成都大悦城网络设备采购投标文件技术标

成都大悦城网络设备采购

投标文件（技术标）

投标人：四川龙达网络信息技术有限公司

法定代表人及委托代理人（签字或盖章）:

2015年06月02日

目录

一、服务实施方案说明........................................................................4

1..1项目情况和需求分析.................................................................5

总项目情况.......................................................................5

於需求分析....................................................................................5

**组网方案规划设计...........................................................7

**核心层设计...................................................................8

”汇聚和接入层设计............................................................10

^广域网出口设计.............................................................................13

**本设计方案的优势...........................................................17

**组网安全性的保障...........................................................17

**组网可靠性的保障............................................................19

a*网络可管理性的保障..........................................................79

於产品彩页...................................................................................26

”供货能力保证措施............................................................76

**产品和设备质量保证..........................................................76

**设备或产品供货方案和计划....................................................77

**设备供货步骤................................................................77

**设备交付启动会议............................................................77

”设计联络会议................................................................77

**设备的生产、制造、采购及出厂验收测试......................................77

**设备的装运发货..............................................................78

**现场开箱检畛................................................................78

卷全现场安装....................................................................78

现场施工验收测试..............................................................79

”系统验收测试................................................................79

**系统验收标准................................................................79

**项目实施配合和工程界面.....................................................80

*字需贵方配合事项..............................................................80

**供货能力承诺书..............................................................81

济物资品质保证措施............................................................82

»*物资进货渠道................................................................82

**配件供应的完整性保证措施...................................................82

总质量保证措施................................................................82

班设计及设计联络阶段.........................................................83

**工厂制造和监测阶段.........................................................83

*”包装、运输和存储阶段.......................................................83

共到货、仓储及验收阶段.......................................................84

**妥费督导阶段..............................................................84

”完工测试和综合联调阶段.....................................................85

”试运行阶段..................................................................85

**预验收阶段..................................................................85

”质量保证阶段................................................................86

**竣工阶段....................................................................86

**找公司质量保证体系..........................................................86

质量保证监督计划..............................................................87

**针对本标段采购物资供货及时性的说明及承诺..................................89

**保证交付日期的管理措施.....................................................89

*字按系统分解,明确分步目标...................................................89

**按专业工程分解,确定交接日期...............................................89

”计划变更情况..................................................................89

**产品交付进度计划及其保证措施...............................................89

裳*交付进度计划..................................................................89

**设备交付进度控制措施........................................................90

**系统测试与验收..............................................................92

**性能测试....................................................................92

”系统预验收....................................................................92

**施工缺陷的修复..............................................................93

卷*系统竣工验收..................................................................93

^本期项目完成交付后,后期的技术服务计划、维护、承诺.........................94

**售后技术支持服务体系........................................................94

**服务优势....................................................................95

”服务体系......................................................................95

**一站式服务内容..............................................................95

”专家技术咨询服务.............................................................95

**对用户的VIP服务承诺........................................................96

**售后服务承诺书.............................................................100

拟投入本项目的主要施工设备表................................................103

拟配备本项目的试验和检测仪器设备表.........................................104

**劳动力计划表...............................................................104

**计划开、竣工日期和施工进度网络图..........................................105

*字培训........................................................................106

**培训的意义................................................................106

**培训的目标................................................................106

**培训的组织机构.............................................................106

培训计划的制定...............................................................106

**培训方式..................................................................107

**客户培训控制程序...........................................................107

**培训记录文件...............................................................108

**管理制度...................................................................109

服务机构....................................................................................Ill

