校園網(wǎng)絡(luò)設(shè)計(jì)方案

校園網(wǎng)絡(luò)設(shè)計(jì)方案

目錄TOC\o"1-4"\h\z\u第1章 概述 4第2章 系統(tǒng)建設(shè)需求 6第3章 網(wǎng)絡(luò)平臺(tái)建設(shè)方案 63.1 網(wǎng)絡(luò)設(shè)計(jì)原則 63.2 網(wǎng)絡(luò)層次化設(shè)計(jì) 83.3 校園網(wǎng)絡(luò)總體構(gòu)造 93.3.1 核心層設(shè)計(jì) 113.3.2 匯聚層設(shè)計(jì) 163.3.3 網(wǎng)絡(luò)出口設(shè)計(jì) 203.3.4 接入層設(shè)計(jì) 233.4 網(wǎng)絡(luò)安全性設(shè)計(jì) 293.4.1 重要安全區(qū)域隔離 293.4.2 出口帶寬監(jiān)管 293.4.3 網(wǎng)絡(luò)安全保護(hù) 303.5 網(wǎng)絡(luò)可靠性設(shè)計(jì) 333.5.1 物理設(shè)備和鏈路穩(wěn)定性 33 網(wǎng)絡(luò)構(gòu)造的可靠性 33 設(shè)備級(jí)冗余性設(shè)計(jì) 34 鏈路冗余配備 353.5.2 數(shù)據(jù)鏈路層穩(wěn)定性設(shè)計(jì) 35 網(wǎng)絡(luò)布署MSTP 36 生成樹邊沿端口 36 DLDP技術(shù)運(yùn)用 373.5.3 網(wǎng)絡(luò)層穩(wěn)定性設(shè)計(jì) 373.6 網(wǎng)絡(luò)管理設(shè)計(jì) 383.6.1 資源管理 393.6.2 拓?fù)涔芾?403.6.3 故障（告警/事件）管理 423.6.4 性能管理 453.6.5 圖形化設(shè)備管理 453.6.6 集中配備管理 463.7 顧客管理系統(tǒng) 47

概述21世紀(jì)將是人類全方面進(jìn)入信息化社會(huì)的世紀(jì)，信息時(shí)代對(duì)人才提出全新的規(guī)定，信息科學(xué)的應(yīng)有水平已成為一種國(guó)家綜合國(guó)力的重要標(biāo)志。90年代以來(lái)，信息技術(shù)發(fā)展對(duì)經(jīng)濟(jì)、軍事、科技、教育、文化等各個(gè)領(lǐng)域產(chǎn)生了革命性的影響，成為決定生產(chǎn)力發(fā)展和綜合國(guó)力的核心因素。我國(guó)政府對(duì)國(guó)家信息化工作十分重視，早在1984年，鄧小平就提出：開發(fā)信息資源，服務(wù)四化建設(shè)。江澤民同志強(qiáng)調(diào)：四個(gè)當(dāng)代化，哪同樣也離不開信息化。在我國(guó)的《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展“九五”計(jì)劃和遠(yuǎn)景目的綱要》中，把“國(guó)民經(jīng)濟(jì)信息化程度的明顯提高”作為國(guó)家發(fā)展的一種重要目的。信息技術(shù)教育是信息科學(xué)與技術(shù)發(fā)展的基礎(chǔ)，傳統(tǒng)的教育模式已不能適應(yīng)信息化的規(guī)定，亟需深化改革。加緊信息技術(shù)教育進(jìn)程，是提高我國(guó)綜合國(guó)力的一項(xiàng)長(zhǎng)久而又急迫的戰(zhàn)略任務(wù)。世界各國(guó)都在主動(dòng)發(fā)展信息技術(shù)教育?！吨泄仓醒雵?guó)務(wù)院有關(guān)深化教育改革全方面推動(dòng)素質(zhì)教育的決定》中提出“在高中階段的學(xué)校和有條件的初中、小學(xué)普及計(jì)算機(jī)操作和信息技術(shù)教育”。《面對(duì)21世紀(jì)教育振興行動(dòng)計(jì)劃》也提出要實(shí)施“當(dāng)代遠(yuǎn)程教育工程”。近來(lái)，為了推動(dòng)中小學(xué)信息技術(shù)教育工作，教育部決定在前全國(guó)全部中小學(xué)開設(shè)信息技術(shù)必修課程。在這種背景下，實(shí)施全國(guó)廣大中小學(xué)的教育信息化工程已經(jīng)是一項(xiàng)迫在眉睫的任務(wù)。教育信息化，不管是網(wǎng)上教育信息管理，還是網(wǎng)上教學(xué)應(yīng)用都有廣闊的前景。就教育信息管理而言，現(xiàn)在各級(jí)教育管理部門基本沿襲傳統(tǒng)手工管理方式，只有個(gè)別部門、個(gè)別科室、在某些方面實(shí)現(xiàn)了計(jì)算機(jī)自動(dòng)化管理，但都是零星的、分散的、基于單機(jī)的管理模式。在信息技術(shù)高度發(fā)達(dá)的今天，在信息已經(jīng)成為社會(huì)重要資源的今天，這種管理模式已不能適應(yīng)社會(huì)發(fā)展的需求；基于網(wǎng)絡(luò)的辦公自動(dòng)化模式，不僅能夠極大地減輕工作強(qiáng)度，提高工作效率，并且能夠減少由于人工操作出現(xiàn)錯(cuò)誤的可能性，并能夠使信息在流通和重復(fù)使用中發(fā)揮最大的效益。就網(wǎng)上教學(xué)而言，基于網(wǎng)絡(luò)的教學(xué)環(huán)境，其信息資源的多樣性、豐富性和檢索信息的快捷性、方便性是傳統(tǒng)教學(xué)環(huán)境不可比擬的；并且網(wǎng)上學(xué)習(xí)不受時(shí)空和地區(qū)的限制，學(xué)習(xí)模式也可靈活選擇，既能夠?qū)崿F(xiàn)個(gè)別化的學(xué)習(xí)模式，又能夠?qū)崿F(xiàn)協(xié)作式的學(xué)習(xí)模式，有助于發(fā)揮學(xué)生的主動(dòng)性、主動(dòng)性、發(fā)明性，有助于培養(yǎng)學(xué)生的創(chuàng)新精神和貫徹貫徹素質(zhì)教育?？傊?，基于網(wǎng)絡(luò)的遠(yuǎn)程教學(xué)，克服了電視、廣播、函授等傳統(tǒng)媒體不能即時(shí)反饋的缺點(diǎn)，極大地拓展了遠(yuǎn)程教育的范疇，豐富了遠(yuǎn)程教育的內(nèi)涵。但是現(xiàn)在在教育領(lǐng)域熱火朝天的“建網(wǎng)熱”中，往往是“重硬輕軟”，只是熱衷于網(wǎng)絡(luò)基礎(chǔ)設(shè)施和硬件環(huán)境的建設(shè)，而無(wú)視應(yīng)用軟件和教學(xué)資源的開發(fā)。這就造成建了網(wǎng)（相稱于“修了路”）后來(lái)，經(jīng)常面臨“有路無(wú)車”、“有車無(wú)貨”或有了車、貨卻缺少“駕駛員”（通過(guò)培訓(xùn)的教師）的現(xiàn)象，使大批已建成的教育網(wǎng)絡(luò)根本無(wú)法發(fā)揮作用，甚至建網(wǎng)越多，浪費(fèi)越大。我國(guó)是發(fā)展中國(guó)家，教育經(jīng)費(fèi)原來(lái)就嚴(yán)重短缺，可是就這樣一點(diǎn)資金還要如此浪費(fèi)，這是多么令人痛心的局面。之因此出現(xiàn)這種現(xiàn)象，究其因素，核心在于對(duì)教育網(wǎng)絡(luò)建設(shè)缺少系統(tǒng)、全方面的考慮與研究，一講建網(wǎng)，就一窩蜂上硬件設(shè)施——一門心思搞“修路”。其實(shí)，網(wǎng)絡(luò)教育應(yīng)用是一項(xiàng)系統(tǒng)工程，必須將“路、車、貨、駕駛員培訓(xùn)”這四個(gè)要素通盤考慮，在此基礎(chǔ)上研究出一種“全方面解決技術(shù)方案”來(lái)并加以實(shí)施，才有可能從根本上解決網(wǎng)絡(luò)教育問(wèn)題。系統(tǒng)建設(shè)需求校園網(wǎng)絡(luò)平臺(tái)是校園數(shù)字化系統(tǒng)的運(yùn)行基礎(chǔ)，學(xué)校原有的網(wǎng)絡(luò)平臺(tái)無(wú)論是在網(wǎng)絡(luò)的穩(wěn)定性、業(yè)務(wù)適應(yīng)用性、性能、安全以及可擴(kuò)展性等方面已無(wú)法支撐學(xué)校系統(tǒng)的需求，更是無(wú)法達(dá)成國(guó)家示范性高等職院建設(shè)的規(guī)定，因此，學(xué)校的校園網(wǎng)絡(luò)平臺(tái)需要進(jìn)行全方面的升級(jí)，建設(shè)任務(wù)重要涉及下列五大方面：建設(shè)一種高可用的骨干網(wǎng)，這是網(wǎng)絡(luò)平臺(tái)建設(shè)最為重要及緊急任務(wù)之一，骨干網(wǎng)的穩(wěn)定性、性能和安全性將直接影響到校園網(wǎng)絡(luò)的運(yùn)行；建設(shè)一種數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)，為數(shù)字化業(yè)務(wù)系統(tǒng)提供一種高可用的接入平臺(tái)；建設(shè)一種安全可控的網(wǎng)絡(luò)出口，增強(qiáng)網(wǎng)絡(luò)外界的安全防護(hù)以及校園網(wǎng)顧客的行為監(jiān)管能力，提高出口帶寬的使用效率；完善校園網(wǎng)顧客的接入和控制，通過(guò)布署顧客認(rèn)證、計(jì)費(fèi)等方法對(duì)全方面提高對(duì)接入顧客的控制，使顧客接入規(guī)范化。建設(shè)校園無(wú)線網(wǎng)絡(luò)平臺(tái)，提高網(wǎng)絡(luò)接入的覆蓋能力，校園顧客更易于使用學(xué)校資源。網(wǎng)絡(luò)平臺(tái)建設(shè)方案網(wǎng)絡(luò)設(shè)計(jì)原則校園網(wǎng)建設(shè)要實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全方面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)教育管理、多媒體教學(xué)自動(dòng)化，必須含有高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴(kuò)展性。學(xué)校網(wǎng)絡(luò)建設(shè)遵照下列基本原則：高帶寬學(xué)校網(wǎng)絡(luò)是一種龐大并且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計(jì)的無(wú)瓶頸性，規(guī)定方案設(shè)計(jì)的階段就要充足考慮到，同時(shí)規(guī)定核心交換機(jī)含有高性能、高帶寬的特，整網(wǎng)的核心交換規(guī)定能夠提供無(wú)瓶頸的數(shù)據(jù)交換?？稍鲋敌詫W(xué)校網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。因此在建設(shè)時(shí)要充足考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不同的顧客需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)含有自我造血機(jī)制。可擴(kuò)充性考慮到學(xué)校顧客數(shù)量和業(yè)務(wù)種類發(fā)展的不擬定性，規(guī)定對(duì)于核心交換機(jī)與匯聚交換機(jī)含有強(qiáng)大的擴(kuò)展功效，學(xué)校網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充足留有擴(kuò)充余地。開放性技術(shù)選擇必須符合有關(guān)國(guó)際原則及國(guó)內(nèi)原則，避免個(gè)別廠家的私有原則或內(nèi)部合同，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息精確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息解決功效，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計(jì)應(yīng)充足考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防備方法。網(wǎng)絡(luò)層次化設(shè)計(jì)在校園園區(qū)網(wǎng)絡(luò)整體設(shè)計(jì)中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)構(gòu)造，并嚴(yán)格定義各層功效模型，不同層次關(guān)注不同的特性配備。根據(jù)學(xué)校的網(wǎng)絡(luò)分布狀況，校園網(wǎng)共分成核心層、匯聚層和接入層三層。1)核心層核心層是整個(gè)網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，規(guī)定含有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。