1、計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)及局域網(wǎng)構(gòu)建實(shí)習(xí)案例計(jì)算機(jī)技術(shù)系二一七 年五月目 錄一、項(xiàng)目概述11.需求分析12.建設(shè)原則13.建設(shè)目標(biāo)2二、大廈無線解決方案31.FIT AP解決方案包括無線控制器和FIT AP。4（1）無線控制器4（2）無線AP52.無線用戶接入認(rèn)證63.供電問題74.覆蓋解決方案75.速率控制8三、相關(guān)產(chǎn)品介紹及配置清單91.H3C F1000-C-G2防火墻92.H3C MSR3640 路由器103.H3C S5800-32C-EI 核心交換機(jī)114.H3C WX3510H 無線控制器135.H3C S5130-28S-EI 匯聚交換機(jī)146.H3C S5024PV2-EI-PWR 接

2、入交換機(jī)（POE）157.H3C WA4320i-ACN-FIT 無線接入點(diǎn)168.設(shè)備清單17四、設(shè)備配置181.防火墻配置182.路由器配置183.無線控制器配置19五、網(wǎng)絡(luò)方案特點(diǎn)231.高性能232.可管理233.高安全234.可擴(kuò)展235.QoS保障236.廠家優(yōu)勢(shì)24實(shí)習(xí)案例十四、大廈網(wǎng)絡(luò)部署建設(shè)方案一、項(xiàng)目概述1.需求分析IT信息系統(tǒng)設(shè)計(jì)目標(biāo)是為大樓建設(shè)配套的無線網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)滿足高速、可靠、安全、智能等方面的要求，實(shí)現(xiàn)以IP為基礎(chǔ)的，可以滿足不斷發(fā)展的信息化需求的、標(biāo)準(zhǔn)化的IT融合解決方案，一方面，它能適應(yīng)未來大集中系統(tǒng)的需要，滿足不斷發(fā)展變化的業(yè)務(wù)需求；另一方面，它要能兼

3、顧到技術(shù)的發(fā)展趨勢(shì)，方便IT系統(tǒng)未來可靈活便捷地引入各種先進(jìn)、實(shí)用的技術(shù)。主要表現(xiàn)為以下幾點(diǎn)：主要表現(xiàn)為以下幾點(diǎn)：u 部署區(qū)域?yàn)榈厣?層建筑，地下2層；u 網(wǎng)絡(luò)需要盡可能支持無縫切換效果，使用戶的便攜式終端能夠在大樓范圍內(nèi)移動(dòng)過程中，保持各種流媒體、下載等業(yè)務(wù)不會(huì)明顯掉線；u 需要盡量提高網(wǎng)絡(luò)信息安全級(jí)別，能夠支持WPA2等高級(jí)網(wǎng)絡(luò)加密算法，并具有防火墻等網(wǎng)絡(luò)安全功能；u 提出智能網(wǎng)絡(luò)管理設(shè)計(jì)，實(shí)現(xiàn)整個(gè)IT系統(tǒng)的融合管理。2.建設(shè)原則（1）安全可靠性原則信息系統(tǒng)的設(shè)計(jì)必須遵循可靠性的原則，設(shè)計(jì)中應(yīng)盡最大可能減少因信息系統(tǒng)故障而造成的業(yè)務(wù)無法正常進(jìn)行的現(xiàn)象的發(fā)生（如：因服務(wù)器或網(wǎng)絡(luò)故障造成用戶無

4、法訪問業(yè)務(wù)系統(tǒng)，進(jìn)而無法進(jìn)行正常業(yè)務(wù)的現(xiàn)象等）；同時(shí)，設(shè)計(jì)中還應(yīng)注重信息安全體系的建設(shè)，提高信息系統(tǒng)的整體安全性，進(jìn)一步保證數(shù)據(jù)安全。（2）先進(jìn)成熟性原則信息系統(tǒng)的設(shè)計(jì)應(yīng)具有產(chǎn)品和技術(shù)先進(jìn)性，先進(jìn)的產(chǎn)品和技術(shù)是未來系統(tǒng)性能的保證。在信息技術(shù)飛速發(fā)展的今天，我們選擇的產(chǎn)品和技術(shù)應(yīng)具有一定的前瞻性，能夠適應(yīng)未來一段時(shí)間（4-5 年）業(yè)務(wù)需求及技術(shù)發(fā)展變化的需要。 同時(shí)，盡可能兼顧產(chǎn)品和技術(shù)的成熟性，增強(qiáng)信息系統(tǒng)的整體穩(wěn)定性。（3）開放與可擴(kuò)展性原則信息系統(tǒng)的設(shè)計(jì)應(yīng)選擇開放式設(shè)計(jì)的產(chǎn)品或技術(shù)，滿足系統(tǒng)間靈活的信息交互的需要。同時(shí)，充分考慮產(chǎn)品可擴(kuò)展性，滿足不斷發(fā)展變化的業(yè)務(wù)和技術(shù)需求 。（4）統(tǒng)一標(biāo)

