【文章內(nèi)容簡介】 性，支持整機(jī)休眠功能，可以為用戶提供綠色、易管理、易擴(kuò)展、低成本的千兆到桌面的解決方案。S5700LI能基于五元組、 IP優(yōu)先級、 TOS、DSCP 、IP 協(xié)議類型、ICMP類型、TCP源端口、VLAN、以太網(wǎng)幀協(xié)議類型、CoS等信息，實現(xiàn)復(fù)雜流分類功能。S5700LI支持基于流的雙速三色限速功能，每端口支持8 個優(yōu)先級隊列，支持WRR、DRR 、 PQ、WRR＋PQ 、DRR+PQ多種隊列調(diào)度算法，有效地保證話音、視頻和數(shù)據(jù)業(yè)務(wù)質(zhì)量。S5700LI提供多種安全保護(hù)功能。支持DoS（Denial of Service）類防攻擊、網(wǎng)絡(luò)的防攻擊、用戶的防攻擊等功能。其中DoS類防攻擊主要包括SYN Flood、Land、Smurf、ICMP Flood。網(wǎng)絡(luò)的防攻擊主要是指 STP的BPDU/Root 攻擊。用戶的防攻擊涉及DHCP仿冒攻擊、中間人攻擊、IP/MAC Spoofing 攻擊、DHCP request flood、改變 CHADDR 值的 DoS 攻擊等等。S5700LI支持通過建立和維護(hù)DHCP Snooping 綁定表，偵聽接入用戶的 MAC/IP 地址、租用期、VLANID 、接口等信息，解決 DHCP 用戶的 IP 和端口跟蹤定位問題。同時，對不符合綁定表項的非法報文（ARP欺騙報文、擅自修改IP 地址等）直接丟棄，有效防止黑客或攻擊者通過ARP報文實施園區(qū)網(wǎng)常見的“中間人”攻擊。利用DHCP Snooping 的信任端口特性還可以保證DHCP Server 的合法性。12 / 72S5700LI支持ARP表項嚴(yán)格學(xué)習(xí)功能，可以防止因ARP欺騙攻擊將交換機(jī) ARP表項占滿，導(dǎo)致正常用戶無法上網(wǎng)。同時，支持IP Source Check 特性，防止包括MAC 欺騙、IP欺騙、 MAC/IP欺騙在內(nèi)的非法地址仿冒帶來的 DOS攻擊。S5700LI支持集中式 認(rèn)證，支持用戶賬號、IP、MAC 、VLAN 、端口、客戶端是否安裝病毒防范等用戶標(biāo)識元素的動態(tài)或靜態(tài)綁定，同時實現(xiàn)用戶策略（VLAN、QoS、ACL ）的動態(tài)下發(fā)。S5700LI支持基于端口的源 MAC地址學(xué)習(xí)限制功能，有效防止用戶源MAC欺騙沖擊設(shè)備MAC表項，導(dǎo)致正常用戶無法學(xué)到 MAC表而泛洪的問題等。 接入層網(wǎng)絡(luò)隔離在接入層必須對必要的業(yè)務(wù)劃分VLAN，VLAN劃分的方法可以基于端口、基于用戶的業(yè)務(wù)等。圖 1 接入層 VLAN 劃分組網(wǎng)示意圖? 所提供接入交換機(jī)具有靈活的VLAN劃分方法；? 可以有效的防止ARP等二層攻擊；? 同時支持QinQ技術(shù)，可以突破 4K個VLAN的限制，為將來網(wǎng)絡(luò)的合理改造以及擴(kuò)容打下堅實的基礎(chǔ)。采用QinQ技術(shù)可以提供每用戶每VLAN的組網(wǎng)方式，將VLAN終結(jié)在核心層上。13 / 72圖 2 采用 QinQ 技術(shù)隔離終端QinQ技術(shù)采用嵌套VLAN技術(shù)，突破了4K VLAN的限制，無論何種接入設(shè)備都可以滿足整個網(wǎng)絡(luò)可靠性、安全的設(shè)計，同時每個終端一個VLAN 的設(shè)計方式保證了二層方式的終端是隔離的，防止了廣播風(fēng)波、ARP病毒等對局域網(wǎng)危害很大的不安全因素的蔓延。