某集團(tuán)網(wǎng)絡(luò)改造方案建議書

華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第2頁,共SECTIONPAGES2頁重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)技術(shù)建議書年月日

目錄重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)系統(tǒng)規(guī)模大，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設(shè)置等功能，以便于系統(tǒng)的管理和維護(hù)。網(wǎng)絡(luò)設(shè)計原則網(wǎng)絡(luò)平臺是信息化建設(shè)的重要基礎(chǔ)設(shè)施，必須從網(wǎng)絡(luò)信息體系建設(shè)的全局考慮，將計算機(jī)網(wǎng)絡(luò)建設(shè)為一個高起點(diǎn)，易于擴(kuò)充、升級、管理和使用的網(wǎng)絡(luò)系統(tǒng)。先進(jìn)性和實用性網(wǎng)絡(luò)規(guī)劃既要以現(xiàn)實需要為出發(fā)點(diǎn)，又要考慮長遠(yuǎn)發(fā)展的需要和潛在的擴(kuò)充，盡可能采取先進(jìn)而成熟的技術(shù)和產(chǎn)品，使之在一定時期內(nèi)都能保持較先進(jìn)的水平。使網(wǎng)絡(luò)帶寬性能不僅適應(yīng)現(xiàn)在的需要，還可以滿足未來幾年數(shù)據(jù)量的要求。在網(wǎng)絡(luò)設(shè)計中，首先要考慮的是實用性，使之易操作、易管理和維護(hù)并且易于用戶掌握和學(xué)習(xí)使用。其次要考慮對現(xiàn)有設(shè)備和資源的充分利用，采用成熟的網(wǎng)絡(luò)通信技術(shù)和設(shè)備，保證原有的投資。目前隨著網(wǎng)絡(luò)的聲音、圖像等多媒體應(yīng)用日益增加，對網(wǎng)絡(luò)服務(wù)質(zhì)量，如帶寬，延遲等有很高的要求。利用IPQoS、IPMulticast、MPLS等技術(shù)可以保證服務(wù)質(zhì)量(QoS)滿足用戶要求?？煽啃耘c安全性系統(tǒng)安全可靠運(yùn)行是整個系統(tǒng)建設(shè)的基礎(chǔ)。鑒于網(wǎng)絡(luò)信息的重要性，要求網(wǎng)絡(luò)系統(tǒng)要有較高的可靠性，各級網(wǎng)絡(luò)應(yīng)具有網(wǎng)絡(luò)監(jiān)督和管理能力；要適當(dāng)考慮關(guān)鍵設(shè)備和線路的冗余，使其能夠進(jìn)行在線修復(fù)、更換和擴(kuò)充；要確保系統(tǒng)數(shù)據(jù)傳輸?shù)恼_性，以及為防止異常情況發(fā)生所必須的保護(hù)性措施。根據(jù)具體情況采用VPN技術(shù)、訪問控制列表、子網(wǎng)隔離、防火墻和IPS等安全控制措施，以保證網(wǎng)絡(luò)安全運(yùn)行，拒絕未經(jīng)授權(quán)的訪問。不僅要求網(wǎng)絡(luò)能夠長時間的安全運(yùn)轉(zhuǎn)，同時要求網(wǎng)絡(luò)設(shè)備具有較強(qiáng)的容錯能力。在系統(tǒng)設(shè)計上，要從以下幾個方面保證網(wǎng)絡(luò)的可靠與容錯:①選用高可靠性的網(wǎng)絡(luò)設(shè)備，在網(wǎng)絡(luò)的關(guān)鍵部位采用冗余備份設(shè)計，避免單點(diǎn)故障，保證網(wǎng)絡(luò)長期運(yùn)行的可靠性。②采用優(yōu)秀的網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)進(jìn)行實時監(jiān)控，以便及時發(fā)現(xiàn)網(wǎng)絡(luò)故障。③采用可靠的備份系統(tǒng)，通過TFTP服務(wù)器定時備份網(wǎng)絡(luò)設(shè)備配置。系統(tǒng)設(shè)計能對關(guān)鍵數(shù)據(jù)提供可靠的保護(hù)；對網(wǎng)絡(luò)病毒提供防范措施；網(wǎng)絡(luò)數(shù)據(jù)要有可靠的備份，備份系統(tǒng)要求讀寫速度快，保密性好，可靠性高。開放性與標(biāo)準(zhǔn)化系統(tǒng)采用的硬件平臺、軟件平臺、網(wǎng)絡(luò)協(xié)議等符合開放系統(tǒng)的標(biāo)準(zhǔn)，并能夠與其他系統(tǒng)實現(xiàn)互聯(lián)，將采用大多數(shù)廠商支持的國際標(biāo)準(zhǔn)協(xié)議。具體講，主要從以下幾個方面實現(xiàn)開放性和標(biāo)準(zhǔn)化； ?采用工業(yè)標(biāo)準(zhǔn)TCP/IP協(xié)議。 ?網(wǎng)絡(luò)互聯(lián)設(shè)備應(yīng)支持多種協(xié)議，能與其它廠家設(shè)備互操作。 ?采用支持SNMP協(xié)議的網(wǎng)管軟件。在總體設(shè)計中，應(yīng)采用開放式的體系結(jié)構(gòu)，使網(wǎng)絡(luò)易于擴(kuò)充，使相對獨(dú)立的分系統(tǒng)易于進(jìn)行組合調(diào)整。有適應(yīng)外界環(huán)境變化的能力，即在外界環(huán)境改變時，系統(tǒng)可以不作修改或僅作少量修改就能在新環(huán)境下運(yùn)行。網(wǎng)絡(luò)選用的通信協(xié)議和設(shè)備要符合國際標(biāo)準(zhǔn)或工業(yè)標(biāo)準(zhǔn)，將不同應(yīng)用環(huán)境和不同的網(wǎng)絡(luò)優(yōu)勢有機(jī)地結(jié)合起來。也就是說，要使網(wǎng)絡(luò)的硬件環(huán)境、通訊環(huán)境、軟件環(huán)境、操作平臺之間的相互依賴減至最小，發(fā)揮各自優(yōu)勢。同時，要保證網(wǎng)絡(luò)的互聯(lián)，為信息的互通和應(yīng)用的互操作創(chuàng)造有利的條件。經(jīng)濟(jì)性與可擴(kuò)充性?擴(kuò)展和升級系統(tǒng)建設(shè)要考慮將來的擴(kuò)展和升級，以免人力、物力、財力的浪費(fèi)。網(wǎng)絡(luò)設(shè)計不僅要滿足當(dāng)前的需求，還要為將來的擴(kuò)展留有余地，保護(hù)投資。網(wǎng)絡(luò)設(shè)計采用國際標(biāo)準(zhǔn)的技術(shù)和符合標(biāo)準(zhǔn)的設(shè)備，系統(tǒng)軟件或硬件升級都不應(yīng)影響整個系統(tǒng)的運(yùn)行。系統(tǒng)上結(jié)點(diǎn)的增減也應(yīng)不影響系統(tǒng)的正常運(yùn)行。建成的網(wǎng)絡(luò)系統(tǒng)必須具有良好的可擴(kuò)充性和升級能力，其擴(kuò)充和升級將以最低成本花費(fèi)為前提。?易于管理和維護(hù)網(wǎng)絡(luò)系統(tǒng)的所有設(shè)備都應(yīng)是可管理的，會支持遠(yuǎn)程監(jiān)控及對故障的過程診斷和恢復(fù)。通過網(wǎng)絡(luò)管理工具，可以方便地監(jiān)控網(wǎng)絡(luò)運(yùn)行情況，對出現(xiàn)的問題及時解決，對網(wǎng)絡(luò)的優(yōu)化提供依據(jù)。另外，網(wǎng)絡(luò)的設(shè)計應(yīng)采用簡單易用的網(wǎng)絡(luò)技術(shù)，降低運(yùn)行維護(hù)的費(fèi)用。?經(jīng)濟(jì)性可以和現(xiàn)有網(wǎng)絡(luò)無縫的連接，同時可以提升現(xiàn)有網(wǎng)絡(luò)的性能。在網(wǎng)絡(luò)設(shè)備的選擇上，既要考慮技術(shù)性能、市場份額、技術(shù)特色，又要權(quán)衡與原有系統(tǒng)整合的條件、人員的培訓(xùn)狀況。本系統(tǒng)需要完整而成熟的最新技術(shù)和產(chǎn)品。其各項技術(shù)應(yīng)保證具有開放性、可移植性、兼容性和可擴(kuò)展性。根據(jù)前面所作的現(xiàn)狀與需求分析，我們提出以下的總體設(shè)計思想：采用先進(jìn)的萬兆、千兆以太網(wǎng)以及快速以太網(wǎng)交換技術(shù)：目前，局域網(wǎng)建設(shè)模式是以千兆以太網(wǎng)為骨干、并具有萬兆能力，設(shè)備間以百兆以太網(wǎng)交換的方式；采用業(yè)界主流的交換機(jī)產(chǎn)品：在產(chǎn)品選型上采用業(yè)界最先進(jìn)的產(chǎn)品，可以保證網(wǎng)絡(luò)具有長期的產(chǎn)品升級、支持和維護(hù)；在設(shè)備配置上兼顧先進(jìn)性與適用性：采取最先進(jìn)的設(shè)備配置可以保證網(wǎng)絡(luò)的性能，但同時也造成網(wǎng)絡(luò)建設(shè)成本的增加，因此，必須兼顧先進(jìn)性與適用性，求得最佳的性能價格比；面向應(yīng)用的網(wǎng)絡(luò)：目前，局域網(wǎng)應(yīng)用的發(fā)展非常迅猛，各類新的應(yīng)用技術(shù)和模式不斷涌現(xiàn)，網(wǎng)絡(luò)必須支持這種變化，滿足新的應(yīng)用的需求；周密的網(wǎng)絡(luò)安全策略：網(wǎng)絡(luò)安全目前已經(jīng)成為網(wǎng)絡(luò)建設(shè)中非常重要的一個環(huán)節(jié)，對于局域網(wǎng)來說，網(wǎng)絡(luò)安全的重要性就更顯突出，必須制定周密的網(wǎng)絡(luò)安全策略，最大限度地保證網(wǎng)絡(luò)安全；全面的網(wǎng)絡(luò)管理與維護(hù)：網(wǎng)絡(luò)管理與維護(hù)在網(wǎng)絡(luò)的整個運(yùn)行周期中起著非常重要的作用，因此在網(wǎng)絡(luò)設(shè)計時必須充分考慮未來網(wǎng)絡(luò)管理與維護(hù)的工作。

