华为网络综合解决方案策划

华为网络综合解决方案策划

项目编号:

华为网络整体解决方案

优质文档

目录

1概述..........................................................................4

2企业网络建设设计原则.........................................................5

3华为产品解决方案.............................................................7

3.1整体架构谢十.........................................................7

3.1.1总体网络架构.....................................................7

3.1.2有线网珞解决方案................................................8

3.1.2.1核心层网络设计..............................................9

3.1.2.2汇聚层网络设计..............................................9

3.1.23接入层网络设计...........................................10

3.1.3数据中心解决方案...............................................10

3.1.4无线网络解决方案...............................................11

3.1.4.1无线网络的建设需求.........................................11

3.1.4.2无爱网络解决方案...........................................14

3.2高可靠性设计.......................................................18

3.2.1网络高可靠性设计...............................................18

3.2.2设备高可靠性设计...............................................18

3.2.2.1重要部件冗余...............................................18

3.2.2.2设备自身安全..............................................19

3.3安全方案设计........................................................21

33.1园区网安全方案总体设计.........................................21

3.3.2园区内网安全设计...............................................21

3.3.2.1防IP/MAC地址盗用和ARP中间人攻击.....................21

33.2.2防IP/MAC地址扫描攻击....................................23

3.3.23广潘/组播报文抑制.........................................25

3.3.3园区网边界防御.................................................26

3.3.4园区网出口安全.................................................27

3.3.5无线安全谢十...................................................28

3.3.5.1无线局域网的安全威胁......................................29

33.5.2华为无线网络的安全策略....................................30

4设备介绍.....................................................

4.1Quidway@S9300系列交换机........................

4.2Quidway@S7700系列交换机........................

4.3Quidway@S5700系列交换机.......................................32

4.4无线控制器WS6603....................................................................................41

