在实际的建设过程当中，应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性，如：校园网内部的服务器的访问，由于学生的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。

1.3 课题目的

本课题的来源是**学院校园网网络建设的过程和需要，改变原有校园网的安全性差、带宽较小、性能较低等状况。校园网的整体结构是一个通过光纤连接的三层园区网络并连接到互联网和教育网，在网络每一级的主干节点上具有一个局域网。校园网需要对学校内几千个端点进行管理，这其中存在的监控、管理、认证等各种问题十分复杂，学院的建网目标是连接学院内的所有应用节点并实现与互联网和CERNET网的安全互联，建立信息资源服务体系，在满足学院系统内信息化需求的同时，向内部师生员工和社会提供信息资源服务。基于这种情况，考虑到**学院联网计算机较多，具有较多的网络设施和应用系统，为保障校园网的运行安全和应对各种网络风险，有必要统一规划，设计一个符合四川托普学院校园网实际的校园网系统，有计划地分步骤实施。

二.需求分析和设计原则

2.1需求与分析

校园网作为一种独特的模式，既具有一般企业网的特质，又有其特殊的地方。相同之处在于：作为集团用户，接入网络都需要具有一定的独立性和相当的可统计、可管理性的特性；较之一般的企业网，校园网又会面临更复杂的用户类型和业务需求，它不是单纯的办公网络，是一个承载教学、办公自动化、图书馆等多种业务和应用的平台，并且有部分网络资源用来经营，因此对投资回报有更高的要求。

当前校园网的主要特点：网络吞吐能力高、速度快、系统规模大（多校区）；用户群庞大、多层次（教师、学生等）、接入方式多样（PPPoE、DHCP＋Web、802.1x、专线接入、WLAN等）；网络环境复杂、多网共存（教学网、科研网、办公网、无线网、学生宿舍网、教工家属网等）；数据业务复杂（网上点播、电子教室、财务、政务等）、类型多样（数据、语音、视频等）；用网时间集中、同时在线人数众多、流量巨大且分布时段不均；学生活跃、好奇、敢于尝试、攻击性强；计算机蠕虫、病毒泛滥、盗版资源泛滥、网络行为突发性高；教育网作为我国开展下一代网络研究的试验基地，其采用了先进性的技术，Cernet2试验网的开通，是我国第一个IPV6主干网，也是世界上规模最大的纯IPV6网，标志着中国下一代互联网建设拉开了序幕。一般高校校园网的主要需求有：

1.多出口需求：典型的组网有中国教育和科研网（CERNET）出口和运营商网络出口。

2.管理的需求：包括对用户和设备的管理，可操作、易管理、具备灵活的计费策略、扩展能力强。

3.区分内、外网需求：限制资源的访问，对内、网采用不同计费策略；

4.安全需求：非法的DHCP Server、病毒、攻击、上网日志等；

5.NAT需求：公网地址不够，在运营商或教育网其中一个出口做NAT；

6.多业务需求：强大的组播支持能力、多业务融合（语言、数据、饰品）能力；

7.可靠性需求：设备具备高性能、高可靠性、高稳定性、高安全性；

8.投资需求：高性价比、平滑升级、投资保护；

9.Qos需求：具备完善的QOS能力。

2.1.1具体需求

1．请补充

2．请补充。

3．请补充

4. 请补充。

2.1.2需求分析

1．请补充

2．请补充

3．请补充

4．请补充

2.2 设计目标

针对本次学院网络建设课题，按照以下目标来实施网络建设：

1．以校区网络建设为契机，将学院网络建设成为信息一体化、管理集中化、业务多样化的优秀校园网络；

2．网络结构清晰，网络层次合理数据网络需要采用分布式布线，各个配线节点通过多模光纤与中心交换机相连，形成千兆骨干、桌面百兆接入的宽带网络，网络建成后，应该实现各信息点的高速上网、能为多媒体教学科研提供一个高速承载平台，支持MPLS、IPV6等特性，方便的网络管理、安全的认证；

