云網(wǎng)融合系統(tǒng)

解決方案云網(wǎng)融合系統(tǒng)解決方案 V1.0云網(wǎng)融合系統(tǒng)解決方案 V1.0通過防火墻可以有效地監(jiān)控非信任端接口和內(nèi)部網(wǎng)之間的活動， 形成保護(hù)內(nèi)部網(wǎng)絡(luò)的安全邊界，保證內(nèi)部網(wǎng)絡(luò)和重要子網(wǎng)的安全。在網(wǎng)絡(luò)中我們設(shè)計了1臺防火墻，安全區(qū)邊界部署一臺防火墻。如下圖所示：圖0-1防火墻部署示意圖在防火墻上通過設(shè)置安全策略增加對服務(wù)器的保護(hù)，同時必要時還可以啟用防火墻的NA砌能隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使用日志來對非法訪問進(jìn)行監(jiān)控，使用防火墻與入侵檢測聯(lián)動功能形成動態(tài)、自適應(yīng)的安全防護(hù)平臺。下面將從幾個方面介紹防火墻在信息網(wǎng)的設(shè)計Zu0防火墻對各服器群的保護(hù)在服務(wù)器相對集中的區(qū)域，如內(nèi)網(wǎng)服務(wù)器區(qū)、 DM型:域，這些區(qū)域運行中重要服務(wù)器是需要著重保護(hù)的地方。通過在應(yīng)用服務(wù)器區(qū)前方部署防火墻，配置合理的安全策略可以審核對服務(wù)器的訪問，過濾非法的的訪問請求、隱藏服務(wù)器相關(guān)信息。防火墻對核心內(nèi)部不同安全區(qū)域的保護(hù)對于核心內(nèi)部不同安全區(qū)域部分，在實施策略時，也可以配置防火墻工作與透明模式下，并設(shè)置只允許各安全區(qū)域間只能訪問業(yè)務(wù)所需的特定服務(wù)器和網(wǎng)絡(luò)服務(wù)。也可以在防火墻上配置NA似MAPft略，能夠更好地隱藏內(nèi)部網(wǎng)絡(luò)地址結(jié)構(gòu)等信息，從而更好地保護(hù)核心內(nèi)部安全區(qū)域間的系統(tǒng)安全。防火墻對網(wǎng)絡(luò)邊界的保護(hù)對于信息網(wǎng)的邊界而言，單獨地網(wǎng)絡(luò)系統(tǒng)都是一個獨立的網(wǎng)絡(luò)安全區(qū)域， 因此在網(wǎng)絡(luò)邊界處部署高性能防火墻系統(tǒng)，制定安全的訪問策略，不僅可以有效地保護(hù)內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)和數(shù)據(jù)安全，還可以防止各網(wǎng)絡(luò)之間有意無意地探測和攻擊行為。完整的地址轉(zhuǎn)換網(wǎng)絡(luò)衛(wèi)士系列防火墻擁有強(qiáng)大的地址轉(zhuǎn)換能力。網(wǎng)絡(luò)衛(wèi)士系列防火墻同時支持正向、反向地址轉(zhuǎn)換，能為用戶提供完整的地址轉(zhuǎn)換解決方案。正向地址轉(zhuǎn)換用于使用私有IP地址的內(nèi)部網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址時

對源地址進(jìn)行轉(zhuǎn)換。網(wǎng)絡(luò)衛(wèi)士系列防火墻支持依據(jù)源或目的地址指定轉(zhuǎn)換地址的靜態(tài) NAT方式和從地址緩沖池中隨機(jī)選取轉(zhuǎn)換地址的動態(tài)NA*式，可以滿足絕大多數(shù)網(wǎng)絡(luò)環(huán)境的需求。對公眾網(wǎng)來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并不認(rèn)為是來自內(nèi)部網(wǎng)的某個地址，這樣能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息。 同時內(nèi)部網(wǎng)用戶共享使用這些轉(zhuǎn)換地址，自身使用私有IP地址就可以正常訪問公眾網(wǎng)，有效的解決了公有 IP地址不足的問題。