網(wǎng)絡(luò)改造建議方案

XXXXX政府服務(wù)中心網(wǎng)絡(luò)規(guī)劃建議方案 XXXXX政府服務(wù)中心網(wǎng)絡(luò)建設(shè)方案21-目錄第1章 前言 -2-第2章 XXXXX政府服務(wù)中心需求分析 -3-2.1 骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性需求 -3-2.2 網(wǎng)絡(luò)安全性需求 -3-2.3 網(wǎng)絡(luò)數(shù)據(jù)增長的需求 -3-第3章 XXXXX政府服務(wù)中心網(wǎng)絡(luò)建設(shè)要求 -4-3.1 建設(shè)目標(biāo) -4-3.2 建設(shè)內(nèi)容 -4-3.2.1 安全性 -4-3.2.2 先進性 -4-3.2.3 開放性 -4-3.2.4 擴展性 -5-3.2.5 高性能 -5-3.2.6 標(biāo)準(zhǔn)化 -5-3.2.7 可管理 -5-第4章 XXXXX政府服務(wù)中心網(wǎng)絡(luò)建設(shè)方案 -6-4.1 骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性 -7-4.1.1 骨干設(shè)備選擇 -7-4.2 網(wǎng)絡(luò)安全性保證 -11-4.2.1 出口設(shè)備安全策略 -11-4.2.2 核心、接入交換機安全策略 -11-4.2.3 病毒、攻擊防護方式 -12-第5章 設(shè)備原廠商服務(wù) -14-5.1 原廠商標(biāo)準(zhǔn)服務(wù)內(nèi)容 -14-5.1.1 保修服務(wù)內(nèi)容 -14-5.1.2 7×24小時遠程支持中心 -16-5.1.3 便捷的自主服務(wù)平臺 -16-5.1.4 快捷的服務(wù)響應(yīng) -17-5.1.5 服務(wù)網(wǎng)點 -17-5.2 原廠商服務(wù)保障體系 -18-5.2.1 售后服務(wù)模式 -18-5.2.2 技術(shù)支持系統(tǒng) -19-5.2.3 備件管理系統(tǒng) -20-5.2.4 服務(wù)質(zhì)量管理體系 -20-5.2.5 服務(wù)團隊 -21-前言隨著當(dāng)代信息技術(shù)的發(fā)展，隨著多媒體技術(shù)在各行各業(yè)的應(yīng)用越來越普遍，網(wǎng)絡(luò)的建設(shè)提到了重要的議事日程。從當(dāng)今世界發(fā)達國家社會機構(gòu)信息化發(fā)展的經(jīng)驗來看，從單機發(fā)展到網(wǎng)絡(luò)，是全社會信息化發(fā)展的必然趨勢。因此，在當(dāng)前我國發(fā)達地區(qū)的基礎(chǔ)信息化發(fā)展過程中，以社會機構(gòu)網(wǎng)絡(luò)的建設(shè)為核心與基礎(chǔ)，加快現(xiàn)代化的進程，實現(xiàn)我國社會改革發(fā)展中的跳躍式發(fā)展，這是全面貫徹科技興國的關(guān)鍵性步驟。當(dāng)前的網(wǎng)絡(luò)發(fā)展正發(fā)生著巨大的變化，社會服務(wù)機構(gòu)的網(wǎng)絡(luò)正從傳統(tǒng)的、簡單的以數(shù)據(jù)共享、電子郵件服務(wù)等數(shù)據(jù)處理為中心的數(shù)據(jù)承載網(wǎng)過渡到以多媒體流（多媒體視頻、網(wǎng)上視頻轉(zhuǎn)播、VOD點播、視頻會議等）處理為中心的多業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)的信息化的發(fā)展，越來越的多的服務(wù)方式依托于網(wǎng)絡(luò)給用戶提供多種的特色模式；通過建立VOD視頻服務(wù)器平臺，為用戶提供優(yōu)質(zhì)的視頻內(nèi)容服務(wù)；通過召開視頻會議，從時間、空間上改變傳統(tǒng)的會議方式，方便了與會者，提高了效率并節(jié)省了會議費用。應(yīng)用趨勢決定了服務(wù)機構(gòu)網(wǎng)絡(luò)要能支持豐富的應(yīng)用，如資源共享、網(wǎng)絡(luò)遠程會議、WEB訪問、網(wǎng)絡(luò)監(jiān)控、財務(wù)系統(tǒng)等等。豐富的應(yīng)用要求網(wǎng)絡(luò)具備高性能、高安全性、高可靠性。為了保護投資，要充分的考慮到未來的擴展要求。XXXXX政府服務(wù)中心需求分析骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性需求網(wǎng)絡(luò)骨干包括網(wǎng)絡(luò)的核心層和匯聚層，是整個網(wǎng)絡(luò)流量的承受者和匯聚者，因此對骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性提出了高的要求。