中南大學(xué)網(wǎng)絡(luò)工程課程設(shè)計報告VIP

中南大學(xué)網(wǎng)絡(luò)工程課程設(shè)計報告學(xué)生姓名代巍指導(dǎo)教師黃家林學(xué)院信息科學(xué)與工程學(xué)院專業(yè)班級信安1201班學(xué)號0909121615完成時間2015年1月2日

目錄REF_Ref408149963\r\h1REF_Ref408149963\h設(shè)計要求REF_Ref408150070\w\h2REF_Ref408150070\h網(wǎng)絡(luò)架構(gòu)結(jié)構(gòu)設(shè)計·······················設(shè)計總結(jié)····························PAGEREF_Ref408150195\h22參考文獻(xiàn)····························23

設(shè)計要求要在某校區(qū)的5棟建筑物中建立網(wǎng)絡(luò)環(huán)境，其中辦公樓與圖書館之間的距離為350米，圖書館與計算機(jī)機(jī)房之間的距離為600米，兩棟學(xué)生宿舍離辦公樓的距離為800米。網(wǎng)絡(luò)中心的機(jī)房設(shè)在圖書館，辦公樓設(shè)60個信息點（校辦7個，人事部門9個，財務(wù)部門20個，另外6個部門各4個），圖書館200個信息點，計算機(jī)機(jī)房400個信息點，建成后的網(wǎng)絡(luò)要接入互聯(lián)網(wǎng)。（1）畫出網(wǎng)絡(luò)的平面拓?fù)鋱D、所用的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備；（2）合理地劃分網(wǎng)絡(luò)（各部門單獨組網(wǎng)，每個信息點分配一個IP地址）和分配IP地址并寫出每個網(wǎng)絡(luò)的網(wǎng)絡(luò)號和廣播地址及網(wǎng)絡(luò)掩碼（均須用十進(jìn)制表示）；（3）對所選用的網(wǎng)絡(luò)技術(shù)、傳輸線路及介質(zhì)、網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備進(jìn)行說明及選用的理由；（4）試說明當(dāng)這個網(wǎng)絡(luò)的規(guī)模擴(kuò)大10倍或更多時，在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全方面會出現(xiàn)什么問題？應(yīng)該怎么解決？

網(wǎng)絡(luò)架構(gòu)結(jié)構(gòu)設(shè)計2.1網(wǎng)絡(luò)拓?fù)湓O(shè)計整體設(shè)計分為三層，分別是核心層，匯聚層，接入層，每層都用交換機(jī)設(shè)備進(jìn)行連接。最終完成從網(wǎng)絡(luò)中心到各個計算機(jī)終端的網(wǎng)絡(luò)連接。局域網(wǎng)采用星型網(wǎng)絡(luò)拓樸結(jié)構(gòu)，星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu)，它是以一臺核心交換機(jī)為主而構(gòu)成的網(wǎng)絡(luò)，其它交換機(jī)僅與該核心交換機(jī)之間有直接的物理鏈路，核心交換機(jī)VLAN隔離的方法為接入交換機(jī)服務(wù)，所有的數(shù)據(jù)必須經(jīng)過核心交換機(jī)。由于所有節(jié)點的往外傳輸都必須經(jīng)過核心交換機(jī)來處理，因此，對核心交換機(jī)的要求比較高。

