当前位置:首页 >> 其它课程 >> 腾冲县第八中学网络信息化建设方案

腾冲县第八中学网络信息化建设方案


腾冲县第八中学校园网 建设项目技术建议书

第 1 页,

目 录
1 项目概述 ............................................................................................................................

..... 4 1.1 1.2 1.3 1.4 2 2.1 2.2 项目背景 ......................................................................................................................... 4 现状分析 ......................................................................................................................... 4 建设目标 ......................................................................................................................... 4 设计原则 ......................................................................................................................... 5 概述 ................................................................................................................................. 7 项目技术要求 ......................................................................................................... 7 有线网络组网方案 ................................................................................................. 8 核心层设计方案 ..................................................................................................... 9 接入层设计方案 ................................................................................................... 10 接入层网络隔离 ................................................................................................... 12 出口设计 ............................................................................................................... 13 概述....................................................................................................................... 14 无线基本概念 ....................................................................................................... 15 覆盖区域描述 ....................................................................................................... 21 无线局域网拓扑 ................................................................................................... 22 无线 VLAN 规划 .................................................................................................. 23 有线网络方案设计 ......................................................................................................... 7

网络建设方案 ......................................................................................................................... 7 2.1.1 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5

无线网络的设计方案 ................................................................................................... 14

3 4

统一身份认证平台 ............................................................................................................... 24 网络管理规划 ....................................................................................................................... 30 4.1 网管需求分析 ............................................................................................................... 30 4.2 网络设备的管理 ........................................................................................................... 31

5

可靠性设计 ........................................................................................................................... 32 5.1 网络可靠性设计 ........................................................................................................... 32 5.2 设备高可靠性设计 ....................................................................................................... 34 5.2.1 5.2.2 5.2.3 重要部件冗余 ....................................................................................................... 34 设备自身安全 ....................................................................................................... 34 接入交换机的堆叠 iStack ................................................................................... 36

6 7

方案总结 ............................................................................................................................... 37 6.1 方案特色 ....................................................................................................................... 37 设备介绍 ............................................................................................................................... 38 7.1 核心交换机 S7706 ........................................................................................................ 38 7.1.1 7.1.2 7.2.1 产品规格 ............................................................................................................... 41 解决方案应用 ....................................................................................................... 44 产品规格 ............................................................................................................... 48

7.2 接入交换机 S5700-LI ................................................................................................... 45 7.3 无线 POE 交换机 S5700-SI.......................................................................................... 50 7.4 无线控制器 AC6605..................................................................................................... 57
第 2 页,

7.5 室内放装型 AP6010SN ................................................................................................ 58 7.6 室内分布式 AP6310SN .................................................................................................. 62 7.7 出口安全网关 USG5120HSR ...................................................................................... 66 USG5120BSR/HSR .......................................................................................................... 66 USG5150BSR/HSR .......................................................................................................... 66 7.8 统一身份认证平台 TSM ............................................................................................. 70

第 3 页,

校园网信息建设项目技术建议书
1 项目概述
1.1 项目背景
21世纪人类全面进入信息化时代,教育正在走向数字化、信息化。计算机、网络、多 媒体技术已被越来越多的学校采用, 成为教育教学的支撑技术。 教育技术的现代化正在改变 着教学手段、教学方法,必将带来教学内容、教学观念的更新,教育教学改革势在必行。因 此,越来越多的学校对校园网建设跃跃欲试,希望藉此一步跨入数字时代。 1.2 现状分析 学校目前主要硬件设备使用多年,随着办公自动化、网络多媒体教学、学生自主学习、 电子图书馆、电子邮件、远程教育、校园一卡通工程等系统的逐步建设,目前园区网络的带 宽已远远不能满足应用的需求,而且设备老旧,故障率不断上升,给老师办公教学和学生学 习实验带来极大的不便。主要有以下问题: 1) 硬件基础设施老化

现有设备大部分运行时间长,老化严重,故障率高,性能难以满足现有网络应用的需 求。 2) 应用系统缺乏

目前学校某些部门缺乏信息化、数字化校园的新思维模式,很多的工作仍然未能摆脱 烦琐的手工操作和信息传递, 某些信息的传递不及时甚至是失真, 为学校的管理和领导的决 策带来了一定困难。 3) 已建应用系统相互独立

已建信息系统数据、编码不统一,造成各应用系统间相互独立,形成信息孤岛,资源 不能共享,花巨资建立的应用系统不能发挥其效用,形成资源浪费。 1.3 建设目标 本次校园网改造工程建设目标是: 采用1000Mbps光纤交换网络实现新老校区内部高速互
第 4 页,

联,光缆连接全校楼宇(办公楼,教学区、综合楼,实验楼)。核心机房设置配置两台核心 交换机,各楼宇根据点位配置接入交换机,通过千兆光纤双上行到两台核心交换机上,通过 接入交换机将学校的各种PC机、 服务器、 终端设备和局域网连接起来, 整合现有的网络资源, 改善与Internet/Cernet相连的网络性能。构建一个以计算机多层交换网络为框架,以网络 基本应用、计算机多媒体辅助教学、电子化图书馆、教学管理办公自动化为平台的校园网, 并逐步形成数字化校园网络。 网络改造后实现以下功能 (1)办公自动化 基于Web综合管理信息系统,提供行政、人事、学籍、教学、后勤、财务管理、公文收 发管理、教师档案管理、学生档案管理、科技档案管理等,使学校日常办公无纸化,减少办 公开支,提高办公效率。 (2)网络多媒体教学 将计算机多媒体视听引入课堂教学,使声音、图像、动画的普遍采用可以大大提高教学 效果,使每一节课都能够得到有效的作用。 (3)学生自主学习 针对不同的学生,提供不同的教学内容,采取不同的教学手段。主要采用基于VOD、WEB 及FTP的课件、光盘软件、Internet资源,学生可以根据自己的需要自由选择所需内容。 (4)电子图书馆 基于Web的图书音像资料供学生随时阅读,并与Internet连接,使图书馆得到进一步拓 展,使学生能够得到近乎无限的网上资源。 (5)电子邮件 电子邮件是Internet上的一个最重要的应用, 将为每一位教师和学生开设一个电子邮件 账号,利用电子邮件学生可以和老师、同学及家长进行交流,同时也可以和国内外等地学校 的学生进行交流。 (6)远程教育 实现校内外连通,师生在线、交互式学习、辅导、测验等功能。 (7)校园移动计算 采用有线和无线网络混合建构,方便学生、老师移动上网学习和办公。 1.4 设计原则 针对IT平台建设的基本要求和投入建设使用之后的用户实际问题, 主要从如下几个方面 重点考虑,构建一个可靠、安全、稳定、灵活的IT平台,助力IT资源可以真正的为企业服务。 ? 可靠性,利用电信级产品构建一个高可靠的网络环境,保证整个网络的可靠运行, 可靠性设计可以达到99.999%,可以满足实际的办公、业务等的要求。 ? 安全性,网络设计的各个环节,融合了网络安全、应用安全、接入安全、终端安全、
第 5 页,

数据安全等各个方面,可以很好的满足网络高安全的要求。 ? 管理性, 网络设计考虑了日后的网络管理, 每个环节的设计都考虑了业务开展的便 利性,使得网络可以真正的为企业服务,为后续业务的开展奠定了良好的基础。 ? 集成性, 从用户的实际需要考虑对IT资源的每个环节进行设计, 保证了网络在日后 交付使用的时候, 可以更好的满足业务变化的要求, 充分考虑了业务变化性的特点, 进行了网络弹性设计,使得IT技术贴近用户。

本次校园网改造将从校园网建设的需求出发,以学校的教学、试验、办公管理体系 为主导,建设安全-可靠-可管理-可控制的校园信息化网络!

根据学校的现状和进一步的需求目标、 特点及实现的功能与技术要求, 对总体方案的 设计、网络设备选型、采用的技术路线及工程实施的过程,均充分考虑项目方案的实用性、 经济性、先进性及可扩展性(保护现有投资,可平滑升级)。尤其注重了网络设备的安全可 靠、易维护、易操作。突出了计算机、网络及多媒体技术对教育过程的实用与好用,综合考 虑了项目中各子系统相对独立性与关联性,方案设计能够体现出其1+1>2的效果。具体的实 施原则如下: 1)好的开放性和可扩展性 校园网络应具有的开放性, 这种开放性依靠标准化实现, 使符合标准的计算机系统很 容易进行网络的互连。 因此在网络建设中, 网络体系结构和通信协议应选择广泛使用的国际 标准,使得校园网成为一个完全开放式的网络环境。在校园网络平台建设中,尽量采取成熟 先进的网络技术,统一的网络标准和主流的网络设备,使得网络结构更易于扩展、升级和维 护。 2) 校园网软件平台的针对性 校园网的应用和服务的对象是学校的教师、 学生。 这就要求校园网软件平台的建设应 以教学为核心,建立起一个在技术上具有先进性,在教学过程的各阶段应用上具有灵活性、 多样性和针对性的数字化校园网。 3)高度的安全性和可靠性 对于网络系统,应确保系统运行可靠,对关键部位提供容错能力,同时建立完善的安 全管理体系。 4) 经济实用性 盲目地追求技术,会建成一个不稳定、不成熟产品的实验台。单纯高性能,只会带来 难以承受的高额投资。所以,网络系统建设应采用成熟、适用、实用、好用的技术,力争以 最小的投资得到最大的满足。

第 6 页,

2 网络建设方案
2.1 概述
现代教育过程的四要素为:教师、学生、教学内容及教育技术。以计算机、网络、多媒 体集成的现代教育技术,对教育过程的支持,随着教育信息化的发展,显得越来越重要。因 此,项目建设的指导方针为: (1) 以应用为主,为校领导决策、业务管理、教学保障和管理提供服务; (2) 采用成熟先进的技术,实用、够用,又留有发展余地; (3) 统一标准,逐步建设,充分考虑四期工程规划及网络的扩展性; (4) 充分重视网络系统和信息的安全; (5) 在限定的时间和要求内,降低费用的支出,提高系统的性能价格比; (6) 组织各方面的力量,网络通信系统、网络资源系统同步建设;

2.1.1 项目技术要求
(1) 采用先进成熟的网络技术; (2) 统一技术规范、标准和方案,统一设备选性,统一组织实施; (3) 网络系统采用三层架构,采用TCP/IP协议栈,采用统一的客户端应用软件; (4) 网络系统采用全交换网络,主干1000Mbps,核心层、接入层采用冗余连接,千兆 到桌面; (5) 网络系统按部门、 业务划分VLAN, 网络多层交换采用802.1Q虚拟干道协议、 802.1D 生成树协议、802.1X认证协议和802.1P优先队列排序; (6) 采用接入认证综合管理系统对接入用户进行认证及计费; (7) 网络系统必须满足标准化的要求,以实现开放性、可扩展性; (8) 重要部件、文挡要有备份,保证系统365天×24小时运转; (9) 重视数据的安全与保密,建立完善的网络安全管理系统。

2.2

有线网络方案设计
校园网是各种应用的统一通信平台, 平均无故障时间以及故障恢复时间, 要保持在一个

可容忍的许可范围之内。在这种前提下,主干设备应有一定的冗余度,这种冗余度不单只是 设备级的,也应该考虑物理线路,数据链路层、网络层以及应用层的容错能力。
第 7 页,

该主干网在方案上有二个重点:主干网技术策略;主干交换机的基本要求。 主干网技术的基本要求可概括为: 千兆传输距离550m以内采用50/125多模光缆; 千兆传输距 离大于550m、 小于5000m采用9/125单模光缆; 百兆传输距离2000m以内采用50/125多模光缆; 百兆传输距离大于2000m采用9/125单模光缆。

2.2.1 有线网络组网方案
按照网络分层设计的原则: 整个网络采用扁平化设计理念,分成核心层、接入层、出口区域几个部分。整个网络的 建设方案如图1所示:

?

出口区域

部署一台综合安全网关, 按照同时在线1200人的规模设计, 考虑到校园网用户对带宽超 级利用性,整个网络的出口采用千兆设计,千兆出口网关、千兆流控,满足整个学校未来10 年内的发展需要。 另外,出口区域结合整个网络的安全认证系统,可实现基于用户实名的准出控制,满足 大规模用户使用。实现基于实名的NAT日志、URL日志、上网时间等,满足公安部82号令的 要求;实现基于用户实名的带宽控制; 另外,网络出口区域部署VPN,让校领导、老师出差不在学校,通过在互联网上建立 VPN隧道,访问校园网络应用系统,完成审批流程等。 ? 核心层:

核心层采用模块化万兆交换机,支持40G/100G端口扩展,满足未来网络发展需求,启
第 8 页,

用三层转发功能,和接入层设备提供冗余链路,使得整个网络的路由交换运行无阻。同时内 外业务资源、如服务器区和一些重要的终端可以直接接入到核心层,满足高性能的要求,同 时支持主控和业务口CSS集群技术,将多台设备虚拟化为一台逻辑设备,在可靠性、交换效 率、灵活性和易管理性方面提高性能。 ? 接入层:

接入层由千兆交换机和无线接入交换机等接入设备构成,可以满足不同终端的接入要 求,接入交换机通过千兆光纤直接连接到核心交换机上,实现和核心层的互访。设备选型上 要实现方便灵活接入的同时保障网络带宽。提供的QinQ技术保证了每端口每VLAN的设计, 在终端管理上提供了良好的技术保证。 按照网络高可靠的设计原则: ? ? ? 核心网络采用双平面组网,可以最大程度上保证网络的100%可靠。 核心设备采用双引擎设计,接入层采用双归属主备链路。 网络设备秉承电信级可靠性设计理念:单板热插拔、电源冗余、风扇热插拔等。

高可靠的模型是根据组网方案来统一考虑的,主要的高可靠的手段有:A/B双平面、双 机模式、主备模式、链路冗余、设备结构冗余等。为了保障校园网络的高可靠性,采用双平 面和主备等冗余结构,核心设备采用2台核心交换机设备,设备间采用2条线路连接,实现双 机热备和负荷分担, 提高设备的利用率和网络的安全。 接入交换机分别采用双链路接入核心 交换机。保障链路冗余和链路带宽。

2.2.2 核心层设计方案
设计要点:提供高速的三层交换骨干。核心层不进行终端系统的连接。核心层不 实施影响高速交换性能的ACL等功能 网络核心区作为整个校园网的数据交换核心,是教育应用系统可靠和高效率运行的基 础,在核心区配置华为高吞吐量核心万兆全分布式线速路由交换机S7706,接入各个功能区 域,下行千兆光纤连接接入交换机,形成千兆无阻塞线速转发骨干网。核心设备采用分布式 交换架构,通过独立的控制引擎、检测引擎、维护引擎为系统提供强大的控制能力和高可靠 保障 为了简化网络部署,简化网络管理,并提高故障恢复的速度,核心层需支持采用虚拟交 换架构技术,通过跨设备链路聚合与汇聚层设备互联。 1) 设备需支持运营级,满足学校业务不间断的需求; 2) 核心设备支持引擎冗余、电源冗余、业务线卡热插拔;支持虚拟交换技术,保证核 心的高融合和高可靠性;
第 9 页,

3) 核心设备支持模块化软件操作系统平台, 便于多业务扩展支持, 支持操作系统的免 费升级,全面支持 IPv6; 4)核心设备具有较强的自我防御机制 为此,本次建设选用华为S7700作为腾冲第一职业高级中学的的核心交换机,S7700系 列是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机。 该产品基于华 为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2~L4层交换服务基础 上,进一步提供MPLS VPN、业务流分析、完善的QOS策略、可控组播、资源负载均衡、一 体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。 S7700系列广泛适用于园区网络和数据中心网络,可对无线、话音、视频和数据融合网 络进行先进的控制,帮助企业构建交换路由一体化的端到端融合网络。 ? ? ? ? ? 128G槽位带宽,100GE Ready 480个万兆端口,24个40GE端口 创新的CSS交换网集群 硬件级以太OAM/BFD 左后风道,高密布线

