醫(yī)院智能化計算機網絡系統(tǒng)建設技術方案

醫(yī)院智能化計算機網絡系統(tǒng)建設技術方案網絡方案建議*****醫(yī)院信息化網絡建設項目將實現(xiàn)*****醫(yī)院辦公、應用、管理、有線無線一體化等各項功能，使網絡適應用戶業(yè)務的發(fā)展，實現(xiàn)網絡應用、管理及辦公的自動化，提高工作效率，降低運營成本。利用目前先進的網絡設備建設現(xiàn)代化辦公環(huán)境，將網絡所帶來的便利引入到工作中，高速網絡及無線網絡的應用將提高網絡在工作環(huán)境的滿意度。為了實現(xiàn)上述目標，在本次網絡建設項目中，網絡建設將本著高可靠、高安全、高效率、高擴展性，建設先進的、成熟的、穩(wěn)定的辦公網絡。網絡總體設計構建策略為切實達到以上的網絡設計原則，實現(xiàn)*****醫(yī)院網絡建設目標，使*****醫(yī)院網絡系統(tǒng)具有良好的擴展性和靈活的接入能力，并易于管理，易于維護，在網絡設計及構建中采用網絡“模塊化”設計，即按照網絡需要實現(xiàn)的功能與作用，對網絡進行功能模塊的劃分，形成多個實現(xiàn)不同功能的區(qū)域。網絡管理區(qū)將對網絡的性能、安全的各方面提供監(jiān)控及管理，將成為本次網絡建設的重點內容。無線接入點采用華三的“瘦”AP，通過無線控制器對AP進行控制。該產品大大減化了無線網絡的配置及管理成本。同時，可以實現(xiàn)有線、無線安全策略的無縫連接。網絡拓撲圖相關設備性能介紹*****路由器*****產品（以下簡稱SR6602-X）是H3C自主研發(fā)面向中高端企業(yè)網、校園網用戶的緊湊型綜合業(yè)務網關路由器，定位于中大型企業(yè)、校園網、網吧的VPN、NAT、IPSec等綜合業(yè)務網關使用，同時，也可以應用中型縱向網絡匯聚、高端企業(yè)用戶大型分支和運營商可管理高性能CPE市場，配合H3C其他網絡產品為政府、電力、金融、公共事業(yè)、運營商和大中型企業(yè)用戶提供全方位網絡解決方案。*****萬兆網關模式是SR6602-X提供的一種設備工作模式，該工作模式針對校園網出口、企業(yè)網出口、網吧等應用的特點和性能需求，做了專門的優(yōu)化，將出口網關的NAT轉發(fā)性能一舉突破萬兆，并且在網關特性的功能和性能二者之間達到了完美的平衡。*****率先在業(yè)界同類產品中提供雙萬兆以太網固定接口，憑借新一代更高性能的網絡多核處理芯片，可實現(xiàn)整機萬兆線速的處理性能。*****軟件上采用H3C成熟商用的ComwareV5操作系統(tǒng)，后期可以平滑升級到ComwareV7操作系統(tǒng)，硬件上采用新式靈活接口設計，在保證高性能和靈活配置的前提下，最大化保護用戶投資，充分滿足不同行業(yè)用戶組網需求。產品特性業(yè)界領先的開發(fā)理念*****雙萬兆網關基于業(yè)界領先緊湊型設計理念，在2U高設備上不僅集成高密度高速端口，支持FIP-20和FIP-10靈活接口設計，還實現(xiàn)了可插拔冗余電源和模塊、風扇可插拔功能，在保證設備高可靠性、網絡配置靈活性的同時確保業(yè)務模塊的兼容性，最大限度保護用戶投資。*****萬兆網關采用高性能多核處理器作為NAT業(yè)務處理引擎，多核多線程處理器的應用，使SR6602-X萬兆網關具備高性能和靈活性等特點，從而在并行處理各種復雜的NAT業(yè)務同時能夠實現(xiàn)數據的高速轉發(fā)。新一代網絡操作系統(tǒng)*****雙萬兆網關可以平滑升級到新一代的ComwareV7網絡操作系統(tǒng)。ComwareV7控制平面采用多核及SMP(SymmetricalMulti-Processing對稱多處理)技術，各軟件模塊有獨立的運行空間，可以動態(tài)加載、單獨升級，支持ISSU。ComwareV7能夠保證關鍵業(yè)務性能及實時性。支持指定進程集合運行在專有的CPU上，為關鍵任務的運行提供資源保障、線程的搶先調度及合理的優(yōu)先級設置，保證系統(tǒng)CPU負荷高時，有實時性要求的功能仍然可以及時響應事件進行處理。ComwareV7能夠提供良好的進程級可靠性。支持進程內存保護、進程級重啟、進程級備份、進程級補丁等技術。先進的虛擬化技術*****雙萬兆網關支持虛擬化IRF2，可以把多臺SR6602-X設備虛擬成一臺邏輯設備，統(tǒng)一控制平面、統(tǒng)一轉發(fā)平面，可以減少網元節(jié)點數量、簡化網絡配置、提高網絡可靠性。*****雙萬兆網關支持虛擬路由器MDC，把一臺SR6602-X通過軟件虛擬化成多臺邏輯網絡設備，硬件上虛擬設備享有獨立的CPU、內存、板卡等資源，軟件上虛擬設備享有獨立的控制平面、數據平面和管理平面，虛擬路由器之間相互獨立、互不影響，為用戶提供彈性擴展的租用邏輯網絡。超高的NAT業(yè)務性能SR6602-X的網關模式具有雙萬兆的強大NAT業(yè)務性能：SR6602-X網關模式NAT會話數最高支持400萬；在疊加NAT、防火墻以及策略路由等常見網關應用的情況下，256字節(jié)報文轉發(fā)性能可以達到15Gbps。在并發(fā)200萬NAT連接時，256字節(jié)以及IMIX互聯(lián)網混合報文的NAT轉發(fā)性能仍然仍可超10Gbps。SR6602-X強大的NAT轉發(fā)性能，完全可以滿足各種超大型園區(qū)網出口的性能要求，并能滿足用戶今后出口帶寬擴容需求。靈活的出口選擇技術作為網關出口經常要面對雙出口或多出口的情況，SR6602-X的網關模式支持靈活的出口選擇技術：在內部用戶訪問Internet方向，采用靈活的路徑選擇技術，可以根據出口網絡資源利用情況、內部用戶的訪問需求、目的網絡地址所屬運營商、基于用戶應用等因素，規(guī)劃網關出口的選擇；在Internet用戶訪問內部服務器方向，可以根據Internet用戶入內部網絡的運營商線路，智能選擇該用戶回程流量的運營商線路，保證入出網關流量的路徑一致；另外，在多出口場景時，還可以基于EAA功能解決個別出口超負載后的流量調整問題。針對出口鏈路設定一定的閾值，達到閾值后可以調整部分流量到負載較為空閑的鏈路上。強大的帶寬控制能力在網關應用中，隨著P2P、多線程FTP等應用的不斷普及，這些多線程的應用正在越來越多的吞噬著本來就非常有限的出口帶寬資源，如果不對這些應用加以限制，它們會消耗全部的帶寬資源，使關鍵業(yè)務應用無法正常開展。SR6602-X萬兆網關提供了強大的帶寬控制能力：SR6602-X的網關模式支持實用的NAT連接數限制功能：網絡管理員可以靈活設定用戶可使用的并發(fā)連接數上限，這樣當多個用戶上網時，不會發(fā)生因某一用戶過多開啟上網應用系統(tǒng)而導致侵占其它用戶連接數資源。SR6602-X的網關模式還可以對網絡中一臺主機的特定協(xié)議進行連接數限制，如內網Web服務器的HTTP連接數，從而避免內網服務器受到flood攻擊，同時也提升了服務器對外部訪問的及時響應。支持靈活的每用戶限速功能：可以根據需要對內網的個別IP地址、IP網段進行限速，每個用戶的帶寬可以設為一個固定值或者網段所有用戶平均分享出口總帶寬。通過帶寬的控制能力可以將用戶的可用帶寬限制在一個合理的范圍內，防止個別用戶無限制消耗出口帶寬資源。SR6602-X萬兆網關還支持強大的QoS擁塞管理功能：通過配置CBWFQ等隊列技術，即使在出口極度擁塞的情況下，也能保證網絡關鍵業(yè)務的帶寬和時延。主備網絡的帶寬管理：充分利用備份網絡資源，主網絡資源緊張的情況下，根據事先設定好的策略，將一部分數據流量重路由到備份網絡上進行數據傳輸，使閑置的資源可以得到充分利用達到100%使用；UCMP非平衡鏈路負載均衡：UCMP區(qū)別于傳統(tǒng)的ECMP，其最大特點是利用權重值來區(qū)別對待帶寬的使用，使得兩條不同帶寬的出口，可根據帶寬大小不同來承擔不同的數據流量傳輸；完善的傳統(tǒng)VPN網關作為大型企業(yè)的出口網關設備，在部署NAT功能的同時，還可能需要部署各種VPN應用。SR6602-X萬兆網關全面支持GRE、L2TP、IPSec等VPN功能，借助多核處理器內嵌的強大加密引擎，可以為用戶提供大容量、高性能的安全VPN接入。在硬件上支持獨立的硬件加密內核，在不增加用戶投資的前提下可提供8GbpsIPSec數據加密處理能力，6000條IPSec隧道、32000條L2TP隧道、4000條GRE隧道，高性能的加密能力以及超大的隧道容量可以滿足各種大型加密網關的要求，保證用戶數據在廣域網的傳輸安全。