h3c職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)設(shè)計(jì)方案

..專業(yè).專注.h3c職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)設(shè)計(jì)方案第1章系統(tǒng)建設(shè)需求校園網(wǎng)絡(luò)平臺(tái)是校園數(shù)字化系統(tǒng)的運(yùn)行基礎(chǔ)，學(xué)院原有的網(wǎng)絡(luò)平臺(tái)無論是在網(wǎng)絡(luò)的穩(wěn)定性、業(yè)務(wù)適應(yīng)用性、性能、安全以及可擴(kuò)展性等方面已無法支撐學(xué)院系統(tǒng)的需求，更是無法達(dá)到國家示范性高等職院建設(shè)的要求，因此，學(xué)院的校園網(wǎng)絡(luò)平臺(tái)需要進(jìn)行全面的升級(jí)，建設(shè)任務(wù)主要包括以下五大方面：建設(shè)一個(gè)高可用的骨干網(wǎng)，這是網(wǎng)絡(luò)平臺(tái)建設(shè)最為重要及緊急任務(wù)之一，骨干網(wǎng)的穩(wěn)定性、性能和安全性將直接影響到校園網(wǎng)絡(luò)的運(yùn)行；建設(shè)一個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)，為數(shù)字化業(yè)務(wù)系統(tǒng)提供一個(gè)高可用的接入平臺(tái)；建設(shè)一個(gè)安全可控的網(wǎng)絡(luò)出口，增強(qiáng)網(wǎng)絡(luò)外界的安全防護(hù)以及校園網(wǎng)用戶的行為監(jiān)管能力，提高出口帶寬的使用效率；完善校園網(wǎng)用戶的接入和控制，通過部署用戶認(rèn)證、計(jì)費(fèi)等措施對(duì)全面提升對(duì)接入用戶的控制，使用戶接入規(guī)范化。建設(shè)校園無線網(wǎng)絡(luò)平臺(tái)，提高網(wǎng)絡(luò)接入的覆蓋能力，校園用戶更易于使用學(xué)院資源。第2章網(wǎng)絡(luò)平臺(tái)建設(shè)方案網(wǎng)絡(luò)設(shè)計(jì)原則學(xué)院網(wǎng)絡(luò)建設(shè)遵循以下基本原則：高帶寬學(xué)院網(wǎng)絡(luò)是一個(gè)龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計(jì)的無瓶頸性，要求方案設(shè)計(jì)的階段就要充分考慮到，同時(shí)要求核心交換機(jī)具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換?？稍鲋敌詫W(xué)院網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U(kuò)充性考慮到學(xué)院用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對(duì)于核心交換機(jī)與匯聚交換機(jī)具有強(qiáng)大的擴(kuò)展功能，學(xué)院網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。開放性技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施。網(wǎng)絡(luò)層次化設(shè)計(jì)在校園園區(qū)網(wǎng)絡(luò)整體設(shè)計(jì)中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置。根據(jù)廣州XX職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)分布情況，校園網(wǎng)共分成核心層、匯聚層和接入層三層。核心層核心層是整個(gè)網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。XX學(xué)院主校區(qū)設(shè)立整個(gè)校園網(wǎng)的核心層，同時(shí)，在新機(jī)場(chǎng)實(shí)訓(xùn)基地設(shè)立分核心。對(duì)于XX學(xué)院主校園的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的多設(shè)備冗余的星型結(jié)構(gòu)。對(duì)于校園網(wǎng)核心層設(shè)備，應(yīng)該在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了硬件 IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為校園園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助用戶實(shí)現(xiàn) IT資源整合的需求。匯聚層匯聚來自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。目前，XX學(xué)院在主校區(qū)共有15幢建筑物，新機(jī)場(chǎng)實(shí)訓(xùn)基地共有6幢建筑物。XX學(xué)院匯聚層設(shè)立將根據(jù)現(xiàn)有的信息點(diǎn)分布，結(jié)合綜合布線系統(tǒng)等多因素，一般而言，以建筑物/功能區(qū)為單位設(shè)立匯聚層，即每個(gè)單體建筑 /功能區(qū)設(shè)立一個(gè)網(wǎng)絡(luò)匯聚層，如數(shù)據(jù)中心和網(wǎng)絡(luò)出口分別設(shè)于匯聚層，同時(shí)對(duì)于學(xué)生宿舍區(qū)，可以采用多幢學(xué)生宿舍共用1個(gè)網(wǎng)絡(luò)匯聚層的方式。對(duì)于校園園區(qū)網(wǎng)的匯聚層設(shè)備，應(yīng)該能夠承載校園園區(qū)的多種融合業(yè)務(wù)，能夠融合IPv6、網(wǎng)絡(luò)安全、流量分析等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，能夠承載校園園區(qū)融合業(yè)務(wù)的需求。接入層提供網(wǎng)絡(luò)的第一級(jí)接入功能，完成二層接入，并實(shí)現(xiàn)對(duì)終端接入的安全控制，包括ARPW御、IP/MAC/端口綁定以及PO唐高級(jí)功能。在XX校園網(wǎng)中，接入層采用千兆及百兆到桌面的接入模式，對(duì)于數(shù)據(jù)傳輸量較大或重要區(qū)域采用千兆到桌面的方案，如綜合辦公、圖書館等，其它的為百兆接入，同時(shí)，無線AP接入采用POE?式進(jìn)行設(shè)備的供電。接入層設(shè)備以選擇二層交換機(jī)為主，設(shè)備應(yīng)具有靈活的擴(kuò)展能力，支持堆疊，具有強(qiáng)安全性，可以實(shí)現(xiàn)IP、MAC端口的綁定，支持802.1x認(rèn)證，支持DHCPSnooping,防止非法DHCP!入和AR瞰擊。校園網(wǎng)絡(luò)總體結(jié)構(gòu)校園網(wǎng)絡(luò)平臺(tái)將采用層次化通用結(jié)構(gòu)設(shè)計(jì)，采用核心層、匯聚層和接入層三層架構(gòu)，包括網(wǎng)絡(luò)骨干、數(shù)據(jù)中心、網(wǎng)絡(luò)出口、網(wǎng)絡(luò)接入、無線網(wǎng)絡(luò)等五大部分。..專業(yè).專注..專業(yè).專注.專業(yè).專注.校園網(wǎng)骨干匯聚交換機(jī)FT3CS5500-EI/接入交換機(jī)H3CS5100數(shù)據(jù)中心服務(wù)器系統(tǒng)中心交換機(jī)H3CS7502E網(wǎng)絡(luò)中心機(jī)房匯聚交換機(jī)H3CS5500-EI接入與換機(jī)H3CE/52/126A用戶管理系統(tǒng)H3CCAMS網(wǎng)絡(luò)出口應(yīng)用流量控制 出口路由器H3CACG-2000MH3CSR6604"J——校園網(wǎng)骨干匯聚交換機(jī)FT3CS5500-EI/接入交換機(jī)H3CS5100數(shù)據(jù)中心服務(wù)器系統(tǒng)中心交換機(jī)H3CS7502E網(wǎng)絡(luò)中心機(jī)房匯聚交換機(jī)H3CS5500-EI接入與換機(jī)H3CE/52/126A用戶管理系統(tǒng)H3CCAMS網(wǎng)絡(luò)出口應(yīng)用流量控制 出口路由器H3CACG-2000MH3CSR6604"J——電信/網(wǎng)通置防火墻無線網(wǎng)控制器AC模塊核心交換機(jī)H3CS7510E匯聚交換機(jī)H3cS5500-EI接入交換機(jī)H3CE152/126A匯聚交換機(jī)H3CS5500-EI接入交換機(jī)H3CE152/1：無線AP辦公樓 圖書館、實(shí)驗(yàn)樓等 宿舍區(qū)千兆到桌面 百兆到桌面 百兆到桌面宿舍區(qū)

百兆到桌面網(wǎng)絡(luò)骨干由核心層和匯聚層組網(wǎng)，骨干網(wǎng)采用高可靠性組網(wǎng)，核心層配置兩臺(tái)高端核心交換機(jī)，匯聚層設(shè)備通過雙千兆鏈路實(shí)現(xiàn)與核心層設(shè)備的互聯(lián)， 網(wǎng)宿舍區(qū)

百兆到桌面絡(luò)骨干全面支持IPv6,并提供萬兆擴(kuò)展能力。校園網(wǎng)設(shè)立數(shù)據(jù)中心，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)服務(wù)器的集中部署，數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)獨(dú)立建設(shè)，配置2臺(tái)模塊化交換機(jī)設(shè)備，為服務(wù)器提供高性能、高可靠、可擴(kuò)展性的接入平臺(tái)，同時(shí)，通過核心交換機(jī)內(nèi)置高性能的防火墻模塊提供安全保護(hù)。網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)，包括與教育科、互聯(lián)網(wǎng)的互聯(lián)，網(wǎng)絡(luò)出口需實(shí)現(xiàn)校園網(wǎng)與外部網(wǎng)絡(luò)的隔離，網(wǎng)絡(luò)出口配置1臺(tái)路由器設(shè)備實(shí)現(xiàn)與外部網(wǎng)絡(luò)互聯(lián)，同時(shí)提供地址轉(zhuǎn)換等服務(wù)，配置應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)出口帶寬的管理，并對(duì)校園網(wǎng)用戶實(shí)現(xiàn)行為審計(jì)等功能。網(wǎng)絡(luò)接入層提供校園網(wǎng)用戶的接入，并實(shí)現(xiàn)網(wǎng)絡(luò)接入的安全防御，如ARP攻擊防護(hù)，同時(shí)，結(jié)合用戶管理系統(tǒng)實(shí)現(xiàn)對(duì)接入用戶認(rèn)證、計(jì)費(fèi)等管理。為實(shí)現(xiàn)校園網(wǎng)絡(luò)接入的靈活性，提高網(wǎng)絡(luò)的覆蓋，校園網(wǎng)將實(shí)現(xiàn)辦公樓、圖書館、實(shí)驗(yàn)室、運(yùn)動(dòng)場(chǎng)館等公共區(qū)域的無線網(wǎng)絡(luò)覆蓋，無線網(wǎng)采用智能的Fit

