版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
1、科學架設和優(yōu)化校園組網(wǎng)結構提升內(nèi)部網(wǎng)絡訪問和管理水平,段運生ysduan@ahu.edu.cn,用戶上網(wǎng)感知的影響因素,目錄,優(yōu)化校園網(wǎng)拓撲合理配置網(wǎng)絡設備建立完備的監(jiān)控體系,網(wǎng)絡拓撲結構,常見的拓撲問題,1、核心交換與網(wǎng)絡末端設備間跳接過多的網(wǎng)絡設備;2、設備的性能和網(wǎng)絡拓撲層次不匹配;3、設備性能:端口速率、背板帶寬、包轉發(fā)率、吞吐量、最大連接數(shù),環(huán)形主干+鏈路捆綁,雙鏈路匯聚,目錄,優(yōu)化校園網(wǎng)拓撲合理配置網(wǎng)絡設備建
2、立完備的監(jiān)控體系,基于端口的VLAN,Host A和Host C屬于部門A,但是通過不同的設備接入公司網(wǎng)絡;Host B和Host D屬于部門B,也通過不同的設備接入校園網(wǎng)絡。為了通信的安全性,以及避免廣播報文泛濫,網(wǎng)絡中使用VLAN技術來隔離部門間的二層流量。其中部門A使用VLAN 100,部門B使用VLAN 200。,端口隔離,Site 1和Site 2是兩個部門,分別在VLAN 2和VLAN 3上承載業(yè)務,為了實現(xiàn)報文之間的隔離,
3、可以將不同的端口加入不同的VLAN,但會浪費有限的VLAN資源。采用端口隔離特性,可以實現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中,就可以實現(xiàn)隔離組內(nèi)端口之間數(shù)據(jù)的隔離。并接入Device A。Device A通過Ten-GigabitEthernet1/0/1端口與外部網(wǎng)絡相連。希望這兩個部門都可以通過Device A和外部網(wǎng)絡通信,但兩部門內(nèi)部的二層流量都互相隔離。,為了實現(xiàn)報文
4、之間的隔離,可以將不同的端口加入不同的VLAN,但會浪費有限的VLAN資源。采用端口隔離特性,可以實現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中,就可以實現(xiàn)隔離組內(nèi)端口之間數(shù)據(jù)的隔離。,鏈路備份,在A設備上建立兩個互為備份的二層接口A1和A2,其中A1處于活動狀態(tài),A2處于阻塞狀態(tài)。此時,網(wǎng)絡中的業(yè)務流量路徑為藍色線條所表示。如果A1鏈接的Link1鏈路故障,那么A2立刻切換為非阻塞狀態(tài)。當業(yè)務流量切換完成后,網(wǎng)絡中的
5、流量路徑為圖中的紅色線條表示。,環(huán)路預防,開啟生成樹協(xié)議,防止接入層交換機上發(fā)生環(huán)路;下聯(lián)口開啟BPDUGUARD,防止下聯(lián)普通交換機發(fā)生環(huán)路下聯(lián)口開啟Portfast(使交換機跳過偵聽學習狀態(tài)而進入STP轉發(fā)狀態(tài)),設置連接PC的邊緣端口,二層鏈路聚合,鏈路聚合是將多個物理以太網(wǎng)端口聚合在一起形成一個邏輯上的聚合組,使用鏈路聚合服務的上層實體把同一聚合組內(nèi)的多條物理鏈路視為一條邏輯鏈路。鏈路聚合可以實現(xiàn)出/入負荷在聚合組中各個成
6、員端口之間分擔,以增加帶寬。同時,同一聚合組的各個成員端口之間彼此動態(tài)備份,提高了連接可靠性。,二層鏈路聚合,1、Device A和Device B之間提供較大的鏈路帶寬來使相同VLAN內(nèi)的用戶互相通信。2、捆綁一起的鏈路形成相互動態(tài)備份,提高數(shù)據(jù)傳輸?shù)目煽啃浴?1、由于上網(wǎng)終端不斷增加,要求接入層具有易管理能力和強擴展能力,可以提供更多的端口來滿足PC的接入需求。2、由于接入層的流量增加,要求增強接入層到匯聚層的鏈路具有較高可靠性
7、,且可實現(xiàn)流量的負載分擔。,廣播風暴抑制,DHCP協(xié)議,DHCP SNOOPING,根據(jù)項目組的規(guī)模,分配不同范圍的IP地址,為group1分配192.168.0.2~192.168.0.39之間的IP地址,為group2分配192.168.0.40~192.168.0.99之間的IP地址,為group3分配192.168.0.100~192.168.0.200之間的IP地址;保證客戶端從合法的服務器獲取IP地址;禁止用戶通過配置靜
