城固县人民医院网络项目方案
杭州华三通信技术有限公司
目 录
第1章
需求分析 ............................................................................................................................ 3
1.1. 项目背景 ............................................................................................................................ 3 1.2. 需求分析及建设目标 ......................................................................................................... 3
1.2.1. 网络特点 ............................................................................................................... 3 1.2.2. 建设目标 ............................................................................................................... 4
第2章 第3章
网络建设原则 .................................................................................................................... 6 总体建设方案 .................................................................................................................... 8
3.1. 网络总体方案 .................................................................................................................... 8 第4章
设备选型 .......................................................................................................................... 10
4.1. 防火墙 ............................................................................................................................. 10 4.2. 路由器 ............................................................................................................................. 20 4.3. 核心交换机 ...................................................................................................................... 33 4.4. 接入交换机 ...................................................................................................................... 41 4.5. IMC智能管理平台 ............................................................................................................ 49 4.6. 核心设备可实现的特色功能 ............................................................................................ 66 第5章 第6章
总体方案的优势 ............................................................................................................... 73 本次方案配置 .................................................................................................................. 75
第1章 需求分析
1.1. 项目背景
随着城固县人民医院新大楼的落成,其信息化建设也亟待进行。 由于医院的业务系统比较多样,而网络作为信息传输的一个平台,就必须具备能支持各种业务平台的能力。目前,医院信息系统主要分成以下两类:
A. 医院管理系统(HIS)
主要包括门、急诊收费管理、药房管理、财务管理、人力资源管理、住院病人管理和医疗设备管理等医院面向财务的管理系统。这些系统在很多大中型医院都已经完成了部署。
B. 医疗信息系统(CIS)
主要包括门诊医生工作站、住院医生工作站、护士工作站、住院病人医嘱处理系统、医学影像存储与传输系统(PACS)、检验信息系统(LIS)、放射信息系统(RIS)、手术管理系统等面向医疗的信息系统。
在网络的规划设计中,都需要考虑这些系统的应用需求。 1.2. 需求分析及建设目标
城固县人民医院共16层,每层信息点目前大概20个左右。 1.2.1.
网络特点
目前,HIS系统在很多医院已经或者刚开始部署,很多传统业务都逐渐迁移到网络上,对网络的性能、安全和稳定提出了很高的要求,主要体现在以下几个方面:
1)可靠迅速的响应以提供更好的医疗服务
一般大医院每天的门诊量很大,最多可达到5000人/天,一般大型医院平均门诊达到1000-2000人/天,HIS系统每天对后台数据库的调用非常频繁,会产生很大的数据流量,如果这种访问流量出了问题而导致无法正常进行收费和医疗诊断,会产生严重的社会后果,因此医院对网络的访问性能有很高的要求。
2)安全的业务数据保证医院正常对外服务
在医院的业务系统中保存着大量患者的健康信息和医疗费用信息,这些数据无论对患者还是医院都非常关键,需要严格保密,因此如何保护这些数据,对医院有着重大的意义。
3)高效的管理推动系统的稳定,提高维护的效果
医院网络是否可靠稳定,不仅直接影响到在医院就医的患者的生命安全和身体健康,而且还关系到医院的信誉以及收入,因此,这也是网络能建好用好的一个最关键的部分。
网络建设好后,如何管好整个医院的业务系统,包括用户、服务器、数据库、存储设备和网络等,提高医院管理效率,保证医院网络的正常运转已经成为医院急需解决的大问题。 1.2.2.
建设目标
根据医院信息系统建设实施计划,本次网络建设的主要目标是通过构建一个高安全、高可靠、高性能、易扩展的业界领先网络基础平台,满足省立医院未来3到5年以及更长时间内的业务不断发展需求。
骨干速率在达到千兆同时具有向更高速率平滑扩容的能力。网络关键
节点能够冗余热备保障系统连续稳定运行。具有高带宽、高可靠、高性能、高安全的特性。
同时网络平台应具有较好的服务质量、较高安全性、便于管理和维护,能够支持医院的各种办公、医疗和科研应用,也支持移动办公、信息发布、网上医疗与医学科研合作。
新建网络必须满足以下要求:
可靠性-- 系统具有一定的冗余和备份功能,出现故障时可以迅速恢复;
高性能-- 在用户较多、突发流量大的情况下,不会出现网络瓶颈,阻碍正常交易;
多业务-- 除了承载MIS数据业务,还要特别考虑医学影像传输与数字视频业务的需要,要充分考虑网络系统的服务质量和可靠性。
易管理性-- 为保证系统良好的运行,网络需要实施完善的管理,如精确分析网络流量、确定系统运行状态,监控非法用户入侵等。
第2章 网络建设原则
为构建高质量的网络,在网络建设中要坚持以下原则:
1. 高可靠性:网络的稳定可靠是应用系统正常运行的关键,保证在网络设计中选用高可靠性的网络产品设备,充分考虑冗余、容错和备份能力,同时合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的可靠运行。
2. 技术先进性:在保证满足基本业务应用的同时,又要体现出网络的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到网络应用的现状和未来发展趋势。
3. 高性能:骨干网络的性能是整个网络良好运行的基础,在设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为业务开展的瓶颈。
4. 标准开放性:支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于以保证与其它网络之间的平滑连接互通,以及将来网络的扩展。
5. 可扩展性:根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。
6. 可管理性:选用先进的网络管理平台,具有对设备、端口等的管理及流量统计分析,并可提供故障自动报警。
7. 安全性:制订统一的网络安全策略,整体考虑网络平台的安全性。做到业务数据的安全传递和网络设备不受黑客攻击。
8. 经济性:在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级。
第3章 总体建设方案
3.1. 网络总体方案
本次网络组网按照二层架构设计即核心、接入二层结构如下图:
出口防火墙、路由器
本次在公网出口部署一台防火墙,防护来自外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全。在防火墙后接路由器,路由器为全网提供上网NAT功能及VPN功能等。
核心层、接入层
核心交换机与接入交换机组成二层网络结构。每个楼层交换机通过光纤线路上连到核心交换机上,服务器与网络管理区通过千兆双绞线连接到
核心交换机上进行高速数据交换。
