学校无线网络改造项目方案

用户至上用心服务苏州XXXX学校有线及无线改造集成项目投标方案中国电信股份有限公司苏州分公司二○一五年八月目录1. 项目概述 11.1. 项目背景 11.2. 设计原则 11.3. 总体组网方案 21.4. 建设目标 22. 网络建设原则 33. 需求分析 53.1. 总体建设目标 53.2. 具体实施目标 54. H3C无线校园网建设方案 74.1. 整网逻辑拓扑图 74.2. 整网安全解决方案 84.3. 无线网络管理解决方案 94.4. 无线AP供电解决方案 104.5. 覆盖区域详细说明 104.6. 覆盖效果理论计算 105. H3C方案特点与优势 125.1. H3C一体化无线校园解决方案——更稳定： 125.2. H3C一体化无线校园解决方案——高安全： 155.3. H3C一体化无线校园解决方案——易管理： 165.4. H3C一体化无线校园解决方案——可扩展： 185.5. H3C一体化无线校园解决方案——全业务： 196. 方案设计产品介绍 216.1. 核心交换机LS-7606 216.2. 接入交换机LS-S2110-PWR、LS-S2126-PWR 246.3. 无线控制器EWP-WX5004-H3 266.4. 无线AP1EWP-WA2612-FIT、EWP-WA2620E-FIT 326.5. 无线AP2EWP-WA2610X-FIT 376.6. 智能管理平台iMC 406.7. 无线业务管理组件WSM 556.8. 终端智能接入组件EIA 667. 投标产品详细参数 747.1. 防火墙 747.2. 核心交换机 747.3. 千兆接入交换机 747.4. 万兆POE交换机 747.5. 无线AC控制器 747.6. 千兆室内无线AP 747.7. 网络管理系统 747.8. 身份认证系统 758. 原厂质保函 769. 售中售后及培训计划 7710. 公司实力 7811. 成功案例 7912. 投标设备技术参数偏离表 8013. 报价清单 8113.1. 无线wifi建设清单 8114. 致谢 82项目概述项目背景近年来随着计算机技术及互联网的迅猛发展，将信息技术应用于教育领域，已成为世界各国的一种潮流。苏州市政府于2011年12月颁布了“智慧苏州”整体规划，规划提出“智慧教育”是“智慧苏州”建设的重要目标和九大工程之一。苏州XXXX学校在建设智慧教育的过程中，有需求建立教学区的无线网络覆盖。基于对XXXX学校无线网的细致深入理解，结合自身产品和技术特点，我司推出了完善的XXXX学校无线网解决方案，为XXXX学校无线校区提供“高扩展、多业务、高安全”的精品网络。数字化校园是以数字化信息和网络为基础，在计算机和网络技术上建立起来的对教学、科研、管理、生活服务等校园信息的收集、处理、整合、存储、传输和应用，在传统校园基础上构建一个数字空间，以拓展现实校园的时间和空间维度，提升传统校园的运行效率，扩展传统校园的业务功能，最终实现教育过程的全面信息化，从而达到提高管理水平和效率的目的。设计原则XXXX学校无线城建设遵循以下基本原则：根据以上对苏州XXXX学校智慧校园基本要求分析，在设计整个智慧校园之前，结合中国电信的行业信息化经验，对于系统的设计原则，我们可以归纳总结为科学性要求，实用性要求，合理性要求，完整性要求，先进性要求，可靠性要求，进度保证性要求，安全保护性要求等八大类型要求，并以此作为本系统设计原则。总体组网方案XXXX学校无线网解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。1、组网方式采用二层网络结构。分为核心层和接入层。核心层可以采用单核心方式。接入层交换机部署百兆POE接入交换机。2、无线控制器插卡。核心部署无线控制器插卡，无线控制器插卡可以实现大量无线AP的接入，同时相比传统的盒式无线控制器，降低了组网的负载度，提升了网络健康性和抗故障能力。4、无线网络。在园区覆盖无线网络系统，全部采用802.11n无线接入点，保证无线网络信号质量和网络服务质量最优。建设目标教学区域无线覆盖，向学生、教师提供良好的网络接入服务；定制登陆界面，页面展示引导信息，可自定义更换和跳转指定网址；自定义定时推送小窗口信息。短信认证，密码发送至手机，支持短信内容自定义；登录界面自动匹配各类不同终端屏幕；一次认证和漫游，无需重复认证即可漫游于整个品牌体系；可以设置再次登陆认证间隔时间；漫游支持跨城市跨运营商。支持对终端用户黑白名单管理，通过MAC地址绑定，有效限制特定用户上网；可自定义WLAN的开放时间，防止非营业时段被蹭网；过滤不良网站，可以方便地选择需要屏蔽的网站，避免敏感事件的发生；防钓鱼网站，系统内置URL过滤，能够对钓鱼网站精准识别和屏蔽，防止网络钓鱼诈骗；强大的流量管理，可执行各类流控策略，实现高效精确的流量控制和上网应用控制，避免有人大量下载导致带宽被占用；认证信息汇总，收集终端用户号码信息，提取精确营销数据；终端设备定位，数据引流；支持动线管理，提供用户聚集度的统计数据和图形报告；支持网关模式、网桥模式，适合多种网络环境和应用环境；配置数据和存档数据可根据要求自动备份在本机或远程服务器上，备份数据可直接下载。智能清理废弃资源和整理磁盘空间，自动检测和修复文件和数据系统等等，保障系统可靠稳定地运行。网络建设原则结合WLAN的实际应用和发展要求，无线局域网(PWLAN)网络系统设计，主要遵循以下系统总体原则：安全性原则：WLAN运营网络，即是一个开放网络，同时作为运营网络对用户的安全以及网络的安全要求较高。可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。成熟和先进性原则：由于WLAN应用于运营网络仍然属于新新技术，需要及时将新技术引用进来，更好的开展业务，同时也要求保证网络与业务的可靠性。规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。需求分析总体建设目标利用无线网络技术进一步扩展校园网的覆盖范围，使全校师生能够随时随地、方便高效地使用校园网络；促进教学和科研发展，进一步拓展研究空间；提升校园网络环境，提高管理水平和效率，推动学校信息化建设；具体实施目标侧重实际应用，覆盖校园内部分区域，为教学和学习生活提供切实可用的无线网络环境；采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此校园无线局域网将主要支持802.11n标准以提供可供实际应用的相对稳定的网络通讯服务，同时兼顾多种类型应用和将来的投资保护，需要同时支持801.11a，802.11b，实现双频三模技术；全面的无线网络支撑系统（包括无线网管、无线安全等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；保证网络访问的安全性；无线接入所需布设的AP通过校园网的汇聚层设备接入到校园网中，在汇聚层都提供相应的接口给无线网线，在接入层设备要在方案中进行描述。工程布线和安装要求：室内部分：定好较为开阔位置，将网线和电源线走暗线敷设到位；挂在墙上，可利用设备本身自带的安装附件进行安装；如果需要遮蔽，则需要定制非金属安装盒；如果是挂在天花板上，则根据天花板的情况而定，若天花板是非金属结构，可以固定在天花板内。