某集團(tuán)網(wǎng)絡(luò)改造方案建議書

重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)技術(shù)建議書年月日目錄第1章工程背景3需求分析3網(wǎng)絡(luò)設(shè)計(jì)原那么5第2章網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)8網(wǎng)絡(luò)設(shè)計(jì)8第3章本方案的技術(shù)設(shè)計(jì)9路由協(xié)議的設(shè)計(jì)93.2VLAN設(shè)計(jì)103.3trunk鏈路的設(shè)計(jì)11訪問控制〔ACL〕的設(shè)計(jì)11效勞質(zhì)量〔QOS〕機(jī)制123.6播送風(fēng)暴的抑制12防止對DHCP效勞器的攻擊12防止基于流的攻擊特性12第4章具體解決方案124.1VLAN規(guī)劃12劃分VLAN的必要性12劃分VLAN的方法14具體VLAN規(guī)劃164.2IP地址分配原那么17本次工程IP地址分配18網(wǎng)絡(luò)設(shè)備自身的平安功能20用戶嚴(yán)格隔離20有效防范MAC掃描和ARP攻擊：204.4.3DHCP攻擊、VLAN“Hopping”攻擊的防范：20采用SNMPv3杜絕網(wǎng)管攻擊：20有效抑制播送風(fēng)暴21防治蠕蟲病毒21第5章H3C設(shè)備介紹25核心交換機(jī)25防火墻30接入交換機(jī)36第6章附錄42華三公司介紹42技術(shù)支持與售后效勞44兩小時(shí)廠家上門效勞一年免費(fèi)維保446效勞組織機(jī)構(gòu)44效勞及時(shí)性保障45效勞有效性保障46工程背景需求分析為滿足翰華擔(dān)保集團(tuán)現(xiàn)代化辦公的需要，需要建立一套現(xiàn)代化網(wǎng)絡(luò)平臺。重慶翰華擔(dān)保集團(tuán)擁有大量的效勞器和主機(jī)設(shè)備，需要局域網(wǎng)絡(luò)提供高速帶寬支持。這就需要建設(shè)一套先進(jìn)的網(wǎng)絡(luò)系統(tǒng)，加速實(shí)現(xiàn)辦公現(xiàn)代化，充分提高工作效率。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)為其它各子系統(tǒng)集成提供了根底，網(wǎng)絡(luò)主干目前一般采用千兆，可平滑升級到萬兆，同時(shí)到達(dá)100兆交換到桌面。包括建立有線與無線共存應(yīng)用，多種效勞和強(qiáng)大的數(shù)據(jù)庫。網(wǎng)絡(luò)設(shè)計(jì)必須遵循高可靠性、經(jīng)濟(jì)性、流量合理分布、傳輸時(shí)延最小和便于管理等原那么，選擇先進(jìn)、可靠、符合未來技術(shù)開展趨勢的組網(wǎng)技術(shù)。購置設(shè)備的選型要具有開放性、符合國際標(biāo)準(zhǔn)，兼顧先進(jìn)性和成熟性，并與已有設(shè)備兼容，具有良好的可管理性。網(wǎng)絡(luò)應(yīng)具有高可靠性，包括設(shè)備可靠性、鏈路可靠性、路由冗余等。同時(shí)，骨干網(wǎng)具有支持IPv6協(xié)議、組播路由等下一代互聯(lián)網(wǎng)技術(shù)的擴(kuò)展能力。為員工提供Email、DNS、DHCP、FTP、BBS等網(wǎng)絡(luò)根本效勞，運(yùn)行和維護(hù)基于Web的信息發(fā)布系統(tǒng)。劃分專門的網(wǎng)段，運(yùn)行和維護(hù)各類信息系統(tǒng)的效勞器，提供數(shù)據(jù)中心效勞。選用的網(wǎng)絡(luò)設(shè)備應(yīng)是當(dāng)今世界上較為先進(jìn)、應(yīng)用范圍廣，而且應(yīng)與世界上其它主要廠商的產(chǎn)品具有良好的互連性。根據(jù)整個(gè)廠區(qū)的網(wǎng)絡(luò)信息點(diǎn)的分布。要充分考慮到：網(wǎng)絡(luò)平安系統(tǒng)、網(wǎng)絡(luò)地址要求、網(wǎng)上多媒體系統(tǒng)、效勞器、存儲、備份系統(tǒng)、中心機(jī)房環(huán)境等。網(wǎng)絡(luò)規(guī)劃，除了考慮到當(dāng)前的實(shí)際需要外，對于網(wǎng)絡(luò)平臺的規(guī)劃我們充分考慮現(xiàn)階段網(wǎng)絡(luò)技術(shù)開展的趨勢，并提供長遠(yuǎn)的規(guī)劃和擴(kuò)展的考慮，實(shí)施完成后重慶翰華擔(dān)保集團(tuán)園區(qū)網(wǎng)絡(luò)應(yīng)充分滿足以下幾個(gè)方面：高性能隨著IP、視頻會議、網(wǎng)上業(yè)務(wù)、OA辦公系統(tǒng)、電子郵件系統(tǒng)、ERP系統(tǒng)等應(yīng)用的應(yīng)用，網(wǎng)絡(luò)需要承載各種信息流，將對重慶翰華擔(dān)保集團(tuán)內(nèi)網(wǎng)以及外網(wǎng)網(wǎng)帶寬提出較高的要求。高速網(wǎng)絡(luò)是網(wǎng)絡(luò)開展的必然方向，網(wǎng)絡(luò)應(yīng)該運(yùn)用當(dāng)今最先進(jìn)的技術(shù)，并且應(yīng)該滿足今后假設(shè)干年的性能需求。因此，我們建議的重慶翰華擔(dān)保集團(tuán)的根底網(wǎng)絡(luò)結(jié)構(gòu)：1、以千兆為核心技術(shù)，支持萬兆交換已成為組網(wǎng)的根本要求，千兆到接入交換機(jī)、千兆到效勞器，、百兆到員工，應(yīng)該成為重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)建設(shè)的根本要求。2、支持多種應(yīng)用：建成后的重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)是融合多種應(yīng)用如數(shù)據(jù)、IP、視頻、監(jiān)控等的網(wǎng)絡(luò)，網(wǎng)絡(luò)在建之初就應(yīng)該考慮的對多業(yè)務(wù)的支持。3、對于一個(gè)大型的網(wǎng)絡(luò)來說，VLAN的靈活劃分是非常重要的功能，它為限制全網(wǎng)范圍的播送、減少不必要的流量提供了有效的手段。在網(wǎng)絡(luò)設(shè)計(jì)中應(yīng)選擇切實(shí)可行的技術(shù)進(jìn)行VLAN的靈活劃分。高平安性隨著重慶翰華擔(dān)保集團(tuán)信息化建設(shè)的不斷深入，在重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)迅速壯大并推動業(yè)務(wù)快速開展的同時(shí)，也使重慶翰華擔(dān)保集團(tuán)面臨著更加嚴(yán)峻的挑戰(zhàn)：網(wǎng)絡(luò)平安與網(wǎng)絡(luò)管理日益成為關(guān)系到重慶翰華擔(dān)保集團(tuán)可持續(xù)開展的重大因素。目前常見的企業(yè)網(wǎng)絡(luò)平安隱患主要來自以下一些方面：1．網(wǎng)絡(luò)級攻擊：竊聽報(bào)文，IP地址欺騙、源路由攻擊、端口掃描、拒絕效勞攻擊。2．應(yīng)用層攻擊：有多種形式，包括探測應(yīng)用軟件的漏洞、"特洛依木馬"等；3．系統(tǒng)級攻擊：不法分子利用操作系統(tǒng)的平安漏洞對內(nèi)部網(wǎng)構(gòu)成平安威脅。另外，網(wǎng)絡(luò)本身的可靠性與線路平安也是值得關(guān)注的問題。所以建成的重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的平安性。能夠?qū)κ褂谜哌M(jìn)行驗(yàn)證、授權(quán)、審核，以保障系統(tǒng)的平安性。同時(shí)提供靈活的用戶接入控制策略：及分布式控制和集中式控制。高可靠性重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)系統(tǒng)承載著重慶翰華擔(dān)保集團(tuán)各種重要的業(yè)務(wù)數(shù)據(jù)，整個(gè)網(wǎng)絡(luò)系統(tǒng)應(yīng)具有高可靠性。除了采用高可靠性的網(wǎng)絡(luò)設(shè)備以外還應(yīng)考慮鏈路層和網(wǎng)絡(luò)層的備份。 可擴(kuò)展性和可升級性系統(tǒng)要有可擴(kuò)展性和可升級性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的開展不斷升級。易管理、易維護(hù)重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)系統(tǒng)規(guī)模大，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設(shè)置等功能，以便于系統(tǒng)的管理和維護(hù)。網(wǎng)絡(luò)設(shè)計(jì)原那么網(wǎng)絡(luò)平臺是信息化建設(shè)的重要根底設(shè)施，必須從網(wǎng)絡(luò)信息體系建設(shè)的全局考慮，將計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)為一個(gè)高起點(diǎn)，易于擴(kuò)充、升級、管理和使用的網(wǎng)絡(luò)系統(tǒng)。先進(jìn)性和實(shí)用性網(wǎng)絡(luò)規(guī)劃既要以現(xiàn)實(shí)需要為出發(fā)點(diǎn)，又要考慮長遠(yuǎn)開展的需要和潛在的擴(kuò)充，盡可能采取先進(jìn)而成熟的技術(shù)和產(chǎn)品，使之在一定時(shí)期內(nèi)都能保持較先進(jìn)的水平。使網(wǎng)絡(luò)帶寬性能不僅適應(yīng)現(xiàn)在的需要，還可以滿足未來幾年數(shù)據(jù)量的要求。在網(wǎng)絡(luò)設(shè)計(jì)中，首先要考慮的是實(shí)用性，使之易操作、易管理和維護(hù)并且易于用戶掌握和學(xué)習(xí)使用。其次要考慮對現(xiàn)有設(shè)備和資源的充分利用，采用成熟的網(wǎng)絡(luò)通信技術(shù)和設(shè)備，保證原有的投資。目前隨著網(wǎng)絡(luò)的聲音、圖像等多媒體應(yīng)用日益增加，對網(wǎng)絡(luò)效勞質(zhì)量，如帶寬，延遲等有很高的要求。