h3c职业技术学院网络设计方案

..专业.专注.h3c职业技术学院网络设计方案第1章系统建设需求校园网络平台是校园数字化系统的运行基础，学院原有的网络平台无论是在网络的稳定性、业务适应用性、性能、安全以及可扩展性等方面已无法支撑学院系统的需求，更是无法达到国家示范性高等职院建设的要求，因此，学院的校园网络平台需要进行全面的升级，建设任务主要包括以下五大方面：建设一个高可用的骨干网，这是网络平台建设最为重要及紧急任务之一，骨干网的稳定性、性能和安全性将直接影响到校园网络的运行；建设一个数据中心网络平台，为数字化业务系统提供一个高可用的接入平台；建设一个安全可控的网络出口，增强网络外界的安全防护以及校园网用户的行为监管能力，提高出口带宽的使用效率；完善校园网用户的接入和控制，通过部署用户认证、计费等措施对全面提升对接入用户的控制，使用户接入规范化。建设校园无线网络平台，提高网络接入的覆盖能力，校园用户更易于使用学院资源。第2章网络平台建设方案网络设计原则学院网络建设遵循以下基本原则：高带宽学院网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性学院网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到学院用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。网络层次化设计在校园园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。根据广州XX职业技术学院的网络分布情况，校园网共分成核心层、汇聚层和接入层三层。核心层核心层是整个网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。XX学院主校区设立整个校园网的核心层，同时，在新机场实训基地设立分核心。对于XX学院主校园的核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构。对于校园网核心层设备，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件 IPv6、网络安全、网络业务分析等智能特性，可为校园园区构建融合业务的基础网络平台，进而帮助用户实现 IT资源整合的需求。汇聚层汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。目前，XX学院在主校区共有15幢建筑物，新机场实训基地共有6幢建筑物。XX学院汇聚层设立将根据现有的信息点分布，结合综合布线系统等多因素，一般而言，以建筑物/功能区为单位设立汇聚层，即每个单体建筑 /功能区设立一个网络汇聚层，如数据中心和网络出口分别设于汇聚层，同时对于学生宿舍区，可以采用多幢学生宿舍共用1个网络汇聚层的方式。对于校园园区网的汇聚层设备，应该能够承载校园园区的多种融合业务，能够融合IPv6、网络安全、流量分析等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载校园园区融合业务的需求。接入层提供网络的第一级接入功能，完成二层接入，并实现对终端接入的安全控制，包括ARPW御、IP/MAC/端口绑定以及PO唐高级功能。在XX校园网中，接入层采用千兆及百兆到桌面的接入模式，对于数据传输量较大或重要区域采用千兆到桌面的方案，如综合办公、图书馆等，其它的为百兆接入，同时，无线AP接入采用POE?式进行设备的供电。接入层设备以选择二层交换机为主，设备应具有灵活的扩展能力，支持堆叠，具有强安全性，可以实现IP、MAC端口的绑定，支持802.1x认证，支持DHCPSnooping,防止非法DHCP!入和AR瞰击。校园网络总体结构校园网络平台将采用层次化通用结构设计，采用核心层、汇聚层和接入层三层架构，包括网络骨干、数据中心、网络出口、网络接入、无线网络等五大部分。..专业.专注..专业.专注.专业.专注.校园网骨干汇聚交换机FT3CS5500-EI/接入交换机H3CS5100数据中心服务器系统中心交换机H3CS7502E网络中心机房汇聚交换机H3CS5500-EI接入与换机H3CE/52/126A用户管理系统H3CCAMS网络出口应用流量控制 出口路由器H3CACG-2000MH3CSR6604"J——校园网骨干汇聚交换机FT3CS5500-EI/接入交换机H3CS5100数据中心服务器系统中心交换机H3CS7502E网络中心机房汇聚交换机H3CS5500-EI接入与换机H3CE/52/126A用户管理系统H3CCAMS网络出口应用流量控制 出口路由器H3CACG-2000MH3CSR6604"J——电信/网通置防火墙无线网控制器AC模块核心交换机H3CS7510E汇聚交换机H3cS5500-EI接入交换机H3CE152/126A汇聚交换机H3CS5500-EI接入交换机H3CE152/1：无线AP办公楼 图书馆、实验楼等 宿舍区千兆到桌面 百兆到桌面 百兆到桌面宿舍区

百兆到桌面网络骨干由核心层和汇聚层组网，骨干网采用高可靠性组网，核心层配置两台高端核心交换机，汇聚层设备通过双千兆链路实现与核心层设备的互联， 网宿舍区

百兆到桌面络骨干全面支持IPv6,并提供万兆扩展能力。校园网设立数据中心，实现各业务系统服务器的集中部署，数据中心网络平台独立建设，配置2台模块化交换机设备，为服务器提供高性能、高可靠、可扩展性的接入平台，同时，通过核心交换机内置高性能的防火墙模块提供安全保护。网络出口实现校园网络与外部网络的互联，包括与教育科、互联网的互联，网络出口需实现校园网与外部网络的隔离，网络出口配置1台路由器设备实现与外部网络互联，同时提供地址转换等服务，配置应用控制网关，实现出口带宽的管理，并对校园网用户实现行为审计等功能。网络接入层提供校园网用户的接入，并实现网络接入的安全防御，如ARP攻击防护，同时，结合用户管理系统实现对接入用户认证、计费等管理。为实现校园网络接入的灵活性，提高网络的覆盖，校园网将实现办公楼、图书馆、实验室、运动场馆等公共区域的无线网络覆盖，无线网采用智能的Fit

AP组网。为便于网络的管理和维护，校园网还将建设 1套网络管理系统，实现对校园网络平台设备的统一管理，网络管理应具有拓扑、故障、性能、配置和图形化设备管理等功能，为了实现更为方便的通过远程方式对网络的状态进行监控和维护，网络系统采用B/S架构。同时，为加强对接入用户的控制和管理，系统还部署用户认证、计费管理系统。核心层设计XX学院主校区设立整个校园网的核心层， 同时，在新机场实训基地设立分核心。对于XX学院主校园的核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构。核心层配置 2台高端交换机作为核心交换机，两台交换机之间通过万兆链路进行互联，形成双机复用，在两台中心交换机之间启用 VRRPW议，这样在其中一台出现故障的时候，业务可以自动切换到另外一台。选用的核心交换机是从可靠性、性能、业务特性、安全特性以及可扩展性等多个方面进行综合考虑。在可靠性方面，核心交换机应达到 99.99%的高可靠性，采用全模块化设计，电源、风扇、引擎、业务模块等均可实现热插拔，支持电源、引擎等关键部件的1+1冗余热备份，支持VRRP路由优雅（GR等高可靠性协议，实现核心层的业务不间断转发。在性能方面，核心交换机应采用Crossbar交换矩阵，采用全分布式转发，支持万兆、千兆等高速以太网接口，所有接口实现线速转发,保障校园网多种业务进行并发交换。在业务特性方面，核心交换机支持丰富的QoSW性，可保障重要业务得到优先转发；支持 IPv6，可平稳过渡到下一代网络；并且支持内置防火墙、内置无线控制器等多种业务功能插卡，可以进行灵活的部署，实现业务的扩展和融合。