為了提高設(shè)備的可靠性和穩(wěn)定性，可采用骨干網(wǎng)絡(luò)冗余設(shè)計，能夠?qū)崿F(xiàn)設(shè)備的熱備和失效自動切換。網(wǎng)絡(luò)安全性需求網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)級、系統(tǒng)級、用戶級、應(yīng)用級的安全，在網(wǎng)絡(luò)級，需要利用防火墻的過濾與隔離功能，將信任網(wǎng)絡(luò)（內(nèi)網(wǎng)）和不信任的網(wǎng)絡(luò)（外網(wǎng)）隔離開來，并利用防火墻或出口路由器的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)功能，對外屏蔽內(nèi)網(wǎng)的網(wǎng)絡(luò)拓?fù)湫畔?，從而避免整網(wǎng)受到外來攻擊。在網(wǎng)絡(luò)內(nèi)部，根據(jù)用戶的網(wǎng)絡(luò)使用需求，將用戶和網(wǎng)絡(luò)資源劃分為不同的VLAN，在VLAN間根據(jù)需求啟用相應(yīng)的ACL(訪問控制列表)，從而保證用戶的物理隔離和資源訪問的安全。網(wǎng)絡(luò)數(shù)據(jù)增長的需求網(wǎng)絡(luò)必須能夠擴展以適應(yīng)適應(yīng)用戶以及業(yè)務(wù)的發(fā)展，并保護用戶的投資。隨著信息化建設(shè)步驟的加強和網(wǎng)絡(luò)應(yīng)用利用率的增加，服務(wù)機構(gòu)各種類型的重要資源都需要進行數(shù)字化的存儲，需要能夠提供大容量的存儲空間，并且保證數(shù)據(jù)安全可靠的存儲，這就要求網(wǎng)絡(luò)在規(guī)劃的初期就考慮到存儲系統(tǒng)的應(yīng)用，為服務(wù)機構(gòu)的資源提供集中、安全的數(shù)據(jù)存儲。XXXXX政府服務(wù)中心網(wǎng)絡(luò)建設(shè)要求建設(shè)目標(biāo)XXXXX政府服務(wù)中心此次進行的網(wǎng)絡(luò)建設(shè)，目的是將整個網(wǎng)絡(luò)建設(shè)成為一個借助信息化服務(wù)和管理手段的高水平的智能化、數(shù)字化的服務(wù)機構(gòu)網(wǎng)絡(luò)，完成政府服務(wù)中心網(wǎng)絡(luò)和統(tǒng)一軟件資源平臺的構(gòu)建，實現(xiàn)各種應(yīng)用利用現(xiàn)代信息技術(shù)從事服務(wù)和管理等工作。建設(shè)內(nèi)容XXXXX政府服務(wù)中心此次進行的網(wǎng)絡(luò)建設(shè)，本著是“總體規(guī)劃，分步實施”的建設(shè)思路，搭建一個安全可靠，穩(wěn)定成熟的網(wǎng)絡(luò)基礎(chǔ)平臺，為管理信息化、辦公信息化提供服務(wù)。本次建設(shè)考慮以下幾點：骨干網(wǎng)絡(luò)全萬兆、信息點千兆接入、一體化安全網(wǎng)絡(luò)出口的網(wǎng)絡(luò)系統(tǒng)設(shè)計原則。安全性網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護技術(shù)，靈活方便的權(quán)限設(shè)定和控制機制，使系統(tǒng)具有多種有效手段，防范各種形式對網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，以保證網(wǎng)絡(luò)的實體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務(wù)活動和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機制、數(shù)據(jù)存取的權(quán)限控制等。先進性系統(tǒng)設(shè)計既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對先進成熟，整個系統(tǒng)的生命周期應(yīng)有比較長的時間，可以在信息技術(shù)不斷發(fā)展的今天，在系統(tǒng)建成以后比較長的一段時間內(nèi)能滿足用戶需求增長的需要；不但能反映當(dāng)今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導(dǎo)地位，保證網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位。本方案的設(shè)計宗旨是“立足今日，著眼未來”，在保證技術(shù)成熟的前提下，充分先進技術(shù)，滿足現(xiàn)有需求，充分考慮潛在擴充。從而最大限度保護用戶投資。