【正文】 l o g )OAE m a ilE RP應(yīng)用服務(wù)器Ca ta l yst 6 5 0 9Ca ta l yst 3 5 5 0Ca ta l yst 2 9 5 0 /HUB原有網(wǎng)絡(luò)H3 C S 5 5 0 0 2 8 C/5 2 C EI H3 C S 3 6 0 0 2 8 P /5 2 P EIVR R P1 m a s t e rVR R P2 b a ck u pVR R P2 m a s t e rVR R P1 b a ck u p客戶端部署 H 3 C i N o d e 實(shí)現(xiàn)對(duì)用戶的認(rèn)證、計(jì)費(fèi)和授權(quán)控制接入交換機(jī)：1 . V C T 虛擬電纜檢測協(xié)議發(fā)現(xiàn)物理故障；2. 邊緣端口B P D U 保護(hù)雙鏈路冗余保護(hù)接入交換機(jī)支持D H C P S n o o p i n g和 A R P 入侵檢測功能，有效防御各類 A R P 欺騙攻擊威脅核心及接入交換機(jī)均支持 D L D P協(xié)議，實(shí)現(xiàn)光纖故障告警配置多個(gè) V R R P組實(shí)現(xiàn)負(fù)載分擔(dān)核心交換機(jī)配置N e t st r e a m 網(wǎng)流分析板結(jié)合 X l o g可對(duì)全網(wǎng)數(shù)據(jù)流量進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析核心交換機(jī)配置N A T 板可確保服務(wù)器和終端 IP 地址不做修改的情況下實(shí)現(xiàn)新老網(wǎng)絡(luò)的互訪 核心層設(shè)備通過 VRRP協(xié)議進(jìn)行網(wǎng)關(guān)備份，在這個(gè)網(wǎng)絡(luò)中，通過合理規(guī)劃 VRRP group master、生成樹實(shí)例和生成樹實(shí)例與 VLAN 映射的關(guān)系，可提高網(wǎng)絡(luò)鏈路利用率和可靠性。因此我們建議衡鋼在綜合業(yè)務(wù)系統(tǒng)遷移的可靠性，網(wǎng)絡(luò)的可靠性，網(wǎng)絡(luò)彈性以及業(yè)務(wù)對(duì)網(wǎng)絡(luò)收斂速度的要求等多方面考慮后，在接入層和核心層所有設(shè)備上啟用 OSPF 動(dòng)態(tài)路由協(xié)議，提高整個(gè)系統(tǒng)的可靠性，吞吐能力和收斂速度。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對(duì)用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制，是保證網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前急需解決的問題。通過安全認(rèn)證后，用戶可以正常使用網(wǎng)絡(luò)，與此同時(shí)， EAD 可以對(duì)用戶終端 運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行審計(jì)和監(jiān)控。 EAD 提供了靈活多樣的組網(wǎng)方案，安全聯(lián)動(dòng)設(shè)備可以根據(jù)需要靈活部署在網(wǎng)絡(luò)的各個(gè)層次。安全策略服務(wù)器由 H3C EAD 桌面安全管理服務(wù)器承擔(dān)。 ? 完備的安全狀態(tài)評(píng)估 根據(jù)管理員配置的安全策略，用戶可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號(hào)配置等；為了更好的滿足客戶的需求， EAD客戶端支持和微軟 SMS、 LANDesk、 BigFix等業(yè)界桌面安全產(chǎn)品的配合使用 ，支持和瑞星、江民、金山、 Symantec、 MacAfee、 Trend Micro、 Ahn 等國內(nèi)外主流病毒廠商聯(lián)動(dòng)。 ? 擴(kuò)展開放的解決方案 EAD 解決方案為客戶提供了一個(gè)擴(kuò)展、開放的結(jié)構(gòu)框架，最大限度的保護(hù)了用戶已有的投資。 . H3C 防 DHCP 攻擊設(shè)計(jì) . DHCP 攻擊介紹 ? DHCP 攻擊之一 惡意用戶通過更換 MAC 地址的方式向 DHCP Server 發(fā)送大量的 DHCP 請(qǐng)求，以消耗 DHCP Server 可分配的 IP 地址為目的，使得合法用戶的 IP 請(qǐng)求無法實(shí)現(xiàn)。 . DHCP 攻擊防范設(shè)計(jì) ? 