【正文】 機還應具有防偽 DHCP Server 的接入， 對終端 ARP 各種形式攻擊的防護。選用的 S5100－EI 系列交換機具有以下特點：靈活的千兆接入和集群管理 校園網(wǎng)絡設計方案 第 22 頁, 共 59 頁H3C S5100EI 系列千兆以太網(wǎng)交換機提供靈活的 16/24/48 個10/100/1000M 自適應電口接入密度；并且支持復用的 SFP 插槽，充分考慮用戶的帶寬升級的實際情況，既可以支持千兆光模塊，也可以支持百兆光模 塊，保 護用戶投資。該系列硬件支持最大 136Gbps 交換容量，保 證所有端口線速交換。具有即插即用、單一 IP管理。全面的接入安全策略H3C S5100EI 系列交換機支持 EAD（端點準入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復等終端安全措施與網(wǎng)絡接入控制、 訪問權限控制等網(wǎng)絡安全措施整合為一個聯(lián)動的安全體系，通 過對網(wǎng)絡接入終端的檢查、隔離、修復、管理和監(jiān)控，使整個網(wǎng)絡變被動防御為主動防御、 變單 點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡對病毒、蠕蟲等新 興安全威脅的整體防御能力。同時支持 IP Source Check 特性，防止包括 MAC 欺騙、IP 欺騙、MAC/IP 欺騙在內的非法地址仿冒，以及大流量地址仿冒帶來的 DoS 攻 擊。H3C S5100EI 系列交換機支持端口安全特性族可以有效防范基于 MAC 地址的攻擊。H3C S5100EI 系列交換機有強大硬件 ACL 能力，能深度識別報文，支持L2~L4 包過濾功能，提供基于源 MAC 地址、目的 MAC、源 IP 地址、目的 IP 地址、IP 協(xié)議類型、物理端口、VLAN、等定義 ACL，以便交 換機進行后續(xù)的處理。H3C S5100EI 系列交換機提供 和集中 MAC 認證方式對接入的用戶進行認證，允 許合法用戶通過， 對于非法用戶則拒 絕其上網(wǎng)。通過這些功能的應用可以對 用戶的合法性進行充分的檢查和控制，最大程度的減少非法用戶對網(wǎng)絡安全的危害。H3C S5100EI 系列以太網(wǎng)交換機支持流量監(jiān)管和帶寬 粒度控制，流量限速的最小粒度為 1Kbit/s，確保 為進入交換機的特定業(yè)務提供帶寬保證，即使在網(wǎng)絡擁塞時，也能 滿足一定的丟包、 時延及時延抖動等 QoS 需求。支持基于流的 報文重定向。支持 CLI 命令行，Web 網(wǎng)管， TELNET，HGMP 集群管理，使設備管理更方便。傳統(tǒng)交換機對端口的鏡像功能都是基于本地實現(xiàn)，鏡像數(shù)據(jù)流無法穿越網(wǎng)絡在核心實現(xiàn)統(tǒng)一采集、監(jiān)控和分析；H3C S5100EI 支持跨交換機的遠程端口鏡像功能（RSPAN），可以將接入端口的流量 鏡像到核心交換機上，在核心上啟動網(wǎng)流分析（Netstream）功能， 對監(jiān)控端口的業(yè)務和流量進行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。H3C E 系列交換機具有以下特點：全面的接入安全策略H3C E126A/E152 教育網(wǎng)交換機支持特有的 ARP 入侵檢測功能，可有效防止黑客或攻擊者通過 ARP 報文實施校園網(wǎng)常見的“ 中間 人”攻擊，對不符合DHCP Snooping 動態(tài)綁定表或手工配置的靜 態(tài)綁定表的非法 ARP 欺騙報文直接丟棄。另外，利用DHCP Snooping 的信任端口特性 還可以有效杜絕學生私設 DHCP 服務器，保證DHCP 環(huán)境的真 實性和一致性。