【正文】 機(jī)還應(yīng)具有防偽 DHCP Server 的接入， 對終端 ARP 各種形式攻擊的防護(hù)。選用的 S5100－EI 系列交換機(jī)具有以下特點：靈活的千兆接入和集群管理 校園網(wǎng)絡(luò)設(shè)計方案 第 22 頁, 共 59 頁H3C S5100EI 系列千兆以太網(wǎng)交換機(jī)提供靈活的 16/24/48 個10/100/1000M 自適應(yīng)電口接入密度；并且支持復(fù)用的 SFP 插槽，充分考慮用戶的帶寬升級的實際情況，既可以支持千兆光模塊，也可以支持百兆光模 塊，保 護(hù)用戶投資。該系列硬件支持最大 136Gbps 交換容量，保 證所有端口線速交換。具有即插即用、單一 IP管理。全面的接入安全策略H3C S5100EI 系列交換機(jī)支持 EAD（端點準(zhǔn)入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、 訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通 過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、 變單 點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新 興安全威脅的整體防御能力。同時支持 IP Source Check 特性，防止包括 MAC 欺騙、IP 欺騙、MAC/IP 欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 DoS 攻 擊。H3C S5100EI 系列交換機(jī)支持端口安全特性族可以有效防范基于 MAC 地址的攻擊。H3C S5100EI 系列交換機(jī)有強(qiáng)大硬件 ACL 能力，能深度識別報文，支持L2~L4 包過濾功能，提供基于源 MAC 地址、目的 MAC、源 IP 地址、目的 IP 地址、IP 協(xié)議類型、物理端口、VLAN、等定義 ACL，以便交 換機(jī)進(jìn)行后續(xù)的處理。H3C S5100EI 系列交換機(jī)提供 和集中 MAC 認(rèn)證方式對接入的用戶進(jìn)行認(rèn)證，允 許合法用戶通過， 對于非法用戶則拒 絕其上網(wǎng)。通過這些功能的應(yīng)用可以對 用戶的合法性進(jìn)行充分的檢查和控制，最大程度的減少非法用戶對網(wǎng)絡(luò)安全的危害。H3C S5100EI 系列以太網(wǎng)交換機(jī)支持流量監(jiān)管和帶寬 粒度控制，流量限速的最小粒度為 1Kbit/s，確保 為進(jìn)入交換機(jī)的特定業(yè)務(wù)提供帶寬保證，即使在網(wǎng)絡(luò)擁塞時，也能 滿足一定的丟包、 時延及時延抖動等 QoS 需求。支持基于流的 報文重定向。支持 CLI 命令行，Web 網(wǎng)管， TELNET，HGMP 集群管理，使設(shè)備管理更方便。傳統(tǒng)交換機(jī)對端口的鏡像功能都是基于本地實現(xiàn)，鏡像數(shù)據(jù)流無法穿越網(wǎng)絡(luò)在核心實現(xiàn)統(tǒng)一采集、監(jiān)控和分析；H3C S5100EI 支持跨交換機(jī)的遠(yuǎn)程端口鏡像功能（RSPAN），可以將接入端口的流量 鏡像到核心交換機(jī)上，在核心上啟動網(wǎng)流分析（Netstream）功能， 對監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。H3C E 系列交換機(jī)具有以下特點：全面的接入安全策略H3C E126A/E152 教育網(wǎng)交換機(jī)支持特有的 ARP 入侵檢測功能，可有效防止黑客或攻擊者通過 ARP 報文實施校園網(wǎng)常見的“ 中間 人”攻擊，對不符合DHCP Snooping 動態(tài)綁定表或手工配置的靜 態(tài)綁定表的非法 ARP 欺騙報文直接丟棄。另外，利用DHCP Snooping 的信任端口特性 還可以有效杜絕學(xué)生私設(shè) DHCP 服務(wù)器，保證DHCP 環(huán)境的真 實性和一致性。可以實現(xiàn)基于 MAC 地址允許/限制流量，或者 設(shè)定每個端口允許的 MAC 地址的最大數(shù)量，使得某個特定端口上的 MAC 地址可以由管理員靜態(tài)配置，或者由交換機(jī)動態(tài)學(xué)習(xí)。