校園網絡需求分析方案案例分析

某校園網絡需求分析方案思科系統(tǒng)網絡技術

一．校園網概述及分析 4概述 41.2校園網建立的必要性 5應用特點 6二、校園網絡需求分析 6用戶需求分析 6校區(qū)網絡的設計目標: 7系統(tǒng)設計指導思想 8三、組網技術及產品選擇 9組網技術選擇 9網絡產品選型 10穩(wěn)定可靠的網絡 10高帶寬 10易擴展的網絡 113.2.4QoS保證 11平安性 11容易控制管理 113.2.7IPMulticast 11符合IP開展趨勢的網絡 12四、校園網網絡設計方案及分析 124.1網絡的分層設計原則 124.1.1核心層(CoreLayer) 124.1.2分布層(DistributionLayer) 134.1.3接入層(AccessLayer) 13校園網方案特性分析 13高性能的網絡設計 13集成的用戶管理功能 14靈活的網絡的可擴展性設計 14完善的QOS功能 15可靠的網絡平安設計 15方便的網絡管理和維護 16運營級的網絡高可靠性的設計 16系統(tǒng)平臺和應用系統(tǒng) 17系統(tǒng)平臺選擇 17采用WIN2003SERVER能建立的效勞器角色 17WEB效勞器 17五.思科公司校園網解決方案 21系統(tǒng)組成與拓撲構造 215.2VLAN及IP地址規(guī)劃 24六、綜合布線系統(tǒng) 256.1構造化布線設計的要求 25系統(tǒng)設計原則 26設計原則 26設計目標 26七、技術支持及售后效勞 267.1效勞內容 277.2設計效勞 277.3場地檢查 277.4系統(tǒng)安裝調試 277.5測試和驗收 287.6系統(tǒng)后期維護和支持 287.7客戶技術培訓 297.8設備保修與軟件升級 29校園網系統(tǒng)方案一．校園網概述及分析中國教育科研計算機網〔CERNET〕于1994年正式啟動以來，已與國內幾百所學校相連。為廣闊師生及科研人員提供了一個全新的網絡環(huán)境。1998年10月,中國教育科研網(CERNET)二期工程正式啟動,工程方案到2000年二期工程完成時,除到達連接1000所大學的目標外,對有條件的中小學也提供接入上網效勞。確實,隨著信息技術的飛速開展,中小學校園網的建立已經逐漸提到議事日程上來。但是我國目前大多數(shù)校園網上的應用還不豐富，與學校原有一些計算機業(yè)務系統(tǒng)還沒有充分發(fā)揮，應用水平的低下是對校園網資源的極大浪費。只有提高校園網上的應用水平，才能切實提高學校各項業(yè)務水平，適應信息時代的要求。因而，如何利用當前先進的計算機技術與校園網資源，實現(xiàn)學校各項業(yè)務系統(tǒng)的集成，提高應用水平將是學校校園網建立的下一個工作重點。當前由于網絡、數(shù)據(jù)庫及與之相關的應用技術不斷開展，尤其國際互聯(lián)網〔Internet〕和內部網〔Intranet〕技術的廣泛應用，世界正在邁入網絡中心計算〔NetworkCentricComputing〕時代。人們傳統(tǒng)的交互和工作模式正在改變。處在不同地理位置的人們可以共享數(shù)據(jù)，使用群件技術〔GroupWare〕進而能夠協(xié)同工作；多媒體數(shù)據(jù)的存儲、傳輸、應用技術的不斷成熟；以上這些計算機技術的開展對學校傳統(tǒng)的計算機業(yè)務系統(tǒng)產生影響，使用戶能更方便。更直觀的使用系統(tǒng)，也使系統(tǒng)的性能更完善、功能更強大。校園網建立的目標簡而言之是將校園內各種不同應用的信息資源通過高性能的網絡設備相互連接起來，形成校園園區(qū)內部的Intranet系統(tǒng)，對外通過路由設備接入廣域網。建立校園網對每個學校來說都不是一件容易的事情,都要經過周密的論證、慎重的決策和緊張的施工。當一堆設備變成網絡的時候,大局部學校的滿腔熱情也慢慢地冷卻凝固。校園網建成了,各種問題也不斷涌現(xiàn):設計目標根本無法實現(xiàn),沒有適宜的應用軟件,許多設想根本無法實施,后續(xù)的維護費用不堪承受等等。1.2校園網建立的必要性是否在學校采用最先進的信息和傳播技術是一個有決定性意義的問題,而且十分重要的是,學校應該處于影響整個社會深刻變革的中心地位。隨著計算機多媒體和網絡技術的不斷開展與普及，校園網信息系統(tǒng)的建立，是非常必要的，也是可行的。主要表現(xiàn)在：1)、當前校園網信息系統(tǒng)已經開展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學和協(xié)作工作的階段，開展對學校教育現(xiàn)代化的建立提出了越來越高的要求。2)、教育信息量的不斷增多,使各級各類學校、家庭和教育管理部門對教育信息計算機管理和教育信息效勞的要求越來越強烈。個人是否具有獲得信息和處理信息的能力對于能否成功進入職業(yè)界和融入社會及文化環(huán)境都是個決定性的因素,因此學校應該培養(yǎng)所有學生具有駕馭和掌握這種技術的能力。另一方面,信息技術在作為青少年教育工具的同時也向青少年提供了前所未有的時機。新技術提供的時機以及它們在教學方面具有的優(yōu)勢都是很多的,特別是計算機和多媒體系統(tǒng)的使用有助于個人化的道路,每個學生在個人的學習道路上都可以按照自己的速度開展。3)、我國各級教育研究部門、軟件開發(fā)單位、教學設備供給商和各級學校不斷開發(fā)提供了各種在網絡上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網絡環(huán)境。4)、現(xiàn)代教育改革的需要。在校園網中將計算機引入教學各個環(huán)節(jié)，從而引起了教學方法，教學手段，教學工具的重大革新。對提高教學質量，推動我國教育現(xiàn)代化的開展起著不可估量的作用。網絡又為學校的管理者和教師提供了獲取資源、協(xié)同工作的有效途徑。毫無疑問,校園網是學校提高管理水平、工作效率、改善教學質量的有力手段,是解決信息時代教育問題的根本工具。5)、隨著經濟開展，我國各級政府對教育的投入不斷加大；計算機技術的飛速開展，使相應產品價格不斷下降；同時人們的認識水平和經濟實力不斷提高。大量計算機進入學校和家庭，使得計算機用于教育信息管理和信息效勞是完全可行的。應用特點隨著現(xiàn)代化教學活動的開展和與國內外教學機構交往的增多，對通過Internet/Intranet網絡進展信息交流的需求越來越迫切，為促進教學、方便管理和進一步發(fā)揮學生的創(chuàng)造力，校園網絡建立成為現(xiàn)代教育機構的必然選擇。校園網大都屬于中小型系統(tǒng)，以園區(qū)局域網為主，一個根本的校園網具有以下的特點：高速的局域網連接校園網的核心為面向校園內部師生的網絡，因此園區(qū)局域網是該系統(tǒng)的建立重點，由于參與網絡應用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網絡的一項根本要求；信息構造多樣化校園網應用分為電子教學〔多媒體教室、電子圖書館等〕、辦公管理和遠程通訊〔遠程教學、互聯(lián)網接入〕三大局部內容：電子教學包含大量多媒體信息，辦公管理以數(shù)據(jù)庫為主，遠程通訊則多為WWW方式，因此數(shù)據(jù)成分復雜，不同類型數(shù)據(jù)對網絡傳輸有不同的質量需求；平安可靠校園網中同樣有大量關于教學和檔案管理的重要數(shù)據(jù)，不管是被損壞、喪失還是被竊取，都將帶來極大的損失；操作方便，易于管理校園網面向不同知識層次的教師、學生和辦公人員，應用和管理應簡便易行，界面友好，不宜太過專業(yè)化；經濟實用學校對網絡建立的投入有限，因此要求建成的網絡應經濟實用，具備很高的性能價格比。