網(wǎng)絡(luò)技術(shù)建議書

1、網(wǎng)絡(luò)技術(shù)建議書HUAWEI華為技術(shù)有限公司2014年10月 TOC o 1-5 h z HYPERLINK l bookmark35 o Current Document 總體系統(tǒng)規(guī)劃3系統(tǒng)設(shè)計(jì)原則3網(wǎng)絡(luò)設(shè)計(jì)概述4總體網(wǎng)絡(luò)邏輯架構(gòu)4 HYPERLINK l bookmark39 o Current Document 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)5互聯(lián)區(qū)網(wǎng)絡(luò)規(guī)劃5物理組網(wǎng)規(guī)劃概述5 HYPERLINK l bookmark45 o Current Document Internet 互聯(lián).5 HYPERLINK l bookmark49 o Current Document VLAN 規(guī)劃5 HYPERLINK

2、 l bookmark53 o Current Document VLAN 概述5 HYPERLINK l bookmark57 o Current Document VLAN功能劃分6 HYPERLINK l bookmark73 o Current Document VLAN 規(guī)劃原則1 6 HYPERLINK l bookmark86 o Current Document VLAN規(guī)劃建議7 HYPERLINK l bookmark108 o Current Document IP規(guī)劃7 HYPERLINK l bookmark113 o Current Document IP地址規(guī)劃原

3、則 8 HYPERLINK l bookmark129 o Current Document DHCP規(guī)劃建議9 HYPERLINK l bookmark151 o Current Document DNS 規(guī)劃9可靠性規(guī)劃10設(shè)備可靠性10網(wǎng)絡(luò)可靠性11安全設(shè)計(jì)11 HYPERLINK l bookmark172 o Current Document 安全概述11網(wǎng)絡(luò)安全規(guī)劃12邊界安全規(guī)劃17總體系統(tǒng)規(guī)劃1.1.系統(tǒng)設(shè)計(jì)原則計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，通過承載企業(yè)的多種業(yè)務(wù)，形成一個(gè)園區(qū)網(wǎng)絡(luò)。園區(qū)網(wǎng)絡(luò) 設(shè)計(jì)必須適應(yīng)當(dāng)前信息化各項(xiàng)應(yīng)用，又可面向未來信息化發(fā)展的需要，因此必須 是高質(zhì)量的。園區(qū)網(wǎng)通常是一種

4、用戶高密度的非運(yùn)營(yíng)網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的 終端和用戶。同時(shí)對(duì)于園區(qū)網(wǎng)而言，注重的是網(wǎng)絡(luò)的簡(jiǎn)單可靠、易部署、易維護(hù)。 因此在園區(qū)網(wǎng)中，拓?fù)浣Y(jié)構(gòu)通常以星型結(jié)構(gòu)為主，較少使用環(huán)網(wǎng)結(jié)構(gòu)（環(huán)網(wǎng)結(jié)構(gòu) 較多的運(yùn)用在運(yùn)營(yíng)商的城域網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)中，可以節(jié)約光纖資源）?；谛切徒Y(jié)構(gòu)的園區(qū)網(wǎng)設(shè)計(jì)，通常遵循如下原則：層次化將園區(qū)網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易 于擴(kuò)展和維護(hù)。模塊化將園區(qū)網(wǎng)絡(luò)中的每個(gè)部門或者每個(gè)功能區(qū)劃分為一個(gè)模塊，模塊內(nèi)部的調(diào)整 涉及范圍小，易于進(jìn)行問題定位。冗余性關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)；關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載 分擔(dān);關(guān)鍵設(shè)備的電源、主控