技術領先的ADVPN和GDVPNKS網關傳統(tǒng)VPN技術在靈活性和可維護性上還存在著不足，例如企業(yè)分支機構通常采用動態(tài)地址接入公共網絡，通信一方無法事先知道對端公網地址，以及全連接時配置的12N2'>問題等等。H3C針對上述用戶業(yè)務需求，提供專業(yè)ADVPN（AutoDiscoveryVirtualPrivateNetwork，動態(tài)虛擬專用網絡）解決方案和GroupDomainVPN（GroupDomainVirtualPrivateNetwork，組域虛擬專用網絡）是一種實現(xiàn)密鑰和安全策略集中管理的VPN解決方案。ADVPN是通過VAM（VPNAddressManagement，VPN地址管理）協(xié)議收集、維護和分發(fā)動態(tài)變化的公網地址等信息，解決無法事先獲得通信對端公網地址的問題。ADVPN可以在企業(yè)網各分支機構使用動態(tài)地址接入公網的情況下，在各分支機構間建立VPN。在組網的靈活性以及維護工作量精簡都有大幅提高，此外還提供很多豐富的特性，例如：ADVPN報文的NAT穿越、安全認證、IPSec的報文加密以及多VPN域等等。GroupDomainVPN是一種實現(xiàn)密鑰和安全策略集中管理的VPN解決方案。傳統(tǒng)的IPsecVPN是一種點到點的隧道連接，而GroupDomainVPN是一種點到多點的無隧道連接。GroupDomainVPN主要用于保護組播流量，例如音頻、視頻廣播和組播文件的安全傳輸。GroupDomainVPN提供了一種基于組的IPsec安全模型。GroupDomainVPN由KS（KeyServer，密鑰服務器）和GM（GroupMember，組成員）組成。SR6602-X萬兆網關不僅可以充當GM角色，更可以充當KS網關.。GDVPN相比較傳統(tǒng)的IPsecVPN，GroupDomainVPN具有如下優(yōu)點：網絡擴展性強。傳統(tǒng)的IPsecVPN中，每對通信對等體之間都需要建立IKESA和IPsecSA，管理復雜度為12N2'>，而GroupDomainVPN中所有組成員之間共用一對IPsecSA，管理復雜度低，可擴展性更好。無需改變原有路由部署。傳統(tǒng)的IPsecVPN是基于隧道的VPN連接，由于封裝了新的IP頭，需要重新部署路由。GroupDomainVPN不需修改報文IP頭，報文外層封裝的新的IP頭與內層的原IP頭完全相同，因此，不需要改變原有部署的路由。更好的QoS處理。傳統(tǒng)的IPsecVPN由于在原有IP報文外封裝了新的IP頭，報文在網絡中傳輸時，需要重新配置QoS策略。GroupDomainVPN保留了原有的IP頭，網絡傳輸時可以更好地實現(xiàn)QoS處理。組播效率更高。由于傳統(tǒng)的IPsecVPN是點到點的隧道連接，當需要對組播報文進行IPsec保護時，本端需要向組播組里的每個對端均發(fā)送一份加密報文，因此組播效率低。GroupDomainVPN是無隧道的連接，只需對組播報文進行一次加密即可，本端無需單獨向每個對端發(fā)送加密報文，組播效率高?？商峁゛ny-to-any的連通性。所有組成員共用一對IPsecSA，同一個組中的任意兩個組成員之間都可以實現(xiàn)報文的加密和解密，真正實現(xiàn)了所有節(jié)點之間的互聯(lián)。全方位的網絡安全防護SR6602-X內置多種安全特性，為用戶的網絡提供全方位安全防護：全面的防火墻功能：支持包過濾防火墻、狀態(tài)防火墻，過濾各種攻擊報文，并能提供過濾日志。特有的ACL加速算法，消除了ACL過濾規(guī)則數目對防火墻性能的影響；全面的內置防攻擊手段：支持各種ARP防攻擊技術，如：ARP限速、ARPProxy、授權ARP、ARP主動確認、ARP源MAC一致性檢查等等，可以很好地防范內網中日益猖獗的ARP攻擊，保證網絡業(yè)務運行的穩(wěn)定性；單包攻擊防范：可以對Fraggle、ICMPRedirect、ICMPUnreachable、LAND、LargeICMP、RouteRecord、Smurf、SourceRoute、TCPFlag、Tracert、WinNuke等單包攻擊行為進行有效防范；掃描攻擊防范：攻擊者運用掃描工具對網絡進行主機地址或端口的掃描，通過準確定位潛在目標的位置，探測目標系統(tǒng)的網絡拓撲結構和啟用的服務類型，為進一步侵入目標系統(tǒng)做準備；泛洪攻擊防范：有效阻止SYNFlood攻擊、ICMPFlood攻擊、UDPFlood黑名單功能：根據報文的源IP地址進行報文過濾的一種攻擊防范特性。同基于ACL（AccessControlList，訪問控制列表）的包過濾功能相比，黑名單進行報文匹配的方式更為簡單，可以實現(xiàn)報文的高速過濾，從而有效地將特定IP地址發(fā)送來的報文屏蔽掉；流量統(tǒng)計輔助攻擊防范：主要用于對內外部網絡之間的會話建立情況進行統(tǒng)計與分析，具有一定的實時性，可幫助網絡管理員及時掌握網絡中各類型會話的統(tǒng)計值，并可作為制定攻擊防范策略的一個有效依據；支持URL過濾，避免用戶訪問非法網站；完備的用戶行為跟蹤記錄：支持完善的日志功能，配合H3C公司的iMCUBAS（用戶行為審計）解決方案，使網絡管理員可以方便監(jiān)控上網用戶的行為，保證網絡安全運行。良好的接口擴展性*****網關路由器憑借靈活接口平臺設計具備強大的擴展能力。FIP-10可同時支持4個多功能接口模塊（MIM），F(xiàn)IP-20可以同時支持2個高速接口模塊（HIM）或2個多功能接口模塊（MIM），并支持HIM和MIM接口模塊之間混插。SR6602-X網關模式可以支持FE、GE以及10GE等多種速率的以太接口卡，在接口介質上可以支持電口和SFP光口，光口還可以支持百兆、千兆自適應。用戶按需購買，應用靈活方便。強大的路由處理能力*****網關路由器支持大容量路由轉發(fā)表項，同時支持豐富的路由策略和強大的策略路由功能，可對網絡流量進行靈活的控制和調度，滿足行業(yè)和運營商用戶不同業(yè)務特性要求。此外，*****還全面支持基于IPv4/IPv6靜態(tài)路由和動態(tài)路由協(xié)議，如：RIP/RIPng、OSPF/OSPFv3、IS-IS/IS-ISv6、BGP/BGP4+等。運營級可靠性設計SR6602-X秉承高端設計理念給用戶提供全面的可靠性保障：在硬件上，提供可插拔電源冗余設計，支持交流或直流電源輸入，保證用戶在一路電源故障的情況下能夠繼續(xù)運行設備；支持全部接口模塊的熱插拔功能，確保用戶在不間斷業(yè)務的情況下插拔或者更換單獨的模塊，并提供熱補丁技術，實現(xiàn)軟件平滑升級。支持MPLSTEFRR（FastReRoute，快速重路由），具備快速路由備份（FRB：FastRoutingBackup）特色功能，并結合BFD功能，實現(xiàn)故障鏈路的快速切換。支持IPFRR（FastReRoute，快速重路由），可以和靜態(tài)路由/策略路由/RIP/IS-IS/OSPF進行聯(lián)動，并可以結合BFD功能，實現(xiàn)故障鏈路的快速路由切換。支持IGP快速收斂。支持虛擬路由冗余協(xié)議（VRRP），結合BFD故障檢測機制，實現(xiàn)快速的VRRP倒換能力。此外，還支持增強型虛擬路由冗余協(xié)議（VRRPE），可實現(xiàn)多個虛擬路由器的負載分擔功能。支持OSPF/IS-IS/BGP/MPLSLDP/MPLSRSVP-TEGR(GracefulRestart，完美重啟)功能實現(xiàn)主備引擎倒換時不間斷轉發(fā)。H3CSecPathF1000-S-G防火墻SecPath系列產品是H3C公司為企業(yè)和運營商用戶設計的專業(yè)網絡安全產品，通過將強大安全抵御功能、專業(yè)VPN服務和智能網絡特性無縫集成在一個硬件平臺上，不但能為用戶提供廣泛和深入的安全防護和安全連接功能，同時可以降低與安全相關的總體擁有成本以及部署的復雜程度，是網絡安全解決方案的理想選擇。SecPath系列產品作為H3C公司iSPN（智能安全滲透網絡）解決方案的重要組成部分，已經成為H3C公司IToIP核心理念中的IP自適應安全網絡的堅實基礎。SecPathF1000-S-G是H3C公司面向大中型企業(yè)用戶開發(fā)的新一代專業(yè)防火墻設備。支持外部攻擊防范、內網安全、流量監(jiān)控、郵件過濾、網頁過濾、應用層過濾等功能，能夠有效的保證網絡的安全；采用ASPF（ApplicationSpecificPacketFilter）應用狀態(tài)檢測技術，可對連接狀態(tài)過程和異常命令進行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網絡管理監(jiān)控，協(xié)助網絡管理員完成網絡的安全管理；支持多種VPN業(yè)務，如L2TPVPN、GREVPN、IPSecVPN、SSLVPN等，可以構建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由。