【正文】 機(jī)還應(yīng)具有防偽 DHCP Server 的接入， 對(duì)終端 ARP 各種形式攻擊的防護(hù)。選用的 S5100－EI 系列交換機(jī)具有以下特點(diǎn)：靈活的千兆接入和集群管理 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 22 頁(yè), 共 59 頁(yè)H3C S5100EI 系列千兆以太網(wǎng)交換機(jī)提供靈活的 16/24/48 個(gè)10/100/1000M 自適應(yīng)電口接入密度；并且支持復(fù)用的 SFP 插槽，充分考慮用戶的帶寬升級(jí)的實(shí)際情況，既可以支持千兆光模塊，也可以支持百兆光模 塊，保 護(hù)用戶投資。該系列硬件支持最大 136Gbps 交換容量，保 證所有端口線速交換。具有即插即用、單一 IP管理。全面的接入安全策略H3C S5100EI 系列交換機(jī)支持 EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、 訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通 過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、 變單 點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新 興安全威脅的整體防御能力。同時(shí)支持 IP Source Check 特性，防止包括 MAC 欺騙、IP 欺騙、MAC/IP 欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來(lái)的 DoS 攻 擊。H3C S5100EI 系列交換機(jī)支持端口安全特性族可以有效防范基于 MAC 地址的攻擊。H3C S5100EI 系列交換機(jī)有強(qiáng)大硬件 ACL 能力，能深度識(shí)別報(bào)文，支持L2~L4 包過(guò)濾功能，提供基于源 MAC 地址、目的 MAC、源 IP 地址、目的 IP 地址、IP 協(xié)議類型、物理端口、VLAN、等定義 ACL，以便交 換機(jī)進(jìn)行后續(xù)的處理。H3C S5100EI 系列交換機(jī)提供 和集中 MAC 認(rèn)證方式對(duì)接入的用戶進(jìn)行認(rèn)證，允 許合法用戶通過(guò)， 對(duì)于非法用戶則拒 絕其上網(wǎng)。通過(guò)這些功能的應(yīng)用可以對(duì) 用戶的合法性進(jìn)行充分的檢查和控制，最大程度的減少非法用戶對(duì)網(wǎng)絡(luò)安全的危害。H3C S5100EI 系列以太網(wǎng)交換機(jī)支持流量監(jiān)管和帶寬 粒度控制，流量限速的最小粒度為 1Kbit/s，確保 為進(jìn)入交換機(jī)的特定業(yè)務(wù)提供帶寬保證，即使在網(wǎng)絡(luò)擁塞時(shí)，也能 滿足一定的丟包、 時(shí)延及時(shí)延抖動(dòng)等 QoS 需求。支持基于流的 報(bào)文重定向。支持 CLI 命令行，Web 網(wǎng)管， TELNET，HGMP 集群管理，使設(shè)備管理更方便。傳統(tǒng)交換機(jī)對(duì)端口的鏡像功能都是基于本地實(shí)現(xiàn)，鏡像數(shù)據(jù)流無(wú)法穿越網(wǎng)絡(luò)在核心實(shí)現(xiàn)統(tǒng)一采集、監(jiān)控和分析；H3C S5100EI 支持跨交換機(jī)的遠(yuǎn)程端口鏡像功能（RSPAN），可以將接入端口的流量 鏡像到核心交換機(jī)上，在核心上啟動(dòng)網(wǎng)流分析（Netstream）功能， 對(duì)監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。H3C E 系列交換機(jī)具有以下特點(diǎn)：全面的接入安全策略H3C E126A/E152 教育網(wǎng)交換機(jī)支持特有的 ARP 入侵檢測(cè)功能，可有效防止黑客或攻擊者通過(guò) ARP 報(bào)文實(shí)施校園網(wǎng)常見的“ 中間 人”攻擊，對(duì)不符合DHCP Snooping 動(dòng)態(tài)綁定表或手工配置的靜 態(tài)綁定表的非法 ARP 欺騙報(bào)文直接丟棄。