5、板等關(guān)鍵部件冗余備份。提高了整個(gè)網(wǎng)絡(luò)的可靠性。 安全隔離園區(qū)網(wǎng)絡(luò)應(yīng)具備有效的安全控制。在園區(qū)網(wǎng)絡(luò)出口處部署防火墻，既可按業(yè) 務(wù)、按權(quán)限進(jìn)行分區(qū)邏輯隔離，又對(duì)園區(qū)內(nèi)部網(wǎng)絡(luò)起到重要的保護(hù)作用?？晒芾硇院涂删S護(hù)性網(wǎng)絡(luò)應(yīng)當(dāng)具有良好的可管理性。為了便于維護(hù)，應(yīng)盡可能選取集成度高、模 塊可通用的產(chǎn)品。1.2.網(wǎng)絡(luò)設(shè)計(jì)概述根據(jù)遂寧應(yīng)急辦辦公樓網(wǎng)絡(luò)應(yīng)用及業(yè)務(wù)特點(diǎn)，特把遂寧應(yīng)急辦辦公樓辦公網(wǎng) 絡(luò)物理分成內(nèi)部、外部?jī)纱髤^(qū)域。其中，園區(qū)內(nèi)部，指遂寧應(yīng)急辦辦公大樓范圍 內(nèi)的計(jì)算機(jī)局域網(wǎng)網(wǎng)絡(luò)。外部，指Internet及政法內(nèi)網(wǎng)等。根據(jù)遂寧應(yīng)急辦辦公樓網(wǎng)絡(luò)物理硬件劃分，則分為互聯(lián)網(wǎng)絡(luò)及政務(wù)內(nèi)網(wǎng)，兩 張網(wǎng)絡(luò)。1.3 .總體

6、網(wǎng)絡(luò)邏輯架構(gòu)園區(qū)網(wǎng)絡(luò)的邏輯架構(gòu)包括五大部分。應(yīng)用層包含園區(qū)內(nèi)的各種終端設(shè)備，例如PC、筆記本電腦、打印機(jī)、傳真、SIP話 機(jī)、視頻設(shè)備等等。接入層負(fù)責(zé)將各種終端接入到園區(qū)網(wǎng)絡(luò)，通常由以太網(wǎng)交換機(jī)組成。對(duì)于某些終端， 可能還要增加特定的接入設(shè)備，例如無線接入的AP設(shè)備等。接入層交換機(jī)，通 常部署在樓層配線間。匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴(kuò)展 核心層接入用戶的數(shù)量。匯聚層通常還作為用戶三層網(wǎng)關(guān)，承擔(dān)L2/L3邊緣設(shè)備 的角色，提供用戶管理、安全管理、QoS (QualityofService)調(diào)度等各項(xiàng)跟用戶 和業(yè)務(wù)相關(guān)的處理。匯聚層交換機(jī)，通常部署在樓宇設(shè)

7、備間。 核心層核心層負(fù)責(zé)整個(gè)園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要 實(shí)現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。園區(qū)出口園區(qū)出口是園區(qū)網(wǎng)絡(luò)到外部公網(wǎng)的邊界，園區(qū)網(wǎng)的內(nèi)部用戶通過邊緣網(wǎng)絡(luò)接 入到公網(wǎng)，外部用戶(包括分支機(jī)構(gòu)、遠(yuǎn)程用戶等)也通過邊緣網(wǎng)絡(luò)接入到內(nèi)部 網(wǎng)絡(luò)。網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)互聯(lián)區(qū)網(wǎng)絡(luò)規(guī)劃物理組網(wǎng)規(guī)劃概述出催脂InternetsInternet互聯(lián)區(qū)中主要設(shè)備為出口防火墻。其中出口防火墻具備包括防火墻 和IPS兩項(xiàng)功能。入侵檢測(cè)系統(tǒng)IPS對(duì)摻雜在應(yīng)用數(shù)據(jù)流中的惡意代碼、攻擊行為、DDOS 攻擊等進(jìn)行偵測(cè)，并實(shí)時(shí)進(jìn)行響應(yīng)。防火墻在網(wǎng)絡(luò)層面，過濾非法流量、抵御外部的攻擊，保護(hù)內(nèi)部資源。

