網(wǎng)絡(luò)工程鋼管廠網(wǎng)絡(luò)升級(jí)改造項(xiàng)目技術(shù)建議書(shū)檔P42

1、 連軋管有限公司網(wǎng)絡(luò)升級(jí)改造項(xiàng)目技術(shù)建議書(shū)目錄1.需求分析42.設(shè)計(jì)原則及設(shè)備選型依據(jù)42.1.總體設(shè)計(jì)原則42.2.設(shè)備選型依據(jù)53.QQXX連軋管有限公司網(wǎng)絡(luò)建設(shè)方案63.1.網(wǎng)絡(luò)建設(shè)原則63.2.網(wǎng)絡(luò)總體規(guī)劃73.2.1.核心層設(shè)計(jì)73.2.2.接入層設(shè)計(jì)83.3.網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)94.網(wǎng)絡(luò)安全設(shè)計(jì)104.1.H3C EAD端點(diǎn)準(zhǔn)入防御解決方案114.1.1.方案概述114.1.2.組網(wǎng)模型114.1.3.功能特點(diǎn)124.2.H3C防DHCP攻擊設(shè)計(jì)134.2.1.DHCP攻擊介紹134.2.2.DHCP攻擊防范設(shè)計(jì)144.3.H3C 防ARP欺騙解決方案154.3.1.ARP欺騙攻擊的危害

2、性154.3.2.ARP欺騙攻擊的原理154.3.3.H3C助您全面防御ARP欺騙攻擊164.3.4.接入層交換機(jī)部署ARP入侵檢測(cè)174.3.5.核心交換機(jī)部署ARP欺騙防御184.3.6.部署iMC/EAD防御ARP欺騙攻擊194.4.防IP/MAC欺騙攻擊設(shè)計(jì)204.5.防STP攻擊設(shè)計(jì)214.6.防DoS/DDoS欺騙攻擊設(shè)計(jì)214.7.交換機(jī)的網(wǎng)絡(luò)管理安全問(wèn)題解決方案215.網(wǎng)絡(luò)管理解決方案215.1.衡鋼網(wǎng)絡(luò)升級(jí)改造管理方案215.2.網(wǎng)絡(luò)流量監(jiān)控方案225.3.衡鋼統(tǒng)一網(wǎng)絡(luò)管理解決方案246.H3C多業(yè)務(wù)解決方案286.1.H3C無(wú)線解決方案286.1.1.概述286.1.2.產(chǎn)

3、品組成286.1.3.方案架構(gòu)及組網(wǎng)296.1.4.H3C無(wú)線成功案例306.2.H3C IP監(jiān)控解決方案336.2.1.概述336.2.2.產(chǎn)品組成346.2.3.方案架構(gòu)及組網(wǎng)346.2.4.解決方案特點(diǎn)357.設(shè)備清單361. 需求分析QQXX連扎管有限公司（以下簡(jiǎn)稱(chēng)衡鋼）網(wǎng)絡(luò)系統(tǒng)升級(jí)改造項(xiàng)目的目標(biāo)是在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上建立一套先進(jìn)、完善的網(wǎng)絡(luò)系統(tǒng)。既能滿(mǎn)足現(xiàn)在的需要（如ERP、OA、保衛(wèi)監(jiān)控等等），又能考慮到將來(lái)的發(fā)展的需要（如視頻、語(yǔ)音、能源監(jiān)控等等），使系統(tǒng)達(dá)到配置靈活，易于管理，易于維護(hù)，易于擴(kuò)充的目的。衡鋼現(xiàn)有網(wǎng)絡(luò)始建于2000年，采用星型組網(wǎng)方式。一臺(tái)Cisco6509做為核心交

