学校信息化整体解决方案.doc

时间：2020-10-17 00:51:09 来源：蒲公英阅读网 本文已影响人

相关热词搜索：信息化 解决方案 学校

　 XXX旅游管理学校 信息化整体解决方案

　2014-3

　目录 一、项目概述......................................................................................................... 6

　二、设计目标......................................................................................................... 6

　三、管道及光缆工程概述 ...................................................................................... 6

　四、网络架构概述 ................................................................................................. 7

　4.1 需求分析 ................................................................................................................................... 7

　4.2 网络解决方案 ........................................................................................................................... 9

　4.3 网络规划建议 .......................................................................................................................... 12

　4.3.1 IP 地址规划 ................................................................................................................... 12

　4.3.2 VLAN 设计 ..................................................................................................................... 14

　4.4 网络安全设计 .......................................................................................................................... 15

　4.4.1 总体安全设计 ....................................................................................................................... 15

　4.4.2 典型安全措施 ............................................................................................................... 16

　4.4.2.1 MAC 攻击原理及防范 ............................................................................................... 16

　4.4.2.2 DHCP 攻击原理及防范 .............................................................................................. 17

　4.4.2.3 ARP 攻击 ..................................................................................................................... 20

　4.4.2.4 IP/MAC 欺骗攻击 ....................................................................................................... 22

　4.4.2.5 防 IP 地址冲突和盗用技术解决方案 ...................................................................... 24

　4.5 网络出口方案 ......................................................................................................................... 24

　4.5.1 校园网出口需求 ................................................................................................................... 24

　4.5.1.1 NAT 性能问题 ............................................................................................................ 24

　4.5.1.2 策略路由支持问题 .................................................................................................... 25

　4.5.1.3 安全防护能力问题 .................................................................................................... 25

　4.5.1.4 日志记录问题 ............................................................................................................ 26

　4.5.1.5 流量控制问题 ............................................................................................................ 26

　4.5.1.6 高可用性的问题 ....................................................................................................... 27

　4.5.2 上网行为管理 ....................................................................................................................... 27

　4.5.2.1 部署上网行为管理的必要性 .................................................................................... 27

　4.5.2.2 部署方式简介 ............................................................................................................ 30

　4.6 方案特色 .................................................................................................................................. 31

　4.6.1 骨干千兆，百兆到桌面，高性能的设备，确保网络的高性能 ............................... 31

　4.6.2 骨干设备均可扩展升级，5 年内不落后 ................................................................... 32

　4.6.3 整网高安全设计，确保网络绿色、畅通 ................................................................... 32

　4.7 主要设备介绍 .......................................................................................................................... 32

　4.7.1 华为 MA5200G 多业务控制网关 ................................................................................. 32

　4.7.2 华为 AR2220 企业路由器 ............................................................................................. 39

　4.7.3 华为 MA5680T 高端光接入设备 .................................................................................. 42

　4.7.4 接入层交换机-S2000EA ................................................................................................ 54

　4.7.5 深信服 AC2200 上网行为管理 ..................................................................................... 61

　4.7.6 华为 Eudemon1000E 防火墙 ....................................................................................... 63

　五、C+W （WIFI ）信号覆盖方案 ......................................................................... 69

　5.1 设计方案概述 .......................................................................................................................... 69

　5.1.1 覆盖区域描述 ............................................................................................................... 70

　5.1.2 工程规模 ....................................................................................................................... 70

　5.2 设计依据 .................................................................................................................................. 70

　5.3 设计思路 .................................................................................................................................. 71

　5.3.1 信源及设备型号的取定 ............................................................................................... 71

　5.3.2 覆盖方式 ....................................................................................................................... 71

　5.3.3 天线型号的确定 ........................................................................................................... 72

　5.3.4 边缘场强的设定 ........................................................................................................... 72

　5.4 设计方案分析 .......................................................................................................................... 72

　5.4.1 覆盖区域场强预测分析 ............................................................................................... 72

　5.4.2 覆盖效果分析 ............................................................................................................... 75

　5.4.3 系统上行增益及噪声分析 ........................................................................................... 75

　5.4.4 容量分析 ....................................................................................................................... 76

　5.4.5 方案特点分析 ............................................................................................................... 76

　5.5 安装说明 .................................................................................................................................. 77

　5.5.1 主设备的安装 ............................................................................................................... 77

　5.5.2 天线的安装 ................................................................................................................... 78

　5.5.3 无源器件的安装 ........................................................................................................... 78

