【正文】 所面臨的安全隱患。主要有以下幾個方面：穩(wěn)定問題：由于WLAN網(wǎng)絡(luò)的組網(wǎng)設(shè)計包含無線控制器、接入交換機、無線接入點等大量設(shè)備，在大部分情況下，還需要通過以太網(wǎng)解決供電問題，所有這些環(huán)節(jié)都會影響校園無線網(wǎng)絡(luò)的穩(wěn)定性；同時由于無線信號的傳播深受環(huán)境影響，多徑等問題導致無線信號在不同方向上存在非常復雜的衰減現(xiàn)象，實際的信號覆蓋和理想的信號衰減模型往往存在一定差異。 無線網(wǎng)絡(luò)的建設(shè)需求在無線網(wǎng)絡(luò)建設(shè)中，為了解決大規(guī)模部署情況下的統(tǒng)一配置、調(diào)整問題，以及射頻的智能管理問題，現(xiàn)在無線網(wǎng)絡(luò)建設(shè)普遍都采用了瘦AP建網(wǎng)模式。 由于無線網(wǎng)絡(luò)的部署靈活性高，所以受到很多用戶的青睞，整個無線網(wǎng)絡(luò)，WLAN 解決方案可以運行在現(xiàn)有的有線企業(yè)網(wǎng)絡(luò)的基礎(chǔ)上，也可以采用一個獨立的網(wǎng)絡(luò)?？蓪崿F(xiàn)萬兆或者千兆接入，實現(xiàn)數(shù)據(jù)中心高轉(zhuǎn)發(fā)性能的效果。數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)設(shè)備主要是：核心交換機、核心防火墻、核心路由器、負載均衡設(shè)備。 接入層網(wǎng)絡(luò)設(shè)計接入層交換機一般部署在樓道的網(wǎng)絡(luò)機柜中，接入園區(qū)網(wǎng)用戶（PC機或服務(wù)器），提供二層交換機功能，也支持三層接入功能（接入交換機為三層交換機）。當路由協(xié)議應(yīng)用于這一層時，具有負載均衡、快速收斂和易于擴展等特點，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)，能夠承載校園園區(qū)融合業(yè)務(wù)的需求。骨干層建議采用10G鏈路互聯(lián)，達到高帶寬、高轉(zhuǎn)發(fā)性能的效果。 核心層網(wǎng)絡(luò)設(shè)計核心層交換機部署在園區(qū)核心機房中，匯聚各樓宇/區(qū)域之間的用戶流量，提供三層交換機功能，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴展性等。3 華為產(chǎn)品解決方案 整體架構(gòu)設(shè)計 總體網(wǎng)絡(luò)架構(gòu)整體網(wǎng)絡(luò)解決方案總體設(shè)計以高性能、高可靠性、高安全性、有線無線一體化和統(tǒng)一的網(wǎng)管系統(tǒng)為原則，以及考慮到技術(shù)的先進性、成熟性，并采用模塊化的設(shè)計方法，組網(wǎng)圖如下所示：網(wǎng)絡(luò)架構(gòu)整個網(wǎng)絡(luò)的設(shè)計方案采用層次化、模塊化的設(shè)計思路，按照接入層、匯聚層、核心層和出口層進行網(wǎng)絡(luò)設(shè)備設(shè)計部署，通過模塊化或者購買單獨設(shè)備的方式提供WLAN AC控制器，在匯聚層交換機，提供防火墻、負載均衡器等增值業(yè)務(wù)功能，滿足企業(yè)日益增長的業(yè)務(wù)需求。這樣才能即照顧目前的應(yīng)用需求，又能滿足今后整個計算機系統(tǒng)的發(fā)展需要。為了使網(wǎng)絡(luò)系統(tǒng)易于管理和維護，本方案將提供先進而完善的網(wǎng)絡(luò)管理系統(tǒng)。4) 安全可靠性原則本系統(tǒng)具有特殊性，因此安全保密性非常復雜。在網(wǎng)絡(luò)建成后的35年之內(nèi)，不會由于業(yè)務(wù)量的增加導致對網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的重大調(diào)整。 華為企業(yè)園區(qū)網(wǎng)解決方案結(jié)合了高性能的路由、交換基礎(chǔ)設(shè)施和提升安全、可靠等特性，可協(xié)助企業(yè)構(gòu)建一個安全、可靠、易接入、易擴展、易管理的企業(yè)園區(qū)網(wǎng)絡(luò)。無論是在辦公桌前、會議室中，還是在公司的咖啡廳、待客室，今天的用戶都需要方便地獲取各種網(wǎng)絡(luò)服務(wù)。 S9300系列交換機 25 Quidway174。 S7700系列交換機 32 Quidway174。