4、換機(jī)，以千兆帶寬下接五臺(tái)Cisco3550，接入層為Cisco2950、Cisco1924以及各種HUB等近百臺(tái)設(shè)備。新園區(qū)網(wǎng)絡(luò)布局仍然使用星型網(wǎng)絡(luò)拓?fù)浞绞剑麄€(gè)網(wǎng)絡(luò)采用兩層架構(gòu)，所有的路由通過(guò)核心交換機(jī)完成。主干網(wǎng)絡(luò)帶寬為千兆，大部分為千兆到桌面終端，部分較為分散的信息點(diǎn)為百兆到桌面終端。2. 設(shè)計(jì)原則及設(shè)備選型依據(jù)考慮到本工程網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)的靈活性和可擴(kuò)展性，要求設(shè)備提供商能夠提供骨干萬(wàn)兆以太網(wǎng)交換機(jī)、千兆/百兆三層以太網(wǎng)交換機(jī)、用戶(hù)終端安全管理和設(shè)備管理，流量分析等全系列產(chǎn)品，同時(shí)產(chǎn)品還應(yīng)與其他廠家的產(chǎn)品具備良好的互連性，有快速響應(yīng)的服務(wù)和技術(shù)支持?？紤]到網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和可靠性，要求所采

5、用的網(wǎng)絡(luò)產(chǎn)品必須是經(jīng)受過(guò)大量網(wǎng)上實(shí)際應(yīng)用的考驗(yàn)，要具備高安全性、高穩(wěn)定性和高可靠性，保障系統(tǒng)的不間斷運(yùn)行。同時(shí)由于世界上網(wǎng)絡(luò)產(chǎn)品供應(yīng)商之間的激烈競(jìng)爭(zhēng)，收購(gòu)和兼并頻繁發(fā)生。如果選用較小的供應(yīng)商的產(chǎn)品，一旦發(fā)生收購(gòu)或兼并，常常導(dǎo)致整個(gè)產(chǎn)品系列的停產(chǎn)，使售后服務(wù)和產(chǎn)品升級(jí)都面臨很大困難。因此，在網(wǎng)絡(luò)產(chǎn)品的選型中，必須選擇產(chǎn)品售后服務(wù)和支持好的網(wǎng)絡(luò)產(chǎn)品供應(yīng)商。根據(jù)以上要求，我們對(duì)設(shè)計(jì)原則和選型依據(jù)分別進(jìn)行闡述。2.1. 總體設(shè)計(jì)原則結(jié)合衡鋼項(xiàng)目的實(shí)際應(yīng)用和發(fā)展要求，在進(jìn)行本次網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)，主要應(yīng)遵循以下原則：高性能原則：充分考慮業(yè)務(wù)發(fā)展的需要，關(guān)鍵設(shè)備保證3-5年的業(yè)務(wù)運(yùn)行需要，符合技術(shù)發(fā)展趨勢(shì)。高

6、可用原則：系統(tǒng)設(shè)計(jì)能有效的避免單點(diǎn)失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時(shí)，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時(shí)間內(nèi)修復(fù)。安全性原則：本次工程項(xiàng)目服務(wù)于衡鋼網(wǎng)絡(luò)升級(jí)改造項(xiàng)目需要，對(duì)安全級(jí)別要求很高。系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)層的安全手段防止系統(tǒng)外部成員的非法侵入以及操作人員的越級(jí)操作，保護(hù)網(wǎng)絡(luò)建設(shè)者的合法利益。成熟和先進(jìn)性原則：系統(tǒng)結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)配置、系統(tǒng)管理方式等方面采用國(guó)際上先進(jìn)同時(shí)又是成熟、實(shí)用的技術(shù)。設(shè)備廠商和投標(biāo)商應(yīng)有相關(guān)領(lǐng)域的豐富經(jīng)驗(yàn)。規(guī)范性原則：系統(tǒng)設(shè)計(jì)所采用的技術(shù)和設(shè)備應(yīng)符合國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn)，為系統(tǒng)的擴(kuò)展升級(jí)、與其他系統(tǒng)的互聯(lián)提供良

7、好的基礎(chǔ)。開(kāi)放性和標(biāo)準(zhǔn)化原則：在設(shè)計(jì)時(shí)，要求提供開(kāi)放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案；設(shè)備的各種接口滿(mǎn)足開(kāi)放和標(biāo)準(zhǔn)化原則?？蓴U(kuò)充和擴(kuò)展化原則：所有系統(tǒng)設(shè)備不但滿(mǎn)足當(dāng)前需要，并在擴(kuò)充模塊后滿(mǎn)足可預(yù)見(jiàn)將來(lái)需求，如帶寬和設(shè)備的擴(kuò)展，應(yīng)用的擴(kuò)展和辦公地點(diǎn)的擴(kuò)展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級(jí)時(shí)，能保護(hù)現(xiàn)有的投資?？晒芾硇栽瓌t：整個(gè)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。2.2. 設(shè)備選型依據(jù)根據(jù)以上原則，我們推薦選擇杭州NN通信技術(shù)公司（以下簡(jiǎn)稱(chēng)H3C公司）的產(chǎn)品來(lái)構(gòu)筑“高可靠、

