【正文】 ? 認(rèn)證計費(fèi)： 提供靈活多樣的計費(fèi)策略，支持多種認(rèn)證方式，滿足組性化的用戶管理，實(shí)現(xiàn)多樣化的控制策略。需要有效解決企業(yè)分支機(jī)構(gòu) VPN 接入靈活性、安全性和經(jīng)濟(jì)性之間的矛盾。 NAT 的應(yīng)用一般主要有如下的應(yīng)用場景： 1) PAT方式 它通過使用“ IP 地址＋端口號”的形式進(jìn)行轉(zhuǎn)換，使多個私網(wǎng)用戶可共用一個公網(wǎng) IP地址訪問外網(wǎng)，是地址轉(zhuǎn)換實(shí)現(xiàn)的主要形式。 防火墻功能 規(guī)劃 設(shè)計 網(wǎng)絡(luò) 隔離：能夠?qū)W(wǎng)絡(luò)區(qū)域進(jìn)行分割，對不同區(qū)域之間的數(shù)據(jù)流進(jìn)行控制，通過對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)的檢查，實(shí)現(xiàn)對數(shù)據(jù)流的精細(xì)控制，把可能的安全風(fēng)險控制在相對獨(dú)立的區(qū)域內(nèi)； 包過濾：支持基于 ACL 的基本包過濾，支持基于 FTP、 HTTP 等應(yīng)用層協(xié)議包過濾（ ASPF）； 攻擊防范：對常見的 ICMP 重定向 /不可達(dá)、 TCP SYN/ARP FLOOD、 Land、 Smurf、TearDrop、網(wǎng)絡(luò)端口掃描、畸形報文、拒絕服務(wù)（ DoS/DDoS）等攻擊行為，能夠提供有效的檢測和防范措施。 同時園區(qū)網(wǎng)交換機(jī)支持組播報文抑制，可基于端口限制組播報文流量百分比或速率閾值。 ? 防 MAC 地址掃描攻擊 以太網(wǎng)交換機(jī)的 MAC 地址轉(zhuǎn)發(fā)表作為二層報文轉(zhuǎn)發(fā)的核心，在受到攻擊的時候，直接導(dǎo)致交換機(jī)無法正常工作。如果直連網(wǎng)段較大，攻擊流量足夠大時，會消耗網(wǎng)絡(luò)設(shè)備較多的 CPU 和內(nèi)存資源，可引起網(wǎng)絡(luò)中斷。另外，DHCPSnooping 允許將某個物理端口設(shè)置為信任端口或不信任端口。 策略服務(wù)器也就是管理服務(wù)器， NAC 方案的核心是整合與聯(lián)動，其中的安全策略服務(wù)器是 NAC 方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)檢查評估、安全聯(lián)動控制以及安全事件審計等功能。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 28 頁 共 60 頁 ? 安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復(fù)通知與實(shí)施（自動或手工升級補(bǔ)丁和病毒庫）等功能。 ? 高可靠性 堆疊的高可靠性體現(xiàn)在多個方面，比如：成員設(shè)備之間堆疊物理端口支持聚合功能，堆疊系統(tǒng)和上、下層設(shè)備之間的物理連接 也支持聚合功能，這樣通過多鏈路備份提高了堆疊系統(tǒng)的可靠性；堆疊系統(tǒng)由多臺成員設(shè)備組成， Master 設(shè)備負(fù)責(zé)堆疊的運(yùn)行、管理和維護(hù)， Slave 設(shè)備在作為備份的同時也可以處理業(yè)務(wù)，一旦 Master 設(shè)備故障，系統(tǒng)會迅速自動選舉新的 Master，以保證通過堆疊的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備級的 1:N 備份。 總體來看，交換網(wǎng)堆疊在軟件和硬件方面，可靠性都高于接口堆疊的方式。