開放性采用開放的軟硬件平臺和數(shù)據(jù)庫管理系統(tǒng)，遵循國際標(biāo)準(zhǔn)化組織提出的開放系統(tǒng)互聯(lián)的標(biāo)準(zhǔn)，應(yīng)用軟件必須獨立于軟硬件平臺，能集成任何第三方的應(yīng)用，具有良好的可擴展性、可移植性和互操作性。擴展性系統(tǒng)必須具有良好的可擴充性，在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與技術(shù)方案等方面必須具有升級換代的可能，核心設(shè)備必須采用模塊化的結(jié)構(gòu)，符合網(wǎng)絡(luò)的發(fā)展趨勢并具有充分的擴展性。系統(tǒng)建設(shè)必須盡量保護現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計算機系統(tǒng)的使用，逐步過渡，有效保護用戶投資。高性能網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。標(biāo)準(zhǔn)化建立一個可靠、高效、靈活的計算機網(wǎng)絡(luò)系統(tǒng)平臺，不僅著重考慮數(shù)據(jù)信息能夠訊速、準(zhǔn)確、安全、可靠地交換，還要考慮同層次網(wǎng)絡(luò)互連，遠程分部的互聯(lián)，以及與相關(guān)信息系統(tǒng)網(wǎng)際互聯(lián)，以充分共享資源。這些需求體現(xiàn)在設(shè)計時，要求提供開放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案，設(shè)備的各種接口滿足標(biāo)準(zhǔn)化原則?？晒芾黼S著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)的管理越來越重要，管理的事務(wù)也越來越復(fù)雜。整個網(wǎng)絡(luò)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護，操作簡單，易學(xué)，易用，便于進行網(wǎng)絡(luò)配置，網(wǎng)絡(luò)在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷。如：可以通過友好的圖形化界面，對網(wǎng)絡(luò)進行網(wǎng)絡(luò)劃分，設(shè)置各子網(wǎng)的訪問權(quán)限，實施網(wǎng)絡(luò)的動態(tài)監(jiān)測、配置，數(shù)據(jù)流量的分析等，簡化網(wǎng)絡(luò)的管理。XXXXX政府服務(wù)中心網(wǎng)絡(luò)建設(shè)方案本方案是以局域網(wǎng)以太網(wǎng)技術(shù)為基礎(chǔ)，建設(shè)智能化的機構(gòu)網(wǎng)絡(luò)。工作站整個網(wǎng)絡(luò)采用萬兆主干，千兆交換到桌面，核心設(shè)備采用銳捷十萬兆交換機RG-S12000，具備很強的穩(wěn)定性和可靠性，充分保證整個網(wǎng)絡(luò)的穩(wěn)定性；接入設(shè)備采用銳捷安全網(wǎng)管接入交換機RG-S5750-L系列，為整個樓宇提供高性能高安全的接入。整個網(wǎng)絡(luò)通過核心交換機直接接入社保居住證政務(wù)專網(wǎng)、民政專網(wǎng)、醫(yī)保專網(wǎng)、勞動專網(wǎng)。整個網(wǎng)絡(luò)設(shè)計采用二層結(jié)構(gòu)：核心層和接入層二層結(jié)構(gòu)，采用雙星星架構(gòu)，分別是中心機房雙核心交換機以及樓層的接入交換機。接入層交換機使用銳捷高性能的智能千兆交換機RG-S5750-L系列，通過光纖以千兆上聯(lián)至樓棟的核心交換機。中心交換機采用銳捷萬兆核心路由交換機RG-S12000，該款交換機作整網(wǎng)的核心交換機，具有極高的數(shù)據(jù)包轉(zhuǎn)發(fā)能力和很好的擴展性。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，核心層設(shè)計任務(wù)的重點通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能、網(wǎng)絡(luò)的各種應(yīng)用應(yīng)盡量少在核心層上實施。核心層一直被認(rèn)為是流量的最終承受者和匯聚者，因此對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。外接一臺千兆綜合一體化安全網(wǎng)關(guān)RG-WALL1600-EA，為接入internet的開發(fā)工作站提供了高安全的防護系統(tǒng)，無線部分建設(shè)，次方案中推薦使用銳捷網(wǎng)絡(luò)無線控制器RG-WS5708.