科學(xué)架設(shè)和優(yōu)化校園組網(wǎng)結(jié)構(gòu) 提升內(nèi)部網(wǎng)絡(luò)訪問和管

1、科學(xué)架設(shè)和優(yōu)化校園組網(wǎng)結(jié)構(gòu)提升內(nèi)部網(wǎng)絡(luò)訪問和管理水平,段運(yùn)生ysduan@ahu.edu.cn,用戶上網(wǎng)感知的影響因素,目錄,優(yōu)化校園網(wǎng)拓?fù)浜侠砼渲镁W(wǎng)絡(luò)設(shè)備建立完備的監(jiān)控體系,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),常見的拓?fù)鋯栴},1、核心交換與網(wǎng)絡(luò)末端設(shè)備間跳接過多的網(wǎng)絡(luò)設(shè)備；2、設(shè)備的性能和網(wǎng)絡(luò)拓?fù)鋵哟尾黄ヅ洌?、設(shè)備性能：端口速率、背板帶寬、包轉(zhuǎn)發(fā)率、吞吐量、最大連接數(shù),環(huán)形主干+鏈路捆綁,雙鏈路匯聚,目錄,優(yōu)化校園網(wǎng)拓?fù)浜侠砼渲镁W(wǎng)絡(luò)設(shè)備建

2、立完備的監(jiān)控體系,基于端口的VLAN,Host A和Host C屬于部門A，但是通過不同的設(shè)備接入公司網(wǎng)絡(luò)；Host B和Host D屬于部門B，也通過不同的設(shè)備接入校園網(wǎng)絡(luò)。為了通信的安全性，以及避免廣播報(bào)文泛濫，網(wǎng)絡(luò)中使用VLAN技術(shù)來隔離部門間的二層流量。其中部門A使用VLAN 100，部門B使用VLAN 200。,端口隔離,Site 1和Site 2是兩個(gè)部門，分別在VLAN 2和VLAN 3上承載業(yè)務(wù)，為了實(shí)現(xiàn)報(bào)文之間的隔離，

3、可以將不同的端口加入不同的VLAN，但會(huì)浪費(fèi)有限的VLAN資源。采用端口隔離特性，可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間數(shù)據(jù)的隔離。并接入Device A。Device A通過Ten-GigabitEthernet1/0/1端口與外部網(wǎng)絡(luò)相連。希望這兩個(gè)部門都可以通過Device A和外部網(wǎng)絡(luò)通信，但兩部門內(nèi)部的二層流量都互相隔離。,為了實(shí)現(xiàn)報(bào)文

4、之間的隔離，可以將不同的端口加入不同的VLAN，但會(huì)浪費(fèi)有限的VLAN資源。采用端口隔離特性，可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。用戶只需要將端口加入到隔離組中，就可以實(shí)現(xiàn)隔離組內(nèi)端口之間數(shù)據(jù)的隔離。,鏈路備份,在A設(shè)備上建立兩個(gè)互為備份的二層接口A1和A2，其中A1處于活動(dòng)狀態(tài)，A2處于阻塞狀態(tài)。此時(shí)，網(wǎng)絡(luò)中的業(yè)務(wù)流量路徑為藍(lán)色線條所表示。如果A1鏈接的Link1鏈路故障，那么A2立刻切換為非阻塞狀態(tài)。當(dāng)業(yè)務(wù)流量切換完成后，網(wǎng)絡(luò)中的

5、流量路徑為圖中的紅色線條表示。,環(huán)路預(yù)防,開啟生成樹協(xié)議，防止接入層交換機(jī)上發(fā)生環(huán)路；下聯(lián)口開啟BPDUGUARD，防止下聯(lián)普通交換機(jī)發(fā)生環(huán)路下聯(lián)口開啟Portfast（使交換機(jī)跳過偵聽學(xué)習(xí)狀態(tài)而進(jìn)入STP轉(zhuǎn)發(fā)狀態(tài)），設(shè)置連接PC的邊緣端口,二層鏈路聚合,鏈路聚合是將多個(gè)物理以太網(wǎng)端口聚合在一起形成一個(gè)邏輯上的聚合組，使用鏈路聚合服務(wù)的上層實(shí)體把同一聚合組內(nèi)的多條物理鏈路視為一條邏輯鏈路。鏈路聚合可以實(shí)現(xiàn)出/入負(fù)荷在聚合組中各個(gè)成

6、員端口之間分擔(dān)，以增加帶寬。同時(shí)，同一聚合組的各個(gè)成員端口之間彼此動(dòng)態(tài)備份，提高了連接可靠性。,二層鏈路聚合,1、Device A和Device B之間提供較大的鏈路帶寬來使相同VLAN內(nèi)的用戶互相通信。2、捆綁一起的鏈路形成相互動(dòng)態(tài)備份，提高數(shù)據(jù)傳輸?shù)目煽啃浴?1、由于上網(wǎng)終端不斷增加，要求接入層具有易管理能力和強(qiáng)擴(kuò)展能力，可以提供更多的端口來滿足PC的接入需求。2、由于接入層的流量增加，要求增強(qiáng)接入層到匯聚層的鏈路具有較高可靠性