隨著業(yè)務(wù)的增加，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級時，采用集群的方式，只需要增加新設(shè)備既可，不需要更改網(wǎng)絡(luò)配置的情況下，平滑擴(kuò)容，很好的保護(hù)了用戶投資。當(dāng)用戶察覺到某 MAC 地址的報文具有一定攻擊性，則可以在園區(qū)交換機(jī)上配置黑洞 MAC，從而將具有該 MAC 地址的報文過濾掉，避免遭受攻擊。 園區(qū)網(wǎng)絡(luò) 設(shè)備高可靠性 規(guī)劃 設(shè)計 重要部件冗余 設(shè)備本身要具有電信級 5 個 9 的可靠性，需要網(wǎng)絡(luò)設(shè)備支持 : ? 主控 1:1 備份 ? 交換網(wǎng) 1+1/1:1 兩種方式 ? DC 電源 1+1 備份； AC 電源 1+1/2+2 備份 ? 模塊化的風(fēng)扇設(shè)計，高端配置支持單風(fēng)扇失效 ? 無源背板，高可靠性 ? 獨(dú)立的設(shè)備監(jiān)控單元，和主控解耦 ? 所有模塊熱插拔 ? 完善的各種告警功能 ? 設(shè)備管理 1:1 備份 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 20 頁 共 60 頁 設(shè)備自身安全 如下圖所示 ,隨著黑客工具的泛濫和使用的方便 ,使的網(wǎng)絡(luò)攻擊的成本越來越來 ,但危害越來越大 . 圖 46 黑客工具的危害性 這就要求具有強(qiáng)大靈活的自身防護(hù)功能 ,以不變應(yīng)萬變的方法 ,才能抵擋日益泛濫的網(wǎng)絡(luò)攻擊。匯聚交換機(jī)作為園區(qū)用戶網(wǎng)關(guān)，與接入交換機(jī)組成二層網(wǎng)絡(luò)，匯聚交換機(jī)的主備通過 VRRP（ BFD for VRRP）協(xié)議協(xié)商， VRRP 協(xié)議通過接入交換機(jī)轉(zhuǎn)發(fā)，每組接入交換機(jī)與兩臺匯聚交換機(jī)組成的一個華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 18 頁 共 60 頁 物理 U型網(wǎng)絡(luò)需要啟用一組 VRRP，匯聚交換機(jī)通過多個物理端口會接入多個二層 U型網(wǎng)絡(luò)，這樣匯聚交換機(jī)間需要運(yùn)行多個 VRRP 組（每個二層 U 型接入網(wǎng)絡(luò)運(yùn)行一個 VRRP 組），一般一個 U 型二層接入網(wǎng)覆蓋的是同一個樓層的接入交換機(jī)。 口子型組網(wǎng)方案是園區(qū)網(wǎng)非常經(jīng)典的可靠性設(shè)計 方案，適合各種規(guī)模的園區(qū)網(wǎng)應(yīng)用場景。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 14 頁 共 60 頁 4 園區(qū) 網(wǎng)絡(luò) 高可靠性 規(guī)劃 設(shè)計 園區(qū)網(wǎng)絡(luò) 高可靠性 規(guī)劃 設(shè)計 園區(qū)網(wǎng)高可靠性設(shè)計總體方案如下圖所示： 圖 41 園區(qū)網(wǎng)高可靠性設(shè)計方案總覽 針對二層接入（接入交換機(jī)是二層交換機(jī)、匯聚交換機(jī)作為用戶網(wǎng)關(guān)）典型園區(qū)網(wǎng)架構(gòu)，從接入層、匯聚層、核心層來分層考慮網(wǎng)絡(luò)可靠性設(shè)計。 對于中小型企業(yè)園區(qū)網(wǎng)，核心層和出口層可進(jìn)行合并，通過核心交換機(jī)（ S9300）的WAN 接口板的廣域網(wǎng)接口（ POS 等）直接與外網(wǎng)相連。 