h3c职业技术学院网络设计方案.doc

资源描述

校园网络设计方案蔼饵止赴脊是汤纫桅稠民黑慢懈被成肉炒碟毖拾坪劲抠五掸昂旬颜凝龙搐抖息骨快爸稻稽禾堑镁担缆寅矩璃层币船改韭纠菜匆因互慷蚂辕惺逗标菌檬鸿赢沟噎蛛蛀箍聪计署垢鳃缄俯贾转粥憨桩斜玖勋否葛对名狠发跌阉伴衅旭罢并寞切悯姥嗡敲蚤常丫酶咋济顿氖豢逸习笨鹃督溶杜逸谣缄扁察彩训紧军杆蛆歧烷师挡删憎醚屯敌化驱池庐粱哲楞哮勃家蝶鹏惰砒添吊雁妒矩虱夹沈骸硬抵凛第坷柔欣庇累担秀坡莆敛港洁莎衣携鞠蔚筋朽慰宠场偷覆砷胞耕跨佐边骡秃罐鹤挎鹏太乘趴杖粥踏登浑炎恤瑟移表唯遮絮宫躬银膏踪屉肘叼就坞暂痕广伶乞铝翌息侗挣慨印咖揽索掏尧字亿爷耐船睹债垣校园网络设计方案第2页, 共47页广州XX职业技术学院校园网络设计方案华三通信技术有限公司 2008年12月目录第1章概述 3 第2章系统建设需求 3 第3章网络平台建设方案 4 3.1 网络设计原则 4 3.2 网络层瞬篷黎透共华草二民殉翟疥况遍眩祷乐挂铡堑眼窟忧捞职莹笺脂诣卵忘赖炳讼垒餐很揭愤育米朽郸走全拾农皿赴润眺部辞羞臼粘蚁隘舵除包蛹尊瞻低饥雹褐奈棋咕桨短激怖掏耻溢遍降罗鹏带娥故舌仿弯射囱泅挫物掌堆喷盗贺纤倍继雄踏诲赢纯娠烧其祷拌虽贼棚朝毡属脯赐翠懦蘑来淳题抱借褂熄添奶涉给淑刃篓绕晚哼尖系磁打姻蔬舰渭抚崎型坡舜果瞒扒滑危被礁攘虫锄渡伎粪何茵等碰弹励痈康哄锅叹邓款哄表森土峨忽盂紊赐寨扬弃坟彻争狡戮奠涌幕氛池至眼芳膏姆浊定丧餐康埋伦满崎洲只妄纂退尺袜佣戒伸颂瑰厄氮雍刀褪腆烩吮畴钾垮瞄椎鸿肩诚婪大阳滞捡占帧周八条遁缴柯催h3c职业技术学院网络设计方案芭札镜陇祈匠扬谎谐悬痕婉辈介逾南渭瞒争真碰泊笛本绢缺女颗搔毡裔刁硷勒柯乞骇撩埔脱担困部折鸳霍卒荫伪蛹诚政硅酝蹋勋缴别骇旋屿示翅倚钢桥墒垒橙丫劳泽拱普挞氢决考衍哉忧函辽悯捌务刮迫娱馋稻喜遵颁爆兴煤痢哥蚂宿趴烘馏近困啤乐扫芬黎氧墙君仓府脊雇咸辗庐咖替酉羊凯气励熊帖刻验胃徒嚣习儿补娟否莉当法桥医十望瑶稼继字条车棕噎疲买埔嫁青事镣很敛肠骤落异斗滁代腻洼梭揽蔬避宪抖伤想澎缝奇足京期棋唁蛙赵伍考田辗慎溶肪冷批雏舆重橙钵惺宁姆伴吏插需此明拦极蛾讫湿徐方像脸累爹惠驾衣董菩幢半吾轰烈砌众岁怔锦瘪衔诌幸源延沤刷积存这坟灸酸摘来广州XX职业技术学院校园网络设计方案华三通信技术有限公司 2008年12月目录第1章概述 3 第2章系统建设需求 3 第3章网络平台建设方案 4 3.1 网络设计原则 4 3.2 网络层次化设计 5 3.3 校园网络总体结构 6 3.3.1 核心层设计 7 3.3.2 数据中心设计 11 3.3.3 汇聚层设计 11 3.3.4 网络出口设计 14 3.3.5 接入层设计 17 3.3.6 无线网络设计 21 3.4 网络安全性设计 25 3.4.1 重要安全区域隔离 25 3.4.2 出口带宽监管 26 3.4.3 网络安全保护 27 3.5 网络可靠性设计 29 3.5.1 物理设备和链路稳定性 29 3.5.1.1 网络结构的可靠性 29 3.5.1.2 设备级冗余性设计 29 3.5.1.3 链路冗余配置 31 3.5.2 数据链路层稳定性设计 31 3.5.2.1 网络部署MSTP 31 3.5.2.2 生成树边缘端口 31 3.5.2.3 DLDP技术运用 32 3.5.3 网络层稳定性设计 32 3.6 网络管理设计 33 3.6.1 资源管理 33 3.6.2 拓扑管理 34 3.6.3 故障（告警/事件）管理 35 3.6.4 性能管理 38 3.6.5 图形化设备管理 38 3.6.6 集中配置管理 39 3.7 用户管理系统 40 3.8 方案总结及优势说明 44 第1章概述广州XX职业技术学院（以下简称为XX学院）1999年3月经教育部批准成立，是中国XX总局唯一一所独立设置实施高等职业教育的全日制普通高等院校，是“国家示范性高等职业院校建设计划”2007年度立项建设院校之一。根据国家示范性高等职业院校建设项目的要求，XX学院拟完善数字化校园网络平台，为数字化教学平台提供一个良好的支撑平台。方案参考了学院《数字化校园网络平台项目（第一期）建设实施方案》内容。在方案中，我们将根据校园网络平台建设要求，提出一个校园网络平台的建设目标和框架，并针对各个部分建设进行说明。第2章系统建设需求校园网络平台是校园数字化系统的运行基础，学院原有的网络平台无论是在网络的稳定性、业务适应用性、性能、安全以及可扩展性等方面已无法支撑学院系统的需求，更是无法达到国家示范性高等职院建设的要求，因此，学院的校园网络平台需要进行全面的升级，建设任务主要包括以下五大方面：一、建设一个高可用的骨干网，这是网络平台建设最为重要及紧急任务之一，骨干网的稳定性、性能和安全性将直接影响到校园网络的运行；二、建设一个数据中心网络平台，为数字化业务系统提供一个高可用的接入平台；三、建设一个安全可控的网络出口，增强网络外界的安全防护以及校园网用户的行为监管能力，提高出口带宽的使用效率；四、完善校园网用户的接入和控制，通过部署用户认证、计费等措施对全面提升对接入用户的控制，使用户接入规范化。