5、準(zhǔn)化原則信息系統(tǒng)的設(shè)計(jì)應(yīng)該堅(jiān)持標(biāo)準(zhǔn)化的原則，采用業(yè)界公認(rèn)的行業(yè)或技術(shù)標(biāo)準(zhǔn)，降低管理復(fù)雜度。同時(shí)，堅(jiān)持統(tǒng)一化的原則（如：統(tǒng)一vlan劃分，統(tǒng)一的ip address分配等）應(yīng)盡可能采用統(tǒng)一的標(biāo)準(zhǔn)。（5）經(jīng)濟(jì)性原則信息系統(tǒng)的設(shè)計(jì)必須實(shí)用、經(jīng)濟(jì)，應(yīng)該盡量利用現(xiàn)有資源，堅(jiān)持在先進(jìn)、高性能前提下合理投資，以期在成本最佳的前提下獲得最大的經(jīng)濟(jì)效益和社會(huì)效益。3.建設(shè)目標(biāo)（1）系統(tǒng)穩(wěn)定、安全可靠，內(nèi)部信息共享，且可迅速傳遞各類信息對(duì)系統(tǒng)之間的信息交換進(jìn)行總體上的統(tǒng)一規(guī)劃和設(shè)計(jì)，最終實(shí)現(xiàn)各子系統(tǒng)之間的互聯(lián)互通，實(shí)現(xiàn)信息共享和信息交互，完成信息在不同系統(tǒng)間的傳遞。 （2）提高信息化工作效率建設(shè)一個(gè)全數(shù)

6、字化、網(wǎng)絡(luò)化的網(wǎng)絡(luò)系統(tǒng)，通過網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)平臺(tái)，避免傳統(tǒng)設(shè)備之間不兼容的問題，提高各種設(shè)備間的通配性，提高設(shè)備的使用效率。（3）提高企業(yè)的綜合競(jìng)爭(zhēng)力在提高生產(chǎn)質(zhì)量、效率，管理水平的同時(shí)，會(huì)對(duì)企業(yè)的品質(zhì)帶來質(zhì)的提高，使企業(yè)的發(fā)展進(jìn)入一個(gè)良好的循環(huán)上升趨勢(shì)。（4）統(tǒng)一的安全管理措施從網(wǎng)絡(luò)規(guī)劃、操作系統(tǒng)以及業(yè)務(wù)系統(tǒng)等各個(gè)層次上統(tǒng)一考慮安全措施，并充分考慮易操作性。這其中包括網(wǎng)絡(luò)的多層次安全的規(guī)劃與設(shè)計(jì)、系統(tǒng)運(yùn)行狀況的監(jiān)控和管理以及防攻擊、防病毒等措施的統(tǒng)一規(guī)劃、設(shè)計(jì)與部署。二、大廈無線解決方案根據(jù)以上的需求分析我們建議部署H3C FIT AP解決方案實(shí)現(xiàn)無線網(wǎng)絡(luò)覆蓋，方便移動(dòng)終端靈活接入，部署IMC智

7、能網(wǎng)絡(luò)管理解決方案，實(shí)現(xiàn)網(wǎng)絡(luò)資源、用戶、業(yè)務(wù)的融合管理，具體拓?fù)淙缦聢D：1.FIT AP解決方案包括無線控制器和FIT AP?；诰W(wǎng)絡(luò)的先進(jìn)性考慮,本次無線校園網(wǎng)項(xiàng)目采用目前主流的無線控制器+瘦AP的架構(gòu),在實(shí)現(xiàn)對(duì)校園進(jìn)行無縫覆蓋的同時(shí),又能夠?qū)崿F(xiàn)對(duì)無線網(wǎng)絡(luò)的靈活管理配置,提高網(wǎng)絡(luò)維護(hù)效率。（1）無線控制器無線控制器使用H3C公司的WX3510H。WX3510H默認(rèn)不帶AP，最多可支持256個(gè)AP的管理，可以滿足大廈無線網(wǎng)絡(luò)的部署需求。H3C WX3000系列無線控制器在支持對(duì)傳統(tǒng)802.11a/b/g AP管理的同時(shí)，還可以與H3C基于802.11ac協(xié)議的WA4300系列AP配合組網(wǎng)，從而

8、提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無線接入速率，能夠覆蓋更大的范圍，使無線多媒體應(yīng)用成為現(xiàn)實(shí)。WX3510H，具備8個(gè)千兆光電復(fù)用口，可實(shí)現(xiàn)數(shù)據(jù)的千兆線速轉(zhuǎn)發(fā)和電口光口的自由轉(zhuǎn)換。基于用戶的接入控制是H3C WX3000系列無線控制器產(chǎn)品的一大特色，User Profile（用戶配置文件）提供一個(gè)配置模板，能夠保存預(yù)設(shè)配置（一系列配置的集合）。用戶可以根據(jù)不同的應(yīng)用場(chǎng)景為User Profile配置不同的內(nèi)容，比如CAR（Committed Access Rate，承諾訪問速率）策略和QoS（Quality of Service，服務(wù)質(zhì)量）策略等。用戶訪問設(shè)備時(shí)，需要先進(jìn)行身份

