【正文】 都不會(huì)出現(xiàn)負(fù)載過高的狀況，這種保護(hù)機(jī)制就是 CPU Protect Policy，簡稱 CPP。從現(xiàn)有的數(shù)據(jù)幀實(shí)現(xiàn)的流程來看，缺乏從流的主干上考慮實(shí)施防攻擊保護(hù)。NFPP 所實(shí)現(xiàn)的防攻擊技術(shù)如 ARP 防攻擊、ICMP 防攻擊都集中在 NFPP 配置模式下進(jìn)行配置，且對各種類型防攻擊的配置基本相仿，使得用戶只須熟悉其中一種配置就可以了。同時(shí)，給網(wǎng)絡(luò)帶來設(shè)備硬件級(jí)別的安全，而不會(huì)影響數(shù)據(jù)的轉(zhuǎn)發(fā)。 入網(wǎng)主機(jī)安全園區(qū)網(wǎng)內(nèi)，主機(jī)的安全問題最為常見，也是大部分安全問題源頭，主機(jī)安全涉及到統(tǒng)一身份認(rèn)證和主機(jī)安全防護(hù)體系兩大部分。自動(dòng)進(jìn)行 ARP 可信任的列表綁定實(shí)現(xiàn)了 ARP 病毒的全面防御，徹底地解決了ARP 病毒泛濫的問題?？梢?4 / 37及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，發(fā)現(xiàn)安全事件的前兆，為網(wǎng)絡(luò)中心提供決策的數(shù)據(jù)。因此，對于 XX 企業(yè)而言，無線網(wǎng)絡(luò)的安全必須放在重要位置，可以從以下幾個(gè)方面考慮：4) 用戶接入認(rèn)證的控制XX 企業(yè)園區(qū)網(wǎng)建成后的無線網(wǎng)絡(luò)必須完全融合進(jìn)該認(rèn)證系統(tǒng)中，針對不同的用戶開設(shè)不同的認(rèn)證權(quán)限。因此，針對本次的無線網(wǎng)絡(luò)設(shè)計(jì)原則中，要求無線網(wǎng)絡(luò)能夠?qū)崿F(xiàn)對所有的無線接入點(diǎn)功能的配置和管理、無線入侵監(jiān)控、無線終端追蹤定位、無線電波傳輸分析的工作模式。 設(shè)計(jì)目標(biāo)對于 XX 企業(yè)整體園區(qū)重點(diǎn)區(qū)域無線網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)，應(yīng)著眼于高效、穩(wěn)定、安全的總體設(shè)計(jì)目標(biāo)，同時(shí)易于使用、用戶界面統(tǒng)一、標(biāo)準(zhǔn)；易于安裝、維護(hù)和管理，網(wǎng)絡(luò)運(yùn)行質(zhì)量高；開放性好，便于移植、擴(kuò)展和推廣；要在幾年內(nèi)保持解決方案與技術(shù)上的領(lǐng)先，為用戶提供一個(gè)靈活的移動(dòng)教學(xué)和辦公的平臺(tái), 對用戶和無線網(wǎng)絡(luò)進(jìn)行有效的管理，構(gòu)建了一個(gè)穩(wěn)定的、可拓展的無線園區(qū)網(wǎng)環(huán)境，以此作為園區(qū)有線網(wǎng)絡(luò)重要輔助網(wǎng)絡(luò)和補(bǔ)充。因此企業(yè)無線網(wǎng)絡(luò)信號(hào)將選擇 ，在建設(shè)網(wǎng)絡(luò)的時(shí)候，充分考慮到網(wǎng)絡(luò)的可擴(kuò)展性，以及兼容性。通過分布式聯(lián)動(dòng)的 web 認(rèn)證，不但可以延續(xù)原有的 web 認(rèn)證方式，對用戶完全透明，還可以利用智能無線交換機(jī)強(qiáng)大的用戶安全行為策略功能，針對不同的用戶名分配不同的訪問權(quán)限和行為控制，保護(hù)無線網(wǎng)絡(luò)訪問安全。另外，對于室內(nèi)、外型 AP 產(chǎn)品，由于其開放于公共環(huán)境，面對的是所有用戶群體，對不同的用戶群體的權(quán)限和身份識(shí)別則成為必須的功能。辦公區(qū)室內(nèi)區(qū)域無線規(guī)劃31 / 37說明：根據(jù)各區(qū)域的實(shí)際規(guī)模以及大小，部署相應(yīng)的 AP 數(shù)。無線網(wǎng)絡(luò)的建成，可以讓全園區(qū)所有空曠地帶均可以成為將來的應(yīng)急辦公區(qū)域。因此，本方案中的智能無線交換機(jī)產(chǎn)品可以充分發(fā)揮集中管理功能，對全網(wǎng)智能無線接入點(diǎn)的行為和用戶信息統(tǒng)一監(jiān)控和管理，園區(qū)網(wǎng)絡(luò)管理人員只需在智能無線交換機(jī)上就可開通、管理、維護(hù)所有處于接入層的智能無線接入點(diǎn)設(shè)備，包括無線電波頻譜、無線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶的訪問策略。