渠道培训无线宽带及MSR新特性

1、1H3C 3GH3C 3G无线宽带及新特性培训无线宽带及新特性培训H3C 商业技术部马达 135110605002目录3G无线宽带接入方案无线宽带接入方案金融接入方案金融接入方案可定制解决方案可定制解决方案 解决方案解决方案病毒防御解决方案病毒防御解决方案以上均为基于H3C 多业务路由器实现，支持上述功能的最新软件版本已经正式发布。33G来了请问，以下请问，以下3G宣传口号各是哪家运营商的？宣传口号各是哪家运营商的？请问，各家运营商分别采用的是哪种请问，各家运营商分别采用的是哪种3G标准？标准？中国电信中国移动中国联通中国电信中国移动中国联通2000H3C 也已正式发布了也已正式发布了3G宽带

2、接入方案！宽带接入方案！ 全面支持三种全面支持三种3G标准！标准！4更多3G背景知识移动通信技术发展历程。更多知识请参考本页备注说明。更多知识请参考本页备注说明。中联通当前主中联通当前主流流2G技术：技术：中移动当前主中移动当前主流流2G技术：技术：速率速率上限上限85.6k7.2M速率速率上限上限153k3.1M2.8M5H3C 哪些产品支持3G？n 融合融合3G3G方式：方式：n 通过外接通过外接3 3n客户自购接口客户自购接口3G3G上网卡，插入上网卡，插入 接口，简单配置即可使用！接口，简单配置即可使用！n操作类似接入操作类似接入 的使用方式。的使用方式。n一些运营商会打包销售一些运营

3、商会打包销售3G3G包月服务送上网卡，总体成本可能会便宜包月服务送上网卡，总体成本可能会便宜。n 提供专用的提供专用的3G3G无线模块无线模块n客户采购客户采购H3C 3GH3C 3G无线模块，插入无线模块，插入 插槽，简单配置即可使用！插槽，简单配置即可使用！n操作类似插入一块操作类似插入一块 模块。模块。 n内置于路由器更安全，和普通接口一样可提供全面网管手段内置于路由器更安全，和普通接口一样可提供全面网管手段n需另外向运营商购买需另外向运营商购买3G3G上网服务费，总体成本略贵。上网服务费，总体成本略贵。H3C 全系列产品均可支持全系列产品均可支持3G！该接口将被运营商分配一个动态公网地

4、址，可直接上或配置互联。该接口将被运营商分配一个动态公网地址，可直接上或配置互联。6H3C 支持3G有哪些优势？融合3G优势： 可以直接提供灵活、方便的高速无线上网； 对有线通信链路提高智能备份、负载分担等，提高链路高可靠性。 采用路由器强大的安全和数据加密功能，在3G自身安全措施基础上，进一步大幅提升3G无线通信应用安全性。 结合款型或插卡，一台仅需连接电源线就能提供3G无线和无线直接的信息交换，带来了组网的极大便利性。 3G通信接口的标准化保证了3G模块功能的完善性。 灵活的方式，可以让客户既能平时自用笔记本上网，又能应急。 在监控编解码器后配合3G组网，可以提供非常灵活的无线监控。7n

5、接入特性接入特性n 、包过滤防火墙、状态防火墙、攻击防范、包过滤防火墙、状态防火墙、攻击防范、p2pp2p限流、链限流、链路备份、路备份、 多链路负载分担。多链路负载分担。n 业务特性业务特性n L2 L2、 、 、各种路由协议、策略路由、各种路由协议、策略路由、 接入、隔离、端口安接入、隔离、端口安全、语音。全、语音。n 管理特性管理特性n 069 069远程管理、本地管理配置、链路和接口状态监测。远程管理、本地管理配置、链路和接口状态监测。H3C 3GH3C 3G宽带接入如何应用？宽带接入如何应用？中国移动在固网接入资源上的缺乏，导致其将大力推动3G宽带接入。运营商竞争及3G网日渐成熟，3

6、G接入势必在更多组网中替代或补充有线接入。几种典型组网，供参考：独立小企业、总部/分支互联、金融机、移动或野外通信组网中常用到的软件特性：8独立的中小企业组网应用独立的中小企业组网应用1、实现内部联网,既可以采用以太网有线连接方式,也可以采用无线连接方式；2、上行可以采用独立的3G无线通信方式,也可以采用3G无线接口作为有线连接的备份及负载分担方式进行通信；路由器无线2000 9总部总部/ /分支型企业组网应用分支型企业组网应用1、企业利用设备实现总部和分支之间的联网,分支节点的设备可以采用3G无线或与有线通信结合的方式；2、考虑到应用安全,分支机构可以和总部设备采用技术,具体采用哪种技术根据

