2023年12月16日发(作者：刁初晴)

实用标准

文档 项目编号:

华为网络整体解决方案

华为整体网络解决方案

目 录

1

2

3

概述 ................................................................................................................................................ 4

企业网络建设设计原则 ............................................................................................................... 5

华为产品解决方案 ....................................................................................................................... 7

3.1 整体架构设计 ............................................................................................................... 7

3.1.1

3.1.2

总体网络架构....................................................................................................... 7

有线网络解决方案 .............................................................................................. 8

3.1.2.1 核心层网络设计 .......................................................................................... 9

3.1.2.2 汇聚层网络设计 .......................................................................................... 9

3.1.2.3 接入层网络设计 ........................................................................................ 10

3.1.3

3.1.4

数据中心解决方案 ............................................................................................ 10

无线网络解决方案 ............................................................................................ 11

3.1.4.1 无线网络的建设需求 ................................................................................ 11

3.1.4.2 无线网络解决方案 .................................................................................... 14

3.2 高可靠性设计 ............................................................................................................. 18

3.2.1

3.2.2

网络高可靠性设计 ............................................................................................ 18

设备高可靠性设计 ............................................................................................ 18

3.2.2.1 重要部件冗余 ............................................................................................ 18

____________________________________________________________________________________________

45 - 2

华为整体网络解决方案

3.2.2.2 设备自身安全 ............................................................................................ 19

3.3 安全方案设计 ............................................................................................................. 21

3.3.1

3.3.2

园区网安全方案总体设计 ................................................................................ 21

园区内网安全设计 ............................................................................................ 21

3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击 ............................................ 21

3.3.2.2 防IP/MAC地址扫描攻击 ....................................................................... 23

3.3.2.3 广播/组播报文抑制 .................................................................................. 25

3.3.3

3.3.4

3.3.5

园区网边界防御 ................................................................................................ 26

园区网出口安全 ................................................................................................ 27

无线安全设计..................................................................................................... 28

无线局域网的安全威胁 ........................................................................ 29 3.3.5.1

3.3.5.2 华为无线网络的安全策略 ....................................................................... 30

4 设备介绍 ........................................................................................................ 错误!未定义书签。

4.1

4.2

4.3

4.4

Quidway® S9300系列交换机 ............................................... 错误!未定义书签。

Quidway® S7700系列交换机 ............................................... 错误!未定义书签。

Quidway® S5700系列交换机 ............................................................................. 32

无线控制器WS6603 ................................................................................................ 41

____________________________________________________________________________________________

45 - 3

华为整体网络解决方案

1 概述

企业园区网络承载企业所有IT基础设施和企业所有上层软件应用，对一个企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视，传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中，还是在公司的咖啡厅、待客室，今天的用户都需要方便地获取各种网络服务。

一个典型的企业园区网络通常由楼宇办公网络、数据中心、Internet出口、以将这四部分互联起来的主干网络组成，其中办公网络可分为有线网络和无线网络。在规划与建设一个企业园区网络的时候，这些部分都要充分考虑。

同时，企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问____________________________________________________________________________________________

45 - 4

华为整体网络解决方案

题，如何构建一个保障企业未来5~10年扩展，同时兼顾设备的投资保护的企业园区网络，困扰着每一位企业CIO。

华为企业园区网解决方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性，可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业园区网络。

2 企业网络建设设计原则

在网络建设项目中，我们应该遵循以下设计原则：

1) 合理性、整体性原则

系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的需求是系统建设的首要原则。

 深入调研，全力做好网络与信息系统安全检测、监测和认证的需求分析，这是系统成败的关键；

 充分考虑已有资源（软硬件设备及人员）合理利用，避免出现不必要的浪费；

 系统建设尽可能模拟国内外最常用的几种网络应用模式。

 系统建设要有一定的前瞻性。在网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。

2) 标准化原则

为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管____________________________________________________________________________________________

45 - 5

华为整体网络解决方案

理性，应建立一个开放的、遵循国际标准的网络系统。

 建设的方案要科学、正确、严谨、且现实可行；

 采用的先进技术应是成熟的、经过实践证明是成功的技术；

 选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品

3) 先进性原则

系统建设应充分考虑网络通信技术和互联网技术的发展，建设是循序渐进的，初期重点应在网络基础环境和基本系统上：

 系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境；

 系统实现采用先进的网络技术、网络安全检测技术。

4) 安全可靠性原则

本系统具有特殊性，因此安全保密性非常复杂。系统要有极强的自我保护能力。

 选用具有C2安全级或B1安全级的系统软件平台；

 配置功能齐全、可视化程度高的网管系统，对网络运行情况进行实时监督和控制；

 采取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。

5) 可管理性原则

随着网络规模的扩大和系统复杂程度的增加，网络的管理、监控和维护，以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护，本方案将提供先进而完善的网络管理系统。这样，即方便网络管理员的工作，减轻____________________________________________________________________________________________

45 - 6

华为整体网络解决方案

了劳动强度，也提高了网络系统的管理程度。

6) 灵活、可伸缩性原则

为适应因特网和互联网络技术的发展，系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外，在网络系统的设计过程中，还需要考虑整个网络系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求，又能满足今后整个计算机系统的发展需要。

 应用软件设计要采用结构化和模块设计方法，使系统逻辑结构清晰、易读，在功能的划分和设计时，使各模块尽可能相对独立、减少相关性以易于扩充、维护和修改。

 网络系统要具有异种设备的异种网络的互联互通能力，以达到保护已有资源并能与其他信息系统交流信息的目的。

7) 绿色节能原则

随着数据中心的不断壮大，数据中心的电费不断增长，目前，通信/IT设备节能是降低能耗的基础，采用底能耗的设备是节能减排最主要的途径。

3 华为产品解决方案

3.1 整体架构设计

3.1.1 总体网络架构

整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化____________________________________________________________________________________________

45 - 7

华为整体网络解决方案

的设计方法，组网图如下所示：

网络架构

整个网络的设计方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，通过模块化或者购买单独设备的方式提供WLAN AC控制器，在汇聚层交换机，提供防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。

整个网络的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用TRUNK链路保证链路级可靠性。

3.1.2 有线网络解决方案

整个网络层次建议采用业界成熟的三层架构：接入、汇聚和核心，最后企业____________________________________________________________________________________________

45 - 8

华为整体网络解决方案

园区通过出口层网络设备（路由器或交换机）连接到外网通过。

这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。

3.1.2.1 核心层网络设计

核心层交换机部署在园区核心机房中，汇聚各楼宇/区域之间的用户流量，提供三层交换机功能，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6，可为园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。

所以建议核心层采用双机冗余备份的方式构造，消除单点故障，设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G链路互联，达到高带宽、高转发性能的效果。

本次建议采用华为的S9300高性能交换机构造核心层，实现高性能的骨干网络。华为S9300支持大容量、高转发性能，完全能够满足各网络的数据转发。

3.1.2.2 汇聚层网络设计

汇聚层交换机的重要性也是比较高的，一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为园区网的网关，终结园区网用户的二层流量，进行三层转发。当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关，能够承载校园园区融合业务的需求。

根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡器、____________________________________________________________________________________________

45 - 9

华为整体网络解决方案

WLAN AC控制器）或者旁挂独立的增值业务设备（如WLAN 盒式AC等），为园区网用户提供增值业务。

汇聚层与核心层共同组建成骨干网络，所以汇聚设备的性能要求也是比较高的，建议采用10G的链路互联，达到万兆骨干网络。

汇聚交换机需要提供高密度的GE接口，汇聚接入交换机的流量，通过10GE接口接到核心交换机，推荐使用S9300系列交换机作为园区汇聚层交换机。

3.1.2.3 接入层网络设计

接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（PC机或服务器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机）。

提供网络的第一级接入功能，一般完成简单的二层交换，安全、Qos都位于这一层。对于园区网的接入层设备，建议采用千兆二层接入的方式，应该具有线速二层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。

3.1.3 数据中心解决方案

数据中心的设计目标是实现高冗余、高带宽、高安全性、高可靠性等目的。数据中心内的网络设备主要是：核心交换机、核心防火墙、核心路由器、负载均衡设备。

核心交换机的主要功能是连接服务器，因此必须考虑企业未来的业务增长，核心交换机必须具有很好的扩展性，随着以后网络的扩展，必须具有多个插槽，以便以后网络扩展的时候能够增加网络模块。由于核心交换机在整个网络中具有十分重要的地位，因此核心交换机必须具有电信级的可靠性和稳定性，核心网络____________________________________________________________________________________________

45 - 10

华为整体网络解决方案

对数据的快速转发速度要求很高，因此核心交换机需要具备高容量的交换带宽和包转发速率。我们建议采用华为的S7700系列高性能交换机，采用双机双电源。可实现万兆或者千兆接入，实现数据中心高转发性能的效果。并且可以通进扩展防火墙模块等方面，实现数据中心的安全。

3.1.4 无线网络解决方案

随着以太网的广泛应用，因特网的日益普及，以及移动终端的不断增加，人们对移动IP接入的需求迅速增长。无线局域网WLAN(Wireless Local Area

Network )作为有线以太网的延伸，一定程度上满足了这种需求。

由于无线网络的部署灵活性高，所以受到很多用户的青睐，整个无线网络，WLAN 解决方案可以运行在现有的有线企业网络的基础上，也可以采用一个独立的网络。它为园区提供了具有部署方便性、安全性、可扩展性的无线网络，让用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务。

我们建议采用华为的无线解决方案，在核心网络中部署一套无线控制器，无线AP接入到接入层交换机上，各无线AP通过无线控制器统一管理。从而实现易维护、易管理。

3.1.4.1 无线网络的建设需求

在无线网络建设中，为了解决大规模部署情况下的统一配置、调整问题，以及射频的智能管理问题，现在无线网络建设普遍都采用了瘦AP建网模式。瘦AP的另一个好处是实现了三层漫游环境下避免重新认证，从而使漫游切换时间小于50ms。这对于企业的移动业务，尤其是对切换时间要求最苛刻的语音业务意义重大。