7、，且可實(shí)現(xiàn)流量的負(fù)載分擔(dān)。,廣播風(fēng)暴抑制,DHCP協(xié)議,DHCP SNOOPING,根據(jù)項(xiàng)目組的規(guī)模，分配不同范圍的IP地址，為group1分配192.168.0.2～192.168.0.39之間的IP地址，為group2分配192.168.0.40～192.168.0.99之間的IP地址，為group3分配192.168.0.100～192.168.0.200之間的IP地址；保證客戶端從合法的服務(wù)器獲取IP地址；禁止用戶通過配置靜

8、態(tài)IP地址的方式接入網(wǎng)絡(luò)。,在多個(gè)DHCP Snooping設(shè)備級(jí)聯(lián)的網(wǎng)絡(luò)中，為了節(jié)省系統(tǒng)資源，不需要每臺(tái)DHCP Snooping設(shè)備都記錄所有DHCP客戶端的IP地址和MAC地址的綁定信息，只需在與客戶端直接相連的不信任端口上記錄綁定信息。間接與DHCP客戶端相連的不信任端口不需要記錄IP地址和MAC地址綁定信息，需要配置綁定關(guān)系的不信任端口。在DHCP Snooping設(shè)備上指向合法的DHCP服務(wù)器方向的端口需要設(shè)置為信任端口，

9、以便DHCP Snooping設(shè)備正常轉(zhuǎn)發(fā)DHCP服務(wù)器的應(yīng)答報(bào)文，保證DHCP客戶端能夠從合法的DHCP服務(wù)器獲取IP地址。,ARP報(bào)文泛洪攻擊,防止因惡意用戶對(duì)網(wǎng)關(guān)發(fā)送大量ARP請(qǐng)求/應(yīng)答報(bào)文，造成設(shè)備癱瘓，并導(dǎo)致其它用戶無法正常地訪問外部網(wǎng)絡(luò)；同時(shí)，對(duì)于正常的大量ARP請(qǐng)求/應(yīng)答報(bào)文仍然會(huì)進(jìn)行處理。配置源MAC固定ARP報(bào)文攻擊檢測(cè)的閾值配置源MAC固定的ARP防攻擊檢測(cè)表項(xiàng)的老化時(shí)間配置保護(hù)MAC,防止仿冒用戶、仿冒網(wǎng)關(guān)攻

10、擊典型,通過在接入交換機(jī)上全面部署ARP攻擊防御相關(guān)特性，形成保護(hù)屏障，過濾掉仿冒用戶、欺騙網(wǎng)關(guān)的攻擊報(bào)文。為防止仿冒用戶、欺騙網(wǎng)關(guān)等ARP攻擊形式，可以在接入交換機(jī)上配置ARP Detection功能，通過ARP Detection功能對(duì)ARP報(bào)文的有效性和用戶合法性進(jìn)行檢查，以達(dá)到防止仿冒用戶、欺騙網(wǎng)關(guān)的目的。根據(jù)組網(wǎng)情況，配置ARP Detection功能的用戶合法性檢查采用基于IP Source Guard靜態(tài)綁定表項(xiàng)的檢查

11、（針對(duì)需要配置靜態(tài)IP地址訪問網(wǎng)絡(luò)的主機(jī)）和DHCP Snooping安全表項(xiàng)的檢查（針對(duì)通過DHCP服務(wù)器動(dòng)態(tài)獲取IP地址的主機(jī)，并且需要在接入設(shè)備上開啟DHCP Snooping功能）。在配置ARP Detection功能后，為防止ARP泛洪攻擊對(duì)ARP Detection功能的影響，在Switch A和Switch B所有直接連接客戶端的端口上開啟ARP報(bào)文限速功能。,動(dòng)靜態(tài)綁定表項(xiàng),Host A的MAC地址為00-01-02-

12、03-04-05，IP地址通過手工配置，為192.168.0.1/24。Host B，Host C通過DHCP Server動(dòng)態(tài)獲取IP地址。Switch A上開啟DHCP Snooping功能，記錄客戶端的DHCP Snooping表項(xiàng)。Switch A的端口GigabitEthernet1/0/1上配置靜態(tài)綁定表項(xiàng)，只允許Host A發(fā)送的報(bào)文通過，在端口GigabitEthernet1/0/2，端口GigabitEthern