內(nèi)部網(wǎng)用戶對公眾網(wǎng)提供訪問服務(wù)（如Web、FTP服務(wù)等）的服務(wù)器如果是私有IP地址，或者想隱藏服務(wù)器的真實IP地址，都可以使用網(wǎng)絡(luò)衛(wèi)士系列防火墻的反向地址轉(zhuǎn)換來對目的地址進(jìn)行轉(zhuǎn)換。公眾網(wǎng)訪問防火墻的反向轉(zhuǎn)換地址，由內(nèi)部網(wǎng)使用保留IP地址的服務(wù)器提供服務(wù)，同樣既可以解決公有IP地址不足的問題，又能有效地隱藏內(nèi)部服務(wù)器信息，對服務(wù)器進(jìn)行保護(hù)。網(wǎng)絡(luò)衛(wèi)士系列防火墻提供端口映射和IP映射兩種反向地址轉(zhuǎn)換方式，端口映射安全性更高、更節(jié)省公有IP地址，IP映射則更為靈活方便。建立完整、動態(tài)的安全防護(hù)體系在防火墻上除了通過設(shè)置安全策略來增加對服務(wù)器或內(nèi)部網(wǎng)的保護(hù)以外，同時還可以啟用防火墻日志服務(wù)器記錄功能來記錄所有的訪問情況，對非法訪問進(jìn)行監(jiān)控；還可以使用防火墻與將要實施的入侵檢測系統(tǒng)之間的實時聯(lián)動功能，形成動態(tài)、完整的、安全的防護(hù)體系。VPN系統(tǒng)概述在經(jīng)濟(jì)全球化的今天，在開展業(yè)務(wù)的，移動辦公人員也隨之劇增。在這樣的背景下，這些出差移動辦公人員與學(xué)校都可能經(jīng)過互聯(lián)網(wǎng)建立連接通道以進(jìn)行信息傳送，以及學(xué)們在校外維護(hù)安全維護(hù)Intranet。虛擬專用網(wǎng)是校園網(wǎng)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。虛擬專用網(wǎng)通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶與校園網(wǎng)連接起來，構(gòu)成一個虛擬專用網(wǎng)。在該網(wǎng)中的主機(jī)將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個獨立的專有網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)仿佛是只由本網(wǎng)絡(luò)在獨占使用，而事實上并非如此，所以稱之虛擬專用。之所以采用虛擬專用網(wǎng)是因為 VPNT以下幾方面優(yōu)點：安全傳輸降低成本容易擴(kuò)展完全控制主動權(quán)全方位的安全保護(hù)高的性價比使用和管理方便投資保護(hù)虛擬專用網(wǎng)VPNK用了一種稱之為隧道的技術(shù)。隧道技術(shù)的基本過程是在源內(nèi)部網(wǎng)與公用網(wǎng)的接口處將內(nèi)部網(wǎng)發(fā)送的數(shù)據(jù)（可以是ISO七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù)）作為負(fù)載封裝在一種可以在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中， 在目的內(nèi)部網(wǎng)與公用網(wǎng)的接口處將公用網(wǎng)的數(shù)據(jù)解封裝后，取出負(fù)載即源內(nèi)網(wǎng)發(fā)送的數(shù)據(jù)向目的內(nèi)網(wǎng)傳輸。由于封裝與解封裝只在兩個接口處由設(shè)備按照隧道協(xié)議配置進(jìn)行，內(nèi)網(wǎng)中的其他設(shè)備將不會覺察到這一過程，對與內(nèi)部網(wǎng)用戶來說這一切都是透明的。但提供了網(wǎng)絡(luò)數(shù)據(jù)在不安全公網(wǎng)中安全傳輸?shù)哪芰?。防火墻附帶VPN功能防火墻的VPN功能部署如下圖所示：用戶5.7.10防火墻系統(tǒng)中的用戶5.7.10防火墻系統(tǒng)中的VPN作用7一l戶通過部署VPN系統(tǒng)，在解決安全傳輸?shù)那疤嵯?，主要為校?nèi)員工及學(xué)生提供以下服務(wù)：通信保密性策略：VPN在傳輸數(shù)據(jù)包之前將其加密.