交換機(jī)智能 支持內(nèi)嵌數(shù)百個(gè)事件觸發(fā)器，在滿足條件后自動(dòng)執(zhí)行預(yù)先定義腳本程序，并發(fā)出告警。數(shù)據(jù)線涌浪沖擊: 2級(jí)試驗(yàn)(1kV)纜基抗射頻試驗(yàn)標(biāo)準(zhǔn) EN 6100046 3級(jí)試驗(yàn)[ 10 V (150 kHz 80 MHz)]Impulseshaped magic fields。/3/9；CLI。如電子教務(wù)系統(tǒng)、WIFI 語音系統(tǒng)、視頻33 / 37監(jiān)控系統(tǒng)、RFID 定位系統(tǒng)等一系列的增值應(yīng)用系統(tǒng)的開展提供了一個(gè)最佳平臺(tái)。有線無線融合統(tǒng)一的園區(qū)網(wǎng)本次無線園區(qū)網(wǎng)建設(shè)將考慮到與現(xiàn)有的完整的有線網(wǎng)絡(luò)進(jìn)行融合，充分考慮到現(xiàn)有的園區(qū)網(wǎng)認(rèn)證系統(tǒng)、業(yè)務(wù)系統(tǒng)的融合。 無線網(wǎng)絡(luò)建設(shè)后的目標(biāo)企業(yè)無線園區(qū)網(wǎng)將來建成后，將會(huì)躋身于全國無線園區(qū)網(wǎng)的先進(jìn)行列，極大地提供企業(yè)的信息化建設(shè)水平與業(yè)界的地位?；谝陨系男枨螅髽I(yè)要無線規(guī)劃時(shí)采用的 AP 及控制器，均可支持獨(dú)立的 VLAN，并可在每個(gè) VLAN 內(nèi)實(shí)現(xiàn)用戶物理隔離，并可以對每個(gè) VLAN 實(shí)現(xiàn)單獨(dú)的 SSID 分配、WEP 和 WPA 加密，以及 認(rèn)證。其中，SSID、WEP、WPA、VLAN 等一系列技術(shù)的運(yùn)用，將有效的提高無線網(wǎng)絡(luò)的安全防御能力。28 / 37利用先進(jìn)的智能無線交換網(wǎng)絡(luò)架構(gòu)，由于所有用戶信息并不保存在本地的無線接入點(diǎn)中，而是全部集中在無線控制器上，因此無論是單臺(tái)無線控制器還是多臺(tái)無線控制器的集群體，包括連接狀態(tài)、認(rèn)證狀態(tài)、IP 地址分配信息、加密驗(yàn)證狀態(tài)等用戶信息總是實(shí)時(shí)存在的，即便是無線用戶跨網(wǎng)段移動(dòng)，還是會(huì)延續(xù)原有的 IP 地址、認(rèn)證與加密方式，不存在重新獲取的必要，因此也不會(huì)中斷連接。XX 企業(yè)園區(qū)無線網(wǎng)絡(luò)總體建設(shè)需求根據(jù) XX 企業(yè)的網(wǎng)絡(luò)建設(shè)發(fā)展，無線網(wǎng)絡(luò)建設(shè)將完成行政辦公區(qū)的會(huì)議室、學(xué)術(shù)報(bào)告廳、演播大廳、食堂等重點(diǎn)區(qū)域的室內(nèi)無線覆蓋，以及完成園區(qū)大部27 / 37分室外區(qū)域的覆蓋。即便是未來的 無線技術(shù)的成熟之后，也只要增加相應(yīng)的接入點(diǎn)產(chǎn)品即可，無需改變整個(gè)無線網(wǎng)絡(luò)架構(gòu)。6) 受保護(hù)的無線數(shù)據(jù)傳輸無線網(wǎng)絡(luò)安全事件往往會(huì)發(fā)生在數(shù)據(jù)傳輸階段，因此，針對建成的無線網(wǎng)絡(luò)，必須能夠同時(shí)滿足合法的無線用戶與無線接入點(diǎn)的數(shù)據(jù)傳輸?shù)陌踩裕约盁o線接入點(diǎn)與上行網(wǎng)絡(luò)的數(shù)據(jù)傳輸?shù)陌踩?。同時(shí)能夠清晰提供 NAT 轉(zhuǎn)換日志，滿足公安部 82 令的行政要求：詳細(xì)的NAT 和訪問記錄信息。園區(qū)網(wǎng)的安全建設(shè)中，數(shù)據(jù)安全是一個(gè)不可忽視的方面。用戶只有符合這些預(yù)先設(shè)定的認(rèn)證校驗(yàn)信息，才可以通過認(rèn)證；確保了用戶的主機(jī)身份合法，安全接入；2) 園區(qū)網(wǎng)統(tǒng)主機(jī)安全防護(hù)系統(tǒng)：23 / 37園區(qū)網(wǎng)主機(jī)防護(hù)體系可以實(shí)現(xiàn)多種用戶主機(jī)防護(hù)的內(nèi)容，時(shí)刻保證用戶的主機(jī)的完整性、健康性。該 VPN 網(wǎng)關(guān)為出口區(qū)域的安全防火墻，該設(shè)備工作在透明模式也可以作為 VPN 網(wǎng)關(guān)使用。? 