体育职业技术学院校园网建设方案

1、福建省体育职业技术学院校园网建设方案一、需求分析福建体育职业技术学院是在整合省体工大队、省体工二大队、省射击中心、省游泳中心、省体育学校、省体育科学研究所等体育教育资源基础上组建，地处福州市鼓楼区福飞路151号，占地395亩，现校舍建筑面积13.96万平方米。学院设有标准田径场、羽毛球馆、乒乓球馆、网球场（馆）、篮球馆、排球馆、沙滩排球场、体操馆、蹦床馆、击剑馆、拳击馆、武术馆、射箭场、射击场（馆）等20个运动场馆，同时设有多媒体教室、计算机教室、语音教室、生理解剖实验室、阅览室、图书馆和体育科研中心、医疗康复中心，内部设施齐全，可满足教学、训练需要。学院现有的教学楼、宿舍楼、食堂和图书馆已全

2、部联网，核心层设备采用一台中兴zte zxr102826s二层交换机，通过电信10m光纤接入internet；每幢楼一层设置一台汇聚层交换机smc e21024r，通过单模光纤上联至旧机房核心层交换机；楼层交换机采用smc e21024r，数量根据楼层信息点分布进行配备，通过六类双绞线上联至每幢楼的汇聚层交换机。学院正在建设五幢新楼，分别为一座教学楼、一座综合楼、一座实验楼、二座学生宿舍楼，准备今年九月份交付使用。新机房设置在教学楼五层，今后的数据中心准备迁移至新机房，与internet连接的带宽准备扩容至100m。新建的教学楼、综合楼、实验楼和学生宿舍楼分别有6芯单模光纤集中到新机房。为适应

3、学院发展的需要，需要考虑如下方案：1、 新机房建设方案2、 新建的教学楼、综合楼、实验楼和学生宿舍楼的联网方案3、 原有楼群的网络改造方案4、 将来学院接入cernet福州大学节点，访问ipv6资源的方案5、 学院室内无线覆盖方案和室外无线覆盖方案6、 数据中心服务器群和存储灾备配备方案7、 与泉州、漳州、三明、厦门等分支节点的联网方案8、 应用方案（学校信息化系统、校园一卡通、web系统、电子图书馆、视频会议、远程教学、远程考试等）二、校园网建设方案1、网络拓扑2、方案描述为适应学院新校园网建设的需求，在新机房配备一台核心层交换机，型号为星网锐捷rg-s7606。新机房核心层交换机rg-s7

4、606配备如下：l 2个管理引擎插槽，4个业务插槽l 2块管理引擎模块m7606-cm，互为备份，保障核心层交换机高可靠运行l 2个rg-pa240r交流电源模块，保障供电可靠性l 1块m7600-24sfp/8gt千兆复用口线卡和10个mini-gbic-lx模块，提供10个单模光纤接口，用于连接汇聚层交换机l 1块m7600-24gt线卡，提供24口10/100m/1000m自适应电口，用于连接机房数据中心设备，包括web服务器、oa服务器、数据库服务器、防病毒服务器、网管服务器和集中存储设备等l 支持双协议栈ipv4/ipv6，满足将来接入cernet访问ipv6的需要汇聚层交换机选用星

5、网锐捷rg-s3760-12sfp/gt。rg-s3760系列是锐捷网络推出的硬件全面支持ipv6的机架式多层交换机系列产品，该系列产品为ipv4网络的建设、ipv4向ipv6网络过渡以及ipv6网络的建设和通信提供了最直接和最方便灵活的技术实现和方案保障。配备如下：l 1个mini-gbic-lx转换模块，提供1个千兆单模光纤接口，用于上联核心层交换机l 12口10/100/1000m自适应电口/mini-gbic接口复用，用于下联楼层交换机新建的教学楼、综合楼、实验楼和学生宿舍楼各配备1台汇聚层交换机，原有的教学楼、宿舍楼、食堂和图书馆原先采用smc e21024r二层交换机作为汇聚层交换