E126A/E152 教育網(wǎng)交換機(jī)支持集中式 MAC 地址認(rèn)證和 認(rèn)證，支持用戶帳號、 IP、MAC、VLAN、端口等用戶標(biāo)識元素的 動態(tài)或靜態(tài)綁定，同 時實現(xiàn)用戶策略（VLAN 、QoS、ACL）的動態(tài)下發(fā)；支持配合 H3C 公司的 CAMS 系統(tǒng)對在線用戶進(jìn)行實時的管理，及 時的診斷和瓦解網(wǎng)絡(luò)非法行為。增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3C E126A/E152 教育網(wǎng)交換機(jī)支持通過 FTP、TFTP 實現(xiàn)設(shè)備的遠(yuǎn)程升級，支持 SNMP v1/v2/v3，可支持 Open View 等通用網(wǎng)管平臺，以及 iMC 智能管理中心。 校園網(wǎng)絡(luò)設(shè)計方案 第 25 頁, 共 59 頁E126A/E152 教育網(wǎng)交換機(jī)支持跨交換機(jī)的遠(yuǎn)程端口鏡像 RSPAN，可以將接入端口的流量鏡像到核心交換機(jī)上，可以 對全網(wǎng)業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控，滿足校園網(wǎng)精細(xì)化管理的需要。高性能與靈活擴(kuò)展能力H3C E126A/E152 教育網(wǎng)交換機(jī)具有 的背板交換容量，支持所有端口線速轉(zhuǎn)發(fā)， 滿足了教育用戶對高帶寬的需求。E126A/E152 教育網(wǎng)交換機(jī)采用專利技術(shù)允許交換機(jī)利用專用互聯(lián)電纜實現(xiàn)多達(dá) 16 臺設(shè)備的堆疊，最大擴(kuò)展至 768 個 10/100M 端口，支持 E126A 和E152 混合堆疊。同時 大大降低系 統(tǒng)擴(kuò)展的成本，保護(hù)了用戶投資。E126A/E152 教育網(wǎng)交換機(jī)支持端口限速功能，限速粒度可達(dá) 64Kbps，防止惡意侵占網(wǎng)絡(luò)帶寬，也 為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。 無線網(wǎng)絡(luò)設(shè)計無線局域網(wǎng)技術(shù)經(jīng)過十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。另外由于 AC 或無線網(wǎng)關(guān)的硬件多數(shù)是基于 Pentium 架構(gòu)的，所以當(dāng)用戶接入數(shù)量 (IP sessions)增多時，無線網(wǎng)的性能會急劇下降，時 常會發(fā)生掉線或死機(jī)情況。第三代無線局域網(wǎng)采用無線交換機(jī)和 FIT AP（即“瘦”AP ）的架構(gòu)，對傳統(tǒng)WLAN 設(shè)備的功能做了重新劃分，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機(jī)中 實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應(yīng)、無線安管、RF 監(jiān)測、無 縫漫游以及 Qos。 校園網(wǎng)絡(luò)設(shè)計方案 第 27 頁, 共 59 頁室內(nèi)無線覆蓋將使用大量無線接入點（AP）提供無線網(wǎng)絡(luò)接入服務(wù)，必須有效實現(xiàn)多個 AP 的統(tǒng)一策略部署和可靠的安全認(rèn)證機(jī)制，因此，采用 FIT AP 的解決方案，即采用無線控制器 結(jié)合瘦 AP 與無線網(wǎng) 絡(luò)管理系統(tǒng)的架構(gòu)。無線網(wǎng)絡(luò)結(jié)構(gòu)參見下圖： 校園網(wǎng)絡(luò)設(shè)計方案 第 28 頁, 共 59 頁中心交換機(jī)H 3 C S 7 5 0 2 E服務(wù)器系統(tǒng)用戶管理系統(tǒng)H 3 C C A M S匯聚交換機(jī)H 3 C S 5 5 0 0 E I接入交換機(jī)H 3 C S 5 1 0 0辦公樓千兆到桌面數(shù)據(jù)中心匯聚交換機(jī)H 3 C S 5 5 0 0 E I核心交換機(jī)H 3 C S 7 5 1 0 E網(wǎng)絡(luò)中心機(jī)房圖書館 、 實驗樓等百兆到桌面接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A宿舍區(qū)百兆到桌面網(wǎng)絡(luò)出口教 育 科 研 網(wǎng)電 信 / 網(wǎng) 通出口路由器H 3 C S R 6 6 0 4應(yīng)用流量控制H 3 C A C G － 2 