學校網(wǎng)絡設計方案

XX學院校園網(wǎng)絡設計方案XXX年XX月

目錄TOC\o"1-4"\h\z\u第1章 概述 3第2章 系統(tǒng)建設需求 3第3章 網(wǎng)絡平臺建設方案 43.1 網(wǎng)絡設計原則 43.2 網(wǎng)絡層次化設計 53.3 校園網(wǎng)絡總體構造 63.3.1 關鍵層設計 73.3.2 數(shù)據(jù)中心設計 113.3.3 匯聚層設計 113.3.4 網(wǎng)絡出口設計 143.3.5 接入層設計 173.3.6 無線網(wǎng)絡設計 213.4 網(wǎng)絡安全性設計 253.4.1 重要安全區(qū)域隔離 253.4.2 出口帶寬監(jiān)管 263.4.3 網(wǎng)絡安全保護 273.5 網(wǎng)絡可靠性設計 293.5.1 物理設備和鏈路穩(wěn)定性 29 網(wǎng)絡構造的可靠性 29 設備級冗余性設計 29 鏈路冗余配置 313.5.2 數(shù)據(jù)鏈路層穩(wěn)定性設計 31 網(wǎng)絡布署MSTP 31 生成樹邊緣端口 31 DLDP技術運用 323.5.3 網(wǎng)絡層穩(wěn)定性設計 323.6 網(wǎng)絡管理設計 333.6.1 資源管理 333.6.2 拓撲管理 343.6.3 故障（告警/事件）管理 353.6.4 性能管理 383.6.5 圖形化設備管理 383.6.6 集中配置管理 393.7 顧客管理系統(tǒng) 403.8 方案總結及優(yōu)勢闡明 44

概述廣州XX職業(yè)技術學院（如下簡稱為XX學院）1999年3月經教育部同意成立，是中國XX總局唯一一所獨立設置實行高等職業(yè)教育的全日制一般高等院校，是“國家示范性高等職業(yè)院校建設計劃”立項建設院校之一。根據(jù)國家示范性高等職業(yè)院校建設項目的規(guī)定，XX學院擬完善數(shù)字化校園網(wǎng)絡平臺，為數(shù)字化教學平臺提供一種良好的支撐平臺。方案參照了學院《數(shù)字化校園網(wǎng)絡平臺項目（第一期）建設實行方案》內容。在方案中，我們將根據(jù)校園網(wǎng)絡平臺建設規(guī)定，提出一種校園網(wǎng)絡平臺的建設目的和框架，并針對各個部分建設進行闡明。系統(tǒng)建設需求校園網(wǎng)絡平臺是校園數(shù)字化系統(tǒng)的運行基礎，學院原有的網(wǎng)絡平臺無論是在網(wǎng)絡的穩(wěn)定性、業(yè)務適應用性、性能、安全以及可擴展性等方面已無法支撐學院系統(tǒng)的需求，更是無法到達國家示范性高等職院建設的規(guī)定，因此，學院的校園網(wǎng)絡平臺需要進行全面的升級，建設任務重要包括如下五大方面：建設一種高可用的骨干網(wǎng)，這是網(wǎng)絡平臺建設最為重要及緊急任務之一，骨干網(wǎng)的穩(wěn)定性、性能和安全性將直接影響到校園網(wǎng)絡的運行；建設一種數(shù)據(jù)中心網(wǎng)絡平臺，為數(shù)字化業(yè)務系統(tǒng)提供一種高可用的接入平臺；建設一種安全可控的網(wǎng)絡出口，增強網(wǎng)絡外界的安全防護以及校園網(wǎng)顧客的行為監(jiān)管能力，提高出口帶寬的使用效率；完善校園網(wǎng)顧客的接入和控制，通過布署顧客認證、計費等措施對全面提高對接入顧客的控制，使顧客接入規(guī)范化。建設校園無線網(wǎng)絡平臺，提高網(wǎng)絡接入的覆蓋能力，校園顧客更易于使用學院資源。網(wǎng)絡平臺建設方案網(wǎng)絡設計原則廣州XX職業(yè)技術學院校園網(wǎng)建設要實現(xiàn)內部全方位的數(shù)據(jù)共享，應用三層互換，提供全面的QoS保障服務，使網(wǎng)絡安全可靠，從而實現(xiàn)教育管理、多媒體教學自動化，必須具有高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴展性。學院網(wǎng)絡建設遵照如下基本原則：高帶寬學院網(wǎng)絡是一種龐大并且復雜的網(wǎng)絡，為了保障全網(wǎng)的高速轉發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設計的無瓶頸性，規(guī)定方案設計的階段就要充足考慮到，同步規(guī)定關鍵互換機具有高性能、高帶寬的特，整網(wǎng)的關鍵互換規(guī)定可以提供無瓶頸的數(shù)據(jù)互換。可增值性學院網(wǎng)絡的建設、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡的增值性是網(wǎng)絡持續(xù)發(fā)展基礎。因此在建設時要充足考慮業(yè)務的擴展能力，能針對不一樣的顧客需求提供豐富的寬帶增值業(yè)務，使網(wǎng)絡具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U充性考慮到學院顧客數(shù)量和業(yè)務種類發(fā)展的不確定性，規(guī)定對于關鍵互換機與匯聚互換機具有強大的擴展功能，學院網(wǎng)絡要建設成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡平臺，可以伴隨需求變化，充足留有擴充余地。開放性技術選擇必須符合有關國際原則及國內原則，防止個別廠家的私有原則或內部協(xié)議，保證網(wǎng)絡的開放性和互連互通，滿足信息精確、安全、可靠、優(yōu)良互換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網(wǎng)絡統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡設備的統(tǒng)一管理。安全可靠性設計應充足考慮整個網(wǎng)絡的穩(wěn)定性，支持網(wǎng)絡節(jié)點的備份和線路保護，提供網(wǎng)絡安全防備措施。網(wǎng)絡層次化設計在校園園區(qū)網(wǎng)絡整體設計中，采用層次化、模塊化的網(wǎng)絡設計構造，并嚴格定義各層功能模型，不一樣層次關注不一樣的特性配置。根據(jù)廣州XX職業(yè)技術學院的網(wǎng)絡分布狀況，校園網(wǎng)共提成關鍵層、匯聚層和接入層三層。1)關鍵層關鍵層是整個網(wǎng)絡的骨干，必須可以提供高速數(shù)據(jù)互換和路由迅速收斂，規(guī)定具有較高的可靠性、穩(wěn)定性和易擴展性等。XX學院主校區(qū)設置整個校園網(wǎng)的關鍵層，同步，在新機場實訓基地設置分關鍵。對于XX學院主校園的關鍵層，必須提供高性能、高可靠的網(wǎng)絡構造，推薦采用高可靠的多設備冗余的星型構造。對于校園網(wǎng)關鍵層設備，應當在提供大容量、高性能L2/L3互換服務基礎上，可以深入融合了硬件IPv6、網(wǎng)絡安全、網(wǎng)絡業(yè)務分析等智能特性，可為校園園區(qū)構建融合業(yè)務的基礎網(wǎng)絡平臺，進而協(xié)助顧客實現(xiàn)IT資源整合的需求。2)匯聚層匯聚來自配線間的流量和執(zhí)行方略，當路由協(xié)議應用于這一層時，具有負載均衡、迅速收斂和易于擴展等特點，這一層還可作為接入設備的第一跳網(wǎng)關。目前，XX學院在主校區(qū)共有15幢建筑物，新機場實訓基地共有6幢建筑物。XX學院匯聚層設置將根據(jù)既有的信息點分布，結合綜合布線系統(tǒng)等多原因，一般而言，以建筑物/功能區(qū)為單位設置匯聚層，即每個單體建筑/功能區(qū)設置一種網(wǎng)絡匯聚層，如數(shù)據(jù)中心和網(wǎng)絡出口分別設于匯聚層，同步對于學生宿舍區(qū)，可以采用多幢學生宿舍共用1個網(wǎng)絡匯聚層的方式。對于校園園區(qū)網(wǎng)的匯聚層設備，應當可以承載校園園區(qū)的多種融合業(yè)務，可以融合IPv6、網(wǎng)絡安全、流量分析等多種業(yè)務，提供不間斷轉發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種高可靠技術，可以承載校園園區(qū)融合業(yè)務的需求。3)接入層提供網(wǎng)絡的第一級接入功能，完畢二層接入，并實現(xiàn)對終端接入的安全控制，包括ARP防御、IP/MAC/端口綁定以及POE等高級功能。在XX校園網(wǎng)中，接入層采用千兆及百兆到桌面的接入模式，對于數(shù)據(jù)傳播量較大或重要區(qū)域采用千兆到桌面的方案，如綜合辦公、圖書館等，其他的為百兆接入，同步，無線AP接入采用POE方式進行設備的供電。接入層設備以選擇二層互換機為主，設備應具有靈活的擴展能力，支持堆疊，具有強安全性，可以實現(xiàn)IP、MAC、端口的綁定，支持802.1x認證，支持DHCPSnooping，防止非法DHCP接入和ARP襲擊。校園網(wǎng)絡總體構造校園網(wǎng)絡平臺將采用層次化通用構造設計，采用關鍵層、匯聚層和接入層三層架構，包括網(wǎng)絡骨干、數(shù)據(jù)中心、網(wǎng)絡出口、網(wǎng)絡接入、無線網(wǎng)絡等五大部分。網(wǎng)絡骨干由關鍵層和匯聚層組網(wǎng)，骨干網(wǎng)采用高可靠性組網(wǎng)，關鍵層配置兩臺高端關鍵互換機，匯聚層設備通過雙千兆鏈路實現(xiàn)與關鍵層設備的互聯(lián)，網(wǎng)絡骨干全面支持IPv6，并提供萬兆擴展能力。校園網(wǎng)設置數(shù)據(jù)中心，實現(xiàn)各業(yè)務系統(tǒng)服務器的集中布署，數(shù)據(jù)中心網(wǎng)絡平臺獨立建設，配置2臺模塊化互換機設備，為服務器提供高性能、高可靠、可擴展性的接入平臺，同步，通過關鍵互換機內置高性能的防火墻模塊提供安全保護。