商場網(wǎng)絡(luò)方案150521

xxx-DCN商場網(wǎng)絡(luò)建設(shè)方案2/50某商場網(wǎng)絡(luò)解決方案V1神州數(shù)碼網(wǎng)絡(luò)有限公司2015年05月目錄TOC\o"1-4"\h\z\u第一章商場的基本概念 41 建設(shè)目標(biāo) 42 建設(shè)思路 5第二章需求分析 51 xxx網(wǎng)絡(luò)應(yīng)用需求 52 xxx網(wǎng)絡(luò)性能需求 6第三章商場網(wǎng)絡(luò)設(shè)計技術(shù)規(guī)范 61 網(wǎng)絡(luò)架構(gòu)分析 62 設(shè)計思想 72.1 實用性和集成性 82.2 標(biāo)準(zhǔn)性和開放性 82.3 先進(jìn)性和實用性 82.4 成熟性和可靠性 82.5 可維護(hù)性和可管理性 92.6 可擴(kuò)充性和兼容性 92.7 其他 10第四章xxx新校區(qū)商場網(wǎng)解決方案 101 商場網(wǎng)解決方案 102 商場網(wǎng)絡(luò)解決方案 122.1 網(wǎng)絡(luò)基礎(chǔ)平臺承載設(shè)計 122.1.1 核心層設(shè)計分析 122.1.2 匯聚層設(shè)計分析 142.1.3 接入層設(shè)計分析 142.2 xxx商場網(wǎng)安全出口設(shè)計 152.2.1 網(wǎng)絡(luò)出口綜合防御設(shè)計 162.2.2 城域網(wǎng)輿情監(jiān)控設(shè)計 182.3 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計 202.3.1 網(wǎng)絡(luò)管理描述 202.3.2 統(tǒng)一網(wǎng)絡(luò)管理平臺功能描述 202.4 商場網(wǎng)的安全策略部署 232.4.1 設(shè)備物理安全策略 232.4.2 網(wǎng)絡(luò)基本功能安全策略 242.4.3 網(wǎng)絡(luò)管理功能安全策略 252.4.4 網(wǎng)絡(luò)應(yīng)用功能安全策略 252.4.5 網(wǎng)絡(luò)層次功能安全策略 263 商場無線網(wǎng)絡(luò)解決方案 293.1 無線商場網(wǎng)現(xiàn)狀 293.2 設(shè)計原則與規(guī)劃 303.2.1 設(shè)計原則 303.2.2 無線協(xié)議標(biāo)準(zhǔn)選擇 313.2.3 無線頻段規(guī)劃 313.3 無線安全設(shè)計 343.3.1 WIDS無線入侵檢測 343.3.2 WIPS無線入侵防御和非法用戶定位 363.3.3 黑白名單--無線網(wǎng)絡(luò)的安檢員 373.3.4 完備內(nèi)置防火墻策略 383.3.5 用戶隔離 383.4 無線服務(wù)質(zhì)量設(shè)計 393.4.1 端到端的無線有線一體化QOS功能 393.4.2 WLAN優(yōu)先級服務(wù) 423.4.3 WMM 433.4.4 語音視頻 453.4.5 組播轉(zhuǎn)單播的機(jī)制 453.5 無線關(guān)鍵技術(shù) 463.5.1 終端時分公平 463.5.2 無線環(huán)境頻譜分析 473.5.3 集中式隧道轉(zhuǎn)發(fā)技術(shù)下L3漫游和跨AC漫游 483.5.4 AP跨NAT接入無線控制器 493.5.5 基于時間的訪問控制 503.5.6 基于終端角色的策略管理機(jī)制 503.5.7 3.1.7無線遠(yuǎn)程抓包 513.5.8 無線SAVI(源地址有效性驗證) 523.5.9 AP自動逃生機(jī)制 54第五章：附件： 56第一章背景概述1、背景

最近幾年電商對傳統(tǒng)零售的沖擊越來越大，互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算以及大數(shù)據(jù)等新興技術(shù)會深深的重塑零售業(yè)的商業(yè)規(guī)則。但是傳統(tǒng)零售也大可不必談電商色變，線上和線下將會長期共存，談到近年來線下零售形勢的不好，很多人將因素歸結(jié)為電商的沖擊。但是仔細(xì)分析下，現(xiàn)在我國的電子商務(wù)交易額占社會消費(fèi)品總額的比例不足5%，如此小比例的電商如何能拖住整個線下零售業(yè)發(fā)展的步伐。即使未來的某一天電商交易額占社會消費(fèi)品總額的比例達(dá)到了20%，那么仍有80%價值十幾乃至幾十萬億的交易在線下發(fā)生。因此，我們絕不能忽視電商這一渠道給零售業(yè)帶來的沖擊，但也不能唯電商論，線下仍舊會是零售的主要渠道，只不過是線下的玩法需要與時俱進(jìn)。

在新技術(shù)和新渠道的沖擊下，傳統(tǒng)零售所奉行的線下的商業(yè)規(guī)則和思路，已經(jīng)逐漸變得不適用了，一系列的新技術(shù)手段和商業(yè)模式通過影響消費(fèi)者的購物決策過程改變了消費(fèi)者和整個零售業(yè)。

新的營銷方式方法、新的商業(yè)流程、新的商業(yè)生態(tài)系統(tǒng)，對于傳統(tǒng)商業(yè)生態(tài)系統(tǒng)將會開展一次革命性的顛覆。同時也是目前傳統(tǒng)零售商面臨的挑戰(zhàn)。2、機(jī)遇

通常，一個典型的購買過程包括消費(fèi)者從認(rèn)識到自身需求開始，經(jīng)過信息的收集以及產(chǎn)品的選擇與判斷，最后做出購買決定。消費(fèi)者從需求被激發(fā)開始，通過不斷地接受和收集各種信息，對這些信息的綜合判斷最終形成購買的決定。對于商家來說為了順利地實現(xiàn)銷售，在用戶做出購買決定之前如果能施加的影響越多，那么達(dá)成交易的可能性越大。這對于發(fā)展過于成熟的互聯(lián)網(wǎng)來說，簡直駕輕就熟。電商網(wǎng)站通過使用網(wǎng)站cookie跟蹤用戶行為，通過DSP,RTB,ADX得以實時展現(xiàn)在消費(fèi)者面前。而對于線下零售商，在很長一段時間里，信息的來源和傳播手段，分析策略都是極其匱乏的。

現(xiàn)在，一方面隨著互聯(lián)網(wǎng)和智能手機(jī)的深入普及，消費(fèi)者有了更多獲取信息的渠道，零售也變得不完全唯地段論了；另一方面移動互聯(lián)網(wǎng)從概念變成現(xiàn)實，帶來了更多的接觸點(diǎn)、更新的交互方式和技術(shù)趨勢。這些因素交織在一起改變了消費(fèi)者購物以及收集信息的方式，信息流逐漸變得更加的實時，零售商面臨的環(huán)境也更加的動態(tài)和多變?？傊曰ヂ?lián)網(wǎng)和移動互聯(lián)網(wǎng)正在重塑行業(yè)內(nèi)的商業(yè)規(guī)則，消費(fèi)者的行為和習(xí)慣呈現(xiàn)出了不同于以往任何時代的特征。對于傳統(tǒng)零售商來說，線下依舊會是主要的零售渠道，但是如何利用互聯(lián)網(wǎng)和移動智能終端出現(xiàn)的新的特征，實現(xiàn)泛渠道的營銷，全渠道的管理，改進(jìn)客戶關(guān)系管理方法、優(yōu)化商業(yè)流程是呈現(xiàn)在我們面前的最大機(jī)遇。第二章網(wǎng)絡(luò)設(shè)計技術(shù)規(guī)范網(wǎng)絡(luò)架構(gòu)分析現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)化布線工程中多采用星型結(jié)構(gòu)，主要用于同一樓層，由各個房間的計算機(jī)間用集線器或者交換機(jī)連接產(chǎn)生的，它具有施工簡單，擴(kuò)展性高，成本低和可管理性好等優(yōu)點(diǎn)；而商場網(wǎng)在分層布線主要采用樹型結(jié)構(gòu)；每個房間的計算機(jī)連接到本層的集線器或交換機(jī)，然后每層的集線器或交換機(jī)在連接到本樓出口的交換機(jī)或路由器，各個樓的交換機(jī)或路由器再連接到商場網(wǎng)的通信網(wǎng)中，由此構(gòu)成了商場網(wǎng)的拓補(bǔ)結(jié)構(gòu)商場網(wǎng)采用星形的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，骨干網(wǎng)為千兆或萬兆速率具有良好的可運(yùn)行性、可管理性，能夠滿足未來發(fā)展和新技術(shù)的應(yīng)用，另外作為整個網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運(yùn)行。因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性，我們選擇熱路由備份可以有效地提高核心交換的可靠性。傳輸介質(zhì)也要適合建網(wǎng)需要。在樓宇之間采用光纖，保證了骨干網(wǎng)絡(luò)的穩(wěn)定可靠，不受外界電磁環(huán)境的干擾，覆蓋距離大，能夠覆蓋全部商場。在樓宇內(nèi)部采用6類雙絞線。設(shè)計思想進(jìn)行商場總體設(shè)計，首先要進(jìn)行對象研究和需求調(diào)查，明確商場的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)及系統(tǒng)建設(shè)的需求和條件，對商場的信息化環(huán)境進(jìn)行準(zhǔn)確的描述；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定商場Intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo)；第三是確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標(biāo)和商場主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計；第四，確定技術(shù)設(shè)計的原則要求，如在技術(shù)選型、布線設(shè)計、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃商場網(wǎng)建設(shè)的實施步驟。商場網(wǎng)總體設(shè)計方案的科學(xué)性，應(yīng)該體現(xiàn)在能否滿足以下基本要求方面：整體規(guī)劃安排；先進(jìn)性、開放性和標(biāo)準(zhǔn)化相結(jié)合；結(jié)構(gòu)合理，便于維護(hù)；高效實用；支持寬帶多媒體業(yè)務(wù)；能夠?qū)崿F(xiàn)快速信息交流、協(xié)同工作和形象展示。在追求性能優(yōu)越、經(jīng)濟(jì)實用的前提下，本著嚴(yán)謹(jǐn)、慎重的態(tài)度，神州數(shù)碼網(wǎng)絡(luò)商場方案從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實施過程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計，力圖使該系統(tǒng)真正成為符合商場真正需求的網(wǎng)絡(luò)系統(tǒng)。