6、机，为适应网络改造和带宽扩容的需要，也推荐替换为星网锐捷rg-s3760-12sfp/gt，原smc e21024r二层交换机淘汰下来作为楼层交换机使用。接入层交换机选用星网锐捷rg-s2052g和rg-s2026g。rg-s20系列是全线速智能型增强网管交换机，具有特别丰富而强大的网管功能，在实现流量线速交换的同时，可以通过多重设置方式进行网管操作，实现802.1q vlan、保护端口、链路聚合、spanning tree、端口监控设置、静态地址管理、广播风暴控制、端口动态mac地址锁、端口mac地址绑定、端口igmp属性设置、802.1p优先级等各种管理。每个楼层配备的具体数量根据楼层信息

7、点分布确定。rg-s2052g提供48口10/100m自适应端口，2个sfp接口和2个复用的10/100/1000m自适应电口，1个扩展槽，可上堆叠模块和千兆扩展模块；rg-s2026g提供24口10/100m自适应端口，两个扩展槽，可上100m、1000m光纤/电口模块，为上联至汇聚层交换机，另外配备了1块m2121t单端口千兆电口模块。另外为防止黑客的入侵，应利用防火墙对整个系统实施保护，禁止对所有不必要tcp/udp端口的访问，防止对系统的恶意攻击。建议在internet出口处和cernet出口处各配备一台juniper isg1000千兆防火墙，通过配备安全策略控制（允许，拒绝，监测）

8、出入网络的信息流，对整个校园网络实施安全防护。3、核心层交换机技术指标技术参数参数描述产品型号rg-s7610rg-s7606rg-s7604模块插槽10个（2个用于管理引擎）6个（2个用于管理引擎）4个（1个用于管理引擎）背板2.4t1.6t1t交换容量864g864g432g包转发速率643mpps322mpps276.8mpps802.1q vlan4kl2协议ieee802.3（10base-t）、ieee802.3u（100base-t）、ieee802.3z（1000base-x） 、ieee802.3ab（1000base-t）、ieee802.3ae（10gbase）、ieee

9、802.3ak、ieee802.3an 、ieee802.3x、ieee802.3ad、ieee802.1p、ieee802.1x、ieee802.1q、ieeee802.1d（stp）、ieeee802.1w（rstp）、ieeee802.1s（mstp）、igmp snooping 、jumbo frame(9kbytes)、gvrpl3协议(ipv4)bgp4、is-is、ospfv2、ripv1、ripv2、mbgp、lpm routing、policy-based routing、route-policy、ecmp、wcmp、vrrp、igmp v1/v2/v3、 dvmrp、pim

10、-sm/dmipv6协议nd（邻居发现）、icmpv6、path mtu discovery、icmpv6、icmpv6重定向、aclv6、tcp/udp for ipv6、ping /traceroute v6、静态路由、等价路由、ospfv3、ripng、is-isv6、手工隧道、isatap、6to4隧道qos支持ip precedence、802.1p（cos优先级）、dscp、支持支持基于标准、扩展、vlan acl进行流量分类，支持多种队列调度机制如sp、rr、wrr、drr、sp+wrr、sp+drr等，支持流量监管（car）、支持流量整形traffic shaping（ts）安

11、全功能cpp（cpu保护）、防ddos攻击、非法数据包检测、数据加密、防源ip欺骗、防ip扫描、支持基于标准、扩展、vlan 的ipv4/v6acl报文过滤、支持ospf、ripv2 及bgpv4 报文的明文及md5密文认证、支持受限的ip地址的telnet的登录和口令机制、支持广播报文抑制、dhcp snooping高可靠设计支持rldp单向链路检测技术、支持tpp（拓扑保护技术）、双引擎冗余设计、支持电源冗余备份、采用无源背板设计、风扇采用冗余设计、所有单板和电源模块支持热插拔功能管理方式snmp v1/v2/v3、telnet、console、web、rmon、sshv1/v2、ftp/

12、tftp文件上下载管理、支持ntp时钟、支持syslog其它协议dhcp client、dhcp relay、dhcp server、dns client、udp relay、arp proxy、syslog尺寸（l w h）mm440 480 496440 480 313440 480 221重量80kg70kg50kg电源100vac240vac，50hz60hz，功率:480wmtbf 200,000 hours温度工作温度：0 到 40存储温度：-40 到 70湿度工作湿度：10% 到 90% rh存储湿度：5% 到 95% rh1.高效融合多种业务，保护用户投资 丰富的应用技术：采用