____________________________________________________________________________________________

45 - 11

华为整体网络解决方案

然而，随着无线网络的发展，一些新的需求也逐渐变得越来越强烈。主要有以下几个方面：

稳定问题：

由于WLAN网络的组网设计包含无线控制器、接入交换机、无线接入点等大量设备，在大部分情况下，还需要通过以太网解决供电问题，所有这些环节都会影响校园无线网络的稳定性；同时由于无线信号的传播深受环境影响，多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象，实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以如何实时根据环境动态调整无线接入点的信道、发射功率等也是经常困扰无线校园管理人员的难题。

安全问题：

由于无线网络的特殊性，园区无线用户的安全问题就更加突出。对无线网络的用户来说，所有有线网络存在的安全威胁和隐患都同样存在。同时，任何不可____________________________________________________________________________________________

45 - 12

华为整体网络解决方案

信的无线设备可以在信号覆盖范围内进行网络接入的尝试，一定程度上也加剧了无线用户所面临的安全隐患。

无线网络的安全问题已经不再是单一的物理层安全，也包括了用户接入安全、网络层安全、设备安全、安全管理等多个层面上，如何能使企业无线用户在使用网络时能够像使用有线网络一样安全、可靠，正逐渐成为无线企业网络建设所关注的核心。

管理问题：

相对于FAT AP来说，虽然FIT AP解决方案帮助网区管理人员实现了无线网络的灵活安装与应用，但管理无线网络却仍然是一项非常耗时且麻烦的事情。在无线园区网络环境中尤为如此。

传统的FIT AP解决方案由无线控制器（AC）及无线接入点（FIT AP）构成，虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能，但是与有线网络难于统一，无法在整个企业范围内实现用户管理及认证、服务质量控制和安全策略实施等。因此，通常引入无线网络会降低安全性，整个网络管理起来比较复杂，并且维护成本也比预期高。把网络作为一个整体，整合有线和无线网络，实现统一的网络控制和管理，对于企业来说具有重要的意义。

扩展问题：

WLAN技术的发展日新月异，新技术、新标准层出不穷，除了呼之欲出的802.11n，在教育行业一个重要的门槛技术是IPv6。所有的无线产品和解决方案都要为未来的升级和应用做好准备。

____________________________________________________________________________________________

45 - 13

华为整体网络解决方案

应用问题：

随着WLAN技术的逐步成熟，市场上各种各样的WLAN终端如笔记本电脑、PDA、双模手机、支持Wi-Fi的游戏机、即拍即传的数码相机如雨后春笋般涌现出来，同时价格越来越低，普及程度越来越高，使得无线新业务在园区网中的丰富应用成为可能。如何在无线网络这个开放的平台上开展丰富的业务是建设者必须要考虑的问题。例如VoWiFi、无线监控等业务，解决了园区内部和各园区之间通讯费用高、无线监控和无线多媒体教学的问题，让无线接入变得更有价值。

3.1.4.2 无线网络解决方案

管理中心

室内型热点无线覆盖

无线交换机 无线管理中心

运营管理中心

室外型热点无线覆盖

园区有线骨干网

PoE供电接入

办公楼

无线业务应用

职工公寓

移动数据业务

Wi-Fi语音漫游

华为无线网络解决方案有效实现了有线和无线网络的融合，通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，为园区用户提供安____________________________________________________________________________________________

45 - 14

华为整体网络解决方案

全的无线接入。根据用户需求，通过在华为系列交换机中加入无线控制器插卡或者使用单独的无线控制器，就可为原有的有线网络提供无线支持，还可以像扩展和管理传统有线网络一样，对无线网络进行扩展和管理。

可以收到无线信号的地方立即访问各种网络服务。

➢ 安全性、高QoS保障

华为园区网络WLAN解决方案从用户接入安全、网络安全、设备安全等多个方面保障无线网络的安全，使园区用户安全可靠的使用WLAN网络。

用户接入安全：华为园区WLAN解决方案提供了多样化的用户接入认证以及加密解决方案。无线接入认证主要支持基于MAC地址认证、802.1x认证、Portal认证等保证用户安全合法的接入，支持WEP/TRIP/CCMP等加密措施防范无线接入用户数据被盗。同时可以通过部署VLAN隔离、端口隔离等业务隔离技术避免用户间相互影响。

网络安全：通过接入点对RF 环境的不间断扫描和监控，防止企业受到未经授权的不安全的WLAN 接入点或恶意接入点的影响。

设备安全：无线接入点AP提供“零配置”功能，无需在设备保存业务配置，仅启动的时候自动从无线控制器加载业务配置，这样可以避免设备丢失造成配置泄漏而形成对无线网络的安全威胁。

园区WLAN解决方案可以通过虚拟AP&VLAN构建一个单独的访客网络为客户、供应商等访客人士提供互联网服务访问权限。

对于不同SSID承载的用户业务，由于无线空口资源有限，若某个SSID流量过大，比如访客访问Internet，则可能造成园区用户的不能正常访问无线网络开展业务。因此基于SSID的限速，可以避免其中一种业务流量过大对其他业务____________________________________________________________________________________________

45 - 15

华为整体网络解决方案

造成影响。

另外，基于快速漫游技术可以实现园区无线用户一次认证移动接入。用户移动到新的接入点时，如果用户之前已经认证过，则用户此时无需再次通过安全认证，直接接入，保证用户业务的连续性。

➢ 部署方便、扩展灵活

WLAN网络部署简化，安装便捷。WLAN的安装工作简单，它无需施工许可证，不需要布线或开沟挖槽。设备的零配置部署功能可以在无线改造现有网络的基础上轻松部署WLAN。

无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点。随着无线网络的扩展，新添加的无线接入点能自动检测到无线控制器，并下载相应的配置信息以及策略信息，无需任何手动操作。

➢ 统一的网络管理、智能运维

统一的网络管理设备可以实现有线无线网络的统一化管理，简易网络管理操作，结合智能化的网络运维提升了网络管理效率。

无线接入点能够监控环境温度变化，当环境温度低于零下10℃时，启动加热板，确保低温时的正常工作。而且无线接入点检测到电压将要无法供应的情况下（复位或故障），上报该告警，描述最后的工作状态，方便故障定位。

➢ 稳定性

华为 WLAN稳定性解决方案从无线控制器的可靠性，接入交换机供电的可靠性、无线信号的可靠性这几方面入手，极大的提高了WLAN网络的可靠性；在实际的使用情况来看，启用这些措施之后，WLAN的可靠性能够得到明显的____________________________________________________________________________________________

45 - 16

华为整体网络解决方案

提升。

➢ 全面的PoE解决方案

PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输数据的同时传输直流电。因为AP往往要求使用不间断电源（UPS）供应电力，采用PoE设备，AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据和电力，因此在使用PoE设备的情况下，所有的AP都使用一个UPS在PoE设备端进行保护。如果不使用PoE设备，就需要给每个AP配一个UPS，而且还需要在AP附近安装电源插座，增加了成本。因此使用PoE设备将大大降低设备成本和管理成本。

PoE具有非常明显的优势，具体如下：

简化安装，降低成本，不需为每个网络设备单独提供数据和电力线缆。

灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源输出口。

可靠性增强，有SNMP能力的PoE装置，可实施远程检测和控制，能有效地处理或修理装置的耗电量和（或）失效故障。

____________________________________________________________________________________________

45 - 17

华为整体网络解决方案

3.2 高可靠性设计

3.2.1 网络高可靠性设计

针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。

接入层网络是二层网络，接入交换机与汇聚交换机之间通过Smart

Link/STP/RSTP/MSTP/RRPP保证网络可靠性，同时解决二层网络环路问题；汇聚层交换机之间通过VRRP（BFD for VRRP）协议确定用户的主备网关，交换机互联通过TRUNK链路，保证链路级可靠性，汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障（单通故障）。

园区网接入/汇聚/核心交换机通过虚拟化技术进行集群（或堆叠），将两台/多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时，提高网络可靠性，是未来高可靠性园区网的发展趋势。

3.2.2 设备高可靠性设计

3.2.2.1 重要部件冗余

设备本身要具有电信级5个9的可靠性，需要网络设备支持:

➢ 主控1:1备份

➢ 交换网1+1/1:1两种方式

➢ DC电源1+1备份；AC电源1+1/2+2备份

➢ 模块化的风扇设计，高端配置支持单风扇失效

____________________________________________________________________________________________

45 - 18

华为整体网络解决方案

➢ 无源背板，高可靠性

➢ 独立的设备监控单元，和主控解耦

➢ 所有模块热插拔

➢ 完善的各种告警功能

➢ 设备管理1:1备份

3.2.2.2 设备自身安全

如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大。

这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。

华为公司全系列园区网交换机（S9300/S7700/S5700/S3700/S2700）提供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。

____________________________________________________________________________________________

45 - 19

华为整体网络解决方案

华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN

FLOOD攻击等。

另外，以太网交换机的MAC地址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者通过不停的发送MAC地址来刷新，填充交换机的MAC地址表，由于MAC地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流量。

华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描，并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击（SAI/DAI功能）。

华为全系列交换机支持黑洞MAC功能，园区交换机收到报文时比较报文目的MAC地址，若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞MAC，从而将具有该MAC地址的报文过滤掉，避免遭受攻击。

____________________________________________________________________________________________

45 - 20

华为整体网络解决方案

3.3 安全方案设计

3.3.1 园区网安全方案总体设计

从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御，对企业内部进行安全区域划分、隔离和权限控制，对企业外部用户访问进行安全控制、数据加密，防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。

3.3.2 园区内网安全设计

3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击

1) 防IP/MAC地址盗用

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP

Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域____________________________________________________________________________________________

45 - 21

华为整体网络解决方案

的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，DHCP Snooping绑定表可以基于DHCP过程动态生成，也可以通过静态配置生成，此时需预先准备用户的IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。

园区交换机开启DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

2) 防ARP中间人攻击

____________________________________________________________________________________________

45 - 22

华为整体网络解决方案

Dynamic ARP Inspection (DAI)在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定， 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景，可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表，不能匹配则认为是仿冒网关回应的ARP响应报文，予以丢弃，从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。