　5.5.4 电源设备的安装 ........................................................................................................... 78

　5.5.5 防水接地的安装 ........................................................................................................... 78

　5.5.6 其他事项的说明 ........................................................................................................... 78

　5.6 电磁辐射防护 .......................................................................................................................... 79

　5.7 附图 ............................................................................................................ 错误! 未定义书签。

　六、监控系统方案 ............................................................................................... 79

　6.1 系统概述 .................................................................................................................................. 79

　6.1.1 系统应用概述 ............................................................................................................... 80

　6.1.2 监控系统分类说明 ....................................................................................................... 81

　6.2 系统设计原则、依据 .............................................................................................................. 82

　6.2.1 设计原则 ....................................................................................................................... 82

　6.2.2 设计依据 ....................................................................................................................... 83

　6.3

　系统组成及介绍 ................................................................................................................... 84

　6.3.1 系统概述 ....................................................................................................................... 84

　6.3.2 前端摄像机组成 ........................................................................................................... 85

　6.3.3 图像和控制信号传输部分 ........................................................................................... 86

　6.4 主要设备功能与系统功能介绍 .............................................................................................. 87

　DS-8100HF-ST ............................................................................................................................... 87

　七、翼机通解决方案 ........................................................................................... 90

　7.1 翼机通业务平台详述 .............................................................................................................. 90

　7.2 翼机通运维平台方案 .............................................................................................................. 91

　7.3 平台核心模块：密钥管理系统 ............................................................................................ 100

　7.4 清算、结算财务平台－结算中心 ........................................................................................ 105

　7.5 应用子系统及相关设备介绍 ................................................................................................ 108

　7.5.1 餐饮消费子系统 ................................................................................................................. 109

　7.5.2 购物消费子系统 ................................................................................................................. 110

　7.5.3 用水管理解决方案 ............................................................................................................. 111

　7.5.4 主要业务流程 ..................................................................................................................... 118

　7.5.6 翼机通子系统相关设备介绍 ............................................................................................. 119

　7.6 翼机通安全方案 .................................................................................................................... 125

　7.6.1 系统安全风险分析 ............................................................................................................. 125

　7.6.2 安全性应用分析 ................................................................................................................. 125

　7.6.3 卡安全机制 ......................................................................................................................... 126

　7.6.4 终端安全机制 ..................................................................................................................... 128

　7.14 系统数据库安全机制 .......................................................................................................... 133

　 一、项目概述 我公司为 XXX 旅游管理学校设计的信息化解决方案，目的在于为学校搭建一个完善的信息化综合管理平台，同时也能为客户在进行校园信息化整体建设提供设计思路，从而在基础架构设计上达到统一性、高效性、可扩展性，纵向上达到基础架构和业务系统统一管理信息化，横向方面达到各个楼宇、各个功能区之间实现数据共享、系统互联互动的目的。

　本次设计的范围包括：实训楼、教学楼、培训楼、宿舍楼及食堂、多媒体教室的管道光缆工程、校园网络系统、监控系统、C+W 无线室内系统、翼机通业务。

　二、设计目标 XXX 旅游管理学校信息化整体解决方案从网络、无线、监控、翼机通全方位的业务实施，实现 XXX 旅游管理学校智能化校园的一揽子解决方案。

　三、管道及光缆工程概述 本次工程主要包括实训楼、教学楼、培训楼、宿舍楼及食堂、多媒体教室。信息点分布见下图：

　楼宇名称 楼层 数据点 语音点 实训楼 1 13 13 2 13 13 3 12 12 4 12 12 5 11 11 教学楼 1 18 18

　2 18 18 3 18 18 4 18 18 5 18 18 培训楼 1 32 32 2 27 27 3 22 22 4 16 16 5 16 16 宿舍 1 148 74 2 148 74 食堂、多媒体 1 111 3 2 111 3 合

　 计 782 418 总

　 计 1200

　实训楼：从一楼机房布放光纤到每一栋楼的每一楼层弱电间，在每一个弱电间通过 1：8 分光器将 1 芯光纤分成 8 芯光纤，分别接若干台纯宽带 MDU 设备解决宿舍宽带上网。

