三、建設(shè)方案

3.1背景及分析

安徽科技學(xué)院自建校以來(lái)，服務(wù)于教務(wù)教學(xué)的校園網(wǎng)絡(luò)設(shè)施，有

力地支持了學(xué)院的高速發(fā)展。但隨著學(xué)院業(yè)務(wù)系統(tǒng)的增多和新型教學(xué)

方式的轉(zhuǎn)變，對(duì)學(xué)生的學(xué)習(xí)、實(shí)驗(yàn)探究和實(shí)踐的要求明顯提高，因而

對(duì)整個(gè)學(xué)院的校園網(wǎng)性能承載和功能要求也隨之發(fā)生了很大變化，現(xiàn)

有的校園網(wǎng)絡(luò)已難以滿足這種需要；另外，由于原有的網(wǎng)絡(luò)設(shè)備使用

年限和技術(shù)更新等因素，現(xiàn)有校園網(wǎng)設(shè)施也已很難滿足新課程對(duì)現(xiàn)代

教育技術(shù)的需求。

隨著無(wú)線應(yīng)用及移動(dòng)終端的普及，為了更好的服務(wù)于師生，加快

教育信息化建設(shè)的步伐，促進(jìn)校園信息化建設(shè)成為學(xué)校育人的有機(jī)組

成部分，大力發(fā)展校園無(wú)線網(wǎng)絡(luò)，建設(shè)高速、穩(wěn)定、可靠、可運(yùn)營(yíng)、

可管理的無(wú)線網(wǎng)絡(luò)對(duì)于塑造安徽科技學(xué)院新一代智慧校園來(lái)說(shuō)，具有

重要的戰(zhàn)略意義?，F(xiàn)在無(wú)線網(wǎng)絡(luò)產(chǎn)品和技術(shù)都已成熟，無(wú)線llac,lln

技術(shù)相比傳統(tǒng)11g的技術(shù)在性能和覆蓋上都有了質(zhì)的飛躍，加上學(xué)校

無(wú)線應(yīng)用越來(lái)越多，如筆記本、pad、手機(jī)等終端廣泛應(yīng)用，學(xué)校全

校無(wú)線校園網(wǎng)建設(shè)成為學(xué)校信息化發(fā)展的必然趨勢(shì)。

當(dāng)前學(xué)校在信息化建設(shè)方面的背景和需求，可以總結(jié)概括為以下

幾點(diǎn)：

（一）加快學(xué)校信息化建設(shè)，是落實(shí)“創(chuàng)新人才培養(yǎng)體系”、“改

革人才培養(yǎng)模式”人才培養(yǎng)戰(zhàn)略的需要。

《國(guó)家中長(zhǎng)期教育改革和發(fā)展規(guī)劃綱要（2010—2020年）》中明

確指出“信息技術(shù)對(duì)教育發(fā)展具有革命性影響，必須予以高度重視”，

提出了“創(chuàng)新人才培養(yǎng)體系”、“改革人才培養(yǎng)模式”、“加強(qiáng)實(shí)踐

教學(xué)”、“提高課程建設(shè)質(zhì)量”等系列工作。這些工作的開展需要利

用各類信息化技術(shù)手段，形成以移動(dòng)互聯(lián)網(wǎng)絡(luò)接入環(huán)境、知識(shí)云、學(xué)

習(xí)云支撐的課堂教育模式，以在線教育支撐的聯(lián)合培養(yǎng)模式、以虛擬

課堂支撐的學(xué)生自學(xué)模式、以網(wǎng)上社團(tuán)支撐的通識(shí)培養(yǎng)模式、以仿真

實(shí)驗(yàn)環(huán)境支撐的實(shí)踐教學(xué)模式、以網(wǎng)絡(luò)評(píng)議支撐的科學(xué)評(píng)估模式，以

綜合數(shù)據(jù)分析支撐課程建設(shè)質(zhì)量。全面推進(jìn)學(xué)生自主性、互動(dòng)性和探

究式學(xué)習(xí)，實(shí)現(xiàn)人才培養(yǎng)戰(zhàn)略的總體目標(biāo)。

（二）加快學(xué)校信息化建設(shè)，是推進(jìn)“學(xué)科建設(shè)梯度推進(jìn)戰(zhàn)略”、

“學(xué)科交叉與融合創(chuàng)新”學(xué)科建設(shè)戰(zhàn)略的需要。

學(xué)科建設(shè)是高校能力建設(shè)的核心內(nèi)容，信息化是加快學(xué)科建設(shè)的

重要手段?！笆濉逼陂g，我校確立了“支撐專業(yè)建設(shè)、提升教學(xué)

水平、增強(qiáng)創(chuàng)新能力、服務(wù)地方發(fā)展”學(xué)科建設(shè)目標(biāo)，這些工作的推

進(jìn)需要建立以泛在快速的網(wǎng)絡(luò)環(huán)境和基于云架構(gòu)的資源共享環(huán)境為

核心的學(xué)科建設(shè)的公共支撐平臺(tái)，融合學(xué)校數(shù)字圖書、教學(xué)影像視頻

等各類知識(shí)資源，為各學(xué)科提供按需、主動(dòng)推送服務(wù)。構(gòu)建跨學(xué)科的

網(wǎng)絡(luò)信息平臺(tái)，為各科學(xué)交叉提供在線的信息交流環(huán)境，開展學(xué)科相

關(guān)資源的共享，促進(jìn)學(xué)術(shù)交流合作，推進(jìn)學(xué)科交叉融合。

（三）加快學(xué)校信息化建設(shè)，是支撐“跨學(xué)科研究平臺(tái)”、“學(xué)

科聯(lián)合攻關(guān)”科研發(fā)展戰(zhàn)略的需要。

《高等學(xué)校中長(zhǎng)期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要》中指出“要抓住信

息化建設(shè)的發(fā)展機(jī)遇，構(gòu)建信息化公共服務(wù)體系，以信息化帶動(dòng)科研

工作現(xiàn)代化，實(shí)現(xiàn)高?？蒲泄ぷ鞯目缭绞桨l(fā)展”。我校的科學(xué)研究的

定位是以加強(qiáng)科研平臺(tái)建設(shè)和科研創(chuàng)新團(tuán)隊(duì)建設(shè)為基礎(chǔ)，以爭(zhēng)取高水

平科研項(xiàng)目和科研成果為突破口，在這新形勢(shì)下，為適應(yīng)我校新一輪

科研發(fā)展的需要，開展學(xué)術(shù)網(wǎng)絡(luò)建設(shè)、面向?qū)W術(shù)團(tuán)隊(duì)建立機(jī)構(gòu)知識(shí)庫(kù)

等形式的創(chuàng)新知識(shí)資源服務(wù)、網(wǎng)上學(xué)術(shù)交流服務(wù)、大型儀器設(shè)備共享

服務(wù)、網(wǎng)上科技成果轉(zhuǎn)化等服務(wù)是十分必要的，營(yíng)造具有學(xué)院特色、

支撐學(xué)科建設(shè)、結(jié)合區(qū)域發(fā)展的科研環(huán)境。

（四）加快學(xué)校信息化建設(shè)，是推動(dòng)管理科學(xué)化、智能化、效能

化發(fā)展，構(gòu)建智慧校園的需要。

大學(xué)校園離不開科學(xué)的管理，科學(xué)的管理必須借助于信息化的支

撐。近年來(lái)，學(xué)校高度重視管理體制機(jī)制的改革，強(qiáng)調(diào)機(jī)關(guān)工作的效

能建設(shè)，強(qiáng)調(diào)提升管理服務(wù)水平。這些工作的落實(shí)需要利用先進(jìn)的信

息化技術(shù)手段，部署自動(dòng)化、智能化的管理服務(wù)系統(tǒng)，科學(xué)全面地采

集、整合、挖掘?qū)W校各類相關(guān)信息與數(shù)據(jù)，為學(xué)校整體管理效能的提

高和量化決策提供支撐。同時(shí)一，通過(guò)現(xiàn)有的信息化技術(shù)手段，結(jié)合基

建改造工作，實(shí)現(xiàn)安全監(jiān)控、節(jié)能減排、有效控制等目標(biāo)，為全力打

造智慧校園提供保障。

3.2建設(shè)目標(biāo)

1、通過(guò)本次項(xiàng)目建設(shè)滿足目前安徽科技學(xué)院的使用要求和信息化發(fā)

展規(guī)劃，在不改變主體架構(gòu)的前提下，實(shí)現(xiàn)平滑升級(jí)和擴(kuò)容。

2、出口統(tǒng)一：整合現(xiàn)有的辦公網(wǎng)以及學(xué)生宿舍、教職工宿舍網(wǎng)出口,,

統(tǒng)一校園網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口，并通過(guò)雙線路的方式有效避免單鏈路故

障。

3、認(rèn)證統(tǒng)一：實(shí)現(xiàn)有線無(wú)線統(tǒng)一認(rèn)證，實(shí)名注冊(cè)，滿足IPV4/IPV6

用戶2萬(wàn)人并發(fā)在線；實(shí)現(xiàn)同一賬號(hào)可通過(guò)有線、無(wú)線、SSL+IPSECVPN

認(rèn)證接入校園網(wǎng)，并實(shí)現(xiàn)校園網(wǎng)準(zhǔn)出認(rèn)證訪問(wèn)互聯(lián)網(wǎng)。

4、萬(wàn)兆互連：核心設(shè)備與匯聚設(shè)備萬(wàn)兆互連。建成10T級(jí)核心交換

容量、萬(wàn)兆骨干鏈路校園網(wǎng)。

5、無(wú)線、有線兩網(wǎng)合并：建成有線無(wú)線一體化網(wǎng)絡(luò)，無(wú)線網(wǎng)采用無(wú)

感知認(rèn)證和WEB認(rèn)證兩種方式，并能自主分區(qū)域、分時(shí)段、分權(quán)限的

可控可管。流量精細(xì)管理，基于用戶認(rèn)證賬號(hào)的帶寬分配，關(guān)鍵應(yīng)用

不中斷，流量計(jì)費(fèi)，流量分析，外網(wǎng)資源內(nèi)網(wǎng)化（互聯(lián)網(wǎng)資源本地加

速）。

6、具備多家運(yùn)營(yíng)商出口同時(shí)接入，為各運(yùn)營(yíng)商的公平競(jìng)爭(zhēng)等提供技

術(shù)保障的環(huán)境；實(shí)現(xiàn)用戶根據(jù)自己需求，校內(nèi)不分地域自主選擇互聯(lián)