利用IPQoS、IPMulticast、MPLS等技術(shù)可以保證效勞質(zhì)量(QoS)滿足用戶要求?？煽啃耘c平安性系統(tǒng)平安可靠運(yùn)行是整個(gè)系統(tǒng)建設(shè)的根底。鑒于網(wǎng)絡(luò)信息的重要性，要求網(wǎng)絡(luò)系統(tǒng)要有較高的可靠性，各級網(wǎng)絡(luò)應(yīng)具有網(wǎng)絡(luò)監(jiān)督和管理能力；要適當(dāng)考慮關(guān)鍵設(shè)備和線路的冗余，使其能夠進(jìn)行在線修復(fù)、更換和擴(kuò)充；要確保系統(tǒng)數(shù)據(jù)傳輸?shù)恼_性，以及為防止異常情況發(fā)生所必須的保護(hù)性措施。根據(jù)具體情況采用VPN技術(shù)、訪問控制列表、子網(wǎng)隔離、防火墻和IPS等平安控制措施，以保證網(wǎng)絡(luò)平安運(yùn)行，拒絕未經(jīng)授權(quán)的訪問。不僅要求網(wǎng)絡(luò)能夠長時(shí)間的平安運(yùn)轉(zhuǎn)，同時(shí)要求網(wǎng)絡(luò)設(shè)備具有較強(qiáng)的容錯(cuò)能力。在系統(tǒng)設(shè)計(jì)上，要從以下幾個(gè)方面保證網(wǎng)絡(luò)的可靠與容錯(cuò):①選用高可靠性的網(wǎng)絡(luò)設(shè)備，在網(wǎng)絡(luò)的關(guān)鍵部位采用冗余備份設(shè)計(jì)，防止單點(diǎn)故障，保證網(wǎng)絡(luò)長期運(yùn)行的可靠性。②采用優(yōu)秀的網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)故障。③采用可靠的備份系統(tǒng)，通過TFTP效勞器定時(shí)備份網(wǎng)絡(luò)設(shè)備配置。系統(tǒng)設(shè)計(jì)能對關(guān)鍵數(shù)據(jù)提供可靠的保護(hù)；對網(wǎng)絡(luò)病毒提供防范措施；網(wǎng)絡(luò)數(shù)據(jù)要有可靠的備份，備份系統(tǒng)要求讀寫速度快，保密性好，可靠性高。開放性與標(biāo)準(zhǔn)化系統(tǒng)采用的硬件平臺、軟件平臺、網(wǎng)絡(luò)協(xié)議等符合開放系統(tǒng)的標(biāo)準(zhǔn)，并能夠與其他系統(tǒng)實(shí)現(xiàn)互聯(lián)，將采用大多數(shù)廠商支持的國際標(biāo)準(zhǔn)協(xié)議。具體講，主要從以下幾個(gè)方面實(shí)現(xiàn)開放性和標(biāo)準(zhǔn)化；?采用工業(yè)標(biāo)準(zhǔn)TCP/IP協(xié)議。?網(wǎng)絡(luò)互聯(lián)設(shè)備應(yīng)支持多種協(xié)議，能與其它廠家設(shè)備互操作。?采用支持SNMP協(xié)議的網(wǎng)管軟件。在總體設(shè)計(jì)中，應(yīng)采用開放式的體系結(jié)構(gòu)，使網(wǎng)絡(luò)易于擴(kuò)充，使相對獨(dú)立的分系統(tǒng)易于進(jìn)行組合調(diào)整。有適應(yīng)外界環(huán)境變化的能力，即在外界環(huán)境改變時(shí)，系統(tǒng)可以不作修改或僅作少量修改就能在新環(huán)境下運(yùn)行。網(wǎng)絡(luò)選用的通信協(xié)議和設(shè)備要符合國際標(biāo)準(zhǔn)或工業(yè)標(biāo)準(zhǔn)，將不同應(yīng)用環(huán)境和不同的網(wǎng)絡(luò)優(yōu)勢有機(jī)地結(jié)合起來。也就是說，要使網(wǎng)絡(luò)的硬件環(huán)境、通訊環(huán)境、軟件環(huán)境、操作平臺之間的相互依賴減至最小，發(fā)揮各自優(yōu)勢。同時(shí)，要保證網(wǎng)絡(luò)的互聯(lián)，為信息的互通和應(yīng)用的互操作創(chuàng)造有利的條件。經(jīng)濟(jì)性與可擴(kuò)充性?擴(kuò)展和升級系統(tǒng)建設(shè)要考慮將來的擴(kuò)展和升級，以免人力、物力、財(cái)力的浪費(fèi)。網(wǎng)絡(luò)設(shè)計(jì)不僅要滿足當(dāng)前的需求，還要為將來的擴(kuò)展留有余地，保護(hù)投資。網(wǎng)絡(luò)設(shè)計(jì)采用國際標(biāo)準(zhǔn)的技術(shù)和符合標(biāo)準(zhǔn)的設(shè)備，系統(tǒng)軟件或硬件升級都不應(yīng)影響整個(gè)系統(tǒng)的運(yùn)行。系統(tǒng)上結(jié)點(diǎn)的增減也應(yīng)不影響系統(tǒng)的正常運(yùn)行。建成的網(wǎng)絡(luò)系統(tǒng)必須具有良好的可擴(kuò)充性和升級能力，其擴(kuò)充和升級將以最低本錢花費(fèi)為前提。?易于管理和維護(hù)網(wǎng)絡(luò)系統(tǒng)的所有設(shè)備都應(yīng)是可管理的，會支持遠(yuǎn)程監(jiān)控及對故障的過程診斷和恢復(fù)。通過網(wǎng)絡(luò)管理工具，可以方便地監(jiān)控網(wǎng)絡(luò)運(yùn)行情況，對出現(xiàn)的問題及時(shí)解決，對網(wǎng)絡(luò)的優(yōu)化提供依據(jù)。另外，網(wǎng)絡(luò)的設(shè)計(jì)應(yīng)采用簡單易用的網(wǎng)絡(luò)技術(shù)，降低運(yùn)行維護(hù)的費(fèi)用。?經(jīng)濟(jì)性可以和現(xiàn)有網(wǎng)絡(luò)無縫的連接，同時(shí)可以提升現(xiàn)有網(wǎng)絡(luò)的性能。在網(wǎng)絡(luò)設(shè)備的選擇上，既要考慮技術(shù)性能、市場份額、技術(shù)特色，又要權(quán)衡與原有系統(tǒng)整合的條件、人員的培訓(xùn)狀況。本系統(tǒng)需要完整而成熟的最新技術(shù)和產(chǎn)品。其各項(xiàng)技術(shù)應(yīng)保證具有開放性、可移植性、兼容性和可擴(kuò)展性。根據(jù)前面所作的現(xiàn)狀與需求分析，我們提出以下的總體設(shè)計(jì)思想：采用先進(jìn)的萬兆、千兆以太網(wǎng)以及快速以太網(wǎng)交換技術(shù)：目前，局域網(wǎng)建設(shè)模式是以千兆以太網(wǎng)為骨干、并具有萬兆能力，設(shè)備間以百兆以太網(wǎng)交換的方式；采用業(yè)界主流的交換機(jī)產(chǎn)品：在產(chǎn)品選型上采用業(yè)界最先進(jìn)的產(chǎn)品，可以保證網(wǎng)絡(luò)具有長期的產(chǎn)品升級、支持和維護(hù)；在設(shè)備配置上兼顧先進(jìn)性與適用性：采取最先進(jìn)的設(shè)備配置可以保證網(wǎng)絡(luò)的性能，但同時(shí)也造成網(wǎng)絡(luò)建設(shè)本錢的增加，因此，必須兼顧先進(jìn)性與適用性，求得最正確的性能價(jià)格比；面向應(yīng)用的網(wǎng)絡(luò)：目前，局域網(wǎng)應(yīng)用的開展非常迅猛，各類新的應(yīng)用技術(shù)和模式不斷涌現(xiàn)，網(wǎng)絡(luò)必須支持這種變化，滿足新的應(yīng)用的需求；周密的網(wǎng)絡(luò)平安策略：網(wǎng)絡(luò)平安目前已經(jīng)成為網(wǎng)絡(luò)建設(shè)中非常重要的一個(gè)環(huán)節(jié)，對于局域網(wǎng)來說，網(wǎng)絡(luò)平安的重要性就更顯突出，必須制定周密的網(wǎng)絡(luò)平安策略，最大限度地保證網(wǎng)絡(luò)平安；全面的網(wǎng)絡(luò)管理與維護(hù)：網(wǎng)絡(luò)管理與維護(hù)在網(wǎng)絡(luò)的整個(gè)運(yùn)行周期中起著非常重要的作用，因此在網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須充分考慮未來網(wǎng)絡(luò)管理與維護(hù)的工作。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)根據(jù)重慶翰華擔(dān)保集團(tuán)的網(wǎng)絡(luò)信息點(diǎn)的分布，我們建議使用核心層加接入層的方式來實(shí)現(xiàn)我們所需要的網(wǎng)絡(luò)。考慮到重慶翰華擔(dān)保集團(tuán)園區(qū)的規(guī)模和設(shè)計(jì)，我們建議在網(wǎng)絡(luò)核心層使用一臺核心交換設(shè)備，接入層交換機(jī)通過千兆鏈路連接到核心交換機(jī)，來滿足對目前的要求。網(wǎng)絡(luò)設(shè)計(jì)拓?fù)浣Y(jié)構(gòu)描述： 如下圖：整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分為核心層和接入層,下面我們就對整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)做詳細(xì)描述。中心局部是由防火墻、VPN網(wǎng)關(guān)、上網(wǎng)行為管理及核心交換機(jī)組成；為了保證WEB效勞器能平安的為互聯(lián)網(wǎng)用戶提供效勞，我們可以把效勞器放在防火墻的DMZ區(qū)里面，來實(shí)現(xiàn)WEB效勞器的對外提供效勞；為了保證分支用戶能平安高效的接入總公司的內(nèi)網(wǎng)，我們在防火墻后面放置一臺VPN設(shè)備用來做與分支機(jī)構(gòu)互聯(lián)的VPN網(wǎng)關(guān)。為了使用戶更加平安的接入互聯(lián)網(wǎng)，我們在出口處放置了一臺上網(wǎng)行為管理設(shè)備，最大可能的保護(hù)用戶連接互聯(lián)網(wǎng)的平安。接入層:接入層交換機(jī)全部通過千兆銅纜的方式連接到核心交換機(jī)上的,同時(shí)樓層的接入交換機(jī)之間的級聯(lián)也是通過千兆的方式進(jìn)行級聯(lián)的,這樣就到達(dá)了骨干千兆,百兆桌面的網(wǎng)絡(luò)結(jié)構(gòu)。同時(shí)本次方案中,我們選用的是H3C的S3100-26TP-EI交換機(jī),該交換機(jī)具有高平安性能,支持IP+MAC+端口的綁定功能,為用戶的平安接入提供了可行性.