1、校園網(wǎng)絡(luò)設(shè)計(jì)方案校園網(wǎng)絡(luò)設(shè)計(jì)方案 目錄目錄 第第 1 1 章章概述概述.4 第第 2 2 章章系統(tǒng)建設(shè)需求系統(tǒng)建設(shè)需求.6 第第 3 3 章章網(wǎng)絡(luò)平臺建設(shè)方案網(wǎng)絡(luò)平臺建設(shè)方案.6 3.1網(wǎng)絡(luò)設(shè)計(jì)原則.6 3.2網(wǎng)絡(luò)層次化設(shè)計(jì).8 3.3校園網(wǎng)絡(luò)總體結(jié)構(gòu).9 3.3.1核心層設(shè)計(jì).11 3.3.2匯聚層設(shè)計(jì).16 3.3.3網(wǎng)絡(luò)出口設(shè)計(jì).20 3.3.4接入層設(shè)計(jì).23 3.4網(wǎng)絡(luò)安全性設(shè)計(jì).29 3.4.1重要安全區(qū)域隔離.29 3.4.2出口帶寬監(jiān)管.29 3.4.3網(wǎng)絡(luò)安全保護(hù).30 3.5網(wǎng)絡(luò)可靠性設(shè)計(jì).33 3.5.1物理設(shè)備和鏈路穩(wěn)定性.33 3.5.1.1網(wǎng)絡(luò)結(jié)構(gòu)的可靠性 .33

2、3.5.1.2設(shè)備級冗余性設(shè)計(jì) .34 3.5.1.3鏈路冗余配置 .35 3.5.2數(shù)據(jù)鏈路層穩(wěn)定性設(shè)計(jì).35 3.5.2.1網(wǎng)絡(luò)部署 MSTP.36 3.5.2.2生成樹邊緣端口 .36 3.5.2.3DLDP 技術(shù)運(yùn)用.37 3.5.3網(wǎng)絡(luò)層穩(wěn)定性設(shè)計(jì).37 3.6網(wǎng)絡(luò)管理設(shè)計(jì).38 3.6.1資源管理.39 3.6.2拓?fù)涔芾?40 3.6.3故障（告警/事件）管理.42 3.6.4性能管理.45 3.6.5圖形化設(shè)備管理.45 3.6.6集中配置管理.46 3.7用戶管理系統(tǒng).47 第第 1 1 章章 概述概述 21 世紀(jì)將是人類全面進(jìn)入信息化社會的世紀(jì)，信息時(shí)代對人才提出全新的 要

3、求，信息科學(xué)的應(yīng)有水平已成為一個(gè)國家綜合國力的重要標(biāo)志。90 年代以來， 信息技術(shù)發(fā)展對經(jīng)濟(jì)、軍事、科技、教育、文化等各個(gè)領(lǐng)域產(chǎn)生了革命性的影 響，成為決定生產(chǎn)力發(fā)展和綜合國力的關(guān)鍵因素。我國政府對國家信息化工作 十分重視，早在 1984 年，鄧小平就提出：開發(fā)信息資源，服務(wù)四化建設(shè)。江 澤民同志強(qiáng)調(diào)：四個(gè)現(xiàn)代化，哪一樣也離不開信息化。在我國的國民經(jīng)濟(jì)和 社會發(fā)展“九五”計(jì)劃和 2010 年遠(yuǎn)景目標(biāo)綱要中，把“國民經(jīng)濟(jì)信息化程度的 顯著提高”作為國家發(fā)展的一個(gè)重要目標(biāo)。 信息技術(shù)教育是信息科學(xué)與技術(shù)發(fā)展的基礎(chǔ)，傳統(tǒng)的教育模式已不能適應(yīng) 信息化的要求，亟需深化改革。加快信息技術(shù)教育進(jìn)程，是提高我

4、國綜合國力 的一項(xiàng)長期而又緊迫的戰(zhàn)略任務(wù)。世界各國都在積極發(fā)展信息技術(shù)教育。 中共 中央國務(wù)院關(guān)于深化教育改革全面推進(jìn)素質(zhì)教育的決定中提出“在高中階段的 學(xué)校和有條件的初中、小學(xué)普及計(jì)算機(jī)操作和信息技術(shù)教育”。 面向 21 世紀(jì)教 育振興行動計(jì)劃也提出要實(shí)施“現(xiàn)代遠(yuǎn)程教育工程”。最近，為了推進(jìn)中小學(xué) 信息技術(shù)教育工作，教育部決定在 2005 年前全國所有中小學(xué)開設(shè)信息技術(shù)必 修課程。 在這種背景下，實(shí)施全國廣大中小學(xué)的教育信息化工程已經(jīng)是一項(xiàng)迫在眉 睫的任務(wù)。教育信息化，不論是網(wǎng)上教育信息管理，還是網(wǎng)上教學(xué)應(yīng)用都有廣 闊的前景。就教育信息管理而言，目前各級教育管理部門基本沿襲傳統(tǒng)手工管 理方式

5、，只有個(gè)別部門、個(gè)別科室、在某些方面實(shí)現(xiàn)了計(jì)算機(jī)自動化管理，但 都是零星的、分散的、基于單機(jī)的管理模式。在信息技術(shù)高度發(fā)達(dá)的今天，在 信息已經(jīng)成為社會重要資源的今天，這種管理模式已不能適應(yīng)社會發(fā)展的需求； 基于網(wǎng)絡(luò)的辦公自動化模式，不僅可以極大地減輕工作強(qiáng)度，提高工作效率， 而且可以減少由于人工操作出現(xiàn)錯(cuò)誤的可能性，并可以使信息在流通和重復(fù)使 用中發(fā)揮最大的效益。就網(wǎng)上教學(xué)而言，基于網(wǎng)絡(luò)的教學(xué)環(huán)境，其信息資源的 多樣性、豐富性和檢索信息的快捷性、方便性是傳統(tǒng)教學(xué)環(huán)境不可比擬的；而 且網(wǎng)上學(xué)習(xí)不受時(shí)空和地域的限制，學(xué)習(xí)模式也可靈活選擇，既可以實(shí)現(xiàn)個(gè)別 化的學(xué)習(xí)模式，又可以實(shí)現(xiàn)協(xié)作式的學(xué)習(xí)模式，有