7、实际情况和应用需求而定。一般来说,对于分支有网点路由器时适合采用 ；3、公司总部运维中心可采用或069方式实现路由器的集中管理。网管中心企业分支企业分支2服务器应用服务器企业中心企业中心企业分支企业分支1数据加密隧道10金融机无人值守银行应用金融机无人值守银行应用1、金融网点无人值守银行的机采用作为接入设备，该设备放到机里面，通过3G无线连到银行网络中心；2、考虑到应用安全，机里面的路由器与中心的设备实现数据加密功能。3G无线数据加密机机11野外或移动通信应用场景野外或移动通信应用场景1、对于物理位置不固定的网络通信业务，很合适采用路由器的3G通信方案，如救护车、警车、公交、移动指挥车、获取有

8、线资源的场所也适合采用这种3G无线通信方案；2、考虑到应用安全，路由器与中心的设备实现数据加密功能。总部总部数据加密 移动指挥车海上采油平台12H3C 3GH3C 3G配置复杂吗？配置复杂吗？配置很简单：用配置很简单：用 网管直接配置和管理网管直接配置和管理3G 接口卡、接口卡、3G 上网卡上网卡步骤1：步骤2：步骤3：13H3C 3GH3C 3G接口状态可实时掌握接口状态可实时掌握以上即为采用中国电信 2000 3G上网卡（ 1260 ）的状态信息14H3C H3C 已支持哪些已支持哪些3G3G模块？模块？支持的标准850/1900/2100 850/900/1800/1900 速率: :

9、85.6 : 85.6 : : 236.8 : 236.8 : : 384 : 384 : 7.2 : 2 物理接口卡接口外型尺寸功耗3 3模块模块: :3是路由器产品的 3G接入模块。在3卡中嵌入一个3G模块,使全系列路由器产品平滑升级支持3G无线接入,其功能与外置3G 完全一致。支持3 99、5标准。支持()、五种数据业务模式。15H3C H3C 已支持哪些已支持哪些 3G 3G 上网卡？贵吗？上网卡？贵吗？3G3G协议协议生产厂家生产厂家型号型号参考市场价格参考市场价格外接天线外接天线华为华为E226E226未知未知不支持不支持E156E156￥420.00420.00支持支持E160E

10、160￥400.00400.00支持支持E169E169￥1,200.001,200.00支持支持E170E170￥760.00760.00不支持不支持E172E172￥895.00895.00不支持不支持E176E176未知未知支持支持875U875U￥920.00920.0020002000华为华为226226￥550.00550.00不支持不支持169169￥450.00450.00不支持不支持12601260￥430.00430.00不支持不支持中兴中兴87108710￥460.00460.00不支持不支持华为华为128128￥650.00650.00不支持不支持套餐月费套餐月费 包含

11、国内包含国内流量流量 超出后超出后资费资费 150元/月 3 0.1元 200元/月5300元/月103G上网卡资费套餐供参考： （中国联通）可见，通过可见，通过H3C ，企业用户可，企业用户可以用较低的成本就能实现以用较低的成本就能实现3G无无线宽带接入！线宽带接入！16目录3G无线宽带接入方案无线宽带接入方案金融接入方案金融接入方案可定制解决方案可定制解决方案 解决方案解决方案病毒防御解决方案病毒防御解决方案以上均为基于H3C 多业务路由器实现17H3CH3C金融接入业务金融接入业务H3CH3C于于20022002年年6 6月份推出基于中低端路由器的接入方案，它是全球第一家也是目前月份推出

12、基于中低端路由器的接入方案，它是全球第一家也是目前唯一的一家提供基于通用网络设备平台的接入方案。唯一的一家提供基于通用网络设备平台的接入方案。应用情况：近应用情况：近20002000块单板，共块单板，共1000010000多个模拟接入端口多个模拟接入端口 10001000多台路由器提供接入设备的应用多台路由器提供接入设备的应用研发维护队伍：研发维护队伍：200200人的中低端路由器产品开发和维护队伍人的中低端路由器产品开发和维护队伍售后支持队伍：售后支持队伍： 统一纳入到公司的整个维护服务体系统一纳入到公司的整个维护服务体系 18拨号接入方式拨号接入方式19拨号接入方式拨号接入方式 使用小交换

13、机拨号，节省通信费用 接入机的数量易于控制，不受外面商户的影响大型商场大型商场小交换机20无线接入方式无线接入方式无线 不需要布线，适合于场所不固定或有线通信线路资源紧缺的场合交易速度快但线路不是很稳定，另外，安全性需要加以考虑21异步串口专线接入方式异步串口专线接入方式 使用小交换机拨号，节省通信费用 接入机的数量易于控制，不受外面商户的影响大型商场大型商场异步串口22H3C H3C 金融接入功能金融接入功能 下联方式：支持的模拟拨号接入方式支持无线3G的接入方式支持异步串口的专线接入方式支持以太网机接入方式支持接入方式 上联方式：支持基于任何接口和通信链路的连接方式（以太网、专线、E1等等