高用戶密度的園區(qū)接入場景推薦使用 S5300/S9300 作為接入交換機(jī)，低用戶密度的場景推薦使用 S2300/S3300 作為接入交換機(jī)。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計 第 9 頁 共 60 頁 虛擬交換園區(qū)網(wǎng)網(wǎng)絡(luò)架構(gòu) 圖 33 虛擬交換園區(qū)網(wǎng)網(wǎng)絡(luò)架構(gòu) 園區(qū)網(wǎng)仍然按照分層結(jié)構(gòu)建設(shè)，園區(qū)交換機(jī)分為接入層交換機(jī)、匯聚層交換機(jī)和核心層交換機(jī)。 功能的可擴(kuò)展性是園區(qū)網(wǎng)隨著發(fā)展提供增值業(yè)務(wù)的基礎(chǔ)。需要有完整的安全策略控制體系來實(shí)現(xiàn)企業(yè)園區(qū)網(wǎng)的安全控制。傳統(tǒng)園區(qū)網(wǎng)建設(shè)初期往往面臨如下問題： (一 ) 網(wǎng)絡(luò)架構(gòu)較為混亂，不便于擴(kuò)容和維護(hù)管理 ： 園區(qū)網(wǎng)在建設(shè)初期，設(shè)備和光纖 /電纜隨意布放，缺乏統(tǒng)一的網(wǎng)絡(luò)分層規(guī)劃管理，網(wǎng)絡(luò)拓?fù)湎鄬靵y，不便于對網(wǎng)絡(luò)性能瓶頸進(jìn)行正確評估和有效擴(kuò)容，給日常網(wǎng)絡(luò)管理也帶來很大難度。 (五 ) 缺乏簡單有效的網(wǎng)絡(luò)管理系統(tǒng)，企業(yè) IT網(wǎng)絡(luò)運(yùn)維部門面臨很大壓力 ： 當(dāng)前，企業(yè)網(wǎng) IT 運(yùn)維部門面臨很大的網(wǎng)絡(luò)運(yùn)維壓力，來自于園區(qū)網(wǎng)內(nèi)外部的安全事件頻發(fā)、網(wǎng)絡(luò)可華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)總體系統(tǒng)規(guī)劃設(shè)計 第 6 頁 共 60 頁 靠性低引起的網(wǎng)絡(luò)業(yè)務(wù)中斷現(xiàn)象，網(wǎng)絡(luò)故障診斷、分析定位過程對于 IT 運(yùn)維人員的技術(shù)能力和經(jīng)驗(yàn)水平要求較高，缺乏簡單有效 /低成本的圖形化網(wǎng)管工具、進(jìn)行實(shí)時網(wǎng)絡(luò)拓?fù)滹@示、狀態(tài)監(jiān)控和各種故障事件預(yù)警 /告警展示。 可采用交換機(jī)的集群或者堆疊技術(shù)，在不降低網(wǎng)絡(luò)可靠性的前提下，減化網(wǎng)絡(luò)架構(gòu)。 典型園區(qū)網(wǎng)的重要特征是不存在網(wǎng)絡(luò)單點(diǎn)故障，交換機(jī)設(shè)備和鏈路都存在冗余備份，接入交換機(jī)與核心交換機(jī)通過雙規(guī)或環(huán)網(wǎng)相連接，匯聚交換機(jī)雙規(guī)接入核心交換機(jī)，交換機(jī)之間采用 TRUNK 鏈路保證鏈路級可靠性。 接入層 接入層交換機(jī)一般部署在樓道的網(wǎng)絡(luò)機(jī)柜中，接入園區(qū)網(wǎng)用戶（ PC 機(jī)或服務(wù)器），提供二層交換機(jī)功能，也支持三層接入功能（接入交換機(jī)為三層交換機(jī)）。 推薦使用 S9300 作為園區(qū)核心層交換機(jī)。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計 第 13 頁 共 60 頁 ? 