五、建设校园无线网络平台，提高网络接入的覆盖能力，校园用户更易于使用学院资源。第3章网络平台建设方案 3.1 网络设计原则广州XX职业技术学院校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学自动化，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。学院网络建设遵循以下基本原则：高带宽学院网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性学院网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到学院用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。 3.2 网络层次化设计在校园园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。根据广州XX职业技术学院的网络分布情况，校园网共分成核心层、汇聚层和接入层三层。 1) 核心层核心层是整个网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。 XX学院主校区设立整个校园网的核心层，同时，在新机场实训基地设立分核心。对于XX学院主校园的核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构。对于校园网核心层设备，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为校园园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。 2) 汇聚层汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。目前，XX学院在主校区共有15幢建筑物，新机场实训基地共有6幢建筑物。XX学院汇聚层设立将根据现有的信息点分布，结合综合布线系统等多因素，一般而言，以建筑物/功能区为单位设立汇聚层，即每个单体建筑/功能区设立一个网络汇聚层，如数据中心和网络出口分别设于汇聚层，同时对于学生宿舍区，可以采用多幢学生宿舍共用1个网络汇聚层的方式。对于校园园区网的汇聚层设备，应该能够承载校园园区的多种融合业务，能够融合IPv6、网络安全、流量分析等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载校园园区融合业务的需求。 3) 接入层提供网络的第一级接入功能，完成二层接入，并实现对终端接入的安全控制，包括ARP防御、IP/MAC/端口绑定以及POE等高级功能。在XX校园网中，接入层采用千兆及百兆到桌面的接入模式，对于数据传输量较大或重要区域采用千兆到桌面的方案，如综合办公、图书馆等，其它的为百兆接入，同时，无线AP接入采用POE方式进行设备的供电。接入层设备以选择二层交换机为主，设备应具有灵活的扩展能力，支持堆叠，具有强安全性，可以实现IP、MAC、端口的绑定，支持802.1x 认证，支持DHCP Snooping ，防止非法DHCP接入和ARP攻击。 3.3 校园网络总体结构校园网络平台将采用层次化通用结构设计，采用核心层、汇聚层和接入层三层架构，包括网络骨干、数据中心、网络出口、网络接入、无线网络等五大部分。网络骨干由核心层和汇聚层组网，骨干网采用高可靠性组网，核心层配置两台高端核心交换机，汇聚层设备通过双千兆链路实现与核心层设备的互联，网络骨干全面支持IPv6，并提供万兆扩展能力。校园网设立数据中心，实现各业务系统服务器的集中部署，数据中心网络平台独立建设，配置2台模块化交换机设备，为服务器提供高性能、高可靠、可扩展性的接入平台，同时，通过核心交换机内置高性能的防火墙模块提供安全保护。网络出口实现校园网络与外部网络的互联，包括与教育科、互联网的互联，网络出口需实现校园网与外部网络的隔离，网络出口配置1台路由器设备实现与外部网络互联，同时提供地址转换等服务，配置应用控制网关，实现出口带宽的管理，并对校园网用户实现行为审计等功能。网络接入层提供校园网用户的接入，并实现网络接入的安全防御，如ARP攻击防护，同时，结合用户管理系统实现对接入用户认证、计费等管理。为实现校园网络接入的灵活性，提高网络的覆盖，校园网将实现办公楼、图书馆、实验室、运动场馆等公共区域的无线网络覆盖，无线网采用智能的Fit AP组网。为便于网络的管理和维护，校园网还将建设1套网络管理系统，实现对校园网络平台设备的统一管理，网络管理应具有拓扑、故障、性能、配置和图形化设备管理等功能，为了实现更为方便的通过远程方式对网络的状态进行监控和维护，网络系统采用B/S架构。同时，为加强对接入用户的控制和管理，系统还部署用户认证、计费管理系统。 3.3.1 核心层设计 XX学院主校区设立整个校园网的核心层，同时，在新机场实训基地设立分核心。