景东公安局办公大楼布线方案
来源:诚隆伟业 发布时间:2014/9/10 11:42:32 阅读次数:
目录
景东公安局办公大楼办公网网络建设,是把办公楼内的计算机、服务器等信息设备用通信电缆和网络设备连接起来从而达到资源共享、快速交换信息的目的,同时,通过接入INTERNET及专线网络达到与上下级部门、单位与单位以及与社会之间进行信息安全交流。办公网络的建成能充分发挥各种信息设备的综合效益,并能形成包括多媒体信息在内的各种信息交换,为贵单位提供更加安全,高效率,快速的网络自动化的办公环境。随着信息技术的不断应用,新的办公模式在不断形成,如远程办公自动化、E-mall.数据库,CA认证,等许多网络商务办公及远程支持,内部办公网络建设建成后将形成一种新的安全可靠办公及管理模式、安全办公的效率将产生质的飞越,方式将更加灵活方便,更加安全可靠,更加有效保护内部重要数据,产生巨大变革。
内部网络的建设目标是:建立一个既有开放的、基于标准的网络基础平台,又有实现保密通讯的专线以实现不同部门以及下级单位之间安全高速的数据共享,尽可能的简化办公流程,降低办公成本,提高办公及管理效率,增强各部门之间的协作。还应分别支持数据、语音和视频业务,同时建立完善的信息安全体系和相应的备份措施。
为达到内部网络的信息安全目标要求,在网络设计构建中,应始终坚持以下建网原则:从贵单位的需求出发,力求提供一个安全、可靠的多业务网络数据中心以及认证中心安全平台。在网络安全性上,在按照原有的使用习惯,可以根据不同部门划分出不同的VLAN,对不同的部门进行隔离;对于有的VLAN之间的交互,则通过在核心交换机做路由来保证VLAN之间的互通,对于重要服务器群组,严格在核心交换机上做访问控制,由此而形成一个良好的安全的高性能的网络体系结构。系统总体设计将本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性,同时具有良好的开放性、可扩展性。合理使用建设资金,使系统经济可行。
建设一个网络,首先要为用户分析目前面临的主要问题,要实现的主要功能,确定用户对网络的真正需求,并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术,提供用户满意的高质服务。
网络安全可靠在办公自动化系统中起着至关重要的作用。大量的文件和业务数据会通过网络传输,这就要求网络有足够的主干带宽和扩展能力。
除上述考虑外,还要注意到由于物理上内部网(公安网、涉密网、电子政务网)和互联网(internet)必须分开,在尽量按照一般分配习惯的基础上,建设后的网络应能提供多个网段的扩展划分和隔离,并能做到灵活改变配置,以适应日后环境的调整和变化,以供带宽需求较高的用户或应用服务使用。整个建设方案设计的目的是建设一个集数据传输和备份、OA应用、语音、视频会议等于一体的高可靠、高安全、高性能的网络系统。
景东公安局办公大楼数据、语音、TV点位统计如下:
|
序号
|
名称
|
外网
|
公安网
|
涉密网
|
电子政务网
|
电话TP
|
TV
|
备注
|
|
1
|
大楼1层
|
33
|
33
|
33
|
33
|
33
|
1
|
|
|
2
|
大楼2层
|
35
|
35
|
35
|
35
|
35
|
2
|
|
|
3
|
大楼3层
|
38
|
38
|
38
|
38
|
38
|
1
|
|
|
4
|
大楼4层
|
46
|
46
|
46
|
46
|
44
|
2
|
|
|
5
|
大楼5层
|
44
|
44
|
44
|
44
|
38
|
1
|
|
|
6
|
大楼6层
|
26
|
26
|
26
|
26
|
23
|
2
|
|
|
7
|
大楼7层
|
14
|
14
|
14
|
14
|
7
|
1
|
|
|
8
|
大楼8层
|
13
|
13
|
13
|
13
|
2
|
2
|
|
|
9
|
大楼9层
|
12
|
12
|
12
|
12
|
2
|
2
|
|
|
合计
|
261
|
261
|
261
|
261
|
222
|
14
|
|
|
根据实际情况和具体环境,以及企事业单位方案一般建议,本方案设计注重于三个出发点:
第一、网络系统是基础,内部高速的数据交换必须顺应业务需求,网络的复杂性由信息系统管理人员承担,内部办公网必须与互联网物理隔离,对于使用者来说只需掌握用户应用界面即可;
第二、在进行网络结构规范化建设设计时,必须重点达到网络系统性能的提高、网络系统范围的扩展、升级以及网络系统的可管理性、安全性、基于高性能可扩展的网络结构;
第三、依据企事业单位方案的一般建议建成的网络应具有易维护的特点。
建设内部网络,要求我们在系统设计时考虑如下特点:
稳定可靠的网络 只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。
高带宽 为了支持数据、语音、视频多媒体的传输能力,在技术上要达到当前的国际先进水平。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。为此应选用高带宽的先进技术。
高应用性 办公网应用系统多种多样,承载的数据纷繁复杂,仅最基本的就包括数据、语音、视频三方面,这些繁杂的数据要求网络具有高应用性。
高安全性 办公网内部存储着有关单位安全、政策、机密等重要信息,这些信息直接关系到单位的业务和商业机密,一旦数据外泄或者受损,将带来不可估量的损失。因此必须在各个方面考虑周全,让黑客和病毒等不速之客无机可乘,保障单位内部各部门的信息安全。
易扩展的网络 系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性:即只有在网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络;网络协议的易扩展:无论是选择第三层网络路由协议,还是规划第二层虚拟网的划分,都应注意其扩展能力。
QoS保证 随着网络中多媒体的应用越来越多,这类应用对服务质量的要求较高,本网络系统应能保证QoS,以支持这类应用。
易管理控制 网络系统应具有良好的可管理性,安全管理十分重要,要求使用统一的网管平台,能够实时对全网的运行进行监控,便于配置,杜绝安全隐患;同时能够通过日志来追查网络中的非法操作。
符合IP发展趋势的网络在当前任何一个提供服务的网络中,对IP的支持服务是最普遍的,而IP技术本身又处在发展变化中,如IpV6,IP QoS,IP Over SONET等等新兴的技术不断出现,系统必须跟紧IP发展的步伐,也就是必须选择处于IP发展领导地位的网络厂商。
信息安全隔离 信息化是世界科学技术和社会发展的大趋势,国民经济和社会对信息和信息系统的依赖性越来越大,加强信息安全保障工作的重要性日益凸现。党中央、国务院一贯高度重视信息安全问题强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。
千兆位以太网技术以简单的以太网技术为基础,为网络主干提供1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比,价格低,同时比较简单,例如保留以太网的帧格式、管理工具和对网络概念上的认识。
千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。现在千兆位以太网成熟的标准为IEEE 802.3z,IEEE 802.3z的目标是:
使用IEEE 802.3帧格式;
可以使用全双工和半双工;
共享模式下仍使用CSMA/CD;
对安装介质的向后兼容;
传输速度比快速以太网提高十倍,比以太网提高一百倍。
千兆以太网通过载波扩展(Carrier Extension)、采用带中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500米至3000米。如采用1300nm激光器和50um的单膜光钎传输距离可以达到3km。
千兆位以太网能够提供更高的带宽,并且成为有强大伸缩性的以太网家族的第三个成员。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来,因为千兆位以太网的帧格式和帧尺寸大小等都与所有以太网技术相同,不需要对网络做任何改变。这种升级方法使得千兆位以太网相对于其他高速网络技术而言,在经济和管理性能方面都是较好的选择。
在Intranet应用中,有很多新的应用需求不断出现,包括视频和音频。以前人们认为这些对时延要求高的应用只有在ATM这样的网络上才能实现,然而现在一些新技术(交换技术、视频压缩技术,如MPEG-2)、新协议(RTP、RTCP、RSVP等)和新标准(如802.1Q、802.1p等)的出现使得在局域网中千兆位以太网也可以极好地支持视频和音频等多媒体数据应用。
千兆位以太网的设计非常灵活,几乎对网络结构没有限制,可以是交换式、共享式的或基于路由器的。现在正在应用的网络互连技术,例如,特定IP交换技术和第三层的交换技术,都与千兆位以太网完全兼容。千兆位以太网可以通过价格便宜的共享集线器、交换机或路由器来实现。千兆位以太网支持新的交换机之间或交换机-工作站之间全双工的连接模式,同时也支持半双工连接模式以便与基于CSMA/CD存取方式的共享集线器连接。
千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线(UTP)或同轴电缆。目前,千兆以太网支持单模光纤、多模光纤和同轴电缆,支持5类非屏蔽双绞线(UTP)的标准正在制定中。
IEEE已批准千兆位以太网工程IEEE 802.3z Task Force提出的标准。同时正在发展基于UTP、STP的千兆以太网。
千兆位以太网的管理与以前使用和了解的以太网相同,使用千兆以太网,主干和各网段及桌面已实现了无缝结合,网络管理变得容易了。
千兆以太网技术的优点:
技术简单,例如保留以太网的帧格式、管理工具和对网络概念上的认识。
便于升级,从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网,并不需要掌握新的配置、管理与排除故障技术;
网络投资可以得到保护,无需对用户进行再培训,也无需为额外的网络协议进行投资;
千兆以太网有良好的互操作性,并具有向后兼容性;
端口价格相对较低;
可以提供10倍于快速以太网的传输速度。
先进性:系统设计应采用技术成熟、性能先进的产品结构,保证办公大楼的智能化应用在10年内不落伍。
高速率:本方案全部采用千兆网络标准为依据实施设备和布线产品选型
专业性和规范性:系统设计应遵循国内外最新的行业规范,建成后应优于国际规范要求。 设计依据
智能化建筑具有多门学科互相融合,且高度集成房屋建筑、通信、计算机和自动化控制等各种新科技的大成,因此涉及范围及为广泛。工程建设项目必须按照相关的工程建设标准去具体实施。
1.5.1.1 国际设计、施工、验收标准
|
序号
|
标准覆盖范围
|
标 准 名 称
|
标准编号
|
批准发布组织
|
|
1
|
国际标准
|
信息技术---用户房屋的综合布线
|
ISO/IEC 11801
|
国际标准化组织
|
|
2
|
欧洲标准
|
信息技术综合布线系统
|
EN50173
|
电工技术标准化欧洲委员会
|
|
3
|
美国国家标准
|
商业建筑物电信布线标准
|
TIA/EIA –568A、B
|
TIA长途电信工业协会
|
|
4
|
美国国家标准
|
电信通道和空间的商业建筑物标准
|
EIA/TIA –569
|
电子工业协会
|
1.5.1.2 国家设计、施工、验收标准
|
序号
|
标 准 名 称
|
标 准 编 号
|
批 准 发 布 部 门
|
|
1
|
建筑与建筑群综合布线系统工程设计规范
|
GB 50311-2007
|
国家质量技术监督局建设部
|
|
2
|
建筑与建筑群综合布线系统工程验收规范
|
GB 50312-2007
|
国家质量技术监督局建设部
|
|
3
|
智能建筑设计标准
|
GB/T 50314-2007
|
国家技术监督局建设部
|
|
4
|
民用闭路监视电视系统工程技术规范
|
GB/T 50198-94
|
国家质量技术监督局建设部
|
|
5
|
工业企业通信设计规范
|
GBJ 42-81
|
国家基本建设委员会邮电部
|
|
6
|
工业企业通信接地设计规范
|
GBJ 79-85
|
国家计划委员会
|
|
7
|
通信用单模光纤系列
|
GB/T 9771-1998
|
国家技术监督局
|
|
8
|
通信用多模光纤系列
|
GB/T 12357-1990
|
国家技术监督局
|
|
9
|
电子计算机机房设计规范
|
GB 50174-93
|
国家技术监督局建设部
|
|
10
|
火灾自动报警系统施工及验收规范
|
GB 50166-92
|
国家技术监督局建设部
|
|
11
|
火灾自动报警系统设计规范
|
GB 50116-98
|
国家技术监督局建设部
|
|
12
|
智能建筑工程质量验收规范
|
GB 50339-2003
|
国家技术监督局建设部
|
1.5.1.3 行业设计、施工、验收标准
|
序号
|
标 准 名 称
|
标 准 编 号
|
批准发布部门
|
|
1
|
大楼通信综合布线系统第一部分总规范
|
YD/T 26.1-1997
|
邮电部
|
|
2
|
大楼通信综合布线系统第二部分综合布线用电缆光缆技术要求
|
YD/T 26.2-1997
|
邮电部
|
|
3
|
大楼通信综合布线系统第三部分综合布线用连接硬件技术要求
|
YD/T 26.3-1998
|
信息产业部
|
|
4
|
综合布线系统电气特性通用测试方法
|
YD/T 1013-1999
|
信息产业部
|
|
5
|
光纤配线架
|
YD/T 778-1999
|
信息产业部
|
|
6
|
数字配线架
|
YD/T 779-1999
|
信息产业部
|
|
7
|
地下通信管道用塑料管
|
YD/T 841-1996
|
邮电部
|
|
8
|
通信管道工程施工及验收技术规范
|
YDJ 39-90
|
邮电部
|
|
9
|
通信工程建设环境保护技术规定
|
YD 5039-97
|
邮电部
|
|
10
|
中国公用计算机互联网工程设计暂行规定
|
YD 5037-97
|
邮电部
|
|
11
|
公用计算机互联网工程验收规范
|
YD 5070-98
|
信息产业部
|
|
12
|
建筑与建筑群综合布线系统工程设计规范(修订本)
|
CECS 72:97
|
中国工程建设标准化协会
|
|
13
|
建筑与建筑群综合布线系统施工及验收规范
|
CECS 89:97
|
中国工程建设标准化协会
|
为使景东公安局办公大楼网络清晰明了,方便后期维护,网络主干网的建设是这次网络建设的重中之重,我们对主干系统设计如下:
以6楼中心机房为中心,建设覆盖整个建筑楼层的网络,中心机房设在大楼6楼,各楼层网络主干光纤统一汇至6楼中心机房,通过12芯室外单模光纤;(4套网络共计使用8芯)
具体四套网络主干光纤示意图如下:
主干区子系统示意图
语音点位(布线使用超五类双绞线)汇聚在每层楼弱电间,在通过50对大对数线缆直接上行至6楼中心机房。
其中,垂直主干的光缆为12芯,实际需求只需要8芯,考虑预留作为后期的扩展和备份。
其中由于有线电视点位比较少,有线电视通过分支器(2楼、4楼和8楼分别搁置分支器)即可实现需求。
水平子系统位于工作区信息插座与管理间的水平交连之间,负责将干线子系统经楼层配线间的管理区延伸到工作区的信息插座,如下图所示。
水平区子系统示意图
根据国际标准对综合布线系统的“综合性”要求,水平区子系统线缆均使用六类非屏蔽双绞线(UTP)。
水平子系统配置:
根据文件所提供的平面图测算,楼层水平信息点的平均长度为L米,根据每箱305米计算,每箱线可以完成N个水平信息点的敷设。
线缆箱数X的计算公式:X=L*N/305。
其中,N为每个弱电间管理的信息点数目,L为信息点至弱电间的平均长度。
信息点布点原则:信息点数量一般遵循图纸标注原则,根据房间功能,在所有办公区域布设网络,开放式办公区域及会议室暂时不考虑进行无线AP覆盖。
景东公安局办公大楼网络本次水平布线系统点位分布如下:(总计1044个点位)
|
序号
|
名称
|
外网
|
公安网
|
涉密网
|
电子政务网
|
|
1
|
大楼1层
|
33
|
33
|
33
|
33
|
|
2
|
大楼2层
|
35
|
35
|
35
|
35
|
|
3
|
大楼3层
|
38
|
38
|
38
|
38
|
|
4
|
大楼4层
|
46
|
46
|
46
|
46
|
|
5
|
大楼5层
|
44
|
44
|
44
|
44
|
|
6
|
大楼6层
|
26
|
26
|
26
|
26
|
|
7
|
大楼7层
|
14
|
14
|
14
|
14
|
|
8
|
大楼8层
|
13
|
13
|
13
|
13
|
|
9
|
大楼9层
|
12
|
12
|
12
|
12
|
|
合计
|
261
|
261
|
261
|
261
|
|
|
总计
|
1044
|
||||
工作区从终端设备延伸到信息插座,是放置应用系统设备的地方,工作区终端设备通过跳线连接到信息插座。如下图所示。计算机终端通过RJ45跳线与数据信息插座连接,而电话机终端则通过RJ11跳线与语音信息插座连接,其中数据和语音信息插座均采用相同标准的模块,插座底盒距离装修地面30cm。信息插座也可以接入无线网桥,提供无线接入。
工作区子系统示意图
为了提高整个系统的灵活性,工作区信息插座统一选用六类非屏蔽模块化插座,实现语音端口和数据端口之间的方便转换。工作区数据端口采用六类RJ45模块化跳线,语音跳线采用手工制作的RJ11-RJ45跳线。
工作区安装结合平面图,在设计施工中分为墙面暗装(距地面高度300mm),柜台安装,地插座上安装(领导房间及会议室),抗静电高架地板下安装(专用机房),此外,在特殊的房间,工作区信息点安装根据现场情况而定。
本大楼的设备全部采用互连的方式,管理干线子系统和配线子系统的线缆。管理区为连通各个子系统提供连接手段。所有的网络设备和通讯设备都放置在各楼层的管理间内,水平区域信息点端口和网络通讯设备的交接也在设备间内完成。
下图是管理间数据配线架的跳线连接方式:
管理间子系统示意图
管理间水平铜缆的配线架全部采用六类非屏蔽的RJ45模块化配线架;垂直主干数据配线架由24口机架式光纤配线箱组成,楼层主干光缆跳线采用LC接口;主干语音配线架采用语音110型50对机架式配线架。
