學(xué)校網(wǎng)絡(luò)設(shè)計(jì)方案

XX學(xué)院校園網(wǎng)絡(luò)設(shè)計(jì)方案XXX年XX月

目錄TOC\o"1-4"\h\z\u第1章 概述 3第2章 系統(tǒng)建設(shè)需求 3第3章 網(wǎng)絡(luò)平臺建設(shè)方案 43.1 網(wǎng)絡(luò)設(shè)計(jì)原則 43.2 網(wǎng)絡(luò)層次化設(shè)計(jì) 53.3 校園網(wǎng)絡(luò)總體構(gòu)造 63.3.1 核心層設(shè)計(jì) 73.3.2 數(shù)據(jù)中心設(shè)計(jì) 113.3.3 匯聚層設(shè)計(jì) 113.3.4 網(wǎng)絡(luò)出口設(shè)計(jì) 143.3.5 接入層設(shè)計(jì) 173.3.6 無線網(wǎng)絡(luò)設(shè)計(jì) 213.4 網(wǎng)絡(luò)安全性設(shè)計(jì) 253.4.1 重要安全區(qū)域隔離 253.4.2 出口帶寬監(jiān)管 263.4.3 網(wǎng)絡(luò)安全保護(hù) 273.5 網(wǎng)絡(luò)可靠性設(shè)計(jì) 293.5.1 物理設(shè)備和鏈路穩(wěn)定性 29 網(wǎng)絡(luò)構(gòu)造的可靠性 29 設(shè)備級冗余性設(shè)計(jì) 29 鏈路冗余配備 313.5.2 數(shù)據(jù)鏈路層穩(wěn)定性設(shè)計(jì) 31 網(wǎng)絡(luò)布署MSTP 31 生成樹邊沿端口 31 DLDP技術(shù)運(yùn)用 323.5.3 網(wǎng)絡(luò)層穩(wěn)定性設(shè)計(jì) 323.6 網(wǎng)絡(luò)管理設(shè)計(jì) 333.6.1 資源管理 333.6.2 拓?fù)涔芾?343.6.3 故障（告警/事件）管理 353.6.4 性能管理 383.6.5 圖形化設(shè)備管理 383.6.6 集中配備管理 393.7 顧客管理系統(tǒng) 403.8 方案總結(jié)及優(yōu)勢闡明 44

概述廣州XX職業(yè)技術(shù)學(xué)院（下列簡稱為XX學(xué)院）1999年3月經(jīng)教育部同意成立，是中國XX總局唯一一所獨(dú)立設(shè)立實(shí)施高等職業(yè)教育的全日制普通高等院校，是“國家示范性高等職業(yè)院校建設(shè)計(jì)劃”立項(xiàng)建設(shè)院校之一。根據(jù)國家示范性高等職業(yè)院校建設(shè)項(xiàng)目的規(guī)定，XX學(xué)院擬完善數(shù)字化校園網(wǎng)絡(luò)平臺，為數(shù)字化教學(xué)平臺提供一種良好的支撐平臺。方案參考了學(xué)院《數(shù)字化校園網(wǎng)絡(luò)平臺項(xiàng)目（第一期）建設(shè)實(shí)施方案》內(nèi)容。在方案中，我們將根據(jù)校園網(wǎng)絡(luò)平臺建設(shè)規(guī)定，提出一種校園網(wǎng)絡(luò)平臺的建設(shè)目的和框架，并針對各個(gè)部分建設(shè)進(jìn)行闡明。系統(tǒng)建設(shè)需求校園網(wǎng)絡(luò)平臺是校園數(shù)字化系統(tǒng)的運(yùn)行基礎(chǔ)，學(xué)院原有的網(wǎng)絡(luò)平臺無論是在網(wǎng)絡(luò)的穩(wěn)定性、業(yè)務(wù)適應(yīng)用性、性能、安全以及可擴(kuò)展性等方面已無法支撐學(xué)院系統(tǒng)的需求，更是無法達(dá)成國家示范性高等職院建設(shè)的規(guī)定，因此，學(xué)院的校園網(wǎng)絡(luò)平臺需要進(jìn)行全方面的升級，建設(shè)任務(wù)重要涉及下列五大方面：建設(shè)一種高可用的骨干網(wǎng)，這是網(wǎng)絡(luò)平臺建設(shè)最為重要及緊急任務(wù)之一，骨干網(wǎng)的穩(wěn)定性、性能和安全性將直接影響到校園網(wǎng)絡(luò)的運(yùn)行；建設(shè)一種數(shù)據(jù)中心網(wǎng)絡(luò)平臺，為數(shù)字化業(yè)務(wù)系統(tǒng)提供一種高可用的接入平臺；建設(shè)一種安全可控的網(wǎng)絡(luò)出口，增強(qiáng)網(wǎng)絡(luò)外界的安全防護(hù)以及校園網(wǎng)顧客的行為監(jiān)管能力，提高出口帶寬的使用效率；完善校園網(wǎng)顧客的接入和控制，通過布署顧客認(rèn)證、計(jì)費(fèi)等方法對全方面提高對接入顧客的控制，使顧客接入規(guī)范化。建設(shè)校園無線網(wǎng)絡(luò)平臺，提高網(wǎng)絡(luò)接入的覆蓋能力，校園顧客更易于使用學(xué)院資源。網(wǎng)絡(luò)平臺建設(shè)方案網(wǎng)絡(luò)設(shè)計(jì)原則廣州XX職業(yè)技術(shù)學(xué)院校園網(wǎng)建設(shè)要實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全方面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)教育管理、多媒體教學(xué)自動化，必須含有高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴(kuò)展性。學(xué)院網(wǎng)絡(luò)建設(shè)遵照下列基本原則：高帶寬學(xué)院網(wǎng)絡(luò)是一種龐大并且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計(jì)的無瓶頸性，規(guī)定方案設(shè)計(jì)的階段就要充足考慮到，同時(shí)規(guī)定核心交換機(jī)含有高性能、高帶寬的特，整網(wǎng)的核心交換規(guī)定能夠提供無瓶頸的數(shù)據(jù)交換。可增值性學(xué)院網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。因此在建設(shè)時(shí)要充足考慮業(yè)務(wù)的擴(kuò)展能力，能針對不同的顧客需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)含有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U(kuò)充性考慮到學(xué)院顧客數(shù)量和業(yè)務(wù)種類發(fā)展的不擬定性，規(guī)定對于核心交換機(jī)與匯聚交換機(jī)含有強(qiáng)大的擴(kuò)展功效，學(xué)院網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺，能夠隨著需求變化，充足留有擴(kuò)充余地。開放性技術(shù)選擇必須符合有關(guān)國際原則及國內(nèi)原則，避免個(gè)別廠家的私有原則或內(nèi)部合同，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息精確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護(hù)、測量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測、遙控的信息解決功效，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計(jì)應(yīng)充足考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防備方法。網(wǎng)絡(luò)層次化設(shè)計(jì)在校園園區(qū)網(wǎng)絡(luò)整體設(shè)計(jì)中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)構(gòu)造，并嚴(yán)格定義各層功效模型，不同層次關(guān)注不同的特性配備。根據(jù)廣州XX職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)分布狀況，校園網(wǎng)共分成核心層、匯聚層和接入層三層。1)核心層核心層是整個(gè)網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，規(guī)定含有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。XX學(xué)院主校區(qū)設(shè)立整個(gè)校園網(wǎng)的核心層，同時(shí)，在新機(jī)場實(shí)訓(xùn)基地設(shè)立分核心。對于XX學(xué)院主校園的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)構(gòu)造，推薦采用高可靠的多設(shè)備冗余的星型構(gòu)造。對于校園網(wǎng)核心層設(shè)備，應(yīng)當(dāng)在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了硬件IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為校園園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺，進(jìn)而協(xié)助顧客實(shí)現(xiàn)IT資源整合的需求。2)匯聚層匯聚來自配線間的流量和執(zhí)行方略，當(dāng)路由合同應(yīng)用于這一層時(shí)，含有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。現(xiàn)在，XX學(xué)院在主校區(qū)共有15幢建筑物，新機(jī)場實(shí)訓(xùn)基地共有6幢建筑物。XX學(xué)院匯聚層設(shè)立將根據(jù)現(xiàn)有的信息點(diǎn)分布，結(jié)合綜合布線系統(tǒng)等多因素，普通而言，以建筑物/功效區(qū)為單位設(shè)立匯聚層，即每個(gè)單體建筑/功效區(qū)設(shè)立一種網(wǎng)絡(luò)匯聚層，如數(shù)據(jù)中心和網(wǎng)絡(luò)出口分別設(shè)于匯聚層，同時(shí)對于學(xué)生宿舍區(qū)，能夠采用多幢學(xué)生宿舍共用1個(gè)網(wǎng)絡(luò)匯聚層的方式。對于校園園區(qū)網(wǎng)的匯聚層設(shè)備，應(yīng)當(dāng)能夠承載校園園區(qū)的多個(gè)融合業(yè)務(wù)，能夠融合IPv6、網(wǎng)絡(luò)安全、流量分析等多個(gè)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多個(gè)高可靠技術(shù)，能夠承載校園園區(qū)融合業(yè)務(wù)的需求。3)接入層提供網(wǎng)絡(luò)的第一級接入功效，完畢二層接入，并實(shí)現(xiàn)對終端接入的安全控制，涉及ARP防御、IP/MAC/端口綁定以及POE等高級功效。在XX校園網(wǎng)中，接入層采用千兆及百兆到桌面的接入模式，對于數(shù)據(jù)傳輸量較大或重要區(qū)域采用千兆到桌面的方案，如綜合辦公、圖書館等，其它的為百兆接入，同時(shí)，無線AP接入采用POE方式進(jìn)行設(shè)備的供電。接入層設(shè)備以選擇二層交換機(jī)為主，設(shè)備應(yīng)含有靈活的擴(kuò)展能力，支持堆疊，含有強(qiáng)安全性，能夠?qū)崿F(xiàn)IP、MAC、端口的綁定，支持802.1x認(rèn)證，支持DHCPSnooping，避免非法DHCP接入和ARP攻擊。校園網(wǎng)絡(luò)總體構(gòu)造校園網(wǎng)絡(luò)平臺將采用層次化通用構(gòu)造設(shè)計(jì)，采用核心層、匯聚層和接入層三層架構(gòu)，涉及網(wǎng)絡(luò)骨干、數(shù)據(jù)中心、網(wǎng)絡(luò)出口、網(wǎng)絡(luò)接入、無線網(wǎng)絡(luò)等五大部分。網(wǎng)絡(luò)骨干由核心層和匯聚層組網(wǎng)，骨干網(wǎng)采用高可靠性組網(wǎng)，核心層配備兩臺高端核心交換機(jī)，匯聚層設(shè)備通過雙千兆鏈路實(shí)現(xiàn)與核心層設(shè)備的互聯(lián)，網(wǎng)絡(luò)骨干全方面支持IPv6，并提供萬兆擴(kuò)展能力。