從技術(shù)措施角度來講，在系統(tǒng)的設(shè)計和實現(xiàn)中，神州數(shù)碼公司將嚴(yán)格遵守以下原則：實用性和集成性無論是系統(tǒng)的軟硬件設(shè)計、還是集成，均應(yīng)以適用為第一宗旨，在系統(tǒng)充分適應(yīng)商場業(yè)務(wù)需求的基礎(chǔ)上進(jìn)而再來考慮其他的性能。該系統(tǒng)所包含的內(nèi)容很多，系統(tǒng)設(shè)計者必須能將各種先進(jìn)的軟硬件設(shè)備有效地集成在一起，使系統(tǒng)的各個組成部分能充分發(fā)揮作用，協(xié)調(diào)一致地進(jìn)行高效工作。標(biāo)準(zhǔn)性和開放性只有支持標(biāo)準(zhǔn)性和開放性的系統(tǒng)，才能支持與其他開放型系統(tǒng)一起協(xié)同工作，在網(wǎng)絡(luò)中采用的硬件設(shè)備及軟件產(chǎn)品應(yīng)支持國際工業(yè)標(biāo)準(zhǔn)或事實上的標(biāo)準(zhǔn)，以便能和不同廠家的開放型產(chǎn)品在同一網(wǎng)絡(luò)中同時共存；通信中應(yīng)采用標(biāo)準(zhǔn)的通信協(xié)議以使不同的操作系統(tǒng)與不同的網(wǎng)絡(luò)系統(tǒng)及不同的網(wǎng)絡(luò)之間順利進(jìn)行通訊。對于處于同一工作范圍內(nèi)的網(wǎng)絡(luò)設(shè)備，要求硬件設(shè)備符合NEBS標(biāo)準(zhǔn)體系認(rèn)證，保證運(yùn)行設(shè)備不會對其他提供服務(wù)的設(shè)備造成負(fù)面影響，不會對人和環(huán)境造成傷害，降低火災(zāi)隱患。只有符合NEBS國際標(biāo)準(zhǔn)認(rèn)證的核心網(wǎng)絡(luò)設(shè)備，才能夠滿足以上的關(guān)鍵需求，符合商場的建設(shè)要求。先進(jìn)性和實用性系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進(jìn)性。我們不能一味地追求實用而忽略先進(jìn)，只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實際應(yīng)用要求緊密結(jié)合，才能獲得最大的系統(tǒng)性能和效益。商場是網(wǎng)絡(luò)技術(shù)應(yīng)用的先行者，在網(wǎng)絡(luò)設(shè)計中，我們充分考慮商場網(wǎng)絡(luò)設(shè)備對新技術(shù)標(biāo)準(zhǔn)的支持能力，例如：IPV6、MPLSVPN、虛擬化等技術(shù)的支持。對于商場網(wǎng)絡(luò)中心，大數(shù)據(jù)交換量需求的場合，建議使用高性能的萬兆核心交換機(jī)滿足服務(wù)器的負(fù)載均衡功能，滿足商場用戶的大數(shù)據(jù)量通訊的需求。網(wǎng)絡(luò)的安全是至關(guān)重要的，對網(wǎng)絡(luò)安全隱患的預(yù)防、以及在網(wǎng)絡(luò)出現(xiàn)安全問題時的快速定位和控制是商場網(wǎng)絡(luò)建設(shè)中應(yīng)該首要考慮的問題，在網(wǎng)絡(luò)方案中提供解決的方式和手段。在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保護(hù)系統(tǒng)的安全，所以在網(wǎng)絡(luò)設(shè)備的選擇上要考慮設(shè)備的安全和穩(wěn)定性等方面的需求。成熟性和可靠性作為信息系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的配置及帶寬應(yīng)能充分地滿足網(wǎng)絡(luò)通信的需要。網(wǎng)絡(luò)硬件體系結(jié)構(gòu)和產(chǎn)品應(yīng)在實際應(yīng)用中能經(jīng)過較長時間的考驗，在運(yùn)行速度和性能上都應(yīng)是穩(wěn)定可靠的、擁有完善的、實用的解決方案，并得到較多的第三方開發(fā)商和用戶在全球范圍的廣泛支持和使用。同時，應(yīng)從長遠(yuǎn)的技術(shù)發(fā)展來選擇具有很好前景的、較為先進(jìn)的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)未來的發(fā)展需要。可靠性也是衡量一個計算機(jī)應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。在系統(tǒng)網(wǎng)絡(luò)環(huán)境中單獨(dú)設(shè)備穩(wěn)定、可靠運(yùn)行的前提下，還需要考慮網(wǎng)絡(luò)整體的容錯能力、安全性及穩(wěn)定性，使系統(tǒng)出現(xiàn)問題和故障時能迅速地修復(fù)。因此需要采取一定的預(yù)防措施，如對關(guān)鍵應(yīng)用和主干設(shè)備考慮有適當(dāng)?shù)娜哂?。?yīng)急處理信息系統(tǒng)能夠全天候工作，達(dá)到每周7x24小時工作的要求。通過選擇先進(jìn)體系結(jié)構(gòu)的硬件設(shè)備，使商場網(wǎng)絡(luò)系統(tǒng)滿足5個9的可靠性，使每年的系統(tǒng)維護(hù)時間縮短在5.36分鐘之內(nèi)。一個高可用性的系統(tǒng)才能使用戶的投資真正得到回報?？删S護(hù)性和可管理性整個信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備，應(yīng)是使用方便、操作簡單易學(xué)，并便于維護(hù)。對復(fù)雜和龐大的網(wǎng)絡(luò)，要求有強(qiáng)有力的網(wǎng)絡(luò)管理手段，以便合理的管理網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)及控制網(wǎng)絡(luò)的運(yùn)行。因此，網(wǎng)絡(luò)所選網(wǎng)絡(luò)設(shè)備應(yīng)支持SNMP、RMON、SMON等協(xié)議，并支持IPV4/6的各種網(wǎng)絡(luò)管理協(xié)議，管理員通過網(wǎng)管工作站就能方便地進(jìn)行網(wǎng)絡(luò)管理、維護(hù)甚至修復(fù)。在設(shè)計和實現(xiàn)計算機(jī)應(yīng)用系統(tǒng)時，必須充分考慮整個系統(tǒng)的便于維護(hù)性，以使系統(tǒng)在萬一發(fā)生故障時能提供有效手段及時進(jìn)行恢復(fù)，盡量減少損失?？蓴U(kuò)充性和兼容性網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)具有可擴(kuò)展性即網(wǎng)絡(luò)聯(lián)結(jié)必須在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與處理能力、物理聯(lián)接、產(chǎn)品支持等方面具有擴(kuò)充與升級換代的可能，采用的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn)，以便不同類型的設(shè)備能方便靈活地聯(lián)接入網(wǎng)并滿足系統(tǒng)規(guī)模擴(kuò)充的要求。特別是在IPV6的支持方面一定要做到國際領(lǐng)先地位，IPV6是網(wǎng)絡(luò)發(fā)展的必然方向，現(xiàn)在已經(jīng)開始大規(guī)模的商用，所以在設(shè)備的選擇上要著重考慮對IPV6的支持程度和先進(jìn)性。為了使所實現(xiàn)系統(tǒng)能夠在應(yīng)用發(fā)生變化的情況下保護(hù)原有開發(fā)投資，在設(shè)計系統(tǒng)時，應(yīng)將系統(tǒng)按功能做成模塊化的，可根據(jù)需要增加和刪減功能模塊。其他在系統(tǒng)集成的設(shè)計過程中，決定性的因素還有很多，需要結(jié)合用戶需求綜合考慮。例如，網(wǎng)絡(luò)數(shù)據(jù)流量的估計是網(wǎng)絡(luò)所需帶寬的重要依據(jù)，以信息服務(wù)系統(tǒng)為例，其工作方式主要分為局域網(wǎng)內(nèi)部工作站對網(wǎng)絡(luò)服務(wù)器上的信息資源的訪問和遠(yuǎn)程計算機(jī)對本局域網(wǎng)網(wǎng)絡(luò)服務(wù)器上信息資源的訪問兩種。由于局域網(wǎng)內(nèi)工作站對網(wǎng)絡(luò)服務(wù)器的訪問有可能造成網(wǎng)絡(luò)最大的數(shù)據(jù)流量，使服務(wù)器和網(wǎng)絡(luò)設(shè)備之間的連接成為系統(tǒng)瓶頸口，使網(wǎng)絡(luò)發(fā)生擁塞，因此需要對這一數(shù)據(jù)流量進(jìn)行一個大致的估計，以便按照估計在服務(wù)器和工作站之間配置容量相當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備和通訊帶寬。遵從了如上的設(shè)計原則，選擇技術(shù)先進(jìn)，經(jīng)濟(jì)實用、適應(yīng)性強(qiáng)、可靠性高、可擴(kuò)展性好的設(shè)備，從而使系統(tǒng)具有較高的性能價格比，真正滿足商場的應(yīng)用需求。第三章xxx商場網(wǎng)解決方案商場網(wǎng)解決方案xxx網(wǎng)絡(luò)拓?fù)涫疽鈭D如下所示：商場網(wǎng)絡(luò)解決方案網(wǎng)絡(luò)基礎(chǔ)平臺承載設(shè)計核心層設(shè)計分析作為商場網(wǎng)絡(luò)核心設(shè)備，必須提供全線速的數(shù)據(jù)交換，同時當(dāng)網(wǎng)絡(luò)流量較大時，對關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運(yùn)行。同時，骨干交換機(jī)的功能還應(yīng)具有較強(qiáng)的擴(kuò)展性，目前網(wǎng)絡(luò)正處在IPv4->IPv6過渡期，核心設(shè)備必須在一定程度上支持IPv6，同時滿足其它功能的擴(kuò)展。核心層設(shè)備性能分析每當(dāng)提及網(wǎng)絡(luò)設(shè)備性能的時候，很多人總認(rèn)為背板帶寬、背板帶寬交換容量、包轉(zhuǎn)發(fā)率越高越好，這完全是一個誤區(qū)！真正評價一臺設(shè)備性能好的依據(jù)為線速轉(zhuǎn)發(fā)，或者說在所有端口100%利用率的時候仍然沒有任何數(shù)據(jù)包丟失。背板帶寬交換容量、包轉(zhuǎn)發(fā)率本身對于一個機(jī)箱式核心交換機(jī)而言完全是所有模塊的一個疊加值，所以這并不能真實地反映設(shè)備的實際性能，如果考察設(shè)備的性能，那么必須從交換背板、單個模塊到背板的帶寬、交換架構(gòu)、芯片等方面考慮。當(dāng)今網(wǎng)絡(luò)設(shè)備制造領(lǐng)域所涉及的網(wǎng)絡(luò)芯片技術(shù)、網(wǎng)絡(luò)協(xié)議等發(fā)展迅速、日新月異，我們認(rèn)為，規(guī)劃網(wǎng)絡(luò)時必須結(jié)合用戶的實際情況，同時要考慮一些前瞻性的技術(shù)。