【正文】 C公司網(wǎng)絡(luò)產(chǎn)品構(gòu)建。 3）標(biāo)準(zhǔn)化：支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的動(dòng)態(tài)路由協(xié)議等開放協(xié)議，有利于以保證與其它網(wǎng)絡(luò)之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。 5）易管理性：網(wǎng)絡(luò)設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行網(wǎng)絡(luò)配置，發(fā)現(xiàn)故障。 8）經(jīng)濟(jì)性：在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資，有計(jì)劃、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)。面向網(wǎng)絡(luò)資源的有效、高效利用，從網(wǎng)絡(luò)架構(gòu)方面提供優(yōu)化方案，使得核心網(wǎng)、接入網(wǎng)具有更高的可靠性和可控性，同時(shí)使得網(wǎng)絡(luò)結(jié)構(gòu)與布局在結(jié)合實(shí)際業(yè)務(wù)分布的前提下更加合理。 衡陽(yáng)華菱連軋管有限公司網(wǎng)絡(luò)拓?fù)銱3C S 9 5 0 8EAD 客戶端H3C S 9 5 0 8H3C i M C( E A D/X l o g )OAE m a ilE RP應(yīng)用服務(wù)器Cat a l yst 6 5 0 9Cat a l yst 3 5 5 0Cat a l yst 2 9 5 0 /HUB原有網(wǎng)絡(luò)1 0 GE 光纜千兆光纜千兆電纜H3C S 5 5 0 0 2 8 C/5 2 C EI H3C S 3 6 0 0 2 8 P /5 2 P EI . 核心層設(shè)計(jì) 核心層負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換，同時(shí)也是整個(gè)網(wǎng)絡(luò)的路由交換中心，全網(wǎng)絕大部分第三層的轉(zhuǎn)發(fā)交換都通過(guò)核心節(jié)點(diǎn)集中進(jìn)行，為保證核心節(jié)點(diǎn)的高可用性，核心節(jié)點(diǎn)采用雙機(jī)備份方式，建議配置兩臺(tái)高性能的 H3C S9508 核心路由交換機(jī)，它們之間通過(guò)兩條 10GE 捆綁實(shí)現(xiàn)互連，流量 在捆綁的多條鏈路上負(fù)載分擔(dān)和備份。 產(chǎn)品特色 特色一： 支持三層的 MPLS VPN 和二層的 MPLS VPN（ Martini、 Kompella），可擴(kuò)展支持 VPLS技術(shù)；支持與 H3C MPLS VPN Manager 配合，實(shí)現(xiàn)圖形化的 MPLS 部署與維護(hù)。 豐富的產(chǎn)品應(yīng)用 07 年止 H3C S9500系列產(chǎn)品規(guī)模應(yīng)用于運(yùn)營(yíng)商、黨政、公檢法、財(cái)稅、教育、金融、電力、能源、交通、水利、制造業(yè)、公共事業(yè)、企業(yè)等廣大用戶。接入交換機(jī)具備 4 個(gè) GE SFP 光接口，目前所有接入層交換機(jī)均通過(guò)雙鏈路以千兆速率（ 2 1GE）與兩臺(tái)核心路由交換機(jī) H3C S9508互聯(lián)，后續(xù)根據(jù)業(yè)務(wù)發(fā)展對(duì)帶寬的需求，百兆三層交換機(jī)可支持升級(jí)至主干四鏈路（ 2 2GE），千兆三層交換 機(jī)可支持升級(jí)至主干四鏈路（ 2 2GE 或 2 20GE）帶寬。 H3C S5500 系列和 S3600 系列以太網(wǎng)交換機(jī)支持端口安全特性可以有效防范基于 MAC 地址的攻擊。 . 