S7700系列提供S7703、S7706、S7712三种产品形态。

2.2.3 接入层设计方案
千兆到桌面接入,根据接入密度选择型号。24口接入或48口接入。 校园网目前的业务应用主要为桌面办公系统,教学课件系统;互联网业务,网络间要在 接入层必须对必要的业务划分VLAN,VLAN划分的方法可以基于端口、基于用户的业务等。 为了满足VLAN的灵活划分及对终端安全的控制,接入交换机应具备强2层特性,支持防止 DOS、ARP攻击功能、ICMP防攻击,支持IP、MAC、端口、VLAN的组合绑定。同时只能 智能节能功能,通过匹配端口Link Down/Up、光模块在位/不在位、配置Shut Down/Undo Shut Down、空闲时段、繁忙时段等应用场景,达到应用中大幅度提高动态节能技术应用比 例,节省设备耗电量的目的。应具备能效以太网(EEE)、端口能量检测、CPU动态调频、 设备休眠等技术已实现设备智能低功耗设计。点位设计如下:

建筑

楼层 1 2 3

房间数 8 7 8

点位数 16 14 16

合计

24 口交 换机数 量 1

48 口交 换机数 量 1
第 10 页,

实验楼

60

实验楼

综合楼

教学楼 (白色)

教学楼 (粉色) 合计
息点。

4 1 2 3 1 2 3 4 1 2 3 1 2 3 4

7 10 13 10 5 7 7 10 6 8 8 6 6 6 6

14 20 26 20 10 14 14 20 12 16 16 12 12 12 12

66

1

1

58

1

1

44

1

1

48

1

1

5

5

共部署48口接入交换机5台,24口交换机5台,汇聚交换机46台,覆盖全校约300个信

为保证接入网络的安全可靠,本次配置建议使用华为S5700-LI系列交换机,S5700-LI 系列企业交换机(以下简称S5700-LI),是华为公司自主研发的新一代绿色节能的二层全千 兆以太网交换机, 提供灵活的全千兆以太网接入端口、 丰富的业务特性, 支持EEE节能特性, 支持整机休眠功能,可以为用户提供绿色、易管理、易扩展、低成本的千兆到桌面的解决方 案。 S5700-LI能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源 端口、VLAN、以太网帧协议类型、CoS等信息,实现复杂流分类功能。 S5700-LI支持基于流的双速三色限速功能,每端口支持8个优先级队列,支持WRR、 DRR、PQ、WRR+PQ、DRR+PQ多种队列调度算法,有效地保证话音、视频和数据业务 质量。 S5700-LI提供多种安全保护功能。支持DoS(Denial of Service)类防攻击、网络的防 攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的BPDU/Root攻击。用户的防攻击涉及DHCP仿冒攻击、 中间人攻击、 IP/MAC Spoofing 攻击、 DHCP request flood、 改变 CHADDR 值的 DoS 攻 击等等。 S5700-LI支持通过建立和维护DHCP Snooping 绑定表,侦听接入用户的MAC/IP 地 址、租用期、VLAN-ID、接口等信息,解决 DHCP 用户的IP 和端口跟踪定位问题。同时, 对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址等)直接丢弃,有效防止黑 客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任 端口特性还可以保证DHCP Server 的合法性。
第 11 页,

S5700-LI支持ARP表项严格学习功能,可以防止因ARP欺骗攻击将交换机ARP表项占 满,导致正常用户无法上网。同时,支持IP Source Check 特性,防止包括MAC 欺骗、IP 欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。 S5700-LI支持集中式MAC地址认证和802.1x 认证,支持用户账号、IP、MAC、VLAN、 端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定,同时实现用户策略 (VLAN、QoS、ACL)的动态下发。 S5700-LI支持基于端口的源MAC地址学习限制功能,有效防止用户源MAC欺骗冲击设 备MAC表项,导致正常用户无法学到MAC表而泛洪的问题等。

2.2.4 接入层网络隔离
在接入层必须对必要的业务划分VLAN,VLAN划分的方法可以基于端口、基于用户的 业务等。

图1 接入层 VLAN 划分组网示意图

? ? ?

所提供接入交换机具有灵活的VLAN划分方法; 可以有效的防止ARP等二层攻击; 同时支持QinQ技术,可以突破4K个VLAN的限制,为将来网络的合理改造以及扩 容打下坚实的基础。

采用QinQ技术可以提供每用户每VLAN的组网方式,将VLAN终结在核心层上。

第 12 页,

图2 采用 QinQ 技术隔离终端

QinQ技术采用嵌套VLAN技术,突破了4K VLAN的限制,无论何种接入设备都可以满 足整个网络可靠性、安全的设计,同时每个终端一个VLAN的设计方式保证了二层方式的终 端是隔离的,防止了广播风波、ARP病毒等对局域网危害很大的不安全因素的蔓延。 采用这种方式的组网可以大大提高整网的可靠性和安全性, 使得网络对二层设备的依赖 降低,并且有助于降低建设成本,因为所有的终端访问都必须经过汇聚交换,这样的网络设 计非常方便网络的管理、控制,避免因为流量的过渡分散造成的安全失控。

2.2.5 出口设计
考虑到外网攻击很多,在出口部署安全网关,对内外网进行安全隔离,进行NAT转换和 路由,同时防火墙提供攻击防范和url过滤等功能,对外网来的攻击进行防御。 安全网关设备实现如下功能: 1) 安全隔离:安全网关的安全隔离是基于安全区域,这样的设计模型为用户在实 际使用统一安全网关的时候提供了十分良好的管理模型。华为统一安全网关提 供了基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任 意的接口,因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。 2) 防 DDOS:安全网关产品根据数据报文的特征,以及 Dos 攻击的不同手段,可以 针对 ICMP Flood、SYN Flood、UDP Flood 等各种 Dos 攻击手段进行 Dos 攻击的防 御。 3) URL 过滤功能:能提供 URL 黑、白名单功能;支持前缀匹配,后缀匹配,关键 字匹配等;支持用户自定义 URL 功能,可自定义分类以及自定义 URL;URL 过 滤响应方式可以设置为禁止或允许,禁止方式下支持返回页面通知,页面内容
第 13 页,

可自定义;支持 URL 访问日志记录,支持日志归并;URL 分类大类 43 个,小类 127 个,URL 特征库数量≥6500 万条;支持 URL 热点库功能,且热点库支持升 级。 4) 防火墙 NAT 转换:在 IPV4,由于公网 IP 少,需要防火墙提供 NAT 地址转换,实 现对公网的业务访问需求。需要支持包括源 IP 地址转换、目的 IP 地址转换、端 口地址转换、静态 IP 地址转换、IP 地址池转换等;支持扩展 NAT 功能,可实现 单个公网 IP 的无限地址转换;考虑到 FTP、H.323、SIP 等它们报文的数据部分 可能包含 IP 地址或端口信息,需要支持 FTP、H.323、SIP 等各种应用协议。 5) 路由: 支持静态路由、路由策略、策略路由、RIP、OSPF、BGP、MPLS、ISIS 等路 由协议 6) 高可靠性:支持 HRP (Huawei Redundancy Protocol) 协议实现双机热备份功能, 包括主备备份 (Active/Standby)和负载分担 (Active/Active)两种方式。HRP 负责在主/备设备之间备份关键配置命令和会话表状态信息,从而确保主用设 备出现故障时能由备份设备平滑地接替工作。

2.3

无线网络的设计方案

2.3.1 概述
有线网络建设经过改造后,已初具规模, 1000Mbps 光缆敷设到全校大部分的楼宇。 如何将网络延伸到校园的每一个角落,为学生和教师提供一个随时、随地使用网络的环境, 是摆在我们面前的重要任务。 无线接入技术与光纤接入、ADSL 接入、以太网接入等技术相比,具有投资少,建网 周期短、提供业务快等优势。在无线接入领域中,固定无线接入正走向成熟,其应用步伐不 断加快。而其中无线局域网技术又以其提供方便、快捷的组网方式等优势,倍受瞩目。 因此,我们采用有线网络与无线网络(802.11b、802.11g)融合的策略,将网络应用 延伸到各个办公室、多媒体教室、校园活动场所等空间,提供教学视频的无线上传及下载, 方便教学工作的开展。

第 14 页,

2.3.2 无线基本概念

2.3.3.1

网络架构模型

WLAN网络在部署过程中,根据不同的需求有多种实现形式,根据网络架构分为:
? ?

自治式架构(即 FAT AP 或胖 AP) 集中式架构(即 FIT AP 或瘦 AP)

自治式架构和集中式架构两种网络结构比较如表1-1所示。 表1-1 自治式架构和集中式架构比较表
项目 适用场景 安全性 自治式架构 微型企业、个人 传统加密、认证方式,普通安 全性 每 AP 需要单独下发配置文件 类似有线,根据 AP 接入的有 线端口区分权限 L2 漫游,适合小规模组网 实现简单数据接入 集中式架构 新生方式,增强管理 基于用户位置的安全策略, 高 安全性 AC 上统一配置,AP 本身零 配置,维护简单 虚拟专用组方式, 根据用户名 区分权限,使用灵活 L2、L3 漫游,拓扑无关性, 适合大规模组网 可扩展丰富业务

网络管理

用户管理

WLAN 组网规模 增值业务能力

自治式架构 该架构下AP实现所有无线接入功能,不需要AC设备形态,如图1-2所示。 图1-2 WLAN 自治式架构图
DHCP/DNS 服务器

FAT AP

园区网

认证服务器

FAT AP

eSight网管

第 15 页,

WLAN早期广泛采用自治式架构,随着企业大量部署AP后,对这些AP进行配置、升级软件 等管理工作将给用户带来很高的操作成本,管理成本提高,自治式架构应用逐步减少。 集中式架构 该架构通过无线控制器(AC)集中管理、控制多个AP,如图1-3所示。所有无线接入功能由 AP和AC共同完成: ? AC 完成网络具有重要意义的功能,例如移动管理、身份验证、VLAN 划分、射频 资源管理、无线 IDS(Intrusion Detection Systems)和数据包转发等。 ? AP 完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传 输确认、空口数据优先级管理等等。 图1-3 WLAN 集中式架构图
DHCP/DNS 服务器
FIT AP

AC 园区网 认证服务器

FIT AP

eSight网管

AP和AC间采用CAPWAP隧道协议进行通讯,AC与AP间可以是直连或者穿越Layer 2、 Layer 3网络。 CAPWAP协议是基于UDP传输层的应用层协议,协议传递的信息分为两类:控制信息和 数据信息。 ? 控制信息负责 AC 与 AP 之间的管理的交互操作,包括 AP 自动发现 AC、AC 对 AP 进行安全认证、AP 从 AC 获取软件版本、AP 从 AC 获取配置等等。 ? 数据信息是封装后转发的无线数据。 两类信息分别使用不同的UDP端口号。CAPWAP信息在AP与AC间交互时可以使用DTLS加 密机制,保证通信的安全性。 所有无线接入功能由AP和AC间共同完成。集中式架构是企业网、运营商等WLAN方案的主 要架构,便于集中管理、集中认证和实施安全策略。此种方案为目前企业网通用方案。
第 16 页,

在FIT AP网络架构下,又有如下划分:
? ? ? ?

根据 AC 部署方式,分为集中式和分布式 根据 AC 部署位置,分为旁挂和直路 根据 AC 硬件体现形式,分为集成 AC 和独立 AC 根据业务转发形式,分为本地转发和集中转发

2.3.3.2

集中式AC与分布式AC

根据AC的部署方式,网络可分为集中式AC部署和分布式AC部署。 集中式AC部署 集中式AC部署是指整个网络中集中部署AC设备(一般是独立的AC设备),来控制和管理 整网的AP设备。AC的部署可以采用直路(直接部署在AP和汇聚/核心交换机之间)或旁挂 方式(旁挂在汇聚/核心交换机旁侧)。 图1-4 集中式 AC 部署示意图

分布式AC部署 分布式AC部署是指网络中分区域采用多个AC设备, 分别对本区域的AP设备进行管理。 分布 式AC方案一般不采用独立的AC设备,而是采用在汇聚交换机上集成AC功能,来实现对本 交换机下挂的所有AP进行管理。

第 17 页,

图1-5 分布式 AC 部署示意图

AC的两种部署方式的优劣势对比如表1-2所示。 表1-2 集中式 AC 与分布式 AC 优缺点对比表
AC 部署方式 集中式 优点
? ?

缺点 AC 与 AP 之间的网络结构 复杂, 网络规划部署相对复 杂

节省投资 容量管理更简单有效,成本 效益高 无线业务终结点少,便于管 理 漫游部署简单、高效 无线网络运维管理更简单, 可集中管理且配置灵活

?

? ?

分布式

AC 与 AP 之间网络结构简单, 网络部 署相对简单

? ?

投资成本高 需要部署 AC 间漫 游 (除非各 AC 所在 的区域间不考虑漫 游) 运维成本高

?

2.3.3.3

AC旁挂与AC直路

根据AC在网络上所处位置,可分为AC旁挂和AC直路。 旁挂 旁挂方式是指将AC部署在用户网关设备(汇聚或核心交换机)一侧,实现对用户网关设备
第 18 页,

下所有AP的管理。 旁挂方式主要用于原有网络汇聚/核心设备非华为设备的场景,目前主要用于网络改造、或 者新建大、中型园区网络场景。 AC旁挂示意图

直路 直路方式是指将AC部署在AP与用户网关设备(汇聚或核心交换机)之间,实现对下辖所有 AP的管理。 直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。 AC直路示意图

2.3.3.4

本地转发与集中转发

转发模式主要是AP针对用户数据可以有不同的转发处理方式。 本地转发 又称直接转发,是指AP上对用户数据由本地转发到网络上层,不经过AC处理,AC只对AP 进行管理。而AP管理流封装在CAPWAP隧道中,到达AC终止。 本地转发示意图

第 19 页,

集中转发 也称作隧道转发。业务数据报文由AP统一封装后到达AC实现转发,AC不但进行对AP管理, 还作为AP流量的转发中枢。即AP管理流与数据流都封装在CAPWAP隧道中到达AC。 隧道转发示意图

本地转发与集中转发优缺点对比如0所示。 本地转发与集中转发优缺点对比表
转发方式 本地转发 优点 缺点

设备署简单,数据流量不经过 AC, AC 负担小。 数据流量和管理流量全部经过 AC, AC 设备数据压力较大,对 AC 可 以 按 用 户 需 求 规 划 安全 监管 策 设备本身处理能力要求较高。 略。

集中转发

第 20 页,

2.3.3 覆盖区域描述 网络覆盖范围总共包含5栋楼:实训楼、实验楼、综合楼、教学楼(白色)、教 学楼(粉色),墙体统一为24砖墙,网络点位统计如下:
建筑 楼层 1 2 3 4 1 2 3 1 2 3 4 1 2 3 1 2 3 4 分布式 AP 数量 2 2 2 2 2 3 2 0 1 1 3 2 2 2 2 2 2 2 34 放装 式 AP 1分4 天线数 功分器 量 数量 2 8 2 7 2 8 2 7 2 7 3 10 2 8 1 1 3 2 2 2 2 2 2 2 34 4 4 9 6 6 6 6 6 6 6 114 备注

实验楼

实训楼长约 40m,建议每层部署 2 个 AP, 通过馈线将天线部署到 每个教室

1 2 1 3 0 1

实验楼

多媒体, 阅览室较大, 单独配 置一台放装型 AP
2 楼 70 个用户,配置 4 个 AP 4 楼 70 个用户,PEIZHI 4 个 AP 教学楼面积较大, 建议每层配置 2 个 AP

