學校無線網(wǎng)絡(luò)改造項目方案

用戶至上用心服務(wù)蘇州XXXX學校有線及無線改造集成項目投標方案中國電信股份有限公司蘇州分公司二○一五年八月目錄1. 項目概述 11.1. 項目背景 11.2. 設(shè)計原則 11.3. 總體組網(wǎng)方案 21.4. 建設(shè)目標 22. 網(wǎng)絡(luò)建設(shè)原則 33. 需求分析 53.1. 總體建設(shè)目標 53.2. 具體實施目標 54. H3C無線校園網(wǎng)建設(shè)方案 74.1. 整網(wǎng)邏輯拓撲圖 74.2. 整網(wǎng)安全解決方案 84.3. 無線網(wǎng)絡(luò)管理解決方案 94.4. 無線AP供電解決方案 104.5. 覆蓋區(qū)域詳細說明 104.6. 覆蓋效果理論計算 105. H3C方案特點與優(yōu)勢 125.1. H3C一體化無線校園解決方案——更穩(wěn)定： 125.2. H3C一體化無線校園解決方案——高安全： 155.3. H3C一體化無線校園解決方案——易管理： 165.4. H3C一體化無線校園解決方案——可擴展： 185.5. H3C一體化無線校園解決方案——全業(yè)務(wù)： 196. 方案設(shè)計產(chǎn)品介紹 216.1. 核心交換機LS-7606 216.2. 接入交換機LS-S2110-PWR、LS-S2126-PWR 246.3. 無線控制器EWP-WX5004-H3 266.4. 無線AP1EWP-WA2612-FIT、EWP-WA2620E-FIT 326.5. 無線AP2EWP-WA2610X-FIT 376.6. 智能管理平臺iMC 406.7. 無線業(yè)務(wù)管理組件WSM 556.8. 終端智能接入組件EIA 667. 投標產(chǎn)品詳細參數(shù) 747.1. 防火墻 747.2. 核心交換機 747.3. 千兆接入交換機 747.4. 萬兆POE交換機 747.5. 無線AC控制器 747.6. 千兆室內(nèi)無線AP 747.7. 網(wǎng)絡(luò)管理系統(tǒng) 747.8. 身份認證系統(tǒng) 758. 原廠質(zhì)保函 769. 售中售后及培訓(xùn)計劃 7710. 公司實力 7811. 成功案例 7912. 投標設(shè)備技術(shù)參數(shù)偏離表 8013. 報價清單 8113.1. 無線wifi建設(shè)清單 8114. 致謝 82項目概述項目背景近年來隨著計算機技術(shù)及互聯(lián)網(wǎng)的迅猛發(fā)展，將信息技術(shù)應(yīng)用于教育領(lǐng)域，已成為世界各國的一種潮流。蘇州市政府于2011年12月頒布了“智慧蘇州”整體規(guī)劃，規(guī)劃提出“智慧教育”是“智慧蘇州”建設(shè)的重要目標和九大工程之一。蘇州XXXX學校在建設(shè)智慧教育的過程中，有需求建立教學區(qū)的無線網(wǎng)絡(luò)覆蓋?；趯XXX學校無線網(wǎng)的細致深入理解，結(jié)合自身產(chǎn)品和技術(shù)特點，我司推出了完善的XXXX學校無線網(wǎng)解決方案，為XXXX學校無線校區(qū)提供“高擴展、多業(yè)務(wù)、高安全”的精品網(wǎng)絡(luò)。數(shù)字化校園是以數(shù)字化信息和網(wǎng)絡(luò)為基礎(chǔ)，在計算機和網(wǎng)絡(luò)技術(shù)上建立起來的對教學、科研、管理、生活服務(wù)等校園信息的收集、處理、整合、存儲、傳輸和應(yīng)用，在傳統(tǒng)校園基礎(chǔ)上構(gòu)建一個數(shù)字空間，以拓展現(xiàn)實校園的時間和空間維度，提升傳統(tǒng)校園的運行效率，擴展傳統(tǒng)校園的業(yè)務(wù)功能，最終實現(xiàn)教育過程的全面信息化，從而達到提高管理水平和效率的目的。設(shè)計原則XXXX學校無線城建設(shè)遵循以下基本原則：根據(jù)以上對蘇州XXXX學校智慧校園基本要求分析，在設(shè)計整個智慧校園之前，結(jié)合中國電信的行業(yè)信息化經(jīng)驗，對于系統(tǒng)的設(shè)計原則，我們可以歸納總結(jié)為科學性要求，實用性要求，合理性要求，完整性要求，先進性要求，可靠性要求，進度保證性要求，安全保護性要求等八大類型要求，并以此作為本系統(tǒng)設(shè)計原則?？傮w組網(wǎng)方案XXXX學校無線網(wǎng)解決方案總體設(shè)計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進性、成熟性，并采用模塊化的設(shè)計方法。1、組網(wǎng)方式采用二層網(wǎng)絡(luò)結(jié)構(gòu)。分為核心層和接入層。核心層可以采用單核心方式。接入層交換機部署百兆POE接入交換機。2、無線控制器插卡。核心部署無線控制器插卡，無線控制器插卡可以實現(xiàn)大量無線AP的接入，同時相比傳統(tǒng)的盒式無線控制器，降低了組網(wǎng)的負載度，提升了網(wǎng)絡(luò)健康性和抗故障能力。4、無線網(wǎng)絡(luò)。在園區(qū)覆蓋無線網(wǎng)絡(luò)系統(tǒng)，全部采用802.11n無線接入點，保證無線網(wǎng)絡(luò)信號質(zhì)量和網(wǎng)絡(luò)服務(wù)質(zhì)量最優(yōu)。建設(shè)目標教學區(qū)域無線覆蓋，向?qū)W生、教師提供良好的網(wǎng)絡(luò)接入服務(wù)；定制登陸界面，頁面展示引導(dǎo)信息，可自定義更換和跳轉(zhuǎn)指定網(wǎng)址；自定義定時推送小窗口信息。短信認證，密碼發(fā)送至手機，支持短信內(nèi)容自定義；登錄界面自動匹配各類不同終端屏幕；一次認證和漫游，無需重復(fù)認證即可漫游于整個品牌體系；可以設(shè)置再次登陸認證間隔時間；漫游支持跨城市跨運營商。支持對終端用戶黑白名單管理，通過MAC地址綁定，有效限制特定用戶上網(wǎng)；可自定義WLAN的開放時間，防止非營業(yè)時段被蹭網(wǎng)；過濾不良網(wǎng)站，可以方便地選擇需要屏蔽的網(wǎng)站，避免敏感事件的發(fā)生；防釣魚網(wǎng)站，系統(tǒng)內(nèi)置URL過濾，能夠?qū)︶烎~網(wǎng)站精準識別和屏蔽，防止網(wǎng)絡(luò)釣魚詐騙；強大的流量管理，可執(zhí)行各類流控策略，實現(xiàn)高效精確的流量控制和上網(wǎng)應(yīng)用控制，避免有人大量下載導(dǎo)致帶寬被占用；認證信息匯總，收集終端用戶號碼信息，提取精確營銷數(shù)據(jù)；終端設(shè)備定位，數(shù)據(jù)引流；支持動線管理，提供用戶聚集度的統(tǒng)計數(shù)據(jù)和圖形報告；支持網(wǎng)關(guān)模式、網(wǎng)橋模式，適合多種網(wǎng)絡(luò)環(huán)境和應(yīng)用環(huán)境；配置數(shù)據(jù)和存檔數(shù)據(jù)可根據(jù)要求自動備份在本機或遠程服務(wù)器上，備份數(shù)據(jù)可直接下載。智能清理廢棄資源和整理磁盤空間，自動檢測和修復(fù)文件和數(shù)據(jù)系統(tǒng)等等，保障系統(tǒng)可靠穩(wěn)定地運行。網(wǎng)絡(luò)建設(shè)原則結(jié)合WLAN的實際應(yīng)用和發(fā)展要求，無線局域網(wǎng)(PWLAN)網(wǎng)絡(luò)系統(tǒng)設(shè)計，主要遵循以下系統(tǒng)總體原則：安全性原則：WLAN運營網(wǎng)絡(luò)，即是一個開放網(wǎng)絡(luò)，同時作為運營網(wǎng)絡(luò)對用戶的安全以及網(wǎng)絡(luò)的安全要求較高?？煽啃栽瓌t：系統(tǒng)設(shè)計能有效的避免單點失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。成熟和先進性原則：由于WLAN應(yīng)用于運營網(wǎng)絡(luò)仍然屬于新新技術(shù)，需要及時將新技術(shù)引用進來，更好的開展業(yè)務(wù)，同時也要求保證網(wǎng)絡(luò)與業(yè)務(wù)的可靠性。規(guī)范性原則：系統(tǒng)設(shè)計所采用的技術(shù)和設(shè)備應(yīng)符合WLAN國際標準、國家標準，為系統(tǒng)的擴展升級、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。開放性和標準化原則：在設(shè)計時，要求提供開放性好、標準化程度高的技術(shù)方案；設(shè)備的各種接口滿足開放和標準化原則?？蓴U充和擴展化原則：所有系統(tǒng)設(shè)備不但滿足當前需要，并在擴充模塊后滿足可預(yù)見將來需求，如帶寬和設(shè)備的擴展，應(yīng)用的擴展和辦公地點的擴展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級時，能保護現(xiàn)有的投資?？晒芾硇栽瓌t：整個系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護，操作簡單，易學，易用，便于進行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷。需求分析總體建設(shè)目標利用無線網(wǎng)絡(luò)技術(shù)進一步擴展校園網(wǎng)的覆蓋范圍，使全校師生能夠隨時隨地、方便高效地使用校園網(wǎng)絡(luò)；促進教學和科研發(fā)展，進一步拓展研究空間；提升校園網(wǎng)絡(luò)環(huán)境，提高管理水平和效率，推動學校信息化建設(shè)；具體實施目標側(cè)重實際應(yīng)用，覆蓋校園內(nèi)部分區(qū)域，為教學和學習生活提供切實可用的無線網(wǎng)絡(luò)環(huán)境；采取通行的網(wǎng)絡(luò)協(xié)議標準：目前無線局域網(wǎng)普遍采用802.11系列標準，因此校園無線局域網(wǎng)將主要支持802.11n標準以提供可供實際應(yīng)用的相對穩(wěn)定的網(wǎng)絡(luò)通訊服務(wù)，同時兼顧多種類型應(yīng)用和將來的投資保護，需要同時支持801.11a，802.11b，實現(xiàn)雙頻三模技術(shù)；全面的無線網(wǎng)絡(luò)支撐系統(tǒng)（包括無線網(wǎng)管、無線安全等），以避免無線設(shè)備及軟件之間的不兼容性或網(wǎng)絡(luò)管理的混亂而導(dǎo)致的問題；保證網(wǎng)絡(luò)訪問的安全性；無線接入所需布設(shè)的AP通過校園網(wǎng)的匯聚層設(shè)備接入到校園網(wǎng)中，在匯聚層都提供相應(yīng)的接口給無線網(wǎng)線，在接入層設(shè)備要在方案中進行描述。工程布線和安裝要求：室內(nèi)部分：定好較為開闊位置，將網(wǎng)線和電源線走暗線敷設(shè)到位；掛在墻上，可利用設(shè)備本身自帶的安裝附件進行安裝；如果需要遮蔽，則需要定制非金屬安裝盒；如果是掛在天花板上，則根據(jù)天花板的情況而定，若天花板是非金屬結(jié)構(gòu)，可以固定在天花板內(nèi)。安裝過程中應(yīng)充分考慮防盜問題。室外部分：根據(jù)設(shè)備位置有兩種布線方式。如果AP設(shè)備放置在樓頂，則需要走網(wǎng)線和電源線；如果AP設(shè)備放置在室內(nèi)，天線放置在室外，則需要走天線饋線。這兩種方式饋線都需走鐵管，貼防水膠方式處理，安裝過程中應(yīng)充分考慮防盜。供電部分：AP的供電可采用POE方式由接入的網(wǎng)絡(luò)設(shè)備進行供電（無需本地供電）。產(chǎn)品能力要求要求：產(chǎn)品支持AES、WEP加密等安全標準；漫游切換；支撐QOS能力。H3C無線校園網(wǎng)建設(shè)方案針對學校采用WLAN技術(shù)構(gòu)架寬帶網(wǎng)絡(luò)服務(wù)，從技術(shù)上、工程上以及提供的服務(wù)質(zhì)量上均能較好的滿足校方的要求，具體組網(wǎng)構(gòu)架如下：整網(wǎng)邏輯拓撲圖鑒于蘇州XXXX學院的有線網(wǎng)絡(luò)已經(jīng)較為完善，已經(jīng)是百兆到樓，千兆上行，工程采用AP就近接入的原則，同時又由于現(xiàn)在每棟樓的有線網(wǎng)絡(luò)為無線網(wǎng)絡(luò)能提供有線接口，此有線接口下接一臺交換機完成網(wǎng)絡(luò)接口的擴展，同時完成POE供電的功能；作為整個無線局域網(wǎng)絡(luò)的中央管理控制器，無線控制器WX5004旁掛在新增核心設(shè)備S7606上。無線部分由胖瘦雙模室內(nèi)型EWP-WA4320-ACN、完成室內(nèi)和室外區(qū)域進行覆蓋。具體的邏輯組網(wǎng)圖如下圖所示：整網(wǎng)安全解決方案蘇州XXXX學院無線局域網(wǎng)絡(luò)主要服務(wù)于學校的學生與教師，也是規(guī)模的公眾型網(wǎng)絡(luò)，同時由于學生出于技術(shù)的研究興趣，會對網(wǎng)絡(luò)發(fā)起各種各樣的攻擊行為，此時網(wǎng)絡(luò)安全問題在建網(wǎng)時必須考慮問題，安全方式主要側(cè)重幾個方面：用戶安全、網(wǎng)絡(luò)安全，而在校園網(wǎng)絡(luò)中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及用戶的帳號、密碼，而對于學校學生用戶來，帳號信息都是一個實名原則，與學生的學藉進行關(guān)聯(lián)的，這樣本無線網(wǎng)絡(luò)中著重考慮使用無線網(wǎng)絡(luò)的空口信息的安全機制，同時也要考慮與無線相關(guān)的有線網(wǎng)絡(luò)的安全問題，對于原有有線網(wǎng)絡(luò)的安全問題，在本技術(shù)建議書中不作相應(yīng)的考慮；無線網(wǎng)絡(luò)安全：無線網(wǎng)絡(luò)安全部分主要包括以下方面的內(nèi)容：MAC地址過濾：目前支持基于MAC地址的過濾，限制具有某種類型的MAC地址特征的終端才能進入網(wǎng)絡(luò)中；SSID管理：是一種網(wǎng)絡(luò)標識的方案，將網(wǎng)絡(luò)進行一個邏輯化標識，對終端上發(fā)的報文都要求進行上帶SSID，如果沒有SSID標識則不能進入網(wǎng)絡(luò)；WEP加密：WEP加密是一種靜態(tài)加密的機制，通信雙方具有一個共同的密鑰，終端發(fā)送的空口信息報文必須使用共同的密鑰進行加密；支持AES加密，AES安全機制是一種動態(tài)密鑰管理機制，同時密鑰生成也基于不對稱密鑰機制來實現(xiàn)的，同時密鑰的管理也定期更新，具有體的時間由系統(tǒng)可以設(shè)定，一般情況都設(shè)定為5分鐘左右，這樣非法用戶要想在5分鐘之內(nèi)進行獲取足夠數(shù)量的報文進行匹配出密鑰出來，從無線空口的流理來看，基本上是不可能的；華三通信的無線方案中可根據(jù)用戶名來劃分權(quán)限，即相同用戶在不同地點接入無線網(wǎng)絡(luò)其權(quán)限保持一致；密鑰設(shè)置可能根據(jù)SSID信息與用戶信息進行組合，即不同的SSID下不同的用戶的密鑰生成可以不一樣，這樣一定程度上保證用戶之間串號問題產(chǎn)生，從而保護投資，以達到營維平衡；無線網(wǎng)絡(luò)管理解決方案基于標準的SNMP協(xié)議實現(xiàn)對設(shè)備的管理，專門的無線局域網(wǎng)管理軟件WSM無線組件可實現(xiàn)對WLAN所有網(wǎng)元的管理。網(wǎng)管工作站可以放在網(wǎng)上的任意位置，通過標準的SNMP即可實現(xiàn)對無線交換機的管理。其具備以下特點：1、零配置安裝：接入點無需準備預(yù)設(shè)置，AP從無線控制器繼承配置信息?？蓪o線控制器AC接入中心機房核心交換機中，AP無需事先進行任何配置，即通過接入層交換機接入有線網(wǎng)絡(luò)，并自動注冊到AC上，獲得DHCPSERVER分配的IP地址，并自動下載配置文件正常工作，在大規(guī)模AP的項目中大量節(jié)省安裝維護成本。2、防盜防入侵：敏感配置信息不在本地保存，即使設(shè)備被入侵被盜也不會丟失安全信息。實際運營中很多AP是放置在公共場所，如果密鑰、SSID等安全信息在本地保存的話，一旦失竊對全網(wǎng)安全性造成威脅，AP由于其零配置安裝，一旦掉電不會保存任何信息，避免入侵。3、支持靈活的拓撲結(jié)構(gòu)：AP允許多種部署，從而能夠直接或間接連接到管理它的無線局域網(wǎng)控制器。AC與AP之間可以隔離任何路由器或交換機，只要共同連接進有線網(wǎng)絡(luò)，AP就可以自動尋找到AC實現(xiàn)注冊。4、自動設(shè)置發(fā)射功率和分配射頻信道：自動設(shè)置發(fā)射功率和分配射頻信道，用以優(yōu)化射頻單元大小和滿足各國對射頻信道的要求。當有個別AP故障時，AC會自動調(diào)大相鄰AP的功率彌補信號盲區(qū)。5、基于身份的組網(wǎng)：根據(jù)用戶名對用戶權(quán)限進行區(qū)分，不同于傳統(tǒng)的WLAN網(wǎng)絡(luò)通過接入的有線交換機端口對用戶權(quán)限進行劃分，并且可以對用戶的位置、帶寬以及漫游等歷史數(shù)據(jù)進行記錄跟蹤。6、提供增強的安全性和無縫漫游：通過這項基于身份的組網(wǎng)功能，經(jīng)過改進的用戶組認證接入控制、始終強制的漫游策略以及對帶寬使用的監(jiān)視實現(xiàn)了無線局域網(wǎng)的增強的安全性，實現(xiàn)了無縫的用戶移動性和自由性，從而可以進行安全連接和漫游，一次認證多次接入，免去在不同AP下切換的再次認證。。7、安全管理：提供入侵檢測功能，專用AP可以不斷地掃描空域，以便對要求更高安全性的環(huán)境提供全天候保護。一旦無線網(wǎng)絡(luò)中有非法接入點接入，AP將上報相應(yīng)的告警給AC，并通過網(wǎng)管軟件顯示。無線AP供電解決方案由于本次無線網(wǎng)中AP設(shè)備數(shù)量較多，AP布放位置根據(jù)實際覆蓋效果而調(diào)整，在已建設(shè)完成的建筑物上較難進行本地供電，對于校園室外覆蓋主要采用AP放在室外，對AP的本地供電問題難度更大。基于標準的802.3af實現(xiàn)對AP的供電。通過在匯集交換機處疊加一個供電電源或者內(nèi)嵌交換機內(nèi)，通過以太網(wǎng)線在傳輸數(shù)據(jù)同時給AP供電，供電距離達100米，滿足實際組網(wǎng)的要求。但部分區(qū)域AP需室外放置，即需要配合室外機箱使用，為保證寒冷天氣低溫工作室外機箱內(nèi)置電加熱板，因此除給AP進行POE供電外還需對機箱進行本地交流供電。覆蓋區(qū)域詳細說明本示意模型是業(yè)界采用WLAN頻率規(guī)劃技術(shù)對校園覆蓋的標準示意模型，首先說明采用WLAN技術(shù)可以按客戶的需求結(jié)合WLAN現(xiàn)場勘探與頻率規(guī)劃可以實現(xiàn)最終用戶的隨時隨地接入。（圖1以11g進行描述的，對于11g的模型一致）其次采用2.4G頻段的IEEE802.11g技術(shù)在國家無委規(guī)定的2.4~2.4835MHz頻段共計有13個載頻，互不干擾頻段有3個如1、6、11＃（由于802.11g技術(shù)采用直序擴頻技術(shù)，1個中心頻點的載頻對前后臨頻、隔頻都有一定的干擾），也就是采用互不干擾頻段結(jié)合功率控制、覆蓋方向以及蜂窩規(guī)劃，可以實現(xiàn)用戶需要的帶寬以及覆蓋，單點可提供的接入帶寬有33Mbps。另外，針對學校WLAN覆蓋建議為教室、禮堂、圖書館、實驗室等需要帶寬較高的場所建議采用全向覆蓋，除解決覆蓋同時還要考慮接入帶寬，對于學校的室外休閑區(qū)域如操場、校內(nèi)公園、生態(tài)走廊、草坪等主要解決覆蓋，采用定向天線做大范圍覆蓋，解決最終用戶的接入即可無需過多概率接入帶寬。