校園網(wǎng)設(shè)立數(shù)據(jù)中心，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)服務(wù)器的集中布署，數(shù)據(jù)中心網(wǎng)絡(luò)平臺獨(dú)立建設(shè)，配備2臺模塊化交換機(jī)設(shè)備，為服務(wù)器提供高性能、高可靠、可擴(kuò)展性的接入平臺，同時(shí)，通過核心交換機(jī)內(nèi)置高性能的防火墻模塊提供安全保護(hù)。網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)，涉及與教育科、互聯(lián)網(wǎng)的互聯(lián)，網(wǎng)絡(luò)出口需實(shí)現(xiàn)校園網(wǎng)與外部網(wǎng)絡(luò)的隔離，網(wǎng)絡(luò)出口配備1臺路由器設(shè)備實(shí)現(xiàn)與外部網(wǎng)絡(luò)互聯(lián)，同時(shí)提供地址轉(zhuǎn)換等服務(wù)，配備應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)出口帶寬的管理，并對校園網(wǎng)顧客實(shí)現(xiàn)行為審計(jì)等功效。網(wǎng)絡(luò)接入層提供校園網(wǎng)顧客的接入，并實(shí)現(xiàn)網(wǎng)絡(luò)接入的安全防御，如ARP攻擊防護(hù)，同時(shí)，結(jié)合顧客管理系統(tǒng)實(shí)現(xiàn)對接入顧客認(rèn)證、計(jì)費(fèi)等管理。為實(shí)現(xiàn)校園網(wǎng)絡(luò)接入的靈活性，提高網(wǎng)絡(luò)的覆蓋，校園網(wǎng)將實(shí)現(xiàn)辦公樓、圖書館、實(shí)驗(yàn)室、運(yùn)動場館等公共區(qū)域的無線網(wǎng)絡(luò)覆蓋，無線網(wǎng)采用智能的FitAP組網(wǎng)。為便于網(wǎng)絡(luò)的管理和維護(hù)，校園網(wǎng)還將建設(shè)1套網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對校園網(wǎng)絡(luò)平臺設(shè)備的統(tǒng)一管理，網(wǎng)絡(luò)管理應(yīng)含有拓?fù)?、故障、性能、配備和圖形化設(shè)備管理等功效，為了實(shí)現(xiàn)更為方便的通過遠(yuǎn)程方式對網(wǎng)絡(luò)的狀態(tài)進(jìn)行監(jiān)控和維護(hù)，網(wǎng)絡(luò)系統(tǒng)采用B/S架構(gòu)。同時(shí)，為加強(qiáng)對接入顧客的控制和管理，系統(tǒng)還布署顧客認(rèn)證、計(jì)費(fèi)管理系統(tǒng)。核心層設(shè)計(jì)XX學(xué)院主校區(qū)設(shè)立整個(gè)校園網(wǎng)的核心層，同時(shí)，在新機(jī)場實(shí)訓(xùn)基地設(shè)立分核心。對于XX學(xué)院主校園的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)構(gòu)造，推薦采用高可靠的多設(shè)備冗余的星型構(gòu)造。核心層配備2臺高端交換機(jī)作為核心交換機(jī)，兩臺交換機(jī)之間通過萬兆鏈路進(jìn)行互聯(lián)，形成雙機(jī)復(fù)用，在兩臺中心交換機(jī)之間啟用VRRP合同，這樣在其中一臺出現(xiàn)故障的時(shí)候，業(yè)務(wù)能夠自動切換到另外一臺。選用的核心交換機(jī)是從可靠性、性能、業(yè)務(wù)特性、安全特性以及可擴(kuò)展性等多個(gè)方面進(jìn)行綜合考慮。在可靠性方面，核心交換機(jī)應(yīng)達(dá)成99.99%的高可靠性，采用全模塊化設(shè)計(jì)，電源、電扇、引擎、業(yè)務(wù)模塊等均可實(shí)現(xiàn)熱插拔，支持電源、引擎等核心部件的1+1冗余熱備份，支持VRRP、路由優(yōu)雅（GR）等高可靠性合同，實(shí)現(xiàn)核心層的業(yè)務(wù)不間斷轉(zhuǎn)發(fā)。在性能方面，核心交換機(jī)應(yīng)采用Crossbar交換矩陣，采用全分布式轉(zhuǎn)發(fā)，支持萬兆、千兆等高速以太網(wǎng)接口，全部接口實(shí)現(xiàn)線速轉(zhuǎn)發(fā),保障校園網(wǎng)多個(gè)業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，核心交換機(jī)支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)；并且支持內(nèi)置防火墻、內(nèi)置無線控制器等多個(gè)業(yè)務(wù)功效插卡，能夠進(jìn)行靈活的布署，實(shí)現(xiàn)業(yè)務(wù)的擴(kuò)展和融合。在安全性方面，核心交換機(jī)應(yīng)既能保障本身的運(yùn)行安全，也能通過某些安全機(jī)制保障所承載業(yè)務(wù)的安全?；谏鲜鲆蛩兀覀兘ㄗh核心交換機(jī)采用H3CS7510E高端交換機(jī)。H3CS7500E系列產(chǎn)品是杭州華三通信技術(shù)有限公司（下列簡稱H3C公司）面對融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于H3C自主知識產(chǎn)權(quán)的ComwareV5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多個(gè)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多個(gè)高可靠技術(shù)。S7510E含有10個(gè)槽位，其中8個(gè)為業(yè)務(wù)模塊插槽，并支持豐富的接口模塊，如萬兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡(luò)規(guī)模實(shí)現(xiàn)在線擴(kuò)展。S7510E含有高轉(zhuǎn)發(fā)性能，整機(jī)含有1152Gbps交換容量、773Mpps轉(zhuǎn)發(fā)性能，同時(shí)，S7510E采用全分布式轉(zhuǎn)發(fā)，并采用最長匹配、逐包轉(zhuǎn)發(fā)的解決機(jī)制，確保業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7510E中配備的全部接口均可實(shí)現(xiàn)線速轉(zhuǎn)發(fā)。選用的H3CS7500E交換機(jī)含有下列特點(diǎn)：豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢全方面的MPLS業(yè)務(wù)能力H3CS7500E全部產(chǎn)品均支持VRF-Lite特性，能夠做為MCE設(shè)備使用；支持三層的MPLSVPN和二層的MPLSVPN（Martini、Kompella），可擴(kuò)展支持VPLS技術(shù)；支持MPLSOAM特性，方便顧客的管理和維護(hù)；與H3CMPLSVPNManager配合，實(shí)現(xiàn)圖形化的MPLS布署與維護(hù)。線速的IPv4/IPv6業(yè)務(wù)能力H3CS7500E支持IPv4/IPv6雙合同棧,支持多個(gè)6to4隧道技術(shù)，支持IPv4/IPv6的組播技術(shù)，為顧客提供完善的IPv4/IPv6解決方案；H3CS7500E采用分布式體系架構(gòu)，實(shí)現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)；H3CS7500E已經(jīng)通過了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金色認(rèn)證，是成熟商用的IPv6產(chǎn)品。有線無線一體化，有源無源一體化H3CS7500E集成的無線控制模塊提供豐富的業(yè)務(wù)能力，涉及精細(xì)的顧客控制管理、完善的RF管理及安全機(jī)制、快速漫游、超強(qiáng)的QOS和對IPV6的支持等；無線控制模塊通過與安全方略服務(wù)器的聯(lián)動，實(shí)現(xiàn)對無線接入顧客的端點(diǎn)準(zhǔn)入防御，提高了整網(wǎng)的安全性。H3CS7500E是業(yè)界最高密度的以太網(wǎng)無源光網(wǎng)絡(luò)（EPON）設(shè)備，單臺最大可接入10240個(gè)FTTH顧客；H3CS7500E是高可靠的EPON系統(tǒng)，采用分布式體系構(gòu)造、模塊化設(shè)計(jì)，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，含有電信級可靠性。支持Portal認(rèn)證H3CS7500E支持大容量的Portal認(rèn)證功效，能夠在數(shù)千顧客的局域網(wǎng)中作為EAD網(wǎng)關(guān)設(shè)備，為全網(wǎng)顧客提供EAD安全認(rèn)證功效；能夠在大中型的校園網(wǎng)中擔(dān)任匯聚/核心設(shè)備的同時(shí)，為學(xué)生宿舍區(qū)的認(rèn)證計(jì)費(fèi)提供Portal認(rèn)證功效。靈活的配備，適應(yīng)多個(gè)應(yīng)用場景配線間融合業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇H3CS7500E針對配線間的需求定制開發(fā)了SA板卡，單臺設(shè)備能夠提供480個(gè)千兆線速接口和4個(gè)萬兆線速接口。H3CS7500E支持端點(diǎn)準(zhǔn)入防御解決方案，解決終端安全問題；內(nèi)置2800W電源直接提供PoE功效，對IP語音和無線接入提供良好的支持。政府電力城域網(wǎng)邊沿和匯聚的最佳選擇H3CS7500E支持VRF-Lite特性，為顧客提供高可靠高性能的MCE設(shè)備；通過配備SalienceVI-Turbo引擎，能夠提供集中式MPLS業(yè)務(wù)功效，適合在城域網(wǎng)邊沿作為高性價(jià)PE設(shè)備使用；通過配備EA類板卡，能夠提供分布式線速的MPLS業(yè)務(wù)功效，適合在城域網(wǎng)匯聚層作為高性能的PE使用。IPv6網(wǎng)絡(luò)的最佳選擇H3CS7500E全部SalienceVI引擎都能夠提供集中式IPv6功效，H3CS7500E針對IPv4/IPv6高性能的規(guī)定還開發(fā)了分布式IPv4/IPv6轉(zhuǎn)發(fā)的SC板卡，在整機(jī)滿配備狀態(tài)下實(shí)現(xiàn)線速無收斂，為高校顧客提供了高性能低成本的雙棧匯聚核心設(shè)備，同時(shí)也滿足其它行業(yè)顧客IPv6Ready的需求。全方位的安全保障，抵抗多個(gè)網(wǎng)絡(luò)安全威脅三平面安全保障機(jī)制H3CS7500E提供完善的安全防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全方面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置合同報(bào)文攻擊識別模塊，避免TCN、ARP等合同報(bào)文攻擊，OSPF/BGP/IS-IS路由合同采用MD5驗(yàn)證，避免非法路由更新報(bào)文造成的網(wǎng)絡(luò)癱瘓；在管理平面，SNMPv3網(wǎng)管合同，SSHV2，基于802.1x、AAA/Radius的顧客身份認(rèn)證以及分級的顧客權(quán)限管理確保了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持IP、VLAN、MAC和端口等多個(gè)組合精細(xì)綁定；支持uRPF單播反向途徑轉(zhuǎn)發(fā)，避免非法流量訪問網(wǎng)絡(luò)，采用最長匹配逐包轉(zhuǎn)發(fā)機(jī)制，有效抵抗病毒的攻擊。有線無線全方面支持EADH3CS7500E是EAD端點(diǎn)準(zhǔn)入防御解決方案的重要構(gòu)成部分，S7500E能夠動態(tài)的接受來自安全方略服務(wù)器的控制方略，根據(jù)終端的安全狀態(tài)予下列發(fā)對應(yīng)的訪問權(quán)限。H3CS7500E既支持有線終端顧客的EAD，也支持無線終端顧客的EAD，能夠做到終端安全防備無漏洞。增強(qiáng)的ACL特性H3CS7500E系列產(chǎn)品支持強(qiáng)大的ACL能力：支持原則和擴(kuò)展ACL；支持基于VLAN的ACL，方便顧客配備，節(jié)省ACL資源；支持出方向和入方向的ACL，每板最大可支持9K條ACL，滿足金融等行業(yè)訪問權(quán)限嚴(yán)格控制的需求。