本方案的技術(shù)設(shè)計(jì)路由協(xié)議的設(shè)計(jì)在大型網(wǎng)絡(luò)中，選擇適當(dāng)?shù)穆酚蓞f(xié)議是非常重要的。目前常用的路由協(xié)議有多種，如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由協(xié)議有各自的特點(diǎn)，分別適用于不同的條件之下。選擇適當(dāng)?shù)穆酚蓞f(xié)議需要考慮以下因素：1〕路由協(xié)議的開放性開放性的路由協(xié)議保證了不同廠商都能對本路由協(xié)議進(jìn)行支持，這不僅保證了目前網(wǎng)絡(luò)的互通性，而且保證了將來網(wǎng)絡(luò)開展的擴(kuò)充能力和選擇空間。2〕網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)直接影響協(xié)議的選擇。例如RIP這樣比擬簡單的路由協(xié)議不支持分層次的路由信息計(jì)算，對復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。3〕網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量不同的協(xié)議對于網(wǎng)絡(luò)規(guī)模的支持能力有所不同，需要按需求適中選擇，有時(shí)還需要采用一些特殊技術(shù)解決適應(yīng)網(wǎng)絡(luò)規(guī)模方面的擴(kuò)展性問題。4〕與其他網(wǎng)絡(luò)的互連要求通過劃分成相對獨(dú)立管理的網(wǎng)絡(luò)區(qū)域，可以減少網(wǎng)絡(luò)間的相關(guān)性，有利于網(wǎng)絡(luò)的擴(kuò)展，路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性，是通常劃分為一個(gè)自治系統(tǒng)〔AS〕，在AS之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議。必要時(shí)還要考慮路由信息平安因素和對路由交換的限制管理。5〕管理和平安上的要求通常要求在可以滿足功能需求的情況下盡可能簡化管理。但有時(shí)為了實(shí)現(xiàn)比擬完善的管理功能或?yàn)榱藵M足平安的需要，例如對路由的傳播和選用提出一些人為的要求，就需要路由協(xié)議對策略的支持。因此選擇靜態(tài)路由協(xié)議，對于廠區(qū)數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)性能的最優(yōu)和平安性是非常重要的。VLAN設(shè)計(jì)在網(wǎng)絡(luò)成為必不可少的工具、信息處理成為日常工作的重心后，VLAN技術(shù)的運(yùn)用顯得越來越重要。VLAN對于信息系統(tǒng)的意義表達(dá)在：1.VLAN可以改善網(wǎng)絡(luò)的通信效率。因?yàn)橥ㄐ帕髁恐痪窒抻诒咀泳W(wǎng)中，不會對其它子網(wǎng)產(chǎn)生干擾。2.VLAN可以防止播送風(fēng)暴。在較大規(guī)模的網(wǎng)絡(luò)中，大量的播送信息很容易引起網(wǎng)絡(luò)性能的急劇降低，甚至使網(wǎng)絡(luò)癱瘓。而VLAN使播送只在子網(wǎng)中進(jìn)行，不會作無意義的擴(kuò)散，從而消除了播送風(fēng)暴產(chǎn)生的條件。3.VLAN大大增強(qiáng)了網(wǎng)絡(luò)及其信息的平安性。因?yàn)樽泳W(wǎng)間無法隨意進(jìn)行訪問，信息流通得到相當(dāng)好的控制。4.VLAN使網(wǎng)絡(luò)的組織更具靈活性。網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)中的物理位置不會影響該用戶邏輯上的訪問權(quán)限，也就是說網(wǎng)絡(luò)規(guī)劃完全不會受到物理的限制。VLAN的劃分與IP子網(wǎng)的規(guī)劃存在很大的關(guān)系。具體的實(shí)施過程建議如下進(jìn)行：1．對全網(wǎng)的IP地址進(jìn)行全面的規(guī)劃，確定各子網(wǎng)內(nèi)主機(jī)的數(shù)量，并根據(jù)IP子網(wǎng)內(nèi)主機(jī)的數(shù)量確定掩碼的長度。2．確定IP子網(wǎng)的聚合點(diǎn)，聚合點(diǎn)以下采用連續(xù)的子網(wǎng)劃分。使聚合點(diǎn)向核心路由器通告最少的路由。3．選擇適宜的路由協(xié)議進(jìn)行子網(wǎng)路由。4．根據(jù)IP子網(wǎng)的規(guī)劃，對交換機(jī)進(jìn)行VLAN的規(guī)劃和劃分。建立VLAN和IP子網(wǎng)的對應(yīng)關(guān)系。5．網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的IP子網(wǎng)和VLAN，實(shí)現(xiàn)更平安的對所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。6．根據(jù)信息流量的走向和分布，確定效勞器集群的VLAN和IP子網(wǎng)。7．在三層路由交換機(jī)建立相應(yīng)的VLAN以及與VLAN綁定的IP子網(wǎng)網(wǎng)關(guān)。8．建立相應(yīng)的子網(wǎng)間的訪問策略，在三層路由交換機(jī)配置訪問列表。trunk鏈路的設(shè)計(jì)所有的接入層交換機(jī)全部采用的是H3C公司的3100EI系列的二層可管理千兆交換機(jī)，因?yàn)橐獫M足因?yàn)榈乩砦恢貌煌?，但部門是同一個(gè)部門的問題，同時(shí)IP要規(guī)劃在同一個(gè)子網(wǎng)內(nèi)；所以，我們可以通過在二層交換機(jī)上做trunk的方式，把網(wǎng)關(guān)都集中在核心三層交換機(jī)上來實(shí)現(xiàn)。訪問控制〔ACL〕的設(shè)計(jì)對于那些確實(shí)具有網(wǎng)絡(luò)接入許可，但試圖訪問未得到授權(quán)的網(wǎng)絡(luò)資源的用戶站點(diǎn)，H3C系列產(chǎn)品的多層交換引擎能在進(jìn)行高效的第三層交換的同時(shí)，根據(jù)用戶的IP地址限制其訪問不被授權(quán)訪問的效勞器。本方案提供的平安性是建立在網(wǎng)絡(luò)的物理端口、虛擬網(wǎng)的邏輯界限和OSI網(wǎng)絡(luò)模型的數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層的立體交叉的、多維化的平安保障。應(yīng)用ACL防范“沖擊波”等蠕蟲病毒：最近發(fā)現(xiàn)的沖擊波病毒，造成了很多地方感染，網(wǎng)絡(luò)癱瘓。這是一個(gè)針對MS03-026MicrosoftWindowsDCOMRPC接口遠(yuǎn)程緩沖區(qū)溢出漏洞。蠕蟲還會在本地的UDP/69端口上建立一個(gè)tftp效勞器，用來向其他受侵害的系統(tǒng)上傳送蠕蟲的二進(jìn)制程序。蠕蟲選擇目標(biāo)IP地址的時(shí)候會首先選擇受感染系統(tǒng)所在子網(wǎng)的IP，然后再按照一定算法隨機(jī)在互連網(wǎng)上選擇目標(biāo)攻擊。一旦連接建立，蠕蟲會向目標(biāo)的TCP/135端口發(fā)送攻擊數(shù)據(jù)。如果攻擊成功，會監(jiān)聽目標(biāo)系統(tǒng)的TCP/4444端口作為后門，并綁定。然后蠕蟲會連接到這個(gè)端口，發(fā)送tftp命令，回連到發(fā)起進(jìn)攻的主機(jī)，將傳到目標(biāo)系統(tǒng)上，然后運(yùn)行它。蠕蟲所帶的攻擊代碼來自一個(gè)公開發(fā)布的攻擊代碼，當(dāng)攻擊失敗時(shí)，可能造成沒有打補(bǔ)丁的Windows系統(tǒng)RPC效勞崩潰，WindowsXP系統(tǒng)可能會自動重啟。該蠕蟲不能成功侵入Windows2003，但是可以造成Windows2003系統(tǒng)的RPC效勞崩潰。另外中毒的效勞器會向網(wǎng)絡(luò)發(fā)送大量無效的數(shù)據(jù)包，浪費(fèi)有效的網(wǎng)絡(luò)帶寬，造成用戶感覺上網(wǎng)速度慢，甚至使交換機(jī)等網(wǎng)絡(luò)設(shè)備死機(jī)，所以我們可以利用S21系列智能交換機(jī)的ACL功能做出限制，禁止其轉(zhuǎn)發(fā)和傳播。效勞質(zhì)量〔QOS〕機(jī)制本方案采用的交換機(jī)支持802.1P、端口優(yōu)先級、IPTOS、二到七層過濾等QoS策略，具備MAC流、IP流、應(yīng)用流、時(shí)間流等多層流分類和流控制能力，實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的效勞質(zhì)量特性，提供效勞。實(shí)現(xiàn)網(wǎng)絡(luò)的高效、可靠運(yùn)行,支持?jǐn)?shù)據(jù)、話音和視頻之間的無縫集成。為用戶提供良好的QoS保證。播送風(fēng)暴的抑制H3CS5510、S3100EI均可以實(shí)現(xiàn)基于端口的播送風(fēng)暴抑止功能，可支持同一VLAN內(nèi)的風(fēng)暴抑止功能，可以有效的抑止局域網(wǎng)內(nèi)部的播送風(fēng)暴，確保網(wǎng)絡(luò)的平安穩(wěn)定。防止對DHCP效勞器的攻擊使用DHCPServer動態(tài)分配IP地址會存在兩個(gè)問題：一是DHCPServer假冒，用戶將自己的計(jì)算機(jī)設(shè)置成DHCPServer后會與局方的DHCPServer沖突；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。H3CS5510系列交換機(jī)可以支持多種禁止私設(shè)DHCPServer的方法。防止基于流的攻擊特性H3C核心交換機(jī)S5510、接入交換機(jī)S3100EI均采用最長路由匹配技術(shù)，與傳統(tǒng)的基于流轉(zhuǎn)發(fā)的方式相比，更具有強(qiáng)大的平安特性，對于如：紅色代碼等病毒可具有較高的抗攻擊能力，可確保網(wǎng)絡(luò)的平安、穩(wěn)定。具體解決方案VLAN規(guī)劃劃分VLAN的必要性VLAN是建立在各種交換技術(shù)根底之上的。所謂交換實(shí)質(zhì)上只是物理網(wǎng)絡(luò)上的一個(gè)控制點(diǎn)，它由軟件進(jìn)行管理，所以允許用戶利用軟件功能靈活地配置資源，管理網(wǎng)絡(luò)。