3.3.2.2 防IP/MAC地址扫描攻击

1) 防IP扫描攻击

____________________________________________________________________________________________

45 - 23

华为整体网络解决方案

地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，触发ARP miss，使网络设备给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可引起网络中断。

园区交换机支持IP地址扫描攻击的防护能力，收到目的IP是直连网段的报文时，如果该目的地址的路由不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项（弃后续所有目的地址为该直连网段的ARP报文），以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的路由表项；否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。

在上述基础上，交换机还支持基于接口设置ARP miss的速率。当接口上触发的ARP miss超过设置的阈值时，接口上的ARP miss不再处理，直接丢弃。

如果用户使用相同的源IP进行地址扫描攻击，交换机还可以基于源IP做ARP miss统计。如果ARP miss的速率超过设定的阈值，则下发ACL将带有此源IP的报文进行丢弃，过一段时间后再允许通过。

2) 防MAC地址扫描攻击

以太网交换机的MAC地址转发表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文，园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项，由于MAC地址转发表____________________________________________________________________________________________

45 - 24

华为整体网络解决方案

的规格有限，会因为MAC扫描攻击而很快填充满，无法再学习生成新的MAC转发表，已学习的MAC表条目需通过老化方式删除，这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送，导致园区网络中产生大量的二层广播报文，消耗网络带宽、引发网络业务中断异常。

交换机二层MAC转发表是全局共享资源，单板内各端口/VLAN共享一份MAC转发表，华为园区交换机支持基于端口/VLAN的MAC学习数目限制，同时支持MAC表学习速率限制，有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时，会进行丢弃/转发/告警等动作（动作策略可定制、可叠加）。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。

3.3.2.3 广播/组播报文抑制

攻击者不停地向园区网发送大量恶意的广播报文，恶意广播报文占据了大量的带宽，传统的广播风暴抑制无法识别用户VLAN，将导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的VLAN ID，通过基于VLAN的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。

同时园区网交换机支持组播报文抑制，可基于端口限制组播报文流量百分比或速率阈值。

____________________________________________________________________________________________

45 - 25

华为整体网络解决方案

3.3.3 园区网边界防御

企业园区网边界防御分为两个部分：园区出口边界防御、园区内部边界防御。

园区出口连接Internet和企业WAN网的接入，企业外部网路尤其Internet网络，是各种攻击行为、病毒传播、安全事件引入的风险点，通过在企业出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块，可以很好的缓解风险的传播，阻挡来自Internet/企业外部网络攻击行为的发生。企业园区出口位置部署的独立防火墙设备（或核心交换机内置的防火墙模块），需要满足高性能、高可靠、高安全的要求，是企业园区网的第一道安全屏障。

园区内部边界防御是将企业内部划分为多个区域，分为信任区域和非信任区域，分别实施不同的安全策略，包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块（单板）____________________________________________________________________________________________

45 - 26

华为整体网络解决方案

来实现园区内部的边界防御功能。

园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内部，都必须支持灵活的业务流控制策略配置，能把特定的流量引到防火墙进行处理，其他流量进行旁路。

防火墙本身需要保证高可靠性，需要考虑防火墙的冗余设计，支持Active/Active HA 设计方式，即交换机内集成的多块防火墙板卡支持负载分担和主备模式，不同交换机内的防火墙支持Active/Active模式，同时能够处理流量。

3.3.4 园区网出口安全

随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构以及商业合作伙伴逐步增多，如何将这些小型的办公网络和企业总部网络进行经济灵活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企业IT网络设计亟待解决的问题；大量普及的SOHO网络、小型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。

____________________________________________________________________________________________

45 - 27

华为整体网络解决方案

企业园区网出口设备是企业内部网络与外部网络的连接点，其安全保证能力非常重要，企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题，VPN技术是企业传输数据非常理想的选择，因为VPN技术正式是为了解决在不安全的Internet上安全传输机密信息，保证信息的完整性、可用性以及保密性，包括IPSec VPN和SSL VPN。企业办事处、分支机构以及商业合作伙伴如果采用主机VPN客户端接入企业总部网络，那么分之机构网络中的每个主机需要单独拨号接入，VPN接入不可控造成内部网络安全隐患，同时也大量消耗企业总部VPN网关隧道资源；如果采用单独的VPN网关与企业总部网关建立VPN隧道，又面临投资过大的问题。需要有效解决企业分支机构VPN接入灵活性、安全性和经济性之间的矛盾。

3.3.5 无线安全设计

无线局域网（WLAN）具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点。但是由于无线局域网开放访问的特点，使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线局域网发展的最____________________________________________________________________________________________

45 - 28

华为整体网络解决方案

重要因素。园区用户大多容易接受新鲜事物，虽然一方面对无线网络的需求不断增长，但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。

目前有很多种无线局域网的安全技术，包括物理地址（MAC）过滤、服务集标识符（SSID）匹配、有线对等保密（WEP）、端口访问控制技术（IEEE802.1x）、WPA （Wi-Fi Protected Access）、IEEE 802.11i等。面对如此多的安全技术，应该选择哪些技术来解决无线局域网的安全问题，才能满足用户对安全性的要求。

3.3.5.1 无线局域网的安全威胁

利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品，它的安全隐患主要有以下几点：

➢ 未经授权使用网络服务

由于无线局域网的开放式访问方式，非法用户可以未经授权而擅自使用网络资源，不仅会占用宝贵的无线信道资源，增加带宽费用，还会降低合法用户的服务质量。

➢ 地址欺骗和会话拦截

在无线环境中，非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多，这些合法的MAC地址可以被用来进行恶意攻击。

另外，由于IEEE802.11没有对AP身份进行认证，攻击者很容易装扮成合法AP进入网络，并进一步获取合法用户的鉴别身份信息，通过会话拦截实现网____________________________________________________________________________________________

45 - 29

华为整体网络解决方案

络入侵。

➢ 高级入侵

一旦攻击者侵入无线网络，它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后，这样WLAN的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，整个网络就将暴露在非法用户面前。

3.3.5.2 华为无线网络的安全策略

针对目前无线校园网应用中的种种安全隐患，华为的无线局域网产品体系能够提供强有力的安全特性，除了传统无线局域网中的安全策略之外，还能够提供更加精细的管理措施：

➢ 可靠的加密和认证、设备管理

能够支持目前802.11小组所提出的全部加密方式，包括高级WPA 256位加密（AES），40/64位、128位和152位WEP共享密钥加密，WPA TKIP，特有的128位动态安全链路加密，动态会话密钥管理。

802.1x 认证使用802.1x RADIUS认证和MAC地址联合认证，确保只有合法用户和客户端设备才可访问网络。

支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器；通过本地控制台或通过SSH v2或Telnet远程管理的命令行界面；并可通过无线局域网管理系统进行集中管理。

➢ 用户和组安全配置

和传统的无线局域网安全措施一样，华为无线网络可以依靠物理地址____________________________________________________________________________________________

45 - 30

华为整体网络解决方案

（MAC）过滤、服务集标识符（SSID）匹配、访问控制列表（ACL）来提供对无线客户端的初始过滤，只允许指定的无线终端可以连接AP。

同时，传统无线网络也存在它的不足之处。首先，它的安全策略依赖于连接到某个网络位置的设备上的特定端口，对物理端口和设备的依赖是网络工程的基础。例如，子网、ACL 以及服务等级（CoS）在路由器和交换机的端口上定义，需要通过台式机的MAC地址来管理用户的连接。华为采用基于身份的组网功能，可提供增强的用户和组的安全策略，针对特殊要求创建虚拟专用组（Vertual

Private Group），VLAN不再需要通过物理连接或端口来实施，而是根据用户和组名来区分权限。

➢ 非法接入检测和隔离

华为无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP，使管理员能更好地查看网络状况，提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能，通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP，但是网络规模越大就越容易受到攻击。

为了消除这种威胁，可以指定某些AP充当射频“卫士”，其方法是扫描无线局域网来查找非法AP位置，记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源，例如微波炉和无绳电话。

并且，射频监测配合基于用户身份的组网，不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、____________________________________________________________________________________________

45 - 31

华为整体网络解决方案

带宽使用以及其他授权等内容，还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。

➢ 监视和告警

华为无线网络体系提供了实时操作信息，可以快速检测到问题，提高网络的安全性并优化网络，甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计，它提供了配置更改的自动告警功能。向导界面提供了即时提示，从而使得管理员能够快速针对冲突做出更改。

通过使用软件的移动配置文件功能，管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外，位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。

3.4 Quidway® S5700系列交换机

Quidway® S5700系列全千兆企业网交换机（以下简称S5700），是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机。它基于新一代高性能硬件和华为公司统一的VRP®（Versatile Routing Platform）平台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足客户对高密度千兆和万兆上行设备的需求，同时针对企业网用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景，融合了可靠、安全、绿色环保等先进技术，采用简单便利的安装维护手段，帮助客户减轻网络规划、建设和维护的压力，助力企业搭建面向未来的IT网络。

S5700系列以太网交换机为盒式设备，机箱高度为1U，提供标准型（SI）和增强型（EI）两种产品版本。标准型支持二层和基本的三层功能，增强型支持____________________________________________________________________________________________

45 - 32

华为整体网络解决方案

复杂的路由协议和更为丰富的业务特性，包含型号如下：S5700-24TP-SI-AC/DC、S5700-24TP-PWR-SI、S5700-48TP-SI-AC/DC、S5700-48TP-PWR-SI、S5700-28C-SI、S5700-28C-EI、S5700-28C-EI-24S、S5700-28C-PWR-EI、S5700-52C-SI、S5700-52C-EI、S5700-52C-PWR-EI。

产品外观

S5700系列交换机包括如下款型：

产品外观

S5700-24TP-SI/PWR-SI

24个10/100/1000Base-T，4个100/1000Base-X千兆Combo口

分交流供电和直流供电两种机型, 支持RPS 12V冗余电源

支持USB口

24个10/100/1000Base-T，

4个100/1000Base-X千兆Combo口

可插拔双电源，交流供电

支持POE+

____________________________________________________________________________________________

45 - 33

描述

华为整体网络解决方案

支持USB口

S5700-48TP-SI/PWR-SI

48个10/100/1000Base-T，

4个100/1000Base-X千兆Combo口

分交流供电和直流供电两种机型，支持RPS 12V冗余电源

支持USB口

48个10/100/1000Base-T，

4个100/1000Base-X千兆Combo口

交流供电

支持POE+

支持USB口

S5700-28C-SI/EI/EI-24S/PWR-EI

24个10/100/1000Base-T，4个100/1000 Base-X 千兆

Combo口， 上行支持4×1000Base-X SFP、2×10GE SFP____________________________________________________________________________________________