覆蓋效果理論計算信號強度和傳輸距離的換算公式AP加卡的信號總強度公式：Gt－Gr＋AP天線增益＋終端天線增益＝L信號總強度（dB）Gt（AP或終端功率，單位dB），Gr（終端或AP靈敏度，單位dB）距離產(chǎn)生的信號衰減公式：40＋20lgd＝L1（dB）d（距離，單位m）工程中最大傳輸距離以45m計算，所以L1＝72dB障礙物的衰減：物體dB地板30帶窗戶的磚墻2辦公室墻6辦公室墻的金屬門6磚墻的金屬門12.4靠近金屬門的磚墻3工程中實際的障礙物的最大衰減是臨窗墻的衰減3dB加上房間墻的衰減12dB等于15dB。H3C方案特點與優(yōu)勢H3C一體化無線校園解決方案有效實現(xiàn)了有線和無線網(wǎng)絡(luò)的融合，通過統(tǒng)一的硬件平臺、統(tǒng)一的網(wǎng)絡(luò)管理、統(tǒng)一的用戶管理、統(tǒng)一的應(yīng)用安全，為校園用戶提供安全的無線接入。根據(jù)用戶需求，通過在H3C系列交換機中加入無線控制器插卡，就可為原有的有線校園網(wǎng)絡(luò)提供無線支持，還可以像擴展和管理傳統(tǒng)有線網(wǎng)絡(luò)一樣，對無線網(wǎng)絡(luò)進行擴展和管理。H3C通過iMC智能網(wǎng)絡(luò)管理平臺為網(wǎng)絡(luò)管理員提供了圖形化、一體化管理能力，可以高效地管理有線/無線網(wǎng)絡(luò)。H3C無線EAD實現(xiàn)了與有線一致的、端到端的安全防護體系，可以在終端接入層面幫助高校網(wǎng)管人員統(tǒng)一實施安全策略，大幅度提高網(wǎng)絡(luò)的整體安全。H3C一體化無線校園解決方案——更穩(wěn)定：H3CWLAN穩(wěn)定性解決方案從無線控制器的可靠性，接入交換機供電的可靠性、無線信號的可靠性這幾方面入手，極大的提高了WLAN網(wǎng)絡(luò)的可靠性；在實際的使用情況來看，啟用這些措施之后，WLAN的可靠性能夠得到明顯的提升。無線控制器N+1冗余備份：H3C無線控制器產(chǎn)品支持AC之間的N+1備份，以下通過介紹AP選擇接入的AC過程來說明AC間的備份：AP在發(fā)現(xiàn)AC的過程中，會向AC發(fā)送接入請求報文；AC在收到接入請求后，會向AP發(fā)接入回應(yīng)報文，其中包含了該AC上的負載信息（AC允許接入的最大AP數(shù)，當前接入的AP數(shù)，允許接入的最大STA數(shù)，當前接入的STA數(shù)），和AP在此AC上的接入優(yōu)先級；AP在接收到AC的回應(yīng)報文后，會選擇接入優(yōu)先級高的AC接入。如果優(yōu)先級相同，則根據(jù)AC的接入負載情況來判斷。AP通過比較各AC上（允許接入的最大AP數(shù)-當前接入的AP數(shù)），并選取值最大的AC接入。如果此值相同，則根據(jù)當前接入AC的無線用戶數(shù)判斷。AP通過比較各AC上（允許接入的最大STA數(shù)-當前接入的STA數(shù)），并選取值大的AC接入。如相等，則隨機接入。通過CAPWAP隧道的心跳機制，AP可及時發(fā)現(xiàn)控制器DOWN，同時根據(jù)上述方法重新選擇一個負載輕的AC接入，從而實現(xiàn)AC的N+1備份。H3C實時無線資源管理：H3C實時無線資源管理解決方案提供了實時閉環(huán)的無線資源管理，包括了如下步驟：掃描每個接入點啟動后，通過CAPWAP協(xié)議與無線控制器建立隧道，并從無線控制器獲取基本的配置。無線控制器負責協(xié)調(diào)網(wǎng)絡(luò)中的無線接入點執(zhí)行掃描過程。通過定期的信道掃描，系統(tǒng)能夠分析和了解信道的質(zhì)量、干擾情況、鄰居接入點的分布等。分析無線控制器將對無線接入點定期上報的數(shù)據(jù)進行聚合分析。這些數(shù)據(jù)包括：干擾：其他工作在802.11頻段的無線網(wǎng)絡(luò)對無線介質(zhì)的影響。噪音：非802.11信號，如雷達、藍牙、無繩電話、微波等等對信號的影響。丟包率：包差錯率（由于隱藏的節(jié)點或信號變形）信道負載：用來衡量媒介的繁忙程度。有效信號強度：在一定時間內(nèi)觀察到的每個鄰居的信號強度和整個信道的平均信號強度。這些數(shù)據(jù)將幫助無線控制器構(gòu)建無線網(wǎng)絡(luò)的完整視圖，為管理控制提供決策數(shù)據(jù)。決策利用前期分析的數(shù)據(jù)，無線控制器將采用智能的算法對射頻資源進行優(yōu)化和調(diào)整，以適應(yīng)無線環(huán)境的變化。系統(tǒng)使用了優(yōu)化的信道和功率選擇算法、加權(quán)判斷以及抑制限度，自動評估資源調(diào)整的影響，能夠確保系統(tǒng)的控制是可靠的。執(zhí)行無線控制器將新的發(fā)射功率，信道分配等決策發(fā)送到接入點，接入點負責使能這些配置。系統(tǒng)提供了兩種控制模式：參考模式和立即模式，增加了系統(tǒng)使用的靈活性。參考模式下，系統(tǒng)不進行實際的控制策略執(zhí)行，只是給出建議的功率、信道的設(shè)定值，管理員可以決定是否執(zhí)行這些配置，確保了用戶控制的靈活性。立即模式下，將根據(jù)系統(tǒng)計算出的信道等參數(shù)進行立即的設(shè)置。上述過程是閉環(huán)過程，一旦配置下發(fā)以后，控制器將持續(xù)監(jiān)視網(wǎng)絡(luò)環(huán)境。任何無線環(huán)境的變化與波動都會被定期記錄下來，為下一輪的優(yōu)化作準備。全面的PoE解決方案：PoE設(shè)備的原理是通過非屏蔽雙絞線中四對線中的兩對線來傳輸電源，傳輸數(shù)據(jù)的同時傳輸直流電。因為AP往往要求使用不間斷電源（UPS）供應(yīng)電力，采用PoE設(shè)備，AP端僅僅通過一根RJ-45網(wǎng)線與網(wǎng)絡(luò)連接即可以同時傳輸數(shù)據(jù)和電力，因此在使用PoE設(shè)備的情況下，所有的AP都使用一個UPS在PoE設(shè)備端進行保護。如果不使用PoE設(shè)備，就需要給每個AP配一個UPS，而且還需要在AP附近安裝電源插座，增加了成本。因此使用PoE設(shè)備將大大降低設(shè)備成本和管理成本。PoE具有非常明顯的優(yōu)勢，具體如下：簡化安裝，降低成本，不需為每個網(wǎng)絡(luò)設(shè)備單獨提供數(shù)據(jù)和電力線纜。靈活性提高，網(wǎng)絡(luò)裝置可被安裝在任何位置，而不需靠近一個已存在的電源輸出口?？煽啃栽鰪?，有SNMP能力的PoE裝置，可實施遠程檢測和控制，能有效地處理或修理裝置的耗電量和（或）失效故障。H3C能夠提供全面的PoE解決方案，產(chǎn)品涵蓋從高端到低端的全系列產(chǎn)品，包括S10500，S7500E，S5600，S5500，S5130，S5110，S3600，S3100，WX3024都能夠提供PoE解決方案，H3CPoE解決方案使用工業(yè)級設(shè)計，同時能夠提供全面的管理:H3C一體化無線校園解決方案——高安全：H3C一體化無線校園解決方案在遵循IEEE802.11i協(xié)議和國家WAPI標準的基礎(chǔ)上，創(chuàng)新性的提出了分層的安全體系架構(gòu)，將WLAN的安全從單一的物理層安全延伸到了物理層安全、用戶接入安全、網(wǎng)絡(luò)層安全、設(shè)備安全、安全管理多個層面上，使用戶在使用WLAN網(wǎng)絡(luò)時能夠像使用有線網(wǎng)絡(luò)一樣安全、可靠。無線物理安全：H3C公司的無線產(chǎn)品支持以下的加密機制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其中，WAPI采用國家密碼管理委員會辦公室批準的公鑰密碼體制的橢圓曲線密碼算法和對稱密碼體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密。在無線設(shè)備安全方面，H3C的FITAP提供“零配置”功能，在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動的時候從無線控制器動態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。此外，用戶在采用H3C公司的無線控制器＋FITAP組網(wǎng)時，都需要預(yù)先在無線控制器上設(shè)置部署的AP序列號。當這些AP啟動和無線控制器建立關(guān)聯(lián)時，無線控制器會檢查AP上報的序列號信息，只有這些預(yù)先授權(quán)的AP才能接入無線控制器使用，防止非法FITAP接入網(wǎng)絡(luò)。無線用戶安全：通過用戶接入認證實現(xiàn)了對校園無線接入用戶的身份認證，為網(wǎng)絡(luò)服務(wù)提供了安全保護。H3C無線接入認證主要有802.1x接入認證、PSK認證、MAC接入認證以及在有線校園網(wǎng)中常用的portal認證等。通過和AAA服務(wù)器配合，H3C的無線設(shè)備支持對認證用戶動態(tài)下發(fā)帶寬、VLAN、ACL、優(yōu)先級等參數(shù)，對于不同的用戶群和業(yè)務(wù)可以控制其訪問網(wǎng)絡(luò)的權(quán)限，限制網(wǎng)絡(luò)資源的使用，通過VLAN和優(yōu)先級來標識用戶和業(yè)務(wù)，并做到業(yè)務(wù)隔離。無線網(wǎng)絡(luò)安全：為了保證無線用戶和整個校園網(wǎng)絡(luò)的安全，僅僅保證接入點的安全性是遠遠不夠的。H3C推出了無線EAD解決方案，該方案從網(wǎng)絡(luò)用戶終端準入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網(wǎng)絡(luò)使用行為，加強網(wǎng)絡(luò)用戶終端的主動防御能力，保護網(wǎng)絡(luò)安全。H3C的無線產(chǎn)品支持EAD接入控制方式，配合iNode無線/有線統(tǒng)一客戶端可以實現(xiàn)有線，無線用戶使用統(tǒng)一的客戶端進行認證，結(jié)合H3C公司的服務(wù)器，H3C公司給用戶提供了有線無線一體化的整體安全解決方案。