)具體的部門狀況再分為具體的子網(wǎng)。從閱歷角度，通常一個IP網(wǎng)段也是一個獨立的VLAN，也就是一個獨立的廣播域。一個網(wǎng)段內(nèi)的信息節(jié)點數(shù)在40-200個時，性能和地址資源的最佳利用性較志向，并且將來可擴充到254個。寬帶接入用戶接入寬帶IP網(wǎng)的方式可以有多種形式：首先，用戶利用固定IP地址接入，則無需其它的認證過程，只需將用戶所連的交換機端口劃入某一特點VLAN即可；其次用戶通過PPP方式接入，即虛擬撥號方式，則須要一個專用的PPP終結(jié)設(shè)備終結(jié)PPP進程，通過對PPP進程的認證，可以確認用戶身份；用戶還可以利用DHCP獲得IP地址。另外交換機可以實現(xiàn)專用VLAN技術(shù)，可以通過配置選擇實現(xiàn)在同一VLAN內(nèi)用戶是否可以互通，進行數(shù)據(jù)交換。依據(jù)溫州春華的教務(wù)和公務(wù)的狀況，劃分以下兩個子網(wǎng)即可。表1-1模擬校內(nèi)網(wǎng)絡(luò)終端分布專業(yè)機房臺式PC機16臺萬博機房一臺式PC機16臺萬博機房二臺式PC機18臺教室一2臺（臺式機1臺、筆記本1臺）教室二2臺（臺式機1臺、筆記本1臺）教室三臺式PC機19臺多媒體教室2臺（臺式機1臺、筆記本1臺）辦公室10臺（臺式機5臺、筆記本5臺）校長室筆記本1臺學(xué)生會辦公室臺式PC機2臺詢問室1臺式PC機1臺詢問室2筆記本2臺前臺臺式PC機1臺表1-2IP子網(wǎng)劃分方案子網(wǎng)號IP網(wǎng)段默認網(wǎng)關(guān)說明CHJW（包括萬博1、2機房等全部的教務(wù)場所）CHGW（包括校長室、辦公室等全部辦公場所）5.3校內(nèi)網(wǎng)絡(luò)平安接入校內(nèi)網(wǎng)絡(luò)平安校內(nèi)網(wǎng)絡(luò)擔當著整個校內(nèi)的通訊樞紐功能，連接著全部的應(yīng)用服務(wù)器和數(shù)據(jù)系統(tǒng)，任何網(wǎng)絡(luò)平安問題都會擾亂學(xué)校辦公、教務(wù)的正常運轉(zhuǎn)，給學(xué)校帶來不行彌補的損失。目前在局域網(wǎng)中遇到的問題主要有以下幾種：IP地址的管理問題，包括IP地址非法運用、IP地址沖突和IP地址欺瞞利用ARP欺瞞獲得賬號、密碼、信息，甚至惡意篡改信息內(nèi)容、嫁禍他人問題木馬、蠕蟲病毒攻擊導(dǎo)致的信息失竊、網(wǎng)絡(luò)癱瘓問題攻擊或病毒源機器的快速定位、隔離問題IP的地址管理始終是長期困擾局域網(wǎng)平安穩(wěn)定運行的首要問題。在局域網(wǎng)上任何用戶運用未經(jīng)授權(quán)的IP地址都應(yīng)視為IP非法運用。由于終端用戶可以自由修改IP地址，從而產(chǎn)生了IP地址非法運用問題。改動后的IP地址在局域網(wǎng)中運行時可能出現(xiàn)以下狀況。非法的IP地址即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)重復(fù)的IP地址與已經(jīng)安排且正在局域網(wǎng)運行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網(wǎng)冒用合法用戶的IP地址當合法用戶不在線時，冒用其IP地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害無論是有意或無意地運用非法IP地址都可能會給企業(yè)帶來嚴峻的后果，如重復(fù)的IP地址會干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備的正常運行，甚至導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定，從而影響業(yè)務(wù)；擁有被非法運用的IP地址所擁有的特權(quán)，威逼網(wǎng)絡(luò)平安；利用欺瞞性的IP地址進行網(wǎng)絡(luò)攻擊，如富有侵略性的TCPSYN洪泛攻擊來源于一個欺瞞性的IP地址，它是利用TCP三次握手會話對服務(wù)器進行顛覆的一種攻擊方式，一個IP地址欺瞞攻擊者可以通過手動修改地址或者運行一個實施地址欺瞞的程序來假冒一個合法地址。為了防止非法運用IP地址，增加網(wǎng)絡(luò)平安，最常見的方法是采納靜態(tài)的ARP吩咐捆綁IP地址和MAC地址，從而阻擋非法用戶在不修改MAC地址的狀況下冒用IP地址進行的訪問，同時借助交換機的端口平安即MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問題。但這種方法由于要事先收集全部機器的MAC地址及相應(yīng)的IP地址，然后還要通過人工輸入方法來建立IP地址和MAC地址的捆綁表，不僅工作量繁重，而且也難以維護和管理。另一個顯著的問題就是帶有攻擊特性的ARP欺瞞。