【正文】 ARP欺騙一：PC機假冒網(wǎng)關(guān)ER3260通過定時發(fā)送免費ARP，更新網(wǎng)絡(luò)主機上被攻擊篡改了的網(wǎng)關(guān)MAC地址，保證主機與網(wǎng)關(guān)之間的通信。DHCP服務(wù)器DHCP請求紀錄MACIP關(guān)系偽造ARPIPMAC關(guān)系不對ARP欺騙二：PC機假冒PC機ER3260通過授權(quán)ARP，只容許靜態(tài)ARP和DHCP分配的ARP表相中的IP地址通過，從而防止PC機IP與MAC的欺騙。、IDS防范 為了防止客房網(wǎng)攻擊，通常會使用路由器+防火墻的組網(wǎng)。ER3260上內(nèi)置了防攻擊的功能，可以省掉防火墻了、報文源認證、設(shè)置異常流量防護網(wǎng)絡(luò)中的主機會由于出現(xiàn)中毒或網(wǎng)卡異常等原因，向Internet 發(fā)送大量的異常報文，阻塞網(wǎng)絡(luò)，大量消耗設(shè)備的資源。啟用本功能后，設(shè)備會對各個主機的流量進行檢查，發(fā)現(xiàn)有異常流量時會進行指定的處理，以保證設(shè)備受到此類異常流量攻擊仍能正常工作、設(shè)置IP流量限制某些應(yīng)用（比如：P2P下載等）在給用戶帶來方便的同時，同時，也占用了大量的網(wǎng)絡(luò)帶寬。一個網(wǎng)絡(luò)的總帶寬是有限的，如果這些應(yīng)用過度占用網(wǎng)絡(luò)帶寬，必將會影響其他用戶正常使用網(wǎng)絡(luò)。為了保證局域網(wǎng)內(nèi)所有用戶都能正常使用網(wǎng)絡(luò)資源，您可以通過IP流量限制功能對局域網(wǎng)內(nèi)指定主機的流量進行限制。、設(shè)置網(wǎng)絡(luò)連接限數(shù) 網(wǎng)內(nèi)的主機遭受NAT攻擊時，主機的網(wǎng)絡(luò)連接數(shù)可能會超過幾萬個，從而會嚴重影響業(yè)務(wù)的正常運行或出現(xiàn)網(wǎng)絡(luò)掉線現(xiàn)象。此時，您可對指定主機的最大網(wǎng)絡(luò)連接數(shù)進行限制，保證網(wǎng)絡(luò)資源的有效利用四、組網(wǎng)設(shè)備介紹（H3C ER3260）ER3260是H3C公司推出的一款高性能路由器，它主要定位于以太網(wǎng)/光纖/ADSL接入的SMB市場和政府、企業(yè)機構(gòu)、網(wǎng)吧等網(wǎng)絡(luò)環(huán)境，如需要高速Internet帶寬的網(wǎng)吧、企業(yè)、學校和酒店等。ER3260采用專業(yè)的64位網(wǎng)絡(luò)處理器，主頻高達500MHz，并且支持豐富的軟件特性，如IPMAC地址綁定，ARP防攻擊，流量限速，雙WAN負載均衡，策略路由，源地址路由等功能。它是H3C ER系列路由器中的中高端產(chǎn)品，大型網(wǎng)吧用戶和大型企業(yè)用戶的理想選擇。專業(yè)的64位網(wǎng)絡(luò)處理器，主頻高達500MHz高性能，達到百兆線速轉(zhuǎn)發(fā)典型帶機量為200臺高處理性能ER3260采用64位網(wǎng)絡(luò)處理器，主頻高達500MHz，同時配合DDRII高速RAM進行高速轉(zhuǎn)發(fā)，可以達到百兆線速轉(zhuǎn)發(fā)。在實際應(yīng)用中，典型的帶機量為200臺。雙WAN口負載均衡負載均衡可以讓企業(yè)網(wǎng)用戶根據(jù)線路實際帶寬分配網(wǎng)絡(luò)流量，達到充分利用帶寬的目的。