8、高安全、可管理”的網(wǎng)絡(luò)。原因如下：1、H3C公司已經(jīng)成為業(yè)界少數(shù)能夠提供全系列的路由器和以太網(wǎng)交換機(jī)、無(wú)線、安全、IP存儲(chǔ)以及VoIP產(chǎn)品、視頻會(huì)議、IP監(jiān)控和網(wǎng)絡(luò)管理產(chǎn)品的廠家，從產(chǎn)品的提供上能夠充分滿(mǎn)足組網(wǎng)應(yīng)用的需求。2、從可靠性考慮，H3C公司是國(guó)內(nèi)優(yōu)秀的數(shù)據(jù)通信設(shè)備供應(yīng)商之一，產(chǎn)品已在運(yùn)營(yíng)商和金融、電力等行業(yè)大量使用。眾所周知，運(yùn)營(yíng)商和金融、電力等行業(yè)應(yīng)用對(duì)于可靠性的要求非常的高，要求設(shè)備具有99.999%的可靠性，而H3C公司在進(jìn)行數(shù)據(jù)通信網(wǎng)絡(luò)設(shè)備的研發(fā)、制造都是基于電信級(jí)的可靠性要求來(lái)進(jìn)行的。3、從安全性考慮，優(yōu)先采用國(guó)產(chǎn)設(shè)備構(gòu)筑本次網(wǎng)絡(luò)工程，對(duì)于網(wǎng)絡(luò)的整體考慮是必要的，H3C公司

9、的網(wǎng)絡(luò)產(chǎn)品包括全系列路由器和以太網(wǎng)交換機(jī)已在國(guó)內(nèi)多個(gè)安全性高的行業(yè)得到規(guī)模應(yīng)用，如：國(guó)務(wù)院辦公廳、中共中央辦公廳、國(guó)家信息中心、國(guó)家科技部、國(guó)家財(cái)政部、國(guó)家審計(jì)署、中共中央組織部、中共中央宣傳部、中共中央紀(jì)律檢查委員會(huì)、國(guó)家勞動(dòng)與社會(huì)保障部、國(guó)家審計(jì)署、國(guó)家公安部、國(guó)家電網(wǎng)公司、中國(guó)銀行、中國(guó)工商銀行、中國(guó)建設(shè)銀行、中國(guó)農(nóng)業(yè)銀行、中石油、中石化等，甚至包括對(duì)網(wǎng)絡(luò)傳輸可靠性和性能要求極高的“嫦娥奔月”計(jì)劃地面?zhèn)鬏敂?shù)據(jù)網(wǎng)也采用H3C公司網(wǎng)絡(luò)產(chǎn)品構(gòu)建。4、從售后服務(wù)考慮，H3C公司提供本地化服務(wù)，在長(zhǎng)沙市有本地售前技術(shù)支持和售后服務(wù)工程師，能最快時(shí)間響應(yīng)用戶(hù)；H3C公司設(shè)有724客戶(hù)服務(wù)熱線，提供全

10、天候無(wú)間斷的產(chǎn)品技術(shù)咨詢(xún)、故障申報(bào)受理、硬件維修RMA受理、培訓(xùn)需求受理、以及服務(wù)政策咨詢(xún)等服務(wù)內(nèi)容；H3C公司還提供備件先行服務(wù)，在全國(guó)設(shè)有30個(gè)區(qū)域備件庫(kù)（在湖南省長(zhǎng)沙市設(shè)立有區(qū)域備件庫(kù)）和3個(gè)備件分撥中心（位于杭州、北京與深圳），并與多家專(zhuān)業(yè)物流公司合作建立了業(yè)界領(lǐng)先的快速備件物流系統(tǒng)，為用戶(hù)的利益作出切實(shí)可靠的保障，5、從市場(chǎng)應(yīng)用來(lái)說(shuō)，據(jù)賽迪顧問(wèn)（CCID）調(diào)查報(bào)告：在國(guó)內(nèi)，截止到2007年底，H3C公司交換機(jī)端口數(shù)市場(chǎng)份額31.4，企業(yè)級(jí)路由器臺(tái)數(shù)市場(chǎng)份額30，國(guó)內(nèi)市場(chǎng)均排名第一（數(shù)據(jù)來(lái)源: IDC 2007Q4報(bào)告）；成為全球主要的數(shù)據(jù)通信設(shè)備及解決方案供應(yīng)商之一。3. QQXX連