網(wǎng)提供商。

7、校內(nèi)資源免費(fèi)：校園網(wǎng)絡(luò)用戶能夠免費(fèi)訪問(wèn)校內(nèi)資源，校內(nèi)流量

免費(fèi)。

3.3建設(shè)范圍

3.3.1一期建設(shè)（鳳陽(yáng)校區(qū)）

1、有線網(wǎng)建設(shè)

學(xué)知樓教室、求知樓教室、新知樓教室、學(xué)生宿舍、教工宿舍、

其他辦公室及實(shí)驗(yàn)室有線補(bǔ)充，最終信息點(diǎn)個(gè)數(shù)以施工方案為準(zhǔn)。

2、無(wú)線網(wǎng)建設(shè)

室外區(qū)域包括：東區(qū)南門弘理路、求知樓周圍、學(xué)知樓周圍、

東區(qū)操場(chǎng)、東區(qū)籃球場(chǎng)、中辦公樓門前廣場(chǎng)、老圖書館與中辦公樓之

間草坪、老圖書館東側(cè)竹林、新圖書館周圍、梅園、一二三食堂周圍、

東區(qū)西門廣場(chǎng)、師琴湖、接待中心門前廣場(chǎng)、玉蘭路、東區(qū)網(wǎng)球場(chǎng)排

球場(chǎng)、羽毛球場(chǎng)、教工宿舍西19號(hào)南側(cè)草坪、教工宿舍西10號(hào)東側(cè)

草坪、教工宿舍東10號(hào)南側(cè)草坪、西區(qū)大屏幕前廣場(chǎng)、新知樓周圍、

西區(qū)操場(chǎng)、西區(qū)籃球場(chǎng)、東西校區(qū)所有學(xué)生宿舍樓樓與樓之間空地。

室內(nèi)區(qū)域包括：校區(qū)內(nèi)所有辦公樓、實(shí)驗(yàn)樓、教學(xué)樓、宿舍樓樓

道及房間內(nèi)；體育館、學(xué)術(shù)報(bào)告廳、新圖書館第1、2報(bào)告廳和第1、

2、3會(huì)議室、一二三食堂。

3.3.2二期建設(shè)（蚌埠校區(qū)）

蚌埠校區(qū)學(xué)生宿舍區(qū)有線無(wú)線網(wǎng)建設(shè)。其中完成建設(shè)光纖到樓，

網(wǎng)線到室；負(fù)責(zé)學(xué)生公寓機(jī)房設(shè)備、樓層交換設(shè)備、宿舍終端設(shè)備、

運(yùn)營(yíng)出口帶寬等。

3.4方案設(shè)計(jì)原則

i.多樣性：網(wǎng)絡(luò)結(jié)構(gòu)需要具有極大的多樣性特點(diǎn)。

2.安全性：由于建設(shè)單位的特殊性，作為其信息系統(tǒng)的主要載體

綜合布線系統(tǒng)，對(duì)其安全性提出了更高的要求。

3.可靠性：為用戶提供更良好的體驗(yàn)，可靠性也是主要特點(diǎn)之一。

4.可擴(kuò)充性：隨著網(wǎng)絡(luò)設(shè)備、交換機(jī)設(shè)備的不斷更新，對(duì)布線系

統(tǒng)提出了更高的要求，綜合布線系統(tǒng)不再是一成不變，隨著信息化水

平不斷的提高，綜合布線系統(tǒng)要能最大可能的提高可擴(kuò)充性。

5.實(shí)用性：實(shí)施后的布線系統(tǒng)，將能夠在現(xiàn)在和將來(lái)適應(yīng)技術(shù)的

發(fā)展，并且實(shí)現(xiàn)數(shù)據(jù)通信、語(yǔ)音通信、圖像通信等。

6.靈活性：布線系統(tǒng)能夠滿足靈活性應(yīng)用的要求，遵循結(jié)構(gòu)化布

線的標(biāo)準(zhǔn)，適應(yīng)不同拓?fù)涞木W(wǎng)絡(luò)，在不改變布線系統(tǒng)情況下，就可以

進(jìn)行設(shè)備的移動(dòng)、更新和升級(jí)。

7.經(jīng)濟(jì)性：在滿足應(yīng)用要求的基礎(chǔ)上，盡可能降低造價(jià)，綜合布

線過(guò)程是對(duì)各種網(wǎng)絡(luò)線纜統(tǒng)一規(guī)劃、統(tǒng)一安裝施工過(guò)程，減少了不必

要的重復(fù)布線、重復(fù)施工，節(jié)約了線材。由于采用綜合布線系統(tǒng)，單

位避免了重復(fù)設(shè)置信息機(jī)構(gòu)和重復(fù)建設(shè)信息網(wǎng)絡(luò)，從整體上講節(jié)省了

投資，避免了大量的重復(fù)建設(shè)，提高了網(wǎng)絡(luò)效益，綜合布線系統(tǒng)采用

標(biāo)準(zhǔn)化的設(shè)計(jì)，統(tǒng)一安裝施工，使整個(gè)系統(tǒng)構(gòu)成一個(gè)有機(jī)的整體，便

于集中管理維護(hù)，并減少日后的維護(hù)費(fèi)用。

8.統(tǒng)一性：整個(gè)建筑的信息網(wǎng)絡(luò)建設(shè)基于一個(gè)統(tǒng)一的網(wǎng)絡(luò)管理中

心的模式，不同系統(tǒng)不同網(wǎng)絡(luò)及不同類型的網(wǎng)絡(luò)之間的連接完全兼容。

9.開放性：綜合布線系統(tǒng)中使用開放式系統(tǒng)結(jié)構(gòu)，符合國(guó)際上流

行的標(biāo)準(zhǔn)，系統(tǒng)對(duì)國(guó)際上所著名廠商的產(chǎn)品都應(yīng)是開放的，可以將不

同廠家的不同傳輸介質(zhì)和不同設(shè)備集成在本系統(tǒng)內(nèi)。

10.先進(jìn)性：綜合布線應(yīng)用極富彈性的布線概念，適應(yīng)未來(lái)十年甚

至二十年的發(fā)展。

3.5基礎(chǔ)承載網(wǎng)規(guī)劃

3.5.1網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D

萬(wàn)兆鏈路

千兆鏈路

運(yùn)營(yíng)出口

辦公出q公出口

EX4200

東校區(qū)

3.5.2網(wǎng)絡(luò)設(shè)備部署規(guī)劃

東區(qū)核心采用2臺(tái)銳捷RG-N18000系列，西區(qū)匯聚采用1臺(tái)銳捷

RG-S8600E面向十萬(wàn)兆平臺(tái)設(shè)計(jì)的高端核心交換機(jī)。東區(qū)核心和西區(qū)

匯聚通過(guò)20G大容量帶寬互聯(lián)。

樓內(nèi)采用用千兆智能交換機(jī)RG-S2900E-P,網(wǎng)線全部使用六類線

纜進(jìn)行布線。

3.5.3極簡(jiǎn)網(wǎng)絡(luò)設(shè)計(jì)

傳統(tǒng)的校園網(wǎng)中，用戶接入控制、安全防護(hù)、運(yùn)營(yíng)及服務(wù)管理的

各種功能、策略一般都部署在校園網(wǎng)的接入、匯聚交換機(jī)上。這種部

署方式導(dǎo)致整個(gè)接入網(wǎng)的整體擁有成本非常高，高校的信息部門曾今

投入了大量的資金來(lái)搭建這張接入網(wǎng)，而未來(lái)一旦因?yàn)樵O(shè)備老舊、功

能升級(jí)等原因，這張接入網(wǎng)還會(huì)繼續(xù)需要持續(xù)的資金投入，而隨著無(wú)

線校園網(wǎng)的建設(shè)，這筆資金的數(shù)額更加巨大。銳捷“極簡(jiǎn)網(wǎng)絡(luò)”解決

方案首先實(shí)現(xiàn)的是將原來(lái)分布在接入網(wǎng)的各項(xiàng)功能和策略上收至核

心交換機(jī)，上收之后各項(xiàng)功能、策略的執(zhí)行點(diǎn)全部在核心交換機(jī)上，

接入網(wǎng)的接入、匯聚交換機(jī)只負(fù)責(zé)進(jìn)行各種數(shù)據(jù)的轉(zhuǎn)發(fā)。

銳捷“極簡(jiǎn)網(wǎng)絡(luò)”解決方案通過(guò)這種方式極大的增強(qiáng)了校園網(wǎng)核

心交換機(jī)的資源利用率，弱化了整個(gè)網(wǎng)絡(luò)服務(wù)對(duì)接入、匯聚設(shè)備的依

賴。其價(jià)值主要體現(xiàn)在如下幾個(gè)方面：

節(jié)省資金：“極簡(jiǎn)網(wǎng)絡(luò)”解決方案所進(jìn)行的集中管理的改造，減

輕了接入網(wǎng)設(shè)備的關(guān)鍵性，也弱化了對(duì)接入網(wǎng)設(shè)備的技術(shù)要求，這都

使得改造后的校園網(wǎng)，在接入設(shè)備上可以選擇更加便宜、更加輕量級(jí)