二、校園網絡需求分析設計一個網絡，首先要為用戶分析目前面臨的主要問題，確定用戶對網絡的真正需求，并在結合未來可能的開展要求的根底上選擇、設計適宜的網絡構造和網絡技術，提供用戶滿意的高質效勞。網絡在日常教學辦公環(huán)境中起著至關重要的作用，校園網的運作模式會帶來大量動態(tài)的www應用數(shù)據(jù)傳輸，會有相當一局部應用的主效勞器有高速接入網絡的需求〔目前為100/1000Mbps，今后可會更高〕。這就要求網絡有足夠的主干帶寬和擴展能力。同時，一些新的應用類型，如網絡教學、視頻直播/播送等，也對網絡提出了支持多點播送和寬帶高速接入的要求。除上述考慮外，還要注意到由于邏輯上業(yè)務網和管理網必須分開，所以建成后校園網應能提供多個網段的劃分和隔離，并能做到靈活改變配置，以適應教學辦公環(huán)境的調整和變化。中心機房到會聚層節(jié)點采用4兆光纖〔多模〕連接，會聚層到接入層采用百兆的五類線〔或者超五類〕連接。通?？紤]，建議數(shù)據(jù)信息點的接入用交換10/100Mbps自適應以太網端口接入，以便能較經濟的提供較高的帶寬。整個方案設計的目的是建立一個集數(shù)據(jù)傳輸和備份、多媒體應用、語音傳輸、OA應用和Internet訪問等于一體的高可靠、高性能的寬帶多媒體校園網。2.2校區(qū)網絡的設計目標:校區(qū)網絡建立的目標應該是：建成后的網絡能充分利用Internet、國家信息網、教育網、全國高校互聯(lián)網上的各種信息，實現(xiàn)資源共享，能夠為在此校區(qū)學習的學生提供豐富的多媒體教學手段，實現(xiàn)高質高效的教學目標。由此，我們認為，校園網網絡是一個典型的面向未來的網絡化、信息化、自動化的集娛樂、教學、辦公于一體的，具備多媒體綜合業(yè)務開展需求的園區(qū)網絡。系統(tǒng)總體設計將本著總體規(guī)劃、分布實施的原則，充分表達系統(tǒng)的技術先進性、高度的平安可靠性，同時具有良好的開放性、可擴展性。本著為學校校區(qū)著想，合理使用建立資金，使系統(tǒng)經濟可行。學校網絡應當實現(xiàn)如下功能：訪問互聯(lián)網絡訪問學校虛擬網絡校園網站建立遠程教育VOD點播網絡平安管理電子郵件和電子公告計算機輔助教學教師備課功能對外交流校園管理平臺信息資源庫建立校園網絡，本著少花錢辦大事的原則，充分利用有限的投資，在保證網絡先進性的前提下，選用性能價格比最好的設備，我們認為校園網建立應該遵循以下原則：●先進性以先進、成熟的網絡通信技術進展組網，支持數(shù)據(jù)、語音、視像等多媒體應用，用基于交換的技術替代傳統(tǒng)的基于路由的技術?！駱藴驶烷_放性網絡協(xié)議采用符合ISO及其他標準，如：IEEE、ITUT、ANSI等制定的協(xié)議，采用遵從國際和國家標準的網絡設備?！窨煽啃院涂捎眯赃x用高可靠的產品和技術，充分考慮系統(tǒng)在程序運行時的應變能力和容錯能力，確保整個系統(tǒng)的平安與可靠?！裨O備的兼容性選用符合國際開展潮流的國際標準的軟件技術，以便系統(tǒng)有可靠性強、可擴展和可升級等特點，保證今后可迅速采用計算機網絡開展出現(xiàn)的新技術，同時為現(xiàn)存不同的網絡設備、小型機、工作站、效勞器、和微機等設備提供入網和互連手段?！駥嵱眯院徒洕詮膶嵱眯院徒洕猿霭l(fā)，著眼于近期目標和長期的開展，選用先進的設備，進展最正確性能組合，利用有限的投資構造一個性能最正確的網絡系統(tǒng)?！衿桨残院捅Ｃ苄栽诮尤隝nternet的情況下，必須保證網上信息和各種應用系統(tǒng)的平安?！駭U展性和升級能力網絡設計應具有良好的擴展性和升級能力，選用具有良好升級能力和擴展性的設備。在以后對該網絡進展升級和擴展時，必須能保護現(xiàn)有投資。應支持多種網絡協(xié)議、多種高層協(xié)議和多媒體應用?！窬W絡的靈活性系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負載平衡等方面，配合交換機產品與路由器產品支持的最先進的虛擬網絡技術，整個網絡系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個網絡轉移到另一個網絡，可以跨越辦公室、辦公樓，而無需任何硬件的改變，以適應機構的變化。同時也可以通過平衡網絡的流量，以提高網絡的性能。三、組網技術及產品選擇在校園網校區(qū)網絡的建立中，主干網選擇何種網絡技術對網絡建立的成功與否起著決定性的作用。選擇適合校園網絡需求特點的主流網絡技術，不但能保證網絡的高性能，還能保證網絡的先進性和擴展性，能夠在未來向更新技術平滑過渡，保護用戶的投資。目前在局域網絡上應用最廣泛的技術有以太網、快速以太網、FDDI、TokenRing以及最新崛起的ATM〔異步傳輸模式〕、千兆以太網等。交換式以太網作為幾年前主干網組網的主要技術，現(xiàn)在主要被用于工作組級組網，使網絡交換到桌面工作站?？焖僖蕴W是一種非常成熟的組網技術，造價很低，性能價格比很高，可作為資金不很充裕的中小型單位組建Intranet網的首選技術?？焖僖蕴W技術現(xiàn)在被廣泛用于大型企業(yè)網的二級、三級網絡組網或直接連至桌面工作站。FDDI也是一種成熟的組網技術，但技術復雜、造價高，F(xiàn)DDI網絡難以向更先進的網絡技術升級，現(xiàn)在用FDDI組建主干網的情況已非常少見。ATM技術成熟而復雜，組網本錢高，是多媒體應用系統(tǒng)的理想網絡平臺。但是，網絡帶寬的實際利用率很低。在選擇校園校區(qū)網絡技術時應該考慮如下：1)、長遠來看如何保護現(xiàn)有投資。保護現(xiàn)有投資的有效途徑就是在將來網絡技術升級時還能使用現(xiàn)有的網絡技術和產品。如同計算機的開展速度一樣，網絡技術的開展也是非常迅速的。從目前的趨勢來看，采用快速以太網技術是最適宜的。在校園網網絡的建立中，主干網選擇何種網絡技術對網絡建立的成功與否起著決定性的作用。選擇校園網網絡需求特點的主流網絡技術，不但能保證網絡的高性能，還能保證網絡的先進性和擴展性，能夠在未來向更新技術平滑過渡，保護用戶的投資。根據(jù)我們對校園網網絡需求的分析并結合目前高速主干網絡技術的特點，我公司建議采用快速以太網技術做為校園網的主干網絡。校區(qū)網絡建立應該以應用為核心，在設計中充分考慮到教育管理和多媒體教學的要求，并且網絡技術上應該具有一定的先進性，同時還要為以后的擴展留有一定的空間。為此校園校區(qū)網絡網應該能到達以下要求：穩(wěn)定可靠的網絡只有運行穩(wěn)定的網絡才是可靠的網絡，而網絡的可靠運行取決于諸多因素，如網絡的設計，產品的可靠，而選擇一個具有運營此類網絡規(guī)模經歷的網絡合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網絡層的備份技術。