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 衡鋼網(wǎng)絡(luò)升級(jí)改造項(xiàng)目建議采用常用的兩層交換組網(wǎng)模型。在核心路由交換機(jī)上配置多個(gè) VRRP 組，組 master 和 backup 角色均勻分布在兩臺(tái)核心路由交換機(jī)上，使兩臺(tái)網(wǎng)關(guān)設(shè)備同時(shí)完成備份和負(fù)載分擔(dān)功能；通過(guò)多生成樹實(shí)例（ MSTP）規(guī)劃，使接入設(shè)備不同 VLAN業(yè)務(wù)負(fù)載分擔(dān)在兩條上行鏈路，并且到達(dá)的核心設(shè)備為第一跳網(wǎng) 關(guān) master；實(shí)例 root 與生成樹實(shí)例映射 VLAN 的三層網(wǎng)關(guān) master 在同一臺(tái)核心設(shè)備上，使 STP協(xié)議能夠通過(guò)計(jì)算合理阻塞鏈路，并且縮小鏈路故障引起的網(wǎng)絡(luò)震蕩范圍；若接入設(shè)備上有 VLAN 重疊，匯聚設(shè)備設(shè)置為二層 TRUNK鏈路。 主要 HA 性能參數(shù) 網(wǎng)絡(luò)故障 收斂性能 核心層設(shè)備雙機(jī)切換 3秒（ VRRP）， 1 秒（ OSPF） 光纖鏈路單通故障 2秒 接入層 核心層鏈路故障 /恢復(fù) 1秒 核心層設(shè)備路由交換處理板主備倒換 50 毫秒 核心層設(shè)備單路電源故障 0 秒 4. 網(wǎng)絡(luò)安全設(shè)計(jì) 面對(duì)現(xiàn)在網(wǎng)絡(luò)環(huán)境越來(lái)越多的網(wǎng)絡(luò)病毒和攻擊威脅，衡鋼網(wǎng)絡(luò)升級(jí)改造所選網(wǎng)絡(luò)設(shè)備從核心到接入設(shè)備應(yīng)提供強(qiáng)大的網(wǎng)絡(luò)病毒和攻擊防護(hù)能力， H3C S 系列以太網(wǎng)交換機(jī)設(shè)備不僅提供了強(qiáng)大的ACL 功能，同時(shí)為了避免非管理人員登陸并操縱網(wǎng)絡(luò)設(shè)備，造成網(wǎng)絡(luò)傳輸和安全的影響，核心、匯聚和接入設(shè)備還提供了 SSH 加密登陸功能，以及 tel/web登錄的源 IP 限制功能； S9500和 S5500系列以太網(wǎng)交換機(jī)還支持防源 IP 地址欺騙（ Souce IP Spoofing）、防 DOS/DDOS攻擊（ Synflood，Smurf），防掃描（ PingSweep）等能力；同時(shí)為了防止由于病毒的原因而引起交換機(jī)的路由表溢出；核心交換機(jī) S9508 和接入交換機(jī) S5500EI/S3600EI 具有 LPM（最長(zhǎng)匹配）功能，可節(jié)約存儲(chǔ)空間，病毒和攻擊數(shù)據(jù)直接通過(guò)缺省路由轉(zhuǎn)發(fā)，不造成存儲(chǔ)溢出。 網(wǎng)絡(luò)安全從本質(zhì)上講是管理問題。 EAD 解決方案對(duì)用戶網(wǎng)絡(luò)準(zhǔn)入的整體認(rèn)證過(guò)程如下圖所示： . 組網(wǎng)模型 如下圖所示， EAD 組網(wǎng)模型圖中包括安全客戶端、安全聯(lián)動(dòng)設(shè)備、安全策略服務(wù)器和第三方服 務(wù)器。衡鋼網(wǎng)絡(luò)升級(jí)改造項(xiàng)目中我們將安全聯(lián)動(dòng)設(shè)備部署在接入層交換機(jī) H3C S5500EI和 H3C S3600EI上，用于認(rèn)證局域網(wǎng)用戶。 第三方服務(wù)器： 是指補(bǔ)丁服務(wù)器、病毒服務(wù)器和安全代理服務(wù)器等，被部署在隔離區(qū)（ GuestVLAN）中。例如 EAD 可充分利用微軟成熟的桌面管理工具，由 SMS實(shí)現(xiàn)各種 Windows 環(huán)境下用戶的桌面管理需求：資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等。