可以實現(xiàn)基于 MAC 地址允許/限制流量，或者 設定每個端口允許的 MAC 地址的最大數(shù)量，使得某個特定端口上的 MAC 地址可以由管理員靜態(tài)配置，或者由交換機動態(tài)學習。E126A/E152 教育網(wǎng)交換機支持集中式 MAC 地址認證和 認證，支持用戶帳號、 IP、MAC、VLAN、端口等用戶標識元素的 動態(tài)或靜態(tài)綁定，同 時實現(xiàn)用戶策略（VLAN 、QoS、ACL）的動態(tài)下發(fā)；支持配合 H3C 公司的 CAMS 系統(tǒng)對在線用戶進行實時的管理，及 時的診斷和瓦解網(wǎng)絡非法行為。增強的網(wǎng)絡管理和維護的易用性H3C E126A/E152 教育網(wǎng)交換機支持通過 FTP、TFTP 實現(xiàn)設備的遠程升級，支持 SNMP v1/v2/v3，可支持 Open View 等通用網(wǎng)管平臺，以及 iMC 智能管理中心。 校園網(wǎng)絡設計方案 第 25 頁, 共 59 頁E126A/E152 教育網(wǎng)交換機支持跨交換機的遠程端口鏡像 RSPAN，可以將接入端口的流量鏡像到核心交換機上，可以 對全網(wǎng)業(yè)務和流量進行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控，滿足校園網(wǎng)精細化管理的需要。高性能與靈活擴展能力H3C E126A/E152 教育網(wǎng)交換機具有 的背板交換容量，支持所有端口線速轉發(fā)， 滿足了教育用戶對高帶寬的需求。E126A/E152 教育網(wǎng)交換機采用專利技術允許交換機利用專用互聯(lián)電纜實現(xiàn)多達 16 臺設備的堆疊，最大擴展至 768 個 10/100M 端口，支持 E126A 和E152 混合堆疊。同時 大大降低系 統(tǒng)擴展的成本，保護了用戶投資。E126A/E152 教育網(wǎng)交換機支持端口限速功能，限速粒度可達 64Kbps，防止惡意侵占網(wǎng)絡帶寬，也 為網(wǎng)絡帶寬的精細化管理提供了手段。 無線網(wǎng)絡設計無線局域網(wǎng)技術經(jīng)過十幾年的發(fā)展，已經(jīng)歷了三代技術及產(chǎn)品的發(fā)展。另外由于 AC 或無線網(wǎng)關的硬件多數(shù)是基于 Pentium 架構的，所以當用戶接入數(shù)量 (IP sessions)增多時，無線網(wǎng)的性能會急劇下降，時 常會發(fā)生掉線或死機情況。第三代無線局域網(wǎng)采用無線交換機和 FIT AP（即“瘦”AP ）的架構，對傳統(tǒng)WLAN 設備的功能做了重新劃分，將密集型的無線網(wǎng)絡和安全處理功能轉移到集中的 WLAN 交換機中 實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應、無線安管、RF 監(jiān)測、無 縫漫游以及 Qos。 校園網(wǎng)絡設計方案 第 27 頁, 共 59 頁室內無線覆蓋將使用大量無線接入點（AP）提供無線網(wǎng)絡接入服務，必須有效實現(xiàn)多個 AP 的統(tǒng)一策略部署和可靠的安全認證機制，因此，采用 FIT AP 的解決方案，即采用無線控制器 結合瘦 AP 與無線網(wǎng) 絡管理系統(tǒng)的架構。