學(xué)校主控室設(shè)立整個(gè)校園網(wǎng)的核心層，對(duì)于學(xué)校校園的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)構(gòu)造，推薦采用高可靠的多設(shè)備冗余的星型構(gòu)造。對(duì)于校園網(wǎng)核心層設(shè)備，應(yīng)當(dāng)在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了硬件IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為校園園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而協(xié)助顧客實(shí)現(xiàn)IT資源整合的需求。2)匯聚層匯聚來(lái)自配線間的流量和執(zhí)行方略，當(dāng)路由合同應(yīng)用于這一層時(shí)，含有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。現(xiàn)在，學(xué)校共有5幢建筑物，學(xué)校匯聚層設(shè)立將根據(jù)現(xiàn)有的信息點(diǎn)分布，結(jié)合綜合布線系統(tǒng)等多因素，普通而言，以建筑物/功效區(qū)為單位設(shè)立匯聚層，即每個(gè)單體建筑/功效區(qū)設(shè)立一種網(wǎng)絡(luò)匯聚層，如數(shù)據(jù)中心和網(wǎng)絡(luò)出口分別設(shè)于匯聚層，同時(shí)對(duì)于學(xué)生宿舍區(qū)，能夠采用多幢學(xué)生宿舍共用1個(gè)網(wǎng)絡(luò)匯聚層的方式。對(duì)于校園園區(qū)網(wǎng)的匯聚層設(shè)備，應(yīng)當(dāng)能夠承載校園園區(qū)的多個(gè)融合業(yè)務(wù)，能夠融合IPv6、網(wǎng)絡(luò)安全、流量分析等多個(gè)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多個(gè)高可靠技術(shù)，能夠承載校園園區(qū)融合業(yè)務(wù)的需求。3)接入層提供網(wǎng)絡(luò)的第一級(jí)接入功效，完畢二層接入，并實(shí)現(xiàn)對(duì)終端接入的安全控制，涉及ARP防御、IP/MAC/端口綁定以及POE等高級(jí)功效。在校園網(wǎng)中，接入層采用千兆及百兆到桌面的接入模式，對(duì)于數(shù)據(jù)傳輸量較大或重要區(qū)域采用千兆到桌面的方案，如綜合辦公、圖書館等，其它的為百兆接入，同時(shí)，無(wú)線AP接入采用POE方式進(jìn)行設(shè)備的供電。接入層設(shè)備以選擇二層交換機(jī)為主，設(shè)備應(yīng)含有靈活的擴(kuò)展能力，支持堆疊，含有強(qiáng)安全性，能夠?qū)崿F(xiàn)IP、MAC、端口的綁定，支持802.1x認(rèn)證，支持DHCPSnooping，避免非法DHCP接入和ARP攻擊。校園網(wǎng)絡(luò)總體構(gòu)造校園網(wǎng)絡(luò)平臺(tái)將采用層次化通用構(gòu)造設(shè)計(jì)，采用核心層、匯聚層和接入層三層架構(gòu)，涉及網(wǎng)絡(luò)骨干、數(shù)據(jù)中心、網(wǎng)絡(luò)出口、網(wǎng)絡(luò)接入、無(wú)線網(wǎng)絡(luò)等五大部分。網(wǎng)絡(luò)骨干由核心層和匯聚層組網(wǎng)，骨干網(wǎng)采用高可靠性組網(wǎng)，核心層配備高端核心交換機(jī)，匯聚層設(shè)備通過(guò)千兆鏈路實(shí)現(xiàn)與核心層設(shè)備的互聯(lián)，網(wǎng)絡(luò)骨干全方面支持IPv6，并提供萬(wàn)兆擴(kuò)展能力。校園網(wǎng)設(shè)立數(shù)據(jù)中心，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)服務(wù)器的集中布署，數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)獨(dú)立建設(shè)，為服務(wù)器提供高性能、高可靠、可擴(kuò)展性的接入平臺(tái)，同時(shí)，通過(guò)核心交換機(jī)內(nèi)置高性能的防火墻模塊提供安全保護(hù)。網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)，涉及與教育科、互聯(lián)網(wǎng)的互聯(lián)，網(wǎng)絡(luò)出口需實(shí)現(xiàn)校園網(wǎng)與外部網(wǎng)絡(luò)的隔離，網(wǎng)絡(luò)出口配備1臺(tái)路由器設(shè)備實(shí)現(xiàn)與外部網(wǎng)絡(luò)互聯(lián)，配備應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)出口帶寬的管理，并對(duì)校園網(wǎng)顧客實(shí)現(xiàn)行為審計(jì)等功效。網(wǎng)絡(luò)接入層提供校園網(wǎng)顧客的接入，并實(shí)現(xiàn)網(wǎng)絡(luò)接入的安全防御，如ARP攻擊防護(hù)，同時(shí)，結(jié)合顧客管理系統(tǒng)實(shí)現(xiàn)對(duì)接入顧客認(rèn)證、計(jì)費(fèi)等管理。為實(shí)現(xiàn)校園網(wǎng)絡(luò)接入的靈活性，提高網(wǎng)絡(luò)的覆蓋，校園網(wǎng)將實(shí)現(xiàn)辦公樓、圖書館、實(shí)驗(yàn)室、運(yùn)動(dòng)場(chǎng)館等公共區(qū)域的無(wú)線網(wǎng)絡(luò)覆蓋，無(wú)線網(wǎng)采用智能的FitAP組網(wǎng)。為便于網(wǎng)絡(luò)的管理和維護(hù)，校園網(wǎng)還將建設(shè)1套網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)平臺(tái)設(shè)備的統(tǒng)一管理，網(wǎng)絡(luò)管理應(yīng)含有拓?fù)?、故障、性能、配備和圖形化設(shè)備管理等功效，為了實(shí)現(xiàn)更為方便的通過(guò)遠(yuǎn)程方式對(duì)網(wǎng)絡(luò)的狀態(tài)進(jìn)行監(jiān)控和維護(hù)，網(wǎng)絡(luò)系統(tǒng)采用B/S架構(gòu)。同時(shí)，為加強(qiáng)對(duì)接入顧客的控制和管理，系統(tǒng)還布署顧客認(rèn)證、計(jì)費(fèi)管理系統(tǒng)。核心層設(shè)計(jì)學(xué)校主控室設(shè)立整個(gè)校園網(wǎng)的核心層，對(duì)于學(xué)校校園的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)構(gòu)造，推薦采用高可靠的設(shè)備冗余的星型構(gòu)造。核心層配備高端交換機(jī)作為核心交換機(jī)，選用的核心交換機(jī)是從可靠性、性能、業(yè)務(wù)特性、安全特性以及可擴(kuò)展性等多個(gè)方面進(jìn)行綜合考慮。在可靠性方面，核心交換機(jī)應(yīng)達(dá)成99.99%的高可靠性，采用全模塊化設(shè)計(jì)，電源、電扇、引擎、業(yè)務(wù)模塊等均可實(shí)現(xiàn)熱插拔，支持電源、引擎等核心部件的1+1冗余熱備份，支持VRRP、路由優(yōu)雅（GR）等高可靠性合同，實(shí)現(xiàn)核心層的業(yè)務(wù)不間斷轉(zhuǎn)發(fā)。在性能方面，核心交換機(jī)應(yīng)采用Crossbar交換矩陣，采用全分布式轉(zhuǎn)發(fā)，支持萬(wàn)兆、千兆等高速以太網(wǎng)接口，全部接口實(shí)現(xiàn)線速轉(zhuǎn)發(fā),保障校園網(wǎng)多個(gè)業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，核心交換機(jī)支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6，可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò)；并且支持內(nèi)置防火墻、內(nèi)置無(wú)線控制器等多個(gè)業(yè)務(wù)功效插卡，能夠進(jìn)行靈活的布署，實(shí)現(xiàn)業(yè)務(wù)的擴(kuò)展和融合。在安全性方面，核心交換機(jī)應(yīng)既能保障本身的運(yùn)行安全，也能通過(guò)某些安全機(jī)制保障所承載業(yè)務(wù)的安全?；谏鲜鲆蛩?，我們建議核心交換機(jī)采用H3CS7510E高端交換機(jī)。H3CS7500E系列產(chǎn)品是杭州華三通信技術(shù)有限公司（下列簡(jiǎn)稱H3C公司）面對(duì)融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于H3C自主知識(shí)產(chǎn)權(quán)的ComwareV5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全、無(wú)線、無(wú)源光網(wǎng)絡(luò)等多個(gè)業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多個(gè)高可靠技術(shù)。S7510E含有10個(gè)槽位，其中8個(gè)為業(yè)務(wù)模塊插槽，并支持豐富的接口模塊，如萬(wàn)兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡(luò)規(guī)模實(shí)現(xiàn)在線擴(kuò)展。S7510E含有高轉(zhuǎn)發(fā)性能，整機(jī)含有1152Gbps交換容量、773Mpps轉(zhuǎn)發(fā)性能，同時(shí)，S7510E采用全分布式轉(zhuǎn)發(fā)，并采用最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的解決機(jī)制，確保業(yè)務(wù)的高速率轉(zhuǎn)發(fā)。S7510E中配備的全部接口均可實(shí)現(xiàn)線速轉(zhuǎn)發(fā)。選用的H3CS7500E交換機(jī)含有下列特點(diǎn)：豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢(shì)全方面的MPLS業(yè)務(wù)能力H3CS7500E全部產(chǎn)品均支持VRF-Lite特性，能夠做為MCE設(shè)備使用；支持三層的MPLSVPN和二層的MPLSVPN（Martini、Kompella），可擴(kuò)展支持VPLS技術(shù)；支持MPLSOAM特性，方便顧客的管理和維護(hù)；與H3CMPLSVPNManager配合，實(shí)現(xiàn)圖形化的MPLS布署與維護(hù)。線速的IPv4/IPv6業(yè)務(wù)能力H3CS7500E支持IPv4/IPv6雙合同棧,支持多個(gè)6to4隧道技術(shù)，支持IPv4/IPv6的組播技術(shù)，為顧客提供完善的IPv4/IPv6解決方案；H3CS7500E采用分布式體系架構(gòu)，實(shí)現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無(wú)阻塞轉(zhuǎn)發(fā)；H3CS7500E已經(jīng)通過(guò)了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金色認(rèn)證，是成熟商用的IPv6產(chǎn)品。有線無(wú)線一體化，有源無(wú)源一體化H3CS7500E集成的無(wú)線控制模塊提供豐富的業(yè)務(wù)能力，涉及精細(xì)的顧客控制管理、完善的RF管理及安全機(jī)制、快速漫游、超強(qiáng)的QOS和對(duì)IPV6的支持等；無(wú)線控制模塊通過(guò)與安全方略服務(wù)器的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)無(wú)線接入顧客的端點(diǎn)準(zhǔn)入防御，提高了整網(wǎng)的安全性。H3CS7500E是業(yè)界最高密度的以太網(wǎng)無(wú)源光網(wǎng)絡(luò)（EPON）設(shè)備，單臺(tái)最大可接入10240個(gè)FTTH顧客；H3CS7500E是高可靠的EPON系統(tǒng)，采用分布式體系構(gòu)造、模塊化設(shè)計(jì)，主控板冗余熱備份、無(wú)源背板、冗余電源支持雙路供電，含有電信級(jí)可靠性。支持Portal認(rèn)證H3CS7500E支持大容量的Portal認(rèn)證功效，能夠在數(shù)千顧客的局域網(wǎng)中作為EAD網(wǎng)關(guān)設(shè)備，為全網(wǎng)顧客提供EAD安全認(rèn)證功效；能夠在大中型的校園網(wǎng)中擔(dān)任匯聚/核心設(shè)備的同時(shí)，為學(xué)生宿舍區(qū)的認(rèn)證計(jì)費(fèi)提供Portal認(rèn)證功效。