　 教学楼宽带：从一楼机房布放光纤到每一层弱电间，弱电间放置千兆交换机解决办公宽带上网，对于同一楼层数据信息点较多的情况，采用堆叠交换机互联解决。

　 培训楼宽带、语音：在每一栋楼第一层弱电间集中放置若干台语音型 MDU（配备蓄电池）解决办公楼电话需求，同时布放第一层楼弱电间至楼上每一层弱电间之间的五类线，在每层楼弱电间放置语音配线架用于弱电间内纵向线缆与楼层横向线缆的跳接。

　四、网络架构概述 4.1 需求分析

　根据 XXX 旅游管理学校网络设计思想及其应用需求，在总体的设计上采用网络与业务分层建设，逐层保护的指导原则，利用宽带 IP 技术，保证网络的互联互通，提供具有一定的 QOS 保障，建成的网络以 IP 为主流技术。

　为保证新建校园网业务的快速传输，采用千兆主干，用户线速百兆交换到桌面。核心层 BRAS 设备需采用先进的架构设计，支持 NAT、VPN 和一定的安全防御功能，保证网络系统的稳定和安全。

　建设后的校园网设计方面应充分满足以下几个方面：

　高性能、多业务 随着 IP 电话、视频会议、网上业务、远程教学、电子邮件系统等业务的应用，该网络需要承载各种信息流。高速网络是校园网络发展的必然方向，网络应该运用当今最先进的技术，并且应该满足今后若干年的性能需求。因此， 1. 核心层高速互联，支持向万兆骨干网络的平滑升级、多业务扩展、百兆接入应该成为 XXX 旅游管理学校校园网建设的基本要求。

　2. 支持多种应用：建设后的校园网是融合多种应用如数据、IP 电话、视频等的网络，网络在建设之初就应该考虑对多业务的支持。

　3. 对于一个大型的局域网络来说，VLAN 的灵活划分是非常重要的功能，它为限制全网范围的广播、减少不必要的流量提供了有效的手段，特别是考虑与 XXX 运营商网络的融合，需注意 VLAN 重复使用的问题，本次方案设计核心采用 QINQ 的双层 VLAN 传输方式与 XXX 端城域网设备对接，以便更好的进行用户的区分。

　高安全性 随着 XXX 旅游管理学校信息化建设的不断深入，在学校网络迅速壮大并推动业务快速发展的同时，也使学校网络面临着更加严峻的挑战：网络安全与网络管理日益成为关系到学校可持续发展的重大因素。目前常见的网络安全隐患主要来自以下一些方面：

　1．网络级攻击：窃听报文，IP 地址欺骗 、源路由攻击、端口扫描 、拒绝服务攻击； 2．应用层攻击：有多种形式，包括探测应用软件的漏洞、"特洛依木马"等； 3．系统级攻击：操作系统的安全漏洞对内部网构成安全威胁。

　另外，网络本身的可靠性与线路安全也是值得关注的问题。

　所以 ，建成的学校网络系统应具有良好的安全性。

　可扩展性和可升级性 系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。校园的网络应该是当前先进的，并能够通过后续的升级不断的支持新技术的网络。

　网络易管理、易维护 学校网络系统规模大、接入用户多，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护，同时需满足学校和 XXX 运营商对学生上网记录、认证收费可查、可管的要求。这需要一套好的网管的支持，网管系统应该提供友好的中文界面，提供拓扑管理、故障管理和认证计费等功能。

　4.2 网络解决方案 主干网络实现千兆骨干线路，所有区域实现千兆到汇聚。学生宿舍楼汇聚设备采用华为 OLT 高端设备 MA5680T；教学楼、食堂、培训楼及服务器汇聚交换机采用华为 S9306 交换机。接入交换机采用支持堆叠的千兆 H3C S2000-EA 交换机，结合 H3C 网络接入、汇聚、核心设备的安全特性，实现对于用户进行访问权限控制、病毒等非法报文控制等安全策略。整网实现中心机房到教学楼千兆骨干，百兆接入设备的能力，整体组网如下：

　 网络拓扑图 接入层是边缘设备、终端站和 IP 电话接入网络的第一层。健壮的接入层提供以下主要特性：

　 链路汇聚（以太网通道或 802.3ad）高可用特性，提供更高的带宽利用率，同时降低复杂性，汇聚的链路之间在故障发生时，正常链路可承担起所有网络流量  为满足校园网络用户的百兆接入需求，所以端口必须支持线速转发，硬件识别和处理各种应用业务流，所有端口都具有单独的数据包过滤和区分不同应用流的能力，并根据不同的流进行不同的管理和控制  使用 QoS 为关键任务网络流量分发优先级，从而靠近网络入口对流量进行分类和排队，提供多样的队列调度满足高级 QoS、更为精细的流分类、限速粒度和组播服务，实现网络控制和带宽优化  安全服务，通过配置 802.1x、端口安全性、DHCP 侦听、动态 ARP检查及 IP 源保护等工具来增加安全性，从而更有效地防止非法网络访问

