華為整體網(wǎng)絡(luò)解決方案-華為云計(jì)算解決方案體系結(jié)構(gòu)圖

1、華為整體網(wǎng)絡(luò)解決方案：華為云計(jì)算解決方案體 系結(jié)構(gòu)圖:華為網(wǎng)絡(luò)整體解決方案目錄1概述32 企業(yè)網(wǎng)絡(luò)建設(shè)設(shè)計(jì)原則43華為產(chǎn)品解決方案6 3.1整體架構(gòu)設(shè)計(jì)6 3.1.1總體網(wǎng)絡(luò)架構(gòu)6 3.1.2 有線網(wǎng)絡(luò)解決方案 7 核心層網(wǎng)絡(luò)設(shè)計(jì) 7 匯聚層網(wǎng)絡(luò)設(shè)計(jì)7 接入層網(wǎng)絡(luò)設(shè)計(jì) 8 3.1.3 數(shù)據(jù)中心解決方案8 3.1.4無線網(wǎng)絡(luò)解決方案 8 無線網(wǎng)絡(luò)的建設(shè)需求9 無線網(wǎng)絡(luò)解決方案11 3.2 高可靠性設(shè)計(jì)14 3.2.1網(wǎng)絡(luò)高可靠性設(shè)計(jì) 14 3.2.2設(shè)備高可靠性設(shè)計(jì)14重要部件冗余 14 設(shè)備自身安全 15 3.3 安全方案設(shè)計(jì)16 3.3.1園區(qū)網(wǎng)安全方案總體設(shè)計(jì)16 3.3.2 園區(qū)內(nèi)網(wǎng)安全

2、設(shè)計(jì) 17 防IP/MAC地址盜用和 ARP中間 人攻擊17 防IP/MAC地址掃描攻擊 18 廣 播/組播報(bào)文抑制 20 3.3.3 園區(qū)網(wǎng)邊界防御 20 3.3.4 園區(qū) 網(wǎng)由口安全21 3.3.5無線安全設(shè)計(jì)22 無線局域網(wǎng)的安全威脅23 華為無線網(wǎng)絡(luò)的安全策略23 4 設(shè)備介紹 25 4.1 Quidway ? S9300 系列交換機(jī) 25 4.2 Quidway? S7700 系列交換機(jī) 32 4.3 Quidway ? S5700 系歹U第1頁共56頁交換機(jī)37 4.4 無線控制器 WS6603 441概述 企業(yè)園區(qū)網(wǎng)絡(luò)承載企業(yè)所有 IT基礎(chǔ)設(shè)施和企業(yè)所有上層軟 件應(yīng)用，對一個(gè)企業(yè)

3、的重要性不言而喻。而且隨著企業(yè)對于提 高生產(chǎn)率、工作效率提升的重視，傳統(tǒng)的辦公方式也已存在諸 多不便。無論是在辦公桌前、會議室中，還是在公司的咖啡 廳、待客室，今天的用戶都需要方便地獲取各種網(wǎng)絡(luò)服務(wù)。一個(gè)典型的企業(yè)園區(qū)網(wǎng)絡(luò)通常由樓宇辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、Internet由口、以將這四部分互聯(lián)起來的主干網(wǎng)絡(luò)組 成，其中辦公網(wǎng)絡(luò)可分為有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)。在規(guī)劃與建設(shè) 一個(gè)企業(yè)園區(qū)網(wǎng)絡(luò)的時(shí)候，這些部分都要充分考慮。同時(shí)，企業(yè)園區(qū)網(wǎng)絡(luò)還面臨著新技術(shù)不斷涌現(xiàn)、企業(yè)應(yīng)用不斷增加的現(xiàn)實(shí)問題，如何構(gòu)建一個(gè)保障企業(yè)未來510年擴(kuò)展，同時(shí)兼顧設(shè)備的投資保護(hù)的企業(yè)園區(qū)網(wǎng)絡(luò)，困擾著每一位 企業(yè)CIO。華為企業(yè)園區(qū)網(wǎng)解決

4、方案結(jié)合了高性能的路由、交換基礎(chǔ) 設(shè)施和提升安全、可靠等特性，可協(xié)助企業(yè)構(gòu)建一個(gè)安全、可 靠、易接入、易擴(kuò)展、易管理的企業(yè)園區(qū)網(wǎng)絡(luò)。2企業(yè)網(wǎng)絡(luò)建設(shè)設(shè)計(jì)原則在網(wǎng)絡(luò)建設(shè)項(xiàng)目中，我們應(yīng)該遵循以下設(shè)計(jì)原則：第2頁共56頁1）合理性、整體性原則 系統(tǒng)建設(shè)的功能必須充分滿足網(wǎng)絡(luò)安全性檢測與分析、網(wǎng)絡(luò)安全性監(jiān)測和電子數(shù)據(jù)鑒定的需求 是系統(tǒng)建設(shè)的首要原則。l深入調(diào)研，全力做好網(wǎng)絡(luò)與信息系統(tǒng)安全檢測、監(jiān)測和認(rèn)證的需求分析，這是系統(tǒng)成敗的關(guān)鍵；l充分考慮已有資源（軟硬件設(shè)備及人員）合理利用，避免由現(xiàn)不必要的浪費(fèi)；l系統(tǒng)建設(shè)盡可能模擬國內(nèi)外最常用的幾種網(wǎng)絡(luò)應(yīng)用模式。l系統(tǒng)建設(shè)要有一定的前瞻性。在網(wǎng)絡(luò)建成后的3-5年

5、之內(nèi)，不會由于業(yè)務(wù)量的增加導(dǎo)致對網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的重大 調(diào)整。同時(shí)要考慮實(shí)際的應(yīng)用水平，避免技術(shù)環(huán)境過于超前造 成投資浪費(fèi)。2）標(biāo)準(zhǔn)化原則 為了保證用戶的網(wǎng)絡(luò)系統(tǒng)具有互操作性、 可用性、可靠性、可擴(kuò)充性、可管理性，應(yīng)建立一個(gè)開放的、 遵循國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)。l建設(shè)的方案要科學(xué)、正確、嚴(yán)謹(jǐn)、且現(xiàn)實(shí)可行；l采用的先進(jìn)技術(shù)應(yīng)是成熟的、經(jīng)過實(shí)踐證明是成功的技術(shù)；l選用的軟硬件平臺應(yīng)采用目前因特網(wǎng)和局域網(wǎng)上最常使用的軟硬件廠商的產(chǎn)品 3）先進(jìn)性原則系統(tǒng)建設(shè)應(yīng)充分考慮第3頁共56頁網(wǎng)絡(luò)通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，建設(shè)是循序漸進(jìn)的，初期 重點(diǎn)應(yīng)在網(wǎng)絡(luò)基礎(chǔ)環(huán)境和基本系統(tǒng)上：l系統(tǒng)可根據(jù)實(shí)際工作中的業(yè)務(wù)需求靈

6、活地結(jié)構(gòu)所需的網(wǎng) 絡(luò)與系統(tǒng)環(huán)境；l系統(tǒng)實(shí)現(xiàn)采用先進(jìn)的網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全檢測技術(shù)。4）安全可靠性原則本系統(tǒng)具有特殊性，因此安全保密性 非常復(fù)雜。系統(tǒng)要有極強(qiáng)的自我保護(hù)能力。l選用具有C2安全級或B1安全級的系統(tǒng)軟件平臺；l配置功能齊全、可視化程度高的網(wǎng)管系統(tǒng)，對網(wǎng)絡(luò)運(yùn)行 情況進(jìn)行實(shí)時(shí)監(jiān)督和控制；l采取訪問權(quán)限控制、設(shè)置密鑰、數(shù)據(jù)更新認(rèn)證等多種手 段保證數(shù)據(jù)安全。5）可管理性原則 隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和系統(tǒng)復(fù)雜程度的 增加，網(wǎng)絡(luò)的管理、監(jiān)控和維護(hù)，以及網(wǎng)絡(luò)故障的診斷和排除 變得越來越復(fù)雜。為了使網(wǎng)絡(luò)系統(tǒng)易于管理和維護(hù)，本方案將 提供先進(jìn)而完善的網(wǎng)絡(luò)管理系統(tǒng)。這樣，即方便網(wǎng)絡(luò)管理員的 工作，減輕了勞動(dòng)

7、強(qiáng)度，也提高了網(wǎng)絡(luò)系統(tǒng)的管理程度。6）靈活、可伸縮性原則 為適應(yīng)因特網(wǎng)和互聯(lián)網(wǎng)絡(luò)技術(shù)的 發(fā)展，系統(tǒng)必須具有開放性和可擴(kuò)充性。除單個(gè)設(shè)備本身的擴(kuò) 展能力之外，在網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)過程中，還需要考慮整個(gè)網(wǎng)絡(luò)第4頁共56頁 系統(tǒng)在未來幾年的擴(kuò)充能力和擴(kuò)充辦法。這樣才能即照顧目前 的應(yīng)用需求，又能滿足今后整個(gè)計(jì)算機(jī)系統(tǒng)的發(fā)展需要。l應(yīng)用軟件設(shè)計(jì)要采用結(jié)構(gòu)化和模塊設(shè)計(jì)方法，使系統(tǒng)邏 輯結(jié)構(gòu)清晰、易讀，在功能的劃分和設(shè)計(jì)時(shí)，使各模塊盡可能 相對獨(dú)立、減少相關(guān)性以易于擴(kuò)充、維護(hù)和修改。l網(wǎng)絡(luò)系統(tǒng)要具有異種設(shè)備的異種網(wǎng)絡(luò)的互聯(lián)互通能力， 以達(dá)到保護(hù)已有資源并能與其他信息系統(tǒng)交流信息的目的。7）綠色節(jié)能原則 隨著數(shù)