無線網(wǎng)絡結構參見下圖： 校園網(wǎng)絡設計方案 第 28 頁, 共 59 頁中心交換機H 3 C S 7 5 0 2 E服務器系統(tǒng)用戶管理系統(tǒng)H 3 C C A M S匯聚交換機H 3 C S 5 5 0 0 E I接入交換機H 3 C S 5 1 0 0辦公樓千兆到桌面數(shù)據(jù)中心匯聚交換機H 3 C S 5 5 0 0 E I核心交換機H 3 C S 7 5 1 0 E網(wǎng)絡中心機房圖書館 、 實驗樓等百兆到桌面接入交換機H 3 C E 1 5 2 / 1 2 6 A宿舍區(qū)百兆到桌面網(wǎng)絡出口教 育 科 研 網(wǎng)電 信 / 網(wǎng) 通出口路由器H 3 C S R 6 6 0 4應用流量控制H 3 C A C G － 2 0 0 0 M宿舍區(qū)百兆到桌面匯聚交換機H 3 C S 5 5 0 0 E I匯聚交換機H 3 C S 5 5 0 0 E I內置防火墻接入交換機H 3 C E 1 5 2 / 1 2 6 A校園網(wǎng)骨干無線網(wǎng)控制器A C 模塊無線 A P 無線 A P接入交換機H 3 C E 1 5 2 / 1 2 6 A無線網(wǎng)絡組成包括以下部分：無線控制系統(tǒng)，設備建議部署在網(wǎng)絡中心， 為確保整個無線網(wǎng)絡的高可性，建議采用在核心交換機配置無線控制模塊，通過交換機的高性能來實現(xiàn)路由和轉發(fā)，并配置無線控制器模 塊實現(xiàn)無線的管理。無線 AP，根據(jù)實際需求，室內區(qū)域，包括 辦公室、 圖書館等，AP 采用 Fit AP，選 用 WA2110－AG， AP 與無線控制器組成無 線網(wǎng)，室內 AP 連接到最近的訪問層交換機。建議配套 H3C WSM 無線業(yè)務管理系統(tǒng)，實現(xiàn)對 無線網(wǎng)絡的管理，通過WSM 無 線業(yè)務管理器，用 戶可以獲得全面的無線業(yè)務管理能力。采用 FIT AP 解決方案構建的無線局域網(wǎng)具有以下功能和特點：? 方便部署FIT AP 解決方案采用集中式架構，在不改 變其網(wǎng)絡的原有規(guī)劃和部署的情況下，甚至不需要中斷原有網(wǎng)絡就可以輕松疊加一個無線網(wǎng)絡，該無線網(wǎng)絡和原有的有線網(wǎng)絡可以形成有線無線一體化的接入方案，可以大大減少網(wǎng)絡升級和部署的成本。?方便升級FIT AP 還支持軟件自動更新功能，在其每次重新啟 動時會自動比較當前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，AP會自動更新本地的軟件映像， 軟件升級不再需要網(wǎng)管人員的干預。?支持虛擬 APFIT AP 支持多 SSID 實現(xiàn) 虛擬 AP 特性，每個 SSID 可對應不同的 VLAN、從而對于每一個 SSID 可以 實現(xiàn)不同的網(wǎng)絡服務及 認證方式。? 豐富的 RF 管理和安全RF 管理功能，可以使得無線網(wǎng)絡的布網(wǎng)靈活性大大增強，網(wǎng)絡的可維護性得到很大的提高。RSSI/SNR 的不斷更新，更是讓系統(tǒng)可以適時了解每一個無線用戶所處電磁環(huán)境的好壞、離 AP 的距離，從而可以采取相應的策略來提升網(wǎng)絡可用性。? IPv6無線控制器實現(xiàn)了 IPv4/IPv6 雙協(xié)議棧。? 完善的 QoS無線控制器支持 DiffServ 標準包括流分類、流量 監(jiān)管（Policing ）、隊列管理、隊列調度（Scheduling）等，完整 實現(xiàn)了標準中定義的 EF、AF1～AFBE 等六組PHB 及 業(yè)務，可為用戶提供具有不同服務質量等級 的服務保證， 真正成為同時承載數(shù)據(jù)、 語音和視頻業(yè)務 的綜合網(wǎng)絡。 網(wǎng)絡安全性設計校園網(wǎng)絡承載多種業(yè)務系統(tǒng)，并實現(xiàn)與外界網(wǎng)絡的互聯(lián)互通，為確保業(yè)務系統(tǒng)的安全性，需根據(jù)不同的 業(yè)務類型，采取相 應的安全措施。、 網(wǎng)絡出口部署應用控制網(wǎng)關，實現(xiàn)對校園網(wǎng)用戶的行為審計和監(jiān)管。 