上海師范大學校園網(wǎng)技術建議書

PAGEPAGE4上海師范大學校園網(wǎng)技術建議書華為技術有限公司2008年11月

目錄第一章總論 1第一節(jié)項目提要 1第二節(jié)可研依據(jù)與范圍 2第三節(jié)主要技術經(jīng)濟指標 4第二章項目背景和建設必要性 6第一節(jié)項目背景 6第二節(jié)項目建設必要性 8第三章項目建設可行性 10第一節(jié)國內(nèi)外紅豆杉市場條件分析 10第二節(jié)項目建設技術條件分析 13第三節(jié)項目實施基礎條件分析 15第四節(jié)項目建設政策條件分析 16第五節(jié)項目實施龍頭企業(yè)情況分析 20第四章建設方案 23第一節(jié)建設指導思想及原則 23建設地址和條件24建設內(nèi)容及規(guī)模 27第四節(jié)建設方案 28第五節(jié)建設進度安排 30第六節(jié)技術方案 31第七節(jié)工程方案 32第八節(jié)產(chǎn)品方案 33第九節(jié)招投標方案 34第五章環(huán)境保護 35第一節(jié)環(huán)境條件 35第二節(jié)環(huán)境影響 35第三節(jié)環(huán)境評價 35第六章投資估算及資金籌措 36第一節(jié)投資估算 36第二節(jié)資金籌措與使用計劃 38第七章經(jīng)濟評價 39第一節(jié)經(jīng)濟效益評價依據(jù)、原則和方法 39第二節(jié)財務估算 40第三節(jié)財務分析 41第四節(jié)效益分析 42第五節(jié)風險分析 43第八章結論及建議 46第一節(jié)結論 46第二節(jié)建議 46上海師范大學校園網(wǎng)技術建議書PAGEPAGE25上海師范大學校園網(wǎng)工程 機密文件

1．概述隨著國家信息化工作的深入開展，提高教育系統(tǒng)信息化水平成為當前工作的重點。而校園網(wǎng)建設則是教育系統(tǒng)信息化建設的關鍵，尤其是高校校園網(wǎng)建設。在信息化的建設過程中，它的作用體現(xiàn)在如下幾個方面：1、校園網(wǎng)能促進教師和學生盡快提高應用信息技術的水平；信息技術學科的內(nèi)容是發(fā)展的，它是一門應用型學科，因此，為了讓學生學到實用的知識，必須給他們提供一個實踐的環(huán)境，這個環(huán)境離不開校園網(wǎng)。2、校園網(wǎng)為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫，所以校園網(wǎng)是學校進行教學改革、推行素質(zhì)教育的一種必不可少的工具。3、校園網(wǎng)是學校現(xiàn)代化管理的基礎，深入、全面的學校信息管理系統(tǒng)必須建立在校園網(wǎng)上。4、校園網(wǎng)提供了學校與外界交流的窗口，學校應將校園網(wǎng)與互聯(lián)網(wǎng)聯(lián)接，這也是學校信息化的要求，做到了這一步，通過校園網(wǎng)去了解世界、在互聯(lián)網(wǎng)上樹立學校的形象都是很容易的。教育即未來，作為國家最重要的戰(zhàn)略工程，如何應用信息技術改造我們傳統(tǒng)的教學和管理手段；如何加深學生對于信息化和信息技術的理解與了解；如何造就同時具備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當前最為緊迫的任務之一。信息技術的應用，勢必極大地推進教育手段和教育內(nèi)容的革命性變革。我們對此深信不疑，并將全身心地為之努力。1.1上海師范大學校區(qū)校園網(wǎng)建網(wǎng)需求分析1.2.1一般建網(wǎng)需求上海師范大學校區(qū)的網(wǎng)絡屬于新建，在實際的建設過程當中，應當充分考慮到學校內(nèi)部的校園網(wǎng)多業(yè)務以及特色業(yè)務等擴展性，如：校園網(wǎng)內(nèi)部的服務器的訪問，由于學生的訪問的內(nèi)容多樣化決定，涉及到基礎網(wǎng)絡設施的建設和業(yè)務應用平臺建設兩個不同的層面。此處主要分析上海師范大學網(wǎng)絡基礎設施建設和網(wǎng)絡運營方面相關的內(nèi)容。上海師范大學校園網(wǎng)絡建設從網(wǎng)絡流量模型上看和企業(yè)網(wǎng)的流量模型相似，用戶集中而網(wǎng)絡流量大，但實際應用上還存在許多和企業(yè)網(wǎng)不同的地方。主要特點如下：多出口的需求：典型的組網(wǎng)有中國教育和科研網(wǎng)（CERNET）出口和運營商網(wǎng)絡出口。多出口帶來了以下兩個需求：多權限ISP需求。用戶可通過不同的賬號名或采用相同的賬號，不同的域名認證，獲得不同的上網(wǎng)權限。譬如做到用戶不認證前能自由訪問校園內(nèi)部分服務器，采用“user@163”登錄，可實現(xiàn)Internet和校園網(wǎng)絡自由訪問，采用“user@crenet”登錄，可訪問CERNET和校園網(wǎng)。用戶域名選擇可通過WEB認證時用戶通過選擇WEB認證上的相應選擇項進行選擇。多ISP分別計費的需求，對應不同的ISP，計費策略不一致?？紤]到用戶的以上的需求，需要在學校的內(nèi)部提供不同的路由策略，即用戶訪問教育網(wǎng)的相關站點，通過CERNET的線路，而訪問其他的網(wǎng)站如：新浪網(wǎng)、263等網(wǎng)站則選擇運營商的線路作為出口路由，這要求核心的交換機或出口路由器能夠提供策略路由以支持該特性。2、用戶管理的需求：使用方便，存在WEB認證需求。要求能做到基于WEB的身份認證、多ISP選擇、W用戶費率查詢、帶寬動態(tài)調(diào)整（隱性需求）、多WEB界面（隱性需求）等。需要解決賬號和端口綁定問題。通過此種方式限制賬號的使用區(qū)域。對用戶帶寬進行控制的需求，要求設備能對用戶的帶寬進行控制，譬如限制為64K、256K、512K、1M、2M、5M、10M等等級。3、多種教學方式并行的需求：隨著校園網(wǎng)的信息化的發(fā)展，越來越的多教學方式依托于網(wǎng)絡給學生提供多種的特色教學模式多媒體教學。為了更好的為學生提供全方面的教學資料，越來越的多學校在自己的內(nèi)部局域網(wǎng)上面為學生提供多種教學資料，如：多媒體教學課件、典型的考試資料等等提供給學生上網(wǎng)下載使用。