9、認(rèn)證。在認(rèn)證過程中，認(rèn)證服務(wù)器會(huì)將User Profile名稱下發(fā)給設(shè)備，設(shè)備會(huì)立即啟用User Profile里配置的具體內(nèi)容。當(dāng)用戶通過認(rèn)證訪問設(shè)備時(shí)，設(shè)備將通過這些具體內(nèi)容限制用戶的訪問行為。當(dāng)用戶下線時(shí)，系統(tǒng)會(huì)自動(dòng)禁用User Profile下的配置項(xiàng)，從而取消User Profile對(duì)用戶的限定。因此，User Profile適用于限制上線用戶的訪問行為，沒有用戶上線（可能是沒有用戶接入、或者用戶沒有通過認(rèn)證、或者用戶下線）時(shí)，User Profile是預(yù)設(shè)配置，并不生效。另外，H3C WX3000系列無線控制器還支持基于MAC的認(rèn)證接入控制方式，這種方式不但可以使得客戶在AAA服務(wù)

10、器上對(duì)用戶組進(jìn)行權(quán)限的配置和修改，同時(shí)支持對(duì)具體用戶的權(quán)限的配置，這種精細(xì)的用戶權(quán)限控制大大增強(qiáng)了無線網(wǎng)絡(luò)的可用度，網(wǎng)管人員可以輕松通過該方式對(duì)不同級(jí)別的人或人群進(jìn)行接入權(quán)限分配。基于MAC的VLAN同樣也是H3C WX3000系列無線控制器的一大特色，在控制策略上，管理員可以把相同性質(zhì)的用戶（MAC）劃分到同一個(gè)VLAN，同時(shí)在控制器上基于VLAN配置安全策略，這樣做既可以簡(jiǎn)化系統(tǒng)配置，又可以做到用戶級(jí)粒度的精細(xì)管理。（2）無線AP無線AP使用H3C EWP-WA4320i-ACN-FIT，根據(jù)覆蓋需求，每樓層暫定10個(gè)AP（具體需現(xiàn)場(chǎng)勘測(cè)），它H3C WA4300系列無線接入點(diǎn)是新一代兼容

11、802.11ac的千兆無線接入點(diǎn)（以下簡(jiǎn)稱AP），可提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無線接入速率，能夠覆蓋更大的范圍。該系列AP上行接口采用千兆以太網(wǎng)接口接入，突破了百兆以太網(wǎng)接口的限制，使無線多媒體應(yīng)用成為現(xiàn)實(shí)。并兼容11a/b/g標(biāo)準(zhǔn)。使用無線控制器+FIT AP時(shí)，AP在啟動(dòng)后會(huì)自動(dòng)通過DHCP方式獲取IP地址，并自動(dòng)搜尋可關(guān)聯(lián)的無線控制器，在和無線控制器建立CAPWAP隧道之后會(huì)自動(dòng)從無線控制器下載配置文件和更新軟件版本。FIT AP組網(wǎng)最大的優(yōu)點(diǎn)在于AP本身零配置，AP上電后會(huì)自動(dòng)從無線控制器下載軟件版本和配置文件，同時(shí)無線控制器會(huì)自動(dòng)調(diào)節(jié)AP的工作信道以及發(fā)射功率

12、。另外，通過無線控制器的RF掃描探測(cè)熱點(diǎn)地區(qū)Rouge AP，可以及時(shí)排除其他AP存在的干擾，保障AP的穩(wěn)定運(yùn)行。在網(wǎng)絡(luò)管理方面，網(wǎng)管可以只通過管理無線控制器設(shè)備就可以達(dá)到控制AP的效果，極大的減少了無線網(wǎng)絡(luò)后期維護(hù)和管理的工作量。2.無線用戶接入認(rèn)證為了保證無線用戶接入的安全性，需要從物理層安全和用戶接入安全兩方面考慮。在保證物理層的通信安全方面H3C公司的無線產(chǎn)品支持以下的加密機(jī)制：（1）WEP加密該種加密方式在IEEE802.11協(xié)議中定義。WEP加密機(jī)制需要WLAN設(shè)備端以及所有接入到該WLAN網(wǎng)絡(luò)的客戶端配置相同的密鑰。WEP加密機(jī)制采用RC4算法（一種流加密算法），最初WLAN僅支

13、持WEP40（WEP40算法的密鑰長(zhǎng)度僅為64bits），當(dāng)前WLAN還可以支持WEP104（WEP104算法的密鑰長(zhǎng)度僅為128bits）。（2）TKIP加密該加密方式主要在WPA相關(guān)協(xié)議中定義。TKIP加密機(jī)制除了提供數(shù)據(jù)的加密處理，還提供了MIC和Countermeasure功能實(shí)現(xiàn)對(duì)WLAN服務(wù)的安全保護(hù)。TKIP和WEP雖然使用了相同的RC4加密算法，但是在整個(gè)機(jī)制上TKIP能夠提供比WEP更高的安全性。（3）CCMP加密該機(jī)密方式在IEEE802.11i中定義。CCMP機(jī)密機(jī)制采用了更安全的對(duì)稱加密算法AES，是目前IEEE802.11定義的最安全的數(shù)據(jù)報(bào)文保護(hù)機(jī)制。（4）WAPI

