某集团网络改造方案建议书

华三通信技术有限公司 版权所有，侵权必究 第2页,共SECTIONPAGES2页重庆翰华担保集团网络技术建议书年月日

目录重庆翰华担保集团网络系统规模大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。网络设计原则网络平台是信息化建设的重要基础设施，必须从网络信息体系建设的全局考虑，将计算机网络建设为一个高起点，易于扩充、升级、管理和使用的网络系统。先进性和实用性网络规划既要以现实需要为出发点，又要考虑长远发展的需要和潜在的扩充，尽可能采取先进而成熟的技术和产品，使之在一定时期内都能保持较先进的水平。使网络带宽性能不仅适应现在的需要，还可以满足未来几年数据量的要求。在网络设计中，首先要考虑的是实用性，使之易操作、易管理和维护并且易于用户掌握和学习使用。其次要考虑对现有设备和资源的充分利用，采用成熟的网络通信技术和设备，保证原有的投资。目前随着网络的声音、图像等多媒体应用日益增加，对网络服务质量，如带宽，延迟等有很高的要求。利用IPQoS、IPMulticast、MPLS等技术可以保证服务质量(QoS)满足用户要求。可靠性与安全性系统安全可靠运行是整个系统建设的基础。鉴于网络信息的重要性，要求网络系统要有较高的可靠性，各级网络应具有网络监督和管理能力；要适当考虑关键设备和线路的冗余，使其能够进行在线修复、更换和扩充；要确保系统数据传输的正确性，以及为防止异常情况发生所必须的保护性措施。根据具体情况采用VPN技术、访问控制列表、子网隔离、防火墙和IPS等安全控制措施，以保证网络安全运行，拒绝未经授权的访问。不仅要求网络能够长时间的安全运转，同时要求网络设备具有较强的容错能力。在系统设计上，要从以下几个方面保证网络的可靠与容错:①选用高可靠性的网络设备，在网络的关键部位采用冗余备份设计，避免单点故障，保证网络长期运行的可靠性。②采用优秀的网管系统对网络进行实时监控，以便及时发现网络故障。③采用可靠的备份系统，通过TFTP服务器定时备份网络设备配置。系统设计能对关键数据提供可靠的保护；对网络病毒提供防范措施；网络数据要有可靠的备份，备份系统要求读写速度快，保密性好，可靠性高。开放性与标准化系统采用的硬件平台、软件平台、网络协议等符合开放系统的标准，并能够与其他系统实现互联，将采用大多数厂商支持的国际标准协议。具体讲，主要从以下几个方面实现开放性和标准化； •采用工业标准TCP/IP协议。 •网络互联设备应支持多种协议，能与其它厂家设备互操作。 •采用支持SNMP协议的网管软件。在总体设计中，应采用开放式的体系结构，使网络易于扩充，使相对独立的分系统易于进行组合调整。有适应外界环境变化的能力，即在外界环境改变时，系统可以不作修改或仅作少量修改就能在新环境下运行。网络选用的通信协议和设备要符合国际标准或工业标准，将不同应用环境和不同的网络优势有机地结合起来。也就是说，要使网络的硬件环境、通讯环境、软件环境、操作平台之间的相互依赖减至最小，发挥各自优势。同时，要保证网络的互联，为信息的互通和应用的互操作创造有利的条件。经济性与可扩充性•扩展和升级系统建设要考虑将来的扩展和升级，以免人力、物力、财力的浪费。网络设计不仅要满足当前的需求，还要为将来的扩展留有余地，保护投资。网络设计采用国际标准的技术和符合标准的设备，系统软件或硬件升级都不应影响整个系统的运行。系统上结点的增减也应不影响系统的正常运行。建成的网络系统必须具有良好的可扩充性和升级能力，其扩充和升级将以最低成本花费为前提。•易于管理和维护网络系统的所有设备都应是可管理的，会支持远程监控及对故障的过程诊断和恢复。通过网络管理工具，可以方便地监控网络运行情况，对出现的问题及时解决，对网络的优化提供依据。另外，网络的设计应采用简单易用的网络技术，降低运行维护的费用。•经济性可以和现有网络无缝的连接，同时可以提升现有网络的性能。在网络设备的选择上，既要考虑技术性能、市场份额、技术特色，又要权衡与原有系统整合的条件、人员的培训状况。本系统需要完整而成熟的最新技术和产品。其各项技术应保证具有开放性、可移植性、兼容性和可扩展性。根据前面所作的现状与需求分析，我们提出以下的总体设计思想：采用先进的万兆、千兆以太网以及快速以太网交换技术：目前，局域网建设模式是以千兆以太网为骨干、并具有万兆能力，设备间以百兆以太网交换的方式；采用业界主流的交换机产品：在产品选型上采用业界最先进的产品，可以保证网络具有长期的产品升级、支持和维护；在设备配置上兼顾先进性与适用性：采取最先进的设备配置可以保证网络的性能，但同时也造成网络建设成本的增加，因此，必须兼顾先进性与适用性，求得最佳的性能价格比；面向应用的网络：目前，局域网应用的发展非常迅猛，各类新的应用技术和模式不断涌现，网络必须支持这种变化，满足新的应用的需求；周密的网络安全策略：网络安全目前已经成为网络建设中非常重要的一个环节，对于局域网来说，网络安全的重要性就更显突出，必须制定周密的网络安全策略，最大限度地保证网络安全；全面的网络管理与维护：网络管理与维护在网络的整个运行周期中起着非常重要的作用，因此在网络设计时必须充分考虑未来网络管理与维护的工作。

