广电网络的整改思路.docx

《广电网络的整改思路.docx》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、一、MAC地址认证概述：MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。若该用户认证成功，则允许其通过端口访问网络资源，否则该用户的MAC地址就被添加为静默MAC。在静默时间内（可通过静默定时器配置），来自此MAC地址的用户报文到达时，设备直接做丢弃处理，以防止非法MAC短时间内的重复认证。 为了将受限

2、的网络资源与用户隔离，通常将受限的网络资源和用户划分到不同的VLAN。当用户通过身份认证后，受限的网络资源所在的VLAN会作为授权VLAN从授权服务器上下发。同时用户所在的端口被加入到此授权VLAN中，用户可以访问这些受限的网络资源。要实现MAC地址认证，需要提供以下功能组件：Ø 具有MAC地址认证功能的交换机 为了能够对接入终端进行MAC地址认证，需要接入交换机拥有MAC认证功能，能够直接对接入终端进行地址认证。 Ø Radius服务器 一般情况下，接入交换机无法判断终端的MAC地址是否合法，需要将

3、终端的MAC提交给Radius服务器进行验证，在Windows server 2003中，Windows IAS服务能够提供标准的Radius服务，但IAS无法建立MAC帐户，利用Windows的Active Directory（AD活动目录）服务与IAS服务结合，就可以实现认证和管理MAC帐户的功能。二、广电办公网的MAC认证方案1、市局现有的设备支持MAC认证管理，可以在接入设备上启用此功能，实现MAC地址的认证。2、认证方式有2个办法：一、在核心上启用local用户，用户名和密码是微机的MAC地

4、址，方式是本地认证就可；二、Radius认证，需要增加服务器一台，安装2003操作系统就可实现。考虑到广电办公网的管理和扩容，建议使用第二中方式，增加服务器，进行Radius认证。3、县公司增加的接入设备，一定要具有MAC认证功能，这样，广电的办公网就可以实现全部的MAC认证。三、解决办公网出现的自环问题办公网内出现自环现象，容易引起整个网络的广播风暴，解决整个问题的办法就是启用端口的抑制功能。当出现自环时，端口自动关系。当前广电的设备支持端口抑制功能，开启后就能抑制自环。具体办法为：交换机开启STP

5、或者风暴控制功能STP：交换机开启配置stp协议后，会对整个网络进行生成树的计算，整网成树的形状，保证网络中无换路出现。风暴控制：通过监控端口入方向的广播的报文速率，在设定的检测时间间隔内，当接口上接收报文的平均速率大于上限时，支持阻断对应流量或者shutdown接口，避免广播风暴对整网的冲击。其他说明：对所有的接入交换机，当前不使用的端口进行人工Shutdown，及时接入网线或者微机，端口也不进行工作，从而也避免环网的出现。四、交换机ip+mac绑定为了避免员工私自修改本机的IP地址，出现IP冲突或

6、者IP地址使用混乱问题，建议在整个广电网络上实现IP+MAC绑定功能，从而大大提高网络的安全性。具体措施：通过DHCPSnooping的静态绑定表来实现IP+MAC+端口绑定功能，先在VLAN下配置的静态绑定表，静态绑定表的IP和MAC为待绑定PC的IP和MAC，然后再与PC相连的交换机接口上配置IP和ARP报文检查功能。五、某些重要业务vlan的传输速率保证针对某些重要的业务，比如BOSS，财务等。这些业务的连续性是最重要的。因而，保证这些业务的传输速率是工作重点。具体措施：通过在交换机上qos功能

7、，对某些重要业务不进行带宽限制，相对于不重要的业务，如上网业务等，将进行接口限速，使之不能超过某个阀值。五、设定某特定ip对交换机进行管理为了便于设备的管理，现在广电的设备都启用了远程管理功能，在方便管理的基础上，也会出现无关人员登入设备的问题。解决办法是设定某特定ip才能对交换机进行管理，其他IP不能登入设备。具体办法：通过设置访问控制列表来设置对交换远程管理的ip，只有符合规则的ip才能对设备进行远程登录。山东万博科技股份有限公司德州分公司杨桂海