qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnm校內(nèi)網(wǎng)絡設計方案實習模擬方案2012/6/12Tuesday王華鋒、何媛萍

書目一．校內(nèi)網(wǎng)概述及分析 41.1概述 41.2校內(nèi)網(wǎng)建設的必要性 51.3應用特點 6二、校內(nèi)網(wǎng)絡需求分析 62.1用戶需求分析 62.2校區(qū)網(wǎng)絡的設計目標: 72.3系統(tǒng)設計指導思想 8三、組網(wǎng)技術及產(chǎn)品選擇 93.1組網(wǎng)技術選擇 93.2網(wǎng)絡產(chǎn)品選型 10穩(wěn)定牢靠的網(wǎng)絡 10高帶寬 10易擴展的網(wǎng)絡 113.2.4QoS保證 11平安性 11簡潔限制管理 113.2.7IPMulticast 11符合IP發(fā)展趨勢的網(wǎng)絡 12四、校內(nèi)網(wǎng)網(wǎng)絡設計方案及分析 124.1網(wǎng)絡的分層設計原則 124.1.1核心層(CoreLayer) 124.1.2分布層(DistributionLayer) 134.1.3接入層(AccessLayer) 134.2校內(nèi)網(wǎng)方案特性分析 13高性能的網(wǎng)絡設計 13集成的用戶管理功能 14敏捷的網(wǎng)絡的可擴展性設計 14完善的QOS功能 15牢靠的網(wǎng)絡平安設計 15便利的網(wǎng)絡管理和維護 16運營級的網(wǎng)絡高牢靠性的設計 164.3系統(tǒng)平臺和應用系統(tǒng) 17系統(tǒng)平臺選擇 17采納WIN2003SERVER能建立的服務器角色 17WEB服務器 17五.思科公司校內(nèi)網(wǎng)解決方案 215.1系統(tǒng)組成與拓撲結構 215.2VLAN及IP地址規(guī)劃 24六、綜合布線系統(tǒng) 256.1結構化布線設計的要求 256.2系統(tǒng)設計原則 26設計原則 26設計目標 26七、技術支持及售后服務 267.1服務內(nèi)容 277.2設計服務 277.3場地檢查 277.4系統(tǒng)安裝調(diào)試 277.5測試和驗收 287.6系統(tǒng)后期維護和支持 287.7客戶技術培訓 297.8設備保修與軟件升級 29校內(nèi)網(wǎng)系統(tǒng)方案一．校內(nèi)網(wǎng)概述及分析1.1概述中國教化科研計算機網(wǎng)（CERNET）于1994年正式啟動以來，已與國內(nèi)幾百所學校相連。為廣闊師生及科研人員供應了一個全新的網(wǎng)絡環(huán)境。1998年10月,中國教化科研網(wǎng)(CERNET)二期工程正式啟動,工程安排到2000年二期工程完成時,除達到連接1000所高校的目標外,對有條件的中小學也供應接入上網(wǎng)服務。的確,隨著信息技術的飛速發(fā)展,中小學校內(nèi)網(wǎng)的建設已經(jīng)漸漸提到議事日程上來。但是我國目前大多數(shù)校內(nèi)網(wǎng)上的應用還不豐富，與學校原有一些計算機業(yè)務系統(tǒng)還沒有充分發(fā)揮，應用水平的低下是對校內(nèi)網(wǎng)資源的極大奢侈。只有提高校內(nèi)網(wǎng)上的應用水平，才能切實提高學校各項業(yè)務水平，適應信息時代的要求。因而，如何利用當前先進的計算機技術與校內(nèi)網(wǎng)資源，實現(xiàn)學校各項業(yè)務系統(tǒng)的集成，提高應用水平將是學校校內(nèi)網(wǎng)建設的下一個工作重點。當前由于網(wǎng)絡、數(shù)據(jù)庫及與之相關的應用技術不斷發(fā)展，尤其國際互聯(lián)網(wǎng)（Internet）和內(nèi)部網(wǎng)（Intranet）技術的廣泛應用，世界正在邁入網(wǎng)絡中心計算（NetworkCentricComputing）時代。人們傳統(tǒng)的交互和工作模式正在變更。處在不同地理位置的人們可以共享數(shù)據(jù)，運用群件技術（GroupWare）進而能夠協(xié)同工作；多媒體數(shù)據(jù)的存儲、傳輸、應用技術的不斷成熟；以上這些計算機技術的發(fā)展對學校傳統(tǒng)的計算機業(yè)務系統(tǒng)產(chǎn)生影響，運用戶能更便利。更直觀的運用系統(tǒng)，也使系統(tǒng)的性能更完善、功能更強大。校內(nèi)網(wǎng)建設的目標簡而言之是將校內(nèi)內(nèi)各種不同應用的信息資源通過高性能的網(wǎng)絡設備相互連接起來，形成校內(nèi)園區(qū)內(nèi)部的Intranet系統(tǒng)，對外通過路由設備接入廣域網(wǎng)。建設校內(nèi)網(wǎng)對每個學校來說都不是一件簡潔的事情,都要經(jīng)過周密的論證、謹慎的決策和驚慌的施工。當一堆設備變成網(wǎng)絡的時候,大部分學校的滿腔熱忱也漸漸地冷卻凝固。校內(nèi)網(wǎng)建成了,各種問題也不斷涌現(xiàn):設計目標根本無法實現(xiàn),沒有合適的應用軟件,很多設想根本無法實施,后續(xù)的維護費用不堪承受等等。1.2校內(nèi)網(wǎng)建設的必要性是否在學校采納最先進的信息和傳播技術是一個有確定性意義的問題,而且特別重要的是,學校應當處于影響整個社會深刻變革的中心地位。隨著計算機多媒體和網(wǎng)絡技術的不斷發(fā)展與普及，校內(nèi)網(wǎng)信息系統(tǒng)的建設，是特別必要的，也是可行的。主要表現(xiàn)在：（1）當前校內(nèi)網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學和協(xié)作工作的階段，發(fā)展對學校教化現(xiàn)代化的建設提出了越來越高的要求。（2）教化信息量的不斷增多,使各級各類學校、家庭和教化管理部門對教化信息計算機管理和教化信息服務的要求越來越劇烈。個人是否具有獲得信息和處理信息的實力對于能否勝利進入職業(yè)界和融入社會及文化環(huán)境都是個確定性的因素,因此學校應當培育全部學生具有駕馭和駕馭這種技術的實力。另一方面,信息技術在作為青少年教化工具的同時也向青少年供應了前所未有的機會。新技術供應的機會以及它們在教學方面具有的優(yōu)勢都是很多的,特殊是計算機和多媒體系統(tǒng)的運用有助于個人化的道路,每個學生在個人的學習道路上都可以依據(jù)自己的速度發(fā)展。（3）我國各級教化探討部門、軟件開發(fā)單位、教學設備供應商和各級學校不斷開發(fā)供應了各種在網(wǎng)絡上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、好用化，迫切須要網(wǎng)絡環(huán)境。（4）現(xiàn)代教化改革的須要。在校內(nèi)網(wǎng)中將計算機引入教學各個環(huán)節(jié)，從而引起了教學方法，教學手段，教學工具的重大革新。對提高教學質(zhì)量，推動我國教化現(xiàn)代化的發(fā)展起著不行估量的作用。網(wǎng)絡又為學校的管理者和老師供應了獲得資源、協(xié)同工作的有效途徑。毫無疑問,校內(nèi)網(wǎng)是學校提高管理水平、工作效率、改善教學質(zhì)量的有力手段,是解決信息時代教化問題的基本工具。（5）隨著經(jīng)濟發(fā)展，我國各級政府對教化的投入不斷加大；計算機技術的飛速發(fā)展，使相應產(chǎn)品價格不斷下降；同時人們的相識水平和經(jīng)濟實力不斷提高。大量計算機進入學校和家庭，使得計算機用于教化信息管理和信息服務是完全可行的。1.3應用特點隨著現(xiàn)代化教學活動的開展和與國內(nèi)外教學機構交往的增多，對通過Internet/Intranet網(wǎng)絡進行信息溝通的需求越來越迫切，為促進教學、便利管理和進一步發(fā)揮學生的創(chuàng)建力，校內(nèi)網(wǎng)絡建設成為現(xiàn)代教化機構的必定選擇。