SecPathF1000-S-G防火墻充分考慮網絡應用對高可靠性的要求，采用互為冗余備份的雙電源（1＋1備份）模塊，支持交、直流輸入電源模塊；支持雙機狀態(tài)熱備，支持Active/Active和Active/Passive兩種工作模式。提供機箱內部環(huán)境溫度檢測功能，并支持網管。產品特性市場領先的安全防護功能增強型狀態(tài)安全過濾：支持基礎、擴展和基于接口的狀態(tài)檢測包過濾技術，支持按照時間段進行過濾；支持H3C特有ASPF應用層報文過濾（ApplicationSpecificPacketFilter）協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數據包，支持對FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245，RTP/RTCP等）應用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應用的狀態(tài)監(jiān)控?？构舴婪赌芰Γ喊ǘ喾NDoS/DDoS攻擊防范、ARP欺騙攻擊的防范、提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能；靜態(tài)和動態(tài)黑名單功能；MAC和IP綁定功能；支持智能防范蠕蟲病毒技術。應用層內容過濾：支持IPS以及AV防病毒功能，能夠有效精準的進行入侵檢測；支持郵件過濾，提供SMTP郵件地址、標題、附件和內容過濾；支持網頁過濾，提供HTTPURL和內容過濾；支持應用層過濾，提供Java/ActiveXBlocking和SQL注入攻擊防范。多種安全認證服務：支持RADIUS和HWTACACS協(xié)議及域認證；支持基于PKI/CA體系的數字證書（X.509格式）認證功能；在PPP線路上支持CHAP和PAP驗證協(xié)議；支持用戶身份管理，不同身份的用戶擁有不同的命令執(zhí)行權限；支持用戶視圖分級，不同級別的用戶賦予不同的管理配置權限。集中管理與審計：提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能。全面NAT應用支持：提供多對一、多對多、靜態(tài)網段、雙向轉換、EasyIP和DNS映射等NAT應用方式；支持多種應用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能，能夠有效解析報文內部所攜帶的IP地址并予以相應轉換，保證NAT設備兩端的應用層協(xié)議訪問正常。專業(yè)靈活的VPN服務支持L2TPVPN、GREVPN、IPSecVPN、SSLVPN等多種VPN業(yè)務模式。技術領先的IPv6支持IPv4/IPv6雙協(xié)議棧，并支持IPv6數據報文轉發(fā)、靜態(tài)路由、動態(tài)路由及組播路由等功能。支持IPv6各種過渡技術，包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道等。支持IPv6ACL、Radius等安全技術。智能網絡集成及QoS保證支持路由、透明及混合運行模式支持靜態(tài)路由協(xié)議支持RIPv1/2、OSPF、BGP動態(tài)路由協(xié)議支持路由策略及策略路由支持基于802.1qVLAN支持PPPoEClientDHCPClient/Server/Relay電信級設備高可靠性支持雙機狀態(tài)熱備功能，支持Active/Active和Active/Passive兩種工作模式，實現(xiàn)負載分擔和業(yè)務備份。支持機箱內部環(huán)境溫度自動檢測，并可通過網管自動采集告警信息。雙電源冗余備份。極具性價比的多業(yè)務特性集成鏈路負載均衡特性，通過鏈路狀態(tài)檢測、鏈路繁忙保護等技術，有效實現(xiàn)企業(yè)互聯(lián)網出口的多鏈路自動均衡和自動切換。一體化集成SSLVPN特性，滿足移動辦公、員工出差的安全訪問需求，不僅可結合USB-Key進行移動用戶的身份認證，還可與企業(yè)原有認證系統(tǒng)相結合、實現(xiàn)一體化的認證接入。智能圖形化的管理通過Web方式進行遠程配置管理。通過H3C網管軟件實現(xiàn)與網絡設備的統(tǒng)一管理。支持基于SNMP和TR-069協(xié)議的管理。通過IMCIVM組件對VPN進行動態(tài)和圖形化的業(yè)務管理和狀態(tài)監(jiān)控。H3CS7500E系列高端多業(yè)務路由交換機H3CS7500E(X)系列產品是*****（以下簡稱H3C公司）面向融合業(yè)務網絡的高端多業(yè)務路由交換機，該產品基于H3C自主知識產權的ComwareV5操作系統(tǒng)，以IRF2（IntelligentResilientFramework2，第二代智能彈性架構）技術為系統(tǒng)基石的虛擬化軟件系統(tǒng)，進一步融合MPLSVPN、IPv6、網絡安全、無線、無源光網絡等多種網絡業(yè)務，提供不間斷轉發(fā)、不間斷升級、優(yōu)雅重啟、環(huán)網保護等多種高可靠技術，在提高用戶生產效率的同時，保證了網絡最大正常運行時間，從而降低了客戶的總擁有成本（TCO）。H3CS7500E(X)符合“限制電子設備有害物質標準（RoHS）”，是綠色環(huán)保的路由交換機。產品特性豐富的業(yè)務，適應融合業(yè)務網絡發(fā)展趨勢基于IRF2（第二代智能彈性架構）技術的虛擬化架構H3CS7500E(X)面向數據中心技術的演進，推出了IRF2為代表的軟件虛擬化技術，提供2-4臺主機的協(xié)同工作、統(tǒng)一管理和不間斷維護功能；IRF2不僅成為數據中心交換設備高性能、虛擬化的關鍵技術，而且對于傳統(tǒng)企業(yè)網應用，IRF2所提供的高可靠性和無縫升級、擴展能力，也成為H3C用戶增值服務的重要組成部分；另外H3C的IRF2虛擬化技術還可根據組網的要求支持長距離（80KM）的普通以太網萬兆光纖堆疊。全面的MPLS、VPLS業(yè)務能力H3CS7500E(X)所有產品均支持Multi-VRF特性，可以作為MCE設備使用；支持三層的MPLSVPN和二層的MPLSVPN（Martini、Kompella）；支持MPLSOAM特性，方便用戶的管理和維護；與H3CMPLSVPNManager配合，實現(xiàn)圖形化的MPLS部署與維護。全面支持VPLS，VLL，還支持分層VPLS以及QINQ+VPLS接入方式，提供端到端2層VPN接入方案，支持MPLS/VPLS全線速轉發(fā)，滿足VPLS規(guī)模部署要求。高性能IPv4/IPv6業(yè)務能力H3CS7500E(X)支持IPv4/IPv6雙協(xié)議棧,支持多種隧道技術，支持IPv4/IPv6的組播技術，為用戶提供完善的IPv4/IPv6解決方案；H3CS7500E(X)采用分布式體系架構，實現(xiàn)IPv4/IPv6業(yè)務的線速無阻塞轉發(fā)；H3CS7500E(X)已經通過了信息產業(yè)部的IPv6入網認證和IPv6Ready第二階段認證，是成熟商用的IPv6產品。有線無線一體化，有源無源一體化H3CS7500E(X)集成的無線控制模塊提供豐富的業(yè)務能力，包括精細的用戶控制管理、完善的RF管理及安全機制、快速漫游、超強的QoS和對IPv6的支持等；無線控制模塊通過與安全策略服務器的聯(lián)動，實現(xiàn)對無線接入用戶的端點準入防御，提高了整網的安全性。H3CS7500E(X)是業(yè)界最高密度的以太網無源光網絡（EPON）設備，其提供高可靠的EPON系統(tǒng)，采用分布式體系結構、模塊化設計，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，具有電信級可靠性。EAD端點準入防護技術H3CS7500E(X)支持大容量的Portal認證功能，可以在數千用戶的局域網中做為EAD網關設備，為全網用戶提供EAD安全認證功能；可以在大中型的校園網中擔任匯聚/核心設備的同時，為學生宿舍區(qū)的認證計費提供Portal認證功能。