1、 项目编号: 华为网络整体处理方案目 录1概述32企业网络建设设计标准43华为产品处理方案63.1整体架构设计63.1.1总体网络架构63.1.2有线网络处理方案73.1.2.1关键层网络设计73.1.2.2汇聚层网络设计73.1.2.3接入层网络设计83.1.3数据中心处理方案83.1.4无线网络处理方案83.1.4.1无线网络建设需求93.1.4.2无线网络处理方案113.2高可靠性设计143.2.1网络高可靠性设计143.2.2设备高可靠性设计143.2.2.1关键部件冗余143.2.2.2设备本身安全153.3安全方案设计163.3.1园区网安全方案总体设计163.3.2园区内网安全设
2、计173.3.2.1防IP/MAC地址盗用和ARP中间人攻击173.3.2.2防IP/MAC地址扫描攻击183.3.2.3广播/组播报文抑制203.3.3园区网边界防御203.3.4园区网出口安全213.3.5无线安全设计223.3.5.1无线局域网安全威胁233.3.5.2华为无线网络安全策略234设备介绍254.1Quidway S9300系列交换机254.2Quidway S7700系列交换机324.3Quidway S5700系列交换机374.4无线控制器WS6603441 概述企业园区网络承载企业全部IT基础设施和企业全部上层软件应用,对一个企业关键性不言而喻。而且伴随企业对于提升生
3、产率、工作效率提升重视,传统办公方法也已存在很多不便。不管是在办公桌前、会议室中,还是在企业咖啡厅、待客室,今天用户全部需要方便地获取多种网络服务。一个经典企业园区网络通常由楼宇办公网络、数据中心、Internet出口、以将这四部分互联起来主干网络组成,其中办公网络可分为有线网络和无线网络。在计划和建设一个企业园区网络时候,这些部分全部要充足考虑。 同时,企业园区网络还面临着新技术不停涌现、企业应用不停增加现实问题,怎样构建一个保障企业未来5扩展,同时兼顾设备投资保护企业园区网络,困扰着每一位企业CIO。 华为企业园区网处理方案结合了高性能路由、交换基础设施和提升安全、可靠等特征,可帮助企业构
4、建一个安全、可靠、易接入、易扩展、易管理企业园区网络。 2 企业网络建设设计标准在网络建设项目中,我们应该遵照以下设计标准:1) 合理性、整体性标准系统建设功效必需充足满足网络安全性检测和分析、网络安全性监测和电子数据判定需求是系统建设首要标准。l 深入调研,全力做好网络和信息系统安全检测、监测和认证需求分析,这是系统成败关键;l 充足考虑已经有资源(软硬件设备及人员)合理利用,避免出现无须要浪费;l 系统建设尽可能模拟中国外最常见多个网络应用模式。l 系统建设要有一定前瞻性。在网络建成后3-5年之内,不会因为业务量增加造成对网络结构及关键设备重大调整。同时要考虑实际应用水平,避免技术环境过于
5、超前造成投资浪费。2) 标准化标准为了确保用户网络系统含有互操作性、可用性、可靠性、可扩充性、可管理性,应建立一个开放、遵照国际标准网络系统。l 建设方案要科学、正确、严谨、且现实可行;l 采取优异技术应是成熟、经过实践证实是成功技术;l 选择软硬件平台应采取现在因特网和局域网上最常使用软硬件厂商产品3) 优异性标准系统建设应充足考虑网络通信技术和互联网技术发展,建设是循序渐进,早期关键应在网络基础环境和基础系统上:l 系统可依据实际工作中业务需求灵活地结构所需网络和系统环境;l 系统实现采取优异网络技术、网络安全检测技术。4) 安全可靠性标准本系统含有特殊性,所以安全保密性很复杂。系统要有极
6、强自我保护能力。l 选择含有C2安全级或B1安全级系统软件平台;l 配置功效齐全、可视化程度高网管系统,对网络运行情况进行实时监督和控制;l 采取访问权限控制、设置密钥、数据更新认证等多个手段确保数据安全。5) 可管理性标准伴随网络规模扩大和系统复杂程度增加,网络管理、监控和维护,和网络故障诊疗和排除变得越来越复杂。为了使网络系统易于管理和维护,本方案将提供优异而完善网络管理系统。这么,即方便网络管理员工作,减轻了劳动强度,也提升了网络系统管理程度。6) 灵活、可伸缩性标准为适应因特网和互联网络技术发展,系统必需含有开放性和可扩充性。除单个设备本身扩展能力之外,在网络系统设计过程中,还需要考虑