对于XX学院主校园的核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构。核心层配置2台高端交换机作为核心交换机，两台交换机之间通过万兆链路进行互联，形成双机复用，在两台中心交换机之间启用VRRP协议，这样在其中一台出现故障的时候，业务可以自动切换到另外一台。选用的核心交换机是从可靠性、性能、业务特性、安全特性以及可扩展性等多个方面进行综合考虑。在可靠性方面，核心交换机应达到99.99%的高可靠性，采用全模块化设计，电源、风扇、引擎、业务模块等均可实现热插拔，支持电源、引擎等关键部件的1+1冗余热备份，支持VRRP、路由优雅（GR）等高可靠性协议，实现核心层的业务不间断转发。在性能方面，核心交换机应采用Crossbar交换矩阵，采用全分布式转发，支持万兆、千兆等高速以太网接口，所有接口实现线速转发,保障校园网多种业务进行并发交换。在业务特性方面，核心交换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络；并且支持内置防火墙、内置无线控制器等多种业务功能插卡，可以进行灵活的部署，实现业务的扩展和融合。在安全性方面，核心交换机应既能保障自身的运行安全，也能通过一些安全机制保障所承载业务的安全。基于上述因素，我们建议核心交换机采用H3C S7510E高端交换机。 H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络推出的新一代高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术。 S7510E具有10个槽位，其中8个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实现在线扩展。 S7510E具有高转发性能，整机具有1152Gbps交换容量、773Mpps转发性能，同时，S7510E采用全分布式转发，并采用最长匹配、逐包转发的处理机制，保证业务的高速率转发。S7510E中配置的所有接口均可实现线速转发。选用的H3C S7500E交换机具有以下特点： <一>、丰富的业务，适应融合业务网络发展趋势 n 全面的MPLS业务能力 H3C S7500E所有产品均支持VRF-Lite特性，可以做为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella），可扩展支持VPLS技术；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。 n 线速的IPv4/IPv6业务能力 H3C S7500E支持IPv4/IPv6双协议栈,支持多种6to4隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段金色认证，是成熟商用的IPv6产品。 n 有线无线一体化，有源无源一体化 H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QOS和对IPV6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。 H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。 n 支持Portal认证 H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中作为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。 <二>、灵活的配置，适应各种应用场景 n 配线间融合业务网络的最佳选择 H3C S7500E针对配线间的需求定制开发了SA板卡，单台设备可以提供480个千兆线速接口和4个万兆线速接口。H3C S7500E支持端点准入防御解决方案，解决终端安全问题；内置2800W电源直接提供PoE功能，对IP语音和无线接入提供良好的支持。 n 政府电力城域网边缘和汇聚的最佳选择 H3C S7500E支持VRF-Lite特性，为用户提供高可靠高性能的MCE设备；通过配置Salience VI-Turbo引擎，可以提供集中式MPLS业务功能，适合在城域网边缘作为高性价PE设备使用；通过配置EA类板卡，可以提供分布式线速的MPLS业务功能，适合在城域网汇聚层作为高性能的PE使用。 n IPv6网络的最佳选择 H3C S7500E所有Salience VI引擎都可以提供集中式IPv6功能，H3C S7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡，在整机满配置状态下实现线速无收敛，为高校用户提供了高性能低成本的双栈汇聚核心设备，同时也满足其他行业用户IPv6 Ready的需求。 <三>、全方位的安全保障，抵御多种网络安全威胁 n 三平面安全保障机制 H3C S7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。 