13、了sp、wrr、drr、sp+wrr、sp+drr等队列技术保证在一个有多种业务的网络环境中，数据稳定、高效的传输。采用了car、lr等流量控制技术，保证突发流量被有效的控制、整形，可靠的传输。线卡支持poe在线供电，有效的解决终端的集中式电源供电，解决ip电话、无线ap、便携设备充电器、刷卡机、摄像头、数据采集等终端的供电问题。 10槽/6槽/4槽设计，灵活支持多种网络环境，高密度的10槽/6槽设计，满足了未来用户网络核心设备升级的需求。此外，对ipv6技术的全面支持，线卡支持ipv6的数据硬件转发，满足未来ipv6应用的环境，保护用户投资。2.病毒和攻击防护能力 提供业界最为强大的acl特

14、性，基于spoh技术提供ip标准、ip扩展、mac扩展、时间、专家级等丰富的acl技术，支持ipv4/ipv6双栈下的输入输出acl。 支持硬件防源ip地址欺骗、防dos/ddos攻击，防ip扫描等功能。 提供多端口同步监控技术，支持灵活的网络监控，提升网络监控能力。3.可信赖的核心稳定保障 rg-s7600具有冗余的风扇和供电系统以确保系统不具有通常的硬件故障。 rg-s7600支持冗余的管理模块可以确保交换机的调度和管理部分不发生单点故障，可以持续地提供运行能力。 主机实时检测cpu的使用状态，并提供业界领先的硬件cpu保护技术（cpp，cpu protect policy），cpp技术对

15、发往cpu的数据进行流区分和流限速，避免非法攻击包对cpu的攻击和资源消耗。 核心支持tpp拓扑保护协议，在当网络中存在非法攻击引起网络拓扑的振荡的情况下，保护拓扑的稳定，从而使网络更加稳定、可靠。 rg-s7600的软件设计将整个系统分成多个模块单元，每个软件单元都运行在自己的保护环境之下，并且对每个单元做有针对性的保护。教育城域网1.高可靠性需求 数个主节点s7606与核心节点s8600之间采用环行连接，避免单条链路失效，同时通过启用ecmp/wcmp扩展路由技术，提供多条可用链路间的负载均衡和冗余备份，保证了城域网网络的高可靠性。2.病毒和攻击防护能力 提供业界最为强大的acl特性，基于

16、spoh技术提供ip标准、ip扩展、mac扩展、时间、专家级等丰富的acl技术，支持ipv4/ipv6双栈下的输入输出acl。 支持硬件防源ip地址欺骗、防dos/ddos攻击，防ip扫描等功能。 提供多端口同步监控技术，支持灵活的网络监控，提升网络监控能力。3.强大数据处理需求 rg-s7600采用spoh（同步式硬件处理）设计，管理模块执行路由管理、网络管理、网络服务等任务，用户接口模块可以独立实现硬件路由、交换和组播功能；用户交换端口则独立实现硬件acl和qos功能，同步式处理设计极大地提高整机处理能力。4.带宽升级能力 将来应用增加对带宽的需求将同步提升，可通过简单地增加万兆模块，轻松

17、组建万兆骨干网，充分地保护用户投资。大型ipv6园区网络汇聚1.全网ipv6 rg-s7600与rg-s8600配合，组成一个全网ipv6的网络。通过在rg-s8600、rg-s7600开启ospfv3等路由技术，保证全网的ipv6路由可达。rg-s7600支持丰富的ipv6过渡技术，如手工隧道、6 to 4隧道，在ipv4的网络环境中通过添加rg-s7600可实现ipv6业务的互通。此外，还支持如ipv6 acl等安全技术，充分保障ipv6应用的安全。2.高可靠性设计 rg-s7600具有冗余的风扇和供电系统以确保系统不具有通常的硬件故障。 rg-s7600采用了无源背板的设计，实现极高的平

18、均故障间隔时间(mtbf)，确保到最终用户的单一连接具备高可用性。 rg-s7600支持冗余的管理模块可以确保交换机的调度和管理部分不发生单点故障，可以持续地提供运行能力。 采用了大量保障可靠性的网络技术 支持stp/rstp/mstp，支持vrrp和rerp tpp防止拓扑震荡 支持ecmp/wcmp 支持跨板链路聚合 支持rldp光纤链路故障检测 cpp保证cpu永不过载3.10槽/6槽/4槽设计 灵活支持多种网络环境，高密度的10槽/6槽设计，满足了未来用户网络汇聚层设备升级的需求。此外，还拥有万兆带宽的升级能力，可将来应用增加对带宽的需求将同步提升，可通过简单地增加万兆模块，轻松组建万

