胶南高职校校园网建设方案

《胶南高职校校园网建设方案》由会员分享，可在线阅读，更多相关《胶南高职校校园网建设方案（18页珍藏版）》请在装配图网上搜索。

1、胶南高职校校园网建设方案一、总体方案描述在本方案中采用了“自顶向下”的设计思想。自顶向下的设计方法适用于从OSI参考模型的高层开始再向较低的层次推进的网络设计，它着重于在选择运行于较低层次上的路由器、交换机和介质之前，将重点放在应用、会话、数据的传输上。 “好的网络设计必需清楚师生的需求，蕴涵着许多商业和技术的目标，包括可用性、可伸缩性、可购买性、安全性和可管理性等。”所以在设计网络系统的时候，站在师生的角度考虑问题，以满足学校的应用需求和技术需求为指南。本网络系统是一个大端口密度网络系统，是一个要求带宽较高、要求很高的安全性、支持用户数和应用种类较多的网络。在网络设计中采用先进的万兆位以太网

2、和模块化交换设备作为骨干网络，同时考虑网络核心设备支持IPv6，满足未来升级需求。其总体架构为10G以太网骨干，在网络的汇聚层节点核心节点，设计采用模块化结构万兆位以太网路由交换机，并使用千兆位以太网连接接入层交换机和应用服务器，网络用户使用10/100M交换到桌面的连接；在整个网络中可以根据实际需求划分VLAN，在网络中心的主干结点支持VLAN之间的线速路由。（一）网络设计说明根据学校网络状况，规划如下： 学校校园网网络如图所示。网络架构呈星型：网络出口区域放置一台高性能多核安全网关，替换原RG-NBR2500路由器，防火墙采用多核MIPS总线架构，不仅可提供整网NAT转换，而且还可支持AV

3、、IPS、URL、APP特征库等功能，确保校园内部数据的安全，同时，经校区间互联专线实现校本部与西校区的互连。数据核心区域，采用神州数码DCRS-6804E高性能核心交换机与原RG-7604交换机做双机热备，既保护了前期的投资，又提高了网络接入的安全性和稳定性，两台核心互为备份，有效保障内部数据业务7*24小时不间断工作，校区内各楼层接入交换机通过千兆多模光纤双线路上联至核心交换机，同样实现了链路的双规双活，使得内部网络架构更加健壮。接入交换机全部采用二层全千兆交换机，通过QOS、ACL等策略提升网络安全，千兆的用户接入速率，有效保障了数字化校园网业务的稳定运行。考虑到数字化校园的特点，在教学

4、楼和实训楼内部署无线AP设备，覆盖两座楼宇内的全部区域，方便教职工和校领导无线上网，使得网络接入方式更加灵活、方便。同时满足教职工移动办公的需求。在数据中心机房内，同时配置一台无线控制器，对网内所有AP进行统一管理、统一策略下发，无线AC设备本身还具备对无线AP的自动调节功能，例如：AP信道自动调整、AP自身信号功率补偿等功能，在方便了管理人员对AP管理的同时，又充分提供了一个安全、稳定、便捷的无线办公环境。另外，考虑到对内部网络用户的上网行为管理的需求，配置一台上网行为管理系统，为网络管理人员提供网络纠察依据。（二）网络数据交换区(核心层、接入层)说明校园网中心新增一台性能稳定的4插槽万兆I

5、Pv6核心交换机DCRS-6804E，此设备可进行高性能数据交互作业，运行稳定，可达到电信级别的处理能力和运行能力，有效确保骨干系统的稳定可靠。核心交换机DCRS-6804E配置双电源双引擎，保证网络主干的稳定和可靠性，并且配置千兆电口、光口实现接入交换机及其服务器等的互联。DCRS-6804E系列路由交换机完善的IPv6特性、出色的安全体系设计、优良高效的网络管理、先进的万兆功能以及运营商级的可靠性，不仅保证了IPv6/v4复杂网络的安全和稳定，接入交换机使用神州数码DCS-4500系列，实现用户计算机的接入，通过千兆多模光口模块与核心相连，该系列交换机集成堆叠模块，可方便扩展，满足未来网络