此外，H3C的無線產(chǎn)品支持完善的無線入侵檢測系統(tǒng)，可以自動監(jiān)測非法設(shè)備，并適時上報網(wǎng)管中心，同時對非法設(shè)備的攻擊可以進行自動防護，最大程度地保護無線網(wǎng)絡(luò)。H3C一體化無線校園解決方案——易管理：在管理方面，H3C實現(xiàn)了如下兩點：有線無線統(tǒng)一認證計費管理，解決了老師不希望用戶有線一套帳號，無線又一套帳號，不能統(tǒng)一計費管理的問題。有線無線統(tǒng)一網(wǎng)管，解決了老師不希望采用兩套管理系統(tǒng)的問題。管理系統(tǒng)集成專業(yè)的無線管理部件，實現(xiàn)射頻資源管理、無線性能監(jiān)視、非法AP告警等管理需求。H3C無線校園管理系統(tǒng)依托iMC智能管理平臺，在iMC系統(tǒng)全面的有線網(wǎng)絡(luò)管理的基礎(chǔ)上，為用戶提供無線網(wǎng)絡(luò)管理能力。用戶無需重新搭建IT管理平臺，只要在原有的有線網(wǎng)絡(luò)管理系統(tǒng)中增加無線管理功能，便可以與有線管理平臺統(tǒng)一部署，節(jié)省投入和維護成本。H3C無線校園管理解決方案不僅為用戶提供了靈活的組件選擇，同時符合業(yè)界主流的SOA架構(gòu)，具備良好的擴展性，能夠滿足客戶網(wǎng)絡(luò)管理的需求。通過集中式管理架構(gòu)和統(tǒng)一的網(wǎng)管系統(tǒng)，可以保證設(shè)備互通性和無線網(wǎng)絡(luò)的輕松配置，實現(xiàn)有線無線一體化高效管理。H3C無線校園管理解決方案中的無線業(yè)務(wù)邏輯拓撲，使用戶直觀了解網(wǎng)絡(luò)部署情況及設(shè)備和鏈路當前狀態(tài)。它可根據(jù)不同的方式組織資源，有效進行拓撲分組、真實組織全網(wǎng)資源。物理位置視圖中用戶可根據(jù)需要創(chuàng)建多維度、多層次的物理位置結(jié)構(gòu)，并在指定平面圖上根據(jù)真實情況擺放設(shè)備，逼近真實網(wǎng)絡(luò)環(huán)境。通過H3C的管理平臺，管理人員可以對移動終端的信息進行查看，包括MAC地址、信號強度、發(fā)射速率集、RSSI、SSID、使用信道、所在AC設(shè)備、所在AP設(shè)備等，并能查看各移動終端的全部漫游記錄，可以隨時了解最終接入用戶的情況，并對其接入軌跡進行審計。此外，H3C提供服務(wù)策略和Radio策略的管理，通過模板的方式對設(shè)備進行批量管理，使用戶快速完成網(wǎng)絡(luò)配置。策略模板除手工添加外，還提供從文件導(dǎo)入和設(shè)備導(dǎo)入功能，用戶可以從系統(tǒng)導(dǎo)出或?qū)肽０?，也可從某一標準配置設(shè)備上導(dǎo)入配置形成模板，下發(fā)到其它設(shè)備，完成策略的批量克隆功能，極大地減少用戶的維護工作量，降低維護成本。H3C一體化無線校園解決方案——可擴展：IPv6：H3C公司的WLAN不但可以穿過IPv6網(wǎng)絡(luò)建立WLAN網(wǎng)絡(luò)，而且可以將IPv6孤島網(wǎng)絡(luò)連接到一個WLAN網(wǎng)絡(luò)。依托于H3C功能強大的Commware操作系統(tǒng)平臺，H3CWLAN產(chǎn)品從設(shè)計階段就考慮了教育用戶對IPV6的需求，目前無線控制器、無線接入點全面支持IPV6特性，同時無線控制器、無線AP可以靈活的通過IPV4互聯(lián)，也可以通過IPV6互聯(lián)，無線也可以靈活的選擇是使用IPV4接入無線網(wǎng)絡(luò)還是IPV6接入無線網(wǎng)絡(luò)。H3C公司集中管理架構(gòu)WLAN在接入點和接入控制器之間采用CAPWAP協(xié)議構(gòu)建，而且同時支持IPv4和IPv6協(xié)議。也就是，接入控制器作為服務(wù)器，可以接收來自IPv4以及IPv6網(wǎng)絡(luò)的接入點的鏈接請求；而且接入點可以動態(tài)的選擇使用IPv4或者IPv6和接入控制器建立鏈接。H3C公司的FitAP設(shè)備為零配置設(shè)備，該設(shè)備在上電后可以自動發(fā)現(xiàn)接入控制器，選擇當前能夠提供最優(yōu)服務(wù)的接入控制器建立鏈接。由于接入點為零配置設(shè)備，不能判斷當前接入的網(wǎng)絡(luò)為IPv4還是IPv6網(wǎng)絡(luò)，所以H3C的接入點會首先在IPv4網(wǎng)絡(luò)進行接入控制器的發(fā)現(xiàn)和鏈接處理，如果接入點無法成功通過IPv4網(wǎng)絡(luò)和接入控制器建立鏈接，則接入點會切換到使用IPv6進行接入控制器的發(fā)現(xiàn)和鏈接處理。目前H3C可以實現(xiàn)非常靈活的IPV6處理機制,即可通過IPV4網(wǎng)絡(luò)實現(xiàn)IPV6互聯(lián)，也可以通過IPV6網(wǎng)絡(luò)實現(xiàn)IPV4互聯(lián)。H3C一體化無線校園解決方案——全業(yè)務(wù)：H3C無線校園網(wǎng)解決方案提供VoWiFi、無線監(jiān)控、頁面推送等業(yè)務(wù)，解決了校園內(nèi)部和校區(qū)之間通訊費用高、無線監(jiān)控和無線多媒體教學以及不同部門網(wǎng)頁個性化頁面推送的問題，讓無線接入變得更有價值?；谟脩舻牧髁抗芾恚篐3CFATAP能夠通過兩種方式實現(xiàn)流量管理：一種方式是基于用戶數(shù)自動平均調(diào)整每個用戶的接入帶寬；另一種方式是指定每用戶的接入帶寬。通過此兩種方式的流量管理，可以防止P2P業(yè)務(wù)占用帶寬導(dǎo)致其他用戶無法正常使用網(wǎng)絡(luò)的情況。此外，H3CFITAP解決方案可以實現(xiàn)基于用戶的權(quán)限和流量管理，可以設(shè)定每個用戶所占用的帶寬，實現(xiàn)精確流量管理，配合H3C有線網(wǎng)絡(luò)，可以實現(xiàn)端到端的QoS，從而達到承載語音、視頻等時延敏感的業(yè)務(wù)的目的。無線監(jiān)控：H3C無線監(jiān)控解決方案整合了公司無線網(wǎng)絡(luò)和視頻監(jiān)控解決方案的優(yōu)勢，將IP智能監(jiān)控從通常的有線網(wǎng)絡(luò)接入延伸到無線網(wǎng)絡(luò)接入，根據(jù)用戶的應(yīng)用場景提供豐富多樣的無線組網(wǎng)接入模式，通過統(tǒng)一網(wǎng)管對無線資源和監(jiān)控資源進行統(tǒng)一管理和控制。H3C無線監(jiān)控解決方案能夠提供端到端的QoS保證，能夠?qū)崿F(xiàn)有線無線網(wǎng)絡(luò)的統(tǒng)一管理，網(wǎng)絡(luò)和監(jiān)控業(yè)務(wù)的統(tǒng)一管理。同時，通過對突發(fā)流量進行碼流平滑、多流選擇以及誤碼重傳機制，保證了視頻流的實時性和流暢性。方案設(shè)計產(chǎn)品介紹防火墻NS-SecPathF1070H3CSecPathF10X0系列防火墻是杭州華三通信技術(shù)有限公司（以下簡稱H3C公司）伴隨Web2.0時代的到來并結(jié)合當前安全與網(wǎng)絡(luò)深入融合的技術(shù)趨勢，針對中小型企業(yè)、園區(qū)網(wǎng)互聯(lián)網(wǎng)出口以及廣域網(wǎng)分支市場推出的下一代高性能防火墻產(chǎn)品。H3CSecPathF10X0系列防火墻支持多維一體化安全防護，可從用戶、應(yīng)用、時間、五元組等多個維度，對流量展開IPS、AV、DLP等一體化安全訪問控制，能夠有效的保證網(wǎng)絡(luò)的安全；支持多種VPN業(yè)務(wù)，如L2TPVPN、GREVPN、IPSecVPN和SSLVPN等，與智能終端對接實現(xiàn)移動辦公；提供豐富的路由能力，支持RIP/OSPF/BGP/路由策略及基于應(yīng)用與URL的策略路由；支持IPv4/IPv6雙協(xié)議棧同時，可實現(xiàn)針對IPV6的狀態(tài)防護和攻擊防范。H3CSecPathF10X0系列防火墻采用互為冗余備份的雙電源（1＋1備份），同時支持雙機集群化部署的SCF技術(shù)，充分滿足高性能網(wǎng)絡(luò)的可靠性要求；同時F10X0產(chǎn)品在1U高的設(shè)備上可提供至少24個千兆接口、2個萬兆的固定接口。高性能的軟硬件處理平臺H3CSecPathF10X0采用了先進的最新64位多核高性能處理器和高速存儲器。電信級設(shè)備高可靠性采用H3C公司擁有自主知識產(chǎn)權(quán)的軟、硬件平臺。產(chǎn)品應(yīng)用從電信運營商到中小企業(yè)用戶，經(jīng)歷了多年的市場考驗。支持H3CSCF虛擬化技術(shù)，可將多臺設(shè)備虛擬化為一臺邏輯設(shè)備，對外呈現(xiàn)為一個網(wǎng)絡(luò)節(jié)點，資源統(tǒng)一管理，完成業(yè)務(wù)備份同時提高系統(tǒng)整體性能。強大的安全防護功能支持豐富的攻擊防范功能。包括：Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法、超大ICMP報文、地址掃描、端口掃描等攻擊防范，還包括針對SYNFlood、UPDFlood、ICMPFlood、DNSFlood等常見DDoS攻擊的檢測防御。最新支持SOP1:N完全虛擬化?？稍贖3CSecPathF10X0設(shè)備上劃分多個邏輯的虛擬防火墻，基于容器化的虛擬化技術(shù)使得虛擬系統(tǒng)與實際物理系統(tǒng)特性一致，并且可以基于虛擬系統(tǒng)進行吞吐、并發(fā)、新建、策略等性能分配。支持安全區(qū)域管理?？苫诮涌?、VLAN劃分安全區(qū)域。支持包過濾。通過在安全區(qū)域間使用標準或擴展訪問控制規(guī)則，借助報文中UDP或TCP端口等信息實現(xiàn)對數(shù)據(jù)包的過濾。此外，還可以按照時間段進行過濾。支持基于應(yīng)用、用戶的訪問控制，將應(yīng)用與用戶作為安全策略的基本元素，并結(jié)合深度防御實現(xiàn)下一代的訪問控制功能。支持應(yīng)用層狀態(tài)包過濾（ASPF）功能。