網(wǎng)絡出口實現(xiàn)校園網(wǎng)絡與外部網(wǎng)絡的互聯(lián)，包括與教育科、互聯(lián)網(wǎng)的互聯(lián)，網(wǎng)絡出口需實現(xiàn)校園網(wǎng)與外部網(wǎng)絡的隔離，網(wǎng)絡出口配置1臺路由器設備實現(xiàn)與外部網(wǎng)絡互聯(lián)，同步提供地址轉換等服務，配置應用控制網(wǎng)關，實現(xiàn)出口帶寬的管理，并對校園網(wǎng)顧客實現(xiàn)行為審計等功能。網(wǎng)絡接入層提供校園網(wǎng)顧客的接入，并實現(xiàn)網(wǎng)絡接入的安全防御，如ARP襲擊防護，同步，結合顧客管理系統(tǒng)實現(xiàn)對接入顧客認證、計費等管理。為實現(xiàn)校園網(wǎng)絡接入的靈活性，提高網(wǎng)絡的覆蓋，校園網(wǎng)將實現(xiàn)辦公樓、圖書館、試驗室、運動場館等公共區(qū)域的無線網(wǎng)絡覆蓋，無線網(wǎng)采用智能的FitAP組網(wǎng)。為便于網(wǎng)絡的管理和維護，校園網(wǎng)還將建設1套網(wǎng)絡管理系統(tǒng)，實現(xiàn)對校園網(wǎng)絡平臺設備的統(tǒng)一管理，網(wǎng)絡管理應具有拓撲、故障、性能、配置和圖形化設備管理等功能，為了實現(xiàn)更為以便的通過遠程方式對網(wǎng)絡的狀態(tài)進行監(jiān)控和維護，網(wǎng)絡系統(tǒng)采用B/S架構。同步，為加強對接入顧客的控制和管理，系統(tǒng)還布署顧客認證、計費管理系統(tǒng)。關鍵層設計XX學院主校區(qū)設置整個校園網(wǎng)的關鍵層，同步，在新機場實訓基地設置分關鍵。對于XX學院主校園的關鍵層，必須提供高性能、高可靠的網(wǎng)絡構造，推薦采用高可靠的多設備冗余的星型構造。關鍵層配置2臺高端互換機作為關鍵互換機，兩臺互換機之間通過萬兆鏈路進行互聯(lián)，形成雙機復用，在兩臺中心互換機之間啟用VRRP協(xié)議，這樣在其中一臺出現(xiàn)故障的時候，業(yè)務可以自動切換到此外一臺。選用的關鍵互換機是從可靠性、性能、業(yè)務特性、安全特性以及可擴展性等多種方面進行綜合考慮。在可靠性方面，關鍵互換機應到達99.99%的高可靠性，采用全模塊化設計，電源、風扇、引擎、業(yè)務模塊等均可實現(xiàn)熱插拔，支持電源、引擎等關鍵部件的1+1冗余熱備份，支持VRRP、路由優(yōu)雅（GR）等高可靠性協(xié)議，實現(xiàn)關鍵層的業(yè)務不間斷轉發(fā)。在性能方面，關鍵互換機應采用Crossbar互換矩陣，采用全分布式轉發(fā)，支持萬兆、千兆等高速以太網(wǎng)接口，所有接口實現(xiàn)線速轉發(fā),保障校園網(wǎng)多種業(yè)務進行并發(fā)互換。在業(yè)務特性方面，關鍵互換機支持豐富的QoS特性，可保障重要業(yè)務得到優(yōu)先轉發(fā)；支持IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡；并且支持內置防火墻、內置無線控制器等多種業(yè)務功能插卡，可以進行靈活的布署，實現(xiàn)業(yè)務的擴展和融合。在安全性方面，關鍵互換機應既能保障自身的運行安全，也能通過某些安全機制保障所承載業(yè)務的安全?；谏鲜鲈?，我們提議關鍵互換機采用H3CS7510E高端互換機。H3CS7500E系列產品是杭州華三通信技術有限企業(yè)（如下簡稱H3C企業(yè)）面向融合業(yè)務網(wǎng)絡推出的新一代高端多業(yè)務路由互換機，該產品基于H3C自主知識產權的ComwareV5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡安全、無線、無源光網(wǎng)絡等多種業(yè)務，提供不間斷轉發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種高可靠技術。S7510E具有10個槽位，其中8個為業(yè)務模塊插槽，并支持豐富的接口模塊，如萬兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡規(guī)模實目前線擴展。S7510E具有高轉發(fā)性能，整機具有1152Gbps互換容量、773Mpps轉發(fā)性能，同步，S7510E采用全分布式轉發(fā)，并采用最長匹配、逐包轉發(fā)的處理機制，保證業(yè)務的高速率轉發(fā)。S7510E中配置的所有接口均可實現(xiàn)線速轉發(fā)。選用的H3CS7500E互換機具有如下特點：豐富的業(yè)務，適應融合業(yè)務網(wǎng)絡發(fā)展趨勢全面的MPLS業(yè)務能力H3CS7500E所有產品均支持VRF-Lite特性，可以做為MCE設備使用；支持三層的MPLSVPN和二層的MPLSVPN（Martini、Kompella），可擴展支持VPLS技術；支持MPLSOAM特性，以便顧客的管理和維護；與H3CMPLSVPNManager配合，實現(xiàn)圖形化的MPLS布署與維護。線速的IPv4/IPv6業(yè)務能力H3CS7500E支持IPv4/IPv6雙協(xié)議棧,支持多種6to4隧道技術，支持IPv4/IPv6的組播技術，為顧客提供完善的IPv4/IPv6處理方案；H3CS7500E采用分布式體系架構，實現(xiàn)IPv4/IPv6業(yè)務的線速無阻塞轉發(fā)；H3CS7500E已經通過了信息產業(yè)部的IPv6入網(wǎng)認證和IPv6Ready第二階段金色認證，是成熟商用的IPv6產品。有線無線一體化，有源無源一體化H3CS7500E集成的無線控制模塊提供豐富的業(yè)務能力，包括精細的顧客控制管理、完善的RF管理及安全機制、迅速漫游、超強的QOS和對IPV6的支持等；無線控制模塊通過與安全方略服務器的聯(lián)動，實現(xiàn)對無線接入顧客的端點準入防御，提高了整網(wǎng)的安全性。H3CS7500E是業(yè)界最高密度的以太網(wǎng)無源光網(wǎng)絡（EPON）設備，單臺最大可接入10240個FTTH顧客；H3CS7500E是高可靠的EPON系統(tǒng)，采用分布式體系構造、模塊化設計，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，具有電信級可靠性。支持Portal認證H3CS7500E支持大容量的Portal認證功能，可以在數(shù)千顧客的局域網(wǎng)中作為EAD網(wǎng)關設備，為全網(wǎng)顧客提供EAD安全認證功能；可以在大中型的校園網(wǎng)中擔任匯聚/關鍵設備的同步，為學生宿舍區(qū)的認證計費提供Portal認證功能。靈活的配置，適應多種應用場景配線間融合業(yè)務網(wǎng)絡的最佳選擇H3CS7500E針對配線間的需求定制開發(fā)了SA板卡，單臺設備可以提供480個千兆線速接口和4個萬兆線速接口。H3CS7500E支持端點準入防御處理方案，處理終端安全問題；內置2800W電源直接提供PoE功能，對IP語音和無線接入提供良好的支持。政府電力城域網(wǎng)邊緣和匯聚的最佳選擇H3CS7500E支持VRF-Lite特性，為顧客提供高可靠高性能的MCE設備；通過配置SalienceVI-Turbo引擎，可以提供集中式MPLS業(yè)務功能，適合在城域網(wǎng)邊緣作為高性價PE設備使用；通過配置EA類板卡，可以提供分布式線速的MPLS業(yè)務功能，適合在城域網(wǎng)匯聚層作為高性能的PE使用。IPv6網(wǎng)絡的最佳選擇H3CS7500E所有SalienceVI引擎都可以提供集中式IPv6功能，H3CS7500E針對IPv4/IPv6高性能的規(guī)定還開發(fā)了分布式IPv4/IPv6轉發(fā)的SC板卡，在整機滿配置狀態(tài)下實現(xiàn)線速無收斂，為高校顧客提供了高性能低成本的雙棧匯聚關鍵設備，同步也滿足其他行業(yè)顧客IPv6Ready的需求。全方位的安全保障，抵御多種網(wǎng)絡安全威脅三平面安全保障機制H3CS7500E提供完善的安全防護機制，可從控制、管理、轉發(fā)三平面全面保障網(wǎng)絡的安全：在控制平面，內置協(xié)議報文襲擊識別模塊，防止TCN、ARP等協(xié)議報文襲擊，OSPF/BGP/IS-IS路由協(xié)議采用MD5驗證，防止非法路由更新報文導致的網(wǎng)絡癱瘓；在管理平面，SNMPv3網(wǎng)管協(xié)議，SSHV2，基于802.1x、AAA/Radius的顧客身份認證以及分級的顧客權限管理保證了設備管理的安全性；在轉發(fā)平面，支持IP、VLAN、MAC和端口等多種組合精細綁定；支持uRPF單播反向途徑轉發(fā)，防止非法流量訪問網(wǎng)絡，采用最長匹配逐包轉發(fā)機制，有效抵御病毒的襲擊。有線無線全面支持EADH3CS7500E是EAD端點準入防御處理方案的重要構成部分，S7500E可以動態(tài)的接受來自安全方略服務器的控制方略，根據(jù)終端的安全狀態(tài)予以下發(fā)對應的訪問權限。H3CS7500E既支持有線終端顧客的EAD，也支持無線終端顧客的EAD，可以做到終端安全防備無漏洞。增強的ACL特性H3CS7500E系列產品支持強大的ACL能力：支持原則和擴展ACL；支持基于VLAN的ACL，以便顧客配置，節(jié)省ACL資源；支持出方向和入方向的ACL，每板最大可支持9K條ACL，滿足金融等行業(yè)訪問權限嚴格控制的需求。電信級的高可靠性，保障顧客業(yè)務長期穩(wěn)定運行電信級高可靠性設計H3CS7500E采用無單點故障設計，所有關鍵部件，如主控板、互換網(wǎng)、電源和風扇等采用冗余設計；無源背板防止了機箱出現(xiàn)單點故障；所有單板和電源模塊支持熱插拔功能；H3CS7500E系列可以在惡劣的環(huán)境下長時間穩(wěn)定運行，到達99.999％的電信級可靠性。