7、整个网络系统在未来几年扩充能力和扩充措施。这么才能即照料现在应用需求,又能满足以后整个计算机系统发展需要。l 应用软件设计要采取结构化和模块设计方法,使系统逻辑结构清楚、易读,在功效划分和设计时,使各模块尽可能相对独立、降低相关性以易于扩充、维护和修改。l 网络系统要含有异种设备异种网络互联互通能力,以达成保护已经有资源并能和其它信息系统交流信息目标。7) 绿色节能标准伴随数据中心不停壮大,数据中心电费不停增加,现在,通信/IT设备节能是降低能耗基础,采取底能耗设备是节能减排最关键路径。3 华为产品处理方案3.1 整体架构设计3.1.1 总体网络架构整体网络处理方案总体设计以高性能、高可靠性、
8、高安全性、有线无线一体化和统一网管系统为标准,和考虑到技术优异性、成熟性,并采取模块化设计方法,组网图以下所表示:网络架构整个网络设计方案采取层次化、模块化设计思绪,根据接入层、汇聚层、关键层和出口层进行网络设备设计布署,经过模块化或购置单独设备方法提供WLAN AC控制器,在汇聚层交换机,提供防火墙、负载均衡器等增值业务功效,满足企业日益增加业务需求。整个网络关键特征是不存在网络单点故障,交换机设备和链路全部存在冗余备份,接入交换机和关键交换机经过双规或环网相连接,汇聚交换机双规接入关键交换机,交换机之间采取TRUNK链路确保链路级可靠性。3.1.2 有线网络处理方案整个网络层次提议采取业界
9、成熟三层架构:接入、汇聚和关键,最终企业园区经过出口层网络设备(路由器或交换机)连接到外网经过。这种分层网络架构,能够确保依据业务需求,分别对不一样层次进行扩容。3.1.2.1 关键层网络设计关键层交换机布署在园区关键机房中,汇聚各楼宇/区域之间用户流量,提供三层交换机功效,必需能够提供高速数据交换和路由快速收敛,要求含有较高可靠性、稳定性和易扩展性等。对于园区网关键层,应该在提供大容量、高性能L2/L3交换服务基础上,能够深入融合了硬件IPv6,可为园区构建融合业务基础网络平台,进而帮助用户实现IT资源整合需求。所以提议关键层采取双机冗余备份方法结构,消除单点故障,设备关键部分采取冗余模式。
10、从而实现整个骨干网络高可靠性。骨干层提议采取10G链路互联,达成高带宽、高转发性能效果。此次提议采取华为S9300高性能交换机结构关键层,实现高性能骨干网络。华为S9300支持大容量、高转发性能,完全能够满足各网络数据转发。3.1.2.2 汇聚层网络设计汇聚层交换机关键性也是比较高,通常布署在楼宇独立网络汇聚机柜中,汇聚园区接入交换机流量,通常提供三层交换机功效,汇聚层交换机作为园区网网关,终止园区网用户二层流量,进行三层转发。当路由协议应用于这一层时,含有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备第一跳网关,能够承载校园园区融合业务需求。依据需要,能够在汇聚交换机上集成增值业
11、务板卡(如防火墙,负载均衡器、WLAN AC控制器)或旁挂独立增值业务设备(如WLAN 盒式AC等),为园区网用户提供增值业务。汇聚层和关键层共同组建成骨干网络,所以汇聚设备性能要求也是比较高,提议采取10G链路互联,达成万兆骨干网络。汇聚交换机需要提供高密度GE接口,汇聚接入交换机流量,经过10GE接口接到关键交换机,推荐使用S9300系列交换机作为园区汇聚层交换机。3.1.2.3 接入层网络设计接入层交换机通常布署在楼道网络机柜中,接入园区网用户(PC机或服务器),提供二层交换机功效,也支持三层接入功效(接入交换机为三层交换机)。提供网络第一级接入功效,通常完成简单二层交换,安全、Qos全
12、部在这一层。对于园区网接入层设备,提议采取千兆二层接入方法,应该含有线速二层交换、IRF智能弹性堆叠技术和高级QoS策略等功效。3.1.3 数据中心处理方案数据中心设计目标是实现高冗余、高带宽、高安全性、高可靠性等目标。数据中心内网络设备关键是:关键交换机、关键防火墙、关键路由器、负载均衡设备。关键交换机关键功效是连接服务器,所以必需考虑企业未来业务增加,关键交换机必需含有很好扩展性,伴随以后网络扩展,必需含有多个插槽,方便以后网络扩展时候能够增加网络模块。因为关键交换机在整个网络中含有十分关键地位,所以关键交换机必需含有电信级可靠性和稳定性,关键网络对数据快速转发速度要求很高,所以关键交换机