采用這種方式的組網(wǎng)可以大大提高整網(wǎng)的可靠性和安全性，使得網(wǎng)絡(luò)對二層設(shè)備的依賴降低，并且有助于降低建設(shè)成本，因為所有的終端訪問都必須經(jīng)過匯聚交換，這樣的網(wǎng)絡(luò)設(shè)計非常方便網(wǎng)絡(luò)的管理、控制，避免因為流量的過渡分散造成的安全失控。 出口設(shè)計考慮到外網(wǎng)攻擊很多，在出口部署安全網(wǎng)關(guān)，對內(nèi)外網(wǎng)進(jìn)行安全隔離，進(jìn)行NAT轉(zhuǎn)換和路由，同時防火墻提供攻擊防范和url過濾等功能，對外網(wǎng)來的攻擊進(jìn)行防御。安全網(wǎng)關(guān)設(shè)備實現(xiàn)如下功能：1) 安全隔離：安全網(wǎng)關(guān)的安全隔離是基于安全區(qū)域，這樣的設(shè)計模型為用戶在實際使用統(tǒng)一安全網(wǎng)關(guān)的時候提供了十分良好的管理模型。華為統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的隔離模型，每個安全區(qū)域可以按照網(wǎng)絡(luò)的實際組網(wǎng)加入任意的接口，因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會受到網(wǎng)絡(luò)拓?fù)涞挠绊憽?) 防 DDOS：安全網(wǎng)關(guān)產(chǎn)品根據(jù)數(shù)據(jù)報文的特征，以及 Dos 攻擊的不同手段，可以針對 ICMP Flood、SYN Flood、UDP Flood 等各種 Dos 攻擊手段進(jìn)行 Dos 攻擊的防御。3) URL 過濾功能：能提供 URL 黑、白名單功能；支持前綴匹配，后綴匹配，關(guān)鍵字匹配等；支持用戶自定義 URL 功能，可自定義分類以及自定義 URL；URL 過濾響應(yīng)方式可以設(shè)置為禁止或允許，禁止方式下支持返回頁面通知，頁面內(nèi)容14 / 72可自定義；支持 URL 訪問日志記錄，支持日志歸并； URL 分類大類 43 個，小類 127 個，URL 特征庫數(shù)量≥6500 萬條；支持 URL 熱點庫功能，且熱點庫支持升級。4) 防火墻 NAT 轉(zhuǎn)換：在 IPV4，由于公網(wǎng) IP 少，需要防火墻提供 NAT 地址轉(zhuǎn)換，實現(xiàn)對公網(wǎng)的業(yè)務(wù)訪問需求。需要支持包括源 IP 地址轉(zhuǎn)換、目的 IP 地址轉(zhuǎn)換、端口地址轉(zhuǎn)換、靜態(tài) IP 地址轉(zhuǎn)換、IP 地址池轉(zhuǎn)換等；支持?jǐn)U展 NAT 功能，可實現(xiàn)單個公網(wǎng) IP 的無限地址轉(zhuǎn)換；考慮到 FTP、 、SIP 等它們報文的數(shù)據(jù)部分可能包含 IP 地址或端口信息，需要支持 FTP、 、 SIP 等各種應(yīng)用協(xié)議。5) 路由：支持靜態(tài)路由、路由策略、策略路由、RIP、OSPF、BGP、MPLS、ISIS 等路由協(xié)議6) 高可靠性：支持 HRP（Huawei Redundancy Protocol）協(xié)議實現(xiàn)雙機(jī)熱備份功能，包括主備備份（Active/Standby）和負(fù)載分擔(dān)（Active/Active）兩種方式。HRP 負(fù)責(zé)在主/備設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息，從而確保主用設(shè)備出現(xiàn)故障時能由備份設(shè)備平滑地接替工作。 