华为整体网络-解决方案方法.doc

《华为整体网络-解决方案方法.doc》由会员分享，可在线阅读，更多相关《华为整体网络-解决方案方法.doc（36页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、-_项目编号: 华为网络整体解决方案华为网络整体解决方案华为整体网络解决方案_36 - 2目目 录录1概述.3 2企业网络建设设计原则.4 3华为产品解决方案.6 3.1整体架构设计.6 3.1.1总体网络架构.6 3.1.2有线网络解决方案.7 3.1.2.1核心层网络设计.7 3.1.2.2汇聚层网络设计.7 3.1.2.3接入层网络设计.8 3.1.3数据中心解决方案.8 3.1.4无线网络解决方案.8 3.1.4.1无线网络的建设需求.9 3.1.4.2无线网络解决方案.11 3.2高可靠性设计.14 3.2.1网络高可靠性设计.14 3.2.2设备高可靠性设计.14 3.2.2.1重

2、要部件冗余.14 3.2.2.2设备自身安全.15 3.3安全方案设计.16 3.3.1园区网安全方案总体设计.16 3.3.2园区内网安全设计.17 3.3.2.1防 IP/MAC 地址盗用和 ARP 中间人攻击.17 3.3.2.2防 IP/MAC 地址扫描攻击.18 3.3.2.3广播/组播报文抑制.20 3.3.3园区网边界防御.20 3.3.4园区网出口安全.21 3.3.5无线安全设计.22 3.3.5.1无线局域网的安全威胁.23 3.3.5.2华为无线网络的安全策略.23 4设备介绍.25 4.1Quidway S9300 系列交换机.25 4.2Quidway S7700 系

3、列交换机.32 4.3Quidway S5700 系列交换机.37 4.4无线控制器 WS6603.44华为整体网络解决方案_36 - 31概述概述企业园区网络承载企业所有 IT 基础设施和企业所有上层软件应用，对一个企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视，传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中，还是在公司的咖啡厅、待客室，今天的用户都需要方便地获取各种网络服务。一个典型的企业园区网络通常由楼宇办公网络、数据中心、Internet 出口、以将这四部分互联起来的主干网络组成，其中办公网络可分为有线网络和无线网络。在规划与建设一个企业园区网络的时候

4、，这些部分都要充分考虑。 同时，企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问题，如何构建一个保障企业未来 510 年扩展，同时兼顾设备的投资保护的企业园区网络，困扰着每一位企业 CIO。 华为企业园区网解决方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性，可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业园区网络。 华为整体网络解决方案_36 - 42企业网络建设企业网络建设设计原则设计原则在网络建设项目中，我们应该遵循以下设计原则：1) 合理性、整体性原则系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的需求是系统建设的首要原则。

5、深入调研，全力做好网络与信息系统安全检测、监测和认证的需求分析，这是系统成败的关键；充分考虑已有资源（软硬件设备及人员）合理利用，避免出现不必要的浪费；系统建设尽可能模拟国内外最常用的几种网络应用模式。系统建设要有一定的前瞻性。在网络建成后的 3-5 年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。2) 标准化原则为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性，应建立一个开放的、遵循国际标准的网络系统。建设的方案要科学、正确、严谨、且现实可行；采用的先进技术应是成熟的、经过实践证明是成功的技术；

6、选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品3) 先进性原则系统建设应充分考虑网络通信技术和互联网技术的发展，建设是循序渐进的，初期重点应在网络基础环境和基本系统上：系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境；系统实现采用先进的网络技术、网络安全检测技术。4) 安全可靠性原则华为整体网络解决方案_36 - 5本系统具有特殊性，因此安全保密性非常复杂。系统要有极强的自我保护能力。选用具有 C2 安全级或 B1 安全级的系统软件平台；配置功能齐全、可视化程度高的网管系统，对网络运行情况进行实时监督和控制；采取访问权限控制、设置密钥、数据更新认证等多种手段保

7、证数据安全。5) 可管理性原则随着网络规模的扩大和系统复杂程度的增加，网络的管理、监控和维护，以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护，本方案将提供先进而完善的网络管理系统。这样，即方便网络管理员的工作，减轻了劳动强度，也提高了网络系统的管理程度。6) 灵活、可伸缩性原则为适应因特网和互联网络技术的发展，系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外，在网络系统的设计过程中，还需要考虑整个网络系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求，又能满足今后整个计算机系统的发展需要。应用软件设计要采用结构化和模块设计方法，使系统逻辑结构清晰、