13、需要含有高容量交换带宽和包转发速率。我们提议采取华为S7700系列高性能交换机,采取双机双电源。可实现万兆或千兆接入,实现数据中心高转发性能效果。而且能够通进扩展防火墙模块等方面,实现数据中心安全。3.1.4 无线网络处理方案伴随以太网广泛应用,因特网日益普及,和移动终端不停增加,大家对移动IP接入需求快速增加。无线局域网WLAN(Wireless Local Area Network )作为有线以太网延伸,一定程度上满足了这种需求。 因为无线网络布署灵活性高,所以受到很多用户青睐,整个无线网络,WLAN 处理方案能够运行在现有有线企业网络基础上,也能够采取一个独立网络。它为园区提供了含有布署
14、方便性、安全性、可扩展性无线网络,让用户能够在园区中任何能够收到无线信号地方立即访问多种网络服务。我们提议采取华为无线处理方案,在关键网络中布署一套无线控制器,无线AP接入到接入层交换机上,各无线AP经过无线控制器统一管理。从而实现易维护、易管理。3.1.4.1 无线网络建设需求在无线网络建设中,为了处理大规模布署情况下统一配置、调整问题,和射频智能管理问题,现在无线网络建设普遍全部采取了瘦AP建网模式。瘦AP另一个好处是实现了三层漫游环境下避免重新认证,从而使漫游切换时间小于50ms。这对于企业移动业务,尤其是对切换时间要求最苛刻语音业务意义重大。然而,伴随无线网络发展,部分新需求也逐步变得
15、越来越强烈。关键有以下多个方面:稳定问题:因为WLAN网络组网设计包含无线控制器、接入交换机、无线接入点等大量设备,在大部分情况下,还需要经过以太网处理供电问题,全部这些步骤全部会影响校园无线网络稳定性;同时因为无线信号传输深受环境影响,多径等问题造成无线信号在不一样方向上存在很复杂衰减现象,实际信号覆盖和理想信号衰减模型往往存在一定差异。所以怎样实时依据环境动态调整无线接入点信道、发射功率等也是常常困扰无线校园管理人员难题。安全问题:因为无线网络特殊性,园区无线用户安全问题就愈加突出。对无线网络用户来说,全部有线网络存在安全威胁和隐患全部一样存在。同时,任何不可信无线设备能够在信号覆盖范围内
16、进行网络接入尝试,一定程度上也加剧了无线用户所面临安全隐患。无线网络安全问题已经不再是单一物理层安全,也包含了用户接入安全、网络层安全、设备安全、安全管理等多个层面上,怎样能使企业无线用户在使用网络时能够像使用有线网络一样安全、可靠,正逐步成为无线企业网络建设所关注关键。管理问题:相对于FAT AP来说,即使FIT AP处理方案帮助网区管理人员实现了无线网络灵活安装和应用,但管理无线网络却仍然是一项很耗时且麻烦事情。在无线园区网络环境中尤为如此。传统FIT AP处理方案由无线控制器(AC)及无线接入点(FIT AP)组成,即使整个无线网络含有部分设备管理、安全管理功效和用户管理功效,不过和有线
17、网络难于统一,无法在整个企业范围内实现用户管理及认证、服务质量控制和安全策略实施等。所以,通常引入无线网络会降低安全性,整个网络管理起来比较复杂,而且维护成本也比预期高。把网络作为一个整体,整合有线和无线网络,实现统一网络控制和管理,对于企业来说含相关键意义。扩展问题:WLAN技术发展日新月异,新技术、新标准层出不穷,除了呼之欲出802.11n,在教育行业一个关键门槛技术是IPv6。全部无线产品和处理方案全部要为未来升级和应用做好准备。应用问题:伴随WLAN技术逐步成熟,市场上多种多样WLAN终端如笔记本电脑、PDA、双模手机、支持Wi-Fi游戏机、即拍即传数码相机如雨后春笋般涌现出来,同时价
18、格越来越低,普及程度越来越高,使得无线新业务在园区网中丰富应用成为可能。怎样在无线网络这个开放平台上开展丰富业务是建设者必需要考虑问题。比如VoWiFi、无线监控等业务,处理了园区内部和各园区之间通讯费用高、无线监控和无线多媒体教学问题,让无线接入变得更有价值。3.1.4.2 无线网络处理方案无线管理中心管理中心无线交换机运行管理中心室内型热点无线覆盖办公楼室外型热点无线覆盖职员公寓园区有线骨干网PoE供电接入无线业务应用移动数据业务Wi-Fi语音漫游华为无线网络处理方案有效实现了有线和无线网络融合,经过统一硬件平台、统一网络管理、统一用户管理、统一应用安全,为园区用户提供安全无线接入。依据用