網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計根據(jù)重慶翰華擔(dān)保集團(tuán)的網(wǎng)絡(luò)信息點(diǎn)的分布，我們建議使用核心層加接入層的方式來實現(xiàn)我們所需要的網(wǎng)絡(luò)?？紤]到重慶翰華擔(dān)保集團(tuán)園區(qū)的規(guī)模和設(shè)計，我們建議在網(wǎng)絡(luò)核心層使用一臺核心交換設(shè)備，接入層交換機(jī)通過千兆鏈路連接到核心交換機(jī)，來滿足對目前的要求。網(wǎng)絡(luò)設(shè)計拓?fù)浣Y(jié)構(gòu)描述： 如圖所示：整個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分為核心層和接入層,下面我們就對整個網(wǎng)絡(luò)結(jié)構(gòu)做詳細(xì)描述。中心部分是由防火墻、VPN網(wǎng)關(guān)、上網(wǎng)行為管理及核心交換機(jī)組成；為了保證WEB服務(wù)器能安全的為互聯(lián)網(wǎng)用戶提供服務(wù)，我們可以把服務(wù)器放在防火墻的DMZ區(qū)里面，來實現(xiàn)WEB服務(wù)器的對外提供服務(wù)；為了保證分支用戶能安全高效的接入總公司的內(nèi)網(wǎng)，我們在防火墻后面放置一臺VPN設(shè)備用來做與分支機(jī)構(gòu)互聯(lián)的VPN網(wǎng)關(guān)。為了使用戶更加安全的接入互聯(lián)網(wǎng)，我們在出口處放置了一臺上網(wǎng)行為管理設(shè)備，最大可能的保護(hù)用戶連接互聯(lián)網(wǎng)的安全。接入層:接入層交換機(jī)全部通過千兆銅纜的方式連接到核心交換機(jī)上的,同時樓層的接入交換機(jī)之間的級聯(lián)也是通過千兆的方式進(jìn)行級聯(lián)的,這樣就達(dá)到了骨干千兆,百兆桌面的網(wǎng)絡(luò)結(jié)構(gòu)。同時本次方案中,我們選用的是H3C的S3100-26TP-EI交換機(jī),該交換機(jī)具有高安全性能,支持IP+MAC+端口的綁定功能,為用戶的安全接入提供了可行性.本方案的技術(shù)設(shè)計路由協(xié)議的設(shè)計在大型網(wǎng)絡(luò)中，選擇適當(dāng)?shù)穆酚蓞f(xié)議是非常重要的。目前常用的路由協(xié)議有多種，如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由協(xié)議有各自的特點(diǎn)，分別適用于不同的條件之下。選擇適當(dāng)?shù)穆酚蓞f(xié)議需要考慮以下因素：1）路由協(xié)議的開放性開放性的路由協(xié)議保證了不同廠商都能對本路由協(xié)議進(jìn)行支持，這不僅保證了目前網(wǎng)絡(luò)的互通性，而且保證了將來網(wǎng)絡(luò)發(fā)展的擴(kuò)充能力和選擇空間。2）網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)直接影響協(xié)議的選擇。例如RIP這樣比較簡單的路由協(xié)議不支持分層次的路由信息計算，對復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。3）網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量不同的協(xié)議對于網(wǎng)絡(luò)規(guī)模的支持能力有所不同，需要按需求適當(dāng)選擇，有時還需要采用一些特殊技術(shù)解決適應(yīng)網(wǎng)絡(luò)規(guī)模方面的擴(kuò)展性問題。4）與其他網(wǎng)絡(luò)的互連要求通過劃分成相對獨(dú)立管理的網(wǎng)絡(luò)區(qū)域，可以減少網(wǎng)絡(luò)間的相關(guān)性，有利于網(wǎng)絡(luò)的擴(kuò)展，路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性，是通常劃分為一個自治系統(tǒng)（AS），在AS之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議。必要時還要考慮路由信息安全因素和對路由交換的限制管理。5）管理和安全上的要求通常要求在可以滿足功能需求的情況下盡可能簡化管理。但有時為了實現(xiàn)比較完善的管理功能或為了滿足安全的需要，例如對路由的傳播和選用提出一些人為的要求，就需要路由協(xié)議對策略的支持。因此選擇靜態(tài)路由協(xié)議，對于廠區(qū)數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)性能的最優(yōu)和安全性是非常重要的。VLAN設(shè)計在網(wǎng)絡(luò)成為必不可少的工具、信息處理成為日常工作的重心后，VLAN技術(shù)的運(yùn)用顯得越來越重要。VLAN對于信息系統(tǒng)的意義體現(xiàn)在：1.VLAN可以改善網(wǎng)絡(luò)的通信效率。因為通信流量只局限于本子網(wǎng)中，不會對其它子網(wǎng)產(chǎn)生干擾。2.VLAN可以避免廣播風(fēng)暴。在較大規(guī)模的網(wǎng)絡(luò)中，大量的廣播信息很容易引起網(wǎng)絡(luò)性能的急劇降低，甚至使網(wǎng)絡(luò)癱瘓。而VLAN使廣播只在子網(wǎng)中進(jìn)行，不會作無意義的擴(kuò)散，從而消除了廣播風(fēng)暴產(chǎn)生的條件。3.VLAN大大增強(qiáng)了網(wǎng)絡(luò)及其信息的安全性。因為子網(wǎng)間無法隨意進(jìn)行訪問，信息流通得到相當(dāng)好的控制。4.VLAN使網(wǎng)絡(luò)的組織更具靈活性。網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)中的物理位置不會影響該用戶邏輯上的訪問權(quán)限，也就是說網(wǎng)絡(luò)規(guī)劃完全不會受到物理的限制。VLAN的劃分與IP子網(wǎng)的規(guī)劃存在很大的關(guān)系。具體的實施過程建議如下進(jìn)行：1．對全網(wǎng)的IP地址進(jìn)行全面的規(guī)劃，確定各子網(wǎng)內(nèi)主機(jī)的數(shù)量，并根據(jù)IP子網(wǎng)內(nèi)主機(jī)的數(shù)量確定掩碼的長度。2．確定IP子網(wǎng)的聚合點(diǎn)，聚合點(diǎn)以下采用連續(xù)的子網(wǎng)劃分。使聚合點(diǎn)向核心路由器通告最少的路由。3．選擇合適的路由協(xié)議進(jìn)行子網(wǎng)路由。4．根據(jù)IP子網(wǎng)的規(guī)劃，對交換機(jī)進(jìn)行VLAN的規(guī)劃和劃分。建立VLAN和IP子網(wǎng)的對應(yīng)關(guān)系。5．網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的IP子網(wǎng)和VLAN，實現(xiàn)更安全的對所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。6．根據(jù)信息流量的走向和分布，確定服務(wù)器集群的VLAN和IP子網(wǎng)。7．在三層路由交換機(jī)建立相應(yīng)的VLAN以及與VLAN綁定的IP子網(wǎng)網(wǎng)關(guān)。8．建立相應(yīng)的子網(wǎng)間的訪問策略，在三層路由交換機(jī)配置訪問列表。trunk鏈路的設(shè)計所有的接入層交換機(jī)全部采用的是H3C公司的3100EI系列的二層可管理千兆交換機(jī)，因為要滿足因為地理位置不同，但部門是同一個部門的問題，同時IP要規(guī)劃在同一個子網(wǎng)內(nèi)；所以，我們可以通過在二層交換機(jī)上做trunk的方式，把網(wǎng)關(guān)都集中在核心三層交換機(jī)上來實現(xiàn)。訪問控制（ACL）的設(shè)計對于那些確實具有網(wǎng)絡(luò)接入許可，但試圖訪問未得到授權(quán)的網(wǎng)絡(luò)資源的用戶站點(diǎn)，H3C系列產(chǎn)品的多層交換引擎能在進(jìn)行高效的第三層交換的同時，根據(jù)用戶的IP地址限制其訪問不被授權(quán)訪問的服務(wù)器。本方案提供的安全性是建立在網(wǎng)絡(luò)的物理端口、虛擬網(wǎng)的邏輯界限和OSI網(wǎng)絡(luò)模型的數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層的立體交叉的、多維化的安全保障。應(yīng)用ACL防范“沖擊波”等蠕蟲病毒：最近發(fā)現(xiàn)的沖擊波病毒，造成了很多地方感染，網(wǎng)絡(luò)癱瘓。這是一個針對MS03-026MicrosoftWindowsDCOMRPC接口遠(yuǎn)程緩沖區(qū)溢出漏洞。蠕蟲還會在本地的UDP/69端口上建立一個tftp服務(wù)器，用來向其他受侵害的系統(tǒng)上傳送蠕蟲的二進(jìn)制程序msblast.exe。蠕蟲選擇目標(biāo)IP地址的時候會首先選擇受感染系統(tǒng)所在子網(wǎng)的IP，然后再按照一定算法隨機(jī)在互連網(wǎng)上選擇目標(biāo)攻擊。一旦連接建立，蠕蟲會向目標(biāo)的TCP/135端口發(fā)送攻擊數(shù)據(jù)。如果攻擊成功，會監(jiān)聽目標(biāo)系統(tǒng)的TCP/4444端口作為后門，并綁定cmd.exe。然后蠕蟲會連接到這個端口，發(fā)送tftp命令，回連到發(fā)起進(jìn)攻的主機(jī)，將msblast.exe傳到目標(biāo)系統(tǒng)上，然后運(yùn)行它。蠕蟲所帶的攻擊代碼來自一個公開發(fā)布的攻擊代碼，當(dāng)攻擊失敗時，可能造成沒有打補(bǔ)丁的Windows系統(tǒng)RPC服務(wù)崩潰，WindowsXP系統(tǒng)可能會自動重啟。該蠕蟲不能成功侵入Windows2003，但是可以造成Windows2003系統(tǒng)的RPC服務(wù)崩潰。另外中毒的服務(wù)器會向網(wǎng)絡(luò)發(fā)送大量無效的數(shù)據(jù)包，浪費(fèi)有效的網(wǎng)絡(luò)帶寬，造成用戶感覺上網(wǎng)速度慢，甚至使交換機(jī)等網(wǎng)絡(luò)設(shè)備死機(jī)，所以我們可以利用S21系列智能交換機(jī)的ACL功能做出限制，禁止其轉(zhuǎn)發(fā)和傳播。