核心交换机应具有高背板容量和包转发率,能满足医院的业务需要;冗余电源、冗余主控配置有效的保证了骨干设备的可靠性;业务插槽可在满足目前网络连接的需求基础上安装高性能安全插卡和无线控制器插卡实现核心设备的安全融合以及有线无线的一体化功能并且支持万兆插卡方便以后升级为万兆骨干,并且还留有空余的扩展槽以便未来的网络扩展。
第4章 设备选型
4.1. 防火墙
本次网络出口安全设备选用H3C SecPath F100-E 产品概述
H3C SecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品,集成防火墙、VPN和丰富的网络特性,为用户提供安全防护、安全远程接入等功能。
H3C SecPath F100,支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等;支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
产品特点 扩展性最强
基于H3C 先进的OAA开放应用架构,SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块,实现2-7层的全面安全。
强大的攻击防范能力
能防御DoS/DDoS攻击(如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等先进功能。
增强型状态安全过滤
支持基础、扩展和基于接口的状态检测包过滤技术;支持H3C特有ASPF应用层报文过滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用层协议的状态监控。
丰富的VPN特性
集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术,保证移动用户、合作伙伴和分支机构安全、便捷的接入。
应用层内容过滤
可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤。
全面NAT应用支持
提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。
全面的认证服务
支持本地用户、RADIUS、TACACS等认证方式,支持基于PKI/CA体系的数字证书(X.509格式)认证功能。支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限。
集中管理与审计
提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。 产品规格
属性 路由模式 运行模式 透明模式 混合模式 说明
RADIUS认证 HWTACACS认证 PKI /CA(X.509格式)认证 网络安全性 AAA服务 域认证 CHAP验证 PAP验证
包过滤 基础和扩展的访问控制列表 基于接口的访问控制列表 基于时间段的访问控制列表 动态包过滤 ASPF应用层报文过滤 应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP) 传输层协议:TCP、UDP 抗攻击特性 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范 防火墙 TCP报文标志位不合法攻击防范 超大ICMP报文攻击防范 地址/端口扫描的防范 DoS/DDoS攻击防范 TCP Proxy 功能 ICMP重定向或不可达报文控制功能 Tracert报文控制功能 带路由记录选项IP报文控制功能 静态和动态黑名单功能 MAC和IP绑定功能 透明防火墙 基于MAC的访问控制列表 支持802.1q VLAN 透传
邮件过滤 SMTP邮件地址过滤 邮件标题过滤 邮件内容过滤 邮件附件过滤 网页过滤 HTTP URL过滤 HTTP内容过滤 支持与外部服务器(第三方如SurfControl)进行集成联动提供URL网页过滤的解决方案,有效控制和管理用户的web访问行为 应用层过滤 Java Blocking ActiveX Blocking SQL注入攻击防范 邮件/网页/应用层过滤
用户行为流日志 NAT转换日志 攻击实时日志 黑名单日志 地址绑定日志 安全日志及统计 流量告警日志 流量统计和分析功能 全局/基于安全域连接数率监控 全局/基于安全域协议报文比例监控 安全事件统计功能 E-MAIL邮件实时告警功能 E-MAIL邮件定时告警功能 支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 NAT 支持外部网络主机访问内部服务器 支持内部地址直映射到接口公网IP地址 支持DNS映射功能 可配置支持地址转换的有效时间 支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等
支持根据VPN用户完整用户名、用户域名向指定LNS发起连接 L2TP VPN 支持为VPN用户分配地址 支持进行LCP重协商和二次CHAP验证 GRE VPN 支持AH、ESP协议 支持手工或通过IKE自动建立安全联盟 ESP支持DES、3DES、AES多种加密算法 IPSec/IKE 支持MD5及SHA-1验证算法 支持IKE主模式及野蛮模式 VPN 支持NAT穿越 支持DPD检测 支持UDP封装 支持动态IP地址构建VPN 支持加密保护(注册控制报文,会话控制报文,策略报文) DVPN 支持多个DVPN域 支持分支自动建立VPN隧道 支持Server对分支隧道的策略控制 Server对Client的AAA身份认证 Client对Server的身份验证 Ethernet_II 网络互连 局域网协议 Ethernet_SNAP 802.1q VLAN
链路层协议 PPPoE ARP 域名解析 IP UNNUMBERED IP服务 DHCP中继 DHCP服务器 DHCP客户端 网络协议 静态路由 RIP v1/2 OSPF IP路由 BGP 路由策略 策略路由 双机状态热备,Active/Active和Active/Passive两种工作模式,支持负载分担和业务备份 远端链路状态监测(L3 monitor) 高可靠性 关键部件冗余设计 接口模块热插拔 机箱温度自动检测 流量监管 服务质量保证(QoS) 拥塞管理 拥塞避免 CAR FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ WRED
流量整形 GTS LR 接口速率限制 通过Console口进行本地配置 通过Telnet或SSH进行本地或远程配置 配置命令分级保护,确保未授权用户无法侵入设备 提供全中文的提示和帮助信息 详尽的调试信息,帮助诊断网络故障 提供网络测试工具,如Tracert、Ping、HWPing命令行接口 命令等,迅速诊断网络是否正常 用Telnet命令直接登录并管理其它设备 FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序 配置管理 支持TFTP上传下载文件 支持日志功能 文件系统管理 User-interface配置,提供对登录用户多种方式的认证和授权功能。 支持标准网管 SNMPv3,并且兼容SNMP v2c、SNMP v1 支持NTP时间同步 支持Web方式进行远程配置管理 支持H3C BIMS系统进行设备管理 支持H3C VPN Manager系统进行VPN业务管理和监控
4.2. 路由器
本次出口路由器设备选用H3C MSR 50-40路由器。 产品概述
MSR(Multiple Services Routers)多业务开放路由器是杭州华三通信技术有限公司(以下简称“H3C”)专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件结构与硬件平台,能够在最小的投资范围内为企业边缘网络提供一体化解决方案,更能充分满足未来业务扩展的多元化应用需求,符合企业IT建设的现状与趋势。
企业信息架构正在由C/S模式向B/S模式转变,MSR具备高数据转发能力与高加密能力,很好的解决了转变过程中凸现的网络带宽压力与安全隐患,保障企业关键业务流可以高速、机密的通过广域网传输。
MSR集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。
针对企业用户日益个性化的应用需求,MSR领先集成了可以定制开发的高性能开放业务平台,任何人都可以基于该平台开发自身需要的高级网络业务,企业用户只需安装软件便能在网络中方便的部署相应业务,节省了购置各类高昂专用网络设备的投资。
MSR在突破性提高数据处理能力与插槽扩展性的同时,还能完全兼容原AR的硬件模块与软件功能,为客户提供了最为经济的网络升级方案。
H3C MSR 50多业务开放路由器包含MSR 50-40和MSR 50-60两款设备,
这两款设备均提供两种不同性能引擎的主控板以满足不同性能需求的多业务并发应用。该产品可以为大型分支机构提供高性能、多业务的一体化网络方案,也可以作为大中型企业的核心网络设备,完成数据、语音、视频等多种流量的广域网交互。MSR50针对安全数据连接进行设计,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎,大大提高产品的数据加密性能,同时节省接口插槽。MSR 50在提供高质量数据业务转发的同时,还提供了强大而灵活的VoIP解决方案,客户可在单一平台上为其分支机构灵活地部署程控交换机、模拟电话和IP电话,降低网络运维成本。另外,MSR 50路由器还通过集成以太网交换模块提供二层数据交换功能,实现了真正的路由交换一体化解决方案。
MSR 50产品采用H3C成熟商用的软件操作系统,提供丰富的QoS特性,全面支持IPv6,同时大大地增强部署MPLS VPN业务的能力。MSR50采用OAA(Open Application Architecture)开放应用体系架构,产品提供了一个公开软硬件接口及标准规范的开放平台,任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能,以形成业务定制、优势互补、深度集成、合作共赢。MSR50路由器还通过OAA架构提供基于路由器的统一通信功能,为用户提供灵活的语音呼叫处理、IP-PBX、IP电话会议和即时通讯等功能一体化的开放通信解决方案。
图1 H3C MSR 50-40路由器
产品特点
先进的硬件体系架构
MSR 50路由器在硬件设计方面充分地考虑到集成综合业务的需要,采用了先进的N-Bus多总线设计方案,语音、数据、交换、安全四大业务分别经由不同的总线,由专门的协处理引擎并行完成处理,消除总线和CPU性能瓶颈,大大提高了该路由器集成的多业务部署和实施能力。可满足企业网络内部多种高质量并发业务无缝集成、完美融合。
