【正文】 造成網(wǎng) 絡(luò)速度變慢，怎么解決用戶在 BBS 上發(fā)布違法帖子，違反信息安全規(guī)定用戶工作時(shí)間炒股、打游戲、聊天造成工作效率的下降，怎么解決用戶訪問非法網(wǎng)站易感染病毒，如何控制校園網(wǎng)絡(luò)出口通過間部署一臺 SecPath ACG 網(wǎng)關(guān)，通過在 ACG 應(yīng)用控制網(wǎng)關(guān)，可精確識別 BT、電驢、迅雷、MSN、 Yahoo Messenger、PPLive 等近百種P2P/IM 應(yīng)用，可基于時(shí)間、用戶、區(qū)域、應(yīng)用協(xié)議，通過告警、限速、阻斷等手段進(jìn)行靈活控制，保證網(wǎng)速的正常和業(yè)務(wù)不被影響。本次選用的核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)具有豐富的安全特性，可以解決網(wǎng)絡(luò)中存在的安全問題，詳細(xì)參見下表：攻擊類型攻擊行為 交換機(jī)安全防范特性核心交換機(jī)匯聚交換機(jī)接入交換機(jī)端口 MAC 數(shù)限制 具有 具有 具有禁止某個(gè) VLAN 的 MAC 地址學(xué)習(xí) ＋ 靜態(tài) MAC 表 具有 具有 具有端口安全 具有 具有 具有MAC 表攻擊MAC + IP + 端口綁定,端口安全中的 1 個(gè)特性具有 具有 具有DHCP Relay Option 82 具有 具有 具有DHCP Snooping Option 82 具有 具有 具有DHCP DOS攻擊DHCP 報(bào)文限速 具有 具有 具有資源耗盡型攻擊CPU 惡意沖擊ARP 限速 具有 具有 具有 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 34 頁, 共 59 頁廣播風(fēng)暴抑制 具有 具有 具有環(huán)路檢測 具有 具有 具有安全準(zhǔn)入特性 具有 具有 具有 具有 具有 具有防范攻擊的其它特性端口安全特性 具有 具有 具有ARP 入侵檢測 具有 具有 具有端口隔離 具有 具有 具有ARP 欺騙攻擊IsolateUserVLAN 具有 具有 具有DHCP relay Security 具有 具有 具有MAC/IP 欺騙攻擊 IP 源地址保護(hù) 具有 具有 具有DHCP 服務(wù)器欺騙攻擊DHCP Snooping Trust 具有 具有 具有STP 根保護(hù) 具有 具有 具有根橋偽裝攻擊 BPDU 保護(hù) 具有 具有 具有TCN 攻擊TCBPDU 報(bào)文非立即處理機(jī)制具有 具有 具有假冒偽裝型攻擊路由源偽裝攻擊OSPF/RIP 路由 MD5 驗(yàn)證 具有 具有二層，不具有 具有 具有 具有SNMPv3 具有 具有 具有用戶信息嗅探 SFTP 具有 具有 具有遠(yuǎn)程管理終端限制(Tel VTY 配置 ACL)具有 具有 具有設(shè)備控制權(quán)攻擊管理人員泄密用戶分級 具有 具有 具有 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 35 頁, 共 59 頁暴力嘗試攻擊遠(yuǎn)程管理終端限制(Tel VTY 配置 ACL)具有 具有 具有在用戶接入安全控制，設(shè)計(jì)時(shí)采取以下針對性的措施解決以下 MAC、IP 地址的安全問題。在防火墻或路由交換機(jī)通過 IP Source Guard 以及 URPF 特性上解決偽造IP 源地址攻擊。因此在網(wǎng)絡(luò)的設(shè)計(jì)實(shí)施中必須對網(wǎng)絡(luò)的可靠性進(jìn)行詳盡的考慮和設(shè)計(jì)。要保證網(wǎng)絡(luò)平臺的可靠性，必須要 選用具備電信級可靠性的網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)，才能使網(wǎng)絡(luò)具有自動恢復(fù)能力、降低人工維護(hù)工作，達(dá)到 電 信級的可靠運(yùn)行。? 網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。校園網(wǎng)絡(luò)中所采用的核心交換機(jī)和數(shù)據(jù)中心交換機(jī) S7500E 等設(shè)備具有強(qiáng)大的設(shè)備級可靠性保證：采用分布式體系結(jié)構(gòu)： 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 37 頁, 共 59 頁S7500E 采用分布式體系結(jié)構(gòu)，與集中式體系 設(shè)備相比 較，分布式體系設(shè)備除性能可以通過插入更多的接口處理板提高整體性能外，更為關(guān)鍵的是將管理、路由轉(zhuǎn)發(fā)、接口處理等功能分配在不同的部件上， 協(xié) 同工作，分布式體系可以分散故障風(fēng)險(xiǎn)、隔離故障、提供冗余配置，提高系統(tǒng)的自動恢復(fù)能力；如管理部件故障，只需要更換這部分板件，不影響其他功能。