45 - 34

华为整体网络解决方案

＋、4×10GE SFP＋插卡

双电源，可插拔

支持USB口

24个10/100/1000Base-T，上行支持4×1000Base-X SFP、2

×10GE SFP＋、4×10GE SFP＋插卡

双电源，可插拔

24个100/1000Base-X，4个10/100/1000Base-T千兆Combo口，上行支持4×

1000Base-X SFP、2×10GE SFP＋、4×10GE SFP＋插卡，双电源，可插拔

24个10/100/1000Base-T，上行支持4×1000Base-X SFP或者2×10GE SFP＋插卡

可插拔双电源，交流供电，支持POE+

____________________________________________________________________________________________

45 - 35

华为整体网络解决方案

S5700-52C-SI/EI/PWR-EI

48个10/100/1000Base-T，上行支持4×1000Base-X SFP、2×10GE SFP＋、4×10GE SFP＋插

卡

双电源，可插拔，支持USB口

48个10/100/1000Base-T，上行支持4×1000Base-X SFP、 2

×10GE SFP＋或者4×10GE SFP＋插卡，双电源，可插拔

48个10/100/1000Base-T，上行支持4×1000Base-X SFP或者2×10GE SFP＋插卡

可插拔双电源，交流供电，支持POE+

产品特点

1) 强大的多业务支持能力

____________________________________________________________________________________________

45 - 36

华为整体网络解决方案

S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。

S5700支持MCE 功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。

2) 完备的高可靠保护机制

S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质量。此外，针对Smartlink和 RRPP均提供多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。

S5700支持以太Trunk（E-Trunk）功能。在使用E-Trunk之后，CE设备可以通过E-Trunk双归接入到两台PE设备上。从而把链路可靠性从单板级提高到了设备级，大大增强了设备级的可靠性。从而实现了跨设备的链路聚合和链路负载分担功能。极大的提升了接入侧设备的可靠性。

S5700支持智能以太保护SEP（Smart Ethernet Protection），SEP是一种专用于以太网链路层的环网协议。适用于半环组网场景，部署时可独立于上层汇聚设备，并提供50ms的快速业务倒换性能。保证业务的不中断。在华为设备上已经利用SEP协议实现了以太网链路管理。SEP协议简单可靠、倒换性能高、维护方便、拓扑灵活，可以大大方便用户进行网络的管理和规划。

S5700支持双电源冗余供电，也可以交、直流同时输入。用户可灵活选择单电源工作模式或者双电源工作模式，提高了设备可靠性。

____________________________________________________________________________________________

45 - 37

华为整体网络解决方案

S5700 EI系列支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一个备份路由上去，实现上行路由的多级备份。

S5700支持BFD链路快速检测功能，能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制，提高了网络可靠性。S5700遵循IEEE 802.3ah和802.1ag提供点到点以太网故障管理功能，可以用于检测用户侧最后一公里以太网直连链路上的故障。

3) 完备的QoS策略和安全机制

S5700系列交换机可以基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分流功能，支持双向ACL。5700支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRR＋SP、DRR+SP多种队列调度算法，有效地保证了话音、视频和数据等网络业务质量。

S5700系列交换机提供多种安全保护功能。支持DoS（Denial of Service）类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的bpdu/root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC

Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。

S5700支持通过建立和维护DHCP Snooping 绑定表，侦听接入用户的____________________________________________________________________________________________

45 - 38

华为整体网络解决方案

MAC/IP 地址、租用期、VLAN-ID、接口等信息，解决 DHCP 用户的IP 和端口跟踪定位问题。同时，对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址等）直接丢弃，有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP

Server 的合法性。

S5700支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。同时，支持IP Source Check 特性，防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。

S5700支持集中式MAC地址认证和802.1x 认证及NAC功能，支持用户账号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发。

S5700支持基于端口的源MAC地址学习限制功能，有效防止用户源MAC欺骗冲击设备MAC表项，导致正常用户无法学到MAC表而泛洪的问题等。

4) 免维护易部署

S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。

____________________________________________________________________________________________

45 - 39

华为整体网络解决方案

5) POE特性

S5700 PWR系列交换机可以通过配置不同功率等级的POE电源支持PoE（Power Over Ethernet）功能，即可通过网线向远端下挂PD设备（如IP

Phone、WLAN AP、Security、Bluetooth AP等）提供-48V直流电源，实现对下挂PD设备远端供电。作为供电方PSE（Power Sourcing Equipment）设备，支持IEEE802.3af及802.3at (POE+)供电标准，同时兼容不符合802.3af及802.3at标准的PD（Powered Device）设备。其中802.3at单端口供电功率高达30W。POE+功能提升了单端口的最大功率，实现了支持at标准大功率应用的智能化功率管理，有效方便了客户的应用。同时支持绿色PoE节电应用模式。S5700 PWR全系列交换机支持完善的POE解决方案，用户可灵活配置POE端口是否供电以及何时供电。

6) 良好的可扩展性

S5700系列交换机支持智能堆叠 iStack功能，完全即插即用，插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障引起的业务中断时间。支持智能升级，排除用户给堆叠扩容时为新加入交换机更换软件版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展，单一IP管理，大大降低系统扩展以及运维的成本。与传统组网技术相比，在扩展性、可靠性、整体架构等性能方面均具有强大的优势。

7) 简单的可管理特性

S5700支持GVRP实现动态分发、注册和传播VLAN属性，从而达到减少____________________________________________________________________________________________

45 - 40

华为整体网络解决方案

网络管理员的手工配置量及保证VLAN配置正确的目的。GVRP是一种VLAN的动态配置技术，在复杂的组网环境中应用GVRP，能够简化VLAN配置管理，减少因为配置不一致而导致的网络互通问题。

S5700支持MUX VLAN功能。MUX VLAN提供了一种在VLAN的端口间进行二层流量隔离的机制。采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。MUX VLAN通常用于企业内部网，客户端口可以同服务器端口通讯，但客户端口之间不能通讯。用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

8) 丰富的IPv6特性

S5700系列交换机提供双协议栈，可平滑升级。硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道（包括手工Tunnel，6to4 Tunnel，ISATAP Tunnel），三层线速转发。既可以用于纯IPv4或IPv6网络，也可以用于IPv4到IPv6共存的网络，组网方式灵活，充分满足当前网络从IPv4向IPv6过渡的需求。

S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。

S5700支持MCE 功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。

3.5 无线控制器WS6603

WS6603 是华为技术有限公司推出的无线接入控制器，应用城域网和企业____________________________________________________________________________________________

45 - 41

华为整体网络解决方案

网接入，是无线城域网覆盖、热点覆盖等应用环境的理想接入控制器，提供大容量、高性能、高可靠性、易安装、易维护的无线数据控制业务，具有组网灵活、绿色节能等优势。

WS6603 位于整个网络的业务接入层，提供高速、安全、可靠的WLAN 业务。

WS6603 具有以下特点和性能：

 具有灵活的二层和三层数据转发功能。

 支持风扇的冗余备份和热插拔，支持交流、直流均双电源备份和热插拔，保证设备的长时间无故障运行。

 强大的接入容量，最大可管理1024 个AP（Access Point），达到盒式AC（AccessController）设备的业界最高水平。

 提供用户快速漫游切换功能。

 具有CAPWAP（Control And Provisioning of Wireless Access

Points）隧道硬件线速转发功能。

 设备可通过网管U2560、命令行（CLI）进行维护。

 支持以太网OAM（Operation, Administration and Maintenanc）

产品特点

1) 丰富的接口类型

WS6603 提供丰富的接口类型，满足各种应用场景。

____________________________________________________________________________________________

45 - 42

华为整体网络解决方案

2) 高容量、高性能设计

WS6603 提供高容量、高性能的设计方案，满足实际网络的应用需求。

 WS6603 最大可管理1024 个AP，达到业界盒式AC 的最高水平。

 提供WLAN 用户快速漫游切换：

– 支持AC 内IPoE 用户二层快速漫游，用户可经AP 从WS6603 的不同物理口接入。

– 支持AC 内IPoE 用户三层快速漫游，用户可经AP 从WS6603 的不同物理口，或虚接口（用户地址池不同网段）接入。

– 支持AC 内PPPoE 用户二层漫游，用户PPPoE 在BRAS（Broadband

RemoteAccess Server）终结。

– 支持重关联用户的合法检查，拒绝非法用户的重关联请求。

– 支持用户下线后的快速重新上线，用户信息的延时清除。

 背板容量达128G，硬件实现内部数据交换无阻塞。

____________________________________________________________________________________________

45 - 43

华为整体网络解决方案

 CAPWAP 隧道硬件线速转发。

3) 电信级的可靠性设计

 支持基于LACP（Link Aggregation Control Protocol）、MSTP（Multiple SpanningTree Protocol）的端口冗余备份。

 支持交流、直流均双电源备份。

 支持风扇冗余备份。

 支持电源模块热插拔时单电源供电。

 支持风扇热插拔。

4) 易安装、易维护功能

 WS6603 安装简单，维护方便，满足运行商的部署要求。

 WS6603 设备深度为240mm，适合安装在深度为300mm 以内的各种标准机柜里安装。

 电源、风扇框均支持热插拔，维护方便。

 网管U2560 具有丰富的北向接口，并继承了华为网管U2000 的界面，符合运营商使用习惯。

 支持以太网OAM（Operation, Administration and Maintenanc），满足快速定位故障的要求。

 支持环境监控开关量接口和板内温度探测器，实时监控WS6603 运行周围的环境。

____________________________________________________________________________________________

45 - 44

华为整体网络解决方案

____________________________________________________________________________________________

45 - 45

2023年12月16日发(作者：刁初晴)

