构建高效网络枢纽方案

山东鸿杰印务集团有限企业网络机房技术方案2023年04月 3 31.2技术规定 3第二章系统拓扑 52.1全网拓扑设计 52.2方案阐明 6第三章产品简介 73.1关键互换机 73.2防火墙 3.3汇聚互换机 3.4AP接入点 3.5AP控制器 第二章系统拓扑办公光纤光纤机光午车间原有二层交换机心交换机信线电专车间车间2.2方案阐明扩展。因此我们在这里选用了H3C的F100-M-G作为防火墙，选用H3C的行统一管理，最大可支持32个AP。第三章产品简介3.1关键互换机产品图片产品特性H3CS5500-EI系列互换机是H3C企业最新开发的增强型IPv6强三层万兆以太网互换机产品，具有业界盒式互换机最先进的硬件处理能力和最丰富的业务特性。支持最多6个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使客户可以从容应对即将带来的IPv6时代；除此以外，其杰出的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网关键、以及城域网边缘设备的第一选择。同步S5500-EI系列互换机支持嵌入式管理软件，通过内置H3CUISManager统一管理软件可提供跨服务器、存储、网络以及虚拟化的全融合管理，简化布署安装，优化运维管理。高扩展性保护投资伴随顾客端速度不停提高，顾客最终会使集群千兆链路到达饱和，而可以拥有多条集群10GE链路将是我们的未来发展方向。H3CS5500-EI系列互换机支持两个扩展槽位，每个槽位支持最大两端口的10GE扩展模块及两端口的CX4扩展试。这个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6H3CS5500-EI系列互换机支持IRF2(第二代智能弹性架构)技术，就是把*简化管理IRF架构形成之后，可以连接到任何一台设备的任何一种端口*简化业务IRF形成的逻辑设备中运行的多种控制协议也是作为单一设备*弹性扩展可以按照顾客需求实现弹性扩展，保证顾客投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。*高可靠IRF的高可靠性体目前链路，设备和协议三个方面。组员设备之一旦Master设备故障，系统会迅速自动选举新的Master,以保证通过系统的业能负责将协议的配置信息备份到其他所有组员设备，从而实现1:N的协议可靠*高性能对于高端互换机来说，性能和端口密度的提高会受到硬件构造的 现端口之间的隔离，从而防止广播风暴和病毒在VLAN内S5500-EI系列互换机还具有设备级和支持PoE(PoweroverEthernet)技术，通过以太网对所连接的设备(如IPPhone,WirelessAP等)进行远程供电，从而使得不必在使用现场为设备布署单独的电源系统，可以极大地减少布署终端设备的布线和管理成本。支持H3CS5500-EI系列互换机支持支持L2(Layer2)~L4(Layer4)H3CS5500-EI系列互换机支持SMPv1/v2/v3(SimpleNetworkManagement性寸(长×宽×高)重量口1个Console口ase-T以太网端口ase-T以太网端口ase-T以太网端口0/100/1000Base-T以太网端口千兆SFP端口千兆SFP端口千兆SFP端口千兆SFP端口千兆SFP端口ase-T以太网端口槽可选接口模块1端口万兆以太网XFP光接口模块2端口万兆以太网XFP光接口模块2端口万兆以太网CX4接口模块2端口1/10GBase-T以太网电接口模块2端口千兆以太网SFP光接口模块不支持支持不支持合支持手工聚合支持最多14/26个聚合组，每组支持最多8个GE或4个10GE端口性支持IEEE802.3x流量控制(全双工)支持基于端口速率比例的风暴克制支持基于PPS的风暴克制表支持32K个MAC地址支持黑洞MAC地址支持设置端口MAC地址学习最大个数支持基于端口的VLAN(4K个)网协议DHCPSnoopingoption82/DHCPRelayopt支持IRF2智能弹性架构性架构支持分布式设备管理，分布式链路聚合，分布式弹性路由支持通过原则以太网接口进行堆叠支持当地堆叠和远程堆叠IP路由支持静态路由支持0SPFv1/v2,OSPFv3支持等价路由，方略路由支持VRRP/VRRPv3支持ND(NeighborDiscovery)支持IPv6-Ping,IPv6-Tracert,IPv6-Teln支持手动配置Tunnel支持6to4tunne]支持ISATAPtunnel组播支持IGMPSnoopingvl/v2/v3,MLDSnoopingv1/v2支持IGMPv1/v2/v3,MLDv1/v2镜像支持流镜像支持N:4端口镜像支持当地和远程端口镜像支持L2(Layer2)^L4(Layer4)包过滤功能，提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、L支持入方向和出方向的双向ACL方略S支持对端口接受报文的速率和发送报文的速率进行限制支持报文重定向支持CAR(CommittedAccessRate)功能每个端口支持8个输出队列支持报文的802.1p和DSCP优先级重新标识性支持顾客分级管理和口令保护支持802.1X认证/集中式MAC地址认证支持RADIUS认证支持端口隔离支持端口安全支持PORTAL认证可支持DHCPSnooping,防止欺骗的DHCP服务器支持动态ARP检测，防止中间人袭击和ARP拒绝服务支持uRPF(单播反向途径检测),杜绝IP源支持IP/Port/MAC的绑定功能支持OSPF、RIPv2报文的明文及MD5密文认证。