19、兆骨干网，充分地保护用户投资。 请根据实际需求按照主机箱及管理引擎、电源、主机线卡等几部分进行选购。1、主机箱及管理引擎 根据产品具体型号选择需配置的主机箱及管理引擎。型号描述rg-s7610主机箱及管理引擎s7610-base10扩展槽主机箱（含1个240w交流电源和风扇阵列柜，不含管理引擎模块）s7610-chassis10扩展槽主机箱（含风扇阵列柜，不含电源和管理引擎模块）m7610-cm ii二代管理引擎模块（可以冗余）rg-s7606主机箱及管理引擎s7606-base6扩展槽主机箱（含1个240w交流电源和风扇阵列柜，不含管理引擎模块）s7606-chassis6扩展槽主机箱（含风

20、扇阵列柜，不含电源和管理引擎模块）m7606-cm ii二代管理引擎模块（可以冗余）m7606-cm一代管理引擎模块（可以冗余）rg-s7604主机箱及管理引擎s7604-base4扩展槽主机箱（含1个240w交流电源和风扇阵列柜，不含管理引擎模块）s7604-chassis4扩展槽主机箱（含风扇阵列柜，不含电源和管理引擎模块）m7604-cm ii二代管理引擎模块m7604-cm一代管理引擎模块2、电源配置型号描述交流电源、直流电源 （可以选择交流电源，也可以选择直流电源，二者必配其一。）rg-pa240r交流电源模块（可以冗余，240w）poe供电组件 （需要poe功能时配置）m7600-

21、poepoe供电接入模块（配置在s7600机箱背部，需要poe功能时必配）待添加的隐藏文字内容3pse4000外置poe电源框，最大可配备两个电源模块（不配备poe-pa1200与poe-pa2000情况下必配）poe-pa1200poe供电系统（绑定一个rg-pa1200的pse4000，不配备外置poe电源框pse4000情况下，poe-pa1200与poe-pa2000必选配一个）poe-pa2000poe供电系统（绑定一个rg-pa2000的pse4000，不配备外置poe电源框pse4000情况下，poe-pa1200与poe-pa2000必选配一个）rg-pa1200交流电源模块（

22、可以冗余，1200w）rg-pa2000交流电源模块（可以冗余，2000w）rg-pd1200直流电源模块（可以冗余，1200w）3、主机线卡 根据具体情况选择主机线卡。型号描述m7600-48t48个10/100m 自适应百兆电口线卡m7600-6sfp/gt6个sfp/gt千兆复用口线卡m7600-24sfp/8gt16个mini-gbic千兆光口+8个sfp/gt千兆复用口线卡m7600-24gt24个10/100/1000m自适应千兆电口线卡m7600-48gt48个10/100/1000m自适应千兆电口线卡m7600p-48gt48个10/100/1000m自适应千兆电口poe线卡m

23、7600-01xfp1口xfp接口万兆线卡4、万兆光模块选配信息 根据具体情况选择万兆光模块。型号描述10gbase-sr-xfp万兆光纤sr接口模块（300米，2000mhz/km），配合xfp线卡使用10gbase-lr-xfp万兆光纤lr接口模块（10公里），配合xfp线卡使用10gbase-er-xfp万兆光纤er接口模块（40公里），配合xfp线卡使用4、汇聚层交换机技术指标产品型号rg-s3760-24rg-s3760-48rg-s3760-12sfp/gt固定端口24端口10/100m自适应端口，4个sfp接口，4个复用的10/100/1000m电口48端口10/100m自适应端

24、口，4个sfp接口，4个复用的10/100/1000m电口12个sfp接口和12个10/100/1000base-t的rj45 接口，光口和电口复用可用sfp模块mini-gbic-sx：单口1000base-sx mini gbic转换模块（lc接口）；mini-gbic-lx：单口1000base-lx mini gbic转换模块（lc接口）；mini-gbic-lh40：单口1000base-lh mini gbic转换模块（lc接口），40km；mini-gbic-zx50：单口1000base-zx mini gbic转换模块（lc接口），50km；mini-gbic-zx80：单口