的產(chǎn)品，而資金的投入則主要集中在核心交換機(jī)上。由于校園網(wǎng)內(nèi)接

入網(wǎng)設(shè)備眾多，因此從全局上看大大降低了校園網(wǎng)的整體擁有成本。

節(jié)省人力：“極簡(jiǎn)網(wǎng)絡(luò)”解決方案所進(jìn)行的集中管理的改造，同

時(shí)也減輕了接入網(wǎng)對(duì)日常維護(hù)人員的數(shù)量要求，接入網(wǎng)設(shè)備僅需要配

置和維護(hù)Vian、STP、靜態(tài)路由等最基本的通用技術(shù)。單個(gè)學(xué)生網(wǎng)管

能夠管理的設(shè)備數(shù)量將會(huì)大大增加。即使面對(duì)未來(lái)無(wú)線校園網(wǎng)的建設(shè),

高校信息部門只需要適量增加學(xué)生網(wǎng)管的數(shù)量，就完全可以承擔(dān)起接

入網(wǎng)的日常維護(hù)工作。

降低技術(shù)門檻：“極簡(jiǎn)網(wǎng)絡(luò)”解決方案所進(jìn)行的集中管理的改

造，還使得負(fù)責(zé)維護(hù)接入網(wǎng)的學(xué)生網(wǎng)管再也不用去花費(fèi)大量的時(shí)間、

精力學(xué)習(xí)各種復(fù)雜的技術(shù)。高校信息部門耗費(fèi)在學(xué)生網(wǎng)管身上的培訓(xùn)I、

實(shí)習(xí)資源也會(huì)大大降低。

降低新業(yè)務(wù)部署難度：新業(yè)務(wù)特別是業(yè)務(wù)專網(wǎng)的部署，在傳統(tǒng)

的模式下只能采用端到端的部署方式，從核心、匯聚到接入都需要進(jìn)

行設(shè)備的配置和對(duì)接，而接入網(wǎng)設(shè)備數(shù)量會(huì)導(dǎo)致這種配置和對(duì)接的工

作量巨大而且成功率很難保障?！皹O簡(jiǎn)網(wǎng)絡(luò)”解決方案所進(jìn)行的集中

管理的改造，可以使新業(yè)務(wù)部署的大部分工作都在核心交換機(jī)上完成,

接入網(wǎng)設(shè)備僅需要提供對(duì)應(yīng)的Vian通道即可。高校信息部門為新業(yè)

務(wù)上線所投入的資源大大減少

通過(guò)“極簡(jiǎn)網(wǎng)絡(luò)”解決方案來(lái)進(jìn)行網(wǎng)絡(luò)服務(wù)的集中上收，所有的

功能、策略都部署在網(wǎng)絡(luò)的核心層上，這對(duì)整個(gè)校園網(wǎng)的核心交換機(jī)

提出了巨大的挑戰(zhàn)。銳捷在“極簡(jiǎn)網(wǎng)絡(luò)”解決方案中配備的Newton

18000系列核心交換機(jī)具有全球最頂級(jí)的配置，具有最優(yōu)秀的穩(wěn)定性

來(lái)適應(yīng)高校校園網(wǎng)高密度的用戶并發(fā)，同時(shí)也具備先進(jìn)的技術(shù)來(lái)保障

自身的可靠性和安全性。

單臺(tái)10萬(wàn)以上用戶規(guī)模

可靠性成指數(shù)上升

-

卡

IP業(yè)務(wù)專網(wǎng)的安全隔離

通

Lv6

Newtonl8000系列核心交換機(jī)采用超大表項(xiàng)容量，承載10萬(wàn)級(jí)

用戶在線

Newtonl8000具有豐富的接口線卡類型，這些線卡的交換芯片均

采用UFT(UnifiedForwardingTable)技術(shù)實(shí)現(xiàn)。通過(guò)該技術(shù)，可

以靈活配比MAC、ARP、ND表項(xiàng)的容量，解決了傳統(tǒng)交換芯片表項(xiàng)容

量固定，無(wú)法按照用戶需求提供靈活的容量定制。另外，為了便于用

戶配置，Newtonl8000把UFT轉(zhuǎn)換成3種模式給用戶配置，這些模式

可以確保對(duì)應(yīng)的應(yīng)用容量容量最大，模式分別是缺省模式，網(wǎng)關(guān)單棧

IPv4模式，網(wǎng)關(guān)雙棧模式，這些模式下除了MAC地址是固定占用容

量數(shù)的，MAC、ARP、ND、IPv4組播、IPv6組播都采用先配置先占用

表項(xiàng)的方式。

正是依托這些技術(shù),Newton18000系列核心交換機(jī)能夠達(dá)到1000

個(gè)/s的終端并發(fā)速度，同時(shí)支持90000個(gè)IPv4/IPv6雙棧用戶在線

以及超過(guò)15萬(wàn)IPv4用戶的同時(shí)在線。

Newton交換機(jī)采

用業(yè)內(nèi)領(lǐng)先的芯片架

面向未來(lái)十年的超大容量：

XXIX構(gòu)，能夠作為超大數(shù)量

XXIX用戶的集中網(wǎng)關(guān)

90000雙棧終端同時(shí)在線XXXI

XXXI

1000個(gè)/S的終端上線速度XXXI

Newton采用創(chuàng)新認(rèn)證設(shè)計(jì)，保證用戶上下線暢通

傳統(tǒng)架構(gòu)的網(wǎng)絡(luò)認(rèn)證方案中，接入或匯聚設(shè)備上是利用IP+MAC

構(gòu)造的安全表項(xiàng)來(lái)實(shí)現(xiàn)終端的認(rèn)證，因此接入或匯聚設(shè)備上的安全表

項(xiàng)容量一般就決定了最大可以支持的認(rèn)證終端數(shù)量。而隨著網(wǎng)絡(luò)規(guī)模

的持續(xù)擴(kuò)大，應(yīng)用場(chǎng)景的不斷增多，接入或匯聚設(shè)備已無(wú)法滿足發(fā)展

需要，無(wú)法承載更多的終端用戶靈活、安全的接入網(wǎng)絡(luò)。

而在“極簡(jiǎn)網(wǎng)絡(luò)”解決方案中，作為認(rèn)證NAS設(shè)備的Newtonl8000

采用創(chuàng)新認(rèn)證方案，在轉(zhuǎn)發(fā)面通過(guò)MAC地址表來(lái)實(shí)現(xiàn)終端的認(rèn)證功能,

即認(rèn)證通過(guò)的終端會(huì)生成一條對(duì)應(yīng)的“靜態(tài)”MAC表項(xiàng)；另外，同樣

在轉(zhuǎn)發(fā)面通過(guò)ARP表項(xiàng)來(lái)實(shí)現(xiàn)終端的IP+MAC綁定避免欺騙，即認(rèn)證

通過(guò)的終端會(huì)生成一條對(duì)應(yīng)的“靜態(tài)”ARP表項(xiàng)；而在控制面通過(guò)ARP

Check功能對(duì)送控制面的ARP報(bào)文進(jìn)行檢查，可以過(guò)濾IP和MAC與

綁定不符的表項(xiàng)；最后在網(wǎng)關(guān)認(rèn)證通過(guò)無(wú)流量檢測(cè)來(lái)感知終端是否已

經(jīng)下線。通過(guò)無(wú)流量下線功能，可以讓設(shè)備主動(dòng)感知終端下線。

正是依托這些技術(shù)，Newton18000系列核心交換機(jī)能夠承載更

多的終端用戶，不但滿足現(xiàn)在校園網(wǎng)的用戶規(guī)模，更能應(yīng)對(duì)未來(lái)無(wú)線

校園網(wǎng)建設(shè)完成后所帶來(lái)的一用戶N終端的局面，讓更多的終端能夠

更加靈活、安全、便捷的接入網(wǎng)絡(luò)。

Newton的可靠性設(shè)計(jì)

作為高校校園網(wǎng)的核心骨干，核心設(shè)備向校園網(wǎng)用戶源源不斷的

提供安全的信息血液，保證整個(gè)教育網(wǎng)信息系統(tǒng)的可靠運(yùn)行。作為整

個(gè)網(wǎng)絡(luò)平臺(tái)的神經(jīng)中樞，這些核心設(shè)備是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅

要保證7*24小時(shí)的穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可

靠的傳輸?shù)浇K端系統(tǒng)，同時(shí)還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問(wèn)策略，在

提供信息服務(wù)的同時(shí)，保證網(wǎng)絡(luò)中心自身的安全。所以核心設(shè)備需要

支持冗余方案，當(dāng)網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)，可毫秒級(jí)切換，不影響業(yè)務(wù)。

Newton的安全性設(shè)計(jì)

防止未認(rèn)證終端的ARP欺騙。由于WEB認(rèn)證，需要先讓設(shè)備學(xué)習(xí)

到終端ARP,終端才能做WEB認(rèn)證，而這期間仿冒未認(rèn)證終端做ARP

欺騙，就會(huì)導(dǎo)致終端無(wú)法完成認(rèn)證過(guò)程。針對(duì)該問(wèn)題，Newtonl8000

交換機(jī)當(dāng)發(fā)生ARP沖突時(shí)一，會(huì)為每個(gè)終端保留2分鐘的認(rèn)證時(shí)間，確

保終端在這期間有足夠的時(shí)間認(rèn)證成功。

防止IP地址沖突。Newtonl8000交換機(jī)采用ARP和ND代理機(jī)制

來(lái)解決既避免攻擊又能提醒終端存在地址的情況，即當(dāng)終端發(fā)出的

ARP請(qǐng)求與Newtonl8000交換機(jī)上的認(rèn)證生成的靜態(tài)ARP地址或者ND

地址沖突的情況，由Newtonl8000交換機(jī)代理被沖突的終端發(fā)出免費(fèi)

ARP和ND報(bào)文，

防止終端的報(bào)文洪水攻擊。即終端向Newtonl8000交換機(jī)發(fā)起大

量的ARP、ND、ICMP報(bào)文攻擊（包括終端環(huán)路的情況）時(shí)，Newton18000

交換機(jī)的NFPP和CPP機(jī)制可以檢測(cè)和發(fā)現(xiàn)這些終端，并對(duì)這些終端

實(shí)施硬件隔離。

防止終端的DHCP掃描攻擊。當(dāng)終端向Newtonl8000交換機(jī)發(fā)起

大量的DHCP請(qǐng)求報(bào)文攻擊（包括終端環(huán)路的情況），導(dǎo)致DHCPServer

的地址池資源耗盡，Newtonl8000交換機(jī)支持基于PORT+VID限制（也

就是單個(gè)終端）地址學(xué)習(xí)數(shù)量，從而確保地址資源不會(huì)被某些終端攻

擊而耗盡。

3.5.3.1數(shù)據(jù)中心業(yè)務(wù)規(guī)劃

目前隨著校園網(wǎng)的數(shù)字化、智慧化，云化，各種應(yīng)用系統(tǒng)的上線

對(duì)于數(shù)據(jù)中心的要求越來(lái)越多，通過(guò)服務(wù)器虛擬化的進(jìn)行，可極大優(yōu)