在安全性方面，核心交换机应既能保障自身的运行安全，也能通过一些安全机制保障所承载业务的安全。基于上述因素，我们建议核心交换机采用 H3cS7510EW端交换机。H3cS7500E系列产品是杭州华三通信技术有限公司（以下简称 H3c公司）面向融合业务网络推出的新一代高端多业务路由交换机， 该产品基于H3c自主知识产权的ComwareV5操作系统，融合了MPLSIPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术。S7510E具有10个槽位，其中8个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实现在线扩展。S7510E具有高转发性能，整机具有1152Gbps交换容量、773Mpps转发性能，同时，S7510E采用全分布式转发，并采用最长匹配、逐包转发的处理机制，保证业务的高速率转发。S7510E中配置的所有接口均可实现线速转发。选用的H3CS7500或换机具有以下特点：＜一＞、丰富的业务，适应融合业务网络发展趋势全面的MPLSk务能力H3CS7500E所有产品均支持VRF-Lite特性，可以做为MCE®备使用；支持三层的MPLSVPNT口二层的MPLSVPNMartini、Kompella）,可扩展支持VPLS技术；支持MPLSOAMH生，方便用户的管理和维护；与H3CMPLSVPNManager配合，实现图形化的MPLS?署与维护。线速的IPv4/IPv6业务能力H3CS7500E支持IPv4/IPv6双协议栈，支持多种6to4隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3CS7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3CS7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QO序口又tIPV6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3CS7500E是业界最高密度的以太网无源光网络（EPON设备，单台最大可接入10240个FTTH用户；H3CS7500E是高可靠的EPONS统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。支持Portal认证H3CS7500E支持大容量的Portal认证功能，可以在数千用户的局域网中作为EAW关设备，为全网用户提供EA汝全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供 Portal认证功能。＜二＞、灵活的配置，适应各种应用场景配线间融合业务网络的最佳选择H3CS7500E#对配线间的需求定制开发了SA板卡，单台设备可以提供480个千兆线速接口和4个万兆线速接口。H3CS7500E支持端点准入防御解决方案，解决终端安全问题；内置2800W/电源直接提供PoE功能，对IP语音和无线接入提供良好的支持。政府电力城域网边缘和汇聚的最佳选择H3CS7500E支持VRF-Lite特性，为用户提供高可靠高性能的MC殷备；通过配置SalienceVI-Turbo引擎，可以提供集中式MPLSlk务功能，适合在城域网边缘作为高性价 PE设备使用；通过配置 EA类板卡，可以提供分布式线速的MPLSt务功能，适合在城域网汇聚层作为高性能的 PE使用。IPv6网络的最佳选择H3CS7500即有SalienceVI引擎都可以提供集中式IPv6功能，H3CS7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡，在整机满配置状态下实现线速无收敛，为高校用户提供了高性能低成本的双栈汇聚核心设备，同时也满足其他行业用户IPv6Ready的需求。＜三＞、全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3CS7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCNAR%协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面， SNMPv3R］管协、议,SSHV2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN、MAG口端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。有线无线全面支持EADH3cS7500E^EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3CS7500EK支持有线终端用户的EAD也支持无线终端用户的EAD能够做到终端安全防范无漏洞。增强的ACL特性H3CS7500E系歹产品支持强大的ACL能力：支持标准和扩展A"支持基于VLAN的ACL方便用户配置，节省ACL资源；支持出方向和入方向的ACL每板最大可支持9K条ACL满足金融等行业访问权限严格控制的需求。＜四＞、电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3CS7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3CS7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999％的电信级可靠性。多业务高可靠性运行H3CS7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRP映速环网保护协议，提供小于200ms的环网故障保护；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3cS7500E可以在承载多业务的情况下不间断运行，实现业务的永续。支持热补丁技术H3CS7500E能够在不重启设备的前提下，通过热补丁技术，在线修改软件BUG增加新的业务特性。H3CS7500E®供控制补丁单元状态切换的用户命令，使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。数据中心设计为实现对校园网服务器统一管理和控制，同时考虑到扩展性，服务器的接入独立配置交换机实现，为保证服务器接入的高可用性，配置2台全千兆三层路由交换机，数据中心交换机通过VRRPJ、议实现互为热备和负载分担。在选用的数据中心交换机时，我们充分考虑到应具备以下功能和特性：在可靠性方面，数据中心交换机支持 VRRFB备份协议，为服务器提供可靠的接入。在性能方面，数据中心交换机所有端口线速转发，保障图书馆多种业务进行并发交换。在业务特性方面，数据中心交换机支持丰富的QoSt性，可保障重要业务得到优先转发；支持 IPv6，可平稳过渡到下一代网络。在安全性方面，数据中心交换机具有安全机制保障所承载业务的安全。在可扩展性方面，数据中心交换机应采用模块化设备，支持高密度、高带宽接口，在业务系统不断增长时，可通过增加业务模块来满足服务器接入需求。基于上述因素，我们建议数据中心交换机采用 H3cS7502EW端交换机。S7510E具有4个槽位，其中2个为业务模块插槽，并支持丰富的接口模块，如万兆、千兆、百兆等类型接口，可根据网络规模实现在线扩展。S7502E具有高转发性能，整机具有192Gbps交换容量、143Mpp酢专发性能，同时，S7502E采用全分布式转发，并采用最长匹配、逐包转发的处理机制，保证业务的高速率转发。