華三通信結(jié)合國內(nèi)網(wǎng)絡(luò)用戶的使用習慣和特點，有針對性地推出了智能負載均衡和手動負載均衡兩種均衡模式，滿足了雙線路接入用戶對帶寬的靈活應(yīng)用需求。智能負載均衡根據(jù)用戶實際帶寬比分配實際的網(wǎng)絡(luò)流量；手動負載均衡根據(jù)導入的路由表進行轉(zhuǎn)發(fā)；支持策略路由表的導入/導出功能，只需導入合適的路由表即可實現(xiàn)“電信走電信，聯(lián)通走聯(lián)通”的功能。IPSec VPNER3260支持標準的IPSec VPN，用戶可以通過簡單的WEB配置實現(xiàn)點對點之間的安全的VPN連接，最高支持168位的3DES加密；同時H3C結(jié)合國內(nèi)用戶的組網(wǎng)特點在ER3260上同時支持通過域名方式配置IPSec VPN連接和NATT的NAT穿越功能。多局域網(wǎng)功能（VLAN）ER3260支持多局域網(wǎng)功能，企業(yè)可以方便的劃分局域網(wǎng)為多個網(wǎng)段，降低廣播域和ARP病毒的影響，針對每個局域網(wǎng)可以配置單獨的DHCP Server和防火墻規(guī)則，ER3260最多可同時支持16個內(nèi)部局域網(wǎng)。ARP病毒雙重防護ER3260通過IPMAC地址綁定功能，固定了網(wǎng)關(guān)的ARP列表，可以有效防止ARP欺騙引起的內(nèi)網(wǎng)通訊中斷；此外ER3260毫秒級的免費ARP的定時發(fā)送機制，可以有效地避免局域網(wǎng)PC中毒后引發(fā)的ARP攻擊。網(wǎng)絡(luò)流量限速BT，迅雷等P2P軟件對網(wǎng)絡(luò)帶寬的過度占用會影響到網(wǎng)內(nèi)其他用戶的正常業(yè)務(wù)，ER3260通過基于IP或基于NAT表項的網(wǎng)絡(luò)流量限速機制可以有效地控制單臺PC的上/下行流量和建立的NAT表項的個數(shù)，限制了P2P軟件對網(wǎng)絡(luò)帶寬的過度占用。業(yè)務(wù)控制（/MSN/金融軟件）/MSN等即時通訊軟件的大量普及，造成員工辦公效率低下，無法集中精力。ER3260獨有的應(yīng)用控制功能，可以方便的限制內(nèi)網(wǎng)用戶對/MSN等應(yīng)用的使用，ER3260同時支持對大智慧/分析家/同花順/廣發(fā)至強/光大證券/國元證券等金融軟件的應(yīng)用控制功能。此外，用戶可以通過對特權(quán)用戶組的設(shè)置保證關(guān)鍵用戶的使用不受影響。項目描述概述固定端口2個10/100BaseTX WAN端口3個10/100BaseTX LAN端口1個Console接口處理器(CPU)MIPS 64位500MHz 網(wǎng)絡(luò)處理器內(nèi)存DDR II 64MBFLASH8MB指示燈每端口：Link/Act，Speed每設(shè)備： Power，W1/W2外形尺寸（長寬高）440(W)230(D)44(H) mm標準的19 英寸機架安裝寬度，1U 高輸入電壓100～240V AC,50/60Hz功耗20W工作溫度0℃～40℃存儲溫度10℃～70℃工作濕度10%～90%無凝結(jié)存儲濕度5%～90%無凝結(jié)散熱方式風扇散熱軟件特性工作模式主備模式智能負載均衡手動負載均衡(電信走電信，聯(lián)通走聯(lián)通)路由轉(zhuǎn)發(fā)模式網(wǎng)絡(luò)協(xié)議PPPoE DHCP 客戶端DHCP服務(wù)器NAPTNTPDDNS()防火墻出站通信策略(源接口/IP/MAC/用戶/目的IP/協(xié)議/端口/時間段) 