为便于语音和数据的互换和扩展,所有接入楼层配线间的语音水平铜缆,在配线间均须首先接入六类非屏蔽的RJ45模块化配线架后,再分别通过RJ45-RJ45或RJ11-110跳线连接至网络交换机或语音110主干配线架上;
管理间内数据配线架上的数据跳线,按照数据信息点满配;同样,语音110配线架上的语音跳线,按照语音信息点满配来跳转。从光分线盒至网络设备的光纤跳线,根据网络设备光纤口的数量和类型,按实际端口使用数量配备光纤跳线。
中心机房是用来放置大楼综合布线线缆和相关连接硬件及其应用系统的设备的场所。在设备间内,可把公共系统用的各种设备,如电信部门的中继线和公共系统设备(如PBX),互连起来。设备间还包括建筑物的入口区的设备或电气保护装置及其连接到符合要求的建筑物接地点。它相当于电话系统中站内的配线设备及电缆、导线连接部分。
综合布线系统设备间架构示意图
设备间的综合布线产品具有与管理间类似的配置,但主要集中了对数据光纤主干和语音铜缆主干的连接,设备间内的网络和通信设备是整个建筑物的核心设备。
大楼的主设备间位于大楼2层的网络信息中心机房;对管理间引入的主干线缆,信息点均在机房内采用标准19英寸机柜安装,机房内,均需设计并安装各机柜至垂直桥架的金属走线架。
网络信息中心机房也可以作为大楼的进线间,数据及语音电信运营商提供了的设备及线缆交割机房。各电信运营商的入户线路均沿大楼预留的桥架引至引入间,综合布线系统在引入间内分别提供相应的立柜式ODF光纤配线架(含托盘、尾纤、光纤适配器)和立柜式语音MDF配线架(含防雷保护单元);从数据光纤配线架至网络设备的光纤跳线,根据网络设备光纤口的数量和类型,按实际情况配备。
防静电地板设计:(本部分属于机房装修部分)
活动地板在计算机房中是必不可少的。机房敷设活动地板主要有三个作用:
首先,在活动地板下形成隐蔽空间,可以在地板下隐蔽敷设电源线管、线槽、综合布线等以及一些电气设施(插座、插座箱等),使机房整洁而不致显得非常零乱;其次,由于敷设了活动地板,可在活动地板下形成空调送风静压箱,使送风均匀。此外,活动地板的抗静电功能也为计算机及网络设备的安全运行提供了保证。
活动地板的种类较多。根据板基材、材料不同可分为:铝合金、全钢、复合木质刨花板等。地板表面则粘贴抗静电贴面(有进口和国产的区别)。活动地板的不同选择直接影响机房的档次。不同质量的地板使用后,机房的效果大不一样。在本方案中采用沈飞全钢抗静电活动地板。沈飞全钢抗静电地板除满足了国家有关技术指标外,其板面稳定,防火性能好,也是较大的优点。采用沈飞地板我们可以加工带有塑料护口的走线地板和通风地板,以满足机房使用要求。
我们所选的国产抗静电活动地板,其产品质地精良,工艺先进,技术指标稳定,附件齐全,市场占有率高。其几何尺寸为600*600mm,厚度为35mm。
抗静电活动地板安装时,同时要求安装静电泄漏系统。铺设静电泄漏地网,通过静电泄漏干线和机房安全保护地的接地端子封在一起,将静电泄漏掉。
考虑到景东公安局办公大楼网络中心机房内机器分布较密集、散热量大、地板下线缆较多,故活动地板设计高度为0.30米。活动地板安装过程中,地板与墙面交界处,需精确切割下料。切割边需封胶处理后安装。地板安装后,用不锈钢踢脚板压边装饰。
活动地板安装一定要做到表面平整、接缝严密。这取决于两个方面:一是活动地板本身的精度,二是安装工艺和质量。
地板铺设施工工艺
在安装地板的过程中,地板与墙面交界处,需精确切割下料。切割边需封胶处理后安装。地板安装后,用不锈钢踢脚板压边装饰。
活动地板安装一定要做到表面平整、接缝严密。这取决于两个方面。一是活动地板本身的精度,二是安装工艺和质量。
在围护结构上尽量不留孔洞。若有孔洞如穿线管、线槽,则要作好封堵,要绝对保持围护结构的严密,解决防鼠问题。
地板的质量和地板的施工保证:
1. 地板平整度和尺寸精度高,以保证活动地板的整体抗震性。
2. 地板支架应一次冲压成型,避免底座和支腿焊接降低其抗震性。
3. 地板与墙面交接处应用柔性接触,采用减震橡胶垫作间隔。
4. 地板支架的连接处采用高强度弹性胶圈连接,减缓震动。
5.地板底座与地面,建议采用高强度弹性胶垫粘贴牢固减缓震动。
设备抗震动方面
计算机设备、精密空调、UPS、配电柜等设备,建议采用角钢支架做为底座,角钢支架用地脚镙栓与地面固定,并采用强力减震橡胶垫。
防雷设计:(本部分属于机房装修部分)
雷电的破坏力极大,以雷击中心1.5km-----2km范围内都可能产生危险过电压,损害线路上的设备。随着大量的数据设备和精密电子设备应用的范围日益广泛,雷电损害造成的事故有逐年上升的趋势。
本次拟保护的计算机机房主要应用于景东公安局办公大楼网络信息系统业务的正常进行、机房网络系统设备的安全运转和系统网络数据的安全存储,是各信息系统的心脏,直接关系到系统业务的顺利进行、关系到网络系统的稳定性和数据存储的安全性,以及通信系统的正常工作,其重要性是不言而喻的。
依据系统防雷的理论,我们将机房雷电防护系统分为:
电源系统(包括低压配电柜供电系统电源的三级保护)
地线系统(包括均压等电位连接系统)
为了保护机房内设备不受雷电损害或使雷击损害降到最低程度,必须采取综合防雷措施。综合防雷设计方案应包括两个方面:直接雷击的防护和感应雷击的防护,缺少任何一方面都是不完整的、有缺陷的和有潜在危险的。但一般建筑物顶部在土建时已安装有避雷措施进行保护,所以在本方案中不再考虑直击雷的防护部份。重点只考虑对机房感应雷的防护。
由于机房的电力供给是由大楼的低压配电柜引入的,因此,对于机房的电源系统的雷电防护,我们采取以下的防雷保护方案:
A、在大楼低压总配电柜系统电源进线端采取第一级防雷保护;
B、在UPS输入配电柜和机房市电配电箱处采取第二级防雷系统保护;
C、在机房内的重要核心设备(服务器、网络设备等设备)的电源输入端采取第三级电源防雷保护;
从目前情况来分析,机房配电线路存在有屏蔽不良的电力供电线路穿越各级防雷区,考虑到信息系统各种不同用电设备的耐过压的能力;同时,机房设备采用一套UPS电源集中供电,为机房内的负载提供安全可靠的供电运行方式,是机房信息系统各用电设备提供稳定、可靠和高质量的用电环境唯一的重要设备,并且是由市电供电输入机房的主要途径,所以我们将电源系统防护的重点放在对UPS电源的输入和输出端的保护上。
具体的防护措施为:在参考IEC1312的描述,在LPZOB区,虽然不会被直接雷击击中,但远端雷电闪击沿电力线传来雷电电磁脉冲的强度没有衰减,本区内的电磁场也没有减弱。
在三级防雷保护中,第一级防护为粗保护,选用大通流容量的避雷器对沿导线传来的直击雷进行防护,吸收90%的大能量雷电流;第二级为中级保护,选用浪涌电压雷电放电器,即半导体放电器,对雷电流进一步吸收;第三级为细保护,同样采用浪涌电压放电器,将残余的雷电流基本吸收,通过地线泻入大地。
防雷器的具体选型、主要参数及安装位置如下:
第一级电源保护: 在大楼低压总配电柜处安装一套法国西岱尔生产的DS100EG间隙放电器组成第一级保护。以抵御脉宽10×350mS波形,单相60KA雷害冲击,残压≤1.5KV,共一套。
DS100EG技术参数:
响应时间≤25ns;
雷电通流量≥60KA(雷电冲击电流波为10/350μs);
残压峰值≤1.5KV;
第二级电源保护:在UPS电源输入端配电柜及机房市电配电箱处分别安装一套法国西岱尔生产的DS40限压型防雷器组成第二级保护。对第一级后续雷电流进一步进行有效的吸收,在第二级将第一级变量解耦后的4K伏残压降到1K伏,以抵御脉宽8×20mS波形,单相最大40KA雷害冲击,共一套。
HP220M-40-385/4技术参数:
响应时间≤25ns;
雷电通流量≥40KA(雷电冲击电流波为8/20μs);
残压峰值≤1KV;
第三级电源保护:该防雷器安装于机房内重要设备用电端,如在机房内的服务器、网络设备等需要重点保护的核心设备电源输入端,第三级避雷器可将浪涌电压限制到1000伏以内,采用第三级电源细保护防雷器,安装在设备前端,对精密设备有极好的防护效果,共设计3套。
接地的目的有三个:
A、接地使整个电路系统中的所有单元电路都有一个公共的参考零电位,保证电路系统能稳定地干作。
B、防止外界电磁场的干扰。机壳接地可以使得由于静电感应而积累在机壳上的大量电荷通过大地泄放,否则这些电荷形成的高压可能引起设备内部的火花放电而造成干扰。另外,对于电路的屏蔽体,若选择合适的接地,也可获得良好的屏蔽效果。
C、保证安全工作。当发生雷电侵害时,接地系统是雷电流的主要泄放通道,可以避免雷电高压对设备和人员的伤害;
防雷接地是避雷技术最重要的环节,无论是防直击雷或感应雷,最终都是通过接地装置将入侵的雷电流泄入大地,从而保证设备和人身安全,如果接地系统做得不好,不但会引起设备故障,烧毁元器件,严重的还将危害工作人员的生命安全。
所以说:接地系统是机房建设工程成功的基础,也是抑制噪声防止干扰的主要方法。
等电位连接是当今世界防雷理论的前沿,是雷电防护前沿重要的技术措施。等电位理论的提出基于闪电观测的结果:闪电电流不是一个电压源而是一个电流源,严格讲是一个电流波。雷电的破坏力在于强大的电流特性而不在于放电时产生的高压,当雷电流在泄放的渠道上一旦冲击设备时,雷击也就发生了。如果在所有设备及管线、以及建筑物之间不存在电位差,雷电流的泄放渠道安装设计要求入地,设备防雷也就实现了。由此可见,彻底消除雷电引起的带有毁坏性的电位差,是设备防雷的重要技术措施,实现这一技术措施的手段就是等电位连接。
为了保证在雷击瞬间机房内的设备全部处在等电位状态。机房内应做等电位连接,安装均压等电为带。关于均压等电位带的实施,主要为在机房的静电地板下设均压等电位地线带,以30mm×3mm的紫铜带,在机房内分别形成网型(M型)结构的均压等电位带,且作好此带的绝缘支撑,最终以星型(S型)形式与机房的直流逻辑地线接通。机房内的金属门窗、机柜外壳、防雷接地、设备接地等所以接地均以最短的距离连接到均压环上。
另外机房UPS供电系统电源插座及信号地均在最近的距离内与均压等电位带相连,避免因设备间电势差而使设备损坏。
对于布线系统来说,施工的难点主要在于如何解决好信息插座安装定位的问题。
一般说来,本工程中信息插座的安装大致分为三个类型:
墙面嵌入安装:
墙面嵌入安装是使用最普遍的一种安装方式,使用86型底盒(暗装于墙内),底盒下缘距装修后的地面300mm。
直接安装于家私上:
施工时管线敷设可经天花内敷设的水平的电缆桥架开始,经过线管(线管沿墙内、柱面及楼板找平层内暗埋敷设)至信息插座安装处,并可将信息插座直接安装于办公家私上,此方式的优点为成本最低,缺点是须与后期的装修方案紧密配合,灵活性差一些。
专用地插地面安装:
敞开办公区的信息点,由于没有固定的安装载体,且位置不能确定,需要经常移动,一般的安装方式不能满足要求,可采用专用地插安装的方式,地插采用金属地面弹起型,地盒内信息点不用时,保持封闭状态,不影响办公,且防尘防水,整齐、美观;需要连接时打开地插盖子即能正常使用。
信息插座的安装方式还可以找到其它安装方式,此处不再一一列举;业主可根据自身的实际使用情况及可能的功能需求,在保证系统使用性能的前提下,寻求比较好的解决方案,提高系统的性能价格比。
在安装工程开始以前应对交接间、设备间的建筑和环境条件进行检查,具备下列条件方可开工:
交接间、设备问、工作区土建工程已全部竣工。房屋地面平整、光洁,门的高度和宽度应不妨碍设备和器材的搬运,门锁和钥匙齐全;
房屋预留地槽、暗管、孔洞的位置、数量、尺寸均应符合设计要求;
对设备间铺设活动地板应专门检查,地板板块铺设严密坚固,每平方米水平允许偏差不应大于2mm,地板支柱牢固,活动地板防静电措施的接地应符合设计和产品说明要求;
交接间、设备间应提供可靠的施工电源和接地装置;
交接间、设备间的面积,环境温、湿度均应符合设计要求和相关规定。
器材检验的要求如下:
1)施工前,施工单位应对工程所用缆线器材规格、程式、数量、质量进行检查,无出厂检验证明材料者或与设计不符不得在工程中使用。
2)经检验的器材应做好记录,对不合格的器件应单独存放,以备核查与处理。
3)型材、管材与铁件的检验要求:
各种型材的材质、规格、型号应符合设计文件的规定,表面应光滑、平整、不得变形、断裂。
管材采用钢管、硬聚氯乙稀管时,其管身应光滑无伤痕,管孔无变形,孔径、壁厚应符合设计要求。
管道采用水泥管块时,应符合邮电部《通信管道工程施工及验收技术规范》(YDJ39—90)中相关规定。
各种铁件的材质、规格均应符合质量标准,不得有歪斜、扭 曲、飞刺、断裂或破损。
铁件的表面处理和镀层应均匀完整、表面光洁、无脱落、气泡等缺陷。
4)缆线的检验要求:
工程使用的对绞电缆和光缆规格、形式应符合设计的规定和合同要求。
电缆所附标志、标签内容应齐全、清晰。
电缆外护套须完整无损,电缆应附有出厂质量检验合格证。如用户要求,应附有本批量电缆的电气性能检验报告。
电缆的电气性能应从本批量电缆的任意三盘中截出100米长度进行抽样测试。
剥开线缆头,有A,B端要求的要识别端别,在缆线外端应标出类别和序号。
光缆开盘后应先检查光缆外表有无损伤,光缆端头封装是否良好。
综合布线系统工程采用62.5/125µm或50/125µm多模渐变折射率光纤光缆和单模光纤光缆时,现场检验应测试光纤衰减常数和光纤长度。
衰减测试:宜采用光时域反射仪(OTDR)进行测试。测试结果如超出标准或与出厂测试数值相差太大,应用光功率计测试,并加以比较,断定是测试误差还是光纤本身衰减过大。
长度测试:要求对每根光纤进行测试,测试结果应一致。如果在同一盘光缆中,光纤长度差异较大,则应从另一端进行测试。或做通光检查以判定是否有断纤现象存在。
5)光纤跳线检验应符合下列规定:
光纤跳线应具有经过防火处理的光纤保护包皮,两端的活动连接器(活接头)端面应装配有合适的保护盖帽;
每根光纤跳软纤中光纤的类型应有明显的标记,选用应符合设计要求。
6)接插件的检验:
接线排和信息插座及其他接插件的塑料材质应具有阻燃性。
保安接线排的保安单元过压、过流保护各项指标应符合邮电部有关规定。
光纤插座的连接器使用型号和数量、位置应与设计相符。
光纤插座面板应有发射(TX)和接收(RX)明显标志。
7)配线设备的使用应符合下列规定:
电缆交接设备的型号、规格应符合设计要求。
光、电缆交接设备的编排及标志名称与设计相符。各类标志名称应统一,标志位置正确,清晰。
1)布线安全要求
参加施工的人员应遵守以下几点:
穿着合适的衣服;
使用安全的工具;
保证工作区的安全;
制定施工安全措施。
2)线缆布放的一般要求
线缆布放前应核对规格、程式、路由及位置是否与设计规定相符合;
布放的线缆应平直,不得产生扭绞、打圈等现象,不应受到外力挤压和损伤;
在布放前,线缆两端应贴有标签,标明起始和终端位置以及信息点的标号,标签书写应清晰、端正和正确;
信号电缆、电源线、双绞线缆、光缆及建筑物内其它弱电线缆应分离布放;
布放线缆应有冗余。在二级交接间、设备间双绞电缆预留长度一般为3-6m,工作区为0.3-0.6m,特殊要求的应按设计要求预留;
布放线缆,在牵引过程中吊挂线缆的支点相隔检举不应大于1.5m;
线缆布放过程中为避免受力和扭曲,应制作合格的牵引端头。如果采用机械牵引,应根据线缆布放环境、牵引的长度、牵引张力等因素选用集中牵引或分散牵引等方式。
3)放线
a.从线缆箱中拉线:
除去塑料塞;
通过出线孔拉出数米的线缆;
拉出所要求长度的线缆,割断它,将线缆滑回到槽中去,留数厘米伸出在外面;
重新插上塞子以固定线缆。
b.线缆处理(剥线):
使用斜口钳在塑料外衣上切开“1”字型长的缝;
找出尼龙的扯绳;
将电缆紧握在一只手中,用尖嘴钳夹紧尼龙扯绳的一端,并把它从线缆的一端拉开,拉的长度根据需要而定;
割去无用的电缆外衣。(另外一种方法是利用切环器剥开电缆。)
4)线缆牵引
用一条拉线将线缆牵引穿入墙壁管道、吊顶和地板管道称为线缆牵引。在施工中,应使拉线和线缆的连接点尽量平滑,所以要采用电工胶带在连接点外面紧紧的缠绕,以保证平滑和牢靠。
a.牵引多条4对六类非屏蔽双绞线:
将多条线缆聚集成一束,并使它们的末端对齐;
用电工胶带紧绕在线缆束外面,在末端外绕长5-6cm;
将拉绳穿过电工带缠好的线缆,并打好结。
b.如果在拉线缆过程中,连接点散开了,则要收回线缆和拉线重新制作更牢靠固定连接:
除去一些绝缘层暴露出5cm的裸线;
将裸线分成两条;
将两束导线互相缠绕起来形成环;
将拉绳穿过此环,并打结,然后将电工带缠到连接点周围,要缠得结实和平滑。
5)建筑物水平线缆布线
索取施工图纸,确定布线路由;
沿着所设计的路由(即在电缆桥架槽体内),打开吊顶,用双手推开每块镶板;
将多个线缆箱并排放在一起,并使出线口向上;
加标注,纸箱上可直接写标注,线缆的标注写在线缆末端,贴上标签;
将合适长度的牵引线连接到一个带卷上;
从离配线间最远的一端开始,将线缆的末端(捆在一起)沿着电缆桥架牵引经过吊顶走廊的末端;
移动梯子将拉线投向吊顶的下一孔,直到绳子到达走廊的末端;
将每2个箱子中的线缆拉出形成“对”,用胶带捆扎好;
将拉绳穿过3个用带子缠绕好的线缆对,绳子结成一个环,再用带子将三对线缆与绳子捆紧;
回到拉绳的另一端,人工牵引拉绳。所有的6条线缆(3对)将自动从线箱中拉出并经过电缆桥架牵引到配线间;
对下一组线缆(另外3对)重复第“h”步的操作;
继续将剩下的线缆组增加到拉绳上,每次牵引它们向前,直到走廊末端,再继续牵引这些线缆一直到达配线间连接处。
当线缆在吊顶内布完后,还要通过墙壁或墙柱的管道将线缆向下引至信息插座安装孔。将双绞线用胶带缠绕成紧密的一组,将其末端送入预埋在墙壁中的PVC圆管内并把它往下压,直到在插座孔处露出25-30mm即可。
1)光纤布线过程
首先光纤的纤芯是石英玻璃的,极易弄断,因此在施工弯曲时决不允许超过最小的弯曲半径。其次光纤的抗拉强度比电缆小,因此在操作光缆时,不允许超过各种类型光缆抗拉强度。在光缆敷设好以后,在设备间和楼层配线间,将光缆捆接在一起,然后才进行光纤连接。可以利用光纤端接装置(OUT)、光纤耦合器、光纤连接器面板来建立模组化的连接。当辐射光缆工作完成后及光纤交连和在应有的位置上建立互连模组以后,就可以将光纤连接器加到光纤末端上,并建立光纤连接。最后,通过性能测试来检验整体通道的有效性,并为所有连接加上标签。
2)光纤敷设前的准备
a.光缆的检验要求
工程所用的光缆规格、型号、数量应符合设计的规定和合同要求;
光纤所附标记、标签内容应齐全和清晰;
光缆外护套须完整无损,光缆应有出厂质量检验合格证;
光缆开盘后,应先检查光缆外观无损伤,光缆端头封装是否良好;