AP組網(wǎng)。為便于網(wǎng)絡(luò)的管理和維護(hù)，校園網(wǎng)還將建設(shè) 1套網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)平臺(tái)設(shè)備的統(tǒng)一管理，網(wǎng)絡(luò)管理應(yīng)具有拓?fù)?、故障、性能、配置和圖形化設(shè)備管理等功能，為了實(shí)現(xiàn)更為方便的通過遠(yuǎn)程方式對(duì)網(wǎng)絡(luò)的狀態(tài)進(jìn)行監(jiān)控和維護(hù)，網(wǎng)絡(luò)系統(tǒng)采用B/S架構(gòu)。同時(shí)，為加強(qiáng)對(duì)接入用戶的控制和管理，系統(tǒng)還部署用戶認(rèn)證、計(jì)費(fèi)管理系統(tǒng)。核心層設(shè)計(jì)XX學(xué)院主校區(qū)設(shè)立整個(gè)校園網(wǎng)的核心層， 同時(shí)，在新機(jī)場(chǎng)實(shí)訓(xùn)基地設(shè)立分核心。對(duì)于XX學(xué)院主校園的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)，推薦采用高可靠的多設(shè)備冗余的星型結(jié)構(gòu)。核心層配置 2臺(tái)高端交換機(jī)作為核心交換機(jī)，兩臺(tái)交換機(jī)之間通過萬兆鏈路進(jìn)行互聯(lián)，形成雙機(jī)復(fù)用，在兩臺(tái)中心交換機(jī)之間啟用 VRRPW議，這樣在其中一臺(tái)出現(xiàn)故障的時(shí)候，業(yè)務(wù)可以自動(dòng)切換到另外一臺(tái)。選用的核心交換機(jī)是從可靠性、性能、業(yè)務(wù)特性、安全特性以及可擴(kuò)展性等多個(gè)方面進(jìn)行綜合考慮。在可靠性方面，核心交換機(jī)應(yīng)達(dá)到 99.99%的高可靠性，采用全模塊化設(shè)計(jì)，電源、風(fēng)扇、引擎、業(yè)務(wù)模塊等均可實(shí)現(xiàn)熱插拔，支持電源、引擎等關(guān)鍵部件的1+1冗余熱備份，支持VRRP路由優(yōu)雅（GR等高可靠性協(xié)議，實(shí)現(xiàn)核心層的業(yè)務(wù)不間斷轉(zhuǎn)發(fā)。在性能方面，核心交換機(jī)應(yīng)采用Crossbar交換矩陣，采用全分布式轉(zhuǎn)發(fā)，支持萬兆、千兆等高速以太網(wǎng)接口，所有接口實(shí)現(xiàn)線速轉(zhuǎn)發(fā),保障校園網(wǎng)多種業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，核心交換機(jī)支持豐富的QoSW性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)；并且支持內(nèi)置防火墻、內(nèi)置無線控制器等多種業(yè)務(wù)功能插卡，可以進(jìn)行靈活的部署，實(shí)現(xiàn)業(yè)務(wù)的擴(kuò)展和融合。在安全性方面，核心交換機(jī)應(yīng)既能保障自身的運(yùn)行安全，也能通過一些安全機(jī)制保障所承載業(yè)務(wù)的安全?；谏鲜鲆蛩兀覀兘ㄗh核心交換機(jī)采用 H3cS7510EW端交換機(jī)。H3cS7500E系列產(chǎn)品是杭州華三通信技術(shù)有限公司（以下簡稱 H3c公司）面向融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機(jī)， 該產(chǎn)品基于H3c自主知識(shí)產(chǎn)權(quán)的ComwareV5操作系統(tǒng)，融合了MPLSIPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)。S7510E具有10個(gè)槽位，其中8個(gè)為業(yè)務(wù)模塊插槽，并支持豐富的接口模塊，如萬兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡(luò)規(guī)模實(shí)現(xiàn)在線擴(kuò)展。S7510E具有高轉(zhuǎn)發(fā)性能，整機(jī)具有1152Gbps交換容量、773Mpps轉(zhuǎn)發(fā)性能，同時(shí)，S7510E采用全分布式轉(zhuǎn)發(fā)，并采用最長匹配、逐包轉(zhuǎn)發(fā)的處理機(jī)制，保證業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7510E中配置的所有接口均可實(shí)現(xiàn)線速轉(zhuǎn)發(fā)。選用的H3CS7500或換機(jī)具有以下特點(diǎn)：＜一＞、豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢(shì)全面的MPLSk務(wù)能力H3CS7500E所有產(chǎn)品均支持VRF-Lite特性，可以做為MCE?備使用；支持三層的MPLSVPNT口二層的MPLSVPNMartini、Kompella）,可擴(kuò)展支持VPLS技術(shù)；支持MPLSOAMH生，方便用戶的管理和維護(hù)；與H3CMPLSVPNManager配合，實(shí)現(xiàn)圖形化的MPLS?署與維護(hù)。線速的IPv4/IPv6業(yè)務(wù)能力H3CS7500E支持IPv4/IPv6雙協(xié)議棧，支持多種6to4隧道技術(shù)，支持IPv4/IPv6的組播技術(shù)，為用戶提供完善的IPv4/IPv6解決方案；H3CS7500E采用分布式體系架構(gòu)，實(shí)現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)；H3CS7500E已經(jīng)通過了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金色認(rèn)證，是成熟商用的IPv6產(chǎn)品。有線無線一體化，有源無源一體化H3CS7500E集成的無線控制模塊提供豐富的業(yè)務(wù)能力，包括精細(xì)的用戶控制管理、完善的RF管理及安全機(jī)制、快速漫游、超強(qiáng)的QO序口又tIPV6的支持等；無線控制模塊通過與安全策略服務(wù)器的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)無線接入用戶的端點(diǎn)準(zhǔn)入防御，提高了整網(wǎng)的安全性。H3CS7500E是業(yè)界最高密度的以太網(wǎng)無源光網(wǎng)絡(luò)（EPON設(shè)備，單臺(tái)最大可接入10240個(gè)FTTH用戶；H3CS7500E是高可靠的EPONS統(tǒng)，采用分布式體系結(jié)構(gòu)、模塊化設(shè)計(jì)，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，具有電信級(jí)可靠性。支持Portal認(rèn)證H3CS7500E支持大容量的Portal認(rèn)證功能，可以在數(shù)千用戶的局域網(wǎng)中作為EAW關(guān)設(shè)備，為全網(wǎng)用戶提供EA汝全認(rèn)證功能；可以在大中型的校園網(wǎng)中擔(dān)任匯聚/核心設(shè)備的同時(shí)，為學(xué)生宿舍區(qū)的認(rèn)證計(jì)費(fèi)提供 Portal認(rèn)證功能。＜二＞、靈活的配置，適應(yīng)各種應(yīng)用場(chǎng)景配線間融合業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇H3CS7500E#對(duì)配線間的需求定制開發(fā)了SA板卡，單臺(tái)設(shè)備可以提供480個(gè)千兆線速接口和4個(gè)萬兆線速接口。H3CS7500E支持端點(diǎn)準(zhǔn)入防御解決方案，解決終端安全問題；內(nèi)置2800W/電源直接提供PoE功能，對(duì)IP語音和無線接入提供良好的支持。政府電力城域網(wǎng)邊緣和匯聚的最佳選擇H3CS7500E支持VRF-Lite特性，為用戶提供高可靠高性能的MC殷備；通過配置SalienceVI-Turbo引擎，可以提供集中式MPLSlk務(wù)功能，適合在城域網(wǎng)邊緣作為高性價(jià) PE設(shè)備使用；通過配置 EA類板卡，可以提供分布式線速的MPLSt務(wù)功能，適合在城域網(wǎng)匯聚層作為高性能的 PE使用。IPv6網(wǎng)絡(luò)的最佳選擇H3CS7500即有SalienceVI引擎都可以提供集中式IPv6功能，H3CS7500E針對(duì)IPv4/IPv6高性能的要求還開發(fā)了分布式IPv4/IPv6轉(zhuǎn)發(fā)的SC板卡，在整機(jī)滿配置狀態(tài)下實(shí)現(xiàn)線速無收斂，為高校用戶提供了高性能低成本的雙棧匯聚核心設(shè)備，同時(shí)也滿足其他行業(yè)用戶IPv6Ready的需求。＜三＞、全方位的安全保障，抵御多種網(wǎng)絡(luò)安全威脅三平面安全保障機(jī)制H3CS7500E提供完善的安全防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置協(xié)議報(bào)文攻擊識(shí)別模塊，防止TCNAR%協(xié)議報(bào)文攻擊，OSPF/BGP/IS-IS路由協(xié)議采用MD5驗(yàn)證，防止非法路由更新報(bào)文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面， SNMPv3R］管協(xié)、議,SSHV2,基于802.1x、AAA/Radius的用戶身份認(rèn)證以及分級(jí)的用戶權(quán)限管理保證了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持IP、VLAN、MAG口端口等多種組合精細(xì)綁定；支持uRPF單播反向路徑轉(zhuǎn)發(fā)，防止非法流量訪問網(wǎng)絡(luò)，采用最長匹配逐包轉(zhuǎn)發(fā)機(jī)制，有效抵御病毒的攻擊。有線無線全面支持EADH3cS7500E^EAD端點(diǎn)準(zhǔn)入防御解決方案的重要組成部分，S7500E可以動(dòng)態(tài)的接收來自安全策略服務(wù)器的控制策略，根據(jù)終端的安全狀態(tài)給予下發(fā)相應(yīng)的訪問權(quán)限。H3CS7500EK支持有線終端用戶的EAD也支持無線終端用戶的EAD能夠做到終端安全防范無漏洞。增強(qiáng)的ACL特性H3CS7500E系歹產(chǎn)品支持強(qiáng)大的ACL能力：支持標(biāo)準(zhǔn)和擴(kuò)展A"支持基于VLAN的ACL方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL每板最大可支持9K條ACL滿足金融等行業(yè)訪問權(quán)限嚴(yán)格控制的需求。＜四＞、電信級(jí)的高可靠性，保障用戶業(yè)務(wù)長期穩(wěn)定運(yùn)行電信級(jí)高可靠性設(shè)計(jì)H3CS7500E采用無單點(diǎn)故障設(shè)計(jì)，所有關(guān)鍵部件，如主控板、交換網(wǎng)、電源和風(fēng)扇等采用冗余設(shè)計(jì)；無源背板避免了機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板和電源模塊支持熱插拔功能；H3CS7500E系列可以在惡劣的環(huán)境下長時(shí)間穩(wěn)定運(yùn)行，達(dá)到99.999％的電信級(jí)可靠性。多業(yè)務(wù)高可靠性運(yùn)行H3CS7500E支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級(jí)的切換時(shí)間；支持等價(jià)路由，可幫助用戶建立多條等值路徑，實(shí)現(xiàn)流量的負(fù)載均衡及冗余備份；支持RRP映速環(huán)網(wǎng)保護(hù)協(xié)議，提供小于200ms的環(huán)網(wǎng)故障保護(hù)；支持Smart-Link協(xié)議，保證雙上行網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)毫秒級(jí)快速切換。通過上述技術(shù)，H3cS7500E可以在承載多業(yè)務(wù)的情況下不間斷運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)的永續(xù)。支持熱補(bǔ)丁技術(shù)H3CS7500E能夠在不重啟設(shè)備的前提下，通過熱補(bǔ)丁技術(shù)，在線修改軟件BUG增加新的業(yè)務(wù)特性。H3CS7500E?供控制補(bǔ)丁單元狀態(tài)切換的用戶命令，使用戶能夠方便的加載、激活、去激活、運(yùn)行或刪除補(bǔ)丁單元。通過熱補(bǔ)丁技術(shù)，降低了設(shè)備需要重啟的次數(shù)，為客戶提供更長的網(wǎng)絡(luò)正常工作時(shí)間。