電信級的高可靠性，保障顧客業(yè)務(wù)長久穩(wěn)定運(yùn)行電信級高可靠性設(shè)計(jì)H3CS7500E采用無單點(diǎn)故障設(shè)計(jì)，全部核心部件，如主控板、交換網(wǎng)、電源和電扇等采用冗余設(shè)計(jì)；無源背板避免了機(jī)箱出現(xiàn)單點(diǎn)故障；全部單板和電源模塊支持熱插拔功效；H3CS7500E系列能夠在惡劣的環(huán)境下長時(shí)間穩(wěn)定運(yùn)行，達(dá)成99.999％的電信級可靠性。多業(yè)務(wù)高可靠性運(yùn)行H3CS7500E支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級的切換時(shí)間；支持等價(jià)路由，可協(xié)助顧客建立多條等值途徑，實(shí)現(xiàn)流量的負(fù)載均衡及冗余備份；支持RRPP快速環(huán)網(wǎng)保護(hù)合同，提供不大于200ms的環(huán)網(wǎng)故障保護(hù)；支持Smart-Link合同，確保雙上行網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)毫秒級快速切換。通過上述技術(shù)，H3CS7500E能夠在承載多業(yè)務(wù)的狀況下不間斷運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)的永續(xù)。支持熱補(bǔ)丁技術(shù)H3CS7500E能夠在不重啟設(shè)備的前提下，通過熱補(bǔ)丁技術(shù)，在線修改軟件BUG，增加新的業(yè)務(wù)特性。H3CS7500E提供控制補(bǔ)丁單元狀態(tài)切換的顧客命令，使顧客能夠方便的加載、激活、去激活、運(yùn)行或刪除補(bǔ)丁單元。通過熱補(bǔ)丁技術(shù)，減少了設(shè)備需要重啟的次數(shù)，為客戶提供更長的網(wǎng)絡(luò)正常工作時(shí)間。數(shù)據(jù)中心設(shè)計(jì)為實(shí)現(xiàn)對校園網(wǎng)服務(wù)器統(tǒng)一管理和控制，同時(shí)考慮到擴(kuò)展性，服務(wù)器的接入獨(dú)立配備交換機(jī)實(shí)現(xiàn)，為確保服務(wù)器接入的高可用性，配備2臺全千兆三層路由交換機(jī)，數(shù)據(jù)中心交換機(jī)通過VRRP合同實(shí)現(xiàn)互為熱備和負(fù)載分擔(dān)。在選用的數(shù)據(jù)中心交換機(jī)時(shí)，我們充足考慮到應(yīng)含有下列功效和特性：在可靠性方面，數(shù)據(jù)中心交換機(jī)支持VRRP熱備份合同，為服務(wù)器提供可靠的接入。在性能方面，數(shù)據(jù)中心交換機(jī)全部端口線速轉(zhuǎn)發(fā)，保障圖書館多個(gè)業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，數(shù)據(jù)中心交換機(jī)支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。在安全性方面，數(shù)據(jù)中心交換機(jī)含有安全機(jī)制保障所承載業(yè)務(wù)的安全。在可擴(kuò)展性方面，數(shù)據(jù)中心交換機(jī)應(yīng)采用模塊化設(shè)備，支持高密度、高帶寬接口，在業(yè)務(wù)系統(tǒng)不停增加時(shí)，可通過增加業(yè)務(wù)模塊來滿足服務(wù)器接入需求。基于上述因素，我們建議數(shù)據(jù)中心交換機(jī)采用H3CS7502E高端交換機(jī)。S7510E含有4個(gè)槽位，其中2個(gè)為業(yè)務(wù)模塊插槽，并支持豐富的接口模塊，如萬兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡(luò)規(guī)模實(shí)現(xiàn)在線擴(kuò)展。S7502E含有高轉(zhuǎn)發(fā)性能，整機(jī)含有192Gbps交換容量、143Mpps轉(zhuǎn)發(fā)性能，同時(shí)，S7502E采用全分布式轉(zhuǎn)發(fā)，并采用最長匹配、逐包轉(zhuǎn)發(fā)的解決機(jī)制，確保業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7502E中配備的全部接口均可實(shí)現(xiàn)線速轉(zhuǎn)發(fā)。匯聚層設(shè)計(jì)匯聚來自配線間的流量和執(zhí)行方略，當(dāng)路由合同應(yīng)用于這一層時(shí)，含有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。選用的匯聚交換機(jī)應(yīng)含有下列功效和特性：在可靠性方面，匯聚交換機(jī)支持路由合同平滑重啟，支持RSTP、MSTP生成樹合同，支持2層的快速切換，確保與核心交換機(jī)組網(wǎng)的可靠性，在性能方面，匯聚交換機(jī)全部端口線速轉(zhuǎn)發(fā)，涉及萬兆接口，保障多個(gè)業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，匯聚交換機(jī)支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。在安全性方面，匯聚交換機(jī)含有安全機(jī)制保障所承載業(yè)務(wù)的安全?；谝陨弦?guī)定，我們建議匯聚交換機(jī)選用H3C的S5500－EI，S5500－EI系列交換機(jī)含有下列特點(diǎn)：1、高擴(kuò)展性保護(hù)投資隨著顧客端速度不停提高，顧客最后會使集群千兆鏈路達(dá)成飽和，而能夠擁有多條集群10GE鏈路將是我們的將來發(fā)展方向。H3CS5500-EI系列交換機(jī)支持兩個(gè)擴(kuò)展槽位，每個(gè)槽位支持單端口或雙端口的10GE擴(kuò)展模塊，在實(shí)現(xiàn)千兆匯聚或接入時(shí)保存進(jìn)一步支持10GE的擴(kuò)展能力，竭力保護(hù)顧客投資。IPv4到IPv6的演變是以太網(wǎng)發(fā)展的大勢所趨，網(wǎng)絡(luò)設(shè)備對于IPv6的支持不僅是簡樸的可用就行，而是需要達(dá)成商用的原則，S5500-EI已經(jīng)通過了國際最權(quán)威的IPv6Ready第二階段認(rèn)證，并且通過了信息產(chǎn)業(yè)部嚴(yán)格的IPv6入網(wǎng)測試。這個(gè)系列產(chǎn)品是基于硬件的IPv4/IPv6雙棧平臺，支持豐富的IPv4和IPv6三層路由合同、組播合同和方略路由機(jī)制，實(shí)現(xiàn)IPv4到IPv6的平滑升級。2、完備的安全控制方略H3CS5500-EI系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功效，配合后臺系統(tǒng)能夠?qū)⒔K端防病毒、補(bǔ)丁修復(fù)等終端安全方法與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全方法整合為一種聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為全方面防御、變分散管理為集中方略管理，提高了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5500-EI交換機(jī)支持集中式MAC地址認(rèn)證、802.1x認(rèn)證、PORTAL認(rèn)證，支持顧客帳號、IP、MAC、VLAN、端口等顧客標(biāo)記元素的動態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)顧客方略（VLAN、QoS、ACL）的動態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對在線顧客進(jìn)行實(shí)時(shí)的管理，及時(shí)的診療和崩潰網(wǎng)絡(luò)非法行為。H3CS5500-EI系列交換機(jī)提供增強(qiáng)的ACL控制邏輯，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下發(fā)，在簡化顧客配備過程的同時(shí)，避免了ACL資源的浪費(fèi)。另外，S5500-EI系列還將支持單播反向途徑查找技術(shù)（uRPF），原理是當(dāng)設(shè)備的一種接口上收到一種數(shù)據(jù)包時(shí)，會反向查找途徑來驗(yàn)證與否存在從該接受接口到包中制訂的源地址之間的路由，即驗(yàn)證了其真實(shí)性，如果不存在就將數(shù)據(jù)包刪除，這樣我們就能夠有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺騙。7VM海岸線網(wǎng)絡(luò)安全資訊站3、多重可靠性保護(hù)S5500-EI系列交換機(jī)還含有設(shè)備級和鏈路級的多重可靠性保護(hù)。全部機(jī)型都支持內(nèi)置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模塊，也就是說我們能夠根據(jù)實(shí)際環(huán)境的需要靈活配備交流或直流電源模塊，另外整機(jī)還支持電源和電扇的故障檢測及告警，能夠根據(jù)溫度的變化自動調(diào)節(jié)電扇的轉(zhuǎn)速，這些設(shè)計(jì)使我們這款盒式交換機(jī)含有了機(jī)柜式交換機(jī)的高可靠性。除了設(shè)備級可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術(shù)，例如華三通信獨(dú)創(chuàng)的RRPP快速環(huán)網(wǎng)保護(hù)機(jī)制。當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時(shí)候也不影響網(wǎng)絡(luò)的收斂時(shí)間，確保業(yè)務(wù)的正常開展。4、多業(yè)務(wù)支持能力支持PoE（PoweroverEthernet）技術(shù)，通過以太網(wǎng)對所連接的設(shè)備（如IPPhone,WirelessAP等）進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場為設(shè)備布署單獨(dú)的電源系統(tǒng)，能夠極大地減少布署終端設(shè)備的布線和管理成本。支持VoiceVLAN技術(shù)，交換機(jī)通過識別端口的語音流，將對應(yīng)的接入端口加入VoiceVLAN（專用語音VLAN）中，為語音流量提供專門通道，并自動下發(fā)優(yōu)先級規(guī)則確保語音流的優(yōu)先傳輸來確保通話質(zhì)量。同時(shí)通過設(shè)立VoiceVLAN安全特性，只允許語音流量通過，能夠有效避免突發(fā)數(shù)據(jù)流量對VoiceVLAN內(nèi)的語音流量的沖擊。H3CS5500-EI系列交換機(jī)支持MCE功效，能夠有效解決多VPN網(wǎng)絡(luò)帶來的顧客數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用CE設(shè)備本身的VLAN接口編號與網(wǎng)絡(luò)內(nèi)的VPN進(jìn)行綁定，并為每個(gè)VPN創(chuàng)立和維護(hù)獨(dú)立的路由轉(zhuǎn)發(fā)表（Multi-VRF）。這樣不僅能夠隔離私網(wǎng)內(nèi)不同VPN的報(bào)文轉(zhuǎn)發(fā)途徑，并且通過與PE間的配合，也能夠?qū)⒚總€(gè)VPN的路由對的公布至對端PE，確保VPN報(bào)文在公網(wǎng)內(nèi)的傳輸。5、豐富的QoS方略H3CS5500-EI系列交換機(jī)支持支持L2（Layer2）~L4（Layer4）包過濾功效，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端標(biāo)語、合同類型、VLAN的流分類。提供靈活的對列調(diào)度算法，能夠同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)立，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三種模式。支持CAR（CommittedAccessRate）功效，粒度最小達(dá)64Kbps。支持出、入兩個(gè)方向的端口鏡像，用于對指定端口上的報(bào)文進(jìn)行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進(jìn)行網(wǎng)絡(luò)檢測和故障排除。