图1 MSR路由器N-Bus体系结构
开放式的增值业务平台
MSR 50基于OAA(Open Application Architecture)理念设计,创新性的推出了对外开放的业务平台。该平台提供了一套完整、标准的对外接口(API接口)。厂商与合作伙伴均可以在此平台上直接开发各类高级功能(例如应用层攻击抵御、网络病毒防护、多媒体集合通信、Web优化与加速等),用户只需安装开发出的软件,便可以将上述业务与MSR 50无缝融合,为日渐细分的个性化需求提供完整的解决方案。
多业务集成并发能力 集成安全业务
安全已经成为网络的基本功能,由于安全性需要内嵌于整个网络之中,因此路由器在网络防御战略中起着重要作用。MSR 50产品提供专门的安全
数据连接设计技术,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎(NDE),通过硬件的方式大大提高数据加密性能,保证转发和加密同步高性能,同时节省接口插槽。
MSR 50提供了丰富的安全功能,包括Firewall、IPSec VPN、MPLS VPN、CA、Secure Shell(SSH)协议2.0、入侵保护、DDoS防御、攻击防御等。
集成语音业务
MSR 50路由器采用了全新的硬件语音设计方案,提供了FXS/FXO/VE1/VT1等各种语音接口类型,支持SIP等主流的语音通讯协议,实现了紧急呼叫/掉电求救/拨号策略/传真/E-PHONE等各种语音业务。MSR 50提供TDM交换能力,使用户的TDM交换在本地完成,大大节省网络资源的同时,使本地话音的接通率和通话质量完全达到电信水准。
MSR50路由器还支持高密度模拟语音模块:FIC-24FXS和DFIC-24FXS:24FXO,并通过支持FXS和FXO接口的1:1绑定功能及DFIC-24FXS:24FXO单板的断电逃生功能,大大提高了路由器产品的语音部署的灵活性和组网能力。
集成数据交换
MSR 50提供灵活扩展的以太网交换模块,支持丰富的二层交换特性,极大地满足了企业对于路由交换一体化组网方案的需要。
集成统一通信
MSR 50路由器通过基于OAA架构的开放通信引擎模块(OCE)提供呼叫处理、IP-PBX、IP电话会议和即时通讯等功能,为用户提供基于MSR路由器完美的统一通讯解决方案。
多业务线速并发
MSR 50路由器将全新的硬件架构和结构化的软件系统有机结合,可以为用户提供集成数据、安全、语音、视频以及各种上层应用业务的服务,满足用户现有的以及未来的互联网应用,而且路由器的原有数据传输性能丝毫未受影响。
成熟商用的操作系统
MSR 50采用了华三公司成熟商用的多业务、可扩展、组件化的先进操作系统平台,全面支持IPv6,并支持完善的MPLS VPN功能满足各种组网需求。
完善的下一代IP协议解决方案
IPv6作为下一代网络的基础协议以其鲜明的技术优势得到广泛的认可, MSR全面支持IPv4/IPv6双协议栈,支持通用的IPv4路由协议、IPv6路由协议、组播路由协议和静态路由。MSR提供了丰富的IPv4向IPv6过渡方案,包括双栈技术、隧道技术、地址转换技术(NAT-PT)和MPLS 6PE技术。
领先的MPLS流量工程解决方案
MPLS TE结合了MPLS技术与流量工程,通过建立到达指定路径的LSP隧道进行资源预留,使网络流量绕开拥塞节点,达到平衡网络流量的目的。
在资源紧张的情况下,MPLS TE能够抢占低优先级LSP隧道带宽资源,满足大带宽LSP或重要用户的需求。同时,当LSP隧道故障或网络的某一节点发生拥塞时,MPLS TE可以通过备份路径和快速重路由FRR(Fast Reroute),提供瞬时恢复保护。
安全灵活的VPE功能
VPE(VPN PE)是一种特殊的PE,它和CE之间的连接方式不是传统的DDN/E1/ POS/ETH/PVC等专线技术,而是IPSec/L2TP/GRE/UDP VPN等隧道技术。VPE完成IP VPN与MPLS VPN的融合,在网络边缘实现网络资源的逻辑划分及安全隔离,核心网与边缘网络形成了一个整体,实现了端到端的VPN功能。
简单便捷的网络分析工具
NQA(网络质量分析)是测量网络上运行的各种协议性能的一种工具。它可以实现端到端的网络状况监测,包括时延、抖动、丢包率等。不仅能使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间,从而判断目的主机是否可达,还可以探测DLSw、DHCP、FTP、HTTP、SNMP服务器是否打开,以及测试各种服务的响应时间等,提供对网络应用的质量检测。
直观可视化的流量分析工具
NetStream提供报文统计功能,它根据报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS、输入/输出接口来区分流,并针对不同的流进行独立的数据统计。
NetStream的统计信息定期发送给NSC(NetStream Collector,网络流数据收集器),由NSC进一步处理后,交给NDA(NetStream Data Analyzer,网络流数据分析器)进行可视化的流量分析、计费、网络规划等多种应用。
电信级运营的高可靠性
MSR 50路由器设备的可靠性从硬件和软件两个方面得到了充分的保证,该设备支持冗余备份的双电源,支持接口模块、电源模块和分散的热插拔,
这大大提高了设备硬件的可靠性;在软件上方面支持VRRP、备份中心、动态路由备份和快速重路由等技术,这些特征和功能满足了设备的电信级应用需求。
提供POE远程供电特性
MSR 50支持PoE(Power Over Ethernet)功能,即可通过双绞线向远端下挂PD设备(如IP Phone、WLAN AP、Security、Bluetooth AP等)提供电源,实现对下挂PD设备远端供电,使设备安装简单而且节省空间。作为供电方PSE(Power Sourcing Equipment)设备,支持IEEE802.3af线路供电标准,同时也可以兼容不符合802.3af标准的PD(Powered Device)设备。MSR 50以太网口上的PoE特性,能够充分满足未来新兴技术发展的需求,为无线技术、语音技术的发展提供了支持。通过支持POE和Voice VLAN技术,MSR 50路由器能够提供完美的数据和语音融合解决方案。
支持WLAN无线接入功能
H3C MSR路由器支持WLAN无线接入功能,支持802.11b/g标准的通信,并且支持的功能特性丰富,足以满足用户对于WLAN无线接入的需要,大大地提高了该产品的综合接入能力。
支持无线3G无线通信功能
H3C MSR路由器支持CDMA2000、WCDMA、TD-SCDMA无线3G通信功能,满足用户对于3G无线上行主链路和备份链路的应用需求,同时还提供丰富的业务和功能。
H3C MSR路由器的3G无线通信接口在设备上实际上封装为一个标准的IP接口,即屏蔽了其物理接口的差异性,与其它的以太口、串口、E1接口
等物理接口没有差别,也就是说MSR路由器上的3G无线通信接口会支持完整的基于IP层以上的所有业务和功能特性,如接口备份、流量统计、网络防攻击等等,这能够极大发挥无线3G接口应用的潜力和价值。
MSR路由器的3G通信接口支持永久在线及按需拨号两种工作模式,可以方便用户根据计费方式灵活选择工作模式,以满足用户采用最合适的方式使用3G无线链路通信资源。
严格的国际认证
H3C MSR路由器设备秉承H3C公司先进的静音、低功耗的绿色环保设计理念,符合有关EMC、安规和环保等方面的标准,如CE、FCC等安全准入标准。
产品规格
MSR 50路由器硬件规格
项目 转发性能 MSR 50-40 普通引擎:1Mpps 高性能引擎:2Mpps 普通引擎:2个千兆光/电Combo 高性能引擎:3个千兆光/电Combo 普通引擎:4个SIC插槽 模块插槽 高性能引擎:无 4个FIC插槽 ESM插槽 VPM插槽 USB AUX 配置口 VCPM插槽 硬件加2 普通引擎:4 高性能引擎:无 2 1 1 1 支持 MSR 50-60 普通引擎:1Mpps 高性能引擎:2Mpps 普通引擎:2个千兆光/电Combo 高性能引擎:3个千兆光/电Combo 普通引擎:4个SIC插槽 高性能引擎:无 6个FIC插槽 2 普通引擎:4 高性能引擎:无 2 1 1 1 支持 固定以太口
项目 密 内存(缺省最大) CF 最大功耗 电(AC) 电(DC) 外形尺寸 ( W×D×H) 重量 环境温度 环境相对湿度 源源MSR 50-40 MSR 50-60 普通引擎:512M/1G 高性能引擎:1G/2G 256M/1G 350W 输入额定电压范围: 100~240V 50/60Hz 输入额定电压范围: -48~-60V 普通引擎:512M/1G 高性能引擎:1G/2G 256M/1G 350W 输入额定电压范围: 100~240V 50/60Hz 输入额定电压范围: -48~-60V 436.2mm×424mm×130.7mm 436.2mm×424mm×175.1mm 18Kg 0~45℃ 20Kg 0~45℃ 5~90%(不结露) ETSI EN 300 386 V1.3.1 (2001-09) EN 55022(1998) EN 55024(1998) 5~90%(不结露) EMC FCC Part15 ICES-003 VCCI V-3 AZ/NZS CISPR22 CNS 13438 UL 60950 3rd Edition 安规 CSA 22.2#950 3rd Edition 1995 EN 60950: 2000 + ZB & ZC deviations for European Union LVD Directive IEC 60950:1999 + corr. Feb. 2000, modified + all National deviations MSR 50路由器软件规格
属性 网络说明 局域网协ARP