网络结构设计根据重庆翰华担保集团的网络信息点的分布，我们建议使用核心层加接入层的方式来实现我们所需要的网络。考虑到重庆翰华担保集团园区的规模和设计，我们建议在网络核心层使用一台核心交换设备，接入层交换机通过千兆链路连接到核心交换机，来满足对目前的要求。网络设计拓扑结构描述： 如图所示：整个网络拓扑结构分为核心层和接入层,下面我们就对整个网络结构做详细描述。中心部分是由防火墙、VPN网关、上网行为管理及核心交换机组成；为了保证WEB服务器能安全的为互联网用户提供服务，我们可以把服务器放在防火墙的DMZ区里面，来实现WEB服务器的对外提供服务；为了保证分支用户能安全高效的接入总公司的内网，我们在防火墙后面放置一台VPN设备用来做与分支机构互联的VPN网关。为了使用户更加安全的接入互联网，我们在出口处放置了一台上网行为管理设备，最大可能的保护用户连接互联网的安全。接入层:接入层交换机全部通过千兆铜缆的方式连接到核心交换机上的,同时楼层的接入交换机之间的级联也是通过千兆的方式进行级联的,这样就达到了骨干千兆,百兆桌面的网络结构。同时本次方案中,我们选用的是H3C的S3100-26TP-EI交换机,该交换机具有高安全性能,支持IP+MAC+端口的绑定功能,为用户的安全接入提供了可行性.本方案的技术设计路由协议的设计在大型网络中，选择适当的路由协议是非常重要的。目前常用的路由协议有多种，如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由协议有各自的特点，分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素：1）路由协议的开放性开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和选择空间。2）网络的拓扑结构网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。3）网络节点数量不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。4）与其他网络的互连要求通过划分成相对独立管理的网络区域，可以减少网络间的相关性，有利于网络的扩展，路由协议要能支持减少网络间的相关性，是通常划分为一个自治系统（AS），在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。5）管理和安全上的要求通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的支持。因此选择静态路由协议，对于厂区数据网网络性能的最优和安全性是非常重要的。VLAN设计在网络成为必不可少的工具、信息处理成为日常工作的重心后，VLAN技术的运用显得越来越重要。VLAN对于信息系统的意义体现在：1.VLAN可以改善网络的通信效率。因为通信流量只局限于本子网中，不会对其它子网产生干扰。2.VLAN可以避免广播风暴。在较大规模的网络中，大量的广播信息很容易引起网络性能的急剧降低，甚至使网络瘫痪。而VLAN使广播只在子网中进行，不会作无意义的扩散，从而消除了广播风暴产生的条件。3.VLAN大大增强了网络及其信息的安全性。因为子网间无法随意进行访问，信息流通得到相当好的控制。4.VLAN使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限，也就是说网络规划完全不会受到物理的限制。VLAN的划分与IP子网的规划存在很大的关系。具体的实施过程建议如下进行：1．对全网的IP地址进行全面的规划，确定各子网内主机的数量，并根据IP子网内主机的数量确定掩码的长度。2．确定IP子网的聚合点，聚合点以下采用连续的子网划分。使聚合点向核心路由器通告最少的路由。3．选择合适的路由协议进行子网路由。4．根据IP子网的规划，对交换机进行VLAN的规划和划分。建立VLAN和IP子网的对应关系。5．网络管理系统采用完全独立的IP子网和VLAN，实现更安全的对所有网络设备进行管理。6．根据信息流量的走向和分布，确定服务器集群的VLAN和IP子网。7．在三层路由交换机建立相应的VLAN以及与VLAN绑定的IP子网网关。8．建立相应的子网间的访问策略，在三层路由交换机配置访问列表。trunk链路的设计所有的接入层交换机全部采用的是H3C公司的3100EI系列的二层可管理千兆交换机，因为要满足因为地理位置不同，但部门是同一个部门的问题，同时IP要规划在同一个子网内；所以，我们可以通过在二层交换机上做trunk的方式，把网关都集中在核心三层交换机上来实现。访问控制（ACL）的设计对于那些确实具有网络接入许可，但试图访问未得到授权的网络资源的用户站点，H3C系列产品的多层交换引擎能在进行高效的第三层交换的同时，根据用户的IP地址限制其访问不被授权访问的服务器。本方案提供的安全性是建立在网络的物理端口、虚拟网的逻辑界限和OSI网络模型的数据链路层、网络层的立体交叉的、多维化的安全保障。应用ACL防范“冲击波”等蠕虫病毒：最近发现的冲击波病毒，造成了很多地方感染，网络瘫痪。这是一个针对MS03-026MicrosoftWindowsDCOMRPC接口远程缓冲区溢出漏洞。蠕虫还会在本地的UDP/69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上选择目标攻击。一旦连接建立，蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功，会监听目标系统的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的Windows系统RPC服务崩溃，WindowsXP系统可能会自动重启。该蠕虫不能成功侵入Windows2003，但是可以造成Windows2003系统的RPC服务崩溃。另外中毒的服务器会向网络发送大量无效的数据包，浪费有效的网络带宽，造成用户感觉上网速度慢，甚至使交换机等网络设备死机，所以我们可以利用S21系列智能交换机的ACL功能做出限制，禁止其转发和传播。服务质量（QOS）机制本方案采用的交换机支持802.1P、端口优先级、IPTOS、二到七层过滤等QoS策略，具备MAC流、IP流、应用流、时间流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。实现网络的高效、可靠运行,支持数据、话音和视频之间的无缝集成。为用户提供良好的QoS保证。广播风暴的抑制H3CS5510、S3100EI均可以实现基于端口的广播风暴抑止功能，可支持同一VLAN内的风暴抑止功能，可以有效的抑止局域网内部的广播风暴，确保网络的安全稳定。防止对DHCP服务器的攻击使用DHCPServer动态分配IP地址会存在两个问题：一是DHCPServer假冒，用户将自己的计算机设置成DHCPServer后会与局方的DHCPServer冲突；二是用户DHCPSmurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。H3CS5510系列交换机可以支持多种禁止私设DHCPServer的方法。