第组网络系统设计方案.doc

2005年XXX大通关平台环境及网络建设采购项目之网络系统方案设计目录一、 前言我们的方案将对当前网络结构进行改造，更新7个分支局路由器设备；购买防毒墙，部署在各局LAN出口处，把全省的网络分成独立的病毒防范区域，提高安全能力；升级7个分支局的主交换机，选择满足招标性能指标的、高性价比的国内市场前三位的知名产品。根据机房的综合布线情况和实际网络需求，进行网络统一规划，统一规划IP地址，提出详细的网络设计方案与产品配置建议。同时我们将统一规划网络管理，提出合理的网络管理策略，对网络安全提出具体的组织管理和技术管理建议。二、 需求分析网络规模目前，浙江检验检疫广域网以省局的两台Cisco 7206为核心，每台配置一个STM-1的信道化的155M光纤端口，到各分支局采用2条2M的SDH数字电路，全网核心设备互为备份，线路负载均衡，具有较高的可靠性。但是，地区局只有四个局采用了Cisco3845路由器，其他局采用的是Cisco2500、2600等低端设备，性能低下，需更换成高性能的路由器。各局之间无安全防范设备，导致冲击波等蠕虫病毒迅速全网扩散，严重影响网络正常运转。地区局的核心交换设备采购于2000年，部分端口不能正常工作，而且不满足目前数据通讯需要，甚至部分设备时常发生故障。全省部署了趋势防病毒系统，通过TMCM统一管理。另外，省局网络中心局域网关键设备有两套Nortel 8610、两套防火墙NetScreen ISG2000。根据用户的需要我们做对网络系统做如下更新：a) 更新7个分支局路由器设备。b) 购买防毒墙，部署在各局LAN出口处，把全省的网络分成独立的病毒防范区域，提高安全能力。c) 升级7个分支局的主交换机，选择满足招标性能指标的、高性价比的国内市场前三位的知名产品。d) 实施省内7个分支局的路由器和交换机部署、现场培训。e) 实施全省防毒墙的部署、现场培训。用户需求本项目是一个系统集成项目，投标人应在对本标书中所列出的技术要求全面分析和理解的基础上，同时考虑浙江检验检疫局业务平台软硬件环境，按照系统观点提供所需软件、硬件设备、各种配件、组件和线缆等（包括未在招标货物需求一览表中列明但必须的组件）。为便于系统集成、维护和管理，在保证系统最优化的前提下，应尽量保证所选用的同类和/或相关类软硬件产品生产厂家的一致性，并尽可能与现有关键设备的生产厂家保持良好的兼容性。2、 投标人应充分理解业主的需求，提出系统集成方案和软硬件配备方案。投标人应保证系统能够集成和实际运行，如果招标文件的要求与此发生冲突，或投标人认为必需的设备或软件而本招标文件没有规定，投标人应向招标人或招标代理机构提出书面质疑。3、 系统必须有较强的容错能力和故障恢复能力，投标人应对此做出明确的方案说明。4、 投标人必须对所投包中所涉及的软硬件产品，提供系统集成方案。系统集成方案应包括具体服务内容、实现方法、实施计划和价格。系统集成既要考虑到各个系统的相关性，又要突出本系统的特点，并且保证能够与其他应用系统的顺利衔接。在系统集成方案中，要列出所有详细的实施步骤及相关要求，各项实施任务要有明确的目标与时间安排，列出实施的必要前提条件，列出详细的、有根据的项目实施人员工作量，要求层次清晰，可行性、可操作性高，有时间保证，责任要明确。安全需求1、应在合理的网络拓扑结构基础上规划以及生产网络安全系统，应对网络协议和应用透明。避免由于安全设计和实现带来的不必要的性能、连接、策略、响应等方而的漏洞和不安全因素，并由此产生的对系统性能、稳定性和可靠性方面的影响；2、防止其他网络的非授权用户或非法用户进入生产内网；3、防止基于Microsoft、linux操作系统的办公内网感染的计算机病毒，如：蠕虫或木马程序等，传播到生产内网，导致大通关生产网瘫痪，影响到整个业务系统的安全；4、阻止内部用户或外网用户对大通关等生产应用系统、数据库系统以及业务应用等系统的非授权连接和访问；5、最终的网络安全系统应易操作、易维护，具有自动控制能力，最大程度的降低人为介入所造成的安全风险和管理复杂度的增加。6、与目前全省部署的防病毒系统兼容，能够统一管理。运营需求1）网络故障采集方式支持ICMP Ping、SNMP Trap 监控方式。2）可以自动连续收集系统的运行性能信息并对这些信息进行分析处理，所有数据可提供给用户进行历史性分析，以定位系统瓶颈和故障。对引起网络工作效率及功能部分下降时提出告警信息，严重下降时则由故障管理处理。3）可以实现故障事件的集中管理。应有对事件的可重定向的传递功能，使所有或某一类事件转发至特定的事件主控台，从而实现对事件的集中管理。4）可以实现对事件的过滤及分类。应能通过定义(例如根据事件的来源、类型、告警级别等)实现对事件主控台所收到的事件的过滤和分类并传递事件至上级事件主控台；可以按照设置，自动抑制重复事件，减少系统负载。5）可以根据要求，实现对所收集到的事件的自动处理，例如收到一特定事件信息时，系统能自动执行一个或一组动作，动作可以是各种方式（醒目信息显示、声音报警、自动拨通电话或手机短信前转等）。