华为整体网络解决方案-华为云计算解决方案体系结构图

1、华为整体网络解决方案：华为云计算解决方案体 系结构图:华为网络整体解决方案目录1概述32 企业网络建设设计原则43华为产品解决方案6 3.1整体架构设计6 3.1.1总体网络架构6 3.1.2 有线网络解决方案 7 核心层网络设计 7 汇聚层网络设计7 接入层网络设计 8 3.1.3 数据中心解决方案8 3.1.4无线网络解决方案 8 无线网络的建设需求9 无线网络解决方案11 3.2 高可靠性设计14 3.2.1网络高可靠性设计 14 3.2.2设备高可靠性设计14重要部件冗余 14 设备自身安全 15 3.3 安全方案设计16 3.3.1园区网安全方案总体设计16 3.3.2 园区内网安全

2、设计 17 防IP/MAC地址盗用和 ARP中间 人攻击17 防IP/MAC地址扫描攻击 18 广 播/组播报文抑制 20 3.3.3 园区网边界防御 20 3.3.4 园区 网由口安全21 3.3.5无线安全设计22 无线局域网的安全威胁23 华为无线网络的安全策略23 4 设备介绍 25 4.1 Quidway ? S9300 系列交换机 25 4.2 Quidway? S7700 系列交换机 32 4.3 Quidway ? S5700 系歹U第1页共56页交换机37 4.4 无线控制器 WS6603 441概述 企业园区网络承载企业所有 IT基础设施和企业所有上层软 件应用，对一个企业

3、的重要性不言而喻。而且随着企业对于提 高生产率、工作效率提升的重视，传统的办公方式也已存在诸 多不便。无论是在办公桌前、会议室中，还是在公司的咖啡 厅、待客室，今天的用户都需要方便地获取各种网络服务。一个典型的企业园区网络通常由楼宇办公网络、数据中心、Internet由口、以将这四部分互联起来的主干网络组 成，其中办公网络可分为有线网络和无线网络。在规划与建设 一个企业园区网络的时候，这些部分都要充分考虑。同时，企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问题，如何构建一个保障企业未来510年扩展，同时兼顾设备的投资保护的企业园区网络，困扰着每一位 企业CIO。华为企业园区网解决

4、方案结合了高性能的路由、交换基础 设施和提升安全、可靠等特性，可协助企业构建一个安全、可 靠、易接入、易扩展、易管理的企业园区网络。2企业网络建设设计原则在网络建设项目中，我们应该遵循以下设计原则：第2页共56页1）合理性、整体性原则 系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的需求 是系统建设的首要原则。l深入调研，全力做好网络与信息系统安全检测、监测和认证的需求分析，这是系统成败的关键；l充分考虑已有资源（软硬件设备及人员）合理利用，避免由现不必要的浪费；l系统建设尽可能模拟国内外最常用的几种网络应用模式。l系统建设要有一定的前瞻性。在网络建成后的3-5年

5、之内，不会由于业务量的增加导致对网络结构及主要设备的重大 调整。同时要考虑实际的应用水平，避免技术环境过于超前造 成投资浪费。2）标准化原则 为了保证用户的网络系统具有互操作性、 可用性、可靠性、可扩充性、可管理性，应建立一个开放的、 遵循国际标准的网络系统。l建设的方案要科学、正确、严谨、且现实可行；l采用的先进技术应是成熟的、经过实践证明是成功的技术；l选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品 3）先进性原则系统建设应充分考虑第3页共56页网络通信技术和互联网技术的发展，建设是循序渐进的，初期 重点应在网络基础环境和基本系统上：l系统可根据实际工作中的业务需求灵

6、活地结构所需的网 络与系统环境；l系统实现采用先进的网络技术、网络安全检测技术。4）安全可靠性原则本系统具有特殊性，因此安全保密性 非常复杂。系统要有极强的自我保护能力。l选用具有C2安全级或B1安全级的系统软件平台；l配置功能齐全、可视化程度高的网管系统，对网络运行 情况进行实时监督和控制；l采取访问权限控制、设置密钥、数据更新认证等多种手 段保证数据安全。5）可管理性原则 随着网络规模的扩大和系统复杂程度的 增加，网络的管理、监控和维护，以及网络故障的诊断和排除 变得越来越复杂。为了使网络系统易于管理和维护，本方案将 提供先进而完善的网络管理系统。这样，即方便网络管理员的 工作，减轻了劳动

7、强度，也提高了网络系统的管理程度。6）灵活、可伸缩性原则 为适应因特网和互联网络技术的 发展，系统必须具有开放性和可扩充性。除单个设备本身的扩 展能力之外，在网络系统的设计过程中，还需要考虑整个网络第4页共56页 系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前 的应用需求，又能满足今后整个计算机系统的发展需要。l应用软件设计要采用结构化和模块设计方法，使系统逻 辑结构清晰、易读，在功能的划分和设计时，使各模块尽可能 相对独立、减少相关性以易于扩充、维护和修改。l网络系统要具有异种设备的异种网络的互联互通能力， 以达到保护已有资源并能与其他信息系统交流信息的目的。7）绿色节能原则 随着数

8、据中心的不断壮大，数据中心的 电费不断增长，目前，通信/IT设备节能是降低能耗的基础， 采用底能耗的设备是节能减排最主要的途径。3华为产品解决方案 3.1整体架构设计3.1.1 总体网络 架构整体网络解决方案总体设计以高性能、高可靠性、高安 全性、有线无线一体化和统一的网管系统为原则，以及考虑到 技术的先进性、成熟性，并采用模块化的设计方法，组网图如 下所示：网络架构 整个网络的设计方案采用层次化、模块化的设 计思路，按照接入层、汇聚层、核心层和由口层进行网络设备 设计部署，通过模块化或者购买单独设备的方式提供WLAN AC控制器，在汇聚层交换机，提供防火墙、负载均衡器等增值业 务功能，满足企