化基礎(chǔ)資源的分布與調(diào)度，下圖所示為理想的業(yè)務(wù)模型。對(duì)于使用云

計(jì)算服務(wù)的終端或個(gè)人而言，能夠滿足IT業(yè)務(wù)的最佳方式為計(jì)算能

力按需增長(zhǎng)、應(yīng)用部署快速實(shí)現(xiàn)、工作負(fù)載可動(dòng)態(tài)調(diào)整、投入成本規(guī)

劃可控；對(duì)于云計(jì)算服務(wù)供應(yīng)商而言，為滿足大量校園的IT資源需

求，其運(yùn)營(yíng)的IT基礎(chǔ)架構(gòu)需要有一個(gè)大規(guī)模的資源池，可基于服務(wù)

校園數(shù)據(jù)業(yè)務(wù)數(shù)量的增長(zhǎng)、業(yè)務(wù)負(fù)載增長(zhǎng)的需求變化情況提供匹配的

IT資源支持能力。

客,T

違

制

費(fèi)

源

物

理

費(fèi)

源

虛擬化計(jì)算技術(shù)已經(jīng)逐步成為云計(jì)算服務(wù)的主要支撐技術(shù)，特別

是在計(jì)算能力租賃、調(diào)度的云計(jì)算服務(wù)領(lǐng)域起著非常關(guān)鍵的作用。

虛擬化技術(shù)不僅消除大規(guī)模異構(gòu)服務(wù)器的差異化，其形成的計(jì)算

池可以具有超級(jí)的計(jì)算能力（如下圖所示），一個(gè)云計(jì)算中心物理服

務(wù)器達(dá)到數(shù)萬(wàn)臺(tái)是一個(gè)很正常的規(guī)模。一臺(tái)物理服務(wù)器上運(yùn)行的虛擬

機(jī)數(shù)量是動(dòng)態(tài)變化的，當(dāng)前一般是4到20,某些高密度的虛擬機(jī)可

以達(dá)到100:1的虛擬比（即一臺(tái)物理服務(wù)器上運(yùn)行100個(gè)虛擬機(jī)），在

CPU性能不斷增強(qiáng)（主頻提升、多核多路）、當(dāng)前各種硬件虛擬化（CPU

指令級(jí)虛擬化、內(nèi)存虛擬化、橋片虛擬化、網(wǎng)卡虛擬化）的輔助下，

物理服務(wù)器上運(yùn)行的虛擬機(jī)數(shù)量會(huì)迅猛增加。一個(gè)大型IDC中運(yùn)行數(shù)

十萬(wàn)個(gè)虛擬機(jī)是可預(yù)見的，當(dāng)前的云服務(wù)IDC在業(yè)務(wù)規(guī)劃時(shí),，已經(jīng)在

考慮這些因素。

二ifI二

虛擬化高密度虛擬機(jī)價(jià)

因此針對(duì)虛擬化環(huán)境下如何監(jiān)控虛擬機(jī)之間的交換流量以及對(duì)

隨著虛擬機(jī)遷移過(guò)程中策略的漂移將成為數(shù)據(jù)中心建設(shè)的一個(gè)關(guān)鍵

點(diǎn)。

由于一個(gè)虛擬機(jī)上可能存在多個(gè)系統(tǒng)，系統(tǒng)之間通訊就需要通過(guò)

網(wǎng)絡(luò)，但和普通的物理系統(tǒng)間通過(guò)實(shí)體網(wǎng)絡(luò)設(shè)備互聯(lián)不同，各個(gè)系統(tǒng)

的網(wǎng)絡(luò)接口也是虛擬的，因此不能直接通過(guò)實(shí)體網(wǎng)絡(luò)設(shè)備互聯(lián)。目前

參考虛擬機(jī)的實(shí)現(xiàn)方式，將網(wǎng)絡(luò)設(shè)備也虛擬化，并綁定在虛擬機(jī)（服

務(wù)器中虛擬出交換機(jī)）中，這樣虛擬機(jī)上的網(wǎng)絡(luò)接口可以不需要經(jīng)過(guò)

實(shí)體網(wǎng)絡(luò)，直接在虛擬機(jī)內(nèi)部通過(guò)虛擬交換機(jī)等虛擬的網(wǎng)絡(luò)設(shè)備進(jìn)行

互聯(lián)。

物理主機(jī)（服務(wù)器）虛擬交換機(jī)，用于虛擬機(jī)互訪（本質(zhì)上就是

一種“軟”交換機(jī)的行為，軟件虛擬出來(lái)交換機(jī)）：

?性能低，特性少

?模糊了主機(jī)和網(wǎng)絡(luò)管理界面

帶來(lái)的問(wèn)題:

1、流量無(wú)法監(jiān)控，存在安全隱患

2、無(wú)法實(shí)施安全策略

3、管理邊界不清（模糊了主機(jī)和網(wǎng)絡(luò)管理界面，服務(wù)器和網(wǎng)絡(luò)

管理員的管理界面）

4、影響服務(wù)器性能

因此在云計(jì)算數(shù)據(jù)中心接入交換機(jī)上采用一種“硬”交換機(jī)的思

路，將虛擬機(jī)的交換能力回歸到交換機(jī)，性能保證，特性豐富，管

理界面清晰。

指定了一種EdgeVirtualBridgin晨EVB）標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)基于一個(gè)

名為VirtualEthernetPortAggrRG-RSR7708-Xator（VEPA）的技術(shù)。

通過(guò)VEPA,來(lái)自于VM的所有流量都會(huì)被轉(zhuǎn)發(fā)到鄰近的物理接入交換機(jī),

或者當(dāng)目標(biāo)VM也位于同一個(gè)服務(wù)器時(shí)被轉(zhuǎn)回到相同的物理服務(wù)器。

網(wǎng)絡(luò)邊界

流量監(jiān)管

"硬"

交換機(jī)交換機(jī)

策略控制

?物理主機(jī)虛擬交換機(jī)

?性能低，0規(guī)格換一種思路?將虛擬腎回奐能力

?模糊了主機(jī)和網(wǎng)絡(luò)管新的解決方案回歸到交換機(jī)

理界面?性能保證，特性豐富

?管理界面清晰

通過(guò)將數(shù)據(jù)牽引到物理交換機(jī)從而帶來(lái)如下好處:

?提升性能、降低復(fù)雜性，實(shí)現(xiàn)：將高級(jí)復(fù)雜的網(wǎng)絡(luò)功能從VM

轉(zhuǎn)移到外部網(wǎng)絡(luò)

?保持NIC（網(wǎng)卡）的低成本電路，實(shí)現(xiàn)：將高級(jí)網(wǎng)絡(luò)功能調(diào)整

到外部網(wǎng)絡(luò)

?一致性控制策略實(shí)現(xiàn)，實(shí)現(xiàn)：將所有流量轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)，

網(wǎng)絡(luò)實(shí)現(xiàn)更加完備的的強(qiáng)制控制策略

?VM間流量可視性，實(shí)現(xiàn)：外部網(wǎng)絡(luò)提供完善的管理工具

?清晰管理邊界，降低服務(wù)器管理人員的網(wǎng)絡(luò)配置要求，降低

網(wǎng)絡(luò)管理人員的配置復(fù)雜性

本方案中采用核心交換機(jī)支持下一代數(shù)據(jù)中心特性，為校園云平

臺(tái)的建設(shè)提供功能保障。

3.5.3.2匯聚區(qū)規(guī)劃

樓宇匯聚層是接入層和區(qū)域核心層的分界點(diǎn)，幫助定義邊界和區(qū)

分核心層。并能實(shí)現(xiàn)復(fù)雜的、消耗資源較大的數(shù)據(jù)包操作。

樓棟匯聚層交換機(jī)建議具有以下特點(diǎn):

1）具備萬(wàn)兆可擴(kuò)展性；

2）建議提供足夠數(shù)量的光口，可以復(fù)合使用，滿足不同環(huán)境

的靈活配置。

3）為了保障網(wǎng)絡(luò)的穩(wěn)定，對(duì)網(wǎng)絡(luò)中的廣播報(bào)文進(jìn)行處理，要

求匯聚設(shè)備支持廣播風(fēng)暴控制，保障網(wǎng)絡(luò)的穩(wěn)定和安全，

并提供簡(jiǎn)單配置方式，可基于端口速率百分比、端口速率

等多種方式進(jìn)行閥值的設(shè)置，方便管理員使用；

4）為滿足和Cernet2的互連,建議匯聚采用支持IPv6的設(shè)備,

保障以后可以平滑過(guò)渡到Cernet2,保護(hù)投資；

5）要求匯聚提供PVLAN功能，這樣采用保護(hù)端口時(shí)不必占用

VLAN資源，可非常方便地隔離用戶之間信息互通，充分保

護(hù)用戶信息的安全；

6）為了提供安全的訪問(wèn)控制，要求匯聚交換機(jī)支持遠(yuǎn)程訪問(wèn)

的源IP授權(quán)控制；

7）為了保障網(wǎng)絡(luò)的安全，控制非法用戶接入網(wǎng)絡(luò)，保證合法

用戶合理化使用網(wǎng)絡(luò)，要求匯聚設(shè)備支持多種安全功能，

如：端口安全、專家級(jí)ACL、時(shí)間ACL、基于應(yīng)用數(shù)據(jù)流的

帶寬限速、多元素綁定等等，滿足學(xué)校加強(qiáng)對(duì)訪問(wèn)者進(jìn)行

控制、阻止非授權(quán)用戶通信的需求；

8）為了實(shí)現(xiàn)方便快捷的管理，要求匯聚交換機(jī)提供豐富的管

理功能。如：支持CLI（需兼容業(yè)界主流標(biāo)準(zhǔn)）、SNMP

vl/v2/v3、Telnet>Console.RMON、Web管理、SSH、支

持SNTP、支持Syslog等；

3.5.3.3接入?yún)^(qū)規(guī)劃

接入層交換機(jī)部署在各樓層布線間，提供終端用戶的接入。各樓

層接入交換機(jī)主要提供局域網(wǎng)二層交換供電，具有高密度的千兆接入

端口，通過(guò)千兆鏈路上聯(lián)到樓宇匯聚節(jié)點(diǎn)，為保證接入的高穩(wěn)定性,

避免使用堆疊或級(jí)聯(lián)的方式。

校園接入網(wǎng)絡(luò)改造需配合接入交換機(jī)的更新?lián)Q代進(jìn)行，選擇具有

完善安全管理功能的接入交換機(jī)實(shí)現(xiàn)從網(wǎng)絡(luò)的最邊緣即開始安全的

控制，更新的接入交換機(jī)RG-S2900E-P應(yīng)需要具備如下的條件：

性組認(rèn)安管

能播證全理

接入網(wǎng)交換機(jī)

