【文章內(nèi)容簡(jiǎn)介】 性，支持整機(jī)休眠功能，可以為用戶提供綠色、易管理、易擴(kuò)展、低成本的千兆到桌面的解決方案。S5700LI能基于五元組、 IP優(yōu)先級(jí)、 TOS、DSCP 、IP 協(xié)議類型、ICMP類型、TCP源端口、VLAN、以太網(wǎng)幀協(xié)議類型、CoS等信息，實(shí)現(xiàn)復(fù)雜流分類功能。S5700LI支持基于流的雙速三色限速功能，每端口支持8 個(gè)優(yōu)先級(jí)隊(duì)列，支持WRR、DRR 、 PQ、WRR＋PQ 、DRR+PQ多種隊(duì)列調(diào)度算法，有效地保證話音、視頻和數(shù)據(jù)業(yè)務(wù)質(zhì)量。S5700LI提供多種安全保護(hù)功能。支持DoS（Denial of Service）類防攻擊、網(wǎng)絡(luò)的防攻擊、用戶的防攻擊等功能。其中DoS類防攻擊主要包括SYN Flood、Land、Smurf、ICMP Flood。網(wǎng)絡(luò)的防攻擊主要是指 STP的BPDU/Root 攻擊。用戶的防攻擊涉及DHCP仿冒攻擊、中間人攻擊、IP/MAC Spoofing 攻擊、DHCP request flood、改變 CHADDR 值的 DoS 攻擊等等。S5700LI支持通過(guò)建立和維護(hù)DHCP Snooping 綁定表，偵聽(tīng)接入用戶的 MAC/IP 地址、租用期、VLANID 、接口等信息，解決 DHCP 用戶的 IP 和端口跟蹤定位問(wèn)題。同時(shí)，對(duì)不符合綁定表項(xiàng)的非法報(bào)文（ARP欺騙報(bào)文、擅自修改IP 地址等）直接丟棄，有效防止黑客或攻擊者通過(guò)ARP報(bào)文實(shí)施園區(qū)網(wǎng)常見(jiàn)的“中間人”攻擊。利用DHCP Snooping 的信任端口特性還可以保證DHCP Server 的合法性。12 / 72S5700LI支持ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能，可以防止因ARP欺騙攻擊將交換機(jī) ARP表項(xiàng)占滿，導(dǎo)致正常用戶無(wú)法上網(wǎng)。同時(shí)，支持IP Source Check 特性，防止包括MAC 欺騙、IP欺騙、 MAC/IP欺騙在內(nèi)的非法地址仿冒帶來(lái)的 DOS攻擊。S5700LI支持集中式 認(rèn)證，支持用戶賬號(hào)、IP、MAC 、VLAN 、端口、客戶端是否安裝病毒防范等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略（VLAN、QoS、ACL ）的動(dòng)態(tài)下發(fā)。S5700LI支持基于端口的源 MAC地址學(xué)習(xí)限制功能，有效防止用戶源MAC欺騙沖擊設(shè)備MAC表項(xiàng)，導(dǎo)致正常用戶無(wú)法學(xué)到 MAC表而泛洪的問(wèn)題等。 接入層網(wǎng)絡(luò)隔離在接入層必須對(duì)必要的業(yè)務(wù)劃分VLAN，VLAN劃分的方法可以基于端口、基于用戶的業(yè)務(wù)等。圖 1 接入層 VLAN 劃分組網(wǎng)示意圖? 所提供接入交換機(jī)具有靈活的VLAN劃分方法；? 可以有效的防止ARP等二層攻擊；? 同時(shí)支持QinQ技術(shù)，可以突破 4K個(gè)VLAN的限制，為將來(lái)網(wǎng)絡(luò)的合理改造以及擴(kuò)容打下堅(jiān)實(shí)的基礎(chǔ)。采用QinQ技術(shù)可以提供每用戶每VLAN的組網(wǎng)方式，將VLAN終結(jié)在核心層上。13 / 72圖 2 采用 QinQ 技術(shù)隔離終端QinQ技術(shù)采用嵌套VLAN技術(shù)，突破了4K VLAN的限制，無(wú)論何種接入設(shè)備都可以滿足整個(gè)網(wǎng)絡(luò)可靠性、安全的設(shè)計(jì)，同時(shí)每個(gè)終端一個(gè)VLAN 的設(shè)計(jì)方式保證了二層方式的終端是隔離的，防止了廣播風(fēng)波、ARP病毒等對(duì)局域網(wǎng)危害很大的不安全因素的蔓延。