　 为网络提供了更多的智能特性，如基于策略的 VLAN、支持基于端口／流／MAC／VLAN 镜像、增强的 ACL 和端口安全功能等  支持设备堆叠功能，提供多种灵活的堆叠方式，满足用户不同场合的需求 接入交换机使用 H3C S2000-EA 千兆二层交换机，提供 24/48 个百兆以太网端口（2 个复用千兆 SFP 端口）和强 ARP 防御功能（适合校园网规模部署），采用千兆单模光纤链路与汇聚交换连接；本次接入设备部署在各个楼栋弱电间，根据实际信息点数进行堆叠。

　在线路连接上，所有接入设备通过单模与核心设备连接，部分原有线路根据距离和信息点分布采用光电转换器+单多模光纤模式连接。

　在网络核心部署一台华为 MA5200G 网关，用于 DHCP 服务器、认证、计费、端口限速等功能；在网络出口部署一台高性能华为 Eudemon 1000E-U5 防火墙连接 XXX 城域网，实现 NAT 地址转换、安全访问控制等功能；在网络出口部署一台华为 AR2220 路由器连接教育网。

　MA5200G 是华为网络推出的一款具有大容量、高性能、强业务融合和业务智能处理与控制能力的多业务控制网关，定位于 NGN/3G 承载网的核心层边缘，是 IP 网络从承载单一的互联网业务向承载数据、语音、视频、3G、NGN 等业务的关键设备。MA5200G 具有强大的认证功能，可以实现按流量计费、支持多种计费策略，同时可以实现监控全网的出口流量，同时其旁挂式的方式大大提高了网络的安全性，避免了在出口产生流量瓶颈的问题。

　互联网出口采用华为 Eudemon1000E 防火墙，Eudemon1000E 系列产品是华为公司针对大流量安全业务需求的应用，推出的新一代多功能安全网关，可广泛应用于运营商、金融、能源、高校等大型机构的网络，在高性能、高可靠性、高可扩展性、高可维护性四个方面为用户提供了技术领先的解决方案。全新的多核硬件架构设计，成熟可靠的 VRP 软件平台，结合硬件级和软件级的可靠性支持，保障用户的网络不会受到业务中断的影响；开放的系统架构可支持

　对多种物理接口和软件功能的扩展，可以有效保障用户的前期投入，不断的为用户提升产品价值；提供多种管理和维护方式，既可以简便有效的管理设备，又可以实现问题和故障的快速定位，使用户的维护工作变得简单轻松。同时，Eudemon1000E 系列产品将 GTP 协议安全防护功能通过模块的方式融合到产品中来，使得 Eudemon1000E 系列安全网关可以解决 GTP 协议在传输的过程中遇到的安全风险，为运营商用户提供有效的 GTP 协议安全防护的解决方案。

　AR2220 是华为网络推出的一款支持路由、交换、3G、语音、安全等功能特性，实现业务多合一。

　3G：全面支持 CDMA2000 EV-DO、WCDMA、TD-SCDMA的 3G 标准，保证各种网络的灵活接入；通过 NQA 技术，可以实时监测链路状态，保证 SLA；提供企业业务的链路备份，提高业务接入的可靠性；支持 3G 链路上建立安全 VPN，保证业务安全传输。

　LTE：未来支持 3G 网络向 LTE 的演进，保护客户投资。光纤接入：支持千兆以太光接口和 CPOS 光接口，灵活匹配网络接入；1G 以上的带宽，充分满足语音等业务高质量大带宽传输的需求。铜缆接入：接口类型丰富，支持 xDSL、E1/T1、串口、ISDN，保护用户投资；上行接入速率丰富，从 64Kbps 到 1Gbps，客户可以根据业务需求灵活选择。

　MA5680T 是华为高端光接入设备，具有超强的接入与汇聚能力，下行方向支持以 GE 接口级联其他接入设备；上行方向则支持以 GE 或者 10GE 的接口连接到 IP/MPLS 网络，也支持直连方式双归属到 BRAS 设备。MA5680T 产品具备多种卓越并且丰富的功能特性，例如：支持 8 端口 GPON 单板，支持 GPON 系统 1:128 分光比，支持 1588 V2 时钟（BC 模型），支持高密度 GE 汇聚、多 GE/10GE上行。