全方位的安全保障，抵御多種網絡安全威脅三平面安全保障機制H3CS7500E(X)提供完善的安全防護機制，可從控制、管理、轉發(fā)三平面全面保障網絡的安全：在控制平面，內置協(xié)議報文攻擊識別模塊，防止TCN、ARP等協(xié)議報文攻擊，OSPF/BGP/IS-IS路由協(xié)議采用MD5驗證，防止非法路由更新報文導致的網絡癱瘓；在管理平面，SNMPv3網管協(xié)議，SSHV2，基于802.1x、AAA/Radius的用戶身份認證以及分級的用戶權限管理保證了設備管理的安全性；在轉發(fā)平面，支持IP、VLAN、MAC和端口等多種組合精細綁定；支持uRPF單播反向路徑轉發(fā)，防止非法流量訪問網絡，采用最長匹配逐包轉發(fā)機制，有效抵御病毒的攻擊。H3CS7500E(X)還支持內置的高性能防火墻、異常流量清洗等模塊，將專業(yè)的安全融入到交換機之中。有線無線全面支持EADH3CS7500E(X)是EAD端點準入防御解決方案的重要組成部分，S7500E(X)可以動態(tài)的接收來自安全策略服務器的控制策略，根據終端的安全狀態(tài)給予下發(fā)相應的訪問權限。H3CS7500E(X)既支持有線終端用戶的EAD，也支持無線終端用戶的EAD，能夠做到終端安全防范無漏洞。增強的ACL特性H3CS7500E(X)系列產品支持強大的ACL能力：支持標準和擴展ACL；支持基于VLAN的ACL，方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL，滿足金融等行業(yè)訪問權限嚴格控制的需求。電信級的高可靠性，保障用戶業(yè)務長期穩(wěn)定運行電信級高可靠性設計H3CS7500E(X)采用無單點故障設計，所有關鍵部件，如主控板、交換網、電源和風扇等采用冗余設計；無源背板避免了機箱出現(xiàn)單點故障；所有單板和電源模塊支持熱插拔功能；H3CS7500E(X)系列可以在惡劣的環(huán)境下長時間穩(wěn)定運行，達到99.999％的電信級可靠性。多業(yè)務高可靠性運行H3CS7500E(X)支持不間斷轉發(fā)和優(yōu)雅重啟，提供毫秒級的切換時間；支持等價路由，可幫助用戶建立多條等值路徑，實現(xiàn)流量的負載均衡及冗余備份；支持RRPP快速環(huán)網保護協(xié)議；支持Smart-Link協(xié)議，保證雙上行網絡拓撲的業(yè)務毫秒級快速切換。通過上述技術，H3CS7500E(X)可以在承載多業(yè)務的情況下不間斷運行，實現(xiàn)業(yè)務的永續(xù)?；贗RF2架構的HAIRF2技術可以把多臺S7500E(X)虛擬成一個“聯(lián)合設備”，使用和配置都如同一臺機器，而且擴展端口數量和交換能力，同時也通過多臺設備之間的互相備份增強了設備的可靠性，提供毫秒級的鏈路收斂能力。簡化了管理過程，降低管理成本，并可根據實際需求平滑擴容網絡容量。支持基于硬件的豐富的OAM故障檢測機制，實現(xiàn)毫秒級鏈路故障檢測。iMC智能管理中心平臺隨著網絡建設的不斷深入發(fā)展，除了單純的追求高帶寬、高速率外，安全的網絡、高效的網絡和可運營的網絡成為越來越多的用戶關注的焦點，網絡精細化管理也越來越深入人心，一套好的管理軟件無疑對網絡的精細化管理起到至關重要的作用?；诙嗄甑姆e累和對用戶網絡的深入理解，H3C智能管理中心（intelligenceManagementCenter，iMC）平臺（以下簡稱iMC平臺）為用戶提供了實用、易用的網絡管理功能，在網絡資源的集中管理基礎上，實現(xiàn)拓撲、故障、性能、配置、安全等管理功能，不僅提供功能，更通過流程向導的方式告訴用戶如何使用功能滿足業(yè)務需求，為用戶提供了網絡精細化管理最佳的工具軟件。對于設備數量較多、分布地域較廣并且又相對較為集中的網絡，iMC平臺提供分級管理的功能，有利于對整個網絡進行清晰分權管理和負載分擔。iMC平臺除了涵蓋網絡管理功能外，還是其他業(yè)務管理組件的承載平臺，共同實現(xiàn)了管理的深入融合聯(lián)動產品特性首頁個性化定制及大屏顯示支持各業(yè)務在首頁發(fā)布widget（WebWidget,中文譯名被稱作是微件,是一小塊可以在任意一個基于HTML的Web頁面上執(zhí)行的Web子頁面），每個widget具有折疊、還原、最大化、拖拉、關閉、新窗口打開、自動異步刷新等功能。支持用戶在自己的權限范圍內定制個性化主頁。支持通過高分辨率大屏幕監(jiān)視網絡運行情況，以便實時掌握網絡運行狀態(tài)，顯示的內容可根據管理員的需求進行定制。移動智能客戶端支持使用移動客戶端（智能手機、平板電腦）訪問iMC中的資源，以簡化網絡的日常管理和監(jiān)控，提升管理效率。當前版本的iMC支持iOS（iOS4.3或更高，iPhone、iPodtouch、iPad兼容）、Android（Android2.1update1或以上版本）操作系統(tǒng)的移動設備訪問。通過iMC移動智能客戶端，管理員可以查詢特定設備，瀏覽存在故障的設備信息及接口信息，對設備進行可達性測試（Ping，TraceRoute）等操作。全面的基礎資源管理更多的管理設備類型：除了傳統(tǒng)的路由器、交換機外，更能對網絡中的無線、安全、語音、存儲、監(jiān)控、服務器、打印機、UPS等設備進行管理，實現(xiàn)設備資源的集中化管理。多廠家設備的統(tǒng)一管理：除了對H3C的網絡設備管理外，iMC平臺還實現(xiàn)了對HP、3Com、華為、Cisco各廠家網絡設備的分類和識別；對設備狀態(tài)和基本信息的管理，不僅包含了設備的基本信息、接口信息、性能數據和告警信息，同時還可以在增加其他組件的情況下顯示擴展后的業(yè)務信息。支持對設備訪問參數的批量配置和校驗，提供對網絡設備資源的查找、修改、刪除和批量導入/導出功能；提供用戶的批量管理功能，包括：批量修改用戶附加信息、批量注銷用戶，以及批量用戶導入功能，節(jié)省操作員錄入時間。靈活快捷的自動發(fā)現(xiàn)算法：基于H3C專利的發(fā)現(xiàn)算法，iMC平臺不僅提供了快速自動發(fā)現(xiàn)方式，還提供了四種高級自動發(fā)現(xiàn)方式，包括路由方式、ARP方式、IPSecVPN方式、網段方式等，能快速、準確地發(fā)現(xiàn)網絡資源。直觀的設備面板管理：支持設備面板管理，所見即所得的顯示設備的資產組成和運行狀態(tài)。清晰的網絡設備資產管理：在將iMC平臺中管理的設備增加到網絡資產管理的同時，系統(tǒng)還會自動發(fā)現(xiàn)該設備上可以管理的配件信息，并將這些配件加入到網絡資產中進行管理，管理員可以對網絡資產信息進行修改，還可以查看該資產的子模塊信息、接口信息以及變更審計歷史信息。靈活的拓撲功能多種網絡拓撲視圖：除傳統(tǒng)的IP拓撲視圖外，iMC平臺還提供全網絡的拓撲視圖和自定義拓撲視圖，使用戶可以根據自己的組織結構、地域情況、甚至樓層情況清晰靈活地繪制出客戶化的網絡拓撲。在全網絡拓撲視圖中，用戶可以隨意組織和定制子圖。增強的二層拓撲：傳統(tǒng)實現(xiàn)的拓撲都是基于IP的三層拓撲，iMC平臺在此基礎上更支持二層拓撲，實現(xiàn)了同一個VLAN或者網段內部PC與網絡設備、二層網絡設備之間的互連關系，更方便直觀的體現(xiàn)了網絡中設備的互聯(lián)關系。數據中心機房、機架拓撲：iMC平臺支持按設備物理位置進行組織的數據中心機房和機架拓撲。通過此拓撲視圖，用戶可以很方便的找到設備在機房中所處位置，進而對設備物理實體進行管理維護。支持嵌入式拓撲：資源自定義視圖、IP視圖中實現(xiàn)設備的列表式管理和拓撲管理的融合，提升拓撲窗口切換的易用性。拓撲中支持添加任意的文字標簽。iMC首頁支持多個拓撲的同時展示。目前僅自定義拓撲和IP拓撲支持，其他業(yè)務拓撲可以擴展，每個拓撲顯示區(qū)域可以對顯示哪個拓撲進行配置。智能的告警管理直觀的故障列表：H3C智能管理中心能自動匯總全網中故障設備，形成故障設備列表，使管理員能快速、清晰的找到需要關注的故障設備。智能的告警關聯(lián)：提供對重復告警、突發(fā)的大流量告警、未知告警的自動過濾，用戶還可以自定義過濾規(guī)則，以有效壓縮海量網絡告警，使得管理員直接關注真正的網絡故障。告警根源分析和影響度分析：提供基于拓撲的區(qū)域告警根源分析，提供告警關聯(lián)分析，提供告警分組分析，有效屏蔽故障引起的海量表象告警，方便用戶快速定位、查找故障根源，確認故障影響的范圍。告警定義和Mib導入：在支持標準Trap以及H3C、華為、Cisco等主流廠商私有Trap基礎上，還提供新增及通過Mib導入Trap定義功能，方便快速地支持各廠商新Trap。