高帶寬由于校園校區(qū)網絡網絡應用的特殊性,它對整個網絡系統(tǒng)的性能要求相對來說比擬高。其中，網絡速率要求主要的信息點100M交換到桌面，園區(qū)網中各終端間具有快速交換功能。為了支持數(shù)據(jù)、話音、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用最先進的網絡技術，以適應大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮未來的開展。為此應選用高帶寬的先進技術。易擴展的網絡系統(tǒng)要有可擴展性和可升級性。易擴展不僅僅指設備端口的擴展，還指網絡構造的易擴展性：即只有在網絡構造設計合理的情況下，新的網絡節(jié)點才能方便地參加已有網絡；網絡協(xié)議的易擴展：無論是選擇第三層網絡路由協(xié)議，還是規(guī)劃第二層虛擬網的劃分，都應注意其擴展能力。對于核心網絡設備，要求骨干交換機具備第三層交換能力，要求支持今后的視頻點播、電視會議的寬帶多媒體應用，并要求留有一定的擴大能力。QoS保證隨著網絡中多媒體的應用越來越多，這類應用對效勞質量的要求較高，本網絡系統(tǒng)應能保證QoS，以支持這類應用。 平安性網絡系統(tǒng)應具有良好的平安性，由于網絡連接園區(qū)內部所有用戶，平安管理十分重要。網絡具有防止及便于捕殺病毒功能。應支持VLAN的劃分，并能在VLAN之間進展第三層交換時進展有效的平安控制，以保證系統(tǒng)的平安性。校區(qū)網絡與校園網相連后具有“防火墻〞過濾功能，以防止網絡黑客入侵網絡系統(tǒng)?？蓪尤胍蛱鼐W的各網絡用戶進展權限控制。容易控制管理對于網絡管理，要求采用智能化網絡管理軟件，實現(xiàn)對網絡的自動監(jiān)測和控制。并支持虛擬網絡功能，對網絡用戶具有分類控制功能。IPMulticast由于校園校區(qū)網絡中包含許多多媒體應用通信，會存在許多的播送信息，占用大量的帶寬資源。所以網絡系統(tǒng)應能支持IPMulticast，可以減少網絡中不必要的播送，節(jié)省主干的帶寬。符合IP開展趨勢的網絡在當前任何一個提供效勞的網絡中，對IP的支持效勞是最普遍的，而IP技術本身又處在開展變化中，如IpV6，IPQoS，IPOverSONET等等新興的技術不斷出現(xiàn)，校園網絡必須跟緊IP開展的步伐，也就是必須選擇處于IP開展領導地位的網絡廠商。四、校園網網絡設計方案及分析4.1網絡的分層設計原則從邏輯上，校園從邏輯上，校園網絡可分為核心層、分布層和接入層，每層都有其特點。層次化設計的優(yōu)點可以總結為如下幾點：可擴展性：因為網絡可模塊化增長而不會遇到問題；簡單性：通過將網絡分成許多小單元，降低了網絡的整體復雜性，使故障排除更容易，能隔離播送風暴的傳播、防止路由循環(huán)等潛在的問題；設計的靈活性：使網絡容易升級到最新的技術，升級任意層次的網絡不會對其他層次造成影響，無需改變整個環(huán)境；可管理性：層次構造使單個設備的配置的復雜性大大降低，更易管理。核心層(CoreLayer)核心層為下兩層提供優(yōu)化的數(shù)據(jù)輸運功能，它是一個高速的交換骨干，其作用是盡可能快地交換數(shù)據(jù)包而不應卷入到具體的數(shù)據(jù)包的運算中(ACL，過濾等)，否則會降低數(shù)據(jù)包的交換速度。分布層(DistributionLayer)分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪問層的分界點，定義了網絡的邊界，對數(shù)據(jù)包進展復雜的運算。在園區(qū)網絡環(huán)境中，分布層主要提供如下功能：地址的聚集部門和工作組的接入播送域/多目傳輸域的定義InterVLAN路由任何介質的轉換平安控制接入層(AccessLayer)接入層的主要功能是為最終用戶提供對園區(qū)網絡訪問的途徑。本層也可以提供進一步的調整，如Access-listFiltering等。在園區(qū)網絡環(huán)境中，接入層主要提供如下功能：帶寬共享〔SharedBandwidth〕交換帶寬〔SwitchedBandwidth〕MAC層過濾〔MACLayerFiltering(possibly)〕微分網段〔Microsegmentation〕在廣域網環(huán)境中，接入層主要提供通過FrameRelay、ISDN、LeasedLine連入遠程節(jié)點。高性能的網絡設計設備的高性能：核心節(jié)點的交換機是整個校園網絡的核心，應當采用有多層交換功能的交換機。核心交換機應采用模塊化設計，有良好的擴展性能、多種接入模塊；具備增強的網絡傳輸能力，支持VLAN、RIP和OSPF協(xié)議、效勞質量〔QOS〕、IP組播、DHCP中繼和AAA認證等功能；支持通用的管理特性〔SNMP〕，能使用流行的網管軟件對它進展管理，如HPOpenView等。會聚層交換連接核心和接入層，應當采用帶VLAN和網管功能的中低檔交換機。會聚層交換機具有快速的級聯(lián)核心的以太端口以及高速堆疊模塊；帶VLAN子網劃分功能，能很好的管理接入層用戶；支持IEEE802.1Q、VTP、SNMP等協(xié)議。網絡的高性能設計：整個校園的建立可以采用全交換方式，100兆到每個接入層用戶。有效的子網劃分和流量控制使整個校園網絡能高速、平安的運行。集成的用戶管理功能 提供完善的用戶管理機制，實現(xiàn)全面的用戶認證、鑒權和計費(AAA)功能。用戶管理引擎實現(xiàn)了根據(jù)用戶MAC地址、VLANID和IP地址的綁定關系鑒別用戶的合法性的功能?？筛鶕?jù)用戶的權限，實現(xiàn)對用戶訪問資源的控制。 實現(xiàn)基于VLANID/MAC地址、接入模塊號和接入設備號的全程用戶唯一標識，便于用戶管理〔開戶、銷戶、欠費停機等〕和網絡故障維護。靈活的網絡的可擴展性設計網絡的擴展性對網絡業(yè)務的開展至關重要，它直接決定了校園網是否能夠在節(jié)約本錢的根底上跟上網絡技術的開展和滿足學校信息不斷增長的需要，一個擴展性差的網絡不僅為學校的投資造成了巨大的浪費，同時又無法滿足學校網絡業(yè)務不斷開展和信息的增長的需要，為了保證網絡能夠不斷的適應學校網絡業(yè)務今后開展的不斷需求，可以采用以下的措施來保證網絡的擴展性?！?〕所選擇的網絡設備應當具有良好的擴展性。選擇的網絡設備最好是模塊化的，便于網絡的擴大和更改，其中核心交換機應具有多種模塊類型，以滿足各種網絡類型的接入。會聚層交換機可以采用一款可堆疊的網管型以太網交換機，半/全雙工模式自適應，具有擴展槽，能使用多種可選模塊?！?〕所選擇的設備都具有良好的軟件再升級能力。我們所選擇的網絡設備都是可以通過軟件升級來不斷的滿足客戶的新的需求同時跟上網絡技術的開展。由于網絡的技術層出不窮，用戶的需求也不斷增加，現(xiàn)在是新的技術，再過一段時間就會落后了，為了保證用戶的網絡產品能夠跟上這一節(jié)奏，而不需要更換網絡設備，從而減少了用戶的投資。完善的QOS功能帶寬控制特性以太網是一種基于播送機制的共享型技術，任何一個位于以太網上的用戶均可以向網上發(fā)送信息，在以太網的技術中沒有具體帶寬控制的機理。