新辦公樓網(wǎng)絡(luò)系統(tǒng)方案.doc

新辦公樓網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案2020年1月9日 目 錄1.新辦公樓網(wǎng)絡(luò)系統(tǒng)說明31.1系統(tǒng)設(shè)計(jì)思想31.2系統(tǒng)設(shè)計(jì)原則32.新辦公樓網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)52.1新辦公樓網(wǎng)絡(luò)結(jié)構(gòu)52.2交換機(jī)功能規(guī)劃62.3接入Internet規(guī)劃72.3.1移動(dòng)用戶遠(yuǎn)程VPN接入規(guī)劃82.3.2網(wǎng)絡(luò)可靠性規(guī)劃83.新辦公樓網(wǎng)絡(luò)IP和路由設(shè)計(jì)83.1新辦公樓網(wǎng)絡(luò)VLAN規(guī)劃83.2新辦公樓網(wǎng)絡(luò)IP地址規(guī)劃93.2.1內(nèi)部地址劃分93.3新辦公樓網(wǎng)絡(luò)路由規(guī)劃103.3.1路由協(xié)議選擇103.3.2新辦公樓網(wǎng)路由設(shè)計(jì)104.新辦公樓網(wǎng)絡(luò)安全設(shè)計(jì)114.1新辦公樓網(wǎng)絡(luò)出口安全124.1.1防火墻安全規(guī)劃124.1.2移動(dòng)用戶接入 VPN接入144.2核心交換機(jī)OmniSwitch9800技術(shù)特性144.3交換機(jī)OmniSwitch 6450技術(shù)特性214.4千兆防火墻系統(tǒng)性能255.售后服務(wù)計(jì)劃271. 新辦公樓網(wǎng)絡(luò)系統(tǒng)說明1.1 系統(tǒng)設(shè)計(jì)思想 新辦公樓作為綏德縣標(biāo)志性建筑，其高端的網(wǎng)絡(luò)系統(tǒng)是在所難免的。本網(wǎng)絡(luò)系統(tǒng)主要分為兩部分：辦公網(wǎng)絡(luò)。本網(wǎng)絡(luò)系統(tǒng)要既要滿足新辦公樓日常辦公管理的業(yè)務(wù)需求，包括樓內(nèi)辦公人員寬帶上網(wǎng)，視頻會(huì)議等。本網(wǎng)絡(luò)系統(tǒng)的骨干網(wǎng)為萬兆以太網(wǎng)，千兆傳輸?shù)阶烂?。集成一個(gè)集數(shù)據(jù)、語音、視頻、圖像于一體的高帶寬、多功能、多服務(wù)、開放性、多業(yè)務(wù)接入的IP多媒體交換計(jì)算機(jī)網(wǎng)絡(luò)。本網(wǎng)絡(luò)系統(tǒng)與外界互聯(lián)需要加載防火墻等安全設(shè)備，配合其它網(wǎng)絡(luò)安全措施，以保證系統(tǒng)的安全性,整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)分為二層結(jié)構(gòu)：核心層和接入層。核心層配置一臺(tái)模塊化的萬兆線速路由交換機(jī)，交換機(jī)位于中心機(jī)房，各種數(shù)據(jù)流在這里集中交換和路由。千兆接入交換機(jī)位于各樓層的弱電間，接入交換機(jī)通過1000M接入桌面，通過光纖上聯(lián)到核心交換機(jī)，接入交換機(jī)除提供終端計(jì)算機(jī)的聯(lián)網(wǎng)接入外，還提供IP電話、視頻圖像等的接入。1.2 系統(tǒng)設(shè)計(jì)原則新辦公樓網(wǎng)絡(luò)系統(tǒng)負(fù)擔(dān)著內(nèi)部的各部門的網(wǎng)絡(luò)通信，要提供網(wǎng)絡(luò)與Internet之間的通信，提供數(shù)據(jù)、語音、視頻多媒體的融合，實(shí)現(xiàn)三網(wǎng)融合，同時(shí)承載大量的智能控制子系統(tǒng)通信（如門禁、防盜系統(tǒng)、樓宇自控系統(tǒng)等）。因此，其帶寬和性能的要求非常高,不僅要滿足數(shù)據(jù)信息服務(wù)的高速需求，還要為整個(gè)新辦公樓網(wǎng)絡(luò)的外部訪問提供高帶寬、高性能的網(wǎng)絡(luò)通道。網(wǎng)絡(luò)設(shè)計(jì)時(shí)將遵循以下原則： 先進(jìn)性: 新辦公樓網(wǎng)絡(luò)為了支持?jǐn)?shù)據(jù)、話音、視頻多媒體的傳輸能力,在技術(shù)上要采用最先進(jìn)、成熟的網(wǎng)絡(luò)技術(shù)來滿足目前的網(wǎng)上應(yīng)用需求,并考慮未來的發(fā)展。網(wǎng)絡(luò)主干設(shè)備應(yīng)選用高帶寬的、先進(jìn)的萬兆位線速路由交換技術(shù)，能夠承載和交換各種信息。 可擴(kuò)展性和可升級(jí)性：隨著信息化的不斷發(fā)展和應(yīng)用水平的提高,網(wǎng)絡(luò)中的數(shù)據(jù)和信息流會(huì)呈指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨技術(shù)的發(fā)展不斷升級(jí)。 國際標(biāo)準(zhǔn)性和開放性：網(wǎng)絡(luò)系統(tǒng)應(yīng)該是一個(gè)開放型的網(wǎng)絡(luò),支持各種協(xié)議的互聯(lián)。選用符合國際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品,保證系統(tǒng)具有較長的生命力和擴(kuò)展能力,滿足將來系統(tǒng)升級(jí)的要求。 可靠性：可靠性是所有類型的網(wǎng)絡(luò)所必須具備的特性。這種可靠性不僅表現(xiàn)在通過網(wǎng)絡(luò)提供的信息資源，還需要由可靠的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)來保證，網(wǎng)絡(luò)結(jié)構(gòu)的先進(jìn)性、冗錯(cuò)性和穩(wěn)定的QoS是使得各種網(wǎng)絡(luò)應(yīng)用可靠完成的前提。而這些都必須通過可靠穩(wěn)定的網(wǎng)絡(luò)設(shè)備來保證。 安全性：新辦公樓網(wǎng)絡(luò)中存在各種內(nèi)部專用信息，這些信息必須得到可靠的保護(hù)，要防止黑客對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊，還必須防止內(nèi)部工作人員的誤操作而導(dǎo)致的網(wǎng)絡(luò)故障。新辦公樓網(wǎng)絡(luò)的安全性一方面要從信息提供角度來保證，即從應(yīng)用系統(tǒng)中來保證信息安全性，另一方面需要結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備來保證，與先進(jìn)網(wǎng)絡(luò)設(shè)備所提供的各種安全機(jī)制相結(jié)合。 