【正文】 ............................... 19 設(shè)備自身安全 ............................................................................................................................ 20 園區(qū)網(wǎng)絡(luò)交換機虛擬化規(guī)劃設(shè)計 .................................................................................................. 21 匯聚交換機的集群 CSS(Cluster Switch Switching) ............................................................. 21 接入交換機的堆疊 iStack ....................................................................................................... 24 5 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 .................................................................................................................... 26 園區(qū)網(wǎng)安全方案總體規(guī)劃設(shè)計 ...................................................................................................... 26 園區(qū)接入安全規(guī)劃設(shè)計 .................................................................................................................... 27 園區(qū)網(wǎng)絡(luò)監(jiān)管 /監(jiān)控 規(guī)劃設(shè)計 ........................................................................................................ 33 防 IP/MAC 地址盜用和 ARP 中間人攻擊 ............................................................................. 33 防 IP/MAC 地址掃描攻擊 ........................................................................................................ 34 廣播 /組播報文抑制 ................................................................................................................. 36 園區(qū)網(wǎng)邊界防御 規(guī)劃設(shè)計 .............................................................................................................. 36 防火墻部署規(guī)劃設(shè)計 ............................................................................................................... 36 防火墻功能規(guī)劃設(shè)計 ............................................................................................................... 37 防火墻性能選 擇 ........................................................................................................................ 38 虛擬防火墻規(guī)劃設(shè)計 ............................................................................................................... 39 NAT 規(guī)劃設(shè)計 ................................................................................................................................. 40 園區(qū)網(wǎng)出口安全規(guī)劃設(shè)計 ............................................................................................................... 41 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 第 3 頁 共 60 頁 6 園區(qū)網(wǎng)絡(luò)網(wǎng)管系統(tǒng)方案 規(guī)劃設(shè)計 ........................................................................................................... 43 網(wǎng)管系統(tǒng)概述 ..................................................................................................................................... 43 系統(tǒng)優(yōu)勢介紹 ..................................................................................................................................... 44 網(wǎng)絡(luò)管理優(yōu)勢功能 ................................................................................................................... 45 網(wǎng)絡(luò)流量分析器優(yōu)勢功能 ...................................................................................................... 46 認證計費優(yōu)勢功能 ................................................................................................................... 