華為整體網(wǎng)絡(luò)解決方案

經(jīng)典word整理文檔，僅參考，雙擊此處可刪除頁(yè)眉頁(yè)腳。本資料屬于網(wǎng)絡(luò)整理，如有侵權(quán)，請(qǐng)聯(lián)系刪除，謝謝！:華為整體網(wǎng)絡(luò)解決方案目錄123.................................................................................11防............................................17防......................................................................23.....................................................................244____________________________________________________________________________________________47-2華為整體網(wǎng)絡(luò)解決方案1概述企業(yè)園區(qū)網(wǎng)絡(luò)承載企業(yè)所有IT基礎(chǔ)設(shè)施和企業(yè)所有上層軟件應(yīng)用，對(duì)一個(gè)企業(yè)的重要性不言而喻。而且隨著企業(yè)對(duì)于提高生產(chǎn)率、工作效率提升的重視，的咖啡廳、待客室，今天的用戶都需要方便地獲取各種網(wǎng)絡(luò)服務(wù)。一個(gè)典型的企業(yè)園區(qū)網(wǎng)絡(luò)通常由樓宇辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、Internet出口、絡(luò)。在規(guī)劃與建設(shè)一個(gè)企業(yè)園區(qū)網(wǎng)絡(luò)的時(shí)候，這些部分都要充分考慮。題，如何構(gòu)建一個(gè)保障企業(yè)未來(lái)5~10年擴(kuò)展，同時(shí)兼顧設(shè)備的投資保護(hù)的企業(yè)園區(qū)網(wǎng)絡(luò)，困擾著每一位企業(yè)。華為企業(yè)園區(qū)網(wǎng)解決方案結(jié)合了高性能的路由、交換基礎(chǔ)設(shè)施和提升安全、可靠等特性，可協(xié)助企業(yè)構(gòu)建一個(gè)安全、可靠、易接入、易擴(kuò)展、易管理的企業(yè)園區(qū)網(wǎng)絡(luò)。____________________________________________________________________________________________47-3華為整體網(wǎng)絡(luò)解決方案2企業(yè)網(wǎng)絡(luò)建設(shè)設(shè)計(jì)原則在網(wǎng)絡(luò)建設(shè)項(xiàng)目中，我們應(yīng)該遵循以下設(shè)計(jì)原則：1)合理性、整體性原則子數(shù)據(jù)鑒定的需求是系統(tǒng)建設(shè)的首要原則。這是系統(tǒng)成敗的關(guān)鍵；充分考慮已有資源（軟硬件設(shè)備及人員）合理利用，避免出現(xiàn)不必要的浪費(fèi)；系統(tǒng)建設(shè)盡可能模擬國(guó)內(nèi)外最常用的幾種網(wǎng)絡(luò)應(yīng)用模式。系統(tǒng)建設(shè)要有一定的前瞻性。在網(wǎng)絡(luò)建成后的3-5年之內(nèi)，不會(huì)由于業(yè)務(wù)量的增加導(dǎo)致對(duì)網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的重大調(diào)整。同時(shí)要考慮實(shí)際的應(yīng)用水平，避免技術(shù)環(huán)境過(guò)于超前造成投資浪費(fèi)。2)標(biāo)準(zhǔn)化原則為了保證用戶的網(wǎng)絡(luò)系統(tǒng)具有互操作性、可用性、可靠性、可擴(kuò)充性、可管理性，應(yīng)建立一個(gè)開(kāi)放的、遵循國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)。建設(shè)的方案要科學(xué)、正確、嚴(yán)謹(jǐn)、且現(xiàn)實(shí)可行；采用的先進(jìn)技術(shù)應(yīng)是成熟的、經(jīng)過(guò)實(shí)踐證明是成功的技術(shù)；選用的軟硬件平臺(tái)應(yīng)采用目前因特網(wǎng)和局域網(wǎng)上最常使用的軟硬件廠商的產(chǎn)品3)先進(jìn)性原則系統(tǒng)建設(shè)應(yīng)充分考慮網(wǎng)絡(luò)通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，建設(shè)是循序漸進(jìn)的，初期重點(diǎn)應(yīng)在網(wǎng)絡(luò)基礎(chǔ)環(huán)境和基本系統(tǒng)上：系統(tǒng)可根據(jù)實(shí)際工作中的業(yè)務(wù)需求靈活地結(jié)構(gòu)所需的網(wǎng)絡(luò)與系統(tǒng)環(huán)境；系統(tǒng)實(shí)現(xiàn)采用先進(jìn)的網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全檢測(cè)技術(shù)。4)安全可靠性原則____________________________________________________________________________________________47-4華為整體網(wǎng)絡(luò)解決方案本系統(tǒng)具有特殊性，因此安全保密性非常復(fù)雜。系統(tǒng)要有極強(qiáng)的自我保護(hù)能力。選用具有C2安全級(jí)或B1安全級(jí)的系統(tǒng)軟件平臺(tái)；配置功能齊全、可視化程度高的網(wǎng)管系統(tǒng)，對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)督和控制；5)可管理性原則隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和系統(tǒng)復(fù)雜程度的增加，網(wǎng)絡(luò)的管理、監(jiān)控和維護(hù)，以了勞動(dòng)強(qiáng)度，也提高了網(wǎng)絡(luò)系統(tǒng)的管理程度。6)靈活、可伸縮性原則為適應(yīng)因特網(wǎng)和互聯(lián)網(wǎng)絡(luò)技術(shù)的發(fā)展，系統(tǒng)必須具有開(kāi)放性和可擴(kuò)充性。除滿足今后整個(gè)計(jì)算機(jī)系統(tǒng)的發(fā)展需要。應(yīng)用軟件設(shè)計(jì)要采用結(jié)構(gòu)化和模塊設(shè)計(jì)方法，使系統(tǒng)邏輯結(jié)構(gòu)清晰、易讀，在功能的劃分和設(shè)計(jì)時(shí)，使各模塊盡可能相對(duì)獨(dú)立、減少相關(guān)性以易于擴(kuò)充、維護(hù)和修改。網(wǎng)絡(luò)系統(tǒng)要具有異種設(shè)備的異種網(wǎng)絡(luò)的互聯(lián)互通能力，以達(dá)到保護(hù)已有資源并能與其他信息系統(tǒng)交流信息的目的。7)綠色節(jié)能原則隨著數(shù)據(jù)中心的不斷壯大，數(shù)據(jù)中心的電費(fèi)不斷增長(zhǎng)，目前，通信/IT設(shè)備節(jié)能是降低能耗的基礎(chǔ)，采用底能耗的設(shè)備是節(jié)能減排最主要的途徑。