性能方面：接入網(wǎng)交換機(jī)要保證所有端口的線速轉(zhuǎn)發(fā)，支持千兆

上聯(lián)；要支持堆疊和虛擬化技術(shù)。支持支持802.1P、端口優(yōu)先

級(jí)、IPTOS、二到七層流過(guò)濾等QoS策略，具備MAC流、IP流、應(yīng)

用流等多層流分類和流控制能力，實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多種

流策略。

組播方面：接入網(wǎng)交換機(jī)要支持IGMPSnoopingvl/v2/v3,并

且支持IGMP組播源端口檢查功能，可限定交換機(jī)哪些端口可以有組

播源信息的播放，從而避免非法組播擠占網(wǎng)絡(luò)帶寬、擾亂校園網(wǎng)的正

常運(yùn)行。

認(rèn)證方面：接入網(wǎng)交換機(jī)要支持IEEE802.lx,與認(rèn)證系統(tǒng)結(jié)合，

可嚴(yán)格實(shí)現(xiàn)用戶身份識(shí)別，可根據(jù)用戶賬號(hào)、密碼、MAC地址、IP地

址、交換機(jī)IP、交換機(jī)端口號(hào)、用戶所在VLAN的靈活組合，來(lái)識(shí)別

用戶身份。將網(wǎng)絡(luò)中的虛擬用戶和生活中的真實(shí)用戶相對(duì)應(yīng)，這樣,

當(dāng)出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題時(shí)，比如有人在網(wǎng)絡(luò)上發(fā)表了非法言論，結(jié)合日

志可以將安全事件到人，做到有據(jù)可查。特別是在認(rèn)證通過(guò)后，接入

網(wǎng)交換機(jī)可自動(dòng)動(dòng)態(tài)綁定用戶MAC地址和IP地址，確保用戶在通過(guò)

身份認(rèn)證后，無(wú)法私自篡改自己的MAC或IP地址，以便進(jìn)行非法攻

擊或盜用網(wǎng)絡(luò)資源等行為，保護(hù)校園網(wǎng)絡(luò)的安全性。要支持0ption82

功能，即可根據(jù)用戶賬號(hào)權(quán)限，由DHCPServer分配不同上網(wǎng)范圍的

IP地址，控制用戶上校內(nèi)、校外、國(guó)際網(wǎng)，實(shí)施不同的訪問(wèn)權(quán)限和

收費(fèi)策略，滿足網(wǎng)絡(luò)管理和運(yùn)營(yíng)需要。

同時(shí)支持接入級(jí)WEB認(rèn)證，對(duì)于有些不能夠安裝IEEE802.lx客

戶端的用戶終端可以采用基于網(wǎng)頁(yè)的認(rèn)證方式，不需要在用戶終端安

裝任何應(yīng)用程序甚至插件，只需憑借用戶終端上的瀏覽器即可完成整

個(gè)網(wǎng)絡(luò)認(rèn)證過(guò)程。在認(rèn)證通過(guò)后，交換機(jī)會(huì)自動(dòng)將通過(guò)認(rèn)證的用戶

IP+MAC+端口對(duì)應(yīng)的綁定規(guī)則下發(fā)到安全接入交換機(jī)內(nèi)，對(duì)用戶的報(bào)

文做源地址檢查和過(guò)濾，對(duì)于不符合綁定規(guī)則的報(bào)文直接在端口級(jí)拒

絕轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)報(bào)文的真實(shí)有效。

安全方面：接入網(wǎng)交換機(jī)要支持內(nèi)在的多種安全機(jī)制，有效防止

和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用校園網(wǎng)資源，保

證合法用戶合理化使用校園網(wǎng)資源，如端口安全、端口隔離、專家級(jí)

ACL、時(shí)間ACL、端口ARP報(bào)文合法性檢查、基于數(shù)據(jù)流的帶寬限速、

六元素綁定、嵌入式硬件過(guò)濾BT數(shù)據(jù)流技術(shù)等，滿足校園網(wǎng)加強(qiáng)對(duì)

訪問(wèn)者進(jìn)行控制、限制非授權(quán)用戶通信的需求。

管理方面：接入網(wǎng)交換機(jī)要支持提供加密傳輸?shù)腟SH(Secure

Shell),保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備。支

持SNMPV1/V2,可以通過(guò)SNMP遠(yuǎn)程對(duì)設(shè)備進(jìn)行管理。

由于此次安徽科技學(xué)院涉及無(wú)線AP數(shù)量較多，基于管理便捷和

設(shè)備整體安全考慮，建議采用無(wú)線POE交換機(jī)進(jìn)行遠(yuǎn)程供電。本次方

案設(shè)計(jì)使用了千兆POE接入交換機(jī)RG-S2900G-P,實(shí)現(xiàn)無(wú)線千兆上聯(lián)

的高標(biāo)準(zhǔn)要求的同時(shí)給全校4000多個(gè)無(wú)線AP進(jìn)行供電。同時(shí)每臺(tái)設(shè)

備通過(guò)千兆線路上聯(lián)到匯聚設(shè)備，并且接入設(shè)備上有足夠的端口冗余,

一方面保證了臨時(shí)增加終端設(shè)備的需求，一方面可以用來(lái)將來(lái)對(duì)上行

帶寬的擴(kuò)展

3.5.4IP地址規(guī)劃

IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，尤其對(duì)于安徽科

技學(xué)院公寓網(wǎng)網(wǎng)絡(luò)系統(tǒng)這樣大型網(wǎng)絡(luò)，必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃

和實(shí)施。網(wǎng)絡(luò)系統(tǒng)IP地址規(guī)劃的優(yōu)劣，直接影響到網(wǎng)絡(luò)路由的效率、

網(wǎng)絡(luò)的性能、網(wǎng)絡(luò)的擴(kuò)展和網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用

的進(jìn)一步發(fā)展。

3.5.4.1IP地址的分類

IP地址是TCP/IP協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來(lái)唯一地

標(biāo)識(shí)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP地址主要網(wǎng)絡(luò)地址和主機(jī)地址兩部份組

成：

網(wǎng)絡(luò)地址主機(jī)地址

,32Bits-

IP地址主要分為A、B、C、D、E五類，其中常用的是A、B、C

三類，相應(yīng)的掩碼分別為8、16、24位。另外，為了靈活地在不同規(guī)

模的子網(wǎng)中分配不同數(shù)量的IP地址，需要采用VLSM技術(shù)，它可根據(jù)

需要在任意位劃分子網(wǎng)邊界，對(duì)一個(gè)主網(wǎng)絡(luò)號(hào)，可分出最小只有2個(gè)

主機(jī)號(hào)的子網(wǎng)，亦可劃分出一個(gè)較大的子網(wǎng)，因此它很靈活，特別是

在廣域網(wǎng)或路由交換機(jī)互連的應(yīng)用中，只需2個(gè)主機(jī)號(hào)地址，VLSM

非常有用，大大節(jié)約了地址空間，又保證了網(wǎng)絡(luò)設(shè)計(jì)的靈活性。

3.5.4.2IP地址規(guī)劃目標(biāo)

安徽科技學(xué)院校園網(wǎng)IP地址規(guī)劃的目標(biāo)是通過(guò)對(duì)安徽科技學(xué)院

全網(wǎng)IP地址進(jìn)行統(tǒng)一的規(guī)劃和編碼，有效實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，提高信息

交換效率，為網(wǎng)絡(luò)的順利運(yùn)行和業(yè)務(wù)擴(kuò)展奠定基礎(chǔ)。

安徽科技學(xué)院未來(lái)的IP地址規(guī)劃需要基于安徽科技學(xué)院網(wǎng)絡(luò)拓

撲結(jié)構(gòu)和安徽科技學(xué)院網(wǎng)絡(luò)所承載的業(yè)務(wù)類別而進(jìn)行的。安徽科技學(xué)

院內(nèi)部網(wǎng)絡(luò)的地址分配包括各類主機(jī)所用的地址、分配網(wǎng)絡(luò)設(shè)備的地

址和分配給網(wǎng)絡(luò)用戶使用的地址。可以使用一塊獨(dú)立的地址空間按需

要進(jìn)行分配。

3.5.4.3IP地址規(guī)劃原則

IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利

用地址空間，又要體現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)

議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表路由數(shù)量,

減少路由器中路由表的長(zhǎng)度，減少對(duì)路由器CPU、內(nèi)存的消耗，降低

網(wǎng)絡(luò)動(dòng)蕩程度，隔離網(wǎng)絡(luò)故障，提高路由算法的效率，加快路由變化

的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵

循以下原則：

唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；

簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)

化路由表的表項(xiàng)；

連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮

減路由表，提高路由算法的效率；

可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)

展時(shí)能保證地址疊合所需的連續(xù)性；

靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化,

充分利用地址空間。

3.5.4.4IP地址規(guī)劃

在該方案中，為了節(jié)省網(wǎng)絡(luò)地址空間，同時(shí)考慮網(wǎng)絡(luò)地址的統(tǒng)一

管理和將來(lái)擴(kuò)展的需要，安徽科技學(xué)院內(nèi)部網(wǎng)絡(luò)地址規(guī)劃的總體設(shè)計(jì)

