《H3C网络实施方案.docx》由会员分享,可在线阅读,更多相关《H3C网络实施方案.docx(14页珍藏版)》请在三一办公上搜索。
1、杭州华三通信技术有限公司2015年3月H3C 网络实施方案标识:文档类别管理文档 技术文档 R 验收文档 培训文档 运维文档 其它文档 文档编号HR-2015-03-15文档密级受控主送对象抄送对象编写人审核人修订记录:修订记录日期修改人审阅人摘要*2015-03-15李庆初稿完成保存期限2年生效日期目录第一章 项目概述3* 项目目标3第二章 方案设计3*网络拓扑3*新建网络优势3*设备列表4*设备参数4* H3C Secpath F100-E-G4* H3C S3600V2-28P-SI交换机7* H3C S1048以太网交换机10第三章 实施流程12*实施流程图12*方案实施12*检验13
2、第一章 项目概述该项目校园多媒体网络建设的一项基础工程,旨在提高校园的信息化水平和智能管理决策水平,增强校园信息化教学建设。服务于校园多媒体网络,承载多媒体教育与教师办公业务。1.1 项目目标该项目的建设目标是:在统筹考虑现有业务需求和发展的基础上,兼顾远期发展目标,构建一个高效、便捷、安全可靠的网络。第二章 方案设计*网络拓扑1.2*新建网络优势1.3 新建网络有如下优点:1. 结构整齐,层次清晰,便于管理。2. 维护简单,移动性强,扩展性好。3. 满足教室教学、办公等上网需求。*设备列表1.4 设备型号数量(台)防火墙H3C Secpath F100-E-G1汇聚交换机LS-3600V2-
3、28TP-SI1接入交换机SOHO-S1048-CN10*设备参数* H3C Secpath F100-E-G1.5 H3C SecPath F100-E-G是H3C公司推出的新一代防火墙产品,能够满足中小企业不断变化的网络环境和日益丰富网络应用的需要。SecPath F100-E-G继承H3C一贯的高性能、高可靠硬件平台,能够为用户提供线速、稳定的应用体验。SecPath F100-E-G不但可以提供传统的基础安全功能,如状态检测、NAT、VPN、链路负载均衡等;同时通过统一的软件平台和处理引擎,SecPath F100-E-G有效整合防火墙、入侵防御、应用层流量识别与控制、防病毒功能,为用
4、户提供一体化的应用安全防护。市场领先的基础安全防护全面的基础安全防护:提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、地址扫描和端口扫描等多种恶意攻击丰富的VPN特性:支持L2TP VPN、GRE VPN、IPSecVPN及SSL VPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理专业的NAT应用:提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT
5、应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能灵活可扩展的深度安全防护与基础安全防护高度集成的一体化安全业务处理平台全面的应用层流量识别与管理:通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达
6、到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率实时的病毒防护:采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码全面、及时的安全特征库。通过多年经营与积累,H3C公司拥有业界
7、资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新技术领先的IPv6国内率先支持IPv6状态防火墙,真正意义上实现IPv6条件下的防火墙功能,满足迫在眉睫的IPv6应用需求支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能支持IPv6各种过渡技术,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等支持IPv6 ACL、Radius等安全技术电信级设备的高可靠性采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从
8、电信运营商到中小企业用户,经历了多年的市场考验支持双机状态热备功能,支持配置同步与IPSecVPN的状态备份,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份极具性价比的多业务特性集成链路负载均衡特性,通过链路状态检测、链路繁忙保护等技术,有效实现企业互联网出口的多链路自动均衡和自动切换一体化集成SSL VPN特性,满足移动办公、员工出差的安全访问需求,不仅可结合USB-Key进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入作为分支机构的出口设备,支持广域网EAD解决方案简单易用的智能管理简单易用的Web UI管理适合专
9、业用户的全命令行管理支持基于SNMP和TR-069协议的管理通过H3C SecCenter安全管理中心实现统一管理系统规格:项目描述接口1个配置口(CON)6GE插槽2个MIM插槽,可通过该插槽扩展网络接口DDR SDRAM1GBCF卡标配256M CF卡外型尺寸(W H D)442mm400mm44.2mm电源模块输入额定电压100VAC240VAC;50/60Hz最大输入电流*最大功率消耗46W环境温度工作:045非工作:-4070环境湿度工作:1095%,无冷凝非工作:595%,无冷凝重量6Kg* H3C S3600V2-28P-SI交换机1.5.1 H3C S3600V2系列交换机是H
10、3C公司基于全新软硬件平台设计和开发的智能弹性以太网交换机。系统采用创新的IRF2技术,在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案,同时S3600V2支持IPv4/IPv6双栈及硬件转发、丰富的IPv4/IPv6路由协议和隧道技术。是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。丰富的IPv4和IPv6三层功能H3C S3600V2系列交换机硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道(包括手工Tunnel,6to4 Tunnel,ISATAP Tunnel,auto-Tunnel),三层线速转发。既可以
11、用于纯IPv4或IPv6网络,也可以用于IPv4到IPv6共存的网络,组网方式灵活,充分满足当前园区网从IPv4向IPv6过渡的需求。支持丰富的IPv6路由协议,包括RIPng、OSPFv3、ISISv6、BGP4+ for IPv6。支持IPv6的邻居发现协议(Neighbor Discovery Protocol,NDP),管理邻居节点的交互。支持PMTU发现(Path MTU Discovery)机制,可以找到从源端到目的端的路径上一个合适的MTU值,以便有效地利用网络资源并得到最佳的吞吐量。智能弹性架构H3C S3600V2系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物