19、户需求,经过在华为系列交换机中加入无线控制器插卡或使用单独无线控制器,就可为原有有线网络提供无线支持,还能够像扩展和管理传统有线网络一样,对无线网络进行扩展和管理。能够收到无线信号地方立即访问多种网络服务。 安全性、高QoS保障 华为园区网络WLAN处理方案从用户接入安全、网络安全、设备安全等多个方面保障无线网络安全,使园区用户安全可靠使用WLAN网络。 用户接入安全:华为园区WLAN处理方案提供了多样化用户接入认证和加密处理方案。无线接入认证关键支持基于MAC地址认证、802.1x认证、Portal认证等确保用户安全正当接入,支持WEP/TRIP/CCMP等加密方法防范无线接入用户数据被盗。
20、同时能够经过布署VLAN隔离、端口隔离等业务隔离技术避免用户间相互影响。网络安全:经过接入点对RF 环境不间断扫描和监控,预防企业受到未经授权不安全WLAN 接入点或恶意接入点影响。设备安全:无线接入点AP提供“零配置”功效,无需在设备保留业务配置,仅开启时候自动从无线控制器加载业务配置,这么能够避免设备丢失造成配置泄漏而形成对无线网络安全威胁。园区WLAN处理方案能够经过虚拟AP&VLAN构建一个单独访客网络为用户、供给商等访客人士提供互联网服务访问权限。对于不一样SSID承载用户业务,因为无线空口资源有限,若某个SSID流量过大,比如访客访问Internet,则可能造成园区用户不能正常访问
21、无线网络开展业务。所以基于SSID限速,能够避免其中一个业务流量过大对其它业务造成影响。另外,基于快速漫游技术能够实现园区无线用户一次认证移动接入。用户移动到新接入点时,假如用户之前已经认证过,则用户此时无需再次经过安全认证,直接接入,确保用户业务连续性。 布署方便、扩展灵活 WLAN网络布署简化,安装便捷。WLAN安装工作简单,它无需施工许可证,不需要布线或开沟挖槽。设备零配置布署功效能够在无线改造现有网络基础上轻松布署WLAN。 无线控制器能轻松管理数个到数十个甚至上千个无线接入点。伴随无线网络扩展,新添加无线接入点能自动检测到无线控制器,并下载对应配置信息和策略信息,无需任何手动操作。
22、统一网络管理、智能运维 统一网络管理设备能够实现有线无线网络统一化管理,简易网络管理操作,结合智能化网络运维提升了网络管理效率。无线接入点能够监控环境温度改变,当环境温度低于零下10时,开启加热板,确保低温时正常工作。而且无线接入点检测到电压将要无法供给情况下(复位或故障),上报该告警,描述最终工作状态,方便故障定位。 稳定性华为 WLAN稳定性处理方案从无线控制器可靠性,接入交换机供电可靠性、无线信号可靠性这几方面入手,极大提升了WLAN网络可靠性;在实际使用情况来看,启用这些方法以后,WLAN可靠性能够得到显著提升。 全方面PoE处理方案PoE设备原理是经过非屏蔽双绞线中四对线中两对线来传
23、输电源,传输数据同时传输直流电。因为AP往往要求使用不间断电源(UPS)供给电力,采取PoE设备,AP端仅仅经过一根RJ-45网线和网络连接即能够同时传输数据和电力,所以在使用PoE设备情况下,全部AP全部使用一个UPS在PoE设备端进行保护。假如不使用PoE设备,就需要给每个AP配一个UPS,而且还需要在AP周围安装电源插座,增加了成本。所以使用PoE设备将大大降低设备成本和管理成本。PoE含有很显著优势,具体以下:简化安装,降低成本,不需为每个网络设备单独提供数据和电力线缆。灵活性提升,网络装置可被安装在任何位置,而不需靠近一个已存在电源输出口。 可靠性增强,有SNMP能力PoE装置,可实
24、施远程检测和控制,能有效地处理或修理装置耗电量和(或)失效故障。3.2 高可靠性设计3.2.1 网络高可靠性设计针对二层接入(接入交换机是二层交换机、汇聚交换机作为用户网关)经典园区网架构,从接入层、汇聚层、关键层来分层考虑网络可靠性设计。接入层网络是二层网络,接入交换机和汇聚交换机之间经过Smart Link/STP/RSTP/MSTP/RRPP确保网络可靠性,同时处理二层网络环路问题;汇聚层交换机之间经过VRRP(BFD for VRRP)协议确定用户主备网关,交换机互联经过TRUNK链路,确保链路级可靠性,汇聚交换机和接入交换机之间可经过DLDP协议检测光纤单向故障(单通故障)。园区网接