思路是：

?大部分用戶采用私有地址空間，為每個(gè)VLAN劃分一個(gè)C類地

址段，網(wǎng)關(guān)地址為該網(wǎng)地址空間的第一個(gè)可用地址。

?為了減少路由表的大小和路由振蕩，在分配地址時(shí)盡量采用連

續(xù)的IP地址，每臺(tái)匯聚層交換機(jī)上做路由聚合。

?對(duì)于用戶VLAN接口IP,子網(wǎng)掩碼統(tǒng)一采用255.255.255.0。

?對(duì)于核心層交換機(jī)與匯聚層交換機(jī)之間的三層或VLAN接口，

IP地址統(tǒng)一采用一個(gè)C類地址，子網(wǎng)掩碼統(tǒng)一采用

255.255.255.252。

?對(duì)于交換機(jī)管理IP,所有設(shè)備統(tǒng)一采用一個(gè)C類IP地址段。

3.5.5VLAN規(guī)劃

出于管理及安全的考慮，VLAN的規(guī)劃需要根據(jù)用戶類型進(jìn)行劃

分。VLAN劃分總體采用以下原則：

VLAN的劃分需參考IP地址的規(guī)劃，在局域網(wǎng)內(nèi)部，將VLAN與

IP子網(wǎng)對(duì)應(yīng)，在同一功能區(qū)域，IP子網(wǎng)連續(xù)的地方，VLANID以同

樣規(guī)律保存連續(xù)，方便記憶和管理。

不同VLAN之間是鏈路層隔離了，所有鏈路廣播報(bào)文都是在一個(gè)

VLAN內(nèi)部廣播的，不會(huì)擴(kuò)散到VLAN之外。VLAN之間的互訪必須在

IP層進(jìn)行，可以通過(guò)訪問(wèn)控制列表ACL(Accesscontrollist)進(jìn)

行控制。在IP設(shè)備上，將VLAN終結(jié)，每個(gè)VLAN對(duì)應(yīng)一個(gè)IP子網(wǎng)，

該VLAN對(duì)其它IP子網(wǎng)的訪問(wèn)控制可以在VLAN所對(duì)應(yīng)的IP邏輯接口

上通過(guò)ACL配置實(shí)現(xiàn)。

3.5.6IPv6校園網(wǎng)規(guī)劃

硬件支持IPv4/IPv6雙棧設(shè)備是目前選購(gòu)網(wǎng)絡(luò)設(shè)備的基本條件。

雙棧設(shè)備為IPv4向IPv6網(wǎng)絡(luò)過(guò)渡、現(xiàn)有的IPv4網(wǎng)絡(luò)間通信、以及

IPv6網(wǎng)絡(luò)間的通信提供了最直接和最方便靈活的技術(shù)實(shí)現(xiàn)和方案保

障。通過(guò)各層網(wǎng)絡(luò)設(shè)備支持IPv4/IPv6雙棧，也標(biāo)志著校園網(wǎng)的所有

用戶都可以享受到IPv6服務(wù)。而硬件支持IPv6則可以保證線速轉(zhuǎn)發(fā)

速率，避免軟件支持時(shí)造成性能瓶頸。通過(guò)IPv6Ready認(rèn)證標(biāo)志著

該設(shè)備是一款能夠和其他支持IPv6設(shè)備互通成熟的產(chǎn)品，所以IPv6

Ready也必不可少。該設(shè)備也要支持多種Tunnel隧道技術(shù)(如手工

配置隧道、6to4隧道和ISATAP隧道等等，可根據(jù)IPv6網(wǎng)絡(luò)的需求

規(guī)劃和網(wǎng)絡(luò)現(xiàn)狀，提供靈活的IPv6網(wǎng)絡(luò)間通信方案。除了硬件支持

IPv6外，該匯聚層設(shè)備本身的安全特性也是必不可少，如要支持內(nèi)

置防DoS攻擊，防IP掃描，并能部署標(biāo)準(zhǔn)IPACL、擴(kuò)展IPACL、MAC

擴(kuò)展ACL、時(shí)間ACL、專家級(jí)ACL。

其他的像要支持IGMPvl/v2/v3全部版本，以適應(yīng)不同組播環(huán)境,

滿足組播安全應(yīng)用的需要和以DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng),

支持802.IP、IPT0S、二到七層流過(guò)濾、SP、WRR等完整的QoS策略，

實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯則是基本的要求。

包括但不限于以下應(yīng)用：IPv6無(wú)線網(wǎng)絡(luò)、IPv6網(wǎng)絡(luò)電視、移動(dòng)

IPv6多媒體應(yīng)用。

fH中aiepMLk*屯H&*＞電悅??Tft懵板黑》打懵中Q氧*電網(wǎng)文/電相懵代發(fā)認(rèn)

做“雙立％冷般外落以不X衛(wèi)%抬IM%笑附為X

□□□□□□

\/\I//

IGIGd/

修出公幡多

“格電通南工

“般部**??*'劃中心

網(wǎng)絡(luò)電視

示范系統(tǒng)拓?fù)?/p>

4、界慢人忐

於2H.逢檢人2校81

ibA

（制用dd

中HL*.

IPv6網(wǎng)絡(luò)電視

移動(dòng)IPv6多媒體網(wǎng)絡(luò)應(yīng)用

3.5.7網(wǎng)絡(luò)安全設(shè)計(jì)

3.5.7.1設(shè)備級(jí)安全功能

設(shè)備級(jí)可靠性主要從設(shè)備自身可靠性，網(wǎng)絡(luò)中的核心層交換機(jī)需

要具備關(guān)鍵的可靠性技術(shù)：

?可靠性指標(biāo)必須達(dá)到99.99%O

?所有關(guān)鍵器件，如主控板、電源等都采用冗余設(shè)計(jì)，業(yè)務(wù)模

塊支持熱插拔。

?網(wǎng)絡(luò)核心設(shè)備無(wú)源背板，采用無(wú)源器件的背板，可靠性更高。

?網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。主備倒換過(guò)

程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。

?為避免因病毒、蠕蟲等引起的網(wǎng)絡(luò)泛洪對(duì)網(wǎng)絡(luò)設(shè)備造成CPU

升高等影響網(wǎng)絡(luò)的情況出現(xiàn)，所有設(shè)備應(yīng)具備CPU保護(hù)技術(shù)

來(lái)避免異常流量和攻擊流量對(duì)設(shè)備可靠性的威脅。

?安全策略部署透明，不影響設(shè)備和網(wǎng)絡(luò)性能，不影響業(yè)務(wù)和

用戶體驗(yàn)

基于上述要求，選擇的核心交換機(jī)支持多種硬件的安全防護(hù)技術(shù),

主要包括：引擎切換數(shù)據(jù)不間斷轉(zhuǎn)發(fā)、電源冗余、業(yè)務(wù)模塊熱插拔、

防Dos攻擊、防掃描、防源IP地址欺騙、SPOH、CPP、LPM+HDR等。

通過(guò)采用專門針對(duì)攻擊手段設(shè)計(jì)的ASIC芯片針對(duì)網(wǎng)絡(luò)中的各種攻擊

進(jìn)行安全的防護(hù)，保證在處理安全問(wèn)題的同時(shí)依然不影響網(wǎng)絡(luò)正常數(shù)

據(jù)的轉(zhuǎn)發(fā)。

建議選擇的全系列交換機(jī)具備的硬件CPU保護(hù)功能（CPP）可實(shí)

現(xiàn)對(duì)CPU的自動(dòng)硬件防護(hù)機(jī)制，保證設(shè)備不會(huì)因?yàn)閰f(xié)議攻擊而宕機(jī)。

同時(shí)交換機(jī)上具備的SPOH技術(shù)（基于硬件的同步式處理），在線

卡的每個(gè)端口上利用FFP硬件進(jìn)行安全防護(hù)和智能保障，各端口可以

同步地、不影響整機(jī)性能地進(jìn)行硬件處理。最長(zhǎng)匹配（LPM）技術(shù)解

決了“流精確匹配”的缺點(diǎn)，支持一個(gè)網(wǎng)段使用一個(gè)硬件轉(zhuǎn)發(fā)表項(xiàng)，

杜絕了攻擊和病毒對(duì)硬件存儲(chǔ)空間的危害。HDR拋棄了傳統(tǒng)方式CPU

參與“一次路由”的效率影響，在路由轉(zhuǎn)發(fā)前形成路由表項(xiàng)，避免了

攻擊和病毒對(duì)CPU利用率的危害。LPM+HDR技術(shù)的結(jié)合不僅極大地提

升了路由效率，而且保障設(shè)備在病毒和攻擊環(huán)境下的穩(wěn)定運(yùn)行。

3.5.7.2防ARP攻擊設(shè)計(jì)

作為攻擊源的主機(jī)偽造一個(gè)ARP數(shù)據(jù)包，此ARP包中的IP與MAC

地址對(duì)同真實(shí)的IP與MAC對(duì)應(yīng)關(guān)系不同，此偽造的ARP包發(fā)送出去

后，網(wǎng)內(nèi)其它主機(jī)根據(jù)收到的ARP包中的SENDER'S字段，ARP緩存

被更新，被欺騙主機(jī)或網(wǎng)絡(luò)設(shè)備的ARP緩存中特定IP被關(guān)聯(lián)到錯(cuò)誤

的MAC地址，被欺騙主機(jī)或網(wǎng)絡(luò)設(shè)備訪問(wèn)特定IP的數(shù)據(jù)包將不能被

發(fā)送到真實(shí)的目的主機(jī)或網(wǎng)關(guān)，目的主機(jī)或網(wǎng)關(guān)不能被正常訪問(wèn)。

防ARP欺騙設(shè)計(jì)

在宿舍區(qū)接入交換機(jī)上開啟ARP-CHECK功能，提取ACE中的

IP+MAC資源，形成新的ACE資源（ARP報(bào)文過(guò)濾），對(duì)經(jīng)過(guò)交換機(jī)的

ARP報(bào)文進(jìn)行檢驗(yàn)，對(duì)交換機(jī)綁定表中存在的ARP表項(xiàng)進(jìn)行放行，對(duì)

非法的ARP報(bào)文直接丟棄，從而實(shí)現(xiàn)防ARP欺騙功能。

3.5.7.2交換機(jī)IP防掃描設(shè)計(jì)

眾所周知，許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動(dòng)

的主機(jī)開始的，大量的掃描報(bào)文也急劇占用了網(wǎng)絡(luò)帶寬，導(dǎo)致正常的

網(wǎng)絡(luò)通訊無(wú)法進(jìn)行。而且，互聯(lián)網(wǎng)上掃描的工具多如牛毛。

為此，方案中的三層核心交換機(jī)提供了防掃描的功能，用以防止

黑客掃描和類似“沖擊波病毒”的攻擊，以減輕三層交換機(jī)的CPU負(fù)

