【正文】 。同時(shí)H3C S5600系列交換機(jī)不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。采用交、直流雙輸入電源模塊供電，也可以通過更換電源模塊來支持PoE功能，提供所有固定端口的PoE滿負(fù)載。第四章 外部局域網(wǎng)設(shè)計(jì) 外網(wǎng)層次結(jié)構(gòu)設(shè)計(jì)考慮**************計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)外網(wǎng)和內(nèi)網(wǎng)物理結(jié)構(gòu)完全相同，因此外部局域網(wǎng)與內(nèi)部局域網(wǎng)采用相同的層次結(jié)構(gòu)設(shè)計(jì)，核心層、匯聚層和接入層均采用與內(nèi)部局域網(wǎng)相同的設(shè)備選型和配置，采用相同的鏈路連接方式。第五章 網(wǎng)絡(luò)安全設(shè)計(jì) 網(wǎng)絡(luò)安全概述隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢(shì)，給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革。網(wǎng)絡(luò)優(yōu)化需求：對(duì)于用戶應(yīng)用網(wǎng)絡(luò)，必須提供靈活的流量管理能力，保證關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，同時(shí)應(yīng)該提供完善的QoS機(jī)制，保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。通過以上的分區(qū)設(shè)計(jì)和網(wǎng)絡(luò)現(xiàn)狀，H3C提出了以防火墻、應(yīng)用層防御系統(tǒng)、EAD端點(diǎn)準(zhǔn)入防御為支撐的深度安全解決方案：防火墻防火墻是最主流也是最重要的安全產(chǎn)品，是安全解決方案的核心。因此，即使在網(wǎng)絡(luò)中已部署了防火墻、IDS等基礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品，IT部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、應(yīng)用系統(tǒng)的響應(yīng)速度越來越慢。 終端準(zhǔn)入防御EAD解決方案在用戶接入網(wǎng)絡(luò)前，強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果，強(qiáng)制實(shí)施用戶接入控制策略，對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作；在保證用戶終端具備自防御能力并安全接入的前提下，合理控制用戶的網(wǎng)絡(luò)行為，提升整網(wǎng)的安全防御能力。內(nèi)網(wǎng)數(shù)據(jù)中心是信息化建設(shè)的核心，掌控建設(shè)單位的眾多信息資源，其重要性不言而喻。支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采用ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，可對(duì)連接狀態(tài)過程和異常命令進(jìn)行檢測(cè)；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種VPN業(yè)務(wù)，如L2TP VPN、GRE VPN 、IPSec VPN、動(dòng)態(tài)VPN等，可以構(gòu)建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形及多種隊(duì)列調(diào)度策略。l 抗攻擊防范能力：包括多種DoS/DDoS攻擊防范、ARP欺騙攻擊的防范、提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能；靜態(tài)和動(dòng)態(tài)黑名單功能；MAC和IP綁定功能；支持智能防范蠕蟲病毒技術(shù)。l 全面NAT應(yīng)用支持：提供多對(duì)一、多對(duì)多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換 、Easy IP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT，提供DNS、FTP、ILS、MSN、NBT、PPTP、SIP等NAT ALG功能。服務(wù)，入侵防御系統(tǒng)能得到及時(shí)的特征、漏洞過濾器、協(xié)議異常過濾器和統(tǒng)計(jì)異常過濾器更新從而主動(dòng)地防御最新的攻擊。由于具有網(wǎng)絡(luò)架構(gòu)保護(hù)能力，TippingPoint的入侵防御系統(tǒng)保護(hù)VOIP系統(tǒng)、路由器、交換機(jī)、DNS和其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭惡意攻擊和防止流量出現(xiàn)異常。u 無與倫比的高性能TippingPoint 200 IPS具備絕對(duì)領(lǐng)先的能與交換機(jī)媲美的性能指標(biāo)：高達(dá)200Mbps吞吐量的線速檢測(cè)、轉(zhuǎn)發(fā)；低時(shí)延（最大時(shí)延215微秒）；精確檢測(cè)攻擊并實(shí)時(shí)阻斷；支持200萬個(gè)并發(fā)連接；支持每秒25萬個(gè)新建立連接。