综合楼

教学楼(白色)

教学楼(粉色)

教学楼面积较大, 建议每层配置 2 个 AP

数量合计

8

无线AP的部署分为室内放装型及室内分布式两种,室内放装型自带天线,可以部署在 较大的房间内或用户比较密集的区域,提高无线接收效果,如多媒体室,阅览室等。室内分 布式AP可配置功分器,提供多个天线分别接入到每个房间,提高覆盖范围,避免由于墙体 过厚导致的无线衰减问题。本次设计使用了8个放装型AP,部署在多媒体室,阅览室及综合

楼的人员密集区域。使用了34个分布式AP和114根天线,覆盖到每一个教室及主要办公 室,提高完善的网络覆盖范围。 在注意覆盖范围的同时需考虑覆盖的用户总数,,由于AP的处理能力有限,所以建 议每个AP下下挂的用户数量不超过25个,在一些楼层用户较多的区域,需考虑用户数上 限的问题,如综合楼的2楼和4楼,用户数超过70,这些楼层建议配置4个AP进行覆盖, 以达到较好的用户体验

第 21 页,

2.3.4 无线局域网拓扑
本次设计采用集中式构架, 通过AC统一对下级的AP进行管理和维护, AC采用旁挂的方式 进行组网,通过本地转发的方式进行数据传输。本次无线的拓扑结构如下:

本次方案采用瘦AP方式实现大楼的无线覆盖, 便于进行集中配置和统一管理,在实际工 作中,无线控制器AC连接到核心交换机,与eSight网管系统的WLAN管理模块协同工作,实现 对全网AP的自动配置下发、射频管理、信道分配、安全接入控制等等无线网络配置和运维管 理功能。 本次配置采用AC+AP集中式管理的无线组网方案, 各大楼根据工勘结果部署相应AP, 通 过千兆电口连接到相应楼层无线接入交换机, 无线接入交换机提供POE功能, 通过POE技术对 AP供电,简化布线。无线POE交换机通过两条千兆链路连接到核心交换机。核心交换机旁挂 一台无线控制器AC,通过千兆电口互联, 采用集中式组网方式对无线AP进行统一管理和控制, 推荐配置如下: 序号 1 2 (11bgn) 3 室内分布式AP AP6310SN 34
第 22 页,

设备类别 盒式AC 室内放装型AP

设备型号 AC6605 AP6010SN

数量 1 8

备注 64个AP许可 POE供电

4 5

全向天线 POE交换机 S5700-28C-PWR-SI

114 5 每楼宇一台

2.3.5 无线 VLAN 规划
VLAN规划的原则: ? ? 管理VLAN 对于瘦AP,管理VLAN是指AC与AP之间控制报文所带VLAN。控制报文包括AP上线时的报 文(DHCP等)以及建立CAPWAP控制隧道后的控制隧道报文。 由于在实际应用中, AC需要按VLAN选择DHCP SERVER, 或RELAY还是透传, 因此管理VLAN 和业务VLAN必须分离,以便满足不同DHCP应用的需求。如果AC/AP间经过三层转发,中间三 层设备必须支持DHCP RELAY;同样要注意区分管理VLAN和业务VLAN,使之采用不同的 RELAY-GATEWAY,以便AC区别不同DHCP请求。 业务VLAN 业务VLAN主要用于区分不同的业务类型或用户群体,在WLAN中SSID也同样可以承担相 应的工作。因此,在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。 业务VLAN与SSID有如下四种映射关系: ? SSID:VLAN=1:1 部署:例如对北京市西城区“金融大街”和“中央音乐学院”进 行 WLAN 覆盖, 都是北京联通 WLAN 网络的覆盖区域, 所以希望用户搜索到的 WLAN 只有一个 SSID,如“北京联通”;VLAN 也只需要规划一个,如 1000; ? SSID:VLAN=1:N 部署:虽然北京市西城区“金融大街”和“中央音乐学院”都是 北京联通 WLAN 网络的覆盖区域, 用户搜索到的 WLAN 只有一个 SSID “北京联通” , 但希望规划不同的 VLAN 标识不同的场点,如 1000、1001,这个场景中,SSID: VLAN=1:N; ? SSID:VLAN=N:1 部署:虽然都是北京联通的覆盖区域,但希望用户搜索到 WLAN 就 知道自己在什么地方了, 因此需要两个 SSID, 如 “金融大街” 和 “中央音乐学院” , 由于都是北京联通的场所,VLAN 只想规划一个,如 1000;
第 23 页,

管理 VLAN 和业务 VLAN 分离 业务 VLAN 应根据实际业务需要与 SSID 匹配映射关系(1:1/1:N/N:1/N:N)

SSID:VLAN=N:N部署:虽然都是北京联通覆盖区域,但希望用户搜索到WLAN就知道自己在 什么地方了,并希望通过不同的VLAN精细控制流量,因此需要两个SSID,如“金融大街”和 “中央音乐学院”, 同时VLAN也要规划两个,如1000和1001 4. 无线网络应用 无线网扩展了有线网的覆盖范围, 将网络应用延伸到学生向往的空间。 这意味着可以在 任何便于工作的地方,如在报告厅、自助餐厅、实验室、办公室以及在校园休闲场地享受学 习的自由和灵活性。 学生在上述无线覆盖的区域可以收发电子邮件,点播流媒体节目,学习Web课程,利用 WebQuest探讨问题,利用MSN或QICQ与他人(同学、老师或家人)协作交流思想和学习等。 这要归功于可以传输实时信息的各种手持终端和笔记本电脑。 在其他行业中, 无线局域网日 益被看作是一种创新的、可负担的工具,用以补充有线网络,而不是取代它。

3 统一身份认证平台
统一身份认证平台采用华为 TSM 实现: 1) 背景

随着网络技术的发展,学校广泛采用协同办公或通过远程、移动和互联网接入等方 式办公。上述工作方式的应用在带来更多资讯和更高生产效率的同时,也给企业办 公网络带来更多的安全问题。 面临如下风险: ? 远程接入或移动办公会导致网络漏洞越来越多 学校的终端用户、远程办公的终端用户、合作伙伴、来访客户等多种终端用户 接入总局或其他学校网络,网络接入点和接入方式增多,导致网络漏洞成倍增加。 ? 非法终端用户接入 外来人员在未经许可的情况下,能够轻易接入并访问公司的网络。 ? 合法终端用户越权访问 因未对企业中的网络资源进行严格的访问权限控制,导致合法终端用户能够随 意访问企业中的机密信息。 ? 终端用户滥用资源 在未经许可的情况下,终端用户随意使用拨号上网设备连接 Internet。 ? Microsoft Windows 操作系统存在越来越多的安全漏洞

第 24 页,

因终端主机未及时安装补丁,可能招致黑客和恶意用户的攻击。 ? 病毒泛滥 因未安装防病毒软件,终端用户在上网时容易感染病毒,并且容易在企业网中 蔓延和传播。 ? 黑客恶意破坏 黑客会利用 Microsoft Windows 的某些系统服务固有的缺陷或通过暴力破解长 期未使用的账号入侵终端主机,再蓄意破坏企业中的 IT 系统。 ? 随意共享目录导致安全隐患和信息泄密 因共享目录的权限设置不当导致机密文件泄密,并容易感染病毒。 ? 安全策略不能及时落实 管理员缺乏监督手段,不能敦促未安装补丁的终端用户安装补丁或未更新病毒 库的终端用户更新病毒库。 ? 终端用户的违规行为得不到监控 管理员无法检查终端用户是否在上班时间访问与工作无关的网站,最重要的是 缺少取证手段。 ? 上网无法进行计费 学校无法对学生的上网进行计费、计天、包月、流量计费、时长计费、自定义 周期计费、自定义计费策略、本周起不使用不扣费、一次付费分段开通、分地区计 费等 2) 接入控制方案

第 25 页,

在内网中,基于交换机实现的IP的访问控制不仅配置管理不够灵活,而且还存在IP被仿冒等 安全风险,无法彻底解决非法接入和越权访问的问题。 TSM系统终端用户的身份认证, 通过基于用户角色的网络访问权限管理, 加强内网的网络访 问控制,防止非法接入和非授权访问,保证企业内网的安全。通过硬件安全网关进行准入控 制 3) 身份认证方案

TSM系统建立了完善的接入用户身份认证机制, 支持系统内置账号和外部数据源方式。 系统 内置账号包括普通账号、MAC账号,外部数据源账号支持从AD账号、LDAP账号和CA账号 等第三方的用户系统中同步账号,实现终端的网络准入前的身份认证过程。 TSM系统中,终端用户是以终端角色来进行安全策略和网络访问权限管理的,终端只有完 成身份认证才能接入企业内网,因此本次实施方案需完成终端用户的认证账号配置。 TSM系统参考现有企业的组织和管理结构,采用树状结构的多级管理方式,账号数据源支 持系统内置账号和外部数据源方式。系统内置账号包括普通账号、MAC账号,外部数据源 账号支持从AD账号、LDAP账号和CA账号等第三方用户系统中同步账号,完成TSM系统的 接入认证。 4) 设备自发现

现网网络规模较大, 接入内网的设备较多, 管理员很难及时动态滴了解网络设备的接入情况。
第 26 页,

建议启用TSM系统的自动网络扫描功能, 扫描并自动分类网络中的接入设备, 如交换路由设 备、PC设备、服务器、IP电话、网络打印机等,同时保证能够及时发现网络中出现的新设 备, 对未安装TSM代理的外来终端的接入行为进行告警, 方便管理员了解网络终端的接入情 况。 5) 终端加固管理

企业内网终端众多, 员工的计算机水平和信息安全意思参差不齐, 由于操作系统安全设置不 当而引起的安全风险越来越明显, 仅通过目前行政管理手段无法保证所有终端的安全性, 建 议加强对操作系统的安全加固管理,具体管理方案如下: 6) 防病毒软件安全策略

内网的办公终端绝大多数已经安装了防病毒软件, 但由于强制检查, 导致终端长期不更新病 毒库和病毒引擎版本,使得防病毒软件形同虚设,没有发挥其重要的终端保护能力。 因此,建议通过TSM系统的防病毒管理策略实现终端的安全防护,TSM配合企业自身的防 病毒软件,通过检查终端是否安装、运行状态以及防病毒软件的更新状态,作为判断终端当 前安全状态的一个依据, 阻止或提示没有部署杀毒软件的终端或者杀毒软件长期不更新的终 端接入网络。 保证企业内网运行的终端杀毒软件能够及时更新并且有效运行, 减少病毒感染 和扩散的风险。 7) 强化补丁安装

加强操作系统和应用程序的安全漏洞检查, 把补丁的检查作为一个重要的检查项, 检查操作 系统补丁、IE的SP补丁、OFFICE的SP补丁等,当检查到终端没有部署必须的补丁的时候, TSM系统能够协助终端快速完成补丁的修复。 8) 超时自动锁屏

通过屏幕保护策略检查终端的屏幕保护是否启用, 屏幕保护程序密码是否设置以及屏幕保护 启动时间是否符合企业安全要求的安全检查, 保证终端在空闲一定时间后屏幕保护程序自启 动的安全要求,满足企业终端桌面管理规范。当终端屏幕保护设置不符合规范时,进行自修 复。 9) 注册表配置管理

通过对系统注册表键值检查, 完成终端注册表键值存在与否的安全性检查。 支持对终端的自 动修复功能,对于要求存在的键值,如果该键值不存在,则添加该键值;对于不允许存在的 键值,如果该键值存在,则删除该键值。 10) 冗余账号检查
第 27 页,

通过检查系统冗余账号, TSM系统能够协助管理员发现终端长期未使用的临时账号, 降低企 业终端安全管理风险。 11) 检查账号安全 通过账号的弱口令检查、账号群组检查、本地密码策略包括密码长度最小值,密码最长存留 期属性检查等,保证终端操作系统账号的安全; 12) 检查端口策略 通过检查终端口策略,有效保证对于接入网络的终端,及时提醒个人用户关掉无用端口,保 证无用服务的最小化使用原则; 13) 网络共享管理 Window操作系统默认情况下对共享文件夹和共享打印机设置为Everyone权限,如果终端用 户安全意识不高的情况下,就会带来较大的安全隐患。一方面,网络内任意终端可能在未获 得授权的情况下直接窃取共享信息; 另一方面, 公开的共享目录也给病毒的传播提供了温床。 TSM的系统安全管理功能,能够及时协助终端用户发现并且清理不安全的共享账号。 14) 监控非法应用和服务 通过检查终端的软件安装情况和监控终端软件程序的运行情况, 阻止终端安装和运行非法应 用程序。如果发现安装或使用了非法软件、进程和服务,可以通过与准入控制设备的联动提 示或阻止该终端接入网络,也可以拦截非法软件、进程和服务的使用,规范员工的行为。同 时,管理员可通过审计软件的安装和使用情况,从而及时了解安全状态。 15) 终端行为管理 法律规定了很多网站是非法的,比如有色情、迷信和犯罪相关的等等。使用宽带接入互联网 后,企业内部网络某种程度上成了一种“公共”上网场所,很多与法律相违背的行为都有可 能发生在内部网中。这些事情难以追查,给企业带来的法律法规方面的风险。因此,建议对 员工的网络访问行为进行管理,具体管理方案如下: 16) 监控网站访问 通过对WEB访问的监控,记录终端用户的WEB网站访问信息,由管理员进行统一管理和审 计。通过这样的手段,一方面可以管理员工的上网行为,上班时间屏蔽一些与工作无关的网 站;另一方面,提供审计和责任追溯的途径。 17) 软件安装标准化 通过软件黑白名单检查, 检查终端安装软件的列表, 可以定义软件黑名单的违规软件列表和 软件白名单的合法的软件列表, 也可以通过检查软件黑白名单规定只能安装列表中的软件或
第 28 页,

者必须安装的软件,加强企业桌面软件统一安装的标准性。 18) IP 访问和网络应用程序监控 通过对终端的IP访问控制和网络应用程序访问控制功能, 对于一些安全性要求比较高的业务 系统,允许定义基于时间段的IP访问规则,允许配置特定用户群在下班时间后不能访问一些 关键的业务系统, 防止对这些关键服务器可能造成的危害。 允许定义网络应用程序访问规则, 控制IM等聊天工具在上班时间的使用。此外,提供网络流量监控功能,能够协助管理员发 现流量异常的终端。 19) 终端入网审计 提供终端登录内部网络的日志上下线记录, 管理员可以通过日志及时查询哪些用户在什么时 间登录的企业内网安全网络,同时对长期没有登录的账号也提供检索查询; 20) 信息防泄密管理 目前企业办公终端数量较多, 员工的办公终端里存储大量涉及企业机密的敏感信息, 时常发 生员工通过终端外设,如刻录光盘、U盘拷贝、打印等方式将敏感信息外泄,目前通过人工 管理方式不仅耗时费力,而且效果并不明显。针对此种状况,建议加强对终端外设接口的监 控,具体管理方案如下: 21) 外设接口管理 关闭终端上不需要光驱、刻录机、软驱、打印机等外部设备以及串口、并口、红外、蓝牙、 PCMCIA卡、1394、SD/MMC控制器等计算机外设接口,通过关闭不必要的外设和接口,从 而在一定程度上防范信息泄漏。 22) 监控 USB 设备使用 在不影响USB鼠标/键盘的情况下, 对USB设备的管理支持放行、监控、禁用、只读和写加 密四种状态。 ? USB 监控属性:对 USB 存储设备的文件操作进行监控,识别和记录创建文件、 拷入 U 盘、拷出 U 盘、内部复制、删除文件等操作的审计记录; ? USB 禁用属性:禁止终端使用 USB 设备; ? USB 只读属性:对 USB 存储设备进行只读控制,防止终端用户将本地硬盘上的 数据拷贝至 USB 存储设备上; ? USB 写加密属性: 允许终端正常使用 USB 设备,当终端用户从本地硬盘将文 件拷贝到 USB 设备时,系统自动对拷入文件进行加密,从而保证拷入的文件 只允许在企业终端机上使用; 23) 拨号连接管理 通过管理Modem、3G上网卡、ISDN、PPPOE拨号设备,管理员可以通过提供的安全策略监
第 29 页,