通過檢查應(yīng)用層協(xié)議信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP協(xié)議的應(yīng)用層協(xié)議），并監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)，動態(tài)的決定數(shù)據(jù)包是被允許通過防火墻或者是被丟棄。支持驗證、授權(quán)和計帳（AAA）服務(wù)。包括：基于RADIUS/HWTACACS+、CHAP、PAP等的認證。支持靜態(tài)和動態(tài)黑名單。支持NAT和NAT多實例。支持VPN功能。包括：支持L2TP、IPSec/IKE、GRE、SSL等，并實現(xiàn)與智能終端對接。支持豐富的路由協(xié)議。支持靜態(tài)路由、策略路由，以及RIP、OSPF等動態(tài)路由協(xié)議。支持安全日志。支持流量監(jiān)控統(tǒng)計、管理。靈活可擴展的一體化DPI深度安全與基礎(chǔ)安全防護高度集成的一體化安全業(yè)務(wù)處理平臺。全面的應(yīng)用層流量識別與管理：通過H3C長期積累的狀態(tài)機檢測、流量交互檢測技術(shù)，能精確檢測Thunder/WebThunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、PPLive等P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應(yīng)用；支持P2P流量控制功能，通過對流量采用深度檢測的方法，即通過將網(wǎng)絡(luò)報文與P2P協(xié)議報文特征進行匹配，可以精確的識別P2P流量，以達到對P2P流量進行管理的目的，同時可提供不同的控制策略，實現(xiàn)靈活的P2P流量控制。高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產(chǎn)權(quán)的FIRST（FullInspectionwithRigorousStateTest，基于精確狀態(tài)的全面檢測）引擎。FIRST引擎集成了多項檢測技術(shù)，實現(xiàn)了基于精確狀態(tài)的全面檢測，具有極高的入侵檢測精度；同時，F(xiàn)IRST引擎采用了并行檢測技術(shù)，軟、硬件可靈活適配，大大提高了入侵檢測的效率。實時的病毒防護：采用Kaspersky公司的流引擎查毒技術(shù)，從而迅速、準確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼。迅捷的URL分類過濾：提供基礎(chǔ)的URL黑白名單過濾同時，可以配置URL分類過濾服務(wù)器在線查詢。全面、及時的安全特征庫。通過多年經(jīng)營與積累，H3C公司擁有業(yè)界資深的攻擊特征庫團隊，同時配備有專業(yè)的攻防實驗室，緊跟網(wǎng)絡(luò)安全領(lǐng)域的最新動態(tài)，從而保證特征庫的及時準確更新。業(yè)界領(lǐng)先的IPv6支持IPv6狀態(tài)防火墻，真正意義上實現(xiàn)IPv6條件下的防火墻功能，同時完成IPv6的攻擊防范。支持IPv4/IPv6雙協(xié)議棧，并支持IPv6數(shù)據(jù)報文轉(zhuǎn)發(fā)、靜態(tài)路由、動態(tài)路由及組播路由等功能。支持IPv6各種過渡技術(shù)，包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道、NAT444、DS-Lite等。支持IPv6ACL、Radius等安全技術(shù)。下一代多業(yè)務(wù)特性集成鏈路負載均衡特性，通過鏈路狀態(tài)檢測、鏈路繁忙保護等技術(shù)，有效實現(xiàn)企業(yè)互聯(lián)網(wǎng)出口的多鏈路自動均衡和自動切換。一體化集成SSLVPN特性，滿足移動辦公、員工出差的安全訪問需求，不僅可結(jié)合USB-Key、短信進行移動用戶的身份認證，還可與企業(yè)原有認證系統(tǒng)相結(jié)合、實現(xiàn)一體化的認證接入。DLP基礎(chǔ)功能支持，支持郵件過濾，提供SMTP郵件地址、標題、附件和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTPURL和內(nèi)容過濾；支持網(wǎng)絡(luò)傳輸協(xié)議的文件過濾；支持應(yīng)用層過濾，提供Java/ActiveXBlocking和SQL注入攻擊防范。專業(yè)的智能管理支持智能安全策略：實現(xiàn)策略冗余檢測、策略匹配優(yōu)化建議、動態(tài)檢測內(nèi)網(wǎng)業(yè)務(wù)動態(tài)生成安全策略并推薦。支持標準網(wǎng)管SNMPv3，并且兼容SNMPv1和v2。提供圖形化界面，簡單易用的Web管理。可通過命令行界面進行設(shè)備管理與防火墻功能配置，滿足專業(yè)管理和大批量配置需求。通過H3CIMCSSM安全管理中心實現(xiàn)統(tǒng)一管理，集安全信息與事件收集、分析、響應(yīng)等功能為一體，解決了網(wǎng)絡(luò)與安全設(shè)備相互孤立、網(wǎng)絡(luò)安全狀況不直觀、安全事件響應(yīng)慢、網(wǎng)絡(luò)故障定位困難等問題，使IT及安全管理員脫離繁瑣的管理工作，極大提高工作效率，能夠集中精力關(guān)注核心業(yè)務(wù)?；谙冗M的深度挖掘及分析技術(shù)，采用主動收集、被動接收等方式，為用戶提供集中化的日志管理功能，并對不同類型格式（Syslog、二進制流日志等）的日志進行歸一化處理。同時，采用高聚合壓縮技術(shù)對海量事件進行存儲，并可通過自動壓縮、加密和保存日志文件到DAS、NAS或SAN等外部存儲系統(tǒng)，避免重要安全事件的丟失。提供豐富的報表，主要包括基于應(yīng)用的報表、基于網(wǎng)流的分析報表等。支持以PDF、HTML、WORD和TXT等多種格式輸出?？赏ㄟ^Web界面進行報告定制，定制內(nèi)容包括數(shù)據(jù)的時間范圍、數(shù)據(jù)的來源設(shè)備、生成周期以及輸出類型等。核心交換機LS-7606H3CS7600系列運營級高端路由交換機產(chǎn)品是杭州華三通信技術(shù)有限公司針對城域以太網(wǎng)市場推出的新一代城域網(wǎng)設(shè)備。S7600系列路由交換機相對于傳統(tǒng)的企業(yè)級以太網(wǎng)交換機在表項容量、QOS、可靠性、可管理性、多業(yè)務(wù)支持能力、網(wǎng)絡(luò)安全等方面都有了質(zhì)的飛躍，是真正意義上的電信級IP交換產(chǎn)品，能夠為運營商城域網(wǎng)、數(shù)據(jù)中心等應(yīng)用提供大容量、高可靠、嚴格QoS的業(yè)務(wù)承載保障。產(chǎn)品特點：基于IRF2（第二代智能彈性架構(gòu)）技術(shù)的虛擬化架構(gòu)H3CS7600系列交換機支持IRF2（第二代智能彈性架構(gòu)）技術(shù)，在擴展性、可靠性、整體架構(gòu)和可用性方面具有強大的優(yōu)勢，主要體現(xiàn)在四個方面：擴展性：IRF技術(shù)允許交換機利用互聯(lián)電纜實現(xiàn)多臺設(shè)備的擴展；具有即插即用、單一IP管理，同步升級的優(yōu)點，同時大大降低系統(tǒng)擴展的成本?？煽啃裕和ㄟ^專利的路由熱備份技術(shù)，在整個IRF組內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷的三層轉(zhuǎn)發(fā)，極大的增強了IRF組的可靠性和高性能，同時消除了單點故障，避免了業(yè)務(wù)中斷。分布性：通過分布式鏈路聚合技術(shù)，實現(xiàn)多條上行鏈路的負載分擔和互為備份，從而提高整個網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率?？捎眯裕和ㄟ^標準的萬兆以太網(wǎng)接口實現(xiàn)智能彈性架構(gòu)，可以根據(jù)需求分配業(yè)務(wù)帶寬和系統(tǒng)連接帶寬，合理分配本地流量與上行流量；不僅可以實現(xiàn)機架內(nèi)、跨機架，甚至跨區(qū)域的遠距離智能彈性架構(gòu)。IRF3：（第三代智能彈性架構(gòu)—縱向虛擬化）H3CS7600系列產(chǎn)品可以在縱向維度上支持異構(gòu)虛擬化，將核心和接入設(shè)備通過IRF3技術(shù)形成一臺縱向邏輯虛擬設(shè)備，支持AC、AP統(tǒng)一管理、配置，相當于把一臺盒式設(shè)備作為一塊遠程接口板加入主設(shè)備系統(tǒng)，以達到擴展I/O端口能力和進行集中控制管理的目的。IRF3技術(shù)可以簡化管理，大幅度降低網(wǎng)絡(luò)管理節(jié)點；簡化布線，二層變?yōu)橐粚樱?jié)省橫向連接線纜；最終實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)平面虛擬化，便與簡化業(yè)務(wù)部署和自動編排。完備的二層特性大容量MAC表項；4KVLAN支持，靈活的QinQ能力；完全的生成樹特性支持；端口聚合/端口鏡像/廣播風暴抑制。完善的二層特性保證設(shè)備在匯聚層滿足用戶的功能需求。強大的三層功能大容量三層表項；完備的路由協(xié)議支持；大容量組播支持。通過超大容量轉(zhuǎn)發(fā)表項的提供,S7600可以支持大規(guī)模城域網(wǎng)的核心、匯聚層應(yīng)用，并能對二層、三層以及MPLS應(yīng)用提供充足的表項支持。豐富的QoS、ACL特性S7600提供VLANACL、EgressACL等增強的ACL功能，為復(fù)雜的安全訪問管理和控制提供了豐富的資源在QoS方面，S7600提供完善的Diff-Serv/QoS支持。