____________________________________________________________________________________________47-53.1.1總體網(wǎng)絡(luò)架構(gòu)華為整體網(wǎng)絡(luò)解決方案心交換機(jī)，交換機(jī)之間采用TRUNK鏈路保證鏈路級(jí)可靠性。3.1.2有線網(wǎng)絡(luò)解決方案整個(gè)網(wǎng)絡(luò)層次建議采用業(yè)界成熟的三層架構(gòu)：接入、匯聚和核心，最后企業(yè)園區(qū)通過(guò)出口層網(wǎng)絡(luò)設(shè)備（路由器或交換機(jī)）連接到外網(wǎng)通過(guò)。核心層網(wǎng)絡(luò)設(shè)計(jì)核心層交換機(jī)部署在園區(qū)核心機(jī)房中，匯聚各樓宇/區(qū)域之間的用戶流量，高的可靠性、穩(wěn)定性和易擴(kuò)展性等。對(duì)于園區(qū)網(wǎng)核心層，應(yīng)該在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了硬件，可為園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助用戶實(shí)現(xiàn)IT資源整合的需求。部分采用冗余模式。從而實(shí)現(xiàn)整個(gè)骨干網(wǎng)絡(luò)的高可靠性。骨干層建議采用10G鏈路互聯(lián)，達(dá)到高帶寬、高轉(zhuǎn)發(fā)性能的效果。本次建議采用華為的S9300絡(luò)。華為S9300支持大容量、高轉(zhuǎn)發(fā)性能，完全能夠滿足各網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)。匯聚層網(wǎng)絡(luò)設(shè)計(jì)備的第一跳網(wǎng)關(guān)，能夠承載校園園區(qū)融合業(yè)務(wù)的需求。WLANAC控制器）或者旁掛獨(dú)立的增值業(yè)務(wù)設(shè)備（如WLAN盒式AC園區(qū)網(wǎng)用戶提供增值業(yè)務(wù)。____________________________________________________________________________________________47-7華為整體網(wǎng)絡(luò)解決方案的，建議采用10G的鏈路互聯(lián)，達(dá)到萬(wàn)兆骨干網(wǎng)絡(luò)。匯聚交換機(jī)需要提供高密度的GE10GE接口接到核心交換機(jī)，推薦使用S9300系列交換機(jī)作為園區(qū)匯聚層交換機(jī)。接入層網(wǎng)絡(luò)設(shè)計(jì)接入層交換機(jī)一般部署在樓道的網(wǎng)絡(luò)機(jī)柜中，接入園區(qū)網(wǎng)用戶（PC機(jī)或服提供網(wǎng)絡(luò)的第一級(jí)接入功能，一般完成簡(jiǎn)單的二層交換，安全、Qos都位于速二層交換、IRF智能彈性堆疊技術(shù)以及高級(jí)QoS策略等功能。3.1.3數(shù)據(jù)中心解決方案數(shù)據(jù)中心的設(shè)計(jì)目標(biāo)是實(shí)現(xiàn)高冗余、高帶寬、高安全性、高可靠性等目的。數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)設(shè)備主要是：核心交換機(jī)、核心防火墻、核心路由器、負(fù)載均衡設(shè)備。核心交換機(jī)的主要功能是連接服務(wù)器，因此必須考慮企業(yè)未來(lái)的業(yè)務(wù)增長(zhǎng)，核心交換機(jī)必須具有很好的擴(kuò)展性，隨著以后網(wǎng)絡(luò)的擴(kuò)展，必須具有多個(gè)插槽，包轉(zhuǎn)發(fā)速率。我們建議采用華為的S7700系列高性能交換機(jī)，采用雙機(jī)雙電源。防火墻模塊等方面，實(shí)現(xiàn)數(shù)據(jù)中心的安全。3.1.4無(wú)線網(wǎng)絡(luò)解決方案?jìng)儗?duì)移動(dòng)IP接入的需求迅速增長(zhǎng)。無(wú)線局域網(wǎng)WLAN(WirelessLocalAreaNetwork)作為有線以太網(wǎng)的延伸，一定程度上滿足了這種需求。____________________________________________________________________________________________47-8華為整體網(wǎng)絡(luò)解決方案穩(wěn)定問(wèn)題：由于WLAN網(wǎng)絡(luò)的組網(wǎng)設(shè)計(jì)包含無(wú)線控制器、接入交換機(jī)、無(wú)線接入點(diǎn)等點(diǎn)的信道、發(fā)射功率等也是經(jīng)常困擾無(wú)線校園管理人員的難題。安全問(wèn)題：無(wú)線用戶所面臨的安全隱患。無(wú)線網(wǎng)絡(luò)的安全問(wèn)題已經(jīng)不再是單一的物理層安全，也包括了用戶接入安全、網(wǎng)絡(luò)層安全、設(shè)備安全、安全管理等多個(gè)層面上，如何能使企業(yè)無(wú)線用戶在所關(guān)注的核心。管理問(wèn)題：相對(duì)于FATFITAP解決方案幫助網(wǎng)區(qū)管理人員實(shí)現(xiàn)了無(wú)線網(wǎng)無(wú)線園區(qū)網(wǎng)絡(luò)環(huán)境中尤為如此。傳統(tǒng)的FITAPACFITAP實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)控制和管理，對(duì)于企業(yè)來(lái)說(shuō)具有重要的意義。擴(kuò)展問(wèn)題：____________________________________________________________________________________________47-10華為整體網(wǎng)絡(luò)解決方案和管理傳統(tǒng)有線網(wǎng)絡(luò)一樣，對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行擴(kuò)展和管理?？梢允盏綗o(wú)線信號(hào)的地方立即訪問(wèn)各種網(wǎng)絡(luò)服務(wù)。?安全性、高QoS保障華為園區(qū)網(wǎng)絡(luò)WLAN解決方案從用戶接入安全、網(wǎng)絡(luò)安全、設(shè)備安全等多個(gè)方面保障無(wú)線網(wǎng)絡(luò)的安全，使園區(qū)用戶安全可靠的使用WLAN網(wǎng)絡(luò)。用戶接入安全：華為園區(qū)WLAN解決方案提供了多樣化的用戶接入認(rèn)證以及MACWEP/TRIP/CCMP等加密措施防范無(wú)線接入用戶數(shù)據(jù)被盜。同時(shí)可以通過(guò)部署VLAN隔離、端口隔離等業(yè)務(wù)隔離技術(shù)避免用戶間相互影響。網(wǎng)絡(luò)安全：通過(guò)接入點(diǎn)對(duì)RF環(huán)境的不間斷掃描和監(jiān)控，防止企業(yè)受到未經(jīng)授權(quán)的不安全的WLAN接入點(diǎn)或惡意接入點(diǎn)的影響。設(shè)備安全：無(wú)線接入點(diǎn)AP提供“零配置”功能，無(wú)需在設(shè)備保存業(yè)務(wù)配置，泄漏而形成對(duì)無(wú)線網(wǎng)絡(luò)的安全威脅。園區(qū)WLAN解決方案可以通過(guò)虛擬AP&VLAN構(gòu)建一個(gè)單獨(dú)的訪客網(wǎng)絡(luò)為客戶、供應(yīng)商等訪客人士提供互聯(lián)網(wǎng)服務(wù)訪問(wèn)權(quán)限。