在具備高速檢測(cè)功能的同時(shí)，TSE還提供增值的流量分類、流量管理和流量整形功能。TippingPoint IPS還支持基于訪問控制列表（ACL）的檢測(cè)、基于統(tǒng)計(jì)的檢測(cè)、基于協(xié)議跟蹤的檢測(cè)、基于應(yīng)用異常的檢測(cè)、報(bào)文規(guī)范檢測(cè)（Normalization）、IP報(bào)文重組和TCP流恢復(fù)。SANS Risk公告可以在u 數(shù)字疫苗（DV，Digital Vaccine）保障實(shí)時(shí)安全TippingPoint實(shí)時(shí)更新、發(fā)布的數(shù)字疫苗（DV，Digital Vaccine）是網(wǎng)絡(luò)免疫的保障與基礎(chǔ)。在某個(gè)漏洞被發(fā)現(xiàn)后，TippingPoint能夠在第一時(shí)間（即廠商公布安全公告之前）獲得該漏洞的詳細(xì)信息，并且利用這一時(shí)間差及時(shí)制作可以防御該漏洞的數(shù)字疫苗，使得用戶的網(wǎng)絡(luò)免遭這種“零時(shí)差攻擊”（Zeroday Attack）。這樣的無縫部署主要體現(xiàn)在以下方面：嵌入式部署（inline）模型保證最簡(jiǎn)化的部署步驟，而不需要進(jìn)行交換機(jī)鏡像等復(fù)雜的配置，更不需要更改網(wǎng)絡(luò)拓?fù)?；檢測(cè)接口不需要IP地址，也不需要MAC地址，一旦接入網(wǎng)絡(luò)，立刻開始保護(hù)網(wǎng)絡(luò)；同時(shí)保證自身對(duì)攻擊源是隱身的，增強(qiáng)整網(wǎng)的安全性；高性能、低時(shí)延使得TippingPoint IPS無論被部署在網(wǎng)絡(luò)內(nèi)部還是邊緣，都可以提供線速的精確檢測(cè)和實(shí)時(shí)阻斷能力，對(duì)網(wǎng)絡(luò)業(yè)務(wù)的效率沒有任何的損傷。物理級(jí)保護(hù)和掉電事故保護(hù)：按照電信標(biāo)準(zhǔn)設(shè)計(jì)的TippingPoint IPS采用冗余電源供電，并且支持在線更換；掉電保護(hù)設(shè)備ZPHA（Zero Power High Availability）是TippingPoint IPS的輔助設(shè)備。一旦探測(cè)到軟件系統(tǒng)故障，該模塊會(huì)將IPS設(shè)置成一個(gè)簡(jiǎn)單的二層交換設(shè)備，網(wǎng)絡(luò)流量將在兩個(gè)接口之間直接貫通；軟件故障恢復(fù)后，所有流量貫通被自動(dòng)取消，恢復(fù)的IPS重新開始保護(hù)整個(gè)網(wǎng)絡(luò)。因此建議在Internet出口部署1臺(tái)H3C SecPath F1000S防火墻＋1臺(tái)TippingPoint 200E IPS入侵防御系統(tǒng)。在企業(yè)網(wǎng)中，用戶終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)的現(xiàn)象普遍存在；私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用企業(yè)禁用軟件等行為也比比皆是。H3C端點(diǎn)準(zhǔn)入防御（EAD，Endpoint Admission Defense）解決方案則從用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強(qiáng)用戶終端的主動(dòng)防御能力，大幅度提高網(wǎng)絡(luò)安全。功能特點(diǎn)nEAD通過對(duì)終端安全狀態(tài)進(jìn)行評(píng)估，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能準(zhǔn)許訪問網(wǎng)絡(luò)。 實(shí)時(shí)的“危險(xiǎn)”用戶隔離系統(tǒng)補(bǔ)丁、病毒庫(kù)版本不及時(shí)更新的用戶終端，如果不符合管理員設(shè)定的企業(yè)安全策略，將被限制訪問權(quán)限，只能訪問病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。EAD也是一個(gè)開放的安全解決方案。方案部件EAD是一個(gè)整合與聯(lián)動(dòng)的安全解決方案，主要部件包括安全策略服務(wù)器、安全客戶端、安全聯(lián)動(dòng)設(shè)備和第三方服務(wù)器。 安全策略服務(wù)器EAD方案中的用戶管理與策略控制中心，實(shí)現(xiàn)用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能，是EAD解決方案的核心部件。nH3C系列交換機(jī)、路由器、安全網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備，可以通過標(biāo)準(zhǔn)的協(xié)議與CAMS安全策略服務(wù)器的聯(lián)動(dòng)，在不同的應(yīng)用場(chǎng)景實(shí)現(xiàn)對(duì)用戶的準(zhǔn)入控制。 第三方服務(wù)器第三方服務(wù)器是指病毒服務(wù)器、補(bǔ)丁服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品。