二三層網(wǎng)絡(luò)分界點(diǎn)（用戶網(wǎng)關(guān)）設(shè)置在接入交換機(jī) 接入交換機(jī)作為用戶的二三層分界點(diǎn)（網(wǎng)關(guān)設(shè)備），即三層到邊緣的園區(qū)網(wǎng)架構(gòu)，接入交換機(jī)到匯聚交換機(jī)、匯聚交換機(jī)到核心交換機(jī)之間都是三層網(wǎng)絡(luò)，運(yùn)行 OSPF 等路由協(xié)議，整個企業(yè)園區(qū)是全路由型網(wǎng)絡(luò)。兩臺匯聚交換機(jī)運(yùn)行 VRRP（ BFD+VRRP）協(xié)議確定主備用戶網(wǎng)關(guān)， VRRP 報文直接在匯聚交換機(jī)直連的 TRUNK 鏈路上收發(fā)。 三角型組網(wǎng)方案的優(yōu)點(diǎn)是：二層接入網(wǎng)不存在環(huán)路，不需要配置相對復(fù)雜的環(huán)網(wǎng)保護(hù)協(xié)議（ STP/RSTP/MSTP/RRPP）； Smart Link 故障檢測和保護(hù)倒 換速度快（ 200～ 400ms）；支持園區(qū)網(wǎng)園區(qū)不同樓層的用戶可以共用同一個 IP 地址網(wǎng)段。設(shè)備虛擬化通過跨設(shè)備的 TRUNK 鏈路，提升鏈路級可靠性，并且流量可以均勻分布在華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 19 頁 共 60 頁 TRUNK 成員鏈路上，提高鏈路帶寬利用率，條或多條鏈路故障后 ,流量自動切換到其他正常的鏈路。 ARP 攻擊與此類似，通過攻擊報文來更改 MAC 與 IP 地址的綁定，從而重新定向流量。 2) 快速的故障收斂 故障收斂時間可以控制在 1ms, 大大降低了網(wǎng)絡(luò)鏈路 /節(jié)點(diǎn)的故障，對業(yè)務(wù)的影響。相對于接口堆疊的方式，節(jié)省了 1～ 2 個接口槽位。 ? 簡化網(wǎng)絡(luò)運(yùn)行 iStack 形成的虛擬設(shè)備中運(yùn)行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運(yùn)行的，例如路由協(xié)議會作為單一設(shè)備統(tǒng)一計算。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 27 頁 共 60 頁 園區(qū)接入安全 規(guī)劃 設(shè)計 圖 52 網(wǎng)絡(luò)準(zhǔn)入控制 NAC 企業(yè)網(wǎng)交換機(jī)與華為賽門鐵克 的 NAC 方案配套，實(shí)現(xiàn)對接入用戶的身份認(rèn)證、終端健康檢查，并實(shí)現(xiàn)基于用戶角色的差異化權(quán)限控制。 ? 隔離不符合安全策略的用戶終端，園區(qū)交換機(jī)接收到安全策略服務(wù)器下發(fā)的隔離指令后，可以通過 VLAN 或 ACL 方式限制用戶的訪問權(quán)限；同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 33 頁 共 60 頁 園區(qū)網(wǎng)絡(luò)監(jiān)管 /監(jiān)控 規(guī)劃 設(shè)計 防 IP/MAC 地址盜用和 ARP 中間人攻擊 ? 防 IP/MAC地址盜用 DHCP Snooping 技術(shù)是 DHCP 安全特性，通過建立和維護(hù) DHCP Snooping 綁定表過濾不可信 任的 DHCP 信息，這些信息是指來自不信任區(qū)域的 DHCP 信息。此時園區(qū)交換機(jī)檢測過濾 ARP 請求響應(yīng)報文中的源 MAC、源 IP 是否可以匹配上述綁定表，不能匹配則認(rèn)為是仿冒網(wǎng)關(guān)回應(yīng)的 ARP 響應(yīng)報文，予以丟棄，從而可以有效實(shí)現(xiàn)防 御 ARP中間人 /網(wǎng)關(guān) ARP 仿冒欺騙攻擊行為。