　4.3 网络规划建议 4.3.1 IP 地址规划 IP 地址的合理规划是网络设计中的重要一环，计算机网络必须对 IP 地址进行统一规划并得到实施。IP 地址规划的好坏，影响到网络路由协议算法的效率，

　影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。

　IP 地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器 CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：

　唯一性：一个 IP 网络中不能有两个主机采用相同的 IP 地址； 简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址的连续性 灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。

　主流的 IP 地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。

　当网络以私网地址分配或采用混合网络地址接入时，网络应提供地址变换功能，过滤掉私网地址。

　根据本次项目的实际情况，IP 地址的具体规划需参照信息主管部门的规范，若规范尚未制定，可灵活选择 IP 地址。建议选用 A 类私网（10.0.0.0—10.255.255.254）地址，为未来提供足够的 IP 地址空间。具体的 IP 地址规划内容可在与售后工程师具体协商后确定，但应遵循上述的原则。

　4.3.2 VLAN 设计 VLAN 可以实现将连接在同一个物理网络上面的主机分组，使它们看起来就象连接在不同的网络上一样。可以通过 VLAN 为网络分段，各个网段可以共用同一套网络设备，节约了网络硬件的开销，同时在迁移中所需的工作量也大幅度降低了，从而降低了连网成本。在大型局域网络组建中，VLAN 技术是不可缺少的关键技术，科学的 VLAN 设计可以为局域网络带来一系列的优点：

　在同一个物理网络实现第二层工作组划分，实现不同工作组之间第二层的完全隔离，同时，组员可以处在物理网络中的任何位置，不受同一台设备限制； 隔离广播，提高效率，避免不相关的广播帧在全网扩散，浪费有效带宽资源； 在局域网系统中，建议基于 IEEE 802.1Q 标准实现 VLAN，在分行 VLAN 设计中，使用 VLAN 技术达到两个目的，第一，不同业务部门之间的隔离和通信控制；第二，广播范围抑制。

　VLAN 的划分可以依据内外网用户和不同的业务部门以及用户所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还同时兼顾了网络安全性可控性的需要。

　从广播控制角度出发，为了保障网络的高可用和高性能，按照惯例原则，我们在进行具体 VLAN 规划时，同一个广播域内（一个 VLAN）的通信主机一般不超过 50 台，最好控制在 30 台以内，对于主机数量超过 50 的业务部门，我们通过二层隔离，三层交换的方式来解决。

　作为特殊 VLAN 的典型，建议保留 VLAN1 作为管理 VLAN，管理 VLAN 覆盖到全网的每一台交换机，但在第三层接口上，需要通过控制列表与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID=4000，VLAN4000 与 VLAN1 在第三层上相通，同时，保证只有部分业务 VLAN 可以访问VLAN4000，从而实现网管的分布式监控布局。VLAN1 和 VLAN4000 的第三层路

　由接口处设置访问控制列表，只有特定的主机或者只有网管 VLAN 可以直接访问每一台设备，其他均在过滤之列。

　网络的 VLAN 规划，在明确其网络资源访问权限分配的具体要求后，我们可对网络具体划分不同的权限、VLAN 等其它的安全策略。

　4.4 网络安全设计 4.4.1 总体安全设计 本部分主要介绍在本方案主要涉及的主要网络设备上，如何最大程度实现校园网整体安全，来最大程度的保护学校数字财产，为师生、社会提供安全的访问环境。下图是对我们从基础的硬件设备来控制安全的一个思想流程：

　 首先，当一个用户接入我们的网络中时，我们应该确认其身份的合法性，在我们的接入层交换机中，就可以实现用户 IP、MAC 和交换机端口三元素绑定，而如果结合我们的 SAM 认证计费软件系统的话，可以实现用户帐号，IP、MAC、VLAN ID、交换机端口和交换机 IP 六元素绑定功能，深度检测用户的合法性。

　当确认了用户身份的合法性后，我们需要进一步确认其网络行为的合法性，这其中包括一些网站的浏览或者一些网络程序的运行等等的管理和限制，比如我们不希望图书馆办公人员在上班时间上 QQ，不希望电子阅览室里的同学玩网

