医院智能化计算机网络系统建设技术方案

医院智能化计算机网络系统建设技术方案网络方案建议*****医院信息化网络建设项目将实现*****医院办公、应用、管理、有线无线一体化等各项功能，使网络适应用户业务的发展，实现网络应用、管理及办公的自动化，提高工作效率，降低运营成本。利用目前先进的网络设备建设现代化办公环境，将网络所带来的便利引入到工作中，高速网络及无线网络的应用将提高网络在工作环境的满意度。为了实现上述目标，在本次网络建设项目中，网络建设将本着高可靠、高安全、高效率、高扩展性，建设先进的、成熟的、稳定的办公网络。网络总体设计构建策略为切实达到以上的网络设计原则，实现*****医院网络建设目标，使*****医院网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中采用网络“模块化”设计，即按照网络需要实现的功能与作用，对网络进行功能模块的划分，形成多个实现不同功能的区域。网络管理区将对网络的性能、安全的各方面提供监控及管理，将成为本次网络建设的重点内容。无线接入点采用华三的“瘦”AP，通过无线控制器对AP进行控制。该产品大大减化了无线网络的配置及管理成本。同时，可以实现有线、无线安全策略的无缝连接。网络拓扑图相关设备性能介绍*****路由器*****产品（以下简称SR6602-X）是H3C自主研发面向中高端企业网、校园网用户的紧凑型综合业务网关路由器，定位于中大型企业、校园网、网吧的VPN、NAT、IPSec等综合业务网关使用，同时，也可以应用中型纵向网络汇聚、高端企业用户大型分支和运营商可管理高性能CPE市场，配合H3C其他网络产品为政府、电力、金融、公共事业、运营商和大中型企业用户提供全方位网络解决方案。*****万兆网关模式是SR6602-X提供的一种设备工作模式，该工作模式针对校园网出口、企业网出口、网吧等应用的特点和性能需求，做了专门的优化，将出口网关的NAT转发性能一举突破万兆，并且在网关特性的功能和性能二者之间达到了完美的平衡。*****率先在业界同类产品中提供双万兆以太网固定接口，凭借新一代更高性能的网络多核处理芯片，可实现整机万兆线速的处理性能。*****软件上采用H3C成熟商用的ComwareV5操作系统，后期可以平滑升级到ComwareV7操作系统，硬件上采用新式灵活接口设计，在保证高性能和灵活配置的前提下，最大化保护用户投资，充分满足不同行业用户组网需求。产品特性业界领先的开发理念*****双万兆网关基于业界领先紧凑型设计理念，在2U高设备上不仅集成高密度高速端口，支持FIP-20和FIP-10灵活接口设计，还实现了可插拔冗余电源和模块、风扇可插拔功能，在保证设备高可靠性、网络配置灵活性的同时确保业务模块的兼容性，最大限度保护用户投资。*****万兆网关采用高性能多核处理器作为NAT业务处理引擎，多核多线程处理器的应用，使SR6602-X万兆网关具备高性能和灵活性等特点，从而在并行处理各种复杂的NAT业务同时能够实现数据的高速转发。新一代网络操作系统*****双万兆网关可以平滑升级到新一代的ComwareV7网络操作系统。ComwareV7控制平面采用多核及SMP(SymmetricalMulti-Processing对称多处理)技术，各软件模块有独立的运行空间，可以动态加载、单独升级，支持ISSU。ComwareV7能够保证关键业务性能及实时性。支持指定进程集合运行在专有的CPU上，为关键任务的运行提供资源保障、线程的抢先调度及合理的优先级设置，保证系统CPU负荷高时，有实时性要求的功能仍然可以及时响应事件进行处理。ComwareV7能够提供良好的进程级可靠性。支持进程内存保护、进程级重启、进程级备份、进程级补丁等技术。先进的虚拟化技术*****双万兆网关支持虚拟化IRF2，可以把多台SR6602-X设备虚拟成一台逻辑设备，统一控制平面、统一转发平面，可以减少网元节点数量、简化网络配置、提高网络可靠性。*****双万兆网关支持虚拟路由器MDC，把一台SR6602-X通过软件虚拟化成多台逻辑网络设备，硬件上虚拟设备享有独立的CPU、内存、板卡等资源，软件上虚拟设备享有独立的控制平面、数据平面和管理平面，虚拟路由器之间相互独立、互不影响，为用户提供弹性扩展的租用逻辑网络。超高的NAT业务性能SR6602-X的网关模式具有双万兆的强大NAT业务性能：SR6602-X网关模式NAT会话数最高支持400万；在叠加NAT、防火墙以及策略路由等常见网关应用的情况下，256字节报文转发性能可以达到15Gbps。在并发200万NAT连接时，256字节以及IMIX互联网混合报文的NAT转发性能仍然仍可超10Gbps。SR6602-X强大的NAT转发性能，完全可以满足各种超大型园区网出口的性能要求，并能满足用户今后出口带宽扩容需求。灵活的出口选择技术作为网关出口经常要面对双出口或多出口的情况，SR6602-X的网关模式支持灵活的出口选择技术：在内部用户访问Internet方向，采用灵活的路径选择技术，可以根据出口网络资源利用情况、内部用户的访问需求、目的网络地址所属运营商、基于用户应用等因素，规划网关出口的选择；在Internet用户访问内部服务器方向，可以根据Internet用户入内部网络的运营商线路，智能选择该用户回程流量的运营商线路，保证入出网关流量的路径一致；另外，在多出口场景时，还可以基于EAA功能解决个别出口超负载后的流量调整问题。针对出口链路设定一定的阈值，达到阈值后可以调整部分流量到负载较为空闲的链路上。强大的带宽控制能力在网关应用中，随着P2P、多线程FTP等应用的不断普及，这些多线程的应用正在越来越多的吞噬着本来就非常有限的出口带宽资源，如果不对这些应用加以限制，它们会消耗全部的带宽资源，使关键业务应用无法正常开展。SR6602-X万兆网关提供了强大的带宽控制能力：SR6602-X的网关模式支持实用的NAT连接数限制功能：网络管理员可以灵活设定用户可使用的并发连接数上限，这样当多个用户上网时，不会发生因某一用户过多开启上网应用系统而导致侵占其它用户连接数资源。SR6602-X的网关模式还可以对网络中一台主机的特定协议进行连接数限制，如内网Web服务器的HTTP连接数，从而避免内网服务器受到flood攻击，同时也提升了服务器对外部访问的及时响应。支持灵活的每用户限速功能：可以根据需要对内网的个别IP地址、IP网段进行限速，每个用户的带宽可以设为一个固定值或者网段所有用户平均分享出口总带宽。通过带宽的控制能力可以将用户的可用带宽限制在一个合理的范围内，防止个别用户无限制消耗出口带宽资源。SR6602-X万兆网关还支持强大的QoS拥塞管理功能：通过配置CBWFQ等队列技术，即使在出口极度拥塞的情况下，也能保证网络关键业务的带宽和时延。主备网络的带宽管理：充分利用备份网络资源，主网络资源紧张的情况下，根据事先设定好的策略，将一部分数据流量重路由到备份网络上进行数据传输，使闲置的资源可以得到充分利用达到100%使用；UCMP非平衡链路负载均衡：UCMP区别于传统的ECMP，其最大特点是利用权重值来区别对待带宽的使用，使得两条不同带宽的出口，可根据带宽大小不同来承担不同的数据流量传输；完善的传统VPN网关作为大型企业的出口网关设备，在部署NAT功能的同时，还可能需要部署各种VPN应用。SR6602-X万兆网关全面支持GRE、L2TP、IPSec等VPN功能，借助多核处理器内嵌的强大加密引擎，可以为用户提供大容量、高性能的安全VPN接入。