1、浙江省普陀中学网络改造项目 技术方案目 录第1卷 技术方案31.1 网络系统集成建设方案3 编制依据3 需求分析3 网络建设的总体目标5 网络建设原则5 网络系统设计方案6 网络管理方案设计10 无线网络方案设计（后期的优化拓展）111.2 设备清单14 网络设备清单141.3 网络设备产品介绍151.3.1 H3C S7500E系列高端多业务路由交换机151.3.2 H3C S5500-EI系列以太网交换机产品181.3.3 H3C S5120-EI系列交换机211.3.4 H3C SecPath F1000 系列防火墙241.4 无线产品介绍261.4.1 H3C WX5002无线控制器22、61.4.2 H3C WA2100&WA2200系列无线接入点281.5 IMC 智能管理中心平台321.6 H3C 公司简介39第1卷 技术方案1.1 网络系统集成建设方案1.1.1 编制依据本技术方案依据下列文件编写:n 浙江省普陀中学网络系统集成的需求及规划n 国家、地方有关技术规范标准以及相关国际标准n 华三（H3C）通信技术有限公司相关产品的技术特点n IBM（国际商用机器公司）等相关产品技术特点1.1.2 需求分析本次项目是浙江省普陀中学网络改造相关项目，普陀中学始建于1949年，属于浙江省一级重点中学，学校于 1997 年迁址于普陀东港开发区。新校园占地面积 66332 平方米，3、建筑面积 21260 平方米。设施一流，环境幽雅。有 400 米环形跑道的田径场和绿草如茵的标准足球场各 1 个；计算机教室和多媒体教室各 2个，智能机器人实验室1个；配有崭新实验设备的实验室 9 个；图书馆面积 1885 平方米，藏书 9 万多册，实行电脑管理，配有电子阅览室（内有5万册电子图书）；教室宽敞明亮，所有教室都配有多媒体教学设备（包括电脑、实物投影仪、投影仪等设备）。至2004学年，全校现有 30 个班级，学生1492名，教职工 137 名，其中专任教师 108 名，专任教师中具有高级职称的 43 人，中级职称以上人数为 76 人，占专任教师总数的 70.4%, 其中特级教师 14、 名，省劳模 1 名，省优秀教师 3 名，省教坛新秀 2 名，舟山市“十位人民满意教师” 1 名，舟山市首届专业技术拔尖人才 1 名，市、区学科带头人 17 名，舟山市新世纪学术与技术带头人 2 名， 6 位老师被列为市学术与技术后备人才，具有研究生学位2人，研究生进修结业和正在进修的 22 人。学校继承优良的传统文化，形成了比较独特的教育目标体系，先后被评为“省文明单位”、“省先进集体”、“省德育先进集体”、“省劳技教育先进集体”、“省电化教育先进单位”、“省群众体育先进集体”、“省文明学校”、“省卫生先进单位”、“省优秀社会实践活动学校” 、“抗非典先进集体”、“市级先进基层党校”、“省、5、市青年文明号”、“先进基层党组织”、“舟山市十所社会满意学校”、“市社会实践先进集体”、“市文明单位”等荣誉称号。涌现了一大批优秀学生。鉴于学校原有的网络系统比较落后，已不能满足现代教学的需要，因此学校决定对原有的网络系统进行全面改造，以适应学校现在教学的需求，学校依据“勤俭节约办学”的原则，同时兼顾采购设备“质优价良”的原则，通过采取先进的网络产品及技术，使主干网络能适应目前主流网络技术的要求，并在今后数年内保持先进性。校园网部分，将建成高速，可靠，安全的校园网网络平台，实现校园网内信息网络的互流互通，确保网络的平稳，安全地运行，为实现未来的数字化校园，数字化图书馆系统，数字化监控系统等各种6、网络应用打下良好的网络基础。综合学校的实际情况及所提出的相关需求，我们可以把浙江省普陀中学网络改造总体要求归纳如下：高速度要求骨干网络系统采用万兆及千兆以太网技术，网络核心交换机到接入交换机要求达到千兆通讯速率，要求到桌面电脑系统，提供100Mb通讯速率。高可靠性网络的可靠性是管理系统运行的关键保障之一，因此要求网络结构除采用可靠性措施外，网络设备要求具备相当好的容错性，主交换机到关键楼宇采取双通道聚合，防止网络设备的单点故障。高效率网络要求具备三层或以上交换能力，支持全双工连接，提供端到端的线速交换，并具备隔离网段和地址过滤功能，减少网络冲突，提高网络的工作效率。具有先进的服务级别和服务质量7、支持和组播功能，为多媒体的应用提供有效的支持。虚拟网功能所有网络交换机必须支持虚拟网功能，支持跨设备VLAN划分功能，即能够在不变动网络设备物理位置的情况下，可将其配置到不同的网络之中，这对于网络管理是十分有用的，可以确保不同厂商的交换机可以在同一个网络中正常运行。安全性整个网络必须具备很高的安全控制能力，保证特殊部门敏感数据的安全。扩展性要求网络系统很好的支持用户节点的扩展，并能通过软件升级的方式支持网络协议的升级。要求本项目实施的设备能完全支持IPv6，以便在以后网络升级到IPv6时能完全支持。可管理性，易维护性可靠，先进的网络必须具备良好的网络管理手段，网络管理应管理到每个网络设备的端口8、和节点，通过网络管理系统能获取每个端口和每个节点的工作状，能发现网络故障或节点失败，有利于故障排除，网络管理应具有最先进的维护配置，故障诊断，报警机制及日志管理等强大功能。1.1.3 网络建设的总体目标建成一个全校范围的、高速的、开放的、分布的、多媒体的信息网络平台，使校园计算机网进一步实用化，并在教学、科研、管理中发挥重要作用。1、实现学校主要的教学、科研、管理计算机联网；2、为教职工对外联系交流、查询、网络教学创造条件，通过网络密切与国内外的学术联系，提高学校的教学、科研水平。、3、完善计算机网络与信息中心建设，提供更新更全的Internet服务功能，达到高水平服务；4、建设校行政管理信息9、系统、办公自动化系统以及财务软件等高效的办公系统，实现管理现代化，增强教育管理的科学性。通过实现办公自动化，提高学校各级管理的效率和水平； 5、建设网络计算环境，提供集成的计算资源，为提高我校的教学和科研水平创造条件； 6、跟踪计算机网络技术世界先进水平，在小范围内进行网络新技术研究和试研，为下一世纪校园计算机网的进一步发展奠定坚实基础。1.1.4 网络建设原则本次设计的网络是浙江省普陀中学校园网络及内部网络，因此我们将遵循以下原则进行设计：1、网络的可靠性：设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，网络中单点故障不会使局部网络失去与整个网络的连接，多点故障不会造成整个网络10、被分成几个互不相连的部分。2、网络安全性：包含三个方面的含义:一是防止未经许可的终端随意接入局域网络；二是网络系统应具备对病毒的防御能力，尽可能避免网络因为病毒原因而导致瘫痪；三是指防止非法访问者通过公网对内部网络节点进行攻击。3、经济性：充分考虑经济和安全的最佳结合点。设备在保障性能和可靠安全的基础上，应能达到最佳性价比。4、网络的实用性：根据现在的需求和可以预见的需求增长情况设计网络，不追求空洞的技术先进性，避免追求高档和最新技术花费的巨大代价。5、网络的标准化和易扩展性：网络的结构，技术和产品的标准化，结构的易扩展，技术和产品的可连续性。6、网络路由协议的健壮性及开放性：它应具有很好的收11、敛性和可扩展性，同时其网络额外开销是极小的，且受到国际标准的支持，保证不同设备见的互通性。7、网络的易管理和维护性：全网可进行统一或分布管理，网络维护简单有效。8、可扩充性：考虑到今后信息化的进程和逐步演进，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。9、开放性：技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。1.1.5 网络系统设计方12、案基于以上要求分析，网络系统总体设计以高性价比、高安全性、良好的可扩展性、可管理性和统一的网管及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。我们提出采用如下拓扑结构方式进行网络建设：1.1.5.1 核心层设计核心层负责整个网络的数据交换，同时也是整个网络的路由交换中心，全网绝大部分第三层的转发交换都通过核心节点集中进行，核心设备的性能会影响到整个网络的性能。因此，在选用核心层设备时应该考虑到设备处理性能、网络的可靠性、扩展能力以及网络的安全性等方面。