安装过程中应充分考虑防盗问题。室外部分：根据设备位置有两种布线方式。如果AP设备放置在楼顶，则需要走网线和电源线；如果AP设备放置在室内，天线放置在室外，则需要走天线馈线。这两种方式馈线都需走铁管，贴防水胶方式处理，安装过程中应充分考虑防盗。供电部分：AP的供电可采用POE方式由接入的网络设备进行供电（无需本地供电）。产品能力要求要求：产品支持AES、WEP加密等安全标准；漫游切换；支撑QOS能力。H3C无线校园网建设方案针对学校采用WLAN技术构架宽带网络服务，从技术上、工程上以及提供的服务质量上均能较好的满足校方的要求，具体组网构架如下：整网逻辑拓扑图鉴于苏州XXXX学院的有线网络已经较为完善，已经是百兆到楼，千兆上行，工程采用AP就近接入的原则，同时又由于现在每栋楼的有线网络为无线网络能提供有线接口，此有线接口下接一台交换机完成网络接口的扩展，同时完成POE供电的功能；作为整个无线局域网络的中央管理控制器，无线控制器WX5004旁挂在新增核心设备S7606上。无线部分由胖瘦双模室内型EWP-WA4320-ACN、完成室内和室外区域进行覆盖。具体的逻辑组网图如下图所示：整网安全解决方案苏州XXXX学院无线局域网络主要服务于学校的学生与教师，也是规模的公众型网络，同时由于学生出于技术的研究兴趣，会对网络发起各种各样的攻击行为，此时网络安全问题在建网时必须考虑问题，安全方式主要侧重几个方面：用户安全、网络安全，而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性（诸如：MAC地址）及用户的帐号、密码，而对于学校学生用户来，帐号信息都是一个实名原则，与学生的学藉进行关联的，这样本无线网络中着重考虑使用无线网络的空口信息的安全机制，同时也要考虑与无线相关的有线网络的安全问题，对于原有有线网络的安全问题，在本技术建议书中不作相应的考虑；无线网络安全：无线网络安全部分主要包括以下方面的内容：MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中；SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流理来看，基本上是不可能的；华三通信的无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其权限保持一致；密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样一定程度上保证用户之间串号问题产生，从而保护投资，以达到营维平衡；无线网络管理解决方案基于标准的SNMP协议实现对设备的管理，专门的无线局域网管理软件WSM无线组件可实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对无线交换机的管理。其具备以下特点：1、零配置安装：接入点无需准备预设置，AP从无线控制器继承配置信息。可将无线控制器AC接入中心机房核心交换机中，AP无需事先进行任何配置，即通过接入层交换机接入有线网络，并自动注册到AC上，获得DHCPSERVER分配的IP地址，并自动下载配置文件正常工作，在大规模AP的项目中大量节省安装维护成本。2、防盗防入侵：敏感配置信息不在本地保存，即使设备被入侵被盗也不会丢失安全信息。实际运营中很多AP是放置在公共场所，如果密钥、SSID等安全信息在本地保存的话，一旦失窃对全网安全性造成威胁，AP由于其零配置安装，一旦掉电不会保存任何信息，避免入侵。3、支持灵活的拓扑结构：AP允许多种部署，从而能够直接或间接连接到管理它的无线局域网控制器。AC与AP之间可以隔离任何路由器或交换机，只要共同连接进有线网络，AP就可以自动寻找到AC实现注册。4、自动设置发射功率和分配射频信道：自动设置发射功率和分配射频信道，用以优化射频单元大小和满足各国对射频信道的要求。当有个别AP故障时，AC会自动调大相邻AP的功率弥补信号盲区。5、基于身份的组网：根据用户名对用户权限进行区分，不同于传统的WLAN网络通过接入的有线交换机端口对用户权限进行划分，并且可以对用户的位置、带宽以及漫游等历史数据进行记录跟踪。6、提供增强的安全性和无缝漫游：通过这项基于身份的组网功能，经过改进的用户组认证接入控制、始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安全性，实现了无缝的用户移动性和自由性，从而可以进行安全连接和漫游，一次认证多次接入，免去在不同AP下切换的再次认证。。7、安全管理：提供入侵检测功能，专用AP可以不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，AP将上报相应的告警给AC，并通过网管软件显示。无线AP供电解决方案由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，对于校园室外覆盖主要采用AP放在室外，对AP的本地供电问题难度更大。基于标准的802.3af实现对AP的供电。通过在汇集交换机处叠加一个供电电源或者内嵌交换机内，通过以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的要求。但部分区域AP需室外放置，即需要配合室外机箱使用，为保证寒冷天气低温工作室外机箱内置电加热板，因此除给AP进行POE供电外还需对机箱进行本地交流供电。覆盖区域详细说明本示意模型是业界采用WLAN频率规划技术对校园覆盖的标准示意模型，首先说明采用WLAN技术可以按客户的需求结合WLAN现场勘探与频率规划可以实现最终用户的随时随地接入。（图1以11g进行描述的，对于11g的模型一致）其次采用2.4G频段的IEEE802.11g技术在国家无委规定的2.4~2.4835MHz频段共计有13个载频，互不干扰频段有3个如1、6、11＃（由于802.11g技术采用直序扩频技术，1个中心频点的载频对前后临频、隔频都有一定的干扰），也就是采用互不干扰频段结合功率控制、覆盖方向以及蜂窝规划，可以实现用户需要的带宽以及覆盖，单点可提供的接入带宽有33Mbps。另外，针对学校WLAN覆盖建议为教室、礼堂、图书馆、实验室等需要带宽较高的场所建议采用全向覆盖，除解决覆盖同时还要考虑接入带宽，对于学校的室外休闲区域如操场、校内公园、生态走廊、草坪等主要解决覆盖，采用定向天线做大范围覆盖，解决最终用户的接入即可无需过多概率接入带宽。覆盖效果理论计算信号强度和传输距离的换算公式AP加卡的信号总强度公式：Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强度（dB）Gt（AP或终端功率，单位dB），Gr（终端或AP灵敏度，单位dB）距离产生的信号衰减公式：40＋20lgd＝L1（dB）d（距离，单位m）工程中最大传输距离以45m计算，所以L1＝72dB障碍物的衰减：物体dB地板30带窗户的砖墙2办公室墙6办公室墙的金属门6砖墙的金属门12.4靠近金属门的砖墙3工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。