在硬件上支持独立的硬件加密内核，在不增加用户投资的前提下可提供8GbpsIPSec数据加密处理能力，6000条IPSec隧道、32000条L2TP隧道、4000条GRE隧道，高性能的加密能力以及超大的隧道容量可以满足各种大型加密网关的要求，保证用户数据在广域网的传输安全。技术领先的ADVPN和GDVPNKS网关传统VPN技术在灵活性和可维护性上还存在着不足，例如企业分支机构通常采用动态地址接入公共网络，通信一方无法事先知道对端公网地址，以及全连接时配置的12N2'>问题等等。H3C针对上述用户业务需求，提供专业ADVPN（AutoDiscoveryVirtualPrivateNetwork，动态虚拟专用网络）解决方案和GroupDomainVPN（GroupDomainVirtualPrivateNetwork，组域虚拟专用网络）是一种实现密钥和安全策略集中管理的VPN解决方案。ADVPN是通过VAM（VPNAddressManagement，VPN地址管理）协议收集、维护和分发动态变化的公网地址等信息，解决无法事先获得通信对端公网地址的问题。ADVPN可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立VPN。在组网的灵活性以及维护工作量精简都有大幅提高，此外还提供很多丰富的特性，例如：ADVPN报文的NAT穿越、安全认证、IPSec的报文加密以及多VPN域等等。GroupDomainVPN是一种实现密钥和安全策略集中管理的VPN解决方案。传统的IPsecVPN是一种点到点的隧道连接，而GroupDomainVPN是一种点到多点的无隧道连接。GroupDomainVPN主要用于保护组播流量，例如音频、视频广播和组播文件的安全传输。GroupDomainVPN提供了一种基于组的IPsec安全模型。GroupDomainVPN由KS（KeyServer，密钥服务器）和GM（GroupMember，组成员）组成。SR6602-X万兆网关不仅可以充当GM角色，更可以充当KS网关.。GDVPN相比较传统的IPsecVPN，GroupDomainVPN具有如下优点：网络扩展性强。传统的IPsecVPN中，每对通信对等体之间都需要建立IKESA和IPsecSA，管理复杂度为12N2'>，而GroupDomainVPN中所有组成员之间共用一对IPsecSA，管理复杂度低，可扩展性更好。无需改变原有路由部署。传统的IPsecVPN是基于隧道的VPN连接，由于封装了新的IP头，需要重新部署路由。GroupDomainVPN不需修改报文IP头，报文外层封装的新的IP头与内层的原IP头完全相同，因此，不需要改变原有部署的路由。更好的QoS处理。传统的IPsecVPN由于在原有IP报文外封装了新的IP头，报文在网络中传输时，需要重新配置QoS策略。GroupDomainVPN保留了原有的IP头，网络传输时可以更好地实现QoS处理。组播效率更高。由于传统的IPsecVPN是点到点的隧道连接，当需要对组播报文进行IPsec保护时，本端需要向组播组里的每个对端均发送一份加密报文，因此组播效率低。GroupDomainVPN是无隧道的连接，只需对组播报文进行一次加密即可，本端无需单独向每个对端发送加密报文，组播效率高。可提供any-to-any的连通性。所有组成员共用一对IPsecSA，同一个组中的任意两个组成员之间都可以实现报文的加密和解密，真正实现了所有节点之间的互联。全方位的网络安全防护SR6602-X内置多种安全特性，为用户的网络提供全方位安全防护：全面的防火墙功能：支持包过滤防火墙、状态防火墙，过滤各种攻击报文，并能提供过滤日志。特有的ACL加速算法，消除了ACL过滤规则数目对防火墙性能的影响；全面的内置防攻击手段：支持各种ARP防攻击技术，如：ARP限速、ARPProxy、授权ARP、ARP主动确认、ARP源MAC一致性检查等等，可以很好地防范内网中日益猖獗的ARP攻击，保证网络业务运行的稳定性；单包攻击防范：可以对Fraggle、ICMPRedirect、ICMPUnreachable、LAND、LargeICMP、RouteRecord、Smurf、SourceRoute、TCPFlag、Tracert、WinNuke等单包攻击行为进行有效防范；扫描攻击防范：攻击者运用扫描工具对网络进行主机地址或端口的扫描，通过准确定位潜在目标的位置，探测目标系统的网络拓扑结构和启用的服务类型，为进一步侵入目标系统做准备；泛洪攻击防范：有效阻止SYNFlood攻击、ICMPFlood攻击、UDPFlood黑名单功能：根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL（AccessControlList，访问控制列表）的包过滤功能相比，黑名单进行报文匹配的方式更为简单，可以实现报文的高速过滤，从而有效地将特定IP地址发送来的报文屏蔽掉；流量统计辅助攻击防范：主要用于对内外部网络之间的会话建立情况进行统计与分析，具有一定的实时性，可帮助网络管理员及时掌握网络中各类型会话的统计值，并可作为制定攻击防范策略的一个有效依据；支持URL过滤，避免用户访问非法网站；完备的用户行为跟踪记录：支持完善的日志功能，配合H3C公司的iMCUBAS（用户行为审计）解决方案，使网络管理员可以方便监控上网用户的行为，保证网络安全运行。良好的接口扩展性*****网关路由器凭借灵活接口平台设计具备强大的扩展能力。FIP-10可同时支持4个多功能接口模块（MIM），FIP-20可以同时支持2个高速接口模块（HIM）或2个多功能接口模块（MIM），并支持HIM和MIM接口模块之间混插。SR6602-X网关模式可以支持FE、GE以及10GE等多种速率的以太接口卡，在接口介质上可以支持电口和SFP光口，光口还可以支持百兆、千兆自适应。用户按需购买，应用灵活方便。强大的路由处理能力*****网关路由器支持大容量路由转发表项，同时支持丰富的路由策略和强大的策略路由功能，可对网络流量进行灵活的控制和调度，满足行业和运营商用户不同业务特性要求。此外，*****还全面支持基于IPv4/IPv6静态路由和动态路由协议，如：RIP/RIPng、OSPF/OSPFv3、IS-IS/IS-ISv6、BGP/BGP4+等。运营级可靠性设计SR6602-X秉承高端设计理念给用户提供全面的可靠性保障：在硬件上，提供可插拔电源冗余设计，支持交流或直流电源输入，保证用户在一路电源故障的情况下能够继续运行设备；支持全部接口模块的热插拔功能，确保用户在不间断业务的情况下插拔或者更换单独的模块，并提供热补丁技术，实现软件平滑升级。支持MPLSTEFRR（FastReRoute，快速重路由），具备快速路由备份（FRB：FastRoutingBackup）特色功能，并结合BFD功能，实现故障链路的快速切换。支持IPFRR（FastReRoute，快速重路由），可以和静态路由/策略路由/RIP/IS-IS/OSPF进行联动，并可以结合BFD功能，实现故障链路的快速路由切换。支持IGP快速收敛。支持虚拟路由冗余协议（VRRP），结合BFD故障检测机制，实现快速的VRRP倒换能力。此外，还支持增强型虚拟路由冗余协议（VRRPE），可实现多个虚拟路由器的负载分担功能。支持OSPF/IS-IS/BGP/MPLSLDP/MPLSRSVP-TEGR(GracefulRestart，完美重启)功能实现主备引擎倒换时不间断转发。H3CSecPathF1000-S-G防火墙SecPath系列产品是H3C公司为企业和运营商用户设计的专业网络安全产品，通过将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上，不但能为用户提供广泛和深入的安全防护和安全连接功能，同时可以降低与安全相关的总体拥有成本以及部署的复杂程度，是网络安全解决方案的理想选择。