校內(nèi)網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個基本的校內(nèi)網(wǎng)具有以下的特點：高速的局域網(wǎng)連接校內(nèi)網(wǎng)的核心為面對校內(nèi)內(nèi)部師生的網(wǎng)絡，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設重點，由于參加網(wǎng)絡應用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡的一項基本要求；信息結構多樣化校內(nèi)網(wǎng)應用分為電子教學（多媒體教室、電子圖書館等）、辦公管理和遠程通訊（遠程教學、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學包含大量多媒體信息，辦公管理以數(shù)據(jù)庫為主，遠程通訊則多為WWW方式，因此數(shù)據(jù)成分困難，不同類型數(shù)據(jù)對網(wǎng)絡傳輸有不同的質(zhì)量需求；平安牢靠校內(nèi)網(wǎng)中同樣有大量關于教學和檔案管理的重要數(shù)據(jù)，不論是被損壞、丟失還是被竊取，都將帶來極大的損失；操作便利，易于管理校內(nèi)網(wǎng)面對不同學問層次的老師、學生和辦公人員，應用和管理應簡便易行，界面友好，不宜太過專業(yè)化；經(jīng)濟好用學校對網(wǎng)絡建設的投入有限，因此要求建成的網(wǎng)絡應經(jīng)濟好用，具備很高的性能價格比。二、校內(nèi)網(wǎng)絡需求分析2.1用戶需求分析設計一個網(wǎng)絡，首先要為用戶分析目前面臨的主要問題，確定用戶對網(wǎng)絡的真正需求，并在結合將來可能的發(fā)展要求的基礎上選擇、設計合適的網(wǎng)絡結構和網(wǎng)絡技術，供應用戶滿足的高質(zhì)服務。網(wǎng)絡在日常教學辦公環(huán)境中起著至關重要的作用，校內(nèi)網(wǎng)的運作模式會帶來大量動態(tài)的www應用數(shù)據(jù)傳輸，會有相當一部分應用的主服務器有高速接入網(wǎng)絡的需求（目前為100/1000Mbps，今后可會更高）。這就要求網(wǎng)絡有足夠的主干帶寬和擴展實力。同時，一些新的應用類型，如網(wǎng)絡教學、視頻直播/廣播等，也對網(wǎng)絡提出了支持多點廣播和寬帶高速接入的要求。除上述考慮外，還要留意到由于邏輯上業(yè)務網(wǎng)和管理網(wǎng)必需分開，所以建成后校內(nèi)網(wǎng)應能供應多個網(wǎng)段的劃分和隔離，并能做到敏捷變更配置，以適應教學辦公環(huán)境的調(diào)整和變更。中心機房到匯聚層節(jié)點采納4兆光纖（多模）連接，匯聚層到接入層采納百兆的五類線（或者超五類）連接。通常考慮，建議數(shù)據(jù)信息點的接入用交換10/100Mbps自適應以太網(wǎng)端口接入，以便能較經(jīng)濟的供應較高的帶寬。整個方案設計的目的是建設一個集數(shù)據(jù)傳輸和備份、多媒體應用、語音傳輸、OA應用和Internet訪問等于一體的高牢靠、高性能的寬帶多媒體校內(nèi)網(wǎng)。2.2校區(qū)網(wǎng)絡的設計目標:校區(qū)網(wǎng)絡建設的目標應當是：建成后的網(wǎng)絡能充分利用Internet、國家信息網(wǎng)、教化網(wǎng)、全國高?；ヂ?lián)網(wǎng)上的各種信息，實現(xiàn)資源共享，能夠為在此校區(qū)學習的學生供應豐富的多媒體教學手段，實現(xiàn)高質(zhì)高效的教學目標。由此，我們認為，校內(nèi)網(wǎng)網(wǎng)絡是一個典型的面對將來的網(wǎng)絡化、信息化、自動化的集消遣、教學、辦公于一體的，具備多媒體綜合業(yè)務發(fā)展需求的園區(qū)網(wǎng)絡。系統(tǒng)總體設計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術先進性、高度的平安牢靠性，同時具有良好的開放性、可擴展性。本著為學校校區(qū)著想，合理運用建設資金，使系統(tǒng)經(jīng)濟可行。學校網(wǎng)絡應當實現(xiàn)如下功能：提高公司網(wǎng)絡狀況,滿足各公司,辦事處,移動用戶的internet訪問須要等。分公司與總公司之間的互訪、數(shù)據(jù)傳送?？偛颗c分公司以及各公司之間的電話、傳真通訊及視頻會議等。提高公司內(nèi)部數(shù)據(jù)平安，快速，穩(wěn)定的傳輸。通過網(wǎng)絡為辦公室建設一套技術先進、運行成熟、操作簡潔和簡潔維護的本地及遠程監(jiān)控系統(tǒng)。通過本系統(tǒng)時間本地及遠程對辦公室整個監(jiān)控區(qū)域進行全面監(jiān)視，加強辦公室監(jiān)控安防措施，讓企業(yè)管理者能隨時了解辦公室狀況，便利企業(yè)做行政監(jiān)控。透過本系統(tǒng)可以為企業(yè)商品或生產(chǎn)現(xiàn)場做網(wǎng)上實時展示演播，提高企業(yè)商品的知名度錄像系統(tǒng)能夠?qū)θ烤W(wǎng)絡攝像機進行實時錄像或動態(tài)監(jiān)測感知錄像，同時可以進行實時回放。系統(tǒng)要求采納數(shù)字監(jiān)控系統(tǒng)與傳統(tǒng)模擬監(jiān)控系統(tǒng)結合，采納二個系統(tǒng)的特長組建一個高性能的網(wǎng)絡監(jiān)控系。要求在限制中心組建一個電視監(jiān)控墻，電視監(jiān)控墻的視頻來自本公司內(nèi)部網(wǎng)絡，一次本系統(tǒng)在網(wǎng)絡方面要求很高。系統(tǒng)要求在10個分控點的本地監(jiān)控系統(tǒng)采納模擬監(jiān)控，但要具備強大的網(wǎng)絡功能，以便于限制中心遠程通過有限的網(wǎng)絡資源來用電視墻監(jiān)視及限制。2.3系統(tǒng)設計指導思想建設校內(nèi)網(wǎng)絡，本著少花錢辦大事的原則，充分利用有限的投資，在保證網(wǎng)絡先進性的前提下，選用性能價格比最好的設備，我們認為校內(nèi)網(wǎng)建設應當遵循以下原則：●先進性以先進、成熟的網(wǎng)絡通信技術進行組網(wǎng)，支持數(shù)據(jù)、語音、視像等多媒體應用，用基于交換的技術替代傳統(tǒng)的基于路由的技術?！駱藴驶烷_放性網(wǎng)絡協(xié)議采納符合ISO及其他標準，如：IEEE、ITUT、ANSI等制定的協(xié)議，采納遵從國際和國家標準的網(wǎng)絡設備?！窭慰啃院涂捎眯赃x用高牢靠的產(chǎn)品和技術，充分考慮系統(tǒng)在程序運行時的應變實力和容錯實力，確保整個系統(tǒng)的平安與牢靠?！裨O備的兼容性選用符合國際發(fā)展潮流的國際標準的軟件技術，以便系統(tǒng)有牢靠性強、可擴展和可升級等特點，保證今后可快速采納計算機網(wǎng)絡發(fā)展出現(xiàn)的新技術，同時為現(xiàn)存不同的網(wǎng)絡設備、小型機、工作站、服務器、和微機等設備供應入網(wǎng)和互連手段?！窈糜眯院徒?jīng)濟性從好用性和經(jīng)濟性動身，著眼于近期目標和長期的發(fā)展，選用先進的設備，進行最佳性能組合，利用有限的投資構造一特性能最佳的網(wǎng)絡系統(tǒng)?！衿桨残院捅Ｃ苄栽诮尤隝nternet的狀況下，必需保證網(wǎng)上信息和各種應用系統(tǒng)的平安?！駭U展性和升級實力網(wǎng)絡設計應具有良好的擴展性和升級實力，選用具有良好升級實力和擴展性的設備。在以后對該網(wǎng)絡進行升級和擴展時，必需能愛護現(xiàn)有投資。應支持多種網(wǎng)絡協(xié)議、多種高層協(xié)議和多媒體應用。