6、杰出的管理性H3CS5500-EI系列交換機(jī)支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用網(wǎng)管平臺以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5500-EI系列交換機(jī)支持基于MAC地址劃分VLAN，較好的解決了移動辦公的智能靈活管理；結(jié)合特有的基于全局和VLAN下發(fā)ACL方略，在簡化顧客配備的同時(shí)，也大幅節(jié)省了硬件資源。該系列交換機(jī)還支持sFlow功效，能夠?qū)Τ鋈敕较虻膱?bào)文按比例隨機(jī)抽樣，靈活實(shí)現(xiàn)報(bào)文采集。網(wǎng)絡(luò)出口設(shè)計(jì)網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外界網(wǎng)絡(luò)互聯(lián)，出口網(wǎng)絡(luò)應(yīng)含有一定的可靠性，提供網(wǎng)絡(luò)安全防護(hù)能力，并對出口帶寬進(jìn)行有效的分派和控制，同時(shí)加強(qiáng)對顧客行為進(jìn)行監(jiān)管。網(wǎng)絡(luò)出口配備1臺高端路由器，路由器實(shí)現(xiàn)外部網(wǎng)絡(luò)互聯(lián)，并提供NAT功效，配備1臺應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)對出口帶寬的靈活調(diào)配，并實(shí)現(xiàn)對顧客行為進(jìn)行審計(jì)和監(jiān)管。并通過核心交換機(jī)的防火墻模塊實(shí)現(xiàn)對網(wǎng)絡(luò)區(qū)域的隔離和訪問控制。網(wǎng)絡(luò)出口路由器應(yīng)含有下列功效和特性：在可靠性方面，路由器應(yīng)支持電源、解決系統(tǒng)的冗余備份。在性能方面，路由器應(yīng)提供高性能轉(zhuǎn)發(fā)，并含有優(yōu)越的NAT解決能力。在業(yè)務(wù)特性方面，路由器支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。在安全性方面，路由器有安全機(jī)制保障所承載業(yè)務(wù)的安全?；谏鲜鲆蛩?，我們建議出口路由器采用H3CSR6604高端路由器。應(yīng)用控制網(wǎng)關(guān)選用H3CSecPathACG（ApplicationControlGateway），H3CACG是業(yè)界識別最全方面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對網(wǎng)絡(luò)中的P2P/IM帶寬濫用、“地下”VoIP、“一拖N”、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識別和控制；同時(shí)，可對網(wǎng)絡(luò)流量、顧客上網(wǎng)行為進(jìn)行進(jìn)一步分析與全方面的事后審計(jì)，并含有強(qiáng)大的URL過濾功效，進(jìn)而協(xié)助顧客優(yōu)化其網(wǎng)絡(luò)資源，全方面理解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，開展各項(xiàng)業(yè)務(wù)提供有力的支撐。H3CACG含有下列優(yōu)點(diǎn)：強(qiáng)大的P2P/IM業(yè)務(wù)監(jiān)控通過H3C長久積累的狀態(tài)機(jī)檢測技術(shù)，能精確檢測Thunder（迅雷）、BitTorrent、eMule（電騾）、eDonkey（電驢）、QQ、MSN、PPLive等近百種P2P/IM應(yīng)用。同時(shí)，可基于時(shí)間、顧客、區(qū)域、應(yīng)用合同等，對P2P/IM應(yīng)用進(jìn)行告警、限流、干擾或阻斷。完善的安全審計(jì)系統(tǒng)可對多個(gè)P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文獻(xiàn)共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)榷鄠€(gè)上網(wǎng)行為提供全方面的行為監(jiān)控和統(tǒng)計(jì)；同時(shí)，通過綜合分析、檢測顧客網(wǎng)絡(luò)流量與流向趨勢，事后對歷史數(shù)據(jù)進(jìn)行分析，為顧客提供細(xì)粒度的網(wǎng)絡(luò)行為審計(jì)管理系統(tǒng)。強(qiáng)大的過濾功效通過自定義IP地址、主機(jī)名、正則體現(xiàn)式等方式設(shè)立URL特性庫，支持根據(jù)不同的URL方略設(shè)立不同的響應(yīng)方式，支持根據(jù)時(shí)間表對不同的URL方略設(shè)立不同的響應(yīng)動作，避免保密信息的外泄，免受非法信息的干擾，確保網(wǎng)絡(luò)的健康使用。豐富的報(bào)表提供業(yè)務(wù)流量趨勢圖、流量分布圖、TopN顧客列表、TopN應(yīng)用合同列表等報(bào)表，并支持按照顧客名/顧客組、使用頻度、使用時(shí)段、應(yīng)用分類、應(yīng)用合同、流量大小等進(jìn)行多維度組合定制報(bào)表，使顧客能全方面掌握網(wǎng)絡(luò)中的流量、應(yīng)用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制訂流量控制方略提供根據(jù)。全方面地識別“地下”VoIP支持對Skype、H.323、SIP、中橋、UUCall等近百種合同或網(wǎng)關(guān)的呼喊識別、阻斷或干擾。現(xiàn)在，H3C是唯一能實(shí)現(xiàn)對Skype在PC-PC、PC-Phone兩種通信模式進(jìn)行實(shí)時(shí)有效控制的廠商。領(lǐng)先的“一拖N”清理技術(shù)采用業(yè)界流行的ID軌跡檢測技術(shù)、時(shí)鐘偏移檢測技術(shù)，結(jié)合多個(gè)應(yīng)用層特性檢測技術(shù)如應(yīng)用特性檢測、流量/連接數(shù)統(tǒng)計(jì)、TTL檢測、MAC地址檢測等，能實(shí)時(shí)精確的識別出以NAT、Proxy方式進(jìn)行共享接入的顧客以及精確的PC數(shù)量，并實(shí)施告警、阻斷等控制方法。顧客行為分析采用先進(jìn)的技術(shù)分析手段，全方面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢，統(tǒng)計(jì)網(wǎng)絡(luò)熱點(diǎn)，發(fā)掘業(yè)務(wù)增加點(diǎn)；分析顧客行為，統(tǒng)計(jì)顧客愛好，為個(gè)性化運(yùn)行提供根據(jù)，并通過開放的平臺接口，與第三方業(yè)務(wù)平臺對接，提供高附加值業(yè)務(wù)，如在顧客行為愛好分析的基礎(chǔ)上提供定向WEB廣告服務(wù)。高性能、高可靠性基于新一代多核CPU多核架構(gòu)及分布式搜索引擎，同時(shí)配合高容量的交換背板，確保SecPathACG在多個(gè)大流量、復(fù)雜應(yīng)用的環(huán)境下，仍能含有千兆級線速業(yè)務(wù)解決能力，僅有微秒級時(shí)延。通過掉電保護(hù)（PFC）、二層回退等高可靠性設(shè)計(jì)，確保SecPathACG在斷電、軟硬件故障或鏈路故障的狀況下，網(wǎng)絡(luò)鏈路仍然暢通，確保顧客業(yè)務(wù)的不間斷正常運(yùn)行。及時(shí)的特性庫更新H3C專業(yè)安全團(tuán)體親密跟蹤應(yīng)用變化，并對應(yīng)用合同特性庫及時(shí)更新；支持在線自動/手動升級方式，升級過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運(yùn)行。接入層設(shè)計(jì)接入層實(shí)現(xiàn)各終端電腦的高速接入，根據(jù)各業(yè)務(wù)系統(tǒng)的分布，可采用千兆到桌面以及百兆到桌面兩種方案。對于辦公大樓、圖書館、實(shí)驗(yàn)室等對網(wǎng)絡(luò)帶寬規(guī)定較高的,建議采用千兆到桌面的解決方案。對于教學(xué)樓、宿舍區(qū)的接入可采用10/100M到終端的解決方案。接入層交換機(jī)應(yīng)含有豐富的安全特性，配合顧客認(rèn)證系統(tǒng)實(shí)現(xiàn)對接入顧客的認(rèn)證計(jì)費(fèi)，同時(shí)，交換機(jī)還應(yīng)含有防偽DHCPServer的接入，對終端ARP多個(gè)形式攻擊的防護(hù)。接入層交換機(jī)，我們建議千兆交換機(jī)選用H3CS5100系列交換機(jī)，百兆到桌面選用H3C為教育行業(yè)顧客專門研發(fā)的E系列交換機(jī)。選用的S5100－EI系列交換機(jī)含有下列特點(diǎn)：1、靈活的千兆接入和集群管理H3CS5100-EI系列千兆以太網(wǎng)交換機(jī)提供靈活的16/24/48個(gè)10/100/1000M自適應(yīng)電口接入密度；并且支持復(fù)用的SFP插槽，充足考慮顧客的帶寬升級的實(shí)際狀況，既能夠支持千兆光模塊，也能夠支持百兆光模塊，保護(hù)顧客投資。其中S5100C-EI機(jī)型支持最多2個(gè)可擴(kuò)展的萬兆接口，并且支持40G帶寬的堆疊。該系列硬件支持最大136Gbps交換容量，確保全部端口線速交換。H3CS5100-EI系列交換機(jī)采用專利技術(shù)允許交換機(jī)運(yùn)用專用互聯(lián)電纜實(shí)現(xiàn)多達(dá)16臺設(shè)備的堆疊，支持不同端口設(shè)備的混合堆疊。含有即插即用、單一IP管理。同時(shí)大大減少系統(tǒng)擴(kuò)展的成本，保護(hù)了顧客投資。2、全方面的接入安全方略H3CS5100-EI系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功效，配合后臺系統(tǒng)能夠?qū)⒔K端防病毒、補(bǔ)丁修復(fù)等終端安全方法與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全方法整合為一種聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為全方面防御、變分散管理為集中方略管理，提高了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5100-EI系列交換機(jī)支持特有的ARP入侵檢測功效，可有效避免黑客或攻擊者通過ARP報(bào)文實(shí)施網(wǎng)絡(luò)中逐步盛行的“中間人”攻擊，對不符合DHCPSnooping動態(tài)綁定表或手工配備的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。同時(shí)支持IPSourceCheck特性，避免涉及MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。另外，運(yùn)用DHCPSnooping的信任端口特性還能夠有效杜絕私設(shè)DHCP服務(wù)器，確保DHCP環(huán)境的真實(shí)性和一致性。H3CS5100-EI系列交換機(jī)支持端口安全特性族能夠有效防備基于MAC地址的攻擊。能夠?qū)崿F(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個(gè)端口允許的MAC地址的最大數(shù)量，使得某個(gè)特定端口上的MAC地址能夠由管理員靜態(tài)配備，或者由交換機(jī)動態(tài)學(xué)習(xí)。H3CS5100-EI系列交換機(jī)有強(qiáng)大硬件ACL能力，能深度識別報(bào)文，支持L2~L4包過濾功效，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP合同類型、物理端口、VLAN、等定義ACL，方便交換機(jī)進(jìn)行后續(xù)的解決。并且支持基于全局、VLAN、端口（組）的ACL下發(fā)，有效簡化配備過程并節(jié)省硬件資源。H3CS5100-EI系列交換機(jī)提供802.1X和集中MAC認(rèn)證方式對接入的顧客進(jìn)行認(rèn)證，允許正當(dāng)顧客通過，對于非法顧客則回絕其上網(wǎng)。同時(shí)還支持客戶端軟件版本檢測、GuestVLAN等功效，和CAMS服務(wù)器配合還能夠?qū)嵁?dāng)代理檢測、雙網(wǎng)卡檢測等功效。通過這些功效的應(yīng)用能夠?qū)︻櫩偷恼?dāng)性進(jìn)行充足的檢查和控制，最大程度的減少非法顧客對網(wǎng)絡(luò)安全的危害。