整網(wǎng)設(shè)備聯(lián)動(dòng)結(jié)合銳捷網(wǎng)絡(luò)的 IPFIX 流量監(jiān)控技術(shù)，可以基于端口進(jìn)行流量檢測，將流量發(fā)送到上層網(wǎng)絡(luò)管理中心。NFPP 技術(shù)能夠?qū)υO(shè)備本身實(shí)施保護(hù)，通過對報(bào)文流進(jìn)行限制、隔離，以保證設(shè)備及網(wǎng)絡(luò)可靠、安全、有效地運(yùn)行。隨著市場應(yīng)用的逐漸增多，對于 CPU 保護(hù)提出了更高的要求，第二種 cpp 應(yīng)用需要對 trap 到 CPU 的管理報(bào)文進(jìn)行分類處理，第一類是作為維護(hù)基礎(chǔ)協(xié)議的 BPDU、GVRP 和 VRRP，第二類是作為維護(hù)路由協(xié)議的 PIM，OSPF，IGMP，RIP 報(bào)文，第三類是作為需要 CPU 處理的 IP 數(shù)據(jù)報(bào)文，第四類是堆疊中的管理報(bào)文，通過對這些報(bào)文的分級(jí)處理，確定優(yōu)先關(guān)系，確保在 CPU 高負(fù)載的情況下仍能保證基本的網(wǎng)絡(luò)拓?fù)浞€(wěn)定。安全網(wǎng)絡(luò)方案設(shè)計(jì)依據(jù)國家信息安全等級(jí)保護(hù)體系的要求，全面規(guī)劃園區(qū)網(wǎng)的安全建設(shè)。 ，對每一個(gè)試圖對接入內(nèi)網(wǎng)的用戶，都要經(jīng)過安全系統(tǒng)的身份合法性驗(yàn)證，包括用戶的賬號(hào)、密碼、IP 等關(guān)鍵信息。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。 5) 技術(shù)與行政管理相結(jié)合原則 安全體系是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此，信息安全系統(tǒng)應(yīng)該包括安全防護(hù)機(jī)制、安全檢測機(jī)制和安全恢復(fù)機(jī)制。? 無法進(jìn)行有效的身份管理園區(qū)網(wǎng)缺少用戶身份認(rèn)證機(jī)制，外來用戶、非法用戶隨意接入；缺少可控的身份集中認(rèn)證系統(tǒng)，對用戶進(jìn)行管理難度大；用戶賬號(hào)存在被盜用的風(fēng)險(xiǎn)，安全審計(jì)無法有效進(jìn)行。15 / 37核心設(shè)備部署于中心機(jī)房、接入設(shè)備部署于各樓層弱電井。如果說傳統(tǒng)因特網(wǎng)實(shí)現(xiàn)了計(jì)算機(jī)硬件的連通，Web 實(shí)現(xiàn)了網(wǎng)頁的連通，網(wǎng)格則是試圖實(shí)現(xiàn)互聯(lián)網(wǎng)上所有資源的全面連通，即把整個(gè)因特網(wǎng)整合成一臺(tái)巨大的超級(jí)計(jì)算機(jī)，實(shí)現(xiàn)計(jì)算資源、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、IPv6 設(shè)備資源等資源的全面共享。高清電視廣播僅需要保持固定的信號(hào)質(zhì)量，對延時(shí)并不敏感，而視頻會(huì)議由于需要雙向交互，而過多的延時(shí)和抖動(dòng)會(huì)增加語音重疊、視音頻不同步、交互等待時(shí)間過長等問題的出現(xiàn)。園區(qū)網(wǎng)中的所有參與視頻接收的用戶同時(shí)也將成為視頻數(shù)據(jù)的提供者，用戶在接收視頻數(shù)據(jù)的同時(shí)，也在利用空閑的資源為其他用戶提供視頻數(shù)據(jù)，充分的保證了高質(zhì)量視頻數(shù)據(jù)實(shí)時(shí)的分發(fā)到每一個(gè)需要的用戶端。視頻直播應(yīng)用利用 IPv6 組播協(xié)議開展高清視頻和電視節(jié)目的傳送，使每一個(gè)用戶可以享12 / 37受到高清視頻服務(wù)，更充分的享受到下一代互聯(lián)網(wǎng)帶來的利益。? 單點(diǎn)登錄、應(yīng)用漫游在基于應(yīng)用的訪問模式下，訪問控制由各資源系統(tǒng)獨(dú)立完成。8) 要考慮 IPv6 網(wǎng)絡(luò)對用戶認(rèn)證方式的支持 目前在 IPv4 網(wǎng)絡(luò)中，各企業(yè)針對園區(qū)網(wǎng)都有各自不同的認(rèn)證方案，在設(shè)計(jì)IPv6 網(wǎng)絡(luò)方案時(shí)要充分考慮對認(rèn)證方案的支持。 