防止基于流的攻击特性H3C核心交换机S5510、接入交换机S3100EI均采用最长路由匹配技术，与传统的基于流转发的方式相比，更具有强大的安全特性，对于如：红色代码等病毒可具有较高的抗攻击能力，可确保网络的安全、稳定。具体解决方案VLAN规划划分VLAN的必要性VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源，管理网络。利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。采用虚网功能，网络性能可以获得较大的改善：1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为IEEE802.1Q，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。5.虚拟局域网可以建立在不同的物理网络上，用封装的办法支法支持不同的网络协议络协议，如SNMP、NMP、IPX、TCP//IP、IEEE802.33等，兼容性非常好性非常好。6.虚拟网络中的主要应用技术为“虚网中继”，VLANTrunking特有技术的采用也成成为了必然。必然。简而言之，VLANTrunking主要是通过一条高速全双工通道(200Mbps)来)来实现将将一个LANSwitch端口所划分的不同VLAN与其它LANSwitch中各自相应的VLAN成员进行线路复用连接的技术。VLANTrunking技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。其原理如下图所示：如果采用VLANtrunking的技术，则V1、V2、V3均可通过一条全双工的100Mbps，即200Mbps的速率与上级LANSwitch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLANtrunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在V2，V3无数据量的情况下，V1可以独占此100M带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维护性。划分VLAN的方法作为一个大型企业集团，为方便管理和维护，交换机必须要求支持灵活的VLAN划分，华三公司的S3100EI接入交换机不仅能够支持标准的802.1QVLAN，还能实现端口之间的隔离。我们可以使用S3100EI支持的P-VLAN（primary-vlan）这个特性，一方面实现用户之间的隔离，另一方面可以为三层交换机节省VLAN资源。S3100EI可以屏蔽下面的VLAN划分，仅向三层交换机提供一个VLAN信息，在边缘交换机实现了端口可以同时属于多个Vlan； 如图所示：其中端口1为uplink端口，端口2，3，4为接入端口； Vlan1：包含端口：1，2，3，4，5 Vlan2：包含端口：1，2 Vlan3：包含端口：1，3，4 Vlan4：包含端口：1，5 设计中采用了几个secondaryvlan包含在一个primaryVLAN中的方式，给用户提供了灵活的配置方式。如果用户希望实现二层报文的隔离，可以采用了为每个用户分配一个secondaryvlan的方式，每个vlan中只包含用户连接的port和uplinkport；如果希望实现用户之间二层报文的互通，可以将用户连接的端口划入同一个VLAN中；同时创建primaryvlan，该vlan包含所有secondaryvlan中包含的端口和uplink端口，这样对上层交换机来说，可以认为下层交换机中只有一个primaryvlan，用来标识设备，而不必关心primaryVLAN中的端口实际所属的VLAN，简化了配置，节省了VLAN资源。primaryvlan中的所有端口都是不是802.1Q的trunk端口，包括与其它交换机相连的uplink口。每个port的PVID就是它所属secondaryvlan的ID；uplink端口的PVID是primaryvlan的ID； 如下图所示： 这样VLAN10和VLAN20内的用户属于一个网段，分属不同的VLAN，在三层交换机上仅仅需要创建VLAN30，它认为二层交换机上面仅仅只有一个VLAN30，在二层交换机上配置VLAN30为P-VLAN，包含从VLAN10和VLAN20，它们对三层交换机来说是不可见的。将端口分配给VLAN的方式有两种，分别是静态的和动态的。静态VLAN：形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。动态VLAN：建议使用华三公司的802.1X实现动态VLAN功能。我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。用户权限数据一般存储在CAMS（后台综合访问管理服务器）中，CAMS根据用户端的权限归类，在认证通过之后向二层交换机作动态的VLANID下发配置。此时，二层交换机要支持VLAN的动态配置功能（华三全系列交换机支持）。具体VLAN规划在重庆翰华担保集团网络建设中，首先，必须实现不同部门网络之间的互相割离。通常按照具体部门之间进行划分。本次项目奖建议使用此种划分方法。我们建议使用VLAN技术，同时在核心交换机上配合使用访问控制列表实现不同部门之间的隔离。我们建议每个部门作为一个独立的VLAN，部门内部可以使用P－VLAN的功能，再进一步进行隔离。从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过50台，最好控制在30台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。对于服务器建议单独设置在一个VLAN中。如果不同部门的人员之间需要实现互访，则只需要在核心交换机S9512上放开访问控制列表就可以了。对于集团公司高层，需要能够访问各个部门资源，对于此类用户，我们只需在核心交换机上，不对其设置任何访问控制列表就可以了。总之，任何访问控制要求，均可以通过访问控制列表的方式实现。为避免混乱及出错，应对网络中的VlanID统一规划，禁止出现网中的ID相同而又不在同一个Vlan中的情形。另外，由于802.1Q协议支持至多4096个VlanID，按部门划分VlanID可以为以后管理带来很大的方便，比如一看VlanID即知是哪个部门的用户。建议VlanID采用如下分配原则：（1）、Vlan1保留使用（2）、为方便管理，建议按地理区域或分支机构划分一段连续的VlanID。（3）、VLANID的分配按照每个部门占用一个VLANID的方式，该VLANID必须保证全网统一规划，不允许重复。（4）、部门内部在使用P－VLAN技术隔离不同员工时，该VLANID不需要统一规划，但必须保证在同一台交换机上，P－VLANID不重复。IP地址分配原则IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于本期IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，具体的IP地址分配将通常在工程实施时统一规划实施，这里主要描述IP地址分配的原则。