支持基于報文流分類結(jié)果進行優(yōu)先級重標記或速率限制，支持雙向的雙速三色和單速雙色帶寬監(jiān)管功能、支持WRED和尾丟棄的擁塞控制方法、支持SP、WRR、WFQ隊列調(diào)度算法、支持802.1P、DSCP、EXP的優(yōu)先級映射和重標記，支持基于端口/端口隊列輸出流整形等功能，并提供了基于用戶、業(yè)務(wù)和端口三個層次的優(yōu)先級隊列調(diào)度能力，為城域網(wǎng)話音、數(shù)據(jù)、視頻以及企業(yè)專網(wǎng)等多種業(yè)務(wù)綜合承載的服務(wù)質(zhì)量保證提供了有效的保證通過強大的QoS能力，S7600在運營商城域網(wǎng)中對不同業(yè)務(wù)類型提供區(qū)分的服務(wù)質(zhì)量保證，并為數(shù)目繁多的個人和企業(yè)用戶提供更精細的基于業(yè)務(wù)的帶寬控制。云數(shù)據(jù)中心化技術(shù)作為企業(yè)級網(wǎng)絡(luò)核心設(shè)備，H3CS7600系列產(chǎn)品可以助力用戶從容面對云數(shù)據(jù)中心化所需的一系列技術(shù)及解決方案：TRILL：隨著服務(wù)器和交換機規(guī)模的增加，數(shù)據(jù)中心網(wǎng)絡(luò)越來越傾向于扁平化的網(wǎng)絡(luò)架構(gòu)以便于維護管理，這就要求構(gòu)建一個大型的二層網(wǎng)絡(luò)；H3CS7600系列產(chǎn)品支持通過TRILL技術(shù)和縱向虛擬化技術(shù)來進行數(shù)據(jù)中心大二層網(wǎng)絡(luò)的構(gòu)建。數(shù)據(jù)中心大二層技術(shù)TRILL（TRansparentInterconnectionofLotsofLinks，多鏈路透明互聯(lián)）協(xié)議將三層路由技術(shù)IS-IS（IntermediateSystem-to-IntermediateSystem，中間系統(tǒng)到中間系統(tǒng)）的設(shè)計思路引入二層網(wǎng)絡(luò)，并對其進行了必要的改造。從而將二層的簡單、靈活性與三層的穩(wěn)定、可擴展和高性能有機融合起來。MDC：H3CS7600產(chǎn)品可以通過MDC技術(shù)實現(xiàn)正真的1：N的虛擬化，即把一臺交換機虛擬成N臺互相獨立的虛擬交換機，不同于傳統(tǒng)的交換機虛擬化技術(shù)，MDC虛擬出的每臺交換機之間物理隔離、安全隔離，擁有獨立的硬件資源和管理權(quán)限，滿足多業(yè)務(wù)客戶共享核心交換機的需求，這樣，一方面可以充分利用核心交換機的能力達到隔離復(fù)用的作用，另一方面也降低了用戶的投資成本，一舉兩得。EVB：H3CS7600產(chǎn)品支持EVB(EdgeVirtualBridging)，通過VEPA(VirtualEthernetPortAggregator)技術(shù)將虛擬機產(chǎn)生的網(wǎng)絡(luò)流量上傳至與服務(wù)器相連的物理交換機進行處理，不僅實現(xiàn)了虛擬機間流量轉(zhuǎn)發(fā)，同時還解決了虛擬機流量監(jiān)管、訪問控制策略部署等問題。FCOE：

H3CS7600系列產(chǎn)品支持FCOE技術(shù)；FCOE技術(shù)主要用來解決云計算數(shù)據(jù)中心LAN網(wǎng)絡(luò)和存儲網(wǎng)絡(luò)異構(gòu)的問題，通過FCoE和CEE技術(shù)的部署，可以實現(xiàn)數(shù)據(jù)中心前端網(wǎng)絡(luò)和后端網(wǎng)絡(luò)架構(gòu)的融合，解決數(shù)據(jù)、計算和存儲三網(wǎng)割裂的技術(shù)難題，從而大大降低數(shù)據(jù)中心的采購和擴容成本；EVI：H3CS7600系列產(chǎn)品支持EVI（EthernetVirtualInterconnection，以太網(wǎng)虛擬化互聯(lián)）技術(shù)，EVI是一種先進的"MACinIP"技術(shù)，EVI解決方案部署非常簡單，基于現(xiàn)有的IP網(wǎng)絡(luò)，給分散的物理站點提供靈活的二層互聯(lián)功能。高可靠性在硬件設(shè)計方面，S7600采用無源背板設(shè)計，電源系統(tǒng)采用1+1冗余備份設(shè)計，支持雙路電源輸入，支持在線故障檢測、告警指示，所有單板和風扇框支持熱插拔在二層特性方面，S7600支持STP/RSTP/MSTP協(xié)議，VRRPv2/v3協(xié)議等，并提供了獨有的RRPP快速環(huán)網(wǎng)保護協(xié)議，環(huán)網(wǎng)收斂時間約為50ms，有效保證了環(huán)網(wǎng)應(yīng)用是的快速故障發(fā)現(xiàn)和保護，此外，S7600能支持SmartLink雙上行主備鏈路保護機制、跨板聚合功能、以太網(wǎng)OAM等更簡單、高可靠的故障發(fā)現(xiàn)和保護手段。在三層路由協(xié)議層面，S7600支持GracefulRestartforOSPF/BGP/ISIS，并能夠保證在主備倒換時接口板的不間斷轉(zhuǎn)發(fā)，能夠在網(wǎng)絡(luò)故障發(fā)生時保證網(wǎng)絡(luò)協(xié)議狀態(tài)和業(yè)務(wù)承載的正確性。通過軟硬件的高可靠設(shè)計，S7600可以為運營商城域網(wǎng)提供各種業(yè)務(wù)的高可靠承載，確保業(yè)務(wù)的故障恢復(fù)時間滿足50ms的電信級要求。高安全性S7600提供包安全過濾/ACL的機制，防止非法侵入和惡意報文攻擊。對重要的路由協(xié)議（OSPF，IS-IS，RIP-2、BGP等）也提供多種驗證方法（明文驗證、MD5、HMAC-MD5），并提供防DOS攻擊，通過DHCPRelaysecurity和DHCPSnoopingsecurity等安全特性進行IP、MAC、Port的綁定能夠有效防止地址假冒，為城域網(wǎng)絡(luò)建設(shè)提供了完整的安全解決方案。完善的安全防護機制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡(luò)的安全。有源無源一體化S7600系列OLT設(shè)備支持豐富的2/3層協(xié)議。支持EPON、百兆、千兆、萬兆等各種類型的以太網(wǎng)接口；提供4PON口、8PON口、16PON口同時帶8GE上行單板的接口密度；提供多種組合接口板，全面滿足客戶需求。整機最大支持160個EPON端口；每條EPON線路可以支持1.25Gbps的對稱帶寬，最大分光比1:64。分布式的體系架構(gòu)和硬件AISC處理保證IPv4/IPv6業(yè)務(wù)線速轉(zhuǎn)發(fā)，不存在集中式處理的瓶頸，滿足網(wǎng)絡(luò)業(yè)務(wù)不斷發(fā)展的需求。校園網(wǎng)接入交換機LS-E552-H3、LS-E528-H3H3CE528/E552系列教育網(wǎng)交換機是杭州華三通信技術(shù)有限公司（以下簡稱H3C公司）長期跟蹤教育行業(yè)用戶需求定制開發(fā)的全千兆的以太網(wǎng)交換機，不僅可以滿足校園網(wǎng)常見的安全，接入密度的需求，并且針對于IPv6技術(shù)發(fā)展的趨勢以及校園網(wǎng)IPv6部署的落地，提供完善的解決方案，同時支持創(chuàng)新的IRF2（IntelligentResilientFramework，智能彈性架構(gòu)）技術(shù)，用戶可以將多臺E528/E552交換機連接，形成一個邏輯上的獨立實體，從而為教育行業(yè)構(gòu)建具備高可靠性、易擴展性和易管理性的千兆到桌面的新型智能網(wǎng)絡(luò)。第二代智能彈性架構(gòu)（IRF2）H3CE528/E552教育網(wǎng)交換機支持IRF2（第二代智能彈性架構(gòu)）技術(shù)，就是把多臺物理設(shè)備互相連接起來，使其虛擬為一臺邏輯設(shè)備，也就是說，用戶可以將多臺設(shè)備看成一臺單一設(shè)備進行管理和使用。IRF可以為用戶帶來以下好處：簡化管理IRF架構(gòu)形成之后，可以連接到任何一臺設(shè)備的任何一個端口就以登錄統(tǒng)一的邏輯設(shè)備，通過對單臺設(shè)備的配置達到管理整個智能彈性系統(tǒng)以及系統(tǒng)內(nèi)所有成員設(shè)備的效果，而不用物理連接到每臺成員設(shè)備上分別對它們進行配置和管理。簡化業(yè)務(wù)IRF形成的邏輯設(shè)備中運行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運行的，并隨著跨設(shè)備鏈路聚合技術(shù)的應(yīng)用，可以替代原有的生成樹協(xié)議，這樣就可以省去了設(shè)備間大量協(xié)議報文的交互，簡化了網(wǎng)絡(luò)運行，縮短了網(wǎng)絡(luò)動蕩時的收斂時間。彈性擴展可以按照用戶需求實現(xiàn)彈性擴展，保證用戶投資。并且新增的設(shè)備加入或離開IRF架構(gòu)時可以實現(xiàn)“熱插拔”，不影響其他設(shè)備的正常運行。高可靠IRF的高可靠性體現(xiàn)在鏈路，設(shè)備和協(xié)議三個方面。成員設(shè)備之間物理端口支持聚合功能，IRF系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了鏈路的可靠性；IRF系統(tǒng)由多臺成員設(shè)備組成，一旦Master設(shè)備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過系統(tǒng)的業(yè)務(wù)不中斷，從而實現(xiàn)了設(shè)備級的1：N備份；IRF系統(tǒng)會有實時的協(xié)議熱備份功能負責將協(xié)議的配置信息備份到其他所有成員設(shè)備，從而實現(xiàn)1：N的協(xié)議可靠性。高性能對于高端交換機來說，性能和端口密度的提升會受到硬件結(jié)構(gòu)的限制，而IRF系統(tǒng)的性能和端口密度是IRF內(nèi)部所有設(shè)備性能和端口數(shù)量的總和。因此，IRF技術(shù)能夠輕易地將設(shè)備的交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高了設(shè)備的性能。