华三通信（H3C）公司的高端多业务路由交换机H3C S7506E核心路由交换机对上述各项业务都提供了强有力的支持，并且13、在处理性能、网络的可靠性、扩展能力以及网络的安全性等方面完全可以满足浙江省普陀中学网络建设的要求。因此，在本方案中，建议核心交换机采用华三通信（H3C）公司的高端多业务路由交换机H3C S7506E。H3C S7506E系列交换机是H3C公司推出的新一代核心路由交换机，该产品基于H3C公司自适应安全网络的技术理念，在提供大容量、高性能L2/L3交换服务基础上，进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可作为构建融合业务。1.1.5.2 汇聚层设计汇聚层是核心层和接入层的分界点，是基于策略的连通性的分层，为本层的中高速业务提供接入服务。根据学校的网络建设规模，我们采用采用H3C14、 S5500EI系列全千兆以太网交换机，它支持最多4个万兆扩展接口，可以满足用户今后带宽扩容的需求；支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将到来的IPv6时代，支持丰富的IPv4/IPv6 路由协议。1.1.5.3 接入层设计接入层交换机提供到桌面的数据业务连接服务，因此，接入层交换机必须具有灵活的业务处理能力，如安全策略、扩展能力和强大的QoS能力等。为了达到学校网络建设的全千兆的要求，我们采用H3C S5120EI系列全千兆以太网交换机作为此次项目的接入交换机，它是构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，该产品均支持802.1x认证，在用户接入15、网络时完成必要的身份认证，而且可以通过灵活的MAC、IP、VLAN任意组合绑定，有效的防止非法用户访问网络。此外，该产品支持智能弹性架构，具备完备的安全控制策略和丰富的QOS策略，提供基于源MAC地址、目的MAC、 MAC地址范围、源IP地址、目的IP地址、IP协议类型、物理端口、TCP/UDP端口、 TCP/UDP端口范围、VLAN、VLAN范围等定义ACL，因此，S5120EI交换机是全千兆校园网接入层交换机良好选择，可为浙江省普陀中学校园网用户提供快速、高效、灵活的网络接入服务。1.1.5.4 广域出口设计校园网设置多个出口，2个Internet运营商接入。为保证内部校园网络的可靠性和安16、全性，在出口处配置专业千兆防火墙，对外提供快速的访问速度以及外部用户快速的访问党校的门户网站。本项目中采用H3C的NS-SecPath F1000-S-AC作为此次项目的出口路由及防火墙设备，并采用双WAN口接入，保证校园网络的安全可靠的运行。H3C的SecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。防火墙与Internet之间以千兆单模光纤接口互连。1.1.5.5 技术方案特点1足够的带宽和优越的整体性能。网络建成后，整个网络的主干线路带宽将达到千兆，核心层采用的模块化分布式处理技术使得网17、络稳定性更强，可以更有效的满足各种业务应用，有效的支持当前各种主流业务软件的开展使用。2网络层次清晰化、条理化。整个网络分为三个层次即核心层、汇聚层、接入层，实现分层管理，规范了网络结 构，提高了网络性能。3网络核心具备高可靠性。核心设备为运营级的模块化设备，并有冗余配置（冗余电源），可以最大程度的避免单点故障，保证整个网络系统的高稳定性运转。4网络中心实现了统一管理。本次配置的网络设备均支持SNMP（简单网络传输协议），可利用网络管理系统提供的专业管理功能，通过简化网络管理流程，提高管理员的工作效率，网络管理系统还将帮助办公网降低网络的运行成本。5局域网内部的高安全性。核心交换机支持ACL（18、访问控制列表），所有交换机支持MAC地址、IP地址、端口地址绑定，提高网络资源的有效利用，避免个别员工乱改IP地址，支持VLAN的划分，有效隔离网络广播流量，保证网络性能的正常发挥，隔离各部门网络，提供各部门信息安全性。网络出口设备提供VPN功能，可实现出差办公用户通过IPSEC VPN与总部网络安全互联。6网出口的安全性。网络出口配置了千兆高性能的防火墙做双出口，分别连接电信和网通出口，通过NAT功能保护内网地址，使网络出口速度及性能上均得到了最大性能的发挥，另具备高效的抵御外来攻击能力，并可以检测和预防木马、蠕虫、黑客攻击以及来自互联网的其它类型攻击，实现对网络应用层提供有效的保证。7强大19、的QOS功能Qos对于网络的应用来说是非常重要的，考虑到学校未来要增加多种的业务，如：流媒体点播、视频点播等，这要求全网能够提供强大的Qos的功能，华三（H3C）通信的S7506E系列全网产品可以为用户提供丰富的Qos保证，华三（H3C）通信支持QoS技术中的PQ/CQ/WFQ/LLQ/CBWFQ等转发队列优先保证机制，所携带的IP地址段、TOS值、源端口号等均可实现业务的保证，同时可以针对不同的接入层交换机端口或是不同业务进行端口的限速，以提高全网的Qos业务的保证。同时S7506E可实现基于业务类型的流领控制功能，如：基于端口、IP、Vlan等带宽管理以及优先权的分配，可实现带宽管理最小粒20、度为8K。1.1.6 网络管理方案设计1.1.6.1 网络管理概述通过在网络中心安装集中网管系统，通过带内的方式实现对整网设备的统一管理，提供集中、统一、分级、分权的网元管理、网络管理功能，并实现部分业务供给功能。网管系统采用先进的组件化结构，可以对全网设备集中管理。网管系统对所有设备的管理采用带内方式，通过SNMP协议由网管中心服务器发出管理信息报文，各宽带网络设备上的网管代理进行本设备运行状态，数据信息的收集，然后通过SNMP协议将本网络设备的网管信息上报给网管中心服务器，由网管中心服务器统一对上报的网管信息进行处理和分析，然后通过SNMP协议下发控制命令，由各设备网管代理接收控制命令后，21、完成对本设备的管理和控制。1.1.6.2 网络设备管理软件选型根据网络设备的选择，我们将采用与网络设备同一品牌的H3C IMC 智能管理平台。随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心，一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。基于多年的积累和对用户网络的深入理解，H3C智能管理中心平台为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络22、精细化管理最佳的工具软件。1.1.7 无线网络方案设计（后期的优化拓展）1.1.7.1 概述随着以太网的广泛应用，因特网的日益普及，以及移动终端的不断增加，人们对移动IP接入的需求迅速增长。无线局域网WLAN（Wireless Local Area Network ）作为有线以太网的延伸，一定程度上满足了这种需求。本次网络改造项目暂时没有涉及无线网络部分，但是随着校园网用户的需求增加，可以考虑在后期优化过程中增加无线部分，以满足现代教学和校园网用户的进一步需求。目前无线局域网技术已成熟完善，802.11技术标准本身已具备作为运营网络的一种宽带接入手段所需要考虑的区分运营网络接入、空口安全、用户23、隔离、多AP间慢速切换、多AP间用户负载均衡等特性规范。802.11技术产品产业链已经逐步形成，产品成熟稳定，适合各种应用场合的AP基站以及配套天馈系统已在各类网络中大量应用。无线局域网技术已超越原先定义的为企业或家庭提供最后100m接入（无线Hub）的范围，作为3G以及宽带网络的一种有效的补充接入手段，它具备3G的移动性以及提供比3G更高的接入带宽，具备宽带网络的接入带宽以及具有移动性的优势，目前国际标准化组织正在制定WLAN与IP网络以及3G网络融合的构架流程。无线局域网的应用范围已经非常广泛，如果将其应用划分为室内和室外的话，室内应用包括大型办公室、临时办公室、会议室、体育馆、会展中心、24、医院等；室外应用包括建筑群间通信、操场、绿地等。 可以预见，凭借无线接入技术本身具有的应用灵活、安装速度快、建设周期短等优势，以及地理应用环境的无限制特性，WLAN必将作为一种高速无线数据接入手段与有线网络一起，构成灵活、高效、完善的宽带网络。