8、防火墻和IPS本身都是重要的網(wǎng)絡(luò)設(shè)備，而且其位置一般都是作為網(wǎng)絡(luò)的出 口。其位置和功能決定了防火墻和IPS設(shè)備應(yīng)該具有非常高的可靠性。VLAN 規(guī)劃VLAN概述VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí) 2015-03-10HUAWEI ConfidentialPage5, Total18現(xiàn)在一個(gè)LAN內(nèi)隔離廣播域的技術(shù)。當(dāng)網(wǎng)絡(luò)規(guī)模越來越龐大時(shí)，局部網(wǎng)絡(luò)出現(xiàn) 的故障會(huì)影響到整個(gè)網(wǎng)絡(luò)，VLAN的出現(xiàn)可以將網(wǎng)絡(luò)故障限制在VLAN范圍內(nèi)， 增強(qiáng)了網(wǎng)絡(luò)的健壯性。VLAN功能劃分用戶 VLAN用戶VLAN即普通VLAN，也就是我們?nèi)粘Ｋf的VLAN，是用來對(duì)不同 端口進(jìn)行隔離的

9、一種手段。VLAN通常根據(jù)業(yè)務(wù)需要進(jìn)行規(guī)劃，需要隔離的端口 配置不同的VLAN，需要防止廣播域過大的地方配置VLAN用于減小廣播域。VLAN最好不要跨交換機(jī)，即使跨交換機(jī)，數(shù)目也需要限制。Voice VLANVoice VLAN是為用戶的語音數(shù)據(jù)流劃分的VLAN，用戶通過創(chuàng)建Voice VLAN并將連接語音設(shè)備的端口加入Voice VLAN，可以使語音數(shù)據(jù)集中在Voice VLAN中進(jìn)行傳輸，便于對(duì)語音流進(jìn)行有針對(duì)性的QoS配置，提高語音流量的 傳輸優(yōu)先級(jí)，保證通話質(zhì)量。Guest VLAN網(wǎng)絡(luò)中用戶在通過802.1x等認(rèn)證之前接入設(shè)備會(huì)把該端口加入到一個(gè)特定 的VLAN（艮口 Guest V

10、LAN），用戶訪問該VLAN內(nèi)的資源不需要認(rèn)證，只能訪 問有限的網(wǎng)絡(luò)資源。用戶從處于Guest VLAN的服務(wù)器上可以獲取802.1x客戶端 軟件，升級(jí)客戶端或執(zhí)行其他應(yīng)用升級(jí)程序（例如：防病毒軟件、操作系統(tǒng)補(bǔ)丁 程序等）。認(rèn)證成功后，端口離開Guest VLAN加入用戶VLAN，用戶可以訪問 其特定的網(wǎng)絡(luò)資源。VLAN規(guī)劃原則一個(gè)二層網(wǎng)絡(luò)規(guī)劃的基本原則：區(qū)分業(yè)務(wù)VLAN、管理VLAN和互聯(lián)VLAN按照業(yè)務(wù)區(qū)域劃分不同的VLAN同一業(yè)務(wù)區(qū)域按照具體的業(yè)務(wù)類型（如：Web、APP、DB）劃分不同的VLAN VLAN需連續(xù)分配，以保證VLAN資源合理利用預(yù)留一定數(shù)目VLAN方便后續(xù)擴(kuò)展VLAN規(guī)劃

11、建議VLAN根據(jù)多種原則組合劃分。按照邏輯區(qū)域劃分VLAN范圍：例如：核心網(wǎng)絡(luò)區(qū)：100199服務(wù)器區(qū)：200999,預(yù)留10001999接入網(wǎng)絡(luò)：20003499業(yè)務(wù)網(wǎng)絡(luò)：35003999按照地理區(qū)域劃分VLAN范圍例如：接入網(wǎng)絡(luò)A的地理區(qū)域使用20002199接入網(wǎng)絡(luò)B的地理區(qū)域使用22002399按照人員結(jié)構(gòu)劃分VLAN范圍例如：接入網(wǎng)絡(luò)A地理區(qū)域A部門使用20002009接入網(wǎng)絡(luò)A地理區(qū)域B部門使用20102019按照業(yè)務(wù)功能劃分VLAN范圍例如：Web服務(wù)器區(qū)域：200299APP服務(wù)器區(qū)域：300399DB服務(wù)器區(qū)域：400499IP規(guī)劃考慮到后期擴(kuò)展性，在園區(qū)IP地址規(guī)劃時(shí)主要以