H3C方案特点与优势H3C一体化无线校园解决方案有效实现了有线和无线网络的融合，通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，为校园用户提供安全的无线接入。根据用户需求，通过在H3C系列交换机中加入无线控制器插卡，就可为原有的有线校园网络提供无线支持，还可以像扩展和管理传统有线网络一样，对无线网络进行扩展和管理。H3C通过iMC智能网络管理平台为网络管理员提供了图形化、一体化管理能力，可以高效地管理有线/无线网络。H3C无线EAD实现了与有线一致的、端到端的安全防护体系，可以在终端接入层面帮助高校网管人员统一实施安全策略，大幅度提高网络的整体安全。H3C一体化无线校园解决方案——更稳定：H3CWLAN稳定性解决方案从无线控制器的可靠性，接入交换机供电的可靠性、无线信号的可靠性这几方面入手，极大的提高了WLAN网络的可靠性；在实际的使用情况来看，启用这些措施之后，WLAN的可靠性能够得到明显的提升。无线控制器N+1冗余备份：H3C无线控制器产品支持AC之间的N+1备份，以下通过介绍AP选择接入的AC过程来说明AC间的备份：AP在发现AC的过程中，会向AC发送接入请求报文；AC在收到接入请求后，会向AP发接入回应报文，其中包含了该AC上的负载信息（AC允许接入的最大AP数，当前接入的AP数，允许接入的最大STA数，当前接入的STA数），和AP在此AC上的接入优先级；AP在接收到AC的回应报文后，会选择接入优先级高的AC接入。如果优先级相同，则根据AC的接入负载情况来判断。AP通过比较各AC上（允许接入的最大AP数-当前接入的AP数），并选取值最大的AC接入。如果此值相同，则根据当前接入AC的无线用户数判断。AP通过比较各AC上（允许接入的最大STA数-当前接入的STA数），并选取值大的AC接入。如相等，则随机接入。通过CAPWAP隧道的心跳机制，AP可及时发现控制器DOWN，同时根据上述方法重新选择一个负载轻的AC接入，从而实现AC的N+1备份。H3C实时无线资源管理：H3C实时无线资源管理解决方案提供了实时闭环的无线资源管理，包括了如下步骤：扫描每个接入点启动后，通过CAPWAP协议与无线控制器建立隧道，并从无线控制器获取基本的配置。无线控制器负责协调网络中的无线接入点执行扫描过程。通过定期的信道扫描，系统能够分析和了解信道的质量、干扰情况、邻居接入点的分布等。分析无线控制器将对无线接入点定期上报的数据进行聚合分析。这些数据包括：干扰：其他工作在802.11频段的无线网络对无线介质的影响。噪音：非802.11信号，如雷达、蓝牙、无绳电话、微波等等对信号的影响。丢包率：包差错率（由于隐藏的节点或信号变形）信道负载：用来衡量媒介的繁忙程度。有效信号强度：在一定时间内观察到的每个邻居的信号强度和整个信道的平均信号强度。这些数据将帮助无线控制器构建无线网络的完整视图，为管理控制提供决策数据。决策利用前期分析的数据，无线控制器将采用智能的算法对射频资源进行优化和调整，以适应无线环境的变化。系统使用了优化的信道和功率选择算法、加权判断以及抑制限度，自动评估资源调整的影响，能够确保系统的控制是可靠的。执行无线控制器将新的发射功率，信道分配等决策发送到接入点，接入点负责使能这些配置。系统提供了两种控制模式：参考模式和立即模式，增加了系统使用的灵活性。参考模式下，系统不进行实际的控制策略执行，只是给出建议的功率、信道的设定值，管理员可以决定是否执行这些配置，确保了用户控制的灵活性。立即模式下，将根据系统计算出的信道等参数进行立即的设置。上述过程是闭环过程，一旦配置下发以后，控制器将持续监视网络环境。任何无线环境的变化与波动都会被定期记录下来，为下一轮的优化作准备。全面的PoE解决方案：PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源，传输数据的同时传输直流电。因为AP往往要求使用不间断电源（UPS）供应电力，采用PoE设备，AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据和电力，因此在使用PoE设备的情况下，所有的AP都使用一个UPS在PoE设备端进行保护。如果不使用PoE设备，就需要给每个AP配一个UPS，而且还需要在AP附近安装电源插座，增加了成本。因此使用PoE设备将大大降低设备成本和管理成本。PoE具有非常明显的优势，具体如下：简化安装，降低成本，不需为每个网络设备单独提供数据和电力线缆。灵活性提高，网络装置可被安装在任何位置，而不需靠近一个已存在的电源输出口。可靠性增强，有SNMP能力的PoE装置，可实施远程检测和控制，能有效地处理或修理装置的耗电量和（或）失效故障。H3C能够提供全面的PoE解决方案，产品涵盖从高端到低端的全系列产品，包括S10500，S7500E，S5600，S5500，S5130，S5110，S3600，S3100，WX3024都能够提供PoE解决方案，H3CPoE解决方案使用工业级设计，同时能够提供全面的管理:H3C一体化无线校园解决方案——高安全：H3C一体化无线校园解决方案在遵循IEEE802.11i协议和国家WAPI标准的基础上，创新性的提出了分层的安全体系架构，将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上，使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。无线物理安全：H3C公司的无线产品支持以下的加密机制：WEP加密、TKIP加密、CCMP加密、WAPI加密。其中，WAPI采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于WLAN设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。在无线设备安全方面，H3C的FITAP提供“零配置”功能，在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。此外，用户在采用H3C公司的无线控制器＋FITAP组网时，都需要预先在无线控制器上设置部署的AP序列号。当这些AP启动和无线控制器建立关联时，无线控制器会检查AP上报的序列号信息，只有这些预先授权的AP才能接入无线控制器使用，防止非法FITAP接入网络。无线用户安全：通过用户接入认证实现了对校园无线接入用户的身份认证，为网络服务提供了安全保护。H3C无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及在有线校园网中常用的portal认证等。通过和AAA服务器配合，H3C的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔离。无线网络安全：为了保证无线用户和整个校园网络的安全，仅仅保证接入点的安全性是远远不够的。H3C推出了无线EAD解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。