9、业日益增长的业务需求。第5页共56页整个网络的重要特征是不存在网络单点故障，交换机设备 和链路都存在冗余备份，接入交换机与核心交换机通过双规或 环网相连接，汇聚交换机双规接入核心交换机，交换机之间采 用TRUNK1路保证链路级可靠性。有线网络解决方案 整个网络层次建议采用业界成 熟的三层架构：接入、汇聚和核心，最后企业园区通过由口层 网络设备（路由器或交换机）连接到外网通过。这种分层的网络架构，可以保证根据的业务需求，分别对 不同层次进行扩容。核心层网络设计 核心层交换机部署在园区核心 机房中，汇聚各楼宇/区域之间的用户流量，提供三层交换机 功能，必须能够提供高速数据交换和路由快速收敛，要求具

10、有 较高的可靠性、稳定性和易扩展性等。对于园区网核心层，应 该在提供大容量、高性能 L2/L3交换服务基础上，能够进一步 融合了硬件IPv6,可为园区构建融合业务的基础网络平台， 进而帮助用户实现IT资源整合的需求。所以建议核心层采用双机冗余备份的方式构造，消除单点 故障，设备的关键部分采用冗余模式。从而实现整个骨干网络 的高可靠性。骨干层建议采用10G链路互联，达到高带宽、高转发性能的效果。第6页共56页本次建议采用华为的 S9300高性能交换机构造核心层，实 现高性能的骨干网络。华为 S9300支持大容量、高转发性能， 完全能够满足各网络的数据转发。汇聚层网络设计 汇聚层交换机的重要性也是

11、比 较高的，一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接 入交换机的流量，一般提供三层交换机功能，汇聚层交换机作 为园区网的网关，终结园区网用户的二层流量，进行三层转 发。当路由协议应用于这一层时，具有负载均衡、快速收敛和 易于扩展等特点，这一层还可作为接入设备的第一跳网关，能 够承载校园园区融合业务的需求。根据需要，可以在汇聚交换机上集成增值业务板卡（如防 火墙，负载均衡器、WLAN AC空制器）或者旁桂独立的增值业 务设备（如 WLAN盒式AC等），为园区网用户提供增值业 务。汇聚层与核心层共同组建成骨干网络，所以汇聚设备的性 能要求也是比较高的，建议采用10G的链路互联，达到万兆骨干网

12、络。汇聚交换机需要提供高密度的GE接口，汇聚接入交换机的流量，通过10GE接口接到核心交换机，推荐使用S9300系列交换机作为园区汇聚层交换机。第7页共56页接入层网络设计 接入层交换机一般部署在楼道 的网络机柜中，接入园区网用户（PC机或服务器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换 成）。提供网络的第一级接入功能，一般完成简单的二层交换， 安全、Qos都位于这一层。对于园区网的接入层设备，建议采 用千兆二层接入的方式，应该具有线速二层交换、IRF智能弹性堆叠技术以及高级 QoS策略等功能。数据中心解决方案 数据中心的设计目标是实现高 冗余、高带宽、高安全性、高可靠性

13、等目的。数据中心内的网 络设备主要是：核心交换机、核心防火墙、核心路由器、负载 均衡设备。核心交换机的主要功能是连接服务器，因此必须考虑企业 未来的业务增长，核心交换机必须具有很好的扩展性，随着以 后网络的扩展，必须具有多个插槽，以便以后网络扩展的时候 能够增加网络模块。由于核心交换机在整个网络中具有十分重 要的地位，因此核心交换机必须具有电信级的可靠性和稳定 性，核心网络对数据的快速转发速度要求很高，因此核心交换 机需要具备高容量的交换带宽和包转发速率。我们建议采用华 为的S7700系列高性能交换机，采用双机双电源。可实现万兆第8页共56页 或者千兆接入，实现数据中心高转发性能的效果。并且可

14、以通 进扩展防火墙模块等方面，实现数据中心的安全。无线网络解决方案 随着以太网的广泛应用，因特 网的日益普及，以及移动终端的不断增加，人们对移动IP接入的需求迅速增长。无线局域网WLAN(Wireless Local AreaNetwork )作为有线以太网的延伸，一定程度上满足了这种需 求。由于无线网络的部署灵活性高，所以受到很多用户的青睐，整个无线网络， WLAN解决方案可以运行在现有的有线企 业网络的基础上，也可以采用一个独立的网络。它为园区提供 了具有部署方便性、安全性、可扩展性的无线网络，让用户可 以在园区中的任何可以收到无线信号的地方立即访问各种网络 服务。我们建议采用华为的无线解

15、决方案，在核心网络中部署一套无线控制器，无线 AP接入到接入层交换机上，各无线AP通过无线控制器统一管理。从而实现易维护、易管理。无线网络的建设需求 在无线网络建设中，为了 解决大规模部署情况下的统一配置、调整问题，以及射频的智 能管理问题，现在无线网络建设普遍都采用了瘦AP建网模式。瘦AP的另一个好处是实现了三层漫游环境下避免重新认第9页共56页 证，从而使漫游切换时间小于 50mso这对于企业的移动业 务，尤其是对切换时间要求最苛刻的语音业务意义重大。然而，随着无线网络的发展，一些新的需求也逐渐变得越 来越强烈。主要有以下几个方面：稳定问题：由于WLA啊络的组网设计包含无线控制器、接入交换

