肇慶市體育館競賽網(wǎng)絡方案設(shè)計要點說明

1、 學院計算機學院計算機網(wǎng)絡工程課程設(shè)計報告題 目 市體育館競賽網(wǎng)絡方案設(shè)計班 級 09網(wǎng)絡工程1班組 長 文佳 成 員 羅高祥文佳何偉輝 黎 淵指導教師 帆 完成時間 2011 年 12 月 28 日學號完成任務簽名成績7羅高祥鏈路流量需求分析、網(wǎng)絡安全實施規(guī)設(shè)計、與文檔資料整理等3文佳負責協(xié)調(diào)組員的各項工作與全面掌握材料與指導工程的全過程8何偉輝VLAN劃分與配置、IP地址的分配等5黎 淵VRRP與鏈路冗余設(shè)計和督促組員工作目 錄1 需求分析. 31.1 市中心體育館概況 .31.2 要進行網(wǎng)絡設(shè)計的業(yè)務口.31.3 IPV6應用需求 . 31.4 工程設(shè)計的建設(shè)原則.31.5 架構(gòu)層次需求

2、分析.41.6 進行網(wǎng)絡設(shè)計的業(yè)務與流量需求分析.41.7 場館上行帶寬需求分析.41.8 體育館競賽中心Internet出口帶寬需求分析.51.9 設(shè)計原則.5 1.9.1 連通性與安全性并重的原則.5 1.9.2 冗余性與經(jīng)濟性平衡的原則.5 1.9.3 成熟性與穩(wěn)定性優(yōu)先的原則.5 1.9.4 可管理、靈活易維護的原則.52 網(wǎng)絡拓撲設(shè)計.62.1.體育館接入層.62.2.VLAN劃分規(guī).8 2.2.1 VLAN劃分說明.82.3 IP地址規(guī).82.4 生成樹設(shè)計實現(xiàn).9 2.4.1 生成樹配置.92.5 VRRP設(shè)計.10 2.5.1 VRRP設(shè)計實現(xiàn).10 2.5.2 VRRP配置.

3、103 網(wǎng)絡安全實施規(guī).12 3.1 CPU保護安全. .12 3.1.1 CPU保護配置規(guī). .12 3.2 風暴控制設(shè)計. .12 3.2.1 風暴控制設(shè)計實現(xiàn). .12 3.2.2 風暴控制配置規(guī). .12 3.3 防ARP欺騙.12 3.3.1 防ARP欺騙設(shè)計實現(xiàn).12 3.3.2 防ARP欺騙配置規(guī).12 3.4 防非法dhcp欺騙.13 3.4.1 防dhcp欺騙配置規(guī).134 設(shè)備配置文件. .135 課程設(shè)計總結(jié). .23第一章 需求分析1.1 市中心體育館概況：市中心體育館主要承擔拳擊、古典式和自由式摔跤等各類比賽。2000年，該館曾舉行過全國跆拳道、拳擊、摔跤等項目的大型

4、錦標賽，并按全運會的規(guī)進行了試運行，受到國家體育總局的充分肯定。中心體育館也承載市一些大型的演唱會，該館建筑面積7400平方米，可容納觀眾3800人，并設(shè)貴賓休息室、記者工作室、休息室和新聞中心。該館距離運動員接待酒店僅300米，交通方便。1.2 要進行網(wǎng)絡設(shè)計的業(yè)務口分別有：工作人員辦公室、比賽信息臺、成績處理工作室、尿檢工作室、運動員檢錄區(qū)、運動員醫(yī)務區(qū)、媒體工作室、興奮劑檢查室、貴賓休息廳、場館運行中心、場館技術(shù)運行中心、觀眾服務管理辦公室、場館主任辦公室、新聞發(fā)布中心、競賽主任辦公室、賽事監(jiān)控系統(tǒng)、語言服務辦公室、新聞發(fā)布廳、打印復印分發(fā)辦公室共22個業(yè)務口。1.3 IPV6應用需求：

