XX學(xué)院

校園網(wǎng)絡(luò)設(shè)計(jì)方案

XXX年XX月

目錄

第1章概述.........................................

第2章系統(tǒng)建設(shè)需求................................

第3章網(wǎng)絡(luò)平臺(tái)建設(shè)方案............................

3.1網(wǎng)絡(luò)設(shè)計(jì)原則..................................

3.2網(wǎng)絡(luò)層次化設(shè)計(jì)................................

3.3校園網(wǎng)絡(luò)總體構(gòu)造..............................

3.3.1關(guān)鍵層設(shè)計(jì)................................

3.3.2數(shù)據(jù)中心設(shè)計(jì)..............................

3.3.3匯聚層設(shè)計(jì)................................

3.3.4網(wǎng)絡(luò)出口設(shè)計(jì)..............................

3.3.5接入層設(shè)計(jì)................................

3.3.6無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)..............................

3.4網(wǎng)絡(luò)安全性設(shè)計(jì)...............................

3.4.1重要安全區(qū)域隔離..........................

3.4.2出口帶寬監(jiān)管..............................

3.4.3網(wǎng)絡(luò)安全保護(hù)..............................

3.5網(wǎng)絡(luò)可靠性設(shè)計(jì)................................

3.5.1物理設(shè)備和鏈路穩(wěn)定性......................

3.5.1.1網(wǎng)絡(luò)構(gòu)造的可靠性.......................

3.5.1.2設(shè)備級(jí)冗余性設(shè)計(jì).......................

3.5.1.3鏈路冗余配置...........................

3.5.2數(shù)據(jù)鏈路層穩(wěn)定性設(shè)計(jì)......................

3.5.2.1網(wǎng)絡(luò)布署MSTP..........................

3.5.2.2生成枕邊緣端口.........................

3.5.2.3DLDP技術(shù)運(yùn)用..........................

3.5.3網(wǎng)絡(luò)層穩(wěn)定性設(shè)計(jì)..........................

3.6網(wǎng)絡(luò)管理設(shè)計(jì)..................................

3.6.1資源管理..................................

3.6.2拓?fù)涔芾?.................................

3.6.3故障（告警/事件）管理....................

3.6.4性能管理..................................

3.6.5圖形化設(shè)備管理............................

3.6.6集中配置管理..............................

3.7顧客管理系統(tǒng)

3.8方案總結(jié)及優(yōu)勢(shì)闡明

第1章概述

廣州XX職業(yè)技術(shù)學(xué)院（如下簡(jiǎn)稱(chēng)為XX學(xué)院）1999年3月經(jīng)教育部同意成

立，是中國(guó)XX總局唯一一所獨(dú)立設(shè)置實(shí)行高等職業(yè)教育的全日制一般高等院校,

是“國(guó)家示范性高等職業(yè)院校建設(shè)計(jì)劃“立項(xiàng)建沒(méi)院校之一。

根據(jù)國(guó)家示范性高等職業(yè)院校建設(shè)項(xiàng)目的規(guī)定，XX學(xué)院擬完善數(shù)字化校園

網(wǎng)絡(luò)平臺(tái)，為數(shù)字化教學(xué)平臺(tái)提供一種良好的支撐平臺(tái)。

方案參照了學(xué)院《數(shù)字化校園網(wǎng)絡(luò)平臺(tái)項(xiàng)目（第一期）建設(shè)實(shí)行方案》內(nèi)容。

在方案中，我們將根據(jù)校園網(wǎng)絡(luò)平臺(tái)建設(shè)規(guī)定，提出一種校園網(wǎng)絡(luò)平臺(tái)的建

設(shè)目的和框架，并針對(duì)各個(gè)部分建設(shè)進(jìn)行闡明。

第2章系統(tǒng)建設(shè)需求

校園網(wǎng)絡(luò)平臺(tái)是校園數(shù)字化系統(tǒng)的運(yùn)行基礎(chǔ)，學(xué)院原有的網(wǎng)絡(luò)平臺(tái)無(wú)論是在

網(wǎng)絡(luò)的穩(wěn)定性、業(yè)務(wù)適應(yīng)用性、性能、安全以及可擴(kuò)展性等方面已無(wú)法支撐學(xué)院

系統(tǒng)的需求，更是無(wú)法到達(dá)國(guó)家示范性高等職院建設(shè)的規(guī)定，因此，學(xué)院的校園

網(wǎng)絡(luò)平臺(tái)需要進(jìn)行全面的升級(jí)，建設(shè)任務(wù)重要包括如下五大方面：

一、建設(shè)一種高可用的骨干網(wǎng)，這是網(wǎng)絡(luò)平臺(tái)建設(shè)最為重要及緊急任務(wù)之

一，骨干網(wǎng)的穩(wěn)定性、性能和安全性將直接影響到校園網(wǎng)絡(luò)的運(yùn)行；

二、建設(shè)一種數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)，為數(shù)字化業(yè)務(wù)系統(tǒng)提供一種高可用的接

入平臺(tái);

三、建設(shè)一種安全可控的網(wǎng)絡(luò)出口，增強(qiáng)網(wǎng)絡(luò)外界的安全防護(hù)以及校園網(wǎng)

顧客的行為監(jiān)管能力，提高出口帶寬的使用效率；

四、完善校園網(wǎng)顧客的接入和控制，通過(guò)布署顧客認(rèn)證、計(jì)費(fèi)等措施對(duì)全

面提高對(duì)接入顧客的控制，使顧客接入規(guī)范化。

五、建設(shè)校園無(wú)線(xiàn)網(wǎng)絡(luò)平臺(tái)，提高網(wǎng)絡(luò)接入的覆蓋能力，校園顧客更易于

使用學(xué)院資源。

第3章網(wǎng)絡(luò)平臺(tái)建設(shè)方案

3.1網(wǎng)絡(luò)設(shè)計(jì)原則

廣州XX職業(yè)技術(shù)學(xué)院校園網(wǎng)建設(shè)要實(shí)現(xiàn)內(nèi)宗全方位的數(shù)據(jù)共享，應(yīng)用三層

互換，提供全面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)教育管理、多媒體

教學(xué)自動(dòng)化，必須具有高性能、高安全性、高可靠性，可管理、可增值特性以及

開(kāi)放性、兼容性、可擴(kuò)展性。

學(xué)院網(wǎng)絡(luò)建設(shè)遵照如下基本原則：

高帶寬

學(xué)院網(wǎng)絡(luò)是一種龐大并且復(fù)雜的網(wǎng)絡(luò)，為了俁障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全

網(wǎng)的組網(wǎng)設(shè)計(jì)的無(wú)瓶頸性，規(guī)定方案設(shè)計(jì)的階段就要充足考慮到，同步規(guī)定關(guān)鍵

互換機(jī)具有高性能、高帶寬的特，整網(wǎng)的關(guān)鍵互換規(guī)定可以提供無(wú)瓶頸的數(shù)據(jù)互

換。

可增值性

學(xué)院網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值

性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。因此在建設(shè)時(shí)要充足考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不一

樣的顧客需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)

網(wǎng)。

可擴(kuò)充性

考慮到學(xué)院顧客數(shù)量和業(yè)務(wù)種類(lèi)發(fā)展的不確定性，規(guī)定對(duì)于關(guān)鍵互換機(jī)與匯

聚互換機(jī)具有強(qiáng)大的擴(kuò)展功能，學(xué)院網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充

的彈性網(wǎng)絡(luò)平臺(tái)，可以伴隨需求變化，充足留有才充余地。

開(kāi)放性

技術(shù)選擇必須符合有關(guān)國(guó)際原則及國(guó)內(nèi)原則，防止個(gè)別廠家的私有原則或內(nèi)

部協(xié)議，保證網(wǎng)絡(luò)的開(kāi)放性和互連互通，滿(mǎn)足信息精確、安全、可靠、優(yōu)良互換

傳送的需要；開(kāi)放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)

時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)沒(méi)備的統(tǒng)一管理。

安全可靠性

設(shè)計(jì)應(yīng)充足考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線(xiàn)路保護(hù)，提供

網(wǎng)絡(luò)安全防備措施。

3.2網(wǎng)絡(luò)層次化設(shè)計(jì)

在校園園區(qū)網(wǎng)絡(luò)整體設(shè)計(jì)中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)構(gòu)造，并嚴(yán)格

定義各層功能模型，不一樣層次關(guān)注不一樣的特畦配置。根據(jù)廣州XX職業(yè)技術(shù)

學(xué)院的網(wǎng)絡(luò)分布狀況，校園網(wǎng)共提成關(guān)鍵層、匯聚層和接入層三層。

1）關(guān)鍵層

關(guān)鍵層是整個(gè)網(wǎng)絡(luò)的骨干，必須可以提供高速數(shù)據(jù)互換和路由迅速收斂，規(guī)

定具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。

XX學(xué)院主校區(qū)設(shè)置整個(gè)校園網(wǎng)的關(guān)鍵層，同步，在新機(jī)場(chǎng)實(shí)訓(xùn)基地設(shè)置分關(guān)

鍵。對(duì)于XX學(xué)院主校園的關(guān)鍵層，必須提供高性能、高可靠的網(wǎng)絡(luò)構(gòu)造，推薦

采用高可靠的多設(shè)備冗余的星型構(gòu)造。

對(duì)于校園網(wǎng)關(guān)鍵層設(shè)備，應(yīng)當(dāng)在提供大容量、高性能L2/L3互換服務(wù)基礎(chǔ)上,

可以深入融合了硬件IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為校園園

區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而協(xié)助顧客實(shí)現(xiàn)IT資源整合的需求。