SecPath系列产品作为H3C公司iSPN（智能安全渗透网络）解决方案的重要组成部分，已经成为H3C公司IToIP核心理念中的IP自适应安全网络的坚实基础。SecPathF1000-S-G是H3C公司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（ApplicationSpecificPacketFilter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN、SSLVPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由。SecPathF1000-S-G防火墙充分考虑网络应用对高可靠性的要求，采用互为冗余备份的双电源（1＋1备份）模块，支持交、直流输入电源模块；支持双机状态热备，支持Active/Active和Active/Passive两种工作模式。提供机箱内部环境温度检测功能，并支持网管。产品特性市场领先的安全防护功能增强型状态安全过滤：支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；支持H3C特有ASPF应用层报文过滤（ApplicationSpecificPacketFilter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245，RTP/RTCP等）应用层协议的状态监控，支持TCP/UDP应用的状态监控。抗攻击防范能力：包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。应用层内容过滤：支持IPS以及AV防病毒功能，能够有效精准的进行入侵检测；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTPURL和内容过滤；支持应用层过滤，提供Java/ActiveXBlocking和SQL注入攻击防范。多种安全认证服务：支持RADIUS和HWTACACS协议及域认证；支持基于PKI/CA体系的数字证书（X.509格式）认证功能；在PPP线路上支持CHAP和PAP验证协议；支持用户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限。集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。全面NAT应用支持：提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能，能够有效解析报文内部所携带的IP地址并予以相应转换，保证NAT设备两端的应用层协议访问正常。专业灵活的VPN服务支持L2TPVPN、GREVPN、IPSecVPN、SSLVPN等多种VPN业务模式。技术领先的IPv6支持IPv4/IPv6双协议栈，并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能。支持IPv6各种过渡技术，包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等。支持IPv6ACL、Radius等安全技术。智能网络集成及QoS保证支持路由、透明及混合运行模式支持静态路由协议支持RIPv1/2、OSPF、BGP动态路由协议支持路由策略及策略路由支持基于802.1qVLAN支持PPPoEClientDHCPClient/Server/Relay电信级设备高可靠性支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。支持机箱内部环境温度自动检测，并可通过网管自动采集告警信息。双电源冗余备份。极具性价比的多业务特性集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等技术，有效实现企业互联网出口的多链路自动均衡和自动切换。一体化集成SSLVPN特性，满足移动办公、员工出差的安全访问需求，不仅可结合USB-Key进行移动用户的身份认证，还可与企业原有认证系统相结合、实现一体化的认证接入。智能图形化的管理通过Web方式进行远程配置管理。通过H3C网管软件实现与网络设备的统一管理。支持基于SNMP和TR-069协议的管理。通过IMCIVM组件对VPN进行动态和图形化的业务管理和状态监控。H3CS7500E系列高端多业务路由交换机H3CS7500E(X)系列产品是*****（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的ComwareV5操作系统，以IRF2（IntelligentResilientFramework2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLSVPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3CS7500E(X)符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。产品特性丰富的业务，适应融合业务网络发展趋势基于IRF2（第二代智能弹性架构）技术的虚拟化架构H3CS7500E(X)面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供2-4台主机的协同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分；另外H3C的IRF2虚拟化技术还可根据组网的要求支持长距离（80KM）的普通以太网万兆光纤堆叠。全面的MPLS、VPLS业务能力H3CS7500E(X)所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLSVPN和二层的MPLSVPN（Martini、Kompella）；支持MPLSOAM特性，方便用户的管理和维护；与H3CMPLSVPNManager配合，实现图形化的MPLS部署与维护。全面支持VPLS，VLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。高性能IPv4/IPv6业务能力H3CS7500E(X)支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3CS7500E(X)采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3CS7500E(X)已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3CS7500E(X)集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3CS7500E(X)是业界最高密度的以太网无源光网络（EPON）设备，其提供高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。