S7502E中配置的所有接口均可实现线速转发。汇聚层设计汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关。选用的汇聚交换机应具备以下功能和特性：在可靠性方面，汇聚交换机支持路由协议平滑重启，支持RSTPMSTPt成树协议，支持 2层的快速切换，确保与核心交换机组网的可靠性，在性能方面，汇聚交换机所有端口线速转发，包括万兆接口，保障多种业务进行并发交换。在业务特性方面，汇聚交换机支持丰富的QoSW性，可保障重要业务得到优先转发；支持 IPv6，可平稳过渡到下一代网络。在安全性方面，汇聚交换机具有安全机制保障所承载业务的安全。基于以上要求，我们建议汇聚交换机选用 H3c的S5500-EI,S5500-EI系列交换机具有以下特点：1、高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GES1路将是我们的未来发展方向。H3CS5500-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的 10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。IPv4到IPv6的演变是以太网发展的大势所趋，网络设备对于IPv6的支持不仅是简单的可用就行，而是需要达到商用的标准，S5500-EI已经通过了国际最权威的IPv6Ready第二阶段认证，而且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制，实现 IPv4到IPv6的平滑升级。2、完备的安全控制策略H3CS5500-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3CS5500-EI交换机支持集中式MAO址认证、802.1x认证、PORTA认证，支持用户帐号、IP、MACVLAN端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLANQoSACD的动态下发；支持配合H3c公司的CAM添统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。H3CS5500-EI系列交换机提供增强的ACL控制逻辑，支持超大容量的入端口和出端口ACL并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。另外，S5500-EI系列还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。7VM海岸线网络安全资讯站3、多重可靠性保护S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持内置的双冗余电源，其中S5500-28F-EI支持可插拔的冗余电源模块，也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。除了设备级可靠性以外，还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术，比如华三通信独创的 RRPPtfe速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。4、多业务支持能力支持PoE(PoweroverEthernet)技术，通过以太网对所连接的设备(如IPPhone,WirelessAP等)进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。支持VoiceVLANfe术，交换机通过识别端口的语音流，将对应的接入端口加入 VoiceVLAN(专用语音VLAN中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置 VoiceVLAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对 VoiceVLAN内的语音流量的冲击。H3cS5500-EI系列交换机支持MC或能，可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾，它使用CE设备本身的VLAN6口编号与网络内的VPN1行绑定，并为每个VPN^J建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同VPN的报文转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保证VPNK文在公网内的传输。5、丰富的QoSfi略H3cS5500-EI系列交换机支持支持 L2(Layer2)~L4(Layer4)包过滤功能，提供基于源MAC!址、目的MAO址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、 VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP(StrictPriority)、WR(RWeightedRoundRobin)、SP+WRR种模式。支持CARCommittedAccessRate)功能，粒度最小达64Kbpso支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。6、出色的管理性H3CS5500-EI系列交换机支持 SNMPv1/v2/v3(SimpleNetworkManagementProtocol),可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，WetR］管，TELNETHGMP1群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5500-EI系列交换机支持基于MACM址戈U分VLAN很好的解决了移动办公的智能灵活管理；结合特有的基于全局和 VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。该系列交换机还支持 sFlow功能，可以对出入方向的报文按比例随机抽样，灵活实现报文采集。网络出口设计网络出口实现校园网络与外界网络互联，出口网络应具有一定的可靠性，提供网络安全防护能力，并对出口带宽进行有效的分配和控制，同时加强对用户行为进行监管。网络出口配置1台高端路由器，路由器实现外部网络互联，并提供NA似能，配置1台应用控制网关，实现对出口带宽的灵活调配，并实现对用户行为进行审计和监管。并通过核心交换机的防火墙模块实现对网络区域的隔离和访问控制。网络出口路由器应具备以下功能和特性：在可靠性方面，路由器应支持电源、处理系统的冗余备份。在性能方面，路由器应提供高性能转发，并具有优越的 NA说理能力。在业务特性方面，路由器支才I丰富的QoSW性，可保障重要业务得到优先转发；支持 IPv6，可平稳过渡到下一代网络。在安全性方面，路由器有安全机制保障所承载业务的安全。基于上述因素，我们建议出口路由器采用 H3CSR6604s端路由器。应用控制网关选用 H3CSecPathACG(Application ControlGateway)，H3CACGg业界识别最全面、控制手段最丰富的高性能应用控制网关，能对网络中的P2P/IM带宽滥用、“地下”VoIP、”一拖M、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，可对网络流量、用户上网行为进行深入分析与全面的事后审计， 并具有强大的URLM滤功能，进而帮助用户优化其网络资源，全面了解网络应用模型和流量趋势，开展各项业务提供有力的支撑。