該設(shè)備支持8個10/100/1000M自適應(yīng)電口和8個復(fù)用的千兆SFP接口，默認(rèn)支持128個AP，可通過擴展License最大控制768個AP、802.11性能8Gbps，支持IEEE802.11a/b/g/n無線協(xié)議。根據(jù)本次設(shè)計要求，需要所有AP支持802.11n協(xié)議，且必須是雙路雙頻，3×3MIMO天線。方案中推薦使用RG-AP220-E無線無線AP，該設(shè)備是室內(nèi)增強型無線接入點，雙路雙頻，3x3MIMO，可支持802.11a/n和802.11b/g/n同時工作、胖/瘦模式切換、WAPI、PoE和本地供電。采用802.11n技術(shù)的無線的接入?yún)f(xié)議。802.11n技術(shù)由于采用了多種無線技術(shù)，極大地提升了無線接入的帶寬和覆蓋范圍。無線設(shè)備通過MIMO（多輸入、多輸出，本次無線AP的天線采用3×3的MIMO技術(shù)）、OFDM（正交頻分復(fù)用）、40MHzChannels（通道綁定）PacketAggregation（數(shù)據(jù)包聚合），其理論帶寬達到150Mbps-600Mbps，實測接入帶寬可以達到100Mbps-300Mbps，是傳統(tǒng)無線的5倍。同時極大地提高了無線的覆蓋范圍，同環(huán)境下比802.11a、b/g模式的覆蓋范圍提高了20%。骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性骨干設(shè)備選擇網(wǎng)絡(luò)一般分為二層:核心層、接入層。通常核心層組成了整個網(wǎng)絡(luò)的骨干。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，核心層任務(wù)的重點通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能、網(wǎng)絡(luò)的各種應(yīng)用應(yīng)盡量少在核心層上實施。核心層一直被認(rèn)為是流量的最終承受者和匯聚者，因此對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。方案中在核心層采用銳捷網(wǎng)絡(luò)RG-S12000系列多業(yè)務(wù)IPv6核心路由交換機作為整網(wǎng)的路由交換平臺，該核心路由交換機硬件實現(xiàn)路由交換和線速萬兆轉(zhuǎn)發(fā)功能滿足整網(wǎng)核心的路由交換。RG-S12000系列多業(yè)務(wù)IPv6核心路由交換機和匯聚層設(shè)備通過啟用OSPF路由協(xié)議和RSTP、MSTP生成樹協(xié)議，保證線路的負(fù)載均衡和冗余備份。整個核心部分具有強大的未來擴展能力。同時RG-S12000系列多業(yè)務(wù)IPv6核心路由交換機完全兼容主流網(wǎng)絡(luò)設(shè)備的CLI界面，配置方便，支持完善的流分類策略和豐富的QOS特性，是建設(shè)核心層網(wǎng)絡(luò)設(shè)備的理想選擇。核心層設(shè)備RG-S12000系列多業(yè)務(wù)IPv6核心路由交換機采用千兆光纖與接入層設(shè)備相連，充分保證網(wǎng)絡(luò)骨干線路的帶寬需求，真正達到網(wǎng)絡(luò)內(nèi)部的高速數(shù)據(jù)交換。SPOH技術(shù)提供更強的數(shù)據(jù)處理能力SPOH：SynchronizationProcess0verHardware，是“基于硬件的同步式處理技術(shù)”縮寫。銳捷核心設(shè)備支持SPOH技術(shù)——專注于安全防護和智能保障的交換技術(shù)！在線卡分布式設(shè)計的基礎(chǔ)上，為各個物理端口配備專用的FFP（FFP:fastfilterprocessor）處理模塊，F(xiàn)FP模塊可以實現(xiàn)硬件處理QoS與ACL功能，實現(xiàn)整機數(shù)據(jù)端口級同步處理ACL/QOS；同時，通過線卡芯片線速轉(zhuǎn)發(fā)L2/L3/組播數(shù)據(jù)，實現(xiàn)了從線卡到端口的全面分布式硬件設(shè)計，有效分流、緩解線卡ASIC芯片的負(fù)載壓力，極大地提升交換機的整體數(shù)據(jù)處理能力。既滿足業(yè)務(wù)急劇增長，保持網(wǎng)絡(luò)的高性能無阻塞交換和網(wǎng)絡(luò)安全的防護，實現(xiàn)大數(shù)據(jù)多業(yè)務(wù)全線速處理。SPOH技術(shù)保障了核心設(shè)備的高性能無阻塞數(shù)據(jù)交換和網(wǎng)絡(luò)安全的高級防護，實現(xiàn)大數(shù)據(jù)多業(yè)務(wù)全線速處理，從而達到了電信級的可靠性保障。