【正文】 PN網(wǎng)關(guān)隧道資源；如果采用單獨(dú)的VPN網(wǎng)關(guān)與企業(yè)總部網(wǎng)關(guān)建立VPN隧道，又面臨投資過(guò)大的問(wèn)題。 園區(qū)網(wǎng)出口安全隨著現(xiàn)代社會(huì)網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)日益發(fā)展擴(kuò)大，辦事處、分支機(jī)構(gòu)以及商業(yè)合作伙伴逐步增多，如何將這些小型的辦公網(wǎng)絡(luò)和企業(yè)總部網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)靈活而有效的互聯(lián)，并且與整個(gè)企業(yè)網(wǎng)絡(luò)安全方案有機(jī)融合，提高企業(yè)信息化程度，優(yōu)化商業(yè)運(yùn)作效率，成為企業(yè)IT網(wǎng)絡(luò)設(shè)計(jì)亟待解決的問(wèn)題；大量普及的SOHO網(wǎng)絡(luò)、小型辦公網(wǎng)絡(luò)、智能家居網(wǎng)絡(luò)也越來(lái)越注重接入的便捷性和網(wǎng)絡(luò)安全性。園區(qū)網(wǎng)中防火墻功能無(wú)論是獨(dú)立設(shè)備部署還是集成在核心/匯聚交換機(jī)內(nèi)部，都必須支持靈活的業(yè)務(wù)流控制策略配置，能把特定的流量引到防火墻進(jìn)行處理，其他流量進(jìn)行旁路。園區(qū)內(nèi)部邊界防御是將企業(yè)內(nèi)部劃分為多個(gè)區(qū)域，分為信任區(qū)域和非信任區(qū)域，分別實(shí)施不同的安全策略，包括部署區(qū)域間隔離、受限訪問(wèn)、防止來(lái)自區(qū)域內(nèi)部的DOS攻擊等安卻措施。園區(qū)出口連接Internet和企業(yè)WAN網(wǎng)的接入，企業(yè)外部網(wǎng)路尤其Internet網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險(xiǎn)點(diǎn)，通過(guò)在企業(yè)出口部署高性能防火墻設(shè)備、或者在核心交換機(jī)內(nèi)置防火墻模塊，可以很好的緩解風(fēng)險(xiǎn)的傳播，阻擋來(lái)自Internet/企業(yè)外部網(wǎng)絡(luò)攻擊行為的發(fā)生。同時(shí)園區(qū)網(wǎng)交換機(jī)支持組播報(bào)文抑制，可基于端口限制組播報(bào)文流量百分比或速率閾值。園區(qū)網(wǎng)交換機(jī)需要識(shí)別惡意廣播流量的VLAN ID，通過(guò)基于VLAN的廣播風(fēng)暴抑制丟棄惡意廣播報(bào)文而不影響正常廣播報(bào)文流量轉(zhuǎn)發(fā)。另外通過(guò)園區(qū)交換機(jī)的MAC地址與端口綁定來(lái)限制跨端口的MAC掃描攻擊。交換機(jī)二層MAC轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表，華為園區(qū)交換機(jī)支持基于端口/VLAN的MAC學(xué)習(xí)數(shù)目限制，同時(shí)支持MAC表學(xué)習(xí)速率限制，有效防御MAC地址掃描攻擊行為。2) 防MAC地址掃描攻擊以太網(wǎng)交換機(jī)的MAC地址轉(zhuǎn)發(fā)表作為二層報(bào)文轉(zhuǎn)發(fā)的核心，在受到攻擊的時(shí)候，直接導(dǎo)致交換機(jī)無(wú)法正常工作。如果用戶使用相同的源IP進(jìn)行地址掃描攻擊，交換機(jī)還可以基于源IP做ARP miss統(tǒng)計(jì)。在上述基礎(chǔ)上，交換機(jī)還支持基于接口設(shè)置ARP miss的速率。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)；否則，經(jīng)過(guò)一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可引起網(wǎng)絡(luò)中斷。 