冗余電源支持：S7500E 能提供冗余電源。實(shí)時(shí)熱備份機(jī)制：在系統(tǒng)軟件及硬件的支持下，關(guān)鍵部件在發(fā)生故障能自動啟動備份系統(tǒng)，而且主備之間的切換要能夠?qū)崟r(shí)熱倒換，即運(yùn)行中即使發(fā)生設(shè)備故障切換也不會對網(wǎng)絡(luò)業(yè)務(wù)造成影響。? 網(wǎng)絡(luò)核心設(shè)備支持軟件在線升級，升級過程中業(yè)務(wù)不中斷。? 網(wǎng)絡(luò)核心設(shè)備采用全分布式體系結(jié)構(gòu)，路由與轉(zhuǎn)發(fā)分離。 物理設(shè)備和鏈路穩(wěn)定性 網(wǎng)絡(luò)結(jié)構(gòu)的可靠性校園網(wǎng)絡(luò)設(shè)計(jì)首先從網(wǎng)絡(luò)結(jié)構(gòu)上保證了高可靠性和高冗余性： 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 36 頁, 共 59 頁1)網(wǎng)絡(luò) 核心層和數(shù)據(jù)中心采用雙機(jī)冗余架構(gòu)設(shè)計(jì)，通過路由協(xié)議、不間斷路由等技術(shù)配合實(shí)現(xiàn)可靠性；2) 網(wǎng)絡(luò)核心層和數(shù)據(jù)中心設(shè)備間互聯(lián)全部采用雙或多 鏈路互聯(lián)，配合路由協(xié)議、VRRP、MSTP 等技術(shù)實(shí)現(xiàn)局域網(wǎng)絡(luò)的可靠性。通過網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)在網(wǎng)絡(luò)維護(hù)和故障解決時(shí)，可快速 查找、定位和隔離發(fā)生故障的交換機(jī)所有的端口。接入層交換機(jī)啟用 ARP 檢測特性，解決 ARP 攻擊和欺騙的問題。同時(shí)，ACG 能夠以下審計(jì)功能:WEB 應(yīng)用審計(jì)——URL；源、目的 IP；訪問時(shí)間等應(yīng)用審計(jì)——登錄名；上傳或下載文件名；源、目的 IP；訪問時(shí)間等Email 應(yīng)用審計(jì) ——POP3 和 SMTP 收發(fā)郵件的郵 件名、 發(fā)件人、收件人等； 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 33 頁, 共 59 頁不支持 WEB Mail 的審計(jì)NAT 日志 審計(jì)——NAT 前后的 IP、端口號； 時(shí)間等；需要與 U200 或 F1000E等支持 FLOW 日志的設(shè)備配合 網(wǎng)絡(luò)安全保護(hù)對于校園網(wǎng)大型應(yīng)用以太網(wǎng)交換機(jī)的系統(tǒng)，網(wǎng)絡(luò)的安全特性非常重要，因以太網(wǎng)工作原理的限制，交換 式網(wǎng)絡(luò)容易造成 MAC、IP 等安全的攻擊。、 通過配置交換機(jī)所具有的安全功能，加強(qiáng)的網(wǎng)絡(luò)的安全控制。? 有線無線一體化的網(wǎng)管系統(tǒng)采用同一品牌的交換機(jī)和無線局域網(wǎng)產(chǎn)品，通過配置 1 套網(wǎng)絡(luò)管理系統(tǒng)，即 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 31 頁, 共 59 頁可實(shí)現(xiàn)有線無線一體化的管理 。?支持智能的負(fù)載均衡支持智能負(fù)載均衡技術(shù)，保證只對處于 AP 覆蓋重疊區(qū)的無 線用戶才啟動AP 負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量。該特性使管理員可 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 30 頁, 共 59 頁以方便的為不同用戶群、不同的業(yè)務(wù)制定區(qū)分的服務(wù)策略。? 易于管理、AP“ 零配置”采用無線控制器和 FIT AP 配合組網(wǎng)時(shí)，只需要在無線控制器上對一類相同屬性的 AP 建立配置模板，AP 在啟動時(shí)可以自動從無 線控制器上下載最新的配置文件，真正做到了零配置，免維護(hù)，即插即用，極大地減輕了網(wǎng)絡(luò)管理員在部署網(wǎng)絡(luò)階段的維護(hù)工作量。