【正文】 冗余電源支持：S7500E 能提供冗余電源。實時熱備份機(jī)制：在系統(tǒng)軟件及硬件的支持下，關(guān)鍵部件在發(fā)生故障能自動啟動備份系統(tǒng)，而且主備之間的切換要能夠?qū)崟r熱倒換，即運行中即使發(fā)生設(shè)備故障切換也不會對網(wǎng)絡(luò)業(yè)務(wù)造成影響。校園網(wǎng)絡(luò)中所采用的核心交換機(jī)和數(shù)據(jù)中心交換機(jī) S7500E 等設(shè)備具有強大的設(shè)備級可靠性保證：采用分布式體系結(jié)構(gòu)： 校園網(wǎng)絡(luò)設(shè)計方案 第 37 頁, 共 59 頁S7500E 采用分布式體系結(jié)構(gòu)，與集中式體系 設(shè)備相比 較，分布式體系設(shè)備除性能可以通過插入更多的接口處理板提高整體性能外，更為關(guān)鍵的是將管理、路由轉(zhuǎn)發(fā)、接口處理等功能分配在不同的部件上， 協(xié) 同工作，分布式體系可以分散故障風(fēng)險、隔離故障、提供冗余配置，提高系統(tǒng)的自動恢復(fù)能力；如管理部件故障，只需要更換這部分板件，不影響其他功能。? 網(wǎng)絡(luò)核心設(shè)備支持軟件在線升級，升級過程中業(yè)務(wù)不中斷。? 網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。? 網(wǎng)絡(luò)核心設(shè)備采用全分布式體系結(jié)構(gòu)，路由與轉(zhuǎn)發(fā)分離。要保證網(wǎng)絡(luò)平臺的可靠性，必須要 選用具備電信級可靠性的網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)，才能使網(wǎng)絡(luò)具有自動恢復(fù)能力、降低人工維護(hù)工作，達(dá)到 電 信級的可靠運行。 物理設(shè)備和鏈路穩(wěn)定性 網(wǎng)絡(luò)結(jié)構(gòu)的可靠性校園網(wǎng)絡(luò)設(shè)計首先從網(wǎng)絡(luò)結(jié)構(gòu)上保證了高可靠性和高冗余性： 校園網(wǎng)絡(luò)設(shè)計方案 第 36 頁, 共 59 頁1)網(wǎng)絡(luò) 核心層和數(shù)據(jù)中心采用雙機(jī)冗余架構(gòu)設(shè)計，通過路由協(xié)議、不間斷路由等技術(shù)配合實現(xiàn)可靠性；2) 網(wǎng)絡(luò)核心層和數(shù)據(jù)中心設(shè)備間互聯(lián)全部采用雙或多 鏈路互聯(lián)，配合路由協(xié)議、VRRP、MSTP 等技術(shù)實現(xiàn)局域網(wǎng)絡(luò)的可靠性。因此在網(wǎng)絡(luò)的設(shè)計實施中必須對網(wǎng)絡(luò)的可靠性進(jìn)行詳盡的考慮和設(shè)計。通過網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)在網(wǎng)絡(luò)維護(hù)和故障解決時，可快速 查找、定位和隔離發(fā)生故障的交換機(jī)所有的端口。在防火墻或路由交換機(jī)通過 IP Source Guard 以及 URPF 特性上解決偽造IP 源地址攻擊。接入層交換機(jī)啟用 ARP 檢測特性，解決 ARP 攻擊和欺騙的問題。本次選用的核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)具有豐富的安全特性，可以解決網(wǎng)絡(luò)中存在的安全問題，詳細(xì)參見下表：攻擊類型攻擊行為 交換機(jī)安全防范特性核心交換機(jī)匯聚交換機(jī)接入交換機(jī)端口 MAC 數(shù)限制 具有 具有 具有禁止某個 VLAN 的 MAC 地址學(xué)習(xí) ＋ 靜態(tài) MAC 表 具有 具有 具有端口安全 具有 具有 具有MAC 表攻擊MAC + IP + 端口綁定,端口安全中的 1 個特性具有 具有 具有DHCP Relay Option 82 具有 具有 具有DHCP Snooping Option 82 具有 具有 具有DHCP DOS攻擊DHCP 報文限速 具有 具有 具有資源耗盡型攻擊CPU 惡意沖擊ARP 限速 具有 