5、本項目還承擔一些IPV6應用項目。本設(shè)計考慮了未來IPV6城域網(wǎng)的應用需求，包括（但不限于）下列應用需求：IPV6智能家居。通過此應用，充分展示IPV6地址豐富的能力，家中的每個電器設(shè)備，都可以通過網(wǎng)絡控制。IPV6 RFID。由于IPv6的地址空間巨大，對于RFID來說非常適合，IPv6的大量地址可以實現(xiàn)為每一個RFID分配一個地址。IPV6寬帶視頻。即插即用的視頻類業(yè)務適合用IPV6技術(shù)來支撐。IPV6官方。大學網(wǎng)絡是IPV6使用最廣泛的網(wǎng)絡，因此開辟IPV6官方，有助于為運動競賽、演唱會提供一個更好的宣傳渠道。1.4 工程設(shè)計的建設(shè)原則：分析如上應用，網(wǎng)絡主要承載實時非高交互性業(yè)務，傳統(tǒng)

6、視頻點播業(yè)務，IPTV業(yè)務，傳統(tǒng)數(shù)據(jù)業(yè)務。流量大，實時性要求高。帶寬需求大，轉(zhuǎn)發(fā)性能、可靠性要求高，故障切換快速。要求網(wǎng)絡必須24小時不間斷運行，可用性要達到99.999% 以上。為確保達到如上網(wǎng)絡建設(shè)目標，保證競賽網(wǎng)絡的順利正常運行，本設(shè)計建設(shè)的投標方所涉與的網(wǎng)絡系統(tǒng)的要求較高，要求的特點如下：轉(zhuǎn)發(fā)性能高、設(shè)備可靠性高、系統(tǒng)可靠性高、豐富的安全控制能力、強大的軟硬件QoS保證、網(wǎng)絡可維護性高、支持IPv4/IPv6雙棧。1.5 架構(gòu)層次需求分析：由于體育館場館部信息點數(shù)量相對較少，接入層交換機數(shù)量少，網(wǎng)絡拓撲圖比較簡單，所以體院館只分為競賽場館接入層、匯聚層兩個層面。競賽場館接入層即每賽場館

7、的部局域網(wǎng)，包括中心交換與樓道接入兩個子層。1.6 進行網(wǎng)絡設(shè)計的業(yè)務與流量需求分析：下面從以下2個方面分析體育館競賽網(wǎng)絡的帶寬需求，從而可以為主干網(wǎng)鏈路級別的選擇提供依據(jù)：場館上行帶寬需求；Internet出口帶寬需求。1.7 場館上行帶寬需求分析：體育館競賽中心分為三個級別，帶寬估算由如下部分組成： （1）賽事管理業(yè)務流量。該系統(tǒng)包括4個子系統(tǒng)，但我們假定一個用戶在一個時刻只會使用其中的一個子系統(tǒng)。根據(jù)應用設(shè)計的需求，無論哪個子系統(tǒng)，每次查詢的數(shù)據(jù)量為100KB。由于采用B/S結(jié)構(gòu)，HTML/XML的標簽開銷很大。為了保證使用者的正?？焖偈褂?，這些數(shù)據(jù)需要在小于0.5秒的時間傳輸完畢，因此

8、每個終端使用相關(guān)業(yè)務的帶寬需求為： 0.1MB * 8b/B * 4 / 0.5s = 6.4Mbps （2）上網(wǎng)和收發(fā)的流量：按照一般寬帶應用需求計算為2Mbps，并在接入交換機上做相應的帶寬限制確保單用戶流量不超過該數(shù)值。 （3）資料下載的流量：按照一般E-Learning的帶寬需求計算為4Mbps，并在接入交換機上做相應的帶寬限制確保單用戶流量不超過該數(shù)值。 上述3個部分的流量為工作人員產(chǎn)生的流量，并且可能是同時發(fā)生的。據(jù)調(diào)查，場館有50個工作人員需要同時使用計算機網(wǎng)絡。根據(jù)場館網(wǎng)絡應用的需求特征，我們對上述三種流量的忙時集中系數(shù)分別賦予0.5、0.3、0.2，則由于工作人員的需要產(chǎn)生的