數(shù)據(jù)中心設(shè)計(jì)為實(shí)現(xiàn)對(duì)校園網(wǎng)服務(wù)器統(tǒng)一管理和控制，同時(shí)考慮到擴(kuò)展性，服務(wù)器的接入獨(dú)立配置交換機(jī)實(shí)現(xiàn)，為保證服務(wù)器接入的高可用性，配置2臺(tái)全千兆三層路由交換機(jī)，數(shù)據(jù)中心交換機(jī)通過VRRPJ、議實(shí)現(xiàn)互為熱備和負(fù)載分擔(dān)。在選用的數(shù)據(jù)中心交換機(jī)時(shí)，我們充分考慮到應(yīng)具備以下功能和特性：在可靠性方面，數(shù)據(jù)中心交換機(jī)支持 VRRFB備份協(xié)議，為服務(wù)器提供可靠的接入。在性能方面，數(shù)據(jù)中心交換機(jī)所有端口線速轉(zhuǎn)發(fā)，保障圖書館多種業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，數(shù)據(jù)中心交換機(jī)支持豐富的QoSt性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。在安全性方面，數(shù)據(jù)中心交換機(jī)具有安全機(jī)制保障所承載業(yè)務(wù)的安全。在可擴(kuò)展性方面，數(shù)據(jù)中心交換機(jī)應(yīng)采用模塊化設(shè)備，支持高密度、高帶寬接口，在業(yè)務(wù)系統(tǒng)不斷增長時(shí)，可通過增加業(yè)務(wù)模塊來滿足服務(wù)器接入需求?；谏鲜鲆蛩兀覀兘ㄗh數(shù)據(jù)中心交換機(jī)采用 H3cS7502EW端交換機(jī)。S7510E具有4個(gè)槽位，其中2個(gè)為業(yè)務(wù)模塊插槽，并支持豐富的接口模塊，如萬兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡(luò)規(guī)模實(shí)現(xiàn)在線擴(kuò)展。S7502E具有高轉(zhuǎn)發(fā)性能，整機(jī)具有192Gbps交換容量、143Mpp酢專發(fā)性能，同時(shí)，S7502E采用全分布式轉(zhuǎn)發(fā)，并采用最長匹配、逐包轉(zhuǎn)發(fā)的處理機(jī)制，保證業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7502E中配置的所有接口均可實(shí)現(xiàn)線速轉(zhuǎn)發(fā)。匯聚層設(shè)計(jì)匯聚來自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。選用的匯聚交換機(jī)應(yīng)具備以下功能和特性：在可靠性方面，匯聚交換機(jī)支持路由協(xié)議平滑重啟，支持RSTPMSTPt成樹協(xié)議，支持 2層的快速切換，確保與核心交換機(jī)組網(wǎng)的可靠性，在性能方面，匯聚交換機(jī)所有端口線速轉(zhuǎn)發(fā)，包括萬兆接口，保障多種業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，匯聚交換機(jī)支持豐富的QoSW性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。在安全性方面，匯聚交換機(jī)具有安全機(jī)制保障所承載業(yè)務(wù)的安全?；谝陨弦螅覀兘ㄗh匯聚交換機(jī)選用 H3c的S5500-EI,S5500-EI系列交換機(jī)具有以下特點(diǎn)：1、高擴(kuò)展性保護(hù)投資隨著用戶端速度不斷提高，用戶最終會(huì)使集群千兆鏈路達(dá)到飽和，而能夠擁有多條集群10GES1路將是我們的未來發(fā)展方向。H3CS5500-EI系列交換機(jī)支持兩個(gè)擴(kuò)展槽位，每個(gè)槽位支持單端口或雙端口的 10GE擴(kuò)展模塊，在實(shí)現(xiàn)千兆匯聚或接入時(shí)保留進(jìn)一步支持10GE的擴(kuò)展能力，盡力保護(hù)用戶投資。IPv4到IPv6的演變是以太網(wǎng)發(fā)展的大勢(shì)所趨，網(wǎng)絡(luò)設(shè)備對(duì)于IPv6的支持不僅是簡單的可用就行，而是需要達(dá)到商用的標(biāo)準(zhǔn)，S5500-EI已經(jīng)通過了國際最權(quán)威的IPv6Ready第二階段認(rèn)證，而且通過了信息產(chǎn)業(yè)部嚴(yán)格的IPv6入網(wǎng)測(cè)試。這個(gè)系列產(chǎn)品是基于硬件的IPv4/IPv6雙棧平臺(tái)，支持豐富的IPv4和IPv6三層路由協(xié)議、組播協(xié)議和策略路由機(jī)制，實(shí)現(xiàn) IPv4到IPv6的平滑升級(jí)。2、完備的安全控制策略H3CS5500-EI系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5500-EI交換機(jī)支持集中式MAO址認(rèn)證、802.1x認(rèn)證、PORTA認(rèn)證，支持用戶帳號(hào)、IP、MACVLAN端口等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略（VLANQoSACD的動(dòng)態(tài)下發(fā)；支持配合H3c公司的CAM添統(tǒng)對(duì)在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。H3CS5500-EI系列交換機(jī)提供增強(qiáng)的ACL控制邏輯，支持超大容量的入端口和出端口ACL并且支持基于VLAN的ACL下發(fā)，在簡化用戶配置過程的同時(shí)，避免了ACL資源的浪費(fèi)。另外，S5500-EI系列還將支持單播反向路徑查找技術(shù)（uRPF），原理是當(dāng)設(shè)備的一個(gè)接口上收到一個(gè)數(shù)據(jù)包時(shí)，會(huì)反向查找路徑來驗(yàn)證是否存在從該接收接口到包中制定的源地址之間的路由，即驗(yàn)證了其真實(shí)性，如果不存在就將數(shù)據(jù)包刪除，這樣我們就可以有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺騙。7VM海岸線網(wǎng)絡(luò)安全資訊站3、多重可靠性保護(hù)S5500-EI系列交換機(jī)還具備設(shè)備級(jí)和鏈路級(jí)的多重可靠性保護(hù)。所有機(jī)型都支持內(nèi)置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模塊，也就是說我們可以根據(jù)實(shí)際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機(jī)還支持電源和風(fēng)扇的故障檢測(cè)及告警，可以根據(jù)溫度的變化自動(dòng)調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速，這些設(shè)計(jì)使我們這款盒式交換機(jī)具備了機(jī)柜式交換機(jī)的高可靠性。除了設(shè)備級(jí)可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術(shù)，比如華三通信獨(dú)創(chuàng)的 RRPPtfe速環(huán)網(wǎng)保護(hù)機(jī)制。當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時(shí)候也不影響網(wǎng)絡(luò)的收斂時(shí)間，保證業(yè)務(wù)的正常開展。4、多業(yè)務(wù)支持能力支持PoE(PoweroverEthernet)技術(shù)，通過以太網(wǎng)對(duì)所連接的設(shè)備(如IPPhone,WirelessAP等)進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場(chǎng)為設(shè)備部署單獨(dú)的電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和管理成本。支持VoiceVLANfe術(shù)，交換機(jī)通過識(shí)別端口的語音流，將對(duì)應(yīng)的接入端口加入 VoiceVLAN(專用語音VLAN中，為語音流量提供專門通道，并自動(dòng)下發(fā)優(yōu)先級(jí)規(guī)則保證語音流的優(yōu)先傳輸來保證通話質(zhì)量。同時(shí)通過設(shè)置 VoiceVLAN安全特性，只允許語音流量通過，可以有效防止突發(fā)數(shù)據(jù)流量對(duì) VoiceVLAN內(nèi)的語音流量的沖擊。H3cS5500-EI系列交換機(jī)支持MC或能，可以有效解決多VPN網(wǎng)絡(luò)帶來的用戶數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用CE設(shè)備本身的VLAN6口編號(hào)與網(wǎng)絡(luò)內(nèi)的VPN1行綁定，并為每個(gè)VPN^J建和維護(hù)獨(dú)立的路由轉(zhuǎn)發(fā)表(Multi-VRF)。這樣不但能夠隔離私網(wǎng)內(nèi)不同VPN的報(bào)文轉(zhuǎn)發(fā)路徑,而且通過與PE間的配合,也能夠?qū)⒚總€(gè)VPN的路由正確發(fā)布至對(duì)端PE,保證VPNK文在公網(wǎng)內(nèi)的傳輸。5、豐富的QoSfi略H3cS5500-EI系列交換機(jī)支持支持 L2(Layer2)~L4(Layer4)包過濾功能，提供基于源MAC!址、目的MAO址、源IP地址、目的IP地址、TCP/UDP端口號(hào)、協(xié)議類型、 VLAN的流分類。提供靈活的對(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP(StrictPriority)、WR(RWeightedRoundRobin)、SP+WRR種模式。支持CARCommittedAccessRate)功能，粒度最小達(dá)64Kbpso支持出、入兩個(gè)方向的端口鏡像，用于對(duì)指定端口上的報(bào)文進(jìn)行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進(jìn)行網(wǎng)絡(luò)檢測(cè)和故障排除。6、出色的管理性H3CS5500-EI系列交換機(jī)支持 SNMPv1/v2/v3(SimpleNetworkManagementProtocol),可支持OpenView等通用網(wǎng)管平臺(tái)以及iMC智能管理中心。支持CLI命令行，WetR］管，TELNETHGMP1群管理，使設(shè)備管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5500-EI系列交換機(jī)支持基于MACM址戈U分VLAN很好的解決了移動(dòng)辦公的智能靈活管理；結(jié)合特有的基于全局和 VLAN下發(fā)ACL策略，在簡化用戶配置的同時(shí)，也大幅節(jié)約了硬件資源。該系列交換機(jī)還支持 sFlow功能，可以對(duì)出入方向的報(bào)文按比例隨機(jī)抽樣，靈活實(shí)現(xiàn)報(bào)文采集。網(wǎng)絡(luò)出口設(shè)計(jì)網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外界網(wǎng)絡(luò)互聯(lián)，出口網(wǎng)絡(luò)應(yīng)具有一定的可靠性，提供網(wǎng)絡(luò)安全防護(hù)能力，并對(duì)出口帶寬進(jìn)行有效的分配和控制，同時(shí)加強(qiáng)對(duì)用戶行為進(jìn)行監(jiān)管。網(wǎng)絡(luò)出口配置1臺(tái)高端路由器，路由器實(shí)現(xiàn)外部網(wǎng)絡(luò)互聯(lián)，并提供NA似能，配置1臺(tái)應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)出口帶寬的靈活調(diào)配，并實(shí)現(xiàn)對(duì)用戶行為進(jìn)行審計(jì)和監(jiān)管。并通過核心交換機(jī)的防火墻模塊實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)區(qū)域的隔離和訪問控制。網(wǎng)絡(luò)出口路由器應(yīng)具備以下功能和特性：在可靠性方面，路由器應(yīng)支持電源、處理系統(tǒng)的冗余備份。