服務(wù)質(zhì)量（QOS）機(jī)制本方案采用的交換機(jī)支持802.1P、端口優(yōu)先級、IPTOS、二到七層過濾等QoS策略，具備MAC流、IP流、應(yīng)用流、時間流等多層流分類和流控制能力，實現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供服務(wù)。實現(xiàn)網(wǎng)絡(luò)的高效、可靠運(yùn)行,支持?jǐn)?shù)據(jù)、話音和視頻之間的無縫集成。為用戶提供良好的QoS保證。廣播風(fēng)暴的抑制H3CS5510、S3100EI均可以實現(xiàn)基于端口的廣播風(fēng)暴抑止功能，可支持同一VLAN內(nèi)的風(fēng)暴抑止功能，可以有效的抑止局域網(wǎng)內(nèi)部的廣播風(fēng)暴，確保網(wǎng)絡(luò)的安全穩(wěn)定。防止對DHCP服務(wù)器的攻擊使用DHCPServer動態(tài)分配IP地址會存在兩個問題：一是DHCPServer假冒，用戶將自己的計算機(jī)設(shè)置成DHCPServer后會與局方的DHCPServer沖突；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。H3CS5510系列交換機(jī)可以支持多種禁止私設(shè)DHCPServer的方法。防止基于流的攻擊特性H3C核心交換機(jī)S5510、接入交換機(jī)S3100EI均采用最長路由匹配技術(shù)，與傳統(tǒng)的基于流轉(zhuǎn)發(fā)的方式相比，更具有強(qiáng)大的安全特性，對于如：紅色代碼等病毒可具有較高的抗攻擊能力，可確保網(wǎng)絡(luò)的安全、穩(wěn)定。具體解決方案VLAN規(guī)劃劃分VLAN的必要性VLAN是建立在各種交換技術(shù)基礎(chǔ)之上的。所謂交換實質(zhì)上只是物理網(wǎng)絡(luò)上的一個控制點(diǎn)，它由軟件進(jìn)行管理，所以允許用戶利用軟件功能靈活地配置資源，管理網(wǎng)絡(luò)。利用交換設(shè)備中的虛網(wǎng)功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新配置網(wǎng)絡(luò)。采用虛網(wǎng)功能，網(wǎng)絡(luò)性能可以獲得較大的改善：1.虛網(wǎng)技術(shù)能對工作組業(yè)務(wù)進(jìn)行過濾，有效地分割通信量，因而能更好地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。2.采用虛網(wǎng)技術(shù)可以將不同樓層或不同房間的設(shè)備組成一個網(wǎng)段而不用更改布線，因為虛網(wǎng)技術(shù)是從邏輯角度而非物理角度來劃分子網(wǎng)的，所以采用虛網(wǎng)技術(shù)能減輕系統(tǒng)的擴(kuò)容壓力，將遷移費(fèi)用降至最小。3.采用虛網(wǎng)技術(shù)能有效隔離網(wǎng)絡(luò)設(shè)備，增加網(wǎng)絡(luò)的安全性和保密性。虛擬網(wǎng)絡(luò)的安全策略采用的主要協(xié)議為IEEE802.1Q，此協(xié)議結(jié)合有鑒別和加密技術(shù)以確保整個網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。4.虛網(wǎng)技術(shù)能對屬于同一工作組的用戶提供廣播服務(wù)，但與傳統(tǒng)的局域網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，從而節(jié)省網(wǎng)絡(luò)帶寬。5.虛擬局域網(wǎng)可以建立在不同的物理網(wǎng)絡(luò)上，用封裝的辦法支法支持不同的網(wǎng)絡(luò)協(xié)議絡(luò)協(xié)議，如SNMP、NMP、IPX、TCP//IP、IEEE802.33等，兼容性非常好性非常好。6.虛擬網(wǎng)絡(luò)中的主要應(yīng)用技術(shù)為“虛網(wǎng)中繼”，VLANTrunking特有技術(shù)的采用也成成為了必然。必然。簡而言之，VLANTrunking主要是通過一條高速全雙工通道(200Mbps)來)來實現(xiàn)將將一個LANSwitch端口所劃分的不同VLAN與其它LANSwitch中各自相應(yīng)的VLAN成員進(jìn)行線路復(fù)用連接的技術(shù)。VLANTrunking技術(shù)的采用，既節(jié)省了信道數(shù)據(jù)量，又提高了可靠性，并便于管理及方便連接，提高了整個網(wǎng)絡(luò)吞吐量和性能指標(biāo)。其原理如下圖所示：如果采用VLANtrunking的技術(shù)，則V1、V2、V3均可通過一條全雙工的100Mbps，即200Mbps的速率與上級LANSwitch進(jìn)行互通并經(jīng)過位于樹根部的路由器進(jìn)行路由與其它的VLAN進(jìn)行通訊。VLANtrunking技術(shù)的優(yōu)點(diǎn)在于采用一條高速通道連接，提高了通道的使用效率，如在，如在V2，V3無數(shù)據(jù)量的情況下，V1可以獨(dú)占此100M帶寬；并且可以使得線路的連接變得簡單，從而大大提高可靠性與易維護(hù)性。劃分VLAN的方法作為一個大型企業(yè)集團(tuán)，為方便管理和維護(hù)，交換機(jī)必須要求支持靈活的VLAN劃分，華三公司的S3100EI接入交換機(jī)不僅能夠支持標(biāo)準(zhǔn)的802.1QVLAN，還能實現(xiàn)端口之間的隔離。我們可以使用S3100EI支持的P-VLAN（primary-vlan）這個特性，一方面實現(xiàn)用戶之間的隔離，另一方面可以為三層交換機(jī)節(jié)省VLAN資源。S3100EI可以屏蔽下面的VLAN劃分，僅向三層交換機(jī)提供一個VLAN信息，在邊緣交換機(jī)實現(xiàn)了端口可以同時屬于多個Vlan； 如圖所示：其中端口1為uplink端口，端口2，3，4為接入端口； Vlan1：包含端口：1，2，3，4，5 Vlan2：包含端口：1，2 Vlan3：包含端口：1，3，4 Vlan4：包含端口：1，5 設(shè)計中采用了幾個secondaryvlan包含在一個primaryVLAN中的方式，給用戶提供了靈活的配置方式。如果用戶希望實現(xiàn)二層報文的隔離，可以采用了為每個用戶分配一個secondaryvlan的方式，每個vlan中只包含用戶連接的port和uplinkport；如果希望實現(xiàn)用戶之間二層報文的互通，可以將用戶連接的端口劃入同一個VLAN中；同時創(chuàng)建primaryvlan，該vlan包含所有secondaryvlan中包含的端口和uplink端口，這樣對上層交換機(jī)來說，可以認(rèn)為下層交換機(jī)中只有一個primaryvlan，用來標(biāo)識設(shè)備，而不必關(guān)心primaryVLAN中的端口實際所屬的VLAN，簡化了配置，節(jié)省了VLAN資源。primaryvlan中的所有端口都是不是802.1Q的trunk端口，包括與其它交換機(jī)相連的uplink口。每個port的PVID就是它所屬secondaryvlan的ID；uplink端口的PVID是primaryvlan的ID； 如下圖所示： 這樣VLAN10和VLAN20內(nèi)的用戶屬于一個網(wǎng)段，分屬不同的VLAN，在三層交換機(jī)上僅僅需要創(chuàng)建VLAN30，它認(rèn)為二層交換機(jī)上面僅僅只有一個VLAN30，在二層交換機(jī)上配置VLAN30為P-VLAN，包含從VLAN10和VLAN20，它們對三層交換機(jī)來說是不可見的。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動態(tài)的。靜態(tài)VLAN：形成靜態(tài)VLAN過程是將端口強(qiáng)制性地分配給VLAN的過程。確定哪些端口屬于哪些特定的VLAN，然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的一種最通用的方法。動態(tài)VLAN：建議使用華三公司的802.1X實現(xiàn)動態(tài)VLAN功能。我們知道，VLAN常常被規(guī)劃用于對“資源訪問權(quán)限”的分組，不同的VLAN具有不同的訪問權(quán)限，每個VLAN內(nèi)有一個IP地址網(wǎng)段，不同的VLAN/IP地址段的用戶，具有不同的訪問資源的權(quán)限。用戶權(quán)限數(shù)據(jù)一般存儲在CAMS（后臺綜合訪問管理服務(wù)器）中，CAMS根據(jù)用戶端的權(quán)限歸類，在認(rèn)證通過之后向二層交換機(jī)作動態(tài)的VLANID下發(fā)配置。此時，二層交換機(jī)要支持VLAN的動態(tài)配置功能（華三全系列交換機(jī)支持）。具體VLAN規(guī)劃在重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)建設(shè)中，首先，必須實現(xiàn)不同部門網(wǎng)絡(luò)之間的互相割離。通常按照具體部門之間進(jìn)行劃分。本次項目獎建議使用此種劃分方法。我們建議使用VLAN技術(shù)，同時在核心交換機(jī)上配合使用訪問控制列表實現(xiàn)不同部門之間的隔離。我們建議每個部門作為一個獨(dú)立的VLAN，部門內(nèi)部可以使用P－VLAN的功能，再進(jìn)一步進(jìn)行隔離。從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，我們建議在進(jìn)行具體VLAN規(guī)劃時，同一個廣播域內(nèi)（一個VLAN）的通信主機(jī)不要超過50臺，最好控制在30臺以內(nèi)，對于主機(jī)數(shù)量超過50的業(yè)務(wù)部門，我們通過二層隔離，三層交換的方式來解決。對于服務(wù)器建議單獨(dú)設(shè)置在一個VLAN中。如果不同部門的人員之間需要實現(xiàn)互訪，則只需要在核心交換機(jī)S9512上放開訪問控制列表就可以了。對于集團(tuán)公司高層，需要能夠訪問各個部門資源，對于此類用戶，我們只需在核心交換機(jī)上，不對其設(shè)置任何訪問控制列表就可以了?？傊?，任何訪問控制要求，均可以通過訪問控制列表的方式實現(xiàn)。為避免混亂及出錯，應(yīng)對網(wǎng)絡(luò)中的VlanID統(tǒng)一規(guī)劃，禁止出現(xiàn)網(wǎng)中的ID相同而又不在同一個Vlan中的情形。另外，由于802.1Q協(xié)議支持至多4096個VlanID，按部門劃分VlanID可以為以后管理帶來很大的方便，比如一看VlanID即知是哪個部門的用戶。