商業(yè)銀行業(yè)務(wù)網(wǎng)絡(luò)建設(shè)項(xiàng)目方案建議書

1、商業(yè)銀行業(yè)務(wù)網(wǎng)絡(luò)建設(shè)項(xiàng)目方案建議書PAGE - -目 錄 TOC o 1-2 h z u HYPERLINK l _Toc47533893 一、系統(tǒng)設(shè)計(jì)、網(wǎng)絡(luò)方案 PAGEREF _Toc47533893 h 2 HYPERLINK l _Toc47533894 1.前言 PAGEREF _Toc47533894 h 2 HYPERLINK l _Toc47533895 2.概述 PAGEREF _Toc47533895 h 3 HYPERLINK l _Toc47533896 3.銀行網(wǎng)絡(luò)規(guī)劃 PAGEREF _Toc47533896 h 4 HYPERLINK l _Toc47533897

2、 4.網(wǎng)絡(luò)Qos規(guī)劃 PAGEREF _Toc47533897 h 10 HYPERLINK l _Toc47533898 5.網(wǎng)絡(luò)安全規(guī)劃 PAGEREF _Toc47533898 h 14 HYPERLINK l _Toc47533899 二、系統(tǒng)框架設(shè)計(jì)圖、網(wǎng)絡(luò)拓?fù)鋱D PAGEREF _Toc47533899 h 18 HYPERLINK l _Toc47533900 三、產(chǎn)品技術(shù)規(guī)格設(shè)計(jì) PAGEREF _Toc47533900 h 21 HYPERLINK l _Toc47533901 1.H3C S7500E系列高端多業(yè)務(wù)路由交換機(jī) PAGEREF _Toc47533901 h 2

3、1 HYPERLINK l _Toc47533902 2.H3C S5500EI系列增強(qiáng)型IPv6萬兆交換機(jī) PAGEREF _Toc47533902 h 28 HYPERLINK l _Toc47533903 3.H3C SECPATH U200-M防火墻 PAGEREF _Toc47533903 h 35 HYPERLINK l _Toc47533904 4.MSR 50系列多業(yè)務(wù)開放路由器 PAGEREF _Toc47533904 h 37 HYPERLINK l _Toc47533905 5.H3C S5120-EI系列IPv6智能彈性交換機(jī) PAGEREF _Toc47533905

4、h 45 HYPERLINK l _Toc47533906 四、所用的產(chǎn)品環(huán)境 PAGEREF _Toc47533906 h 52 HYPERLINK l _Toc47533907 五、服務(wù)的期限和內(nèi)容 PAGEREF _Toc47533907 h 53 HYPERLINK l _Toc47533908 1、技術(shù)支持服務(wù)內(nèi)容 PAGEREF _Toc47533908 h 60 HYPERLINK l _Toc47533909 2、服務(wù)產(chǎn)品 PAGEREF _Toc47533909 h 66 HYPERLINK l _Toc47533910 3、崗位責(zé)任 PAGEREF _Toc47533910

5、 h 75 HYPERLINK l _Toc47533911 4、CASE處理流程 PAGEREF _Toc47533911 h 77 HYPERLINK l _Toc47533912 5、備件策略及RMA流程 PAGEREF _Toc47533912 h 81 HYPERLINK l _Toc47533913 6、客戶滿意度調(diào)查 PAGEREF _Toc47533913 h 83 HYPERLINK l _Toc47533914 7、文檔管理 PAGEREF _Toc47533914 h 85 HYPERLINK l _Toc47533915 六、產(chǎn)品詳細(xì)清單 PAGEREF _Toc475

6、33915 h 86 HYPERLINK l _Toc47533916 七、相關(guān)成功案例介紹 PAGEREF _Toc47533916 h 90 HYPERLINK l _Toc47533917 1.H3C產(chǎn)品市場占有率 PAGEREF _Toc47533917 h 90 HYPERLINK l _Toc47533918 2.H3C金融數(shù)據(jù)中心典型應(yīng)用 PAGEREF _Toc47533918 h 90 HYPERLINK l _Toc47533919 3.H3C金融骨干網(wǎng)/園區(qū)網(wǎng)典型應(yīng)用 PAGEREF _Toc47533919 h 101系統(tǒng)設(shè)計(jì)、網(wǎng)絡(luò)方案1.前言文檔目的隨著國內(nèi)銀行信息化

7、發(fā)展的推進(jìn)，從上世紀(jì)八、九十年代開始的會計(jì)電算化、電子聯(lián)行到近幾年的數(shù)據(jù)大集中，揭開了金融行業(yè)核心網(wǎng)絡(luò)安全建設(shè)的序幕。伴隨著數(shù)據(jù)集中的IT集約化、精細(xì)化轉(zhuǎn)變，以及銀行業(yè)務(wù)跨越式發(fā)展和核心競爭力的極大提升，業(yè)界掀起了金融行業(yè)核心網(wǎng)絡(luò)安全建設(shè)的浪潮。銀行核心網(wǎng)絡(luò)的安全性問題是現(xiàn)在銀行信息化面臨的最為嚴(yán)峻的挑戰(zhàn)。一旦各分/支行核心網(wǎng)絡(luò)發(fā)生安全事故，受到影響的將是所覆蓋范圍的分支機(jī)構(gòu)和幾乎所有業(yè)務(wù)。因此，銀行核心網(wǎng)絡(luò)的安全保護(hù)工作也就顯得尤為重要。本文檔是某商業(yè)銀行（以下簡稱：銀行）根據(jù)自身網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)和要求，結(jié)合銀行目前網(wǎng)絡(luò)的現(xiàn)狀，考慮未來本行業(yè)務(wù)的發(fā)展趨勢和面臨的安全挑戰(zhàn)，編寫的網(wǎng)絡(luò)安全建設(shè)解決方

8、案。本方案在保護(hù)現(xiàn)有投資的前提下，也考慮到了后期網(wǎng)絡(luò)發(fā)展的需求，在提升網(wǎng)絡(luò)運(yùn)維性能和安全防范的同時，最大限度兼顧銀行當(dāng)前已有的網(wǎng)絡(luò)資源。文檔適用人員本文檔主要面向負(fù)責(zé)銀行網(wǎng)絡(luò)設(shè)計(jì)和實(shí)施的設(shè)計(jì)人員、應(yīng)用部門、維護(hù)人員及服務(wù)商的項(xiàng)目實(shí)施小組成員，為項(xiàng)目組完成本次網(wǎng)絡(luò)安全建設(shè)提供建議。文檔內(nèi)容范圍本文檔設(shè)計(jì)基于銀行IT及基礎(chǔ)設(shè)施規(guī)劃，涵蓋了總行外聯(lián)業(yè)務(wù)區(qū)、分行網(wǎng)絡(luò)、支行廣域網(wǎng)接入等方面的詳細(xì)設(shè)計(jì)，其中包括：網(wǎng)絡(luò)總體規(guī)劃總行外聯(lián)業(yè)務(wù)網(wǎng)分行網(wǎng)絡(luò)總行辦公核心升級 2.概述網(wǎng)絡(luò)現(xiàn)狀銀行成立于2006年，現(xiàn)已發(fā)展成為由民營企業(yè)、自然人和內(nèi)部職工共同持股、擁有一千多名員工的股份制商業(yè)銀行，營業(yè)網(wǎng)點(diǎn)基本覆蓋。銀行