25、1000base-zx mini gbic转换模块（lc接口），80km背板37.6gbps37.6gbps48gbpsipv4包转发速率l2：线速（9.6mpps）l2：线速（13.2mpps）l2：线速（18mpps）l3：线速（9.6mpps）l3：线速（13.2mpps）l3：线速（18mpps）ipv6包转发速率l2：线速（9.6mpps）l2：线速（13.2mpps）l2：线速（18mpps）l3：线速（9.6mpps）l3：线速（13.2mpps）l3：线速（18 mpps）mac16k802.1q vlan4kipv4 acl支持灵活多样的硬件acl，如标准ip acl（基于i

26、p地址的硬件acl）、扩展ip acl（基于ip地址、tcp/udp端口号的硬件acl）、mac扩展acl（基于源mac地址、目的mac地址和可选的以太网类型的硬件acl）、专家级acl （可同时基于vlan号、以太网类型、mac地址、ip地址、tcp/udp端口号、协议类型、时间等灵活组合的硬件acl）、时间acl等，提高对各种网络病毒和网络攻击的防御能力ipv6 acl & qos支持源/目的ipv6地址、源/目的端口、ipv6报文头的流量类型（traffic class）、时间选项的硬件ipv6 acl 和ipv6 qosl2协议ieee802.3、ieee802.3u、ieee802.

27、3z 、ieee802.3x、ieee802.3ad、ieee802.1p、ieee802.1x、ieee802.3ab、ieee802.1q (gvrp)、ieeee802.1d、ieee802.1w、ieee802.1s、igmp snooping v1/v2/v3、rldpl3协议ipv6、ospfv1/v2、ospf v3、ripv1/v2、pim（dm/sm/ssm）、dvmrp、vrrp、igmpv1/v2/v3ipv6协议支持icmpv6、ipv6动态路由协议ospfv3、支持多种tunnel隧道技术（如手工配置隧道、6to4隧道和 isatap隧道等）defeat ip sca

28、n（防ip扫描）支持管理协议snmpv1/v2c/v3、web(java)、cli(telnet /console)、rmon(1,2,3,9)、ssh、sntp、ntp、syslog其它协议protocol vlan、super vlan、dhcp server、dhcp client、dhcp relay、dns client、bootp、proxy arp、免费arpjumbo frame支持网络介质和最大传输距离1000base-sx：波长850nm，62.5/125um多模光纤线的最大传输距离为220m；50/125um多模光纤线的最大传输距离为500m；1000base-lx：波长

29、1310nm，62.5/125um多模光纤线的最大传输距离为550m；50/125um多模光纤线的最大传输距离为550m；9/125um单模光纤线的最大传输距离为10km；1000base-lh：波长1310nm，9/125um单模光纤线的最大传输距离为40km；1000base-zx：波长1550nm，9/125um单模光纤线的最大传输距离为50km和80km两种；尺寸（长 宽高mm）440 240 44mm440 325 44mm440 335 44mm电源160vac240vac50hz60hz功耗40w44w40w温度工作温度: 0c 到 45c存储温度: -40c 到 70c湿度工作

30、湿度: 10% 到 90% rh存储湿度: 5% 到 90% rh 典型应用一：校园网的扩展和升级（ipv6网络）连接并使用cernet2资源 在出口提供双栈设备，和需要使用cernet2资源的区域汇聚层采用双栈设备，通过二者间运行隧道，即可为需要使用cernet2资源的ipv4/ipv6用户提供快捷的连接，且不影响核心网络和现有ipv4网络的应用，稳定性好。内外提供ipv6网络资源 在ipv6服务器群出提供独立的双栈设备，和需要使用cernet2资源的区域汇聚层采用双栈设备，通过二者间运行隧道，即可为需要使用ipv6服务器资源的ipv4/ipv6用户提供快捷的连接，且不影响核心网络和现有ip

31、v4网络的应用，稳定性好。典型应用二：锐捷万兆ipv6网络实验室方案 可根据用户需要，在实验平台上灵活选择路由器、交换机和其它实验设备的数量。由于s3760系列交换机支持双协议栈，同时具备了ipv4和ipv6的处理体系，可以任由用户选择使用何种协议栈进行实验学习，非常方便网络实验室规模和实验课程的灵活扩展和升级。典型应用三：锐捷ipv6试验网 示意图中rg-s6800e以及对应的ipv6服务器通过rsr高度路由器接入到cernet2的地区骨干结点学校，形成大范围的ipv6试验网； 示意图中rg-s6800e、rg-s3760-12sfp/gt、rg-s3760-24、rg-s3760-48以及