2、完善的QoS保障H3CS5100-EI系列以太網(wǎng)交換機(jī)提供基于Diffserv和802.1P的QoS特性，能夠?qū)?bào)文的802.1P和DSCP域優(yōu)先級進(jìn)行修改等操作，并映射到每端口提供的8個(gè)COS隊(duì)列，隊(duì)列調(diào)度提供了三種各具特色的隊(duì)列調(diào)度算法，嚴(yán)格優(yōu)先級（SP）和整形加權(quán)輪循（SDWRR）調(diào)度算法以及SP+SDWRR組合調(diào)度算法。H3CS5100-EI系列以太網(wǎng)交換機(jī)支持流量監(jiān)管和帶寬粒度控制，流量限速的最小粒度為1Kbit/s，確保為進(jìn)入交換機(jī)的特定業(yè)務(wù)提供帶寬確保，即使在網(wǎng)絡(luò)擁塞時(shí)，也能滿足一定的丟包、時(shí)延及時(shí)延抖動等QoS需求。支持流量整形確保以太網(wǎng)交換機(jī)能夠?qū)敵鰣?bào)文速率進(jìn)行控制。支持基于流的報(bào)文重定向。3、增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3CS5100-EI系列交換機(jī)支持通過FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級，支持SNMPv1/v2/v3，可支持OpenView等通用網(wǎng)管平臺，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。傳統(tǒng)交換機(jī)對端口的鏡像功效都是基于本地實(shí)現(xiàn)，鏡像數(shù)據(jù)流無法穿越網(wǎng)絡(luò)在核心實(shí)現(xiàn)統(tǒng)一采集、監(jiān)控和分析；H3CS5100-EI支持跨交換機(jī)的遠(yuǎn)程端口鏡像功效（RSPAN），能夠?qū)⒔尤攵丝诘牧髁跨R像到核心交換機(jī)上，在核心上啟動網(wǎng)流分析（Netstream）功效，對監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化布署和惡意攻擊監(jiān)控。H3CS5100-EI系列交換機(jī)支持VCT（VirtualCableTest）電纜檢測功效，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持DLDP（DeviceLinkDetectionProtocol）單向鏈路檢測合同，能夠有效的避免網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給顧客。H3CE系列交換機(jī)含有下列特點(diǎn)：全方面的接入安全方略H3CE126A/E152教育網(wǎng)交換機(jī)支持特有的ARP入侵檢測功效，可有效避免黑客或攻擊者通過ARP報(bào)文實(shí)施校園網(wǎng)常見的“中間人”攻擊，對不符合DHCPSnooping動態(tài)綁定表或手工配備的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。同時(shí)支持IPSourceCheck特性，避免涉及MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。另外，運(yùn)用DHCPSnooping的信任端口特性還能夠有效杜絕學(xué)生私設(shè)DHCP服務(wù)器，確保DHCP環(huán)境的真實(shí)性和一致性。E126A/E152教育網(wǎng)交換機(jī)支持端口安全特性族，能夠有效防備基于MAC地址的攻擊。能夠?qū)崿F(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個(gè)端口允許的MAC地址的最大數(shù)量，使得某個(gè)特定端口上的MAC地址能夠由管理員靜態(tài)配備，或者由交換機(jī)動態(tài)學(xué)習(xí)。E126A/E152教育網(wǎng)交換機(jī)有強(qiáng)大硬件ACL能力，能深度識別報(bào)文，支持L2～L4包過濾功效，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP合同類型、TCP/UDP端口、TCP/UDP端口范疇、VLAN、VLAN范疇等定義ACL，方便交換機(jī)進(jìn)行后續(xù)的解決。E126A/E152教育網(wǎng)交換機(jī)支持集中式MAC地址認(rèn)證和802.1x認(rèn)證，支持顧客帳號、IP、MAC、VLAN、端口等顧客標(biāo)記元素的動態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)顧客方略（VLAN、QoS、ACL）的動態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對在線顧客進(jìn)行實(shí)時(shí)的管理，及時(shí)的診療和崩潰網(wǎng)絡(luò)非法行為。支持對Proxy進(jìn)行有效的管理。增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3CE126A/E152教育網(wǎng)交換機(jī)支持通過FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級，支持SNMPv1/v2/v3，可支持OpenView等通用網(wǎng)管平臺，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，Telnet，HGMP集群管理，使設(shè)備管理更方便。E126A/E152教育網(wǎng)交換機(jī)支持跨交換機(jī)的遠(yuǎn)程端口鏡像RSPAN，能夠?qū)⒔尤攵丝诘牧髁跨R像到核心交換機(jī)上，能夠?qū)θW(wǎng)業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化布署和惡意攻擊監(jiān)控，滿足校園網(wǎng)精細(xì)化管理的需要。E126A/E152教育網(wǎng)交換機(jī)支持VCT（VirtualCableTest）電纜檢測功效，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持DLDP（DeviceLinkDetectionProtocol）單向鏈路檢測合同，能夠有效的避免網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給顧客。高性能與靈活擴(kuò)展能力H3CE126A/E152教育網(wǎng)交換機(jī)含有19.2G的背板交換容量，支持全部端口線速轉(zhuǎn)發(fā)，滿足了教育顧客對高帶寬的需求。設(shè)備支持2/4個(gè)GE上行，采用固定電口和通用SFP的靈活千兆連接方式，在減少顧客成本的同時(shí)，更加好的考慮了顧客后續(xù)升級的實(shí)際需求。E126A/E152教育網(wǎng)交換機(jī)采用專利技術(shù)允許交換機(jī)運(yùn)用專用互聯(lián)電纜實(shí)現(xiàn)多達(dá)16臺設(shè)備的堆疊，最大擴(kuò)展至768個(gè)10/100M端口，支持E126A和E152混合堆疊。含有即插即用、單一IP管理。同時(shí)大大減少系統(tǒng)擴(kuò)展的成本，保護(hù)了顧客投資。豐富的業(yè)務(wù)支持能力H3CE126A/E152教育網(wǎng)交換機(jī)支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三種隊(duì)列調(diào)度算法，支持每個(gè)端口4/8個(gè)輸出隊(duì)列，能夠以不同的優(yōu)先級將報(bào)文放入端口的輸出隊(duì)列。E126A/E152教育網(wǎng)交換機(jī)支持端口限速功效，限速粒度可達(dá)64Kbps，避免惡意侵占網(wǎng)絡(luò)帶寬，也為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。E126A/E152教育網(wǎng)交換機(jī)支持IPv6host，涉及IPv6單播地址配備，ICMPv6，IPv6鄰居發(fā)現(xiàn)合同（ND），IPv6-TCP，IPv6-TFTP，IPv6-TRACERT管理特性。無線網(wǎng)絡(luò)設(shè)計(jì)無線局域網(wǎng)技術(shù)通過十幾年的發(fā)展，已經(jīng)歷了三代技術(shù)及產(chǎn)品的發(fā)展。第一代無線局域網(wǎng)重要是采用FatAP（即“胖”AP），每一臺AP都要單獨(dú)進(jìn)行配備，費(fèi)時(shí)、費(fèi)力、費(fèi)成本；第二代無線局域網(wǎng)融入了無線網(wǎng)關(guān)功效但還是不能集中進(jìn)行管理和配備，其管理性和安全性以及對有線網(wǎng)絡(luò)的依賴成為了第一代和第二代WLAN產(chǎn)品發(fā)展的瓶頸，由于這一代技術(shù)的AP儲存了大量的網(wǎng)絡(luò)和安全的配備，涉及加密的鑰匙，Radiusclient的安全密碼(secret)等，而AP又是分散在建筑物中的各個(gè)位置，一旦AP的配備被盜取讀出并修改，其無線網(wǎng)絡(luò)系統(tǒng)就失去了安全性。另外由于AC或無線網(wǎng)關(guān)的硬件多數(shù)是基于Pentium架構(gòu)的，因此當(dāng)顧客接入數(shù)量(IPsessions)增多時(shí)，無線網(wǎng)的性能會急劇下降，時(shí)常會發(fā)生掉線或死機(jī)狀況。在這樣的環(huán)境下，基于無線交換機(jī)技術(shù)的第三代WLAN產(chǎn)品應(yīng)運(yùn)而生。第三代無線局域網(wǎng)采用無線交換機(jī)和FITAP（即“瘦”AP）的架構(gòu)，對傳統(tǒng)WLAN設(shè)備的功效做了重新劃分，將密集型的無線網(wǎng)絡(luò)和安全解決功效轉(zhuǎn)移到集中的WLAN交換機(jī)中實(shí)現(xiàn)，同時(shí)加入了許多重要新功效，諸如無線網(wǎng)管、AP間自適應(yīng)、無線安管、RF監(jiān)測、無縫漫游以及Qos。，使得無線局域網(wǎng)的網(wǎng)絡(luò)性能、網(wǎng)絡(luò)管理和安全管理能力得以大幅提高。室內(nèi)無線覆蓋將使用大量無線接入點(diǎn)（AP）提供無線網(wǎng)絡(luò)接入服務(wù)，必須有效實(shí)現(xiàn)多個(gè)AP的統(tǒng)一方略布署和可靠的安全認(rèn)證機(jī)制，因此，采用FITAP的解決方案，即采用無線控制器結(jié)合瘦AP與無線網(wǎng)絡(luò)管理系統(tǒng)的架構(gòu)。綜合上述分析，對于大規(guī)模布署的校園網(wǎng)無線局域網(wǎng)，我們建議采用FITAP的方案。無線網(wǎng)絡(luò)構(gòu)造參見下圖：無線網(wǎng)絡(luò)構(gòu)成涉及下列部分：無線控制系統(tǒng)，設(shè)備建議布署在網(wǎng)絡(luò)中心，為確保整個(gè)無線網(wǎng)絡(luò)的高可性，建議采用在核心交換機(jī)配備無線控制模塊，通過交換機(jī)的高性能來實(shí)現(xiàn)路由和轉(zhuǎn)發(fā)，并配備無線控制器模塊實(shí)現(xiàn)無線的管理。無線控制器模塊最大可管理640個(gè)AP，通過在S7510E中集成無線控制器模塊，將充足運(yùn)用核心交換機(jī)的高可靠性和高解決性能，同時(shí)，與有線網(wǎng)絡(luò)的融合度更高。無線AP，根據(jù)實(shí)際需求，室內(nèi)區(qū)域，涉及辦公室、圖書館等，AP采用FitAP，選用WA2110－AG，AP與無線控制器構(gòu)成無線網(wǎng)，室內(nèi)AP連接到近來的訪問層交換機(jī)。在室外區(qū)域，直接采用室外型APWA2200X系列AP，H3C室外型AP通過IP66等級保護(hù)，可防水防塵，直接安裝在外。建議配套H3CWSM無線業(yè)務(wù)管理系統(tǒng)，實(shí)現(xiàn)對無線網(wǎng)絡(luò)的管理，通過WSM無線業(yè)務(wù)管理器，顧客能夠獲得全方面的無線業(yè)務(wù)管理能力。在設(shè)備選型中，我們建議無線局域網(wǎng)與交換機(jī)采用相似的品牌，以確保系統(tǒng)的兼容性，并實(shí)現(xiàn)統(tǒng)一化管理。采用FITAP解決方案構(gòu)建的無線局域網(wǎng)含有下列功效和特點(diǎn)：方便布署FITAP解決方案采用集中式架構(gòu)，在不變化其網(wǎng)絡(luò)的原有規(guī)劃和布署的狀況下，甚至不需要中斷原有網(wǎng)絡(luò)就能夠輕松疊加一種無線網(wǎng)絡(luò)，該無線網(wǎng)絡(luò)和原有的有線網(wǎng)絡(luò)能夠形成有線無線一體化的接入方案，能夠大大減少網(wǎng)絡(luò)升級和布署的成本。