擔(dān)。

目前發(fā)現(xiàn)的掃描攻擊有兩種：

v

?目的IP地址不斷變化的掃描，"scandestipattacko

這種掃描攻擊是最危害網(wǎng)絡(luò)的，不但消耗網(wǎng)絡(luò)帶寬，增加交

換機(jī)的負(fù)擔(dān)，更是大部分黑客攻擊手段的起手工具。

?目的IP地址不存在的掃描，“samedestipattack"。這

種攻擊主要是通過(guò)增加交換機(jī)CPU的負(fù)擔(dān)來(lái)實(shí)現(xiàn)的。對(duì)三層

交換機(jī)來(lái)說(shuō)，如果目的IP地址存在，則報(bào)文的轉(zhuǎn)發(fā)會(huì)通過(guò)交

換芯片直接轉(zhuǎn)發(fā)，不會(huì)占用交換機(jī)CPU的資源；而如果目的

IP地址不存在，那么交換機(jī)CPU會(huì)定時(shí)去嘗試連接，如果存

在大量的這種嘗試連接，也會(huì)消耗CPU資源。當(dāng)然，這種攻

擊的危害比第一種小得多了。

以上這兩種攻擊，核心交換機(jī)都可以通過(guò)在接口上調(diào)整相應(yīng)的攻

擊閥值、攻擊主機(jī)隔離時(shí)間等參數(shù)，來(lái)減輕其對(duì)網(wǎng)絡(luò)的影響。另外,

還可以根據(jù)網(wǎng)絡(luò)中可監(jiān)控的主機(jī)數(shù)，在全局模式下設(shè)置可監(jiān)控攻擊主

機(jī)的最大值，以達(dá)到更好地保護(hù)系統(tǒng)的要求。

3.5.7.3防DOS/DDOS攻擊

近年來(lái)，各種DoS攻擊(DenialofService,拒絕服務(wù))報(bào)文在

互聯(lián)網(wǎng)上傳播，給互聯(lián)網(wǎng)用戶帶來(lái)很大煩惱。DoS的攻擊方式有很多

種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資

源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。攻擊報(bào)文主要采用偽裝源

IP以防暴露其蹤跡。

針對(duì)這種情況，RFC2827提出在網(wǎng)絡(luò)接入處設(shè)置入口過(guò)濾

(IngressFilting),來(lái)限制偽裝源IP的報(bào)文進(jìn)入網(wǎng)絡(luò)。這種方法更

注重在攻擊的早期和從整體上防止DoS的發(fā)生，因而具有較好效果。

使用這種過(guò)濾也能夠幫助ISP和網(wǎng)管來(lái)準(zhǔn)確定位使用真實(shí)有效的源IP

的攻擊者。ISP應(yīng)該也必須采用此功能防止報(bào)文攻擊進(jìn)入Internet；

企業(yè)(校園網(wǎng))的網(wǎng)管應(yīng)該執(zhí)行過(guò)濾來(lái)確保企業(yè)網(wǎng)不會(huì)成為此類攻擊

的發(fā)源地。

交換機(jī)采用基于RFC2827的入口過(guò)濾規(guī)則來(lái)防止DoS攻擊，這種過(guò)

濾是通過(guò)自動(dòng)生成特定的ACL來(lái)實(shí)現(xiàn)，該過(guò)濾采用硬件實(shí)現(xiàn)而不會(huì)給

網(wǎng)絡(luò)轉(zhuǎn)發(fā)增加負(fù)擔(dān)。

3.5.7.4路由安全設(shè)計(jì)

(1)路由認(rèn)證和保護(hù)

路由認(rèn)證(RoutingAuthentication),就是運(yùn)行于不同設(shè)備的相

同的動(dòng)態(tài)路由協(xié)議之間，對(duì)相互傳遞的路由刷新報(bào)文進(jìn)行的確認(rèn)，以

便使得設(shè)備能夠接受真正而安全的路由刷新報(bào)文。

任何運(yùn)行一個(gè)不支持路由認(rèn)證的路由協(xié)議，都存在著巨大的安全

隱患。某些惡意的攻擊者可以利用這些漏洞，向網(wǎng)絡(luò)發(fā)送不正確或者

不一致的路由刷新，由于設(shè)備無(wú)法證實(shí)這些刷新，而使得設(shè)備被欺騙，

最終導(dǎo)致網(wǎng)絡(luò)的癱瘓。

目前，多數(shù)路由協(xié)議支持路由認(rèn)證，并且實(shí)現(xiàn)的方式大體相同。

認(rèn)證過(guò)程有基于明文的，也有基于更安全的MD5校驗(yàn)。

MD5認(rèn)證與明文認(rèn)證的過(guò)程類似，只不過(guò)密鑰不在網(wǎng)絡(luò)上以明文

方式直接傳送。路由器將使用MD5算法產(chǎn)生一個(gè)密鑰的“消息摘要”。

這個(gè)消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒有人可以在

密鑰傳輸?shù)倪^(guò)程中竊取到密鑰信息。

為了保證路由協(xié)議的安全，在路由協(xié)議配置時(shí)必須配置OSPF的

認(rèn)證，建議采用MD5認(rèn)證。

(2)關(guān)閉IP功能服務(wù)

有些IP特性被惡意攻擊者利用，會(huì)增加網(wǎng)絡(luò)的危險(xiǎn)，因此，網(wǎng)

絡(luò)設(shè)備應(yīng)具備關(guān)閉這些IP功能的能力。

?IP源路由選項(xiàng)開關(guān)

在IP路由技術(shù)中，通常一個(gè)IP報(bào)文總是沿著網(wǎng)絡(luò)中的每個(gè)路由

器所選擇的路徑上轉(zhuǎn)發(fā)分組。IP協(xié)議中提供了源站和記錄路由選項(xiàng)，

它的含義是允許源站明確指定一條到目的地的路由，覆蓋掉中間路由

器的路由選擇。并且，在分組到達(dá)目的地的過(guò)程中，把該路由記錄下

來(lái)。源路由選項(xiàng)通常用于指定網(wǎng)絡(luò)路徑的故障診斷和某種特殊業(yè)務(wù)的

臨時(shí)傳送。

因?yàn)镮P源路由選項(xiàng)忽略了報(bào)文傳輸路徑中的各個(gè)設(shè)備的中間轉(zhuǎn)

發(fā)過(guò)程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探

網(wǎng)絡(luò)結(jié)構(gòu)。因此，設(shè)備應(yīng)能關(guān)閉IP源路由選項(xiàng)功能。

?重定向開關(guān)

網(wǎng)絡(luò)設(shè)備向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文，請(qǐng)求主機(jī)

改變路由。一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送ICMP重

定向報(bào)文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)

送虛假的重定向報(bào)文，以期改變主機(jī)的路由表，干擾主機(jī)正常的IP

報(bào)文轉(zhuǎn)發(fā)。

因此，設(shè)備應(yīng)能關(guān)閉ICMP重定向報(bào)文的轉(zhuǎn)發(fā)。

?定向廣播報(bào)文轉(zhuǎn)發(fā)開關(guān)

在接口上進(jìn)行配置，禁止目的地址為子網(wǎng)廣播地址的報(bào)文從該接

口轉(zhuǎn)發(fā)，以防止smurf攻擊。因此，設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)

發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)。

?ICMP協(xié)議的功能開關(guān)

很多常見的網(wǎng)絡(luò)攻擊利用了ICMP協(xié)議功能。

ICMP協(xié)議允許網(wǎng)絡(luò)設(shè)備中間節(jié)點(diǎn)（路由器）向其它設(shè)備節(jié)點(diǎn)和

主機(jī)發(fā)送差錯(cuò)或控制報(bào)文；主機(jī)也可用ICMP協(xié)議與網(wǎng)絡(luò)設(shè)備或另一

臺(tái)主機(jī)通信。

對(duì)ICMP的防護(hù)比較復(fù)雜，因?yàn)镮CMP中一些消息已經(jīng)作廢，而有

一些消息在基本傳送中不使用，而另外一些則是常用的消息、，因此

ICMP協(xié)議處理中應(yīng)根據(jù)這三種差別對(duì)不同的ICMP消息處理，以減少

ICMP對(duì)網(wǎng)絡(luò)安全的影響。

3.5.7.5設(shè)備管理安全設(shè)計(jì)

(1)只開放必要的網(wǎng)絡(luò)服務(wù)

網(wǎng)絡(luò)設(shè)備可以提供很多網(wǎng)絡(luò)服務(wù)，有些服務(wù)可能成為網(wǎng)絡(luò)攻擊的

對(duì)象。為了提供網(wǎng)絡(luò)設(shè)備的安全級(jí)別，盡可能關(guān)閉不必要的服務(wù)，降

低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

(2)網(wǎng)絡(luò)管理認(rèn)證

管理員認(rèn)證應(yīng)采用集中認(rèn)證和本地認(rèn)證相結(jié)合的方式，集中認(rèn)證

為主要認(rèn)證方式，本地認(rèn)證為備份認(rèn)證方式，在集中認(rèn)證服務(wù)器無(wú)法

訪問(wèn)的情況下使用本地認(rèn)證。集中認(rèn)證采用Radius認(rèn)證協(xié)議，同時(shí)

在設(shè)備上建立本地用戶數(shù)據(jù)庫(kù)，在Radius服務(wù)器不可用的情況下，

使用本地?cái)?shù)據(jù)庫(kù)進(jìn)行驗(yàn)證。在VTY和Console接口上啟用管理認(rèn)證,

認(rèn)證方式為集中認(rèn)證和本地認(rèn)證相結(jié)合。

(3)Telnet接入安全

TELNET是對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理的主要手段，可以對(duì)設(shè)備進(jìn)行最

為有效的操作，為了確保TELNET訪問(wèn)的合法性和安全性，我們需要

注意：

1.設(shè)置最大會(huì)話連接數(shù);