靈活的配備，適應(yīng)多個(gè)應(yīng)用場(chǎng)景配線間融合業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇H3CS7500E針對(duì)配線間的需求定制開發(fā)了SA板卡，單臺(tái)設(shè)備能夠提供480個(gè)千兆線速接口和4個(gè)萬(wàn)兆線速接口。H3CS7500E支持端點(diǎn)準(zhǔn)入防御解決方案，解決終端安全問(wèn)題；內(nèi)置2800W電源直接提供PoE功效，對(duì)IP語(yǔ)音和無(wú)線接入提供良好的支持。政府電力城域網(wǎng)邊沿和匯聚的最佳選擇H3CS7500E支持VRF-Lite特性，為顧客提供高可靠高性能的MCE設(shè)備；通過(guò)配備SalienceVI-Turbo引擎，能夠提供集中式MPLS業(yè)務(wù)功效，適合在城域網(wǎng)邊沿作為高性價(jià)PE設(shè)備使用；通過(guò)配備EA類板卡，能夠提供分布式線速的MPLS業(yè)務(wù)功效，適合在城域網(wǎng)匯聚層作為高性能的PE使用。IPv6網(wǎng)絡(luò)的最佳選擇H3CS7500E全部SalienceVI引擎都能夠提供集中式IPv6功效，H3CS7500E針對(duì)IPv4/IPv6高性能的規(guī)定還開發(fā)了分布式IPv4/IPv6轉(zhuǎn)發(fā)的SC板卡，在整機(jī)滿配備狀態(tài)下實(shí)現(xiàn)線速無(wú)收斂，為高校顧客提供了高性能低成本的雙棧匯聚核心設(shè)備，同時(shí)也滿足其它行業(yè)顧客IPv6Ready的需求。全方位的安全保障，抵抗多個(gè)網(wǎng)絡(luò)安全威脅三平面安全保障機(jī)制H3CS7500E提供完善的安全防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全方面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置合同報(bào)文攻擊識(shí)別模塊，避免TCN、ARP等合同報(bào)文攻擊，OSPF/BGP/IS-IS路由合同采用MD5驗(yàn)證，避免非法路由更新報(bào)文造成的網(wǎng)絡(luò)癱瘓；在管理平面，SNMPv3網(wǎng)管合同，SSHV2，基于802.1x、AAA/Radius的顧客身份認(rèn)證以及分級(jí)的顧客權(quán)限管理確保了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持IP、VLAN、MAC和端口等多個(gè)組合精細(xì)綁定；支持uRPF單播反向途徑轉(zhuǎn)發(fā)，避免非法流量訪問(wèn)網(wǎng)絡(luò)，采用最長(zhǎng)匹配逐包轉(zhuǎn)發(fā)機(jī)制，有效抵抗病毒的攻擊。有線無(wú)線全方面支持EADH3CS7500E是EAD端點(diǎn)準(zhǔn)入防御解決方案的重要構(gòu)成部分，S7500E能夠動(dòng)態(tài)的接受來(lái)自安全方略服務(wù)器的控制方略，根據(jù)終端的安全狀態(tài)予下列發(fā)對(duì)應(yīng)的訪問(wèn)權(quán)限。H3CS7500E既支持有線終端顧客的EAD，也支持無(wú)線終端顧客的EAD，能夠做到終端安全防備無(wú)漏洞。增強(qiáng)的ACL特性H3CS7500E系列產(chǎn)品支持強(qiáng)大的ACL能力：支持原則和擴(kuò)展ACL；支持基于VLAN的ACL，方便顧客配備，節(jié)省ACL資源；支持出方向和入方向的ACL，每板最大可支持9K條ACL，滿足金融等行業(yè)訪問(wèn)權(quán)限嚴(yán)格控制的需求。電信級(jí)的高可靠性，保障顧客業(yè)務(wù)長(zhǎng)久穩(wěn)定運(yùn)行電信級(jí)高可靠性設(shè)計(jì)H3CS7500E采用無(wú)單點(diǎn)故障設(shè)計(jì)，全部核心部件，如主控板、交換網(wǎng)、電源和電扇等采用冗余設(shè)計(jì)；無(wú)源背板避免了機(jī)箱出現(xiàn)單點(diǎn)故障；全部單板和電源模塊支持熱插拔功效；H3CS7500E系列能夠在惡劣的環(huán)境下長(zhǎng)時(shí)間穩(wěn)定運(yùn)行，達(dá)成99.999％的電信級(jí)可靠性。多業(yè)務(wù)高可靠性運(yùn)行H3CS7500E支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級(jí)的切換時(shí)間；支持等價(jià)路由，可協(xié)助顧客建立多條等值途徑，實(shí)現(xiàn)流量的負(fù)載均衡及冗余備份；支持RRPP快速環(huán)網(wǎng)保護(hù)合同，提供不大于200ms的環(huán)網(wǎng)故障保護(hù)；支持Smart-Link合同，確保雙上行網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)毫秒級(jí)快速切換。通過(guò)上述技術(shù)，H3CS7500E能夠在承載多業(yè)務(wù)的狀況下不間斷運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)的永續(xù)。支持熱補(bǔ)丁技術(shù)H3CS7500E能夠在不重啟設(shè)備的前提下，通過(guò)熱補(bǔ)丁技術(shù)，在線修改軟件BUG，增加新的業(yè)務(wù)特性。H3CS7500E提供控制補(bǔ)丁單元狀態(tài)切換的顧客命令，使顧客能夠方便的加載、激活、去激活、運(yùn)行或刪除補(bǔ)丁單元。通過(guò)熱補(bǔ)丁技術(shù)，減少了設(shè)備需要重啟的次數(shù)，為客戶提供更長(zhǎng)的網(wǎng)絡(luò)正常工作時(shí)間。匯聚層設(shè)計(jì)匯聚來(lái)自配線間的流量和執(zhí)行方略，當(dāng)路由合同應(yīng)用于這一層時(shí)，含有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。選用的匯聚交換機(jī)應(yīng)含有下列功效和特性：在可靠性方面，匯聚交換機(jī)支持路由合同平滑重啟，支持RSTP、MSTP生成樹合同，支持2層的快速切換，確保與核心交換機(jī)組網(wǎng)的可靠性，在性能方面，匯聚交換機(jī)全部端口線速轉(zhuǎn)發(fā)，涉及萬(wàn)兆接口，保障多個(gè)業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，匯聚交換機(jī)支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6，可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò)。在安全性方面，匯聚交換機(jī)含有安全機(jī)制保障所承載業(yè)務(wù)的安全?；谝陨弦?guī)定，我們建議匯聚交換機(jī)選用H3C的S5500－EI，S5500－EI系列交換機(jī)含有下列特點(diǎn)：1、高擴(kuò)展性保護(hù)投資隨著顧客端速度不停提高，顧客最后會(huì)使集群千兆鏈路達(dá)成飽和，而能夠擁有多條集群10GE鏈路將是我們的將來(lái)發(fā)展方向。H3CS5500-EI系列交換機(jī)支持兩個(gè)擴(kuò)展槽位，每個(gè)槽位支持單端口或雙端口的10GE擴(kuò)展模塊，在實(shí)現(xiàn)千兆匯聚或接入時(shí)保存進(jìn)一步支持10GE的擴(kuò)展能力，竭力保護(hù)顧客投資。IPv4到IPv6的演變是以太網(wǎng)發(fā)展的大勢(shì)所趨，網(wǎng)絡(luò)設(shè)備對(duì)于IPv6的支持不僅是簡(jiǎn)樸的可用就行，而是需要達(dá)成商用的原則，S5500-EI已經(jīng)通過(guò)了國(guó)際最權(quán)威的IPv6Ready第二階段認(rèn)證，并且通過(guò)了信息產(chǎn)業(yè)部嚴(yán)格的IPv6入網(wǎng)測(cè)試。這個(gè)系列產(chǎn)品是基于硬件的IPv4/IPv6雙棧平臺(tái)，支持豐富的IPv4和IPv6三層路由合同、組播合同和方略路由機(jī)制，實(shí)現(xiàn)IPv4到IPv6的平滑升級(jí)。2、完備的安全控制方略H3CS5500-EI系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功效，配合后臺(tái)系統(tǒng)能夠?qū)⒔K端防病毒、補(bǔ)丁修復(fù)等終端安全方法與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全方法整合為一種聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全方面防御、變分散管理為集中方略管理，提高了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5500-EI交換機(jī)支持集中式MAC地址認(rèn)證、802.1x認(rèn)證、PORTAL認(rèn)證，支持顧客帳號(hào)、IP、MAC、VLAN、端口等顧客標(biāo)記元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)顧客方略（VLAN、QoS、ACL）的動(dòng)態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對(duì)在線顧客進(jìn)行實(shí)時(shí)的管理，及時(shí)的診療和崩潰網(wǎng)絡(luò)非法行為。H3CS5500-EI系列交換機(jī)提供增強(qiáng)的ACL控制邏輯，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下發(fā)，在簡(jiǎn)化顧客配備過(guò)程的同時(shí)，避免了ACL資源的浪費(fèi)。另外，S5500-EI系列還將支持單播反向途徑查找技術(shù)（uRPF），原理是當(dāng)設(shè)備的一種接口上收到一種數(shù)據(jù)包時(shí)，會(huì)反向查找途徑來(lái)驗(yàn)證與否存在從該接受接口到包中制訂的源地址之間的路由，即驗(yàn)證了其真實(shí)性，如果不存在就將數(shù)據(jù)包刪除，這樣我們就能夠有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺騙。7VM海岸線網(wǎng)絡(luò)安全資訊站3、多重可靠性保護(hù)S5500-EI系列交換機(jī)還含有設(shè)備級(jí)和鏈路級(jí)的多重可靠性保護(hù)。全部機(jī)型都支持內(nèi)置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模塊，也就是說(shuō)我們能夠根據(jù)實(shí)際環(huán)境的需要靈活配備交流或直流電源模塊，另外整機(jī)還支持電源和電扇的故障檢測(cè)及告警，能夠根據(jù)溫度的變化自動(dòng)調(diào)節(jié)電扇的轉(zhuǎn)速，這些設(shè)計(jì)使我們這款盒式交換機(jī)含有了機(jī)柜式交換機(jī)的高可靠性。除了設(shè)備級(jí)可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術(shù)，例如華三通信獨(dú)創(chuàng)的RRPP快速環(huán)網(wǎng)保護(hù)機(jī)制。當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時(shí)候也不影響網(wǎng)絡(luò)的收斂時(shí)間，確保業(yè)務(wù)的正常開展。4、多業(yè)務(wù)支持能力支持PoE（PoweroverEthernet）技術(shù)，通過(guò)以太網(wǎng)對(duì)所連接的設(shè)備（如IPPhone,WirelessAP等）進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場(chǎng)為設(shè)備布署單獨(dú)的電源系統(tǒng)，能夠極大地減少布署終端設(shè)備的布線和管理成本。支持VoiceVLAN技術(shù)，交換機(jī)通過(guò)識(shí)別端口的語(yǔ)音流，將對(duì)應(yīng)的接入端口加入VoiceVLAN（專用語(yǔ)音VLAN）中，為語(yǔ)音流量提供專門通道，并自動(dòng)下發(fā)優(yōu)先級(jí)規(guī)則確保語(yǔ)音流的優(yōu)先傳輸來(lái)確保通話質(zhì)量。同時(shí)通過(guò)設(shè)立VoiceVLAN安全特性，只允許語(yǔ)音流量通過(guò)，能夠有效避免突發(fā)數(shù)據(jù)流量對(duì)VoiceVLAN內(nèi)的語(yǔ)音流量的沖擊。