采用這種方式的組網(wǎng)可以大大提高整網(wǎng)的可靠性和安全性，使得網(wǎng)絡(luò)對(duì)二層設(shè)備的依賴降低，并且有助于降低建設(shè)成本，因?yàn)樗械慕K端訪問(wèn)都必須經(jīng)過(guò)匯聚交換，這樣的網(wǎng)絡(luò)設(shè)計(jì)非常方便網(wǎng)絡(luò)的管理、控制，避免因?yàn)榱髁康倪^(guò)渡分散造成的安全失控。 出口設(shè)計(jì)考慮到外網(wǎng)攻擊很多，在出口部署安全網(wǎng)關(guān)，對(duì)內(nèi)外網(wǎng)進(jìn)行安全隔離，進(jìn)行NAT轉(zhuǎn)換和路由，同時(shí)防火墻提供攻擊防范和url過(guò)濾等功能，對(duì)外網(wǎng)來(lái)的攻擊進(jìn)行防御。安全網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)如下功能：1) 安全隔離：安全網(wǎng)關(guān)的安全隔離是基于安全區(qū)域，這樣的設(shè)計(jì)模型為用戶在實(shí)際使用統(tǒng)一安全網(wǎng)關(guān)的時(shí)候提供了十分良好的管理模型。華為統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的隔離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊憽?) 防 DDOS：安全網(wǎng)關(guān)產(chǎn)品根據(jù)數(shù)據(jù)報(bào)文的特征，以及 Dos 攻擊的不同手段，可以針對(duì) ICMP Flood、SYN Flood、UDP Flood 等各種 Dos 攻擊手段進(jìn)行 Dos 攻擊的防御。3) URL 過(guò)濾功能：能提供 URL 黑、白名單功能；支持前綴匹配，后綴匹配，關(guān)鍵字匹配等；支持用戶自定義 URL 功能，可自定義分類以及自定義 URL；URL 過(guò)濾響應(yīng)方式可以設(shè)置為禁止或允許，禁止方式下支持返回頁(yè)面通知，頁(yè)面內(nèi)容14 / 72可自定義；支持 URL 訪問(wèn)日志記錄，支持日志歸并； URL 分類大類 43 個(gè)，小類 127 個(gè)，URL 特征庫(kù)數(shù)量≥6500 萬(wàn)條；支持 URL 熱點(diǎn)庫(kù)功能，且熱點(diǎn)庫(kù)支持升級(jí)。4) 防火墻 NAT 轉(zhuǎn)換：在 IPV4，由于公網(wǎng) IP 少，需要防火墻提供 NAT 地址轉(zhuǎn)換，實(shí)現(xiàn)對(duì)公網(wǎng)的業(yè)務(wù)訪問(wèn)需求。需要支持包括源 IP 地址轉(zhuǎn)換、目的 IP 地址轉(zhuǎn)換、端口地址轉(zhuǎn)換、靜態(tài) IP 地址轉(zhuǎn)換、IP 地址池轉(zhuǎn)換等；支持?jǐn)U展 NAT 功能，可實(shí)現(xiàn)單個(gè)公網(wǎng) IP 的無(wú)限地址轉(zhuǎn)換；考慮到 FTP、 、SIP 等它們報(bào)文的數(shù)據(jù)部分可能包含 IP 地址或端口信息，需要支持 FTP、 、 SIP 等各種應(yīng)用協(xié)議。5) 路由：支持靜態(tài)路由、路由策略、策略路由、RIP、OSPF、BGP、MPLS、ISIS 等路由協(xié)議6) 高可靠性：支持 HRP（Huawei Redundancy Protocol）協(xié)議實(shí)現(xiàn)雙機(jī)熱備份功能，包括主備備份（Active/Standby）和負(fù)載分擔(dān)（Active/Active）兩種方式。HRP 負(fù)責(zé)在主/備設(shè)備之間備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息，從而確保主用設(shè)備出現(xiàn)故障時(shí)能由備份設(shè)備平滑地接替工作。 