在性能方面，路由器應(yīng)提供高性能轉(zhuǎn)發(fā)，并具有優(yōu)越的 NA說理能力。在業(yè)務(wù)特性方面，路由器支才I豐富的QoSW性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持 IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。在安全性方面，路由器有安全機(jī)制保障所承載業(yè)務(wù)的安全?；谏鲜鲆蛩?，我們建議出口路由器采用 H3CSR6604s端路由器。應(yīng)用控制網(wǎng)關(guān)選用 H3CSecPathACG(Application ControlGateway)，H3CACGg業(yè)界識(shí)別最全面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對(duì)網(wǎng)絡(luò)中的P2P/IM帶寬濫用、“地下”VoIP、”一拖M、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識(shí)別和控制；同時(shí)，可對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的事后審計(jì)， 并具有強(qiáng)大的URLM濾功能，進(jìn)而幫助用戶優(yōu)化其網(wǎng)絡(luò)資源，全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢(shì)，開展各項(xiàng)業(yè)務(wù)提供有力的支撐。H3cACGi有以下優(yōu)點(diǎn)：強(qiáng)大的P2P/IM業(yè)務(wù)監(jiān)控通過H3c長期積累的狀態(tài)機(jī)檢測(cè)技術(shù)，能精確檢測(cè) Thunder（迅雷） 、BitTorrent、eMule（電騾）、eDonkey（電驢）、QQMSNPPLive等近百種P2P/IM應(yīng)用。同時(shí)，可基于時(shí)間、用戶、區(qū)域、應(yīng)用協(xié)議等，對(duì) P2P/IM應(yīng)用進(jìn)行告警、限流、干擾或阻斷。完善的安全審計(jì)系統(tǒng)可對(duì)各種P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀鞣N上網(wǎng)行為提供全方面的行為監(jiān)控和記錄；同時(shí)，通過綜合分析、檢測(cè)用戶網(wǎng)絡(luò)流量與流向趨勢(shì)，事后對(duì)歷史數(shù)據(jù)進(jìn)行分析，為用戶提供細(xì)粒度的網(wǎng)絡(luò)行為審計(jì)管理系統(tǒng)。強(qiáng)大的過濾功能通過自定義IP地址、主機(jī)名、正則表達(dá)式等方式設(shè)置 URL特征庫，支持根據(jù)不同的URLS略設(shè)置不同的響應(yīng)方式，支持根據(jù)時(shí)間表對(duì)不同的URL策略設(shè)置不同的響應(yīng)動(dòng)作，避免保密信息的外泄，免受非法信息的干擾，確保網(wǎng)絡(luò)的健康使用。豐富的報(bào)表提供業(yè)務(wù)流量趨勢(shì)圖、流量分布圖、TopN用戶列表、TopN應(yīng)用協(xié)議列表等報(bào)表，并支持按照用戶名/用戶組、使用頻度、使用時(shí)段、應(yīng)用分類、應(yīng)用協(xié)議、流量大小等進(jìn)行多維度組合定制報(bào)表，使用戶能全面掌握網(wǎng)絡(luò)中的流量、應(yīng)用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制定流量控制策略提供依據(jù)。全面地識(shí)別“地下”VoIP支持對(duì) Skype、H.323、SIP、中橋、UUcall等近百種協(xié)議或網(wǎng)關(guān)的呼叫識(shí)別、阻斷或干擾。目前，H3c是唯一能實(shí)現(xiàn)對(duì)Skype在PC-PCPC-Phone兩種通信模式進(jìn)行實(shí)時(shí)有效控制的廠商。領(lǐng)先的“一拖N'清理技術(shù)采用業(yè)界流行的ID軌跡檢測(cè)技術(shù)、時(shí)鐘偏移檢測(cè)技術(shù)，結(jié)合多種應(yīng)用層特征檢測(cè)技術(shù)如應(yīng)用特征檢測(cè)、流量/連接數(shù)統(tǒng)計(jì)、TTL檢測(cè)、MAC4址檢測(cè)等，能實(shí)時(shí)準(zhǔn)確的識(shí)別出以NATProxy方式進(jìn)行共享接入的用戶以及準(zhǔn)確的PC數(shù)量,并實(shí)施告警、阻斷等控制措施。用戶行為分析采用先進(jìn)的技術(shù)分析手段，全面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢(shì)，統(tǒng)計(jì)網(wǎng)絡(luò)熱點(diǎn)，發(fā)掘業(yè)務(wù)增長點(diǎn)；分析用戶行為，統(tǒng)計(jì)用戶興趣，為個(gè)性化運(yùn)營提供依據(jù)，并通過開放的平臺(tái)接口，與第三方業(yè)務(wù)平臺(tái)對(duì)接，提供高附加值業(yè)務(wù)，如在用戶行為興趣分析的基礎(chǔ)上提供定向 WE曠告服務(wù)。高性能、高可靠性基于新一代多核CPU^核架構(gòu)及分布式搜索引擎，同時(shí)配合高容量的交換背板，確保SecPathACGE各種大流量、復(fù)雜應(yīng)用的環(huán)境下，仍能具備千兆級(jí)線速業(yè)務(wù)處理能力，僅有微秒級(jí)時(shí)延。通過掉電保護(hù)（PFC、二層回退等高可靠性設(shè)計(jì)，確保SecPathACGft斷電、軟硬件故障或鏈路故障的情況下，網(wǎng)絡(luò)鏈路仍然暢通，保證用戶業(yè)務(wù)的不間斷正常運(yùn)行。及時(shí)的特征庫更新H3c專業(yè)安全團(tuán)隊(duì)密切跟蹤應(yīng)用變化，并對(duì)應(yīng)用協(xié)議特征庫及時(shí)更新；支持在線自動(dòng)/手動(dòng)升級(jí)方式，升級(jí)過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運(yùn)行。接入層設(shè)計(jì)接入層實(shí)現(xiàn)各終端電腦的高速接入，根據(jù)各業(yè)務(wù)系統(tǒng)的分布，可采用千兆到桌面以及百兆到桌面兩種方案。對(duì)于辦公大樓、圖書館、實(shí)驗(yàn)室等對(duì)網(wǎng)絡(luò)帶寬要求較高的,建議采用千兆到桌面的解決方案。對(duì)于教學(xué)樓、宿舍區(qū)的接入可采用10/100M到終端的解決方案。配合用戶認(rèn)證系統(tǒng)實(shí)現(xiàn)對(duì)接入用戶的接入層交換機(jī)應(yīng)具有豐富的安全特性，配合用戶認(rèn)證系統(tǒng)實(shí)現(xiàn)對(duì)接入用戶的認(rèn)證計(jì)費(fèi)，同時(shí)，交換機(jī)還應(yīng)具有防偽 DHCFServer的接入，對(duì)終端ARP各種形式攻擊的防護(hù)。接入層交換機(jī)，我們建議千兆交換機(jī)選用H3cS5100系列交換機(jī)，百兆到桌面選用H3C?教育行業(yè)用戶專門研發(fā)的E系列交換機(jī)。選用的 S5100－EI系列交換機(jī)具有以下特點(diǎn)：1、靈活的千兆接入和集群管理H3cS5100-EI系列千兆以太網(wǎng)交換機(jī)提供靈活的16/24/48個(gè)10/100/1000M自適應(yīng)電口接入密度；并且支持復(fù)用的SFP?槽，充分考慮用戶的帶寬升級(jí)的實(shí)際情況，既可以支持千兆光模塊，也可以支持百兆光模塊，保護(hù)用戶投資。其中S5100C-EI機(jī)型支持最多2個(gè)可擴(kuò)展的萬兆接口，并且支持40G帶寬的堆疊。該系列硬件支持最大136Gbps交換容量，保證所有端口線速交換。H3cS5100-EI系列交換機(jī)采用專利技術(shù)允許交換機(jī)利用專用互聯(lián)電纜實(shí)現(xiàn)多達(dá)16臺(tái)設(shè)備的堆疊，支持不同端口設(shè)備的混合堆疊。具有即插即用、單一 IP管理。同時(shí)大大降低系統(tǒng)擴(kuò)展的成本，保護(hù)了用戶投資。2、全面的接入安全策略H3CS5100-EI系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5100-EI系列交換機(jī)支持特有的AR叭侵檢測(cè)功能，可有效防止黑客或攻擊者通過ARPf文實(shí)施網(wǎng)絡(luò)中逐漸盛行的“中間人”攻擊，對(duì)不符合 DHCPSnooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARPK騙報(bào)文直接丟棄。同時(shí)支持IPSourceCheck特性，防止包括MAO騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 DoSgfc擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕私設(shè)DHCPK務(wù)器，保證DHC環(huán)境的真實(shí)性和一致性。H3CS5100-EI系列交換機(jī)支持端口安全特性族可以有效防范基于 MAO址的攻擊?？梢詫?shí)現(xiàn)基于MAO址允許/限制流量，或者設(shè)定每個(gè)端口允許的MAC地址的最大數(shù)量,使得某個(gè)特定端口上的MAO址可以由管理員靜態(tài)配置,或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)。H3CS5100-EI系列交換機(jī)有強(qiáng)大硬件ACK力，能深度識(shí)別報(bào)文，支持L2~L4包過濾功能，提供基于源MAO址、目的MAC源IP地址、目的IP地址、IP協(xié)議類型、物理端口、VLAN等定義ACL以便交換機(jī)進(jìn)行后續(xù)的處理。并且支持基于全局、VLAN端口（組）的ACL下發(fā)，有效簡化配置過程并節(jié)約硬件資源。H3CS5100-EI系列交換機(jī)提供802.1X和集中MAC1證方式對(duì)接入的用戶進(jìn)行認(rèn)證，允許合法用戶通過，對(duì)于非法用戶則拒絕其上網(wǎng)。同時(shí)還支持客戶端軟件版本檢測(cè)、GuestVLAN^功能,和CAM$艮務(wù)器配合還可以實(shí)現(xiàn)代理檢測(cè)、雙網(wǎng)卡檢測(cè)等功能。通過這些功能的應(yīng)用可以對(duì)用戶的合法性進(jìn)行充分的檢查和控制，最大程度的減少非法用戶對(duì)網(wǎng)絡(luò)安全的危害。2、完善的QoS保障H3CS5100-EI系列以太網(wǎng)交換機(jī)提供基于Diffserv和802.1P的QoS#性，可以對(duì)報(bào)文的802.1P和DSC題優(yōu)先級(jí)進(jìn)行修改等操作，并映射到每端口提供的8個(gè)CO縱列，隊(duì)列調(diào)度提供了三種各具特色的隊(duì)列調(diào)度算法， 嚴(yán)格優(yōu)先級(jí)（SP）和整形加權(quán)輪循（SDWFRR調(diào)度算法以及SP+SDWRR合調(diào)度算法。H3CS5100-EI系列以太網(wǎng)交換機(jī)支持流量監(jiān)管和帶寬粒度控制，流量限速的最小粒度為1Kbit/s，確保為進(jìn)入交換機(jī)的特定業(yè)務(wù)提供帶寬保證，即使在網(wǎng)絡(luò)擁塞時(shí)，也能滿足一定的丟包、時(shí)延及時(shí)延抖動(dòng)等QoS需求。支持流量整形保證以太網(wǎng)交換機(jī)可以對(duì)輸出報(bào)文速率進(jìn)行控制。支持基于流的報(bào)文重定向。3、增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3CS5100-EI系列交換機(jī)支持通過FTRTFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持SNMPv1/v2/v3,可支持OpenView等通用網(wǎng)管平臺(tái)，以及iMC智能管理中心。