1概述

企业园区网络承载企业所有IT基础设施和企业所有上层软件应用，对一个

企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视，

传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中，还是在公司

的咖啡厅、待客室，今天的用户都需要方便地获取各种网络服务。

一个典型的企业园区网络通常由楼宇办公网络、数据中心、Internet出口、

以将这四部分互联起来的主干网络组成，其中办公网络可分为有线网络和无线网

络。在规划与建设一个企业园区网络的时候，这些部分都要充分考虑。

同时，企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问

题，如何构建一个保障企业未来5~10年扩展，同时兼顾设备的投资保护的企业

园区网络，困扰着每一位企业CIOo

华为企业园区网解决方案结合了高性能的路由、交换基础设施和提升安全、

可靠等特性，可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业

园区网络。

2企业网络建设设计原则

在网络建设项目中，我们应该遵循以下设计原则：

1）合理性、整体性原则

系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电

子数据鉴定的需求是系统建设的首要原则。

•深入调研，全力做好网络与信息系统安全检测、监测和认证的需求分析,

这是系统成败的关键；

•充分考虑已有资源（软硬件设备及人员）合理利用，避免出现不必要的

浪费；

•系统建设尽可能模拟国内外最常用的几种网络应用模式。

•系统建设要有一定的前瞻性。在网络建成后的3-5年之内，不会由于业

务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的

应用水平,避免技术环境过于超前造成投资浪费。

2）标准化原则

为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管

理性，应建立一个开放的、遵循国际标准的网络系统。

•建设的方案要科学、正确、严谨、且现实可行；

•采用的先进技术应是成熟的、经过实践证明是成功的技术；

・选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商

的产品

3）先进性原则

系统建设应充分考虑网络通信技术和互联网技术的发展，建设是循序渐进

的，初期重点应在网络基础环境和基本系统上：

•系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境；

•系统实现采用先进的网络技术、网络安全检测技术。

4）安全可靠性原则

本系统具有特殊性，因此安全保密性非常复杂。系统要有极强的自我保护能

力。

・选用具有C2安全级或B1安全级的系统软件平台；

•配置功能齐全、可视化程度高的网管系统，对网络运行情况进行实时监

督和控制；

•采取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。

5）可管理性原则

随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控和维护，以

及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护，本

方案将提供先进而完善的网络管理系统。这样，即方便网络管理员的工作，减轻

了劳动强度，也提高了网络系统的管理程度。

6）灵活、可伸缩性原则

为适应因特网和互联网络技术的发展，系统必须具有开放性和可扩充性。除

单个设备本身的扩展能力之外，在网络系统的设计过程中，还需要考虑整个网络

系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求，又能

满足今后整个计算机系统的发展需要。

•应用软件设计要采用结构化和模块设计方法，使系统逻辑结构清晰、易

读，在功能的划分和设计时，使各模块尽可能相对独立、减少相关性以

易于扩充、维护和修改。

•网络系统要具有异种设备的异种网络的互联互通能力，以达到保护已有

资源并能与其他信息系统交流信息的目的。

7）绿色节能原则

随着数据中心的不断壮大，数据中心的电费不断增长,目前，通信/IT设备

节能是降低能耗的基础，采用底能耗的设备是节能减排最主要的途径。

3华为产品解决方案

3.1整体架构设计

3.1.1总体网络架构

整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体

化和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化

的设计方法，组网图如下所示：

培训中心办公楼A办公楼B职工公寓

网络架构

整个网络的设计方案采用层次化、模块化的设计思路，按照接入层、汇聚层、

核心层和出口层进行网络设备设计部署，通过模块化或者购买单独设备的方式提

供WLANAC控制器，在汇聚层交换机，提供防火墙、负载均衡器等增值业务

功能，满足企业日益增长的业务需求。

整个网络的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余

备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核

心交换机，交换机之间采用TRUNK链路保证链路级可靠性。

3.1.2有线网络解决方案

整个网络层次建议采用业界成熟的三层架构：接入、汇聚和核心，最后企业

园区通过出口层网络设备（路由器或交换机）连接到外网通过。

这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。

核心层网络设计

核心层交换机部署在园区核心机房中，汇聚各楼宇/区域之间的用户流量，

提供三层交换机功能，必须能够提供高速数据交换和路由快速收敛，要求具有较

高的可靠性、稳定性和易扩展性等。对于园区网核心层，应该在提供大容量、高

性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6,可为园区构建融合

业务的基础网络平台，进而帮助用户实现IT资源整合的需求。