地址解析協(xié)議（ARP，AddressResolutionProtocol）最基本的功能是用來實現(xiàn)MAC地址和IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP懇求，擁有此IP地址的工作站賜予ARP應(yīng)答，并附上自己的IP和MAC地址。ARP協(xié)議同時支持一種無懇求ARP功能，局域網(wǎng)段上的全部工作站收到主動ARP，會將發(fā)送者的MAC地址和其宣布的IP地址保存，覆蓋以前的同一IP地址和對應(yīng)的MAC地址。術(shù)語“ARP欺瞞”或者說“ARP中毒”就是指利用主動ARP來誤導(dǎo)通信數(shù)據(jù)傳往一個惡意計算機的黑客技術(shù)，該計算機就能成為某個特定局域網(wǎng)網(wǎng)段上的兩臺終端工作站之間IP會話的“中間人”了。假如黑客想探聽同一網(wǎng)絡(luò)中兩臺主機之間的通信（即使是通過交換機相連），他會分別給這兩臺主機發(fā)送一個ARP應(yīng)答包，讓兩臺主機都“誤”認為對方的MAC地址是第三方黑客所在的主機，這樣，雙方看似“干脆”的通信連接，事實上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內(nèi)容，并可以通過工具破譯賬號、密碼、信息，另一方面，還可以惡意更改數(shù)據(jù)包中的一些信息。同時，這種ARP欺瞞又極具隱藏性，攻擊完成后再復(fù)原現(xiàn)場，所以不易發(fā)覺、事后也難以追查，被攻擊者往往對此一竅不通。病毒入侵問題也是全部客戶普遍關(guān)切的問題。這些病毒，可以在極短的時間內(nèi)快速感染大量系統(tǒng)，甚至造成網(wǎng)絡(luò)癱瘓和信息失竊，給客戶造成嚴峻損失。木馬病毒往往會利用ARP的欺瞞獲得賬號和密碼，而蠕蟲病毒也往往利用IP地址欺瞞技術(shù)來掩蓋它們真實的源頭主機。例如“局域網(wǎng)終結(jié)者”（Win32.Hack.Arpkill）病毒，通過偽造ARP包來欺瞞網(wǎng)絡(luò)主機，使指定的主機網(wǎng)絡(luò)中斷，嚴峻影響到網(wǎng)絡(luò)的運行。最終，令網(wǎng)絡(luò)管理員頭痛的問題是如何精確定位。當出現(xiàn)IP地址被非法運用、IP地址沖突，或網(wǎng)絡(luò)出現(xiàn)異樣流量包括由于網(wǎng)絡(luò)掃描、病毒感染和網(wǎng)絡(luò)攻擊產(chǎn)生的流量，為了查找這些IP地址的機器，一般采納如下步驟：確定出現(xiàn)問題的IP地址。查看當前網(wǎng)絡(luò)設(shè)備的ARP表，從中獲得網(wǎng)卡的MAC地址。檢查交換機的MAC地址列表，確定機器位置。這個過程往往要花費大量的時間才能夠定位機器具體連接的物理端口，而對于偽造的源IP地址要查出是從哪臺機器產(chǎn)生的就更加困難了。假如不能剛好對故障源精確地定位、快速地隔離，將會導(dǎo)致嚴峻的后果，即使在網(wǎng)絡(luò)復(fù)原正常后隱患依舊存在。阻擋來自網(wǎng)絡(luò)其次層攻擊的重要性以上所提到的攻擊和欺瞞行為主要來自網(wǎng)絡(luò)的其次層。在網(wǎng)絡(luò)實際環(huán)境中，其來源可概括為兩個途徑：人為實施，病毒或蠕蟲。人為實施通常是指運用一些黑客的工具對網(wǎng)絡(luò)進行掃描和嗅探，獲得管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進行進一步竊取機密文件。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺瞞，同時還會帶來網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過高、二層生成樹環(huán)路、網(wǎng)絡(luò)癱瘓等現(xiàn)象。網(wǎng)絡(luò)其次層的攻擊是網(wǎng)絡(luò)平安攻擊者最簡潔實施，也是最不簡潔被發(fā)覺的平安威逼，它的目標是讓網(wǎng)絡(luò)失效或者通過獲得諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的平安。因為任何一個合法用戶都能獲得一個以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時由于設(shè)計OSI模型的時候，允許不同通信層在相互不了解狀況下也能進行工作，所以其次層的平安就變得至關(guān)重要。假如這一層受到黑客的攻擊，網(wǎng)絡(luò)平安將受到嚴峻威逼，而且其他層之間的通信還會接著進行，同時任何用戶都不會感覺到攻擊已經(jīng)危及應(yīng)用層的信息平安。所以，僅僅基于認證（如IEEE802.1x）和訪問限制列表（ACL，AccessControlLists）的平安措施是無法防止本文中提到的來自網(wǎng)絡(luò)其次層的平安攻擊。一個經(jīng)過認證的用戶仍舊可以有惡意，并可以很簡潔地執(zhí)行本文提到的全部攻擊。