12、易管理為主要目標(biāo)。園區(qū) 網(wǎng)中的DMZ區(qū)或Internet互聯(lián)區(qū)有少量設(shè)備使用公網(wǎng)IP,園區(qū)內(nèi)部使用的則是 私網(wǎng)IP。IP地址是動(dòng)態(tài)IP或靜態(tài)IP的選取原則如下：原則上服務(wù)器，特殊終端設(shè)備（打卡機(jī)，打印服務(wù)器，視訊終端設(shè)備等） 和生產(chǎn)設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動(dòng)態(tài)獲取，如辦公用PC、IP電話等。IPM址規(guī)劃原則IP地址規(guī)劃的原則唯一性一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。即使使用了支持地址重 疊的MPLS/VPN技術(shù)，也盡量不要規(guī)劃為相同的地址。連續(xù)性連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由 算法的效率。擴(kuò)展性地址分配在每一層次上都要留有

13、余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所 需的連續(xù)性。實(shí)意性“望址生意”，好的IP地址規(guī)劃使每個(gè)地址具有實(shí)際含義，看到一個(gè)地址就 可以大致判斷出該地址所屬的設(shè)備。園區(qū)IP地址基本分類Loopback 地址為了方便管理，會(huì)為每一臺(tái)路由器創(chuàng)建一個(gè)Loopback接口，并在該接口上 單獨(dú)指定一個(gè)IP地址作為管理地址。Loopback地址務(wù)必使用32位掩碼的地址。最后一位是奇數(shù)的表示路由器， 是偶數(shù)的表示交換機(jī)，越是核心的設(shè)備，Loopback地址越小?；ヂ?lián)地址互聯(lián)地址是指兩臺(tái)網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址，互聯(lián)地址務(wù)必使 用30位掩碼的地址。核心設(shè)備使用較小的一個(gè)地址，互聯(lián)地址通常要聚合后發(fā) 布，

14、在規(guī)劃時(shí)要充分考慮使用連續(xù)的可聚合地址。業(yè)務(wù)地址業(yè)務(wù)地址是連接在以太網(wǎng)上的各種服務(wù)器、主機(jī)所使用的地址以及網(wǎng)關(guān)的地 址，業(yè)務(wù)地址規(guī)劃時(shí)所有的網(wǎng)關(guān)地址統(tǒng)一使用相同的末位數(shù)字，如：.1都是表示 網(wǎng)關(guān)。園區(qū)網(wǎng)內(nèi)部的IP地址建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡(luò)通過NAT轉(zhuǎn)換成公網(wǎng)地址后接入公網(wǎng)。匯聚交換機(jī)下接入的網(wǎng)段可能有很多，在規(guī)劃的時(shí)候需要考慮路由是可以聚 合的，這樣可以減少核心網(wǎng)絡(luò)的路由數(shù)目。2.3.2. DHCP規(guī)劃建議隨著后期園區(qū)網(wǎng)中辦公網(wǎng)絡(luò)的逐漸擴(kuò)容，建議使用DHCP，每個(gè)DHCP網(wǎng)段 應(yīng)保留部分靜態(tài)IP供服務(wù)器等設(shè)備使用。DHCP園區(qū)部署基本架構(gòu)建議在園區(qū)數(shù)據(jù)中心或服務(wù)器區(qū)部署獨(dú)立的DHCP

15、 Server。在匯聚層網(wǎng)關(guān)部署DHCP Relay指向DHCP Server統(tǒng)一分配地址。DHCP園區(qū)內(nèi)一般通過VLAN分配地址，如有特殊要求，在接入交換機(jī) 部屬Option82，由接入交換機(jī)提供的Option82信息分配地址。DHCP部署基本原則固定IP地址段和動(dòng)態(tài)分配IP地址段保持連續(xù)。按照業(yè)務(wù)區(qū)域進(jìn)行DHCP地址的劃分，便于統(tǒng)一管理及問題定位。DHCP需要跨網(wǎng)段獲得IP地址時(shí)，啟動(dòng)DHCP Relay功能。啟動(dòng)DHCP安全功能，禁止非法DHCP Server的架設(shè)和非法用戶的接入。DNS規(guī)劃2.3.3.1. DNS服務(wù)器的角色劃分Master服務(wù)器：主服務(wù)器作為DNS的管理服務(wù)器，可以