12、理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处:简化管理IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。简化业务IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的
13、收敛时间。弹性扩展可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。高可靠IRF的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。高性能对于交换机来说
14、,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。增强的以太网供电功能(PoE+)H3C S3600V2系列交换机支持增强的以太网供电功能(PoE+),PoE供电款型可以提供每端口最大30W的输出功率,可以为802.11n的无线接入点,可视IP电话,以及更多的终端设备提供以太网供电能力。高可靠性设计H3C S3600V2系列交换机除了支持高可靠性的IRF2技术以外,还支持STP/RSTP生成树协议,并提供了基于多VLAN 的生成树MST
15、P,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。支持VRRP虚拟路由冗余协议,构建故障时的冗余路由拓扑结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持ECMP(等价路由),通过配置多条等值路径实现上行路由的冗余备份和负载分担。支持RRPP(快速环网保护协议),可以在以太网环完整时能够防止数据环路引起的广播风暴,而当以太网环上一条链路断开时能迅速恢复环网上各个节点之间的通信通路。完备的安全策略H3C S3600V2系列交换机支持EAD(终端准入控制)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,
16、通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S3600V2系列交换机支持802.1x及MAC认证,在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、PORT的绑定,支持动态VLAN下发和Guest VLAN,有效的防止非法用户访问网络。支持端口和VLAN下发ACL,更加灵活方便,保证网络的受控访问。H3C S3600V2系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,对不符
17、合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS攻击。多业务融合能力H3C S3600V2系列交换机支持QinQ即VLAN VPN特性,可以将用户私网VLAN标签封装在公网VLAN标签中,使报文带着两层VLAN Tag穿越运营商的骨干网络。S3600V2系列交换机支持灵活QinQ,可以实现针对不同的业务报文打不同的外层VLAN标签或者不打VLAN标签,便于业务分离。同时还支持VLAN translation,可以根
18、据不同用户或业务重新设置VLAN标签。同时支持IPv4和IPv6组播功能,支持丰富的组播协议,包括:IGMP Snooping、MLD Snooping、IGMP v1/v2/v3、PIM-DM、PIM-SM/SSM、MSDP,支持组播静态路由、组播组静态加入,而且组播VLAN可以跨VLAN复制,支持IGSP v1/v2/v3,支持大容量组播路由,强组播复制能力。H3C S3600V2系列交换机支持MCE功能,可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾,它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定,并为每个VPN创建和维护独立的路由转发表(Multi-VRF
19、)。这样不但能够隔离私网内不同VPN的报文转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保证VPN报文在公网内的传输。简单易用的管理维护H3C S3600V2系列交换机支持VCT(Virtual Cable Test)电缆检测功能,便于快速定位网络故障点。支持DLDP(Device Link Detection Protocol,设备连接检测协议),可以监控光纤的链路状态。如果发现单向链路存在,DLDP 协议会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。支持以太OAM(802.1AG协议和802.3AH协议),支持SNMP V1/V2
20、/V3,可支持Open View等通用网管平台,以及IMC智能管理中心。支持CLI命令行,Web网管,Telnet,HGMP集群管理,使设备管理更方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。系统规格:项目描述接口24个10/100Base-TX以太网端口,2个10/100/1000Base-T与100/1000Base-X SFP Combo端口,2个1000Base-X SFP千兆以太网端口可选模块1000BASE-SX-SFP1000BASE-LX-SFP1000BASE-LH-SFP1000BASE-ZX-LR-SFP1000BASE-ZX
21、-VR-SFP100Base-FX-MM-SFP100Base-FX-SM-SFP交换容量64GB二/三层转发率*功耗(满负荷)26W* H3C S1048以太网交换机1.5.2 H3C S1048交换机是H3C公司自主开发的无管理以太网交换产品,提供48个符合IEEE802.3u标准的10/100M自适应以太网接口,所有端口均支持全线速无阻塞交换以及端口自动翻转功能,外形采用19英寸标准机架设计符合IEEE802.3、IEEE802.3u和IEEE802.3x标准;提供48个10/100M自适应以太网端口;每个端口都支持Auto-MDI/MDIX功能;每个端口都提供Speed和Link/Ac
22、t指示灯,显示端口的工作状态。属性S1048外形尺寸(宽深高)440mm230mm44mm固定端口48个10/100Mbps自适应以太网端口网线类型10/100Base-TX:3/4/5类双绞线,支持最大传输距离100mMAC8K缓存2Mbits包转发率*交换容量*输入电压100-240V AC功耗最大24W工作环境温度040工作环境湿度10%85%存储温度-1070存储湿度10%90%散热方式自然散热第三章 实施流程*实施流程图1.6 项目实施流程图步骤工程师动作主导人1部署准备掌握用户网络信息和需求收集工程师2环境搭建根据步骤1,确定安全设备部署位置,搭建设备和安装相关配套软件和服务器 3实施后的安全产品基本功能观察和业务观察步骤2完成后,设置安全产品和相关配套软件4 安全产品高级功能配置步骤3完成后,按用户要求逐步增加高级功能,如抗攻击、日志等5确认安全产品实施和配置效果实施完毕后,逐步调整测试修正,达到客户满意实际效果1. *方案实施1.7 方案实施顺序如下:2. 方案拓扑搭建3. 方案设备调试与安装4. 实施其它高级功能1. *检验1.8 设备散热风扇等各部件运行正常,无异响2. 设备各指示灯工作正常3. 检验TCP、UDP、ICMP等各类通信功能的支持等等。