關(guān)于核心交換機(jī)的選擇，就需要結(jié)合項目實際以及用戶目前實際需求，同時考慮未來網(wǎng)絡(luò)存續(xù)期間業(yè)務(wù)拓展對于核心設(shè)備的擴(kuò)展性要求，在此前提下要該核心交換機(jī)能夠提供全線速轉(zhuǎn)發(fā)。決定網(wǎng)絡(luò)交換設(shè)備性能的關(guān)鍵在于背板、芯片，設(shè)備所具備的一些底層次的功能（如VLAN、LAG等）也是由芯片（包處理器）決定的。背板技術(shù)這里所說的背板準(zhǔn)確點(diǎn)講應(yīng)該是交換架構(gòu)（SwitchFabric），不僅僅是狹義上的機(jī)箱背面豎立的交換機(jī)線路板?，F(xiàn)在主流的背板技術(shù)是采用Crossbar或者Crosspoint架構(gòu)。背板帶寬/交換容量主要是由Fabric芯片，也就是我們常說的交換矩陣芯片決定的，除非換掉Fabric芯片否則交換容量無法升級，背板帶寬/交換容量對于系統(tǒng)的影響不是很大，它的主要作用就像一條高速公路上有多少車道，但是如果用戶只有一輛車僅跑一條車道，這就是浪費(fèi)。交換芯片在網(wǎng)絡(luò)設(shè)備制造廠商業(yè)界，交換機(jī)的芯片要么自主研發(fā)，要么采用商用芯片，即交換芯片廠商的，如網(wǎng)絡(luò)芯片領(lǐng)域全球排名第一的Broadcom，Cisco/3com/Nortel/神州數(shù)碼等很多廠商的產(chǎn)品就采用該公司芯片，采用同一個芯片廠商同一型號的芯片生產(chǎn)的網(wǎng)絡(luò)設(shè)備性能肯定是一樣的。采用業(yè)界主流商用芯片可以有效地降低網(wǎng)絡(luò)設(shè)備制造廠商網(wǎng)絡(luò)產(chǎn)品在芯片層面的缺陷風(fēng)險，因為這些主流商用芯片采用的廠家比較多，如果存在缺陷的話必須加大研發(fā)力度解決，時間長了問題相對于二流芯片廠商bug問題較少。核心層設(shè)備選用依據(jù)根據(jù)對核心層技術(shù)及核心層設(shè)備性能的分析，我們總結(jié)核心層設(shè)備選用的依據(jù)是：千兆端口、萬兆端口線速轉(zhuǎn)發(fā)，在滿配ACL后仍能線速轉(zhuǎn)發(fā)；兼容NEBS標(biāo)準(zhǔn)的高可靠性，支持引擎、交換矩陣、電源、風(fēng)扇冗余，支持不間斷轉(zhuǎn)發(fā)技術(shù)支持可商用的IPv6特性，確保下一代互聯(lián)網(wǎng)平滑過渡支持高密度千兆、萬兆接口，支持10萬兆擴(kuò)展能力支持環(huán)網(wǎng)技術(shù)，提供電信級收斂速度支持大容量RIB（路由表）和FIB（轉(zhuǎn)發(fā)表），能夠直接面對大規(guī)模用戶的三層交換業(yè)務(wù)支持多業(yè)務(wù)模塊的擴(kuò)展，滿足未來數(shù)據(jù)中心的復(fù)雜應(yīng)用高安全性，能夠抵御來自內(nèi)外網(wǎng)的各種攻擊匯聚層設(shè)計分析商場網(wǎng)匯聚層是商場各個區(qū)域數(shù)據(jù)的匯聚中心，分擔(dān)核心層的壓力，同時需要為各個區(qū)域數(shù)據(jù)提供快速的數(shù)據(jù)交換平臺，另外充分考慮目前商場網(wǎng)的需求及未來幾年的擴(kuò)展，提供基于領(lǐng)先技術(shù)的卓越性能和可靠性。商場網(wǎng)匯聚層起著承上啟下的作用，是保證整個商場網(wǎng)業(yè)務(wù)能否執(zhí)行的關(guān)鍵。商場網(wǎng)匯聚層功能：提供路由，策略執(zhí)行能力（流量整型等）。商場網(wǎng)匯聚層組成產(chǎn)品：匯聚層萬兆IPv6/v4雙棧路由硬件交換機(jī)。商場網(wǎng)匯聚層核心技術(shù)分析：多千兆口支持，支持萬兆上聯(lián)，QoS，L3－L4層交換。接入層設(shè)計分析在傳統(tǒng)的網(wǎng)絡(luò)設(shè)計中，三層轉(zhuǎn)發(fā)完全由核心設(shè)備完成，通過光纖連接網(wǎng)絡(luò)邊緣中低端交換機(jī)，邊緣交換機(jī)則10/1000M到桌面。首先，10/1000M端口接入用戶已經(jīng)不能滿足網(wǎng)絡(luò)應(yīng)用的需求，比如網(wǎng)絡(luò)中的視頻監(jiān)控及視頻會議，不能給用戶帶來良好體驗；其次，普通邊緣交換機(jī)無法有效的控制網(wǎng)絡(luò)網(wǎng)點(diǎn)間的數(shù)據(jù)傳輸，控制用戶的訪問權(quán)限，使用戶局域網(wǎng)的安全存在威脅；另外，由于核心設(shè)備直接暴露在二層網(wǎng)絡(luò)下，造成設(shè)備必須支持大容量的主機(jī)和子網(wǎng)路由表，這樣一個大二層網(wǎng)絡(luò)實際上是一個很大的廣播域，使得網(wǎng)絡(luò)中大部分設(shè)備承擔(dān)了大量不必要的流量，對于核心交換機(jī)的負(fù)荷過大。如何解決上述問題，神州數(shù)碼網(wǎng)絡(luò)根據(jù)對用戶實際問題和組網(wǎng)方案的深入分析和理解，推薦采用千兆到桌面接入的組網(wǎng)模式，這樣可以有效解決傳統(tǒng)組網(wǎng)模式的弊端，同時實現(xiàn)桌面接入的高帶寬高性能，讓視頻等多媒體傳輸完全無阻塞，并在接入層通過VLAN劃分提供基于策略的安全訪問機(jī)制，提高網(wǎng)絡(luò)的安全性。接入層要求：選擇千兆接入交換機(jī)；要求接入交換機(jī)能完整支持防ARP欺騙攻擊、ARP掃描攻擊等安全特性，能夠抵御來自內(nèi)外網(wǎng)的各種接入層攻擊；支持PoE供電接口；能做到基于用戶的安全ACL策略；支持堆疊技術(shù)，支持鏈路捆綁。xxx商場網(wǎng)安全出口設(shè)計商場網(wǎng)出口是改善和提高商場網(wǎng)用戶體驗的重點(diǎn)區(qū)域，商場網(wǎng)出口是商場局域網(wǎng)與INTERNET連接的唯一通道，其穩(wěn)定性、安全性、高性能等特點(diǎn)都是值得關(guān)注的關(guān)鍵性指標(biāo)。隨著用戶規(guī)模的擴(kuò)張，商場網(wǎng)出口在已經(jīng)多次升級的情況下仍然不能滿足用戶的需求。在節(jié)約成本與提高用戶體驗這對矛盾的前提下，不升級運(yùn)營商高資費(fèi)的出口線路帶寬，轉(zhuǎn)而提高出口線路的有效利用率和關(guān)鍵業(yè)務(wù)的帶寬保障是一個行之有效的辦法。商場網(wǎng)出口的一些現(xiàn)象：來自外部網(wǎng)絡(luò)的DoS攻擊、病毒、惡意掃描防不勝防。P2P應(yīng)用大行其道，蠶食出口帶寬，上網(wǎng)速度不堪忍受，員工及客戶怨聲載道。出口鏈路眾多，多鏈路負(fù)載均衡和策略路由充滿挑戰(zhàn)。帶寬擴(kuò)容，原有的路由器、防火墻超負(fù)荷運(yùn)行并發(fā)連接回話激增，NAT網(wǎng)關(guān)頻繁死機(jī)出口日志記錄不詳，檢索復(fù)雜，面對公安機(jī)關(guān)的反查要求力不從心。IPv6網(wǎng)絡(luò)出口缺乏安全防護(hù)手段，跨棧攻擊一觸即發(fā)商場網(wǎng)出口需求分析：通過對商場網(wǎng)出口面臨的一些問題的深入分析，我們將商場網(wǎng)出口建設(shè)的需求歸納如下：出口設(shè)備需要具備高處理性能、高吞吐量，為滿足internet出口的接入需求，設(shè)備應(yīng)當(dāng)具備萬兆吞吐能力。高安全性能，能夠有效阻止來自外部網(wǎng)絡(luò)的各種攻擊、病毒、掃描。能夠精確識別各種應(yīng)用層流量，限制非法流量，保證關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量。針對不同的網(wǎng)絡(luò)對象實施精細(xì)化帶寬策略，帶寬管理能夠精確到用戶。出口多鏈路能夠支持高性能負(fù)載均衡和策略路由，集成各大ISP路由表。提供詳細(xì)的出口訪問日志記錄，并實現(xiàn)智能反查。設(shè)備盡量精簡，杜絕“糖葫蘆”式臃腫出口能夠?qū)崿F(xiàn)IPv4/IPv6雙棧安全過濾，解決internet出口安全軟肋基于上述對商場網(wǎng)出口的現(xiàn)狀與需求的深刻理解，神州數(shù)碼網(wǎng)絡(luò)推出了為商場網(wǎng)出口區(qū)域量身定制的安全出口解決方案：神州數(shù)碼安全出口解決方案，通過在商場網(wǎng)絡(luò)出口部署DCFW系列多核安全網(wǎng)關(guān)：網(wǎng)絡(luò)出口綜合防御設(shè)計綜合防御，凈化出口，安全接入多面手：根據(jù)總體拓?fù)渌?，在各ISP線路之間布置神州數(shù)碼終結(jié)者多核超安全網(wǎng)關(guān)。神州數(shù)碼高端安全網(wǎng)關(guān)專為萬兆位流量的網(wǎng)絡(luò)服務(wù)運(yùn)營商、超大型商場網(wǎng)、數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計,設(shè)備采用16核64位嵌入式處理器和高速交換總線技術(shù)（如下圖），實現(xiàn)了芯片級的硬件加解密、QoS流量管理，避免了傳統(tǒng)ASIC和NP安全系統(tǒng)新建連接能力和流量控制能力弱的弊病。通過擴(kuò)展license，終結(jié)者安全網(wǎng)關(guān)還可以支持防病毒過濾，高達(dá)8000萬地址容量的URL過濾以及強(qiáng)大的IPS功能。神州數(shù)碼終結(jié)者安全網(wǎng)關(guān)采用多核處理器架構(gòu)，在實際工作中，每個核心可以在相對節(jié)能的方式下運(yùn)行，犧牲單個核心的運(yùn)算速度，但多顆核心協(xié)同處理任務(wù)，以達(dá)到性能倍增的目的。商場網(wǎng)出口部署“終結(jié)者”后，整體效能提升如下：多出口接駁游刃有余：internet一般存在2個出口，如中國聯(lián)通（寬帶）、中國電信（寬帶）保證商場的不斷網(wǎng)，神州數(shù)碼高端安全網(wǎng)關(guān)支持完善的鏈路負(fù)載均衡能力，根據(jù)各個出口的負(fù)荷壓力進(jìn)行優(yōu)化分擔(dān)和鏈路備份。由于我國各大運(yùn)營商之間存在嚴(yán)重的帶寬瓶頸，單一的負(fù)載均衡功能并不能有效提升用戶的上網(wǎng)質(zhì)量，不恰當(dāng)?shù)呢?fù)載分擔(dān)策略反而會造成較大的網(wǎng)絡(luò)延遲（如將訪問電信網(wǎng)站的請求負(fù)載分擔(dān)到聯(lián)通出口），因此，神州數(shù)碼終結(jié)者安全網(wǎng)關(guān)內(nèi)置了強(qiáng)大的策略路由引擎，集成各大ISP路由表，可以實現(xiàn)智能路由選擇，在計費(fèi)策略允許的情況下，確保用戶通過最快路徑到達(dá)目的站點(diǎn)。高性能NAT迅捷如風(fēng)：多出口的局面對出口設(shè)備的吞吐能力提出了嚴(yán)峻要求，而NAT則是這個環(huán)節(jié)的重中之中，據(jù)統(tǒng)計當(dāng)網(wǎng)絡(luò)中在線用戶達(dá)到1萬時，新建連接大約為17萬，商場網(wǎng)由于有internet線路存在，連接數(shù)略低于此水平，神州數(shù)碼高端安全網(wǎng)關(guān)最高支持500萬并發(fā)連接，每秒處理新建TCP連接超過20萬，UDP新建連接超過40萬，完全能夠滿足這種大規(guī)模的城域網(wǎng)出口訪問環(huán)境。