多業(yè)務高可靠性運行H3CS7500E支持不間斷轉發(fā)和優(yōu)雅重啟，提供毫秒級的切換時間；支持等價路由，可協(xié)助顧客建立多條等值途徑，實現(xiàn)流量的負載均衡及冗余備份；支持RRPP迅速環(huán)網(wǎng)保護協(xié)議，提供不不小于200ms的環(huán)網(wǎng)故障保護；支持Smart-Link協(xié)議，保證雙上行網(wǎng)絡拓撲的業(yè)務毫秒級迅速切換。通過上述技術，H3CS7500E可以在承載多業(yè)務的狀況下不間斷運行，實現(xiàn)業(yè)務的永續(xù)。支持熱補丁技術H3CS7500E可以在不重啟設備的前提下，通過熱補丁技術，在線修改軟件BUG，增長新的業(yè)務特性。H3CS7500E提供控制補丁單元狀態(tài)切換的顧客命令，使顧客可以以便的加載、激活、去激活、運行或刪除補丁單元。通過熱補丁技術，減少了設備需要重啟的次數(shù)，為客戶提供更長的網(wǎng)絡正常工作時間。數(shù)據(jù)中心設計為實現(xiàn)對校園網(wǎng)服務器統(tǒng)一管理和控制，同步考慮到擴展性，服務器的接入獨立配置互換機實現(xiàn)，為保證服務器接入的高可用性，配置2臺全千兆三層路由互換機，數(shù)據(jù)中心互換機通過VRRP協(xié)議實現(xiàn)互為熱備和負載分擔。在選用的數(shù)據(jù)中心互換機時，我們充足考慮到應具有如下功能和特性：在可靠性方面，數(shù)據(jù)中心互換機支持VRRP熱備份協(xié)議，為服務器提供可靠的接入。在性能方面，數(shù)據(jù)中心互換機所有端口線速轉發(fā)，保障圖書館多種業(yè)務進行并發(fā)互換。在業(yè)務特性方面，數(shù)據(jù)中心互換機支持豐富的QoS特性，可保障重要業(yè)務得到優(yōu)先轉發(fā)；支持IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡。在安全性方面，數(shù)據(jù)中心互換機具有安全機制保障所承載業(yè)務的安全。在可擴展性方面，數(shù)據(jù)中心互換機應采用模塊化設備，支持高密度、高帶寬接口，在業(yè)務系統(tǒng)不停增長時，可通過增長業(yè)務模塊來滿足服務器接入需求?；谏鲜鲈?，我們提議數(shù)據(jù)中心互換機采用H3CS7502E高端互換機。S7510E具有4個槽位，其中2個為業(yè)務模塊插槽，并支持豐富的接口模塊，如萬兆、千兆、百兆等類型接口，可根據(jù)網(wǎng)絡規(guī)模實目前線擴展。S7502E具有高轉發(fā)性能，整機具有192Gbps互換容量、143Mpps轉發(fā)性能，同步，S7502E采用全分布式轉發(fā)，并采用最長匹配、逐包轉發(fā)的處理機制，保證業(yè)務的高速率轉發(fā)。S7502E中配置的所有接口均可實現(xiàn)線速轉發(fā)。匯聚層設計匯聚來自配線間的流量和執(zhí)行方略，當路由協(xié)議應用于這一層時，具有負載均衡、迅速收斂和易于擴展等特點，這一層還可作為接入設備的第一跳網(wǎng)關。選用的匯聚互換機應具有如下功能和特性：在可靠性方面，匯聚互換機支持路由協(xié)議平滑重啟，支持RSTP、MSTP生成樹協(xié)議，支持2層的迅速切換，保證與關鍵互換機組網(wǎng)的可靠性，在性能方面，匯聚互換機所有端口線速轉發(fā)，包括萬兆接口，保障多種業(yè)務進行并發(fā)互換。在業(yè)務特性方面，匯聚互換機支持豐富的QoS特性，可保障重要業(yè)務得到優(yōu)先轉發(fā)；支持IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡。在安全性方面，匯聚互換機具有安全機制保障所承載業(yè)務的安全。基于以上規(guī)定，我們提議匯聚互換機選用H3C的S5500－EI，S5500－EI系列互換機具有如下特點：1、高擴展性保護投資伴隨顧客端速度不停提高，顧客最終會使集群千兆鏈路到達飽和，而可以擁有多條集群10GE鏈路將是我們的未來發(fā)展方向。H3CS5500-EI系列互換機支持兩個擴展槽位，每個槽位支持單端口或雙端口的10GE擴展模塊，在實現(xiàn)千兆匯聚或接入時保留深入支持10GE的擴展能力，竭力保護顧客投資。IPv4到IPv6的演變是以太網(wǎng)發(fā)展的大勢所趨，網(wǎng)絡設備對于IPv6的支持不僅是簡樸的可用就行，而是需要到達商用的原則，S5500-EI已經通過了國際最權威的IPv6Ready第二階段認證，并且通過了信息產業(yè)部嚴格的IPv6入網(wǎng)測試。這個系列產品是基于硬件的IPv4/IPv6雙棧平臺，支持豐富的IPv4和IPv6三層路由協(xié)議、組播協(xié)議和方略路由機制，實現(xiàn)IPv4到IPv6的平滑升級。2、完備的安全控制方略H3CS5500-EI系列互換機支持EAD（端點準入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復等終端安全措施與網(wǎng)絡接入控制、訪問權限控制等網(wǎng)絡安全措施整合為一種聯(lián)動的安全體系，通過對網(wǎng)絡接入終端的檢查、隔離、修復、管理和監(jiān)控，使整個網(wǎng)絡變被動防御為積極防御、變單點防御為全面防御、變分散管理為集中方略管理，提高了網(wǎng)絡對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5500-EI互換機支持集中式MAC地址認證、802.1x認證、PORTAL認證，支持顧客帳號、IP、MAC、VLAN、端口等顧客標識元素的動態(tài)或靜態(tài)綁定，同步實現(xiàn)顧客方略（VLAN、QoS、ACL）的動態(tài)下發(fā)；支持配合H3C企業(yè)的CAMS系統(tǒng)對在線顧客進行實時的管理，及時的診斷和瓦解網(wǎng)絡非法行為。H3CS5500-EI系列互換機提供增強的ACL控制邏輯，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下發(fā)，在簡化顧客配置過程的同步，防止了ACL資源的揮霍。此外，S5500-EI系列還將支持單播反向途徑查找技術（uRPF），原理是當設備的一種接口上收到一種數(shù)據(jù)包時，會反向查找途徑來驗證與否存在從該接受接口到包中制定的源地址之間的路由，即驗證了其真實性，假如不存在就將數(shù)據(jù)包刪除，這樣我們就可以有效杜絕網(wǎng)絡中日益泛濫的源地址欺騙。7VM海岸線網(wǎng)絡安全資訊站3、多重可靠性保護S5500-EI系列互換機還具有設備級和鏈路級的多重可靠性保護。所有機型都支持內置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模塊，也就是說我們可以根據(jù)實際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機還支持電源和風扇的故障檢測及告警，可以根據(jù)溫度的變化自動調整風扇的轉速，這些設計使我們這款盒式互換機具有了機柜式互換機的高可靠性。除了設備級可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術，例如華三通信獨創(chuàng)的RRPP迅速環(huán)網(wǎng)保護機制。當網(wǎng)絡上承載多業(yè)務、大流量的時候也不影響網(wǎng)絡的收斂時間，保證業(yè)務的正常開展。4、多業(yè)務支持能力支持PoE（PoweroverEthernet）技術，通過以太網(wǎng)對所連接的設備（如IPPhone,WirelessAP等）進行遠程供電，從而使得不必在使用現(xiàn)場為設備布署單獨的電源系統(tǒng)，可以極大地減少布署終端設備的布線和管理成本。支持VoiceVLAN技術，互換機通過識別端口的語音流，將對應的接入端口加入VoiceVLAN（專用語音VLAN）中，為語音流量提供專門通道，并自動下發(fā)優(yōu)先級規(guī)則保證語音流的優(yōu)先傳播來保證通話質量。同步通過設置VoiceVLAN安全特性，只容許語音流量通過，可以有效防止突發(fā)數(shù)據(jù)流量對VoiceVLAN內的語音流量的沖擊。H3CS5500-EI系列互換機支持MCE功能，可以有效處理多VPN網(wǎng)絡帶來的顧客數(shù)據(jù)安全與網(wǎng)絡成本之間的矛盾，它使用CE設備自身的VLAN接口編號與網(wǎng)絡內的VPN進行綁定，并為每個VPN創(chuàng)立和維護獨立的路由轉刊登（Multi-VRF）。這樣不僅可以隔離私網(wǎng)內不一樣VPN的報文轉發(fā)途徑，并且通過與PE間的配合，也可以將每個VPN的路由對的公布至對端PE，保證VPN報文在公網(wǎng)內的傳播。5、豐富的QoS方略H3CS5500-EI系列互換機支持支持L2（Layer2）~L4（Layer4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號、協(xié)議類型、VLAN的流分類。提供靈活的對列調度算法，可以同步基于端口和隊列進行設置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三種模式。支持CAR（CommittedAccessRate）功能，粒度最小達64Kbps。支持出、入兩個方向的端口鏡像，用于對指定端口上的報文進行監(jiān)控，將端口上的數(shù)據(jù)包復制到監(jiān)控端口，以進行網(wǎng)絡檢測和故障排除。