数字化校园解决方案建议书.docx

学校 IToIP 数字化校园解决方案建议书2023 年 11 月名目1. 需求分析41.1. 建设背景41.2. 建设需求82. 设计原则93.整体设计.1 13.1. 总体设计概述1.13.2. 层次化设计123.3. 核心交换机强大内置安全特性163.4. 基层网络安全-教学区173.4.1. 端口IPMAC 地址的绑定：173.4.2. 接入层防Proxy 的功能173.4.3. MAC 地址盗用的防止183.4.4. 防止对DHCP 效劳器的攻击183.4.5. 防止ARP 的攻击193.5. 网络层安全解决方案203.5.1. 全面网络根底设施牢靠性保证措施203.5.2. 组合丰富的VLAN 功能进展业务隔离213.5.3. 配置防火墙和IPS 进展网络区域的隔离错误!未定义书签。3.5.4. 内网机密信息安全访问解决方案错误!未定义书签。3.6. 用户层解决方案213.6.1. 配置全面的网络防病毒系统213.6.2. 实行用户端点准入防范解决方案223.7. 业务层解决方案263.7.1. 设备冗余及网络存储配置建议263.7.2. 漏洞扫描及安全评估系统的配置263.7.3. 应用系统开发中加强安全机制263.8. 无线网络安全错.误!未定义书签。4. 校园治理中心设计274.1. 数字化校园治理综述274.2. 集成化治理平台274.2.1. 系统安全治理294.2.2. 资源治理314.2.3. 拓扑治理324.2.4. 故障告警/大事治理354.2.5. 告警深度关联分析与统计364.2.6. 性能治理394.2.7. 设备治理组件424.3. 针对用户身份权限和计费运营的治理错误!未定义书签。4.3.1. 校园网用户认证治理需求分析错误!未定义书签。4.3.2. 校园网用户治理认证方案概述错误!未定义书签。4.3.3. 业务认证、授权治理描述错误!未定义书签。4.3.4. CAMS 对用户上网认证的治理错误!未定义书签。4.4. 网络状况与用户行为的审计治理错误!未定义书签。4.4.1. 用户行为审计技术错.误!未定义书签。4.4.2. H3C 用户行为审计解决方案错误!未定义书签。4.4.3. 校园网络全局安全关联分析治理错误!未定义书签。5. 方案特性总结错. 误!未定义书签。1. 需求分析1.1. 建设背景当前，以数字化校园为特征的教育信息化进展更为快速，各种信息化应用正转变着教师和学生们的工作、学习、生活以及思维方式，引发了教育行业一场的革命。学校根本的教学教务治理、科研治理、后勤治理、数字图书馆、视频效劳系统、办公自动化系统和校园社区效劳等应用系统的建设有了初步的规模，“一卡通”业务在很多学校也开头应用。在校师生的生疏水平和技术水平上了一个台阶，对于信息化工具的使用已变成为一种自觉和自愿的行为，为数字化校园的进一步进展打下坚实的根底。依据国家及教育部规划的总体目标与要求，高中信息化规划的根本内容如下：完善校园网络根底设施建设，实现随时随地的上网，整体校园网络高速畅通、安全可信、稳定牢靠；完善校园数据共享根底平台的建设，包括全校统一的信息资源库；完善和创网络教学效劳平台，创立和创网络学术争论创环境，完善电子校务系统与校园网络文化建设，实现科研成果产业化，提高高中对区域行业的根底教育辐射作用。数字校园是以 IP 通信平台为根底,实现环境(特别是重点、敏感区域的视频监控)、资源网络资源、存储资源、计算资源、到活动网络的开放架构对定制业务的支持的全部数字化，利用标准的 ITOIP 解决方案，以 IP 技术为标准技术，利用 SOA 开放架构实现对整体 IT 平台的统一集成支撑。