優(yōu)點是網(wǎng)絡(luò)結(jié)構(gòu)簡單，易于維護(hù)，便于管理（集中式）；每臺入網(wǎng)機(jī)均需物理線路與處理機(jī)互連，線路利用率低；處理機(jī)負(fù)載重（需處理所有的服務(wù)），因為任何兩臺入網(wǎng)機(jī)之間交換信息，都必須通過核心交換機(jī)；入網(wǎng)主機(jī)故障不影響整個網(wǎng)絡(luò)的正常工作。對該網(wǎng)絡(luò)支持的設(shè)備生產(chǎn)廠商有較好的技術(shù)支持。局域網(wǎng)內(nèi)的所有工作節(jié)點通過，光纖，雙絞線與交換機(jī)相連形成一個星型網(wǎng)絡(luò)。局域網(wǎng)設(shè)備選用1個核心交換機(jī)，5個匯聚層交換機(jī)，以及ATM路由器和防火墻。由于各個建筑之間的距離較遠(yuǎn)，選用光纖連接對交換機(jī)節(jié)點進(jìn)行連接。2.2現(xiàn)狀分析對網(wǎng)絡(luò)各建筑的分析情況如圖所示如圖所示整個網(wǎng)絡(luò)分為學(xué)生公寓樓，行政辦公樓，圖書館，計算機(jī)樓。其中學(xué)生宿舍區(qū)（學(xué)生宿舍1，學(xué)生宿舍2），行政辦公區(qū)（校辦、人事處、財務(wù)處、其他處），圖書館（學(xué)生閱覽室、電子閱覽室、網(wǎng)絡(luò)中心、借書室），計算機(jī)教學(xué)區(qū)（計算機(jī)機(jī)房）2.3地址劃分2.3.1信息點分析表2-1子網(wǎng)的劃分表建筑功能分布信息點信息點合計距核心網(wǎng)絡(luò)的距離學(xué)生宿舍1棟200040001150m2棟2000計算機(jī)樓機(jī)房400400600m辦公樓校辦760350m人事處9財務(wù)處20其他24圖書館2002000m合計46602150m2.3.2子網(wǎng)需求劃分在全網(wǎng)可采用IP+MAC綁定方式，全網(wǎng)分布式采用ACL，并按照部門劃分VLAN，劃分相應(yīng)的權(quán)限，保證學(xué)生機(jī)房用機(jī)對教學(xué)辦公網(wǎng)沒有訪問權(quán)限，只能訪問校內(nèi)服務(wù)器及外網(wǎng)；IP分配：在辦公區(qū)采用靜態(tài)IP劃分，在學(xué)生區(qū)及移動性較大的辦公區(qū)可補(bǔ)充性采用DHCP動態(tài)獲得IP地址為了提高IP地址的使用效率，引入了子網(wǎng)的概念。將一個網(wǎng)絡(luò)劃分為子網(wǎng)：采用借位的方式，從主機(jī)位最高位開始借位變?yōu)樾碌淖泳W(wǎng)位，所剩余的部分則仍為主機(jī)位。這使得IP地址的結(jié)構(gòu)分為三級地址結(jié)構(gòu)：網(wǎng)絡(luò)位、子網(wǎng)位和主機(jī)位。這種層次結(jié)構(gòu)便于IP地址分配和管理。它的使用關(guān)鍵在于選擇合適的層次結(jié)構(gòu)--如何既能適應(yīng)各種現(xiàn)實的物理網(wǎng)絡(luò)規(guī)模，又能充分地利用IP地址空間。子網(wǎng)的劃分主要是根據(jù)子網(wǎng)掩碼來區(qū)分的，掩碼的作用就是用來告訴電腦把“大網(wǎng)”劃分為多少個“小網(wǎng)”，以及每個子網(wǎng)中的主機(jī)數(shù)目。如表2-2所示，子網(wǎng)的劃分。表2-2子網(wǎng)的劃分表序號子網(wǎng)名稱包含的信息點1學(xué)生宿舍子網(wǎng)學(xué)生宿舍區(qū)所有的計算機(jī)2計算機(jī)樓子網(wǎng)計算機(jī)機(jī)房所有的計算機(jī)3辦公樓子網(wǎng)辦公區(qū)所有的計算機(jī)4圖書館子網(wǎng)圖書館區(qū)所有的計算機(jī)5服務(wù)器群子網(wǎng)該區(qū)所有的計算機(jī)6無線網(wǎng)絡(luò)子網(wǎng)該區(qū)所有的計算機(jī)2.3.3學(xué)校VLAN需求劃分在校園網(wǎng)絡(luò)的整個網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN的劃分是非常重要的部分，很好的利用VLAN技術(shù)的功能，能起到事半功倍的效果，對整個網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點：VLAN劃分，可以避免廣播風(fēng)暴，在接入網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN是廣播只在子網(wǎng)中進(jìn)行，不會做無意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。VLAN劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會對其他的子網(wǎng)產(chǎn)生干擾。要進(jìn)行訪問，需要通過三層交換，這樣信息流就得到相當(dāng)好的控制。網(wǎng)絡(luò)管理系統(tǒng)采用完全獨立的IP子網(wǎng)和VLAN，實現(xiàn)更加安全的對所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。建立VLAN和IP子網(wǎng)的對應(yīng)關(guān)系。提高管理效率，實現(xiàn)虛擬的工作組，減少站點的移動和改變的開銷。VLAN間的子網(wǎng)訪問，可以在三層交換機(jī)上實現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實現(xiàn)，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)改造的實際情況，方案建議在核心網(wǎng)絡(luò)VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：1、方便管理。為了更好的進(jìn)行VLAN規(guī)劃的實施，因此在網(wǎng)絡(luò)實施前期，要對網(wǎng)絡(luò)中不同區(qū)域的VLAN設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化到接入層網(wǎng)絡(luò)，這樣在這樣大型的校園網(wǎng)絡(luò)中如果以用戶群體來劃分VLAN的話，避免由于前期配置設(shè)備時復(fù)雜煩瑣，而且由于相同的用戶群體可能在不同的物理位置，導(dǎo)致造成整個校園網(wǎng)絡(luò)中VLAN劃分復(fù)雜，減輕管理和后期維護(hù)。所以方案建議網(wǎng)絡(luò)劃分VLAN方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少廣播域，又達(dá)到劃分VLAN，方便管理的效果，對于后期網(wǎng)絡(luò)維護(hù)和升級具有十分現(xiàn)實的意義。2、易于實施。按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網(wǎng)絡(luò)中心整體規(guī)劃。3、VLAN間路由采用三層交換設(shè)備進(jìn)行VLAN路由。以便不同VLAN間進(jìn)行訪問，對于學(xué)校重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問的時候，建議采用專家級ACL（可同時基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、時間靈活組合限定的硬件ACL）來進(jìn)行訪問權(quán)限設(shè)定，保障重要資料不被非法訪問。物理/鏈路層配置遵循下面的原則：1.網(wǎng)絡(luò)設(shè)備互連的物理端口都應(yīng)該綁定端口的速率和全雙工模式；2.建議所有的Vlan都不要穿透核心層，所有的Vlan都將在匯聚層交換機(jī)上終結(jié)；3.本實施方案建議不要啟用STP生成樹協(xié)議，由于所有的Vlan都已在匯聚層交換機(jī)終結(jié)，在二層上并沒有環(huán)路存在，故無必要啟用；如果開啟基于每個Vlan的生成樹協(xié)議，廣播報文將會很多，影響核心交換機(jī)性能和網(wǎng)絡(luò)收斂時間；4.所有核心層和匯聚層交換機(jī)之間的互連端口均設(shè)置為Trunk模式，但目前只容許互連Vlan通過，以應(yīng)付將來有Vlan穿越核心層這種情況；5.匯聚層交換機(jī)和接入交換機(jī)之間的互連端口設(shè)置為Trunk模式表2-3vlan的劃分及IP的分配表序號子網(wǎng)名稱網(wǎng)段IP網(wǎng)關(guān)IP子網(wǎng)掩碼備注1學(xué)生宿舍子網(wǎng)172．16．0．0/16172．16．2．1Vlan22計算機(jī)樓子網(wǎng)172．17．0．0/16172．17．3．1Vlan33辦公樓子網(wǎng)192．168．4．0/24192．168．4．1Vlan44圖書館子網(wǎng)192．168．7．0/24192．168．7．1Vlan75服務(wù)器群子網(wǎng)172．18．0．0/16172．18．6．1Vlan66無線網(wǎng)絡(luò)子網(wǎng)192．168．5．0/24192．168．5．1Vlan5另外，IP地址分為公網(wǎng)地址和私網(wǎng)地址兩類，公有地址（Publicaddress）由InterNIC（InternetNetworkInformationCenter因特網(wǎng)信息中心）負(fù)責(zé)。這些IP地址分配給注冊并向InterNIC提出申請的組織機(jī)構(gòu)。通過它直接訪問因特網(wǎng)。ISP分配給學(xué)校的全局IP地址地址段為:--00/24.,私有地址（Privateaddress）屬于非注冊地址，專門為組織機(jī)構(gòu)內(nèi)部使用。以下列出留用的內(nèi)部私有地址A類--55B類--55C類--55

