【正文】 ARP欺騙一：PC機(jī)假冒網(wǎng)關(guān)ER3260通過定時(shí)發(fā)送免費(fèi)ARP，更新網(wǎng)絡(luò)主機(jī)上被攻擊篡改了的網(wǎng)關(guān)MAC地址，保證主機(jī)與網(wǎng)關(guān)之間的通信。DHCP服務(wù)器DHCP請(qǐng)求紀(jì)錄MACIP關(guān)系偽造ARPIPMAC關(guān)系不對(duì)ARP欺騙二：PC機(jī)假冒PC機(jī)ER3260通過授權(quán)ARP，只容許靜態(tài)ARP和DHCP分配的ARP表相中的IP地址通過，從而防止PC機(jī)IP與MAC的欺騙。、IDS防范 為了防止客房網(wǎng)攻擊，通常會(huì)使用路由器+防火墻的組網(wǎng)。ER3260上內(nèi)置了防攻擊的功能，可以省掉防火墻了、報(bào)文源認(rèn)證、設(shè)置異常流量防護(hù)網(wǎng)絡(luò)中的主機(jī)會(huì)由于出現(xiàn)中毒或網(wǎng)卡異常等原因，向Internet 發(fā)送大量的異常報(bào)文，阻塞網(wǎng)絡(luò)，大量消耗設(shè)備的資源。啟用本功能后，設(shè)備會(huì)對(duì)各個(gè)主機(jī)的流量進(jìn)行檢查，發(fā)現(xiàn)有異常流量時(shí)會(huì)進(jìn)行指定的處理，以保證設(shè)備受到此類異常流量攻擊仍能正常工作、設(shè)置IP流量限制某些應(yīng)用（比如：P2P下載等）在給用戶帶來方便的同時(shí)，同時(shí)，也占用了大量的網(wǎng)絡(luò)帶寬。一個(gè)網(wǎng)絡(luò)的總帶寬是有限的，如果這些應(yīng)用過度占用網(wǎng)絡(luò)帶寬，必將會(huì)影響其他用戶正常使用網(wǎng)絡(luò)。為了保證局域網(wǎng)內(nèi)所有用戶都能正常使用網(wǎng)絡(luò)資源，您可以通過IP流量限制功能對(duì)局域網(wǎng)內(nèi)指定主機(jī)的流量進(jìn)行限制。、設(shè)置網(wǎng)絡(luò)連接限數(shù) 網(wǎng)內(nèi)的主機(jī)遭受NAT攻擊時(shí)，主機(jī)的網(wǎng)絡(luò)連接數(shù)可能會(huì)超過幾萬個(gè)，從而會(huì)嚴(yán)重影響業(yè)務(wù)的正常運(yùn)行或出現(xiàn)網(wǎng)絡(luò)掉線現(xiàn)象。此時(shí)，您可對(duì)指定主機(jī)的最大網(wǎng)絡(luò)連接數(shù)進(jìn)行限制，保證網(wǎng)絡(luò)資源的有效利用四、組網(wǎng)設(shè)備介紹（H3C ER3260）ER3260是H3C公司推出的一款高性能路由器，它主要定位于以太網(wǎng)/光纖/ADSL接入的SMB市場(chǎng)和政府、企業(yè)機(jī)構(gòu)、網(wǎng)吧等網(wǎng)絡(luò)環(huán)境，如需要高速Internet帶寬的網(wǎng)吧、企業(yè)、學(xué)校和酒店等。ER3260采用專業(yè)的64位網(wǎng)絡(luò)處理器，主頻高達(dá)500MHz，并且支持豐富的軟件特性，如IPMAC地址綁定，ARP防攻擊，流量限速，雙WAN負(fù)載均衡，策略路由，源地址路由等功能。它是H3C ER系列路由器中的中高端產(chǎn)品，大型網(wǎng)吧用戶和大型企業(yè)用戶的理想選擇。專業(yè)的64位網(wǎng)絡(luò)處理器，主頻高達(dá)500MHz高性能，達(dá)到百兆線速轉(zhuǎn)發(fā)典型帶機(jī)量為200臺(tái)高處理性能ER3260采用64位網(wǎng)絡(luò)處理器，主頻高達(dá)500MHz，同時(shí)配合DDRII高速RAM進(jìn)行高速轉(zhuǎn)發(fā)，可以達(dá)到百兆線速轉(zhuǎn)發(fā)。在實(shí)際應(yīng)用中，典型的帶機(jī)量為200臺(tái)。雙WAN口負(fù)載均衡負(fù)載均衡可以讓企業(yè)網(wǎng)用戶根據(jù)線路實(shí)際帶寬分配網(wǎng)絡(luò)流量，達(dá)到充分利用帶寬的目的。