建设安全牢靠的校园网络平台n 具备网络构造优化力量校园网的整体架构具备更有效的容灾力量，以应对故障节点、故障链路、路由震荡所带来对业务的影响；而随着万兆校园核心网的普及，应用对带宽的要求，校园网需要具备万兆到会聚的升级力量、以及关键业务千兆到桌面的力量；n 具备网络业务拓展力量校园业务可平滑向下一代网络迁移，向 IPv6 迁移兼容现有校园组网环境，IPv6 完全由分布式硬件完成，保护投资；校园业务可以随时随地使用，校园业务可以基于移动漫游环境，移动漫游环境无需治理者手工干预n 具备安全渗透防范力量校园网出口具备攻击、非法业务的隔离、掌握，具备在线主动抵挡的力量；校园核心网络自身集成安全防范力量，缩小攻击、病毒在校园影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击建立数据效劳中心优化整合现有数据信息资源n 解决教学、科研、办公业务数据海量增长，数据无法整合治理的问题n 解决数据爆炸性增长，本钱要求不断降低的问题n 解决各种灾难对信息系统影响的问题n 解决分校区跨广域的数据访问的问题n 解决跨系统数据迁移和灾难备份困难的问题n 解决借助厂家供给专业的存储询问和效劳的问题建立媒体效劳中心实现视频、语音多媒体效劳资源n 利用现有校园网络资源，整合语音业务，降低校内语音通信本钱；n 利用现有校园网络资源，整合视讯业务，供给丰富的网络办公、教学IT 效劳；n 利用现有校园网络资源，整合校园监控业务，实现平安校园的统一治理；实现整个校园网络的集中统一智能化治理数字化校园是建立在一系列IT 资源的根底上，诸如校园网带宽资源、教学办公数据的资源、计算资源、网络多媒体通信资源等，针对这些资源需要关联化的治理，资源的整合，才能将利用IT 系统效劳校园信息化的价值最大化。应当说，在“十一五”中等学校信息化进展战略中，信息技术将成为校园的一项核心生产力，成为校园教学科研各项核心业务的最有力的支撑点。结合学校的信息化进呈现状与其在“十一五”期间的趋势，IToIP 数字化校园解决方案从整体来看致力于两个层面促进中等学校信息化的进展。其一是硬件平台的建设，即基于 IP 技术的校园网络平台建设。方案针对现有校园网的网络架构提出优化方案，利用核心网优化与接入网优化的技术使其能够更好支撑数字化校园的上层业务；随着数字化校园横向业务不断进展，尤其是在国家CNGI 工程在中等学校落地的背景下，在中等学校用户移动终端的普及与移动业务的消灭背景下，方案提出两个重点业务拓展方案，即 IPv6 校园网与无线校园网，来适应数字化校园的这一转型；关于校园网的安全防护长期以来都是校园CIO 高度关注的工作，而校园网络的安全问题也在变化，方案严密围绕校园网络安全防范的三个重点环节出口、核心、接入与最的安全问题，提出了安全渗透防范的架构，携手中等院校共同迎接安全防护的挑战。其二是应用平台的建设，主要是三个中心的建设。校园数据中心：目前在校园网中，存储资源依附于应用和效劳器，分散在校园网络不同的地方，由于各种缘由，一些信息无法共享，导致了资源的铺张，同时也导致了依附于其上的数据无法共享，所以在校园中建设统一的数据效劳中心，是校园网信息实现统一共享的重要手段。校园媒体中心：是利用三网合一技术，通过多媒体的方式效劳于数字化校园用户的系统。中等院校具有环境开放性和人员流淌性的特点，需要对校园进展安全监控实现和谐校园的目标；多校区的建设往往导致领导、师生沟通不便利，而通过IP 语音、IP 视讯技术的视频会议、远程教学、IP 、招生热线等方案将有效解决这些问题，并促进整体数字化校园的进展。智能治理中心：狭义上的校园网络治理就是通过SNMP 技术对校园网络的硬件单元进展有效掌握，而校园智能治理则强调是全面性与联动性，协同处理网络设备、网络用户、网络应用、数据信息之间的关联问题，例如一个用户是否有权限使用哪些网络、这个用户使用的应用对整个数 字化的影响有多大，对于整体数字化校园的治理应当供给分析数据与报告，支撑校园 CIO 的决策并降低校园治理的整体拥有本钱。两个层次的建设并不是割裂的，联系的枢纽就是智能治理中心，它把硬件系统与应用系统严密结合在一起，针对硬件资源、应用资源动态调配与掌握，实现对数字化校园整体业务的有效支撑， 满足“十一五”对中等学校信息化进展的需要。校园网在“十五”期间实现了高带宽、广掩盖、可运营、可治理的数字化校园平台；实现了学 校根本的教学、科研、治理和效劳系统的信息化。通过这一平台实现了网络教学系统、数字化图书 馆系统、网络试验室系统、治理信息系统、办公自动化系统、社区效劳系统、一卡通系统等上层应 用。从网络建设的特征来看，主要聚焦于：万兆校园网改造、升级，学生宿舍区、校区网络建设， 认证、计费、治理及网络安全的建设。