14、加密WAPI 采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公鑰密碼體制的橢圓曲線密碼算法和對(duì)稱密碼體制的分組密碼算法，分別用于WLAN 設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密。本次項(xiàng)目建議采用TKIP加密-WPA2認(rèn)證，每個(gè)月更新密鑰，這種方法安全性較高。3.供電問題通過部署S5024PV2-EI-PWR千兆POE交換機(jī)給AP供電，可以提供24個(gè)遠(yuǎn)程供電以太接口，在每層各部署一臺(tái)，供電距離達(dá)100米，滿足實(shí)際組網(wǎng)的要求。4.覆蓋解決方案在室內(nèi)覆蓋情況下，選擇AP擺放位置的時(shí)候，需遵循以下幾個(gè)原則：Ø 通過將AP部署在樓道天花板上，實(shí)現(xiàn)兩側(cè)辦公區(qū)的覆蓋Ø 如果在一個(gè)大廳里

15、只安裝一個(gè)AP，則盡量把AP安放在大廳的中央位置，而且最好是放置于大廳天花板上；如果同一空間安裝兩個(gè)AP，則可以放在兩個(gè)對(duì)角上。Ø 保持信號(hào)穿過墻壁和天花板的數(shù)量最小。2.4G信號(hào)能夠穿透墻壁和天花板，然而，每一面墻壁和天花板都將使AP信號(hào)的覆蓋范圍減少1到30米。應(yīng)放置AP與計(jì)算機(jī)于合適的位置，使墻壁和天花板阻礙信號(hào)的路徑最短，損耗最小。Ø 考慮AP和覆蓋區(qū)域之間直線連接。注意AP的放置位置，要盡量使 信號(hào)能夠垂直的穿過（90度角）墻壁或天花板。Ø 不同的建筑材料產(chǎn)生不同的傳輸效果。由金屬的框架或門構(gòu)成的建筑物會(huì)使WLAN無線信號(hào)的傳輸距離變小。放置AP的位置應(yīng)

16、使信號(hào)通過干燥的墻壁或敞開的門，避免放置在使信號(hào)必須通過金屬材料的位置。AP安裝位置需遠(yuǎn)離電子設(shè)備（起碼12米），例如微波爐、監(jiān)視器、電機(jī)等。5.速率控制為了不影響有線網(wǎng)絡(luò)用戶的正常上網(wǎng)，建議在無線控制器上做相應(yīng)的限速設(shè)置，無線控制器可根據(jù)每IP/MAC進(jìn)行限速，有效保障用戶正常辦公。三、相關(guān)產(chǎn)品介紹及配置清單1.H3C F1000-C-G2防火墻 H3C SecPath F1000-X-G2防火墻是杭州華三通信技術(shù)有限公司（以下簡(jiǎn)稱H3C公司）伴隨Web2.0時(shí)代的到來并結(jié)合當(dāng)前安全與網(wǎng)絡(luò)深入融合的技術(shù)趨勢(shì)，針對(duì)中小型企業(yè)、園區(qū)網(wǎng)互聯(lián)網(wǎng)出口以及廣域網(wǎng)分支市場(chǎng)推出的下一代高性能防火墻產(chǎn)品。H3

17、C SecPath F1000-X-G2防火墻支持多維一體化安全防護(hù)，可從用戶、應(yīng)用、時(shí)間、五元組等多個(gè)維度，對(duì)流量展開IPS、AV、DLP等一體化安全訪問控制，能夠有效的保證網(wǎng)絡(luò)的安全；支持多種VPN業(yè)務(wù)，如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等，與智能終端對(duì)接實(shí)現(xiàn)移動(dòng)辦公；提供豐富的路由能力，支持RIP/OSPF/BGP/路由策略及基于應(yīng)用與URL的策略路由；支持IPv4/IPv6雙協(xié)議棧同時(shí)，可實(shí)現(xiàn)針對(duì)IPV6的狀態(tài)防護(hù)和攻擊防范。支持H3C IRF虛擬化技術(shù)，可將多臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備。支持豐富的攻擊防范功能。包括：Land、Smurf、Frag

18、gle、Ping of Death、Tear Drop、IP Spoofing、IP分片報(bào)文、ARP欺騙、ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法、超大ICMP報(bào)文、地址掃描、端口掃描等攻擊防范，還包括針對(duì)SYN Flood、UPD Flood、ICMP Flood、DNS Flood等常見DDoS攻擊的檢測(cè)防御。支持VPN功能。包括：支持L2TP、IPSec/IKE、GRE、SSL等，并實(shí)現(xiàn)與智能終端對(duì)接。支持豐富的路由協(xié)議。支持靜態(tài)路由、策略路由，以及RIP、OSPF等動(dòng)態(tài)路由協(xié)議。2.H3C MSR3640 路由器H3C公司依靠十多年對(duì)企業(yè)網(wǎng)和運(yùn)營(yíng)商網(wǎng)絡(luò)的深入理解以及扎實(shí)技術(shù)的積累，開