EAD端点准入防护技术H3CS7500E(X)支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3CS7500E(X)提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSHV2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3CS7500E(X)还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。有线无线全面支持EADH3CS7500E(X)是EAD端点准入防御解决方案的重要组成部分，S7500E(X)可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3CS7500E(X)既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性H3CS7500E(X)系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，满足金融等行业访问权限严格控制的需求。电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3CS7500E(X)采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3CS7500E(X)系列可以在恶劣的环境下长时间稳定运行，达到99.999％的电信级可靠性。多业务高可靠性运行H3CS7500E(X)支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3CS7500E(X)可以在承载多业务的情况下不间断运行，实现业务的永续。基于IRF2架构的HAIRF2技术可以把多台S7500E(X)虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制，实现毫秒级链路故障检测。iMC智能管理中心平台随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心，一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。基于多年的积累和对用户网络的深入理解，H3C智能管理中心（intelligenceManagementCenter，iMC）平台（以下简称iMC平台）为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络，iMC平台提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。iMC平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动产品特性首页个性化定制及大屏显示支持各业务在首页发布widget（WebWidget,中文译名被称作是微件,是一小块可以在任意一个基于HTML的Web页面上执行的Web子页面），每个widget具有折叠、还原、最大化、拖拉、关闭、新窗口打开、自动异步刷新等功能。支持用户在自己的权限范围内定制个性化主页。支持通过高分辨率大屏幕监视网络运行情况，以便实时掌握网络运行状态，显示的内容可根据管理员的需求进行定制。移动智能客户端支持使用移动客户端（智能手机、平板电脑）访问iMC中的资源，以简化网络的日常管理和监控，提升管理效率。当前版本的iMC支持iOS（iOS4.3或更高，iPhone、iPodtouch、iPad兼容）、Android（Android2.1update1或以上版本）操作系统的移动设备访问。通过iMC移动智能客户端，管理员可以查询特定设备，浏览存在故障的设备信息及接口信息，对设备进行可达性测试（Ping，TraceRoute）等操作。全面的基础资源管理更多的管理设备类型：除了传统的路由器、交换机外，更能对网络中的无线、安全、语音、存储、监控、服务器、打印机、UPS等设备进行管理，实现设备资源的集中化管理。多厂家设备的统一管理：除了对H3C的网络设备管理外，iMC平台还实现了对HP、3Com、华为、Cisco各厂家网络设备的分类和识别；对设备状态和基本信息的管理，不仅包含了设备的基本信息、接口信息、性能数据和告警信息，同时还可以在增加其他组件的情况下显示扩展后的业务信息。支持对设备访问参数的批量配置和校验，提供对网络设备资源的查找、修改、删除和批量导入/导出功能；提供用户的批量管理功能，包括：批量修改用户附加信息、批量注销用户，以及批量用户导入功能，节省操作员录入时间。灵活快捷的自动发现算法：基于H3C专利的发现算法，iMC平台不仅提供了快速自动发现方式，还提供了四种高级自动发现方式，包括路由方式、ARP方式、IPSecVPN方式、网段方式等，能快速、准确地发现网络资源。直观的设备面板管理：支持设备面板管理，所见即所得的显示设备的资产组成和运行状态。清晰的网络设备资产管理：在将iMC平台中管理的设备增加到网络资产管理的同时，系统还会自动发现该设备上可以管理的配件信息，并将这些配件加入到网络资产中进行管理，管理员可以对网络资产信息进行修改，还可以查看该资产的子模块信息、接口信息以及变更审计历史信息。灵活的拓扑功能多种网络拓扑视图：除传统的IP拓扑视图外，iMC平台还提供全网络的拓扑视图和自定义拓扑视图，使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。在全网络拓扑视图中，用户可以随意组织和定制子图。增强的二层拓扑：传统实现的拓扑都是基于IP的三层拓扑，iMC平台在此基础上更支持二层拓扑，实现了同一个VLAN或者网段内部PC与网络设备、二层网络设备之间的互连关系，更方便直观的体现了网络中设备的互联关系。数据中心机房、机架拓扑：iMC平台支持按设备物理位置进行组织的数据中心机房和机架拓扑。通过此拓扑视图，用户可以很方便的找到设备在机房中所处位置，进而对设备物理实体进行管理维护。支持嵌入式拓扑：资源自定义视图、IP视图中实现设备的列表式管理和拓扑管理的融合，提升拓扑窗口切换的易用性。拓扑中支持添加任意的文字标签。iMC首页支持多个拓扑的同时展示。目前仅自定义拓扑和IP拓扑支持，其他业务拓扑可以扩展，每个拓扑显示区域可以对显示哪个拓扑进行配置。智能的告警管理直观的故障列表：H3C智能管理中心能自动汇总全网中故障设备，形成故障设备列表，使管理员能快速、清晰的找到需要关注的故障设备。智能的告警关联：提供对重复告警、突发的大流量告警、未知告警的自动过滤，用户还可以自定义过滤规则，以有效压缩海量网络告警，使得管理员直接关注真正的网络故障。告警根源分析和影响度分析：提供基于拓扑的区域告警根源分析，提供告警关联分析，提供告警分组分析，有效屏蔽故障引起的海量表象告警，方便用户快速定位、查找故障根源，确认故障影响的范围。告警定义和Mib导入：在支持标准Trap以及H3C、华为、Cisco等主流厂商私有Trap基础上，还提供新增及通过Mib导入Trap定义功能，方便快速地支持各厂商新Trap。丰富的告警转发机制：除提供告警声光提示、转Email、转短信等方式外，还可以针对不同的告警定义不同的提示内容以及对应维护参考，当再次出现同类告警后能直接对应到相应的维护参考。结合拓扑直观的设备故障状态监控：与传统的网管告警和拓扑状态互相分离做法不同，使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上，用户仅需要查看拓扑，即可知道网络的整体运行状态。