实用标准

文档 项目编号:

华为网络整体解决方案

华为整体网络解决方案

目 录

1

2

3

概述 ................................................................................................................................................ 4

企业网络建设设计原则 ............................................................................................................... 5

华为产品解决方案 ....................................................................................................................... 7

3.1 整体架构设计 ............................................................................................................... 7

3.1.1

3.1.2

总体网络架构....................................................................................................... 7

有线网络解决方案 .............................................................................................. 8

3.1.2.1 核心层网络设计 .......................................................................................... 9

3.1.2.2 汇聚层网络设计 .......................................................................................... 9

3.1.2.3 接入层网络设计 ........................................................................................ 10

3.1.3

3.1.4

数据中心解决方案 ............................................................................................ 10

无线网络解决方案 ............................................................................................ 11

3.1.4.1 无线网络的建设需求 ................................................................................ 11

3.1.4.2 无线网络解决方案 .................................................................................... 14

3.2 高可靠性设计 ............................................................................................................. 18

3.2.1

3.2.2

网络高可靠性设计 ............................................................................................ 18

设备高可靠性设计 ............................................................................................ 18

3.2.2.1 重要部件冗余 ............................................................................................ 18

____________________________________________________________________________________________

45 - 2

华为整体网络解决方案

3.2.2.2 设备自身安全 ............................................................................................ 19

3.3 安全方案设计 ............................................................................................................. 21

3.3.1

3.3.2

园区网安全方案总体设计 ................................................................................ 21

园区内网安全设计 ............................................................................................ 21

3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击 ............................................ 21

3.3.2.2 防IP/MAC地址扫描攻击 ....................................................................... 23

3.3.2.3 广播/组播报文抑制 .................................................................................. 25

3.3.3

3.3.4

3.3.5

园区网边界防御 ................................................................................................ 26

园区网出口安全 ................................................................................................ 27

无线安全设计..................................................................................................... 28

无线局域网的安全威胁 ........................................................................ 29 3.3.5.1

3.3.5.2 华为无线网络的安全策略 ....................................................................... 30

4 设备介绍 ........................................................................................................ 错误!未定义书签。

4.1

4.2

4.3

4.4

Quidway® S9300系列交换机 ............................................... 错误!未定义书签。

Quidway® S7700系列交换机 ............................................... 错误!未定义书签。

Quidway® S5700系列交换机 ............................................................................. 32

无线控制器WS6603 ................................................................................................ 41

____________________________________________________________________________________________

45 - 3

华为整体网络解决方案

1 概述

企业园区网络承载企业所有IT基础设施和企业所有上层软件应用，对一个企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视，传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中，还是在公司的咖啡厅、待客室，今天的用户都需要方便地获取各种网络服务。

一个典型的企业园区网络通常由楼宇办公网络、数据中心、Internet出口、以将这四部分互联起来的主干网络组成，其中办公网络可分为有线网络和无线网络。在规划与建设一个企业园区网络的时候，这些部分都要充分考虑。

同时，企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问____________________________________________________________________________________________

45 - 4

华为整体网络解决方案

题，如何构建一个保障企业未来5~10年扩展，同时兼顾设备的投资保护的企业园区网络，困扰着每一位企业CIO。

华为企业园区网解决方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性，可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业园区网络。

2 企业网络建设设计原则

在网络建设项目中，我们应该遵循以下设计原则：

1) 合理性、整体性原则

系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的需求是系统建设的首要原则。

 深入调研，全力做好网络与信息系统安全检测、监测和认证的需求分析，这是系统成败的关键；

 充分考虑已有资源（软硬件设备及人员）合理利用，避免出现不必要的浪费；

 系统建设尽可能模拟国内外最常用的几种网络应用模式。

 系统建设要有一定的前瞻性。在网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。

2) 标准化原则

为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管____________________________________________________________________________________________

45 - 5

华为整体网络解决方案

理性，应建立一个开放的、遵循国际标准的网络系统。

 建设的方案要科学、正确、严谨、且现实可行；

 采用的先进技术应是成熟的、经过实践证明是成功的技术；

 选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品

3) 先进性原则

系统建设应充分考虑网络通信技术和互联网技术的发展，建设是循序渐进的，初期重点应在网络基础环境和基本系统上：

 系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境；

 系统实现采用先进的网络技术、网络安全检测技术。

4) 安全可靠性原则

本系统具有特殊性，因此安全保密性非常复杂。系统要有极强的自我保护能力。

 选用具有C2安全级或B1安全级的系统软件平台；

 配置功能齐全、可视化程度高的网管系统，对网络运行情况进行实时监督和控制；

 采取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。

5) 可管理性原则

随着网络规模的扩大和系统复杂程度的增加，网络的管理、监控和维护，以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护，本方案将提供先进而完善的网络管理系统。这样，即方便网络管理员的工作，减轻____________________________________________________________________________________________

45 - 6

华为整体网络解决方案

了劳动强度，也提高了网络系统的管理程度。

6) 灵活、可伸缩性原则

为适应因特网和互联网络技术的发展，系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外，在网络系统的设计过程中，还需要考虑整个网络系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求，又能满足今后整个计算机系统的发展需要。

 应用软件设计要采用结构化和模块设计方法，使系统逻辑结构清晰、易读，在功能的划分和设计时，使各模块尽可能相对独立、减少相关性以易于扩充、维护和修改。

 网络系统要具有异种设备的异种网络的互联互通能力，以达到保护已有资源并能与其他信息系统交流信息的目的。

7) 绿色节能原则

随着数据中心的不断壮大，数据中心的电费不断增长，目前，通信/IT设备节能是降低能耗的基础，采用底能耗的设备是节能减排最主要的途径。

3 华为产品解决方案

3.1 整体架构设计

3.1.1 总体网络架构

整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化____________________________________________________________________________________________

45 - 7

华为整体网络解决方案

的设计方法，组网图如下所示：

网络架构

整个网络的设计方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，通过模块化或者购买单独设备的方式提供WLAN AC控制器，在汇聚层交换机，提供防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。

整个网络的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用TRUNK链路保证链路级可靠性。

3.1.2 有线网络解决方案

整个网络层次建议采用业界成熟的三层架构：接入、汇聚和核心，最后企业____________________________________________________________________________________________

45 - 8

华为整体网络解决方案

园区通过出口层网络设备（路由器或交换机）连接到外网通过。

这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。

3.1.2.1 核心层网络设计

核心层交换机部署在园区核心机房中，汇聚各楼宇/区域之间的用户流量，提供三层交换机功能，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6，可为园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。

所以建议核心层采用双机冗余备份的方式构造，消除单点故障，设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G链路互联，达到高带宽、高转发性能的效果。

本次建议采用华为的S9300高性能交换机构造核心层，实现高性能的骨干网络。华为S9300支持大容量、高转发性能，完全能够满足各网络的数据转发。

3.1.2.2 汇聚层网络设计

汇聚层交换机的重要性也是比较高的，一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为园区网的网关，终结园区网用户的二层流量，进行三层转发。当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关，能够承载校园园区融合业务的需求。

根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡器、____________________________________________________________________________________________

45 - 9

华为整体网络解决方案

WLAN AC控制器）或者旁挂独立的增值业务设备（如WLAN 盒式AC等），为园区网用户提供增值业务。

汇聚层与核心层共同组建成骨干网络，所以汇聚设备的性能要求也是比较高的，建议采用10G的链路互联，达到万兆骨干网络。

汇聚交换机需要提供高密度的GE接口，汇聚接入交换机的流量，通过10GE接口接到核心交换机，推荐使用S9300系列交换机作为园区汇聚层交换机。

3.1.2.3 接入层网络设计

接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（PC机或服务器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机）。

提供网络的第一级接入功能，一般完成简单的二层交换，安全、Qos都位于这一层。对于园区网的接入层设备，建议采用千兆二层接入的方式，应该具有线速二层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。

3.1.3 数据中心解决方案

数据中心的设计目标是实现高冗余、高带宽、高安全性、高可靠性等目的。数据中心内的网络设备主要是：核心交换机、核心防火墙、核心路由器、负载均衡设备。

核心交换机的主要功能是连接服务器，因此必须考虑企业未来的业务增长，核心交换机必须具有很好的扩展性，随着以后网络的扩展，必须具有多个插槽，以便以后网络扩展的时候能够增加网络模块。由于核心交换机在整个网络中具有十分重要的地位，因此核心交换机必须具有电信级的可靠性和稳定性，核心网络____________________________________________________________________________________________

45 - 10

华为整体网络解决方案

对数据的快速转发速度要求很高，因此核心交换机需要具备高容量的交换带宽和包转发速率。我们建议采用华为的S7700系列高性能交换机，采用双机双电源。可实现万兆或者千兆接入，实现数据中心高转发性能的效果。并且可以通进扩展防火墙模块等方面，实现数据中心的安全。

3.1.4 无线网络解决方案

随着以太网的广泛应用，因特网的日益普及，以及移动终端的不断增加，人们对移动IP接入的需求迅速增长。无线局域网WLAN(Wireless Local Area

Network )作为有线以太网的延伸，一定程度上满足了这种需求。

由于无线网络的部署灵活性高，所以受到很多用户的青睐，整个无线网络，WLAN 解决方案可以运行在现有的有线企业网络的基础上，也可以采用一个独立的网络。它为园区提供了具有部署方便性、安全性、可扩展性的无线网络，让用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务。

我们建议采用华为的无线解决方案，在核心网络中部署一套无线控制器，无线AP接入到接入层交换机上，各无线AP通过无线控制器统一管理。从而实现易维护、易管理。

3.1.4.1 无线网络的建设需求

在无线网络建设中，为了解决大规模部署情况下的统一配置、调整问题，以及射频的智能管理问题，现在无线网络建设普遍都采用了瘦AP建网模式。瘦AP的另一个好处是实现了三层漫游环境下避免重新认证，从而使漫游切换时间小于50ms。这对于企业的移动业务，尤其是对切换时间要求最苛刻的语音业务意义重大。