14、）支持基于异步串口方式的上行连接方式 业务特性和功能：支持8583标准协议支持标准（允许转发2K大小的报文）支持协议、V.22 协议（同步1200）支持基于机制的多应用映射功能支持智能拨号备份功能23H3CH3C方案主要特点方案主要特点基于基于H3C路由器的接入方案主要有如下特点：路由器的接入方案主要有如下特点：基于标准和通用的网络通信平台，易于配置和维护管理，适应网络化和一体化潮基于标准和通用的网络通信平台，易于配置和维护管理，适应网络化和一体化潮流流支持标准的协议：支持标准的协议：8583协议、协议、V.22 、协议等、协议等支持标准，能够转发支持标准，能够转发2K大小的报文大小的报文主机

15、设备系列丰富，接入密度高（单机最高支持主机设备系列丰富，接入密度高（单机最高支持48路模拟接入）路模拟接入）配置简单方便，通过命令行或网管即可实现配置简单方便，通过命令行或网管即可实现可管理性强，并实现对设备、板卡和业务的统一的网管可管理性强，并实现对设备、板卡和业务的统一的网管24H3CH3C方案主要优势方案主要优势基于基于H3C路由器的接入方案主要有如下优势：路由器的接入方案主要有如下优势： 相对于专用接入设备，具有很高的性价比优势相对于专用接入设备，具有很高的性价比优势 路由器处理性能强，硬件资源配置高，能够适应高负荷的业务路由器处理性能强，硬件资源配置高，能够适应高负荷的业务 兼容性好

16、，对现有的应用环境不需要做任何改动，有效保护用户的投资兼容性好，对现有的应用环境不需要做任何改动，有效保护用户的投资 数据网络功能强大，提供其它丰富的网络增值服务，如哑终端接入、接入、语音等数据网络功能强大，提供其它丰富的网络增值服务，如哑终端接入、接入、语音等业务业务 安全性高，可利用路由器的认证、加密等手段保证业务的安全安全性高，可利用路由器的认证、加密等手段保证业务的安全 依赖网络设备灵活多样的备份技术和机制提供金融接入的高可靠性依赖网络设备灵活多样的备份技术和机制提供金融接入的高可靠性25支持的路由器和单板模块支持的路由器和单板模块 50-60 30-606个插槽，最大可提供6*6=3

17、6路拨号接入端口，同时支持两个固定的千兆以太网接口，转发性能为360（64字节），提供外置冗余电源模块（4646）支持每个模块上4、6个接口两种规格，其中4/6拨用于系列设备，4/6用于系列，支持模块热插拔功能。6个插槽，最大可提供6*6=36路拨号接入端口，同时支持两个固定的千兆以太网接口，转发性能为8002（64字节，提供两种转发性能的主控板），该设备提供物理硬件的高可靠性：冗余双电源，电源模块、风散和接口模块的热插拔功能26兼容的终端兼容的终端基于基于H3CH3C中低端路由器的接入方案同国内市场出现的几乎所有终端类型有个兼容测中低端路由器的接入方案同国内市场出现的几乎所有终端类型有个兼容

18、测试或配合使用，并得到了网上实际应用的检验和验证。试或配合使用，并得到了网上实际应用的检验和验证。兼容的终端型号有：兼容的终端型号有： 实达实达 瑞柏瑞柏 国光国光 安智安智 百富百富 利普门利普门 新大陆新大陆 银达银达 27和传统基于网控器的接入方案对比和传统基于网控器的接入方案对比对比项目对比项目路由器方案路由器方案网控器方案网控器方案单路接入端口成本单路接入端口成本2000-5000元（接口密度越高，成本越低） 10000元以上模拟接入密度模拟接入密度单台设备可支持48路模拟接入最大可支持30路模拟接入（16个槽位的）接入速度和接通率接入速度和接通率1、通过实验室同样环境试验，交易时间

19、要比网控器快1秒以上2、得到很多用户反馈，路由器比网控器的交易快和接通率高同左设备通用性设备通用性基于通用的路由器网络设备专用设备配置管理和维护配置管理和维护1、基于命令行（串口和）方式配置、调试和信息查询2、基于通用的网管方式需要采购单独的管理软件易用性易用性配置简单，几条命令即可完成业务配置需要通过专门的软件进行配置，比较烦琐和复杂，增值功能和安全性增值功能和安全性提供除接入之外的路由器通信功能及增值服务，并可以利用路由器的安全特性加强数据的安全和可靠性功能专一，其它增值功能较少E1E1高密接入功能高密接入功能暂时不支持（预计2009年三季度末提供）支持28H3CH3C公司接入方案的应用案

20、例介绍公司接入方案的应用案例介绍H3CH3C公司于公司于20022002年年6 6月份就推出基于中低端路由器的接入方案，在国内几乎全部的月份就推出基于中低端路由器的接入方案，在国内几乎全部的金融系统中得到了广泛的应用，包括四大银行、中小行及邮政等各个金融系统，并金融系统中得到了广泛的应用，包括四大银行、中小行及邮政等各个金融系统，并且利用且利用H3CH3C路由器完成全省范围内改造的案例很多。路由器完成全省范围内改造的案例很多。安徽建行全省联网河北建行全省联网山西省建行全省联网四川建行网控器升级改造贵州建行接入改造广东建行外币卡收单业务处理系统接入改造天津建行接入改造吉林建行接入改造工行接入改造