H3CS5500-EI系列交換機(jī)支持MCE功效，能夠有效解決多VPN網(wǎng)絡(luò)帶來(lái)的顧客數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用CE設(shè)備本身的VLAN接口編號(hào)與網(wǎng)絡(luò)內(nèi)的VPN進(jìn)行綁定，并為每個(gè)VPN創(chuàng)立和維護(hù)獨(dú)立的路由轉(zhuǎn)發(fā)表（Multi-VRF）。這樣不僅能夠隔離私網(wǎng)內(nèi)不同VPN的報(bào)文轉(zhuǎn)發(fā)途徑，并且通過(guò)與PE間的配合，也能夠?qū)⒚總€(gè)VPN的路由對(duì)的公布至對(duì)端PE，確保VPN報(bào)文在公網(wǎng)內(nèi)的傳輸。5、豐富的QoS方略H3CS5500-EI系列交換機(jī)支持支持L2（Layer2）~L4（Layer4）包過(guò)濾功效，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端標(biāo)語(yǔ)、合同類型、VLAN的流分類。提供靈活的對(duì)列調(diào)度算法，能夠同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)立，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三種模式。支持CAR（CommittedAccessRate）功效，粒度最小達(dá)64Kbps。支持出、入兩個(gè)方向的端口鏡像，用于對(duì)指定端口上的報(bào)文進(jìn)行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進(jìn)行網(wǎng)絡(luò)檢測(cè)和故障排除。6、杰出的管理性H3CS5500-EI系列交換機(jī)支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用網(wǎng)管平臺(tái)以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5500-EI系列交換機(jī)支持基于MAC地址劃分VLAN，較好的解決了移動(dòng)辦公的智能靈活管理；結(jié)合特有的基于全局和VLAN下發(fā)ACL方略，在簡(jiǎn)化顧客配備的同時(shí)，也大幅節(jié)省了硬件資源。該系列交換機(jī)還支持sFlow功效，能夠?qū)Τ鋈敕较虻膱?bào)文按比例隨機(jī)抽樣，靈活實(shí)現(xiàn)報(bào)文采集。網(wǎng)絡(luò)出口設(shè)計(jì)網(wǎng)絡(luò)出口實(shí)現(xiàn)校園網(wǎng)絡(luò)與外界網(wǎng)絡(luò)互聯(lián)，出口網(wǎng)絡(luò)應(yīng)含有一定的可靠性，提供網(wǎng)絡(luò)安全防護(hù)能力，并對(duì)出口帶寬進(jìn)行有效的分派和控制，同時(shí)加強(qiáng)對(duì)顧客行為進(jìn)行監(jiān)管。網(wǎng)絡(luò)出口配備1臺(tái)高端路由器，路由器實(shí)現(xiàn)外部網(wǎng)絡(luò)互聯(lián)，并提供NAT功效，配備1臺(tái)應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)出口帶寬的靈活調(diào)配，并實(shí)現(xiàn)對(duì)顧客行為進(jìn)行審計(jì)和監(jiān)管。并通過(guò)核心交換機(jī)的防火墻模塊實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)區(qū)域的隔離和訪問(wèn)控制。網(wǎng)絡(luò)出口路由器應(yīng)含有下列功效和特性：在可靠性方面，路由器應(yīng)支持電源、解決系統(tǒng)的冗余備份。在性能方面，路由器應(yīng)提供高性能轉(zhuǎn)發(fā)，并含有優(yōu)越的NAT解決能力。在業(yè)務(wù)特性方面，路由器支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持IPv6，可平穩(wěn)過(guò)渡到下一代網(wǎng)絡(luò)。在安全性方面，路由器有安全機(jī)制保障所承載業(yè)務(wù)的安全?；谏鲜鲆蛩?，我們建議出口路由器采用H3CSR6604高端路由器。應(yīng)用控制網(wǎng)關(guān)選用H3CSecPathACG（ApplicationControlGateway），H3CACG是業(yè)界識(shí)別最全方面、控制手段最豐富的高性能應(yīng)用控制網(wǎng)關(guān)，能對(duì)網(wǎng)絡(luò)中的P2P/IM帶寬濫用、“地下”VoIP、“一拖N”、網(wǎng)絡(luò)游戲、炒股、多媒體應(yīng)用、非法網(wǎng)站訪問(wèn)等行為進(jìn)行精細(xì)化識(shí)別和控制；同時(shí)，可對(duì)網(wǎng)絡(luò)流量、顧客上網(wǎng)行為進(jìn)行進(jìn)一步分析與全方面的事后審計(jì)，并含有強(qiáng)大的URL過(guò)濾功效，進(jìn)而協(xié)助顧客優(yōu)化其網(wǎng)絡(luò)資源，全方面理解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢(shì)，開展各項(xiàng)業(yè)務(wù)提供有力的支撐。H3CACG含有下列優(yōu)點(diǎn)：強(qiáng)大的P2P/IM業(yè)務(wù)監(jiān)控通過(guò)H3C長(zhǎng)久積累的狀態(tài)機(jī)檢測(cè)技術(shù)，能精確檢測(cè)Thunder（迅雷）、BitTorrent、eMule（電騾）、eDonkey（電驢）、QQ、MSN、PPLive等近百種P2P/IM應(yīng)用。同時(shí)，可基于時(shí)間、顧客、區(qū)域、應(yīng)用合同等，對(duì)P2P/IM應(yīng)用進(jìn)行告警、限流、干擾或阻斷。完善的安全審計(jì)系統(tǒng)可對(duì)多個(gè)P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文獻(xiàn)共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)榷鄠€(gè)上網(wǎng)行為提供全方面的行為監(jiān)控和統(tǒng)計(jì)；同時(shí)，通過(guò)綜合分析、檢測(cè)顧客網(wǎng)絡(luò)流量與流向趨勢(shì)，事后對(duì)歷史數(shù)據(jù)進(jìn)行分析，為顧客提供細(xì)粒度的網(wǎng)絡(luò)行為審計(jì)管理系統(tǒng)。強(qiáng)大的過(guò)濾功效通過(guò)自定義IP地址、主機(jī)名、正則體現(xiàn)式等方式設(shè)立URL特性庫(kù)，支持根據(jù)不同的URL方略設(shè)立不同的響應(yīng)方式，支持根據(jù)時(shí)間表對(duì)不同的URL方略設(shè)立不同的響應(yīng)動(dòng)作，避免保密信息的外泄，免受非法信息的干擾，確保網(wǎng)絡(luò)的健康使用。豐富的報(bào)表提供業(yè)務(wù)流量趨勢(shì)圖、流量分布圖、TopN顧客列表、TopN應(yīng)用合同列表等報(bào)表，并支持按照顧客名/顧客組、使用頻度、使用時(shí)段、應(yīng)用分類、應(yīng)用合同、流量大小等進(jìn)行多維度組合定制報(bào)表，使顧客能全方面掌握網(wǎng)絡(luò)中的流量、應(yīng)用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制訂流量控制方略提供根據(jù)。全方面地識(shí)別“地下”VoIP支持對(duì)Skype、H.323、SIP、中橋、UUCall等近百種合同或網(wǎng)關(guān)的呼喊識(shí)別、阻斷或干擾?，F(xiàn)在，H3C是唯一能實(shí)現(xiàn)對(duì)Skype在PC-PC、PC-Phone兩種通信模式進(jìn)行實(shí)時(shí)有效控制的廠商。領(lǐng)先的“一拖N”清理技術(shù)采用業(yè)界流行的ID軌跡檢測(cè)技術(shù)、時(shí)鐘偏移檢測(cè)技術(shù)，結(jié)合多個(gè)應(yīng)用層特性檢測(cè)技術(shù)如應(yīng)用特性檢測(cè)、流量/連接數(shù)統(tǒng)計(jì)、TTL檢測(cè)、MAC地址檢測(cè)等，能實(shí)時(shí)精確的識(shí)別出以NAT、Proxy方式進(jìn)行共享接入的顧客以及精確的PC數(shù)量，并實(shí)施告警、阻斷等控制方法。顧客行為分析采用先進(jìn)的技術(shù)分析手段，全方面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢(shì)，統(tǒng)計(jì)網(wǎng)絡(luò)熱點(diǎn)，發(fā)掘業(yè)務(wù)增加點(diǎn)；分析顧客行為，統(tǒng)計(jì)顧客愛(ài)好，為個(gè)性化運(yùn)行提供根據(jù)，并通過(guò)開放的平臺(tái)接口，與第三方業(yè)務(wù)平臺(tái)對(duì)接，提供高附加值業(yè)務(wù)，如在顧客行為愛(ài)好分析的基礎(chǔ)上提供定向WEB廣告服務(wù)。高性能、高可靠性基于新一代多核CPU多核架構(gòu)及分布式搜索引擎，同時(shí)配合高容量的交換背板，確保SecPathACG在多個(gè)大流量、復(fù)雜應(yīng)用的環(huán)境下，仍能含有千兆級(jí)線速業(yè)務(wù)解決能力，僅有微秒級(jí)時(shí)延。通過(guò)掉電保護(hù)（PFC）、二層回退等高可靠性設(shè)計(jì)，確保SecPathACG在斷電、軟硬件故障或鏈路故障的狀況下，網(wǎng)絡(luò)鏈路仍然暢通，確保顧客業(yè)務(wù)的不間斷正常運(yùn)行。及時(shí)的特性庫(kù)更新H3C專業(yè)安全團(tuán)體親密跟蹤應(yīng)用變化，并對(duì)應(yīng)用合同特性庫(kù)及時(shí)更新；支持在線自動(dòng)/手動(dòng)升級(jí)方式，升級(jí)過(guò)程無(wú)需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運(yùn)行。接入層設(shè)計(jì)接入層實(shí)現(xiàn)各終端電腦的高速接入，根據(jù)各業(yè)務(wù)系統(tǒng)的分布，可采用千兆到桌面以及百兆到桌面兩種方案。對(duì)于辦公大樓、圖書館、實(shí)驗(yàn)室等對(duì)網(wǎng)絡(luò)帶寬規(guī)定較高的,建議采用千兆到桌面的解決方案。對(duì)于教學(xué)樓、宿舍區(qū)的接入可采用100/1000M到終端的解決方案。接入層交換機(jī)應(yīng)含有豐富的安全特性，配合顧客認(rèn)證系統(tǒng)實(shí)現(xiàn)對(duì)接入顧客的認(rèn)證計(jì)費(fèi)，同時(shí)，交換機(jī)還應(yīng)含有防偽DHCPServer的接入，對(duì)終端ARP多個(gè)形式攻擊的防護(hù)。接入層交換機(jī)，我們建議千兆交換機(jī)選用H3CS5100系列交換機(jī)，百兆到桌面選用H3C為教育行業(yè)顧客專門研發(fā)的E系列交換機(jī)。選用的S5100－EI系列交換機(jī)含有下列特點(diǎn)：1、靈活的千兆接入和集群管理H3CS5100-EI系列千兆以太網(wǎng)交換機(jī)提供靈活的16/24/48個(gè)10/100/1000M自適應(yīng)電口接入密度；并且支持復(fù)用的SFP插槽，充足考慮顧客的帶寬升級(jí)的實(shí)際狀況，既能夠支持千兆光模塊，也能夠支持百兆光模塊，保護(hù)顧客投資。其中S5100C-EI機(jī)型支持最多2個(gè)可擴(kuò)展的萬(wàn)兆接口，并且支持40G帶寬的堆疊。該系列硬件支持最大136Gbps交換容量，確保全部端口線速交換。H3CS5100-EI系列交換機(jī)采用專利技術(shù)允許交換機(jī)運(yùn)用專用互聯(lián)電纜實(shí)現(xiàn)多達(dá)16臺(tái)設(shè)備的堆疊，支持不同端口設(shè)備的混合堆疊。含有即插即用、單一IP管理。同時(shí)大大減少系統(tǒng)擴(kuò)展的成本，保護(hù)了顧客投資。