【文章內(nèi)容簡介】 現(xiàn)數(shù)據(jù)中心高轉(zhuǎn)發(fā)性能的效果。并且可以通進擴展 防火墻模塊等方面，實現(xiàn)數(shù)據(jù)中心的安全。 無線網(wǎng)絡解決方案 隨著以太網(wǎng)的廣泛應用，因特網(wǎng)的日益普及，以及移動終端的不斷增加，人 們對移動 IP 接入的需求迅速增長。無線局域網(wǎng) WLAN(Wireless Local Area Network )作為有線以太網(wǎng)的延伸，一定程度上滿足了這種需求。由于無線網(wǎng)絡的部署靈活性高，所以受到很多用戶的青睞，整個無線網(wǎng)絡， WLAN 解決方案可以運行在現(xiàn)有的有線企業(yè)網(wǎng)絡的基礎上，也可以采用一個獨 立的網(wǎng)絡。它為園區(qū)提供了具有部署方便性、安全性、可擴展性的無線網(wǎng)絡，讓 用戶可以在園區(qū)中的任何可以收到無線信號的地方立即訪問各種網(wǎng)絡服務。 我們建議采用華為的無線解決方案，在核心網(wǎng)絡中部署一套無線控制器，無 線 AP 接入到接入層交換機上，各無線 AP 通過無線控制器統(tǒng)一管理。從而實現(xiàn) 易維護、易管理。 在無線網(wǎng)絡建設中，為了解決大規(guī)模部署情況下的統(tǒng)一配置、調(diào)整問題，以 及射頻的智能管理問題，現(xiàn)在無線網(wǎng)絡建設普遍都采用了瘦 AP 建網(wǎng)模式。瘦 AP 的另一個好處是實現(xiàn)了三層漫游環(huán)境下避免重新認證，從而使漫游切換時間 小于 50ms。這對于企業(yè)的移動業(yè)務，尤其是對切換時間要求最苛刻的語音業(yè)務 意義重大。 然而，隨著無線網(wǎng)絡的發(fā)展，一些新的需求也逐漸變得越來越強烈。主要有以下幾個方面： 穩(wěn)定問題： 由于 WLAN 網(wǎng)絡的組網(wǎng)設計包含無線控制器、接入交換機、無線接入點等 大量設備，在大部分情況下，還需要通過以太網(wǎng)解決供電問題，所有這些環(huán)節(jié)都 會影響校園無線網(wǎng)絡的穩(wěn)定性；同時由于無線信號的傳播深受環(huán)境影響，多徑等 問題導致無線信號在不同方向上存在非常復雜的衰減現(xiàn)象， 實際的信號覆蓋和理 想的信號衰減模型往往存在一定差異。 所以如何實時根據(jù)環(huán)境動態(tài)調(diào)整無線接入 點的信道、發(fā)射功率等也是經(jīng)常困擾無線校園管理人員的難題。 安全問題： 由于無線網(wǎng)絡的特殊性，園區(qū)無線用戶的安全問題就更加突出。對無線網(wǎng)絡 的用戶來說，所有有線網(wǎng)絡存在的安全威脅和隱患都同樣存在。同時，任何不可 信的無線設備可以在信號覆蓋范圍內(nèi)進行網(wǎng)絡接入的嘗試， 一定程度上也加劇了 無線用戶所面臨的安全隱患。 無線網(wǎng)絡的安全問題已經(jīng)不再是單一的物理層安全，也包括了用戶接入安 全、網(wǎng)絡層安全、設備安全、安全管理等多個層面上，如何能使企業(yè)無線用戶在 使用網(wǎng)絡時能夠像使用有線網(wǎng)絡一樣安全、可靠，正逐漸成為無線企業(yè)網(wǎng)絡建設 所關注的核心。 管理問題： 相對于 FAT AP 來說， 雖然 FIT AP 解決方案幫助網(wǎng)區(qū)管理人員實現(xiàn)了無線網(wǎng) 絡的靈活安裝與應用，但管理無線網(wǎng)絡卻仍然是一項非常耗時且麻煩的事情。在 無線園區(qū)網(wǎng)絡環(huán)境中尤為如此。 傳統(tǒng)的 FIT AP 解決方案由無線控制器（AC）及無線接入點（FIT AP）構成， 雖然整個無線網(wǎng)絡具有一些設備管理、安全管理功能和用戶管理功能，但是與有 線網(wǎng)絡難于統(tǒng)一，無法在整個企業(yè)范圍內(nèi)實現(xiàn)用戶管理及認證、服務質(zhì)量控制和 安全策略實施等。