無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)方案 概述有線網(wǎng)絡(luò)建設(shè)經(jīng)過(guò)改造后，已初具規(guī)模， 1000Mbps 光纜敷設(shè)到全校大部分的樓宇。如何將網(wǎng)絡(luò)延伸到校園的每一個(gè)角落，為學(xué)生和教師提供一個(gè)隨時(shí)、隨地使用網(wǎng)絡(luò)的環(huán)境，是擺在我們面前的重要任務(wù)。無(wú)線接入技術(shù)與光纖接入、ADSL 接入、以太網(wǎng)接入等技術(shù)相比，具有投資少，建網(wǎng)周期短、提供業(yè)務(wù)快等優(yōu)勢(shì)。在無(wú)線接入領(lǐng)域中，固定無(wú)線接入正走向成熟，其應(yīng)用步伐不斷加快。而其中無(wú)線局域網(wǎng)技術(shù)又以其提供方便、快捷的組網(wǎng)方式等優(yōu)勢(shì)，倍受矚目。　　 因此，我們采用有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)（、）融合的策略，將網(wǎng)絡(luò)應(yīng)用延伸到各個(gè)辦公室、多媒體教室、校園活動(dòng)場(chǎng)所等空間，提供教學(xué)視頻的無(wú)線上傳及下載，方便教學(xué)工作的開展。15 / 72 無(wú)線基本概念 網(wǎng)絡(luò)架構(gòu)模型WLAN網(wǎng)絡(luò)在部署過(guò)程中，根據(jù)不同的需求有多種實(shí)現(xiàn)形式，根據(jù)網(wǎng)絡(luò)架構(gòu)分為：? 自治式架構(gòu)（即 FAT AP 或胖 AP）? 集中式架構(gòu)（即 FIT AP 或瘦 AP）自治式架構(gòu)和集中式架構(gòu)兩種網(wǎng)絡(luò)結(jié)構(gòu)比較如 表11所示。表 11 自治式架構(gòu)和集中式架構(gòu)比較表項(xiàng)目 自治式架構(gòu) 集中式架構(gòu)適用場(chǎng)景 微型企業(yè)、個(gè)人 新生方式，增強(qiáng)管理安全性 傳統(tǒng)加密、認(rèn)證方式，普通安全性基于用戶位置的安全策略，高安全性網(wǎng)絡(luò)管理 每 AP 需要單獨(dú)下發(fā)配置文件 AC 上統(tǒng)一配置，AP 本身零配置，維護(hù)簡(jiǎn)單用戶管理 類似有線，根據(jù) AP 接入的有線端口區(qū)分權(quán)限虛擬專用組方式，根據(jù)用戶名區(qū)分權(quán)限，使用靈活WLAN 組網(wǎng)規(guī)模 L2 漫游，適合小規(guī)模組網(wǎng) LL3 漫游，拓?fù)錈o(wú)關(guān)性，適合大規(guī)模組網(wǎng)增值業(yè)務(wù)能力 實(shí)現(xiàn)簡(jiǎn)單數(shù)據(jù)接入 可擴(kuò)展豐富業(yè)務(wù)自治式架構(gòu)該架構(gòu)下AP實(shí)現(xiàn)所有無(wú)線接入功能，不需要AC設(shè)備形態(tài)，如 圖12所示。圖 12 WLAN 自 治 式 架 構(gòu) 圖認(rèn) 證 服 務(wù) 器DHCP/DNS服 務(wù) 器eSight網(wǎng) 管FAT APFAT AP園 區(qū) 網(wǎng)16 / 72WLAN早期廣泛采用自治式架構(gòu)，隨著企業(yè)大量部署AP后，對(duì)這些AP 進(jìn)行配置、升級(jí)軟件等管理工作將給用戶帶來(lái)很高的操作成本，管理成本提高，自治式架構(gòu)應(yīng)用逐步減少。集中式架構(gòu)該架構(gòu)通過(guò)無(wú)線控制器（AC）集中管理、控制多個(gè)AP，如 圖13所示。所有無(wú)線接入功能由AP和AC 共同完成：?AC 完成網(wǎng)絡(luò)具有重要意義的功能，例如移動(dòng)管理、身份驗(yàn)證、VLAN 劃分、射頻資源管理、無(wú)線 IDS（Intrusion Detection Systems）和數(shù)據(jù)包轉(zhuǎn)發(fā)等。?AP 完成無(wú)線空口的控制，例如無(wú)線信號(hào)發(fā)射與探測(cè)響應(yīng)、數(shù)據(jù)加密解密、數(shù)據(jù)傳輸確認(rèn)、空口數(shù)據(jù)優(yōu)先級(jí)管理等等。