●網(wǎng)絡的敏捷性系統(tǒng)的敏捷性主要表現(xiàn)在軟件配置與負載平衡等方面，協(xié)作交換機產(chǎn)品與路由器產(chǎn)品支持的最先進的虛擬網(wǎng)絡技術，整個網(wǎng)絡系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個網(wǎng)絡轉(zhuǎn)移到另一個網(wǎng)絡，可以跨越辦公室、辦公樓，而無需任何硬件的變更，以適應機構的變更。同時也可以通過平衡網(wǎng)絡的流量，以提高網(wǎng)絡的性能。三、組網(wǎng)技術及產(chǎn)品選擇3.1組網(wǎng)技術選擇在校內(nèi)網(wǎng)校區(qū)網(wǎng)絡的建設中，主干網(wǎng)選擇何種網(wǎng)絡技術對網(wǎng)絡建設的勝利與否起著確定性的作用。選擇適合校內(nèi)網(wǎng)絡需求特點的主流網(wǎng)絡技術，不但能保證網(wǎng)絡的高性能，還能保證網(wǎng)絡的先進性和擴展性，能夠在將來向更新技術平滑過渡，愛護用戶的投資。目前在局域網(wǎng)絡上應用最廣泛的技術有以太網(wǎng)、快速以太網(wǎng)、FDDI、TokenRing以及最新崛起的ATM（異步傳輸模式）、千兆以太網(wǎng)等。交換式以太網(wǎng)作為幾年前主干網(wǎng)組網(wǎng)的主要技術，現(xiàn)在主要被用于工作組級組網(wǎng)，使網(wǎng)絡交換到桌面工作站。快速以太網(wǎng)是一種特別成熟的組網(wǎng)技術，造價很低，性能價格比很高，可作為資金不很充裕的中小型單位組建Intranet網(wǎng)的首選技術?？焖僖蕴W(wǎng)技術現(xiàn)在被廣泛用于大型企業(yè)網(wǎng)的二級、三級網(wǎng)絡組網(wǎng)或干脆連至桌面工作站。FDDI也是一種成熟的組網(wǎng)技術，但技術困難、造價高，F(xiàn)DDI網(wǎng)絡難以向更先進的網(wǎng)絡技術升級，現(xiàn)在用FDDI組建主干網(wǎng)的狀況已特別少見。ATM技術成熟而困難，組網(wǎng)成本高，是多媒體應用系統(tǒng)的志向網(wǎng)絡平臺。但是，網(wǎng)絡帶寬的實際利用率很低。在選擇校內(nèi)校區(qū)網(wǎng)絡技術時應當考慮如下：長遠來看如何愛護現(xiàn)有投資。愛護現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡技術升級時還能運用現(xiàn)有的網(wǎng)絡技術和產(chǎn)品。猶如計算機的發(fā)展速度一樣，網(wǎng)絡技術的發(fā)展也是特別快速的。從目前的趨勢來看，采納快速以太網(wǎng)技術是最相宜的。在校內(nèi)網(wǎng)網(wǎng)絡的建設中，主干網(wǎng)選擇何種網(wǎng)絡技術對網(wǎng)絡建設的勝利與否起著確定性的作用。選擇校內(nèi)網(wǎng)網(wǎng)絡需求特點的主流網(wǎng)絡技術，不但能保證網(wǎng)絡的高性能，還能保證網(wǎng)絡的先進性和擴展性，能夠在將來向更新技術平滑過渡，愛護用戶的投資。依據(jù)我們對校內(nèi)網(wǎng)網(wǎng)絡需求的分析并結合目前高速主干網(wǎng)絡技術的特點，我公司建議采納快速以太網(wǎng)技術做為校內(nèi)網(wǎng)的主干網(wǎng)絡。3.2網(wǎng)絡產(chǎn)品選型校區(qū)網(wǎng)絡建設應當以應用為核心，在設計中充分考慮到教化管理和多媒體教學的要求，并且網(wǎng)絡技術上應當具有肯定的先進性，同時還要為以后的擴展留有肯定的空間。為此校內(nèi)校區(qū)網(wǎng)絡網(wǎng)應當能達到以下要求：穩(wěn)定牢靠的網(wǎng)絡只有運行穩(wěn)定的網(wǎng)絡才是牢靠的網(wǎng)絡，而網(wǎng)絡的牢靠運行取決于諸多因素，如網(wǎng)絡的設計，產(chǎn)品的牢靠，而選擇一個具有運營此類網(wǎng)絡規(guī)模閱歷的網(wǎng)絡合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層的備份技術。為了讓學校安心正常運行,在核心交換機上運用雙機熱備份技術.雙機熱備份技術是一種軟硬件結合的較高容錯應用方案。該方案是由兩臺服務器系統(tǒng)和一個外接共享磁盤陣列柜（也可沒有，而是在各自的服務器中實行RAID卡）及相應的雙機熱備份軟件組成。在這個容錯方案中，操作系統(tǒng)和應用程序安裝在兩臺服務器的本地系統(tǒng)盤上，整個網(wǎng)絡系統(tǒng)的數(shù)據(jù)是通過磁盤陣列集中管理和數(shù)據(jù)備份的。數(shù)據(jù)集中管理是通過雙機熱備份系統(tǒng)，將全部站點的數(shù)據(jù)干脆從中心存儲設備讀取和存儲，并由專業(yè)人員進行管理，極大地愛護了數(shù)據(jù)的平安性和保密性。用戶的數(shù)據(jù)存放在外接共享磁盤陣列中，在一臺服務器出現(xiàn)故障時，備機主動替代主機工作，保證網(wǎng)絡服務不間斷。雙機熱備份系統(tǒng)采納“心跳”方法保證主系統(tǒng)與備用系統(tǒng)的聯(lián)系。所謂“心跳”，指的是主從系統(tǒng)之間相互依據(jù)肯定的時間間隔發(fā)送通訊信號，表明各自系統(tǒng)當前的運行狀態(tài)。一旦“心跳”信號停止表明主機系統(tǒng)發(fā)生故障，或者備用系統(tǒng)無法收到主機系統(tǒng)的“心跳”信號，則系統(tǒng)的高可用性管理軟件認為主機系統(tǒng)發(fā)生故障，主機停止工作，并將系統(tǒng)資源轉(zhuǎn)移到備用系統(tǒng)上，備用系統(tǒng)將替代主機發(fā)揮作用，以保證網(wǎng)絡服務運行不間斷。雙機熱備份方案中，依據(jù)兩臺服務器的工作方式可以有三種不同的工作模式，即：雙機熱備模式、雙機互備模式和雙機雙工模式。工作模式雙機熱備模式即目前通常所說的active/standby方式，active服務器處于工作狀態(tài)；而standby服務器處于監(jiān)控打算狀態(tài)，服務器數(shù)據(jù)包括數(shù)據(jù)庫數(shù)據(jù)同時往兩臺或多臺服務器寫入（通常各服務器采納RAID磁盤陣列卡），保證數(shù)據(jù)的即時同步。當active服務器出現(xiàn)故障的時候，通過軟件診測或手工方式將standby機器激活，保證應用在短時間內(nèi)完全復原正常運用。典型應用在證券資金服務器或行情服務器。這是目前采納較多的一種模式，但由于另外一臺服務器長期處于后備的狀態(tài)，從計算資源方面考量，就存在肯定的奢侈。雙機互備模式是兩個相對獨立的應用在兩臺機器同時運行，但彼此均設為備機，當某一臺服務器出現(xiàn)故障時，另一臺服務器可以在短時間內(nèi)將故障服務器的應用接管過來，從而保證了應用的持續(xù)性，但對服務器的性能要求比較高。配置相對要好。雙機雙工模式是目前cluster（群集:群集包括兩種，一種是網(wǎng)絡負載平衡，別一種是服務器群集。這里的雙機雙工模式是屬于網(wǎng)絡負載平衡群集。）的一種形式，兩臺服務器均為活動，同時運行相同的應用，保證整體的性能，也實現(xiàn)了負載均衡和互為備份，須要利用磁盤柜存儲技術（最好采納San方式）。WEB服務器或FTP服務器等用此種方式比較多。高帶寬由于校內(nèi)校區(qū)網(wǎng)絡網(wǎng)絡應用的特殊性,它對整個網(wǎng)絡系統(tǒng)的性能要求相對來說比較高。其中，網(wǎng)絡速率要求主要的信息點100M交換到桌面，園區(qū)網(wǎng)中各終端間具有快速交換功能。為了支持數(shù)據(jù)、話音、視像多媒體的傳輸實力，在技術上要到達當前的國際先進水平。要采納最先進的網(wǎng)絡技術，以適應大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮將來的發(fā)展。為此應選用高帶寬的先進技術。