32、对应的服务器形成了从核心到汇聚到接入的纯ipv6实验网环境； 在此实验环境中可以实现ipv6地址配置、ipv6路由、ipv6 dns、ipv6的web服务、ipv6的ftp服务等大部分ipv6实验。5、接入层交换机技术指标技术参数参数描述产品型号rg-s2052grg-s2026grg-s2026f固定端口48端口10/100m自适应端口，2个10/100/1000m电口和2个复用的sfp千兆光纤接口24端口10/100m自适应端口模块插槽1个扩展槽，可扩展堆叠模块，或千兆扩展模块2个扩展插槽，可扩展1个或2个百兆或千兆模块2个扩展插槽，可扩展1个或2个百兆模块可用模块堆叠模块、千兆扩展模块、

33、mini-gbic模块m2121s：单口1000base-sx模块m2121l：单口1000base-lx模块m2121t：单口1000base-tx模块（支持10/100/1000m自适应）m2101f：单口100base-fx模块m2101f-s：单口100base-fx单模模块m2101t：单口100base-tx模块堆叠模块m2101f：单口100base-fx模块m2101f-s：单口100base-fx单模模块m2101t：单口100base-tx模块背板19.2g包转发速率线速（13.2 mpps）线速（6.6mpps）mac地址8k802.1q vlan4kl2协议ieee80

34、2.3、ieee802.3u、ieee802.3z 、ieee802.3ab、ieee802.3x、ieee802.3ad、ieee802.1p、ieee802.1x、ieee802.1q、ieeee802.1d、ieee802.1w、ieee802.1s、igmp snooping v1/v2/v3ieee802.3、ieee802.3u、ieee802.3x、ieee802.3ad、ieee802.1p、ieee802.1x、ieee802.1q、ieeee802.1d、ieee802.1w、ieee802.1s、igmp snooping v1/v2/v3管理方式snmpv1/v2c/v

35、3、web、cli(telnet/console)、ssh、rmon(1,2,3,9)尺寸(长宽高)440mm 260mm 44mm440 mm240 mm44 mm 电源160vac240vac，48hz60hz功耗47w30w25w温度工作温度： 0 到 45存储温度：-40 到 70湿度工作湿度: 10% 到 90% rh存储湿度: 5% 到 90% rh 适用场合 各种类型网络接入层，可满足的应用需求有： 可对用户接入带宽进行灵活分配 需要高密度的端口接入 可对用户提供高安全的接入控制 需要千兆上链的网络环境需要灵活多样和方便易用的管理方式典型应用高校校园网接入应用中小学教育网接入应用

36、宽带小区接入应用中小企业、政府单位接入应用6、juniper isg1000防火墙技术指标isg 1000isg 2000最大性能和容量(1)本规格对应的screenos版本screenos 6.1screenos 6.1防火墙性能（大数据包） 2 gbps 4 gbps 防火墙性能（小数据包） 1 gbps 2 gbps 防火墙数据包转发性能/pps（64 字节数据包） 1.5 mpps 3 m pps aes256+sha-1 vpn 性能1 gbps 2 gbps 3des+sha-1 vpn 性能1 gbps 2 gbps 最多并发会话数(3)500,000 1,000,000 每秒新

37、建会话数（有背景流压力）(7)20,000 23,000 最多安全策略数 10,000 30,000 最多支持的用户数不限 不限 网络连接 固定 i/o 4个10/100/1000端口 0 接口扩展插槽2 4 局域网接口选项最多8个mini-gbic (sx, lx 或 tx)，最多8个 10/100/1000接口，最多20个10/100接口 ，最多2个10ge最多16个mini-gbic (sx, lx 或 tx)，最多8个10/100/1000接口，最多28个10/100接口, 最多4个10ge防火墙网络攻击检测是 是拒绝服务(dos)和分布式拒绝服务(ddos)防护 是是用于分段数据包保