2、全方面的接入安全方略H3CS5100-EI系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功效，配合后臺(tái)系統(tǒng)能夠?qū)⒔K端防病毒、補(bǔ)丁修復(fù)等終端安全方法與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全方法整合為一種聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全方面防御、變分散管理為集中方略管理，提高了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5100-EI系列交換機(jī)支持特有的ARP入侵檢測(cè)功效，可有效避免黑客或攻擊者通過(guò)ARP報(bào)文實(shí)施網(wǎng)絡(luò)中逐步盛行的“中間人”攻擊，對(duì)不符合DHCPSnooping動(dòng)態(tài)綁定表或手工配備的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。同時(shí)支持IPSourceCheck特性，避免涉及MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來(lái)的DoS攻擊。另外，運(yùn)用DHCPSnooping的信任端口特性還能夠有效杜絕私設(shè)DHCP服務(wù)器，確保DHCP環(huán)境的真實(shí)性和一致性。H3CS5100-EI系列交換機(jī)支持端口安全特性族能夠有效防備基于MAC地址的攻擊。能夠?qū)崿F(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個(gè)端口允許的MAC地址的最大數(shù)量，使得某個(gè)特定端口上的MAC地址能夠由管理員靜態(tài)配備，或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)。H3CS5100-EI系列交換機(jī)有強(qiáng)大硬件ACL能力，能深度識(shí)別報(bào)文，支持L2~L4包過(guò)濾功效，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP合同類型、物理端口、VLAN、等定義ACL，方便交換機(jī)進(jìn)行后續(xù)的解決。并且支持基于全局、VLAN、端口（組）的ACL下發(fā)，有效簡(jiǎn)化配備過(guò)程并節(jié)省硬件資源。H3CS5100-EI系列交換機(jī)提供802.1X和集中MAC認(rèn)證方式對(duì)接入的顧客進(jìn)行認(rèn)證，允許正當(dāng)顧客通過(guò)，對(duì)于非法顧客則回絕其上網(wǎng)。同時(shí)還支持客戶端軟件版本檢測(cè)、GuestVLAN等功效，和CAMS服務(wù)器配合還能夠?qū)嵁?dāng)代理檢測(cè)、雙網(wǎng)卡檢測(cè)等功效。通過(guò)這些功效的應(yīng)用能夠?qū)︻櫩偷恼?dāng)性進(jìn)行充足的檢查和控制，最大程度的減少非法顧客對(duì)網(wǎng)絡(luò)安全的危害。2、完善的QoS保障H3CS5100-EI系列以太網(wǎng)交換機(jī)提供基于Diffserv和802.1P的QoS特性，能夠?qū)?bào)文的802.1P和DSCP域優(yōu)先級(jí)進(jìn)行修改等操作，并映射到每端口提供的8個(gè)COS隊(duì)列，隊(duì)列調(diào)度提供了三種各具特色的隊(duì)列調(diào)度算法，嚴(yán)格優(yōu)先級(jí)（SP）和整形加權(quán)輪循（SDWRR）調(diào)度算法以及SP+SDWRR組合調(diào)度算法。H3CS5100-EI系列以太網(wǎng)交換機(jī)支持流量監(jiān)管和帶寬粒度控制，流量限速的最小粒度為1Kbit/s，確保為進(jìn)入交換機(jī)的特定業(yè)務(wù)提供帶寬確保，即使在網(wǎng)絡(luò)擁塞時(shí)，也能滿足一定的丟包、時(shí)延及時(shí)延抖動(dòng)等QoS需求。支持流量整形確保以太網(wǎng)交換機(jī)能夠?qū)敵鰣?bào)文速率進(jìn)行控制。支持基于流的報(bào)文重定向。3、增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3CS5100-EI系列交換機(jī)支持通過(guò)FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持SNMPv1/v2/v3，可支持OpenView等通用網(wǎng)管平臺(tái)，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。傳統(tǒng)交換機(jī)對(duì)端口的鏡像功效都是基于本地實(shí)現(xiàn)，鏡像數(shù)據(jù)流無(wú)法穿越網(wǎng)絡(luò)在核心實(shí)現(xiàn)統(tǒng)一采集、監(jiān)控和分析；H3CS5100-EI支持跨交換機(jī)的遠(yuǎn)程端口鏡像功效（RSPAN），能夠?qū)⒔尤攵丝诘牧髁跨R像到核心交換機(jī)上，在核心上啟動(dòng)網(wǎng)流分析（Netstream）功效，對(duì)監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化布署和惡意攻擊監(jiān)控。H3CS5100-EI系列交換機(jī)支持VCT（VirtualCableTest）電纜檢測(cè)功效，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持DLDP（DeviceLinkDetectionProtocol）單向鏈路檢測(cè)合同，能夠有效的避免網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給顧客。H3CE系列交換機(jī)含有下列特點(diǎn)：全方面的接入安全方略H3CE126A/E152教育網(wǎng)交換機(jī)支持特有的ARP入侵檢測(cè)功效，可有效避免黑客或攻擊者通過(guò)ARP報(bào)文實(shí)施校園網(wǎng)常見(jiàn)的“中間人”攻擊，對(duì)不符合DHCPSnooping動(dòng)態(tài)綁定表或手工配備的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。同時(shí)支持IPSourceCheck特性，避免涉及MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來(lái)的DoS攻擊。另外，運(yùn)用DHCPSnooping的信任端口特性還能夠有效杜絕學(xué)生私設(shè)DHCP服務(wù)器，確保DHCP環(huán)境的真實(shí)性和一致性。E126A/E152教育網(wǎng)交換機(jī)支持端口安全特性族，能夠有效防備基于MAC地址的攻擊。能夠?qū)崿F(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個(gè)端口允許的MAC地址的最大數(shù)量，使得某個(gè)特定端口上的MAC地址能夠由管理員靜態(tài)配備，或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)。E126A/E152教育網(wǎng)交換機(jī)有強(qiáng)大硬件ACL能力，能深度識(shí)別報(bào)文，支持L2～L4包過(guò)濾功效，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP合同類型、TCP/UDP端口、TCP/UDP端口范疇、VLAN、VLAN范疇等定義ACL，方便交換機(jī)進(jìn)行后續(xù)的解決。E126A/E152教育網(wǎng)交換機(jī)支持集中式MAC地址認(rèn)證和802.1x認(rèn)證，支持顧客帳號(hào)、IP、MAC、VLAN、端口等顧客標(biāo)記元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)顧客方略（VLAN、QoS、ACL）的動(dòng)態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對(duì)在線顧客進(jìn)行實(shí)時(shí)的管理，及時(shí)的診療和崩潰網(wǎng)絡(luò)非法行為。支持對(duì)Proxy進(jìn)行有效的管理。增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3CE126A/E152教育網(wǎng)交換機(jī)支持通過(guò)FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持SNMPv1/v2/v3，可支持OpenView等通用網(wǎng)管平臺(tái)，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，Telnet，HGMP集群管理，使設(shè)備管理更方便。E126A/E152教育網(wǎng)交換機(jī)支持跨交換機(jī)的遠(yuǎn)程端口鏡像RSPAN，能夠?qū)⒔尤攵丝诘牧髁跨R像到核心交換機(jī)上，能夠?qū)θW(wǎng)業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化布署和惡意攻擊監(jiān)控，滿足校園網(wǎng)精細(xì)化管理的需要。E126A/E152教育網(wǎng)交換機(jī)支持VCT（VirtualCableTest）電纜檢測(cè)功效，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持DLDP（DeviceLinkDetectionProtocol）單向鏈路檢測(cè)合同，能夠有效的避免網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實(shí)將設(shè)備的易用性帶給顧客。高性能與靈活擴(kuò)展能力H3CE126A/E152教育網(wǎng)交換機(jī)含有19.2G的背板交換容量，支持全部端口線速轉(zhuǎn)發(fā)，滿足了教育顧客對(duì)高帶寬的需求。設(shè)備支持2/4個(gè)GE上行，采用固定電口和通用SFP的靈活千兆連接方式，在減少顧客成本的同時(shí)，更加好的考慮了顧客后續(xù)升級(jí)的實(shí)際需求。E126A/E152教育網(wǎng)交換機(jī)采用專利技術(shù)允許交換機(jī)運(yùn)用專用互聯(lián)電纜實(shí)現(xiàn)多達(dá)16臺(tái)設(shè)備的堆疊，最大擴(kuò)展至768個(gè)10/100M端口，支持E126A和E152混合堆疊。含有即插即用、單一IP管理。同時(shí)大大減少系統(tǒng)擴(kuò)展的成本，保護(hù)了顧客投資。豐富的業(yè)務(wù)支持能力H3CE126A/E152教育網(wǎng)交換機(jī)支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三種隊(duì)列調(diào)度算法，支持每個(gè)端口4/8個(gè)輸出隊(duì)列，能夠以不同的優(yōu)先級(jí)將報(bào)文放入端口的輸出隊(duì)列。E126A/E152教育網(wǎng)交換機(jī)支持端口限速功效，限速粒度可達(dá)64Kbps，避免惡意侵占網(wǎng)絡(luò)帶寬，也為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。E126A/E152教育網(wǎng)交換機(jī)支持IPv6host，涉及IPv6單播地址配備，ICMPv6，IPv6鄰居發(fā)現(xiàn)合同（ND），IPv6-TCP，IPv6-TFTP，IPv6-TRACERT管理特性。網(wǎng)絡(luò)安全性設(shè)計(jì)校園網(wǎng)絡(luò)承載多個(gè)業(yè)務(wù)系統(tǒng)，并實(shí)現(xiàn)與外界網(wǎng)絡(luò)的互聯(lián)互通，為確保業(yè)務(wù)系統(tǒng)的安全性，需根據(jù)不同的業(yè)務(wù)類型，采用對(duì)應(yīng)的安全方法。在校園網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)安全建設(shè)重要涉及下列幾大部分：對(duì)重點(diǎn)區(qū)域的安全隔離和訪問(wèn)控制，通過(guò)增加防火墻，實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)資源和外部網(wǎng)絡(luò)安全隔離和訪問(wèn)權(quán)限的控制。網(wǎng)絡(luò)出口布署應(yīng)用控制網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)校園網(wǎng)顧客的行為審計(jì)和監(jiān)管。通過(guò)配備交換機(jī)所含有的安全功效，加強(qiáng)的網(wǎng)絡(luò)的安全控制。