易管理和易維護(hù)性：網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性,網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設(shè)置、靈活實(shí)現(xiàn)用戶級(jí)別的設(shè)置等功能。 實(shí)用性：網(wǎng)絡(luò)系統(tǒng)選用的硬件設(shè)備和軟件系統(tǒng)應(yīng)當(dāng)具有良好的性能價(jià)格比，網(wǎng)絡(luò)系統(tǒng)的日常管理和維護(hù)簡單方便，經(jīng)濟(jì)實(shí)用，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和技術(shù)符合多媒體應(yīng)用對(duì)主干網(wǎng)絡(luò)的要求。 投資保護(hù)：網(wǎng)絡(luò)系統(tǒng)選用的網(wǎng)絡(luò)設(shè)備應(yīng)當(dāng)能夠充分保護(hù)原有網(wǎng)絡(luò)設(shè)備投資，按照實(shí)際需要方便的升級(jí)調(diào)整，盡可能的延長原有設(shè)備的使用價(jià)值。 高性能和服務(wù)質(zhì)量(QoS)保障：新辦公樓網(wǎng)絡(luò)系統(tǒng)將承載大量的交互信息，對(duì)網(wǎng)絡(luò)設(shè)備的性能要求高，不僅要提供辦公自動(dòng)化平臺(tái)、數(shù)據(jù)信息服務(wù)，還必須為許多先進(jìn)的網(wǎng)絡(luò)應(yīng)用提供支持。例如，除了傳統(tǒng)的Internet服務(wù)(Email、FTP、WWW、數(shù)據(jù)庫查詢)外，還要提供網(wǎng)絡(luò)視頻會(huì)議、視頻點(diǎn)播、VoIP等多媒體應(yīng)用類型。這些應(yīng)用的通信方式和對(duì)傳輸網(wǎng)絡(luò)的要求各不相同，所以網(wǎng)絡(luò)必須具有面向應(yīng)用的特性和提供，QoS保證能力，才能有效地為不同的網(wǎng)絡(luò)應(yīng)用提供可靠的傳輸。 IP Multicast支持：由于今后網(wǎng)絡(luò)中多媒體的應(yīng)用(如視頻會(huì)議、VOD等)越來越多,往往會(huì)占用大量的帶寬資源。所以全網(wǎng)必須支持IP Multicast。2. 新辦公樓網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)2.1 新辦公樓網(wǎng)絡(luò)結(jié)構(gòu)整個(gè)網(wǎng)絡(luò)要實(shí)現(xiàn)數(shù)據(jù)互通，實(shí)現(xiàn)信息發(fā)布和對(duì)INTERNET的訪問，實(shí)現(xiàn)網(wǎng)絡(luò)一體化的管理。網(wǎng)絡(luò)結(jié)構(gòu)分為核心層和接入層兩個(gè)部分。采用專線與INTERNET網(wǎng)絡(luò)進(jìn)行連接。 本次數(shù)據(jù)網(wǎng)絡(luò)擔(dān)負(fù)著傳輸數(shù)據(jù)、圖像等，實(shí)現(xiàn)各種應(yīng)用的重任，必須滿足現(xiàn)階段及未來5年新辦公樓各種數(shù)字化應(yīng)用的需要。支持日常辦公、酒店用戶、Internet訪問的需要和接入用戶的訪問，針對(duì)用戶的信息發(fā)布，用戶對(duì)中心相關(guān)信息訪問。新辦公樓計(jì)算機(jī)網(wǎng)絡(luò)分為兩套局域網(wǎng)系統(tǒng)，分別為內(nèi)部辦公網(wǎng)和外網(wǎng)：內(nèi)部辦公網(wǎng)是辦公系統(tǒng)、管理信息系統(tǒng)、數(shù)據(jù)存儲(chǔ)系統(tǒng)等辦公應(yīng)用系統(tǒng)等基礎(chǔ)平臺(tái)，并為內(nèi)部人員提供互聯(lián)網(wǎng)訪問服務(wù)、對(duì)外提供辦公網(wǎng)站發(fā)布服務(wù)；外網(wǎng)是為辦公人員提供互聯(lián)網(wǎng)訪問服務(wù)等平臺(tái)。兩套網(wǎng)絡(luò)都采用星型架構(gòu)，以一臺(tái)三層交換機(jī)為核心，通過千兆光纖發(fā)散連接各樓層接入交換機(jī)，接入交換機(jī)為各個(gè)計(jì)算機(jī)終端提供千兆到桌面的高速網(wǎng)絡(luò)連接；另外兩套網(wǎng)絡(luò)各自配置互聯(lián)網(wǎng)接入設(shè)備，通過運(yùn)營商提供的寬帶接入線路連接互聯(lián)網(wǎng)，實(shí)現(xiàn)內(nèi)部共享上網(wǎng)。根據(jù)辦公內(nèi)網(wǎng)建設(shè)的具體需求，辦公區(qū)網(wǎng)絡(luò)核心交換機(jī)不在此次范圍內(nèi)。出口防火墻不但完成共享上網(wǎng)、安全防護(hù)等功能，還為外出人員或駐外人員提供VPN接入服務(wù)，通過VPN隧道和加密技術(shù)，使在外人員通過互聯(lián)網(wǎng)實(shí)現(xiàn)對(duì)內(nèi)部辦公網(wǎng)資源的安全訪問。防火墻做為設(shè)備端，具有以下作用： n 接受客戶端連接； n 為客戶端分配 IP 地址、DNS 服務(wù)器和 WINS 服務(wù)器地址； n 進(jìn)行客戶端用戶的認(rèn)證與授權(quán)； n 對(duì) IPSec數(shù)據(jù)進(jìn)行加密與轉(zhuǎn)發(fā)。 核心層：核心層采用ALCATEL-LUCENT OS9700E萬兆線速路由交換機(jī)，核心層交換機(jī)位于4層網(wǎng)絡(luò)中心機(jī)房，核心層通過多模光纖鏈路與接入層交換機(jī)相連。接入層： 接入交換機(jī)采用ALCATEL-LUCENT OS6450-24線速路由交換機(jī)，分別位于各個(gè)樓層的弱電間，通過多模光纖鏈路上聯(lián)到核心交換機(jī)，接入層交換機(jī)提供1000M接入點(diǎn)到桌面。網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示：2.2 交換機(jī)功能規(guī)劃u 核心實(shí)現(xiàn)IPV4/IPV6路由網(wǎng)絡(luò)在核心層，實(shí)現(xiàn)網(wǎng)絡(luò)路由規(guī)劃、大部分的路由工作由核心交換機(jī)完成；同時(shí)提供IPv6路由和擴(kuò)展的對(duì)IPv6隧道的支持，包括配置、6-in-4和ISATAP隧道技術(shù)，滿足各種各樣的IPv6需求。