【正文】 冗余電源支持：S7500E 能提供冗余電源。實時熱備份機制：在系統(tǒng)軟件及硬件的支持下，關鍵部件在發(fā)生故障能自動啟動備份系統(tǒng)，而且主備之間的切換要能夠實時熱倒換，即運行中即使發(fā)生設備故障切換也不會對網絡業(yè)務造成影響。校園網絡中所采用的核心交換機和數(shù)據中心交換機 S7500E 等設備具有強大的設備級可靠性保證：采用分布式體系結構： 校園網絡設計方案 第 37 頁, 共 59 頁S7500E 采用分布式體系結構，與集中式體系 設備相比 較，分布式體系設備除性能可以通過插入更多的接口處理板提高整體性能外，更為關鍵的是將管理、路由轉發(fā)、接口處理等功能分配在不同的部件上， 協(xié) 同工作，分布式體系可以分散故障風險、隔離故障、提供冗余配置，提高系統(tǒng)的自動恢復能力；如管理部件故障，只需要更換這部分板件，不影響其他功能。? 網絡核心設備支持軟件在線升級，升級過程中業(yè)務不中斷。? 網絡核心設備支持不間斷轉發(fā)，主控板熱備份。? 網絡核心設備采用全分布式體系結構，路由與轉發(fā)分離。要保證網絡平臺的可靠性，必須要 選用具備電信級可靠性的網絡設備進行組網，才能使網絡具有自動恢復能力、降低人工維護工作，達到 電 信級的可靠運行。 物理設備和鏈路穩(wěn)定性 網絡結構的可靠性校園網絡設計首先從網絡結構上保證了高可靠性和高冗余性： 校園網絡設計方案 第 36 頁, 共 59 頁1)網絡 核心層和數(shù)據中心采用雙機冗余架構設計，通過路由協(xié)議、不間斷路由等技術配合實現(xiàn)可靠性；2) 網絡核心層和數(shù)據中心設備間互聯(lián)全部采用雙或多 鏈路互聯(lián)，配合路由協(xié)議、VRRP、MSTP 等技術實現(xiàn)局域網絡的可靠性。因此在網絡的設計實施中必須對網絡的可靠性進行詳盡的考慮和設計。通過網絡管理系統(tǒng)，實現(xiàn)在網絡維護和故障解決時，可快速 查找、定位和隔離發(fā)生故障的交換機所有的端口。在防火墻或路由交換機通過 IP Source Guard 以及 URPF 特性上解決偽造IP 源地址攻擊。接入層交換機啟用 ARP 檢測特性，解決 ARP 攻擊和欺騙的問題。本次選用的核心交換機、匯聚交換機和接入交換機具有豐富的安全特性，可以解決網絡中存在的安全問題，詳細參見下表：攻擊類型攻擊行為 交換機安全防范特性核心交換機匯聚交換機接入交換機端口 MAC 數(shù)限制 具有 具有 具有禁止某個 VLAN 的 MAC 地址學習 ＋ 靜態(tài) MAC 表 具有 具有 具有端口安全 具有 具有 具有MAC 表攻擊MAC + IP + 端口綁定,端口安全中的 1 個特性具有 具有 具有DHCP Relay Option 82 具有 具有 具有DHCP Snooping Option 82 具有 具有 具有DHCP DOS攻擊DHCP 報文限速 具有 具有 具有資源耗盡型攻擊CPU 惡意沖擊ARP 限速 具有 具有 具有 校園網絡設計方案 第 34 頁, 共 59 頁廣播風暴抑制 具有 具有 具有環(huán)路檢測 具有 具有 具有安全準入特性 具有 具有 具有 具有 具有 具有防范攻擊的其它特性端口安全特性 具有 具有 具有ARP 入侵檢測 具有 具有 具有端口隔離 具有 具有 具有ARP 欺騙攻擊IsolateUserVLAN 具有 具有 具有DHCP relay Security 具有 具有 具有MAC/IP 欺騙攻擊 IP 源地址保護 具有 具有 具有DHCP 服務器欺騙攻擊DHCP Snooping Trust 具有 具有 具有STP 根保護 具有 具有 具有根橋偽裝攻擊 BPDU 保護 具有 具有 具有TCN 攻擊TCBPDU 報文非立即處理機制具有 具有 具有假冒偽裝型攻擊路由源偽裝攻擊OSPF/RIP 路由 MD5 驗證 具有 具有二層，不具有 具有 具有 具有SNMPv3 具有 具有 具有用戶信息嗅探 SFTP 具有 具有 具有遠程管理終端限制(Tel VTY 配置 ACL)具有 具有 具有設備控制權攻擊管理人員泄密用戶分級 具有 具有 具有 校園網絡設計方案 第 35 頁, 共 59 頁暴力嘗試攻擊遠程管理終端限制(Tel VTY 配置 ACL)具有 具有 具有在用戶接入安全控制，設計時采取以下針對性的措施解決以下 MAC、IP 地址的安全問題。