重慶翰華擔保集團網絡技術建議書年月日目錄第1章工程背景3需求分析3網絡設計原那么5第2章網絡結構設計8網絡設計8第3章本方案的技術設計9路由協(xié)議的設計93.2VLAN設計103.3trunk鏈路的設計11訪問控制〔ACL〕的設計11效勞質量〔QOS〕機制123.6播送風暴的抑制12防止對DHCP效勞器的攻擊12防止基于流的攻擊特性12第4章具體解決方案124.1VLAN規(guī)劃12劃分VLAN的必要性12劃分VLAN的方法14具體VLAN規(guī)劃164.2IP地址分配原那么17本次工程IP地址分配18網絡設備自身的平安功能20用戶嚴格隔離20有效防范MAC掃描和ARP攻擊：204.4.3DHCP攻擊、VLAN“Hopping”攻擊的防范：20采用SNMPv3杜絕網管攻擊：20有效抑制播送風暴21防治蠕蟲病毒21第5章H3C設備介紹25核心交換機25防火墻30接入交換機36第6章附錄42華三公司介紹42技術支持與售后效勞44兩小時廠家上門效勞一年免費維保446效勞組織機構44效勞及時性保障45效勞有效性保障46工程背景需求分析為滿足翰華擔保集團現(xiàn)代化辦公的需要，需要建立一套現(xiàn)代化網絡平臺。重慶翰華擔保集團擁有大量的效勞器和主機設備，需要局域網絡提供高速帶寬支持。這就需要建設一套先進的網絡系統(tǒng)，加速實現(xiàn)辦公現(xiàn)代化，充分提高工作效率。計算機網絡系統(tǒng)為其它各子系統(tǒng)集成提供了根底，網絡主干目前一般采用千兆，可平滑升級到萬兆，同時到達100兆交換到桌面。包括建立有線與無線共存應用，多種效勞和強大的數(shù)據庫。網絡設計必須遵循高可靠性、經濟性、流量合理分布、傳輸時延最小和便于管理等原那么，選擇先進、可靠、符合未來技術開展趨勢的組網技術。購置設備的選型要具有開放性、符合國際標準，兼顧先進性和成熟性，并與已有設備兼容，具有良好的可管理性。網絡應具有高可靠性，包括設備可靠性、鏈路可靠性、路由冗余等。同時，骨干網具有支持IPv6協(xié)議、組播路由等下一代互聯(lián)網技術的擴展能力。為員工提供Email、DNS、DHCP、FTP、BBS等網絡根本效勞，運行和維護基于Web的信息發(fā)布系統(tǒng)。劃分專門的網段，運行和維護各類信息系統(tǒng)的效勞器，提供數(shù)據中心效勞。選用的網絡設備應是當今世界上較為先進、應用范圍廣，而且應與世界上其它主要廠商的產品具有良好的互連性。根據整個廠區(qū)的網絡信息點的分布。要充分考慮到：網絡平安系統(tǒng)、網絡地址要求、網上多媒體系統(tǒng)、效勞器、存儲、備份系統(tǒng)、中心機房環(huán)境等。網絡規(guī)劃，除了考慮到當前的實際需要外，對于網絡平臺的規(guī)劃我們充分考慮現(xiàn)階段網絡技術開展的趨勢，并提供長遠的規(guī)劃和擴展的考慮，實施完成后重慶翰華擔保集團園區(qū)網絡應充分滿足以下幾個方面：高性能隨著IP、視頻會議、網上業(yè)務、OA辦公系統(tǒng)、電子郵件系統(tǒng)、ERP系統(tǒng)等應用的應用，網絡需要承載各種信息流，將對重慶翰華擔保集團內網以及外網網帶寬提出較高的要求。高速網絡是網絡開展的必然方向，網絡應該運用當今最先進的技術，并且應該滿足今后假設干年的性能需求。因此，我們建議的重慶翰華擔保集團的根底網絡結構：1、以千兆為核心技術，支持萬兆交換已成為組網的根本要求，千兆到接入交換機、千兆到效勞器，、百兆到員工，應該成為重慶翰華擔保集團網絡建設的根本要求。2、支持多種應用：建成后的重慶翰華擔保集團網絡是融合多種應用如數(shù)據、IP、視頻、監(jiān)控等的網絡，網絡在建之初就應該考慮的對多業(yè)務的支持。3、對于一個大型的網絡來說，VLAN的靈活劃分是非常重要的功能，它為限制全網范圍的播送、減少不必要的流量提供了有效的手段。在網絡設計中應選擇切實可行的技術進行VLAN的靈活劃分。高平安性隨著重慶翰華擔保集團信息化建設的不斷深入，在重慶翰華擔保集團網絡迅速壯大并推動業(yè)務快速開展的同時，也使重慶翰華擔保集團面臨著更加嚴峻的挑戰(zhàn)：網絡平安與網絡管理日益成為關系到重慶翰華擔保集團可持續(xù)開展的重大因素。目前常見的企業(yè)網絡平安隱患主要來自以下一些方面：1．網絡級攻擊：竊聽報文，IP地址欺騙、源路由攻擊、端口掃描、拒絕效勞攻擊。2．應用層攻擊：有多種形式，包括探測應用軟件的漏洞、"特洛依木馬"等；3．系統(tǒng)級攻擊：不法分子利用操作系統(tǒng)的平安漏洞對內部網構成平安威脅。另外，網絡本身的可靠性與線路平安也是值得關注的問題。所以建成的重慶翰華擔保集團網絡系統(tǒng)應具有良好的平安性。能夠對使用者進行驗證、授權、審核，以保障系統(tǒng)的平安性。同時提供靈活的用戶接入控制策略：及分布式控制和集中式控制。高可靠性重慶翰華擔保集團網絡系統(tǒng)承載著重慶翰華擔保集團各種重要的業(yè)務數(shù)據，整個網絡系統(tǒng)應具有高可靠性。除了采用高可靠性的網絡設備以外還應考慮鏈路層和網絡層的備份。 可擴展性和可升級性系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網絡中的數(shù)據和信息流將按指數(shù)增長，需要網絡有很好的可擴展性，并能隨著技術的開展不斷升級。易管理、易維護重慶翰華擔保集團網絡系統(tǒng)規(guī)模大，需要網絡系統(tǒng)具有良好的可管理性，網管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設置等功能，以便于系統(tǒng)的管理和維護。網絡設計原那么網絡平臺是信息化建設的重要根底設施，必須從網絡信息體系建設的全局考慮，將計算機網絡建設為一個高起點，易于擴充、升級、管理和使用的網絡系統(tǒng)。先進性和實用性網絡規(guī)劃既要以現(xiàn)實需要為出發(fā)點，又要考慮長遠開展的需要和潛在的擴充，盡可能采取先進而成熟的技術和產品，使之在一定時期內都能保持較先進的水平。使網絡帶寬性能不僅適應現(xiàn)在的需要，還可以滿足未來幾年數(shù)據量的要求。在網絡設計中，首先要考慮的是實用性，使之易操作、易管理和維護并且易于用戶掌握和學習使用。其次要考慮對現(xiàn)有設備和資源的充分利用，采用成熟的網絡通信技術和設備，保證原有的投資。目前隨著網絡的聲音、圖像等多媒體應用日益增加，對網絡效勞質量，如帶寬，延遲等有很高的要求。利用IPQoS、IPMulticast、MPLS等技術可以保證效勞質量(QoS)滿足用戶要求。可靠性與平安性系統(tǒng)平安可靠運行是整個系統(tǒng)建設的根底。鑒于網絡信息的重要性，要求網絡系統(tǒng)要有較高的可靠性，各級網絡應具有網絡監(jiān)督和管理能力；要適當考慮關鍵設備和線路的冗余，使其能夠進行在線修復、更換和擴充；要確保系統(tǒng)數(shù)據傳輸?shù)恼_性，以及為防止異常情況發(fā)生所必須的保護性措施。根據具體情況采用VPN技術、訪問控制列表、子網隔離、防火墻和IPS等平安控制措施，以保證網絡平安運行，拒絕未經授權的訪問。不僅要求網絡能夠長時間的平安運轉，同時要求網絡設備具有較強的容錯能力。在系統(tǒng)設計上，要從以下幾個方面保證網絡的可靠與容錯:①選用高可靠性的網絡設備，在網絡的關鍵部位采用冗余備份設計，防止單點故障，保證網絡長期運行的可靠性。②采用優(yōu)秀的網管系統(tǒng)對網絡進行實時監(jiān)控，以便及時發(fā)現(xiàn)網絡故障。③采用可靠的備份系統(tǒng)，通過TFTP效勞器定時備份網絡設備配置。系統(tǒng)設計能對關鍵數(shù)據提供可靠的保護；對網絡病毒提供防范措施；網絡數(shù)據要有可靠的備份，備份系統(tǒng)要求讀寫速度快，保密性好，可靠性高。開放性與標準化系統(tǒng)采用的硬件平臺、軟件平臺、網絡協(xié)議等符合開放系統(tǒng)的標準，并能夠與其他系統(tǒng)實現(xiàn)互聯(lián)，將采用大多數(shù)廠商支持的國際標準協(xié)議。具體講，主要從以下幾個方面實現(xiàn)開放性和標準化；?采用工業(yè)標準TCP/IP協(xié)議。?網絡互聯(lián)設備應支持多種協(xié)議，能與其它廠家設備互操作。?采用支持SNMP協(xié)議的網管軟件。在總體設計中，應采用開放式的體系結構，使網絡易于擴充，使相對獨立的分系統(tǒng)易于進行組合調整。有適應外界環(huán)境變化的能力，即在外界環(huán)境改變時，系統(tǒng)可以不作修改或僅作少量修改就能在新環(huán)境下運行。網絡選用的通信協(xié)議和設備要符合國際標準或工業(yè)標準，將不同應用環(huán)境和不同的網絡優(yōu)勢有機地結合起來。也就是說，要使網絡的硬件環(huán)境、通訊環(huán)境、軟件環(huán)境、操作平臺之間的相互依賴減至最小，發(fā)揮各自優(yōu)勢。