2）匯聚層

匯聚來(lái)自配線(xiàn)間的流量和執(zhí)行方略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載

均衡、迅速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)0

目前，XX學(xué)院在主校區(qū)共有15幢建筑物，新機(jī)場(chǎng)實(shí)訓(xùn)基地共有6幢建筑物。

XX學(xué)院匯聚層設(shè)置將根據(jù)既有的信息點(diǎn)分布，結(jié)合綜合布線(xiàn)系統(tǒng)等多原因，一

般而言，以建筑物/功能區(qū)為單位設(shè)置匯聚層，即每個(gè)單體建筑/功能區(qū)設(shè)置一種

網(wǎng)絡(luò)匯聚層，如數(shù)據(jù)中心和網(wǎng)絡(luò)出口分別設(shè)于匯聚層，同步對(duì)于學(xué)生宿舍區(qū)，可

以采用多幢學(xué)生宿舍共用1個(gè)網(wǎng)絡(luò)匯聚層的方式。

對(duì)于校園園區(qū)網(wǎng)的匯聚層設(shè)備，應(yīng)當(dāng)可以承載校園園區(qū)的多種融合業(yè)務(wù)，可

以融合IPv6,網(wǎng)絡(luò)安全、流量分析等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、

環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，可以承載校園園區(qū)融合業(yè)務(wù)的需求。

3）接入層

提供網(wǎng)絡(luò)的第一級(jí)接入功能，完畢二層接入，并實(shí)現(xiàn)對(duì)終端接入的安全控制，

包括ARP防御、IP/MAC/端口綁定以及POE等高級(jí)功能。

在XX校園網(wǎng)中，接入層采用千兆及百兆到桌面的接入模式，對(duì)于數(shù)據(jù)傳播

量較大或重要區(qū)域采屁千兆到桌面的方案，如綜合辦公、圖書(shū)館等，其他的為百

兆接入，同步，無(wú)線(xiàn)AP接入采用POE方式進(jìn)行設(shè)備的供電。

接入層設(shè)咯以選擇二層互換機(jī)為主，設(shè)咯應(yīng)具有靈活的擴(kuò)展能力，支持堆疊，

具有強(qiáng)安全性，可以實(shí)現(xiàn)IP、MAC、端口的綁定，支持802.lx認(rèn)證，支持DHCP

Snooping,防止非法DHCP接入和ARP襲擊。

3.3校園網(wǎng)絡(luò)總體構(gòu)造

校園網(wǎng)絡(luò)平臺(tái)將采用層次化通用構(gòu)造設(shè)計(jì)，吳用關(guān)鍵層、匯聚層和接入層三

層架構(gòu)，包括網(wǎng)絡(luò)骨干、數(shù)據(jù)中心、網(wǎng)絡(luò)出口、網(wǎng)絡(luò)接入、無(wú)線(xiàn)網(wǎng)絡(luò)等五大部分。

千兆到桌面百兆到來(lái)面百兆到臬面百兆到京面

網(wǎng)絡(luò)骨干由關(guān)鍵層和匯聚層組網(wǎng)，骨干網(wǎng)采用高可靠性組網(wǎng)，關(guān)鍵層配置

兩臺(tái)高端關(guān)鍵互換機(jī)，匯聚層設(shè)備通過(guò)雙千兆鏈路實(shí)現(xiàn)與關(guān)鍵層設(shè)備的互聯(lián)，網(wǎng)

絡(luò)骨干全面支持IPv6.并提供萬(wàn)兆擴(kuò)展能力。

校園網(wǎng)設(shè)置數(shù)據(jù)中心，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)服務(wù)器的集中布署，數(shù)據(jù)中心網(wǎng)絡(luò)

平臺(tái)獨(dú)立建設(shè)，配置2臺(tái)模塊化互換機(jī)設(shè)備，為服務(wù)器提供高性能、高可靠、可

擴(kuò)展性的接入平臺(tái)，同步，通過(guò)關(guān)鍵互換機(jī)內(nèi)置高性能的防火墻模塊提供安全保

護(hù)。

網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)，包括與教育科、互聯(lián)網(wǎng)的互聯(lián)，

網(wǎng)絡(luò)出口需實(shí)現(xiàn)校園網(wǎng)與外部網(wǎng)絡(luò)的隔離，網(wǎng)絡(luò)出口配置1臺(tái)路由器設(shè)備實(shí)現(xiàn)與

外部網(wǎng)絡(luò)互聯(lián)，同步提供地址轉(zhuǎn)換等服務(wù)，配置應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)出口帶寬的

管理，并對(duì)校園網(wǎng)顧客實(shí)現(xiàn)行為審計(jì)等功能。

網(wǎng)絡(luò)接入層提供校園網(wǎng)顧客的接入，并實(shí)現(xiàn)網(wǎng)絡(luò)接入的安全防御，如ARP

襲擊防護(hù)，同步，結(jié)合顧客管理系統(tǒng)實(shí)現(xiàn)對(duì)接入顧客認(rèn)證、計(jì)費(fèi)等管理。

為實(shí)現(xiàn)校園網(wǎng)絡(luò)接入的靈活性，提高網(wǎng)絡(luò)的覆蓋，校園網(wǎng)將實(shí)現(xiàn)辦公樓、

圖書(shū)館、試驗(yàn)室、運(yùn)動(dòng)場(chǎng)館等公共區(qū)域的無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋，無(wú)線(xiàn)網(wǎng)采用智能的Fit

AP組網(wǎng)。

為便于網(wǎng)絡(luò)的管理和維護(hù)，校園網(wǎng)還將建設(shè)1套網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對(duì)校園

網(wǎng)絡(luò)平臺(tái)設(shè)備的統(tǒng)一管理，網(wǎng)絡(luò)管理應(yīng)具有拓?fù)洹⒐收?、性能、配置和圖形化設(shè)

備管理等功能，為了實(shí)現(xiàn)更為以便的通過(guò)遠(yuǎn)程方式對(duì)網(wǎng)絡(luò)的狀態(tài)進(jìn)行監(jiān)控和維

護(hù)，網(wǎng)絡(luò)系統(tǒng)采用B/S架構(gòu)。

同步，為加強(qiáng)對(duì)接入顧客的控制和管理，系統(tǒng)還布署顧客認(rèn)證、計(jì)費(fèi)管理系

統(tǒng)。

3.3.1關(guān)鍵層設(shè)計(jì)

XX學(xué)院主校區(qū)設(shè)置整個(gè)校園網(wǎng)的關(guān)鍵層，同步，在新機(jī)場(chǎng)實(shí)訓(xùn)基地設(shè)置分關(guān)

鍵。對(duì)于XX學(xué)院主校園的關(guān)鍵層，必須提供高性能、高可靠的網(wǎng)絡(luò)構(gòu)造，推薦

采用高可靠的多設(shè)備冗余的星型構(gòu)造。

關(guān)鍵層配置2臺(tái)高端互換機(jī)作為關(guān)鍵互換機(jī)，兩臺(tái)互換機(jī)之間通過(guò)萬(wàn)兆鏈路

進(jìn)行互聯(lián)，形成雙機(jī)復(fù)用，在兩臺(tái)中心互換機(jī)之間啟用VRRP協(xié)議，這樣在其中

一臺(tái)出現(xiàn)故障的時(shí)候，業(yè)務(wù)可以自動(dòng)切換到此外一臺(tái)。

選用的關(guān)鍵互換機(jī)是從可靠性、性能、業(yè)務(wù)特性、安全特性以及可擴(kuò)展性等

多種方面進(jìn)行綜合考慮。

在可靠性方面，關(guān)鍵互換機(jī)應(yīng)到達(dá)99.99%的高可靠性，采用全模塊化設(shè)計(jì),

電源、風(fēng)扇、引擎、業(yè)務(wù)模塊等均可實(shí)現(xiàn)熱插拔，支持電源、引擎等關(guān)鍵部件的

1+1冗余熱備份，支持VRRP、路由優(yōu)雅(GR)等高可靠性協(xié)議，實(shí)現(xiàn)關(guān)鍵層的業(yè)

務(wù)不間斷轉(zhuǎn)發(fā)。

在性能方面，關(guān)鍵互換機(jī)應(yīng)采用Crossbar互換矩陣，采用全分布式轉(zhuǎn)發(fā)，

支持萬(wàn)兆、千兆等高速以太網(wǎng)接口，所有接口實(shí)現(xiàn)線(xiàn)速轉(zhuǎn)發(fā)，保障校園網(wǎng)多種業(yè)

務(wù)進(jìn)行并發(fā)互換。

在業(yè)務(wù)特性方面，關(guān)鍵互換機(jī)支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)

先轉(zhuǎn)發(fā)；支持IPv6,可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò)；并且支持內(nèi)置防火墻、內(nèi)置無(wú)