1.1.7.2 无线产品选型本次项目无线网络主要采用先进的FIT AP方案进行组网，为满足室内和校园室外的覆盖，我们将配置H3C WA2220-AG 无线局域网室内型AG双频双模接入点和H3C WA2220X-AG 无线局域网室外型AG双频双模接入点两种分别定位于室内型和室外型的无线接入点，在网络核心处配置H3C WX5004-H3无线局域网控制器，与无25、线接入点AP之间通过二层隧道协议通信，WX5004作为中央控制管理器可从网络任何位置接入，本次设计从核心交换机S7506E上接入，对所有AP和用户进行管理，所有数据通过AP打隧道到WX5004再解隧道送返有线网络，这种工作机制一定程度的保证了无线数据的加密安全传输，同时WX5004处于中央控制地位可实现更丰富的业务功能。1.1.7.3 室内接入方案 通过交换机(或是离AP步放点比较近)连接一根电缆到AP（运营型AP、采用全向天线、AP通过POE供电），AP可以步放在会议室角落或是中央、餐厅中内或是角落、楼道内等，并兼顾覆盖的范围。对AP设备的要求为运营型AP支持POE远端供电，提供各种美观的天26、线（不影响应用环境美观）、支持有线接口级连等。1.1.7.4 室外接入方案 通过交换机(或是离AP步放点比较近)连接一根电缆到AP（运营型AP、采用全向天线、AP通过POE供电），AP可以步放在操场中央、楼道等，并兼顾覆盖的范围。对AP设备的要求为运营型AP支持POE远端供电，提供各种美观的天线（不影响应用环境美观）、支持有线接口级连等。1.1.7.5 相关实施方案对于普陀中学的校园网络的后期优化过程中可以考虑到无线的拓展，只需要在现有的网络的核心交换机S7506E上配置H3C WX5004-H3无线局域网控制器,然后在有无线需求的区域加上支持POE供电的交换机LS-5120-28C-PWR-27、EI或者LS-5120-52C-PWR-EI系列交换机，就可以在相关区域布置无线AP做无线覆盖，优化后的网络拓扑图如下：1.2 设备清单1.2.1 网络设备清单网络设备清单核心交换机LS-7506EH3C S7506E 以太网交换机主机1LSQM1AC1400H3C S7500E 交流电源模块,1400W2LSQM1SRPB0H3C S7500E Salience VI交换路由引擎2LSQM1GT24SC0H3C S7500E 24端口千兆以太网电接口模块(RJ45)1LSQM1GP24SC0H3C S7500E 24端口千兆/百兆以太网光接口模块(SFP,LC)1SFP-GE-SX-MM8528、0-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)10校园网汇聚交换机LS-5500-28C-EIH3C S5500-28C-EI-以太网交换机主机(24个10/100/1000Base-T+4个100/1000Base-X SFP Combo+2Slots)10SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)10校园网接入交换机LS-5120-28C-EI-H3H3C S5120-28C-EI-以太网交换机主机(24GE+4SFP Combo+2Slot)15LS-5120-52C-EI-H3H3C S5120-52C29、-EI-以太网交换机主机(48GE+4SFP Combo+2Slot)25出口防火墙NS-SecPath F1000-S-ACH3C SecPath F1000-S 主机-双交流电源(4GE/2Slot)1SFP-GE-LX-SM1310-A光模块-SFP-GE-单模模块-(1310nm,10km,LC) 2网管软件SWP-IMC-IMPWN-CNH3C iMC-智能管理平台标准版(不含节点)-纯软件(DVD)中文版1LIS-IMC-IMPB-CN-100H3C iMC-智能管理平台标准版license费用-管理100节点11.3 网络设备产品介绍1.3.1 H3C S7500E系列高端多业务30、路由交换机H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络推出的新一代高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C S7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。H3C S7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V（垂直8槽）、S31、7503E（5槽）、7503E-S（3槽）和S7502E(4槽)6款产品，除了7503E-S所有产品均支持冗余主控。H3C S7500E可广泛应用于城域网汇聚和边缘、园区网核心和汇聚以及配线间等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。产品特点丰富的业务，适应融合业务网络发展趋势基于IRF2（第二代智能弹性架构）技术的虚拟化架构H3C S7500E面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和32、无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。全面的MPLS、VPLS业务能力H3C S7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。 全面支持VPLS，VLL，支持1K VPLS实例，4K VLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。高性33、能IPv4/IPv6业务能力H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动34、，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。EAD端点准入防护技术H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。全方位的安全保障，抵御多种网络安全威胁有35、线无线全面支持EADH3C S7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，满足金融等行业访问权限严格控制的需求。电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3C S7500E采用无单点故障设计，所有36、关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999的电信级可靠性。多业务高可靠性运行H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不间断运行，实现业务的永续。基于IRF2架构的HAIRF2技术可以把多台S37、7500E虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制，实现毫秒级链路故障检测。1.3.2 H3C S5500-EI系列以太网交换机产品产品简介 H3C S5500-EI系列交换机是全千兆强三层以太网交换机产品，具备丰富的业务特性，支持硬件IPv6转发以及最多4个10GE扩展接口。S5500-EI系列千兆以太网交换机特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网38、络和园区网的汇聚和接入以及数据中心的服务器接入设备。