無線網(wǎng)絡(luò)的設(shè)計方案 概述有線網(wǎng)絡(luò)建設(shè)經(jīng)過改造后，已初具規(guī)模， 1000Mbps 光纜敷設(shè)到全校大部分的樓宇。如何將網(wǎng)絡(luò)延伸到校園的每一個角落，為學(xué)生和教師提供一個隨時、隨地使用網(wǎng)絡(luò)的環(huán)境，是擺在我們面前的重要任務(wù)。無線接入技術(shù)與光纖接入、ADSL 接入、以太網(wǎng)接入等技術(shù)相比，具有投資少，建網(wǎng)周期短、提供業(yè)務(wù)快等優(yōu)勢。在無線接入領(lǐng)域中，固定無線接入正走向成熟，其應(yīng)用步伐不斷加快。而其中無線局域網(wǎng)技術(shù)又以其提供方便、快捷的組網(wǎng)方式等優(yōu)勢，倍受矚目?！　?因此，我們采用有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)（、）融合的策略，將網(wǎng)絡(luò)應(yīng)用延伸到各個辦公室、多媒體教室、校園活動場所等空間，提供教學(xué)視頻的無線上傳及下載，方便教學(xué)工作的開展。15 / 72 無線基本概念 網(wǎng)絡(luò)架構(gòu)模型WLAN網(wǎng)絡(luò)在部署過程中，根據(jù)不同的需求有多種實現(xiàn)形式，根據(jù)網(wǎng)絡(luò)架構(gòu)分為：? 自治式架構(gòu)（即 FAT AP 或胖 AP）? 集中式架構(gòu)（即 FIT AP 或瘦 AP）自治式架構(gòu)和集中式架構(gòu)兩種網(wǎng)絡(luò)結(jié)構(gòu)比較如 表11所示。表 11 自治式架構(gòu)和集中式架構(gòu)比較表項目 自治式架構(gòu) 集中式架構(gòu)適用場景 微型企業(yè)、個人 新生方式，增強(qiáng)管理安全性 傳統(tǒng)加密、認(rèn)證方式，普通安全性基于用戶位置的安全策略，高安全性網(wǎng)絡(luò)管理 每 AP 需要單獨下發(fā)配置文件 AC 上統(tǒng)一配置，AP 本身零配置，維護(hù)簡單用戶管理 類似有線，根據(jù) AP 接入的有線端口區(qū)分權(quán)限虛擬專用組方式，根據(jù)用戶名區(qū)分權(quán)限，使用靈活WLAN 組網(wǎng)規(guī)模 L2 漫游，適合小規(guī)模組網(wǎng) LL3 漫游，拓?fù)錈o關(guān)性，適合大規(guī)模組網(wǎng)增值業(yè)務(wù)能力 實現(xiàn)簡單數(shù)據(jù)接入 可擴(kuò)展豐富業(yè)務(wù)自治式架構(gòu)該架構(gòu)下AP實現(xiàn)所有無線接入功能，不需要AC設(shè)備形態(tài)，如 圖12所示。圖 12 WLAN 自 治 式 架 構(gòu) 圖認(rèn) 證 服 務(wù) 器DHCP/DNS服 務(wù) 器eSight網(wǎng) 管FAT APFAT AP園 區(qū) 網(wǎng)16 / 72WLAN早期廣泛采用自治式架構(gòu)，隨著企業(yè)大量部署AP后，對這些AP 進(jìn)行配置、升級軟件等管理工作將給用戶帶來很高的操作成本，管理成本提高，自治式架構(gòu)應(yīng)用逐步減少。集中式架構(gòu)該架構(gòu)通過無線控制器（AC）集中管理、控制多個AP，如 圖13所示。所有無線接入功能由AP和AC 共同完成：?AC 完成網(wǎng)絡(luò)具有重要意義的功能，例如移動管理、身份驗證、VLAN 劃分、射頻資源管理、無線 IDS（Intrusion Detection Systems）和數(shù)據(jù)包轉(zhuǎn)發(fā)等。?AP 完成無線空口的控制，例如無線信號發(fā)射與探測響應(yīng)、數(shù)據(jù)加密解密、數(shù)據(jù)傳輸確認(rèn)、空口數(shù)據(jù)優(yōu)先級管理等等。