3．运营商级的网络系统安全性、运营安全性；

4．网络带宽大幅提升：核心层与汇聚层之间全部采用千兆并预留万兆升级接口连接，汇聚层之间采用千兆连接，当前采用1个千兆，并预留3个千兆接口以便于将来扩容，消除带宽瓶颈；

5．多样性访问权限控制与管理；针对不同类别用户采取不同认证、计费策略。

2.3 设计原则

现在高校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。高校网络建设遵循以下基本原则：

1．可管理性

高校网络是一个庞大而且复杂的网络，为了保障网络的正常使用以及设备的良好维护需要一个功能强大，具有分级、分权管理能力的网管系统，实现统一的网络业务调度和管理，降低网络运营成本。同时由于高校网络的使用者数量巨大，网上开展的业务众多，因此需要能够提供用户的高效管理，以确保用户和学校的利益不受损失。

2．可增值性

校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。

3．可扩充性

考虑到用户数量和业务种类发展的不确定性，校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。

4．开放性

技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 

5．安全可靠性

设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

三.总体设计方案及详细设计

根据校园网建设的需求和设计原则，并结合学院校园网的当前状况和未来发展趋势，本论文为学院校园网网络建设量身定制了一套合体合用的校园网建设方案。整个网络方案设计突出层次化、可管理、易维护、高可靠性的原则，确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。

3.1网络拓扑设计

3.1.1拓扑选择

网络拓扑结构，特别是网络主干拓扑结构的设计直接关系到网络性能的好坏。一般来说局域网总体结构分为三层网络结构和两层网络结构。三层网络结构包括核心层、汇聚层和接入层；两层网络结构分为核心层和接入层。

三层结构中的汇聚层一般起到分担核心层负担的作用，通常在广域网或者用户数量很大的情况下采用。两层结构相对于三层结构投资少，网络结构简单、维护方便、网络故障环节少，但是仅仅适合相对用户数量较少的情况；另外，二层结构对于有技术功底的学生来说，让核心设备直接暴露在学生的PC下面，造成不安全因素；同时，大量的服务器以及应用平台直接下带核心设备，也极大的占用了核心设备的高速转发性能，体现不出核心交换机的功能。因此，校园网一般采用三层结构，包括核心层、汇聚层和接入层。三层结构出了方便用户管理和设备管理之外，也提供了良好的网络安全性和扩展性。

核心层主要作用是提供高速传输和路由最优化通信，为下层提供优化的数据运输功能，它是一个高速可靠的主干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL，过滤等)，否则会降低数据包的交换速度。

汇聚层的作用是汇聚接入层的流量，连接核心层，为接入层和核心层提供通道。

接入层主要完成用户的接入控制，还应能对由用户接入层所区分开的不同优先级的应用加以区别对待，从而支持端到端的服务质量以及提供VLAN的功能。

根据这种层次化网络设计思想的原则，我们可以把校园网的整个网络体系结构分为以下三个层次：

u 由位于中心机房的核心交换机组成的核心层；

u 由位于楼宇机房的汇聚层交换机组成汇聚层；

u 由位于各楼层的信息点和接入组成接入层；

3.1.2拓扑结构图

总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。组网图如下所示：

请根据课题情况设计详细拓扑结构图

3.1.3拓扑结构说明

请根据课题情况对拓扑结构作出文字说明。

3.2 详细设计及设备选型

3.2.1 核心层设计

核心交换机是整个网络的计算和内部数据交换处理中心，在整个局域网内是最为关键和重要的设备。核心交换机推荐采用的**型号交换机两台。

以下请进行核心层所使用的交换机的选型和特点介绍。

3.2.2 汇聚层设计

由于校园网的各区域存在密集度高的大量用户，为了保证数据传输和交换的效率，在各个楼内设置三层楼内汇聚层。楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性。我们建议楼内汇聚采用的**型号汇聚交换机**台。

以下请进行汇聚层所使用的交换机的选型和特点介绍。

3.2.3 接入层设计 

接入层是直接与校园网众多计算机相连的设备，校园网的接入层建设中，学生宿舍区网络接入最为典型，在整个校园网的接入网建设中占有很大的比重，其主要特点是上网时间集中，突发流量大、安全控制要求高、网络布设分散，不易统一管理。

