H3C ADWAN解决方案技术白皮书

文档密级（内部公开）H3C S D-W A N解决方案技术建议书（A D W A N控制器）新华三技术有限公司2017年6月广域网解决方案王明2022年4月24日新华三集团机密，未经许可不得扩散第1页共1页文档密级（内部公开）目录第1章综述 (1)第2章 H3C ADWAN系统架构说明 (1)2.1 H3C ADWAN方案架构 (1)2.2 H3C ADWAN控制器架构 (2)第3章某行核心骨干网控制器部署方案 (5)3.1 系统部署 (5)3.1.1 控制器部署模式设计 (5)3.1.2 控制器配置 (6)3.2 本期某行核心骨干网SDN解决方案 (6)3.2.1 整体方案思路 (6)3.2.2 应用定义策略 (7)3.2.3 方案部署步骤 (8)3.3 某行核心骨干网演进规划 (10)第4章方案优势以及特点 (11)4.1 适用于大型广域网络 (11)4.2 高效的流量转发机制（Segment Routing） (11)4.2.1 Segment Routing控制平面 (12)4.2.2 Segment Routing控制平面 (12)4.2.3 Segment Routing技术优势 (14)4.3 南向控制机制 (15)4.4 应用流量可视化 (15)4.5 精细化应用定义模式 (16)4.6 系统管理 (16)第5章运维效益 (18)5.1 运维效率优化 (18)5.2 运维服务增值 (19)第6章产品介绍 (19)6.1 控制器产品介绍 (19)第1章综述随着SDN技术的不断演进和完善，对行业的所带来的颠覆性也越来越被接受。

某行核心网、骨干网经过多年的建设和积累，已然成为国内最大的银行核心骨干网络之一，但现有建设的网络相对来说比较僵化，管道是硬管道，无法满足业务越来越差异化的需求；无法实现网络资源化使用；无法满足资源的快速扩展；无法实现快速的业务交付；无法实现自动化的网络运维。

在底层物理网络资源无法快速、按需的扩展情况下，如何保障业务的快速增长、灵活调整以及业务流量潮汐带来的冲击，成为现阶段亟需解决的问题。

H3C无感知认证技术白皮书1概述当下，各种智能终端层出不穷，特别是以iPhone、iPad等为代表的智能终端的流行，促使多媒体业务的应用急剧增加、人们对移动无线上网体验的要求也越来越高。

无线通信市场竞争的热点逐渐从技术转向了用户体验上。

用户体验的好坏，逐渐成为人们无线上网选择的重要标准。

目前Portal认证是WLAN网络的主流接入认证方式之一。

当采用Portal认证时，用户每次接入WLAN网络时都需要在Portal页面中输入用户账号/密码信息，操作较为不便。

特别是当前使用WiFi网络的iPad、智能手机等终端设备越来越多，而此类终端受到屏幕、浏览器等资源限制，在Portal页面中输入用户名/密码等信息时极为不便，使得用户上网体验大打折扣。

针对此问题，H3C特提出Portal无感知认证方案，大大简化Portal接入流程，提升用户的接入体验。

Portal无感知认证方案具备“一次认证，多次使用”用户体验。

如果开通了Portal无感知认证，用户首次登陆Portal页面成功认证后，后续只要关联WLAN SSID就可以用轻松实现认证上网。

2首次接入，Portal认证并绑定MAC在Portal无感知认证解决方案，用户首次接入WLAN网络认证流程如图1所示。

具体认证流程如下：步骤1、用户连接WLAN网络SSID，并通过DHCP服务器获取IP地址信息。

步骤2、AC将监控用户的上网流量。

步骤3、当AC监控的用户流量达到阈值时，（例如流量阀值可设置为5分钟累积流量10KB），AC将向iMC UAM （负责对MAC地址进行绑定）服务器发起MAC 查询请求。

步骤4、iMC UAM服务器向AC返回查询结果：此终端MAC信息未绑定。

（由于此终端用户是首次连接WLAN网络，所以iMC UAM服务器中无此终端的MAC地址信息）步骤5、AC将按照正常Portal流程向终端重定向Portal认证页面。