所以建议核心层采用双机冗余备份的方式构造，消除单点故障，设备的关键

部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G

链路互联，达到高带宽、高转发性能的效果。

本次建议采用华为的S9300高性能交换机构造核心层，实现高性能的骨干

网络。华为S9300支持大容量、高转发性能，完全能够满足各网络的数据转发。

3.1.2.2汇聚层网络设计

汇聚层交换机的重要性也是比较高的，一般部署在楼宇独立的网络汇聚机柜

中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为

园区网的网关，终结园区网用户的二层流量，进行三层转发。当路由协议应用于

这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设

备的第一跳网关，能够承载校园园区融合业务的需求。

根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡器、

WLANAC控制器）或者旁挂独立的增值业务设备（如WLAN盒式AC等）,

为园区网用户提供增值业务。

汇聚层与核心层共同组建成骨干网络，所以汇聚设备的性能要求也是比较高

的，建议采用10G的链路互联，达到万兆骨干网络。

汇聚交换机需要提供高密度的GE接口，汇聚接入交换机的流量，通过10GE

接口接到核心交换机，推荐使用S9300系列交换机作为园区汇聚层交换机。

3.1.2.3接入层网络设计

接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（PC机或服

务器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机工

提供网络的第一级接入功能，一般完成简单的二层交换，安全、Qos都位

于这一层。对于园区网的接入层设备,建议采用千兆二层接入的方式，应该具有

线速二层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。

3.L3数据中心解决方案

数据中心的设计目标是实现高冗余、高带宽、高安全性、高可靠性等目的。

数据中心内的网络设备主要是：核心交换机、核心防火墙、核心路由器、负载均

衡设备。

核心交换机的主要功能是连接服务器，因此必须考虑企业未来的业务增长，

核心交换机必须具有很好的扩展性，随着以后网络的扩展，必须具有多个插槽，

以便以后网络扩展的时候能够增加网络模块。由于核心交换机在整个网络中具有

十分重要的地位，因此核交换机必须具有电信级的可靠性和稳定性，核心网络

对数据的快速转发速度要求很高，因此核心交换机需要具备高容量的交换带宽和

包转发速率。我们建议采用华为的S7700系列高性能交换机，采用双机双电源。

可实现万兆或者千兆接入，实现数据中心高转发性能的效果。并且可以通进扩展

防火墙模块等方面，实现数据中心的安全。

3.1.4无线网络解决方案

随着以太网的广泛应用，因特网的日益普及，以及移动终端的不断增加，人

们对移动IP接入的需求迅速增长。无线局域网WLAN(WirelessLocalArea

Network)作为有线以太网的延伸，一定程度上满足了这种需求。

由于无线网络的部署灵活性高，所以受到很多用户的青睐，整个无线网络，

WLAN解决方案可以运行在现有的有线企业网络的基础上，也可以采用一个独

立的网络。它为园区提供了具有部署方便性、安全性、可扩展性的无线网络，让

用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务。

我们建议采用华为的无线解决方案，在核心网络中部署一套无线控制器，无

线AP接入到接入层交换机上,各无线AP通过无线控制器统一管理。从而实现

易维护、易管理。

无线网络的建设需求

在无线网络建设中，为了解决大规模部署情况下的统一配置、调整问题，以

及射频的智能管理问题，现在无线网络建设普遍都采用了瘦AP建网模式。瘦

AP的另一个好处是实现了三层漫游环境下避免重新认证，从而使漫游切换时间

小于50ms。这对于企业的移动业务，尤其是对切换时间要求最苛刻的语音业务

意义重大。

然而，随着无线网络的发展，一些新的需求乜逐渐变得越来越强烈。主要有

以下几个方面：

稳定问题:

由于WLAN网络的组网设计包含无线控制器、接入交换机、无线接入点等

大量设备，在大部分情况下，还需要通过以太网解决供电问题，所有这些环节都

会影响校园无线网络的稳定性；同时由于无线信号的传播深受环境影响，多径等

问题导致无线信号在不同方向上存在非常复杂的衰减现象，实际的信号覆盖和理

想的信号衰减模型往往存在一定差异。所以如何实时根据环境动态调整无线接入

点的信道、发射功率等也是经常困扰无线校园管理人员的难题。

安全问题：

由于无线网络的特殊性，园区无线用户的安全问题就更加突出。对无线网络

的用户来说，所有有线网络存在的安全威胁和隐患都同样存在。同时，任何不可

信的无线设备可以在信号覆盖范围内进行网络接入的尝试,一定程度上也加副了

无线用户所面临的安全隐患。

无线网络的安全问题已经不再是单一的物理层安全，也包括了用户接入安

全、网络层安全、设备安全、安全管理等多个层面上，如何能使企业无线用户在

使用网络时能够像使用有线网络一样安全、可靠，正逐渐成为无线企业网络建设

所关注的核心。

管理问题：

相对于FATAP来说，虽然FITAP解决方案帮助网区管理人员实现了无线

网络的灵活安装与应用，但管理无线网络却仍然是一项非常耗时且麻烦的事情。

在无线园区网络环境中尤为如此。

传统的FITAP解决方案由无线控制器(AC)及无线接入点(FITAP)构成,

虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能，但是与有

线网络难于统一，无法在整个企业范围内实现用户管理及认证、服务质量控制和

安全策略实施等。因此，通常引入无线网络会降低安全性，整个网络管理起来比

较复杂，并且维护成本也比预期高。把网络作为一个整体，整合有线和无线网络,

实现统一的网络控制和管理，对于企业来说具有重要的意义。

扩展问题：

WLAN技术的发展日新月异，新技术、新标准层出不穷，除了呼之欲出的

802.11n，在教育行业一个重要的门槛技术是IPv6。所有的无线产品和解决方案

都要为未来的升级和应用做好准备。

应用问题:

随着WLAN技术的逐步成熟，市场上各种各样的WLAN终端如笔记本电

脑、PDA、双模手机、支持Wi-Fi的游戏机、即拍即传的数码相机如雨后春笋般

涌现出来，同时价格越来越低，普及程度越来越高，使得无线新业务在园区网中

的丰富应用成为可能。如何在无线网络这个开放的平台上开展丰富的业务是建设

者必须要考虑的问题。例如VoWiFi、无线监控等业务，解决了园区内部和各园

区之间通讯费用高、无线监控和无线多媒体教学的问题，让无线接入变得更有价

值。

3.1.4.2无线网络解决方案

管理中心

室内型热点无线底盖

I

华为无线网络解决方案有效实现了有线和无线网络的融合，通过统一的硬件

平台、统一的网络管理、统一的用户管理、统一的应用安全，为园区用户提供安

全的无线接入。根据用户需求，通过在华为系列交换机中加入无线控制器插卡或

者使用单独的无线控制器，就可为原有的有线网络提供无线支持，还可以像扩展

和管理传统有线网络一样，对无线网络进行扩展和管理。

可以收到无线信号的地方立即访问各种网络服务。

＞安全性、高QoS保障

华为园区网络WLAN解决方案从用户接入安全、网络安全、设备安全等多

个方面保障无线网络的安全,使园区用户安全可靠的使用WLAN网络。

用户接入安全：华为园区WLAN解决方案提供了多样化的用户接入认证以

及加密解决方案。无线接入认证主要支持基于MAC地址认证、802.1X认证、

Portal认证等保证用户安全合法的接入，支持WEP/TRIP/CCMP等加密措施防

范无线接入用户数据被盗。同时可以通过部署VLAN隔离、端口隔离等业务隔

离技术避免用户间相互影响。

网络安全：通过接入点对RF环境的不间断扫描和监控，防止企业受到未经

授权的不安全的WLAN接入点或恶意接入点的影响。

设备安全：无线接入点AP提供"零配置"功能，无需在设备保存业务配置,

仅启动的时候自动从无线控制器加载业务配置，这样可以避免设备丢失造成配置

泄漏而形成对无线网络的安全威胁。

园区WLAN解决方案可以通过虚拟AP&VLAN构建一个单独的访客网络为

客户、供应商等访客人士提供互联网服务访问权限。

对于不同SSID承载的用户业务，由于无线空口资源有限，若某个SSID流

量过大，比如访客访问Internet，则可能造成园区用户的不能正常访问无线网络

开展业务。因此基于SSID的限速，可以避免其中一种业务流量过大对其他业务

造成影响。

另外，基于快速漫游技术可以实现园区无线用户一次认证移动接入。用户移

动到新的接入点时，如果用户之前已经认证过，则用户此时无需再次通过安全认

证，直接接入，保证用户业务的连续性。

＞部署方便、扩展灵活

WLAN网络部署简化，安装便捷。WLAN的安装工作简单，它无需施工许

可证，不需要布线或开沟挖槽。设备的零配置部署功能可以在无线改造现有网络

的基础上轻松部署WLAN。

无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点。随着无线

网络的扩展，新添加的无线接入点能自动检测到无线控制器，并下载相应的配置

信息以及策略信息，无需任何手动操作。

＞统一的网络管理、智能运维

统一的网络管理设备可以实现有线无线网络的统一化管理，简易网络管理操

作，结合智能化的网络运维提升了网络管理效率C

无线接入点能够监控环境温度变化，当环境温度低于零下10℃时，启动加

热板，确保低温时的正常工作。而且无线接入点检测到电压将要无法供应的情况

下（复位或故障），上报该告警，描述最后的工作状态，方便故障定位。

＞稳定性

华为WLAN稳定性解决方案从无线控制器的可靠性，接入交换机供电的可

靠性、无线信号的可靠性这几方面入手，极大的提高了WLAN网络的可靠性；

在实际的使用情况来看，启用这些措施之后，WLAN的可靠性能够得到明显的

提升。

＞全面的PoE解决方案

PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输

数据的同时传输直流电。因为AP往往要求使用不间断电源（UPS）供应电力,

采用PoE设备，AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据

和电力，因此在使用PoE设备的情况下，所有的AP都使用一个UPS在PoE设

备端进行保护。如果不使用PoE设备，就需要给每个AP配一个UPS,而且还

需要在AP附近安装电源插座，增加了成本。因此使用PoE设备将大大降低设备

成本和管理成本。

PoE具有非常明显的优势，具体如下：

简化安装，降低成本，不需为每个网络设备单独提供数据和电力线缆。

灵活性提高，网络装置可被安装在任何位置,而不需靠近一个已存在的电源

输出口。

可靠性增强，有SNMP能力的PoE装置，可实施远程检测和控制，能有效

地处理或修理装置的耗电量和（或）失效故障。

3.2高可靠性设计

3.2.1网络高可靠性设计

针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型

园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。

接入层网络是二层网络，接入交换机与汇聚交换机之间通过Smart

Link/STP/RSTP/MSTP/RRPP保证网络可靠性，同时解决二层网络环路问题；

汇聚层交换机之间通过VRRP（BFDforVRRP）协议确定用户的主备网关，交

换机互联通过TRUNK链路，保证链路级可靠性f汇聚交换机与接入交换机之间

可通过DLDP协议检测光纤单向故障（单通故障工

园区网接入/汇聚/核心交换机通过虚拟化技术进行集群（或堆叠），将两台/

多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时才是高网络可靠性,

是未来高可靠性园区网的发展趋势。

3.2.2设备高可靠性设计

3.2.2.1重要部件冗余

设备本身要具有电信级5个9的可靠性，需要网络设备支持：

＞主控1:1备份

＞交换网1+1/1:1两种方式

＞DC电源1+1备份；AC电源1+1/2+2备份

＞模块化的风扇设计，高端配置支持单风扇失效

＞无源背板，高可靠性

＞独立的设备监控单元，和主控解耦

＞所有模块热插拔

＞完善的各种告警功能

＞设备管理1:1备份

3・2.2.2设备自身安全

如下图所示，随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越

来，但危害越来越大。

这就要求具有强大灵活的自身防护功能，以不变应万变的方法，才能抵挡日益

泛滥的网络攻击。

华为公司全系列园区网交换机(S9300/S7700/S5700/S3700/S2700)提

供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设

备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。

华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、

Land攻击、PingofDeath攻击、Teardrop攻击、ICMPFlood攻击、SYN

FLOOD攻击等。

另外，以太网交换机的MAC地址表作为二层报文转发的核心，在受到攻击

的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者通

过不停的发送MAC地址来刷新，填充交换机的MAC地址表，由于MAC地址

表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP

攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流

量。

华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口

/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描，并通过VLAN、IP、

MAC之间的任意绑定可防范ARP攻击（SAI/DAI功能工

华为全系列交换机支持黑洞MAC功能，园区交换机收到报文时比较报文目

的MAC地址，若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC

地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞MAC,从而将具

有该MAC地址的报文过滤掉，避免遭受攻击。

3.3安全方案设计

3.3.1园区网安全方案总体设计

网络监管:

ACL^量控制

DHCP服务器欺诈攻击防范।1边界防御

ARP欺栗攻击防范1I防火墙、IDS/IPS

接入安全：IP地址欺骑攻击防范1

终端安全接入控制（NAC）ARP限速功能«

用户隔离DHCP限速功能।

端口隔离MAC地址表容・攻击防护能力II例通I

I远程接入控制：IPSec/SSLVPNI

VPN接入

企业分支1

Internet

AMAN

接入层汇聚层

从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全

设计和安全防御，对企业内部进行安全区域划分、隔离和权限控制，对企业外部

用户访问进行安全控制、数据加密，防止恶意攻击。园区网全方位的安全设计方

案保证内部、外部用户访问园区网资源的安全性C

3.3・2园区内网安全设计

33.2.1防IP/MAC地址盗用和ARP中间人攻击

1）防IP/MAC地址盗用

DHCPSnooping技术是DHCP安全特性，通过建立和维护DHCP

Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域

的DHCP信息、。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP

地址、租用期、VLAN-ID接口等信息，DHCPSnooping绑定表可以基于DHCP

过程动态生成，也可以通过静态配置生成，此时需预先准备用户的IP地址、MAC

地址、用户所属VLANID、用户所属接口等信息。

园区交换机开启DHCP-Snooping后，会对DHCP报文进行侦听，并可以

从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地

址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任

端口。信任端口可以正常接收并转发DHCPOffer报文，而不信任端口会将接收

到的DHCPOffer报文丢弃。这样，可以完成交换机对假冒DHCPServer的屏

蔽作用，确保客户端从合法的DHCPServer获取IP地址。

2）防ARP中间人攻击

ARPtable

MACIP

0009:$b71:877e10.1.120

0010:a4aa:36db0

0009:Gb71:877e111^50

IP：0

MAC:0009:6b71:877eIP：0

MAC:0010:a4aa:36db

)hcpsnoopingbindingtable

lUcAddress[pAddress-ease(sec)FypeVLANInterface

D002:5547:bc34ID.1.1.203000ihcp-snooping1001/0/1

3010:a4aa:36dbID.1.1.502598dhcp-snooping1001/0/20

DynamicARPInspection(DAI)在交换机上基于DHCPSnooping技术提

供用户网关IP地址和MAC地址、VLAN和接入端口的绑定，并动态建立绑定

关系。对于用户终端没有使用DHCP动态获取IP地址的场景，可采用静态添加

用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP请求响应报文

中的源MAC、源IP是否可以匹配上述绑定表,不能匹配则认为是仿冒网关回应

的ARP响应报文,予以丢弃，从而可以有效实现防御ARP中间人/网关ARP仿

冒欺骗攻击行为。

3.3.2・2防IP/MAC地址扫描攻击

1)防IP扫描攻击

地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP

报文。当攻击者扫描网络设备的直连网段时，触发ARPmiss，使网络设备给该

网段下的每个地址发送ARP报文，地址不存在的话,还需要发送目的主机不可

达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU

和内存资源，可引起网络中断。

园区交换机支持IP地址扫描攻击的防护能力，收到目的IP是直连网段的报

文时，如果该目的地址的路由不存在,会发送一个ARP请求报文,并针对目的

地址下一条丢弃表项（弃后续所有目的地址为该直连网段的ARP报文），以防止

后续报文持续冲击如果有应答，则立即删除相应的丢弃表项,并添

CPU0ARP

加正常的路由表项；否则，经过一段时间后丢弃表项自动老化。这样，既防止直

连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。

在上述基础上，交换机还支持基于接口设置ARPmiss的速率。当接口上触

发的ARPmiss超过设置的阈值时，接口上的ARPmiss不再处理，直接丢弃°