鉴于上述特点，对于学院校园网网络接入层采用802.1x认证方式，配合PVLAN、单端口环回检测、端口速率限制、集群管理等手段，达到对学生可控、可管理的目的。

以下请进行接入层交换机的选型和特点介绍。

3.3  VLAN与IP子网设计 

3.3.1  VLAN规划

采用虚拟局域网VLAN主要出于三个目的：用户隔离、提高网络效率；提供灵活的管理；提高系统安全性。因此，规划VLAN时也应该综合考虑这三方面的因素。

接入层设备为二层交换机，用于最终用户的接入。**系列以太网交换机均支持VLAN功能，为了进行不同用户间的有效隔离和互联，需要利用交换机对用户进行相应的VLAN划分。具体做法可以是将交换机的每一端口划分一个VLAN以实现所有用户间的二层隔离，此时如果需要互联，可通过上连设备的ACL功能来控制；也可以根据需要将多个交换机的不同端口划为同一个VLAN，直接实现有限制的用户互联。

3.3.2  IP子网设计

由于IP地址及域名尚未确定，本次方案中只简要提出IP分配及VLAN规划的原则。域名规划要注意层次性和一致性。内部域名、外部域名要分别设置，能体现组织结构并易于管理。

IP地址分配要遵循以下原则：

1．简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式。

2．连续性：为同一个网络区域分配连续的网络地址，便于采用SUMMARIZATION及CIDR(CLASSLESS INTER-DOMA IN ROUTING)技术缩减路由表的表项，提高路由器的处理效率。

3．可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性。

4．灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化。

5．可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。

6．安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。

根据以上设计和校园网的需求，学院校园网网络的VLAN和IP子网建议划分如下：

以下请对校园网的VLAN和子网进行设计（列出VLAN和子网对应表）。

3.3.3  IPv6网络设计

1.IPv6的优势

IPv6的发展是从1992年开始的，经过了12年的发展时间，IPv6的标准体系已经基本完善，在这个过程中，IPv6逐步优化了协议体系结构，为业务发展创造机会，归纳起来IPv6的优势包括如下几个特点：

地址充足：IPv6产生的初衷主要是针对IPv4地址短缺问题，，即从IPv4的32bit地址，扩展到了IPv6的128bit地址，充分解决地址匮乏问题。同时IPv6地址是有范围的，包括链路本地地址、站点本地地址和任意播地址，这也进一步增加地址应用的扩展性。

简单是美：简化固定的基本报头，采用64比特边界定位，取消IP头的校验和域等措施，以提高网络设备对IP报文的处理效率。

扩展为先：引入灵活的扩展报头，按照不同协议要求增加扩展头种类，按照处理顺序合理安排扩展头的顺序，其中网络设备需要处理的扩展头在报文头的前部，而需要宿端处理的扩展头在报文头的尾部。

层次区划：IPv6极大的地址空间使层次性的地址规划成为可能，同时国际标准中已经规定了各个类型地址的层次结构，这样既便于路由快速查找址格式更具层次性，也有利于路由聚合，缩减IPv6路由表大小，降低网络地址规划的难度。