9、每個場館流量的上行流量為： （6.4*0.5 + 2*0.3 + 4*0.2 ）* 50 = 230（Mbps）視頻監(jiān)控帶寬：場館使用4個高清攝像頭，帶寬為： 4*8=32（Mbps）。賽事專網(wǎng)：因為賽事數(shù)據(jù)的傳遞要求有一個快速、高效的承載網(wǎng)絡。每組數(shù)據(jù)的傳遞應該在0.1秒完成，這樣才能保證經(jīng)過服務器處理與經(jīng)過轉(zhuǎn)發(fā)到官方和處理后，可以在小于一秒的時間具備向媒體和用戶發(fā)布即時比賽成績的能力。使用戶在網(wǎng)上觀看到的數(shù)據(jù)更新與視頻直播之間不會產(chǎn)生人能感知的明顯時間差異。因為每條信息的數(shù)據(jù)量大約是1KB。每個XML文件包括多條信息，按照每個XML文件10KB計算。一次比賽結(jié)果上傳需要傳遞XML文件包括：

10、名次公告、每個運動員的成績、技術(shù)統(tǒng)計信息、積分計算、犯規(guī)信息、輪次晉級等等，這些信息需要上傳到數(shù)據(jù)中心，經(jīng)過處理與時發(fā)布到信息網(wǎng)上，并進一步發(fā)布到網(wǎng)絡媒體上供查詢或滾動播出。賽事專網(wǎng)有8種需要立即上傳的數(shù)據(jù)，其中，技術(shù)統(tǒng)計信息包含的數(shù)據(jù)比較多，應按5倍計算，則一共相當于共計12個10KB的XML文件。所以，一次發(fā)布的總數(shù)據(jù)量（含開銷）大約為： 12 * 10 KB = 120KB。根據(jù)上述分析，為保證足夠快速地將比賽成績與相關(guān)信息上報，需要保留的帶寬需求估算為： (120KB * 8b/B) / 0.1s = 9.6Mbps 此外，考慮到還有一些未盡的因素以與作為重大賽事網(wǎng)的重要性，帶寬需要一

11、定的冗余設(shè)計。根據(jù)已有賽事網(wǎng)的經(jīng)驗，一般設(shè)帶寬冗余系數(shù)為1.5。因此上述三個方面的的帶寬分別為：用戶應用帶寬應為：230*1.5=345（Mbps）視頻監(jiān)控帶寬應為：32*1.5=48（Mbps），賽事專網(wǎng)帶寬應為：9.6*1.5=14.4根據(jù)這些條件，計算得到場館上行總帶寬需求為：中心場館：345+ 48 + 14.4= 407.4（Mbps），因此，總體上場館上行的帶寬需求為千兆以太網(wǎng)級別。1.8 體育館競賽中心Internet出口帶寬需求分析：流量中的一部分為Internet流量。每個用戶的Internet帶寬為2Mbps，每場館40個用戶，總的Internet出口帶寬需求為： 2Mbp

12、s * 40 * = 80 Mbps由于Internet帶寬不是賽事最關(guān)鍵的流量，選用百兆級帶寬出口即可，并使用流量控制設(shè)備，對不必要的流量和可能出現(xiàn)的擁塞進行控制，以保證最基本的功能如收發(fā)等工作的正常進行。1.9 設(shè)計原則：根據(jù)體育館的通信和信息系統(tǒng)建設(shè)指導性綱領(lǐng)“安全、可靠、實用、先進、經(jīng)濟”的定位，并根據(jù)上述應用需求的分析，尤其是關(guān)于需求特點的分析，我們認為體育館平臺的設(shè)計和建設(shè)，應該遵循以下一些原則：連通性與安全性并重的原則，冗余性與經(jīng)濟性平衡的原則，成熟性與穩(wěn)定性優(yōu)先的原則，可管理、靈活易維護的原則。1.9.1 連通性與安全性并重的原則有：多數(shù)節(jié)點布置的防火墻以透明防火墻為主，不割裂