6、利于發(fā)揮學(xué)生的主動性、積 極性、創(chuàng)造性，有利于培養(yǎng)學(xué)生的創(chuàng)新精神和貫徹落實(shí)素質(zhì)教育?？傊?，基于 網(wǎng)絡(luò)的遠(yuǎn)程教學(xué)，克服了電視、廣播、函授等傳統(tǒng)媒體不能即時(shí)反饋的缺點(diǎn)， 極大地拓展了遠(yuǎn)程教育的范圍，豐富了遠(yuǎn)程教育的內(nèi)涵。 但是目前在教育領(lǐng)域熱火朝天的“建網(wǎng)熱”中，往往是“重硬輕軟”，只是熱衷 于網(wǎng)絡(luò)基礎(chǔ)設(shè)施和硬件環(huán)境的建設(shè)，而忽視應(yīng)用軟件和教學(xué)資源的開發(fā)。這就 造成建了網(wǎng)（相當(dāng)于“修了路”）以后，常常面臨“有路無車”、 “有車無貨”或有了車、 貨卻缺乏“駕駛員”（經(jīng)過培訓(xùn)的教師）的現(xiàn)象，使大批已建成的教育網(wǎng)絡(luò)根本 無法發(fā)揮作用，甚至建網(wǎng)越多，浪費(fèi)越大。我國是發(fā)展中國家，教育經(jīng)費(fèi)本來 就嚴(yán)重短缺，可

7、是就這么一點(diǎn)資金還要如此浪費(fèi)，這是多么令人痛心的局面。 之所以出現(xiàn)這種現(xiàn)象，究其原因，關(guān)鍵在于對教育網(wǎng)絡(luò)建設(shè)缺乏系統(tǒng)、全面的 考慮與研究，一講建網(wǎng)，就一窩蜂上硬件設(shè)施 一門心思搞“修路”。其實(shí)， 網(wǎng)絡(luò)教育應(yīng)用是一項(xiàng)系統(tǒng)工程，必須將“路、車、貨、駕駛員培訓(xùn)”這四個(gè)要素 通盤考慮，在此基礎(chǔ)上研究出一個(gè)“全面解決技術(shù)方案”來并加以實(shí)施，才有可 能從根本上解決網(wǎng)絡(luò)教育問題。 第第 2 2 章章 系統(tǒng)建設(shè)需求系統(tǒng)建設(shè)需求 校園網(wǎng)絡(luò)平臺是校園數(shù)字化系統(tǒng)的運(yùn)行基礎(chǔ)，學(xué)校原有的網(wǎng)絡(luò)平臺無論是 在網(wǎng)絡(luò)的穩(wěn)定性、業(yè)務(wù)適應(yīng)用性、性能、安全以及可擴(kuò)展性等方面已無法支撐 學(xué)校系統(tǒng)的需求，更是無法達(dá)到國家示范性高等職院建

8、設(shè)的要求，因此，學(xué)校 的校園網(wǎng)絡(luò)平臺需要進(jìn)行全面的升級，建設(shè)任務(wù)主要包括以下五大方面： 一、 建設(shè)一個(gè)高可用的骨干網(wǎng)，這是網(wǎng)絡(luò)平臺建設(shè)最為重要及緊急任務(wù)之 一，骨干網(wǎng)的穩(wěn)定性、性能和安全性將直接影響到校園網(wǎng)絡(luò)的運(yùn)行； 二、 建設(shè)一個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)平臺，為數(shù)字化業(yè)務(wù)系統(tǒng)提供一個(gè)高可用的接 入平臺； 三、 建設(shè)一個(gè)安全可控的網(wǎng)絡(luò)出口，增強(qiáng)網(wǎng)絡(luò)外界的安全防護(hù)以及校園網(wǎng) 用戶的行為監(jiān)管能力，提高出口帶寬的使用效率； 四、 完善校園網(wǎng)用戶的接入和控制，通過部署用戶認(rèn)證、計(jì)費(fèi)等措施對全 面提升對接入用戶的控制，使用戶接入規(guī)范化。 五、 建設(shè)校園無線網(wǎng)絡(luò)平臺，提高網(wǎng)絡(luò)接入的覆蓋能力，校園用戶更易于 使用學(xué)校資

9、源。 第第 3 3 章章 網(wǎng)絡(luò)平臺建設(shè)方案網(wǎng)絡(luò)平臺建設(shè)方案 3.13.1 網(wǎng)絡(luò)設(shè)計(jì)原則網(wǎng)絡(luò)設(shè)計(jì)原則 校園網(wǎng)建設(shè)要實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的 QoS 保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)教育管理、多媒體教學(xué)自動化，必 須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容 性、可擴(kuò)展性。 學(xué)校學(xué)校網(wǎng)絡(luò)建設(shè)遵循以下基本原則：網(wǎng)絡(luò)建設(shè)遵循以下基本原則： 高帶寬高帶寬 學(xué)校網(wǎng)絡(luò)是一個(gè)龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng) 全網(wǎng)的組網(wǎng)設(shè)計(jì)的無瓶頸性，要求方案設(shè)計(jì)的階段就要充分考慮到，同時(shí)要求 核心交換機(jī)具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶

10、頸的 數(shù)據(jù)交換。 可增值性可增值性 學(xué)校網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增 值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對 不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制。 可擴(kuò)充性可擴(kuò)充性 考慮到學(xué)校用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對于核心交換機(jī)與 匯聚交換機(jī)具有強(qiáng)大的擴(kuò)展功能，學(xué)校網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易 擴(kuò)充的彈性網(wǎng)絡(luò)平臺，能夠隨著需求變化，充分留有擴(kuò)充余地。 開放性開放性 技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或 內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良 交

11、換傳送的需要；開放的接口，支持良好的維護(hù)、測量和管理手段，提供網(wǎng)絡(luò) 統(tǒng)一實(shí)時(shí)監(jiān)控的遙測、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。 安全可靠性安全可靠性 設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提 供網(wǎng)絡(luò)安全防范措施。 3.23.2 網(wǎng)絡(luò)層次化設(shè)計(jì)網(wǎng)絡(luò)層次化設(shè)計(jì) 在校園園區(qū)網(wǎng)絡(luò)整體設(shè)計(jì)中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán) 格定義各層功能模型，不同層次關(guān)注不同的特性配置。根據(jù)學(xué)校的網(wǎng)絡(luò)分布情 況，校園網(wǎng)共分成核心層、匯聚層和接入層三層。 1)1) 核心層核心層 核心層是整個(gè)網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂， 要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等