因此，通常引入無線網(wǎng)絡會降低安全性，整個網(wǎng)絡管理起來比 較復雜，并且維護成本也比預期高。 把網(wǎng)絡作為一個整體， 整合有線和無線網(wǎng)絡， 實現(xiàn)統(tǒng)一的網(wǎng)絡控制和管理，對于企業(yè)來說具有重要的意義。 擴展問題： WLAN 技術的發(fā)展日新月異，新技術、新標準層出不窮，除了呼之欲出的 ，在教育行業(yè)一個重要的門檻技術是 IPv6。所有的無線產(chǎn)品和解決方案 都要為未來的升級和應用做好準備。 應用問題： 隨著 WLAN 技術的逐步成熟， 市場上各種各樣的 WLAN 終端如筆記本電腦、 PDA、雙模手機、支持 WiFi 的游戲機、即拍即傳的數(shù)碼相機如雨后春筍般涌現(xiàn) 出來，同時價格越來越低，普及程度越來越高，使得無線新業(yè)務在園區(qū)網(wǎng)中的豐 富應用成為可能。 如何在無線網(wǎng)絡這個開放的平臺上開展豐富的業(yè)務是建設者必 須要考慮的問題。例如 VoWiFi、無線監(jiān)控等業(yè)務，解決了園區(qū)內(nèi)部和各園區(qū)之 間通訊費用高、無線監(jiān)控和無線多媒體教學的問題，讓無線接入變得更有價值。 華為無線網(wǎng)絡解決方案有效實現(xiàn)了有線和無線網(wǎng)絡的融合， 通過統(tǒng)一的硬件 平臺、統(tǒng)一的網(wǎng)絡管理、統(tǒng)一的用戶管理、統(tǒng)一的應用安全，為園區(qū)用戶提供安 全的無線接入。根據(jù)用戶需求，通過在華為系列交換機中加入無線控制器插卡或者使用單獨的無線控制器，就可為原有的有線網(wǎng)絡提供無線支持，還可以像擴展 和管理傳統(tǒng)有線網(wǎng)絡一樣，對無線網(wǎng)絡進行擴展和管理。 可以收到無線信號的地方立即訪問各種網(wǎng)絡服務。 ? 安全性、高 QoS 保障 華為園區(qū)網(wǎng)絡 WLAN 解決方案從用戶接入安全、網(wǎng)絡安全、設備安全等多個 方面保障無線網(wǎng)絡的安全，使園區(qū)用戶安全可靠的使用 WLAN 網(wǎng)絡。 用戶接入安全：華為園區(qū) WLAN 解決方案提供了多樣化的用戶接入認證以及 加密解決方案。 無線接入認證主要支持基于 MAC 地址認證、 認證、 Portal 認證等保證用戶安全合法的接入， 支持 WEP/TRIP/CCMP 等加密措施防范無線接入 用戶數(shù)據(jù)被盜。同時可以通過部署 VLAN 隔離、端口隔離等業(yè)務隔離技術避免用 戶間相互影響。 網(wǎng)絡安全：通過接入點對 RF 環(huán)境的不間斷掃描和監(jiān)控，防止企業(yè)受到未經(jīng) 授權的不安全的 WLAN 接入點或惡意接入點的影響。 設備安全：無線接入點 AP 提供“零配置”功能，無需在設備保存業(yè)務配置， 僅啟動的時候自動從無線控制器加載業(yè)務配置， 這樣可以避免設備丟失造成配置 泄漏而形成對無線網(wǎng)絡的安全威脅。 園區(qū) WLAN 解決方案可以通過虛擬 APamp。VLAN 構建一個單獨的訪客網(wǎng)絡為客戶、 供應商等訪客人士提供互聯(lián)網(wǎng)服務訪問權限。 對于不同 SSID 承載的用戶業(yè)務，由于無線空口資源有限，若某個 SSID 流量 過大，比如訪客訪問 Internet，則可能造成園區(qū)用戶的不能正常訪問無線網(wǎng)絡 開展業(yè)務。因此基于 SSID 的限速，可以避免其中一種業(yè)務流量過大對其他業(yè)務 造成影響。 另外，基于快速漫游技術可以實現(xiàn)園區(qū)無線用戶一次認證移動接入。