圖 13 WLAN 集 中 式 架 構(gòu) 圖認(rèn) 證 服 務(wù) 器DHCP/DNS服 務(wù) 器eSight網(wǎng) 管FIT APFIT APAC園 區(qū) 網(wǎng)AP和AC 間采用 CAPWAP隧道協(xié)議進(jìn)行通訊，AC與AP間可以是直連或者穿越Layer Layer 3網(wǎng)絡(luò)。CAPWAP協(xié)議是基于UDP傳輸層的應(yīng)用層協(xié)議，協(xié)議傳遞的信息分為兩類：控制信息和數(shù)據(jù)信息。?控制信息負(fù)責(zé) AC 與 AP 之間的管理的交互操作，包括 AP 自動(dòng)發(fā)現(xiàn) AC、AC 對(duì)AP 進(jìn)行安全認(rèn)證、AP 從 AC 獲取軟件版本、AP 從 AC 獲取配置等等。?數(shù)據(jù)信息是封裝后轉(zhuǎn)發(fā)的無(wú)線數(shù)據(jù)。兩類信息分別使用不同的UDP端口號(hào)。CAPWAP信息在AP與AC間交互時(shí)可以使用DTLS加密機(jī)制，保證通信的安全性。所有無(wú)線接入功能由AP和AC間共同完成。集中式架構(gòu)是企業(yè)網(wǎng)、運(yùn)營(yíng)商等WLAN方案的主要架構(gòu)，便于集中管理、集中認(rèn)證和實(shí)施安全策略。此種方案為目前企業(yè)網(wǎng)通用方案。在FIT AP網(wǎng)絡(luò)架構(gòu)下，又有如下劃分：17 / 72? 根據(jù) AC 部署方式，分為集中式和分布式? 根據(jù) AC 部署位置，分為旁掛和直路? 根據(jù) AC 硬件體現(xiàn)形式，分為集成 AC 和獨(dú)立 AC? 根據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)形式，分為本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā) 集中式AC與分布式AC根據(jù)AC的部署方式，網(wǎng)絡(luò)可分為集中式AC部署和分布式AC部署。集中式AC部署集中式AC部署是指整個(gè)網(wǎng)絡(luò)中集中部署AC設(shè)備（一般是獨(dú)立的AC設(shè)備），來(lái)控制和管理整網(wǎng)的AP設(shè)備。AC 的部署可以采用直路（直接部署在AP和匯聚/核心交換機(jī)之間）或旁掛方式（旁掛在匯聚/核心交換機(jī)旁側(cè)）。圖 14 集 中 式 AC 部 署 示 意 圖分布式AC部署分布式AC部署是指網(wǎng)絡(luò)中分區(qū)域采用多個(gè)AC設(shè)備，分別對(duì)本區(qū)域的AP設(shè)備進(jìn)行管理。分布式AC方案一般不采用獨(dú)立的AC設(shè)備，而是采用在匯聚交換機(jī)上集成AC功能，來(lái)實(shí)現(xiàn)對(duì)本交換機(jī)下掛的所有AP進(jìn)行管理。18 / 72圖 15 分 布 式 AC 部 署 示 意 圖AC的兩種部署方式的優(yōu)劣勢(shì)對(duì)比如 表12所示。表 12 集中式 AC 與分布式 AC 優(yōu)缺點(diǎn)對(duì)比表AC 部署方式 優(yōu)點(diǎn) 缺點(diǎn)集中式 ? 節(jié)省投資? 容量管理更簡(jiǎn)單有效，成本效益高? 無(wú)線業(yè)務(wù)終結(jié)點(diǎn)少，便于管理? 漫游部署簡(jiǎn)單、高效? 無(wú)線網(wǎng)絡(luò)運(yùn)維管理更簡(jiǎn)單，可集中管理且配置靈活A(yù)C 與 AP 之間的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)規(guī)劃部署相對(duì)復(fù)雜分布式 AC 與 AP 之間網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，網(wǎng)絡(luò)部署相對(duì)簡(jiǎn)單? 投資成本高? 