同時，要保證網絡的互聯(lián)，為信息的互通和應用的互操作創(chuàng)造有利的條件。經濟性與可擴充性?擴展和升級系統(tǒng)建設要考慮將來的擴展和升級，以免人力、物力、財力的浪費。網絡設計不僅要滿足當前的需求，還要為將來的擴展留有余地，保護投資。網絡設計采用國際標準的技術和符合標準的設備，系統(tǒng)軟件或硬件升級都不應影響整個系統(tǒng)的運行。系統(tǒng)上結點的增減也應不影響系統(tǒng)的正常運行。建成的網絡系統(tǒng)必須具有良好的可擴充性和升級能力，其擴充和升級將以最低本錢花費為前提。?易于管理和維護網絡系統(tǒng)的所有設備都應是可管理的，會支持遠程監(jiān)控及對故障的過程診斷和恢復。通過網絡管理工具，可以方便地監(jiān)控網絡運行情況，對出現(xiàn)的問題及時解決，對網絡的優(yōu)化提供依據。另外，網絡的設計應采用簡單易用的網絡技術，降低運行維護的費用。?經濟性可以和現(xiàn)有網絡無縫的連接，同時可以提升現(xiàn)有網絡的性能。在網絡設備的選擇上，既要考慮技術性能、市場份額、技術特色，又要權衡與原有系統(tǒng)整合的條件、人員的培訓狀況。本系統(tǒng)需要完整而成熟的最新技術和產品。其各項技術應保證具有開放性、可移植性、兼容性和可擴展性。根據前面所作的現(xiàn)狀與需求分析，我們提出以下的總體設計思想：采用先進的萬兆、千兆以太網以及快速以太網交換技術：目前，局域網建設模式是以千兆以太網為骨干、并具有萬兆能力，設備間以百兆以太網交換的方式；采用業(yè)界主流的交換機產品：在產品選型上采用業(yè)界最先進的產品，可以保證網絡具有長期的產品升級、支持和維護；在設備配置上兼顧先進性與適用性：采取最先進的設備配置可以保證網絡的性能，但同時也造成網絡建設本錢的增加，因此，必須兼顧先進性與適用性，求得最正確的性能價格比；面向應用的網絡：目前，局域網應用的開展非常迅猛，各類新的應用技術和模式不斷涌現(xiàn)，網絡必須支持這種變化，滿足新的應用的需求；周密的網絡平安策略：網絡平安目前已經成為網絡建設中非常重要的一個環(huán)節(jié)，對于局域網來說，網絡平安的重要性就更顯突出，必須制定周密的網絡平安策略，最大限度地保證網絡平安；全面的網絡管理與維護：網絡管理與維護在網絡的整個運行周期中起著非常重要的作用，因此在網絡設計時必須充分考慮未來網絡管理與維護的工作。網絡結構設計根據重慶翰華擔保集團的網絡信息點的分布，我們建議使用核心層加接入層的方式來實現(xiàn)我們所需要的網絡?？紤]到重慶翰華擔保集團園區(qū)的規(guī)模和設計，我們建議在網絡核心層使用一臺核心交換設備，接入層交換機通過千兆鏈路連接到核心交換機，來滿足對目前的要求。網絡設計拓撲結構描述： 如下圖：整個網絡拓撲結構分為核心層和接入層,下面我們就對整個網絡結構做詳細描述。中心局部是由防火墻、VPN網關、上網行為管理及核心交換機組成；為了保證WEB效勞器能平安的為互聯(lián)網用戶提供效勞，我們可以把效勞器放在防火墻的DMZ區(qū)里面，來實現(xiàn)WEB效勞器的對外提供效勞；為了保證分支用戶能平安高效的接入總公司的內網，我們在防火墻后面放置一臺VPN設備用來做與分支機構互聯(lián)的VPN網關。為了使用戶更加平安的接入互聯(lián)網，我們在出口處放置了一臺上網行為管理設備，最大可能的保護用戶連接互聯(lián)網的平安。接入層:接入層交換機全部通過千兆銅纜的方式連接到核心交換機上的,同時樓層的接入交換機之間的級聯(lián)也是通過千兆的方式進行級聯(lián)的,這樣就到達了骨干千兆,百兆桌面的網絡結構。同時本次方案中,我們選用的是H3C的S3100-26TP-EI交換機,該交換機具有高平安性能,支持IP+MAC+端口的綁定功能,為用戶的平安接入提供了可行性.本方案的技術設計路由協(xié)議的設計在大型網絡中，選擇適當?shù)穆酚蓞f(xié)議是非常重要的。目前常用的路由協(xié)議有多種，如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由協(xié)議有各自的特點，分別適用于不同的條件之下。選擇適當?shù)穆酚蓞f(xié)議需要考慮以下因素：1〕路由協(xié)議的開放性開放性的路由協(xié)議保證了不同廠商都能對本路由協(xié)議進行支持，這不僅保證了目前網絡的互通性，而且保證了將來網絡開展的擴充能力和選擇空間。2〕網絡的拓撲結構網絡拓撲結構直接影響協(xié)議的選擇。例如RIP這樣比擬簡單的路由協(xié)議不支持分層次的路由信息計算，對復雜網絡的適應能力較弱。3〕網絡節(jié)點數(shù)量不同的協(xié)議對于網絡規(guī)模的支持能力有所不同，需要按需求適中選擇，有時還需要采用一些特殊技術解決適應網絡規(guī)模方面的擴展性問題。4〕與其他網絡的互連要求通過劃分成相對獨立管理的網絡區(qū)域，可以減少網絡間的相關性，有利于網絡的擴展，路由協(xié)議要能支持減少網絡間的相關性，是通常劃分為一個自治系統(tǒng)〔AS〕，在AS之間需要采用適當?shù)膮^(qū)域間路由協(xié)議。必要時還要考慮路由信息平安因素和對路由交換的限制管理。5〕管理和平安上的要求通常要求在可以滿足功能需求的情況下盡可能簡化管理。但有時為了實現(xiàn)比擬完善的管理功能或為了滿足平安的需要，例如對路由的傳播和選用提出一些人為的要求，就需要路由協(xié)議對策略的支持。因此選擇靜態(tài)路由協(xié)議，對于廠區(qū)數(shù)據網網絡性能的最優(yōu)和平安性是非常重要的。VLAN設計在網絡成為必不可少的工具、信息處理成為日常工作的重心后，VLAN技術的運用顯得越來越重要。VLAN對于信息系統(tǒng)的意義表達在：1.VLAN可以改善網絡的通信效率。因為通信流量只局限于本子網中，不會對其它子網產生干擾。2.VLAN可以防止播送風暴。在較大規(guī)模的網絡中，大量的播送信息很容易引起網絡性能的急劇降低，甚至使網絡癱瘓。而VLAN使播送只在子網中進行，不會作無意義的擴散，從而消除了播送風暴產生的條件。3.VLAN大大增強了網絡及其信息的平安性。因為子網間無法隨意進行訪問，信息流通得到相當好的控制。4.VLAN使網絡的組織更具靈活性。網絡用戶在網絡中的物理位置不會影響該用戶邏輯上的訪問權限，也就是說網絡規(guī)劃完全不會受到物理的限制。VLAN的劃分與IP子網的規(guī)劃存在很大的關系。具體的實施過程建議如下進行：1．對全網的IP地址進行全面的規(guī)劃，確定各子網內主機的數(shù)量，并根據IP子網內主機的數(shù)量確定掩碼的長度。2．確定IP子網的聚合點，聚合點以下采用連續(xù)的子網劃分。使聚合點向核心路由器通告最少的路由。3．選擇適宜的路由協(xié)議進行子網路由。4．根據IP子網的規(guī)劃，對交換機進行VLAN的規(guī)劃和劃分。建立VLAN和IP子網的對應關系。5．網絡管理系統(tǒng)采用完全獨立的IP子網和VLAN，實現(xiàn)更平安的對所有網絡設備進行管理。6．根據信息流量的走向和分布，確定效勞器集群的VLAN和IP子網。7．在三層路由交換機建立相應的VLAN以及與VLAN綁定的IP子網網關。8．建立相應的子網間的訪問策略，在三層路由交換機配置訪問列表。trunk鏈路的設計所有的接入層交換機全部采用的是H3C公司的3100EI系列的二層可管理千兆交換機，因為要滿足因為地理位置不同，但部門是同一個部門的問題，同時IP要規(guī)劃在同一個子網內；所以，我們可以通過在二層交換機上做trunk的方式，把網關都集中在核心三層交換機上來實現(xiàn)。訪問控制〔ACL〕的設計對于那些確實具有網絡接入許可，但試圖訪問未得到授權的網絡資源的用戶站點，H3C系列產品的多層交換引擎能在進行高效的第三層交換的同時，根據用戶的IP地址限制其訪問不被授權訪問的效勞器。本方案提供的平安性是建立在網絡的物理端口、虛擬網的邏輯界限和OSI網絡模型的數(shù)據鏈路層、網絡層的立體交叉的、多維化的平安保障。應用ACL防范“沖擊波”等蠕蟲病毒：最近發(fā)現(xiàn)的沖擊波病毒，造成了很多地方感染，網絡癱瘓。這是一個針對MS03-026MicrosoftWindowsDCOMRPC接口遠程緩沖區(qū)溢出漏洞。蠕蟲還會在本地的UDP/69端口上建立一個tftp效勞器，用來向其他受侵害的系統(tǒng)上傳送蠕蟲的二進制程序。蠕蟲選擇目標IP地址的時候會首先選擇受感染系統(tǒng)所在子網的IP，然后再按照一定算法隨機在互連網上選擇目標攻擊。一旦連接建立，蠕蟲會向目標的TCP/135端口發(fā)送攻擊數(shù)據。如果攻擊成功，會監(jiān)聽目標系統(tǒng)的TCP/4444端口作為后門，并綁定。然后蠕蟲會連接到這個端口，發(fā)送tftp命令，回連到發(fā)起進攻的主機，將傳到目標系統(tǒng)上，然后運行它。