1.项目背景

成都成量集团有限公司是国家生产工量具的重点大型企业。经过四十多年的发展，目前已成为国内量刃具产品品种规格最齐全，出口额最大的企业之一。公司生产的“川牌”量刃具及精密量仪、 硬质合金制品、数控刀具等产品在国内外享有很高的声誉。随着业务的发展壮大，在其新厂区的建设过程中，迫切的需要加快办公自动化和信息化的建设步伐。

2.用户需求分析

2.1 解决网络中ARP攻击造成网络中断的问题

由于成量集团原网络中，经常因ARP攻击导致整个网络中断，造成公司业务无法正常运转，给集团效益带来了很大影响。 因此，用户要求新建网络能够具备防御ARP攻击的能力。

2.2 提供高带宽和高质量的服务保证

集团内部有多种业务系统同时运行，为不同的部门提供数据交互，原有网络中使用的网络设备无法满足高峰期的访问需求。为了保证集团内部之间数据的高速转发，新建网络核心层设备必须具备大容量，高带宽，可扩展的特性； 接入层设备需达到千兆上行，百兆桌面的技术要求，同时能够实现不同服务等级的带宽质量保证。

2.3 网络出口设备提供高性能NAT处理能力

由于成量集团只租用了少量的公网IP地址。为了满足集团用户的对外访问需求，网络出口设备必须具备强大的NAT处理能力。

3.成量集团园区网建设项目

3.1 网络拓扑

图3-1 成量集团园区网拓扑图

3.2 关键设备

风云实业高性能Tritium® R7500系列核心路由器； 风云实业高性能Tritium® S5300系列万兆高密度汇聚以太网交换机； 风云实业Tritium® S3000系列二层智能以太网交换机； 详细资料参见www.szforward.com以及产品手册。

3.3 提供基于DHCP SNOOPING技术的防ARP解决方案

由于成量集团内部用户IP地址的分配采用DHCP动态分配方式。因此，通过在集团园区网内部署基于DHCP Snooping+DAI技术，实现对网络中ARP攻击的防御。

DHCP Snooping+DAI技术，主要通过在核心层交换机(Tritium® S53328TS)上启用DHCP Snooping； 在接入层交换机(Tritium® S3028-EI)上开启DAI(Dynamic ARP Inspection)功能，实现IP+MAC+PORT+VLAN的自动绑定。能够有效的防御ARP仿冒网关， ARP欺骗网关和ARP“中间人”等攻击。同时，配合使用ARP和DHCP限速功能，可有效的防御ARP泛洪攻击。

3.4 S5328TS提供稳定、高效的传输交换平台

Tritium® S5328TS支持24个千兆以太网接口＋4个万兆扩展插槽，支持冗余电源，具有196G背板带宽，96Mpps 转发性能， 实现所有端口的无阻塞线速转发。支持丰富的QoS策略。满足不同类型用户多层次化的带宽控制和服务质量保证。

3.5 接入层交换机具有低成本和高端口密度特性

Tritium® S3028-EI提供24个10/100M RJ-45自适应端口和4个千兆接口，支持丰富的L2-L4安全策略和QoS保障，支持端口隔离、MAC地址学习数量限制、PVLAN等多种安全机制。 满足用户千兆上行、百兆到桌面的高可靠、高带宽、高安全的数据通信要求。

3.6 TRITIUM® R7503提供高性能地址转换(NAT)能力

Tritium® R7503支持100万并发连接，每秒处理20万新建连接。经扩展后，支持NAT黑名单功能和对并发连接数的限制，提高网络的安全性。

4. 综述

在成量集团园区网建设过程中，风云实业Tritium® S系列交换机通过DHCP Snooping+DAI技术实现了对局域网ARP攻击的防御，同时Tritium® S系列交换机支持IP+MAC+PORT静态绑定+DAI、 PVLAN+BIND/DHCP-Snooping+DAI等丰富的防ARP技术，能够满足各种组网环境下的用户需求。

风云实业深入了解中、小型企业网络特点，为他们提供更方便实用的功能，解决了当前大多数企业网络遇到的数据安全、网络攻击防御、出口带宽瓶颈等常见问题。 风云实业将不断进步和发展，为中、小型企业量身打造新一代的园区网络。