對(duì)于不同SSIDSSID流量過(guò)大，比如訪客訪問(wèn)Internet，則可能造成園區(qū)用戶的不能正常訪問(wèn)無(wú)線網(wǎng)絡(luò)開(kāi)展業(yè)務(wù)。因此基于SSID的限速，可以避免其中一種業(yè)務(wù)流量過(guò)大對(duì)其他業(yè)務(wù)造成影響。證，直接接入，保證用戶業(yè)務(wù)的連續(xù)性。?部署方便、擴(kuò)展靈活WLAN上輕松部署WLAN。____________________________________________________________________________________________47-12華為整體網(wǎng)絡(luò)解決方案信息以及策略信息，無(wú)需任何手動(dòng)操作。?統(tǒng)一的網(wǎng)絡(luò)管理、智能運(yùn)維作，結(jié)合智能化的網(wǎng)絡(luò)運(yùn)維提升了網(wǎng)絡(luò)管理效率。無(wú)線接入點(diǎn)能夠監(jiān)控環(huán)境溫度變化，當(dāng)環(huán)境溫度低于零下10℃時(shí)，啟動(dòng)加?穩(wěn)定性華為WLAN穩(wěn)定性解決方案從無(wú)線控制器的可靠性，接入交換機(jī)供電的可靠性、無(wú)線信號(hào)的可靠性這幾方面入手，極大的提高了WLAN網(wǎng)絡(luò)的可靠性；在實(shí)際的使用情況來(lái)看，啟用這些措施之后，WLAN的可靠性能夠得到明顯的提升。?全面的PoE解決方案PoE設(shè)備的原理是通過(guò)非屏蔽雙絞線中四對(duì)線中的兩對(duì)線來(lái)傳輸電源，傳輸數(shù)據(jù)的同時(shí)傳輸直流電。因?yàn)锳P用PoE設(shè)備，AP端僅僅通過(guò)一根RJ-45網(wǎng)線與網(wǎng)絡(luò)連接即可以同時(shí)傳輸數(shù)據(jù)和電力，因此在使用PoE設(shè)備的情況下，所有的AP都使用一個(gè)UPS在PoE設(shè)備端進(jìn)行保護(hù)。如果不使用PoE設(shè)備，就需要給每個(gè)AP配一個(gè)UPS，而且還需要在AP附近安裝電源插座，增加了成本。因此使用PoE設(shè)備將大大降低設(shè)備成本和管理成本。PoE具有非常明顯的優(yōu)勢(shì)，具體如下：簡(jiǎn)化安裝，降低成本，不需為每個(gè)網(wǎng)絡(luò)設(shè)備單獨(dú)提供數(shù)據(jù)和電力線纜。輸出口?？煽啃栽鰪?qiáng)，有SNMP能力的PoE裝置，可實(shí)施遠(yuǎn)程檢測(cè)和控制，能有效地處理或修理裝置的耗電量和（或）失效故障。____________________________________________________________________________________________47-13華為整體網(wǎng)絡(luò)解決方案3.2.1網(wǎng)絡(luò)高可靠性設(shè)計(jì)園區(qū)網(wǎng)架構(gòu)，從接入層、匯聚層、核心層來(lái)分層考慮網(wǎng)絡(luò)可靠性設(shè)計(jì)。接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機(jī)與匯聚交換機(jī)之間通過(guò)SmartLink/STP/RSTP/MSTP/RRPP保證網(wǎng)絡(luò)可靠性，同時(shí)解決二層網(wǎng)絡(luò)環(huán)路問(wèn)題；匯聚層交換機(jī)之間通過(guò)VRRP（BFDfor互聯(lián)通過(guò)TRUNK過(guò)DLDP園區(qū)網(wǎng)接入/匯聚//是未來(lái)高可靠性園區(qū)網(wǎng)的發(fā)展趨勢(shì)。3.2.2設(shè)備高可靠性設(shè)計(jì)重要部件冗余設(shè)備本身要具有電信級(jí)5個(gè)9的可靠性，需要網(wǎng)絡(luò)設(shè)備支持:?主控1:1備份?交換網(wǎng)1+1/1:1兩種方式?DC電源1+1備份；AC電源1+1/2+2備份?模塊化的風(fēng)扇設(shè)計(jì)，高端配置支持單風(fēng)扇失效?無(wú)源背板，高可靠性?獨(dú)立的設(shè)備監(jiān)控單元，和主控解耦____________________________________________________________________________________________47-設(shè)備自身安全泛濫的網(wǎng)絡(luò)攻擊。3.3.1園區(qū)網(wǎng)安全方案總體設(shè)計(jì)華為整體網(wǎng)絡(luò)解決方案案保證內(nèi)部、外部用戶訪問(wèn)園區(qū)網(wǎng)資源的安全性。3.3.2園區(qū)內(nèi)網(wǎng)安全設(shè)計(jì)防IP/MAC地址盜用和ARP中間人攻擊1)防IP/MAC地址盜用DHCPSnooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)DHCPSnooping綁定表過(guò)濾不可信任的DHCP信息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息。DHCPSnooping綁定表包含不信任區(qū)域的用戶MAC地址、IPVLAN-ID接口等信息，DHCPSnooping綁定表可以基于DHCP過(guò)程動(dòng)態(tài)生成，IP地址、MAC屬VLAN、用戶所屬接口等信息。園區(qū)交換機(jī)開(kāi)啟DHCP-Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽(tīng)，并可以從接收到的DHCPRequest或DHCPAck報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCPOffer報(bào)文，而不信任端口會(huì)將接收到的DHCPOffer報(bào)文丟棄。這樣，可以完成交換機(jī)對(duì)假冒DHCPServer的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCPServer獲取IP地址。2)防ARP中間人攻擊____________________________________________________________________________________________47-防IP/MAC地址掃描攻擊1)防IP掃描攻擊華為整體網(wǎng)絡(luò)解決方案網(wǎng)段下的每個(gè)地址發(fā)送ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可引起網(wǎng)絡(luò)中斷。園區(qū)交換機(jī)支持IPIP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會(huì)發(fā)送一個(gè)ARP請(qǐng)求報(bào)文，并針對(duì)目的ARP后續(xù)報(bào)文持續(xù)沖擊CPU。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)；否則，經(jīng)過(guò)一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣，既防止直連網(wǎng)段掃描攻擊對(duì)交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。在上述基礎(chǔ)上，交換機(jī)還支持基于接口設(shè)置ARPmiss的速率。當(dāng)接口上觸發(fā)的ARPmiss超過(guò)設(shè)置的閾值時(shí)，接口上的ARPmiss不再處理，直接丟棄。