11、軋管有限公司網(wǎng)絡(luò)建設(shè)方案3.1. 網(wǎng)絡(luò)建設(shè)原則結(jié)合衡鋼網(wǎng)絡(luò)升級(jí)改造項(xiàng)目的實(shí)際應(yīng)用和發(fā)展要求，在進(jìn)行本次網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)，主要應(yīng)遵循以下原則：1）高性能：骨干網(wǎng)絡(luò)的性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，在設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語(yǔ)音、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開(kāi)展的瓶頸。2）高可靠性：網(wǎng)絡(luò)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵，保證在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性的網(wǎng)絡(luò)產(chǎn)品設(shè)備，充分考慮冗余、容錯(cuò)和備份能力，同時(shí)合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的可靠運(yùn)行。3）標(biāo)準(zhǔn)化：支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的動(dòng)態(tài)路由

12、協(xié)議等開(kāi)放協(xié)議，有利于以保證與其它網(wǎng)絡(luò)之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。4）可擴(kuò)充性：所有網(wǎng)絡(luò)設(shè)備不但滿(mǎn)足當(dāng)前需要，并在擴(kuò)充模塊后，滿(mǎn)足可預(yù)見(jiàn)將來(lái)需求。網(wǎng)絡(luò)設(shè)計(jì)要考慮本期網(wǎng)絡(luò)系統(tǒng)應(yīng)用和今后網(wǎng)絡(luò)的發(fā)展，便于向更新技術(shù)的升級(jí)與銜接。要留有擴(kuò)充余量，包括端口數(shù)量和帶寬的升級(jí)能力。5）易管理性：網(wǎng)絡(luò)設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行網(wǎng)絡(luò)配置，發(fā)現(xiàn)故障。6）支持多媒體：支持文本、語(yǔ)音、圖形、圖像及音頻、視頻等多種媒體信息的傳輸、查詢(xún)服務(wù)，具有多種基于優(yōu)先級(jí)隊(duì)列的QoS保證，多媒體應(yīng)用對(duì)服務(wù)質(zhì)量有很高的要求，如帶寬，延遲，延遲的變化等，需要網(wǎng)絡(luò)對(duì)服務(wù)質(zhì)量(QoS)有很好的支持。

13、7）安全性：網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)和文件多數(shù)要求具有高度的安全性，因此，網(wǎng)絡(luò)系統(tǒng)本身要有較高的安全性，對(duì)使用的信息進(jìn)行嚴(yán)格的權(quán)限管理，在技術(shù)上提供先進(jìn)的、可靠的、全面的安全方案和應(yīng)急措施，確保系統(tǒng)萬(wàn)無(wú)一失。同時(shí)符合國(guó)家關(guān)于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和管理?xiàng)l例。8）經(jīng)濟(jì)性：在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資，有計(jì)劃、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)。3.2. 網(wǎng)絡(luò)總體規(guī)劃本項(xiàng)目將根據(jù)標(biāo)準(zhǔn)的網(wǎng)絡(luò)分層分區(qū)建設(shè)方法，將網(wǎng)絡(luò)的可靠性、安全性、先進(jìn)性、易維護(hù)性、可擴(kuò)展性發(fā)揮到最好，從而最終實(shí)現(xiàn)建設(shè)完善和先進(jìn)的數(shù)據(jù)中心的目的。由于衡鋼網(wǎng)絡(luò)升級(jí)改造項(xiàng)目需要能夠