维护支持XModem/FTP/TFTP加载升级支持命令行接口(CLI),Telnet,支持SNMPv1/v2/v3,WEB网管支持RMON(RemoteMonitorin支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2(最大256台)支持电源的告警功能，风扇、温度告警支持Ping、Tracert支持VCT(VirtualCable支持DLDP(DeviceLinkDetectionProtocol)单向链路检测协议支持LLDP支持Loopback-detection端口环回检测输入电压交流额定电压范围：100V～240VAC,50/60Hz最大电压范围：90V～264VAC,47/63Hz直流额定电压范-52V～-55VDC(RPS专用)负荷时)大575W,其中外供电功率大640W,其中270W,POE对外供电功率外供电功率70W,POE对外供电功率工作环境温度0℃~50℃工作环境相对3.2防火墙产品图片产品特性H3CSecPathF100-M-G是H3C企业推出的新一代防火墙产品，可以满足中小企业不停变化的网络环境和日益丰富网络应用的需要。SecPathF100-M-G继承H3C一贯的高性能、高可靠硬件平台，可认为顾客提供线速、稳定的应用体验。SecPathF100-M-G不仅可以提供老式的基础安全功能，如状态检测、NAT、VPN、*全面的基础安全防护：提供安全区域划分、静态/动态黑名单功能、MAC*专业的NAT应用：提供多对一、多对多、静态网段、双向转换、EasyIP*与基础安全防护高度集成的一体化安全业务处理平台*全面的应用层流量识别与管理：通过H3CeMule(电骡)/eDonkey(电驴)、、MSN、PPLive等P2P/IM/网络游戏/炒股测的措施，即通过将网络报文与P2P (FullInspectionwithRigorousStateTest,基于精确状态的全面检测)引*实时的病毒防护：采用Kaspersky企业的流引擎查毒技术，从而迅速、精*全面、及时的安全特性库。通过数年经营与积累，H3C企业拥有业界资深*国内率先支持IPv6状态防火墙，真正意义上实现IPv6条件下的防火墙功*支持双机状态热备功能，支持配置同步与IPSecVPN的状态备份，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份*集成链路负载均衡特性，通过链路状态检测、链路*简朴易用的WebUI管理*适合专业顾客的全命令行管理描述接口1个配置口(CON)1个MIM插槽，可通过该插槽扩展网络接口标配256MCF卡电源模块最大输入电流最大功率消耗环境温度工作：0～45℃环境湿度工作：10～95%,无冷凝非工作；5～95%,无冷凝属性阐明路由模式混合模式网络安全性域认证防火墙安全区域划分基础和扩展的访问控制列表基于时间段的访问控制列表动态包过滤静态和动态黑名单功能基于MAC的访问控制列表支持802.1gVLAN透传病毒防护基于病毒特性进行检测支持病毒库手动和自动升级支持的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等支持病毒日志和报表入侵防御的防御支持对BT等P2P/IM识别和控制系统进行分类)、分级(分高、中、低、提醒四支持袭击特性库的手动和自动升级(TFTP和)客户自定义URL过滤规则库支持JavaBlocking、ActiveXBlocking过滤安全日志及记录系统操作日志防火墙日志袭击防护日志黑名单日志支持多种内部地址映射到同一种公网地址支持多种内部地址映射到多种公网地址支持源地址和目的地址同步转换支持外部网络主机访问内部服务器支持内部地址直映射到接口公网IP地址支持DNS映射功能可配置支持地址转换的有效时间支持多种NATALG,包括DNS、FTP、H.323、ILS、支持根据VPN顾客完整顾客名、顾客域名向指定支持为VPN顾客分派地址支持进行LCP重协商和二次CHAP验证支持AH、ESP协议支持手工或通过IKE自动建立安全联盟支持NAT穿越支持DPD检测支持WebProxy服务支持Telnet、Windows、VNC远程桌面共享支持Outlook、Notes支持固定服务端口的TCP应用程序支持客户端隧道分