9、網(wǎng)絡(luò)放置了網(wǎng)絡(luò)、計(jì)算、存儲等各種資源，數(shù)量龐大、管理復(fù)雜，參考各設(shè)備制造商在金融行業(yè)長期的最佳實(shí)踐，銀行擬利用模塊化的設(shè)計(jì)思路，采用分區(qū)、分層、分級的設(shè)計(jì)方法，實(shí)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)邏輯功能的模塊分區(qū)設(shè)計(jì)。這種標(biāo)準(zhǔn)化的數(shù)據(jù)網(wǎng)絡(luò)架構(gòu)層次清晰，能夠?qū)崿F(xiàn)銀行數(shù)據(jù)網(wǎng)絡(luò)高可靠、高性能、易管理、易擴(kuò)展的目標(biāo)。需求分析在銀行當(dāng)前網(wǎng)絡(luò)中，分行尚在建設(shè)中，計(jì)劃打造全新的網(wǎng)絡(luò)架構(gòu)，同時接入總行；臺州本部網(wǎng)絡(luò)由于建設(shè)較早，業(yè)務(wù)外聯(lián)區(qū)需要進(jìn)行新的整合，辦公網(wǎng)核心交換機(jī)老化嚴(yán)重，維護(hù)壓力和維護(hù)成本較高，需要進(jìn)行升級。業(yè)務(wù)外聯(lián)區(qū)在總行建立新的業(yè)務(wù)外聯(lián)區(qū)，通過專線連接合作伙伴，為合作伙伴外聯(lián)服務(wù)。分行網(wǎng)絡(luò)分行網(wǎng)絡(luò)分為辦公網(wǎng)和生產(chǎn)網(wǎng)，

10、兩套網(wǎng)絡(luò)物理隔離，均屬于新建網(wǎng)絡(luò)。總行辦公核心升級當(dāng)前的辦公核心交換機(jī)老化現(xiàn)象比較嚴(yán)重，已不能滿足日益增長的業(yè)務(wù)需求和發(fā)展勢頭，需要進(jìn)行升級更換。 3.銀行網(wǎng)絡(luò)規(guī)劃銀行中運(yùn)行的業(yè)務(wù)系統(tǒng)比較多，重要性也非常高，各種應(yīng)用系統(tǒng)的投入運(yùn)行，信息網(wǎng)絡(luò)系統(tǒng)安全越來越直接的影響到企業(yè)的生產(chǎn)、經(jīng)營及金融、資金的穩(wěn)定與安全，與經(jīng)濟(jì)效益和社會利益也越來越緊密的聯(lián)系在一起。此外，由于銀行系統(tǒng)業(yè)務(wù)的特殊性和實(shí)時性，信息網(wǎng)絡(luò)系統(tǒng)的任何間斷和失誤都可能給用戶帶來不可挽救的損失，可以說，信息網(wǎng)絡(luò)系統(tǒng)的安全非常重要。因此如何設(shè)計(jì)一個高效的，經(jīng)濟(jì)的，風(fēng)險(xiǎn)最低的安全網(wǎng)絡(luò)信息系統(tǒng)已成為銀行亟待解決的重大問題。銀行業(yè)務(wù)外聯(lián)區(qū)銀行內(nèi)部

11、生產(chǎn)網(wǎng)絡(luò)與外部機(jī)構(gòu)（如監(jiān)管部門、銀聯(lián)、券商等）進(jìn)行通信時所必需經(jīng)由的網(wǎng)絡(luò)平臺，稱為業(yè)務(wù)外聯(lián)區(qū)。當(dāng)前與銀行進(jìn)行網(wǎng)間互聯(lián)的機(jī)構(gòu)主要包括：銀監(jiān)會、人民銀行、銀聯(lián)、海關(guān)、部分券商，以及其它業(yè)務(wù)合作單位等。以下為銀行總行新的業(yè)務(wù)互聯(lián)區(qū)拓?fù)浼軜?gòu)。由于業(yè)務(wù)外聯(lián)區(qū)主要是與一些第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)互連，應(yīng)充分滿足可靠性和安全性要求 ：網(wǎng)絡(luò)層面：杜絕單點(diǎn)故障：采用雙設(shè)備、雙線路。獨(dú)立的外聯(lián)設(shè)備，包括使用單獨(dú)的以太網(wǎng)交換機(jī)，防火墻，路由器網(wǎng)絡(luò)設(shè)備。安全層面：必須在內(nèi)、外網(wǎng)之間應(yīng)設(shè)置專用的防火墻 。如條件許可，實(shí)現(xiàn)“雙層、異構(gòu)”的防火墻部署模式 （核心交換機(jī)上部署防火墻插卡并設(shè)置專門的外聯(lián)功能分區(qū) ）。本方案中，建議采

12、用杭州華三通信技術(shù)有限公司生產(chǎn)的高性能H3C MSR5060路由器、S5500EI千兆三層交換機(jī)、S5120EI千兆二層交換機(jī)、SecPath U200防火墻組建業(yè)務(wù)外聯(lián)區(qū)。其中，MSR5060提供豐富的多接口的第三方接入；S5500EI作為DMZ區(qū)服務(wù)器網(wǎng)關(guān)設(shè)備；S5120EI作為外聯(lián)交換機(jī)使用，將路由器與防火墻進(jìn)行串接；SecPath U200用于對整個外聯(lián)區(qū)進(jìn)行安全防護(hù)。分行網(wǎng)絡(luò)分行網(wǎng)絡(luò)可劃分為生產(chǎn)網(wǎng)和辦公網(wǎng)兩張物理分離的網(wǎng)絡(luò)。整體網(wǎng)絡(luò)框架規(guī)劃如下：生產(chǎn)網(wǎng)生產(chǎn)網(wǎng)可分為核心交換區(qū)、廣域網(wǎng)接入?yún)^(qū)、服務(wù)器接入?yún)^(qū)、功能互聯(lián)區(qū)、第三方接入?yún)^(qū)、用戶接入?yún)^(qū)等。具體拓?fù)淙缦拢汉诵慕粨Q區(qū)核心交換區(qū)作為分行

13、生產(chǎn)網(wǎng)的核心，連接不同的功能區(qū)域，實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。由于性能是該功能區(qū)最關(guān)鍵的因素，所以建議使用高性能的S5500EI三層交換機(jī)，并且在核心交換機(jī)上要避免使用那些可能會影響處理速度的訪問列表定義廣域網(wǎng)接入?yún)^(qū)廣域網(wǎng)接入?yún)^(qū)由核心骨干網(wǎng)路由器構(gòu)成，建議采用多接入端口的MSR5060路由器，提供上下級分行之間的互聯(lián)互通。服務(wù)器接入?yún)^(qū)生產(chǎn)服務(wù)器接入?yún)^(qū)采用兩臺穩(wěn)定的高性能的交換機(jī)S5500EI和四臺S5120EI構(gòu)成，每臺S5500EI都與兩臺核心交換機(jī)三層互聯(lián)，采用千兆光纖連接。同時，為了增強(qiáng)服務(wù)器區(qū)的安全性，在S5500EI上側(cè)掛兩臺SecPath U200防火墻，對生產(chǎn)服務(wù)器進(jìn)行全方位的安全防護(hù)。

14、第三方接入?yún)^(qū)第三方接入?yún)^(qū)所涉及的業(yè)務(wù)主要是中間業(yè)務(wù)等外聯(lián)前置系統(tǒng)，當(dāng)前規(guī)劃中放置兩臺三層交換機(jī)S5500EI。廣域網(wǎng)接入?yún)^(qū)廣域網(wǎng)接入?yún)^(qū)采用兩臺穩(wěn)定的高性能的交換機(jī)MSR5060構(gòu)成，與兩臺核心交換機(jī)通過千兆光纖三層互聯(lián)，行成一個口字形連接。同時，MSR5060上配置冗余電源、高密度的廣域網(wǎng)串接口等。用戶接入?yún)^(qū)用戶接入?yún)^(qū)由兩臺S5500EI交換機(jī)及一部分樓層接入交換機(jī)構(gòu)成，兩臺S5500EI通過千兆光纖上行連接到核心交換區(qū)。功能互聯(lián)區(qū)功能互聯(lián)區(qū)采用三級架構(gòu)，首先通過兩臺S5500EI通過千兆光纖上行連接到核心交換區(qū)，然后下掛兩臺SecPath U200防火墻，防火墻下面再掛兩臺S5500EI千兆