豐富的告警轉發(fā)機制：除提供告警聲光提示、轉Email、轉短信等方式外，還可以針對不同的告警定義不同的提示內容以及對應維護參考，當再次出現(xiàn)同類告警后能直接對應到相應的維護參考。結合拓撲直觀的設備故障狀態(tài)監(jiān)控：與傳統(tǒng)的網管告警和拓撲狀態(tài)互相分離做法不同，使用顯著的顏色把故障狀態(tài)直觀的反映在拓撲中的設備和鏈路圖標上，用戶僅需要查看拓撲，即可知道網絡的整體運行狀態(tài)。Syslog接收與分析：iMC平臺支持多廠商設備的Syslog原始報文接收，提供日志瀏覽、查詢、導出及自動轉儲功能。并且可以根據預定義及用戶自定義規(guī)則對Syslog報文進行分析，將關鍵事件升級為告警，有效地幫助用戶在海量Syslog報文中及時發(fā)現(xiàn)網絡關鍵事件。安全事件聯(lián)動：iMC平臺對多廠商設備的Syslog報文進行分析，提取安全相關的關鍵信息（比如攻擊事件類型、攻擊源、攻擊目的），并根據安全控制策略，采取匹配的安全動作，比如關閉攻擊源網絡端口等。易用的性能管理一目了然的網絡TopN性能指標：CPU利用率、內存利用率、帶寬利用率、設備響應性能、設備不可達等是網絡性能管理中用戶最關注的幾項，iMC平臺通過TopN列表，使用戶能一目了然當前網絡中的性能瓶頸問題。性能視圖：用戶可靈活定制性能數據瀏覽視圖，分析網絡運行趨勢。性能視圖支持多指標多實例數據組合的展示，支持TopN明細表格、TopN柱圖、折線圖、柱狀圖、面積圖、匯總數據多種性能監(jiān)控數據展示方式。性能與告警的深度結合：iMC平臺支持對每一個性能指標設置兩級閾值，發(fā)送不同級別的告警。用戶可以根據告警信息直接了解到設備監(jiān)視指標的性能情況，有助于用戶隨時了解網絡的運行狀態(tài)，預測流量發(fā)展趨勢，合理優(yōu)化網絡。詳實的性能統(tǒng)計報表：利用采集到的性能數據信息，iMC平臺能對關鍵的性能監(jiān)控內容形成實用、詳實的統(tǒng)計報表，用戶可以直接打印這些報表，也可以將報表導成Excel、Html、PDF、Word等形式的文件。豐富的拓撲性能指標實時展示：iMC平臺支持在的拓撲中展示設備和鏈路性能監(jiān)控數據，用戶可為不同設備和鏈路定制不同展示指標。強大的配置管理資源化的配置和軟件管理：iMC平臺以資源管理的角度提供了配置模板庫和設備軟件庫的管理。配置模板庫維護網絡設備配置模板文件、用戶常用的配置模板片段兩種資源；配置模板文件可部署為設備的啟動配置或者運行配置；配置模板片斷可部署為設備的運行配置，也可通過啟用“下發(fā)命令后將設備運行配置保存為啟動配置”選項部署為啟動配置，并且配置內容可以帶有參數，在部署時根據設備的差異設置不同的值。設備軟件庫維護各類軟件文件。除了管理設備的版本軟件，還支持設備上各種業(yè)務的軟件管理（目前包括ONU軟件、ONU算法等設備軟件資源），從而實現(xiàn)設備軟件文件的統(tǒng)一管理。用戶可以將配置模板、設備軟件文件從系統(tǒng)中導出到本地系統(tǒng)，建立本地的配置、軟件文件資源備份；反過來也可以從本地文件中導入到iMC平臺中。集中化的設備配置和軟件信息展示：提供全網設備的配置文件、軟件版本信息集中式展示，包括設備的當前軟件版本、最新可用于升級的軟件版本、最近備份時間、是否已加入自動備份計劃等信息；可提供管理員對設備的集中操作包括設備配置部署、設備配置備份與恢復、設備軟件升級與恢復、設備空間管理、設備軟件基線化管理功能，極大的方便了管理員直觀的掌握當前網絡的配置和軟件版本?；€化的設備配置變更審計：通過配置備份歷史和軟件升級歷史的管理，實現(xiàn)基線化的設備配置變更審計功能，使配置文件管理和軟件升級管理具有了可回溯性。提供設備運行配置和啟動配置的基線化版本管理，將每個設備相關的配置文件劃分為三種版本：基線、普通、草稿。便于管理員識別、管理。并可快速恢復至基線配置。提供設備軟件基線化版本管理，每個設備可以指定一個基線版本，提供基線審計及快速恢復至基線版本功能。自動化的建立可追溯的網絡配置：通過啟動自動備份功能，幫助管理員周期性自動地完成設備配置的歷史備份，為用戶自動建立起可追溯的網絡配置。用戶可以針對不同的設備設置不同的備份周期和備份時間點，支持按天、周、月周期備份。支持網絡運行設備的配置變化檢查，一旦配置發(fā)生變化，立刻以告警方式通知管理員關注。豐富的VLAN管理iMC平臺的VLAN管理的功能包括：全網VLAN管理、VLAN設備管理、VLAN拓撲、VLAN批量部署等，同時提供詳細的VLAN操作結果報告，方便網管員跟蹤VLAN配置的歷史記錄。全網VLAN管理：通過全網VLAN管理功能，管理員可以很方便的在全網范圍內增加、修改和刪除VLAN，查看VLAN具體的不屬于哪些設備，并能夠方便地對VLAN內的設備進行管理。VLAN設備管理：iMC平臺提供了對單個設備上VLAN相關資源的管理，比如對VLAN、路由虛接口、Access、Trunk、Hybrid的創(chuàng)建、刪除和修改。VLAN拓撲：在VLAN拓撲中，通過節(jié)點或鏈路加亮的方式顯示是否允許當前VLAN通過，這對于判斷VLAN的連通性非常方便；同時允許管理員直接基于拓撲圖進行配置，使當前VLAN在某節(jié)點和鏈路上允許通過，相對傳統(tǒng)的配置方式較為直觀。VLAN批量部署：采用向導方式，提供對全網內的VLAN資源進行批量配置，包括批量部署Access口、批量部署Trunk口、批量部署Hybrid口、批量部署VLAN等。實用的IP/MAC管理IP地址分配：將IP地址作為網絡中的一種資源，進行統(tǒng)一分配和管理。管理員可以通過自動掃描，快速的查找網絡中正在使用的IP地址，從而進行方便快速的分配。除了自動掃描外，管理員也可以根據情況，手工設置要分配的IP地址。使用劃分IP地址段功能，管理員還可以按照部門、辦公區(qū)等方式，將多個IP地址劃分到一個IP地址段中，以便對IP地址進行更方便的管理。IP地址完成分配以后，管理員能夠通過詳細的IP地址分配情況統(tǒng)計圖表和各類查詢條件，直觀的了解和掌握整個網絡的IP地址資源使用情況。IP/MAC綁定：IP/MAC綁定可以將IP地址與MAC地址進行綁定，這種方式的好處在于可以防止用戶隨意修改IP地址，做到IP地址的統(tǒng)一管理，避免安全隱患。通過IP/MAC綁定功能，iMC平臺將對操作員配置的IP/MAC綁定關系進行管理，當用戶使用錯誤的IP/MAC配置接入網絡時，iMC平臺將發(fā)送告警通知管理員，以便管理員能夠及時發(fā)現(xiàn)安全隱患。IP/MAC綁定功能，不會下發(fā)數據到設備，而是將IP/MAC綁定關系放在網管中維護，與設備上支持的綁定功能實現(xiàn)不同。網絡管理員可以根據自己的管理需要，可以通過自動掃描來發(fā)現(xiàn)當前網絡中已經使用的IP地址和MAC地址的關聯(lián)關系來進行綁定，也可以通過新增的方式來創(chuàng)建IP/MAC綁定關系。IP/MAC綁定信息包括IP地址、MAC地址、機器名稱和機器類型信息。MAC/接口綁定：MAC/接口綁定可以將終端MAC地址與接入設備上的接口進行綁定，這種方式的好處在于可以防止未授權的終端MAC地址接入到接入設備上的特定接口，及時發(fā)現(xiàn)非法接入網絡的安全隱患，避免造成的網絡流量異常等網絡問題。通過MAC/接口綁定功能，iMC平臺將對操作員配置的MAC/接口綁定關系進行管理，當未授權的MAC接入到接入設備的接口時，iMC網管將發(fā)送出告警通知管理員，以便管理員能夠及時發(fā)現(xiàn)安全隱患。管理員可以通過自動掃描來發(fā)現(xiàn)當前網絡中已經使用的MAC地址和接口信息的對應關系并對其進行綁定，也可以通過新增的方式來創(chuàng)建MAC/接口綁定關系。MAC/接口綁定信息包括MAC地址、IP地址、機器名稱、機器類型、接口描述以及接口所在設備IP信息。IP接入定位：IP接入定位用于查看網絡中某個客戶端與設備之間的接入關系，即根據客戶端的IP地址或MAC地址，查看該客戶端是通過哪臺設備的哪個接口在何時接入到網絡的。使用IP接入定位功能，可以幫助網絡管理員迅速定位網絡中存在安全隱患的客戶端，并將其隔離，以保證網絡的正常運行。IP/MAC學習查詢：查詢某臺交換機或者交換機的某個接口學習到的所有IP/MAC地址信息，用于確定某臺網絡設備大概所在的位置。學習到的IP/MAC信息包括：交換機IP、交換機接口描述、VLANID、IP地址、MAC地址。專業(yè)的虛擬化網絡管理支持顯示虛擬網絡視圖。虛擬網絡視圖以樹形結構，層次化的展示出了物理服務器（ESX）、虛擬交換機（vSwitch）、虛擬機（VM）之間的從屬或連接關系；同時基于虛擬網絡視圖，管理員可以查看ESX和VM的詳細信息，并執(zhí)行VM的遷移操作。