利用交換設(shè)備中的虛網(wǎng)功能，不必改變網(wǎng)絡(luò)的物理根底，即可重新配置網(wǎng)絡(luò)。采用虛網(wǎng)功能，網(wǎng)絡(luò)性能可以獲得較大的改善：1.虛網(wǎng)技術(shù)能對工作組業(yè)務(wù)進(jìn)行過濾，有效地分割通信量，因而能更好地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。2.采用虛網(wǎng)技術(shù)可以將不同樓層或不同房間的設(shè)備組成一個(gè)網(wǎng)段而不用更改布線，因?yàn)樘摼W(wǎng)技術(shù)是從邏輯角度而非物理角度來劃分子網(wǎng)的，所以采用虛網(wǎng)技術(shù)能減輕系統(tǒng)的擴(kuò)容壓力，將遷移費(fèi)用降至最小。3.采用虛網(wǎng)技術(shù)能有效隔離網(wǎng)絡(luò)設(shè)備，增加網(wǎng)絡(luò)的平安性和保密性。虛擬網(wǎng)絡(luò)的平安策略采用的主要協(xié)議為Q，此協(xié)議結(jié)合有鑒別和加密技術(shù)以確保整個(gè)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。4.虛網(wǎng)技術(shù)能對屬于同一工作組的用戶提供播送效勞，但與傳統(tǒng)的局域網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制播送的區(qū)域，從而節(jié)省網(wǎng)絡(luò)帶寬。5.虛擬局域網(wǎng)可以建立在不同的物理網(wǎng)絡(luò)上，用封裝的方法支法支持不同的網(wǎng)絡(luò)協(xié)議絡(luò)協(xié)議，如SNMP、NMP、IPX、TCP//IP、等，兼容性非常好性非常好。6.虛擬網(wǎng)絡(luò)中的主要應(yīng)用技術(shù)為“虛網(wǎng)中繼”，VLANTrunking特有技術(shù)的采用也成成為了必然。必然。簡而言之，VLANTrunking主要是通過一條高速全雙工通道(200Mbps)來)來實(shí)現(xiàn)將將一個(gè)LANSwitch端口所劃分的不同VLAN與其它LANSwitch中各自相應(yīng)的VLAN成員進(jìn)行線路復(fù)用連接的技術(shù)。VLANTrunking技術(shù)的采用，既節(jié)省了信道數(shù)據(jù)量，又提高了可靠性，并便于管理及方便連接，提高了整個(gè)網(wǎng)絡(luò)吞吐量和性能指標(biāo)。其原理如下列圖所示：如果采用VLANtrunking的技術(shù)，那么V1、V2、V3均可通過一條全雙工的100Mbps，即200Mbps的速率與上級LANSwitch進(jìn)行互通并經(jīng)過位于樹根部的路由器進(jìn)行路由與其它的VLAN進(jìn)行通訊。VLANtrunking技術(shù)的優(yōu)點(diǎn)在于采用一條高速通道連接，提高了通道的使用效率，如在，如在V2，V3無數(shù)據(jù)量的情況下，V1可以獨(dú)占此100M帶寬；并且可以使得線路的連接變得簡單，從而大大提高可靠性與易維護(hù)性。劃分VLAN的方法作為一個(gè)大型企業(yè)集團(tuán)，為方便管理和維護(hù)，交換機(jī)必須要求支持靈活的VLAN劃分，華三公司的S3100EI接入交換機(jī)不僅能夠支持標(biāo)準(zhǔn)的802.1QVLAN，還能實(shí)現(xiàn)端口之間的隔離。我們可以使用S3100EI支持的P-VLAN〔primary-vlan〕這個(gè)特性，一方面實(shí)現(xiàn)用戶之間的隔離，另一方面可以為三層交換機(jī)節(jié)省VLAN資源。S3100EI可以屏蔽下面的VLAN劃分，僅向三層交換機(jī)提供一個(gè)VLAN信息，在邊緣交換機(jī)實(shí)現(xiàn)了端口可以同時(shí)屬于多個(gè)Vlan；如下圖：其中端口1為uplink端口，端口2，3，4為接入端口； Vlan1：包含端口：1，2，3，4，5 Vlan2：包含端口：1，2 Vlan3：包含端口：1，3，4 Vlan4：包含端口：1，5設(shè)計(jì)中采用了幾個(gè)secondaryvlan包含在一個(gè)primaryVLAN中的方式，給用戶提供了靈活的配置方式。如果用戶希望實(shí)現(xiàn)二層報(bào)文的隔離，可以采用了為每個(gè)用戶分配一個(gè)secondaryvlan的方式，每個(gè)vlan中只包含用戶連接的port和uplinkport；如果希望實(shí)現(xiàn)用戶之間二層報(bào)文的互通，可以將用戶連接的端口劃入同一個(gè)VLAN中；同時(shí)創(chuàng)立primaryvlan，該vlan包含所有secondaryvlan中包含的端口和uplink端口，這樣對上層交換機(jī)來說，可以認(rèn)為下層交換機(jī)中只有一個(gè)primaryvlan，用來標(biāo)識設(shè)備，而不必關(guān)心primaryVLAN中的端口實(shí)際所屬的VLAN，簡化了配置，節(jié)省了VLAN資源。primaryvlan中的所有端口都是不是的trunk端口，包括與其它交換機(jī)相連的uplink口。每個(gè)port的PVID就是它所屬secondaryvlan的ID；uplink端口的PVID是primaryvlan的ID；如下列圖所示：這樣VLAN10和VLAN20內(nèi)的用戶屬于一個(gè)網(wǎng)段，分屬不同的VLAN，在三層交換機(jī)上僅僅需要創(chuàng)立VLAN30，它認(rèn)為二層交換機(jī)上面僅僅只有一個(gè)VLAN30，在二層交換機(jī)上配置VLAN30為P-VLAN，包含從VLAN10和VLAN20，它們對三層交換機(jī)來說是不可見的。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動態(tài)的。靜態(tài)VLAN：形成靜態(tài)VLAN過程是將端口強(qiáng)制性地分配給VLAN的過程。確定哪些端口屬于哪些特定的VLAN，然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的一種最通用的方法。動態(tài)VLAN：建議使用華三公司的802.1X實(shí)現(xiàn)動態(tài)VLAN功能。我們知道，VLAN常常被規(guī)劃用于對“資源訪問權(quán)限”的分組，不同的VLAN具有不同的訪問權(quán)限，每個(gè)VLAN內(nèi)有一個(gè)IP地址網(wǎng)段，不同的VLAN/IP地址段的用戶，具有不同的訪問資源的權(quán)限。用戶權(quán)限數(shù)據(jù)一般存儲在CAMS〔后臺綜合訪問管理效勞器〕中，CAMS根據(jù)用戶端的權(quán)限歸類，在認(rèn)證通過之后向二層交換機(jī)作動態(tài)的VLANID下發(fā)配置。此時(shí)，二層交換機(jī)要支持VLAN的動態(tài)配置功能〔華三全系列交換機(jī)支持〕。具體VLAN規(guī)劃在重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)建設(shè)中，首先，必須實(shí)現(xiàn)不同部門網(wǎng)絡(luò)之間的互相割離。通常按照具體部門之間進(jìn)行劃分。本次工程獎建議使用此種劃分方法。我們建議使用VLAN技術(shù)，同時(shí)在核心交換機(jī)上配合使用訪問控制列表實(shí)現(xiàn)不同部門之間的隔離。我們建議每個(gè)部門作為一個(gè)獨(dú)立的VLAN，部門內(nèi)部可以使用P－VLAN的功能，再進(jìn)一步進(jìn)行隔離。從播送控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，我們建議在進(jìn)行具體VLAN規(guī)劃時(shí)，同一個(gè)播送域內(nèi)〔一個(gè)VLAN〕的通信主機(jī)不要超過50臺，最好控制在30臺以內(nèi)，對于主機(jī)數(shù)量超過50的業(yè)務(wù)部門，我們通過二層隔離，三層交換的方式來解決。對于效勞器建議單獨(dú)設(shè)置在一個(gè)VLAN中。如果不同部門的人員之間需要實(shí)現(xiàn)互訪，那么只需要在核心交換機(jī)S9512上放開訪問控制列表就可以了。對于集團(tuán)公司高層，需要能夠訪問各個(gè)部門資源，對于此類用戶，我們只需在核心交換機(jī)上，不對其設(shè)置任何訪問控制列表就可以了。總之，任何訪問控制要求，均可以通過訪問控制列表的方式實(shí)現(xiàn)。為防止混亂及出錯(cuò)，應(yīng)對網(wǎng)絡(luò)中的VlanID統(tǒng)一規(guī)劃，禁止出現(xiàn)網(wǎng)中的ID相同而又不在同一個(gè)Vlan中的情形。另外，由于802.1Q協(xié)議支持至多4096個(gè)VlanID，按部門劃分VlanID可以為以后管理帶來很大的方便，比方一看VlanID即知是哪個(gè)部門的用戶。建議VlanID采用如下分配原那么：〔1〕、Vlan1保存使用〔2〕、為方便管理，建議按地理區(qū)域或分支機(jī)構(gòu)劃分一段連續(xù)的VlanID?！?〕、VLANID的分配按照每個(gè)部門占用一個(gè)VLANID的方式，該VLANID必須保證全網(wǎng)統(tǒng)一規(guī)劃，不允許重復(fù)?！?〕、部門內(nèi)部在使用P－VLAN技術(shù)隔離不同員工時(shí)，該VLANID不需要統(tǒng)一規(guī)劃，但必須保證在同一臺交換機(jī)上，P－VLANID不重復(fù)。IP地址分配原那么IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步開展。IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對于本期IP地址的分配應(yīng)該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最正確的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。IP地址的分配和網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，具體的IP地址分配將通常在工程實(shí)施時(shí)統(tǒng)一規(guī)劃實(shí)施，這里主要描述IP地址分配的原那么。