华为整体网络设计方案

华为整体网络解决方案 _ 46 - 1 华为网络整体解决方案 华为整体网络解决方案 _ 46 - 2 华为整体网络设计方案 概述 企业园区网络承载企业所有 础设施和企业所有上层软件应用，对一个企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视，传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中，还是在公司的咖啡厅、待客室，今天的用户都需要方便地获取各种网络服务。 一个典型的企业园区网络通常由楼宇办公网络、数据中心、 口、以将这四部分互联起来的主干网络组成，其中办公网络可分为有线网络和无线网络。在规划与 建设一个企业园区网络的时候，这些部分都要充分考虑。 同时，企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问题，如何构建一个保障企业未来 510 年扩展，同时兼顾设备的投资保护的企业园区网络，困扰着每一位企业 华为企业园区网解决方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性，可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业园区网络。 1 企业网络建设设计原则 在网络建设项目中，我们应该遵循以下设计原则： 1) 合理性、整体性原则 系统建设的功能必须充分满足网络安全性检测与分 析、网络安全性监测和电子数据鉴定的需求是系统建设的首要原则。 深入调研，全力做好网络与信息系统安全检测、监测和认证的需求分析，这是系统成败的关键； 华为整体网络解决方案 _ 46 - 3 充分考虑已有资源（软硬件设备及人员）合理利用，避免出现不必要的浪费； 系统建设尽可能模拟国内外最常用的几种网络应用模式。 系统建设要有一定的前瞻性。在网络建成后的 3之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。 2) 标准化原则 为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充 性、可管理性，应建立一个开放的、遵循国际标准的网络系统。 建设的方案要科学、正确、严谨、且现实可行； 采用的先进技术应是成熟的、经过实践证明是成功的技术； 选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品 3) 先进性原则 系统建设应充分考虑网络通信技术和互联网技术的发展，建设是循序渐进的，初期重点应在网络基础环境和基本系统上： 系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境； 系统实现采用先进的网络技术、网络安全检测技术。 4) 安全可靠性原则 本系统具有特殊性，因此安全保密性非常复 杂。系统要有极强的自我保护能力。 选用具有 全级或 全级的系统软件平台； 配置功能齐全、可视化程度高的网管系统，对网络运行情况进行实时监督和控制； 采取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。 5) 可管理性原则 华为整体网络解决方案 _ 46 - 4 随着网络规模的扩大和系统复杂程度的增加，网络的管理、监控和维护，以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护，本方案将提供先进而完善的网络管理系统。这样，即方便网络管理员的工作，减轻了劳动强度，也提高了网络系统的管理程度。 6) 灵活、可伸缩性原则 为适应因 特网和互联网络技术的发展，系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外，在网络系统的设计过程中，还需要考虑整个网络系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求，又能满足今后整个计算机系统的发展需要。 应用软件设计要采用结构化和模块设计方法，使系统逻辑结构清晰、易读，在功能的划分和设计时，使各模块尽可能相对独立、减少相关性以易于扩充、维护和修改。 网络系统要具有异种设备的异种网络的互联互通能力，以达到保护已有资源并能与其他信息系统交流信息的目的。 7) 绿色节能原则 随着数据中心的 不断壮大，数据中心的电费不断增长，目前，通信 /备节能是降低能耗的基础，采用底能耗的设备是节能减排最主要的途径。 2 华为产品解决方案 体架构设计 体网络架构 整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法，组网图如下所示： 华为整体网络解决方案 _ 46 - 5 网络架构 整个网络的设计方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，通过模块化或者购买单独设备的方式提供 C 控制器，在汇 聚层交换机，提供防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。 