12、。 學(xué)校主控室設(shè)立整個(gè)校園網(wǎng)的核心層，對于學(xué)校校園的核心層，必須提供 高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的多設(shè)備冗余的星型結(jié)構(gòu)。 對于校園網(wǎng)核心層設(shè)備，應(yīng)該在提供大容量、高性能 L2/L3 交換服務(wù)基礎(chǔ) 上，能夠進(jìn)一步融合了硬件 IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為 校園園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺，進(jìn)而幫助用戶實(shí)現(xiàn) IT 資源整合的需求。 2)2) 匯聚層匯聚層 匯聚來自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù) 載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。 目前，學(xué)校共有 5 幢建筑物，學(xué)校匯聚層設(shè)立將根據(jù)現(xiàn)有的信息點(diǎn)分布， 結(jié)合

13、綜合布線系統(tǒng)等多因素，一般而言，以建筑物/功能區(qū)為單位設(shè)立匯聚層， 即每個(gè)單體建筑/功能區(qū)設(shè)立一個(gè)網(wǎng)絡(luò)匯聚層，如數(shù)據(jù)中心和網(wǎng)絡(luò)出口分別設(shè)于 匯聚層，同時(shí)對于學(xué)生宿舍區(qū)，可以采用多幢學(xué)生宿舍共用 1 個(gè)網(wǎng)絡(luò)匯聚層的 方式。 對于校園園區(qū)網(wǎng)的匯聚層設(shè)備，應(yīng)該能夠承載校園園區(qū)的多種融合業(yè)務(wù)， 能夠融合 IPv6、網(wǎng)絡(luò)安全、流量分析等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、 環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，能夠承載校園園區(qū)融合業(yè)務(wù)的需求。 3)3) 接入層接入層 提供網(wǎng)絡(luò)的第一級接入功能，完成二層接入，并實(shí)現(xiàn)對終端接入的安全控 制，包括 ARP 防御、IP/MAC/端口綁定以及 POE 等高級功能。 在校園網(wǎng)中

14、，接入層采用千兆及百兆到桌面的接入模式，對于數(shù)據(jù)傳輸量 較大或重要區(qū)域采用千兆到桌面的方案，如綜合辦公、圖書館等，其它的為百 兆接入，同時(shí)，無線 AP 接入采用 POE 方式進(jìn)行設(shè)備的供電。 接入層設(shè)備以選擇二層交換機(jī)為主，設(shè)備應(yīng)具有靈活的擴(kuò)展能力，支持堆 疊，具有強(qiáng)安全性，可以實(shí)現(xiàn) IP、MAC、端口的綁定，支持 802.1x 認(rèn)證，支 持 DHCP Snooping ，防止非法 DHCP 接入和 ARP 攻擊。 3.33.3 校園網(wǎng)絡(luò)總體結(jié)構(gòu)校園網(wǎng)絡(luò)總體結(jié)構(gòu) 校園網(wǎng)絡(luò)平臺將采用層次化通用結(jié)構(gòu)設(shè)計(jì)，采用核心層、匯聚層和接入層 三層架構(gòu)，包括網(wǎng)絡(luò)骨干、數(shù)據(jù)中心、網(wǎng)絡(luò)出口、網(wǎng)絡(luò)接入、無線網(wǎng)絡(luò)等五

15、大 部分。 網(wǎng)絡(luò)骨干由核心層和匯聚層組網(wǎng)，骨干網(wǎng)采用高可靠性組網(wǎng)，核心層配置 高端核心交換機(jī)，匯聚層設(shè)備通過千兆鏈路實(shí)現(xiàn)與核心層設(shè)備的互聯(lián)，網(wǎng)絡(luò)骨 干全面支持 IPv6，并提供萬兆擴(kuò)展能力。 校園網(wǎng)設(shè)立數(shù)據(jù)中心，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)服務(wù)器的集中部署，數(shù)據(jù)中心網(wǎng)絡(luò) 平臺獨(dú)立建設(shè)，為服務(wù)器提供高性能、高可靠、可擴(kuò)展性的接入平臺，同時(shí)， 通過核心交換機(jī)內(nèi)置高性能的防火墻模塊提供安全保護(hù)。 網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)，包括與教育科、互聯(lián)網(wǎng)的互聯(lián)， 網(wǎng)絡(luò)出口需實(shí)現(xiàn)校園網(wǎng)與外部網(wǎng)絡(luò)的隔離，網(wǎng)絡(luò)出口配置 1 臺路由器設(shè)備實(shí)現(xiàn) 與外部網(wǎng)絡(luò)互聯(lián)，配置應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)出口帶寬的管理，并對校園網(wǎng)用戶 實(shí)現(xiàn)行為

16、審計(jì)等功能。 網(wǎng)絡(luò)接入層提供校園網(wǎng)用戶的接入，并實(shí)現(xiàn)網(wǎng)絡(luò)接入的安全防御，如 ARP 攻擊防護(hù)，同時(shí)，結(jié)合用戶管理系統(tǒng)實(shí)現(xiàn)對接入用戶認(rèn)證、計(jì)費(fèi)等管理。 為實(shí)現(xiàn)校園網(wǎng)絡(luò)接入的靈活性，提高網(wǎng)絡(luò)的覆蓋，校園網(wǎng)將實(shí)現(xiàn)辦公樓、 圖書館、實(shí)驗(yàn)室、運(yùn)動場館等公共區(qū)域的無線網(wǎng)絡(luò)覆蓋，無線網(wǎng)采用智能的 Fit AP 組網(wǎng)。 為便于網(wǎng)絡(luò)的管理和維護(hù)，校園網(wǎng)還將建設(shè) 1 套網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對校 園網(wǎng)絡(luò)平臺設(shè)備的統(tǒng)一管理，網(wǎng)絡(luò)管理應(yīng)具有拓?fù)?、故障、性能、配置和圖形 化設(shè)備管理等功能，為了實(shí)現(xiàn)更為方便的通過遠(yuǎn)程方式對網(wǎng)絡(luò)的狀態(tài)進(jìn)行監(jiān)控 和維護(hù)，網(wǎng)絡(luò)系統(tǒng)采用 B/S 架構(gòu)。 同時(shí)，為加強(qiáng)對接入用戶的控制和管理，系統(tǒng)還部署