具有 具有 校園網(wǎng)絡(luò)設(shè)計方案 第 34 頁, 共 59 頁廣播風(fēng)暴抑制 具有 具有 具有環(huán)路檢測 具有 具有 具有安全準(zhǔn)入特性 具有 具有 具有 具有 具有 具有防范攻擊的其它特性端口安全特性 具有 具有 具有ARP 入侵檢測 具有 具有 具有端口隔離 具有 具有 具有ARP 欺騙攻擊IsolateUserVLAN 具有 具有 具有DHCP relay Security 具有 具有 具有MAC/IP 欺騙攻擊 IP 源地址保護(hù) 具有 具有 具有DHCP 服務(wù)器欺騙攻擊DHCP Snooping Trust 具有 具有 具有STP 根保護(hù) 具有 具有 具有根橋偽裝攻擊 BPDU 保護(hù) 具有 具有 具有TCN 攻擊TCBPDU 報文非立即處理機(jī)制具有 具有 具有假冒偽裝型攻擊路由源偽裝攻擊OSPF/RIP 路由 MD5 驗證 具有 具有二層，不具有 具有 具有 具有SNMPv3 具有 具有 具有用戶信息嗅探 SFTP 具有 具有 具有遠(yuǎn)程管理終端限制(Tel VTY 配置 ACL)具有 具有 具有設(shè)備控制權(quán)攻擊管理人員泄密用戶分級 具有 具有 具有 校園網(wǎng)絡(luò)設(shè)計方案 第 35 頁, 共 59 頁暴力嘗試攻擊遠(yuǎn)程管理終端限制(Tel VTY 配置 ACL)具有 具有 具有在用戶接入安全控制，設(shè)計時采取以下針對性的措施解決以下 MAC、IP 地址的安全問題。同時，ACG 能夠以下審計功能:WEB 應(yīng)用審計——URL；源、目的 IP；訪問時間等應(yīng)用審計——登錄名；上傳或下載文件名；源、目的 IP；訪問時間等Email 應(yīng)用審計 ——POP3 和 SMTP 收發(fā)郵件的郵 件名、 發(fā)件人、收件人等； 校園網(wǎng)絡(luò)設(shè)計方案 第 33 頁, 共 59 頁不支持 WEB Mail 的審計NAT 日志 審計——NAT 前后的 IP、端口號； 時間等；需要與 U200 或 F1000E等支持 FLOW 日志的設(shè)備配合 網(wǎng)絡(luò)安全保護(hù)對于校園網(wǎng)大型應(yīng)用以太網(wǎng)交換機(jī)的系統(tǒng)，網(wǎng)絡(luò)的安全特性非常重要，因以太網(wǎng)工作原理的限制，交換 式網(wǎng)絡(luò)容易造成 MAC、IP 等安全的攻擊。 出口帶寬監(jiān)管校園網(wǎng)絡(luò)應(yīng)用層出不窮，在大大提升了用戶的工作效率的同時也帶來許多負(fù)面影響，針對用戶行為控制的解決方案，需要能夠 解決以下問題：用戶通過 P2P 下載電影造成網(wǎng) 絡(luò)速度變慢，怎么解決用戶在 BBS 上發(fā)布違法帖子，違反信息安全規(guī)定用戶工作時間炒股、打游戲、聊天造成工作效率的下降，怎么解決用戶訪問非法網(wǎng)站易感染病毒，如何控制校園網(wǎng)絡(luò)出口通過間部署一臺 SecPath ACG 網(wǎng)關(guān)，通過在 ACG 應(yīng)用控制網(wǎng)關(guān)，可精確識別 BT、電驢、迅雷、MSN、 Yahoo Messenger、PPLive 等近百種P2P/IM 應(yīng)用，可基于時間、用戶、區(qū)域、應(yīng)用協(xié)議，通過告警、限速、阻斷等手段進(jìn)行靈活控制，保證網(wǎng)速的正常和業(yè)務(wù)不被影響。、 通過配置交換機(jī)所具有的安全功能，加強的網(wǎng)絡(luò)的安全控制。在校園網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)安全建設(shè)主要包括以下幾大部分：、 對重點區(qū)域的安全隔離和訪問控制，通過增加防火墻，實現(xiàn)對業(yè)務(wù)系統(tǒng)資源和外部網(wǎng)絡(luò)安全隔離和訪問權(quán)限的控制。? 有線無線一體化的網(wǎng)管系統(tǒng)采用同一品牌的交換機(jī)和無線局域網(wǎng)產(chǎn)品，通過配置 1 套網(wǎng)絡(luò)管理系統(tǒng)，即 校園網(wǎng)絡(luò)設(shè)計方案 第 31 頁, 共 59 頁可實現(xiàn)有線無線一體化的管理 。 