二，其他109

**代理证书..............................................................................112

**开户许可证113

一、服务实施方案说明

各投标单位自行拟定（但必须包括以下各项,分页列明）

1、网络架构深化设计,弱电布线及实施、安装、调试详细方案（分别描述设备安装调试详

细方案、工程管理方式,工程施工流程,如何保证工程质量工程进度等）

2、项目验收流程说明、项目验收标准与项目验收清单模板

3、质保期内维护服务计划,质保期届满后维修保养服务资料、建议和预计费用

4.售后服务承诺和响应时间承诺,日常紧急故障沟通流程及处理措施等

5.4项目实施及验收计划书》

**技术方案

1..1项目情况和需求分析

**项目情况

本次设计为成都大悦城网络新建，旨在建设先进、智能、安全、可靠、可扩展的基础网络。

**需求分析

为满足成都大悦城业务的发展，并保证在3—5年内大楼网络的整体高性能，本次网络建设

方案的设计将充分从以下几个方面考虑：

•高性能

设备的可靠性一一网络中所涉及的网络设备，采用了电信级的高可靠设

计。H3c公司是中国最大的网络设备制造商，有多年网络设备的开发制

造技术积累，对可靠特性支持有独到之处。我们选择的H3CS10506核心

交换机提供交换引擎冗余备份的方式，并采用先进的IRF2虚拟化技术,

将两台设备虚拟成一台设备，达到硬件冗余的效果，并且性能翻倍，电

源支持备份，并且设备切换实现毫秒级，网络应用不会出现中断。同时，

在网络结构设计中，我们也采取了多项冗余措施，例如骨干连接相互冗

余、跨版汇聚等。

•高可靠

设备的可靠性一一网络中所涉及的网络设备，采用了电信级的高可靠设

计。H3c公司是中国最大的网络设备制造商，有多年网络设备的开发制造技

术积累，对可靠特性支持有独到之处。我们选择的H3cS10506核心交换机

提供交换引擎冗余备份的方式，并采用先进的IRF2虚拟化技术，将两台设

备虚拟成一台设备，达到硬件冗余的效果，并且性能翻倍，电源支持备份，

并且设备切换实现毫秒级，网络应用不会出现中断。同时，在网络结构设计

中，我们也采取了多项冗余措施，例如骨干连接相互冗余、跨版汇聚等。

•可扩展

网络带宽的可扩展性：H3c公司的核心、汇聚交换机产品支持

1G,10G,40G,100G端口扩展，在投资和光缆资源允许的情况下，现有建

设的网络设备平台可以支持较长时期内网络容量扩容的需要。

•网络互连的可扩展性

由于IP交换技术为非面向连接的技术，网络的扩展表现为IP子网或VLAN

的增加，H3c公司以太网产品支持国际标准的IEEE802.1Q以及相关的

VLAN动态注册协议，如GVRP、VTP等等，可以实现在边缘增加VLAN后，

中心以及其他交换机不需任何配置就可以自动学习到新的VLAN,并支持

所有的国际标准协议，完全满足与其他厂商的设备对接与扩容。

•安全性

方案中采用多种安全策略：

网络路由信息交换安全策略：包含路由器的认证，路由信息过滤，多种

动态路由协议信息交换控制等。

网络服务安全控制：包含标准访问控制列表(ACL),扩展的访问控制列表

(ExtendACL),动态访问控制列表(RefHexACL),按数据流的访问统计

和监控(Netflow)o

基于网络层的加密：网络设备可提供基于标准的网络层加密技术：IPSec,

可以提供高可靠的网络访问安全机制。

网络攻击防范：通过汇聚交换机的防火墙插卡，对网络进行安全域的划

分，控制各个安全域的流量出入，过滤未知流量，防止外网攻击。通过

核心交换机的IPS安全插卡，来动态防御网络攻击，再通过出口部署的

ACG产品，多级地实现安全过滤，使全网无死角的部署灵活的安全方案。

•易管理维护

由于采用TCP/IP协议这种非面向连接的网络层互连协议，网络的管理

重点在于网络的结构化设计。整个网络的服务提供均建立在一层次化方

式，也就是当新的用户接入到网络之中不会影响网络的骨干，管理人员

只需在相应接入设备做相应的配置即可。

并且采用IMC智能管理平台，集中管理网络中所有的网络设备，并且能

实现随时查看网络拓扑，清晰了解网络情况，实时定位网络故障，所有

设备均能发送告警或者日志到监控中心，使网络管理达到真正的简单、

局效。

•QoS支持能力

H3C10500系列和7500E系列，提供丰富的Diffserv/QoS支持，提供多

种规则组合条件下的流映射和分类、流量监管(CAR)、拥塞控制方法(RED、

WRED、SA-RED)队列调度和输出流整形等功能，真正做到业务区分并

保证带宽/时延/抖动在限定的范围之内，使贵行可以为用户提供具有不

同服务质量等级的服务保证，使骨干网真正成为同时承载数据、语音和

视频业务的综合网络。

并且出口ACG,能够做到真正意义上的7层精细限速，支持超过4级通

道带宽嵌套，满足大型网络管理要求，支持基于地址、用户、服务、应

用、时间等新五元组一体化策略的上下行带宽及多优先级控制，流量管

理无死角。

**组网方案规划设计

本次网络建设工程针对成都大悦城的具体情况和业务信息点布局，采月标准的三层网络架构

模型设计，非常符合成都大悦城网络的实际情况，合理考虑了各楼层网络通讯的效率和整体

网络的数据交换性能，并且在成本上控制在合理的范围内。具体来讲在网络结构上，设置双

核心交换机，形成双星型拓扑结构；楼层各接入交换机通过双链路分别连接至高性能汇聚交

换机S7500E,实现冗余链路，甚至实现链路上流量的负载均衡且互为备份，若其中一条线

路出现故障，不会影响网络的运行，还可提高整个核心网络的性能。

网络核心层：配置核心交换机，即在大楼的中心机房配置两台高性能核

心交换机H3c10506。网络接入层：配置接入交换机，即在大楼各楼层各井

道放置接入交换机S5110系列千兆快速交换机，以满足网络数据的快速转发

需要。

网络结构如下图所示:

ACG1OOO-F

S10504<|RF2)

港多易区

lOOOBase-T

S2SO5E

**核心层设计

核心层负责整个网络的数据交换，同时也是整网(LAN)的路由交换中心，全网所有第三层

的转发交换都通过核心节点集中进行，为保证核心节点的高可用性，核心节点采用双机虚拟

化方式，即配置两台高性能的H3CS10506,它们之间通过万兆端口实现互连，并用IRF2

技术实现虚拟化。两台S10506构成双机冗余结构，达到无单点故障的目的。这样任意核心

节点都可以成为是业务的主要汇怠中心，核心节点与接入节点之间形成全冗余连接，以增强

整体网络的容错和故障隔禽能力。同时，各种应用服务器系统、网管系统等还可通过核心交

换机提供的电口业务板直接接入。

为了充分保障核心交换平台的高可靠特性，S10506还支持双处理引擎

以及冗余电源配置，规格指标达到电信级要求。具体业务单板跟端口需求相

关。

S10506采用先进的CLOS多级多平面交换架构，提供持续的带宽升级能

力。

正交网板设计：S10500业务板卡与交换网板采用完全正交设计（90度），

跨线卡业务流量通过正交连接器直接上交换网板，背板走线降低为零（极大

规避信号衰减）。高速信号速率可达25Gbps/Serdes,为业界的2.5倍，极

大提升了系统带宽和演进能力，整机容量可平滑扩展至百Tbps；

支持40GE和100GE以太网标准，充分满足无阻塞园区网的应用及未来

发展需求。

独立的交换网板卡，控制引擎和交换网板硬件相互独立，最大程度的提

高设备可靠性，同时为后续产品带宽的持续升级提供保证。

采用了创新的硬件设计，通过全分布式的独立控制引擎、检测引擎、维

护引擎为系统提供强大的控制能力和毫秒级的高可靠保障；

分布式的控制引擎，所有业务板均提供强大的控制处理系统，轻松处理

各种协议报文及控制报文，并支持协议报文精细控制，为系统提供完善的抗

协议报文攻击的能力；

分布式的检测引擎，所有业务板都可以分布式的BFD、OAM等快速故障

检测，并与控制平面的协议实行联动，支持快速保护切换和快速收敛，可以

实现毫秒级的故障检测，保障业务不中断

面向园区网横向业务整合的需求，S10500支持IRF2（第二代智能弹性

架构）技术，将多台高端设备虚拟化为一台逻辑设备，是业界首款支持4框

虚拟化的核心交换机产品，在可靠性、分布性和易管理性方面具有强大的优

势，主要体现在三个方面：

可靠性：通过专利的路由热备份技术，在整个虚拟架构内实现控制平面

和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了虚拟架

构的可靠性和高性能，同时消除了单点故障，避免了业务中断；

分布性：通过分布式跨设备链路聚合技术，实现多条上行链路的负载分

担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率;

