【文章內(nèi)容簡(jiǎn)介】 系列設(shè)備。支持 安全機(jī)制、 EDCF QoS 機(jī)制、 切換機(jī)制，并提供了如虛擬 AP、 PPPoE 認(rèn)證， MAC 認(rèn)證等多類型認(rèn)證方法共存、多樣化的計(jì)費(fèi)策略、多層次的安全策略、全面的二層特性、豐富的管理維護(hù)手段等強(qiáng)大的可運(yùn)營(yíng)、可管理能力。 產(chǎn)品特點(diǎn) ? 標(biāo)準(zhǔn)：支持 、 、 、 、 、 ； ? 數(shù)據(jù)速率：自動(dòng)偵測(cè)聯(lián)機(jī)速度支持 54Mbps、 48Mbps、 36Mbps、 24Mbps、 18Mbps、12Mbps、 11Mbps、 9Mbps、 6Mbps、 、 2Mbps、 1Mbps；支持 Super A 和 Super G模式下的 108Mbps 速率； ? 虛擬 AP：支持多 SSID 區(qū)分網(wǎng)絡(luò)，便于安全策略、服務(wù)質(zhì)量策略的隔離或多運(yùn)營(yíng)商共同運(yùn)營(yíng)； ? 空口安全：支持 64/128 WEP 加密；支持 TKIP 加密；支持 ，支持 AES加密；支持加密方式與 SSID 的綁定；支持 ESSID 隱含功能； ? 服務(wù)質(zhì)量：無線支持 EDCF；以太網(wǎng)口支持 ；支持優(yōu)先級(jí)隊(duì)列；支持流量限制（ CAR）；支持流分類；支持 SSID/VLAN 綁定 QOS 策略； ? WDS：支持 PTP、 PTMP 工作模式；支持連接速率鎖定、傳輸報(bào)文整合，提高傳輸效率； ? 二層策略： 支持二層轉(zhuǎn)發(fā)抑止、 SSID 隔離、 WAN 接口 MAC 地址過濾、 ACL 控制用戶接入；支持 MAC 地址學(xué)習(xí)；支持生成樹功能；支持基于多種策略的 VLAN 標(biāo)記，支持鏈路完整性； ? 三層轉(zhuǎn)發(fā)：支持靜態(tài) IP地址；支持 DHCP 獲取 IP 地址；支持靜態(tài)路由； ? 負(fù)載均衡：支持基于用戶數(shù)的負(fù)載均衡、基于流量的負(fù)載均衡； ? 多種認(rèn)證：支持 PPPoE， ， MAC 地址認(rèn)證等多種認(rèn)證方式； ? 性能檢測(cè)：支持基于 AP的性能監(jiān)測(cè)，包括用戶列表、流量等統(tǒng)計(jì)信息顯示等； ? 輸出功率：支持輸出功率最大 500mW、多級(jí)功率可調(diào)； ? 接收靈敏度：接收靈敏度達(dá)到 97dBm，可以保證覆蓋更大距離； ? 供電模式：支持 POE（ 48V 遠(yuǎn)程供電）、支持本地供電； ? 可 靠 性：設(shè)備上電自檢，升級(jí)失敗保護(hù)，支持硬件 Watch Dog； ? 可管理性：支持 SNMP、 Web、 Tel 對(duì) AP的故障、配置、重啟等管理； ? 升級(jí)維護(hù)：支持各種安裝方式、支持軟件遠(yuǎn)程升級(jí)以及配置文件上傳下載； ? 工作模式：適用于多種應(yīng)用場(chǎng)合，既可提供接入功能，也可以提供橋接功能，或兩種功能同時(shí)提供。 防火墻 H3C SecPath F100S 根據(jù)具體應(yīng)用需求，考慮到目前的網(wǎng)絡(luò)環(huán)境。因此 ,結(jié)合具體的情況 ,本方案選用 1臺(tái) H3C SecPath F1000S硬件防火墻來實(shí)現(xiàn)安全網(wǎng)絡(luò)與訪問控制。 產(chǎn)品詳細(xì)介紹 可擴(kuò)展高性能防火墻 H3C SecPath 防火墻 /VPN是業(yè)界功能最全面、擴(kuò)展性最好的防火墻 /VPN產(chǎn)品，集成防火墻、 VPN 和豐富的網(wǎng)絡(luò)特性，為用戶提供安全防護(hù)、安全遠(yuǎn)程接入等功能。 H3C SecPath F1000 系列防火墻支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁(yè)過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采用ASPF（ Application Specific Packet Filter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，可對(duì)連接狀態(tài)過程和異常命令進(jìn)行檢測(cè)；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種VPN 業(yè)務(wù)，如 L2TP VPN、 GRE VPN 、 IPSec VPN、動(dòng)態(tài) VPN 等；支持RIP/OSPF/BGP/路由策略及策略路由；支持豐富的 QoS 特性，提供流量監(jiān)管、流量整形及多種隊(duì)列調(diào)度策略。 