____________________________________________________________________________________________

45 - 11

华为整体网络解决方案

然而，随着无线网络的发展，一些新的需求也逐渐变得越来越强烈。主要有以下几个方面：

稳定问题：

由于WLAN网络的组网设计包含无线控制器、接入交换机、无线接入点等大量设备，在大部分情况下，还需要通过以太网解决供电问题，所有这些环节都会影响校园无线网络的稳定性；同时由于无线信号的传播深受环境影响，多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象，实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以如何实时根据环境动态调整无线接入点的信道、发射功率等也是经常困扰无线校园管理人员的难题。

安全问题：

由于无线网络的特殊性，园区无线用户的安全问题就更加突出。对无线网络的用户来说，所有有线网络存在的安全威胁和隐患都同样存在。同时，任何不可____________________________________________________________________________________________

45 - 12

华为整体网络解决方案

信的无线设备可以在信号覆盖范围内进行网络接入的尝试，一定程度上也加剧了无线用户所面临的安全隐患。

无线网络的安全问题已经不再是单一的物理层安全，也包括了用户接入安全、网络层安全、设备安全、安全管理等多个层面上，如何能使企业无线用户在使用网络时能够像使用有线网络一样安全、可靠，正逐渐成为无线企业网络建设所关注的核心。

管理问题：

相对于FAT AP来说，虽然FIT AP解决方案帮助网区管理人员实现了无线网络的灵活安装与应用，但管理无线网络却仍然是一项非常耗时且麻烦的事情。在无线园区网络环境中尤为如此。

传统的FIT AP解决方案由无线控制器（AC）及无线接入点（FIT AP）构成，虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能，但是与有线网络难于统一，无法在整个企业范围内实现用户管理及认证、服务质量控制和安全策略实施等。因此，通常引入无线网络会降低安全性，整个网络管理起来比较复杂，并且维护成本也比预期高。把网络作为一个整体，整合有线和无线网络，实现统一的网络控制和管理，对于企业来说具有重要的意义。

扩展问题：

WLAN技术的发展日新月异，新技术、新标准层出不穷，除了呼之欲出的802.11n，在教育行业一个重要的门槛技术是IPv6。所有的无线产品和解决方案都要为未来的升级和应用做好准备。

____________________________________________________________________________________________

45 - 13

华为整体网络解决方案

应用问题：

随着WLAN技术的逐步成熟，市场上各种各样的WLAN终端如笔记本电脑、PDA、双模手机、支持Wi-Fi的游戏机、即拍即传的数码相机如雨后春笋般涌现出来，同时价格越来越低，普及程度越来越高，使得无线新业务在园区网中的丰富应用成为可能。如何在无线网络这个开放的平台上开展丰富的业务是建设者必须要考虑的问题。例如VoWiFi、无线监控等业务，解决了园区内部和各园区之间通讯费用高、无线监控和无线多媒体教学的问题，让无线接入变得更有价值。

3.1.4.2 无线网络解决方案

管理中心

室内型热点无线覆盖

无线交换机 无线管理中心

运营管理中心

室外型热点无线覆盖

园区有线骨干网

PoE供电接入

办公楼

无线业务应用

职工公寓

移动数据业务

Wi-Fi语音漫游

华为无线网络解决方案有效实现了有线和无线网络的融合，通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，为园区用户提供安____________________________________________________________________________________________

45 - 14

华为整体网络解决方案

全的无线接入。根据用户需求，通过在华为系列交换机中加入无线控制器插卡或者使用单独的无线控制器，就可为原有的有线网络提供无线支持，还可以像扩展和管理传统有线网络一样，对无线网络进行扩展和管理。

可以收到无线信号的地方立即访问各种网络服务。

➢ 安全性、高QoS保障

华为园区网络WLAN解决方案从用户接入安全、网络安全、设备安全等多个方面保障无线网络的安全，使园区用户安全可靠的使用WLAN网络。

用户接入安全：华为园区WLAN解决方案提供了多样化的用户接入认证以及加密解决方案。无线接入认证主要支持基于MAC地址认证、802.1x认证、Portal认证等保证用户安全合法的接入，支持WEP/TRIP/CCMP等加密措施防范无线接入用户数据被盗。同时可以通过部署VLAN隔离、端口隔离等业务隔离技术避免用户间相互影响。

网络安全：通过接入点对RF 环境的不间断扫描和监控，防止企业受到未经授权的不安全的WLAN 接入点或恶意接入点的影响。

设备安全：无线接入点AP提供“零配置”功能，无需在设备保存业务配置，仅启动的时候自动从无线控制器加载业务配置，这样可以避免设备丢失造成配置泄漏而形成对无线网络的安全威胁。

园区WLAN解决方案可以通过虚拟AP&VLAN构建一个单独的访客网络为客户、供应商等访客人士提供互联网服务访问权限。

对于不同SSID承载的用户业务，由于无线空口资源有限，若某个SSID流量过大，比如访客访问Internet，则可能造成园区用户的不能正常访问无线网络开展业务。因此基于SSID的限速，可以避免其中一种业务流量过大对其他业务____________________________________________________________________________________________

45 - 15

华为整体网络解决方案

造成影响。

另外，基于快速漫游技术可以实现园区无线用户一次认证移动接入。用户移动到新的接入点时，如果用户之前已经认证过，则用户此时无需再次通过安全认证，直接接入，保证用户业务的连续性。

➢ 部署方便、扩展灵活

WLAN网络部署简化，安装便捷。WLAN的安装工作简单，它无需施工许可证，不需要布线或开沟挖槽。设备的零配置部署功能可以在无线改造现有网络的基础上轻松部署WLAN。

无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点。随着无线网络的扩展，新添加的无线接入点能自动检测到无线控制器，并下载相应的配置信息以及策略信息，无需任何手动操作。

➢ 统一的网络管理、智能运维

统一的网络管理设备可以实现有线无线网络的统一化管理，简易网络管理操作，结合智能化的网络运维提升了网络管理效率。

无线接入点能够监控环境温度变化，当环境温度低于零下10℃时，启动加热板，确保低温时的正常工作。而且无线接入点检测到电压将要无法供应的情况下（复位或故障），上报该告警，描述最后的工作状态，方便故障定位。

➢ 稳定性

华为 WLAN稳定性解决方案从无线控制器的可靠性，接入交换机供电的可靠性、无线信号的可靠性这几方面入手，极大的提高了WLAN网络的可靠性；在实际的使用情况来看，启用这些措施之后，WLAN的可靠性能够得到明显的____________________________________________________________________________________________

45 - 16

华为整体网络解决方案

提升。

➢ 全面的PoE解决方案

PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输数据的同时传输直流电。因为AP往往要求使用不间断电源（UPS）供应电力，采用PoE设备，AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据和电力，因此在使用PoE设备的情况下，所有的AP都使用一个UPS在PoE设备端进行保护。如果不使用PoE设备，就需要给每个AP配一个UPS，而且还需要在AP附近安装电源插座，增加了成本。因此使用PoE设备将大大降低设备成本和管理成本。

PoE具有非常明显的优势，具体如下：

简化安装，降低成本，不需为每个网络设备单独提供数据和电力线缆。

灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源输出口。

可靠性增强，有SNMP能力的PoE装置，可实施远程检测和控制，能有效地处理或修理装置的耗电量和（或）失效故障。

____________________________________________________________________________________________

45 - 17

华为整体网络解决方案

3.2 高可靠性设计

3.2.1 网络高可靠性设计

针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。

接入层网络是二层网络，接入交换机与汇聚交换机之间通过Smart

Link/STP/RSTP/MSTP/RRPP保证网络可靠性，同时解决二层网络环路问题；汇聚层交换机之间通过VRRP（BFD for VRRP）协议确定用户的主备网关，交换机互联通过TRUNK链路，保证链路级可靠性，汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障（单通故障）。

园区网接入/汇聚/核心交换机通过虚拟化技术进行集群（或堆叠），将两台/多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时，提高网络可靠性，是未来高可靠性园区网的发展趋势。

3.2.2 设备高可靠性设计

3.2.2.1 重要部件冗余

设备本身要具有电信级5个9的可靠性，需要网络设备支持:

➢ 主控1:1备份

➢ 交换网1+1/1:1两种方式

➢ DC电源1+1备份；AC电源1+1/2+2备份

➢ 模块化的风扇设计，高端配置支持单风扇失效

____________________________________________________________________________________________

45 - 18

华为整体网络解决方案

➢ 无源背板，高可靠性

➢ 独立的设备监控单元，和主控解耦

➢ 所有模块热插拔

➢ 完善的各种告警功能

➢ 设备管理1:1备份

3.2.2.2 设备自身安全

如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大。

这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。

华为公司全系列园区网交换机（S9300/S7700/S5700/S3700/S2700）提供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。

____________________________________________________________________________________________

45 - 19

华为整体网络解决方案

华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN

FLOOD攻击等。

另外，以太网交换机的MAC地址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者通过不停的发送MAC地址来刷新，填充交换机的MAC地址表，由于MAC地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流量。

华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描，并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击（SAI/DAI功能）。

华为全系列交换机支持黑洞MAC功能，园区交换机收到报文时比较报文目的MAC地址，若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞MAC，从而将具有该MAC地址的报文过滤掉，避免遭受攻击。

____________________________________________________________________________________________

45 - 20

华为整体网络解决方案

3.3 安全方案设计

3.3.1 园区网安全方案总体设计

从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御，对企业内部进行安全区域划分、隔离和权限控制，对企业外部用户访问进行安全控制、数据加密，防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。

3.3.2 园区内网安全设计

3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击

1) 防IP/MAC地址盗用

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP

Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域____________________________________________________________________________________________

45 - 21

华为整体网络解决方案

的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，DHCP Snooping绑定表可以基于DHCP过程动态生成，也可以通过静态配置生成，此时需预先准备用户的IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。

园区交换机开启DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

2) 防ARP中间人攻击

____________________________________________________________________________________________

45 - 22

华为整体网络解决方案

Dynamic ARP Inspection (DAI)在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定， 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景，可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表，不能匹配则认为是仿冒网关回应的ARP响应报文，予以丢弃，从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。