VOD點播業(yè)務實現(xiàn)，通過建立VOD視頻服務器平臺，利用交換機提供的組播功能，為上海師范大學的用戶提供優(yōu)質(zhì)的視頻效果，同時節(jié)省用戶帶寬。4、安全管理的需求：校園用戶接受新鮮事務的能力非常強，因此校園也成為黑客最多的場所之一，如何保障校園網(wǎng)絡的安全成為建網(wǎng)時不得不考慮的問題，目前主要攻擊手段有DOS，DDOS等上網(wǎng)日志的需求，主要是配合公安機關保證社會的穩(wěn)定和校園的安全6、組播業(yè)務的需求，特別是可控組播的需求將隨著校園信息化的深入而體現(xiàn)出來。1.2.2上海師范大學校區(qū)建網(wǎng)需求上海師范大學有兩個校區(qū)共四個主節(jié)點和五個分節(jié)點。主節(jié)點為：徐匯信息辦機房、徐匯一教5樓機房、奉賢圖文8樓機房、奉賢老圖書館機房；分節(jié)點為：徐匯計算中心、徐匯東校區(qū)、徐匯圖書館、徐匯行政樓、奉賢圖書館。上海師范大學有三個Internet網(wǎng)絡出口，分別為徐匯校區(qū)的1000M教科網(wǎng)出口（目前日常使用帶寬為單向800M、雙向1.5G以上）、1000M上海中小學校校通教育網(wǎng)出口和奉賢校區(qū)的20M電信出口（所有鏈路均為千兆光纖接口）。具體需求：現(xiàn)有網(wǎng)絡的容量，可靠性－－建設后網(wǎng)絡5－10年的容量，可靠性新的網(wǎng)絡平臺擴充后必然會引入安全問題，如何實現(xiàn)安全的控制及監(jiān)控。新的網(wǎng)絡平臺對于業(yè)務主流技術的應用（包括VPN,IPV6,QOS等）對于用戶的管理和計費，以及安全是否做充分的考慮其他業(yè)務系統(tǒng)的信息化互聯(lián)，包括一卡通，數(shù)據(jù)中心等…1.2核心、匯聚建網(wǎng)原則早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機資源，共享簡單數(shù)據(jù)庫，多以二層交換為主，很少有三層應用，存在安全、可管理性較差、無業(yè)務增值能力等方面的問題。現(xiàn)在上海師范大學校園網(wǎng)建設要實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應用三層交換，提供全面的QoS保障服務，使網(wǎng)絡安全可靠，從而實現(xiàn)教育管理、多媒體教學、圖書館管理自動化，而且還要通過Internet實現(xiàn)遠程教學，提供可增值可管理的業(yè)務，必須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴展性?；趯ι虾煼洞髮W校園網(wǎng)業(yè)務需求的深入理解，結合自身產(chǎn)品和技術特點，華為公司推出了了完善的上海師范大學校園網(wǎng)解決方案，為上海師范大學提供“可管理、可增值、可持續(xù)發(fā)展”的精品網(wǎng)絡。上海師范大學網(wǎng)絡建設遵循以下基本原則：高帶寬上海師范大學網(wǎng)絡是一個龐大而且復雜的網(wǎng)絡，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設計的無瓶頸性，要求方案設計的階段就要充分考慮到，同時要求核心交換機具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換?？稍鲋敌陨虾煼洞髮W校園網(wǎng)絡的建設、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡的增值性是網(wǎng)絡持續(xù)發(fā)展基礎。所以在建設時要充分考慮業(yè)務的擴展能力，能針對不同的用戶需求提供豐富的寬帶增值業(yè)務，使網(wǎng)絡具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U充性考慮到上海師范大學用戶數(shù)量和業(yè)務種類發(fā)展的不確定性，要求對于核心交換機與匯聚交換機具有強大的擴展功能，上海師范大學校園網(wǎng)絡要建設成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡平臺，能夠隨著需求變化，充分留有擴充余地。開放性技術選擇必須符合相關國際標準及國內(nèi)標準，避免個別廠家的私有標準或內(nèi)部協(xié)議，確保網(wǎng)絡的開放性和互連互通，滿足信息準確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網(wǎng)絡統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡設備的統(tǒng)一管理。安全可靠性設計應充分考慮整個網(wǎng)絡的穩(wěn)定性，支持網(wǎng)絡節(jié)點的備份和線路保護，提供網(wǎng)絡安全防范措施。

2．總體網(wǎng)絡設計2.1組網(wǎng)描述上海師范大學校園核心層解決方案總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術的先進性、成熟性，并采用模塊化的設計方法。組網(wǎng)圖如下所示：徐匯信息辦機房徐匯信息辦機房奉賢圖文8樓機房中國教科網(wǎng)校校通網(wǎng)絡中國電信教科網(wǎng)、校校通出口路由器電信出口路由器NE40NE40流控日志服務器防火墻防火墻服務器群服務器群S9312S9303徐匯一教5樓機房奉賢老圖書館機房徐匯計算中心徐匯東校區(qū)徐匯圖書館奉賢圖書館徐匯行政樓S9303S9303S9303S9303S9303S9312S9312S9312 解決方案網(wǎng)絡分為三個層次，核心層、樓層匯聚層、接入層。為實現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層采用4臺華為公司核心路由交換機QuidwayS9312，采用10G接口互聯(lián)，組成環(huán)網(wǎng)，構建了校園網(wǎng)絡中心。設計說明：核心采用4臺S9312核心交換機，主要是從核心的大容量轉(zhuǎn)發(fā)、高可靠性角度考慮。