入站通信策略(源接口/IP/MAC/用戶/目的IP/協(xié)議/端口/時間段) 網(wǎng)絡(luò)安全ARP防攻擊/免費ARP狀態(tài)數(shù)據(jù)包檢查防止WAN口的Ping防止TCP syn掃描防止Stealth FIN掃描防止TCP Xmas Tree掃描防止TCP Null掃描防止UDP掃描功能防止Land 攻擊功能防止Smurf攻擊功能防止WinNuke攻擊功能防止Ping of Death攻擊防止SYN Flood攻擊功能防止UDP Flood攻擊功能防止ICMP Flood攻擊功能防止IP Spoofing功能防止碎片包攻擊防止TearDrop攻擊防止Fraggle攻擊功能訪問控制IPMAC地址綁定(靜態(tài)ARP) URL過濾(黑白名單)MAC地址過濾 /MSN訪問控制金融軟件控制大智慧/分析家/同花順/廣發(fā)至強/光大證券/國元證券 QoS流量統(tǒng)計(基于IP/端口的流量統(tǒng)計)網(wǎng)絡(luò)流量限速(基于IP，上下行流量分別限速) NAT表項限制 應(yīng)用通道限制(綠色通道/限制通道)流量監(jiān)控基于物理端口的流量統(tǒng)計基于IP的流量統(tǒng)計，支持自動排序功能基于IP的NAT鏈接數(shù)統(tǒng)計路由靜態(tài)路由策略路由(基于源IP/目的IP/協(xié)議/端口/出接口/時間段)系統(tǒng)服務(wù)ALG端口觸發(fā) UPnP虛擬服務(wù)器 靜態(tài)NAT(一對一NAT) DMZ 主機VPN透傳(PPTP、L2TP、IPSec)配置管理基于Web的用戶管理接口(遠程管理/本地管理)HTTPS遠程管理命令行CLI通過HTTP 升級系統(tǒng)軟件故障診斷Ping / Tracert設(shè)備自檢故障信息一鍵導出認證CE ClassACCC(H3C WX3024E)H3C WX3000系列有線無線一體化交換機(AC，Access Controller)是杭州華三通信技術(shù)有限公司(以下簡稱H3C公司)自主研發(fā)的集成無線控制器和千兆以太網(wǎng)交換機功能的網(wǎng)絡(luò)設(shè)備。WX3000系列一體化交換機定位于中小型企業(yè)網(wǎng)和大型企業(yè)分支機構(gòu)的一體化接入，提供純千兆以太網(wǎng)有線接入口，支持PoE+供電。配合H3C公司自主研發(fā)的Fit AP可以滿足中、小型企業(yè)一體化移動網(wǎng)解決方案等無線場景的典型應(yīng)用。 AP的管理，，能夠覆蓋更大的范圍，使無線多媒體應(yīng)用成為現(xiàn)實。提供靈活的數(shù)據(jù)轉(zhuǎn)發(fā)方式傳統(tǒng)的無線控制器部署一般采用集中式轉(zhuǎn)發(fā)模式，AC可以對報文進行全面控制和安全監(jiān)管，但所有的無線業(yè)務(wù)流量需要到AC進行統(tǒng)一處理，核心鏈路帶寬和AC轉(zhuǎn)發(fā)能力容易成為瓶頸。特別是AP和AC通過廣域網(wǎng)方式進行連接時，AP作為數(shù)據(jù)接入設(shè)備部署在分支機構(gòu)，而AC部署在總部，所有用戶數(shù)據(jù)由AP發(fā)送到AC，再由AC進行集中轉(zhuǎn)發(fā)，導致轉(zhuǎn)發(fā)效率低下。WX3000系列一體化交換機可以支持集中式轉(zhuǎn)發(fā)和分布式轉(zhuǎn)發(fā)，用戶根據(jù)業(yè)務(wù)需要和網(wǎng)絡(luò)實際情況可以靈活設(shè)置轉(zhuǎn)發(fā)方式。