建議VlanID采用如下分配原則：（1）、Vlan1保留使用（2）、為方便管理，建議按地理區(qū)域或分支機(jī)構(gòu)劃分一段連續(xù)的VlanID。（3）、VLANID的分配按照每個部門占用一個VLANID的方式，該VLANID必須保證全網(wǎng)統(tǒng)一規(guī)劃，不允許重復(fù)。（4）、部門內(nèi)部在使用P－VLAN技術(shù)隔離不同員工時，該VLANID不需要統(tǒng)一規(guī)劃，但必須保證在同一臺交換機(jī)上，P－VLANID不重復(fù)。IP地址分配原則IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型計算機(jī)網(wǎng)絡(luò)必須對IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對于本期IP地址的分配應(yīng)該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。IP地址的分配和網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，具體的IP地址分配將通常在工程實施時統(tǒng)一規(guī)劃實施，這里主要描述IP地址分配的原則。主要的原則描述為：IP地址分配要盡量給每個分支機(jī)構(gòu)分配連續(xù)的IP地址空間；在每個分支機(jī)構(gòu)網(wǎng)中，相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制；IP地址的規(guī)劃與劃分應(yīng)該考慮到個分支機(jī)構(gòu)的發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對IP地址的需求，同時要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；地址分配是由業(yè)務(wù)驅(qū)動，按照業(yè)務(wù)量的大小分配各地的地址段；IP地址的分配必須采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率；采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大??；在公有地址有保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback地址、設(shè)備間互連地址。充分合理利用已申請的地址空間，提高地址的利用效率。IP地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。本次工程IP地址分配IP地址規(guī)劃應(yīng)該包括兩部分，外部地址和內(nèi)部地址的規(guī)劃，外部地址就是Internent上的公有地址，一般在申請的時候，電信會分配給若干個公有IP地址，由于外部地址我們使用電信分配的地址，所以我們先討論主要部分，內(nèi)部地址的分配。內(nèi)部IP地址應(yīng)該本著易管理、易分配、易理解等原則來進(jìn)行分配，由于我們規(guī)劃的是內(nèi)部地址，所以應(yīng)該使用私有地址去規(guī)劃。RFC1918中定義的非Internet連接的網(wǎng)絡(luò)地址，稱為“專用Internet地址分配”。RFC1918規(guī)定了不想連入Internet的IP地址分配指導(dǎo)原則。由Internet地址授權(quán)機(jī)構(gòu)(IANA)控制IP地址分配方案中，留出了三類網(wǎng)絡(luò)號，給不連到Internet上的專用網(wǎng)用，分別用于A，B和C類IP網(wǎng)，具體如下：～55～55～55由于重慶翰華擔(dān)保集團(tuán)內(nèi)部的用戶數(shù)量很多，我們建議采用～55這個C類私有地址，子網(wǎng)掩碼24位，即，支持254個網(wǎng)段，每網(wǎng)段支持254個主機(jī)地址。在前面的VLAN規(guī)劃中，我們建議每個部門使用一個VLAN，在進(jìn)行IP地址規(guī)劃時，需要和VLAN規(guī)劃結(jié)合其他，使每個VLAN占用一個獨(dú)立的網(wǎng)段?？紤]到內(nèi)部每個部門的信息點(diǎn)數(shù)不會超過254個信息點(diǎn)，因此，我們建議給每個部門分配一個C的IP地址，即使用28作為掩碼，每個網(wǎng)段可以支持254個主機(jī)。例如這個網(wǎng)段，采用這個子網(wǎng)掩碼，劃分的網(wǎng)段主機(jī)如下：－54網(wǎng)絡(luò)地址：廣播地址：55-55網(wǎng)絡(luò)地址：廣播地址：55-55網(wǎng)絡(luò)地址：廣播地址：55-192.168.3．0網(wǎng)絡(luò)地址：廣播地址：55這種劃分方法比較容易管理，也很便于網(wǎng)管人員理解，每個網(wǎng)段支持254臺主機(jī)，符合Vlan劃分的原則。在具體進(jìn)行IP地址規(guī)劃時，建議將這個網(wǎng)段留出，用作特殊地址分配。網(wǎng)絡(luò)設(shè)備地址：網(wǎng)絡(luò)設(shè)備地址主要用作網(wǎng)絡(luò)交換設(shè)備的帶外管理地址，地址分配為－54。對應(yīng)我們的管理VLAN。服務(wù)器部分地址相關(guān)服務(wù)器的地址手動分配，我們保留－54，這個網(wǎng)段作為服務(wù)器的網(wǎng)絡(luò)地址。每個分支機(jī)構(gòu)的服務(wù)器使用與該分支機(jī)構(gòu)相同的VLANID，分配一個獨(dú)立的網(wǎng)段，比如使用-,52的掩碼，該網(wǎng)段可以容納2臺服務(wù)器。具體主機(jī)的地址分配可按需分配。備用地址這個地址段留做備用地址。由于重慶翰華擔(dān)保集團(tuán)內(nèi)部使用的是私有IP地址，要訪問Internet必須進(jìn)行地址轉(zhuǎn)換，地址轉(zhuǎn)換的工作在出口路由器設(shè)備上進(jìn)行。建議申請多個有效IP地址，一部分留給對外的服務(wù)器使用，一部分作為地址池，共地址轉(zhuǎn)換使用。網(wǎng)絡(luò)設(shè)備自身的安全功能用戶嚴(yán)格隔離方法一：用Vlan隔離。在樓層以太網(wǎng)交換機(jī)上按端口劃分Vlan，每個用戶占用一個Vlan。方法二：利用PVlan技術(shù)。在樓道交換機(jī)上劃分PVlan，使用戶端口之間不能通信，用戶端口只能和Uplink口通信。方法三：使用以太網(wǎng)MUX設(shè)備。該類設(shè)備將接入層交換機(jī)的端口分為兩類：上行口Uplink和用戶端口。用戶端口之間不能通信，Uplink口可以和所有端口通信。通過用戶隔離，可以防止用戶對網(wǎng)絡(luò)鄰居的工具，阻止沖擊波等蠕蟲病毒在園區(qū)網(wǎng)上的傳播。有效防范MAC掃描和ARP攻擊：MAC地址表放置在內(nèi)存中，容量有限，用戶通過不停的發(fā)送MAC地址沖刷MAC地址表，通過MAC地址表溢出來更改MAC與IP地址的綁定，從而重新定向流量(CAMOverflow,macoftool工具)。ARP攻擊與此類似，它是通過對交換機(jī)CPU的處理能力進(jìn)行大容量沖刷造成其溢出而實現(xiàn)其攻擊的。華三S3100EI交換機(jī)通過將MAC地址與端口綁定與IP、并限制端口下MAC地址的最大學(xué)習(xí)個數(shù)，從而有效地防止MAC掃描，同時也可有效地防范ARP攻擊。DHCP攻擊、VLAN“Hopping”攻擊的防范：使用DHCPServer動態(tài)分配IP地址會存在兩個問題：一是DHCPServer假冒，用戶將自己的計算機(jī)設(shè)置成DHCPServer后會與局方的DHCPServer沖突；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。由于DHCP是通過二層廣播包起作用的，故在二層嚴(yán)格隔離用戶，可防止DHCPServer假冒。為解決DHCPSmurf，在以太網(wǎng)接入時，對用戶劃分Vlan，由匯聚層交換機(jī)控制一個Vlan下申請的最大IP地址數(shù)，當(dāng)該Vlan的IP地址數(shù)目達(dá)到限制值后，拒絕新的DHCP申請。Vlan的劃分可根據(jù)企業(yè)的實際情況靈活掌握。華三S系列交換機(jī)提供dhcpserverdetect功能，可以檢測到非法的dhcpserver。同時，在CPE交換機(jī)上通過配置流規(guī)則，可以將非法端口的dhcpreply報文丟棄。VLAN“Hopping”攻擊的解決方案與此類似。采用SNMPv3杜絕網(wǎng)管攻擊：網(wǎng)絡(luò)管理員通過Telnet遠(yuǎn)程訪問網(wǎng)絡(luò)時，由于Telnet在網(wǎng)絡(luò)中是明文傳輸，容易被竊取管理密碼，采用支持SSH的交換機(jī)，可以對Telnet報文進(jìn)行加密，截獲報文也無法解析密碼。華三S系列交換機(jī)支持SNMPV3，確保網(wǎng)管信息在傳輸過程中加密，偵聽用戶無法獲致報文的真正內(nèi)容。有效抑制廣播風(fēng)暴廣播風(fēng)暴是網(wǎng)絡(luò)最常見的網(wǎng)絡(luò)問題，針對此情況H3CS系列以太網(wǎng)交換機(jī)提供完善的廣播風(fēng)暴抑制功能，提供了針對特定VLAN的廣播風(fēng)暴抑制比的設(shè)定功能，可對VLAN上收到的廣播流量進(jìn)行監(jiān)控，當(dāng)廣播流量的帶寬超過配置的限度時，交換機(jī)將過濾該VLAN上超出的流量，保證網(wǎng)絡(luò)的業(yè)務(wù)，使廣播所占的流量比例降低到合理的范圍。防治蠕蟲病毒防治蠕蟲病毒需要系統(tǒng)管理、網(wǎng)絡(luò)維護(hù)和安全操作部門的協(xié)力合作。一般情況下，對于事件的應(yīng)對可分為3個主要階段：反應(yīng)（reaction）恢復(fù)（recovery）亡羊補(bǔ)牢措施（Post-mortem）對于worm病毒事件，反應(yīng)（reaction）階段可以細(xì)化分為下面4個子階段限制（Containment）免疫（Inoculation）隔離（Quarantine）治療（Treatment）下面我們就這四個子階段具體介紹一下相關(guān)的內(nèi)容：限制限制的目的主要是把蠕蟲的活動范圍限定在已經(jīng)感染蠕蟲病毒的范圍內(nèi)，也就是說是防止蠕蟲的擴(kuò)散。限制需要將網(wǎng)絡(luò)分段隔離來減慢甚至是停止蠕蟲的繼續(xù)傳播。