13、網(wǎng)絡；安全性設(shè)計以預防DoS攻擊為最主要的任務，確保網(wǎng)絡暢通；在網(wǎng)絡中以并聯(lián)方式使用IDS、與流量分析設(shè)備，以便預防和與早發(fā)現(xiàn)問題，而不形成瓶頸；總之，要確保網(wǎng)絡既安全又可靠的運行。1.9.2 冗余性與經(jīng)濟性平衡的原則有：鏈路冗余：除了臨時布線網(wǎng)絡以外的部分均采用雙鏈路；設(shè)備冗余：主干網(wǎng)絡部分（包括接入層交換機和匯聚層交換機）使用雙設(shè)備；同時，本網(wǎng)的設(shè)計還須考慮經(jīng)濟性原則。1.9.3 成熟性與穩(wěn)定性優(yōu)先的原則：要的復雜功能或新功能，盡可能避免潛在的、甚至不可預知的問題。1.9.4 可管理、靈活易維護的原則：網(wǎng)絡還應該具備靈活機動、快速安裝、快速調(diào)整的特點，以便滿足臨時布線布網(wǎng)、故障設(shè)備快速更換

14、的要求。根據(jù)上述原則，并進一步結(jié)合對需求的分析中指出本項目網(wǎng)絡流量結(jié)構(gòu)清晰、路由表結(jié)構(gòu)簡單，因此，本項目主體網(wǎng)絡設(shè)備不需要采用路由功能和MPLS等其它功能非常強大的高端路由器，而是采用具有高轉(zhuǎn)發(fā)性能和一定路由功能的路由式交換機，既成熟可靠、高速高效，又經(jīng)濟實用、維護便捷?？傊€(wěn)定可靠、通暢安全、確保賽事運行，是體育競賽網(wǎng)絡平臺壓倒一切的要求。第二章 網(wǎng)絡拓撲設(shè)計2.1.體育館接入層：經(jīng)調(diào)查一共有85左右的信息點，體育館需要7臺RG-S3760-24、固化24個10/100Mbps電口、4個千兆光電復用端口作為接入層交換機。還有兩臺5750匯聚交換機RG-S5750-24GT、固化12個千兆電

15、口、12個千兆光電復用端口、2個擴展插槽、五臺服務器、兩臺防火墻。2.1.1場館拓撲介紹：場館采用兩臺中心機房交換機，負責本場館的數(shù)據(jù)轉(zhuǎn)發(fā)核心。場館中心機房交換機上聯(lián)到中間鏈路上聯(lián)到電信，中間各安置一臺防火墻作為數(shù)據(jù)流的訪問控制。場館中心機房交換機下聯(lián)分為如下四個模塊： 1.樓道交換機：負責場館辦公與技術(shù)網(wǎng)絡和賽事成績與其他他信息PC的接入； 2.服務器交換機 ：包括FTP、WWW、DNS服務器與審計交換機和檢錯交換機； 3.場的臨時交換機：在臨時需要接入信息點時，可以在場部署臨時交換機，臨時交換機與場館中心機房交換機的連接屬于按需連接方式。為滿足標準化、規(guī)化的要求，計算機網(wǎng)絡設(shè)備有一定的命名