重要安全區(qū)域隔離為使網(wǎng)絡(luò)能夠制止、檢測(cè)由面對(duì)學(xué)生開放的業(yè)務(wù)資源、校外其它顧客發(fā)起的異常流量和攻擊，對(duì)數(shù)據(jù)中心和網(wǎng)絡(luò)出口等重要區(qū)域進(jìn)行保護(hù)，網(wǎng)絡(luò)設(shè)計(jì)時(shí)使用防火墻實(shí)現(xiàn)各區(qū)域的安全隔離。通過(guò)在核心交換機(jī)增加防火墻模塊，同時(shí)為數(shù)據(jù)中心和網(wǎng)絡(luò)出口提供安全區(qū)域隔離和安全保護(hù).防火墻模塊含有虛擬防火墻、虛擬接口等特點(diǎn)，提供高達(dá)6Gbps解決性能，并充足運(yùn)用核心交換機(jī)的高可靠性，為確保系統(tǒng)的可靠性，并分別在兩臺(tái)中心交換機(jī)上配備防火墻模塊，實(shí)現(xiàn)防火墻的負(fù)載分擔(dān)和冗余備份。出口帶寬監(jiān)管校園網(wǎng)絡(luò)應(yīng)用層出不窮，在大大提高了顧客的工作效率的同時(shí)也帶來(lái)許多負(fù)面影響，針對(duì)顧客行為控制的解決方案，需要能夠解決下列問(wèn)題：顧客通過(guò)P2P下載電影造成網(wǎng)絡(luò)速度變慢，怎么解決顧客在BBS上公布違法帖子，違反信息安全規(guī)定顧客工作時(shí)間炒股、打游戲、聊天造成工作效率的下降，怎么解決顧客訪問(wèn)非法網(wǎng)站易感染病毒，如何控制校園網(wǎng)絡(luò)出口通過(guò)間布署一臺(tái)SecPathACG網(wǎng)關(guān)，通過(guò)在ACG應(yīng)用控制網(wǎng)關(guān)，可精確識(shí)別BT、電驢、迅雷、MSN、QQ、YahooMessenger、PPLive等近百種P2P/IM應(yīng)用，可基于時(shí)間、顧客、區(qū)域、應(yīng)用合同，通過(guò)告警、限速、阻斷等手段進(jìn)行靈活控制，確保網(wǎng)速的正常和業(yè)務(wù)不被影響。ACG采用先進(jìn)的分析技術(shù)，能對(duì)網(wǎng)絡(luò)多媒體、網(wǎng)絡(luò)游戲、炒股等應(yīng)用進(jìn)行識(shí)別與控制，通過(guò)URL過(guò)濾、核心字過(guò)濾、內(nèi)容過(guò)濾等多個(gè)訪問(wèn)控制方略，控制非法應(yīng)用，過(guò)濾非法網(wǎng)站，規(guī)范顧客上網(wǎng)行為，提高員工工作效率。同時(shí)，ACG能夠下列審計(jì)功效:WEB應(yīng)用審計(jì)——URL；源、目的IP；訪問(wèn)時(shí)間等應(yīng)用審計(jì)——登錄名；上傳或下載文獻(xiàn)名；源、目的IP；訪問(wèn)時(shí)間等Email應(yīng)用審計(jì)——POP3和SMTP收發(fā)郵件的郵件名、發(fā)件人、收件人等；不支持WEBMail的審計(jì)NAT日志審計(jì)——NAT前后的IP、端標(biāo)語(yǔ)；時(shí)間等；需要與U200或F1000E等支持FLOW3.0日志的設(shè)備配合網(wǎng)絡(luò)安全保護(hù)對(duì)于校園網(wǎng)大型應(yīng)用以太網(wǎng)交換機(jī)的系統(tǒng)，網(wǎng)絡(luò)的安全特性非常重要，因以太網(wǎng)工作原理的限制，交換式網(wǎng)絡(luò)容易造成MAC、IP等安全的攻擊。對(duì)此，需通過(guò)交換機(jī)的安全特性加以防護(hù)。本次選用的核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)含有豐富的安全特性，能夠解決網(wǎng)絡(luò)中存在的安全問(wèn)題，具體參見(jiàn)下表：攻擊類型攻擊行為交換機(jī)安全防備特性核心交換機(jī)匯聚

交換機(jī)接入交換機(jī)資源耗盡型攻擊MAC表攻擊端口MAC數(shù)限制含有含有含有嚴(yán)禁某個(gè)VLAN的MAC地址學(xué)習(xí)＋靜態(tài)MAC表含有含有含有端口安全含有含有含有MAC+IP+端口綁定,

端口安全中的1個(gè)特性含有含有含有DHCPDOS攻擊DHCPRelayOption82含有含有含有DHCPSnoopingOption82含有含有含有DHCP報(bào)文限速含有含有含有CPU惡意沖擊ARP限速含有含有含有防備攻擊的其它特性廣播風(fēng)暴克制含有含有含有環(huán)路檢測(cè)含有含有含有安全準(zhǔn)入特性含有含有含有802.1x含有含有含有端口安全特性含有含有含有假冒偽裝型攻擊ARP欺騙攻擊ARP入侵檢測(cè)含有含有含有端口隔離含有含有含有Isolate-User-VLAN含有含有含有MAC/IP欺騙攻擊DHCPrelaySecurity含有含有含有IP源地址保護(hù)含有含有含有DHCP服務(wù)器欺騙攻擊DHCPSnoopingTrust含有含有含有根橋偽裝攻擊STP根保護(hù)含有含有含有BPDU保護(hù)含有含有含有TCN攻擊TC-BPDU報(bào)文非立刻解決機(jī)制含有含有含有路由源偽裝攻擊OSPF/RIP路由MD5驗(yàn)證含有含有二層，不含有設(shè)備控制權(quán)攻擊顧客信息嗅探SSH2.0含有含有含有SNMPv3含有含有含有SFTP含有含有含有管理人員泄密遠(yuǎn)程管理終端限制(TelnetVTY配備ACL)含有含有含有顧客分級(jí)含有含有含有暴力嘗試攻擊遠(yuǎn)程管理終端限制(TelnetVTY配備ACL)含有含有含有在顧客接入安全控制，設(shè)計(jì)時(shí)采用下列針對(duì)性的方法解決下列MAC、IP地址的安全問(wèn)題。1、通過(guò)接入層交換機(jī)進(jìn)行IP、MAC、端口的綁定或認(rèn)證系統(tǒng)的實(shí)施，解決IP地址沖突和IP地址欺騙。2、接入層交換機(jī)啟用ARP檢測(cè)特性，解決ARP攻擊和欺騙的問(wèn)題。3、接入層交換機(jī)啟用DHCP安全特性，解決顧客私自架設(shè)非法DHCP服務(wù)器的問(wèn)題。4、在防火墻或路由交換機(jī)通過(guò)IPSourceGuard以及URPF特性上解決偽造IP源地址攻擊。5、交換機(jī)啟用ARP報(bào)文限制，解決造成交換機(jī)或客戶端ARP表溢出或DHCP服務(wù)器地址耗盡的問(wèn)題。6、通過(guò)網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)在網(wǎng)絡(luò)維護(hù)和故障解決時(shí)，可快速查找、定位和隔離發(fā)生故障的交換機(jī)全部的端口。網(wǎng)絡(luò)可靠性設(shè)計(jì)各業(yè)務(wù)系統(tǒng)的安全運(yùn)行，對(duì)網(wǎng)絡(luò)系統(tǒng)的可靠性提出了很高的規(guī)定。因此在網(wǎng)絡(luò)的設(shè)計(jì)實(shí)施中必須對(duì)網(wǎng)絡(luò)的可靠性進(jìn)行詳盡的考慮和設(shè)計(jì)。網(wǎng)絡(luò)系統(tǒng)的可靠性涉及設(shè)備和鏈路冗余、數(shù)據(jù)鏈路層穩(wěn)定性以及網(wǎng)絡(luò)層穩(wěn)定性三大方面。物理設(shè)備和鏈路穩(wěn)定性網(wǎng)絡(luò)構(gòu)造的可靠性校園網(wǎng)絡(luò)設(shè)計(jì)首先從網(wǎng)絡(luò)構(gòu)造上確保了高可靠性和高冗余性：1)網(wǎng)絡(luò)核心層和數(shù)據(jù)中心采用雙機(jī)冗余架構(gòu)設(shè)計(jì)，通過(guò)路由合同、不間斷路由等技術(shù)配合實(shí)現(xiàn)可靠性；2)網(wǎng)絡(luò)核心層和數(shù)據(jù)中心設(shè)備間互聯(lián)全部采用雙或多鏈路互聯(lián)，配合路由合同、VRRP、MSTP等技術(shù)實(shí)現(xiàn)局域網(wǎng)絡(luò)的可靠性。設(shè)備級(jí)冗余性設(shè)計(jì)網(wǎng)絡(luò)核心節(jié)點(diǎn)設(shè)備的可靠是確保整個(gè)網(wǎng)絡(luò)的有效運(yùn)轉(zhuǎn)的核心所在。要確保網(wǎng)絡(luò)平臺(tái)的可靠性，必須要選用品有電信級(jí)可靠性的網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)，才干使網(wǎng)絡(luò)含有自動(dòng)恢復(fù)能力、減少人工維護(hù)工作，達(dá)成電信級(jí)的可靠運(yùn)行。網(wǎng)絡(luò)核心設(shè)備必須含有電信級(jí)可靠性網(wǎng)絡(luò)中的核心設(shè)備，如核心路由器等，應(yīng)當(dāng)含有電信級(jí)可靠性：可靠性指標(biāo)必須達(dá)成99.999%。網(wǎng)絡(luò)核心設(shè)備采用全分布式體系構(gòu)造，路由與轉(zhuǎn)發(fā)分離。全部核心器件，如主控板、電源等都采用冗余設(shè)計(jì)，業(yè)務(wù)模塊支持熱插拔。網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。主備倒換過(guò)程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。網(wǎng)絡(luò)核心設(shè)備支持軟件在線升級(jí)，升級(jí)過(guò)程中業(yè)務(wù)不中斷。網(wǎng)絡(luò)核心設(shè)備支持軟件熱補(bǔ)丁，打補(bǔ)丁過(guò)程中主控板和接口板都不需要重啟動(dòng)，業(yè)務(wù)不中斷。校園網(wǎng)絡(luò)中所采用的核心交換機(jī)和數(shù)據(jù)中心交換機(jī)S7500E等設(shè)備含有強(qiáng)大的設(shè)備級(jí)可靠性確保：1、采用分布式體系構(gòu)造：S7500E采用分布式體系構(gòu)造，與集中式體系設(shè)備相比較，分布式體系設(shè)備除性能能夠通過(guò)插入更多的接口解決板提高整體性能外，更為核心的是將管理、路由轉(zhuǎn)發(fā)、接口解決等功效分派在不同的部件上，協(xié)同工作，分布式體系能夠分散故障風(fēng)險(xiǎn)、隔離故障、提供冗余配備，提高系統(tǒng)的自動(dòng)恢復(fù)能力；如管理部件故障，只需要更換這部分板件，不影響其它功效。2、核心部件冗余：S7500E采用分布式體系下，對(duì)設(shè)備的核心部件，如主控管理單元、交換轉(zhuǎn)發(fā)單元等，進(jìn)行冗余構(gòu)造配備，確保系統(tǒng)在工作中不會(huì)全部失效。3、實(shí)時(shí)熱備份機(jī)制：在系統(tǒng)軟件及硬件的支持下，核心部件在發(fā)生故障能自動(dòng)啟動(dòng)備份系統(tǒng)，并且主備之間的切換要能夠?qū)崟r(shí)熱倒換，即運(yùn)行中即使發(fā)生設(shè)備故障切換也不會(huì)對(duì)網(wǎng)絡(luò)業(yè)務(wù)造成影響。4、熱插拔特性：S7500E任意單板均支持熱插拔特性，確保系統(tǒng)出現(xiàn)故障需要維護(hù)，或系統(tǒng)需要升級(jí)擴(kuò)展時(shí)，不需要停機(jī)解決，確保網(wǎng)絡(luò)的7×24小時(shí)不間斷運(yùn)行。5、冗余電源支持：S7500E能提供冗余電源負(fù)載分擔(dān)及備份供電，保障系統(tǒng)含有可靠的能量源。6、散熱系統(tǒng)：S7500E的散熱系統(tǒng)使設(shè)備能夠長(zhǎng)時(shí)間穩(wěn)定運(yùn)行而不至由于系統(tǒng)升溫過(guò)高出現(xiàn)故障，冗余電扇等散熱裝置能夠增加設(shè)備的運(yùn)行時(shí)間及減少故障發(fā)生。鏈路冗余配備校園網(wǎng)絡(luò)核心與匯聚、核心與數(shù)據(jù)中心之間采用多條鏈路互聯(lián)，通過(guò)路由合同的ECMP多鏈路分擔(dān)和切換等特點(diǎn)，實(shí)現(xiàn)多鏈路之間的互為冗余備份。數(shù)據(jù)鏈路層穩(wěn)定性設(shè)計(jì)接入交換機(jī)與匯聚交換機(jī)之間為二層鏈路互聯(lián)，為避免二層環(huán)路的發(fā)生，需運(yùn)行生成樹合同，在具體的布署過(guò)程中，為實(shí)現(xiàn)鏈路的快速切換以及保障網(wǎng)絡(luò)的穩(wěn)定性，可綜合實(shí)施MSTP生成樹、生成樹邊沿端口、鏈路單向檢測(cè)等技術(shù)。網(wǎng)絡(luò)布署MSTP通過(guò)運(yùn)行MSTP生成樹合同，能夠解決因拓?fù)渥兓疭TP重新計(jì)算引發(fā)的局部網(wǎng)絡(luò)中斷問(wèn)題以及因某個(gè)VLAN拓?fù)渥兓l(fā)整個(gè)STP重新計(jì)算的問(wèn)題。MSTP（MultipleSpanningTreeProtocol，多生成樹合同）能夠彌補(bǔ)STP和RSTP的缺點(diǎn)，它既能夠快速收斂，也能使不同VLAN的流量沿各自的途徑轉(zhuǎn)發(fā)，從而為冗余鏈路提供了更加好的負(fù)載分擔(dān)機(jī)制。