如果用戶使用相同的源IP進(jìn)行地址掃描攻擊，交換機(jī)還可以基于源IP做ARPmiss統(tǒng)計(jì)。如果ARPmiss的速率超過(guò)設(shè)定的閾值，則下發(fā)ACL將帶有此源IP的報(bào)文進(jìn)行丟棄，過(guò)一段時(shí)間后再允許通過(guò)。2)防MAC地址掃描攻擊以太網(wǎng)交換機(jī)的MAC時(shí)候，直接導(dǎo)致交換機(jī)無(wú)法正常工作。發(fā)生MAC地址攻擊的時(shí)候，攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的源MAC文會(huì)基于報(bào)文的源MAC學(xué)習(xí)填充二層MAC轉(zhuǎn)發(fā)表項(xiàng)，由于MAC地址轉(zhuǎn)發(fā)表的規(guī)格有限，會(huì)因?yàn)镸AC掃描攻擊而很快填充滿，無(wú)法再學(xué)習(xí)生成新的MAC轉(zhuǎn)發(fā)表，已學(xué)習(xí)的MAC表?xiàng)l目需通過(guò)老化方式刪除，這樣途徑園區(qū)交換機(jī)大量的單播報(bào)文會(huì)因?yàn)榘凑漳康腗AC園區(qū)網(wǎng)絡(luò)中產(chǎn)生大量的二層廣播報(bào)文，消耗網(wǎng)絡(luò)帶寬、引發(fā)網(wǎng)絡(luò)業(yè)務(wù)中斷異常。交換機(jī)二層MAC轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表，華為園區(qū)交換機(jī)支持基于端口/VLAN的MAC學(xué)習(xí)數(shù)目限制，同時(shí)支持MACMAC地址掃描攻擊行為。MAC學(xué)習(xí)數(shù)目達(dá)到端口/VLAN/轉(zhuǎn)發(fā)/告警等動(dòng)作（動(dòng)作策略可____________________________________________________________________________________________47-廣播組播報(bào)文抑制園區(qū)出口連接Internet和企業(yè)WAN網(wǎng)的接入，企業(yè)外部網(wǎng)路尤其Internet華為整體網(wǎng)絡(luò)解決方案網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險(xiǎn)點(diǎn)，通過(guò)在企業(yè)出口部的傳播，阻擋來(lái)自Internet/企業(yè)外部網(wǎng)絡(luò)攻擊行為的發(fā)生。企業(yè)園區(qū)出口位置部可靠、高安全的要求，是企業(yè)園區(qū)網(wǎng)的第一道安全屏障。域，分別實(shí)施不同的安全策略，包括部署區(qū)域間隔離、受限訪問(wèn)、防止來(lái)自區(qū)域內(nèi)部的DOS攻擊等安卻措施。建議通過(guò)匯聚交換機(jī)上集成防火墻模塊（單板）來(lái)實(shí)現(xiàn)園區(qū)內(nèi)部的邊界防御功能。園區(qū)網(wǎng)中防火墻功能無(wú)論是獨(dú)立設(shè)備部署還是集成在核心/匯聚交換機(jī)內(nèi)理，其他流量進(jìn)行旁路。防火墻本身需要保證高可靠性，需要考慮防火墻的冗余設(shè)計(jì)，支持Active/ActiveHA設(shè)計(jì)方式，即交換機(jī)內(nèi)集成的多塊防火墻板卡支持負(fù)載分擔(dān)和主備模式，不同交換機(jī)內(nèi)的防火墻支持Active/Active模式，同時(shí)能夠處理流量。3.3.4園區(qū)網(wǎng)出口安全優(yōu)化商業(yè)運(yùn)作效率，成為企業(yè)IT網(wǎng)絡(luò)設(shè)計(jì)亟待解決的問(wèn)題；大量普及的SOHO網(wǎng)絡(luò)、小型辦公網(wǎng)絡(luò)、智能家居網(wǎng)絡(luò)也越來(lái)越注重接入的便捷性和網(wǎng)絡(luò)安全性。____________________________________________________________________________________________47-213.3.5數(shù)據(jù)中心安全設(shè)計(jì)華為整體網(wǎng)絡(luò)解決方案據(jù)中心不受攻擊，實(shí)現(xiàn)以下基本功能：負(fù)載均衡的作用是可以為用戶訪問(wèn)數(shù)據(jù)中心時(shí)，能夠?qū)崿F(xiàn)應(yīng)用級(jí)的負(fù)載分擔(dān)。3.3.6無(wú)線安全設(shè)計(jì)無(wú)線局域網(wǎng)（WLAN）具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有用無(wú)線局域網(wǎng)猶豫不決。目前有很多種無(wú)線局域網(wǎng)的安全技術(shù)，包括物理地址（）過(guò)濾、服務(wù)集標(biāo)識(shí)符（SSID）匹配、有線對(duì)等保密（WEPIEEE802.1xWPA（Wi-FiProtectedAccessIEEE802.11i等。面對(duì)如此多的安全技術(shù)，應(yīng)該選擇哪些技術(shù)來(lái)解決無(wú)線局域網(wǎng)的安全問(wèn)題，才能滿足用戶對(duì)安全性的要求。無(wú)線局域網(wǎng)的安全威脅利用WLANWLAN產(chǎn)品，它的安全隱患主要有以下幾點(diǎn)：?未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)務(wù)質(zhì)量。?地址欺騙和會(huì)話攔截MAC地址____________________________________________________________________________________________47-23華為整體網(wǎng)絡(luò)解決方案比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來(lái)進(jìn)行惡意攻擊。另外，由于IEEE802.11沒(méi)有對(duì)AP身份進(jìn)行認(rèn)證，攻擊者很容易裝扮成合法AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲取合法用戶的鑒別身份信息，通過(guò)會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。?高級(jí)入侵部署的WLANWLAN的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞，只要攻破無(wú)線網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)就將暴露在非法用戶面前。華為無(wú)線網(wǎng)絡(luò)的安全策略更加精細(xì)的管理措施：?可靠的加密和認(rèn)證、設(shè)備管理能夠支持目前802.11小組所提出的全部加密方式，包括高級(jí)WPA256位加AES40/64128位和152位WEPWPATKIP，特有的128位動(dòng)態(tài)安全鏈路加密，動(dòng)態(tài)會(huì)話密鑰管理。802.1x認(rèn)證使用802.1xRADIUS認(rèn)證和MAC地址聯(lián)合認(rèn)證，確保只有合法用戶和客戶端設(shè)備才可訪問(wèn)網(wǎng)絡(luò)。支持通過(guò)本地控制臺(tái)或通過(guò)SSL或HTTPS集中管理Web控制臺(tái)或通過(guò)SSHv2或Telnet遠(yuǎn)程管理的命令行界面；并可通過(guò)無(wú)線局域網(wǎng)管理系統(tǒng)進(jìn)行集中管理。?