　络游戏，这些功能都可以通过我们的交换机通过“深层次的内容识别”的功能来实现，而并不需要再购买额外的管理软件或通过行政手段干预。

　通过以上功能可以使本地接入网络的用户的安全性得到很好的保障，但是对于网络中的病毒和攻击，我们则采用了网络设备本身强大的访问控制列表来防范，华为的交换机不仅支持标准的 IP 和 MAC 的 ACL，还支持扩展的 ACL，基于时间的 ACL 以及业界领先的专家级 ACL，并且这些 ACL 功能都是通过硬件芯片来实现，完全不会对 CPU 造成任何的负担。所以可以看到，在“冲击波”，“震荡波”泛滥的时期，华为的产品依然能以其优越的性能保障着用户的安全和业务的畅通。

　当然，在保障整个网络系统的安全的同时，对于网络设备本身也需要一定的安全保障措施，华为对于产品自身的安全性也做了周密的考虑，首先我们的产品不仅支持 SNMP 版本 1 和版本 2，还支持 SNMP 版本 3，即不仅将传送的信息加密了，而且能让接收方验证用户的申请，对每个申请进行复杂而详细的访问控制检查，以及用数字签名来保证信息的完整性。其次对于管理员经常用到的接入管理，我们是通过支持 SSH 技术来保障其安全性的，因为 SSH 比 Telnet、Web 访问更安全，加密访问，支持 SSH 功能的客户端可以和华为产品的服务端建立起安全、加密的连接，该连接所提供的功能类似于一个 Telnet 连接，不过和 Telnet 不同的是该连接所有的传输都是加密的。

　4.4.2 典型安全措施 4.4.2.1 MAC 攻击原理及防范 MAC 攻击原理

　 交换机内部的 MAC 地址表空间是有限的，MAC 攻击会很快占满交换机内部MAC 地址表，使得单播包在交换机内部也变成广播包向同一个 VLAN 中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个 Hub，用户的信息传输也没有安全保障了。

　MAC 攻击防范方法 利用交换机端口安全功能：MAC 动态地址锁和端口静态绑定 MAC，来限定交换机某个端口上可以学习的源 MAC 数量，当该端口学习的 MAC 数量超过限定数量时，交换机将产生违例动作。

　4.4.2.2 DHCP 攻击原理及防范 DHCP 攻击之一：恶意 DHCP 请求

　 恶意用户通过更换 MAC 地址的方式向 DHCP Server 发送大量的 DHCP 请求，以消耗 DHCP Server 可分配的 IP 地址为目的，使得合法用户的 IP 请求无法实现。

　恶意 DHCP 请求防范方法

　 利用交换机端口安全功能：MAC 动态地址锁和端口静态绑定 MAC，来限定交换机某个端口上可以访问网络的 MAC 地址，从而控制那些通过变化MAC 地址来恶意请求不同 IP 地址和消耗 IP 资源的 DHCP 攻击。当交换机一个端口的 MAC 地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的 MAC 安全地址的包时，交换机则采取措施。

　DHCP 攻击之二：非法 DHCP Server

　 非法 DHCP Server，为合法用户的 IP 请求分配不正确的 IP 地址、网关、DNS 等错误信息，不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法 DHCP Server，严重影响合法用户的信息安全 非法 DHCP Server 防范方法 控制客户端发出的 DHCP 请求报文被广播出去； 检查和控制 DHCP 响应报文是否：是合法 DHCP Server 发出的报文。

　接入交换机一般不具有 DHCP Relay 功能，收到 DHCP 请求广播报文后，并在 VLAN 内是向所有端口转发。

　 而 S27 接入交换机具有 DHCP Relay 功能，一旦启用 DHCP Relay 功能，并且配置了 DHCP Server 的 IP 地址，则客户端发出的 DHCP 请求，在交换机中将不以广播包的形式转发出去，而是直接到交换机 CPU，从而有效避免 DHCP请求报文广播出去被非法 DHCP Server 收到。

　 交换机 CPU 处理后，以单播的形式发往指定的 DHCP Server。收到 DCHP响应报文后（Offer，ACK，NAK 报文），CPU 会判定报文中的源 IP 地址是否为交换机中设定的 DHCP Server 的地址，从而保证 DCHP 响应报文的合法性。

　4.4.2.3 ARP 攻击 ARP 攻击之一：ARP 欺骗

　ARP 欺骗者：利用 ARP 漏洞，发送虚假的 ARP 请求报文和响应报文，报文中的源 IP 和源 MAC 均为虚假的，或错误的网关 IP 和网关 MAC 对应关系，扰乱局域网中各 PC 以及网关中保存的 ARP 表，使得网络中的合法 PC 正常上网、通讯中断，并且流量都可流入到攻击者手中。