u 核心層安全規(guī)劃在網(wǎng)絡(luò)出口，配置1臺(tái)FG-200B防火墻，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有通信進(jìn)行過濾，對(duì)所有進(jìn)出的通信進(jìn)行控制和過濾，以及提供外勤人員VPN接入。核心交換機(jī)提供分布式多層安全性，實(shí)現(xiàn)如下安全： 核心層規(guī)劃L27層的安全策略控制，實(shí)現(xiàn)數(shù)據(jù)中心以及各單位間的通信安全控制；保證通信數(shù)據(jù)的安全； 在核心層交換機(jī)智能自動(dòng)動(dòng)異常通信阻斷，使一些非法的異常的通信，不能在網(wǎng)絡(luò)中傳播； 交換機(jī)具有的DoS保護(hù)，防止非法攻擊通信設(shè)備，影響到網(wǎng)絡(luò)通信的穩(wěn)定； 通過以上的安全策略，實(shí)現(xiàn)從核心層到接入層的全網(wǎng)分布式的IPS安全防護(hù)功能。 VLAN劃分，采用VLAN技術(shù)，虛擬局域網(wǎng)VLAN是一個(gè)重要的組成部分，可以認(rèn)為虛擬局域網(wǎng)VLAN是網(wǎng)絡(luò)的靈魂。通過VLAN的合理設(shè)置，網(wǎng)絡(luò)中的用戶可以方便地在網(wǎng)絡(luò)中移動(dòng)，而不需硬件線路的改變。這樣，可以從邏輯上對(duì)用戶和其它網(wǎng)絡(luò)對(duì)象進(jìn)行分組，并設(shè)定相應(yīng)的安全和訪問權(quán)限，然后，由計(jì)算機(jī)自動(dòng)根據(jù)配置形成相應(yīng)的虛擬網(wǎng)絡(luò)工作組，充分發(fā)揮交換網(wǎng)絡(luò)的優(yōu)勢(shì)，體現(xiàn)交換網(wǎng)絡(luò)高速、靈活、易管理等特性。u QOS功能核心交換機(jī)具有強(qiáng)大的服務(wù)質(zhì)量控制功能，在核心交換機(jī)上，啟用流量管理工程。根據(jù)不同應(yīng)用需要和應(yīng)用特點(diǎn)，分別啟用不同的QOS 策略，保障不同應(yīng)用達(dá)到最佳的服務(wù)質(zhì)量。保證新辦公樓網(wǎng)絡(luò)三網(wǎng)融合通信，即使傳輸大量多媒體視頻應(yīng)用，核心交換機(jī)也能提供強(qiáng)大的服務(wù)質(zhì)量控制，保證穩(wěn)定傳輸這些數(shù)據(jù)、語音、圖象、視頻通信。2.3 接入Internet規(guī)劃新辦公樓網(wǎng)絡(luò)采用統(tǒng)一的出口，為了保證網(wǎng)絡(luò)安全性，外網(wǎng)的出口配置一臺(tái)FT-200B防火墻與電信連接，通過防火墻將內(nèi)外網(wǎng)進(jìn)行有效隔離。在防火墻上，提供策略路由，對(duì)用戶出口通信進(jìn)行有效控制。在防火墻上啟用NAT和PAT功能，使內(nèi)部所有的IP和端口對(duì)外實(shí)行屏蔽。在防火墻上，針對(duì)不同用戶，設(shè)置不同的訪問權(quán)限規(guī)劃，將內(nèi)外網(wǎng)用戶實(shí)行安全隔離。在防火墻上，設(shè)置一個(gè)DMZ服務(wù)器，將新辦公樓所有對(duì)外服務(wù)器（特別是網(wǎng)絡(luò)中重要服務(wù)器，如WEB網(wǎng)站、MAIL服務(wù)器等）放置在DMZ區(qū)，實(shí)現(xiàn)安全隔離。在網(wǎng)絡(luò)出口，配置一臺(tái)安全審記，對(duì)所有進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行安全流量控制，應(yīng)用監(jiān)控和安全審記，使所有出進(jìn)的流量透明化，保障新辦公樓網(wǎng)絡(luò)安全的同時(shí)，可以做到有據(jù)可查。2.3.1 移動(dòng)用戶遠(yuǎn)程VPN接入規(guī)劃在網(wǎng)絡(luò)出口配置一臺(tái)防火墻,支持硬件SSL VPN功能。網(wǎng)絡(luò)移動(dòng)用戶，采用SSL VPN安全接入到內(nèi)網(wǎng)。用戶通過SSL VPN安全接入，利用SSL VPN，無需安裝客戶端，就可以安全訪問內(nèi)部網(wǎng)絡(luò)的信息資源。移動(dòng)用戶和家庭用戶，通過SSL VPN，接入到內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)安全接入； 2.3.2 網(wǎng)絡(luò)可靠性規(guī)劃整個(gè)新辦公樓網(wǎng)絡(luò)，將主要從以下幾個(gè)方面，進(jìn)行可靠性規(guī)劃設(shè)計(jì)：網(wǎng)絡(luò)設(shè)備冗余配置和設(shè)計(jì)主要從硬件、軟件兩個(gè)方面加以考慮，可以達(dá)到5個(gè)9的可靠性，以提高整個(gè)網(wǎng)絡(luò)可靠性。 核心交換機(jī)，采用硬件冗余配置，實(shí)現(xiàn)冗災(zāi)備份 冗余電源模塊、機(jī)箱溫度保護(hù)/過熱關(guān)閉 (溫度高于Tmax時(shí)關(guān)閉)； 交換機(jī)支持在線升級(jí)，保證網(wǎng)絡(luò)不停機(jī)升級(jí)系統(tǒng)； 通信模塊相互獨(dú)立/模塊化，實(shí)現(xiàn)模塊冗余備份，所有的模塊均支持熱插拔；3. 新辦公樓網(wǎng)絡(luò)IP和路由設(shè)計(jì)3.1 新辦公樓網(wǎng)絡(luò)VLAN規(guī)劃依據(jù)用戶對(duì)網(wǎng)絡(luò)使用情況以及用戶的應(yīng)用分布等方面需求來規(guī)劃IP和VLAN，根據(jù)不同的特性，對(duì)設(shè)備和用戶進(jìn)行合理規(guī)劃，管理VLAN和用戶VLAN分開。設(shè)備管理、網(wǎng)絡(luò)中心和無線網(wǎng)設(shè)備管理，分別規(guī)劃為不同的VLAN。接入用戶，根據(jù)其所在的單位和樓層，分別劃分到不同的VLAN中。為了減少每個(gè)VLAN中的廣播包，以及相互之間的影響，每個(gè)VLAN不超過512個(gè)用戶，也可根據(jù)需要，對(duì)不同單位的用戶進(jìn)行細(xì)分。在新辦公樓網(wǎng)絡(luò)將根據(jù)不同部門，進(jìn)行VLAN資源組的劃分；將根據(jù)不同單位，進(jìn)行VLAN的劃分，不同單位分劃到不同的VLAN中。同一VLAN的用戶，如果需要隔離，可在接入交換機(jī)上，啟用端口隔離，相互之間可選擇性的讓他們通信。辦公網(wǎng)與酒店網(wǎng)絡(luò)實(shí)現(xiàn)邏輯安全隔離。