16、增加、刪除、修改域名，修改的信息可 以同步到Slave服務(wù)器，一般部署1臺(tái)。Slave服務(wù)器：從服務(wù)器從Master服務(wù)器獲取域名信息，采用多臺(tái)服務(wù)器形成集群的方式，統(tǒng)一 對(duì)外提供DNS服務(wù)，一般采用基于硬件的負(fù)載均衡器提供服務(wù)器集群 的功能。一般部署2臺(tái)從服務(wù)器。Cache服務(wù)器：緩存服務(wù)器用于緩存內(nèi)部用戶的DNS請(qǐng)求結(jié)果，加快后續(xù)的訪問。一般部署在Slave 服務(wù)器上。2.3.3.2. DNS服務(wù)器的IP地址Master服務(wù)器：采用政法內(nèi)網(wǎng)地址。Slave服務(wù)器：分配政法私網(wǎng)地址，并在負(fù)載均衡器上分配一個(gè)虛擬的 企業(yè)內(nèi)網(wǎng)地址。Internet域名地址有兩種方案：一種是在防火墻上做NAT映射

17、，把Slave服務(wù)器的虛擬地址映射為一個(gè) 公網(wǎng)IP地址，用于外部Internet用戶的訪問。另一種是在鏈路負(fù)載均衡設(shè)備上通過智能DNS為外部Internet用戶提供 服務(wù)。2.4.可靠性規(guī)劃2.4.1.設(shè)備可靠性設(shè)備本身要具有電信級(jí)5個(gè)9的可靠性，需要網(wǎng)絡(luò)設(shè)備支持：AC電源1+1備份所有模塊支持熱插拔完善的告警功能單設(shè)備是通過部件的冗余設(shè)計(jì)來保證高可靠性。對(duì)于設(shè)備本身的節(jié)點(diǎn)故障， 一般通過網(wǎng)絡(luò)協(xié)議感知故障點(diǎn)后進(jìn)行動(dòng)態(tài)調(diào)整，實(shí)現(xiàn)流量的快速切換，提高可靠 性，但是切換的時(shí)間比較長(zhǎng)。華為支持框式交換機(jī)的集群CSS(Cluster Switch System)和盒式交換機(jī)的堆疊iStack技術(shù)，能夠把

18、多臺(tái)物理設(shè)備連接在一起，對(duì) 外表現(xiàn)為一臺(tái)邏輯設(shè)備，從功能和管理方面，都可以作為一臺(tái)設(shè)備來看待。單節(jié) 點(diǎn)物理設(shè)備的故障，邏輯設(shè)備能夠快速感知，并快速將流量切換到UP狀態(tài)的鏈 路上，減少丟包時(shí)間，具有更高的可靠性。2.4.2.網(wǎng)絡(luò)可靠性園區(qū)網(wǎng)絡(luò)可靠性設(shè)計(jì)方案園區(qū)網(wǎng)絡(luò)架構(gòu)為二層網(wǎng)絡(luò)結(jié)構(gòu)：接入層、核心層。接入交換機(jī)為二/三層交換 機(jī)，核心交換機(jī)作為用戶網(wǎng)關(guān)?？煽啃缘脑O(shè)計(jì)也應(yīng)該根據(jù)層次來設(shè)計(jì)。接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機(jī)與核心交換機(jī)之間通過SmartLink/STP/RSTP/MSTP /RRPP/SEP解決二層網(wǎng)絡(luò)環(huán)路問題，同時(shí)保證網(wǎng)絡(luò)可 靠性。匯聚交換機(jī)之間堆疊實(shí)現(xiàn)虛擬化，保證無單點(diǎn)故障可靠性。