主要的原则描述为：IP地址分配要尽量给每个分支机构分配连续的IP地址空间；在每个分支机构网中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制；IP地址的规划与划分应该考虑到个分支机构的发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；地址分配是由业务驱动，按照业务量的大小分配各地的地址段；IP地址的分配必须采用VLSM(变长掩码)技术，保证IP地址的利用效率；采用CIDR技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；在公有地址有保证的前提下，尽量使用公有地址，主要包括设备loopback地址、设备间互连地址。充分合理利用已申请的地址空间，提高地址的利用效率。IP地址规划应该是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。本次工程IP地址分配IP地址规划应该包括两部分，外部地址和内部地址的规划，外部地址就是Internent上的公有地址，一般在申请的时候，电信会分配给若干个公有IP地址，由于外部地址我们使用电信分配的地址，所以我们先讨论主要部分，内部地址的分配。内部IP地址应该本着易管理、易分配、易理解等原则来进行分配，由于我们规划的是内部地址，所以应该使用私有地址去规划。RFC1918中定义的非Internet连接的网络地址，称为“专用Internet地址分配”。RFC1918规定了不想连入Internet的IP地址分配指导原则。由Internet地址授权机构(IANA)控制IP地址分配方案中，留出了三类网络号，给不连到Internet上的专用网用，分别用于A，B和C类IP网，具体如下：～55～55～55由于重庆翰华担保集团内部的用户数量很多，我们建议采用～55这个C类私有地址，子网掩码24位，即，支持254个网段，每网段支持254个主机地址。在前面的VLAN规划中，我们建议每个部门使用一个VLAN，在进行IP地址规划时，需要和VLAN规划结合其他，使每个VLAN占用一个独立的网段。考虑到内部每个部门的信息点数不会超过254个信息点，因此，我们建议给每个部门分配一个C的IP地址，即使用28作为掩码，每个网段可以支持254个主机。例如这个网段，采用这个子网掩码，划分的网段主机如下：－54网络地址：广播地址：55-55网络地址：广播地址：55-55网络地址：广播地址：55-192.168.3．0网络地址：广播地址：55这种划分方法比较容易管理，也很便于网管人员理解，每个网段支持254台主机，符合Vlan划分的原则。在具体进行IP地址规划时，建议将这个网段留出，用作特殊地址分配。网络设备地址：网络设备地址主要用作网络交换设备的带外管理地址，地址分配为－54。对应我们的管理VLAN。服务器部分地址相关服务器的地址手动分配，我们保留－54，这个网段作为服务器的网络地址。每个分支机构的服务器使用与该分支机构相同的VLANID，分配一个独立的网段，比如使用-,52的掩码，该网段可以容纳2台服务器。具体主机的地址分配可按需分配。备用地址这个地址段留做备用地址。由于重庆翰华担保集团内部使用的是私有IP地址，要访问Internet必须进行地址转换，地址转换的工作在出口路由器设备上进行。建议申请多个有效IP地址，一部分留给对外的服务器使用，一部分作为地址池，共地址转换使用。网络设备自身的安全功能用户严格隔离方法一：用Vlan隔离。在楼层以太网交换机上按端口划分Vlan，每个用户占用一个Vlan。方法二：利用PVlan技术。在楼道交换机上划分PVlan，使用户端口之间不能通信，用户端口只能和Uplink口通信。方法三：使用以太网MUX设备。该类设备将接入层交换机的端口分为两类：上行口Uplink和用户端口。用户端口之间不能通信，Uplink口可以和所有端口通信。通过用户隔离，可以防止用户对网络邻居的工具，阻止冲击波等蠕虫病毒在园区网上的传播。有效防范MAC扫描和ARP攻击：MAC地址表放置在内存中，容量有限，用户通过不停的发送MAC地址冲刷MAC地址表，通过MAC地址表溢出来更改MAC与IP地址的绑定，从而重新定向流量(CAMOverflow,macoftool工具)。ARP攻击与此类似，它是通过对交换机CPU的处理能力进行大容量冲刷造成其溢出而实现其攻击的。华三S3100EI交换机通过将MAC地址与端口绑定与IP、并限制端口下MAC地址的最大学习个数，从而有效地防止MAC扫描，同时也可有效地防范ARP攻击。DHCP攻击、VLAN“Hopping”攻击的防范：使用DHCPServer动态分配IP地址会存在两个问题：一是DHCPServer假冒，用户将自己的计算机设置成DHCPServer后会与局方的DHCPServer冲突；二是用户DHCPSmurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。由于DHCP是通过二层广播包起作用的，故在二层严格隔离用户，可防止DHCPServer假冒。为解决DHCPSmurf，在以太网接入时，对用户划分Vlan，由汇聚层交换机控制一个Vlan下申请的最大IP地址数，当该Vlan的IP地址数目达到限制值后，拒绝新的DHCP申请。Vlan的划分可根据企业的实际情况灵活掌握。华三S系列交换机提供dhcpserverdetect功能，可以检测到非法的dhcpserver。同时，在CPE交换机上通过配置流规则，可以将非法端口的dhcpreply报文丢弃。VLAN“Hopping”攻击的解决方案与此类似。采用SNMPv3杜绝网管攻击：网络管理员通过Telnet远程访问网络时，由于Telnet在网络中是明文传输，容易被窃取管理密码，采用支持SSH的交换机，可以对Telnet报文进行加密，截获报文也无法解析密码。华三S系列交换机支持SNMPV3，确保网管信息在传输过程中加密，侦听用户无法获致报文的真正内容。有效抑制广播风暴广播风暴是网络最常见的网络问题，针对此情况H3CS系列以太网交换机提供完善的广播风暴抑制功能，提供了针对特定VLAN的广播风暴抑制比的设定功能，可对VLAN上收到的广播流量进行监控，当广播流量的带宽超过配置的限度时，交换机将过滤该VLAN上超出的流量，保证网络的业务，使广播所占的流量比例降低到合理的范围。防治蠕虫病毒防治蠕虫病毒需要系统管理、网络维护和安全操作部门的协力合作。一般情况下，对于事件的应对可分为3个主要阶段：反应（reaction）恢复（recovery）亡羊补牢措施（Post-mortem）对于worm病毒事件，反应（reaction）阶段可以细化分为下面4个子阶段限制（Containment）免疫（Inoculation）隔离（Quarantine）治疗（Treatment）下面我们就这四个子阶段具体介绍一下相关的内容：限制限制的目的主要是把蠕虫的活动范围限定在已经感染蠕虫病毒的范围内，也就是说是防止蠕虫的扩散。限制需要将网络分段隔离来减慢甚至是停止蠕虫的继续传播。涉及到的具体技术包括在路由器、防火墙、三层交换机等网络上的安全控制点上设置入口和出口包过滤规则。同样的在网络边缘设置入口和出口ACL可以很好的限制蠕虫病毒的传播。一方面我们可以在交换机上配置VLAN，隔离用户，防止染病PC通过ARP扫描感染同网段主机，另一方面，可以通过在汇聚交换机上限制单位时间内ARP报文的数目，以及ARP报文的总流量，从而从二层阻止蠕虫病毒的传播。