另外，利用DHCP Snooping 的信任端口特性 還可以有效杜絕學(xué)生私設(shè) DHCP 服務(wù)器，保證DHCP 環(huán)境的真 實(shí)性和一致性。可以實(shí)現(xiàn)基于 MAC 地址允許/限制流量，或者 設(shè)定每個(gè)端口允許的 MAC 地址的最大數(shù)量，使得某個(gè)特定端口上的 MAC 地址可以由管理員靜態(tài)配置，或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)。E126A/E152 教育網(wǎng)交換機(jī)支持集中式 MAC 地址認(rèn)證和 認(rèn)證，支持用戶帳號(hào)、 IP、MAC、VLAN、端口等用戶標(biāo)識(shí)元素的 動(dòng)態(tài)或靜態(tài)綁定，同 時(shí)實(shí)現(xiàn)用戶策略（VLAN 、QoS、ACL）的動(dòng)態(tài)下發(fā)；支持配合 H3C 公司的 CAMS 系統(tǒng)對(duì)在線用戶進(jìn)行實(shí)時(shí)的管理，及 時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3C E126A/E152 教育網(wǎng)交換機(jī)支持通過(guò) FTP、TFTP 實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持 SNMP v1/v2/v3，可支持 Open View 等通用網(wǎng)管平臺(tái)，以及 iMC 智能管理中心。 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 25 頁(yè), 共 59 頁(yè)E126A/E152 教育網(wǎng)交換機(jī)支持跨交換機(jī)的遠(yuǎn)程端口鏡像 RSPAN，可以將接入端口的流量鏡像到核心交換機(jī)上，可以 對(duì)全網(wǎng)業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控，滿足校園網(wǎng)精細(xì)化管理的需要。高性能與靈活擴(kuò)展能力H3C E126A/E152 教育網(wǎng)交換機(jī)具有 的背板交換容量，支持所有端口線速轉(zhuǎn)發(fā)， 滿足了教育用戶對(duì)高帶寬的需求。E126A/E152 教育網(wǎng)交換機(jī)采用專利技術(shù)允許交換機(jī)利用專用互聯(lián)電纜實(shí)現(xiàn)多達(dá) 16 臺(tái)設(shè)備的堆疊，最大擴(kuò)展至 768 個(gè) 10/100M 端口，支持 E126A 和E152 混合堆疊。同時(shí) 大大降低系 統(tǒng)擴(kuò)展的成本，保護(hù)了用戶投資。E126A/E152 教育網(wǎng)交換機(jī)支持端口限速功能，限速粒度可達(dá) 64Kbps，防止惡意侵占網(wǎng)絡(luò)帶寬，也 為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。 無(wú)線網(wǎng)絡(luò)設(shè)計(jì)無(wú)線局域網(wǎng)技術(shù)經(jīng)過(guò)十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。另外由于 AC 或無(wú)線網(wǎng)關(guān)的硬件多數(shù)是基于 Pentium 架構(gòu)的，所以當(dāng)用戶接入數(shù)量 (IP sessions)增多時(shí)，無(wú)線網(wǎng)的性能會(huì)急劇下降，時(shí) 常會(huì)發(fā)生掉線或死機(jī)情況。