《广电网络的整改思路》由会员分享,可在线阅读,更多相关《广电网络的整改思路(4页珍藏版)》请在金锄头文库上搜索。
1、一、MA地址认证概述:MC地址认证是一种基于端口和AC地址对顾客的网络访问权限进行控制的认证措施,它不需要顾客安装任何客户端软件。设备在启动了MA地址认证的端口上初次检测到顾客的MAC地址后来,即启动对该顾客的认证操作。认证过程中,不需要顾客手动输入顾客名或者密码。若该顾客认证成功,则容许其通过端口访问网络资源,否则该顾客的AC地址就被添加为静默AC。在静默时间内(可通过静默定期器配备),来自此MA地址的顾客报文达到时,设备直接做丢弃解决,以避免非法MAC短时间内的反复认证。 为了将受限的网络资源与顾客隔离,一般将受限的网络资源和顾客划分到不同的VN。当顾客通过身份认证后,受限的网络资源所在的
2、L会作为授权VLAN从授权服务器上下发。同步顾客所在的端口被加入到此授权VLAN中,顾客可以访问这些受限的网络资源。要实现AC地址认证,需要提供如下功能组件:具有MAC地址认证功能的互换机为了可以对接入终端进行MC地址认证,需要接入互换机拥有MA认证功能,可以直接对接入终端进行地址认证。Rius服务器一般状况下,接入互换机无法判断终端的C地址与否合法,需要将终端的MAC提交给Rads服务器进行验证,在idowv中,ndws IAS服务可以提供原则的adiu服务,但A无法建立MAC帐户,运用indows的ActieDirctory(AD活动目录)服务与IAS服务结合,就可以实现认证和管理MC帐户
3、的功能。二、广电办公网的MA认证方案1、市局既有的设备支持MC认证管理,可以在接入设备上启用此功能,实现AC地址的认证。2、认证方式有2个措施:一、在核心上启用ocal顾客,顾客名和密码是微机的MA地址,方式是本地认证就可;二、Raius认证,需要增长服务器一台,安装操作系统就可实现。考虑到广电办公网的管理和扩容,建议使用第二中方式,增长服务器,进行Radius认证。、县公司增长的接入设备,一定要具有MC认证功能,这样,广电的办公网就可以实现所有的MAC认证。三、解决办公网浮现的自环问题办公网内浮现自环现象,容易引起整个网络的广播风暴,解决整个问题的措施就是启用端口的克制功能。当浮现自环时,端
4、口自动关系。目前广电的设备支持端口克制功能,启动后就能克制自环。具体措施为:互换机启动STP或者风暴控制功能ST:互换机启动配备stp合同后,会对整个网络进行生成树的计算,整网成树的形状,保证网络中无换路浮现。风暴控制:通过监控端口入方向的广播的报文速率,在设定的检测时间间隔内,当接口上接受报文的平均速率不小于上限时,支持阻断相应流量或者stdown接口,避免广播风暴对整网的冲击。其她阐明:对所有的接入互换机,目前不使用的端口进行人工Shdown,及时接入网线或者微机,端口也不进行工作,从而也避免环网的浮现。四、 互换机ip+ma绑定为了避免员工擅自修改本机的P地址,浮现IP冲突或者I地址使用
5、混乱问题,建议在整个广电网络上实现IP+AC绑定功能,从而大大提高网络的安全性。具体措施:通过DHPSnoopig的静态绑定表来实现IPC+端口绑定功能,先在AN下配备的静态绑定表,静态绑定表的和MAC为待绑定PC的IP和MC,然后再与P相连的互换机接口上配备IP和ARP报文检查功能。五、某些重要业务an的传播速率保证针对某些重要的业务,例如BOSS,财务等。这些业务的持续性是最重要的。因而,保证这些业务的传播速率是工作重点。具体措施:通过在互换机上qo功能,对某些重要业务不进行带宽限制,相对于不重要的业务,如上网业务等,将进行接口限速,使之不能超过某个阀值。五、 设定某特定i对互换机进行管理为了便于设备的管理,目前广电的设备都启用了远程管理功能,在以便管理的基本上,也会浮现无关人员登入设备的问题。解决措施是设定某特定i才干对互换机进行管理,其她I不能登入设备。具体措施:通过设立访问控制列表来设立对互换远程管理的p,只有符合规则的p才干对设备进行远程登录。山东万博科技股份有限公司德州分公司 杨桂海