全面的接入安全策略H3CE528/E552教育網(wǎng)交換機支持EAD（終端準入控制）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CE528/E552教育網(wǎng)交換機支持特有的ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報文實施校園網(wǎng)常見的“中間人”攻擊，對不符合DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同時支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕學生私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實性和一致性。H3CE528/E552教育網(wǎng)交換機支持端口安全特性族，可以有效防范基于MAC地址的攻擊?？梢詫崿F(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個端口允許的MAC地址的最大數(shù)量，使得某個特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由交換機動態(tài)學習，可以保證只有真正的業(yè)務(wù)主機才能夠接入網(wǎng)絡(luò)，而其他新接入主機即使連接到交換機上也無法獲取地址并連通網(wǎng)絡(luò)。并支持端口隔離功能，即便是在同一VLAN內(nèi)，也可以實現(xiàn)端口之間的隔離，從而避免廣播風暴和病毒在VLAN內(nèi)的擴散從而影響所有端口。H3CE528/E552教育網(wǎng)交換機有強大硬件ACL能力，能深度識別報文，支持L2～L4包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN、VLAN范圍等定義ACL，以便交換機進行后續(xù)的處理。H3CE528/E552教育網(wǎng)交換機支持集中式MAC地址認證和802.1x認證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標識元素的動態(tài)或靜態(tài)綁定，同時實現(xiàn)用戶策略（VLAN、QoS、ACL）的動態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對在線用戶進行實時的管理，及時的診斷和瓦解網(wǎng)絡(luò)非法行為。支持對Proxy進行有效的管理。增強的網(wǎng)絡(luò)管理和維護的易用性H3CE528/E552教育網(wǎng)交換機支持通過FTP、TFTP實現(xiàn)設(shè)備的遠程升級，支持SNMPv1/v2/v3，可支持OpenView等通用網(wǎng)管平臺，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，Telnet，HGMP集群管理，使設(shè)備管理更方便。H3CE528/E552教育網(wǎng)交換機支持跨交換機的遠程端口鏡像RSPAN，可以將接入端口的流量鏡像到核心交換機上，可以對全網(wǎng)業(yè)務(wù)和流量進行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控，滿足校園網(wǎng)精細化管理的需要。H3CE528/E552教育網(wǎng)交換機支持VCT（VirtualCableTest）電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點；并支持DLDP（DeviceLinkDetectionProtocol）單向鏈路檢測協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護效率，切實將設(shè)備的易用性帶給用戶。豐富的IPv6業(yè)務(wù)支持能力H3CE528/E552教育網(wǎng)交換機支持IPv6的路由功能，從而實現(xiàn)IPv6報文的三層線速轉(zhuǎn)發(fā)功能，并支持豐富的IPv6管理功能，包括IPv6單播地址配置，ICMPv6，IPv6鄰居發(fā)現(xiàn)協(xié)議（ND），IPv6-TCP，IPv6-TFTP，IPv6-TRACERT等。此外，E528/E552還支持豐富的IPv6業(yè)務(wù)特性，包括IPv6ACL，QoS，組播等，通過運行MLDsnooping（MulticastListenerDiscoverySnooping）可以有效避免IPv6組播報文在二層的廣播，將信息轉(zhuǎn)發(fā)給需要的接受者，節(jié)約了網(wǎng)絡(luò)帶寬，增強了IPv6組播信息的安全性，同時也為每臺主機的單獨計費帶來了方便。千兆24口POE接入交換機LS-5130-28S-HPWR-EIH3CS5130-EI系列交換機是H3C公司自主開發(fā)的新一代高性能、高安全、智能化弱三層以太網(wǎng)交換機產(chǎn)品，S5130-EI系列交換機基于業(yè)界領(lǐng)先的高性能硬件架構(gòu)和H3C先進的CommwareV7軟件平臺開發(fā)，具備先進的硬件處理能力、豐富的業(yè)務(wù)特性，可以提供大容量的千兆接入端口，同時具備高密度萬兆光/電上行能力，滿足用戶對園區(qū)網(wǎng)高密度接入、高性能匯聚的使用需求，以及最低成本的萬兆互聯(lián)/虛擬化方案。同時S5130-EI系列交換機支持嵌入式管理軟件,通過內(nèi)置H3CUISManager統(tǒng)一管理軟件可提供跨服務(wù)器、存儲、網(wǎng)絡(luò)以及虛擬化的全融合管理，簡化部署安裝，優(yōu)化運維管理。高擴展性保護投資H3CS5130-EI系列交換機主機固化4端口萬兆，在實現(xiàn)高密千兆接入同時，可以為用戶提供高性價比的萬兆上行的能力，保護用戶投資。同時H3CS5130-EI系列交換機支持IRF2智能彈性架構(gòu)，可將9臺設(shè)備堆疊起來，形成一個邏輯上的實體，使設(shè)備容量可以根據(jù)網(wǎng)絡(luò)發(fā)展而平滑擴容，為用戶網(wǎng)絡(luò)配置提供極高的靈活性和擴展能力。其中S5130-EI系列增加萬兆電款型，實現(xiàn)最低成本的100米內(nèi)萬兆互聯(lián)以及少量萬兆服務(wù)器的接入能力，以及可實現(xiàn)最低成本萬兆堆疊。豐富IPv6功能S5130-EI系列交換機支持IPv4/v6雙協(xié)議棧，可以實現(xiàn)基于硬件的IPv4/v6的全線速轉(zhuǎn)發(fā)，支持IPv4/v6的靜態(tài)路由以及RIP功能。同時支持IPv6的ACL、QoS、組播和網(wǎng)管，充分滿足網(wǎng)絡(luò)從IPv4到IPv6的平滑升級。IRF2（第二代智能彈性架構(gòu)）H3CS5130-EI系列交換機支持IRF2（第二代智能彈性架構(gòu)）技術(shù)，將多臺物理設(shè)備互相連接起來，使其虛擬為一臺邏輯設(shè)備，也就是說，用戶可以將這多臺設(shè)備看成一臺單一設(shè)備進行管理和使用。IRF可以為用戶帶來以下好處：簡化管理IRF架構(gòu)形成之后，可以連接到任何一臺設(shè)備的任何一個端口就以登錄統(tǒng)一的邏輯設(shè)備，通過對單臺設(shè)備的配置達到管理整個智能彈性系統(tǒng)以及系統(tǒng)內(nèi)所有成員設(shè)備的效果，而不用物理連接到每臺成員設(shè)備上分別對它們進行配置和管理。簡化業(yè)務(wù)IRF形成的邏輯設(shè)備中運行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運行的，例如路由協(xié)議會作為單一設(shè)備統(tǒng)一計算，而隨著跨設(shè)備鏈路聚合技術(shù)的應(yīng)用，可以替代原有的生成樹協(xié)議，這樣就可以省去了設(shè)備間大量協(xié)議報文的交互，簡化了網(wǎng)絡(luò)運行，縮短了網(wǎng)絡(luò)動蕩時的收斂時間。彈性擴展可以按照用戶需求實現(xiàn)彈性擴展，保證用戶投資。并且新增的設(shè)備加入或離開IRF架構(gòu)時可以實現(xiàn)“熱插拔”，不影響其他設(shè)備的正常運行。高可靠IRF的高可靠性體現(xiàn)在鏈路，設(shè)備和協(xié)議三個方面。成員設(shè)備之間物理端口支持聚合功能，IRF系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了鏈路的可靠性；IRF系統(tǒng)由多臺成員設(shè)備組成，一旦Master設(shè)備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過系統(tǒng)的業(yè)務(wù)不中斷，從而實現(xiàn)了設(shè)備級的1：N備份；IRF系統(tǒng)會有實時的協(xié)議熱備份功能負責將協(xié)議的配置信息備份到其他所有成員設(shè)備，從而實現(xiàn)1：N的協(xié)議可靠性。高性能對于高端交換機來說，性能和端口密度的提升會受到硬件結(jié)構(gòu)的限制。而IRF系統(tǒng)的性能和端口密度是IRF內(nèi)部所有設(shè)備性能和端口數(shù)量的總和。因此，IRF技術(shù)能夠輕易的將設(shè)備的交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高了設(shè)備的性能。IRF3（縱向虛擬化）H3CS5130-EI系列部分交換機產(chǎn)品支持IRF3（IntelligentResilientFramework3）縱向虛擬化技術(shù)，通過將接入設(shè)備作為遠程接口板加入主設(shè)備系統(tǒng)，在縱向維度上將核心層設(shè)備和接入層設(shè)備虛擬為一臺邏輯設(shè)備，以達到擴展I/O端口能力和進行集中控制管理的目的。