光纤跳线检验应符合下列规定:具有经过防火处理的光纤保护包皮,两端的活动连接器端面应装配有合适的保护盖帽,每根光纤接插线的光纤类型应有明显的标记,应符合设计要求。
b.配线设备的使用应符合的规定
光缆交接设备的型号、规格应符合设计要求;
光缆交接设备的编排及标记名称,应与设计相符,各类标记名称应统一,标记位置应正确、清晰。
3)光纤布放的要求
布放光缆应平直,不得产生扭绞、打圈等现象,不应受到外力挤压和损伤。光缆布放前,其两端应贴有标签,以表明起始和终端位置。标签应书写清晰、端正和正确。最好以直线方式敷设光缆。如有拐弯,光缆的弯曲半径在静止状态时至少应为光缆外径的10倍,在施工过程中至少应为20倍。
4)光纤布放的要求
本项目的光纤布放是敷设光纤的备用线路,需要通过预埋的管道、吊顶或地槽进行敷设,敷设要求如下:
沿着所建议的光纤敷设路径进行线缆敷设;
利用工具切去一段光纤的外护套,并由一端开始的0.3m处环切光缆的外护套,然后除去外护套;
将光纤及加固芯切去并掩没在外护套中,只留下纱线,对需敷设的每条光缆重复此过程;
将纱线与带子扭绞在一起;
用胶布紧紧地将长20cm范围的光缆护套缠住;
将纱线馈送到合适的夹子中去,直到被带子缠绕的护套全塞入夹子中为止;
将带子绕在夹子和光缆上,将光缆牵引到所需的地方,并留下足够长的光缆供后续处理用。
1)机架安装要求:
机架安装完毕后,水平、垂直度应符合厂家规定。如无厂家规定时,垂直偏差度不应大于3mm。
机架上的各种零件不得脱落或碰坏。漆面如有脱落应予以补漆,各种标志完整清晰。
机架的安装应牢固,应按施工图的防震要求进行加固。
安装机架面板,架前应留有1.5m空间,机架背面离墙距离应大于0.8m,以便于安装和施工。
壁挂式机框底距地面宜为300—800mm。
2)配线设备机架安装:
采用下走线方式时,架底位置应与电缆上线孔相对应。
各直列垂直倾斜误差不应大于3mm,底座水平误差每平方米不应大于2mm。
接线端子各种标志应齐全。
交接箱或暗线箱宜暗设在墙体内。.预留墙洞安装,箱底高出地面宜为500—1000mm。
3)信息插座安装:
安装在活动地板或地面上,应固定在接线盒内,插座面板有直立和水平等形式;接线盒盖可开启,并应严密防水、防尘。接线盒盖应与地面平齐。
安装在墙体上,宜高出地面300mm,如地面采用活动地板时,应加上活动地板内净高尺寸。
信息插座底座的固定方法以施工线场条件而定,宜采用扩张螺钉、射钉等方式。
固定螺丝需拧紧,不应产生松动现象。
信息插座应有固定的打印标签,以颜色、图形、文字表示所接终端设备类型。
安装位置应符合设计要求。
1)六类24口模块化配线架的端接
在端接线对之前,首先要整理线缆。用带子将线缆缠绕在配线架的导入边缘上,最好是将线缆缠绕固定在垂直通道的挂架上,这可保证在线缆移动期间避免线对的变形;
从右到左穿过线缆,并按背面数字的顺序端接线缆;
对每条线缆,切去所需长度的外皮,以便进行线对的端接;
对于每一组连接块,设置线缆通过末端的保持器(或用扎带扎紧),这使得线对在线缆移动时不变形;
当弯曲线对时,要保持合适的张力,以防毁坏单个的线对;
对捻必需正确地安置到连接块的分开点上,这对于保证线缆的传输性能是很重要的;
开始把线对按顺序依次放到配线架背面的索引条中,从右到左的色码依次为紫、紫/白、橙、橙/白、绿、绿/白、蓝、蓝/白;
用手指将线对轻压到索引条的夹中,使用打线工具将线对压入配线模块并将伸出的导线头切断,然后用锥形钩清除切下的碎线头;
将标签插到配线模块中,以标示此区域。
2)110型接插式配线架的端接
第1个110配线架上要端接的100对线牵拉到位,每个配线槽中放25对双绞线。左边的线缆端接在配线架的左半部分,右边的线缆端接在配线架的右半部分。
在配线板的内边缘处将松弛的线缆捆起来,保证单条的线缆不会滑出配线板槽,避免线缆束的松弛和不整齐。
在配线板边缘处的每条线缆上标记一个新线的位置。这有利于下一步在配线板的边缘处准确地剥去线缆的外衣。
拆开线缆束并握紧住,在每条线缆的标记处划痕,然后将刻好痕的线缆束放回去,为盖上110配线板做准备。
用螺钉安装110配线架,并开始进行端接(从第一条线缆开始);
在刻痕处外最少15cm处切割线缆,并将刻痕的外套滑掉;
沿着110配线架的边缘将25对导线拉进前面的线槽中;
拉紧并弯曲每一线对使其进入到索引条的位置中去,用索引条上的高齿将一对导线分开,在索引条最终弯曲处提供适当的压力使线对的变形最小。
当上面两个索引条的线对安放好,并使其就位及切割后,再进行下面两个索引条的线对安置。在所有4个索引条都就位后,再安装110连接模块。
3)信息插座的端接
信息插座分为单孔和双孔,每孔都有一个8位/8路插针。这种插座的高性能、小尺寸及模块化特点,为设计综合布线提供了灵活性。它采用了标明多种不同颜色电缆所连接的终端,保证了快速、准确的安装。
从信息插座底盒孔中将双绞电缆拉出约20-30cm;
用环切器或斜口钳从双绞电缆剥除10cm的外护套;
取出信息模块,根据模块的色标分别把双绞线的4对线缆压到合适的插槽中;
使用打线工具把线缆压入插槽中,并切断伸出的余缆;
将制作好的信息模块扣入信息面板上,注意模块的上下方向;
将装有信息模块的面板放到墙上,用螺钉固定在底盒上;
为信息插座标上标签,标明所接终端类型和序号。
4)光纤的端接
光缆接续的内容包括:光纤接续;金属护层;加强芯的连接;接头损耗的测量。
光缆接续前工艺要求:
核对光缆程式、接头位置并预留足够长度。
核对光缆的端别,核对光纤并作永久性标记。
检查质量合格后方可进行接续。
严禁用刀片去除一次涂层或用火焰法操作。
采用专用清洁剂去除填充物,严禁用汽油清洁。
开剥光缆外护层,不得损伤光纤。
认真执行操作工艺要求。
光纤接续采用熔接法,光缆接头应配有单独的接头护套。
余纤在光缆接头盒式中盘绕方向应一致。纤盘的曲率半径符合技术要求。
护套连接要符合技术要求。光缆加强芯的连接应根据接头盒式的结构夹紧、夹牢,并能承受与光缆同样的拉力。
每根光缆在1310nm和1550nm波长的最大接头损耗不超过0.1dB。
光缆接头盒及封装:
采用机构性能优良,具有防潮、防水性能的光缆接头盒,并符合中国通信行业标准YD/T814-1996《光缆接头盒》的规定。
接头盒封装应严格按工艺要求进行。套管内应装防潮剂和接头责任卡。
其它要求:
应备有备用光缆并装在光缆接头盒的托盘上,放在托盘上的光纤不应产生微弯曲损耗。
在所有光缆需要分歧或分配出与单独终端单元相连的光纤接头,应使用接头盒保护。
接头盒应为光缆接头提供一个密闭的、防潮的环境。接头盒应能重新进入,以便维修和满足其它工作要求。
1.12.1.1 VCOM网络线材
|
|
|
|
1.12.1.2 VCOM语音线材
1.12.1.3 VCOM有线电视线材
有线电视分支器
我公司充分考虑到贵单位需求以及单位的建议,为贵单位量身定制了一套特别的网络建设方案,以求最大化地提高工作效率,更好地实现贵单位的各种需求职能。
一般地中大型局域网结构分为两个部分:主干局域网和边缘局域网。主干局域网的作用是连接各部门工作组局域网;连接数据服务器;连接各种远程网络设备,主干局域网称为核心设备,位于交换式网络的核心位置,往往是全网数据交换的枢纽,因此要求有:
n 高性能,具有高速交换的能力;
n 多功能,可同时连接并支持多种网络环境,同时四套网络物理隔离;
n 高可靠性,具有冗余电源,模块可热插拨及一定的自动切换能力,不存在“单点故障”;
n 可扩展性,具有多槽机箱结构,可升级和扩展,可配制高端口密度和大吞吐量的扩展卡;
n 很强的管理特性,支持通用的网管协议,如SNMP等。
n 具有良好的技术升级特性,可以实现由现有网络向未来网络技术的平滑过度,保护原有投资。
n 支持Ipv6以及当今网络界流行的各种路由协议,如ospfv3等。
由于Internet/Intranet技术的应用,在一个大型网络系统中,会有多种操作系统的服务器存在,同时系统内会包含多个不同智能部门,需要有良好的安全管理特性和对多种应用层协议的支持,或者说能有高速路由处理能力并且尽可能的模块化。
我们在针对本内部网络时,核心以及接入层都采用千兆以太网技术,核心交换机选择H3C公司的S7503E(公安网/涉密网核心),S5800-32F(互联网/电子政务网核心)比较适用于贵单位的特殊情况,能够充分满足贵单位的办公、业务需求及以后扩展也很方便。
为使贵单位更好地实现各下属单位部门高安全可靠连接,由于考虑贵单位节约资金,减少浪费,以实现高安全·高可靠·快速网络化办公业务系统,具体网络架构如下图所示:
建设系统拓朴图如下:(互联网+公安网+涉密网+电子政务网)
如图所示,本建设方案涉及四套网络都采用核心层、接入层的方式,以提高景东公安局办公大楼内部网络交换速度以更好实现各部门单位快速接入访问,保证网络的高速可靠,在互联网出口部署一台深信服SG3400出口安全设备,严格保护内部用户上网安全,通过深信服SG3400可以合理划分带宽资源,保障相应部门及领导的查阅资料的速度,记录外网访问日志记录,设置合理访问权限。为重要应用提供带快保障。
对于办公网:可以实现根据下级用户合理调度内网及上级网络资源权限,顺应未来业务及办公的需求,合理安全分配内网资源,划分灵活资源访问权限,最终实现高效安全接入访问要求。
同时根据信息点特点,按部门原有习惯划分独立子网(VLAN)的方式以减少网络广播,提高网络数据传输性能,并同时提高网络安全性、可调度性、可维护性。
为了保证满足未来一定时间内网络发展的要求,本方案涉及的核心层、接入层设备S7503E、S5800、S5120同时支持IPV4/IPV6,同时为办公网的内部数据交换提供高速的运行环境,同时也减少了由于设备被淘汰的后续投资。
本方案中,能保护贵单位内部的所有服务器数据,保证办公网内单位机密的安全,例如视频会议服务器,OA服务器等的安全,CA服务器,数据中心等,阻止非法用户侵入办公网内部而影响网络的安全,并可对局域网内的BT、P2P等进行一定控制、限速,并进行有效的监控及管理。
通过本次网络建设规划,最终可为景东公安局办公大楼建成一个高速、稳定、安全、的办公网络。
1.14.1 IP地址规划原则
IP地址的合理规划同是也是网络建设设计中的重要一环。IP地址规划合理,便于对网络的统一管理和资源权限的划分,在网络建设、扩展时有高度的灵活性,实施方便。根据网络的拓扑结构作合理的IP地址划分,便于网络中的路由汇聚,可以大大减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高网络的运行效率。
IP地址设计原则如下:
l 唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
l 简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的项目;
l 连续性:连续地址在层次结构网络中易于进行路由汇聚,大大减少路由表,提高路由算法的效率;
l 可扩展性:地址分配在同一层次上都要留有余量,在网络规模扩展时能保证地址段所需的连续性;
l 灵活性:地址分配应具备灵活性,以满足多种路由策略的优化。
1.14.2 IP地址规划策略
IP地址的分配应遵循如下策略:
l IP地址应根据目前网络IP地址的分配统一进行规划;
l 地址分配方案应与原有网络地址分配方案统一考虑,原有网络地址分配尽量保持不变;
l 地址分配应本着简化路由选择,充分利用地址空间,兼顾今后网络发展,便于业务管理等原则进行;
l 地址分配方案需要考虑可变长子网掩码技术;
l 充分考虑未来在若干节点的系统可扩充性;
l IP地址分配能够反映层次化网络的拓扑结构;
l 尽量节省IP地址空间;
l 有利于路由协议的配置,地址归纳和自治域的设定;
l 方便网络管理;
l 在各个层次都预留地址以适应不同层次的扩容;
对IP地址的规划有如下具体策略要求:
Ø 网络设备互连地址
² 考虑临时加入网络监控工具的可能性,使用29位掩码,地址从低到高分配;
² 同类设备互连,编号小的设备取奇地址,编号大的设备取偶地址;
² 不同层次的设备互连,靠近网络核心的设备取奇地址,远离网络核心的设备取偶地址。
Ø 网络设备的Loopback管理地址:
² 使用32位掩码,地址从高到低分配。
根据上述IP地址规划原则和分配策略,本次方案不对景东公安局办公大楼内网进行网络IP地址分配方案,待设备安装上架后根据贵方的实际需求以及上级单位分配的IP地址,现场规划进行部署。互联网网络VLAN 规划参考照表
|
2.6.5IP规划表
|
|
|
|
|
vlan划分
|
应用
|
地址段
|
网关
|
|
vlan 1
|
1楼办公区
|
10.0.1.0/255.255.255.0
|
10.0.1.1 自动获取IP
|
|
vlan 2
|
2楼办公区
|
10.0.2.0/255.255.255.0
|
10.0.2.1 自动获取IP
|
|
vlan 3
|
3楼办公区
|
10.0.3.0/255.255.255.0
|
10.0.3.1 自动获取IP
|
|
vlan 4
|
4楼办公区
|
10.0.4.0/255.255.255.0
|
10.0.4.1 自动获取IP
|
|
vlan 5
|
5楼办公区
|
10.0.5.0/255.255.255.0
|
10.0.5.1 自动获取IP
|
|
vlan 6
|
6楼办公区
|
10.0.6.0/255.255.255.0
|
10.0.6.1 自动获取IP
|
|
vlan 7
|
7楼办公区
|
10.0.7.0/255.255.255.0
|
10.0.7.1 自动获取IP
|
|
vlan 8
|
8楼办公区
|
10.0.8.0/255.255.255.0
|
10.0.8.1 自动获取IP
|
|
vlan 9
|
9楼办公区
|
10.0.9.0/255.255.255.0
|
10.0.9.1 自动获取IP
|
|
vlan 100
|
对接防火墙
|
192.168.100.0/255.255.255.0
|
192.168.100.1
|
|
vlan 135
|
管理设备
|
192.168.135.0/255.255.255.0
|
192.168.135.1
|
网络中针对原有接入层交换机的攻击和必须经过交换机的攻击有如下几种:
•MAC 攻击
•DHCP攻击
•ARP攻击
•IP/MAC欺骗攻击
•STP攻击
•DoS/DDoS攻击
•IP扫描攻击
•网络设备管理安全
攻击:交换机内部的MAC地址表空间是有限的,MAC攻击会很快占满交换机内部MAC地址表,使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发,每个连在端口上的客户端都可以收到该报文,交换机变成了一个Hub,用户的信息传输也没有安全保障了。
防范:利用交换机端口安全功能下的MAC动态地址锁/端口静态绑定MAC,或1x端口下端口自动动态绑定MAC/IP,来限定交换机某个端口上可以学习的源MAC数量或源MAC地址,当该端口学习的MAC数量超过限定数量时,交换机将产生违例动作。
DHCP攻击之一:
恶意用户通过更换MAC地址的方式向DHCP Server发送大量的DHCP请求,以消耗DHCP Server可分配的IP地址为目的,使得合法用户的IP请求无法实现。
防范:利用交换机端口安全功能:MAC动态地址锁和端口静态绑定MAC、1x端口下的自动动态绑定用户IP/MAC,来限定交换机某个端口上可以访问网络的MAC地址,从而控制:那些通过变化MAC地址来恶意请求不同IP地址和消耗IP资源的DHCP攻击。当交换机一个端口的MAC地址的数目已经达到允许的最大个数后,如果该端口收到一个源地址不属于端口上的MAC安全地址的包时,交换机则采取措施。
DHCP攻击之二:
非法DHCP Server,为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息,不仅影响合法用户的正常通讯,还导致合法用户的信息都发往非法DHCP Server,严重影响合法用户的信息安全。
防范:
•控制客户端发出的DHCP请求报文被广播出去;
•检查和控制DHCP响应报文是否:是合法DHCP Server发出的报文。
防范:
接入交换机一般不具有DHCP Relay功能,收到DHCP请求广播报文后,并在VLAN内是向所有端口转发。
而H3CS8600系列核心交换机具有DHCP Relay功能,一旦启用DHCP Relay功能,并且配置了DHCP Server的IP地址,则客户端发出的DHCP请求,在核心交换机中将不以广播包的形式转发出去,而是直接到交换机CPU,从而有效避免DHCP请求报文广播出去被非法DHCP Server收到。
交换机CPU处理后,以单播的形式发往指定的DHCP Server。收到DHCP响应报文后(Offer,ACK,NAK报文),CPU会判定报文中的源IP地址是否为交换机中设定的DHCP Server的地址,从而保证DHCP响应报文的合法性。
这比仅仅设定交换机某个端口可以接受DHCP响应报文更合理和可靠。
ARP 攻击:ARP欺骗
ARP欺骗者:利用上页讲到的ARP漏洞,发送虚假的ARP请求报文和响应报文,报文中的源IP和源MAC均为虚假的,或错误的网关IP和网关MAC对应关系,扰乱局域网中各PC以及网关中保存的ARP表,使得网络中的合法PC正常上网、通讯中断,并且流量都可流入到攻击者手中。
ARP欺骗的防范:
利用交换机端口ARP检查安全功能:打开ARP报文检查ARP报文中的源IP和源MAC是否和绑定的一致,可有效防止安全端口上欺骗ARP,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
MAC欺骗:盗用合法用户的MAC地址,侵入网络,使得正常用户无法上网;
IP欺骗:
•盗用合法用户的IP地址,使得到合法用户的通讯得不到响应,造成Ping of death,和ICMP不可达风暴;
•不断修改IP,发送TCP SYN连接,攻击Server,造成SYN Flood。
防范:
•交换机端口安全:端口静态绑定;
•交换机整机绑定IP和MAC地址;
• DHCP动态绑定(无1x认证环境下,E系列不支持该功能);
• 802.1x;
检查IP报文中源IP和源MAC是否和交换机中管理员设定的是否一致,不一致,报文丢弃,并发送告警信息。
发送虚假的BPDU报文,扰乱网络拓扑和链路架构,可以导致整个内网瘫痪。
防范:
使用交换机具备的BPDU Guard功能,可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。