用戶和組安全配置和傳統(tǒng)的無(wú)線局域網(wǎng)安全措施一樣，華為無(wú)線網(wǎng)絡(luò)可以依靠物理地址（MAC）過(guò)濾、服務(wù)集標(biāo)識(shí)符（）匹配、訪問(wèn)控制列表（ACL）來(lái)提供對(duì)無(wú)線客戶端的初始過(guò)濾，只允許指定的無(wú)線終端可以連接AP。____________________________________________________________________________________________47-24華為整體網(wǎng)絡(luò)解決方案ACLCoS）在路由器和交換機(jī)的端口上定義，需要通過(guò)臺(tái)式機(jī)的MAC可提供增強(qiáng)的用戶和組的安全策略，針對(duì)特殊要求創(chuàng)建虛擬專用組（VertualPrivateGroupVLAN不再需要通過(guò)物理連接或端口來(lái)實(shí)施，而是根據(jù)用戶和組名來(lái)區(qū)分權(quán)限。?非法接入檢測(cè)和隔離華為無(wú)線網(wǎng)絡(luò)可自動(dòng)執(zhí)行的AP射頻掃描功能通過(guò)標(biāo)識(shí)可去除非法AP，使管理員能更好地查看網(wǎng)絡(luò)狀況，提高對(duì)網(wǎng)絡(luò)的能見(jiàn)度。非法AP通過(guò)引入更多的以生成有害的垃圾郵件、病毒或蠕蟲(chóng)。任何網(wǎng)絡(luò)中都可能存在非法AP，但是網(wǎng)絡(luò)規(guī)模越大就越容易受到攻擊。為了消除這種威脅，可以指定某些AP線局域網(wǎng)來(lái)查找非法AP新分配信道以使網(wǎng)絡(luò)處于連接狀態(tài)并正常運(yùn)行。AP射頻掃描程序還會(huì)檢測(cè)并調(diào)整引起射頻干擾的其他來(lái)源，例如微波爐和無(wú)繩電話。虛擬專用組成員資格、訪問(wèn)控制列表(ACL)、認(rèn)證、漫游策略和歷史、位置跟務(wù)。?監(jiān)視和告警使得管理員能夠快速針對(duì)沖突做出更改。____________________________________________________________________________________________47-254設(shè)備介紹創(chuàng)新的交換速率自適應(yīng)技術(shù)，支持單端口速率40G、100G平滑升級(jí)，同時(shí)5762)創(chuàng)新的三平面架構(gòu)設(shè)計(jì)S9300支持獨(dú)立環(huán)境監(jiān)控與網(wǎng)管聯(lián)動(dòng)，實(shí)現(xiàn)全面可視化管理。9300具備超越5個(gè)9的運(yùn)營(yíng)級(jí)高可靠性，主控、電源、風(fēng)扇等關(guān)鍵部件采____________________________________________________________________________________________華為整體網(wǎng)絡(luò)解決方案數(shù)據(jù)交換平面嚴(yán)格分離，保證業(yè)務(wù)流永續(xù)暢通。獨(dú)立的故障檢測(cè)定位硬件，提供3.3ms高精度硬件級(jí)以太OAM功能，實(shí)現(xiàn)快速故障檢測(cè)與定位，與其他倒換技術(shù)聯(lián)動(dòng)可有效保證毫秒級(jí)網(wǎng)絡(luò)保護(hù)。ISSU業(yè)務(wù)無(wú)縫升級(jí)，減少關(guān)鍵業(yè)務(wù)和服務(wù)中斷。支持（）功能，實(shí)現(xiàn)跨設(shè)備鏈路聚合，二層組網(wǎng)環(huán)故障。支持IEEE802.3ad鏈路匯聚、IEEE802.1s/w和虛擬路由器冗余協(xié)議（VRRPRRPPSmartLink、IP、TEFRR、VPNFRR等，實(shí)現(xiàn)運(yùn)營(yíng)級(jí)級(jí)高可靠性。4)多維集群CSS（集群交換系統(tǒng)）通過(guò)CSS集群虛擬化技術(shù)，將集群主機(jī)虛擬成一臺(tái)邏輯設(shè)備，實(shí)現(xiàn)整個(gè)集群系統(tǒng)控制信息共享和路由、組播表項(xiàng)同步。CSS量數(shù)據(jù)中心對(duì)核心交換設(shè)備的帶寬吞吐要求。CSS集群技術(shù)可以提高系統(tǒng)的可靠性。S9300CSS集群創(chuàng)新性采用交換網(wǎng)集提供業(yè)界最大的256G并消除單點(diǎn)故障。CSS集群可以簡(jiǎn)化核心層的網(wǎng)絡(luò)管理，整個(gè)集群系統(tǒng)共用同一個(gè)虛擬，減少設(shè)備網(wǎng)元，簡(jiǎn)化網(wǎng)絡(luò)拓?fù)涔芾?，提高運(yùn)營(yíng)效率，降低維護(hù)成本。____________________________________________________________________________________________47-285)運(yùn)行中軟件升級(jí)ISSU保障網(wǎng)絡(luò)無(wú)中斷運(yùn)行S9300提供無(wú)損升級(jí)、有損升級(jí)和快速重啟三種ISSU升級(jí)方式，系統(tǒng)可自7)全業(yè)務(wù)以太交換平臺(tái)華為整體網(wǎng)絡(luò)解決方案支持多種速率WAN子卡，滿足廣域接入的需求。具備線速的跨VLAN組播復(fù)制能力，實(shí)現(xiàn)端口滿負(fù)荷復(fù)制，滿足多終端視制點(diǎn)，提供高性能的IP組播視頻和音頻應(yīng)用。國(guó)公司級(jí)大規(guī)模路由，支持，能夠?yàn)槠髽I(yè)網(wǎng)絡(luò)提供平滑升級(jí)能力。支持標(biāo)準(zhǔn)POE，滿足15.4W和30W標(biāo)準(zhǔn)POE供電規(guī)格，滿足企業(yè)在線供電業(yè)務(wù)需求。8)虛擬化數(shù)據(jù)中心交換平臺(tái)S9300CSS集群虛擬化技術(shù)，滿足數(shù)據(jù)中心對(duì)核心、匯聚設(shè)備大容量、高可靠、海量吞吐的要求。首創(chuàng)交換網(wǎng)集群，分布式跨設(shè)備鏈路聚合技術(shù)，有效利用數(shù)據(jù)中心內(nèi)部帶寬資源，實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部數(shù)據(jù)交換對(duì)物理鏈路無(wú)感知。200ms數(shù)據(jù)流量緩存，解決分布式計(jì)算網(wǎng)絡(luò)瞬間流量過(guò)大丟包問(wèn)題。每板最大64K硬件隊(duì)列，支持精細(xì)化QOS和流量管理，利用多種隊(duì)列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實(shí)現(xiàn)多級(jí)的精確調(diào)度，從而滿足不同用戶、同的優(yōu)先級(jí)和隊(duì)列，保證不同的帶寬、業(yè)務(wù)延遲和抖動(dòng)性能需求。9)高性能IPv6業(yè)務(wù)能力S9300軟硬件平臺(tái)均支持，取得工信部IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金色認(rèn)證。支持IPv4/IPv6IPv6靜態(tài)路由、RIPng、OSPFv3BGP+IS-ISv6IPv6組播，滿足IPv6獨(dú)立組網(wǎng)和IPv4/IPv6混合組網(wǎng)要求。