属性 互连 议 说明 Ethernet,Ethernet II,VLAN(VLAN-BASED PORT VLAN,VOICE VLAN,Guest VLAN),802.3x, 802.1p,802.1Q,802.1x STP(802.1D) ,RSTP(802.1w),MSTP(802.1s) IGMP Snooping ,GVRP PORT LOOPBACK,PORT MUTILCAST suppression,端口镜像 广域网协议 PPP、PPPoE Client、PPPoE Server 快速转发(单播/组播) IP服务 TCP,UDP,IP Option,IP unnumber 策略路由(单播/组播) Netstream,sFlow Ping、Trace DHCP Server / DHCP Relay/ DHCP Client,DHCP Snooping IP应用 DNS client/DNS Static,DNS Proxy,DDNS IP Accounting,UDP Helper,NTP Telnet,TFTP Client/FTP Client / FTP Server WEB页面推送 协议识别: 支持自端口号类型的定义和对应业务的识别 网络协议 (支持对协议类型名称重命名的自定义 DARDeeper 支持目前已知多种业务的识别 支持HTTP协议特殊属性的识别(如HTTP报文中的URL地址、hostname主机名和MIME类型) 支持RTP协议特殊属性的识别(对RTP报文的负载类型对数据流进行分类) 其他: 支持上述业务识别的报文统计功能 静态路由 IP路由 动态路由协议:RIP/RIPng,OSPF,OSPFv3,BGP,IS-IS 组播路由协议:IGMP,PIM-DM,PIM-SM,MBGP,MSDP 路由策略 协议:LDP MPLS L3VPN:跨域MPLS VPN(Option1/2/3)、嵌套MPLS VPN、分层PE(HoPE)、CE双归属、MCE、多角色主机等 Application Recognition,深度应用识别)
属性 说明 L2VPN: Martini、Kompella、CCC和SVC方式 MPLS TE、RSVP TE 组播VPN IPv6基本功能:IPv6 ND,IPv6 PMTU,IPv6 FIB,IPv6 ACL(通过IPv6 Ready PhaseII的认证) IPv6过渡技术:NAT-PT,IPv6隧道,6PE IPv6 IPv6隧道:手工隧道,自动隧道,GRE隧道,6to4,ISATAP IPv6路由: IPv6静态路由(包括组播静态路由) 动态路由协议:RIPng,OSPFv3,IS-ISv6,BGP4+ 组播路由协议:MLD V1/V2,IGMPv3,PIM-DM,PIM-SM,PIM-SSM 端口安全 AAA 防火墙 数据安全 PPPoE Client & Server,PORTAL,802.1x Local认证,Radius,Tacacs ASPF,ACL,FILTER IKE,IPSec VPN: L2TP、IPSec VPN、SSL(SSL VPN)、GRE、DVPN NAT/NAPT,PKI,RSA,SSH v1.5/2.0, 其它安全技术 支持DAR业务识别的报文过滤和限制 支持DDOS防攻击 支持ARP防攻击、URPF 支持EAD端点准入防御功能功能(包括穿越广域网的模式) 支持接口备份方式 备份功能 支持VRRP、VRRPv3 支持基于带宽的负载分担与备份 支持基于用户(IP地址)的负载分担与备份 NQA联动机制 BFD联动机制 NQA支持同静态路由、策略路由、VRRP和接口备份的联动功能,实现端到端链路的检测与备份功能(Auto-detect) 支持BFD快速链路检测,并能够同RIP、OSPF、BGP、MPLS、VRRP实现联动,以实现路由和链路的快速切换 SP LR 网络安全性 可靠性 QOS 二层QoS Port-Based Mirroring Priority Mapping Port Trust Mode,Port Priority
属性 说明 Flow Control & Backp ressure 流量监管 拥塞管理 拥塞避免 流量整形 其他QOS技术 支持CAR(Committed Access Rate) 支持LR(Line Rate) FIFO、PQ、CQ、WFQ、CBQ、RTPQ WRED/RED 支持GTS(Generic Traffic Shaping) 基于IP的限速,嵌套QoS,VLAN QoS 支持ACL流量分类 支持IP Precedence流量分类 支持的流量分类 支持DSCP流量分类 支持MAC地址分类 支持ATM CLP比特分类 支持802.1P分类 支持基于DAR分类 接口 信令 GK Client SIP Codec Media Process FAX FXS/FXO/E&M E1/T1 R2,DSS1,Q.sig,Digital E&M GK Client SIP G.711A law,G.711U law,G.723R53,G.723R63 ,G.729a,G.729R8 RTP/cRTP,IPHC,Voice Backup FAX VoFR,语音RADIUS,丰富的语音业务、语音备份,DTMF传输其它 支持RFC2833, 智能拨号路由器,FXS和FXO的1:1绑定,断电逃生,SIP Sever本地存活,IVR 支持的标准 WMM QoS 支持WMM队列管理 支持优先级映射 支持开放系统认证和共享密钥认证 支持WEP、TKIP和CCMP加密 802.11b,802.11g,802.11n,802.11i,WPA,WPA 2,802.11e 语音 WLAN 安全
属性 说明 支持WPA和RSN安全协议 支持端口认证:PSK、802.1X、 PSK和MAC 多SSID、SSID隐藏 节能模式 802.11 DCF模式 自动速率调整 特性功能 802.11g保护模式 SSID和VLAN的绑定 支持国家码选择 支持设置射频类型 支持更改射频信道号 支持信道自动选择功能 支持的3G制式 WCDMA、CDMA2000、TD-SCDMA USB接口的3G-Modem SIC 3G-Modem接口卡 遵从对应的3G-Modem的功能和特性 SNMP V1/V2c/V3,MIB,SYSLOG,RMON,WEB网管,TR069 命令行管理,文件系统管理, Dual Image 支持DHCP, FTP,HTTP,ICMP,UDP public, UDP private, TCP 网络质量保证(NQA) public, TCP private, SNMP等协议测试 支持语音jitter测试 支持网络的时延、抖动、丢包率等测试 用户接入管理 支持console口登录,支持telnet(VTY)登录,支持SSH登录,支持FTP登录 3G无线 支持的接口形态 支持的功能和特性 网络管理 本地管理 服务、管理与维护
4.3. 核心交换机
本方案选用H3C S7506E高端多业务交换机,是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5操作系统,融合了
MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。H3C S7506E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
S7506E(8槽)支持冗余主控。H3C S7506E可广泛应用于城域网汇聚和边缘、园区网核心和汇聚以及配线间等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。
H3C S7506E
丰富的业务,适应融合业务网络发展趋势 全面的MPLS业务能力
H3C S7506E所有产品均支持Multi-VRF特性,可以做为MCE设备使用;支持三层的MPLS VPN和二层的MPLS VPN(Martini、Kompella等),可扩展支持VPLS技术;支持MPLS OAM特性,方便用户的管理和维护;支持VPN组播;与H3C MPLS VPN Manager配合,实现图形化的MPLS部署与维护。
线速的IPv4/IPv6业务能力
H3C S7506E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7506E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C S7506E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段金色认证,是成熟商用的IPv6产品。
有线无线一体化,有源无源一体化
H3C S7506E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPV6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3C S7506E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;H3C S7506E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
支持Portal认证
H3C S7506E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
全方位的安全保障,抵御多种网络安全威胁 三平面安全保障机制
H3C S7506E提供完善的安全防护机制,可从控制、管理、转发三平面
全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSH V2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7506E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。
有线无线全面支持EAD
H3C S7506E是EAD端点准入防御解决方案的重要组成部分,S7506E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7506E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。
增强的ACL特性
H3C S7506E系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,每板最大可支持9K条ACL,满足金融等行业访问权限严格控制的需求。
电信级的高可靠性,保障用户业务长期稳定运行 电信级高可靠性设计
H3C S7506E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单
板和电源模块支持热插拔功能;H3C S7506E系列可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性。
多业务高可靠性运行
H3C S7506E支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议,提供小于200ms的环网故障保护;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7506E可以在承载多业务的情况下不间断运行,实现业务的永续。