3.2 新辦公樓網(wǎng)絡(luò)IP地址規(guī)劃3.2.1 內(nèi)部地址劃分采用層次化的劃分策略：為便于網(wǎng)絡(luò)運(yùn)行，提高網(wǎng)絡(luò)尋址效率，同時(shí)在劃分上做到簡單易管理，可以按照層次分配原則，將IP地址按一定規(guī)律及具體情況進(jìn)一步劃分，滿足整個(gè)網(wǎng)絡(luò)信息服務(wù)的需要。為了節(jié)約IP資源，在網(wǎng)絡(luò)中，所有互連IP接口，均可采用私有IP地址，這些IP，用于IP路由，不需要對(duì)外提供服務(wù)。1) IP地址分配的方法IP地址的劃分方法有兩種：一種采用固定分配IP地址， 一種采用DHCP動(dòng)態(tài)分配IP地址， 在具體的實(shí)施中，可采用DHCP+固定IP相結(jié)合的方法進(jìn)行分配和管理。2) IP地址劃分內(nèi)部地址可按每個(gè)樓和單位進(jìn)行分配，每個(gè)樓分配連續(xù)的地址段，便于進(jìn)行地址的聚合和控制。例如：行政樓分配的地址段為55，VIP住院樓為55。這樣可以清楚的區(qū)分每個(gè)樓的網(wǎng)絡(luò)IP，分別加以控制。網(wǎng)絡(luò)地址按每個(gè)VLAN為單位進(jìn)行分配，每個(gè)VLAN分配連續(xù)的地址段，便于進(jìn)行地址的聚合和控制。不同子系統(tǒng)，單個(gè)VLAN可能需要多個(gè)IP地址段，可以在交換機(jī)的單個(gè)VLAN ，分配從個(gè)IP地址段。對(duì)于每個(gè)VLAN內(nèi)的地址分配，可以根據(jù)具體需求，可采用有類和無類地址段，對(duì)VLAN的地址進(jìn)行細(xì)節(jié)分。網(wǎng)絡(luò)辦公采用固定IP地址分配,酒店采用動(dòng)態(tài)分配。網(wǎng)絡(luò)根據(jù)用戶，來選擇IP分配是采用固定IP還是采用動(dòng)態(tài)分配IP地址，具體實(shí)施時(shí)靈活選擇。具體舉列如下所示：VLAN和IP地址規(guī)劃表（IP規(guī)劃以安裝規(guī)劃設(shè)計(jì)為準(zhǔn)）序號(hào)應(yīng)用區(qū)域VLAN規(guī)劃IP地址段掩碼位數(shù)網(wǎng)關(guān)備注1交換機(jī)管理IPVLAN 100023542服務(wù)器DMZDMZ區(qū)IP地址243路由互連網(wǎng)段路由互連網(wǎng)段244VPN接入用戶VLANVLAN 423545網(wǎng)絡(luò)中心設(shè)備VLAN 623546網(wǎng)絡(luò)中心服務(wù)器VLANVLAN 823547無線用戶VLANVLAN 1023549辦公系統(tǒng)VLAN 13245410酒店系統(tǒng)VLAN 14245412接入用戶無線控制器20543.3 新辦公樓網(wǎng)絡(luò)路由規(guī)劃3.3.1 路由協(xié)議選擇對(duì)一個(gè)新辦公樓網(wǎng)絡(luò)來說，選擇一個(gè)合適的路由協(xié)議是非常重要的，不恰當(dāng)?shù)倪x擇有時(shí)對(duì)網(wǎng)絡(luò)是致命的，路由協(xié)議對(duì)網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時(shí)的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時(shí)的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有很重要的影響。路由包括兩個(gè)任務(wù)：路徑選擇、信息包的傳輸。路徑的選擇取決于metrics，metrics可包括可靠性、延遲、帶寬、負(fù)載、MTU、通訊費(fèi)用，不同的路由算法考慮部分或全部的因素。現(xiàn)在通用的路由協(xié)議有：靜態(tài)路由、RIP、OSPF、BGP等。所有路由算法都要保證： 3.3.2 新辦公樓網(wǎng)路由設(shè)計(jì)路由協(xié)議的選擇對(duì)網(wǎng)絡(luò)的可靠性、靈活性、可拓展性有較大的影響。我方根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)從管理和技術(shù)兩個(gè)方面進(jìn)行選擇路由協(xié)議的選擇。路由協(xié)議的選擇基本原則是： 管理上層次分明，局部的變動(dòng)不影響上層路由配置和全局路由配置； 技術(shù)上應(yīng)盡量簡單、靈活，以提高路由器的處理效率。 能夠反映出整個(gè)網(wǎng)絡(luò)的層次結(jié)構(gòu)，并與自治域、各結(jié)點(diǎn)子網(wǎng)的IP 地址分配相結(jié)合，做到合理的路由聚合，減少路由表長度，減輕路由更新給網(wǎng)絡(luò)帶來的負(fù)荷。根據(jù)這一原則，網(wǎng)絡(luò)的路由協(xié)議分為兩個(gè)層次：l 域內(nèi)路由協(xié)議： 新辦公樓系統(tǒng)包括核心層和接入層2層結(jié)構(gòu)，整個(gè)網(wǎng)絡(luò)的路由策略管理是一致的，因此選用域內(nèi)靜態(tài)路由，也可采用 OSPF。l 出口路由協(xié)議（可選）： 外網(wǎng)入口路由器與Internet結(jié)點(diǎn)之間采用靜態(tài)路由4. 新辦公樓網(wǎng)絡(luò)安全設(shè)計(jì)根據(jù)網(wǎng)絡(luò)的安全需求，網(wǎng)絡(luò)安全將采用一次規(guī)劃，分步實(shí)施，我們建議采取以下安全措施，為網(wǎng)絡(luò)構(gòu)架一個(gè)科學(xué)合理的安全的網(wǎng)絡(luò)，可實(shí)現(xiàn)全網(wǎng)的安全防范體系。1) 網(wǎng)絡(luò)出口安全 物理鏈路的安全 在網(wǎng)絡(luò)邊界設(shè)置防火墻，提供安全策略、IPS入侵檢測，病毒過濾、郵件過濾、防DDOS攻擊、流量整形等 遠(yuǎn)程用戶VPN安全接入 在DMZ區(qū)，設(shè)置Web防御系統(tǒng)2) 網(wǎng)絡(luò)內(nèi)部安全 基于物理和設(shè)備網(wǎng)絡(luò)安全 硬件設(shè)備自身安全 硬件設(shè)備安全管理：限止非法硬件設(shè)備接入到網(wǎng)絡(luò) 管理員身份認(rèn)證/授權(quán) 管理通信數(shù)據(jù)加密 設(shè)備分權(quán)管理 利用交換機(jī)的自身防攻擊、防病毒功能，保證網(wǎng)絡(luò)主干的正常運(yùn)行 基于網(wǎng)絡(luò)通信的網(wǎng)絡(luò)安全 資源組安全控制：不同部門，不同工作人員，分別設(shè)置不同的資源組。 