17、用戶認(rèn)證、計(jì)費(fèi)管理 系統(tǒng)。 3.3.13.3.1 核心層設(shè)計(jì)核心層設(shè)計(jì) 學(xué)校主控室設(shè)立整個(gè)校園網(wǎng)的核心層，對于學(xué)校校園的核心層，必須提供 高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的設(shè)備冗余的星型結(jié)構(gòu)。 核心層配置高端交換機(jī)作為核心交換機(jī)，選用的核心交換機(jī)是從可靠性、 性能、業(yè)務(wù)特性、安全特性以及可擴(kuò)展性等多個(gè)方面進(jìn)行綜合考慮。 在可靠性方面，核心交換機(jī)應(yīng)達(dá)到 99.99%的高可靠性，采用全模塊化設(shè) 計(jì)，電源、風(fēng)扇、引擎、業(yè)務(wù)模塊等均可實(shí)現(xiàn)熱插拔，支持電源、引擎等關(guān)鍵 部件的 1+1 冗余熱備份，支持 VRRP、路由優(yōu)雅（GR）等高可靠性協(xié)議，實(shí) 現(xiàn)核心層的業(yè)務(wù)不間斷轉(zhuǎn)發(fā)。 在性能方面，核心交換

18、機(jī)應(yīng)采用 Crossbar 交換矩陣，采用全分布式轉(zhuǎn)發(fā)， 支持萬兆、千兆等高速以太網(wǎng)接口，所有接口實(shí)現(xiàn)線速轉(zhuǎn)發(fā),保障校園網(wǎng)多種業(yè) 務(wù)進(jìn)行并發(fā)交換。 在業(yè)務(wù)特性方面，核心交換機(jī)支持豐富的 QoS 特性，可保障重要業(yè)務(wù)得到 優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)；并且支持內(nèi)置防火墻、內(nèi)置 無線控制器等多種業(yè)務(wù)功能插卡，可以進(jìn)行靈活的部署，實(shí)現(xiàn)業(yè)務(wù)的擴(kuò)展和融 合。 在安全性方面，核心交換機(jī)應(yīng)既能保障自身的運(yùn)行安全，也能通過一些安 全機(jī)制保障所承載業(yè)務(wù)的安全。 基于上述因素，我們建議核心交換機(jī)采用 H3C S7510E 高端交換機(jī)。 H3C S7500E 系列產(chǎn)品是杭州華三通信技術(shù)有限公司（

19、以下簡稱 H3C 公司） 面向融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于 H3C 自主 知識產(chǎn)權(quán)的 Comware V5 操作系統(tǒng)，融合了 MPLS、IPv6、網(wǎng)絡(luò)安全、無線、 無源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠 技術(shù)。 S7510E 具有 10 個(gè)槽位，其中 8 個(gè)為業(yè)務(wù)模塊插槽，并支持豐富的接口模 塊，如萬兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡(luò)規(guī)模實(shí)現(xiàn)在線擴(kuò)展。 S7510E 具有高轉(zhuǎn)發(fā)性能，整機(jī)具有 1152Gbps 交換容量、773Mpps 轉(zhuǎn)發(fā) 性能，同時(shí)，S7510E 采用全分布式轉(zhuǎn)發(fā)，并采用最長匹配、逐包轉(zhuǎn)發(fā)的處理 機(jī)制，保證業(yè)務(wù)的高

20、速率轉(zhuǎn)發(fā)。S7510E 中配置的所有接口均可實(shí)現(xiàn)線速轉(zhuǎn)發(fā)。 選用的 H3C S7500E 交換機(jī)具有以下特點(diǎn)： 、豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢 全面的 MPLS 業(yè)務(wù)能力 H3C S7500E 所有產(chǎn)品均支持 VRF-Lite 特性，可以做為 MCE 設(shè)備使用； 支持三層的 MPLS VPN 和二層的 MPLS VPN（Martini、Kompella） ，可擴(kuò)展支 持 VPLS 技術(shù)；支持 MPLS OAM 特性，方便用戶的管理和維護(hù)；與 H3C MPLS VPN Manager 配合，實(shí)現(xiàn)圖形化的 MPLS 部署與維護(hù)。 線速的 IPv4/IPv

21、6 業(yè)務(wù)能力 H3C S7500E 支持 IPv4/IPv6 雙協(xié)議棧,支持多種 6to4 隧道技術(shù)，支持 IPv4/IPv6 的組播技術(shù)，為用戶提供完善的 IPv4/IPv6 解決方案；H3C S7500E 采用分布式體系架構(gòu)，實(shí)現(xiàn) IPv4/IPv6 業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)；H3C S7500E 已經(jīng)通過了信息產(chǎn)業(yè)部的 IPv6 入網(wǎng)認(rèn)證和 IPv6 Ready 第二階段金色認(rèn)證，是 成熟商用的 IPv6 產(chǎn)品。 有線無線一體化，有源無源一體化 H3C S7500E 集成的無線控制模塊提供豐富的業(yè)務(wù)能力，包括精細(xì)的用戶 控制管理、完善的 RF 管理及安全機(jī)制、快速漫游、超強(qiáng)的 QOS 和對

22、IPV6 的 支持等；無線控制模塊通過與安全策略服務(wù)器的聯(lián)動，實(shí)現(xiàn)對無線接入用戶的 端點(diǎn)準(zhǔn)入防御，提高了整網(wǎng)的安全性。 H3C S7500E 是業(yè)界最高密度的以太網(wǎng)無源光網(wǎng)絡(luò)（EPON）設(shè)備，單臺 最大可接入 10240 個(gè) FTTH 用戶；H3C S7500E 是高可靠的 EPON 系統(tǒng)，采 用分布式體系結(jié)構(gòu)、模塊化設(shè)計(jì)，主控板冗余熱備份、無源背板、冗余電源支 持雙路供電，具有電信級可靠性。 支持 Portal 認(rèn)證 H3C S7500E 支持大容量的 Portal 認(rèn)證功能，可以在數(shù)千用戶的局域網(wǎng)中 作為 EAD 網(wǎng)關(guān)設(shè)備，為全網(wǎng)用戶提供 EAD 安全認(rèn)證功能；可以在大中型的校 園網(wǎng)中擔(dān)任