蠕蟲所帶的攻擊代碼來自一個公開發(fā)布的攻擊代碼，當攻擊失敗時，可能造成沒有打補丁的Windows系統(tǒng)RPC效勞崩潰，WindowsXP系統(tǒng)可能會自動重啟。該蠕蟲不能成功侵入Windows2003，但是可以造成Windows2003系統(tǒng)的RPC效勞崩潰。另外中毒的效勞器會向網絡發(fā)送大量無效的數(shù)據包，浪費有效的網絡帶寬，造成用戶感覺上網速度慢，甚至使交換機等網絡設備死機，所以我們可以利用S21系列智能交換機的ACL功能做出限制，禁止其轉發(fā)和傳播。效勞質量〔QOS〕機制本方案采用的交換機支持802.1P、端口優(yōu)先級、IPTOS、二到七層過濾等QoS策略，具備MAC流、IP流、應用流、時間流等多層流分類和流控制能力，實現(xiàn)帶寬控制、轉發(fā)優(yōu)先級等多種流策略，支持網絡根據不同的應用、以及不同應用所需要的效勞質量特性，提供效勞。實現(xiàn)網絡的高效、可靠運行,支持數(shù)據、話音和視頻之間的無縫集成。為用戶提供良好的QoS保證。播送風暴的抑制H3CS5510、S3100EI均可以實現(xiàn)基于端口的播送風暴抑止功能，可支持同一VLAN內的風暴抑止功能，可以有效的抑止局域網內部的播送風暴，確保網絡的平安穩(wěn)定。防止對DHCP效勞器的攻擊使用DHCPServer動態(tài)分配IP地址會存在兩個問題：一是DHCPServer假冒，用戶將自己的計算機設置成DHCPServer后會與局方的DHCPServer沖突；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。H3CS5510系列交換機可以支持多種禁止私設DHCPServer的方法。防止基于流的攻擊特性H3C核心交換機S5510、接入交換機S3100EI均采用最長路由匹配技術，與傳統(tǒng)的基于流轉發(fā)的方式相比，更具有強大的平安特性，對于如：紅色代碼等病毒可具有較高的抗攻擊能力，可確保網絡的平安、穩(wěn)定。具體解決方案VLAN規(guī)劃劃分VLAN的必要性VLAN是建立在各種交換技術根底之上的。所謂交換實質上只是物理網絡上的一個控制點，它由軟件進行管理，所以允許用戶利用軟件功能靈活地配置資源，管理網絡。利用交換設備中的虛網功能，不必改變網絡的物理根底，即可重新配置網絡。采用虛網功能，網絡性能可以獲得較大的改善：1.虛網技術能對工作組業(yè)務進行過濾，有效地分割通信量，因而能更好地利用帶寬，提高網絡總的吞吐量。2.采用虛網技術可以將不同樓層或不同房間的設備組成一個網段而不用更改布線，因為虛網技術是從邏輯角度而非物理角度來劃分子網的，所以采用虛網技術能減輕系統(tǒng)的擴容壓力，將遷移費用降至最小。3.采用虛網技術能有效隔離網絡設備，增加網絡的平安性和保密性。虛擬網絡的平安策略采用的主要協(xié)議為Q，此協(xié)議結合有鑒別和加密技術以確保整個網絡內部數(shù)據的保密性和完整性。4.虛網技術能對屬于同一工作組的用戶提供播送效勞，但與傳統(tǒng)的局域網協(xié)議所不同的是，虛擬局域網能限制播送的區(qū)域，從而節(jié)省網絡帶寬。5.虛擬局域網可以建立在不同的物理網絡上，用封裝的方法支法支持不同的網絡協(xié)議絡協(xié)議，如SNMP、NMP、IPX、TCP//IP、等，兼容性非常好性非常好。6.虛擬網絡中的主要應用技術為“虛網中繼”，VLANTrunking特有技術的采用也成成為了必然。必然。簡而言之，VLANTrunking主要是通過一條高速全雙工通道(200Mbps)來)來實現(xiàn)將將一個LANSwitch端口所劃分的不同VLAN與其它LANSwitch中各自相應的VLAN成員進行線路復用連接的技術。VLANTrunking技術的采用，既節(jié)省了信道數(shù)據量，又提高了可靠性，并便于管理及方便連接，提高了整個網絡吞吐量和性能指標。其原理如下列圖所示：如果采用VLANtrunking的技術，那么V1、V2、V3均可通過一條全雙工的100Mbps，即200Mbps的速率與上級LANSwitch進行互通并經過位于樹根部的路由器進行路由與其它的VLAN進行通訊。VLANtrunking技術的優(yōu)點在于采用一條高速通道連接，提高了通道的使用效率，如在，如在V2，V3無數(shù)據量的情況下，V1可以獨占此100M帶寬；并且可以使得線路的連接變得簡單，從而大大提高可靠性與易維護性。劃分VLAN的方法作為一個大型企業(yè)集團，為方便管理和維護，交換機必須要求支持靈活的VLAN劃分，華三公司的S3100EI接入交換機不僅能夠支持標準的802.1QVLAN，還能實現(xiàn)端口之間的隔離。我們可以使用S3100EI支持的P-VLAN〔primary-vlan〕這個特性，一方面實現(xiàn)用戶之間的隔離，另一方面可以為三層交換機節(jié)省VLAN資源。S3100EI可以屏蔽下面的VLAN劃分，僅向三層交換機提供一個VLAN信息，在邊緣交換機實現(xiàn)了端口可以同時屬于多個Vlan；如下圖：其中端口1為uplink端口，端口2，3，4為接入端口； Vlan1：包含端口：1，2，3，4，5 Vlan2：包含端口：1，2 Vlan3：包含端口：1，3，4 Vlan4：包含端口：1，5設計中采用了幾個secondaryvlan包含在一個primaryVLAN中的方式，給用戶提供了靈活的配置方式。如果用戶希望實現(xiàn)二層報文的隔離，可以采用了為每個用戶分配一個secondaryvlan的方式，每個vlan中只包含用戶連接的port和uplinkport；如果希望實現(xiàn)用戶之間二層報文的互通，可以將用戶連接的端口劃入同一個VLAN中；同時創(chuàng)立primaryvlan，該vlan包含所有secondaryvlan中包含的端口和uplink端口，這樣對上層交換機來說，可以認為下層交換機中只有一個primaryvlan，用來標識設備，而不必關心primaryVLAN中的端口實際所屬的VLAN，簡化了配置，節(jié)省了VLAN資源。primaryvlan中的所有端口都是不是的trunk端口，包括與其它交換機相連的uplink口。每個port的PVID就是它所屬secondaryvlan的ID；uplink端口的PVID是primaryvlan的ID；如下列圖所示：這樣VLAN10和VLAN20內的用戶屬于一個網段，分屬不同的VLAN，在三層交換機上僅僅需要創(chuàng)立VLAN30，它認為二層交換機上面僅僅只有一個VLAN30，在二層交換機上配置VLAN30為P-VLAN，包含從VLAN10和VLAN20，它們對三層交換機來說是不可見的。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動態(tài)的。靜態(tài)VLAN：形成靜態(tài)VLAN過程是將端口強制性地分配給VLAN的過程。確定哪些端口屬于哪些特定的VLAN，然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的一種最通用的方法。動態(tài)VLAN：建議使用華三公司的802.1X實現(xiàn)動態(tài)VLAN功能。我們知道，VLAN常常被規(guī)劃用于對“資源訪問權限”的分組，不同的VLAN具有不同的訪問權限，每個VLAN內有一個IP地址網段，不同的VLAN/IP地址段的用戶，具有不同的訪問資源的權限。用戶權限數(shù)據一般存儲在CAMS〔后臺綜合訪問管理效勞器〕中，CAMS根據用戶端的權限歸類，在認證通過之后向二層交換機作動態(tài)的VLANID下發(fā)配置。此時，二層交換機要支持VLAN的動態(tài)配置功能〔華三全系列交換機支持〕。具體VLAN規(guī)劃在重慶翰華擔保集團網絡建設中，首先，必須實現(xiàn)不同部門網絡之間的互相割離。通常按照具體部門之間進行劃分。本次工程獎建議使用此種劃分方法。我們建議使用VLAN技術，同時在核心交換機上配合使用訪問控制列表實現(xiàn)不同部門之間的隔離。我們建議每個部門作為一個獨立的VLAN，部門內部可以使用P－VLAN的功能，再進一步進行隔離。從播送控制角度出發(fā)，為了保障網絡的高可用和高性能，我們建議在進行具體VLAN規(guī)劃時，同一個播送域內〔一個VLAN〕的通信主機不要超過50臺，最好控制在30臺以內，對于主機數(shù)量超過50的業(yè)務部門，我們通過二層隔離，三層交換的方式來解決。對于效勞器建議單獨設置在一個VLAN中。如果不同部門的人員之間需要實現(xiàn)互訪，那么只需要在核心交換機S9512上放開訪問控制列表就可以了。對于集團公司高層，需要能夠訪問各個部門資源，對于此類用戶，我們只需在核心交換機上，不對其設置任何訪問控制列表就可以了?？傊?，任何訪問控制要求，均可以通過訪問控制列表的方式實現(xiàn)。為防止混亂及出錯，應對網絡中的VlanID統(tǒng)一規(guī)劃，禁止出現(xiàn)網中的ID相同而又不在同一個Vlan中的情形。