一個典型的企業(yè)園區(qū)網(wǎng)絡(luò)通常由樓宇辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、Internet出口、以將這四部分互聯(lián)起來的主干網(wǎng)絡(luò)組成，其中辦公網(wǎng)絡(luò)可分為有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)。 2 企業(yè)網(wǎng)絡(luò)建設(shè)設(shè)計原則在網(wǎng)絡(luò)建設(shè)項目中，我們應(yīng)該遵循以下設(shè)計原則：1) 合理性、整體性原則系統(tǒng)建設(shè)的功能必須充分滿足網(wǎng)絡(luò)安全性檢測與分析、網(wǎng)絡(luò)安全性監(jiān)測和電子數(shù)據(jù)鑒定的需求是系統(tǒng)建設(shè)的首要原則。同時要考慮實際的應(yīng)用水平，避免技術(shù)環(huán)境過于超前造成投資浪費。系統(tǒng)要有極強的自我保護能力。這樣，即方便網(wǎng)絡(luò)管理員的工作，減輕了勞動強度，也提高了網(wǎng)絡(luò)系統(tǒng)的管理程度。l 應(yīng)用軟件設(shè)計要采用結(jié)構(gòu)化和模塊設(shè)計方法，使系統(tǒng)邏輯結(jié)構(gòu)清晰、易讀，在功能的劃分和設(shè)計時，使各模塊盡可能相對獨立、減少相關(guān)性以易于擴充、維護和修改。整個網(wǎng)絡(luò)的重要特征是不存在網(wǎng)絡(luò)單點故障，交換機設(shè)備和鏈路都存在冗余備份，接入交換機與核心交換機通過雙規(guī)或環(huán)網(wǎng)相連接，匯聚交換機雙規(guī)接入核心交換機，交換機之間采用TRUNK鏈路保證鏈路級可靠性。對于園區(qū)網(wǎng)核心層，應(yīng)該在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進一步融合了硬件IPv6，可為園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺，進而幫助用戶實現(xiàn)IT資源整合的需求。本次建議采用華為的S9300高性能交換機構(gòu)造核心層，實現(xiàn)高性能的骨干網(wǎng)絡(luò)。根據(jù)需要，可以在匯聚交換機上集成增值業(yè)務(wù)板卡（如防火墻，負載均衡器、WLAN AC控制器）或者旁掛獨立的增值業(yè)務(wù)設(shè)備（如WLAN 盒式AC等），為園區(qū)網(wǎng)用戶提供增值業(yè)務(wù)。提供網(wǎng)絡(luò)的第一級接入功能，一般完成簡單的二層交換，安全、Qos都位于這一層。核心交換機的主要功能是連接服務(wù)器，因此必須考慮企業(yè)未來的業(yè)務(wù)增長，核心交換機必須具有很好的擴展性，隨著以后網(wǎng)絡(luò)的擴展，必須具有多個插槽，以便以后網(wǎng)絡(luò)擴展的時候能夠增加網(wǎng)絡(luò)模塊。并且可以通進擴展防火墻模塊等方面，實現(xiàn)數(shù)據(jù)中心的安全。它為園區(qū)提供了具有部署方便性、安全性、可擴展性的無線網(wǎng)絡(luò)，讓用戶可以在園區(qū)中的任何可以收到無線信號的地方立即訪問各種網(wǎng)絡(luò)服務(wù)。瘦AP的另一個好處是實現(xiàn)了三層漫游環(huán)境下避免重新認證，從而使漫游切換時間小于50ms。所以如何實時根據(jù)環(huán)境動態(tài)調(diào)整無線接入點的信道、發(fā)射功率等也是經(jīng)常困擾無線校園管理人員的難題。無線網(wǎng)絡(luò)的安全問題已經(jīng)不再是單一的物理層安全，也包括了用戶接入安全、網(wǎng)絡(luò)層安全、設(shè)備安全、安全管理等多個層面上，如何能使企業(yè)無線用戶在使用網(wǎng)絡(luò)時能夠像使用有線網(wǎng)絡(luò)一樣安全、可靠，正逐漸成為無線企業(yè)網(wǎng)絡(luò)建設(shè)所關(guān)注的核心。因此，通常引入無線網(wǎng)絡(luò)會降低安全性，整個網(wǎng)絡(luò)管理起來比較復雜，并且維護成本也比預(yù)期高。應(yīng)用問題：隨著WLAN技術(shù)的逐步成熟，市場上各種各樣的WLAN終端如筆記本電腦、PDA、雙模手機、支持WiFi的游戲機、即拍即傳的數(shù)碼相機如雨后春筍般涌現(xiàn)出來，同時價格越來越低，普及程度越來越高，使得無線新業(yè)務(wù)在園區(qū)網(wǎng)中的豐富應(yīng)用成為可能。根據(jù)用戶需求，通過在華為系列交換機中加入無線控制器插卡或者使用單獨的無線控制器，就可為原有的有線網(wǎng)絡(luò)提供無線支持，還可以像擴展和管理傳統(tǒng)有線網(wǎng)絡(luò)一樣，對無線網(wǎng)絡(luò)進行擴展和管理。 