在室外區(qū)域，直接采用室外型 AP WA2200X 系列 AP，H3C 室外型 AP 通過 IP66 等級保護(hù)，可防水防 塵，直接安裝在外。綜合上述分析，對于大規(guī)模部署的校園網(wǎng)無線局域網(wǎng)，我們建議采用 FIT AP 的方案。在這樣的環(huán)境下，基于無線交 換機(jī)技術(shù)的第三代 WLAN 產(chǎn)品應(yīng)運(yùn)而生。E126A/E152 教育網(wǎng)交換機(jī)支持 IPv6 host，包括 IPv6 單播地址配置，ICMPv6，IPv6 鄰居發(fā)現(xiàn)協(xié)議（ND），IPv6TCP， IPv6TFTP，IPv6TRACERT 管理特性。具有即插即用、單一 IP 管理。E126A/E152 教育網(wǎng)交換機(jī)支持 VCT（Virtual Cable Test）電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持 DLDP（Device Link Detection Protocol）單向鏈路檢測協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng) 絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給用戶。支持對 Proxy 進(jìn)行有效的管理。E126A/E152 教育網(wǎng)交換機(jī)支持端口安全特性族，可以有效防范基于 MAC地址的攻擊。H3C S5100EI 系列交換機(jī)支持 VCT（Virtual Cable Test）電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持 DLDP（Device Link Detection Protocol）單向鏈路 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 24 頁, 共 59 頁檢測協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給用戶。增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3C S5100EI 系列交換機(jī)支持通過 FTP、TFTP 實(shí)現(xiàn)設(shè)備 的遠(yuǎn)程升級，支持SNMP v1/v2/v3，可支持 Open View 等通用網(wǎng)管平臺，以及 iMC 智能管理中心。完善的 QoS 保障H3C S5100EI 系列以太網(wǎng)交換機(jī)提供基于 Diffserv 和 的 QoS 特性，可以對報(bào)文的 和 DSCP 域優(yōu)先級進(jìn)行修改等操作，并映射到每端口提供的 8 個(gè) COS 隊(duì)列， 隊(duì)列調(diào)度提供了三種各具特色的 隊(duì)列調(diào)度算法， 嚴(yán)格優(yōu)先級（SP）和整形加權(quán)輪循（SDWRR ）調(diào)度算法以及 SP+SDWRR 組合調(diào)度算法。 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 23 頁, 共 59 頁并且支持基于全局、VLAN、端口（ 組）的 ACL 下發(fā)，有效簡化配置過程并節(jié)約硬件資源。另外，利用 DHCP Snooping 的信任端口特性還可以有效杜絕私設(shè) DHCP 服務(wù)器，保證 DHCP 環(huán)境的真實(shí)性和一致性。同時(shí)大大降低系統(tǒng)擴(kuò)展的成本，保護(hù)了用戶投 資。其中 S5100CEI 機(jī)型支持最多 2 個(gè)可擴(kuò)展的萬兆接口，并且支持 40G 帶寬的堆疊。對于教學(xué)樓、宿舍區(qū)的接入可采用 10/100M 到終端的解決方案。通過掉電保護(hù)（PFC）、二層回退等高可靠性設(shè)計(jì)，確保 SecPath ACG 在斷電、軟硬件故障或鏈路故障的情況下，網(wǎng)絡(luò)鏈路仍然暢通，保證用戶業(yè)務(wù)的不間斷正常運(yùn)行。目前，H3C 是唯一能實(shí)現(xiàn)對 Skype 在 PCPC、PCPhone 兩種通信模式進(jìn)行實(shí)時(shí)有效控制的廠商。完善的安全審計(jì)系統(tǒng)可對各種 P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀鞣N上網(wǎng)行為提供全方面的行為監(jiān)控和記錄；同時(shí)，通過綜合分析、檢測用戶網(wǎng)絡(luò)流量與流向趨勢，事后 對歷史數(shù)據(jù)進(jìn)行分析， 為 用戶提供細(xì)粒度的網(wǎng)絡(luò)行為審計(jì)管理系統(tǒng)?