在實際部署時，internet出口采用路由模式，internet出口采用NAT模式，internet出口也需要部署NAT。由于目前公有地址資源緊張，很多商場不希望采用公網(wǎng)地址池的方式部署NAT，針對這種需求，終結(jié)者安全網(wǎng)關(guān)支持完善的單地址NAT技術(shù)，通過神州數(shù)碼獨(dú)創(chuàng)的6元組復(fù)用技術(shù)，確保單地址的端口資源不被耗盡，保障了單地址NAT的正常運(yùn)行，幫助商場有效節(jié)省公網(wǎng)地址。安全防護(hù)服務(wù)，隨需而動：面對與日俱增的商場網(wǎng)出口安全威脅，神州數(shù)碼高端“終結(jié)者”安全網(wǎng)關(guān)集成了全方位的安全防護(hù)手段，支持吞吐量高達(dá)8Gbps的狀態(tài)檢測安全過濾，有效保護(hù)內(nèi)部服務(wù)器和用戶。目前很多商場網(wǎng)用戶因為訪問掛馬網(wǎng)頁或下載帶毒附件而中毒，“終結(jié)者”可支持高達(dá)1Gbps流量的防病毒過濾，通過升級license，可集成卡巴斯基反病毒引擎（40萬病毒庫），配置防病毒引擎后，用戶訪問掛馬網(wǎng)站、下載病毒附件都會被自動過濾，解決困擾商場網(wǎng)用戶已久的病從“口”入問題?！敖K結(jié)者”還可以通過license升級支持IPS功能，實現(xiàn)網(wǎng)絡(luò)出口的動態(tài)防御。病毒庫與IPS特征碼都可以通過神州數(shù)碼網(wǎng)站（）動態(tài)或手工升級，商場網(wǎng)出口安全防護(hù)將隨需而動。封堵IPv6安全短板，無懈可擊：隨著接入?yún)^(qū)出口，對于IPv6出口的安全威脅防范卻僅僅局限于IPv6ACL，更有很多商場網(wǎng)呈現(xiàn)了IPv4出口層層設(shè)防，IPv6出口大門洞開的現(xiàn)象，結(jié)果攻擊者“曲徑通幽”，通過IPv6網(wǎng)絡(luò)入侵商場，進(jìn)而攻擊IPv4商場網(wǎng)，形成名副其實的“跨棧攻擊”。針對這種危機(jī)，神州數(shù)碼率先在“終結(jié)者”安全網(wǎng)關(guān)上開發(fā)了IPv6狀態(tài)檢測包過濾功能，為IPv6商場網(wǎng)保駕護(hù)航。網(wǎng)絡(luò)管理系統(tǒng)設(shè)計網(wǎng)絡(luò)管理描述網(wǎng)絡(luò)是信息化的基礎(chǔ)；保證網(wǎng)絡(luò)持續(xù)、穩(wěn)定、安全地運(yùn)行是商場日常辦公賴以運(yùn)作的基礎(chǔ)。“三分建設(shè)、七分管理”，對網(wǎng)絡(luò)的管理水平將接影響到它的運(yùn)行質(zhì)量。根據(jù)網(wǎng)絡(luò)不斷發(fā)展的現(xiàn)狀與用戶實現(xiàn)需求，提出了“統(tǒng)一接入、統(tǒng)一管理、統(tǒng)一運(yùn)維”的網(wǎng)絡(luò)安全與管理理念，并推出了更加專業(yè)的LDCNLinkManager(DCLM)統(tǒng)一管理平臺。是一款管理有線、無線一體化網(wǎng)絡(luò)生命周期的綜合平臺，其可從計劃、實施、監(jiān)控、配置、問題處理、報告等對企業(yè)網(wǎng)絡(luò)進(jìn)行全面的管理。通過集中、直觀、易于使用的用戶管理界面顯著地降低了網(wǎng)絡(luò)運(yùn)營成本。統(tǒng)一網(wǎng)絡(luò)管理平臺功能描述有線、無線一體化提供給用戶完整的統(tǒng)一的有線、無線一體化視角，讓用戶全局掌握企業(yè)網(wǎng)絡(luò)整體的運(yùn)行情況。提供應(yīng)用以保證可視化和故障排除功能，最大限度完善用戶體驗融合式管理，讓用戶輕松地實時監(jiān)控、排除故障和制作報告.用戶可以輕松的定位網(wǎng)絡(luò)問題，帶寬瓶頸，或者無線上網(wǎng)遇到的管理障礙?？珊喕W(wǎng)絡(luò)管理、提高運(yùn)營效率、減少人為錯誤靈活、直觀和易于使用支持所有主流web瀏覽器，DCLM為初次使用用戶和有經(jīng)驗的用戶設(shè)計了一個簡單靈活操作界面。每個用戶可以自定義自己的門戶網(wǎng)站界面，以適應(yīng)他們的管理目標(biāo)。允許用戶自定義圖表、表格和視圖信息。靈活的訪問控制操作權(quán)限和設(shè)備區(qū)域。強(qiáng)大的網(wǎng)絡(luò)拓?fù)溆脩艨梢酝ㄟ^自定義的網(wǎng)絡(luò)拓?fù)鋱D查看網(wǎng)絡(luò)的連接情和網(wǎng)絡(luò)的流量信息.設(shè)備和Link的狀態(tài),Link的帶寬以及速率通過自定義的圖標(biāo)和顏色清楚地呈現(xiàn)給用戶自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)?全方位支持DCN和第三方網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備和Link的告警信息由下自上反映在拓?fù)鋱D上WiFi監(jiān)控和防護(hù)自動跟蹤每一個wlan設(shè)備和移動用戶的流量，帶寬，登錄方式，速率,信號,和利用信息。讓用戶了解wlan網(wǎng)絡(luò)的運(yùn)行狀態(tài)和網(wǎng)絡(luò)性能瓶頸.可以輕松地實施wlan監(jiān)控、排除移動用戶的接入故障移動客戶端會話和歷史客戶信息收集和顯示。用戶可以清楚地了解誰登錄了哪個無線網(wǎng)絡(luò),從哪里登錄,通過什么設(shè)備登錄,什么時間登錄,以及使用了多少時間.顯示網(wǎng)絡(luò)范圍內(nèi)的前10名wlan設(shè)備和移動用戶信息,用戶可以掌控網(wǎng)絡(luò)的潛在風(fēng)險,在問題出現(xiàn)以前解決問題,給wlan終端用戶提供極高的上網(wǎng)和使用體驗。融入有線網(wǎng)絡(luò),可視性的有線無線網(wǎng)絡(luò)連接和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),方便故障排除。wlan設(shè)備和客戶端儀表盤的詳細(xì)信息。支持wlan網(wǎng)絡(luò)監(jiān)控與靈活的配置閥值,呈現(xiàn)wlan網(wǎng)絡(luò)的瓶頸和潛在風(fēng)險.提供強(qiáng)大的無線安全監(jiān)控和防護(hù)功能.顯示wlan安全和無線攻擊的事件.提供非法AP和client的檢測和顯示功能終端定位終端軌跡故障診斷和根本原因分析DCLM組件可以很容易地解決大規(guī)模的wlan網(wǎng)絡(luò)服務(wù)中斷等網(wǎng)絡(luò)問題。它允許IT管理員在整個wlan和有線網(wǎng)絡(luò)能夠快速識別和解決網(wǎng)絡(luò)問題。在IP或MAC地址的移動終端用戶基礎(chǔ)上的網(wǎng)絡(luò)故障診斷。全面的搜索網(wǎng)絡(luò)設(shè)備并可很容易在儀表盤上發(fā)電設(shè)備的性能狀況或問題。通過電子郵件，短信或腳本集成能夠智能靈活的發(fā)布報警信息，并第一時間通知用戶盡快解決網(wǎng)絡(luò)中的問題?；谝?guī)則的報警關(guān)聯(lián)和根本原因分析。支持報警傳播，并在地圖上顯示最嚴(yán)重的報警和計數(shù)器以便更快的解決問題。商場網(wǎng)的安全策略部署設(shè)備物理安全策略神州數(shù)碼系列產(chǎn)品安裝了防雷擊的安全芯片，并進(jìn)行了良好的風(fēng)扇設(shè)計，保證設(shè)備的在惡劣的環(huán)境中仍然能夠正常運(yùn)轉(zhuǎn)。神州數(shù)碼系列產(chǎn)品還要有完善的自檢功能，能夠?qū)?nèi)存、CPU、總線、轉(zhuǎn)發(fā)芯片等等硬件進(jìn)行檢查，保證每次開機(jī)各個方面硬件的良好運(yùn)轉(zhuǎn)。在高端設(shè)備還有后臺的硬件檢控任務(wù)，檢控CPU、風(fēng)扇、機(jī)箱溫度等等，進(jìn)行信息記錄，在異常的時候給予閃燈、發(fā)警告信息等多種報警。以上機(jī)制再加上冗余電源、冗余主控、冗余風(fēng)扇等方法充分保障了設(shè)備運(yùn)轉(zhuǎn)的物理安全。網(wǎng)絡(luò)基本功能安全策略A.二層轉(zhuǎn)發(fā)協(xié)議安全策略針對ARP的欺騙的安全策略通過認(rèn)證計費(fèi)系統(tǒng)的IP+MAC+端口+vlan的多重綁定使PC在接入網(wǎng)絡(luò)時一定是正確的IP和Mac，而安裝在PC上的Dot1x客戶端可以保證在PC接入網(wǎng)絡(luò)后進(jìn)行IP或Mac修改時，及時的切斷PC和網(wǎng)絡(luò)的連接，保證錯誤的IP/Mac信息不被發(fā)布到網(wǎng)絡(luò)上。另外DCN系列交換機(jī)上還有一套非法ARP阻斷命令，通過此命令可以有效的從硬件轉(zhuǎn)發(fā)層次，阻斷搶占網(wǎng)關(guān)IP的非法ARP包進(jìn)入網(wǎng)絡(luò)。這就從根本上切斷了搶占網(wǎng)關(guān)IP的安全威脅。同時此功能還提供計數(shù)和報警功能，可以及時的將發(fā)送非法ARP的PC找出來通知網(wǎng)管。對私建DHCP的安全策略認(rèn)證計費(fèi)系統(tǒng)安裝在PC上的Dot1x客戶端會自動監(jiān)測PC上是否啟用了DHCP服務(wù)，一旦發(fā)現(xiàn)非法私建DHCP服務(wù)，那么客戶端程序?qū)ⅠR上切斷PC與網(wǎng)絡(luò)的連接。另外接入交換機(jī)上啟用DHCPSnooping功能，可以監(jiān)聽DHCP協(xié)議報文，并且設(shè)置DHCP協(xié)議的信任端口。一旦發(fā)現(xiàn)在非信任端口接受到DHCP服務(wù)器報文，那么將馬上向網(wǎng)管進(jìn)行報警，同時可以根據(jù)預(yù)定策略將此端口的連接切斷對虛假STP欺騙的安全策略交換機(jī)上支持在端口下設(shè)置對STP協(xié)議的信任屬性，從而避免虛假STP對交換機(jī)拓樸計算造成影響。對設(shè)備CPU攻擊的安全策略神州數(shù)碼系列產(chǎn)品自身采用了獨(dú)特的CPU保護(hù)機(jī)制，對各種協(xié)議包根據(jù)優(yōu)先級進(jìn)行隊列設(shè)置，對收包進(jìn)行優(yōu)化，保證CPU不會被虛假的信息所淹沒，始終可以進(jìn)行正常的協(xié)議運(yùn)轉(zhuǎn)。對非法用戶接入的安全策略認(rèn)證計費(fèi)系統(tǒng)的IP+Mac+Vlan+端口+交換機(jī)IP的多信息綁定模式，再加上Dot1x客戶端對克隆PC和代理的檢查，確保了非法用戶無法接入商場網(wǎng)。B.三層轉(zhuǎn)發(fā)協(xié)議安全策略錯誤路由信息的安全策略神州數(shù)碼系列產(chǎn)品可以完整實現(xiàn)RIP、OSPF、BGP等路由協(xié)議的安全選項，非法的路由信息無法通告MD5加密檢查，確保網(wǎng)絡(luò)路由信息的安全非法組播的安全控制神州數(shù)碼獨(dú)有的DCSCM安全策略組播技術(shù)，可以對源和目的進(jìn)行安全控制，完整實現(xiàn)了在接入層網(wǎng)絡(luò)中應(yīng)用了基于IGMP源端口和目的端口檢查技術(shù)，可以完全限制合法組播在網(wǎng)絡(luò)中的穩(wěn)定傳輸，有效控制組播建立的整個過程，保障了正常合法的組播應(yīng)用的穩(wěn)定運(yùn)行；同時DCSCM可與AAA系統(tǒng)聯(lián)動實現(xiàn)業(yè)務(wù)控制。