啟動(dòng) DHCP Snooping，將合法 DHCP Server 的端口設(shè)為信任端口，其他端口默認(rèn)情況下 均為非信任端 口； ? 用戶發(fā)出 DHCP Request； ? 攻擊者將自己的服務(wù)器設(shè)置成 DHCP Server 并發(fā)出錯(cuò)誤的 DHCP Offer； ? 交換機(jī)自動(dòng)丟棄所有非信任端口發(fā)出的 DHCP Offer； ? 用戶采用正確的 DHCP Server 發(fā)出 DHCP Offer。如果局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行 ARP 欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，讓所有網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā)，攻擊者通過截獲的信息可得到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的用戶名和口令，這種攻擊行為就稱為中間人攻擊。 . ARP 欺騙攻擊的原理 局域網(wǎng)上的一臺(tái)主機(jī)，如果接收到一個(gè) ARP 報(bào)文，即使該報(bào)文不是該主機(jī)所發(fā)送的 ARP 請(qǐng)求的應(yīng)答報(bào)文，該主機(jī)也會(huì)將 ARP 報(bào)文中的發(fā)送者的 MAC 地址和 IP 地址更新或加入到 ARP 表中。 由于 ARP 中毒后，所有的流量都需要經(jīng)過攻擊者進(jìn)行轉(zhuǎn)發(fā)。在接入層交換機(jī)上采取的這種技術(shù)，我們稱為 ARP 入侵檢測。 對(duì)于不能在全網(wǎng)接入交換機(jī)部署 ARP 入侵檢測的網(wǎng)絡(luò)，不能單純靠網(wǎng)絡(luò)設(shè)備進(jìn)行 ARP 欺騙攻擊防御。以下就從這三個(gè)方面描述 H3C如何能做到有效防御 ARP 欺騙攻擊的。 DHCP Snooping 通過監(jiān)測 DHCP報(bào)文記錄了用戶的 IP/MAC/VLAN/PORT 等信息，并形成一個(gè) DHCP Snooping綁定表。 另外由于 ARP 欺騙攻擊，經(jīng)常伴隨者發(fā)送大量的 ARP 報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和交換機(jī) CPU資源，造成網(wǎng)絡(luò)速度的速度降低。 ARP 欺騙防御可以避免網(wǎng)關(guān)設(shè)備的 ARP 表被攻擊者非法改寫，既避免網(wǎng)關(guān)設(shè)備發(fā)生ARP 中毒情況。目前可以支持種方式： 1) 第一種為固定 MAC 地址方法，對(duì)于動(dòng)態(tài) ARP 第一次學(xué)習(xí)到后就不允許再通過 ARP 學(xué)習(xí)對(duì) MAC 地址進(jìn)行修改，只有等 ARP 老化后才允許學(xué)習(xí)新的 MAC； 2) 第二種為多元素固定法，對(duì)于動(dòng)態(tài) ARP 學(xué)習(xí)和已解析的短靜態(tài) ARP 的 MAC 地址及其對(duì)應(yīng)的端口、 VLAN 都不允許修改，只有等 ARP 老化后才允許學(xué)習(xí)新的 MAC； 3) 主動(dòng)確認(rèn)方法：啟用主動(dòng)確認(rèn)方式防攻擊時(shí)，在收到涉及 MAC 地址變化的 ARP 報(bào)文時(shí)，不對(duì)此 ARP 直接進(jìn)行修改，而是先對(duì)原 ARP 表項(xiàng)對(duì)應(yīng)用戶發(fā)一個(gè)單播確認(rèn)，如果收到應(yīng)答報(bào)文， 則不允許修改 ARP 表；如果一定時(shí)間內(nèi)沒有收到應(yīng)答報(bào)文，則對(duì)新用戶發(fā)起一個(gè)單播請(qǐng)求，收到應(yīng)答后才允許修改 ARP 表。當(dāng)然如果服務(wù)器比較少時(shí)，采用靜態(tài) ARP 也是一種不錯(cuò)的選擇。（僅 H3C S9500 系列交換機(jī)支持） 目前 H3C 高端交換機(jī)對(duì) ARP 欺騙防御支持情況表： 產(chǎn)品型號(hào) ARP 欺騙防御 /ARP報(bào)文攻擊防御就緒時(shí)間 備注 S9500 已經(jīng)就緒 . 部署 iMC/EAD 防御 ARP 欺騙攻擊 從以上的闡述種，我們知道不管是接入層交換機(jī)的 ARP 入侵檢測，還是核心 /匯聚交換機(jī)的ARP 欺騙防御，都不能避免其所 連接的終端 PC 受到來自無任何限制的主機(jī)的 ARP 攻擊。 