易擴展的網(wǎng)絡系統(tǒng)要有可擴展性和可升級性。易擴展不僅僅指設備端口的擴展，還指網(wǎng)絡結構的易擴展性：即只有在網(wǎng)絡結構設計合理的狀況下，新的網(wǎng)絡節(jié)點才能便利地加入已有網(wǎng)絡；網(wǎng)絡協(xié)議的易擴展：無論是選擇第三層網(wǎng)絡路由協(xié)議，還是規(guī)劃其次層虛擬網(wǎng)的劃分，都應留意其擴展實力。對于核心網(wǎng)絡設備，要求骨干交換機具備第三層交換實力，要求支持今后的視頻點播、電視電話會議的寬帶多媒體應用，并要求留有肯定的擴充實力。QoS保證隨著網(wǎng)絡中多媒體的應用越來越多，這類應用對服務質(zhì)量的要求較高，本網(wǎng)絡系統(tǒng)應能保證QoS，以支持這類應用。 平安性網(wǎng)絡系統(tǒng)應具有良好的平安性，由于網(wǎng)絡連接園區(qū)內(nèi)部全部用戶，平安管理特別重要。網(wǎng)絡具有防止及便于捕殺病毒功能。應支持VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的平安限制，以保證系統(tǒng)的平安性。校區(qū)網(wǎng)絡與校內(nèi)網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡黑客入侵網(wǎng)絡系統(tǒng)?？蓪尤胍蛱鼐W(wǎng)的各網(wǎng)絡用戶進行權限限制。簡潔限制管理對于網(wǎng)絡管理，要求采納智能化網(wǎng)絡管理軟件，實現(xiàn)對網(wǎng)絡的自動監(jiān)測和限制。并支持虛擬網(wǎng)絡功能，對網(wǎng)絡用戶具有分類限制功能。IPMulticast由于校內(nèi)校區(qū)網(wǎng)絡中包含很多多媒體應用通信，會存在很多的廣播信息，占用大量的帶寬資源。所以網(wǎng)絡系統(tǒng)應能支持IPMulticast，可以削減網(wǎng)絡中不必要的廣播，節(jié)約主干的帶寬。符合IP發(fā)展趨勢的網(wǎng)絡在當前任何一個供應服務的網(wǎng)絡中，對IP的支持服務是最普遍的，而IP技術本身又處在發(fā)展變更中，如IpV6，IPQoS，IPOverSONET等等新興的技術不斷出現(xiàn)，校內(nèi)網(wǎng)絡必需跟緊IP發(fā)展的步伐，也就是必需選擇處于IP發(fā)展領導地位的網(wǎng)絡廠商。四、校內(nèi)網(wǎng)網(wǎng)絡設計方案及分析4.1網(wǎng)絡的分層設計原則可擴展性：因為網(wǎng)絡可模塊化增長而不會遇到問題；簡潔性：通過將網(wǎng)絡分成很多小單元，降低了網(wǎng)絡的整體困難性，使故障解除更簡潔，能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的問題；設計的敏捷性：使網(wǎng)絡簡潔升級到最新的技術，升級隨意層次的網(wǎng)絡不會對其他層次造成影響，無需變更整個環(huán)境；可管理性：層次結構使單個設備的配置的困難性大大降低，更易管理。核心層(CoreLayer)核心層為下兩層供應優(yōu)化的數(shù)據(jù)輸運功能，它是一個高速的交換骨干，其作用是盡可能快地交換數(shù)據(jù)包而不應卷入到具體的數(shù)據(jù)包的運算中(ACL，過濾等)，否則會降低數(shù)據(jù)包的交換速度。分布層(DistributionLayer)分布層供應基于統(tǒng)一策略的互連性，它是核心層和訪問層的分界點，定義了網(wǎng)絡的邊界，對數(shù)據(jù)包進行困難的運算。在園區(qū)網(wǎng)絡環(huán)境中，分布層主要供應如下功能：地址的聚集部門和工作組的接入廣播域/多目傳輸域的定義InterVLAN路由任何介質(zhì)的轉(zhuǎn)換平安限制接入層(AccessLayer)接入層的主要功能是為最終用戶供應對園區(qū)網(wǎng)絡訪問的途徑。本層也可以供應進一步的調(diào)整，如Access-listFiltering等。在園區(qū)網(wǎng)絡環(huán)境中，接入層主要供應如下功能：帶寬共享（SharedBandwidth）交換帶寬（SwitchedBandwidth）MAC層過濾（MACLayerFiltering(possibly)）微分網(wǎng)段（Microsegmentation）在廣域網(wǎng)環(huán)境中，接入層主要供應通過FrameRelay、ISDN、LeasedLine連入遠程節(jié)點。4.2校內(nèi)網(wǎng)方案特性分析高性能的網(wǎng)絡設計設備的高性能：核心節(jié)點的交換機是整個校內(nèi)網(wǎng)絡的核心，應當采納有多層交換功能的交換機。核心交換機應采納模塊化設計，有良好的擴展性能、多種接入模塊；具備增加的網(wǎng)絡傳輸實力，支持VLAN、RIP和OSPF協(xié)議、服務質(zhì)量（QOS）、IP組播、DHCP中繼和AAA認證等功能；支持通用的管理特性（SNMP），能運用流行的網(wǎng)管軟件對它進行管理，如HPOpenView等。會聚層交換連接核心和接入層，應當采納帶VLAN和網(wǎng)管功能的中低檔交換機。匯聚層交換機具有快速的級聯(lián)核心的以太端口以及高速堆疊模塊；帶VLAN子網(wǎng)劃分功能，能很好的管理接入層用戶；支持IEEE802.1Q、VTP、SNMP等協(xié)議。網(wǎng)絡的高性能設計：整個校內(nèi)的建設可以采納全交換方式，100兆到每個接入層用戶。有效的子網(wǎng)劃分和流量限制使整個校內(nèi)網(wǎng)絡能高速、平安的運行。集成的用戶管理功能供應完善的用戶管理機制，實現(xiàn)全面的用戶認證、鑒權和計費(AAA)功能。用戶管理引擎實現(xiàn)了依據(jù)用戶MAC地址、VLANID和IP地址的綁定關系鑒別用戶的合法性的功能?？梢罁?jù)用戶的權限，實現(xiàn)對用戶訪問資源的限制。實現(xiàn)基于VLANID/MAC地址、接入模塊號和接入設備號的全程用戶唯一標識，便于用戶管理（開戶、銷戶、欠費停機等）和網(wǎng)絡故障維護。敏捷的網(wǎng)絡的可擴展性設計網(wǎng)絡的擴展性對網(wǎng)絡業(yè)務的發(fā)展至關重要，它干脆確定了校內(nèi)網(wǎng)是否能夠在節(jié)約成本的基礎上跟上網(wǎng)絡技術的發(fā)展和滿足學校信息不斷增長的須要，一個擴展性差的網(wǎng)絡不僅為學校的投資造成了巨大的奢侈，同時又無法滿足學校網(wǎng)絡業(yè)務不斷發(fā)展和信息的增長的須要，為了保證網(wǎng)絡能夠不斷的適應學校網(wǎng)絡業(yè)務今后發(fā)展的不斷需求，可以采納以下的措施來保證網(wǎng)絡的擴展性。（1）所選擇的網(wǎng)絡設備應當具有良好的擴展性。選擇的網(wǎng)絡設備最好是模塊化的，便于網(wǎng)絡的擴大和更改，其中核心交換機應具有多種模塊類型，以滿足各種網(wǎng)絡類型的接入。匯聚層交換機可以采納一款可堆疊的網(wǎng)管型以太網(wǎng)交換機，半/全雙工模式自適應，具有擴展槽，能運用多種可選模塊。（2）所選擇的設備都具有良好的軟件再升級實力。我們所選擇的網(wǎng)絡設備都是可以通過軟件升級來不斷的滿足客戶的新的需求同時跟上網(wǎng)絡技術的發(fā)展。由于網(wǎng)絡的技術層出不窮，用戶的需求也不斷增加，現(xiàn)在是新的技術，再過一段時間就會落后了，為了保證用戶的網(wǎng)絡產(chǎn)品能夠跟上這一節(jié)奏，而不須要更換網(wǎng)絡設備，從而削減了用戶的投資。完善的QOS功能帶寬限制特性以太網(wǎng)是一種基于廣播機制的共享型技術，任何一個位于以太網(wǎng)上的用戶均可以向網(wǎng)上發(fā)送信息，在以太網(wǎng)的技術中沒有具體帶寬限制的機理。網(wǎng)絡產(chǎn)品應供應對用戶帶寬限制的功能。