主要的原那么描述為：IP地址分配要盡量給每個(gè)分支機(jī)構(gòu)分配連續(xù)的IP地址空間；在每個(gè)分支機(jī)構(gòu)網(wǎng)中，相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及平安控制；IP地址的規(guī)劃與劃分應(yīng)該考慮到個(gè)分支機(jī)構(gòu)的開展，能夠滿足未來開展的需要；即要滿足本期工程對IP地址的需求，同時(shí)要充分考慮未來業(yè)務(wù)開展，預(yù)留相應(yīng)的地址段；地址分配是由業(yè)務(wù)驅(qū)動，按照業(yè)務(wù)量的大小分配各地的地址段；IP地址的分配必須采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率；采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中播送的路由信息的大小；在公有地址有保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback地址、設(shè)備間互連地址。充分合理利用已申請的地址空間，提高地址的利用效率。IP地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一局部，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。本次工程IP地址分配IP地址規(guī)劃應(yīng)該包括兩局部，外部地址和內(nèi)部地址的規(guī)劃，外部地址就是Internent上的公有地址，一般在申請的時(shí)候，電信會分配給假設(shè)干個(gè)公有IP地址，由于外部地址我們使用電信分配的地址，所以我們先討論主要局部，內(nèi)部地址的分配。內(nèi)部IP地址應(yīng)該本著易管理、易分配、易理解等原那么來進(jìn)行分配，由于我們規(guī)劃的是內(nèi)部地址，所以應(yīng)該使用私有地址去規(guī)劃。RFC1918中定義的非Internet連接的網(wǎng)絡(luò)地址，稱為“專用Internet地址分配”。RFC1918規(guī)定了不想連入Internet的IP地址分配指導(dǎo)原那么。由Internet地址授權(quán)機(jī)構(gòu)(IANA)控制IP地址分配方案中，留出了三類網(wǎng)絡(luò)號，給不連到Internet上的專用網(wǎng)用，分別用于A，B和C類IP網(wǎng)，具體如下：由于重慶翰華擔(dān)保集團(tuán)內(nèi)部的用戶數(shù)量很多，我們建議采用～55這個(gè)C類私有地址，子網(wǎng)掩碼24位，即，支持254個(gè)網(wǎng)段，每網(wǎng)段支持254個(gè)主機(jī)地址。在前面的VLAN規(guī)劃中，我們建議每個(gè)部門使用一個(gè)VLAN，在進(jìn)行IP地址規(guī)劃時(shí)，需要和VLAN規(guī)劃結(jié)合其他，使每個(gè)VLAN占用一個(gè)獨(dú)立的網(wǎng)段?？紤]到內(nèi)部每個(gè)部門的信息點(diǎn)數(shù)不會超過254個(gè)信息點(diǎn)，因此，我們建議給每個(gè)部門分配一個(gè)C的IP地址，即使用28作為掩碼，每個(gè)網(wǎng)段可以支持254個(gè)主機(jī)。例如這個(gè)網(wǎng)段，采用這個(gè)子網(wǎng)掩碼，劃分的網(wǎng)段主機(jī)如下：－播送地址：55-55網(wǎng)絡(luò)地址：播送地址：55-55網(wǎng)絡(luò)地址：播送地址：55-192.168.3．0網(wǎng)絡(luò)地址：播送地址：55這種劃分方法比擬容易管理，也很便于網(wǎng)管人員理解，每個(gè)網(wǎng)段支持254臺主機(jī)，符合Vlan劃分的原那么。在具體進(jìn)行IP地址規(guī)劃時(shí)，建議將這個(gè)網(wǎng)段留出，用作特殊地址分配。網(wǎng)絡(luò)設(shè)備地址：網(wǎng)絡(luò)設(shè)備地址主要用作網(wǎng)絡(luò)交換設(shè)備的帶外管理地址，地址分配為－192。對應(yīng)我們的管理VLAN。效勞器局部地址相關(guān)效勞器的地址手動分配，我們保存－54，這個(gè)網(wǎng)段作為效勞器的網(wǎng)絡(luò)地址。每個(gè)分支機(jī)構(gòu)的效勞器使用與該分支機(jī)構(gòu)相同的VLANID，分配一個(gè)獨(dú)立的網(wǎng)段，比方使用-,52的掩碼，該網(wǎng)段可以容納2臺效勞器。具體主機(jī)的地址分配可按需分配。備用地址這個(gè)地址段留做備用地址。由于重慶翰華擔(dān)保集團(tuán)內(nèi)部使用的是私有IP地址，要訪問Internet必須進(jìn)行地址轉(zhuǎn)換，地址轉(zhuǎn)換的工作在出口路由器設(shè)備上進(jìn)行。建議申請多個(gè)有效IP地址，一局部留給對外的效勞器使用，一局部作為地址池，共地址轉(zhuǎn)換使用。網(wǎng)絡(luò)設(shè)備自身的平安功能用戶嚴(yán)格隔離方法一：用Vlan隔離。在樓層以太網(wǎng)交換機(jī)上按端口劃分Vlan，每個(gè)用戶占用一個(gè)Vlan。方法二：利用PVlan技術(shù)。在樓道交換機(jī)上劃分PVlan，使用戶端口之間不能通信，用戶端口只能和Uplink口通信。方法三：使用以太網(wǎng)MUX設(shè)備。該類設(shè)備將接入層交換機(jī)的端口分為兩類：上行口Uplink和用戶端口。用戶端口之間不能通信，Uplink口可以和所有端口通信。通過用戶隔離，可以防止用戶對網(wǎng)絡(luò)鄰居的工具，阻止沖擊波等蠕蟲病毒在園區(qū)網(wǎng)上的傳播。有效防范MAC掃描和ARP攻擊：MAC地址表放置在內(nèi)存中，容量有限，用戶通過不停的發(fā)送MAC地址沖刷MAC地址表，通過MAC地址表溢出來更改MAC與IP地址的綁定，從而重新定向流量(CAMOverflow,macoftool工具)。ARP攻擊與此類似，它是通過對交換機(jī)CPU的處理能力進(jìn)行大容量沖刷造成其溢出而實(shí)現(xiàn)其攻擊的。華三S3100EI交換機(jī)通過將MAC地址與端口綁定與IP、并限制端口下MAC地址的最大學(xué)習(xí)個(gè)數(shù)，從而有效地防止MAC掃描，同時(shí)也可有效地防范ARP攻擊。DHCP攻擊、VLAN“Hopping”攻擊的防范：使用DHCPServer動態(tài)分配IP地址會存在兩個(gè)問題：一是DHCPServer假冒，用戶將自己的計(jì)算機(jī)設(shè)置成DHCPServer后會與局方的DHCPServer沖突；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。由于DHCP是通過二層播送包起作用的，故在二層嚴(yán)格隔離用戶，可防止DHCPServer假冒。為解決DHCPSmurf，在以太網(wǎng)接入時(shí)，對用戶劃分Vlan，由會聚層交換機(jī)控制一個(gè)Vlan下申請的最大IP地址數(shù)，當(dāng)該Vlan的IP地址數(shù)目到達(dá)限制值后，拒絕新的DHCP申請。Vlan的劃分可根據(jù)企業(yè)的實(shí)際情況靈活掌握。華三S系列交換機(jī)提供dhcpserverdetect功能，可以檢測到非法的dhcpserver。同時(shí)，在CPE交換機(jī)上通過配置流規(guī)那么，可以將非法端口的dhcpreply報(bào)文丟棄。VLAN“Hopping”攻擊的解決方案與此類似。采用SNMPv3杜絕網(wǎng)管攻擊：網(wǎng)絡(luò)管理員通過Telnet遠(yuǎn)程訪問網(wǎng)絡(luò)時(shí)，由于Telnet在網(wǎng)絡(luò)中是明文傳輸，容易被竊取管理密碼，采用支持SSH的交換機(jī)，可以對Telnet報(bào)文進(jìn)行加密，截獲報(bào)文也無法解析密碼。華三S系列交換機(jī)支持SNMPV3，確保網(wǎng)管信息在傳輸過程中加密，偵聽用戶無法獲致報(bào)文的真正內(nèi)容。有效抑制播送風(fēng)暴播送風(fēng)暴是網(wǎng)絡(luò)最常見的網(wǎng)絡(luò)問題，針對此情況H3CS系列以太網(wǎng)交換機(jī)提供完善的播送風(fēng)暴抑制功能，提供了針對特定VLAN的播送風(fēng)暴抑制比的設(shè)定功能，可對VLAN上收到的播送流量進(jìn)行監(jiān)控，當(dāng)播送流量的帶寬超過配置的限度時(shí)，交換機(jī)將過濾該VLAN上超出的流量，保證網(wǎng)絡(luò)的業(yè)務(wù)，使播送所占的流量比例降低到合理的范圍。防治蠕蟲病毒防治蠕蟲病毒需要系統(tǒng)管理、網(wǎng)絡(luò)維護(hù)和平安操作部門的協(xié)力合作。一般情況下，對于事件的應(yīng)對可分為3個(gè)主要階段：反響〔reaction〕恢復(fù)〔recovery〕亡羊補(bǔ)牢措施〔Post-mortem〕對于worm病毒事件，反響〔reaction〕階段可以細(xì)化分為下面4個(gè)子階段限制〔Containment〕免疫〔Inoculation〕隔離〔Quarantine〕治療〔Treatment〕下面我們就這四個(gè)子階段具體介紹一下相關(guān)的內(nèi)容：限制限制的目的主要是把蠕蟲的活動范圍限定在已經(jīng)感染蠕蟲病毒的范圍內(nèi)，也就是說是防止蠕蟲的擴(kuò)散。限制需要將網(wǎng)絡(luò)分段隔離來減慢甚至是停止蠕蟲的繼續(xù)傳播。涉及到的具體技術(shù)包括在路由器、防火墻、三層交換機(jī)等網(wǎng)絡(luò)上的平安控制點(diǎn)上設(shè)置入口和出口包過濾規(guī)那么。同樣的在網(wǎng)絡(luò)邊緣設(shè)置入口和出口ACL可以很好的限制蠕蟲病毒的傳播。一方面我們可以在交換機(jī)上配置VLAN，隔離用戶，防止染病PC通過ARP掃描感染同網(wǎng)段主機(jī)，另一方面，可以通過在會聚交換機(jī)上限制單位時(shí)間內(nèi)ARP報(bào)文的數(shù)目，以及ARP報(bào)文的總流量，從而從二層阻止蠕蟲病毒的傳播。如下列圖所示：我們還可以在會聚交換機(jī)上配置ACL，限制蠕蟲病毒傳播的端口，防止蠕蟲病毒的蔓延，如下列圖所示：免疫在限制的同時(shí)，所有沒有感染蠕蟲病毒的機(jī)器都必須打上供給商提供的針對相應(yīng)漏洞的補(bǔ)丁。