用戶移 動到新的接入點時，如果用戶之前已經(jīng)認證過，則用戶此時無需再次通過安全認 證，直接接入，保證用戶業(yè)務的連續(xù)性。 ? 部署方便、擴展靈活 WLAN 網(wǎng)絡部署簡化，安裝便捷。WLAN 的安裝工作簡單，它無需施工許可證， 不需要布線或開溝挖槽。 設備的零配置部署功能可以在無線改造現(xiàn)有網(wǎng)絡的基礎 上輕松部署 WLAN。無線控制器能輕松的管理數(shù)個到數(shù)十個甚至上千個的無線接入點。 隨著無線 網(wǎng)絡的擴展，新添加的無線接入點能自動檢測到無線控制器，并下載相應的配置 信息以及策略信息，無需任何手動操作。 ? 統(tǒng)一的網(wǎng)絡管理、智能運維 統(tǒng)一的網(wǎng)絡管理設備可以實現(xiàn)有線無線網(wǎng)絡的統(tǒng)一化管理， 簡易網(wǎng)絡管理操 作，結合智能化的網(wǎng)絡運維提升了網(wǎng)絡管理效率。 無線接入點能夠監(jiān)控環(huán)境溫度變化，當環(huán)境溫度低于零下 10℃時，啟動加 熱板，確保低溫時的正常工作。而且無線接入點檢測到電壓將要無法供應的情況 下（復位或故障） ，上報該告警，描述最后的工作狀態(tài)，方便故障定位。 ? 穩(wěn)定性 華為 WLAN 穩(wěn)定性解決方案從無線控制器的可靠性，接入交換機供電的可靠 性、無線信號的可靠性這幾方面入手，極大的提高了 WLAN 網(wǎng)絡的可靠性；在實 際的使用情況來看，啟用這些措施之后，WLAN 的可靠性能夠得到明顯的提升。 ? 全面的 PoE 解決方案 PoE 設備的原理是通過非屏蔽雙絞線中四對線中的兩對線來傳輸電源，傳輸 數(shù)據(jù)的同時傳輸直流電。因為 AP 往往要求使用不間斷電源（UPS）供應電力，采 用 PoE 設備，AP 端僅僅通過一根 RJ45 網(wǎng)線與網(wǎng)絡連接即可以同時傳輸數(shù)據(jù)和 電力，因此在使用 PoE 設備的情況下，所有的 AP 都使用一個 UPS 在 PoE 設備端 進行保護。如果不使用 PoE 設備，就需要給每個 AP 配一個 UPS，而且還需要在 AP 附近安裝電源插座，增加了成本。因此使用 PoE 設備將大大降低設備成本和 管理成本。 PoE 具有非常明顯的優(yōu)勢，具體如下： 簡化安裝，降低成本，不需為每個網(wǎng)絡設備單獨提供數(shù)據(jù)和電力線纜。 靈活性提高，網(wǎng)絡裝置可被安裝在任何位置，而不需靠近一個已存在的電源 輸出口。 可靠性增強，有 SNMP 能力的 PoE 裝置，可實施遠程檢測和控制，能有效地 處理或修理裝置的耗電量和（或）失效故障。 高可靠性設計 網(wǎng)絡高可靠性設計 針對二層接入（接入交換機是二層交換機、匯聚交換機作為用戶網(wǎng)關）典型 園區(qū)網(wǎng)架構，從接入層、匯聚層、核心層來分層考慮網(wǎng)絡可靠性設計。 接 入 層 網(wǎng) 絡 是 二 層 網(wǎng) 絡 ， 接 入 交 換 機 與 匯 聚 交 換 機 之 間 通 過 Smart Link/STP/RSTP/MSTP/RRPP 保證網(wǎng)絡可靠性，同時解決二層網(wǎng)絡環(huán)路問題；匯 聚層交換機之間通過 VRRP（BFD for VRRP）協(xié)議確定用戶的主備網(wǎng)關，交換機 互聯(lián)通過 TRUNK 鏈路，保證鏈路級可靠性，匯聚交換機與接入交換機之間可通 過 DLDP 協(xié)議檢測光纖單向故障（單通故障） 。 園區(qū)網(wǎng)接入/匯聚/核心交換機通過虛擬化技術進行集群（或堆疊） ，將兩臺/ 多臺交換機虛擬化成一臺交換機， 降低網(wǎng)絡拓撲復雜度的同時， 提高網(wǎng)絡可靠性， 是未來高可靠性園區(qū)網(wǎng)的發(fā)展趨勢。 設備高可靠性設計 設備本身要具有電信級 5 個 9 的可靠性，需要網(wǎng)絡設備支持: ? 