LPM＋HDR技術(shù)提供更高的路由處理效率最長匹配（LPM）三層交換技術(shù)可以解決傳統(tǒng)方式“多次交換”中采用“流精確匹配”而帶來存儲空間壓力過大的問題。最長匹配（LPM）技術(shù)支持靜態(tài)路由、動態(tài)學(xué)習(xí)到的路由都直接以網(wǎng)段形式存儲于硬件轉(zhuǎn)發(fā)表，一個目的網(wǎng)段使用一個轉(zhuǎn)發(fā)表項，而直連網(wǎng)段僅生成表項內(nèi)容為“目的IP地址”的主機轉(zhuǎn)發(fā)表，對于其它不明目的網(wǎng)段IP地址的數(shù)據(jù)包直接通過硬件缺省路由轉(zhuǎn)發(fā)。因此，LPM技術(shù)的優(yōu)點是極大地節(jié)約存儲空間，病毒和攻擊數(shù)據(jù)可以通過硬件網(wǎng)段路由或缺省路由進行轉(zhuǎn)發(fā)，不增加額外的硬件表項，避免了存儲溢出問題，保障設(shè)備的正常運行。在LPM技術(shù)中依然保留了CPU參與一次路由的需要，雖然每個網(wǎng)段只有一次CPU參與的需要，但是在三層設(shè)備擁有直連網(wǎng)段，主機轉(zhuǎn)發(fā)表數(shù)量比較多的情況下，CPU的第一次參與依然會對三層轉(zhuǎn)發(fā)的處理效率產(chǎn)生一些影響，HDR技術(shù)可以進一步優(yōu)化LPM技術(shù)的處理效率，主機直接路由（HDR：HostdirectRoute）用于解決CPU參與“一次路由”的不足。主機直接路由（HDR）支持三層設(shè)備在最長匹配硬件轉(zhuǎn)發(fā)中的下一跳節(jié)點和數(shù)據(jù)轉(zhuǎn)發(fā)出口運行ARP協(xié)議時把對應(yīng)的MAC地址直接下載到硬件轉(zhuǎn)發(fā)表。因此，沒有了第一次CPU參與路由的效率影響，網(wǎng)絡(luò)中的所有主機（Host）都可以通過最長匹配硬件轉(zhuǎn)發(fā)表進行直接的三層轉(zhuǎn)發(fā)。LPM+HDR三層交換技術(shù)不需要CPU參與、節(jié)約了緩存空間，不僅極大地提高了路由效率，而且避免了病毒和攻擊對網(wǎng)絡(luò)設(shè)備本身的影響，提高設(shè)備的穩(wěn)定性。三平面分離保護技術(shù)提供更高的穩(wěn)定可靠性銳捷網(wǎng)絡(luò)核心路由交換機通過采用數(shù)據(jù)平面、控制平面、管理平面相互分離的設(shè)計方式，保證了最耗費主機資源的數(shù)據(jù)處理轉(zhuǎn)發(fā)任務(wù)不影響交換機的管理和協(xié)議運行，而在路由和環(huán)境復(fù)雜多變條件下，控制平面的任務(wù)不影響交換機的管理，高度保證了交換機系統(tǒng)的穩(wěn)定性。保證了即便出現(xiàn)設(shè)備由于數(shù)據(jù)交換異常癱瘓狀態(tài)情況，依然可以通過Telnet、Console等管理界面正常登陸管理該設(shè)備。從根本上高度保證了系統(tǒng)的穩(wěn)定可靠性。CPP（CPUProtectPolicy）機制提供更強的安全性盡管通過加密認(rèn)證可以保護網(wǎng)絡(luò)中的通信協(xié)議，但是它并不能完全的防止非法惡意用戶對路由引擎（CPU）上特定協(xié)議的攻擊。例如，攻擊者仍可以利用偽造的數(shù)據(jù)包瞄準(zhǔn)具體協(xié)議，向路由交換機發(fā)動攻擊。盡管這些數(shù)據(jù)包無法通過鑒權(quán)檢查，但是攻擊仍可以消耗CPU上的資源(CPU循環(huán)和通信隊列)，因此在某種程度上達到攻擊的目的。銳捷網(wǎng)絡(luò)核心路由交換產(chǎn)品通過硬件的方式對發(fā)往控制平面的數(shù)據(jù)進行分類，把不同的協(xié)議數(shù)據(jù)歸類到不同的隊列然后對不同的隊列進行限速，專門對路由引擎進行保護，阻擋外界的DOS攻擊。而且并不影響轉(zhuǎn)發(fā)速度，所以CPP能夠在不限制性能的前提下，靈活且有力的防止攻擊，而且保證了即使有大規(guī)模攻擊數(shù)據(jù)發(fā)往CPU的時候依然可以在交換機內(nèi)部對數(shù)據(jù)進行區(qū)分對外。CPP提供三種保護方法，來保護CPU的利用率。第一，可以配置CPU接受數(shù)據(jù)流的總帶寬，從全局上保護CPU。第二，可以設(shè)備QOS隊列，為每種隊列設(shè)置帶寬。第三，為每種類型的報文設(shè)置最大速率。具體實現(xiàn)方式如下：針對不同的系統(tǒng)報文進行分類。CPP可針對arp、bpdu、dhcp、igmp、rip、ospf、pim、gvrp、vvrp的報文進行分類，并分別設(shè)置不同的帶寬。