EAD 廣泛、深入的和國(guó)內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開合作，融合各家所長(zhǎng)； EAD與第三方認(rèn)證服務(wù)器、安全聯(lián)動(dòng)設(shè)備等之間的交互基于標(biāo)準(zhǔn)、開放的協(xié)議架構(gòu)和規(guī)范，易于互聯(lián)互通。 防范：利用交換機(jī)端口安全功能： MAC 動(dòng)態(tài)地址鎖和端口靜態(tài)綁定 MAC、 1x端口下的自動(dòng)動(dòng)態(tài)綁定用戶 IP/MAC，來(lái)限定交換機(jī)某個(gè)端口上可以訪問網(wǎng)絡(luò)的 MAC 地址，從而控制：那些通過(guò)變化 MAC 地址來(lái)惡意請(qǐng)求不同 IP 地址和消耗 IP 資源的 DHCP 攻 擊。 . H3C 防 ARP 欺騙解決方案 . ARP 欺騙攻擊的危害性 當(dāng)您的計(jì)算機(jī)網(wǎng)絡(luò)連接正常，卻無(wú)法打開網(wǎng)頁(yè)；當(dāng)您的計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)頻繁斷線，同時(shí)網(wǎng)速變得非常慢。由此可見，中間人攻擊是一種非常惡劣的網(wǎng)絡(luò)惡意攻擊行為。 以太網(wǎng) ARP 協(xié)議報(bào)文結(jié)構(gòu) ARP 欺騙攻擊就利用了這點(diǎn)，攻擊者主動(dòng)發(fā)送 ARP 報(bào)文，發(fā)送者的 MAC 地址為攻擊者主機(jī) 的 MAC 地址，發(fā)送者的 IP 地址為被攻擊主機(jī)的 IP 地址。如果攻擊者具有轉(zhuǎn)發(fā)能力，在攻擊開始和攻擊結(jié)束是都會(huì)引發(fā)一次網(wǎng)絡(luò)中斷，攻擊過(guò)程中網(wǎng)絡(luò)速度變慢，網(wǎng)速變慢原因跟發(fā)送大量的 ARP 流量消耗了帶寬以及其本身處理能力有限有很大關(guān)系；如果攻擊者不具有轉(zhuǎn)發(fā)能力，網(wǎng)絡(luò)出現(xiàn)傳輸中斷，直到攻擊停止及 ARP 表恢復(fù)正常。 在網(wǎng)絡(luò)實(shí)際部署中，有時(shí)候不能在所有的接入層部署 ARP 入侵檢測(cè)。因?yàn)椴还苁?ARP 入侵檢測(cè)，還是 ARP 欺騙防御，都不能防止終端主機(jī)受到 ARP 中毒攻擊，也不能對(duì)發(fā)起 ARP 欺騙攻擊的終端 PC 進(jìn)行強(qiáng)制下線懲罰。 . 接入層交換機(jī)部署 ARP 入侵檢測(cè) 交換機(jī)要防御 ARP 攻擊，就必須能夠識(shí)別并讀取 ARP報(bào)文內(nèi)容，然后根據(jù)報(bào)文內(nèi)容判斷是否存在欺騙攻擊行為，對(duì)于 ARP 欺騙報(bào)文進(jìn)行丟棄處理。交換機(jī)端口接收到的 ARP 報(bào)文后，通過(guò)查找 DHCP Snooping建立的綁定關(guān)系表，來(lái)判斷 ARP應(yīng)答報(bào)文的發(fā)送者源 IP、源 MAC 是否合法。因此接入交換機(jī)還需要部署 ARP 報(bào)文限速，對(duì)每個(gè)端口單位時(shí)間內(nèi)接收到的 ARP 報(bào)文進(jìn)行限制，很好地保障了網(wǎng)絡(luò)帶寬資源和交換機(jī) CPU 資源。 這樣只要終端 PC 沒有發(fā)生 ARP 中毒，網(wǎng)絡(luò)通訊就可以正常進(jìn)行；如果終端 PC 發(fā)生 ARP 中毒，其 ARP 表中的網(wǎng)關(guān) IP 地址所對(duì)應(yīng)的 MAC 地址被惡意修改，終端 PC 的網(wǎng)絡(luò)通信就會(huì)受到嚴(yán)重影響。（僅 H3C S9500 系列交換機(jī)支持） 如圖所示，攻擊者試圖欺騙網(wǎng)關(guān)，告訴網(wǎng)關(guān)用戶 C 的 MAC 地址應(yīng)該是攻擊者的 MAC 地址。 