網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計3.1選用的網(wǎng)絡(luò)技術(shù)3.1.1VLAN虛擬局域網(wǎng)技術(shù)VLAN（VirtualLocalAreaNetwork）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網(wǎng)（LAN）在交換機(jī)上通過軟件劃分成若干個小的虛擬的局域網(wǎng)（VLAN）。因為交換機(jī)通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的MAC地址，以便在交換機(jī)內(nèi)部的MAC數(shù)據(jù)庫建立MAC地址表，而廣播不能跨越不同網(wǎng)段。VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點可知，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN除了能將網(wǎng)絡(luò)劃分為多個廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點之間的互相訪問。通過劃分VLAN子網(wǎng)，能劃小了廣播域，避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴(yán)重后果的可能，也避免了廣播風(fēng)暴的產(chǎn)生。提高交換網(wǎng)絡(luò)的交換效率，保證網(wǎng)絡(luò)穩(wěn)定。提高網(wǎng)絡(luò)安全性，通過劃分VLAN，LAN被劃分不同子網(wǎng)段，因此不能直接通信。必要的通信必須經(jīng)過路由來實現(xiàn)，因此可在路由器（或三層交換機(jī)）上配置訪問列表來進(jìn)行跨子網(wǎng)段的授權(quán)訪問，從而提高校園內(nèi)部網(wǎng)絡(luò)訪問的安全性。方便網(wǎng)絡(luò)管理：采用VLAN技術(shù)來劃分校園網(wǎng)絡(luò)，一個VLAN可以根據(jù)不同的院系、辦公室或者服務(wù)器組將不同地理位置的工作站劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在子網(wǎng)之間移動，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。VLAN技術(shù)很好的解決了網(wǎng)絡(luò)管理的問題，能實現(xiàn)網(wǎng)絡(luò)監(jiān)督與管理的自動化，從而更有效的進(jìn)行網(wǎng)絡(luò)監(jiān)控。如表2-3所示，該學(xué)校校園網(wǎng)絡(luò)Vlan的劃分及IP的分配。3.1.2千兆位以太網(wǎng)技術(shù)（Gigabit

Ethernet）

千兆位以太網(wǎng)技術(shù)以簡單的以太網(wǎng)技術(shù)為基礎(chǔ)，為網(wǎng)絡(luò)主干提供1Gbps的帶寬。千兆位以太網(wǎng)技術(shù)以自然的方法來升級現(xiàn)有的以太網(wǎng)絡(luò)、工作站、管理工具和管理人員的技能。千兆位以太網(wǎng)與其他速度相當(dāng)?shù)母咚倬W(wǎng)絡(luò)技術(shù)相比，價格低，同時比較簡單，例如保留以太網(wǎng)的幀格式、管理工具和對網(wǎng)絡(luò)概念上的認(rèn)識。

千兆以太網(wǎng)是相當(dāng)成功的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴(kuò)展?，F(xiàn)在千兆位以太網(wǎng)成熟的標(biāo)準(zhǔn)為IEEE

802.3z.千兆位以太網(wǎng)能夠提供更高的帶寬，并且成為有強(qiáng)大伸縮性的以太網(wǎng)家族的第三個成員。利用交換機(jī)或路由器可以與現(xiàn)有低速的以太網(wǎng)用戶和設(shè)備連接起來，因為千兆位以太網(wǎng)的幀格式和幀尺寸大小等都與所有以太網(wǎng)技術(shù)相同，不需要對網(wǎng)絡(luò)做任何改變。這種升級方法使得千兆位以太網(wǎng)相對于其他高速網(wǎng)絡(luò)技術(shù)而言，在經(jīng)濟(jì)和管理性能方面都是較好的選擇。