支持虛擬網絡拓撲，以拓撲方式展示物理服務器（ESX）、虛擬交換機（vSwitch）、虛擬機（VM）之間的從屬或連接關系；同時，通過ESX和物理交換機之間的連接關系，展示ESX所在的物理位置。支持虛擬機遷移后，對物理網絡配置進行相應的遷移。提供虛擬機遷移建議，顯示vCenter上的所有遷移建議，管理員可以基于遷移建議執(zhí)行VM的遷移操作。顯示遷移報告，虛擬機遷移的信息報告中包含了虛擬機遷移的最終結果以及遷移過程中各個步驟的執(zhí)行結果。豐富的報表管理提供我的報表視圖，展示了當前操作員常用的報表，包括實時報表、快速自定義報表和周期報表。用戶可根據自己的實際關注情況，在此視圖中配置所關注的報表。提供即點即看類型的實時報表。當用戶使用iAR組件時，可以定制自己的報表模板，并通過發(fā)布功能使用此報表。自定義報表模板只有在發(fā)布后，才能使用，生成報表。通過周期報表幫助用戶定期自動生成報表，并可以根據用戶需要自動發(fā)送到用戶的指定郵箱中。專業(yè)的網絡分級分權管理對于大型網絡和業(yè)務管理的需要，iMC平臺提供分級分權管理功能。通過權限管理，可為不同的iMC操作人員規(guī)劃不同的權限，不同的權限對應不同的設備分組，從而實現(xiàn)精細化分權管理能力。分級管理功能是將整個網管分為上、下級兩層（或更多層），其中專業(yè)版iMC平臺為上級網管，其他的iMC平臺（專業(yè)版或標準版）為下級網管。用戶可以通過上級網管直接對下級網管及其管理的設備進行管理。下級iMC的重要設備、重要告警的告警信息可以通過分級網管的告警功能通知上級iMC的管理人員?？梢栽谏霞塱MC的“下級網管視圖”中管理下級iMC及其管理的設備?！跋录壘W管視圖”用來展示當前服務器作為上級網管服務器所管理的下級網管服務器的信息，同時也是增加、修改、刪除、登錄下級網管等操作的入口。同時，上級網管可通過系統(tǒng)預置報表模板和自定義報表模板，立即、周期性生成下級網絡運行狀態(tài)報表，全面了解全網運行狀況。IT資源深度管理的承載平臺除了網絡管理功能外，iMC平臺更是IT資源深度管理的承載平臺，在此基礎上用戶可以增加H3C智能管理中心“NTA網絡流量分析”、“MPLSVPN管理”“EAD終端準入控制”、“UBA用戶行為審計”等組件，同時基于SOA的軟件架構也能方便集成用戶原有管理系統(tǒng)。H3CWX5000系列多業(yè)務無線控制器H3CWX5000是*****(以下簡稱H3C公司)自主研發(fā)的多業(yè)務無線控制器(AC，AccessController)產品系列。H3CWX5000系列無線控制器具有容量適中、高可靠、業(yè)務類型豐富等特點，集精細的用戶控制管理、完善的射頻資源管理、7X24小時無線安全管控、二三層快速漫游、靈活的QoS控制、IPv4&IPv6雙棧等多功能于一體，提供強大的有線、無線一體化接入能力。H3CWX5000系列多業(yè)務無線控制器包括H3CWX5004無線控制器，配合H3CFitAP產品系列，可以滿足大型企業(yè)園區(qū)WLAN接入、無線城域網覆蓋、熱點覆蓋等無線場景的典型應用。產品特性提供對802.11nAP的管理WX5000系列有線無線一體化交換機在支持對傳統(tǒng)802.11a/b/gAP管理的同時，還可以與H3C基于802.11n協(xié)議的AP配合組網，從而提供相當于傳統(tǒng)802.11a/b/g協(xié)議數倍的無線接入速率，能夠覆蓋更大的范圍，使無線多媒體應用成為現(xiàn)實。提供靈活的數據轉發(fā)方式傳統(tǒng)的無線控制器部署一般采用集中式轉發(fā)模式，AC可以對報文進行全面控制和安全監(jiān)管，但所有的無線業(yè)務流量需要到AC進行統(tǒng)一處理，核心鏈路帶寬和AC轉發(fā)能力容易成為瓶頸。特別是AP和AC通過廣域網方式進行連接時，AP作為數據接入設備部署在分支機構，而AC部署在總部，所有用戶數據由AP發(fā)送到AC，再由AC進行集中轉發(fā)，導致轉發(fā)效率低下。WX5000系列無線控制器可以支持集中式轉發(fā)和分布式轉發(fā)，用戶根據業(yè)務需要和網絡實際情況可以靈活設置轉發(fā)方式。支持運營級無線用戶接入控制和管理基于用戶的接入控制是WX5000系列多業(yè)務無線控制器產品的一大特色，UserProfile(用戶配置文件)提供一個配置模板，能夠保存預設配置(一系列配置的集合)。用戶可以根據不同的應用場景為UserProfile配置不同的內容，比如CAR(CommittedAccessRate，承諾訪問速率)策略和QoS(QualityofService，服務質量)策略等。用戶訪問設備時，需要先進行身份認證。在認證過程中，認證服務器會將UserProfile名稱下發(fā)給設備，設備會立即啟用UserProfile里配置的具體內容。當用戶通過認證訪問設備時，設備將通過這些具體內容限制用戶的訪問行為。當用戶下線時，系統(tǒng)會自動禁用UserProfile下的配置項，從而取消UserProfile對用戶的限定。因此，UserProfile適用于限制上線用戶的訪問行為，沒有用戶上線(可能是沒有用戶接入、或者用戶沒有通過認證、或者用戶下線)時，UserProfile是預設配置，并不生效。另外，WX5000系列無線控制器還支持基于MAC的認證接入控制方式，這種方式不但可以使得客戶在AAA服務器上對用戶組進行權限的配置和修改，同時支持對具體用戶的權限的配置，這種精細的用戶權限控制大大增強了無線網絡的可用度，網管人員可以輕松通過該方式對不同級別的人或人群進行接入權限分配?；贛AC的VLAN同樣也是WX5000系列無線控制器的一大特色，在控制策略上，管理員可以把相同性質的用戶(MAC)劃分到同一個VLAN，同時在控制器上基于VLAN配置安全策略，這樣做既可以簡化系統(tǒng)配置，又可以做到用戶級粒度的精細管理。出于安全性或計費等的考慮，系統(tǒng)管理員可能希望控制無線用戶接入到網絡中的位置。WX5000系列無線控制器支持基于AP位置的用戶接入控制。當無線用戶接入網絡時，可以通過認證服務器向AC下發(fā)允許用戶接入的AP列表，在AC上進行接入控制，從而達到限制無線用戶只能接入到指定位置的AP的目的。提供高可靠的備份功能1+1快速備份WX5000系列無線控制器支持毫秒(ms)級業(yè)務備份，AP會同時和兩臺無線控制器建立CAPWAP鏈路，一臺作為主控制器，另外一臺作為備份控制器，但只有和主控制器建立的CAPWAP鏈路處于工作狀態(tài)。當主控制器異常down機時，備份控制器和主控制器之間的心跳檢測機制可以保證在300毫秒(ms)之內檢測到主設備的異常，并通知AP將主控制器CAPWAP鏈路切換，保證控制信號的不間斷傳送。N+1備份當多臺WX5000系列控制器部署時，N+1備份方案為可靠性和經濟性折中的最好方案，其中N臺WX5000各自獨立工作，外加一臺WX5000作為備份AC，N臺AC中任何一臺出現(xiàn)故障，都會切換到備份AC上。而當主AC恢復后，AP將自動回切到主AC上，可保障AP盡量同主AC連接。N+N備份當多臺WX5000系列控制器部署時，N+N備份可以實現(xiàn)最靈活的備份方案。AP初次會選擇一個最優(yōu)的控制器進行接入，當鏈接出現(xiàn)問題的時候，AP會在網絡中重新選擇一個新的最優(yōu)控制器重新進行注冊接入，進而實現(xiàn)了AP的接入備份，以及AC間負載均擔。AP對最優(yōu)控制器的選擇，可以根據控制器負載情況動態(tài)計算(AC間動態(tài)負載均擔)或事先指定控制器優(yōu)先級等多種方式，十分靈活。實現(xiàn)N+N備份，組網中總AP數量只要小于(總AC數量-1)臺控制器能夠管理的AP規(guī)格即可滿足備份的要求。Portal1+1備份當多臺WX5000系列控制器工作在雙機模式時，可以實現(xiàn)Portal認證高可靠。用戶通過其中一臺AC完成Portal認證。雙機將相互同步用戶的認證狀態(tài)等數據。任何一臺ACdown時，由于另臺AC已經預同步了用戶的認證數據，所以可以避免Portal重認證和用戶業(yè)務中斷，滿足了電信級可靠性需求。DHCPServer熱備當多臺WX5000系列控制器工作在雙機模式時，用戶通過其中一臺AC獲得DHCP地址分配后，AC間將同步地址池信息。一臺ACdown機后，當用戶IP地址租約到期時，將發(fā)起DHCP請求續(xù)約。另一臺AC用預備份的地址池數據回應續(xù)約，避免了為用戶重新分配地址和用戶業(yè)務中斷。