19、或采用VRRP 虛擬網(wǎng)關(guān)，匯聚交換機(jī)間使用Trunk鏈路連接，保證鏈路可靠性。匯聚交換機(jī)與 接入交換機(jī)之間可通過DLDP協(xié)議檢測(cè)光纖單向故障（單通故障）。2.5.安全設(shè)計(jì)安全概述隨著企業(yè)網(wǎng)絡(luò)的應(yīng)用和發(fā)展，企業(yè)生產(chǎn)和經(jīng)營(yíng)活動(dòng)對(duì)于網(wǎng)絡(luò)的依賴性不斷增 強(qiáng)。但病毒、木馬、間諜軟件、網(wǎng)絡(luò)攻擊等各種信息安全威脅也在不斷增加。統(tǒng) 計(jì)表明，網(wǎng)絡(luò)安全已經(jīng)超過對(duì)網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的需求，成為企 業(yè)用戶最關(guān)心的問題，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為企業(yè)網(wǎng)建設(shè)的重點(diǎn)。在傳統(tǒng)的園區(qū)網(wǎng)絡(luò)建設(shè)中，一般認(rèn)為園區(qū)內(nèi)部是安全的，威脅主要來自外界。 在園區(qū)邊界上，一般使用防火墻、IDS/IPS作為安全設(shè)備。隨著安全挑戰(zhàn)的不斷

20、 升級(jí)，僅通過傳統(tǒng)的安全措施和獨(dú)立工作的形式進(jìn)行邊界防御已經(jīng)遠(yuǎn)遠(yuǎn)不夠了， 安全模型需要由被動(dòng)模式向主動(dòng)模式轉(zhuǎn)變，從根源一終端徹底解決網(wǎng)絡(luò)安全問題， 提高整個(gè)企業(yè)的信息安全水平。目前園區(qū)網(wǎng)絡(luò)安全一般從網(wǎng)絡(luò)監(jiān)管、邊界防御、接入安全及遠(yuǎn)程接入等方面 進(jìn)行考慮。接入安全主要指導(dǎo)園區(qū)內(nèi)的安全接入，包括終端安全接入控制，例如： 用戶隔離，端口隔離等；遠(yuǎn)程接入涉及分支機(jī)構(gòu)、出差人員對(duì)園區(qū)內(nèi)部的安全訪 問；邊界防御通過防火墻、IPS/IDS對(duì)園區(qū)出口，園區(qū)內(nèi)的各個(gè)組織單元之間進(jìn) 行有效防護(hù)和隔離。2.5.2.網(wǎng)絡(luò)安全規(guī)劃網(wǎng)絡(luò)的安全是園區(qū)網(wǎng)安全最基本的保證。這里主要從交換機(jī)的安全特性上的 使用來保證網(wǎng)絡(luò)的安全。

21、包括DHCP Snooping ARP防攻擊、MAC防攻擊、IP 源防攻擊等。這些安全特性工作于OSI模型的鏈路層，可在接入層交換機(jī)上部 署。DHCP SnoopingDHCP Snooping 是 DHCP (Dynamic Host Configuration Protocol)的一種安 全特性，通過截獲DHCP Client和DHCP Server之間的DHCP報(bào)文進(jìn)行分析處理， 可以過濾不信任的DHCP報(bào)文并建立和維護(hù)一個(gè)DHCP Snooping綁定表。該綁 定表包括MAC地址、IP地址、租約時(shí)間、綁定類型、VLANID、接口等信息。DHCP Snooping部署在二層設(shè)備上面，一般

22、部署在接入交換機(jī)上。如下圖所 示，匯聚交換機(jī)上配置DHCP Relay，在接入交換機(jī)上配置DHCP Snooping，其 中上行接口配置為Trust。DHCP服務(wù)器仿冒示意圖DHCP StiverDAI-ARP 欺騙動(dòng)態(tài)ARP檢測(cè)(Dynamic ARP Inspection)應(yīng)用在設(shè)備的二層接口上，利用 DHCP Snooping綁定表來防御ARP攻擊。當(dāng)設(shè)備收到ARP報(bào)文時(shí)，將此ARP 報(bào)文中的源IP、源MAC、端口、VLAN信息和DHCP Snooping綁定表的信息進(jìn) 行比較。如果信息匹配，說明是合法用戶，則允許此用戶的ARP報(bào)文通過；否 則，認(rèn)為是攻擊，丟棄該ARP報(bào)文。DAI-AR