16、 机、无线接入点等大量设备，在大部分情况下，还需要通过以 太网解决供电问题，所有这些环节都会影响校园无线网络的稳 定性；同时由于无线信号的传播深受环境影响，多径等问题导致 无线信号在不同方向上存在非常复杂的衰减现象，实际的信号 覆盖和理想的信号衰减模型往往存在一定差异。所以如何实时 根据环境动态调整无线接入点的信道、发射功率等也是经常困 扰无线校园管理人员的难题。安全问题：由于无线网络的特殊性，园区无线用户的安全问题就更加 突生。对无线网络的用户来说，所有有线网络存在的安全威胁 和隐患都同样存在。同时，任何不可信的无线设备可以在信号 覆盖范围内进行网络接入的尝试，一定程度上也加剧了无线用 户所

17、面临的安全隐患。第10页共56页无线网络的安全问题已经不再是单一的物理层安全，也包 括了用户接入安全、网络层安全、设备安全、安全管理等多个 层面上，如何能使企业无线用户在使用网络时能够像使用有线 网络一样安全、可靠，正逐渐成为无线企业网络建设所关注的 核心。管理问题：相对于FAT AP来说，虽然FIT AP解决方案帮助网区管理 人员实现了无线网络的灵活安装与应用，但管理无线网络却仍 然是一项非常耗时且麻烦的事情。在无线园区网络环境中尤为 如此。传统的FIT AP解决方案由无线控制器（A。及无线接入 点（FIT AP）构成，虽然整个无线网络具有一些设备管理、安 全管理功能和用户管理功能，但是与有

18、线网络难于统一，无法 在整个企业范围内实现用户管理及认证、服务质量控制和安全 策略实施等。因此，通常引入无线网络会降低安全性，整个网 络管理起来比较复杂，并且维护成本也比预期高。把网络作为 一个整体，整合有线和无线网络，实现统一的网络控制和管 理，对于企业来说具有重要的意义。扩展问题：WLA联术的发展日新月异，新技术、新标准层由不穷， 除了呼之欲生的802.11n ,在教育行业一个重要的门槛技术是第11页共56页IPv6 o所有的无线产品和解决方案都要为未来的升级和应用做 好准备。应用问题：随着WLA啦术的逐步成熟，市场上各种各样的WLAf端如笔记本电脑、PDA双模手机、支持 Wi-Fi的游戏

19、机、即拍 即传的数码相机如雨后春笋般涌现由来，同时价格越来越低， 普及程度越来越高，使得无线新业务在园区网中的丰富应用成 为可能。如何在无线网络这个开放的平台上开展丰富的业务是 建设者必须要考虑的问题。例如 VoWiFi、无线监控等业务， 解决了园区内部和各园区之间通讯费用高、无线监控和无线多 媒体教学的问题，让无线接入变得更有价值。无线网络解决方案无线管理中心管理中心无 线交换机 运营管理中心 室内型热点无线覆盖办公楼 室外型热点无线覆盖 职工公寓 园区有线骨干网 PoE供电接入 无 线业务应用移动数据业务Wi-Fi语音漫游华为无线网络解 决方案有效实现了有线和无线网络的融合，通过统一的硬件

20、平 台、统一的网络管理、统一的用户管理、统一的应用安全，为 园区用户提供安全的无线接入。根据用户需求，通过在华为系 列交换机中加入无线控制器插卡或者使用单独的无线控制器， 就可为原有的有线网络提供无线支持，还可以像扩展和管理传 统有线网络一样，对无线网络进行扩展和管理。第12页共56页可以收到无线信号的地方立即访问各种网络服务。?安全性、高QoS保障 华为园区网络 WLAN军决方案从 用户接入安全、网络安全、设备安全等多个方面保障无线网络 的安全，使园区用户安全可靠的使用WLA啊络。用户接入安全：华为园区 WLAN军决方案提供了多样化的 用户接入认证以及加密解决方案。无线接入认证主要支持基于

21、MACM址认证、802.1x认证、Portal认证等保证用户安全合 法的接入，支持 WEP/TRIP/CCM解加密措施防范无线接入用户 数据被盗。同时可以通过部署 VLAN隔离、端口隔离等业务隔 离技术避免用户间相互影响。网络安全：通过接入点对 RF环境的不间断扫描和监控， 防止企业受到未经授权的不安全的WLANg入点或恶意接入点的影响。设备安全：无线接入点 AP提供“零配置”功能，无需在 设备保存业务配置，仅启动的时候自动从无线控制器加载业务 配置，这样可以避免设备丢失造成配置泄漏而形成对无线网络 的安全威胁。园区WLAN军决方案可以通过虚拟 AP&VLAN勾建一个单独 的访客网络为客户、供

22、应商等访客人士提供互联网服务访问权 限。第13页共56页对于不同SSID承载的用户业务，由于无线空口资源有 限，若奥个SSID流量过大，比如访客访问 Internet ,则可能 造成园区用户的不能正常访问无线网络开展业务。因此基于 SSID的限速，可以避免其中一种业务流量过大对其他业务造 成影响。另外，基于快速漫游技术可以实现园区无线用户一次认证 移动接入。用户移动到新的接入点时，如果用户之前已经认证 过，则用户此时无需再次通过安全认证，直接接入，保证用户 业务的连续性。?部署方便、扩展灵活 WLAN网络部署简化，安装便 捷。WLAN勺安装工作简单，它无需施工许可证，不需要布线 或开沟挖槽。设