線(xiàn)控制器等多種業(yè)務(wù)功能插卡，可以進(jìn)行靈活的布署，實(shí)現(xiàn)業(yè)務(wù)的擴(kuò)展和融合。

在安全性方面，關(guān)鍵互換機(jī)應(yīng)既能保障自身的運(yùn)行安全，也能通過(guò)某些安全

機(jī)制保障所承載業(yè)務(wù)的安全。

基于上述原因，我們提議關(guān)鍵互換機(jī)采用H3cS7510E高端互換機(jī)。

H3CS7500E系列產(chǎn)品是杭州華三通信技術(shù)有限企業(yè)（如下簡(jiǎn)稱(chēng)H3C企業(yè)）

面向融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由互換機(jī)，該產(chǎn)品基于H3c自主知

識(shí)產(chǎn)權(quán)的ComwareV5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全、無(wú)線(xiàn)、無(wú)源光

網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)。

S7510E具有10個(gè)槽位，其中8個(gè)為業(yè)務(wù)模塊插槽，并支持豐富的接口模塊,

如萬(wàn)兆、千兆、百兆等類(lèi)型接口，可根據(jù)網(wǎng)絡(luò)規(guī)噗實(shí)目前線(xiàn)擴(kuò)展。

S7510E具有高轉(zhuǎn)發(fā)性能，整機(jī)具有1152Gbps互換容量、773Mpps轉(zhuǎn)發(fā)性能，

同步，S7510E采用全分布式轉(zhuǎn)發(fā)，并采用最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的處理機(jī)制，保

證業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7510E中配置的所有接口均可實(shí)現(xiàn)線(xiàn)速轉(zhuǎn)發(fā)。

選用的H3cS7500E互換機(jī)具有如下特點(diǎn)：

＜一）、豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢(shì)

■全面的MPLS業(yè)務(wù)能力

H3cs7500E所有產(chǎn)品均支持VRF-Lite特性，可以做為MCE設(shè)備使用;支持

三層的MPLSVPN和二層的MPLSVPN（Martini.Kompella）,可擴(kuò)展支持VPLS

技術(shù)；支持MPLSOAM恃性，以便顧客的管理和維護(hù)；與H3cMpLSVPNManager

配合，實(shí)現(xiàn)圖形化的MPLS布署與維護(hù)。

■線(xiàn)速的IPv4/lPv6業(yè)務(wù)能力

H3CS7500E支持IPv4/IPv6雙協(xié)議棧，支持多種6to4隧道技術(shù)，支持

IPv4/IPv6的組播技術(shù)，為顧客提供完善的IPv4〃Pv6處理方案;H3cs7500E采

用分布式體系架構(gòu)，實(shí)現(xiàn)TPv4/TPv6業(yè)務(wù)的線(xiàn)速無(wú)阻塞轉(zhuǎn)發(fā)；H3CS7500E已經(jīng)

通過(guò)了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金色認(rèn)證，是成熟商

用的IPv6產(chǎn)品。

■有線(xiàn)無(wú)線(xiàn)一體化，有源無(wú)源一體化

H3CS7500E集成的無(wú)線(xiàn)控制模塊提供豐富的業(yè)務(wù)能力，包括精細(xì)的顧客控

制管理、完善的RF管理及安全機(jī)制、迅速漫游、超強(qiáng)的QOS和對(duì)IPV6的支將等；

無(wú)線(xiàn)控制模塊通過(guò)與安全方略服務(wù)器的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)無(wú)線(xiàn)接入顧客的端點(diǎn)準(zhǔn)入防

御，提高了整網(wǎng)的安全性。

H3CS7500E是業(yè)界最高密度的以太網(wǎng)無(wú)源光網(wǎng)絡(luò)（EPON）設(shè)備，單臺(tái)最大

可接入10240個(gè)FTTH顧客；H3CS7500E是高可靠的EPON系統(tǒng)，采用分布式體

系構(gòu)造、模塊化設(shè)計(jì)，主控板冗余熱備份、無(wú)源背板、冗余電源支持雙路供電，

具有電信級(jí)可靠性。

■支持Portal認(rèn)任

H3CS7500E支持大容量的Portal認(rèn)證功能，可以在數(shù)千顧客的局域網(wǎng)中作

為EAD網(wǎng)關(guān)設(shè)備，為全網(wǎng)顧客提供EAD安全認(rèn)證功能；可以在大中型的校園網(wǎng)中

擔(dān)任匯聚/關(guān)鍵設(shè)備的同步，為學(xué)生宿舍區(qū)的認(rèn)證計(jì)費(fèi)提供Portal認(rèn)證功能。

＜二）、靈活的配置，適應(yīng)多種應(yīng)用場(chǎng)景

■配線(xiàn)間融合業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇

1I3CS7500E針對(duì)配線(xiàn)間的需求定制開(kāi)發(fā)了SA板卡，單臺(tái)設(shè)備可以提供480

個(gè)千兆線(xiàn)速接口和4個(gè)萬(wàn)兆線(xiàn)速接口。H3CS7500E支持端點(diǎn)準(zhǔn)入防御處理方案，

處理終端安全問(wèn)題；內(nèi)置2800W電源直接提供PoE功能，對(duì)IP語(yǔ)音和無(wú)線(xiàn)接入

提供良好的支持。

■政府電力城域網(wǎng)邊緣和匯聚的最佳選擇

H3cs7500E支持VRF-Lite特性，為顧客提供高可靠高性能的MCE設(shè)備；通

過(guò)配置SalienceVI-Turbo引擎，可以提供集中式MPLS業(yè)務(wù)功能,適合在城域

網(wǎng)邊緣作為高性?xún)r(jià)PE設(shè)備使用；通過(guò)配置EA類(lèi)板卡，可以提供分布式線(xiàn)速的

MPLS業(yè)務(wù)功能，適合在城域網(wǎng)匯聚層作為高性能的PE使用。

■IPv6網(wǎng)絡(luò)的最佳選擇

II3CS7500E所有SalienceVI引擎都可以提供集中式IPv6功能，H3CS7500E

針對(duì)IPv4/IPv6高性能的規(guī)定還開(kāi)發(fā)了分布式IPv4/IPv6轉(zhuǎn)發(fā)的SC板卡，在整

機(jī)滿(mǎn)配置狀態(tài)下實(shí)現(xiàn)線(xiàn)速無(wú)收斂，為高校顧客提供了高性能低成本的雙棧匯聚關(guān)

鍵設(shè)備，同步也滿(mǎn)足其他行業(yè)顧客IPv6Ready的需求。

〈三〉、全方位的安全保障，抵御多種網(wǎng)絡(luò)安全威脅

■三平面安全保障機(jī)制

H3CS7500E提供完善的安全防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面

保障網(wǎng)絡(luò)的安全；在控制平面，內(nèi)置協(xié)議報(bào)文襲擊識(shí)別模塊，防止TCN、ARP等

協(xié)議報(bào)文襲擊，OSPF/BGP/ISTS路由協(xié)議采用MD5驗(yàn)證，防止非法路由更新報(bào)

文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，SNMPv3網(wǎng)管協(xié)議，SS1IV2,基于802.lx、

AAA/Radius的顧客身份認(rèn)證以及分級(jí)的顧客權(quán)限管理保證了設(shè)備管理的安全性;

在轉(zhuǎn)發(fā)平面，支持IP、VLAN、MAC和端口等多種組合精細(xì)綁定；支持uRPF單播

反向途徑轉(zhuǎn)發(fā)，防止非法流量訪問(wèn)網(wǎng)絡(luò)，采用最長(zhǎng)匹配逐包轉(zhuǎn)發(fā)機(jī)制，有效抵御

病毒的襲擊。

■有線(xiàn)無(wú)線(xiàn)全面支持EAD

II3CS7500E是EAD端點(diǎn)準(zhǔn)入防御處理方案的重要構(gòu)成部分，S7500E可以動(dòng)

態(tài)的接受來(lái)自安全方略服務(wù)器的控制方略，根據(jù)終端的安全狀態(tài)予以下發(fā)對(duì)應(yīng)的

訪問(wèn)權(quán)限。H3CS7500E既支持有線(xiàn)終端顧客的EAD,也支持無(wú)線(xiàn)終端顧客的EAD,

可以做到終端安全防備無(wú)漏洞。

■增強(qiáng)的ACL特性

H3cs7500E系列產(chǎn)品支持強(qiáng)大的ACL能力：支持原則和擴(kuò)展ACL；支持基于

VLAN的ACL,以便顧客配置，節(jié)省ACL資源；支持出方向和入方向的ACL,每板

最大可支持9K條ACL,滿(mǎn)足金融等行業(yè)訪問(wèn)權(quán)限嚴(yán)格控制的需求。

〈四〉、電信級(jí)的高可靠性，保障顧客業(yè)務(wù)長(zhǎng)期穩(wěn)定運(yùn)行

■電信級(jí)高可靠性設(shè)計(jì)

H3CS7500E采用無(wú)單點(diǎn)故障設(shè)計(jì)，所有關(guān)鍵部件，如主控板、互換網(wǎng)、電

源和風(fēng)扇等采用冗余設(shè)計(jì)；無(wú)源背板防止了機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板和電源

模塊支持熱插拔功能；H3cS7500E系列可以在惡劣的環(huán)境下長(zhǎng)時(shí)間穩(wěn)定運(yùn)行，

到達(dá)99.999%的電信級(jí)可靠性。

■多業(yè)務(wù)高可靠性運(yùn)行

H3CS7500E支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級(jí)的切換時(shí)間；支持等

價(jià)路由，可協(xié)助顧客建立多條等值途徑，實(shí)現(xiàn)流量的負(fù)載均衡及冗余備份；支持

RRPP迅速環(huán)網(wǎng)保護(hù)協(xié)議，提供不不小于200nls的環(huán)網(wǎng)故障保護(hù)；支持Smart-Link