以保證數(shù)據(jù)的保密性，防止數(shù)據(jù)在通過互聯(lián)網(wǎng)傳輸過程中被竊聽，造成信息泄露；通信完整性策略：VPN在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包任傳輸過程中沒有被修改或替換，防止數(shù)據(jù)在通過互聯(lián)網(wǎng)傳輸過程中被篡改，造成信息失真，對業(yè)務(wù)帶來破壞；通信身份認(rèn)證策略：VPN端要驗證所有受IPSec保護(hù)的數(shù)據(jù)包，特別是驗證遠(yuǎn)程訪問者的身份，確保只有那些合法用戶才能建立遠(yuǎn)程連接，進(jìn)行訪問；抗重放策略：VPN防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報文的序列號實現(xiàn)。集中管理策略：對于遠(yuǎn)程用戶，通過VPN集中管理器統(tǒng)一分發(fā)證書，這樣能夠很好地保持證書在網(wǎng)絡(luò)中的唯一性，確保遠(yuǎn)程建立隧道時身份鑒別的有效性，防止非法的建立隧道并發(fā)起訪問。網(wǎng)絡(luò)版殺毒軟件設(shè)計在傳輸中心專網(wǎng)上部署統(tǒng)一的網(wǎng)絡(luò)防病毒軟件， 實現(xiàn)全省級聯(lián)，集中監(jiān)控，以及實現(xiàn)對全網(wǎng)絡(luò)防病毒系統(tǒng)的統(tǒng)一管理與病毒查殺、 計算機(jī)病毒傳播；并生產(chǎn)相關(guān)報表，建立病毒爆發(fā)預(yù)警及預(yù)測，保進(jìn)一步提升用戶網(wǎng)絡(luò)的安全防護(hù)能力，確保用戶信息化應(yīng)用安全暢通。本方案設(shè)計采用的是金山企業(yè)終端防護(hù)優(yōu)化系統(tǒng)V8.0,為用戶營造整體防病毒體系，該方案整體防毒的五點基本思想如下：1）、整體防毒體系是全方位、多層次的。在XX用戶的方案中，金山企業(yè)終端防護(hù)優(yōu)化系統(tǒng)V8.0防毒技術(shù)體現(xiàn)了對多種系統(tǒng)平臺、多種應(yīng)用系統(tǒng)的全面支持，保證斬斷病毒傳播的各種渠道，實現(xiàn)病毒的全面防范。2）、消毒技術(shù)是關(guān)鍵。金山企業(yè)終端防護(hù)優(yōu)化系統(tǒng)V8.0最新的云安全引擎技術(shù)在各個安全節(jié)點上高效、徹底地消除各種已知、未知病毒的威脅，使得病毒在安全節(jié)點上就得到有效的控制，而不會通過各種渠道進(jìn)入用戶內(nèi)部，對內(nèi)部網(wǎng)絡(luò)資源和系統(tǒng)資源造成消耗和破壞。3）、防患于未然是管理的本質(zhì)。金山企業(yè)終端防護(hù)優(yōu)化系統(tǒng)率先引入“邊界防御”概念，結(jié)合金山自身的“鎧甲防御”、“移動設(shè)備5D實時防御”等技術(shù)，做到防患于未然，將病毒威脅攔截在系統(tǒng)邊界。止匕外，在本方案中，金山企業(yè)終端防護(hù)優(yōu)化系統(tǒng) V8.0強(qiáng)大的管理體現(xiàn)在實現(xiàn)跨多網(wǎng)絡(luò)的集中管理系統(tǒng)，它保證了整個防毒產(chǎn)品可以從管理系統(tǒng)中及時得到更新，同時向管理人員提供web管理方式，使得管理員可以在任何時間、任何地點通過瀏覽器對整個防毒系統(tǒng)進(jìn)行管理，使整個系統(tǒng)形成一個有機(jī)的整體，保證各個安全節(jié)點在高效的指揮下對病毒進(jìn)行有效的防御。4）、服務(wù)是整體防毒系統(tǒng)中的“靈魂”。服務(wù)的質(zhì)量直接影響到防病毒系統(tǒng)建立起來之后，整個系統(tǒng)能否對病毒進(jìn)行有效的防范。它不但要求安全廠商能及時地提供服務(wù)，還取決于安全廠商的技術(shù)實力。這需要廠商擁有的全球化的防毒研發(fā)體系為基礎(chǔ)，同時也要求廠商具有深厚應(yīng)用系統(tǒng)平臺的研發(fā)實力，這樣才能做到不管是系統(tǒng)使用中出現(xiàn)的問題，還是發(fā)現(xiàn)可疑的新病毒，都能進(jìn)行快速的分析和方案提供。