H3C S5500-EI系列目前可以提供： S5500-EI系列硬件支持IPv4和IPv6双协议，并支持多种三层协议； 产品系列齐全，每款产品均支持两个上行模块，最大可以支持到410GE上行，扩展性强，充分保护投资； POE（Power Over Ethernet）功能，通过双绞线向远端下挂PD设备供电； 更强ACL功能，可以实现基于VLAN的ACL下发以及基于出端口和入端口的ACL（Ingress/ Egress ACL）功能，便于网络规划和管理； RRPP（Rapid Ring Protection Protocol）环网技术保护协议，具39、备更快收敛速度和收敛时间，使网络更加可靠； 百兆和千兆光模块自适应，使应用更加方便； SFlow功能，可以对出入方向的报文按比例随机抽样，灵活实现报文采集；H3C S5500-EI系列以太网交换机目前包含如下型号：S5500-28C-EI：24 个10/100/1000以太网端口，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC和DC电源双输入；S5500-52C-EI：48 个10/100/1000以太网端口，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC和DC电源双输入；S5500-28F-EI：24个100M/1000M SFP以太网光口，8个140、0/100/1000千兆位以太网端口（Combo），两个扩展槽位；支持两个互为备份的可插拔AC/DC电源；S5500-28C-PWR-EI：24 个10/100/1000以太网端口，带PoE功能，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC和DC电源双输入； S5500-52C-PWR-EI：48 个10/100/1000以太网端口，带PoE功能，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC和DC电源双输入； S5500-28C-EI/S5500-28C-PWR-EI前后面板图 S5500-52C-EI/ S5500-52C-PWR-EI前后面板41、图 S5500-28F-EI前后面板图产品特点高扩展性，保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条10GE链路将是我们的未来发展方向。S5500EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，最多可以支持410GE上行，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。并且S5500-EI系列以太网交换机支持后续平滑升级H3C创新的IRF智能弹性架构技术：采用创新的IRF智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势，主要体现在三个方面：扩展性IRF技术允许交换机利42、用互联电缆实现多台设备的扩展，最大实现8台设备的弹性扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。可靠性通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了堆叠架构的可靠性和高性能，同时消除了单点故障，避免了业务中断。分布性通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。硬件支持IPv4和IPv6S5500-EI系列以太网交换机硬件支持IPv4和IPv6双协议，其中IPv4支持静态路由、RIP、OSPF和BGP协议；IPv6支持静态路由、R43、IPng、OSPF v3和BGP4+ for IPV6协议，并且支持等值路由和策略路由。多业务支持能力S5500-EI系列以太网交换机支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice V44、LAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。S5500-EI系列交换机通过支持POE和Voice Vlan技术结合可以提供完整的语音设备管理方案，很好地解决了大量的IP PHONE的智能检测、供电和优先级的调整问题。完备的安全控制策略S5500-EI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.1x认证和45、基于MAC地址认证。提供Guest Vlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2（SSH V2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富的QoS策略S5500-EI系列交换机支持支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的流分类。可以通过同一条规则对多个连续不同的TCP端口号实现策略下发46、。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式。支持CAR（Committed Access Rate）功能，粒度最小达64Kbps。支持多个端口镜像组，可以根据不同被镜像端口组，提供4个不同监控端口实现端口镜像功能。高可靠性S5500-EI系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路47、由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持LACP（Link Aggregation Control Protocol，链路聚合控制协议）进行动态链路汇聚。RRPP（Rapid Ring Protection Protocol）环网技术保护协议，具备更快收敛速度和收敛时间，使网络更加可靠。出色的管理性S5500-EI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用网管平台以及Quidview网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便，并且48、支持Https、SSH2.0等加密方式，使得管理更加安全。1.3.3 H3C S5120-EI系列交换机产品简介H3C S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。 S5120-24P-EI S5120-48P-EI S5120-28C-EI/S5120-28C-PWR-EI S5120-52C-EI/S5120-52C-PWR-49、EIH3C S5120-EI系列以太网交换机目前包含如下型号：l S5120-24P-EI：24 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo）；l S5120-48P-EI：48 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo）；l S5120-28C-EI：24 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位；l S5120-52C-EI：48 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位50、；l S5120-28C-PWR-EI：24 个10/100/1000Base-T以太网端口（PoE），4 个复用的SFP 千兆端口（Combo），两个扩展槽位；l S5120-52C-PWR-EI：48 个10/100/1000Base-T以太网端口（PoE），4 个复用的SFP 千兆端口（Combo），两个扩展槽位；产品特点高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条10GE链路将是我们的未来发展方向。S5120-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，51、尽力保护用户投资。S5120-EI系列支持IPv4和IPv6的三层路由功能，并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管，实现IPv4到IPv6的平滑升级。智能弹性架构H3C S5120-EI系列交换机支持IRF2（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处： 简化管理 IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备52、的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。 高可靠 IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚53、合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。 