0 0 0 M宿舍區(qū)百兆到桌面匯聚交換機(jī)H 3 C S 5 5 0 0 E I匯聚交換機(jī)H 3 C S 5 5 0 0 E I內(nèi)置防火墻接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A校園網(wǎng)骨干無線網(wǎng)控制器A C 模塊無線 A P 無線 A P接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A無線網(wǎng)絡(luò)組成包括以下部分：無線控制系統(tǒng)，設(shè)備建議部署在網(wǎng)絡(luò)中心， 為確保整個無線網(wǎng)絡(luò)的高可性，建議采用在核心交換機(jī)配置無線控制模塊，通過交換機(jī)的高性能來實現(xiàn)路由和轉(zhuǎn)發(fā)，并配置無線控制器模 塊實現(xiàn)無線的管理。無線 AP，根據(jù)實際需求，室內(nèi)區(qū)域，包括 辦公室、 圖書館等，AP 采用 Fit AP，選 用 WA2110－AG， AP 與無線控制器組成無 線網(wǎng)，室內(nèi) AP 連接到最近的訪問層交換機(jī)。建議配套 H3C WSM 無線業(yè)務(wù)管理系統(tǒng)，實現(xiàn)對 無線網(wǎng)絡(luò)的管理，通過WSM 無 線業(yè)務(wù)管理器，用 戶可以獲得全面的無線業(yè)務(wù)管理能力。采用 FIT AP 解決方案構(gòu)建的無線局域網(wǎng)具有以下功能和特點：? 方便部署FIT AP 解決方案采用集中式架構(gòu)，在不改 變其網(wǎng)絡(luò)的原有規(guī)劃和部署的情況下，甚至不需要中斷原有網(wǎng)絡(luò)就可以輕松疊加一個無線網(wǎng)絡(luò)，該無線網(wǎng)絡(luò)和原有的有線網(wǎng)絡(luò)可以形成有線無線一體化的接入方案，可以大大減少網(wǎng)絡(luò)升級和部署的成本。?方便升級FIT AP 還支持軟件自動更新功能，在其每次重新啟 動時會自動比較當(dāng)前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，AP會自動更新本地的軟件映像， 軟件升級不再需要網(wǎng)管人員的干預(yù)。?支持虛擬 APFIT AP 支持多 SSID 實現(xiàn) 虛擬 AP 特性，每個 SSID 可對應(yīng)不同的 VLAN、從而對于每一個 SSID 可以 實現(xiàn)不同的網(wǎng)絡(luò)服務(wù)及 認(rèn)證方式。? 豐富的 RF 管理和安全RF 管理功能，可以使得無線網(wǎng)絡(luò)的布網(wǎng)靈活性大大增強(qiáng)，網(wǎng)絡(luò)的可維護(hù)性得到很大的提高。RSSI/SNR 的不斷更新，更是讓系統(tǒng)可以適時了解每一個無線用戶所處電磁環(huán)境的好壞、離 AP 的距離，從而可以采取相應(yīng)的策略來提升網(wǎng)絡(luò)可用性。? IPv6無線控制器實現(xiàn)了 IPv4/IPv6 雙協(xié)議棧。? 完善的 QoS無線控制器支持 DiffServ 標(biāo)準(zhǔn)包括流分類、流量 監(jiān)管（Policing ）、隊列管理、隊列調(diào)度（Scheduling）等，完整 實現(xiàn)了標(biāo)準(zhǔn)中定義的 EF、AF1～AFBE 等六組PHB 及 業(yè)務(wù)，可為用戶提供具有不同服務(wù)質(zhì)量等級 的服務(wù)保證， 真正成為同時承載數(shù)據(jù)、 語音和視頻業(yè)務(wù) 的綜合網(wǎng)絡(luò)。 網(wǎng)絡(luò)安全性設(shè)計校園網(wǎng)絡(luò)承載多種業(yè)務(wù)系統(tǒng)，并實現(xiàn)與外界網(wǎng)絡(luò)的互聯(lián)互通，為確保業(yè)務(wù)系統(tǒng)的安全性，需根據(jù)不同的 業(yè)務(wù)類型，采取相 應(yīng)的安全措施。、 網(wǎng)絡(luò)出口部署應(yīng)用控制網(wǎng)關(guān)，實現(xiàn)對校園網(wǎng)用戶的行為審計和監(jiān)管。 