網絡產品應提供對用戶帶寬控制的功能。帶寬控制通過對每一個用戶的上行帶寬與下行帶寬進展限制，保證對每個用戶的公平性，防止在共享型網絡構造中某一用戶長期惡意霸占帶寬而導致其他用戶無法享受效勞的現(xiàn)象。Qos控制特性隨著IP網絡規(guī)模的不斷擴大，網上的實時業(yè)務量也在不斷增長，同時網絡上的應用類型多種多樣，不同的應用對網絡的需求也有所不同。IP網絡中引入QoS技術，就是為了確保實時業(yè)務的通信質量，滿足各種業(yè)務對網絡資源的需求，使網上資源獲得最正確利用，降低本錢，改善對用戶的效勞?？煽康木W絡平安設計平安性是網絡設計要考慮的最重要的因素之一，設計中充分考慮了網絡的平安性，具體表達在以下幾個方面：(1)通過VLAN的劃分，限制了不同VLAN之間的互訪，從而保證了不同網絡之間不會發(fā)生未經授權的非法訪問。(2)在核心節(jié)點可提供基于地址的Access-list，以控制用戶對于關鍵資源的訪問。通過在會聚和核心交換機上設置VLAN路由以及訪問過濾，保證了在VLAN之間只有被允許的訪問才能發(fā)生，而未經授權的訪問都會被制止。(3)通過對上網的平安教育，提高平安意識，特別是增強計算機操作人員的密碼管理意識，以防止由于操作員密碼有意無意泄露給他人而造成的損失。(4)制定嚴格的平安制度，包括人員審查制度、崗位定職定責制度、使用計算機的權限制度以及防病毒制度，從制度上保證網絡平安性得以實現(xiàn)。(5可以對所有的重要事件進展Log，這樣方便網絡管理員進展故障查找；(6可以對所有的Telnet以及SNMP的訪問進展限制，從而最大程度地保證會聚層系統(tǒng)地平安。(7可以在接入層中通過限制MAC地址的訪問提高網絡平安。方便的網絡管理和維護〔1〕為了提高網絡管理能力設計中所有設備最好具有網管功能，不存在光纖收發(fā)器等類似不可網管設備，提高了網絡可靠性和可管理。〔2〕支持通用的網絡管理協(xié)議如〔SNMP〕，方便網絡的管理和維護?！?〕支持通用的的網絡管理軟件，如CiscoCiscoworks、HPOpenView、3ComTrensand。運營級的網絡高可靠性的設計可以從兩方面來考慮：關鍵設備的主要模塊和電源的冗余備分考慮在網絡設計中所涉及的所有主要設備，均采用高可靠設計的原則。核心關鍵部件的冗余備份：電源冗余、主控板冗余、模塊冗余等。網絡鏈路的冗余備分考慮系統(tǒng)平臺和應用系統(tǒng)系統(tǒng)平臺選擇系統(tǒng)平臺的建立主要包括：網絡操作系統(tǒng)、桌面平臺、數(shù)據(jù)庫、防火墻等的選擇。一般校園網絡，效勞器系統(tǒng)平臺可以選擇微軟WINDOWS2003SERVER操作系統(tǒng)的解決方案，提供域名效勞、WWW效勞、FTP效勞、E－mail效勞等。具有強大的網絡功能和可二次開發(fā)性。桌面操作系統(tǒng)比擬可以選擇XP和LINUX等平臺。采用WINdows2003SERVER建立FTP效勞器一般來說，用戶聯(lián)網的首要目的就是實現(xiàn)信息共享，文件傳輸是信息共享非常重要的一個內容之一。在校園內部信息交流是非常頻繁，所以有必要在網絡中使用WINdows2003SERVER架設起一個FTP效勞器。系統(tǒng)組成與拓撲構造校園網的建立主要是為了教學應用，而多媒體輔助教學和多媒體教室是教學應用的核心，在網絡建立時應考慮多媒體信息的特點，如信息量大，對時間延遲敏感等；在校園網中常會出現(xiàn)幾十個學生執(zhí)行一樣操作的現(xiàn)象，所以要考慮并發(fā)信息的控制；學生利用網絡做作業(yè)，教師要在家撥號訪問學校網絡，學籍管理信息在網上傳輸，所以也要考慮網絡的平安性，防止黑客破壞網絡，學生抄襲作業(yè)；校園網又是面向不同知識層次的教師、學生和辦公人員的工具，它幫助我們更好地提高教學水平、辦公效率和學習興趣，所以應用和管理應簡便易行，界面友好，不宜太專業(yè)化。考慮到春華學校的具體情況如性質、規(guī)模、財務等，這是一個相對小型的校園網絡，單一建筑內的網絡應用，思科公司提出以下校園網解決方案：方案特點如下：〔1〕支持多媒體應用，包括多媒體教室、電子閱覽室、多媒體教學；〔2〕高性能，全交換，滿足用戶需求；〔3〕管理簡單，瀏覽器方式無需專門培訓；〔4〕系統(tǒng)平安，保密性高；〔5〕ADSL連接方式，按需建立連接降低鏈路費用?！?〕互聯(lián)網接入，平安的廣域網訪問。方案拓撲構造如下：由圖可看出，網絡設備組成為：Catalyst2900交換機五臺Cisco850路由器一臺思科公司的cisco850路由器是這一網絡的核心設備，可降低擁有本錢，簡化遠程管理，提供結合CSU/DSU、復用器、調制解調器、語音/數(shù)據(jù)網關、ISDNNT1、防火墻、VPN、加密和壓縮設備的集成化網絡。Catalyst2900交換機它提供了24個10/100M自適應的快速以太網端口，。這是一個全交換的網絡，相對共享式集線器而言，交換機各端口擁有獨占的帶寬，能實現(xiàn)多路并行傳輸，不易發(fā)生沖突，能為多媒體信息提供更好的保障。考慮到Internet接入是校園網的開展趨勢，在這套解決方案中都用到了路由器來引入廣域網的遠程連接，這套方案中用到了思科公司的低端路由器Cisco850，它提供了對內的10/100M局域網接口和對外的ADSL連接，通過Internet實現(xiàn)遠程教學或教學演播等應用。傳輸穩(wěn)定，連接迅速。在實現(xiàn)根本數(shù)據(jù)傳遞的根底上，用戶可以根據(jù)自己的需要靈活選用上述網絡設備中的某些性能。如：路由器和交換機的組內播送功能可為多媒體信息的傳輸提供更高的效勞質量；而catalyst2900之間建立快速以太網通道，在全雙工模式下到達400M的高速級聯(lián)；此外，850路由器兼任了防火墻－－思科公司系列中、低端路由器都可以通過操作系統(tǒng)升級具備防火墻性能，在承當遠程連接的同時實施數(shù)據(jù)包檢驗和過濾，防止非法用戶侵入到內部局域網中－－對連接到Internet這一開放網絡的用戶來說，平安性是網絡設計中不容無視的一項重要因素。這套方案的好處是簡便易行，本錢很低，并且兼顧了教學、管理和通訊三方面應用。方案中所用到的產品都屬思科公司產品中的低端設備，在實現(xiàn)高性價比的桌面應用的同時又做到易于配置和管理：catalyst2900屬即插即用的設備，如果不添加特殊功能則不需任何配置，cisco850的設置和管理也十分方便，這樣用戶使用起來將得心應手，無后顧之憂。IP地址規(guī)劃建議在設計IP地址方案之前，應考慮以下幾個問題:1〕.是否將網絡用真實地址連入Internet。2〕.是否將網絡劃分為假設干子網以方便網絡管理。3〕.是采用靜態(tài)IP地址分配還是動態(tài)IP地址分配。4〕.每個子網現(xiàn)在規(guī)劃多少個信息點。5〕.每個子網將來會增加多少個信息點。通過Proxy或NAT方式使私有地址能夠訪問公網資源在申請的公網IP地址不能完全滿足每個信息點一個的情況下，可以采用公網地址與私網地址結合的方式。但是有時分配了私網地址的客戶端也要訪問Internet。針對這種情況，可以采用不同的技術使私有地址能夠訪問公網資源。