控或阻断终端的拨号行为, 系统自动记录拨号的开始时间和结束时间或者禁止终端用户使用 拨号设备, 有效阻止终端绕过企业的监管连接互联网, 避免企业内网直接面对来自互联网的 攻击。 24) 防止违规假设 PROXY/路由器等外联设备 监视内网私自架设PROXY服务器的非法外联行为,当发现违规架设PROXY服务器,可以记 录违规PROXY服务器的地址/端口信息,上报服务器,由管理人员进行跟踪和处理。确保企 业的所有互联网出口流量都经过统一架设的出口网关,通过出口网关过滤不安全的网络访 问,保障企业内网安全。 25) 文件操作审计 通过文件名和通配符的方式自定义需要监控的文件记录,提供文件的新建、删除、编辑、复 制、重命名等操作日志记录,方便安全事件的追溯。 26) 上网计费及管理 支持web认证下的计费、计天、包月、流量计费、时长计费、自定义周期计费、自定义计费 策略、本周起不使用不扣费、一次付费分段开通、分地区计费;支持账单管理、账务流水管 理、手工登帐、营帐报表管理;

4 网络管理规划
4.1 网管需求分析
网络承载的业务越来越多,应用越来越广泛,涉及业务管理系统、网管系统、KVM维护 系统、邮件系统、防病毒系统等;而且数据中心内存在大量的基于Windows、Unix、Linux 的多种平台, 如何将数据中心内的各种应用和平台有效地进行整合和管理, 从而实现对数据 中心的高效便捷的运营管理成为运营商迫切需要解决的问题。

复杂的数据中心的应用

第 30 页,

由于网络中涉及的设备众多,包括了数据设备、安全设备、应用软件、数据库、服务器、 存储等, 因此需要有一个统一的管理平台对数据中心的设备进行管理, 通过良好的管理可以 有效的提升整个中心的运营管理水平, 使得整个系统可以更好的服务, 并防止很多意外的问 题发生。因此一个良好的数据中心必须具有一个良好的管理平台。

4.2

网络设备的管理
网管系统主要由网络管理、流量管理、认证计费等几个产品组成。 ? 网络管理:实现了对交换机、路由器、防火墙等设备的全方位管理,提供了丰富的

拓扑、配置、资产、故障、性能、事件、流量、报表等网络管理功能。 ? 流量管理:提供网络流量监测、流量门限、协议分析、Web上网行为审计等功能。 结合NetFlow网络流量分析器实现更为细化、便捷的全网流量分析功能。 ? 认证计费: 提供灵活多样的计费策略, 支持多种认证方式, 满足组性化的用户管理, 实现多样化的控制策略。 通过网管系统模块可以实现对IT资源的全面、可视化、统一管理。 针对本次项目,从易用性以及网络可管理性出发,网管软件具有但不限于以下功能: 其网管丰富的设备管理能力 (含第三方设备) : ? ? ? ? ? ? 网络 topo,IP 视图等可视化管理,实时掌握网络状态 智能告警分析,短信、邮件等多种通知方式 丰富性能监控指标,性能阈值告警,可视化性能报表 常规报表 + 可定制化报表,满足企业各种报表需求 企业 CPE 即插即用:远程部署,降低企业部署成本

有线无线统一管理: ? ? ? 统一 Topo,AP 实景 topo 等多种 topo 视图,实现有线无线统一可视化管理 AP 批量配置,批量升级,远程维护,简单,高效 用户信息、流量管理,拉近无线运维距离

?

可视化业务管理: ? ? 多厂商 MPLS VPN 可视化管理,所见即所得,保护企业骨干网络 IPSec VPN 可视化管理,提升企业安全性

?

精细化网流分析 :

可视化流量管理,细致的流量分析以及分析报表,实现企业网络精细化流量管理 ? 分级网络管理:
第 31 页,

契合企业总部-分支架构,实现企业网络分级管理 ? 开放的二次开发平台:

支持与企业现有OSS、运维工具无缝集成;提供开放API接口,支持企业和合作伙伴在现有 平台上的二次开发,打造更符合企业的运维工具。 ? 多版本满足企业不同需求

提供精简版、标准版、专业版满足不同企业管理需求

5 可靠性设计
5.1 网络可靠性设计

局域网高可靠性设计总体方案如下图所示:

局域网高可靠性设计方案总览 针对二层接入(接入交换机是二层交换机、汇聚交换机作为用户网关)典型局域网架构,从 接入层、汇聚层、核心层来分层考虑网络可靠性设计。 接入层网络是二层网络,接入交换机与汇聚交换机之间通过Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性,同时解决二层网络环路问题;汇聚层交换
第 32 页,

机之间通过VRRP(BFD for VRRP)协议确定用户的主备网关,交换机互联通过TRUNK链 路,保证链路级可靠性,汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障 (单通故障)。 局域网接入/汇聚/核心交换机通过虚拟化技术进行集群(或堆叠),将两台/多台交换机虚 拟化成一台交换机,降低网络拓扑复杂度的同时,提高网络可靠性,是未来高可靠性局域网 的发展趋势。 可靠性设计目标方案(发展趋势):局域网交换机虚拟化

可靠性设计目标方案组网 局域网可靠性方案设计的目标方案或发展趋势是各层次局域网交换机都进行虚拟化, 通过集 群/堆叠技术将两台或多台交换机虚拟成一台交换机。可以提高单节点设备可靠性,一台交 换机故障,另外一台交换机自动接管故障设备上的所有业务,可以做到业务无损切换。设备 虚拟化通过跨设备的TRUNK链路,提升链路级可靠性,并且流量可以均匀分布在TRUNK成 员链路上,提高链路带宽利用率,条或多条链路故障后,流量自动切换到其他正常的链路。
第 33 页,

该方案另外一个优点网络配置和维护简单, 局域二层接入网, 不需要配置复杂的二层环网和 保护倒换协议,二层链路故障直接感知快速切换,三层网络中多个设备间共享路由表,网络 故障路由收敛速度快。网络管理和维护难度大大降低,此方案适应面广,扩展性强,是未来 局域网的发展趋势。

5.2 设备高可靠性设计 5.2.1 重要部件冗余
设备本身要具有电信级5个9的可靠性,需要网络设备支持: 主控1:1备份 DC电源1+1备份;AC电源1+1/2+2备份 模块化的风扇设计,高端配置支持单风扇失效 无源背板,高可靠性 独立的设备监控单元,和主控解耦 所有模块热插拔 完善的各种告警功能 设备管理1:1备份

5.2.2 设备自身安全
如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来 越大.

第 34 页,

黑客工具的危害性 这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻 击。 本次建设所选交换机能提供攻击防范功能, 能够检测出多种类型的网络攻击, 并能采取相应 的措施保护设备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运 行。 全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。 另外,以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导 致交换机无法正常工作。发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷 新,填充交换机的MAC地址表,由于MAC地址表的规格有限,导致正常流量由于没有正确 的转发表项而无法正常转发。ARP攻击与此类似,通过攻击报文来更改MAC与IP地址的绑 定,从而重新定向流量。 本次建设全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC 地址的最大学习个数可防止MAC扫描, 并通过VLAN、 IP、 MAC之间的任意绑定可防范ARP
第 35 页,

攻击(SAI/DAI功能)。 交换机支持黑洞MAC功能, 局域交换机收到报文时比较报文目的MAC地址, 若与黑洞MAC 表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性,则可以在局域 交换机上配置黑洞MAC,从而将具有该MAC地址的报文过滤掉,避免遭受攻击。

5.2.3

接入交换机的堆叠 iStack

iStack堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。 一个局域网用户 上行的2个网络接口,对于堆叠后的设备,可以看作Trunk接口。 多台设备堆叠成一台设备后,从功能和管理方面,都可以作为一台设备来看待。 iStack堆叠技术有如下的优势: ? 简化管理

堆叠设备的角色分为Master和Slave; 通过对Master 设备的配置达到管理整个iStack 堆叠 以及堆叠内所有成员设备的效果, 而不用物理连接到每台成员设备上分别对它们进行配置和 管理。 ? 简化网络运行

iStack 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协 议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互,简化了网络运行,缩 短了网络动荡时的收敛时间。 ? 强大的网络扩展能力

通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。 高可靠性 堆叠的高可靠性体现在多个方面,比如:成员设备之间堆叠物理端口支持聚合功能,堆叠系

第 36 页,

统和上、 下层设备之间的物理连接也支持聚合功能, 这样通过多链路备份提高了堆叠系统的 可靠性;堆叠系统由多台成员设备组成,Master 设备负责堆叠的运行、管理和维护,Slave 设备在作为备份的同时也可以处理业务,一旦Master 设备故障,系统会迅速自动选举新的 Master,以保证通过堆叠的业务不中断,从而实现了设备级的1:N 备份。 ? 高性能

由于iStack 设备是由多个支持iStack 特性的单机设备堆叠而成的,iStack设备的交换容量 和端口数量就是iStack 内部所有单机设备交换容量和端口数量的总和。因此,iStack 技术 能够通过多个单机设备的堆叠,轻易的将设备的交换能力、用户端口的密度扩大数倍,从而 大幅度提高了设备的性能。

6 方案总结
6.1 方案特色

本方案具有以下特点: ①先进性: 采用先进成熟的多层交换网络技术和方法, 针对学校共享信息资源集中的特 征,采用双主节点设计网络核心层、均衡负载设计、高安全接入与灵活计费设计接入层,能 支撑各种现在与未来一段时期的校园教学、科研、行政管理的网络应用。 ②可行性:本设计方案能够充分考虑高校网络教育的特点和应用对象的技术、资源、管 理等方面的约束, 并很好地结合现代网络产品特点进行方案的设计。 比如住宅楼要求的静音 设计(采用自然散热的交换机),支持网络用户账号、MAC地址与端口的捆绑实现高效的用 户控制能力,支持高密度端口的堆叠模式,支持通信负载均衡、带宽聚合、链路冗余的双星 型结构。 ③灵活性:网络核心层采用模块化交换机,按照需求灵活配置各种模块,做到既满足需 求,由留有余地。整个网络架构采用三层结构,使网络具有较好的伸缩性、可以根据网络建 设的不同阶段灵活配置和扩展,具有能不断吸收新技术、新方法的功能。 ④实用性:在接入交换机将用户账号、MAC地址与端口的捆绑实现高效的用户控制;采 用网络管理系统,使网络易维护、易管理,可实施性好。
第 37 页,

⑤可靠性:采用802.1Q实现网络多层交换;采用802.1D实现链路冗余可靠连接;采用基 于802.1X的高安全接入和灵活计费, 利用产品在网络边缘认证计费的自身特色, 保证了网络 系统运行稳定可靠、高效。 ⑥可扩展性:采用模块化交换机、可堆叠交换机,使系统具有良好的可扩展性,又具有 发展潜力。比如交换机增加模块即可扩展网络的规模或拓展冗余链路。 综上所述, 本方案是一个依据用户需求, 充分利用现代网络产品自身特色设计的校园网 整体解决方案。该方案依据学校网络应用的特征,采用成熟、适用、实用、好用、够用的产 品与技术,力争以最小的投资得到最大的满足。

7 设备介绍
7.1 核心交换机 S7706
S7700系列是华为公司面向融合多业务的网络架构而推出的新一代高端智能T比特核心 路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高 性能L2/L3层交换服务基础上,实现高清视频流承载、大容量无线网络、弹性云计算、硬件 IPv6、一体化安全等业务应用,同时具备强大扩展性和可靠性。S7700系列交换机广泛适用 于广域网、城域网、园区网络和数据中心,帮助企业构建面向应用的网络平台,提供交换路 由一体化的端到端融合网络。 S7700系列提供S7703、S7706、S7712三种产品形态,支持不断扩展的交换能力和端口 密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩 展性的同时最大限度地保护用户投资。此外,S7700作为新一代智能交换机采用了多种绿色 节能创新技术,在不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染, 为网络绿色可持续发展提供领先的解决方案。

S7703

S7706

S7712

产品特点
第 38 页,

先进交换架构提升网络扩展性 背板具备良好的扩展性, 可平滑扩展至更高带宽, 支持单端口速率40G、 100G平滑升级, 同时完美兼容现网板卡,保护初始投资。 超高万兆端口密度,单台设备支持480个万兆端口,助力企业园区和数据中心迎来全万 兆核心时代。 运营级高可靠性设计,保障企业应用永续运行 7700具备超越5个9的运营级高可靠性,主控、电源、风扇等关键部件冗余设计,所有模 块均支持热插拔。支持ISSU业务无损升级,减少关键业务和服务中断。 CSS集群创新性采用交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换, 交换效率低下的架构难题,提供业界主机间最大的256G集群带宽,同时可以通过跨框链路 聚合提高链路的利用率,并消除单点故障。 支持完善的运维检测与性能管理802.3ah、802.1ag和ITU-Y.1731,能够对网络传输中的 时延、抖动等参数进行精确统计,实时监测网络运行情况,并在设备故障发生时快速定位。

S7700 CSS集群 完善的QOS机制 S7700提供高品质的QOS(Quality of Service)能力,支持Layer2~Layer7的流分类技术, 具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不 同用户、不同业务等级的服务质量要求。 S7700提供层次化QOS(H-QOS)调度机制,支持面向接入侧的多级H-QOS调度机制, 多样化,差异化满足大型企业园区不同层次用户设备的业务需求。 全业务以太交换平台 支持分布式L2/L3 MPLS VPN功能,支持MPLS、VPLS、HVPLS、VLL,满足企业VPN
第 39 页,

等用户的接入需求。 支持完善的二、三层组播协议,线卡硬件具备线速的跨VLAN组播复制能力,独立的组 播QOS队列,优先满足视频和音频等低时延业务转发。 软件平台提供多种路由协议满足企业建网要求, 支持从中小企业到超大型跨国公司级大 规模路由,支持IPv6,能够为企业网络提供平滑升级能力。 虚拟化数据中心交换平台 首创交换网CSS集群,分布式跨设备链路聚合技术,有效利用数据中心内部带宽资源, 实现数据中心内部数据交换对物理链路无感知。 针对大型分布式计算数据中心业务模型,专门设计大缓存线卡,支持单端口200ms数据 流量缓存,解决分布式高性能计算网络瞬间流量过大丢包问题。 每板最大64K硬件队列,支持精细化QOS和流量管理,利用多种队列组合调度算法、拥 塞控制算法,保证客户不同的带宽、业务延迟和抖动性能需求。 高性能IPv6业务能力 S7700软硬件平台均支持IPv6,取得工信部IPv6入网认证和IPv6 Ready第二阶段金色认 证。 支持IPv4/IPv6双协议栈, 支持多种隧道技术, 支持IPv6静态路由、 RIPng、 OSPFv3、 BGP+、 IS-ISv6、IPv6组播,满足IPv6独立组网和IPv4/IPv6混合组网要求。 高集成增值业务处理模块节省建网投资 S7700负载均衡器支持加权轮询、 基于连接数、 加权IP地址Hash和基于HTTP URL的Hash 等多种均衡调度算法,全面满足客户负载均衡要求。 集中式网流业务分析模块, 支持Netstream V5/V8/V9多种报文格式, 支持聚合流量模板, 实时流量采集、动态报表生成、属性分析、流量异常告警等功能。 周密的安全设计 内嵌集中式防火墙板卡, 支持虚拟防火墙与NAT多实例, 满足多VPN客户共用防火墙组 网环境。应用层包过滤技术对应用层报文内容进行复杂规则检测和过滤。 支持完善的AAA机制, 根据策略对接入用户进行认证、 授权和计费。 支持802.1X、 Portal、 Guest VLAN,支持用户动态接入认证,与其他主流厂商的NAC互通。 提供2级CPU保护机制,支持1K CPU硬件保护队列,可实现数据和控制的分离处理,防 止拒绝服务攻击、 非法接入以及控制平面过载等安全威胁, 提供业界领先的一体化安全解决 方案。
第 40 页,