IRF3技術(shù)可以簡化管理，大幅度降低網(wǎng)絡(luò)管理節(jié)點；簡化布線壓縮網(wǎng)絡(luò)層級，最終實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)平面虛擬化。IRF3縱向虛擬化技術(shù)可以為用戶帶來以下好處：統(tǒng)一管理：IRF3架構(gòu)形成之后，連接到主設(shè)備就可以集中配置和管理架構(gòu)內(nèi)的所有成員，而不用物理連接到每臺成員設(shè)備上單獨配置。統(tǒng)一安全策略：整網(wǎng)的安全策略只需在主設(shè)備上進行配置，避免了對全網(wǎng)設(shè)備逐一配置所帶來的潛在策略沖突，并大幅降低了安全部署工作量。簡化網(wǎng)絡(luò)層級：支持大規(guī)模的遠程接口板擴展能力，傳統(tǒng)需要三層網(wǎng)絡(luò)架構(gòu)才能實現(xiàn)的組網(wǎng)結(jié)構(gòu)通過IRF3可以簡化為二層組網(wǎng)，網(wǎng)絡(luò)的物理和邏輯層次更為簡化，布線更加簡單。簡化業(yè)務(wù)：IRF3架構(gòu)中的各種業(yè)務(wù)配置基于單一邏輯設(shè)備進行配置，這樣可以大幅簡化整網(wǎng)的VLAN、IP、路由、Mpls等規(guī)劃注意事項。方便維護：所有接入設(shè)備的配置和軟件版本均由主設(shè)備自動分配，新增設(shè)備的加入或離開時可以實現(xiàn)“熱插拔”和零配置，不影響其他設(shè)備的正常運行，整網(wǎng)的故障排除也是單點的。完備的安全控制策略H3CS5130-EI系列交換機支持創(chuàng)新的單端口多認證Triple功能，在客戶端形式多樣的網(wǎng)絡(luò)環(huán)境中，不同客戶端支持的接入認證方式有所不同，例如，有的客戶端只能進行MAC地址認證（比如打印機終端），有的用戶主機進行802.1X認證，有的用戶主機只希望通過Web訪問進行Portal認證。為了靈活適應(yīng)這種網(wǎng)絡(luò)環(huán)境的多認證需求，S5130-EI系列交換機支持單端口多認證的統(tǒng)一部署方式，使得用戶可以選擇任何一種適合的認證機制來進行認證，且只需要通過一種方式的認證即可實現(xiàn)接入?？蛻舳颂峁〨uestVlan功能，使得為被授權(quán)的訪問端只能接入訪問特定的資源，并且會采取相應(yīng)的策略，例如可以獲得802.1x客戶端、升級客戶端或者獲得其他的升級程序等等。支持SecureShellV2（SSHV2）特性可以提供安全的信息保障和強大的認證功能，以保護以太網(wǎng)交換機不受諸如IP地址欺詐、明文密碼截取等等攻擊。ARP攻擊和ARP病毒作為局域網(wǎng)安全的第一大威脅，H3CS5130-EI系列交換機支持豐富的ARP防御功能，例如ARPDetection，實現(xiàn)用戶合法性檢查功能和ARP報文有效性檢查功能，ARP限速，避免大量ARP報文對CPU進行沖擊等等。H3CS5130-EI系列交換機支持EAD（終端準入控制）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。豐富的QoS策略H3CS5130-EI系列交換機支持支持L2（Layer2）~L4（Layer4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號、協(xié)議類型、VLAN的流分類。提供靈活的對列調(diào)度算法，可以同時基于端口和隊列進行設(shè)置，支持SP、WRR、SP+WRR三種模式。同時還支持入/出方向雙向ACL、支持流量監(jiān)管CAR功能、支持出/入方向的端口/流鏡像，用于對指定端口上的報文進行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進行網(wǎng)絡(luò)檢測和故障排除。同時H3CS5130-EI系列交換機還支持sFlow功能，對網(wǎng)絡(luò)上的數(shù)據(jù)包進行采樣，在千兆/萬兆高速的網(wǎng)絡(luò)上精確地監(jiān)控網(wǎng)絡(luò)流量，用于對網(wǎng)絡(luò)流量進行統(tǒng)計分析和控制。SDN（軟件定義網(wǎng)絡(luò)）軟件定義網(wǎng)絡(luò)（SoftwareDefinedNetwork，SDN）是一種創(chuàng)新的網(wǎng)絡(luò)架構(gòu)體系。其核心技術(shù)Openflow通過將網(wǎng)絡(luò)的控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層進行分離，大幅簡化了網(wǎng)絡(luò)的管理及維護難度，更為重要的是實現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，為核心網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供了良好的網(wǎng)絡(luò)平臺。S5130-EI系列交換機支持大規(guī)格流表，配合H3CSDNcontroller可輕松實現(xiàn)大規(guī)模二層架構(gòu)組網(wǎng)并為現(xiàn)有網(wǎng)絡(luò)提供了快速添加用戶的功能；在大幅簡化網(wǎng)絡(luò)管理的難度的同時可顯著降低網(wǎng)絡(luò)維護的成本。出色的管理性H3CS5130-EI系列交換機支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用網(wǎng)管平臺以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，HGMPv2集群管理，使設(shè)備管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5130-EI系列交換機支持基于MAC地址劃分VLAN，很好的解決了移動辦公的智能靈活管理；結(jié)合特有的基于全局和VLAN下發(fā)ACL策略，在簡化用戶配置的同時，也大幅節(jié)約了硬件資源。H3CS5130-EI交換機支持BIMS協(xié)議，能自動從服務(wù)器下載配置文件和應(yīng)用程序，實現(xiàn)零配置啟動，大幅度降低了大型網(wǎng)絡(luò)和復(fù)雜網(wǎng)絡(luò)的初始配置工作量。高可靠性H3CS5130-EI系列交換機具備設(shè)備級和鏈路級的多重可靠性保護。硬件支持過流保護、過壓保護和過熱保護技術(shù)；支持電源和風扇的故障檢測及告警，可以根據(jù)溫度的變化自動調(diào)節(jié)風扇的轉(zhuǎn)速，這些設(shè)計使設(shè)備具備了很高的可靠性。其中S5130-28F-EI交換機支持可插拔交、直流雙電源可靠性設(shè)計。除了設(shè)備級可靠性以外，該產(chǎn)品還支持豐富的鏈路級可靠性技術(shù)，包括LACP/STP/RSTP/MSTP/SmartLink等保護協(xié)議。支持IRF2智能彈性架構(gòu)，支持1：N冗余備份，支持環(huán)形堆疊，支持跨設(shè)備的鏈路聚合，極大提高網(wǎng)絡(luò)可靠性，當網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時候也不影響網(wǎng)絡(luò)的收斂時間，保證業(yè)務(wù)的正常開展。綠色節(jié)能H3CS5130-EI系列交換機采用最新節(jié)能芯片以及創(chuàng)新的架構(gòu)設(shè)計方案，實現(xiàn)千兆交換機的最低功耗，并且部分款型做到無風扇靜音設(shè)計，給用戶帶來綠色、環(huán)保、節(jié)能的全新網(wǎng)絡(luò)接入產(chǎn)品，降低用戶維護成本。同時H3CS5130-EI系列交換機采用多種綠色節(jié)能設(shè)計，包括auto-power-down（端口自動節(jié)能），如果在一段時間內(nèi)接口狀態(tài)始終為down，則系統(tǒng)自動停止對該接口供電，自動進入節(jié)能模式；支持EEE節(jié)能功能，端口如果在連續(xù)一段時間之內(nèi)空閑，系統(tǒng)會將該端口設(shè)置為節(jié)能模式，當有報文收發(fā)時再通過定時發(fā)送的監(jiān)聽碼流喚醒端口恢復(fù)業(yè)務(wù)，達到節(jié)能的效果，滿足材料環(huán)保與安全性的歐盟RoHS標準。千兆8口POE接入交換機LS-S5110-10P-PWRH3CS5110系列以太網(wǎng)交換機是H3C公司自主開發(fā)的綠色節(jié)能全千兆以太網(wǎng)交換機產(chǎn)品，具備豐富的業(yè)務(wù)特性，廣泛應(yīng)用于企業(yè)網(wǎng)和園區(qū)網(wǎng)的接入。在滿足高性能接入的基礎(chǔ)上，提供更全面的安全接入策略和更強的網(wǎng)絡(luò)管理維護易用性是千兆接入的理想選擇。高性能與靈活擴展能力H3CS5110系列交換機支持所有端口線速轉(zhuǎn)發(fā)，滿足了用戶對高帶寬的需求。S5110系列交換機至少支持2或4端口千兆上行，并且SFP端口既可以支持百兆光模塊，也可以支持千兆光模塊，在降低用戶成本的同時，更好的考慮了用戶后續(xù)升級的實際需求。H3CS5110系列交換機可支持32臺設(shè)備的堆疊，最大擴展至1664個100/1000M端口，支持不同端口設(shè)備的混合堆疊。具有即插即用、單一IP管理。同時大大降低系統(tǒng)擴展的成本，保護了用戶投資。豐富的安全策略H3CS5110系列交換機支持特有的ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報文實施日趨盛行的“ARP欺騙攻擊”。支持IPSourceGuard特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及DoS攻擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實性和一致性。H3CS5110系列交換機支持端口安全特性族，可以有效防范基于MAC地址的攻擊，