离支持对可访问网段的限制支持对TCP、UDP和ICMP报文的过滤支持使用私有协议对客户端虚网卡IP地址的分派支持SSLVPN客户端之间的通讯客户端支持WINS服务和DNS服务支持当地认证、RADIUS认证、LDAP认证、AD认和指定进程的检查支持清除缓存的网页、Cookie、客户端程序和客网络互连局域网协议网络协议IP服务域名解析IP路由静态路由方略路由高可靠性支持双机状态热备(Active/Active和Active/Backup两种工作模式)支持负载分担和业务备份流量监管命令行接口配置命令分级保护，保证未授权顾客无法侵入设备详尽的调试信息，协助诊断网络故障用Telnet命令直接登录并管理其他设备FTPServer/Client,TFTPClie支持日志功能User-interface配置，提供对登录顾的认证和授权功能。支持原则网管SNMPv3,并且兼容SNMPv2c、SNMPv1支持NTP时间同步支持SNMP、TRO69网管协议支持欧洲严格的RoHS环境保护认证3.3汇聚互换机产品图片产品特性H3CWiNet智慧系列互换机是H3C近年来在中低端网络产品技术领域的一次重大技术创新，将具有WEB图形化界面的网络设备管理和顾客管理功能的软件融合到互换设备中，通过设备间的配合组网能轻松实现设备配置管理，网络拓扑管理，顾客接入认证，访问权限控制等功能，满足企业顾客易管理、高安全、低成本的建网需求，适合行业、企业网、办公网等场景互换机组网选型。内嵌专业级中文图形化网管系统H3CWiNet智慧系列互换机内嵌专业级中文WEB网管软件，通过其简朴直观的WEB图形化网管界面可以实现40多种功能配置，包括常用的设备端口配置，VLAN配置，生成树协议配置，MAC地址管理，ARP表管理，基础和高级的IPv4、和ACL(访问控制列表)等网络安全技术外，还支持ARP入侵检测功能和ARP报趋盛行的“ARP欺骗袭击”和“泛洪袭击”,并且这一技术布署十分简朴，可以端，此外基于帐号(顾客)的管理模式，使得WiNet顾客管理系统可以对不一样线接入点，可视IP,以及更多的POE受电终端设备提供以太网供电能力。计),具有完善的二、三层网络功能(不一样于其他简朴智能网管产品),其可互换机(组建小型Office办公网络),采用产品自带的中文WEB网管系统管理；在企业规模到达百人以上时，可以通过关键H3CS5500系列互换机内嵌的WiNetIMC网管平台对网内的WiNet智慧系列互换机进行管理，由此可以看出WiNet智互换容量(全双包转发率(整管理端口1个Console口24个10/100/1000Base-T以太网端口，4个1000Base-XSFP千兆以太网端口无可选接口模块如下接口模块仅适配S5500-28F-WiNet款型：单端口10GEXFP接口模块端口聚合支持手工聚合端口支持IEEE802.3x流控(全双工)支持基于端口速率比例和kbps的风暴克制支持基于端口的VLAN(4K个)支持DHCPSnoopingtrust支持DHCPSnoopingoption82支持DHCPServer(S5500-24P-WiNet/S550S5500-28F-WiNet支持)支持DHCPReley(S3100V2-26TP-WiNet/S3100V2-52TP-WiNet除外)组播支持IGMPSnoopingv2/v3生成树支持STP/RSTP/MSTP协议每个端口支持4个输出队列(S5500-24P-WiNeWiNet/S5500-28F-WiNet支持8个输出队列)支持802.1p/DSCP优先级支持端口队列调度(SP、WRR、SP+WRR)支持基于流的包过滤支持基于流的流量记录支持基于流的重定向支持基于流的优先级标识支持流量整形镜像支持端口镜像支持流镜像安全特性支持顾客分级管理和口令保护支持Radius认证支持802.1X,集中式MAC地址认证支持端口隔离支持端口安全支持MAC地址学习数目限制管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口(CLI),Telnet,Console口进行基本业务S5500-48P-WiNet/S5500-28F-WiNet内嵌)支持RMON(RemoteMonitoring)支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持Ping,Tracert支持VCT(VirtualCable输入电压交流额定电压范围：100V～240VAC;50/60Hz最大电压范围：90V～264VAC;47/63Hz功耗(满负荷工作环境温度0℃~45℃工作环境相对湿度(非凝露)3.4AP接入点产品图片5WAP722系列AP遵从802.11ac协议原则，能提供空间2流(2-Streams)866Mbps的无线传播速率以及整机千兆接入能力，是相似环境下802.11n产品3*全速率全特性可以满足原则POE供电(低于12.95W)。*WAP722系列AP支持GreenAP模式，实现单天线待机，节能更精确。