对于接入层交换机,在没有冗余链路的情况下,尽量不用开启STP协议。
Dos攻击:占用网络带宽,占用服务器提供的服务资源,表现为合法用户的请求得不到服务的响应,被攻击方的CPU满负荷或内存不足。攻击报文主要是采用伪装源IP。
防范:RFC 28227的入口过滤规则。
许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的,大量的扫描报文也急剧占用网络带宽,导致正常的网络通讯无法进行。
防范:防IP扫描:检测用户、隔离用户(发日志信息)、恢复通讯(发日志信息)
被监控的攻击主机数量、隔离用户的时间都可以根据网络实际状况设置。
网络管理可以说是网络中最薄弱的一个环节,因为一旦攻击者登录交换机,那么交换机配置的所有安全防范措施则化为乌有,因此必须重视交换机管理安全,同时在设备安装运行稳定后,贵方尽可能的将涉及的网络设备管理密码做相应的修改。
1、一般的网络管理协议:SNMPv2,Telnet,Web等都是明文登录和传输信息的。因此,尽量使用SSH、SNMPv3等秘文传输方式登录交换机,因为它们都与交换机之间都是加密传输。
2、管理VLAN与用户VLAN分开。
3、交换机上不用的端口划在一个VLAN中,并将这些口Shutdown,需要用时,再开启。
4、限制可以管理交换机的IP,H3C交换机均支持Telnet的源IP访问控制列表。
H3C MSR 30-40路由器
1.17.1.1 产品概述
MSR(Multiple Services Routers)多业务开放路由器是杭州华三通信技术有限公司(以下简称“H3C”)专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件结构与硬件平台,能够在最小的投资范围内为企业边缘网络提供一体化解决方案,更能充分满足未来业务扩展的多元化应用需求,符合企业IT建设的现状与趋势。
企业信息架构正在由C/S模式向B/S模式转变,MSR具备高数据转发能力与高加密能力,很好的解决了转变过程中凸现的网络带宽压力与安全隐患,保障企业关键业务流可以高速、机密的通过广域网传输。
MSR集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。
针对企业用户日益个性化的应用需求,MSR领先集成了可以定制开发的高性能开放业务平台,任何人都可以基于该平台开发自身需要的高级网络业务,企业用户只需安装软件便能在网络中方便的部署相应业务,节省了购置各类高昂专用网络设备的投资。
H3C MSR 30系列多业务开放路由器包含MSR 30-10、MSR 30-11、MSR 30-11E、MSR 30-11F、MSR 30-16、MSR 30-20、MSR 30-40和MSR 30-60等八款设备,该系列产品内置的硬件加密功能可以为中小型分支机构提供与总部安全的数据连接,MSR 30也可以作为中小企业核心设备,承担公司广域路由、局域交换、IP语音、视频交互等综合应用。通过在单一平台集成多种网络功能,不仅能够减少业务扩展给企业带来的无尽投资,更能实现总部对众多分支的统一管理和控制,免去了大量的运维成本,让企业在信息化进程中更具竞争力。
MSR 30-10、MSR 30-11、MSR 30-11E和MSR 30-11F四款路由器则是最为典型的路由交换一体化系列设备,这几款设备通过支持24口以太网交换模块或固化24口、48口以太网交换接口的方式实现交换接口的灵活配置和交换接口高密度的要求,MSR 30-11F是目前业界能够在1U高度的设备上提供最大密度交换接口的路由器产品。这几款设备将功能强大的路由器设备和专业的交换设备有机地结合在一起,能够为用户提供最高性价比的路由交换一体化的应用和组网。
MSR 30系列产品采用华三通信技术公司成熟商用的操作系统平台,提供丰富的QoS特性,全面支持IPv6,同时大大地增强部署MPLS VPN业务的能力。MSR30采用OAA(Open Application Architecture)开放应用体系架构,产品提供了一个公开软硬件接口及标准规范的开放平台,任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能,以形成业务定制、优势互补、深度集成、合作共赢。MSR30系列路由器还通过OAA架构提供基于路由器的统一通信功能,为用户提供灵活的语音呼叫处理、IP-PBX、IP电话会议和即时通讯等功能一体化的开放通信解决方案。
1.17.1.2 产品特点
先进的硬件体系架构
MSR 30系列路由器设备在硬件设计方面充分地考虑到集成综合业务的需要,采用了先进的N-Bus多总线设计方案,语音、数据、交换、安全四大业务分别经由不同的总线,由专门的协处理引擎并行完成处理,消除总线和CPU性能瓶颈,大大提高了该系列路由器集成的多业务部署和实施能力。可满足行业网边缘用户、大中型企业分支机构和小型企业总部多种高质量并发业务无缝集成、完美融合。
MSR系列路由器N-Bus体系结构
开放式的增值业务平台
MSR 30基于OAA(Open Application Architecture)理念设计,创新性的推出了对外开放的业务平台。该平台提供了一套完整、标准的对外接口(API接口)。厂商与合作伙伴均可以在此平台上直接开发各类高级功能(例如应用层攻击抵御、网络病毒防护、多媒体集合通信、Web优化与加速等),用户只需安装开发出的软件,便可以将上述业务与MSR 30无缝融合,为日渐细分的个性化需求提供完整的解决方案。
多业务集成并发能力
l 集成安全业务
安全已经成为网络的基本功能,由于安全性需要内嵌于整个网络之中,因此路由器在网络防御战略中起着重要作用。MSR 30系列产品提供专门的安全数据连接设计技术,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎(NDE),通过硬件的方式大大提高数据加密性能,保证转发和加密同步高性能,同时节省接口插槽。
MSR 30提供了丰富的安全功能,包括Firewall、IPSec VPN、MPLS VPN、CA、Secure Shell(SSH)协议2.0、入侵保护、DDoS防御、攻击防御等。
l 集成语音业务
MSR 30系列路由器采用了全新的硬件语音设计方案,提供了FXS/FXO/VE1/VT1等各种语音接口类型,支持SIP等主流的语音通讯协议,实现了紧急呼叫/掉电求救/拨号策略/传真/E-PHONE等各种语音业务。MSR 30提供TDM交换能力,使用户的TDM交换在本地完成,大大节省网络资源的同时,使本地话音的接通率和通话质量完全达到电信水准。
l 集成数据交换
MSR 30系列提供灵活扩展的以太网交换模块,支持丰富的二层交换特性,极大地满足了企业对于路由交换一体化组网方案的需要。另外,MSR 30-11E和MSR 30-11F还分别固定了24/48口的以太网交换接口,大大提高了该路由器的交换接口密度。
l 统一通信功能
MSR 30系列路由器通过基于OAA架构的开放通信引擎模块(OCE)提供呼叫处理、IP-PBX、IP电话会议和即时通讯等功能,为用户提供基于MSR路由器完美的统一通讯解决方案。
l 多业务线速并发
MSR 30系列路由器将全新的硬件架构和结构化的软件系统有机结合,可以为用户提供集成数据、安全、语音、视频以及各种上层应用的服务,满足用户现有的以及未来的互联网应用,而且路由器的原有数据传输性能丝毫未受影响。
成熟商用的操作系统
MSR 30系列采用了华三公司成熟商用的多业务、可扩展、组件化的先进操作系统平台,全面支持IPv6,并支持完善的MPLS VPN功能满足各种组网需求。
· l 完善的下一代IP协议解决方案
IPv6作为下一代网络的基础协议以其鲜明的技术优势得到广泛的认可, MSR全面支持IPv4/IPv6双协议栈,支持通用的IPv4路由协议、IPv6路由协议、组播路由协议和静态路由。MSR提供了丰富的IPv4向IPv6过渡方案,包括双栈技术、隧道技术、地址转换技术(NAT-PT)和MPLS 6PE技术。
l 领先的MPLS流量工程解决方案
MPLS TE结合了MPLS技术与流量工程,通过建立到达指定路径的LSP隧道进行资源预留,使网络流量绕开拥塞节点,达到平衡网络流量的目的。
在资源紧张的情况下,MPLS TE能够抢占低优先级LSP隧道带宽资源,满足大带宽LSP或重要用户的需求。同时,当LSP隧道故障或网络的某一节点发生拥塞时,MPLS TE可以通过备份路径和快速重路由FRR(Fast Reroute),提供瞬时恢复保护。
l 创新的虚拟路由器(VRF)功能
VRF可以把一台路由器在逻辑上划分为多台虚拟的路由器,每台虚拟的路由器就象单独的一台路由器一样工作,有自己独立的路由表和相应的参与数据转发的接口,并且彼此业务隔离。这从根本上解决了多种业务并存于一台物理设备且又需要隔离的问题,能够节省用户在设备及通信资源方面的投资。
l 安全灵活的VPE功能
VPE(VPN PE)是一种特殊的PE,它和CE之间的连接方式不是传统的DDN/E1/ POS/ETH/PVC等专线技术,而是IPSec/L2TP/GRE/UDP VPN等隧道技术。VPE完成IP VPN与MPLS VPN的融合,在网络边缘实现网络资源的逻辑划分及安全隔离,核心网与边缘网络形成了一个整体,实现了端到端的VPN功能。
l 简单便捷的网络分析工具
NQA(网络质量分析)是测量网络上运行的各种协议性能的一种工具。它可以实现端到端的网络状况监测,包括时延、抖动、丢包率等。不仅能使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间,从而判断目的主机是否可达,还可以探测DLSw、DHCP、FTP、HTTP、SNMP服务器是否打开,以及测试各种服务的响应时间等,提供对网络应用的质量检测。
提供POE远程供电特性
MSR 30系列支持PoE(Power Over Ethernet)功能,即可通过双绞线向远端下挂PD设备(如IP Phone、WLAN AP、Security、Bluetooth AP等)提供电源,实现对下挂PD设备远端供电,使设备安装简单而且节省空间。作为供电方PSE(Power Sourcing Equipment)设备,支持IEEE802.3af线路供电标准,同时也可以兼容不符合802.3af标准的PD(Powered Device)设备。MSR 30系列以太网口上的PoE特性,能够充分满足未来新兴技术发展的需求,为无线技术、语音技术的发展提供了支持。通过支持POE和Voice VLAN技术,MSR 30系列路由器能够提供完美的数据和语音融合解决方案。
支持WLAN无线接入功能
H3C MSR系列路由器支持WLAN无线接入功能,支持802.11b/g标准的通信,并且支持的功能特性丰富,足以满足用户对于WLAN无线接入的需要,大大地提高了该产品的综合接入能力。
支持无线3G无线通信功能
H3C MSR系列路由器支持CDMA2000、WCDMA、TD-SCDMA无线3G通信功能,满足用户对于3G无线上行主链路和备份链路的应用需求,同时还提供丰富的业务和功能。
H3C MSR系列路由器的3G无线通信接口在设备上实际上封装为一个标准的IP接口,即屏蔽了其物理接口的差异性,与其它的以太口、串口、E1接口等物理接口没有差别,也就是说MSR系列路由器上的3G无线通信接口会支持完整的基于IP层以上的所有业务和功能特性,如接口备份、流量统计、网络防攻击等等,这能够极大发挥无线3G接口应用的潜力和价值。
MSR系列路由器的3G通信接口支持永久在线及按需拨号两种工作模式,可以方便用户根据计费方式灵活选择工作模式,以满足用户采用最合适的方式使用3G无线链路通信资源。
严格的国际认证
H3C MSR系列路由器设备秉承H3C公司先进的静音、低功耗的绿色环保设计理念,符合有关EMC、安规和环保等方面的标准,如CE、FCC等安全准入标准。
1.17.1.3 产品规格
lMSR 30系列路由器硬件规格
|
项目
|
MSR 30-16
|
MSR 30-20
|
MSR 30-40
|
MSR 30-60
|
|
处理器
|
RISC新一代处理器(400MHz)
|
RISC新一代处理器(533MHz)
|
RISC新一代处理器(533MHz)
|
RISC新一代处理器(533MHz)
|
|
转发性能
|
240Kpps
|
300Kpps
|
360Kpps
|
360Kpps
|
|
固定接口
|
2个百兆以太电口
|
2个千兆以太电口
|
2个千兆以太光/电口(Combo)
|
2个千兆以太光/电(Combo)
|
|
模块插槽
|
4个SIC插槽
|
4个SIC插槽
|
4个SIC插槽
|
4个SIC插槽
|
|
1个MIM插槽
|
2个MIM插槽
|
4个MIM插槽
|
6个MIM插槽
|
|
|
ESM插槽
|
2
|
2
|
2
|
2
|
|
VPM插槽
|
2
|
2
|
3
|
3
|
|
VCPM
|
1
|
1
|
1
|
1
|
|
USB
|
1
|
2
|
2
|
2
|
|
AUX
|
1
|
1
|
1
|
1
|
|
配置口
|
1
|
1
|
1
|
1
|
|
硬件加密
|
支持
|
支持
|
支持
|
支持
|
|
内存(缺省/最大)
|
256M/768M(DDR)
|
256M/1G(DDR)
|
256M/1G(DDR)
|
256M/1G(DDR)
|
|
CF
|
256M/1G
|
256M/1G
|
256M/1G
|
256M/1G
|
|
最大功耗
|
100W
|
125W
|
210W
|
210W
|
|
电源(AC)
|
输入额定范围:
100~240V 50/60Hz
|
输入额定范围:
100~240V 50/60Hz
|
输入额定范围:
100~240V 50/60Hz
|
输入额定范围:
100~240V 50/60Hz
|
|
外形尺寸
(W×D×H)
|
442mm×441.8mm×44.2mm
|
442mm×441.8mm×44.2mm
|
442mm×422.3mm×88.2mm
|
442mm×421.8mm×132mm
|
|
重量
|
6kg
|
6.9kg
|
11.9kg
|
13.6kg
|
|
环境温度
|
0~40℃
|
0~40℃
|
0~40℃
|
0~40℃
|
|
环境相对湿度
|
5~90%(不结露)
|
5~90%(不结露)
|
5~90%(不结露)
|
5~90%(不结露)
|
|
EMC
|
ETSI EN 300 386 V1.3.1 (2001-09)
|
|||
|
EN 55022(1998)
|
||||
|
EN 55024(1998)
|
||||
|
FCC Part15
|
||||
|
ICES-003
|
||||
|
VCCI V-3
|
||||
|
AZ/NZS CISPR22
|
||||
|
安规
|
UL 60950 3rd Edition
|
|||
|
CSA 22.2#950 3rd Edition 1995
|
||||
|
EN 60950: 2000 + ZB & ZC deviations for European Union LVD Directive
|
||||
|
IEC 60950:1999 + corr. Feb. 2000, modified + all National deviations
|
||||
信息条形码:628892101029841078
1.17.2.1 产品功能详细介绍:
互联网的飞跃发展,带动了信息的爆炸传播,各色网络资源日趋丰富,以至无论政府、企业还是学校等组织机构纷纷连通互联网攫取之。但组织内网用户渴望快速上网的诉求与互联网资源泛滥、带宽资源有限之间的矛盾进一步计划,因此上网优化网关应运而生。
上网加速,提升组织上网速度
组织规模扩大、内网人数增多、但组织的互联网带宽却有限,从而导致内网用户关于上网速度慢的抱怨此起彼伏,单纯扩容带宽却未必奏效。借助深信服SG上网优化网关,不仅显著提升上网速度,同时有效节省组织的互联网带宽资源,实现既节省带宽成本、又提升内网用户满意度的效果。
带宽管理,合理分配带宽资源
很多组织动辄百兆、甚至数G的互联网出口带宽并未给内网用户提供畅快的互联网访问体验,原因之一即迅雷等P2P软件、在线影音等带宽杀手应用严重吞噬带宽资源,这也是造成单纯扩容带宽并不提升网速的重要原因。因此实现带宽资源的合理分配与管理,是实现上网加速的重要支撑。借助SG上网优化网关,将保障关键用户、关键业务、关键访问行为的带宽需求,同时防范带宽杀手等非业务应用的带宽占用,进一步提升上网速度。
上网安全,确保网络稳定可靠
一个病毒木马泛滥横行、时常故障甚至中断的网络,纵然优化和快速也无济于事,所以确保网络稳定、安全、可靠是上网加速的基础。深信服SG上网优化网关能主动清理网络流量中的恶意插件、危险脚本、病毒、木马等威胁,封堵、反动等不良网站。即使内网用户不幸感染间谍软件、被黑客远程控制等,SG上网优化网关亦可识别、封堵、报警,提升组织网络安全稳定性,为上网加速奠定坚实基础。
产品功能 丰富的互联网资源与组织有限的互联网带宽之间的矛盾,在内网大量用户希望快速上网的诉求下进一步激化,所以上网优化网关应运而生。
专业上网优化网关是涵盖上网加速、带宽管理、上网安全的整体解决方案。其中融合缓存、代理的上网加速是核心,实现带宽资源合理分配的带宽管理是支撑,保障组织网络稳定可靠的上网安全是基础。
上网加速和Proxy代理,提升上网速度
上网优化网关SG的饼状图、柱状图等图形化报表工具,帮助管理者清晰掌控组织网络和带宽的使用情况,为IT决策提供数据支撑。
内网用户相似的访问行为导致大量相同数据反复传输而浪费带宽资源。SG的上网加速特性既可减少相同数据重复传输、解决带宽浪费问题,同时重复数据从SG网关提取并返回给用户,极大提升上网速度,而且降低组织互联网带宽的占用。
SG上网优化网关提供Proxy代理功能,基于专用硬件平台和优化的操作系统,提供远比ISA、Squid等传统软件代理方案性能更强、更稳定可靠、更安全的代理方案。
带宽管理,实现互联网资源合理分配
第三方统计显示,全球P2P流量占互联网总流量49%到83%。办公室里迅雷、在线影音等带宽杀手极度消耗组织有限的带宽资源。不仅上网慢,且ERP等业务系统访问效果差。
深信服SG上网优化网关针对应用类型、网站类别、文件类型、用户/用户组、时间段等细致划分和分配带宽资源,既可有效限制P2P、在线影音、大文件下载等不良应用对带宽的大量占用,同时又保障领导等关键用户、ERP等关键应用的带宽需求,进而提升上网速度。