千兆以太網(wǎng)技術(shù)的優(yōu)點：

技術(shù)簡單，例如保留以太網(wǎng)的幀格式、管理工具和對網(wǎng)絡(luò)概念上的認(rèn)識.便于升級，從現(xiàn)有的傳統(tǒng)以太網(wǎng)和快速以太網(wǎng)可以平滑地過渡到千兆以太網(wǎng)，并不需要掌握新的配置、管理與排除故障技術(shù)；網(wǎng)絡(luò)投資可以得到保護(hù)，無需對用戶進(jìn)行再培訓(xùn)，也無需為額外的網(wǎng)絡(luò)協(xié)議進(jìn)行投資；千兆以太網(wǎng)有良好的互操作性，并具有向后兼容性;端口價格相對較低；可以提供10倍于快速以太網(wǎng)的傳輸速度。

綜上所述，在選擇網(wǎng)絡(luò)技術(shù)時應(yīng)該考慮如下：長遠(yuǎn)來看如何保護(hù)現(xiàn)有投資。保護(hù)現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡(luò)技術(shù)升級時還能使用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品。如同計算機(jī)的發(fā)展速度一樣，網(wǎng)絡(luò)技術(shù)的發(fā)展也是非常迅速的。如果在現(xiàn)有技術(shù)不能合理保證在將來網(wǎng)絡(luò)升級后還能夠使用，那么將會帶來極大的資金浪費。從目前的趨勢來看，采用千兆以太網(wǎng)技術(shù)是最適宜的3.1.3ATM——異步傳輸模式ATM(AsynchronousTransferMode）顧名思義就是異步傳輸模式，就是國際電信聯(lián)盟ITU-T制定的標(biāo)準(zhǔn)，實際上在80年代中期，人們就已經(jīng)開始進(jìn)行快速分組交換的實驗，建立了多種命名不相同的模型，歐洲重在圖象通信把相應(yīng)的技術(shù)稱為異步時分復(fù)用（ATD）美國重在高速數(shù)據(jù)通信把相應(yīng)的技術(shù)稱為快速分組交換（FPS），國際電聯(lián)經(jīng)過協(xié)調(diào)研究，于1988年正式命名為AsynchronousTransferMode(ATM)技術(shù)，推薦其為寬帶綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)B-ISDN的信息傳輸模式。ATM技術(shù)具有如下特點：1．實現(xiàn)網(wǎng)絡(luò)傳輸有連接服務(wù)，實現(xiàn)服務(wù)質(zhì)量保證（QoS）。2．交換吞吐量大、帶寬利用率高。3．具有靈活的組網(wǎng)拓?fù)浣Y(jié)構(gòu)和負(fù)載平衡能力，伸縮性、可靠性極高。4．ATM是現(xiàn)今唯一可同時應(yīng)用于局域網(wǎng)、廣域網(wǎng)兩種網(wǎng)絡(luò)應(yīng)用領(lǐng)域的網(wǎng)絡(luò)技術(shù)，它將局域網(wǎng)與廣域網(wǎng)技術(shù)統(tǒng)一。它的速率可達(dá)千兆位，即1000Mbps。使用ATM異步傳輸模式，能夠?qū)M足校園網(wǎng)設(shè)計中的各交換機(jī)之間的連接服務(wù)，有較大的吞吐量，能夠保證帶寬。將局域網(wǎng)中的傳輸速率達(dá)到1000Mbps。3.1.4網(wǎng)絡(luò)QoS設(shè)計為確保用戶各種關(guān)鍵業(yè)務(wù)的正常開展，必須采取全面而系統(tǒng)的QoS設(shè)計(提供端到端QoS服務(wù))，以保證重要的數(shù)據(jù)流在網(wǎng)絡(luò)發(fā)生擁塞時獲得有保證的吞吐量和最低的延時；為了保證端到端用戶的服務(wù)質(zhì)量，因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡(luò)設(shè)備都支持實施的QoS策略，核心設(shè)備是多個服務(wù)器接入的設(shè)備，并且擔(dān)負(fù)著全網(wǎng)數(shù)據(jù)的交換，QoS的能力影響著全網(wǎng)的服務(wù)質(zhì)量保障能力。使用的交換機(jī)支持豐富的QoS功能，能確保重要業(yè)務(wù)量不受延遲或丟棄，同時又充分利用現(xiàn)有的帶寬以保證網(wǎng)絡(luò)的高效運行。例如，將下載一個大型文件的任務(wù)設(shè)置到交換機(jī)一個端口，而在該交換機(jī)的另外一個端口進(jìn)行語音通信，為減少語音通信時延，保證通話質(zhì)量，可在整個網(wǎng)絡(luò)中對各種業(yè)務(wù)進(jìn)行分類和優(yōu)先級劃分。在校園網(wǎng)絡(luò)中，由于信息資源集中于網(wǎng)絡(luò)中心，為保證全網(wǎng)的QoS，要求資源中心核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)均支持第三層的QoS標(biāo)注方案，而二層的802.1P標(biāo)記對于這樣的網(wǎng)絡(luò)并沒有實際意義，因為802.1P的標(biāo)記不能在交換機(jī)之間傳遞，只能在本機(jī)上有用。多業(yè)務(wù)交換機(jī)支持基于基于DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng)，支持IPTOS、SP、WRR等完整的QoS策略，實現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯，另外提供靈活的端口隊列管理機(jī)制，端口多級擁塞設(shè)置;具備MAC流、IP流、應(yīng)用流、時間流等多層流分類和流控制能力，實現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供服務(wù)。通過從核心到接入設(shè)備全程對QoS的良好支持，全部硬件提供二到四層數(shù)據(jù)流交換，實現(xiàn)應(yīng)用感知的功能，給予多媒體辦公應(yīng)用提供透明的QoS保障，確保真正的端到端的QoS的實現(xiàn)。3.1.5NAT網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)。雖然NAT可以借助于某些代理服務(wù)器來實現(xiàn)，但考慮到運算成本和網(wǎng)絡(luò)性能，很多時候都是在路由器上來實現(xiàn)的。隨著接入Internet的計算機(jī)數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。