但是随着国家对教育的重视，中等学校信息化的进展日月异，更多的应用系统不断推出，对网络的可用性、可控性、安全性以及业务支撑力量要求也变得越来越高。那么校园网建设工作也需要作出针对性的调整。H3C 设计全的基于纯IP 技术的网络平台来满足中等学校校园网的需求变化。面对网络资源的有效、高效利用，从网络架构方面供给优化方案，使得校园核心网、接入网具有更高的牢靠性和可控性，同时使得网络构造与布局在结合实际业务分布的前提下更加合理。数字校园业务的进展必定离不开两个方向，其一是IPv6，其二是移动性。这既是 IP 通信技术进展的方向，也是数字校园应用的进展方向。满足这个进展，首要前提就是让校园网络平台能够具备相关技术支撑力量，即构建IPv6 校园网与无线校园网。不管是对校园网的优化还是对校园网业务的横向拓展，都是基于校园网是安全有序的。需要从纵向三个维度对全部影响校园安全的隐患、非法行为进展渗透防范与掌握。校园网治理是随着校园网络的进展历程而变迁的。校园网的进展经受了最初的计算机房、万兆校园网、数字化校园网等几个阶段，校园网络的治理也从最初的设备治理时代、进展到网络治理时代， 再到用户和业务治理时代。今日的数字化校园已经不再是网络建设，实际上已经朝着资源建设进展转型。那么数字化校园的治理如何针对网络平台资源、用户资源、数据资源、媒体资源进展统一、有机配置与掌握？建立数字化校园的智能治理中心将是答案！智能治理中心主要面对四个类别的资源进展统筹治理。由于过去的校园网并不简单，能够对网元单位进展配置、觉察拓扑构造、触发治理大事、收集日志就够了。但是今日和将来的数字化校园应用与资源是简单的，是关联的，一个不能依据资源变化而智能调整的治理系统是无法满足进展需要的。这种联动要从动态的网络中觉察变化、分析应用在网络中运行效果如何、用户在网络中都做了哪些事情，再依据这些动态信息进展统一资源调配。1.2. 建设需求学校由诸多楼宇构成。由于目前的网络构造存在不少单点故障，而且学生入网人数不断增加， 导致网络常处于拥堵状态，同时网络缺乏统一治理、网络安全薄弱等问题。随着学校信息化的快速进展，现有网络已经不能满足学校信息化建设要求。因此学校打算对现有网络进展升级改造，主要包括以下几局部内容：1、将现有网络主干从百兆升级为千兆网络，以满足数据、视频、语音等对网络带宽的要求。2、将接入层交换机更换为智能化交换机，然后结合认证、计费治理系统对上网人员进展认证、计费治理。3、建设校园数据中心，将一卡通系统、校园信息平台、WEB/MAIL/FTP 等效劳器放置于数据中心，然后对校园全部效劳器承受集中存储系统。4、承受防火墙对校园数据中心、校园网管中心、校园办公网、互联网、教育网进展规律区域的划分，承受访问掌握策略对各个区域进展安全防护，并且要求对校园内部网实现四到七层的安全防护。5、 在全网部署统一的网管系统，能够实现对网络设备、安全设备、无线设备进展统一的治理与维护。2. 设计原则早期的中等学校校园网主要是共用内部教育系统主机资源，共享简洁数据库，简洁三层交换， 二层无限制交换为主，很少有对网络的构造，性能等进展合理的规划和优化，存在安全、可治理性较差、无业务增值力量等方面的问题。现在学校校园网建设要实现内部全方位的数据共享，精细划分不同的应用工作区域实现端终接 入治理，三层交换，供给全面的QoS 保障效劳，使网络安全牢靠，从而实现教育治理、多媒体教学自动化，而且还要通过 Internet 实现远程教学，供给可增值可治理的业务，必需具备高性能、高安全性、高牢靠性，可治理、可增值特性以及开放性、兼容性、可扩展性。基于对学校校园网业务需求的深入理解，结合自身产品和技术特点，我们推出了了完善的学校校园网解决方案，为学校供给“高扩展、多业务、高安全”的精品网络。学校网络建设遵循以下根本原则： 高带宽学校网络是一个浩大而且简单的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够供给无瓶颈的数据交换。可增值性学校网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续进展 根底。所以在建设时要充分考虑业务的扩展力量，能针对不同的用户需求供给丰富的宽带增值业务， 使网络具有自我造血机制，实现以网养网。