一、学生宿舍上网情况介绍

我校目前共有五栋公寓楼接入宿舍网络，用户约2000人左右，其中6号、7号、11号三栋公寓楼的用户通过同一台FS5208交换机进行认证上网，15号、16号两栋公寓楼的用户通过同一台FS5208交换机进行认证上网，高峰期并发用户人数一般在1000左右，其中通常又以15号、16号两栋楼的并发用户数较多。

二、学生宿舍网络现状

1、学生上网时间比较集中，从而造成高峰期流量过大，对我校网络设备的稳定运行带来很大挑战；

2、局域网内部病毒比较泛滥，尤其是蠕虫、冲击波、震荡波等病毒，而这些病毒在网络内蔓延后对网络设备造成的冲击以及所带来的后果是众所周知的；

3、较多用户使用迅雷、电驴、P2P、BT等点对点或多点对多点协议类下载软件进行下载，不仅独占带宽造成资源紧张，而且还给我校局域网络设备带来过大负担。

三、Mac地址过滤功能描述

FS5208交换机统计cpu在单位时间收到数据包的总数目和每台计算机MAC地址在单位时间内发送给cpu的数据包的数目，当总数目达到了global模式配置上限时，将mac中向cpu发送数据最多的mac写入mac过滤表，此后包含此mac的所有数据包均采用丢弃处理；当单台计算机的数目达到了per－mac模式配置上限时，将相应计算机mac写入mac过滤表，此后包含此mac的所有数据包均采用丢弃处理。所以说，当用户计算机mac地址被冻结后，在冻结时长范围内该计算机将无法进行认证上网。

四、为什么要实行MAC地址冻结控制策略

对于任何交换设备来说，当其承担的负载超过一定警戒时，CPU利用率会被迅速抬高，从而导致设备下联网络性能严重下降，影响广大用户的正常业务。鉴于我校学生宿舍网络的现状，有时会造成汇聚层所用南京联创FS5208交换机负载过重，导致其CPU利用率频繁达到100％，从而引起宿舍网络性能严重下降。因此，FS5208交换机需识别并过滤攻击设备的MAC地址发往CPU的数据包，对攻击设备的计算机进行自动冻结，以提高设备的自防护能力；所以，当汇聚层数据流量过大——通常是由于用户非正常的网络行为所造成的——导致设备无法正常稳定运行时，就必须实行较严格的限制策略，这样就势必带来部分计算机MAC地址被冻结而一时（经综合考虑，冻结时长目前设为12小时，12小时后系统会自动进行解冻）无法访问网络，从而引起这些用户不满；然而，该策略就像一把“双刃剑”，当网络出口流量过大而又实行较宽松的限制策略时，常常会导致我校部分网络设备出现死机现象，从而引起更广大用户的不满。因此，为了保证宿舍网广大用户能够正常上网，维护大多部分用户的利益，必须实行MAC地址过滤冻结控制策略。

说明：近期，6号、7号、11号三栋公寓网络内部出现大量非正常数据流量，从而造成所共用的FS5208交换机CPU利用率频繁达到100％，并出现多次死机情况，反映被冻结用户较多。

附 网络中心故障咨询热线：85635282