如果用户使用相同的源IP进行地址扫描攻击，交换机还可以基于源IP做

ARPmiss统计。如果ARPmiss的速率超过设定的阈值，则下发ACL将带有此

源IP的报文进行丢弃，过一段时间后再允许通过。

2）防MAC地址扫描攻击

以太网交换机的MAC地址转发表作为二层报文转发的核心，在受到攻击的

时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者向攻

击目标网络发送大量的源MAC地址不断变化以太报文，园区交换机收到以太报

文会基于报文的源MAC学习填充二层MAC转发表项,由于MAC地址转发表

的规格有限，会因为MAC扫描攻击而很快填充满，无法再学习生成新的MAC

转发表，已学习的MAC表条目需通过老化方式删除，这样途径园区交换机大量

的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送，导致

园区网络中产生大量的二层广播报文，消耗网络带宽、引发网络业务中断异常。

交换机二层MAC转发表是全局共享资源，单板内各端口/VLAN共享一份

MAC转发表，华为园区交换机支持基于端口/VLAN的MAC学习数目限制，同

时支持MAC表学习速率限制，有效防御MAC地址扫描攻击行为。MAC学习

数目达到端口/VLAN上设置的阈值时，会进行丢弃/转发/告警等动作（动作策

略可定制、可叠加\另外通过园区交换机的MAC地址与端口绑定来限制跨端

口的MAC扫描攻击。

广播/组播报文抑制

攻击者不停地向园区网发送大量恶意的广播报文，恶意广播报文占据了大量

的带宽，传统的广播风暴抑制无法识别用户VLAN,将导致正常的广播流量一并

被交换机丢弃。园区网交换机需要识别恶意广播流量的VLANID,通过基于

VLAN的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基

于端口或VLAN限制广播报文流量百分比或速率阈值。

同时园区网交换机支持组播报文抑制，可基于端口限制组播报文流量百分比

或速率阈值。

3.3.3园区网边界防御

外网访问安全

Internet

IDS/IPS

数据中心网管中心

内网分区

安全控制

保障数据中心安全1

企业园区网边界防御分为两个部分:园区出口边界防御、园区内部边界防御。

园区出口连接Internet和企业WAN网的接入企业外部网路尤其Internet

网络，是各种攻击行为、病毒传播、安全事件引入的风险点，通过在企业出口部

署高性能防火墙设备、或者在核心交换机内置防火墙模块，可以很好的缓解风险

的传播，阻挡来自Internet/企业外部网络攻击行为的发生。企业园区出口位置

部署的独立防火墙设备（或核心交换机内置的防火墙模块），需要满足高性能、

高可靠、高安全的要求，是企业园区网的第一道安全屏障。

园区内部边界防御是将企业内部划分为多个区域，分为信任区域和非信任区

域，分别实施不同的安全策略，包括部署区域间隔离、受限访问、防止来自区域

内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块（单板）

来实现园区内部的边界防御功能。

园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内

部，都必须支持灵活的业务流控制策略配置，能把特定的流量引到防火墙进行处

理，其他流量进行旁路。

防火墙本身需要保证高可靠性，需要考虑防火墙的冗余设计，支持

Active/ActiveHA设计方式，即交换机内集成的多块防火墙板卡支持负载分担

和主备模式,不同交换机内的防火墙支持Active/Active模式，同时能够处理流

量。

3.3.4园区网出口安全

随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构以及

商业合作伙伴逐步增多，如何将这些小型的办公网络和企业总部网络进行经济灵

活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，

优化商业运作效率，成为企业IT网络设计亟待解决的问题；大量普及的SOHO

网络、小型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。

企业出口设备可以是路由

器，也可以是交换机

管理者

企业园区网出口设备是企业内部网络与外部网络的连接点，其安全保证能力

非常重要，企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,

VPN技术是企业传输数据非常理想的选择，因为VPN技术正式是为了解决在不

安全的Internet上安全传输机密信息，保证信息的完整性、可用性以及保密性,

包括IPSecVPN和SSLVPNO企业办事处、分支机构以及商业合作伙伴如果采