支持信道智能切換無線局域網中，信道是非常稀缺的資源，每個AP只能夠工作在非常有限的非重疊信道上，比如對于2.4G網絡，只有３個非重疊信道，所以如何智能地為AP分配信道是無線應用的關鍵。無線局域網工作的頻段存在大量可能的干擾源，如雷達、微波爐，它們在網絡中的出現(xiàn)將干擾AP的正常工作。通過信道智能切換功能，可以保證每個AP能夠分配到最優(yōu)的信道，盡可能地減少和避免相鄰信道干擾，而且通過實時信道干擾檢測，可以讓AP實時避開雷達，微波爐等干擾源。支持智能AP負載分擔802.11協(xié)議把無線漫游的決策交給了無線客戶端，無線客戶端一般會根據AP信號強度(RSSI)選擇AP，這很容易導致大量的客戶端僅僅因為某個AP信號較強而連接到同一個AP上。由于這些客戶端共享無線媒介，導致每個客戶端的網絡吞吐將大量減少。智能負載分擔方法可以實時地分析無線客戶端的位置，動態(tài)地確定在當前時刻和當前位置下哪些AP可以彼此分擔負載，通過控制無線客戶端接入的AP，來實現(xiàn)這些AP間的負載分擔。系統(tǒng)不僅支持按照用戶在線會話數的負載分擔，而且支持按照用戶流量負載的分擔。支持7層移動安全檢測/防御(wIDS/wIPS)WX5000系列有線無線一體化交換機支持的移動安全防御模式有：黑名單、白名單、Rogue防御、畸形報文檢測、非法用戶下線、基于可預設升級的SignatureMAC層攻擊檢測與反制(例如：DoS攻擊，F(xiàn)lood攻擊、中間人攻擊)等。配合無線應用控制臺內置的海量智能專家知識庫，可以獲得靈活的無線安全策略判斷依據，對于明確的非法攻擊源(AP或終端等)，實現(xiàn)可視的物理位置跟蹤監(jiān)控和交換機物理端口移除。通過配合H3C專業(yè)核心層防火墻/IPS設備，更可以實現(xiàn)移動園區(qū)的7層立體安全防御，滿足真正的從無線(802.11)到有線(802.3)端到端安全防護需求。支持RealTimeSpectrumGuard(實時頻譜保護)模式RealTimeSpectrumGuard(RTSG)是H3C創(chuàng)新提出的針對無線環(huán)境頻譜狀態(tài)的專業(yè)監(jiān)控方案。全系列無線控制器可以和內置射頻采集模塊的SensorAP，實現(xiàn)深度融合的射頻監(jiān)控和實時頻譜防護。RTSG的控制臺融合部署于H3CiMC智能管理中心，通過CAPWAP管理隧道，與SensorAP進行通信和數據采集，實現(xiàn)7X24小時的無線環(huán)境質量監(jiān)控、無線網絡能力趨勢評估以及非許可干擾告警。通過圖形化方式，主動探測和識別所有2.4GHz/5GHz波段的射頻干擾源(Wi-Fi或非Wi-Fi)，可提供實時FFT圖，頻譜密度圖、光譜圖、占空比圖、事件光譜圖、頻道功率、干擾功率等；可自動識別干擾源，確定有問題的無線設備的位置，確保無線網絡發(fā)揮最佳的性能。結合H3CiAR智能報表組件，可實現(xiàn)全覆蓋區(qū)內的射頻質量歷史記錄的存儲、追溯、回放等，自動生成客戶化的趨勢、合規(guī)和審計報告。針對用戶無線環(huán)境監(jiān)管的不同層次需求，RTSG方案的部署可以靈活采用Localmode或MonitorMode。當工作在LocalMode時，可以在獲得有效的頻譜防護前提下，保持正常的用戶接入和數據包轉發(fā)。支持智能無線業(yè)務感知(wIAA)WX5000系列無線控制器支持智能感知無線業(yè)務流量，實現(xiàn)基于無線用戶狀態(tài)的彈性策略識別與管理，優(yōu)化語音及視頻業(yè)務承載。支持遠程探針分析WX5000系列無線控制器支持針對AP的遠程探針分析功能?？梢詫Ω采w區(qū)內的Wi-Fi報文進行偵聽捕獲并實時鏡像到本地分析設備供網絡管理員進行故障排查、優(yōu)化分析。遠程探針分析功能既可以針對工作信道進行無收斂鏡像，也可以對所有信道輪詢采樣，靈活滿足無線網絡監(jiān)控運維要求。內置射頻優(yōu)化引擎(ROE)WX5000系列無線控制器內置針對AP的射頻優(yōu)化引擎(RFOptimizingEngine)，通過基于特征和協(xié)議的射頻優(yōu)化，有效提升無線部署中高密度接入、流媒體傳輸等場景中的應用加速能力和質量保障效果。其中包含：多用戶公平調度、混合接入公平、過濾干擾、速率最優(yōu)、頻譜導航、組播增強(IPv4/IPv6)、逐包功率控制和智能帶寬保障等。支持802.1x認證，MAC地址認證，Portal認證等WX5000系列無線控制器支持多種認證方式：802.1x認證：WX5000系列無線控制器支持TLS、PEAP、TTLS、MD5、SIM卡等多種802.1x的認證方式，同時還支持802.1x本地認證方式，提供對MD5、TLS、PEAP這幾種主流認證方式的支持，用戶不再需要額外配置AAA服務器。WX5000系列無線控制器還支持通過802.1x認證后動態(tài)授權VLAN和ACL功能，對用戶的策略可以事先設定好，用戶認證時，系統(tǒng)自動配置客戶權限。MAC地址認證：WX5000系列無線控制器支持MAC地址認證，對一些手持終端(例如：Wi-FiPhone、手持移動終端等)并不方便采取電腦上的認證方式，MAC地址認證卻可以輕松解決該問題，實現(xiàn)在控制器或者AAA服務器上配置好合法的MAC地址，這些MAC地址對應的終端就可以被允許被接入到網絡，而事先沒有被配置的非法終端則不能接入無線網絡，該功能極大地方便了例如無線醫(yī)療系統(tǒng)等應用，MAC地址認證可以確保只有醫(yī)院的PDA工作終端才能接入到無線網絡，而拒絕病人的無線PDA使用專用無線網絡。Portal認證：WX5000系列無線控制器提供內置的Portal認證服務器。該認證方式無需客戶端配合，直接通過瀏覽器WEBPortal頁面作為認證通道，當用戶認證通過后，可以靈活跳轉到指定訪問首頁并啟動相應授權和計費。同時也可以根據策略要求，靈活推送定制Portal頁面，達到廣告宣傳、信息傳遞的作用，廣泛使用在無線校園、無線城市、訪客接入等應用場景。支持IPv4/IPv6雙協(xié)議棧(NativeIPv6)WX5000系列無線控制器支持無線客戶的IPV6接入。在隧道起點AP上，由于設備對IPv6感知，所以可以做到IPv6優(yōu)先級到隧道優(yōu)先級映射等；在AC側，同樣可以對IPv6報文進行ACL過濾等復雜的控制和過濾。WX5000系列無線控制器同樣可以部署在IPv6網絡中，AC和AP之間自動協(xié)商成IPv6隧道。AC和AP完全工作在IPv6狀態(tài)時，無線控制器仍能正確地感知IPv4，并能處理無線客戶的IPv4報文。WX5000系列無線控制器IPv4/6靈活的適應能力，能滿足客戶在IPv4到IPv6網絡遷移中的各種復雜的應用，既能在IPv6孤島中給客戶提供IPv4的服務，同時也能在IPv4孤島中讓用戶輕松通過IPv6協(xié)議登錄到網絡。針對校園網層出不窮的IPv6偽造報文攻擊，WX5000系列無線控制器支持IPv6SAVI(SourceAddressValidation，源地址有效性驗證)技術。通過對地址分配協(xié)議的偵聽獲取用戶的IP地址，保證隨后的應用中能夠使用正確地址上網，且不可偽造他人IP地址，保證了源地址的可靠性。同時，通過IPv6SAVI和Portal技術的結合，進一步保證了所有上網用戶報文的真實性和安全性。提供端到端的QoSWX5000系列無線控制器基于Comware平臺開發(fā)，不但對Diff-Serv標準的完善支持，同時增加了對IPv6協(xié)議的QoS支持。QoSDiff-Serv模型中主要包括流分類、流量監(jiān)管(Policing)、隊列管理、隊列調度(Scheduling)等，完整實現(xiàn)了標準中定義的EF、AF1～AF4、BE等六組PHB及業(yè)務，使網絡運營商可為用戶提供具有不同服務質量等級的服務保證，使Internet真正成為同時承載數據、語音和視頻業(yè)務的綜合網絡。支持快速的二、三層漫游H3C公司的集中式無線架構不但能方便地實施二層漫游，而且非常有利于跨三層的漫游實現(xiàn)，用FatAP部署的WLAN網絡，由于AP之間傳遞的信息有限，導致垮三層的漫游實現(xiàn)及其麻煩，集中式架構非常容易解決跨三層漫游的問題，WX5000系列無線控制器支持二、三層漫游，漫游域不受子網的限制。這種優(yōu)秀的漫游特性，可以讓客戶在規(guī)劃無線網絡時，無需過多考慮現(xiàn)有網絡的規(guī)劃，更多關注在無線信號的覆蓋即可，這種方式大大簡化了前期的網絡規(guī)劃，減少了網絡規(guī)劃成本。