15、三層交換機(jī)。辦公網(wǎng)辦公網(wǎng)和生產(chǎn)網(wǎng)的架構(gòu)非常相似，也可分為核心交換區(qū)、廣域網(wǎng)接入?yún)^(qū)、服務(wù)器接入?yún)^(qū)、功能互聯(lián)區(qū)、第三方接入?yún)^(qū)、用戶接入?yún)^(qū)等。核心交換區(qū)核心交換區(qū)作為分行辦公網(wǎng)的核心，連接不同的功能區(qū)域，實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。由于性能是該功能區(qū)最關(guān)鍵的因素，所以也建議使用高性能的S5500EI三層交換機(jī)，并且在核心交換機(jī)上要避免使用那些可能會影響處理速度的訪問列表定義。廣域網(wǎng)接入?yún)^(qū)廣域網(wǎng)接入?yún)^(qū)由核心骨干網(wǎng)路由器構(gòu)成，建議也采用多接入端口的MSR5060路由器，提供上下級分行之間的互聯(lián)互通。服務(wù)器接入?yún)^(qū)辦公服務(wù)器接入?yún)^(qū)采用兩臺穩(wěn)定的高性能的交換機(jī)S5500EI和四臺S5120EI構(gòu)成，每臺S5500EI

16、都與兩臺核心交換機(jī)三層互聯(lián)，采用千兆光纖連接。同時，為了增強(qiáng)服務(wù)器區(qū)的安全性，在S5500EI上側(cè)掛兩臺SecPath U200防火墻，對辦公服務(wù)器進(jìn)行全方位的安全防護(hù)。第三方接入?yún)^(qū)當(dāng)前規(guī)劃中放置兩臺三層交換機(jī)S5500EI。廣域網(wǎng)接入?yún)^(qū)廣域網(wǎng)接入?yún)^(qū)采用兩臺穩(wěn)定的高性能的交換機(jī)MSR5060構(gòu)成，與兩臺核心交換機(jī)通過千兆光纖三層互聯(lián)，行成一個口字形連接。同時，MSR5060上配置冗余電源、高密度的廣域網(wǎng)串接口等。用戶接入?yún)^(qū)用戶接入?yún)^(qū)由兩臺S5500EI交換機(jī)及一部分樓層接入交換機(jī)構(gòu)成，兩臺S5500EI通過千兆光纖上行連接到核心交換區(qū)。同時考慮到辦公網(wǎng)需要嚴(yán)格控制交換機(jī)的接入，因此需要考慮基于

17、交換機(jī)端口控制的端口準(zhǔn)入控制技術(shù)（EAD）配合相應(yīng)的客戶端軟件實(shí)現(xiàn)對接入的增強(qiáng)，當(dāng)前交換機(jī)需預(yù)先支持此類功能。功能互聯(lián)區(qū)功能互聯(lián)區(qū)采用三級架構(gòu)，首先通過兩臺S5500EI通過千兆光纖上行連接到核心交換區(qū)，然后下掛兩臺SecPath U200防火墻，防火墻下面再掛兩臺S5500EI千兆三層交換機(jī)。辦公核心升級對于銀行總行來說，辦公核心交換機(jī)必須要有較高的性能和先進(jìn)的架構(gòu)。本次推薦的核心交換機(jī)S7506E-S具有分布式轉(zhuǎn)發(fā)模式、引擎切換零丟包和在線熱補(bǔ)丁等特點(diǎn)，其交換容量為768G、轉(zhuǎn)發(fā)性能為488M?？紤]到下聯(lián)區(qū)域需向21個支行及近三十個自助銀行提供接入，對設(shè)備性能及穩(wěn)定性要求極高，S7506E

18、配置的引擎為Salience VI-Turbo交換路由引擎，有著128K的MAC地址表和128K的IPv4路由轉(zhuǎn)發(fā)表。4.網(wǎng)絡(luò)Qos規(guī)劃數(shù)據(jù)的分類目前銀行的數(shù)據(jù)主要可分為業(yè)務(wù)類、辦公類和監(jiān)控類三種。其中，業(yè)務(wù)類主要是與柜面業(yè)務(wù)密切相關(guān)的業(yè)務(wù)，如儲蓄、會計(jì)業(yè)務(wù)、外接在線業(yè)務(wù)和Internet在線服務(wù)等，運(yùn)行的均是銀行最重要的數(shù)據(jù)，必須重點(diǎn)保證。監(jiān)控類數(shù)據(jù)主要是配合業(yè)務(wù)運(yùn)行的，在業(yè)務(wù)運(yùn)行的同時，必須保證監(jiān)控?cái)?shù)據(jù)的穩(wěn)定傳輸。辦公類數(shù)據(jù)主要為一些行內(nèi)的OA、Internet信息服務(wù)、外部管理信息交換辦公服務(wù)，是可以在Qos中最后考慮的數(shù)據(jù)。QoS實(shí)施策略根據(jù)這些數(shù)據(jù)類型及特點(diǎn)，為建立統(tǒng)一的QoS策略，

19、簡化QoS配置，采用的QoS策略如下：數(shù)據(jù)優(yōu)先級標(biāo)記的設(shè)置通過Policy-Based Routing實(shí)現(xiàn)；擁塞避免機(jī)制采用WRED- Weighted Random Early Detection實(shí)現(xiàn)；隊(duì)列輸出管理機(jī)制采用CBWFQ- Class Based Weighted Fair Queuing實(shí)現(xiàn)。帶寬控制機(jī)制采用CAR- Committed Access Rate實(shí)現(xiàn)針對典型的銀行的應(yīng)用情況，可以把需要使用QOS的各種應(yīng)用劃分為3類：業(yè)務(wù)：這類數(shù)據(jù)的特點(diǎn)是交易包長度固定，交易時限要求實(shí)時，上下行數(shù)據(jù)流量基本對等，因?yàn)槭蔷W(wǎng)絡(luò)中的關(guān)鍵應(yīng)用，所以定義為最高優(yōu)先級；監(jiān)控：這類數(shù)據(jù)的特點(diǎn)是數(shù)

20、據(jù)流量大，網(wǎng)絡(luò)要求實(shí)時性不高。但由于配合業(yè)務(wù)運(yùn)行，所以應(yīng)定義為次高優(yōu)先級；辦公：這類數(shù)據(jù)通常對網(wǎng)絡(luò)實(shí)時性要求不高，可以把這類應(yīng)用定義為最低的優(yōu)先級。擁塞管理與擁塞避免數(shù)據(jù)包被設(shè)置IP優(yōu)先權(quán)后，通過路由處理被送到相應(yīng)的端口等待傳輸。為實(shí)現(xiàn)QoS控制，數(shù)據(jù)包將根據(jù)它的IP優(yōu)先權(quán)值被送入不同的隊(duì)列，按照WFQ設(shè)定的策略進(jìn)行傳輸。但假如網(wǎng)絡(luò)擁塞造成排隊(duì)數(shù)據(jù)包超出緩存，所有的數(shù)據(jù)包在進(jìn)入隊(duì)列前就都會被丟棄，QOS的控制就無從談起，所以在排隊(duì)數(shù)據(jù)包超出緩存前就應(yīng)進(jìn)行擁塞避免機(jī)制的控制，而WRED技術(shù)則可根據(jù)IP優(yōu)先權(quán)丟棄數(shù)據(jù)包。因此，我們采用WRED技術(shù)作為擁塞避免控制機(jī)制。隊(duì)列管理機(jī)制在經(jīng)過擁塞避免機(jī)制