防IP/MAC地址掃描攻擊1) 防IP掃描攻擊地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報(bào)文。對(duì)于用戶終端沒(méi)有使用DHCP動(dòng)態(tài)獲取IP地址的場(chǎng)景，可采用靜態(tài)添加用戶網(wǎng)關(guān)相關(guān)信息的靜態(tài)綁定表。這樣，可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。另外，DHCPSnooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLANID 接口等信息，DHCP Snooping綁定表可以基于DHCP過(guò)程動(dòng)態(tài)生成，也可以通過(guò)靜態(tài)配置生成，此時(shí)需預(yù)先準(zhǔn)備用戶的IP 地址、MAC地址、用戶所屬VLAN ID、用戶所屬接口等信息。園區(qū)網(wǎng)全方位的安全設(shè)計(jì)方案保證內(nèi)部、外部用戶訪問(wèn)園區(qū)網(wǎng)資源的安全性。當(dāng)用戶察覺(jué)到某MAC地址的報(bào)文具有一定攻擊性，則可以在園區(qū)交換機(jī)上配置黑洞MAC，從而將具有該MAC地址的報(bào)文過(guò)濾掉，避免遭受攻擊。華為全系列交換機(jī)可以通過(guò)MAC地址與端口的綁定以及限制端口/VLAN/VSI下MAC地址的最大學(xué)習(xí)個(gè)數(shù)可防止MAC掃描，并通過(guò)VLAN、IP、MAC之間的任意綁定可防范ARP攻擊（SAI/DAI功能）。發(fā)生MAC地址攻擊的時(shí)候，攻擊者通過(guò)不停的發(fā)送MAC地址來(lái)刷新，填充交換機(jī)的MAC地址表，由于MAC地址表的規(guī)格有限，導(dǎo)致正常流量由于沒(méi)有正確的轉(zhuǎn)發(fā)表項(xiàng)而無(wú)法正常轉(zhuǎn)發(fā)。華為全系列交換機(jī)支持的攻擊防范功能包括防DDOS攻擊、IP欺騙攻擊、Land攻擊、Ping of Death攻擊、Teardrop攻擊、ICMP Flood攻擊、SYN FLOOD攻擊等。這就要求具有強(qiáng)大靈活的自身防護(hù)功能,以不變應(yīng)萬(wàn)變的方法,才能抵擋日益泛濫的網(wǎng)絡(luò)攻擊。 完善的各種告警功能216。 獨(dú)立的設(shè)備監(jiān)控單元，和主控解耦216。 模塊化的風(fēng)扇設(shè)計(jì)，高端配置支持單風(fēng)扇失效216。 交換網(wǎng)1+1/1:1兩種方式216。 設(shè)備高可靠性設(shè)計(jì) 重要部件冗余設(shè)備本身要具有電信級(jí)5個(gè)9的可靠性，需要網(wǎng)絡(luò)設(shè)備支持:216。接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機(jī)與匯聚交換機(jī)之間通過(guò)Smart Link/STP/RSTP/MSTP/RRPP保證網(wǎng)絡(luò)可靠性，同時(shí)解決二層網(wǎng)絡(luò)環(huán)路問(wèn)題；匯聚層交換機(jī)之間通過(guò)VRRP（BFD for VRRP）協(xié)議確定用戶的主備網(wǎng)關(guān)，交換機(jī)互聯(lián)通過(guò)TRUNK鏈路，保證鏈路級(jí)可靠性，匯聚交換機(jī)與接入交換機(jī)之間可通過(guò)DLDP協(xié)議檢測(cè)光纖單向故障（單通故障）。 可靠性增強(qiáng)，有SNMP能力的PoE裝置，可實(shí)施遠(yuǎn)程檢測(cè)和控制，能有效地處理或修理裝置的耗電量和（或）失效故障。PoE具有非常明顯的優(yōu)勢(shì)，具體如下：簡(jiǎn)化安裝，降低成本，不需為每個(gè)網(wǎng)絡(luò)設(shè)備單獨(dú)提供數(shù)據(jù)和電力線纜。