4臺S9312負載分擔連接多臺服務器、所有匯聚交換機和出口路由器，部署業(yè)界先進的檢測技術及保護技術，如BFDFORVRRP,smartlink，RRPP，確保網(wǎng)絡s級的快速切換，保證業(yè)務不中斷，最大實現(xiàn)網(wǎng)絡的可靠性。匯聚層采用全千兆S9303匯聚層交換機，保證帶寬，避免在匯聚層形成瓶頸。S9303交換機提供的三層功能可以有效屏蔽網(wǎng)絡攻擊，保證網(wǎng)絡安全。在服務器分布區(qū)，核心設備旁掛一臺交換機，作為各種服務器端口匯聚，新增一臺防火墻作為安全防范。上海師范大學校區(qū)校園網(wǎng)核心層、匯聚層、接入層建設是要求從上海師范大學實際的應用出發(fā)，考慮到學生用戶數(shù)量大、上網(wǎng)時間集中、突發(fā)流量較大等因素，華為在實際的建網(wǎng)的過程當中遵循了以下幾點要求：核心層交換機：在建設的過程當中，應當充分考慮到核心交換機的交換性能，以及轉(zhuǎn)發(fā)性能，華為S9312萬兆核心交換機具12個業(yè)務插槽，最大可以支持4.8T的背板容量和2T的交換能力，設備包交換能力可以達到864Mpps，MAC地址表最大達到512K。可以為用戶提供強大的三層交換功能，目前對于萬兆接口、IPv6等新技術均支持。匯聚層交換機：匯聚層在整網(wǎng)當中是接入層與核心層的橋梁，因此在網(wǎng)絡的建設過程當中應當避免匯聚層的瓶頸問題，并應當留有足夠的業(yè)務擴展能力。我們在上海師范大學的網(wǎng)絡設計當中采用S9303交換機作為匯聚層交換機，S9303交換機支持QinQ、靈活QinQ、VLAN交換等VLAN特性。支持BPDUTunnel、GRE、VLL、MPLSL3VPN、VPLS等隧道功能，支持RRPP、STP、RSTP、MSTP等環(huán)網(wǎng)技術。支持靜態(tài)路由，RIPv1/v2,OSPFv2，ISIS，BGPv4等豐富的路由特性。支持IGMPSnooping、IGMPProxy、靜態(tài)組播、PIMSM、PIMDM、MSDP等組播功能.出口路由器：考慮到上海師范大學的公網(wǎng)出口有兩個，用戶可以自由的選擇不同的線路作為自己的出口線路；因此要求出口路由器具有強大的策略路由的功能，以及基于硬件的ACL列表功能，華為NE40高端路由器，具有強大的路由功能以及業(yè)務功能；NE40基于分布式的硬件轉(zhuǎn)發(fā)和無阻塞交換技術，具備電信級可靠性、線速轉(zhuǎn)發(fā)性能、完善的QoS機制、豐富的業(yè)務處理能力、優(yōu)異的擴展能力。NE40具備核心路由器所需的強大IP業(yè)務處理能力，同時融合了三層以太交換能力，具有豐富的IP邊緣業(yè)務特性，包括以太網(wǎng)交換處理、PE、隧道和流隊列等，支持以太網(wǎng)時鐘。憑借NE40全面的業(yè)務支持能力，可實現(xiàn)IP運營級業(yè)務的可靠承載，IPv4向IPv6的平滑過渡。NE40有機地結合了軟件的靈活性和硬件的高性能，即提供線速轉(zhuǎn)發(fā)性能，又具備快速良好的業(yè)務升級和擴展能力。2.2業(yè)務訪問說明不同用戶訪問公網(wǎng)：用戶可以根據(jù)自己的需求，選擇不同的運營商來進行公網(wǎng)的訪問，出口路由器根據(jù)用戶的訪問策略進行策略路由，如圖所示：不同的ISP用戶在經(jīng)過NE40的時候，NE40會根據(jù)用戶所在的ISP服務商來做策略路由，將用戶送到自己選擇的出口線路上。校內(nèi)三層互訪：對于同在一個校園內(nèi)部的學生之間的互訪可以直接通過局域網(wǎng)的內(nèi)部交換機來完成內(nèi)部之間的互訪，對于同屬于一個匯聚層交換機S9303下的用戶，兩個用戶之間的互訪可以直接在匯聚層交換機S9303上來完成，而對于跨匯聚層交換機的用戶只見的額互訪可以通過核心交換機S9312來完成，S9312強大的三層交換功能完全可以勝任任何突發(fā)流量以及高集中用戶上網(wǎng)時段的三層交換，為用戶提供高速高帶寬的用戶接入?；诹鞴舻姆乐?。華為公司所采用產(chǎn)品NE40、S9312、S9303等三層轉(zhuǎn)發(fā)模式均為最長路由匹配技術。這樣就可以避免校園網(wǎng)內(nèi)外的非法用戶利用專門的攻擊軟件進行的一些基于流的共計，因為這種攻擊是通過不斷變換自己的本網(wǎng)斷內(nèi)的IP地址，來不斷消耗主控處理板的CPU處理能力，直到徹底使主控處理板的CPU喪失處理能力，整個機器癱掉。S9312是根據(jù)最長匹配來查找路由的，是針對網(wǎng)斷進行路由的。所以當攻擊者進行攻擊時，不會造成S9312業(yè)務能力處理下降，對于整機沒有影響影響。VPN業(yè)務規(guī)劃目前針對學校的主要業(yè)務是寬帶業(yè)務、門禁業(yè)務等，VPN的規(guī)劃是在匯聚層節(jié)點以上部署PE功能，核心節(jié)點作為P設備，可以采用二層或者三層VPN，按照每個業(yè)務采用一類VPN部署。學校內(nèi)不存在VPN用戶之間的訪問需求，主要需求都是針對后臺服務器以及出口的訪問，同時VPN也沒有跨域的需求（不存在學校和其他網(wǎng)絡之間的VPN業(yè)務訪問），總的來說VPN的LSP路徑從匯聚設備開始，在核心設備終結。對用戶側采用一類業(yè)務一類VLAN，對于寬帶業(yè)務部署QINQ（打外層標簽），在匯聚設備上通過ACL識別業(yè)務，把VLAN按照類通過子接口放入VRF中。3．上海師范大學詳細網(wǎng)絡設計3.1IP地址規(guī)劃和路由策略IP地址的合理規(guī)劃是校園網(wǎng)網(wǎng)絡設計中的重要一環(huán)，大型計算機網(wǎng)絡必須對ＩＰ地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡路由協(xié)議算法的效率，影響到網(wǎng)絡的性能，影響到網(wǎng)絡的擴展，影響到網(wǎng)絡的管理，也必將直接影響到網(wǎng)絡應用的進一步發(fā)展。IP地址分配原則考慮到學校的學生宿舍的固定性，為保證對于上網(wǎng)學生的可查詢性，且考慮到10.xxx.xxx.xxx私網(wǎng)地址不存在短缺等因素，建議上海師范大學的IP地址采用靜態(tài)IP地址接入的方式進行建設。要與網(wǎng)絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡地址的可管理性。