21、福建分行工行接入改造四川分行工行接入改造辽宁分行工行接入改造云南分行江西省工行接入改造青岛工行接入改造广西农行接入河南农行接入安徽农行接入北京银行接入攀枝花商业银行西安商业银行河北交通银行联网改造贵州邮政接入项目山东中行部分地市的改造广西中行全省接入改造29目录3G无线宽带接入方案无线宽带接入方案金融接入方案金融接入方案可定制解决方案可定制解决方案 解决方案解决方案病毒防御解决方案病毒防御解决方案以上均为基于H3C 多业务路由器实现30可定制可定制 介绍介绍（ ，交互式语音应答系统）在语音应用中使用非常广泛，主要用来定制交互的，交互式语音应答系统）在语音应用中使用非常广泛，主要用来定制交互的操

22、作过程，协助其它业务达到更人性化的目的。操作过程，协助其它业务达到更人性化的目的。可定制语音功能实现由用户根据自己的实际需求定制满足不同业务需要的交互式可定制语音功能实现由用户根据自己的实际需求定制满足不同业务需要的交互式语音操作过程，例如添加，修改，删除声音文件及流程等。使得用户在拨打语音操作过程，例如添加，修改，删除声音文件及流程等。使得用户在拨打接入号，处理各类业务时，操作更加清晰，易懂。在语音的提示指导下，快接入号，处理各类业务时，操作更加清晰，易懂。在语音的提示指导下，快速完成相关的业务办理。速完成相关的业务办理。31应用举例应用举例用户拨打接入系统播放提示音”欢迎访问系统, 查号请

23、拨0，转接张三请按1,转接李四请按 2，转接王五请按3转接张三用户按1用户按2转接李四人工台用户按0应用举例：应用举例：用户按3转接王五32可定制可定制 技术技术传统的交互式语音系统采用固定的操作流程，用户不能根据自己的需求改变声音文件及流程。语音系统传统的交互式语音系统采用固定的操作流程，用户不能根据自己的需求改变声音文件及流程。语音系统可以由用户根据自己业务需要定制符合自己的交互式语音系统，主要功能如下：可以由用户根据自己业务需要定制符合自己的交互式语音系统，主要功能如下：可定制提示音可定制提示音本系统中的提示音可以采用独立文件的形式存储在设备上，用户可根据自己的需求录制个性化的提示音，本

24、系统中的提示音可以采用独立文件的形式存储在设备上，用户可根据自己的需求录制个性化的提示音，然后使用然后使用H3CH3C公司提供的转换工具对录制的声音文件进行格式转换，最后再将转换后的文件下载到公司提供的转换工具对录制的声音文件进行格式转换，最后再将转换后的文件下载到语音设备上，就能够播放用户定制的提示音。系统中的提示音文件的添加、删除、修改操作简单，语音设备上，就能够播放用户定制的提示音。系统中的提示音文件的添加、删除、修改操作简单，使用方便，即时生效。使用方便，即时生效。可定制流程可定制流程用户可以根据业务需求轻松定制人机交互流程，可以配置自己的接入号，可以定制提示声音，可以配置用户可以根据

25、业务需求轻松定制人机交互流程，可以配置自己的接入号，可以定制提示声音，可以配置同提示音结合的按键流程等。同提示音结合的按键流程等。可定制出错处理机制可定制出错处理机制在节点和节点下可以定制当前节点用户出错后的处理方式，目前提供的出错处理机制有三种方式：结束在节点和节点下可以定制当前节点用户出错后的处理方式，目前提供的出错处理机制有三种方式：结束呼叫；跳转到某个指定节点；返回上级节点。出错处理机制既可以在节点下配置，也可以进行全局呼叫；跳转到某个指定节点；返回上级节点。出错处理机制既可以在节点下配置，也可以进行全局配置。配置。可定制超时处理机制可定制超时处理机制在节点和节点下可以定制当前节点用户

26、按键超时后的处理方式，目前提供的超时处理机制有三种方式：在节点和节点下可以定制当前节点用户按键超时后的处理方式，目前提供的超时处理机制有三种方式：结束呼叫；跳转到某个指定节点；返回上级节点。超时处理机制既可以在节点下配置，也可以进行结束呼叫；跳转到某个指定节点；返回上级节点。超时处理机制既可以在节点下配置，也可以进行全局配置。全局配置。33可定制可定制 技术技术编码格式丰富编码格式丰富系统提供丰富的编码格式，目前支持的四种提示音语音格式：系统提供丰富的编码格式，目前支持的四种提示音语音格式：G.711G.711、G.711G.711、G.723r53G.723r53和和G.729r8G.729