涉及到的具體技術(shù)包括在路由器、防火墻、三層交換機(jī)等網(wǎng)絡(luò)上的安全控制點(diǎn)上設(shè)置入口和出口包過濾規(guī)則。同樣的在網(wǎng)絡(luò)邊緣設(shè)置入口和出口ACL可以很好的限制蠕蟲病毒的傳播。一方面我們可以在交換機(jī)上配置VLAN，隔離用戶，防止染病PC通過ARP掃描感染同網(wǎng)段主機(jī)，另一方面，可以通過在匯聚交換機(jī)上限制單位時間內(nèi)ARP報文的數(shù)目，以及ARP報文的總流量，從而從二層阻止蠕蟲病毒的傳播。如下圖所示：我們還可以在匯聚交換機(jī)上配置ACL，限制蠕蟲病毒傳播的端口，防止蠕蟲病毒的蔓延，如下圖所示：免疫在限制的同時，所有沒有感染蠕蟲病毒的機(jī)器都必須打上供應(yīng)商提供的針對相應(yīng)漏洞的補(bǔ)丁。限制的目的是使蠕蟲感染速度減慢甚至停止，而免疫的目的是剝奪蠕蟲繼續(xù)傳染的可能。網(wǎng)絡(luò)掃描可以用了發(fā)現(xiàn)網(wǎng)絡(luò)上潛在的有漏洞的主機(jī)。免疫對當(dāng)前移動辦公的網(wǎng)絡(luò)十分重要，由于便攜機(jī)的大量普及，辦公人員很容易拿著便攜機(jī)在各個區(qū)域之間穿梭，例如從員工剛剛因為在“不安全”的家里上過網(wǎng)而被感染了，回到“安全”的公司網(wǎng)絡(luò)上，就會繼續(xù)感染公司的其它機(jī)器。所以經(jīng)常給系統(tǒng)打補(bǔ)丁是很重要。隔離隔離過程主要包括追蹤并發(fā)現(xiàn)被感染的機(jī)器，然后切斷他們和網(wǎng)絡(luò)的連接。隔離的最終目的是為了最后一個階段－治療。為了防止感染病毒的機(jī)器發(fā)送大量的流量，影響網(wǎng)絡(luò)性能，我們可以在匯聚交換機(jī)上針對用戶作速率限制，防止病毒流量侵占網(wǎng)絡(luò)帶寬，如下圖所示：治療所謂治療，就是去除已經(jīng)感染的機(jī)器的蠕蟲病毒的過程，如終止蠕蟲病毒進(jìn)程、刪除任何被修改的文件、恢復(fù)被病毒修改過的系統(tǒng)配置、為系統(tǒng)打上補(bǔ)丁等等。有時可能需要重新安裝系統(tǒng)來保證病毒已經(jīng)被徹底清除?？偨Y(jié)起來，為了防止蠕蟲病毒，主要可以使用如下表所示的策略：攻擊方式安全交換機(jī)防護(hù)策略防護(hù)結(jié)果ARP攻擊VLAN隔離用戶，每用戶一個VLAN限制單位時間內(nèi)某用戶的ARP報文數(shù)目，以及ARP報文總流量控制住整個二次網(wǎng)絡(luò)中的ARP風(fēng)暴；同時保證網(wǎng)絡(luò)設(shè)備本身正常運(yùn)轉(zhuǎn)。ICMP攻擊和網(wǎng)絡(luò)流量攻擊限制單位時間內(nèi)某用戶訪問其他用戶的次數(shù)，以及某用戶同時訪問其他用戶的個數(shù)限制每用戶帶寬抑止了蠕蟲的攻擊速度；同時保證非感染用戶的正常上網(wǎng)。DDOS－Synflood攻擊對用戶源IP地址、MAC地址進(jìn)行嚴(yán)格匹配，凡是不匹配的，丟棄報文丟棄了大量的非法攻擊報文，基本消除了DDOS對網(wǎng)絡(luò)的攻擊。蠕蟲在主機(jī)中傳播提供ACL進(jìn)行臨時保護(hù)，禁止蠕蟲傳播使用的所有RPC端口控制住蠕蟲的蔓延，提供充足的時間讓網(wǎng)絡(luò)中的客戶進(jìn)行殺毒、修復(fù)；等攻擊隱患基本消除后，再開啟對應(yīng)的RPC端口?？蛻舨恢廊湎x情況提供強(qiáng)制Portal業(yè)務(wù)，無論是WEB認(rèn)證、PPPoE認(rèn)證、802.1x認(rèn)證，在用戶上線后都能夠提供蠕蟲病毒發(fā)作情況和殺毒、補(bǔ)丁程序或者鏈接。非感染用戶可以簡單、迅速地下載安裝補(bǔ)??；感染用戶也會盡快了解清除方法、下載安裝殺毒、補(bǔ)丁方案。從而有效地加快蠕蟲消滅的速度。H3C設(shè)備介紹核心交換機(jī)產(chǎn)品概述：H3CS5510系列以太網(wǎng)交換機(jī)是H3C公司自主開發(fā)的三層全千兆多協(xié)議以太網(wǎng)交換產(chǎn)品，是為要求具備高性能、較大端口密度且易于安裝的網(wǎng)絡(luò)環(huán)境而設(shè)計的智能型可網(wǎng)管交換機(jī)。H3CS5510系列以太網(wǎng)交換機(jī)主要面向企業(yè)網(wǎng)、城域網(wǎng)匯聚或接入層的需求，同時硬件支持IPv4和IPv6雙棧，可為客戶提供豐富的業(yè)務(wù)特性和路由功能。產(chǎn)品特點(diǎn)：豐富的IPv4和IPv6三層功能硬件支持IPv4/IPv6雙棧和IPv6overIPv4隧道，三層線速轉(zhuǎn)發(fā)。S5510系列以太網(wǎng)交換機(jī)硬件支持IPv4/IPv6雙棧和常用IPv6過渡隧道協(xié)議（手工Tunnel,6to4Tunnel,ISATAPTunnel,auto-Tunnel），既可以用于純IPv4或IPv6網(wǎng)絡(luò)，也可以用于IPv4到IPv6共存的網(wǎng)絡(luò)，組網(wǎng)方式靈活，可以用于企業(yè)網(wǎng)絡(luò)或?qū)拵Ы尤?。支持豐富的IPv6路由協(xié)議，包括RIPng,OSPFv3,ISISv6,BGP4+forIPv6。支持IPv6的鄰居發(fā)現(xiàn)協(xié)議（NeighborDiscoveryProtocol，NDP），管理鄰居節(jié)點(diǎn)的交互。支持PMTU發(fā)現(xiàn)（PathMTUDiscovery）機(jī)制，可以找到從源端到目的端的路徑上一個合適的MTU值，以便有效地利用網(wǎng)絡(luò)資源并得到最佳的吞吐量。完備的安全控制策略H3CS5510系列交換機(jī)支持802.1x及MAC認(rèn)證，在用戶接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證，還可以通過靈活的MAC、IP、PORT任意組合綁定，支持動態(tài)VLAN下發(fā)和GuestVLAN，有效的防止非法用戶訪問網(wǎng)絡(luò)。支持端口和Vlan下發(fā)ACL，以及支持用戶自定義流模板配合實現(xiàn)自定義ACL功能，更加靈活方便，保證網(wǎng)絡(luò)的受控訪問。豐富的QoS策略H3CS5510系列交換機(jī)支持基于源MAC地址、目的MAC地址、源IPv4/v6地址、目的IPv4/v6地址、四層端口、協(xié)議類型、VLAN等信息的流分類，充分保障了復(fù)雜網(wǎng)絡(luò)對于QoS規(guī)則的要求。支持基于流的流量限速，優(yōu)先級標(biāo)記或映射，基于流的修改VLAN以及重定向到端口或下一跳，基于端口的流量整形。提供靈活的隊列調(diào)度算法，可以同時基于端口和隊列進(jìn)行設(shè)置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三種模式。支持CAR功能，粒度最小達(dá)4Kbps，支持對多個端口的業(yè)務(wù)流使用同一個CAR進(jìn)行流量監(jiān)管。用戶還可以選擇直接在端口下發(fā)CAR，或通過QoS策略下發(fā)CAR。高可靠性H3CS5510系列全千兆多協(xié)議智能三層交換機(jī)實現(xiàn)雙電源負(fù)載分擔(dān)，也可以交、直流同時輸入。支持LACP（LinkAggregationControlProtocol，鏈路聚合控制協(xié)議）進(jìn)行動態(tài)鏈路匯聚。H3CS5510系列交換機(jī)不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。支持RRPP（RapidRingProtectionProtocol）協(xié)議，可以防止數(shù)據(jù)環(huán)路引起的廣播風(fēng)暴，當(dāng)以太網(wǎng)環(huán)上一條鏈路斷開時能迅速恢復(fù)環(huán)網(wǎng)上各個節(jié)點(diǎn)之間的通信通路。支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機(jī)構(gòu)建VRRP備份組。構(gòu)建故障時的冗余路由拓樸結(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。支持在設(shè)備上配置多條等價路由的方式實現(xiàn)上行路由的冗余備份，當(dāng)主上行路由發(fā)生故障時自動切換到下一個備份路由上去，實現(xiàn)上行路由的多級備份。電源支持1+1備份和負(fù)載分擔(dān)，用戶可以選配雙交流、雙直流、交直流冗余組合電源。強(qiáng)大的多業(yè)務(wù)能力H3CS5510系列交換機(jī)支持QinQ即VLANVPN特性，可以將用戶私網(wǎng)VLAN標(biāo)簽封裝在公網(wǎng)VLAN標(biāo)簽中，使報文帶著兩層VLANTag穿越運(yùn)營商的骨干網(wǎng)絡(luò)。S5510系列交換機(jī)支持靈活QinQ，可以實現(xiàn)針對不同的業(yè)務(wù)報文打不同的外層VLAN標(biāo)簽或者不打VLAN標(biāo)簽，便于業(yè)務(wù)分離。S5510系列交換機(jī)還支持VLANtranslation，可以根據(jù)不同用戶或業(yè)務(wù)重新設(shè)置VLAN標(biāo)簽。同時支持IPv4和IPv6組播功能，支持豐富的組播協(xié)議IGMPSnooping、MLDSnooping、IGMPv1/v2/v3、PIM-DM、PIM-SM/SSM、MSDP，支持組播靜態(tài)路由、組播組靜態(tài)加入，而且組播Vlan可以跨Vlan復(fù)制，支持IGSPv1/v2/v3，支持大容量組播路由，強(qiáng)組播復(fù)制能力。出色的管理性H3C5510交換機(jī)支持基于出/入端口鏡像、基于流的鏡像以及支持遠(yuǎn)程端口鏡像功能，可以實現(xiàn)統(tǒng)一監(jiān)控檢測,使網(wǎng)絡(luò)管理更方便。支持SNMP，可支持OpenView等通用網(wǎng)管平臺以及Quidview網(wǎng)管系統(tǒng)。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便，并且支持SSH1.5/2.0等加密方式，使得管理更加安全。產(chǎn)品規(guī)格：支持特性說明業(yè)務(wù)端口S5510-24P：24個10/100/1000Base-T以太網(wǎng)端口和4個1000Base-XSFP千兆以太網(wǎng)端口（Combo）外形尺寸（寬×高×深）440×43.6×360mm重量<5KG管理端口1個Console口二三層線速轉(zhuǎn)發(fā)交換容量為：48Gbps包轉(zhuǎn)發(fā)率：