同时SG还可以实现互联网网页、网络应用等各种互联网资源的合理分配,从而促使网络资源更好的为组织效益服务。
上网安全,确保组织网络安全、问题和可靠
网络稳定、安全、可靠是上网加速的基础,否则纵然优化和快速也无济于事。/成人等非法网站是病毒/木马的重灾区,即使正规门户网站也可能被黑客挂载木马/病毒,同时含恶意脚本/危险插件的网页也层出不穷。另外存在漏洞或不满足IT规定的终端,其上网时极易感染网络威胁,进而在内网泛滥传播,组织网络安全性堪忧。
SG网关能主动清理网络流量中的恶意插件/危险脚本/病毒/木马等威胁,能封堵成人/等不当网站,能防御DOS攻击/ARP欺骗等危险流量。即使终端不幸感染间谍软件/被黑客控制/成为僵尸网络等,SG亦可识别、封堵、并向管理员报警。此外SG将用户终端安全状况与其上网权限关联,终端不安全则不能上网。
功能概要:
上网加速
上网加速
缓存文件、网页等重复数据,降低带宽占用,提升上网速度;
缓存酷六等在线视频流量,极大节省带宽,提升上网速度;
内网用户无需更改任何配置,上网即可实现上网透明加速;
Proxy代理
支持HTTP、Socks5等代理功能,可代理网页、QQ等上网;
Proxy代理支持单臂模式部署,满足客户特殊网络环境要求;
带宽管理
网络可视
实时监控设备、应用、用户、流量、会话、连接等状况信息;
带宽条带图等直观展示应用、用户的流量和带宽使用状况;
带宽使用和流量分布情况可输出统计图、趋势图、对比图等;
带宽管理
虚拟线路、多线路等技术实现多链路同时使用的智能流控;
基于应用类型、网站类型、文件类型分配带宽资源,最细致;
带宽借用、带宽保证、流量整形、QoS等提升带宽使用效率;
上网安全
危险过滤
封堵成人/等威胁重灾区网站,识别并封堵挂马网站;
清洗流量中危险插件、恶意脚本、病毒、木马等危险流量;
感染木马/间谍软件/黑客远控/僵尸网络等亦能识别和封堵;
终端准入
检查用户终端和系统等状况,不符合组织规定的可禁止其上网;
可调用管理者自编程序检查终端状况,提升终端检查灵活性;
终端检查不通过既可禁止其上网、又可仅警告但允许上网等;
专业上网优化网关是涵盖上网加速、带宽管理、上网安全的整体解决方案,其中上网加速是核心。深信服SG上网优化网关具有上网加速效果最好、部署最智能、单台设备加速性能最强等明显优势,帮助组织显著提升上网速度。
上网加速效果最好
海量的互联网资源为上网加速提出了挑战。传统方案仅能加速部分网页访问行为;同时传统方案往往安装在服务器上、以windows等通用操作系统为基础平台,因此其加速效果、加速性能、稳定性、安全性等都存在先天不足。深信服上网优化网关利用“内存缓存、硬盘缓存和多值加权淘汰算法”,针对用户访问的网页、观看的在线视频、下载的文件等实现业界效果最好的上网加速,还可以借助深信服上网优化网关内置的柱状图、饼状图等直观展现加速效果。
部署最智能
如传统上网加速方案使用时,内网用户必须进行配置并启用代理、修改浏览器设置等操作,这明显增加了部署难度和维护成本,对于成百上千内网用户的组织更如同噩梦。而深信服上网优化网关无需调整网络配置,支持以网桥模式透明串接在组织网络中;同时内网用户无需修改本机任何配置,无需调整任何上网习惯,直接上网、立即加速;即使已部署Proxy代理的组织,用户也无需修改代理配置即实现上网加速,真正实现智能部署和透明加速。不仅简化用户操作,更减轻IT部门部署和维护的工作量。
单台设备加速性能最强
一台ISA、Squid服务器通常仅支持300-500并发用户的上网加速,而采用多服务器集群部署无疑增加了部署成本、维护成本。深信服上网优化网关采用专有硬件和自有操作系统,为高端客户提供了业界性能最强的上网加速解决方案:一台深信服上网优化网关即支持数万并发用户的上网加速,也可以将多台上网优化网关以多机模式部署,为超大规模组织提供性能更加强劲的上网加速解决方案。 信息条形码:628
上网加速,提升组织上网速度
组织规模扩大、内网人数增多、但组织的互联网带宽却有限,从而导致内网用户关于上网速度慢的抱怨此起彼伏,单纯扩容带宽却未必奏效。借助深信服SG上网优化网关,不仅显著提升上网速度,同时有效节省组织的互联网带宽资源,实现既节省带宽成本、又提升内网用户满意度的效果。
带宽管理,合理分配带宽资源
很多组织动辄百兆、甚至数G的互联网出口带宽并未给内网用户提供畅快的互联网访问体验,原因之一即迅雷等P2P软件、在线影音等带宽杀手应用严重吞噬带宽资源,这也是造成单纯扩容带宽并不提升网速的重要原因。因此实现带宽资源的合理分配与管理,是实现上网加速的重要支撑。借助SG上网优化网关,将保障关键用户、关键业务、关键访问行为的带宽需求,同时防范带宽杀手等非业务应用的带宽占用,进一步提升上网速度。
上网安全,确保网络稳定可靠
一个病毒木马泛滥横行、时常故障甚至中断的网络,纵然优化和快速也无济于事,所以确保网络稳定、安全、可靠是上网加速的基础。深信服SG上网优化网关能主动清理网络流量中的恶意插件、危险脚本、病毒、木马等威胁,封堵、反动等不良网站。即使内网用户不幸感染间谍软件、被黑客远程控制等,SG上网优化网关亦可识别、封堵、报警,提升组织网络安全稳定性,为上网加速奠定坚实基础。
产品功能 丰富的互联网资源与组织有限的互联网带宽之间的矛盾,在内网大量用户希望快速上网的诉求下进一步激化,所以上网优化网关应运而生。
专业上网优化网关是涵盖上网加速、带宽管理、上网安全的整体解决方案。其中融合缓存、代理的上网加速是核心,实现带宽资源合理分配的带宽管理是支撑,保障组织网络稳定可靠的上网安全是基础。
上网加速和Proxy代理,提升上网速度
上网优化网关SG的饼状图、柱状图等图形化报表工具,帮助管理者清晰掌控组织网络和带宽的使用情况,为IT决策提供数据支撑。
内网用户相似的访问行为导致大量相同数据反复传输而浪费带宽资源。SG的上网加速特性既可减少相同数据重复传输、解决带宽浪费问题,同时重复数据从SG网关提取并返回给用户,极大提升上网速度,而且降低组织互联网带宽的占用。
SG上网优化网关提供Proxy代理功能,基于专用硬件平台和优化的操作系统,提供远比ISA、Squid等传统软件代理方案性能更强、更稳定可靠、更安全的代理方案。
带宽管理,实现互联网资源合理分配
第三方统计显示,全球P2P流量占互联网总流量49%到83%。办公室里迅雷、在线影音等带宽杀手极度消耗组织有限的带宽资源。不仅上网慢,且ERP等业务系统访问效果差。
深信服SG上网优化网关针对应用类型、网站类别、文件类型、用户/用户组、时间段等细致划分和分配带宽资源,既可有效限制P2P、在线影音、大文件下载等不良应用对带宽的大量占用,同时又保障领导等关键用户、ERP等关键应用的带宽需求,进而提升上网速度。
同时SG还可以实现互联网网页、网络应用等各种互联网资源的合理分配,从而促使网络资源更好的为组织效益服务。
上网安全,确保组织网络安全、问题和可靠
网络稳定、安全、可靠是上网加速的基础,否则纵然优化和快速也无济于事。/成人等非法网站是病毒/木马的重灾区,即使正规门户网站也可能被黑客挂载木马/病毒,同时含恶意脚本/危险插件的网页也层出不穷。另外存在漏洞或不满足IT规定的终端,其上网时极易感染网络威胁,进而在内网泛滥传播,组织网络安全性堪忧。
SG网关能主动清理网络流量中的恶意插件/危险脚本/病毒/木马等威胁,能封堵成人/等不当网站,能防御DOS攻击/ARP欺骗等危险流量。即使终端不幸感染间谍软件/被黑客控制/成为僵尸网络等,SG亦可识别、封堵、并向管理员报警。此外SG将用户终端安全状况与其上网权限关联,终端不安全则不能上网。
功能概要:
上网加速
上网加速
缓存文件、网页等重复数据,降低带宽占用,提升上网速度;
缓存酷六等在线视频流量,极大节省带宽,提升上网速度;
内网用户无需更改任何配置,上网即可实现上网透明加速;
Proxy代理
支持HTTP、Socks5等代理功能,可代理网页、QQ等上网;
Proxy代理支持单臂模式部署,满足客户特殊网络环境要求;
带宽管理
网络可视
实时监控设备、应用、用户、流量、会话、连接等状况信息;
带宽条带图等直观展示应用、用户的流量和带宽使用状况;
带宽使用和流量分布情况可输出统计图、趋势图、对比图等;
带宽管理
虚拟线路、多线路等技术实现多链路同时使用的智能流控;
基于应用类型、网站类型、文件类型分配带宽资源,最细致;
带宽借用、带宽保证、流量整形、QoS等提升带宽使用效率;
上网安全
危险过滤
封堵成人/等威胁重灾区网站,识别并封堵挂马网站;
清洗流量中危险插件、恶意脚本、病毒、木马等危险流量;
感染木马/间谍软件/黑客远控/僵尸网络等亦能识别和封堵;
终端准入
检查用户终端和系统等状况,不符合组织规定的可禁止其上网;
可调用管理者自编程序检查终端状况,提升终端检查灵活性;
终端检查不通过既可禁止其上网、又可仅警告但允许上网等;
专业上网优化网关是涵盖上网加速、带宽管理、上网安全的整体解决方案,其中上网加速是核心。深信服SG上网优化网关具有上网加速效果最好、部署最智能、单台设备加速性能最强等明显优势,帮助组织显著提升上网速度。
上网加速效果最好
海量的互联网资源为上网加速提出了挑战。传统方案仅能加速部分网页访问行为;同时传统方案往往安装在服务器上、以windows等通用操作系统为基础平台,因此其加速效果、加速性能、稳定性、安全性等都存在先天不足。深信服上网优化网关利用“内存缓存、硬盘缓存和多值加权淘汰算法”,针对用户访问的网页、观看的在线视频、下载的文件等实现业界效果最好的上网加速,还可以借助深信服上网优化网关内置的柱状图、饼状图等直观展现加速效果。
部署最智能
如传统上网加速方案使用时,内网用户必须进行配置并启用代理、修改浏览器设置等操作,这明显增加了部署难度和维护成本,对于成百上千内网用户的组织更如同噩梦。而深信服上网优化网关无需调整网络配置,支持以网桥模式透明串接在组织网络中;同时内网用户无需修改本机任何配置,无需调整任何上网习惯,直接上网、立即加速;即使已部署Proxy代理的组织,用户也无需修改代理配置即实现上网加速,真正实现智能部署和透明加速。不仅简化用户操作,更减轻IT部门部署和维护的工作量。
单台设备加速性能最强
一台ISA、Squid服务器通常仅支持300-500并发用户的上网加速,而采用多服务器集群部署无疑增加了部署成本、维护成本。深信服上网优化网关采用专有硬件和自有操作系统,为高端客户提供了业界性能最强的上网加速解决方案:一台深信服上网优化网关即支持数万并发用户的上网加速,也可以将多台上网优化网关以多机模式部署,为超大规模组织提供性能更加强劲的上网加速解决方案。 信息条形码:628
1.17.3.1 产品概述
H3C S7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5操作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。H3C S7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
H3C S7500E系列包括S7510E(12槽)、S7506E(8槽)、S7506E-V(垂直8槽)、H3C S7506E-S(8槽)、S7503E(5槽)、7503E-S(3槽)和S7502E(4槽)7款产品,除了7503E-S所有产品均支持冗余主控。H3C S7500E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。
1.17.3.2 产品特征
丰富的业务,适应融合业务网络发展趋势
基于IRF2(第二代智能弹性架构)技术的虚拟化架构
H3C S7500E面向数据中心技术的演进,推出了IRF2为代表的软件虚拟化技术,提供多台主机的协同工作、统一管理和不间断维护功能;IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2所提供的高可靠性和无缝升级、扩展能力,也成为H3C用户增值服务的重要组成部分。
全面的MPLS、VPLS业务能力
H3C S7500E所有产品均支持Multi-VRF特性,可以作为MCE设备使用;支持三层的MPLS VPN和二层的MPLS VPN(Martini、Kompella);支持MPLS OAM特性,方便用户的管理和维护;与H3C MPLS VPN Manager配合,实现图形化的MPLS部署与维护。
全面支持VPLS,VLL,支持1K VPLS实例,4K VLL,还支持分层VPLS以及QINQ+VPLS接入方式,提供端到端2层VPN接入方案,支持MPLS/VPLS全线速转发,满足VPLS规模部署要求。
高性能IPv4/IPv6业务能力
H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证,是成熟商用的IPv6产品。
有线无线一体化,有源无源一体化
H3C S7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3C S7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;H3C S7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
EAD端点准入防护技术
H3C S7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
全方位的安全保障,抵御多种网络安全威胁
三平面安全保障机制
H3C S7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSH V2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。
有线无线全面支持EAD
H3C S7500E是EAD端点准入防御解决方案的重要组成部分,S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。
增强的ACL特性
H3C S7500E系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,满足金融等行业访问权限严格控制的需求。
电信级的高可靠性,保障用户业务长期稳定运行
电信级高可靠性设计
H3C S7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E系列可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性。
多业务高可靠性运行
H3C S7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E可以在承载多业务的情况下不间断运行,实现业务的永续。
基于IRF2架构的HA
IRF2技术可以把多台S7500E虚拟成一个“联合设备”,使用和配置都如同一台机器,而且扩展端口数量和交换能力,同时也通过多台设备之间的互相备份增强了设备的可靠性,提供毫秒级的链路收敛能力。简化了管理过程,降低管理成本,并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制,实现毫秒级链路故障检测。
RG-S5750系列是锐捷网络推出的硬件支持IPv6的万兆多层交换机。该系列交换机提供的接口形式和组合非常灵活,即可以提供24个或48个10/100/1000M自适应的千兆电口(不包含扩展模块端口),又可以提供有24个SFP千兆光口((不包含扩展模块端口)),又能提供PoE远程供电的接口,满足网络建设中不同传输介质的连接需要。
全千兆的端口形态,加上可扩展的万兆端口,特别适合高带宽、高性能和灵活扩展的大型网络汇聚层、中型网络核心、以及数据中心服务器群的接入使用。
硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性,为IPv6网络之间的通信提供了丰富的Tunnel技术,可灵活应用于纯IPv4网络、纯IPv6网络、IPv4到IPv6共存的网络,能充分满足当前园区网从IPv4向IPv6过渡的需要。
提供二到七层的智能的业务流分类、完善的服务质量(QoS)保证和组播应用管理特性。在提供高性能、多智能的同时,其内在的安全防御机制和用户接入管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入网络,保证合法用户合理地使用网络资源,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,充分保障了网络安全、网络合理化使用和运营。
该系列交换机提供的接口形式和组合非常灵活,即可以提供24个或48个10/100/1000M自适应的千兆电口,又可以提供有24个SFP千兆光口,又能提供PoE远程供电的接口,满足网络建设中不同传输介质的连接需要。
RG-S5750系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网需求。
1.17.3.3 技术参数
|
属 性
|
S7510E
|
S7506E
|
S7506E
-V
|
S7506E-S
|
S7503E
|
S7503E-S
|
S7502E
|
|
|
整机交换容量
|
1152G/768Gbps
|
768Gbps
|
768Gbps
|
384Gbps
|
480Gbps
|
288Gbps
|
192Gbps
|
|
|
背板容量
|
≥2.4Tbps
|
≥1.6Tbps
|
≥1.6Tbps
|
≥1.6Tbps
|
≥1Tbps
|
≥600Gbps
|
≥400Gbps
|
|
|
IPv4包转发率
|
780M/492Mpps
|
492Mpps
|
492Mpps
|
288Mpps
|
276Mpps
|
180Mpps
|
144Mpps
|
|
|
槽位数量
|
12
|
8
|
8(垂直插槽)
|
8
|
5
|
3
|
4
|
|
|
业务槽位数量
|
10
|
6
|
6
|
6
|
3
|
2
|
2
|
|
|
冗余设计
|
电源、主控冗余
|
电源、主控冗余
|
电源、主控冗余
|
电源、主控冗余
|
电源、主控冗余
|
电源、单主控
|
电源、主控冗余
|
|
|
二层特性
|
支持IEEE 802.1P(CoS优先级)
支持IEEE 802.1Q(VLAN)