CPU端口共有8個優(yōu)先級隊列(queue)，可以配置每種類型的報文對應(yīng)的隊列，硬件根據(jù)配置自動地將這種類型的報文的送到指定隊列，并可分別設(shè)置隊列的最大速率?？梢耘渲肅PU端口的總的帶寬，從全局上保護CPU。網(wǎng)絡(luò)安全性保證出口設(shè)備安全策略在防一體化安全網(wǎng)關(guān)RG-WALL1600-EA上啟用多種防攻擊策略；為服務(wù)器（DMZ區(qū)）做相應(yīng)的地址映射；啟用多種病毒過濾策略，如下圖所示；同時啟用多種個性化的過濾、狀態(tài)檢測等安全手段。啟用NAT特性；針對每個用戶做限速：每個IP上行限速300kbps下行限速800kbps，同時每個IP限200并發(fā)會話數(shù)。核心、接入交換機安全策略完善的用戶IP/MAC地址綁定方案中提供的包括核心、接入交換機均支持基于整機級和端口級兩種IP、MAC地址綁定功能，并采用硬件芯片直接實現(xiàn)。在提高安全性的同時不影響交換機數(shù)據(jù)交換性能。分布式網(wǎng)絡(luò)病毒（攻擊）防御基于網(wǎng)絡(luò)的特點，它是一個開放的應(yīng)用環(huán)境，在這種環(huán)境下尤其容易感染網(wǎng)絡(luò)病毒和發(fā)生網(wǎng)絡(luò)攻擊，這會給網(wǎng)絡(luò)主干帶來嚴(yán)重沖擊，甚至可能造成整網(wǎng)癱瘓。因此，為了保證整個網(wǎng)絡(luò)的帶寬可用性。防止網(wǎng)絡(luò)病毒傳播擴散，防止網(wǎng)絡(luò)攻擊的發(fā)生，在該方案中，采用分布式網(wǎng)絡(luò)病毒（攻擊）防御體系設(shè)計思想。核心、接入層網(wǎng)絡(luò)設(shè)備均支持嵌入式防DDoS攻擊、防病毒擴散等，可直接屏蔽網(wǎng)絡(luò)特征病毒傳播擴散，防止網(wǎng)絡(luò)攻擊。同時接入層設(shè)備S20系列硬件智能識別2-4層數(shù)據(jù)流、可實現(xiàn)非常豐富的ACL訪問控制功能，最大程度的實現(xiàn)分布式的網(wǎng)絡(luò)安全控制防護。防ARP欺騙攻擊目前網(wǎng)絡(luò)中較多的出現(xiàn)了ARP欺騙攻擊，可造成整個網(wǎng)段癱瘓或者信息泄密的嚴(yán)重后果。S57支持防ARP欺騙功能，有效地杜絕ARP網(wǎng)關(guān)欺騙行為的發(fā)生，更好地提高了網(wǎng)絡(luò)的安全性。病毒、攻擊防護方式IP掃描攻擊及防范眾所周知，許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動的主機開始的，大量的掃描報文也急劇占用網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無法進行。為此，銳捷RG-S57交換機提供了防掃描的功能，用以防止黑客掃描和類似“沖擊波病毒”的攻擊，并能減少三層交換機的CPU負(fù)擔(dān)。目前發(fā)現(xiàn)的掃描攻擊有兩種：目的IP地址變化的掃描，我們稱為“scandestipattack”。這種掃描是最危害網(wǎng)絡(luò)的，不但消耗網(wǎng)絡(luò)帶寬，增加交換機的負(fù)擔(dān)，更是大部分黑客攻擊手段的起手。目的IP地址不存在，卻不斷的發(fā)送大量報文，我們稱為“samedestipattack”。這種攻擊主要是針對減少交換機CPU的負(fù)擔(dān)來設(shè)計。對三層交換機來說，如果目的IP地址存在，則報文的轉(zhuǎn)發(fā)會通過交換芯片直接轉(zhuǎn)發(fā)，不會占用交換機CPU的資源，而如果目的IP不存在，交換機CPU會定時的嘗試連接，而如果大量的這種攻擊存在，也會消耗著CPU資源。當(dāng)然，這種攻擊的危害比第一種小得多了。以上這兩種攻擊，我們交換機都可以在每個接口上調(diào)整相應(yīng)的攻擊閥值、攻擊主機隔離的時間等參數(shù)，以便管理員最細化的管理配置。DDoS攻擊及防范近年來，各種DoS攻擊（DenialofService，拒絕服務(wù)）報文在互聯(lián)網(wǎng)上傳播，給互聯(lián)網(wǎng)用戶帶來很大煩惱。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。攻擊報文主要采用偽裝源IP以防暴露其蹤跡。針對這種情況，RFC2827提出在網(wǎng)絡(luò)接入處設(shè)置入口過濾（IngressFilting），來限制偽裝源IP的報文進入網(wǎng)絡(luò)。這種方法更注重在攻擊的早期和從整體上防止DoS的發(fā)生，因而具有較好效果。使用這種過濾也能夠幫助ISP和網(wǎng)管來準(zhǔn)確定位使用真實有效的源IP的攻擊者。ISP應(yīng)該也必須采用此功能防止報文攻擊進入Internet；網(wǎng)絡(luò)管理員應(yīng)該執(zhí)行過濾來確保內(nèi)網(wǎng)不會成為此類攻擊的發(fā)源地。