无线+无源一体化接入 S7700 EPON OLT板卡提供上下行对称的1.25Gbps 高带宽, 能够更好地满足用户对带宽 的长期增长需求,支持不同的传输距离,适合各种网络应用环境,充分满足接入网的复杂环 境和各种要求。 S7700无线AC板卡支持丰富的RF(射频)管理。支持AP上线时自动选择信道和功率, 在AP重叠区域,信号冲突时自动调整功率或信道,RSSI(接收信号强度指示)/SNR(信噪 比)的不断更新,让系统可以实时了解每一个无线用户所处电磁环境,提升网络可用性。 S7700无线AC板卡支持二、三层漫游,终端设备跨AP漫游快速切换,AC间1+1、N+1 多机冷备和AC间负载分担提高网络可靠性。 创新节能打造低碳网络 主机“旋转”风道设计,提高整机散热效率,采用芯片“变流”技术,实现按流量动态 调整功率,降低整机功耗11%。支持端口休眠,无流量不耗电。 独立风扇分区控制,进一步降低功耗和噪声污染,智能风扇调速策略,采用小区间控温 技术,有效降低转速,并延长风扇使用寿命。 智能POE供电,可以实现基于PD设备角色启动不同的能源管理方案,保持设备能源管 理弹性。 支持IEEE 802.3az能效以太网标准,线卡收发器具备低功率闲置模式,支持正常工作与 低功率状态快速转换,低流量低功耗。

7.1.1

产品规格

项目 背板容量 交换容量 包转发率 业务槽位

S7703 3Tbps 768Gbps/1.92Tbps 576Mpps/1440Mpps 3 6Tbps

S7706 12Tbps

S7712

2Tbps/5.12Tbps 1152Mpps/2880Mpps 6

2Tbps/5.12Tbps 1344Mpps/3360Mpps 12

支持 Access、Trunk、Hybrid 方式 支持 default VLAN VLAN 支持 VLAN 交换 支持 QinQ、增强型灵活 QinQ 支持基于 MAC 的动态 VLAN 分配 MAC 地址 支持 MAC 地址自动学习和老化 第 41 页,

项目 功能

S7703 支持静态、动态、黑洞 MAC 表项 支持源 MAC 地址过滤

S7706

S7712

支持基于端口和 VLAN 的 MAC 地址学习限制 支持 STP,RSTP 和 MSTP STP 支持 BPDU 保护、Root 保护、环路保护 支持 BDPU Tunnel 支持 RIP、OSPF、ISIS、BGP 等 IPv4 动态路由协议 IP 路由 支持 RIPng、OSPFv3、ISISv6、BGP4+等 IPv6 动态路由协议 支持 IGMPv1/v2/v3、IGMP v1/v2/v3 Snooping 支持 PIM DM、PIM SM、PIM SSM 支持 MSDP、MBGP 支持用户快速离开机制 组播 支持组播流量控制 支持组播查询器 支持组播协议报文抑制功能 支持组播 CAC 支持组播 ACL 支持 MPLS 基本功能 支持 MPLS OAM MPLS 支持 MPLS TE 支持 MPLS VPN/VLL/VPLS 支持 LACP、支持跨设备 E-Trunk 支持 VRRP、BFD for VRRP 支持 BFD for BGP/IS-IS/OSPF/静态路由 支持 NSF、GR for BGP/IS-IS/OSPF/LDP 支持 TE FRR、IP FRR 可靠性 支持以太网 OAM 802.3ah 和 802.1ag 支持 ITU-Y.1731 支持 DLDP 支持运行中软件升级 ISSU 支持集群交换系统 CSS QoS 支持基于 Layer2 协议头、Layer3 协议、Layer4 协议、802.1p 优先级等的组合 流分类

第 42 页,

项目

S7703

S7706

S7712

支持 ACL、CAR、Remark、Schedule 等动作 支持 PQ、WRR、DRR、PQ+WRR、PQ+DRR 等队列调度方式 支持 WRED、尾丢弃等拥塞避免机制 支持 H-QOS 支持流量整形 支持 IEEE 802.3ah 支持 DBA EPON OLT 支持 ONU 上、下行带宽控制 支持 ONU 环回测试 支持 Console、Telnet、SSH 等终端服务 支持 SNMPv1/v2/v3 等网络管理协议 支持通过 FTP、TFTP 方式上载、下载文件 配置与维护 支持 BootROM 升级和远程在线升级 支持热补丁 支持用户操作日志 802.1x 认证,Portal 认证 支持 NAC 支持 RADIUS 和 HWTACACS 用户登录认证 命令行分级保护,未授权用户无法侵入 安全和管理 支持防范 DoS 攻击、 TCP 的 SYN Flood 攻击、 UDP Flood 攻击、 广播风暴攻击、 大流量攻击 支持 1K CPU 通道队列保护 支持 ICMP 实现 ping 和 traceroute 功能 支持 RMON 支持 Firewall 功能 支持 NAT 功能 增值业务能 力 支持 Netstream 功能 支持 IPSec 功能 支持负载均衡功能 支持无线 AC 控制器 绿色节能 机箱尺寸 mm(宽×深×高) 支持 802.3az 能效以太网 442×476×175 442×476×442 442×476×664

第 43 页,

项目 机箱重量 (空配)
整机供电能力 (不含 POE)

S7703 <15Kg <30Kg

S7706 <45Kg

S7712

800W

1600W

1600W

整机最大 POE 功率

2200W

8800W

8800W

7.1.2 解决方案应用
大型园区网解决方案 Quidway S7700核心交换机能够为用户组建高可靠、高性能、业务易扩展、易管理的企 业园区网络。S7700具备分布式IPv4/IPv6/MPLS全线速交换能力,满足企业园区核心、汇聚 节点高密万兆海量数据吞吐能力。 S7700支持无线AC控制模块, 园区核心与WLAN控制合一, 节省建网投资。S7700支持硬件CPU通道队列,保护企业核心免受DDOS攻击与各种安全威 胁。

大型数据中心解决方案 S7700系列交换机可以作为大型数据中心的高密万兆核心和万兆汇聚节点,助力企业构 筑高可靠、无阻塞、虚拟化的数据中心网络。S7700支持ISSU、IP FRR、硬件级BFD、NSF、 VRRP、E-Trunk等高可靠性技术,实现数据中心业务永续运行。S7700提供CSS集群、负载 均衡一体化解决方案,提高网络IT利用效率,降低网络维护成本。

第 44 页,

7.2

接入交换机 S5700-LI

产品概述
S5700-LI系列企业交换机(以下简称S5700-LI),是华为公司自主研发的新一代绿色节能 的二层全千兆以太网交换机, 提供灵活的全千兆以太网接入端口、 丰富的业务特性, 支持EEE 节能特性,支持整机休眠功能,可以为用户提供绿色、易管理、易扩展、低成本的千兆到桌 面的解决方案。

产品外观
S5700-LI包括如下款型:

产品外观
? ? S5700-28P-LI-AC ? ? S5700-28P-LI-DC ? ? ? S5700-28P-PWR-LI-AC ? ? ? ? ? S5700-52P-LI-AC ?

描述
24个10/100/1000Base-T,4个100/1000Base-X SFP 分交流供电和直流供电两种机型, 支持RPS冗余电源 包转发率:42Mpps 交换容量:208Gbps

24个10/100/1000Base-T,4个100/1000Base-X SFP 交流供电,支持RPS冗余电源 支持PoE+ 包转发率:42Mpps 交换容量:208Gbps 48个10/100/1000Base-T,4个100/1000Base-X SFP 分交流供电和直流供电两种机型, 支持RPS冗余电源 包转发率:78Mpps 交换容量:256Gbps

S5700-52P-LI-DC ? ? S570 ? 48个10/100/1000Base-T,4个100/1000Base-X SFP 交流供电,支持RPS冗余电源 支持PoE+ 第 45 页,

0-52P-PWR-LI-AC

? ?

包转发率:78Mpps 交换容量:256Gbps

产品特性
? 创新节能打造低碳网络

S5700-LI系列智能低功耗交换机, 根据不同用户的使用场景及应用需求, 提供了灵活可 配的标准节能、基本节能、深度节能三种模式,是业界首家支持整机休眠的交换机设备。通 过匹配端口Link Down/Up、光模块在位/不在位、配置Shut Down/Undo Shut Down、空闲时 段、繁忙时段等应用场景,达到应用中大幅度提高动态节能技术应用比例,节省设备耗电量 的目的。 S5700-LI系列智能低功耗交换机,本着性能优先,节能不牺牲用户体验的设计原则,突 破性应用能效以太网(EEE)、端口能量检测、CPU动态调频、设备休眠等技术完成了设备智 能低功耗设计。 ? 完备的高可靠保护机制 S5700-LI不仅支持传统的STP/RSTP/MSTP生成树协议,还支持SmartLink可实现链路负载 分担,进一步提高了链路带宽利用率。 S5700-LI 支持智能以太保护 SEP(Smart Ethernet Protection),SEP 是一种专用于 以太链路层的环网协议,提供毫秒级快速业务倒换性能,保证业务的不中断。SEP 协议简单 可靠、倒换性能高、维护方便、拓扑灵活,可以大大方便用户进行网络的管理和规划。 S5700-LI支持G.8032(Ethernet Ring Protection Switching,简称ERPS)业界最新的 环网标准协议, ERPS标准基于传统的以太网MAC和网桥功能, 利用以太网成熟的OAM功能和一 个环网自动保护倒换(Ring APS,简称R-APS)协议,实现以太环网的毫秒级快速保护倒换。 ERPS支持多种业务,组网模式灵活,为客户带来更低的OPEX和CAPEX。 S5700-LI遵循IEEE 802.1ag提供端到端以太网故障管理功能,IEEE 802.3ah可以用于检 测用户侧最后一公里以太网直连链路上的故障。

? 丰富的 QoS 策略和安全机制 S5700-LI能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、 VLAN、以太网帧协议类型、CoS等信息,实现复杂流分类功能。 S5700-LI支持基于流的双速三色限速功能,每端口支持8个优先级队列,支持WRR、DRR、 PQ、WRR+PQ、DRR+PQ多种队列调度算法,有效地保证话音、视频和数据业务质量。 S5700-LI提供多种安全保护功能。支持DoS(Denial of Service)类防攻击、网络的防 攻击、 用户的防攻击等功能。 其中DoS类防攻击主要包括SYN Flood、 Land、 Smurf、 ICMP Flood。 网络的防攻击主要是指STP的BPDU/Root攻击。 用户的防攻击涉及DHCP仿冒攻击、 中间人攻击、 IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。

第 46 页,

S5700-LI支持通过建立和维护DHCP Snooping 绑定表,侦听接入用户的MAC/IP 地址、 租用期、VLAN-ID、接口等信息,解决 DHCP 用户的IP 和端口跟踪定位问题。同时,对不符 合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址等)直接丢弃,有效防止黑客或攻 击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性 还可以保证DHCP Server 的合法性。 S5700-LI支持ARP表项严格学习功能,可以防止因ARP欺骗攻击将交换机ARP表项占满, 导致正常用户无法上网。同时,支持IP Source Check 特性,防止包括MAC 欺骗、IP欺骗、 MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。 S5700-LI支持集中式MAC地址认证和802.1x 认证,支持用户账号、IP、MAC、VLAN、端 口、 客户端是否安装病毒防范等用户标识元素的动态或静态绑定, 同时实现用户策略 (VLAN、 QoS、ACL)的动态下发。 S5700-LI支持基于端口的源MAC地址学习限制功能,有效防止用户源MAC欺骗冲击设备 MAC表项,导致正常用户无法学到MAC表而泛洪的问题等。 ? 免维护,易管理 S5700-LI支持自动配置、即插即用、自动批量远程升级等功能,便于部署升级和业务发 放, 简化后续的管理和维护性能, 从而大大降低了维护成本。 S5700支持SNMP V1/V2/V3, CLI (命令行接口)、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式,设备管理 更加灵活。支持NTP、SSHv2.0、HWTACACS、RMON、多日志主机、基于端口的流量统计,支持 NQA网络质量分析,有利于进一步作好网络规划和改造。 S5700-LI支持GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议),实现 VLAN动态分发、注册和传播VLAN属性,减少手工配置量、保证VLAN配置正确性,减少因为配 置不一致而导致的网络互通问题。 S5700-LI支持MUX VLAN功能。MUX VLAN提供了一种在VLAN的端口间进行二层流量隔离的 机制。采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。MUX VLAN通常 用来防止连接到某些接口或接口组的网络设备之间的相互通信, 但却允许与默认网关进行通 信。例如在企业内部网,客户端口可以同服务器端口通讯,但客户端口之间不能通讯。 ? PoE 特性 S5700-LI PWR全系列交换机支持完善的PoE解决方案,用户可灵活配置PoE端口是否供电 以及何时供电。 S5700-LI PWR全系列交换机可以通过配置不同功率等级的PoE电源支持PoE(Power over Ethernet) 功能, 即可通过网线向远端下挂设备 (如IP Phone、 WLAN AP、 Security、 Bluetooth AP等)提供-48V直流电源。作为供电方PSE(Power Sourcing Equipment)设备,支持 IEEE802.3af及802.3at (PoE+)供电标准,同时兼容不符合802.3af及802.3at标准的PD (Powered Device)设备,并支持绿色PoE节电应用模式。其中802.3at单端口供电功率高达 30W,方便接入更大功率的终端。 ? 智能堆叠技术 iStack
第 47 页,

S5700-LI支持iStack智能堆叠功能, 能够将多台设备虚拟化为一台逻辑设备来管理和使 用。 相对单一设备, 智能堆叠在扩展性、 可靠性、 性能和整体架构等方面均具有强大的优势。 当客户需要扩容或者有单个设备故障需要替换时,可实现对“新增设备”的热插拔,从而减 少了业务中断对客户的影响; 相对于框式交换机来说, 智能堆叠在性能和端口密度方面突破 了硬件架构的限制。而对管理来说,堆叠后的数台设备在逻辑上可认为是一台,实现单一IP 管理,大大降低系统扩展以及运维的成本。

7.2.1

产品规格
S5700-LI

项目

S5700-28P-LI* S5700-28P-PWR-LI

S5700-52P-LI S5700-52P-PWR-LI

固定端口 24*10/100/1000Base-T,4*100/1000Base-X SFP 支持16KMAC地址容量 遵循IEEE 802.1d标准 MAC地址表 支持MAC地址自动学习和老化 支持静态、动态、黑洞MAC表项 支持源MAC地址过滤 支持4K个VLAN 支持Guest VLAN、Voice VLAN LAN特性 支持基于MAC/协议/IP子网/策略/端口的VLAN 支持1:1和N:1 VLAN Mapping功能 支持RRPP环型拓扑和RRPP多实例

48*10/100/1000Base-T,4*100/1000Base-X SFP

支持SmartLink树型拓朴和SmartLink多实例,提供主备链路的毫秒级保护 支持智能以太保护SEP协议 可靠性 支持ERPS以太环保护协议(G.8032) 支持STP(IEEE 802.1d),RSTP(IEEE 802.1w)和MSTP(IEEE 802.1s)协议 支持BPDU保护、根保护和环回保护 IP路由 静态路由