主動(dòng)確認(rèn)方法，使用起來(lái)比較靈活，不會(huì)給攻擊者進(jìn)行 ARP 欺騙的機(jī)會(huì)。 這種情況經(jīng)常發(fā)生以下前提下，如果網(wǎng)絡(luò)中有一個(gè)網(wǎng)段，其網(wǎng)段上的終端 PC 有部分沒有直接連接到部署有 ARP 入侵檢測(cè)的接入交換機(jī)上，那么這個(gè)網(wǎng)段上的 PC就有可能受到 ARP 欺騙攻擊，即使哪些連接在部署有 ARP 入侵檢測(cè)的接入交換機(jī)上的終端 PC 也不能避免。 IMC/EAD 客戶端接收到下發(fā)的 ARP 列表內(nèi)容，執(zhí)行 ARP 靜態(tài)綁定，這樣在受到 ARP 欺騙攻擊時(shí)，客戶端仍然可訪問網(wǎng)絡(luò)。首先iMC/EAD 系統(tǒng)只能解決終端 PC 在受到 ARP 欺騙攻擊時(shí)，其 ARP 表中的靜態(tài) ARP 表項(xiàng)不受影響。 . 防 IP/MAC 欺騙攻擊設(shè)計(jì) MAC 欺騙：盜用合法用戶的 MAC 地址，侵入網(wǎng)絡(luò)，使得正常用戶無(wú)法上網(wǎng)； IP 欺騙： 盜用合法用戶的 IP 地址，使得到合法用戶的通訊得不到響應(yīng)，造成 Ping of death，和 ICMP不可達(dá)風(fēng)暴； 不斷修改 IP，發(fā)送 TCP SYN 連接，攻擊 Server，造成 SYN Flood。從而防范用戶發(fā)送非法 BPDU 報(bào)文。 防范： RFC 28227 的入口過(guò)濾規(guī)則。 管理 VLAN 與用戶 VLAN 分開。市場(chǎng)上常見的網(wǎng)絡(luò)管理、用戶管理軟件各自發(fā)展已經(jīng)較為完善，但網(wǎng)絡(luò)管理軟件僅關(guān)注于網(wǎng)絡(luò)設(shè)備資源的管理，不能涵蓋網(wǎng)絡(luò)用戶資源的管理；而用戶管理及接入控制軟件往往缺乏與網(wǎng)絡(luò)資 源管理、業(yè)務(wù)管理的融合，導(dǎo)致管理手段單一、管理力度不足、管理操作復(fù)雜。 iMC 基礎(chǔ)網(wǎng)絡(luò)管理，涵蓋了傳統(tǒng)網(wǎng)管的主要功能，包括告警管理、性能管理、拓?fù)涔芾淼取? 絕大多數(shù)企業(yè)的 IT 管理部門都還沒有建設(shè)一套能夠完全滿足上述管理需求的網(wǎng)絡(luò)及業(yè)務(wù)流量和流向分析系統(tǒng)，大部分網(wǎng)管系統(tǒng)還只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如 MRTG，利用 SNMP 協(xié)議對(duì)網(wǎng)絡(luò)的重點(diǎn)鏈路和互聯(lián)點(diǎn)進(jìn)行簡(jiǎn)單的端口級(jí)流量監(jiān)視和統(tǒng)計(jì)；或采用在網(wǎng)絡(luò)中部分重點(diǎn) POP 點(diǎn)加裝 RMON探針的方式，利用 RMON I/II協(xié)議對(duì)網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集。首先，由于 RMON 協(xié)議需要對(duì)網(wǎng)絡(luò)上傳送的每個(gè)數(shù)據(jù)幀進(jìn)行采集和 分析，會(huì)耗用大量的 CPU資源因而不可能由網(wǎng)絡(luò)設(shè)備本身實(shí)現(xiàn)，需要額外購(gòu)買和安裝內(nèi)置式或外置式的 RMON探針。這些因素都會(huì)阻礙利用 RMON 協(xié)議對(duì)大型網(wǎng)絡(luò)進(jìn)行流量和流向分析的有 效性。 作為 IT 業(yè)界的網(wǎng)絡(luò)解決方案提供商， H3C 公司不但提供了性能卓越的網(wǎng)絡(luò)設(shè)備，還同步配套研發(fā)了專門針對(duì)客戶對(duì)網(wǎng)絡(luò)流量和流向分析需求的 NetStream技術(shù)， NetStream技術(shù)是一種基于網(wǎng)絡(luò)流信息的統(tǒng)計(jì)與發(fā)布技術(shù)，它可以對(duì)網(wǎng)絡(luò)中的通信量和資源使用情況進(jìn)行分類和統(tǒng)計(jì)，基于各種業(yè)務(wù)和不同的應(yīng)用進(jìn)行分析。 