*双千兆以太网口的支持，还可以实现AP上行链路传播的备份，有效减少支持IPv4/IPv6双协议栈(Native与SensorAP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线干扰源，确定有问题的无线设备的位置，保证无线网络发挥最佳的性能。结合终端准入控制(EAD,EnduserAdmissionDominatiWi-Fi报文进行侦听捕捉并实时镜像到当地分析设备供网络管理员进行故障排干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽WAP722系列AP支持使用中文SSID,可指定最长包括32属性括天线接口和附件)1000M以太2个支持802.3af/802.3at兼容供电当地供电Console口无USB口1个内置天线内置天线工作频段5.155.35GHz(中国)802.11b/g/n:2.4GHz-2.483GHz(中国)调制技术调制方式OFDM:64QAM@48/54Mbps,16QAM@24Mbps,QPSK@12/18Mbps发射功率(最大)可调功率粒度复位/恢复出厂配置状态指示灯Blink交替闪烁模式、橙绿不一样工作状工作温度/存贮温度工作湿度/存贮湿度5%~95%(非冷凝)防护等级整机功耗安全规范GB9254、EN301489、EN55022、FCCPart15FCCPart15、EN300328、EN301893、工信部无线电发射设备型号核准FCCBulletinOET-65C、EN50385、ICSafet3.5AP控制器产品图片产品特性H3CWAC360/361是杭州华三通信技术有限企业(如下的网关型多业务无线控制器(AC,AccessController)产品系列。WAC3提供对802.1lacAP的管理WAC360/361系列无线控制器在支持对老式802.1la/b/g/nAP管理的同步，还可以与H3C基于802.llac协议的AP配合组网，从而提供相称于老式合)。顾客可以根据不一样的应用场景为UserProfile配置不一样的内容，例如CAR(CommittedAccessRate,承诺访问速率)方略和QoS(QualityofService,非重叠信道上，例如对于2.4G网络，只有3个非重叠信道，因此怎样智能地为802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP,这很轻易导致大量的客户端仅仅由于某个AP信号较刻和目前位置下哪些AP可以彼此分肩负载，通过控制无线客户端接入的AP,来支持7层移动安全检测/防御(wIDS/wIPS)WAC360/361系列无线控制器支持的移动安全防御模对于明确的非法袭击源(AP或终端等),实现可视的物理位置跟踪监控和互换机通过配合H3C专业关键层防火墙/IPS设备，更可以实现移动园区的7层立体的专业监控方案。全系列无线控制器可以和内置射频采集模块的SensorAP,实与SensorAP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线干扰源，确定有问题的无线设备的位置，保证无线网络发挥最佳的性能。结合WAC360/361系列无线控制器支持针对AP的远程探针分析功能。可以对覆盖WAC360/361系列无线控制器内置针对AP的射频优化引擎(RFOptimizing度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、MAC地址认证却可以轻松处理该问题，实目前控制器或者AAA服务器也可以根据方略规定，灵活推送定制Portal页面，到达广告宣传、信息传递的支持IPv4/IPv6双协议栈(NatiWAC360/361系列无线控制器支持无线客户的IPV6接入。在隧道起点由于设备对IPv6感知，因此可以做到IPv6优先级到隧能在IPv6孤岛中给客户提供IPv4的服务，同步也能在IPv4孤岛中让顾客轻松持IPv6SAVI(SourceAddresWAC360/361系列无线控制器基于Comware平台开发，不仅对Diff-Serv原则完善支持，同步增长了对IPv6协议的QoS支持。WAC360/361系列无线控制器支持二、三层漫游，漫游域不受子网的限制。这种老式模式下，当无线顾客终端使用802.1x作为802.11接入认证和密钥交互个AP间漫游时，假如无线顾客终端在新AP接入的过程完全遵从完整的802.1x务(例如语音业务),这样的长切换时间是无法忍受的。WAC360/361系列无线控制器采用Keycaching技术完毕漫游时顾客的迅速切换，Keycaching技术在顾客的安全接入和迅速漫游间做了一种很好的平衡，可以使无线顾客终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程，同步又能保证顾客*顾客集中管理，把分支机构的所有顾客的认证流程转发到总部，由总