通過部署 IMC/EAD 系統(tǒng)， IMC/EAD 服務(wù)端給客戶端下發(fā)需要保護(hù)的 ARP 列表內(nèi)容，特別是網(wǎng)關(guān)的 IP 地址和 MAC 地址對(duì)應(yīng)表。 那么 iMC/EAD 系統(tǒng)是否可以獨(dú)自承擔(dān) ARP 欺騙攻擊防御任務(wù)呢？答案是否定的。 以上三種 ARP 欺騙攻擊防御手段，可根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境進(jìn)行靈活組合。 防范： 使用交換機(jī)具備的 BPDU Guard 功能，可以禁止網(wǎng)絡(luò)中直接接用戶的端口或接入層交換機(jī)的下連端口收到 BPDU 報(bào)文。攻擊報(bào)文主要是采用偽裝源 IP。因此，盡量使用 SSH、 SNMPv3 等秘文傳輸方式登錄交換機(jī)，因?yàn)樗鼈兌寂c交換機(jī)之間都是 加密傳輸。 5. 網(wǎng)絡(luò)管理解決方案 . 衡鋼網(wǎng)絡(luò)升級(jí)改造管理方案 企業(yè) IT 環(huán)境由 IT 基礎(chǔ)資源、 IT 業(yè)務(wù)以及 IT 使用者 (人 )三大要素構(gòu)成。 iMC 智能管理平臺(tái)， 是在統(tǒng)一了設(shè)備資源和用戶資源管理的平臺(tái)框架的基礎(chǔ)上，實(shí)現(xiàn)的基礎(chǔ)業(yè)務(wù)管理平臺(tái)，包括 iMC 基礎(chǔ)網(wǎng)絡(luò)管理和 iMC 基本接入管理。 . 網(wǎng)絡(luò)流量監(jiān)控方案 隨著網(wǎng)絡(luò)的應(yīng)用越來越廣泛，規(guī)模越來越大，其承載的業(yè)務(wù)越來越豐富，了解網(wǎng)絡(luò)承載的業(yè)務(wù)，掌握網(wǎng)絡(luò)流量特征，以便使網(wǎng)絡(luò)帶寬配置最優(yōu)化，是當(dāng)前網(wǎng)絡(luò)面臨的一大挑戰(zhàn)；另一方面，網(wǎng)絡(luò)蠕蟲病毒、 DoS/DDos 攻擊等在網(wǎng)絡(luò)中越來越流行，規(guī)模越來越大，對(duì)網(wǎng)絡(luò)正常業(yè)務(wù)的負(fù)面危害也越來越大，因此檢測威脅網(wǎng)絡(luò)安全的異常行為是當(dāng)前網(wǎng)絡(luò)面臨的另一大挑戰(zhàn)；還有就是為用戶提供了更高的帶寬和可預(yù)測的 QoS， 也需要對(duì)網(wǎng)絡(luò)進(jìn)行更細(xì)致的管理和計(jì)費(fèi)。 2）利用 RMON協(xié)議對(duì)運(yùn)營商網(wǎng)絡(luò)進(jìn)行流量和流向管理可以部分彌補(bǔ) SNMP協(xié)議的技術(shù)局限性，如可以對(duì)業(yè)務(wù)流量進(jìn)行統(tǒng)計(jì)，但同時(shí)也暴露出新的技術(shù)局限性。最后，由于RMON探針采集到的管理數(shù)據(jù)是由分析每個(gè)數(shù)據(jù)包后得到的，數(shù)據(jù)量非常大且分散，協(xié)議缺乏內(nèi)建的數(shù)據(jù)匯總機(jī)制 ，而且還不包括每個(gè)數(shù)據(jù)包的 BGP AS 號(hào)或路由 Next Hop 信息，所以不易對(duì)數(shù)據(jù)進(jìn)行高層次的流向分析。而且新的信息采集和分析技術(shù)應(yīng)該即可以對(duì)網(wǎng)絡(luò)中各個(gè)鏈路的帶寬使用率進(jìn)行統(tǒng)計(jì)，也可 以對(duì)每條鏈路上傳輸不同類型業(yè)務(wù)的流量和流向進(jìn)行分析和統(tǒng)計(jì)。 在這樣的需求下，我們在核心交換機(jī) H3C S9508上 部署 H3C NTA方案，通過在核心層交換機(jī)H3C S9508上配置 NetStream網(wǎng)絡(luò)流量分析單板，啟動(dòng)對(duì)端口（千兆接口）的 NetStream統(tǒng)計(jì)功能，并在 H3C iMC 網(wǎng)絡(luò)管理平臺(tái)上部署 H3C iMC/Xlog 網(wǎng)絡(luò)流量分析組件（本項(xiàng)目中贈(zèng)送）就能夠?qū)Ω鞣N網(wǎng)絡(luò)中的各種應(yīng)用進(jìn)行流量分析和監(jiān)視。如果需要實(shí)現(xiàn)對(duì) Cisco 設(shè)備進(jìn)行配置管理， MIB庫調(diào)研等高級(jí)功能， H3C提出多廠商統(tǒng)一網(wǎng)絡(luò)管理方案，也就是通過在一個(gè)統(tǒng)一的網(wǎng)管平臺(tái)上集 成各廠商的網(wǎng)絡(luò)管理系統(tǒng)來達(dá)到這一目的。 