事實上，除了中國教育和科研計算機(jī)網(wǎng)(CERNET)外，一般用戶幾乎申請不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺計算機(jī)的大型局域網(wǎng)用戶，當(dāng)他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本無法滿足網(wǎng)絡(luò)用戶的需求，于是也就產(chǎn)生了NAT技術(shù)。NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用OverLoad。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址對是不確定的，而是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進(jìn)行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機(jī)數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。端口多路復(fù)用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，PortAddressTranslation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。3.1.6ACL訪問控制訪問控制列表（AccessControlList，ACL）是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。信息點間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。ACL技術(shù)用在了核心交換機(jī)的SW0上面，不允許學(xué)生公寓區(qū)訪問行政區(qū)，其它的都可以。對信息的權(quán)限的控制，阻止了非授權(quán)用戶進(jìn)行的信息的瀏覽，修改甚至破壞。適當(dāng)?shù)乜刂茖eb和FTP內(nèi)容的訪問是安全運行Web服務(wù)器的關(guān)鍵。使用Windows和IIS中的安全功能，您可以有效地控制用戶訪問您Web和FTP內(nèi)容的方式?？梢钥刂贫嗉壴L問，從整個網(wǎng)站和FTP站點到單獨的文件。每個帳戶均被授予用戶特權(quán)和權(quán)限。用戶特權(quán)是指在計算機(jī)或網(wǎng)絡(luò)上執(zhí)行特定操作的權(quán)力。權(quán)限是與對象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對象的訪問權(quán)限。3.2傳輸線路及介質(zhì)3.2.1線路選擇建筑系統(tǒng)間的布線主要的就是對各主要建筑屋之間的連接，考慮的問題有多個方面：帶寬的需求，外部自然地形的匹配，外部環(huán)境的等。我們通過上面的需求分析，同時結(jié)合下面的對其他因數(shù)的比較，得出建筑物之間最好用1000MB/S的光纖進(jìn)行連接。根據(jù)各網(wǎng)絡(luò)內(nèi)各建筑的方位，可以得出布線線路。由圖書館網(wǎng)絡(luò)中心核心交換機(jī)分別連接到計算機(jī)樓，辦公樓的匯聚交換機(jī)，學(xué)生宿舍的交換機(jī)線路由辦公樓交換機(jī)引出。3.2.2傳輸介質(zhì)選擇由上表列出了千兆以太網(wǎng)現(xiàn)在支持的距離標(biāo)準(zhǔn)。我們可以選擇單模光纖。我們使用了波長為1300um的單模光纖，因為辦公樓與學(xué)生公寓的距離800m，以及圖書館至計算機(jī)樓的傳輸距離600m都超過了多模光纖的傳輸能力，同時單模光纖的傳輸距離在3000m以內(nèi)對信號衰減不會很明顯。單模信號的距離損失比多模的小，根據(jù)差分模式延遲的原理分析，單模光纖的光源為激光源，是沿纖芯階躍式傳播，由于多模光纖中玻璃介質(zhì)的缺陷，使得光束在來回折射的過程中造成能量的距大衰減。這經(jīng)分析我們選用1000BASE-LX波長為1300nm帶寬為160~200MHZ的單模光纖。3.3網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備選擇3.3.1交換機(jī)的選擇1.核心層交換機(jī)由于校園網(wǎng)絡(luò)規(guī)模較大，需提供多媒體辦公、圖書資料檢索、遠(yuǎn)程互聯(lián)、教育網(wǎng)資源共享等吞吐量較大的網(wǎng)絡(luò)應(yīng)用，為便于管理，選用的交換機(jī)作為網(wǎng)絡(luò)組建交換設(shè)備。選用1臺RG-S6800E交換機(jī)作為核心交換機(jī)實現(xiàn)1000M做主干100M到桌面的需求。RG-S6800E是銳捷網(wǎng)絡(luò)推出的基于NP+ASIC構(gòu)架的新一代多業(yè)務(wù)萬兆核心路由交換機(jī)，RG-S6800E在保障高性能大容量的基礎(chǔ)上提供強(qiáng)大的安全防護(hù)能力，并且擁有業(yè)務(wù)按需疊加擴(kuò)展能力，達(dá)到業(yè)務(wù)和性能并重的設(shè)計需求。目前提供10豎插槽設(shè)計和6橫插槽設(shè)計兩種主機(jī)：RG-S6810E和RG-S6806E。RG-S6800E系列多業(yè)務(wù)萬兆核心路由交換機(jī)提供2.4T/1.2T背板帶寬，并支持將來擴(kuò)展到4.8T/2.4T的能力，高達(dá)857Mpps/428Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的數(shù)據(jù)交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機(jī)配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點交換機(jī)的理想選擇。RG-S6800E交換機(jī)通過先進(jìn)的第三代高性能引擎可硬件支持策略路由、IPV6等協(xié)議，并可擴(kuò)展支持MPLS、loadbalancing、NAT、VPN、Firewall、IDS、webcacheredirect等豐富的業(yè)務(wù)功能，滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。2.匯聚層交換機(jī)匯聚層交換機(jī)也應(yīng)該采用具有路由功能的多層交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段的目的。為滿足辦公，計算機(jī)機(jī)房，學(xué)生宿舍等的需求。選用5臺RG-S5760系列