MSTP的特點(diǎn)以下：MSTP設(shè)立VLAN映射表（即VLAN和生成樹的對(duì)應(yīng)關(guān)系表），把VLAN和生成樹聯(lián)系起來(lái)。通過(guò)增加“實(shí)例”（將多個(gè)VLAN整合到一種集合中）這個(gè)概念，將多個(gè)VLAN捆綁到一種實(shí)例中，以節(jié)省通信開銷和資源占用率。MSTP把一種交換網(wǎng)絡(luò)劃分成多個(gè)域，每個(gè)域內(nèi)形成多棵生成樹，生成樹之間彼此獨(dú)立。MSTP將環(huán)路網(wǎng)絡(luò)修剪成為一種無(wú)環(huán)的樹型網(wǎng)絡(luò)，避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無(wú)限循環(huán)，同時(shí)還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余途徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載分擔(dān)。MSTP兼容STP和RSTP。生成樹邊沿端口接入交換機(jī)的端口設(shè)為生成樹的邊沿端口,通過(guò)此種辦法，能夠避免終端設(shè)備接入時(shí)，發(fā)生由于STP狀態(tài)變化引發(fā)的延時(shí)連通現(xiàn)象。在運(yùn)行生成樹的網(wǎng)絡(luò)中，當(dāng)網(wǎng)絡(luò)拓?fù)渥兓瘯r(shí)，邊沿端口不會(huì)產(chǎn)生臨時(shí)環(huán)路。因此，顧客如果將某個(gè)端口指定為邊沿端口，那么當(dāng)該端口由堵塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口能夠?qū)崿F(xiàn)快速遷移，而無(wú)需等待延遲時(shí)間。DLDP技術(shù)運(yùn)用校園網(wǎng)絡(luò)中建議選用的交換機(jī)均含有DLDP（DeviceLinkDetectionProtocol，設(shè)備連接檢測(cè)合同），實(shí)現(xiàn)光纖單向失效檢測(cè)（即收發(fā)兩方向上的一對(duì)光纖中有一根失效），解決因光纖單向鏈路失效引發(fā)重復(fù)的STP和OSPF計(jì)算帶來(lái)的性能和連通性問(wèn)題。DLDP合同有以下特點(diǎn)：DLDP是鏈路層合同，它與物理層合同協(xié)同工作來(lái)監(jiān)控設(shè)備的鏈路狀態(tài)。物理層的自動(dòng)協(xié)商機(jī)制進(jìn)行物理信號(hào)和故障的檢測(cè)；DLDP進(jìn)行對(duì)端設(shè)備的識(shí)別、單向鏈路的識(shí)別和關(guān)閉不可達(dá)端口等工作。當(dāng)使能自動(dòng)協(xié)商機(jī)制和DLDP后，兩者協(xié)同工作，能夠檢測(cè)和關(guān)閉物理和邏輯的單向連接，并制止其它合同（如：STP合同）的失效。如果兩端鏈路在物理層都能獨(dú)立正常工作，DLDP會(huì)在鏈路層檢測(cè)這些鏈路與否對(duì)的連接、兩端與否能夠?qū)Φ牡慕换?bào)文。這種檢測(cè)不能通過(guò)自動(dòng)協(xié)商機(jī)制實(shí)現(xiàn)。網(wǎng)絡(luò)層穩(wěn)定性設(shè)計(jì)在校園網(wǎng)的數(shù)據(jù)中心，兩臺(tái)交換機(jī)之間采用VRRP為業(yè)務(wù)服務(wù)器、提供高可靠的接入服務(wù)。在校園網(wǎng)的數(shù)據(jù)中心，業(yè)務(wù)服務(wù)器IP網(wǎng)關(guān)設(shè)在數(shù)據(jù)中心交換機(jī)，在組網(wǎng)中，兩臺(tái)S7502E之間運(yùn)行VRRP合同。虛擬路由冗余合同VirtualRouterRedundancyProtocol(VRRP)在國(guó)際原則RFC3768定義，被眾多網(wǎng)絡(luò)設(shè)備廠商所支持。虛擬路由冗余合同對(duì)共享多存取訪問(wèn)介質(zhì)（如以太網(wǎng)）上終端IP設(shè)備的默認(rèn)網(wǎng)關(guān)(Default

Gateway)進(jìn)行冗余備份，從而在其中一臺(tái)路由設(shè)備宕機(jī)時(shí)，備份路由設(shè)備及時(shí)接管轉(zhuǎn)發(fā)工作，向顧客提供透明的切換，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。

網(wǎng)絡(luò)管理設(shè)計(jì)校園信息化系統(tǒng)是一種涉及多個(gè)廠家、多個(gè)類型設(shè)備的復(fù)雜系統(tǒng)，作為整個(gè)系統(tǒng)的承載層，網(wǎng)絡(luò)平臺(tái)必須含有良好的可維護(hù)性。在管理方面，我們采用基于H3C智能管理中心的管理系統(tǒng)，實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)的統(tǒng)一管理，能夠方便的對(duì)系統(tǒng)進(jìn)行維護(hù)，實(shí)現(xiàn)快速的故障定位。H3CIMC智能管理中心基于SOA架構(gòu)，采用B/S平臺(tái)以及分布式、組件化、跨平臺(tái)的開放體系構(gòu)造，根據(jù)據(jù)根不同的業(yè)務(wù)需求選擇安裝不同的業(yè)務(wù)組件，能夠?qū)崿F(xiàn)設(shè)備管理、拓?fù)涔芾怼⒏婢芾?、性能管理、軟件升?jí)管理、配備文獻(xiàn)管理等多個(gè)管理功效。H3CiMC采用B/S架構(gòu)，更為方便的通過(guò)遠(yuǎn)程方式對(duì)網(wǎng)絡(luò)的狀態(tài)進(jìn)行監(jiān)控和維護(hù)，運(yùn)維人員能夠采用IE瀏覽器，通過(guò)顧客名/密碼遠(yuǎn)程登錄系統(tǒng)進(jìn)行維護(hù)，同時(shí)，H3CiMC還能夠?qū)崿F(xiàn)顧客分權(quán)限、設(shè)備分組的管理，不同的級(jí)別管理人員可對(duì)設(shè)備進(jìn)行多個(gè)類型的操作，并且還能夠限制能夠管理的設(shè)備。H3CiMC不僅能夠獨(dú)立提供完整的網(wǎng)絡(luò)管理平臺(tái)，還能夠與OpenView、SNMPc多個(gè)主流通用網(wǎng)管平臺(tái)靈活集成；不僅能夠管理H3C公司的全線數(shù)據(jù)通信設(shè)備，還能夠通過(guò)原則MIB管理CISCO、3COM等各主流廠商的數(shù)據(jù)通訊設(shè)備。通過(guò)布署H3CiMC網(wǎng)管系統(tǒng)，能夠?qū)崿F(xiàn)下列運(yùn)行維護(hù)管理功效。資源管理iMC資源管理與拓?fù)涔芾碜鳛檎w共同為顧客提供網(wǎng)絡(luò)資源的管理。網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)能夠通過(guò)設(shè)立種子的簡(jiǎn)易方式、路由方式、ARP方式、IPSecVPN、網(wǎng)段方式等五種自動(dòng)發(fā)現(xiàn)方式自學(xué)習(xí)網(wǎng)絡(luò)資源及網(wǎng)絡(luò)拓?fù)?，自?dòng)識(shí)別涉及：路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無(wú)線設(shè)備、語(yǔ)音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC在內(nèi)的多個(gè)類型網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)手工管理能夠手工添加、刪除網(wǎng)絡(luò)設(shè)備，能夠批量導(dǎo)入、導(dǎo)出網(wǎng)絡(luò)設(shè)備，批量配備Telnet、SNMP參數(shù)，以及批量校驗(yàn)Telnet參數(shù)等輔助功效；網(wǎng)絡(luò)視圖管理支持IP視圖、設(shè)備視圖、自定義視圖、下級(jí)網(wǎng)絡(luò)管理視圖等多個(gè)管理視圖，顧客能夠從不同角度實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的管理；網(wǎng)絡(luò)設(shè)備的管理從任何一種網(wǎng)絡(luò)視圖入口，都能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，涉及：支持對(duì)設(shè)備的管理/去管理、接口的管理/去管理、設(shè)備的具體信息顯示和接口具體信息顯示、設(shè)備和接口實(shí)時(shí)告警狀態(tài)、設(shè)備和接口的實(shí)時(shí)性能狀態(tài)、實(shí)時(shí)檢測(cè)存在故障的設(shè)備等，顧客能夠方便的實(shí)現(xiàn)全部設(shè)備的管理；設(shè)備及業(yè)務(wù)管理系統(tǒng)的集成管理支持對(duì)H3C、CISCO、3COM等重要廠家設(shè)備的管理，支持手工添加設(shè)備廠商、設(shè)備系列及設(shè)備型號(hào)；支持設(shè)備面板管理的動(dòng)態(tài)注冊(cè)機(jī)制，實(shí)現(xiàn)與各廠家設(shè)備管理系統(tǒng)的有效集成；支持拓?fù)涠ㄎ?、ACL、VLAN、QoS等業(yè)務(wù)管理系統(tǒng)的集成，實(shí)現(xiàn)設(shè)備資源的統(tǒng)一管理；設(shè)備分組權(quán)限管理支持設(shè)備分組功效，通過(guò)對(duì)設(shè)備資源進(jìn)行分組管理，系統(tǒng)管理員方便的分派其它管理員的管理權(quán)限，便于職責(zé)分離；拓?fù)涔芾韎MC拓?fù)涔芾韽木W(wǎng)絡(luò)拓?fù)涞慕鉀Q直觀的提供應(yīng)顧客對(duì)整個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備資源的管理。拓?fù)渥詣?dòng)發(fā)現(xiàn)H3CiMC能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)錁?gòu)造，支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D，通過(guò)視圖導(dǎo)航樹提供視圖間的快速導(dǎo)航。通過(guò)自動(dòng)發(fā)現(xiàn)能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的全部設(shè)備及網(wǎng)絡(luò)構(gòu)造（具體參見(jiàn)資源管理），并且能夠?qū)⒎荢NMP設(shè)備發(fā)現(xiàn)出來(lái)，只要設(shè)備能夠ping通即可。這樣就能夠?qū)⑷烤W(wǎng)絡(luò)設(shè)備都列入其管理范疇（只要設(shè)備IP可達(dá)）。同時(shí)支持自動(dòng)的拓?fù)鋱D呈現(xiàn)和自定義拓?fù)?。自?dòng)拓?fù)淠軌蜃詣?dòng)將網(wǎng)絡(luò)中的邏輯連接關(guān)系顯示出來(lái)，同時(shí)能夠保存為自定義拓?fù)鋱D并可根據(jù)具體狀況進(jìn)行修改方便于網(wǎng)管員對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備的監(jiān)控。支持對(duì)全網(wǎng)設(shè)備和連接定時(shí)輪詢和狀態(tài)刷新，實(shí)時(shí)理解整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況，并且刷新周期是可定制（刷新周期：60～7200秒），同時(shí)也支持對(duì)多個(gè)設(shè)備的刷新周期進(jìn)行批量配備的功效。支持自定義拓?fù)鋫鹘y(tǒng)的網(wǎng)絡(luò)管理軟件大多支持自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涞墓π?，但是自?dòng)發(fā)現(xiàn)后的網(wǎng)絡(luò)拓?fù)渫侵T多設(shè)備圖標(biāo)的簡(jiǎn)樸排放，不能突出重點(diǎn)設(shè)備和網(wǎng)絡(luò)層次，使網(wǎng)絡(luò)管理人員感覺(jué)無(wú)從下手。針對(duì)這種狀況，H3CiMC的拓?fù)涔πеС朱`活的自定義功效，管理人員能夠根據(jù)網(wǎng)絡(luò)的實(shí)際組網(wǎng)狀況和設(shè)備重要性的不同靈活定制網(wǎng)絡(luò)拓?fù)?，可?duì)拓?fù)鋱D進(jìn)行增、刪、改等編輯操作，使網(wǎng)絡(luò)拓?fù)淠軌蚯逦爻尸F(xiàn)整個(gè)公司的網(wǎng)絡(luò)構(gòu)造以及IT資源分布。