华为整体网络解决方案(2)

济宁高新区产学研基地网络解决方案

这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。

3.1.2.1 核心层网络设计

核心层交换机部署在园区核心机房中，汇聚各楼宇/区域之间的用户流量，提供三层交换机功能，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6，可为园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。

所以建议核心层采用双机冗余备份的方式构造，消除单点故障，设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G链路互联，达到高带宽、高转发性能的效果。

本次建议采用华为的S7700高性能交换机构造核心层，实现高性能的骨干网络。华为S7700支持大容量、高转发性能，完全能够满足各网络的数据转发。

3.1.2.2 接入层网络设计

接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（PC机或服务器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机）。

提供网络的第一级接入功能，一般完成简单的二层交换，安全、Qos都位于这一层。对于园区网的接入层设备，建议采用千兆二层接入的方式，应该具有线速二层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。

核心交换机的主要功能是连接服务器，因此必须考虑产学研基地未来的业务增长，核心交换机必须具有很好的扩展性，随着以后网络的扩展，必须具有多个插槽，以便以后网络扩展的时候能够增加网络模块。由于核心交换机在整个网络中具有十分重要的地位，因此核心交换机必须具有电信级的可靠性和稳定性，核心网络对数据的快速转发速度要求很高，因此核心交换机需要具备高容量的交换带宽和包转发速率。我们建议采用华为的S7700系列高性能交换机，采用双电源。可实现万兆或者千兆接入，实现数据中心高转发性能的效果。并且可以通进扩展防火墙模块等方面，实现数据中心的安全。

____________________________________________________________________________________________

33 - 6

济宁高新区产学研基地网络解决方案

3.2 高可靠性设计

3.2.1 网络高可靠性设计

针对二层接入（接入交换机是二层交换机）典型园区网架构，从接入层、核心层来分层考虑网络可靠性设计。

接入层网络是二层网络，接入交换机与核心交换机之间通过Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性，同时解决二层网络环路问题。

3.2.2 设备高可靠性设计 3.2.2.1 重要部件冗余

设备本身要具有电信级5个9的可靠性，需要网络设备支持: ? 主控1:1备份

? 交换网1+1/1:1两种方式

? DC电源1+1备份；AC电源1+1/2+2备份 ? 模块化的风扇设计，高端配置支持单风扇失效 ? 无源背板，高可靠性

? 独立的设备监控单元，和主控解耦 ? 所有模块热插拔 ? 完善的各种告警功能

3.2.2.2 设备自身安全

如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大。

____________________________________________________________________________________________

33 - 7

济宁高新区产学研基地网络解决方案

这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。

华为公司全系列园区网交换机（S9300/S7700/S5700/S3700/S2700）提供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。

华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。

另外，以太网交换机的MAC地址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者通过不停的发送MAC地址来刷新，填充交换机的MAC地址表，由于MAC地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流量。

华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描，并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击（SAI/DAI功能）。

华为全系列交换机支持黑洞MAC功能，园区交换机收到报文时比较报文目

____________________________________________________________________________________________

33 - 8

济宁高新区产学研基地网络解决方案

的MAC地址，若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞MAC，从而将具有该MAC地址的报文过滤掉，避免遭受攻击。

3.3 安全方案设计

3.3.1 园区网安全方案总体设计

从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御，对产学研基地内部进行安全区域划分、隔离和权限控制，对产学研基地外部用户访问进行安全控制、数据加密，防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。

3.3.2 园区内网安全设计

3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击

1) 防IP/MAC地址盗用

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，DHCP Snooping绑定表可以基于DHCP过程动态生成，也可以通过静态配置生成，此时需预先准备用户的IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。

园区交换机开启DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的

____________________________________________________________________________________________

33 - 9

济宁高新区产学研基地网络解决方案

DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

2) 防ARP中间人攻击

Dynamic ARP Inspection (DAI)在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定， 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景，可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表，不能匹配则认为是仿冒网关回应的ARP响应报文，予以丢弃，从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。

____________________________________________________________________________________________

33 - 10

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库华为整体网络解决方案(2)在线全文阅读。