需要部署 AC 間漫游（除非各 AC 所在的區(qū)域間不考慮漫游）? 運(yùn)維成本高 AC旁掛與AC直路根據(jù)AC在網(wǎng)絡(luò)上所處位置，可分為AC旁掛和AC直路。旁掛旁掛方式是指將AC部署在用戶網(wǎng)關(guān)設(shè)備（匯聚或核心交換機(jī)）一側(cè)，實(shí)現(xiàn)對(duì)用戶網(wǎng)關(guān)設(shè)備19 / 72下所有AP的管理。旁掛方式主要用于原有網(wǎng)絡(luò)匯聚/核心設(shè)備非華為設(shè)備的場(chǎng)景，目前主要用于網(wǎng)絡(luò)改造、或者新建大、中型園區(qū)網(wǎng)絡(luò)場(chǎng)景。AC旁掛示意圖直路直路方式是指將AC部署在AP與用戶網(wǎng)關(guān)設(shè)備（匯聚或核心交換機(jī)）之間，實(shí)現(xiàn)對(duì)下轄所有AP的管理。直路方式主要用于新建中、小型園區(qū)網(wǎng)絡(luò)或原有網(wǎng)絡(luò)匯聚/核心設(shè)備為華為設(shè)備的場(chǎng)景。AC直路示意圖 本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)模式主要是AP針對(duì)用戶數(shù)據(jù)可以有不同的轉(zhuǎn)發(fā)處理方式。本地轉(zhuǎn)發(fā)又稱直接轉(zhuǎn)發(fā)，是指AP上對(duì)用戶數(shù)據(jù)由本地轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上層，不經(jīng)過(guò)AC處理，AC只對(duì)AP進(jìn)行管理。而AP管理流封裝在CAPWAP隧道中，到達(dá)AC終止。本地轉(zhuǎn)發(fā)示意圖20 / 72集中轉(zhuǎn)發(fā)也稱作隧道轉(zhuǎn)發(fā)。業(yè)務(wù)數(shù)據(jù)報(bào)文由AP統(tǒng)一封裝后到達(dá)AC實(shí)現(xiàn)轉(zhuǎn)發(fā)，AC不但進(jìn)行對(duì)AP管理，還作為AP流量的轉(zhuǎn)發(fā)中樞。即AP管理流與數(shù)據(jù)流都封裝在CAPWAP隧道中到達(dá)AC。隧道轉(zhuǎn)發(fā)示意圖本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點(diǎn)對(duì)比如0所示。本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點(diǎn)對(duì)比表轉(zhuǎn)發(fā)方式 優(yōu)點(diǎn) 缺點(diǎn)本地轉(zhuǎn)發(fā) 設(shè)備署簡(jiǎn)單，數(shù)據(jù)流量不經(jīng)過(guò)AC， AC 負(fù)擔(dān)小。集中轉(zhuǎn)發(fā) 數(shù)據(jù)流量和管理流量全部經(jīng)過(guò)AC，可以按用戶需求規(guī)劃安全監(jiān)管策略。AC 設(shè)備數(shù)據(jù)壓力較大，對(duì) AC設(shè)備本身處理能力要求較高。21 / 72 覆蓋區(qū)域描述網(wǎng)絡(luò)覆蓋范圍總共包含5棟樓：實(shí)訓(xùn)樓、實(shí)驗(yàn)樓、綜合樓、教學(xué)樓（白色）、教學(xué)樓（粉色）,墻體統(tǒng)一為24磚墻，網(wǎng)絡(luò)點(diǎn)位統(tǒng)計(jì)如下：建筑 樓層 分布式AP 數(shù)量 放裝式 AP1 分 4功分器數(shù)量天線數(shù)量 備注1 2 　 2 82 2 　 2 73 2 　 2 8實(shí)驗(yàn)樓4 2 　 2 7實(shí)訓(xùn)樓長(zhǎng)約 40m，建議每層部署 2 個(gè) AP，通過(guò)饋線將天線部署到每個(gè)教室1 2 1 2 72 3 　 3 10實(shí)驗(yàn)樓3 2 2 2 8多媒體，閱覽室較大，單獨(dú)配置一臺(tái)放裝型 AP1 0 1 　 　 　2 1 3 1 4 2 樓 70 個(gè)用戶，配置 4 個(gè) AP3 1 0 1 4 　綜合樓4 3