H3cACGi有以下优点：强大的P2P/IM业务监控通过H3c长期积累的状态机检测技术，能精确检测 Thunder（迅雷） 、BitTorrent、eMule（电骡）、eDonkey（电驴）、QQMSNPPLive等近百种P2P/IM应用。同时，可基于时间、用户、区域、应用协议等，对 P2P/IM应用进行告警、限流、干扰或阻断。完善的安全审计系统可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，事后对历史数据进行分析，为用户提供细粒度的网络行为审计管理系统。强大的过滤功能通过自定义IP地址、主机名、正则表达式等方式设置 URL特征库，支持根据不同的URLS略设置不同的响应方式，支持根据时间表对不同的URL策略设置不同的响应动作，避免保密信息的外泄，免受非法信息的干扰，确保网络的健康使用。丰富的报表提供业务流量趋势图、流量分布图、TopN用户列表、TopN应用协议列表等报表，并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，使用户能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提供依据。全面地识别“地下”VoIP支持对 Skype、H.323、SIP、中桥、UUcall等近百种协议或网关的呼叫识别、阻断或干扰。目前，H3c是唯一能实现对Skype在PC-PCPC-Phone两种通信模式进行实时有效控制的厂商。领先的“一拖N'清理技术采用业界流行的ID轨迹检测技术、时钟偏移检测技术，结合多种应用层特征检测技术如应用特征检测、流量/连接数统计、TTL检测、MAC4址检测等，能实时准确的识别出以NATProxy方式进行共享接入的用户以及准确的PC数量,并实施告警、阻断等控制措施。用户行为分析采用先进的技术分析手段，全面分析网络应用的流量类型和流量流向趋势，统计网络热点，发掘业务增长点；分析用户行为，统计用户兴趣，为个性化运营提供依据，并通过开放的平台接口，与第三方业务平台对接，提供高附加值业务，如在用户行为兴趣分析的基础上提供定向 WE旷告服务。高性能、高可靠性基于新一代多核CPU^核架构及分布式搜索引擎，同时配合高容量的交换背板，确保SecPathACGE各种大流量、复杂应用的环境下，仍能具备千兆级线速业务处理能力，仅有微秒级时延。通过掉电保护（PFC、二层回退等高可靠性设计，确保SecPathACGft断电、软硬件故障或链路故障的情况下，网络链路仍然畅通，保证用户业务的不间断正常运行。及时的特征库更新H3c专业安全团队密切跟踪应用变化，并对应用协议特征库及时更新；支持在线自动/手动升级方式，升级过程无需重启系统，不影响系统业务运行。接入层设计接入层实现各终端电脑的高速接入，根据各业务系统的分布，可采用千兆到桌面以及百兆到桌面两种方案。对于办公大楼、图书馆、实验室等对网络带宽要求较高的,建议采用千兆到桌面的解决方案。对于教学楼、宿舍区的接入可采用10/100M到终端的解决方案。配合用户认证系统实现对接入用户的接入层交换机应具有丰富的安全特性，配合用户认证系统实现对接入用户的认证计费，同时，交换机还应具有防伪 DHCFServer的接入，对终端ARP各种形式攻击的防护。接入层交换机，我们建议千兆交换机选用H3cS5100系列交换机，百兆到桌面选用H3C»教育行业用户专门研发的E系列交换机。选用的 S5100－EI系列交换机具有以下特点：1、灵活的千兆接入和集群管理H3cS5100-EI系列千兆以太网交换机提供灵活的16/24/48个10/100/1000M自适应电口接入密度；并且支持复用的SFP®槽，充分考虑用户的带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用户投资。其中S5100C-EI机型支持最多2个可扩展的万兆接口，并且支持40G带宽的堆叠。该系列硬件支持最大136Gbps交换容量，保证所有端口线速交换。H3cS5100-EI系列交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一 IP管理。同时大大降低系统扩展的成本，保护了用户投资。2、全面的接入安全策略H3CS5100-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3CS5100-EI系列交换机支持特有的AR叭侵检测功能，可有效防止黑客或攻击者通过ARPf文实施网络中逐渐盛行的“中间人”攻击，对不符合 DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARPK骗报文直接丢弃。同时支持IPSourceCheck特性，防止包括MAO骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的 DoSgfc击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝私设DHCPK务器，保证DHC环境的真实性和一致性。H3CS5100-EI系列交换机支持端口安全特性族可以有效防范基于 MAO址的攻击。可以实现基于MAO址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量,使得某个特定端口上的MAO址可以由管理员静态配置,或者由交换机动态学习。H3CS5100-EI系列交换机有强大硬件ACK力，能深度识别报文，支持L2~L4包过滤功能，提供基于源MAO址、目的MAC源IP地址、目的IP地址、IP协议类型、物理端口、VLAN等定义ACL以便交换机进行后续的处理。并且支持基于全局、VLAN端口（组）的ACL下发，有效简化配置过程并节约硬件资源。H3CS5100-EI系列交换机提供802.1X和集中MAC1证方式对接入的用户进行认证，允许合法用户通过，对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、GuestVLAN^功能,和CAM$艮务器配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。2、完善的QoS保障H3CS5100-EI系列以太网交换机提供基于Diffserv和802.1P的QoS#性，可以对报文的802.1P和DSC题优先级进行修改等操作，并映射到每端口提供的8个CO纵列，队列调度提供了三种各具特色的队列调度算法， 严格优先级（SP）和整形加权轮循（SDWFRR调度算法以及SP+SDWRR合调度算法。H3CS5100-EI系列以太网交换机支持流量监管和带宽粒度控制，流量限速的最小粒度为1Kbit/s，确保为进入交换机的特定业务提供带宽保证，即使在网络拥塞时，也能满足一定的丢包、时延及时延抖动等QoS需求。支持流量整形保证以太网交换机可以对输出报文速率进行控制。支持基于流的报文重定向。3、增强的网络管理和维护的易用性H3CS5100-EI系列交换机支持通过FTRTFTP实现设备的远程升级，支持SNMPv1/v2/v3,可支持OpenView等通用网管平台，以及iMC智能管理中心。支持CLI命令行，WetB管,TELNETHGMP1群管理，使设备管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。