23、备的零配置部署功能可以在无线改造现有网络 的基础上轻松部署 WLAN无线控制器能轻松的管理数个到数十个甚至上千个的无线 接入点。随着无线网络的扩展，新添加的无线接入点能自动检 测到无线控制器，并下载相应的配置信息以及策略信息，无需 任何手动操作。?统一的网络管理、智能运维统一的网络管理设备可以实现有线无线网络的统一化管理，简易网络管理操作，结合 智能化的网络运维提升了网络管理效率。第14页共56页无线接入点能够监控环境温度变化，当环境温度低于零下 10c时，启动加热板，确保低温时的正常工作。而且无线接入 点检测到电压将要无法供应的情况下（复位或故障），上报该 告警，描述最后的工作状态，方便故障

24、定位。?稳定性华为WLAN稳定性解决方案从无线控制器的可 靠性，接入交换机供电的可靠性、无线信号的可靠性这几方面 入手，极大的提高了 WLAN络的可靠性；在实际的使用情况来看，启用这些措施之后，WLAN勺可靠性能够得到明显的提升。?全面的PoE解决方案PoE设备的原理是通过非屏蔽双 绞线中四对线中的两对线来传输电源，传输数据的同时传输直 流电。因为AP往往要求使用不间断电源（UPS供应电力，采 用PoE设备，AP端仅仅通过一根 RJ-45网线与网络连接即可 以同时传输数据和电力，因此在使用PoE设备的情况下，所有的AP都使用一个UPS* PoE设备端进行保护。如果不使用 PoE设备，就需要给每

25、个 AP配一个UPS而且还需要在 AP附 近安装电源插座，增加了成本。因此使用PoE设备将大大降低设备成本和管理成本。PoE具有非常明显的优势，具体如下：简化安装，降低成本，不需为每个网络设备单独提供数据 和电力线缆。第15页共56页灵活性提高，网络装置可被安装在任何位置，而不需靠近 一个已存在的电源输由口。可靠性增强，有 SNM唯力的PoE装置，可实施远程检测 和控制，能有效地处理或修理装置的耗电量和（或）失效故 障。3.2高可靠性设计3.2.1 网络高可靠性设计 针对二层接 入（接入交换机是二层交换机、汇聚交换机作为用户网关）典 型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可 靠性

26、设计。接入层网络是二层网络，接入交换机与汇聚交换机之间通 过Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性，同时解 决二层网络环路问题；汇聚层交换机之间通过 VRRP（ BFD for VRRP ）协议确定 用户的主备网关，交换机互联通过 TRUNK1路，保证链路级可 靠性，汇聚交换机与接入交换机之间可通过 DLD的议检测光 纤单向故障（单通故障）。园区网接入/汇聚/核心交换机通过虚拟化技术进行集群 （或堆叠），将两台/多台交换机虚拟化成一台交换机，降低 网络拓扑复杂度的同时，提高网络可靠性，是未来高可靠性园 区网的发展趋势。第16页共56页3.2.2 设备高可靠性设

27、计 重要部件冗余 设备本 身要具有电信级5个9的可靠性，需要网络设备支持 ：？主 控1:1备份？ 交换网1+1/1:1两种方式 ？ DC电源1+1备 份；AC电源1+1/2+2备份？模块化的风扇设计，高端配置 支持单风扇失效 ？无源背板，高可靠性？独立的设备监控单元，和主控解耦 ？所有模块热插拔 ？完善的各种告警功能？设备管理1:1备份 设备自身安全如下图所 示，随着黑客工具的泛滥和使用的方便，使的网络攻击的成本越来越来，但危害越来越大。这就要求具有强大灵活的自身防护功能，以不变应万变的方法，才能抵挡日益泛滥的网络攻击。华为公司全系列园区网交换机(S9300/S7700/S5700/S3700

28、/S2700 )提供攻击防范功能，能 够检测由多种类型的网络攻击，并能采取相应的措施保护设备 自身及其所连接的内部网络免受恶意攻击，保证内部网络及设 备的正常运行。华为全系列交换机支持的攻击防范功能包括防DDOS击、IP欺骗攻击、Land攻击、Ping of Death 攻击、 Teardrop 攻击、ICMP Flood 攻击、SYN FLOODS击等。第17页共56页另外，以太网交换机的 MAO址表作为二层报文转发的核 心，在受到攻击的时候，直接导致交换机无法正常工作。发生 MACM址攻击的时候，攻击者通过不停的发送MACM址来刷新，填充交换机的 MACM址表，由于 MACM址表的规格有限

29、， 导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似，通过攻击报文来更改MACW IP地址的绑定，从而重新定向流量。华为全系列交换机可以通过MA况址与端口的绑定以及限制端口 /VLAN/VSI下MACM址的最大学习个数可防止MACS描，并通过 VLAN IP、MAd间的任意绑定可防范 ARP攻击 （SAI/DAI 功能）。华为全系列交换机支持黑洞MAC:能，园区交换机收到报文时比较报文目的 MAO址，若与黑洞 MAC1项相同则丢弃该 报文。当用户察觉到莫 MAO址的报文具有一定攻击性，则可 以在园区交换机上配置黑洞 MAC从而将具有该 MAO址的报 文过滤掉，避免遭受攻击。