8、易读，在功能的划分和设计时，使各模块尽可能相对独立、减少相关性以易于扩充、维护和修改。网络系统要具有异种设备的异种网络的互联互通能力，以达到保护已有资源并能与其他信息系统交流信息的目的。7) 绿色节能原则随着数据中心的不断壮大，数据中心的电费不断增长，目前，通信/IT 设备节能是降低能耗的基础，采用底能耗的设备是节能减排最主要的途径。华为整体网络解决方案_36 - 63华为产品解决方案华为产品解决方案3.1 整体架构设计整体架构设计3.1.1 总体网络架构总体网络架构整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采

9、用模块化的设计方法，组网图如下所示：网络架构整个网络的设计方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，通过模块化或者购买单独设备的方式提供 WLAN AC 控制器，在汇聚层交换机，提供防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。整个网络的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接华为整体网络解决方案_36 - 7入核心交换机，交换机之间采用 TRUNK 链路保证链路级可靠性。3.1.2 有线网络解决方案有线网络解决方案整个网络层次建议采用业界成熟的三层

10、架构：接入、汇聚和核心，最后企业园区通过出口层网络设备（路由器或交换机）连接到外网通过。这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。3.1.2.1核心层网络设计核心层网络设计核心层交换机部署在园区核心机房中，汇聚各楼宇/区域之间的用户流量，提供三层交换机功能，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层，应该在提供大容量、高性能 L2/L3 交换服务基础上，能够进一步融合了硬件 IPv6，可为园区构建融合业务的基础网络平台，进而帮助用户实现 IT 资源整合的需求。所以建议核心层采用双机冗余备份的方式构造，消除单点故障

11、，设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G 链路互联，达到高带宽、高转发性能的效果。本次建议采用华为的 S9300 高性能交换机构造核心层，实现高性能的骨干网络。华为 S9300 支持大容量、高转发性能，完全能够满足各网络的数据转发。3.1.2.2汇聚层网络设计汇聚层网络设计汇聚层交换机的重要性也是比较高的，一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为园区网的网关，终结园区网用户的二层流量，进行三层转发。当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一

12、跳网关，能够承载校园园区融合业务的需求。根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡华为整体网络解决方案_36 - 8器、WLAN AC 控制器）或者旁挂独立的增值业务设备（如 WLAN 盒式 AC 等），为园区网用户提供增值业务。汇聚层与核心层共同组建成骨干网络，所以汇聚设备的性能要求也是比较高的，建议采用 10G 的链路互联，达到万兆骨干网络。汇聚交换机需要提供高密度的 GE 接口，汇聚接入交换机的流量，通过10GE 接口接到核心交换机，推荐使用 S9300 系列交换机作为园区汇聚层交换机。3.1.2.3接入层接入层网络设计网络设计接入层交换机一般部署在楼道的网络机柜中

13、，接入园区网用户（PC 机或服务器） ，提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机）。提供网络的第一级接入功能，一般完成简单的二层交换，安全、Qos 都位于这一层。对于园区网的接入层设备，建议采用千兆二层接入的方式，应该具有线速二层交换、IRF 智能弹性堆叠技术以及高级 QoS 策略等功能。3.1.3 数据中心数据中心解决方案解决方案数据中心的设计目标是实现高冗余、高带宽、高安全性、高可靠性等目的。数据中心内的网络设备主要是：核心交换机、核心防火墙、核心路由器、负载均衡设备。核心交换机的主要功能是连接服务器，因此必须考虑企业未来的业务增长，核心交换机必须具有很好的扩展性，随

14、着以后网络的扩展，必须具有多个插槽，以便以后网络扩展的时候能够增加网络模块。由于核心交换机在整个网络中具有十分重要的地位，因此核心交换机必须具有电信级的可靠性和稳定性，核心网络对数据的快速转发速度要求很高，因此核心交换机需要具备高容量的交换带宽和包转发速率。我们建议采用华为的 S7700 系列高性能交换机，采用双机双电源。可实现万兆或者千兆接入，实现数据中心高转发性能的效果。并且可以通进扩展防火墙模块等方面，实现数据中心的安全。华为整体网络解决方案_36 - 93.1.4 无线网络解决方案无线网络解决方案随着以太网的广泛应用，因特网的日益普及，以及移动终端的不断增加，人们对移动 IP 接入的需