目前這類攻擊和欺瞞工具已經(jīng)特別成熟和易用。歸納前面提到的局域網(wǎng)目前普遍存在的平安問題，依據(jù)這些平安威逼的特征分析，這些攻擊都來自于網(wǎng)絡(luò)的其次層，主要包括以下幾種：MAC地址泛濫攻擊DHCP服務(wù)器欺瞞攻擊ARP欺瞞CiscoCatalyst交換系列的創(chuàng)新特性針對這類攻擊供應(yīng)了全面的解決方案，將發(fā)生在網(wǎng)絡(luò)其次層的攻擊阻擋在通往內(nèi)部網(wǎng)的第一入口處，主要基于下面的幾個關(guān)鍵的技術(shù)。PortSecurityDHCPSnoopingDynamicARPInspection(DAI)下面主要針對目前這些特別典型的二層攻擊和欺瞞說明如何在思科交換機上組合運用和部署上述技術(shù)，從而防止在交換環(huán)境中的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺瞞等，更具意義的是通過上面技術(shù)的部署可以簡化地址管理，干脆跟蹤用戶IP和對應(yīng)的交換機端口，防止IP地址沖突。同時對于大多數(shù)具有地址掃描、欺瞞等特征的病毒可以有效的報警和隔離。5.3.3MAC泛濫攻擊的原理和危害交換機主動學(xué)習(xí)客戶端的MAC地址，并建立和維護端口和MAC地址的對應(yīng)表以此建立交換路徑，這個表就是通常我們所說的CAM表。CAM表的大小是固定的，不同的交換機的CAM表大小不同。MAC/CAM攻擊是指利用工具產(chǎn)生欺瞞MAC，快速填滿CAM表，交換機CAM表被填滿。黑客發(fā)送大量帶有隨機源MAC地址的數(shù)據(jù)包，這些新MAC地址被交換機CAM學(xué)習(xí)，很快塞滿MAC地址表，這時新目的MAC地址的數(shù)據(jù)包就會廣播到交換機全部端口，交換機就像共享HUB一樣工作，黑客可以用sniffer工具監(jiān)聽全部端口的流量。此類攻擊不僅造成平安性的破壞，同時大量的廣播包降低了交換機的性能。當交換機的CAM表被填滿后，交換機以廣播方式處理通過交換機的報文，這時攻擊者可以利用各種嗅探攻擊獲得網(wǎng)絡(luò)信息。更為嚴峻的是，這種攻擊也會導(dǎo)致全部鄰接的交換機CAM表被填滿，流量以洪泛方式發(fā)送到全部交換機的全部含有此VLAN的接口，從而造成交換機負載過大、網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。MAC泛濫攻擊防范方法限制單個端口所連接MAC地址的數(shù)目可以有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊，macof可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機源MAC地址和隨機目的MAC地址的數(shù)據(jù)包，可以在不到10秒的時間內(nèi)填滿交換機的CAM表。CiscoCatalyst交換機的端口平安（PortSecurity）和動態(tài)端口平安功能可被用來阻擋MAC泛濫攻擊。例如交換機連接單臺工作站的端口，可以限制所學(xué)MAC地址數(shù)為1；連接IP電話和工作站的端口可限制所學(xué)MAC地址數(shù)為3：IP電話、工作站和IP電話內(nèi)的交換機。通過端口平安功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個端口所允許連接的合法MAC地址，實現(xiàn)設(shè)備級的平安授權(quán)。動態(tài)端口平安則設(shè)置端口允許合法MAC地址的數(shù)目，并以肯定時間內(nèi)所學(xué)習(xí)到的地址作為合法MAC地址。通過配置PortSecurity可以限制：端口上最大可以通過的MAC地址數(shù)量端口上學(xué)習(xí)或通過哪些MAC地址對于超過規(guī)定數(shù)量的MAC處理進行違反處理端口上學(xué)習(xí)或通過哪些MAC地址，可以通過靜態(tài)手工定義，也可以在交換機自動學(xué)習(xí)。交換機動態(tài)學(xué)習(xí)端口MAC，直到指定的MAC地址數(shù)量，交換機關(guān)機后重新學(xué)習(xí)。目前較新的技術(shù)是StickyPortSecurity，交換機將學(xué)到的mac地址寫到端口配置中，交換機重啟后配置仍舊存在。對于超過規(guī)定數(shù)量的MAC處理進行處理一般有三種方式（針對交換機型號會有所不同）：Shutdown：端口關(guān)閉。Protect：丟棄非法流量，不報警。Restrict：丟棄非法流量，報警。5.3.5DHCP欺瞞攻擊的防范采納DHCP管理的常見問題：采納DHCPserver可以自動為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP管理運用上也存在著一些另網(wǎng)管人員比較問題，常見的有：DHCPserver的冒充。