易于管理、AP“零配備”采用無線控制器和FITAP配合組網(wǎng)時(shí)，只需要在無線控制器上對一類相似屬性的AP建立配備模板，AP在啟動時(shí)能夠自動從無線控制器上下載最新的配備文獻(xiàn)，真正做到了零配備，免維護(hù)，即插即用，極大地減輕了網(wǎng)絡(luò)管理員在布署網(wǎng)絡(luò)階段的維護(hù)工作量。方便升級FITAP還支持軟件自動更新功效，在其每次重新啟動時(shí)會自動比較現(xiàn)在運(yùn)行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，AP會自動更新本地的軟件映像，軟件升級不再需要網(wǎng)管人員的干預(yù)。三層漫游無線控制器支持三層漫游，并支持快速漫游，漫游切換時(shí)間不大于50ms，滿足對切換時(shí)間規(guī)定最苛刻的語音業(yè)務(wù)。支持虛擬APFITAP支持多SSID實(shí)現(xiàn)虛擬AP特性，每個(gè)SSID可對應(yīng)不同的VLAN、從而對于每一種SSID能夠?qū)崿F(xiàn)不同的網(wǎng)絡(luò)服務(wù)及認(rèn)證方式。該特性使管理員能夠方便的為不同顧客群、不同的業(yè)務(wù)制訂辨別的服務(wù)方略。豐富的RF管理和安全RF管理功效，能夠使得無線網(wǎng)絡(luò)的布網(wǎng)靈活性大大增強(qiáng)，網(wǎng)絡(luò)的可維護(hù)性得到很大的提高。AP的功率調(diào)節(jié)和信道切換是網(wǎng)絡(luò)布署和調(diào)試時(shí)不可缺少的重要手段，信道和功率還需要按照國家代碼自動設(shè)立，無線控制器的RF管理功效使得網(wǎng)絡(luò)布署非常簡樸。RSSI/SNR的不停更新，更是讓系統(tǒng)能夠適時(shí)理解每一種無線顧客所處電磁環(huán)境的好壞、離AP的距離，從而能夠采用對應(yīng)的方略來提高網(wǎng)絡(luò)可用性。支持智能的負(fù)載均衡支持智能負(fù)載均衡技術(shù)，確保只對處在AP覆蓋重疊區(qū)的無線顧客才啟動AP負(fù)載均衡功效，有效的避免誤均衡的出現(xiàn)，從而最大程度的提高了無線網(wǎng)絡(luò)容量。IPv6無線控制器實(shí)現(xiàn)了IPv4/IPv6雙合同棧。AP和無線控制器之間能夠穿過IPv6網(wǎng)絡(luò)互聯(lián)，從而使組網(wǎng)方式更加靈活，能夠滿足此后網(wǎng)絡(luò)發(fā)展的需要，保護(hù)顧客投資。完善的QoS無線控制器支持Diff-Serv原則涉及流分類、流量監(jiān)管（Policing）、隊(duì)列管理、隊(duì)列調(diào)度（Scheduling）等，完整實(shí)現(xiàn)了原則中定義的EF、AF1～AF4、BE等六組PHB及業(yè)務(wù)，可為顧客提供含有不同服務(wù)質(zhì)量等級的服務(wù)確保，真正成為同時(shí)承載數(shù)據(jù)、語音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。有線無線一體化的網(wǎng)管系統(tǒng)采用同一品牌的交換機(jī)和無線局域網(wǎng)產(chǎn)品，通過配備1套網(wǎng)絡(luò)管理系統(tǒng)，即可實(shí)現(xiàn)有線無線一體化的管理。網(wǎng)絡(luò)安全性設(shè)計(jì)校園網(wǎng)絡(luò)承載多個(gè)業(yè)務(wù)系統(tǒng)，并實(shí)現(xiàn)與外界網(wǎng)絡(luò)的互聯(lián)互通，為確保業(yè)務(wù)系統(tǒng)的安全性，需根據(jù)不同的業(yè)務(wù)類型，采用對應(yīng)的安全方法。在校園網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)安全建設(shè)重要涉及下列幾大部分：對重點(diǎn)區(qū)域的安全隔離和訪問控制，通過增加防火墻，實(shí)現(xiàn)對業(yè)務(wù)系統(tǒng)資源和外部網(wǎng)絡(luò)安全隔離和訪問權(quán)限的控制。網(wǎng)絡(luò)出口布署應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)對校園網(wǎng)顧客的行為審計(jì)和監(jiān)管。通過配備交換機(jī)所含有的安全功效，加強(qiáng)的網(wǎng)絡(luò)的安全控制。重要安全區(qū)域隔離為使網(wǎng)絡(luò)能夠制止、檢測由面對學(xué)生開放的業(yè)務(wù)資源、校外其它顧客發(fā)起的異常流量和攻擊，對數(shù)據(jù)中心和網(wǎng)絡(luò)出口等重要區(qū)域進(jìn)行保護(hù)，網(wǎng)絡(luò)設(shè)計(jì)時(shí)使用防火墻實(shí)現(xiàn)各區(qū)域的安全隔離,參見下圖：通過在核心交換機(jī)增加防火墻模塊，同時(shí)為數(shù)據(jù)中心和網(wǎng)絡(luò)出口提供安全區(qū)域隔離和安全保護(hù).防火墻模塊含有虛擬防火墻、虛擬接口等特點(diǎn)，提供高達(dá)6Gbps解決性能，并充足運(yùn)用核心交換機(jī)的高可靠性，為確保系統(tǒng)的可靠性，并分別在兩臺中心交換機(jī)上配備防火墻模塊，實(shí)現(xiàn)防火墻的負(fù)載分擔(dān)和冗余備份。出口帶寬監(jiān)管校園網(wǎng)絡(luò)應(yīng)用層出不窮，在大大提高了顧客的工作效率的同時(shí)也帶來許多負(fù)面影響，針對顧客行為控制的解決方案，需要能夠解決下列問題：顧客通過P2P下載電影造成網(wǎng)絡(luò)速度變慢，怎么解決顧客在BBS上公布違法帖子，違反信息安全規(guī)定顧客工作時(shí)間炒股、打游戲、聊天造成工作效率的下降，怎么解決顧客訪問非法網(wǎng)站易感染病毒，如何控制校園網(wǎng)絡(luò)出口通過間布署一臺SecPathACG網(wǎng)關(guān)，通過在ACG應(yīng)用控制網(wǎng)關(guān)，可精確識別BT、電驢、迅雷、MSN、QQ、YahooMessenger、PPLive等近百種P2P/IM應(yīng)用，可基于時(shí)間、顧客、區(qū)域、應(yīng)用合同，通過告警、限速、阻斷等手段進(jìn)行靈活控制，確保網(wǎng)速的正常和業(yè)務(wù)不被影響。ACG采用先進(jìn)的分析技術(shù)，能對網(wǎng)絡(luò)多媒體、網(wǎng)絡(luò)游戲、炒股等應(yīng)用進(jìn)行識別與控制，通過URL過濾、核心字過濾、內(nèi)容過濾等多個(gè)訪問控制方略，控制非法應(yīng)用，過濾非法網(wǎng)站，規(guī)范顧客上網(wǎng)行為，提高員工工作效率。同時(shí)，ACG能夠下列審計(jì)功效:WEB應(yīng)用審計(jì)——URL；源、目的IP；訪問時(shí)間等應(yīng)用審計(jì)——登錄名；上傳或下載文獻(xiàn)名；源、目的IP；訪問時(shí)間等Email應(yīng)用審計(jì)——POP3和SMTP收發(fā)郵件的郵件名、發(fā)件人、收件人等；不支持WEBMail的審計(jì)NAT日志審計(jì)——NAT前后的IP、端標(biāo)語；時(shí)間等；需要與U200或F1000E等支持FLOW3.0日志的設(shè)備配合網(wǎng)絡(luò)安全保護(hù)對于校園網(wǎng)大型應(yīng)用以太網(wǎng)交換機(jī)的系統(tǒng)，網(wǎng)絡(luò)的安全特性非常重要，因以太網(wǎng)工作原理的限制，交換式網(wǎng)絡(luò)容易造成MAC、IP等安全的攻擊。對此，需通過交換機(jī)的安全特性加以防護(hù)。本次選用的核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)含有豐富的安全特性，能夠解決網(wǎng)絡(luò)中存在的安全問題，具體參見下表：攻擊類型攻擊行為交換機(jī)安全防備特性核心交換機(jī)匯聚

交換機(jī)接入交換機(jī)資源耗盡型攻擊MAC表攻擊端口MAC數(shù)限制含有含有含有嚴(yán)禁某個(gè)VLAN的MAC地址學(xué)習(xí)＋靜態(tài)MAC表含有含有含有端口安全含有含有含有MAC+IP+端口綁定,

端口安全中的1個(gè)特性含有含有含有DHCPDOS攻擊DHCPRelayOption82含有含有含有DHCPSnoopingOption82含有含有含有DHCP報(bào)文限速含有含有含有CPU惡意沖擊ARP限速含有含有含有防備攻擊的其它特性廣播風(fēng)暴克制含有含有含有環(huán)路檢測含有含有含有安全準(zhǔn)入特性含有含有含有802.1x含有含有含有端口安全特性含有含有含有假冒偽裝型攻擊ARP欺騙攻擊ARP入侵檢測含有含有含有端口隔離含有含有含有Isolate-User-VLAN含有含有含有MAC/IP欺騙攻擊DHCPrelaySecurity含有含有含有IP源地址保護(hù)含有含有含有DHCP服務(wù)器欺騙攻擊DHCPSnoopingTrust含有含有含有根橋偽裝攻擊STP根保護(hù)含有含有含有BPDU保護(hù)含有含有含有TCN攻擊TC-BPDU報(bào)文非立刻解決機(jī)制含有含有含有路由源偽裝攻擊OSPF/RIP路由MD5驗(yàn)證含有含有二層，不含有設(shè)備控制權(quán)攻擊顧客信息嗅探SSH2.0含有含有含有SNMPv3含有含有含有SFTP含有含有含有管理人員泄密遠(yuǎn)程管理終端限制(TelnetVTY配備ACL)含有含有含有顧客分級含有含有含有暴力嘗試攻擊遠(yuǎn)程管理終端限制(TelnetVTY配備ACL)含有含有含有在顧客接入安全控制，設(shè)計(jì)時(shí)采用下列針對性的方法解決下列MAC、IP地址的安全問題。1、通過接入層交換機(jī)進(jìn)行IP、MAC、端口的綁定或認(rèn)證系統(tǒng)的實(shí)施，解決IP地址沖突和IP地址欺騙。2、接入層交換機(jī)啟用ARP檢測特性，解決ARP攻擊和欺騙的問題。3、接入層交換機(jī)啟用DHCP安全特性，解決顧客私自架設(shè)非法DHCP服務(wù)器的問題。4、在防火墻或路由交換機(jī)通過IPSourceGuard以及URPF特性上解決偽造IP源地址攻擊。5、交換機(jī)啟用ARP報(bào)文限制，解決造成交換機(jī)或客戶端ARP表溢出或DHCP服務(wù)器地址耗盡的問題。6、通過網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)在網(wǎng)絡(luò)維護(hù)和故障解決時(shí)，可快速查找、定位和隔離發(fā)生故障的交換機(jī)全部的端口。網(wǎng)絡(luò)可靠性設(shè)計(jì)各業(yè)務(wù)系統(tǒng)的安全運(yùn)行，對網(wǎng)絡(luò)系統(tǒng)的可靠性提出了很高的規(guī)定。因此在網(wǎng)絡(luò)的設(shè)計(jì)實(shí)施中必須對網(wǎng)絡(luò)的可靠性進(jìn)行詳盡的考慮和設(shè)計(jì)。網(wǎng)絡(luò)系統(tǒng)的可靠性涉及設(shè)備和鏈路冗余、數(shù)據(jù)鏈路層穩(wěn)定性以及網(wǎng)絡(luò)層穩(wěn)定性三大方面。物理設(shè)備和鏈路穩(wěn)定性網(wǎng)絡(luò)構(gòu)造的可靠性校園網(wǎng)絡(luò)設(shè)計(jì)首先從網(wǎng)絡(luò)構(gòu)造上確保了高可靠性和高冗余性：1)網(wǎng)絡(luò)核心層和數(shù)據(jù)中心采用雙機(jī)冗余架構(gòu)設(shè)計(jì)，通過路由合同、不間斷路由等技術(shù)配合實(shí)現(xiàn)可靠性；2)網(wǎng)絡(luò)核心層和數(shù)據(jù)中心設(shè)備間互聯(lián)全部采用雙或多鏈路互聯(lián)，配合路由合同、VRRP、MSTP等技術(shù)實(shí)現(xiàn)局域網(wǎng)絡(luò)的可靠性。設(shè)備級冗余性設(shè)計(jì)網(wǎng)絡(luò)核心節(jié)點(diǎn)設(shè)備的可靠是確保整個(gè)網(wǎng)絡(luò)的有效運(yùn)轉(zhuǎn)的核心所在。要確保網(wǎng)絡(luò)平臺的可靠性，必須要選用品有電信級可靠性的網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)，才干使網(wǎng)絡(luò)含有自動恢復(fù)能力、減少人工維護(hù)工作，達(dá)成電信級的可靠運(yùn)行。