通?？梢岳么硇?Proxy)和網絡地址轉換(NAT)這兩項技術。園區(qū)網分配IP地址方案，一個有效的IP地址規(guī)劃或IP地址方案就是在地址資源的效率性和管理的方便性之間找到最正確的平衡點。按行政隸屬劃分是指按信息節(jié)點的行政隸屬關系將用戶按校園各部門進展IP地址分配規(guī)劃。由于各部門之間在地域位置上并不一定集中，但需要統(tǒng)一管理，因此我們建議采用行政隸屬的方式劃分IP地址段。按樓宇規(guī)劃在傳統(tǒng)的網絡平臺上很難實現(xiàn)。主要是因為傳統(tǒng)的網絡平臺局限于設備的地理位置，無法跨地域進展靈活規(guī)劃。但現(xiàn)今的網絡平臺都支持虛擬網絡—VLAN技術。該技術避開了物理位置的缺陷，可以在邏輯上靈活組網。因此，IP網段規(guī)劃可以與VLAN的劃分相一致。規(guī)劃每個網段中的信息點數(shù)時，既要考慮到當前IP地址資源的充分利用性，又要預留出適當?shù)臄U展余地，因此如果采用私網地址分配IP，建議我們都采用的網絡，根據(jù)具體的部門情況再分為具體的子網。從經歷角度，通常一個IP網段也是一個獨立的VLAN，也就是一個獨立的播送域。一個網段內的信息節(jié)點數(shù)在40-200個時，性能和地址資源的最正確利用性較理想，并且將來可擴大到254個。寬帶接入用戶接入寬帶IP網的方式可以有多種形式：首先，用戶利用固定IP地址接入，則無需其它的認證過程，只需將用戶所連的交換機端口劃入某一特點VLAN即可；其次用戶通過PPP方式接入，即虛擬撥號方式，則需要一個專用的PPP終結設備終結PPP進程，通過對PPP進程的認證，可以確認用戶身份；用戶還可以利用DHCP獲得IP地址。另外交換機可以實現(xiàn)專用VLAN技術，可以通過配置選擇實現(xiàn)在同一VLAN內用戶是否可以互通，進展數(shù)據(jù)交換。根據(jù)溫州春華的教務和公務的情況，劃分以下兩個子網即可。表1-1春華學校網絡終端分布專業(yè)機房臺式PC機16臺萬博機房一臺式PC機16臺萬博機房二臺式PC機18臺教室一2臺〔臺式機1臺、筆記本1臺〕教室二2臺〔臺式機1臺、筆記本1臺〕教室三臺式PC機19臺多媒體教室2臺〔臺式機1臺、筆記本1臺〕辦公室10臺〔臺式機5臺、筆記本5臺〕校長室筆記本1臺學生會辦公室臺式PC機2臺咨詢室1臺式PC機1臺咨詢室2筆記本2臺前臺臺式PC機1臺表1-2IP子網劃分方案子網號IP網段默認網關說明CHJW68.1.1〔包括教室三清華萬博六班、萬博1機房等所有的教務場所〕CHGW68.〔包括校長室、辦公室等所有辦公場所〕校園網絡平安校園網絡承當著整個校園的通訊樞紐功能，連接著所有的應用效勞器和數(shù)據(jù)系統(tǒng)，任何網絡平安問題都會擾亂學校辦公、教務的正常運轉，給學校帶來不可彌補的損失。目前在局域網中遇到的問題主要有以下幾種：IP地址的管理問題，包括IP地址非法使用、IP地址沖突和IP地址欺騙利用ARP欺騙獲取賬號、密碼、信息，甚至惡意篡改信息內容、嫁禍他人問題木馬、蠕蟲病毒攻擊導致的信息失竊、網絡癱瘓問題攻擊或病毒源機器的快速定位、隔離問題IP的地址管理一直是長期困擾局域網平安穩(wěn)定運行的首要問題。在局域網上任何用戶使用未經授權的IP地址都應視為IP非法使用。由于終端用戶可以自由修改IP地址，從而產生了IP地址非法使用問題。改動后的IP地址在局域網中運行時可能出現(xiàn)以下情況。非法的IP地址即IP地址不在規(guī)劃的局域網范圍內重復的IP地址與已經分配且正在局域網運行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網冒用合法用戶的IP地址當合法用戶不在線時，冒用其IP地址聯(lián)網，使合法用戶的權益受到侵害無論是有意或無意地使用非法IP地址都可能會給企業(yè)帶來嚴重的后果，如重復的IP地址會干擾、破壞網絡效勞器和網絡設備的正常運行，甚至導致網絡的不穩(wěn)定，從而影響業(yè)務；擁有被非法使用的IP地址所擁有的特權，威脅網絡平安；利用欺騙性的IP地址進展網絡攻擊，如富有侵略性的TCPSYN洪泛攻擊來源于一個欺騙性的IP地址，它是利用TCP三次握手會話對效勞器進展顛覆的一種攻擊方式，一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。為了防止非法使用IP地址，增強網絡平安，最常見的方法是采用靜態(tài)的ARP命令捆綁IP地址和MAC地址，從而阻止非法用戶在不修改MAC地址的情況下冒用IP地址進展的訪問，同時借助交換機的端口平安即MAC地址綁定功能可以解決非法用戶修改MAC地址以適應靜態(tài)ARP表的問題。但這種方法由于要事先收集所有機器的MAC地址及相應的IP地址，然后還要通過人工輸入方法來建立IP地址和MAC地址的捆綁表，不僅工作量繁重，而且也難以維護和管理。另一個顯著的問題就是帶有攻擊特性的ARP欺騙。地址解析協(xié)議〔ARP，AddressResolutionProtocol〕最根本的功能是用來實現(xiàn)MAC地址和IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以MAC播送方式發(fā)送ARP請求，擁有此IP地址的工作站給予ARP應答，并附上自己的IP和MAC地址。ARP協(xié)議同時支持一種無請求ARP功能，局域網段上的所有工作站收到主動ARP，會將發(fā)送者的MAC地址和其宣布的IP地址保存，覆蓋以前的同一IP地址和對應的MAC地址。術語“ARP欺騙〞或者說“ARP中毒〞就是指利用主動ARP來誤導通信數(shù)據(jù)傳往一個惡意計算機的黑客技術，該計算機就能成為某個特定局域網網段上的兩臺終端工作站之間IP會話的“中間人〞了。如果黑客想探聽同一網絡中兩臺主機之間的通信〔即使是通過交換機相連〕，他會分別給這兩臺主機發(fā)送一個ARP應答包，讓兩臺主機都“誤〞認為對方的MAC地址是第三方黑客所在的主機，這樣，雙方看似“直接〞的通信連接，實際上都是通過黑客所在的主機間接進展的。黑客一方面得到了想要的通信內容，并可以通過工具破譯賬號、密碼、信息，另一方面，還可以惡意更改數(shù)據(jù)包中的一些信息。同時，這種ARP欺騙又極具隱蔽性，攻擊完成后再恢復現(xiàn)場，所以不易覺察、事后也難以追查，被攻擊者往往對此一無所知。病毒入侵問題也是所有客戶普遍關心的問題。這些病毒，可以在極短的時間內迅速感染大量系統(tǒng)，甚至造成網絡癱瘓和信息失竊，給客戶造成嚴重損失。木馬病毒往往會利用ARP的欺騙獲取賬號和密碼，而蠕蟲病毒也往往利用IP地址欺騙技術來掩蓋它們真實的源頭主機。例如“局域網終結者〞〔Win32.Hack.Arpkill〕病毒，通過偽造ARP包來欺騙網絡主機，使指定的主機網絡中斷，嚴重影響到網絡的運行。最后，令網絡管理員頭痛的問題是如何準確定位。當出現(xiàn)IP地址被非法使用、IP地址沖突，或網絡出現(xiàn)異常流量包括由于網絡掃描、病毒感染和網絡攻擊產生的流量，為了查找這些IP地址的機器，一般采用如下步驟：1.確定出現(xiàn)問題的IP地址。2.查看當前網絡設備的ARP表，從中獲得網卡的MAC地址。3.