H3CiMC支持靈活定制拓?fù)鋱D，使網(wǎng)絡(luò)拓?fù)涓兄攸c(diǎn)和層次感。管理員能夠按照關(guān)注設(shè)備不同，管理角度不同定義多個(gè)拓?fù)?，并能夠針?duì)拓?fù)洳煌x擇不同的背景圖；管理員能夠根據(jù)網(wǎng)絡(luò)設(shè)備的重要性不同，鏈路速率不同采用適宜的圖標(biāo)顯示。自動(dòng)識(shí)別多個(gè)網(wǎng)絡(luò)設(shè)備和主機(jī)的類型H3CiMC能夠自動(dòng)識(shí)別H3C、華為、Cisco、3com等廠商的設(shè)備、Windows、Solaris的PC和工作站、其它SNMP設(shè)備和ping設(shè)備，并且以樹形方式組織，以不同的圖標(biāo)顯示辨別。在拓?fù)鋱D上更可進(jìn)一步對(duì)設(shè)備的類型進(jìn)行辨別，如辨別路由器、交換機(jī)、安全網(wǎng)關(guān)、存儲(chǔ)設(shè)備、監(jiān)控設(shè)備、無(wú)線設(shè)備、語(yǔ)音設(shè)備、打印機(jī)、UPS、服務(wù)器、PC等等。設(shè)備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓?fù)鋱D上的直觀顯示H3CiMC的拓?fù)涔πc故障管理和性能管理緊密融合，使拓?fù)鋱D能夠清晰地看到公司IT資源的狀態(tài)，涉及運(yùn)行與否正常、網(wǎng)絡(luò)帶寬、接口連通、配備變化都能一目了然。多個(gè)顏色辨別不同級(jí)別故障，根據(jù)節(jié)點(diǎn)圖標(biāo)顏色反映設(shè)備狀態(tài)。拓?fù)淠芴峁┰O(shè)備管理便捷入口H3CiMC拓?fù)淠軌蛱峁?duì)設(shè)備管理的便捷入口，管理員只需通過(guò)右鍵點(diǎn)擊拓?fù)鋱D中的設(shè)備圖標(biāo)即可啟動(dòng)設(shè)備管理各項(xiàng)功效，實(shí)現(xiàn)對(duì)設(shè)備的面板管理等各項(xiàng)功效配備。故障（告警/事件）管理故障管理，即告警/事件管理，是H3CiMC的核心模塊，是iMC智能管理平臺(tái)及其它業(yè)務(wù)組件統(tǒng)一的告警中心。以下圖所示，以故障管理流程為引導(dǎo)，介紹H3CiMC強(qiáng)大的故障管理能力：告警發(fā)現(xiàn)和上報(bào)iMC告警中心能夠按收多個(gè)告警源的告警事件，涉及設(shè)備告警、本級(jí)網(wǎng)管站及下級(jí)網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、網(wǎng)絡(luò)配備監(jiān)視告警、網(wǎng)絡(luò)流量異常監(jiān)視告警、終端安全異常告警等；同時(shí)通過(guò)支持對(duì)設(shè)備定時(shí)輪詢，實(shí)現(xiàn)通斷告警、響應(yīng)時(shí)間告警等，以告警事件的方式上報(bào)給H3CiMC告警中心；設(shè)備告警涉及電源電壓、設(shè)備溫度、電扇等告警事件，設(shè)備冷啟動(dòng)、熱啟動(dòng)、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）變化，熱備份路由（HSRP）狀態(tài)變化等告警事件，支持對(duì)H3C、CISCO、華為、3COM等多廠商設(shè)備告警的識(shí)別和解析；網(wǎng)管站告警指涉及本級(jí)iMC系統(tǒng)集群服務(wù)器的異常告警，涉及CPU運(yùn)用率、內(nèi)存使用率、iMC服務(wù)程序運(yùn)行狀態(tài)等以及下級(jí)iMC系統(tǒng)上報(bào)的告警事件；網(wǎng)絡(luò)性能監(jiān)視涉及CPU運(yùn)用率，內(nèi)存使用率，以及RMON告警的故障管理。網(wǎng)絡(luò)配備監(jiān)視告警涉及設(shè)備軟件版本、配備信息變更等告警事件，并通過(guò)iMC智能配備中心組件（iMCiCC）實(shí)現(xiàn)配備文獻(xiàn)定時(shí)檢查，實(shí)現(xiàn)配備變更告警事件。網(wǎng)絡(luò)流量異常監(jiān)視告警通過(guò)iMC網(wǎng)絡(luò)流量分析組件（iMCNTA）實(shí)現(xiàn)網(wǎng)絡(luò)中異常流量告警，涉及對(duì)設(shè)備及接口異常流量、主機(jī)IP地址異常流量和應(yīng)用異常流量的告警，支持二級(jí)閾值告警定義；終端安全異常告警通過(guò)iMC端點(diǎn)準(zhǔn)入防御組件（iMCEAD）實(shí)現(xiàn)對(duì)終端顧客安全異常的告警，涉及ARP攻擊告警、終端異常流量告警及其它終端不安全告警；iMC定時(shí)輪詢告警指通過(guò)iMC的資源管理模塊對(duì)設(shè)備接口信息定時(shí)進(jìn)行輪循，并及時(shí)上報(bào)通斷告警、響應(yīng)時(shí)間告警等告警事件。告警深度關(guān)聯(lián)分析與統(tǒng)計(jì)iMC告警中心根據(jù)告警腳本中的告警事件定義，接受并解析上報(bào)的告警事件；H3CiMC對(duì)接受到的告警事件進(jìn)行深度關(guān)聯(lián)分析，系統(tǒng)缺省支持重復(fù)事件閾值告警、閃斷事件閾值告警、未知事件閾值告警、未管理設(shè)備告警閾值告警，并能在故障恢復(fù)時(shí)自動(dòng)確認(rèn)有關(guān)告警；同時(shí)顧客能夠根據(jù)自己的需要擬定事件的告警規(guī)則，以適應(yīng)網(wǎng)絡(luò)管理需要。重復(fù)事件閾值告警：屏蔽重復(fù)接受到的相似事件，并可在達(dá)成閾值條件時(shí)產(chǎn)生新告警告知顧客。閃斷事件閾值告警：分析接受到的閃斷事件，并可在達(dá)成閾值條件時(shí)產(chǎn)生新告警告知顧客。未知事件閾值告警：屏蔽接受到的未知事件，并可在達(dá)成閾值條件時(shí)產(chǎn)生新告警告知顧客。未管理設(shè)備告警閾值告警：屏蔽接受到的未管理設(shè)備事件，并可在達(dá)成閾值條件時(shí)產(chǎn)生新告警告知顧客。自定義事件過(guò)濾規(guī)則：顧客自定義的事件過(guò)濾規(guī)則，顧客可指定在什么時(shí)間范疇內(nèi)、對(duì)什么樣的告警進(jìn)行過(guò)濾。iMC系統(tǒng)預(yù)定義缺省支持各類深度分析后告警事件關(guān)聯(lián)升級(jí)為告警的生成規(guī)則，同時(shí)，管理員能夠自定義由告警事件升級(jí)為告警的規(guī)則，可從事件、事件核心字、事件源、時(shí)間范疇四個(gè)方面進(jìn)行規(guī)則定義，一旦定義事件升級(jí)為告警規(guī)則后，iMC告警中心會(huì)根據(jù)定義的規(guī)則關(guān)聯(lián)分析后生成不同級(jí)別的告警（告警共分成緊急、重要、次要、警告、事件5個(gè)級(jí)別；在瀏覽數(shù)據(jù)窗口，分別以紅色、橙色、黃色、藍(lán)色、灰色五種顏色進(jìn)行顯示），將管理員從繁多的告警事件中解脫出來(lái)，避免產(chǎn)生告警風(fēng)暴，讓管理員能用心關(guān)注告警的本源。實(shí)時(shí)告警H3CiMC提供多個(gè)方式將告警告知給管理員，涉及：實(shí)時(shí)遠(yuǎn)程告警：通過(guò)手機(jī)短信或Email郵件的方式，將告警及時(shí)告知管理員，實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)的監(jiān)控和管理；分類、聲光告警板，按故障類別及等級(jí)實(shí)時(shí)告警，讓管理員通過(guò)告警板不僅及時(shí)懂得告警產(chǎn)生，同時(shí)能夠理解產(chǎn)生的告警的類別和等級(jí)：實(shí)時(shí)告警瀏覽和確認(rèn)，通過(guò)告警首頁(yè)對(duì)現(xiàn)在故障未排除的告警實(shí)時(shí)刷新并提供故障排除確認(rèn)的入口：故障解決H3CiMC對(duì)多個(gè)故障警均提供“修復(fù)建議”，管理員能夠參考修復(fù)建議對(duì)故障進(jìn)行解決。在故障得到解決后，通過(guò)對(duì)告警確實(shí)認(rèn)完畢故障的恢復(fù)確認(rèn)。固化經(jīng)驗(yàn)H3CiMC提供告警知識(shí)庫(kù)。告警知識(shí)是顧客在維護(hù)過(guò)程中的經(jīng)驗(yàn)總結(jié)，將這些經(jīng)驗(yàn)輸入系統(tǒng)，下次再出現(xiàn)同樣的故障時(shí)，能夠作為參考。顧客選中一條告警統(tǒng)計(jì)，系統(tǒng)根據(jù)顧客選中的告警統(tǒng)計(jì)，從告警知識(shí)庫(kù)中查詢出該條告警統(tǒng)計(jì)的維護(hù)經(jīng)驗(yàn)，供顧客進(jìn)行告警解決進(jìn)行參考。顧客將自己的日常解決經(jīng)驗(yàn)以及業(yè)務(wù)信息及時(shí)寫入數(shù)據(jù)庫(kù)、更新告警知識(shí)庫(kù)對(duì)后來(lái)的故障診療與排除非常有益。性能管理H3CiMC網(wǎng)管系統(tǒng)提供豐富的性能管理功效，同時(shí)以直觀的方式顯示給顧客。例如：能夠提供折線圖、方圖、餅圖等多個(gè)顯示方式并能生成對(duì)應(yīng)的報(bào)表。通過(guò)性能任務(wù)的配備，可自動(dòng)獲得網(wǎng)絡(luò)的多個(gè)現(xiàn)在性能數(shù)據(jù)，并支持設(shè)立性能的閾值，當(dāng)性能超出閾值時(shí)，網(wǎng)絡(luò)以告警的方式告知告警中心:支持AtaGlance、TopN功效，顧客能夠?qū)PU運(yùn)用率、流量等核心指標(biāo)一目了然；提供各類慣用性能指標(biāo)的缺省采集模板；支持實(shí)時(shí)性能監(jiān)視，支持二級(jí)閾值告警設(shè)立,當(dāng)鏈路或端口的流量超出閾值，系統(tǒng)將會(huì)發(fā)送性能告警，使網(wǎng)絡(luò)管理人員能夠能夠及時(shí)理解網(wǎng)絡(luò)中的隱患，及時(shí)消除隱患。同時(shí)為故障定位提供手段；提供基于歷史數(shù)據(jù)的分析，為顧客擴(kuò)容網(wǎng)絡(luò)、及早發(fā)現(xiàn)網(wǎng)絡(luò)隱患提供保障；支持餅圖、折線圖、曲線圖等多個(gè)圖形方式，直觀地反映性能指標(biāo)的變化趨勢(shì)；提供靈活的組合條件統(tǒng)計(jì)和查詢；性能報(bào)表支持導(dǎo)出Html、Txt、Excel、Pdf格式文獻(xiàn)：圖形化設(shè)備管理H3CiMC支持對(duì)H3C全系列IP產(chǎn)品進(jìn)行設(shè)備管理，提供豐富的管理功效。通過(guò)面板管理，網(wǎng)絡(luò)管理人員能夠直觀地看到設(shè)備、板卡、端口的工作狀態(tài)，通過(guò)設(shè)備信息瀏覽監(jiān)視，管理人員能夠理解設(shè)備的運(yùn)行狀況，實(shí)時(shí)監(jiān)視CPU運(yùn)用率、端口運(yùn)用率等重要信息。同時(shí)，H3CiMC提供圖形化的配備方式，使設(shè)備功效配備不再?gòu)?fù)雜。H3CiMC向顧客提供了完善的網(wǎng)元管理功效，通過(guò)逼真的面板圖片，直觀地反映了設(shè)備運(yùn)行狀況。通過(guò)面板圖標(biāo)直觀地反映設(shè)備的框、架、槽、卡、電扇、CPU、端口等核心部件的運(yùn)行狀態(tài)；能夠查看、設(shè)立設(shè)備端口狀態(tài)；能夠查看路由、VLAN等配備信息；能夠查看端口流量、丟包率、錯(cuò)包率等核心統(tǒng)計(jì)數(shù)據(jù)；支持對(duì)H3C交換機(jī)堆疊能力的管理；通過(guò)Ping、Traceroute等功效測(cè)試現(xiàn)在網(wǎng)絡(luò)鏈路的健康狀況；支持從設(shè)備列表、設(shè)備具體信息、拓?fù)涞榷鄠€(gè)入口打開設(shè)備面板。集中配備管理H3CiMC提供設(shè)備配備文獻(xiàn)管理、設(shè)備升級(jí)管理及統(tǒng)一布署任務(wù)管理。設(shè)備配備庫(kù)管理H3CiMCiCC組件提供配備庫(kù)管理功效，協(xié)助管理員對(duì)設(shè)備配備文獻(xiàn)形成基線庫(kù)，并進(jìn)行集中管理。設(shè)備配備庫(kù)涉及配備文獻(xiàn)和配備片斷，配備內(nèi)容可帶有參數(shù)，在布署時(shí)根據(jù)設(shè)備的差別設(shè)立不同的值。系統(tǒng)缺省提供慣用的配備片斷：提供某些慣用的基本的配備片斷，涉及刪除SNMP團(tuán)體字、添加只讀SNMP團(tuán)體字、刪除NTPServer、增加NTPServer、取消本地顧客服務(wù)級(jí)別、取消本地顧客服務(wù)、刪除本地顧