網(wǎng)絡(luò)核心設(shè)備必須含有電信級可靠性網(wǎng)絡(luò)中的核心設(shè)備，如核心路由器等，應(yīng)當(dāng)含有電信級可靠性：可靠性指標(biāo)必須達(dá)成99.999%。網(wǎng)絡(luò)核心設(shè)備采用全分布式體系構(gòu)造，路由與轉(zhuǎn)發(fā)分離。全部核心器件，如主控板、電源等都采用冗余設(shè)計(jì)，業(yè)務(wù)模塊支持熱插拔。網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。主備倒換過程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。網(wǎng)絡(luò)核心設(shè)備支持軟件在線升級，升級過程中業(yè)務(wù)不中斷。網(wǎng)絡(luò)核心設(shè)備支持軟件熱補(bǔ)丁，打補(bǔ)丁過程中主控板和接口板都不需要重啟動，業(yè)務(wù)不中斷。校園網(wǎng)絡(luò)中所采用的核心交換機(jī)和數(shù)據(jù)中心交換機(jī)S7500E等設(shè)備含有強(qiáng)大的設(shè)備級可靠性確保：1、采用分布式體系構(gòu)造：S7500E采用分布式體系構(gòu)造，與集中式體系設(shè)備相比較，分布式體系設(shè)備除性能能夠通過插入更多的接口解決板提高整體性能外，更為核心的是將管理、路由轉(zhuǎn)發(fā)、接口解決等功效分派在不同的部件上，協(xié)同工作，分布式體系能夠分散故障風(fēng)險(xiǎn)、隔離故障、提供冗余配備，提高系統(tǒng)的自動恢復(fù)能力；如管理部件故障，只需要更換這部分板件，不影響其它功效。2、核心部件冗余：S7500E采用分布式體系下，對設(shè)備的核心部件，如主控管理單元、交換轉(zhuǎn)發(fā)單元等，進(jìn)行冗余構(gòu)造配備，確保系統(tǒng)在工作中不會全部失效。3、實(shí)時(shí)熱備份機(jī)制：在系統(tǒng)軟件及硬件的支持下，核心部件在發(fā)生故障能自動啟動備份系統(tǒng)，并且主備之間的切換要能夠?qū)崟r(shí)熱倒換，即運(yùn)行中即使發(fā)生設(shè)備故障切換也不會對網(wǎng)絡(luò)業(yè)務(wù)造成影響。4、熱插拔特性：S7500E任意單板均支持熱插拔特性，確保系統(tǒng)出現(xiàn)故障需要維護(hù)，或系統(tǒng)需要升級擴(kuò)展時(shí)，不需要停機(jī)解決，確保網(wǎng)絡(luò)的7×24小時(shí)不間斷運(yùn)行。5、冗余電源支持：S7500E能提供冗余電源負(fù)載分擔(dān)及備份供電，保障系統(tǒng)含有可靠的能量源。6、散熱系統(tǒng)：S7500E的散熱系統(tǒng)使設(shè)備能夠長時(shí)間穩(wěn)定運(yùn)行而不至由于系統(tǒng)升溫過高出現(xiàn)故障，冗余電扇等散熱裝置能夠增加設(shè)備的運(yùn)行時(shí)間及減少故障發(fā)生。鏈路冗余配備校園網(wǎng)絡(luò)核心與匯聚、核心與數(shù)據(jù)中心之間采用多條鏈路互聯(lián)，通過路由合同的ECMP多鏈路分擔(dān)和切換等特點(diǎn)，實(shí)現(xiàn)多鏈路之間的互為冗余備份。數(shù)據(jù)鏈路層穩(wěn)定性設(shè)計(jì)接入交換機(jī)與匯聚交換機(jī)之間為二層鏈路互聯(lián)，為避免二層環(huán)路的發(fā)生，需運(yùn)行生成樹合同，在具體的布署過程中，為實(shí)現(xiàn)鏈路的快速切換以及保障網(wǎng)絡(luò)的穩(wěn)定性，可綜合實(shí)施MSTP生成樹、生成樹邊沿端口、鏈路單向檢測等技術(shù)。網(wǎng)絡(luò)布署MSTP通過運(yùn)行MSTP生成樹合同，能夠解決因拓?fù)渥兓疭TP重新計(jì)算引發(fā)的局部網(wǎng)絡(luò)中斷問題以及因某個(gè)VLAN拓?fù)渥兓l(fā)整個(gè)STP重新計(jì)算的問題。MSTP（MultipleSpanningTreeProtocol，多生成樹合同）能夠彌補(bǔ)STP和RSTP的缺點(diǎn)，它既能夠快速收斂，也能使不同VLAN的流量沿各自的途徑轉(zhuǎn)發(fā)，從而為冗余鏈路提供了更加好的負(fù)載分擔(dān)機(jī)制。MSTP的特點(diǎn)以下：MSTP設(shè)立VLAN映射表（即VLAN和生成樹的對應(yīng)關(guān)系表），把VLAN和生成樹聯(lián)系起來。通過增加“實(shí)例”（將多個(gè)VLAN整合到一種集合中）這個(gè)概念，將多個(gè)VLAN捆綁到一種實(shí)例中，以節(jié)省通信開銷和資源占用率。MSTP把一種交換網(wǎng)絡(luò)劃分成多個(gè)域，每個(gè)域內(nèi)形成多棵生成樹，生成樹之間彼此獨(dú)立。MSTP將環(huán)路網(wǎng)絡(luò)修剪成為一種無環(huán)的樹型網(wǎng)絡(luò)，避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)，同時(shí)還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余途徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載分擔(dān)。MSTP兼容STP和RSTP。生成樹邊沿端口接入交換機(jī)的端口設(shè)為生成樹的邊沿端口,通過此種辦法，能夠避免終端設(shè)備接入時(shí)，發(fā)生由于STP狀態(tài)變化引發(fā)的延時(shí)連通現(xiàn)象。在運(yùn)行生成樹的網(wǎng)絡(luò)中，當(dāng)網(wǎng)絡(luò)拓?fù)渥兓瘯r(shí)，邊沿端口不會產(chǎn)生臨時(shí)環(huán)路。因此，顧客如果將某個(gè)端口指定為邊沿端口，那么當(dāng)該端口由堵塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口能夠?qū)崿F(xiàn)快速遷移，而無需等待延遲時(shí)間。DLDP技術(shù)運(yùn)用校園網(wǎng)絡(luò)中建議選用的交換機(jī)均含有DLDP（DeviceLinkDetectionProtocol，設(shè)備連接檢測合同），實(shí)現(xiàn)光纖單向失效檢測（即收發(fā)兩方向上的一對光纖中有一根失效），解決因光纖單向鏈路失效引發(fā)重復(fù)的STP和OSPF計(jì)算帶來的性能和連通性問題。DLDP合同有以下特點(diǎn)：DLDP是鏈路層合同，它與物理層合同協(xié)同工作來監(jiān)控設(shè)備的鏈路狀態(tài)。物理層的自動協(xié)商機(jī)制進(jìn)行物理信號和故障的檢測；DLDP進(jìn)行對端設(shè)備的識別、單向鏈路的識別和關(guān)閉不可達(dá)端口等工作。當(dāng)使能自動協(xié)商機(jī)制和DLDP后，兩者協(xié)同工作，能夠檢測和關(guān)閉物理和邏輯的單向連接，并制止其它合同（如：STP合同）的失效。如果兩端鏈路在物理層都能獨(dú)立正常工作，DLDP會在鏈路層檢測這些鏈路與否對的連接、兩端與否能夠?qū)Φ牡慕换?bào)文。這種檢測不能通過自動協(xié)商機(jī)制實(shí)現(xiàn)。網(wǎng)絡(luò)層穩(wěn)定性設(shè)計(jì)在校園網(wǎng)的數(shù)據(jù)中心，兩臺交換機(jī)之間采用VRRP為業(yè)務(wù)服務(wù)器、提供高可靠的接入服務(wù)。在校園網(wǎng)的數(shù)據(jù)中心，業(yè)務(wù)服務(wù)器IP網(wǎng)關(guān)設(shè)在數(shù)據(jù)中心交換機(jī)，在組網(wǎng)中，兩臺S7502E之間運(yùn)行VRRP合同。虛擬路由冗余合同VirtualRouterRedundancyProtocol(VRRP)在國際原則RFC3768定義，被眾多網(wǎng)絡(luò)設(shè)備廠商所支持。虛擬路由冗余合同對共享多存取訪問介質(zhì)（如以太網(wǎng)）上終端IP設(shè)備的默認(rèn)網(wǎng)關(guān)(Default

Gateway)進(jìn)行冗余備份，從而在其中一臺路由設(shè)備宕機(jī)時(shí)，備份路由設(shè)備及時(shí)接管轉(zhuǎn)發(fā)工作，向顧客提供透明的切換，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。

網(wǎng)絡(luò)管理設(shè)計(jì)校園信息化系統(tǒng)是一種涉及多個(gè)廠家、多個(gè)類型設(shè)備的復(fù)雜系統(tǒng)，作為整個(gè)系統(tǒng)的承載層，網(wǎng)絡(luò)平臺必須含有良好的可維護(hù)性。在管理方面，我們采用基于H3C智能管理中心的管理系統(tǒng)，實(shí)現(xiàn)對校園網(wǎng)絡(luò)的統(tǒng)一管理，能夠方便的對系統(tǒng)進(jìn)行維護(hù)，實(shí)現(xiàn)快速的故障定位。H3CIMC智能管理中心基于SOA架構(gòu)，采用B/S平臺以及分布式、組件化、跨平臺的開放體系構(gòu)造，根據(jù)據(jù)根不同的業(yè)務(wù)需求選擇安裝不同的業(yè)務(wù)組件，能夠?qū)崿F(xiàn)設(shè)備管理、拓?fù)涔芾?、告警管理、性能管理、軟件升級管理、配備文獻(xiàn)管理等多個(gè)管理功效。H3CiMC采用B/S架構(gòu)，更為方便的通過遠(yuǎn)程方式對網(wǎng)絡(luò)的狀態(tài)進(jìn)行監(jiān)控和維護(hù)，運(yùn)維人員能夠采用IE瀏覽器，通過顧客名/密碼遠(yuǎn)程登錄系統(tǒng)進(jìn)行維護(hù)，同時(shí)，H3CiMC還能夠?qū)崿F(xiàn)顧客分權(quán)限、設(shè)備分組的管理，不同的級別管理人員可對設(shè)備進(jìn)行多個(gè)類型的操作，并且還能夠限制能夠管理的設(shè)備。H3CiMC不僅能夠獨(dú)立提供完整的網(wǎng)絡(luò)管理平臺，還能夠與OpenView、SNMPc多個(gè)主流通用網(wǎng)管平臺靈活集成；不僅能夠管理H3C公司的全線數(shù)據(jù)通信設(shè)備，還能夠通過原則MIB管理CISCO、3COM等各主流廠商的數(shù)據(jù)通訊設(shè)備。通過布署H3CiMC網(wǎng)管系統(tǒng)，能夠?qū)崿F(xiàn)下列運(yùn)行維護(hù)管理功效。資源管理iMC資源管理與拓?fù)涔芾碜鳛檎w共同為顧客提供網(wǎng)絡(luò)資源的管理。網(wǎng)絡(luò)自動發(fā)現(xiàn)能夠通過設(shè)立種子的簡易方式、路由方式、ARP方式、IPSecVPN、網(wǎng)段方式等五種自動發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓?fù)洌詣幼R別涉及：路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC在內(nèi)的多個(gè)類型網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)手工管理能夠手工添加、刪除網(wǎng)絡(luò)設(shè)備，能夠批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備，批量配備Telnet、SNMP參數(shù)，以及批量校驗(yàn)Telnet參數(shù)等輔助功效；網(wǎng)絡(luò)視圖管理支持IP視圖、設(shè)備視圖、自定義視圖、下級網(wǎng)絡(luò)管理視圖等多個(gè)管理視圖，顧客能夠從不同角度實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的管理；網(wǎng)絡(luò)設(shè)備的管理從任何一種網(wǎng)絡(luò)視圖入口，都能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，涉及：支持對設(shè)備的管理/去管理、接口的管理/去管理、設(shè)備的具體信息顯示和接口具體信息顯示、設(shè)備和接口實(shí)時(shí)告警狀態(tài)、設(shè)備和接口的實(shí)時(shí)性能狀態(tài)、實(shí)時(shí)檢測存在故障的設(shè)備等，顧客能夠方便的實(shí)現(xiàn)全部設(shè)備的管理；設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理支持對H3C、CISCO、3COM等重要廠家設(shè)備的管理，支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號；支持設(shè)備面板管理的動態(tài)注冊機(jī)制，實(shí)現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成；支持拓?fù)涠ㄎ?