19、發(fā)了MSR3600多業(yè)務(wù)路由器。MSR3600既可作為中小企業(yè)的出口路由器，也可以作為政府或企業(yè)的分支接入路由器，還可以作為企業(yè)網(wǎng)VPN、NAT、IPSec等業(yè)務(wù)網(wǎng)關(guān)使用，與H3C的其他網(wǎng)絡(luò)設(shè)備一起為政務(wù)、電力、金融、稅務(wù)、公安、鐵路、教育等行業(yè)用戶和大中型企業(yè)用戶提供全方位的網(wǎng)絡(luò)解決方案。支持OAA開放式應(yīng)用架構(gòu)，支持云業(yè)務(wù)平臺(tái)CVK、VMWARE、廣域網(wǎng)優(yōu)化（WAN）、Lync協(xié)同辦公、客戶第三方的業(yè)務(wù)等開放式應(yīng)用自主創(chuàng)新的智能鏈路引擎CUBE技術(shù)，不僅提升了SIC卡的總線帶寬，還可以自動(dòng)靈活分配接口資源支持狀態(tài)過濾、MAC地址過濾、IP和端口號(hào)過濾、時(shí)間段過濾等支持業(yè)務(wù)流量實(shí)時(shí)分析等支持

20、多種VPN技術(shù)，包括IPsec、L2TP、GRE、ADVPN、MPLS VPN，以及多種VPN技術(shù)的疊加使用支持路由器協(xié)議的安全防護(hù)，支持OSPF/RIP/IS-IS/BGP動(dòng)態(tài)路由協(xié)議認(rèn)證、支持OSPFv3/RIPng/IS-ISv6/BGP 的IPSec加密、 支持豐富的路由策略控制功能一體化的終端接入綁定認(rèn)證，包括EAD安全檢查認(rèn)證、802.1x認(rèn)證、終端MAC地址認(rèn)證、 基于WEB的Portal認(rèn)證、終端接入靜態(tài)綁定、MAC自動(dòng)學(xué)習(xí)綁定支持源MAC地址固定、ARP報(bào)文攻擊防范、地址沖突檢測(cè)和保護(hù)、ARP端口限速、ARP Detection、ARP源MAC地址一致性檢查、ARP源抑制、A

21、RP主動(dòng)確認(rèn)機(jī)制等支持基于角色權(quán)限管理，能夠基于角色進(jìn)行資源分配、用戶與角色的對(duì)應(yīng)、權(quán)限二維分配方式支持控制平面流量限制，支持基于協(xié)議類型、不同隊(duì)列、已知協(xié)議報(bào)文、指定協(xié)議報(bào)文等進(jìn)行流量控制和過濾支持SNMPv3、支持SSH、HTTPS遠(yuǎn)程管理等管理行為控制審計(jì)，支持AAA服務(wù)器集中驗(yàn)證、執(zhí)行命令行授權(quán)、操作記錄實(shí)時(shí)上報(bào)等支持多設(shè)備的冗余備份和負(fù)載分擔(dān)（VRRP/VRRPE）支持快速重路由、GR/NSR等可靠性技術(shù)3.H3C S5800-32C-EI 核心交換機(jī)H3C S5800-EI系列交換機(jī)是H3C公司最新推出的多業(yè)務(wù)盒式以太網(wǎng)交換機(jī)產(chǎn)品，基于業(yè)界領(lǐng)先的高性能硬件架構(gòu)和H3C先進(jìn)的Comm

22、ware V7軟件平臺(tái)開發(fā)，同時(shí)基于強(qiáng)大的統(tǒng)一交換平臺(tái)，在1U的高度下實(shí)現(xiàn)有線無線、網(wǎng)絡(luò)安全的深度融合。H3C S5800-EI系列交換機(jī)可集成無線控制功能，實(shí)現(xiàn)接入層無線/有線本地轉(zhuǎn)發(fā)。H3C S5800-EI系列交換機(jī)可擴(kuò)展支持包括FW、IPS等安全功能，實(shí)現(xiàn)網(wǎng)絡(luò)安全的高度融合。H3C S5800-EI系列交換機(jī)實(shí)現(xiàn)業(yè)界1U設(shè)備最高的端口密度以及靈活的端口擴(kuò)展能力，主機(jī)均固化4端口萬兆光，可同時(shí)擴(kuò)展高密萬兆及40G端口，支持高密、高性能端口上行能力。H3C S5800-EI系列支持可插拔雙電源、可插拔雙風(fēng)扇結(jié)構(gòu)設(shè)計(jì)，實(shí)現(xiàn)硬件級(jí)的高可靠保障，同時(shí)支持MACsec硬件加密功能，包括用戶數(shù)據(jù)加密

23、、數(shù)據(jù)幀完整性檢查及數(shù)據(jù)源真實(shí)性校驗(yàn)，為用戶提供安全的無連接MAC層數(shù)據(jù)發(fā)送和接收服務(wù)。S5800-32C-EI：24個(gè)10/100/1000BASE-T端口，4個(gè)10G/1G BASE-X SFP+端口，2個(gè)端口擴(kuò)展槽位，2個(gè)風(fēng)扇模塊槽位，2個(gè)電源模塊槽位；支持豐富的管理接口，例如Console口、mini usb口、帶外網(wǎng)管口，支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用網(wǎng)管平臺(tái)以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，使設(shè)備管理更方便，并且支持SSH2.0等加密方式，使得管理