可扩大性考虑到学校用户数量和业务种类进展的不确定性，要求对于核心交换机与会聚交换机具有强大 的扩展功能，学校网络要建设成完整统一、组网敏捷、易扩大的弹性网络平台，能够随着需求变化， 充分留有扩大余地。开放性技术选择必需符合相关国际标准及国内标准，避开个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、牢靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和治理手段，供给网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一治理。安全牢靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，供给网络安全防范措施。3. 整体设计3.1. 总体设计概述学校具体网络楼宇布局如下拓扑：以上为学校各个楼宇网络布局，网络机房部署在就业喽，就业楼到各办公楼，教学楼，高中楼通过光缆进展部署，接入本楼宇接入交换机。学校网络解决方案总体设计以高性能、高牢靠性、高安全性、良好的可扩展性、可治理性和统一的网管系统及牢靠组播为原则，以及考虑到技术的先进性、成熟性，并承受模块化的设计方法。组网图如下所示：学校网络主要目的是将网络的性能、带宽、主要网络业务进展全网的建设。网络设计主要包含高品质IP 核心网、智能弹性接入网、网络系统综合治理、出口系统接入网等主要局部。3.2. 层次化设计在校园园区网络整体设计中，承受层次化、模块化的网络设计构造，并严格定义各层功能模型， 不同层次关注不同的特性配置。典型的校园园区网络构造可以分成两层：接入层、核心层。同时 部署互联网出口区。1) 接入层：供给网络的第一级接入功能，完成简洁的二、三层交换，安全、Qos 和POE 功能都位于这一层。对于校园园区网的接入层设备，建议承受千兆三层接入的方式，应当具有线速三层交换、IRF 智能弹性堆叠技术以及高级QoS 策略等功能。本次推举承受 H3C S5120-EI 系列交换机是 H3C 公司最开发的增加型IPv6 强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理力量和最丰富的业务特性。支持 IPv4/IPv6 硬件双栈及线速转发，使客户能够沉着应对马上带来的IPv6 时代；除此以外，其精彩的安全性，牢靠性和多业务支持力量使其成为大型企业网络和园区网的接入的第一选择。S5120-24P-EI，供给 24 个 10/100/1000Base-T 以太网端口，实现千兆到桌面，并且具备万兆扩展力量。此设备可以为网络供给更多的智能特性，如基于策略的VLAN、支持基于端口流 MACVLAN 镜像、增加的 ACL 和端口安全功能等；并且支持EAD端点准入检测功能，协作后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入掌握、访问权限掌握等网络安全措施整合为一个联动的安全体系，此设备本身为三层交换机，可讲二层直接终结在接入层，路由方式连接核心交换机。对于学校学生气房上网这块的部署，承受 S5120 接入交换机可满足千兆到桌面的接入需求， 满足学生气房机器高速互联网的访问。2) 核心层：网络的骨干，必需能够供给高速数据交换和路由快速收敛，要求具有较高的牢靠性、稳定性和易扩展性等。对于核心层，必需供给高性能、高牢靠的网络构造，推举承受高牢靠的RRPP/RPR 环网构造或多设备冗余的星型构造。对于园区网核心层设备，应当在供给大容量、高性能 L2/L3 交换效劳根底上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为校园园区构建融合业务的根底网络平台，进而帮助用户实现IT 资源整合的需求。如上所示，网络整体架构承受星型设计模式并遵循分区模块化思路。从架构上，网络监控承载根底平台分为核心层、接入层两层架构，核心层完成各模块各分区之间的快速数据沟通，接入层交换机为终端供给快速连接通道。分区角度看，可分为核心骨干区域、业务接入区域。以下将整体方案分为核心层设计、接入层设计等方面进展描述。