步骤6、用户终端输入用户名、密码信息发起Portal认证。

SecCenter解决方案技术白皮书Hangzhou H3C Technology Co., Ltd.杭州华三通信技术有限公司All rights reserved版权所有侵权必究目录1 商业用户网络对于安全管理的需求 (5)2 安全管理技术方案比较 (6)3 H3C安全管理中心解决方案 (7)3.1 安全管理中心基本思路 (7)3.2 解决方案特点 (8)3.3 典型组网图 (9)4 系统主要技术特性分析 (10)4.1 不同种类的安全设备支持 (10)4.2 企业安全分析 (11)4.3 网络架构 (12)4.4 安全拓扑和可视化威胁 (12)4.5 监控&事件关联 (13)4.6 安全管理报告 (15)4.7 可升级日志管理 (15)4.8 搜索分析 (15)5 总结和展望 (16)6 参考文献 (16)7 附录 (16)Figure List 图目录图1 典型组网图 (10)图2 安全管理添加到网络和应用管理 (11)图3 SecCenter支持单独配置和分布式配置 (12)图4 基于拓扑的实时威胁可视化下拉菜单 (13)图5 监控仪表盘展示了一个实时的全部安全状态的一部分 (14)SecCenter解决方案技术白皮书关键词：SecCenter、安全管理、事件、日志、搜索摘要：本文档对于SecCenter安全管理中心的解决方案进行了介绍。

描述了用户对于安全管理中心的需求，各种方案的比较。

介绍了H3C推出解决方案的技术特点、组网图、主要技术分析等。

缩略语清单：1 商业用户网络对于安全管理的需求一个公司只是注重在物理上对网络安全的投资是远远不够的，即使安全防范再严密的网络，也会有可能有破坏性漏洞的产生。

据估计在世界范围内由攻击造成的经济损失已经由1997 年的33 亿美元上升到2003 年的120亿美元。

这个数字还在快速上升。

另外，为了满足政府规范要求，需要执行安全审计流程。

如果不能满足政府的规范要求，除了有可能被高额的罚款以外，还有可能触犯法律，面临刑事诉讼。

WLAN安全技术白皮书（V1.00）-技术白皮书-产品技术-H3CWLAN安全技术白皮书(V1.00)WLAN安全技术白皮书关键词：WLAN、Station、SSID、PSK、EAP、AP。

摘要：现在WLAN应用已经非常普遍，在很多场所被部署，例如公司、校园、工厂、咖啡厅等等。

本文介绍了H3C WLAN解决方案能够提供的多种无线安全技术。

缩略语：目录1 H3C WLAN分层安全体系简介2 物理层安全3 用户接入安全3.2 802.1x接入认证3.3 PSK接入认证3.4 MAC接入认证3.5 EAP终结和本地认证4 网络安全4.1 端点准入防御4.2 无线入侵检测系统4.3 安全策略统一部署4.4 无线控制器和AP间下行流量限速4.5 IPSEC VPN5 设备安全6 安全管理1 H3C WLAN分层安全体系简介H3C公司的WLAN安全解决方案在遵循IEEE 802.11i协议和国家WAPI标准的基础上，创新性的提出了分层的安全体系架构，将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上，使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。

2 物理层安全为了保证物理层的通信安全H3C公司的无线产品支持以下的加密机制：(1) WEP加密：该种加密方式在IEEE802.11协议中定义。

WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥。

WEP加密机制采用RC4算法（一种流加密算法），最初WLAN仅支持WEP40（WEP40算法的密钥长度仅为64bits），当前WLAN还可以支持WEP104（WEP104算法的密钥长度仅为128bits）。

(2) TKIP加密：该加密方式主要在WPA相关协议中定义。

TKIP加密机制除了提供数据的加密处理，还提供了MIC和Countermeasure功能实现对WLAN服务的安全保护。

H3CWLAN射频优化技术白皮书v1.2WLAN优化技术白皮书关键词：WLAN 优化摘要：本文介绍了H3C WLAN优化方面的技术。

缩略语：目录1 背景 (3)2 WLAN优化技术 (3)2.1 简介 (3)2.2 功率调整 (4)2.3 信道划分 (4)2.4 负载均衡 (4)2.5 过滤干扰 (5)2.6 速率保优 (6)2.7 降低个别用户影响 (6)3 小结 (7)1 背景与有线网络相比，WLAN摆脱了线缆的束缚，用户使用起来会感觉更自由、更方便。

因此，随着笔记本等便携终端的普及，WLAN日益成为常见的网络接入方式。

由于WLAN的传播介质是空气，遵循的协议标准是802.11,在其给用户带来方便的同时，也有自身的一些特殊性。

比如，同信道的无线设备共享空口传输介质，设备之间易互相影响。

在信号部署良好，用户较少的场所，无线用户的体验可能与有线用户类似。

但在用户较多的高密场所，在使用高峰时间段，常常会出现速率慢、易掉线的现象。

为此，H3C提供一定优化WLAN网络的技术手段，用以提升网络的整体性能，改善用户体验。

2 WLAN优化技术2.1 简介无线空口是个比较复杂的环境，WLAN空口的性能与许多因素相关：●非WLAN无线设备干扰：如果环境中存在蓝牙、微波炉等同样工作在ISM频段的非WLAN设备，将会对WLAN通讯造成很大的干扰，WLAN性能也将急剧降低。