華三通信結(jié)合國內(nèi)網(wǎng)絡(luò)用戶的使用習(xí)慣和特點(diǎn)，有針對(duì)性地推出了智能負(fù)載均衡和手動(dòng)負(fù)載均衡兩種均衡模式，滿足了雙線路接入用戶對(duì)帶寬的靈活應(yīng)用需求。智能負(fù)載均衡根據(jù)用戶實(shí)際帶寬比分配實(shí)際的網(wǎng)絡(luò)流量；手動(dòng)負(fù)載均衡根據(jù)導(dǎo)入的路由表進(jìn)行轉(zhuǎn)發(fā)；支持策略路由表的導(dǎo)入/導(dǎo)出功能，只需導(dǎo)入合適的路由表即可實(shí)現(xiàn)“電信走電信，聯(lián)通走聯(lián)通”的功能。IPSec VPNER3260支持標(biāo)準(zhǔn)的IPSec VPN，用戶可以通過簡(jiǎn)單的WEB配置實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)之間的安全的VPN連接，最高支持168位的3DES加密；同時(shí)H3C結(jié)合國內(nèi)用戶的組網(wǎng)特點(diǎn)在ER3260上同時(shí)支持通過域名方式配置IPSec VPN連接和NATT的NAT穿越功能。多局域網(wǎng)功能（VLAN）ER3260支持多局域網(wǎng)功能，企業(yè)可以方便的劃分局域網(wǎng)為多個(gè)網(wǎng)段，降低廣播域和ARP病毒的影響，針對(duì)每個(gè)局域網(wǎng)可以配置單獨(dú)的DHCP Server和防火墻規(guī)則，ER3260最多可同時(shí)支持16個(gè)內(nèi)部局域網(wǎng)。ARP病毒雙重防護(hù)ER3260通過IPMAC地址綁定功能，固定了網(wǎng)關(guān)的ARP列表，可以有效防止ARP欺騙引起的內(nèi)網(wǎng)通訊中斷；此外ER3260毫秒級(jí)的免費(fèi)ARP的定時(shí)發(fā)送機(jī)制，可以有效地避免局域網(wǎng)PC中毒后引發(fā)的ARP攻擊。網(wǎng)絡(luò)流量限速BT，迅雷等P2P軟件對(duì)網(wǎng)絡(luò)帶寬的過度占用會(huì)影響到網(wǎng)內(nèi)其他用戶的正常業(yè)務(wù)，ER3260通過基于IP或基于NAT表項(xiàng)的網(wǎng)絡(luò)流量限速機(jī)制可以有效地控制單臺(tái)PC的上/下行流量和建立的NAT表項(xiàng)的個(gè)數(shù)，限制了P2P軟件對(duì)網(wǎng)絡(luò)帶寬的過度占用。業(yè)務(wù)控制（/MSN/金融軟件）/MSN等即時(shí)通訊軟件的大量普及，造成員工辦公效率低下，無法集中精力。ER3260獨(dú)有的應(yīng)用控制功能，可以方便的限制內(nèi)網(wǎng)用戶對(duì)/MSN等應(yīng)用的使用，ER3260同時(shí)支持對(duì)大智慧/分析家/同花順/廣發(fā)至強(qiáng)/光大證券/國元證券等金融軟件的應(yīng)用控制功能。此外，用戶可以通過對(duì)特權(quán)用戶組的設(shè)置保證關(guān)鍵用戶的使用不受影響。項(xiàng)目描述概述固定端口2個(gè)10/100BaseTX WAN端口3個(gè)10/100BaseTX LAN端口1個(gè)Console接口處理器(CPU)MIPS 64位500MHz 網(wǎng)絡(luò)處理器內(nèi)存DDR II 64MBFLASH8MB指示燈每端口：Link/Act，Speed每設(shè)備： Power，W1/W2外形尺寸（長(zhǎng)寬高）440(W)230(D)44(H) mm標(biāo)準(zhǔn)的19 英寸機(jī)架安裝寬度，1U 高輸入電壓100～240V AC,50/60Hz功耗20W工作溫度0℃～40℃存儲(chǔ)溫度10℃～70℃工作濕度10%～90%無凝結(jié)存儲(chǔ)濕度5%～90%無凝結(jié)散熱方式風(fēng)扇散熱軟件特性工作模式主備模式智能負(fù)載均衡手動(dòng)負(fù)載均衡(電信走電信，聯(lián)通走聯(lián)通)路由轉(zhuǎn)發(fā)模式網(wǎng)絡(luò)協(xié)議PPPoE DHCP 