傳統(tǒng)模式下，當無線用戶終端使用802.1x作為802.11接入認證和密鑰交互的手段時，無線用戶終端和AP間的交互報文會非常的多。當無線用戶終端在兩個AP間漫游時，如果無線用戶終端在新AP接入的過程完全遵從完整的802.1x的交互過程，勢必造成漫游切換的時間過長，對于某些對漫游切換時間敏感的業(yè)務(例如語音業(yè)務)，這樣的長切換時間是無法忍受的。WX5000系列控制器采用Keycaching技術完成漫游時用戶的快速切換，Keycaching技術在用戶的安全接入和快速漫游間做了一個很好的平衡，可以使無線用戶終端在兩個AP間進行漫游時不必重新進行完整的802.1x認證交互過程，同時又能保證用戶身份的識別和密鑰使用的連續(xù)性；無線用戶采用快速漫游方式，單AC內漫游時間不超過50ms，滿足了語音業(yè)務的苛刻需求。支持多種分支機構遠程接入場景當AC和AP通過廣域網鏈路進行連接時，用戶可以靈活選擇集中轉發(fā)或本地轉發(fā)模式，提升分支機構局域網打印訪問、終端互訪等業(yè)務性能。當廣域網鏈路發(fā)生故障或AC發(fā)生故障時，在線用戶不掉線，可以繼續(xù)訪問本地資源，并且可支持AC逃生功能。當分支機構AP部署于私網內時，AC可以穿越NAT與AP進行通信。H3CWA2600i系列室內放裝型802.11n無線接入設備H3CWA2600i系列無線產品是*****(H3C)自主研發(fā)的新一代基于終端感知型硬件智能天線覆蓋技術的超百兆高速無線接入設備(以下簡稱AP)，可提供相當于傳統(tǒng)802.11a/b/g網絡6倍以上的無線接入速率，能夠覆蓋更大的范圍。該系列無線產品上行鏈路采用千兆以太網接口，突破了百兆速率的限制，使無線多媒體應用成為現(xiàn)實。WA2600i系列AP共分為WA2610(單頻)、WA2620(雙頻)兩款型號，該系列產品外型小巧美觀，安裝方式靈活，適用于壁掛、桌面、吸頂等三種安裝方式，也可根據部署場景配合11n專用定向迷你美化天線實現(xiàn)智能分布式信號部署。產品特性實現(xiàn)智能云接入和最佳無線網絡TCOWA2600i系列AP遵從802.11n協(xié)議標準，采用專業(yè)模塊化設計，單射頻能提供高達300Mbps的無線接入速度，是相同環(huán)境下802.11a/b/g產品的6倍左右。通過內置集成終端感知型硬件智能天線覆蓋技術，可以有效地從覆蓋范圍、接入密度、運行穩(wěn)定等方面提供更高性能的移動云接入服務并協(xié)助用戶實現(xiàn)最佳無線網絡TCO(總擁有成本/TotalCostofOwnership)。綠色低碳設計WA2600i系列AP采用專業(yè)綠色低碳設計，支持動態(tài)MIMO省電模式(DMPS)與增強型自動省電傳送(E-APSD)，智能辨識終端實際性能需求，合理化調配終端休眠隊列，動態(tài)調整MIMO工作模式。WA2600i系列AP支持GreenAP模式，實現(xiàn)單天線待機，節(jié)能更精準。WA2600i系列AP通過創(chuàng)新性的逐包功率控制(PPC)技術，在確保報文能成功傳輸的前提下動態(tài)調節(jié)AP設備和客戶端直接的雙向功率，以達到減少設備能耗和延長移動終端待機時間的作用。提供千兆以太網接口有線連接上行鏈路采用千兆以太網接口，突破了傳統(tǒng)百兆速率的限制，使有線口不再成為無線接入的速率瓶頸，為將來支持更高速率更多射頻組合提供了平滑升級的平臺。支持Fat/Fit兩種模式WA2600i系列AP支持Fat和Fit兩種工作模式，根據網絡規(guī)劃的需要，可以靈活地在Fat和Fit兩種工作模式中切換，同時用戶可以根據應用需求，靈活選擇所需的設備出廠版本(Fat模式版本或Fit模式版本)。當客戶的無線網絡初始規(guī)模較小時，客戶只需采購相應無線設備，并設置其工作模式為Fat模式。隨著客戶網絡規(guī)模的不斷擴容，當網絡中應用的無線設備達到幾十甚至上百臺時，為降低網絡管理的復雜度，建議客戶采購H3C自主研發(fā)的WX系列無線控制器設備，便于集中管理網絡中的所有的WA2600i系列無線設備，此時只需將其工作模式切換到Fit模式。工作模式切換過程只需要簡易命令行，且可以通過設備網管批量執(zhí)行，有利于將客戶的無線網絡由小型網絡平滑升級到大型網絡，從而更好地保護用戶的投資，非常適合運營級大規(guī)模無線網絡的平滑擴容升級。提供本地轉發(fā)功能當WA2600i系列AP(Fit模式)通過廣域網方式轉發(fā)時，無線接入設備部署在分支機構，而無線控制器部署在總部，所有用戶數據由無線接入設備發(fā)送到無線控制器，再由無線控制器進行集中轉發(fā)。WA2600i系列AP可將數據報文在無線接入設備上直接轉化為有線格式的報文，使得數據報文不經過無線控制器，而是在本地進行轉發(fā)，大大節(jié)約了有線帶寬。支持IPv4/IPv6雙協(xié)議棧(NativeIPv6)WA2600i系列AP全面支持IPv6特性，設備實現(xiàn)了IPv4/IPv6雙協(xié)議棧。無論原有有線網絡是IPv4還是IPv6，都可以自動地與WX系列控制器進行注冊提供WLAN服務，不會成為網絡中的信息孤島。支持RealTimeSpectrumGuard(實時頻譜保護)模式RealTimeSpectrumGuard(RTSG)是H3C創(chuàng)新提出的針對無線環(huán)境頻譜狀態(tài)的專業(yè)監(jiān)控方案。H3CWA2600i系列AP支持內置射頻采集模塊，實現(xiàn)深度融合的射頻監(jiān)控和實時頻譜防護。RTSG的控制臺融合部署于H3CiMC智能管理中心，通過CAPWAP管理隧道，與SensorAP進行通信和數據采集，實現(xiàn)7X24小時的無線環(huán)境質量監(jiān)控、無線網絡能力趨勢評估以及非許可干擾告警。通過圖形化方式，主動探測和識別所有2.4GHz/5GHz波段的射頻干擾源(Wi-Fi或非Wi-Fi)，可提供實時FFT圖，頻譜密度圖、光譜圖、占空比圖、事件光譜圖、頻道功率、干擾功率等；可自動識別干擾源，確定有問題的無線設備的位置，確保無線網絡發(fā)揮最佳的性能。結合H3CiAR智能報表組件，可實現(xiàn)全覆蓋區(qū)內的射頻質量歷史記錄的存儲、追溯、回放等，自動生成客戶化的趨勢、合規(guī)和審計報告。針對用戶無線環(huán)境監(jiān)管的不同層次需求，RTSG方案的部署可以靈活采用Localmode或MonitorMode。當工作在LocalMode時，可以在獲得有效的頻譜防護前提下，保持正常的用戶接入和數據包轉發(fā)。提供EAD無線接入終端準入控制(EAD，EnduserAdmissionDomination)解決方案從控制用戶終端安全接入網絡的角度入手，整合網絡接入控制與終端安全產品，對接入網絡的用戶終端強制實施企業(yè)安全策略，通過與安全策略服務器的聯(lián)動，可以對感染病毒或存在系統(tǒng)漏洞等不合格的無線客戶端進行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客戶端符合相應的安全策略之后才允許正常訪問網絡，從而提高了無線網絡的整體安全性。支持遠程探針分析WA2600i系列AP支持作為遠程探針分析的Sensor設備，可以對覆蓋區(qū)內的Wi-Fi報文進行偵聽捕獲并實時鏡像到本地分析設備，供網絡管理員進行故障排查、優(yōu)化分析。遠程探針分析功能既可以針對工作信道進行無收斂鏡像，也可以對所有信道輪詢采樣，靈活滿足無線網絡監(jiān)控運維要求。內置射頻優(yōu)化引擎(ROE)WA2600i系列AP內置射頻優(yōu)化引擎(RFOptimizingEngine)，通過基于特征和協(xié)議的射頻優(yōu)化，有效提升無線部署中高密度接入、流媒體傳輸等場景中的應用加速能力和質量保障效果。其中包含：多用戶公平調度、混合接入公平、過濾干擾、速率最優(yōu)、頻譜導航、組播增強(IPv4/IPv6)、逐包功率控制和智能帶寬保障等。支持智能負載均衡WA2600i系列AP支持按接入用戶數量和流量的復雜均衡方式，當無線控制器發(fā)現(xiàn)無線接入設備的負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的無線接入設備可供用戶接入，如果有則會拒絕用戶的關聯(lián)請求，用戶會轉而接入其他負載較輕的無線接入設備，但如果無線用戶不在重疊覆蓋區(qū)內，傳統(tǒng)的負載均衡方式往往會導致連接不上網絡，造成誤均衡。H3C公司創(chuàng)新性的支持智能負載均衡技術，保證只對處于覆蓋重疊區(qū)的無線用戶才啟動負載均衡功能，有效的避免誤均衡