具體分配時要遵循以下原則：唯一性：一個IP網(wǎng)絡中不能有兩個主機采用相同的IP地址；簡單性：地址分配應簡單易于管理，降低網(wǎng)絡擴展的復雜性，簡化路由表項連續(xù)性：連續(xù)地址在層次結構網(wǎng)絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性靈活性：地址分配應具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡地址三種。當校園網(wǎng)以私網(wǎng)地址分配或采用混合網(wǎng)絡地址接入時，要求校園網(wǎng)提供地址變換功能，過濾掉私網(wǎng)地址。上海師范大學校園網(wǎng)IP地址規(guī)劃方案1）IP地址的設計內(nèi)部地址的分配原則是按建筑物進行的，視用戶的數(shù)量，1/4、1/2、整個私網(wǎng)的劃分。對于相對固定不變的教學區(qū)采用靜態(tài)分配IP地址，為防止地址盜用，采用IP地址與端口、地址綁定，對于流動性大、用戶人數(shù)多、用戶增長快的學生區(qū)采用動態(tài)分配IP地址，采用ByPort的Vlan，小范圍地限制地址盜用問題。靜態(tài)IP地址對于用戶來說可以實現(xiàn)對應物理位置的查詢，對全網(wǎng)的IP地址與物理位置的對應有全面、可靠的管理。2）中心交換機支持靜態(tài)或動態(tài)的IP地址分配，并支持動態(tài)IP地址分配方式下DHCP-Relay功能，DHCPSERVER可安放在園區(qū)內(nèi)部。3）對于固定IP地址用戶，需要針對標識符（MAC地址）設定保留IP地址。3.2上海師范大學VLAN劃分通常采用包月方式，同時需要實現(xiàn)帳號和端口綁定的功能，故采用一個用戶一個VLAN，并限制一個VLAN下同時接入的用戶數(shù)量。2、對一層樓一個VLAN①本層樓的內(nèi)部互訪無須經(jīng)過三層交換機，優(yōu)化了組網(wǎng)。③這種劃分方式中，因為對用戶能實現(xiàn)動態(tài)的VLAN+MAC+IP綁定，可對用戶發(fā)動的偽造攻擊報文進行合法性檢查和過濾，具有一定的網(wǎng)絡安全性保障。3、不同VLAN間的互訪，必須經(jīng)過三層交換機進行轉(zhuǎn)發(fā)。4．核心網(wǎng)安全設計網(wǎng)絡安全是任何一個網(wǎng)絡建設時首先要考慮的重要問題，上海師范大學校園網(wǎng)的環(huán)境更加復雜，學生的技術水平都較高，好奇心比較強，校園網(wǎng)的網(wǎng)絡安全更加值得關注。TCP/IP網(wǎng)絡本身就存在很多安全漏洞，很容易被一些惡意用戶利用并實施攻擊，或非法占用網(wǎng)絡資源，侵犯其它用戶的合法利益，甚至導致整個網(wǎng)絡系統(tǒng)崩潰。任何一個網(wǎng)絡設備都必需首先具備足夠的自我保護和防范能力，華為的交換機和路由器等網(wǎng)絡設備在安全性方面有豐富實用的功能，大體可分為兩類，一類是自身防攻擊措施，另一類是用戶安全保證措施。4.1用戶嚴格隔離方法一：用Vlan隔離。在樓道以太網(wǎng)交換機上按端口劃分Vlan，每個用戶占用一個Vlan。方法二：利用PVlan技術。在樓道交換機上劃分PVlan，使用戶端口之間不能通信，用戶端口只能和Uplink口通信。方法三：使用以太網(wǎng)MUX設備。該類設備將接入層交換機的端口分為兩類：上行口Uplink和用戶端口。用戶端口之間不能通信，Uplink口可以和所有端口通信。4.2用戶唯一標識一般的邊緣路由器對于用戶上行報文，只根據(jù)目的IP地址進行轉(zhuǎn)發(fā)，不做源地址檢查，這是出現(xiàn)網(wǎng)絡和用戶安全性問題的根本原因所在。對于靜態(tài)IP地址分配方案，接入層交換機可在操作界面中實現(xiàn)用戶的VLANID+IP+MAC綁定關系的指定；對于動態(tài)IP地址分配方案，在IP地址動態(tài)分配后，接入層交換機可實現(xiàn)用戶的VLANID+IP+MAC的綁定。VLAN信息由設備構造，不可仿冒，可作為用戶上網(wǎng)的唯一標識。4.3防止對DHCP服務器的攻擊使用DHCPServer動態(tài)分配IP地址會存在兩個問題：一是DHCPServer假冒，用戶將自己的計算機設置成DHCPServer后會與局方的DHCPServer沖突；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。由于DHCP是通過二層廣播包起作用的，故在二層嚴格隔離用戶，可防止DHCPServer假冒。為解決DHCPSmurf，在以太網(wǎng)接入時，對用戶劃分Vlan，由匯聚層交換機控制一個Vlan下申請的最大IP地址數(shù)，當該Vlan的IP地址數(shù)目達到限制值后，拒絕新的DHCP申請。Vlan的劃分可根據(jù)學校的實際情況靈活掌握。4.4組網(wǎng)安全性設計網(wǎng)絡當中，線路的備份非常重要，上海師范大學的網(wǎng)絡的設計當中，我們建議在匯聚層與核心層之間的2GE捆綁的上行可以在采用擴大帶寬的同時實現(xiàn)線路上的備份，當其中一條線路出現(xiàn)故障，其余的一條線路可以實現(xiàn)線路的接替。這樣大大提高了網(wǎng)絡組網(wǎng)的可靠性，進而提高全網(wǎng)的可靠性。4.5出口運營商線路備份對于上海師范大學來說雖然存在不同的學生用戶選擇不同的ISP的服務商，但是在實際的應用當中可能會產(chǎn)生ISP服務商線路終端的問題，因此學?？梢栽诔隹诼酚善魃吓渲脗浞莶呗裕斠粋€ISP服務商的線路出現(xiàn)問題的情況下，可以選擇有限級較低的策略從其他的ISP出口上網(wǎng)實現(xiàn)ISP線路的備份。主備方式：徐匯A上行端口下一跳靜態(tài)路由配置為徐匯B，備份路由啟動其它上行端口，可以配合ACL（五元組），正常流量統(tǒng)一從徐匯B出口，異常時通過徐匯A出口策略可以在核心設備上部署，訪問電信從奉賢出口，其他選擇徐匯出口負載分擔：徐匯A和徐匯B出口都配置等價路由，采用負載分擔方式承載，某條鏈路故障時，則流量全部轉(zhuǎn)移到正常的鏈路上承載。策略可以在核心設備上部署，訪問電信從奉賢出口，其他選擇徐匯出口