6、需要。接入层交换机神州数码DCS-4500通过ACL、DHCP Snooping功能，保证在入网出即可防范蠕虫病毒、ARP主机欺骗、网关欺骗、DHCP Server攻击等病毒的发生。（三）上网行为监控系统设计随着信息技术和互联网的深入发展，互联网日益成为人们工作、学习和生活的一部分。在享受互联网带来的巨大便利的时候，由其带来的负面影响和安全威胁也日趋严重。工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等问题日益突出，并由此产生法律、名誉、经济等各方面问题。特别是互联网安全保护技术措施规定（公安部第82号令）明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。这对于互联

7、网管理，上网行为规范，提高网络利用率等方面提出了迫切的需要。学校采用神州数码网络依托多年的研发经验，推出的DCBI-NetLog上网行为管理系统。作为完全拥有自主知识产权的网络行为分析管理系统，集成先进的软硬件体系构架，配以先进的行为分析引擎、灵活多样的管理控制策略，实时分析网络活动，并生成丰富的统计报表。上网行为管理系统是一款专业的互联网出口管理设备，在上网行为监控及内容审计方面追求精细、准确；在管理方面追求精确、适度，为管理员提供了精细的、多维度、多角度的管理手段；在流量整形方面，产品追求高识别率、高准确度、高控制效果，为管理员提供灵活有效的流量管理手段；在操作管理方面，注重用户操作习惯以

8、及管理易用性，并持续进行改进。DCBI-Netlog部署可以通过接入管理或第三方联动实现身份识别，基于用户的策略控制实现应用管理和流量整形，最终实现用户网络审计和统计，展现网络应用分布、提供准确的审计和统计信息，为网络管理提供准确的参考依据。（四）胶南高职校园网关键技术及其设备选择说明 由于以太网技术的普及和不断发展，不仅在桌面接入技术中独占鳌头，而且在城域网和园区网的建设中，也逐渐替代了ATM、FDDI等组网技术而成为骨干网首选技术。因此选择以太网技术作为组网技术，完全可以满足校园网的组网需要，也符合当前技术发展的趋势。 千兆以太网技术已经十分成熟，是网络界公认的最佳的园区网、城域网的骨干互

9、联技术。它是对成功的10MBps和100MBps IEEE802.3以太网标准的扩展，但仍然使用IEEE802.3帧格式，全双工操作和流控制方法。在半双工模式下，千兆以太网使用同样的CSMA/CD访问方法来解决媒体的通信竞争问题。千兆以太网的优点是：千兆交换式以太网可以为每个端口提供1G的带宽，完全可以满足主干网的需要；经济使用，具有较高的性价比；千兆以太网已经获得广泛支持；从现有的传统以太网可以平滑地过渡到千兆以太网，不需要掌握新的配置、管理等技术；能够平滑地过渡到万兆以太网技术。 千兆以太网技术具有良好的互操作性，并具有向前向后兼容性。而且千兆以太网技术成熟可靠，易于管理，具有可伸缩性。根

10、据以上描述，建议选择千兆以太网连接核心设备与楼宇接入设备，实现另外对于各类应用服务器，也建议选择千兆以太网技术实现与骨干网络设备的连接。 随着配备了高性能64位PCI总线处理器的服务器的处理能力迅速增强，应用系统和应用程序功能的不断增强，网络用户日益增加，所产生的数据量也越来越大，原来的10Mbps网络在很多环境中已不能满足需求，网络带宽就成为一个瓶颈问题，快速以太网的出现给这一问题带来了一个较好的解答。快速以太网提供了100Mbps的带宽，给工作站和服务器带来的最大好处，就是增大了吞吐量，从而可以安全地增大网络上的负载，同时其结构简单、灵活、便于扩充，易于实现，工作可靠便于维护和故障恢复，并