主控 1:1 備份 ? 交換網(wǎng) 1+1/1:1 兩種方式 ? DC 電源 1+1 備份；AC 電源 1+1/2+2 備份 ? 模塊化的風扇設計，高端配置支持單風扇失效 ? 無源背板，高可靠性? 獨立的設備監(jiān)控單元，和主控解耦 ? 所有模塊熱插拔 ? 完善的各種告警功能 ? 設備管理 1:1 備份 如下圖所示,隨著黑客工具的泛濫和使用的方便,使的網(wǎng)絡攻擊的成本越來越 來,但危害越來越大。這就要求具有強大靈活的自身防護功能,以不變應萬變的方法,才能抵擋日益 泛濫的網(wǎng)絡攻擊。 華為公司全S12708交換機提供攻擊 防范功能，能夠檢測出多種類型的網(wǎng)絡攻擊，并能采取相應的措施保護設備自身 及其所連接的內(nèi)部網(wǎng)絡免受惡意攻擊，保證內(nèi)部網(wǎng)絡及設備的正常運行。 華為全系列交換機支持的攻擊防范功能包括防 DDOS 攻擊、IP 欺騙攻擊、 Land 攻擊、Ping of Death 攻擊、Teardrop 攻擊、ICMP Flood 攻擊、SYN FLOOD 攻擊等。 另外，以太網(wǎng)交換機的 MAC 地址表作為二層報文轉(zhuǎn)發(fā)的核心，在受到攻擊 的時候，直接導致交換機無法正常工作。發(fā)生 MAC 地址攻擊的時候，攻擊者通 過不停的發(fā)送 MAC 地址來刷新，填充交換機的 MAC 地址表，由于MAC 地址表的規(guī)格有限，導致正常流量由于沒有正確的轉(zhuǎn)發(fā)表項而無法正常轉(zhuǎn)發(fā)。ARP 攻擊與此類似，通過攻擊報文來更改MAC與IP地址的綁定，從而重新定向流量。華為全系列交換機可以通過MAC地址與端口的綁定以及限制 端口/VLAN/VSI下MAC地址的最大學習個數(shù)可防止 MAC掃描，并通過 VLAN、 IP、 MAC 之間的任意綁定可防范 ARP 攻擊（SAI/DAI 功能）。 華為全系列交換機支持黑洞 MAC 功能，園區(qū)交換機收到報文時比較報文目 的 MAC 地址，若與黑洞 MAC 表項相同則丟棄該報文。當用戶察覺到某 MAC 地址的報文具有一定攻擊性，則可以在園區(qū)交換機上配置黑洞 MAC，從而將具 有該 MAC 地址的報文過濾掉，避免遭受攻擊。 安全方案設計 園區(qū)網(wǎng)安全方案總體設計 從園區(qū)內(nèi)網(wǎng)安全、邊界防御、園區(qū)出口傳輸安全等多緯度、多層次進行安全 設計和安全防御，對企業(yè)內(nèi)部進行安全區(qū)域劃分、隔離和權限控制，對企業(yè)外部 用戶訪問進行安全控制、數(shù)據(jù)加密，防止惡意攻擊。園區(qū)網(wǎng)全方位的安全設計方 案保證內(nèi)部、外部用戶訪問園區(qū)網(wǎng)資源的安全性。 園區(qū)內(nèi)網(wǎng)安全設計 IP/MAC 地址盜用和 ARP 中間人攻擊 1) 防 IP/MAC 地址盜用 DHCP Snooping 技術是 DHCP 安全特性，通過建立和維護 DHCP Snooping 綁定表過濾不可信任的 DHCP 信息，這些信息是指來自不信任區(qū)域的 DHCP 信 息。 DHCP Snooping 綁定表包含不信任區(qū)域的用戶 MAC 地址、 地址、 IP 租用期、 VLANID 接口等信息，DHCP Snooping 綁定表可以基于 DHCP 過程動態(tài)生成， 也可以通過靜態(tài)配置生成，此時需預先準備用戶的 IP 地址、MAC 地址、用戶所 屬 VLAN ID、用戶所屬接口等信息。 園區(qū)交換機開啟 DHCPSnooping 后，會對 DHCP 報文進行偵聽，并可以從 接收到的 DHCP Request 或 DHCP Ack 報文中提取并記錄 IP 地址和 MAC 地址信 息。另外，DHCPSnooping 允許將某個物理端口設置為信任端