5．組網(wǎng)核心設備介紹5.1Quidway?S9300系列核心路由交換機產(chǎn)品概述Quidway?S9300系列路由交換機（以下簡稱S9300）是基于新一代的硬件平臺和華為公司統(tǒng)一的VRP?（VersatileRoutingPlatform）平臺而推出的下一代以太網(wǎng)匯聚交換機，提供超大容量、高密度、模塊化體系架構，提供二、三層線速轉(zhuǎn)發(fā)能力，具有強大組播功能，VLAN交換功能，完善的QoS保障、有效的安全管理機制和電信級高可靠設計，滿足城域以太網(wǎng)和企業(yè)園區(qū)網(wǎng)對Multi-Play業(yè)務承載的組網(wǎng)需求，為運營商和企業(yè)網(wǎng)提供強大的網(wǎng)絡交換能力，支持IP專線、VPN、IPTV、IPv6等多種服務。為了降低運營成本，滿足節(jié)能減排需求，S9300作為新一代的交換機采用了多種綠色節(jié)能的創(chuàng)新技術，大幅降低設備能耗、減小噪聲污染。產(chǎn)品外觀S9303S9306S9312S9300系列包括S9303、S9306、S9312三款產(chǎn)品形態(tài)，均采用前維護設計。三款產(chǎn)品除了外形尺寸、線卡數(shù)目、交換容量等指標不同外，其他特性均保持一致。產(chǎn)品特點先進的多平面系統(tǒng)架構S9300采用分布式的轉(zhuǎn)發(fā)控制架構，整個系統(tǒng)被分為五個邏輯平面，包括電源、時鐘、設備管理、轉(zhuǎn)發(fā)控制四個控制平面和一個數(shù)據(jù)轉(zhuǎn)發(fā)平面，五個平面分別使用不同的背板總線，相互獨立，協(xié)同工作。綠色節(jié)能環(huán)保S9300系列交換機基于綠色環(huán)保理念設計，左后風道散熱方式提高機框的走線效率、智能風扇分區(qū)調(diào)速以及端口自動休眠功能降低整機平均功耗、小顆粒模塊化電源設計減少運營商初期投資、歸一化的模塊化設計節(jié)省維護成本；電信級高可靠性設計S9300系列交換機所有核心部件均采用冗余設計，主控模塊SRU/MCU支持1+1的工作模式，集中監(jiān)控模塊CMU支持1:1的備份工作模式，4個電源模塊支持2+2的負荷分擔工作模式，風扇模塊使用雙層備份方案，支持單風扇失效（單風扇出現(xiàn)故障情況下，系統(tǒng)仍可保持正常運行）。除此之外，Quidway?S9300系列軟件系統(tǒng)基于華為公司VRP平臺的模塊化設計，確保了主機系統(tǒng)軟件的可靠性，并且支持端口捆綁、SmartLink、RRPP、OAM、BFD、FRR等鏈路保護倒換協(xié)議，提高整個網(wǎng)絡的可靠性。超大容量交換平臺作為新一代的路由交換平臺，Quidway?S9300系列交換機最大可以支持4.8T的背板容量和2T的交換能力，設備包交換能力可以達到864Mpps，MAC地址表最大達到512K。彈性可擴展的硬件結構S9300系列交換機交換容量可以擴展到3.84T，槽位帶寬可以擴展到480Gbps，單框接口密度可以擴展到288個10GE，MAC地址數(shù)可以擴展到1M。層次化QoSS9300系列交換機支持雙速三色和單速雙色標記器，層次化的流量監(jiān)管，提供基于用戶組的流量監(jiān)控以及組內(nèi)用戶間的帶寬統(tǒng)計復用，從而提供更精細的帶寬管理。支持SR、WRR、SP+WRR、DWRR等調(diào)度算法，解決TriplePlay和VPN模式下不同業(yè)務的服務質(zhì)量問題。支持基于端口、COS和VLAN進行流量整形功能，有效提高IPTV視頻的質(zhì)量。豐富的二三層業(yè)務特性S9300系列交換機支持QinQ、靈活QinQ、VLAN交換等VLAN特性。支持BPDUTunnel、GRE、VLL、MPLSL3VPN、VPLS等隧道功能，使得運營商有提供管道服務的能力。支持RRPP、STP、RSTP、MSTP等環(huán)網(wǎng)技術。支持靜態(tài)路由，RIPv1/v2,OSPFv2，ISIS，BGPv4等豐富的路由特性。支持IGMPSnooping、IGMPProxy、靜態(tài)組播、PIMSM、PIMDM、MSDP等組播功能，為IPTV業(yè)務的開展提供技術支持。精細化的主機安全控制S9300系列交換機不僅提供ACL過濾、DHCPSnooping、MAC地址限制、MAC地址綁定等業(yè)務安全以及命令行分級保護、SSH、SNMPv3等設備訪問安全控制，還通過硬件層次化的CPU過載控制，抵御各種網(wǎng)絡攻擊，保障關鍵業(yè)務得到及時處理，從而有效的防止類似于泛洪/DDOS等攻擊影響路由協(xié)議、DHCP等重要業(yè)務。NQA——網(wǎng)絡質(zhì)量分析S9300系列交換機支持NQA（NetworkQualityAnalyses）網(wǎng)絡質(zhì)量分析，通過主動在多個設備之間發(fā)送指定設置數(shù)量的NQA協(xié)議報文來實現(xiàn)網(wǎng)絡性能的度量，統(tǒng)計抖動，時延，丟包率等網(wǎng)絡性能參數(shù)，診斷NQA協(xié)議報文包括ICMPping/traceroute，LSPping/traceroute，基于VCCV的ping，MACping/traceroute，組播ping/traceroute等。IPv6ReadyS9300系列交換機支持軟硬件的IPv6，支持RIPng，OSPFv3，ISISv6，BGP4+，MLD，MLDSnooping，PIMv6，IPv6multicastVLAN，ICMPv6等單組播IPv6路由協(xié)議，S9300還支持6to4隧道和IPv6ACL。