網(wǎng)絡(luò)管理功能安全策略神州數(shù)碼全線產(chǎn)品支持SSH和SNMPv3協(xié)議，他們是對telnet和SNMPv1/v2的安全升級，傳輸?shù)臄?shù)據(jù)完全加密，從而避免了被監(jiān)聽竊取密碼的可能。交換機(jī)的Web服務(wù)支持安全策略的cookie機(jī)制，避免用戶盜竊管理頁面的URL地址繞過登錄流程直接對設(shè)備進(jìn)行管理。telnet、SNMP和Web均有對網(wǎng)管原IP進(jìn)行檢查的功能，確保只有專門的網(wǎng)管設(shè)備可以訪問控制交換機(jī)。對于登錄密碼檢查，可以在本地，也可以在遠(yuǎn)端Radius服務(wù)器。這樣方便進(jìn)行密碼管理，可以隨時變換全網(wǎng)的登錄密碼，提供有力的安全保障。網(wǎng)絡(luò)應(yīng)用功能安全策略針對大量P2P流量對網(wǎng)絡(luò)中的影響，有“疏”“堵”兩套策略“堵”：部署了防火墻系統(tǒng)，可以設(shè)置internet應(yīng)用進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)相關(guān)影響，立刻針對大量P2P流量切斷此網(wǎng)絡(luò)連接?！笆琛保篜2P應(yīng)用的強(qiáng)大魅力使在很多商場無法強(qiáng)制禁止，只能疏不能堵。而神州數(shù)碼的防火墻具有強(qiáng)大的流量控制和流量整形功能，可以方便的對百兆甚至千兆流量進(jìn)行流量控制，沒有任何網(wǎng)絡(luò)延遲，可以從流量中分析出幾十種網(wǎng)絡(luò)應(yīng)用流量（包括BT及其相應(yīng)的各種變種），可以對每種應(yīng)用的流量進(jìn)行多種靈活的控制策略。網(wǎng)絡(luò)層次功能安全策略A.網(wǎng)絡(luò)基礎(chǔ)設(shè)施層安全網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全主要包含兩個方面的內(nèi)容：一是設(shè)備級安全；二是網(wǎng)絡(luò)級安全。設(shè)備級安全指的是：保護(hù)網(wǎng)絡(luò)設(shè)備自身安全，其中網(wǎng)絡(luò)設(shè)備自身保護(hù)又包含了三個平臺的保護(hù)，分別是控制平面保護(hù)、管理平面保護(hù)、數(shù)據(jù)平面保護(hù)。網(wǎng)絡(luò)級安全指的是：保護(hù)網(wǎng)絡(luò)服務(wù)，相關(guān)的網(wǎng)絡(luò)協(xié)議。神州數(shù)碼的網(wǎng)絡(luò)設(shè)備在設(shè)計、研發(fā)過程中，都已經(jīng)融合了各種安全手段和技術(shù)，通過增強(qiáng)的安全功能，來保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全。物理層安全保護(hù)神州數(shù)碼的交換機(jī)大多安裝了防雷擊的安全芯片，并進(jìn)行了良好的風(fēng)扇設(shè)計，保證設(shè)備的在惡劣的環(huán)境中仍然能夠正常運(yùn)轉(zhuǎn)。DCN交換機(jī)都有完善的自檢功能，能夠?qū)?nèi)存、CPU、總線、轉(zhuǎn)發(fā)芯片等等硬件進(jìn)行檢查，保證每次開機(jī)各個方面硬件的良好運(yùn)轉(zhuǎn)。在高端設(shè)備還有后臺的硬件檢控任務(wù)，檢控CPU、風(fēng)扇、機(jī)箱溫度等等，進(jìn)行信息記錄，在異常的時候給予閃燈、發(fā)警告信息等多種報警。高端交換機(jī)DCRS-7600和DCRS-6804E-L都設(shè)計有冗余電源、冗余主控、冗余風(fēng)扇等方法充分保障了設(shè)備運(yùn)轉(zhuǎn)的物理安全。數(shù)據(jù)鏈路層安全保護(hù)S-ARP：安全ARP功能，可有效防止ARP-DOS攻擊。通過對ARP報文接收速度的限制，來防止ARP攻擊。DHCPGuard：只有在信任端口上才能接入DHCPServer，從而防止私自假設(shè)DHCP服務(wù)器。對非法端口進(jìn)行關(guān)閉或者發(fā)送trap。PortSecurity：接入交換機(jī)可以進(jìn)行port/MAC綁定，限定可接受MAC地址數(shù)量，預(yù)防MAC攻擊。BPDUGuard：只有在信任端口才能接收到STP的BPDU協(xié)議報文，從而防止偽STP實體的攻擊。對非法端口進(jìn)行關(guān)閉或者發(fā)trap。ARP-Snooping：通過偵聽某接入端口(accessswitch-port)上單位時間內(nèi)收到的arp數(shù)據(jù)報的數(shù)目，如果超出設(shè)定的閾值，可能存在掃描行為，可以選擇關(guān)閉端口(shutdown)或者設(shè)置blackholemac或者發(fā)送trap。網(wǎng)絡(luò)層安全保護(hù)S-ICMP：安全I(xiàn)CMP功能，可有效防止PING-DOS攻擊;靈活防止黑客利用ICMP不可達(dá)報文和路由重定向報文實施第三方攻擊的行為。包括如下三種技術(shù)：ICMP限速功能：通過對ICMP報文接收速度的限制，來防止PING-DOS攻擊。防ICMP不可達(dá)攻擊功能：通過配置，決定交換機(jī)是否發(fā)送ICMPUnreachable報文，從而防止黑客利用這個功能，來攻擊第三方主機(jī)。防ICMP路由重定向攻擊功能：通過配置，決定交換機(jī)是否發(fā)送ICMPRedirect報文，從而防止黑客利用這個功能，來攻擊第三方主機(jī)。IP-Snooping：即監(jiān)控同一個srcip發(fā)送的數(shù)據(jù)報，如果dstip是一段連續(xù)變化的地址，可能存在掃描行為，可以選擇關(guān)閉端口或者設(shè)置blackholemac或者發(fā)送trap。IP與交換機(jī)端口綁定，預(yù)防IP地址欺騙。關(guān)鍵協(xié)議綠色通道：保障正常、合法、速度合理的關(guān)鍵控制報文（STP、MSTP、RIP、OSFP、BGP、組播協(xié)議、雙引擎板間心跳等）在大流量業(yè)務(wù)下不被淹沒，快速處理不中斷。CPU核心保護(hù)：有效防止各類針對CPU的非法協(xié)議攻擊導(dǎo)致核心設(shè)備交換引擎癱瘓。各類CPU處理的報文如各種信令協(xié)議、芯片無法處理的流量等，如果超過正常速率，都會對CPU產(chǎn)生處理壓力，很可能是攻擊引起的，所以通過設(shè)置安全緩沖區(qū)、限制隊列大小，把這些信令和流量控制在合理的速率范圍之內(nèi)，從而保護(hù)CPU免受大流量攻擊。全面的受控組播方案DCSCM：可以對源和目的進(jìn)行安全控制，完整實現(xiàn)了在接入層網(wǎng)絡(luò)中基于IGMP源端口和目的端口的檢查技術(shù)，可完全限制合法組播在網(wǎng)絡(luò)中的穩(wěn)定傳輸，有效控制組播建立的整個過程，保障了正常合法的組播應(yīng)用的穩(wěn)定運(yùn)行；關(guān)鍵路由協(xié)議保護(hù)：神州數(shù)碼網(wǎng)絡(luò)路由協(xié)議完整實現(xiàn)了RIP、OSPF、BGP等路由協(xié)議的安全選項，非法的路由信息無法通告MD5加密檢查，確保網(wǎng)絡(luò)路由信息的安全。應(yīng)用層安全保護(hù)擁有基于應(yīng)用的業(yè)務(wù)安全管理SecAPP。其內(nèi)容包括：線速業(yè)務(wù)感知：可即時感知各種高層應(yīng)用業(yè)務(wù)的發(fā)生，而這個過程絲毫不影響交換機(jī)的轉(zhuǎn)發(fā)性能，所以說是線速的；智能業(yè)務(wù)策略：可根據(jù)事先設(shè)定的策略，對各種高層應(yīng)用業(yè)務(wù)進(jìn)行分類，區(qū)分合法業(yè)務(wù)、非法業(yè)務(wù)、受限業(yè)務(wù)；深度業(yè)務(wù)控制（基于ACL-X）功能可將分類后的業(yè)務(wù)執(zhí)行不同的安全控制措施，這里要借助強(qiáng)大的ACL-X和QoS，實現(xiàn)靈活的接入準(zhǔn)入控制或者流量限制。接入交換機(jī)率先支持對特征復(fù)雜(64字節(jié))的應(yīng)用流量的訪問控制，讓用戶可以在各種網(wǎng)絡(luò)的環(huán)境中應(yīng)對出現(xiàn)復(fù)雜情況。完整的ACL策略，可根據(jù)源/目的IP地址、源/目的MAC地址、IP協(xié)議類型、TCP/UDP端口號、IPPrecendence、時間范圍、ToS對數(shù)據(jù)進(jìn)行分類，并進(jìn)行不同的轉(zhuǎn)發(fā)策略。通過ACL策略的實施，用戶可以在接入層交換機(jī)過濾掉“沖擊波”、“震蕩波”、“紅色代碼”等病毒包，防止擴(kuò)散和沖擊核心設(shè)備。配合RADIUS、802.1X等認(rèn)證機(jī)制，與DCBI等認(rèn)證系統(tǒng)聯(lián)動，可有效防止非法用戶侵入網(wǎng)絡(luò)。管理、控制平面安全保護(hù)神州數(shù)碼全線產(chǎn)品均支持SSH和SNMPv3協(xié)議，他們是對telnet和SNMPv1/v2的安全升級，傳輸?shù)臄?shù)據(jù)完全加密，從而避免了被監(jiān)聽竊取密碼的可能。交換機(jī)的Web服務(wù)支持安全策略的cookie機(jī)制，避免用戶盜竊管理頁面的URL地址繞過登錄流程直接對設(shè)備進(jìn)行管理。telnet、SNMP和Web均有對網(wǎng)管原IP進(jìn)行檢查的功能，確保只有專門的網(wǎng)管設(shè)備可以訪問控制交換機(jī)。對于登錄密碼檢查，可以在本地，也可以在遠(yuǎn)端Radius服務(wù)器。這樣方便進(jìn)行密碼管理，可以隨時變換全網(wǎng)的登錄密碼，提供有力的安全保障。突出體現(xiàn)在：基于角色的分權(quán)限設(shè)備管理：管理員可以給不用人員設(shè)定不同的訪問、控制網(wǎng)絡(luò)設(shè)備的權(quán)限。安全訪問(SecureShell)：控制命令加密傳輸。RMONSNMPV3SecurityIP功能：管理員可以指定合法IP地址才可以訪問、管理網(wǎng)絡(luò)設(shè)備。DCLM：安全的圖形化設(shè)備管理。其它安全特性自主研發(fā)、具有獨(dú)立自主知識產(chǎn)權(quán)的神州數(shù)碼網(wǎng)絡(luò)操作系統(tǒng)DCNOS，是神州數(shù)碼公司所有網(wǎng)絡(luò)產(chǎn)品的系統(tǒng)平臺，具有高可靠性、增強(qiáng)的安全特性，杜絕了可能發(fā)生的對網(wǎng)絡(luò)設(shè)備自身安全的攻擊。