高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。完备的安全控制策略H3C S5120-EI系列交换机支持EA54、D（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5120-EI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户55、端软件，而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2（SSH V2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富的QoS策略H3C S5120-EI系列交换机支持支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLA56、N的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式。支持CAR功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。出色的管理性H3C S5120-EI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMPv2集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管57、理更加安全。H3C S5120-EI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。1.3.4 H3C SecPath F1000 系列防火墙H3C SecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。H3C SecPath F1000系列防火墙包括SecPath F1000-C/SecPath F1000-S/ SecPath F1000-S-EI/SecPath F100058、-A/SecPath F1000-E等五款产品，支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略59、。产品特点扩展性最强基于H3C 先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块，实现2-7层的全面安全。强大的攻击防范能力能防御DoS/DDoS攻击（如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。增强型状态安全过滤支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连60、接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。丰富的VPN特性集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。应用层内容过滤可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤。全面NAT应用支持提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT AL61、G功能。全面的认证服务支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。集中管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。1.4 无线产品介绍1.4.1 H3C WX5002无线控制器H3C WX5002系列无线控制器（AC，Access Controller）是华三通信技术有限公司（H3C）自主开发的系列无线控制器，可广泛应用大中型无线网络的接入控制层。H3C 62、WX5002系列无线控制器提供了丰富的有线数据和无线数据的处理功能，集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及 IPv4&IPv6等多功能于一体。H3C公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性。当用户漫游网络时，通过WLAN网络范围内的无线控制器的信息交换，以实现在整个网络范围内执行一致的访问和安全策略。同时采用WPA/WPA2和 802.1X 认证结合的 AES、TKIP 以及 WEP 加密等功能增强了网络安全。 H3C WX5002系列无线控制器与H3C FIT AP 配合组网，可以方便63、的部署于任何现有的二层网络或三层网络之中，控制器和AP通过CAPWAP协议进行互联而无需针对现在有网络进行重新配置。H3C WX5002系列无线控制器主要包括二种型号：l WX5002-64：可管理64个AP；l WX5002-128：可管理128个AP；WX5002产品视图如下： 图1 WX5002系列设备外观图产品特点 方便部署、易于管理传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置，当无线网络规模较大时网络管理员往往要配置上百个AP，工作量巨大，且易于出错。而采用无线控制器和FIT AP配合组网，网络管理人员不再需要对每个AP进行逐一配置，而只需要在无线控制器上对一类相64、同属性的AP建立配置模板，AP在启动时可以自动从无线控制器上下载最新的配置文件。另外，由于AP本身不保存任何配置，万一设备丢失，也可以保证网络配置不被窃取。AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联，真正做到了零配置，免维护，极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后，无线控制器对所管理的AP以及AP所接入的用户进行实时监控，并能将这些信息实时上报给网管，并且维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定，使网络配置策略更加灵活。同时，无线控制器支持AP软件自动更新功能，AP在每次重新启动时会自动比较当前运行的软件版本和无65、线控制器上的最新版本是否一致，如不一致AP会自动更新本地的软件映像，软件升级不再需要网管人员的干预。另外，为了保证设备的安全性，无线控制器支持对接入的AP设备进行身份认证，保证只有合法的AP才能接入网络。 三层漫游H3C WX5002系列无线控制器支持三层漫游，并支持快速漫游，漫游切换时间小于50ms，满足对切换时间要求最苛刻的语音业务。 丰富的RF管理和安全RF管理功能，可以使得无线网络的布网灵活性大大增强，网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段，信道和功率还需要按照国家代码自动设置，H3C WX5002系列无线控制器的RF管理功能使得网络66、部署非常简单。RSSI/SNR的不断更新，更是让系统可以适时了解每一个无线用户所处电磁环境的好坏，离AP的距离，从而可以采取相应的策略来提升网络可用性。 支持智能的负载均衡支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如果无线用户不在AP的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能67、，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。 IPv6WX5002实现了IPv4/IPv6双协议栈。AP和无线控制器之间可以穿过IPv6网络互联，从而使组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。 完善的QoSWX5002系列无线控制器基于H3C公司最新的Comware V5平台开发，不但对Diff-Serv标准进行了完善，同时还增加了对IPv6协议的QoS支持。