6、杰出的管理性H3CS5500-EI系列互換機支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用網(wǎng)管平臺以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設備管理更以便，并且支持SSH2.0等加密方式，使得管理愈加安全。H3CS5500-EI系列互換機支持基于MAC地址劃分VLAN，很好的處理了移動辦公的智能靈活管理；結合特有的基于全局和VLAN下發(fā)ACL方略，在簡化顧客配置的同步，也大幅節(jié)省了硬件資源。該系列互換機還支持sFlow功能，可以對出入方向的報文按比例隨機抽樣，靈活實現(xiàn)報文采集。網(wǎng)絡出口設計網(wǎng)絡出口實現(xiàn)校園網(wǎng)絡與外界網(wǎng)絡互聯(lián)，出口網(wǎng)絡應具有一定的可靠性，提供網(wǎng)絡安全防護能力，并對出口帶寬進行有效的分派和控制，同步加強對顧客行為進行監(jiān)管。網(wǎng)絡出口配置1臺高端路由器，路由器實現(xiàn)外部網(wǎng)絡互聯(lián)，并提供NAT功能，配置1臺應用控制網(wǎng)關，實現(xiàn)對出口帶寬的靈活調配，并實現(xiàn)對顧客行為進行審計和監(jiān)管。并通過關鍵互換機的防火墻模塊實現(xiàn)對網(wǎng)絡區(qū)域的隔離和訪問控制。網(wǎng)絡出口路由器應具有如下功能和特性：在可靠性方面，路由器應支持電源、處理系統(tǒng)的冗余備份。在性能方面，路由器應提供高性能轉發(fā)，并具有優(yōu)越的NAT處理能力。在業(yè)務特性方面，路由器支持豐富的QoS特性，可保障重要業(yè)務得到優(yōu)先轉發(fā)；支持IPv6，可平穩(wěn)過渡到下一代網(wǎng)絡。在安全性方面，路由器有安全機制保障所承載業(yè)務的安全?；谏鲜鲈?，我們提議出口路由器采用H3CSR6604高端路由器。應用控制網(wǎng)關選用H3CSecPathACG（ApplicationControlGateway），H3CACG是業(yè)界識別最全面、控制手段最豐富的高性能應用控制網(wǎng)關，能對網(wǎng)絡中的P2P/IM帶寬濫用、“地下”VoIP、“一拖N”、網(wǎng)絡游戲、炒股、多媒體應用、非法網(wǎng)站訪問等行為進行精細化識別和控制；同步，可對網(wǎng)絡流量、顧客上網(wǎng)行為進行深入分析與全面的事后審計，并具有強大的URL過濾功能，進而協(xié)助顧客優(yōu)化其網(wǎng)絡資源，全面理解網(wǎng)絡應用模型和流量趨勢，開展各項業(yè)務提供有力的支撐。H3CACG具有如下長處：強大的P2P/IM業(yè)務監(jiān)控通過H3C長期積累的狀態(tài)機檢測技術，能精確檢測Thunder（迅雷）、BitTorrent、eMule（電騾）、eDonkey（電驢）、QQ、MSN、PPLive等近百種P2P/IM應用。同步，可基于時間、顧客、區(qū)域、應用協(xié)議等，對P2P/IM應用進行告警、限流、干擾或阻斷。完善的安全審計系統(tǒng)可對多種P2P/IM、網(wǎng)絡游戲、網(wǎng)絡多媒體、文獻共享、郵件收發(fā)、數(shù)據(jù)傳播等多種上網(wǎng)行為提供全面的行為監(jiān)控和記錄；同步，通過綜合分析、檢測顧客網(wǎng)絡流量與流向趨勢，事后對歷史數(shù)據(jù)進行分析，為顧客提供細粒度的網(wǎng)絡行為審計管理系統(tǒng)。強大的過濾功能通過自定義IP地址、主機名、正則體現(xiàn)式等方式設置URL特性庫，支持根據(jù)不一樣的URL方略設置不一樣的響應方式，支持根據(jù)時間表對不一樣的URL方略設置不一樣的響應動作，防止保密信息的外泄，免受非法信息的干擾，保證網(wǎng)絡的健康使用。豐富的報表提供業(yè)務流量趨勢圖、流量分布圖、TopN顧客列表、TopN應用協(xié)議列表等報表，并支持按照顧客名/顧客組、使用頻度、使用時段、應用分類、應用協(xié)議、流量大小等進行多維度組合定制報表，使顧客能全面掌握網(wǎng)絡中的流量、應用和業(yè)務分布，為合理規(guī)劃網(wǎng)絡、制定流量控制方略提供根據(jù)。全面地識別“地下”VoIP支持對Skype、H.323、SIP、中橋、UUCall等近百種協(xié)議或網(wǎng)關的呼喊識別、阻斷或干擾。目前，H3C是唯一能實現(xiàn)對Skype在PC-PC、PC-Phone兩種通信模式進行實時有效控制的廠商。領先的“一拖N”清理技術采用業(yè)界流行的ID軌跡檢測技術、時鐘偏移檢測技術，結合多種應用層特性檢測技術如應用特性檢測、流量/連接數(shù)記錄、TTL檢測、MAC地址檢測等，能實時精確的識別出以NAT、Proxy方式進行共享接入的顧客以及精確的PC數(shù)量，并實行告警、阻斷等控制措施。顧客行為分析采用先進的技術分析手段，全面分析網(wǎng)絡應用的流量類型和流量流向趨勢，記錄網(wǎng)絡熱點，發(fā)掘業(yè)務增長點；分析顧客行為，記錄顧客愛好，為個性化運行提供根據(jù)，并通過開放的平臺接口，與第三方業(yè)務平臺對接，提供高附加值業(yè)務，如在顧客行為愛好分析的基礎上提供定向WEB廣告服務。高性能、高可靠性基于新一代多核CPU多核架構及分布式搜索引擎，同步配合高容量的互換背板，保證SecPathACG在多種大流量、復雜應用的環(huán)境下，仍能具有千兆級線速業(yè)務處理能力，僅有微秒級時延。通過掉電保護（PFC）、二層回退等高可靠性設計，保證SecPathACG在斷電、軟硬件故障或鏈路故障的狀況下，網(wǎng)絡鏈路仍然暢通，保證顧客業(yè)務的不間斷正常運行。及時的特性庫更新H3C專業(yè)安全團體親密跟蹤應用變化，并對應用協(xié)議特性庫及時更新；支持在線自動/手動升級方式，升級過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務運行。接入層設計接入層實現(xiàn)各終端電腦的高速接入，根據(jù)各業(yè)務系統(tǒng)的分布，可采用千兆到桌面以及百兆到桌面兩種方案。對于辦公大樓、圖書館、試驗室等對網(wǎng)絡帶寬規(guī)定較高的,提議采用千兆到桌面的處理方案。對于教學樓、宿舍區(qū)的接入可采用10/100M到終端的處理方案。接入層互換機應具有豐富的安全特性，配合顧客認證系統(tǒng)實現(xiàn)對接入顧客的認證計費，同步，互換機還應具有防偽DHCPServer的接入，對終端ARP多種形式襲擊的防護。接入層互換機，我們提議千兆互換機選用H3CS5100系列互換機，百兆到桌面選用H3C為教育行業(yè)顧客專門研發(fā)的E系列互換機。選用的S5100－EI系列互換機具有如下特點：1、靈活的千兆接入和集群管理H3CS5100-EI系列千兆以太網(wǎng)互換機提供靈活的16/24/48個10/100/1000M自適應電口接入密度；并且支持復用的SFP插槽，充足考慮顧客的帶寬升級的實際狀況，既可以支持千兆光模塊，也可以支持百兆光模塊，保護顧客投資。其中S5100C-EI機型支持最多2個可擴展的萬兆接口，并且支持40G帶寬的堆疊。該系列硬件支持最大136Gbps互換容量，保證所有端口線速互換。H3CS5100-EI系列互換機采用專利技術容許互換機運用專用互聯(lián)電纜實現(xiàn)多達16臺設備的堆疊，支持不一樣端口設備的混合堆疊。具有即插即用、單一IP管理。同步大大減少系統(tǒng)擴展的成本，保護了顧客投資。2、全面的接入安全方略H3CS5100-EI系列互換機支持EAD（端點準入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復等終端安全措施與網(wǎng)絡接入控制、訪問權限控制等網(wǎng)絡安全措施整合為一種聯(lián)動的安全體系，通過對網(wǎng)絡接入終端的檢查、隔離、修復、管理和監(jiān)控，使整個網(wǎng)絡變被動防御為積極防御、變單點防御為全面防御、變分散管理為集中方略管理，提高了網(wǎng)絡對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5100-EI系列互換機支持特有的ARP入侵檢測功能，可有效防止黑客或襲擊者通過ARP報文實行網(wǎng)絡中逐漸盛行的“中間人”襲擊，對不符合DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同步支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內的非法地址仿冒，以及大流量地址仿冒帶來的DoS襲擊。此外，運用DHCPSnooping的信任端口特性還可以有效杜絕私設DHCP服務器，保證DHCP環(huán)境的真實性和一致性。H3CS5100-EI系列互換機支持端口安全特性族可以有效防備基于MAC地址的襲擊?？梢詫崿F(xiàn)基于MAC地址容許/限制流量，或者設定每個端口容許的MAC地址的最大數(shù)量，使得某個特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由互換機動態(tài)學習。H3CS5100-EI系列互換機有強大硬件ACL能力，能深度識別報文，支持L2~L4包過濾功能，提供基于源MAC地址、目的MAC、源IP地址、目的IP地址、IP協(xié)議類型、物理端口、VLAN、等定義ACL，以便互換機進行后續(xù)的處理。并且支持基于全局、VLAN、端口（組）的ACL下發(fā)，有效簡化配置過程并節(jié)省硬件資源。H3CS5100-EI系列互換機提供802.1X和集中MAC認證方式對接入的顧客進行認證，容許合法顧客通過，對于非法顧客則拒絕其上網(wǎng)。