防非法硬件設(shè)備和IP地址盜用； 訪問權(quán)限策略控制； 身份識(shí)別：利用交換機(jī)的用戶驗(yàn)證功能，基于用戶名和密碼的資源組動(dòng)態(tài)分配，對(duì)數(shù)據(jù)資源組的訪問采用用戶驗(yàn)證； 基于應(yīng)用聯(lián)動(dòng)的網(wǎng)絡(luò)安全 桌面強(qiáng)制檢測系統(tǒng) 內(nèi)部入侵檢測IDS4.1 新辦公樓網(wǎng)絡(luò)出口安全在新辦公樓網(wǎng)絡(luò)出口,配置一臺(tái)防火墻與本地INTERNET連接，實(shí)現(xiàn)安全隔離。網(wǎng)絡(luò)可提供雙出口與INTERNET通信,當(dāng)一個(gè)ISP網(wǎng)絡(luò)或鏈路出現(xiàn)問題時(shí),不會(huì)影響到網(wǎng)絡(luò)對(duì)INTERNET的訪問。4.1.1 防火墻安全規(guī)劃在出口防火墻上，集成全面的安全功能，實(shí)現(xiàn)出口通信的安全過濾和隔離，在兩臺(tái)出口防火墻上，可啟用防拒絕服務(wù)攻擊：防火墻內(nèi)置入侵防護(hù)系統(tǒng)(IPS)，對(duì)各種針對(duì)網(wǎng)絡(luò)的攻擊，能夠?qū)崟r(shí)檢測到并且阻斷、報(bào)警，提供防拒絕服務(wù)攻擊系統(tǒng)功能，實(shí)時(shí)防DOS和DDOS攻擊；支持系統(tǒng)、協(xié)議和特征庫管理；u 病毒檢測 病毒和蠕蟲防御：能夠檢測、消除感染現(xiàn)有網(wǎng)絡(luò)的病毒和蠕蟲，實(shí)時(shí)的掃描輸入和輸出郵件及其附件（SMTP，POP3，IMAP），在不損失Web性能情況下掃描所有Web內(nèi)容和插件（HTTP）的病毒特征碼。 VPN反病毒：消除VPN隧道的病毒和蠕蟲，阻止遠(yuǎn)程用戶及合作伙伴的病毒傳播。u Web 內(nèi)容過濾： 處理所有的網(wǎng)頁內(nèi)容，阻擋不適當(dāng)?shù)膬?nèi)容和惡意的腳本。 Web內(nèi)容過濾：根據(jù)URL、關(guān)鍵詞模式匹配阻止Web站點(diǎn)及頁面。 免屏蔽列表：允許管理員設(shè)置專門的URL或關(guān)鍵字不被阻斷。 腳本過濾：阻止網(wǎng)頁的插件，例如ActiveX、Java Applets和Cookies。u 防火墻模式及服務(wù) 工作模式：網(wǎng)絡(luò)地址轉(zhuǎn)換，透明模式，端口地址轉(zhuǎn)換，路由模式。 用戶認(rèn)證：內(nèi)建用戶認(rèn)證數(shù)據(jù)庫，支持RADIUS認(rèn)證數(shù)據(jù)庫。 服務(wù)：支持20多種標(biāo)準(zhǔn)服務(wù)（例如：FTP、HTTP），支持用戶自定義服務(wù)和服務(wù)組。 時(shí)間表：根據(jù)小時(shí)、日、周和月建立一次性或循環(huán)時(shí)間表，防火墻根據(jù)不同的時(shí)間表定義安全策略。 虛擬映射：通過把外部地址映射到內(nèi)部或DMZ網(wǎng)絡(luò)上的地址使得外部用戶能夠訪問內(nèi)部的服務(wù)器。 IP/MAC綁定：自動(dòng)進(jìn)行IP與MAC地址的綁定，阻止來自IP地址欺騙的攻擊。 流量控制: 允許管理員定義帶寬限制并且可以給特定的防火墻策略設(shè)置優(yōu)先等級(jí)。流量優(yōu)先級(jí)的劃分 反病毒控制：基于防火墻訪問策略的細(xì)粒度病毒防御。u 虛擬專用網(wǎng)（VPN） 在網(wǎng)絡(luò)之間或網(wǎng)絡(luò)與客戶端之間進(jìn)行安全通訊，支持工業(yè)標(biāo)準(zhǔn)的IPSec、PPTP、L2TP。 密鑰交換算法：支持自動(dòng)IKE和手工密鑰交換。 硬件加速加密：支持DES，3DES和AES加密算法。 VPN客戶端通過：支持IPSec 和 PPTP客戶端通過。u 入侵檢測系統(tǒng) 實(shí)時(shí)的基于網(wǎng)絡(luò)的入侵檢測。 攻擊數(shù)據(jù)庫：用戶可配置的超過1300種攻擊特征庫確保可靠的管理。 攻擊檢測：檢測已知的DOS、DDOS攻擊，以及絕大多數(shù)操作系統(tǒng)和應(yīng)用協(xié)議的漏洞。 郵件報(bào)警：當(dāng)監(jiān)測到攻擊時(shí)，防火墻會(huì)同時(shí)向3個(gè)郵件地址自動(dòng)發(fā)出警報(bào)。4.1.2 移動(dòng)用戶接入 VPN接入充分利用防火墻的VPN功能,提供移動(dòng)用戶,安全接入到內(nèi)部網(wǎng)絡(luò)。合法的移動(dòng)用戶，采用VPN安全接入到內(nèi)部內(nèi)網(wǎng),就可以安全訪問內(nèi)部網(wǎng)絡(luò)的信息資源。移動(dòng)用戶和家庭用戶，通過VPN，接入到內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)安全接入； 移動(dòng)用戶可采用SSL-VPN，也可采用IPSEC VPN，安全接入到新辦公樓的網(wǎng)絡(luò)。4.2 核心交換機(jī)OmniSwitch9800技術(shù)特性O(shè)mniSwitch9800是OmniSwitch9000系列交換機(jī)，是第六代高密度線速萬兆以太網(wǎng)交換機(jī)，采用單片大于120G的ASIC處理芯片，提供真正線速10G、40G交換交換機(jī)交換容量高達(dá)3840Gbps,包交換率2880Mpps。OmniSwitch9000系列交換機(jī)是一種功能強(qiáng)大、智能化的多層交換平臺(tái)，可提供高性能，高通信帶寬和高可用的性能。這種新型第六代交換平臺(tái)是阿爾卡特公司現(xiàn)有OmniSwitch系列的升級(jí)換代產(chǎn)品。OmniSwitch9000提供了運(yùn)營商級(jí)的優(yōu)異特性和功能，具有空前的端口密度和海量的吞吐能力，為核心應(yīng)用和關(guān)鍵性業(yè)務(wù)提供通信服務(wù)。第六代交換平臺(tái)采用最先進(jìn)的新一代ASIC芯片，單模塊可提供大于240G的通信容量。提OmniSwitch9000交換機(jī)可提供無阻塞的高端口密度萬兆以太網(wǎng)交換、運(yùn)營商級(jí)別的可靠性（99.999%）、分布式的多層安全性、智能化的交換和路由服務(wù)；最為關(guān)鍵的是，所有這一切全部是線速的。