協(xié)議，保證雙上行網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)毫秒級(jí)迅速切換。通過(guò)上述技術(shù)，H3CS7500E

可以在承載多業(yè)務(wù)的狀況下不間斷運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)的永續(xù)。

■支持熱補(bǔ)丁技術(shù)

H3CS7500E可以在不重啟設(shè)備的前提下，通過(guò)熱補(bǔ)丁技術(shù)，在線(xiàn)修改軟件

BUG,增長(zhǎng)新的業(yè)務(wù)特哇。H3cS7500E提供控制補(bǔ)丁單元狀態(tài)切換的顧客命令，

使顧客可以以便的加載、激活、去激活、運(yùn)行或刪除補(bǔ)丁單元。通過(guò)熱補(bǔ)丁技術(shù),

減少了設(shè)備需要重啟的次數(shù)，為客戶(hù)提供更長(zhǎng)的網(wǎng)絡(luò)正常工作時(shí)間。

3.3.2數(shù)據(jù)中心設(shè)計(jì)

為實(shí)現(xiàn)對(duì)校園網(wǎng)服務(wù)器統(tǒng)一管理和控制，同步考慮到擴(kuò)展性，服務(wù)器的接入

獨(dú)立配置互換機(jī)實(shí)現(xiàn)，為保證服務(wù)器接入的高可用性，配置2臺(tái)全千兆三層路由

互換機(jī)，數(shù)據(jù)中心互換機(jī)通過(guò)VRRP協(xié)議實(shí)現(xiàn)互為熱備和負(fù)載分擔(dān)。

在選用的數(shù)據(jù)中心互換機(jī)時(shí)，我們充足考慮到應(yīng)具有如下功能和特性:

在可靠性方面，數(shù)據(jù)中心互換機(jī)支持VRRP熱備份協(xié)議，為服務(wù)器提供可靠

的接入。

在性能方面，數(shù)據(jù)中心互換機(jī)所有端口線(xiàn)速轉(zhuǎn)發(fā)，保障圖書(shū)館多種業(yè)務(wù)進(jìn)行

并發(fā)互換。

在業(yè)務(wù)特性方面，數(shù)據(jù)中心互換機(jī)支持豐富的QoS特性，可保障重要業(yè)務(wù)得

到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6,可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò)。

在安全性方面，數(shù)據(jù)中心互換機(jī)具有安全機(jī)制保障所承載業(yè)務(wù)的安全。

在可擴(kuò)展性方面，數(shù)據(jù)中心互換機(jī)應(yīng)采用模塊化設(shè)備，支持高密度、高帶寬

接口，在業(yè)務(wù)系統(tǒng)不停增長(zhǎng)時(shí)，可通過(guò)增長(zhǎng)業(yè)務(wù)噗塊來(lái)滿(mǎn)足服務(wù)器接入需求。

基于上述原因，我們提議數(shù)據(jù)中心互換機(jī)采用H3cS7502E高端互換機(jī)。

S7510E具有4個(gè)樽位，其中2個(gè)為業(yè)務(wù)模塊插槽，并支持豐富的接口模塊,

如萬(wàn)兆、千兆、百兆等類(lèi)型接口，可根據(jù)網(wǎng)絡(luò)規(guī)噗實(shí)目前線(xiàn)擴(kuò)展。

S7502E具有高轉(zhuǎn)發(fā)性能,整機(jī)具有192Gbps互換容量、143Mpps轉(zhuǎn)發(fā)性能,

同步，S7502E采用全分布式轉(zhuǎn)發(fā)，并采用最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的處理機(jī)制，保

證業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7502E中配置的所有接口均可實(shí)現(xiàn)線(xiàn)速轉(zhuǎn)發(fā)。

3.3.3匯聚層設(shè)計(jì)

匯聚來(lái)自配線(xiàn)間的流量和執(zhí)行方略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載

均衡、迅速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。選

用的匯聚互換機(jī)應(yīng)具有如下功能和特性：

在可靠性方面，匯聚互換機(jī)支持路由協(xié)議平滑重啟，支持RSTP、MSTP生成

樹(shù)協(xié)議，支持2層的迅速切換，保證與關(guān)鍵互換機(jī)組網(wǎng)的可靠性，

在性能方面，匯聚互換機(jī)所有端口線(xiàn)速轉(zhuǎn)發(fā)，包括萬(wàn)兆接口，保障多種業(yè)務(wù)

進(jìn)行并發(fā)互換。

在業(yè)務(wù)特性方面，匯聚互換機(jī)支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)

先轉(zhuǎn)發(fā)；支持IPv6,可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò)。

在安全性方面，匯聚互換機(jī)具有安全機(jī)制保障所承載業(yè)務(wù)的安全。

基于以上規(guī)定，我們提議匯聚互換機(jī)選用H3C的S5500-EI,S5500-EI系

列互換機(jī)具有如下特點(diǎn)：

1、高擴(kuò)展性保護(hù)投資

伴隨顧客端速度不停提高，顧客最終會(huì)使集群千兆鏈路到達(dá)飽和，而可以擁

有多條集群10GE鏈路將是我們的未來(lái)發(fā)展方向。H3cS5500-ET系列互換機(jī)支持

兩個(gè)擴(kuò)展槽位，每個(gè)槽位支持單端口或雙端口的10GE擴(kuò)展模塊，在實(shí)現(xiàn)千兆匯

聚或接入時(shí)保留深入支持10GE的擴(kuò)展能力，竭力保護(hù)顧客投資。

IPv4到IPv6的演變是以太網(wǎng)發(fā)展的大勢(shì)所趨，網(wǎng)絡(luò)設(shè)備對(duì)于IPv6的支持

不僅是簡(jiǎn)樸的可用就行，而是需要到達(dá)商用的原則，S5500-E1已經(jīng)通過(guò)了國(guó)際

最權(quán)威的IPv6Ready第二階段認(rèn)證，并且通過(guò)了信息產(chǎn)業(yè)部嚴(yán)格的IPv6入網(wǎng)測(cè)

試。這個(gè)系列產(chǎn)品是基于硬件的IPv4/IPv6雙棧平臺(tái)，支持豐富的IPv4和IPv6

三層路由協(xié)議、組播協(xié)議和方略路由機(jī)制，實(shí)現(xiàn)IPv4到IPv6的平滑升級(jí)。

2、完備的安全控制方略

H3CS5500-EI系列互換機(jī)支持EAD(端點(diǎn)準(zhǔn)入防御)功能，配合后臺(tái)系統(tǒng)可

以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等網(wǎng)

絡(luò)安全措施整合為一種聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修

復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為積極防御、變單點(diǎn)防御為全面防御、

變分散管理為集中方略管理，提高了網(wǎng)絡(luò)對(duì)病毒、蠕蟲(chóng)等新興安全威脅的整體防

御能力。

I13CS5500-E1互換機(jī)支持集中式MAC地址認(rèn)近、802.lx認(rèn)證、PORTAL認(rèn)證,

支持顧客帳號(hào)、IP、MAC.VLAN,端口等顧客標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同步

實(shí)現(xiàn)顧客方略(VLAN.QoS,ACL)的動(dòng)態(tài)下發(fā)；支持配合H3c企業(yè)的CAMS系統(tǒng)

對(duì)在線(xiàn)顧客進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。

H3CS5500-EI系列互換機(jī)提供增強(qiáng)的ACL控制邏輯，支持超大容量的入端

口和出端口ACL,并且支持基于VLAN的ACL下發(fā)，在簡(jiǎn)化顧客配置過(guò)程的同步，

防止了ACL資源的揮霍。此外，S5500-EI系列還將支持單播反向途徑查找技術(shù)

(uRPF),原理是當(dāng)設(shè)備的一種接口上收到一種數(shù)據(jù)包時(shí)，會(huì)反向查找途徑來(lái)驗(yàn)

證與否存在從該接受接口到包中制定的源地址之間的路由，即驗(yàn)證了其真實(shí)性,

假如不存在就將數(shù)據(jù)包刪除，這樣我們就可以有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址

欺騙。7VM海岸線(xiàn)網(wǎng)絡(luò)安全資訊站

3、多重可靠性保護(hù)

S5500-EI系列互次機(jī)還具有設(shè)備級(jí)和鏈路級(jí)的多重可靠性保護(hù)。所有機(jī)型

都支持內(nèi)置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模塊，也

就是說(shuō)我們可以根據(jù)實(shí)際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機(jī)還

支持電源和風(fēng)扇的故障檢測(cè)及告警，可以根據(jù)溫度的變化自動(dòng)調(diào)整風(fēng)扇的轉(zhuǎn)速，

這些設(shè)計(jì)使我們這款盒式互換機(jī)具有了機(jī)柜式互決機(jī)的高可靠性。

除了設(shè)備級(jí)可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路

可靠性技術(shù)，例如華三通信獨(dú)創(chuàng)的RRPP迅速環(huán)網(wǎng)保護(hù)機(jī)制。當(dāng)網(wǎng)絡(luò)上承載多業(yè)

務(wù)、大流量的時(shí)候也不影響網(wǎng)絡(luò)的收斂時(shí)間，保任業(yè)務(wù)的正常開(kāi)展。

4、多業(yè)務(wù)支持能力

支持PoE（PoweroverEthernet）技術(shù)，通過(guò)以太網(wǎng)對(duì)所連接的設(shè)備（如

IPPhone,WirelessAP等）進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場(chǎng)為設(shè)備布

