广州琶州会展中心C区网络建设项目

　　前言:

　　2008年9月30日,这一天对大多数人来说,仅仅是2008年里又一个平凡的一天的开始,但在中国广东省广州市琶洲这个地方,却意义非凡。因为在这一天中国进出口商品交易会(广交会)琶洲展馆C区已经全部竣工，自此广交会完完全全的实现了自1957年创办广交会以来前后共分四次迁址后迈出的最后一步。这最后一步不仅意味着广交会最终整体搬迁至琶洲,还意味着在十一黄金周后举行的第104届中国进出口商品交易会(广交会)将首次全部在广州琶洲新馆内举行，流花湖老馆将正式退出历史舞台。而更大的意义在于，从2008年9月30日开始广交会展馆将成为亚洲设施最先进、功能最齐全的国际会展中心。对我们齐普生人来说,这一天同样不同凡响,因为在竣工的这一瞬间，在琶洲成功迈出的这最后一步里,齐普生人承担了琶洲展馆C区网络的工程实施和维护保障工作,为琶洲展馆C区的网络建设、为后续第104届广交会的顺利召开做出了应有的贡献。

　　项目方案:

　　广交会琶洲展馆C区网络核心、汇聚部分由16台H3C S9500系列高性能交换机组成 ,负责内部办公、办证及各个展厅的网络连接服务，其中信息中心、内部办公、办证及服务器区最为重要。出口通过信息中心2台核心交换机H3C S9512分别通过万兆线路连接到二期主、备核心设备,实现因特网连接。

　　广交会琶洲展馆三期展馆网络拓扑图

项目特点:

　　从上面的拓扑结构图不难看出,第104届广交会琶洲展馆C馆的局域网规划很完善，C馆的网络设计在秉承和借鉴了广交会琶洲A、B馆网络优良设计思路的同时,在诸如防ARP攻击、防无线干扰等方面采用了H3C设备独具魅力的功能,让C馆网络更加健壮和稳定。琶洲C馆的网络设备架构方式继承了A、B馆使用可靠性极高的冗余备份设计理念，所有核心层及汇聚层网络设备全部使用双机热备形式，所有接入层交换机都使用双链路上行到汇聚层交换机。这样的网络架构可以保证无论是出现核心层或汇聚层交换机Down机，或者上行链路出现故障，都能通过系统的自行切换将网络流量切换到可用链路上，充分保证了系统的不间断运行。

　　技术难点及解决方案:

　　对于琶洲会展这样一个在交易会期间承载着数以万计的流动终端商户的大型网络来说，有了硬件设备的高可靠性和高冗余性是远远不够的，可维护性和可管理性更值得琶洲会展的网络工作人员所关注，毕竟每天展馆内的网络用户无论在数量上和流动性上都是居高不下的，这就给琶洲网络维护人员增加了管理和维护的难度。一切都是那么的未知，尤其是ARP攻击一直是往届交易会期间A、B馆老生常谈的疑难杂症，出了问题常常是忙的琶洲网络管理人员焦头烂额还常常找不出问题终端，因为正当你找到问题终端的时候，那些终端已经流动了，最终还要被受影响的终端用户投诉;投诉事小，假使因为网络问题影响了生意商机那后果就相当严重了，实在是吃力不讨好。而本次琶洲C馆在防ARP攻击方面总结了往届的症结所在后，我们在汇聚和接入层设备上双管齐下，分别采用H3C汇聚和接入层设备特有的功能，充分保障了会展期间C馆网络运行的稳定性和可管理性，得到了琶洲客户的高度认可，树立了H3C设备良好的口碑。相关技术难点和解决方案详述如下：

　　往届交易会期间，ARP攻击的问题总结下来存在两大问题：问题一、由于交易会期间有很多帮工的在校学生，这些学生基本都是文科类外语专业的，他们对网络专业技术知之甚少，且他们基本都被分派到办证中心的外宾部工作，办证中心的终端都是固定IP地址，这样可以以合法的IP地址远程登录到办证服务器上来办理办证业务，而这些学生往往会自己纂改IP地址并将地址随意的设成与网关相同的IP地址，这直接导致了人为的ARP网关冲突故障，造成了办证厅用户瞬间无法正常办理办证业务，耽误了办证人员的时间给外宾造成不好的影响;问题二：就是展馆内公众网的终端客户，这些客户的流动性很大根本无法管理，一旦某个问题终端发出ARP欺骗攻击，那么直接造成和该问题终端用户同网段的终端用户无法正常访问网络，结果就是琶洲网络维护人员的保障电话被打爆，而琶洲网络维护人员只能逐步查找问题终端所在，这势必耽误了很多商户的网上交易时间,延误了商机。