16、規(guī)要求：設(shè)備命名分別為：RG_A1、RG_A2為匯聚層中心主設(shè)備的名稱。RG_B1、.RG_B7為樓道接入層設(shè)備名稱。RG_F1、RG_F2為防火墻設(shè)備名稱。2.2. VLAN劃分規(guī)：2.2.1 VLAN劃分說明：按照體育館的業(yè)務要求，合理地對不同的業(yè)務劃分VLAN,有利于業(yè)務之間的的隔離、縮小廣播域、并對IP地址規(guī)劃和QoS、安全設(shè)計等有直接的支持作用。劃分原則：把功能（應用）相近的設(shè)備群組（端口）劃分到同一VLAN，將不同性質(zhì)的設(shè)備（端口）劃分到不同VLAN。各VLAN成員之間不能直接訪問，不同VLAN之間的流量必須經(jīng)過路由。在辦公網(wǎng)現(xiàn)有規(guī)劃的基礎(chǔ)上，進行VLAN的設(shè)計與劃分，如下：賽事專

17、網(wǎng)：VLAN 10；技術(shù)部門：VLAN 11；辦公新聞官員服務：VLAN 12；詳見附頁：Excel文檔：中心交換機，信息點IP地址與VLAN劃分表。 2.3 IP地址規(guī)：由于市體育館使用的網(wǎng)絡比較小，所以采用C類保留網(wǎng)段，55的255個C類地址，并通過適當?shù)囊?guī)劃區(qū)分物理位置和業(yè)務。詳見附表。 2.4 生成樹設(shè)計實現(xiàn)：1.生成樹協(xié)議統(tǒng)一使用MSTP。2.如涉與到兩臺場館中心交換機，統(tǒng)一設(shè)置01號設(shè)備為主根設(shè)備，02號設(shè)備為備根設(shè)備。3.對于接PC或者服務器的D/E設(shè)備端口，接入端口配置portfast、bpduguard。4-開啟TPP功能，防止

18、由于CPU利用率過高時導致拓撲震蕩。2.4.1 生成樹配置： 以正式比賽場館為模板進行配置規(guī)：RG-A1：Ruijie(config)#spanning-treeRuijie(config)#spanning-tree mode MSTPRuijie(config)#spanning-tree mst 0 priority 4096 /配置生成樹，模式MSTP，優(yōu)先級4096cpu topology-limit 60 /設(shè)置CPU利用率閥值為60，推薦值為50-70cpu-pro typ arp pps 1000 /配置arp報文的帶寬為1000ppscpu-pr typ arp pri 4

19、/配置arp報文的優(yōu)先級為4，數(shù)值越高，優(yōu)先級越高cpu-pr typ vrrp pps 800 /配置VRRP報文的帶寬為800ppscpu-pr typ crrp pri 7 /配置VRRP報文的優(yōu)先級為7spanning-tree tc-protection /打開全局tc-protection，防止TC BPDU報文的大量攻擊int rang gi 0/1-4，0/11 /配置進入多個接口switch mode trunk /配置接口為trunktp-guard port enable /如果設(shè)備支持TPP，則在端口上開啟TPP功能，即配置 tp-guard port enable命令

20、，當設(shè)備cpu利用率超過60 時，會保持拓撲中MSTP和VRRP狀態(tài)不變，防止拓撲發(fā)生振蕩。RG-A2：Ruijie(config)#spanning-treeRuijie(config)#spanning-tree mode MSTPRuijie(config)#spanning-tree mst 0 priority 8192 /配置生成樹，模式MSTP，優(yōu)先級8192cpu topology-limit 60 /設(shè)置CPU利用率閥值為60，推薦值為50-70cpu-pro typ arp pps 1000 /配置arp報文的帶寬為1000ppscpu-pr typ arp pri 4 /

21、配置arp報文的優(yōu)先級為4，數(shù)值越高，優(yōu)先級越高cpu-pr typ vrrp pps 800 /配置VRRP報文的帶寬為800ppscpu-pr typ crrp pri 7 /配置VRRP報文的優(yōu)先級為7spanning-tree tc-protection /打開全局tc-protection，防止TC BPDU報文的大量攻擊int rang gi 0/1-4，0/11 /配置進入多個接口switch mode trunk /配置接口為trunktp-guard port enable /如果設(shè)備支持TPP，則在端口上開啟TPP功能，即配置 tp-guard port enable命令，