10)智能流量負(fù)載均衡____________________________________________________________________________________________47-30華為整體網(wǎng)絡(luò)解決方案S9300負(fù)載均衡器能夠保證服務(wù)可靠性，提高服務(wù)響應(yīng)速度，方便業(yè)務(wù)靈活擴(kuò)展。S9300負(fù)載均衡器支持加權(quán)輪詢、基于連接數(shù)、加權(quán)IP地址Hash和基于HTTPURL的Hash等多種均衡調(diào)度算法，全面滿足客戶負(fù)載均衡要求。務(wù)器針對(duì)請(qǐng)求會(huì)頻繁建立、拆除TCP連接，耗費(fèi)大量CPU資源，影響服務(wù)器響應(yīng)速度。S9300負(fù)載均衡器支持TCP和HTTP重用，減輕服務(wù)器拆除/建立TCP連接的負(fù)載，提高服務(wù)器訪問(wèn)效率。S9300負(fù)載均衡器支持動(dòng)態(tài)“鎖流”技術(shù)，滿足電子商務(wù)網(wǎng)站在線購(gòu)物負(fù)載均衡需求。11)強(qiáng)大的網(wǎng)絡(luò)流量分析能力S9300支持隨板分布式和專用處理線卡集中式網(wǎng)絡(luò)Netstream業(yè)務(wù)分析功能，滿足用戶對(duì)網(wǎng)絡(luò)流量實(shí)時(shí)采集、分析需要。支持NetstreamV5/V8/V9器系統(tǒng)壓力，支持實(shí)時(shí)流量采集、動(dòng)態(tài)報(bào)表生成、屬性分析、流量異常告警等功能。幫助客戶對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控、現(xiàn)網(wǎng)設(shè)備吞吐分析，為優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、科學(xué)合理擴(kuò)容提供決策依據(jù)。12)周密的安全設(shè)計(jì)NATVPN客戶測(cè)、IP掃描和端口掃描攻擊防護(hù)，為企業(yè)打造安全內(nèi)網(wǎng)環(huán)境。應(yīng)用層包過(guò)濾技術(shù)（ApplicationSpecificPacketFilter）對(duì)應(yīng)用層報(bào)文內(nèi)容進(jìn)行復(fù)雜規(guī)則檢測(cè)，支持、、MSN、H.323、SMTP、、FTP、HTTP多種應(yīng)用層協(xié)議。防火墻熱備份，增強(qiáng)網(wǎng)絡(luò)可靠性與抗攻擊能力。支持完善的AAA（Authentication，AuthorizationandAccounting）機(jī)制，根____________________________________________________________________________________________47-31華為整體網(wǎng)絡(luò)解決方案據(jù)策略對(duì)接入用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。支持802.1X、Portal、Guest，支持用戶動(dòng)態(tài)接入認(rèn)證，與其他主流廠商的NAC互通。支持路由協(xié)議加密、MAC地址過(guò)濾、動(dòng)態(tài)ARP檢測(cè)、ACL等等一系列安濾和采樣，可實(shí)現(xiàn)高性能和高擴(kuò)展性。提供2級(jí)CPU保護(hù)機(jī)制，支持1KCPU硬件保護(hù)隊(duì)列，可實(shí)現(xiàn)數(shù)據(jù)和控制業(yè)界領(lǐng)先的一體化安全解決方案。13)六項(xiàng)創(chuàng)新節(jié)能技術(shù)，省電30%首創(chuàng)的“變流”芯片，實(shí)現(xiàn)按流量動(dòng)態(tài)調(diào)整功率，降低功耗8%。獨(dú)特的“旋轉(zhuǎn)”風(fēng)道設(shè)計(jì)，提高整機(jī)散熱效率，降低功耗，同時(shí)整機(jī)出線能力提高6倍。需配置，保護(hù)用戶投資。獨(dú)立風(fēng)扇分區(qū)控制，進(jìn)一步降低功耗和噪聲污染。采用智能風(fēng)扇調(diào)速策略，監(jiān)測(cè)全系統(tǒng)關(guān)鍵器件溫度，采用小區(qū)間控溫技術(shù)，可以有效降低轉(zhuǎn)速，并延長(zhǎng)風(fēng)扇使用壽命。支持端口休眠，無(wú)流量不耗電。14)歸一化平臺(tái)設(shè)計(jì)，最小化備件成本S9300解決整機(jī)散熱的難題，實(shí)現(xiàn)了單機(jī)柜業(yè)界最大設(shè)備端口密度。S9300全系列產(chǎn)品整機(jī)高度歸一化設(shè)計(jì)，電源、風(fēng)扇、環(huán)境監(jiān)控板等全部通用，減少備件種類，節(jié)省用戶投資。采用自主節(jié)能芯片，高效節(jié)能管理平臺(tái)，能效比業(yè)界領(lǐng)先。____________________________________________________________________________________________47-321)強(qiáng)大的業(yè)務(wù)處理能力，提升網(wǎng)絡(luò)架構(gòu)擴(kuò)展性華為整體網(wǎng)絡(luò)解決方案具備線速的跨VLAN組播復(fù)制能力，實(shí)現(xiàn)端口滿負(fù)荷復(fù)制，滿足多終端視PIMSMPIM、PIMSSM、、IGMP，提供高性能的IP組播視頻和音頻應(yīng)用。華為VRPOSPFBGP多種路由協(xié)議，IPv4到IPv6平滑升級(jí)能力。支持標(biāo)準(zhǔn)POE，滿足15.4W和30W標(biāo)準(zhǔn)POE供電規(guī)格，滿足企業(yè)在線供電業(yè)務(wù)需求。2)運(yùn)營(yíng)級(jí)高可靠性設(shè)計(jì)，可視化故障診斷S7700具備超越5個(gè)9的運(yùn)營(yíng)級(jí)高可靠性，主控、電源、風(fēng)扇等關(guān)鍵部件采數(shù)據(jù)交換平面嚴(yán)格分離，保證業(yè)務(wù)流永續(xù)暢通。300pps/3.3ms高精度硬件級(jí)以太OAM功能，網(wǎng)絡(luò)故障發(fā)生時(shí)能夠在第一時(shí)間檢測(cè)所有終端Session聯(lián)通性，圖形化網(wǎng)管故障診斷界面，設(shè)備節(jié)點(diǎn)、鏈路自動(dòng)遍歷，實(shí)現(xiàn)網(wǎng)絡(luò)快速故障檢測(cè)與定位。雅重啟實(shí)現(xiàn)NSFISSU程中確保關(guān)鍵業(yè)務(wù)和服務(wù)不中斷。LFR）技術(shù)，以太網(wǎng)無(wú)需運(yùn)行任何破環(huán)協(xié)議，簡(jiǎn)化網(wǎng)絡(luò)部署，提高鏈路利用效率，設(shè)備故障不引起網(wǎng)絡(luò)震蕩和拓?fù)涫諗?。支持IEEE802.3ad鏈路匯聚、IEEE802.1s/w和虛擬路由器冗余協(xié)議（VRRPRRPPSmartLink、IP、TEFRR、VPNFRR等，實(shí)現(xiàn)運(yùn)營(yíng)級(jí)高可靠性。支持（）功能，設(shè)備鏈路聚合由單機(jī)支持?jǐn)U展到跨設(shè)備支持，減少網(wǎng)元維護(hù)，簡(jiǎn)化網(wǎng)絡(luò)層次，提高設(shè)備鏈路利用效率。3)運(yùn)行中軟件升級(jí)，網(wǎng)絡(luò)業(yè)務(wù)無(wú)中斷運(yùn)行____________________________________________________________________________________________47-34華為整體網(wǎng)絡(luò)解決方案ISSU可以在設(shè)備軟件升級(jí)過(guò)程中，減少系統(tǒng)業(yè)務(wù)中斷時(shí)間，顯著地提高設(shè)備的可靠性。