8、據(jù)中心的不斷壯大，數(shù)據(jù)中心的 電費(fèi)不斷增長，目前，通信/IT設(shè)備節(jié)能是降低能耗的基礎(chǔ)， 采用底能耗的設(shè)備是節(jié)能減排最主要的途徑。3華為產(chǎn)品解決方案 3.1整體架構(gòu)設(shè)計(jì)3.1.1 總體網(wǎng)絡(luò) 架構(gòu)整體網(wǎng)絡(luò)解決方案總體設(shè)計(jì)以高性能、高可靠性、高安 全性、有線無線一體化和統(tǒng)一的網(wǎng)管系統(tǒng)為原則，以及考慮到 技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法，組網(wǎng)圖如 下所示：網(wǎng)絡(luò)架構(gòu) 整個(gè)網(wǎng)絡(luò)的設(shè)計(jì)方案采用層次化、模塊化的設(shè) 計(jì)思路，按照接入層、匯聚層、核心層和由口層進(jìn)行網(wǎng)絡(luò)設(shè)備 設(shè)計(jì)部署，通過模塊化或者購買單獨(dú)設(shè)備的方式提供WLAN AC控制器，在匯聚層交換機(jī)，提供防火墻、負(fù)載均衡器等增值業(yè) 務(wù)功能，滿足企

9、業(yè)日益增長的業(yè)務(wù)需求。第5頁共56頁整個(gè)網(wǎng)絡(luò)的重要特征是不存在網(wǎng)絡(luò)單點(diǎn)故障，交換機(jī)設(shè)備 和鏈路都存在冗余備份，接入交換機(jī)與核心交換機(jī)通過雙規(guī)或 環(huán)網(wǎng)相連接，匯聚交換機(jī)雙規(guī)接入核心交換機(jī)，交換機(jī)之間采 用TRUNK1路保證鏈路級可靠性。有線網(wǎng)絡(luò)解決方案 整個(gè)網(wǎng)絡(luò)層次建議采用業(yè)界成 熟的三層架構(gòu)：接入、匯聚和核心，最后企業(yè)園區(qū)通過由口層 網(wǎng)絡(luò)設(shè)備（路由器或交換機(jī)）連接到外網(wǎng)通過。這種分層的網(wǎng)絡(luò)架構(gòu)，可以保證根據(jù)的業(yè)務(wù)需求，分別對 不同層次進(jìn)行擴(kuò)容。核心層網(wǎng)絡(luò)設(shè)計(jì) 核心層交換機(jī)部署在園區(qū)核心 機(jī)房中，匯聚各樓宇/區(qū)域之間的用戶流量，提供三層交換機(jī) 功能，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具

10、有 較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。對于園區(qū)網(wǎng)核心層，應(yīng) 該在提供大容量、高性能 L2/L3交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步 融合了硬件IPv6,可為園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺， 進(jìn)而幫助用戶實(shí)現(xiàn)IT資源整合的需求。所以建議核心層采用雙機(jī)冗余備份的方式構(gòu)造，消除單點(diǎn) 故障，設(shè)備的關(guān)鍵部分采用冗余模式。從而實(shí)現(xiàn)整個(gè)骨干網(wǎng)絡(luò) 的高可靠性。骨干層建議采用10G鏈路互聯(lián)，達(dá)到高帶寬、高轉(zhuǎn)發(fā)性能的效果。第6頁共56頁本次建議采用華為的 S9300高性能交換機(jī)構(gòu)造核心層，實(shí) 現(xiàn)高性能的骨干網(wǎng)絡(luò)。華為 S9300支持大容量、高轉(zhuǎn)發(fā)性能， 完全能夠滿足各網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)。匯聚層網(wǎng)絡(luò)設(shè)計(jì) 匯聚層交換機(jī)的重要性也是

11、比 較高的，一般部署在樓宇獨(dú)立的網(wǎng)絡(luò)匯聚機(jī)柜中，匯聚園區(qū)接 入交換機(jī)的流量，一般提供三層交換機(jī)功能，匯聚層交換機(jī)作 為園區(qū)網(wǎng)的網(wǎng)關(guān)，終結(jié)園區(qū)網(wǎng)用戶的二層流量，進(jìn)行三層轉(zhuǎn) 發(fā)。當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和 易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)，能 夠承載校園園區(qū)融合業(yè)務(wù)的需求。根據(jù)需要，可以在匯聚交換機(jī)上集成增值業(yè)務(wù)板卡（如防 火墻，負(fù)載均衡器、WLAN AC空制器）或者旁桂獨(dú)立的增值業(yè) 務(wù)設(shè)備（如 WLAN盒式AC等），為園區(qū)網(wǎng)用戶提供增值業(yè) 務(wù)。匯聚層與核心層共同組建成骨干網(wǎng)絡(luò)，所以匯聚設(shè)備的性 能要求也是比較高的，建議采用10G的鏈路互聯(lián)，達(dá)到萬兆骨干網(wǎng)

12、絡(luò)。匯聚交換機(jī)需要提供高密度的GE接口，匯聚接入交換機(jī)的流量，通過10GE接口接到核心交換機(jī)，推薦使用S9300系列交換機(jī)作為園區(qū)匯聚層交換機(jī)。第7頁共56頁接入層網(wǎng)絡(luò)設(shè)計(jì) 接入層交換機(jī)一般部署在樓道 的網(wǎng)絡(luò)機(jī)柜中，接入園區(qū)網(wǎng)用戶（PC機(jī)或服務(wù)器），提供二層交換機(jī)功能，也支持三層接入功能（接入交換機(jī)為三層交換 成）。提供網(wǎng)絡(luò)的第一級接入功能，一般完成簡單的二層交換， 安全、Qos都位于這一層。對于園區(qū)網(wǎng)的接入層設(shè)備，建議采 用千兆二層接入的方式，應(yīng)該具有線速二層交換、IRF智能彈性堆疊技術(shù)以及高級 QoS策略等功能。數(shù)據(jù)中心解決方案 數(shù)據(jù)中心的設(shè)計(jì)目標(biāo)是實(shí)現(xiàn)高 冗余、高帶寬、高安全性、高可靠性

13、等目的。數(shù)據(jù)中心內(nèi)的網(wǎng) 絡(luò)設(shè)備主要是：核心交換機(jī)、核心防火墻、核心路由器、負(fù)載 均衡設(shè)備。核心交換機(jī)的主要功能是連接服務(wù)器，因此必須考慮企業(yè) 未來的業(yè)務(wù)增長，核心交換機(jī)必須具有很好的擴(kuò)展性，隨著以 后網(wǎng)絡(luò)的擴(kuò)展，必須具有多個(gè)插槽，以便以后網(wǎng)絡(luò)擴(kuò)展的時(shí)候 能夠增加網(wǎng)絡(luò)模塊。由于核心交換機(jī)在整個(gè)網(wǎng)絡(luò)中具有十分重 要的地位，因此核心交換機(jī)必須具有電信級的可靠性和穩(wěn)定 性，核心網(wǎng)絡(luò)對數(shù)據(jù)的快速轉(zhuǎn)發(fā)速度要求很高，因此核心交換 機(jī)需要具備高容量的交換帶寬和包轉(zhuǎn)發(fā)速率。我們建議采用華 為的S7700系列高性能交換機(jī)，采用雙機(jī)雙電源。可實(shí)現(xiàn)萬兆第8頁共56頁 或者千兆接入，實(shí)現(xiàn)數(shù)據(jù)中心高轉(zhuǎn)發(fā)性能的效果。并且可

14、以通 進(jìn)擴(kuò)展防火墻模塊等方面，實(shí)現(xiàn)數(shù)據(jù)中心的安全。無線網(wǎng)絡(luò)解決方案 隨著以太網(wǎng)的廣泛應(yīng)用，因特 網(wǎng)的日益普及，以及移動(dòng)終端的不斷增加，人們對移動(dòng)IP接入的需求迅速增長。無線局域網(wǎng)WLAN(Wireless Local AreaNetwork )作為有線以太網(wǎng)的延伸，一定程度上滿足了這種需 求。由于無線網(wǎng)絡(luò)的部署靈活性高，所以受到很多用戶的青睞，整個(gè)無線網(wǎng)絡(luò)， WLAN解決方案可以運(yùn)行在現(xiàn)有的有線企 業(yè)網(wǎng)絡(luò)的基礎(chǔ)上，也可以采用一個(gè)獨(dú)立的網(wǎng)絡(luò)。它為園區(qū)提供 了具有部署方便性、安全性、可擴(kuò)展性的無線網(wǎng)絡(luò)，讓用戶可 以在園區(qū)中的任何可以收到無線信號的地方立即訪問各種網(wǎng)絡(luò) 服務(wù)。我們建議采用華為的無線解