3.3.2.2 防IP/MAC地址扫描攻击

1) 防IP扫描攻击

____________________________________________________________________________________________

45 - 23

华为整体网络解决方案

地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，触发ARP miss，使网络设备给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可引起网络中断。

园区交换机支持IP地址扫描攻击的防护能力，收到目的IP是直连网段的报文时，如果该目的地址的路由不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项（弃后续所有目的地址为该直连网段的ARP报文），以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的路由表项；否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。

在上述基础上，交换机还支持基于接口设置ARP miss的速率。当接口上触发的ARP miss超过设置的阈值时，接口上的ARP miss不再处理，直接丢弃。

如果用户使用相同的源IP进行地址扫描攻击，交换机还可以基于源IP做ARP miss统计。如果ARP miss的速率超过设定的阈值，则下发ACL将带有此源IP的报文进行丢弃，过一段时间后再允许通过。

2) 防MAC地址扫描攻击

以太网交换机的MAC地址转发表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文，园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项，由于MAC地址转发表____________________________________________________________________________________________

45 - 24

华为整体网络解决方案

的规格有限，会因为MAC扫描攻击而很快填充满，无法再学习生成新的MAC转发表，已学习的MAC表条目需通过老化方式删除，这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送，导致园区网络中产生大量的二层广播报文，消耗网络带宽、引发网络业务中断异常。

交换机二层MAC转发表是全局共享资源，单板内各端口/VLAN共享一份MAC转发表，华为园区交换机支持基于端口/VLAN的MAC学习数目限制，同时支持MAC表学习速率限制，有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时，会进行丢弃/转发/告警等动作（动作策略可定制、可叠加）。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。

3.3.2.3 广播/组播报文抑制

攻击者不停地向园区网发送大量恶意的广播报文，恶意广播报文占据了大量的带宽，传统的广播风暴抑制无法识别用户VLAN，将导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的VLAN ID，通过基于VLAN的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。

同时园区网交换机支持组播报文抑制，可基于端口限制组播报文流量百分比或速率阈值。

____________________________________________________________________________________________

45 - 25

华为整体网络解决方案

3.3.3 园区网边界防御

企业园区网边界防御分为两个部分：园区出口边界防御、园区内部边界防御。

园区出口连接Internet和企业WAN网的接入，企业外部网路尤其Internet网络，是各种攻击行为、病毒传播、安全事件引入的风险点，通过在企业出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块，可以很好的缓解风险的传播，阻挡来自Internet/企业外部网络攻击行为的发生。企业园区出口位置部署的独立防火墙设备（或核心交换机内置的防火墙模块），需要满足高性能、高可靠、高安全的要求，是企业园区网的第一道安全屏障。

园区内部边界防御是将企业内部划分为多个区域，分为信任区域和非信任区域，分别实施不同的安全策略，包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块（单板）____________________________________________________________________________________________

45 - 26

华为整体网络解决方案

来实现园区内部的边界防御功能。

园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内部，都必须支持灵活的业务流控制策略配置，能把特定的流量引到防火墙进行处理，其他流量进行旁路。

防火墙本身需要保证高可靠性，需要考虑防火墙的冗余设计，支持Active/Active HA 设计方式，即交换机内集成的多块防火墙板卡支持负载分担和主备模式，不同交换机内的防火墙支持Active/Active模式，同时能够处理流量。

3.3.4 园区网出口安全

随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构以及商业合作伙伴逐步增多，如何将这些小型的办公网络和企业总部网络进行经济灵活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企业IT网络设计亟待解决的问题；大量普及的SOHO网络、小型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。

____________________________________________________________________________________________

45 - 27

华为整体网络解决方案

企业园区网出口设备是企业内部网络与外部网络的连接点，其安全保证能力非常重要，企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题，VPN技术是企业传输数据非常理想的选择，因为VPN技术正式是为了解决在不安全的Internet上安全传输机密信息，保证信息的完整性、可用性以及保密性，包括IPSec VPN和SSL VPN。企业办事处、分支机构以及商业合作伙伴如果采用主机VPN客户端接入企业总部网络，那么分之机构网络中的每个主机需要单独拨号接入，VPN接入不可控造成内部网络安全隐患，同时也大量消耗企业总部VPN网关隧道资源；如果采用单独的VPN网关与企业总部网关建立VPN隧道，又面临投资过大的问题。需要有效解决企业分支机构VPN接入灵活性、安全性和经济性之间的矛盾。

3.3.5 无线安全设计

无线局域网（WLAN）具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点。但是由于无线局域网开放访问的特点，使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线局域网发展的最____________________________________________________________________________________________

45 - 28

华为整体网络解决方案

重要因素。园区用户大多容易接受新鲜事物，虽然一方面对无线网络的需求不断增长，但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。

目前有很多种无线局域网的安全技术，包括物理地址（MAC）过滤、服务集标识符（SSID）匹配、有线对等保密（WEP）、端口访问控制技术（IEEE802.1x）、WPA （Wi-Fi Protected Access）、IEEE 802.11i等。面对如此多的安全技术，应该选择哪些技术来解决无线局域网的安全问题，才能满足用户对安全性的要求。

3.3.5.1 无线局域网的安全威胁

利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品，它的安全隐患主要有以下几点：

➢ 未经授权使用网络服务

由于无线局域网的开放式访问方式，非法用户可以未经授权而擅自使用网络资源，不仅会占用宝贵的无线信道资源，增加带宽费用，还会降低合法用户的服务质量。

➢ 地址欺骗和会话拦截

在无线环境中，非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多，这些合法的MAC地址可以被用来进行恶意攻击。

另外，由于IEEE802.11没有对AP身份进行认证，攻击者很容易装扮成合法AP进入网络，并进一步获取合法用户的鉴别身份信息，通过会话拦截实现网____________________________________________________________________________________________

45 - 29

华为整体网络解决方案

络入侵。

➢ 高级入侵

一旦攻击者侵入无线网络，它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后，这样WLAN的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，整个网络就将暴露在非法用户面前。

3.3.5.2 华为无线网络的安全策略

针对目前无线校园网应用中的种种安全隐患，华为的无线局域网产品体系能够提供强有力的安全特性，除了传统无线局域网中的安全策略之外，还能够提供更加精细的管理措施：

➢ 可靠的加密和认证、设备管理

能够支持目前802.11小组所提出的全部加密方式，包括高级WPA 256位加密（AES），40/64位、128位和152位WEP共享密钥加密，WPA TKIP，特有的128位动态安全链路加密，动态会话密钥管理。

802.1x 认证使用802.1x RADIUS认证和MAC地址联合认证，确保只有合法用户和客户端设备才可访问网络。

支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器；通过本地控制台或通过SSH v2或Telnet远程管理的命令行界面；并可通过无线局域网管理系统进行集中管理。

➢ 用户和组安全配置

和传统的无线局域网安全措施一样，华为无线网络可以依靠物理地址____________________________________________________________________________________________

45 - 30

华为整体网络解决方案

（MAC）过滤、服务集标识符（SSID）匹配、访问控制列表（ACL）来提供对无线客户端的初始过滤，只允许指定的无线终端可以连接AP。

同时，传统无线网络也存在它的不足之处。首先，它的安全策略依赖于连接到某个网络位置的设备上的特定端口，对物理端口和设备的依赖是网络工程的基础。例如，子网、ACL 以及服务等级（CoS）在路由器和交换机的端口上定义，需要通过台式机的MAC地址来管理用户的连接。华为采用基于身份的组网功能，可提供增强的用户和组的安全策略，针对特殊要求创建虚拟专用组（Vertual

Private Group），VLAN不再需要通过物理连接或端口来实施，而是根据用户和组名来区分权限。

➢ 非法接入检测和隔离

华为无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP，使管理员能更好地查看网络状况，提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能，通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP，但是网络规模越大就越容易受到攻击。

为了消除这种威胁，可以指定某些AP充当射频“卫士”，其方法是扫描无线局域网来查找非法AP位置，记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源，例如微波炉和无绳电话。

并且，射频监测配合基于用户身份的组网，不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、____________________________________________________________________________________________

45 - 31

华为整体网络解决方案

带宽使用以及其他授权等内容，还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。

➢ 监视和告警

华为无线网络体系提供了实时操作信息，可以快速检测到问题，提高网络的安全性并优化网络，甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计，它提供了配置更改的自动告警功能。向导界面提供了即时提示，从而使得管理员能够快速针对冲突做出更改。

通过使用软件的移动配置文件功能，管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外，位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。

3.4 Quidway® S5700系列交换机

Quidway® S5700系列全千兆企业网交换机（以下简称S5700），是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机。它基于新一代高性能硬件和华为公司统一的VRP®（Versatile Routing Platform）平台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足客户对高密度千兆和万兆上行设备的需求，同时针对企业网用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景，融合了可靠、安全、绿色环保等先进技术，采用简单便利的安装维护手段，帮助客户减轻网络规划、建设和维护的压力，助力企业搭建面向未来的IT网络。

S5700系列以太网交换机为盒式设备，机箱高度为1U，提供标准型（SI）和增强型（EI）两种产品版本。标准型支持二层和基本的三层功能，增强型支持____________________________________________________________________________________________

45 - 32

华为整体网络解决方案

复杂的路由协议和更为丰富的业务特性，包含型号如下：S5700-24TP-SI-AC/DC、S5700-24TP-PWR-SI、S5700-48TP-SI-AC/DC、S5700-48TP-PWR-SI、S5700-28C-SI、S5700-28C-EI、S5700-28C-EI-24S、S5700-28C-PWR-EI、S5700-52C-SI、S5700-52C-EI、S5700-52C-PWR-EI。

产品外观

S5700系列交换机包括如下款型：

产品外观

S5700-24TP-SI/PWR-SI

24个10/100/1000Base-T，4个100/1000Base-X千兆Combo口

分交流供电和直流供电两种机型, 支持RPS 12V冗余电源

支持USB口

24个10/100/1000Base-T，

4个100/1000Base-X千兆Combo口

可插拔双电源，交流供电

支持POE+

____________________________________________________________________________________________

45 - 33

描述

华为整体网络解决方案

支持USB口

S5700-48TP-SI/PWR-SI

48个10/100/1000Base-T，

4个100/1000Base-X千兆Combo口

分交流供电和直流供电两种机型，支持RPS 12V冗余电源

支持USB口

48个10/100/1000Base-T，

4个100/1000Base-X千兆Combo口

交流供电

支持POE+

支持USB口

S5700-28C-SI/EI/EI-24S/PWR-EI

24个10/100/1000Base-T，4个100/1000 Base-X 千兆

Combo口， 上行支持4×1000Base-X SFP、2×10GE SFP____________________________________________________________________________________________