如下图所示：我们还可以在汇聚交换机上配置ACL，限制蠕虫病毒传播的端口，防止蠕虫病毒的蔓延，如下图所示：免疫在限制的同时，所有没有感染蠕虫病毒的机器都必须打上供应商提供的针对相应漏洞的补丁。限制的目的是使蠕虫感染速度减慢甚至停止，而免疫的目的是剥夺蠕虫继续传染的可能。网络扫描可以用了发现网络上潜在的有漏洞的主机。免疫对当前移动办公的网络十分重要，由于便携机的大量普及，办公人员很容易拿着便携机在各个区域之间穿梭，例如从员工刚刚因为在“不安全”的家里上过网而被感染了，回到“安全”的公司网络上，就会继续感染公司的其它机器。所以经常给系统打补丁是很重要。隔离隔离过程主要包括追踪并发现被感染的机器，然后切断他们和网络的连接。隔离的最终目的是为了最后一个阶段－治疗。为了防止感染病毒的机器发送大量的流量，影响网络性能，我们可以在汇聚交换机上针对用户作速率限制，防止病毒流量侵占网络带宽，如下图所示：治疗所谓治疗，就是去除已经感染的机器的蠕虫病毒的过程，如终止蠕虫病毒进程、删除任何被修改的文件、恢复被病毒修改过的系统配置、为系统打上补丁等等。有时可能需要重新安装系统来保证病毒已经被彻底清除。总结起来，为了防止蠕虫病毒，主要可以使用如下表所示的策略：攻击方式安全交换机防护策略防护结果ARP攻击VLAN隔离用户，每用户一个VLAN限制单位时间内某用户的ARP报文数目，以及ARP报文总流量控制住整个二次网络中的ARP风暴；同时保证网络设备本身正常运转。ICMP攻击和网络流量攻击限制单位时间内某用户访问其他用户的次数，以及某用户同时访问其他用户的个数限制每用户带宽抑止了蠕虫的攻击速度；同时保证非感染用户的正常上网。DDOS－Synflood攻击对用户源IP地址、MAC地址进行严格匹配，凡是不匹配的，丢弃报文丢弃了大量的非法攻击报文，基本消除了DDOS对网络的攻击。蠕虫在主机中传播提供ACL进行临时保护，禁止蠕虫传播使用的所有RPC端口控制住蠕虫的蔓延，提供充足的时间让网络中的客户进行杀毒、修复；等攻击隐患基本消除后，再开启对应的RPC端口。客户不知道蠕虫情况提供强制Portal业务，无论是WEB认证、PPPoE认证、802.1x认证，在用户上线后都能够提供蠕虫病毒发作情况和杀毒、补丁程序或者链接。非感染用户可以简单、迅速地下载安装补丁；感染用户也会尽快了解清除方法、下载安装杀毒、补丁方案。从而有效地加快蠕虫消灭的速度。H3C设备介绍核心交换机产品概述：H3CS5510系列以太网交换机是H3C公司自主开发的三层全千兆多协议以太网交换产品，是为要求具备高性能、较大端口密度且易于安装的网络环境而设计的智能型可网管交换机。H3CS5510系列以太网交换机主要面向企业网、城域网汇聚或接入层的需求，同时硬件支持IPv4和IPv6双栈，可为客户提供丰富的业务特性和路由功能。产品特点：丰富的IPv4和IPv6三层功能硬件支持IPv4/IPv6双栈和IPv6overIPv4隧道，三层线速转发。S5510系列以太网交换机硬件支持IPv4/IPv6双栈和常用IPv6过渡隧道协议（手工Tunnel,6to4Tunnel,ISATAPTunnel,auto-Tunnel），既可以用于纯IPv4或IPv6网络，也可以用于IPv4到IPv6共存的网络，组网方式灵活，可以用于企业网络或宽带接入。支持丰富的IPv6路由协议，包括RIPng,OSPFv3,ISISv6,BGP4+forIPv6。支持IPv6的邻居发现协议（NeighborDiscoveryProtocol，NDP），管理邻居节点的交互。支持PMTU发现（PathMTUDiscovery）机制，可以找到从源端到目的端的路径上一个合适的MTU值，以便有效地利用网络资源并得到最佳的吞吐量。完备的安全控制策略H3CS5510系列交换机支持802.1x及MAC认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、PORT任意组合绑定，支持动态VLAN下发和GuestVLAN，有效的防止非法用户访问网络。支持端口和Vlan下发ACL，以及支持用户自定义流模板配合实现自定义ACL功能，更加灵活方便，保证网络的受控访问。丰富的QoS策略H3CS5510系列交换机支持基于源MAC地址、目的MAC地址、源IPv4/v6地址、目的IPv4/v6地址、四层端口、协议类型、VLAN等信息的流分类，充分保障了复杂网络对于QoS规则的要求。支持基于流的流量限速，优先级标记或映射，基于流的修改VLAN以及重定向到端口或下一跳，基于端口的流量整形。提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种模式。支持CAR功能，粒度最小达4Kbps，支持对多个端口的业务流使用同一个CAR进行流量监管。用户还可以选择直接在端口下发CAR，或通过QoS策略下发CAR。高可靠性H3CS5510系列全千兆多协议智能三层交换机实现双电源负载分担，也可以交、直流同时输入。支持LACP（LinkAggregationControlProtocol，链路聚合控制协议）进行动态链路汇聚。H3CS5510系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持RRPP（RapidRingProtectionProtocol）协议，可以防止数据环路引起的广播风暴，当以太网环上一条链路断开时能迅速恢复环网上各个节点之间的通信通路。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一个备份路由上去，实现上行路由的多级备份。电源支持1+1备份和负载分担，用户可以选配双交流、双直流、交直流冗余组合电源。强大的多业务能力H3CS5510系列交换机支持QinQ即VLANVPN特性，可以将用户私网VLAN标签封装在公网VLAN标签中，使报文带着两层VLANTag穿越运营商的骨干网络。S5510系列交换机支持灵活QinQ，可以实现针对不同的业务报文打不同的外层VLAN标签或者不打VLAN标签，便于业务分离。S5510系列交换机还支持VLANtranslation，可以根据不同用户或业务重新设置VLAN标签。同时支持IPv4和IPv6组播功能，支持丰富的组播协议IGMPSnooping、MLDSnooping、IGMPv1/v2/v3、PIM-DM、PIM-SM/SSM、MSDP，支持组播静态路由、组播组静态加入，而且组播Vlan可以跨Vlan复制，支持IGSPv1/v2/v3，支持大容量组播路由，强组播复制能力。出色的管理性H3C5510交换机支持基于出/入端口镜像、基于流的镜像以及支持远程端口镜像功能，可以实现统一监控检测,使网络管理更方便。支持SNMP，可支持OpenView等通用网管平台以及Quidview网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便，并且支持SSH1.5/2.0等加密方式，使得管理更加安全。产品规格：支持特性说明业务端口S5510-24P：24个10/100/1000Base-T以太网端口和4个1000Base-XSFP千兆以太网端口（Combo）外形尺寸（宽×高×深）440×43.6×360mm重量<5KG管理端口1个Console口二三层线速转发交换容量为：48Gbps包转发率：