金山安全作為中國最優(yōu)秀的軟件及服務(wù)公司，可以全面滿足XX用戶的服務(wù)要求。網(wǎng)絡(luò)設(shè)備選型核心路由設(shè)備為保證核心網(wǎng)絡(luò)的高穩(wěn)定性，考可靠性，我們采用RUISE力司的SR6600系列高端路由器，其特征為:.業(yè)界領(lǐng)先的開發(fā)理念路由器基于業(yè)界領(lǐng)先緊湊型設(shè)計理念，在2U高設(shè)備上不僅集成高密度高速端口，支持FIP-20和FIP-10靈活接口設(shè)計，還實現(xiàn)了可插拔冗余電源和模塊、風(fēng)扇可插拔功能，在保證設(shè)備高可靠性、網(wǎng)絡(luò)配置靈活性的同時確保業(yè)務(wù)模塊的兼容性， 最大限度保護(hù)用戶投資。.靈活豐富的接口設(shè)計路由器憑借靈活接口平臺設(shè)計具備強(qiáng)大的擴(kuò)展能力。 FIP-10可同時支持4個多功能接口模塊（MIM,FIP-20可以同時支持2個高速接口模塊（HIM）或2個多功能接口模塊（MIM,并支持HIM和MIM接口模塊之間混插。路由器支持萬兆、千兆、百兆以太網(wǎng)接口，支持 POSOC-48/OC-12/OC-3cPOSOC-3（通道化至E3/T3或E1/T1）、ATMOC-3E3/T3、E1/T1、Serial等廣域網(wǎng)接口。豐富的接口類型使得路由器既可作為廣域網(wǎng)的匯聚接入， 又可作為局域網(wǎng)的接入，一機(jī)多能，滿足扁平化組網(wǎng)需求，減少網(wǎng)絡(luò)層次，保護(hù)用戶投資。在文件系統(tǒng)方面，提供了種類豐富的存儲介質(zhì)，支持外置CF卡和USB除了滿足用戶日益增長的存儲容量需求外，還為用戶提供了靈活的存儲方式，方便了用戶采用不同的接口進(jìn)行文件管理。.強(qiáng)大的路由處理能力路由器支持大容量路由轉(zhuǎn)發(fā)表項，同時支持豐富的路由策略和強(qiáng)大的策略路由功能，可對網(wǎng)絡(luò)流量進(jìn)行靈活的控制和調(diào)度，滿足行業(yè)和運營商用戶不同業(yè)務(wù)特性要求。止匕外，還全面支持基于IPv4/IPv6靜態(tài)路由和動態(tài)路由協(xié)議，如：RIP/RIPng、OSPF/OSPFv3IS-IS/IS-ISv6、BGP/BGP4+。.專業(yè)的路由網(wǎng)關(guān)隨著公網(wǎng)IP地址資源的耗盡以及園區(qū)網(wǎng)絡(luò)用戶規(guī)模的激增，用戶對網(wǎng)絡(luò)出口路由設(shè)備NAT性能要求的逐步提高。憑借其先進(jìn)的多核高性能處理技術(shù)，提供專門的內(nèi)核處理NAT專發(fā)。當(dāng)并發(fā)200萬NAT連接時，256字節(jié)以及IMIX互聯(lián)網(wǎng)混合報文的NAT專發(fā)性能超過10Gbps上述強(qiáng)大的NATW發(fā)性能可充分滿足各種超大型園區(qū)網(wǎng)出口設(shè)備性能要求，以及用戶對未來網(wǎng)絡(luò)的擴(kuò)容需求。與此同時，越來越多的企業(yè)希望利用公共網(wǎng)絡(luò)組建 VPN連接地理位置不同的多個分支機(jī)構(gòu)。路由器支持全面的L2TP、IPSec以及GRE1道技術(shù)，在硬件上支持獨立的硬件加密內(nèi)核，在不增加用戶投資的前提下可提供8GbpsIPSec數(shù)據(jù)加密處理能力，6000條IPSec隧道、18000條L2TP隧道、4000條GREB道，高性能的加密能力以及超大的隧道容量可以滿足各種大型加密網(wǎng)關(guān)的要求，保證用戶數(shù)據(jù)在廣域網(wǎng)的傳輸安全。止匕外，傳統(tǒng)VPN#術(shù)在靈活性和可維護(hù)性上還存在著不足， 例如企業(yè)分支機(jī)構(gòu)通常采用動態(tài)地址接入公共網(wǎng)絡(luò)，通信一方無法事先知道對端公網(wǎng)地址， 以及全連接時配置的打問題等等。