即插即用：IPv6引入自动配置以及重配置技术，对于IP地址等信息实现自动增删更新配置，提高IPv6的易管理性。

贴身安全：IPv6集成了IPSec，用于网络层的认证与加密，为用户提供端到端安全，使用起来比IPv4简单、方便，可以在迁移到IPv6时同步发展IPSec。

Qos 考虑：新增流标记域，为源宿端快速处理实时业务提供可能，有利于低性能的业务终端支持IPv6的语音、视频等应用。

移动便捷：Mobile IPv6增强了移动终端的移动特性、安全特性、路由特性，降低了网络部署的难度和投资，为用户提供了永久在线的服务。

IPv6的上述特点充分迎合了未来网络向IP融合统一的发展方向，并提升IP网络的可运营可管理性。

2.IPv6运行模式设计

在整个IPv6网当中可以运行多种IPv6相关业务，因此将会出现以下相关技术，如：6to4、4to6、双栈等多种方式，如图所示，全网的资源实验访问可分为以下几种：

(1)IPV4-IPV6：

IPv4与IPv6之间的相互互通是非常重要的，在实际的应用的过程当中华为3Com采用NAT转换的方式进行互通，在IPv4用户访问IPv6的资源时，由于IPv6的IP地址丰富，可以采用一个IPV4对应一个IPv6的地址，进行转换；而IPv6用户访问IPv4的资源时，由于IPv4的地址资源相对有限，可以按照收敛比采取多对一动态的转换的方式进行互通，其基本的实现方式如图3-1所示：

图3-1 IPV4-IPV6

IPv6用户在访问Pv4的用户时，在边界路由器上进行NAT转换，过程是将IP的报头取出，改为IPv4的报头，与IPv4的用户进行互通；同样IPV4用户访问IPV6的用户时，当经过边界路由器的时候，边界路由器会将IPv4的包取出，更改为IPv6的报文格式在IPv6的网络内部实现IPv6之间的互通。

（2）IPV6-IPV4-IPV6

同样在IPv6网络的建设过程当中将会存在IPv6的孤岛跨IPv4进行互访的情况。***品牌可以支持跨IPv4网络的IPv6孤岛的互通，可支持在多个边界路由器上（必须以双栈的方式进行运行。）进行手工的配置隧道，该隧道对于最终的用户来说是不可见的， 如图3-2所示：

图3-2 IPV6-IPV4-IPV6

当一个IPv6的包经过边界路由器的时候边界路由器会将IPv6的报文封装为IPv4的包在隧道种进行传送，当报文到达对防的时候，在边界路由器上进行解封装，还原出原IP6的包，从而实现互通。

对于终端的PC机用户来说也可以实现网络的访问，PC机终端会携带IPV6请求包向IPv6接口发出请求，该报文通过IPv4网络时将会直接封装为IPv4包，当到达IPv6接口时，将还原为IPv6包，当接口得到IPv6请求时，会返回其请求的前缀，报文同样被封装为IPv4包，当到达终端IPv6主机时，会直接还原为IPv6包，并将前缀直接分给终端主机，终端主机结合自己的后缀，自动配置好IPv6地址，进而实现PC机终端与边界路由器之间的6to4隧道。

（3）双栈模式

***品牌的***型号支持双栈方式的运行，即一台路由器可实现同时处理IPv4以及IPv6两种方式，如图3-3所示：

图3-3双栈模式

在由同一个物理网络当中同时存在两种模式的IP网络，即：IPv6网络与IPv4网络，IPV6用户之间可实现互通，同时IPv4用户亦可在同一张网络当中实现互通，这样每个点的用户即可以通过核心路由器之间进行IPv4的互通，也可以通过核心路由器NE40 进行IPv6的互通，进行IPV6的相关实验。***品牌的***型号可完全实现双栈的运行方式，满足用户的各种需求。

3.IPv6整体设计

学院校园网IPv6网络的建设主要是为了在新的校园网内部建设IPv6环境，使得师生能对IPv6网络进行访问，同时逐步在IPv6网络当中开展IPv6业务，如：组播、FTP、流媒体等业务，进而提高IPV6网络的用户数量，扩大IPv6应用。**品牌的**型号等三层交换机可实现IPv6的支持，可以支持静态IPv6路由、支持基于硬件的IPv6转发，可实现IPv6到IPv4以及IPv4到IPv6等隧道技术，其整体的IPv6网络结构图设计如图  所示：

   请根据课题情况设计IPV6的拓扑结构图

四．校园网网络安全

从计算机安全学的观点分层进行分析，计算机网络的安全包括以下几个方面：首先是物理网络的安全，含网络设备物理层的安全和网络结构的安全；第二层是操作系统级的安全；第三层为应用系统的安全；最高层是信息内容，或称为数据安全。