22、當設(shè)備cpu利用率超過60時， 會保持拓撲中MSTP和VRRP狀態(tài)不變，防止拓撲發(fā)生振蕩RS-B1：Ruijie(config)#spanning-treeRuijie(config)#spanning-tree mode MSTP /配置生成樹，模式MSTPRuijie(config)#interface fastethernet 0/1 /連接終端的接口Ruijie(config-if)#spanning-tree portfastRuijie(config-if)#spanning-tree bpduguard enableexitRuijie(config)#error-recover

23、y interval 60 /配置自動恢復時間為60秒cpu topology-limit 60 /設(shè)置CPU利用率閥值為60，推薦值為50-70cpu-pro typ bpdu pri 6 /配置bpdu報文的優(yōu)先級為4spanning-tree tc-protection /打開全局tc-protection，防止TC BPDU報文的大量攻擊int rang gi 0/23-24 /配置進入多個接口switch mode trunk /配置接口為trunktp-guard port enable /如果設(shè)備支持TPP，則在端口上開啟TPP功能，即配置 tp-guard port enabl

24、e命令，當設(shè)備cpu利用率超過60時， 會保持拓撲中MSTP和VRRP狀態(tài)不變，防止拓撲發(fā)生振蕩 2.5 VRRP設(shè)計： 2.5.1 VRRP設(shè)計實現(xiàn)：1、VRRP的主備設(shè)置：統(tǒng)一設(shè)置奇數(shù)序號設(shè)備為VRRP主設(shè)備，偶數(shù)序號設(shè)備為VRRP備設(shè)備，保證VRRP主設(shè)備同生成樹的根保持一致。2、為了防止VRRP頻繁切換，VRRP的主設(shè)備啟用搶占延時，搶占延時為10秒。3、為了防止非法的VRRP設(shè)備接入，VRRP的兩端開啟認證，增強網(wǎng)絡的安全性。 2.5.2 VRRP配置：RS-A1，X為奇數(shù)作為VRRP的主設(shè)備， X為偶數(shù)作為VRRP的備設(shè)備RS-A1：Ruijie(config)#interface

25、 vlan X /進入特定的接口，服務器VLANRuijie(config-if-VLAN 1)#vrrp 1 ip x.x.x.254 /配置特定的組和虛擬網(wǎng)關(guān)地址Ruijie(config-if-VLAN 1)vrrp 1 priority 150 /配置特定組的優(yōu)先級Ruijie(config-if-VLAN 1)#vrrp 1 preempt delay 120 /處于備份狀態(tài)的VRRP路由設(shè)備準備宣告自己擁有Master 身份之前的延遲120秒防止VRRP震蕩RS-A2：Ruijie(config)#interface vlan X /進入特定的接口，服務器VLANRuijie(co

26、nfig-if-VLAN1)#vrrp 1 ip x.x.x.254 /配置特定的組和虛擬網(wǎng)關(guān)地址備注：所有服務器的網(wǎng)關(guān)均設(shè)置為X.X.X.254，也就是VRRP組的虛擬IP地址為X.X.X.254虛擬路由器冗余協(xié)議（VRRP）是一種選擇協(xié)議，它可以把一個虛擬路由器的責任動態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺?？刂铺摂M路由器 IP 地址的 VRRP 路由器稱為主路由器，它負責轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動態(tài)的故障轉(zhuǎn)移機制，這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無