同步還支持客戶端軟件版本檢測、GuestVLAN等功能，和CAMS服務器配合還可以實現(xiàn)代理檢測、雙網(wǎng)卡檢測等功能。通過這些功能的應用可以對顧客的合法性進行充足的檢查和控制，最大程度的減少非法顧客對網(wǎng)絡安全的危害。2、完善的QoS保障H3CS5100-EI系列以太網(wǎng)互換機提供基于Diffserv和802.1P的QoS特性，可以對報文的802.1P和DSCP域優(yōu)先級進行修改等操作，并映射到每端口提供的8個COS隊列，隊列調度提供了三種各具特色的隊列調度算法，嚴格優(yōu)先級（SP）和整形加權輪循（SDWRR）調度算法以及SP+SDWRR組合調度算法。H3CS5100-EI系列以太網(wǎng)互換機支持流量監(jiān)管和帶寬粒度控制，流量限速的最小粒度為1Kbit/s，保證為進入互換機的特定業(yè)務提供帶寬保證，雖然在網(wǎng)絡擁塞時，也能滿足一定的丟包、時延及時延抖動等QoS需求。支持流量整形保證以太網(wǎng)互換機可以對輸出報文速率進行控制。支持基于流的報文重定向。3、增強的網(wǎng)絡管理和維護的易用性H3CS5100-EI系列互換機支持通過FTP、TFTP實現(xiàn)設備的遠程升級，支持SNMPv1/v2/v3，可支持OpenView等通用網(wǎng)管平臺，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設備管理更以便。并且支持SSH2.0等加密方式，使得管理愈加安全。老式互換機對端口的鏡像功能都是基于當?shù)貙崿F(xiàn)，鏡像數(shù)據(jù)流無法穿越網(wǎng)絡在關鍵實現(xiàn)統(tǒng)一采集、監(jiān)控和分析；H3CS5100-EI支持跨互換機的遠程端口鏡像功能（RSPAN），可以將接入端口的流量鏡像到關鍵互換機上，在關鍵上啟動網(wǎng)流分析（Netstream）功能，對監(jiān)控端口的業(yè)務和流量進行監(jiān)控、優(yōu)化布署和惡意襲擊監(jiān)控。H3CS5100-EI系列互換機支持VCT（VirtualCableTest）電纜檢測功能，便于迅速定位網(wǎng)絡故障點；并支持DLDP（DeviceLinkDetectionProtocol）單向鏈路檢測協(xié)議，可以有效的防止網(wǎng)絡中單通故障的發(fā)生，大幅提高網(wǎng)絡維護效率，切實將設備的易用性帶給顧客。H3CE系列互換機具有如下特點：全面的接入安全方略H3CE126A/E152教育網(wǎng)互換機支持特有的ARP入侵檢測功能，可有效防止黑客或襲擊者通過ARP報文實行校園網(wǎng)常見的“中間人”襲擊，對不符合DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同步支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內的非法地址仿冒，以及大流量地址仿冒帶來的DoS襲擊。此外，運用DHCPSnooping的信任端口特性還可以有效杜絕學生私設DHCP服務器，保證DHCP環(huán)境的真實性和一致性。E126A/E152教育網(wǎng)互換機支持端口安全特性族，可以有效防備基于MAC地址的襲擊?？梢詫崿F(xiàn)基于MAC地址容許/限制流量，或者設定每個端口容許的MAC地址的最大數(shù)量，使得某個特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由互換機動態(tài)學習。E126A/E152教育網(wǎng)互換機有強大硬件ACL能力，能深度識別報文，支持L2～L4包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP協(xié)議類型、TCP/UDP端口、TCP/UDP端口范圍、VLAN、VLAN范圍等定義ACL，以便互換機進行后續(xù)的處理。E126A/E152教育網(wǎng)互換機支持集中式MAC地址認證和802.1x認證，支持顧客帳號、IP、MAC、VLAN、端口等顧客標識元素的動態(tài)或靜態(tài)綁定，同步實現(xiàn)顧客方略（VLAN、QoS、ACL）的動態(tài)下發(fā)；支持配合H3C企業(yè)的CAMS系統(tǒng)對在線顧客進行實時的管理，及時的診斷和瓦解網(wǎng)絡非法行為。支持對Proxy進行有效的管理。增強的網(wǎng)絡管理和維護的易用性H3CE126A/E152教育網(wǎng)互換機支持通過FTP、TFTP實現(xiàn)設備的遠程升級，支持SNMPv1/v2/v3，可支持OpenView等通用網(wǎng)管平臺，以及iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，Telnet，HGMP集群管理，使設備管理更以便。E126A/E152教育網(wǎng)互換機支持跨互換機的遠程端口鏡像RSPAN，可以將接入端口的流量鏡像到關鍵互換機上，可以對全網(wǎng)業(yè)務和流量進行監(jiān)控、優(yōu)化布署和惡意襲擊監(jiān)控，滿足校園網(wǎng)精細化管理的需要。E126A/E152教育網(wǎng)互換機支持VCT（VirtualCableTest）電纜檢測功能，便于迅速定位網(wǎng)絡故障點；并支持DLDP（DeviceLinkDetectionProtocol）單向鏈路檢測協(xié)議，可以有效的防止網(wǎng)絡中單通故障的發(fā)生，大幅提高網(wǎng)絡維護效率，切實將設備的易用性帶給顧客。高性能與靈活擴展能力H3CE126A/E152教育網(wǎng)互換機具有19.2G的背板互換容量，支持所有端口線速轉發(fā)，滿足了教育顧客對高帶寬的需求。設備支持2/4個GE上行，采用固定電口和通用SFP的靈活千兆連接方式，在減少顧客成本的同步，更好的考慮了顧客后續(xù)升級的實際需求。E126A/E152教育網(wǎng)互換機采用專利技術容許互換機運用專用互聯(lián)電纜實現(xiàn)多達16臺設備的堆疊，最大擴展至768個10/100M端口，支持E126A和E152混合堆疊。具有即插即用、單一IP管理。同步大大減少系統(tǒng)擴展的成本，保護了顧客投資。豐富的業(yè)務支持能力H3CE126A/E152教育網(wǎng)互換機支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三種隊列調度算法，支持每個端口4/8個輸出隊列，可以以不一樣的優(yōu)先級將報文放入端口的輸出隊列。E126A/E152教育網(wǎng)互換機支持端口限速功能，限速粒度可達64Kbps，防止惡意侵占網(wǎng)絡帶寬，也為網(wǎng)絡帶寬的精細化管理提供了手段。E126A/E152教育網(wǎng)互換機支持IPv6host，包括IPv6單播地址配置，ICMPv6，IPv6鄰居發(fā)現(xiàn)協(xié)議（ND），IPv6-TCP，IPv6-TFTP，IPv6-TRACERT管理特性。無線網(wǎng)絡設計無線局域網(wǎng)技術通過十幾年的發(fā)展，已經歷了三代技術及產品的發(fā)展。第一代無線局域網(wǎng)重要是采用FatAP（即“胖”AP），每一臺AP都要單獨進行配置，費時、費力、費成本；第二代無線局域網(wǎng)融入了無線網(wǎng)關功能但還是不能集中進行管理和配置，其管理性和安全性以及對有線網(wǎng)絡的依賴成為了第一代和第二代WLAN產品發(fā)展的瓶頸，由于這一代技術的AP儲存了大量的網(wǎng)絡和安全的配置，包括加密的鑰匙，Radiusclient的安全密碼(secret)等，而AP又是分散在建筑物中的各個位置，一旦AP的配置被盜取讀出并修改，其無線網(wǎng)絡系統(tǒng)就失去了安全性。此外由于AC或無線網(wǎng)關的硬件多數(shù)是基于Pentium架構的，因此當顧客接入數(shù)量(IPsessions)增多時，無線網(wǎng)的性能會急劇下降，時常會發(fā)生掉線或死機狀況。在這樣的環(huán)境下，基于無線互換機技術的第三代WLAN產品應運而生。第三代無線局域網(wǎng)采用無線互換機和FITAP（即“瘦”AP）的架構，對老式WLAN設備的功能做了重新劃分，將密集型的無線網(wǎng)絡和安全處理功能轉移到集中的WLAN互換機中實現(xiàn)，同步加入了許多重要新功能，諸如無線網(wǎng)管、AP間自適應、無線安管、RF監(jiān)測、無縫漫游以及Qos。，使得無線局域網(wǎng)的網(wǎng)絡性能、網(wǎng)絡管理和安全管理能力得以大幅提高。室內無線覆蓋將使用大量無線接入點（AP）提供無線網(wǎng)絡接入服務，必須有效實現(xiàn)多種AP的統(tǒng)一方略布署和可靠的安全認證機制，因此，采用FITAP的處理方案，即采用無線控制器結合瘦AP與無線網(wǎng)絡管理系統(tǒng)的架構。綜合上述分析，對于大規(guī)模布署的校園網(wǎng)無線局域網(wǎng)，我們提議采用FITAP的方案。無線網(wǎng)絡構造參見下圖：無線網(wǎng)絡構成包括如下部分：無線控制系統(tǒng)，設備提議布署在網(wǎng)絡中心，為保證整個無線網(wǎng)絡的高可性，提議采用在關鍵互換機配置無線控制模塊，通過互換機的高性能來實現(xiàn)路由和轉發(fā)，并配置無線控制器模塊實現(xiàn)無線的管理。無線控制器模塊最大可管理640個AP，通過在S7510E中集成無線控制器模塊，將充足運用關鍵互換機的高可靠性和高處理性能，同步，與有線網(wǎng)絡的融合度更高。無線AP，根據(jù)實際需求，室內區(qū)域，包括辦公室、圖書館等，AP采用FitAP，選用WA2110－AG，AP與無線控制器構成無線網(wǎng)，室內AP連接到近來的訪問層互換機。在室外區(qū)域，直接采用室外型APWA2200X系列AP，H3C室外型AP通過IP66等級保護，可防水防塵，直接安裝在外。