24、更加安全。支持SPAN/RSPAN/ERSPAN鏡像和多個(gè)鏡像觀察端口，可以對(duì)網(wǎng)絡(luò)流量進(jìn)行分析以采取相應(yīng)管理維護(hù)措施。支持EAD（終端準(zhǔn)入控制）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。支持集中式MAC地址認(rèn)證、802.1x認(rèn)證、PORTAL認(rèn)證，支持用戶帳號(hào)、IP、MAC、VLAN、端口等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶

25、策略（VLAN、QoS、ACL）的動(dòng)態(tài)下發(fā)；支持配合H3C公司的iMC系統(tǒng)對(duì)在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。H3C S5800-EI系列交換機(jī)提供增強(qiáng)的ACL控制邏輯，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下發(fā)，在簡(jiǎn)化用戶配置過程的同時(shí)，避免了ACL資源的浪費(fèi)。另外，S5800-EI系列還將支持單播反向路徑查找技術(shù)（uRPF），原理是當(dāng)設(shè)備的一個(gè)接口上收到一個(gè)數(shù)據(jù)包時(shí)，會(huì)反向查找路徑來驗(yàn)證是否存在從該接收接口到包中制定的源地址之間的路由，即驗(yàn)證了其真實(shí)性，如果不存在就將數(shù)據(jù)包刪除，這樣我們就可以有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺騙。4.H3C WX

26、3510H 無線控制器H3C WX3000系列一體化交換機(jī)是H3C公司自主研發(fā)的集成無線控制器和千兆以太網(wǎng)交換機(jī)功能的產(chǎn)品。H3C WX3000系列一體化交換機(jī)提供純千兆以太網(wǎng)有線接入口，支持PoE+供電，每端口最大提供25W的功率，同時(shí)兼容802.11a/b/g/n協(xié)議。其中，WX3024后面板提供兩個(gè)10GE接口插槽，解決了WLAN網(wǎng)絡(luò)核心的傳輸瓶頸。WX3000系列一體化交換機(jī)提供一體化的有線無線接入控制功能，定位于中小型企業(yè)網(wǎng)和大型企業(yè)分支機(jī)構(gòu)的一體化接入，是中小企業(yè)，大企業(yè)分支機(jī)構(gòu)有線無線一體化接入最理想的一體化交換機(jī)。H3C WX3000系列一體化交換機(jī)目前有包含H3C WX302

27、4一款型號(hào)，配合H3C公司自主研發(fā)的Fit AP （H3C WA2110/WA2200/WA2600）可以滿足上述幾種無線典型應(yīng)用。在支持對(duì)傳統(tǒng)802.11a/b/g /nAP管理的同時(shí)，還可以與H3C基于802.11ac協(xié)議的 WA4320i系列AP配合組網(wǎng)，從而提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)18倍以上的無線接入速率，能夠覆蓋更大的范圍，使無線多媒體應(yīng)用成為現(xiàn)實(shí)。支持集中式轉(zhuǎn)發(fā)和分布式轉(zhuǎn)發(fā)。支持基于AP的用戶接入控制。當(dāng)無線用戶接入網(wǎng)絡(luò)時(shí)，可以通過認(rèn)證服務(wù)器向AC下發(fā)允許用戶接入的AP列表，在AC上進(jìn)行接入控制，從而達(dá)到限制無線用戶只能接入到指定位置的AP的目的。提供精細(xì)的無線用戶

28、管理提供內(nèi)置802.1x認(rèn)證服務(wù)器和內(nèi)置Portal認(rèn)證服務(wù)器提供QoS Profile，可以下發(fā)的配置包括ACL、QoS（優(yōu)先級(jí)、帶寬限速、802.1p和DSCP標(biāo)記）、VLAN。5.H3C S5130-28S-EI 匯聚交換機(jī) H3C S5130-EI系列交換機(jī)是H3C公司自主開發(fā)的新一代高性能、高安全、智能化弱三層以太網(wǎng)交換機(jī)產(chǎn)品，S5130-EI系列交換機(jī)基于業(yè)界領(lǐng)先的高性能硬件架構(gòu)和H3C先進(jìn)的Commware V7軟件平臺(tái)開發(fā)，具備先進(jìn)的硬件處理能力、豐富的業(yè)務(wù)特性，可以提供大容量的千兆接入端口，同時(shí)具備高密度萬兆光/電上行能力，滿足用戶對(duì)園區(qū)網(wǎng)高密度接入、高性能匯聚的使用需求，以