H3C的无线产品支持EAD接入控制方式，配合iNode无线/有线统一客户端可以实现有线，无线用户使用统一的客户端进行认证，结合H3C公司的服务器，H3C公司给用户提供了有线无线一体化的整体安全解决方案。此外，H3C的无线产品支持完善的无线入侵检测系统，可以自动监测非法设备，并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。H3C一体化无线校园解决方案——易管理：在管理方面，H3C实现了如下两点：有线无线统一认证计费管理，解决了老师不希望用户有线一套帐号，无线又一套帐号，不能统一计费管理的问题。有线无线统一网管，解决了老师不希望采用两套管理系统的问题。管理系统集成专业的无线管理部件，实现射频资源管理、无线性能监视、非法AP告警等管理需求。H3C无线校园管理系统依托iMC智能管理平台，在iMC系统全面的有线网络管理的基础上，为用户提供无线网络管理能力。用户无需重新搭建IT管理平台，只要在原有的有线网络管理系统中增加无线管理功能，便可以与有线管理平台统一部署，节省投入和维护成本。H3C无线校园管理解决方案不仅为用户提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理的需求。通过集中式管理架构和统一的网管系统，可以保证设备互通性和无线网络的轻松配置，实现有线无线一体化高效管理。H3C无线校园管理解决方案中的无线业务逻辑拓扑，使用户直观了解网络部署情况及设备和链路当前状态。它可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中用户可根据需要创建多维度、多层次的物理位置结构，并在指定平面图上根据真实情况摆放设备，逼近真实网络环境。通过H3C的管理平台，管理人员可以对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看各移动终端的全部漫游记录，可以随时了解最终接入用户的情况，并对其接入轨迹进行审计。此外，H3C提供服务策略和Radio策略的管理，通过模板的方式对设备进行批量管理，使用户快速完成网络配置。策略模板除手工添加外，还提供从文件导入和设备导入功能，用户可以从系统导出或导入模板，也可从某一标准配置设备上导入配置形成模板，下发到其它设备，完成策略的批量克隆功能，极大地减少用户的维护工作量，降低维护成本。H3C一体化无线校园解决方案——可扩展：IPv6：H3C公司的WLAN不但可以穿过IPv6网络建立WLAN网络，而且可以将IPv6孤岛网络连接到一个WLAN网络。依托于H3C功能强大的Commware操作系统平台，H3CWLAN产品从设计阶段就考虑了教育用户对IPV6的需求，目前无线控制器、无线接入点全面支持IPV6特性，同时无线控制器、无线AP可以灵活的通过IPV4互联，也可以通过IPV6互联，无线也可以灵活的选择是使用IPV4接入无线网络还是IPV6接入无线网络。H3C公司集中管理架构WLAN在接入点和接入控制器之间采用CAPWAP协议构建，而且同时支持IPv4和IPv6协议。也就是，接入控制器作为服务器，可以接收来自IPv4以及IPv6网络的接入点的链接请求；而且接入点可以动态的选择使用IPv4或者IPv6和接入控制器建立链接。H3C公司的FitAP设备为零配置设备，该设备在上电后可以自动发现接入控制器，选择当前能够提供最优服务的接入控制器建立链接。由于接入点为零配置设备，不能判断当前接入的网络为IPv4还是IPv6网络，所以H3C的接入点会首先在IPv4网络进行接入控制器的发现和链接处理，如果接入点无法成功通过IPv4网络和接入控制器建立链接，则接入点会切换到使用IPv6进行接入控制器的发现和链接处理。目前H3C可以实现非常灵活的IPV6处理机制,即可通过IPV4网络实现IPV6互联，也可以通过IPV6网络实现IPV4互联。H3C一体化无线校园解决方案——全业务：H3C无线校园网解决方案提供VoWiFi、无线监控、页面推送等业务，解决了校园内部和校区之间通讯费用高、无线监控和无线多媒体教学以及不同部门网页个性化页面推送的问题，让无线接入变得更有价值。基于用户的流量管理：H3CFATAP能够通过两种方式实现流量管理：一种方式是基于用户数自动平均调整每个用户的接入带宽；另一种方式是指定每用户的接入带宽。通过此两种方式的流量管理，可以防止P2P业务占用带宽导致其他用户无法正常使用网络的情况。此外，H3CFITAP解决方案可以实现基于用户的权限和流量管理，可以设定每个用户所占用的带宽，实现精确流量管理，配合H3C有线网络，可以实现端到端的QoS，从而达到承载语音、视频等时延敏感的业务的目的。无线监控：H3C无线监控解决方案整合了公司无线网络和视频监控解决方案的优势，将IP智能监控从通常的有线网络接入延伸到无线网络接入，根据用户的应用场景提供丰富多样的无线组网接入模式，通过统一网管对无线资源和监控资源进行统一管理和控制。H3C无线监控解决方案能够提供端到端的QoS保证，能够实现有线无线网络的统一管理，网络和监控业务的统一管理。同时，通过对突发流量进行码流平滑、多流选择以及误码重传机制，保证了视频流的实时性和流畅性。方案设计产品介绍防火墙NS-SecPathF1070H3CSecPathF10X0系列防火墙是杭州华三通信技术有限公司（以下简称H3C公司）伴随Web2.0时代的到来并结合当前安全与网络深入融合的技术趋势，针对中小型企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙产品。H3CSecPathF10X0系列防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全；支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN和SSLVPN等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4/IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。H3CSecPathF10X0系列防火墙采用互为冗余备份的双电源（1＋1备份），同时支持双机集群化部署的SCF技术，充分满足高性能网络的可靠性要求；同时F10X0产品在1U高的设备上可提供至少24个千兆接口、2个万兆的固定接口。高性能的软硬件处理平台H3CSecPathF10X0采用了先进的最新64位多核高性能处理器和高速存储器。电信级设备高可靠性采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。支持H3CSCF虚拟化技术，可将多台设备虚拟化为一台逻辑设备，对外呈现为一个网络节点，资源统一管理，完成业务备份同时提高系统整体性能。强大的安全防护功能支持丰富的攻击防范功能。包括：Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针对SYNFlood、UPDFlood、ICMPFlood、DNSFlood等常见DDoS攻击的检测防御。最新支持SOP1:N完全虚拟化。