11、且能和以前的10Mbps以太网进行无缝连接，保护过去的投资。交换式以太网和共享式以太网相比，具有比共享式以太网更高的使用带宽，更好的传输性能，共享式以太网是网络上所有的设备共享网络带宽，对网络带宽进行争用，这样，当网络上的多个设备同时传输数据时，网络的效率就会明显下降，网络的传输速度会受到明显的制约，据测试，共享式以太网的利用率大约只有36%左右，当网络的利用率达到50%的时候，网络就会出现拥塞，严重时会造成网络运行的停顿，影响数据在网络中的传输。虽然交换式以太网投入成本相对较高,但网络上的所有设备是独享网络带宽，那么一个100Mbps的交换式以太网就不会因为网络设备对资源的争用而影响整个网络

12、的使用效率和传输速度，由于比共享式以太网增加了数倍的网络带宽，从而大大提高整个网络的性能，降低了网络拥塞的发生概率。 根据以上描述，建议选择快速以太网为到桌面，实现可扩展的“千兆到楼宇、千兆、百兆到桌面”的网络结构。设备的选型是网络设计当中非常关键的部分，严格的选型可以达到最佳的效果，即系统相对独立，升级简便，组网方式灵活，以保护现有投资和未来的发展。所以为了满足贵校目前的需求，立足长远发展，网络设备的选型除了依据提出的需求外，还需遵循上面的设计原则。 建议网络设备选用网络产品系列，作为国内领先的网络设备供应商，其产品具有良好的可靠性和稳定性，可提供高性能、全方位的万兆、千兆网络产品解决方案。

13、其专门为教育行业用户定制和推出的解决方案，胶南高职网络有两个层次节点：1）骨干层设备； 2）接入层设备。这两类设备，对设备的选择有不同的考虑。网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。骨干交换机的功能应具有较强的扩展性，目前网络正处在IPv4-IPv6过渡期，核心设备必须在一定程度上支持IPv6。同时满足其它功能的扩展。 因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要

14、求：1）高密度端口情况下，还能保持各端口的线速转发；2）关键模块必须冗余，如管理引擎、电源、风扇。考虑到后期校园网建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。 综上所述，骨干核心交换机属于高端系列的产品，所以在本方案中，骨干交换机采用万兆IPv6路由交换机DCRS-6804E。要求路由交换机率先通过最为苛刻的国际IPv6 Ready第二阶段认证。借助芯片级的转发能力和多样化的业务支持，以及较高的性价比，成为企业级网络和电信城域汇聚层部署IPv6的最佳解决方案的一部分。接入交换机使用神州数码DCS-4500系列，实现用户计算机的接入，通过千兆多模光口模块与核心相连，该系列交

15、换机集成堆叠模块，可方便扩展，满足未来网络需要。接入层交换机神州数码DCS-4500系列交换机通过ACL、DHCP Snooping功能，保证在入网出即可防范蠕虫病毒、ARP主机欺骗、网关欺骗、DHCP Server攻击等病毒的发生。技术方案详细设计（五）校园网出口设计安全防护和策略路由： 在网络边界部署一台高性能防火，负责网络的安全防御。并且负责内网的NAT转换和策略的转发处理，并且在安全防火墙上启用DMZ区，保证对外服务器的安全。在边界防火墙启用深度检测功能，高性能防火墙进行路由的设置根据目的地进行出口的走向分配，达到内网访问教育网的地址走中国教育科研网，其余的访问通过运营商出口访问。为了

16、保证校外带宽的滥用和非法使用，特别是BT等P2P应用，在防火墙上启用流量控制协议，保证校内非法资源的使用。上网行为审计系统据国家公安部的规定，网络管理者或者运营者必须保留60天的上网日志备查。都需要对上网者的行为进行监控、管理。校园网需要做到可信、可管理、可查询，做到有突发事件时有据可查，此次建议推荐在方案中部署上网日志管理系统。部署一台上网行为日志系统DCBI-NetLog-High，功能特性：上网行为记录功能，可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据，从而提供了上网行为的安全审记数据源，并实现各种统计功能。缺省启动数据收敛功能。本次选配

17、的网络日志系统具有以下主要功能：1）上网行为记录功能，可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据，从而提供了上网行为的安全审记数据源，满足公安部对上网行为进行记录的要求。很容易查询哪些用户是否访问过黄色、法轮功等非法网站。2）具有各种上网行为的统计功能，以图例的方式显示哪些网站是最近访问次数的Top-10、哪些用户最近发包次数的Top-10等。要求即使用户通过代理上网（即：用户访问的目的IP是代理的IP），也能解析出用户访问的最终网站的URL。（六）校园网VLAN设计VLAN在逻辑上等价于广播域。更具体的说，我们可以将VLAN类比成一组最终用