用主机VPN客户端接入企业总部网络，那么分之机构网络中的每个主机需要单

独拨号接入，VPN接入不可控造成内部网络安全隐患，同时也大量消耗企业总

部VPN网关隧道资源；如果采用单独的VPN网关与企业总部网关建立VPN隧

道，又面临投资过大的问题。需要有效解决企业分支机构VPN接入灵活性、安

全性和经济性之间的矛盾。

3.3.5无线安全设计

无线局域网（WLAN）具有安装便捷、使用灵活、经济节约、易于扩展等有

线网络无法比拟的优点。但是由于无线局域网开放访问的特点，使得攻击者能够

很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线局域网发展的最

重要因素。园区用户大多容易接受新鲜事物，虽然一方面对无线网络的需求不断

增长，但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使

用无线局域网犹豫不决。

目前有很多种无线局域网的安全技术，包括物理地址（MAC）过滤、服务

集标识符（SSID）匹配、有线对等保密（WEPI端口访问控制技术（IEEE802.1XX

WPA（Wi-FiProtectedAccess\IEEE802.11i等。面对如此多的安全技术，

应该选择哪些技术来解决无线局域网的安全问题，才能满足用户对安全性的要

求。

335.1无线局域网的安全威胁

利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产

品，它的安全隐患主要有以下几点：

＞未经授权使用网络服务

由于无线局域网的开放式访问方式，非法用户可以未经授权而擅自使用网络

资源，不仅会占用宝贵的无线信道资源，增加带宽费用，还会降低合法用户的服

务质量。

＞地址欺骗和会话拦截

在无线环境中，非法用户通过侦听等手段获得网络中合法站点的MAC地址

比有线环境中要容易得多，这些合法的MAC地址可以被用来进行恶意攻击。

另外，由于正EE802.il没有对AP身份进行认证，攻击者很容易装扮成合

法AP进入网络，并进一步获取合法用户的鉴别身份信息，通过会话拦截实现网

络入侵。

＞高级入侵

一旦攻击者侵入无线网络，它将成为进一步入侵其他系统的起点。多数学校

部署的WLAN都在防火墙之后，这样WLAN的安全隐患就会成为整个安全系

统的漏洞，只要攻破无线网络，整个网络就将暴露在非法用户面前。

33.5.2华为无线网络的安全策略

针对目前无线校园网应用中的种种安全隐患，华为的无线局域网产品体系能

够提供强有力的安全特性，除了传统无线局域网中的安全策略之外，还能够提供

更加精细的管理措施：

＞可靠的加密和认证、设备管理

能够支持目前802.11小组所提出的全部加密方式，包括高级WPA256位

力口密(AES),40/64位、128位和152位WEP共享密钥加密,WPATKIP,特

有的128位动态安全链路加密,动态会话密钥管理。

802.1X认证使用802.1XRADIUS认证和MAC地址联合认证，确保只有合

法用户和客户端设备才可访问网络。

支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器；通过本

地控制台或通过SSHv2或Telnet远程管理的命令行界面；并可通过无线局域

网管理系统进行集中管理。

＞用户和组安全配置

和传统的无线局域网安全措施一样，华为无线网络可以依靠物理地址

（MAC）过滤、服务集标识符（SSID）匹酿访问控制列表（ACL）来提供对

无线客户端的初始过滤，只允许指定的无线终端可以连接

APO

同时，传统无线网络也存在它的不足之处。首先，它的安全策略依赖于连接

到某个网络位置的设备上的特定端口，对物理端口和设备的依赖是网络工程的基

础。例如，子网、ACL以及服务等级（CoS）在路由器和交换机的端口上定义,

需要通过台式机的MAC地址来管理用户的连接。华为采用基于身份的组网功能,

可提供增强的用户和组的安全策略,针对特殊要求创建虚拟专用组（Vertual

PrivateGroup）,VLAN不再需要通过物理连接或端口来实施，而是根据用户和

组名来区分权限。

＞非法接入检测和隔离

华为无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP,使

管理员能更好地查看网络状况，提高对网络的能见度。非法AP通过引入更多的

流量来降低网络性能，通过尝试获取数据或用户名来危及网络安全或者欺骗网络

以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP,但是网

络规模越大就越容易受到攻击。

为了消除这种威胁，可以指定某些AP充当射频"卫士〃，其方法是扫描无

线局域网来查找非法AP位置，记录这些位置信息并采取措施以及为这些位置重