OmniSwitch 9000具有十分優(yōu)異的網(wǎng)絡(luò)技術(shù)特性，為新一代IP通信平臺(tái)提供高速交換和無縫聯(lián)接，它在許多網(wǎng)絡(luò)環(huán)境中起著重要作用： 新一代萬兆城域網(wǎng)核心層 新一代大型園區(qū)網(wǎng)核心層 服務(wù)提供商ISP和大型數(shù)據(jù)中心（IDC） 其它專用網(wǎng)絡(luò)，如教育、廣電、電力、交通、航空、金融、政府等OmniSwitch9000是為新一代網(wǎng)絡(luò)應(yīng)用要求而設(shè)計(jì)，是為處理最復(fù)雜的數(shù)據(jù)流要求而設(shè)計(jì)，可以提供無阻塞10G以太網(wǎng)交換,它們的關(guān)鍵特性包括： 運(yùn)營商級(jí)可用性：99.999%，智能持續(xù)交換永不停頓網(wǎng)絡(luò) 交換機(jī)支持與防火墻、IDS（任意第三方產(chǎn)品）安全聯(lián)動(dòng)，實(shí)現(xiàn)網(wǎng)絡(luò)分布式的IPS防護(hù)功能，交換機(jī)能自動(dòng)隔離網(wǎng)絡(luò)中的攻擊源， 分布式多層安全性：增強(qiáng)型ACL、策略VLAN、認(rèn)證服務(wù)、DoS/IPS保護(hù)、主機(jī)完整性驗(yàn)證、與防火墻/IDS安全聯(lián)動(dòng)和SSH/SSL等 虛擬交換結(jié)構(gòu)，將多臺(tái)核心交換機(jī)，虛擬成單臺(tái)交換機(jī)，提供無環(huán)路架構(gòu)，簡化網(wǎng)絡(luò)結(jié)構(gòu)。支持DRR分布式路由,DLA分布式鏈路聚合,DDM分布式設(shè)備管理技術(shù)以提高系統(tǒng)可靠性； 現(xiàn)配硬件線速服務(wù)器負(fù)載均衡(SLB)模塊/功能，提供輪詢、比率負(fù)載均衡算法、提供服務(wù)器健康檢查、提供應(yīng)用健康檢查功能，每臺(tái)支持不少于16個(gè)服務(wù)器組 現(xiàn)配硬件IP流采集和分析功能，支持Sflow（RFC 3176）標(biāo)準(zhǔn)格式的協(xié)議，能夠?qū)崿F(xiàn)實(shí)時(shí)的流量分析和協(xié)議分析，支持基于源、目的IP/MAC、VLAN、協(xié)議、服務(wù)端口等流量統(tǒng)計(jì) 運(yùn)營商級(jí)智能性：應(yīng)用識(shí)別、L2/L3/L4 QoS分類 支持高性能獨(dú)立硬件WIFI無線控制器板卡，提供WIFI FIT AP管理能力 動(dòng)態(tài)移動(dòng)性：廣泛的VLAN支持、用戶認(rèn)證VLAN功能和認(rèn)證服務(wù) 支持標(biāo)準(zhǔn)802.1AE以太網(wǎng)鏈路加密功能 硬件策略路由PBR，支持服務(wù)重定向 支持MPLS VPN(VPLS)功能，支持VPLS，提供在IP/MPLS上的透明LAN服務(wù) 支持 LDP 的傳輸隧道建立和信令(包括平滑重啟) ，支持每服務(wù)接入點(diǎn)的靈活優(yōu)先級(jí)映射/改寫，支持FRR提升彈性 支持多虛擬路由協(xié)議（Multi-VRF）功能 IP/IPX路由：IPv4（RIPv1/v2、OSPFv2、BGPv4）、IPv6（RIPng、OSPFv3、BGP4、RIP/SAP） IP組播交換(支持VLAN內(nèi)部組播抑制功能)：IPv4(IGMP v1/v2/v3、PIM-SM/DM)、IPv6（MLD v1/v2，PIM-SM/DM 、DVMRP） 支持基于IEEE 802.1ad （QinQ VLAN 堆疊）的供應(yīng)商橋接服務(wù)，支持透明LAN 服務(wù)，具有業(yè)務(wù)VLAN（SVLAN和客戶VLAN（CVLAN） 以太網(wǎng)用戶網(wǎng)絡(luò)接口（UNI）和網(wǎng)絡(luò)/ 網(wǎng)絡(luò)接口（NNI）服務(wù) NEBs驗(yàn)證1. 網(wǎng)絡(luò)核心交換機(jī)OmniSwitch9800性能： OmniSwitch9800交換機(jī)采用全分布式智能交換體系結(jié)構(gòu)； OmniSwitch9800交換機(jī)具有18個(gè)插槽； OmniSwitch9800交換機(jī)交換容量3840Gbps,吞吐量2880Mpps。具有L2/3/4線速包交換。 支持10G、40G通信2. 系統(tǒng)特性 分布式硬件L2/L3/L4服務(wù)與處理 支持IEEE 802.1Q（VLAN）、802.1d、802.1w、802.1s、PVST+和RRSTP 支持生成樹的BPDU包守護(hù)和生成樹根守護(hù)功能 海量的處理能 無阻塞交換矩陣 線速第二層交換 線速第三層交換 線速ACL(訪問控制表) 線速組播交換和路由 線速病毒過濾3. 網(wǎng)絡(luò)核心交換機(jī)可靠性特性： 硬件包括：冗余的機(jī)架子系統(tǒng)、交換背板、管理模塊、電源和風(fēng)扇、可熱插拔模塊、負(fù)載均衡各部件。 軟件包括：在單管理模塊中，支持冗余雙系統(tǒng)（即同一管理模塊有兩套操作系統(tǒng)和配置文件，用于當(dāng)一個(gè)系統(tǒng)軟件失敗時(shí)，備份系統(tǒng)自動(dòng)對(duì)損壞的系統(tǒng)進(jìn)行修復(fù)，對(duì)丟失的配置進(jìn)行自動(dòng)恢復(fù)（可以使系統(tǒng)自動(dòng)重新加載先前版本的配置和軟件）。 主備交換引擎及交換矩陣切換時(shí)，L2、L3、L4交換不中斷，丟包為“0” 交換機(jī)全冗余配置，具有運(yùn)營商級(jí)別的可靠性，達(dá)到99999%標(biāo)準(zhǔn)； 交換機(jī)支持ISSU（不間斷軟件升級(jí)） 支持以太環(huán)網(wǎng)保護(hù)技術(shù)ERP（ITU G.8032）,業(yè)務(wù)切換時(shí)間小于50ms； 支持路由BFD（雙向轉(zhuǎn)發(fā)檢測）, 故障檢測時(shí)間小于50ms4. 協(xié)議支持： 支持路由協(xié)議：IPv4: RIPv1/v2、OSPFv2、BGPv4，IS-IS、IPv6: RIPng、OSPFv3、BGP4,RIP/SAP)支持分布式基于硬件的線速路由功能； 硬件IPv4/IPV6、MPLS通信 支持線速策略路由；支持服務(wù)重定向 源和目的IP、源和目的網(wǎng)絡(luò)組 源和目的TCP/UDP 源端口； 服務(wù)和服務(wù)組 內(nèi)置端口組； IP組交換(支持VLAN內(nèi)部組播抑制功能)，IP v6（MLD v1/v2，PIM-SM/DM 、DVMRP）、IPv4(IGMP v1/v2/v、PIM-SM/DM) 支持BootP/DHCP 5. 安全性特性： 交換機(jī)可與防火墻、IDS（任意第三方產(chǎn)品）安全聯(lián)動(dòng)，具有IPS防護(hù)功能，實(shí)現(xiàn)分布式IPS防護(hù)功能；可自動(dòng)防DOS攻擊保護(hù)，； 端口具有IPS自動(dòng)阻斷網(wǎng)絡(luò)攻擊行為 支持主機(jī)完整性和安全性認(rèn)證，確保接入網(wǎng)絡(luò)的每一臺(tái)主機(jī)是完全符合網(wǎng)絡(luò)安全規(guī)定的，不符合安全規(guī)定的設(shè)備將被隔離 線速病毒過濾 交換機(jī)支持基于硬件的訪問控制列表(基于IPv4/IPV6的ACL)； 源和目的Slot/Port、源和目的端口組、 源和目的接口類型 L2：源和目的MAC、源和目的MAC組、源和目的VLAN、IEEE 802.1p L3：源和目的IP、源和目的網(wǎng)絡(luò)組、IP-Protocol L4:：TCP/UDP協(xié)議、 TCP/UDP 源端口、 TCP/UDP目的端口 組播：組播IP、組播網(wǎng)絡(luò)組、目的VLAN 、PORT、PORT組、MAC、MAC組。 