支持IEEE 802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)
支持IEEE 802.1ad(QinQ),灵活QinQ和Vlan mapping
支持IEEE 802.3x(全双工流控)和背压式流控(半双工)
支持IEEE 802.3ad(链路聚合)和跨板链路聚合
支持IEEE 802.3(10Base-T)/802.3u(100Base-T)
支持IEEE 802.3z(1000BASE-X)/802.3ab(1000BaseT)
支持IEEE 802.3ae(10Gbase)
支持IEEE 802.3af(PoE)
支持IEEE 802.3at(PoE+)
支持RRPP(快速环网保护协议)
支持跨板端口/流镜像
支持端口广播/多播/未知单播风暴抑制
支持Jumbo Frame
支持基于端口、协议、子网和MAC的VLAN划分
支持SuperVLAN
支持PVLAN
支持Multicast VLAN+
支持点到点 单VLAN交叉连接、双VLAN交叉连接
全部依靠VLAN-ID进行转发,不涉及MAC地址学习 支持最大VLAN MAPING/灵活QinQ表项
全面支持1:1, 2:1,1:2, 2:2 VLAN MAPPING能力
支持GVRP
支持LLDP
|
|||||||
|
IPv4路由特性
|
支持ARP Proxy
支持DHCP Relay
支持DHCP Server
支持静态路由
支持RIPv1/v2
支持OSPFv2
支持IS-IS
支持BGPv4
支持OSPF/IS-IS/BGP GR (Graceful Restart优雅重启)
支持等价路由
支持策略路由
支持路由策略
|
|||||||
|
IPv6路由特性
|
支持ICMPv6
支持ICMPv6重定向
支持DHCPv6
支持ACLv6
支持OSPFv3
支持RIPng
支持BGP4+
支持IS-ISv6
支持手工隧道
支持ISATAP
支持6to4隧道
支持IPv6和IPv4双栈
|
|||||||
|
组播
|
支持IGMPv1/v2/v3
支持IGMPv1/v2/v3 Snooping
支持IGMP Filter
支持IGMP Fast leave
支持PIM-SM/PIM-DM/PIM-SSM
支持MSDP
支持AnyCast-RP
支持MLDv2/MLDv2 Snooping
支持PIM-SMv6、PIM-DMv6、PIM-SSMv6
|
|||||||
|
ACL/QoS
|
每单板最大支持16K ACL
支持标准和扩展ACL
支持基于VLAN的ACL
支持Ingress/Egress ACL
支持Ingress/Egress CAR,粒度可达8Kbps
支持两级Meter能力
支持VLAN聚合CAR,MAC聚合CAR功能
支持流量整形(Traffic Shaping)
支持802.1P/DSCP优先级Mark/Remark
支持层次化QoS(H-QoS),支持三级队列调度
支持队列调度机制,包括SP、WRR、SP+WRR、CBWFQ
支持每端口8队列
支持拥塞避免机制,包括Tail-Drop、WRED
支持N:2 Mirroring
|
|||||||
|
MPLS/VPLS
|
支持L3 MPLS VPN
支持L2 VPN: VLL (Martini, Kompella)
支持MCE
支持MPLS OAM
支持VPLS,VLL
支持分层VPLS,以及QinQ+VPLS接入
支持P/PE功能
支持LDP协议
|
|||||||
|
安全机制
|
支持EAD安全解决方案
支持Portal认证
支持MAC认证
支持IEEE 802.1x和IEEE 802.1x SERVER
支持AAA/Radius
支持HWTACACS,支持命令行认证
支持SSHv1.5/SSHv2
支持ACL流过滤机制
支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证
支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限
支持受限的IP地址的Telnet的登录和口令机制
支持IP地址、VLAN ID、MAC地址和端口等多种组合绑定
支持uRPF
支持主备数据备份机制
支持故障后报警和自恢复
支持数据日志
|
|||||||
|
系统管理
|
支持FTP、TFTP、Xmodem
支持SNMP v1/v2/v3
支持sFlow流量统计
支持RMON
支持NTP时钟
支持NetStream流量统计功能
|
|||||||
|
可靠性
|
支持主控板1+1冗余备份
支持电源1+1冗余备份
采用无源背板设计
所有单板支持热插拔
支持VRRP
支持Ethernet OAM(802.1ag和802.3ah)
支持MAC Tracert
支持RRPP
支持Graceful Restart for OSPF/BGP/IS-IS
支持DLDP
支持VCT
支持Smart-Link
支持热补丁
|
|||||||
|
环境要求
|
温度范围:0℃~45℃
相对湿度:10%~95%(非凝结)
|
|||||||
|
安规和EMC认证
|
通过了CE、FCC PART 15、TUV-GS、UL-CUL、ICES003和VCCI的认证
|
|||||||
|
电源
|
DC:–48V~–60V
AC: 100V~240V
|
|||||||
|
POE电源
|
支持内置PoE电源(S7506E-S不支持)
|
|||||||
|
外形尺寸(宽×高×深)(mm)
|
436x 708 x 420
|
436 x 575 x 420
|
436 x 930 x 420
|
436x 575 x 420
|
436 x 441 x 420
|
436 x 175 x 420
|
436 x 175 x 420
|
|
|
满配重量(kg)
|
≤96kg
|
≤77kg
|
≤94kg
|
≤77kg
|
≤63kg
|
≤27kg
|
≤27kg
|
|
RG-S5750系列是锐捷网络推出的硬件支持IPv6的万兆多层交换机。该系列交换机提供的接口形式和组合非常灵活,即可以提供24个或48个10/100/1000M自适应的千兆电口(不包含扩展模块端口),又可以提供有24个SFP千兆光口((不包含扩展模块端口)),又能提供PoE远程供电的接口,满足网络建设中不同传输介质的连接需要。
全千兆的端口形态,加上可扩展的万兆端口,特别适合高带宽、高性能和灵活扩展的大型网络汇聚层、中型网络核心、以及数据中心服务器群的接入使用。
硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性,为IPv6网络之间的通信提供了丰富的Tunnel技术,可灵活应用于纯IPv4网络、纯IPv6网络、IPv4到IPv6共存的网络,能充分满足当前园区网从IPv4向IPv6过渡的需要。
提供二到七层的智能的业务流分类、完善的服务质量(QoS)保证和组播应用管理特性。在提供高性能、多智能的同时,其内在的安全防御机制和用户接入管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入网络,保证合法用户合理地使用网络资源,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,充分保障了网络安全、网络合理化使用和运营。
该系列交换机提供的接口形式和组合非常灵活,即可以提供24个或48个10/100/1000M自适应的千兆电口,又可以提供有24个SFP千兆光口,又能提供PoE远程供电的接口,满足网络建设中不同传输介质的连接需要。
RG-S5750系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网需求。
高性能
万兆端口为“千兆汇聚,万兆核心”提供可能,适应了网络应用高速发展,网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网路,也方便用户后续升级网络到万兆。
IPv4/IPv6双栈协议多层交换
硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和 ISATAP隧道等等),可根据IPv6网络的需求规划和网络现状,提供灵活的IPv6网络间通信方案;
支持丰富的IPv4路由协议,包括静态路由、RIP、OSPF、BGP4等,满足不同网络环境中用户选择合适的路由协议灵活组建网络;
支持丰富的IPv6路由协议,包括静态路由、RIPng、OSPFv3、BGP4+等,不论是在升级现有网络至IPv6网络,还是新建IPv6网络,都可灵活选择合适的路由协议组建网络;
S5750 V2.0硬件版本支持MCE功能,可以在BGP/MPLS VPN组网应用中承担多个VPN实例的CE功能,减少用户设备的投入。
灵活完备的安全策略
具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等,还网络一片绿色;
支持基于硬件的IPv6 ACL,即使在IPv4网络内有IPv6用户,也可轻松在网络边缘实现对IPv6用户的访问控制,既可允许网络内IPv4/IPv6用户并存,也可以对IPv6用户的访问权限进行控制,比如限制对网络敏感资源的访问等。
业界领先的硬件CPU保护机制:特有的CPU保护策略(CPP技术),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全;
硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问题;
支持DHCP snooping,可只允许信任端口的DHCP响应,防止私设DHCP Server的欺骗;并在DHCP监听的基础上,通过动态监测ARP和检查用户的IP,直接丢弃不符合绑定表项的非法报文,有效防范ARP欺骗和用户源IP地址的欺骗问题;
基于源IP地址控制的Telnet访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性;
SSH(Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备
控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
强大的多业务支撑能力
支持IPv4、IPv6组播功能,包含丰富的组播协议。比如IGMP Snooping、IGMP、MLD、PIM、PIM for IPv6等协议族,为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持。
支持IGMP源端口和源IP检查功能,有效地杜绝非法的组播源,提高网络的安全性;
支持等价路由(ECMP)、权重路由(WCMP)等丰富的三层特性和业务特性,满足不同网络链路规划下的通信需要。
完善的QoS策略
具备MAC流、IP流、应用流等多层流分类和流控制能力,实现精细的流带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。
以DiffServ标准为核心的QoS保障系统,支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;
高可靠性
支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;
支持VRRP虚拟路由器冗余协议,有效保障网络稳定;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象;
支持BFD,为各上层协议如路由协议,MPLS等提供一种快速检测两台路由设备之间转发路径连通状态的方法,大大减少了上层协议在链路状态变化时的收敛时间。
方便易用易管理
灵活复用的多种千兆接口形式,可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接,方便用户灵活选择线缆;
为方便安装地点或建筑物不适宜部署外部电源的环境,RG-S5750系列交换机特别提供支持PoE功能的产品型号,即通过双绞线就可以向远端下挂的PD设备供电,如无线AP、IP Phone、视频监控等设备,方便了任何符合IEEE 802.3af标准的终端设备的接入,实现以太网集中供电,以满足金融、企业、学校、医院、工厂等用户实现VoIP、远程监控、无线AP等网络应用的需要;
网络时间协议保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理;
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;
CLI界面,方便高级用户配置和使用。
1.17.4.1 产品概述
H3C S58系列交换机是H3C公司自主开发的下一代数据中心级万兆以太网交换产品。分为S5800、S5810和S5820X三个子系列,为数据中心提供丰富的服务器接入方案。也可以用于园区网的汇聚层或接入层以及中小企业核心。
S5800系列支持H3C创新的IRF2(Intelligent Resilient Framework 2,第二代智能弹性架构)技术,用户可以将多台S5800交换机连接,形成一个逻辑上的独立实体,从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。包括以下型号:
- l S5800-32F:24个100/1000M SFP端口,4个1/10G SFP+端口,1个以太网端口扩展插槽。
1.17.4.2 产品特征
灵活的端口扩展能力
随着用户端带宽不断提高,服务器万兆网卡的应用越来越广泛,交换机需要提供更高的转发性能和万兆端口扩展能力。H3C S58系列交换机支持业内最高的万兆端口密度,单台设备可以按需扩展至最多24个全线速转发的万兆端口。此外,该系列产品还可以提供灵活的千兆接入端口,可以提供16个千兆光接口或者电接口扩展模块,单台设备可以按需扩展至最多84个全线速转发的千兆端口,满足大型网络汇聚或中小网络核心对于光电混合配置的要求。
智能弹性架构
H3C S5800/S5820X系列交换机支持IRF2(第二代智能弹性架构)技术,在扩展性、可靠性、整体架构和可用性方面具有强大的优势,主要体现在四个方面:
· l 扩展性:IRF技术允许交换机利用互联电缆实现多台设备的扩展;具有即插即用、单一IP管理,同步升级的优点,同时大大降低系统扩展的成本。
· l 可靠性:通过专利的路由热备份技术,在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发,极大的增强了IRF组的可靠性和高性能,同时消除了单点故障,避免了业务中断。
· l 分布性:通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。
· l 可用性:通过标准的万兆以太网接口实现智能弹性架构,可以根据需求分配业务带宽和系统连接带宽,合理分配本地流量与上行流量;不仅可以实现机架内、跨机架,甚至跨区域的远距离智能弹性架构。
强大的缓存能力
针对于数据中心大流量数据无阻塞传输的要求,H3C S58系列可以提供强大的缓存能力,并且支持先进的缓存调度机制可以保证设备缓存能力有效利用的最大化。
完善的安全控制策略
H3C S58交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证、EAD快速部署,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发;配合H3C公司的CAMS系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。
H3C S58系列交换机提供增强的ACL控制逻辑,支持超大容量的入方向和出方向ACL,并且支持基于VLAN的ACL下发,在简化用户配置过程的同时,避免了ACL资源的浪费。另外,S58系列还将支持单播反向路径查找技术(uRPF),原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。
多重可靠性保护
H3C S58系列交换机还具备设备级和链路级的多重可靠性保护。采用过流保护、过压保护和过热保护技术。所有机型支持电源冗余,其中部分机型支持内置冗余电源模块和模块化风扇组件,所有机型接口板,电源模块以及风扇模块均可以热插拔而不影响设备的正常运行。此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。
除了设备级可靠性以外,该系列还支持丰富的链路可靠性以外,还支持丰富的链路可靠性技术,比如华三通信独创的RRPP快速环网保护机制,VRRPE和Smart link。当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。
中功率PoE
H3C S5800系列交换机支持PoE(Power over Ethernet)技术,通过以太网对所连接的设备(如IP Phone, Wireless AP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。不仅可以提供遵从IEEE 802.3af标准的每端口15.4W的功率,还支持中功率PoE技术,每端口可以提供最高30W的输出功率,满足包括无线802.11n AP以及部分可视IP电话等大功率PD设备的使用要求。
出色的管理性
H3C S58系列交换机支持丰富的管理接口,例如Console、带外网口、USB口,支持SNMPv1/v2/v3,支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,集群管理,使设备管理更方便,并且支持SSH2.0、SSL等加密方式,使得管理更加安全。
H3C S58系列交换机支持NetStream功能,以及SPAN/RSPAN/ERSPAN镜像和多个镜像观察端口,可以对网络流量进行分析以采取相应管理维护措施,使原本不可见的网络业务应用流量变得一目了然,可以为用户提供多种网流分析报表,帮助用户及时优化网络结构,调整资源部署。
开放业务架构
H3C S58系列交换机采用了H3C的开放业务架构(OAA),不仅可以提供传统交换机的二、三层报文转发的功能,而且可以集成包括防火墙,IPS,无线控制器等高性能多业务模块,使S58交换机成为一个多业务的承载平台。