整个网络的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用 路保证链路级可靠性。 线网络解决方案 整个网络层次建议采用业界成熟的三层架构：接入、汇聚和核心，最后企业园区通过出口层网络设备（路由器或交换机）连接到外网通过。 这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。 华为整体网络解决方案 _ 46 - 6 心层网络设计 核心层交换 机部署在园区核心机房中，汇聚各楼宇 /区域之间的用户流量，提供三层交换机功能，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层，应该在提供大容量、高性能 3 交换服务基础上，能够进一步融合了硬件 为园区构建融合业务的基础网络平台，进而帮助用户实现 源整合的需求。 所以建议核心层采用双机冗余备份的方式构造，消除单点故障，设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用 10到高带宽、高转发性能的效果。 本次 建议采用华为的 性能交换机构造核心层，实现高性能的骨干网络。华为 持大容量、高转发性能，完全能够满足各网络的数据转发。 聚层网络设计 汇聚层交换机的重要性也是比较高的，一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为园区网的网关，终结园区网用户的二层流量，进行三层转发。当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关，能够承载校园园区融合业务的需求。 根据需要，可以在汇聚交换机上集 成增值业务板卡（如防火墙，负载均衡器、C 控制器）或者旁挂独立的增值业务设备（如 式 ），为园区网用户提供增值业务。 汇聚层与核心层共同组建成骨干网络，所以汇聚设备的性能要求也是比较高的，建议采用 10G 的链路互联，达到万兆骨干网络。 汇聚交换机需要提供高密度的 口，汇聚接入交换机的流量，通过 10荐使用 列交换机作为园区汇聚层交换机。 华为整体网络解决方案 _ 46 - 7 入层网络设计 接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（ 或服务器），提供二层交换机功能，也 支持三层接入功能（接入交换机为三层交换机）。 提供网络的第一级接入功能，一般完成简单的二层交换，安全、 位于这一层。对于园区网的接入层设备，建议采用千兆二层接入的方式，应该具有线速二层交换、 能弹性堆叠技术以及高级 略等功能。 据中心解决方案 数据中心的设计目标是实现高冗余、高带宽、高安全性、高可靠性等目的。数据中心内的网络设备主要是：核心交换机、核心防火墙、核心路由器、负载均衡设备。 核心交换机的主要功能是连接服务器，因此必须考虑企业未来的业务增长，核心交换机必须具有很好的扩展性，随着 以后网络的扩展，必须具有多个插槽，以便以后网络扩展的时候能够增加网络模块。由于核心交换机在整个网络中具有十分重要的地位，因此核心交换机必须具有电信级的可靠性和稳定性，核心网络对数据的快速转发速度要求很高，因此核心交换机需要具备高容量的交换带宽和包转发速率。我们建议采用华为的 列高性能交换机，采用双机双电源。可实现万兆或者千兆接入，实现数据中心高转发性能的效果。并且可以通进扩展防火墙模块等方面，实现数据中心的安全。 线网络解决方案 随着以太网的广泛应用，因特网的日益普及，以及移动终端的不断增加，人们对移动 入的需求迅速增长。无线局域网 作为有线以太网的延伸，一定程度上满足了这种需求。 由于无线网络的部署灵活性高，所以受到很多用户的青睐，整个无线网络，决方案可以运行在现有的有线企业网络的基础上，也可以采用一个独立的网络。它为园区提供了具有部署方便性、安全性、可扩展性的无线网络，让 华为整体网络解决方案 _ 46 - 8 用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务。 我们建议采用华为的无线解决方案，在核心网络中部署一套无线控制器，无线 入到接入层交换机上，各无线 过无线控制器统一管理。从而实现易维护、易管理。 线网络的建设需求 在无线网络建设中，为了解决大规模部署情况下的统一配置、调整问题，以及射频的智能管理问题，现在无线网络建设普遍都采用了瘦 网模式。瘦另一个好处是实现了三层漫游环境下避免重新认证，从而使漫游切换时间小于 50对于企业的移动业务，尤其是对切换时间要求最苛刻的语音业务意义重大。 然而，随着无线网络的发展，一些新的需求也逐渐变得越来越强烈。