21、WRED的處理后，數(shù)據(jù)包在輸出端口根據(jù)其優(yōu)先級被分配至不同的隊(duì)列排隊(duì)等待輸出，由于廣域網(wǎng)帶寬有限，同時只能有一個數(shù)據(jù)包被發(fā)送，那么它們按照怎樣的順序輸出成為QOS保證的關(guān)鍵。控制隊(duì)列輸出的機(jī)制也就是擁塞管理的機(jī)制，也就是我們常說的隊(duì)列技術(shù)(Queuing)。在我們的實(shí)現(xiàn)方案中，使用CBWFQ技術(shù)作為輸出端口的擁塞管理機(jī)制。需要注意的是，分配給某一隊(duì)列的帶寬，在該隊(duì)列沒有數(shù)據(jù)傳輸?shù)臅r候，其帶寬會按照設(shè)置的比例分配給其它隊(duì)列使用。從而最大限度地提高了網(wǎng)絡(luò)利用率。帶寬控制機(jī)制Committed Access Rate-CAR是一種基于軟件帶寬控制機(jī)制，它可以根據(jù)多種標(biāo)準(zhǔn)和策略，在同一條鏈路上，來對不

22、同的應(yīng)用限制使用不同的帶寬。如果超過其最大限制，則將其數(shù)據(jù)包丟掉。在網(wǎng)絡(luò)中有一些數(shù)據(jù)對網(wǎng)絡(luò)的沖擊很大，包括FTP、HTTP等，因此，針對這些數(shù)據(jù)我們可采用CAR來限制其最大占用的帶寬。由于CAR 是一種更為嚴(yán)格的帶寬控制措施，因此對于這種技術(shù)的部署需要謹(jǐn)慎。CBQ&LLQ CBQ是一種隊(duì)列調(diào)度機(jī)制，用于擁塞管理，可與WRED擁塞避免機(jī)制結(jié)合使用。擁塞管理與擁塞避免在Comware的體系結(jié)構(gòu)中處于鏈路層和物理層之間，在報(bào)文輸出時使用。鏈路層調(diào)用QoS擁塞管理發(fā)送報(bào)文，QoS在不擁塞時調(diào)用物理接口直接發(fā)送報(bào)文，如果擁塞則將報(bào)文入CBQ隊(duì)列。在入隊(duì)列之前必須進(jìn)行擁塞避免機(jī)制（尾丟棄或WRED）和帶寬

23、限制的檢查（AF/Best-Effort類入隊(duì)不做帶寬限制的檢查，AF出隊(duì)列時限制帶寬）。在報(bào)文出隊(duì)列時，加權(quán)公平調(diào)度每個類對應(yīng)的隊(duì)列中的報(bào)文。物理接口在成功發(fā)送完一個報(bào)文后，會產(chǎn)生一個中斷，在中斷的處理過程中，可以發(fā)送CBQ隊(duì)列中下一個報(bào)文。如果CBQ加權(quán)公平對待所有類的隊(duì)列，那么對延遲敏感的數(shù)據(jù)流就可能不能及時發(fā)送。為此將PQ特性引入CBQ，稱其為LLQ（Low Latency Queueing，低延遲隊(duì)列），為語音報(bào)文這樣的對延遲敏感的數(shù)據(jù)流提供嚴(yán)格優(yōu)先發(fā)送服務(wù)。LLQ將嚴(yán)格優(yōu)先隊(duì)列機(jī)制與CBQ結(jié)合起來使用，用戶在定義類時可以指定其享受嚴(yán)格優(yōu)先服務(wù)，這樣的類稱作優(yōu)先類。所有優(yōu)先類的報(bào)文將

24、進(jìn)入同一個優(yōu)先隊(duì)列，在入隊(duì)列之前需對各類報(bào)文進(jìn)行帶寬限制的檢查。報(bào)文出隊(duì)列時，將首先發(fā)送優(yōu)先隊(duì)列中的報(bào)文，直到發(fā)送完后才發(fā)送其他類對應(yīng)的隊(duì)列的報(bào)文。在發(fā)送其他隊(duì)列報(bào)文時將仍然按照加權(quán)公平的方式調(diào)度。為了不讓其他隊(duì)列中的報(bào)文延遲時間過長，在使用LLQ時將會為每個優(yōu)先類指定可用最大帶寬，該帶寬值用于擁塞發(fā)生時監(jiān)管流量。如果擁塞未發(fā)生，優(yōu)先類允許使用超過分配的帶寬。如果擁塞發(fā)生，優(yōu)先類超過分配帶寬的報(bào)文將被丟棄。實(shí)現(xiàn)方式基于令牌，入隊(duì)列時檢查，如果沒有足夠的可用令牌用于發(fā)送數(shù)據(jù)包，該包被丟棄。支行路由器MSR3011可充分實(shí)現(xiàn)這一Qos功能。監(jiān)控?cái)?shù)據(jù)Qos規(guī)劃在廣域網(wǎng)線路中，帶寬往往是有限的，尤其是

25、增加了集中監(jiān)控的應(yīng)用之后，帶寬顯得越來越緊張，如果不通過Qos進(jìn)行帶寬控制和管理，將無法保障日常業(yè)務(wù)和辦公數(shù)據(jù)的正常轉(zhuǎn)發(fā)。對于自助銀行監(jiān)控?cái)?shù)據(jù)，由于監(jiān)控設(shè)備是通過S3100SI交換機(jī)連接到分行核心網(wǎng)絡(luò)的，因此我們采用二層上送的方式傳輸監(jiān)控?cái)?shù)據(jù)，將監(jiān)控設(shè)備的網(wǎng)關(guān)設(shè)置在集中監(jiān)控室的S3600上。由于S3100SI交換機(jī)支持的Qos功能有限，此處只能通過在S3100SI的上行口上使能WRR隊(duì)列調(diào)度，對業(yè)務(wù)數(shù)據(jù)進(jìn)行帶寬保證。對于支行監(jiān)控，由于出口路由器的廣域網(wǎng)口無法同時工作在二/三層模式，因此不能采用自助銀行這種組網(wǎng)方式，也將監(jiān)控設(shè)備的網(wǎng)關(guān)設(shè)置在集中監(jiān)控室的S3600上。支行監(jiān)控的網(wǎng)關(guān)可以設(shè)置在出口路

26、由器上，同時在出口路由器的上行口配置Qos，進(jìn)行業(yè)務(wù)、辦公的帶寬保證。由于路由器的Qos功能非常豐富，可供選擇的方式也比較多，此處計(jì)劃選用CBQ方式。5.網(wǎng)絡(luò)安全規(guī)劃銀行網(wǎng)絡(luò)安全需求銀行網(wǎng)絡(luò)安全策略的總體建議如下：1) 采用相關(guān)的訪問控制產(chǎn)品及控制技術(shù)來防范來自不安全網(wǎng)絡(luò)或不信任域的非法訪問或非授權(quán)訪問。2) 采用加密設(shè)備應(yīng)用加密、認(rèn)證技術(shù)防范信息在網(wǎng)絡(luò)傳輸過程中被非法竊取，而造成信息的泄露，并通過認(rèn)證技術(shù)保證數(shù)據(jù)的完整性、真實(shí)性、可靠性。3) 采用安全檢測技術(shù)來實(shí)時檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流，動態(tài)防范各種來自內(nèi)外網(wǎng)絡(luò)的惡意攻擊。4) 采用網(wǎng)絡(luò)安全評估系統(tǒng)定期或不定期對網(wǎng)絡(luò)系統(tǒng)或操作系統(tǒng)進(jìn)行安全性掃