15、求迅速增长。无线局域网 WLAN(Wireless Local Area Network )作为有线以太网的延伸，一定程度上满足了这种需求。 由于无线网络的部署灵活性高，所以受到很多用户的青睐，整个无线网络，WLAN 解决方案可以运行在现有的有线企业网络的基础上，也可以采用一个独立的网络。它为园区提供了具有部署方便性、安全性、可扩展性的无线网络，让用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务。我们建议采用华为的无线解决方案，在核心网络中部署一套无线控制器，无线 AP 接入到接入层交换机上，各无线 AP 通过无线控制器统一管理。从而实现易维护、易管理。3.1.4.1无线网络的

16、建设需求无线网络的建设需求在无线网络建设中，为了解决大规模部署情况下的统一配置、调整问题，以及射频的智能管理问题，现在无线网络建设普遍都采用了瘦 AP 建网模式。瘦 AP 的另一个好处是实现了三层漫游环境下避免重新认证，从而使漫游切换时间小于 50ms。这对于企业的移动业务，尤其是对切换时间要求最苛刻的语音业务意义重大。然而，随着无线网络的发展，一些新的需求也逐渐变得越来越强烈。主要有以下几个方面：华为整体网络解决方案_36 - 10稳定问题：稳定问题：由于 WLAN 网络的组网设计包含无线控制器、接入交换机、无线接入点等大量设备，在大部分情况下，还需要通过以太网解决供电问题，所有这些环节都会

17、影响校园无线网络的稳定性；同时由于无线信号的传播深受环境影响，多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象，实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以如何实时根据环境动态调整无线接入点的信道、发射功率等也是经常困扰无线校园管理人员的难题。安全问题：安全问题：由于无线网络的特殊性，园区无线用户的安全问题就更加突出。对无线网络的用户来说，所有有线网络存在的安全威胁和隐患都同样存在。同时，任何不可信的无线设备可以在信号覆盖范围内进行网络接入的尝试，一定程度上也加剧了无线用户所面临的安全隐患。无线网络的安全问题已经不再是单一的物理层安全，也包括了用户接入安全、网络层安全、设备

18、安全、安全管理等多个层面上，如何能使企业无线用户在使用网络时能够像使用有线网络一样安全、可靠，正逐渐成为无线企业网络建设所关注的核心。华为整体网络解决方案_36 - 11管理问题：管理问题：相对于 FAT AP 来说，虽然 FIT AP 解决方案帮助网区管理人员实现了无线网络的灵活安装与应用，但管理无线网络却仍然是一项非常耗时且麻烦的事情。在无线园区网络环境中尤为如此。传统的 FIT AP 解决方案由无线控制器（AC）及无线接入点（FIT AP）构成，虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能，但是与有线网络难于统一，无法在整个企业范围内实现用户管理及认证、服务质量控制和安全

19、策略实施等。因此，通常引入无线网络会降低安全性，整个网络管理起来比较复杂，并且维护成本也比预期高。把网络作为一个整体，整合有线和无线网络，实现统一的网络控制和管理，对于企业来说具有重要的意义。扩展问题：扩展问题：WLAN 技术的发展日新月异，新技术、新标准层出不穷，除了呼之欲出的802.11n，在教育行业一个重要的门槛技术是 IPv6。所有的无线产品和解决方案都要为未来的升级和应用做好准备。应用问题：应用问题：随着 WLAN 技术的逐步成熟，市场上各种各样的 WLAN 终端如笔记本电脑、PDA、双模手机、支持 Wi-Fi 的游戏机、即拍即传的数码相机如雨后春笋般涌现出来，同时价格越来越低，普及

20、程度越来越高，使得无线新业务在园区网中的丰富应用成为可能。如何在无线网络这个开放的平台上开展丰富的业务是建设者必须要考虑的问题。例如 VoWiFi、无线监控等业务，解决了园区内部和各园区之间通讯费用高、无线监控和无线多媒体教学的问题，让无线接入变得更有价值。华为整体网络解决方案_36 - 123.1.4.2无线网络解决方案无线网络解决方案无线管理中心无线管理中心管理中心管理中心无线交换机无线交换机运营管理中心运营管理中心室内型热点无线覆盖室内型热点无线覆盖办公楼办公楼室外型热点无线覆盖室外型热点无线覆盖职工公寓职工公寓园区有线骨干网PoE供电接入无线业务应用无线业务应用移动数据业务移动数据业务