易管理性：整个弹性架构共用一个IP管理，简化网络设备管理，简化

网络拓扑管理，提高运营效率，降低维护成本。

10500系列产品可以在纵向维度上支持异构虚拟化，将核心和接入设备

通过IRF3技术形成一台纵向逻辑虚拟设备，支持AC、AP统一管理、配置,

相当于把一台盒式设备作为一块远程接口板加入主设备系统，可支持多达60

台盒式设备加入，以达到扩展I/O端口能力和进行集中控制管理的目的。IRF3

技术可以简化管理，大幅度降低网络管理节点；简化布线，二层变为一层，

节省横向连接线缆；最终实现数据转发平面虚拟化，便与简化业务部署和自

动编排。

**汇聚和接入层设计

本次整个网络采用标准的三层网络结构。由于大悦城地理环境原因，汇聚层和接入交换机之

间采用光纤互联，并且使用双链路上行，实现冗余链路，甚至实现链路上流量的负载均衡且

互为备份，若其中一条线路出现故障，则备份线路自动启动，不会影响网络的运行，并大大

提高整个网络的数据交换性能。

各接入交换机以太端口负责接入各终端，终端以千兆以太网电口接入。

我们选用的H3cs7500E面向数据中心技术的演进，推出了IRF2为代表

的软件虚拟化技术，提供2-4台主机的协同工作、统一管理和不间断维护功

能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于

传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为

H3c用户增值服务的重要组成部分；另外H3c的IRF2虚拟化技术还可根据

组网的要求支持长距离(80KM)的普通以太网万兆光纤堆叠。

H3CS7500E系列产品可以在纵向维度上支持异构虚拟化，将核心和接

入设备通过IRF3技术形成一台纵向逻辑虚拟设备，支持AC、AP统一管理、

配置，相当于把一台盒式设备作为一块远程接口板加入主设备系统，以达到

扩展I/O端口能力和进行集中控制管理的目的。IRF3技术可以简化管理，大

幅度降低网络管理节点；简化布线，二层变为一层，节省横向连接线缆；最

终实现数据转发平面虚拟化，便与简化业务部署和自动编排。

H3CS7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；

支持三层的MPLSVPN和二层的MPLSVPN(Martini.Kompella)；支持MPLS

0AM特性，方便用户的管理和维护；与H3cMpLSVPNManager配合，实现图

形化的MPLS部署与维护。

全面支持VPLS,VLL,还支持分层VPLS以及QINQ+VPLS接入方式，提

供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模

部署要求。

H3CS7500E集成的无线控制模块提供丰富的业务能力，包括精细的用

户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6

的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用

户的端点准入防御，提高了整网的安全性。

H3c7500E采用了支持AC功能的芯片设计，可拓展随板AC功能，为客

户组建有线无线一体化网络的提供更丰富的选择。

H3CS7500E是业界最高密度的以太网无源光网络(EPON)设备，其提

供高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热

备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。

H3CS7500E系列产品可以助力用户从容面对云数据中心化所需的一系

列技术及解决方案：

TRILL：随着服务器和交换机规模的增加，数据中心网络越来越倾向于

扁平化的网络架构以便于维护管理，这就要求构建一个大型的二层网络；H3C

S7500E系列产品支持通过TRILL技术和纵向虚拟化技术来进行数据中心大二

层网络的构建。数据中心大二层技术TRILL(TRansparentInterconnection

ofLotsofLinks,多链路透明互联)协议将三层路由技术IS-IS

(IntermediateSystem-to-IntermediateSystem,中间系统到中间系统)