45 - 34

华为整体网络解决方案

＋、4×10GE SFP＋插卡

双电源，可插拔

支持USB口

24个10/100/1000Base-T，上行支持4×1000Base-X SFP、2

×10GE SFP＋、4×10GE SFP＋插卡

双电源，可插拔

24个100/1000Base-X，4个10/100/1000Base-T千兆Combo口，上行支持4×

1000Base-X SFP、2×10GE SFP＋、4×10GE SFP＋插卡，双电源，可插拔

24个10/100/1000Base-T，上行支持4×1000Base-X SFP或者2×10GE SFP＋插卡

可插拔双电源，交流供电，支持POE+

____________________________________________________________________________________________

45 - 35

华为整体网络解决方案

S5700-52C-SI/EI/PWR-EI

48个10/100/1000Base-T，上行支持4×1000Base-X SFP、2×10GE SFP＋、4×10GE SFP＋插

卡

双电源，可插拔，支持USB口

48个10/100/1000Base-T，上行支持4×1000Base-X SFP、 2

×10GE SFP＋或者4×10GE SFP＋插卡，双电源，可插拔

48个10/100/1000Base-T，上行支持4×1000Base-X SFP或者2×10GE SFP＋插卡

可插拔双电源，交流供电，支持POE+

产品特点

1) 强大的多业务支持能力

____________________________________________________________________________________________

45 - 36

华为整体网络解决方案

S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。

S5700支持MCE 功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。

2) 完备的高可靠保护机制

S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质量。此外，针对Smartlink和 RRPP均提供多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。

S5700支持以太Trunk（E-Trunk）功能。在使用E-Trunk之后，CE设备可以通过E-Trunk双归接入到两台PE设备上。从而把链路可靠性从单板级提高到了设备级，大大增强了设备级的可靠性。从而实现了跨设备的链路聚合和链路负载分担功能。极大的提升了接入侧设备的可靠性。

S5700支持智能以太保护SEP（Smart Ethernet Protection），SEP是一种专用于以太网链路层的环网协议。适用于半环组网场景，部署时可独立于上层汇聚设备，并提供50ms的快速业务倒换性能。保证业务的不中断。在华为设备上已经利用SEP协议实现了以太网链路管理。SEP协议简单可靠、倒换性能高、维护方便、拓扑灵活，可以大大方便用户进行网络的管理和规划。

S5700支持双电源冗余供电，也可以交、直流同时输入。用户可灵活选择单电源工作模式或者双电源工作模式，提高了设备可靠性。

____________________________________________________________________________________________

45 - 37

华为整体网络解决方案

S5700 EI系列支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一个备份路由上去，实现上行路由的多级备份。

S5700支持BFD链路快速检测功能，能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制，提高了网络可靠性。S5700遵循IEEE 802.3ah和802.1ag提供点到点以太网故障管理功能，可以用于检测用户侧最后一公里以太网直连链路上的故障。

3) 完备的QoS策略和安全机制

S5700系列交换机可以基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分流功能，支持双向ACL。5700支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRR＋SP、DRR+SP多种队列调度算法，有效地保证了话音、视频和数据等网络业务质量。

S5700系列交换机提供多种安全保护功能。支持DoS（Denial of Service）类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的bpdu/root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC

Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。

S5700支持通过建立和维护DHCP Snooping 绑定表，侦听接入用户的____________________________________________________________________________________________

45 - 38

华为整体网络解决方案

MAC/IP 地址、租用期、VLAN-ID、接口等信息，解决 DHCP 用户的IP 和端口跟踪定位问题。同时，对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址等）直接丢弃，有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP

Server 的合法性。

S5700支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。同时，支持IP Source Check 特性，防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。

S5700支持集中式MAC地址认证和802.1x 认证及NAC功能，支持用户账号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发。

S5700支持基于端口的源MAC地址学习限制功能，有效防止用户源MAC欺骗冲击设备MAC表项，导致正常用户无法学到MAC表而泛洪的问题等。

4) 免维护易部署

S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。

____________________________________________________________________________________________

45 - 39

华为整体网络解决方案

5) POE特性

S5700 PWR系列交换机可以通过配置不同功率等级的POE电源支持PoE（Power Over Ethernet）功能，即可通过网线向远端下挂PD设备（如IP

Phone、WLAN AP、Security、Bluetooth AP等）提供-48V直流电源，实现对下挂PD设备远端供电。作为供电方PSE（Power Sourcing Equipment）设备，支持IEEE802.3af及802.3at (POE+)供电标准，同时兼容不符合802.3af及802.3at标准的PD（Powered Device）设备。其中802.3at单端口供电功率高达30W。POE+功能提升了单端口的最大功率，实现了支持at标准大功率应用的智能化功率管理，有效方便了客户的应用。同时支持绿色PoE节电应用模式。S5700 PWR全系列交换机支持完善的POE解决方案，用户可灵活配置POE端口是否供电以及何时供电。

6) 良好的可扩展性

S5700系列交换机支持智能堆叠 iStack功能，完全即插即用，插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障引起的业务中断时间。支持智能升级，排除用户给堆叠扩容时为新加入交换机更换软件版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展，单一IP管理，大大降低系统扩展以及运维的成本。与传统组网技术相比，在扩展性、可靠性、整体架构等性能方面均具有强大的优势。

7) 简单的可管理特性

S5700支持GVRP实现动态分发、注册和传播VLAN属性，从而达到减少____________________________________________________________________________________________

45 - 40

华为整体网络解决方案

网络管理员的手工配置量及保证VLAN配置正确的目的。GVRP是一种VLAN的动态配置技术，在复杂的组网环境中应用GVRP，能够简化VLAN配置管理，减少因为配置不一致而导致的网络互通问题。

S5700支持MUX VLAN功能。MUX VLAN提供了一种在VLAN的端口间进行二层流量隔离的机制。采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。MUX VLAN通常用于企业内部网，客户端口可以同服务器端口通讯，但客户端口之间不能通讯。用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

8) 丰富的IPv6特性

S5700系列交换机提供双协议栈，可平滑升级。硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道（包括手工Tunnel，6to4 Tunnel，ISATAP Tunnel），三层线速转发。既可以用于纯IPv4或IPv6网络，也可以用于IPv4到IPv6共存的网络，组网方式灵活，充分满足当前网络从IPv4向IPv6过渡的需求。

S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。

S5700支持MCE 功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。

3.5 无线控制器WS6603

WS6603 是华为技术有限公司推出的无线接入控制器，应用城域网和企业____________________________________________________________________________________________

45 - 41

华为整体网络解决方案

网接入，是无线城域网覆盖、热点覆盖等应用环境的理想接入控制器，提供大容量、高性能、高可靠性、易安装、易维护的无线数据控制业务，具有组网灵活、绿色节能等优势。

WS6603 位于整个网络的业务接入层，提供高速、安全、可靠的WLAN 业务。

WS6603 具有以下特点和性能：

 具有灵活的二层和三层数据转发功能。

 支持风扇的冗余备份和热插拔，支持交流、直流均双电源备份和热插拔，保证设备的长时间无故障运行。

 强大的接入容量，最大可管理1024 个AP（Access Point），达到盒式AC（AccessController）设备的业界最高水平。

 提供用户快速漫游切换功能。

 具有CAPWAP（Control And Provisioning of Wireless Access

Points）隧道硬件线速转发功能。

 设备可通过网管U2560、命令行（CLI）进行维护。

 支持以太网OAM（Operation, Administration and Maintenanc）

产品特点

1) 丰富的接口类型

WS6603 提供丰富的接口类型，满足各种应用场景。

____________________________________________________________________________________________

45 - 42

华为整体网络解决方案

2) 高容量、高性能设计

WS6603 提供高容量、高性能的设计方案，满足实际网络的应用需求。

 WS6603 最大可管理1024 个AP，达到业界盒式AC 的最高水平。

 提供WLAN 用户快速漫游切换：

– 支持AC 内IPoE 用户二层快速漫游，用户可经AP 从WS6603 的不同物理口接入。

– 支持AC 内IPoE 用户三层快速漫游，用户可经AP 从WS6603 的不同物理口，或虚接口（用户地址池不同网段）接入。

– 支持AC 内PPPoE 用户二层漫游，用户PPPoE 在BRAS（Broadband

RemoteAccess Server）终结。

– 支持重关联用户的合法检查，拒绝非法用户的重关联请求。

– 支持用户下线后的快速重新上线，用户信息的延时清除。

 背板容量达128G，硬件实现内部数据交换无阻塞。

____________________________________________________________________________________________

45 - 43

华为整体网络解决方案

 CAPWAP 隧道硬件线速转发。

3) 电信级的可靠性设计

 支持基于LACP（Link Aggregation Control Protocol）、MSTP（Multiple SpanningTree Protocol）的端口冗余备份。

 支持交流、直流均双电源备份。

 支持风扇冗余备份。

 支持电源模块热插拔时单电源供电。

 支持风扇热插拔。

4) 易安装、易维护功能

 WS6603 安装简单，维护方便，满足运行商的部署要求。

 WS6603 设备深度为240mm，适合安装在深度为300mm 以内的各种标准机柜里安装。

 电源、风扇框均支持热插拔，维护方便。

 网管U2560 具有丰富的北向接口，并继承了华为网管U2000 的界面，符合运营商使用习惯。

 支持以太网OAM（Operation, Administration and Maintenanc），满足快速定位故障的要求。

 支持环境监控开关量接口和板内温度探测器，实时监控WS6603 运行周围的环境。

____________________________________________________________________________________________

45 - 44

华为整体网络解决方案

____________________________________________________________________________________________

45 - 45