传统交换机对端口的镜像功能都是基于本地实现，镜像数据流无法穿越网络在核心实现统一采集、监控和分析；H3CS5100-EI支持跨交换机的远程端口镜像功能（RSPAN,可以将接入端口的流量镜像到核心交换机上，在核心上启动网流分析（Netstream）功能，对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。H3CS5100-EI系列交换机支持 VCT(VirtualCableTest)电缆检测功能，便于快速定位网络故障点；并支持 DLDP(DeviceLinkDetectionProtocol )单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。H3cE系列交换机具有以下特点：全面的接入安全策略H3CE126A/E152a育网交换机支持特有的ARPA侵检测功能，可有效防止黑客或攻击者通过ARP艮文实施校园网常见的“中间人”攻击，对不符合 DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARPK骗报文直接丢弃。同时支持IPSourceCheck特性，防止包括MAO骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的 DoSgfc击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝学生私设DHCPK务器，保证DHC即境的真实性和一致性。E126A/E152教育网交换机支持端口安全特性族，可以有效防范基于 MAO址的攻击。可以实现基于MAC!址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAO址可以由管理员静态配置，或者由交换机动态学习。E126A/E152教育网交换机有强大硬件ACL能力，能深度识别报文，支持L2〜L4包过滤功能，提供基于源MAC!址、目的MAC!址、源IP地址、目的IP地址、IP协议类型、TCP/UDPSm、TCP/UD矶口范围、VLANVLAN®围等定义ACL以便交换机进行后续的处理。E126A/E152教育网交换机支持集中式MAO址认证和802.1x认证，支持用户帐号、IP、MACVLAN端口等用户标识元素的动态或静态绑定，同时实现用户策略(VLANQoSACD的动态下发；支持配合H3c公司的CAM系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。支持对Proxy进行有效的管理。增强的网络管理和维护的易用性H3CE126A/E15徵育网交换机支持通过FTRTFTP实现设备的远程升级，支持SNMPv1/v2/v3,可支持OpenView等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管,Telnet,HGM集群管理，使设备管理更方便。E126A/E152教育网交换机支持跨交换机的远程端口镜像 RSPAN可以将接入端口的流量镜像到核心交换机上，可以对全网业务和流量进行监控、优化部署和恶意攻击监控，满足校园网精细化管理的需要。E126A/E152教育网交换机支持VCT(VirtualCableTest)电缆检测功能，便于快速定位网络故障点；并支持 DLDP(DeviceLinkDetectionProtocol)单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。高性能与灵活扩展能力H3cE126A/E15徵育网交换机具有19.2G的背板交换容量，支持所有端口线速转发，满足了教育用户对高带宽的需求。设备支持 2/4个6曰±行，采用固定电口和通用SFP的灵活千兆连接方式，在降低用户成本的同时，更好的考虑了用户后续升级的实际需求。E126A/E152教育网交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，最大扩展至768个10/100M端口，支持E126A和E152混合堆叠。具有即插即用、单一 IP管理。同时大大降低系统扩展的成本，保护了用户投资。丰富的业务支持能力H3CE126A/E152教育网交换机支持SP(StrictPriority)、WRRWeightedRoundRobin)、SP+WRR种队列调度算法，支持每个端口4/8个输出队列，可以以不同的优先级将报文放入端口的输出队列。E126A/E152教育网交换机支持端口限速功能，限速粒度可达 64Kbps,防止恶意侵占网络带宽，也为网络带宽的精细化管理提供了手段。E126A/E152教育网交换机支持IPv6host，包括IPv6单播地址配置，ICMPv©IPv6邻居发现协议(ND,IPv6-TCP,IPv6-TFTP,IPv6-TRACERTt理特性。无线网络设计无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。第一代无线局域网主要是采用FatAP(即“胖”AP),每一台AP都要单独进行配置，费时、费力、费成本；.专业.专注.专业.专注.第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置， 其管理性和安全性以及对有线网络的依赖成为了第一代和第二代 WLAN"品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，Radiusclient的安全密码(secret)等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量(IPsessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。在这样的环境下，基于无线交换机技术的第三代 WLAIT品应运而生。第三代无线局域网采用无线交换机和 FITAP(即“瘦”AP)的架构，对传统WLANS备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的WLAN交换机中实现，同时加入了许多重要新功能，诸如无线网管、 AP问自适应、无线安管、RF监测、无缝漫游以及Qos,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。FATAP方案FITAP方案技术模式传统主流新生方式，增强管理安全性传统加密、认证方式，普通安全怏增加射频环境监控，基于用户位置安全策略，高安全性网络管理对每AP下发配置文件无线控制器上配置好文件.AP本身零配置，自动下载配置文件用户管理类似有线，根据AP接入的有线端口区分权限虚拟专用组方式，根据用户名区分权限WLAN组网规模L2漫游，适合小规模组网L2、L3漫游，拓扑无关性，适合大规模组网擀俏业务能力实现简单数据接入可扩展语音等丰富业务室内无线覆盖将使用大量无线接入点(AP)提供无线网络接入服务，必须有效实现多个AP的统一策略部署和可靠的安全认证机制，因此，采用FITAP的解决方案，即采用无线控制器结合瘦AP与无线网络管理系统的架构。综合上述分析，对于大规模部署的校园网无线局域网，我们建议采用FITAP的方案。