第三代無(wú)線局域網(wǎng)采用無(wú)線交換機(jī)和 FIT AP（即“瘦”AP ）的架構(gòu)，對(duì)傳統(tǒng)WLAN 設(shè)備的功能做了重新劃分，將密集型的無(wú)線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的 WLAN 交換機(jī)中 實(shí)現(xiàn)，同時(shí)加入了許多重要新功能，諸如無(wú)線網(wǎng)管、AP間自適應(yīng)、無(wú)線安管、RF 監(jiān)測(cè)、無(wú) 縫漫游以及 Qos。 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 27 頁(yè), 共 59 頁(yè)室內(nèi)無(wú)線覆蓋將使用大量無(wú)線接入點(diǎn)（AP）提供無(wú)線網(wǎng)絡(luò)接入服務(wù)，必須有效實(shí)現(xiàn)多個(gè) AP 的統(tǒng)一策略部署和可靠的安全認(rèn)證機(jī)制，因此，采用 FIT AP 的解決方案，即采用無(wú)線控制器 結(jié)合瘦 AP 與無(wú)線網(wǎng) 絡(luò)管理系統(tǒng)的架構(gòu)。無(wú)線網(wǎng)絡(luò)結(jié)構(gòu)參見下圖： 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 28 頁(yè), 共 59 頁(yè)中心交換機(jī)H 3 C S 7 5 0 2 E服務(wù)器系統(tǒng)用戶管理系統(tǒng)H 3 C C A M S匯聚交換機(jī)H 3 C S 5 5 0 0 E I接入交換機(jī)H 3 C S 5 1 0 0辦公樓千兆到桌面數(shù)據(jù)中心匯聚交換機(jī)H 3 C S 5 5 0 0 E I核心交換機(jī)H 3 C S 7 5 1 0 E網(wǎng)絡(luò)中心機(jī)房圖書館 、 實(shí)驗(yàn)樓等百兆到桌面接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A宿舍區(qū)百兆到桌面網(wǎng)絡(luò)出口教 育 科 研 網(wǎng)電 信 / 網(wǎng) 通出口路由器H 3 C S R 6 6 0 4應(yīng)用流量控制H 3 C A C G － 2 0 0 0 M宿舍區(qū)百兆到桌面匯聚交換機(jī)H 3 C S 5 5 0 0 E I匯聚交換機(jī)H 3 C S 5 5 0 0 E I內(nèi)置防火墻接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A校園網(wǎng)骨干無(wú)線網(wǎng)控制器A C 模塊無(wú)線 A P 無(wú)線 A P接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A無(wú)線網(wǎng)絡(luò)組成包括以下部分：無(wú)線控制系統(tǒng)，設(shè)備建議部署在網(wǎng)絡(luò)中心， 為確保整個(gè)無(wú)線網(wǎng)絡(luò)的高可性，建議采用在核心交換機(jī)配置無(wú)線控制模塊，通過(guò)交換機(jī)的高性能來(lái)實(shí)現(xiàn)路由和轉(zhuǎn)發(fā)，并配置無(wú)線控制器模 塊實(shí)現(xiàn)無(wú)線的管理。無(wú)線 AP，根據(jù)實(shí)際需求，室內(nèi)區(qū)域，包括 辦公室、 圖書館等，AP 采用 Fit AP，選 用 WA2110－AG， AP 與無(wú)線控制器組成無(wú) 線網(wǎng)，室內(nèi) AP 連接到最近的訪問(wèn)層交換機(jī)。建議配套 H3C WSM 無(wú)線業(yè)務(wù)管理系統(tǒng)，實(shí)現(xiàn)對(duì) 無(wú)線網(wǎng)絡(luò)的管理，通過(guò)WSM 無(wú) 線業(yè)務(wù)管理器，用 戶可以獲得全面的無(wú)線業(yè)務(wù)管理能力。采用 FIT AP 解決方案構(gòu)建的無(wú)線局域網(wǎng)具有以下功能和特點(diǎn)：? 