27、r8。这些格式可以使用。这些格式可以使用H3CH3C公司提供的转换工具进行相互转换。各种格式优缺点互公司提供的转换工具进行相互转换。各种格式优缺点互补，补，G.711G.711，G.711G.711格式音质好，但是占用的存储空间大；格式音质好，但是占用的存储空间大；G.723r53G.723r53、G.729r8G.729r8格式音质格式音质稍差点，但是占用存储空间小。稍差点，但是占用存储空间小。采用节点方式采用节点方式主要以节点为单位进行配置活动，简化用户的配置，便于使用。共有三类节点，节点、节点、主要以节点为单位进行配置活动，简化用户的配置，便于使用。共有三类节点，节点、节点、节点，每类节

28、点完成单一功能，组合在一起可以实现复杂的功能。节点，每类节点完成单一功能，组合在一起可以实现复杂的功能。 节点：实现二次呼叫功能。节点：实现二次呼叫功能。 节点：定制用户选择按键流程。节点：定制用户选择按键流程。 节点：实现立即二次呼叫、自动跳转、结束呼叫和放音等功能。节点：实现立即二次呼叫、自动跳转、结束呼叫和放音等功能。支持的跳转级别多支持的跳转级别多可以配置连续可以配置连续8 8级的跳转。级的跳转。二次呼叫类型丰富二次呼叫类型丰富支持立即二次呼叫、普通二次呼叫和扩展二次呼叫。支持立即二次呼叫、普通二次呼叫和扩展二次呼叫。立即二次呼叫：用户不需要拨入任何电话按键即可进行的二次呼叫为立即二次

29、呼叫，立即二立即二次呼叫：用户不需要拨入任何电话按键即可进行的二次呼叫为立即二次呼叫，立即二次呼叫通过节点实现。次呼叫通过节点实现。普通二次呼叫：输入两次号码才能完成的呼叫称为普通二次呼叫，可以根据实际业务需要，普通二次呼叫：输入两次号码才能完成的呼叫称为普通二次呼叫，可以根据实际业务需要，选择根据匹配号码的长度、配置结束符或随时匹配号码三种方式中的一种来实现普通二次选择根据匹配号码的长度、配置结束符或随时匹配号码三种方式中的一种来实现普通二次呼叫，普通二次呼叫通过节点实现。呼叫，普通二次呼叫通过节点实现。扩展二次呼叫：通过配置输入的号码和扩展二次呼叫的电话号码的对应关系，可以实现通过扩展二次

30、呼叫：通过配置输入的号码和扩展二次呼叫的电话号码的对应关系，可以实现通过拨打扩展号的扩展二次呼叫。拨打扩展号的扩展二次呼叫。34H3C 典型组网应用典型组网应用总部分支机构 50 30 客户端客户端为自带软件特性，无需另配硬件模块。通常应用在、整网方案中。35目录3G无线宽带接入方案无线宽带接入方案金融接入方案金融接入方案可定制解决方案可定制解决方案 解决方案解决方案病毒防御解决方案病毒防御解决方案以上均为基于H3C 多业务路由器实现36 是以（是以（ ，安全的，即支持的协议）为基础的技术，安全的，即支持的协议）为基础的技术，工作在传输层和应用层之间。工作在传输层和应用层之间。 充分利用了协议

31、提供的充分利用了协议提供的基于证书的身份认证、数据加密和消息完整性验证机基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。制，可以为应用层之间的通信建立安全连接。与企业现有认证服务器结合、对用户行为进行审与企业现有认证服务器结合、对用户行为进行审计，从功能上有网络访问、网上应用程序、文件计，从功能上有网络访问、网上应用程序、文件共享、移动电子邮件、应用程序访问、传统主机、共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，可以提供应用和应用访终端服务器等众多功能，可以提供应用和应用访问，并非只能解决应用。问，并非只能解决应用。1 12 23 3

32、什么是什么是 能提供什么功能能提供什么功能谁需要用谁需要用 概述概述企业的员工可以在家中、路上、网吧、旅馆，使用企业的员工可以在家中、路上、网吧、旅馆，使用自己的、别人的、公用的电脑或手机，通过网络、自己的、别人的、公用的电脑或手机，通过网络、小区宽带网络、移动电话网络、无线网络等多种接小区宽带网络、移动电话网络、无线网络等多种接入网络，远程访问公司的信息系统。入网络，远程访问公司的信息系统。合作伙伴等非员工有限访问某些服务器、页面或文合作伙伴等非员工有限访问某些服务器、页面或文件，提高企业生产率。件，提高企业生产率。 37 系统一般由五部分组成：1）远程主机：是用户远程接入的终端设备，可以是

33、个人电脑、手机、等，其上运行主要的客户端软件有： 浏览器、主机检查器、 缓存清除器、接入客户端、 接入客户端2） 网关：是建立 所需的唯一网络设备，它包括： 用户登录管理模块、 接入模块、 接入模块、 接入模块。3）服务器： 网关需要服务器提供的公钥证书，才能建立加密连接。此外，企业还可以部署系统，使用户通过证书进行身份认证。 4）认证服务器： 网关一般都支持本地认证，即使用 网关上的认证数据库对用户的身份进行认证。此外，为了更好地与原有网络系统集成， 网关还支持通过外部的认证服务器对用户的身份进行认证。一般支持的认证方式有：、等。 5）网络服务器：可以是各种应用服务器，如：服务器、数据库服务