　ARP 网关欺骗 属于 ARP 欺骗的一种，目前在各大高校非常盛行。产生的影响很严重。

　既然是属于 ARP 欺骗的一种，因此欺骗的原理和前面详述的 ARP 欺骗原理是一样的，不同的是，攻击者是专门欺骗网关的，但造成的后果缺很严重。由于网关被欺骗，导致该网关的用户都无法正常上网。

　目前我司交换机专门针对这种欺骗问题，开发了特有的 ARP 网关欺骗防范功能。

　ARP 欺骗防范方法 利用交换机端口 ARP 检查安全功能：打开 ARP 报文检查 ARP 报文中的源 IP和源 MAC 是否和绑定的一致，可有效防止安全端口上欺骗 ARP，防止非法信息点冒充网络关键设备的 IP（如服务器），造成网络通讯混乱。

　针对 ARP 网关欺骗的手段，我们可以通过设置交换机的防 ARP 网关欺骗功能来防止网关被欺骗。具体的做法就是，在用户端口上通过防 ARP 欺骗命令设置要防止欺骗的 IP，阻止以该设置 IP 为源 IP 地址的 ARP 通过交换机，这样可以保证交换机下联端口的主机无法进行网关 ARP 欺骗。

　ARP 攻击之二：ARP 流量攻击

　发送大量虚假的 ARP 请求报文和响应报文，报文中的源 IP 和源 MAC 均为虚假的，或错误的网关 IP 和网关 MAC，扰乱用户 PC 中的 ARP 表，使得网络中的合法 PC 无法正常上网、通讯。

　ARP 流量攻击防范：

　利用交换机端口 ARP 检查安全功能：打开 ARP 报文检查 ARP 报文中的源 IP和源 MAC 是否和绑定的一致，可有效防止安全端口上欺骗 ARP，防止非法信息点冒充网络关键设备的 IP（如服务器），造成网络通讯混乱。

　4.4.2.4 IP/MAC 欺骗攻击 MAC 欺骗

　盗用合法用户的 MAC 地址，侵入网络，使得正常用户无法上网； IP 欺骗

　 盗用合法用户的 IP 地址，使得到合法用户的通讯得不到响应，造成 Ping of death，和 ICMP 不可达风暴 不断修改 IP，发送 TCP SYN 连接，攻击 Server，造成 SYN Flood IP＋MAC 欺骗

　IP/MAC 欺骗攻击防范方法

　 交换机端口安全即端口静态绑定，

　交换机整机 IP 和 MAC 地址

　DHCP 动态绑定

　802.1x， 检查 IP 报文中源 IP 和源 MAC 是否和交换机中管理员设定的是否一致，不一致，报文丢弃，并发送告警信息 4.4.2.5 防 防 IP 地址冲突和盗用技术解决方案 设备级 IP 地址管理技术 本次方案设计涉及所有华为产品均支持硬件实现 IP、MAC、端口绑定和IP+MAC 绑定，只需简单的一个命令就可以实现。并实现端口反查功能，追查源IP、MAC 访问，追查恶意用户。有效的防止通过假冒源 IP/MAC 地址进行网络的攻击，进一步增强网络的安全性。

　4.5 网络出口方案 4.5.1 校园网出口需求 4.5.1.1 NAT 性能问题 出口设备要支持 NAT（地址转换）是共识的。一方面，校内使用私有地址的情况，访问 Internet 需要进行 NAT；另一方面，即使校内使用真实的教育网IP，那么通过 XXX 或者网通的线路访问外部资源，仍然需要进行 NAT（地址转换），因为 XXX 所分配的地址更有限。

　NAT（地址转换）等于给出口设备增加了一项很重要的任务，但是，从实际情况来看，NAT 却成为了上网速度慢的一个重要原因。究其根本，设备的性能是一个很大的原因（对于 NAT（地址转换）支持的优劣，有两个很重要的依据，那就是“并发会话数”和“新建会话数”）

　4.5.1.2 策略路由支持问题 首先，当前校园网是基于多出口的架构。1）为了提高访问速度需要多出口互联。CERNET 与 XXX、网通等运营商的互联仅在上海、北京、广州三地有交互中心，且互联带宽还不够高，这就给教育用户访问公网资源和运营商用户访问教育网资源带来了问题。2）为了解决费用问题。XXX、网通等 ISP 的包月交费制提供了高校解决国际流量费用的好思路。3）解决线路备份问题，避免单出口单点故障的存在。