38、护的 tcp 重组是是强行攻击缓解是是syn cookie 防护是是 基于区域的 ip 欺骗防护是是异常数据包保护是是集成 ips (可选的集成 idp)(2)(10) 状态协议签名是是攻击检测机制状态签名、流量异常检测、协议异常检测（零日防护），后门检测状态签名、流量异常检测、协议异常检测（零日防护），后门检测 攻击响应机制丢弃连接、结束连接、会话数据包日志、会话总结、电子邮件、定制丢弃连接、结束连接、会话数据包日志、会话总结、电子邮件、定制攻击通知机制 会话数据包日志、会话总结、电子邮件、snmp、系统日志、webtrends会话数据包日志、会话总结、电子邮件、snmp、系统日志、webt

39、rends 蠕虫防护是是通过建议的策略实现简单的安装 是是特洛伊木马防护是是间谍软件/广告软件/键盘记录软件防护是是其他恶意软件防护是是防止攻击从受感染系统扩散是是侦察防护 是是请求和响应端攻击防护 是是复合攻击将状态特征和协议异常相结合是是创建定制攻击特征是是定制访问上下文500+ 500+ 攻击编辑（端口范围等）是是流签名是是协议门限值是是状态协议签名是是所能防护的攻击的大概数量5,500+* 5,500+* 详细的威胁描述和补救措施/补丁信息是是企业安全事件探查器是是创建并执行适当的应用使用策略是是攻击者与攻击目标审计跟踪和报告是是部署模式串联或串联 tap串联或串联 tap更新频率每日

40、更新和紧急更新每日更新和紧急更新 *截至到2008年1月，共有5,50个签名，每周约增加10个新签名。统一威胁管理/内容安全性 (5) 深层检测签名包(4) 是是ips(深层检测防火墙)(4) 是是协议异常检测 是是状态协议签名 是是ips/深层检测攻击模式迷惑 是是icap 防病毒重定向 是是防垃圾邮件是是集成 url 过滤 是是外部 url 过滤 (6) 是是ip语音 (voip) 安全性 h.323 alg 是是sip alg 是是mgcp alg 是是sccp alg 是是面向voip协议的网络地址转换 是是gprs 安全性(10) gtp 隧道(7) 200,000 300,000

41、gtp 数据包检测(ips或 idp) 是是ipsec vpn 并发 vpn 隧道数(8) 2,000 10,000 隧道接口(8) 最多512个最多1,024个des(56位), 3des (168位)和aes (256位) 是是md-5和sha-1验证是是手动密钥, ike, pki (x.509)，ikev2/eap 是是完美转发密钥(dh组) 1,2,51,2,5防重放攻击是是远程接入vpn是是ipsec中的 l2tp是是ipsec nat 穿越是是冗余的vpn 网关 是是用户验证和接入控制 内置的(内部)数据库- 用户数量限制(8) 50,000 50,000 第三方用户验证 远程验

42、证拨入用户服务(radius), rsa securid和 ldap radius, rsa secureid, ldap radius 记账是 开始/结束 是 开始/结束xauth vpn 验证是是基于web的验证 是是802.1x 验证 是是统一接入控制执行点 是是pki 支持pki 证书请求（pkcs 7和 pics 10）是是自动证书登记（scep） 是是在线证书状态协议（ocsp） 是是支持的证书颁发机构verisign, entrust, microsoft, rsa keon, iplanet (netscape) baltimore, dod pki verisign, ent

43、rust, microsoft, rsa keon, iplanet (netscape) baltimore, dod pki 自签名证书是是虚拟化(10)最多虚拟系统数默认为 0，可升级到50 默认为 0,可升级到250 最多安全区域数默认为 20,可升级到120 默认为 26,可升级到526 最多虚拟路由器数默认为 3,可升级到53 默认为 3,可升级到253 最多支持的 vlan 数4,094 4,094路由bgp 实例8 64 bgp 对128 128 bgp 路由 10,000 20,000 ospf 实例 8 8 ospf 路由 4,096 6,000 rip v1/v2 实例 最多支持12个实例 最多支持50个实例 rip v2 表 10,000 20,000 动态路由是 是 静态路由10,000 20,000 基于源的路由是是基于策略的路由是是ecmp 是是组播是是反向路径转发(rpf) igmp (v1, v2) igmp 代理pim sm pim ssm是是 是 是是是是是是是ipsec 隧道内的组播