支持热补丁技术
H3C S7506E能够在不重启设备的前提下,通过热补丁技术,在线修改软件BUG,增加新的业务特性。H3C S7506E提供控制补丁单元状态切换的用户命令,使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术,降低了设备需要重启的次数,为客户提供更长的网络正常工作时间。
产品规格
属 性 整机交换容量 背板容量 IPv4包转发率 槽位数量 S7506E 768Gbps ≥1.6Tbps 492Mpps 8
业务槽位数量 冗余设计 6 电源、主控冗余 支持IEEE 802.1P(CoS优先级) 支持IEEE 802.1Q(VLAN) 支持IEEE 802.1d(STP)/802.1w(RSTP)/802.1s(MSTP) 支持IEEE 802.1ad(QinQ),灵活QinQ和Vlan mapping 支持IEEE 802.3x(全双工流控)和背压式流控(半双工) 支持IEEE 802.3ad(链路聚合)和跨板链路聚合 支持IEEE 802.3(10Base-T)/802.3u(100Base-T) 支持IEEE 802.3z(1000BASE-X)/802.3ab(1000BaseT) 支持IEEE 802.3ae(10Gbase) 支持IEEE 802.3af(PoE) 支持RRPP(快速环网保护协议) 支持跨板端口/流镜像 支持端口广播/多播/未知单播风暴抑制 支持Jumbo Frame 支持基于端口、协议、子网和MAC的VLAN划分 支持SuperVLAN 支持PVLAN 支持Multicast VLAN+ 支持点到点 单VLAN交叉连接、双VLAN交叉连接 全部依靠VLAN-ID进行转发,不涉及MAC地址学习 支持最大VLAN MAPING/灵活QinQ表项 全面支持1:1, 2:1,1:2, 2:2 VLAN MAPPING能力 支持GVRP 支持LLDP 支持ARP Proxy 支持DHCP Relay 支持DHCP Server 支持静态路由 支持RIPv1/v2 支持OSPFv2 支持IS-IS 支持BGPv4 支持OSPF/IS-IS/BGP GR (Graceful Restart优雅重启) 支持等价路由 支持策略路由 支持路由策略 二层特性 IPv4路由特性
IPv6路由特性 支持ICMPv6 支持ICMPv6重定向 支持DHCPv6 支持ACLv6 支持OSPFv3 支持RIPng 支持BGP4+ 支持IS-ISv6 支持手工隧道 支持ISATAP 支持6to4隧道 支持IPv6和IPv4双栈 支持IGMPv1/v2/v3 支持IGMPv1/v2/v3 Snooping 支持IGMP Filter 支持IGMP Fast leave 支持PIM-SM/PIM-DM/PIM-SSM 支持MSDP 支持AnyCast-RP 支持MLDv2/MLDv2 Snooping 支持PIM-SMv6、PIM-DMv6、PIM-SSMv6 支持标准和扩展ACL 支持基于VLAN的ACL 支持Ingress/Egress ACL 支持Ingress/Egress CAR,粒度为64Kbps 支持两级Meter能力 支持VLAN聚合CAR,MAC聚合CAR功能 支持流量整形(Traffic Shaping) 支持802.1P/DSCP优先级Mark/Remark 支持队列调度机制,包括SP、WRR、SP+WRR、CBWFQ 支持每端口8队列 支持拥塞避免机制,包括Tail-Drop、WRED 支持N:2 Mirroring 支持L3 MPLS VPN 支持L2 VPN: VLL (Martini, Kompella) 支持MCE 支持MPLS OAM 支持VPLS,VLL 支持分层VPLS,以及QinQ+VPLS接入 组播 ACL/QoS MPLS/VPLS
安全机制 支持EAD安全解决方案 支持Portal认证 支持MAC认证 支持IEEE 802.1x和IEEE 802.1x SERVER 支持AAA/Radius 支持HWTACACS,支持命令行认证 支持SSHv1.5/SSHv2 支持ACL流过滤机制 支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证 支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限 支持受限的IP地址的Telnet的登录和口令机制 支持IP地址、VLAN ID、MAC地址和端口等多种组合绑定 支持uRPF 支持主备数据备份机制 支持故障后报警和自恢复 支持数据日志 支持FTP、TFTP、Xmodem 支持SNMP v1/v2/v3 支持sFlow流量统计 支持RMON 支持NTP时钟 支持NetStream流量统计功能 支持主控板1+1冗余备份 支持电源1+1冗余备份 采用无源背板设计 所有单板支持热插拔 支持VRRP 支持Ethernet OAM(802.1ag和802.3ah) 支持MAC Tracert 支持RRPP 支持Graceful Restart for OSPF/BGP/IS-IS 支持DLDP 支持VCT 支持Smart-Link 支持热补丁 温度范围:0 OC~45 OC 相对湿度:10%~95%(非凝结) 通过了CE、FCC PART 15、TUV-GS、UL-CUL、ICES003和VCCI的认证 DC:–38.4V~–72V AC: 90V~264 系统管理 可靠性 环境要求 安规和EMC认证 电源
POE电源 外形尺寸(宽×高×深)(mm) 满配重量(kg) 支持内置PoE电源(S7506E-S不支持) 436 x 575 x 420 ≤77kg
4.4. 接入交换机
本次网络接入交换机选用H3C S5120-EI交换机。 产品概述
H3C S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF(智能弹性架构)功能,用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。
S5120-24P-EI
产品特点 高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条10GE链路将是我们的未来发展方向。S5120-EI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
S5120-EI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬
件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管,实现IPv4到IPv6的平滑升级。
智能弹性架构
H3C S5120-EI系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处:
简化管理
IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
简化业务
IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
弹性扩展
可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。
高可靠
IRF的高可靠性体现在链路,设备和协议三个方面。成员设备之间物
理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。
高性能
对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
完备的安全控制策略
H3C S5120-EI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3C S5120-EI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证,防止非法用户登录网络。支持集中式MAC地址认证,可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,
而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相应的策略,例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2(SSH V2)特性可以提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。
丰富的QoS策略
H3C S5120-EI系列交换机支持支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式。支持CAR功能,粒度最小达64Kbps。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。
出色的管理性
H3C S5120-EI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMPv2集群管理,使设备管理更方便,并且支持SSH2.0等加密方式,使得管理更加安全。
H3C S5120-EI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。
增强的以太网供电功能(PoE+)
H3C S5120-EI系列交换机支持增强的以太网供电功能(PoE+),PoE供电款型可以提供每端口最大30W的输出功率,可以为802.11n的无线接入点,可视IP电话,以及更多的终端设备提供以太网供电能力。
产品规格
持特性 交换容192Gbps 量 包转发41Mpps 率 外形尺寸(长×宽×高) 440×300×43.6 S5120-24P-EI (单位:mm) 重量 管理端1个Console口 口 固定端口 扩展插不支持 槽 可选接不支持 口模块 24个10/100/1000Base-T以太网端口 4.4kg 4个复用的1000Base-X千兆SFP端口
持特性 端口聚S5120-24P-EI 支持LACP 合 支持IEEE802.3x 流量控制(全双工) 端口特支持基于端口速率百分比的风暴抑制 性 支持基于PPS的风暴抑制 支持IRF2智能弹性架构 IRF2 支持分布式设备管理,分布式链路聚合 (S5120C-EI系列支持) 支持本地堆叠和远程堆叠 支持基于端口的VLAN(4K) 支持通过标准以太网接口进行堆叠 支持基于MAC的VLAN 基于协议的VLAN VLAN 支持QinQ,灵活QinQ 支持VLAN Mapping 支持Voice VLAN 支持GVRP