方便部署FIT AP 解決方案采用集中式架構(gòu)，在不改 變其網(wǎng)絡(luò)的原有規(guī)劃和部署的情況下，甚至不需要中斷原有網(wǎng)絡(luò)就可以輕松疊加一個(gè)無(wú)線網(wǎng)絡(luò)，該無(wú)線網(wǎng)絡(luò)和原有的有線網(wǎng)絡(luò)可以形成有線無(wú)線一體化的接入方案，可以大大減少網(wǎng)絡(luò)升級(jí)和部署的成本。?方便升級(jí)FIT AP 還支持軟件自動(dòng)更新功能，在其每次重新啟 動(dòng)時(shí)會(huì)自動(dòng)比較當(dāng)前運(yùn)行的版本和無(wú)線控制器上保存的版本，如果無(wú)線控制器上保存的版本更新，AP會(huì)自動(dòng)更新本地的軟件映像， 軟件升級(jí)不再需要網(wǎng)管人員的干預(yù)。?支持虛擬 APFIT AP 支持多 SSID 實(shí)現(xiàn) 虛擬 AP 特性，每個(gè) SSID 可對(duì)應(yīng)不同的 VLAN、從而對(duì)于每一個(gè) SSID 可以 實(shí)現(xiàn)不同的網(wǎng)絡(luò)服務(wù)及 認(rèn)證方式。? 豐富的 RF 管理和安全RF 管理功能，可以使得無(wú)線網(wǎng)絡(luò)的布網(wǎng)靈活性大大增強(qiáng)，網(wǎng)絡(luò)的可維護(hù)性得到很大的提高。RSSI/SNR 的不斷更新，更是讓系統(tǒng)可以適時(shí)了解每一個(gè)無(wú)線用戶所處電磁環(huán)境的好壞、離 AP 的距離，從而可以采取相應(yīng)的策略來(lái)提升網(wǎng)絡(luò)可用性。? IPv6無(wú)線控制器實(shí)現(xiàn)了 IPv4/IPv6 雙協(xié)議棧。? 完善的 QoS無(wú)線控制器支持 DiffServ 標(biāo)準(zhǔn)包括流分類、流量 監(jiān)管（Policing ）、隊(duì)列管理、隊(duì)列調(diào)度（Scheduling）等，完整 實(shí)現(xiàn)了標(biāo)準(zhǔn)中定義的 EF、AF1～AFBE 等六組PHB 及 業(yè)務(wù)，可為用戶提供具有不同服務(wù)質(zhì)量等級(jí) 的服務(wù)保證， 真正成為同時(shí)承載數(shù)據(jù)、 語(yǔ)音和視頻業(yè)務(wù) 的綜合網(wǎng)絡(luò)。 網(wǎng)絡(luò)安全性設(shè)計(jì)校園網(wǎng)絡(luò)承載多種業(yè)務(wù)系統(tǒng)，并實(shí)現(xiàn)與外界網(wǎng)絡(luò)的互聯(lián)互通，為確保業(yè)務(wù)系統(tǒng)的安全性，需根據(jù)不同的 業(yè)務(wù)類型，采取相 應(yīng)的安全措施。、 網(wǎng)絡(luò)出口部署應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)校園網(wǎng)用戶的行為審計(jì)和監(jiān)管。 重要安全區(qū)域隔離為使網(wǎng)絡(luò)能夠阻止、檢測(cè)由面向?qū)W生開放的業(yè)務(wù)資源、校外其它用戶發(fā)起的異常流量和攻擊，對(duì)數(shù)據(jù)中心和網(wǎng)絡(luò)出口等重要區(qū)域進(jìn)行保護(hù)，網(wǎng)絡(luò)設(shè)計(jì)時(shí)使用防火墻實(shí)現(xiàn)各區(qū)域的安全隔離,參見下圖：中心交換機(jī)H 3 C S 7 5 0 2 E服務(wù)器系統(tǒng)用戶管理系統(tǒng)H 3 C C A M S匯聚交換機(jī)H 3 C S 5 5 0 0 E I接入交換機(jī)H 3 C S 5 1 0 0辦公樓千兆到桌面數(shù)據(jù)中心匯聚交換機(jī)H 3 C S 5 5 0 0 E I核心交換機(jī)H 3 C S 7 5 1 0 E網(wǎng)絡(luò)中心機(jī)房圖書館 、 實(shí)驗(yàn)樓等百兆到桌面接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A宿舍區(qū)百兆到桌面網(wǎng)絡(luò)出口教 育 科 研 網(wǎng)電 信 / 網(wǎng) 通出口路由器H 3 C S R 6 6 0 4應(yīng)用流量控制H 3 C A C G － 2 0 0 0 