27、需在每個終端主機上配置動態(tài)路由或路由發(fā)現(xiàn)協(xié)議，同時VRRP的主備切換對于終端來說是透明的。網(wǎng)絡正常情況下，終端的網(wǎng)關(guān)在VRRP主設(shè)備，通過VRRP主設(shè)備訪問外部網(wǎng)絡資源；故障情況下：1. 當01號線路的線路出現(xiàn)故障，由于VRRP開啟了track功能，此時VRRP的虛擬網(wǎng)關(guān)切換至VRRP備設(shè)備，終端通過VRRP主設(shè)備訪問外部網(wǎng)絡資源；2. 當02號線路的線路出現(xiàn)故障，對網(wǎng)絡沒有任何影響，終端通過VRRP主設(shè)備訪問外部網(wǎng)絡資源；3. 當03號線路的線路出現(xiàn)故障，VRRP主備設(shè)備不切換，虛擬網(wǎng)關(guān)地址在VRRP主，終端通過VRRP主設(shè)備訪問外部網(wǎng)絡資源。第三章 網(wǎng)絡安全實施規(guī) 3.1 CPU保護安全：

28、在網(wǎng)絡環(huán)境中經(jīng)常發(fā)現(xiàn)一些惡意的攻擊，這些攻擊會給交換機帶來過重的負擔。有時當網(wǎng)絡中的管理報文超過了交換機所能負荷的能力，這些都會造成交換機CPU 利用率過高，導致交換機無常運行。通過部署網(wǎng)絡設(shè)備相應的CPU保護的功能，區(qū)分不同的CPU處理報文的隊列以與優(yōu)先級、送CPU處理的報文速率，用以減輕交換機CPU 負擔，保護交換機的正常處理能力。當設(shè)備受到攻擊時，設(shè)備的CLI （Command Line Interface）管理界面仍可進行正常的管理操作，不會導致CPU 利用率過高，設(shè)備對收到的其他協(xié)議報文仍可以被交換機與時處理。 3.1.1 CPU保護配置規(guī)：cpu-protect type bpdu

29、 pri 6cpu-protect type arp pps 1000cpu-protect type arp pri 4cpu-protect type ospf pps 400cpu-protect type ospf pri 5cpu-protect type vrrp pps 800cpu-protect type vrrp pri 7 3.2 風暴控制設(shè)計： 3.2.1 風暴控制設(shè)計實現(xiàn)：當LAN中存在過量的廣播、多播或未知播包時，就會導致網(wǎng)絡變慢和報文傳輸超時幾率大大增加。這種情況就是LAN風暴。協(xié)議棧的執(zhí)行錯誤或?qū)W(wǎng)絡的錯誤配置都有可能導致風暴的產(chǎn)生。我們分別針對廣播、多播和未知

30、播數(shù)據(jù)流進行風暴控制。當接口接收到的廣播、多播或未知播包的速率超過所設(shè)定的閥值時，設(shè)備將只允許通過所設(shè)定閥值帶寬的報文，超出閥值部分的報文將被丟棄，直到數(shù)據(jù)流恢復正常，從而避免過量的泛洪報文進入LAN中形成風暴。 3.2.2 風暴控制配置規(guī)：在體育館樓道交換機上配置Ruijie(config)#interface fastethernet 0/1Ruijie(config-if)#storm-control broadcastRuijie(config-if)#storm-control uncast /針對需要開啟的端口，進行廣播、未知播的速率限制3.3 防ARP欺騙： 3.3.1 防ARP

31、欺騙設(shè)計實現(xiàn)：局域網(wǎng)中的ARP攻擊主要是針對網(wǎng)關(guān)進行欺騙，一般是通過在LAN中洪泛非法的sender位為網(wǎng)關(guān)IP的ARP報文實現(xiàn)對正常用戶的欺騙，導致正常用戶無法上網(wǎng)，或者實現(xiàn)“中間者攻擊”，通過在接入層交換機上使能anti-arp-spoofing功能可以對ARP網(wǎng)關(guān)欺騙進行防。 3.3.2 防ARP欺騙配置規(guī)：Ruijie（config）#interface fastethernet 0/1Ruijie（config-if）#anti-arp-spoofing ip x.x.x.x /指定本端口的網(wǎng)關(guān)IP地址 3.4 防非法dhcp欺騙：用戶可能通過dhcp方式獲取ip地址，為了防止體育館