另外，由于802.1Q協(xié)議支持至多4096個VlanID，按部門劃分VlanID可以為以后管理帶來很大的方便，比方一看VlanID即知是哪個部門的用戶。建議VlanID采用如下分配原那么：〔1〕、Vlan1保存使用〔2〕、為方便管理，建議按地理區(qū)域或分支機構劃分一段連續(xù)的VlanID?！?〕、VLANID的分配按照每個部門占用一個VLANID的方式，該VLANID必須保證全網統(tǒng)一規(guī)劃，不允許重復。〔4〕、部門內部在使用P－VLAN技術隔離不同員工時，該VLANID不需要統(tǒng)一規(guī)劃，但必須保證在同一臺交換機上，P－VLANID不重復。IP地址分配原那么IP地址的合理規(guī)劃是網絡設計中的重要一環(huán)，大型計算機網絡必須對IP地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網絡路由協(xié)議算法的效率，影響到網絡的性能，影響到網絡的擴展，影響到網絡的管理，也必將直接影響到網絡應用的進一步開展。IP地址的合理分配是保證網絡順利運行和網絡資源有效利用的關鍵。對于本期IP地址的分配應該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最正確的網絡內地址分配及業(yè)務流量的均勻分布。IP地址的分配和網絡組織、路由策略以及網絡管理等都有密切的關系，具體的IP地址分配將通常在工程實施時統(tǒng)一規(guī)劃實施，這里主要描述IP地址分配的原那么。主要的原那么描述為：IP地址分配要盡量給每個分支機構分配連續(xù)的IP地址空間；在每個分支機構網中，相同的業(yè)務和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及平安控制；IP地址的規(guī)劃與劃分應該考慮到個分支機構的開展，能夠滿足未來開展的需要；即要滿足本期工程對IP地址的需求，同時要充分考慮未來業(yè)務開展，預留相應的地址段；地址分配是由業(yè)務驅動，按照業(yè)務量的大小分配各地的地址段；IP地址的分配必須采用VLSM(變長掩碼)技術，保證IP地址的利用效率；采用CIDR技術，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網絡中播送的路由信息的大??；在公有地址有保證的前提下，盡量使用公有地址，主要包括設備loopback地址、設備間互連地址。充分合理利用已申請的地址空間，提高地址的利用效率。IP地址規(guī)劃應該是網絡整體規(guī)劃的一局部，即IP地址規(guī)劃要和網絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結合起來考慮。IP地址的規(guī)劃應盡可能和網絡層次相對應，應該是自頂向下的一種規(guī)劃。本次工程IP地址分配IP地址規(guī)劃應該包括兩局部，外部地址和內部地址的規(guī)劃，外部地址就是Internent上的公有地址，一般在申請的時候，電信會分配給假設干個公有IP地址，由于外部地址我們使用電信分配的地址，所以我們先討論主要局部，內部地址的分配。內部IP地址應該本著易管理、易分配、易理解等原那么來進行分配，由于我們規(guī)劃的是內部地址，所以應該使用私有地址去規(guī)劃。RFC1918中定義的非Internet連接的網絡地址，稱為“專用Internet地址分配”。RFC1918規(guī)定了不想連入Internet的IP地址分配指導原那么。由Internet地址授權機構(IANA)控制IP地址分配方案中，留出了三類網絡號，給不連到Internet上的專用網用，分別用于A，B和C類IP網，具體如下：由于重慶翰華擔保集團內部的用戶數(shù)量很多，我們建議采用～55這個C類私有地址，子網掩碼24位，即，支持254個網段，每網段支持254個主機地址。在前面的VLAN規(guī)劃中，我們建議每個部門使用一個VLAN，在進行IP地址規(guī)劃時，需要和VLAN規(guī)劃結合其他，使每個VLAN占用一個獨立的網段。考慮到內部每個部門的信息點數(shù)不會超過254個信息點，因此，我們建議給每個部門分配一個C的IP地址，即使用28作為掩碼，每個網段可以支持254個主機。例如這個網段，采用這個子網掩碼，劃分的網段主機如下：－播送地址：55-55網絡地址：播送地址：55-55網絡地址：播送地址：55-192.168.3．0網絡地址：播送地址：55這種劃分方法比擬容易管理，也很便于網管人員理解，每個網段支持254臺主機，符合Vlan劃分的原那么。在具體進行IP地址規(guī)劃時，建議將這個網段留出，用作特殊地址分配。網絡設備地址：網絡設備地址主要用作網絡交換設備的帶外管理地址，地址分配為－192。對應我們的管理VLAN。效勞器局部地址相關效勞器的地址手動分配，我們保存－54，這個網段作為效勞器的網絡地址。每個分支機構的效勞器使用與該分支機構相同的VLANID，分配一個獨立的網段，比方使用-,52的掩碼，該網段可以容納2臺效勞器。具體主機的地址分配可按需分配。備用地址這個地址段留做備用地址。由于重慶翰華擔保集團內部使用的是私有IP地址，要訪問Internet必須進行地址轉換，地址轉換的工作在出口路由器設備上進行。建議申請多個有效IP地址，一局部留給對外的效勞器使用，一局部作為地址池，共地址轉換使用。網絡設備自身的平安功能用戶嚴格隔離方法一：用Vlan隔離。在樓層以太網交換機上按端口劃分Vlan，每個用戶占用一個Vlan。方法二：利用PVlan技術。在樓道交換機上劃分PVlan，使用戶端口之間不能通信，用戶端口只能和Uplink口通信。方法三：使用以太網MUX設備。該類設備將接入層交換機的端口分為兩類：上行口Uplink和用戶端口。用戶端口之間不能通信，Uplink口可以和所有端口通信。通過用戶隔離，可以防止用戶對網絡鄰居的工具，阻止沖擊波等蠕蟲病毒在園區(qū)網上的傳播。有效防范MAC掃描和ARP攻擊：MAC地址表放置在內存中，容量有限，用戶通過不停的發(fā)送MAC地址沖刷MAC地址表，通過MAC地址表溢出來更改MAC與IP地址的綁定，從而重新定向流量(CAMOverflow,macoftool工具)。ARP攻擊與此類似，它是通過對交換機CPU的處理能力進行大容量沖刷造成其溢出而實現(xiàn)其攻擊的。華三S3100EI交換機通過將MAC地址與端口綁定與IP、并限制端口下MAC地址的最大學習個數(shù)，從而有效地防止MAC掃描，同時也可有效地防范ARP攻擊。DHCP攻擊、VLAN“Hopping”攻擊的防范：使用DHCPServer動態(tài)分配IP地址會存在兩個問題：一是DHCPServer假冒，用戶將自己的計算機設置成DHCPServer后會與局方的DHCPServer沖突；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。由于DHCP是通過二層播送包起作用的，故在二層嚴格隔離用戶，可防止DHCPServer假冒。為解決DHCPSmurf，在以太網接入時，對用戶劃分Vlan，由會聚層交換機控制一個Vlan下申請的最大IP地址數(shù)，當該Vlan的IP地址數(shù)目到達限制值后，拒絕新的DHCP申請。Vlan的劃分可根據企業(yè)的實際情況靈活掌握。華三S系列交換機提供dhcpserverdetect功能，可以檢測到非法的dhcpserver。同時，在CPE交換機上通過配置流規(guī)那么，可以將非法端口的dhcpreply報文丟棄。VLAN“Hopping”攻擊的解決方案與此類似。采用SNMPv3杜絕網管攻擊：網絡管理員通過Telnet遠程訪問網絡時，由于Telnet在網絡中是明文傳輸，容易被竊取管理密碼，采用支持SSH的交換機，可以對Telnet報文進行加密，截獲報文也無法解析密碼。華三S系列交換機支持SNMPV3，確保網管信息在傳輸過程中加密，偵聽用戶無法獲致報文的真正內容。有效抑制播送風暴播送風暴是網絡最常見的網絡問題，針對此情況H3CS系列以太網交換機提供完善的播送風暴抑制功能，提供了針對特定VLAN的播送風暴抑制比的設定功能，可對VLAN上收到的播送流量進行監(jiān)控，當播送流量的帶寬超過配置的限度時，交換機將過濾該VLAN上超出的流量，保證網絡的業(yè)務，使播送所占的流量比例降低到合理的范圍。防治蠕蟲病毒防治蠕蟲病毒需要系統(tǒng)管理、網絡維護和平安操作部門的協(xié)力合作。一般情況下，對于事件的應對可分為3個主要階段：反響〔reaction〕恢復〔recovery〕亡羊補牢措施〔Post-mortem〕對于worm病毒事件，反響〔reaction〕階段可以細化分為下面4個子階段限制〔Containment〕免疫〔Inoculation〕隔離〔Quarantine〕治療〔Treatment〕下面我們就這四個子階段具體介紹一下相關的內容：限制限制的目的主要是把蠕蟲的活動范圍限定在已經感染蠕蟲病毒的范圍內，也就是說是防止蠕蟲的擴散。