支持CLI命令行，WetB管,TELNETHGMP1群管理，使設(shè)備管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。傳統(tǒng)交換機(jī)對(duì)端口的鏡像功能都是基于本地實(shí)現(xiàn)，鏡像數(shù)據(jù)流無法穿越網(wǎng)絡(luò)在核心實(shí)現(xiàn)統(tǒng)一采集、監(jiān)控和分析；H3CS5100-EI支持跨交換機(jī)的遠(yuǎn)程端口鏡像功能（RSPAN,可以將接入端口的流量鏡像到核心交換機(jī)上，在核心上啟動(dòng)網(wǎng)流分析（Netstream）功能，對(duì)監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。H3CS5100-EI系列交換機(jī)支持 VCT(VirtualCableTest)電纜檢測(cè)功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持 DLDP(DeviceLinkDetectionProtocol )單向鏈路檢測(cè)協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給用戶。H3cE系列交換機(jī)具有以下特點(diǎn)：全面的接入安全策略H3CE126A/E152a育網(wǎng)交換機(jī)支持特有的ARPA侵檢測(cè)功能，可有效防止黑客或攻擊者通過ARP艮文實(shí)施校園網(wǎng)常見的“中間人”攻擊，對(duì)不符合 DHCPSnooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARPK騙報(bào)文直接丟棄。同時(shí)支持IPSourceCheck特性，防止包括MAO騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 DoSgfc擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕學(xué)生私設(shè)DHCPK務(wù)器，保證DHC即境的真實(shí)性和一致性。E126A/E152教育網(wǎng)交換機(jī)支持端口安全特性族，可以有效防范基于 MAO址的攻擊?？梢詫?shí)現(xiàn)基于MAC!址允許/限制流量，或者設(shè)定每個(gè)端口允許的MAC地址的最大數(shù)量，使得某個(gè)特定端口上的MAO址可以由管理員靜態(tài)配置，或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)。E126A/E152教育網(wǎng)交換機(jī)有強(qiáng)大硬件ACL能力，能深度識(shí)別報(bào)文，支持L2?L4包過濾功能，提供基于源MAC!址、目的MAC!址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDPSm、TCP/UD磯口范圍、VLANVLAN?圍等定義ACL以便交換機(jī)進(jìn)行后續(xù)的處理。E126A/E152教育網(wǎng)交換機(jī)支持集中式MAO址認(rèn)證和802.1x認(rèn)證，支持用戶帳號(hào)、IP、MACVLAN端口等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略(VLANQoSACD的動(dòng)態(tài)下發(fā)；支持配合H3c公司的CAM系統(tǒng)對(duì)在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。支持對(duì)Proxy進(jìn)行有效的管理。增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3CE126A/E15徵育網(wǎng)交換機(jī)支持通過FTRTFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持SNMPv1/v2/v3,可支持OpenView等通用網(wǎng)管平臺(tái)，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管,Telnet,HGM集群管理，使設(shè)備管理更方便。E126A/E152教育網(wǎng)交換機(jī)支持跨交換機(jī)的遠(yuǎn)程端口鏡像 RSPAN可以將接入端口的流量鏡像到核心交換機(jī)上，可以對(duì)全網(wǎng)業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控，滿足校園網(wǎng)精細(xì)化管理的需要。E126A/E152教育網(wǎng)交換機(jī)支持VCT(VirtualCableTest)電纜檢測(cè)功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持 DLDP(DeviceLinkDetectionProtocol)單向鏈路檢測(cè)協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給用戶。高性能與靈活擴(kuò)展能力H3cE126A/E15徵育網(wǎng)交換機(jī)具有19.2G的背板交換容量，支持所有端口線速轉(zhuǎn)發(fā)，滿足了教育用戶對(duì)高帶寬的需求。設(shè)備支持 2/4個(gè)6曰±行，采用固定電口和通用SFP的靈活千兆連接方式，在降低用戶成本的同時(shí)，更好的考慮了用戶后續(xù)升級(jí)的實(shí)際需求。E126A/E152教育網(wǎng)交換機(jī)采用專利技術(shù)允許交換機(jī)利用專用互聯(lián)電纜實(shí)現(xiàn)多達(dá)16臺(tái)設(shè)備的堆疊，最大擴(kuò)展至768個(gè)10/100M端口，支持E126A和E152混合堆疊。具有即插即用、單一 IP管理。同時(shí)大大降低系統(tǒng)擴(kuò)展的成本，保護(hù)了用戶投資。豐富的業(yè)務(wù)支持能力H3CE126A/E152教育網(wǎng)交換機(jī)支持SP(StrictPriority)、WRRWeightedRoundRobin)、SP+WRR種隊(duì)列調(diào)度算法，支持每個(gè)端口4/8個(gè)輸出隊(duì)列，可以以不同的優(yōu)先級(jí)將報(bào)文放入端口的輸出隊(duì)列。E126A/E152教育網(wǎng)交換機(jī)支持端口限速功能，限速粒度可達(dá) 64Kbps,防止惡意侵占網(wǎng)絡(luò)帶寬，也為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。E126A/E152教育網(wǎng)交換機(jī)支持IPv6host，包括IPv6單播地址配置，ICMPv?IPv6鄰居發(fā)現(xiàn)協(xié)議(ND,IPv6-TCP,IPv6-TFTP,IPv6-TRACERTt理特性。無線網(wǎng)絡(luò)設(shè)計(jì)無線局域網(wǎng)技術(shù)經(jīng)過十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無線局域網(wǎng)主要是采用FatAP(即“胖”AP),每一臺(tái)AP都要單獨(dú)進(jìn)行配置，費(fèi)時(shí)、費(fèi)力、費(fèi)成本；.專業(yè).專注.專業(yè).專注.第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功能但還是不能集中進(jìn)行管理和配置， 其管理性和安全性以及對(duì)有線網(wǎng)絡(luò)的依賴成為了第一代和第二代 WLAN"品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲(chǔ)存了大量的網(wǎng)絡(luò)和安全的配置，包括加密的鑰匙，Radiusclient的安全密碼(secret)等，而AP又是分散在建筑物中的各個(gè)位置，一旦AP的配置被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，所以當(dāng)用戶接入數(shù)量(IPsessions)增多時(shí)，無線網(wǎng)的性能會(huì)急劇下降，時(shí)常會(huì)發(fā)生掉線或死機(jī)情況。在這樣的環(huán)境下，基于無線交換機(jī)技術(shù)的第三代 WLAIT品應(yīng)運(yùn)而生。第三代無線局域網(wǎng)采用無線交換機(jī)和 FITAP(即“瘦”AP)的架構(gòu)，對(duì)傳統(tǒng)WLANS備的功能做了重新劃分，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到集中的WLAN交換機(jī)中實(shí)現(xiàn)，同時(shí)加入了許多重要新功能，諸如無線網(wǎng)管、 AP問自適應(yīng)、無線安管、RF監(jiān)測(cè)、無縫漫游以及Qos,使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。FATAP方案FITAP方案技術(shù)模式傳統(tǒng)主流新生方式，增強(qiáng)管理安全性傳統(tǒng)加密、認(rèn)證方式，普通安全怏增加射頻環(huán)境監(jiān)控，基于用戶位置安全策略，高安全性網(wǎng)絡(luò)管理對(duì)每AP下發(fā)配置文件無線控制器上配置好文件.AP本身零配置，自動(dòng)下載配置文件用戶管理類似有線，根據(jù)AP接入的有線端口區(qū)分權(quán)限虛擬專用組方式，根據(jù)用戶名區(qū)分權(quán)限WLAN組網(wǎng)規(guī)模L2漫游，適合小規(guī)模組網(wǎng)L2、L3漫游，拓?fù)錈o關(guān)性，適合大規(guī)模組網(wǎng)搟俏業(yè)務(wù)能力實(shí)現(xiàn)簡單數(shù)據(jù)接入可擴(kuò)展語音等豐富業(yè)務(wù)室內(nèi)無線覆蓋將使用大量無線接入點(diǎn)(AP)提供無線網(wǎng)絡(luò)接入服務(wù)，必須有效實(shí)現(xiàn)多個(gè)AP的統(tǒng)一策略部署和可靠的安全認(rèn)證機(jī)制，因此，采用FITAP的解決方案，即采用無線控制器結(jié)合瘦AP與無線網(wǎng)絡(luò)管理系統(tǒng)的架構(gòu)。綜合上述分析，對(duì)于大規(guī)模部署的校園網(wǎng)無線局域網(wǎng)，我們建議采用FITAP的方案。無線網(wǎng)絡(luò)結(jié)構(gòu)參見下圖:H3(/IS置防火墻匯聚交換機(jī)匯聚交換機(jī)H3CS5500-EIH3CS5500-EI接入交換機(jī)H3CE152/126A接入交換機(jī)H3CE152/126A無線AP電信/網(wǎng)通校園網(wǎng)骨干北聚交換機(jī)F無線APH3CS550I網(wǎng)絡(luò)中心機(jī)房H3CS5500-ET接入交我機(jī)H3CE括2/126A核心交換機(jī)H3CS7510EH3CS5100服務(wù)器系統(tǒng)無線網(wǎng)絡(luò)結(jié)構(gòu)參見下圖:H3(/IS置防火墻匯聚交換機(jī)匯聚交換機(jī)H3CS5500-EIH3CS5500-EI接入交換機(jī)H3CE152/126A接入交換機(jī)H3CE152/126A無線AP電信/網(wǎng)通校園網(wǎng)骨干北聚交換機(jī)F無線APH3CS550I網(wǎng)絡(luò)中心機(jī)房H3CS5500-ET接入交我機(jī)H3CE括2/126A核心交換機(jī)H3CS7510EH3CS5100服務(wù)器系統(tǒng)數(shù)據(jù)中心用戶管理系統(tǒng)網(wǎng)絡(luò)出口中心交換機(jī)H3CS7502E應(yīng)用流量控制 出口路由器AC模塊H3CACG—2000MH3CSR6604無線網(wǎng)控制器辦公樓 圖書館、實(shí)驗(yàn)樓等 宿舍區(qū)千兆到桌面 百兆到桌面 百兆到桌面宿舍區(qū)百兆到桌面無線網(wǎng)絡(luò)組成包括以下部分:無線控制系統(tǒng)，設(shè)備建議部署在網(wǎng)絡(luò)中心，為確保整個(gè)無線網(wǎng)絡(luò)的高可性，建議采用在核心交換機(jī)配置無線控制模塊，通過交換機(jī)的高性能來實(shí)現(xiàn)路由和轉(zhuǎn)發(fā)，并配置無線控制器模塊實(shí)現(xiàn)無線的管理。