同時，ACG 能夠以下審計功能:WEB 應用審計——URL；源、目的 IP；訪問時間等應用審計——登錄名；上傳或下載文件名；源、目的 IP；訪問時間等Email 應用審計 ——POP3 和 SMTP 收發(fā)郵件的郵 件名、 發(fā)件人、收件人等； 校園網絡設計方案 第 33 頁, 共 59 頁不支持 WEB Mail 的審計NAT 日志 審計——NAT 前后的 IP、端口號； 時間等；需要與 U200 或 F1000E等支持 FLOW 日志的設備配合 網絡安全保護對于校園網大型應用以太網交換機的系統(tǒng)，網絡的安全特性非常重要，因以太網工作原理的限制，交換 式網絡容易造成 MAC、IP 等安全的攻擊。 出口帶寬監(jiān)管校園網絡應用層出不窮，在大大提升了用戶的工作效率的同時也帶來許多負面影響，針對用戶行為控制的解決方案，需要能夠 解決以下問題：用戶通過 P2P 下載電影造成網 絡速度變慢，怎么解決用戶在 BBS 上發(fā)布違法帖子，違反信息安全規(guī)定用戶工作時間炒股、打游戲、聊天造成工作效率的下降，怎么解決用戶訪問非法網站易感染病毒，如何控制校園網絡出口通過間部署一臺 SecPath ACG 網關，通過在 ACG 應用控制網關，可精確識別 BT、電驢、迅雷、MSN、 Yahoo Messenger、PPLive 等近百種P2P/IM 應用，可基于時間、用戶、區(qū)域、應用協(xié)議，通過告警、限速、阻斷等手段進行靈活控制，保證網速的正常和業(yè)務不被影響。、 通過配置交換機所具有的安全功能，加強的網絡的安全控制。在校園網絡建設中，網絡安全建設主要包括以下幾大部分：、 對重點區(qū)域的安全隔離和訪問控制，通過增加防火墻，實現(xiàn)對業(yè)務系統(tǒng)資源和外部網絡安全隔離和訪問權限的控制。? 有線無線一體化的網管系統(tǒng)采用同一品牌的交換機和無線局域網產品，通過配置 1 套網絡管理系統(tǒng)，即 校園網絡設計方案 第 31 頁, 共 59 頁可實現(xiàn)有線無線一體化的管理 。 AP 和無線控制器之間可以穿過IPv6 網 絡互聯(lián)，從而使組 網方式更加靈活，可以滿足今后網絡發(fā)展的需要，保護用戶投資。?支持智能的負載均衡支持智能負載均衡技術，保證只對處于 AP 覆蓋重疊區(qū)的無 線用戶才啟動AP 負載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網絡容量。AP 的功率 調整和信道切換是網絡 部署和調試時不可缺少的重要手段，信道和功率還需要按照國家代碼自動設置，無線控制器的 RF 管理功能使得網絡部署非常簡單。該特性使管理員可 校園網絡設計方案 第 30 頁, 共 59 頁以方便的為不同用戶群、不同的業(yè)務制定區(qū)分的服務策略。? 三層漫游無線控制器支持三層漫游，并支持快速漫游，漫游切換時間小于 50ms，滿足對切換時間要求最苛刻的語音業(yè)務。? 易于管理、AP“ 零配置”采用無線控制器和 FIT AP 配合組網時，只需要在無線控制器上對一類相同屬性的 AP 建立配置模板，AP 在啟動時可以自動從無 線控制器上下載最新的配置文件，真正做到了零配置，免維護，即插即用，極大地減輕了網絡管理員在部署網絡階段的維護工作量。 校園網絡設計方案 第 29 頁, 共 59 頁在設備選型中，我們建議無線局域網與交換機采用相同的品牌，以確保系統(tǒng)的兼容性，并實現(xiàn)統(tǒng)一化管理。在室外區(qū)域，直接采用室外型 AP WA2200X 系列 AP，H3C 室外型 AP 通過 IP66 等級保護，可防水防 塵，直接安裝在外。無 線 控制器模塊最大可管理 640個 AP，通 過在 S7510E 中集成無線控制器模塊，將充分利用核心交換機的高可靠性和高處理性能，同時，與有線網絡的融合度更高。綜合上述分析，對于大規(guī)模部署的校園網無線局域網，我們建議采用 FIT AP 的方案。使得無線局域網的網絡性能、網絡管理和安全管理能力得以大幅提高。在這樣的環(huán)境下，基于無線交 換機技術的第三代 WLAN 產品應運而生。 校園網絡設計方案 第 26 頁, 共 59 頁第一代無線局域網主要是采用 Fat AP（即“胖”AP ），每一臺 AP 都要單獨進行配置，費時、費力、 費成本；第二代無線局域網融入了無線網關功能但還是不能集中進行管理和配置，其管理性和安全性以及對有線 網絡的依賴成為了第一代和第二代 WLAN 產品發(fā)展的瓶頸，由于這一代技術 的 AP 儲存了大量的網 絡和安全的配置，包括加密的鑰匙，Radius client 的安全密碼 (secret) 等，而 AP 又是分散在建筑物中的各個位置，一旦 AP 的配置被盜取 讀出并修改，其無 線網 絡系統(tǒng)就失去了安全性。