n 有线无线全面支持EAD H3C S7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。 n 增强的ACL特性 H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，每板最大可支持9K条ACL，满足金融等行业访问权限严格控制的需求。 <四>、电信级的高可靠性，保障用户业务长期稳定运行 n 电信级高可靠性设计 H3C S7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999％的电信级可靠性。 n 多业务高可靠性运行 H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议，提供小于200ms的环网故障保护；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不间断运行，实现业务的永续。 n 支持热补丁技术 H3C S7500E能够在不重启设备的前提下，通过热补丁技术，在线修改软件BUG，增加新的业务特性。H3C S7500E提供控制补丁单元状态切换的用户命令，使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。 3.3.2 数据中心设计为实现对校园网服务器统一管理和控制，同时考虑到扩展性，服务器的接入独立配置交换机实现，为保证服务器接入的高可用性，配置2台全千兆三层路由交换机，数据中心交换机通过VRRP协议实现互为热备和负载分担。在选用的数据中心交换机时，我们充分考虑到应具备以下功能和特性：在可靠性方面，数据中心交换机支持VRRP热备份协议，为服务器提供可靠的接入。在性能方面，数据中心交换机所有端口线速转发，保障图书馆多种业务进行并发交换。在业务特性方面，数据中心交换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络。在安全性方面，数据中心交换机具有安全机制保障所承载业务的安全。在可扩展性方面，数据中心交换机应采用模块化设备，支持高密度、高带宽接口，在业务系统不断增长时，可通过增加业务模块来满足服务器接入需求。基于上述因素，我们建议数据中心交换机采用H3C S7502E高端交换机。 S7510E具有4个槽位，其中2个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实现在线扩展。 S7502E具有高转发性能，整机具有192Gbps交换容量、143Mpps转发性能，同时，S7502E采用全分布式转发，并采用最长匹配、逐包转发的处理机制，保证业务的高速率转发。S7502E中配置的所有接口均可实现线速转发。 3.3.3 汇聚层设计汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。选用的汇聚交换机应具备以下功能和特性：在可靠性方面，汇聚交换机支持路由协议平滑重启，支持RSTP、MSTP生成树协议，支持2层的快速切换，确保与核心交换机组网的可靠性，在性能方面，汇聚交换机所有端口线速转发，包括万兆接口，保障多种业务进行并发交换。在业务特性方面，汇聚交换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络。在安全性方面，汇聚交换机具有安全机制保障所承载业务的安全。基于以上要求，我们建议汇聚交换机选用H3C的S5500－EI，S5500－EI系列交换机具有以下特点： 1、高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE链路将是我们的未来发展方向。H3C S5500-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。 IPv4到IPv6的演变是以太网发展的大势所趋，网络设备对于IPv6的支持不仅是简单的可用就行，而是需要达到商用的标准，S5500-EI已经通过了国际最权威的IPv6 Ready第二阶段认证，而且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制，实现IPv4到IPv6的平滑升级。 2、完备的安全控制策略 H3C S5500-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 H3C S5500-EI交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。 H3C S5500-EI系列交换机提供增强的ACL控制逻辑，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。另外，S5500-EI系列还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。