無線控制器模塊最大可管理640個(gè)AP,通過在S7510E中集成無線控制器模塊，將充分利用核心交換機(jī)的高可靠性和高處理性能，同時(shí)，與有線網(wǎng)絡(luò)的融合度更高。無線AP,根據(jù)實(shí)際需求，室內(nèi)區(qū)域，包括辦公室、圖書館等，AP采用FitAP,選用WA2110AGAP與無線控制器組成無線網(wǎng)，室內(nèi)AP連接到最近的訪問層交換機(jī)。在室外區(qū)域，直接采用室外型APWA2200凍列AP,H3c室外型AP通過IP66等級(jí)保護(hù)，可防水防塵，直接安裝在外。建議配套H3CWSME線業(yè)務(wù)管理系統(tǒng)，實(shí)現(xiàn)對(duì)無線網(wǎng)絡(luò)的管理，通過WSME線業(yè)務(wù)管理器，用戶可以獲得全面的無線業(yè)務(wù)管理能力。在設(shè)備選型中，我們建議無線局域網(wǎng)與交換機(jī)采用相同的品牌， 以確保系統(tǒng)的兼容性，并實(shí)現(xiàn)統(tǒng)一化管理。采用FITAP解決方案構(gòu)建的無線局域網(wǎng)具有以下功能和特點(diǎn)：?方便部署FITAP解決方案采用集中式架構(gòu)，在不改變其網(wǎng)絡(luò)的原有規(guī)劃和部署的情況下，甚至不需要中斷原有網(wǎng)絡(luò)就可以輕松疊加一個(gè)無線網(wǎng)絡(luò)， 該無線網(wǎng)絡(luò)和原有的有線網(wǎng)絡(luò)可以形成有線無線一體化的接入方案，可以大大減少網(wǎng)絡(luò)升級(jí)和部署的成本。? 易于管理、AP“零配置”采用無線控制器和FITAP配合組網(wǎng)時(shí)，只需要在無線控制器上對(duì)一類相同屬性的AP建立配置模板，AP在啟動(dòng)時(shí)可以自動(dòng)從無線控制器上下載最新的配置文件，真正做到了零配置，免維護(hù)，即插即用，極大地減輕了網(wǎng)絡(luò)管理員在部署網(wǎng)絡(luò)階段的維護(hù)工作量。?方便升級(jí)FITAP還支持軟件自動(dòng)更新功能，在其每次重新啟動(dòng)時(shí)會(huì)自動(dòng)比較當(dāng)前運(yùn)

行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新， AP會(huì)自動(dòng)更新本地的軟件映像，軟件升級(jí)不再需要網(wǎng)管人員的干預(yù)。? 三層漫游無線控制器支持三層漫游，并支持快速漫游，漫游切換時(shí)間小于 50m6滿足對(duì)切換時(shí)間要求最苛刻的語音業(yè)務(wù)。?支持虛擬APFITAP支持多SSID實(shí)現(xiàn)虛擬AP特性，每個(gè)SSID可對(duì)應(yīng)不同的VLAN從而對(duì)于每一個(gè)SSID可以實(shí)現(xiàn)不同的網(wǎng)絡(luò)服務(wù)及認(rèn)證方式。該特性使管理員可以方便的為不同用戶群、不同的業(yè)務(wù)制定區(qū)分的服務(wù)策略。? 豐富的RF管理和安全RF管理功能，可以使得無線網(wǎng)絡(luò)的布網(wǎng)靈活性大大增強(qiáng)，網(wǎng)絡(luò)的可維護(hù)性得到很大的提高。AP的功率調(diào)整和信道切換是網(wǎng)絡(luò)部署和調(diào)試時(shí)不可缺少的重要手段，信道和功率還需要按照國家代碼自動(dòng)設(shè)置，無線控制器的 RF管理功能使得網(wǎng)絡(luò)部署非常簡單。RSSI/SNR的不斷更新，更是讓系統(tǒng)可以適時(shí)了解每一個(gè)無線用戶所處電磁環(huán)境的好壞、離AP的距離，從而可以采取相應(yīng)的策略來提升網(wǎng)絡(luò)可用性。?支持智能的負(fù)載均衡支持智能負(fù)載均衡技術(shù)，保證只對(duì)處于AP覆蓋重疊區(qū)的無線用戶才啟動(dòng)AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量。? IPv6無線控制器實(shí)現(xiàn)了IPv4/IPv6雙協(xié)議棧。AP和無線控制器之間可以穿過IPv6網(wǎng)絡(luò)互聯(lián)，從而使組網(wǎng)方式更加靈活，可以滿足今后網(wǎng)絡(luò)發(fā)展的需要，保護(hù)用戶投資。? 完善的QoS無線控制器支持Diff-Serv標(biāo)準(zhǔn)包括流分類、流量監(jiān)管(Policing)、隊(duì)列管理、隊(duì)列調(diào)度(Scheduling)等，完整實(shí)現(xiàn)了標(biāo)準(zhǔn)中定義的EF、AF1?AF4BE等六組PHB及業(yè)務(wù)，可為用戶提供具有不同服務(wù)質(zhì)量等級(jí)的服務(wù)保證， 真正成為同時(shí)承載數(shù)據(jù)、語音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。? 有線無線一體化的網(wǎng)管系統(tǒng)采用同一品牌的交換機(jī)和無線局域網(wǎng)產(chǎn)品，通過配置 1套網(wǎng)絡(luò)管理系統(tǒng)，即可實(shí)現(xiàn)有線無線一體化的管理 。網(wǎng)絡(luò)安全性設(shè)計(jì)校園網(wǎng)絡(luò)承載多種業(yè)務(wù)系統(tǒng)，并實(shí)現(xiàn)與外界網(wǎng)絡(luò)的互聯(lián)互通，為確保業(yè)務(wù)系統(tǒng)的安全性，需根據(jù)不同的業(yè)務(wù)類型，采取相應(yīng)的安全措施。在校園網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)安全建設(shè)主要包括以下幾大部分：一、對(duì)重點(diǎn)區(qū)域的安全隔離和訪問控制，通過增加防火墻，實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)資源和外部網(wǎng)絡(luò)安全隔離和訪問權(quán)限的控制。二、網(wǎng)絡(luò)出口部署應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)校園網(wǎng)用戶的行為審計(jì)和監(jiān)管。三、通過配置交換機(jī)所具有的安全功能，加強(qiáng)的網(wǎng)絡(luò)的安全控制。重要安全區(qū)域隔離為使網(wǎng)絡(luò)能夠阻止、檢測(cè)由面向?qū)W生開放的業(yè)務(wù)資源、校外其它用戶發(fā)起的異常流量和攻擊，對(duì)數(shù)據(jù)中心和網(wǎng)絡(luò)出口等重要區(qū)域進(jìn)行保護(hù)，網(wǎng)絡(luò)設(shè)計(jì)時(shí)使用防火墻實(shí)現(xiàn)各區(qū)域的安全隔離，參見下圖：置防火墻匯聚交換;無線AP無線APH3cE152/126A匯聚交換機(jī)/H3CS5500-EI核心交換機(jī)H3CS7510E匯聚交換機(jī)H3CS5500-EIH3CCAMS接入學(xué)機(jī)H3CE152/126A網(wǎng)絡(luò)中心機(jī)房無線網(wǎng)控制器ZAC模塊校園網(wǎng)骨干數(shù)據(jù)中心服務(wù)器系統(tǒng)用戶管理系統(tǒng)H3CACG-2000MH3CSR6604置防火墻匯聚交換;無線AP無線APH3cE152/126A匯聚交換機(jī)/H3CS5500-EI核心交換機(jī)H3CS7510E匯聚交換機(jī)H3CS5500-EIH3CCAMS接入學(xué)機(jī)H3CE152/126A網(wǎng)絡(luò)中心機(jī)房無線網(wǎng)控制器ZAC模塊校園網(wǎng)骨干數(shù)據(jù)中心服務(wù)器系統(tǒng)用戶管理系統(tǒng)H3CACG-2000MH3CSR6604匯聚交換機(jī)H3cS5500-E接入交換機(jī)H3CS5100網(wǎng)絡(luò)出口應(yīng)用流量控制出口路由器中心交換機(jī)H3CS7502E/網(wǎng)H3CS5500-EI辦公樓千兆到桌面圖書館、實(shí)驗(yàn)樓等百兆到桌面宿舍區(qū)百兆到桌面宿舍區(qū)百兆到桌面通過在核心交換機(jī)增加防火墻模塊，同時(shí)為數(shù)據(jù)中心和網(wǎng)絡(luò)出口提供安全區(qū)域隔離和安全保護(hù).防火墻模塊具有虛擬防火墻、虛擬接口等特點(diǎn)，提供高達(dá)6Gbps處理性能，并充分利用核心交換機(jī)的高可靠性，為確保系統(tǒng)的可靠性，并分別在兩臺(tái)中心交換機(jī)上配置防火墻模塊，實(shí)現(xiàn)防火墻的負(fù)載分擔(dān)和冗余備份。出口帶寬監(jiān)管校園網(wǎng)絡(luò)應(yīng)用層出不窮，在大大提升了用戶的工作效率的同時(shí)也帶來許多負(fù)面影響，針對(duì)用戶行為控制的解決方案，需要能夠解決以下問題：用戶通過P2P下載電影造成網(wǎng)絡(luò)速度變慢，怎么解決用戶在BBS上發(fā)布違法帖子，違反信息安全規(guī)定用戶工作時(shí)間炒股、打游戲、聊天造成工作效率的下降，怎么解決用戶訪問非法網(wǎng)站易感染病毒，如何控制校園網(wǎng)絡(luò)出口通過問部署一臺(tái)SecPathACM關(guān)，通過在ACGE用控制網(wǎng)關(guān)，可精確識(shí)別BK電驢、迅雷、MSNQQYahooMessenger、PPLive等近百種P2P/IM應(yīng)用，可基于時(shí)間、用戶、區(qū)域、應(yīng)用協(xié)議，通過告警、限速、阻斷等手段進(jìn)行靈活控制，保證網(wǎng)速的正常和業(yè)務(wù)不被影響。AC或用先進(jìn)的分析技術(shù)，能對(duì)網(wǎng)絡(luò)多媒體、網(wǎng)絡(luò)游戲、炒股等應(yīng)用進(jìn)行識(shí)別與控制，通過URLM濾、關(guān)鍵字過濾、內(nèi)容過濾等多種訪問控制策略，控制非法應(yīng)用，過濾非法網(wǎng)站，規(guī)范用戶上網(wǎng)行為，提高員工工作效率。同時(shí)，ACGtt夠以下審計(jì)功能：WEB—用審計(jì)——URL源、目的IP;訪問時(shí)間等應(yīng)用審計(jì)一一登錄名；上傳或下載文件名；源、目的IP;訪問時(shí)間等Email應(yīng)用審計(jì)——POP劑SMTP攵發(fā)郵件的郵件名、發(fā)件人、收件人等；不支持WEBMail的審計(jì)NAT日志審計(jì)——NAT1后的IP、端口號(hào)；時(shí)間等；需要與U200或F1000E等支持FLOW3.0日志的設(shè)備配合網(wǎng)絡(luò)安全保護(hù)對(duì)于校園網(wǎng)大型應(yīng)用以太網(wǎng)交換機(jī)的系統(tǒng)，網(wǎng)絡(luò)的安全特性非常重要，因以太網(wǎng)工作原理的限制，交換式網(wǎng)絡(luò)容易造成MACIP等安全的攻擊。對(duì)此，需通過交換機(jī)的安全特性加以防護(hù)。本次選用的核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)具有豐富的安全特性， 可以解決網(wǎng)絡(luò)中存在的安全問題，詳細(xì)參見下表:攻擊攻擊行為交換機(jī)安全防范特性核心交換機(jī)匯聚交換機(jī)接入交換機(jī)資源耗盡型攻擊端口MAO限制具有具有具有禁止某個(gè)VLAN的MAC!址學(xué)習(xí)+靜態(tài)MACS具有具有具有MAC5L以山端口安全具有具有具有MAC+IP+端口綁定，端口安全中的1個(gè)特性具有具有具有DHCPDOS^擊DHCPRelayOption82具有具有具有DHCPSnoopingOption82具有具有具有DHCP艮文限速具有具有具有CPUS^意沖擊ARP艮速具有具有具有防范攻擊的廣播風(fēng)暴抑制具有具有具有