27、描，評估網(wǎng)絡(luò)系統(tǒng)及操作系統(tǒng)的安全等級，并分析提出補(bǔ)救措施。5) 采用防病毒產(chǎn)品及技術(shù)實(shí)時監(jiān)測進(jìn)入網(wǎng)絡(luò)或主機(jī)的數(shù)據(jù)，防范病毒對網(wǎng)絡(luò)或主機(jī)的侵害。6) 構(gòu)建CA認(rèn)證中心，來保證加密密鑰的安全分發(fā)及安全管理。7) 必須制定完善安全管理制度，并通過培訓(xùn)等手段來增強(qiáng)員工的安全防范技術(shù)及防范意識。以上安全建議可在后期分步驟細(xì)化。網(wǎng)絡(luò)安全規(guī)劃 網(wǎng)絡(luò)分區(qū)分行網(wǎng)絡(luò)安全設(shè)計(jì)基于模塊化設(shè)計(jì)方案，是基于業(yè)界企業(yè)級網(wǎng)絡(luò)參考架構(gòu)和安全架構(gòu)進(jìn)行的，在設(shè)計(jì)中考慮了網(wǎng)絡(luò)的擴(kuò)展性、可用性、管理性、高性能等因素，也重點(diǎn)覆蓋了安全性設(shè)計(jì)。通過網(wǎng)絡(luò)分區(qū)，明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，也可以對每一個區(qū)域進(jìn)行安全的評估和實(shí)施，不必考慮對

28、其他區(qū)域的影響，保障了網(wǎng)絡(luò)的高擴(kuò)展性、可管理性和彈性。達(dá)到了一定程度的物理安全性。 VLAN技術(shù)在局域網(wǎng)內(nèi)采用VLAN技術(shù)，除了在網(wǎng)絡(luò)性能、管理方面的優(yōu)點(diǎn)外，在網(wǎng)絡(luò)安全上，也具有明顯的優(yōu)點(diǎn)：限制局域網(wǎng)中的廣播包；隔離不同的網(wǎng)段，使不同VLAN之間的設(shè)備互通必須經(jīng)過路由，為安全控制提供了基礎(chǔ)；提供了基礎(chǔ)的安全性，VLAN之間的數(shù)據(jù)包在鏈路層上隔離，防止數(shù)據(jù)不適當(dāng)?shù)霓D(zhuǎn)發(fā)或竊聽。 訪問控制列表ACL通過對網(wǎng)絡(luò)數(shù)據(jù)源地址、源端口、目的地址、目的端口全部或部分組合的控制，能夠限制數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸。在網(wǎng)絡(luò)中應(yīng)用ACL，能夠達(dá)到這樣一些目的：阻斷網(wǎng)絡(luò)中的異常流量應(yīng)用系統(tǒng)間訪問控制SNMP網(wǎng)管工作站控制設(shè)備

29、本身防護(hù)網(wǎng)絡(luò)安全策略設(shè)計(jì)及布置網(wǎng)絡(luò)分區(qū)將分行與各下屬支行劃分為若干個功能區(qū)域。通過網(wǎng)絡(luò)結(jié)構(gòu)的功能分區(qū)，在網(wǎng)絡(luò)安全上實(shí)現(xiàn)了以下目標(biāo)：實(shí)現(xiàn)不同功能的設(shè)備處在不同的分區(qū)內(nèi)，實(shí)現(xiàn)了數(shù)據(jù)鏈路層上物理隔離；各分區(qū)有單一的出入口；分區(qū)之間互訪必須經(jīng)過網(wǎng)絡(luò)層路由；為其他安全控制策略的部署奠定了基礎(chǔ)。應(yīng)用系統(tǒng)內(nèi)部安全策略在服務(wù)器區(qū)內(nèi)，根據(jù)確定的應(yīng)用系統(tǒng)內(nèi)部三層架構(gòu)，服務(wù)器的應(yīng)用類型被分為業(yè)務(wù)展現(xiàn)層（Web層），應(yīng)用/業(yè)務(wù)邏輯層（AP層）和數(shù)據(jù)庫層（DB層），對應(yīng)的安全控制策略如下:通過應(yīng)用類型分層保護(hù)不同級別服務(wù)器的安全；劃分VLAN，各分層分別位于不同的VLAN中；在三個應(yīng)用類型分層中，安全級別的定義是接入層

30、（Web層）安全級別最低，應(yīng)用/業(yè)務(wù)邏輯層（AP層）安全級別較高，數(shù)據(jù)庫層（DB層）安全級別最高；應(yīng)用類型分層之間，通過單向的ACL允許較低級別的服務(wù)器訪問較高級別的服務(wù)器。 應(yīng)用系統(tǒng)之間的安全策略根據(jù)應(yīng)用系統(tǒng)內(nèi)部三層架構(gòu)和應(yīng)用系統(tǒng)之間關(guān)系，制定了應(yīng)用系統(tǒng)之間的安全訪問規(guī)則。對應(yīng)的安全控制策略如下：劃分VLAN，隔離各應(yīng)用系統(tǒng)和各應(yīng)用系統(tǒng)內(nèi)部處在不同安全層次上的服務(wù)器；根據(jù)確定的類規(guī)則在VLAN上部署ACL?？蛻舳伺c服務(wù)器之間的安全策略客戶端與服務(wù)器之間的安全控制，首先采用配合交換機(jī)的端點(diǎn)接入技術(shù)對符合安全策略的終端進(jìn)行接入，同時配合部署專用硬件防火墻和設(shè)置客戶端和服務(wù)器之間的嚴(yán)格的訪問規(guī)則來

31、實(shí)現(xiàn)。安全控制設(shè)計(jì)如下：選擇支持基于ACL下發(fā)具備準(zhǔn)入控制功能的交換機(jī)，使整網(wǎng)具備端點(diǎn)控制能力。在需要重點(diǎn)防護(hù)的接入點(diǎn)終端安全相關(guān)的客戶端軟件，檢測客戶端的合規(guī)性。在服務(wù)器區(qū)邊界部署專用硬件防火墻，防火墻采用雙機(jī)主備工作模式，保障系統(tǒng)可靠性；在防火墻上部署嚴(yán)格的安全控制策略，對數(shù)據(jù)流執(zhí)行雙向控制；確定客戶端和服務(wù)器之間的訪問規(guī)則，部署在服務(wù)器區(qū)邊界防火墻上。預(yù)防惡意代碼安全策略網(wǎng)絡(luò)中的惡意代碼包括病毒、蠕蟲、木馬等，這類惡意代碼發(fā)作時，對網(wǎng)絡(luò)安全有嚴(yán)重的影響。預(yù)防惡意代碼的安全控制策略如下：根據(jù)已知的各類惡意代碼，識別其傳輸特征，編寫相應(yīng)的ACL；把ACL部署在關(guān)鍵的控制點(diǎn)上，這些控制點(diǎn)包括：

32、各功能區(qū)的出口交換機(jī)上（防火墻默認(rèn)情況下已經(jīng)可以拒絕這些惡意代碼）；在必要時，也可以部署在功能區(qū)內(nèi)各VLAN上，達(dá)到更進(jìn)一步控制惡意代碼傳播的目的。ACL單向部署，控制從區(qū)內(nèi)出（out）的流量。在廣域網(wǎng)區(qū)的上下聯(lián)路由器廣域網(wǎng)端口上，ACL單向部署，控制這些端口出（out）和入（in）的流量。網(wǎng)絡(luò)設(shè)備自身安全策略網(wǎng)絡(luò)設(shè)備自身安全防護(hù)，安全策略設(shè)計(jì)如下：物理安全：安裝環(huán)境溫度、濕度、空氣潔凈度需要滿足設(shè)備正常運(yùn)行條件；禁止非授權(quán)人員物理接觸設(shè)備。網(wǎng)絡(luò)服務(wù)安全：關(guān)閉設(shè)備上確認(rèn)有軟件Bug的網(wǎng)絡(luò)服務(wù)和可能對自身產(chǎn)生安全威脅的沒有必要的服務(wù)；加密設(shè)備密碼并定期更改密碼，將密碼交由專門部門管理，由需配置變