25、入/汇聚/关键交换机经过虚拟化技术进行集群(或堆叠),将两台/多台交换机虚拟化成一台交换机,降低网络拓扑复杂度同时,提升网络可靠性,是未来高可靠性园区网发展趋势。3.2.2 设备高可靠性设计3.2.2.1 关键部件冗余设备本身要含有电信级5个9可靠性,需要网络设备支持: 主控1:1备份 交换网1+1/1:1两种方法 DC电源1+1备份;AC电源1+1/2+2备份 模块化风扇设计,高端配置支持单风扇失效 无源背板,高可靠性 独立设备监控单元,和主控解耦 全部模块热插拔 完善多种告警功效 设备管理1:1备份3.2.2.2 设备本身安全以下图所表示,伴随黑客工具泛滥和使用方便,使网络攻击成本越来越来
26、,但危害越来越大。这就要求含有强大灵活本身防护功效,以不变应万变方法,才能抵挡日益泛滥网络攻击。华为企业全系列园区网交换机(S9300/S7700/S5700/S3700/S2700)提供攻击防范功效,能够检测出多个类型网络攻击,并能采取对应方法保护设备本身及其所连接内部网络免受恶意攻击,确保内部网络及设备正常运行。华为全系列交换机支持攻击防范功效包含防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。另外,以太网交换机MAC地址表作为二层报文转发关键,在受到攻击时候,直接造成交换机无法正常工作。
27、发生MAC地址攻击时候,攻击者经过不停发送MAC地址来刷新,填充交换机MAC地址表,因为MAC地址表规格有限,造成正常流量因为没有正确转发表项而无法正常转发。ARP攻击和这类似,经过攻击报文来更改MAC和IP地址绑定,从而重新定向流量。华为全系列交换机能够经过MAC地址和端口绑定和限制端口/VLAN/VSI下MAC地址最大学习个数可预防MAC扫描,并经过VLAN、IP、MAC之间任意绑定可防范ARP攻击(SAI/DAI功效)。华为全系列交换机支持黑洞MAC功效,园区交换机收到报文时比较报文目标MAC地址,若和黑洞MAC表项相同则丢弃该报文。当用户觉察到某MAC地址报文含有一定攻击性,则能够在园
28、区交换机上配置黑洞MAC,从而将含有该MAC地址报文过滤掉,避免遭受攻击。3.3 安全方案设计3.3.1 园区网安全方案总体设计从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御,对企业内部进行安全区域划分、隔离和权限控制,对企业外部用户访问进行安全控制、数据加密,预防恶意攻击。园区网全方位安全设计方案确保内部、外部用户访问园区网资源安全性。3.3.2 园区内网安全设计3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击1) 防IP/MAC地址盗用DHCP Snooping技术是DHCP安全特征,经过建立和维护DHCP Snooping绑定表过滤不可信任DHC
29、P信息,这些信息是指来自不信任区域DHCP信息。DHCP Snooping绑定表包含不信任区域用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,DHCP Snooping绑定表能够基于DHCP过程动态生成,也能够经过静态配置生成,此时需预先准备用户IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。园区交换机开启DHCP-Snooping后,会对DHCP报文进行侦听,并能够从接收到DHCP Request或DHCP Ack报文中提取并统计IP地址和MAC地址信息。另外,DHCP-Snooping许可将某个物理端口设置为信任端口或不信任端口。信任端口能够正常接收并转发
30、DHCP Offer报文,而不信任端口会将接收到DHCP Offer报文丢弃。这么,能够完成交换机对假冒DHCP Server屏蔽作用,确保用户端从正当DHCP Server获取IP地址。2) 防ARP中间人攻击Dynamic ARP Inspection (DAI)在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口绑定, 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址场景,可采取静态添加用户网关相关信息静态绑定表。此时园区交换机检测过滤ARP请求响应报文中源MAC、源IP是否能够匹配上述绑定表,不能匹配则认为是仿冒网关回应ARP