35.71Mpps端口匯聚1.

支持FE（FastEthernet）端口聚合2.

支持GE（GigabitEthernet）端口聚合3.

支持LACP（LinkAggregationControlProtocol，鏈路聚合控制協(xié)議）4.

支持手工聚合MAC地址1.

支持12K個MAC地址2.

支持黑洞MAC地址3.

支持設(shè)置端口地址學(xué)習(xí)MAC最大個數(shù)端口1.

支持IEEE802.3x流控（全雙工）2.

支持Back-pressurebasedflowcontrol（背壓式流控）（半雙工）3.

支持基于端口速率百分比的風(fēng)暴抑制4.

支持端口優(yōu)先級VLAN1.

支持端口VLAN(4094個)2.

支持協(xié)議VLAN3.

基于IPv4子網(wǎng)VLAN4.

支持VoiceVLAN5.

支持GVRP/GARP6.

支持VLANVPN（QinQ，靈活QinQ），BPDUtunnel7.

支持VLANTranslationDHCP1.

支持DHCPServer2.

支持DHCP-Relay3.

支持DHCPClient4.

支持DHCPSnoopingUDPHelper1.

支持UDPHelperDNS1.

支持靜態(tài)域名解析2.

支持動態(tài)域名解析客戶端3.

支持IPv4和IPv6地址ARP1.

支持ARP2.

支持免費(fèi)ARP3.

支持ARPProxyIP路由1.

支持靜態(tài)路由和缺省路由2.

支持RIP（RoutingInformationProtocol）v1/23.

支持RIPng4.

支持OSPFv1/v2（OpenShortestPathFirst）5.

支持OSPFv36.

支持IS-IS7.

支持IS-ISv68.

支持BGP（BorderGatewayProtocol）9.

支持BGP4+forIPV610.

支持等價路由11.

支持路由策略組播1.

支持IGMP（InternetGroupManagementProtocol）Snoopingv1/v22.

支持IGMPv1/v2/v33.

支持PIM-DM（ProtocolIndependentMulticast-DenseMode）4.

支持PIM-SM（ProtocolIndependentMulticast-SparseMode）5.

支持MSDP(MulticastSourceDiscoveryProtocol)6.

支持MLDSnoopingSTP/RSTP/MSTP1.

支持STP/RSTP2.

支持MSTP3.

支持STP保護(hù)功能IPV61.

支持ND(NeighborDiscovery)2.

支持PMTU3.

支持IPv6Ping，IPv6Tracert4.

支持IPv6Telnet5.

支持IPv6TFTPIPv6overIPv4Tunnel1.

支持手動配置Tunnel2.

支持6to4tunnel3.

支持ISATAPtunnel4.

支持Auto-tunnel（即IPv4compatibletunnel）QoS/ACL支持ACL1.

支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四層端口、協(xié)議類型、VLAN等信息的流分類2.

支持基本ACL3.

支持高級ACL4.

支持二層ACL5.

支持用戶自定義ACL支持ACL流模板1.

支持用戶自定義流模板2.

支持系統(tǒng)缺省流模板支持QoS1.

支持基于流的流量限速(8Kbit/s)2.

支持基于流的標(biāo)記優(yōu)先級、3.

支持基于流的修改報文VLANID4.

支持基于流的報文重定向到端口或IP下一跳5.

支持基于流的流量統(tǒng)計6.

支持基于流的流鏡像7.

支持端口隊列調(diào)度(SP/WRR/SP+WRR)8.

支持端口鏡像和RSPAN(遠(yuǎn)程端口鏡像)9.

支持端口流量整形10.

支持端口擁塞丟棄支持IPv6ACL1.

支持基于源IPv6地址、目的IPv6地址、四層端口、協(xié)議類型等信息的流分類2.

支持基本IPv6ACL3.

支持高級IPv6ACL支持時間段支持策略路由安全特性1.

支持用戶分級管理和口令保護(hù)2.

支持IEEE802.1X認(rèn)證3.

支持AAA4.

支持Radius認(rèn)證5.

支持HWTacacs+6.

支持集中式MAC地址認(rèn)證7.

支持端口隔離8.

支持IP+MAC+端口綁定可靠性支持VRRP（VirtualRedundancyRoutingProtocol）加載與升級1.

支持XModem協(xié)議實現(xiàn)加載升級2.

支持FTP（FileTransferProtocol）加載升級3.

支持TFTP（TrivialFileTransferProtocol）加載升級管理1.

支持命令行接口（CLI）配置2.

支持Telnet遠(yuǎn)程配置3.

支持通過Console口配置4.

支持SNMP（SimpleNetworkManagementProtocol）V1/V2c/V35.

支持RMON（RemoteMonitoring）1，2，3，9組MIB6.

支持華為QuidView網(wǎng)管系統(tǒng)7.

支持WEB網(wǎng)管8.

支持系統(tǒng)日志9.

支持分級告警10.

支持集群管理HGMP（HuaweiGroupManagementProtocol）V211.

支持Modem遠(yuǎn)端撥號12.

支持NTP13.

支持SSH14.

支持電源的狀態(tài)檢測和告警維護(hù)1.

支持調(diào)試信息輸出2.

支持PING、Tracert3.

支持HWPing4.

支持Telnet遠(yuǎn)程維護(hù)5.