商場無線網(wǎng)絡(luò)解決方案無線商場網(wǎng)現(xiàn)狀商場信息化是指在商場領(lǐng)域運(yùn)用計算機(jī)多媒體和網(wǎng)絡(luò)信息技術(shù)，促進(jìn)商場的全面改革，使之適應(yīng)信息化社會對商場發(fā)展的新要求。在商場網(wǎng)的建設(shè)和應(yīng)用中，其硬件建設(shè)是基礎(chǔ)，，而商場網(wǎng)的管理、維護(hù)與培訓(xùn)是其保障。神州數(shù)碼（DCN）積極參與商場網(wǎng)的系統(tǒng)建設(shè)，多年來DCN貼近用戶需求為商場行業(yè)用戶推出了各種各樣的貼近應(yīng)用的網(wǎng)絡(luò)解決方案。無線商場網(wǎng)最大的特點(diǎn)是具有的高度的空間自由性和靈活性;滿足商場員工及客戶隨時隨地共享商場網(wǎng)絡(luò)資源的需要。無線商場網(wǎng)正是順應(yīng)了商場信息化建設(shè)的前進(jìn)步伐，蓬勃發(fā)展起來的。根據(jù)分析討論，網(wǎng)絡(luò)建設(shè)將分以下幾個部分的進(jìn)行，內(nèi)容包含以下幾個子系統(tǒng)：無線網(wǎng)絡(luò)覆蓋（通過室內(nèi)室外AP實現(xiàn)覆蓋）無線管理系統(tǒng)（通過無線控制器和無線管理軟件實現(xiàn)）POE供電方式（通過POE供電模塊實現(xiàn)）用戶準(zhǔn)入系統(tǒng)（通過認(rèn)證平臺實現(xiàn)）大數(shù)據(jù)分析及廣告推送設(shè)計原則與規(guī)劃設(shè)計原則根據(jù)上述的需求分析和部署環(huán)境的實際特點(diǎn)，xxx商場的無線網(wǎng)絡(luò)整體規(guī)劃，需要本著以下原則進(jìn)行規(guī)劃與設(shè)計：無縫覆蓋本次無線商場網(wǎng)建設(shè)采取標(biāo)準(zhǔn)的802.11n或802.11ac網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)，提供不低于600Mbps的單個AP的無線帶寬接入能力，802.11ac提供高達(dá)1G以上的接入能力，提供高性能的無線覆蓋；無線信號覆蓋整個商場區(qū)域，保證被覆蓋需求的網(wǎng)絡(luò)訪問流暢。提供數(shù)據(jù)接入業(yè)務(wù)，讓在此居住的用戶能夠快捷的訪問豐富的內(nèi)部資源。多服務(wù)支持基于網(wǎng)絡(luò)的未來可持續(xù)發(fā)展，無線網(wǎng)絡(luò)規(guī)劃應(yīng)為未來發(fā)展多媒體、高帶寬的無線寬帶應(yīng)用（如，無線語音應(yīng)用、無線視頻會議應(yīng)用、無線監(jiān)控、無線多媒體通信應(yīng)用等）打下基礎(chǔ)，并提供低成本的無縫升級和先后兼容。安全性網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護(hù)技術(shù)，靈活方便的權(quán)限設(shè)定和控制機(jī)制，使系統(tǒng)具有多種有效手段，防范各種形式對網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，以保證網(wǎng)絡(luò)的實體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務(wù)活動和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。兼容性本次建設(shè)的無線網(wǎng)絡(luò)能夠很好的與現(xiàn)有的網(wǎng)絡(luò)兼容，對于的無線用戶，高配置方案中采用統(tǒng)一身份準(zhǔn)入系統(tǒng)，實現(xiàn)對用戶訪問資源的統(tǒng)一管理和認(rèn)證。低配置方案中采用PSK+AES的認(rèn)下方式?？蓴U(kuò)展性在網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下，無線網(wǎng)絡(luò)應(yīng)滿足在不改變主體架構(gòu)與大部分設(shè)備的前提下，平滑實現(xiàn)升級和擴(kuò)充，降低原有網(wǎng)絡(luò)的硬件投資，并保證擴(kuò)展后的系統(tǒng)可用性與穩(wěn)定性。預(yù)留AC、AP可升級的能力，為未來無線辦公樓建設(shè)提供基礎(chǔ)，無線網(wǎng)絡(luò)要支持AC冗余擴(kuò)展N+1的冗余備份能力；建設(shè)必須盡量保護(hù)現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計算機(jī)系統(tǒng)的使用，逐步過渡，有效保護(hù)用戶投資，最終形成一個統(tǒng)一的、一體化的綜合網(wǎng)絡(luò)系統(tǒng)。高性能網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量?？晒芾頌榱俗屔虉鰺o線網(wǎng)絡(luò)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展，對商場用戶進(jìn)行嚴(yán)格的管理和控制，用戶需要對商場進(jìn)行用戶接入管理管理。于此同時，對于本次網(wǎng)絡(luò)中所涉及的無線AP、AC、交換機(jī)等設(shè)備能夠?qū)崿F(xiàn)無線、有線統(tǒng)一的管理，確保各設(shè)備運(yùn)行在最佳狀態(tài)，為商場用戶提供可靠的網(wǎng)絡(luò)接入服務(wù)。規(guī)范化和標(biāo)準(zhǔn)化網(wǎng)絡(luò)體系結(jié)構(gòu)、通信協(xié)議及軟件的設(shè)計和開發(fā)必須按照國家或行業(yè)標(biāo)準(zhǔn)進(jìn)行，要模塊化、結(jié)構(gòu)化、數(shù)據(jù)要代碼化，以便于信息共享和交流及將來的維護(hù)。在系統(tǒng)設(shè)計和軟件開發(fā)時，應(yīng)用程序必須規(guī)范化、模塊化和可復(fù)用。無線協(xié)議標(biāo)準(zhǔn)選擇IEEE802.11標(biāo)準(zhǔn)是無線局域網(wǎng)的標(biāo)準(zhǔn)之一，是無線領(lǐng)域目前最為成熟的網(wǎng)絡(luò)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了OSI七層模型中的物理層（PHY）和媒體訪問控制層（MAC）的協(xié)議規(guī)范，其中MAC層是重點(diǎn)。它的制定使得各廠商之間的無線產(chǎn)品在物理層上實現(xiàn)互操作，而邏輯鏈路層（LLC）是一致的，即MAC層以下對網(wǎng)絡(luò)應(yīng)用是透明的。IEEE802.11標(biāo)準(zhǔn)又分為802.11a、802.11b、802.11g、802.11n、802.11ac幾種。目前的筆記本、移動終端大多數(shù)都是支持2.4G的802,.11b/g/n協(xié)議，部分終端支持5G的802.11n，少數(shù)的最新的終端能夠支持802,11ac協(xié)議，未來802.11ac協(xié)議必將成為主流。因此無線方案設(shè)計主要以802,.11ac為主，同時具備2.4G頻段的802.11n和5G頻段的802.11n或802.11ac接入能力，建議商場將來集中采購終端全部支持5G頻段。無線頻段規(guī)劃依照WLAN的國際規(guī)范和國際無線電管理委員會的標(biāo)準(zhǔn)，WLAN無線設(shè)備的工作頻段為ISM頻段中的2400-2483.5MHz和5725-5875MHz頻段，以及UII頻段中的5150-825MHz頻段，其中2.4G頻段帶寬83.5MHz，劃分為14個子信道，每個子頻道帶寬為22MHz,國內(nèi)最多有13個信道可用。2.4G頻道分配如下圖所示：2.4G無線頻段在多個頻道同時工作的情況下，為保證頻道之間不互相干擾，要求兩個頻道的中心頻率間隔不能低于25MHz。考慮參照北美標(biāo)準(zhǔn)設(shè)計的許多WLAN設(shè)備和終端（比如網(wǎng)卡）不能使用12、13信道做為用戶信道，因此建議一般選用1/6/11信道。802.11b/g/n使用開放的2.4GHzISM頻段，可工作的信道數(shù)為歐洲標(biāo)準(zhǔn)信道數(shù)13個。由于其支持直序擴(kuò)頻技術(shù)造成相鄰頻點(diǎn)之間存在重疊。對于真正相互不重疊信道只有相隔5個信道的工作中心頻點(diǎn)。因此對于802.11g在2.4GHz地工作頻段，理論上只能進(jìn)行三信道的蜂窩規(guī)劃實現(xiàn)對需要規(guī)劃的熱點(diǎn)的無縫覆蓋。由于2.4G頻段只有3個獨(dú)立信道，因此在規(guī)劃時，必須考慮相鄰AP之間的信道劃分，避免出現(xiàn)同頻干擾。如下圖所示，采用蜂窩方式部署，相鄰兩個AP的信道互不相同。2.4G頻段部署示意圖在國內(nèi)，5G頻段劃分情況如下表：信道中心頻率（MHz）低端/高端頻率（MHz575515357655755/577515757855775/579516158055795/581516558255815/5835從表中可以看出5G頻段有5個互不干擾的信道。5G頻段部署示意圖如下：5G頻段部署示意圖雙頻無線接入的802.11n同時工作在2.4GHz和5GHz頻段，802.11ac只支持5GHz頻段；5GHz：更多的頻譜資源-數(shù)量較多的不沖突頻點(diǎn)，更少的干擾（藍(lán)牙、微波爐），從40MHz信道綁定獲得最高的性能，很多802.11n的客戶端只有在5GHz頻段上支持40MHz；而802.11ac只能工作在5GHz，可以支持40MHz甚至80MHz，推薦新終端和對性能要求高的終端盡量采用5GHz頻段。2.4GHz：采用2.4GHz頻點(diǎn)，兼容原有的802.11b/g的客戶端；不建議在2.4GHz頻點(diǎn)使用40MHz信道綁定，大部分客戶端不支持；避免802.11b/g與802.11n混用，降低性能。無線安全設(shè)計WIDS無線入侵檢測AP在為無線用戶提供WLAN服務(wù)的在開放無線環(huán)境中，WLAN網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響。為了保障無線網(wǎng)絡(luò)通信的安全，AP需要提供無線入侵檢測和反制功能。WIDS（WirelessIntrusionDetectionSystem）用于對有惡意的用戶攻擊和入侵無線網(wǎng)絡(luò)進(jìn)行早期檢測。根據(jù)WIDS檢測結(jié)果，對AP、client等入侵者進(jìn)行反制，保障無線網(wǎng)絡(luò)的安全。反制技術(shù)基于射頻掃描信息，當(dāng)收到射頻掃描信息后，根據(jù)所實施的安全策略（安全策略有與合法APssid相同，mac相同，認(rèn)證策略相同等）判定哪些AP屬于非法AP，對非法AP進(jìn)行反制。同樣可以根據(jù)射頻掃描信息得知哪些已知客戶端關(guān)聯(lián)在非法AP上，對已知客戶端進(jìn)行保護(hù)。非法AP檢測：無線攻擊者往往會通過搭建非法AP基站的途徑來進(jìn)行無線網(wǎng)絡(luò)攻擊，這種偽造AP攻擊主要出于三個目的：1）偽裝成正常的工作基站，使得合法客戶端連接到此基站。