18、户的集合。这些用户可以处在不同的物理LAN上，但他们之间可以象在同一个LAN上那样自由通信而不受物理位置的限制。在这里，网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活的建立和配置虚拟网，并为每个虚拟网分配它所需要的带宽。在胶南高职网络设计中，作为教学和办公的核心网络设备，根据具体需要划分多个VLAN,其中ADMIN作为设备管理用VLAN.这样可以对这些不同VLAN之间的通讯进行控制，这样既可以节约成本，又可以保障重要网段的安全，同时减少广播和冲突，提高系统的可用性。在接入层交换机与分布层交换机之间采用802.1Q作为VLAN的传输

19、协议。根据胶南高职目前的应用需求，在网络实施前期按照需求，配置网络的VLAN。将网络划分成办公、多媒体教室、服务区、网管区、教学区等几个相对独立的逻辑区域以方便用户对各个区域实施不同的访问策略。二、地址规划设计（一）地址规划的原则IP地址规划应依据科学性、系统性、完整性及可扩展性原则，采用先进的网络编码技术，保证信息交换的效率和质量，既要在相当时期内保持技术的先进性，同时也充分考虑现期工程的可实施性，为了更加便于记忆和管理，在校园网网络建设中，网络IP地址规划采用统一的IP地址分配方式，保证IP地址的唯一性。具体来说，IP地址规划应该遵循以下原则：可扩展性：IP地址的规划与划分应该考虑到城域网

20、的业务飞速发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单、易于管理，降低网络扩展的复杂性，简化路由表的款项；灵活性：IP地址的分配需要有足够的灵活性，能够满足用户不同的联网需要；连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。高效性：IP地址的分配必须采用VLSM技术，充分合理利用已申请的地址空间，保证IP地址的利用效率，采用CIDR技术，减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信

21、息的大小；（二） 校园网内部IP地址具体规划 对于校园网来说需要全局IP地址的情况有以下：1）对互联网提供信息服务的服务器，这些服务器一般放置在防火墙的DMZ区；2）内部分配私有IP地址的网络访问互联网时，需要全局IP地址做NAT；3）内部网络中对全局IP 地址有特定需求的网段，比如学生经常会玩一些网络游戏，一些特定的网络游戏一定要求全局的IP 地址，NAT能够兼容常见的应用，但对许多特殊的应用是不兼容。跟CERNET和ChinaNet的互联地址有ISP另外分配。对于校园网的网络设备互联IP地址，以及没有对全局IP地址有特定需求的网段，采用内部网络私有IP地址空间或者申请教育网地址块。（三）N

22、AT的全局地址在互联网出口，都需要分配NAT的全局IP地址。从ISP分配的全局IP地址中分配一段全局IP地址，作为校园网内部访问互联网的转换地址。基于端口的NAT转换，一个IP地址可以提供6万余个 NAT会话。（四）IP地址的分配管理校园网的信息点多，如何对IP地址的分配进行有效的管理，是十分重要的。针对不同的情况，可以对IP地址进行静态或动态的分配方式。静态分配的情况：对外提供信息服务的服务器；校园网内提供信息及管理服务的服务器；对于一些老师或学生用户，需要对校园网内部或外部提供信息服务的信息点。路由器、交换机等网络设备的IP 地址分配。动态分配的情况：不提供信息服务的计算机，只访问校园网内

23、部或互联网的资源。本方案的接入交换机可以做到以下地址管理：对于静态分配地址的用户，只有用预先分配的IP地址才可以上网；对于动态分配地址的用户，只有通过DHCP方式获得IP地址才可以上网；获得有效IP地址上网后，试图修改IP地址，均会自动与网络断线；以上手段，保证了IP地址不会冲突，因而可以对IP地址资源的使用进行有效的管理和控制。合理的划分IP地址、尽量使用总结路由、可以有效地减少核心设备的负担，提高核心交换机的效率，减少网络上的路由震荡，同时与交换机专家级ACL功能相结合可以对关键的、敏感的区域实现多重的防护。三、校园网安全规划设计网络高速畅通也给黑客们带来更多的便利，端口扫描、非法入侵、拒