署單獨(dú)的電源系統(tǒng)，可以極大地減少布署終端設(shè)備的布線(xiàn)和管理成本。支持Voice

VLAN技術(shù)，互換機(jī)通過(guò)識(shí)別端口的語(yǔ)音流，將對(duì)應(yīng)的接入端口加入VoiceVLAN

（專(zhuān)用語(yǔ)音VLAN）中，為語(yǔ)音流量提供專(zhuān)門(mén)通道，并自動(dòng)下發(fā)優(yōu)先級(jí)規(guī)則保證

語(yǔ)音流的優(yōu)先傳播來(lái)保證通話(huà)質(zhì)量。同步通過(guò)設(shè)置VoiceVLAN安全特性，只容

許語(yǔ)音流量通過(guò)，可以有效防止突發(fā)數(shù)據(jù)流量對(duì)VoiceVLAN內(nèi)的語(yǔ)音流量的沖

擊。

H3CS5500-EI系列互換機(jī)支持MCE功能，可以有效處理多VPN網(wǎng)絡(luò)帶來(lái)的

顧客數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用CE設(shè)備自身的VLAN接口編號(hào)與網(wǎng)

絡(luò)內(nèi)的VPN進(jìn)行綁定，并為每個(gè)VPN創(chuàng)立和維護(hù)獨(dú)立的路由轉(zhuǎn)刊登(Multi-VRF)。

這樣不僅可以隔離私網(wǎng)內(nèi)不一樣VPN的報(bào)文轉(zhuǎn)發(fā)途徑，并且通過(guò)與PE間的配合,

也可以將每個(gè)VPN的路由對(duì)的公布至對(duì)端PE,保證VPN報(bào)文在公網(wǎng)內(nèi)的傳播。

5、豐富的QoS方略

H3CS5500-EI系列互換機(jī)支持支持L2(Layer2)、L4(Layer4)包過(guò)濾功

能，提供基于源MAC地址、目的MAC地址、源IP地址、目的1P地址、TCP/UDP

端口號(hào)、協(xié)議類(lèi)型、VLAN的流分類(lèi)。提供靈活的對(duì)列調(diào)度算法，可以同步基于

端口和隊(duì)列進(jìn)行設(shè)置,支持SP(StrictPriorityWRR(WeightedRoundRobin)>

SP+WRR三種模式。支持CAR(CommittedAccessRate)功能，粒度最小達(dá)64Kbpso

支持出、入兩個(gè)方向的端口鏡像，用于對(duì)指定端口上的報(bào)文進(jìn)行監(jiān)控，將端口上

的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進(jìn)行網(wǎng)絡(luò)檢測(cè)和故障排除。

6、杰出的管理性

I13CS5500-EI系列互換機(jī)支持SNMPvl/v2/v3(SimpleNetworkManagement

Protocol),可支持OpenView等通用網(wǎng)管平臺(tái)以及iMC智能管理中心。支持CLI

命令行，Web網(wǎng)管,TELNET,HGMP集群管理，使設(shè)備管理更以便，并且支持SSH2.0

等加密方式，使得管理愈加安全。

H3CS5500-EI系列互換機(jī)支持基于MAC地址劃分VLAN,很好的處理了移動(dòng)

辦公的智能靈活管理；結(jié)合特有的基于全局和VLAN下發(fā)ACL方略，在簡(jiǎn)化顧客

配置的同步，也大幅節(jié)省了硬件資源。該系列互換機(jī)還支持sFlow功能，可以對(duì)

出入方向的報(bào)文按比例隨機(jī)抽樣，靈活實(shí)現(xiàn)報(bào)文采集。

3.3.4網(wǎng)絡(luò)出口設(shè)計(jì)

網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外界網(wǎng)絡(luò)互聯(lián)，出口網(wǎng)絡(luò)應(yīng)具有一定的可靠性，提

供網(wǎng)絡(luò)安全防護(hù)能力，并對(duì)出口帶寬進(jìn)行有效的分派和控制，同步加強(qiáng)對(duì)顧客行

為進(jìn)行監(jiān)管。

網(wǎng)絡(luò)出口配置1臺(tái)高端路由器，路由器實(shí)現(xiàn)外部網(wǎng)絡(luò)互聯(lián)，并提供NAT切能,

配置1臺(tái)應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)出口帶寬的靈活調(diào)配，并實(shí)現(xiàn)對(duì)顧客行為進(jìn)行審

計(jì)和監(jiān)管。并通過(guò)關(guān)鍵互換機(jī)的防火墻模塊實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)區(qū)域的隔離和訪問(wèn)控制。

網(wǎng)絡(luò)出口路由器應(yīng)具有如下功能和特性：

在可靠性方面，路由器應(yīng)支持電源、處理系統(tǒng)的冗余備份。

在性能方面，路由器應(yīng)提供高性能轉(zhuǎn)發(fā)，并具有優(yōu)越的NAT處理能力。

在業(yè)務(wù)特性方面，路由器支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)

發(fā)；支持IPv6,可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò).

在安全性方面，路由器有安全機(jī)制保障所承載業(yè)務(wù)的安全。

基于上述原因，我們提議出口路由器采用H3cSR6604高端路由器。

應(yīng)用控制網(wǎng)關(guān)選生H3CSecPathACG（ApplicationControlGateway）,H3C

ACG是業(yè)界識(shí)別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對(duì)網(wǎng)絡(luò)中的

P2P/IM帶寬濫用、“地下”VoIP、“一拖N”、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非

法網(wǎng)站訪問(wèn)等行為進(jìn)行精細(xì)化識(shí)別和控制；同步，可對(duì)網(wǎng)絡(luò)流量、顧客上網(wǎng)行為

進(jìn)行深入分析與全面的事后審計(jì)，并具有強(qiáng)大的URL過(guò)濾功能，進(jìn)而協(xié)助顧客優(yōu)

化其網(wǎng)絡(luò)資源，全面理解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢(shì)，開(kāi)展各項(xiàng)業(yè)務(wù)提供有力的支

撐。H3CACG具有如下長(zhǎng)處：

強(qiáng)大的P2P/IM業(yè)務(wù)監(jiān)控

通過(guò)H3C長(zhǎng)期積累的狀態(tài)機(jī)檢測(cè)技術(shù)，能精確檢測(cè)Thunder（迅雷）、

BitTorrent.eMule（電騾）、eDonkey（電驢）、QQ、MSN、PPLive等近百種P2P/IM

應(yīng)用。同步，可基于時(shí)間、顧客、區(qū)域、應(yīng)用協(xié)議等，對(duì)P2P/IM應(yīng)用進(jìn)行告磬、

限流、干擾或阻斷。

完善的安全審計(jì)系統(tǒng)

可對(duì)多種P2P/INL網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文獻(xiàn)共享、郵件收發(fā)、數(shù)據(jù)傳

播等多種上網(wǎng)行為提供全面的行為監(jiān)控和記錄；同步，通過(guò)綜合分析、檢測(cè)顧客

網(wǎng)絡(luò)流量與流向趨勢(shì)，事后對(duì)歷史數(shù)據(jù)進(jìn)行分析，為顧客提供細(xì)粒度的網(wǎng)絡(luò)行為

審計(jì)管理系統(tǒng)。

強(qiáng)大的過(guò)濾功能

通過(guò)自定義IP地址、主機(jī)名、正則體現(xiàn)式等方式設(shè)置URL特性庫(kù)，支持根

據(jù)不一樣的URL方略設(shè)置不一樣的響應(yīng)方式，支持根據(jù)時(shí)間表對(duì)不一樣的URL方

略設(shè)置不一樣的響應(yīng)動(dòng)作，防止保密信息的外泄，免受非法信息的干擾，保證網(wǎng)

絡(luò)的健康使用。

豐富的報(bào)表

提供業(yè)務(wù)流量趨勢(shì)圖、流量分布圖、TopN顧客列表、TopN應(yīng)用協(xié)議列表

等報(bào)表，并支持按照顧客名/顧客組、使用頻度、使用時(shí)段、應(yīng)用分類(lèi)、應(yīng)用協(xié)

議、流量大小等進(jìn)行多維度組合定制報(bào)表，使顧客能全面掌握網(wǎng)絡(luò)中的流量、應(yīng)

用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制定流量控制方略提供根據(jù)。

全面地識(shí)別“地下”VoIP

支持對(duì)Skype、H.323、SIP、中橋、UUCall等近百種協(xié)議或網(wǎng)關(guān)的呼喊識(shí)別、

阻斷或干擾。目前，H3c是唯一能實(shí)現(xiàn)對(duì)Skype在PC-PC、PC-Phone兩種通信模

式進(jìn)行實(shí)時(shí)有效控制的廠商。

領(lǐng)先的“一拖N”清理技術(shù)