主要有以下几个方面： 稳定问题： 由于 络的组网设计 包含 无线控制器、接入交换机、 无线接入点等 华为整体网络解决方案 _ 46 - 9 大量设备，在 大部分情况下，还需要通过以太网解决供电问题，所有这些环节都会影响 校园无线 网络的稳定性；同时由于无线信号的传播深受环境影响，多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象，实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以如何实时根据环境动态调整无线接入点的信道、发射功率等也是 经常困扰无线校园管理人员的难题。 安全问题： 由于无线网络的特殊性，园区无线用户的安全问题就更加突出。 对 无线网络的用户 来说，所有有线网络存在的安全威胁和隐患都同样存在。 同时，任何不可信的无线设备可以在信号覆盖范围内进行网络接入的尝试，一定程度上 也加剧了无线用户所面临的安全隐患 。 无线网络的安全问题已经不再是单一的物理层安全，也包括了用户接入安全、网络层安全、设备安全、安全管理等多个层面上，如何能使企业无线用户在使用网络时能够像使用有线网络一样安全、可靠，正逐渐成为无线企业网络建设所关注的核心。 管理问题： 相对于 P 来说，虽然 P 解决方案帮助 网区 管理 人 员实现了 无线网络的 灵活安装与应用，但管理无线网络却仍然是一项非常耗时且麻烦的事情 。 在无线园区网络 环境中尤为 如此。 传统的 P 解决方案由无线控制器（ 无线接入点（ P）构成，虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能，但是与有线网络难于统一，无法在整个企业范围内实现用户管理及认证、服务质量控制和安全策略实施等。因此，通常引入无线网络会降低安全性，整个网络管理起来比较复杂，并且维护成本也比预期高。 把网络作为一个整体， 整合有线和无线网络，实现统一的网络控制 和管理 ，对于 企业来说具有 重要的意义。 扩展问题： 术的发展日新月异，新技术、新标准层出不穷，除了呼之欲出的 华为整体网络解决方案 _ 46 - 10 教育行业一个重要的门槛技术是 有的无线产品和解决方案都要为未来的升级和应用做好准备。 应用问题： 随着 场上各种各样的 模手机、支持 游戏机、即拍即传的数码相机如雨后春笋般涌现出来，同时价格越来越低，普及程度越来越高，使得无线新业务在园区网中的丰富应用成为可能。如何在无线网络这个开放的平台上开展丰富的业务是建设者必须要考虑的问题。例如 线监控等业务，解决了园区内部和各园区之间通讯费用高、无线监控和无线多媒体 教学的问题，让无线接入变得更有价值。 线网络解决方案 华为无线网络 解决方案有效实现 了 有线和无线网络的融合，通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全， 为园区用户 提供安全的无线接入。根据用户需求，通过在 华为系列 交换机中加入无线控制器插卡 或者使用单独的无线控制器 ，就可为 原有的 有线网络提供 无线 支持， 还 可以像扩展无线管理中心 管理中心 无线交换机 运营管理中心 室内型热点无线覆盖 办公楼 室外型热点无线覆盖 职工公寓 园区有线骨干网 无线业务应用 移动数据业务 华为整体网络解决方案 _ 46 - 11 和管理传统有线网络一样，对无线网络进行扩展和管理。 可以收到无线信号的地方立即访问各种网络服务。 安全性、高 障 华为园区网络 决方案从用户接入安全、网络安全、设备安全等多个方面保障无线网络的安全，使园区用户安全可靠的使用 络。 用户接入安全：华为园区 决方案提供了多样化的用户接入认证以及加密解决方案。无线接入认证主要支持基于 址认证、 证、 持 加密措施防范无线接入用户数据被盗。同时可以通过部署 离、端口隔离等业务隔离技术避免用户间相互影响。 网络安全：通过接入点对 境的不间断扫描和监控，防止 企业受到未经授权的不安全的 入点或恶意接入点的影响。 设备安全：无线接入点 供“零配置”功能，无需在设备保存业务配置，仅启动的时候自动从无线控制器加载业务配置，这样可以避免设备丢失造成配置泄漏而形成对无线网络的安全威胁。 园区 P&应商等访客人士提供互联网服务访问权限。 对于不同 载的用户业务，由于无线空口资源有限，若某个 量过大，比如访客访问 可能造成园区用户的不能正常访问无线网络开展业务。 因此基于 限速，可以避免其中一种业务流量过大对其他业务造成影响。 另外，基于快速漫游技术可以实现园区无线用户一次认证移动接入。用户移动到新的接入点时，如果用户之前已经认证过，则用户此时无需再次通过安全认证，直接接入，保证用户业务的连续性。 部署方便、扩展灵活 络部署简化，安装便捷。 安装工作简单，它无需施工许可证，不需要布线或开沟挖槽。设备的零配置部署功能可以在无线改造现有网络的基础上轻松部署 无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点。