8、態(tài)IP地址的方式接入網(wǎng)絡。,在多個DHCP Snooping設備級聯(lián)的網(wǎng)絡中,為了節(jié)省系統(tǒng)資源,不需要每臺DHCP Snooping設備都記錄所有DHCP客戶端的IP地址和MAC地址的綁定信息,只需在與客戶端直接相連的不信任端口上記錄綁定信息。間接與DHCP客戶端相連的不信任端口不需要記錄IP地址和MAC地址綁定信息,需要配置綁定關系的不信任端口。在DHCP Snooping設備上指向合法的DHCP服務器方向的端口需要設置為信任端口,
9、以便DHCP Snooping設備正常轉發(fā)DHCP服務器的應答報文,保證DHCP客戶端能夠從合法的DHCP服務器獲取IP地址。,ARP報文泛洪攻擊,防止因惡意用戶對網(wǎng)關發(fā)送大量ARP請求/應答報文,造成設備癱瘓,并導致其它用戶無法正常地訪問外部網(wǎng)絡;同時,對于正常的大量ARP請求/應答報文仍然會進行處理。配置源MAC固定ARP報文攻擊檢測的閾值配置源MAC固定的ARP防攻擊檢測表項的老化時間配置保護MAC,防止仿冒用戶、仿冒網(wǎng)關攻
10、擊典型,通過在接入交換機上全面部署ARP攻擊防御相關特性,形成保護屏障,過濾掉仿冒用戶、欺騙網(wǎng)關的攻擊報文。為防止仿冒用戶、欺騙網(wǎng)關等ARP攻擊形式,可以在接入交換機上配置ARP Detection功能,通過ARP Detection功能對ARP報文的有效性和用戶合法性進行檢查,以達到防止仿冒用戶、欺騙網(wǎng)關的目的。根據(jù)組網(wǎng)情況,配置ARP Detection功能的用戶合法性檢查采用基于IP Source Guard靜態(tài)綁定表項的檢查
11、(針對需要配置靜態(tài)IP地址訪問網(wǎng)絡的主機)和DHCP Snooping安全表項的檢查(針對通過DHCP服務器動態(tài)獲取IP地址的主機,并且需要在接入設備上開啟DHCP Snooping功能)。在配置ARP Detection功能后,為防止ARP泛洪攻擊對ARP Detection功能的影響,在Switch A和Switch B所有直接連接客戶端的端口上開啟ARP報文限速功能。,動靜態(tài)綁定表項,Host A的MAC地址為00-01-02-
12、03-04-05,IP地址通過手工配置,為192.168.0.1/24。Host B,Host C通過DHCP Server動態(tài)獲取IP地址。Switch A上開啟DHCP Snooping功能,記錄客戶端的DHCP Snooping表項。Switch A的端口GigabitEthernet1/0/1上配置靜態(tài)綁定表項,只允許Host A發(fā)送的報文通過,在端口GigabitEthernet1/0/2,端口GigabitEthern
13、et1/0/3上開啟動態(tài)綁定功能,防止客戶端使用偽造的不同源IP地址對服務器進行攻擊。,在Switch A的端口GigabitEthernet1/0/1上為Host A創(chuàng)建靜態(tài)綁定表項。開啟Switch A的DHCP Snooping功能,并配置上行口為DHCP Snooping信任端口。 在Switch A的端口GigabitEthernet1/0/2,端口GigabitEthernet1/0/3上開啟IP Source
14、 Guard動態(tài)綁定功能,利用IP Source Guard的動態(tài)綁定功能防止客戶端使用偽造的不同源IP地址對服務器進行攻擊。,動靜態(tài)綁定表項,基本路由功能,普通報文的轉發(fā)依據(jù)報文的目的地址查詢轉發(fā)表來實現(xiàn),策略路由功能,1、訪問網(wǎng)通的網(wǎng)絡走網(wǎng)通線路2、訪問其他網(wǎng)絡使用負載均衡的方式分別走兩條電信線路3、電信中斷后網(wǎng)通備份,單播反向路徑轉發(fā),在ISP網(wǎng)絡中存在DoS(Denial of Service)攻擊,導致網(wǎng)絡中的用戶無法正常