Syslog接收与分析：iMC平台支持多厂商设备的Syslog原始报文接收，提供日志浏览、查询、导出及自动转储功能。并且可以根据预定义及用户自定义规则对Syslog报文进行分析，将关键事件升级为告警，有效地帮助用户在海量Syslog报文中及时发现网络关键事件。安全事件联动：iMC平台对多厂商设备的Syslog报文进行分析，提取安全相关的关键信息（比如攻击事件类型、攻击源、攻击目的），并根据安全控制策略，采取匹配的安全动作，比如关闭攻击源网络端口等。易用的性能管理一目了然的网络TopN性能指标：CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项，iMC平台通过TopN列表，使用户能一目了然当前网络中的性能瓶颈问题。性能视图：用户可灵活定制性能数据浏览视图，分析网络运行趋势。性能视图支持多指标多实例数据组合的展示，支持TopN明细表格、TopN柱图、折线图、柱状图、面积图、汇总数据多种性能监控数据展示方式。性能与告警的深度结合：iMC平台支持对每一个性能指标设置两级阈值，发送不同级别的告警。用户可以根据告警信息直接了解到设备监视指标的性能情况，有助于用户随时了解网络的运行状态，预测流量发展趋势，合理优化网络。详实的性能统计报表：利用采集到的性能数据信息，iMC平台能对关键的性能监控内容形成实用、详实的统计报表，用户可以直接打印这些报表，也可以将报表导成Excel、Html、PDF、Word等形式的文件。丰富的拓扑性能指标实时展示：iMC平台支持在的拓扑中展示设备和链路性能监控数据，用户可为不同设备和链路定制不同展示指标。强大的配置管理资源化的配置和软件管理：iMC平台以资源管理的角度提供了配置模板库和设备软件库的管理。配置模板库维护网络设备配置模板文件、用户常用的配置模板片段两种资源；配置模板文件可部署为设备的启动配置或者运行配置；配置模板片断可部署为设备的运行配置，也可通过启用“下发命令后将设备运行配置保存为启动配置”选项部署为启动配置，并且配置内容可以带有参数，在部署时根据设备的差异设置不同的值。设备软件库维护各类软件文件。除了管理设备的版本软件，还支持设备上各种业务的软件管理（目前包括ONU软件、ONU算法等设备软件资源），从而实现设备软件文件的统一管理。用户可以将配置模板、设备软件文件从系统中导出到本地系统，建立本地的配置、软件文件资源备份；反过来也可以从本地文件中导入到iMC平台中。集中化的设备配置和软件信息展示：提供全网设备的配置文件、软件版本信息集中式展示，包括设备的当前软件版本、最新可用于升级的软件版本、最近备份时间、是否已加入自动备份计划等信息；可提供管理员对设备的集中操作包括设备配置部署、设备配置备份与恢复、设备软件升级与恢复、设备空间管理、设备软件基线化管理功能，极大的方便了管理员直观的掌握当前网络的配置和软件版本。基线化的设备配置变更审计：通过配置备份历史和软件升级历史的管理，实现基线化的设备配置变更审计功能，使配置文件管理和软件升级管理具有了可回溯性。提供设备运行配置和启动配置的基线化版本管理，将每个设备相关的配置文件划分为三种版本：基线、普通、草稿。便于管理员识别、管理。并可快速恢复至基线配置。提供设备软件基线化版本管理，每个设备可以指定一个基线版本，提供基线审计及快速恢复至基线版本功能。自动化的建立可追溯的网络配置：通过启动自动备份功能，帮助管理员周期性自动地完成设备配置的历史备份，为用户自动建立起可追溯的网络配置。用户可以针对不同的设备设置不同的备份周期和备份时间点，支持按天、周、月周期备份。支持网络运行设备的配置变化检查，一旦配置发生变化，立刻以告警方式通知管理员关注。丰富的VLAN管理iMC平台的VLAN管理的功能包括：全网VLAN管理、VLAN设备管理、VLAN拓扑、VLAN批量部署等，同时提供详细的VLAN操作结果报告，方便网管员跟踪VLAN配置的历史记录。全网VLAN管理：通过全网VLAN管理功能，管理员可以很方便的在全网范围内增加、修改和删除VLAN，查看VLAN具体的不属于哪些设备，并能够方便地对VLAN内的设备进行管理。VLAN设备管理：iMC平台提供了对单个设备上VLAN相关资源的管理，比如对VLAN、路由虚接口、Access、Trunk、Hybrid的创建、删除和修改。VLAN拓扑：在VLAN拓扑中，通过节点或链路加亮的方式显示是否允许当前VLAN通过，这对于判断VLAN的连通性非常方便；同时允许管理员直接基于拓扑图进行配置，使当前VLAN在某节点和链路上允许通过，相对传统的配置方式较为直观。VLAN批量部署：采用向导方式，提供对全网内的VLAN资源进行批量配置，包括批量部署Access口、批量部署Trunk口、批量部署Hybrid口、批量部署VLAN等。实用的IP/MAC管理IP地址分配：将IP地址作为网络中的一种资源，进行统一分配和管理。管理员可以通过自动扫描，快速的查找网络中正在使用的IP地址，从而进行方便快速的分配。除了自动扫描外，管理员也可以根据情况，手工设置要分配的IP地址。使用划分IP地址段功能，管理员还可以按照部门、办公区等方式，将多个IP地址划分到一个IP地址段中，以便对IP地址进行更方便的管理。IP地址完成分配以后，管理员能够通过详细的IP地址分配情况统计图表和各类查询条件，直观的了解和掌握整个网络的IP地址资源使用情况。IP/MAC绑定：IP/MAC绑定可以将IP地址与MAC地址进行绑定，这种方式的好处在于可以防止用户随意修改IP地址，做到IP地址的统一管理，避免安全隐患。通过IP/MAC绑定功能，iMC平台将对操作员配置的IP/MAC绑定关系进行管理，当用户使用错误的IP/MAC配置接入网络时，iMC平台将发送告警通知管理员，以便管理员能够及时发现安全隐患。IP/MAC绑定功能，不会下发数据到设备，而是将IP/MAC绑定关系放在网管中维护，与设备上支持的绑定功能实现不同。网络管理员可以根据自己的管理需要，可以通过自动扫描来发现当前网络中已经使用的IP地址和MAC地址的关联关系来进行绑定，也可以通过新增的方式来创建IP/MAC绑定关系。IP/MAC绑定信息包括IP地址、MAC地址、机器名称和机器类型信息。MAC/接口绑定：MAC/接口绑定可以将终端MAC地址与接入设备上的接口进行绑定，这种方式的好处在于可以防止未授权的终端MAC地址接入到接入设备上的特定接口，及时发现非法接入网络的安全隐患，避免造成的网络流量异常等网络问题。通过MAC/接口绑定功能，iMC平台将对操作员配置的MAC/接口绑定关系进行管理，当未授权的MAC接入到接入设备的接口时，iMC网管将发送出告警通知管理员，以便管理员能够及时发现安全隐患。管理员可以通过自动扫描来发现当前网络中已经使用的MAC地址和接口信息的对应关系并对其进行绑定，也可以通过新增的方式来创建MAC/接口绑定关系。MAC/接口绑定信息包括MAC地址、IP地址、机器名称、机器类型、接口描述以及接口所在设备IP信息。IP接入定位：IP接入定位用于查看网络中某个客户端与设备之间的接入关系，即根据客户端的IP地址或MAC地址，查看该客户端是通过哪台设备的哪个接口在何时接入到网络的。使用IP接入定位功能，可以帮助网络管理员迅速定位网络中存在安全隐患的客户端，并将其隔离，以保证网络的正常运行。IP/MAC学习查询：查询某台交换机或者交换机的某个接口学习到的所有IP/MAC地址信息，用于确定某台网络设备大概所在的位置。学习到的IP/MAC信息包括：交换机IP、交换机接口描述、VLANID、IP地址、MAC地址。专业的虚拟化网络管理支持显示虚拟网络视图。