30、3.3安全方案设计3.3.1 园区网安全方案总体设计从园区内网安全、边界防御、园区由口传输安全等多纬度、多层 次进行安全设计和安全防御，对企业内部进行安全区域划分、 隔离和权限控制，对企业外部用户访问进行安全控制、数据加第18页共56页 密，防止恶意攻击。园区网全方位的安全设计方案保证内部、 外部用户访问园区网资源的安全性。3.3.2 园区内网安全设计 防IP/MAC地址盗用和 ARP中间人攻击1) 防IP/MAC地址盗用 DHCP Snooping技术 是DHCP全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP言息，这些信息是指来自不信任区域的 DHCP言息,o

31、DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息，DHCP Snooping绑定表可以基于 DHCPi程动态生成，也可以通过静 态配置生成，此时需预先准备用户的IP地址、MACM址、用户所属VLAN ID、用户所属接口等信息。园区交换机开启DHCP-Snooping后，会对DHC百艮文进行 侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和 MACM址信息。另外， DHCP-Snooping允 许将莫个物理端口设置为信任端口或不信任端口。信任端口可 以正常接收并转发 DHCP Offer报文，而不

32、信任端口会将接收 到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒 DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。2)防 ARP中间人攻击 Dynamic ARP Inspection (DAI) 在交换机上基于 DHCP Snooping技术提供用户网关IP地址和第19页共56页MAO址、VLAN和接入端口的绑定，并动态建立绑定关系。对于用户终端没有使用 DHCPS获取IP地址的场景，可采用 静态添加用户网关相关信息的静态绑定表。此时园区交换机检 测过滤ARP青求响应报文中的源 MAC源IP是否可以匹配上 述绑定表，不能匹配则认为是仿冒网

33、关回应的ARP响应报文，予以丢弃，从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。防IP/MAC地址扫描攻击 1） 防IP扫描攻击 地 址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断 变化的IP报文。当攻击者扫描网络设备的直连网段时，触发 ARP miss,使网络设备给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连 网段较大，攻击流量足够大时，会消耗网络设备较多的CPLffl内存资源，可引起网络中断。园区交换机支持IP地址扫描攻击的防护能力，收到目的 IP是直连网段的报文时，如果该目的地址的路由不存在，会 发送一个ARP青求报文，

34、并针对目的地址下一条丢弃表项（弃 后续所有目的地址为该直连网段的ARF文），以防止后续报文持续冲击CPU如果有ARP应答，则立即删除相应的丢弃表 项，并添加正常的路由表项；第20页共56页否则，经过一段时间后丢弃表项自动老化。这样，既防止 直连网段扫描攻击对交换机造成影响，又保证正常业务流程的 畅通。在上述基础上，交换机还支持基于接口设置ARP miss的速率。当接口上触发的 ARP miss超过设置的阈值时，接口上 的ARP miss不再处理，直接丢弃。如果用户使用相同的源IP进行地址扫描攻击，交换机还 可以基于源IP做ARP miss统计。如果 ARP miss的速率超过 设定的阈值，则下

35、发 ACL将带有此源IP的报文进行丢弃，过 一段时间后再允许通过。2）防MACM址扫描攻击 以太网交换机的 MACM址转发表 作为二层报文转发的核心，在受到攻击的时候，直接导致交换 机无法正常工作。发生 MACM址攻击的时候，攻击者向攻击目 标网络发送大量的源 MAC*址不断变化以太报文，园区交换机 收到以太报文会基于报文的源MA学习填充二层 MAC专发表项，由于MACM址转发表的规格有限，会因为MACS描攻击而很快填充满，无法再学习生成新的MAC专发表，已学习的 MAC表条目需通过老化方式删除，这样途径园区交换机大量的单播 报文会因为按照目的 MAC不到转发表项而不得不进行广播发 送，导致园

36、区网络中产生大量的二层广播报文，消耗网络带 宽、引发网络业务中断异常。第21页共56页交换机二层MAC专发表是全局共享资源，单板内各端口 /VLAN共享一份MAC专发表，华为园区交换机支持基于端口 /VLAN的MA学习数目限制，同时支持 MAGS学习速率限制， 有效防御MAO址扫描攻击行为。 MA学习数目达到端口 /VLAN上设置的阈值时，会进行丢弃 /转发/告警等动作（动作 策略可定制、可叠加）。另外通过园区交换机的MACM址与端口绑定来限制跨端口的 MAG3描攻击。广播/组播报文抑制 攻击者不停地向园区网发送 大量恶意的广播报文，恶意广播报文占据了大量的带宽，传统 的广播风暴抑制无法识别用

37、户VLAN将导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的 VLAN ID,通过基于VLAN的广播风暴抑制丢弃恶意广播报文而 不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。同时园区网交换机支持组播报文抑制，可基于端口限制组 播报文流量百分比或速率阈值。园区网边界防御企业园区网边界防御分为两个部分：园区由口边界防御、园区内部边界防御。园区由口连接Internet 和企业 WAN）的接入，企业外部 网路尤其Internet网络，是各种攻击行为、病毒传播、安全 事件引入的风险点，通过在企业由口部署高性能防火墙设备、第22页共56页 或者在核

38、心交换机内置防火墙模块，可以很好的缓解风险的传 播，阻挡来自Internet/ 企业外部网络攻击行为的发生。企业 园区由口位置部署的独立防火墙设备（或核心交换机内置的防 火墙模块），需要满足高性能、高可靠、高安全的要求，是企 业园区网的第一道安全屏障。园区内部边界防御是将企业内部划分为多个区域，分为信 任区域和非信任区域，分别实施不同的安全策略，包括部署区 域间隔离、受限访问、防止来自区域内部的DO或击等安却措施。建议通过汇聚交换机上集成防火墙模块（单板）来实现园 区内部的边界防御功能。园区网中防火墙功能无论是独立设备部署还是集成在核心 /汇聚交换机内部，都必须支持灵活的业务流控制策略配置，