限制需要將網絡分段隔離來減慢甚至是停止蠕蟲的繼續(xù)傳播。涉及到的具體技術包括在路由器、防火墻、三層交換機等網絡上的平安控制點上設置入口和出口包過濾規(guī)那么。同樣的在網絡邊緣設置入口和出口ACL可以很好的限制蠕蟲病毒的傳播。一方面我們可以在交換機上配置VLAN，隔離用戶，防止染病PC通過ARP掃描感染同網段主機，另一方面，可以通過在會聚交換機上限制單位時間內ARP報文的數(shù)目，以及ARP報文的總流量，從而從二層阻止蠕蟲病毒的傳播。如下列圖所示：我們還可以在會聚交換機上配置ACL，限制蠕蟲病毒傳播的端口，防止蠕蟲病毒的蔓延，如下列圖所示：免疫在限制的同時，所有沒有感染蠕蟲病毒的機器都必須打上供給商提供的針對相應漏洞的補丁。限制的目的是使蠕蟲感染速度減慢甚至停止，而免疫的目的是剝奪蠕蟲繼續(xù)傳染的可能。網絡掃描可以用了發(fā)現(xiàn)網絡上潛在的有漏洞的主機。免疫對當前移動辦公的網絡十分重要，由于便攜機的大量普及，辦公人員很容易拿著便攜機在各個區(qū)域之間穿梭，例如從員工剛剛因為在“不平安”的家里上過網而被感染了，回到“平安”的公司網絡上，就會繼續(xù)感染公司的其它機器。所以經常給系統(tǒng)打補丁是很重要。隔離隔離過程主要包括追蹤并發(fā)現(xiàn)被感染的機器，然后切斷他們和網絡的連接。隔離的最終目的是為了最后一個階段－治療。為了防止感染病毒的機器發(fā)送大量的流量，影響網絡性能，我們可以在會聚交換機上針對用戶作速率限制，防止病毒流量侵占網絡帶寬，如下列圖所示：治療所謂治療，就是去除已經感染的機器的蠕蟲病毒的過程，如終止蠕蟲病毒進程、刪除任何被修改的文件、恢復被病毒修改正的系統(tǒng)配置、為系統(tǒng)打上補丁等等。有時可能需要重新安裝系統(tǒng)來保證病毒已經被徹底去除?？偨Y起來，為了防止蠕蟲病毒，主要可以使用如下表所示的策略：攻擊方式平安交換機防護策略防護結果ARP攻擊VLAN隔離用戶，每用戶一個VLAN限制單位時間內某用戶的ARP報文數(shù)目，以及ARP報文總流量控制住整個二次網絡中的ARP風暴；同時保證網絡設備本身正常運轉。ICMP攻擊和網絡流量攻擊限制單位時間內某用戶訪問其他用戶的次數(shù)，以及某用戶同時訪問其他用戶的個數(shù)限制每用戶帶寬抑止了蠕蟲的攻擊速度；同時保證非感染用戶的正常上網。DDOS－Synflood攻擊對用戶源IP地址、MAC地址進行嚴格匹配，但凡不匹配的，丟棄報文丟棄了大量的非法攻擊報文，根本消除了DDOS對網絡的攻擊。蠕蟲在主機中傳播提供ACL進行臨時保護，禁止蠕蟲傳播使用的所有RPC端口控制住蠕蟲的蔓延，提供充足的時間讓網絡中的客戶進行殺毒、修復；等攻擊隱患根本消除后，再開啟對應的RPC端口?？蛻舨恢廊湎x情況提供強制Portal業(yè)務，無論是WEB認證、PPPoE認證、802.1x認證，在用戶上線后都能夠提供蠕蟲病毒發(fā)作情況和殺毒、補丁程序或者鏈接。非感染用戶可以簡單、迅速地下載安裝補??；感染用戶也會盡快了解去除方法、下載安裝殺毒、補丁方案。從而有效地加快蠕蟲消滅的速度。H3C設備介紹核心交換機產品概述：H3CS5510系列以太網交換機是H3C公司自主開發(fā)的三層全千兆多協(xié)議以太網交換產品，是為要求具備高性能、較大端口密度且易于安裝的網絡環(huán)境而設計的智能型可網管交換機。H3CS5510系列以太網交換機主要面向企業(yè)網、城域網會聚或接入層的需求，同時硬件支持IPv4和IPv6雙棧，可為客戶提供豐富的業(yè)務特性和路由功能。產品特點：豐富的IPv4和IPv6三層功能硬件支持IPv4/IPv6雙棧和IPv6overIPv4隧道，三層線速轉發(fā)。S5510系列以太網交換機硬件支持IPv4/IPv6雙棧和常用IPv6過渡隧道協(xié)議〔手工Tunnel,6to4Tunnel,ISATAPTunnel,auto-Tunnel〕，既可以用于純IPv4或IPv6網絡，也可以用于IPv4到IPv6共存的網絡，組網方式靈活，可以用于企業(yè)網絡或寬帶接入。支持豐富的IPv6路由協(xié)議，包括RIPng,OSPFv3,ISISv6,BGP4+forIPv6。支持IPv6的鄰居發(fā)現(xiàn)協(xié)議〔NeighborDiscoveryProtocol，NDP〕，管理鄰居節(jié)點的交互。支持PMTU發(fā)現(xiàn)〔PathMTUDiscovery〕機制，可以找到從源端到目的端的路徑上一個適宜的MTU值，以便有效地利用網絡資源并得到最正確的吞吐量。完備的平安控制策略H3CS5510系列交換機支持802.1x及MAC認證，在用戶接入網絡時完成必要的身份認證，還可以通過靈活的MAC、IP、PORT任意組合綁定，支持動態(tài)VLAN下發(fā)和GuestVLAN，有效的防止非法用戶訪問網絡。支持端口和Vlan下發(fā)ACL，以及支持用戶自定義流模板配合實現(xiàn)自定義ACL功能，更加靈活方便，保證網絡的受控訪問。豐富的QoS策略H3CS5510系列交換機支持基于源MAC地址、目的MAC地址、源IPv4/v6地址、目的IPv4/v6地址、四層端口、協(xié)議類型、VLAN等信息的流分類，充分保障了復雜網絡對于QoS規(guī)那么的要求。支持基于流的流量限速，優(yōu)先級標記或映射，基于流的修改VLAN以及重定向到端口或下一跳，基于端口的流量整形。提供靈活的隊列調度算法，可以同時基于端口和隊列進行設置，支持SP〔StrictPriority〕、WRR〔WeightedRoundRobin〕、SP+WRR三種模式。支持CAR功能，粒度最小達4Kbps，支持對多個端口的業(yè)務流使用同一個CAR進行流量監(jiān)管。用戶還可以選擇直接在端口下發(fā)CAR，或通過QoS策略下發(fā)CAR。高可靠性H3CS5510系列全千兆多協(xié)議智能三層交換機實現(xiàn)雙電源負載分擔，也可以交、直流同時輸入。支持LACP〔LinkAggregationControlProtocol，鏈路聚合控制協(xié)議〕進行動態(tài)鏈路會聚。H3CS5510系列交換機不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯能力，保證網絡的穩(wěn)定運行。支持RRPP〔RapidRingProtectionProtocol〕協(xié)議，可以防止數(shù)據環(huán)路引起的播送風暴，當以太網環(huán)上一條鏈路斷開時能迅速恢復環(huán)網上各個節(jié)點之間的通信通路。支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機構建VRRP備份組。構建故障時的冗余路由拓樸結構，保持通訊的連續(xù)性和可靠性，有效保障網絡穩(wěn)定。支持在設備上配置多條等價路由的方式實現(xiàn)上行路由的冗余備份，當主上行路由發(fā)生故障時自動切換到下一個備份路由上去，實現(xiàn)上行路由的多級備份。電源支持1+1備份和負載分擔，用戶可以選配雙交流、雙直流、交直流冗余組合電源。強大的多業(yè)務能力H3CS5510系列交換機支持QinQ即VLANVPN特性，可以將用戶私網VLAN標簽封裝在公網VLAN標簽中，使報文帶著兩層VLANTag穿越運營商的骨干網絡。S5510系列交換機支持靈活QinQ，可以實現(xiàn)針對不同的業(yè)務報文打不同的外層VLAN標簽或者不打VLAN標簽，便于業(yè)務別離。S5510系列交換機還支持VLANtranslation，可以根據不同用戶或業(yè)務重新設置VLAN標簽。同時支持IPv4和IPv6組播功能，支持豐富的組播協(xié)議IGMPSnooping、MLDSnooping、IGMPv1/v2/v3、PIM-DM、PIM-SM/SSM、MSDP，支持組播靜態(tài)路由、組播組靜態(tài)參加，而且組播Vlan可以跨Vlan復制，支持IGSPv1/v2/v3，支持大容量組播路由，強組播復制能力。出色的管理性H3C5510交換機支持基于出/入端口鏡像、基于流的鏡像以及支持遠程端口鏡像功能，可以實現(xiàn)統(tǒng)一監(jiān)控檢測,使網絡管理更方便。支持SNMP，可支持OpenView等通用網管平臺以及Quidview網管系統(tǒng)。支持CLI命令行，Web網管，TELNET，HGMP集群管理，使設備管理更方便，并且支持SSH1.5/2.0等加密方式，使得管理更加平安。產品規(guī)格：支持特性說明業(yè)務端口S5510-24P：24個10/100/1000Base-T以太網端口和4個1000Base-XSFP千兆以太網端口〔Combo〕外形尺寸〔寬×高×深〕440×43.6×360mm重量<5KG管理端口1個Console口二三層線速轉發(fā)交換容量為：48Gbps包轉發(fā)率：端口會聚1.