虚拟网络视图以树形结构，层次化的展示出了物理服务器（ESX）、虚拟交换机（vSwitch）、虚拟机（VM）之间的从属或连接关系；同时基于虚拟网络视图，管理员可以查看ESX和VM的详细信息，并执行VM的迁移操作。支持虚拟网络拓扑，以拓扑方式展示物理服务器（ESX）、虚拟交换机（vSwitch）、虚拟机（VM）之间的从属或连接关系；同时，通过ESX和物理交换机之间的连接关系，展示ESX所在的物理位置。支持虚拟机迁移后，对物理网络配置进行相应的迁移。提供虚拟机迁移建议，显示vCenter上的所有迁移建议，管理员可以基于迁移建议执行VM的迁移操作。显示迁移报告，虚拟机迁移的信息报告中包含了虚拟机迁移的最终结果以及迁移过程中各个步骤的执行结果。丰富的报表管理提供我的报表视图，展示了当前操作员常用的报表，包括实时报表、快速自定义报表和周期报表。用户可根据自己的实际关注情况，在此视图中配置所关注的报表。提供即点即看类型的实时报表。当用户使用iAR组件时，可以定制自己的报表模板，并通过发布功能使用此报表。自定义报表模板只有在发布后，才能使用，生成报表。通过周期报表帮助用户定期自动生成报表，并可以根据用户需要自动发送到用户的指定邮箱中。专业的网络分级分权管理对于大型网络和业务管理的需要，iMC平台提供分级分权管理功能。通过权限管理，可为不同的iMC操作人员规划不同的权限，不同的权限对应不同的设备分组，从而实现精细化分权管理能力。分级管理功能是将整个网管分为上、下级两层（或更多层），其中专业版iMC平台为上级网管，其他的iMC平台（专业版或标准版）为下级网管。用户可以通过上级网管直接对下级网管及其管理的设备进行管理。下级iMC的重要设备、重要告警的告警信息可以通过分级网管的告警功能通知上级iMC的管理人员。可以在上级iMC的“下级网管视图”中管理下级iMC及其管理的设备。“下级网管视图”用来展示当前服务器作为上级网管服务器所管理的下级网管服务器的信息，同时也是增加、修改、删除、登录下级网管等操作的入口。同时，上级网管可通过系统预置报表模板和自定义报表模板，立即、周期性生成下级网络运行状态报表，全面了解全网运行状况。IT资源深度管理的承载平台除了网络管理功能外，iMC平台更是IT资源深度管理的承载平台，在此基础上用户可以增加H3C智能管理中心“NTA网络流量分析”、“MPLSVPN管理”“EAD终端准入控制”、“UBA用户行为审计”等组件，同时基于SOA的软件架构也能方便集成用户原有管理系统。H3CWX5000系列多业务无线控制器H3CWX5000是*****(以下简称H3C公司)自主研发的多业务无线控制器(AC，AccessController)产品系列。H3CWX5000系列无线控制器具有容量适中、高可靠、业务类型丰富等特点，集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多功能于一体，提供强大的有线、无线一体化接入能力。H3CWX5000系列多业务无线控制器包括H3CWX5004无线控制器，配合H3CFitAP产品系列，可以满足大型企业园区WLAN接入、无线城域网覆盖、热点覆盖等无线场景的典型应用。产品特性提供对802.11nAP的管理WX5000系列有线无线一体化交换机在支持对传统802.11a/b/gAP管理的同时，还可以与H3C基于802.11n协议的AP配合组网，从而提供相当于传统802.11a/b/g协议数倍的无线接入速率，能够覆盖更大的范围，使无线多媒体应用成为现实。提供灵活的数据转发方式传统的无线控制器部署一般采用集中式转发模式，AC可以对报文进行全面控制和安全监管，但所有的无线业务流量需要到AC进行统一处理，核心链路带宽和AC转发能力容易成为瓶颈。特别是AP和AC通过广域网方式进行连接时，AP作为数据接入设备部署在分支机构，而AC部署在总部，所有用户数据由AP发送到AC，再由AC进行集中转发，导致转发效率低下。WX5000系列无线控制器可以支持集中式转发和分布式转发，用户根据业务需要和网络实际情况可以灵活设置转发方式。支持运营级无线用户接入控制和管理基于用户的接入控制是WX5000系列多业务无线控制器产品的一大特色，UserProfile(用户配置文件)提供一个配置模板，能够保存预设配置(一系列配置的集合)。用户可以根据不同的应用场景为UserProfile配置不同的内容，比如CAR(CommittedAccessRate，承诺访问速率)策略和QoS(QualityofService，服务质量)策略等。用户访问设备时，需要先进行身份认证。在认证过程中，认证服务器会将UserProfile名称下发给设备，设备会立即启用UserProfile里配置的具体内容。当用户通过认证访问设备时，设备将通过这些具体内容限制用户的访问行为。当用户下线时，系统会自动禁用UserProfile下的配置项，从而取消UserProfile对用户的限定。因此，UserProfile适用于限制上线用户的访问行为，没有用户上线(可能是没有用户接入、或者用户没有通过认证、或者用户下线)时，UserProfile是预设配置，并不生效。另外，WX5000系列无线控制器还支持基于MAC的认证接入控制方式，这种方式不但可以使得客户在AAA服务器上对用户组进行权限的配置和修改，同时支持对具体用户的权限的配置，这种精细的用户权限控制大大增强了无线网络的可用度，网管人员可以轻松通过该方式对不同级别的人或人群进行接入权限分配。基于MAC的VLAN同样也是WX5000系列无线控制器的一大特色，在控制策略上，管理员可以把相同性质的用户(MAC)划分到同一个VLAN，同时在控制器上基于VLAN配置安全策略，这样做既可以简化系统配置，又可以做到用户级粒度的精细管理。出于安全性或计费等的考虑，系统管理员可能希望控制无线用户接入到网络中的位置。WX5000系列无线控制器支持基于AP位置的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC下发允许用户接入的AP列表，在AC上进行接入控制，从而达到限制无线用户只能接入到指定位置的AP的目的。提供高可靠的备份功能1+1快速备份WX5000系列无线控制器支持毫秒(ms)级业务备份，AP会同时和两台无线控制器建立CAPWAP链路，一台作为主控制器，另外一台作为备份控制器，但只有和主控制器建立的CAPWAP链路处于工作状态。当主控制器异常down机时，备份控制器和主控制器之间的心跳检测机制可以保证在300毫秒(ms)之内检测到主设备的异常，并通知AP将主控制器CAPWAP链路切换，保证控制信号的不间断传送。N+1备份当多台WX5000系列控制器部署时，N+1备份方案为可靠性和经济性折中的最好方案，其中N台WX5000各自独立工作，外加一台WX5000作为备份AC，N台AC中任何一台出现故障，都会切换到备份AC上。而当主AC恢复后，AP将自动回切到主AC上，可保障AP尽量同主AC连接。N+N备份当多台WX5000系列控制器部署时，N+N备份可以实现最灵活的备份方案。AP初次会选择一个最优的控制器进行接入，当链接出现问题的时候，AP会在网络中重新选择一个新的最优控制器重新进行注册接入，进而实现了AP的接入备份，以及AC间负载均担。AP对最优控制器的选择，可以根据控制器负载情况动态计算(AC间动态负载均担)或事先指定控制器优先级等多种方式，十分灵活。实现N+N备份，组网中总AP数量只要小于(总AC数量-1)台控制器能够管理的AP规格即可满足备份的要求。Portal1+1备份当多台WX5000系列控制器工作在双机模式时，可以实现Portal认证高可靠。