35.71Mpps端口汇聚1.

支持FE（FastEthernet）端口聚合2.

支持GE（GigabitEthernet）端口聚合3.

支持LACP（LinkAggregationControlProtocol，链路聚合控制协议）4.

支持手工聚合MAC地址1.

支持12K个MAC地址2.

支持黑洞MAC地址3.

支持设置端口地址学习MAC最大个数端口1.

支持IEEE802.3x流控（全双工）2.

支持Back-pressurebasedflowcontrol（背压式流控）（半双工）3.

支持基于端口速率百分比的风暴抑制4.

支持端口优先级VLAN1.

支持端口VLAN(4094个)2.

支持协议VLAN3.

基于IPv4子网VLAN4.

支持VoiceVLAN5.

支持GVRP/GARP6.

支持VLANVPN（QinQ，灵活QinQ），BPDUtunnel7.

支持VLANTranslationDHCP1.

支持DHCPServer2.

支持DHCP-Relay3.

支持DHCPClient4.

支持DHCPSnoopingUDPHelper1.

支持UDPHelperDNS1.

支持静态域名解析2.

支持动态域名解析客户端3.

支持IPv4和IPv6地址ARP1.

支持ARP2.

支持免费ARP3.

支持ARPProxyIP路由1.

支持静态路由和缺省路由2.

支持RIP（RoutingInformationProtocol）v1/23.

支持RIPng4.

支持OSPFv1/v2（OpenShortestPathFirst）5.

支持OSPFv36.

支持IS-IS7.

支持IS-ISv68.

支持BGP（BorderGatewayProtocol）9.

支持BGP4+forIPV610.

支持等价路由11.

支持路由策略组播1.

支持IGMP（InternetGroupManagementProtocol）Snoopingv1/v22.

支持IGMPv1/v2/v33.

支持PIM-DM（ProtocolIndependentMulticast-DenseMode）4.

支持PIM-SM（ProtocolIndependentMulticast-SparseMode）5.

支持MSDP(MulticastSourceDiscoveryProtocol)6.

支持MLDSnoopingSTP/RSTP/MSTP1.

支持STP/RSTP2.

支持MSTP3.

支持STP保护功能IPV61.

支持ND(NeighborDiscovery)2.

支持PMTU3.

支持IPv6Ping，IPv6Tracert4.

支持IPv6Telnet5.

支持IPv6TFTPIPv6overIPv4Tunnel1.

支持手动配置Tunnel2.

支持6to4tunnel3.

支持ISATAPtunnel4.

支持Auto-tunnel（即IPv4compatibletunnel）QoS/ACL支持ACL1.

支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四层端口、协议类型、VLAN等信息的流分类2.

支持基本ACL3.

支持高级ACL4.

支持二层ACL5.

支持用户自定义ACL支持ACL流模板1.

支持用户自定义流模板2.

支持系统缺省流模板支持QoS1.

支持基于流的流量限速(8Kbit/s)2.

支持基于流的标记优先级、3.

支持基于流的修改报文VLANID4.

支持基于流的报文重定向到端口或IP下一跳5.

支持基于流的流量统计6.

支持基于流的流镜像7.

支持端口队列调度(SP/WRR/SP+WRR)8.

支持端口镜像和RSPAN(远程端口镜像)9.

支持端口流量整形10.

支持端口拥塞丢弃支持IPv6ACL1.

支持基于源IPv6地址、目的IPv6地址、四层端口、协议类型等信息的流分类2.

支持基本IPv6ACL3.

支持高级IPv6ACL支持时间段支持策略路由安全特性1.

支持用户分级管理和口令保护2.

支持IEEE802.1X认证3.

支持AAA4.

支持Radius认证5.

支持HWTacacs+6.

支持集中式MAC地址认证7.

支持端口隔离8.

支持IP+MAC+端口绑定可靠性支持VRRP（VirtualRedundancyRoutingProtocol）加载与升级1.

支持XModem协议实现加载升级2.

支持FTP（FileTransferProtocol）加载升级3.

支持TFTP（TrivialFileTransferProtocol）加载升级管理1.

支持命令行接口（CLI）配置2.

支持Telnet远程配置3.

支持通过Console口配置4.

支持SNMP（SimpleNetworkManagementProtocol）V1/V2c/V35.

支持RMON（RemoteMonitoring）1，2，3，9组MIB6.

支持华为QuidView网管系统7.

支持WEB网管8.

支持系统日志9.

支持分级告警10.

支持集群管理HGMP（HuaweiGroupManagementProtocol）V211.

支持Modem远端拨号12.

支持NTP13.

支持SSH14.

支持电源的状态检测和告警维护1.

支持调试信息输出2.

支持PING、Tracert3.

支持HWPing4.

支持Telnet远程维护5.