34、器、文件共享服务器、等等。 系统组成系统组成38l 路由器跨接在内网和外网之间，作为网关设备。处在内外通讯的关键路径上，其性能和稳定性对内外网之间的数据传输有很大的影响。 典型部署双臂模式MSR路由器认证服务器应用服务器InternetInternet企业网络39l 路由器只相当于一台代理服务器，代理远程的请求，与内部服务器进行通讯。此时不处在网络通讯的关键路径上，不会造成单点故障。 典型组网单臂模式MSR 路由器认证服务器应用服务器InternetInternet企业网络40 优点优点 利用协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，为用户远程访问公司内部网络提供了安全保证。

35、H3C 系列路由器 具有如下优点：1 1、支持各种应用协议、支持各种应用协议 任何一个应用程序都可以直接享受任何一个应用程序都可以直接享受 提供的安全性而不必理会具体细节。提供的安全性而不必理会具体细节。 将应用协议提供的服务资源将应用协议提供的服务资源划分为三类：划分为三类： 接入方式下的访问资源：是指用户使用浏览器以方式通过接入方式下的访问资源：是指用户使用浏览器以方式通过 网关对服务器提供的资源进行访问。接入网关对服务器提供的资源进行访问。接入方式下的访问资源有两种：文件共享资源和代理服务器资源。方式下的访问资源有两种：文件共享资源和代理服务器资源。 接入方式（也称接入方式（也称“端口转

36、发端口转发”方式）下的访问资源：用于实现用户应用程序对服务器开放端口的安全方式）下的访问资源：用于实现用户应用程序对服务器开放端口的安全访问，包括远程访问服务、桌面共享服务、邮件服务和通用应用程序服务资源。访问，包括远程访问服务、桌面共享服务、邮件服务和通用应用程序服务资源。 接入方式（也称接入方式（也称“网络扩展网络扩展”方式）下的访问资源：用于实现用户终端与服务器网络层之间的安全方式）下的访问资源：用于实现用户终端与服务器网络层之间的安全通信，进而实现所有基于的应用与服务器的互通。通信，进而实现所有基于的应用与服务器的互通。41优点续优点续12 2、部署简单、部署简单 目前协议已被集成到大

37、部分的浏览器中，如、等。这就意味着几乎任意一台装有浏览器的计算机都目前协议已被集成到大部分的浏览器中，如、等。这就意味着几乎任意一台装有浏览器的计算机都支持连接，通过它们访问接入方式下的资源（资源、共享文件资源等）时不需要安装额外的客户端软件；支持连接，通过它们访问接入方式下的资源（资源、共享文件资源等）时不需要安装额外的客户端软件；访问接入方式下和接入方式下的资源时，需要在客户端安装专用的软件，安装过程非常简单。访问接入方式下和接入方式下的资源时，需要在客户端安装专用的软件，安装过程非常简单。3 3、个性化的用户界面、个性化的用户界面 个人页面为用户提供了非常灵活的界面显示方式。管理员可以为

38、用户设计多种不同风格的界面，如个人页面为用户提供了非常灵活的界面显示方式。管理员可以为用户设计多种不同风格的界面，如修改页面的图片、欢迎页面的文字内容、文字字体和颜色等。用户根据自己的喜好选择合适的风格模板、修改页面的图片、欢迎页面的文字内容、文字字体和颜色等。用户根据自己的喜好选择合适的风格模板、修改个人界面的标题，从而满足不同用户的个性化需求。修改个人界面的标题，从而满足不同用户的个性化需求。4 4、支持多种用户认证方式、支持多种用户认证方式 除了可以利用协议本身提供的证书认证机制，对客户端进行身份确认外，除了可以利用协议本身提供的证书认证机制，对客户端进行身份确认外， 还支持四种认证方式

39、：本还支持四种认证方式：本地认证、认证、认证、认证地认证、认证、认证、认证5 5、实现了对网络资源的细粒度的控制访问、实现了对网络资源的细粒度的控制访问 采用基于角色的权限管理方法，根据登录用户的身份，限制用户访问的资源，从而方便灵活地控制采用基于角色的权限管理方法，根据登录用户的身份，限制用户访问的资源，从而方便灵活地控制用户访问权限。用户访问权限。 42优点续优点续26 6、对客户端主机进行安全评估、对客户端主机进行安全评估 在远程主机请求接入时，网关会在客户端下载一个小程序对主机的安全状态进行检查。可以检查主机在远程主机请求接入时，网关会在客户端下载一个小程序对主机的安全状态进行检查。可