圖 13 WLAN 集 中 式 架 構(gòu) 圖認(rèn) 證 服 務(wù) 器DHCP/DNS服 務(wù) 器eSight網(wǎng) 管FIT APFIT APAC園 區(qū) 網(wǎng)AP和AC 間采用 CAPWAP隧道協(xié)議進(jìn)行通訊，AC與AP間可以是直連或者穿越Layer Layer 3網(wǎng)絡(luò)。CAPWAP協(xié)議是基于UDP傳輸層的應(yīng)用層協(xié)議，協(xié)議傳遞的信息分為兩類：控制信息和數(shù)據(jù)信息。?控制信息負(fù)責(zé) AC 與 AP 之間的管理的交互操作，包括 AP 自動發(fā)現(xiàn) AC、AC 對AP 進(jìn)行安全認(rèn)證、AP 從 AC 獲取軟件版本、AP 從 AC 獲取配置等等。?數(shù)據(jù)信息是封裝后轉(zhuǎn)發(fā)的無線數(shù)據(jù)。兩類信息分別使用不同的UDP端口號。CAPWAP信息在AP與AC間交互時可以使用DTLS加密機(jī)制，保證通信的安全性。所有無線接入功能由AP和AC間共同完成。集中式架構(gòu)是企業(yè)網(wǎng)、運營商等WLAN方案的主要架構(gòu)，便于集中管理、集中認(rèn)證和實施安全策略。此種方案為目前企業(yè)網(wǎng)通用方案。在FIT AP網(wǎng)絡(luò)架構(gòu)下，又有如下劃分：17 / 72? 根據(jù) AC 部署方式，分為集中式和分布式? 根據(jù) AC 部署位置，分為旁掛和直路? 根據(jù) AC 硬件體現(xiàn)形式，分為集成 AC 和獨立 AC? 根據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)形式，分為本地轉(zhuǎn)發(fā)和集中轉(zhuǎn)發(fā) 集中式AC與分布式AC根據(jù)AC的部署方式，網(wǎng)絡(luò)可分為集中式AC部署和分布式AC部署。集中式AC部署集中式AC部署是指整個網(wǎng)絡(luò)中集中部署AC設(shè)備（一般是獨立的AC設(shè)備），來控制和管理整網(wǎng)的AP設(shè)備。AC 的部署可以采用直路（直接部署在AP和匯聚/核心交換機(jī)之間）或旁掛方式（旁掛在匯聚/核心交換機(jī)旁側(cè)）。圖 14 集 中 式 AC 部 署 示 意 圖分布式AC部署分布式AC部署是指網(wǎng)絡(luò)中分區(qū)域采用多個AC設(shè)備，分別對本區(qū)域的AP設(shè)備進(jìn)行管理。分布式AC方案一般不采用獨立的AC設(shè)備，而是采用在匯聚交換機(jī)上集成AC功能，來實現(xiàn)對本交換機(jī)下掛的所有AP進(jìn)行管理。18 / 72圖 15 分 布 式 AC 部 署 示 意 圖AC的兩種部署方式的優(yōu)劣勢對比如 表12所示。表 12 集中式 AC 與分布式 AC 優(yōu)缺點對比表AC 部署方式 優(yōu)點 缺點集中式 ? 節(jié)省投資? 容量管理更簡單有效，成本效益高? 無線業(yè)務(wù)終結(jié)點少，便于管理? 漫游部署簡單、高效? 無線網(wǎng)絡(luò)運維管理更簡單，可集中管理且配置靈活A(yù)C 與 AP 之間的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)規(guī)劃部署相對復(fù)雜分布式 AC 與 AP 之間網(wǎng)絡(luò)結(jié)構(gòu)簡單，網(wǎng)絡(luò)部署相對簡單? 投資成本高? 