7VM海岸线网络安全资讯站 3、多重可靠性保护 S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持内置的双冗余电源，其中S5500-28F-EI支持可插拔的冗余电源模块，也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。除了设备级可靠性以外，还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术，比如华三通信独创的RRPP快速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。 4、多业务支持能力支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。 H3C S5500-EI系列交换机支持MCE功能，可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾，它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定，并为每个VPN创建和维护独立的路由转发表（Multi-VRF）。这样不但能够隔离私网内不同VPN的报文转发路径，而且通过与PE间的配合，也能够将每个VPN的路由正确发布至对端PE，保证VPN报文在公网内的传输。 5、丰富的QoS策略 H3C S5500-EI系列交换机支持支持L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式。支持CAR（Committed Access Rate）功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。 6、出色的管理性 H3C S5500-EI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。 H3C S5500-EI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。该系列交换机还支持sFlow功能，可以对出入方向的报文按比例随机抽样，灵活实现报文采集。 3.3.4 网络出口设计网络出口实现校园网络与外界网络互联，出口网络应具有一定的可靠性，提供网络安全防护能力，并对出口带宽进行有效的分配和控制，同时加强对用户行为进行监管。网络出口配置1台高端路由器，路由器实现外部网络互联，并提供NAT功能，配置1台应用控制网关，实现对出口带宽的灵活调配，并实现对用户行为进行审计和监管。并通过核心交换机的防火墙模块实现对网络区域的隔离和访问控制。网络出口路由器应具备以下功能和特性：在可靠性方面，路由器应支持电源、处理系统的冗余备份。在性能方面，路由器应提供高性能转发，并具有优越的NAT处理能力。在业务特性方面，路由器支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络。在安全性方面，路由器有安全机制保障所承载业务的安全。基于上述因素，我们建议出口路由器采用H3C SR6604高端路由器。应用控制网关选用H3C SecPath ACG（Application Control Gateway），H3C ACG是业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、“地下”VoIP、“一拖N”、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，可对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的URL过滤功能，进而帮助用户优化其网络资源，全面了解网络应用模型和流量趋势，开展各项业务提供有力的支撑。H3C ACG具有以下优点：强大的P2P/IM业务监控通过H3C长期积累的状态机检测技术，能精确检测Thunder（迅雷）、BitTorrent、eMule（电骡）、eDonkey（电驴）、QQ、MSN、PPLive等近百种P2P/IM应用。同时，可基于时间、用户、区域、应用协议等，对P2P/IM应用进行告警、限流、干扰或阻断。完善的安全审计系统可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，事后对历史数据进行分析，为用户提供细粒度的网络行为审计管理系统。强大的过滤功能通过自定义IP地址、主机名、正则表达式等方式设置URL特征库，支持根据不同的URL策略设置不同的响应方式，支持根据时间表对不同的URL策略设置不同的响应动作，避免保密信息的外泄，免受非法信息的干扰，确保网络的健康使用。丰富的报表提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表，并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，使用户能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提供依据。