40、以检查主机的操作系统版本及其补丁、浏览器版本及其补丁、防火墙版本、杀毒软件版本等等。通过对主机安全状态的操作系统版本及其补丁、浏览器版本及其补丁、防火墙版本、杀毒软件版本等等。通过对主机安全状态的评估，可以判断远程主机是否安全，以及安全程度的高低。进而对用户访问权限进行限制。的评估，可以判断远程主机是否安全，以及安全程度的高低。进而对用户访问权限进行限制。 7 7、 动态授权动态授权 传统的权限控制主要是根据用户的身份进行授权，同一身份的用户在不同的地点登录，行使相同的权传统的权限控制主要是根据用户的身份进行授权，同一身份的用户在不同的地点登录，行使相同的权限，故称之为静态授权。而动态授权是指

41、：对用户授权时，在静态授权的基础上，结合用户登录时远程主限，故称之为静态授权。而动态授权是指：对用户授权时，在静态授权的基础上，结合用户登录时远程主机的安全状态，对所授权利进行动态地调整。当发现远程主机不够安全时，应当开放较小的访问权限；在机的安全状态，对所授权利进行动态地调整。当发现远程主机不够安全时，应当开放较小的访问权限；在远程主机安全性较高时，则开放较大的访问权限。远程主机安全性较高时，则开放较大的访问权限。8 8、高性能的加密能力、高性能的加密能力 特性支持多种加密算法、摘要算法和数字签名算法，同时可以加装采用专业的高性能加密协议处理特性支持多种加密算法、摘要算法和数字签名算法，同时

42、可以加装采用专业的高性能加密协议处理芯片的加密扣卡，大大增强了网关处理报文的能力。芯片的加密扣卡，大大增强了网关处理报文的能力。43 卖点强大的平台路由器是H3C公司专门面向行业分支机构和大中型企业推出的全新一代路由器网络产品，该系列产品将安全、交换、语音、无线和开放式业务完美地集成在一起，能够为企业用户提供一体化的网络解决方案，同时可充分满足未来业务扩展的多元化应用需求。强大的路由转发平台提供保证强大的路由转发平台提供保证44 卖点丰富的模块接口 作为路由器安全业务下的一个子功能模块，不仅具有 本身强大的功能和丰富的特性，而且具有同路由器其它业务模块配合提供更多的业务能力，如结合路由器的技术

43、可提供灵活和可靠的业务保证，结合技术可以提供基于 的语音电话，结合路由器独特的、技术可以提供高可靠性的保障等等，总之，基于路由器的 完全可以等同于一个专业 产品，同时还具有专业产品所不具有的高性价比特点，用户用较低的成本不仅买到了等同于专业 的设备，而且还得到了更多的产品附加的增值功能，真正体现的是“物超所值”！ 丰富的模块接口实现功能扩展丰富的模块接口实现功能扩展45 卖点多种技术一体实现多种技术的统一和硬件加速方案的共享实现多种技术的统一和硬件加速方案的共享 路由器设备的安全功能和技术最为丰富和完善，几乎囊括目前实际组网应用中的各种技术，目前支持 、L2、和 几种技术，特别是在实际应用组网

44、过程中会同时需要部署和实施几种技术时，如总部和分支机构之间采用 实现通信，而对于移动办公和出差人员则采用 技术来实现通信，对于这种组合应用，路由器提供了最为灵活的选择方案。 路由器在实现技术的同时也充分地考虑到了硬件资源的共享以最大程度地保护用户投资和提高部署实施的便利性。基于路由器的加密扣卡不仅可以实现 的硬件加速，也可以实现 的硬件加密功能，这不仅提高了 和 的加密效率，还保证可以共享相同的硬件资源，这种价值保护对于用户来说是最需要的。 46 卖点全面的安全性传输加密 采用标准的 协议，建立加密连接。协议具有反中间人攻击、反劫持等较强的抗攻击能力。身份认证 用户使用页面登录，可以提交用户名

45、和密码进行身份认证。如果采用符合标准的智能卡，通过浏览器就可以轻松实现对用户身份的证书认证。权限管理 终结连接，解析远程请求，向内部服务器进行转发。因而可以有较高的应用识别和访问控制能力。防病毒入侵 对客户端进行安全状态的检查，对不安全的客户端可以限制其访问权限或者拒绝访问，从而避免网络危害的入侵。全面的安全性全面的安全性 47 卖点方便的接入方式任何地点 协议报文承载于报文之中，传输时不改变报文头和报文头，因而不会受到的影响，产生互联方面的问题。在穿越防火墙时，只需要防火墙打开的443端口即可，减少了外部入侵的危险。任何时间 可以比较容易地实现用户名/密码认证，或者证书认证，因而可以有效保证

46、动态创建起来的连接是安全的。任何设备如果用户只打算访问应用，通过浏览器就可以使用 了。如果用户需要运行一些基于通讯的应用程序，则可以在登录 网关后，通过网页下载相应的客户端做到。由于大多数操作系统都提供浏览器，因而 在各种硬件平台(台式机、笔记本、手机、)和软件平台(、)上得到广泛的支持。方便的接入方式方便的接入方式48 卖点灵活的使用维护免安装 为了支持某些应用程序，需要使用客户端。但这些客户端可以通过网页自动下载，自动配置，自动运行。免维护 在用户退出 系统时， 的客户端会将下载的客户端程序以及各种配置、临时文件一并清除。下次登录时，会重新下载最新的客户端程序。这样一来 的维护工作都集中在