產(chǎn)品規(guī)格項目S9303S9306S9312背板容量1.2Tbps2.4Tbps4.8Tbps交換容量384Gbps2Tbps2Tbps業(yè)務槽位3612包轉(zhuǎn)發(fā)能力216Mpps432Mpps864Mpps端口容量144Gbps288Gbps576GbpsVLAN支持Access、Trunk、Hybrid和QinQ接入方式支持defaultVLAN支持VLAN交換支持靈活QinQMAC地址功能支持MAC地址自動學習和老化支持靜態(tài)、動態(tài)、黑洞MAC表項支持源MAC地址過濾支持基于端口和VLAN的MAC地址學習限制STP支持STP，RSTP和MSTP支持BPDU保護、Root保護、環(huán)路保護支持BDPUTunnelIP路由支持RIP、OSPF、ISIS、BGP等IPv4動態(tài)路由協(xié)議支持RIPng、OSPFv3、ISISv6、BGPv4等IPv6動態(tài)路由協(xié)議組播支持IGMPSnooping功能支持用戶快速離開機制支持組播流量控制支持組播查詢器支持組播協(xié)議報文抑制功能支持組播ACL支持IGMPsnoopinginVPLSMPLS支持MPLS基本功能支持MPLSOAM支持MPLSTE支持MPLSVPN/VLL/VPLSQoS支持基于Layer2協(xié)議頭、Layer3協(xié)議、Layer4協(xié)議、802.1p優(yōu)先級等的組合流分類支持ACL、CAR、Remark、Schedule等動作支持PQ、PQ+WRR等隊列調(diào)度方式支持WRED、尾丟棄等擁塞避免機制支持流量整形支持H-QoS配置與維護支持Console、AUX、Telnet、SSH等終端服務支持SNMPv1/v2/v3等網(wǎng)絡管理協(xié)議支持通過FTP、TFTP方式上載、下載文件支持BootROM升級和遠程在線升級支持熱補丁支持用戶操作日志安全和管理命令行分級保護，未授權用戶無法侵入支持RADIUS和HWTACACS用戶登錄認證支持防范DoS攻擊、TCP的SYNFlood攻擊、UDPFlood攻擊、廣播風暴攻擊、大流量攻擊支持CPU通道的保護支持ICMP實現(xiàn)ping和traceroute功能支持RMON機箱尺寸mm（寬×深×高）442×476×175442×476×441.7442×476×663.95機箱重量（空配）<15Kg<30Kg<45Kg工作電壓DC：–38.4V～–72VAC：90V～264V最大支持功耗350W800W1600W環(huán)境參數(shù)工作溫度：長期0℃～45℃；短期-5相對適度：5％RH～85％RH，不結露氣壓：70~106kPa5.2Quidway?NetEngine40全業(yè)務路由器產(chǎn)品概述Quidway?NetEngine40系列通用交換路由器（以下簡稱NE40），采用分布式網(wǎng)絡處理器技術和無阻塞交換技術，具備優(yōu)異的擴展能力，全面支持IPv6，具備高速接口的線速轉(zhuǎn)發(fā)能力、完善的QoS（QualityofService）機制和運營級的可靠性。NE40融合核心路由器強大的IP業(yè)務處理能力和二層以太交換能力，可提供更豐富的業(yè)務、更靈活的組網(wǎng)和更理想的性價比，面向承載網(wǎng)邊緣、IP骨干網(wǎng)邊緣和城域網(wǎng)核心、城域網(wǎng)匯聚、骨干網(wǎng)匯聚以及各種行業(yè)、企業(yè)的核心網(wǎng)絡。產(chǎn)品外觀NE40-8NE40-4NE40-2NE40-8提供2個路由交換板槽位和8個業(yè)務槽位，交換容量為128Gbps，整機包轉(zhuǎn)發(fā)性能為48Mpps。NE40-4提供2個路由交換板槽位和4個業(yè)務槽位，交換容量為128Gbps，整機包轉(zhuǎn)發(fā)性能為24Mpps。NE40-2提供1個路由交換板槽位和2個業(yè)務槽位，交換容量為16Gbps，整機包轉(zhuǎn)發(fā)性能為12Mpps。

產(chǎn)品特點分布式第五代路由器NE40作為第五代路由器采用了業(yè)界高性能網(wǎng)絡處理器技術，充分繼承了第四代全分布式硬件處理的架構，有機地結合了軟件的靈活性和硬件的高性能，既提供線速轉(zhuǎn)發(fā)性能，又具備快速良好的業(yè)務升級和擴展能力，最大限度地保證用戶投資。NE40良好的可擴展性加速了IP網(wǎng)絡向?qū)拵Щ?、安全化、業(yè)務化、智能化方向發(fā)展。全面的業(yè)務能力和高品質(zhì)性能NE40基于分布式硬件處理，具備高性能的網(wǎng)絡業(yè)務能力，勝任高性能MPLSVPNP/PE應用，提供高品質(zhì)、安全和全面的MPLSL3VPN、MPLSTE、IPVPN、組播等業(yè)務方案。NE40提供豐富的二層VPN業(yè)務特性，如L2VPN/PWE3、1483B透傳業(yè)務，VPLS(VirtualPrivateLANService)、VLL(VirtualLeasedLine)和VLAN的相關特性。NE40提供高品質(zhì)QoS，實現(xiàn)先進的隊列調(diào)度算法、擁塞控制算法，精確保證不同業(yè)務的帶寬、時延和抖動，滿足不同用戶、不同業(yè)務等級的服務質(zhì)量要求，保證VoIP（VoiceoverIP）等電信級業(yè)務的開展，適應多業(yè)務承載IP網(wǎng)的發(fā)展要求。NE40既具有高端路由器強大的路由處理能力，又兼具豐富的二層交換特性，在充分滿足業(yè)務應用的同時大幅節(jié)省建網(wǎng)成本，體現(xiàn)出極高的性價比。同時支持強大的NAT/NATPT能力，提供單播反向路徑檢查uRPF（UnicastReversePathForwarding）、策略路由、端口鏡像、系統(tǒng)漏桶（CP-CAR）、流量統(tǒng)計NetStream等周密的安全措施協(xié)助用戶提高競爭能力，是性價比極好的高端路由器。強大的路由能力NE40支持IP/MPLS分布式轉(zhuǎn)發(fā)，路由能力強大，提供RIP、OSPF、IS-IS、BGP4和組播等豐富的路由協(xié)議功能，具備快速收斂功能，在復雜路由環(huán)境下穩(wěn)定自如。NE40全面支持IPv4/IPv6雙協(xié)議棧，支持通用的IPv4路由協(xié)議、IPv6路由協(xié)議、組播路由協(xié)議和靜態(tài)路由。NE40支持IPv4向IPv6過渡的多種技術，如手工配置隧道、自動配置隧道、6to4隧道、基于硬件的NAT-PT和6PE。電信級可靠性NE40各關鍵部件冗余熱備份，所有組件支持熱插拔；采用無源背板設計；實現(xiàn)基于狀態(tài)的熱切換和不間斷的路由轉(zhuǎn)發(fā)；提供熱補丁技術，實現(xiàn)軟件完全平滑升級；提供IP/MPLS/VPN快速重路由、虛擬路由冗余協(xié)議（VRRP）、RPR自愈環(huán)網(wǎng)(IPS)、IPTRUNK鏈路分擔備份、BFD鏈路快速檢測、路由協(xié)議/端口/VLANDamping等保護機制，有效保證了全網(wǎng)運行的高速可靠，可以實現(xiàn)99.999%的系統(tǒng)可用性。