因此，在WLAN环境中，需要首先排除这些干扰，至少保证周边不存在长时间的与WLAN同时工作的类似设备。

●WLAN无线设备间同频、邻频干扰：由于WLAN空口采用的是CSMA/CA通讯机制，同频设备如果可见，通讯实体间会互相退让，因此，如果同频设备互相之间可见性太强，会使得多个设备共享同样的容量，整体信道容量大打折扣。

邻频设备太近信号太强时，会导致整体的噪声变高，对通讯性能也会产生影响。

●用户处的信号强度：信号强度是保证用户获得良好体验的一个基本条件。

H3C云安全服务技术白皮书Copyright © 2016 杭州H3C技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 概述 (1)2 云安全架构与模型 (1)2.1 云数据中心安全访问控制需求 (1)2.2 云安全总体架构 (2)2.3 基于租户的安全隔离 (3)2.4 安全架构的两种模型 (4)3 嵌入式安全 (5)3.1 安全组ACL功能 (5)3.2 分布式状态防火墙功能 (6)4 云服务链 (6)5 基于SDN和服务链的云安全组网方案 (8)5.1 VSR做网关的服务链方案 (8)5.2 物理交换机做网关的服务链方案 (9)5.3 服务链和第三方安全设备对接 (10)5.4 服务链支持东西向和南北向安全的总结 (12)6 安全资源池化 (12)6.1 网络服务资源虚拟化和池化 (12)6.2 多资源池支持 (14)6.3 安全资源池之大规模租户技术 (15)6.3.1 硬件资源池支持大规模租户 (15)6.3.2 软件资源池支持大规模租户 (16)6.4 云安全微分段服务 (17)6.5 安全资源池之高可靠性技术 (17)7 多层次安全防护体系 (18)7.1 异构设备组成的统一安全资源池 (18)7.2 多层次的安全体系 (19)8 安全功能通过云服务部署 (19)9 H3C云安全优势总结 (21)1 概述云计算技术的发展，带来了新一轮的IT技术变革，但同时也给网络与业务带来巨大的挑战。

网络服务模式已经从传统的面向连接转向面向应用，传统的安全部署模式在管理性、伸缩性、业务快速升级等方面已经无法跟上步伐，需要考虑建设灵活可靠，自动化快速部署和资源弹性可扩展的新安全防护体系。

同时，按照云计算等保规范《信息系统安全等级保护第二分册云计算安全要求》草案7.1.2网络安全章节的描述，对云网络安全也有下述要求：•保证云平台管理流量与云租户业务流量分离；•根据云租户的业务需求自定义安全访问路径；•在虚拟网络边界部署访问控制设备，并设置访问控制规则；•依据安全策略控制虚拟机间的访问。

H3C大数据产品技术白皮书杭州华三通信技术有限公司2020年4月1 H3C大数据产品介绍 (1)1.1 产品简介 (1)1.2 产品架构 (1)1.2.1 数据处理 (2)1.2.2 数据分层 (3)1.3 产品技术特点 (4)先进的混合计算架构 (4)高性价比的分布式集群 (4)云化ETL (4)数据分层和分级存储 (5)数据分析挖掘 (5)数据服务接口 (5)可视化运维管理 (5)1.4 产品功能简介 (6)管理平面功能： (7)业务平面功能： (8)2 DataEngine HDP 核心技术 (9)3 DataEngine MPP Cluster 核心技术 (9)3.1 MPP + SharedNothing 架构 (9)3.2 核心组件 (10)3.3 高可用 (11)3.4 高性能扩展能力 (11)3.5 高性能数据加载 (12)3.6 OLAP 函数 (13)3.7 行列混合存储 (13)1 H3C大数据产品介绍1.1 产品简介H3C大数据平台采用开源社区Apache Hadoop2.0和MPP分布式数据库混合计算框架为用户提供一套完整的大数据平台解决方案，具备高性能、高可用、高扩展特性，可以为超大规模数据管理提供高性价比的通用计算存储能力。

H3C大数据平台提供数据采集转换、计算存储、分析挖掘、共享交换以及可视化等全系列功能，并广泛地用于支撑各类数据仓库系统、BI系统和决策支持系统帮助用户构建海量数据处理系统，发现数据的内在价值。

1.2 产品架构第一部分是运维管理，包括：安装部署、配置管理、主机管理、用户管HSCZEFKfl上連平frKB笹堆芒12i』」Rt巽^jpRctiuce Spjrk siremCRM SGM生产记〒曲.M-噸Hadaap2.0■1 j jET辛SEmifiKettleH3C大数据平台包含4个部分:理、服务管理、监控告警和安全管理等。

第二部分是数据ETL,即获取、转换、加载，包括：关系数据库连接Sqoop、日志采集Flume、ETL工具Kettle 。