无线网络结构参见下图:H3(/IS置防火墙汇聚交换机汇聚交换机H3CS5500-EIH3CS5500-EI接入交换机H3CE152/126A接入交换机H3CE152/126A无线AP电信/网通校园网骨干北聚交换机F无线APH3CS550I网络中心机房H3CS5500-ET接入交我机H3CE括2/126A核心交换机H3CS7510EH3CS5100服务器系统无线网络结构参见下图:H3(/IS置防火墙汇聚交换机汇聚交换机H3CS5500-EIH3CS5500-EI接入交换机H3CE152/126A接入交换机H3CE152/126A无线AP电信/网通校园网骨干北聚交换机F无线APH3CS550I网络中心机房H3CS5500-ET接入交我机H3CE括2/126A核心交换机H3CS7510EH3CS5100服务器系统数据中心用户管理系统网络出口中心交换机H3CS7502E应用流量控制 出口路由器AC模块H3CACG—2000MH3CSR6604无线网控制器办公楼 图书馆、实验楼等 宿舍区千兆到桌面 百兆到桌面 百兆到桌面宿舍区百兆到桌面无线网络组成包括以下部分:无线控制系统，设备建议部署在网络中心，为确保整个无线网络的高可性，建议采用在核心交换机配置无线控制模块，通过交换机的高性能来实现路由和转发，并配置无线控制器模块实现无线的管理。无线控制器模块最大可管理640个AP,通过在S7510E中集成无线控制器模块，将充分利用核心交换机的高可靠性和高处理性能，同时，与有线网络的融合度更高。无线AP,根据实际需求，室内区域，包括办公室、图书馆等，AP采用FitAP,选用WA2110AGAP与无线控制器组成无线网，室内AP连接到最近的访问层交换机。在室外区域，直接采用室外型APWA2200冻列AP,H3c室外型AP通过IP66等级保护，可防水防尘，直接安装在外。建议配套H3CWSME线业务管理系统，实现对无线网络的管理，通过WSME线业务管理器，用户可以获得全面的无线业务管理能力。在设备选型中，我们建议无线局域网与交换机采用相同的品牌， 以确保系统的兼容性，并实现统一化管理。采用FITAP解决方案构建的无线局域网具有以下功能和特点：?方便部署FITAP解决方案采用集中式架构，在不改变其网络的原有规划和部署的情况下，甚至不需要中断原有网络就可以轻松叠加一个无线网络， 该无线网络和原有的有线网络可以形成有线无线一体化的接入方案，可以大大减少网络升级和部署的成本。? 易于管理、AP“零配置”采用无线控制器和FITAP配合组网时，只需要在无线控制器上对一类相同属性的AP建立配置模板，AP在启动时可以自动从无线控制器上下载最新的配置文件，真正做到了零配置，免维护，即插即用，极大地减轻了网络管理员在部署网络阶段的维护工作量。?方便升级FITAP还支持软件自动更新功能，在其每次重新启动时会自动比较当前运

行的版本和无线控制器上保存的版本，如果无线控制器上保存的版本更新， AP会自动更新本地的软件映像，软件升级不再需要网管人员的干预。? 三层漫游无线控制器支持三层漫游，并支持快速漫游，漫游切换时间小于 50m6满足对切换时间要求最苛刻的语音业务。?支持虚拟APFITAP支持多SSID实现虚拟AP特性，每个SSID可对应不同的VLAN从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。? 丰富的RF管理和安全RF管理功能，可以使得无线网络的布网灵活性大大增强，网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段，信道和功率还需要按照国家代码自动设置，无线控制器的 RF管理功能使得网络部署非常简单。RSSI/SNR的不断更新，更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离，从而可以采取相应的策略来提升网络可用性。?支持智能的负载均衡支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。? IPv6无线控制器实现了IPv4/IPv6双协议栈。AP和无线控制器之间可以穿过IPv6网络互联，从而使组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。? 完善的QoS无线控制器支持Diff-Serv标准包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等，完整实现了标准中定义的EF、AF1〜AF4BE等六组PHB及业务，可为用户提供具有不同服务质量等级的服务保证， 真正成为同时承载数据、语音和视频业务的综合网络。? 有线无线一体化的网管系统采用同一品牌的交换机和无线局域网产品，通过配置 1套网络管理系统，即可实现有线无线一体化的管理 。网络安全性设计校园网络承载多种业务系统，并实现与外界网络的互联互通，为确保业务系统的安全性，需根据不同的业务类型，采取相应的安全措施。在校园网络建设中，网络安全建设主要包括以下几大部分：一、对重点区域的安全隔离和访问控制，通过增加防火墙，实现对业务系统资源和外部网络安全隔离和访问权限的控制。二、网络出口部署应用控制网关，实现对校园网用户的行为审计和监管。三、通过配置交换机所具有的安全功能，加强的网络的安全控制。重要安全区域隔离为使网络能够阻止、检测由面向学生开放的业务资源、校外其它用户发起的异常流量和攻击，对数据中心和网络出口等重要区域进行保护，网络设计时使用防火墙实现各区域的安全隔离，参见下图：置防火墙汇聚交换;无线AP无线APH3cE152/126A汇聚交换机/H3CS5500-EI核心交换机H3CS7510E汇聚交换机H3CS5500-EIH3CCAMS接入学机H3CE152/126A网络中心机房无线网控制器ZAC模块校园网骨干数据中心服务器系统用户管理系统H3CACG-2000MH3CSR6604置防火墙汇聚交换;无线AP无线APH3cE152/126A汇聚交换机/H3CS5500-EI核心交换机H3CS7510E汇聚交换机H3CS5500-EIH3CCAMS接入学机H3CE152/126A网络中心机房无线网控制器ZAC模块校园网骨干数据中心服务器系统用户管理系统H3CACG-2000MH3CSR6604汇聚交换机H3cS5500-E接入交换机H3CS5100网络出口应用流量控制出口路由器中心交换机H3CS7502E/网H3CS5500-EI办公楼千兆到桌面图书馆、实验楼等百兆到桌面宿舍区百兆到桌面宿舍区百兆到桌面通过在核心交换机增加防火墙模块，同时为数据中心和网络出口提供安全区域隔离和安全保护.防火墙模块具有虚拟防火墙、虚拟接口等特点，提供高达6Gbps处理性能，并充分利用核心交换机的高可靠性，为确保系统的可靠性，并分别在两台中心交换机上配置防火墙模块，实现防火墙的负载分担和冗余备份。出口带宽监管校园网络应用层出不穷，在大大提升了用户的工作效率的同时也带来许多负面影响，针对用户行为控制的解决方案，需要能够解决以下问题：用户通过P2P下载电影造成网络速度变慢，怎么解决用户在BBS上发布违法帖子，违反信息安全规定用户工作时间炒股、打游戏、聊天造成工作效率的下降，怎么解决用户访问非法网站易感染病毒，如何控制校园网络出口通过问部署一台SecPathACM关，通过在ACGE用控制网关，可精确识别BK电驴、迅雷、MSNQQYahooMessenger、PPLive等近百种P2P/IM应用，可基于时间、用户、区域、应用协议，通过告警、限速、阻断等手段进行灵活控制，保证网速的正常和业务不被影响。AC或用先进的分析技术，能对网络多媒体、网络游戏、炒股等应用进行识别与控制，通过URLM滤、关键字过滤、内容过滤等多种访问控制策略，控制非法应用，过滤非法网站，规范用户上网行为，提高员工工作效率。同时，ACGtt够以下审计功能：WEB—用审计——URL源、目的IP;访问时间等应用审计一一登录名；上传或下载文件名；源、目的IP;访问时间等Email应用审计——POP剂SMTP攵发邮件的邮件名、发件人、收件人等；不支持WEBMail的审计NAT日志审计——NAT1后的IP、端口号；时间等；需要与U200或F1000E等支持FLOW3.0日志的设备配合网络安全保护对于校园网大型应用以太网交换机的系统，网络的安全特性非常重要，因以太网工作原理的限制，交换式网络容易造成MACIP等安全的攻击。对此，需通过交换机的安全特性加以防护。本次选用的核心交换机、汇聚交换机和接入交换机具有丰富的安全特性， 可以解决网络中存在的安全问题，详细参见下表:攻击攻击行为交换机安全防范特性核心交换机汇聚交换机接入交换机资源耗尽型攻击端口MAO限制具有具有具有禁止某个VLAN的MAC!址学习+静态MACS具有具有具有MAC5L以山端口安全具有具有具有MAC+IP+端口绑定，端口安全中的1个特性具有具有具有DHCPDOS^击DHCPRelayOption82具有具有具有DHCPSnoopingOption82具有具有具有DHCP艮文限速具有具有具有CPUS^意冲击ARP艮速具有具有具有防范攻击的广播风暴抑制具有具有具有