產(chǎn)品規(guī)格項目NE40-8NE40-4NE40-2交換容量128Gbps，無阻塞交換128Gbps，無阻塞交換16Gbps，無阻塞交換轉(zhuǎn)發(fā)性能48Mpps24Mpps12Mpps接口板槽位數(shù)842接口類型OC-48c/STM-16cPOSOC-12c/STM-4cPOSOC-3/STM-1POSOC-3/STM-1cPOS通道化到E1/T1OC-3/STM-1cPOS通道化至DS0OC-12c/STM-4cATMOC-48c/STM-16cRPRGEFEE3/T3E1/cE1靈活業(yè)務插卡OC-3/STM-1ATM專用業(yè)務板NAT/NATPT/Netstream/隧道路由協(xié)議支持RIP、OSPF、IS-IS、BGP-4等路由協(xié)議，所有端口在路由振蕩等復雜路由環(huán)境下仍然能夠保持線速轉(zhuǎn)發(fā)。IPv6全面支持IPv4和IPv6雙協(xié)議棧；支持豐富的IPv4向IPv6的過渡技術：手工配置隧道、自動配置隧道、6to4隧道、硬件實現(xiàn)NAT-PT等；支持IPv6靜態(tài)路由，支持BGP4+、RIPng、OSPFv3、ISISv6等動態(tài)路由協(xié)議；支持ICMPv6MIB、UDP6MIB、TCP6MIB、IPv6MIB等。二層交換特性作為通用核心路由器，支持二層交換和三層轉(zhuǎn)發(fā)功能，提供豐富交換機特性，包括IEEE802.1ad、IEEE802.1d、IEEE802.3、IEEE802.3u、IEEE802.3x、IEEE802.3z、IEEE802.1Q、IEEE802.1p、IEEE802.1D/802.1w、MSTP、支持VLAN聚合（SupperVLAN）、VLANTRUNK、支持基于MAC地址和端口的過濾列表。MPLSVPN可作為P和PE。支持MPLSL3VPN，符合RFC4364協(xié)議；支持三種跨域?qū)崿F(xiàn)方式；支持與Internet業(yè)務集成，提供基于VPN的多實例NAT；支持HoPE；支持多角色主機等。支持MPLSTE、RSVPTE。IPVPN/L2VPN支持L2TP、GRE，支持Martini、Kompella方式MPLSL2VPN和LDP、BGP方式的VPLS，支持ATM信元透傳。NAT提供專用NAT業(yè)務處理板，實現(xiàn)雙向千兆線速地址轉(zhuǎn)換能力；每板支持100萬并發(fā)連接；每秒處理20萬新建連接；每秒刷新50萬NAT表項；支持IPv6/IPv4的NAT-PT功能；提供完善的安全日志。QoS提供完善的QoS機制。每線路板可提供2k個隊列，支持CBQ、LLS/NLS、PBS等先進調(diào)度技術，采用WRED和先進的SA-RED算法，支持8個等級的丟棄優(yōu)先級；提供精確的流量監(jiān)管和流量整形功能；提供定義復雜規(guī)則的功能，可以鑒別細粒度的流。可以提供基于DiffServ的完善QoS保證。組播支持IGMP協(xié)議，支持靜態(tài)組播配置，支持PIM-DM/SM、MSDP、MBGP組播路由協(xié)議；支持多個組播協(xié)議間的互操作性；支持組播策略處理，包括組播路由協(xié)議和組播轉(zhuǎn)發(fā)的策略處理，支持組播QoS、組播VPN；提供交換網(wǎng)和線路板兩級組播復制功能，達到最優(yōu)的組播效能?？煽啃蕴峁㊣P/MPLS/VPN快速重路由、虛擬路由冗余協(xié)議（VRRP）、RPR自愈環(huán)網(wǎng)(IPS)、IPTRUNK鏈路分擔備份、BFD鏈路快速檢測、路由協(xié)議/端口/VLANDamping等保護機制。提供軟件熱補丁技術，實現(xiàn)設備軟件完全平滑升級；采用無源背板設計；路由處理模塊、交換網(wǎng)、電源風扇等關鍵部件冗余備份，整機沒有單點故障，支持基于狀態(tài)的熱備份切換，實現(xiàn)不間斷路由轉(zhuǎn)發(fā)，所有組件可熱拔插。體系結構一體化機箱結構，支持19英寸標準機架輸入電源DC：-42～-60VAC：100V～240V滿負荷功耗小于1000W小于600W小于300W外形尺寸(mm)(寬X深X高)482.6（mm）×420（mm）×797.3（mm）482.6（mm）×420（mm）×352.8（mm）482.6（mm）×420（mm）×219.5（mm）滿配置最大重量小于85kg小于50kg小于35kg環(huán)境要求長期工作溫度：5～40℃；短期工作溫度：-5～50℃溫度變化速率限制：30°C/小時運行濕度：5%～85%（無凝露）；短時間運行濕度：5%～90%海拔高度：5000m以內(nèi)不影響轉(zhuǎn)發(fā)性能5.3Quidway?MA5200F寬帶接入服務器產(chǎn)品概述Quidway?MA5200F系列寬帶接入服務器（以下簡稱MA5200F）采用集中式處理的盒式硬件體系，具備完善的接入、認證、授權和計費功能，完整的QoS機制、豐富的業(yè)務處理能力，能夠滿足中小規(guī)模IP網(wǎng)絡寬帶接入服務和用戶管理的需求。MA5200F主要是面向城域網(wǎng)匯聚層中小匯聚節(jié)點，用于IPDSLAM模塊局、小容量IPDSLAM端局的xDSL寬帶接入用戶的管理，也可用于以太網(wǎng)匯聚層，對以太網(wǎng)接入用戶進行管理，還可用于中小企業(yè)網(wǎng)和行業(yè)網(wǎng)絡，以及酒店、會議中心、展覽館等各種熱點地區(qū)寬帶用戶（包括專線用戶）的接入。MA5200F可以支持1K用戶的并發(fā)接入，5200F-2000是5200F的增強版，可以支持2K用戶的并發(fā)接入。產(chǎn)品外觀MA5200FMA5200F提供4個業(yè)務槽位，每槽位可配置1/2路GE或6路FE或4路POS155M；MA5200F支持1K并發(fā)用戶接入；MA5200F-2000支持2K并發(fā)用戶接入。