本次推举在中心机房部署 2 台H3C S7503E 核心交换机，下连各个楼宇的会聚交换机。核心层承受 2 台华三公司S7503E 模块化高端路由交换机构建。核心交换机延长到双核心，利用 IRF2 智能弹性架构虚拟化技术，将两台设备虚拟化为 1 台规律上的设备，不需要配置简单的MSTP+VRRP 协议，即可实现毫秒级的快速收敛。充分提高网络平台的稳定性，为各项业务供给稳固监视的交换平台。另外，核心交换机协作双会聚的设计模式，同时会聚交换机也部署IRF2 技术， 形成核心会聚端到端的虚拟化，简化网络拓扑构造，维护的IP 数量、规律设备数量削减一半，便于后期的治理维护。使用智能弹性架构(intelligent resilient framework, IRF)虚拟化技术，用户可以将多台设备连接，“横向整合”起来组成一个“联合设备”，并将这些设备看作单一设备进展治理和使用。多个盒式设备整合类似于一台机架式设备，多台框式设备的整合相当于增加了槽位，虚拟化整合后的设备组成了一个规律单元，在网络中表现为一个网元节点，治理简洁化、配置简洁化、可跨设备链路聚合，极大简化网络架构，同时进一步增加冗余牢靠性。网络虚拟交换技术为核心网络建设供给了一个标准，定义了一代网络架构，使得各网络都 能够使用这种敏捷的架构，能够帮助高校在构建永续和高度可用的状态化网络的同时，优化网络资源的使用。网络虚拟化技术将在数据中心端到端总体设计中发挥重要作用。S7503E 具有全面的 MPLS、VPLS 业务力量，支持 Multi-VRF 特性，可以作为 MCE 设备使用；支持三层的MPLS VPN 和二层的MPLS VPNMartini、Kompella；支持 MPLS OAM 特性，便利用户的治理和维护；与H3C MPLS VPN Manager 协作，实现图形化的MPLS 部署与维护。全面支持VPLS，VLL，支持 1K VPLS 实例，4K VLL，还支持分层VPLS 以及QINQ+VPLS 接入方式，供给端到端 2 层 VPN 接入方案，支持MPLS/VPLS 全线速转发，满足VPLS 规模部署要求。H3C S7500E 集成的无线掌握模块供给丰富的业务力量，包括精细的用户掌握治理、完善的RF 治理及安全机制、快速漫游、超强的 QoS 和对 IPv6 的支持等；无线掌握模块通过与安全策略效劳器的联动，实现对无线接入用户的端点准入防范，提高了整网的安全性。H3C S7500E 是业界最高密度的以太网无源光网络EPON设备，单台最大可接入 10240 个 FTTH 用户；H3C S7500E 是高牢靠的EPON 系统，承受分布式体系构造、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级牢靠性。H3C S7500E 支持大容量的Portal 认证功能，可以在数千用户的局域网中做为EAD 网关设备， 为全网用户供给 EAD 安全认证功能；可以在大中型的校园网中担当会聚/核心设备的同时，为学生宿舍区的认证计费供给Portal 认证功能。3) 互联网出口区：目前已接入互联网专线 100M，核心交换机承受S7503E，互联网出口区域设备就需配置一台高速转发路由器设备，本次推举承受 H3C MSR50-40 路由器，MSRMultiple Services Routers多业务开放路由器是杭州华三通信技术以下简称“H3C”特地面对行业分支机构和大中型企业而推出的一代网络产品。MSR 先进的软件构造与硬件平台，能够在最小的投资范围内为企业边缘网络供给一体化解决方案，更能充分满足将来业务扩展的多元化应用需求，符合企业IT 建设的现状与趋势。企业信息架构正在由 C/S 模式向 B/S 模式转变，MSR 具备高数据转发力量与高加密力量，很好的解决了转变过程中凸现的网络带宽压力与安全隐患，保障企业关键业务流可以高速、机密的通过广域网传输。MSR 集数据安全、语音通信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务便利的部署于同一节点，不仅能够最大程度的避开网络中多设备繁杂异构问 题，而且极大降低了企业网络建设的初期投资与长期运维本钱。