DHCPserver的DOS攻擊。有些用戶隨意指定地址，造成網(wǎng)絡(luò)地址沖突。由于DHCP的運作機制，通常服務(wù)器和客戶端沒有認證機制，假如網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器將會給網(wǎng)絡(luò)照成混亂。由于不當心配置了DHCP服務(wù)器引起的網(wǎng)絡(luò)混亂也非經(jīng)常見。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP懇求，直到DHCP服務(wù)器對應(yīng)網(wǎng)段的全部地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP服務(wù)器欺詐結(jié)合將流量重指到意圖進行流量截取的惡意節(jié)點。DHCP服務(wù)器欺詐可能是有意的，也可能是無意啟動DHCP服務(wù)器功能，惡意用戶發(fā)放錯誤的IP地址、DNS服務(wù)器信息或默認網(wǎng)關(guān)信息，以此來實現(xiàn)流量的截取。DHCPSnooping技術(shù)概述DHCPSnooping技術(shù)是DHCP平安特性，通過建立和維護DHCPSnooping綁定表過濾不行信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。

通過截取一個虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機可以在用戶和DHCP服務(wù)器之間擔當就像小型平安防火墻這樣的角色，“DHCP監(jiān)聽”功能基于動態(tài)地址安排建立了一個DHCP綁定表，并將該表存貯在交換機里。在沒有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個DHCP綁定條目包含客戶端地址（一個靜態(tài)地址或者一個從DHCP服務(wù)器上獲得的地址）、客戶端MAC地址、端口、VLANID、租借時間、綁定類型（靜態(tài)的或者動態(tài)的）?；痉婪稙榱朔乐惯@種類型的攻擊，CatalystDHCP偵聽（DHCPSnooping）功能可有效阻擋此類攻擊，當打開此功能，全部用戶端口除非特殊設(shè)置，被認為不行信任端口，不應(yīng)當作出任何DHCP響應(yīng)，因此欺詐DHCP響應(yīng)包被交換機阻斷，合法的DHCP服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。CatalystDHCP偵聽（DHCPSnooping）對于下邊介紹的其他阻擋ARP欺瞞和IP/MAC地址的欺瞞是必需的。5.3.6ARP欺瞞攻擊原理和處理方法ARP欺瞞攻擊原理：從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺瞞分為二種，一種是對路由器ARP表的欺瞞；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺瞞。第一種ARP欺瞞的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并依據(jù)肯定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的全部數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。其次種ARP欺瞞的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺瞞的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。近期，一種新型的“ARP欺瞞”木馬病毒正在校內(nèi)網(wǎng)中擴散，嚴峻影響了校內(nèi)網(wǎng)的正常運行。感染此木馬的計算機試圖通過“ARP欺瞞”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。ARP欺瞞木馬的中毒現(xiàn)象表現(xiàn)為：運用校內(nèi)網(wǎng)時會突然掉線，過一段時間后又會復(fù)原正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE閱讀器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。假如校內(nèi)網(wǎng)是通過身份認證上網(wǎng)的，會突然出現(xiàn)可認證，但不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關(guān)），重啟機器或在MS-DOS窗口下運行吩咐arp-d后，又可復(fù)原上網(wǎng)。