支持FE〔FastEthernet〕端口聚合2.

支持GE〔GigabitEthernet〕端口聚合3.

支持LACP〔LinkAggregationControlProtocol，鏈路聚合控制協(xié)議〕4.

支持手工聚合MAC地址1.

支持12K個MAC地址2.

支持黑洞MAC地址3.

支持設置端口地址學習MAC最大個數(shù)端口1.

支持IEEE802.3x流控〔全雙工〕2.

支持Back-pressurebasedflowcontrol〔背壓式流控〕〔半雙工〕3.

支持基于端口速率百分比的風暴抑制4.

支持端口優(yōu)先級VLAN1.

支持端口VLAN(4094個)2.

支持協(xié)議VLAN3.

基于IPv4子網VLAN4.

支持VoiceVLAN5.

支持GVRP/GARP6.

支持VLANVPN〔QinQ，靈活QinQ〕，BPDUtunnel7.

支持VLANTranslationDHCP1.

支持DHCPServer2.

支持DHCP-Relay3.

支持DHCPClient4.

支持DHCPSnoopingUDPHelper1.

支持UDPHelperDNS1.

支持靜態(tài)域名解析2.

支持動態(tài)域名解析客戶端3.

支持IPv4和IPv6地址ARP1.

支持ARP2.

支持免費ARP3.

支持ARPProxyIP路由1.

支持靜態(tài)路由和缺省路由2.

支持RIP〔RoutingInformationProtocol〕v1/23.

支持RIPng4.

支持OSPFv1/v2〔OpenShortestPathFirst〕5.

支持OSPFv36.

支持IS-IS7.

支持IS-ISv68.

支持BGP〔BorderGatewayProtocol〕9.

支持BGP4+forIPV610.

支持等價路由11.

支持路由策略組播1.

支持IGMP〔InternetGroupManagementProtocol〕Snoopingv1/v22.

支持IGMPv1/v2/v33.

支持PIM-DM〔ProtocolIndependentMulticast-DenseMode〕4.

支持PIM-SM〔ProtocolIndependentMulticast-SparseMode〕5.

支持MSDP(MulticastSourceDiscoveryProtocol)6.

支持MLDSnoopingSTP/RSTP/MSTP1.

支持STP/RSTP2.

支持MSTP3.

支持STP保護功能IPV61.

支持ND(NeighborDiscovery)2.

支持PMTU3.

支持IPv6Ping，IPv6Tracert4.

支持IPv6Telnet5.

支持IPv6TFTPIPv6overIPv4Tunnel1.

支持手動配置Tunnel2.

支持6to4tunnel3.

支持ISATAPtunnel4.