在以上四层的安全性问题中，网络物理层的安全主要由硬件设备及机房设计来保证，网络结构的安全主要由网络拓扑及协议的设计来保证；操作系统级的安全主要由防火墙系统的设计、操作系统安全和数据库系统安全来保证；应用系统的安全主要由应用系统本身的设计保证；数据安全主要由加密和签名等技术保证。本城域网方案的目标是提供一个安全可靠的网络业务承载平台，所以此处着重探讨网络设备物理层安全、网络结构安全和应用安全等方面的内容。

从系统角度来看，网络安全不是一个简单的产品问题，网络安全首先是个系统问题。从技术角度而言，校园网的网络安全和控制主要应考虑以下几个方面：

请补充

4.1设备安全

网络设备安全是保证网络设备在物理上的可靠和安全，主要依靠网络设备本身的安全设计、双机冗余系统、冗余存储等技术、以及安全管理的意识保证。

网络的设备安全问题主要存在于以下几个方面：

u 网络硬件设备本身的不可靠性造成的故障；

u 因机房环境、意外事故（例如：火灾等）导致的设备和网路故障问题；

u 因机房结构设计不合理或机房管理不当所导致的主机设备物理入侵问题。

针对以上安全隐患，为提高网络的物理安全性，主要对策有：选用高可靠性硬件设备；提高物理设备单机的可靠性。

4.2网络结构安全

网络结构安全是指网络在结构设计上保证不会出现单点失效，主要由网络拓扑结构的设计、网络协议的选用等等来保证。

校园网络结构是校园网运行和服务的基础,无单点故障的、高可用性网络的建设至关重要，合理设计校园网的网络结构以保证网络的高可靠性,做到主干线路上任何交换机或单个链路的故障都不会影响主干网络的连通性,更不会导致整个网络的瘫痪,从基础上解决校园网面临的风险。

为了保证校园网的高可用性,达到7 *24 小时不间断服务的目标,一个全冗余、无单点故障的网络就成了校园网中心的基础。为实现路由冗余,可以采用虚拟路由器冗余VRRP 协议；为实现交换机的冗余,可以采用生成树STP 协议；为实现链路冗余,可采用链路聚合（link-aggregation） 技术；为实现服务器的冗余，可采用网卡容错AFT (Adapter Fault Tolerance) 技术等。

1.核心层链路

根据四川**职业学院校园网的网络结构，核心层设计采用了两台3层路由交换机作为整个校园网的中心交换机，各汇聚层交换机通过双链路接到两台核心交换机，在两台中心路由交换机上运行VRRP(虚拟冗余路由协议) 协议来为服务器以及来自汇聚层的各子网各自提供1 个唯一的默认网关。当任何1 台中心路由交换机发生故障时,通过VRRP 协议,另1 台中心路由交换机立即接管所有的工作,同时更新路由表,并通过动态路由协议通知校园网内的路由器（交换机）更新相应的路由表。

2.汇聚层链路

汇聚层交换机应有双链路连接到核心交换机，为保证链路的冗余和负载分配，需要在整个网络中使用生成树STP协议，该协议可应用于环路网络，通过一定的算法阻断某些冗余路径，将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环，同时STP协议结合VLAN的结构可将不同VLAN分配到不同链路传输，达到线路负载均衡的功能，在校园网主干区域构成稳定可靠的结构。

3.接入层链路

为了消除由接入交换机引起的单点故障,必须设置冗余的交换机。可以将两个交换机级联(或堆叠) 在一起,从逻辑上组成1 个交换机。为提高级联的可靠性,可采用端口聚合的方式进行双链路级联。

4.服务器链路

链路故障或网卡故障都将导致服务器不能连到相应的接入交换机。服务器可采用双网卡接到不同的接入交换机。在服务器上安装2 块网卡,分别连接到2 台不同的接入交换机,利用AFT (Adapter Fault Tolerance) 技术实现网卡间的容错,当主网卡或该网卡到所连的交换机链路发生故障时,服务器会立刻将该网卡上的流量转移到备份网卡上,这个过程不超过2 秒。