的设计思路引入二层网络，并对其进行了必要的改造。从而将二层的简单、

灵活性与三层的稳定、可扩展和高性能有机融合起来。

MDC：H3CS7500E产品可以通过MDC技术实现正真的1：N的虚拟化，

即把一台交换机虚拟成N台互相独立的虚拟交换机，不同于传统的交换机虚

拟化技术，MDC虚拟出的每台交换机之间物理隔离、安全隔离，拥有独立的

硬件资源和管理权限，满足多业务客户共享核心交换机的需求，这样，一方

面可以充分利用核心交换机的能力达到隔离复用的作用，另一方面也降低了

用户的投资成本，一举两得。

EVB：H3CS7500E产品支持EVB(EdgeVirtualBridging),通过VEPA

(VirtualEthernetPortAggregator)技术将虚拟机产生的网络流量上传至

与服务器相连的物理交换机进行处理，不仅实现了虚拟机间流量转发，同时

还解决了虚拟机流量监管、访问控制策略部署等问题。

FCOE：H3cs7500E系列产品支持FCOE技术；FCOE技术主要用来解决

云计算数据中心LAN网络和存储网络异构的问题，通过FCoE和CEE技术的

部署，可以实现数据中心前端网络和后端网络架构的融合，解决数据、计算

和存储三网割裂的技术难题，从而大大降低数据中心的采购和扩容成本；

EVI：H3CS7500E系列产品支持EVICEthernetVirtualInterconnection,

以太网虚拟化互联）技术，EVI是一种先进的〃MACinIP〃技术，EVI解决方

案部署非常简单，基于现有的IP网络，给分散的物理站点提供灵活的二层

互联功能。

H3CS5U0系列交换机支持所有端口线速转发，满足了用户对高带宽的

需求。S5110系列交换机至少支持2或4端口千兆上行，并且SFP端口既可

以支持百兆光模块，也可以支持千兆光模块，在降低用户成本的同时，更好

的考虑了用户后续升级的实际需求。H3cs5110系列交换机可支持32台设备

的堆叠，最大扩展至1664个100/1000M端口，支持不同端口设备的混合堆

叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了

用户投资。

H3CS5110系列交换机支持特有的ARP入侵检测功能，可有效防止黑客

或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”。支持IPSource

Guard特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，

以及DoS攻击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝

私设DHCP服务器，保证DHCP环境的真实性和一致性。

H3CS5110系列交换机支持端口安全特性族，可以有效防范基于MAC地

址的攻击，实现基于MAC地址允许/限制流量。

H3CS5110系列交换机提供802.IX和MAC认证方式对接入的用户进行

认证，支持客户端软件版本检测、GuestVLAN等功能，和iMC配合还可以实

现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性

进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。

多重可靠性保护H3CS5U0系列交换机支持以太网0AM和CFD,可以有

效提高对以太网的管理和维护能力，保障网络的稳定运行。

H3CS5110系列交换机支持SmartLink和MonitorLink,可以为双

上行链路提供更高效，更可靠的链路备份。

H3CS5110系列交换机支持RRPP,可为环形组网提供更快的拓扑收敛，

使数据传输更为稳定。

H3CS5110系列交换机支持端口限速以及流限速功能，防止恶意侵占网

络带宽，也为网络带宽的精细化管理提供了手段。

H3CS5110系列交换机支持丰富的队列调度算法，可以以不同的优先级

将报文放入端口的输出队列。

H3CS5110系列交换机支持丰富的IPv6管理功能及支持丰富的IPv6业

务特性等。

H3CS5110系列是H3c新一代绿色节能以太网交换机，采用多种绿色节

能设计，包括auto-power-down（端口自动节能）,如果在一段时间内接口

状态始终为down,则系统自动停止对该接口供电，自动进入节能模式；支持

一键节能模式，通过控制设备上指示灯亮/灭以及端口节能状态降低能耗；

支持EEE节能功能，端口如果在连续一段时间之内空闲，系统会将该端口设

置为节能模式，当有报文收发时再通过定时发送的监听码流唤醒端口恢复业

务，达到节能的效果，满足材料环保与安全性的欧盟RoHS标准。

**广域网出口设计

整个大悦城网络广域网出口只有一台路由器，全部与外网的通信均由此设备负载，可以说千

斤重担系于一身。因此，此设备自身的可靠性是非常关键的因素。

H3C公司的SR6602系列高端路由器可完全满足本设计方案广域出口的

要求，并且可扩展多种接口，支持全部动态路由，达到真正意义上的多业务

处理。

路由器以下采用ACG安全产品，实现对网络流量的精细控制，做到真正

意义上的7层精细限速，支持超过4级通道带宽嵌套，满足大型网络管理要

求，支持基于地址、用户、服务、应用、时间等新五元组一体化策略的上下

行带宽及多优先级控制，流量管理无死角。

H3CSR6602-X双万兆网关基于业界领先紧凑型设计理念，在2U高设备

上不仅集成高密度高速端口，支持FIP-20和FIPT0灵活接口设计，还实现

了可插拔冗余电源和模块、风扇可插拔功能，在保证设备高可靠性、网络配

置灵活性的同时确保业务模块的兼容性，最大限度保护用户投资。H3C

SR6602-X万兆网关采用高性能多核处理器作为NAT业务处理引擎，多核多线

程处理器的应用，使SR6602-X万兆网关具备高性能和灵活性等特点，从而

在并行处理各种复杂的NAT业务同时能够实现数据的高速转发。

H3CSR6602-X双万兆网关可以平滑升级到新一代的ComwareV7网络操

作系统。ComwareV7控制平面采用多核及SMP（Symmetrical