31、响应报文,给予丢弃,从而能够有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。3.3.2.2 防IP/MAC地址扫描攻击1) 防IP扫描攻击地址扫描攻击是攻击者向攻击目标网络发送大量目标地址不停改变IP报文。当攻击者扫描网络设备直连网段时,触发ARP miss,使网络设备给该网段下每个地址发送ARP报文,地址不存在话,还需要发送目标主机不可达报文。假如直连网段较大,攻击流量足够大时,会消耗网络设备较多CPU和内存资源,可引发网络中止。园区交换机支持IP地址扫描攻击防护能力,收到目标IP是直连网段报文时,假如该目标地址路由不存在,会发送一个ARP请求报文,并针对目标地址下一条丢弃表项(弃后续
32、全部目标地址为该直连网段ARP报文),以预防后续报文连续冲击CPU。假如有ARP应答,则立即删除对应丢弃表项,并添加正常路由表项;不然,经过一段时间后丢弃表项自动老化。这么,既预防直连网段扫描攻击对交换机造成影响,又确保正常业务步骤通畅。在上述基础上,交换机还支持基于接口设置ARP miss速率。当接口上触发ARP miss超出设置阈值时,接口上ARP miss不再处理,直接丢弃。假如用户使用相同源IP进行地址扫描攻击,交换机还能够基于源IP做ARP miss统计。假如ARP miss速率超出设定阈值,则下发ACL将带有此源IP报文进行丢弃,过一段时间后再许可经过。2) 防MAC地址扫描攻击以
33、太网交换机MAC地址转发表作为二层报文转发关键,在受到攻击时候,直接造成交换机无法正常工作。发生MAC地址攻击时候,攻击者向攻击目标网络发送大量源MAC地址不停改变以太报文,园区交换机收到以太报文会基于报文源MAC学习填充二层MAC转发表项,因为MAC地址转发表规格有限,会因为MAC扫描攻击而很快填充满,无法再学习生成新MAC转发表,已学习MAC表条目需经过老化方法删除,这么路径园区交换机大量单播报文会因为根据目标MAC找不到转发表项而不得不进行广播发送,造成园区网络中产生大量二层广播报文,消耗网络带宽、引发网络业务中止异常。交换机二层MAC转发表是全局共享资源,单板内各端口/VLAN共享一份
34、MAC转发表,华为园区交换机支持基于端口/VLANMAC学习数目限制,同时支持MAC表学习速率限制,有效防御MAC地址扫描攻击行为。MAC学习数目达成端口/VLAN上设置阈值时,会进行丢弃/转发/告警等动作(动作策略可定制、可叠加)。另外经过园区交换机MAC地址和端口绑定来限制跨端口MAC扫描攻击。3.3.2.3 广播/组播报文抑制攻击者不停地向园区网发送大量恶意广播报文,恶意广播报文占据了大量带宽,传统广播风暴抑制无法识别用户VLAN,将造成正常广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量VLAN ID,经过基于VLAN广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。
35、可基于端口或VLAN限制广播报文流量百分比或速率阈值。同时园区网交换机支持组播报文抑制,可基于端口限制组播报文流量百分比或速率阈值。3.3.3 园区网边界防御企业园区网边界防御分为两个部分:园区出口边界防御、园区内部边界防御。园区出口连接Internet和企业WAN网接入,企业外部网路尤其Internet网络,是多种攻击行为、病毒传输、安全事件引入风险点,经过在企业出口布署高性能防火墙设备、或在关键交换机内置防火墙模块,能够很好缓解风险传输,阻挡来自Internet/企业外部网络攻击行为发生。企业园区出口位置布署独立防火墙设备(或关键交换机内置防火墙模块),需要满足高性能、高可靠、高安全要求,
36、是企业园区网第一道安全屏障。园区内部边界防御是将企业内部划分为多个区域,分为信任区域和非信任区域,分别实施不一样安全策略,包含布署区域间隔离、受限访问、预防来自区域内部DOS攻击等安却方法。提议经过汇聚交换机上集成防火墙模块(单板)来实现园区内部边界防御功效。园区网中防火墙功效不管是独立设备布署还是集成在关键/汇聚交换机内部,全部必需支持灵活业务流控制策略配置,能把特定流量引到防火墙进行处理,其它流量进行旁路。防火墙本身需要确保高可靠性,需要考虑防火墙冗余设计,支持Active/Active HA 设计方法,即交换机内集成多块防火墙板卡支持负载分担和主备模式,不一样交换机内防火墙支持Activ