支持認(rèn)證服務(wù)，支持基于RADIUS或LDAP驗(yàn)證； 支持基于802.1x端口認(rèn)證，支持802.1x Multi-client, multi-VLAN； 用戶通信權(quán)限認(rèn)證，支持無須客戶端軟件的認(rèn)證 支持Captive Portal認(rèn)證 具有防病毒功能，Auto-install of IP anti spoofing 支持ARP過濾和限制技術(shù)，預(yù)防ARP欺騙攻擊 支持DHCP應(yīng)答控制，預(yù)防以DHCP服務(wù)為手段的網(wǎng)絡(luò)攻擊 支持廣播風(fēng)暴以及組播、單播風(fēng)暴的壓制 支持動(dòng)態(tài)ARP檢查防止MAC地址假冒 支持IP 源地址守護(hù)防止用戶自己設(shè)置靜態(tài)IP地址6. VLAN支持： 支持4096個(gè) 802.1Q VLAN； 支持基于端口、MAC地址、第三層地址和協(xié)議類型、用戶驗(yàn)證、綁定規(guī)則的VLAN； 支持VLAN內(nèi)主機(jī)隔離技術(shù) 支持用戶驗(yàn)證VLAN（AVLAN） 支持802.1X認(rèn)證； VLAN 堆棧7. QOS支持 流量監(jiān)管：基于L2-4層對(duì)流進(jìn)行分類（MAC 目的地址、IP 協(xié)議、 IP 源目的地址、TCP/UDP源目的地址、端口、接口類型、 VLAN, 組播等），交換機(jī)可以根據(jù)統(tǒng)一的策略對(duì)不同業(yè)務(wù)賦予不同的IP COS （IP 服務(wù)類別）,并且采用基于差分服務(wù)(DiffServ)進(jìn)行流量標(biāo)志和分類處理 隊(duì)列優(yōu)先級(jí)管理：每個(gè)端口支持8個(gè)優(yōu)先級(jí)的硬件優(yōu)先級(jí)隊(duì)列 帶寬控制：支持基于流的入口帶寬限制。流量監(jiān)管的粒度為為1kbps 流量整形：利用基于差額輪詢的硬件控制隊(duì)列調(diào)度實(shí)現(xiàn)輸出帶寬整形 隊(duì)列調(diào)度機(jī)制：Pay Check(Paycheck)循環(huán)法允許和WFQ算法類似的執(zhí)行，支持大量的隊(duì)列。支持SPQ, WRRQ 擁塞避免機(jī)制：自有的Pay Check循環(huán)法，背壓，和IEEE 802.3x (可設(shè)計(jì)的閥值)流量控制，VSRED (非常簡單的隨機(jī)早期檢測)和WRED。每個(gè)被指派一個(gè)或者多個(gè)區(qū)分規(guī)則。隊(duì)列閥值通過如上方法監(jiān)控，當(dāng)隊(duì)列閥值被超出時(shí)，通過以上算法支持的內(nèi)部機(jī)制開始在“控制方式”下丟包，直到隊(duì)列閥值回到正常范圍。 支持多種QoS映射方式: 802.1p到TOS和Diffserv，TOS到802.1p和Diffserv，Diffserv到802.1p和TOS； 支持基于L2, L3, L4的數(shù)據(jù)分類: 802.1p, IP COS, DiffServ， 支持端到端的QOS功能。8. 對(duì)路由協(xié)議的支持 RIP v1/v2 RIPng OSPF v1/v2/v3 OSPF ECMP IS-IS, BGP4、MP-BGP 硬件IPv6、MPLS通信 IPv6（MLD v1/v2、PIM-SM/DM SSM、DVMRP） IPv4 (IGMP v1/v2/v3、PIM-SM、SSM/DM、DVMRP) 支持BootP/DHCP VRRP/V1/V2/3 支持線速策略路由 支持服務(wù)重定向 源和目的IP、源和目的網(wǎng)絡(luò)組 源和目的TCP/UDP 源端口 服務(wù)和服務(wù)組 內(nèi)置端口組9. 交換機(jī)管理 支持多種管理手段：包括命令行(CLI)、SNMP、Web和網(wǎng)管平臺(tái)、telnet、 支持Ethernet OAM (運(yùn)行、管理和維護(hù))，802.3ah EFM，支持帶外管理； 現(xiàn)配內(nèi)嵌式的事件管理功能，能夠在預(yù)先設(shè)定的事件發(fā)生時(shí)利用機(jī)箱內(nèi)預(yù)設(shè)的編程語言編寫的程序自動(dòng)修改所有的配置文件命令語句，整個(gè)過程無需任何管理軟件或人工干預(yù) 支持端到端測試網(wǎng)絡(luò)延時(shí)、抖動(dòng)、丟包、流量統(tǒng)計(jì)功能； 可以模擬PC終端向發(fā)出WEB服務(wù)器發(fā)出HTTP訪問請(qǐng)求及監(jiān)測WEB服務(wù)器的回應(yīng)時(shí)間和網(wǎng)頁傳輸時(shí)間， 能配合網(wǎng)管軟件輸出以上測試數(shù)據(jù)的各種統(tǒng)計(jì)圖表及報(bào)告，以上功能必須每個(gè)方向物理端口能夠同時(shí)啟用且同時(shí)工作。 支持UDLD、LLDP協(xié)議 統(tǒng)一的網(wǎng)管軟件 用戶移動(dòng)組管理 基于策略Policy管理 語音和數(shù)據(jù)統(tǒng)一管理 Port mirroring (many-to-one) VLAN based Flow based Remote (802.1Q based) 端口監(jiān)控，支持對(duì)本機(jī)和遠(yuǎn)端交換機(jī)的端口做流量鏡像4.3 交換機(jī)OmniSwitch 6450技術(shù)特性O(shè)mniSwitch 6450是應(yīng)用于企業(yè)和以太網(wǎng)桌面接入的新型三層可堆疊千兆以太網(wǎng)交換機(jī)，具有靈活、可擴(kuò)展和低功耗的系統(tǒng)優(yōu)化設(shè)計(jì)。融合了最新的技術(shù)和AOS 創(chuàng)新技術(shù)。1.交換機(jī)OmniSwitch 6450性能 交換容量：192Gbps/96Gbps 包交換能力： 142.8 Mpps /71.4 Mpps 提供真正的線速10G，完善的安全防護(hù) 線速L2/L3/L4交換機(jī) 全面的QoS支持 分布式多層安全特性 廣泛的路由、服務(wù)和過濾機(jī)制 支持服務(wù)器負(fù)載均衡 24/48 x 10/100/1000 端口或24 x 100FX/Gig SFP 2 x 10G Stacking links 最優(yōu)化功率, 降低的深度和噪音程度 IPv4 and IPv6 RIP和靜態(tài)路由2.