　　针对以上第一点问题，我们在H3C的汇聚S9500设备上配置采用防ARP网关冲突攻击的功能。先简单说明一下ARP网关冲突攻击的工作机制，首先攻击者仿冒网关地址，在局域网内部发送源IP地址是网关地址的免费ARP报文，接着局域网内部的主机接收到该报文后，会修改自己原来的网关地址为攻击者的地址，最终局域网内部所有主机无法访问网络。为了应对此问题，我们在琶洲C馆的H3C S9500交换机上配置了检测网关地址冲突攻击的功能，当S9500交换机检测到与S9500交换机地址冲突的ARP报文时，只要存在下列情况之一：

　　● ARP报文的源IP与报文入接口的IP地址相同;

　　● ARP报文的源IP是NAT地址池的地址或内部服务器的地址;

　　● VRRP虚MAC方式时，ARP报文的源IP是入接口的虚拟IP地址但是ARP报文源MAC不是VRRP虚MAC。

　　那么系统生成的ARP防攻击表项，在后续一段时间内对收到具有相同以太网头部源MAC地址的报文直接丢弃，这样可以防止网关地址冲突的ARP报文在VLAN内的广播转发,轻松的解决了问题点一,保证了办证中心网络的通畅性和稳定性。

　　而对于问题二，我们则在琶洲C馆的接入层设备S3600系列交换机上采用了“dhcp snooping+arp detetetcion”的方式，让公众区域下的所有展馆在使用网络过程中存在ARP攻击的客户端无机可乘，强化了公众区域网络的健壮性和稳固性，大大降低了会展期间公众区域网络故障率，减轻了工作人员在会展期间对公众区域网络的维护难度。开启ARP入侵检测功能后，如果ARP 报文中的源MAC 地址、源IP 地址、接收ARP 报文的端口编号以及端口所在VLAN 与DHCP Snooping 表的表项一致，则认为该报文是合法的ARP 报文，进行转发;否则认为是非法ARP 报文，直接丢弃。当然这种方式也是相当灵活机动的，因为展馆中有相当一些终端用户是琶洲展馆内的工作人员，他们的终端是固定且可知的，故我们采取将这些用户所连交换机的端口配置为信任端口，当然也包括所有交换机的上连汇聚设备的光纤口，从而达到灵活控制ARP报文检测效果，这样对于来自信任端口的所有ARP 报文不进行检测，对其它端口的ARP报文通过查看DHCP Snooping 表进行检测;另外要注意的是，这种dhcp snooping+arp detetetcion机制是通过消耗交换机的CPU利用率来达到判断ARP 报文的合法性并对此做出转发或丢弃报文的效果，所以当攻击者恶意构造大量ARP 报文发往交换机的某一端口，会导致CPU 负担过重，从而造成其他功能无法正常运行甚至设备瘫痪，这样就给人本末倒置的感觉了，因此我们在S3600 系列交换机采用了在端口下ARP应用报文限速功能，开启此功能后，可以让受到攻击的端口暂时关闭，从而避免此类攻击对CPU的冲击，也就避免了对设备上其他功能的影响或造成设备瘫痪的可能性。对于受到攻击而暂时关闭的端口，S3600系列交换机支持端口状态自动恢复功能，经过一段时间可以自动恢复为开启状态，所以根本不需要担心端口被关后会影响终端客户的正常使用，如此完美的功能应用在琶洲展馆这样一个终端客户数量庞大且流动性频繁的网络内，实在是得其所属、舍我其谁!当然琶洲C馆的网络工作人员也就从此高枕无忧、好不乐哉了!

　　结束语：

　　第104届广交会已于2008年11月06日圆满的落下了帷幕，而在本届广交会期间共计23天里担任琶洲C馆网络运行保障的正是我们齐普生工程师。相对于广交会期间各个后勤保障部分来说，网络保障只是其中微乎其微的一个单元。然而在时下这个高速运转的信息时代，网络的重要性是有目共睹的，商机瞬息万变，网络对于商机就恰似如虎添翼，从前期的购买意向到后面的订单、交易等等无不依赖着网络平台。可以毫不夸张说，如果把广交会比作是呈现给人们的一个买卖商品大派对的话，那么身在幕后的网络平台则让每个参加派对的人在大派对上都成为了社交高手。因为有了网络他们可以及时的掌握自己想要的商品，迅速和商家达成共识并完成商品定购合同，毕竟展馆里展出的商品是真实且可以触及的，而商机却是飘渺且稍纵即逝的，因此同样虚幻的网络成为了抓住商机不可或缺的一个环节。而广交会期间我们齐普生人正是充当了这一环节的守护神，专业高效地保障了琶州客户、参展商和采购商的利益。路遥知马力，齐普生人必将一如继往的以过硬的技术水平、先进的服务理念、优秀的团队精神迎接下一届广交会的到来，定将再接再厉、续写辉煌!

2016年01月