其它特性环路检测具有具有具有安全准入特性具有具有具有802.1x具有具有具有端口安全特性具有具有具有假冒伪装型攻击ARPK骗攻击AR叭侵检测具有具有具有端口隔离具有具有具有Isolate-User-VLAN具有具有具有MAC/IP欺骗攻击DHCPrelaySecurity具有具有具有IP源地址保护具有具有具有DHC用艮务器欺骗攻击DHCPSnoopingTrust具有具有具有根桥伪装攻击STPfi保护具有具有具有BPDUS护具有具有具有TCNt击TC-BPDU艮文非立即处理机制具有具有具有路由源伪装攻击OSPF/RI琳由MD5佥证具有具有二层，不具有设备控制权攻击用户信息嗅探SSH2.0具有具有具有SNMPv3具有具有具有SFTP具有具有具有管理人员泄密远程管理终端限制（TelnetVTY配置ACL）具有具有具有用户分级具有具有具有暴力尝试攻击远程管理终端限制（TelnetVTY配置ACL）具有具有具有在用户接入安全控制，设计时采取以下针对性的措施解决以下MACIP地址的安全问题。1、通过接入层交换机进行IP、MAC端口的绑定或认证系统的实施，解决IP地址冲突和IP地址欺骗。..专业.专注.2、接入层交换机启用ARP佥测特性,解决ARPt击和欺骗的问题。3、接入层交换机启用DHCPe全特性，解决用户私自架设非法 DHCF®务器的问题。4、在防火墙或路由交换机通过IPSourceGuard以及URPF#性上解决伪造IP源地址攻击。5、交换机启用ARP艮文限制，解决导致交换机或客户端 ARPft溢出或DHCP服务器地址耗尽的问题。6、通过网络管理系统，实现在网络维护和故障解决时，可快速查找、定位和隔离发生故障的交换机所有的端口。网络可靠性设计各业务系统的安全运行，对网络系统的可靠性提出了很高的要求。因此在网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性包括设备和链路冗余、数据链路层稳定性以及网络层稳定性三大方面。物理设备和链路稳定性网络结构的可靠性校园网络设计首先从网络结构上保证了高可靠性和高冗余性：网络核心层和数据中心采用双机冗余架构设计， 通过路由协议、不间断路由等技术配合实现可靠性；网络核心层和数据中心设备间互联全部采用双或多链路互联，配合路由协议、VRRPMSTP?技术实现局域网络的可靠性。设备级冗余性设计网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。要保证网络平台的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。网络关键设备必须具有电信级可靠性网络中的关键设备，如核心路由器等，应该具备电信级可靠性：可靠性指标必须达到 99.999%。网络核心设备采用全分布式体系结构，路由与转发分离。所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。网络核心设备支持软件在线升级，升级过程中业务不中断。网络核心设备支持软件热补丁，打补丁过程中主控板和接口板都不需要重启动，业务不中断。校园网络中所采用的核心交换机和数据中心交换机 S7500E等设备具有强大的设备级可靠性保证：1、采用分布式体系结构：S7500E采用分布式体系结构，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。2、关键部件冗余：S7500E采用分布式体系下，对设备的关键部件，如主控管理单元、交换转发单元等，进行冗余构造配置，保证系统在工作中不会全部失效。3、实时热备份机制：在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。4、热插拔特性：S7500E任意单板均支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的 7X24小时不间断运行。5、冗余电源支持：S7500E能提供冗余电源负载分担及备份供电，保障系统具有可靠的能量源。6、散热系统：S7500E的散热系统使设备能够长时间稳定运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。链路冗余配置校园网络核心与汇聚、核心与数据中心之间采用多条链路互联，通过路由协议的ECM多链路分担和切换等特点，实现多链路之间的互为冗余备份。数据链路层稳定性设计接入交换机与汇聚交换机之间为二层链路互联，为避免二层环路的发生，需运行生成树协议，在具体的部署过程中，为实现链路的快速切换以及保障网络的稳定性，可综合实施MSTPE成树、生成树边缘端口、链路单向检测等技术。网络部署MSTP通过运行MSTPk成树协议，可以解决因拓扑变化 STP重新计算引起的局部网络中断问题以及因某个VLANft扑变化引起整个STP重新计算的问题。MSTP（MultipleSpanningTreeProtocol ，多生成树协议）可以弥补STP和RSTP勺缺陷，它既可以快速收敛，也能使不同VLAN的流量沿各自的路径转发，从而为冗余链路提供了更好的负载分担机制。MSTP勺特点如下：MST股置VLAN央射表（即VLANffi生成树的对应关系表），把VLANff口生成树联系起来。通过增加“实例”（将多个VLAN整合到一个集合中）这个概念，将多个VLANB绑到一个实例中，以节省通信开销和资源占用率。MSTPf巴一个交换网络划分成多个域，每个域内形成多棵生成树，生成树之间彼此独立。MSTP等环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLANa据的负载分担。MSTPS容STPffiRSTP生成树边缘端口接入交换机的端口设为生成树的边缘端口,通过此种方法，可以避免终端设备接入时，发生由于STP状态变化引起的延时连通现象。在运行生成树的网络中，当网络拓扑变化时，边缘端口不会产生临时环路。因此，用户如果将某个端口指定为边缘端口，那么当该端口由堵塞状态向转发状态迁移时，这个端口可以实现快速迁移，而无需等待延迟时间。DLD俄术运用校园网络中建议选用的交换机均具有DLDP（DeviceLinkDetectionProtocol，设备连接检测协议），实现光纤单向失效检测（即收发两方向上的一对光纤中有一根失效），解决因光纤单向链路失效引起反复的 STP和OSPF#算带来的性能和连通性问题。DLDPft、议有如下特点：?DLDF^链路层协议，它与物理层协议协同工作来监控设备的链路状态。?物理层的自动协商机制进行物理信号和故障的检测； DLDF®行对端设备的识别、单向链路的识别和关闭不可达端口等工作。?当使能自动协商机制和DLD而，二者协同工作，可以检测和关闭物理和逻辑的单向连接，并阻止其他协议（如： STP协议）的失效。?如果两端链路在物理层都能独立正常工作，DLD法在链路层检测这些链路是否正确连接、两端是否可以正确的交互报文。这种检测不能通过自动协商机制实现。