支持虚拟电缆检测(VirtualCableTest)输入电压S5510系列以太网交换机支持交流电源输入和直流电源输入。AC：额定电压范围：100～240VAC.；50/60Hz最大电压范围：90～264VAC.；50/60HzDC：额定电压范围：-60～-48V最大电压范围：-72～-36V功耗（满负荷时）S5510-24P-AC/S5524P-DC：66WS5510-24F-AC/S5524F-DC：100W工作环境温度0～45℃工作环境相对湿度（非凝露）10%～90%防火墙产品概述：H3CSecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。H3CSecPathF1000系列防火墙，支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（ApplicationSpecificPacketFilter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN、动态VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。产品特点：扩展性最强基于H3C先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSLVPN等硬件业务模块，实现2-7层的全面安全。强大的攻击防范能力能防御DoS/DDoS攻击（如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。增强型状态安全过滤支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。丰富的VPN特性集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。应用层内容过滤可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTPURL和内容过滤。全面NAT应用支持提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能。全面的认证服务支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。集中管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。产品规格：属性说明运行模式路由模式透明模式混合模式网络安全性AAA服务RADIUS认证HWTACACS认证PKI/CA（X.509格式）认证域认证CHAP验证PAP验证防火墙包过滤基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表动态包过滤ASPF应用层报文过滤l

应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）l

传输层协议：TCP、UDP抗攻击特性Land/Smurf/Fraggle/WinNuke/PingofDeath/TearDrop/IPSpoofing/ARP欺骗攻击防范/TCP报文标志位不合法攻击防范/超大ICMP报文攻击防范/地址/端口扫描的防范防病毒DoS/DDoS攻击防范

CC、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARPFlood等TCPProxy功能ICMP重定向或不可达报文控制功能Tracert报文控制功能带路由记录选项IP报文控制功能静态和动态黑名单功能MAC和IP绑定功能透明防火墙基于MAC的访问控制列表支持802.1qVLAN透传邮件/网页/应用层过滤邮件过滤网页过滤应用层过滤JavaBlockingActiveXBlockingSQL注入攻击防范安全日志及统计用户行为流日志NAT转换日志攻击实时日志黑名单日志地址绑定日志流量告警日志流量统计和分析功能全局/基于安全域连接数率监控全局/基于安全域协议报文比例监控安全事件统计功能E-MAIL邮件实时告警功能E-MAIL邮件定期信息发布功能NAT支持多个内部地址映射到同一个公网地址支持多个内部地址映射到多个公网地址支持内部地址到公网地址一一映射支持源地址和目的地址同时转换支持外部网络主机访问内部服务器支持内部地址直映射到接口公网IP地址支持DNS映射功能可配置支持地址转换的有效时间支持多种NATALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等VPNL2TPVPN/GREVPN/IPSecVPN/SSLVPN/DVPN网络互连局域网协议Ethernet_IIEthernet_SNAP802.1qVLAN链路层协议PPPoE网络协议IP服务ARP域名解析IPUNNUMBEREDDHCP中继DHCP服务器DHCP客户端IP路由静态路由RIPv1/2OSPFBGP路由策略策略路由高可靠性双机状态热备，Active/Active和Active/Passive两种工作模式，支持负载分担和业务备份关键部件冗余设计接口模块热插拔机箱温度自动检测服务质量保证（QoS）流量监管CAR拥塞管理FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ拥塞避免WRED流量整形GTS接口速率限制LR配置管理命令行接口通过Console口进行本地配置通过Telnet或SSH进行本地或远程配置配置命令分级保护，确保未授权用户无法侵入设备提供全中文的提示和帮助信息详尽的调试信息，帮助诊断网络故障提供网络测试工具，如Tracert、Ping、HWPing命令等，迅速诊断网络是否正常用Telnet命令直接登录并管理其它设备FTPServer/Client，可以使用FTP下载、上载配置文件和应用程序支持TFTP上传下载文件支持日志功能文件系统管理User-interface配置，提供对登录用户多种方式的认证和授权功能支持标准网管SNMPv3，并且兼容SNMPv2c、SNMPv1支持NTP时间同步支持Web方式进行远程配置管理支持H3CBIMS系统进行设备管理支持H3CVPNManager系统进行VPN业务管理和监控接入交换机产品概述：H3CS3100-26TP-EI交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的安全易用接入层交换机。产品特点：全面的接入安全策略H3CS3100-26TP-EI交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3CS3100-26TP-EI交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。H3CS3100-26TP-EI交换机支持端口安全特性族，可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。H3CS3100-26TP-EI交换机有强大硬件ACL能力，能深度识别报文，支持L2～L4包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN、VLAN范围等定义ACL，以便交换机进行后续的处理。并且支持基于端口、VLAN、全局定义和下发ACL策略H3CS3100-26TP-EI交换机支持集中式MAC地址认证和802.1x认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。支持对Proxy进行有效的管理。增强的网络管理和维护的易用性H3CS3100-26TP-EI交换机支持通过FTP、TFTP实现设备的远程升级，支持SNMPv1/v2/v3，可支持OpenView等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管，Telnet，HGMP集群管理，使设备管理更方便。H3CS3100-26TP-EI交换机支持跨交换机的远程端口镜像RSPAN，可以将接入端口的流量镜像到核心交换机上，可以对全网业务和流量进行监控、优化部署和恶意攻击监控，满足园区网精细化管理的需要。H3CS3100-26TP-EI交换机支持VCT（VirtualCableTest）电缆检测功能，便于快速定位网络故障点；并支持DLDP（DeviceLinkDetectionProtocol）单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。高性能与灵活扩展能力H3CS3100-26TP-EI交换机具有19.2G的背板交换容量，支持所有端口线速转发，满足了用户对高带宽的需求。设备支持2个GE上行，采用2个固定10/100/1000兆自适应电口和2个复用的通用SFP端口，并且SFP端口既可以支持百兆光模块，也可以支持千兆光模块，在降低用户成本的同时，更好的考虑了用户后续升级的实际需求。H3CS3100-26TP-EI交换机采用专利技术，允许交换机利用专用互联电缆实现多达16台设备的堆叠，最大扩展至384个10/100M端口，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了用户投资。丰富的业务支持能力H3CS3100-26TP-EI交换机PoE机型支持PoE（PoweroverEthernet）技术，通过以太网对所连接的设备（如IPPhone,WirelessAP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。H3CS3100-26TP-EI交换机支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种队列调度算法，支持每个端口4个输出队列，可以以不同的优先级将报文放入端口的输出队列。产品规格：项目S3100-26TP-EI外形尺寸（长×宽×高）(单位：mm)440×160×43.6重量<3.0kg固定端口24个10/100Base-TX以太网端口；2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-XSFP端口可用模块