15、決方案，在核心網(wǎng)絡(luò)中部署一套無線控制器，無線 AP接入到接入層交換機(jī)上，各無線AP通過無線控制器統(tǒng)一管理。從而實(shí)現(xiàn)易維護(hù)、易管理。無線網(wǎng)絡(luò)的建設(shè)需求 在無線網(wǎng)絡(luò)建設(shè)中，為了 解決大規(guī)模部署情況下的統(tǒng)一配置、調(diào)整問題，以及射頻的智 能管理問題，現(xiàn)在無線網(wǎng)絡(luò)建設(shè)普遍都采用了瘦AP建網(wǎng)模式。瘦AP的另一個(gè)好處是實(shí)現(xiàn)了三層漫游環(huán)境下避免重新認(rèn)第9頁共56頁 證，從而使漫游切換時(shí)間小于 50mso這對于企業(yè)的移動(dòng)業(yè) 務(wù)，尤其是對切換時(shí)間要求最苛刻的語音業(yè)務(wù)意義重大。然而，隨著無線網(wǎng)絡(luò)的發(fā)展，一些新的需求也逐漸變得越 來越強(qiáng)烈。主要有以下幾個(gè)方面：穩(wěn)定問題：由于WLA啊絡(luò)的組網(wǎng)設(shè)計(jì)包含無線控制器、接入交換

16、 機(jī)、無線接入點(diǎn)等大量設(shè)備，在大部分情況下，還需要通過以 太網(wǎng)解決供電問題，所有這些環(huán)節(jié)都會影響校園無線網(wǎng)絡(luò)的穩(wěn) 定性；同時(shí)由于無線信號的傳播深受環(huán)境影響，多徑等問題導(dǎo)致 無線信號在不同方向上存在非常復(fù)雜的衰減現(xiàn)象，實(shí)際的信號 覆蓋和理想的信號衰減模型往往存在一定差異。所以如何實(shí)時(shí) 根據(jù)環(huán)境動(dòng)態(tài)調(diào)整無線接入點(diǎn)的信道、發(fā)射功率等也是經(jīng)常困 擾無線校園管理人員的難題。安全問題：由于無線網(wǎng)絡(luò)的特殊性，園區(qū)無線用戶的安全問題就更加 突生。對無線網(wǎng)絡(luò)的用戶來說，所有有線網(wǎng)絡(luò)存在的安全威脅 和隱患都同樣存在。同時(shí)，任何不可信的無線設(shè)備可以在信號 覆蓋范圍內(nèi)進(jìn)行網(wǎng)絡(luò)接入的嘗試，一定程度上也加劇了無線用 戶所

17、面臨的安全隱患。第10頁共56頁無線網(wǎng)絡(luò)的安全問題已經(jīng)不再是單一的物理層安全，也包 括了用戶接入安全、網(wǎng)絡(luò)層安全、設(shè)備安全、安全管理等多個(gè) 層面上，如何能使企業(yè)無線用戶在使用網(wǎng)絡(luò)時(shí)能夠像使用有線 網(wǎng)絡(luò)一樣安全、可靠，正逐漸成為無線企業(yè)網(wǎng)絡(luò)建設(shè)所關(guān)注的 核心。管理問題：相對于FAT AP來說，雖然FIT AP解決方案幫助網(wǎng)區(qū)管理 人員實(shí)現(xiàn)了無線網(wǎng)絡(luò)的靈活安裝與應(yīng)用，但管理無線網(wǎng)絡(luò)卻仍 然是一項(xiàng)非常耗時(shí)且麻煩的事情。在無線園區(qū)網(wǎng)絡(luò)環(huán)境中尤為 如此。傳統(tǒng)的FIT AP解決方案由無線控制器（A。及無線接入 點(diǎn)（FIT AP）構(gòu)成，雖然整個(gè)無線網(wǎng)絡(luò)具有一些設(shè)備管理、安 全管理功能和用戶管理功能，但是與有

18、線網(wǎng)絡(luò)難于統(tǒng)一，無法 在整個(gè)企業(yè)范圍內(nèi)實(shí)現(xiàn)用戶管理及認(rèn)證、服務(wù)質(zhì)量控制和安全 策略實(shí)施等。因此，通常引入無線網(wǎng)絡(luò)會降低安全性，整個(gè)網(wǎng) 絡(luò)管理起來比較復(fù)雜，并且維護(hù)成本也比預(yù)期高。把網(wǎng)絡(luò)作為 一個(gè)整體，整合有線和無線網(wǎng)絡(luò)，實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)控制和管 理，對于企業(yè)來說具有重要的意義。擴(kuò)展問題：WLA聯(lián)術(shù)的發(fā)展日新月異，新技術(shù)、新標(biāo)準(zhǔn)層由不窮， 除了呼之欲生的802.11n ,在教育行業(yè)一個(gè)重要的門檻技術(shù)是第11頁共56頁IPv6 o所有的無線產(chǎn)品和解決方案都要為未來的升級和應(yīng)用做 好準(zhǔn)備。應(yīng)用問題：隨著WLA啦術(shù)的逐步成熟，市場上各種各樣的WLAf端如筆記本電腦、PDA雙模手機(jī)、支持 Wi-Fi的游戲

19、機(jī)、即拍 即傳的數(shù)碼相機(jī)如雨后春筍般涌現(xiàn)由來，同時(shí)價(jià)格越來越低， 普及程度越來越高，使得無線新業(yè)務(wù)在園區(qū)網(wǎng)中的豐富應(yīng)用成 為可能。如何在無線網(wǎng)絡(luò)這個(gè)開放的平臺上開展豐富的業(yè)務(wù)是 建設(shè)者必須要考慮的問題。例如 VoWiFi、無線監(jiān)控等業(yè)務(wù)， 解決了園區(qū)內(nèi)部和各園區(qū)之間通訊費(fèi)用高、無線監(jiān)控和無線多 媒體教學(xué)的問題，讓無線接入變得更有價(jià)值。無線網(wǎng)絡(luò)解決方案無線管理中心管理中心無 線交換機(jī) 運(yùn)營管理中心 室內(nèi)型熱點(diǎn)無線覆蓋辦公樓 室外型熱點(diǎn)無線覆蓋 職工公寓 園區(qū)有線骨干網(wǎng) PoE供電接入 無 線業(yè)務(wù)應(yīng)用移動(dòng)數(shù)據(jù)業(yè)務(wù)Wi-Fi語音漫游華為無線網(wǎng)絡(luò)解 決方案有效實(shí)現(xiàn)了有線和無線網(wǎng)絡(luò)的融合，通過統(tǒng)一的硬件

20、平 臺、統(tǒng)一的網(wǎng)絡(luò)管理、統(tǒng)一的用戶管理、統(tǒng)一的應(yīng)用安全，為 園區(qū)用戶提供安全的無線接入。根據(jù)用戶需求，通過在華為系 列交換機(jī)中加入無線控制器插卡或者使用單獨(dú)的無線控制器， 就可為原有的有線網(wǎng)絡(luò)提供無線支持，還可以像擴(kuò)展和管理傳 統(tǒng)有線網(wǎng)絡(luò)一樣，對無線網(wǎng)絡(luò)進(jìn)行擴(kuò)展和管理。第12頁共56頁可以收到無線信號的地方立即訪問各種網(wǎng)絡(luò)服務(wù)。?安全性、高QoS保障 華為園區(qū)網(wǎng)絡(luò) WLAN軍決方案從 用戶接入安全、網(wǎng)絡(luò)安全、設(shè)備安全等多個(gè)方面保障無線網(wǎng)絡(luò) 的安全，使園區(qū)用戶安全可靠的使用WLA啊絡(luò)。用戶接入安全：華為園區(qū) WLAN軍決方案提供了多樣化的 用戶接入認(rèn)證以及加密解決方案。無線接入認(rèn)證主要支持基于

21、MACM址認(rèn)證、802.1x認(rèn)證、Portal認(rèn)證等保證用戶安全合 法的接入，支持 WEP/TRIP/CCM解加密措施防范無線接入用戶 數(shù)據(jù)被盜。同時(shí)可以通過部署 VLAN隔離、端口隔離等業(yè)務(wù)隔 離技術(shù)避免用戶間相互影響。網(wǎng)絡(luò)安全：通過接入點(diǎn)對 RF環(huán)境的不間斷掃描和監(jiān)控， 防止企業(yè)受到未經(jīng)授權(quán)的不安全的WLANg入點(diǎn)或惡意接入點(diǎn)的影響。設(shè)備安全：無線接入點(diǎn) AP提供“零配置”功能，無需在 設(shè)備保存業(yè)務(wù)配置，僅啟動(dòng)的時(shí)候自動(dòng)從無線控制器加載業(yè)務(wù) 配置，這樣可以避免設(shè)備丟失造成配置泄漏而形成對無線網(wǎng)絡(luò) 的安全威脅。園區(qū)WLAN軍決方案可以通過虛擬 AP&VLAN勾建一個(gè)單獨(dú) 的訪客網(wǎng)絡(luò)為客戶、供