限制的目的是使蠕蟲感染速度減慢甚至停止，而免疫的目的是剝奪蠕蟲繼續(xù)傳染的可能。網(wǎng)絡(luò)掃描可以用了發(fā)現(xiàn)網(wǎng)絡(luò)上潛在的有漏洞的主機(jī)。免疫對當(dāng)前移動辦公的網(wǎng)絡(luò)十分重要，由于便攜機(jī)的大量普及，辦公人員很容易拿著便攜機(jī)在各個(gè)區(qū)域之間穿梭，例如從員工剛剛因?yàn)樵凇安黄桨病钡募依锷线^網(wǎng)而被感染了，回到“平安”的公司網(wǎng)絡(luò)上，就會繼續(xù)感染公司的其它機(jī)器。所以經(jīng)常給系統(tǒng)打補(bǔ)丁是很重要。隔離隔離過程主要包括追蹤并發(fā)現(xiàn)被感染的機(jī)器，然后切斷他們和網(wǎng)絡(luò)的連接。隔離的最終目的是為了最后一個(gè)階段－治療。為了防止感染病毒的機(jī)器發(fā)送大量的流量，影響網(wǎng)絡(luò)性能，我們可以在會聚交換機(jī)上針對用戶作速率限制，防止病毒流量侵占網(wǎng)絡(luò)帶寬，如下列圖所示：治療所謂治療，就是去除已經(jīng)感染的機(jī)器的蠕蟲病毒的過程，如終止蠕蟲病毒進(jìn)程、刪除任何被修改的文件、恢復(fù)被病毒修改正的系統(tǒng)配置、為系統(tǒng)打上補(bǔ)丁等等。有時(shí)可能需要重新安裝系統(tǒng)來保證病毒已經(jīng)被徹底去除。總結(jié)起來，為了防止蠕蟲病毒，主要可以使用如下表所示的策略：攻擊方式平安交換機(jī)防護(hù)策略防護(hù)結(jié)果ARP攻擊VLAN隔離用戶，每用戶一個(gè)VLAN限制單位時(shí)間內(nèi)某用戶的ARP報(bào)文數(shù)目，以及ARP報(bào)文總流量控制住整個(gè)二次網(wǎng)絡(luò)中的ARP風(fēng)暴；同時(shí)保證網(wǎng)絡(luò)設(shè)備本身正常運(yùn)轉(zhuǎn)。ICMP攻擊和網(wǎng)絡(luò)流量攻擊限制單位時(shí)間內(nèi)某用戶訪問其他用戶的次數(shù)，以及某用戶同時(shí)訪問其他用戶的個(gè)數(shù)限制每用戶帶寬抑止了蠕蟲的攻擊速度；同時(shí)保證非感染用戶的正常上網(wǎng)。DDOS－Synflood攻擊對用戶源IP地址、MAC地址進(jìn)行嚴(yán)格匹配，但凡不匹配的，丟棄報(bào)文丟棄了大量的非法攻擊報(bào)文，根本消除了DDOS對網(wǎng)絡(luò)的攻擊。蠕蟲在主機(jī)中傳播提供ACL進(jìn)行臨時(shí)保護(hù)，禁止蠕蟲傳播使用的所有RPC端口控制住蠕蟲的蔓延，提供充足的時(shí)間讓網(wǎng)絡(luò)中的客戶進(jìn)行殺毒、修復(fù)；等攻擊隱患根本消除后，再開啟對應(yīng)的RPC端口?？蛻舨恢廊湎x情況提供強(qiáng)制Portal業(yè)務(wù)，無論是WEB認(rèn)證、PPPoE認(rèn)證、802.1x認(rèn)證，在用戶上線后都能夠提供蠕蟲病毒發(fā)作情況和殺毒、補(bǔ)丁程序或者鏈接。非感染用戶可以簡單、迅速地下載安裝補(bǔ)??；感染用戶也會盡快了解去除方法、下載安裝殺毒、補(bǔ)丁方案。從而有效地加快蠕蟲消滅的速度。H3C設(shè)備介紹核心交換機(jī)產(chǎn)品概述：H3CS5510系列以太網(wǎng)交換機(jī)是H3C公司自主開發(fā)的三層全千兆多協(xié)議以太網(wǎng)交換產(chǎn)品，是為要求具備高性能、較大端口密度且易于安裝的網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)的智能型可網(wǎng)管交換機(jī)。H3CS5510系列以太網(wǎng)交換機(jī)主要面向企業(yè)網(wǎng)、城域網(wǎng)會聚或接入層的需求，同時(shí)硬件支持IPv4和IPv6雙棧，可為客戶提供豐富的業(yè)務(wù)特性和路由功能。產(chǎn)品特點(diǎn)：豐富的IPv4和IPv6三層功能硬件支持IPv4/IPv6雙棧和IPv6overIPv4隧道，三層線速轉(zhuǎn)發(fā)。S5510系列以太網(wǎng)交換機(jī)硬件支持IPv4/IPv6雙棧和常用IPv6過渡隧道協(xié)議〔手工Tunnel,6to4Tunnel,ISATAPTunnel,auto-Tunnel〕，既可以用于純IPv4或IPv6網(wǎng)絡(luò)，也可以用于IPv4到IPv6共存的網(wǎng)絡(luò)，組網(wǎng)方式靈活，可以用于企業(yè)網(wǎng)絡(luò)或?qū)拵Ы尤搿ＶС重S富的IPv6路由協(xié)議，包括RIPng,OSPFv3,ISISv6,BGP4+forIPv6。支持IPv6的鄰居發(fā)現(xiàn)協(xié)議〔NeighborDiscoveryProtocol，NDP〕，管理鄰居節(jié)點(diǎn)的交互。支持PMTU發(fā)現(xiàn)〔PathMTUDiscovery〕機(jī)制，可以找到從源端到目的端的路徑上一個(gè)適宜的MTU值，以便有效地利用網(wǎng)絡(luò)資源并得到最正確的吞吐量。完備的平安控制策略H3CS5510系列交換機(jī)支持802.1x及MAC認(rèn)證，在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，還可以通過靈活的MAC、IP、PORT任意組合綁定，支持動態(tài)VLAN下發(fā)和GuestVLAN，有效的防止非法用戶訪問網(wǎng)絡(luò)。支持端口和Vlan下發(fā)ACL，以及支持用戶自定義流模板配合實(shí)現(xiàn)自定義ACL功能，更加靈活方便，保證網(wǎng)絡(luò)的受控訪問。豐富的QoS策略H3CS5510系列交換機(jī)支持基于源MAC地址、目的MAC地址、源IPv4/v6地址、目的IPv4/v6地址、四層端口、協(xié)議類型、VLAN等信息的流分類，充分保障了復(fù)雜網(wǎng)絡(luò)對于QoS規(guī)那么的要求。支持基于流的流量限速，優(yōu)先級標(biāo)記或映射，基于流的修改VLAN以及重定向到端口或下一跳，基于端口的流量整形。提供靈活的隊(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP〔StrictPriority〕、WRR〔WeightedRoundRobin〕、SP+WRR三種模式。支持CAR功能，粒度最小達(dá)4Kbps，支持對多個(gè)端口的業(yè)務(wù)流使用同一個(gè)CAR進(jìn)行流量監(jiān)管。用戶還可以選擇直接在端口下發(fā)CAR，或通過QoS策略下發(fā)CAR。高可靠性H3CS5510系列全千兆多協(xié)議智能三層交換機(jī)實(shí)現(xiàn)雙電源負(fù)載分擔(dān)，也可以交、直流同時(shí)輸入。支持LACP〔LinkAggregationControlProtocol，鏈路聚合控制協(xié)議〕進(jìn)行動態(tài)鏈路會聚。H3CS5510系列交換機(jī)不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。支持RRPP〔RapidRingProtectionProtocol〕協(xié)議，可以防止數(shù)據(jù)環(huán)路引起的播送風(fēng)暴，當(dāng)以太網(wǎng)環(huán)上一條鏈路斷開時(shí)能迅速恢復(fù)環(huán)網(wǎng)上各個(gè)節(jié)點(diǎn)之間的通信通路。支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機(jī)構(gòu)建VRRP備份組。構(gòu)建故障時(shí)的冗余路由拓樸結(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。支持在設(shè)備上配置多條等價(jià)路由的方式實(shí)現(xiàn)上行路由的冗余備份，當(dāng)主上行路由發(fā)生故障時(shí)自動切換到下一個(gè)備份路由上去，實(shí)現(xiàn)上行路由的多級備份。電源支持1+1備份和負(fù)載分擔(dān)，用戶可以選配雙交流、雙直流、交直流冗余組合電源。強(qiáng)大的多業(yè)務(wù)能力H3CS5510系列交換機(jī)支持QinQ即VLANVPN特性，可以將用戶私網(wǎng)VLAN標(biāo)簽封裝在公網(wǎng)VLAN標(biāo)簽中，使報(bào)文帶著兩層VLANTag穿越運(yùn)營商的骨干網(wǎng)絡(luò)。S5510系列交換機(jī)支持靈活QinQ，可以實(shí)現(xiàn)針對不同的業(yè)務(wù)報(bào)文打不同的外層VLAN標(biāo)簽或者不打VLAN標(biāo)簽，便于業(yè)務(wù)別離。S5510系列交換機(jī)還支持VLANtranslation，可以根據(jù)不同用戶或業(yè)務(wù)重新設(shè)置VLAN標(biāo)簽。同時(shí)支持IPv4和IPv6組播功能，支持豐富的組播協(xié)議IGMPSnooping、MLDSnooping、IGMPv1/v2/v3、PIM-DM、PIM-SM/SSM、MSDP，支持組播靜態(tài)路由、組播組靜態(tài)參加，而且組播Vlan可以跨Vlan復(fù)制，支持IGSPv1/v2/v3，支持大容量組播路由，強(qiáng)組播復(fù)制能力。出色的管理性H3C5510交換機(jī)支持基于出/入端口鏡像、基于流的鏡像以及支持遠(yuǎn)程端口鏡像功能，可以實(shí)現(xiàn)統(tǒng)一監(jiān)控檢測,使網(wǎng)絡(luò)管理更方便。支持SNMP，可支持OpenView等通用網(wǎng)管平臺以及Quidview網(wǎng)管系統(tǒng)。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便，并且支持SSH1.5/2.0等加密方式，使得管理更加平安。產(chǎn)品規(guī)格：支持特性說明業(yè)務(wù)端口S5510-24P：24個(gè)10/100/1000Base-T以太網(wǎng)端口和4個(gè)1000Base-XSFP千兆以太網(wǎng)端口〔Combo〕外形尺寸〔寬×高×深〕440×43.6×360mm重量<5KG管理端口1個(gè)Console口二三層線速轉(zhuǎn)發(fā)交換容量為：48Gbps包轉(zhuǎn)發(fā)率：端口會聚1.