QoS Diff-Serv 模型中主要包括流分类、流量监管（Policing）、队列管理、队列调度（Scheduling）等，完整实现了标准中定义的EF、AF1AF4、BE等六组PHB及业务，可为用户提68、供具有不同服务质量等级的服务保证， 真正成为同时承载数据、语音和视频业务的综合网络。实施Differentiated Service（Diff-Serv）的主要技术包括流分类、流量监管（CAR）、拥塞管理（PQ/CQ）和拥塞避免。 有线无线一体化的网管系统Quidview 是H3C公司自主研发的新一代网络管理系统。Quidview采用组件化结构设计，通过安装不同的业务组件实现了设备管理、软件升级管理、配置文件管理、告警管理、性能管理等功能。无论对于企业网、校园网、园区网用户还是各大运营商，Quidview都可以提供完善的解决方案，方便用户监控、维护、管理各自的网络。Quidview的设备管理组69、件在单独安装时，可以与业界通用的网管平台进行集成，常用平台有SNMPc、HP Openview等。H3C WX5002系列无线控制器提供本地维护、远程维护、集中维护等多种维护手段，并提供完备的告警、测试、诊断、跟踪、日志等功能，方便用户的日常维护管理。 支持EAD无线接入端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为70、企业网络管理人员提供了有效、易用的管理工具和手段。H3C WX5002系列无线控制器支持无线用户的EAD接入，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。 电源热备份WX5002系列无线控制器支持双电源，实现电源的热备份，从而最大限度的保证了网络稳定运行。 两个光、电可选千兆口WX5002系列无线控制器提供两个光（SFP模块）、电可选的千兆口，并支持千兆端口聚合上行，方便到千兆以太骨干网和服务器的连接。1.4.2 H3C WA21071、0&WA2200系列无线接入点产品简介WA2100和WA2200系列无线产品是华三通信技术有限公司（H3C）自主研发的双频多模系列无线接入点，可广泛应用于各种向用户提供WLAN接入的无线网络；WA2100系列产品属于瘦AP（Fit AP）需要与无线控制器系列产品配套使用；WA2200系列支持Fat和Fit两种工作模式，根据网络规划的需要，可以通过命令行灵活地在Fat和Fit两种工作模式中切换。WA2200系列产品作为瘦AP（Fit AP）时，需要与无线控制器系列产品配套使用；作为胖AP（Fat AP）时，可以独立进行组网。WA2200系列产品支持Fat/Fit两种工作模式的特性，有利于将客户的72、WLAN网络由小型网络平滑升级到大型网络，从而很好地保护用户的投资。WA2100系列产品包括WA2110-AG。它是一款双频多模无线接入点，常用于室内无线覆盖，双频率即可工作于WLAN的2.4GHz频段或5GHz频段之上；多模即指支持IEEE802.11a、IEEE802.11b和IEEE802.11g三种模式。WA2110-AG产品视图如下：WA2110-AG设备外观图WA2200系列产品包括室内型WA2210-AG（单频）和WA2220-AG（双频），适用于覆盖半径小、对环境要求不高的室内应用场景；增强型WA2220E-AG（双频），主要面向仓库、工厂车间等对温度、防尘等环境要求较高的应用73、场景；室外型WA2210X-G（单频），WA2220X-AG（双频）和WA2220X-AGP（双频大功率），主要面向对高低温、防潮、防水、防尘、防雷有较高要求的室外应用场景。WA2200系列产品视图如下：WA2200系列设备外观图产品特点支持虚拟APWA2100和WA2200系列产品支持多SSID实现虚拟AP特性，每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。支持“零配置”特性传统无线网络的部署需要网络管理人员对网络中的每一个AP进行逐一配置，当无线网络规模较大时网络管理人员往往要配74、置上百个AP，配置工作量巨大，且易于出错。而采用H3C WA2100或WA2200 作为Fit AP配合无线控制器的进行组网时，网络维护人员只需要在无线控制器上对业务属性和物理属性相似的AP建立配置模版，这样AP在启动时可以从无线控制器动态获取配置文件，AP侧可不做任何配置，只需上电即可正常工作，该特性极大方便了用户的使用，也降低了设备的维护成本。另外，由于AP本身不保存任何配置，万一设备丢失，也可以保证网络配置不被窃取，保证了网络的安全。AP支持启动后自动获取IP地址、自动获取无线控制器的工作列表并自动和无线控制器建立关联，真正做到了零配置，免维护，极大地减轻了网络管理人员在部署网络阶段的维75、护工作量。支持集中管理WA2100或WA2200作为Fit AP和无线控制器配合组网，大部分管理报文和数据报文都需要经过无线控制器的统一处理。在无线控制器端，通过CAPWAP协议控制网络中所有的Fit AP，所有设备的状态都一目了然。较之传统的Fat AP，无线控制器加Fit AP的应用模式极大地方便了系统管理员管理整个网络。支持版本自动升级WA2100和WA2200可以和网络内的无线控制器自动取得关联，并下载最新的软件版本到AP设备。所有的这些操作都是自动完成的，不需要人工干预，减少了网络维护的工作量。这个特性对于大型网络尤其重要。支持丰富的认证方式WA2100和WA2200系列产品配合H376、C自主研发的无线控制器系列产品，可实现802.1x认证、PSK认证、MAC、Portal、WAPI等多种认证方式。WA2200作为Fat AP时支持802.1x认证、PSK认证、MAC认证等多种认证方式，认证方式的多样性保证了应用的灵活性。支持硬件加解密WA2100和WA2200系列产品采用了业界先进的无线芯片，支持WEP/TKIP/AES等硬件加解密算法，使安全处理不成为系统应用的瓶颈。支持密钥动态协商和更新WA2100和WA2200系列产品，在采用TKIP或AES加密算法时，相应的密钥均是由动态协商而来，且可以在使用一定的时长或加密数据帧后，进行动态更新。这使得非法无线用户的窃听企图难以得77、逞。支持中国标准WAPI（无线局域网鉴别和保密基础结构）WA2100和WA2200系列产品，除了支持802.11i和WPA等国际标准外，配合无线控制器还支持中国无线局域网国家标准GB15629.11-2003 中提出的、安全等级更高的WAPI。支持IPv6特性WA2100和WA2200系列产品实现了IPv4/IPv6双协议栈，与无线控制器之间可以穿过IPv6网络互联，使得组网方式更加灵活，可以满足今后网络发展的需要，保护用户投资。WA2110-AG也也支持无线用户采用IPv6接入网络。支持EAD无线接入端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用78、户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。H3C WA2100和WA2200系列产品支持无线用户的EAD接入，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。支持智能的负载均衡WA2100和WA279、200系列无线接入点支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP，但如果无线用户不在AP的重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性地支持智能负载均衡技术，保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。支持用户隔离策略WA2100和WA2200系列无线接入点支持无线用户之间的隔离。当启用了此功80、能后，两个无线客户端之间无法直接通讯，无线客户端只能访问上游的有线网络。应用此特性，运营商可强制无线用户到指定的网关或服务器上进行计费或更安全的认证，实现所谓的热点应用。高可靠性的业务设计WA2100和WA2200（工作于Fit AP模式时）系列无线接入点Bootware软件支持CAPWAP特性，可以与无线控制器进行交互完成应用程序的加载。支持此特性，在本地应用程序损坏或下载了非法应用程序的情况下，WA2100和WA2200仍然可以通过无线控制器远程加载合法的应用程序，恢复其正常工作。