產(chǎn)品特點(diǎn) ? 擴(kuò)展性最強(qiáng) 基于 H3C 先進(jìn)的 OAA 開放應(yīng)用架構(gòu)， SecPath 防火墻能靈活擴(kuò)展病毒防范、網(wǎng)絡(luò)流量監(jiān)控和 SSL VPN 等硬件業(yè)務(wù)模塊，實(shí)現(xiàn) 27層的全面安全。 ? 強(qiáng)大的攻擊防范能力 能防御 DoS/DDoS 攻擊（如 CC、 SYN flood、 DNS Query Flood、 SYN Flood、 UDP Flood 等）、 ARP 欺騙攻擊、 TCP 報(bào)文標(biāo)志位不合法攻擊、 Large ICMP 報(bào)文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時(shí)支持黑名單、 MAC 綁定、內(nèi)容過濾等先進(jìn)功能。 ? 增強(qiáng)型狀態(tài)安全過濾 支持基礎(chǔ)、擴(kuò)展和基于接口的狀態(tài)檢測(cè)包過濾技術(shù)；支持 H3C 特有 ASPF應(yīng)用層報(bào)文過濾協(xié)議，支持對(duì)每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測(cè)并動(dòng)態(tài)地過濾數(shù)據(jù)包，支持對(duì)應(yīng)用層協(xié)議的狀態(tài)監(jiān)控。 ? 豐富的 VPN 特性 集成 IPSec、 L2TP、 GRE 和 SSL 等多種成熟 VPN 接入技術(shù)，保證移動(dòng)用戶、合作伙伴和分支機(jī)構(gòu)安全、便捷的接入。 ? 應(yīng)用層內(nèi)容過濾 可以有效的識(shí)別網(wǎng)絡(luò)中各種 P2P模式的應(yīng)用，并且對(duì)這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬；支持郵件過濾，提供 SMTP 郵件地址、標(biāo)題、附件和內(nèi)容過濾；支持網(wǎng)頁(yè)過濾，提供 HTTP URL 和內(nèi)容過濾。 ? 全面 NAT 應(yīng)用支持 提供多對(duì)一、多對(duì)多、靜態(tài)網(wǎng)段、雙向 轉(zhuǎn)換 、 Easy IP 和 DNS 映射等 NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越 NAT，提供 DNS、 FTP、 、 NBT 等 NAT ALG功能。 ? 全面的認(rèn)證服務(wù) 支持本地用戶、 RADIUS、 TACACS 等認(rèn)證方式，支持基于 PKI/CA 體系的數(shù)字證書（ 格式）認(rèn)證功能。支持基于用戶身份的管理，實(shí)現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，并且支持用戶視圖分級(jí)，對(duì)于不同級(jí)別的用戶賦予不同的管理配置權(quán)限。 ? 集中管理與審計(jì) 提供各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)功能、郵件告警功能。 IP 地址和 VLAN 策略 為了提供優(yōu)質(zhì)的服務(wù)，有效地利用寶貴的 IP地址資源， IP地址必須仔細(xì)的劃分。酒店的網(wǎng)絡(luò)系統(tǒng)既作為 Intra 供內(nèi)部使用，同時(shí)又為廣大用戶提供 Web站點(diǎn)訪問服務(wù)，因此，我們對(duì) IP 地址進(jìn)行如下劃分： IP 地址分為兩類： 外部地址：從城市公眾信息網(wǎng)獲得合法的 IP地址塊。 內(nèi)部地址：內(nèi)部自定義的 IP 地址，根據(jù)管理和發(fā)展需要，選擇 B 類地址。 使用方法： 1．系統(tǒng)容納了眾多服務(wù)器和管理設(shè)備，共需要約 10－ 15 個(gè) IP 地址，給予一定量的 IP地址，用于主機(jī)設(shè)備和接入用戶。 2．對(duì)于廣域網(wǎng)接口的 IP 地址，在接入因特網(wǎng)時(shí)，由選擇的網(wǎng)絡(luò)運(yùn)營(yíng)商提供。 