用戶接入安全：華為園區(qū)WLAN解決方案提供了多樣化的用戶接入認證以及加密解決方案。設(shè)備安全：無線接入點AP提供“零配置”功能，無需在設(shè)備保存業(yè)務(wù)配置，僅啟動的時候自動從無線控制器加載業(yè)務(wù)配置，這樣可以避免設(shè)備丟失造成配置泄漏而形成對無線網(wǎng)絡(luò)的安全威脅。因此基于SSID的限速，可以避免其中一種業(yè)務(wù)流量過大對其他業(yè)務(wù)造成影響。 部署方便、擴展靈活 WLAN網(wǎng)絡(luò)部署簡化，安裝便捷。隨著無線網(wǎng)絡(luò)的擴展，新添加的無線接入點能自動檢測到無線控制器，并下載相應(yīng)的配置信息以及策略信息，無需任何手動操作。而且無線接入點檢測到電壓將要無法供應(yīng)的情況下（復位或故障），上報該告警，描述最后的工作狀態(tài)，方便故障定位。 全面的PoE解決方案PoE設(shè)備的原理是通過非屏蔽雙絞線中四對線中的兩對線來傳輸電源，傳輸數(shù)據(jù)的同時傳輸直流電。PoE具有非常明顯的優(yōu)勢，具體如下：簡化安裝，降低成本，不需為每個網(wǎng)絡(luò)設(shè)備單獨提供數(shù)據(jù)和電力線纜。接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機與匯聚交換機之間通過Smart Link/STP/RSTP/MSTP/RRPP保證網(wǎng)絡(luò)可靠性，同時解決二層網(wǎng)絡(luò)環(huán)路問題；匯聚層交換機之間通過VRRP（BFD for VRRP）協(xié)議確定用戶的主備網(wǎng)關(guān)，交換機互聯(lián)通過TRUNK鏈路，保證鏈路級可靠性，匯聚交換機與接入交換機之間可通過DLDP協(xié)議檢測光纖單向故障（單通故障）。 交換網(wǎng)1+1/1:1兩種方式216。 獨立的設(shè)備監(jiān)控單元，和主控解耦216。這就要求具有強大靈活的自身防護功能,以不變應(yīng)萬變的方法,才能抵擋日益泛濫的網(wǎng)絡(luò)攻擊。發(fā)生MAC地址攻擊的時候，攻擊者通過不停的發(fā)送MAC地址來刷新，填充交換機的MAC地址表，由于MAC地址表的規(guī)格有限，導致正常流量由于沒有正確的轉(zhuǎn)發(fā)表項而無法正常轉(zhuǎn)發(fā)。當用戶察覺到某MAC地址的報文具有一定攻擊性，則可以在園區(qū)交換機上配置黑洞MAC，從而將具有該MAC地址的報文過濾掉，避免遭受攻擊。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLANID 接口等信息，DHCP Snooping綁定表可以基于DHCP過程動態(tài)生成，也可以通過靜態(tài)配置生成，此時需預(yù)先準備用戶的IP 地址、MAC地址、用戶所屬VLAN ID、用戶所屬接口等信息。這樣，可以完成交換機對假冒DHCP Server的屏蔽作用，確保客戶端從合法的DHCP Server獲取IP地址。 防IP/MAC地址掃描攻擊1) 防IP掃描攻擊地址掃描攻擊是攻擊者向攻擊目標網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報文。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項，并添加正常的路由表項；否則，經(jīng)過一段時間后丟棄表項自動老化。如果用戶使用相同的源IP進行地址掃描攻擊，交換機還可以基于源IP做ARP miss統(tǒng)計。交換機二層MAC轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表，華為園區(qū)交換機支持基于端口/VLAN的MAC學習數(shù)目限制，同時支持MAC表學習速率限制，有效防御MAC地址掃描攻擊行為。園區(qū)網(wǎng)交換機需要識別惡意廣播流量的VLAN ID，通過基于VLAN的廣播風暴抑制丟棄惡意廣播報文而不影響正常廣播報文流量轉(zhuǎn)發(fā)。園區(qū)出口連接Internet和企業(yè)WAN網(wǎng)的接入，企業(yè)外部網(wǎng)路尤其Internet網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風險點，通過在企業(yè)出口部署高性能防火墻設(shè)備、或者在核心交換機內(nèi)置防火墻模塊，可以很好的緩解風險的傳播，阻擋來自Internet/企業(yè)外部網(wǎng)絡(luò)攻擊行為的發(fā)生。園區(qū)網(wǎng)中防火墻功能無論是獨立設(shè)備部署還是集成在核心/匯聚交換機內(nèi)部，都必須支持靈活的業(yè)務(wù)流控制策略配置，能把特定的流量引到防火墻進行處理，其他流量進行旁