客戶端DHCP服務(wù)器NAPTNTPDDNS()防火墻出站通信策略(源接口/IP/MAC/用戶/目的IP/協(xié)議/端口/時(shí)間段) 入站通信策略(源接口/IP/MAC/用戶/目的IP/協(xié)議/端口/時(shí)間段) 網(wǎng)絡(luò)安全ARP防攻擊/免費(fèi)ARP狀態(tài)數(shù)據(jù)包檢查防止WAN口的Ping防止TCP syn掃描防止Stealth FIN掃描防止TCP Xmas Tree掃描防止TCP Null掃描防止UDP掃描功能防止Land 攻擊功能防止Smurf攻擊功能防止WinNuke攻擊功能防止Ping of Death攻擊防止SYN Flood攻擊功能防止UDP Flood攻擊功能防止ICMP Flood攻擊功能防止IP Spoofing功能防止碎片包攻擊防止TearDrop攻擊防止Fraggle攻擊功能訪問控制IPMAC地址綁定(靜態(tài)ARP) URL過濾(黑白名單)MAC地址過濾 /MSN訪問控制金融軟件控制大智慧/分析家/同花順/廣發(fā)至強(qiáng)/光大證券/國元證券 QoS流量統(tǒng)計(jì)(基于IP/端口的流量統(tǒng)計(jì))網(wǎng)絡(luò)流量限速(基于IP，上下行流量分別限速) NAT表項(xiàng)限制 應(yīng)用通道限制(綠色通道/限制通道)流量監(jiān)控基于物理端口的流量統(tǒng)計(jì)基于IP的流量統(tǒng)計(jì)，支持自動(dòng)排序功能基于IP的NAT鏈接數(shù)統(tǒng)計(jì)路由靜態(tài)路由策略路由(基于源IP/目的IP/協(xié)議/端口/出接口/時(shí)間段)系統(tǒng)服務(wù)ALG端口觸發(fā) UPnP虛擬服務(wù)器 靜態(tài)NAT(一對(duì)一NAT) DMZ 主機(jī)VPN透?jìng)?PPTP、L2TP、IPSec)配置管理基于Web的用戶管理接口(遠(yuǎn)程管理/本地管理)HTTPS遠(yuǎn)程管理命令行CLI通過HTTP 升級(jí)系統(tǒng)軟件故障診斷Ping / Tracert設(shè)備自檢故障信息一鍵導(dǎo)出認(rèn)證CE ClassACCC(H3C WX3024E)H3C WX3000系列有線無線一體化交換機(jī)(AC，Access Controller)是杭州華三通信技術(shù)有限公司(以下簡(jiǎn)稱H3C公司)自主研發(fā)的集成無線控制器和千兆以太網(wǎng)交換機(jī)功能的網(wǎng)絡(luò)設(shè)備。WX3000系列一體化交換機(jī)定位于中小型企業(yè)網(wǎng)和大型企業(yè)分支機(jī)構(gòu)的一體化接入，提供純千兆以太網(wǎng)有線接入口，支持PoE+供電。配合H3C公司自主研發(fā)的Fit AP可以滿足中、小型企業(yè)一體化移動(dòng)網(wǎng)解決方案等無線場(chǎng)景的典型應(yīng)用。 AP的管理，，能夠覆蓋更大的范圍，使無線多媒體應(yīng)用成為現(xiàn)實(shí)。提供靈活的數(shù)據(jù)轉(zhuǎn)發(fā)方式傳統(tǒng)的無線控制器部署一般采用集中式轉(zhuǎn)發(fā)模式，AC可以對(duì)報(bào)文進(jìn)行全面控制和安全監(jiān)管，但所有的無線業(yè)務(wù)流量需要到AC進(jìn)行統(tǒng)一處理，核心鏈路帶寬和AC轉(zhuǎn)發(fā)能力容易成為瓶頸。特別是AP和AC通過廣域網(wǎng)方式進(jìn)行連接時(shí)，AP作為數(shù)據(jù)接入設(shè)備部署在分支機(jī)構(gòu)，而AC部署在總部，所有用戶數(shù)據(jù)由AP發(fā)送到AC，再由AC進(jìn)行集中轉(zhuǎn)發(fā)，導(dǎo)致轉(zhuǎn)發(fā)效率低下。WX3000系列一體化交換機(jī)可以支持集中式轉(zhuǎn)發(fā)和分布式轉(zhuǎn)發(fā)，用戶根據(jù)業(yè)務(wù)需要和網(wǎng)絡(luò)實(shí)際情況可以靈活設(shè)置轉(zhuǎn)發(fā)方式。