21、Wi-Fi语音漫游语音漫游华为无线网络解决方案有效实现了有线和无线网络的融合，通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，为园区用户提供安全的无线接入。根据用户需求，通过在华为系列交换机中加入无线控制器插卡或者使用单独的无线控制器，就可为原有的有线网络提供无线支持，还可以像扩展和管理传统有线网络一样，对无线网络进行扩展和管理。可以收到无线信号的地方立即访问各种网络服务。 安全性、高安全性、高 QoSQoS 保障保障 华为园区网络 WLAN 解决方案从用户接入安全、网络安全、设备安全等多个方面保障无线网络的安全，使园区用户安全可靠的使用 WLAN 网络。 用户接入安全：华

22、为园区 WLAN 解决方案提供了多样化的用户接入认证以及加密解决方案。无线接入认证主要支持基于 MAC 地址认证、802.1x 认证、Portal 认证等保证用户安全合法的接入，支持 WEP/TRIP/CCMP 等加密措施防范无线接入用户数据被盗。同时可以通过部署 VLAN 隔离、端口隔离等业务隔离技术避免用户间相互影响。华为整体网络解决方案_36 - 13网络安全：通过接入点对 RF 环境的不间断扫描和监控，防止企业受到未经授权的不安全的 WLAN 接入点或恶意接入点的影响。设备安全：无线接入点 AP 提供“零配置”功能，无需在设备保存业务配置，仅启动的时候自动从无线控制器加载业务配置，这样

23、可以避免设备丢失造成配置泄漏而形成对无线网络的安全威胁。园区 WLAN 解决方案可以通过虚拟 AP&VLAN 构建一个单独的访客网络为客户、供应商等访客人士提供互联网服务访问权限。对于不同 SSID 承载的用户业务，由于无线空口资源有限，若某个 SSID 流量过大，比如访客访问 Internet，则可能造成园区用户的不能正常访问无线网络开展业务。因此基于 SSID 的限速，可以避免其中一种业务流量过大对其他业务造成影响。另外，基于快速漫游技术可以实现园区无线用户一次认证移动接入。用户移动到新的接入点时，如果用户之前已经认证过，则用户此时无需再次通过安全认证，直接接入，保证用户业务的连续性。 部

24、署方便、扩展灵活部署方便、扩展灵活 WLAN 网络部署简化，安装便捷。WLAN 的安装工作简单，它无需施工许可证，不需要布线或开沟挖槽。设备的零配置部署功能可以在无线改造现有网络的基础上轻松部署 WLAN。 无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点。随着无线网络的扩展，新添加的无线接入点能自动检测到无线控制器，并下载相应的配置信息以及策略信息，无需任何手动操作。 统一的网络管理、智能运维统一的网络管理、智能运维 统一的网络管理设备可以实现有线无线网络的统一化管理，简易网络管理操作，结合智能化的网络运维提升了网络管理效率。无线接入点能够监控环境温度变化，当环境温度低于零下 10时

25、，启动加热板，确保低温时的正常工作。而且无线接入点检测到电压将要无法供应的情况下（复位或故障） ，上报该告警，描述最后的工作状态，方便故障定位。 稳定性稳定性华为 WLAN 稳定性解决方案从无线控制器的可靠性，接入交换机供电的可华为整体网络解决方案_36 - 14靠性、无线信号的可靠性这几方面入手，极大的提高了 WLAN 网络的可靠性；在实际的使用情况来看，启用这些措施之后，WLAN 的可靠性能够得到明显的提升。 全面的全面的 PoEPoE 解决方案解决方案PoE 设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输数据的同时传输直流电。因为 AP 往往要求使用不间断电源（UPS）供

26、应电力，采用 PoE 设备，AP 端仅仅通过一根 RJ-45 网线与网络连接即可以同时传输数据和电力，因此在使用 PoE 设备的情况下，所有的 AP 都使用一个 UPS 在 PoE 设备端进行保护。如果不使用 PoE 设备，就需要给每个 AP 配一个 UPS，而且还需要在 AP 附近安装电源插座，增加了成本。因此使用 PoE 设备将大大降低设备成本和管理成本。PoE 具有非常明显的优势，具体如下：简化安装，降低成本，不需为每个网络设备单独提供数据和电力线缆。灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源输出口。 可靠性增强，有 SNMP 能力的 PoE 装置，可实施远程检测

27、和控制，能有效地处理或修理装置的耗电量和（或）失效故障。3.2 高可靠性设计高可靠性设计3.2.1 网络高可靠性设计网络高可靠性设计针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。接入层网络是二层网络，接入交换机与汇聚交换机之间通过 Smart Link/STP/RSTP/MSTP/RRPP 保证网络可靠性，同时解决二层网络环路问题；汇华为整体网络解决方案_36 - 15聚层交换机之间通过 VRRP（BFD for VRRP）协议确定用户的主备网关，交换机互联通过 TRUNK 链路，保证链路级可靠性，汇聚交换机与接