銳捷S12000，S57交換機采用基于RFC2827的入口過濾規(guī)則來防止DoS攻擊，該過濾采用硬件實現(xiàn)而不會給網(wǎng)絡(luò)轉(zhuǎn)發(fā)增加負(fù)擔(dān)。ARP欺騙攻擊及防范ARP欺騙攻擊近年來呈愈演愈烈之勢，每個網(wǎng)絡(luò)管理員基本上都會碰到。該欺騙攻擊會導(dǎo)致經(jīng)常出現(xiàn)斷網(wǎng)、設(shè)備cpu利用率居高不下、信息泄密等多種惡果。ARP欺騙主要存在以下5種方式：冒充網(wǎng)關(guān)欺騙主機、冒充主機欺騙網(wǎng)關(guān)、冒充主機欺騙主機、黑洞攻擊、泛洪攻擊。這些攻擊的防御可以在接入層交換機上做，無論用戶的IP地址是動態(tài)的還是靜態(tài)的，均可以有效的進行防御。防御基本原理是采用IP+MAC+端口三元素綁定，啟用ARPcheck功能。若用戶的IP地址是靜態(tài)的，可以采用手工綁定或通過802.1X認(rèn)證中的IP授權(quán)模式自動綁定；若用戶的IP地址是靜態(tài)的，可以采用DHCPSnooping的方式，用戶獲取地址的同時在交換機端口綁定mac地址。設(shè)備原廠商服務(wù)針對此次XXXXX政府服務(wù)中心建設(shè)，銳捷公司向用戶提供硬件設(shè)備3年免費質(zhì)保，軟件終生免費升級，以及其他優(yōu)惠服務(wù)，具體服務(wù)承諾詳見標(biāo)書中的服務(wù)承諾函。下文中服務(wù)年限等如有和此沖突之處，以此為準(zhǔn)。原廠商標(biāo)準(zhǔn)服務(wù)內(nèi)容保修服務(wù)內(nèi)容基本保修服務(wù)BasicWarranty基本保障保障說明備注硬件保修3年保修RGNOS軟件免費提供升級軟件；客戶自行升級保修服務(wù)提供方式用戶送修或寄修5日完成（7天×24小時受理）遠程服務(wù)支持遠程支持中心：4008-111-000

免費開放遠程知識平臺（7天×24小時受理）硬件：主機（含模塊）保修3年。在產(chǎn)品使用說明書規(guī)定環(huán)境及狀態(tài)下，排除其他相關(guān)設(shè)備及網(wǎng)絡(luò)故障等引發(fā)因素后的產(chǎn)品缺陷或功能異常，可判定為硬件故障。保修擴展條款：免費提供可供客戶自行升級的RGNOS升級軟件 承諾保修提供方式為客戶送修或寄修，5日內(nèi)快速處理隨機附送光盤或其他介質(zhì)不能讀取，從購機之日起15日內(nèi)可免費更換。7天×24小時可獲取4008-111-000遠程支持中心技術(shù)支持免費開放銳捷遠程知識平臺 附件：產(chǎn)品隨機附件、資料，如連接線、電源線、光盤、軟盤、說明書等均不在保修范圍之列。保修政策保修期開始日期本政策中所述的“保修期開始日期”指1、福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司（以下簡稱“銳捷網(wǎng)絡(luò)”）收到客戶蓋章的《銳捷網(wǎng)絡(luò)服務(wù)承諾確認(rèn)函》的日期；該日期不晚于設(shè)備發(fā)貨之日90天。2、可證實的購機發(fā)票和有效的保修卡上標(biāo)注的日期；該日期必須一致，且不晚于設(shè)備發(fā)貨之日90天。3、如客戶無法提供以上資料，以銳捷網(wǎng)絡(luò)發(fā)貨之日90天起計算。保修條款1、軟件保修期為90天。在產(chǎn)品說明書所述的正常使用條件下，保修期內(nèi)出現(xiàn)軟件不符合產(chǎn)品說明書所述軟件功能標(biāo)準(zhǔn)、或軟件介質(zhì)出現(xiàn)質(zhì)量問題，銳捷網(wǎng)絡(luò)為客戶免費更換軟件介質(zhì)或修復(fù)軟件缺陷。對缺陷軟件，銳捷網(wǎng)絡(luò)有權(quán)決定采用補丁軟件進行修復(fù)、提供升級軟件予以更換或以退款方式進行處理。2、硬件保修期：在產(chǎn)品說明書所述的正常使用條件下，保修期內(nèi)出現(xiàn)硬件故障，銳捷網(wǎng)絡(luò)接到申請后提供返廠維修服務(wù)，周期為銳捷網(wǎng)絡(luò)客戶支援中心或授權(quán)維修站收到設(shè)備后30天。銳捷網(wǎng)絡(luò)有權(quán)決定對故障件進行維修或更換處理，如果進行更換，則更換件可能是新設(shè)備或者為具有同等類別、功能、質(zhì)量的修復(fù)品，更換下來的故障件歸銳捷網(wǎng)絡(luò)所有。銳捷網(wǎng)絡(luò)將使客戶在30天內(nèi)收到修復(fù)的設(shè)備。對于中國大陸以外地區(qū)（含香港、澳門和臺灣）客戶允許較長的運抵時間，銳捷網(wǎng)絡(luò)將在收到故障件后25日內(nèi)發(fā)出修復(fù)件。