29、及最低成本的萬兆互聯(lián)/虛擬化方案。同時(shí)S5130-EI系列交換機(jī)支持嵌入式管理軟件,通過內(nèi)置H3C UIS Manager 統(tǒng)一管理軟件可提供跨服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)以及虛擬化的全融合管理，簡(jiǎn)化部署安裝，優(yōu)化運(yùn)維管理。24個(gè)10/100/1000BASE-T以太網(wǎng)端口，4個(gè)10G BASE-X SFP+萬兆端口。主機(jī)固化4端口萬兆，在實(shí)現(xiàn)高密千兆接入同時(shí)，可以為用戶提供高性價(jià)比的萬兆上行的能力，保護(hù)用戶投資。同時(shí)H3C S5130-EI系列交換機(jī)支持IRF2智能彈性架構(gòu)，可將9臺(tái)設(shè)備堆疊起來，形成一個(gè)邏輯上的實(shí)體，使設(shè)備容量可以根據(jù)網(wǎng)絡(luò)發(fā)展而平滑擴(kuò)容，為用戶網(wǎng)絡(luò)配置提供極高的靈活性和擴(kuò)展能力。其中

30、S5130-EI系列增加萬兆電款型，實(shí)現(xiàn)最低成本的100米內(nèi)萬兆互聯(lián)以及少量萬兆服務(wù)器的接入能力，以及可實(shí)現(xiàn)最低成本萬兆堆疊。支持IPv4/v6雙協(xié)議棧，可以實(shí)現(xiàn)基于硬件的IPv4/v6的全線速轉(zhuǎn)發(fā)，支持IPv4/v6的靜態(tài)路由以及RIP功能。同時(shí)支持IPv6的ACL、QoS、組播和網(wǎng)管，充分滿足網(wǎng)絡(luò)從IPv4到IPv6的平滑升級(jí)。支持L2（Layer 2）L4（Layer 4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號(hào)、協(xié)議類型、VLAN的流分類。支持SP、WRR、SP+WRR三種模式。同時(shí)還支持入/出方向雙向ACL、支持流量監(jiān)管CAR功

31、能、支持出/入方向的端口/流鏡像，用于對(duì)指定端口上的報(bào)文進(jìn)行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進(jìn)行網(wǎng)絡(luò)檢測(cè)和故障排除。同時(shí)H3C S5130-EI系列交換機(jī)還支持sFlow功能，對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行采樣，在千兆/萬兆高速的網(wǎng)絡(luò)上精確地監(jiān)控網(wǎng)絡(luò)流量支持EAD（終端準(zhǔn)入控制）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系6.H3C S5024PV2-EI-PWR 接入交換機(jī)（POE） H3C S5000PV2-EI系列以太網(wǎng)交換機(jī)H3C公司面向接入層推出的新一代全千兆產(chǎn)品，在滿足高性能接入的基礎(chǔ)上，提供更全面的安全

32、接入策略和更強(qiáng)的網(wǎng)絡(luò)管理維護(hù)易用性；可廣泛應(yīng)用于政府、中小型企業(yè)、學(xué)校以及酒店等行業(yè)的網(wǎng)絡(luò)建設(shè)場(chǎng)景。支持端口限速以及流限速功能，防止惡意侵占網(wǎng)絡(luò)帶寬，也為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三種隊(duì)列調(diào)度算法，可以以不同的優(yōu)先級(jí)將報(bào)文放入端口的輸出隊(duì)列。支持豐富的IPv6管理功能及支持豐富的IPV6業(yè)務(wù)特性等。PoE供電款型可以提供每端口最大30W的輸出功率，可以為802.11n的無線接入點(diǎn)，可視IP電話，大功率的監(jiān)控?cái)z像頭以及更多的終端設(shè)備提供以太網(wǎng)供電能力。支持特有的ARP入侵檢測(cè)功能，可

33、有效防止黑客或攻擊者通過ARP報(bào)文實(shí)施日趨盛行的“ARP欺騙攻擊”。支持IP Source Guard特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及DoS攻擊。另外，利用DHCP Snooping的信任端口特性還可以有效杜絕私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實(shí)性和一致性。支持端口安全特性族，可以有效防范基于MAC地址的攻擊，實(shí)現(xiàn)基于MAC地址允許/限制流量。提供802.1X和MAC認(rèn)證方式對(duì)接入的用戶進(jìn)行認(rèn)證，支持客戶端軟件版本檢測(cè)、Guest VLAN等功能，和iMC配合還可以實(shí)現(xiàn)代理檢測(cè)、雙網(wǎng)卡檢測(cè)等功能。7.H3C WA4320i-ACN-FIT 無線

34、接入點(diǎn)H3C WA4300 i系列是H3C公司自主研發(fā)的新一代基于2-Streams 11ac MIMO技術(shù)的千兆高速無線接入設(shè)備(以下簡(jiǎn)稱AP)，可提供相當(dāng)于傳統(tǒng)802.11n網(wǎng)絡(luò)3倍以上的無線接入速率，能夠覆蓋更大的范圍。 WA4300 i系列目前有WA4320i-ACN一款產(chǎn)品，全部?jī)?nèi)置終端感知型硬件智能天線陣列，外型小巧美觀，安裝方式靈活，適用于壁掛、吸頂?shù)榷喾N安裝方式。WA4300 i系列AP遵從802.11ac協(xié)議標(biāo)準(zhǔn)，能提供空間2流(2-Streams) 867Mbps的無線傳輸速率以及整機(jī)千兆接入能力，是相同環(huán)境下802.11n產(chǎn)品3倍左右。通過內(nèi)置集成終端感知型硬件智能天線覆