WA2100和WA2200（工作于Fit AP模式时）系列无线接入点，仅受无线控制器的管理，WA2100和WA81、2200本身不对外提供CLI、telnet或SNMP管理接口，保证了设备本身的安全。WA2100和WA2200（工作于Fit AP模式时）系列无线接入点，可同时与多台无线控制器之间建立CAPWAP隧道连接，多条隧道相互备份，保证了在一台无线控制器出现故障后，WA2200仍然可以被其它无线控制器所管理。除以上特点，WA2200系列还支持以下功能：支持为无线客户端动态分配IPWA2200工作于Fat AP模式时，可以配置工作为DHCP server，为接入的无线客户端动态分配IP地址，此功能使网络管理者省却了规划静态地址的烦恼。支持PPPoE客户端WA2200工作于Fat AP模式时，可以配置工作82、为PPPoE client，能主动与远端的PPPoE server建立PPPoE 连接。支持108M传输速率WA2200支持Turbo模式，可以将两个信道捆绑起来用于数据传输，捆绑后的信道带宽加倍，最高传输速率也由普通模式下的54M提高到108M。支持大功率WA2220X-AGP大功率型AP，11g模块输出功率最大可达500mW、且发射功率多级可调，同时具有较高的接收灵敏度。支持光口上行WA2210X-G、WA2220X-AG、WA2220X-AGP三款室外型AP都支持SFP上行FE光口，用户在室外部署时不用在配置额外的光电转换器，减少了网络故障点。此外，上行ETH口与上行光口可进行冗余备份，83、提供更高的可靠性。支持更高的工作温度要求室内型工作温度范围为0至45摄氏度，室外型和增强型工作温度范围为-30至55摄氏度，宽温度范围保证了WA2200可以在任何季节工作在全球绝大多数地点。1.5 IMC 智能管理中心平台产品概述 随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心，一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。基于多年的积累和对用户网络的深入理解，H3C智能管理中心（intelligence Management Center，iMC）平台（以下简称iMC平台84、）为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络，iMC平台提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。iMC平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。产品特点全面的基础资源管理更多的管理设备类型：除了传统的路由器、交换机外，更能对网络中的无线、安全、语音、存储、监控、服务器、打印机、UPS等设备进行管85、理，实现设备资源的集中化管理。多厂家设备的统一管理：除了对H3C的网络设备管理外，iMC平台还实现了对业界其他主流厂家网络设备的管理。灵活快捷的自动发现算法：基于H3C专利的发现算法，iMC平台不仅提供了快速自动发现方式，还提供了四种高级自动发现方式，包括路由方式、ARP方式、IPSec VPN方式、网段方式等，能快速、准确地发现网络资源。直观的设备面板管理：支持设备面板管理，所见即所得的显示设备的资产组成和运行状态。清晰的网络设备资产管理：在将iMC平台中管理的设备增加到网络资产管理的同时，系统还会自动发现该设备上可以管理的配件信息，并将这些配件加入到网络资产中进行管理，管理员可以对网络资产86、信息进行修改，还可以查看该资产的子模块信息、接口信息以及变更审计历史信息。灵活的拓扑功能多种网络拓扑视图：除传统的IP拓扑视图外，iMC平台还提供全网络的拓扑视图和自定义拓扑视图，使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。在全网络拓扑视图中，用户可以随意组织和定制子图。增强的二层拓扑：传统实现的拓扑都是基于IP的三层拓扑，iMC平台在此基础上更支持二层拓扑，实现了同一个VLAN或者网段内部PC与网络设备、二层网络设备之间的互连关系，更方便直观的体现了网络中设备的互联关系。数据中心机房、机架拓扑：iMC平台支持按设备物理位置进行组织的数据中心机房和机架87、拓扑。通过此拓扑视图，用户可以很方便的找到设备在机房中所处位置，进而对设备物理实体进行管理维护。智能的告警管理直观的故障列表：H3C智能管理中心能自动汇总全网中故障设备，形成故障设备列表，使管理员能快速、清晰的找到需要关注的故障设备。智能的告警关联：提供对重复告警、突发的大流量告警、未知告警的自动过滤，用户还可以自定义过滤规则，以有效压缩海量网络告警，使得管理员直接关注真正的网络故障。告警根源分析和影响度分析：提供基于拓扑的区域告警根源分析，提供告警关联分析，提供告警分组分析，有效屏蔽故障引起的海量表象告警，方便用户快速定位、查找故障根源，确认故障影响的范围。告警定义和Mib导入：在支持标准T88、rap以及H3C、华为、Cisco等主流厂商私有Trap基础上，还提供新增及通过Mib导入Trap定义功能，方便快速地支持各厂商新Trap。丰富的告警转发机制：除提供告警声光提示、转Email、转短信等方式外，还可以针对不同的告警定义不同的提示内容以及对应维护参考，当再次出现同类告警后能直接对应到相应的维护参考。结合拓扑直观的设备故障状态监控：与传统的网管告警和拓扑状态互相分离做法不同，使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上，用户仅需要查看拓扑，即可知道网络的整体运行状态。Syslog接收与分析：iMC平台支持多厂商设备的Syslog原始报文接收，提供日志浏览、查询、导出89、及自动转储功能。并且可以根据预定义及用户自定义规则对Syslog报文进行分析，将关键事件升级为告警，有效地帮助用户在海量Syslog报文中及时发现网络关键事件。安全事件联动：iMC平台对多厂商设备的Syslog报文进行分析，提取安全相关的关键信息（比如攻击事件类型、攻击源、攻击目的），并根据安全控制策略，采取匹配的安全动作，比如关闭攻击源网络端口等。易用的性能管理一目了然的网络TopN性能指标：CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项，iMC平台通过TopN列表，使用户能一目了然当前网络中的性能瓶颈问题。性能视图：用户可灵活定制性能数据浏90、览视图，分析网络运行趋势。性能视图支持多指标多实例数据组合的展示，支持TopN明细表格、TopN柱图、折线图、柱状图、面积图、汇总数据多种性能监控数据展示方式。性能与告警的深度结合：iMC平台支持对每一个性能指标设置两级阈值，发送不同级别的告警。用户可以根据告警信息直接了解到设备监视指标的性能情况，有助于用户随时了解网络的运行状态，预测流量发展趋势，合理优化网络。详实的性能统计报表：利用采集到的性能数据信息，iMC平台能对关键的性能监控内容形成实用、详实的统计报表，用户可以直接打印这些报表，也可以将报表导成Excel、Html、PDF、Word等形式的文件。丰富的拓扑性能指标实时展示：iMC平91、台支持在的拓扑中展示设备和链路性能监控数据，用户可为不同设备和链路定制不同展示指标。强大的配置管理资源化的配置和软件管理： iMC平台以资源管理的角度提供了配置模板库和设备软件库的管理。配置模板库维护网络设备配置模板文件、用户常用的配置模板片段两种资源；配置模板文件可部署为设备的启动配置或者运行配置；配置模板片断可部署为设备的运行配置，也可通过启用“下发命令后将设备运行配置保存为启动配置”选项部署为启动配置，并且配置内容可以带有参数，在部署时根据设备的差异设置不同的值。集中化的设备配置和软件信息展示：提供全网设备的配置文件、软件版本信息集中式展示，包括设备的当前软件版本、最新可用于升级的软件版92、本、最近备份时间、是否已加入自动备份计划等信息；可提供管理员对设备的集中操作包括设备配置部署、设备配置备份与恢复、设备软件升级与恢复、设备空间管理、设备软件基线化管理功能，极大的方便了管理员直观的掌握当前网络的配置和软件版本。基线化的设备配置变更审计：通过配置备份历史和软件升级历史的管理，实现基线化的设备配置变更审计功能，使配置文件管理和软件升级管理具有了可回溯性。