檢查交換機的MAC地址列表，確定機器位置。這個過程往往要花費大量的時間才能夠定位機器具體連接的物理端口，而對于偽造的源IP地址要查出是從哪臺機器產生的就更加困難了。如果不能及時對故障源準確地定位、迅速地隔離，將會導致嚴重的后果，即使在網絡恢復正常后隱患依然存在。5.3.2阻止來自網絡第二層攻擊的重要性以上所提到的攻擊和欺騙行為主要來自網絡的第二層。在網絡實際環(huán)境中，其來源可概括為兩個途徑：人為實施，病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網絡進展掃描和嗅探，獲取管理帳戶和相關密碼，在網絡上中安插木馬，從而進展進一步竊取機密文件。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺騙，同時還會帶來網絡流量加大、設備CPU利用率過高、二層生成樹環(huán)路、網絡癱瘓等現(xiàn)象。網絡第二層的攻擊是網絡平安攻擊者最容易實施，也是最不容易被發(fā)現(xiàn)的平安威脅，它的目標是讓網絡失效或者通過獲取諸如密碼這樣的敏感信息而危及網絡用戶的平安。因為任何一個合法用戶都能獲取一個以太網端口的訪問權限，這些用戶都有可能成為黑客，同時由于設計OSI模型的時候，允許不同通信層在相互不了解情況下也能進展工作，所以第二層的平安就變得至關重要。如果這一層受到黑客的攻擊，網絡平安將受到嚴重威脅，而且其他層之間的通信還會繼續(xù)進展，同時任何用戶都不會感覺到攻擊已經危及應用層的信息平安。所以，僅僅基于認證〔如IEEE802.1x〕和訪問控制列表〔ACL，AccessControlLists〕的平安措施是無法防止本文中提到的來自網絡第二層的平安攻擊。一個經過認證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。目前這類攻擊和欺騙工具已經非常成熟和易用。歸納前面提到的局域網目前普遍存在的平安問題，根據(jù)這些平安威脅的特征分析，這些攻擊都來自于網絡的第二層，主要包括以下幾種：MAC地址泛濫攻擊DHCP效勞器欺騙攻擊ARP欺騙CiscoCatalyst交換系列的創(chuàng)新特性針對這類攻擊提供了全面的解決方案，將發(fā)生在網絡第二層的攻擊阻止在通往內部網的第一入口處，主要基于下面的幾個關鍵的技術。PortSecurityDHCPSnoopingDynamicARPInspection(DAI)下面主要針對目前這些非常典型的二層攻擊和欺騙說明如何在思科交換機上組合運用和部署上述技術，從而防止在交換環(huán)境中的“中間人〞攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過上面技術的部署可以簡化地址管理，直接跟蹤用戶IP和對應的交換機端口，防止IP地址沖突。同時對于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。5.3.3MAC泛濫攻擊的原理和危害交換機主動學習客戶端的MAC地址，并建立和維護端口和MAC地址的對應表以此建立交換路徑，這個表就是通常我們所說的CAM表。CAM表的大小是固定的，不同的交換機的CAM表大小不同。MAC/CAM攻擊是指利用工具產生欺騙MAC，快速填滿CAM表，交換機CAM表被填滿。黑客發(fā)送大量帶有隨機源MAC地址的數(shù)據(jù)包，這些新MAC地址被交換機CAM學習，很快塞滿MAC地址表，這時新目的MAC地址的數(shù)據(jù)包就會播送到交換機所有端口，交換機就像共享HUB一樣工作，黑客可以用sniffer工具監(jiān)聽所有端口的流量。此類攻擊不僅造成平安性的破壞，同時大量的播送包降低了交換機的性能。當交換機的CAM表被填滿后，交換機以播送方式處理通過交換機的報文，這時攻擊者可以利用各種嗅探攻擊獲取網絡信息。更為嚴重的是，這種攻擊也會導致所有鄰接的交換機CAM表被填滿，流量以洪泛方式發(fā)送到所有交換機的所有含有此VLAN的接口，從而造成交換機負載過大、網絡緩慢和丟包甚至癱瘓。5.3.4MAC泛濫攻擊防范方法限制單個端口所連接MAC地址的數(shù)目可以有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊，macof可被網絡用戶用來產生隨機源MAC地址和隨機目的MAC地址的數(shù)據(jù)包，可以在不到10秒的時間內填滿交換機的CAM表。CiscoCatalyst交換機的端口平安〔PortSecurity〕和動態(tài)端口平安功能可被用來阻止MAC泛濫攻擊。例如交換機連接單臺工作站的端口，可以限制所學MAC地址數(shù)為1；連接IP和工作站的端口可限制所學MAC地址數(shù)為3：IP、工作站和IP內的交換機。通過端口平安功能，網絡管理員也可以靜態(tài)設置每個端口所允許連接的合法MAC地址，實現(xiàn)設備級的平安授權。動態(tài)端口平安則設置端口允許合法MAC地址的數(shù)目，并以一定時間內所學習到的地址作為合法MAC地址。通過配置PortSecurity可以控制：端口上最大可以通過的MAC地址數(shù)量端口上學習或通過哪些MAC地址對于超過規(guī)定數(shù)量的MAC處理進展違背處理端口上學習或通過哪些MAC地址，可以通過靜態(tài)手工定義，也可以在交換機自動學習。交換機動態(tài)學習端口MAC，直到指定的MAC地址數(shù)量，交換機關機后重新學習。目前較新的技術是StickyPortSecurity，交換機將學到的mac地址寫到端口配置中，交換機重啟后配置仍然存在。對于超過規(guī)定數(shù)量的MAC處理進展處理一般有三種方式〔針對交換機型號會有所不同〕：Shutdown：端口關閉。Protect：丟棄非法流量，不報警。Restrict：丟棄非法流量，報警。5.3.5DHCP欺騙攻擊的防范采用DHCP管理的常見問題采用DHCPserver可以自動為用戶設置網絡IP地址、掩碼、網關、DNS、WINS等網絡參數(shù)，簡化了用戶網絡設置，提高了管理效率。但在DHCP管理使用上也存在著一些另網管人員比擬問題，常見的有：DHCPserver的冒充。DHCPserver的DOS攻擊。有些用戶隨便指定地址，造成網絡地址沖突。由于DHCP的運作機制，通常效勞器和客戶端沒有認證機制，如果網絡上存在多臺DHCP效勞器將會給網絡照成混亂。由于不小心配置了DHCP效勞器引起的網絡混亂也非常常見。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP請求，直到DHCP效勞器對應網段的所有地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP效勞器欺詐結合將流量重指到意圖進展流量截取的惡意節(jié)點。DHCP效勞器欺詐可能是成心的，也可能是無意啟動DHCP效勞器功能，惡意用戶發(fā)放錯誤的IP地址、DNS效勞器信息或默認網關信息，以此來實現(xiàn)流量的截取。DHCPSnooping技術概述DHCPSnooping技術是DHCP平安特性，通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。