22、應(yīng)商等訪客人士提供互聯(lián)網(wǎng)服務(wù)訪問權(quán) 限。第13頁共56頁對于不同SSID承載的用戶業(yè)務(wù)，由于無線空口資源有 限，若奧個(gè)SSID流量過大，比如訪客訪問 Internet ,則可能 造成園區(qū)用戶的不能正常訪問無線網(wǎng)絡(luò)開展業(yè)務(wù)。因此基于 SSID的限速，可以避免其中一種業(yè)務(wù)流量過大對其他業(yè)務(wù)造 成影響。另外，基于快速漫游技術(shù)可以實(shí)現(xiàn)園區(qū)無線用戶一次認(rèn)證 移動(dòng)接入。用戶移動(dòng)到新的接入點(diǎn)時(shí)，如果用戶之前已經(jīng)認(rèn)證 過，則用戶此時(shí)無需再次通過安全認(rèn)證，直接接入，保證用戶 業(yè)務(wù)的連續(xù)性。?部署方便、擴(kuò)展靈活 WLAN網(wǎng)絡(luò)部署簡化，安裝便 捷。WLAN勺安裝工作簡單，它無需施工許可證，不需要布線 或開溝挖槽。設(shè)

23、備的零配置部署功能可以在無線改造現(xiàn)有網(wǎng)絡(luò) 的基礎(chǔ)上輕松部署 WLAN無線控制器能輕松的管理數(shù)個(gè)到數(shù)十個(gè)甚至上千個(gè)的無線 接入點(diǎn)。隨著無線網(wǎng)絡(luò)的擴(kuò)展，新添加的無線接入點(diǎn)能自動(dòng)檢 測到無線控制器，并下載相應(yīng)的配置信息以及策略信息，無需 任何手動(dòng)操作。?統(tǒng)一的網(wǎng)絡(luò)管理、智能運(yùn)維統(tǒng)一的網(wǎng)絡(luò)管理設(shè)備可以實(shí)現(xiàn)有線無線網(wǎng)絡(luò)的統(tǒng)一化管理，簡易網(wǎng)絡(luò)管理操作，結(jié)合 智能化的網(wǎng)絡(luò)運(yùn)維提升了網(wǎng)絡(luò)管理效率。第14頁共56頁無線接入點(diǎn)能夠監(jiān)控環(huán)境溫度變化，當(dāng)環(huán)境溫度低于零下 10c時(shí)，啟動(dòng)加熱板，確保低溫時(shí)的正常工作。而且無線接入 點(diǎn)檢測到電壓將要無法供應(yīng)的情況下（復(fù)位或故障），上報(bào)該 告警，描述最后的工作狀態(tài)，方便故障

24、定位。?穩(wěn)定性華為WLAN穩(wěn)定性解決方案從無線控制器的可 靠性，接入交換機(jī)供電的可靠性、無線信號的可靠性這幾方面 入手，極大的提高了 WLAN絡(luò)的可靠性；在實(shí)際的使用情況來看，啟用這些措施之后，WLAN勺可靠性能夠得到明顯的提升。?全面的PoE解決方案PoE設(shè)備的原理是通過非屏蔽雙 絞線中四對線中的兩對線來傳輸電源，傳輸數(shù)據(jù)的同時(shí)傳輸直 流電。因?yàn)锳P往往要求使用不間斷電源（UPS供應(yīng)電力，采 用PoE設(shè)備，AP端僅僅通過一根 RJ-45網(wǎng)線與網(wǎng)絡(luò)連接即可 以同時(shí)傳輸數(shù)據(jù)和電力，因此在使用PoE設(shè)備的情況下，所有的AP都使用一個(gè)UPS* PoE設(shè)備端進(jìn)行保護(hù)。如果不使用 PoE設(shè)備，就需要給每

25、個(gè) AP配一個(gè)UPS而且還需要在 AP附 近安裝電源插座，增加了成本。因此使用PoE設(shè)備將大大降低設(shè)備成本和管理成本。PoE具有非常明顯的優(yōu)勢，具體如下：簡化安裝，降低成本，不需為每個(gè)網(wǎng)絡(luò)設(shè)備單獨(dú)提供數(shù)據(jù) 和電力線纜。第15頁共56頁靈活性提高，網(wǎng)絡(luò)裝置可被安裝在任何位置，而不需靠近 一個(gè)已存在的電源輸由口?？煽啃栽鰪?qiáng)，有 SNM唯力的PoE裝置，可實(shí)施遠(yuǎn)程檢測 和控制，能有效地處理或修理裝置的耗電量和（或）失效故 障。3.2高可靠性設(shè)計(jì)3.2.1 網(wǎng)絡(luò)高可靠性設(shè)計(jì) 針對二層接 入（接入交換機(jī)是二層交換機(jī)、匯聚交換機(jī)作為用戶網(wǎng)關(guān)）典 型園區(qū)網(wǎng)架構(gòu)，從接入層、匯聚層、核心層來分層考慮網(wǎng)絡(luò)可 靠性

26、設(shè)計(jì)。接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機(jī)與匯聚交換機(jī)之間通 過Smart Link/STP/RSTP/MSTP/RRPP保證網(wǎng)絡(luò)可靠性，同時(shí)解 決二層網(wǎng)絡(luò)環(huán)路問題；匯聚層交換機(jī)之間通過 VRRP（ BFD for VRRP ）協(xié)議確定 用戶的主備網(wǎng)關(guān)，交換機(jī)互聯(lián)通過 TRUNK1路，保證鏈路級可 靠性，匯聚交換機(jī)與接入交換機(jī)之間可通過 DLD的議檢測光 纖單向故障（單通故障）。園區(qū)網(wǎng)接入/匯聚/核心交換機(jī)通過虛擬化技術(shù)進(jìn)行集群 （或堆疊），將兩臺/多臺交換機(jī)虛擬化成一臺交換機(jī)，降低 網(wǎng)絡(luò)拓?fù)鋸?fù)雜度的同時(shí)，提高網(wǎng)絡(luò)可靠性，是未來高可靠性園 區(qū)網(wǎng)的發(fā)展趨勢。第16頁共56頁3.2.2 設(shè)備高可靠性設(shè)

27、計(jì) 重要部件冗余 設(shè)備本 身要具有電信級5個(gè)9的可靠性，需要網(wǎng)絡(luò)設(shè)備支持 ：？主 控1:1備份？ 交換網(wǎng)1+1/1:1兩種方式 ？ DC電源1+1備 份；AC電源1+1/2+2備份？模塊化的風(fēng)扇設(shè)計(jì)，高端配置 支持單風(fēng)扇失效 ？無源背板，高可靠性？獨(dú)立的設(shè)備監(jiān)控單元，和主控解耦 ？所有模塊熱插拔 ？完善的各種告警功能？設(shè)備管理1:1備份 設(shè)備自身安全如下圖所 示，隨著黑客工具的泛濫和使用的方便，使的網(wǎng)絡(luò)攻擊的成本越來越來，但危害越來越大。這就要求具有強(qiáng)大靈活的自身防護(hù)功能，以不變應(yīng)萬變的方法，才能抵擋日益泛濫的網(wǎng)絡(luò)攻擊。華為公司全系列園區(qū)網(wǎng)交換機(jī)(S9300/S7700/S5700/S3700

28、/S2700 )提供攻擊防范功能，能 夠檢測由多種類型的網(wǎng)絡(luò)攻擊，并能采取相應(yīng)的措施保護(hù)設(shè)備 自身及其所連接的內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)及設(shè) 備的正常運(yùn)行。華為全系列交換機(jī)支持的攻擊防范功能包括防DDOS擊、IP欺騙攻擊、Land攻擊、Ping of Death 攻擊、 Teardrop 攻擊、ICMP Flood 攻擊、SYN FLOODS擊等。第17頁共56頁另外，以太網(wǎng)交換機(jī)的 MAO址表作為二層報(bào)文轉(zhuǎn)發(fā)的核 心，在受到攻擊的時(shí)候，直接導(dǎo)致交換機(jī)無法正常工作。發(fā)生 MACM址攻擊的時(shí)候，攻擊者通過不停的發(fā)送MACM址來刷新，填充交換機(jī)的 MACM址表，由于 MACM址表的規(guī)格有限