提議配套H3CWSM無線業(yè)務管理系統(tǒng)，實現(xiàn)對無線網(wǎng)絡的管理，通過WSM無線業(yè)務管理器，顧客可以獲得全面的無線業(yè)務管理能力。在設備選型中，我們提議無線局域網(wǎng)與互換機采用相似的品牌，以保證系統(tǒng)的兼容性，并實現(xiàn)統(tǒng)一化管理。采用FITAP處理方案構建的無線局域網(wǎng)具有如下功能和特點：以便布署FITAP處理方案采用集中式架構，在不變化其網(wǎng)絡的原有規(guī)劃和布署的狀況下，甚至不需要中斷原有網(wǎng)絡就可以輕松疊加一種無線網(wǎng)絡，該無線網(wǎng)絡和原有的有線網(wǎng)絡可以形成有線無線一體化的接入方案，可以大大減少網(wǎng)絡升級和布署的成本。易于管理、AP“零配置”采用無線控制器和FITAP配合組網(wǎng)時，只需要在無線控制器上對一類相似屬性的AP建立配置模板，AP在啟動時可以自動從無線控制器上下載最新的配置文獻，真正做到了零配置，免維護，即插即用，極大地減輕了網(wǎng)絡管理員在布署網(wǎng)絡階段的維護工作量。以便升級FITAP還支持軟件自動更新功能，在其每次重新啟動時會自動比較目前運行的版本和無線控制器上保留的版本，假如無線控制器上保留的版本更新，AP會自動更新當?shù)氐能浖诚?，軟件升級不再需要網(wǎng)管人員的干預。三層漫游無線控制器支持三層漫游，并支持迅速漫游，漫游切換時間不不小于50ms，滿足對切換時間規(guī)定最苛刻的語音業(yè)務。支持虛擬APFITAP支持多SSID實現(xiàn)虛擬AP特性，每個SSID可對應不一樣的VLAN、從而對于每一種SSID可以實現(xiàn)不一樣的網(wǎng)絡服務及認證方式。該特性使管理員可以以便的為不一樣顧客群、不一樣的業(yè)務制定辨別的服務方略。豐富的RF管理和安全RF管理功能，可以使得無線網(wǎng)絡的布網(wǎng)靈活性大大增強，網(wǎng)絡的可維護性得到很大的提高。AP的功率調整和信道切換是網(wǎng)絡布署和調試時不可缺乏的重要手段，信道和功率還需要按照國家代碼自動設置，無線控制器的RF管理功能使得網(wǎng)絡布署非常簡樸。RSSI/SNR的不停更新，更是讓系統(tǒng)可以適時理解每一種無線顧客所處電磁環(huán)境的好壞、離AP的距離，從而可以采用對應的方略來提高網(wǎng)絡可用性。支持智能的負載均衡支持智能負載均衡技術，保證只對處在AP覆蓋重疊區(qū)的無線顧客才啟動AP負載均衡功能，有效的防止誤均衡的出現(xiàn)，從而最大程度的提高了無線網(wǎng)絡容量。IPv6無線控制器實現(xiàn)了IPv4/IPv6雙協(xié)議棧。AP和無線控制器之間可以穿過IPv6網(wǎng)絡互聯(lián)，從而使組網(wǎng)方式愈加靈活，可以滿足此后網(wǎng)絡發(fā)展的需要，保護顧客投資。完善的QoS無線控制器支持Diff-Serv原則包括流分類、流量監(jiān)管（Policing）、隊列管理、隊列調度（Scheduling）等，完整實現(xiàn)了原則中定義的EF、AF1～AF4、BE等六組PHB及業(yè)務，可為顧客提供具有不一樣服務質量等級的服務保證，真正成為同步承載數(shù)據(jù)、語音和視頻業(yè)務的綜合網(wǎng)絡。有線無線一體化的網(wǎng)管系統(tǒng)采用同一品牌的互換機和無線局域網(wǎng)產品，通過配置1套網(wǎng)絡管理系統(tǒng)，即可實既有線無線一體化的管理。網(wǎng)絡安全性設計校園網(wǎng)絡承載多種業(yè)務系統(tǒng)，并實現(xiàn)與外界網(wǎng)絡的互聯(lián)互通，為保證業(yè)務系統(tǒng)的安全性，需根據(jù)不一樣的業(yè)務類型，采用對應的安全措施。在校園網(wǎng)絡建設中，網(wǎng)絡安全建設重要包括如下幾大部分：對重點區(qū)域的安全隔離和訪問控制，通過增長防火墻，實現(xiàn)對業(yè)務系統(tǒng)資源和外部網(wǎng)絡安全隔離和訪問權限的控制。網(wǎng)絡出口布署應用控制網(wǎng)關，實現(xiàn)對校園網(wǎng)顧客的行為審計和監(jiān)管。通過配置互換機所具有的安全功能，加強的網(wǎng)絡的安全控制。重要安全區(qū)域隔離為使網(wǎng)絡可以制止、檢測由面向學生開放的業(yè)務資源、校外其他顧客發(fā)起的異常流量和襲擊，對數(shù)據(jù)中心和網(wǎng)絡出口等重要區(qū)域進行保護，網(wǎng)絡設計時使用防火墻實現(xiàn)各區(qū)域的安全隔離,參見下圖：通過在關鍵互換機增長防火墻模塊，同步為數(shù)據(jù)中心和網(wǎng)絡出口提供安全區(qū)域隔離和安全保護.防火墻模塊具有虛擬防火墻、虛擬接口等特點，提供高達6Gbps處理性能，并充足運用關鍵互換機的高可靠性，為保證系統(tǒng)的可靠性，并分別在兩臺中心互換機上配置防火墻模塊，實現(xiàn)防火墻的負載分擔和冗余備份。出口帶寬監(jiān)管校園網(wǎng)絡應用層出不窮，在大大提高了顧客的工作效率的同步也帶來許多負面影響，針對顧客行為控制的處理方案，需要可以處理如下問題：顧客通過P2P下載電影導致網(wǎng)絡速度變慢，怎么處理顧客在BBS上公布違法帖子，違反信息安全規(guī)定顧客工作時間炒股、打游戲、聊天導致工作效率的下降，怎么處理顧客訪問非法網(wǎng)站易感染病毒，怎樣控制校園網(wǎng)絡出口通過間布署一臺SecPathACG網(wǎng)關，通過在ACG應用控制網(wǎng)關，可精確識別BT、電驢、迅雷、MSN、QQ、YahooMessenger、PPLive等近百種P2P/IM應用，可基于時間、顧客、區(qū)域、應用協(xié)議，通過告警、限速、阻斷等手段進行靈活控制，保證網(wǎng)速的正常和業(yè)務不被影響。ACG采用先進的分析技術，能對網(wǎng)絡多媒體、網(wǎng)絡游戲、炒股等應用進行識別與控制，通過URL過濾、關鍵字過濾、內容過濾等多種訪問控制方略，控制非法應用，過濾非法網(wǎng)站，規(guī)范顧客上網(wǎng)行為，提高員工工作效率。同步，ACG可以如下審計功能:WEB應用審計——URL；源、目的IP；訪問時間等應用審計——登錄名；上傳或下載文獻名；源、目的IP；訪問時間等Email應用審計——POP3和SMTP收發(fā)郵件的郵件名、發(fā)件人、收件人等；不支持WEBMail的審計NAT日志審計——NAT前后的IP、端口號；時間等；需要與U200或F1000E等支持FLOW3.0日志的設備配合網(wǎng)絡安全保護對于校園網(wǎng)大型應用以太網(wǎng)互換機的系統(tǒng)，網(wǎng)絡的安全特性非常重要，因以太網(wǎng)工作原理的限制，互換式網(wǎng)絡輕易導致MAC、IP等安全的襲擊。對此，需通過互換機的安全特性加以防護。本次選用的關鍵互換機、匯聚互換機和接入互換機具有豐富的安全特性，可以處理網(wǎng)絡中存在的安全問題，詳細參見下表：襲擊類型襲擊行為互換機安全防備特性關鍵互換機匯聚

互換機接入互換機資源耗盡型襲擊MAC表襲擊端口MAC數(shù)限制具有具有具有嚴禁某個VLAN的MAC地址學習＋靜態(tài)MAC表具有具有具有端口安全具有具有具有MAC+IP+端口綁定,

端口安全中的1個特性具有具有具有DHCPDOS襲擊DHCPRelayOption82具有具有具有DHCPSnoopingOption82具有具有具有DHCP報文限速具有具有具有CPU惡意沖擊ARP限速具有具有具有防備襲擊的其他特性廣播風暴克制具有具有具有環(huán)路檢測具有具有具有安全準入特性具有具有具有802.1x具有具有具有端口安全特性具有具有具有假冒偽裝型襲擊ARP欺騙襲擊ARP入侵檢測具有具有具有端口隔離具有具有具有Isolate-User-VLAN具有具有具有MAC/IP欺騙襲擊DHCPrelaySecurity具有具有具有IP源地址保護具有具有具有DHCP服務器欺騙襲擊DHCPSnoopingTrust具有具有具有根橋偽裝襲擊STP根保護具有具有具有BPDU保護具有具有具有TCN襲擊TC-BPDU報文非立即處理機制具有具有具有路由源偽裝襲擊OSPF/RIP路由MD5驗證具有具有二層，不具有設備控制權襲擊顧客信息嗅探SSH2.0具有具有具有SNMPv3具有具有具有SFTP具有具有具有管理人員泄密遠程管理終端限制(TelnetVTY配置ACL)具有具有具有顧客分級具有具有具有暴力嘗試襲擊遠程管理終端限制(TelnetVTY配置ACL)具有具有具有在顧客接入安全控制，設計時采用如下針對性的措施處理如下MAC、IP地址的安全問題。1、通過接入層互換機進行IP、MAC、端口的綁定或認證系統(tǒng)的實行，處理IP地址沖突和IP地址欺騙。2、接入層互換機啟用ARP檢測特性，處理ARP襲擊和欺騙的問題。3、接入層互換機啟用DHCP安全特性，處理顧客私自架設非法DHCP服務器的問題。4、在防火墻或路由互換機通過IPSourceGuard以及URPF特性上處理偽造IP源地址襲擊。5、互換機啟用ARP報文限制，處理導致互換機或客戶端ARP表溢出或DHCP服務器地址耗盡的問題。6、通過網(wǎng)絡管理系統(tǒng)，實目前網(wǎng)絡維護和故障處理時，可迅速查找、定位和隔離發(fā)生故障的互換機所有的端口。網(wǎng)絡可靠性設計各業(yè)務系統(tǒng)的安全運行，對網(wǎng)絡系統(tǒng)的可靠性提出了很高的規(guī)定。因此在網(wǎng)絡的設計實行中必須對網(wǎng)絡的可靠性進行詳盡的考慮和設計。網(wǎng)絡系統(tǒng)的可靠性包括設備和鏈路冗余、數(shù)據(jù)鏈路層穩(wěn)定性以及網(wǎng)絡層穩(wěn)定性三大方面。