针对企业用户日益共性化的应用需求，MSR 领先集成了可以定制开发的高性能开放业务平台， 任何人都可以基于该平台开发自身需要的高级网络业务，企业用户只需安装软件便能在网络中便利 的部署相应业务，节约了购置各类昂扬专用网络设备的投资。MSR在突破性提高数据处理力量与插槽扩展性的同时，还能完全兼容原AR 的硬件模块与软件功能， 为客户供给了最为经济的网络升级方案。H3C MSR 50 多业务开放路由器设备均供给两种不同性能引擎的主控板以满足不同性能需求的多业务并发应用。该产品可以为大型分支机构供给高性能、多业务的一体化网络方案，也可以作为大中型企业的核心网络设备，完成数据、语音、视频等多种流量的广域网交互。MSR50 针对安全数据连接进展设计，承受内置硬件加密功能的CPU 和主板上内置的硬件加密引擎，大大提高产品 的数据加密性能，同季节约接口插槽。MSR 50 在供给高质量数据业务转发的同时，还供给了强大而敏捷的VoIP 解决方案，客户可在单一平台上为其分支机构敏捷地部署程控交换机、模拟 和IP ，降低网络运维本钱。另外，MSR 50 路由器还通过集成以太网交换模块供给二层数据交换功能，实现了真正的路由交换一体化解决方案。MSR 50 产品承受H3C 成熟商用的软件操作系统，供给丰富的QoS 特性，全面支持IPv6，同时大大地增加部署MPLS VPN 业务的力量。MSR50 承受OAAOpen Application Architecture 开放应用体系架构，产品供给了一个公开软硬件接口及标准标准的开放平台，任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能，以形成业务定制、优势互补、深度集成、合作共赢。MSR50 路由器还通过OAA 架构供给基于路由器的统一通信功能，为用户供给敏捷的语音呼叫处理、IP-PBX、IP 会议和即时通讯等功能一体化的开放通信解决方案。图 H3C MSR 50-40 路由器校园安全渗透网络设计在规划学校网络安全系统时，我们将遵循以下原则，以这些原则为根底，供给完善的体系化的整体网络安全解决方案：l 体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并依据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为根底，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。l 全局性、均衡性原则安全解决方案的设计从全局动身，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，依据信息资产价值的大小和面临风险的大小，实行不同强度的安全措施，供给具有最优的性能价格比的安全解决方案。l 可行性、牢靠性原则在承受全面的网络安全措施之后，应当不会对学校原有的网络，以及运行在此网络上的应用系 统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度， 保证整个信息资产的安全。l 可动态演进的原则方案应当针对学校制定统一技术和治理方案，实行一样的技术路线，实现统一安全策略的制定， 并能实现整个网络从根本防范的网络，向深度防范的网络以及智能防范的网络演进，形成一个闭环 的动态演进网络安全系统。3.3. 核心交换机强大内置安全特性逐包转发机制防止病毒冲击S7500 路由交换机是承受了逐包转发的机制，它和传统的流转发机制在安全性方面有着更本的差异。流转发主要存在下面两个问题：1、在网络拓扑频繁变化时，设备的适应性差，转发性能下降严峻；2存在肯定安全隐患问题，尤其在网络患病到类似“红色代码”这类病毒攻击时问题尤为严峻。流转发为一次路由屡次交换，它的特点是一旦查找一次路由后，就把查找结果存放在 CACHE 里，以后同样目的地址的包就不用重查找，直接承受类似二层交换的技术，直接转发到目的端口去。假设路由表项几乎不变化，则可通过上面所述的硬件准确匹配的方式能够很快的速度进展查表转发。但是假设应用的状况为路由表项常常消灭变更的状况，就会导致无法通过硬件的准确匹配的方式查找到路由，这时三层以太网交换机的就会转为通过 CPU 软件进展路由查找，查表和转发速度就会急剧下降。