IPv6特性 支持ND(Neighbor Discovery)
第 48 页,

S5700-LI 项目
S5700-28P-LI* S5700-28P-PWR-LI 支持PMTU 支持IPv6 Ping、IPv6 Tracert、IPv6 Telnet 支持基于源IPv6 地址、目的IPv6 地址、四层端口、协议类型等ACL 支持MLD v1/v2 snooping(Multicast Listener Discovery snooping) 支持IGMP v1/v2/v3 Snooping和快速离开机制 支持VLAN内组播转发和组播多VLAN复制 组 播 支持捆绑端口的组播负载分担 支持可控组播 基于端口的组播流量统计 支持对端口接收和发送报文的速率进行限制 支持报文重定向 支持基于端口的流量监管,支持双速三色CAR功能 每端口支持8个队列 支持WRR、DRR、PQ、WRR+PQ、DRR+PQ队列调度算法 支持报文的802.1p和DSCP优先级重新标记 支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、 协议、VLAN的非法帧过滤功能 支持基于队列限速和端口Shaping功能 用户分级管理和口令保护 支持防止DOS、ARP攻击功能、ICMP防攻击 支持IP、MAC、端口、VLAN的组合绑定 支持端口隔离、端口安全、 Sticky MAC 支持黑洞MAC地址 支持MAC地址学习数目限制 支持 IEEE 802.1X 认证,支持单端口最大用户数限制 支持AAA认证,支持Radius、HWTACACS、NAC等多种方式 支持SSH V2.0 支持HTTPS 支持CPU保护功能 支持 黑名单和白名单 防雷 业务端口防雷能力:6KV 支持智能堆叠 支持MFF 支持虚拟电缆检测(Virtual Cable Test) 管理和维护 支持端口镜像和RSPAN(远程端口镜像) 支持Telnet远程配置、维护 支持SNMPv1/v2/v3 支持RMON 第 49 页, S5700-52P-LI S5700-52P-PWR-LI

QoS/ACL

安全特性

S5700-LI 项目
S5700-28P-LI* S5700-28P-PWR-LI 支持eSight网管系统、支持WEB网管特性 支持自动配置 支持集群管理HGMP 支持HTTPS 支持系统日志、分级告警 支持GVRP协议 支持MUX VLAN功能 支持802.3az能效以太网EEE 支持断电告警Dying gasp功能 长期工作温度:0 C~50 C 环境要求 短期工作温度:- 5 C~55 C 相对湿度:10%~90%(无凝露) AC: 额定电压范围:100-240V AC ;50/60Hz 最大电压范围:90-264V AC; 50/60Hz 输入电压 DC: 额定电压范围:-48- -60V DC. 最大电压范围:-36- -72V DC 注明:POE机型无DC电源 外形尺寸 S5700-28P-LI: 442*220*43.6
O O O O

S5700-52P-LI S5700-52P-PWR-LI

mm (宽*深* S5700-28P-PWR-LI/S5700-52P-LI/S5700-52P-PWR-LI: 442*310*43.6 高) S5700-28P-LI<25W 功耗 S5700-28P-PWR-LI<765W(PoE:740W) S5700-52P-LI<52W S5700-52P-PWR-LI<792W(PoE:740W)

7.3

无线 POE 交换机 S5700-SI

产品概述
S5700-SI系列交换机是华为公司自主开发的全千兆三层以太网交换机产品,它基于新一 代高性能硬件和华为公司统一的VRP(Versatile Routing Platform)平台,具备大容量、 高密度千兆端口,可提供万兆上行,提供丰富的业务特性及IPv6转发功能。充分满足企业用
第 50 页,

户的园区网接入、汇聚、数据中心接入等多种应用场景。该系列交换机融合了可靠、安全、 绿色环保等先进技术,采用简单便利的安装维护手段,帮助客户减轻网络规划、建设和维护 的压力,助力企业搭建面向未来的IT网络。

产品型号和外观
S5700-SI包括如下款型:

产品外观
?

描述
20个10/100/1000Base-T, 4个100/1000 Base-X 千兆 Combo 口,上行支持 4×1000Base-X SFP、2×10GE SFP+、4×10GE SFP+插卡 ? ? 可插拔双电源,交流供电 支持PoE+ 包转发率:96Mpps 交换容量:256Gbps

S5700-28C-PWR-SI

? ?

产品特性和优势
? 强大的多业务支持能力

S5700-SI支持IGMP v1/v2/v3 Snooping,IGMP Filter,IGMP Fast Leave和IGMP Proxy 等协议。S5700-SI支持线速的跨VLAN组播复制功能,支持捆绑端口的组播负载分担,支持可 控组播,充分满足IPTV和其他组播业务的需求。

? 完备的高可靠保护机制 S5700-SI不仅支持传统的STP/RSTP/MSTP生成树协议,还支持SmartLink和RRPP(Rapid Ring Protection Protocol,快速环网保护协议)等增强型以太技术,可以实现毫秒级链路 保护倒换,保证高可靠性的网络质量。此外,针对Smartlink和 RRPP均提供多实例功能,可 实现链路负载分担,进一步提高了链路带宽利用率。 S5700-SI支持Enhanced Trunk(E-Trunk)功能。在使用E-Trunk之后,CE设备可以通过 E-Trunk双归接入到两台PE设备上,实现了跨设备的链路聚合,极大的提升了接入侧设备的 可靠性。 S5700-SI 支持智能以太保护 SEP(Smart Ethernet Protection),SEP 是一种专用于 以太链路层的环网协议,提供 50ms 的快速业务倒换性能,保证业务的不中断。SEP 协议简 单可靠、倒换性能高、维护方便、拓扑灵活,可以大大方便用户进行网络的管理和规划。

第 51 页,

S5700-SI支持G.8032(Ethernet Ring Protection Switching,简称ERPS)业界最新的 环网标准协议, ERPS标准基于传统的以太网MAC和网桥功能, 利用以太网成熟的OAM功能和一 个环网自动保护倒换(Ring APS,简称R-APS)协议,实现以太环网的毫秒级快速保护倒换。 ERPS支持多种业务,组网模式灵活,为客户带来更低的OPEX和CAPEX。 S5700-SI遵循IEEE 802.1ag提供点到点以太网故障管理功能,IEEE 802.3ah可以用于检 测用户侧最后一公里以太网直连链路上的故障。

? 丰富的 QoS 策略和安全机制

S5700-SI能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、 VLAN、以太网帧协议类型、CoS等信息,实现复杂流分类功能。S5700支持基于流的双速三色 限速功能,每端口支持8个优先级队列,支持WRR、DRR、PQ、WRR+PQ、DRR+PQ多种队列调度 算法,有效地保证话音、视频和数据业务质量。 S5700-SI提供多种安全保护功能。支持DoS(Denial of Service)类防攻击、网络的防 攻击、 用户的防攻击等功能。 其中DoS类防攻击主要包括SYN Flood、 Land、 Smurf、 ICMP Flood。 网络的防攻击主要是指STP的BPDU/Root攻击。 用户的防攻击涉及DHCP仿冒攻击、 中间人攻击、 IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。 S5700-SI支持通过建立和维护DHCP Snooping 绑定表,侦听接入用户的MAC/IP 地址、 租用期、VLAN-ID、接口等信息,解决 DHCP 用户的IP 和端口跟踪定位问题。同时,对不符 合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址等)直接丢弃,有效防止黑客或攻 击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性 还可以保证DHCP Server 的合法性。 S5700-SI支持ARP表项严格学习功能,可以防止因ARP欺骗攻击将交换机ARP表项占满, 导致正常用户无法上网。同时,支持IP Source Check 特性,防止包括MAC 欺骗、IP欺骗、 MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。 S5700-SI支持集中式MAC地址认证和802.1x 认证,支持用户账号、IP、MAC、VLAN、端 口、 客户端是否安装病毒防范等用户标识元素的动态或静态绑定, 同时实现用户策略 (VLAN、 QoS、ACL)的动态下发。 S5700-SI支持基于端口的源MAC地址学习限制功能,有效防止用户源MAC欺骗冲击设备 MAC表项,导致正常用户无法学到MAC表而泛洪的问题等。

? 免维护,易管理 S5700-SI支持自动配置、即插即用、USB开局、自动批量远程升级等功能,便于部署升 级和业务发放,简化后续的管理和维护性能,从而大大降低了维护成本。S5700支持SNMP V1/V2/V3, CLI(命令行接口)、Web网管、TELNET、HGMP集群管理等多样化的管理和维护 方式,设备管理更加灵活。支持NTP、SSHv2.0、HWTACACS、RMON、多日志主机、基于端口的 流量统计,支持NQA网络质量分析,有利于进一步作好网络规划和改造。

第 52 页,

S5700-SI支持GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议),实现 VLAN动态分发、注册和传播VLAN属性,减少手工配置量、保证VLAN配置正确性,减少因为配 置不一致而导致的网络互通问题。 S5700-SI支持MUX VLAN功能。MUX VLAN提供了一种在VLAN的端口间进行二层流量隔离的 机制。采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。MUX VLAN通常 用来防止连接到某些接口或接口组的网络设备之间的相互通信, 但却允许与默认网关进行通 信。例如在企业内部网,客户端口可以同服务器端口通讯,但客户端口之间不能通讯。

? PoE 特性

PoE节电应用模式。其中802.3at单端口供电功率高达30W,方便接入更大功率的终端。 S5700-SI PWR全系列交换机支持完善的PoE解决方案,用户可灵活配置PoE端口是否供电以及 何时供电。 S5700-SI PWR全系列交换机可以通过配置不同功率等级的PoE电源支持PoE(Power over Ethernet) 功能, 即可通过网线向远端下挂设备 (如IP Phone、 WLAN AP、 Security、 Bluetooth AP等)提供-48V直流电源。作为供电方PSE(Power Sourcing Equipment)设备,支持 IEEE802.3af及802.3at (PoE+)供电标准,同时兼容不符合802.3af及802.3at标准的PD (Powered Device)设备,并支持绿色 ? 智能堆叠技术 iStack S5700-SI支持iStack智能堆叠功能, 能够将多台设备虚拟化为一台逻辑设备来管理和使 用。 相对单一设备, 智能堆叠在扩展性、 可靠性、 性能和整体架构等方面均具有强大的优势。 当客户需要扩容或者有单个设备故障需要替换时, 可实现对“新增设备”的热插拔, 从而减 少了业务中断对客户的影响; 相对于框式交换机来说, 智能堆叠在性能和端口密度方面突破 了硬件架构的限制。而对管理来说,堆叠后的数台设备在逻辑上可认为是一台,实现单一IP 管理,大大降低系统扩展以及运维的成本。 ? 丰富的 IPv6 特性 S5700-SI提供双协议栈,可平滑升级。硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道 (包括手工Tunnel,6to4 Tunnel,ISATAP Tunnel),三层线速转发。既可以用于纯IPv4 或IPv6网络,也可以用于IPv4到IPv6共存的网络,组网方式灵活,充分满足当前网络从IPv4 向IPv6过渡的需求。

产品规格
S5700-SI* 项目
S5700-24TP-SI**/ S5700-28C-SI/ S5700-48TP-SI/ S5700-52C-SI/

S5700-24TP-PWR-SI S5700-28C-PWR-SI S5700-48TP-PWR-SI S5700-52C-PWR-SI

端 口

千兆端口

20*10/100/1000Base-T, 4*GE Combo

44*10/100/1000Bas 48*10/100/1000B e-T,4*GE Combo ase-T

第 53 页,

S5700-SI* 项目
S5700-24TP-SI**/ S5700-28C-SI/ S5700-48TP-SI/ S5700-52C-SI/

S5700-24TP-PWR-SI S5700-28C-PWR-SI S5700-48TP-PWR-SI S5700-52C-PWR-SI

描 述 扩展插槽

S5700TP系列提供一个堆叠扩展插槽 S5700C系列产品提供两个扩展插槽,分别支持上行插卡和堆叠卡 遵循IEEE 802.1d标准 16KMAC地址容量

MAC地址表

支持MAC地址自动学习和老化 支持静态、动态、黑洞MAC表项 支持源MAC地址过滤 支持4K个VLAN

VLAN特性

支持Guest VLAN、Voice VLAN 支持基于MAC/协议/IP子网/策略/端口的VLAN 支持1:1和N:1 VLAN Mapping功能 支持RRPP环型拓扑和RRPP多实例 支持SmartLink树型拓朴和SmartLink多实例,提供主备链路的毫秒级保护 支持智能以太保护SEP协议

可靠性

支持STP(IEEE 802.1d),RSTP(IEEE 802.1w)和MSTP(IEEE 802.1s)协议 支持ERPS以太环保护协议(G.8032) 支持BPDU保护、根保护和环回保护 支持Enhanced Trunk(E-trunk)

IP路由

静态路由、RIP V1/2、ECMP 支持ND(Neighbor Discovery) 支持PMTU

IPv6特性

支持IPv6 Ping、IPv6 Tracert、IPv6 Telnet 支持6to4 、ISATAP 、手动配置tunnel 支持基于源IPv6 地址、目的IPv6 地址、四层端口、协议类型等ACL 支持MLD v1/v2 snooping(Multicast Listener Discovery snooping)
第 54 页,

S5700-SI* 项目
S5700-24TP-SI**/ S5700-28C-SI/ S5700-48TP-SI/ S5700-52C-SI/

S5700-24TP-PWR-SI S5700-28C-PWR-SI S5700-48TP-PWR-SI S5700-52C-PWR-SI

支持IGMP v1/v2/v3 Snooping和快速离开机制 支持VLAN内组播转发和组播多VLAN复制 组 播 支持捆绑端口的组播负载分担 支持可控组播 基于端口的组播流量统计 支持对端口接收和发送报文的速率进行限制 支持报文重定向 支持基于端口的流量监管,支持双速三色CAR功能 每端口支持8个队列 支持WRR、DRR、PQ、WRR+PQ、DRR+PQ队列调度算法 支持报文的802.1p和DSCP优先级重新标记 支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的 MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能 支持基于队列限速和端口Shaping功能 用户分级管理和口令保护 支持防止DOS、ARP攻击功能、ICMP防攻击 支持IP、MAC、端口、VLAN的组合绑定 支持端口隔离、端口安全、 Sticky MAC 支持黑洞MAC地址 支持MAC地址学习数目限制 支持 IEEE 802.1X 认证,支持单端口最大用户数限制 支持AAA认证,支持Radius、HWTACACS、NAC等多种方式 支持SSH V2.0 支持HTTPS 支持CPU保护功能 支持黑名单和白名单
支持MFF 支持虚拟电缆检测(Virtual Cable Test) 支持端口镜像和RSPAN(远程端口镜像) 支持Telnet远程配置、维护 支持SNMPv1/v2/v3 管理和维护 支持RMON 支持网管系统、支持WEB网管特性 支持集群管理HGMP 支持系统日志、分级告警 支持GVRP协议 第 55 页,

QoS/ACL

安全特性

S5700-SI* 项目
S5700-24TP-SI**/ S5700-28C-SI/ S5700-48TP-SI/ S5700-52C-SI/

S5700-24TP-PWR-SI S5700-28C-PWR-SI S5700-48TP-PWR-SI S5700-52C-PWR-SI 支持MUX VLAN功能

长期工作温度:0 OC~50 OC 环境要求 短期工作温度:- 5OC~55 OC 相对湿度:10%~90%(无凝露) AC: 额定电压范围:100-240V AC ;50/60Hz 最大电压范围:90-264V AC;50/60Hz 输入电压 DC: 额定电压范围:-48-60V DC 最大电压范围:-36-72V DC 注明:PoE机型无DC电源 外形尺寸mm S5700-24TP-SI: 442×220×43.6 (宽×深×高)其他:442×420×43.6 非PoE:<40W
功耗