14、支撐起數(shù)據(jù)和視頻等應(yīng)用系統(tǒng)的使用，同時(shí)考慮整個(gè)系統(tǒng)的冗余性和可靠性，整個(gè)網(wǎng)絡(luò)采用冗余結(jié)構(gòu)和分層分級(jí)的設(shè)計(jì)思路進(jìn)行。H3C設(shè)計(jì)全新的基于純IP技術(shù)的網(wǎng)絡(luò)平臺(tái)來(lái)滿(mǎn)足衡鋼網(wǎng)絡(luò)升級(jí)改造項(xiàng)目的需求變化。面向網(wǎng)絡(luò)資源的有效、高效利用，從網(wǎng)絡(luò)架構(gòu)方面提供優(yōu)化方案，使得核心網(wǎng)、接入網(wǎng)具有更高的可靠性和可控性，同時(shí)使得網(wǎng)絡(luò)結(jié)構(gòu)與布局在結(jié)合實(shí)際業(yè)務(wù)分布的前提下更加合理。數(shù)字園區(qū)的發(fā)展必然離不開(kāi)兩個(gè)方向，其一是安全性，其二是移動(dòng)性。這既是IP通信技術(shù)發(fā)展的方向，也是企業(yè)應(yīng)用的發(fā)展方向。滿(mǎn)足這個(gè)發(fā)展，首要前提就是讓網(wǎng)絡(luò)平臺(tái)能夠具備相關(guān)技術(shù)支撐能力，不論是對(duì)園區(qū)網(wǎng)的優(yōu)化還是對(duì)企業(yè)網(wǎng)業(yè)務(wù)的橫向拓展，都是基于網(wǎng)絡(luò)本身是安全

15、有序的，需要從縱向三個(gè)維度對(duì)所有影響網(wǎng)絡(luò)安全的隱患、非法行為進(jìn)行滲透防御與控制。3.2.1. 核心層設(shè)計(jì)核心層負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換，同時(shí)也是整個(gè)網(wǎng)絡(luò)的路由交換中心，全網(wǎng)絕大部分第三層的轉(zhuǎn)發(fā)交換都通過(guò)核心節(jié)點(diǎn)集中進(jìn)行，為保證核心節(jié)點(diǎn)的高可用性，核心節(jié)點(diǎn)采用雙機(jī)備份方式，建議配置兩臺(tái)高性能的H3C S9508核心路由交換機(jī)，它們之間通過(guò)兩條10GE捆綁實(shí)現(xiàn)互連，流量在捆綁的多條鏈路上負(fù)載分擔(dān)和備份。兩臺(tái)S9508構(gòu)成雙機(jī)冗余熱備結(jié)構(gòu)，達(dá)到無(wú)單點(diǎn)故障的目的。這樣任意核心節(jié)點(diǎn)都可以成為是業(yè)務(wù)的主要匯總中心，核心節(jié)點(diǎn)與接入節(jié)點(diǎn)之間形成全冗余連接，以增強(qiáng)整體網(wǎng)絡(luò)的容錯(cuò)和故障隔離能力。H3C S9500系

16、列萬(wàn)兆路由交換機(jī)是H3C公司推出的旗艦核心路由交換機(jī)，該產(chǎn)品基于H3C公司自適應(yīng)安全網(wǎng)絡(luò)的技術(shù)理念，在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，進(jìn)一步融合了硬件IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析、無(wú)線等智能特性，可作為構(gòu)建融合業(yè)務(wù)。產(chǎn)品特色特色一：支持三層的MPLS VPN和二層的MPLS VPN（Martini、Kompella），可擴(kuò)展支持VPLS技術(shù)；支持與H3C MPLS VPN Manager配合，實(shí)現(xiàn)圖形化的MPLS部署與維護(hù)。特色二：基于ASIC的高性能業(yè)務(wù)，IPv4/IPv6業(yè)務(wù)線速處理；H3C S9500系列提供業(yè)界領(lǐng)先的交換能力，其最高的1.44T路由交換引擎可以實(shí)現(xiàn)576