2.設(shè)置訪問(wèn)控制列表，限制TELNET的連接請(qǐng)求來(lái)自指定的源IP

網(wǎng)段；

3.盡量用SSH代替TELNET,采用SSH的好處是所有信息以加密

的形式在網(wǎng)絡(luò)中傳輸。

(4)SNMP安全

通過(guò)SNMP可以對(duì)設(shè)備進(jìn)行全面的日常管理，為了提高SNMP管理

的安全性，需要應(yīng)注意以下幾點(diǎn)：

1.避免使用缺省的snmpcommunity,設(shè)置高質(zhì)量的口令；

2.不同區(qū)域的網(wǎng)絡(luò)設(shè)備采用不同的snmpcommunity；

3.把只讀snmpcommunity和可讀寫snmpcommunity區(qū)分開來(lái)；

4.配置ACL來(lái)限制能夠通過(guò)SNMP訪問(wèn)網(wǎng)絡(luò)設(shè)備的IP地址。

3.5.7.6匯聚嵌入式安全

面對(duì)現(xiàn)在網(wǎng)絡(luò)環(huán)境越來(lái)越多的網(wǎng)絡(luò)病毒和攻擊威脅，要求操作系

統(tǒng)提供強(qiáng)大的網(wǎng)絡(luò)病毒和攻擊防護(hù)能力，網(wǎng)絡(luò)硬件不僅提供了基于

SPOH技術(shù)的ACL功能，而且還支持防源IP地址欺騙(SouceIP

Spoofing)>防DOS/DDOS攻擊(Synflood,Smurf),防掃描(PingSweep)

等能力，從設(shè)備本身的功能即可保證網(wǎng)絡(luò)安全。

因此對(duì)于局域網(wǎng)中，建議如下部署：在核心匯聚部署支持防源

IP地址欺騙(SouceIPSpoofing)、防DOS/DDOS攻擊(Synflood,

Smurf),防掃描(PingSweep)等能力。

3.5.7.7接入安全控制

在接入部署ACL,對(duì)沖擊波、蠕蟲等病毒進(jìn)行防范已經(jīng)生成數(shù)

BPDU攻擊、MAC攻擊等二層攻擊，使有害數(shù)據(jù)包在接入就被過(guò)濾。要

求接入交換機(jī)具備完善的QoS以及強(qiáng)大的安全接入控制能力。具體要

求如下：

二至四層線速轉(zhuǎn)發(fā)，二至七層智能識(shí)別：硬件全線速實(shí)現(xiàn)路由、

ACL、Q0S,帶寬限制，全面提升用戶體驗(yàn)；

硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定：不需要第三方

設(shè)備或軟件，僅通過(guò)設(shè)定訪問(wèn)交換機(jī)上某個(gè)端口的用戶MAC地址和

IP,就可硬件實(shí)現(xiàn)嚴(yán)格控制對(duì)該端口的用戶輸入，有效防止非法用戶

的接入。

有效杜絕非法組播源:支持IGMP源端口檢查功能，以及支持IGMP

源IP檢查功能，有效地杜絕非法的組播源播放非法的組播信息，更

好地提高了網(wǎng)絡(luò)的安全性。

極靈活的基于流的帶寬控制能力：具備MAC流、IP流、應(yīng)用流

等多層流分類和流控制能力，實(shí)現(xiàn)靈活精細(xì)的帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)

等多種流策略，帶寬限制粒度達(dá)64Kbps,支持網(wǎng)絡(luò)根據(jù)不同的業(yè)務(wù)、

以及不同業(yè)務(wù)所需要的服務(wù)質(zhì)量特性，提供差異化服務(wù)

完善的QoS：RG-S29E支持完善的QOS,以DiffServ標(biāo)準(zhǔn)為核心

的QoS保障系統(tǒng)，支持802.IP、IPT0S＞二到七層流過(guò)濾、SP、WRR

等完整的QoS策略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；

強(qiáng)大的安全接入控制能力：硬件本身即可實(shí)現(xiàn)端口與MAC地址和

用戶IP地址的綁定，另外和配合寬帶認(rèn)證計(jì)費(fèi)管理系統(tǒng)可實(shí)現(xiàn)用戶

帳號(hào)與IP、MAC、交換機(jī)IP、端口、VianID多元素的復(fù)合綁定。保

證用戶身份的合法性和唯一性，可以有效的避免IP地址沖突、帳號(hào)

盜用等問(wèn)題發(fā)生。

通過(guò)PVLAN即可隔離用戶信息互通：采用保護(hù)端口(即將該端口

設(shè)為保護(hù)端口)實(shí)現(xiàn)端口之間相互隔離，不必占用VLAN資源。采用

保護(hù)端口即保證用戶信息安全，又節(jié)約VLAN資源，同時(shí)不必再修改

VLAN配置，大大提高維護(hù)效率。

多端口同步監(jiān)控MSPAN：通過(guò)一個(gè)端口可同時(shí)監(jiān)控多個(gè)端口的數(shù)

據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，有效提高監(jiān)測(cè)效

率。

1)IP+MAC+端口綁定

學(xué)生宿舍區(qū)的用戶上網(wǎng)的安全性非常重要，要求接入交換機(jī)可以

實(shí)現(xiàn)端口IP+MAC地址的綁定關(guān)系，可以支持基于MAC地址的802.IX

認(rèn)證。MAC地址的綁定可以直接實(shí)現(xiàn)用戶對(duì)于邊緣用戶的管理，提高

整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。

2)防止病毒廣播泛洪

要求接入交換機(jī)可實(shí)現(xiàn)廣播報(bào)文的計(jì)數(shù)累計(jì)功能，往往一臺(tái)主機(jī)

受病毒時(shí)會(huì)發(fā)出大量的廣播報(bào)文，交換機(jī)可實(shí)現(xiàn)對(duì)與進(jìn)入報(bào)文的計(jì)數(shù)

累計(jì)，廣播病毒一般會(huì)在短時(shí)間內(nèi)產(chǎn)生大量的廣播包，通過(guò)可設(shè)置廣

播包的閥值，當(dāng)達(dá)到一定的廣播保文的數(shù)量時(shí)端口可是直接關(guān)閉，確

保網(wǎng)絡(luò)的安全、穩(wěn)定。

3)入網(wǎng)用戶身份認(rèn)證

基于802.IX的擴(kuò)展的認(rèn)證計(jì)費(fèi)系統(tǒng)在用戶第一次上網(wǎng)就必須認(rèn)

證，保證了用戶上網(wǎng)的安全和合法性。

4)防止對(duì)DHCP服務(wù)器攻擊

使用DHCPServer動(dòng)態(tài)分配IP地址會(huì)存在兩個(gè)問(wèn)題：一是DHCP

Server假冒，用戶將自己的計(jì)算機(jī)設(shè)置成DHCPServer后會(huì)分發(fā)非

法地址給終端用戶，造成用戶無(wú)法使用網(wǎng)絡(luò)，；二是用戶DHCPSmurf,

用戶使用軟件變換自己的MAC地址，大量申請(qǐng)IP地址，很快將DHCP

的地址池耗光。

對(duì)于第一種情況，使用接入交換機(jī)的訪問(wèn)列表就可以實(shí)現(xiàn)防范：

在安全接入交換機(jī)上定義一個(gè)訪問(wèn)列表，該訪問(wèn)列表允許目的

IP地址為合法DHCP服務(wù)器(或這個(gè)網(wǎng)段的網(wǎng)關(guān)地址，部分三層交換

機(jī)在DHCPrelay之后,DHCPsever的地址會(huì)替換成三層SVI的地址)、

sourceport為67而destinationport為68的UDP報(bào)文通過(guò)。而

其它sourceport為67而destinationport為68的UDP報(bào)文拒絕，

之后把這個(gè)訪問(wèn)列表應(yīng)用到上聯(lián)物理端口上。同時(shí)再定義一個(gè)訪問(wèn)列

表，拒絕sourceport為67而destinationport為68的UDP報(bào)文

通過(guò)，并運(yùn)用在下聯(lián)端口。

對(duì)于第二種情況，開啟接入交換機(jī)的端口安全功能就可以實(shí)現(xiàn)防

范。在接入交換機(jī)設(shè)置端口安全，可以根據(jù)網(wǎng)絡(luò)的實(shí)際情況設(shè)置，設(shè)

置某個(gè)端口下學(xué)習(xí)源MAC的個(gè)數(shù)，一旦學(xué)習(xí)到的源MAC地址大于設(shè)置

值，那么數(shù)據(jù)幀就會(huì)在端口丟棄，同時(shí)發(fā)送警告信息通知網(wǎng)管員，或

是邏輯上關(guān)閉該端口。如下圖:

當(dāng)端口學(xué)習(xí)的源MAC地址

數(shù)量,N個(gè)，受到的數(shù)據(jù)

幀丟棄/發(fā)送警告信息通

知網(wǎng)管員/并關(guān)閉端口

■

而對(duì)于用戶手工設(shè)置靜態(tài)IP地址，造成和已分發(fā)的動(dòng)態(tài)IP地址

沖突，可以通過(guò)認(rèn)證系統(tǒng)指定用戶只能采用DHCP獲取IP。

5)多元素綁定技術(shù)構(gòu)筑高安全校園網(wǎng)

IP地址、MAC地址、接入交換機(jī)端口、以及接入交換機(jī)IP、身

份信息、是標(biāo)識(shí)網(wǎng)絡(luò)用戶的基本元素，而單一的元素?zé)o法為管理員來(lái)

標(biāo)識(shí)一個(gè)用戶，而網(wǎng)絡(luò)安全被利用最多還是MAC、IP地址等。

6)MAC地址欺騙

將合法的MAC地址修改成不存在的MAC地址或其他人的MAC地

址，從而達(dá)到隱藏自己真實(shí)的MAC,來(lái)達(dá)到一些不可告人的目的，這

就是MAC地址欺騙。

7)MAC地址泛洪攻擊交換機(jī)

由于交換機(jī)內(nèi)部的MAC地址表空間是有限的，正常情況下，這些

MAC地址表是足夠用的，一般情況下，基本不會(huì)發(fā)生MAC地址表被占

滿的情況。但如果有人惡意對(duì)這臺(tái)交換機(jī)進(jìn)行MAC地址泛洪攻擊的話，

則會(huì)很快占滿交換機(jī)內(nèi)部MAC地址表，使得本來(lái)交換機(jī)本來(lái)是按單播

進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)包的，但由于M