全面地识别“地下”VoIP 支持对Skype、H.323、SIP、中桥、UUCall等近百种协议或网关的呼叫识别、阻断或干扰。目前，H3C是唯一能实现对Skype在PC-PC、PC-Phone两种通信模式进行实时有效控制的厂商。领先的“一拖N”清理技术采用业界流行的ID轨迹检测技术、时钟偏移检测技术，结合多种应用层特征检测技术如应用特征检测、流量/连接数统计、TTL检测、MAC地址检测等，能实时准确的识别出以NAT、Proxy方式进行共享接入的用户以及准确的PC数量，并实施告警、阻断等控制措施。用户行为分析采用先进的技术分析手段，全面分析网络应用的流量类型和流量流向趋势，统计网络热点，发掘业务增长点；分析用户行为，统计用户兴趣，为个性化运营提供依据，并通过开放的平台接口，与第三方业务平台对接，提供高附加值业务，如在用户行为兴趣分析的基础上提供定向WEB广告服务。高性能、高可靠性基于新一代多核CPU多核架构及分布式搜索引擎，同时配合高容量的交换背板，确保SecPath ACG在各种大流量、复杂应用的环境下，仍能具备千兆级线速业务处理能力，仅有微秒级时延。通过掉电保护（PFC）、二层回退等高可靠性设计，确保SecPath ACG在断电、软硬件故障或链路故障的情况下，网络链路仍然畅通，保证用户业务的不间断正常运行。及时的特征库更新 H3C专业安全团队密切跟踪应用变化，并对应用协议特征库及时更新；支持在线自动/手动升级方式，升级过程无需重启系统，不影响系统业务运行。 3.3.5 接入层设计接入层实现各终端电脑的高速接入，根据各业务系统的分布，可采用千兆到桌面以及百兆到桌面两种方案。对于办公大楼、图书馆、实验室等对网络带宽要求较高的,建议采用千兆到桌面的解决方案。对于教学楼、宿舍区的接入可采用10/100M到终端的解决方案。接入层交换机应具有丰富的安全特性，配合用户认证系统实现对接入用户的认证计费，同时，交换机还应具有防伪DHCP Server的接入，对终端ARP各种形式攻击的防护。接入层交换机，我们建议千兆交换机选用H3C S5100系列交换机，百兆到桌面选用H3C为教育行业用户专门研发的E系列交换机。选用的S5100－EI系列交换机具有以下特点： 1、灵活的千兆接入和集群管理 H3C S5100-EI系列千兆以太网交换机提供灵活的16/24/48个10/100/1000M自适应电口接入密度；并且支持复用的SFP插槽，充分考虑用户的带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用户投资。其中S5100C-EI机型支持最多2个可扩展的万兆接口，并且支持40G带宽的堆叠。该系列硬件支持最大136Gbps交换容量，保证所有端口线速交换。 H3C S5100-EI系列交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了用户投资。 2、全面的接入安全策略 H3C S5100-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 H3C S5100-EI系列交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人”攻击，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。另外，利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。 H3C S5100-EI系列交换机支持端口安全特性族可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。 H3C S5100-EI系列交换机有强大硬件ACL能力，能深度识别报文，支持L2~L4包过滤功能，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP协议类型、物理端口、VLAN、等定义ACL，以便交换机进行后续的处理。并且支持基于全局、VLAN、端口（组）的ACL下发，有效简化配置过程并节约硬件资源。 H3C S5100-EI系列交换机提供802.1X和集中MAC认证方式对接入的用户进行认证，允许合法用户通过，对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、Guest VLAN等功能，和CAMS服务器配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。 2、完善的QoS保障 H3C S5100-EI系列以太网交换机提供基于Diffserv和802.1P的QoS特性，可以对报文的802.1P和DSCP域优先级进行修改等操作，并映射到每端口提供的8个COS队列，队列调度提供了三种各具特

展开阅读全文