新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调

整引起射频干扰的其他来源，例如微波炉和无绳电话。

并且，射频监测配合基于用户身份的组网，不但可使用户在漫游时具有诸如

虚拟专用组成员资格、访问控制列表（ACL）、认证、漫游策略和历史、位置跟踪、

带宽使用以及其他授权等内容，还可告知管理人员哪些用户已连接、他们位于何

处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。

＞监视和告警

华为无线网络体系提供了实时操作信息，可以快速检测到问题，提高网络的

安全性并优化网络，甚至还可以定位用户。网络管理应用程序针对当今的动态业

务而设计，它提供了配置更改的自动告警功能。向导界面提供了即时提示，从而

使得管理员能够快速针对冲突做出更改。

通过使用软件的移动配置文件功能，管理者可以在用户或用户组漫游整个无

线局域网时控制其访问资源的位置。此外，位置策略能够根据用户的位置来阻止

或允许对特殊应用程序的访问。

3.4Quidway@S5700系列交换机

Quidway@S5700系列全千兆企业网交换机（以下简称S5700）,是华为

公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆

高性能以太网交换机。它基于新一代高性能硬件和华为公司统一的VRP®

（VersatileRoutingPlatform）平台，具备大容量、高密度千兆端口，可提供

万兆上行，充分满足客户对高密度千兆和万兆上行设备的需求，同时针对企业网

用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景，融合

了可靠、安全、绿色环保等先进技术，采用简单便利的安装维护手段，帮助客户

减轻网络规划、建设和维护的压力，助力企业搭建面向未来的IT网络。

S5700系列以太网交换机为盒式设备，机箱高度为1U,提供标准型（SI）

和增强型（EI）两种产品版本。标准型支持二层和基本的三层功能，增强型支持

复杂的路由协议和更为丰富的业务特性，包含型号如下：

S5700-24TP-SI-AC/DC.S5700-24TP-PWR-SI.S5700-48TP-SI-AC/DC.

S5700-48TP-PWR-SI.S5700-28C-SI.S5700-28C-EI.S5700-28C-EI-24S.

、

S5700-28C-PWR-EI.S5700-52C-SIS5700-52C-EI.S5700-52C-PWR-EIo

产品外观

S5700系列交换机包括如下款型：

产品外观描述

S5700-24TP-SI/PWR-SI

24个10/100/1000Base-T,

4个100/1000Base-X千兆

Combo口

仙.明....

S5700-24TP.SI分交流供电和直流供电两种

机型支持RPS12V冗余电源

支持USB口

vvwMMnHaa■■■■■■I*24个10/100/1000Base-T,

S570024TPPWRSI

4个100/1000Base-X千兆

Combo□

可插拔双电源，交流供电

支持POE+

支持USB口

S5700-48TP-SI/PWR-SI

AAAAAA•••••••••••・♦・！

WWWWVVWWVVVV；WWW.■■■■48个lO/lOO/lOOOBase-T,

S570048TP-SI

4个lOO/lOOOBase-X千兆

Combo口

分交流供电和直流供电两种

机型，支持RPS12V冗余电源

支持USB口

♦vwvvwww.wnn.nmn■■■■48个10/100/1000Base-T,

S570048TPPWRSI

4个100/1000Base-X千兆

Combo口

交流供电

支持POE+

支持USB口

S5700-28C-SI/EI/EI-24S/PWR-EI

24个10/100/1000Base-T,

1[A&AAAe....,・I.4个100/1000Base-X千兆

■■■■7HBB7

S570028C-SICombo口，上行支持4x

1000Base-XSFP、2xlOGESFP

+、4xlOGESFP+插卡

双电源，可插拔

支持USB口

24个10/100/1000Base-T

上行支持4xlOOOBase-XSFP、2

♦♦♦♦♦♦X1OGESFP+、4xlOGESFP+插

S5700-28CEI

卡

双电源，可插拔

24个100/1000Base-X,4

个10/100/1000Base-T千兆

Combo口，上行支持4x

SESSSSSMM；

S5700-28C-EI24S1000Bdse-XSFP、2xlOGESFP

+、4xlOGESFP+插卡，双电源