用户通过其中一台AC完成Portal认证。双机将相互同步用户的认证状态等数据。任何一台ACdown时，由于另台AC已经预同步了用户的认证数据，所以可以避免Portal重认证和用户业务中断，满足了电信级可靠性需求。DHCPServer热备当多台WX5000系列控制器工作在双机模式时，用户通过其中一台AC获得DHCP地址分配后，AC间将同步地址池信息。一台ACdown机后，当用户IP地址租约到期时，将发起DHCP请求续约。另一台AC用预备份的地址池数据回应续约，避免了为用户重新分配地址和用户业务中断。支持信道智能切换无线局域网中，信道是非常稀缺的资源，每个AP只能够工作在非常有限的非重叠信道上，比如对于2.4G网络，只有３个非重叠信道，所以如何智能地为AP分配信道是无线应用的关键。无线局域网工作的频段存在大量可能的干扰源，如雷达、微波炉，它们在网络中的出现将干扰AP的正常工作。通过信道智能切换功能，可以保证每个AP能够分配到最优的信道，尽可能地减少和避免相邻信道干扰，而且通过实时信道干扰检测，可以让AP实时避开雷达，微波炉等干扰源。支持智能AP负载分担802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。支持7层移动安全检测/防御(wIDS/wIPS)WX5000系列有线无线一体化交换机支持的移动安全防御模式有：黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的SignatureMAC层攻击检测与反制(例如：DoS攻击，Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库，可以获得灵活的无线安全策略判断依据，对于明确的非法攻击源(AP或终端等)，实现可视的物理位置跟踪监控和交换机物理端口移除。通过配合H3C专业核心层防火墙/IPS设备，更可以实现移动园区的7层立体安全防御，满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。支持RealTimeSpectrumGuard(实时频谱保护)模式RealTimeSpectrumGuard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。全系列无线控制器可以和内置射频采集模块的SensorAP，实现深度融合的射频监控和实时频谱防护。RTSG的控制台融合部署于H3CiMC智能管理中心，通过CAPWAP管理隧道，与SensorAP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合H3CiAR智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。针对用户无线环境监管的不同层次需求，RTSG方案的部署可以灵活采用Localmode或MonitorMode。当工作在LocalMode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。支持智能无线业务感知(wIAA)WX5000系列无线控制器支持智能感知无线业务流量，实现基于无线用户状态的弹性策略识别与管理，优化语音及视频业务承载。支持远程探针分析WX5000系列无线控制器支持针对AP的远程探针分析功能。可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，灵活满足无线网络监控运维要求。内置射频优化引擎(ROE)WX5000系列无线控制器内置针对AP的射频优化引擎(RFOptimizingEngine)，通过基于特征和协议的射频优化，有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。支持802.1x认证，MAC地址认证，Portal认证等WX5000系列无线控制器支持多种认证方式：802.1x认证：WX5000系列无线控制器支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式，同时还支持802.1x本地认证方式，提供对MD5、TLS、PEAP这几种主流认证方式的支持，用户不再需要额外配置AAA服务器。WX5000系列无线控制器还支持通过802.1x认证后动态授权VLAN和ACL功能，对用户的策略可以事先设定好，用户认证时，系统自动配置客户权限。MAC地址认证：WX5000系列无线控制器支持MAC地址认证，对一些手持终端(例如：Wi-FiPhone、手持移动终端等)并不方便采取电脑上的认证方式，MAC地址认证却可以轻松解决该问题，实现在控制器或者AAA服务器上配置好合法的MAC地址，这些MAC地址对应的终端就可以被允许被接入到网络，而事先没有被配置的非法终端则不能接入无线网络，该功能极大地方便了例如无线医疗系统等应用，MAC地址认证可以确保只有医院的PDA工作终端才能接入到无线网络，而拒绝病人的无线PDA使用专用无线网络。Portal认证：WX5000系列无线控制器提供内置的Portal认证服务器。该认证方式无需客户端配合，直接通过浏览器WEBPortal页面作为认证通道，当用户认证通过后，可以灵活跳转到指定访问首页并启动相应授权和计费。同时也可以根据策略要求，灵活推送定制Portal页面，达到广告宣传、信息传递的作用，广泛使用在无线校园、无线城市、访客接入等应用场景。支持IPv4/IPv6双协议栈(NativeIPv6)WX5000系列无线控制器支持无线客户的IPV6接入。在隧道起点AP上，由于设备对IPv6感知，所以可以做到IPv6优先级到隧道优先级映射等；在AC侧，同样可以对IPv6报文进行ACL过滤等复杂的控制和过滤。WX5000系列无线控制器同样可以部署在IPv6网络中，AC和AP之间自动协商成IPv6隧道。AC和AP完全工作在IPv6状态时，无线控制器仍能正确地感知IPv4，并能处理无线客户的IPv4报文。WX5000系列无线控制器IPv4/6灵活的适应能力，能满足客户在IPv4到IPv6网络迁移中的各种复杂的应用，既能在IPv6孤岛中给客户提供IPv4的服务，同时也能在IPv4孤岛中让用户轻松通过IPv6协议登录到网络。针对校园网层出不穷的IPv6伪造报文攻击，WX5000系列无线控制器支持IPv6SAVI(SourceAddressValidation，源地址有效性验证)技术。通过对地址分配协议的侦听获取用户的IP地址，保证随后的应用中能够使用正确地址上网，且不可伪造他人IP地址，保证了源地址的可靠性。同时，通过IPv6SAVI和Portal技术的结合，进一步保证了所有上网用户报文的真实性和安全性。提供端到端的QoSWX5000系列无线控制器基于Comware平台开发，不但对Diff-Serv标准的完善支持，同时增加了对IPv6协议的QoS支持。QoSDiff-Serv模型中主要包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等，完整实现了标准中定义的EF、AF1～AF4、BE等六组PHB及业务，使网络运营商可为用户提供具有不同服务质量等级的服务保证，使Internet真正成为同时承载数据、语音和视频业务的综合网络。支持快速的二、三层漫游H3C公司的集中式无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，用FatAP部署的WLAN网络，由于AP之间传递的信息有限，导致垮三层的漫游实现及其麻烦，集中式架构非常容易解决跨三层漫游的问题，WX5000系列无线控制器支持二、三层漫游，漫游域不受子网的限制。