2) 網(wǎng)絡(luò)要具有擴(kuò)展性IPv6 技術(shù)依然在發(fā)展之中，IPv6 網(wǎng)絡(luò)的建設(shè)也不可能一步到位，會(huì)是一個(gè)逐步建設(shè)完善的過程，因此當(dāng)前的 IPv6 網(wǎng)絡(luò)方案要易于擴(kuò)展，方便將來的網(wǎng)絡(luò)升級(jí)。容易控制管理9 / 37因?yàn)樯暇W(wǎng)用戶很多，如何管理好他們的通信，做到既保證一定的用戶通信質(zhì)量，又合理的利用網(wǎng)絡(luò)資源，是建好一個(gè)網(wǎng)絡(luò)所面臨的首要問題。要采用最先進(jìn)的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來的發(fā)展。2. 要以服務(wù)為中心，以人（用戶）為本，以提高 XX 企業(yè)核心競爭力；建設(shè)智能融合、面向服務(wù)的新一代數(shù)字園區(qū)為目標(biāo)。6 / 37 網(wǎng)絡(luò)的分層設(shè)計(jì)原則從邏輯上，大型網(wǎng)絡(luò)可分為核心層、分布層和接入層，每層都有其特點(diǎn)。從園區(qū)網(wǎng)安全方面考慮，本次信息化建設(shè)必須要有安全設(shè)備來保證網(wǎng)絡(luò)安全。此次項(xiàng)目中，貴單位基于網(wǎng)絡(luò)子系統(tǒng)就包括：網(wǎng)絡(luò)設(shè)備子系統(tǒng)、周界監(jiān)控子系統(tǒng)、無線網(wǎng)絡(luò)系統(tǒng)等。XX 企業(yè)新園區(qū)信息化建設(shè)技術(shù)方案成都思藍(lán)網(wǎng)絡(luò)科技有限公司2 / 37目 錄前 言 ................................................................................................................................................3網(wǎng)絡(luò)子系統(tǒng) ........................................................................................................................................4 XX 企業(yè)新園區(qū)建設(shè)背景 .....................................................................................................4 用戶需求分析 .......................................................................................................................4 網(wǎng)絡(luò)的分層設(shè)計(jì)原則 ...........................................................................................................6 核心層 Core Layer .......................................................................................................6 分布層 Distribution Layer............................................................................................6 接入層 Access Layer ....................................................................................................7 網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì) ...............................................................................................................7 XX 企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)目標(biāo) ......................................