真正使企業(yè)網(wǎng)絡(luò)具備“全天候”提供業(yè)務(wù)能力，實(shí)現(xiàn)設(shè)備軟件升級(jí)流量“零”割接，應(yīng)用不中斷。S7700提供無(wú)損升級(jí)、有損升級(jí)和快速重啟三種ISSU升級(jí)方式，系統(tǒng)可自動(dòng)比較新舊版本各個(gè)模塊間差異，給出升級(jí)方式建議，供用戶選擇。支持ISSU升級(jí)失敗時(shí)自動(dòng)回退（Auto-Rollback）版本，線卡采用新舊版本進(jìn)程備份技術(shù)減少ISSU中斷應(yīng)用的影響。4)完善的QOS機(jī)制，提升語(yǔ)音、視頻用戶體驗(yàn)S7700提供高品質(zhì)的QOS（QualityofService）能力，支持從鏈路層到應(yīng)用級(jí)的精確調(diào)度，從而滿足企業(yè)不同用戶終端、不同業(yè)務(wù)種類的服務(wù)質(zhì)量要求。S7700提供硬件組播QOS低延時(shí)隊(duì)列，全面滿足企業(yè)視頻業(yè)務(wù)優(yōu)先級(jí)保障需求，為視頻會(huì)議、監(jiān)控等關(guān)鍵業(yè)務(wù)提供高質(zhì)量承載保障。創(chuàng)新的優(yōu)先級(jí)調(diào)度算法，對(duì)傳統(tǒng)QOS隊(duì)列調(diào)度進(jìn)行了專門(mén)針對(duì)企業(yè)語(yǔ)音與視頻的優(yōu)化，大幅降低IP語(yǔ)音時(shí)延、消除視頻馬賽克，提高用戶體驗(yàn)。5)高性能IPv6業(yè)務(wù)能力，IPv4到IPv6平滑升級(jí)S7700軟硬件平臺(tái)均支持，取得工信部IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金色認(rèn)證。支持IPv4/IPv6IPv6靜態(tài)路由、RIPng、OSPFv3BGP+IS-ISv6IPv6組播，滿足IPv6獨(dú)立組網(wǎng)和IPv4/IPv6混合組網(wǎng)要求。6)智能流量負(fù)載均衡，提升企業(yè)IT利用效率S7700負(fù)載均衡器能夠保證服務(wù)可靠性，提高服務(wù)響應(yīng)速度，方便業(yè)務(wù)靈活擴(kuò)展。S7700負(fù)載均衡器支持加權(quán)輪詢、基于連接數(shù)、加權(quán)IP地址Hash和基于____________________________________________________________________________________________47-35華為整體網(wǎng)絡(luò)解決方案HTTPURL的Hash等多種均衡調(diào)度算法，全面滿足客戶負(fù)載均衡要求。務(wù)器針對(duì)請(qǐng)求會(huì)頻繁建立、拆除TCP連接，耗費(fèi)大量CPU資源，影響服務(wù)器響應(yīng)速度。S7700負(fù)載均衡器支持TCP和HTTP重用，減輕服務(wù)器拆除/建立TCP連接的負(fù)載，提高服務(wù)器訪問(wèn)效率。S7700負(fù)載均衡器支持動(dòng)態(tài)“鎖流”技術(shù)，滿足電子商務(wù)網(wǎng)站在線購(gòu)物負(fù)載均衡需求。7)強(qiáng)大的網(wǎng)絡(luò)流量分析能力，隨時(shí)網(wǎng)絡(luò)健康診斷S7700支持隨板分布式網(wǎng)絡(luò)Netstream業(yè)務(wù)分析功能，滿足用戶對(duì)網(wǎng)絡(luò)流量實(shí)時(shí)采集、分析需要。支持NetstreamV5/V8/V9器系統(tǒng)壓力，支持實(shí)時(shí)流量采集、動(dòng)態(tài)報(bào)表生成、屬性分析、流量異常告警等功能。幫助客戶對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控、現(xiàn)網(wǎng)設(shè)備吞吐分析，為優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、科學(xué)合理擴(kuò)容提供決策依據(jù)。8)全方位安全保護(hù)，應(yīng)對(duì)企業(yè)內(nèi)外部安全威脅NATVPN客戶測(cè)、IP掃描和端口掃描攻擊防護(hù)，為企業(yè)打造安全內(nèi)網(wǎng)環(huán)境。應(yīng)用層包過(guò)濾技術(shù)（ApplicationSpecificPacketFilter）對(duì)應(yīng)用層報(bào)文內(nèi)容進(jìn)行復(fù)雜規(guī)則檢測(cè)，支持、、MSN、H.323、SMTP、、FTP、HTTP多種應(yīng)用層協(xié)議。防火墻熱備份，增強(qiáng)網(wǎng)絡(luò)可靠性與抗攻擊能力。提供完善的NACMAC地址認(rèn)證、Portal認(rèn)證、802.1x認(rèn)證、DHCPSnooping集中式IP地址分配等多種接入方式的安全挑戰(zhàn)，確保企業(yè)網(wǎng)絡(luò)安全。支持路由協(xié)議加密、MAC地址過(guò)濾、動(dòng)態(tài)ARP檢測(cè)、ACL等等一系列安____________________________________________________________________________________________47-36華為整體網(wǎng)絡(luò)解決方案濾和采樣，可實(shí)現(xiàn)高性能和高擴(kuò)展性。提供2級(jí)CPU保護(hù)機(jī)制，支持1KCPU硬件保護(hù)隊(duì)列，可實(shí)現(xiàn)數(shù)據(jù)和控制業(yè)界領(lǐng)先的一體化安全解決方案。9)無(wú)線AC模塊，全面滿足移動(dòng)辦公需求S7700無(wú)線AC板卡支持豐富的RF管理。支持AP上線時(shí)自動(dòng)選擇信道和功率，在AP重疊區(qū)域，信號(hào)沖突時(shí)自動(dòng)調(diào)整功率或信道，RSSI/SNR的不斷更新，讓系統(tǒng)可以適時(shí)了解每一個(gè)無(wú)線用戶所處電磁環(huán)境，提升網(wǎng)絡(luò)可用性。支持智能的負(fù)載均衡，確保只對(duì)處于AP覆蓋重疊區(qū)的無(wú)線用戶才啟動(dòng)AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，最大限度的提高了無(wú)線網(wǎng)絡(luò)容量。支持無(wú)線入侵檢查WIDSAP/白名單設(shè)置和無(wú)線協(xié)議攻擊防御等WIDS功能，有效的提高了無(wú)線網(wǎng)絡(luò)的整體安全。10)一體化EPON板卡，無(wú)源維護(hù)更舒心S7700EPON板卡支持12EPON接口與12GE共存，節(jié)省建網(wǎng)投資。支持1.25G上下行對(duì)稱帶寬，最大1：64分光。S7700集成化EPON解決方案廣泛適用于政府、公安、道路交通、大型企業(yè)的高清視頻監(jiān)控傳輸。S7700可同時(shí)承擔(dān)EPON接入和核心層路由交換機(jī)雙重角色，減少網(wǎng)絡(luò)層次，降低用戶組網(wǎng)成本。11)創(chuàng)新節(jié)能芯片，智能功耗控制創(chuàng)新節(jié)能芯片，實(shí)現(xiàn)按流量動(dòng)態(tài)調(diào)整功率，支持端口休眠，無(wú)流量不耗電。降低轉(zhuǎn)速，并延長(zhǎng)風(fēng)扇使用壽命。