24、绝服务、网络嗅探等攻击在高速的网络上如鱼得水。如何有效地阻止网络的攻击行为，保证网络的高安全？（一）设备访问控制安全本方案中的所有交换机支持ACL访问控制，可以限制哪些源地址可以访问该设备。交换机支持的ACLs类型： IP ACLs：用于过滤IP报文，包括TCP和UDP。 1. Standard IP access lists (标准IP接入控制列表)使用源IP地址作为匹配的条件 2. Extended IP access lists(扩展IP接入控制列表)使用源IP地址、目的IP地址及可选的协议类型信息作为匹配的条件 Ethernet ACLs用于过滤二层数据流： 1. MAC Extend

25、ed access lists(MAC扩展控制列表)使用源MAC地址、目的MAC地址及可选的以太网类型作为匹配的条件 Expert ACLS用于过滤二层和三层、二层和四层、二层和三层、四层数据流： 1. Expert Extended access lists(专家扩展控制列表)使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。 通过设置ACL允许指定网段IP地址访问网络设备，拒绝其它网段IP地址对网络设备的访问，这样即使出现了网络设备登录密码泄露，非管理人员也无法登陆网络设备进行管理。在登录网络设备过程中，使用安全外壳SSH，密码在传输过程中

26、不会被窃听到。（二）病毒防御 网络设备，能够提供病毒防御功能，使得某些特定病毒不能任意传播。主要提供以下几个功能：1）预防PC感染类似“冲击波”的病毒；2）如果某台机器感染病毒，能够实现中毒机器隔离，限制同一网段中病毒的传播。实 例：比如通过设置ACL防范Blaster（冲击波）病毒的传播和危害access-list 101 deny tcp any any eq 135 阻止感染病毒的PC向其它正常PC的135端口发布攻击代码access-list 101 deny udp any any eq tftp 限制目标主机通过tftp下载病毒。access-list 101 deny icmp

27、any any阻断感染病毒的PC向外发送大量的ICMP报文，防止其堵塞网络。 然后将其应用在相应网口，例如fa0/1int fa0/1ip access-group 101 in这样即可阻断Blaster蠕虫病毒的传播。（三）地址转换（NAT）在互联网出实现NAT，NAT除了可以解决全局IP地址不足之外，还对网络的安全起一定的作用，NAT的安全性主要体现在以下两点：1）以统一的IP地址访问互联网，屏蔽内部网络拓扑结构；2）外部网络不可以访问内部网络的资源，除非有策略允许。（四）ARP病毒攻击防范ARP 欺骗首先是通过伪造合法IP 进入正常的网络环境，向交换机发送大量的伪造的ARP 申请报文，交

28、换机在学习到这些报文后，可能会覆盖原来学习到的正确的IP、MAC 地址的映射关系，将一些正确的IP、MAC 地址映射关系修改成攻击报文设置的对应关系，导致交换机在转发报文时出错，从而影响整个网络的运行。或者交换机被恶意攻击者利用，利用错误的ARP 表，截获交换机转发的报文或者对其它服务器、主机或者网络设备进行攻击。1、接入交换机ACL 防止ARP 仿冒网关假定交换机0/1/1 口用于上联， 0/0/1-24 直接连接计算机终端， 网关地址为192.168.0.1，我们需要在下行口上增加ACL阻止所有仿冒192.168.0.1的ARP通告。配置命令：STEP1:编写ACL(Config)# ac

29、cess-list 1101 deny an an untagged-eth2 12 2 0806 20 2 0002 28 4 C0A80001该ACL说明如下： STEP2:应用ACL(Config)# Firewall enable(Config)# int e 0/0/1-24(int)# mac access-group 1101 in traffic-statistic网关不同则相应得16进制数不同，配置的时候需要计算转换。该配置完成后，终端发出的仿冒网关的ARP通告将被deny。2 ARP Guard 防止ARP 仿冒网关我们利用交换机的过滤表项保护重要网络设备的ARP 表项不能