39、能把特定的流量引到防火墙进行处理，其他流量进行旁路。防火墙本身需要保证高可靠性，需要考虑防火墙的冗余设 计，支持Active/Active HA设计方式，即交换机内集成的多块防火墙板卡支持负载分担和主备模式，不同交换机内的防火 墙支持Active/Active 模式，同时能够处理流量。园区网由口安全 随着现代社会网络经济的发展， 企业日益发展扩大，办事处、分支机构以及商业合作伙伴逐步 增多，如何将这些小型的办公网络和企业总部网络进行经济灵 活而有效的互联，并且与整个企业网络安全方案有机融合，提第23页共56页高企业信息化程度，优化商业运作效率，成为企业IT网络设计亟待解决的问题；大量普及的SO

40、H刎络、小型办公网络、智能家居网络也 越来越注重接入的便捷性和网络安全性。企业园区网由口设备是企业内部网络与外部网络的连接点，其安全保证能力非常重要，企业在信息化的过程中面临核 心技术、商业机密泄密等信息安全问题，VPN技术是企业传输数据非常理想的选择，因为 VPN术正式是为了解决在不安全 的Internet上安全传输机密信息，保证信息的完整性、可用 性以及保密性，包括 IPSec VPN和SSL VPN企业办事处、分 支机构以及商业合作伙伴如果采用主机VPN客户端接入企业总部网络，那么分之机构网络中的每个主机需要单独拨号接入， VPN接入不可控造成内部网络安全隐患，同时也大量消耗企业 总部V

41、PN网关隧道资源；如果采用单独的 VPN网关与企业总部网关建立 VPN隧道， 又面临投资过大的问题。需要有效解决企业分支机构VPN接入灵活性、安全性和经济性之间的矛盾。数据中心安全设计 数据中心的安全对企业来说， 非常重要，企业在享受数据中心带来生产力提高的同时，其内 在的安全建设成为了业内的热点。让数据中心远离安全威胁， 促使其在管理、运维上向安全靠拢，已经成为建设的趋势。第24页共56页数据中心的网络安全设计中，我们采用以两台交换机为中 心的双星型冗余结构的网络，可以在网络交换机上通过插卡的 方式实现防火墙、负载均衡等功能，保障数据中心的安全。防火墙的目的是要在内部、外部两个网络之间建立一

42、个安 全控制点，通过允许、拒绝或重新定向经过防火墙的数据流， 实现对进、由内部网络的服务和访问的审计和控制。具体地 说，设置防火墙的目的是隔离数据中心和局域网，保护数据中 心不受攻击，实现以下基本功能：负载均衡的作用是可以为用户访问数据中心时，能够实现 应用级的负载分担。无线安全设计 无线局域网(WLAN具有安装便 捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优 点。但是由于无线局域网开放访问的特点，使得攻击者能够很 容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线 局域网发展的最重要因素。园区用户大多容易接受新鲜事物， 虽然一方面对无线网络的需求不断增长，但同时也让许多潜在 的

43、用户对不能够得到可靠的安全保护而对最终是否使用无线局 域网犹豫不决。目前有很多种无线局域网的安全技术，包括物理地址 (MA。过滤、服务集标识符(SSID)匹配、有线对等保密 (WEP、端口访问才制技术(IEEE802.1x)、WPA (Wi-Fi第25页共56页Protected Access ）、IEEE 802.11i 等。面对如此多的安全 技术，应该选择哪些技术来解决无线局域网的安全问题，才能 满足用户对安全性的要求。无线局域网的安全威胁利用WLANS行通信必须具有较高的通信保密能力。对于现有的WLA*品，它的安全隐患主要有以下几点：?未经授权使用网络服务由于无线局域网的开放式访问方式，

44、非法用户可以未经授权而擅自使用网络资源，不仅会占 用宝贵的无线信道资源，增加带宽费用，还会降低合法用户的 服务质量。?地址欺骗和会话拦截 在无线环境中，非法用户通过侦 听等手段获得网络中合法站点的 MAO址比有线环境中要容易 得多，这些合法的 MACM址可以被用来进行恶意攻击。另外，由于IEEE802.11没有对AP身份进行认证，攻击者 很容易装扮成合法 AP进入网络，并进一步获取合法用户的鉴 别身份信息，通过会话拦截实现网络入侵。?高级入侵 一旦攻击者侵入无线网络，它将成为进一步 入侵其他系统的起点。多数学校部署的WLANTB在防火墙之后，这样 WLAN勺安全隐患就会成为整个安全系统的漏洞，

45、只 要攻破无线网络，整个网络就将暴露在非法用户面前。第26页共56页华为无线网络的安全策略针对目前无线校园网应用中的种种安全隐患，华为的无线局域网产品体系能够提供 强有力的安全特性，除了传统无线局域网中的安全策略之外， 还能够提供更加精细的管理措施：?可靠的加密和认证、设备管理能够支持目前802.11小组所提由的全部加密方式，包括高级WPA 256位加密（AE0 , 40/64位、128位和152位 WE映享密钥加密， WPATKIP,特有的128位动态安全链路加密，动态会话密钥管理。802.1x 认证使用802.1x RADIUS认证和 MACM址联合认 证，确保只有合法用户和客户端设备才可