RUISEE針對上述用戶業(yè)務(wù)需求，提供專業(yè) DVPN(DynamicVirtualPrivateNetwork,動態(tài)虛擬專用網(wǎng)絡(luò))解決方案：通過VAM(VPNAddressManagementVPNft址管理)協(xié)議收集、維護(hù)和分發(fā)動態(tài)變化的公網(wǎng)地址等信息，解決無法事先獲得通信對端公網(wǎng)地址的問題。DVPN可以在企業(yè)網(wǎng)各分支機(jī)構(gòu)使用動態(tài)地址接入公網(wǎng)的情況下，在各分支機(jī)構(gòu)間建立VPN在組網(wǎng)的靈活性以及維護(hù)工作量精簡都有大幅提高，此外還提供很多豐富的特性，例如：DVPN艮文的NA松越、安全認(rèn)證、IPSec的報文加密以及多VPN?等.業(yè)務(wù)帶寬的智能管理廣域網(wǎng)上承載著企業(yè)重要繁多的業(yè)務(wù)流量，但是由于廣域網(wǎng)自身存在高收斂比、擁塞、延時、丟包等特征，如何在這些不足的環(huán)境下最大化利用網(wǎng)絡(luò)帶寬資源， 提高系統(tǒng)可靠傳輸應(yīng)用是廣域網(wǎng)設(shè)備面臨的重要課題。 RUISEE通過多年企業(yè)網(wǎng)建設(shè)經(jīng)驗，積累了很多企業(yè)網(wǎng)帶寬應(yīng)用的需求，通過需求分析到最終的需求滿足形成一套完善的業(yè)務(wù)帶寬管理機(jī)制。主要包括以下幾個方面：,主備網(wǎng)絡(luò)的帶寬管理：充分利用備份網(wǎng)絡(luò)資源，主網(wǎng)絡(luò)資源緊張的情況下，根據(jù)事先設(shè)定好的策略，將一部分?jǐn)?shù)據(jù)流量重路由到備份網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)傳輸， 使閑置的資源可以得到充分利用達(dá)到100燦用；?UCMPIE等價路由智能負(fù)載：UCMM別于彳^統(tǒng)的ECMP其最大特點是利用權(quán)重值來區(qū)別對待帶寬的使用，使得兩條不同帶寬的出口，可根據(jù)帶寬大小不同來承擔(dān)不同的數(shù)據(jù)流量傳輸；?帶寬預(yù)留與資源共享：網(wǎng)絡(luò)可以為每部門劃分一定獨享帶寬，保證關(guān)鍵業(yè)務(wù)質(zhì)量，剩余帶寬為共享帶寬，超過獨享帶寬時使用，滿足流量突發(fā)需求；?分層CARg高帶寬利用率：把傳統(tǒng)一層CA敬術(shù)實現(xiàn)多級處理，通過多級處理使得帶寬可重分配，業(yè)務(wù)傳輸帶寬利用率大幅提升；?先進(jìn)的分層隊列調(diào)度HQoS(HierarchicalQualityofService ):隨著用戶規(guī)模的擴(kuò)大、業(yè)務(wù)種類的增多，要求網(wǎng)絡(luò)設(shè)備不僅能夠進(jìn)一步細(xì)化區(qū)分業(yè)務(wù)流量， 而且還能夠?qū)Χ鄠€用戶、多種業(yè)務(wù)、多種流量等傳輸對象進(jìn)行統(tǒng)一管理和分層調(diào)度。顯然，這些應(yīng)用對于傳統(tǒng)的QoS技術(shù)來說是很難實現(xiàn)的。HQoS^用將調(diào)度隊列劃分為如物理級別、邏輯級別、應(yīng)用或業(yè)務(wù)級別等多個調(diào)度級別，每一級別可以使用不同的特征進(jìn)行流量管理，實現(xiàn)了多層次的流量管理，從而可以更好地幫助運營商實現(xiàn)多用戶、多業(yè)務(wù)的服務(wù)管理。.全方位網(wǎng)絡(luò)安全防護(hù)路由器內(nèi)置多種安全特性，為用戶的網(wǎng)絡(luò)提供全方位安全防護(hù)：全面的防火墻功能：支持包過濾防火墻、狀態(tài)防火墻，過濾各種攻擊報文，并能提供過濾日志。