30、被其它设备假冒。基本原理就是利用交换机的过滤表项，检测从端口输入的所有ARP 报文，如果ARP 报文的源IP地址是受到保护的IP 地址，就直接丢弃报文，不再转发。ARP GUARD 功能常用于保护网关不被攻击，如果要保护网络内的所有接入PC 不受ARP 欺骗攻击，需要在端口配置大量受保护的ARP GUARD 地址，这将占用大量芯片FFP表项资源，可能会因此影响到其它应用功能，并不适合。此时推荐采用FREE RESOURCE相关接入方案，详细请参考相关文档。举例：在端口Ethernet0/0/1 启动配置ARP GUARD 地址100.1.1.1Switch(Config)#interface

31、Ethernet0/0/1Switch(Config- Ethernet 0/0/1)# arp-guard ip 100.1.1.13接入交换机启用DHCP Snooping 功能我们对终端获取IP 地址两种不同的方式：动态获取IP 地址和静态配置IP 地址，分别进行描述：终端动态获取地址在全局模式下，启动DHCP Snooping：Switch(Config)#ip dhcp snooping enable全局使能DHCP SNOOPING 绑定功能，在此基础上配置DHCP SNOOPING 其它绑定功能参数：Switch(Config)#ip dhcp snooping binding

32、enable在端口上启动DHCP SNOOPING 绑定USER 功能（这样在这个端口接入的用户获取动态IP地址之后无需认证就可以访问所有资源）：switch(Config)#interface ethernet 1/1switch(Config- Ethernet1/1)# ip dhcp snooping binding user-control在获取合法动态IP 地址之前，用户不能访问任何资源，用户采用私自配置的IP 地址发送的ARP 报文和IP 报文均被接入交换机丢弃；PC 启动DHCP 功能，可以从DHCP SERVER获取合法IP 地址，这时用户可以所有资源；这种解决方案支持防AR

33、P 欺骗，可以防止接入主机假冒网关，可以防止接入主机假冒其它用户；管理复杂度低，交换机配置简单并且基本不需要变更；支持用户移动接入，交换机可以自动检测到用户接入位置并正确转发用户数据。终端静态配置IP 地址在全局模式下，启动DHCP Snooping：Switch(Config)#ip dhcp snooping enable全局使能DHCP SNOOPING 绑定功能，在此基础上配置DHCP SNOOPING 其它绑定功能参数：Switch(Config)#ip dhcp snooping binding enable然后我们需要手动在每个端口添加DHCP Snooping 静态绑定信息，举

34、例如下：在交换机端口Ethernet0/0/16 配置静态绑定用户Switch(Config)#ip dhcp snooping binding user 00-03-0f-12-34-56 address 192.168.1.16 255.255.255.0 vlan 1 interface Ethernet0/0/16这种解决方案支持防ARP 欺骗，可以防止接入主机假冒网关，可以防止接入主机假冒其它用户；但是管理复杂度高，不支持用户移动接入，当配置静态IP 地址的主机移动，需要在新的端口下重新配置DHCP Snooping 绑定信息，所以只适合静态IP 地址使用不多的场合，如果较多，建议采

35、用认证服务器接入交换机的解决方案。4汇聚交换机在我司交换机做汇聚，而接入层是其它品牌的组网环境下，防范ARP 欺骗的方法为在汇聚层交换机上启用DHCP Snooping，同时在三层交换机上关闭ARP 自动更新功能或学习功能，转换ARP 表为静态，配合认证服务器客户端适用，防范能力更强。为了保护三层交换机的ARP 表项，我们可以在三层交换机上启动DHCP SNOOPING 绑定ARP 功能，交换机自动监控接入用户分配的IP 地址和接入端口并配置绑定ARP 表项；用户再次接入获取不同IP 地址或者从不同端口接入时，交换机自动更新绑定ARP 表项。在全局模式下，启动DHCP Snooping：Swi