29、， 導(dǎo)致正常流量由于沒有正確的轉(zhuǎn)發(fā)表項(xiàng)而無法正常轉(zhuǎn)發(fā)。ARP攻擊與此類似，通過攻擊報(bào)文來更改MACW IP地址的綁定，從而重新定向流量。華為全系列交換機(jī)可以通過MA況址與端口的綁定以及限制端口 /VLAN/VSI下MACM址的最大學(xué)習(xí)個(gè)數(shù)可防止MACS描，并通過 VLAN IP、MAd間的任意綁定可防范 ARP攻擊 （SAI/DAI 功能）。華為全系列交換機(jī)支持黑洞MAC:能，園區(qū)交換機(jī)收到報(bào)文時(shí)比較報(bào)文目的 MAO址，若與黑洞 MAC1項(xiàng)相同則丟棄該 報(bào)文。當(dāng)用戶察覺到莫 MAO址的報(bào)文具有一定攻擊性，則可 以在園區(qū)交換機(jī)上配置黑洞 MAC從而將具有該 MAO址的報(bào) 文過濾掉，避免遭受攻擊。

30、3.3安全方案設(shè)計(jì)3.3.1 園區(qū)網(wǎng)安全方案總體設(shè)計(jì)從園區(qū)內(nèi)網(wǎng)安全、邊界防御、園區(qū)由口傳輸安全等多緯度、多層 次進(jìn)行安全設(shè)計(jì)和安全防御，對企業(yè)內(nèi)部進(jìn)行安全區(qū)域劃分、 隔離和權(quán)限控制，對企業(yè)外部用戶訪問進(jìn)行安全控制、數(shù)據(jù)加第18頁共56頁 密，防止惡意攻擊。園區(qū)網(wǎng)全方位的安全設(shè)計(jì)方案保證內(nèi)部、 外部用戶訪問園區(qū)網(wǎng)資源的安全性。3.3.2 園區(qū)內(nèi)網(wǎng)安全設(shè)計(jì) 防IP/MAC地址盜用和 ARP中間人攻擊1) 防IP/MAC地址盜用 DHCP Snooping技術(shù) 是DHCP全特性，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP言息，這些信息是指來自不信任區(qū)域的 DHCP言息,o

31、DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息，DHCP Snooping綁定表可以基于 DHCPi程動(dòng)態(tài)生成，也可以通過靜 態(tài)配置生成，此時(shí)需預(yù)先準(zhǔn)備用戶的IP地址、MACM址、用戶所屬VLAN ID、用戶所屬接口等信息。園區(qū)交換機(jī)開啟DHCP-Snooping后，會對DHC百艮文進(jìn)行 偵聽，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和 MACM址信息。另外， DHCP-Snooping允 許將莫個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可 以正常接收并轉(zhuǎn)發(fā) DHCP Offer報(bào)文，而不

32、信任端口會將接收 到的DHCP Offer報(bào)文丟棄。這樣，可以完成交換機(jī)對假冒 DHCP Server的屏蔽作用,確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。2)防 ARP中間人攻擊 Dynamic ARP Inspection (DAI) 在交換機(jī)上基于 DHCP Snooping技術(shù)提供用戶網(wǎng)關(guān)IP地址和第19頁共56頁MAO址、VLAN和接入端口的綁定，并動(dòng)態(tài)建立綁定關(guān)系。對于用戶終端沒有使用 DHCPS獲取IP地址的場景，可采用 靜態(tài)添加用戶網(wǎng)關(guān)相關(guān)信息的靜態(tài)綁定表。此時(shí)園區(qū)交換機(jī)檢 測過濾ARP青求響應(yīng)報(bào)文中的源 MAC源IP是否可以匹配上 述綁定表，不能匹配則認(rèn)為是仿冒網(wǎng)

33、關(guān)回應(yīng)的ARP響應(yīng)報(bào)文，予以丟棄，從而可以有效實(shí)現(xiàn)防御ARP中間人/網(wǎng)關(guān)ARP仿冒欺騙攻擊行為。防IP/MAC地址掃描攻擊 1） 防IP掃描攻擊 地 址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷 變化的IP報(bào)文。當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí)，觸發(fā) ARP miss,使網(wǎng)絡(luò)設(shè)備給該網(wǎng)段下的每個(gè)地址發(fā)送ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連 網(wǎng)段較大，攻擊流量足夠大時(shí)，會消耗網(wǎng)絡(luò)設(shè)備較多的CPLffl內(nèi)存資源，可引起網(wǎng)絡(luò)中斷。園區(qū)交換機(jī)支持IP地址掃描攻擊的防護(hù)能力，收到目的 IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會 發(fā)送一個(gè)ARP青求報(bào)文，

34、并針對目的地址下一條丟棄表項(xiàng)（棄 后續(xù)所有目的地址為該直連網(wǎng)段的ARF文），以防止后續(xù)報(bào)文持續(xù)沖擊CPU如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表 項(xiàng)，并添加正常的路由表項(xiàng)；第20頁共56頁否則，經(jīng)過一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣，既防止 直連網(wǎng)段掃描攻擊對交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的 暢通。在上述基礎(chǔ)上，交換機(jī)還支持基于接口設(shè)置ARP miss的速率。當(dāng)接口上觸發(fā)的 ARP miss超過設(shè)置的閾值時(shí)，接口上 的ARP miss不再處理，直接丟棄。如果用戶使用相同的源IP進(jìn)行地址掃描攻擊，交換機(jī)還 可以基于源IP做ARP miss統(tǒng)計(jì)。如果 ARP miss的速率超過 設(shè)定的閾值，則下

35、發(fā) ACL將帶有此源IP的報(bào)文進(jìn)行丟棄，過 一段時(shí)間后再允許通過。2）防MACM址掃描攻擊 以太網(wǎng)交換機(jī)的 MACM址轉(zhuǎn)發(fā)表 作為二層報(bào)文轉(zhuǎn)發(fā)的核心，在受到攻擊的時(shí)候，直接導(dǎo)致交換 機(jī)無法正常工作。發(fā)生 MACM址攻擊的時(shí)候，攻擊者向攻擊目 標(biāo)網(wǎng)絡(luò)發(fā)送大量的源 MAC*址不斷變化以太報(bào)文，園區(qū)交換機(jī) 收到以太報(bào)文會基于報(bào)文的源MA學(xué)習(xí)填充二層 MAC專發(fā)表項(xiàng)，由于MACM址轉(zhuǎn)發(fā)表的規(guī)格有限，會因?yàn)镸ACS描攻擊而很快填充滿，無法再學(xué)習(xí)生成新的MAC專發(fā)表，已學(xué)習(xí)的 MAC表?xiàng)l目需通過老化方式刪除，這樣途徑園區(qū)交換機(jī)大量的單播 報(bào)文會因?yàn)榘凑漳康?MAC不到轉(zhuǎn)發(fā)表項(xiàng)而不得不進(jìn)行廣播發(fā) 送，導(dǎo)致園

36、區(qū)網(wǎng)絡(luò)中產(chǎn)生大量的二層廣播報(bào)文，消耗網(wǎng)絡(luò)帶 寬、引發(fā)網(wǎng)絡(luò)業(yè)務(wù)中斷異常。第21頁共56頁交換機(jī)二層MAC專發(fā)表是全局共享資源，單板內(nèi)各端口 /VLAN共享一份MAC專發(fā)表，華為園區(qū)交換機(jī)支持基于端口 /VLAN的MA學(xué)習(xí)數(shù)目限制，同時(shí)支持 MAGS學(xué)習(xí)速率限制， 有效防御MAO址掃描攻擊行為。 MA學(xué)習(xí)數(shù)目達(dá)到端口 /VLAN上設(shè)置的閾值時(shí)，會進(jìn)行丟棄 /轉(zhuǎn)發(fā)/告警等動(dòng)作（動(dòng)作 策略可定制、可疊加）。另外通過園區(qū)交換機(jī)的MACM址與端口綁定來限制跨端口的 MAG3描攻擊。廣播/組播報(bào)文抑制 攻擊者不停地向園區(qū)網(wǎng)發(fā)送 大量惡意的廣播報(bào)文，惡意廣播報(bào)文占據(jù)了大量的帶寬，傳統(tǒng) 的廣播風(fēng)暴抑制無法識別用

37、戶VLAN將導(dǎo)致正常的廣播流量一并被交換機(jī)丟棄。園區(qū)網(wǎng)交換機(jī)需要識別惡意廣播流量的 VLAN ID,通過基于VLAN的廣播風(fēng)暴抑制丟棄惡意廣播報(bào)文而 不影響正常廣播報(bào)文流量轉(zhuǎn)發(fā)?？苫诙丝诨騐LAN限制廣播報(bào)文流量百分比或速率閾值。同時(shí)園區(qū)網(wǎng)交換機(jī)支持組播報(bào)文抑制，可基于端口限制組 播報(bào)文流量百分比或速率閾值。園區(qū)網(wǎng)邊界防御企業(yè)園區(qū)網(wǎng)邊界防御分為兩個(gè)部分：園區(qū)由口邊界防御、園區(qū)內(nèi)部邊界防御。園區(qū)由口連接Internet 和企業(yè) WAN）的接入，企業(yè)外部 網(wǎng)路尤其Internet網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全 事件引入的風(fēng)險(xiǎn)點(diǎn)，通過在企業(yè)由口部署高性能防火墻設(shè)備、第22頁共56頁 或者在核