通過截取一個虛擬局域網內的DHCP信息，交換機可以在用戶和DHCP效勞器之間擔任就像小型平安防火墻這樣的角色，“DHCP監(jiān)聽〞功能基于動態(tài)地址分配建立了一個DHCP綁定表，并將該表存貯在交換機里。在沒有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個DHCP綁定條目包含客戶端地址〔一個靜態(tài)地址或者一個從DHCP效勞器上獲取的地址〕、客戶端MAC地址、端口、VLANID、租借時間、綁定類型〔靜態(tài)的或者動態(tài)的〕。根本防范為了防止這種類型的攻擊，CatalystDHCP偵聽〔DHCPSnooping〕功能可有效阻止此類攻擊，當翻開此功能，所有用戶端口除非特別設置，被認為不可信任端口，不應該作出任何DHCP響應，因此欺詐DHCP響應包被交換機阻斷，合法的DHCP效勞器端口或上連端口應被設置為信任端口。CatalystDHCP偵聽〔DHCPSnooping〕對于下邊介紹的其他阻止ARP欺騙和IP/MAC地址的欺騙是必需的。5.3.6ARP欺騙攻擊原理和處理方法ARP欺騙攻擊原理

從影響網絡連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。

第一種ARP欺騙的原理是——截獲網關數(shù)據(jù)。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進展，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了〞。

近期，一種新型的“ARP欺騙〞木馬病毒正在校園網中擴散，嚴重影響了校園網的正常運行。感染此木馬的計算機試圖通過“ARP欺騙〞手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用校園網時會突然掉線，過一段時間后又會恢復正常。比方客戶端狀態(tài)頻頻變紅，用戶頻繁斷網，IE瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。如果校園網是通過身份認證上網的，會突然出現(xiàn)可認證，但不能上網的現(xiàn)象〔無法ping通網關〕，重啟機器或在MS-DOS窗口下運行命令arp-d后，又可恢復上網。ARP欺騙木馬十分猖狂，危害也特別大，各大學校園網、小區(qū)網、公司網和網吧等局域網都出現(xiàn)了不同程度的災情，帶來了網絡大面積癱瘓的嚴重后果。ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓。檢查和處理“ARP欺騙〞木馬的方法

1．檢查本機的“ARP欺騙〞木馬染毒進程

同時按住鍵盤上的“CTRL〞和“ALT〞鍵再按“DEL〞鍵，選擇“任務管理器〞，點選“進程〞標簽。觀察其中是否有一個名為“MIR0.dat〞的進程。如果有，則說明已經中毒。右鍵點擊此進程后選擇“完畢進程〞。參見右圖。

2．檢查網內感染“ARP欺騙〞木馬染毒的計算機

在“開場〞-“程序〞-“附件〞菜單下調出“命令提示符〞。輸入并執(zhí)行以下命令：

ipconfig

記錄網關IP地址，即“DefaultGateway〞對應的值，例如“”。再輸入并執(zhí)行以下命令：

arp–a

在“InternetAddress〞下找到上步記錄的網關IP地址，記錄其對應的物理地址，即“PhysicalAddress〞值，例如“00-01-e8-1f-35-54”。在網絡正常時這就是網關的正確物理地址，在網絡受“ARP欺騙〞木馬影響而不正常時，它就是木馬所在計算機的網卡物理地址。

也可以掃描本子網內的全部IP地址，然后再查ARP表。如果有一個IP對應的物理地址與網關的一樣，則這個IP地址和物理地址就是中毒計算機的IP地址和網卡物理地址。

3．設置ARP表防止“ARP欺騙〞木馬影響的方法

本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網關IP地址和網關物理地址，然后在“命令提示符〞窗口中輸入并執(zhí)行以下命令：

arp–s網關IP網關物理地址

4.態(tài)ARP綁定網關

步驟一：

在能正常上網時，進入MS-DOS窗口，輸入命令：arp－a，查看網關的IP對應的正確MAC地址，并將其記錄下來。

注意：如果已經不能上網，則先運行一次命令arp－d將arp緩存中的內容刪空，計算機可暫時恢復上網〔攻擊如果不停頓的話〕。一旦能上網就立即將網絡斷掉〔禁用網卡或拔掉網線〕，再運行arp－a。