重要安全區(qū)域隔離為使網(wǎng)絡(luò)能夠阻止、檢測由面向?qū)W生開放的業(yè)務(wù)資源、校外其它用戶發(fā)起的異常流量和攻擊，對數(shù)據(jù)中心和網(wǎng)絡(luò)出口等重要區(qū)域進(jìn)行保護(hù)，網(wǎng)絡(luò)設(shè)計時使用防火墻實現(xiàn)各區(qū)域的安全隔離,參見下圖：中心交換機(jī)H 3 C S 7 5 0 2 E服務(wù)器系統(tǒng)用戶管理系統(tǒng)H 3 C C A M S匯聚交換機(jī)H 3 C S 5 5 0 0 E I接入交換機(jī)H 3 C S 5 1 0 0辦公樓千兆到桌面數(shù)據(jù)中心匯聚交換機(jī)H 3 C S 5 5 0 0 E I核心交換機(jī)H 3 C S 7 5 1 0 E網(wǎng)絡(luò)中心機(jī)房圖書館 、 實驗樓等百兆到桌面接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A宿舍區(qū)百兆到桌面網(wǎng)絡(luò)出口教 育 科 研 網(wǎng)電 信 / 網(wǎng) 通出口路由器H 3 C S R 6 6 0 4應(yīng)用流量控制H 3 C A C G － 2 0 0 0 M宿舍區(qū)百兆到桌面匯聚交換機(jī)H 3 C S 5 5 0 0 E I匯聚交換機(jī)H 3 C S 5 5 0 0 E I內(nèi)置防火墻接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A校園網(wǎng)骨干無線網(wǎng)控制器A C 模塊無線 A P 無線 A P接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A 校園網(wǎng)絡(luò)設(shè)計方案 第 32 頁, 共 59 頁通過在核心交換機(jī)增加防火墻模塊，同時為數(shù)據(jù)中心和網(wǎng)絡(luò)出口提供安全區(qū)、虛擬接口等特點，提供高達(dá)6Gbps 處理性能，并充分利用核心交換機(jī)的高可靠性，為確保系統(tǒng)的可靠性，并分別在兩臺中心交換機(jī)上配置防火墻模塊，實現(xiàn)防火墻 的負(fù)載分擔(dān)和冗余備份。ACG 采用先進(jìn)的分析技術(shù)，能對網(wǎng)絡(luò)多媒體、網(wǎng) 絡(luò)游戲、炒股等 應(yīng)用進(jìn)行識別與控制，通過 URL 過濾 、關(guān) 鍵字過濾、內(nèi)容過濾 等多種訪問控制策略，控制非法應(yīng)用， 過濾非法網(wǎng)站，規(guī)范用戶上網(wǎng)行為，提高員 工工作效率。對此，需通過交換機(jī)的安全特性加以防護(hù)。通過接入層交換機(jī)進(jìn)行 IP、MAC、端口的 綁定或認(rèn)證系統(tǒng)的實施，解決IP 地址沖突和 IP 地址欺騙。接入層交換機(jī)啟用 DHCP 安全特性，解決用戶私自架設(shè)非法 DHCP 服務(wù)器的問題。交換機(jī)啟用 ARP 報文限制，解決 導(dǎo)致交換機(jī)或客 戶端 ARP 表溢出或DHCP 服務(wù)器地址耗盡的問題。 網(wǎng)絡(luò)可靠性設(shè)計各業(yè)務(wù)系統(tǒng)的安全運行，對網(wǎng)絡(luò)系統(tǒng)的可靠性提出了很高的要求。網(wǎng)絡(luò)系統(tǒng)的可靠性包括設(shè)備和鏈路冗余、數(shù)據(jù) 鏈路層穩(wěn)定性以及網(wǎng)絡(luò)層穩(wěn)定性三大方面。 設(shè)備級冗余性設(shè)計網(wǎng)絡(luò)核心節(jié)點設(shè)備的可靠是確保整個網(wǎng)絡(luò)的有效運轉(zhuǎn)的關(guān)鍵所在。 網(wǎng)絡(luò)關(guān)鍵設(shè)備必須具有電信級可靠性網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，如核心路由器等，應(yīng)該具備電信級可靠性：? 可靠性指標(biāo)必須達(dá)到 %。? 所有關(guān)鍵器件，如主控板、電源等都采用冗余設(shè)計， 業(yè)務(wù)模塊支持熱插拔。主備倒換過程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。? 網(wǎng)絡(luò)核心設(shè)備支持軟件熱補(bǔ)丁，打補(bǔ)丁過程中主控板和接口板都不需要重啟動，業(yè)務(wù)不中斷。關(guān)鍵部件冗余：S7500E 采用分布式體系下，對設(shè)備的關(guān)鍵部件，如主控管理 單元、交 換轉(zhuǎn)發(fā)單元等， 進(jìn)行冗余構(gòu)造配置，保證系統(tǒng)在工作中不會全部失效。熱插拔特性：S7500E 任意單板均支持熱插拔特性，保 證系統(tǒng)出現(xiàn) 故障需要維護(hù)，或系統(tǒng)需要升級擴(kuò)展時，不需要停機(jī) 處理，保 證網(wǎng)絡(luò)的 724 小時不間