3. 使用網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）技術(shù)，利用靜態(tài)方式映射公開 IP 地址和內(nèi)部服務(wù)器地址，為保護(hù)重要的計(jì)算機(jī)設(shè)備，將主（備份）服務(wù)器放在內(nèi)部網(wǎng)中，與外部的 WEB 服務(wù)器等通過 NAT 實(shí)現(xiàn)。 4．內(nèi)部工作站在訪問 Inter 時(shí)，由防火墻系統(tǒng)動(dòng)態(tài)地將內(nèi)部地址影射為預(yù)留的公開地址，不但充分利用了 IP 地址，還保護(hù)內(nèi)部系統(tǒng)免受非法訪問。 虛擬網(wǎng)技術(shù)（ VLAN）是近年來興起的一項(xiàng)新技術(shù)。在虛擬網(wǎng)環(huán)境中，可以通過劃分不同的虛擬網(wǎng)來控制處于同一物理網(wǎng)段中的用戶之間的通信。 高爾夫 酒店 的網(wǎng)絡(luò)系統(tǒng)劃分如下網(wǎng)段進(jìn)行管理： 網(wǎng)段： 1．酒店管理網(wǎng)段 2．辦公網(wǎng)段 3．客人上網(wǎng)網(wǎng)段 4．員工上網(wǎng)網(wǎng)段 5．一卡通系統(tǒng)網(wǎng)段 6．防火墻網(wǎng)段 網(wǎng)絡(luò)安全 及防 ARP 策略 網(wǎng)絡(luò)安全的管理是一個(gè)系統(tǒng)化的工程，網(wǎng)絡(luò)的安全涉及到系統(tǒng)中的各個(gè)層面，其中從橫向區(qū)分，可分為基于網(wǎng)絡(luò)層的安全、基于 IP 層的安全、基于 TCP 層（傳輸層）、基于 OS 層、基于 DB 層、基于 APP 層（到桌面級(jí)）等等。日后，網(wǎng)絡(luò)安全將成為網(wǎng)絡(luò)的一部分，安全已經(jīng)和網(wǎng)絡(luò)密不可分，安全無處不在。今后的計(jì)算機(jī)網(wǎng)絡(luò)不但要具有保護(hù)網(wǎng)上主機(jī)系統(tǒng) 、網(wǎng)上終端系統(tǒng)、網(wǎng)上應(yīng)用系統(tǒng)的能力，還要網(wǎng)絡(luò)本身具有自我保護(hù)的能力，自我防御能力、自我愈合能力，一旦受到網(wǎng)絡(luò)蠕蟲、網(wǎng)絡(luò)病毒的侵?jǐn)_甚至網(wǎng)絡(luò)攻擊時(shí)，能夠快速反應(yīng)，做到網(wǎng)絡(luò)能夠發(fā)現(xiàn)攻擊，發(fā)現(xiàn)病毒、消除蠕蟲，做到即保護(hù)網(wǎng)絡(luò)應(yīng)用的同時(shí)，又保護(hù)了網(wǎng)絡(luò)自身。 酒店網(wǎng)絡(luò)面臨的安全威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的威脅；二是對(duì)網(wǎng)絡(luò)設(shè)備的威脅。這些威脅可能來源于各種各樣的因素：可能是有意的，也可能是無意的；有可能是來源于外部的，也有可能是酒店內(nèi)部人員造成的?？偨Y(jié)起來大致有以下幾種威脅： 1．非人為、自然力造成的數(shù)據(jù)丟失、設(shè)備 失效、線路阻斷。 2．人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失。 3．來自外部和內(nèi)部人員的惡意攻擊和入侵。 前面兩種威脅的預(yù)防我們是通過冗余鏈路、關(guān)鍵點(diǎn)備份以及數(shù)據(jù)的災(zāi)難恢復(fù)等手段進(jìn)行防范來設(shè)計(jì)的。最后一種是網(wǎng)絡(luò)所面臨的最大威脅，也是網(wǎng)絡(luò)安全必須解決的問題。 對(duì) 高爾夫 酒店 的網(wǎng)絡(luò)安全采取以下幾種手段進(jìn)行防護(hù)： 1．硬件端口隔離 核心交換機(jī)和樓層交換機(jī)自帶端口隔離，對(duì)于數(shù)據(jù)起到直接保護(hù)的作用，硬件端口隔離是最直接也是最有效的手段。 2．虛擬子網(wǎng)的劃分 利用虛擬子網(wǎng)的路由隔離，按照不同的策略劃分子網(wǎng)，以保證內(nèi) 部網(wǎng)絡(luò)的安全。交換機(jī)的每個(gè)端口被劃分到不同的子網(wǎng)，屬于同一個(gè)交換機(jī)的端口如果被劃分到不同的子網(wǎng)，不被授權(quán)端口之間也不能直接發(fā)生通信。