可在H3CSecPathF10X0设备上划分多个逻辑的虚拟防火墙，基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致，并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。支持安全区域管理。可基于接口、VLAN划分安全区域。支持包过滤。通过在安全区域间使用标准或扩展访问控制规则，借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外，还可以按照时间段进行过滤。支持基于应用、用户的访问控制，将应用与用户作为安全策略的基本元素，并结合深度防御实现下一代的访问控制功能。支持应用层状态包过滤（ASPF）功能。通过检查应用层协议信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议），并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃。支持验证、授权和计帐（AAA）服务。包括：基于RADIUS/HWTACACS+、CHAP、PAP等的认证。支持静态和动态黑名单。支持NAT和NAT多实例。支持VPN功能。包括：支持L2TP、IPSec/IKE、GRE、SSL等，并实现与智能终端对接。支持丰富的路由协议。支持静态路由、策略路由，以及RIP、OSPF等动态路由协议。支持安全日志。支持流量监控统计、管理。灵活可扩展的一体化DPI深度安全与基础安全防护高度集成的一体化安全业务处理平台。全面的应用层流量识别与管理：通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测Thunder/WebThunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用；支持P2P流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P协议报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制。高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST（FullInspectionwithRigorousStateTest，基于精确状态的全面检测）引擎。FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时，FIRST引擎采用了并行检测技术，软、硬件可灵活适配，大大提高了入侵检测的效率。实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。迅捷的URL分类过滤：提供基础的URL黑白名单过滤同时，可以配置URL分类过滤服务器在线查询。全面、及时的安全特征库。通过多年经营与积累，H3C公司拥有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新。业界领先的IPv6支持IPv6状态防火墙，真正意义上实现IPv6条件下的防火墙功能，同时完成IPv6的攻击防范。支持IPv4/IPv6双协议栈，并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能。支持IPv6各种过渡技术，包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道、NAT444、DS-Lite等。支持IPv6ACL、Radius等安全技术。下一代多业务特性集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等技术，有效实现企业互联网出口的多链路自动均衡和自动切换。一体化集成SSLVPN特性，满足移动办公、员工出差的安全访问需求，不仅可结合USB-Key、短信进行移动用户的身份认证，还可与企业原有认证系统相结合、实现一体化的认证接入。DLP基础功能支持，支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTPURL和内容过滤；支持网络传输协议的文件过滤；支持应用层过滤，提供Java/ActiveXBlocking和SQL注入攻击防范。专业的智能管理支持智能安全策略：实现策略冗余检测、策略匹配优化建议、动态检测内网业务动态生成安全策略并推荐。支持标准网管SNMPv3，并且兼容SNMPv1和v2。提供图形化界面，简单易用的Web管理。可通过命令行界面进行设备管理与防火墙功能配置，满足专业管理和大批量配置需求。通过H3CIMCSSM安全管理中心实现统一管理，集安全信息与事件收集、分析、响应等功能为一体，解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题，使IT及安全管理员脱离繁琐的管理工作，极大提高工作效率，能够集中精力关注核心业务。基于先进的深度挖掘及分析技术，采用主动收集、被动接收等方式，为用户提供集中化的日志管理功能，并对不同类型格式（Syslog、二进制流日志等）的日志进行归一化处理。同时，采用高聚合压缩技术对海量事件进行存储，并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统，避免重要安全事件的丢失。提供丰富的报表，主要包括基于应用的报表、基于网流的分析报表等。支持以PDF、HTML、WORD和TXT等多种格式输出。可通过Web界面进行报告定制，定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。核心交换机LS-7606H3CS7600系列运营级高端路由交换机产品是杭州华三通信技术有限公司针对城域以太网市场推出的新一代城域网设备。S7600系列路由交换机相对于传统的企业级以太网交换机在表项容量、QOS、可靠性、可管理性、多业务支持能力、网络安全等方面都有了质的飞跃，是真正意义上的电信级IP交换产品，能够为运营商城域网、数据中心等应用提供大容量、高可靠、严格QoS的业务承载保障。产品特点：基于IRF2（第二代智能弹性架构）技术的虚拟化架构H3CS7600系列交换机支持IRF2（第二代智能弹性架构）技术，在扩展性、可靠性、整体架构和可用性方面具有强大的优势，主要体现在四个方面：扩展性：IRF技术允许交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。可靠性：通过专利的路由热备份技术，在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了IRF组的可靠性和高性能，同时消除了单点故障，避免了业务中断。分布性：通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。可用性：通过标准的万兆以太网接口实现智能弹性架构，可以根据需求分配业务带宽和系统连接带宽，合理分配本地流量与上行流量；不仅可以实现机架内、跨机架，甚至跨区域的远距离智能弹性架构。