Multi-Processing对称多处理）技术，各软件模块有独立的运行空间，可以

动态加载、单独升级，支持ISSU。ComwareV7能够保证关键业务性能及实

时性。支持指定进程集合运行在专有的CPU上，为关键任务的运行提供资源

保障、线程的抢先调度及合理的优先级设置，保证系统CPU负荷高时，有实

时性要求的功能仍然可以及时响应事件进行处理。ComwareV7能够提供良好

的进程级可靠性。支持进程内存保护、进程级重启、进程级备份、进程级补

丁等技术。

SR6602-X的网关模式具有双万兆的强大NAT业务性能：SR6602-X网关

模式NAT会话数最高支持400万；在叠加NAT、防火墙以及策略路由等常见

网关应用的情况下，256字节报文转发性能可以达到15Gbps。在并发200万

NAT连接时，256字节以及IMIX互联网混合报文的NAT转发性能仍然仍可超

lOGbpsoSR6602-X强大的NAT转发性能，完全可以满足各种超大型园区网出

口的性能要求，并能满足用户今后出口带宽扩容需求。

作为网关出口经常要面对双出口或多出口的情况，SR6602-X的网关模

式支持灵活的出口选择技术：在内部用户访问Internet方向，采用灵活的

路径选择技术，可以根据出口网络资源利用情况、内部用户的访问需求、目

的网络地址所属运营商、基于用户应用等因素，规划网关出口的选择；在

Internet用户访问内部服务器方向，可以根据Internet用户入内部网络的

运营商线路，智能选择该用户回程流量的运营商线路，保证入出网关流量的

路径一致；另外，在多出口场景时，还可以基于EAA功能解决个别出口超负

载后的流量调整问题。针对出口链路设定一定的阈值，达到阈值后可以调整

部分流量到负载较为空闲的链路上。

作为大型企业的出口网关设备，在部署NAT功能的同时，还可能需要部

署各种VPN应用。SR6602-X万兆网关全面支持GRE、L2TP、IPSec等VPN功

能，借助多核处理器内嵌的强大加密引擎，可以为用户提供大容量、高性能

的安全VPN接入。在硬件上支持独立的硬件加密内核，在不增加用户投资的

前提下可提供8GbpsIPSec数据加密处理能力，6000条IPSec隧道、32000

条L2Tp隧道、4000条GRE隧道，高性能的加密能力以及超大的隧道容量可

以满足各种大型加密网关的要求，保证用户数据在广域网的传输安全。

H3CSR6602-X网关路由器凭借灵活接口平台设计具备强大的扩展能力。

FIP-10可同时支持4个多功能接口模块(MIM),FIP-20可以同时支持2个

高速接口模块(HIM)或2个多功能接口模块(MIM),并支持口M和MIM接

口模块之间混插。

SR6602-X网关模式可以支持FE、GE以及10GE等多种速率的以太接口

卡，在接口介质上可以支持电口和SFP光口，光口还可以支持百兆、千兆自

适应。用户按需购买，应用灵活方便。

H3CSR6602-X网关路由器支持大容量路由转发表项，同时支持丰富的

路由策略和强大的策略路由功能，可对网络流量进行灵活的控制和调度，满

足行业和运营商用户不同业务特性要求。此外，H3CSR6602-X还全面支持基

于IPv4/IPv6静态路由和动态路由协议，如：RIP/RIPng.0SPF/0SPFv3、

IS-IS/IS-ISv6.BGP/BGP4+等。

SR6602-X秉承高端设计理念给用户提供全面的可靠性保障:在硬件上，

提供可插拔电源冗余设计，支持交流或直流电源输入，保证用户在一路电源

故障的情况下能够继续运行设备；支持全部接口模块的热插拔功能，确保用

户在不间断业务的情况下插拔或者更换单独的模块，并提供热补丁技术，实

现软件平滑升级。

支持MPLSTEFRR(FastReRoute,快速重路由)，具备快速路由备

份(FRB：FastRoutingBackup)特色功能，并结合BFD功能，实现故障链

路的快速切换。

支持IPFRR(FastReRoute,快速重路由)，可以和静态路由/策略

路由/RIP/IS-IS/OSPF进行联动，并可以结合BFD功能，实现故障链路的快

速路由切换。

支持IGP快速收敛。

支持虚拟路由冗余协议(VRRP),结合BFD故障检测机制，实现快速的

VRRP倒换能力。此外，还支持增强型虚拟路由冗余协议(VRRPE),可实现

多个虚拟路由器的负载分担功能。

支持OSPF/IS-IS/BGP/MPLSLDP/MPLSRSVP-TEGR（GracefulRestart,

完美重启）功能实现主备引擎倒换时不间断转发。

SecPathACG支持超过4级通道带宽嵌套，满足大型网络管理要求，支

持基于地址、用户、服务、应用、时间等新五元组一体化策略的上下行带宽

及多优先级控制，流量管理无死角。

SecPathACG设备的智能流控技术将出口物理线路带宽划分为逻辑虚拟

线路，在父线路内支持二次划分，即将线路划分为通道，从而达到多级流控。

根据流量特征，智能识别应用和服务，之后根据流量特性，识别出配置的虚

拟线路和流控管道，计算出管道的带宽使用率，是否需要向父节点借用带宽

等信息。在转发过程中，支持流量整形，在接口上缓存报文，并以比较均匀

的速度发送出去，避免网络出现burst,导致丢包。

SecPathACG产品整机提供32个虚拟线路、1024个带宽通道、4级流

控，彻底告别陈旧的流控技术，让带宽管理做到最精细！

通过H3c长期积累的状态机检测、流量交互检测技术，能精确检测115

网盘、电信通、盛大网盘、百度网盘、360云盘、Thunder/WebThunder（迅

雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、

新浪UC、阿里旺旺、新浪微博、腾讯微博、天涯论坛、猫扑论坛、微信等

P2P/IM/网络游戏/炒股/网络视频/网络多媒体等多种主流网络应用，为应用

控制及审计提供有力支撑。

SecPathACG采用了DPI/DFI融合识别技术，相对于传统的流控产品，

控制力度更精细，控制层面不再局限在主程序，更能深入识别应用程序的子

功能。例如对新浪微博的控制力度不仅仅是登录动作，更是深入识别到注销、

发表、评论、转发、关注、搜索等子功能，支持单应用高达12种行为动作