支持FE〔FastEthernet〕端口聚合2.

支持GE〔GigabitEthernet〕端口聚合3.

支持LACP〔LinkAggregationControlProtocol，鏈路聚合控制協(xié)議〕4.

支持手工聚合MAC地址1.

支持12K個(gè)MAC地址2.

支持黑洞MAC地址3.

支持設(shè)置端口地址學(xué)習(xí)MAC最大個(gè)數(shù)端口1.

支持IEEE802.3x流控〔全雙工〕2.

支持Back-pressurebasedflowcontrol〔背壓式流控〕〔半雙工〕3.

支持基于端口速率百分比的風(fēng)暴抑制4.

支持端口優(yōu)先級VLAN1.

支持端口VLAN(4094個(gè))2.

支持協(xié)議VLAN3.

基于IPv4子網(wǎng)VLAN4.

支持VoiceVLAN5.

支持GVRP/GARP6.

支持VLANVPN〔QinQ，靈活QinQ〕，BPDUtunnel7.

支持VLANTranslationDHCP1.

支持DHCPServer2.

支持DHCP-Relay3.

支持DHCPClient4.

支持DHCPSnoopingUDPHelper1.

支持UDPHelperDNS1.

支持靜態(tài)域名解析2.

支持動態(tài)域名解析客戶端3.

支持IPv4和IPv6地址ARP1.

支持ARP2.

支持免費(fèi)ARP3.

支持ARPProxyIP路由1.

支持靜態(tài)路由和缺省路由2.

支持RIP〔RoutingInformationProtocol〕v1/23.

支持RIPng4.

支持OSPFv1/v2〔OpenShortestPathFirst〕5.

支持OSPFv36.

支持IS-IS7.

支持IS-ISv68.

支持BGP〔BorderGatewayProtocol〕9.

支持BGP4+forIPV610.

支持等價(jià)路由11.

支持路由策略組播1.

支持IGMP〔InternetGroupManagementProtocol〕Snoopingv1/v22.

支持IGMPv1/v2/v33.

支持PIM-DM〔ProtocolIndependentMulticast-DenseMode〕4.

支持PIM-SM〔ProtocolIndependentMulticast-SparseMode〕5.

支持MSDP(MulticastSourceDiscoveryProtocol)6.

支持MLDSnoopingSTP/RSTP/MSTP1.

支持STP/RSTP2.

支持MSTP3.

支持STP保護(hù)功能IPV61.

支持ND(NeighborDiscovery)2.

支持PMTU3.

支持IPv6Ping，IPv6Tracert4.

支持IPv6Telnet5.

支持IPv6TFTPIPv6overIPv4Tunnel1.

支持手動配置Tunnel2.

支持6to4tunnel3.

支持ISATAPtunnel4.

支持Auto-tunnel〔即IPv4compatibletunnel〕QoS/ACL支持ACL1.

支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四層端口、協(xié)議類型、VLAN等信息的流分類2.

支持根本ACL3.

支持高級ACL4.

支持二層ACL5.

支持用戶自定義ACL支持ACL流模板1.

支持用戶自定義流模板2.

支持系統(tǒng)缺省流模板支持QoS1.

支持基于流的流量限速(8Kbit/s)2.

支持基于流的標(biāo)記優(yōu)先級、3.

支持基于流的修改報(bào)文VLANID4.

支持基于流的報(bào)文重定向到端口或IP下一跳5.

支持基于流的流量統(tǒng)計(jì)6.

支持基于流的流鏡像7.

支持端口隊(duì)列調(diào)度(SP/WRR/SP+WRR)8.

支持端口鏡像和RSPAN(遠(yuǎn)程端口鏡像)9.

支持端口流量整形10.

支持端口擁塞丟棄支持IPv6ACL1.

支持基于源IPv6地址、目的IPv6地址、四層端口、協(xié)議類型等信息的流分類2.

支持根本IPv6ACL3.

支持高級IPv6ACL支持時(shí)間段支持策略路由平安特性1.

支持用戶分級管理和口令保護(hù)2.

支持3.

支持AAA4.

支持Radius認(rèn)證5.

支持HWTacacs+6.

支持集中式MAC地址認(rèn)證7.

支持端口隔離8.

支持IP+MAC+端口綁定可靠性支持VRRP〔VirtualRedundancyRoutingProtocol〕加載與升級1.

支持XModem協(xié)議實(shí)現(xiàn)加載升級2.

支持FTP〔FileTransferProtocol〕加載升級3.

支持TFTP〔TrivialFileTransferProtocol〕加載升級管理1.

支持命令行接口〔CLI〕配置2.

支持Telnet遠(yuǎn)程配置3.

支持通過Console口配置4.

支持SNMP〔SimpleNetworkManagementProtocol〕V1/V2c/V35.

支持RMON〔RemoteMonitoring〕1，2，3，9組MIB6.

支持華為QuidView網(wǎng)管系統(tǒng)7.

支持WEB網(wǎng)管8.

支持系統(tǒng)日志9.

支持分級告警10.

支持集群管理HGMP〔HuaweiGroupManagementProtocol〕V211.

支持Modem遠(yuǎn)端撥號12.

支持NTP13.

支持SSH14.

支持電源的狀態(tài)檢測和告警維護(hù)1.

支持調(diào)試信息輸出2.

支持PING、Tracert3.

支持HWPing4.

支持Telnet遠(yuǎn)程維護(hù)5.

支持虛擬電纜檢測(VirtualCableTest)輸入電壓S5510系列以太網(wǎng)交換機(jī)支持交流電源輸入和直流電源輸入。AC：額定電壓范圍：100～240VAC.；50/60Hz最大電壓范圍：90～264VAC.；50/60HzDC：額定電壓范圍：-60～-48V最大電壓范圍：-72～-36V功耗〔滿負(fù)荷時(shí)〕S5510-24P-AC/S5524P-DC：66WS5510-24F-AC/S5524F-DC：100W工作環(huán)境溫度0～45℃工作環(huán)境相對濕度〔非凝露〕10%～90%防火墻產(chǎn)品概述：H3CSecPath防火墻/VPN是業(yè)界功能最全面、擴(kuò)展性最好的防火墻/VPN產(chǎn)品，集成防火墻、VPN和豐富的網(wǎng)絡(luò)特性，為用戶提供平安防護(hù)、平安遠(yuǎn)程接入等功能。H3CSecPathF1000系列防火墻，支持外部攻擊防范、內(nèi)網(wǎng)平安、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的平安；采用ASPF〔ApplicationSpecificPacketFilter〕應(yīng)用狀態(tài)檢測技術(shù)，可對連接狀態(tài)過程和異常命令進(jìn)行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的平安管理；支持多種VPN業(yè)務(wù)，如L2TPVPN、GREVPN、IPSecVPN、動態(tài)VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形及多種隊(duì)列調(diào)度策略。產(chǎn)品特點(diǎn)：擴(kuò)展性最強(qiáng)基于H3C先進(jìn)的OAA開放應(yīng)用架構(gòu)，SecPath防火墻能靈活擴(kuò)展病毒防范、網(wǎng)絡(luò)流量監(jiān)控和SSLVPN等硬件業(yè)務(wù)模塊，實(shí)現(xiàn)2-7層的全面平安。強(qiáng)大的攻擊防范能力能防御DoS/DDoS攻擊〔如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等〕、ARP欺騙攻擊、TCP報(bào)文標(biāo)志位不合法攻擊、LargeICMP報(bào)文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時(shí)支持黑名單、MAC綁定、內(nèi)容過濾等先進(jìn)功能。增強(qiáng)型狀態(tài)平安過濾支持根底、擴(kuò)展和基于接口的狀態(tài)檢測包過濾技術(shù)；支持H3C特有ASPF應(yīng)用層報(bào)文過濾協(xié)議，支持對每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測并動態(tài)地過濾數(shù)據(jù)包，支持對應(yīng)用層協(xié)議的狀態(tài)監(jiān)控。豐富的VPN特性集成IPSec、L2TP、GRE和SSL等多種成熟VPN接入技術(shù)，保證移動用戶、合作伙伴和分支機(jī)構(gòu)平安、便捷的接入。應(yīng)用層內(nèi)容過濾可以有效的識別網(wǎng)絡(luò)中各種P2P模式的應(yīng)用，并且對這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬；支持郵件過濾，提供SMTP郵件地址、標(biāo)題、附件和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTPURL和內(nèi)容過濾。全面NAT應(yīng)用支持提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、EasyIP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能。全面的認(rèn)證效勞支持本地用戶、RADIUS、TACACS等認(rèn)證方式，支持基于PKI/CA體系的數(shù)字證書〔X.509格式〕認(rèn)證功能。支持基于用戶身份的管理，實(shí)現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，并且支持用戶視圖分級，對于不同級別的用戶賦予不同的管理配置權(quán)限。集中管理與審計(jì)提供各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)功能、郵件告警功能。產(chǎn)品規(guī)格：屬性說明運(yùn)行模式路由模式透明模式混合模式網(wǎng)絡(luò)平安性AAA效勞RADIUS認(rèn)證HWTACACS認(rèn)證PKI/CA〔X.509格式〕認(rèn)證域認(rèn)證CHAP驗(yàn)證PAP驗(yàn)證防火墻包過濾根底和擴(kuò)展的訪問控制列表基于接口的訪問控制列表基于時(shí)間段的訪問控制列表動態(tài)包過濾ASPF應(yīng)用層報(bào)文過濾l

應(yīng)用層協(xié)議：FTP、HTTP、SMTP、RTSP、H.323〔Q.931，H.245，RTP/RTCP〕l

傳輸層協(xié)議：TCP、UDP抗攻擊特性Land/Smurf/Fraggle/WinNuke/PingofDeath/TearDrop/IPSpoofing/ARP欺騙攻擊防范/TCP報(bào)文標(biāo)志位不合法攻擊防范/超大ICMP報(bào)文攻擊防范/地址/端口掃描的防范防病毒DoS/DDoS攻擊防范