4.3网络应用安全

谈到网络应用安全，人们首先想到的是网络黑客。确实，网络黑客几乎与网络同时诞生，黑客与反黑的斗争从来就没有停止过。要有效防止黑客，就必须首先了解黑客所使用的手段。一般说来黑客所使用的手段主要有下面几类。

4.3.1 网络嗅探

一般说来，有网络路由器的地方都有探测程序（sniffer program）。探测程序是一种分析网络流量的网络应用程序。IP的最基本的缺点是缺乏一种机制来确定数据包的真正来源。所有的包都含有源地址和目的地址，但是在IP包中没有任何东西可以确认IP包的源和目的地址是否变动过。显然，安全性不好的系统将是黑客进驻和安装探测软件的地方。一旦探测软件安装完毕，黑客就可以通过分析经过的所有数据流量，从而得到所需要的地址、帐号和密码等数据。其中典型的包探测程序也就是利用IP的弱点，因为它可以用来探测有效的Internet连接。一旦这种连接被检测到，包探测程序就可以利用IP的其它弱点窃取其它连接信息。

4.3.2 ARP欺骗

2006年4月以来在很多校园网内出现了较大范围的ARP欺骗病毒和木马程序的传播，感染了ARP 欺骗病毒的计算机会向同网段内所有计算机发ARP欺骗包，导致网络内其它计算机因网关物理地址被更改而无法上网，被欺骗计算机的典型症状是刚开机能上网，几分钟之后断网，如此不断重复，造成了该子网段范围内的不稳定，影响其它机器的正常使用。更为严重的是ARP欺骗病毒及其变形“恶意窃听”等病毒的中毒主机会截取局域网范围内所有的通讯数据。

4.3.3 IP地址欺骗

当一个黑客开始使用一种用以散布网络路由信息的应用程序RIP时，一种路由方式的地址欺骗就开始了。一般说来，当一个网络收到RIP信息时，这种信息是没有得到验证的。这种缺陷的结果是使得黑客可以发送虚假的路由信息到他想进行欺骗的一台主机，如主机A。这种假冒的信息页将发送到主机A的路径上的所有网关。主机A和这些网关收到的虚假路由信息是来自网络上的一台不工作或没有使用的主机，如主机B。这样，任何要发送到主机B的信息都会转送到黑客的计算机上，而主机A和网关还认为信息是流向了主机B——网络上一个可信任的节点。一旦黑客成功地将他的计算机取代了网络上的一台实际主机，就实现了主机欺骗。

4.3.4 DOS攻击

DOS攻击也称强攻击，其最基本的方法就是通过发起大量的服务请求，消耗服务器或网络的系统资源，使之最终无法响应其它请求，导致系统瘫痪。具体实现方法有下面几种：

1.PING/ICMP Echo Flood攻击

这种攻击模式一般是发起大量的ICMP Echo请求给一个指定的目标，以达到使服务瘫痪的目的。但是需要发起这么大量的ICMP 请求是不可能从一台具有正确IP地址的主机上做到的，因为这样也会对自身产生很大的影响，发起者不得不接受同样多的回应。所以HACKER需要利用虚假的地址再发起攻击。

我们可以利用ZXR10-UAS 的源地址验证功能实现防止PING攻击。

2.SMURF攻击

SMURF攻击类似与PING攻击，是一种带宽消耗的攻击模式。它需要大量虚假ICMP请求导向到IP广播地址上。当一个包是从设备的本地网络外发送到本地网络的广播地址的时候，它被转发到这个本地网络的所有设备上。于是我们可以看到在SMURF攻击中有3大部分：发起攻击者，中间系统，和受害者。当然中间系统也可能同样是受害者。中间系统接从广播地址那里收到ICMP应答请求，当这些设备同时回答请求的时候，就会导致严重网络阻塞。

防止SMURF攻击的重要措施是在路由器上配置不准广播进入的条目。我们也可以利用ZXR10-UAS的安全ARP功能去阻挡流量到广播地址。

3.SYN攻击

TCP SYN攻击是一种以大量虚假IP地址发起SYN握手信号消耗掉被攻击设备的资源的攻击模式。设备要做出大量的SYN回应，而三次握手却是无法正常完成，必须等待Time out之后（通常是1分钟左右）。在短时间内大量发起SYN攻击，会很快消耗完设备的资源，让被攻击者无法完成正常的TCP服务，如E-MAIL，WWW等。