帶寬限制通過對每一個用戶的上行帶寬與下行帶寬進行限制，保證對每個用戶的公允性，防止在共享型網(wǎng)絡結構中某一用戶長期惡意霸占帶寬而導致其他用戶無法享受服務的現(xiàn)象。Qos限制特性隨著IP網(wǎng)絡規(guī)模的不斷擴大，網(wǎng)上的實時業(yè)務量也在不斷增長，同時網(wǎng)絡上的應用類型多種多樣，不同的應用對網(wǎng)絡的需求也有所不同。IP網(wǎng)絡中引入QoS技術，就是為了確保實時業(yè)務的通信質(zhì)量，滿足各種業(yè)務對網(wǎng)絡資源的需求，使網(wǎng)上資源獲得最佳利用，降低成本，改善對用戶的服務。牢靠的網(wǎng)絡平安設計平安性是網(wǎng)絡設計要考慮的最重要的因素之一，設計中充分考慮了網(wǎng)絡的平安性，具體體現(xiàn)在以下幾個方面：（1）通過VLAN的劃分，限制了不同VLAN之間的互訪，從而保證了不同網(wǎng)絡之間不會發(fā)生未經(jīng)授權的非法訪問。（2）在核心節(jié)點可供應基于地址的Access-list，以限制用戶對于關鍵資源的訪問。通過在匯聚和核心交換機上設置VLAN路由以及訪問過濾，保證了在VLAN之間只有被允許的訪問才能發(fā)生，而未經(jīng)授權的訪問都會被禁止。（3）通過對上網(wǎng)的平安教化，提高平安意識，特殊是增加計算機操作人員的密碼管理意識，以防止由于操作員密碼有意無意泄露給他人而造成的損失。（4）制定嚴格的平安制度，包括人員審查制度、崗位定職定責制度、運用計算機的權限制度以及防病毒制度，從制度上保證網(wǎng)絡平安性得以實現(xiàn)。（5）可以對全部的重要事務進行Log，這樣便利網(wǎng)絡管理員進行故障查找；（6）可以對全部的Telnet以及SNMP的訪問進行限制，從而最大程度地保證匯聚層系統(tǒng)地平安。（7）可以在接入層中通過限制MAC地址的訪問提高網(wǎng)絡平安。便利的網(wǎng)絡管理和維護（1）為了提高網(wǎng)絡管理實力設計中全部設備最好具有網(wǎng)管功能，不存在光纖收發(fā)器等類似不行網(wǎng)管設備，提高了網(wǎng)絡牢靠性和可管理。（2）支持通用的網(wǎng)絡管理協(xié)議如（SNMP），便利網(wǎng)絡的管理和維護。（3）支持通用的的網(wǎng)絡管理軟件，如CiscoCiscoworks、HPOpenView、3ComTrensand。運營級的網(wǎng)絡高牢靠性的設計可以從兩方面來考慮：關鍵設備的主要模塊和電源的冗余備分考慮在網(wǎng)絡設計中所涉及的全部主要設備，均采納高牢靠設計的原則。核心關鍵部件的冗余備份：電源冗余、主控板冗余、模塊冗余等。網(wǎng)絡鏈路的冗余備分考慮4.3系統(tǒng)平臺和應用系統(tǒng)系統(tǒng)平臺選擇系統(tǒng)平臺的建設主要包括：網(wǎng)絡操作系統(tǒng)、桌面平臺、數(shù)據(jù)庫、防火墻等的選擇。一般校內(nèi)網(wǎng)絡，服務器系統(tǒng)平臺可以選擇微軟WINDOWS2003SERVER操作系統(tǒng)的解決方案，供應域名服務、WWW服務、FTP服務、E－mail服務等。具有強大的網(wǎng)絡功能和可二次開發(fā)性。桌面操作系統(tǒng)比較可以選擇XP和LINUX等平臺。采納WINdows2003SERVER建立FTP服務器一般來說，用戶聯(lián)網(wǎng)的首要目的就是實現(xiàn)信息共享，文件傳輸是信息共享特別重要的一個內(nèi)容之一。在校內(nèi)內(nèi)部信息溝通是特別頻繁，所以有必要在網(wǎng)絡中運用WINdows2003SERVER架設起一個FTP服務器。五.思科公司校內(nèi)網(wǎng)解決方案5.1系統(tǒng)組成與拓撲結構校內(nèi)網(wǎng)的建設主要是為了教學應用，而多媒體協(xié)助教學和多媒體教室是教學應用的核心，在網(wǎng)絡建設時應考慮多媒體信息的特點，如信息量大，對時間延遲敏感等；在校內(nèi)網(wǎng)中常會出現(xiàn)幾十個學生執(zhí)行相同操作的現(xiàn)象，所以要考慮并發(fā)信息的限制；學生利用網(wǎng)絡做作業(yè)，老師要在家撥號訪問學校網(wǎng)絡，學籍管理信息在網(wǎng)上傳輸，所以也要考慮網(wǎng)絡的平安性，防止黑客破壞網(wǎng)絡，學生抄襲作業(yè)；校內(nèi)網(wǎng)又是面對不同學問層次的老師、學生和辦公人員的工具，它幫助我們更好地提高教學水平、辦公效率和學習愛好，所以應用和管理應簡便易行，界面友好，不宜太專業(yè)化?？紤]到春華學校的具體狀況如性質(zhì)、規(guī)模、財務等。這是一個相對小型的校內(nèi)網(wǎng)絡，單一建筑內(nèi)的網(wǎng)絡應用，思科公司提出以下校內(nèi)網(wǎng)解決方案：方案特點如下：（1）支持多媒體應用，包括多媒體教室、電子閱覽室、多媒體教學；（2）高性能，全交換，滿足用戶需求；（3）管理簡潔，閱讀器方式無需特地培訓；（4）系統(tǒng)平安，保密性高；（5）ADSL連接方式，按需建立連接降低鏈路費用。（6）互聯(lián)網(wǎng)接入，平安的廣域網(wǎng)訪問。方案拓撲結構如下：由圖可看出，網(wǎng)絡設備組成為：atalyst2900交換機五臺Cisco850路由器一臺思科公司的cisco850路由器是這一網(wǎng)絡的核心設備，可降低擁有成本，簡化遠程管理，供應結合CSU/DSU、復用器、調(diào)制解調(diào)器、語音/數(shù)據(jù)網(wǎng)關、ISDNNT1、防火墻、VPN、加密和壓縮設備的集成化網(wǎng)絡。Catalyst2900交換機它供應了24個10/100M自適應的快速以太網(wǎng)端口，。這是一個全交換的網(wǎng)絡，相對共享式集線器而言，交換機各端口擁有獨占的帶寬，能實現(xiàn)多路并行傳輸，不易發(fā)生沖突，能為多媒體信息供應更好的保障。考慮到Internet接入是校內(nèi)網(wǎng)的發(fā)展趨勢，在這套解決方案中都用到了路由器來引入廣域網(wǎng)的遠程連接，這套方案中用到了思科公司的低端路由器Cisco850，它供應了對內(nèi)的10/100M局域網(wǎng)接口和對外的ADSL連接，通過Internet實現(xiàn)遠程教學或教學演播等應用。傳輸穩(wěn)定，連接快速。在實現(xiàn)基本數(shù)據(jù)傳遞的基礎上，用戶可以依據(jù)自己的須要敏捷選用上述網(wǎng)絡設備中的某些性能。如：路由器和交換機的組內(nèi)廣播功能可為多媒體信息的傳輸供應更高的服務質(zhì)量；而catalyst2900之間建立快速以太網(wǎng)通道，在全雙工模式下達到400M的高速級聯(lián)；此外，850路由器兼任了防火墻－－思科公司系列中、低端路由器都可以通過操作系統(tǒng)升級具備防火墻性能，在擔當遠程連接的同時實施數(shù)據(jù)包檢驗和過濾，防止非法用戶侵入到內(nèi)部局域網(wǎng)中－－對連接到Internet這一開放網(wǎng)絡的用戶來說，平安性是網(wǎng)絡設計中不容忽視的一項重要因素。這套方案的好處是簡便易行，成本很低，并且兼顧了教學、管理和通訊三方面應用。方案中所用到的產(chǎn)品都屬思科公司產(chǎn)品中的低端設備，在實現(xiàn)高性價比的桌面應用的同時又做到易于配置和管理：catalyst2900屬即插即用的設備，假如不添加特殊功能則不需任何配置，cisco850的設置和管理也特別便利，這樣用戶運用起來將得心應手，無后顧之憂。5.2IP地址規(guī)劃建議在設計IP地址方案之前，應考慮以下幾個問題:（1）是否將網(wǎng)絡用真實地址連入Internet。（2）是否將網(wǎng)絡劃分為若干子網(wǎng)以便利網(wǎng)絡管理。（3）是采納靜態(tài)IP地址安排還是動態(tài)IP地址安排。（4）每個子網(wǎng)現(xiàn)在規(guī)劃多少個信息點。（5）每個子網(wǎng)將來會增加多少個信息點。