步驟二：

如果計算機已經有網關的正確MAC地址，在不能上網只需手工將網關IP和正確的MAC地址綁定，即可確保計算機不再被欺騙攻擊。

要想手工綁定，可在MS-DOS窗口下運行以下命令：

arp－s網關IP網關MAC

例如：假設計算機所處網段的網關為，本機地址為，在計算機上運行arp－a后輸出如下：

CocumentsandSettings>arp-a

Interface:0x2

InternetAddressPhysicalAddressType

00-01-02-03-04-05dynamic

其中，00-01-02-03-04-05就是網關對應的MAC地址，類型是動態(tài)〔dynamic〕的，因此是可被改變的。

被攻擊后，再用該命令查看，就會發(fā)現(xiàn)該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器，徹底鏟除攻擊，可以在此時將該MAC記錄下來，為以后查找該攻擊的機器做準備。

手工綁定的命令為：

arp－s00-01-02-03-04-05

綁定完，可再用arp－a查看arp緩存：

CocumentsandSettings>arp-a

Interface:0x2

InternetAddressPhysicalAddressType

00-01-02-03-04-05static

這時，類型變?yōu)殪o態(tài)〔static〕，就不會再受攻擊影響了。

但是，需要說明的是，手工綁定在計算機關機重啟后就會失效，需要再次重新綁定。所以，要徹底鏟除攻擊，只有找出網段內被病毒感染的計算機，把病毒殺掉，才算是真正解決問題。

5.作批處理文件

在客戶端做對網關的arp綁定，具體操作步驟如下：

步驟一：

查找本網段的網關地址，比方192．168．1．1，以下以此網關為例。在正常上網時，“開場→運行→cmd→確定〞，輸入：arp－a，點回車，查看網關對應的PhysicalAddress。

比方：網關對應00－01－02－03－04－05。

步驟二：

編寫一個批處理文件rarp.bat，內容如下：

@echooff

arp－d

arp-s00－01－02－03－04－05

保存為：rarp.bat。

步驟三：

運行批處理文件將這個批處理文件拖到“Windows→開場→程序→啟動〞中，如果需要立即生效，請運行此文件。

注意：以上配置需要在網絡正常時進展

6.使用平安工具軟件

及時下載AntiARPSniffer軟件保護本地計算機正常運行。具體使用方法可以在網上搜索。

如果已有病毒計算機的MAC地址，可使用NBTSCAN等軟件找出網段內與該MAC地址對應的IP，即感染病毒的計算機的IP地址，然后報告單位的網絡中心對其進展查封。

或者利用單位提供的集中網絡防病毒系統(tǒng)來統(tǒng)一查殺木馬。另外還可以利用木馬殺客等平安工具進展查殺。

7.應急方案

網絡管理管理人員利用上面介紹的ARP木馬檢測方法在局域網的交換機上查出受感染該病毒的端口后，立即關閉中病毒的端口，通過端口查出相應的用戶并通知其徹底查殺病毒。而后，做好單機防范，在其徹底查殺病毒后再開放相應的交換機端口，重新開通上網。在客戶終端上還必須要安裝些應用軟件來保證和維護校園辦公和教務的正常進展：1〕殺毒軟件360平安衛(wèi)士是國內最受歡送免費平安軟件，它擁有查殺流行木馬、清理惡評及系統(tǒng)插件，管理應用軟件，卡巴斯基殺毒，系統(tǒng)實時保護，修復系統(tǒng)漏洞等數(shù)個強勁功能，同時還提供系統(tǒng)全面診斷，彈出插件免疫，清理使用痕跡以及系統(tǒng)復原等特定輔助功能，并且提供對系統(tǒng)的全面診斷報告，方便用戶及時定位問題所在，真正為每一位用戶提供全方位系統(tǒng)平安保護。2〕系統(tǒng)備份軟件NortonGhost是應用最廣泛的克隆(復制)工具軟件。它首先將已有的硬盤創(chuàng)立映像，隨后將其自動克隆到任意數(shù)量的機器上。它可以在克隆過程中自動分區(qū)并格式化目的磁盤，而無需任何準備工作?？梢哉f，NortonGhost是安裝、升級、維護計算機系統(tǒng)的最正確軟件。3〕系統(tǒng)破密 PasswareKit是世界著名的密碼恢復工具合集，幾乎可以破解當今所有文件的密碼，功能強大，不管是遺忘的Office、Windows、Zip、RAR壓縮文件密碼它都能幫您統(tǒng)統(tǒng)找回來！。

PasswareKitV7.7企業(yè)版包含超過32個密碼恢復工具，支持Excel,Access,Outlook,Word,WinZip,Windows2000,WindowsXP,WindowsNT,AcrobatWordPerfect,LotusNotes,QuickenQuickBooks,QuattroPro,InternetExplorer,OutlookExpress,ACT,1-2-3,Paradox等，該版本加強了對WindowsXP/2000/NT，QuickBooks和InternetExplorer密碼的恢復功能。4〕辦公軟件office2003—最流行的最實用的文字處理軟件的最新版本—經過多年的客戶體驗和反應提供創(chuàng)新,您可以利用這些創(chuàng)新創(chuàng)立出外觀給人留下深刻印象的文件。提高你的辦事能力，為你的工作帶來方便提高的辦公效率5〕圖形處理軟件〔適合于平面設計班〕CorelDraw9.0很實用的圖形處理軟件。

設計繪畫CorelDraw是一個繪圖與排版的軟件，它廣泛地應用于商標設計、標志制作、模型繪制、插圖描畫、排版及分色輸出等諸多領域。作為一個強大的繪圖軟件，它被喜愛的程度可用下面的事實說明：用作商業(yè)設計和美術設計的PC機幾乎都安裝了CorelDraw！

CorelDraw是基于矢量圖的軟件色。它的功能可大致分為兩大類：繪圖與排版。

CorelDraw界面設計有好，操作精微細致。它提供了設計者一整套的繪圖工具包括圓形、矩形、多邊形、方格、螺旋線，并配合塑形工具，對各種根本以作出更多的變化，如圓角矩形，弧、扇形、星形等。同時也提供了特殊筆刷如壓力筆、書寫筆、噴灑器等，以便充分地利用電腦處理信息量大，隨機控制能力高的特點。

為便于設計需要，CorelDraw提供了一整套的圖形準確定位和變形控制方案。這給商標、標志等需要準確尺寸的設計帶來極大的便利。

顏色是美術設計的視覺傳達重點；CorelDraw的實色填充提供了各種模式的調色方案以及專色的應用、漸變、位圖、底紋的填充，顏色變化與操作方式更是別的軟件都不能及的。而CorelDraw的顏色匹管理方案讓顯示、打印和印刷到達顏色的一致。

CorelDraw的文字處理與圖象的輸出輸入構成了排版功能。文字處理是迄今所有軟件最為優(yōu)秀的。其支持了大局部圖象格式的輸入與輸出。幾乎與其他軟件可暢行無阻地交換共享文件。所以大局部與用PC機作美術設計的都直接在CorelDraw中排版，然后分色輸出。

CorelDraw9.0較以前的版本增加了噴灑器等工具，更主要的是加強了pdf網絡格式支持及顏色管理。對很多的功能作了深化處理使其更能適應現(xiàn)代美術設計的需要。ImageReadyCS是Adobe公司開發(fā)的另一款軟件產品，它可以用來制作適用于網絡的圖像。不過到目前為止，該軟件還是被作為一個單獨的軟件在銷售，這在工作效率方面實在是一個令人頭疼的瓶頸。

功能

Photos