采用業(yè)界流行的ID軌跡檢測(cè)技術(shù)、時(shí)鐘偏移檢測(cè)技術(shù)，結(jié)合多種應(yīng)用層特

性檢測(cè)技術(shù)如應(yīng)用特性檢測(cè)、流量/連接數(shù)記錄、TTL檢測(cè)、MAC地址檢測(cè)等，能

實(shí)時(shí)精確的識(shí)別出以NAT、Proxy方式進(jìn)行共享接入的顧客以及精確的PC數(shù)量，

并實(shí)行告警、阻斷等控制措施。

顧客行為分析

采用先進(jìn)的技術(shù)分析手段，全面分析網(wǎng)絡(luò)應(yīng)用的流量類(lèi)型和流量流向趨勢(shì)，

記錄網(wǎng)絡(luò)熱點(diǎn)，發(fā)掘業(yè)務(wù)增長(zhǎng)點(diǎn)；分析顧客行為，記錄顧客愛(ài)好，為個(gè)性化運(yùn)行

提供根據(jù)，并通過(guò)開(kāi)放的平臺(tái)接口，與第三方業(yè)務(wù)平臺(tái)對(duì)接，提供高附加值業(yè)務(wù),

如在顧客行為愛(ài)好分析的基礎(chǔ)上提供定向WEB廣告服務(wù)。

高性能、高可靠性

基于新一代多核CPU多核架構(gòu)及分布式搜索引擎，同步配合高容量的互換背

板，保證SecPathACG在多種大流量、復(fù)雜應(yīng)用的環(huán)境下，仍能具有千兆級(jí)線(xiàn)速

業(yè)務(wù)處理能力，僅有微秒級(jí)時(shí)延。

通過(guò)掉電保護(hù)（PFC）、二層回退等高可靠性設(shè)計(jì)，保證SecPathACG在斷電、

軟硬件故障或鏈路故障的狀況下，網(wǎng)絡(luò)性路仍然暢通，保證顧客業(yè)務(wù)的不間斷正

常運(yùn)行。

及時(shí)的特性庫(kù)更好

H3c專(zhuān)業(yè)安全團(tuán)體親密跟蹤應(yīng)用變化，并對(duì)應(yīng)用協(xié)議特性庫(kù)及時(shí)更新；支持

在線(xiàn)自動(dòng)/手動(dòng)升級(jí)方式，升級(jí)過(guò)程無(wú)需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運(yùn)行。

3.3.5接入層設(shè)計(jì)

接入層實(shí)現(xiàn)各終端電腦的高速接入，根據(jù)各業(yè)務(wù)系統(tǒng)的分布，可采用千兆到

桌面以及百兆到桌面兩種方案。

對(duì)于辦公大樓、圖書(shū)館、試驗(yàn)室等對(duì)網(wǎng)絡(luò)帶寬規(guī)定較高的，提議采用千兆到

桌面的處理方案。

對(duì)于教學(xué)樓、宿舍區(qū)的接入可采用10/100M到終端的處理方案。

接入層互換機(jī)應(yīng)具有豐富的安全特性，配合顧客認(rèn)證系統(tǒng)實(shí)現(xiàn)對(duì)接入顧客的

認(rèn)證計(jì)費(fèi)，同步，互換機(jī)還應(yīng)具有防偽DHCPServer的接入，對(duì)終端ARP多種形

式襲擊的防護(hù)。

接入層互換機(jī)，我們提議千兆互換機(jī)選用H3cs5100系列互換機(jī)，百兆到桌

面選用H3C為教育行業(yè)顧客專(zhuān)門(mén)研發(fā)的E系列互換機(jī)。

選用的S5100—EI系列互換機(jī)具有如下特點(diǎn)：

1、靈活的千兆接入和集群管理

H3CS5100-EI系列千兆以太網(wǎng)互換機(jī)提供靈活的16/24/48個(gè)10/100/1000M

自適應(yīng)電口接入密度；并且支持復(fù)用的SFP插槽，充足考慮顧客的帶寬升級(jí)的實(shí)

際狀況，既可以支持千兆光模塊，也可以支持百兆光模塊，保護(hù)顧客投資。其中

S5100C-EI機(jī)型支持最多2個(gè)可擴(kuò)展的萬(wàn)兆接口，并且支持40G帶寬的堆疊。該

系列硬件支持最大136Gbps互換容量，保證所有端口線(xiàn)速互換。

H3CS5100-EI系列互換機(jī)采用專(zhuān)利技術(shù)容許互換機(jī)運(yùn)用專(zhuān)用互聯(lián)電纜實(shí)現(xiàn)

多達(dá)16臺(tái)設(shè)備的堆疊，支持不一樣端口設(shè)備的混合堆疊。具有即插即用、單一

IP管理。同步大大減〃系統(tǒng)擴(kuò)展的成本，保護(hù)了顧客投資。

2、全面的接入安全方略

H3CS5100-EI系列互換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)

可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等

網(wǎng)絡(luò)安全措施整合為一種聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、

修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為積極防御、變單點(diǎn)防御為全面防御、

變分散管理為集中方略管理，提高了網(wǎng)絡(luò)對(duì)病毒、蠕蟲(chóng)等新興安全威脅的整體防

御能力。

H3CS5100-EI系列互換機(jī)支持特有的ARP入侵檢測(cè)功能，可有效防止黑客

或襲擊者通過(guò)ARP報(bào)文實(shí)行網(wǎng)絡(luò)中逐漸盛行的“中間人”襲擊，對(duì)不符合DHCP

Snooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。

同步支持IPSourceCheck特性,防止包括MAC欺騙、IP欺騙、MAC/支欺騙在

內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來(lái)的DoS襲擊。此外，運(yùn)用DHCP

Snooping的信任端口特性還可以有效杜絕私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的

真實(shí)性和一致性。

H3CS5100-EI系列互換機(jī)支持端口安全特性族可以有效防備基于MAC地址

的襲擊。可以實(shí)現(xiàn)基于MAC地址容許/限制流量，或者設(shè)定每個(gè)端口容許的MAC

地址的最大數(shù)量，使得某個(gè)特定端口上的MAC地址可以由管理員靜態(tài)配置，或者

由互換機(jī)動(dòng)態(tài)學(xué)習(xí)。

H3CS51OO-EI系列互換機(jī)有強(qiáng)大硬件ACL能力，能深度識(shí)別報(bào)文，支持L2~L4

包過(guò)濾功能，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP協(xié)

議類(lèi)型、物理端口、VLAN、等定義ACL,以便互換機(jī)進(jìn)行后續(xù)的處理。并且支持

基于全局、VLAN,端口（組）的ACL下發(fā)，有效簡(jiǎn)化配置過(guò)程并節(jié)省硬件資源。

H3CS5100-ET系列互換機(jī)提供802.IX和集中MAC認(rèn)證方式對(duì)接入的顧客進(jìn)

行認(rèn)證，容許合法顧客通過(guò)，對(duì)于非法顧客則拒紇其上網(wǎng)。同步還支持客戶(hù)端軟

件版本檢測(cè)、GuestVLAN等功能，和CAMS服務(wù)器配合還可以實(shí)現(xiàn)代理檢測(cè)、雙

網(wǎng)卡檢測(cè)等功能。通過(guò)這些功能的應(yīng)用可以對(duì)顧客的合法性進(jìn)行充足的檢查和控

制，最大程度的減少非法顧客對(duì)網(wǎng)絡(luò)安全的危害。

2、完善的QoS保障

H3CS5100-ET系列以太網(wǎng)互換機(jī)提供基于Diffserv和802.1P的QoS將性，

可以對(duì)報(bào)文的802.1P和DSCP域優(yōu)先級(jí)進(jìn)行修改等操作，并映射到每端口提供的

8個(gè)COS隊(duì)列，隊(duì)列調(diào)度提供了三種各具特色的隊(duì)列調(diào)度算法，嚴(yán)格優(yōu)先級(jí)1SP）

和整形加權(quán)輪循（SDWRR）調(diào)度算法以及SP+SDWRR組合調(diào)度算法。

H3CS5100-EI系列以太網(wǎng)互換機(jī)支持流量監(jiān)管和帶寬粒度控制，流量限速

的最小粒度為IKbit/s,保證為進(jìn)入互換機(jī)的特定業(yè)務(wù)提供帶寬保證，雖然在網(wǎng)

絡(luò)擁塞時(shí)，也能滿(mǎn)足一定的丟包、時(shí)延及時(shí)延抖動(dòng)等QoS需求。支持流量整形保

證以太網(wǎng)互換機(jī)可以對(duì)輸出報(bào)文速率進(jìn)行控制。支持基于流的報(bào)文重定向。

3、增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性

H3CS5100-EI系列互換機(jī)支持通過(guò)FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持

SNMPvl/v2/v3,可支持OpenView等通用網(wǎng)管平臺(tái)，以及iMC智能管理中心。

支持CLI命令行，Web網(wǎng)管，TELNET,HGMP集群管理，使設(shè)備管理更以便。并且

支持SSH2.0等加密方式，使得管理愈加安全。

老式互換機(jī)對(duì)端口的鏡像功能都是基于當(dāng)?shù)貙?shí)現(xiàn)，鏡像數(shù)據(jù)流無(wú)法穿越網(wǎng)

絡(luò)在關(guān)鍵實(shí)現(xiàn)統(tǒng)一采集、監(jiān)控和分析；H3CS5100-EI支持跨互換機(jī)的遠(yuǎn)程端口

鏡像功能(RSPAN),可以將接入端口的流量鏡像到關(guān)鍵互換機(jī)上，在關(guān)鍵上啟

動(dòng)網(wǎng)流分析(Netstream)功能，對(duì)監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化布署