持特性 S5120-24P-EI 支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口、协议类型、VLAN的流分类 ACL 支持时间段(Time Range)ACL 支持基于端口、VLAN下发ACL 支持对端口接收报文的速率和发送报文的速率进行限制 支持报文重定向 支持CAR(Committed Access Rate)功能 QoS 每个端口支持8个输出队列 支持端口队列调度(SP、WRR、SP+WRR) 支持报文的802.1p和DSCP优先级重新标记 支持DHCP Client DHCP 支持DHCP Snooping 支持DHCP Snooping option82 IP由 支持IGMP Snooping /MLD Snooping 组播 支持组播VLAN 二层环网协议 支持STP/RSTP/MSTP 路支持IPv4和IPv6的三层路由功能 支持RRPP
持特性 S5120-24P-EI 支持最大4组N:1的端口镜像 镜像 支持远程端口镜像RSPAN 支持流镜像 支持用户分级管理和口令保护 支持802.1X认证/集中式MAC地址认证 支持Guest VLAN 安全特性 支持RADIUS认证 支持SSH 2.0 支持端口隔离 支持端口安全 支持EAD
持特性 S5120-24P-EI 支持XModem/FTP/TFTP加载升级 支持命令行接口(CLI),Telnet,Console口进行配置 支持SNMPv1/v2/v3,WEB网管 支持RMON告警、事件、历史记录 支持iMC智能管理中心 支持系统日志,分级告警,调试信息输出 管理与支持sFlow 维护 支持HGMPv2 支持NTP 支持Ping、Tracert 支持VCT电缆检测功能 支持DLDP单向链路检测协议 支持Loopback-detection 端口环回检测
4.5. IMC智能管理平台
本次项目选用H3C IMC智能管理平台网管理软件。 产品概述
随着网络建设的不断深入发展,除了单纯的追求高带宽、高速率外,
安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点,网络精细化管理也越来越深入人心,一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。在目前的企业网中,一方面网络规模不断扩大,对设备资源的控制要求不断提高;另一方面,网络业务不断丰富,针对网络业务管理的需求越来越迫切;同时,接入节点规模庞大,对用户接入的控制和管理也成为不少网络必备的要求。传统的单一的网络管理、业务管理工具或用户及接入管理往往缺乏相互融合,导致管理手段孤立、有效信息无法共享、管理力度不足、管理操作复杂。企业迫切需要一种融合的网络、用户和业务融合管理的系统,使得用户、网络、业务统一管理、互相协同、操作简便、满足多种接入场景所需。
iMC智能管理中心,是H3C推出的下一代业务智能管理产品。它以业务管理和业务流程模型为核心,采用面向服务(SOA)的设计思想,为客户提供网络业务、资源和用户的融合管理解决方案,帮助客户实现网络业务的端到端管理;同时以全开放的、组件化的架构原型,向平台及其承载业务提供分布式、分级式交互管理特性;并为业务软件的下一代产品提供最可靠的、可扩展的、高性能的业务平台。
iMC智能管理平台(Intelligent Management Center)是整个iMC智能管理系统的基础管理平台,iMC的各个业务组件都必须安装在这个公用的平台上才能使用。iMC智能管理平台不仅为系统各业务组件的集成提供了包括统一权限控制、SOA框架、统一操作日志管理、各组件License控制、分布式安装等基本功能,而且还为用户提供了包括操作员管理、资源管理、拓扑管理、性能管理、告警管理、配置管理、Syslog管理、及操作日志管
理等网络管理功能,以及资产管理、VLAN管理、ACL管理、虚拟化网络管理、安全控制中心、来宾接入管理、报表管理等基础业务功能。
产品特点
1 首页个性化定制
支持各业务在首页发布widget,每个widget具有折叠、还原、最大化、拖拉、关闭、新窗口打开等功能。
支持用户在自己的权限范围内定制个性化主页。 2 集中化的设备资源和用户资源管理,提高管理效率
对H3C、HP、3Com、华为、Cisco各厂家网络设备的分类和识别;对设备状态和基本信息的管理,不仅包含了设备的基本信息、接口信息、性能数据和告警信息,同时还可以在增加其他组件的情况下显示扩展后的业务信息。
与业务无关的用户基本信息的统一维护,这些基本信息是独立于业务的,包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组;并提供用户附加信息管理功能,管理员可根据网络运营的习惯进行用户信息定制,如学校可以定制学号、年级等信息,企业可以定制部门、职务等信息。
支持对设备访问参数的批量配置和校验,提供对网络设备资源的查找、修改、删除和批量导入/导出功能;提供用户的批量管理功能,包括:批量修改用户附加信息、批量注销用户,以及批量用户导入功能,节省操作员录入时间。
3 丰富的设备资源管理能力
◆更多的管理设备类型:除了传统的路由器、交换机外,更能对网络中的无线、安全、语音、存储、监控、服务器、打印机、UPS等设备进行管理,实现设备资源的集中化管理。
◆多厂家设备的统一管理:除了对H3C的网络设备管理外,iMC平台还实现了对业界其他主流厂家网络设备的管理。支持用户手动添加设备型号、设备厂商。
◆灵活快捷的自动发现算法:基于H3C专利的发现算法,iMC平台不仅提供了快速自动发现方式,还提供了四种高级自动发现方式,包括路由方式、ARP方式、IPSec VPN方式、网段方式等,能快速、准确地发现网络资源。
◆直观的设备面板管理:支持设备面板管理,所见即所得的显示设备的资产组成和运行状态。
◆清晰的网络设备资产管理:在将iMC平台中管理的设备增加到网络资产管理的同时,系统还会自动发现该设备上可以管理的配件信息,并将这些配件加入到网络资产中进行管理,管理员可以对网络资产信息进行修改,还可以查看该资产的子模块信息、接口信息以及变更审计历史信息。
4 灵活的拓扑功能
美观清晰的拓扑展示,能够实时显示当前视图的拓扑状态。通过在拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息,管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视,拓扑上提供了常用的Ping、Telnet、TraceRoute、打开设备Web网管和管理/不管理设备等常用操作和相关链接,拓扑可以作为管理员管理网络的一个入口。
提供传统的基于IP网络的IP拓扑、二层拓扑和邻居拓扑。 管理员可以根据实际组网情况,自由定义自己关注的网络拓扑视图(自定义拓扑)。并可通过自定义子图的方式对部分网络设备进行组织和管理。
支持按设备物理位置进行组织的数据中心机房和机架拓扑。通过此拓扑视图,用户可以很方便的找到设备在机房中所处位置,进而对设备物理实体进行管理维护。
安全控制中心(SCC)向用户提供特定类型网络攻击的攻击拓扑,并可实时绘制出攻击路径,便于用户定位攻击来源,并进一步采取管理措施。
在安装了其他组件的情况下,拓扑会增加相应的业务拓扑和操作链接,以满足不同业务的需求。
5 智能的告警管理
◆直观的故障列表:H3C智能管理中心能自动汇总全网中故障设备,形成故障设备列表,使管理员能快速、清晰的找到需要关注的故障设备。
◆智能的告警关联:支持重复、闪断、未知事件过滤;支持自定义事件过滤规则、自定义告警生成规则。实现重复告警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤功能,可以有效压缩海量网络告警,使得管理员直接关注真正的网络故障。
◆告警根源分析和影响度分析:提供基于拓扑的区域告警根源分析,提供告警关联分析,提供告警分组分析,有效屏蔽故障引起的海量表象告警,方便用户快速定位、查找故障根源,确认故障影响的范围。
◆告警定义和Mib导入:在支持标准Trap以及H3C、华为、Cisco等主流厂商私有Trap基础上,还提供新增及通过Mib导入Trap定义功能,方便快速地支持各厂商新Trap。
◆丰富的告警转发机制:除提供告警声光提示、转Email、转短信等方式外,还可以针对不同的告警定义不同的提示内容以及对应维护参考,当再次出现同类告警后能直接对应到相应的维护参考。
◆结合拓扑直观的设备故障状态监控:与传统的网管告警和拓扑状态
互相分离做法不同,使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上,用户仅需要查看拓扑,即可知道网络的整体运行状态。
◆Syslog接收与分析:iMC平台支持多厂商设备的Syslog原始报文接收,提供日志浏览、查询、导出及自动转储功能。并且可以根据预定义及用户自定义规则对Syslog报文进行分析,将关键事件升级为告警,有效地帮助用户在海量Syslog报文中及时发现网络关键事件。
◆安全事件联动:iMC平台对多厂商设备的Syslog报文进行分析,提取安全相关的关键信息(比如攻击事件类型、攻击源、攻击目的),并根据安全控制策略,采取匹配的安全动作,比如关闭攻击源网络端口等。
在安装其他组件的情况下,还提供基本告警和业务告警的关联,在基本告警发生后,系统进行关联分析,自动产生业务告警。管理员即可根据基本告警从而迅速定位问题,缩短平均修复时间。又可根据业务告警,分析出受影响的业务,为网络的现状评估和优化提供数据基础。
6 易用的性能管理
◆一目了然的网络TopN性能指标:CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项,iMC平台通过TopN列表,使用户能一目了然当前网络中的性能瓶颈问题。
◆性能视图:用户可灵活定制性能数据浏览视图,分析网络运行趋势。性能视图支持多指标多实例数据组合的展示,支持TopN明细表格、TopN柱图、折线图、柱状图、面积图、汇总数据多种性能监控数据展示方式。
◆性能与告警的深度结合:iMC平台支持对每一个性能指标设置两级阈值,发送不同级别的告警。用户可以根据告警信息直接了解到设备监视指标的性能情况,有助于用户随时了解网络的运行状态,预测流量发展趋势,合理优化网络。
◆详实的性能统计报表:利用采集到的性能数据信息,iMC平台能对关键的性能监控内容形成实用、详实的统计报表,用户可以直接打印这些报表,也可以将报表导成Excel、Html、PDF、Word等形式的文件。