CC、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARPFlood等TCPProxy功能ICMP重定向或不可達(dá)報(bào)文控制功能Tracert報(bào)文控制功能帶路由記錄選項(xiàng)IP報(bào)文控制功能靜態(tài)和動態(tài)黑名單功能MAC和IP綁定功能透明防火墻基于MAC的訪問控制列表支持802.1qVLAN透傳郵件/網(wǎng)頁/應(yīng)用層過濾郵件過濾網(wǎng)頁過濾應(yīng)用層過濾JavaBlockingActiveXBlockingSQL注入攻擊防范平安日志及統(tǒng)計(jì)用戶行為流日志NAT轉(zhuǎn)換日志攻擊實(shí)時(shí)日志黑名單日志地址綁定日志流量告警日志流量統(tǒng)計(jì)和分析功能全局/基于平安域連接數(shù)率監(jiān)控全局/基于平安域協(xié)議報(bào)文比例監(jiān)控平安事件統(tǒng)計(jì)功能E-MAIL郵件實(shí)時(shí)告警功能E-MAIL郵件定期信息發(fā)布功能NAT支持多個(gè)內(nèi)部地址映射到同一個(gè)公網(wǎng)地址支持多個(gè)內(nèi)部地址映射到多個(gè)公網(wǎng)地址支持內(nèi)部地址到公網(wǎng)地址一一映射支持源地址和目的地址同時(shí)轉(zhuǎn)換支持外部網(wǎng)絡(luò)主機(jī)訪問內(nèi)部效勞器支持內(nèi)部地址直映射到接口公網(wǎng)IP地址支持DNS映射功能可配置支持地址轉(zhuǎn)換的有效時(shí)間支持多種NATALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等VPNL2TPVPN/GREVPN/IPSecVPN/SSLVPN/DVPN網(wǎng)絡(luò)互連局域網(wǎng)協(xié)議Ethernet_IIEthernet_SNAP802.1qVLAN鏈路層協(xié)議PPPoE網(wǎng)絡(luò)協(xié)議IP效勞ARP域名解析IPUNNUMBEREDDHCP中繼DHCP效勞器DHCP客戶端IP路由靜態(tài)路由RIPv1/2OSPFBGP路由策略策略路由高可靠性雙機(jī)狀態(tài)熱備，Active/Active和Active/Passive兩種工作模式，支持負(fù)載分擔(dān)和業(yè)務(wù)備份關(guān)鍵部件冗余設(shè)計(jì)接口模塊熱插拔機(jī)箱溫度自動檢測效勞質(zhì)量保證〔QoS〕流量監(jiān)管CAR擁塞管理FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ擁塞防止WRED流量整形GTS接口速率限制LR配置管理命令行接口通過Console口進(jìn)行本地配置通過Telnet或SSH進(jìn)行本地或遠(yuǎn)程配置配置命令分級保護(hù)，確保未授權(quán)用戶無法侵入設(shè)備提供全中文的提示和幫助信息詳盡的調(diào)試信息，幫助診斷網(wǎng)絡(luò)故障提供網(wǎng)絡(luò)測試工具，如Tracert、Ping、HWPing命令等，迅速診斷網(wǎng)絡(luò)是否正常用Telnet命令直接登錄并管理其它設(shè)備FTPServer/Client，可以使用FTP下載、上載配置文件和應(yīng)用程序支持TFTP上傳下載文件支持日志功能文件系統(tǒng)管理User-interface配置，提供對登錄用戶多種方式的認(rèn)證和授權(quán)功能支持標(biāo)準(zhǔn)網(wǎng)管SNMPv3，并且兼容SNMPv2c、SNMPv1支持NTP時(shí)間同步支持Web方式進(jìn)行遠(yuǎn)程配置管理支持H3CBIMS系統(tǒng)進(jìn)行設(shè)備管理支持H3CVPNManager系統(tǒng)進(jìn)行VPN業(yè)務(wù)管理和監(jiān)控接入交換機(jī)產(chǎn)品概述：H3CS3100-26TP-EI交換機(jī)是H3C公司為構(gòu)建高平安、高智能網(wǎng)絡(luò)需求而專門設(shè)計(jì)的新一代以太網(wǎng)交換機(jī)產(chǎn)品，在滿足高性能接入的根底上，提供更全面的平安接入策略和更強(qiáng)的網(wǎng)絡(luò)管理維護(hù)易用性，是理想的平安易用接入層交換機(jī)。產(chǎn)品特點(diǎn)：全面的接入平安策略H3CS3100-26TP-EI交換機(jī)支持EAD〔端點(diǎn)準(zhǔn)入防御〕功能，配合后臺系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端平安措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)平安措施整合為一個(gè)聯(lián)動的平安體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興平安威脅的整體防御能力。H3CS3100-26TP-EI交換機(jī)支持特有的ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報(bào)文實(shí)施日趨盛行的“ARP欺騙攻擊”，對不符合DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。同時(shí)支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕私設(shè)DHCP效勞器，保證DHCP環(huán)境的真實(shí)性和一致性。H3CS3100-26TP-EI交換機(jī)支持端口平安特性族，可以有效防范基于MAC地址的攻擊。可以實(shí)現(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個(gè)端口允許的MAC地址的最大數(shù)量，使得某個(gè)特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由交換機(jī)動態(tài)學(xué)習(xí)。H3CS3100-26TP-EI交換機(jī)有強(qiáng)大硬件ACL能力，能深度識別報(bào)文，支持L2～L4包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN、VLAN范圍等定義ACL，以便交換機(jī)進(jìn)行后續(xù)的處理。并且支持基于端口、VLAN、全局定義和下發(fā)ACL策略H3CS3100-26TP-EI交換機(jī)支持集中式MAC地址認(rèn)證和認(rèn)證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標(biāo)識元素的動態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略〔VLAN、QoS、ACL〕的動態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。支持對Proxy進(jìn)行有效的管理。增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3CS3100-26TP-EI交換機(jī)支持通過FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級，支持SNMPv1/v2/v3，可支持OpenView等通用網(wǎng)管平臺，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，Telnet，HGMP集群管理，使設(shè)備管理更方便。H3CS3100-26TP-EI交換機(jī)支持跨交換機(jī)的遠(yuǎn)程端口鏡像RSPAN，可以將接入端口的流量鏡像到核心交換機(jī)上，可以對全網(wǎng)業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控，滿足園區(qū)網(wǎng)精細(xì)化管理的需要。H3CS3100-26TP-EI交換機(jī)支持VCT〔VirtualCableTest〕電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持DLDP〔DeviceLinkDetectionProtocol〕單向鏈路檢測協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給用戶。高性能與靈活擴(kuò)展能力H3CS3100-26TP-EI交換機(jī)具有的背板交換容量，支持所有端口線速轉(zhuǎn)發(fā)，滿足了用戶對高帶寬的需求。設(shè)備支持2個(gè)GE上行，采用2個(gè)固定10/100/1000兆自適應(yīng)電口和2個(gè)復(fù)用的通用SFP端口，并且SFP端口既可以支持百兆光模塊，也可以支持千兆光模塊，在降低用戶本錢的同時(shí)，更好的考慮了用戶后續(xù)升級的實(shí)際需求。H3CS3100-26TP-EI交換機(jī)采用專利技術(shù)，允許交換機(jī)利用專用互聯(lián)電纜實(shí)現(xiàn)多達(dá)16臺設(shè)備的堆疊，最大擴(kuò)展至384個(gè)10/100M端口，支持不同端口設(shè)備的混合堆疊。具有即插即用、單一IP管理。同時(shí)大大降低系統(tǒng)擴(kuò)展的本錢，保護(hù)了用戶投資。豐富的業(yè)務(wù)支持能力H3CS3100-26TP-EI交換機(jī)PoE機(jī)型支持PoE〔PoweroverEthernet〕技術(shù)，通過以太網(wǎng)對所連接的設(shè)備〔如IPPhone,WirelessAP等〕進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場為設(shè)備部署單獨(dú)的電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和管理本錢。H3CS3100-26TP-EI交換機(jī)支持SP〔StrictPriority〕、WRR〔WeightedRoundRobin〕、SP+WRR三種隊(duì)列調(diào)度算法，支持每個(gè)端口4個(gè)輸出隊(duì)列，可以以不同的優(yōu)先級將報(bào)文放入端口的輸出隊(duì)列。產(chǎn)品規(guī)格：工程S3100-26TP-EI外形尺寸〔長×寬×高〕(單位：mm)重量<3.0kg固定端口24個(gè)10/100Base-TX以太網(wǎng)端口；2個(gè)10/100/1000Base-T以太網(wǎng)端口和2個(gè)復(fù)用的100/1000Base-XSFP端口可用模塊

SFP-FE-SX-MM1310-A

SFP-FE-LX-SM1310-A

SFP-GE-SX-MM850-A

SFP-GE-LX-SM1310-A

SFP-STACK-Kit

SFP-GE-LX-SM1310-BIDI

SFP-GE-LX-SM1490-BIDI管理端口1個(gè)Console口PoE遠(yuǎn)程供電不支持電源AC：

額定電壓范圍：100V～240VAC；50～60Hz

最大電壓范圍：90～264VAC；47Hz～63Hz整機(jī)最大功耗整機(jī)最大功耗：17W工作環(huán)境溫度0℃～45℃工作環(huán)境相對濕度〔非凝露〕10%～90%

H3CS3100-EI系列交換機(jī)業(yè)務(wù)特性特性S3100-26TP-EI線速二層交換交換容量包轉(zhuǎn)發(fā)率交換模式存儲轉(zhuǎn)發(fā)模式〔StoreandForward〕端口支持流控〔全雙工〕支持基于端口帶寬百分比的播送風(fēng)暴抑制MAC地址支持8KMAC支持黑洞MAC支持設(shè)置端口MAC學(xué)習(xí)最大個(gè)數(shù)端口會聚支持LACP支持手工聚合支持最大端口聚合組：端口數(shù)/2，每個(gè)聚合組最大支持8個(gè)端口VLAN支持基于端口的VLAN〔4K個(gè)〕支持基于協(xié)議的VLAN支持VoiceVLAN支持GVRP支持VLANVPN〔QinQ〕，靈活QinQ支持基于端口和全局的VLANMapping二層環(huán)網(wǎng)協(xié)議支持STP/RSTP/MSTP支持SmartLink堆疊最大支持16臺設(shè)備堆疊組播IGMPSnoopingv1/v2/v3組播VLAN鏡像支持N:1端口鏡像支持RSPAN支持流鏡像QoS/ACL支持ACL支持L2～L4包過濾功能，可以匹配報(bào)文前80個(gè)字節(jié)，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN等定義ACL。支持基于端口、VLAN、全局下發(fā)ACL支持基于時(shí)間段〔TimeRange〕的ACL支持QoS每個(gè)端口支持4個(gè)輸出隊(duì)列支持優(yōu)先級支持端口隊(duì)列調(diào)度〔SP、WRR、SP+WRR〕支持基于流的包過濾支持基于流的流量統(tǒng)計(jì)支持基于流的重定向支持基于流的優(yōu)先級標(biāo)記支持基于流的限速支持流量整形平安特性用戶分級管理和口令保護(hù)支持GuestVLAN支持認(rèn)證/集中MAC地址認(rèn)證支持AAA&RADIUS&HWTACACS認(rèn)證支持MAC地址學(xué)習(xí)數(shù)目限制支持MAC地址黑洞支持支持EAD〔端點(diǎn)準(zhǔn)入防御〕支持IP源地址保護(hù)支持ARP入侵檢測功能支持ARP報(bào)文限速功能支持端口隔離支持IP＋端口的綁定支持IP+MAC的綁定支持端口＋MAC的綁定支持IP+MAC+端口的綁定DHCP支持DHCPclient支持DHCPSnooping支持DHCPSnoopingtrust支持DHCPSnoopingoption82管理與維護(hù)支持XModem/FTP/TFTP加載升級支持命令行接口〔CLI〕，Telnet，Console口進(jìn)行配置支持HGMPv2集群管理支持SNMPv1/v2/v3，WEB網(wǎng)管支持RMON1，2，3，9組MIB支持H3CiMC智能管理中心支持系統(tǒng)日志，分級告警支持PING、Tracerout