交換機(jī)作為匯聚層交換機(jī)RG-S5760系列是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全的全千兆智能機(jī)架式多層交換機(jī)，十分適合在企業(yè)網(wǎng)的接入層或者匯聚層使用。同時支持IPv4/IPv6雙棧，為IPv4網(wǎng)絡(luò)的建設(shè)、IPv4向IPv6網(wǎng)絡(luò)過渡、以及IPv6網(wǎng)絡(luò)的建設(shè)和通信提供了最直接和最方便靈活的技術(shù)實現(xiàn)和方案保障。

全千兆的端口形態(tài)，機(jī)身自帶4個復(fù)用的SFP千兆光纖接口，不僅滿足網(wǎng)絡(luò)的彈性擴(kuò)展，和高帶寬傳輸需要，也滿足網(wǎng)絡(luò)建設(shè)中不同傳輸介質(zhì)的連接需要。特別適合高帶寬、高性能和靈活擴(kuò)展的大型網(wǎng)絡(luò)匯聚層、中型網(wǎng)絡(luò)核心層、以及數(shù)據(jù)中心服務(wù)器群的接入使用。

硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換和功能特性，為IPv6網(wǎng)絡(luò)之間的通信提供了豐富的Tunnel技術(shù)，可靈活應(yīng)用于純IPv4網(wǎng)絡(luò)、純IPv6網(wǎng)絡(luò)、IPv4與IPv6共存的網(wǎng)絡(luò)，能充分滿足當(dāng)前園區(qū)網(wǎng)從IPv4向IPv6過渡的需要。

提供二到七層的智能的業(yè)務(wù)流分類、完善的服務(wù)質(zhì)量（QoS）保證和組播應(yīng)用管理特性。在提供高性能、多智能的同時，其內(nèi)在的安全防御機(jī)制和用戶接入管理能力，更可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入網(wǎng)絡(luò)，保證合法用戶合理地使用網(wǎng)絡(luò)資源，并可以根據(jù)網(wǎng)絡(luò)實際使用環(huán)境，實施靈活多樣的安全控制策略，充分保障了網(wǎng)絡(luò)安全、網(wǎng)絡(luò)合理化使用和運營。3.接入層交換機(jī)接入層交換機(jī)放置于樓層的設(shè)備間，用于終端用戶的接入。應(yīng)該能夠提供高密度的接入，對環(huán)境的適應(yīng)能力強(qiáng)，運行穩(wěn)定。統(tǒng)計了局域網(wǎng)內(nèi)各建筑物的樓層數(shù)量，決定選用30臺RG-S20交換機(jī)作為接入層交換機(jī)。產(chǎn)品概述RG-S20系列是全線速智能型增強(qiáng)網(wǎng)管交換機(jī)，具有特別豐富而強(qiáng)大的網(wǎng)管功能，在實現(xiàn)流量線速交換的同時，可以通過多重設(shè)置方式進(jìn)行網(wǎng)管操作，實現(xiàn)802.1QVLAN、保護(hù)端口、鏈路聚合、SpanningTree、端口監(jiān)控設(shè)置、靜態(tài)地址管理、廣播風(fēng)暴控制、端口動態(tài)MAC地址鎖、端口MAC地址綁定、端口IGMP屬性設(shè)置、802.1p優(yōu)先級等各種管理。RG-S20系列交換機(jī)在設(shè)置豐富的管理策略時，可針對用戶的不同使用情況進(jìn)行靈活的端口帶寬分配，并采用業(yè)界最先進(jìn)的802.1x安全接入控制策略，提供用戶接入安全保障。RG-S20系列交換機(jī)靈活的上鏈端口擴(kuò)展能力、端口帶寬分配、安全的用戶接入控制使該系列交換機(jī)特別適合于高校、中小學(xué)、金融網(wǎng)點、中小企業(yè)、政府、寬帶社區(qū)等多種應(yīng)用場合。3.3.2路由器的選擇考慮Internet出口路由器的配置。決定選用一臺銳捷RSR-08路由器。它是校園網(wǎng)對外的出口，也可以作為保護(hù)校園網(wǎng)的第一道防火墻。銳捷RSR-08路由器是高性能、通用的骨干匯聚路由器，具有高背板帶寬、高包轉(zhuǎn)發(fā)率、結(jié)構(gòu)緊湊、端口密度高等特點，并能提供全范圍的光纖和銅纜接口。RSR-08路由器具有強(qiáng)大的業(yè)務(wù)能力，可以滿足目前所有的城域匯聚和接入需求，提供多協(xié)議標(biāo)準(zhǔn)交換(MPLS)第2或3層隧道技術(shù)、動態(tài)帶寬控制和面向連接的數(shù)據(jù)收集體系。作為多協(xié)議標(biāo)記（MPLS）PE路由器，他們使提供商的基于MPLS的業(yè)務(wù)具有高度的可擴(kuò)展性和可靠性。通過使用VPLS，可以利用原有網(wǎng)絡(luò)和以太網(wǎng)基礎(chǔ)設(shè)施提供VOIP、互聯(lián)網(wǎng)接入、視頻以及多點虛擬專用網(wǎng)（VPN）等融合業(yè)務(wù)。銳捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太網(wǎng)，速率高達(dá)OC-48。部署在各種應(yīng)用中，RSR-08路由器可用于搭建骨干匯聚路由器和核心層網(wǎng)絡(luò)，為用戶提供綜合的、高性能、功能強(qiáng)大的服務(wù),并提供高可用性網(wǎng)絡(luò)所需的冗余支持3.3.3防火墻的選擇為了擴(kuò)展的需要，所以采用了RG-WALL1000。RG-WALL1000采用銳捷網(wǎng)絡(luò)獨創(chuàng)的分類算法（Classification