◆丰富的拓扑性能指标实时展示:iMC平台支持在的拓扑中展示设备和链路性能监控数据,用户可为不同设备和链路定制不同展示指标。
7 强大的配置管理
◆资源化的配置和软件管理: iMC平台以资源管理的角度提供了配置模板库和设备软件库的管理。配置模板库维护网络设备配置模板文件、用户常用的配置模板片段两种资源;配置模板文件可部署为设备的启动配置或者运行配置;配置模板片断可部署为设备的运行配置,也可通过启用“下发命令后将设备运行配置保存为启动配置”选项部署为启动配置,并且配置内容可以带有参数,在部署时根据设备的差异设置不同的值。
设备软件库维护各类软件文件。除了管理设备的版本软件,还支持设备上各种业务的软件管理(目前包括ONU软件、ONU算法等设备软件资源),从而实现设备软件文件的统一管理。用户可以将配置模板、设备软件文件从系统中导出到本地系统,建立本地的配置、软件文件资源备份;反过来也可以从本地文件中导入到iMC平台中。
◆集中化的设备配置和软件信息展示:提供全网设备的配置文件、软件版本信息集中式展示,包括设备的当前软件版本、最新可用于升级的软件版本、最近备份时间、是否已加入自动备份计划等信息;可提供管理员对设备的集中操作包括设备配置部署、设备配置备份与恢复、设备软件升级与恢复、设备空间管理、设备软件基线化管理功能,极大的方便了管理员直观的掌握当前网络的配置和软件版本。
◆基线化的设备配置变更审计:通过配置备份历史和软件升级历史的管理,实现基线化的设备配置变更审计功能,使配置文件管理和软件升级管理具有了可回溯性。提供设备运行配置和启动配置的基线化版本管理,将每个设备相关的配置文件划分为三种版本:基线、普通、草稿。便于管理员识别、管理。并可快速恢复至基线配置。提供设备软件基线化版本管理,每个设备可以指定一个基线版本,提供基线审计及快速恢复至基线版本功能。
◆自动化的建立可追溯的网络配置:通过启动自动备份功能,帮助管理员周期性自动地完成设备配置的历史备份,为用户自动建立起可追溯的网络配置。用户可以针对不同的设备设置不同的备份周期和备份时间点,支持按天、周、月周期备份。支持网络运行设备的配置变化检查,一旦配置发生变化,立刻以告警方式通知管理员关注。
8 丰富的VLAN管理
iMC平台的VLAN管理的功能包括:全网VLAN管理、 VLAN设备管理、VLAN拓扑、VLAN批量部署等,同时提供详细的VLAN操作结果报告,方便
网管员跟踪VLAN配置的历史记录。
◆全网VLAN管理:通过全网VLAN管理功能,管理员可以很方便的在全网范围内增加、修改和删除VLAN,查看VLAN具体的不属于哪些设备,并能够方便地对VLAN内的设备进行管理。
◆VLAN设备管理:iMC平台提供了对单个设备上VLAN相关资源的管理,比如对VLAN、路由虚接口、Access、Trunk、Hybrid的创建、删除和修改。
◆VLAN拓扑:在VLAN拓扑中,通过节点或链路加亮的方式显示是否允许当前VLAN通过,这对于判断VLAN的连通性非常方便;同时允许管理员直接基于拓扑图进行配置,使当前VLAN在某节点和链路上允许通过,相对传统的配置方式较为直观。
◆VLAN批量部署:采用向导方式,提供对全网内的VLAN资源进行批量配置,包括批量部署Access口、批量部署Trunk口、批量部署Hybrid口、批量部署VLAN等。
9 实用的IP/MAC管理
IP地址分配,将IP地址作为网络中的一种资源,进行统一分配和管理。
准入配置,对网络终端接入网络的安全规则进行设置,并在网络终端违背安全规则的情况下,设定相应的安全处理策略(发送告警、关闭端口等)。
异常接入日志,网络终端接入网络时,如果违反了交换机准入绑定或终端准入绑定,或者不能匹配任何绑定关系,但在“终端异常处理策略”中设置“未知接入”是“非法”,iMC将会无条件记录“异常接入日志”。
历史接入记录,网络终端接入网络的所有日志,通过历史接入记录可提供给操作员终端接入的全部信息,包括网络终端从何时、何地接入,iMC最后一次轮询到这台网络终端的时间。
实时定位,在网络终端在线的情况下,实时定位可以实时查询网络终端当前所在的网络位置,或最近的网络位置。当发生异常攻击或病毒传播时,通过实时定位,网络管理员可以迅速定位问题所在网络位置,并进行隔离。 10 便捷的网络资产管理
提供网络资产的管理和查询功能。网管员可以根据不同的条件检索网络资产信息。管理员首先将iMC系统中管理的设备增加到网络资产中进行管理,在设备增加到网络资产管理的同时,系统还会自动发现该设备上可以管理的配件信息,并将这些配件加入到网络资产中进行管理。通过网络资产详细信息页面,网管员可以对网络资产信息进行修改,还可以查看该资产的子模块信息、接口信息以及变更审计历史信息。
提供网络资产的审计功能。iMC提供两种触发网络资产审计的方法:
一种是系统定期自动同步,在同步网络资产信息的同时对资产信息进行审计,记录网络资产发生的变更信息。另一种是通过手动触发,当对iMC中加入网络资产管理的设备进行同步操作时,会触发该设备的资产信息同步,并进行审计。通过网络资产审计的查询功能,网管员可以定制条件查询资产变更的审计信息。
11 专业的虚拟化网络管理
支持显示虚拟网络视图。虚拟网络视图以树形结构,层次化的展示出了物理服务器(ESX)、虚拟交换机(vSwitch)、虚拟机(VM)之间的从属或连接关系;同时基于虚拟网络视图,管理员可以查看ESX和VM的详细信息,并执行VM的迁移操作。
支持虚拟网络拓扑,以拓扑方式展示物理服务器(ESX)、虚拟交换机(vSwitch)、虚拟机(VM)之间的从属或连接关系;同时,通过ESX和物理交换机之间的连接关系,展示ESX所在的物理位置。
支持虚拟机迁移后,对物理网络配置进行相应的迁移。
提供虚拟机迁移建议,显示vCenter上的所有迁移建议,管理员可以基于迁移建议执行VM的迁移操作。
显示迁移报告,虚拟机迁移的信息报告中包含了虚拟机迁移的最终结果以及迁移过程中各个步骤的执行结果。 12 直观方便的ACL管理
支持对全网设备ACL配置进行统一管理,可灵活地对多个设备批量配置相同的ACL。在网络维护中,通过资源的反复重用,可以如同堆积木一般轻松地完成ACL配置和部属。在配置ACL资源时,还提供了规则优化的功能,智能化地提出简化ACL配置、提高ACL效率的修改建议。
ACL部署管理提供了强大的下发处理机制,方便管理员进行管理和ACL配置任务下发,为用户提供可计划的、可批量化的ACL部署能力,包括部
署ACL配置、删除设备上的ACL配置、删除设备上的时间范围配置、部署ACL应用、删除设备上的ACL应用五种配置操作。
13 专业的网络分级分权管理
对于大型网络和业务管理的需要,iMC平台提供分级分权管理功能。通过权限管理,可为不同的iMC操作人员规划不同的权限,不同的权限对应不同的设备分组,从而实现精细化分权管理能力。分级管理功能是将整个网管分为上、下级两层(或更多层),其中专业版iMC平台为上级网管,其他的iMC平台(专业版或标准版)为下级网管。用户可以通过上级网管直接对下级网管及其管理的设备进行管理。下级iMC的重要设备、重要告警的告警信息可以通过分级网管的告警功能通知上级iMC的管理人员。可以在上级iMC的“下级网管视图”中管理下级iMC及其管理的设备。“下级网管视图”用来展示当前服务器作为上级网管服务器所管理的下级网管服务器的信息,同时也是增加、修改、删除、登录下级网管等操作的入口。同时,上级网管可通过系统预置报表模板和自定义报表模板,立即、周期性生成下级网络运行状态报表,全面了解全网运行状况。
14 丰富的报表管理
提供我的报表视图,展示了当前操作员常用的报表,包括实时报表、快速自定义报表和周期报表。用户可根据自己的实际关注情况,在此视图中配置所关注的报表。 提供即点即看类型的实时报表。
当用户使用iAR组件时,可以定制自己的报表模板,并通过发布功能使用此报表。自定义报表模板只有在发布后,才能使用,生成报表。
通过周期报表帮助用户定期自动生成报表,并可以根据用户需要自动发送到用户的指定邮箱中。 15 多种网管平台的集成能力
iMC平台的集成插件支持与OpenView,SNMPc和NetView等网管平台集成,集成后的第三方网管平台可以识别H3C设备、显示H3C设备图标,并且用户可以通过第三方网管平台上的菜单项,直接调用iMC打开H3C设备面板、查看和管理该设备。iMC平台还提供了一种特殊的用户,该用户只能是维护员或查看员,并且仅能使用网元组件的相关功能。
16 IT资源深度管理的承载平台
除了网络管理功能外,iMC平台更是IT资源深度管理的承载平台,在此基础上用户可以增加H3C智能管理中心“NTA网络流量分析”、“MPLS VPN管理”“EAD终端准入控制”、“UBA用户行为审计”等组件,同时基于SOA的软件架构也能方便集成用户原有管理系统。
4.6. 核心设备可实现的特色功能 网络安全融合
通过融合插卡降低网络组网成本
在安全方面可以采用在S7506E交换机安装安全插卡实现网络安全隔离。该插卡可以实现防火墙与网络技术的整合,它本身并不带有任何应用端口,仅提供管理端口,可以插在75E交换机任何
一个交换槽位中,交换机的任何端口都能够充当防火墙端口。 传统机架防火墙最多只有8-10个千兆接口, 而在实际应用中8-10个接口远不能满足要求,在部署了SecBladeII安全插卡后, 75E交换机每个端口都具备防火墙功能,大大节省了防火墙端口投入成本。
SecBladeII安全插卡支持256个虚拟防火墙,而每个虚拟防火墙可以独立进行配置,好比在网络中部署了256个独立的小型防火墙,可以为不同的部门分配各自的虚拟防火墙,并且这些虚拟防火墙可以集中管理配置,极大的节省了防火墙设备投资,同时简化了整个网络的结构。
在传统的交换机中,如要增加NAT功能,必须选配专门的NAT板卡。而基于SecBladeII模块超强的性能,本身已经具备强大的NAT能力,因此在选购了SecBladeII模块后,不需要再单独购买NAT板即可拥有NAT功能,又节省了一笔投资。
实现业务的高性能
H3C SecBladeII是业界性能最高的防火墙解决方案,单块板卡即可支持8Gbps防火墙吞吐量,200万个并发连接和每秒6万新建连接。同时可以根据需要在一台交换机中配多块模块,性能可以得到递增。
SecBladeII防火墙模块同时支持VPN功能,并且具有2Gbps的超强VPN加密性能,可以同时提供防火墙和VPN服务,性能上互相不受影响,具有极高的性价比。
和交换机直接融合,处理流程更紧密
H3C SecBladeII模块安装在H3C S75E系列交换机中,与交换机无缝融合,提供防火墙、VPN、NAT等功能。SecBladeII完全支持VLAN,提供动态路由,对于多个安全域形成完善的安全防护,从而消除来自企业园区网的越来越多的安全威胁。