33、更應(yīng)履行相關(guān)手續(xù)領(lǐng)取密碼。；用戶安全，只允許經(jīng)授權(quán)的用戶在設(shè)備上執(zhí)行權(quán)限范圍內(nèi)的操作，（且對操作有相應(yīng)的授權(quán)、認(rèn)證和審計(jì)）網(wǎng)管SNMP安全，對SNMP訪問設(shè)置ACL控制，只允許許可范圍內(nèi)的IP地址通過SNMP管理設(shè)備。二、系統(tǒng)框架設(shè)計(jì)圖、網(wǎng)絡(luò)拓?fù)鋱D1、業(yè)務(wù)外聯(lián)區(qū)2、分行（1）分行總體拓?fù)?（2）生產(chǎn)網(wǎng)（3）辦公網(wǎng)三、產(chǎn)品技術(shù)規(guī)格設(shè)計(jì)1.H3C S7500E系列高端多業(yè)務(wù)路由交換機(jī)H3C S7500E系列產(chǎn)品是H3C公司面向融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于H3C自主知識產(chǎn)權(quán)的Comware V5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供

34、不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡(luò)最大正常運(yùn)行時間，從而降低了客戶的總擁有成本（TCO）。H3C S7500E符合“限制電子設(shè)備有害物質(zhì)標(biāo)準(zhǔn)（RoHS）”，是綠色環(huán)保的路由交換機(jī)。H3C S7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V（垂直8槽）、S7503E（5槽）和S7502E(4槽)5款產(chǎn)品，所有產(chǎn)品均支持冗余主控。H3C S7500E可廣泛應(yīng)用于城域網(wǎng)匯聚和邊緣、園區(qū)網(wǎng)核心和匯聚以及配線間等多種網(wǎng)絡(luò)環(huán)境，為用戶提供了有線無線一體化、有源無源一體化的行業(yè)解決方案。圖9 H3C S7500E系列產(chǎn)品產(chǎn)品特

35、點(diǎn)豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢全面的MPLS業(yè)務(wù)能力H3C S7500E所有產(chǎn)品均支持Multi-VRF特性，可以作為MCE設(shè)備使用；支持三層的MPLS VPN和二層的MPLS VPN（Martini、Kompella），可擴(kuò)展支持VPLS技術(shù)；支持MPLS OAM特性，方便用戶的管理和維護(hù)；與H3C MPLS VPN Manager配合，實(shí)現(xiàn)圖形化的MPLS部署與維護(hù)。 線速的IPv4/IPv6業(yè)務(wù)能力H3C S7500E支持IPv4/IPv6雙協(xié)議棧,支持多種隧道技術(shù)，支持IPv4/IPv6的組播技術(shù)，為用戶提供完善的IPv4/IPv6解決方案；H3C S7500E采用分布式體系架

36、構(gòu)，實(shí)現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)；H3C S7500E已經(jīng)通過了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認(rèn)證和IPv6 Ready第二階段金色認(rèn)證，是成熟商用的IPv6產(chǎn)品。有線無線一體化，有源無源一體化H3C S7500E集成的無線控制模塊提供豐富的業(yè)務(wù)能力，包括精細(xì)的用戶控制管理、完善的RF管理及安全機(jī)制、快速漫游、超強(qiáng)的QoS和對IPv6的支持等；無線控制模塊通過與安全策略服務(wù)器的聯(lián)動，實(shí)現(xiàn)對無線接入用戶的端點(diǎn)準(zhǔn)入防御，提高了整網(wǎng)的安全性。H3C S7500E是業(yè)界最高密度的以太網(wǎng)無源光網(wǎng)絡(luò)（EPON）設(shè)備，單臺最大可接入10240個FTTH用戶；H3C S7500E是高可靠的EPON系統(tǒng)

37、，采用分布式體系結(jié)構(gòu)、模塊化設(shè)計(jì)，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，具有電信級可靠性。支持Portal認(rèn)證H3C S7500E支持大容量的Portal認(rèn)證功能，可以在數(shù)千用戶的局域網(wǎng)中做為EAD網(wǎng)關(guān)設(shè)備，為全網(wǎng)用戶提供EAD安全認(rèn)證功能；可以在大中型的校園網(wǎng)中擔(dān)任匯聚/核心設(shè)備的同時，為學(xué)生宿舍區(qū)的認(rèn)證計(jì)費(fèi)提供Portal認(rèn)證功能。靈活的配置，適應(yīng)各種應(yīng)用場景配線間融合業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇H3C S7500E針對配線間的需求定制開發(fā)了SA板卡，單臺設(shè)備可以提供480個千兆線速接口和4個萬兆線速接口。H3C S7500E支持端點(diǎn)準(zhǔn)入防御解決方案，解決終端安全問題；內(nèi)置2800W電源

38、直接提供PoE功能，對IP語音和無線接入提供良好的支持。政府電力城域網(wǎng)邊緣和匯聚的最佳選擇H3C S7500E支持Multi-VRF特性，為用戶提供高可靠高性能的MCE設(shè)備；通過配置Salience VI-Turbo引擎，可以提供集中式MPLS業(yè)務(wù)功能，適合在城域網(wǎng)邊緣作為高性價PE設(shè)備使用；通過配置EA類板卡，可以提供分布式線速的MPLS業(yè)務(wù)功能，適合在城域網(wǎng)匯聚層作為高性能的PE使用。IPv6網(wǎng)絡(luò)的最佳選擇H3C S7500E所有Salience VI引擎都可以提供集中式IPv6功能，H3C S7500E針對IPv4/IPv6高性能的要求還開發(fā)了分布式IPv4/IPv6轉(zhuǎn)發(fā)的SC板卡，在整

39、機(jī)滿配置狀態(tài)下實(shí)現(xiàn)線速無收斂，為高校用戶提供了高性能低成本的雙棧匯聚核心設(shè)備，同時也滿足其他行業(yè)用戶IPv6 Ready的需求。全方位的安全保障，抵御多種網(wǎng)絡(luò)安全威脅三平面安全保障機(jī)制H3C S7500E提供完善的安全防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡(luò)的安全：在控制平面，內(nèi)置協(xié)議報(bào)文攻擊識別模塊，防止TCN、ARP等協(xié)議報(bào)文攻擊，OSPF/BGP/IS-IS路由協(xié)議采用MD5驗(yàn)證，防止非法路由更新報(bào)文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，SNMPv3網(wǎng)管協(xié)議，SSH V2，基于802.1x、AAA/Radius的用戶身份認(rèn)證以及分級的用戶權(quán)限管理保證了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持IP

40、、VLAN 、MAC和端口等多種組合精細(xì)綁定；支持uRPF單播反向路徑轉(zhuǎn)發(fā)，防止非法流量訪問網(wǎng)絡(luò)，采用最長匹配逐包轉(zhuǎn)發(fā)機(jī)制，有效抵御病毒的攻擊。H3C S7500E還支持內(nèi)置的高性能防火墻、異常流量清洗等模塊，將專業(yè)的安全融入到交換機(jī)之中。有線無線全面支持EADH3C S7500E是EAD端點(diǎn)準(zhǔn)入防御解決方案的重要組成部分，S7500E可以動態(tài)的接收來自安全策略服務(wù)器的控制策略，根據(jù)終端的安全狀態(tài)給予下發(fā)相應(yīng)的訪問權(quán)限。H3C S7500E既支持有線終端用戶的EAD，也支持無線終端用戶的EAD，能夠做到終端安全防范無漏洞。增強(qiáng)的ACL特性H3C S7500E系列產(chǎn)品支持強(qiáng)大的ACL能力：支持標(biāo)