控制、超过八百种主流应用类别识别、近60种分类URL审计过滤、桌面及

移动终端均可审计控制，提供最精细的控制功能。

提供实时的业务流量趋势图、流量分布图、TopN用户列表、TopN应

用协议列表等报表，并支持按照用户名/用户组、使用时段、应用分类、应

用协议、流量大小、安全事件等进行多维度组合定制报表，使用户能全面掌

握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提

供依据。

可对各种网络社区、P2P/IM、网络游戏、网络多媒体、文件共享、邮件

收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录；

同时，通过综合分析、检测用户网络流量与流向趋势，对历史数据进行分析，

为用户提供细粒度的网络应用审计管理系统。

H3c专业特征库团队密切跟踪应用变化，并对应用协议特征库及时更新；

支持对协议特征库的在线自动/手动升级、本地升级，且升级过程无需重启

系统，不影响系统业务运行。

针对各企业为用户组建免费WIFI的大趋势并结合移动互联网营销需求,

H3CACG1000产品为用户提供创新的微信推广方案，用户只需关注企业公众

号后简单操作即可获得上网权限。

**本设计方案的优势

**组网安全性的保障

H3C的网络设备为本网络提供如〈几方面的安全保障：

＞在核心交换机上提供了IPS入侵防御系统，SecBladeIPSEnhanced是业界唯

一集成漏洞库、专业病毒库、应用协议库的IPS模块。配合H3cFIRST（Full

InspectionwithRigorousStateTest,基于精确状态的全面检测）专有

引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。SecBladeIPS

Enhanced通过了国际权威组织CVE（CommonVulnerabilities&Exposures,

通用漏洞披露）的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界

顶尖水平。SecBladeIPSEnhanced集成卡巴斯基防病毒引擎和病毒库。采

用第二代启发式代码分析、iChecker实时监控和独特的脚本病毒拦截等多种

最尖端的反病毒技术，能实时查杀各种文件型、网络型和混合型病毒；并采

用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。H3C

专业安全团队密切跟踪全球知名安全组织和厂商发布的安全漏洞公告，通过

准确的分析，快速生成保护操作系统、应用系统以及数据库漏洞的特征库；

H3c通过了微软的MAPP（MicrosoftActiveProtectionsProgram,微软主

动防御计划）认证，可以提前获得微软的漏洞信息。同时，通过部署于全球

的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期1每周）和紧急（当

重大安全漏洞被发现）两种方式发布，并自动或手动地分发到SecBladeIPS

Enhanced模块中，使用户的SecBladeIPSEnhanced模块快速具备防御零时

差攻击的能力。领先的多核架构及分布式搜索引擎，确保SecBladeIPS

Enhanced在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护

能力，仅有微秒级时延。IPS模块通过嵌入到交换机中，可以有效降低单点

故障，即使在SecBladeIPSEnhanced出现故障时也能保证数据业务的正常

转发。除了在线部署，SecBladeIPSEnhanced模块还可以采用旁路部署的

模式，实现IDS入侵检测的功能。

在汇聚交换机H3c7500E采用了H3cSecBladeFWLite防火墙模块，该模块

采用先进的多核硬件结构，提供高性能的安全防护；同时采用H3cComware

安全软件平台，是成熟的安全防火墙业务模块。支持对DoS/DDoS攻击、ARP

欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、

ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、

Java/ActiveXBlocking和SQL注入攻击等威胁的防范；支持静态和动态黑名

单、MAC绑定、安全区域控制、系统统计等安全功能。集成IPSec、L2TP、

GRE等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便

捷的远程接入。提供多对一、多对多、静态网段、双向转换、£25丫讣和。和

映射等多种NAT应用方式。提供DNS、FTP、H.323、NBT等NATALG功能，支持

多种应用协议正确穿越NAT。支持先进的虚拟防火墙技术，通过在同一台物

理设备上划分多个逻辑的防火墙实例来实现对用户多个业务独立安全策略

部署的需求。当用户业务划分发生变化或者产生新的业务部门时，可以通过

添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题，简化了

网络管理的复杂度。直接在113c交换机、路由器中增加SecBladeFWLite模

块，即可扩展交换机的防火墙功能。通过与交换机共用管理平台，降低了管

理难度。并且交换机的任何端口都可以作为SecBladeFWLite模块的端口

使用，从而降低用户成本。SecBladeFWLite业务模块作为业务插卡嵌入

H3c交换机中，降低了单点故障，保证了网络的高可靠性。

除了提供MAC地址绑定、IP+MAC地址绑定等等常用特性以外，H3c还在交换机

上提供了802.IX认证技术，802.IX认证技术是目前比较通行的认证技术，通

过802.IX接入认证，不但可以记录用户的MAC地址，还可以记录了用户的IP

地址、VLANID等，同时还可以监测网络用户使用网络的时间起止段、时长

以及流量的大小，可以有效的对整个网络资源的使用做出统一调度、安排;