；谏鲜鲆蛩?，我們建議出口路由器采用 H3C SR6604 高端路由器。網(wǎng)絡(luò)出口路由器應(yīng)具備以下功能和特性：在可靠性方面，路由器應(yīng)支持電源、 處理系統(tǒng)的冗余備份。 該系列交 換機(jī)還支持 sFlow 功能，可以對出入方向的報(bào)文按比例隨機(jī)抽樣，靈活實(shí)現(xiàn)報(bào)文采集。支持出、入兩個(gè)方向的端口鏡像，用于 對指定端口上的 報(bào)文進(jìn)行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進(jìn)行網(wǎng)絡(luò)檢測和故障排除。這樣不但能夠隔離私網(wǎng)內(nèi)不同 VPN 的報(bào)文轉(zhuǎn)發(fā)路徑，而且通過與PE 間的配合，也能夠?qū)⒚總€(gè) VPN 的路由正確發(fā)布至對端 PE，保證 VPN 報(bào)文在公網(wǎng)內(nèi)的傳輸。 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 17 頁, 共 59 頁多業(yè)務(wù)支持能力支持 PoE（Power over Ether）技術(shù)，通過以太網(wǎng) 對所連接的設(shè)備（如 IP Phone, Wireless AP 等）進(jìn) 行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場為設(shè)備部署單獨(dú)的電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和管理成本。 7VM 海岸線網(wǎng)絡(luò) 安全資訊站多重可靠性保護(hù)S5500EI 系列交換機(jī)還具備設(shè)備級和鏈路級的多重可靠性保護(hù)。完備的安全控制策略H3C S5500EI 系列交換機(jī)支持 EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺系 統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等 終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動防御為主動防御、 變單點(diǎn)防御為全面防御、 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 16 頁, 共 59 頁變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力?；谝陨弦螅覀兘ㄗh匯聚交換機(jī)選用 H3C 的 S5500－EI ，S5500－EI 系列交換機(jī)具有以下特點(diǎn)：高擴(kuò)展性保護(hù)投資隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達(dá)到飽和，而能夠擁有多條集群 10GE 鏈路將是我們的未來發(fā)展方向。 匯聚層設(shè)計(jì)匯聚來自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為 接入設(shè)備的第一跳網(wǎng)關(guān)?；谏鲜鲆蛩?，我們建議數(shù)據(jù)中心交換機(jī)采用 H3C S7502E 高端交換機(jī)。在性能方面，數(shù)據(jù)中心交換機(jī)所有端口線速轉(zhuǎn)發(fā)，保障圖書館多種業(yè)務(wù)進(jìn)行并發(fā)交換。H3C S7500E 提供控制補(bǔ)丁單元狀態(tài)切換的用戶命令，使用戶能夠方便的加載、激活、去激活、運(yùn)行或刪除補(bǔ)丁單元。、 電信級的高可靠性，保障用戶業(yè)務(wù)長期穩(wěn)定運(yùn)行?電信級高可靠性設(shè)計(jì)H3C S7500E 采用無單點(diǎn)故障設(shè)計(jì)，所有關(guān)鍵部件，如主控板、交 換網(wǎng)、電源和風(fēng)扇等采用冗余設(shè)計(jì)；無源背板避免了機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板和電源模塊支持熱插拔功能；H3C S7500E 系列可以在惡劣的 環(huán)境下長時(shí)間穩(wěn)定運(yùn)行，達(dá)到 ％的電信級可靠性。、 全方位的安全保障，抵御多種網(wǎng)絡(luò)安全威脅?三平面安全保障機(jī)制H3C S7500E 提供完善的安全防護(hù)機(jī)制，可從