____________________________________________________________________________________________47-3724個(gè)10/100/1000Base-T，4分交流供電和直流供電兩種機(jī)型,支持RPS12V冗余電源24個(gè)10/100/1000Base-T，448個(gè)10/100/1000Base-T，4分交流供電和直流供電兩種機(jī)型，支持RPS12V冗余電源48個(gè)10/100/1000Base-T，4雙電源，可插拔24個(gè)100/1000Base-X，4個(gè)10/100/1000Base-T千兆Combo4×1000Base-X、2×10GESFP＋、4×10GESFP＋插卡，雙電源，可插拔24個(gè)10/100/1000Base-T，上行支持4×1000Base-XSFP或者2×10GESFP＋插卡S5700-52C-SI/EI/PWR-EI雙電源，可插拔，支持USB口48個(gè)10/100/1000Base-T，上行支持4×1000Base-XSFP、2×10GESFP＋或者4×10GESFP＋插卡，雙電源，可插拔48個(gè)10/100/1000Base-T，上行支持4×1000Base-XSFP或者2×10GESFP＋插卡產(chǎn)品特點(diǎn)1)強(qiáng)大的多業(yè)務(wù)支持能力解決用戶數(shù)據(jù)安全問(wèn)題，同時(shí)降低用戶投資成本。2)完備的高可靠保護(hù)機(jī)制S5700支持智能以太保護(hù)SEP（SmartEthernetProtectionSEP是一種專用華為整體網(wǎng)絡(luò)解決方案?jìng)洌⑻峁?0ms的快速業(yè)務(wù)倒換性能。保證業(yè)務(wù)的不中斷。在華為設(shè)備上已經(jīng)利用SEP協(xié)議實(shí)現(xiàn)了以太網(wǎng)鏈路管理。SEP協(xié)議簡(jiǎn)單可靠、倒換性能高、維護(hù)方便、拓?fù)潇`活，可以大大方便用戶進(jìn)行網(wǎng)絡(luò)的管理和規(guī)劃。S5700支持雙電源冗余供電，也可以交、直流同時(shí)輸入。用戶可靈活選擇單電源工作模式或者雙電源工作模式，提高了設(shè)備可靠性。S5700EI系列支持VRRPVRRP障網(wǎng)絡(luò)穩(wěn)定。支持在設(shè)備上配置多條等價(jià)路由的方式實(shí)現(xiàn)上行路由的冗余備份，備份。S5700支持BFD鏈路快速檢測(cè)功能，能為OSPF、、VRRP、PIM等協(xié)S5700遵循IEEE802.3ah和802.1ag路上的故障。3)完備的QoS策略和安全機(jī)制S5700IP優(yōu)先級(jí)、DSCPIP協(xié)議類型、ICMP類型、TCP源端口、、以太網(wǎng)幀協(xié)議類型、CoS等信息，實(shí)現(xiàn)復(fù)雜流分流功能，支持雙向。5700支持基于流的雙速三色限速功能，每端口支持8個(gè)優(yōu)先級(jí)隊(duì)列，支持WRRDRRSPWRRSPDRR+SP多種隊(duì)列調(diào)度算法，有效地保證了話音、視頻和數(shù)據(jù)等網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量。S5700系列交換機(jī)提供多種安全保護(hù)功能。支持DoS（DenialofService）類DoS類防攻擊主要包括SYNFlood、、Smurf、ICMPFlood。網(wǎng)絡(luò)的防攻擊主要是指STP的bpdu/root攻擊。用戶的防攻擊涉及DHCP仿冒攻擊、中間人攻擊、IP/MACSpoofing攻擊、DHCPrequest、改變CHADDR值的DoS攻擊等等。S5700支持通過(guò)建立和維護(hù)DHCPSnooping綁定表，偵聽(tīng)接入用戶的MAC/IP地址、租用期、VLAN-ID、接口等信息，解決DHCP用戶的IP和端____________________________________________________________________________________________47-42華為整體網(wǎng)絡(luò)解決方案口跟蹤定位問(wèn)題。同時(shí)，對(duì)不符合綁定表項(xiàng)的非法報(bào)文（ARP欺騙報(bào)文、擅自修改IP地址等）直接丟棄，有效防止黑客或攻擊者通過(guò)ARP報(bào)文實(shí)施園區(qū)網(wǎng)常見(jiàn)的“中間人”攻擊。利用DHCPSnooping的信任端口特性還可以保證DHCPServer的合法性。S5700支持ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能，可以防止因ARP欺騙攻擊將交換機(jī)ARP表項(xiàng)占滿，導(dǎo)致正常用戶無(wú)法上網(wǎng)。同時(shí)，支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒帶來(lái)的DOS攻擊。S5700支持集中式MAC地址認(rèn)證和802.1x認(rèn)證及NAC功能，支持用戶賬MACVLAN、端口、客戶端是否安裝病毒防范等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略（、QoS、）的動(dòng)態(tài)下發(fā)。S5700支持基于端口的源MAC地址學(xué)習(xí)限制功能，有效防止用戶源MAC欺騙沖擊設(shè)備MAC表項(xiàng)，導(dǎo)致正常用戶無(wú)法學(xué)到MAC表而泛洪的問(wèn)題等。4)免維護(hù)易部署S5700支持自動(dòng)配置、即插即用、USB開(kāi)局、自動(dòng)批量遠(yuǎn)程升級(jí)等功能，便S5700支持SNMPCLI命令行、Web網(wǎng)管、TELNETHGMP集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+RMONNQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。5)POE特性S5700PWR系列交換機(jī)可以通過(guò)配置不同功率等級(jí)的POE電源支持PoE（PowerOverEthernet）功能，即可通過(guò)網(wǎng)線向遠(yuǎn)端下掛PD設(shè)備（如IP、WLAN、Security、BluetoothAP等）提供-48V直流電源，實(shí)現(xiàn)對(duì)下掛PD設(shè)PSE（PowerSourcingEquipmentIEEE802.3af及802.3at(POE+)供電標(biāo)準(zhǔn)，同時(shí)兼容不符合802.3af及802.3at標(biāo)準(zhǔn)的PD（Powered）設(shè)備。其中802.3at單端口供電功率高達(dá)30WPOE+功能提____________________________________________________________________________________________47-43華為整體網(wǎng)絡(luò)解決方案升了單端口的最大功率，實(shí)現(xiàn)了支持at標(biāo)準(zhǔn)大功率應(yīng)用的智能化功率管理，有效方便了客戶的應(yīng)用。同時(shí)支持綠色PoE節(jié)電應(yīng)用模式。S5700PWR全系列交換機(jī)支持完善的POEPOE端口是否供電以及何時(shí)供電。6)良好的可擴(kuò)展性S5700系列交換機(jī)支持智能堆疊iStack即可自動(dòng)組建堆疊虛擬框式架構(gòu)。堆疊成員分為主、備、從三種角色。新增備交電纜實(shí)現(xiàn)多臺(tái)設(shè)備的擴(kuò)展，單一