非PoE:<56W PoE:<836W (PoE:740W)

非PoE:<64W PoE:<907W (PoE:740W)

非PoE:<78W PoE:<917W (PoE:740W)

PoE:<455W (PoE:370W)

*:S5700-SI是标准型系列交换机的统称。

**: S5700-24TP-SI是S5700-24TP-SI-AC、S5700-24TP-SI-DC的简写,因产品版本和采用的 供电模式无关,在描述产品规格时,产品款型名称上没有注明AC或DC,其他型号产品同理。

组网应用
大型企业网络应用 S5700-SI可以作为大中型企业络的接入设备,小型园区网的汇聚设备,利用链路捆绑、 双归等组网,充分提高网络可靠性。

第 56 页,

7.4

无线控制器 AC6605
AC6605

设备外观

交换容量: 整机最大容量: 128G,AC单元: 20G; 包转发能力: 交换单元: 规格简介 41.66Mpps,AC单元:750kpps 上行接口:2个10GE上行接口 网络接口 业务接口:24个电口,其中最后4个电口与4个光口组成combo 维护接口 管理AP数量 以太网特性 倒换 支持静态路由,RIP-1/RIP-2,OSPF,BGP,IS-IS,路由策略、策略路由。 三层特性 支持组播,支持IPV6.支持BFD,支持VRRP. 支持基于MAC或SN的AP白名单功能的设置和查询 AP设备的接 入控制 支持以单个和批量(MAC地址段或SN段)方式手动设置白名单 支持半自动上线(手工确认)接入方式 支持全自动(无需认证)AP接入 AP上线时自动选择信道和功率 支持动态调优:在AP重叠区域,信号冲突时自动调整功率或信道 局部调优:调整指定AP最优工作信道和功率 全局调优:调整指定域所有AP的最优工作信道和功率 射频管理 支持补盲功能:支持删除AP或AP下线时调大周围邻居的功率补盲 基于域的集中控制式射频参数自动选择和调优 多模式组合接入:a/b/g/n独立部署及组合(an、bg、bgn、gn)部署,共8 种模式接入 优先接入5G终端:无线终端优先启用5G频段 基于VAP的业 支持VAP的批量创建及绑定射频 ESS
第 57 页,

1个RJ-45维护串口;1个RJ-45维护网口;1个Mini USB维护串口 自带60个AP管理授权,最大支持512个AP管理 支持VLAN,支持灵活QinQ,支持STP, RSTP,MSTP,支持RRPP保护

务管理

支持按多种方式查询VAP:单个查询、按ESS查询、批量查询 支持业务离线配置 AP全自动上线方式下,根据业务批量发放规则,自动创建VAP 最大支持20000个VAP对象 支持通过负载均衡组对一组射频进行负载均衡 支持两种负载均衡策略:

负载均衡 基于STA数的负载均衡 基于流量的负载均衡 支持多种认证, 支持组合认证, 支持Radius认证, 支持SSID隐藏 WLAN安全特 性 支持终端IP Source Guard防护 支持静态绑定终端IP地址 支持动态绑定终端IP地址(DHCP) 支持AC内的二层漫游 用户可经AP从AC相同或不同物理口接入 WLAN用户 漫游 支持AC内的跨VLAN的三层漫游 支持免完整802.1X认证的快速协商密钥 支持重关联用户的合法检查,拒绝非法用户的重关联请求 支持用户信息的延时清除,实现用户下线后的快速重新上 设备尺寸 442mm× 420mm× 44.4mm 工作温度范围:-10℃~50℃ 工作湿度范围:5%~95%(非凝结) 工作环境 工作气压范围:70kPa~106kPa 防护标准: 符合IP31要求

7.5

室内放装型 AP6010SN

AP6010系列AP是美观标准室内型无线AP(Access Point),支持2.4GHz和5G频率,遵循 IEEE 802.11a/b/g/n标准,支持Fit模式的WLAN(Wireless Local Area Network)接入点设 备。支持MIMO技术,提供更大的无线范围,双频同时提供业务,提供更高的接入容量,具有 完善的业务支持能力,高可靠性,高安全性,网络部署简单,自动上线和配置,实时管理和 维护等特点,满足室内放装型网络部署要求。

产品特性
第 58 页,

?

美观化设计,适用于企业级、多业务场景的802.11n无线接入点,应用场所包含教育、 企业办公、机场、车站、以及零售业等大中型、中等密度场景 采用最新一代 2×2 MIMO 的芯片设计,绿色节能 6010SN/DN每射频最大速率可达300Mbps,内置天线 支持802.3af以太网供电标准,简化设备安装,扩大了设备的安装范围供电标准 AP6010SN单频持2.4Ghz AP6010DN支持2.4Ghz/5Ghz 双频段

? ? ? ? ?

可扩展性 Huawei全系列AP基于无线控制器的网络架构,多个Fit AP可被集中管理,AP的部署具有 高度的可扩展性,通过软件自动升级技术,不断地扩充AP的数目,从而实现无线网络的平滑 延伸,具有极高的投资保护价值。华为新一代802.11n系列AP,无论是室内还是室外都可以 基于控制器和网管系统实时监控, 还可以根据具体布放环境进行智能RF规划管理、 负载均衡、 AP间漫游、安全策略控制,与有线网络一体化融合,实现集中接入与管理。
产品规格:
项 部件号 规格 Huawei室内放装型AP: 室内放装、内置天线 AP6010DN-AGN 11a/g/n,室内普通型2x2双频,内置天线 AP6010SN-GN 11g/n,室内普通型2x2单频,内置天线 WLAN服务: WLAN网络设计服务 WLAN网络设计基于覆盖、容量、成本、安全、网络性能等需求提供综合的设计方案。服 务内容请参考: 软件 支持的WLAN 控制器 802.11n版本 (及相关)功 能 Huawei WLAN AP 软件V200R001C00或以上版本 Huawei WLAN AC 6605 Huawei WLAN ACU for S9300/S7700 2x2 多入多出(MIMO) 2空间流 最大比合并(MRC) 802.11n 和 802.11a/g波束赋形 20- 和 40-MHz 信道 PHY 数据速率高达 300Mbps 数据包聚合: A-MPDU(Tx/Rx),A-MSDU(Rx only) 802.11动态频率选择(DFS) 支持的数据速 率 802.11b/g:1,2,5.5,6,9,11,12,18,24,36,48,and 54Mbps 802.11n data rates (2.4 GHz and 5 GHz): 第 59 页, 802.11a:6,9,12,18,24,36,48,and 54Mbps

MCS Index

1

GI MCS Index = 800ns 20-MHz Rate (Mbps) 40-MHz Rate (Mbps) 13.5 27 40.5 54 81 108 121.5 135 27 54 81 108 162 216 243 270

2

1

GI = 400ns 40-MHz Rate (Mbps) 15 30 45 60 90 120 135 150 30 60 90 120 180 240 270 300

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 频率波段和 20MHz工作频 道 最大非重叠信 道数 2.4 GHz ? ?

6.5 13 19.5 26 39 52 58.5 65 13 26 39 52 78 104 117 130

注意:客户负责验证在其各自国家/地区的使用审批。要验证审批并识别与特定国家/地区 对应的管制范围,

5 GHz ? ? 802.11a:

802.11b/g:

20 MHz: 3 802.11n:

20 MHz: 24 802.11n:

20 MHz: 3

20 MHz: 24 40 MHz: 9

注意:具体值视管制范围而变化。有关各管制范围的具体详情,请参阅产品文档。 接收灵敏度 802.11b (CCK) -91 dBm @ 1 Mb/s -89 dBm @ 2 Mb/s -88 dBm @ 5.5Mb/s -85 dBm @ 11 Mb/s 802.11g (non HT20) -89 dBm @ 6 Mb/s -88 dBm @ 9 Mb/s -85 dBm @ 12 Mb/s -83 dBm @ 18 Mb/s -80 dBm @ 24 Mb/s -76 dBm @ 36 Mb/s 802.11a (non HT20) -89 dBm @ 6 Mb/s -88 dBm @ 9 Mb/s -85 dBm @ 12 Mb/s -83 dBm @ 18 Mb/s -80 dBm @ 24 Mb/s 第 60 页,

-71 dBm @ 48 Mb/s -70 dBm @ 54 Mb/s

-76 dBm @ 36 Mb/s -71 dBm @ 48 Mb/s -70 dBm @ 54 Mb/s

最大发射功率 802.11b ? ? ? ?

2.4GHz 802.11a ? ? ? 20 dBm,单天线 20 dBm,单天线 20 dBm,单天线 20 dBm,单天线

5.8GHz 20 dBm with,单天线 20 dBm with,单天线 20 dBm with,单天线

802.11g

802.11n (HT20)

802.11n (HT20)

802.11n (HT40)

802.11n (HT40) 注意:最大功率设置视频道和个别国家/地区的规定而变化。有关具体详情,请参阅产品文档。 可用发射功率 设置 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2.4GHz 6dBm(3.98mW) 7dBm(5mW) 8dBm(6.31mW) 9dBm(7.94mW) 10dBm(10mW) 11dBm(12.59mW) 12dBm(15.85mW) 13dBm(19.95mW) 14dBm(25.12mW) 15dBm(31.62mW) 16dBm(39.81mW) 17dBm(50.12mW) 18dBm(63.09mW) 19dBm(79.43mW) 20dBm(100mW) ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 5.8GHz 6dBm(3.98mW ) 7dBm(5mW ) 8dBm(6.31mW ) 9dBm(7.94mW ) 10dBm(10mW ) 11dBm(12.59mW ) 12dBm(15.85mW ) 13dBm(19.95mW ) 14dBm(25.12mW ) 15dBm(31.62mW ) 16dBm(39.81mW ) 17dBm(50.12mW ) 18dBm(63.09mW ) 19dBm(79.43mW ) 20dBm(100mW )

注意:最大功率设置视频道和个别国家/地区的规定而变化。有关具体详情,请参阅产品文档。 集成天线
? ?

内置2.4 GHz全向天线, 增益 4 dBi, 水平波瓣角度 360° 内置5 GHz全向天线, 增益 5 dBi, 水平波瓣角度 360°

外接天线 (单独购买) 接口

无 ? ?

10/100/1000BASE-T (RJ-45) 管理console接口(RJ-45)

指示灯 尺寸 (宽 x 长 x 高)

Status LED指示电源状态,启动加载状态,运行状态,关联状态,空闲状态,错误状态 180*180*50mm

第 61 页,

重量 环境

0.7kg 非工作(储存)温度:-40℃~70℃ 工作温度: -10℃~50℃ 工作湿度:10%~95%(非凝结)

系统内存

128MB DRAM 32MB Flash ? ? ? ? ?

输入电源要求

直流: 54VDC/0.65A 输出 PoE: 36-57 VDC 交流转直流电源适配器(100 to 240VAC;50 to 60Hz;54VDC/0.65A 输出) 符合802.3af/at标准的交换机PoE供电 符合802.3af/at标准的PoE电源适配器

电源选项

功率

AP6010SN:6.5W(最大) AP6010DN:10.2W(最大)

保修 标准顺从

一年 安规标准: ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? UL 60950-1 IEC 60950-1 EN 60950-1 EN 60950-22 GB4943 FCC Part 15.247, 15.407 EN 300.328, EN 301.893 (欧洲) EMI and susceptibility (Class B) FCC Part 15.107 and 15.109 EN 301.489-1 and -17 (欧洲) GB9254 IEEE 802.11a/b/g, IEEE 802.11n, IEEE 802.11h, IEEE 802.11d, IEEE 802.11e; 802.11i, Wi-Fi 保护访问2 (WPA2), WPA 802.1X 高级加密标准(AES), 临时密钥完整性协议(TKIP) EAP-TLS/TTLS,PEAP,EAP-MD5,EAP-SIM Wi-Fi 无线多媒体 (WMM?)

无线电标准:

IEEE标准:

安全:

EAP 类型: 多媒体:

7.6 室内分布式 AP6310SN
AP6310SN是经济型室分单频无线AP(Access Point),功率大,可靠性高,支持2.4G 频率,遵循IEEE 802.11b/g/n标准,支持Fit模式的WLAN(Wireless Local Area Network) 接入点设备。AP6310SN具有完善的业务支持能力,高可靠性,高安全性,网络部署简单,自
第 62 页,

动上线和配置,实时管理和维护等特点,满足室分型网络部署要求。

产品特性 ? AP6310室内大功率无线接入点,也可以与已有的2G/3G 信号合路,共用2G/3G室分系 统。 ? 最大发射功率可达500mW ? 适用于空间信号衰减较大和室内广覆盖的场景 ? 支持802.3af 以太网供电标准,简化设备安装,扩大了设备的安装范围 ? 单频11n,最大可到150M bps 可扩展性 Huawei全系列AP基于无线控制器的网络架构,多个Fit AP可被集中管理,AP的部署具有 高度的可扩展性,通过软件自动升级技术,不断地扩充AP的数目,从而实现无线网络的平滑 延伸,具有极高的投资保护价值。华为新一代802.11n系列AP,无论是室内还是室外都可以 基于控制器和网管系统实时监控, 还可以根据具体布放环境进行智能RF规划管理、 负载均衡、 AP间漫游、安全策略控制,与有线网络一体化融合,实现集中接入与管理。

产品规格表
项 规格

部件号

Huawei室内分布型AP: 室分,外置天线 AP6310SN-GN 11g/n,室内分布型单频,外置天线 WLAN服务: WLAN网络设计服务 WLAN网络设计基于覆盖、容量、成本、安全、网络性能等需求提供综合的设计方案。服务 内容请参考:

软件 支持的WLAN 控制器 802.11n版本 (及相关)功 能 支持的数据速 率

Huawei WLAN AP 软件V200R001C00或以上版本 Huawei WLAN AC 6605 Huawei WLAN ACU for S9300/S7700 20- 和40-MHz 信道 PHY 数据速率高达 150Mbps 数据包聚合: A-MPDU(Tx/Rx), A-MSDU(Rx only) 802.11动态频率选择(DFS) 802.11a:6,9,12,18,24,36,48,and 54Mbps 802.11b/g:1,2,5.5,6,9,11,12,18,24,36,48,and 54Mbps 802.11n data rates (2.4 GHz and 5 GHz): MCS Index
1

GI MCS Index = 800ns 20-MHz Rate (Mbps) 40-MHz Rate (Mbps) 13.5

2

1

GI = 400ns 40-MHz Rate (Mbps)

0

6.5

15 第 63 页,

1 2 3 4 5 6 7 频率波段和 20MHz工作频 道 最大非重叠信 ? 道数 ? 20 MHz: 3 802.11n: 20 MHz: 3

13 19.5 26 39 52 58.5 65

27 40.5 54 81 108 121.5 135

30 45 60 90 120 135 150

注意:客户负责验证在其各自国家/地区的使用审批。要验证审批并识别与特定国家/地区 对应的管制范围,

2.4 GHz 802.11b/g: ? ? 802.11a: 802.11n: 20 MHz: 24 20 MHz: 24 40 MHz: 9

5 GHz

注意:具体值视管制范围而变化。有关各管制范围的具体详情,请参阅产品文档。 接收灵敏度 802.11b (CCK) -91 dBm @ 1 Mb/s -89 dBm @ 2 Mb/s -88 dBm @ 5.5Mb/s -85 dBm @ 11 Mb/s 802.11g (non HT20) -92 dBm @ 6 Mb/s -91 dBm @ 9 Mb/s -88 dBm @ 12 Mb/s -86 dBm @ 18 Mb/s -83 dBm @ 24 Mb/s -79 dBm @ 36 Mb/s -74 dBm @ 48 Mb/s -73 dBm @ 54 Mb/s 2.4-GHz 802.11n (HT20) -86 dBm @ MCS0 -83 dBm @ MCS1 -81 dBm @ MCS2 -78 dBm @ MCS3 -74 dBm @ MCS4 -70 dBm @ MCS5 -69 dBm @ MCS6 -68 dBm @ MCS7 最大发射功率 802.11b ? ? 27 dBm,单天线 27 dBm,单天线 802.11g 802.11n (HT20) 第 64 页, 2.4-GHz 802.11n (HT40) -83 dBm @ MCS0 -80 dBm @ MCS1 -78 dBm @ MCS2 -75 dBm @ MCS3 -71 dBm @ MCS4 -67 dBm @ MCS5 -66 dBm @ MCS6 -65 dBm @ MCS7 2.4GHz

?