网络层稳定性设计在校园网的数据中心，两台交换机之间采用 VRR次业务服务器、提供高可靠的接入服务。在校园网的数据中心，业务服务器 IP网关设在数据中心交换机，在组网中，两台S7502互间运行VRR初议。虚拟路由冗余协议VirtualRouterRedundancyProtocol（VRRP）在国际标准RFC3768定义，被众多网络设备厂商所支持。虚拟路由冗余协议对共享多存取访问介质（如以太网）上终端IP设备的默认网关（Default Gateway）进行冗余备份，从而在其中一台路由设备宕机时，备份路由设备及时接管转发工作，向用户提供透明的切换，提高了网络服务质量。网络管理设计校园信息化系统是一个涉及多个厂家、多种类型设备的复杂系统，作为整个系统的承载层，网络平台必须具备良好的可维护性。在管理方面，我们采用基于H3C智能管理中心的管理系统，实现对校园网络的统一管理，可以方便的对系统进行维护，实现快速的故障定位。H3CIMC智能管理中心基于SO咪构，采用B/S平台以及分布式、组件化、跨平台的开放体系结构，根据据根不同的业务需求选择安装不同的业务组件，可以实现设备管理、拓扑管理、告警管理、性能管理、软件升级管理、配置文件管理等多种管理功能。H3CiMC采用B/S架构，更为方便的通过远程方式对网络的状态进行监控和维护，运维人员可以采用IE浏览器，通过用户名/密码远程登录系统进行维护，同时，H3CiMC还可以实现用户分权限、设备分组的管理，不同的级别管理人员可对设备进行各种类型的操作，而且还可以限制可以管理的设备。H3CiMC不仅能够独立提供完整的网络管理平台，还能够与OpenViewSNMPc多种主流通用网管平台灵活集成；不仅能够管理 H3c公司的全线数据通信设备，还能够通过标准MIB管理CISCO3COW各主流厂商的数据通讯设备。通过部署H3CiMC网管系统，可以实现以下运行维护管理功能。资源管理iMC资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。网络自动发现可以通过设置种子的简易方式、路由方式、 ARP方式、IPSecVPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑，自动识别包括：路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、 UPS、服务器、PC在内的多种类型网络设备；网络手工管理可以手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置Telnet、SNM参数，以及批量校验Telnet参数等辅助功能；网络视图管理支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图，用户可以从不同角度实现整个网络的管理；网络设备的管理从任何一种网络视图入口，都可以实现对网络设备的管理，包括：支持对设备的管理/去管理、接口的管理 /去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、 实时检测存在故障的设备等，用户可以方便的实现所有设备的管理；设备及业务管理系统的集成管理支持对H3GCISCO3COW主要厂家设备的管理，支持手工添加设备厂商、设备系列及设备型号；支持设备面板管理的动态注册机制，实现与各厂家设备管理系统的有效集成；支持拓扑定位、 ACLVLANQoS等业务管理系统的集成，实现设备资源的统一管理；设备分组权限管理支持设备分组功能，通过对设备资源进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离；拓扑管理iMC拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。拓扑自动发现H3CiMC可以自动发现网络拓扑结构，支持全网设备的统一拓扑视图，通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构（具体参见资源管理），并且可以将非SNM股备发现出来，只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围（只要设备 IP可达）。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来，同时可以保存为自定义拓扑图并可根据具体情况进行修改以便于网管员对整个网络设备的监控。支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况，并且刷新周期是可定制（刷新周期：60〜7200秒），同时也支持对多个设备的刷新周期进行批量配置的功能。支持自定义拓扑传统的网络管理软件大多支持自动发现网络拓扑的功能，但是自动发现后的网络拓扑往往是很多设备图标的简单排放，不能突出重点设备和网络层次，使网络管理人员感觉无从下手。针对这种情况，H3ciMC的拓扑功能支持灵活的自定义功能，管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑，可对拓扑图进行增、删、改等编辑操作，使网络拓扑能够清晰地呈现整个企业的网络结构以及IT资源分布。H3CiMC支持灵活定制拓扑图，使网络拓扑更有重点和层次感。管理员可以按照关注设备不同，管理角度不同定义多种拓扑，并可以针对拓扑不同选择不同的背景图；管理员可以根据网络设备的重要性不同，链路速率不同采用合适的图标显示。自动识别各种网络设备和主机的类型H3CiMC可以自动识别H3c华为、Cisco、3com等厂商的设备、WindowsSolaris的PC和工作站、其他SNM段备和ping设备，并且以树形方式组织，以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进行区分，如区分路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS服务器、PC等等。设备状态、连接状态、告警状态等信息在拓扑图上的直观显示H3CiMC的拓扑功能与故障管理和性能管理紧密融合，使拓扑图能够清晰地看到企业IT资源的状态，包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障，根据节点图标颜色反映设备状态。拓扑能提供设备管理便捷入口H3CiMC拓扑能够提供对设备管理的便捷入口，管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。故障（告警 /事件）管理故障管理，即告警/事件管理，是H3CiMC的核心模块，是iMC智能管理平台及其他业务组件统一的告警中心。如下图所示，以故障管理流程为引导，介绍H3ciMC强大的故障管理能力：告警发现和上报iMC告警中心可以接收各种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等；同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事件的方式上报给H3CiMC告警中心；设备告警包括电源电压、设备温度、风扇等告警事件，设备冷启动、热启动、接口linkdown等重要告警事件，路由信息事件（OSPFBGP变化，热备份路由（HSRP状态变化等告警事件，支持对H3cCISCO华为、3CO琳多厂商设备告警的识别和解析；网管站告警指包括本级iMC系统集群服务器的异常告警，包括CPLM用率、内存使用率、iMC服务程序运行状态等以及下级iMC系统上报的告警事件；网络性能监视包括CPURJ用率，内存使用率，以及RMOlt警的故障管理。网络