1.17.4.3 技术参数
S5800系列系统特性
|
项目
|
S5800-60C-PWR
|
S5800-56C
|
S5800-56C-PWR
|
S5800-32C
|
S5800-32C-PWR
|
S5800-32F
|
|
|||
|
外形尺寸(长×宽×高)(单位:mm)
|
440×465
×86.1 |
440×367
×43.6 |
440×427
×43.6 |
440×367
×43.6 |
440×427
×43.6 |
441×427
×43.6 |
|
|||
|
重量
|
Ÿ 18kg
|
Ÿ 6.5kg
|
Ÿ 8.5kg
|
Ÿ 6.0kg
|
Ÿ 8kg
|
Ÿ 8.5kg
|
|
|||
|
管理端口
|
1个Console口
|
1个Console口
|
1个Console口
|
1个Console口
|
1个Console口
|
1个Console口
1个带外网管口
|
|
|||
|
USB接口
|
1个
|
1个
|
1个
|
1个
|
1个
|
1个
|
|
|||
|
固定业务端口
|
48个10/100/1000
Base-T以太网端口(PoE),4个100/1000M SFP端口, |
48个10/100/1000
Base-T以太网端口,4个1/10G SFP+端口 |
48个10/100/1000
Base-T以太网端口(PoE),4个1/10G SFP+端口 |
24个10/100/1000
Base-T以太网端口,4个1/10G SFP+端口 |
24个10/100/1000
Base-T以太网端口(PoE),4个1/10G SFP+端口 |
24个100/1000M SFP端口,4个1/10G SFP+端口
|
|
|||
|
以太网端口扩展插槽
|
2个(前面板)
|
1个(后面板)
|
1个(后面板)
|
1个(后面板)
|
1个(后面板)
|
1个(前面板)
|
|
|||
|
以太网端口扩展模块类型
|
4端口1G/10G SFP+接口模块
2端口1G/10G SFP+接口模块
16端口10/100/1000MBase-T电口模块
16端口100/1000M SFP端口模块
无线控制业务板(小规格)
|
|
||||||||
|
OAA模块类型
|
防火墙模块
IPS模块
无线控制业务板(大规格)
|
无
|
|
|||||||
|
输入电压
|
交流
|
额定电压范围:100V~240V AC,50/60Hz
最大电压范围:90V~264V AC,47/63Hz
|
|
|||||||
|
直流
|
额定电压范围:
300W DC:-48V~-60V DC
750W DC:
-54V~-57V DC
|
额定电压范围(RPS):
10.8V~13.2V DC
|
额定电压范围(RPS):
-52V~-55V DC
|
额定电压范围(RPS):
10.8V~13.2V DC
|
额定电压范围(RPS):
-52V~-55V DC
|
额定电压范围:
-48V~-60V DC
|
|
|||
|
功耗(空载)
|
DC:94W
AC:96W
|
102W
|
DC:107W
AC:131W
|
67W
|
DC:64W
AC:85W
|
DC:58W
AC:67W
|
|
|||
|
功耗(满载)
|
单DC:1840W(其中1500W为PoE输出)
双DC:1840W(其中1500W为PoE输出)
单AC:714W(其中425W为PoE输出)
双AC:1147W(其中740W为PoE输出)
|
163W
|
DC:973W(其中740W为PoE输出)
AC:673W(其中370W为PoE输出)
|
105W
|
DC:870W(其中740W为PoE输出)
AC:598W(其中370W为PoE输出)
|
DC:136W
AC:146W
|
|
|||
|
工作环境温度
|
0℃~50℃
|
|
||||||||
|
工作环境相对湿度(非凝露)
|
10%~90%
|
|
||||||||
|
交换容量
|
360Gbps
|
|
||||||||
|
包转发率(整机)
|
198Mpps
|
192Mpps
|
192Mpps
|
156Mpps
|
156Mpps
|
156Mpps
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
S5820X系列系统特性
|
项目
|
S5820X-28C
|
S5820X-28S
|
|
|
外形尺寸
(长×宽×高)(单位:mm)
|
440×467×86
|
440×427×43.6
|
|
|
重量
|
<15kg
|
<9kg
|
|
|
管理端口
|
1个Console口
|
1个Console口,1个带外网管口
|
|
|
USB接口
|
1个
|
1个
|
|
|
固定业务端口
|
14个1/10G SFP+端口
4个10/100/1000M电口
|
24个1/10G SFP+端口
4个10/100/1000M电口
|
|
|
以太网端口扩展插槽
|
2个(前面板)
|
无
|
|
|
以太网端口扩展模块类型
|
4端口1G/10G SFP+接口模块
2端口1G/10G SFP+接口模块
|
无
|
|
|
OAA模块类型
|
防火墙模块
IPS模块
无线控制业务板(大规格)
|
无
|
|
|
输入电压
|
交流
|
额定电压范围:100V~240V AC,50/60Hz
最大电压范围:90V~264V AC,47/63Hz
|
|
|
直流
|
额定电压范围:
-48V~-60V DC
|
||
|
功耗(空载)
|
AC:105W
DC:103W
|
AC:128W
DC:124W
|
|
|
功耗(满载)
|
AC:245W
DC:241W
|
AC:185W
DC:176W
|
|
|
工作环境温度
|
0℃~50℃
|
||
|
工作环境相对湿度(非凝露)
|
10%~90%
|
||
|
交换容量
|
680Gbps
|
||
|
包转发率(整机)
|
336Mpps
|
366Mpps
|
|
S5800/S5820X系列业务特性
|
支持特性
|
S5800系列
|
S5820X系列
|
|
转发模式
|
store-forward模式
|
store-forward模式,cut through模式
|
|
链路聚合
|
支持GE端口、10GE端口聚合
支持静态聚合、动态聚合
|
|
|
流量控制
|
支持IEEE802.3x 流量控制,支持back pressure
|
|
|
Jumbo Frame
|
支持
|
|
|
MAC地址表
|
支持32K个MAC地址
支持黑洞MAC地址
支持设置端口MAC地址学习最大个数
|
|
|
VLAN
|
支持基于端口、协议、MAC、IP子网的VLAN(4094个)
支持QinQ和灵活QinQ
支持Voice VLAN
|
|
|
VLAN Mapping
|
支持1:1 VLAN Mapping
支持N:1 VLAN Mapping
支持2:2 VLAN Mapping
|
|
|
DHCP
|
支持DHCP Client
支持DHCP Snooping
支持 DHCP Relay
支持 DHCP Server
|
|
|
IRF2
智能弹性架构
|
支持IRF2智能弹性架构
支持分布式设备管理,分布式链路聚合,分布式弹性路由
支持通过标准以太网接口进行堆叠
支持本地堆叠和远程堆叠
|
|
|
IPv4路由
|
支持静态路由、RIP,OSPFv2,BGP,ISIS
支持等价路由,路由策略,VRRP,策略路由
|
|
|
IPv6路由
|
支持静态路由、RIPng,OSPFv3,BGP4+ for IPV6,ISISv6
支持等价路由,路由策略,VRRP,策略路由
|
|
|
URPF
|
支持反向路由检查
|
|
|
MCE
|
支持
|
|
|
BFD
|
OSPF,BGP,IS-IS,Static Route
|
|
|
IPv6 over IPv4 Tunnel
|
支持IPv6手动隧道,6to4隧道,ISATAP隧道,GRE隧道
|
|
|
IPv4组播
|
支持IGMP Snooping
支持IGMP v1/v2/v3
支持PIM-DM/SM/SSM
支持MSDP、MBGP
支持组播VLAN、组播VLAN+
|
|
|
IPv6组播
|
支持MLD Snooping v1/v2
支持MLD v1/v2
支持PIM-DM/SM/SSM for IPV6
支持MBGP for IPv6
支持IPv6组播VLAN、IPv6组播 VLAN+
|
|
|
广播/组播/单播风暴抑制
|
支持基于端口速率百分比的风暴抑制
支持基于PPS的风暴抑制
支持基于kbps的风暴抑制
|
|
|
MSTP
|
支持STP/RSTP/MSTP协议
支持STP Root Guard、BPDU Guard
|
|
|
RRPP
|
支持RRPP协议及RRPP多实例
|
|
|
Smart link和Monitor link
|
支持Smart link及Smart link多实例
支持Monitor link
|
|
|
QoS/ACL
|
支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、端口、协议、VLAN的流分类
支持时间段(Time Range)的包过滤
支持大容量双向ACL
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
每个端口支持8个输出队列
支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WDRR、WFQ、SP+WDRR四种模式
支持报文的802.1p和DSCP优先级重新标记
支持WRED拥塞避免机制
|
|
|
镜像
|
支持N:1的端口镜像和流镜像
支持多个镜像观察口
支持端口的远程镜像(RSPAN)
支持增强型端口的远程镜像(ERSPAN)
|
|
|
安全特性
|
支持用户分级管理和口令保护
支持AAA认证、RADIUS认证
支持MAC地址认证、802.1x认证、portal认证
支持HWTACACS
支持SSH 2.0
支持IP+MAC+端口绑
定
支持IP Source Guard
支持HTTPs、SSL
支持PKI(Public Key Infrastructure,公钥基础设施)
支持EAD
支持ARP Detection功能(能够根据DHCP Snooping安全表项、802.1x表项,或IP/MAC静态绑定表项进行检查)
可支持DHCP Snooping,防止欺骗的DHCP服务器
支持BPDU guard, Root guard
支持OSPF、RIPv2报文的明文及MD5密文认证。
|
|
|
OAA
|
防火墙卡
IPS卡
无线控制业务板
|
|
|
流量管理
|
支持NetStream(仅S5800系列支持)
|
|
|
加载与升级
|
支持XModem协议、FTP、TFTP实现加载升级
|
|
|
管理
|
支持命令行接口(CLI)、Telnet、Console口进行配置
支持SNMPv1/v2/v3
支持RMON (Remote Monitoring)告警、事件、历史记录
支持Imc网管系统、支持WEB网管
支持系统日志、分级告警
支持集群管理HGMPv2
支持电源的告警功能
支持风扇、温度告警
|
|
|
维护
|
支持Ping、Tracert、NQA、Track
支持虚拟电缆检测(Virtual Cable Test)、DLDP
支持802.1ag、支持802.3ah
支持USB进行文件上传和下载
|
|
S5120-28C-EI
S5120-52C-EI
1.17.5.1 产品概述
H3C S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF(智能弹性架构)功能,用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。
l S5120-28C-EI:24 个10/100/1000Base-T以太网端口,4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
1.17.5.2 产品特征
高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条10GE链路将是我们的未来发展方向。S5120-EI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
S5120-EI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管,实现IPv4到IPv6的平滑升级。
智能弹性架构
H3C S5120-EI系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处:
Ø 简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
Ø 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
Ø 弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。
Ø 高可靠 IRF的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。
Ø 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
完备的安全控制策略
H3C S5120-EI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3C S5120-EI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证,防止非法用户登录网络。支持集中式MAC地址认证,可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相应的策略,例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2(SSH V2)特性可以提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。
丰富的QoS策略
H3C S5120-EI系列交换机支持支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式。支持CAR功能,粒度最小达64Kbps。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。
出色的管理性
H3C S5120-EI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMPv2集群管理,使设备管理更方便,并且支持SSH2.0等加密方式,使得管理更加安全。
H3C S5120-EI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。
RG-S2900-E系列交换机包括RG-S2928G-E 、RG-S2952G-E二款产品,是锐捷网络基于网络安全和易用好管理的理念推出的新一代安全智能交换机,充分融合了网络发展需要的高性能、高安全、多业务、易用性特点,为用户提供全新的技术特性和解决方案。
RG-S2900-E交换机在提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性同时,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。
RG-S2900-E系列交换机提供了SNMP、Telnet、Web和Console口等多种配置方式方便网络管理和维护,并提供最为灵活和完善的端口组合形式,非常利于用户根据网络布线需要,选择所需的上行链路的接口形式。
RG-S2900-E系列交换机可为各种类型网络接入提完善的端到端的QoS服务质量、灵活丰富的安全策略和基于策略的网络管理,是校园网、企业网、政务网、业务网、宽带小区、商务楼宇等应用的理想接入设备,为用户提供高速、高效、安全、智能的全新接入方案。
1.17.5.3 技术参数
|
支持特性
|
S5120-24P-EI
|
S5120-48P-EI
|
S5120-28C-EI
|
S5120-52C-EI
|
S5120-28C-PWR-EI
|
S5120-52C-PWR-EI
|
|
交换容量
|
192Gbps
|
240Gbps
|
192Gbps
|
240Gbps
|
192Gbps
|
240Gbps
|
|
包转发率
|
36Mpps
|
72Mpps
|
96Mpps
|
132Mpps
|
96Mpps
|
132Mpps
|
|
外形尺寸(长×宽×高)
(单位:mm)
|
440×300×43.6
|
440×300×43.6
|
440×300×43.6
|
440×300×43.6
|
440×420 ×43.6
|
440×420 ×43.6
|
|
重量
|
4.4kg
|
4.7kg
|
4.4kg
|
4.7kg
|
6kg
|
6.5kg
|
|
管理端口
|
1个Console口
|
|||||
|
固定端口
|
24个10/100/1000Base-T以太网端口
4个复用的1000Base-X千兆SFP端口
|
48个10/100/1000 Base-T以太网端口
4个复用的1000Base-X千兆SFP端口
|
24个10/100/1000 Base-T以太网端口
4个复用的1000Base-X千兆SFP端口
|
48个10/100/1000 Base-T以太网端口
4个复用的1000Base-X千兆SFP端口
|
24个10/100/1000 Base-T以太网端口(PoE)
4个复用的1000Base-X千兆SFP端口
|
48个10/100/1000 Base-T以太网端口(PoE)
4个复用的1000Base-X千兆SFP端口
|
|
扩展插槽
|
不支持
|
2个扩展插槽
|
||||
|
可选接口模块
|
不支持
|
单端口10GE XFP接口模块
两端口10GE XFP接口模块
两端口10GE CX4接口模块