通過Proxy或NAT方式使私有地址能夠訪問公網(wǎng)資源。在申請的公網(wǎng)IP地址不能完全滿足每個信息點一個的狀況下，可以采納公網(wǎng)地址與私網(wǎng)地址結合的方式。但是有時安排了私網(wǎng)地址的客戶端也要訪問Internet。針對這種狀況，可以采納不同的技術使私有地址能夠訪問公網(wǎng)資源。通?？梢岳么矸?Proxy)和網(wǎng)絡地址轉(zhuǎn)換(NAT)這兩項技術。園區(qū)網(wǎng)安排IP地址方案，一個有效的IP地址規(guī)劃或IP地址方案就是在地址資源的效率性和管理的便利性之間找到最佳的平衡點。按行政隸屬劃分是指按信息節(jié)點的行政隸屬關系將用戶按校內(nèi)各部門進行IP地址安排規(guī)劃。由于各部門之間在地域位置上并不肯定集中，但須要統(tǒng)一管理，因此我們建議采納行政隸屬的方式劃分IP地址段。按樓宇規(guī)劃在傳統(tǒng)的網(wǎng)絡平臺上很難實現(xiàn)。主要是因為傳統(tǒng)的網(wǎng)絡平臺局限于設備的地理位置，無法跨地域進行敏捷規(guī)劃。但現(xiàn)今的網(wǎng)絡平臺都支持虛擬網(wǎng)絡—VLAN技術。該技術避開了物理位置的缺陷，可以在邏輯上敏捷組網(wǎng)。因此，IP網(wǎng)段規(guī)劃可以與VLAN的劃分相一樣。規(guī)劃每個網(wǎng)段中的信息點數(shù)時，既要考慮到當前IP地址資源的充分利用性，又要預留出適當?shù)臄U展余地，因此假如采納私網(wǎng)地址安排IP，建議我們都采納的網(wǎng)絡，依據(jù)具體的部門狀況再分為具體的子網(wǎng)。從閱歷角度，通常一個IP網(wǎng)段也是一個獨立的VLAN，也就是一個獨立的廣播域。一個網(wǎng)段內(nèi)的信息節(jié)點數(shù)在40-200個時，性能和地址資源的最佳利用性較志向，并且將來可擴充到254個。寬帶接入用戶接入寬帶IP網(wǎng)的方式可以有多種形式：首先，用戶利用固定IP地址接入，則無需其它的認證過程，只需將用戶所連的交換機端口劃入某一特點VLAN即可；其次用戶通過PPP方式接入，即虛擬撥號方式，則須要一個專用的PPP終結設備終結PPP進程，通過對PPP進程的認證，可以確認用戶身份；用戶還可以利用DHCP獲得IP地址。另外交換機可以實現(xiàn)專用VLAN技術，可以通過配置選擇實現(xiàn)在同一VLAN內(nèi)用戶是否可以互通，進行數(shù)據(jù)交換。依據(jù)溫州春華的教務和公務的狀況，劃分以下兩個子網(wǎng)即可。表1-1模擬校內(nèi)網(wǎng)絡終端分布專業(yè)機房臺式PC機16臺萬博機房一臺式PC機16臺萬博機房二臺式PC機18臺教室一2臺（臺式機1臺、筆記本1臺）教室二2臺（臺式機1臺、筆記本1臺）教室三臺式PC機19臺多媒體教室2臺（臺式機1臺、筆記本1臺）辦公室10臺（臺式機5臺、筆記本5臺）校長室筆記本1臺學生會辦公室臺式PC機2臺詢問室1臺式PC機1臺詢問室2筆記本2臺前臺臺式PC機1臺表1-2IP子網(wǎng)劃分方案子網(wǎng)號IP網(wǎng)段默認網(wǎng)關說明CHJW（包括萬博1、2機房等全部的教務場所）CHGW（包括校長室、辦公室等全部辦公場所）5.3校內(nèi)網(wǎng)絡平安接入校內(nèi)網(wǎng)絡平安校內(nèi)網(wǎng)絡擔當著整個校內(nèi)的通訊樞紐功能，連接著全部的應用服務器和數(shù)據(jù)系統(tǒng)，任何網(wǎng)絡平安問題都會擾亂學校辦公、教務的正常運轉(zhuǎn)，給學校帶來不行彌補的損失。目前在局域網(wǎng)中遇到的問題主要有以下幾種：IP地址的管理問題，包括IP地址非法運用、IP地址沖突和IP地址欺瞞利用ARP欺瞞獲得賬號、密碼、信息，甚至惡意篡改信息內(nèi)容、嫁禍他人問題木馬、蠕蟲病毒攻擊導致的信息失竊、網(wǎng)絡癱瘓問題攻擊或病毒源機器的快速定位、隔離問題IP的地址管理始終是長期困擾局域網(wǎng)平安穩(wěn)定運行的首要問題。在局域網(wǎng)上任何用戶運用未經(jīng)授權的IP地址都應視為IP非法運用。由于終端用戶可以自由修改IP地址，從而產(chǎn)生了IP地址非法運用問題。改動后的IP地址在局域網(wǎng)中運行時可能出現(xiàn)以下狀況。非法的IP地址即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)重復的IP地址與已經(jīng)安排且正在局域網(wǎng)運行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網(wǎng)冒用合法用戶的IP地址當合法用戶不在線時，冒用其IP地址聯(lián)網(wǎng)，使合法用戶的權益受到侵害無論是有意或無意地運用非法IP地址都可能會給企業(yè)帶來嚴峻的后果，如重復的IP地址會干擾、破壞網(wǎng)絡服務器和網(wǎng)絡設備的正常運行，甚至導致網(wǎng)絡的不穩(wěn)定，從而影響業(yè)務；擁有被非法運用的IP地址所擁有的特權，威逼網(wǎng)絡平安；利用欺瞞性的IP地址進行網(wǎng)絡攻擊，如富有侵略性的TCPSYN洪泛攻擊來源于一個欺瞞性的IP地址，它是利用TCP三次握手會話對服務器進行顛覆的一種攻擊方式，一個IP地址欺瞞攻擊者可以通過手動修改地址或者運行一個實施地址欺瞞的程序來假冒一個合法地址。為了防止非法運用IP地址，增加網(wǎng)絡平安，最常見的方法是采納靜態(tài)的ARP吩咐捆綁IP地址和MAC地址，從而阻擋非法用戶在不修改MAC地址的狀況下冒用IP地址進行的訪問，同時借助交換機的端口平安即MAC地址綁定功能可以解決非法用戶修改MAC地址以適應靜態(tài)ARP表的問題。但這種方法由于要事先收集全部機器的MAC地址及相應的IP地址，然后還要通過人工輸入方法來建立IP地址和MAC地址的捆綁表，不僅工作量繁重，而且也難以維護和管理。另一個顯著的問題就是帶有攻擊特性的ARP欺瞞。地址解析協(xié)議（ARP，AddressResolutionProtocol）最基本的功能是用來實現(xiàn)MAC地址和IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP懇求，擁有此IP地址的工作站賜予ARP應答，并附上自己的IP和MAC地址。ARP協(xié)議同時支持一種無懇求ARP功能，局域網(wǎng)段上的全部工作站收到主動ARP，會將發(fā)送者的MAC地址和其宣布的IP地址保存，覆蓋以前的同一IP地址和對應的MAC地址。術語“ARP欺瞞”或者說“ARP中毒”就是指利用主動ARP來誤導通信數(shù)據(jù)傳往一個惡意計算機的黑客技術，該計算機就能成為某個特定局域網(wǎng)網(wǎng)段上的兩臺終端工作站之間IP會話的“中間人”了。假如黑客想探聽同一網(wǎng)絡中兩臺主機之間的通信（即使是通過交換機相連），他會分別給這兩臺主機發(fā)送一個ARP應答包，讓兩臺主機都“誤”認為對方的MAC地址是第三方黑客所在的主機，這樣，雙方看似“干脆”的通信連接，事實上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內(nèi)容，并可以通過工具破譯賬號、密碼、信息，另一方面，還可以惡意更改數(shù)據(jù)包中的一些信息。同時，這種ARP欺瞞又極具隱藏性，攻擊完成后再復原現(xiàn)場，所以不易發(fā)覺、事后也難以追查，被攻擊者往往對此一竅不通。病毒入侵問題也是全部客戶普遍關切的問題。這些病毒，可以在極短的時間內(nèi)快速感染大量系統(tǒng)，甚至造成網(wǎng)絡癱瘓和信息失竊，給客戶造成嚴峻損失。木馬病毒往往會利用ARP的欺瞞獲得賬號和密碼，而蠕蟲病毒也往往利用IP地址欺瞞技術來掩蓋它們真實的源頭主機。例如“局域網(wǎng)終結者”（Win32.Hack.Arpkill）病毒，通過偽造ARP包來欺瞞網(wǎng)絡主機，使指定的主機網(wǎng)絡中斷，嚴峻影響到網(wǎng)絡的運行。