H3C公司的NTA（Network Traffic Analysis）解決方案就是這樣一種基于網(wǎng)絡(luò)流信息的統(tǒng)計(jì)和分析的系統(tǒng)，通過的網(wǎng)絡(luò)中的數(shù)據(jù)流量和資源使用情況進(jìn)行采集和分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸，防范網(wǎng)絡(luò)病毒的攻擊，并提供針對(duì)不同業(yè)務(wù)和應(yīng)用的帶寬流量數(shù)據(jù)。 豐富的應(yīng)用識(shí)別基于三層協(xié)議號(hào)、端口號(hào)，可識(shí)別上千種已知應(yīng)用（比如：Notes應(yīng)用、FTP應(yīng)用、HTTP應(yīng)用等等），并提供應(yīng)用自定義功能，當(dāng)網(wǎng)內(nèi)出現(xiàn)新應(yīng)用的時(shí)候，很容易進(jìn)行新應(yīng)用的識(shí)別。應(yīng)用統(tǒng)計(jì)報(bào)表給出一段時(shí)間內(nèi)流入、流出的各種應(yīng)用以及趨勢(shì)圖。 準(zhǔn)實(shí)時(shí)的流量監(jiān)控NTA報(bào)表支持對(duì)流量進(jìn)行及時(shí)的分析，當(dāng)NetStream日志或者DIG日志產(chǎn)生之后，在很短的時(shí)間內(nèi)即可得到分析結(jié)果，非常方便用戶使用報(bào)表進(jìn)行網(wǎng)絡(luò)異常問題的定位。針對(duì)一些不支持NetStream技術(shù)的網(wǎng)絡(luò)設(shè)備，還提供了一種DIG采集設(shè)備，只要網(wǎng)絡(luò)設(shè)備支持端口鏡像，DIG采集設(shè)備能直接從鏡像端口收集網(wǎng)絡(luò)流量信息，并形成DIG日志提供給NTC/NTP進(jìn)行流量分析。Quidview網(wǎng)絡(luò)管理系統(tǒng)采用分布式、組件化、跨平臺(tái)的開放體系結(jié)構(gòu)，用戶通過選擇安裝不同的業(yè)務(wù)組件，可以實(shí)現(xiàn)設(shè)備管理、拓?fù)涔芾?、告警管理、性能管理、軟件升?jí)管理、配置文件管理、VPN監(jiān)視與部署等多種管理功能。自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D；可以靈活裁減拓?fù)湟晥D，聚焦網(wǎng)絡(luò)的關(guān)鍵區(qū)域；可以靈活選擇設(shè)備、背景圖標(biāo)，構(gòu)建逼近真實(shí)網(wǎng)絡(luò)的拓?fù)淇梢灾苯狱c(diǎn)擊拓?fù)湟晥D節(jié)點(diǎn)，快速查看設(shè)備面板；拓?fù)涔?jié)點(diǎn)顏色能夠直觀反映網(wǎng)絡(luò)、設(shè)備狀態(tài)；可以靈活定制對(duì)設(shè)備狀態(tài)的輪詢間隔；全流程的故障管理Quidview的網(wǎng)絡(luò)故障管理功能為用戶及時(shí)發(fā)現(xiàn)問題、深入分析問題、快速解決問題提供了全流程的支持。主動(dòng)的網(wǎng)絡(luò)監(jiān)視Quidview網(wǎng)管系統(tǒng)提供了豐富的性能管理功能，幫助用戶主動(dòng)監(jiān)視網(wǎng)絡(luò)的狀況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)潛在的隱患。支持網(wǎng)絡(luò)運(yùn)行設(shè)備的配置變化檢查，一旦配置發(fā)生變化，立刻以告警方式通知管理員關(guān)注；支持設(shè)備配置文件的批量備份和恢復(fù)功能，極大提高了管理員的工作效率；支持靈活的設(shè)備配置文件比較功能，包括指定設(shè)備的運(yùn)行配置和啟動(dòng)配置的比較、不同設(shè)備間的配置文件比較等，使管理員能夠快速查看設(shè)備配置差異，迅速定位導(dǎo)致問題的配置命令；可靠的設(shè)備軟件升級(jí)升級(jí)和備份網(wǎng)絡(luò)中的設(shè)備軟件是非常煩瑣而復(fù)雜的事情。通過面板圖標(biāo)直觀地反映設(shè)備的框、架、槽、卡、風(fēng)扇、CPU、端口等關(guān)鍵部件的運(yùn)行狀態(tài)；能夠查看、設(shè)置設(shè)備端口狀態(tài)；能夠查看路由、VLAN等配置信息；能夠查看端口流量、丟包率、錯(cuò)包率等關(guān)鍵統(tǒng)計(jì)數(shù)據(jù)；支持對(duì)華為3COM公司交換機(jī)集群、堆疊能力的管理；設(shè)備管理功能既可以單獨(dú)啟動(dòng)，也可以通過雙擊拓?fù)涔?jié)點(diǎn)直接啟動(dòng)；快捷易用的管理工具針對(duì)設(shè)備端口故障，Quidview網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測(cè)工具——路徑跟蹤和端口環(huán)回測(cè)試工具。多廠商設(shè)備的統(tǒng)一管理Quidview可管理所有支持標(biāo)準(zhǔn)SNMP網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備，為多廠商設(shè)備共存的網(wǎng)絡(luò)提供了統(tǒng)一的管理方式。此外，Quidview的集群管理限制的LanSwitch數(shù)量為2047 ，堆疊管理的層數(shù)為5層。31