Algorithm）設(shè)計的新一代安全產(chǎn)品——第三類防火墻，支持?jǐn)U展的狀態(tài)檢測（Stateful

Inspection）技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時在啟用動態(tài)端口應(yīng)用程序(如VoIP,

H323等)時，可提供強(qiáng)有力的安全信道。

采用銳捷獨創(chuàng)的分類算法使得RG-WALL產(chǎn)品的高速性能不受策略數(shù)和會話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會影響網(wǎng)絡(luò)速度；同時，RG-WALL在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作，因此不會成為網(wǎng)絡(luò)流量的瓶頸。另外，RG-WALL具有入侵監(jiān)測功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測功能不會影響防火墻的性能。RG-WALL的主要功能包括：擴(kuò)展的狀態(tài)檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等）附加功能。3.3.4服務(wù)器的選擇華為FusionServerRH2288HV2-8國際先進(jìn)、國內(nèi)首創(chuàng)的一體化信息化平臺,嵌入式linux結(jié)構(gòu)、抗病毒、抗攻擊;主要功能:防火墻、VPN、上網(wǎng)行為管理、網(wǎng)站、郵件、郵件監(jiān)控、病毒垃圾郵件過濾、FTP、文件服務(wù)器、帶寬管理、負(fù)載均衡等多種功能,企業(yè)信息化性價比極高整體解決方案問題延伸4.1問題呈現(xiàn)：說明當(dāng)這個網(wǎng)絡(luò)的規(guī)模擴(kuò)大10倍或更多時，在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全方面會出現(xiàn)什么問題？應(yīng)該怎么解決？4.2問題分析及解決4.2.1網(wǎng)絡(luò)性能問題1.網(wǎng)絡(luò)規(guī)模擴(kuò)大，IP地址需求量增大解決方案：IP地址的統(tǒng)一、合理規(guī)劃以及整個網(wǎng)絡(luò)向IPv6的演進(jìn)是關(guān)系到整體分層網(wǎng)絡(luò)穩(wěn)定、快速收斂的關(guān)鍵，也是某職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)設(shè)計中的重要一環(huán)。IP地址規(guī)劃的好壞，不僅影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，更影響到網(wǎng)絡(luò)的性能和穩(wěn)定以及網(wǎng)絡(luò)的擴(kuò)展和管理，也必將直接影響到相關(guān)新業(yè)務(wù)的開拓和網(wǎng)絡(luò)應(yīng)用的進(jìn)一步可持續(xù)性發(fā)展。劃分時注意使用VLAN，充分節(jié)約IP地址，使路由交換機(jī)上能夠采用聚合進(jìn)行路由的合并，減少路由表的大小。出口到互聯(lián)網(wǎng)可以采用NAT防火墻上做地址轉(zhuǎn)換實現(xiàn)。校區(qū)內(nèi)接入到同一匯聚層交換機(jī)的區(qū)域建議采用連續(xù)IP地址段，以便做路由匯聚。IP地址的分配原則如下：（1）給三層交換機(jī)設(shè)備互連的點對點IP地址分配1個C類地址，提供足夠的擴(kuò)展性（2）考慮到以后的網(wǎng)絡(luò)擴(kuò)展規(guī)模，二層交換機(jī)設(shè)備的管理IP地址分配1個C類IP地址；（3）可以考慮為學(xué)校校園網(wǎng)分配若干個C類私有地址段。服務(wù)器集群和辦公樓的IP獲取方式為手動分配，其他的均為通過DHCP獲取。上網(wǎng)方式均采用NAT方式2.數(shù)據(jù)吞吐量過大，核心網(wǎng)帶寬匱乏。解決方案建立一條高速的、多能的、可靠的、易擴(kuò)展的主干網(wǎng)絡(luò)，解決目前存在的帶寬問題，適應(yīng)未來發(fā)展。如果網(wǎng)絡(luò)規(guī)模擴(kuò)大，可直接在主干網(wǎng)絡(luò)中添加核心交換機(jī)，而不用更換設(shè)備。對于校園網(wǎng)這種規(guī)模大、集成度高的網(wǎng)絡(luò)，我們建議采用Client/Server結(jié)構(gòu)模式，即將網(wǎng)絡(luò)結(jié)構(gòu)建立在各類信息分布處理和集中管理相結(jié)合的方式上；由于將數(shù)據(jù)處理工作放在各客戶機(jī)(Client)獨立處理，減輕了服務(wù)器（Server)的負(fù)擔(dān)，設(shè)備的性能可得到了良好的應(yīng)用，而且資源信息可以分布共享、集中管理，使得系統(tǒng)的可靠性、開放性不單單依賴服務(wù)器，互補(bǔ)性很強(qiáng)。這種結(jié)構(gòu)靈活性好，速度快，可靠性高，是當(dāng)今流行的網(wǎng)絡(luò)系統(tǒng)方案。3.由于缺乏帶寬限制和優(yōu)先級設(shè)置，對帶寬資源的大量占用導(dǎo)致科研等重要應(yīng)用無法進(jìn)行解決方案引入網(wǎng)絡(luò)管理監(jiān)控軟件，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級ACL、時間ACL、端口ARP報文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求?？