、ACL、VLAN、QoS等業(yè)務(wù)管理系統(tǒng)的集成，實(shí)現(xiàn)設(shè)備資源的統(tǒng)一管理；設(shè)備分組權(quán)限管理支持設(shè)備分組功效，通過對設(shè)備資源進(jìn)行分組管理，系統(tǒng)管理員方便的分派其它管理員的管理權(quán)限，便于職責(zé)分離；拓?fù)涔芾韎MC拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供應(yīng)顧客對整個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)渥詣影l(fā)現(xiàn)H3CiMC能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)錁?gòu)造，支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D，通過視圖導(dǎo)航樹提供視圖間的快速導(dǎo)航。通過自動發(fā)現(xiàn)能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的全部設(shè)備及網(wǎng)絡(luò)構(gòu)造（具體參見資源管理），并且能夠?qū)⒎荢NMP設(shè)備發(fā)現(xiàn)出來，只要設(shè)備能夠ping通即可。這樣就能夠?qū)⑷烤W(wǎng)絡(luò)設(shè)備都列入其管理范疇（只要設(shè)備IP可達(dá)）。同時(shí)支持自動的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)洹Ｗ詣油負(fù)淠軌蜃詣訉⒕W(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來，同時(shí)能夠保存為自定義拓?fù)鋱D并可根據(jù)具體狀況進(jìn)行修改方便于網(wǎng)管員對整個(gè)網(wǎng)絡(luò)設(shè)備的監(jiān)控。支持對全網(wǎng)設(shè)備和連接定時(shí)輪詢和狀態(tài)刷新，實(shí)時(shí)理解整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況，并且刷新周期是可定制（刷新周期：60～7200秒），同時(shí)也支持對多個(gè)設(shè)備的刷新周期進(jìn)行批量配備的功效。支持自定義拓?fù)鋫鹘y(tǒng)的網(wǎng)絡(luò)管理軟件大多支持自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞墓π?，但是自動發(fā)現(xiàn)后的網(wǎng)絡(luò)拓?fù)渫侵T多設(shè)備圖標(biāo)的簡樸排放，不能突出重點(diǎn)設(shè)備和網(wǎng)絡(luò)層次，使網(wǎng)絡(luò)管理人員感覺無從下手。針對這種狀況，H3CiMC的拓?fù)涔πеС朱`活的自定義功效，管理人員能夠根據(jù)網(wǎng)絡(luò)的實(shí)際組網(wǎng)狀況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù)洌蓪ν負(fù)鋱D進(jìn)行增、刪、改等編輯操作，使網(wǎng)絡(luò)拓?fù)淠軌蚯逦爻尸F(xiàn)整個(gè)公司的網(wǎng)絡(luò)構(gòu)造以及IT資源分布。H3CiMC支持靈活定制拓?fù)鋱D，使網(wǎng)絡(luò)拓?fù)涓兄攸c(diǎn)和層次感。管理員能夠按照關(guān)注設(shè)備不同，管理角度不同定義多個(gè)拓?fù)?，并能夠針對拓?fù)洳煌x擇不同的背景圖；管理員能夠根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同，鏈路速率不同采用適宜的圖標(biāo)顯示。自動識別多個(gè)網(wǎng)絡(luò)設(shè)備和主機(jī)的類型H3CiMC能夠自動識別H3C、華為、Cisco、3com等廠商的設(shè)備、Windows、Solaris的PC和工作站、其它SNMP設(shè)備和ping設(shè)備，并且以樹形方式組織，以不同的圖標(biāo)顯示辨別。在拓?fù)鋱D上更可進(jìn)一步對設(shè)備的類型進(jìn)行辨別，如辨別路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲設(shè)備、監(jiān)控設(shè)備、無線設(shè)備、語音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC等等。設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示H3CiMC的拓?fù)涔πc故障管理和性能管理緊密融合，使拓?fù)鋱D能夠清晰地看到公司IT資源的狀態(tài)，涉及運(yùn)行與否正常、網(wǎng)絡(luò)帶寬、接口連通、配備變化都能一目了然。多個(gè)顏色辨別不同級別故障，根據(jù)節(jié)點(diǎn)圖標(biāo)顏色反映設(shè)備狀態(tài)。拓?fù)淠芴峁┰O(shè)備管理便捷入口H3CiMC拓?fù)淠軌蛱峁υO(shè)備管理的便捷入口，管理員只需通過右鍵點(diǎn)擊拓?fù)鋱D中的設(shè)備圖標(biāo)即可啟動設(shè)備管理各項(xiàng)功效，實(shí)現(xiàn)對設(shè)備的面板管理等各項(xiàng)功效配備。故障（告警/事件）管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺及其它業(yè)務(wù)組件統(tǒng)一的告警中心。以下圖所示，以故障管理流程為引導(dǎo)，介紹H3CiMC強(qiáng)大的故障管理能力：告警發(fā)現(xiàn)和上報(bào)iMC告警中心能夠按收多個(gè)告警源的告警事件，涉及設(shè)備告警、本級網(wǎng)管站及下級網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配備監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端安全異常告警等；同時(shí)通過支持對設(shè)備定時(shí)輪詢，實(shí)現(xiàn)通斷告警、響應(yīng)時(shí)間告警等，以告警事件的方式上報(bào)給H3CiMC告警中心；設(shè)備告警涉及電源電壓、設(shè)備溫度、電扇等告警事件，設(shè)備冷啟動、熱啟動、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）變化，熱備份路由（HSRP）狀態(tài)變化等告警事件，支持對H3C、CISCO、華為、3COM等多廠商設(shè)備告警的識別和解析；網(wǎng)管站告警指涉及本級iMC系統(tǒng)集群服務(wù)器的異常告警，涉及CPU運(yùn)用率、內(nèi)存使用率、iMC服務(wù)程序運(yùn)行狀態(tài)等以及下級iMC系統(tǒng)上報(bào)的告警事件；網(wǎng)絡(luò)性能監(jiān)視涉及CPU運(yùn)用率，內(nèi)存使用率，以及RMON告警的故障管理。網(wǎng)絡(luò)配備監(jiān)視告警涉及設(shè)備軟件版本、配備信息變更等告警事件，并通過iMC智能配備中心組件（iMCiCC）實(shí)現(xiàn)配備文獻(xiàn)定時(shí)檢查，實(shí)現(xiàn)配備變更告警事件。網(wǎng)絡(luò)流量異常監(jiān)視告警通過iMC網(wǎng)絡(luò)流量分析組件（iMCNTA）實(shí)現(xiàn)網(wǎng)絡(luò)中異常流量告警，涉及對設(shè)備及接口異常流量、主機(jī)IP地址異常流量和應(yīng)用異常流量的告警，支持二級閾值告警定義；終端安全異常告警通過iMC端點(diǎn)準(zhǔn)入防御組件（iMCEAD）實(shí)現(xiàn)對終端顧客安全異常的告警，涉及ARP攻擊告警、終端異常流量告警及其它終端不安全告警；iMC定時(shí)輪詢告警指通過iMC的資源管理模塊對設(shè)備接口信息定時(shí)進(jìn)行輪循，并及時(shí)上報(bào)通斷告警、響應(yīng)時(shí)間告警等告警事件。告警深度關(guān)聯(lián)分析與統(tǒng)計(jì)iMC告警中心根據(jù)告警腳本中的告警事件定義，接受并解析上報(bào)的告警事件；H3CiMC對接受到的告警事件進(jìn)行深度關(guān)聯(lián)分析，系統(tǒng)缺省支持重復(fù)事件閾值告警、閃斷事件閾值告警、未知事件閾值告警、未管理設(shè)備告警閾值告警，并能在故障恢復(fù)時(shí)自動確認(rèn)有關(guān)告警；同時(shí)顧客能夠根據(jù)自己的需要擬定事件的告警規(guī)則，以適應(yīng)網(wǎng)絡(luò)管理需要。重復(fù)事件閾值告警：屏蔽重復(fù)接受到的相似事件，并可在達(dá)成閾值條件時(shí)產(chǎn)生新告警告知顧客。閃斷事件閾值告警：分析接受到的閃斷事件，并可在達(dá)成閾值條件時(shí)產(chǎn)生新告警告知顧客。未知事件閾值告警：屏蔽接受到的未知事件，并可在達(dá)成閾值條件時(shí)產(chǎn)生新告警告知顧客。未管理設(shè)備告警閾值告警：屏蔽接受到的未管理設(shè)備事件，并可在達(dá)成閾值條件時(shí)產(chǎn)生新告警告知顧客。自定義事件過濾規(guī)則：顧客自定義的事件過濾規(guī)則，顧客可指定在什么時(shí)間范疇內(nèi)、對什么樣的告警進(jìn)行過濾。iMC系統(tǒng)預(yù)定義缺省支持各類深度分析后告警事件關(guān)聯(lián)升級為告警的生成規(guī)則，同時(shí)，管理員能夠自定義由告警事件升級為告警的規(guī)則，可從事件、事件核心字、事件源、時(shí)間范疇四個(gè)方面進(jìn)行規(guī)則定義，一旦定義事件升級為告警規(guī)則后，iMC告警中心會根據(jù)定義的規(guī)則關(guān)聯(lián)分析后生成不同級別的告警（告警共分成緊急、重要、次要、警告、事件5個(gè)級別；在瀏覽數(shù)據(jù)窗口，分別以紅色、橙色、黃色、藍(lán)色、灰色五種顏色進(jìn)行顯示），將管理員從繁多的告警事件中解脫出來，避免產(chǎn)生告警風(fēng)暴，讓管理員能用心關(guān)注告警的本源。實(shí)時(shí)告警H3CiMC提供多個(gè)方式將告警告知給管理員，涉及：實(shí)時(shí)遠(yuǎn)程告警：通過手機(jī)短信或Email郵件的方式，將告警及時(shí)告知管理員，實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)的監(jiān)控和管理；分類、聲光告警板，按故障類別及等級實(shí)時(shí)告警，讓管理員通過告警板不僅及時(shí)懂得告警產(chǎn)生，同時(shí)能夠理解產(chǎn)生的告警的類別和等級：實(shí)時(shí)告警瀏覽和確認(rèn)，通過告警首頁對現(xiàn)在故障未排除的告警實(shí)時(shí)刷新并提供故障排除確認(rèn)的入口：故障解決H3CiMC對多個(gè)故障警均提供“修復(fù)建議”，管理員能夠參考修復(fù)建議對故障進(jìn)行解決。在故障得到解決后，通過對告警確實(shí)認(rèn)完畢故障的恢復(fù)確認(rèn)。固化經(jīng)驗(yàn)H3CiMC提供告警知識庫。告警知識是顧客在維護(hù)過程中的經(jīng)驗(yàn)總結(jié)，將這些經(jīng)驗(yàn)輸入系統(tǒng)，下次再出現(xiàn)同樣的故障時(shí)，能夠作為參考。顧客選中一條告警統(tǒng)計(jì)，系統(tǒng)根據(jù)顧客選中的告警統(tǒng)計(jì)，從告警知識庫中查詢出該條告警統(tǒng)計(jì)的維護(hù)經(jīng)驗(yàn)，供顧客進(jìn)行告警解決進(jìn)行參考。顧客將自己的日常解決經(jīng)驗(yàn)以及業(yè)務(wù)信息及時(shí)寫入數(shù)據(jù)庫、更新告警知識庫對后來的故障診療與排除非常有益。性能管理H3CiMC網(wǎng)管系統(tǒng)提供豐富的性能管理功效，同時(shí)以直觀的方式顯示給顧客。例如：能夠提供折線圖、方圖、餅圖等多個(gè)顯示方式并能生成對應(yīng)的報(bào)表。通過性能任務(wù)的配備，可自動獲得網(wǎng)絡(luò)的多個(gè)現(xiàn)在性能數(shù)據(jù)，并支持設(shè)立性