如果不使用PoE設(shè)備，就需要給每個(gè)AP配一個(gè)UPS，而且還需要在AP附近安裝電源插座，增加了成本。 全面的PoE解決方案PoE設(shè)備的原理是通過(guò)非屏蔽雙絞線中四對(duì)線中的兩對(duì)線來(lái)傳輸電源，傳輸數(shù)據(jù)的同時(shí)傳輸直流電。 穩(wěn)定性華為 WLAN穩(wěn)定性解決方案從無(wú)線控制器的可靠性，接入交換機(jī)供電的可靠性、無(wú)線信號(hào)的可靠性這幾方面入手，極大的提高了WLAN網(wǎng)絡(luò)的可靠性；在實(shí)際的使用情況來(lái)看，啟用這些措施之后，WLAN的可靠性能夠得到明顯的提升。而且無(wú)線接入點(diǎn)檢測(cè)到電壓將要無(wú)法供應(yīng)的情況下（復(fù)位或故障），上報(bào)該告警，描述最后的工作狀態(tài)，方便故障定位。 統(tǒng)一的網(wǎng)絡(luò)管理、智能運(yùn)維 統(tǒng)一的網(wǎng)絡(luò)管理設(shè)備可以實(shí)現(xiàn)有線無(wú)線網(wǎng)絡(luò)的統(tǒng)一化管理，簡(jiǎn)易網(wǎng)絡(luò)管理操作，結(jié)合智能化的網(wǎng)絡(luò)運(yùn)維提升了網(wǎng)絡(luò)管理效率。隨著無(wú)線網(wǎng)絡(luò)的擴(kuò)展，新添加的無(wú)線接入點(diǎn)能自動(dòng)檢測(cè)到無(wú)線控制器，并下載相應(yīng)的配置信息以及策略信息，無(wú)需任何手動(dòng)操作。設(shè)備的零配置部署功能可以在無(wú)線改造現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上輕松部署WLAN。 部署方便、擴(kuò)展靈活 WLAN網(wǎng)絡(luò)部署簡(jiǎn)化，安裝便捷。用戶移動(dòng)到新的接入點(diǎn)時(shí)，如果用戶之前已經(jīng)認(rèn)證過(guò)，則用戶此時(shí)無(wú)需再次通過(guò)安全認(rèn)證，直接接入，保證用戶業(yè)務(wù)的連續(xù)性。因此基于SSID的限速，可以避免其中一種業(yè)務(wù)流量過(guò)大對(duì)其他業(yè)務(wù)造成影響。VLAN構(gòu)建一個(gè)單獨(dú)的訪客網(wǎng)絡(luò)為客戶、供應(yīng)商等訪客人士提供互聯(lián)網(wǎng)服務(wù)訪問(wèn)權(quán)限。設(shè)備安全：無(wú)線接入點(diǎn)AP提供“零配置”功能，無(wú)需在設(shè)備保存業(yè)務(wù)配置，僅啟動(dòng)的時(shí)候自動(dòng)從無(wú)線控制器加載業(yè)務(wù)配置，這樣可以避免設(shè)備丟失造成配置泄漏而形成對(duì)無(wú)線網(wǎng)絡(luò)的安全威脅。同時(shí)可以通過(guò)部署VLAN隔離、端口隔離等業(yè)務(wù)隔離技術(shù)避免用戶間相互影響。 用戶接入安全：華為園區(qū)WLAN解決方案提供了多樣化的用戶接入認(rèn)證以及加密解決方案。 216。根據(jù)用戶需求，通過(guò)在華為系列交換機(jī)中加入無(wú)線控制器插卡或者使用單獨(dú)的無(wú)線控制器，就可為原有的有線網(wǎng)絡(luò)提供無(wú)線支持，還可以像擴(kuò)展和管理傳統(tǒng)有線網(wǎng)絡(luò)一樣，對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行擴(kuò)展和管理。例如VoWiFi、無(wú)線監(jiān)控等業(yè)務(wù)，解決了園區(qū)內(nèi)部和各園區(qū)之間通訊費(fèi)用高、無(wú)線監(jiān)控和無(wú)線多媒體教學(xué)的問(wèn)題，讓無(wú)線接入變得更有價(jià)值。