23、匯聚/核心設(shè)備的同時(shí)，為學(xué)生宿舍區(qū)的認(rèn)證計(jì)費(fèi)提供 Portal 認(rèn)證功 能。 、靈活的配置，適應(yīng)各種應(yīng)用場景靈活的配置，適應(yīng)各種應(yīng)用場景 配線間融合業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇 H3C S7500E 針對配線間的需求定制開發(fā)了 SA 板卡，單臺設(shè)備可以提供 480 個(gè)千兆線速接口和 4 個(gè)萬兆線速接口。H3C S7500E 支持端點(diǎn)準(zhǔn)入防御解 決方案，解決終端安全問題；內(nèi)置 2800W 電源直接提供 PoE 功能，對 IP 語音 和無線接入提供良好的支持。 政府電力城域網(wǎng)邊緣和匯聚的最佳選擇 H3C S7500E 支持 VRF-Lite 特性，為用戶提供高可靠高性能的 MCE 設(shè)備； 通過配置 Sali

24、ence VI-Turbo 引擎，可以提供集中式 MPLS 業(yè)務(wù)功能，適合在 城域網(wǎng)邊緣作為高性價(jià) PE 設(shè)備使用；通過配置 EA 類板卡，可以提供分布式 線速的 MPLS 業(yè)務(wù)功能，適合在城域網(wǎng)匯聚層作為高性能的 PE 使用。 IPv6 網(wǎng)絡(luò)的最佳選擇 H3C S7500E 所有 Salience VI 引擎都可以提供集中式 IPv6 功能，H3C S7500E 針對 IPv4/IPv6 高性能的要求還開發(fā)了分布式 IPv4/IPv6 轉(zhuǎn)發(fā)的 SC 板 卡，在整機(jī)滿配置狀態(tài)下實(shí)現(xiàn)線速無收斂，為高校用戶提供了高性能低成本的 雙棧匯聚核心設(shè)備，同時(shí)也滿足其他行業(yè)用戶 IPv6 Ready 的需求

25、。 、全方位的安全保障，抵御多種網(wǎng)絡(luò)安全威脅全方位的安全保障，抵御多種網(wǎng)絡(luò)安全威脅 三平面安全保障機(jī)制 H3C S7500E 提供完善的安全防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全 面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置協(xié)議報(bào)文攻擊識別模塊，防止 TCN、ARP 等協(xié)議報(bào)文攻擊，OSPF/BGP/IS-IS 路由協(xié)議采用 MD5 驗(yàn)證，防 止非法路由更新報(bào)文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，SNMPv3 網(wǎng)管協(xié)議，SSH V2，基于 802.1x、AAA/Radius 的用戶身份認(rèn)證以及分級的用戶權(quán)限管理保證 了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持 IP、VLAN 、MAC 和端口等多種組 合精細(xì)綁定；支持

26、 uRPF 單播反向路徑轉(zhuǎn)發(fā)，防止非法流量訪問網(wǎng)絡(luò)，采用最 長匹配逐包轉(zhuǎn)發(fā)機(jī)制，有效抵御病毒的攻擊。 有線無線全面支持 EAD H3C S7500E 是 EAD 端點(diǎn)準(zhǔn)入防御解決方案的重要組成部分，S7500E 可 以動態(tài)的接收來自安全策略服務(wù)器的控制策略，根據(jù)終端的安全狀態(tài)給予下發(fā) 相應(yīng)的訪問權(quán)限。H3C S7500E 既支持有線終端用戶的 EAD，也支持無線終端 用戶的 EAD，能夠做到終端安全防范無漏洞。 增強(qiáng)的 ACL 特性 H3C S7500E 系列產(chǎn)品支持強(qiáng)大的 ACL 能力：支持標(biāo)準(zhǔn)和擴(kuò)展 ACL；支 持基于 VLAN 的 ACL，方便用戶配置，節(jié)省 ACL 資源；支持出方向和入

27、方向 的 ACL，每板最大可支持 9K 條 ACL，滿足金融等行業(yè)訪問權(quán)限嚴(yán)格控制的需 求。 、電信級的高可靠性，保障用戶業(yè)務(wù)長期穩(wěn)定運(yùn)行電信級的高可靠性，保障用戶業(yè)務(wù)長期穩(wěn)定運(yùn)行 電信級高可靠性設(shè)計(jì) H3C S7500E 采用無單點(diǎn)故障設(shè)計(jì)，所有關(guān)鍵部件，如主控板、交換網(wǎng)、 電源和風(fēng)扇等采用冗余設(shè)計(jì)；無源背板避免了機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板和 電源模塊支持熱插拔功能；H3C S7500E 系列可以在惡劣的環(huán)境下長時(shí)間穩(wěn)定 運(yùn)行，達(dá)到 99.999的電信級可靠性。 多業(yè)務(wù)高可靠性運(yùn)行 H3C S7500E 支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級的切換時(shí)間；支持 等價(jià)路由，可幫助用戶建立多條等值路

28、徑，實(shí)現(xiàn)流量的負(fù)載均衡及冗余備份； 支持 RRPP 快速環(huán)網(wǎng)保護(hù)協(xié)議，提供小于 200ms 的環(huán)網(wǎng)故障保護(hù)；支持 Smart-Link 協(xié)議，保證雙上行網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)毫秒級快速切換。通過上述技術(shù)， H3C S7500E 可以在承載多業(yè)務(wù)的情況下不間斷運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)的永續(xù)。 支持熱補(bǔ)丁技術(shù) H3C S7500E 能夠在不重啟設(shè)備的前提下，通過熱補(bǔ)丁技術(shù)，在線修改軟 件 BUG，增加新的業(yè)務(wù)特性。H3C S7500E 提供控制補(bǔ)丁單元狀態(tài)切換的用戶 命令，使用戶能夠方便的加載、激活、去激活、運(yùn)行或刪除補(bǔ)丁單元。通過熱 補(bǔ)丁技術(shù)，降低了設(shè)備需要重啟的次數(shù)，為客戶提供更長的網(wǎng)絡(luò)正常工作時(shí)間。 3.3.