13、et1/0/3上開啟動(dòng)態(tài)綁定功能，防止客戶端使用偽造的不同源IP地址對(duì)服務(wù)器進(jìn)行攻擊。,在Switch A的端口GigabitEthernet1/0/1上為Host A創(chuàng)建靜態(tài)綁定表項(xiàng)。開啟Switch A的DHCP Snooping功能，并配置上行口為DHCP Snooping信任端口。 在Switch A的端口GigabitEthernet1/0/2，端口GigabitEthernet1/0/3上開啟IP Source

14、 Guard動(dòng)態(tài)綁定功能，利用IP Source Guard的動(dòng)態(tài)綁定功能防止客戶端使用偽造的不同源IP地址對(duì)服務(wù)器進(jìn)行攻擊。,動(dòng)靜態(tài)綁定表項(xiàng),基本路由功能,普通報(bào)文的轉(zhuǎn)發(fā)依據(jù)報(bào)文的目的地址查詢轉(zhuǎn)發(fā)表來實(shí)現(xiàn),策略路由功能,1、訪問網(wǎng)通的網(wǎng)絡(luò)走網(wǎng)通線路2、訪問其他網(wǎng)絡(luò)使用負(fù)載均衡的方式分別走兩條電信線路3、電信中斷后網(wǎng)通備份,單播反向路徑轉(zhuǎn)發(fā),在ISP網(wǎng)絡(luò)中存在DoS（Denial of Service）攻擊，導(dǎo)致網(wǎng)絡(luò)中的用戶無法正常

15、訪問，運(yùn)營(yíng)商希望能夠在出口設(shè)備上對(duì)報(bào)文的源IP地址進(jìn)行驗(yàn)證，阻止非法用戶用偽造的源IP地址進(jìn)行DoS攻擊。配置URPF功能，對(duì)用戶報(bào)文的源地址進(jìn)行反查。在ISP與用戶端，配置嚴(yán)格URPF。,防火墻,訪問控制配置,192.168.1.0/24、 192.168.2.0/24、 192.168.3.0/24分別屬于A、B、C三個(gè)部門。工作時(shí)間為每周工作日的8點(diǎn)到18點(diǎn)。 通過在安全域間實(shí)例上配置包過濾，允許A在任意時(shí)間、B在工

16、作時(shí)間訪問數(shù)據(jù)庫服務(wù)器，禁止其它部門在任何時(shí)間、B在非工作時(shí)間訪問該服務(wù)器。,連接數(shù)限制,192.168.0.0/24網(wǎng)段的每臺(tái)主機(jī)最多只能與外網(wǎng)建立100條連接，其他網(wǎng)段的主機(jī)不作限制。同一時(shí)刻DNS服務(wù)器只接受10000條查詢請(qǐng)求。同一時(shí)刻Web服務(wù)器只接受10000條連接請(qǐng)求。,攻擊檢測(cè)與防范（單包攻擊、掃描攻擊及泛洪攻擊）,為防范外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)主機(jī)的Smurf攻擊和掃描攻擊，需要在接口GigabitEthernet1/0

17、/2上開啟Smurf攻擊防范和掃描攻擊防范。具體要求為：低防范級(jí)別的掃描攻擊防范；將掃描攻擊者添加到黑名單中（老化時(shí)間為10分鐘）；檢測(cè)到Smurf攻擊或掃描攻擊后，輸出告警日志。為防范外部網(wǎng)絡(luò)對(duì)內(nèi)部服務(wù)器的SYN flood攻擊，需要在接口GigabitEthernet1/0/2上開啟SYN flood攻擊防范。具體要求為：當(dāng)設(shè)備監(jiān)測(cè)到向內(nèi)部服務(wù)器每秒發(fā)送的SYN報(bào)文數(shù)持續(xù)達(dá)到或超過5000時(shí)，輸出告警日志并丟棄攻擊報(bào)文。,網(wǎng)絡(luò)應(yīng)用

18、變遷帶來的挑戰(zhàn),帶寬限制,對(duì)三個(gè)網(wǎng)段的P2P流量分別限速7M、2M、1M，對(duì)流媒體總體限速20M，對(duì)其它流量總體限速70M。3種流量總帶寬共100Mbps。有需要時(shí)，在總體限流的基礎(chǔ)上對(duì)每個(gè)IP用戶進(jìn)行限速10kbps。,目錄,優(yōu)化校園網(wǎng)拓?fù)浜侠砼渲镁W(wǎng)絡(luò)設(shè)備建立完備的監(jiān)控體系,基于SNMP的監(jiān)測(cè)技術(shù),網(wǎng)絡(luò)設(shè)備監(jiān)控,1、端口的實(shí)時(shí)數(shù)據(jù)流量2、廣播風(fēng)暴：廣播包和非廣播包3、線路問題：錯(cuò)誤數(shù)據(jù)數(shù)量4、CPU5、溫度6、連接數(shù),