32、存在用戶采用dhcp方式進行欺騙，通過在接入層交換機上開啟dhcp-snooping功能來預防此類欺騙。 3.4.1 防dhcp欺騙配置規(guī)：Ruijie（config）#ip dhcp snoopingRuijie（config-if）#ip dhcp snooping trust/指定交換機上聯(lián)端口為可信任第四章設(shè)備配置文件 4.1 場館中心交換機（RS-A1）配置：配置命令如下：RG_A1的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/0 -7switchport mode tr

33、unkno shutint f0/1ip add no shutInt f0/2Ip add no shutint f0/3ip add no shutInt f0/4Ip add no shutInt f0/5Ip add no shutint f0/6ip add no shutin

34、t f0/7ip add no shutexitwrRG_A2的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan12exitconf teint range f0/0 -7switchport mode trunkno shutint f0/1ip add no shutInt f0/2Ip add no shutint f0/3ip add 255.255.

35、255.0no shutInt f0/4Ip add no shutInt f0/5Ip add no shutint f0/6ip add no shutint f0/7ip add no shutexitwrRG_B1的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitcofn teint range f0/1 -2s

36、witchport access vlan 12int range f0/3 -8switchport access vlan 11int range f0/9 -13switchport access vlan 12exitint range f0/14 -15switchport mode trunkno shutint f0/1ip add no shutInt f0/2Ip add no shutint f0/3ip add no

37、shutInt f0/4Ip add no shutInt f0/5Ip add no shutint f0/6ip add no shutint f0/7ip add no shutint f0/8ip add .no shutint f0/9ip add no shutInt f0/1

38、0Ip add no shutint f0/11ip add no shutInt f0/12Ip add no shutInt f0/13Ip add no shutexitwrRG_B2的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/1 -9switchport access

39、 vlan 12int range f0/14 -15switchport mode trunkno shutint f0/1ip add 1 no shutInt f0/2Ip add 2 no shutint f0/3ip add 3 no shutInt f0/4Ip add 4 no shutInt f0/5Ip add 5 no shut

40、int f0/6ip add 6 no shutint f0/7ip add 7 no shutint f0/8ip add 55.0no shutint f0/9ip add 9 no shutInt f0/10Ip add no shutint f0/11ip add no shutInt f0

41、/12Ip add no shutInt f0/13Ip add 0 no shutexitwrRG_B3配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/1 -4switchport access vlan 11int range f0/5 -6switchport access vlan 12int range f0/7 -9switchport access vlan 11int

42、range f0/10 -13switchport access vlan 12int range f0/14 -15switchport mode trunkno shutint f0/1ip add 4 no shutint f0/2ip add 55.0no shutint f0/3ip add 6 no shutInt f0/4Ip add 7 no shutint f0/5ip add 19

43、0 no shutInt f0/6Ip add 1 no shutint f0/7ip add 8 no shutint f0/8ip add 55.0no shutint f0/9ip add 0 no shutInt f0/10Ip add 2 no shutint f0/11ip add 192.16

44、8.55.23 no shutInt f0/12Ip add 4 no shutInt f0/13Ip add 5 no shutextiwrRG_B4的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/1 -6switchport access vlan 10int range f0/14 -15switchport mode trunkno shutint f

45、0/1ip add no shutint f0/2ip add .no shutint f0/3ip add no shutInt f0/4Ip add no shutint f0/5ip add no shutInt f0/6Ip add no shutexitwrRG_B5enavla

46、n dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/1 -13switchport access vlan 10int range f0/14 -15switchport mode trunkno shutint f0/1ip add no shutint f0/2ip add no shutint f0/3ip add no shutInt f0/4Ip

47、add 0 no shutint f0/5ip add 1 no shutInt f0/6Ip add 2 no shutint f0/7ip add 3 no shutint f0/8ip add 4 no shutint f0/9ip add 5 no shutInt f0/10Ip add 6 no shutint f0/11ip add 7 no shutInt f0/12Ip add 8 no