这是工作根本上是处于靠 CPU 软件进展路由的“屡次慢路由”的状况。也就是说三层交换机在进展数据报文转发时主要依据数据报文的五元组特征进展准确命中数据转发，对于“红色 代码”病毒攻击时由于其病毒报文的端口号是频繁进展变换，其五元组信息始终处于一个不停变换阶 段，这样导致三层交换机 CPU 不停进展路由查找，由于这类报文另外一个特征就是短时间内产生大量报文，从而最终导致三层交换机 CPU 在转发过程中瘫机，同时这台交换机下挂的三层交换机同样接收到大量病毒报文，基于上述缘由其 CPU 转发引擎也将瘫机。与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中，这样网络路由必定就会消灭较大振荡，交换机转发性能急剧下降，最终导致全部交换机瘫机，整个网络不行用。对于承受网络拓扑驱动的路由交换机而言由于承受逐包转发，进展的是最大匹配方式路由查找， 当数据报文端口号进展变换的状况下，对路由器转发不造成影响，所以一旦患病“红色代码”病毒攻 击时没有任何问题。3.4. 基层网络安全教学区3.4.1. 端口IPMAC 地址的绑定：用户上网的安全性格外重要，H3C 接入可以做到，端口+IP+MAC 地址的绑定关系，H3C 接入交换机可以支持基于 MAC 地址的 802.1X 认证，整机最多支持 1K 个下挂用户的认证。MAC 地 址的绑定可以直接实现用户对于边缘用户的治理，提高整个网络的安全性、可维护性。如：每个用 户安排一个端口，并与该用户主机的MAC、IP、VLAN 等进展绑定，当用户通过802.1X 客户端认证通过以后用户便可以实现MAC 地址端口IP用户ID 的绑定，这种方式具有很强的安全特性： 防 D.O.S 的攻击，防止用户的MAC 地址的哄骗，对于更改MAC 地址的用户MAC 地址哄骗的用户可以实现强制下线。3.4.2. 接入层防 Proxy 的功能考虑到大学用户的技术性较强，在实际的应用的过程当中应当充分考虑到Proxy 的使用，对于Proxy 的防止，H3C 公司接入交换机协作H3C 公司的 802.1X 的客户端，一旦检测到用户PC 机上存在两个活动的 IP 地址不管是单网卡还是双网卡，接入交换机将会下发指令将该用户直接踢下线。3.4.3. MAC 地址盗用的防止在校园网的应用当中IP 地址的盗用是最为常常的一种非法手段，用户在认证通过以后将自己的MAC 地址进展修改，然后在进展一些非法操作，网络设计当中我们针对该问题，在接入层交换机上供给防止MAC 地址盗用的功能，用户在更改MAC 地址后，接入交换机对于与绑定MAC 地址不相符的用户直接将下线，其下线功能是由接入交换机来实现的。3.4.4. 防止对 DHCP 效劳器的攻击使用 DHCP Server 动态安排IP 地址会存在两个问题：一是DHCP Server 假冒，用户将自己的计算机设置成DHCP Server 后会与局方的DHCP Server 冲突；二是用户DHCP Smurf，用户使用软件变换自己的MAC 地址，大量申请IP 地址，很快将DHCP 的地址池耗光。H3C 接入交换机可以支持多种制止私设DHCP Server 的方法。Private VLAN解决这个问题的方法之一是在桌面交换机上启用Private VLAN 的功能。但在很多环境中这个功能的使用存在局限，或者不会为了私设DHCP 效劳器的原因去改造网络。访问掌握列表对于有三层功能的交换机，可以用访问列表来实现。就是定义一个访问列表，该访问列表制止source port 为 67 而 destination port 为 68 的 UDP 报文通过。之后把这个访问列表应用到各个物理端口上。固然往端口一个个去添加访问掌握组比较麻烦，可以结合interface range 命令来削减命令的输入量。的命令由于它的全局意义，也为了突出该安全功能，建议有如下单条命令的配置：service dhcp-offer deny exclude interface interface-type interface-number interface interface-type interface-numbert | none假设输入不带选项的命令 no dhcp-offer，那么整台交换机上连接的 DHCP 效劳器都不能供给DHCP 效劳。