37、e/Active模式,同时能够处理流量。3.3.4 园区网出口安全伴随现代社会网络经济发展,企业日益发展扩大,办事处、分支机构和商业合作伙伴逐步增多,怎样将这些小型办公网络和企业总部网络进行经济灵活而有效互联,而且和整个企业网络安全方案有机融合,提升企业信息化程度,优化商业运作效率,成为企业IT网络设计亟待处理问题;大量普及SOHO网络、小型办公网络、智能家居网络也越来越重视接入便捷性和网络安全性。企业园区网出口设备是企业内部网络和外部网络连接点,其安全确保能力很关键,企业在信息化过程中面临关键技术、商业机密泄密等信息安全问题,VPN技术是企业传输数据很理想选择,因为VPN技术正式是为了处理在
38、不安全Internet上安全传输机密信息,确保信息完整性、可用性和保密性,包含IPSec VPN和SSL VPN。企业办事处、分支机构和商业合作伙伴假如采取主机VPN用户端接入企业总部网络,那么分之机构网络中每个主机需要单独拨号接入,VPN接入不可控造成内部网络安全隐患,同时也大量消耗企业总部VPN网关隧道资源;假如采取单独VPN网关和企业总部网关建立VPN隧道,又面临投资过大问题。需要有效处理企业分支机构VPN接入灵活性、安全性和经济性之间矛盾。3.3.5 无线安全设计无线局域网(WLAN)含有安装便捷、使用灵活、经济节省、易于扩展等有线网络无法比拟优点。不过因为无线局域网开放访问特点,使得
39、攻击者能够很轻易进行窃听,恶意修改并转发,所以安全性成为阻碍无线局域网发展最关键原因。园区用户大多轻易接收新鲜事物,即使首先对无线网络需求不停增加,但同时也让很多潜在用户对不能够得到可靠安全保护而对最终是否使用无线局域网犹豫不决。现在有很多个无线局域网安全技术,包含物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。面对如此多安全技术,应该选择哪些技术来处理无线局域网安全问题,才能满足用户对安全性要求。3.3.5.1 无线局域网安全威胁利用W
40、LAN进行通信必需含有较高通信保密能力。对于现有WLAN产品,它安全隐患关键有以下几点: 未经授权使用网络服务因为无线局域网开放式访问方法,非法用户能够未经授权而私自使用网络资源,不仅会占用宝贵无线信道资源,增加带宽费用,还会降低正当用户服务质量。 地址欺骗和会话拦截在无线环境中,非法用户经过侦听等手段取得网络中正当站点MAC地址比有线环境中要轻易得多,这些正当MAC地址能够被用来进行恶意攻击。另外,因为IEEE802.11没有对AP身份进行认证,攻击者很轻易装扮成正当AP进入网络,并深入获取正当用户判别身份信息,经过会话拦截实现网络入侵。 高级入侵一旦攻击者侵入无线网络,它将成为深入入侵其它
41、系统起点。多数学校布署WLAN全部在防火墙以后,这么WLAN安全隐患就会成为整个安全系统漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。3.3.5.2 华为无线网络安全策略针对现在无线校园网应用中种种安全隐患,华为无线局域网产品体系能够提供强有力安全特征,除了传统无线局域网中安全策略之外,还能够提供愈加精细管理方法: 可靠加密和认证、设备管理能够支持现在802.11小组所提出全部加密方法,包含高级WPA 256位加密(AES),40/64位、128位和152位WEP共享密钥加密,WPA TKIP,特有128位动态安全链路加密,动态会话密钥管理。802.1x 认证使用802.1x RAD
42、IUS认证和MAC地址联合认证,确保只有正当用户和用户端设备才可访问网络。支持经过当地控制台或经过SSL或HTTPS集中管理Web浏览器;经过当地控制台或经过SSH v2或Telnet远程管理命令行界面;并可经过无线局域网管理系统进行集中管理。 用户和组安全配置和传统无线局域网安全方法一样,华为无线网络能够依靠物理地址(MAC)过滤、服务集标识符(SSID)匹配、访问控制列表(ACL)来提供对无线用户端初始过滤,只许可指定无线终端能够连接AP。同时,传统无线网络也存在它不足之处。首先,它安全策略依靠于连接到某个网络位置设备上特定端口,对物理端口和设备依靠是网络工程基础。比如,子网、ACL 和服