IRF3：（第三代智能弹性架构—纵向虚拟化）H3CS7600系列产品可以在纵向维度上支持异构虚拟化，将核心和接入设备通过IRF3技术形成一台纵向逻辑虚拟设备，支持AC、AP统一管理、配置，相当于把一台盒式设备作为一块远程接口板加入主设备系统，以达到扩展I/O端口能力和进行集中控制管理的目的。IRF3技术可以简化管理，大幅度降低网络管理节点；简化布线，二层变为一层，节省横向连接线缆；最终实现数据转发平面虚拟化，便与简化业务部署和自动编排。完备的二层特性大容量MAC表项；4KVLAN支持，灵活的QinQ能力；完全的生成树特性支持；端口聚合/端口镜像/广播风暴抑制。完善的二层特性保证设备在汇聚层满足用户的功能需求。强大的三层功能大容量三层表项；完备的路由协议支持；大容量组播支持。通过超大容量转发表项的提供,S7600可以支持大规模城域网的核心、汇聚层应用，并能对二层、三层以及MPLS应用提供充足的表项支持。丰富的QoS、ACL特性S7600提供VLANACL、EgressACL等增强的ACL功能，为复杂的安全访问管理和控制提供了丰富的资源在QoS方面，S7600提供完善的Diff-Serv/QoS支持。支持基于报文流分类结果进行优先级重标记或速率限制，支持双向的双速三色和单速双色带宽监管功能、支持WRED和尾丢弃的拥塞控制方法、支持SP、WRR、WFQ队列调度算法、支持802.1P、DSCP、EXP的优先级映射和重标记，支持基于端口/端口队列输出流整形等功能，并提供了基于用户、业务和端口三个层次的优先级队列调度能力，为城域网话音、数据、视频以及企业专网等多种业务综合承载的服务质量保证提供了有效的保证通过强大的QoS能力，S7600在运营商城域网中对不同业务类型提供区分的服务质量保证，并为数目繁多的个人和企业用户提供更精细的基于业务的带宽控制。云数据中心化技术作为企业级网络核心设备，H3CS7600系列产品可以助力用户从容面对云数据中心化所需的一系列技术及解决方案：TRILL：随着服务器和交换机规模的增加，数据中心网络越来越倾向于扁平化的网络架构以便于维护管理，这就要求构建一个大型的二层网络；H3CS7600系列产品支持通过TRILL技术和纵向虚拟化技术来进行数据中心大二层网络的构建。数据中心大二层技术TRILL（TRansparentInterconnectionofLotsofLinks，多链路透明互联）协议将三层路由技术IS-IS（IntermediateSystem-to-IntermediateSystem，中间系统到中间系统）的设计思路引入二层网络，并对其进行了必要的改造。从而将二层的简单、灵活性与三层的稳定、可扩展和高性能有机融合起来。MDC：H3CS7600产品可以通过MDC技术实现正真的1：N的虚拟化，即把一台交换机虚拟成N台互相独立的虚拟交换机，不同于传统的交换机虚拟化技术，MDC虚拟出的每台交换机之间物理隔离、安全隔离，拥有独立的硬件资源和管理权限，满足多业务客户共享核心交换机的需求，这样，一方面可以充分利用核心交换机的能力达到隔离复用的作用，另一方面也降低了用户的投资成本，一举两得。EVB：H3CS7600产品支持EVB(EdgeVirtualBridging)，通过VEPA(VirtualEthernetPortAggregator)技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理，不仅实现了虚拟机间流量转发，同时还解决了虚拟机流量监管、访问控制策略部署等问题。FCOE：

H3CS7600系列产品支持FCOE技术；FCOE技术主要用来解决云计算数据中心LAN网络和存储网络异构的问题，通过FCoE和CEE技术的部署，可以实现数据中心前端网络和后端网络架构的融合，解决数据、计算和存储三网割裂的技术难题，从而大大降低数据中心的采购和扩容成本；EVI：H3CS7600系列产品支持EVI（EthernetVirtualInterconnection，以太网虚拟化互联）技术，EVI是一种先进的"MACinIP"技术，EVI解决方案部署非常简单，基于现有的IP网络，给分散的物理站点提供灵活的二层互联功能。高可靠性在硬件设计方面，S7600采用无源背板设计，电源系统采用1+1冗余备份设计，支持双路电源输入，支持在线故障检测、告警指示，所有单板和风扇框支持热插拔在二层特性方面，S7600支持STP/RSTP/MSTP协议，VRRPv2/v3协议等，并提供了独有的RRPP快速环网保护协议，环网收敛时间约为50ms，有效保证了环网应用是的快速故障发现和保护，此外，S7600能支持SmartLink双上行主备链路保护机制、跨板聚合功能、以太网OAM等更简单、高可靠的故障发现和保护手段。在三层路由协议层面，S7600支持GracefulRestartforOSPF/BGP/ISIS，并能够保证在主备倒换时接口板的不间断转发，能够在网络故障发生时保证网络协议状态和业务承载的正确性。通过软硬件的高可靠设计，S7600可以为运营商城域网提供各种业务的高可靠承载，确保业务的故障恢复时间满足50ms的电信级要求。高安全性S7600提供包安全过滤/ACL的机制，防止非法侵入和恶意报文攻击。对重要的路由协议（OSPF，IS-IS，RIP-2、BGP等）也提供多种验证方法（明文验证、MD5、HMAC-MD5），并提供防DOS攻击，通过DHCPRelaysecurity和DHCPSnoopingsecurity等安全特性进行IP、MAC、Port的绑定能够有效防止地址假冒，为城域网络建设提供了完整的安全解决方案。完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全。有源无源一体化S7600系列OLT设备支持丰富的2/3层协议。支持EPON、百兆、千兆、万兆等各种类型的以太网接口；提供4PON口、8PON口、16PON口同时带8GE上行单板的接口密度；提供多种组合接口板，全面满足客户需求。整机最大支持160个EPON端口；每条EPON线路可以支持1.25Gbps的对称带宽，最大分光比1:64。分布式的体系架构和硬件AISC处理保证IPv4/IPv6业务线速转发，不存在集中式处理的瓶颈，满足网络业务不断发展的需求。校园网接入交换机LS-E552-H3、LS-E528-H3H3CE528/E552系列教育网交换机是杭州华三通信技术有限公司（以下简称H3C公司）长期跟踪教育行业用户需求定制开发的全千兆的以太网交换机，不仅可以满足校园网常见的安全，接入密度的需求，并且针对于IPv6技术发展的趋势以及校园网IPv6部署的落地，提供完善的解决方案，同时支持创新的IRF2（IntelligentResilientFramework，智能弹性架构）技术，用户可以将多台E528/E552交换机连接，形成一个逻辑上的独立实体，从而为教育行业构建具备高可靠性、易扩展性和易管理性的千兆到桌面的新型智能网络。第二代智能弹性架构（IRF2）H3CE528/E552教育网交换机支持IRF2（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处：简化管理IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。