伸`活控制二－七層數(shù)據(jù)報文，使得任何一個用戶PC上的任何一種應(yīng)用報文通過網(wǎng)絡(luò)都能得到有效控制，充分保障了網(wǎng)絡(luò)的安全和合理化使用。4.2.2網(wǎng)絡(luò)安全問題1.計算機(jī)病毒攻擊；解決方案：提供一套完整的校園網(wǎng)寬帶管理該方案，全面采用IEEE802.1X認(rèn)證功能，提供了一個融合防火墻、接入服務(wù)器、訪問控制、認(rèn)證、計費功能的強(qiáng)大系統(tǒng)，對學(xué)校存在的每個問題都能提供完全的應(yīng)對策略?？刂凭W(wǎng)絡(luò)病毒。統(tǒng)一對接入層交換機(jī)做動態(tài)下發(fā)安全策略，輕松有效的控制網(wǎng)絡(luò)病毒，使網(wǎng)絡(luò)保持暢通。在匯聚、核心交換設(shè)備設(shè)置由硬件實現(xiàn)ACL，對病毒進(jìn)行過濾，我們選用的匯聚、核心交換設(shè)備都支持SPOH，所以在使用ACL時將不會影響整個交換機(jī)的性能。抵御網(wǎng)絡(luò)攻擊。結(jié)合網(wǎng)絡(luò)攻擊的檢測系統(tǒng)，能夠抵御日益增多的內(nèi)部網(wǎng)絡(luò)攻擊，并且自動對用戶做出相應(yīng)的控制動作，保證網(wǎng)絡(luò)安全。安全認(rèn)證到桌面。采用六元素的自動綁定、靜態(tài)綁定、動態(tài)綁定相結(jié)合，可以確保用戶入網(wǎng)時身份唯一，并且避免了IP沖突。管理分級授權(quán)。不同職能的管理者使用同一套系統(tǒng)時可以得到不同的操作界面以及使用權(quán)限，避免了管理的安全隱患。2.拒絕服務(wù)攻擊（DenialofServiceAttack）解決方案：網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn)TCPSYN泛濫攻擊、Smurf攻擊等；網(wǎng)絡(luò)設(shè)備的防TCPSYN的方法主要是配置網(wǎng)絡(luò)設(shè)備TCPSYN臨界值，若多于這個臨界值，則丟棄多余的TCPSYN數(shù)據(jù)包；防Smurf攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā)ICMPecho請求(directedbroadcast)和設(shè)置ICMP包臨界值，避免成為一個Smurf攻擊的轉(zhuǎn)發(fā)者、受害者。正確配置路由器能夠有效防止DoS攻擊使用擴(kuò)展訪問列表，擴(kuò)展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型，也可以阻止DoS攻擊。Showipaccess-list命令能夠顯示每個擴(kuò)展訪問列表的匹配數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的類型，用戶就可以確定DoS攻擊的種類。如果網(wǎng)絡(luò)中出現(xiàn)了大量建立TCP連接的請求，這表明網(wǎng)絡(luò)受到了SYNFlood攻擊，這時用戶就可以改變訪問列表的配置，阻止DoS攻擊。使用QoS，使用服務(wù)質(zhì)量優(yōu)化(QoS)特征，如加權(quán)公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定制隊列(CQ)等，都可以有效阻止DoS攻擊。需要注意的是，不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如，WFQ對付PingFlood攻擊要比防止SYNFlood攻擊更有效，這是因為PingFlood通常會在WFQ中表現(xiàn)為一個單獨的傳輸隊列，而SYNFlood攻擊中的每一個數(shù)據(jù)包都會表現(xiàn)為一個單獨的數(shù)據(jù)流。此外，人們可以利用CAR來限制ICMP數(shù)據(jù)包流量的速度，防止Smurf攻擊，也可以用來限制SYN數(shù)據(jù)包的流量速度，防止SYNFlood攻擊。使用QoS防止DoS攻擊，需要用戶弄清楚QoS以及DoS攻擊的原理，這樣才能針對DoS攻擊的不同類型采取相應(yīng)的防范措施。使用單一地址逆向轉(zhuǎn)發(fā)，逆向轉(zhuǎn)發(fā)(RPF)是路由器的一個輸入功能，該功能用來檢查路由器接口所接收的每一個數(shù)據(jù)包。如果路由器接收到一個源IP地址為的數(shù)據(jù)包，但是CEF(CiscoExpressForwarding)路由表中沒有為該IP地址提供任何路由信息，路由器就會丟棄該數(shù)據(jù)包，因此逆向轉(zhuǎn)發(fā)能夠阻止Smurf攻擊和其他基于IP地址偽裝的攻擊。使用TCP攔截，在TCP連接請求到達(dá)目標(biāo)主機(jī)之前，TCP攔截通過攔截和驗證來阻止這種攻擊。TCP攔截可以在攔截和監(jiān)視兩種模式下工作。在攔截模式下，路由器攔截到達(dá)的TCP同步請求，并代表服務(wù)器建立與客戶機(jī)的連接，如果連接成功，則代表客戶機(jī)建立與服務(wù)器的連接，并將兩個連接進(jìn)行透明合并。在整個連接期間，路由器會一直攔截和發(fā)送數(shù)據(jù)包。對于非法的連接請求，路由器提供更為嚴(yán)格的對于half-open的超時限制，以防止自身的資源被SYN攻擊耗盡。在監(jiān)視模式下，路由器被動地觀察流經(jīng)路由器的連接請求，如果連接超過了所配置的建立時間，路由器就會關(guān)閉此連接。3.“黑客”的攻擊解決方案部署入侵檢測/保護(hù)系統(tǒng)，防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無法滿足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進(jìn)一