41、準(zhǔn)和擴(kuò)展ACL；支持基于VLAN的ACL，方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL，每板最大可支持9K條ACL，滿足金融等行業(yè)訪問權(quán)限嚴(yán)格控制的需求。電信級的高可靠性，保障用戶業(yè)務(wù)長期穩(wěn)定運(yùn)行電信級高可靠性設(shè)計(jì)H3C S7500E采用無單點(diǎn)故障設(shè)計(jì)，所有關(guān)鍵部件，如主控板、交換網(wǎng)、電源和風(fēng)扇等采用冗余設(shè)計(jì)；無源背板避免了機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板和電源模塊支持熱插拔功能；H3C S7500E系列可以在惡劣的環(huán)境下長時間穩(wěn)定運(yùn)行，達(dá)到99.999的電信級可靠性。多業(yè)務(wù)高可靠性運(yùn)行H3C S7500E支持不間斷轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級的切換時間；支持等價路由，可幫助用戶建立多條等

42、值路徑，實(shí)現(xiàn)流量的負(fù)載均衡及冗余備份；支持RRPP快速環(huán)網(wǎng)保護(hù)協(xié)議，提供小于200ms的環(huán)網(wǎng)故障保護(hù)；支持Smart-Link協(xié)議，保證雙上行網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)毫秒級快速切換。通過上述技術(shù)，H3C S7500E可以在承載多業(yè)務(wù)的情況下不間斷運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)的永續(xù)。支持熱補(bǔ)丁技術(shù)H3C S7500E能夠在不重啟設(shè)備的前提下，通過熱補(bǔ)丁技術(shù)，在線修改軟件BUG，增加新的業(yè)務(wù)特性。H3C S7500E提供控制補(bǔ)丁單元狀態(tài)切換的用戶命令，使用戶能夠方便的加載、激活、去激活、運(yùn)行或刪除補(bǔ)丁單元。通過熱補(bǔ)丁技術(shù)，降低了設(shè)備需要重啟的次數(shù)，為客戶提供更長的網(wǎng)絡(luò)正常工作時間。產(chǎn)品規(guī)格屬 性S7510ES7506ES

43、7506E-VS7503ES7503E-SS7502E整機(jī)交換容量1152G/768G768G768G480G288G192G背板容量2.4Tbps1.6Tbps1.6Tbps1Tbps600Gbps400GbpsIPv4包轉(zhuǎn)發(fā)率773M/488Mpps488Mpps488Mpps274Mpps178Mpps143Mpps槽位數(shù)量1288（垂直插槽）534業(yè)務(wù)槽位數(shù)量1066332冗余設(shè)計(jì)電源、主控冗余電源、主控冗余電源、主控冗余電源、主控冗余電源、單主控電源、主控冗余二層特性支持IEEE 802.1P(CoS優(yōu)先級)支持IEEE 802.1Q（VLAN）支持IEEE 802.1d（STP）/

44、802.1w（RSTP）/802.1s（MSTP）支持IEEE 802.1ad（QinQ），靈活QinQ和Vlan mapping支持IEEE 802.3x（全雙工流控）和背壓式流控（半雙工）支持IEEE 802.3ad（鏈路聚合）和跨板鏈路聚合支持IEEE 802.3（10Base-T）/802.3u（100Base-T）支持IEEE 802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE 802.3ae（10Gbase）支持IEEE 802.3af（PoE）支持RRPP（快速環(huán)網(wǎng)保護(hù)協(xié)議）支持跨板端口/流鏡像支持端口廣播/多播/未知單播風(fēng)暴抑制支持Jumbo

45、 Frame支持基于端口、協(xié)議、子網(wǎng)和MAC的VLAN劃分支持SuperVLAN支持PVLAN支持Multicast VLAN+支持GVRP支持LLDPIPv4路由特性支持ARP Proxy支持DHCP Relay支持DHCP Server支持靜態(tài)路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGP GR (Graceful Restart優(yōu)雅重啟)支持等價路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持I

46、SATAP支持6to4隧道支持IPv6和IPv4雙棧組播支持IGMPv1/v2/v3 支持IGMPv1/v2/v3 Snooping支持IGMP Filter支持IGMP Fast leave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2 Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS支持標(biāo)準(zhǔn)和擴(kuò)展ACL支持基于VLAN的ACL支持Ingress/Egress ACL支持Ingress/Egress CAR，粒度為64Kbps支持流量整形（Traffic Shaping）支持802.1P/D

47、SCP優(yōu)先級Mark/Remark支持隊(duì)列調(diào)度機(jī)制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8隊(duì)列支持擁塞避免機(jī)制，包括Tail-Drop、WREDMPLS支持L3 MPLS VPN支持L2 VPN: VLL (Martini, Kompella)支持MCE支持MPLS OAM安全機(jī)制支持EAD安全解決方案支持Portal認(rèn)證支持MAC認(rèn)證支持IEEE 802.1x和IEEE 802.1x SERVER支持AAA/Radius支持HWTACACS,支持命令行認(rèn)證支持SSHv1.5/SSHv2支持ACL流過濾機(jī)制支持OSPF、RIPv2 及BGPv4 報(bào)文的明文及MD5密文認(rèn)證支持命

48、令行采用分級保護(hù)方式，防止未授權(quán)用戶的非法侵入，為不同級別的用戶有不同的配置權(quán)限支持受限的IP地址的Telnet的登錄和口令機(jī)制支持IP地址、VLAN ID、MAC地址和端口等多種組合綁定支持uRPF支持主備數(shù)據(jù)備份機(jī)制支持故障后報(bào)警和自恢復(fù)支持?jǐn)?shù)據(jù)日志系統(tǒng)管理支持FTP、TFTP、Xmodem支持SNMP v1/v2/v3支持sFlow流量統(tǒng)計(jì)支持RMON支持NTP時鐘可靠性支持主控板1+1冗余備份支持電源1+1冗余備份采用無源背板設(shè)計(jì)所有單板支持熱插拔支持VRRP 支持Ethernet OAM（802.1ag和802.3ah）支持MAC Tracert支持RRPP支持Graceful Re

49、start for OSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持熱補(bǔ)丁環(huán)境要求溫度范圍：0 OC45 OC相對濕度：10%95%（非凝結(jié)）安規(guī)和EMC認(rèn)證通過了CE、FCC PART 15、TUV-GS、UL-CUL、ICES003和VCCI的認(rèn)證電源DC：輸入電壓 48V60VAC：輸入電壓 100V240V最大輸出功率：650W（S7502E）、1400W/2800W（S7503E/S7506E-V/S7506E/S7510E）POE電源支持內(nèi)置PoE電源外形尺寸（寬高深）(mm)436x 708 x 420436 x 575 x 420436 x 930

50、 x 420436 x 441 x 420436 x 175 x 420436 x 175 x 420 滿配重量(kg)96kg77kg94kg63kg27kg27kg2.H3C S5500EI系列增強(qiáng)型IPv6萬兆交換機(jī)H3C S5500-EI系列交換機(jī)是H3C公司最新開發(fā)的增強(qiáng)型IPv6強(qiáng)三層萬兆以太網(wǎng)交換機(jī)產(chǎn)品，具備業(yè)界盒式交換機(jī)最先進(jìn)的硬件處理能力和最豐富的業(yè)務(wù)特性。支持最多4個萬兆擴(kuò)展接口，可以滿足用戶今后5年的帶寬需求；支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠從容應(yīng)對即將帶來的IPv6時代；除此以外，其出色的安全性，可靠性和多業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯

51、聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。 S5500-28C-EI/S5500-28C-PWR-EIS5500-52C-EI/ S5500-52C-PWR-EIS5500-28F-EIH3C S5500-EI系列以太網(wǎng)交換機(jī)目前包含如下型號：S5500-28C-EI：24 個10/100/1000Base-T以太網(wǎng)端口，4 個復(fù)用的SFP 千兆端口（Combo），兩個擴(kuò)展槽位；S5500-52C-EI：48 個10/100/1000Base-T以太網(wǎng)端口，4 個復(fù)用的SFP 千兆端口（Combo），兩個擴(kuò)展槽位；S5500-28C-PWR-EI：24 個10/100/1000Base

52、-T以太網(wǎng)（PoE），4 個復(fù)用的SFP 千兆端口（Combo），兩個擴(kuò)展槽位；S5500-52C-PWR-EI：48 個10/100/1000Base-T以太網(wǎng)（PoE），4 個復(fù)用的SFP 千兆端口（Combo），兩個擴(kuò)展槽位；S5500-28F-EI：24 個SFP千兆端口，8 個復(fù)用的10/100/1000Base-T以太網(wǎng)端口（Combo），兩個擴(kuò)展槽位；產(chǎn)品特點(diǎn)高擴(kuò)展性保護(hù)投資隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達(dá)到飽和，而能夠擁有多條集群10GE鏈路將是我們的未來發(fā)展方向。H3C S5500-EI系列交換機(jī)支持兩個擴(kuò)展槽位，每個槽位支持單端口或雙端口的10GE擴(kuò)展模塊

53、，在實(shí)現(xiàn)千兆匯聚或接入時保留進(jìn)一步支持10GE的擴(kuò)展能力，盡力保護(hù)用戶投資。IPv4到IPv6的演變是以太網(wǎng)發(fā)展的大勢所趨，網(wǎng)絡(luò)設(shè)備對于IPv6的支持不僅是簡單的可用就行，而是需要達(dá)到商用的標(biāo)準(zhǔn)，S5500-EI已經(jīng)通過了國際最權(quán)威的IPv6 Ready第二階段認(rèn)證，而且通過了信息產(chǎn)業(yè)部嚴(yán)格的IPv6入網(wǎng)測試。這個系列產(chǎn)品是基于硬件的IPv4/IPv6雙棧平臺，支持豐富的IPv4和IPv6三層路由協(xié)議、組播協(xié)議和策略路由機(jī)制，實(shí)現(xiàn)IPv4到IPv6的平滑升級。完備的安全控制策略H3C S5500-EI系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施

54、與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。H3C S5500-EI交換機(jī)支持集中式MAC地址認(rèn)證、802.1x認(rèn)證、PORTAL認(rèn)證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標(biāo)識元素的動態(tài)或靜態(tài)綁定，同時實(shí)現(xiàn)用戶策略（VLAN、QoS、ACL）的動態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對在線用戶進(jìn)行實(shí)時的管理，及時的診斷和瓦解網(wǎng)絡(luò)非法行為。H3C S5500-EI系列交換機(jī)提供增

55、強(qiáng)的ACL控制邏輯，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下發(fā)，在簡化用戶配置過程的同時，避免了ACL資源的浪費(fèi)。另外，S5500-EI系列還將支持單播反向路徑查找技術(shù)（uRPF），原理是當(dāng)設(shè)備的一個接口上收到一個數(shù)據(jù)包時，會反向查找路徑來驗(yàn)證是否存在從該接收接口到包中制定的源地址之間的路由，即驗(yàn)證了其真實(shí)性，如果不存在就將數(shù)據(jù)包刪除，這樣我們就可以有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺騙。7VM海岸線網(wǎng)絡(luò)安全資訊站多重可靠性保護(hù)S5500-EI系列交換機(jī)還具備設(shè)備級和鏈路級的多重可靠性保護(hù)。所有機(jī)型都支持內(nèi)置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模

56、塊，也就是說我們可以根據(jù)實(shí)際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機(jī)還支持電源和風(fēng)扇的故障檢測及告警，可以根據(jù)溫度的變化自動調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速，這些設(shè)計(jì)使我們這款盒式交換機(jī)具備了機(jī)柜式交換機(jī)的高可靠性。除了設(shè)備級可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術(shù)，比如華三通信獨(dú)創(chuàng)的RRPP快速環(huán)網(wǎng)保護(hù)機(jī)制。當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時候也不影響網(wǎng)絡(luò)的收斂時間，保證業(yè)務(wù)的正常開展。多業(yè)務(wù)支持能力支持PoE（Power over Ethernet）技術(shù)，通過以太網(wǎng)對所連接的設(shè)備（如IP Phone, Wireless AP等）進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場為設(shè)備部署單獨(dú)的

57、電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和管理成本。支持Voice VLAN技術(shù)，交換機(jī)通過識別端口的語音流，將對應(yīng)的接入端口加入Voice VLAN（專用語音VLAN）中，為語音流量提供專門通道，并自動下發(fā)優(yōu)先級規(guī)則保證語音流的優(yōu)先傳輸來保證通話質(zhì)量。同時通過設(shè)置Voice VLAN安全特性，只允許語音流量通過，可以有效防止突發(fā)數(shù)據(jù)流量對Voice VLAN內(nèi)的語音流量的沖擊。H3C S5500-EI系列交換機(jī)支持MCE功能，可以有效解決多VPN網(wǎng)絡(luò)帶來的用戶數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用CE設(shè)備本身的VLAN接口編號與網(wǎng)絡(luò)內(nèi)的VPN進(jìn)行綁定，并為每個VPN創(chuàng)建和維護(hù)獨(dú)立的路由轉(zhuǎn)發(fā)表

58、（Multi-VRF）。這樣不但能夠隔離私網(wǎng)內(nèi)不同VPN的報(bào)文轉(zhuǎn)發(fā)路徑，而且通過與PE間的配合，也能夠?qū)⒚總€VPN的路由正確發(fā)布至對端PE，保證VPN報(bào)文在公網(wǎng)內(nèi)的傳輸。豐富的QoS策略H3C S5500-EI系列交換機(jī)支持支持L2（Layer 2）L4（Layer 4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號、協(xié)議類型、VLAN的流分類。提供靈活的對列調(diào)度算法，可以同時基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三種模式。支持CAR（Committe

59、d Access Rate）功能，粒度最小達(dá)64Kbps。支持出、入兩個方向的端口鏡像，用于對指定端口上的報(bào)文進(jìn)行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進(jìn)行網(wǎng)絡(luò)檢測和故障排除。出色的管理性H3C S5500-EI系列交換機(jī)支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用網(wǎng)管平臺以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3C S5500-EI系列交換機(jī)支持基于MAC地址劃分VLAN，很好的解決了移動

60、辦公的智能靈活管理；結(jié)合特有的基于全局和VLAN下發(fā)ACL策略，在簡化用戶配置的同時，也大幅節(jié)約了硬件資源。該系列交換機(jī)還支持sFlow功能，可以對出入方向的報(bào)文按比例隨機(jī)抽樣，靈活實(shí)現(xiàn)報(bào)文采集。產(chǎn)品規(guī)格支持特性S5500-28C-EIS5500-52C-EIS5500-28C-PWR-EIS5500-52C-PWR-EIS5500-28F-EI交換容量（全雙工）192Gbps240Gbps192Gbps240Gbps192Gbps包轉(zhuǎn)發(fā)率（整機(jī)）95.2Mpps130.9Mpps95.2Mpps130.9Mpps95.2Mpps外形尺寸（長寬高）（單位：mm）44030043.6440420