17、個(gè)千兆或48個(gè)萬(wàn)兆端口的線速轉(zhuǎn)發(fā)，三層包轉(zhuǎn)發(fā)能力高達(dá)857Mpps。特色三：融合的網(wǎng)絡(luò)安全特性，自身支持集成的防火墻模塊、NAT模塊、Netstream網(wǎng)絡(luò)流量分析模塊等硬件NP處理器；特色四：最長(zhǎng)的網(wǎng)絡(luò)正常運(yùn)行時(shí)間，產(chǎn)品的關(guān)鍵部件引擎、電源、風(fēng)扇采用冗余結(jié)構(gòu)，功能特性上支持RPR（彈性分組環(huán)）、OSPF/IS-IS/BGP的優(yōu)雅重啟技術(shù)，保證了網(wǎng)絡(luò)異常時(shí)的電信級(jí)快速自愈。特色五：集成的無(wú)線控制模塊提供豐富的業(yè)務(wù)能力，包括精細(xì)的用戶(hù)控制管理、完善的RF管理及安全機(jī)制、快速漫游和超強(qiáng)的QOS支持等；無(wú)線控制模塊通過(guò)與H3C安全策略服務(wù)器的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)無(wú)線接入用戶(hù)的端點(diǎn)準(zhǔn)入防御（EAD），提高了整

18、網(wǎng)的安全性。豐富的產(chǎn)品應(yīng)用07年止H3C S9500系列產(chǎn)品規(guī)模應(yīng)用于運(yùn)營(yíng)商、黨政、公檢法、財(cái)稅、教育、金融、電力、能源、交通、水利、制造業(yè)、公共事業(yè)、企業(yè)等廣大用戶(hù)。3.2.2. 接入層設(shè)計(jì)接入層交換機(jī)基于用戶(hù)信息點(diǎn)的分布情況，采用全千兆和百兆兩種類(lèi)型的設(shè)備。H3C S5500-EI系列全千兆多業(yè)務(wù)以太網(wǎng)交換機(jī)提供千兆到桌面的接入速率，H3C S3600-EI系列智能彈性以太網(wǎng)交換機(jī)為用戶(hù)提供百兆到桌面的接入速率。接入層交換機(jī)具備24端口和48端口兩種機(jī)型，滿(mǎn)足不同安裝地點(diǎn)信息點(diǎn)數(shù)量不等的需求。接入交換機(jī)具備4個(gè)GE SFP光接口，目前所有接入層交換機(jī)均通過(guò)雙鏈路以千兆速率（21GE）與兩臺(tái)

19、核心路由交換機(jī)H3C S9508互聯(lián)，后續(xù)根據(jù)業(yè)務(wù)發(fā)展對(duì)帶寬的需求，百兆三層交換機(jī)可支持升級(jí)至主干四鏈路（22GE），千兆三層交換機(jī)可支持升級(jí)至主干四鏈路（22GE或220GE）帶寬。H3C S5500系列和S3600系列以太網(wǎng)交換機(jī)支持特有的ARP入侵檢測(cè)功能，可有效防止黑客或攻擊者通過(guò)ARP報(bào)文實(shí)施網(wǎng)絡(luò)中常見(jiàn)的“中間人”攻擊，H3C接入層以太網(wǎng)交換機(jī)所支持的ARP入侵檢測(cè)功能和DHCP Snooping功能配合使用，可以對(duì)不符合DHCP Snooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。同時(shí)支持IP Source Check特性，防止包括MAC欺騙、IP欺騙、M

20、AC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來(lái)的DoS攻擊。另外，利用DHCP Snooping的信任端口特性還可以有效杜絕局域網(wǎng)內(nèi)用戶(hù)私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實(shí)性和一致性。H3C S5500系列和S3600系列以太網(wǎng)交換機(jī)支持端口安全特性可以有效防范基于MAC地址的攻擊?？梢詫?shí)現(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個(gè)端口允許的MAC地址的最大數(shù)量，使得某個(gè)特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)。H3C S5500系列和S3600系列以太網(wǎng)交換機(jī)支持集中式MAC地址認(rèn)證和802.1x認(rèn)證，支持用戶(hù)帳號(hào)、IP、MAC、VLAN、端口等用戶(hù)標(biāo)