48 網(wǎng)管系統(tǒng)部署 ..................................................................................................................................... 50 集中式網(wǎng)管系統(tǒng)部署 ............................................................................................................... 50 分布式網(wǎng)管系統(tǒng)部署 ............................................................................................................... 53 7 園區(qū)網(wǎng)絡(luò)設(shè)備介紹 ...................................................................................................................................... 55 園區(qū)匯聚 /核心交換機 QUIDWAY S9300........................................................................................... 55 園區(qū)接入交換機 ................................................................................................................................. 57 Quidway S5300 系列交換機 ....................................................................................................... 57 Quidway S3300 系列交換機 ....................................................................................................... 59 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 項目概述 第 4 頁 共 60 頁 1 項目概述 根據(jù)實際情況增加項目介紹 項目背景 項目目標 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)總體系統(tǒng)規(guī)劃設(shè)計 第 5 頁 共 60 頁 2 園區(qū) 總體系統(tǒng) 規(guī)劃 設(shè)計 需求分析 隨著企業(yè)信息化建設(shè)不斷深入，企業(yè)的生產(chǎn)業(yè)務(wù)系統(tǒng)、經(jīng)營管理系統(tǒng)、辦公自動化系統(tǒng)均得到大力發(fā)展，對于企業(yè)園區(qū)網(wǎng)的建設(shè)要求越來越高。 設(shè)計原則 (一 ) 安全性 ： 安全性是企業(yè)園區(qū)網(wǎng)建設(shè)中的關(guān)鍵，它包括物理空間的安全控制及網(wǎng)絡(luò)的安全控制。 在園區(qū)出口層、核心層、匯聚層的設(shè)備都采用模塊化設(shè)計，可根據(jù)園區(qū)網(wǎng)的發(fā)展進行靈活擴展。 經(jīng)濟型的園區(qū)網(wǎng)匯聚層交換機仍然可通過模塊化（業(yè)務(wù)單板）方式提供 WLAN AC 控制器、防火墻、負載均衡器等增值業(yè)務(wù)功能。另外接入交換機部署在樓道網(wǎng)絡(luò)機柜，數(shù) 量大，對于成本、功耗和易管理維護等特性要求較高。推薦華為 AR 和 SRG系列路由器作為企業(yè)出口路由器。 【缺點】 1) 交換機成本相對較高：相對與二層接入交換機，成本較高； 2) 接入層為三層網(wǎng)絡(luò)，網(wǎng)絡(luò)故障路由收斂速度相對較慢。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 16 頁 共 60 頁 口子型組網(wǎng)方案的優(yōu)點是，園區(qū)網(wǎng)各個樓層接入交換機可以串在一起，與匯聚交換機組成二層環(huán)網(wǎng)，匯聚交換機統(tǒng)一為各樓層接入交換機下的用戶分配 IP 地址，實現(xiàn)園區(qū)不同樓層的用戶可以共用同一個 IP 地址網(wǎng)段； 該組網(wǎng)方案的缺點是接入層網(wǎng)絡(luò)需要部署較為復(fù)雜的二層環(huán)網(wǎng)協(xié)議、網(wǎng)絡(luò)配置和維護較為復(fù)雜。 ? 可靠性組網(wǎng)方案 3： U 字型組網(wǎng) 圖 44 U 字型組網(wǎng) 園區(qū)網(wǎng)匯聚交換機之間通過純?nèi)龑渔溌坊ミB，無直連二層鏈路。網(wǎng)絡(luò)管理和維護難度大大降低，此方案適應(yīng)面廣，擴展性強，是未來園區(qū)網(wǎng)的發(fā)展趨勢。 華為全系列交換機支持黑洞 MAC功能，園區(qū)交換機收到報文時比較報文目的 MAC地址，若與黑洞 MAC 表項相同則丟棄該報文。 4) 擴容方便 保護用戶投資。從上圖可以看出，接口板堆疊方式需要經(jīng)過兩個堆疊接口板轉(zhuǎn)發(fā)，處理復(fù)雜度增加；另外，接口板的硬件可靠性也比交換網(wǎng)低。 ? 強大的網(wǎng)絡(luò)擴展能力 通過增加成員設(shè)備，可以輕松自如的擴展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。 ? 檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補丁等信息；同時提供與防病 毒客戶端聯(lián)動的接口，實現(xiàn)與第三方防病毒客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息，這些信息將被傳遞到安全策略服務(wù)器，執(zhí)行端點準入的判斷與控制。 根據(jù)用戶接入安全控制范圍需要，作為 NAC 網(wǎng)絡(luò)訪問控制設(shè)備的交換機可以部署在園區(qū)接入層、匯聚層，設(shè)置可部署在核心層、僅控制用戶訪問園區(qū)外部網(wǎng)絡(luò)的權(quán)限。 園區(qū)交換機開啟 DHCPSnooping 后，會對 DHCP 報 文進行偵聽，并可以從接收到的DHCP Request 或 DHCP Ack 報文中提取并記錄 IP 地址和 MAC 地址信息。當攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時，觸發(fā) ARP miss，使網(wǎng)絡(luò)設(shè)備給該網(wǎng)段下的每個地址發(fā)送 ARP 報文，地址不存在的話，還需要發(fā)送目的主機不可達報文。如果 ARP miss的速率超過設(shè)定的閾值，則下發(fā) ACL將帶有此源 IP 的報文進行丟棄，過一段時間后再允許通過。可基于端口或 VLAN 限制廣播報文流量百分比或速率閾值。 防火墻本身需要保證高可靠性，需要考慮防火墻的冗余設(shè)計，支持Active/Active HA 設(shè)計方式，即交換機內(nèi)集成的多塊防火墻板卡支持負載分擔(dān)和主備模