29、23.3.2 匯聚層設(shè)計(jì)匯聚層設(shè)計(jì) 匯聚來自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù) 載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。 選用的匯聚交換機(jī)應(yīng)具備以下功能和特性： 在可靠性方面，匯聚交換機(jī)支持路由協(xié)議平滑重啟，支持 RSTP、MSTP 生成樹協(xié)議，支持 2 層的快速切換，確保與核心交換機(jī)組網(wǎng)的可靠性， 在性能方面，匯聚交換機(jī)所有端口線速轉(zhuǎn)發(fā)，包括萬兆接口，保障多種業(yè) 務(wù)進(jìn)行并發(fā)交換。 在業(yè)務(wù)特性方面，匯聚交換機(jī)支持豐富的 QoS 特性，可保障重要業(yè)務(wù)得到 優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。 在安全性方面，匯聚交換機(jī)具有安全機(jī)制保

30、障所承載業(yè)務(wù)的安全。 基于以上要求，我們建議匯聚交換機(jī)選用 H3C 的 S5500EI，S5500EI 系列交換機(jī)具有以下特點(diǎn)： 1、高擴(kuò)展性保護(hù)投資 隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達(dá)到飽和，而能夠 擁有多條集群 10GE 鏈路將是我們的未來發(fā)展方向。H3C S5500-EI 系列交換 機(jī)支持兩個(gè)擴(kuò)展槽位，每個(gè)槽位支持單端口或雙端口的 10GE 擴(kuò)展模塊，在實(shí) 現(xiàn)千兆匯聚或接入時(shí)保留進(jìn)一步支持 10GE 的擴(kuò)展能力，盡力保護(hù)用戶投資。 IPv4 到 IPv6 的演變是以太網(wǎng)發(fā)展的大勢所趨，網(wǎng)絡(luò)設(shè)備對于 IPv6 的支持 不僅是簡單的可用就行，而是需要達(dá)到商用的標(biāo)準(zhǔn)，S5500

31、-EI 已經(jīng)通過了國際 最權(quán)威的 IPv6 Ready 第二階段認(rèn)證，而且通過了信息產(chǎn)業(yè)部嚴(yán)格的 IPv6 入網(wǎng) 測試。這個(gè)系列產(chǎn)品是基于硬件的 IPv4/IPv6 雙棧平臺，支持豐富的 IPv4 和 IPv6 三層路由協(xié)議、組播協(xié)議和策略路由機(jī)制，實(shí)現(xiàn) IPv4 到 IPv6 的平滑升級。 2、完備的安全控制策略 H3C S5500-EI 系列交換機(jī)支持 EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺系 統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控 制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、 隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動防御為主動防御、變單

32、點(diǎn)防御為 全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全 威脅的整體防御能力。 H3C S5500-EI 交換機(jī)支持集中式 MAC 地址認(rèn)證、802.1x 認(rèn)證、 PORTAL 認(rèn)證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標(biāo)識元素的動 態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略（VLAN、QoS、ACL）的動態(tài)下發(fā)；支持配 合 H3C 公司的 CAMS 系統(tǒng)對在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng) 絡(luò)非法行為。 H3C S5500-EI 系列交換機(jī)提供增強(qiáng)的 ACL 控制邏輯，支持超大容量的入 端口和出端口 ACL，并且支持基于 VLAN 的 ACL 下發(fā)，在簡化用戶配

33、置過程 的同時(shí)，避免了 ACL 資源的浪費(fèi)。另外，S5500-EI 系列還將支持單播反向路 徑查找技術(shù)（uRPF） ，原理是當(dāng)設(shè)備的一個(gè)接口上收到一個(gè)數(shù)據(jù)包時(shí)，會反向 查找路徑來驗(yàn)證是否存在從該接收接口到包中制定的源地址之間的路由，即驗(yàn) 證了其真實(shí)性，如果不存在就將數(shù)據(jù)包刪除，這樣我們就可以有效杜絕網(wǎng)絡(luò)中 日益泛濫的源地址欺騙。7VM 海岸線網(wǎng)絡(luò)安全資訊站 3、多重可靠性保護(hù) S5500-EI 系列交換機(jī)還具備設(shè)備級和鏈路級的多重可靠性保護(hù)。所有機(jī)型 都支持內(nèi)置的雙冗余電源，其中 S5500-28F-EI 支持可插拔的冗余電源模塊， 也就是說我們可以根據(jù)實(shí)際環(huán)境的需要靈活配置交流或直流電源模塊

34、，此外整 機(jī)還支持電源和風(fēng)扇的故障檢測及告警，可以根據(jù)溫度的變化自動調(diào)節(jié)風(fēng)扇的 轉(zhuǎn)速，這些設(shè)計(jì)使我們這款盒式交換機(jī)具備了機(jī)柜式交換機(jī)的高可靠性。 除了設(shè)備級可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈 路可靠性技術(shù)，比如華三通信獨(dú)創(chuàng)的 RRPP 快速環(huán)網(wǎng)保護(hù)機(jī)制。當(dāng)網(wǎng)絡(luò)上承載 多業(yè)務(wù)、大流量的時(shí)候也不影響網(wǎng)絡(luò)的收斂時(shí)間，保證業(yè)務(wù)的正常開展。 4、多業(yè)務(wù)支持能力 支持 PoE（Power over Ethernet）技術(shù)，通過以太網(wǎng)對所連接的設(shè)備（如 IP Phone, Wireless AP 等）進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場為設(shè)備部 署單獨(dú)的電源系統(tǒng)，能夠極大地減少部署終端設(shè)

35、備的布線和管理成本。支持 Voice VLAN 技術(shù)，交換機(jī)通過識別端口的語音流，將對應(yīng)的接入端口加入 Voice VLAN（專用語音 VLAN）中，為語音流量提供專門通道，并自動下發(fā)優(yōu) 先級規(guī)則保證語音流的優(yōu)先傳輸來保證通話質(zhì)量。同時(shí)通過設(shè)置 Voice VLAN 安全特性，只允許語音流量通過，可以有效防止突發(fā)數(shù)據(jù)流量對 Voice VLAN 內(nèi)的語音流量的沖擊。 H3C S5500-EI 系列交換機(jī)支持 MCE 功能，可以有效解決多 VPN 網(wǎng)絡(luò)帶 來的用戶數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用 CE 設(shè)備本身的 VLAN 接口 編號與網(wǎng)絡(luò)內(nèi)的 VPN 進(jìn)行綁定，并為每個(gè) VPN 創(chuàng)建和維護(hù)

36、獨(dú)立的路由轉(zhuǎn)發(fā)表 （Multi-VRF） 。這樣不但能夠隔離私網(wǎng)內(nèi)不同 VPN 的報(bào)文轉(zhuǎn)發(fā)路徑，而且通過 與 PE 間的配合，也能夠?qū)⒚總€(gè) VPN 的路由正確發(fā)布至對端 PE，保證 VPN 報(bào) 文在公網(wǎng)內(nèi)的傳輸。 5、豐富的 QoS 策略 H3C S5500-EI 系列交換機(jī)支持支持 L2（Layer 2）L4（Layer 4）包過濾 功能，提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、 TCP/UDP 端口號、協(xié)議類型、VLAN 的流分類。提供靈活的對列調(diào)度算法，可 以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持 SP（Strict Priority） 、WRR（Wei