两端口10GE SFP+接口模块
|
||||
|
端口聚合
|
支持LACP
|
|||||
|
端口特性
|
支持IEEE802.3x 流量控制(全双工)
支持基于端口速率百分比的风暴抑制
支持基于PPS的风暴抑制
|
|||||
|
IRF2
(S5120C-EI系列支持)
|
支持IRF2智能弹性架构
支持分布式设备管理,分布式链路聚合
支持通过标准以太网接口进行堆叠
支持本地堆叠和远程堆叠
|
|||||
|
VLAN
|
支持基于端口的VLAN(4K)
支持基于MAC的VLAN
基于协议的VLAN
支持QinQ,灵活QinQ
支持VLAN Mapping
支持Voice VLAN
支持GVRP
|
|||||
|
ACL
|
支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口、协议类型、VLAN的流分类
支持时间段(Time Range)ACL
支持基于端口、VLAN下发ACL
|
|||||
|
QoS
|
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
支持CAR(Committed Access Rate)功能
每个端口支持8个输出队列
支持端口队列调度(SP、WRR、SP+WRR)
支持报文的802.1p和DSCP优先级重新标记
|
|||||
|
DHCP
|
支持DHCP Client
支持DHCP Snooping
支持DHCP Snooping option82
|
|||||
|
IP路由
|
支持IPv4和IPv6的三层路由功能
|
|||||
|
组播
|
支持IGMP Snooping /MLD Snooping
支持组播VLAN
|
|||||
|
二层环网协议
|
支持STP/RSTP/MSTP
支持RRPP
|
|||||
|
镜像
|
支持最大4组N:1的端口镜像
支持远程端口镜像RSPAN
支持流镜像
|
|||||
|
安全特性
|
支持用户分级管理和口令保护
支持802.1X认证/集中式MAC地址认证
支持Guest VLAN
支持RADIUS认证
支持SSH 2.0
支持端口隔离
支持端口安全
支持EAD
|
|||||
|
管理与维护
|
支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI),Telnet,Console口进行配置
支持SNMPv1/v2/v3,WEB网管
支持RMON告警、事件、历史记录
支持iMC智能管理中心
支持系统日志,分级告警,调试信息输出
支持sFlow
支持HGMPv2
支持NTP
支持Ping、Tracert
支持VCT电缆检测功能
支持DLDP单向链路检测协议
支持Loopback-detection 端口环回检测
|
|||||
|
交流输入电压
|
额定电压范围:100V~240V AC,50/60Hz
最大电压范围:90V~264V AC,47/63Hz
|
|||||
|
直流输入电压
|
额定电压范围:
10.8V~13.2V DC(RPS专用)
|
额定电压范围:
-52V~-55V DC(RPS专用)
|
||||
|
功率(满负荷)
|
62W
|
110W
|
103W
|
145W
|
455W,其中系统功耗85W,POE对外供电功率370W
|
不接RPS时,满负荷功耗为500W,其中系统功耗130W,POE对外供电功率370W;
连接RPS时,满负荷功能为870W,其中系统功耗130W,POE对外供电功率740W
|
|
工作环境温度
|
0℃~45℃
|
|||||
|
工作环境相对湿度(非凝露)
|
10%~90%
|
|||||
1.17.6.1 产品概述
H3C SecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品,集成防火墙、VPN和丰富的网络特性,为用户提供安全防护、安全远程接入等功能。
H3C SecPath F1000系列防火墙包括SecPath F1000-C/SecPath F1000-S/ SecPath F1000-S-EI/SecPath F1000-A/SecPath F1000-E等五款产品,支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等;支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
1.17.6.2 产品特点
扩展性最强
基于H3C 先进的OAA开放应用架构,SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块,实现2-7层的全面安全。
强大的攻击防范能力
能防御DoS/DDoS攻击(如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等先进功能。
增强型状态安全过滤
支持基础、扩展和基于接口的状态检测包过滤技术;支持H3C特有ASPF应用层报文过滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用层协议的状态监控。
丰富的VPN特性
集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术,保证移动用户、合作伙伴和分支机构安全、便捷的接入。
应用层内容过滤
可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤。
全面NAT应用支持
提供多对一、多对多、静态网段、双向转换、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。
全面的认证服务
支持本地用户、RADIUS、TACACS等认证方式,支持基于PKI/CA体系的数字证书(X.509格式)认证功能。支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限。
集中管理与审计
提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。
1.17.6.3 产品规格
|
属性
|
说明
|
|
|
运行模式
|
路由模式
透明模式
混合模式
|
|
|
网络安全性
|
AAA服务
|
RADIUS认证
HWTACACS认证
PKI /CA(X.509格式)认证
域认证
CHAP验证
PAP验证
|
|
防火墙
|
包过滤
基础和扩展的访问控制列表
基于接口的访问控制列表
基于时间段的访问控制列表
动态包过滤
ASPF应用层报文过滤
l 应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)
l 传输层协议:TCP、UDP
抗攻击特性
Land/Smurf/Fraggle/WinNuke/Ping of Death/Tear Drop/IP Spoofing/ARP欺骗攻击防范/TCP报文标志位不合法攻击防范/超大ICMP报文攻击防范/
地址/端口扫描的防范
防病毒
DoS/DDoS攻击防范
CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP Flood等
TCP Proxy 功能
ICMP重定向或不可达报文控制功能
Tracert报文控制功能
带路由记录选项IP报文控制功能
静态和动态黑名单功能
MAC和IP绑定功能
透明防火墙
基于MAC的访问控制列表
支持802.1q VLAN 透传
|
|
|
邮件/网页/应用层过滤
|
邮件过滤
网页过滤
应用层过滤
Java Blocking
ActiveX Blocking
SQL注入攻击防范
|
|
|
安全日志及统计
|
用户行为流日志
NAT转换日志
攻击实时日志
黑名单日志
地址绑定日志
流量告警日志
流量统计和分析功能
全局/基于安全域连接数率监控
全局/基于安全域协议报文比例监控
安全事件统计功能
E-MAIL邮件实时告警功能
E-MAIL邮件定期信息发布功能
|
|
|
NAT
|
支持多个内部地址映射到同一个公网地址
支持多个内部地址映射到多个公网地址
支持内部地址到公网地址一一映射
支持源地址和目的地址同时转换
支持外部网络主机访问内部服务器
支持内部地址直映射到接口公网IP地址
支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等
|
|
|
VPN
|
L2TP VPN/GRE VPN/IPSec VPN/SSL VPN/DVPN
|
|
|
网络互连
|
局域网协议
|
Ethernet_II
Ethernet_SNAP
802.1q VLAN
|
|
链路层协议
|
PPPoE
|
|
|
网络协议
|
IP服务
|
ARP
域名解析
IP UNNUMBERED
DHCP中继
DHCP服务器
DHCP客户端
|
|
IP路由
|
静态路由
RIP v1/2
OSPF
BGP
路由策略
策略路由
|
|
|
高可靠性
|
双机状态热备,Active/Active和Active/Passive两种工作模式,支持负载分担和业务备份
关键部件冗余设计
接口模块热插拔
机箱温度自动检测
|
|
|
服务质量保证(QoS)
|
流量监管
|
CAR
|
|
拥塞管理
|
FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ
|
|
|
拥塞避免
|
WRED
|
|
|
流量整形
|
GTS
|
|
|
接口速率限制
|
LR
|
|
|
配置管理
|
命令行接口
|
通过Console口进行本地配置
通过Telnet或SSH进行本地或远程配置
配置命令分级保护,确保未授权用户无法侵入设备
提供全中文的提示和帮助信息
详尽的调试信息,帮助诊断网络故障
提供网络测试工具,如Tracert、Ping、HWPing命令等,迅速诊断网络是否正常
用Telnet命令直接登录并管理其它设备
FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序
支持TFTP上传下载文件
支持日志功能
文件系统管理
User-interface配置,提供对登录用户多种方式的认证和授权功能
|
|
支持标准网管SNMPv3,并且兼容SNMP v2c、SNMP v1
支持NTP时间同步
|
||
|
支持Web方式进行远程配置管理
支持H3C BIMS系统进行设备管理
支持H3C VPN Manager系统进行VPN业务管理和监控
|
||
1.17.6.4 组网案例应用
防火墙应用方案
SecPath F1000系列防火墙应用典型部署图
l 灵活组网,可按需扩展
l 双机状态热备技术,高可靠网络设计
l 丰富路由协议,实现安全与网络融合
l 支持P2P流量检测
l 支持虚拟防火墙
l 阻止各类恶意攻击
l 支持网络流量监控
2 防火墙结合VPN应用方案
SecPath F1000系列防火墙结合VPN应用典型部署图
l 支持多种VPN组网应用
l 支持用户名/口令/USB Key(Gemplus)/X.509格式数字证书认证
l 强大的VPN加密处理能力
l 双机状态热备技术,高可靠网络设计
RG-S2900-E系列交换机包括RG-S2928G-E 、RG-S2952G-E二款产品,是锐捷网络基于网络安全和易用好管理的理念推出的新一代安全智能交换机,充分融合了网络发展需要的高性能、高安全、多业务、易用性特点,为用户提供全新的技术特性和解决方案。
RG-S2900-E交换机在提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性同时,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。
RG-S2900-E系列交换机提供了SNMP、Telnet、Web和Console口等多种配置方式方便网络管理和维护,并提供最为灵活和完善的端口组合形式,非常利于用户根据网络布线需要,选择所需的上行链路的接口形式。
RG-S2900-E系列交换机可为各种类型网络接入提完善的端到端的QoS服务质量、灵活丰富的安全策略和基于策略的网络管理,是校园网、企业网、政务网、业务网、宽带小区、商务楼宇等应用的理想接入设备,为用户提供高速、高效、安全、智能的全新接入方案。
全面的安全控制策略
硬件实现端口与MAC地址和用户IP地址的灵活绑定,严格限定端口上的用户接入;
通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,保障了信息安全,同时不必占用VLAN资源;
专用的硬件防范ARP网关和ARP主机欺骗功能,有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了用户的正常上网;
支持DHCP Snooping,可只允许信任端口的DHCP响应,防止未经管理员许可私自架设DHCP Server,扰乱IP地址的分配和管理,影响用户的正常上网;并在DHCP监听的基础上,通过动态监测ARP和检查源IP,可有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗;
基于源IP地址控制的Telnet和Web设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;
SSH(Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备,保护网络免遭干扰和窃听;
通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用网络,如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制(如专家级ACL、时间ACL、用户自定义ACL)、基于数据流的带宽限速、用户安全接入控制的多元素绑定等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
丰富的组播特性
支持IGMP源端口检查功能,有效地杜绝非法的组播源,提高网络的安全性;
支持和识别IGMPv1/v2和IGMPv3全部版本的组播报文,适应不同组播环境,避免非法的组播数据流占用网络带宽,满足组播安全应用的需要。
完善的QoS策略
以DiffServ标准为核心的QoS保障系统,支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;
具备MAC流、IP流、应用流等多层流分类和流控制能力,实现灵活精细的带宽控制、转发优先级等多种流策略,带宽限制粒度达64Kbps,支持网络根据不同的业务、以及不同业务所需要的服务质量特性,提供差异化服务。
高可靠性
支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。
方便易用易管理
采用灵活的千兆电接口和千兆SFP口组合的形式,可最灵活满足是否需要多个千兆链路上链或多个千兆服务器的连接,方便用户根据网络架构灵活选择连接形式;
支持设备间的混合堆叠,通过堆叠不仅可以统一管理和使用设备,降低管理成本,同时可以灵活地组合和扩展端口,平滑扩容,保障了网络的高度灵活和可扩展,网络管理更加简单;
提供图形化的安全策略管理平台,支持安全策略自动同步下发、升级和维护功能,安全策略智能化,可大幅度提高交换机管理和配置效率,提高网络安全;
网络时间协议(NTP)保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理;
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;
CLI界面,方便高级用户配置和使用;
CLI界面,方便高级用户配置和使用;
Java-based Web管理方式,实现对交换机的可视化图形界面配置和管理,智能人性化的配置界面,实现快速和高效地配置设备。
绿色节能设计
RG-S2928G-E交换机采用无风扇静音设计,功耗降低了40%以上,消除噪声;
RG-S2952G-E采用涡轮变速风扇设计,在低温情况下,风扇自动降低转速,降低功耗和噪声。
RG-WALL1600T/M是面向大中型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL1600T/M采用了最新的硬件平台和体系架构,实现防火墙性能的跨越式突破,可支持数十个GE接口。可以广泛应用于教育、政府、金融、医疗、军队、医疗等行业的千兆网络环境。配合锐捷网络的交换机、路由器产品,可以为用户提供完整的端到端解决方案,是大型网络出口和不同策略区域之间安全互联的理想选择。
RG-WALL1600T/M防火墙采用锐捷网络自主开发的RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WAL1600T/M在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
RG-WALL1600T/M支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持PPTP、L2TP、IPSec和SSL等多种全面的VPN业务,可以构建多种形式的VPN;提供强大的路由能力,支持静态/RIP/OSPF/路由策略及策略路由;支持双机状态热备,支持Active/Active和Active/Standby两种工作模式以及丰富的QoS特性,充分满足客户对网络高可靠性的要求。
RG-WALL UTM是锐捷自主研发的UTM功能模块,完全兼容RGOS操作系统,集防病毒、内容过滤、反垃圾邮件、IPS、绿色上网等多项安全技术于一身,通过在现有RG-WALL 160系列和RG-WALL 1600系列防火墙的基础上升级RG-WALL UTM模块,形成统一威胁管理系统。
一、培训分三阶段进行:
第一阶段:系统介绍,产品介绍;
第二阶段:系统调试、讲述系统调试方法与手段;
第三阶段:操作和维护培训。
时间按排:每一阶段基本安排为6小时,共计授课18小时。
培训免收培训费用,做到包教包会。提供操作和维护手册。
二、工程竣工后,我方将向贵方详细提供如下资料:
1, 综合布线平面图
2, 网络详细拓扑图
3, 网络设备IP管理资料
4, 网络设备配置备份文件