28、入交换机之间可通过 DLDP 协议检测光纤单向故障（单通故障） 。园区网接入/汇聚/核心交换机通过虚拟化技术进行集群（或堆叠） ，将两台/多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时，提高网络可靠性，是未来高可靠性园区网的发展趋势。3.2.2 设备高可靠性设计设备高可靠性设计3.2.2.1重要部件冗余重要部件冗余设备本身要具有电信级 5 个 9 的可靠性，需要网络设备支持: 主控 1:1 备份 交换网 1+1/1:1 两种方式 DC 电源 1+1 备份；AC 电源 1+1/2+2 备份 模块化的风扇设计，高端配置支持单风扇失效 无源背板，高可靠性 独立的设备监控单元，和主控解耦所有模

29、块热插拔 完善的各种告警功能 设备管理 1:1 备份3.2.2.2设备自身安全设备自身安全如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大。华为整体网络解决方案_36 - 16这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。华为公司全系列园区网交换机（S9300/S7700/S5700/S3700/S2700）提供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。华为全系列交换机支持的攻击防范功能包括防 DDOS 攻击、IP 欺骗攻击

30、、Land 攻击、Ping of Death 攻击、Teardrop 攻击、ICMP Flood 攻击、SYN FLOOD 攻击等。另外，以太网交换机的 MAC 地址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生 MAC 地址攻击的时候，攻击者通过不停的发送 MAC 地址来刷新，填充交换机的 MAC 地址表，由于 MAC地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP 攻击与此类似，通过攻击报文来更改 MAC 与 IP 地址的绑定，从而重新定向流量。华为全系列交换机可以通过 MAC 地址与端口的绑定以及限制端口/VLAN/VSI 下 MA

31、C 地址的最大学习个数可防止 MAC 扫描，并通过VLAN、IP、MAC 之间的任意绑定可防范 ARP 攻击（SAI/DAI 功能） 。华为全系列交换机支持黑洞 MAC 功能，园区交换机收到报文时比较报文华为整体网络解决方案_36 - 17目的 MAC 地址，若与黑洞 MAC 表项相同则丢弃该报文。当用户察觉到某MAC 地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞 MAC，从而将具有该 MAC 地址的报文过滤掉，避免遭受攻击。3.3 安全方案安全方案设计设计3.3.1 园区网安全方案总体设计园区网安全方案总体设计从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和

32、安全防御，对企业内部进行安全区域划分、隔离和权限控制，对企业外部用户访问进行安全控制、数据加密，防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。3.3.2 园区园区内网安全设计内网安全设计3.3.2.1防防 IP/MAC 地址盗用和地址盗用和 ARP 中间人攻击中间人攻击1) 防 IP/MAC 地址盗用华为整体网络解决方案_36 - 18DHCP Snooping 技术是 DHCP 安全特性，通过建立和维护 DHCP Snooping绑定表过滤不可信任的 DHCP 信息，这些信息是指来自不信任区域的 DHCP 信息。DHCP Snooping 绑定表包含不信任

33、区域的用户 MAC 地址、IP 地址、租用期、VLAN-ID 接口等信息，DHCP Snooping 绑定表可以基于 DHCP 过程动态生成，也可以通过静态配置生成，此时需预先准备用户的 IP 地址、MAC 地址、用户所属 VLAN ID、用户所属接口等信息。园区交换机开启 DHCP-Snooping 后，会对 DHCP 报文进行侦听，并可以从接收到的 DHCP Request 或 DHCP Ack 报文中提取并记录 IP 地址和 MAC 地址信息。另外，DHCP-Snooping 允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发 DHCP Offer 报文，而不信任端

34、口会将接收到的 DHCP Offer 报文丢弃。这样，可以完成交换机对假冒 DHCP Server 的屏蔽作用，确保客户端从合法的 DHCP Server 获取 IP 地址。2) 防 ARP 中间人攻击华为整体网络解决方案_36 - 19Dynamic ARP Inspection (DAI)在交换机上基于 DHCP Snooping 技术提供用户网关 IP 地址和 MAC 地址、VLAN 和接入端口的绑定， 并动态建立绑定关系。对于用户终端没有使用 DHCP 动态获取 IP 地址的场景，可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤 ARP 请求响应报文中的源 MAC、源 IP 是否可以匹配上述绑定表，不能匹配则认为是仿冒网关回应的 ARP 响应报文，予以丢弃，从而可以有