37、ghted Round Robin） 、SP+WRR 三種模式。支持 CAR（Committed Access Rate） 功能，粒度最小達(dá) 64Kbps。支持出、入兩個(gè)方向的端口鏡像，用于對指定端 口上的報(bào)文進(jìn)行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進(jìn)行網(wǎng)絡(luò)檢測和 故障排除。 6、出色的管理性 H3C S5500-EI 系列交換機(jī)支持 SNMPv1/v2/v3（Simple Network Management Protocol） ，可支持 Open View 等通用網(wǎng)管平臺以及 iMC 智能管 理中心。支持 CLI 命令行，Web 網(wǎng)管，TELNET，HGMP 集群管理，使設(shè)備管 理更方

38、便，并且支持 SSH2.0 等加密方式，使得管理更加安全。 H3C S5500-EI 系列交換機(jī)支持基于 MAC 地址劃分 VLAN，很好的解決了 移動辦公的智能靈活管理；結(jié)合特有的基于全局和 VLAN 下發(fā) ACL 策略，在簡 化用戶配置的同時(shí)，也大幅節(jié)約了硬件資源。該系列交換機(jī)還支持 sFlow 功能， 可以對出入方向的報(bào)文按比例隨機(jī)抽樣，靈活實(shí)現(xiàn)報(bào)文采集。 3.3.33.3.3 網(wǎng)絡(luò)出口設(shè)計(jì)網(wǎng)絡(luò)出口設(shè)計(jì) 網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外界網(wǎng)絡(luò)互聯(lián)，出口網(wǎng)絡(luò)應(yīng)具有一定的可靠性， 提供網(wǎng)絡(luò)安全防護(hù)能力，并對出口帶寬進(jìn)行有效的分配和控制，同時(shí)加強(qiáng)對用 戶行為進(jìn)行監(jiān)管。 網(wǎng)絡(luò)出口配置 1 臺高端路由器，

39、路由器實(shí)現(xiàn)外部網(wǎng)絡(luò)互聯(lián)，并提供 NAT 功 能，配置 1 臺應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)對出口帶寬的靈活調(diào)配，并實(shí)現(xiàn)對用戶行為 進(jìn)行審計(jì)和監(jiān)管。并通過核心交換機(jī)的防火墻模塊實(shí)現(xiàn)對網(wǎng)絡(luò)區(qū)域的隔離和訪 問控制。 網(wǎng)絡(luò)出口路由器應(yīng)具備以下功能和特性： 在可靠性方面，路由器應(yīng)支持電源、處理系統(tǒng)的冗余備份。 在性能方面，路由器應(yīng)提供高性能轉(zhuǎn)發(fā)，并具有優(yōu)越的 NAT 處理能力。 在業(yè)務(wù)特性方面，路由器支持豐富的 QoS 特性，可保障重要業(yè)務(wù)得到優(yōu)先 轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。 在安全性方面，路由器有安全機(jī)制保障所承載業(yè)務(wù)的安全。 基于上述因素，我們建議出口路由器采用 H3C SR6604 高端路

40、由器。 應(yīng)用控制網(wǎng)關(guān)選用 H3C SecPath ACG（Application Control Gateway） ， H3C ACG 是業(yè)界識別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對 網(wǎng)絡(luò)中的 P2P/IM 帶寬濫用、 “地下”VoIP、 “一拖 N”、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng) 用、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識別和控制；同時(shí)，可對網(wǎng)絡(luò)流量、用戶 上網(wǎng)行為進(jìn)行深入分析與全面的事后審計(jì)，并具有強(qiáng)大的 URL 過濾功能，進(jìn)而 幫助用戶優(yōu)化其網(wǎng)絡(luò)資源，全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，開展各項(xiàng)業(yè)務(wù) 提供有力的支撐。H3C ACG 具有以下優(yōu)點(diǎn)： 強(qiáng)大的 P2P/IM 業(yè)務(wù)監(jiān)控 通過 H3C

41、 長期積累的狀態(tài)機(jī)檢測技術(shù)，能精確檢測 Thunder（迅雷） 、 BitTorrent、eMule（電騾） 、eDonkey（電驢） 、QQ、MSN、PPLive 等近百種 P2P/IM 應(yīng)用。同時(shí)，可基于時(shí)間、用戶、區(qū)域、應(yīng)用協(xié)議等，對 P2P/IM 應(yīng)用 進(jìn)行告警、限流、干擾或阻斷。 完善的安全審計(jì)系統(tǒng) 可對各種 P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳 輸?shù)雀鞣N上網(wǎng)行為提供全方面的行為監(jiān)控和記錄；同時(shí)，通過綜合分析、檢測 用戶網(wǎng)絡(luò)流量與流向趨勢，事后對歷史數(shù)據(jù)進(jìn)行分析，為用戶提供細(xì)粒度的網(wǎng) 絡(luò)行為審計(jì)管理系統(tǒng)。 強(qiáng)大的過濾功能 通過自定義 IP 地址、主機(jī)名、正則

42、表達(dá)式等方式設(shè)置 URL 特征庫，支持 根據(jù)不同的 URL 策略設(shè)置不同的響應(yīng)方式，支持根據(jù)時(shí)間表對不同的 URL 策 略設(shè)置不同的響應(yīng)動作，避免保密信息的外泄，免受非法信息的干擾，確保網(wǎng) 絡(luò)的健康使用。 豐富的報(bào)表 提供業(yè)務(wù)流量趨勢圖、流量分布圖、Top N 用戶列表、Top N 應(yīng)用協(xié)議列 表等報(bào)表，并支持按照用戶名/用戶組、使用頻度、使用時(shí)段、應(yīng)用分類、應(yīng)用 協(xié)議、流量大小等進(jìn)行多維度組合定制報(bào)表，使用戶能全面掌握網(wǎng)絡(luò)中的流量、 應(yīng)用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制定流量控制策略提供依據(jù)。 全面地識別“地下”VoIP 支持對 Skype、H.323、SIP、中橋、UUCall 等近百種協(xié)議