21、識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶(hù)策略（VLAN、QOS、ACL）的動(dòng)態(tài)下發(fā)；支持配合H3C公司的EAD系統(tǒng)對(duì)在線用戶(hù)進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。支持對(duì)Proxy進(jìn)行有效的管理。3.3. 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)衡鋼網(wǎng)絡(luò)升級(jí)改造項(xiàng)目建議采用常用的兩層交換組網(wǎng)模型。通過(guò)VLAN隔離區(qū)域用戶(hù)，同一VLAN內(nèi)用戶(hù)可方便互訪。同時(shí)在核心層配置安全規(guī)則對(duì)內(nèi)部網(wǎng)絡(luò)各子網(wǎng)間的路由實(shí)現(xiàn)策略控制，接入層啟用802.1x和防ARP欺騙等安全特性為用戶(hù)提供保護(hù)（接入層802.1x用戶(hù)認(rèn)證和防ARP欺騙等安全特性的部署詳見(jiàn)第4節(jié)，網(wǎng)絡(luò)安全設(shè)計(jì)）。核心層設(shè)備通過(guò)VRRP協(xié)議進(jìn)行網(wǎng)關(guān)備份，在這個(gè)網(wǎng)絡(luò)中，通過(guò)合理規(guī)

22、劃VRRP group master、生成樹(shù)實(shí)例和生成樹(shù)實(shí)例與VLAN映射的關(guān)系，可提高網(wǎng)絡(luò)鏈路利用率和可靠性。在核心路由交換機(jī)上配置多個(gè)VRRP組，組master和backup角色均勻分布在兩臺(tái)核心路由交換機(jī)上，使兩臺(tái)網(wǎng)關(guān)設(shè)備同時(shí)完成備份和負(fù)載分擔(dān)功能；通過(guò)多生成樹(shù)實(shí)例（MSTP）規(guī)劃，使接入設(shè)備不同VLAN業(yè)務(wù)負(fù)載分擔(dān)在兩條上行鏈路，并且到達(dá)的核心設(shè)備為第一跳網(wǎng)關(guān)master；實(shí)例root與生成樹(shù)實(shí)例映射VLAN的三層網(wǎng)關(guān)master在同一臺(tái)核心設(shè)備上，使STP協(xié)議能夠通過(guò)計(jì)算合理阻塞鏈路，并且縮小鏈路故障引起的網(wǎng)絡(luò)震蕩范圍；若接入設(shè)備上有VLAN重疊，匯聚設(shè)備設(shè)置為二層TRUNK鏈路。一

23、些安全特性的配合使用，更能增強(qiáng)網(wǎng)絡(luò)的健壯性：在網(wǎng)絡(luò)邊緣直接與用戶(hù)相連的端口可以配置邊緣端口和BPDU保護(hù)，防止從這些端口接收到BPDU報(bào)文引起網(wǎng)絡(luò)拓?fù)渥兓?；在匯聚網(wǎng)關(guān)上配置TC保護(hù)和根保護(hù)特性，防止攻擊造成拓?fù)漕l繁變化；在接入交換機(jī)上啟用DHCP Snooping和ARP入侵檢測(cè)功能，能夠有效防御ARP欺騙攻擊。由于本次網(wǎng)絡(luò)升級(jí)改造項(xiàng)目所選用的接入交換機(jī)均為三層以太網(wǎng)交換機(jī)，支持RIP、OSPF等高級(jí)動(dòng)態(tài)路由協(xié)議。因此我們建議衡鋼在綜合業(yè)務(wù)系統(tǒng)遷移的可靠性，網(wǎng)絡(luò)的可靠性，網(wǎng)絡(luò)彈性以及業(yè)務(wù)對(duì)網(wǎng)絡(luò)收斂速度的要求等多方面考慮后，在接入層和核心層所有設(shè)備上啟用OSPF動(dòng)態(tài)路由協(xié)議，提高整個(gè)系統(tǒng)的可靠性，吞吐能力和收斂速度。主要HA性能參數(shù)網(wǎng)絡(luò)故障收斂性能核心層設(shè)備雙機(jī)切換3秒（VRRP），1秒（OSPF）光纖鏈路單通故障2秒接入層-核心層鏈路故障/恢復(fù)統(tǒng)一網(wǎng)管平臺(tái)-各廠商的網(wǎng)管系統(tǒng)（各廠商的網(wǎng)管系統(tǒng)安裝不分先后）。安裝結(jié)束后，通過(guò)啟動(dòng)Openview，可以看到網(wǎng)絡(luò)的拓?fù)鋱D，并可以同時(shí)看到Cisco和H3C的設(shè)備，選擇相應(yīng)的設(shè)備圖標(biāo)可以調(diào)用Cis