同时通过802.IX认证，只要帐号、密码、MAC地址、IP地址和VLANID任何一

个与接入设备上保存的信息匹配不上，就不允许此报文通过。

＞H3c的所有交换机均提供强大的QoS能力，S5110系列二层交换机提供基于硬

件的功能丰富的QoS能力，可以从接入层对网络的流量、业务类型进行QoS策

略的设计和规划以及过滤，对不同的业务提供不同的质量保障，同时也能将

一些ping攻击、icmp攻击进行过滤，从而从接入层保证网络的安全。

＞**组网可靠性的保障

H3C10506冗余/热备份

主控板1：1冗余热备份

分布式转发，路由和交换系统不存在单点故障

交流电源：1+1冗余热备份

风扇系统：热备份

单板支持热插拔而不丢失配置数据

电信级热备份，单板倒换不影响系统正常运行和业务转发

＞网络可靠性

采用了端口捆绑、链路聚合提供了链路备份和负载均衡。

内网的两台S10506运行IRF2协议，一旦其中一台发生故障，所有流量自动

切换到另一台上，保证网络的不间断。

**网络可管理性的保障

按照用户网络管理的要求，网络的管理软件采用H3c公司的IMC网络管理系统管理，特点

如下：

＞中文管理操作界面

中文网管界面，方便国内用户操作和使用。使得网络管理人员可以更加灵活

的选择语种进行操作。

＞网络集中监视

全网设备的统一拓扑视图

拓扑自动发现，拓扑结构动态刷新

可视化操作方式：拓扑视图节点直接点击进入设备操作面板

在网络、设备状态改变时，改变节点颜色，提示用户

对网络设备进行定时（轮询间隔时间可配置）的轮循监视和状态刷新并表现

在网络视图上

支持拓扑过滤，让用户关注所关心的网络设备情况

支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象

＞故障管理

告警实时监视，提供告警声光提示，支持外接告警箱

支持告警过滤，让用户关注重要的告警，查询结果可生成报表

支持告警基级别重新定义，支持告警转存，保证系统的运行效率和稳定性

支持告警拓扑定位，将显示的焦点定位到产生选定告警的拓扑对象

A故障定位与地址反查

针对最为常见的端口故障，IMC网络管理软件提供了便捷的定位检测工具一

一路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员

可以通过网管对指定用户端口做环回测试，直接定位端口故障。

端口反查功能支持两种方式的查找定位功能：MAC地址端口反查和IP地址

端口反查，使用时分别输入终端用户的MAC地址或IP地址，能够定位该终

端用户连接的交换机及交换机的端口，帮助网络管理员及早定位非法报文接

入网络的原始端口，及时关闭端口，防止一些违规用户进行非法操作比如滥

发报文、访问非法站点等，危害网络安全。

H3CIMC管理软件支持各业务在首页发布widget（WebWidget,中文译名被

称作是微件,是一小块可以在任意一个基于HTML的Web页面上执行的Web子

页面），每个widget具有折叠、还原、最大化、拖拉、关闭、新窗口打开、

自动异步刷新等功能。

支持用户在自己的权限范围内定制个性化主页。

支持通过高分辨率大屏幕监视网络运行情况，以便实时掌握网络运行状态，

显示的内容可根据管理员的需求进行定制。

支持使用移动客户端（智能手机、平板电脑）访问iMC中的资源，以简化网

络的日常管理和监控，提升管理效率。当前版本的iMC支持iOS（iOS4.3

或更高，iPhone>iPodtouch^iPad兼容）、Android（Android2.1updatel

或以上版本）操作系统的移动设备访问。通过iMC移动智能客户端，管理员

可以查询特定设备，浏览存在故障的设备信息及接口信息，对设备进行可达

性测试（Ping,TraceRoute）等操作。

更多的管理设备类型：除了传统的路由器、交换机外，更能对网络中的无线、

安全、语音、存储、监控、服务器、打印机、UPS等设备进行管理，实现设

备资源的集中化管理。

多厂家设备的统一管理：除了对H3c的网络设备管理外，iMC平台还实现了

对HP、3com、华为、Cisco各厂家网络设备的分类和识另J；对设备状态和基

本信息的管理，不仅包含了设备的基本信息、接II信息、性能数据和告警信

息，同时还可以在增加其他组件的情况下显示扩展后的业务信息。

支持对设备访问参数的批量配置和校验，提供对网络设备资源的查找、修改、

删除和批量导入/导出功能；提供用户的批量管理功能，包拈：批量修改用

户附加信息、批量注销用户，以及批量用户导入功能，节省操作员录入时间。

灵活快捷的自动发现算法：基于H3c专利的发现算法，iMC平台不仅提供了

快速自动发现方式，还提供了四种高级自动发现方式，包括路由方式、ARP

方式、IPSecVPN方式、网段方式等，能快速、准确地发现网络资源。

清晰的网络设备资产管理：在将iMC平台中管理的设备增加到网络资产管理

的同时，系统还会自动发现该设备上可以管理的配件信息，并将这些配件加

入到网络资产中进行管理，管理员可以对网络资产信息进行修改，还可以查

看该资产的子模块信息、接口信息以及变更审计历史信息。

多种网络拓扑视图：除传统的IP拓扑视图外，iMC平台还提供全网络的拓扑

视图和自定义拓扑视图，使用户可以根据自己的组织结构、地域情况、甚至

楼层情况清晰灵活地绘制出客户化的网络拓扑。在全网络拓扑视图中，用户

可以随意组织和定制子图。

增强的二层拓扑：传统实现的拓扑都是基于IP的三层拓扑，iMC平台在此基

础上更支持二层拓扑，实现了同一个VLAN或者网段内部PC与网络设备、二

层网络设备之间的互连关系，更方便直观的体现了网络中