最終，令網(wǎng)絡管理員頭痛的問題是如何精確定位。當出現(xiàn)IP地址被非法運用、IP地址沖突，或網(wǎng)絡出現(xiàn)異樣流量包括由于網(wǎng)絡掃描、病毒感染和網(wǎng)絡攻擊產(chǎn)生的流量，為了查找這些IP地址的機器，一般采納如下步驟：確定出現(xiàn)問題的IP地址。查看當前網(wǎng)絡設備的ARP表，從中獲得網(wǎng)卡的MAC地址。檢查交換機的MAC地址列表，確定機器位置。這個過程往往要花費大量的時間才能夠定位機器具體連接的物理端口，而對于偽造的源IP地址要查出是從哪臺機器產(chǎn)生的就更加困難了。假如不能剛好對故障源精確地定位、快速地隔離，將會導致嚴峻的后果，即使在網(wǎng)絡復原正常后隱患依舊存在。阻擋來自網(wǎng)絡其次層攻擊的重要性以上所提到的攻擊和欺瞞行為主要來自網(wǎng)絡的其次層。在網(wǎng)絡實際環(huán)境中，其來源可概括為兩個途徑：人為實施，病毒或蠕蟲。人為實施通常是指運用一些黑客的工具對網(wǎng)絡進行掃描和嗅探，獲得管理帳戶和相關密碼，在網(wǎng)絡上中安插木馬，從而進行進一步竊取機密文件。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺瞞，同時還會帶來網(wǎng)絡流量加大、設備CPU利用率過高、二層生成樹環(huán)路、網(wǎng)絡癱瘓等現(xiàn)象。網(wǎng)絡其次層的攻擊是網(wǎng)絡平安攻擊者最簡潔實施，也是最不簡潔被發(fā)覺的平安威逼，它的目標是讓網(wǎng)絡失效或者通過獲得諸如密碼這樣的敏感信息而危及網(wǎng)絡用戶的平安。因為任何一個合法用戶都能獲得一個以太網(wǎng)端口的訪問權限，這些用戶都有可能成為黑客，同時由于設計OSI模型的時候，允許不同通信層在相互不了解狀況下也能進行工作，所以其次層的平安就變得至關重要。假如這一層受到黑客的攻擊，網(wǎng)絡平安將受到嚴峻威逼，而且其他層之間的通信還會接著進行，同時任何用戶都不會感覺到攻擊已經(jīng)危及應用層的信息平安。所以，僅僅基于認證（如IEEE802.1x）和訪問限制列表（ACL，AccessControlLists）的平安措施是無法防止本文中提到的來自網(wǎng)絡其次層的平安攻擊。一個經(jīng)過認證的用戶仍舊可以有惡意，并可以很簡潔地執(zhí)行本文提到的全部攻擊。目前這類攻擊和欺瞞工具已經(jīng)特別成熟和易用。歸納前面提到的局域網(wǎng)目前普遍存在的平安問題，依據(jù)這些平安威逼的特征分析，這些攻擊都來自于網(wǎng)絡的其次層，主要包括以下幾種：MAC地址泛濫攻擊DHCP服務器欺瞞攻擊ARP欺瞞CiscoCatalyst交換系列的創(chuàng)新特性針對這類攻擊供應了全面的解決方案，將發(fā)生在網(wǎng)絡其次層的攻擊阻擋在通往內(nèi)部網(wǎng)的第一入口處，主要基于下面的幾個關鍵的技術。PortSecurityDHCPSnoopingDynamicARPInspection(DAI)下面主要針對目前這些特別典型的二層攻擊和欺瞞說明如何在思科交換機上組合運用和部署上述技術，從而防止在交換環(huán)境中的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺瞞等，更具意義的是通過上面技術的部署可以簡化地址管理，干脆跟蹤用戶IP和對應的交換機端口，防止IP地址沖突。同時對于大多數(shù)具有地址掃描、欺瞞等特征的病毒可以有效的報警和隔離。5.3.3MAC泛濫攻擊的原理和危害交換機主動學習客戶端的MAC地址，并建立和維護端口和MAC地址的對應表以此建立交換路徑，這個表就是通常我們所說的CAM表。CAM表的大小是固定的，不同的交換機的CAM表大小不同。MAC/CAM攻擊是指利用工具產(chǎn)生欺瞞MAC，快速填滿CAM表，交換機CAM表被填滿。黑客發(fā)送大量帶有隨機源MAC地址的數(shù)據(jù)包，這些新MAC地址被交換機CAM學習，很快塞滿MAC地址表，這時新目的MAC地址的數(shù)據(jù)包就會廣播到交換機全部端口，交換機就像共享HUB一樣工作，黑客可以用sniffer工具監(jiān)聽全部端口的流量。此類攻擊不僅造成平安性的破壞，同時大量的廣播包降低了交換機的性能。當交換機的CAM表被填滿后，交換機以廣播方式處理通過交換機的報文，這時攻擊者可以利用各種嗅探攻擊獲得網(wǎng)絡信息。更為嚴峻的是，這種攻擊也會導致全部鄰接的交換機CAM表被填滿，流量以洪泛方式發(fā)送到全部交換機的全部含有此VLAN的接口，從而造成交換機負載過大、網(wǎng)絡緩慢和丟包甚至癱瘓。MAC泛濫攻擊防范方法限制單個端口所連接MAC地址的數(shù)目可以有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊，macof可被網(wǎng)絡用戶用來產(chǎn)生隨機源MAC地址和隨機目的MAC地址的數(shù)據(jù)包，可以在不到10秒的時間內(nèi)填滿交換機的CAM表。CiscoCatalyst交換機的端口平安（PortSecurity）和動態(tài)端口平安功能可被用來阻擋MAC泛濫攻擊。例如交換機連接單臺工作站的端口，可以限制所學MAC地址數(shù)為1；連接IP電話和工作站的端口可限制所學MAC地址數(shù)為3：IP電話、工作站和IP電話內(nèi)的交換機。通過端口平安功能，網(wǎng)絡管理員也可以靜態(tài)設置每個端口所允許連接的合法MAC地址，實現(xiàn)設備級的平安授權。動態(tài)端口平安則設置端口允許合法MAC地址的數(shù)目，并以肯定時間內(nèi)所學習到的地址作為合法MAC地址。通過配置PortSecurity可以限制：端口上最大可以通過的MAC地址數(shù)量端口上學習或通過哪些MAC地址對于超過規(guī)定數(shù)量的MAC處理進行違反處理端口上學習或通過哪些MAC地址，可以通過靜態(tài)手工定義，也可以在交換機自動學習。交換機動態(tài)學習端口MAC，直到指定的MAC地址數(shù)量，交換機關機后重新學習。目前較新的技術是StickyPortSecurity，交換機將學到的mac地址寫到端口配置中，交換機重啟后配置仍舊存在。對于超過規(guī)定數(shù)量的MAC處理進行處理一般有三種方式（針對交換機型號會有所不同）：Shutdown：端口關閉。Protect：丟棄非法流量，不報警。Restrict：丟棄非法流量，報警。5.3.5DHCP欺瞞攻擊的防范采納DHCP管理的常見問題：采納DHCPserver可以自動為用戶設置網(wǎng)絡IP地址、掩碼、網(wǎng)關、DNS、WINS等網(wǎng)絡參數(shù)，簡化了用戶網(wǎng)絡設置，提高了管理效率。但在DHCP管理運用上也存在著一些另網(wǎng)管人員比較問題，常見的有：DHCPserver的冒充。DHCPserver的DOS攻擊。有些用戶隨意指定地址，造成網(wǎng)絡地址沖突。由于DHCP的運作機制，通常服務器和客戶端沒有認證機制，假如網(wǎng)絡上存在多臺DHCP服務器將會給網(wǎng)絡照成混亂。由于不當心配置了DHCP服務器引起的網(wǎng)絡混亂也非經(jīng)常見。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP懇求，直到DHCP服務器對應網(wǎng)段的全部地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP服務器欺詐結合將流量重指到意圖進行流量截取的惡意節(jié)點。DHCP服務器欺詐可能是有意的，也可能是無意啟動DHCP服務器功能，惡意用戶發(fā)放錯誤的IP地址、DNS服務器信息或默認網(wǎng)關信息，以此來實現(xiàn)流量的截取。DHCPSnooping技術概述DHCPSnooping技術是DHCP平安特性，通過建立和維護DHCPSnooping綁定表過濾不行信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。