　其次，从上面多出口架构的原因分析可以看出，出口有必要对不同用户规定相应的路径，根据不同的访问流量制定相应的路径——也就是基于策略的路由。从实际中各个学校的使用情况来看，一些早期的设备不支持策略路由，或者部分新采购的设备启用策略路由时，造成设备性能的下降，从而影响整个出口的性能和稳定性。

　4.5.1.3 安全防护能力问题 出口的安全防护一直是大家重点关注的对象，当前出口面临的网络威胁主要表现 2 个特点：首先，快速增长的网络带宽为网络威胁提供了更多的空间。以前只有 2M 的出口带宽，而现在已经千兆入户、百兆到桌面，而骨干网的带宽也已经普及万兆。网络越发达，网络威胁出现的次数越多，网络威胁造成的损失也就越大。其次，越来越丰富的应用，使得网络安全的应对面也越来越广。比如：EDonkey 等 P2P 下载软件和各种 IM 的聊天软件。这些协议都是要 TCP/UDP层上，甚至需要完成应用层的服务。而网络威胁的种类也越来越多，不仅有非法入侵、网络渗透。还有网络欺骗、DOS/DDOS 攻击、各种恶意软件、垃圾邮件等。

　相对与网络威胁的迅速发展，在学校实际部署中，安全防护主要体现出 2个缺点：一是传统产品无法提供高性能。传统防火墙一般是基于单一通用 CPU，所有的安全业务都在同一个 CPU 上完成。整体的处理能力也就几十兆，最高百

　兆。而高校实际的流量早已经远远超过了这个范围。二是传统设备的功能单一，需要购买多台网络安全产品才能完成。针对访问控制，要购买传统防火墙。如果需要数据加解密，就需要再购买 VPN 设备。而独立的 IPS 产品又是针对网络入侵和扫描的设备。现在市场上也有具有多种功能的复合安全产品，但由于是软件系统，无法有效解决性能问题，导致无法真正发挥多功能的效果。

　4.5.1.4 日志记录问题 《互联网安全保护技术措施规定》在 2005 年 11 月 23 日公安部部长办公会议通过，并自 2006 年 3 月 1 日起已经施行。（该规定简称“82 号令”）规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。

　公安部 82 号令（部分摘抄）

　4.5.1.5 流量控制问题 校园网的规模在扩大，网络基础设施在提升，出口带宽在增加，各种网络应用也更加丰富。但是，某些用户或者应用（如 BT 等 P2P 应用）却在过多的占用着网络资源。有学校做过实验，出口带宽无论禁止 P2P 的应用还是不禁止 P2P的应用都会跑满。简单理解，显然该校在不禁止 P2P 的情形下，P2P 的流量不管大小，都已经在影响出口正常流量所占带宽了。加之该校暂无出口带宽升级

　计划，形势较为严峻。但从另一个侧面解读，即使出口带宽不断提升，同样各种 P2P 应用依然会占据大量出口带宽。

　总的来说，出口带宽的增长速度与访问流量的提升速度已经是一种矛盾。所以，有必要对用户或者某些特定应用进行流量的控制。

　4.5.1.6 高可用性的问题 以太网发明人 Bob Metcalf 曾说过“网络的价值和其节点数的平方成正比。”当然该价值体现的前提就是网络的正常稳定运行。当下，对服务质量要求越来越高，用户对校园网这一平台的依赖性和期望值都越来越高，各高校对网络的可用性，尤其出口的可用性的关注也是前所未有的。通俗的来说，校内某一区域不正常只影响到该区域，而校园网出口的不可用将导致整个学校与外界的隔断，校内与校外的任何互访、信息互通都无法实现。

　再审视绝大多数校园网出口区域，单设备、单链路的现象还占据主要位置。对于设备的冗余、链路的备份，以及在出现任何设备或者链路故障下的自动切换，也仅仅是少数学校达到这样的水平。那么，如何打造出口的高可用性？如何实现出口的自动调整对用户的透明性？即，用户无需理解复杂的出口技术，只需要体验最快的网速。这些问题都摆在了网络管理者的面前。

　4.5.2 上网行为管理 学校内网用户在日常使用网络中，需要搜索访问互联网。互联网的开放性带来了资源的传播和共享，同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷，如何...