随着无线 华为整体网络解决方案 _ 46 - 12 网络的扩 展，新添加的无线接入点能自动检测到无线控制器，并下载相应的配置信息以及策略信息，无需任何手动操作。 统一的网络管理、智能运维 统一的网络管理设备可以实现有线无线网络的统一化管理，简易网络管理操作，结合智能化的网络运维提升了网络管理效率。 无线接入点能够监控环境温度变化，当环境温度低于零下 10时，启动加热板，确保低温时的正常工作。而且无线接入点检测到电压将要无法供应的情况下（复位或故障），上报该告警，描述最后的工作状态，方便故障定位。 稳定性 华为 定性解决方案从无线控制器的可靠性，接入交换机供 电的可靠性、无线信号的可靠性这几方面入手，极大的提高了 络的可靠性；在实际的使用情况来看，启用这些措施之后， 可靠性能够得到明显的提升。 全面的 决方案 备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输数据的同时传输直流电。因为 往要求使用不间断电源（ 应电力，采用 备， 仅仅通过一根 线与网络连接即可以同时传输数据和电力，因此在使用 备的情况下，所有的 使用一个 备端进行保护。如果不使用 备，就需要给每 个 一个 且还需要在近安装电源插座，增加了成本。因此使用 备将大大降低设备成本和管理成本 。 有非常明显的优势，具体如下： 简化安装，降低成本，不需为每个网络设备单独提供数据和电力线缆。 灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源输出口。 可靠性增强，有 力的 置，可实施远程检测和控制，能有效地处理或修理装置的耗电量和（或）失效故障。 华为整体网络解决方案 _ 46 - 13 可靠性设计 络高可靠性设计 针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园 区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。 接入层网络是二层网络，接入交换机与汇聚交换机之间通过 证网络可靠性，同时解决二层网络环路问题；汇聚层交换机之间通过 议确定用户的主备网关，交换机互联通过 路，保证链路级可靠性，汇聚交换机与接入交换机之间可通过 议检测光纤单向故障（单通故障）。 园区网接入 /汇聚 /核心交换机通过虚拟化技术进行集群（或堆叠），将两台 /多台交换机虚拟化成一台交 换机，降低网络拓扑复杂度的同时，提高网络可靠性，是未来高可靠性园区网的发展趋势。 备高可靠性设计 要部件冗余 设备本身要具有电信级 5 个 9 的可靠性，需要网络设备支持 : 主控 1:1 备份 交换网 1+1/1:1 两种方式 源 1+1 备份； 源 1+1/2+2 备份 模块化的风扇设计，高端配置支持单风扇失效 无源背板，高可靠性 独立的设备监控单元，和主控解耦 华为整体网络解决方案 _ 46 - 14 所有模块热插拔 完善的各种告警功能 设备管理 1:1 备份 备自身安全 如下图所示 ,随着黑客工具的泛滥和使用的方便 ,使的网络攻击的成本越来越来 ,但危害越来 越大。 这就要求具有强大灵活的自身防护功能 ,以不变应万变的方法 ,才能抵挡日益泛滥的网络攻击。 华为公司全系列园区网交换机（ 7700/3700/供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。 华为全系列交换机支持的攻击防范功能包括防 击、 骗攻击、击、 击、 击、 击、 等。 另外，以太网交换机的 址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生 址攻击的时候，攻击者通 华为整体网络解决方案 _ 46 - 15 过不停的发送 址来刷新，填充交换机的 址表，由于 址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。 过攻击报文来更改 址的绑定，从而重新定向流量。 华为全系列交换机可以通过 址与端口的绑定以及限制端口/ 址的最大学习个数可防止 描，并通过 间 的任意绑定可防范 击（ 能）。 华为全系列交换机支持黑洞 能，园区交换机收到报文时比较报文目的 址，若与黑洞 项相同则丢弃该报文。当用户察觉到某 可以在园区交换机上配置黑洞 而将具有该 址的报文过滤掉，避免遭受攻击。 全方案设计 区网安全方案总体设计 华为整体网络解决方案 _ 46 - 16 从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御，对企业内部进行安全区域划分、隔离和权限控制，对企业外部用户访问进行安全控制、数据加 密，防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。 区内网安全设计 址盗用和 间人攻击 1) 防 址盗用 术是 全特性，通过建立和维护 息，这些信息是指来自不信任区域的 息。 