需要部署 AC 間漫游（除非各 AC 所在的區(qū)域間不考慮漫游）? 運維成本高 AC旁掛與AC直路根據(jù)AC在網(wǎng)絡(luò)上所處位置，可分為AC旁掛和AC直路。旁掛旁掛方式是指將AC部署在用戶網(wǎng)關(guān)設(shè)備（匯聚或核心交換機(jī)）一側(cè)，實現(xiàn)對用戶網(wǎng)關(guān)設(shè)備19 / 72下所有AP的管理。旁掛方式主要用于原有網(wǎng)絡(luò)匯聚/核心設(shè)備非華為設(shè)備的場景，目前主要用于網(wǎng)絡(luò)改造、或者新建大、中型園區(qū)網(wǎng)絡(luò)場景。AC旁掛示意圖直路直路方式是指將AC部署在AP與用戶網(wǎng)關(guān)設(shè)備（匯聚或核心交換機(jī)）之間，實現(xiàn)對下轄所有AP的管理。直路方式主要用于新建中、小型園區(qū)網(wǎng)絡(luò)或原有網(wǎng)絡(luò)匯聚/核心設(shè)備為華為設(shè)備的場景。AC直路示意圖 本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)模式主要是AP針對用戶數(shù)據(jù)可以有不同的轉(zhuǎn)發(fā)處理方式。本地轉(zhuǎn)發(fā)又稱直接轉(zhuǎn)發(fā)，是指AP上對用戶數(shù)據(jù)由本地轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上層，不經(jīng)過AC處理，AC只對AP進(jìn)行管理。而AP管理流封裝在CAPWAP隧道中，到達(dá)AC終止。本地轉(zhuǎn)發(fā)示意圖20 / 72集中轉(zhuǎn)發(fā)也稱作隧道轉(zhuǎn)發(fā)。業(yè)務(wù)數(shù)據(jù)報文由AP統(tǒng)一封裝后到達(dá)AC實現(xiàn)轉(zhuǎn)發(fā)，AC不但進(jìn)行對AP管理，還作為AP流量的轉(zhuǎn)發(fā)中樞。即AP管理流與數(shù)據(jù)流都封裝在CAPWAP隧道中到達(dá)AC。隧道轉(zhuǎn)發(fā)示意圖本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點對比如0所示。本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā)優(yōu)缺點對比表轉(zhuǎn)發(fā)方式 優(yōu)點 缺點本地轉(zhuǎn)發(fā) 設(shè)備署簡單，數(shù)據(jù)流量不經(jīng)過AC， AC 負(fù)擔(dān)小。集中轉(zhuǎn)發(fā) 數(shù)據(jù)流量和管理流量全部經(jīng)過AC，可以按用戶需求規(guī)劃安全監(jiān)管策略。AC 設(shè)備數(shù)據(jù)壓力較大，對 AC設(shè)備本身處理能力要求較高。21 / 72 覆蓋區(qū)域描述網(wǎng)絡(luò)覆蓋范圍總共包含5棟樓：實訓(xùn)樓、實驗樓、綜合樓、教學(xué)樓（白色）、教學(xué)樓（粉色）,墻體統(tǒng)一為24磚墻，網(wǎng)絡(luò)點位統(tǒng)計如下：建筑 樓層 分布式AP 數(shù)量 放裝式 AP1 分 4功分器數(shù)量天線數(shù)量 備注1 2 　 2 82 2 　 2 73 2 　 2 8實驗樓4 2 　 2 7實訓(xùn)樓長約 40m，建議每層部署 2 個 AP，通過饋線將天線部署到每個教室1 2 1 2 72 3 　 3 10實驗樓3 2 2 2 8多媒體，閱覽室較大，單獨配置一臺放裝型 AP1 0 1 　 　 　2 1 3 1 4 2 樓 70 個用戶，配置 4 個 AP3 1 0 1 4 　綜合樓4 3