简化业务IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，并随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。弹性扩展可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。高可靠IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。高性能对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制，而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易地将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。全面的接入安全策略H3CE528/E552教育网交换机支持EAD（终端准入控制）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3CE528/E552教育网交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施校园网常见的“中间人”攻击，对不符合DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝学生私设DHCP服务器，保证DHCP环境的真实性和一致性。H3CE528/E552教育网交换机支持端口安全特性族，可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习，可以保证只有真正的业务主机才能够接入网络，而其他新接入主机即使连接到交换机上也无法获取地址并连通网络。并支持端口隔离功能，即便是在同一VLAN内，也可以实现端口之间的隔离，从而避免广播风暴和病毒在VLAN内的扩散从而影响所有端口。H3CE528/E552教育网交换机有强大硬件ACL能力，能深度识别报文，支持L2～L4包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN、VLAN范围等定义ACL，以便交换机进行后续的处理。H3CE528/E552教育网交换机支持集中式MAC地址认证和802.1x认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。支持对Proxy进行有效的管理。增强的网络管理和维护的易用性H3CE528/E552教育网交换机支持通过FTP、TFTP实现设备的远程升级，支持SNMPv1/v2/v3，可支持OpenView等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管，Telnet，HGMP集群管理，使设备管理更方便。H3CE528/E552教育网交换机支持跨交换机的远程端口镜像RSPAN，可以将接入端口的流量镜像到核心交换机上，可以对全网业务和流量进行监控、优化部署和恶意攻击监控，满足校园网精细化管理的需要。H3CE528/E552教育网交换机支持VCT（VirtualCableTest）电缆检测功能，便于快速定位网络故障点；并支持DLDP（DeviceLinkDetectionProtocol）单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。丰富的IPv6业务支持能力H3CE528/E552教育网交换机支持IPv6的路由功能，从而实现IPv6报文的三层线速转发功能，并支持丰富的IPv6管理功能，包括IPv6单播地址配置，ICMPv6，IPv6邻居发现协议（ND），IPv6-TCP，IPv6-TFTP，IPv6-TRACERT等。此外，E528/E552还支持丰富的IPv6业务特性，包括IPv6ACL，QoS，组播等，通过运行MLDsnooping（MulticastListenerDiscoverySnooping）可以有效避免IPv6组播报文在二层的广播，将信息转发给需要的接受者，节约了网络带宽，增强了IPv6组播信息的安全性，同时也为每台主机的单独计费带来了方便。千兆24口POE接入交换机LS-5130-28S-HPWR-EIH3CS5130-EI系列交换机是H3C公司自主开发的新一代高性能、高安全、智能化弱三层以太网交换机产品，S5130-EI系列交换机基于业界领先的高性能硬件架构和H3C先进的CommwareV7软件平台开发，具备先进的硬件处理能力、丰富的业务特性，可以提供大容量的千兆接入端口，同时具备高密度万兆光/电上行能力，满足用户对园区网高密度接入、高性能汇聚的使用需求，以及最低成本的万兆互联/虚拟化方案。同时S5130-EI系列交换机支持嵌入式管理软件,通过内置H3CUISManager统一管理软件可提供跨服务器、存储、网络以及虚拟化的全融合管理，简化部署安装，优化运维管理。高扩展性保护投资H3CS5130-EI系列交换机主机固化4端口万兆，在实现高密千兆接入同时，可以为用户提供高性价比的万兆上行的能力，保护用户投资。同时H3CS5130-EI系列交换机支持IRF2智能弹性架构，可将9台设备堆叠起来，形成一个逻辑上的实体，使设备容量可以根据网络发展而平滑扩容，为用户网络配置提供极高的灵活性和扩展能力。其中S5130-EI系列增加万兆电款型，实现最低成本的100米内万兆互联以及少量万兆服务器的接入能力，以及可实现最低成本万兆堆叠。丰富IPv6功能S5130-EI系列交换机支持IPv4/v6双协议栈，可以实现基于硬件的IPv4/v6的全线速转发，支持IPv4/v6的静态路由以及RIP功能。同时支持IPv6的ACL、QoS、组播和网管，充分满足网络从IPv4到IPv6的平滑升级。IRF2（第二代智能弹性架构）H3CS5130-EI系列交换机支持IRF2（第二代智能弹性架构）技术，将多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处：简化管理IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。简化业务IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。弹性扩展可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。高可靠IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。高性能对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。IRF3（纵向虚拟化）H3CS5130-EI系列部分交换机产品支持IRF3（IntelligentResilientFramework3）纵向虚拟化技术，通过将接入设备作为远程接口板加入主设备系统，在纵向维度上将核心层设备和接入层设备虚拟为一台逻辑设备，以达到扩展I/O端口能力和进行集中控制管理的目的。