AP 和無線控制器之間可以穿過IPv6 網(wǎng) 絡(luò)互聯(lián)，從而使組 網(wǎng)方式更加靈活，可以滿足今后網(wǎng)絡(luò)發(fā)展的需要，保護(hù)用戶投資。?支持智能的負(fù)載均衡支持智能負(fù)載均衡技術(shù)，保證只對處于 AP 覆蓋重疊區(qū)的無 線用戶才啟動AP 負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量。AP 的功率 調(diào)整和信道切換是網(wǎng)絡(luò) 部署和調(diào)試時不可缺少的重要手段，信道和功率還需要按照國家代碼自動設(shè)置，無線控制器的 RF 管理功能使得網(wǎng)絡(luò)部署非常簡單。該特性使管理員可 校園網(wǎng)絡(luò)設(shè)計方案 第 30 頁, 共 59 頁以方便的為不同用戶群、不同的業(yè)務(wù)制定區(qū)分的服務(wù)策略。? 三層漫游無線控制器支持三層漫游，并支持快速漫游，漫游切換時間小于 50ms，滿足對切換時間要求最苛刻的語音業(yè)務(wù)。? 易于管理、AP“ 零配置”采用無線控制器和 FIT AP 配合組網(wǎng)時，只需要在無線控制器上對一類相同屬性的 AP 建立配置模板，AP 在啟動時可以自動從無 線控制器上下載最新的配置文件，真正做到了零配置，免維護(hù)，即插即用，極大地減輕了網(wǎng)絡(luò)管理員在部署網(wǎng)絡(luò)階段的維護(hù)工作量。 校園網(wǎng)絡(luò)設(shè)計方案 第 29 頁, 共 59 頁在設(shè)備選型中，我們建議無線局域網(wǎng)與交換機(jī)采用相同的品牌，以確保系統(tǒng)的兼容性，并實現(xiàn)統(tǒng)一化管理。在室外區(qū)域，直接采用室外型 AP WA2200X 系列 AP，H3C 室外型 AP 通過 IP66 等級保護(hù)，可防水防 塵，直接安裝在外。無 線 控制器模塊最大可管理 640個 AP，通 過在 S7510E 中集成無線控制器模塊，將充分利用核心交換機(jī)的高可靠性和高處理性能，同時，與有線網(wǎng)絡(luò)的融合度更高。綜合上述分析，對于大規(guī)模部署的校園網(wǎng)無線局域網(wǎng)，我們建議采用 FIT AP 的方案。使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。在這樣的環(huán)境下，基于無線交 換機(jī)技術(shù)的第三代 WLAN 產(chǎn)品應(yīng)運而生。 校園網(wǎng)絡(luò)設(shè)計方案 第 26 頁, 共 59 頁第一代無線局域網(wǎng)主要是采用 Fat AP（即“胖”AP ），每一臺 AP 都要單獨進(jìn)行配置，費時、費力、 費成本；第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置，其管理性和安全性以及對有線 網(wǎng)絡(luò)的依賴成為了第一代和第二代 WLAN 產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù) 的 AP 儲存了大量的網(wǎng) 絡(luò)和安全的配置，包括加密的鑰匙，Radius client 的安全密碼 (secret) 等，而 AP 又是分散在建筑物中的各個位置，一旦 AP 的配置被盜取 讀出并修改，其無 線網(wǎng) 絡(luò)系統(tǒng)就失去了安全性。E126A/E152 教育網(wǎng)交換機(jī)支持 IPv6 host，包括 IPv6 單播地址配置，ICMPv6，IPv6 鄰居發(fā)現(xiàn)協(xié)議（ND），IPv6TCP， IPv6TFTP，IPv6TRACERT 管理特性。豐富的業(yè)務(wù)支持能力H3C E126A/E152 教育網(wǎng)交換機(jī)支持 SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR 三種隊列調(diào)度算法，支持每個端口 4/8 個輸出隊列，可以以不同的優(yōu)先級將報文放入端口的輸出隊列。具有即插即用、單一 IP 管理。設(shè)備支持 2/4 個 GE 上行，采用固定電口和通用 SFP 的靈活千兆連接方式，在降低用戶 成本的同時，更好的考 慮了用戶后續(xù)升級的實際需求。