ARP欺瞞木馬特別猖狂，危害也特殊大，各高校校內(nèi)網(wǎng)、小區(qū)網(wǎng)、公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災(zāi)情，帶來了網(wǎng)絡(luò)大面積癱瘓的嚴峻后果。ARP欺瞞木馬只需勝利感染一臺電腦，就可能導(dǎo)致整個局域網(wǎng)都無法上網(wǎng)，嚴峻的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓。檢查和處理“ARP欺瞞”木馬的方法：（1）檢查本機的“ARP欺瞞”木馬染毒進程同時按住鍵盤上的“CTRL”和“ALT”鍵再按“DEL”鍵，選擇“任務(wù)管理器”，點選“進程”標簽。察看其中是否有一個名為“MIR0.dat”的進程。假如有，則說明已經(jīng)中毒。右鍵點擊此進程后選擇“結(jié)束進程”。參見右圖。（2）檢查網(wǎng)內(nèi)感染“ARP欺瞞”木馬染毒的計算機在“起先”-“程序”-“附件”菜單下調(diào)出“吩咐提示符”。輸入并執(zhí)行以下吩咐：ipconfig記錄網(wǎng)關(guān)IP地址，即“DefaultGateway”對應(yīng)的值，例如“”。再輸入并執(zhí)行以下吩咐：arp–a在“InternetAddress”下找到上步記錄的網(wǎng)關(guān)IP地址，記錄其對應(yīng)的物理地址，即“PhysicalAddress”值，例如“00-01-e8-1f-35-54”。在網(wǎng)絡(luò)正常時這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ARP欺瞞”木馬影響而不正常時，它就是木馬所在計算機的網(wǎng)卡物理地址。也可以掃描本子網(wǎng)內(nèi)的全部IP地址，然后再查ARP表。假如有一個IP對應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個IP地址和物理地址就是中毒計算機的IP地址和網(wǎng)卡物理地址。（3）設(shè)置ARP表避開“ARP欺瞞”木馬影響的方法本方法可在肯定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān)IP地址和網(wǎng)關(guān)物理地址，然后在“吩咐提示符”窗口中輸入并執(zhí)行以下吩咐：arp–s網(wǎng)關(guān)IP網(wǎng)關(guān)物理地址（4）態(tài)ARP綁定網(wǎng)關(guān)步驟一：在能正常上網(wǎng)時，進入MS-DOS窗口，輸入吩咐：arp－a，查看網(wǎng)關(guān)的IP對應(yīng)的正確MAC地址，并將其記錄下來。留意：假如已經(jīng)不能上網(wǎng)，則先運行一次吩咐arp－d將arp緩存中的內(nèi)容刪空，計算機可短暫復(fù)原上網(wǎng)（攻擊假如不停止的話）。一旦能上網(wǎng)就馬上將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運行arp－a。步驟二：假如計算機已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定，即可確保計算機不再被欺瞞攻擊。要想手工綁定，可在MS-DOS窗口下運行以下吩咐：arp－s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC例如：假設(shè)計算機所處網(wǎng)段的網(wǎng)關(guān)為，本機地址為，在計算機上運行arp－a后輸出如下：CocumentsandSettings>arp-aInterface:0x2InternetAddressPhysicalAddressType00-01-02-03-04-05dynamic其中，00-01-02-03-04-05就是網(wǎng)關(guān)對應(yīng)的MAC地址，類型是動態(tài)（dynamic）的，因此是可被變更的。被攻擊后，再用該吩咐查看，就會發(fā)覺該MAC已經(jīng)被替換成攻擊機器的MAC。假如希望能找出攻擊機器，徹底根除攻擊，可以在此時將該MAC記錄下來，為以后查找該攻擊的機器做打算。手工綁定的吩咐為：arp－s00-01-02-03-04-05綁定完，可再用arp－a查看arp緩存：CocumentsandSettings>arp-aInterface:0x2InternetAddressPhysicalAddressType00-01-02-03-04-05static這時，類型變?yōu)殪o態(tài)（static），就不會再受攻擊影響了。但是，須要說明的是，手工綁定在計算機關(guān)機重啟后就會失效，須要再次重新綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計算機，把病毒殺掉，才算是真正解決問題。（5）作批處理文件在客戶端做對網(wǎng)關(guān)的arp綁定，具體操作步驟如下：步驟一：查找本網(wǎng)段的網(wǎng)關(guān)