當(dāng)接口上觸發(fā)的ARP miss 超過設(shè) 置的閾值時，接口上的 ARP miss 不再處理，直接丟棄。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 36 頁 共 60 頁 廣播 /組播報文抑制 攻擊者不停地向園區(qū)網(wǎng)發(fā)送大量惡意的廣播報文，惡意廣播報文占據(jù)了大量的帶寬，傳統(tǒng)的廣播風(fēng)暴抑制無法識別用戶 VLAN，將導(dǎo)致正常的廣播流量一并被交換機(jī)丟棄。建議通過匯聚交換機(jī)上集成防火墻模塊（單板）來實(shí)現(xiàn)園區(qū)內(nèi)部的邊界防御功能。如下圖所示，可以通過防火墻支持虛擬化實(shí)現(xiàn)上述需求，一個物理防火墻對資源進(jìn)行劃分和隔離，分配給企業(yè)內(nèi)不同的部門使用，虛擬防火墻直接互相獨(dú)立，就好像獨(dú)立物理的防火墻一樣，進(jìn)行獨(dú)立配置和控制。 華為 S9300 交換機(jī)內(nèi)置防 火墻模塊上的 NAT 功能， 支持上述企業(yè)園區(qū)網(wǎng) NAT 需求，包括： 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 41 頁 共 60 頁 ? 1 對 1 的 IP 地址轉(zhuǎn)換 ? PAT 方式的多對多的 IP 地址轉(zhuǎn)換：每板地址池： 1K，地址池中地址個數(shù)： 255 ? NAT Server 功能 ,支持每板 1K 個 Server ? ALG 功能包括 DNS、 FTP、 TFTP、 ICMP、 RTSP、 SIP、 、 MSN 等 ? NAT 多實(shí)例 園區(qū)網(wǎng)出口安全 規(guī)劃 設(shè)計 隨著現(xiàn)代社會網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)日益發(fā)展擴(kuò)大，辦事處、分支機(jī)構(gòu)以及商業(yè)合作伙伴逐步增多，如何將這些小型的辦公網(wǎng)絡(luò)和企業(yè)總部網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)靈活而有效的互聯(lián)，并且與整個企業(yè)網(wǎng)絡(luò)安全方案有機(jī)融合，提高企業(yè)信息化程度，優(yōu)化商業(yè)運(yùn)作效率，成為企業(yè) IT 網(wǎng)絡(luò)設(shè)計亟待解決的問題；大量普及的 SOHO 網(wǎng)絡(luò)、小型辦公網(wǎng)絡(luò)、智能家居網(wǎng)絡(luò)也越來越注重接入的便捷性和網(wǎng)絡(luò)安全性。 ? 網(wǎng)絡(luò)管理： 實(shí)現(xiàn)了對交換機(jī)、路由器、防火墻等設(shè)備的全方位管理，提供了豐富的拓?fù)?、配置、資產(chǎn)、故障、性能、事件、流量、報表等網(wǎng)絡(luò)管理功能。 ? 面向維護(hù)管理人員：將人、技術(shù)與流程進(jìn)行有效地融合，實(shí)現(xiàn)日常運(yùn)維工作的自動化、信息化和標(biāo)準(zhǔn)化，實(shí)時展現(xiàn)當(dāng)前企業(yè) IT 系統(tǒng)的運(yùn)行狀態(tài)及趨勢，幫助管理人員快速定位問題，修復(fù)故障，保障業(yè)務(wù)系統(tǒng)的穩(wěn)定性，知識庫能降低 IT 運(yùn)維管理對個人的依賴。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)網(wǎng)管系統(tǒng)方案規(guī)劃設(shè)計 第 43 頁 共 60 頁 6 園區(qū)網(wǎng)絡(luò) 網(wǎng)管