特有的ACL加速算法，消除了ACL過濾規(guī)則數(shù)目對防火墻性能的影響；全面的內(nèi)置防攻擊手段：支持各種ARP防攻擊技術(shù)，如：ARP艮速、ARP的DHCP&全認(rèn)證、授權(quán)ARPARP主動確認(rèn)、AR哪MAC-致性檢查等等，可以很好地防范內(nèi)網(wǎng)中日益猖獗的 ARP攻擊，保證網(wǎng)絡(luò)業(yè)務(wù)運行的穩(wěn)定性；單包攻擊防范：可以對Fraggle、ICMPRedirect、ICMPUnreachable、LANDLargeICMPRouteRecord、Smurf、SourceRoute、TCPFlag、Tracert、WinNuke等單包攻擊行為進(jìn)行有效防范；掃描攻擊防范：攻擊者運用掃描工具對網(wǎng)絡(luò)進(jìn)行主機(jī)地址或端口的掃描，通過準(zhǔn)確定位潛在目標(biāo)的位置，探測目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和啟用的服務(wù)類型， 為進(jìn)一步侵入目標(biāo)系統(tǒng)做準(zhǔn)備；泛洪攻擊防范：有效阻止SYNFlood攻擊、ICMPFlood攻擊、UDPFlood黑名單功能：根據(jù)報文的源IP地址進(jìn)行報文過濾的一種攻擊防范特性。同基于ACL（AccessControlList,訪問控制列表）的包過濾功能相比，黑名單進(jìn)行報文匹配的方式更為簡單，可以實現(xiàn)報文的高速過濾，從而有效地將特定IP地址發(fā)送來的報文屏蔽掉；流量統(tǒng)計輔助攻擊防范：主要用于對內(nèi)外部網(wǎng)絡(luò)之間的會話建立情況進(jìn)行統(tǒng)計與分析，具有一定的實時性，可幫助網(wǎng)絡(luò)管理員及時掌握網(wǎng)絡(luò)中各類型會話的統(tǒng)計值， 并可作為制定攻擊防范策略的一個有效依據(jù)；支持URL過濾，避免用戶訪問非法網(wǎng)站；完備的用戶行為跟蹤記錄：支持完善的日志功能，配合RUISE蟲司的iMCUBAS用戶行為審計）解決方案，使網(wǎng)絡(luò)管理員可以方便監(jiān)控上網(wǎng)用戶的行為， 保證網(wǎng)絡(luò)安全運行。.運營級可靠性設(shè)計路由器秉承高端設(shè)計理念給用戶提供全面的可靠性保障：在硬件上，提供可插拔電源冗余設(shè)計，支持交流或直流電源輸入，保證用戶在一路電源故障的情況下能夠繼續(xù)運行設(shè)備；支持全部接口模塊的熱插拔功能，確保用戶在不間斷業(yè)務(wù)的情況下插拔或者更換單獨的模塊，并提供熱補丁技術(shù)，實現(xiàn)軟件平滑升級。支持MPLSTEFRRFastReRoute，快速重路由）,具備快速路由備份（FRBFastRoutingBackup）特色功能，并結(jié)合BFD功能，實現(xiàn)故障鏈路的快速切換。,支持IPFRR（FastReRoute,快速重路由），可以和靜態(tài)路由/策略路由/RIP/IS-IS/OSPF進(jìn)行聯(lián)動，并可以結(jié)合BFM能，實現(xiàn)故障鏈路的快速路由切換。支持IGP快速收斂。支持虛擬路由冗余協(xié)議（VRRP,結(jié)合BFD故障檢測機(jī)制，實現(xiàn)快速的VRR響換能力。此外，還支持增強(qiáng)型虛擬路由冗余協(xié)議（VRRPE可實現(xiàn)多個虛擬路由器的負(fù)載分擔(dān)功能。支持OSPF/IS-IS/BGP/MPLSLDP/MPLSRSVP-TEGR（GracefulRestart,完美重啟）功能實現(xiàn)主備引擎倒換時不間斷轉(zhuǎn)發(fā)。5.8.2核心交換設(shè)備為保證核心網(wǎng)絡(luò)的高穩(wěn)定性，考可靠性，同時考慮到接入全網(wǎng)的數(shù)據(jù)中心，我們采用RUISE蟲司的數(shù)據(jù)中心級別的S7500E高端路由交換機(jī)，其特征為：.基于IRF2(第二代智能彈性架構(gòu))技術(shù)的虛擬化架構(gòu)RUISEES7500E(X)面向數(shù)據(jù)中心技術(shù)的演進(jìn)，推出了IRF2為代表的軟件虛擬化技術(shù)，提供2-4臺主機(jī)的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)功能；IRF2不僅成為數(shù)據(jù)中心交換設(shè)備高性能、虛擬化的關(guān)鍵技術(shù)，而且對于傳統(tǒng)企業(yè)網(wǎng)應(yīng)用， IRF2所提供的高可靠性和無縫升級、擴(kuò)展能力，也成為RUISEEffl戶增值服務(wù)的重要組成部分；另外RUISEE的IRF2虛擬化技術(shù)還可根據(jù)組網(wǎng)的要求支持長距離(80KM的普通以太網(wǎng)萬兆光纖堆疊。.