E126A/E152 教育網(wǎng)交換機(jī)支持 VCT（Virtual Cable Test）電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點；并支持 DLDP（Device Link Detection Protocol）單向鏈路檢測協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng) 絡(luò)維護(hù)效率，切實將設(shè)備的易用性帶給用戶。支持 CLI 命令行， Web 網(wǎng)管， Tel，HGMP 集群管理，使設(shè)備管理更方便。支持對 Proxy 進(jìn)行有效的管理。E126A/E152 教育網(wǎng)交換機(jī)有強大硬件 ACL 能力，能深度識別報文，支持L2～L4 包過濾 功能，提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的IP 地址、IP 協(xié)議類型、 TCP/UDP 端口、TCP/UDP 端口范圍、VLAN、 VLAN 范圍等定義 ACL，以便交換機(jī)進(jìn)行后續(xù)的處理。E126A/E152 教育網(wǎng)交換機(jī)支持端口安全特性族，可以有效防范基于 MAC地址的攻擊。同 時支持 IP Source Check 特性，防止包括 MAC 欺 騙、IP 欺騙、MAC/IP 欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 DoS 攻擊。H3C S5100EI 系列交換機(jī)支持 VCT（Virtual Cable Test）電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點；并支持 DLDP（Device Link Detection Protocol）單向鏈路 校園網(wǎng)絡(luò)設(shè)計方案 第 24 頁, 共 59 頁檢測協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實將設(shè)備的易用性帶給用戶。并且支持 等加密方式，使得管理更加安全。增強的網(wǎng)絡(luò)管理和維護(hù)的易用性H3C S5100EI 系列交換機(jī)支持通過 FTP、TFTP 實現(xiàn)設(shè)備 的遠(yuǎn)程升級，支持SNMP v1/v2/v3，可支持 Open View 等通用網(wǎng)管平臺，以及 iMC 智能管理中心。支持流量整形保證以太網(wǎng)交換機(jī)可以對輸出報文速率進(jìn)行控制。完善的 QoS 保障H3C S5100EI 系列以太網(wǎng)交換機(jī)提供基于 Diffserv 和 的 QoS 特性，可以對報文的 和 DSCP 域優(yōu)先級進(jìn)行修改等操作，并映射到每端口提供的 8 個 COS 隊列， 隊列調(diào)度提供了三種各具特色的 隊列調(diào)度算法， 嚴(yán)格優(yōu)先級（SP）和整形加權(quán)輪循（SDWRR ）調(diào)度算法以及 SP+SDWRR 組合調(diào)度算法。同時還支持客戶端軟件版本檢測、Guest VLAN 等功能，和 CAMS 服務(wù)器配合還可以實現(xiàn)代理檢測、雙網(wǎng)卡檢測等功能。 校園網(wǎng)絡(luò)設(shè)計方案 第 23 頁, 共 59 頁并且支持基于全局、VLAN、端口（ 組）的 ACL 下發(fā)，有效簡化配置過程并節(jié)約硬件資源?？梢?實現(xiàn)基于 MAC 地址允許/限制流量，或者 設(shè)定每個端口允許的MAC 地址的最大數(shù)量，使得某個特定端口上的 MAC 地址可以由管理員靜態(tài)配置，或者由交換機(jī)動態(tài)學(xué)習(xí)。另外，利用 DHCP Snooping 的信任端口特性還可以有效杜絕私設(shè) DHCP 服務(wù)器，保證 DHCP 環(huán)境的真實性和一致性。H3C S5100EI 系列交換機(jī)支持特有的 ARP 入侵檢測功能，可有效防止黑客或攻擊者通過 ARP 報文實施網(wǎng)絡(luò)中逐漸盛行的“中 間人 ”攻擊，對不符合 DHCP Snooping 動態(tài)綁 定表或手工配置的靜態(tài)綁定表的非法