27 dBm,单天线

802.11n (HT40) 27 dBm,单天线 注意:最大功率设置视频道和个别国家/地区的规定而变化。有关具体详情,请参阅产品文档。 可用发射功率 设置 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2.4GHz 13dBm(19.95mW) 14dBm(25.12mW) 15dBm(31.62mW) 16dBm(39.81mW) 17dBm(50.12mW) 18dBm(63.09mW) 19dBm(79.43mW) 20dBm(100mW) 21dBm(125.89mW) 22dBm(158.49mW) 23dBm(199.53mW) 24dBm(251.19mW) 25dBm(316.23mW) 26dBm(398.11mW) 27dBm(500mW)

注意:最大功率设置视频道和个别国家/地区的规定而变化。有关具体详情,请参阅产品文档。 集成天线 外接天线 (单独购买) 接口 10/100/1000BASE-T (RJ-45) 管理console端口(RJ-45) 指示灯 SYS LED 指示电源状态, 启动加载状态, 运行状态, 空闲状态, 出错状态. Link LED 指示 以太网链路状态. Wireless LED 指示关联状态 尺寸 (宽 x 长 x 高) 重量 环境 1.5kg 非工作(储存)温度: -40℃~70℃ 工作温度:-10℃~50℃ 工作湿度:10%~95%(非凝结) 系统内存 128MB DRAM 32MB Flash 输入电源要求 ? ? 电源选项 ? ? ? 直流: 54VDC/0.65A 输出 PoE: 36-57 VDC 交流转直流电源适配器(50 to 60Hz;54VDC/0.65A 输出) 符合802.3af标准的交换机PoE供电 符合802.3af标准的PoE电源适配器 第 65 页, 240*200*40 mm 无 华为提供业界广泛的 802.11n 天线选择,为多种部署方案提供最佳覆盖范围。

功率 保修 标准顺从

6.5W(最大) 一年 安规标准: ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? UL 60950-1 IEC 60950-1 EN 60950-1 EN 60950-22 GB4943 FCC Part 15.247, 15.407 EN 300.328, EN 301.893 (欧洲) EMI and susceptibility (Class B) FCC Part 15.107 and 15.109 EN 301.489-1 and -17 (欧洲) GB9254 IEEE 802.11a/b/g, IEEE 802.11n, IEEE 802.11h, IEEE 802.11d, IEEE 802.11e; 802.11i, Wi-Fi保护访问2 (WPA2), WPA 802.1X 高级加密标准(AES), 临时密钥完整性协议(TKIP) EAP-TLS/TTLS,PEAP,EAP-MD5,EAP-SIM Wi-Fi无线多媒体(WMM?)

无线电标准:

IEEE标准:

安全:

EAP 类型: 多媒体:

7.7

出口安全网关 USG5120HSR

USG5120BSR/HSR
『产品概述』

USG5150BSR/HSR

新一代的多业务安全路由网关BSR/HSR产品是全系列旨在满足现代企业集安全、路 由、交换、无线、语音业务于一体的综合安全网关。除了强大的路由交换特性之外,多业务 安全路由网关BSR/HSR还具备多种专业的安全功能,包括状态防火墙、VPN、网络地址转 换(NAT)、身份认证、访问控制和集成的UTM安全特性,可以保护网络抵御DDoS攻击、蠕
第 66 页,

虫、特洛伊木马、病毒、非法入侵和违规网络使用。多业务安全路由网关BSR/HSR重新定 义和设计了传统网络接入和网络安全方案, 使得提供灵活多样端到端安全的可持续性业务成 为现实。USG5100系列适合在大中型企业担当核心安全网关或为大型企业分支机构提供高 性能、多业务的一体化网络解决方案。

『产品特性』 多业务并发访问,端到端的综合集成

?

在先进的多核硬件平台和运营商级路由软件平台的组合优化的基础上, 提供了集成 安全、路由、交换、无线与语音于一体的能力;

?

通过减少对单功能硬件设备依赖,简化了维护工作,节能减排,进而提高了运营效 率,降低了运维成本;

? ?

通过提供高可用,一致性模块化的组件,提高了服务的互操作性; 通过提供高度灵活, 无与伦比的软硬件扩展能力使得企业的投资进一步得到良好的 保护。

丰富的路由,四通八达的连接

?

提供丰富路由特性,支持静态和动态路由,同时支持路由策略和路由迭代,从而使 组网应用更加灵活;

?

通过支持基于会话流的策略路由功能, 使得策略路由与安全特性(如: NAT 和 ASPF 等)协同工作,从而实现接口级负载分担。当一条链路故障时,流量将切换到其他 正常的链路中;

?

内置二层转发芯片保证快速的二层交换能力,在同一个设备内同时支持二层转发、 路由和安全功能。

?

支持 IPv6,为企业网络向 IPv6 过渡提供平滑扩展,保护用户投资。

多种VPN的支持
第 67 页,

? ? ? ? ? ?

L2TP IPSec VPN DVPN(动态 VPN) SSL VPN GRE MPLS VPN

集成丰富的专业级安全技术,保护用户网络

?

完善的防火墙功能: ? ? ? ? ? ? 支持路由、透明、混合三种防火墙工作模式; 支持高级状态防火墙; 支持基本 ACL 包过滤防火墙; 支持安全域划分; 支持静态/动态黑名单功能; 能够防御 ARP 欺骗,DoS/DDoS、SYN Flood、地址扫描、端口扫描等多种恶 意攻击。

?

集成完整的 UTM 功能: ? IPS 入侵防御功能采用了赛门铁克公司先进的 IPS 检测引擎,可提供高效、精 准的网络报文扫描能力,对于 IPS 躲避和欺骗技术也可以做到准确识别; ? AV 防病毒模块采用了赛门铁克公司先进的病毒检测引擎,对于隐藏在网络流 量中的病毒,具有高效、精准的查杀能力; ? AS 反垃圾邮件模块,有效拦截垃圾邮件,净化企业邮件系统,解决垃圾邮件 对正常工作带来的干扰问题; ? URL 过滤和 P2P/IM 控制功能可以精确检测到非法的网站访问动作, 支持 6500 万海量网站,130+内容分类,检测到 2000 多种应用,提供告警、限速、阻断 等方式,保护业务带宽,保障企业业务正常应用。

『产品规格』
型号 USG5100

第 68 页,

USG5120BSR/HSR

USG5150BSR/HSR

扩展及I/0 标配接口 扩展槽位 2GE+2GE Combo 4MIC+2FIC+2DFIC MIC: 1FE、5FSW、1E1、1CE1、1WiFi、1SA、2SA、1ADSL2+、 4G.SHDSL.bis、2G.SHDSL.bis、1G.SHDSL.bis、 3G-WCDMA、3G-CDMA2000、3G-TD-SCDMA、DMIC-8FE2GE FIC: 接口模块类型 2E1、2CE1、4E1、4CE1、8E1、8CE1、2F2C、1GE、4GE、 16FXS、32FXS、GPON DFIC: X86、18FSW-2S、16GSW-4S USB扩展: WCDMA 3G、CDMA2000 3G、TD-SCDMA 3G 尺寸、电源、运行环境 442*414*130.5mm 尺寸 (W x H x D) 442*414*86.1mm (W*D*H) (W*D*H) 重量 裸机6.5kg , 满配≤13.5kg 90~264V 电源AC 47~63Hz 电源DC 功耗 工作环境温度 ~55℃(短期) 环境湿度 5%~95%不结露 ~55℃(短期) 5%~95%不结露 -36~-72V 210w 0℃~45℃(运行),-5℃ 47~63Hz -36~-72V 300w 0℃~45℃(运行),-5℃ 裸机8.3kg ,满配≤18kg 90~264V 4GE Combo 4MIC+2FIC+4DFIC

第 69 页,

7.8

统一身份认证平台 TSM

产品概述
华为TSM终端安全管理系统集网络准入控制、安全管理、桌面管理、计费等功能于 一体,以网络身份识别为基础、网络准入控制为手段、安全管理为核心、桌面管理为补 充,计费为增值,多功能相互促进,为企业提供一体化的内网信息安全解决方案,帮助 企业在建立完整的终端安全管理体系的同时, 有效降低建设和运维成本, 使企业的投资 效益最大化。

产品特点
全面的网络准入控制方案

?有线无线一体化接入? 控制方案:提供基于接入层、汇聚层网络设备(交换机、 Wlan、防火墙等)联动的准入控制方案,适合各种类型园区网使用。 ?多种认证方式:提供802.1x认证、Portal认证、MAC认证等多种认证方式,接入用 户可通过客户端、Web、Webagent发起认证,灵活适应企业雇员、合作伙伴、访客等各 种网络接入用户的认证需要。

丰富的安全策略

? 量化安全风险管理:提供终端遵从性评分,实时监控接入终端的安全状态,让安
第 70 页,

全状态一目了然。 ? 丰富的行为审计功能: 提供全面的用户行为审计功能, 对用户使用网络和计算机 资源的行为进行管控, 包括USB设备监控、 非法外联管理、 进程与服务监控、 ARP防护等。
强大的桌面运维管理

? 全方位功能:提供全方位的桌面运维管理功能,包括资产管理、软件分发、补丁 管理、远程协助等,协助用户集中运维。 ? 网络设备扫描:自动识别IP打印机、IP电话、IP扫描仪、部门专用服务器等非PC 类设备,免除在NAC部署前后需要对该类设备逐一采集登记和维护的麻烦。
方便的系统管理能力

? 集中化管理配置:提供基于Web的配置管理界面,集中对网络接入控制、终端安 全管理、桌面运维管理进行管理配置,方便日常维护管理。 ? 快速部署: 提供基于Portal交换机或防火墙的客户端下载页面推送功能, 实现客 户端快速部署。
增值的计费系统

? web认证下的计费、计天、包月、流量计费、时长计费、自定义周期计费、自定 义计费策略、本周起不使用不扣费、一次付费分段开通、分地区计费 ?账单管理、账务流水管理、手工登帐、营帐报表管理;
灵活扩展

? 可扩展的安全策略: 提供业界最丰富的安全策略, 并提供所见即所得的策略自定 义工具,可根据用户需要灵活配置所需安全检查策略。 ? 云支持:支持从华为公司云安全中心获取安全检查策略和安全检查报表。
功能 认证域 规格 支持将网络划分为多个认证前域、隔离域、认证后域,允许将安全域的访问策略分配 到部门或终端,系统根据准入要求和安全检查状态,分配不同安全域的访问权限; 身份数据 源管理 IP/MAC绑 定 接入控制 支持多种身份数据源, 包括基于系统的内建帐号认证、 移动证书认证、 客户端MAC认证、 第三方数据源如AD、LDAP等方式的认证、匿名认证; 并提供帐号与IP、MAC的绑定功能,满足用户复杂网络状况的各种需求,同时发现修 改IP地址能够自动修改回原IP; 支持硬件网关、802.1X、主机防火墙等多种组合接入控制方式;支持无线有线一体化

第 71 页,

方式 认证方式

接入; 支持代理认证和无代理WEB、基于IE浏览器ActiveX的Webagnet认证方式,满足不同场 景的身份认证需求;

计费

支持web认证下的计费、计天、包月、流量计费、时长计费、自定义周期计费、 自定义计费策略、本周起不使用不扣费、一次付费分段开通、分地区计费

安全防护

防病毒软件强制管理、监控软件黑白名单、监控进程、监控网络异常流量、主机端口 检查、ARP防护等;

系统加固

检查屏幕保护、检查账号安全、软件安装标准化、检查文件夹共享、检查冗余账号、 检查注册表、客户端主机防火墙、监控服务;

外设管理

监控外设(提供控制终端光驱、软驱、串口、并口、红外、蓝牙、Modem、PCMCIA卡、 1394控制器、SD/MMC控制器、打印机外设的启用和禁用操作,提供违规信息上报) 、监 控USB(在不影响USB鼠标/键盘的情况下, 对USB设备的管理支持放行、监控、禁用、 只读和写加密等功能) ;

非法外联 行为管理

监控网络连接、监控非法外联、监控多网卡、监控IP访问; 监控网络应用程序、监控进程、监控服务、监控DHCP、监控WEB站点访问、监控屏幕拷 贝、监控文件操作;

资产管理 设备自发 现 远程协助

资产注册、采集软件信息、采集硬件信息、BIOS信息、资产变更、资产告警 新设备发现、新设备接入告警、卸载代理告警;

要求终端的远程协助开启和使用交互可定制,满足灵活的管理需要。 提供远程协助授 权的应允或无感知远程协助功能,并提供所有远程协助行为的日志记录。

第 72 页,


更多相关文档:

腾冲县第八中学网络信息化建设方案

腾冲县第八中学网络信息化建设方案_其它课程_高中教育_教育专区 暂无评价|0人阅读|0次下载|举报文档 腾冲县第八中学网络信息化建设方案_其它课程_高中教育_教育...

信息化建设方案

信息化建设方案_IT/计算机_专业资料。四川爱众发展...基础信息网络平台建设,重点信 息化项目建设、信息...信息化教学设计方案 暂无评价 8页 5下载券 ©...

和平中学信息化建设实施方案2014

和平中学信息化建设实施方案2014_教学案例/设计_教学...采用适用的网 络管理软硬件, 提高学校网络安全和...

总铺中学信息化建设实施方案

总铺中学 2015~2016 年度年教育信息化建设 实施方案一、指导思想 认真贯彻安徽...“宽带网络校园通”、“优质资 源班班通”和“网络学习空间人人通”建设,加快...

XXXXXX有限公司网络信息化建设方案

27 2 / 27 第一章网络基础架构建设 1.1 方案设计 1.1.1 项目概述 通信...另外为了防止服务器突然宕机,可以再备一台安装有 Vmware 虚 8 / 27 拟化系统...

XX县级政府信息化建设实施方案

XX县级政府信息化建设实施方案_解决方案_计划/解决方案...(3)农牧业信息。由县农牧业局筹资建设,建立“...(8)人口与计划生育信息专网 由县计划生育管理委员会...

信息化建设方案

阿里烟草局(公司)信息化建设方案一、信息化建设目的 为了从根本上加快我局(公司...的实际情况信息化建设分四个阶段进行: 第一阶段:尽快完成局(公司)局域铺设以及...

XX县实验中学信息化建设方案

成都理工大学毕业设计(论文) XX 县实验中学图书馆 信息化建设方案摘要当前, 随着计算机及网络技术在社会生活各个方面的普及,图书馆信息化建 设成为每一个图书馆的...

甘溪乡初级中学教育信息化建设规划方案

甘溪乡初级中学教育信息化建设规划方案_其它课程_初中教育_教育专区。甘溪乡初级...8、积极引进培训资源,充分发挥网络在教师培训中的作用,开展基 于网络的校本培训...
更多相关标签:
中小学信息化建设方案 | 中学信息化建设方案 | 信息化建设方案 | 企业信息化建设方案 | 医院信息化建设方案 | 财务信息化建设方案 | 学校信息化建设方案 | 集团信息化建设方案 |
网站地图

文档资料共享网 nexoncn.com copyright ©right 2010-2020。
文档资料共享网内容来自网络,如有侵犯请联系客服。email:zhit325@126.com