支持虛擬電纜檢測(VirtualCableTest)輸入電壓S5510系列以太網(wǎng)交換機(jī)支持交流電源輸入和直流電源輸入。AC：額定電壓范圍：100～240VAC.；50/60Hz最大電壓范圍：90～264VAC.；50/60HzDC：額定電壓范圍：-60～-48V最大電壓范圍：-72～-36V功耗（滿負(fù)荷時）S5510-24P-AC/S5524P-DC：66WS5510-24F-AC/S5524F-DC：100W工作環(huán)境溫度0～45℃工作環(huán)境相對濕度（非凝露）10%～90%防火墻產(chǎn)品概述：H3CSecPath防火墻/VPN是業(yè)界功能最全面、擴(kuò)展性最好的防火墻/VPN產(chǎn)品，集成防火墻、VPN和豐富的網(wǎng)絡(luò)特性，為用戶提供安全防護(hù)、安全遠(yuǎn)程接入等功能。H3CSecPathF1000系列防火墻，支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采用ASPF（ApplicationSpecificPacketFilter）應(yīng)用狀態(tài)檢測技術(shù)，可對連接狀態(tài)過程和異常命令進(jìn)行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種VPN業(yè)務(wù)，如L2TPVPN、GREVPN、IPSecVPN、動態(tài)VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形及多種隊列調(diào)度策略。產(chǎn)品特點(diǎn)：擴(kuò)展性最強(qiáng)基于H3C先進(jìn)的OAA開放應(yīng)用架構(gòu)，SecPath防火墻能靈活擴(kuò)展病毒防范、網(wǎng)絡(luò)流量監(jiān)控和SSLVPN等硬件業(yè)務(wù)模塊，實現(xiàn)2-7層的全面安全。強(qiáng)大的攻擊防范能力能防御DoS/DDoS攻擊（如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等）、ARP欺騙攻擊、TCP報文標(biāo)志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時支持黑名單、MAC綁定、內(nèi)容過濾等先進(jìn)功能。增強(qiáng)型狀態(tài)安全過濾支持基礎(chǔ)、擴(kuò)展和基于接口的狀態(tài)檢測包過濾技術(shù)；支持H3C特有ASPF應(yīng)用層報文過濾協(xié)議，支持對每一個連接狀態(tài)信息的維護(hù)監(jiān)測并動態(tài)地過濾數(shù)據(jù)包，支持對應(yīng)用層協(xié)議的狀態(tài)監(jiān)控。豐富的VPN特性集成IPSec、L2TP、GRE和SSL等多種成熟VPN接入技術(shù)，保證移動用戶、合作伙伴和分支機(jī)構(gòu)安全、便捷的接入。應(yīng)用層內(nèi)容過濾可以有效的識別網(wǎng)絡(luò)中各種P2P模式的應(yīng)用，并且對這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬；支持郵件過濾，提供SMTP郵件地址、標(biāo)題、附件和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTPURL和內(nèi)容過濾。全面NAT應(yīng)用支持提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、EasyIP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能。全面的認(rèn)證服務(wù)支持本地用戶、RADIUS、TACACS等認(rèn)證方式，支持基于PKI/CA體系的數(shù)字證書（X.509格式）認(rèn)證功能。支持基于用戶身份的管理，實現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，并且支持用戶視圖分級，對于不同級別的用戶賦予不同的管理配置權(quán)限。集中管理與審計提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能。產(chǎn)品規(guī)格：屬性說明運(yùn)行模式路由模式透明模式混合模式網(wǎng)絡(luò)安全性AAA服務(wù)RADIUS認(rèn)證HWTACACS認(rèn)證PKI/CA（X.509格式）認(rèn)證域認(rèn)證CHAP驗證PAP驗證防火墻包過濾基礎(chǔ)和擴(kuò)展的訪問控制列表基于接口的訪問控制列表基于時間段的訪問控制列表動態(tài)包過濾ASPF應(yīng)用層報文過濾l

應(yīng)用層協(xié)議：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）l

傳輸層協(xié)議：TCP、UDP抗攻擊特性Land/Smurf/Fraggle/WinNuke/PingofDeath/TearDrop/IPSpoofing/ARP欺騙攻擊防范/TCP報文標(biāo)志位不合法攻擊防范/超大ICMP報文攻擊防范/地址/端口掃描的防范防病毒DoS/DDoS攻擊防范

CC、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARPFlood等TCPProxy功能ICMP重定向或不可達(dá)報文控制功能Tracert報文控制功能帶路由記錄選項IP報文控制功能靜態(tài)和動態(tài)黑名單功能MAC和IP綁定功能透明防火墻基于MAC的訪問控制列表支持802.1qVLAN透傳郵件/網(wǎng)頁/應(yīng)用層過濾郵件過濾網(wǎng)頁過濾應(yīng)用層過濾JavaBlockingActiveXBlockingSQL注入攻擊防范安全日志及統(tǒng)計用戶行為流日志NAT轉(zhuǎn)換日志攻擊實時日志黑名單日志地址綁定日志流量告警日志流量統(tǒng)計和分析功能全局/基于安全域連接數(shù)率監(jiān)控全局/基于安全域協(xié)議報文比例監(jiān)控安全事件統(tǒng)計功能E-MAIL郵件實時告警功能E-MAIL郵件定期信息發(fā)布功能NAT支持多個內(nèi)部地址映射到同一個公網(wǎng)地址支持多個內(nèi)部地址映射到多個公網(wǎng)地址支持內(nèi)部地址到公網(wǎng)地址一一映射支持源地址和目的地址同時轉(zhuǎn)換支持外部網(wǎng)絡(luò)主機(jī)訪問內(nèi)部服務(wù)器支持內(nèi)部地址直映射到接口公網(wǎng)IP地址支持DNS映射功能可配置支持地址轉(zhuǎn)換的有效時間支持多種NATALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等VPNL2TPVPN/GREVPN/IPSecVPN/SSLVPN/DVPN網(wǎng)絡(luò)互連局域網(wǎng)協(xié)議Ethernet_IIEthernet_SNAP802.1qVLAN鏈路層協(xié)議PPPoE網(wǎng)絡(luò)協(xié)議IP服務(wù)ARP域名解析IPUNNUMBEREDDHCP中繼DHCP服務(wù)器DHCP客戶端IP路由靜態(tài)路由RIPv1/2OSPFBGP路由策略策略路由高可靠性雙機(jī)狀態(tài)熱備，Active/Active和Active/Passive兩種工作模式，支持負(fù)載分擔(dān)和業(yè)務(wù)備份關(guān)鍵部件冗余設(shè)計接口模塊熱插拔機(jī)箱溫度自動檢測服務(wù)質(zhì)量保證（QoS）流量監(jiān)管CAR擁塞管理FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ擁塞避免WRED流量整形GTS接口速率限制LR配置管理命令行接口通過Console口進(jìn)行本地配置通過Telnet或SSH進(jìn)行本地或遠(yuǎn)程配置配置命令分級保護(hù)，確保未授權(quán)用戶無法侵入設(shè)備提供全中文的提示和幫助信息詳盡的調(diào)試信息，幫助診斷網(wǎng)絡(luò)故障提供網(wǎng)絡(luò)測試工具，如Tracert、Ping、HWPing命令等，迅速診斷網(wǎng)絡(luò)是否正常用Telnet命令直接登錄并管理其它設(shè)備FTPServer/Client，可以使用FTP下載、上載配置文件和應(yīng)用程序支持TFTP上傳下載文件支持日志功能文件系統(tǒng)管理User-interface配置，提供對登錄用戶多種方式的認(rèn)證和授權(quán)功能支持標(biāo)準(zhǔn)網(wǎng)管SNMPv3，并且兼容SNMPv2c、SNMPv1支持NTP時間同步支持Web方式進(jìn)行遠(yuǎn)程配置管理支持H3CBIMS系統(tǒng)進(jìn)行設(shè)備管理支持H3CVPNManager系統(tǒng)進(jìn)行VPN業(yè)務(wù)管理和監(jiān)控接入交換機(jī)產(chǎn)品概述：H3CS3100-26TP-EI交換機(jī)是H3C公司為構(gòu)建高安全、高智能網(wǎng)絡(luò)需求而專門設(shè)計的新一代以太網(wǎng)交換機(jī)產(chǎn)品，在滿足高性能接入的基礎(chǔ)上，提供更全面的安全接入策略和更強(qiáng)的網(wǎng)絡(luò)管理維護(hù)易用性，是理想的安全易用接入層交換機(jī)。產(chǎn)品特點(diǎn)：全面的接入安全策略H3CS3100-26TP-EI交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS3100-26TP-EI交換機(jī)支持特有的ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報文實施日趨盛行的“ARP欺騙攻擊”，對不符合DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同時支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實性和一致性。H3CS3100-26TP-EI交換機(jī)支持端口安全特性族，可以有效防范基于MAC地址的攻擊?？梢詫崿F(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個端口允許的MAC地址的最大數(shù)量，使得某個特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由交換機(jī)動態(tài)學(xué)習(xí)。H3CS3100-26TP-EI交換機(jī)有強(qiáng)大硬件ACL能力，能深度識別報文，支持L2～L4包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN、VLAN范圍等定義ACL，以便交換機(jī)進(jìn)行后續(xù)的處理。并且支持基于端口、VLAN、全局定義和下發(fā)ACL策略H3CS3100-26TP-EI交換機(jī)支持集中式MAC地址認(rèn)證和802.1x認(rèn)證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標(biāo)識元素的動態(tài)或靜態(tài)綁定，同時實現(xiàn)用戶策略（VLAN、QoS、ACL）的動態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對在線用戶進(jìn)行實時的管理，及時的診斷和瓦解網(wǎng)絡(luò)非法行為。支持對Proxy進(jìn)行有效的管理。增強(qiáng)的網(wǎng)絡(luò)管理和維護(hù)的易用性H3CS3100-26TP-EI交換機(jī)支持通過FTP、TFTP實現(xiàn)設(shè)備的遠(yuǎn)程升級，支持SNMPv1/v2/v3，可支持OpenView等通用網(wǎng)管平臺，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，Telnet，HGMP集群管理，使設(shè)備管理更方便。H3CS3100-26TP-EI交換機(jī)支持跨交換機(jī)的遠(yuǎn)程端口鏡像RSPAN，可以將接入端口的流量鏡像到核心交換機(jī)上，可以對全網(wǎng)業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控，滿足園區(qū)網(wǎng)精細(xì)化管理的需要。H3CS3100-26TP-EI交換機(jī)支持VCT（VirtualCableTest）電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)；并支持DLDP（DeviceLinkDetectionProtocol）單向鏈路檢測協(xié)議，可以有效的防止網(wǎng)絡(luò)中單通故障的發(fā)生，大幅提高網(wǎng)絡(luò)維護(hù)效率，切實將設(shè)備的易用性帶給用戶。高性能與靈活擴(kuò)展能力H3CS3100-26TP-EI交換機(jī)具有19.2G的背板交換容量，支持所有端口線速轉(zhuǎn)發(fā)，滿足了用戶對高帶寬的需求。設(shè)備支持2個GE上行，采用2個固定10/100/1000兆自適應(yīng)電口和2個復(fù)用的通用SFP端口，并且SFP端口既可以支持百兆光模塊，也可以支持千兆光模塊，在降低用戶成本的同時，更好的考慮了用戶后續(xù)升級的實際需求。H3CS3100-26TP-EI交換機(jī)采用專利技術(shù)，允許交換機(jī)利用專用互聯(lián)電纜實現(xiàn)多達(dá)16臺設(shè)備的堆疊，最大擴(kuò)展至384個10/100M端口，支持不同端口設(shè)備的混合堆疊。具有即插即用、單一IP管理。同時大大降低系統(tǒng)擴(kuò)展的成本，保護(hù)了用戶投資。豐富的業(yè)務(wù)支持能力H3CS3100-26TP-EI交換機(jī)PoE機(jī)型支持PoE（PoweroverEthernet）技術(shù)，通過以太網(wǎng)對所連接的設(shè)備（如IPPhone,WirelessAP等）進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場為設(shè)備部署單獨(dú)的電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和管理成本。H3CS3100-26TP-EI交換機(jī)支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三種隊列調(diào)度算法，支持每個端口4個輸出隊列，可以以不同的優(yōu)先級將報文放入端口的輸出隊列。產(chǎn)品規(guī)格：項目S3100-26TP-EI外形尺寸（長×寬×高）(單位：mm)440×160×43.6重量<3.0kg固定端口24個10/100Base-TX以太網(wǎng)端口；2個10/100/1000Base-T以太網(wǎng)端口和2個復(fù)用的100/1000Base-XSFP端口可用模塊