簡化管理 統(tǒng)一直觀的CLI命令行界面，降低培訓(xùn)費(fèi)用 基于Web的點(diǎn)擊式管理界面，使用簡單并配有內(nèi)置幫助 支持OmniVista，實(shí)現(xiàn)全網(wǎng)管理 使用SNMPv1/2/3穿過在所有OmniSwitch 系列促進(jìn)第三方NMS集成 遠(yuǎn)程Telnet管理和使用SSH進(jìn)行安全Shell訪問 文件上傳使用TFTP，F(xiàn)TP，SFTP或SCP 基于ASCII文本格式的配置文件，適用于離線編輯和批量配置 基于阿爾卡特朗訊5620智能業(yè)務(wù)管理3.監(jiān)控與故障排除 本地（指示燈）與遠(yuǎn)程服務(wù)日志：系統(tǒng)日志和命令日志 支持端口鏡像功能，同時(shí)允許一對(duì)四的端口鏡像 基于鏡像的策略允許使用QoS策略的鏡像流量通過 遠(yuǎn)程端口鏡像，便于通過反映通過網(wǎng)絡(luò)通信量遠(yuǎn)程連接的設(shè)備 端口監(jiān)控功能，允許捕獲以太網(wǎng)中文件中的包，顯示在屏幕上以協(xié)助進(jìn)行故障排除 sFlow的V5和RMON：先進(jìn)的監(jiān)測和報(bào)告功能對(duì)統(tǒng)計(jì)，歷史，警報(bào)和事件 IP 工具: ping和traceroute4.網(wǎng)絡(luò)配置 自協(xié)議10/100/1000端口自動(dòng)協(xié)商端口速率和雙工設(shè)置 自動(dòng)MDI/MDIX，自使用直通線和雙絞線 支持BootP/DHCP自動(dòng)獲取管理IP地址，從而簡化安裝 DHCP中繼將客戶端請(qǐng)求轉(zhuǎn)發(fā)到DHCP服務(wù)器 阿爾卡特朗訊映射鄰接協(xié)議（AMAP）制作拓?fù)鋱D 符合IEEE 802.1AB鏈路層發(fā)現(xiàn)協(xié)議（LLDP）與MED擴(kuò)展自動(dòng)設(shè)備檢測 GARP VLAN注冊(cè)協(xié)議（GVRP）為支持802.1Q的VLAN 修剪與動(dòng)態(tài)VLAN創(chuàng)建 自動(dòng)QoS的交換機(jī)流量管理，以及來自阿爾卡特朗訊的IP電話流量 網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)，實(shí)現(xiàn)全網(wǎng)時(shí)間同步 可堆疊至8臺(tái)（* 16臺(tái)請(qǐng)查看詳細(xì)情況）5.可靠性和高可用性 環(huán)快速生成樹（RRSTP）的環(huán)形拓?fù)鋬?yōu)化的收斂不到100ms的時(shí)間 IEEE602.1S多生成樹協(xié)議：包括IEEE802.1D STP和IEEE802.1w快速生成樹協(xié)議 支持在每個(gè)VLAN上運(yùn)行STP（PVST）和阿爾卡特的多生成樹(1x1工作模式) IEEE 802.3ad 鏈路聚合控制協(xié)議（LACP）和模塊之間的靜態(tài)LAG 聚合組 廣播和多播風(fēng)暴控制，以避免影響整體系統(tǒng)性能 單向鏈路檢測（UDLD）：檢測和禁用光纖接口上的光纖單向鏈路。 冗余和熱插拔電源，收發(fā)器模塊提供不間斷服務(wù) 雙圖像和雙重配置文件存儲(chǔ)提供的備份6.高級(jí)安全/訪問控制 AOS Access Guardian綜合使用基于NAC策略架構(gòu) 自動(dòng)檢測的802.1X多客戶，多VLAN 基于MAC認(rèn)證的非802.1x主機(jī) 基于Web的認(rèn)證（強(qiáng)制網(wǎng)絡(luò)門戶） -交換機(jī)上可定制的網(wǎng)頁門戶，可用于驗(yàn)證客戶端和非客戶端程序。 支持移動(dòng)組和“guest” VLAN 在每臺(tái)交換機(jī)上的主機(jī)完整性檢測（HIC）代理強(qiáng)制執(zhí)行HIC檢測，致使終端設(shè)備控制遵守企業(yè)策略；同樣支持檢察和修復(fù)(*) 用戶網(wǎng)絡(luò)配置文件（UNP） -簡化NAC管理和通過動(dòng)態(tài)控制，提供預(yù)先定義的策略配置，以驗(yàn)證客戶端的VLAN，ACL，BW,HIC 安全的SSH與支持PKI 的CLI的會(huì)話 集中RADIUS和LDAP用戶認(rèn)證7.抑制，監(jiān)測和隔離 支持阿爾卡特朗訊隔離管理和隔離VLAN（*） LPS或MAC地址鎖定只允許己知設(shè)備接入網(wǎng)絡(luò)，防止非法設(shè)備的接入 DHCP監(jiān)聽，防止DHCP IP欺騙 TACACS +的客戶端允許通過遠(yuǎn)程TACACS +服務(wù)器認(rèn)證，授權(quán)和統(tǒng)計(jì) 動(dòng)態(tài)ARP保護(hù)和ARP poisoning檢測 訪問控制列表過濾掉不必要的流量，包括拒絕服務(wù)攻擊，基于 硬件的流過濾（L1-L4） BPDU鎖定-自動(dòng)切斷一個(gè)被認(rèn)為是防止拓?fù)洵h(huán)路端口STP BPDU數(shù)據(jù)包的用戶端口 STP Root Guard -防止成為生成樹協(xié)議根節(jié)點(diǎn)邊緣設(shè)備8.融合網(wǎng)絡(luò) PoE PoE模塊支持阿爾卡特朗訊IP電話和WLAN接入點(diǎn)，以及任何符合IEEE802.3af或者IEEE802.at的終端設(shè)備 可配置每個(gè)端口的PoE優(yōu)先和最大分配功率 動(dòng)態(tài)分配PoE，僅提供在最有效功耗情況下用電設(shè)備需要的總功率 QoS 優(yōu)先級(jí)隊(duì)列：每端口的8個(gè)硬件隊(duì)列可進(jìn)行靈活的QoS管理 流量優(yōu)先：基于流量的QoS區(qū)分內(nèi)部和外部優(yōu)先級(jí) 帶寬管理：基于流的帶寬管理，入口速率限制，每端口出口速率整形 隊(duì)列管理：可配置的調(diào)度算法：嚴(yán)格優(yōu)先級(jí)（SQP），加權(quán)循環(huán)（WRR）和差額循環(huán)（DRR） 擁塞避免：支持防止端對(duì)端的線段擁塞（E2E-HOL）屏蔽 自動(dòng)QoS管理交換機(jī)流量和來自阿爾卡特朗訊的IP電話流量 三色標(biāo)記單/雙速率Commit BW, Excess BW, Burst size9.L2,L3路由和多播 IPv4和IPv6 靜態(tài)路由的IPv4和IPv6 IPv4的RIP v1和v2，IPv6的RIPng 高達(dá)256個(gè)的IPv4/128 個(gè)IPv6靜態(tài)和RIP路由 高達(dá)128 I