達(dá)到轉(zhuǎn)發(fā)客戶端連接請求，以便截獲其中內(nèi)容的目的；2）惡意創(chuàng)建大量虛假AP基站信號，達(dá)到干擾正常通信，破壞合法用戶通行的目的；3）由間諜或被收買的內(nèi)部成員在內(nèi)部有線網(wǎng)絡(luò)設(shè)備上偷偷搭設(shè)非法AP，以便從外部可以輕松滲透進(jìn)高強(qiáng)度安全環(huán)境，比如采用內(nèi)外網(wǎng)隔離的機(jī)構(gòu)。目前系統(tǒng)支持以下RogueAP的檢測：網(wǎng)管設(shè)置的非法AP；非法AP假冒合法的SSID；Beacon幀中沒有vendor字段；Beacon幀中沒有SSID字段；在錯誤的信道接收到了ManagedAP的Beacon幀；AP使用了錯誤的安全認(rèn)證方式；ManagedAP發(fā)送無效的SSIDAP工作在非法信道合法的胖AP但配置錯誤AP工作在WDS模式UnmanagedAP接入有線網(wǎng)絡(luò)檢測到RogueAP后，Ac根據(jù)AP上報的射頻掃描報告可以得到RogueAP的大致位置信息，以幫助快速的定位RogueAP。非法STA檢測，目前系統(tǒng)支持以下RogueClient的檢測：OUI字段不合法；KnowClientDatabase判定的非法客戶端合法客戶端關(guān)聯(lián)未知AP認(rèn)證請求幀泛洪攻擊探查請求幀泛洪攻擊解認(rèn)證幀泛洪攻擊認(rèn)證失敗幀泛洪攻擊關(guān)聯(lián)請求幀泛洪攻擊解關(guān)聯(lián)請求幀泛洪攻擊DOS：即DenialOfService，拒絕服務(wù)的縮寫。拒絕服務(wù)，就相當(dāng)于必勝客在客滿的時候不再讓人進(jìn)去一樣，你想吃披薩，就必須在門口等吧。DOS攻擊即讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問。DOS攻擊主要是通過發(fā)送大量的數(shù)據(jù)包，從而占用帶寬或者占滿NAT設(shè)備的session。從而導(dǎo)致不能上網(wǎng)，打不開網(wǎng)頁等。因此DCN無線設(shè)備針對DOS攻擊，配置了安全的防御策略，為安全著想，為實現(xiàn)網(wǎng)絡(luò)穩(wěn)定運(yùn)行而努力。WIPS無線入侵防御和非法用戶定位隨著無線網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，那么，如何對無線非法用戶和非法AP的入侵進(jìn)行防護(hù)呢？這時，WIPS功能，可以作為網(wǎng)絡(luò)環(huán)境安全運(yùn)行的得力保鏢，它會集成到WLAN的基礎(chǔ)設(shè)置中去，對惡意的接入點(diǎn)進(jìn)行檢測，分類和定位，并且對其進(jìn)行控制?？梢詫Φ谌浇尤朦c(diǎn)進(jìn)行實時監(jiān)控，拒絕任何非法服務(wù)的攻擊和檢測，攻擊的終端會自動進(jìn)入黑名單！對非法設(shè)備的反制：檢測到RogueAP和RogueClient之后，需要對非法設(shè)備進(jìn)行一定的反制措施，來減輕非法設(shè)備的影響。在檢測到RogueAP后，如果開啟了RogueAP反制功能，AC將攻擊列表發(fā)送給ManagedAP，由ManagedAP對Rogue設(shè)備采取措施。啟動反制措施后，ManagedAP會假冒Client發(fā)送解認(rèn)證消息給RogueAP，會發(fā)送解認(rèn)證消息給關(guān)聯(lián)到RogueAP的Client，以解除RogueAP和Client的連接。根據(jù)網(wǎng)絡(luò)實際接入情況，多次反制以便最終解除錯誤的連接。Ad-hoc網(wǎng)絡(luò)是一種點(diǎn)對點(diǎn)的、能夠臨時快速自動組網(wǎng)的無線移動網(wǎng)絡(luò)。網(wǎng)絡(luò)中所有節(jié)點(diǎn)的地位平等，無需設(shè)置任何的中心控制節(jié)點(diǎn)。網(wǎng)絡(luò)中的節(jié)點(diǎn)不僅具有普通移動終端所需的功能，而且具有報文轉(zhuǎn)發(fā)能力。與普通的移動網(wǎng)絡(luò)和固定網(wǎng)絡(luò)相比，它具有無中心、自組織、多跳路由、動態(tài)拓?fù)涮攸c(diǎn)，使得網(wǎng)絡(luò)具有很強(qiáng)的健壯性、抗毀性和靈活性。AP負(fù)責(zé)將檢測到的無線鄰居（AP、client）發(fā)送給AC。AC檢查AP上報的AP、client是否非法，若有非法AP或client，通知AP進(jìn)行反制。AP接收到AC的反制消息后，對不同的網(wǎng)絡(luò)設(shè)備采用相應(yīng)的反制措施，破壞非法設(shè)備的網(wǎng)絡(luò)連接，從而保證網(wǎng)絡(luò)免受非法設(shè)備攻擊及通信信息的保密性。鑒于ad-hoc網(wǎng)絡(luò)是靠STA發(fā)出beacon幀來維持網(wǎng)絡(luò)的連接，無需關(guān)聯(lián)、認(rèn)證等，因此，采用基礎(chǔ)架構(gòu)網(wǎng)絡(luò)中的反制方式，對于ad-hoc網(wǎng)絡(luò)不起作用，需要采用發(fā)fakebeacon幀的方式來擾亂ad-hoc網(wǎng)絡(luò)，使其不能正常工作。黑白名單--無線網(wǎng)絡(luò)的安檢員靜態(tài)黑名單可以防止事先已知的攻擊源，當(dāng)然，大多數(shù)攻擊源是未知的，因此“動靜結(jié)合”是保衛(wèi)網(wǎng)絡(luò)環(huán)境的一個全能型技術(shù)特點(diǎn)。簡單的來說，泛洪攻擊（Flooding攻擊）是指WLAN設(shè)備會在短時間內(nèi)接收了大量的同種類型的報文。此時WLAN設(shè)備會被泛洪的攻擊報文淹沒而無法處理真正的無線終端的報文。IDS攻擊檢測通過持續(xù)的監(jiān)控每臺設(shè)備的流量大小來預(yù)防這種泛洪攻擊。當(dāng)流量超出可容忍的上限時，該設(shè)備將被認(rèn)為要在網(wǎng)絡(luò)內(nèi)泛洪從而被鎖定，此時如果使能了動態(tài)黑名單，檢查到的攻擊設(shè)備將被加入動態(tài)黑名單。完備內(nèi)置防火墻策略五元組的防火墻策略最大限度的完善了網(wǎng)絡(luò)穩(wěn)定運(yùn)行的需求，無線網(wǎng)絡(luò)好壞不止是信號的優(yōu)劣，這個幕后英雄必不可少，DCN五元組防火墻策略包括基于MAC，IP，端口，協(xié)議和流的策略規(guī)則，豐富而全面。內(nèi)置防火墻功能，在一定程度上完善了無線控制器單一的AP控制功能，很大程度上保證了網(wǎng)絡(luò)中，用戶需要的策略通過無線控制器來完成。用戶隔離可運(yùn)營的WLAN網(wǎng)絡(luò)中，用戶之間是互不信任的，所以必須采用用戶隔離技術(shù)防止用戶之間的互相攻擊或竊聽。同時，如果用戶利用局域網(wǎng)互相訪問和傳遞數(shù)據(jù)，也會占用網(wǎng)絡(luò)資源，致使網(wǎng)絡(luò)擁塞，因此在某些場合也必須采用用戶隔離禁止用戶間互相訪問。WLAN用戶的隔離機(jī)制，有效保證了網(wǎng)絡(luò)中終端之間有序的通訊狀態(tài)，可以通過二層隔離防止在同一AP上的用戶相互通訊，也可以在三層模式下過濾防止在不同AP上的用戶相互通訊，當(dāng)然，客戶端還是可以正常訪問Internet的。無線服務(wù)質(zhì)量設(shè)計端到端的無線有線一體化QOS功能概述場景1場景2什么是QOSQualityofService（服務(wù)質(zhì)量）是指網(wǎng)絡(luò)通信過程中，允許用戶業(yè)務(wù)在丟包率、延遲、抖動和帶寬等方面獲得可預(yù)期的服務(wù)水平。IPQoS目標(biāo)：避免并管理IP網(wǎng)絡(luò)擁塞減少IP報文的丟失率調(diào)控IP網(wǎng)絡(luò)的流量為特定用戶或特定業(yè)務(wù)提供專用帶寬支撐IP網(wǎng)絡(luò)上的實時業(yè)務(wù)技術(shù)特點(diǎn)AC、AP的qos分為兩種模型：IntServ模型：業(yè)務(wù)通過信令向網(wǎng)絡(luò)申請?zhí)囟ǖ腝oS服務(wù)，網(wǎng)絡(luò)在流量參數(shù)描述的范圍內(nèi)，預(yù)留資源以承諾滿足該請求。資源保留控制技術(shù)：基于每個AP，預(yù)留指定的用戶視頻流數(shù)目，一旦請求超過該數(shù)目，拒絕接入，以確保原有資源的帶寬；DiffServ模型：當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時，根據(jù)業(yè)務(wù)的不同服務(wù)等級約定，有差別地進(jìn)行流量控制和轉(zhuǎn)發(fā)來解決擁塞問題。常見的幾種QoS應(yīng)用場景:基于流量分類的qos基于自定義優(yōu)先級的QOS基于SSID的qosVIP用戶保障接入如圖所示：每個AP假設(shè)最高用戶連接數(shù)為20，在AP接入用戶滿時。這時如果有高優(yōu)先級的用戶，那么AC就會將這個AP下優(yōu)先級較低的用戶強(qiáng)制下線，以保證高優(yōu)先級用戶的接入。WLAN優(yōu)先級服務(wù)多AP如上圖所示，某個熱點(diǎn)有多臺AP，STA會根據(jù)AP信號的強(qiáng)弱選擇接入的AP，當(dāng)最近的AP用戶數(shù)接滿時，會優(yōu)先接入較遠(yuǎn)的且AP用戶數(shù)未滿的AP。某個熱點(diǎn)區(qū)域內(nèi)所有AP都接滿用戶時，當(dāng)高優(yōu)先級的用戶接入，AC會強(qiáng)制低優(yōu)先級用戶下線。（說明：多SSID的況與此相同，客戶可自己選擇一個SSID，接入流程如上。）高級用戶根據(jù)AP信號的強(qiáng)弱選擇優(yōu)先接入的APAP將接入用戶信息傳輸至ACAC將認(rèn)證信息傳輸至DCSM(含Radius),DCSM獲取認(rèn)證用戶的合法性與用戶類型；DCSM將用戶類型信息回傳給AC設(shè)備，AC根據(jù)用戶類型，判斷用戶的優(yōu)先級，結(jié)合客戶接入AP的用戶接入數(shù)，如果這個AP接入用戶數(shù)已滿，那么AC就會強(qiáng)制低優(yōu)先級用戶下線WMM802.11網(wǎng)絡(luò)提供了基于競爭的無線接入服務(wù)，但是不同的應(yīng)用需求對于網(wǎng)絡(luò)的要求是不同的，而原始的網(wǎng)絡(luò)不能為不同的應(yīng)用提供不同質(zhì)量的接入服務(wù)，所以已經(jīng)不能滿足實際應(yīng)用的需要。接入類WMM按照優(yōu)先級從高到低的順序分為AC-VO（語音流）、AC-VI（視頻流）、AC-BE（盡力而為流）、AC-BK（背景流）四個優(yōu)先級隊列，在EDCA參數(shù)設(shè)置上應(yīng)該保證越高優(yōu)先級隊列中的報文，搶占信道的能力越高。