38、心交換機(jī)內(nèi)置防火墻模塊，可以很好的緩解風(fēng)險(xiǎn)的傳 播，阻擋來自Internet/ 企業(yè)外部網(wǎng)絡(luò)攻擊行為的發(fā)生。企業(yè) 園區(qū)由口位置部署的獨(dú)立防火墻設(shè)備（或核心交換機(jī)內(nèi)置的防 火墻模塊），需要滿足高性能、高可靠、高安全的要求，是企 業(yè)園區(qū)網(wǎng)的第一道安全屏障。園區(qū)內(nèi)部邊界防御是將企業(yè)內(nèi)部劃分為多個(gè)區(qū)域，分為信 任區(qū)域和非信任區(qū)域，分別實(shí)施不同的安全策略，包括部署區(qū) 域間隔離、受限訪問、防止來自區(qū)域內(nèi)部的DO或擊等安卻措施。建議通過匯聚交換機(jī)上集成防火墻模塊（單板）來實(shí)現(xiàn)園 區(qū)內(nèi)部的邊界防御功能。園區(qū)網(wǎng)中防火墻功能無論是獨(dú)立設(shè)備部署還是集成在核心 /匯聚交換機(jī)內(nèi)部，都必須支持靈活的業(yè)務(wù)流控制策略配置，

39、能把特定的流量引到防火墻進(jìn)行處理，其他流量進(jìn)行旁路。防火墻本身需要保證高可靠性，需要考慮防火墻的冗余設(shè) 計(jì)，支持Active/Active HA設(shè)計(jì)方式，即交換機(jī)內(nèi)集成的多塊防火墻板卡支持負(fù)載分擔(dān)和主備模式，不同交換機(jī)內(nèi)的防火 墻支持Active/Active 模式，同時(shí)能夠處理流量。園區(qū)網(wǎng)由口安全 隨著現(xiàn)代社會網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展， 企業(yè)日益發(fā)展擴(kuò)大，辦事處、分支機(jī)構(gòu)以及商業(yè)合作伙伴逐步 增多，如何將這些小型的辦公網(wǎng)絡(luò)和企業(yè)總部網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)靈 活而有效的互聯(lián)，并且與整個(gè)企業(yè)網(wǎng)絡(luò)安全方案有機(jī)融合，提第23頁共56頁高企業(yè)信息化程度，優(yōu)化商業(yè)運(yùn)作效率，成為企業(yè)IT網(wǎng)絡(luò)設(shè)計(jì)亟待解決的問題；大量普及的SO

40、H刎絡(luò)、小型辦公網(wǎng)絡(luò)、智能家居網(wǎng)絡(luò)也 越來越注重接入的便捷性和網(wǎng)絡(luò)安全性。企業(yè)園區(qū)網(wǎng)由口設(shè)備是企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點(diǎn)，其安全保證能力非常重要，企業(yè)在信息化的過程中面臨核 心技術(shù)、商業(yè)機(jī)密泄密等信息安全問題，VPN技術(shù)是企業(yè)傳輸數(shù)據(jù)非常理想的選擇，因?yàn)?VPN術(shù)正式是為了解決在不安全 的Internet上安全傳輸機(jī)密信息，保證信息的完整性、可用 性以及保密性，包括 IPSec VPN和SSL VPN企業(yè)辦事處、分 支機(jī)構(gòu)以及商業(yè)合作伙伴如果采用主機(jī)VPN客戶端接入企業(yè)總部網(wǎng)絡(luò)，那么分之機(jī)構(gòu)網(wǎng)絡(luò)中的每個(gè)主機(jī)需要單獨(dú)撥號接入， VPN接入不可控造成內(nèi)部網(wǎng)絡(luò)安全隱患，同時(shí)也大量消耗企業(yè) 總部V

41、PN網(wǎng)關(guān)隧道資源；如果采用單獨(dú)的 VPN網(wǎng)關(guān)與企業(yè)總部網(wǎng)關(guān)建立 VPN隧道， 又面臨投資過大的問題。需要有效解決企業(yè)分支機(jī)構(gòu)VPN接入靈活性、安全性和經(jīng)濟(jì)性之間的矛盾。數(shù)據(jù)中心安全設(shè)計(jì) 數(shù)據(jù)中心的安全對企業(yè)來說， 非常重要，企業(yè)在享受數(shù)據(jù)中心帶來生產(chǎn)力提高的同時(shí)，其內(nèi) 在的安全建設(shè)成為了業(yè)內(nèi)的熱點(diǎn)。讓數(shù)據(jù)中心遠(yuǎn)離安全威脅， 促使其在管理、運(yùn)維上向安全靠攏，已經(jīng)成為建設(shè)的趨勢。第24頁共56頁數(shù)據(jù)中心的網(wǎng)絡(luò)安全設(shè)計(jì)中，我們采用以兩臺交換機(jī)為中 心的雙星型冗余結(jié)構(gòu)的網(wǎng)絡(luò)，可以在網(wǎng)絡(luò)交換機(jī)上通過插卡的 方式實(shí)現(xiàn)防火墻、負(fù)載均衡等功能，保障數(shù)據(jù)中心的安全。防火墻的目的是要在內(nèi)部、外部兩個(gè)網(wǎng)絡(luò)之間建立一

42、個(gè)安 全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流， 實(shí)現(xiàn)對進(jìn)、由內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。具體地 說，設(shè)置防火墻的目的是隔離數(shù)據(jù)中心和局域網(wǎng)，保護(hù)數(shù)據(jù)中 心不受攻擊，實(shí)現(xiàn)以下基本功能：負(fù)載均衡的作用是可以為用戶訪問數(shù)據(jù)中心時(shí)，能夠?qū)崿F(xiàn) 應(yīng)用級的負(fù)載分擔(dān)。無線安全設(shè)計(jì) 無線局域網(wǎng)(WLAN具有安裝便 捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無法比擬的優(yōu) 點(diǎn)。但是由于無線局域網(wǎng)開放訪問的特點(diǎn)，使得攻擊者能夠很 容易的進(jìn)行竊聽，惡意修改并轉(zhuǎn)發(fā)，因此安全性成為阻礙無線 局域網(wǎng)發(fā)展的最重要因素。園區(qū)用戶大多容易接受新鮮事物， 雖然一方面對無線網(wǎng)絡(luò)的需求不斷增長，但同時(shí)也讓許多潛在 的

43、用戶對不能夠得到可靠的安全保護(hù)而對最終是否使用無線局 域網(wǎng)猶豫不決。目前有很多種無線局域網(wǎng)的安全技術(shù)，包括物理地址 (MA。過濾、服務(wù)集標(biāo)識符(SSID)匹配、有線對等保密 (WEP、端口訪問才制技術(shù)(IEEE802.1x)、WPA (Wi-Fi第25頁共56頁P(yáng)rotected Access ）、IEEE 802.11i 等。面對如此多的安全 技術(shù)，應(yīng)該選擇哪些技術(shù)來解決無線局域網(wǎng)的安全問題，才能 滿足用戶對安全性的要求。無線局域網(wǎng)的安全威脅利用WLANS行通信必須具有較高的通信保密能力。對于現(xiàn)有的WLA*品，它的安全隱患主要有以下幾點(diǎn)：?未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)由于無線局域網(wǎng)的開放式訪問方式，

44、非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，不僅會占 用寶貴的無線信道資源，增加帶寬費(fèi)用，還會降低合法用戶的 服務(wù)質(zhì)量。?地址欺騙和會話攔截 在無線環(huán)境中，非法用戶通過偵 聽等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的 MAO址比有線環(huán)境中要容易 得多，這些合法的 MACM址可以被用來進(jìn)行惡意攻擊。另外，由于IEEE802.11沒有對AP身份進(jìn)行認(rèn)證，攻擊者 很容易裝扮成合法 AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲取合法用戶的鑒 別身份信息，通過會話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。?高級入侵 一旦攻擊者侵入無線網(wǎng)絡(luò)，它將成為進(jìn)一步 入侵其他系統(tǒng)的起點(diǎn)。多數(shù)學(xué)校部署的WLANTB在防火墻之后，這樣 WLAN勺安全隱患就會成為整個(gè)安全系統(tǒng)的漏洞，

45、只 要攻破無線網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)就將暴露在非法用戶面前。第26頁共56頁華為無線網(wǎng)絡(luò)的安全策略針對目前無線校園網(wǎng)應(yīng)用中的種種安全隱患，華為的無線局域網(wǎng)產(chǎn)品體系能夠提供 強(qiáng)有力的安全特性，除了傳統(tǒng)無線局域網(wǎng)中的安全策略之外， 還能夠提供更加精細(xì)的管理措施：?可靠的加密和認(rèn)證、設(shè)備管理能夠支持目前802.11小組所提由的全部加密方式，包括高級WPA 256位加密（AE0 , 40/64位、128位和152位 WE映享密鑰加密， WPATKIP,特有的128位動(dòng)態(tài)安全鏈路加密，動(dòng)態(tài)會話密鑰管理。802.1x 認(rèn)證使用802.1x RADIUS認(rèn)證和 MACM址聯(lián)合認(rèn) 證，確保只有合法用戶和客戶端設(shè)備才可