43、务等级(CoS)在路由器和交换机端口上定义,需要经过台式机MAC地址来管理用户连接。华为采取基于身份组网功效,可提供增强用户和组安全策略,针对特殊要求创建虚拟专用组(Vertual Private Group),VLAN不再需要经过物理连接或端口来实施,而是依据用户和组名来区分权限。 非法接入检测和隔离华为无线网络可自动实施AP射频扫描功效经过标识可去除非法AP,使管理员能愈加好地查看网络情况,提升对网络能见度。非法AP经过引入更多流量来降低网络性能,经过尝试获取数据或用户名来危及网络安全或欺骗网络以生成有害垃圾邮件、病毒或蠕虫。任何网络中全部可能存在非法AP,不过网络规模越大就越轻易受到攻击
44、。 为了消除这种威胁,能够指定一些AP充当射频“卫士”,其方法是扫描无线局域网来查找非法AP位置,统计这些位置信息并采取方法和为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引发射频干扰其它起源,比如微波炉和无绳电话。而且,射频监测配合基于用户身份组网,不仅可使用户在漫游时含有诸如虚拟专用组组员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用和其它授权等内容,还可通知管理人员哪些用户已连接、她们在何处、她们曾经在何处、她们正在使用哪些服务和她们曾经使用过哪些服务。 监视和告警华为无线网络体系提供了实时操作信息,能够快速检测到问题,提升
45、网络安全性并优化网络,甚至还能够定位用户。网络管理应用程序针对当今动态业务而设计,它提供了配置更改自动告警功效。向导界面提供了即时提醒,从而使得管理员能够快速针对冲突做出更改。 经过使用软件移动配置文件功效,管理者能够在用户或用户组漫游整个无线局域网时控制其访问资源位置。另外,位置策略能够依据用户位置来阻止或许可对特殊应用程序访问。3.4 Quidway S5700系列交换机Quidway S5700系列全千兆企业网交换机(以下简称S5700),是华为企业为满足大带宽接入和以太网多业务汇聚而推出新一代绿色节能全千兆高性能以太网交换机。它基于新一代高性能硬件和华为企业统一VRP(Versatil
46、e Routing Platform)平台,含有大容量、高密度千兆端口,可提供万兆上行,充足满足用户对高密度千兆和万兆上行设备需求,同时针对企业网用户园区网接入、汇聚、IDC千兆接入和千兆到桌面等多个应用场景,融合了可靠、安全、绿色环境保护等优异技术,采取简单便利安装维护手段,帮助用户减轻网络计划、建设和维护压力,助力企业搭建面向未来IT网络。S5700系列以太网交换机为盒式设备,机箱高度为1U,提供标准型(SI)和增强型(EI)两种产品版本。标准型支持二层和基础三层功效,增强型支持复杂路由协议和更为丰富业务特征,包含型号以下:S5700-24TP-SI-AC/DC、S5700-24TP-PW
47、R-SI、S5700-48TP-SI-AC/DC、S5700-48TP-PWR-SI、S5700-28C-SI、S5700-28C-EI、S5700-28C-EI-24S、S5700-28C-PWR-EI、S5700-52C-SI、S5700-52C-EI、S5700-52C-PWR-EI。产品外观S5700系列交换机包含以下款型:产品外观描述S5700-24TP-SI/PWR-SI24个10/100/1000Base-T,4个100/1000Base-X千兆Combo口分交流供电和直流供电两种机型, 支持RPS 12V冗余电源支持USB口24个10/100/1000Base-T,4个100/1000Base-X千兆Combo口可插拔双电源,交流供电支持POE+支持USB口S5700-48TP-SI/PWR-SI48个10/100/1000Base-T,4个100/1000Base-X千兆Combo口分交流供电和直流供电两种机型,支持RPS 12V冗余电源支持USB口48个10/100/1000Base-T,4个100/1000Base
浙ICP备2021020529号-1 | 浙B2-20240490 