物理設備和鏈路穩(wěn)定性網(wǎng)絡構造的可靠性校園網(wǎng)絡設計首先從網(wǎng)絡構造上保證了高可靠性和高冗余性：1)網(wǎng)絡關鍵層和數(shù)據(jù)中心采用雙機冗余架構設計，通過路由協(xié)議、不間斷路由等技術配合實現(xiàn)可靠性；2)網(wǎng)絡關鍵層和數(shù)據(jù)中心設備間互聯(lián)所有采用雙或多鏈路互聯(lián)，配合路由協(xié)議、VRRP、MSTP等技術實現(xiàn)局域網(wǎng)絡的可靠性。設備級冗余性設計網(wǎng)絡關鍵節(jié)點設備的可靠是保證整個網(wǎng)絡的有效運轉的關鍵所在。要保證網(wǎng)絡平臺的可靠性，必須要選用品有電信級可靠性的網(wǎng)絡設備進行組網(wǎng)，才能使網(wǎng)絡具有自動恢復能力、減少人工維護工作，到達電信級的可靠運行。網(wǎng)絡關鍵設備必須具有電信級可靠性網(wǎng)絡中的關鍵設備，如關鍵路由器等，應當具有電信級可靠性：可靠性指標必須到達99.999%。網(wǎng)絡關鍵設備采用全分布式體系構造，路由與轉發(fā)分離。所有關鍵器件，如主控板、電源等都采用冗余設計，業(yè)務模塊支持熱插拔。網(wǎng)絡關鍵設備支持不間斷轉發(fā)，主控板熱備份。主備倒換過程不影響業(yè)務轉發(fā)，不丟包。網(wǎng)絡關鍵設備支持軟件在線升級，升級過程中業(yè)務不中斷。網(wǎng)絡關鍵設備支持軟件熱補丁，打補丁過程中主控板和接口板都不需要重啟動，業(yè)務不中斷。校園網(wǎng)絡中所采用的關鍵互換機和數(shù)據(jù)中心互換機S7500E等設備具有強大的設備級可靠性保證：1、采用分布式體系構造：S7500E采用分布式體系構造，與集中式體系設備相比較，分布式體系設備除性能可以通過插入更多的接口處理板提高整體性能外，更為關鍵的是將管理、路由轉發(fā)、接口處理等功能分派在不一樣的部件上，協(xié)同工作，分布式體系可以分散故障風險、隔離故障、提供冗余配置，提高系統(tǒng)的自動恢復能力；如管理部件故障，只需要更換這部分板件，不影響其他功能。2、關鍵部件冗余：S7500E采用分布式體系下，對設備的關鍵部件，如主控管理單元、互換轉發(fā)單元等，進行冗余構造配置，保證系統(tǒng)在工作中不會所有失效。3、實時熱備份機制：在系統(tǒng)軟件及硬件的支持下，關鍵部件在發(fā)生故障能自動啟動備份系統(tǒng)，并且主備之間的切換要可以實時熱倒換，即運行中雖然發(fā)生設備故障切換也不會對網(wǎng)絡業(yè)務導致影響。4、熱插拔特性：S7500E任意單板均支持熱插拔特性，保證系統(tǒng)出現(xiàn)故障需要維護，或系統(tǒng)需要升級擴展時，不需要停機處理，保證網(wǎng)絡的7×24小時不間斷運行。5、冗余電源支持：S7500E能提供冗余電源負載分擔及備份供電，保障系統(tǒng)具有可靠的能量源。6、散熱系統(tǒng)：S7500E的散熱系統(tǒng)使設備可以長時間穩(wěn)定運行而不至由于系統(tǒng)升溫過高出現(xiàn)故障，冗余風扇等散熱裝置可以增長設備的運行時間及減少故障發(fā)生。鏈路冗余配置校園網(wǎng)絡關鍵與匯聚、關鍵與數(shù)據(jù)中心之間采用多條鏈路互聯(lián)，通過路由協(xié)議的ECMP多鏈路分擔和切換等特點，實現(xiàn)多鏈路之間的互為冗余備份。數(shù)據(jù)鏈路層穩(wěn)定性設計接入互換機與匯聚互換機之間為二層鏈路互聯(lián)，為防止二層環(huán)路的發(fā)生，需運行生成樹協(xié)議，在詳細的布署過程中，為實現(xiàn)鏈路的迅速切換以及保障網(wǎng)絡的穩(wěn)定性，可綜合實行MSTP生成樹、生成樹邊緣端口、鏈路單向檢測等技術。網(wǎng)絡布署MSTP通過運行MSTP生成樹協(xié)議，可以處理因拓撲變化STP重新計算引起的局部網(wǎng)絡中斷問題以及因某個VLAN拓撲變化引起整個STP重新計算的問題。MSTP（MultipleSpanningTreeProtocol，多生成樹協(xié)議）可以彌補STP和RSTP的缺陷，它既可以迅速收斂，也能使不一樣VLAN的流量沿各自的途徑轉發(fā)，從而為冗余鏈路提供了更好的負載分擔機制。MSTP的特點如下：MSTP設置VLAN映射表（即VLAN和生成樹的對應關系表），把VLAN和生成樹聯(lián)絡起來。通過增長“實例”（將多種VLAN整合到一種集合中）這個概念，將多種VLAN捆綁到一種實例中，以節(jié)省通信開銷和資源占用率。MSTP把一種互換網(wǎng)絡劃提成多種域，每個域內形成多棵生成樹，生成樹之間彼此獨立。MSTP將環(huán)路網(wǎng)絡修剪成為一種無環(huán)的樹型網(wǎng)絡，防止報文在環(huán)路網(wǎng)絡中的增生和無限循環(huán)，同步還提供了數(shù)據(jù)轉發(fā)的多種冗余途徑，在數(shù)據(jù)轉發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負載分擔。MSTP兼容STP和RSTP。生成樹邊緣端口接入互換機的端口設為生成樹的邊緣端口,通過此種措施，可以防止終端設備接入時，發(fā)生由于STP狀態(tài)變化引起的延時連通現(xiàn)象。在運行生成樹的網(wǎng)絡中，當網(wǎng)絡拓撲變化時，邊緣端口不會產生臨時環(huán)路。因此，顧客假如將某個端口指定為邊緣端口，那么當該端口由堵塞狀態(tài)向轉發(fā)狀態(tài)遷移時，這個端口可以實現(xiàn)迅速遷移，而無需等待延遲時間。DLDP技術運用校園網(wǎng)絡中提議選用的互換機均具有DLDP（DeviceLinkDetectionProtocol，設備連接檢測協(xié)議），實現(xiàn)光纖單向失效檢測（即收發(fā)兩方向上的一對光纖中有一根失效），處理因光纖單向鏈路失效引起反復的STP和OSPF計算帶來的性能和連通性問題。DLDP協(xié)議有如下特點：DLDP是鏈路層協(xié)議，它與物理層協(xié)議協(xié)同工作來監(jiān)控設備的鏈路狀態(tài)。物理層的自動協(xié)商機制進行物理信號和故障的檢測；DLDP進行對端設備的識別、單向鏈路的識別和關閉不可達端口等工作。當使能自動協(xié)商機制和DLDP后，兩者協(xié)同工作，可以檢測和關閉物理和邏輯的單向連接，并制止其他協(xié)議（如：STP協(xié)議）的失效。假如兩端鏈路在物理層都能獨立正常工作，DLDP會在鏈路層檢測這些鏈路與否對的連接、兩端與否可以對的的交互報文。這種檢測不能通過自動協(xié)商機制實現(xiàn)。網(wǎng)絡層穩(wěn)定性設計在校園網(wǎng)的數(shù)據(jù)中心，兩臺互換機之間采用VRRP為業(yè)務服務器、提供高可靠的接入服務。在校園網(wǎng)的數(shù)據(jù)中心，業(yè)務服務器IP網(wǎng)關設在數(shù)據(jù)中心互換機，在組網(wǎng)中，兩臺S7502E之間運行VRRP協(xié)議。虛擬路由冗余協(xié)議VirtualRouterRedundancyProtocol(VRRP)在國際原則RFC3768定義，被眾多網(wǎng)絡設備廠商所支持。虛擬路由冗余協(xié)議對共享多存取訪問介質（如以太網(wǎng)）上終端IP設備的默認網(wǎng)關(Default

Gateway)進行冗余備份，從而在其中一臺路由設備宕機時，備份路由設備及時接管轉發(fā)工作，向顧客提供透明的切換，提高了網(wǎng)絡服務質量。

網(wǎng)絡管理設計校園信息化系統(tǒng)是一種波及多種廠家、多種類型設備的復雜系統(tǒng)，作為整個系統(tǒng)的承載層，網(wǎng)絡平臺必須具有良好的可維護性。在管理方面，我們采用基于H3C智能管理中心的管理系統(tǒng)，實現(xiàn)對校園網(wǎng)絡的統(tǒng)一管理，可以以便的對系統(tǒng)進行維護，實現(xiàn)迅速的故障定位。H3CIMC智能管理中心基于SOA架構，采用B/S平臺以及分布式、組件化、跨平臺的開放體系構造，根據(jù)據(jù)根不一樣的業(yè)務需求選擇安裝不一樣的業(yè)務組件，可以實現(xiàn)設備管理、拓撲管理、告警管理、性能管理、軟件升級管理、配置文獻管理等多種管理功能。H3CiMC采用B/S架構，更為以便的通過遠程方式對網(wǎng)絡的狀態(tài)進行監(jiān)控和維護，運維人員可以采用IE瀏覽器，通過顧客名/密碼遠程登錄系統(tǒng)進行維護，同步，H3CiMC還可以實現(xiàn)顧客分權限、設備分組的管理，不一樣的級別管理人員可對設備進行多種類型的操作，并且還可以限制可以管理的設備。H3CiMC不僅可以獨立提供完整的網(wǎng)絡管理平臺，還可以與OpenView、SNMPc多種主流通用網(wǎng)管平臺靈活集成；不僅可以管理H3C企業(yè)的全線數(shù)據(jù)通信設備，還可以通過原則MIB管理CISCO、3COM等各主流廠商的數(shù)據(jù)通訊設備。通過布署H3CiMC網(wǎng)管系統(tǒng)，可以實現(xiàn)如下運行維護管理功能。資源管理iMC資源管理與拓撲管理作為整體共同為顧客提供網(wǎng)絡資源的管理。