IRF3技术可以简化管理，大幅度降低网络管理节点；简化布线压缩网络层级，最终实现数据转发平面虚拟化。IRF3纵向虚拟化技术可以为用户带来以下好处：统一管理：IRF3架构形成之后，连接到主设备就可以集中配置和管理架构内的所有成员，而不用物理连接到每台成员设备上单独配置。统一安全策略：整网的安全策略只需在主设备上进行配置，避免了对全网设备逐一配置所带来的潜在策略冲突，并大幅降低了安全部署工作量。简化网络层级：支持大规模的远程接口板扩展能力，传统需要三层网络架构才能实现的组网结构通过IRF3可以简化为二层组网，网络的物理和逻辑层次更为简化，布线更加简单。简化业务：IRF3架构中的各种业务配置基于单一逻辑设备进行配置，这样可以大幅简化整网的VLAN、IP、路由、Mpls等规划注意事项。方便维护：所有接入设备的配置和软件版本均由主设备自动分配，新增设备的加入或离开时可以实现“热插拔”和零配置，不影响其他设备的正常运行，整网的故障排除也是单点的。完备的安全控制策略H3CS5130-EI系列交换机支持创新的单端口多认证Triple功能，在客户端形式多样的网络环境中，不同客户端支持的接入认证方式有所不同，例如，有的客户端只能进行MAC地址认证（比如打印机终端），有的用户主机进行802.1X认证，有的用户主机只希望通过Web访问进行Portal认证。为了灵活适应这种网络环境的多认证需求，S5130-EI系列交换机支持单端口多认证的统一部署方式，使得用户可以选择任何一种适合的认证机制来进行认证，且只需要通过一种方式的认证即可实现接入。客户端提供GuestVlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持SecureShellV2（SSHV2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。ARP攻击和ARP病毒作为局域网安全的第一大威胁，H3CS5130-EI系列交换机支持丰富的ARP防御功能，例如ARPDetection，实现用户合法性检查功能和ARP报文有效性检查功能，ARP限速，避免大量ARP报文对CPU进行冲击等等。H3CS5130-EI系列交换机支持EAD（终端准入控制）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。丰富的QoS策略H3CS5130-EI系列交换机支持支持L2（Layer2）~L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式。同时还支持入/出方向双向ACL、支持流量监管CAR功能、支持出/入方向的端口/流镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。同时H3CS5130-EI系列交换机还支持sFlow功能，对网络上的数据包进行采样，在千兆/万兆高速的网络上精确地监控网络流量，用于对网络流量进行统计分析和控制。SDN（软件定义网络）软件定义网络（SoftwareDefinedNetwork，SDN）是一种创新的网络架构体系。其核心技术Openflow通过将网络的控制层和数据转发层进行分离，大幅简化了网络的管理及维护难度，更为重要的是实现了网络流量的灵活控制，为核心网络及应用的创新提供了良好的网络平台。S5130-EI系列交换机支持大规格流表，配合H3CSDNcontroller可轻松实现大规模二层架构组网并为现有网络提供了快速添加用户的功能；在大幅简化网络管理的难度的同时可显著降低网络维护的成本。出色的管理性H3CS5130-EI系列交换机支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMPv2集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5130-EI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。H3CS5130-EI交换机支持BIMS协议，能自动从服务器下载配置文件和应用程序，实现零配置启动，大幅度降低了大型网络和复杂网络的初始配置工作量。高可靠性H3CS5130-EI系列交换机具备设备级和链路级的多重可靠性保护。硬件支持过流保护、过压保护和过热保护技术；支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使设备具备了很高的可靠性。其中S5130-28F-EI交换机支持可插拔交、直流双电源可靠性设计。除了设备级可靠性以外，该产品还支持丰富的链路级可靠性技术，包括LACP/STP/RSTP/MSTP/SmartLink等保护协议。支持IRF2智能弹性架构，支持1：N冗余备份，支持环形堆叠，支持跨设备的链路聚合，极大提高网络可靠性，当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。绿色节能H3CS5130-EI系列交换机采用最新节能芯片以及创新的架构设计方案，实现千兆交换机的最低功耗，并且部分款型做到无风扇静音设计，给用户带来绿色、环保、节能的全新网络接入产品，降低用户维护成本。同时H3CS5130-EI系列交换机采用多种绿色节能设计，包括auto-power-down（端口自动节能），如果在一段时间内接口状态始终为down，则系统自动停止对该接口供电，自动进入节能模式；支持EEE节能功能，端口如果在连续一段时间之内空闲，系统会将该端口设置为节能模式，当有报文收发时再通过定时发送的监听码流唤醒端口恢复业务，达到节能的效果，满足材料环保与安全性的欧盟RoHS标准。千兆8口POE接入交换机LS-S5110-10P-PWRH3CS5110系列以太网交换机是H3C公司自主开发的绿色节能全千兆以太网交换机产品，具备丰富的业务特性，广泛应用于企业网和园区网的接入。在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性是千兆接入的理想选择。高性能与灵活扩展能力H3CS5110系列交换机支持所有端口线速转发，满足了用户对高带宽的需求。S5110系列交换机至少支持2或4端口千兆上行，并且SFP端口既可以支持百兆光模块，也可以支持千兆光模块，在降低用户成本的同时，更好的考虑了用户后续升级的实际需求。H3CS5110系列交换机可支持32台设备的堆叠，最大扩展至1664个100/1000M端口，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了用户投资。丰富的安全策略H3CS5110系列交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”。支持IPSourceGuard特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及DoS攻击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。H3CS5110系列交换机支持端口安全特性族，可以有效防范基于MAC地址的攻击，