SFP-FE-SX-MM1310-A

SFP-FE-LX-SM1310-A

SFP-GE-SX-MM850-A

SFP-GE-LX-SM1310-A

SFP-STACK-Kit

SFP-GE-LX-SM1310-BIDI

SFP-GE-LX-SM1490-BIDI管理端口1个Console口PoE远程供电不支持电源AC：

额定电压范围：100V～240VAC；50～60Hz

最大电压范围：90～264VAC；47Hz～63Hz整机最大功耗整机最大功耗：17W工作环境温度0℃～45℃工作环境相对湿度（非凝露）10%～90%

H3CS3100-EI系列交换机业务特性特性S3100-26TP-EI线速二层交换交换容量19.2Gbps包转发率6.55Mpps交换模式存储转发模式（StoreandForward）端口支持IEEE802.3x流控（全双工）支持基于端口带宽百分比的广播风暴抑制MAC地址支持8KMAC支持黑洞MAC支持设置端口MAC学习最大个数端口汇聚支持LACP支持手工聚合支持最大端口聚合组：端口数/2，每个聚合组最大支持8个端口VLAN支持基于端口的VLAN（4K个）支持基于协议的VLAN支持VoiceVLAN支持GVRP支持VLANVPN（QinQ），灵活QinQ支持基于端口和全局的VLANMapping二层环网协议支持STP/RSTP/MSTP支持SmartLink堆叠最大支持16台设备堆叠组播IGMPSnoopingv1/v2/v3组播VLAN镜像支持N:1端口镜像支持RSPAN支持流镜像QoS/ACL支持ACL支持L2～L4包过滤功能，可以匹配报文前80个字节，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN等定义ACL。支持基于端口、VLAN、全局下发ACL支持基于时间段（TimeRange）的ACL支持QoS每个端口支持4个输出队列支持802.1p/DSCP优先级支持端口队列调度（SP、WRR、SP+WRR）支持基于流的包过滤支持基于流的流量统计支持基于流的重定向支持基于流的优先级标记支持基于流的限速支持流量整形安全特性用户分级管理和口令保护支持GuestVLAN支持IEEE802.1X认证/集中MAC地址认证支持AAA&RADIUS&HWTACACS认证支持MAC地址学习数目限制支持MAC地址黑洞支持SSH2.0支持EAD（端点准入防御）支持IP源地址保护支持ARP入侵检测功能支持ARP报文限速功能支持端口隔离支持IP＋端口的绑定支持IP+MAC的绑定支持端口＋MAC的绑定支持IP+MAC+端口的绑定DHCP支持DHCPclient支持DHCPSnooping支持DHCPSnoopingtrust支持DHCPSnoopingoption82管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持HGMPv2集群管理支持SNMPv1/v2/v3，WEB网管支持RMON1，2，3，9组MIB支持H3CiMC智能管理中心支持系统日志，分级告警支持PING、Traceroute，MulticastTraceroute支持Telnet远程维护支持VCT（VirtualCableTest）电缆检测功能支持DLDP（DeviceLinkDetectionProtocol）单向链路检测协议支持Loopback-detection端口环回检测

附录华三公司介绍华三已经成为全球唯一能够提供全线的路由器和以太网交换机以及VoIP产品、视频会议和网络管理产品的两家厂商之一，从产品的提供上能够充分满足组网应用的需求。从安全性考虑，优先采用国产设备构筑网络，华三公司的所有网络产品均拥有自主知识产权，不存在产品后门漏洞，并且华三的网络产品包括全系列路由器和以太网交换机在国内多个安全性高的行业已得到规模应用，如：中共中央组织部、中共中央宣传部、中共中央纪律检查委员会、全国人大常委会、国家财政部部、国家外经贸部、信息产业部、国家工商总局、国家安全信息中心、国家公安部、中国人民银行、深圳工行、深圳农行、广东建行、中国银行总行、和江西政务网等多个行业。从可靠性考虑，华三公司是国内最大的网络设备供应商，有多年从事网络运营行业的设备组网、实施经验，众所周知，而网络运营商对于可靠性的要求非常的高，要求设备具有99.999%的可靠性，而华三在进行数据通信网络设备的研发、制造都是基于运营级的可靠性要求来进行的。从市场应用来说，华三公司目前是全球数据通讯领域具有重要影响力的厂商之一，公司持续稳定持续发展，在国内市场占有率位居国产厂商之冠。其产品经受了网上大量应用的考验，并得到了客户的充分信任。例如：本次方案设计中作为网络核心交换机的路由交换机H3CS7500E系列，在中组部，中宣部，国家工商总局核心层全部采用的便是该款产品，足以证明华三公司高端设备在国内已经得到部委客户充分的信任，完全可以满足本次网络的要求。华三公司系列网络产品均采用了业界先进的技术，具有高的性价比，如：核心路由交换机H3CS9500/7500E系列交换机均采用高性能ASIC，采用基于硬件的逐包转发方式，区别于基于流转发的业界的其它交换机，能够有效克服红色代码、ARP等病毒带来的攻击，S9500/S7500E具备ARP欺骗防御技术，能够有效防御ARP欺骗攻击，安全可靠转发能力高，同时华三的高端骨干设备均能够提供MPLSVPN，并且在国内已经有了大量的应用。本次所选择设备满足对设备的技术参数的具体要求，并且许多性能指标如：包转发率，背板容量等还要优于要求，具有极好的性价比。华三公司具备良好的服务和技术支持，产品售后服务好，健全的培训体制。在全国建立了28个办事处，35个用服中心，结合华三在各地的合作伙伴，无处不达和便捷的服务，是华三产品得到用户信任的可靠保障。华三在重庆本地网都有办事机构和备件中心，可以快速响应客户需求。为了满足