H3C iMC 網(wǎng)管系統(tǒng)支持和業(yè)界流行的網(wǎng)管平臺(tái)相集成，如 HP Openview， IBM Tivoli NetView， SNMPc 等。 以 HP Openview 為例，該方案的實(shí)施需要安裝的軟件包括： 1，操作系統(tǒng)； 2，統(tǒng)一網(wǎng)管平臺(tái)（ Openview）； 3，各廠商的設(shè)備網(wǎng)管（包括 Ciscoworks 和 H3C iMC）。 拓?fù)鋱D 2， Cisco 設(shè)備 通過集成后設(shè)備網(wǎng)管后， Openview 將可以解析設(shè)備的私有告警信息，以便于網(wǎng)管員進(jìn)行告警的分析和定位，其告警分類顯示。 6. H3C 多業(yè)務(wù)解決方案 . H3C 無線解決方案 . 概述 無線局域網(wǎng)（ WLAN）技術(shù)于 20 世紀(jì) 90 年代 逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。上述產(chǎn)品相互配合可以滿足各類無線典型應(yīng)用?？赏ㄟ^命令行切換實(shí)現(xiàn)獨(dú)立工作的 Fat AP 模式或需要和控制器配合工作的 Fit AP 模式；工作頻度支持 WLAN 的 頻段或 5GHz 頻段，支持、 或 三種模式。 H3C WX5002系列有 64 和 128兩個(gè)型號(hào)，可支持 最多 64 或 128 個(gè) AP， 2K個(gè)無線用戶，可以滿足中大型無線網(wǎng)絡(luò)的部署需求 H3C S9500/S7500E系列高端路由交換機(jī)無線業(yè)務(wù)板卡，單個(gè)板卡最多支持 640 個(gè) AP， 20K無線用戶。同時(shí)，由于 WLAN 技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的 IP 傳輸技術(shù)，因此可直接通過以太網(wǎng)技術(shù) 和企業(yè)內(nèi)部 Intra 相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備； ? 擴(kuò)展能力強(qiáng)： WLAN 網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)； 隨著 WLAN 技術(shù)的快速發(fā)展和不斷成熟，目前在國內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如荷蘭的阿姆斯特丹市的全城覆蓋，向客戶提供各種業(yè)務(wù)。以下是打開 Cisco 設(shè)備和 H3C 設(shè)備的設(shè)備面板圖： 圖 Cisco 設(shè)備面板圖 圖 H3C 設(shè)備面板圖 以上描述的各種統(tǒng)一網(wǎng)管集成方案，可以解決網(wǎng)管員對(duì)網(wǎng)絡(luò)中各種廠商設(shè)備的統(tǒng)一管理，解決了各廠商設(shè)備管理的復(fù)雜性和功能分散的問題，并可以滿足今后網(wǎng)絡(luò)擴(kuò)容導(dǎo)致的新廠商設(shè)備網(wǎng)管的要求。安裝結(jié)束后，通過啟動(dòng)Openview，可以看到網(wǎng)絡(luò)的拓?fù)鋱D，并可以同時(shí)看到 Cisco 和 H3C 的設(shè)備，選擇相應(yīng)的設(shè)備圖標(biāo)可以調(diào) 用 Ciscoworks 和 H3C iMC 來完成對(duì) Cisco 設(shè)備和 H3C 設(shè)備的管理。很多大的設(shè)備廠商網(wǎng)管都可以與 IBM Netview集成，從而達(dá)到即可以滿足一般性的網(wǎng)管需要，如拓?fù)?，告警，性能等；也可以滿足針對(duì)設(shè)備的管理，如設(shè)備面板，設(shè)備圖形化配置等。這種方案還為以后的設(shè)備擴(kuò)容提供了便利，如擴(kuò)容增加了其它廠商的設(shè)備，也可以通過在網(wǎng)管平臺(tái)上集成相應(yīng)的設(shè)備廠商的網(wǎng)管系統(tǒng)來達(dá)到統(tǒng)一網(wǎng)管的目的。 衡陽華菱連軋管有限公司 N T A 解決方案H3C S 9 5 0 8H3C i M C( E A D/X l o g )OAE m a ilE RP本地鏡像本地鏡像 (( 無法跨設(shè)備跨網(wǎng)絡(luò)無法跨設(shè)備跨網(wǎng)絡(luò) ))源端口源端口遠(yuǎn)程鏡像端口遠(yuǎn)程鏡像端口0204060801 0 01 2 01 4 01 6 01 8 02 0 013:0