定表包含不信任区域的用户 址、 址、租用期、口等信息， 定表可以基于 程动态生成，也 可以通过静态配置生成，此时需预先准备用户的 址、 址、用户所属 D、用户所属接口等信息。 园区交换机开启 ，会对 文进行侦听，并可以从接收到的 文中提取并记录 址和 址信息。另外， 许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发 文，而不信任端口会将接收到的文丢弃。这样，可以完成交换机对假冒 屏蔽作用，确保客户端从合法的 取 址。 2) 防 间人攻击 华为整体网络解决方案 _ 46 - 17 交换机上基于 术提供用户网关 址和 址、 接入端口的绑定， 并动态建立绑定关系。对于用户终端没有使用 态获取 址的场景，可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤 求响应报文中的源 否可以匹配上述绑定表，不能匹配则认为是仿冒网关回应的 以丢弃， 从而可以有效实现防御 间人 /网关 冒欺骗攻击行为。 址扫描攻击 1) 防 描攻击 地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的 攻击者扫描网络设备的直连网段时，触发 网络设备给该 华为整体网络解决方案 _ 46 - 18 网段下的每个地址发送 文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的 引起网络中断。 园区交换机支持 址扫描攻击的防护能力，收到目的 直连网段的报文时，如果该目的地址的路 由不存在，会发送一个 求报文，并针对目的地址下一条丢弃表项（弃后续所有目的地址为该直连网段的 文），以防止后续报文持续冲击 果有 答，则立即删除相应的丢弃表项，并添加正常的路由表项；否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。 在上述基础上，交换机还支持基于接口设置 速率。当接口上触发的 过设置的阈值时，接口上的 再处理，直接丢弃。 如果用户使用相同的源 行地址扫描 攻击，交换机还可以基于源 计。如果 速率超过设定的阈值，则下发 带有此源 报文进行丢弃，过一段时间后再允许通过。 2) 防 址扫描攻击 以太网交换机的 址转发表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生 址攻击的时候，攻击者向攻击目标网络发送大量的源 址不断变化以太报文，园区交换机收到以太报文会基于报文的源 习填充二层 发表项，由于 址转发表的规格有限，会因为 描攻击而很快填充满，无法再 学习生成新的 学习的 条目需通过老化方式删除，这样途径园区交换机大量的单播报文会因为按照目的 不到转发表项而不得不进行广播发送，导致园区网络中产生大量的二层广播报文，消耗网络带宽、引发网络业务中断异常。 交换机二层 发表是全局共享资源，单板内各端口 /享一份发表，华为园区交换机支持基于端口 / 习数目限制，同时支持 学习速率限制，有效防御 址扫描攻击行为。 习数目达到端口 /设置的阈值时，会进行丢弃 /转发 /告警等动作（动 作策略可 华为整体网络解决方案 _ 46 - 19 定制、可叠加）。另外通过园区交换机的 址与端口绑定来限制跨端口的描攻击。 播 /组播报文抑制 攻击者不停地向园区网发送大量恶意的广播报文，恶意广播报文占据了大量的带宽，传统的广播风暴抑制无法识别用户 导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的 D，通过基于广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基于端口或 制广播报文流量百分比或速率阈值。 同时园区网交换机支持组播报文抑制，可基于端口限制组播报文流量百 分比或速率阈值。 区网边界防御 企业园区网边界防御分为两个部分：园区出口边界防御、园区内部边界防御。 园区出口连接 企业 的接入，企业外部网路尤其 华为整体网络解决方案 _ 46 - 20 网络，是各种攻击行为、病毒传播、安全事件引入的风险点，通过在企业出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块，可以很好的缓解风险的传播，阻挡来自 业外部网络攻击行为的发生。企业园区出口位置部署的独立防火墙设备（或核心交换机内置的防火墙模块），需要满足高性能、高可靠、高安全的要求，是企业园区网 的第一道安全屏障。 园区内部边界防御是将企业内部划分为多个区域，分为信任区域和非信任区域，分别实施不同的安全策略，包括部署区域间隔离、受限访问、防止来自区域内部的 击等安却措施。建议通过汇聚交换机上集成防火墙模块（单板）来实现园区内部的边界防御功能。 园区网中防火墙功能无论是独立设备部署还是集成在核心 /汇聚交换机内部，都必须支持灵活的业务流控制策略配置，能把特定的流量引到防火墙进行处理，其他流量进行旁路。 