15、訪問,運營商希望能夠在出口設備上對報文的源IP地址進行驗證,阻止非法用戶用偽造的源IP地址進行DoS攻擊。配置URPF功能,對用戶報文的源地址進行反查。在ISP與用戶端,配置嚴格URPF。,防火墻,訪問控制配置,192.168.1.0/24、 192.168.2.0/24、 192.168.3.0/24分別屬于A、B、C三個部門。工作時間為每周工作日的8點到18點。 通過在安全域間實例上配置包過濾,允許A在任意時間、B在工
16、作時間訪問數(shù)據(jù)庫服務器,禁止其它部門在任何時間、B在非工作時間訪問該服務器。,連接數(shù)限制,192.168.0.0/24網(wǎng)段的每臺主機最多只能與外網(wǎng)建立100條連接,其他網(wǎng)段的主機不作限制。同一時刻DNS服務器只接受10000條查詢請求。同一時刻Web服務器只接受10000條連接請求。,攻擊檢測與防范(單包攻擊、掃描攻擊及泛洪攻擊),為防范外部網(wǎng)絡對內(nèi)部網(wǎng)絡主機的Smurf攻擊和掃描攻擊,需要在接口GigabitEthernet1/0
17、/2上開啟Smurf攻擊防范和掃描攻擊防范。具體要求為:低防范級別的掃描攻擊防范;將掃描攻擊者添加到黑名單中(老化時間為10分鐘);檢測到Smurf攻擊或掃描攻擊后,輸出告警日志。為防范外部網(wǎng)絡對內(nèi)部服務器的SYN flood攻擊,需要在接口GigabitEthernet1/0/2上開啟SYN flood攻擊防范。具體要求為:當設備監(jiān)測到向內(nèi)部服務器每秒發(fā)送的SYN報文數(shù)持續(xù)達到或超過5000時,輸出告警日志并丟棄攻擊報文。,網(wǎng)絡應用
18、變遷帶來的挑戰(zhàn),帶寬限制,對三個網(wǎng)段的P2P流量分別限速7M、2M、1M,對流媒體總體限速20M,對其它流量總體限速70M。3種流量總帶寬共100Mbps。有需要時,在總體限流的基礎上對每個IP用戶進行限速10kbps。,目錄,優(yōu)化校園網(wǎng)拓撲合理配置網(wǎng)絡設備建立完備的監(jiān)控體系,基于SNMP的監(jiān)測技術,網(wǎng)絡設備監(jiān)控,1、端口的實時數(shù)據(jù)流量2、廣播風暴:廣播包和非廣播包3、線路問題:錯誤數(shù)據(jù)數(shù)量4、CPU5、溫度6、連接數(shù),
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 齊齊哈爾站內(nèi)部網(wǎng)組網(wǎng)研究.pdf
- IPTV網(wǎng)絡的組網(wǎng)和優(yōu)化.pdf
- 企業(yè)內(nèi)部網(wǎng)絡訪問控制管理子系統(tǒng)的設計與實現(xiàn).pdf
- 企業(yè)內(nèi)部網(wǎng)絡建設淺析
- 內(nèi)部網(wǎng)絡威脅模型與檢測技術.pdf
- 光電混合數(shù)據(jù)中心內(nèi)部網(wǎng)絡交換結構研究.pdf
- 面向內(nèi)部網(wǎng)環(huán)境的網(wǎng)絡安全掃描系統(tǒng)的設計和實現(xiàn).pdf
- 基于vpn技術的內(nèi)部網(wǎng)絡構建分析
- 內(nèi)部網(wǎng)絡安全狀況評估與改善
- 企業(yè)內(nèi)部網(wǎng)絡資源搜索解決方案的研究和設計.pdf
- 開題報告----公司內(nèi)部網(wǎng)絡組建設計
- 內(nèi)部網(wǎng)絡外聯(lián)盟監(jiān)控系統(tǒng)的研究.pdf
- IP網(wǎng)絡視頻服務系統(tǒng)訪問模式分析和性能優(yōu)化.pdf
- 使用內(nèi)部網(wǎng)絡建立團隊精神【外文翻譯】
- IP網(wǎng)絡視頻服務器訪問模式分析和性能優(yōu)化.pdf
- 相控陣測量雷達內(nèi)部網(wǎng)絡的研究與實現(xiàn).pdf
- 簡析內(nèi)部網(wǎng)系統(tǒng)的網(wǎng)絡信息安全管理
- 內(nèi)部網(wǎng)絡預警系統(tǒng)的設計與實現(xiàn).pdf
- 企業(yè)內(nèi)部網(wǎng)絡分布式實進入侵檢測應用模型和實現(xiàn)技術.pdf
- 網(wǎng)絡工程畢業(yè)論文---內(nèi)部網(wǎng)組建方案
評論
0/150
提交評論