这种优秀的漫游特性，可以让客户在规划无线网络时，无需过多考虑现有网络的规划，更多关注在无线信号的覆盖即可，这种方式大大简化了前期的网络规划，减少了网络规划成本。传统模式下，当无线用户终端使用802.1x作为802.11接入认证和密钥交互的手段时，无线用户终端和AP间的交互报文会非常的多。当无线用户终端在两个AP间漫游时，如果无线用户终端在新AP接入的过程完全遵从完整的802.1x的交互过程，势必造成漫游切换的时间过长，对于某些对漫游切换时间敏感的业务(例如语音业务)，这样的长切换时间是无法忍受的。WX5000系列控制器采用Keycaching技术完成漫游时用户的快速切换，Keycaching技术在用户的安全接入和快速漫游间做了一个很好的平衡，可以使无线用户终端在两个AP间进行漫游时不必重新进行完整的802.1x认证交互过程，同时又能保证用户身份的识别和密钥使用的连续性；无线用户采用快速漫游方式，单AC内漫游时间不超过50ms，满足了语音业务的苛刻需求。支持多种分支机构远程接入场景当AC和AP通过广域网链路进行连接时，用户可以灵活选择集中转发或本地转发模式，提升分支机构局域网打印访问、终端互访等业务性能。当广域网链路发生故障或AC发生故障时，在线用户不掉线，可以继续访问本地资源，并且可支持AC逃生功能。当分支机构AP部署于私网内时，AC可以穿越NAT与AP进行通信。H3CWA2600i系列室内放装型802.11n无线接入设备H3CWA2600i系列无线产品是*****(H3C)自主研发的新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆速率的限制，使无线多媒体应用成为现实。WA2600i系列AP共分为WA2610(单频)、WA2620(双频)两款型号，该系列产品外型小巧美观，安装方式灵活，适用于壁挂、桌面、吸顶等三种安装方式，也可根据部署场景配合11n专用定向迷你美化天线实现智能分布式信号部署。产品特性实现智能云接入和最佳无线网络TCOWA2600i系列AP遵从802.11n协议标准，采用专业模块化设计，单射频能提供高达300Mbps的无线接入速度，是相同环境下802.11a/b/g产品的6倍左右。通过内置集成终端感知型硬件智能天线覆盖技术，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络TCO(总拥有成本/TotalCostofOwnership)。绿色低碳设计WA2600i系列AP采用专业绿色低碳设计，支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD)，智能辨识终端实际性能需求，合理化调配终端休眠队列，动态调整MIMO工作模式。WA2600i系列AP支持GreenAP模式，实现单天线待机，节能更精准。WA2600i系列AP通过创新性的逐包功率控制(PPC)技术，在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率，以达到减少设备能耗和延长移动终端待机时间的作用。提供千兆以太网接口有线连接上行链路采用千兆以太网接口，突破了传统百兆速率的限制，使有线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。支持Fat/Fit两种模式WA2600i系列AP支持Fat和Fit两种工作模式，根据网络规划的需要，可以灵活地在Fat和Fit两种工作模式中切换，同时用户可以根据应用需求，灵活选择所需的设备出厂版本(Fat模式版本或Fit模式版本)。当客户的无线网络初始规模较小时，客户只需采购相应无线设备，并设置其工作模式为Fat模式。随着客户网络规模的不断扩容，当网络中应用的无线设备达到几十甚至上百台时，为降低网络管理的复杂度，建议客户采购H3C自主研发的WX系列无线控制器设备，便于集中管理网络中的所有的WA2600i系列无线设备，此时只需将其工作模式切换到Fit模式。工作模式切换过程只需要简易命令行，且可以通过设备网管批量执行，有利于将客户的无线网络由小型网络平滑升级到大型网络，从而更好地保护用户的投资，非常适合运营级大规模无线网络的平滑扩容升级。提供本地转发功能当WA2600i系列AP(Fit模式)通过广域网方式转发时，无线接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制器，再由无线控制器进行集中转发。WA2600i系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发，大大节约了有线带宽。支持IPv4/IPv6双协议栈(NativeIPv6)WA2600i系列AP全面支持IPv6特性，设备实现了IPv4/IPv6双协议栈。无论原有有线网络是IPv4还是IPv6，都可以自动地与WX系列控制器进行注册提供WLAN服务，不会成为网络中的信息孤岛。支持RealTimeSpectrumGuard(实时频谱保护)模式RealTimeSpectrumGuard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。H3CWA2600i系列AP支持内置射频采集模块，实现深度融合的射频监控和实时频谱防护。RTSG的控制台融合部署于H3CiMC智能管理中心，通过CAPWAP管理隧道，与SensorAP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合H3CiAR智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。针对用户无线环境监管的不同层次需求，RTSG方案的部署可以灵活采用Localmode或MonitorMode。当工作在LocalMode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。提供EAD无线接入终端准入控制(EAD，EnduserAdmissionDomination)解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施企业安全策略，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。支持远程探针分析WA2600i系列AP支持作为远程探针分析的Sensor设备，可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备，供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，灵活满足无线网络监控运维要求。内置射频优化引擎(ROE)WA2600i系列AP内置射频优化引擎(RFOptimizingEngine)，通过基于特征和协议的射频优化，有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。支持智能负载均衡WA2600i系列AP支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C公司创新性的支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