46、访问网络。支持通过本地控制台或通过SSL或HTTPS1中管理WebJ览器；通过本地控制台或通过 SSH v2或Telnet远程管理的命令行界面；并可通过无线局域网管理系统进行集中管理。?用户和组安全配置和传统的无线局域网安全措施一样，华为无线网络可以依靠物理地址（ MAC过滤、服务集标 识符（SSID）匹配、访问才制列表（ACD来提供对无线客户 端的初始过滤，只允许指定的无线终端可以连接AR同时，传统无线网络也存在它的不足之处。首先，它的安全策略依赖于连接到莫个网络位置的设备上的特定端口，对物第27页共56页 理端口和设备的依赖是网络工程的基础。例如，子网、 ACL以 及服务等级(CoS在路由

47、器和交换机的端口上定义，需要通 过台式机的MAO址来管理用户的连接。华为采用基于身份的 组网功能，可提供增强的用户和组的安全策略，针对特殊要求 创建虚拟专用组(Vertual Private Group ) , VLAN不再需要 通过物理连接或端口来实施，而是根据用户和组名来区分权 限。?非法接入检测和隔离 华为无线网络可自动执行的 AP 射频扫描功能通过标识可去除非法AP,使管理员能更好地查看网络状况，提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能，通过尝试获取数据或用户名来危及网络 安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何 网络中都可能存在非法 AP,但是网络规

48、模越大就越容易受到 攻击。为了消除这种威胁，可以指定莫些AP充当射频“卫士”，其方法是扫描无线局域网来查找非法AP位置，记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络 处于连接状态并正常运行。AP射频扫描程序还会检测并调整 引起射频干扰的其他来源，例如微波炉和无绳电话。并且，射频监测配合基于用户身份的组网，不但可使用户 在漫游时具有诸如虚拟专用组成员资格、访问控制列表第28页共56页(ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其 他授权等内容，还可告知管理人员哪些用户已连接、他们位于 何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾 经使用过哪些服务。?监视和告

49、警 华为无线网络体系提供了实时操作信息， 可以快速检测到问题，提高网络的安全性并优化网络，甚至还 可以定位用户。网络管理应用程序针对当今的动态业务而设 计，它提供了配置更改的自动告警功能。向导界面提供了即时 提示，从而使得管理员能够快速针对冲突做由更改。通过使用软件的移动配置文件功能，管理者可以在用户或 用户组漫游整个无线局域网时控制其访问资源的位置。止匕外， 位置策略能够根据用户的位置来阻止或允许对特殊应用程序的 访问。4设备介绍4.1 Quidway ? S9300系列交换机 Quidway? S9300系列是华为公司面向以业务为核心的网络架 构而推由的新一代高端智能 T比特核心路由交换机

50、。该产品基 于华为公司智能多层交换的技术理念，在提供稳定、可靠、安 全的高性能L2/L3层交换服务基础上，进一步提供业务流分 析、完善的QOS1略、可控组播、一体化安全等智能业务优化 手段，同时具备超强扩展性和可靠性。第29页共56页Quidway? S9300系列广泛适用于广域网、城域网，园区 网络和数据中心核心、汇聚节点，帮助企业构建面向应用的网 络平台，提供交换路由一体化的端到端融合网络。 Quidway? S9300 系列提供 S9303、S9306、S9312三 种产品形态，支持不断扩展的交换能力和端口密度。整个系列 秉承模块通用化、部件归一化的设计理念，最小化备件成本， 在保证设备

51、扩展性的同时最大限度地保护用户投资。止匕外，S9300作为新一代智能交换机采用了多种绿色节能创新技术， 在不断提升性能及稳定性的同时，大幅降低设备能源消耗，减 小噪声污染，为网络绿色可持续发展提供领先的解决方案。产品特点 1）先进交换架构提升网络扩展性S9300采用先进的分布式交换技术，提供业界最大整机交换容 量和槽位带宽。创新的交换速率自适应技术，支持单端口速率40G 100G平滑升级，同时完美兼容现网板卡，保护初始投资。背板通流能力充分考虑未来带宽升级对整机电源功率和散 热需求，数据总线预留升级高速交换网能力。超高万兆端口密度，单台设备支持576个万兆端口，助力企业园区和数据中心迎来全万兆

52、核心时代。第30页共56页2）创新的三平面架构设计 S9300在传统交换机数据转 发、管理控制双平面基础上创新地增加了独立的环境监控平 面，实现对单板、风扇和电源配电模块的监控、管理和维护。业界首创的环境监控板，采用华为自主知识产权的高集成 度中控芯片，实现硬件级的按流量动态调整功率、风扇分区控 制、风扇智能调速、端口休眠技术等多项节能技术，在提升系 统性能的同时大大降低整机功耗。支持独立环境监控与网管联动，实现全面可视化管理。3）运营级高可靠性设计，保障企业应用永续运行9300具备超越5个9的运营级高可靠性，主控、电源、风扇等关键 部件采用冗余设计，所有模块均支持热插拔。基于分布式的硬 件转

53、发架构，路由平面和数据交换平面严格分离，保证业务流 永续畅通。独立的故障检测定位硬件，提供3.3ms高精度硬件级以太OAW能，实现快速故障检测与定位，与其他倒换技术联动可 有效保证毫秒级网络保护。能够在冗余控制引擎间实现无缝切换，设备优雅重启无中 断转发。支持ISSU业务无缝升级，减少关键业务和服务中 断。第31页共56页支持Enhanced-Trunk （E-Trunk ）功能，实现跨设备链路 聚合，二层组网环境中跨设备链路聚合无须运行破环协议，提 高设备链路利用效率的同时避免单点故障。支持IEEE 802.3ad链路汇聚、IEEE 802.1s/w 和虚拟路 由器冗余协议（VRRP ,同时