全面的MPLSVPLS#務(wù)能力RUISEES7500E(X)所有產(chǎn)品均支持Multi-VRF特性，可以作為MC豉備使用；支持三層的MPLSVPM口二層的MPLSVPNMartini、Kompella);支持MPLSOA幃性，方便用戶的管理和維護(hù)；與RUISEEMPLSVPNManaged合，實現(xiàn)圖形化的MPLS?署與維護(hù)。全面支持VPLSVLL,還支寸I分層VPLS以及QINQ+VPLSI入方式，提供端到端2層VPNg入方案，支持MPLS/VPL全線速轉(zhuǎn)發(fā)，滿足VPLSg模部署要求。.高性能IPv4/IPv6業(yè)務(wù)能力RUISEES7500E(X四持IPv4/IPv6雙協(xié)議棧，支持多種隧道技術(shù)，支持IPv4/IPv6的組播技術(shù)，為用戶提供完善的IPv4/IPv6解決方案；RUISEES7500E(X)采用分布式體系架構(gòu)，實現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)；RUISEES7500E(X)已經(jīng)通過了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段認(rèn)證，是成熟商用的IPv6產(chǎn)品。.有線無線一體化，有源無源一體化RUISEES7500E(X)集成的無線控制模塊提供豐富的業(yè)務(wù)能力，包括精細(xì)的用戶控制管理、完善的RF管理及安全機(jī)制、快速漫游、超強(qiáng)的QoSffiXtIPv6的支持等；無線控制模塊通過與安全策略服務(wù)器的聯(lián)動，實現(xiàn)對無線接入用戶的端點準(zhǔn)入防御，提高了整網(wǎng)的安全性。RUISEES7500E(X足業(yè)界最高密度的以太網(wǎng)無源光網(wǎng)絡(luò)(EPON設(shè)備，其提供高可靠的EPON(統(tǒng)，采用分布式體系結(jié)構(gòu)、模塊化設(shè)計，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，具有電信級可靠性。EAD?點準(zhǔn)入防護(hù)技術(shù)RUISEES7500E(X住持大容量的Portal認(rèn)證功能，可以在數(shù)千用戶的局域網(wǎng)中做為EAD網(wǎng)關(guān)設(shè)備，為全網(wǎng)用戶提供EA皿全認(rèn)證功能；可以在大中型的校園網(wǎng)中擔(dān)任匯聚/核心設(shè)備的同時，為學(xué)生宿舍區(qū)的認(rèn)證計費提供 Portal認(rèn)證功能。.三平面安全保障機(jī)制RUISEES7500E(X)提供完善的安全防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置協(xié)議報文攻擊識別模塊，防止TCNAR琳協(xié)議報文攻擊，OSPF/BGP/IS-IS路由協(xié)議采用MD5僉證，防止非法路由更新報文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，SNMPv3］管協(xié)、議,SSHV2,基于802.1x、AAA/Radius的用戶身份認(rèn)證以及分級的用戶權(quán)限管理保證了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持IP、VLAN、MAG口端口等多種組合精細(xì)綁定；支持uRPF單播反向路徑轉(zhuǎn)發(fā)，防止非法流量訪問網(wǎng)絡(luò)，采用最長匹配逐包轉(zhuǎn)發(fā)機(jī)制，有效抵御病毒的攻擊。 RUISEES7500E(X還支持內(nèi)置的高性能防火墻、異常流量清洗等模塊，將專業(yè)的安全融入到交換機(jī)之中。.有線無線全面支持EADRUISEES7500E(X足EAD?