SecBladeII以H3C SecPath技术为基础,使用了与网络设备同一个Comware 系统平台,在H3C各类产品中中广泛使用,具有高可靠性、高稳定性、高安全性的特点,。
考虑到机房的日常维护和管理,从连接方式方面,SecBladeII采用内置板卡的方式,避免了传统机架防火墙复杂的网线连接方式,避免了由于网线连接产生的各种故障。
虚拟防火墙支持,安全管理更加细腻
SecBladeII支持虚拟防火墙功能,可以同时支持最多256个虚拟防火墙。虚拟防火墙可以在一个硬件平台上提供多个逻辑上的防火墙实体。
虚拟防火墙可以实现所有常规的防火墙设备功能,包括与外部世界的
互动:独立管理、独立设置、专用的系统日志服务器和AAA服务器等,以及每个虚拟防火墙的各种内部组件:例如独立路由表、ACL、黑名单等,都将被虚拟化。
可以利用虚拟防火墙功能,可以限制同一个企业网络中的不同部门之间的流量。为某个企业的各个部门员工提供不同的安全服务,做到更加细粒度的安全管理。
管理优势
图形化界面:SecBladeII防火墙模块提供了人性化的WEB图形管理界面。可以根据不同人员设定不同的安全权限,并且可以根据虚拟防火墙来设定相应的管理人员,各自配置自己的防火墙安全策略。
统一网管:支持网管软件实现对SecBladeII和网络设备的统一配置和管理。可以像配置接口板一样通过交换机的主控板实现对SecBladeII模块的管理,防火墙的状态可以统一显示给用户,使得管理变得更加方便简单。
有线无线一体化
H3C S7506E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
S7506E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7506E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。(EAD部分详见桌面安全部分)
有线无线一体化方案特点 方便部署、易于管理
传统无线网络的部署需要网络管理员对网络中的每一个AP进行逐一配置,当无线网络规模较大时网络管理员往往要配置上百个AP,工作量巨大,且易于出错。而采用无线控制器和FIT AP配合组网,网络管理人员不再需要对每个AP进行逐一配置,而只需要在无线控制器上对一类相同属性的AP建立配置模板,AP在启动时可以自动从无线控制器上下载最新的配置文件。另外,由于AP本身不保存任何配置,万一设备丢失,也可以保证网络配置不被窃取。AP支持启动后自动获取IP地址、自动获取AC的工作列表并自动和AC建立关联,真正做到了零配置,免维护,极大地减轻了网络管理员在部署网络阶段的维护工作量。当网络正常运行以后,无线控制器对所管理的AP以及AP所接入的用户进行实时监控,并能将这些信息实时上报给网管,并且维护人员可以指定AP或用户进行在线服务策略设定和安全策略设定,使网络配置策略更加灵活。同时,无线控制器支持AP软件自动更新功能,AP在每次重新启动时会自动比较当前运行的软件版本和无线控制器上的最新版本是否一致,如不一致AP会自动更新本地的软件映像,软件升级不再需要网管人员的干预。另外,为了保证设备的安全性,无线控制器支持对接入的AP设备进行身份认证,保证只有合法的AP才能接入网络。
控制转发、集中策略控制
AP将无线用户的数据通过CAPWAP隧道送到无线控制器上进行集中转发和集中策略控制,与AP直接在本地转发相比,集中转发模式要求所有无线用户数据和有线网络到无线用户的数据都需要通过AC来进行集中处理,这
种转发模式便于为无线用户统一部署ACL策略和QOS策略(基于用户做带宽限速等),同时可以在AC上提供更多安全防护功能例如防火墙、IDS等。因此,采用集中转发模式一方面可以隔离无线网络和有线网络的数据,确保进入有线网络的无线用户的数据安全,另一方面集中转发模式可以将AP从繁重的策略控制、安全防护以及大量的统计工作中解放出来。
三层漫游
无线控制器业务板支持三层漫游,并支持快速漫游,漫游切换时间小于50ms,满足对切换时间要求最苛刻的语音业务。
丰富的RF管理和安全
RF管理功能,可以使得无线网络的组网灵活性大大增强,网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段,信道和功率还需要按照国家代码自动设置,无线控制器业务板的RF管理功能相当于批处理一样,使得网络部署非常简单。RSSI/SNR的不断更新,更是让系统可以适时了解每一个无线用户所处电磁环境的好坏,与AP的距离,从而可以采取相应的策略来提升网络的可用性。
支持智能的负载均衡
支持按接入用户数量和流量的复杂均衡方式,当无线控制器发现AP的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入,如果有则AP会拒绝用户的关联请求,用户会转而接入其他负载较轻的AP,但如果无线用户不在AP的重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。H3C公司创新性地支持智能负载均衡技术,保证只对处于AP覆盖重
叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。
IPv6
无线控制器业务板实现了IPv4/IPv6双协议栈。AP和无线控制器之间可以穿过IPv6网络互联,从而使组网方式更加灵活,可以满足今后网络发展的需要,保护用户投资。
完善的QoS
H3C公司最新的Comware V5平台开发,不但对Diff-Serv标准进行了完善,同时还增加了对IPv6协议的QoS支持。QoS Diff-Serv 模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1~AF4、BE等六组PHB及业务,可为用户提供具有不同服务质量等级的服务保证, 真正成为同时承载数据、语音和视频业务的综合网络。实施Differentiated Service(Diff-Serv)的主要技术包括流分类、流量监管(CAR)、拥塞管理(PQ/CQ)和拥塞避免。
有线无线一体化的网管系统
IMC 是H3C公司自主研发的新一代网络管理系统。IMC采用组件化结构设计,通过安装不同的业务组件实现了设备管理、软件升级管理、配置文件管理、告警管理、性能管理等功能。无论对于企业网、校园网、园区网用户还是各大运营商,IMC都可以提供完善的解决方案,方便用户监控、维护、管理各自的网络。IMC的设备管理组件在单独安装时,可以与业界通用的网管平台进行集成,常用平台有SNMPc、HP Openview等。H3C 插卡式无线控制器提供本地维护、远程维护、集中维护等多种维护手段,并提供完
备的告警、测试、诊断、跟踪、日志等功能,方便用户的日常维护管理。
支持EAD无线接入
端点准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。H3C系列无线控制器业务板支持无线用户的EAD接入,通过与安全策略服务器的联动,可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理,只有无线客户端符合相应的安全策略之后才允许正常访问网络,从而提高了无线网络的整体安全性。
第5章 总体方案的优势
1. 网络带宽高,满足多业务需求。可以彻底满足网络数据、视频、多媒体应用方面目前以及至少今后几年内的带宽需求,可以在本大楼网络内开展实时视频业务,在高速数据交换的同时实现优良的视频业务,这包括网上电视(IPTV)、网络教学节目等。同时,极高的网络带宽将缩短数据交换时间,用户使用网络将不再考虑网络带宽与数据交换时间问题,真正实现网络以人为本。
2. 网络带宽高,不再考虑QoS问题。较高的网络带宽可以充分满足多种业务无阻塞交换,网络管理者不必再为每种业务配置不同的服务质量策略,简化了设备的配置与维护工作,同时由于网络设备上流分类策略、QoS策略的减少极大提高了设备的转发性能与稳定性,从而整体上提高了网络的性能与稳定性。
3. 网络可扩展性强,满足几年内对新业务的支持以及网络用户扩充。采用万兆到楼层、千兆到桌面的建网思路,不但满足当前用户的多种业务需求,同时可以满足今后相当长一段时间内各种新型业务的需求,有利于网络对新业务的支持以及网络规模的平滑扩容。
4. 网络的兼容性强。本次网络建设充分考虑医院的业务发展需要,在网络方案设计的同时,一并考虑了存储、远程示教、VOIP等需要,如果后续需要扩充这些业务,能够最大化的降低投入成本。
5. 有线无线一体化。本次网络方案通过在核心交换机上支持相应的无线插卡式控制器。对于满足需要无线业务的时候,只需要配置相应的FIT
AP就可以,管理维护非常简单。
6. 安全渗透网络。通过在核心交换机上集成防火墙插卡,让网络设备具备安全防火墙的功能。极大的保护了内网的安全。而且减少了故障点,管理维护非常方便。
7. 可以方便升到万兆主干,很好的保护现的在网络投资。
第6章 本次方案配置
序号 1 2 3 4 5 防火强 NS-SecPath F100-E-AC 路由器 RT-MPUF-H3 RT-MSCA-H3 RT-MSR5040-AC-H3 LIS-MSR50-STANDARD-H3 核心交换机 LS-7506E LSQM1AC1400 LSQM1MPUB0 LSQM1GT24SC0 LSQM1GP24SC0 SFP-GE-SX-MM850-A H3C S5120-EI 以太网交换机 LS-5120-24P-EI-H3 智能管理中心 SWP-IMC-IMP LIS-IMC-IMPA-25 产品型号 产品描述 数量 1 1 1 1 1 1 2 2 1 1 6 6 1 1 H3C SecPath F100-E 主机-双交流电源(4FE/1Slot) H3C MSR 50 主控模块,2GE (Combo), 4SIC, 256F/512D H3C MSR 50-60 多业务模块 H3C MSR 50-40 路由器主机(AC) H3C MSR50系列主机软件费用(标准版) H3C S7506E 以太网交换机主机 H3C S7500E 交流电源模块,1400W H3C S7500 Salience VI-Lite交换路由引擎 H3C S7500E 24端口千兆以太网电接口模块(RJ45) H3C S7500E 24端口千兆/百兆以太网光接口模块(SFP,LC) 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) H3C S5120-24P-EI-以太网交换机主机(24GE+4SFP Combo) H3C iMC-智能管理平台标准版(不含节点)-纯软件(DVD) H3C iMC-智能管理平台标准版管理25节点License费用
因篇幅问题不能全部显示,请点此查看更多更全内容