用戶優(yōu)先級對應(yīng)于有線的802.1d優(yōu)先級規(guī)范，WMM規(guī)定了八個用戶優(yōu)先級（UserPriority），其含義和有線的802.1d優(yōu)先級相同，且可以一一映射支持WMM的設(shè)備根據(jù)其用戶優(yōu)先級，將數(shù)據(jù)包放入不同的接入類（優(yōu)先級隊列）中，其對應(yīng)關(guān)系如下表所示：優(yōu)先級802.1d優(yōu)先級802.1d描述AC（接入類）WMM描述最低最高1backgroundAC-BK背景流2-0besteffortAC-BE盡力而為流3exceptionaleffort4controlledloadAC-VI視頻流5video6voiceAC-VO語音流7networkcontrol企業(yè)接入企業(yè)急需QoS才能支持無線VoIP，從而憑借Wi-Fi基礎(chǔ)設(shè)施，在整個企業(yè)范圍內(nèi)顯著節(jié)省成本，并提供無線話音連接，同時避免蜂窩話音通信較高的成本。WMM在企業(yè)中的另一種應(yīng)用是優(yōu)化業(yè)務(wù)量管理，可使網(wǎng)絡(luò)管理人員對不同的用戶分配不同的優(yōu)先級。例如，網(wǎng)絡(luò)管理人員可對共享網(wǎng)絡(luò)的用戶分配較低的優(yōu)先級，或?qū)?zhí)行關(guān)鍵任務(wù)的員工，或?qū)α饕曨l或電話會議一類的應(yīng)用提供更多的網(wǎng)絡(luò)資源。公共接入優(yōu)化業(yè)務(wù)量管理同樣是Wi-Fi公共接入的至關(guān)重要的能力。WMM可用于保證特殊應(yīng)用(如話音或游戲)能夠利用所需的網(wǎng)絡(luò)資源，或保證特殊用戶(如付費(fèi)較多的用戶)能夠優(yōu)先接入。這將使服務(wù)提供商能夠提供收費(fèi)服務(wù)，并支持媒體應(yīng)用。語音視頻SVP服務(wù)SVP（SpectraLinkVoicePriority，Spectralink語音優(yōu)先級）是Spectralink公司為向語音通話提供QoS保障而設(shè)計的語音優(yōu)先協(xié)議。IP頭中ProtocolID為119。當(dāng)AP通過IP頭中的ProtocolID字段辨認(rèn)出SVP報文，將其放入高優(yōu)先級隊列傳輸，分為以下兩種情況：當(dāng)AP的WMM功能未使能時，沒有接入類（AC）的概念，所有報文(非SVP報文)共享同一個隊列，但SVP報文將獨(dú)享高優(yōu)先級隊列，使用AIFSN=1,cwMIN=0,cwMAX=0,MaxBurst=1.5的參數(shù)進(jìn)行報文傳輸。當(dāng)AP的WMM功能使能時，SVP報文將放入AC-VO隊列，其WMM優(yōu)先級為6。上圖描述SVP客戶端之間，客戶和服務(wù)器之間通信場景，SVP報文需要通過SVPserver，SVPserver完成協(xié)議的解釋及SVP報文向其他格式的轉(zhuǎn)換，DCN無線控制器可以將SVP報文映射到配置指定的接入類上，對于去SVP客戶端的報文，按照指定AC對應(yīng)的EDCA參數(shù)與信道競爭，從而實現(xiàn)對SVP的更靈活支持。組播轉(zhuǎn)單播的機(jī)制由于組播流量的傳遞并不可靠，因此并沒有得到確認(rèn)。為了避免接收端出錯，大多數(shù)AP在最低級別的物理層進(jìn)行簡單的組播數(shù)據(jù)包傳輸（e.g.1mbps）。而剩下的組播流量由于增加了傳輸時間，因此很容易受到干擾。對于組播來說，Wi-Fi網(wǎng)絡(luò)的優(yōu)勢在于它減少了干擾、障礙以及數(shù)據(jù)包引起的其它問題。因此，基于傳統(tǒng)Wi-Fi網(wǎng)絡(luò)的多播傳輸已經(jīng)成為各大企業(yè)的關(guān)鍵應(yīng)用技術(shù)。相比之下，Wi-Fi單播傳輸需要得到接收設(shè)備的確認(rèn)。發(fā)送設(shè)備可以利用這些確認(rèn)信息來確定傳輸是否成功，同時優(yōu)化物理層數(shù)據(jù)傳輸速率。DCN利用強(qiáng)大的802.11確認(rèn)反饋機(jī)制，利用單播確認(rèn)來使Wi-Fi傳輸實時具備最佳性能和信號。這種內(nèi)置的反饋機(jī)制將有助于實現(xiàn)組播流量中極低的丟包率，同時增加組播流數(shù)量，而該系統(tǒng)也將進(jìn)行可靠傳輸。無線關(guān)鍵技術(shù)終端時分公平無線網(wǎng)絡(luò)中由于部分802.11b、802.11g老舊終端協(xié)商速率低或者終端離AP較遠(yuǎn)協(xié)商速率低，導(dǎo)致大量用戶無線上網(wǎng)延時大、速度慢、AP整機(jī)性能低下。簡單地采用速率控制和流量整形，無法解決低速率終端接入環(huán)境下的AP性能問題。DCN智能無線AP通過基于終端空時公平的智能控制，根本性的解決了這個問題，保證用戶無論使用何種類型的終端，都將在相同的位置上獲得同樣良好的無線上網(wǎng)體驗。通過基于終端時分公平的智能控制，網(wǎng)絡(luò)性能無論是對客戶端還是對整個網(wǎng)絡(luò)都極大地提高了。所有高數(shù)據(jù)傳輸率客戶端的性能都有極大提升，而低速率客戶端幾乎沒有受到負(fù)面影響。在開放的無線網(wǎng)絡(luò)中，性能提升的效果甚至?xí)黠@。一旦高速客戶端完成傳輸，在無線網(wǎng)絡(luò)中正在傳輸?shù)目蛻舳藬?shù)量就更少，因此競爭和重試就會減少，從而大幅度提升了AP整機(jī)性能。將802.11b/g/n比作公路上奔跑的三種不同速度的單位，如果在這條沒有合理指揮的道路上，行走慢的單位必然會影響快速移動的單位?；诮K端時分公平的智能控制，就好比為每個不同速度的單位單獨(dú)分配一個專屬的車道，這樣保證了速度快的單位可以自由行使在專屬的空間中。測試中每個客戶端傳輸整10,000個1500字節(jié)的HTTP包，吞吐量都是6Mbps。所有六個客戶端完成傳輸10,000HTTP包所需的時間在90到100秒之間。無線環(huán)境頻譜分析為了提供更好的WLAN服務(wù)質(zhì)量，進(jìn)行射頻管理是必須要存在的一項內(nèi)容，如今空氣中無線信號越來越復(fù)雜，因此無線設(shè)備不僅僅只能作為只關(guān)注無線信號的產(chǎn)品，無線信號的傳播受周圍環(huán)境影響，無線環(huán)境是在不斷變化的，移動的障礙物、正在工作的微波爐、藍(lán)牙設(shè)備、游戲手柄等帶來的干擾都可能對無線信號的傳播造成影響，所以實時了解無線環(huán)境中頻譜資源的使用情況，能夠幫助無線網(wǎng)絡(luò)管理員作出決策，調(diào)整AP的信道、發(fā)射功率等射頻參數(shù)，來保證無線服務(wù)的質(zhì)量。集中式隧道轉(zhuǎn)發(fā)技術(shù)下L3漫游和跨AC漫游在無線網(wǎng)絡(luò)實際應(yīng)用中，如客戶需要覆蓋一個商場，而商場的不同區(qū)域被劃分了不同子網(wǎng)。在這種場景中，AC位于骨干網(wǎng)中，而AP需要分布在不同區(qū)域中，即分布在不同子網(wǎng)中。這種場景下，當(dāng)用戶從一個區(qū)域漫游到另一個區(qū)域時，就是一種三層漫游情況。集中式隧道轉(zhuǎn)發(fā)-三層漫游示意圖station從AP1漫游到AP3的處理過程如下：集群式管理模式下，AP與AC之間，AC與AC之間都會在關(guān)聯(lián)之后建立起一條集中式隧道在無線用戶漫游到新的其他網(wǎng)段的AP上的時候，station還可以保持IP地址不變Station漫游后，目的地址為Host的報文送到AP3上，被打上CAPWAP頭，通過隧道送到AC3AC3發(fā)現(xiàn)本地沒有創(chuàng)建VLAN1，就廣播到所有tunnel上AC2收到后，拆掉包頭，發(fā)現(xiàn)系統(tǒng)沒有創(chuàng)建VLAN，就將包丟掉AC1收到后，拆掉包頭，會在VLAN1中轉(zhuǎn)發(fā)報文到Host?？鏏C漫游：DCN無線控制器間的通過通用封裝和傳輸機(jī)制，上保證了無線控制器-無線控制器間的WLAN傳輸安全。無線控制器間通信的建立采用標(biāo)準(zhǔn)的TCPC/S模式。對于部署多個AC的大型網(wǎng)絡(luò)中，漫游可能發(fā)生在不同AC管理的AP間，為保證漫游的平滑進(jìn)行，需要開啟跨AC的漫游支持功能。client在不同AC管理的AP間漫游而保持自身屬性不變的特性。漫游發(fā)生在提供相同SSID的AP間，對于接入相同SSID而歸屬不同的vlan的漫游，AC間同樣也會同步用戶的信息，仍然可以實現(xiàn)用戶的無縫漫游。AP跨NAT接入無線控制器AP跨NAT接入無線控制器，實現(xiàn)了遠(yuǎn)程辦公的技術(shù)需求，方面中心集中管理所有無線網(wǎng)絡(luò)設(shè)備，甚至跨國家的進(jìn)行各區(qū)域的無線設(shè)備管理需求。這一基本功能，建立在了DCN優(yōu)質(zhì)網(wǎng)絡(luò)設(shè)備的基礎(chǔ)之上，是無線方案中不可或缺的解決辦法之一?；跁r間的訪問控制DCN無線設(shè)備，可以根據(jù)用戶需要，對客戶端實行基于時間的訪問控制?？梢愿鶕?jù)時間段的規(guī)則，允許客戶端是否可以上網(wǎng)。是政府、銀行、商場、訪客訪問應(yīng)用中的理想功能。基于終端角色的策略管理機(jī)制基于角色的接入控制，內(nèi)置防火墻，可以靈活的進(jìn)行策略控制。一體化認(rèn)證方式，靈活控制上網(wǎng)策略。不同的SSID網(wǎng)絡(luò)，可以采取不同的加密認(rèn)證方式以及管理策略，可以通過AC集中配置，例如一個商場網(wǎng)中可以配置UNIV、VOICE、GUEST三個不同的SSID網(wǎng)絡(luò)，滿足不同的網(wǎng)絡(luò)建設(shè)需求；同一個SSID網(wǎng)絡(luò)，不同的用戶組，可以采用基于終端角色的管理策略。每個終端在認(rèn)證過程中，AAA服務(wù)器在返回認(rèn)證結(jié)果的同時都會統(tǒng)一給每個終端動態(tài)下發(fā)不同的策略，具體的策略內(nèi)容配置和控制都由AC和AP實現(xiàn)。例如在UNIV的SSID網(wǎng)絡(luò)中，針對場場員工、用戶、客戶等不同用戶組，實施不同的策略管理。目前支持如下完備的基于角色的策略機(jī)制：基于用戶的VLAN；基于用戶的防火墻策略（AccessControlList）；基于用戶的帶寬控制（上下行bandwidth）；基于用戶的QoSPolicy策略(可以實現(xiàn)對指定數(shù)據(jù)流的訪問控制和優(yōu)先級操作)。基于終端角色的策略在如下認(rèn)證方式下支持：基于MAC的認(rèn)證方式；基于802.1X的認(rèn)證方式；基于Portal的認(rèn)證方式。3.1.7 無線遠(yuǎn)程抓包DCN無線控制器支持針對AP的遠(yuǎn)程探針分析功能?？梢詫Ω采w區(qū)內(nèi)的Wi-Fi報文進(jìn)行偵聽捕獲并實時鏡像到本地分析設(shè)備供網(wǎng)絡(luò)管理員進(jìn)行故障排查、優(yōu)化分析。遠(yuǎn)程探針分析功能既可以針對工作信道進(jìn)行無收斂鏡像，也可以對所有信道輪詢采樣，靈活滿足無線網(wǎng)絡(luò)監(jiān)控運(yùn)維要求。無線SAVI(源地址有效性驗證)WLAN網(wǎng)絡(luò)環(huán)境中，由于802.11i等安全機(jī)制的應(yīng)用，增強(qiáng)了WLAN數(shù)據(jù)鏈路層的數(shù)據(jù)加密和認(rèn)證性能，也使MAC地址成為與三層IP地址