點準(zhǔn)入防御解決方案的重要組成部分，S7500E(X)可以動態(tài)的接收來自安全策略服務(wù)器的控制策略，根據(jù)終端的安全狀態(tài)給予下發(fā)相應(yīng)的訪問權(quán)限。RUISEES7500E(X既支持有線終端用戶的EAD也支持無線終端用戶的EAD能夠做到終端安全防范無漏洞。.增強(qiáng)的ACL#性RUISEES7500E(X)系列產(chǎn)品支持強(qiáng)大的ACK力：支持標(biāo)準(zhǔn)和擴(kuò)展ACL支持基于VLAN的ACL方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL滿足金融等行業(yè)訪問權(quán)限嚴(yán)格控制的需求。.電信級高可靠性設(shè)計RUISEES7500E(X)采用無單點故障設(shè)計，所有關(guān)鍵部件，如主控板、交換網(wǎng)、電源和風(fēng)扇等采用冗余設(shè)計；無源背板避免了機(jī)箱出現(xiàn)單點故障；所有單板和電源模塊支持熱插拔功能； RUISEES7500E(X)系列可以在惡劣的環(huán)境下長時間穩(wěn)定運行，達(dá)到 99.999%的電信級可靠性。.多業(yè)務(wù)高可靠性運行RUISEES7500E(X)支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級的切換時間；支持等價路由，可幫助用戶建立多條等值路徑，實現(xiàn)流量的負(fù)載均衡及冗余備份；支持RRP映速環(huán)網(wǎng)保護(hù)協(xié)議；支持Smart-Link協(xié)議，保證雙上行網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)毫秒級快速切換。通過上述技術(shù)，RUISEES7500E(X可以在承載多業(yè)務(wù)的情況下不間斷運行，實現(xiàn)業(yè)務(wù)的永續(xù)。.基于IRF2架構(gòu)的HAIRF2技術(shù)可以把多臺S7500E(X)虛擬成一個“聯(lián)合設(shè)備”，使用和配置都如同一臺機(jī)器，而且擴(kuò)展端口數(shù)量和交換能力，同時也通過多臺設(shè)備之間的互相備份增強(qiáng)了設(shè)備的可靠性，提供毫秒級的鏈路收斂能力。簡化了管理過程，降低管理成本，并可根據(jù)實際需求平滑擴(kuò)容網(wǎng)絡(luò)容量。支持基于硬件的豐富的OAMC障檢測機(jī)制，實現(xiàn)毫秒級鏈路故障檢測。5.8.328個接入級設(shè)備縣路由器設(shè)備采用RUISEE勺MSR系列多業(yè)務(wù)路由器。.先進(jìn)的技術(shù)支撐?采用RUISEE成熟的Comware網(wǎng)絡(luò)操作系統(tǒng)，提供更智能的業(yè)務(wù)調(diào)度管理機(jī)制，支持業(yè)務(wù)模塊化的松耦合，并能實現(xiàn)進(jìn)程和補丁的動態(tài)加載?卓越的高性能多核CPLM理器，極大提升多業(yè)務(wù)并發(fā)處理能力?支持OAAF放式應(yīng)用架構(gòu)，支持云業(yè)務(wù)平臺CVKVMWARe域網(wǎng)優(yōu)化（WAN、Lync協(xié)同辦公、客戶第三方的業(yè)務(wù)等開放式應(yīng)用,自主創(chuàng)新的智能鏈路引擎CUBES術(shù)，不僅提升了SIC卡的總線帶寬，還可以自動靈活分配接口資源.強(qiáng)大的安全功能?業(yè)務(wù)安全《報文過濾功能，支持狀態(tài)過濾、MAC!址過濾、IP和端口號過濾、時間段過濾等c支持業(yè)務(wù)流量實時分析等?網(wǎng)絡(luò)安全￡多樣化的VPNM術(shù)，包括IPsec、L2TRGREMPLS/PN以及多種VPNg術(shù)的疊加使用￡支持路由器協(xié)議的安全防護(hù)，支持OSPF/RIP/IS-IS/BGP動態(tài)路由協(xié)議認(rèn)證、支持OSPFv3/RIPng/IS-ISv6/BGP的IPSec力口密、支持豐富的路由策略控制功能?終端接入安全《一體化的終端接入綁定認(rèn)證，包括EA汝全檢查認(rèn)證、802.1x認(rèn)證、終端MAO址認(rèn)證