產(chǎn)品特點靈活的接入認證方式支持用戶通過以太網(wǎng)、xDSL、HFC、WLAN等各種方式進行接入。支持Web、PPPoE、802.1x、端口綁定、即插即用等多種認證接入方式；對應不同的用戶，可以靈活地選擇不同的認證方式。并可以在一個端口上同時支持PPPoE認證、WEB認證、快速認證和802.1x認證。支持多種認證策略，包括：本地認證和遠端認證，以及本地優(yōu)先認證和遠端優(yōu)先認證。有效的地址管理功能支持DHCPRelay和內(nèi)置DHCPServer，為配置DHCP的用戶動態(tài)分配地址，還可以為PPP撥號用戶作DHCP代理，從外部DHCP服務器申請地址，具有DHCPProxy功能?？梢詫Φ刂烦刂械牡刂焚Y源進行管理，能夠?qū)崿F(xiàn)從本地地址池和遠端DHCP服務器地址池中為用戶分配地址，并且支持通過AAA服務器為用戶分配地址。允許用戶通過動態(tài)獲取地址或者靜態(tài)配置地址的方式接入網(wǎng)絡。支持二次地址分配，用戶認證之前分配私網(wǎng)IP，在認證通過后，根據(jù)用戶所選擇的域重新分配地址，可以解決公網(wǎng)地址不足問題，提高公網(wǎng)地址的利用率。支持多種計費方案能夠準確地采集用戶的計費信息，包括時長和流量。同時還支持將計費信息抄送到指定的計費服務器。支持本地計費和遠端計費。對于本地計費和遠端計費都支持實時計費，保證計費信息的準確性。對于遠端計費，還支持提供計費保護機制，通過計費服務器的冗余備份、握手、重發(fā)等機制，保證鏈路故障時不丟失話單、不產(chǎn)生錯誤話單。在遠端計費服務器不能計費時，可以將話單保存在本地，計費服務器恢復正常后，可以通過TFTP協(xié)議，將計費信息上傳到計費服務器。支持不計費、后付費和預付費等多種計費策略。對于預付費業(yè)務，支持基于時長的預付費和基于流量的預付費業(yè)務。與AAA服務器配合還能實現(xiàn)基于時長和流量的綜合預付費業(yè)務，并支持費率切換功能和各種折扣功能，可以按照接入類型，采用不同的費率收費。強大的用戶管理功能支持用戶屬性授權和管理，包括用戶帶寬限制、NAT連接數(shù)限制、訪問權限控制、互訪權限控制、QoS屬性控制和策略路由授權；提供用戶登錄日志和用戶訪問日志。能夠指定邏輯端口接入用戶的類型，例如WLAN用戶，ADSL用戶等，并且能夠針對不同用戶實施不同的控制策略，并且能夠?qū)⒂脩艚尤腩愋托畔⑸蠄蠼o認證計費服務器?；谟脩羧旱脑L問控制功能，可以將用戶分為不同的UCL-Group，并在不同的UCL-Group上作用不同的ACL規(guī)則，由此實現(xiàn)用戶訪問控制的分群管理；基于用戶群的互訪控制功能，可以將用戶分為不同的互訪控制群InterGroup，InterGroup內(nèi)部用戶的互訪權限和InterGroup之間的互訪權限可配置，由此實現(xiàn)用戶互訪的分群管理。完善的安全機制通過身份認證、ACL、資源保護、用戶日志等手段，提供身份鑒別、防地址仿冒、攻擊防護、安全審計等完善的安全功能。專有的報文綁定檢查技術，可以在用戶通過認證后對用戶的每一個報文進行邏輯端口（接入端口+VLANID）+MAC地址+IP地址的綁定檢查，對于不匹配的報文進行丟棄處理。通過該功能，可以徹底的防止用戶的各種仿冒行為，為網(wǎng)絡安全提供保障。通過同個端口接入用戶數(shù)、地址分配請求、PPP撥號請求等控制、過濾各種非法報文，防止用戶對網(wǎng)絡的攻擊。豐富的業(yè)務功能提供CAR、QoS、VPDN、多ISP、門戶業(yè)務、組播、即插即用（PnP）、NAT等多種業(yè)務。強大的路由功能基于華為公司先進的第五代路由器體系架構設計，可以作為標準的路由器工作，支持靜態(tài)路由、RIP1/2、OSPF、BGP、PIM-SM、PIM-DM、IGMPV1/V2等路由協(xié)議，支持L2TP隧道協(xié)議。運營級的管理維護采用HGMP協(xié)議對用戶接入交換機進行集中管理，簡化以太網(wǎng)接入的管理維護。提供上網(wǎng)日志功能，通過在設備上記錄用戶上網(wǎng)情況，生成用戶MAC、VLANID、IP地址和訪問目的IP地址，時長，可以在本機上查看，也可通過TFTP方式發(fā)送到后臺，是基于運營級別的實現(xiàn)方式。提供操作日志功能，通過在設備上記錄所有操作情況，可以對設備操作進行完全跟蹤。提供完善的網(wǎng)管平臺，實現(xiàn)拓撲、配置、性能、故障、安全等運營級管理功能。產(chǎn)品規(guī)格項目MA5200F體系結構2U高盒式設備，可裝入19inch標準結構機柜；外形尺寸(mm)寬X深X高：482.6（19″）×381×88.9（2U）轉(zhuǎn)發(fā)能力全業(yè)務功能3Mpps（2GE雙向線速轉(zhuǎn)發(fā)）交換結構共享緩存交換網(wǎng)，10Gbps交換容量用戶/表項數(shù)MAC地址：4K路由表項：4KVLAN終結數(shù)量（整機）：8K并發(fā)用戶數(shù)量（整機）：MA5200F：1K用戶MA5200F-2000：2K用戶支持協(xié)議802.1x、PPPoE、DHCPServer/DHCPRelay/DHCPClient、RIP/RIPV2、OSPF、BGP、IGMP、RADIUS，SNMP等安全性具備身份鑒別、資源保護、防攻擊、防地址仿冒、安全日志和審計的功能IP+MAC+VLANID捆綁，每個VLANID接入用戶數(shù)限制CAR限制用戶可用帶寬，最小64Kbps～100Mbps，步長為1Kbps。網(wǎng)管采用iManager，支持SNMP協(xié)議，可獨立運行于UNIX（SUN，HP）、ORACLE/SYBASE環(huán)境中，亦可嵌入用戶已有商用網(wǎng)管平臺如OpenView等；支持HGMP；提供VPN管理、QOS策略管理等業(yè)務管理功能；提供多語言支持。環(huán)境要求工作溫度：-5℃～55℃；存儲溫度：-30℃工作濕度：10%～90%（無凝露）工作電壓：直流-36～-72V；交流90～264V，47～63Hz滿配置功耗：<60W平均無故障時間（MTBF）：130000H

6.教育行業(yè)用戶名單高教清華大學北京大學浙江大學復旦大學中國科技大學西安交通大學同濟大學南開大學成都電子科技大哈爾濱工業(yè)大學哈爾濱工程大學上海第二醫(yī)科大學北京師范大學華東師范大學中南工業(yè)大學天津大學河北大學南昌大學福州大學河南大學內(nèi)蒙古大學黑龍江大學海南大學安徽大學安徽工業(yè)大學洛陽工學院南陽理工大學哈爾濱理工大學西南科技大學廣東工業(yè)大學南昌航空航天大學佳木斯大學江西財經(jīng)大學天津財經(jīng)大學中南財經(jīng)政法大學南陽師范大學海南師范大學浙江師范大學云南師范大學江西師范大學哈爾濱師范大學上海師范大學新疆教育學院黑龍江教育學院東北林業(yè)大學河南