M宿舍區(qū)百兆到桌面匯聚交換機(jī)H 3 C S 5 5 0 0 E I匯聚交換機(jī)H 3 C S 5 5 0 0 E I內(nèi)置防火墻接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A校園網(wǎng)骨干無(wú)線網(wǎng)控制器A C 模塊無(wú)線 A P 無(wú)線 A P接入交換機(jī)H 3 C E 1 5 2 / 1 2 6 A 校園網(wǎng)絡(luò)設(shè)計(jì)方案 第 32 頁(yè), 共 59 頁(yè)通過(guò)在核心交換機(jī)增加防火墻模塊，同時(shí)為數(shù)據(jù)中心和網(wǎng)絡(luò)出口提供安全區(qū)、虛擬接口等特點(diǎn)，提供高達(dá)6Gbps 處理性能，并充分利用核心交換機(jī)的高可靠性，為確保系統(tǒng)的可靠性，并分別在兩臺(tái)中心交換機(jī)上配置防火墻模塊，實(shí)現(xiàn)防火墻 的負(fù)載分擔(dān)和冗余備份。ACG 采用先進(jìn)的分析技術(shù)，能對(duì)網(wǎng)絡(luò)多媒體、網(wǎng) 絡(luò)游戲、炒股等 應(yīng)用進(jìn)行識(shí)別與控制，通過(guò) URL 過(guò)濾 、關(guān) 鍵字過(guò)濾、內(nèi)容過(guò)濾 等多種訪問(wèn)控制策略，控制非法應(yīng)用， 過(guò)濾非法網(wǎng)站，規(guī)范用戶上網(wǎng)行為，提高員 工工作效率。對(duì)此，需通過(guò)交換機(jī)的安全特性加以防護(hù)。通過(guò)接入層交換機(jī)進(jìn)行 IP、MAC、端口的 綁定或認(rèn)證系統(tǒng)的實(shí)施，解決IP 地址沖突和 IP 地址欺騙。接入層交換機(jī)啟用 DHCP 安全特性，解決用戶私自架設(shè)非法 DHCP 服務(wù)器的問(wèn)題。交換機(jī)啟用 ARP 報(bào)文限制，解決 導(dǎo)致交換機(jī)或客 戶端 ARP 表溢出或DHCP 服務(wù)器地址耗盡的問(wèn)題。 網(wǎng)絡(luò)可靠性設(shè)計(jì)各業(yè)務(wù)系統(tǒng)的安全運(yùn)行，對(duì)網(wǎng)絡(luò)系統(tǒng)的可靠性提出了很高的要求。網(wǎng)絡(luò)系統(tǒng)的可靠性包括設(shè)備和鏈路冗余、數(shù)據(jù) 鏈路層穩(wěn)定性以及網(wǎng)絡(luò)層穩(wěn)定性三大方面。 設(shè)備級(jí)冗余性設(shè)計(jì)網(wǎng)絡(luò)核心節(jié)點(diǎn)設(shè)備的可靠是確保整個(gè)網(wǎng)絡(luò)的有效運(yùn)轉(zhuǎn)的關(guān)鍵所在。 網(wǎng)絡(luò)關(guān)鍵設(shè)備必須具有電信級(jí)可靠性網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，如核心路由器等，應(yīng)該具備電信級(jí)可靠性：? 可靠性指標(biāo)必須達(dá)到 %。? 所有關(guān)鍵器件，如主控板、電源等都采用冗余設(shè)計(jì)， 業(yè)務(wù)模塊支持熱插拔。主備倒換過(guò)程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。? 網(wǎng)絡(luò)核心設(shè)備支持軟件熱補(bǔ)丁，打補(bǔ)丁過(guò)程中主控板和接口板都不需要重啟動(dòng)，業(yè)務(wù)不中斷。關(guān)鍵部件冗余：S7500E 采用分布式體系下，對(duì)設(shè)備的關(guān)鍵部件，如主控管理 單元、交 換轉(zhuǎn)發(fā)單元等， 進(jìn)行冗余構(gòu)造配置，保證系統(tǒng)在工作中不會(huì)全部失效。熱插拔特性：S7500E 任意單板均支持熱插拔特性，保 證系統(tǒng)出現(xiàn) 故障需要維護(hù)，或系統(tǒng)需要升級(jí)擴(kuò)展時(shí)，不需要停機(jī) 處理，保 證網(wǎng)絡(luò)的 724 小時(shí)不間