提供设备运行配置和启动配置的基线化版本管理，将每个设备相关的配置文件划分为三种版本：基线、普通、草稿。便于管理员识别、管理。并可快速恢复至基线配置。提供设备软件基线化版本管理，每个设备可以指定一个基线版本，提供基线审计及快速恢复至基93、线版本功能。自动化的建立可追溯的网络配置：通过启动自动备份功能，帮助管理员周期性自动地完成设备配置的历史备份，为用户自动建立起可追溯的网络配置。用户可以针对不同的设备设置不同的备份周期和备份时间点，支持按天、周、月周期备份。支持网络运行设备的配置变化检查，一旦配置发生变化，立刻以告警方式通知管理员关注。丰富的VLAN管理iMC平台的VLAN管理的功能包括：全网VLAN管理、 VLAN设备管理、VLAN拓扑、VLAN批量部署等，同时提供详细的VLAN操作结果报告，方便网管员跟踪VLAN配置的历史记录。全网VLAN管理：通过全网VLAN管理功能，管理员可以很方便的在全网范围内增加、修改和删除VLA94、N，查看VLAN具体的不属于哪些设备，并能够方便地对VLAN内的设备进行管理。VLAN设备管理：iMC平台提供了对单个设备上VLAN相关资源的管理，比如对VLAN、路由虚接口、Access、Trunk、Hybrid的创建、删除和修改。VLAN拓扑：在VLAN拓扑中，通过节点或链路加亮的方式显示是否允许当前VLAN通过，这对于判断VLAN的连通性非常方便；同时允许管理员直接基于拓扑图进行配置，使当前VLAN在某节点和链路上允许通过，相对传统的配置方式较为直观。VLAN批量部署：采用向导方式，提供对全网内的VLAN资源进行批量配置，包括批量部署Access口、批量部署Trunk口、批量部署Hybr95、id口、批量部署VLAN等。实用的IP/MAC管理IP地址分配：将IP地址作为网络中的一种资源，进行统一分配和管理。管理员可以通过自动扫描，快速的查找网络中正在使用的IP地址，从而进行方便快速的分配。除了自动扫描外，管理员也可以根据情况，手工设置要分配的IP地址。使用划分IP地址段功能，管理员还可以按照部门、办公区等方式，将多个IP地址划分到一个IP地址段中，以便对IP地址进行更方便的管理。IP地址完成分配以后，管理员能够通过详细的IP地址分配情况统计图表和各类查询条件，直观的了解和掌握整个网络的IP地址资源使用情况。IP/MAC绑定：IP/MAC绑定可以将IP地址与MAC地址进行绑定，这种方96、式的好处在于可以防止用户随意修改IP地址，做到IP地址的统一管理，避免安全隐患。通过IP/MAC绑定功能，iMC平台将对操作员配置的IP/MAC绑定关系进行管理，当用户使用错误的IP/MAC配置接入网络时，iMC平台将发送告警通知管理员，以便管理员能够及时发现安全隐患。IP/MAC绑定功能，不会下发数据到设备，而是将IP/MAC绑定关系放在网管中维护，与设备上支持的绑定功能实现不同。网络管理员可以根据自己的管理需要，可以通过自动扫描来发现当前网络中已经使用的IP地址和MAC地址的关联关系来进行绑定，也可以通过新增的方式来创建IP/MAC绑定关系。IP/MAC绑定信息包括IP地址、MAC地址、机97、器名称和机器类型信息。MAC/接口绑定：MAC/接口绑定可以将终端MAC地址与接入设备上的接口进行绑定，这种方式的好处在于可以防止未授权的终端MAC地址接入到接入设备上的特定接口，及时发现非法接入网络的安全隐患，避免造成的网络流量异常等网络问题。通过MAC/接口绑定功能，iMC平台将对操作员配置的MAC/接口绑定关系进行管理，当未授权的MAC接入到接入设备的接口时，iMC网管将发送出告警通知管理员，以便管理员能够及时发现安全隐患。管理员可以通过自动扫描来发现当前网络中已经使用的MAC地址和接口信息的对应关系并对其进行绑定，也可以通过新增的方式来创建MAC/接口绑定关系。MAC/接口绑定信息包括98、MAC地址、IP地址、机器名称、机器类型、接口描述以及接口所在设备IP信息。IP接入定位：IP接入定位用于查看网络中某个客户端与设备之间的接入关系，即根据客户端的IP地址或MAC地址，查看该客户端是通过哪台设备的哪个接口在何时接入到网络的。 使用IP接入定位功能，可以帮助网络管理员迅速定位网络中存在安全隐患的客户端，并将其隔离，以保证网络的正常运行。IP/MAC学习查询：查询某台交换机或者交换机的某个接口学习到的所有IP/MAC地址信息，用于确定某台网络设备大概所在的位置。学习到的IP/MAC信息包括：交换机IP、交换机接口描述、VLAN ID、IP地址、MAC地址。专业的网络分级分权管理对于99、大型网络和业务管理的需要，iMC平台提供分级分权管理功能。通过权限管理，可为不同的iMC操作人员规划不同的权限，不同的权限对应不同的设备分组，从而实现精细化分权管理能力。分级管理功能是将整个网管分为上、下级两层（或更多层），其中专业版iMC平台为上级网管，其他的iMC平台（专业版或标准版）为下级网管。用户可以通过上级网管直接对下级网管及其管理的设备进行管理。下级iMC的重要设备、重要告警的告警信息可以通过分级网管的告警功能通知上级iMC的管理人员。可以在上级iMC的“下级网管视图”中管理下级iMC及其管理的设备。“下级网管视图”用来展示当前服务器作为上级网管服务器所管理的下级网管服务器的信息，100、同时也是增加、修改、删除、登录下级网管等操作的入口。同时，上级网管可通过系统预置报表模板和自定义报表模板，立即、周期性生成下级网络运行状态报表，全面了解全网运行状况。多种网管平台的集成能力iMC平台的集成插件支持与OpenView，SNMPc和NetView等网管平台集成，集成后的第三方网管平台可以识别H3C设备、显示H3C设备图标，并且用户可以通过第三方网管平台上的菜单项，直接调用iMC打开H3C设备面板、查看和管理该设备。iMC平台还提供了一种特殊的用户，该用户只能是维护员或查看员，并且仅能使用网元组件的相关功能。IT资源深度管理的承载平台除了网络管理功能外，iMC平台更是IT资源深度管理101、的承载平台，在此基础上用户可以增加H3C智能管理中心“NTA网络流量分析”、“MPLS VPN管理”“EAD终端准入控制”、“UBA用户行为审计”等组件，同时基于SOA的软件架构也能方便集成用户原有管理系统。1.6 H3C 公司简介杭州华三通信技术有限公司（简称H3C）， 致力于IP技术与产品的研究、开发、生产、销售及服务。2008年，H3C销售收入净额8.84亿美金（US GAAP），缴纳各项税费近8亿人民币。在国内31省市和海外多个国家或地区设有分支机构。目前公司有员工4800人，其中研发人员占55。H3C每年将销售额的15以上用于研发投入，在中国的北京、杭州和深圳设有研发机构，在北京和杭102、州设有可靠性试验室以及产品鉴定测试中心。截止2009年上半年，H3C已申请专利超过2000件，其中85是发明专利，年专利申请数在中国通信学校中位居前三。H3C已参与中国通信标准化协会及IETF, SMTA, SPC,PCI-SIG, Wi-Fi, USB, SNIA, VCCI等国际标准组织。为构建以业务应用为中心的动态IT架构，H3C提出了IToIP理念。基于IP技术标准提供统一IT基础架构,具备“标准、融合、开放、增值”特征，基于IToIP构建网络、安全、存储、多媒体四大产品线，实现了从网络设备供应商到IToIP整体解决方案供应商的战略跨越，确立了牢固的市场领先地位。目前，H3C在中国的交103、换机和学校级路由器市场份额排名第一，运营商WLAN设备市场份额排名第一，网络安全设备市场份额排名第一， IP存储市场份额第一，IP监控技术全球领先，已成为中国平安城市第一品牌，截止2009年5月底，已经累计承建超过140个平安工程项目。根植中国，H3C始终以“为客户创造价值”作为公司发展的源动力，不断细分客户需求，面向行业、商业（中小学校）、运营商三大客户类型分别提供量身定制的整体解决方案。服务于70%以上的中央部委、全部“211”高校和“985”高校、四大银行、全球最繁忙的机场之一首都机场、自然环境最为恶劣的青藏铁路、国家最高艺术殿堂国家大剧院、单体建筑面积最大的奥运项目国际会议中心及电信、移动、联通、广电等运营商市场。服务全球，通过与3Com、华为、NEC等公司合作拓展国际市场，目前H3C的产品和解决方案已经覆盖全球近百个国家和地区，赢得包括瑞士电信、西班牙电信、英国沃达丰、法国国铁、法国标致雪铁龙集团、俄罗斯联邦储蓄银行、美国霍华德大学、日本社保厅、北海道大学在内的众多国际客户。