4.LAND攻击

LAND攻击是SYN攻击一种演变，它似的好象主机是在自己给自己发送包，从而让系统变得不断的尝试应答自己。

5.分布式DOS攻击（DDOS）

DDOS攻击是一种更严重的攻击手段，它通过某些主机操作系统/软件的缺陷，从而操纵大量的第三方设备向目标发起攻击，扩大了DOS攻击的强度。一般来说，HACKER主要利用EMAIL或者JAVE Script等去控制其他主机，而且通常都以UNIX主机/服务器为主，因为它们是24*7工作模式，方便被HACKER在方便的时候操纵和发起攻击。通常我们需要在路由器上打开外出包过滤去防止欺骗包离开网络，同时也可以采用工具去搜索本网络中DDOS的引擎并且删除它。

黑客攻击是网络应用安全的重点，但并不是全部。网络应用安全还应该包括对网络内部不同用户权限的外部访问控制（例如没有授权用户不准上Internet或不准访问与公司业务无关的娱乐性网站等）。

4.4 安全控制

从不同的角度分别探讨以***交换机为核心的校园网为实现整个网络的安全性而采取的多种安全控制机制。

4.4.1访问控制列表(ACL) 

***交换机支持许多种不同类型的安全能力，提供了过滤和防火墙技术。对于***交换机，支持DES对称性加密算法，提供了加密口令、认证、改变配置请求许可以及提供统计信息等功能。同时采用控制访问列表（ACL）技术提供网络的安全性，支持VPN技术，如L2TP、IPSec、MPLS VPN等，同时ZXR10也支持NAT等功能。完全满足不同用户的安全需求。

在公共或不可信的IP网络上，安全性、私密性及机密性对于虚拟专用网VPN来说是极为重要的。ZXR10软件通过提供路由器认证和网络层的加密服务而减少信息的暴露。

访问控制列表(ACL)是控制包过滤(转发、阻塞、重定向)的列表。系统根据接口或电路的ACL来控制包的转发、阻塞、重定向。

下列特性适用于***交换机的ACL：

u 列表包含多个课题，ACL中的每个课题按照先后顺序进行处理。

u 每个列表有一个隐含的“deny all else”语句位于列表最后，即：如果包不匹配列表中的任何过滤语句，就被丢弃。

u 所有因ACL被丢弃的包同样被计数。

u 过滤类型包括IP(UASic and extended), ICMP, TCP, UDP, and bridging。

u 支持输入/输出过滤。

u 所有ACL在context内定义。

u 访问组可以通过用户配置文件直接作用于接口或间接作用于电路。如果ACL同时作用于电路和接口，通过的包将按顺序通过两个过滤器。输入先通过电路，再通过接口，输出先通过接口，再通过电路。

除了permit 和 deny, 过滤功能还支持redirect关键字。不管转发表信息如何，匹配的包总是被发送到特定的接口(和可以支持ARP的介质的下一条地址)。

4.4.2源地址确认

源地址确认拒绝所有来自其他地址的IP包。其主要特征如下：

u 确认地址是否对于源地址的电路有效。

u 拒绝任何不正确的源地址。

u 有效地防止HACKER地址欺骗和发起DOS攻击，如ICMP Echo/PING和SYN Flood。

4.4.3 Bridged Access Control Lists 

Bridged Access Control Lists类似于IP的ACL，但是它是基于MAC头进行过滤的，如目的/源MAC地址，Ether 类型，或者LSAP(link Service Access Point)，BACL是和一个指定的电路或者界面和用户相关的。它能防止诸如攻击Windows Share目录情况发生，因为可以配置阻挡NetBios LSAP的通过。

五．设备清单与主要指标

5.1 设备清单

请根据课题需求进行网络设备的详细清单：

5.2 设备主要技术参数指标

六．系统实施