保修期不會因為產(chǎn)品的維修而受到影響，但是經(jīng)維修或更換的設(shè)備，在原始保修期剩余期限內(nèi)、或自修復(fù)件或更換件從銳捷網(wǎng)絡(luò)發(fā)貨之日起三個月內(nèi)享有保證，以二者中時間較長者為準(zhǔn)。3、到貨即損（DOA）的處理。從保修期開始日期起30天內(nèi)，開箱時設(shè)備包裝外觀整潔、完好無損但在安裝后四十八小時內(nèi)發(fā)生性能故障的設(shè)備，定義為到貨即損設(shè)備?！靶阅芄收稀敝冈O(shè)備不能按產(chǎn)品說明書的描述進行工作。因用戶原因造成的表面劃痕，以及其他不影響設(shè)備功能的缺陷不視為開箱即損。在收到到貨即損申報并進行核實后，銳捷網(wǎng)絡(luò)將在二個工作日內(nèi)發(fā)出全新設(shè)備，對發(fā)生到貨即損的設(shè)備或部件進行快速更換?？蛻舯仨氃谑盏礁鼡Q件后的五個工作日內(nèi)將損件及其完整包裝返回銳捷網(wǎng)絡(luò)，否則須按購買價格支付更換件的費用。由于運輸方面的原因，中國大陸以外地區(qū)（含香港和臺灣）客戶需要更長的運抵時間。4、硬件返回流程注意事項。損件運送回銳捷網(wǎng)絡(luò)的相關(guān)費用由客戶承擔(dān)；修復(fù)件或更換件運抵客戶的費用由銳捷網(wǎng)絡(luò)承擔(dān)。如銳捷網(wǎng)絡(luò)檢測出“損件”可以正常工作，客戶須支付所有相關(guān)運輸費用。如果銳捷網(wǎng)絡(luò)判定所需要修復(fù)的項目不符合本條款規(guī)定的保修條件或超出保修期，客戶還須按單次維修服務(wù)的價格支付費用，包括相關(guān)運輸費用。保修適用限制（1）以下情況銳捷不承擔(dān)保修責(zé)任：產(chǎn)品序列號脫落、損壞或模糊不清；未經(jīng)廠家授權(quán)而對產(chǎn)品進行拆卸、修理或改裝；由于購買方非正常運輸、裝卸、使用、維護、保管等人為原因造成故障。如：雷擊、過壓過流、進水等；由于不可抗力造成的故障；（2）銳捷網(wǎng)絡(luò)不對存儲在其產(chǎn)品中或以其它形式與產(chǎn)品相關(guān)的客戶數(shù)據(jù)提供保證，客戶需要自己負(fù)責(zé)對相關(guān)數(shù)據(jù)進行備份以防止丟失。（3）銳捷網(wǎng)絡(luò)的保修不包含產(chǎn)品的安裝。（4）附件及消耗品不在保修范圍內(nèi)，如隨機手冊、電源線、電纜、中繼接口轉(zhuǎn)換盒等。7×24小時遠程支持中心遠程技術(shù)支持中心為黃浦教育信息中心提供功能最齊全、獲取最便利、解決最快捷的服務(wù)方式。為滿足用戶技術(shù)咨詢、故障受理等需求，降低用戶對設(shè)備的后期擁有成本，銳捷網(wǎng)絡(luò)建立了自有的4008-111-000遠程技術(shù)支持中心（RSC）,為用戶提供免費的遠程故障受理、產(chǎn)品技術(shù)咨詢、售前咨詢及投訴處理、電話回訪等多種遠程支持服務(wù)項目。用戶可以隨時隨地?fù)艽螂娫?008-111-000，獲取銳捷7×24服務(wù)。遠程支持中心的工程師通過熱情、真誠、高效、專業(yè)的解答，使用戶享受到全面的“貼身”服務(wù)。便捷的自主服務(wù)平臺銳捷網(wǎng)絡(luò)依托互聯(lián)網(wǎng)提供在線技術(shù)支持網(wǎng)站、郵件支持等綜合的e－support服務(wù)方式；涵蓋大量對用戶有價值的信息，能對用戶問題在線實時解答，提供全面完整的產(chǎn)品信息介紹、即時的產(chǎn)品信息更新，幫助用戶提高工作效率和技術(shù)水平。2009年，技術(shù)支持網(wǎng)站在保持服務(wù)風(fēng)格不變的基礎(chǔ)上開辟了產(chǎn)品配置指導(dǎo)動畫專區(qū)，包括NBR配置、交換設(shè)置（10.X）、交換設(shè)置（非10.X）服務(wù)菜單，用戶可根據(jù)遇到的問題類型選擇每個菜單中對應(yīng)的配置指導(dǎo)項。在開發(fā)過程中，銳捷網(wǎng)絡(luò)遠程支持專家考慮到用戶的使用效率和信息獲取的易用性，采用動態(tài)的界面演示和簡明扼要的文字描述方式，幫助用戶迅捷獲得答案，為用戶奉獻了一份貼心禮物?？旖莸姆?wù)響應(yīng)銳捷網(wǎng)絡(luò)提供7*24小時電話響應(yīng)服務(wù)，服務(wù)電話為4008-111-000?？蛻艄收?小時以內(nèi)相應(yīng)，8小時內(nèi)解決故障。服務(wù)網(wǎng)點銳捷網(wǎng)絡(luò)自2008年起，為能夠更好的貼近和理解客戶，更好的服務(wù)客戶，快速地響應(yīng)客戶需求，及時有效的解決客戶系統(tǒng)故障，在成都本地設(shè)置直接服務(wù)機構(gòu)，成都本地售后服務(wù)機構(gòu)的地址如下提供。同時，能夠更加充分的保護客戶網(wǎng)絡(luò)應(yīng)用，我