46、訪問網(wǎng)絡(luò)。支持通過本地控制臺或通過SSL或HTTPS1中管理WebJ覽器；通過本地控制臺或通過 SSH v2或Telnet遠(yuǎn)程管理的命令行界面；并可通過無線局域網(wǎng)管理系統(tǒng)進(jìn)行集中管理。?用戶和組安全配置和傳統(tǒng)的無線局域網(wǎng)安全措施一樣，華為無線網(wǎng)絡(luò)可以依靠物理地址（ MAC過濾、服務(wù)集標(biāo) 識符（SSID）匹配、訪問才制列表（ACD來提供對無線客戶 端的初始過濾，只允許指定的無線終端可以連接AR同時(shí)，傳統(tǒng)無線網(wǎng)絡(luò)也存在它的不足之處。首先，它的安全策略依賴于連接到莫個(gè)網(wǎng)絡(luò)位置的設(shè)備上的特定端口，對物第27頁共56頁 理端口和設(shè)備的依賴是網(wǎng)絡(luò)工程的基礎(chǔ)。例如，子網(wǎng)、 ACL以 及服務(wù)等級(CoS在路由

47、器和交換機(jī)的端口上定義，需要通 過臺式機(jī)的MAO址來管理用戶的連接。華為采用基于身份的 組網(wǎng)功能，可提供增強(qiáng)的用戶和組的安全策略，針對特殊要求 創(chuàng)建虛擬專用組(Vertual Private Group ) , VLAN不再需要 通過物理連接或端口來實(shí)施，而是根據(jù)用戶和組名來區(qū)分權(quán) 限。?非法接入檢測和隔離 華為無線網(wǎng)絡(luò)可自動(dòng)執(zhí)行的 AP 射頻掃描功能通過標(biāo)識可去除非法AP,使管理員能更好地查看網(wǎng)絡(luò)狀況，提高對網(wǎng)絡(luò)的能見度。非法AP通過引入更多的流量來降低網(wǎng)絡(luò)性能，通過嘗試獲取數(shù)據(jù)或用戶名來危及網(wǎng)絡(luò) 安全或者欺騙網(wǎng)絡(luò)以生成有害的垃圾郵件、病毒或蠕蟲。任何 網(wǎng)絡(luò)中都可能存在非法 AP,但是網(wǎng)絡(luò)規(guī)

48、模越大就越容易受到 攻擊。為了消除這種威脅，可以指定莫些AP充當(dāng)射頻“衛(wèi)士”，其方法是掃描無線局域網(wǎng)來查找非法AP位置，記錄這些位置信息并采取措施以及為這些位置重新分配信道以使網(wǎng)絡(luò) 處于連接狀態(tài)并正常運(yùn)行。AP射頻掃描程序還會檢測并調(diào)整 引起射頻干擾的其他來源，例如微波爐和無繩電話。并且，射頻監(jiān)測配合基于用戶身份的組網(wǎng)，不但可使用戶 在漫游時(shí)具有諸如虛擬專用組成員資格、訪問控制列表第28頁共56頁(ACL)、認(rèn)證、漫游策略和歷史、位置跟蹤、帶寬使用以及其 他授權(quán)等內(nèi)容，還可告知管理人員哪些用戶已連接、他們位于 何處、他們曾經(jīng)位于何處、他們正在使用哪些服務(wù)以及他們曾 經(jīng)使用過哪些服務(wù)。?監(jiān)視和告

49、警 華為無線網(wǎng)絡(luò)體系提供了實(shí)時(shí)操作信息， 可以快速檢測到問題，提高網(wǎng)絡(luò)的安全性并優(yōu)化網(wǎng)絡(luò)，甚至還 可以定位用戶。網(wǎng)絡(luò)管理應(yīng)用程序針對當(dāng)今的動(dòng)態(tài)業(yè)務(wù)而設(shè) 計(jì)，它提供了配置更改的自動(dòng)告警功能。向?qū)Ы缑嫣峁┝思磿r(shí) 提示，從而使得管理員能夠快速針對沖突做由更改。通過使用軟件的移動(dòng)配置文件功能，管理者可以在用戶或 用戶組漫游整個(gè)無線局域網(wǎng)時(shí)控制其訪問資源的位置。止匕外， 位置策略能夠根據(jù)用戶的位置來阻止或允許對特殊應(yīng)用程序的 訪問。4設(shè)備介紹4.1 Quidway ? S9300系列交換機(jī) Quidway? S9300系列是華為公司面向以業(yè)務(wù)為核心的網(wǎng)絡(luò)架 構(gòu)而推由的新一代高端智能 T比特核心路由交換機(jī)

50、。該產(chǎn)品基 于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、安 全的高性能L2/L3層交換服務(wù)基礎(chǔ)上，進(jìn)一步提供業(yè)務(wù)流分 析、完善的QOS1略、可控組播、一體化安全等智能業(yè)務(wù)優(yōu)化 手段，同時(shí)具備超強(qiáng)擴(kuò)展性和可靠性。第29頁共56頁Quidway? S9300系列廣泛適用于廣域網(wǎng)、城域網(wǎng)，園區(qū) 網(wǎng)絡(luò)和數(shù)據(jù)中心核心、匯聚節(jié)點(diǎn)，幫助企業(yè)構(gòu)建面向應(yīng)用的網(wǎng) 絡(luò)平臺，提供交換路由一體化的端到端融合網(wǎng)絡(luò)。 Quidway? S9300 系列提供 S9303、S9306、S9312三 種產(chǎn)品形態(tài)，支持不斷擴(kuò)展的交換能力和端口密度。整個(gè)系列 秉承模塊通用化、部件歸一化的設(shè)計(jì)理念，最小化備件成本， 在保證設(shè)備

51、擴(kuò)展性的同時(shí)最大限度地保護(hù)用戶投資。止匕外，S9300作為新一代智能交換機(jī)采用了多種綠色節(jié)能創(chuàng)新技術(shù)， 在不斷提升性能及穩(wěn)定性的同時(shí)，大幅降低設(shè)備能源消耗，減 小噪聲污染，為網(wǎng)絡(luò)綠色可持續(xù)發(fā)展提供領(lǐng)先的解決方案。產(chǎn)品特點(diǎn) 1）先進(jìn)交換架構(gòu)提升網(wǎng)絡(luò)擴(kuò)展性S9300采用先進(jìn)的分布式交換技術(shù)，提供業(yè)界最大整機(jī)交換容 量和槽位帶寬。創(chuàng)新的交換速率自適應(yīng)技術(shù)，支持單端口速率40G 100G平滑升級，同時(shí)完美兼容現(xiàn)網(wǎng)板卡，保護(hù)初始投資。背板通流能力充分考慮未來帶寬升級對整機(jī)電源功率和散 熱需求，數(shù)據(jù)總線預(yù)留升級高速交換網(wǎng)能力。超高萬兆端口密度，單臺設(shè)備支持576個(gè)萬兆端口，助力企業(yè)園區(qū)和數(shù)據(jù)中心迎來全萬兆

52、核心時(shí)代。第30頁共56頁2）創(chuàng)新的三平面架構(gòu)設(shè)計(jì) S9300在傳統(tǒng)交換機(jī)數(shù)據(jù)轉(zhuǎn) 發(fā)、管理控制雙平面基礎(chǔ)上創(chuàng)新地增加了獨(dú)立的環(huán)境監(jiān)控平 面，實(shí)現(xiàn)對單板、風(fēng)扇和電源配電模塊的監(jiān)控、管理和維護(hù)。業(yè)界首創(chuàng)的環(huán)境監(jiān)控板，采用華為自主知識產(chǎn)權(quán)的高集成 度中控芯片，實(shí)現(xiàn)硬件級的按流量動(dòng)態(tài)調(diào)整功率、風(fēng)扇分區(qū)控 制、風(fēng)扇智能調(diào)速、端口休眠技術(shù)等多項(xiàng)節(jié)能技術(shù)，在提升系 統(tǒng)性能的同時(shí)大大降低整機(jī)功耗。支持獨(dú)立環(huán)境監(jiān)控與網(wǎng)管聯(lián)動(dòng)，實(shí)現(xiàn)全面可視化管理。3）運(yùn)營級高可靠性設(shè)計(jì)，保障企業(yè)應(yīng)用永續(xù)運(yùn)行9300具備超越5個(gè)9的運(yùn)營級高可靠性，主控、電源、風(fēng)扇等關(guān)鍵 部件采用冗余設(shè)計(jì)，所有模塊均支持熱插拔?；诜植际降挠?件轉(zhuǎn)