36、tch(Config)#ip dhcp snooping enable全局使能DHCP SNOOPING 绑定ARP 功能：Switch(Config)#ip dhcp snooping binding enableSwitch(Config)#ip dhcp snooping binding arp开启后将根据DHCP SNOOPING 捕获的绑定信息添加静态ARP 表项，这些静态ARP表项直接添加到neighbour 表中，不需要配置保留。同时还我们配置相关命令，让交换机丢弃带有欺骗性质的ARP 报文。方法有两种，如下：方法一，通过命令行阻止ARP 的自动更新，然后再根据投诉手动调整ARP

37、 表接近整网。关闭ARP 自动更新（指定VLAN 或者全局）Switch(Config-if-Vlan1)#ip arp-security updateprotectSwitch(Config)#ip arp-security updateprotect此时网管员可进行监控，若有个别用户投诉（在关闭更新前交换机接收到了非法ARP 信息并把它放进了ARP 表中，导致正确用户无法上网），则根据该用户IP 信息将非法ARP 表项删除。稳定运行一段时间后，将ARP 表项转为静态（指定VLAN 或者全局）Switch(Config-if-Vlan1)# ip arp -security convert

38、/*指定Vlan*/Switch(Config)# ip arp-security convert /*指定全局*/此时ARP 表项是所有当前在线终端的，而且基本完全正确。新开机的终端ARP 会被继续学习，反复几次，可使静态ARP 表接近整网。方法二，关闭ARP 自动学习，并进行ARP 动态转换。找寻一个所有人都在线的时间、且网络运行正常。关闭ARP 自动学习（指定VLAN 或者全局）Switch(Config-if-Vlan1)#ip arp-security learningSwitch(Config)# ip arp-security learning将ARP 表项转为静态（指定VLAN

39、 或者全局）Switch(Config-if-Vlan1)# ip arp -security convertSwitch(Config)# ip arp-security convert关闭交换机的自动学习功能以后，交换机不再接收ARP 报文，适合静态配置ARP 表项的场合。此时ARP 表项是所有终端的，而且完全正确的。(三)IPv6网络设计CNGI（中国下一代互联网示范工程）是在2003年由包括信息产业部、国家科技部、国家发改委、教育部、中国工程院、中国科学院、国家自然基金会、国务院信息化办公室在内的8个部委联合发起并经国务院批准启动的。 计划2005年底建成一个覆盖全国的IPv6网。而C

40、ERNET2（下一代中国教育科研网）是CNGI中最大的一个骨干网，也是唯一的学术性主干网。按照CNGI项目规划，CERNET2将接入各大著名高校，开展科研应用和大规模IPv6网络建设和部署实施的探索。本次网络建设选用的三层交换机均为双协议栈交换机以及模块化核心路由交换机以及统一威胁系统。虽然我们校园网络建设所采购的汇聚和核心交换机都是支持IPv6的双协议栈交换机，但是Pv4与IPv6在一定时期之内是同时并存的，所以IPv4向IPv6需要平滑的过渡，IPv4向IPv6的过渡方案有三种方式：1）双协议栈；2）隧道；3）转换。根据本次项目以及原有网络的实际情况，我们建议采用双协议栈UTM直接连接到C

41、ernet2的方式实现校区安全支持IPv6。 在IPv6网络具体部署方式说明： 由于IPv6网络建设，业界现在也接处于试验阶段，所以为了保证胶南高职IPv6网络的顺利实施，我们将IPv6网络的部署分为三个阶段： 第一阶段：IPv6网络试验阶段，在网络中心建立IPv6试验网，在服务器区域建立IPv6服务器，提供DNS/WEB/FTP等服务，在网络中心的模拟每个区域的试验PC客户端，在试验网络模拟，主要是为了保证在大规模实施时出现情况，减少实施的复杂度。 第二阶段：通过出口设备的接口连接到Cernet2，分别通过设置IPv6静态路由进行路径选择，在汇聚交换机上通过双协议栈连接IPv4主机和IPv6主机，校园网内部IPv4主机和IPv6主机都可以访问IPv4服务器和IPv6服务器，保证网络用户的随意访问; 对于只有IPv4网络的区域，可以通过ISATAP 隧道协议保证IPv6/IPv4主机的随意访问。第三阶段：就是全网实现IPv6，全网运行OSPFv3路由协议。