其它特性環(huán)路檢測(cè)具有具有具有安全準(zhǔn)入特性具有具有具有802.1x具有具有具有端口安全特性具有具有具有假冒偽裝型攻擊ARPK騙攻擊AR叭侵檢測(cè)具有具有具有端口隔離具有具有具有Isolate-User-VLAN具有具有具有MAC/IP欺騙攻擊DHCPrelaySecurity具有具有具有IP源地址保護(hù)具有具有具有DHC用艮務(wù)器欺騙攻擊DHCPSnoopingTrust具有具有具有根橋偽裝攻擊STPfi保護(hù)具有具有具有BPDUS護(hù)具有具有具有TCNt擊TC-BPDU艮文非立即處理機(jī)制具有具有具有路由源偽裝攻擊OSPF/RI琳由MD5僉證具有具有二層，不具有設(shè)備控制權(quán)攻擊用戶信息嗅探SSH2.0具有具有具有SNMPv3具有具有具有SFTP具有具有具有管理人員泄密遠(yuǎn)程管理終端限制（TelnetVTY配置ACL）具有具有具有用戶分級(jí)具有具有具有暴力嘗試攻擊遠(yuǎn)程管理終端限制（TelnetVTY配置ACL）具有具有具有在用戶接入安全控制，設(shè)計(jì)時(shí)采取以下針對(duì)性的措施解決以下MACIP地址的安全問題。1、通過接入層交換機(jī)進(jìn)行IP、MAC端口的綁定或認(rèn)證系統(tǒng)的實(shí)施，解決IP地址沖突和IP地址欺騙。..專業(yè).專注.2、接入層交換機(jī)啟用ARP僉測(cè)特性,解決ARPt擊和欺騙的問題。3、接入層交換機(jī)啟用DHCPe全特性，解決用戶私自架設(shè)非法 DHCF?務(wù)器的問題。4、在防火墻或路由交換機(jī)通過IPSourceGuard以及URPF#性上解決偽造IP源地址攻擊。5、交換機(jī)啟用ARP艮文限制，解決導(dǎo)致交換機(jī)或客戶端 ARPft溢出或DHCP服務(wù)器地址耗盡的問題。6、通過網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)在網(wǎng)絡(luò)維護(hù)和故障解決時(shí)，可快速查找、定位和隔離發(fā)生故障的交換機(jī)所有的端口。網(wǎng)絡(luò)可靠性設(shè)計(jì)各業(yè)務(wù)系統(tǒng)的安全運(yùn)行，對(duì)網(wǎng)絡(luò)系統(tǒng)的可靠性提出了很高的要求。因此在網(wǎng)絡(luò)的設(shè)計(jì)實(shí)施中必須對(duì)網(wǎng)絡(luò)的可靠性進(jìn)行詳盡的考慮和設(shè)計(jì)。網(wǎng)絡(luò)系統(tǒng)的可靠性包括設(shè)備和鏈路冗余、數(shù)據(jù)鏈路層穩(wěn)定性以及網(wǎng)絡(luò)層穩(wěn)定性三大方面。物理設(shè)備和鏈路穩(wěn)定性網(wǎng)絡(luò)結(jié)構(gòu)的可靠性校園網(wǎng)絡(luò)設(shè)計(jì)首先從網(wǎng)絡(luò)結(jié)構(gòu)上保證了高可靠性和高冗余性：網(wǎng)絡(luò)核心層和數(shù)據(jù)中心采用雙機(jī)冗余架構(gòu)設(shè)計(jì)， 通過路由協(xié)議、不間斷路由等技術(shù)配合實(shí)現(xiàn)可靠性；網(wǎng)絡(luò)核心層和數(shù)據(jù)中心設(shè)備間互聯(lián)全部采用雙或多鏈路互聯(lián)，配合路由協(xié)議、VRRPMSTP?技術(shù)實(shí)現(xiàn)局域網(wǎng)絡(luò)的可靠性。設(shè)備級(jí)冗余性設(shè)計(jì)網(wǎng)絡(luò)核心節(jié)點(diǎn)設(shè)備的可靠是確保整個(gè)網(wǎng)絡(luò)的有效運(yùn)轉(zhuǎn)的關(guān)鍵所在。要保證網(wǎng)絡(luò)平臺(tái)的可靠性，必須要選用具備電信級(jí)可靠性的網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)，才能使網(wǎng)絡(luò)具有自動(dòng)恢復(fù)能力、降低人工維護(hù)工作，達(dá)到電信級(jí)的可靠運(yùn)行。網(wǎng)絡(luò)關(guān)鍵設(shè)備必須具有電信級(jí)可靠性網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，如核心路由器等，應(yīng)該具備電信級(jí)可靠性：可靠性指標(biāo)必須達(dá)到 99.999%。網(wǎng)絡(luò)核心設(shè)備采用全分布式體系結(jié)構(gòu)，路由與轉(zhuǎn)發(fā)分離。所有關(guān)鍵器件，如主控板、電源等都采用冗余設(shè)計(jì)，業(yè)務(wù)模塊支持熱插拔。網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。主備倒換過程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。網(wǎng)絡(luò)核心設(shè)備支持軟件在線升級(jí)，升級(jí)過程中業(yè)務(wù)不中斷。網(wǎng)絡(luò)核心設(shè)備支持軟件熱補(bǔ)丁，打補(bǔ)丁過程中主控板和接口板都不需要重啟動(dòng)，業(yè)務(wù)不中斷。校園網(wǎng)絡(luò)中所采用的核心交換機(jī)和數(shù)據(jù)中心交換機(jī) S7500E等設(shè)備具有強(qiáng)大的設(shè)備級(jí)可靠性保證：1、采用分布式體系結(jié)構(gòu)：S7500E采用分布式體系結(jié)構(gòu)，與集中式體系設(shè)備相比較，分布式體系設(shè)備除性能可以通過插入更多的接口處理板提高整體性能外，更為關(guān)鍵的是將管理、路由轉(zhuǎn)發(fā)、接口處理等功能分配在不同的部件上，協(xié)同工作，分布式體系可以分散故障風(fēng)險(xiǎn)、隔離故障、提供冗余配置，提高系統(tǒng)的自動(dòng)恢復(fù)能力；如管理部件故障，只需要更換這部分板件，不影響其他功能。2、關(guān)鍵部件冗余：S7500E采用分布式體系下，對(duì)設(shè)備的關(guān)鍵部件，如主控管理單元、交換轉(zhuǎn)發(fā)單元等，進(jìn)行冗余構(gòu)造配置，保證系統(tǒng)在工作中不會(huì)全部失效。3、實(shí)時(shí)熱備份機(jī)制：在系統(tǒng)軟件及硬件的支持下，關(guān)鍵部件在發(fā)生故障能自動(dòng)啟動(dòng)備份系統(tǒng)，而且主備之間的切換要能夠?qū)崟r(shí)熱倒換，即運(yùn)行中即使發(fā)生設(shè)備故障切換也不會(huì)對(duì)網(wǎng)絡(luò)業(yè)務(wù)造成影響。4、熱插拔特性：S7500E任意單板均支持熱插拔特性，保證系統(tǒng)出現(xiàn)故障需要維護(hù)，或系統(tǒng)需要升級(jí)擴(kuò)展時(shí)，不需要停機(jī)處理，保證網(wǎng)絡(luò)的 7X24小時(shí)不間斷運(yùn)行。5、冗余電源支持：S7500E能提供冗余電源負(fù)載分擔(dān)及備份供電，保障系統(tǒng)具有可靠的能量源。6、散熱系統(tǒng)：S7500E的散熱系統(tǒng)使設(shè)備能夠長時(shí)間穩(wěn)定運(yùn)行而不至因?yàn)橄到y(tǒng)升溫過高出現(xiàn)故障，冗余風(fēng)扇等散熱裝置可以增加設(shè)備的運(yùn)行時(shí)間及減少故障發(fā)生。鏈路冗余配置校園網(wǎng)絡(luò)核心與匯聚、核心與數(shù)據(jù)中心之間采用多條鏈路互聯(lián)，通過路由協(xié)議的ECM多鏈路分擔(dān)和切換等特點(diǎn)，實(shí)現(xiàn)多鏈路之間的互為冗余備份。數(shù)據(jù)鏈路層穩(wěn)定性設(shè)計(jì)接入交換機(jī)與匯聚交換機(jī)之間為二層鏈路互聯(lián)，為避免二層環(huán)路的發(fā)生，需運(yùn)行生成樹協(xié)議，在具體的部署過程中，為實(shí)現(xiàn)鏈路的快速切換以及保障網(wǎng)絡(luò)的穩(wěn)定性，可綜合實(shí)施MSTPE成樹、生成樹邊緣端口、鏈路單向檢測(cè)等技術(shù)。網(wǎng)絡(luò)部署MSTP通過運(yùn)行MSTPk成樹協(xié)議，可以解決因拓?fù)渥兓?STP重新計(jì)算引起的局部網(wǎng)絡(luò)中斷問題以及因某個(gè)VLANft撲變化引起整個(gè)STP重新計(jì)算的問題。MSTP（MultipleSpanningTreeProtocol ，多生成樹協(xié)議）可以彌補(bǔ)STP和RSTP勺缺陷，它既可以快速收斂，也能使不同VLAN的流量沿各自的路徑轉(zhuǎn)發(fā)，從而為冗余鏈路提供了更好的負(fù)載分擔(dān)機(jī)制。MSTP勺特點(diǎn)如下：MST股置VLAN央射表（即VLANffi生成樹的對(duì)應(yīng)關(guān)系表），把VLANff口生成樹聯(lián)系起來。通過增加“實(shí)例”（將多個(gè)VLAN整合到一個(gè)集合中）這個(gè)概念，將多個(gè)VLANB綁到一個(gè)實(shí)例中，以節(jié)省通信開銷和資源占用率。MSTPf巴一個(gè)交換網(wǎng)絡(luò)劃分成多個(gè)域，每個(gè)域內(nèi)形成多棵生成樹，生成樹之間彼此獨(dú)立。MSTP等環(huán)路網(wǎng)絡(luò)修剪成為一個(gè)無環(huán)的樹型網(wǎng)絡(luò),避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)，同時(shí)還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)VLANa據(jù)的負(fù)載分擔(dān)。MSTPS容STPffiRSTP生成樹邊緣端口接入交換機(jī)的端口設(shè)為生成樹的邊緣端口,通過此種方法，可以避免終端設(shè)備接入時(shí)，發(fā)生由于STP狀態(tài)變化引起的延時(shí)連通現(xiàn)象。在運(yùn)行生成樹的網(wǎng)絡(luò)中，當(dāng)網(wǎng)絡(luò)拓?fù)渥兓瘯r(shí)，邊緣端口不會(huì)產(chǎn)生臨時(shí)環(huán)路。因此，用戶如果將某個(gè)端口指定為邊緣端口，那么當(dāng)該端口由堵塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口可以實(shí)現(xiàn)快速遷移，而無需等待延遲時(shí)間。DLD俄術(shù)運(yùn)用校園網(wǎng)絡(luò)中建議選用的交換機(jī)均具有DLDP（DeviceLinkDetectionProtocol，設(shè)備連接檢測(cè)協(xié)議），實(shí)現(xiàn)光纖單向失效檢測(cè)（即收發(fā)兩方向上的一對(duì)光纖中有一根失效），解決因光纖單向鏈路失效引起反復(fù)的 STP和OSPF#算帶來的性能和連通性問題。DLDPft、議有如下特點(diǎn)：?DLDF^鏈路層協(xié)議，它與物理層協(xié)議協(xié)同工作來監(jiān)控設(shè)備的鏈路狀態(tài)。?物理層的自動(dòng)協(xié)商機(jī)制進(jìn)行物理信號(hào)和故障的檢測(cè)； DLDF?行對(duì)端設(shè)備的識(shí)別、單向鏈路的識(shí)別和關(guān)閉不可達(dá)端口等工作。?當(dāng)使能自動(dòng)協(xié)商機(jī)制和DLD而，二者協(xié)同工作，可以檢測(cè)和關(guān)閉物理和邏輯的單向連接，并阻止其他協(xié)議（如： STP協(xié)議）的失效。?如果兩端鏈路在物理層都能獨(dú)立正常工作，DLD法在鏈路層檢測(cè)這些鏈路是否正確連接、兩端是否可以正確的交互報(bào)文。這種檢測(cè)不能通過自動(dòng)協(xié)商機(jī)制實(shí)現(xiàn)。網(wǎng)絡(luò)層穩(wěn)定性設(shè)計(jì)在校園網(wǎng)的數(shù)據(jù)中心，兩臺(tái)交換機(jī)之間采用 VRR次業(yè)務(wù)服務(wù)器、提供高可靠的接入服務(wù)。在校園網(wǎng)的數(shù)據(jù)中心，業(yè)務(wù)服務(wù)器 IP網(wǎng)關(guān)設(shè)在數(shù)據(jù)中心交換機(jī)，在組網(wǎng)中，兩臺(tái)S7502互間運(yùn)行VRR初議。虛擬路由冗余協(xié)議VirtualRouterRedundancyProtocol（VRRP）在國際標(biāo)準(zhǔn)RFC3768定義，被眾多網(wǎng)絡(luò)設(shè)備廠商所支持。