23、P欺騙攻擊示意圖如上圖所示，交換機(jī)作為二層設(shè)備，用戶通過DHCP上線。用戶上線后， 設(shè)備會(huì)生成相應(yīng)的DHCP綁定表，綁定表包括用戶的源IP、源MAC、端口、VLAN 信息。當(dāng)用戶發(fā)送ARP報(bào)文時(shí)，設(shè)備查找此ARP信息是否和該用戶的綁定表匹 配，如果是相同的，則允許報(bào)文通過，否則丟棄該ARP報(bào)文。合法用戶存在綁 定表，其發(fā)送的ARP報(bào)文會(huì)被允許通過，而攻擊者發(fā)送虛假的ARP報(bào)文，無法 匹配到綁定表，報(bào)文被丟棄。ARP 限速ARP報(bào)文限速功能是指對(duì)上送CPU的ARP報(bào)文進(jìn)行限速，可以防止大量 ARP報(bào)文對(duì)CPU進(jìn)行沖擊。例如，在配置了 ARP Detection功能后，設(shè)備會(huì)將 收到的ARP報(bào)文重

24、定向到CPU進(jìn)行檢查，這樣引入了新的問題。如果攻擊者惡 意構(gòu)造大量ARP報(bào)文發(fā)往設(shè)備，會(huì)導(dǎo)致設(shè)備的CPU負(fù)擔(dān)過重，從而造成其他功 能無法正常運(yùn)行甚至設(shè)備癱瘓，這個(gè)時(shí)候可以啟用ARP報(bào)文限速功能來控制上 送CPU的ARP報(bào)文的速率。下圖給出了 ARP限速的示意圖。當(dāng)用戶發(fā)出ARP請(qǐng)求的速度在規(guī)定范圍內(nèi) 的時(shí)候，ARP請(qǐng)求報(bào)文可以正常上送，當(dāng)攻擊者以超過允許范圍的速度發(fā)出ARP 請(qǐng)求的時(shí)候，超過速度范圍的報(bào)文將被丟棄。ARP限速示意圖MAC 泛洪MAC泛洪攻擊是指攻擊主機(jī)通過程序偽造大量包含隨機(jī)源MAC地址的數(shù) 據(jù)幀發(fā)往交換機(jī)。有些攻擊程序一分鐘可以發(fā)出十幾萬條偽造源MAC地址的數(shù) 據(jù)幀，交換機(jī)根

25、據(jù)數(shù)據(jù)幀中的MAC地址進(jìn)行學(xué)習(xí)，但一般交換機(jī)的MAC地址 表容量也就幾千條，交換機(jī)的MAC地址表瞬間被偽造的MAC地址填滿，交換 機(jī)的MAC表填滿后，交換機(jī)再收到數(shù)據(jù)，不管是單播、廣播還是組播，交換機(jī) 都不再學(xué)習(xí)MAC地址，如果交換機(jī)在MAC地址表中找不到目的MAC地址對(duì) 應(yīng)的端口，交換機(jī)就像集線器一樣，向所有端口廣播數(shù)據(jù)，這樣就可能造成廣播 風(fēng)暴。在華為交換機(jī)上，可以通過對(duì)MAC學(xué)習(xí)限制及流量抑制的功能來防止MAC 泛洪攻擊。MAC學(xué)習(xí)限制是指限制MAC學(xué)習(xí)的數(shù)目。華為交換機(jī)支持在接口、VLAN、 槽位和VSI四個(gè)方面對(duì)MAC學(xué)習(xí)數(shù)目進(jìn)行限制。同時(shí)，華為交換機(jī)支持對(duì)未知 單播、廣播及組播流量