E126A/E152 教育網交換機支持 IPv6 host，包括 IPv6 單播地址配置，ICMPv6，IPv6 鄰居發(fā)現(xiàn)協(xié)議（ND），IPv6TCP， IPv6TFTP，IPv6TRACERT 管理特性。豐富的業(yè)務支持能力H3C E126A/E152 教育網交換機支持 SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR 三種隊列調度算法，支持每個端口 4/8 個輸出隊列，可以以不同的優(yōu)先級將報文放入端口的輸出隊列。具有即插即用、單一 IP 管理。設備支持 2/4 個 GE 上行，采用固定電口和通用 SFP 的靈活千兆連接方式，在降低用戶 成本的同時，更好的考 慮了用戶后續(xù)升級的實際需求。E126A/E152 教育網交換機支持 VCT（Virtual Cable Test）電纜檢測功能，便于快速定位網絡故障點；并支持 DLDP（Device Link Detection Protocol）單向鏈路檢測協(xié)議，可以有效的防止網絡中單通故障的發(fā)生，大幅提高網 絡維護效率，切實將設備的易用性帶給用戶。支持 CLI 命令行， Web 網管， Tel，HGMP 集群管理，使設備管理更方便。支持對 Proxy 進行有效的管理。E126A/E152 教育網交換機有強大硬件 ACL 能力，能深度識別報文，支持L2～L4 包過濾 功能，提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的IP 地址、IP 協(xié)議類型、 TCP/UDP 端口、TCP/UDP 端口范圍、VLAN、 VLAN 范圍等定義 ACL，以便交換機進行后續(xù)的處理。E126A/E152 教育網交換機支持端口安全特性族，可以有效防范基于 MAC地址的攻擊。同 時支持 IP Source Check 特性，防止包括 MAC 欺 騙、IP 欺騙、MAC/IP 欺騙在內的非法地址仿冒，以及大流量地址仿冒帶來的 DoS 攻擊。H3C S5100EI 系列交換機支持 VCT（Virtual Cable Test）電纜檢測功能，便于快速定位網絡故障點；并支持 DLDP（Device Link Detection Protocol）單向鏈路 校園網絡設計方案 第 24 頁, 共 59 頁檢測協(xié)議，可以有效的防止網絡中單通故障的發(fā)生，大幅提高網絡維護效率，切實將設備的易用性帶給用戶。并且支持 等加密方式，使得管理更加安全。增強的網絡管理和維護的易用性H3C S5100EI 系列交換機支持通過 FTP、TFTP 實現(xiàn)設備 的遠程升級，支持SNMP v1/v2/v3，可支持 Open View 等通用網管平臺，以及 iMC 智能管理中心。支持流量整形保證以太網交換機可以對輸出報文速率進行控制。完善的 QoS 保障H3C S5100EI 系列以太網交換機提供基于 Diffserv 和 的 QoS 特性，可以對報文的 和 DSCP 域優(yōu)先級進行修改等操作，并映射到每端口提供的 8 個 COS 隊列， 隊列調度提供了三種各具特色的 隊列調度算法， 嚴格優(yōu)先級（SP）和整形加權輪循（SDWRR ）調度算法以及 SP+SDWRR 組合調度算法。同時還支持客戶端軟件版本檢測、Guest VLAN 等功能，和 CAMS 服務器配合還可以實現(xiàn)代理檢測、雙網卡檢測等功能。 校園網絡設計方案 第 23 頁, 共 59 頁并且支持基于全局、VLAN、端口（ 組）的 ACL 下發(fā)，有效簡化配置過程并節(jié)約硬件資源?？梢?實現(xiàn)基于 MAC 地址允許/限制流量，或者 設定每個端口允許的MAC 地址的最大數(shù)量，使得某個特定端口上的 MAC 地址可以由管理員靜態(tài)配置，或者由交換機動態(tài)學習。另外，利用 DHCP Snooping 的信任端口特性還可以有效杜絕私設 DHCP 服務器，保證 DHCP 環(huán)境的真實性和一致性。H3C S5100EI 系列交換機支持特有的 ARP 入侵檢測功能，可有效防止黑客或攻擊者通過 ARP 報文實施網絡中逐漸盛行的“中 間人 ”攻擊，對不符合 DHCP Snooping 動態(tài)綁 定表或手工配置的靜態(tài)綁定表的非法