支持Auto-tunnel〔即IPv4compatibletunnel〕QoS/ACL支持ACL1.

支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四層端口、協(xié)議類型、VLAN等信息的流分類2.

支持根本ACL3.

支持高級ACL4.

支持二層ACL5.

支持用戶自定義ACL支持ACL流模板1.

支持用戶自定義流模板2.

支持系統(tǒng)缺省流模板支持QoS1.

支持基于流的流量限速(8Kbit/s)2.

支持基于流的標記優(yōu)先級、3.

支持基于流的修改報文VLANID4.

支持基于流的報文重定向到端口或IP下一跳5.

支持基于流的流量統(tǒng)計6.

支持基于流的流鏡像7.

支持端口隊列調度(SP/WRR/SP+WRR)8.

支持端口鏡像和RSPAN(遠程端口鏡像)9.

支持端口流量整形10.

支持端口擁塞丟棄支持IPv6ACL1.

支持基于源IPv6地址、目的IPv6地址、四層端口、協(xié)議類型等信息的流分類2.

支持根本IPv6ACL3.

支持高級IPv6ACL支持時間段支持策略路由平安特性1.

支持用戶分級管理和口令保護2.

支持3.

支持AAA4.

支持Radius認證5.

支持HWTacacs+6.

支持集中式MAC地址認證7.

支持端口隔離8.

支持IP+MAC+端口綁定可靠性支持VRRP〔VirtualRedundancyRoutingProtocol〕加載與升級1.

支持XModem協(xié)議實現(xiàn)加載升級2.

支持FTP〔FileTransferProtocol〕加載升級3.

支持TFTP〔TrivialFileTransferProtocol〕加載升級管理1.

支持命令行接口〔CLI〕配置2.

支持Telnet遠程配置3.

支持通過Console口配置4.

支持SNMP〔SimpleNetworkManagementProtocol〕V1/V2c/V35.

支持RMON〔RemoteMonitoring〕1，2，3，9組MIB6.

支持華為QuidView網管系統(tǒng)7.

支持WEB網管8.

支持系統(tǒng)日志9.

支持分級告警10.

支持集群管理HGMP〔HuaweiGroupManagementProtocol〕V211.

支持Modem遠端撥號12.

支持NTP13.

支持SSH14.

支持電源的狀態(tài)檢測和告警維護1.

支持調試信息輸出2.

支持PING、Tracert3.

支持HWPing4.

支持Telnet遠程維護5.

支持虛擬電纜檢測(VirtualCableTest)輸入電壓S5510系列以太網交換機支持交流電源輸入和直流電源輸入。AC：額定電壓范圍：100～240VAC.；50/60Hz最大電壓范圍：90～264VAC.；50/60HzDC：額定電壓范圍：-60～-48V最大電壓范圍：-72～-36V功耗〔滿負荷時〕S5510-24P-AC/S5524P-DC：66WS5510-24F-AC/S5524F-DC：100W工作環(huán)境溫度0～45℃工作環(huán)境相對濕度〔非凝露〕10%～90%防火墻產品概述：H3CSecPath防火墻/VPN是業(yè)界功能最全面、擴展性最好的防火墻/VPN產品，集成防火墻、VPN和豐富的網絡特性，為用戶提供平安防護、平安遠程接入等功能。H3CSecPathF1000系列防火墻，支持外部攻擊防范、內網平安、流量監(jiān)控、郵件過濾、網頁過濾、應用層過濾等功能，能夠有效的保證網絡的平安；采用ASPF〔ApplicationSpecificPacketFilter〕應用狀態(tài)檢測技術，可對連接狀態(tài)過程和異常命令進行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網絡管理監(jiān)控，協(xié)助網絡管理員完成網絡的平安管理；支持多種VPN業(yè)務，如L2TPVPN、GREVPN、IPSecVPN、動態(tài)VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形及多種隊列調度策略。產品特點：擴展性最強基于H3C先進的OAA開放應用架構，SecPath防火墻能靈活擴展病毒防范、網絡流量監(jiān)控和SSLVPN等硬件業(yè)務模塊，實現(xiàn)2-7層的全面平安。強大的攻擊防范能力能防御DoS/DDoS攻擊〔如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等〕、ARP欺騙攻擊、TCP報文標志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時支持黑名單、MAC綁定、內容過濾等先進功能。增強型狀態(tài)平安過濾支持根底、擴展和基于接口的狀態(tài)檢測包過濾技術；支持H3C特有ASPF應用層報文過濾協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數(shù)據包，支持對應用層協(xié)議的狀態(tài)監(jiān)控。豐富的VPN特性集成IPSec、L2TP、GRE和SSL等多種成熟VPN接入技術，保證移動用戶、合作伙伴和分支機構平安、便捷的接入。應用層內容過濾可以有效的識別網絡中各種P2P模式的應用，并且對這些應用采取限流的控制措施，有效保護網絡帶寬；支持郵件過濾，提供SMTP郵件地址、標題、附件和內容過濾；支持網頁過濾，提供HTTPURL和內容過濾。全面NAT應用支持提供多對一、多對多、靜態(tài)網段、雙向轉換、EasyIP和DNS映射等NAT應用方式；支持多種應用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能。全面的認證效勞支持本地用戶、RADIUS、TACACS等認證方式，支持基于PKI/CA體系的數(shù)字證書〔X.509格式〕認證功能。支持基于用戶身份的管理，實現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權限，并且支持用戶視圖分級，對于不同級別的用戶賦予不同的管理配置權限。集中管理與審計提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能。產品規(guī)格：屬性說明運行模式路由模式透明模式混合模式網絡平安性AAA效勞RADIUS認證HWTACACS認證PKI/CA〔X.509格式〕認證域認證CHAP驗證PAP驗證防火墻包過濾根底和擴展的訪問控制列表基于接口的訪問控制列表基于時間段的訪問控制列表動態(tài)包過濾ASPF應用層報文過濾l

應用層協(xié)議：FTP、HTTP、SMTP、RTSP、H.323〔Q.931，H.245，RTP/RTCP〕l

傳輸層協(xié)議：TCP、UDP抗攻擊特性Land/Smurf/Fraggle/WinNuke/PingofDeath/TearDrop/IPSpoofing/ARP欺騙攻擊防范/TCP報文標志位不合法攻擊防范/超大ICMP報文攻擊防范/地址/端口掃描的防范防病毒DoS/DDoS攻擊防范