重要安全區(qū)域隔離為使網(wǎng)絡能夠阻止、檢測由面向學生開放的業(yè)務資源、校外其它用戶發(fā)起的異常流量和攻擊，對數(shù)據(jù)中心和網(wǎng)絡出口等重要區(qū)域進行保護，網(wǎng)絡設計時使用防火墻實現(xiàn)各區(qū)域的安全隔離,參見下圖：中心交換機H 3 C S 7 5 0 2 E服務器系統(tǒng)用戶管理系統(tǒng)H 3 C C A M S匯聚交換機H 3 C S 5 5 0 0 E I接入交換機H 3 C S 5 1 0 0辦公樓千兆到桌面數(shù)據(jù)中心匯聚交換機H 3 C S 5 5 0 0 E I核心交換機H 3 C S 7 5 1 0 E網(wǎng)絡中心機房圖書館 、 實驗樓等百兆到桌面接入交換機H 3 C E 1 5 2 / 1 2 6 A宿舍區(qū)百兆到桌面網(wǎng)絡出口教 育 科 研 網(wǎng)電 信 / 網(wǎng) 通出口路由器H 3 C S R 6 6 0 4應用流量控制H 3 C A C G － 2 0 0 0 M宿舍區(qū)百兆到桌面匯聚交換機H 3 C S 5 5 0 0 E I匯聚交換機H 3 C S 5 5 0 0 E I內置防火墻接入交換機H 3 C E 1 5 2 / 1 2 6 A校園網(wǎng)骨干無線網(wǎng)控制器A C 模塊無線 A P 無線 A P接入交換機H 3 C E 1 5 2 / 1 2 6 A 校園網(wǎng)絡設計方案 第 32 頁, 共 59 頁通過在核心交換機增加防火墻模塊，同時為數(shù)據(jù)中心和網(wǎng)絡出口提供安全區(qū)、虛擬接口等特點，提供高達6Gbps 處理性能，并充分利用核心交換機的高可靠性，為確保系統(tǒng)的可靠性，并分別在兩臺中心交換機上配置防火墻模塊，實現(xiàn)防火墻 的負載分擔和冗余備份。ACG 采用先進的分析技術，能對網(wǎng)絡多媒體、網(wǎng) 絡游戲、炒股等 應用進行識別與控制，通過 URL 過濾 、關 鍵字過濾、內容過濾 等多種訪問控制策略，控制非法應用， 過濾非法網(wǎng)站，規(guī)范用戶上網(wǎng)行為，提高員 工工作效率。對此，需通過交換機的安全特性加以防護。通過接入層交換機進行 IP、MAC、端口的 綁定或認證系統(tǒng)的實施，解決IP 地址沖突和 IP 地址欺騙。接入層交換機啟用 DHCP 安全特性，解決用戶私自架設非法 DHCP 服務器的問題。交換機啟用 ARP 報文限制，解決 導致交換機或客 戶端 ARP 表溢出或DHCP 服務器地址耗盡的問題。 網(wǎng)絡可靠性設計各業(yè)務系統(tǒng)的安全運行，對網(wǎng)絡系統(tǒng)的可靠性提出了很高的要求。網(wǎng)絡系統(tǒng)的可靠性包括設備和鏈路冗余、數(shù)據(jù) 鏈路層穩(wěn)定性以及網(wǎng)絡層穩(wěn)定性三大方面。 設備級冗余性設計網(wǎng)絡核心節(jié)點設備的可靠是確保整個網(wǎng)絡的有效運轉的關鍵所在。 網(wǎng)絡關鍵設備必須具有電信級可靠性網(wǎng)絡中的關鍵設備，如核心路由器等，應該具備電信級可靠性：? 可靠性指標必須達到 %。? 所有關鍵器件，如主控板、電源等都采用冗余設計， 業(yè)務模塊支持熱插拔。主備倒換過程不影響業(yè)務轉發(fā)，不丟包。? 網(wǎng)絡核心設備支持軟件熱補丁，打補丁過程中主控板和接口板都不需要重啟動，業(yè)務不中斷。關鍵部件冗余：S7500E 采用分布式體系下，對設備的關鍵部件，如主控管理 單元、交 換轉發(fā)單元等， 進行冗余構造配置，保證系統(tǒng)在工作中不會全部失效。熱插拔特性：S7500E 任意單板均支持熱插拔特性，保 證系統(tǒng)出現(xiàn) 故障需要維護，或系統(tǒng)需要升級擴展時，不需要停機 處理，保 證網(wǎng)絡的 724 小時不間