防火墙本身需要保证高可靠性，需要考虑防火墙的冗余设计，支持A 设计 方式，即交换机内集成的多块防火墙板卡支持负载分担和主备模式，不同交换机内的防火墙支持 式，同时能够处理流量。 区网出口安全 随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构以及商业合作伙伴逐步增多，如何将这些小型的办公网络和企业总部网络进行经济灵活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企业 络设计亟待解决的问题；大量普及的 型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。 华为整体网络解决方案 _ 46 - 21 企 业园区网出口设备是企业内部网络与外部网络的连接点，其安全保证能力非常重要，企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题，术是企业传输数据非常理想的选择，因为 术正式是为了解决在不安全的 安全传输机密信息，保证信息的完整性、可用性以及保密性，包括 业办事处、分支机构以及商业合作伙伴如果采用主机 户端接入企业总部网络，那么分之机构网络中的每个主机需要单独拨号接入， 入不可控造成内部网络安全隐患，同时也大量消耗企业总部 关隧道资源；如果采用单独的 关与企业总部网关建立 道，又面临投资过大的问题。需要有效解决企业分支机构 入灵活性、安全性和经济性之间的矛盾。 据中心安全设计 数据中心的安全对企业来说，非常重要，企业在享受数据中心带来生产力提高的同时，其内在的安全建设成为了业内的热点。让数据中心远离安全威胁，促使其在管理、运维上向安全靠拢，已经成为建设的趋势。 数据中心的网络安全设计中，我们采用以两台交换机为中心的双星型冗余结构的网络，可以在网络交换机上通过插卡的方式实现防火墙、负载均衡等功能，保障数 据中心的安全。 华为整体网络解决方案 _ 46 - 22 防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。具体地说，设置防火墙的目的是隔离数据中心和局域网，保护数据中心不受攻击，实现以下基本功能： 负载均衡的作用是可以为用户访问数据中心时，能够实现应用级的负载分担。 线安全设计 无线局域网（ 有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点。但是由于无线局域网开放访问的特点，使得攻击者能够很容易的进行窃听，恶意修改并转 发，因此安全性成为阻碍无线局域网发展的最重要因素。园区用户大多容易接受新鲜事物，虽然一方面对无线网络的需求不断增长，但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。 目前有很多种无线局域网的安全技术，包括物理地址（ 滤、服务集标识符（ 配、有线对等保密（ 端口访问控制技术（ 。面对如此多的安全技术，应该选择哪些技术来解决无线局域网的安全问题 ，才能满足用户对安全性的要求。 线局域网的安全威胁 利用 行通信必须具有较高的通信保密能力。对于现有的 品，它的安全隐患主要有以下几点： 未经授权使用网络服务 由于无线局域网的开放式访问方式，非法用户可以未经授权而擅自使用网络资源，不仅会占用宝贵的无线信道资源，增加带宽费用，还会降低合法用户的服务质量。 地址欺骗和会话拦截 华为整体网络解决方案 _ 46 - 23 在无线环境中，非法用户通过侦听等手段获得网络中合法站点的 址比有线环境中要容易得多，这些合法的 址可以被用来进行恶意攻击。 另外，由于 有对 份进行认证，攻击者很容易装扮成合法 入网络，并进一步获取合法用户的鉴别身份信息，通过会话拦截实现网络入侵。 高级入侵 一旦攻击者侵入无线网络，它将成为进一步入侵其他系统的起点。多数学校部署的 在防火墙之后，这样 安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，整个网络就将暴露在非法用户面前。 为无线网络的安全策略 针对目前无线校园网应用中的种种安全隐患，华为的无线局域网产品体系能够提供强有力的安全特性，除了传统无线局域网中的安全策略之外，还能够提供更加精细的管理措施： 可靠的加密和认证、设备管理 能够支持目前 组所提出的全部加密方式，包括高级 56 位加密（ 40/64 位、 128 位和 152 位 享密钥加密， 有的128 位动态安全链路加密，动态会话密钥管理。 证使用 证和 址联合认证，确保只有合法用户和客户端设备才可访问网络。 支持通过本地控制台或通过 中管理 览器；通过本地控制台或通过 程管理的命令行界面；并可通过无线局域网管理 系统进行集中管理。 用户和组安全配置 和传统的无线局域网安全措施一样，华为无线网络可以依靠物理地址（ 滤、服务集标识符（ 配、访问控制列表（ 提供对 华为整体网络解决方案 _ 46 - 24 无线客户端的初始过滤，只允许指定的无线终端可以连接 同时，传统无线网络也存在它的不足之处。首先