SFP-FE-SX-MM1310-A

SFP-FE-LX-SM1310-A

SFP-GE-SX-MM850-A

SFP-GE-LX-SM1310-A

SFP-STACK-Kit

SFP-GE-LX-SM1310-BIDI

SFP-GE-LX-SM1490-BIDI管理端口1個Console口PoE遠(yuǎn)程供電不支持電源AC：

額定電壓范圍：100V～240VAC；50～60Hz

最大電壓范圍：90～264VAC；47Hz～63Hz整機(jī)最大功耗整機(jī)最大功耗：17W工作環(huán)境溫度0℃～45℃工作環(huán)境相對濕度（非凝露）10%～90%

H3CS3100-EI系列交換機(jī)業(yè)務(wù)特性特性S3100-26TP-EI線速二層交換交換容量19.2Gbps包轉(zhuǎn)發(fā)率6.55Mpps交換模式存儲轉(zhuǎn)發(fā)模式（StoreandForward）端口支持IEEE802.3x流控（全雙工）支持基于端口帶寬百分比的廣播風(fēng)暴抑制MAC地址支持8KMAC支持黑洞MAC支持設(shè)置端口MAC學(xué)習(xí)最大個數(shù)端口匯聚支持LACP支持手工聚合支持最大端口聚合組：端口數(shù)/2，每個聚合組最大支持8個端口VLAN支持基于端口的VLAN（4K個）支持基于協(xié)議的VLAN支持VoiceVLAN支持GVRP支持VLANVPN（QinQ），靈活QinQ支持基于端口和全局的VLANMapping二層環(huán)網(wǎng)協(xié)議支持STP/RSTP/MSTP支持SmartLink堆疊最大支持16臺設(shè)備堆疊組播IGMPSnoopingv1/v2/v3組播VLAN鏡像支持N:1端口鏡像支持RSPAN支持流鏡像QoS/ACL支持ACL支持L2～L4包過濾功能，可以匹配報文前80個字節(jié)，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN等定義ACL。支持基于端口、VLAN、全局下發(fā)ACL支持基于時間段（TimeRange）的ACL支持QoS每個端口支持4個輸出隊列支持802.1p/DSCP優(yōu)先級支持端口隊列調(diào)度（SP、WRR、SP+WRR）支持基于流的包過濾支持基于流的流量統(tǒng)計支持基于流的重定向支持基于流的優(yōu)先級標(biāo)記支持基于流的限速支持流量整形安全特性用戶分級管理和口令保護(hù)支持GuestVLAN支持IEEE802.1X認(rèn)證/集中MAC地址認(rèn)證支持AAA&RADIUS&HWTACACS認(rèn)證支持MAC地址學(xué)習(xí)數(shù)目限制支持MAC地址黑洞支持SSH2.0支持EAD（端點(diǎn)準(zhǔn)入防御）支持IP源地址保護(hù)支持ARP入侵檢測功能支持ARP報文限速功能支持端口隔離支持IP＋端口的綁定支持IP+MAC的綁定支持端口＋MAC的綁定支持IP+MAC+端口的綁定DHCP支持DHCPclient支持DHCPSnooping支持DHCPSnoopingtrust支持DHCPSnoopingoption82管理與維護(hù)支持XModem/FTP/TFTP加載升級支持命令行接口（CLI），Telnet，Console口進(jìn)行配置支持HGMPv2集群管理支持SNMPv1/v2/v3，WEB網(wǎng)管支持RMON1，2，3，9組MIB支持H3CiMC智能管理中心支持系統(tǒng)日志，分級告警支持PING、Traceroute，MulticastTraceroute支持Telnet遠(yuǎn)程維護(hù)支持VCT（VirtualCableTest）電纜檢測功能支持DLDP（DeviceLinkDetectionProtocol）單向鏈路檢測協(xié)議支持Loopback-detection端口環(huán)回檢測

附錄華三公司介紹華三已經(jīng)成為全球唯一能夠提供全線的路由器和以太網(wǎng)交換機(jī)以及VoIP產(chǎn)品、視頻會議和網(wǎng)絡(luò)管理產(chǎn)品的兩家廠商之一，從產(chǎn)品的提供上能夠充分滿足組網(wǎng)應(yīng)用的需求。從安全性考慮，優(yōu)先采用國產(chǎn)設(shè)備構(gòu)筑網(wǎng)絡(luò)，華三公司的所有網(wǎng)絡(luò)產(chǎn)品均擁有自主知識產(chǎn)權(quán)，不存在產(chǎn)品后門漏洞，并且華三的網(wǎng)絡(luò)產(chǎn)品包括全系列路由器和以太網(wǎng)交換機(jī)在國內(nèi)多個安全性高的行業(yè)已得到規(guī)模應(yīng)用，如：中共中央組織部、中共中央宣傳部、中共中央紀(jì)律檢查委員會、全國人大常委會、國家財政部部、國家外經(jīng)貿(mào)部、信息產(chǎn)業(yè)部、國家工商總局、國家安全信息中心、國家公安部、中國人民銀行、深圳工行、深圳農(nóng)行、廣東建行、中國銀行總行、和江西政務(wù)網(wǎng)等多個行業(yè)。從可靠性考慮，華三公司是國內(nèi)最大的網(wǎng)絡(luò)設(shè)備供應(yīng)商，有多年從事網(wǎng)絡(luò)運(yùn)營行業(yè)的設(shè)備組網(wǎng)、實施經(jīng)驗，眾所周知，而網(wǎng)絡(luò)運(yùn)營商對于可靠性的要求非常的高，要求設(shè)備具有99.999%的可靠性，而華三在進(jìn)行數(shù)據(jù)通信網(wǎng)絡(luò)設(shè)備的研發(fā)、制造都是基于運(yùn)營級的可靠性要求來進(jìn)行的。從市場應(yīng)用來說，華三公司目前是全球數(shù)據(jù)通訊領(lǐng)域具有重要影響力的廠商之一，公司持續(xù)穩(wěn)定持續(xù)發(fā)展，在國內(nèi)市場占有率位居國產(chǎn)廠商之冠。其產(chǎn)品經(jīng)受了網(wǎng)上大量應(yīng)用的考驗，并得到了客戶的充分信任。例如：本次方案設(shè)計中作為網(wǎng)絡(luò)核心交換機(jī)的路由交換機(jī)H3CS7500E系列，在中組部，中宣部，國家工商總局核心層全部采用的便是該款產(chǎn)品，足以證明華三公司高端設(shè)備在國內(nèi)已經(jīng)得到部委客戶充分的信任，完全可以滿足本次網(wǎng)絡(luò)的要求。華三公司系列網(wǎng)絡(luò)產(chǎn)品均采用了業(yè)界先進(jìn)的技術(shù)，具有高的性價比，如：核心路由交換機(jī)H3CS9500/7500E系列交換機(jī)均采用高性能ASIC，采用基于硬件的逐包轉(zhuǎn)發(fā)方式，區(qū)別于基于流轉(zhuǎn)發(fā)的業(yè)界的其它交換機(jī)，能夠有效克服紅色代碼、ARP等病毒帶來的攻擊，S9500/S7500E具備ARP欺騙防御技術(shù)，能夠有效防御ARP欺騙攻擊，安全可靠轉(zhuǎn)發(fā)能力高，同時華三的高端骨干設(shè)備均能夠提供MPLSVPN，并且在國內(nèi)已經(jīng)有了大量的應(yīng)用。本次所選擇設(shè)備滿足對設(shè)備的技術(shù)參數(shù)的具體要求，并且許多性能指標(biāo)如：包轉(zhuǎn)發(fā)率，背板容量等還要優(yōu)于要求，具有極好的性價比。華三公司具備良好的服務(wù)和技術(shù)支持，產(chǎn)品售后服務(wù)好，健全的培訓(xùn)體制。在全國建立了28個辦事處，35個用服中心，結(jié)合華三在各地的合作伙伴，無處不達(dá)和便捷的服務(wù)，是華三產(chǎn)品得到用戶信任的可靠保障。華三在重慶本地網(wǎng)都有辦事機(jī)構(gòu)和備件中心，可以快速響應(yīng)客戶需求。為了滿足