CC、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARPFlood等TCPProxy功能ICMP重定向或不可達報文控制功能Tracert報文控制功能帶路由記錄選項IP報文控制功能靜態(tài)和動態(tài)黑名單功能MAC和IP綁定功能透明防火墻基于MAC的訪問控制列表支持802.1qVLAN透傳郵件/網頁/應用層過濾郵件過濾網頁過濾應用層過濾JavaBlockingActiveXBlockingSQL注入攻擊防范平安日志及統(tǒng)計用戶行為流日志NAT轉換日志攻擊實時日志黑名單日志地址綁定日志流量告警日志流量統(tǒng)計和分析功能全局/基于平安域連接數(shù)率監(jiān)控全局/基于平安域協(xié)議報文比例監(jiān)控平安事件統(tǒng)計功能E-MAIL郵件實時告警功能E-MAIL郵件定期信息發(fā)布功能NAT支持多個內部地址映射到同一個公網地址支持多個內部地址映射到多個公網地址支持內部地址到公網地址一一映射支持源地址和目的地址同時轉換支持外部網絡主機訪問內部效勞器支持內部地址直映射到接口公網IP地址支持DNS映射功能可配置支持地址轉換的有效時間支持多種NATALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等VPNL2TPVPN/GREVPN/IPSecVPN/SSLVPN/DVPN網絡互連局域網協(xié)議Ethernet_IIEthernet_SNAP802.1qVLAN鏈路層協(xié)議PPPoE網絡協(xié)議IP效勞ARP域名解析IPUNNUMBEREDDHCP中繼DHCP效勞器DHCP客戶端IP路由靜態(tài)路由RIPv1/2OSPFBGP路由策略策略路由高可靠性雙機狀態(tài)熱備，Active/Active和Active/Passive兩種工作模式，支持負載分擔和業(yè)務備份關鍵部件冗余設計接口模塊熱插拔機箱溫度自動檢測效勞質量保證〔QoS〕流量監(jiān)管CAR擁塞管理FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ擁塞防止WRED流量整形GTS接口速率限制LR配置管理命令行接口通過Console口進行本地配置通過Telnet或SSH進行本地或遠程配置配置命令分級保護，確保未授權用戶無法侵入設備提供全中文的提示和幫助信息詳盡的調試信息，幫助診斷網絡故障提供網絡測試工具，如Tracert、Ping、HWPing命令等，迅速診斷網絡是否正常用Telnet命令直接登錄并管理其它設備FTPServer/Client，可以使用FTP下載、上載配置文件和應用程序支持TFTP上傳下載文件支持日志功能文件系統(tǒng)管理User-interface配置，提供對登錄用戶多種方式的認證和授權功能支持標準網管SNMPv3，并且兼容SNMPv2c、SNMPv1支持NTP時間同步支持Web方式進行遠程配置管理支持H3CBIMS系統(tǒng)進行設備管理支持H3CVPNManager系統(tǒng)進行VPN業(yè)務管理和監(jiān)控接入交換機產品概述：H3CS3100-26TP-EI交換機是H3C公司為構建高平安、高智能網絡需求而專門設計的新一代以太網交換機產品，在滿足高性能接入的根底上，提供更全面的平安接入策略和更強的網絡管理維護易用性，是理想的平安易用接入層交換機。產品特點：全面的接入平安策略H3CS3100-26TP-EI交換機支持EAD〔端點準入防御〕功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復等終端平安措施與網絡接入控制、訪問權限控制等網絡平安措施整合為一個聯(lián)動的平安體系，通過對網絡接入終端的檢查、隔離、修復、管理和監(jiān)控，使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網絡對病毒、蠕蟲等新興平安威脅的整體防御能力。H3CS3100-26TP-EI交換機支持特有的ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報文實施日趨盛行的“ARP欺騙攻擊”，對不符合DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同時支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕私設DHCP效勞器，保證DHCP環(huán)境的真實性和一致性。H3CS3100-26TP-EI交換機支持端口平安特性族，可以有效防范基于MAC地址的攻擊?？梢詫崿F(xiàn)基于MAC地址允許/限制流量，或者設定每個端口允許的MAC地址的最大數(shù)量，使得某個特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由交換機動態(tài)學習。H3CS3100-26TP-EI交換機有強大硬件ACL能力，能深度識別報文，支持L2～L4包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN、VLAN范圍等定義ACL，以便交換機進行后續(xù)的處理。并且支持基于端口、VLAN、全局定義和下發(fā)ACL策略H3CS3100-26TP-EI交換機支持集中式MAC地址認證和認證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標識元素的動態(tài)或靜態(tài)綁定，同時實現(xiàn)用戶策略〔VLAN、QoS、ACL〕的動態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對在線用戶進行實時的管理，及時的診斷和瓦解網絡非法行為。支持對Proxy進行有效的管理。增強的網絡管理和維護的易用性H3CS3100-26TP-EI交換機支持通過FTP、TFTP實現(xiàn)設備的遠程升級，支持SNMPv1/v2/v3，可支持OpenView等通用網管平臺，以及iMC智能管理中心。支持CLI命令行，Web網管，Telnet，HGMP集群管理，使設備管理更方便。H3CS3100-26TP-EI交換機支持跨交換機的遠程端口鏡像RSPAN，可以將接入端口的流量鏡像到核心交換機上，可以對全網業(yè)務和流量進行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控，滿足園區(qū)網精細化管理的需要。H3CS3100-26TP-EI交換機支持VCT〔VirtualCableTest〕電纜檢測功能，便于快速定位網絡故障點；并支持DLDP〔DeviceLinkDetectionProtocol〕單向鏈路檢測協(xié)議，可以有效的防止網絡中單通故障的發(fā)生，大幅提高網絡維護效率，切實將設備的易用性帶給用戶。高性能與靈活擴展能力H3CS3100-26TP-EI交換機具有的背板交換容量，支持所有端口線速轉發(fā)，滿足了用戶對高帶寬的需求。設備支持2個GE上行，采用2個固定10/100/1000兆自適應電口和2個復用的通用SFP端口，并且SFP端口既可以支持百兆光模塊，也可以支持千兆光模塊，在降低用戶本錢的同時，更好的考慮了用戶后續(xù)升級的實際需求。H3CS3100-26TP-EI交換機采用專利技術，允許交換機利用專用互聯(lián)電纜實現(xiàn)多達16臺設備的堆疊，最大擴展至384個10/100M端口，支持不同端口設備的混合堆疊。具有即插即用、單一IP管理。同時大大降低系統(tǒng)擴展的本錢，保護了用戶投資。豐富的業(yè)務支持能力H3CS3100-26TP-EI交換機PoE機型支持PoE〔PoweroverEthernet〕技術，通過以太網對所連接的設備〔如IPPhone,WirelessAP等〕進行遠程供電，從而使得不必在使用現(xiàn)場為設備部署單獨的電源系統(tǒng)，能夠極大地減少部署終端設備的布線和管理本錢。H3CS3100-26TP-EI交換機支持SP〔StrictPriority〕、WRR〔WeightedRoundRobin〕、SP+WRR三種隊列調度算法，支持每個端口4個輸出隊列，可以以不同的優(yōu)先級將報文放入端口的輸出隊列。產品規(guī)格：工程S3100-26TP-EI外形尺寸〔長×寬×高〕(單位：mm)重量<3.0kg固定端口24個10/100Base-TX以太網端口；2個10/100/1000Base-T以太網端口和2個復用的100/1000Base-XSFP端口可用模塊

SFP-FE-SX-MM1310-A

SFP-FE-LX-SM1310-A

SFP-GE-SX-MM850-A

SFP-GE-LX-SM1310-A

SFP-STACK-Kit

SFP-GE-LX-SM1310-BIDI

SFP-GE-LX-SM1490-BIDI管理端口1個Console口PoE遠程供電不支持電源AC：

額定電壓范圍：100V～240VAC；50～60Hz

最大電壓范圍：90～264VAC；47Hz～63Hz整機最大功耗整機最大功耗：17W工作環(huán)境溫度0℃～45℃工作環(huán)境相對濕度〔非凝露〕10%～90%

H3CS3100-EI系列交換機業(yè)務特性特性S3100-26TP-EI線速二層交換交換容量包轉發(fā)率交換模式存儲轉發(fā)模式〔StoreandForward〕端口支持流控〔全雙工〕支持基于端口帶寬百分比的播送風暴抑制MAC地址支持8KMAC支持黑洞MAC支持設置端口MAC學習最大個數(shù)端口會聚支持LACP支持手工聚合支持最大端口聚合組：端口數(shù)/2，每個聚合組最大支持8個端口VLAN支持基于端口的VLAN〔4K個〕支持基于協(xié)議的VLAN支持VoiceVLAN支持GVRP支持VLANVPN〔QinQ〕，靈活QinQ支持基于端口和全局的VLANMapping二層環(huán)網協(xié)議支持STP/RSTP/MSTP支持SmartLink堆疊最大支持16臺設備堆疊組播IGMPSnoopingv1/v2/v3組播VLAN鏡像支持N:1端口鏡像支持RSPAN支持流鏡像QoS/ACL支持ACL支持L2～L4包過濾功能，可以匹配報文前80個字節(jié)，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN等定義ACL。支持基于端口、VLAN、全局下發(fā)ACL支持基于時間段〔TimeRange〕的ACL支持QoS每個端口支持4個輸出隊列支持優(yōu)先級支持端口隊列調度〔SP、WRR、SP+WRR〕支持基于流的包過濾支持基于流的流量統(tǒng)計支持基于流的重定向支持基于流的優(yōu)先級標記支持基于流的限速支持流量整形平安特性用戶分級管理和口令保護支持GuestVLAN支持認證/集中MAC地址認證支持AAA&RADIUS&HWTACACS認證支持MAC地址學習數(shù)目限制支持MAC地址黑洞支持支持EAD〔端點準入防御〕支持IP源地址保護支持ARP入侵檢測功能支持ARP報文限速功能支持端口隔離支持IP＋端口的綁定支持IP+MAC的綁定支持端口＋MAC的綁定支持IP+MAC+端口的綁定DHCP支持DHCPclient支持DHCPSnooping支持DHCPSnoopingtrust支持DHCPSnoopingoption82管理與維護支持XModem/FTP/TFTP加載升級支持命令行接口〔CLI〕，Telnet，Console口進行配置支持HGMPv2集群管理支持SNMPv1/v2/v3，WEB網管支持RMON1，2，3，9組MIB支持H3CiMC智能管理中心支持系統(tǒng)日志，分級告警支持PING、Tracerout