47、网关上，减少了维护客户端的工作量。灵活的使用维护灵活的使用维护49 卖点完善的功能集成认证的集成 采用方式进行登录认证，在获取用户名和密码后，可以通过与认证服务器的交互进行验证，从而很好地实现了与网络中已有认证系统的集成。应用的集成接入方式提供类似 的远程接入功能，可以实现远程主机与内部网络层的互联。接入方式可以在不开放内部网络的情况下，支持应用程序的远程访问。接入方式可以限制远程主机只能访问有限的地址或文件目录，避免了内部网络资源对外部的暴露。完善的功能集成完善的功能集成50目录3G无线宽带接入方案无线宽带接入方案金融接入方案金融接入方案可定制解决方案可定制解决方案 解决方案解决方案病毒防御

48、解决方案病毒防御解决方案以上均为基于H3C 多业务路由器实现51病毒根源在协议自身缺乏安全机制病毒根源在协议自身缺乏安全机制硬件类型字段：表示硬件地址的类型，如果是以太网地址，此字段值为1。协议类型字段：表示要映射的协议地址类型，如果是地址，此字段值为0 x0800。硬件地址长度和协议地址长度：分别表示硬件地址和协议地址的字节长度，报文中占用的字段长度都是1个字节。对应于以太网中的请求和应答，两个字段的值分别是6和4，即分别是地址和地址的字节长度。（操作类型）字段用来表示报文的类型。1表示请求，2表示应答。 52自身缺陷自身缺陷协议机制，在满足灵活性和可扩展性的同时，也引入了安全隐患广播方式无

49、确认/认证机制动态更新，喜新厌旧53仿冒网关攻击仿冒网关攻击54欺骗网关欺骗网关55其他用户的攻击其他用户的攻击56泛洪攻击泛洪攻击网络设备在处理报文时需要占用系统资源，同时因为系统内存和查找缓存表效率的要求，一般网络设备会限制缓存表的大小。攻击者就利用这一点，通过一些构造报文的设备和软件，大量发送源地址变化的报文，导致设备缓存表溢出，合法用户的报文不能生成有效的缓存表项，导致正常通信中断。出口路由器IP:10.0.0.1MAC: 01-01-01-01-01-01主机BIP:10.0.0.2MAC: 02-02-02-02-02-02ARP缓存表10.0.0.1 01-01-01-01-01

50、-01ARP缓存表10.0.0.2 02-02-02-02-02-02 主机A（攻击者）:10.0.0.3: 03-03-03-03-03-0357 防攻击防攻击-免费免费主机A（攻击者）:10.0.0.3: 03-03-03-03-03-03主机B:10.0.0.2: 02-02-02-02-02-02主机C:10.0.0.4: 04-04-04-04-04-04独立或内置于中的 地址地址地址地址10.0.0.210.0.0.202-02-02-02-02-0202-02-02-02-02-0210.0.0.410.0.0.404-04-04-04-04-0404-04-04-04-04-0

51、4免费报文是一种特殊的报文，该报文中携带的发送端地址和目标地址都是本机地址，报文源地址是本机地址，报文的目的地址是广播地址设备通过对外发送免费报文，实现以下功能：确定其它设备的地址是否与本机地址冲突。设备改变了硬件地址，通过发送免费报文通知其他设备更新表项。设备通过学习免费报文，实现以下功能：对于收到的免费报文，如果表中没有与此报文对应的表项，就将免费报文中携带的信息添加到本地动态映射表中。网关表项58 防攻击防攻击-授权授权主机A（攻击者）:10.0.0.3: 03-03-03-03-03-03主机B:10.0.0.2: 02-02-02-02-02-02主机C:10.0.0.4: 04-0

52、4-04-04-04-04 地址地址地址地址10.0.0.210.0.0.202-02-02-02-02-0202-02-02-02-02-0210.0.0.410.0.0.404-04-04-04-04-0404-04-04-04-04-04主机A和主机B通过 获得地址的同时，网关生成缓存表项。授权表项不能通过被主机A伪造的报文动态修改主机A冒用其它合法主机的地址发送请求，因为地址不是网关所记录的授权表项中的合法地址，伪造的请求将不能得到应答，从而限制冒用合法地址的主机上网主机A（攻击者）:10.0.0.2: 03-03-03-03-03-03授权表项独立或内置于中的 59 防攻击防攻击-自动扫描与静态自动扫描与静态主机A（攻击者）:10.0.0.3: 03-03-03-03-03-03主机B:10.0.0.2: 02-02-02-02-02-02主机C:10.0.0.4: 04-04-04-04-04-04 地址地址地址地址10.0.0.210.0.0.202-02-02-02-02-0202-02-02-02-02-0210.0.0.410.0.0.404-04-04-04-04-0404-04-04-04-04-04自动扫描，就是对于局域网内的邻居进行扫描，向邻居发送请求