35、蓋技術(shù)，可以有效地從覆蓋范圍、接入密度、運(yùn)行穩(wěn)定等方面提供更高性能的移動(dòng)云接入服務(wù)并協(xié)助用戶實(shí)現(xiàn)優(yōu)質(zhì)的無線網(wǎng)絡(luò)TCO(總擁有成本/Total Cost of Ownership)。支持Fat和Fit兩種工作模式，根據(jù)網(wǎng)絡(luò)規(guī)劃的需要，可以靈活地在Fat和Fit兩種工作模式中切換，同時(shí)用戶可以根據(jù)應(yīng)用需求，靈活選擇所需的設(shè)備出廠版本(Fat模式版本或Fit模式版本)。支持智能負(fù)載均衡技術(shù)，保證只對(duì)處于覆蓋重疊區(qū)的無線用戶才啟動(dòng)負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量 H3C全系列無線產(chǎn)品都可以通過開放的網(wǎng)絡(luò)管理協(xié)議實(shí)現(xiàn)基于WSM的有線無線一體化管理。WSM是H3C在下

36、一代業(yè)務(wù)軟件平臺(tái)iMC(intelligence Management Center/智能管理中心)的基礎(chǔ)上開發(fā)的無線運(yùn)營(yíng)管理組件，不僅為管理員提供了靈活的組件選擇，同時(shí)符合業(yè)界主流的SOA架構(gòu)，具備良好的擴(kuò)展性，能夠滿足客戶網(wǎng)絡(luò)管理不斷發(fā)展的需求?；赪eb的管理系統(tǒng)，為無線業(yè)務(wù)管理者提供了簡(jiǎn)便、友好的管理平臺(tái)。與iMC智能管理平臺(tái)及其它組件配合，還可實(shí)現(xiàn)無線設(shè)備的面板管理、故障管理、性能監(jiān)控、軟件版本管理、配置文件管理、接入用戶管理等功能，并可對(duì)網(wǎng)絡(luò)中的其它設(shè)備進(jìn)行統(tǒng)一管理，真正實(shí)現(xiàn)智能型有線無線一體化管理。8.設(shè)備清單型號(hào)數(shù)量描述防火墻F1000-C-G2116個(gè)千兆電和8個(gè)千兆光口，可

37、擴(kuò)展插卡，自帶固定電源路由器MSR36401機(jī)箱式設(shè)備，固定3個(gè)電口（2Comob），可擴(kuò)展插卡，內(nèi)置冗余電源核心交換機(jī)S5800-32C-EI124個(gè)千兆電和4個(gè)萬兆光，可擴(kuò)展插卡，內(nèi)置冗余電源匯聚交換機(jī)S5130-28S-EI224個(gè)千兆電和4個(gè)萬兆光，自帶固定電源接入交換機(jī)（POE）S5024PV2-EI-PWR624個(gè)千兆電和4個(gè)萬兆光，可支持POE供電，自帶固定電源無線控制器WX3510H18個(gè)千兆光電復(fù)用口，最大可管理256個(gè)AP，自帶固定電源無線APWA4320I-ACN-FIT722個(gè)千兆電口，支持本地供電和POE兩種供電方式，雙頻，內(nèi)置智能天線四、設(shè)備配置1.防火墻配置 ip

38、 vpn-instance management route-distinguisher 1000000000:1 vpn-target 1000000000:1 import-extcommunity vpn-target 1000000000:1 export-extcommunity# irf mac-address persistent timer irf auto-update enable undo irf link-delay irf member 1 priority 1# interface GigabitEthernet1/0/0 port link-mode route

39、combo enable copper ip binding vpn-instance management ip nat outbound 20002.路由器配置 dhcp server ip-pool vlan1 dns# dhcp server ip-pool vlan20 dns# dhcp server ip-pool vlan101 dns3.無線控制器配置 wlan service-template 2 crypto ssid DASHA bind WLAN-ESS 0 cipher-suite ccmp security-ie rsn service-template enab

40、le# wlan service-template 3 clear ssid DASHA-GUEST bind WLAN-ESS 1 client-rate-limit direction inbound mode static cir 1024 client-rate-limit direction outbound mode static cir 1024 service-template enable# wlan ap-group default_group ap 1 ap 2 ap 50da-00f5-ba00 ap 70f9-6dbd-1380 dot11a service-temp

41、late 2 dot11a service-template 3 dot11bg service-template 2 dot11bg service-template 3 dot11a radio enable dot11bg radio enable# interface NULL0 # interface WLAN-ESS0 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 101 untagged port hybrid pvid vlan 101 mac-vlan enable port-security p

42、ort-mode psk port-security tx-key-type 11key port-security preshared-key pass-phrase cipher $c$3$fC9qVvIY7Z+nOMOCVFkVKuB10/6amTxn2sLOymO41wznsyc=# interface WLAN-ESS1 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 20 101 untagged port hybrid pvid vlan 20# wlan ap 1 model WA4320i-ACN id 1 serial-id auto radio 1 service-template 2 service-template 3 radio enable radio 2 service-template 2 service-template 3 r