支持精細的無線用戶接入控制和管理基于MAC的認證接入控制方式，不但可以使得客戶在AAA服務(wù)器上對用戶組進行權(quán)限的配置和修改，同時支持對具體用戶的權(quán)限的配置，這種精細的用戶權(quán)限控制大大增強了無線網(wǎng)絡(luò)的可用度，網(wǎng)管人員可以輕松通過該方式對不同級別的人或人群進行接入權(quán)限分配?；贛AC的VLAN同樣也是WX3000系列一體化交換機的一大特色，在控制策略上，管理員可以把相同性質(zhì)的用戶(MAC)劃分到同一個VLAN，同時在AC上基于VLAN配置安全策略，這樣做既可以簡化系統(tǒng)配置，又可以做到用戶級粒度的精細管理。出于安全性或計費等考慮，系統(tǒng)管理員可能希望控制無線用戶接入到網(wǎng)絡(luò)中的位置。WX3000系列一體化交換機支持基于AP位置的用戶接入控制。當無線用戶接入網(wǎng)絡(luò)時，可以通過認證服務(wù)器向AC下發(fā)允許用戶接入的AP列表，在AC上進行接入控制，從而達到限制無線用戶只能接入到指定位置的AP的目的。，MAC地址認證，Portal認證等WX3000系列一體化交換機支持多種認證方式：：WX3000系列一體化交換機支持TLS、PEAP、TTLS、MD，提供對MDTLS、PEAP這幾種主流認證方式的支持，用戶不再需要額外配置AAA服務(wù)器。，對用戶的策略可以事先設(shè)定好，用戶認證時，系統(tǒng)自動配置客戶權(quán)限。MAC地址認證：WX3000支持MAC地址認證，對一些手持終端(例如：WiFi Phone、手持移動終端等)并不方便采取電腦上的認證方式，MAC地址認證卻可以輕松解決該問題，實現(xiàn)在控制器或者AAA服務(wù)器上配置好合法的MAC地址，這些MAC地址對應(yīng)的終端就可以被允許被接入到網(wǎng)絡(luò)，而事先沒有被配置的非法終端則不能接入無線網(wǎng)絡(luò)，該功能極大地方便了例如無線醫(yī)療系統(tǒng)等應(yīng)用，MAC地址認證可以確保只有醫(yī)院的PDA工作終端才能接入到無線網(wǎng)絡(luò)，而拒絕病人的無線PDA使用專用無線網(wǎng)絡(luò)。Portal認證：WX3000提供內(nèi)置的Portal認證服務(wù)器。該認證方式無需客戶端配合，直接通過瀏覽器WEB Portal頁面作為認證通道，當用戶認證通過后，可以靈活跳轉(zhuǎn)到指定訪問首頁并啟動相應(yīng)授權(quán)和計費。同時也可以根據(jù)策略要求，靈活推送定制Portal頁面，達到廣告宣傳、信息傳遞的作用，廣泛使用在無線校園、無線城市、訪客接入等應(yīng)用場景。提供User Profile在基于用戶授權(quán)方式的網(wǎng)絡(luò)管理中，用戶通過認證，即獲得訪問網(wǎng)絡(luò)的權(quán)限。授權(quán)包括控制用戶可訪問的網(wǎng)絡(luò)范圍，以及用戶可獲得的網(wǎng)絡(luò)服務(wù)質(zhì)量，如訪問帶寬、訪問優(yōu)先級。在用戶移動的網(wǎng)絡(luò)或大型網(wǎng)絡(luò)中，為了方便網(wǎng)管人員開展日常的管理工作，User Profile特性提供了一種更模塊化、更簡單的管理方式。管理人員將一組基于用戶群或特殊用戶定制的策略配置在各個用戶的profile中，并且為每個用戶群或特殊用戶預(yù)先分配各自的profile，用戶認證上線時，在用戶上線的端口動態(tài)下發(fā)profile配置，使該用戶能動態(tài)獲得其可以訪問的網(wǎng)絡(luò)范圍，訪問帶寬以及訪問優(yōu)先級；在用戶下線時，取消該用戶在這