應(yīng)用問(wèn)題：隨著WLAN技術(shù)的逐步成熟，市場(chǎng)上各種各樣的WLAN終端如筆記本電腦、PDA、雙模手機(jī)、支持WiFi的游戲機(jī)、即拍即傳的數(shù)碼相機(jī)如雨后春筍般涌現(xiàn)出來(lái)，同時(shí)價(jià)格越來(lái)越低，普及程度越來(lái)越高，使得無(wú)線新業(yè)務(wù)在園區(qū)網(wǎng)中的豐富應(yīng)用成為可能。擴(kuò)展問(wèn)題：WLAN技術(shù)的發(fā)展日新月異，新技術(shù)、新標(biāo)準(zhǔn)層出不窮，在教育行業(yè)一個(gè)重要的門(mén)檻技術(shù)是IPv6。因此，通常引入無(wú)線網(wǎng)絡(luò)會(huì)降低安全性，整個(gè)網(wǎng)絡(luò)管理起來(lái)比較復(fù)雜，并且維護(hù)成本也比預(yù)期高。在無(wú)線園區(qū)網(wǎng)絡(luò)環(huán)境中尤為如此。無(wú)線網(wǎng)絡(luò)的安全問(wèn)題已經(jīng)不再是單一的物理層安全，也包括了用戶接入安全、網(wǎng)絡(luò)層安全、設(shè)備安全、安全管理等多個(gè)層面上，如何能使企業(yè)無(wú)線用戶在使用網(wǎng)絡(luò)時(shí)能夠像使用有線網(wǎng)絡(luò)一樣安全、可靠，正逐漸成為無(wú)線企業(yè)網(wǎng)絡(luò)建設(shè)所關(guān)注的核心。對(duì)無(wú)線網(wǎng)絡(luò)的用戶來(lái)說(shuō)，所有有線網(wǎng)絡(luò)存在的安全威脅和隱患都同樣存在。所以如何實(shí)時(shí)根據(jù)環(huán)境動(dòng)態(tài)調(diào)整無(wú)線接入點(diǎn)的信道、發(fā)射功率等也是經(jīng)常困擾無(wú)線校園管理人員的難題。然而，隨著無(wú)線網(wǎng)絡(luò)的發(fā)展，一些新的需求也逐漸變得越來(lái)越強(qiáng)烈。瘦AP的另一個(gè)好處是實(shí)現(xiàn)了三層漫游環(huán)境下避免重新認(rèn)證，從而使漫游切換時(shí)間小于50ms。從而實(shí)現(xiàn)易維護(hù)、易管理。它為園區(qū)提供了具有部署方便性、安全性、可擴(kuò)展性的無(wú)線網(wǎng)絡(luò)，讓用戶可以在園區(qū)中的任何可以收到無(wú)線信號(hào)的地方立即訪問(wèn)各種網(wǎng)絡(luò)服務(wù)。無(wú)線局域網(wǎng)WLAN(Wireless Local Area Network )作為有線以太網(wǎng)的延伸，一定程度上滿足了這種需求。并且可以通進(jìn)擴(kuò)展防火墻模塊等方面，實(shí)現(xiàn)數(shù)據(jù)中心的安全。我們建議采用華為的S7700系列高性能交換機(jī)，采用雙機(jī)雙電源。核心交換機(jī)的主要功能是連接服務(wù)器，因此必須考慮企業(yè)未來(lái)的業(yè)務(wù)增長(zhǎng)，核心交換機(jī)必須具有很好的擴(kuò)展性，隨著以后網(wǎng)絡(luò)的擴(kuò)展，必須具有多個(gè)插槽，以便以后網(wǎng)絡(luò)擴(kuò)展的時(shí)候能夠增加網(wǎng)絡(luò)模塊。 數(shù)據(jù)中心解決方案數(shù)據(jù)中心的設(shè)計(jì)目標(biāo)是實(shí)現(xiàn)高冗余、高帶寬、高安全性、高可靠性等目的。提供網(wǎng)絡(luò)的第一級(jí)接入功能，一般完成簡(jiǎn)單的二層交換，安全、Qos都位于這一層。匯聚交換機(jī)需要提供高密度的GE接口，匯聚接入交換機(jī)的流量，通過(guò)10GE接口接到核心交換機(jī)，推薦使用S9300系列交換機(jī)作為園區(qū)匯聚層交換機(jī)。根據(jù)需要，可以在匯聚交換機(jī)上集成增值業(yè)務(wù)板卡（如防火墻，負(fù)載均衡器、WLAN AC控制器）或者旁掛獨(dú)立的增值業(yè)務(wù)設(shè)