26、進(jìn)行速度限制。通過對(duì)MAC學(xué)習(xí)限制及流量抑制，可以 有效地防范MAC泛洪攻擊。下圖給出了 MAC泛洪攻擊的示意圖，圖中，假設(shè)攻擊者發(fā)出一個(gè)偽造目的 MAC的報(bào)文，交換機(jī)收到報(bào)文后發(fā)現(xiàn)找不到目的MAC就會(huì)向除接收端口的所 有端口發(fā)送此報(bào)文，導(dǎo)致此報(bào)文在廣播域內(nèi)廣播。如果攻擊者發(fā)送大量的報(bào)文， 就可能會(huì)造成網(wǎng)絡(luò)中斷或癱瘓。MAC泛洪攻擊示意圖IP Source GuardIP源地址防護(hù)能夠限制二層不信任端口的IP流量。它采取的方法是，通過 DHCP綁定表或手動(dòng)綁定的IP源地址來對(duì)IP流量實(shí)行過濾此特性可以阻止IP 地址欺騙攻擊，也就是主機(jī)通過把自己的源IP地址修改成其他主機(jī)的IP地址實(shí) 現(xiàn)的攻擊。

27、任何從不信任的端口入站的IP流量，只要其源地址與指定（DHCP Snooping或靜態(tài)綁定表）的IP地址不同，就會(huì)被過濾掉。IP源地址與防護(hù)特性需要在不信任的二層接口上和DHCP Snooping共同使 用。IP源地址防護(hù)會(huì)生成一個(gè)IP源地址綁定表，并且對(duì)這個(gè)列表進(jìn)行維護(hù)。這 個(gè)列表既可以通過DHCP學(xué)習(xí)到也可以手動(dòng)配置。列表中的每個(gè)條目都包括IP 地址及與這個(gè)IP地址所關(guān)聯(lián)的MAC地址及VLANID。IP Source Guard功 能示意圖如上圖所示，在接入交換機(jī)上使能IP Source Guard功能。此時(shí)，合法用戶 的IP地址、MAC地址及VLAN信息能滿足綁定表的信息，用戶能正常訪問

28、網(wǎng) 絡(luò)。而非法用戶發(fā)出的報(bào)文卻會(huì)在接口上被丟棄，進(jìn)而阻止了非法用戶危害網(wǎng)絡(luò) 安全。MFF 技術(shù)園區(qū)網(wǎng)絡(luò)中，通常使用MFF（MAC-Forced Forwarding）實(shí)現(xiàn)不同客戶端主 機(jī)之間的二層隔離和三層互通。MFF截獲用戶的ARP請(qǐng)求報(bào)文，通過ARP代 答機(jī)制，回復(fù)網(wǎng)關(guān)MAC地址的ARP應(yīng)答報(bào)文。通過這種方式，可以強(qiáng)制用戶 將所有流量（包括同一子網(wǎng)內(nèi)的流量）發(fā)送到網(wǎng)關(guān)，使網(wǎng)關(guān)可以監(jiān)控?cái)?shù)據(jù)流量， 防止用戶之間的惡意攻擊，能更好的保障網(wǎng)絡(luò)部署的安全性。MFF特性包括兩種接口角色：用戶接口MFF的用戶接口是指直接接入網(wǎng)絡(luò)終端用戶的接口。用戶接口上對(duì)于不同的報(bào)文處理如下：-允許協(xié)議報(bào)文通過。對(duì)于ARP和DHCP報(bào)文上送CPU進(jìn)行處理。-若已經(jīng)學(xué)習(xí)到網(wǎng)關(guān)MAC地址，則僅允許目的MAC地址為網(wǎng)關(guān) MAC地址的單播報(bào)文通過，其他報(bào)文都將被丟棄；若沒有學(xué)習(xí)到 網(wǎng)關(guān)MAC地址，目的MAC地址為網(wǎng)關(guān)MAC地址的單播報(bào)文也 被丟棄。組播數(shù)據(jù)和廣播報(bào)文都不允許通過。網(wǎng)絡(luò)接口MFF的網(wǎng)絡(luò)接口是指連接其他網(wǎng)絡(luò)設(shè)備（如：接入交換機(jī)、匯聚交 換機(jī)或網(wǎng)關(guān)）的接口。網(wǎng)絡(luò)接口上對(duì)于不同的報(bào)文處理如下：允許組播報(bào)文和DHCP報(bào)文通過。對(duì)于ARP報(bào)文則上送CPU進(jìn)行處理。其他廣播報(bào)