exclude interface interface-type interface-number ：是指合法DHCP 效劳器或者DHCP relay 所在的物理端口。除了该指定的物理端口以外，交换时机丢弃其他物理端口的 in 方向的 DHCP OFFER 报文。interface interface-type interface-numbert | none ：当明确知道私设DHCP 效劳器是在哪个物理端口上的时候，就可以选用这个选项。固然假设该物理端口下面仅仅下联该私设DHCP 效劳器， 那么可以直接disable 该端口。该选项用于私设DHCP 效劳器和其他的合法主机一起通过一台不行网管的或不支持关闭 DHCP Offer 功能的交换机上联的状况。选择none 就是放开对 dhcp-offer 的掌握。3.4.5. 防止 ARP 的攻击随着网络规模的扩大和用户数目的增多，网络安全和治理更加显出它的重要性。由于校园网用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。因此，ARP 攻击、地址仿冒、MAC 地址攻击、DHCP 攻击等问题不仅令网络中心的教师头痛不已， 也对网络的接入安全提出了的挑战。ARP 攻击包括中间人攻击(Man In The Middle)和仿冒网关两种类型： 中间人攻击：依据 ARP 协议的原理，为了削减网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己恳求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 哄骗” 的可能。假设黑客想探听同一网络中两台主机之间的通信即使是通过交换机相连，他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进展的。黑客一方 面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，由于通信双方的数据包在物理 上都是发送给黑客所在的中转主机的。仿冒网关：攻击者冒充网关发送免费ARP，其它同一网络内的用户收到后，更自己的 ARP 表项，后续， 受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以 凭借此攻击而独占上行带宽。在 DHCP 的网络环境中，使能DHCP Snooping 功能，E100 交换时机记录用户的IP 和 MAC 信息，形成 IP+MAC+Port+VLAN 的绑定记录。E100 交换机利用该绑定信息，可以推断用户发出的ARP 报文是否合法。使能对指定VLAN 内全部端口的ARP 检测功能，即对该VLAN 内端口收到的ARP 报文的源IP 或源MAC 进展检测，只有符合绑定表项的ARP 报文才允许转发；假设端口接收的 ARP 报文的源IP 或源MAC 不在DHCP Snooping 动态表项或DHCP Snooping 静态表项中，则ARP 报文被丢弃。这样就有效的防止了非法用户的ARP 攻击。3.5. 网络层安全解决方案3.5.1. 全面网络根底设施牢靠性保证措施首先，可取实行的措施为多种冗余备份力量，包括网络线路的多层次冗余、网络设备的多节点 冗余、网络设备自身组件的冗余，通过这些冗余力量，实现整个网络全面的牢靠性保证。网络线路 冗余主要包括如承受网状或者尽量网状连接来代替星形、树形的连接构造，在学校的网络改造建议 方案中，我们设计了足够的线路冗余力量。网络设备多节点冗余主要是指在网络中同一个设备节点 部署双机设备，通过双机进展实现相互备份和负载均衡，在学校的网络改造建议方案中，我们在关 键的节点都进展了双机配置。网络设备可以实行的冗余配置措施主要包括冗余电源配置、冗余模块 配置、冗余引擎配置等，基于H3C 网络设备丰富的冗余特性，可以有效的实现这些冗余配置模式。其次，实行高安全性的网络设备，网络与安全的融合是将来网络进展的必定趋势，随着网络设备特性的不断更，H3C 系列网络设备自身具备的安全力量也在不