網(wǎng)絡自動發(fā)現(xiàn)可以通過設置種子的簡易方式、路由方式、ARP方式、IPSecVPN、網(wǎng)段方式等五種自動發(fā)現(xiàn)方式自學習網(wǎng)絡資源及網(wǎng)絡拓撲，自動識別包括：路由器、互換機、安全網(wǎng)關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、服務器、PC在內的多種類型網(wǎng)絡設備；網(wǎng)絡手工管理可以手工添加、刪除網(wǎng)絡設備，可以批量導入、導出網(wǎng)絡設備，批量配置Telnet、SNMP參數(shù)，以及批量校驗Telnet參數(shù)等輔助功能；網(wǎng)絡視圖管理支持IP視圖、設備視圖、自定義視圖、下級網(wǎng)絡管理視圖等多種管理視圖，顧客可以從不一樣角度實現(xiàn)整個網(wǎng)絡的管理；網(wǎng)絡設備的管理從任何一種網(wǎng)絡視圖入口，都可以實現(xiàn)對網(wǎng)絡設備的管理，包括：支持對設備的管理/去管理、接口的管理/去管理、設備的詳細信息顯示和接口詳細信息顯示、設備和接口實時告警狀態(tài)、設備和接口的實時性能狀態(tài)、實時檢測存在故障的設備等，顧客可以以便的實現(xiàn)所有設備的管理；設備及業(yè)務管理系統(tǒng)的集成管理支持對H3C、CISCO、3COM等重要廠家設備的管理，支持手工添加設備廠商、設備系列及設備型號；支持設備面板管理的動態(tài)注冊機制，實現(xiàn)與各廠家設備管理系統(tǒng)的有效集成；支持拓撲定位、ACL、VLAN、QoS等業(yè)務管理系統(tǒng)的集成，實現(xiàn)設備資源的統(tǒng)一管理；設備分組權限管理支持設備分組功能，通過對設備資源進行分組管理，系統(tǒng)管理員以便的分派其他管理員的管理權限，便于職責分離；拓撲管理iMC拓撲管理從網(wǎng)絡拓撲的處理直觀的提供應顧客對整個網(wǎng)絡及網(wǎng)絡設備資源的管理。拓撲自動發(fā)現(xiàn)H3CiMC可以自動發(fā)現(xiàn)網(wǎng)絡拓撲構造，支持全網(wǎng)設備的統(tǒng)一拓撲視圖，通過視圖導航樹提供視圖間的迅速導航。通過自動發(fā)現(xiàn)可以發(fā)現(xiàn)網(wǎng)絡中的所有設備及網(wǎng)絡構造（詳細參見資源管理），并且可以將非SNMP設備發(fā)現(xiàn)出來，只要設備可以ping通即可。這樣就可以將所有網(wǎng)絡設備都列入其管理范圍（只要設備IP可達）。同步支持自動的拓撲圖展現(xiàn)和自定義拓撲。自動拓撲可以自動將網(wǎng)絡中的邏輯連接關系顯示出來，同步可以保留為自定義拓撲圖并可根據(jù)詳細狀況進行修改以便于網(wǎng)管員對整個網(wǎng)絡設備的監(jiān)控。支持對全網(wǎng)設備和連接定期輪詢和狀態(tài)刷新，實時理解整個網(wǎng)絡的運行狀況，并且刷新周期是可定制（刷新周期：60～7200秒），同步也支持對多種設備的刷新周期進行批量配置的功能。支持自定義拓撲老式的網(wǎng)絡管理軟件大多支持自動發(fā)現(xiàn)網(wǎng)絡拓撲的功能，不過自動發(fā)現(xiàn)后的網(wǎng)絡拓撲往往是諸多設備圖標的簡樸排放，不能突出重點設備和網(wǎng)絡層次，使網(wǎng)絡管理人員感覺無從下手。針對這種狀況，H3CiMC的拓撲功能支持靈活的自定義功能，管理人員可以根據(jù)網(wǎng)絡的實際組網(wǎng)狀況和設備重要性的不一樣靈活定制網(wǎng)絡拓撲，可對拓撲圖進行增、刪、改等編輯操作，使網(wǎng)絡拓撲可以清晰地展現(xiàn)整個企業(yè)的網(wǎng)絡構造以及IT資源分布。H3CiMC支持靈活定制拓撲圖，使網(wǎng)絡拓撲更有重點和層次感。管理員可以按照關注設備不一樣，管理角度不一樣定義多種拓撲，并可以針對拓撲不一樣選擇不一樣的背景圖；管理員可以根據(jù)網(wǎng)絡設備的重要性不一樣，鏈路速率不一樣采用合適的圖標顯示。自動識別多種網(wǎng)絡設備和主機的類型H3CiMC可以自動識別H3C、華為、Cisco、3com等廠商的設備、Windows、Solaris的PC和工作站、其他SNMP設備和ping設備，并且以樹形方式組織，以不一樣的圖標顯示辨別。在拓撲圖上更可深入對設備的類型進行辨別，如辨別路由器、互換機、安全網(wǎng)關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、服務器、PC等等。設備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓撲圖上的直觀顯示H3CiMC的拓撲功能與故障管理和性能管理緊密融合，使拓撲圖可以清晰地看到企業(yè)IT資源的狀態(tài)，包括運行與否正常、網(wǎng)絡帶寬、接口連通、配置變化都能一目了然。多種顏色辨別不一樣級別故障，根據(jù)節(jié)點圖標顏色反應設備狀態(tài)。拓撲能提供設備管理便捷入口H3CiMC拓撲可以提供對設備管理的便捷入口，管理員只需通過右鍵點擊拓撲圖中的設備圖標即可啟動設備管理各項功能，實現(xiàn)對設備的面板管理等各項功能配置。故障（告警/事件）管理故障管理，即告警/事件管理，是H3CiMC的關鍵模塊，是iMC智能管理平臺及其他業(yè)務組件統(tǒng)一的告警中心。如下圖所示，以故障管理流程為引導，簡介H3CiMC強大的故障管理能力：告警發(fā)現(xiàn)和上報iMC告警中心可以按收多種告警源的告警事件，包括設備告警、本級網(wǎng)管站及下級網(wǎng)管站告警、網(wǎng)絡性能監(jiān)視告警、網(wǎng)絡配置監(jiān)視告警、網(wǎng)絡流量異常監(jiān)視告警、終端安全異常告警等；同步通過支持對設備定期輪詢，實現(xiàn)通斷告警、響應時間告警等，以告警事件的方式上報給H3CiMC告警中心；設備告警包括電源電壓、設備溫度、風扇等告警事件，設備冷啟動、熱啟動、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）變化，熱備份路由（HSRP）狀態(tài)變化等告警事件，支持對H3C、CISCO、華為、3COM等多廠商設備告警的識別和解析；網(wǎng)管站告警指包括本級iMC系統(tǒng)集群服務器的異常告警，包括CPU運用率、內存使用率、iMC服務程序運行狀態(tài)等以及下級iMC系統(tǒng)上報的告警事件；網(wǎng)絡性能監(jiān)視包括CPU運用率，內存使用率，以及RMON告警的故障管理。網(wǎng)絡配置監(jiān)視告警包括設備軟件版本、配置信息變更等告警事件，并通過iMC智能配置中心組件（iMCiCC）實現(xiàn)配置文獻定期檢查，實現(xiàn)配置變更告警事件。網(wǎng)絡流量異常監(jiān)視告警通過iMC網(wǎng)絡流量分析組件（iMCNTA）實現(xiàn)網(wǎng)絡中異常流量告警，包括對設備及接口異常流量、主機IP地址異常流量和應用異常流量的告警，支持二級閾值告警定義；終端安全異常告警通過iMC端點準入防御組件（iMCEAD）實現(xiàn)對終端顧客安全異常的告警，包括ARP襲擊告警、終端異常流量告警及其他終端不安全告警；iMC定期輪詢告警指通過iMC的資源管理模塊對設備接口信息定期進行輪循，并及時上報通斷告警、響應時間告警等告警事件。告警深度關聯(lián)分析與記錄iMC告警中心根據(jù)告警腳本中的告警事件定義，接受并解析上報的告警事件；H3CiMC對接受到的告警事件進行深度關聯(lián)分析，系統(tǒng)缺省支持反復事件閾值告警、閃斷事件閾值告警、未知事件閾值告警、未管理設備告警閾值告警，并能在故障恢復時自動確認有關告警；同步顧客可以根據(jù)自己的需要確定事件的告警規(guī)則，以適應網(wǎng)絡管理需要。反復事件閾值告警：屏蔽反復接受到的相似事件，并可在到達閾值條件時產生新告警告知顧客。閃斷事件閾值告警：分析接受到的閃斷事件，并可在到達閾值條件時產生新告警告知顧客。未知事件閾值告警：屏蔽接受到的未知事件，并可在到達閾值條件時產生新告警告知顧客。未管理設備告警閾值告警：屏蔽接受到的未管理設備事件，并可在到達閾值條件時產生新告警告知顧客。自定義事件過濾規(guī)則：顧客自定義的事件過濾規(guī)則，顧客可指定在什么時間范圍內、對什么樣的告警進行過濾。iMC系統(tǒng)預定義缺省支持各類深度分析后告警事件關聯(lián)升級為告警的生成規(guī)則，同步，管理員可以自定義由告警事件升級為告警的規(guī)則，可從事件、事件關鍵字、事件源、時間范圍四個方面進行規(guī)則定義，一旦定義事件升級為告警規(guī)則后，iMC告警中心會根據(jù)定義的規(guī)則關聯(lián)分析后生成不一樣級別的告警（告警共提成緊急、重要、次要、警告、事件5個級別；在瀏覽數(shù)據(jù)窗口，分別以紅色、橙色、黃色、藍色、灰色五種顏色進行顯示），將管理員從繁多的告警事件中解脫出來，防止產生告警風暴，讓管理員能專心關注告警的本源。實時告警H3CiMC提供多種方式將告警告知給管理員，包括：實時遠程告警：通過手機短信或Email郵件的方式，將告警及時告知管理員，實現(xiàn)遠程網(wǎng)絡的監(jiān)控和管理；分類、聲光告警板，按故障類別及等級實時告警，讓管理員通過告警板不僅及時懂得告警產生，同步可以理解產生的告警的類別和等級：實時告警瀏覽和確認，通過告警首頁對目前故障未排除的告警實時刷新并提供故障排除確認的入口：故障處理H3CiMC對多種故障警均提供“修復提議”，管理員可以參照修復提議對故障進行處理。在故障得到處理后，通過對告警確實認完畢故障的恢復確認。固化經驗H3CiMC提供告警知識庫。告警知識是顧客在維護過程中的經驗總結，將這些經驗輸入系統(tǒng)，下次再出現(xiàn)同樣的故障時，可以作為參照。顧客選中一條告警記錄，系統(tǒng)根據(jù)顧客選中的告警記錄，從告警知識庫中查詢出該條告警記錄的維護經驗，供顧客進行告警處理進行參照。顧客將自己的平常處理經驗以及業(yè)務信息及時寫入數(shù)據(jù)庫、更新告警知識庫對后來的故障診斷與排除非常有益。性能管理H3CiMC網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同步以直觀的方式顯示給顧客。例如：可以提供折線圖、方圖、餅圖等多種顯示方式并能生成對應的報表。通過性能任務的配置，可自動獲得網(wǎng)絡的多種目前性能