54、支持丰富的毫秒级倒换技术如 RRPP Smart Link 、IP FRR、TE FRR VPN FR啮，实现运营 级级高可靠性。4）多维集群CSS （集群交换系统）通过CSS集群虚拟化技术，将集群主机虚拟成一台逻辑设备，实现整个集群系统控 制信息共享和路由、组播表项同步。CSS集群技术可以有效提高单台设备的带宽，满足高密万 兆园区核心与大容量数据中心对核心交换设备的带宽吞吐要 求。CSS集群技术可以提高系统的可靠性。S9300 CSS集群创新性采用交换网集群技术，克服了业界普遍采用的线卡集群跨 框多次交换，交换效率低下的架构难题。采用交换网集群技术 可以将集群主机交换网拉通，集群不占用线卡槽

55、位，并提供业 界最大的256G集群带宽，同时可以通过跨框链路聚合提高链 路的利用率，并消除单点故障。第32页共56页CSS集群可以简化核心层的网络管理，整个集群系统共用 同一个虚拟IP,减少设备网元，简化网络拓扑管理，提高运 营效率，降低维护成本。5)运行中软件升级ISSU保障网络无中断运行ISSU可以 在设备软件升级过程中，减少系统业务中断时间，显著地提高 设备的可靠性。真正使企业网络具备“全天候”提供业务能 力，实现设备软件升级流量“零”割接，应用不中断。S9300提供无损升级、有损升级和快速重启三种ISSU升级方式，系统可自动比较新旧版本各个模块间差异，给由升级 方式建议，供用户选择。支

56、持ISSU升级失败时自动回退(Auto-Rollback )版本， 线卡采用新旧版本进程备份技术减少ISSU中断应用的影响。6)完善的QOSIL制S9300提供高品质的QOS (Quality of Service )能力，支持 Layer2Layer7的流分类技术，具备 完善的队列调度算法、拥塞控制算法，能够对数据流实现多级 的精确调度，从而满足不同用户、不同业务等级的服务质量要 求。S9300提供层次化QOS(H-QOS调度机制，通过在不同业 务等级上分别设置单独调度器，进一步精细化流量QOStt征，保障相应业务的服务质量。支持面向接入侧的多级H-QOS度第33页共56页 机制，多样化，差

57、异化满足大型企业园区不同层次用户设备的 业务需求。7）全业务以太交换平台支持分布式 L2/L3 MPLS VPN功能，支持 MPLS VPLS HVPLS VLL,满足企业 VPN等用户的 接入需求。支持多种速率WAN?卡，满足广域接入的需求。具备线速的跨 VLANS播复制能力，实现端口满负荷复 制，满足多终端视频监控和视频会议接入需求；完善的二、三层组播协议，可作为组播复制点和控制点， 提供高性能的IP组播视频和音频应用。软件平台提供多种路由协议满足企业建网要求，支持从中 小企业到超大型跨国公司级大规模路由，支持IPv6,能够为企业网络提供平滑升级能力。支持标准POE满足15.4W和30W标

58、准POEffi电规格，满 足企业在线供电业务需求。8）虚拟化数据中心交换平台 S9300 CSS集群虚拟化技 术，满足数据中心对核心、汇聚设备大容量、高可靠、海量吞 吐的要求。首创交换网集群，分布式跨设备链路聚合技术，有 效利用数据中心内部带宽资源，实现数据中心内部数据交换对 物理链路无感知。第34页共56页针对大型分布式计算数据中心业务模型，专门设计大缓存 线卡，支持单端口 200ms数据流量缓存，解决分布式计算网络 瞬间流量过大丢包问题。每板最大64K硬件队列，支持精细化 QO序口流量管理，利 用多种队列调度算法、拥塞控制算法，能够对数据流实现多级 的精确调度，从而满足不同用户、不同业务等

59、级的服务质量要 求，准确地按需配置给不同用户、不同业务流分配不同的优先 级和队列，保证不同的带宽、业务延迟和抖动性能需求。9）高性能IPv6业务能力S9300软硬件平台均支持IPv6 ,取得工信部IPv6入网认证和IPv6 Ready第二阶段金色 认证。支持IPv4/IPv6双协议栈，支持多种隧道技术，支持 IPv6 静态路由、RIPng、OSPFv3 BGP+ IS-ISv6、IPv6 组 播，满足IPv6独立组网和IPv4/IPv6 混合组网要求。10）智能流量负载均衡S9300负载均衡器能够保证服务 可靠性，提高服务响应速度，方便业务灵活扩展。S9300负载均衡器支持加权轮询、基于连接数

60、、加权 IP 地址Hash和基于HTTP URLl勺Hash等多种均衡调度算法，全 面满足客户负载均衡要求。门户网站服务器经常会遇到在同一时间大量针对同样网 页、服务的请求，服务器针对请求会频繁建立、拆除TCP连第35页共56页 接，耗费大量CP脩源，影响服务器响应速度。 S9300负载均 衡器支持TCP和HTTP重用，减轻服务器拆除/建立TCP连接的 负载，提高服务器访问效率。S9300负载均衡器支持动态“锁流”技术，满足电子商务 网站在线购物负载均衡需求。11)强大的网络流量分析能力 S9300支持随板分布式和 专用处理线卡集中式网络 Netstream业务分析功能，满足用户 对网络流量实