支持精細(xì)的無線用戶接入控制和管理基于MAC的認(rèn)證接入控制方式，不但可以使得客戶在AAA服務(wù)器上對(duì)用戶組進(jìn)行權(quán)限的配置和修改，同時(shí)支持對(duì)具體用戶的權(quán)限的配置，這種精細(xì)的用戶權(quán)限控制大大增強(qiáng)了無線網(wǎng)絡(luò)的可用度，網(wǎng)管人員可以輕松通過該方式對(duì)不同級(jí)別的人或人群進(jìn)行接入權(quán)限分配?；贛AC的VLAN同樣也是WX3000系列一體化交換機(jī)的一大特色，在控制策略上，管理員可以把相同性質(zhì)的用戶(MAC)劃分到同一個(gè)VLAN，同時(shí)在AC上基于VLAN配置安全策略，這樣做既可以簡(jiǎn)化系統(tǒng)配置，又可以做到用戶級(jí)粒度的精細(xì)管理。出于安全性或計(jì)費(fèi)等考慮，系統(tǒng)管理員可能希望控制無線用戶接入到網(wǎng)絡(luò)中的位置。WX3000系列一體化交換機(jī)支持基于AP位置的用戶接入控制。當(dāng)無線用戶接入網(wǎng)絡(luò)時(shí)，可以通過認(rèn)證服務(wù)器向AC下發(fā)允許用戶接入的AP列表，在AC上進(jìn)行接入控制，從而達(dá)到限制無線用戶只能接入到指定位置的AP的目的。，MAC地址認(rèn)證，Portal認(rèn)證等WX3000系列一體化交換機(jī)支持多種認(rèn)證方式：：WX3000系列一體化交換機(jī)支持TLS、PEAP、TTLS、MD，提供對(duì)MDTLS、PEAP這幾種主流認(rèn)證方式的支持，用戶不再需要額外配置AAA服務(wù)器。，對(duì)用戶的策略可以事先設(shè)定好，用戶認(rèn)證時(shí)，系統(tǒng)自動(dòng)配置客戶權(quán)限。MAC地址認(rèn)證：WX3000支持MAC地址認(rèn)證，對(duì)一些手持終端(例如：WiFi Phone、手持移動(dòng)終端等)并不方便采取電腦上的認(rèn)證方式，MAC地址認(rèn)證卻可以輕松解決該問題，實(shí)現(xiàn)在控制器或者AAA服務(wù)器上配置好合法的MAC地址，這些MAC地址對(duì)應(yīng)的終端就可以被允許被接入到網(wǎng)絡(luò)，而事先沒有被配置的非法終端則不能接入無線網(wǎng)絡(luò)，該功能極大地方便了例如無線醫(yī)療系統(tǒng)等應(yīng)用，MAC地址認(rèn)證可以確保只有醫(yī)院的PDA工作終端才能接入到無線網(wǎng)絡(luò)，而拒絕病人的無線PDA使用專用無線網(wǎng)絡(luò)。Portal認(rèn)證：WX3000提供內(nèi)置的Portal認(rèn)證服務(wù)器。該認(rèn)證方式無需客戶端配合，直接通過瀏覽器WEB Portal頁面作為認(rèn)證通道，當(dāng)用戶認(rèn)證通過后，可以靈活跳轉(zhuǎn)到指定訪問首頁并啟動(dòng)相應(yīng)授權(quán)和計(jì)費(fèi)。同時(shí)也可以根據(jù)策略要求，靈活推送定制Portal頁面，達(dá)到廣告宣傳、信息傳遞的作用，廣泛使用在無線校園、無線城市、訪客接入等應(yīng)用場(chǎng)景。提供User Profile在基于用戶授權(quán)方式的網(wǎng)絡(luò)管理中，用戶通過認(rèn)證，即獲得訪問網(wǎng)絡(luò)的權(quán)限。授權(quán)包括控制用戶可訪問的網(wǎng)絡(luò)范圍，以及用戶可獲得的網(wǎng)絡(luò)服務(wù)質(zhì)量，如訪問帶寬、訪問優(yōu)先級(jí)。在用戶移動(dòng)的網(wǎng)絡(luò)或大型網(wǎng)絡(luò)中，為了方便網(wǎng)管人員開展日常的管理工作，User Profile特性提供了一種更模塊化、更簡(jiǎn)單的管理方式。管理人員將一組基于用戶群或特殊用戶定制的策略配置在各個(gè)用戶的profile中，并且為每個(gè)用戶群或特殊用戶預(yù)先分配各自的profile，用戶認(rèn)證上線時(shí)，在用戶上線的端口動(dòng)態(tài)下發(fā)profile配置，使該用戶能動(dòng)態(tài)獲得其可以訪問的網(wǎng)絡(luò)范圍，訪問帶寬以及訪問優(yōu)先級(jí)；在用戶下線時(shí)，取消該用戶在這