交換機(jī)根據(jù)每個(gè)到達(dá)數(shù)據(jù)包的記錄來判斷其歸屬并予以轉(zhuǎn)發(fā)。 3．防火墻技術(shù) 為 高爾夫 酒店 的網(wǎng)絡(luò)系統(tǒng)設(shè)置了防火墻，設(shè)置在核心交換機(jī)與 Inter 之間，防火墻技術(shù)的運(yùn)用是十分必須的，用以保證整個(gè)酒店網(wǎng)絡(luò)的安全。 4．在接入層設(shè)置防御 ARP 攻擊 交換機(jī)要防御 ARP 攻擊 ，就必須能夠識(shí)別并讀取 ARP 報(bào)文內(nèi)容，然后根據(jù)報(bào)文內(nèi)容判斷是否存在欺騙攻擊行為，對(duì)于 ARP 欺騙報(bào)文進(jìn)行丟棄處理。 在接入層 進(jìn)行 ARP 防御攻擊設(shè)置。 用戶管理系統(tǒng) H3C iMC 智能管理平臺(tái) 在用戶管理方面，需要實(shí)現(xiàn) 酒店 網(wǎng)絡(luò)的可運(yùn)營(yíng)、可維護(hù)，我們采用了 H3C iMC 智能管理平臺(tái) 作為用戶管理中心。 產(chǎn)品概述 H3C 專注于 IP 產(chǎn)品與相關(guān)技術(shù)的研發(fā)、生產(chǎn)和銷售，具備完善的產(chǎn)品技術(shù)、客戶服務(wù)、渠道、認(rèn)證培訓(xùn)體系，為您提供客戶化、特性豐富、 性價(jià)比高的網(wǎng)絡(luò)產(chǎn)品與解決方案。作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備與解決方案供應(yīng)商， H3C 憑著對(duì)網(wǎng)絡(luò)及網(wǎng)絡(luò)管理的深入分析和理解，憑著對(duì)客戶需求的深入理解，推出了基于 IToIP解決方案完整的管理平臺(tái)，提供包括網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理等全面的管理解決方案： H3C智能管理中心（ H3C Intelligent Management Center，以下簡(jiǎn)稱 H3C iMC）。 H3C iMC 是 H3C IToIP 解決方案的統(tǒng)一管理中心，基于 SOA 架構(gòu)，采用靈活的組件化設(shè)計(jì)，支持與 HP Openview、 SNMPc 等通用網(wǎng)管平臺(tái)的集 成，支持集成各多廠家設(shè)備管理系統(tǒng)，與 H3C 的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶提供全網(wǎng)解決方案，幫助客戶真正實(shí)現(xiàn)網(wǎng)絡(luò)的按需構(gòu)建。 產(chǎn)品特點(diǎn) H3C iMC 智能管理平臺(tái)是 iMC 的業(yè)務(wù)承載平臺(tái)，實(shí)現(xiàn)資源、用戶和業(yè)務(wù)的融合管理，提供網(wǎng)絡(luò)資源管理、拓?fù)涔芾?、故障管理、性能管理、用戶管理及系統(tǒng)安全管理，基于 B/S 架構(gòu)，可以與 H3C iMC 其他業(yè)務(wù)組件有效集成，形成多種解決方案。 ? 可擴(kuò)展的分布、分級(jí)系統(tǒng)架構(gòu) 支持分布式部署框架，實(shí)現(xiàn)業(yè)務(wù)分布式部署，提高系統(tǒng)整體處理能力 ? 支持集中部署和分布式部 署，可以根據(jù)管理網(wǎng)絡(luò)的規(guī)模、管理業(yè)務(wù)多少、服務(wù)器硬件配置情況等因素選擇部署方式 ? 實(shí)時(shí)監(jiān)控系統(tǒng)運(yùn)行狀態(tài)，包括服務(wù)器 CPU、磁盤、內(nèi)存等利用率的監(jiān)視， iMC 所有業(yè)務(wù)處理進(jìn)程狀態(tài)的監(jiān)視，業(yè)務(wù)組件運(yùn)行狀態(tài)監(jiān)視 支持分級(jí)網(wǎng)絡(luò)管理，實(shí)現(xiàn)分層、分域網(wǎng)絡(luò)的層次化管理 ? 支持多級(jí)網(wǎng)絡(luò)的層次化管理，上級(jí)網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控下級(jí)網(wǎng)絡(luò)運(yùn)行狀態(tài)，必要時(shí)上級(jí)網(wǎng)絡(luò)管理員可以參與下級(jí)網(wǎng)絡(luò)故障的解決 ?