和惡意襲擊監(jiān)控。

H3CS5100-ET系列互換機(jī)支持VCT(VirtualCableTest)電纜檢測(cè)功能,

便于迅速定位網(wǎng)絡(luò)故障點(diǎn)；并支持DLDP(DeviceLinkDetectionProtocol)

單向鏈路檢測(cè)協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)

效率，切實(shí)將設(shè)備的易用性帶給顧客。

H3CE系列互換機(jī)具有如下特點(diǎn)：

全面的接入安全方略

H3CE126A/E152教育網(wǎng)互換機(jī)支持特有的ARP入侵檢測(cè)功能，可有效防止

黑客或襲擊者通過(guò)ARP報(bào)文實(shí)行校園網(wǎng)常見(jiàn)的“中間人”襲擊，對(duì)不符合DHCP

Snooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。

同步支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/支欺騙在

內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來(lái)的DoS襲擊。此外，運(yùn)用DHCP

Snooping的信任端口特性還可以有效杜絕學(xué)生私設(shè)DHCP服務(wù)器，保證DHCP環(huán)

境的真實(shí)性和一致性。

E126A/E152教育網(wǎng)互換機(jī)支持端口安全特性族，可以有效防備基于MAC地

址的襲擊?？梢詫?shí)現(xiàn)基于MAC地址容許/限制流量，或者設(shè)定每個(gè)端口容許的MAC

地址的最大數(shù)量，使得某個(gè)特定端口上的MAC地址可以由管理員靜態(tài)配置，或者

由互換機(jī)動(dòng)態(tài)學(xué)習(xí)。

E126A/E152教育網(wǎng)互換機(jī)有強(qiáng)大硬件ACL能力，能深度識(shí)別報(bào)文，支持L2?

L4包過(guò)濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地

址、IP協(xié)議類(lèi)型、TCP/UDP端口、TCP/UDP端口范圍、VLAN、VLAN范圍等定義

ACL,以便互換機(jī)進(jìn)行后續(xù)的處理。

E126A/E152教育網(wǎng)互換機(jī)支持集中式MAC地址認(rèn)證和802.lx認(rèn)證，支持顧

客帳號(hào)、IP、MAC、VLAN、端口等顧客標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同步實(shí)現(xiàn)顧

客方略（VLAN、QoS、ACL）的動(dòng)態(tài)下發(fā)；支持配合H3c企業(yè)的CAMS系統(tǒng)對(duì)在線(xiàn)

顧客進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。支持對(duì)Proxy進(jìn)行有效

的管理。

增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性

H3CE126A/E152教育網(wǎng)互換機(jī)支持通過(guò)FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，

支持SNMPvl/v2/v3,可支持OpenView等通用網(wǎng)管平臺(tái)，以及iMC智能管理中

心。支持CLI命令行，Web網(wǎng)管，Telnet,HGMP集群管理，使設(shè)備管理更以便。

E126A/E152教肓網(wǎng)互換機(jī)支持跨互換機(jī)的遠(yuǎn)程端口鏡像RSPAN,可以將接

入端口的流量鏡像到關(guān)鍵互換機(jī)上，可以對(duì)全網(wǎng)業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化布署

和惡意襲擊監(jiān)控，滿(mǎn)足校園網(wǎng)精細(xì)化管理的需要。

E126A/E152教育網(wǎng)互換機(jī)支持VCT(VirtualCableTest)電纜檢測(cè)功能,

便于迅速定位網(wǎng)絡(luò)故障點(diǎn);并支持DLDP(DeviceLinkDetectionProtocol)

單向鏈路檢測(cè)協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)

效率，切實(shí)將設(shè)備的易用性帶給顧客。

高性能與靈活擴(kuò)展能力

H3CE126A/E152教育網(wǎng)互換機(jī)具有19.2G的背板互換容量，支持所有端口

線(xiàn)速轉(zhuǎn)發(fā)，滿(mǎn)足了教肓顧客對(duì)高帶寬的需求。設(shè)備支持2/4個(gè)GE上行，采用固

定電口和通用SFP的靈活千兆連接方式，在減少顧客成本的同步，更好的考慮了

顧客后續(xù)升級(jí)的實(shí)際需求。

E126A/E152教育網(wǎng)互換機(jī)采用專(zhuān)利技術(shù)容許互換機(jī)運(yùn)用專(zhuān)用互聯(lián)電纜實(shí)現(xiàn)

多達(dá)16臺(tái)設(shè)備的堆疊，最大擴(kuò)展至768個(gè)10/100M端口，支持El26A和E152混

合堆疊。具有即插即月、單一IP管理。同步大大減少系統(tǒng)擴(kuò)展的成本，保護(hù)了

顧客投資。

豐富的業(yè)務(wù)支持能力

H3CE126A/E152教育網(wǎng)互換機(jī)支持SP(StrictPriority),WRR(Weighted

RoundRobin),SP+WRR三種隊(duì)列調(diào)度算法，支持每個(gè)端口4/8個(gè)輸出隊(duì)列，可

以以不一樣的優(yōu)先級(jí)?將報(bào)文放入端口的輸出隊(duì)列。

E126A/E152教育網(wǎng)互換機(jī)支持端口限速功能，限速粒度可達(dá)64Kbps,防止

惡意侵占網(wǎng)絡(luò)帶寬，也為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。

E126A/E152教育網(wǎng)互換機(jī)支持IPv6host,包括IPv6單播地址配置，ICMPv6,

IPv6鄰居發(fā)現(xiàn)協(xié)議(ND),IPv6-TCP,IPv6-TFTP,IPv6-TRACERT管理特性。

3.3.6無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)計(jì)

無(wú)線(xiàn)局域網(wǎng)技術(shù)通過(guò)十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。

第一代無(wú)線(xiàn)局域網(wǎng)重要是采用FatAP(即“胖”AP),每一臺(tái)AP都要單獨(dú)

進(jìn)行配置，費(fèi)時(shí)、費(fèi)力、費(fèi)成本；

第二代無(wú)線(xiàn)局域網(wǎng)融入了無(wú)線(xiàn)網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置，其

管理性和安全性以及對(duì)有線(xiàn)網(wǎng)絡(luò)的依賴(lài)成為了第一代和第二代WLAN產(chǎn)品發(fā)展的

瓶頸，由于這一代技術(shù)的AP儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙,

Radiusclient的安全密碼(secret)等，而AP又是分散在建筑物中的各個(gè)位

置，一旦AP的配置被盜取讀出并修改，其無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)就失去了安全性。此外

由于AC或無(wú)線(xiàn)網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，因此當(dāng)顧客接入數(shù)量(IP

sessions)增多時(shí)，無(wú)淺網(wǎng)的性能會(huì)急劇下降，肘常會(huì)發(fā)生掉線(xiàn)或死機(jī)狀況，在

這樣的環(huán)境下，基于無(wú)線(xiàn)互換機(jī)技術(shù)的第三代WLAN產(chǎn)品應(yīng)運(yùn)而生。

第三代無(wú)線(xiàn)局域網(wǎng)采用無(wú)線(xiàn)互換機(jī)和FITAP(即“瘦"AP)的架構(gòu)，對(duì)老

式WLAN設(shè)備的功能做了重新劃分，將密集型的無(wú)線(xiàn)網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到

集中的WLAN互換機(jī)中實(shí)現(xiàn)，同步加入了許多重要新功能，諸如無(wú)線(xiàn)網(wǎng)管、AP

間自適應(yīng)、無(wú)線(xiàn)安管、RF監(jiān)測(cè)、無(wú)縫漫游以及Qos。，使得無(wú)線(xiàn)局域網(wǎng)的網(wǎng)絡(luò)性

能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。

FATAP方案FITAP方案

技術(shù)模式傳統(tǒng)主流新生方式，增強(qiáng)管理

安全性傳統(tǒng)加密、認(rèn)證方式，普通增加射頻環(huán)境監(jiān)控，基于用戶(hù)位

安全性置安全策略，高安全性

網(wǎng)絡(luò)管理對(duì)每AP下發(fā)配置文件無(wú)線(xiàn)控制器上配置好文件，AP

本身等配置，自動(dòng)下載配置文件

用戶(hù)管理類(lèi)似有線(xiàn)，根據(jù)AP接入的虛擬專(zhuān)用組方式，根據(jù)用戶(hù)名區(qū)

有線(xiàn)端口區(qū)分權(quán)限分權(quán)限

WLAN組網(wǎng)規(guī)模L2漫游，適合小規(guī)模組網(wǎng)L2、L3漫游，拓?fù)錈o(wú)關(guān)性，適合

大規(guī)模組網(wǎng)

增值業(yè)務(wù)能力實(shí)現(xiàn)簡(jiǎn)單數(shù)據(jù)接入可擴(kuò)展語(yǔ)音等豐富業(yè)務(wù)

室內(nèi)無(wú)線(xiàn)覆蓋將使用大量無(wú)線(xiàn)接入點(diǎn)(AP)提供無(wú)線(xiàn)網(wǎng)絡(luò)接入服務(wù)，必須有

效實(shí)現(xiàn)多種AP的統(tǒng)一方略布署和可靠的安全認(rèn)證機(jī)制，因此，采用FITAP的處

理方案，即采用無(wú)線(xiàn)控制器結(jié)合瘦AP與無(wú)線(xiàn)網(wǎng)絡(luò)管理系統(tǒng)的架構(gòu)。

綜合上述分析，對(duì)于大規(guī)模布署的校園網(wǎng)無(wú)線(xiàn)局域網(wǎng)，我們提議采用FITAP

的方案。

無(wú)線(xiàn)網(wǎng)絡(luò)構(gòu)造參見(jiàn)下圖:

數(shù)據(jù)中心學(xué)㈱磐用戶(hù)行理彖統(tǒng)

網(wǎng)絡(luò)出口

核用流量控制出口路由器

H30ACG-2000MH3CSR660-1

中心交換機(jī)

H3CS75O2E

無(wú)線(xiàn)冏控射器

.：,：，：，火堵

網(wǎng)絡(luò)中心機(jī)房AC模塊

心交換機(jī)

校園網(wǎng)骨干

f!Mi75L0E

聚交投工聚么啊匯聚交換

H3CS55fK|HACS55OM

無(wú)線(xiàn)AP無(wú)線(xiàn)AP

辦公樓圖書(shū)館、實(shí)驗(yàn)樓等宿舍區(qū)宿舍區(qū)

下兆到泉面百兆到泉而百兆到京而百兆到臬而

無(wú)線(xiàn)網(wǎng)絡(luò)構(gòu)成包括如下部分:

無(wú)線(xiàn)控制系統(tǒng)，設(shè)備提議布署在網(wǎng)絡(luò)中心，為保證整個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)的高可性,

提議采用在關(guān)鍵互換機(jī)配置無(wú)線(xiàn)控制模塊，通過(guò)互換機(jī)的高性能來(lái)實(shí)現(xiàn)路由和轉(zhuǎn)

發(fā)，并配置無(wú)線(xiàn)控制器模塊實(shí)現(xiàn)無(wú)線(xiàn)的管理。無(wú)線(xiàn)控制器模塊最大可管理640個(gè)

AP,通過(guò)在S7510E中集成無(wú)線(xiàn)控制器模塊，將充足運(yùn)用關(guān)鍵互換機(jī)的高可靠性

和高處理性能，同步，與有線(xiàn)網(wǎng)絡(luò)的融合度更高。

無(wú)線(xiàn)AP,根據(jù)實(shí)際需求，室內(nèi)區(qū)域，包括辦公室、圖書(shū)館等，AP采用FitAP,

選用WA2110—AG,AP與無(wú)線(xiàn)控制器構(gòu)成無(wú)線(xiàn)網(wǎng)，室內(nèi)AP連接到近來(lái)的訪問(wèn)層

互換機(jī)。

在室外區(qū)域，直接采用室外型APWA2200X系列AP,H3C室外型AP通過(guò)［P66

等級(jí)保護(hù)，可防水防塵，直接安裝在外。

提議配套H3CWSM無(wú)線(xiàn)業(yè)務(wù)管理系統(tǒng)，實(shí)現(xiàn)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的管理，通過(guò)WSM無(wú)

線(xiàn)業(yè)務(wù)管理器，顧客可以獲得全面的無(wú)線(xiàn)業(yè)務(wù)管理能力。

在設(shè)備選型中，我們提議無(wú)線(xiàn)局域網(wǎng)與互換機(jī)采用相似的品牌，以保證系統(tǒng)

的兼容性，并實(shí)現(xiàn)統(tǒng)一化管理。

采用FITAP處理方案構(gòu)建的無(wú)線(xiàn)局域網(wǎng)具有如下功能和特點(diǎn)：

＞以便布署

FTTAP處理方案采用集中式架構(gòu)，在不變化其網(wǎng)絡(luò)的原有規(guī)劃和布署的狀

況下，甚至不需要中斷原有網(wǎng)絡(luò)就可以輕松疊加一種無(wú)線(xiàn)網(wǎng)絡(luò)，該無(wú)線(xiàn)網(wǎng)絡(luò)和原

有的有線(xiàn)網(wǎng)絡(luò)可以形成有線(xiàn)無(wú)線(xiàn)一體化的接入方案，可以大大減少網(wǎng)絡(luò)升級(jí)和布

署的成本。

＞易于管理、AP“零配置”

采用無(wú)線(xiàn)控制器和FITAP配合組網(wǎng)時(shí)，只需要在無(wú)線(xiàn)控制器上對(duì)一類(lèi)相似

屬性的AP建立配置模板，AP在啟動(dòng)時(shí)可以自動(dòng)從無(wú)線(xiàn)控制器上下載最新的配置

文獻(xiàn)，真正做到了零配置，免維護(hù)，即插即用，極大地減輕了網(wǎng)絡(luò)管理員在布署

網(wǎng)絡(luò)階段的維護(hù)工作量。

＞以便升級(jí)

FITAP還支持軟件自動(dòng)更新功能，在其每次重新啟動(dòng)時(shí)會(huì)自動(dòng)比較目前運(yùn)

行的版本和無(wú)線(xiàn)控制器上保留的版本，假如無(wú)線(xiàn)控制器上保留的版本更新，AP

會(huì)自動(dòng)更新當(dāng)?shù)氐能浖诚?，軟件升?jí)不再需要網(wǎng)管人員的干預(yù)。

＞三層漫游

無(wú)線(xiàn)控制器支持三層漫游，并支持迅速漫游，漫游切換時(shí)間不不小于50ms,

滿(mǎn)足對(duì)切換時(shí)間規(guī)定最苛刻的語(yǔ)音業(yè)務(wù)。

》支持虛擬AP

FITAP支持多SSID實(shí)現(xiàn)虛擬AP特性，每個(gè)SSID可對(duì)應(yīng)不一樣的VLAN、

從而對(duì)于每一種SSTD可以實(shí)現(xiàn)不一樣的網(wǎng)絡(luò)服務(wù)及認(rèn)證方式。該特性使管理員

可以以便的為不一樣顧客群、不一樣的業(yè)務(wù)制定辨別的服務(wù)方略。

＞豐富的RF管理和安全

RF管理功能，可以使得無(wú)線(xiàn)網(wǎng)絡(luò)的布網(wǎng)靈活性大大增強(qiáng)，網(wǎng)絡(luò)的可維護(hù)性

得到很大的提高。AP的功率調(diào)整和信道切換是網(wǎng)絡(luò)布署和調(diào)試時(shí)不可缺乏的重

要手段，信道和功率還需要按照國(guó)家代碼自動(dòng)設(shè)置，無(wú)線(xiàn)控制器的RF管理功能

使得網(wǎng)絡(luò)布署非常簡(jiǎn)樸。RSSI/SNR的不停更新，更是讓系統(tǒng)可以適時(shí)理解每一

種無(wú)線(xiàn)顧客所處電磁環(huán)境的好壞、離AP的距離，從而可以采用對(duì)應(yīng)的方略來(lái)提

高網(wǎng)絡(luò)可用性。

A支持智能的負(fù)我均衡

支持智能負(fù)載均衡技術(shù)，保證只對(duì)處在AP覆蓋重疊區(qū)的無(wú)線(xiàn)顧客才啟動(dòng)AP

負(fù)載均衡功能，有效的防止誤均衡的出現(xiàn)，從而最大程度的提高了無(wú)線(xiàn)網(wǎng)絡(luò)容量。

＞IPv6

無(wú)線(xiàn)控制器實(shí)現(xiàn)了1PV4/1PV6雙協(xié)議棧。AP和無(wú)線(xiàn)控制器之間可以穿過(guò)

IPv6網(wǎng)絡(luò)互聯(lián)，從而使組網(wǎng)方式愈加靈活，可以滿(mǎn)足此后網(wǎng)絡(luò)發(fā)展的需要，保

護(hù)顧客投資。

＞完善的QoS

無(wú)線(xiàn)控制器支持Diff-Serv原則包括流分類(lèi)、流量監(jiān)管(Policing)、隊(duì)列

管理、隊(duì)列調(diào)度(Scheduling)等，完整實(shí)現(xiàn)了原則中定義的EF、AF1?AM、

BE等六組PHB及業(yè)務(wù)，可為顧客提供具有不一樣服務(wù)質(zhì)量等級(jí)的服務(wù)保證，真

正成為同步承載數(shù)據(jù)、語(yǔ)音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。

＞有線(xiàn)無(wú)線(xiàn)一體化的網(wǎng)管系統(tǒng)

采用同一品牌的互換機(jī)和無(wú)線(xiàn)局域網(wǎng)產(chǎn)品，通過(guò)配置1套網(wǎng)絡(luò)管理系統(tǒng)，

即可實(shí)既有線(xiàn)無(wú)線(xiàn)一體化的管理。

3.4網(wǎng)絡(luò)安全性設(shè)計(jì)

校園網(wǎng)絡(luò)承載多種業(yè)務(wù)系統(tǒng)，并實(shí)現(xiàn)與外界網(wǎng)絡(luò)的互聯(lián)互通，為保證業(yè)務(wù)系

統(tǒng)的安全性，需根據(jù)不一樣的業(yè)務(wù)類(lèi)型，采用對(duì)應(yīng)的安全措施。

在校園網(wǎng)絡(luò)送設(shè)中，網(wǎng)絡(luò)安全建設(shè)重要包括如下幾大部分：

一、對(duì)重點(diǎn)區(qū)域的安全隔離和訪問(wèn)控制，通過(guò)增長(zhǎng)防火墻，實(shí)現(xiàn)對(duì)業(yè)務(wù)系

統(tǒng)資源和外部網(wǎng)絡(luò)安全隔離和訪問(wèn)權(quán)限的控制。

二、網(wǎng)絡(luò)