通過截取一個虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機可以在用戶和DHCP服務器之間擔當就像小型平安防火墻這樣的角色，“DHCP監(jiān)聽”功能基于動態(tài)地址安排建立了一個DHCP綁定表，并將該表存貯在交換機里。在沒有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個DHCP綁定條目包含客戶端地址（一個靜態(tài)地址或者一個從DHCP服務器上獲得的地址）、客戶端MAC地址、端口、VLANID、租借時間、綁定類型（靜態(tài)的或者動態(tài)的）?；痉婪稙榱朔乐惯@種類型的攻擊，CatalystDHCP偵聽（DHCPSnooping）功能可有效阻擋此類攻擊，當打開此功能，全部用戶端口除非特殊設置，被認為不行信任端口，不應當作出任何DHCP響應，因此欺詐DHCP響應包被交換機阻斷，合法的DHCP服務器端口或上連端口應被設置為信任端口。CatalystDHCP偵聽（DHCPSnooping）對于下邊介紹的其他阻擋ARP欺瞞和IP/MAC地址的欺瞞是必需的。5.3.6ARP欺瞞攻擊原理和處理方法ARP欺瞞攻擊原理：從影響網(wǎng)絡連接通暢的方式來看，ARP欺瞞分為二種，一種是對路由器ARP表的欺瞞；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關欺瞞。第一種ARP欺瞞的原理是——截獲網(wǎng)關數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并依據(jù)肯定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的全部數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。其次種ARP欺瞞的原理是——偽造網(wǎng)關。它的原理是建立假網(wǎng)關，讓被它欺瞞的PC向假網(wǎng)關發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡掉線了”。近期，一種新型的“ARP欺瞞”木馬病毒正在校內(nèi)網(wǎng)中擴散，嚴峻影響了校內(nèi)網(wǎng)的正常運行。感染此木馬的計算機試圖通過“ARP欺瞞”手段截獲所在網(wǎng)絡內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。ARP欺瞞木馬的中毒現(xiàn)象表現(xiàn)為：運用校內(nèi)網(wǎng)時會突然掉線，過一段時間后又會復原正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE閱讀器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。假如校內(nèi)網(wǎng)是通過身份認證上網(wǎng)的，會突然出現(xiàn)可認證，但不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關），重啟機器或在MS-DOS窗口下運行吩咐arp-d后，又可復原上網(wǎng)。ARP欺瞞木馬特別猖狂，危害也特殊大，各高校校內(nèi)網(wǎng)、小區(qū)網(wǎng)、公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災情，帶來了網(wǎng)絡大面積癱瘓的嚴峻后果。ARP欺瞞木馬只需勝利感染一臺電腦，就可能導致整個局域網(wǎng)都無法上網(wǎng)，嚴峻的甚至可能帶來整個網(wǎng)絡的癱瘓。檢查和處理“ARP欺瞞”木馬的方法：（1）檢查本機的“ARP欺瞞”木馬染毒進程同時按住鍵盤上的“CTRL”和“ALT”鍵再按“DEL”鍵，選擇“任務管理器”，點選“進程”標簽。察看其中是否有一個名為“MIR0.dat”的進程。假如有，則說明已經(jīng)中毒。右鍵點擊此進程后選擇“結束進程”。參見右圖。（2）檢查網(wǎng)內(nèi)感染“ARP欺瞞”木馬染毒的計算機在“起先”-“程序”-“附件”菜單下調(diào)出“吩咐提示符”。輸入并執(zhí)行以下吩咐：ipconfig記錄網(wǎng)關IP地址，即“DefaultGateway”對應的值，例如“”。再輸入并執(zhí)行以下吩咐：arp–a在“InternetAddress”下找到上步記錄的網(wǎng)關IP地址，記錄其對應的物理地址，即“PhysicalAddress”值，例如“00-01-e8-1f-35-54”。在網(wǎng)絡正常時這就是網(wǎng)關的正確物理地址，在網(wǎng)絡受“ARP欺瞞”木馬影響而不正常時，它就是木馬所在計算機的網(wǎng)卡物理地址。也可以掃描本子網(wǎng)內(nèi)的全部IP地址，然后再查ARP表。假如有一個IP對應的物理地址與網(wǎng)關的相同，那么這個IP地址和物理地址就是中毒計算機的IP地址和網(wǎng)卡物理地址。（3）設置ARP表避開“ARP欺瞞”木馬影響的方法本方法可在肯定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網(wǎng)關IP地址和網(wǎng)關物理地址，然后在“吩咐提示符”窗口中輸入并執(zhí)行以下吩咐：arp–s網(wǎng)關IP網(wǎng)關物理地址（4）態(tài)ARP綁定網(wǎng)關步驟一：在能正常上網(wǎng)時，進入MS-DOS窗口，輸入吩咐：arp－a，查看網(wǎng)關的IP對應的正確MAC地址，并將其記錄下來。留意：假如已經(jīng)不能上網(wǎng)，則先運行一次吩咐arp－d將arp緩存中的內(nèi)容刪空，計算機可短暫復原上網(wǎng)（攻擊假如不停止的話）。一旦能上網(wǎng)就馬上將網(wǎng)絡斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運行arp－a。步驟二：假如計算機已經(jīng)有網(wǎng)關的正確MAC地址，在不能上網(wǎng)只需手工將網(wǎng)關IP和正確的MAC地址綁定，即可確保計算機不再被欺瞞攻擊。要想手工綁定，可在MS-DOS窗口下運行以下吩咐：arp－s網(wǎng)關IP網(wǎng)關MAC例如：假設計算機所處網(wǎng)段的網(wǎng)關為，本機地址為，在計算機上運行arp－a后輸出如下：CocumentsandSettings>arp-aInterface:0x2InternetAddressPhysicalAddressType00-01-02-03-04-05dynamic其中，00-01-02-03-04-05就是網(wǎng)關對應的MAC地址，類型是動態(tài)（dynamic）的，因此是可被變更的。被攻擊后，再用該吩咐查看，就會發(fā)覺該MAC已經(jīng)被替換成攻擊機器的MAC。假如希望能找出攻擊機器，徹底根除攻擊，可以在此時將該MAC記錄下來，為以后查找該攻擊的機器做打算。手工綁定的吩咐為：arp－s00-01-02-03-04-05綁定完，可再用arp－a查看arp緩存：CocumentsandSettings>arp-aInterface:0x2InternetAddressPhysicalAddressType00-01-02-03-04-05static這時，類型變?yōu)殪o態(tài)（static），就不會再受攻擊影響了。但是，須要說明的是，手工綁定在計算機關機重啟后就會失效，須要再次重新綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計算機，把病毒殺掉，才算是真正解決問題。（5）作批處理文件在客戶端做對網(wǎng)關的arp綁定，具體操作步驟如下：步驟一：查找本網(wǎng)段的網(wǎng)關