43、或網(wǎng)關(guān)的呼叫 識別、阻斷或干擾。目前，H3C 是唯一能實(shí)現(xiàn)對 Skype 在 PC-PC、PC-Phone 兩種通信模式進(jìn)行實(shí)時(shí)有效控制的廠商。 領(lǐng)先的“一拖 N”清理技術(shù) 采用業(yè)界流行的 ID 軌跡檢測技術(shù)、時(shí)鐘偏移檢測技術(shù)，結(jié)合多種應(yīng)用層特 征檢測技術(shù)如應(yīng)用特征檢測、流量/連接數(shù)統(tǒng)計(jì)、TTL 檢測、MAC 地址檢測等， 能實(shí)時(shí)準(zhǔn)確的識別出以 NAT、Proxy 方式進(jìn)行共享接入的用戶以及準(zhǔn)確的 PC 數(shù)量，并實(shí)施告警、阻斷等控制措施。 用戶行為分析 采用先進(jìn)的技術(shù)分析手段，全面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢， 統(tǒng)計(jì)網(wǎng)絡(luò)熱點(diǎn)，發(fā)掘業(yè)務(wù)增長點(diǎn)；分析用戶行為，統(tǒng)計(jì)用戶興趣，為個(gè)性化運(yùn) 營提

44、供依據(jù)，并通過開放的平臺接口，與第三方業(yè)務(wù)平臺對接，提供高附加值 業(yè)務(wù)，如在用戶行為興趣分析的基礎(chǔ)上提供定向 WEB 廣告服務(wù)。 高性能、高可靠性 基于新一代多核 CPU 多核架構(gòu)及分布式搜索引擎，同時(shí)配合高容量的交換 背板，確保 SecPath ACG 在各種大流量、復(fù)雜應(yīng)用的環(huán)境下，仍能具備千兆 級線速業(yè)務(wù)處理能力，僅有微秒級時(shí)延。 通過掉電保護(hù)（PFC） 、二層回退等高可靠性設(shè)計(jì)，確保 SecPath ACG 在 斷電、軟硬件故障或鏈路故障的情況下，網(wǎng)絡(luò)鏈路仍然暢通，保證用戶業(yè)務(wù)的 不間斷正常運(yùn)行。 及時(shí)的特征庫更新 H3C 專業(yè)安全團(tuán)隊(duì)密切跟蹤應(yīng)用變化，并對應(yīng)用協(xié)議特征庫及時(shí)更新；支

45、持在線自動/手動升級方式，升級過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運(yùn)行。 3.3.43.3.4 接入層設(shè)計(jì)接入層設(shè)計(jì) 接入層實(shí)現(xiàn)各終端電腦的高速接入，根據(jù)各業(yè)務(wù)系統(tǒng)的分布，可采用千兆 到桌面以及百兆到桌面兩種方案。 對于辦公大樓、圖書館、實(shí)驗(yàn)室等對網(wǎng)絡(luò)帶寬要求較高的,建議采用千兆到 桌面的解決方案。 對于教學(xué)樓、宿舍區(qū)的接入可采用 100/1000M 到終端的解決方案。 接入層交換機(jī)應(yīng)具有豐富的安全特性，配合用戶認(rèn)證系統(tǒng)實(shí)現(xiàn)對接入用戶 的認(rèn)證計(jì)費(fèi)，同時(shí)，交換機(jī)還應(yīng)具有防偽 DHCP Server 的接入，對終端 ARP 各種形式攻擊的防護(hù)。 接入層交換機(jī)，我們建議千兆交換機(jī)選用 H3C S5100

46、 系列交換機(jī)，百兆到 桌面選用 H3C 為教育行業(yè)用戶專門研發(fā)的 E 系列交換機(jī)。 選用的 S5100EI 系列交換機(jī)具有以下特點(diǎn)： 1、靈活的千兆接入和集群管理 H3C S5100-EI 系列千兆以太網(wǎng)交換機(jī)提供靈活的 16/24/48 個(gè) 10/100/1000M 自適應(yīng)電口接入密度；并且支持復(fù)用的 SFP 插槽，充分考慮用 戶的帶寬升級的實(shí)際情況，既可以支持千兆光模塊，也可以支持百兆光模塊， 保護(hù)用戶投資。其中 S5100C-EI 機(jī)型支持最多 2 個(gè)可擴(kuò)展的萬兆接口，并且支 持 40G 帶寬的堆疊。該系列硬件支持最大 136Gbps 交換容量，保證所有端口 線速交換。 H3C S510

47、0-EI 系列交換機(jī)采用專利技術(shù)允許交換機(jī)利用專用互聯(lián)電纜實(shí) 現(xiàn)多達(dá) 16 臺設(shè)備的堆疊，支持不同端口設(shè)備的混合堆疊。具有即插即用、單一 IP 管理。同時(shí)大大降低系統(tǒng)擴(kuò)展的成本，保護(hù)了用戶投資。 2、全面的接入安全策略 H3C S5100-EI 系列交換機(jī)支持 EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺系 統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控 制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、 隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為 全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全 威脅的整體防御能力

48、。 H3C S5100-EI 系列交換機(jī)支持特有的 ARP 入侵檢測功能，可有效防止黑 客或攻擊者通過 ARP 報(bào)文實(shí)施網(wǎng)絡(luò)中逐漸盛行的“中間人”攻擊，對不符合 DHCP Snooping 動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法 ARP 欺騙報(bào)文直 接丟棄。同時(shí)支持 IP Source Check 特性，防止包括 MAC 欺騙、IP 欺騙、 MAC/IP 欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 DoS 攻擊。另 外，利用 DHCP Snooping 的信任端口特性還可以有效杜絕私設(shè) DHCP 服務(wù)器， 保證 DHCP 環(huán)境的真實(shí)性和一致性。 H3C S5100-EI 系列交換機(jī)支持端口安全特性族可以有效防范基于 MAC 地址的攻擊。可以實(shí)現(xiàn)基于 MAC 地址允許/限制流量，或者設(shè)定每個(gè)端口允許 的 MAC 地址的最大數(shù)量，使得某個(gè)特定端口上的 MAC 地址可以由管理員靜態(tài) 配置，或者由交換機(jī)動態(tài)學(xué)習(xí)。 H3C S5100-EI 系列交換機(jī)有強(qiáng)大硬件 ACL 能力，能深度識別報(bào)文，支持 L2L4 包過濾功能，提供基于源 MAC 地址、目的 MAC、源 IP 地址、目的 IP 地址、IP 協(xié)議類型、物理端口、VLAN、等定義