本次提供的 H3C S5500EI和 H3C S3600EI以太網(wǎng)交換機(jī)均支持遠(yuǎn)程端口鏡像功能，我們還可以將接入交換機(jī)上任意端口的流量遠(yuǎn)程鏡像至核心路由交換機(jī) H3C S9508 上，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)任意端口的流量分析和監(jiān)控 ，全面幫助管理員監(jiān)控網(wǎng)絡(luò)內(nèi)的異常流量并快速做出故障診斷。通過(guò)這種方案，網(wǎng)絡(luò)管理員只要啟動(dòng)統(tǒng)一網(wǎng)管平臺(tái)程序就可以管理所有網(wǎng)絡(luò)上不同廠商的設(shè)備，只要通過(guò)統(tǒng)一網(wǎng)管平臺(tái)的界面就可以調(diào)用各種網(wǎng)管提供的功能，包括網(wǎng)管平臺(tái)提供的通用功能（如拓?fù)洌婢?，性能等）和設(shè)備廠商提供的針對(duì)本廠商設(shè)備的特有功能（如設(shè)備面板顯示，設(shè)備配置等）。該方案的結(jié)構(gòu)圖如下： H3C 多廠商網(wǎng)絡(luò)管理解決方案Cisc oWo rk s H3C iM C 其他廠商網(wǎng)管H P O pe nv i e w N N M/ I B M T i v ol i N e t v i e w / S N MP cW i ndo w s / S ol a ri s / H P U N I X / A I X 在衡鋼網(wǎng)絡(luò)系統(tǒng)中部署第三方網(wǎng)絡(luò)管理平臺(tái)， Ciscoworks 與之集成實(shí)現(xiàn)對(duì) Cisco 和網(wǎng)絡(luò)內(nèi)其他設(shè)備（如服務(wù)器、安全設(shè)備等）的統(tǒng)一管理。安裝順序是：操作系統(tǒng) 統(tǒng)一網(wǎng)管平臺(tái) 各廠商的網(wǎng)管系統(tǒng)（各廠商的網(wǎng)管系統(tǒng)安裝不分先后）。 通過(guò) Openview 的拓?fù)鋱D上的各廠商設(shè)備圖標(biāo)可以直接打開各廠商的設(shè)備網(wǎng)管，如設(shè)備面板管理可以讓用戶直觀地看到真實(shí)設(shè)備的運(yùn)行狀態(tài)，如各接口的狀態(tài)（ up、 down、全雙工、半雙工等等）；配置管理可以讓用戶通過(guò)圖像界面來(lái)直 觀的進(jìn)行配置。無(wú)線局域網(wǎng)具有以下顯著特點(diǎn)： ? 簡(jiǎn)易性： WLAN 傳輸系統(tǒng)的安裝快速簡(jiǎn)單，可極大的減少敷設(shè)管道及布線等繁瑣工作； ? 靈活性：無(wú)線技術(shù)使得 WLAN 設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置，使無(wú)線網(wǎng)絡(luò)達(dá)到有線網(wǎng)絡(luò)不易覆蓋的區(qū)域； ? 綜合成本較低：一方面 WLAN 網(wǎng)絡(luò)減少了布線的費(fèi)用，另一方面在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，無(wú)線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。 常用的 H3C 無(wú)線產(chǎn)品包括 WX5002 無(wú)線控制器，高端以太網(wǎng)交換機(jī)無(wú)線控制 器業(yè)務(wù)板和 WA系列無(wú)線 AP。 H3C 無(wú)線網(wǎng)絡(luò)管理系統(tǒng)依托 iMC 智能管理平臺(tái)，在 iMC 系統(tǒng)全面的有線網(wǎng)絡(luò)管理的基礎(chǔ)上增加無(wú)線業(yè)務(wù)管理組件（ WSM