53、發(fā)架構(gòu)，路由平面和數(shù)據(jù)交換平面嚴(yán)格分離，保證業(yè)務(wù)流 永續(xù)暢通。獨(dú)立的故障檢測定位硬件，提供3.3ms高精度硬件級以太OAW能，實(shí)現(xiàn)快速故障檢測與定位，與其他倒換技術(shù)聯(lián)動(dòng)可 有效保證毫秒級網(wǎng)絡(luò)保護(hù)。能夠在冗余控制引擎間實(shí)現(xiàn)無縫切換，設(shè)備優(yōu)雅重啟無中 斷轉(zhuǎn)發(fā)。支持ISSU業(yè)務(wù)無縫升級，減少關(guān)鍵業(yè)務(wù)和服務(wù)中 斷。第31頁共56頁支持Enhanced-Trunk （E-Trunk ）功能，實(shí)現(xiàn)跨設(shè)備鏈路 聚合，二層組網(wǎng)環(huán)境中跨設(shè)備鏈路聚合無須運(yùn)行破環(huán)協(xié)議，提 高設(shè)備鏈路利用效率的同時(shí)避免單點(diǎn)故障。支持IEEE 802.3ad鏈路匯聚、IEEE 802.1s/w 和虛擬路 由器冗余協(xié)議（VRRP ,同時(shí)

54、支持豐富的毫秒級倒換技術(shù)如 RRPP Smart Link 、IP FRR、TE FRR VPN FR嚙，實(shí)現(xiàn)運(yùn)營 級級高可靠性。4）多維集群CSS （集群交換系統(tǒng)）通過CSS集群虛擬化技術(shù)，將集群主機(jī)虛擬成一臺邏輯設(shè)備，實(shí)現(xiàn)整個(gè)集群系統(tǒng)控 制信息共享和路由、組播表項(xiàng)同步。CSS集群技術(shù)可以有效提高單臺設(shè)備的帶寬，滿足高密萬 兆園區(qū)核心與大容量數(shù)據(jù)中心對核心交換設(shè)備的帶寬吞吐要 求。CSS集群技術(shù)可以提高系統(tǒng)的可靠性。S9300 CSS集群創(chuàng)新性采用交換網(wǎng)集群技術(shù)，克服了業(yè)界普遍采用的線卡集群跨 框多次交換，交換效率低下的架構(gòu)難題。采用交換網(wǎng)集群技術(shù) 可以將集群主機(jī)交換網(wǎng)拉通，集群不占用線卡槽

55、位，并提供業(yè) 界最大的256G集群帶寬，同時(shí)可以通過跨框鏈路聚合提高鏈 路的利用率，并消除單點(diǎn)故障。第32頁共56頁CSS集群可以簡化核心層的網(wǎng)絡(luò)管理，整個(gè)集群系統(tǒng)共用 同一個(gè)虛擬IP,減少設(shè)備網(wǎng)元，簡化網(wǎng)絡(luò)拓?fù)涔芾?，提高運(yùn) 營效率，降低維護(hù)成本。5)運(yùn)行中軟件升級ISSU保障網(wǎng)絡(luò)無中斷運(yùn)行ISSU可以 在設(shè)備軟件升級過程中，減少系統(tǒng)業(yè)務(wù)中斷時(shí)間，顯著地提高 設(shè)備的可靠性。真正使企業(yè)網(wǎng)絡(luò)具備“全天候”提供業(yè)務(wù)能 力，實(shí)現(xiàn)設(shè)備軟件升級流量“零”割接，應(yīng)用不中斷。S9300提供無損升級、有損升級和快速重啟三種ISSU升級方式，系統(tǒng)可自動(dòng)比較新舊版本各個(gè)模塊間差異，給由升級 方式建議，供用戶選擇。支

56、持ISSU升級失敗時(shí)自動(dòng)回退(Auto-Rollback )版本， 線卡采用新舊版本進(jìn)程備份技術(shù)減少ISSU中斷應(yīng)用的影響。6)完善的QOSIL制S9300提供高品質(zhì)的QOS (Quality of Service )能力，支持 Layer2Layer7的流分類技術(shù)，具備 完善的隊(duì)列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實(shí)現(xiàn)多級 的精確調(diào)度，從而滿足不同用戶、不同業(yè)務(wù)等級的服務(wù)質(zhì)量要 求。S9300提供層次化QOS(H-QOS調(diào)度機(jī)制，通過在不同業(yè) 務(wù)等級上分別設(shè)置單獨(dú)調(diào)度器，進(jìn)一步精細(xì)化流量QOStt征，保障相應(yīng)業(yè)務(wù)的服務(wù)質(zhì)量。支持面向接入側(cè)的多級H-QOS度第33頁共56頁 機(jī)制，多樣化，差

57、異化滿足大型企業(yè)園區(qū)不同層次用戶設(shè)備的 業(yè)務(wù)需求。7）全業(yè)務(wù)以太交換平臺支持分布式 L2/L3 MPLS VPN功能，支持 MPLS VPLS HVPLS VLL,滿足企業(yè) VPN等用戶的 接入需求。支持多種速率WAN?卡，滿足廣域接入的需求。具備線速的跨 VLANS播復(fù)制能力，實(shí)現(xiàn)端口滿負(fù)荷復(fù) 制，滿足多終端視頻監(jiān)控和視頻會議接入需求；完善的二、三層組播協(xié)議，可作為組播復(fù)制點(diǎn)和控制點(diǎn)， 提供高性能的IP組播視頻和音頻應(yīng)用。軟件平臺提供多種路由協(xié)議滿足企業(yè)建網(wǎng)要求，支持從中 小企業(yè)到超大型跨國公司級大規(guī)模路由，支持IPv6,能夠?yàn)槠髽I(yè)網(wǎng)絡(luò)提供平滑升級能力。支持標(biāo)準(zhǔn)POE滿足15.4W和30W標(biāo)

58、準(zhǔn)POEffi電規(guī)格，滿 足企業(yè)在線供電業(yè)務(wù)需求。8）虛擬化數(shù)據(jù)中心交換平臺 S9300 CSS集群虛擬化技 術(shù)，滿足數(shù)據(jù)中心對核心、匯聚設(shè)備大容量、高可靠、海量吞 吐的要求。首創(chuàng)交換網(wǎng)集群，分布式跨設(shè)備鏈路聚合技術(shù)，有 效利用數(shù)據(jù)中心內(nèi)部帶寬資源，實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部數(shù)據(jù)交換對 物理鏈路無感知。第34頁共56頁針對大型分布式計(jì)算數(shù)據(jù)中心業(yè)務(wù)模型，專門設(shè)計(jì)大緩存 線卡，支持單端口 200ms數(shù)據(jù)流量緩存，解決分布式計(jì)算網(wǎng)絡(luò) 瞬間流量過大丟包問題。每板最大64K硬件隊(duì)列，支持精細(xì)化 QO序口流量管理，利 用多種隊(duì)列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實(shí)現(xiàn)多級 的精確調(diào)度，從而滿足不同用戶、不同業(yè)務(wù)等

59、級的服務(wù)質(zhì)量要 求，準(zhǔn)確地按需配置給不同用戶、不同業(yè)務(wù)流分配不同的優(yōu)先 級和隊(duì)列，保證不同的帶寬、業(yè)務(wù)延遲和抖動(dòng)性能需求。9）高性能IPv6業(yè)務(wù)能力S9300軟硬件平臺均支持IPv6 ,取得工信部IPv6入網(wǎng)認(rèn)證和IPv6 Ready第二階段金色 認(rèn)證。支持IPv4/IPv6雙協(xié)議棧，支持多種隧道技術(shù)，支持 IPv6 靜態(tài)路由、RIPng、OSPFv3 BGP+ IS-ISv6、IPv6 組 播，滿足IPv6獨(dú)立組網(wǎng)和IPv4/IPv6 混合組網(wǎng)要求。10）智能流量負(fù)載均衡S9300負(fù)載均衡器能夠保證服務(wù) 可靠性，提高服務(wù)響應(yīng)速度，方便業(yè)務(wù)靈活擴(kuò)展。S9300負(fù)載均衡器支持加權(quán)輪詢、基于連接數(shù)

60、、加權(quán) IP 地址Hash和基于HTTP URLl勺Hash等多種均衡調(diào)度算法，全 面滿足客戶負(fù)載均衡要求。門戶網(wǎng)站服務(wù)器經(jīng)常會遇到在同一時(shí)間大量針對同樣網(wǎng) 頁、服務(wù)的請求，服務(wù)器針對請求會頻繁建立、拆除TCP連第35頁共56頁 接，耗費(fèi)大量CP脩源，影響服務(wù)器響應(yīng)速度。 S9300負(fù)載均 衡器支持TCP和HTTP重用，減輕服務(wù)器拆除/建立TCP連接的 負(fù)載，提高服務(wù)器訪問效率。S9300負(fù)載均衡器支持動(dòng)態(tài)“鎖流”技術(shù)，滿足電子商務(wù) 網(wǎng)站在線購物負(fù)載均衡需求。11)強(qiáng)大的網(wǎng)絡(luò)流量分析能力 S9300支持隨板分布式和 專用處理線卡集中式網(wǎng)絡(luò) Netstream業(yè)務(wù)分析功能，滿足用戶 對網(wǎng)絡(luò)流量實(shí)