虛擬路由冗余協(xié)議對(duì)共享多存取訪問介質(zhì)（如以太網(wǎng)）上終端IP設(shè)備的默認(rèn)網(wǎng)關(guān)（Default Gateway）進(jìn)行冗余備份，從而在其中一臺(tái)路由設(shè)備宕機(jī)時(shí)，備份路由設(shè)備及時(shí)接管轉(zhuǎn)發(fā)工作，向用戶提供透明的切換，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。網(wǎng)絡(luò)管理設(shè)計(jì)校園信息化系統(tǒng)是一個(gè)涉及多個(gè)廠家、多種類型設(shè)備的復(fù)雜系統(tǒng)，作為整個(gè)系統(tǒng)的承載層，網(wǎng)絡(luò)平臺(tái)必須具備良好的可維護(hù)性。在管理方面，我們采用基于H3C智能管理中心的管理系統(tǒng)，實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)的統(tǒng)一管理，可以方便的對(duì)系統(tǒng)進(jìn)行維護(hù)，實(shí)現(xiàn)快速的故障定位。H3CIMC智能管理中心基于SO咪構(gòu)，采用B/S平臺(tái)以及分布式、組件化、跨平臺(tái)的開放體系結(jié)構(gòu)，根據(jù)據(jù)根不同的業(yè)務(wù)需求選擇安裝不同的業(yè)務(wù)組件，可以實(shí)現(xiàn)設(shè)備管理、拓?fù)涔芾怼⒏婢芾?、性能管理、軟件升?jí)管理、配置文件管理等多種管理功能。H3CiMC采用B/S架構(gòu)，更為方便的通過遠(yuǎn)程方式對(duì)網(wǎng)絡(luò)的狀態(tài)進(jìn)行監(jiān)控和維護(hù)，運(yùn)維人員可以采用IE瀏覽器，通過用戶名/密碼遠(yuǎn)程登錄系統(tǒng)進(jìn)行維護(hù)，同時(shí)，H3CiMC還可以實(shí)現(xiàn)用戶分權(quán)限、設(shè)備分組的管理，不同的級(jí)別管理人員可對(duì)設(shè)備進(jìn)行各種類型的操作，而且還可以限制可以管理的設(shè)備。H3CiMC不僅能夠獨(dú)立提供完整的網(wǎng)絡(luò)管理平臺(tái)，還能夠與OpenViewSNMPc多種主流通用網(wǎng)管平臺(tái)靈活集成；不僅能夠管理 H3c公司的全線數(shù)據(jù)通信設(shè)備，還能夠通過標(biāo)準(zhǔn)MIB管理CISCO3COW各主流廠商的數(shù)據(jù)通訊設(shè)備。通過部署H3CiMC網(wǎng)管系統(tǒng)，可以實(shí)現(xiàn)以下運(yùn)行維護(hù)管理功能。資源管理iMC資源管理與拓?fù)涔芾碜鳛檎w共同為用戶提供網(wǎng)絡(luò)資源的管理。網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)可以通過設(shè)置種子的簡易方式、路由方式、 ARP方式、IPSecVPN、網(wǎng)段方式等五種自動(dòng)發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓?fù)洌詣?dòng)識(shí)別包括：路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、 UPS、服務(wù)器、PC在內(nèi)的多種類型網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)手工管理可以手工添加、刪除網(wǎng)絡(luò)設(shè)備，可以批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備，批量配置Telnet、SNM參數(shù)，以及批量校驗(yàn)Telnet參數(shù)等輔助功能；網(wǎng)絡(luò)視圖管理支持IP視圖、設(shè)備視圖、自定義視圖、下級(jí)網(wǎng)絡(luò)管理視圖等多種管理視圖，用戶可以從不同角度實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的管理；網(wǎng)絡(luò)設(shè)備的管理從任何一種網(wǎng)絡(luò)視圖入口，都可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，包括：支持對(duì)設(shè)備的管理/去管理、接口的管理 /去管理、設(shè)備的詳細(xì)信息顯示和接口詳細(xì)信息顯示、設(shè)備和接口實(shí)時(shí)告警狀態(tài)、設(shè)備和接口的實(shí)時(shí)性能狀態(tài)、 實(shí)時(shí)檢測(cè)存在故障的設(shè)備等，用戶可以方便的實(shí)現(xiàn)所有設(shè)備的管理；設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理支持對(duì)H3GCISCO3COW主要廠家設(shè)備的管理，支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號(hào)；支持設(shè)備面板管理的動(dòng)態(tài)注冊(cè)機(jī)制，實(shí)現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成；支持拓?fù)涠ㄎ弧?ACLVLANQoS等業(yè)務(wù)管理系統(tǒng)的集成，實(shí)現(xiàn)設(shè)備資源的統(tǒng)一管理；設(shè)備分組權(quán)限管理支持設(shè)備分組功能，通過對(duì)設(shè)備資源進(jìn)行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)分離；拓?fù)涔芾韎MC拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供給用戶對(duì)整個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)渥詣?dòng)發(fā)現(xiàn)H3CiMC可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D，通過視圖導(dǎo)航樹提供視圖間的快速導(dǎo)航。通過自動(dòng)發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡(luò)中的所有設(shè)備及網(wǎng)絡(luò)結(jié)構(gòu)（具體參見資源管理），并且可以將非SNM股備發(fā)現(xiàn)出來，只要設(shè)備可以ping通即可。這樣就可以將所有網(wǎng)絡(luò)設(shè)備都列入其管理范圍（只要設(shè)備 IP可達(dá)）。同時(shí)支持自動(dòng)的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)?。自?dòng)拓?fù)淇梢宰詣?dòng)將網(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來，同時(shí)可以保存為自定義拓?fù)鋱D并可根據(jù)具體情況進(jìn)行修改以便于網(wǎng)管員對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備的監(jiān)控。支持對(duì)全網(wǎng)設(shè)備和連接定時(shí)輪詢和狀態(tài)刷新，實(shí)時(shí)了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，并且刷新周期是可定制（刷新周期：60?7200秒），同時(shí)也支持對(duì)多個(gè)設(shè)備的刷新周期進(jìn)行批量配置的功能。支持自定義拓?fù)鋫鹘y(tǒng)的網(wǎng)絡(luò)管理軟件大多支持自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞墓δ?，但是自?dòng)發(fā)現(xiàn)后的網(wǎng)絡(luò)拓?fù)渫呛芏嘣O(shè)備圖標(biāo)的簡單排放，不能突出重點(diǎn)設(shè)備和網(wǎng)絡(luò)層次，使網(wǎng)絡(luò)管理人員感覺無從下手。針對(duì)這種情況，H3ciMC的拓?fù)涔δ苤С朱`活的自定義功能，管理人員可以根據(jù)網(wǎng)絡(luò)的實(shí)際組網(wǎng)情況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù)?，可?duì)拓?fù)鋱D進(jìn)行增、刪、改等編輯操作，使網(wǎng)絡(luò)拓?fù)淠軌蚯逦爻尸F(xiàn)整個(gè)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)以及IT資源分布。H3CiMC支持靈活定制拓?fù)鋱D，使網(wǎng)絡(luò)拓?fù)涓兄攸c(diǎn)和層次感。管理員可以按照關(guān)注設(shè)備不同，管理角度不同定義多種拓?fù)?，并可以針?duì)拓?fù)洳煌x擇不同的背景圖；管理員可以根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同，鏈路速率不同采用合適的圖標(biāo)顯示。自動(dòng)識(shí)別各種網(wǎng)絡(luò)設(shè)備和主機(jī)的類型H3CiMC可以自動(dòng)識(shí)別H3c華為、Cisco、3com等廠商的設(shè)備、WindowsSolaris的PC和工作站、其他SNM段備和ping設(shè)備，并且以樹形方式組織，以不同的圖標(biāo)顯示區(qū)分。在拓?fù)鋱D上更可進(jìn)一步對(duì)設(shè)備的類型進(jìn)行區(qū)分，如區(qū)分路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、UPS服務(wù)器、PC等等。設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示H3CiMC的拓?fù)涔δ芘c故障管理和性能管理緊密融合，使拓?fù)鋱D能夠清晰地看到企業(yè)IT資源的狀態(tài)，包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級(jí)別故障，根據(jù)節(jié)點(diǎn)圖標(biāo)顏色反映設(shè)備狀態(tài)。拓?fù)淠芴峁┰O(shè)備管理便捷入口H3CiMC拓?fù)淠軌蛱峁?duì)設(shè)備管理的便捷入口，管理員只需通過右鍵點(diǎn)擊拓?fù)鋱D中的設(shè)備圖標(biāo)即可啟動(dòng)設(shè)備管理各項(xiàng)功能，實(shí)現(xiàn)對(duì)設(shè)備的面板管理等各項(xiàng)功能配置。故障（告警 /事件）管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺(tái)及其他業(yè)務(wù)組件統(tǒng)一的告警中心。如下圖所示，以故障管理流程為引導(dǎo)，介紹H3ciMC強(qiáng)大的故障管理能力：告警發(fā)現(xiàn)和上報(bào)iMC告警中心可以接收各種告警源的告警事件，包括設(shè)備告警、本級(jí)網(wǎng)管站及下級(jí)網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配置監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端安全異常告警等；同時(shí)通過支持對(duì)設(shè)備定時(shí)輪詢，實(shí)現(xiàn)通斷告警、響應(yīng)時(shí)間告警等，以告警事件的方式上報(bào)給H3CiMC告警中心；設(shè)備告警包括電源電壓、設(shè)備溫度、風(fēng)扇等告警事件，設(shè)備冷啟動(dòng)、熱啟動(dòng)、接口linkdown等重要告警事件，路由信息事件（OSPFBGP變化，熱備份路由（HSRP狀態(tài)變化等告警事件，支持對(duì)H3cCISCO華為、3CO琳多廠商設(shè)備告警的識(shí)別和解析；網(wǎng)管站告警指包括本級(jí)iMC系統(tǒng)集群服務(wù)器的異常告警，包括CPLM用率、內(nèi)存使用率、iMC服務(wù)程序運(yùn)行狀態(tài)等以及下級(jí)iMC系統(tǒng)上報(bào)的告警事件；網(wǎng)絡(luò)性能監(jiān)視包括CPURJ用率，內(nèi)存使用率，以及RMOlt警的故障管理。網(wǎng)絡(luò)