管理需求1）支持网络节点的二层、三层的自动发现，网络拓扑结构的自动生成及实时更新。对于自动发现的网络设备和不同平台的主机以不同的图标显示出来，便于直观的观察和监控。对于无法自动识别生产厂家及产品类型的网络和主机设备，应提供手工方式加以定义。2）拓扑图能够显示设备、线路的类型，线路及设备的通断情况。故障设备和线路能够清楚地在拓扑图上显示。3）可以基于被管理对象的状态调整参数采集的频率和密度。4）拓扑结构能显示出TCP/IP 广域连接设备、线路和本地局域网的运行状态，在需要时以主动、实时方式查看从本级网络一直到二级网络末端节点的连接情况。5）对设备的扩展MIB 进行加载。性能需求网络性能管理应该体现网络中链路的实时流量，并能保存历史流量，同时还应包含流量分析功能。它可以使管理人员能够全面监控关键网络内的各种资源, 及时获得资源使用的状况,在系统问题恶化之前,就可解决问题，同时也可作为管理人员对于网络调优、设备扩容时的重要依据。1）实时性能监测内容：菜单方式启动实时网络性能监测，包括物理端口、逻辑端口的数据流量，CPU、内存的利用率，以及丢包、冲突等，并能够以数字或图表方式打印输出。可以直接显示某个用户访问网络的全路径，以找出正在使用关键的网络资源的用户或引起网络性能问题的用户。2）在拓扑图中，能以链路线的粗细来显示网络流量情况；3）链路旁边使用提示信息来显示网络流量的具体数值（包括利用率）；4）通过弹出窗口或者闪烁的方式来显示流量告警情况；5）用户可以点击某条链路来显示其详细的链路和流量状况；6）流量数据实时更新，更新间隔可配置；7）能够显示实时的流量趋势图；8）性能展示自动关联拓扑图的变更9）后台周期性能统计：后台以周、月、季、半年、全年为周期采集网络性能数据，包括物理端口、逻辑端口、CPU、内存的平均利用率，以及丢包、冲突等。在需要时自定义采样点及采集周期，分别对上述内容进行后台数据统计，便于分析一天中或一段时间内的数据通讯走势。监测统计结果能够以定制的数字或图表方式打印输出以及通过浏览器方式查询。网络需求1、网络的设计与设备选型配置充分考虑实施、管理、维护的需要，保证系统成功实施，正常运行；2、根据机房的综合布线情况和实际网络需求，进行网络统一规划，统一规划IP地址，提出详细的网络设计方案与产品配置建议；3、采用主流的网络产品和技术，设计合理的局域网络系统平台，可适应总局机房布线工程的需要，提供多种类型的端口连接并满足带宽增长的需要；4、统一规划网络管理，提出合理的网络管理策略，对网络安全提出具体的组织管理和技术管理建议；5、统一规划各分支局核心层交换网络的STP，提出合理的Spanning tree的规划方案与实施计划。6、整个网络系统的新购置设备应具有良好的平台兼容性，必须实现与省局现有的Cisco7206平滑连接，实现专网上的MPLS、VPN、QoS等。三、网络总体方案设计1 网络设计的基本原则技术先进性、性能超前的原则计算机网络技术的发展非常迅速，在计算机应用领域占有越来越重要的地位。必须认识到，建立计算机网络是一个动态的过程，在这个过程中将不断有新技术产生，有新产品出现。因此,一定要采用最先进的组网技术，选用代表当今世界潮流趋势的计算机公司的网络产品，才能在未来的发展中保持技术领先。国际标准及开放性现代网络技术的发展趋势是遵循国际统一标准的开放系统、支持分布式计算和客户机/计算机，运行多种网络操作系统、网络协议，兼容其他厂商的网络产品，遵守国际标准的开放式系统。这样，才能在未来的发展中保持网络配置和应用模式的灵活性。充足的、可扩展的带宽随着应用软件复杂程度的增加，网络用户数量的增长以及多媒体技术的普及，当今网络对带宽的需求日益增加。传统的共享式10M/16M网络已不能满足需求。网络系统应该能为用户提供足够的带宽，满足用户的实际应用需求，并且带宽应该是动态可调整、可扩展的。安全可靠性网络的安全可靠性是网络的一个重要的指标。计算机网络系统必须绝对可靠，网络设计必须可靠性重点考虑。从结构设计、产品选择以及网络管理上要对网络的可靠性作出保证。安全性与可靠性同样重要，除了系统提供多种安全控制的手段外，网络设计也要提供保障其安全的手段。网络可管理网络系统有限公司的网络是一条信息公路，设计时必须提供足够的手段对信息公路进行方便的管理，以确保其始终保持在最佳状态下运行。没有网络管理功能将很难保证系统的正常运行。实用性网络设计一定要充分保护网络系统现有资源。同时要根据实际情况，采用新技术和新装备，还需要考虑组网过程要与平台建设及开发同步进行，建立一个实用的网络。力求使网络既满足目前需要，又能适应未来发展，同时达到较好的性能/价格比。低成本性原则用最少的钱办最多最好的事买得起马配得起鞍2 模块化、层次化的设计原则2.1 模块化原则：模块化设计的原则是力求以少数模块组成尽可能多的产品，并在满足要求的基础上使产品精度高、性能稳定、结构简单、成本低廉，且模块结构应尽量简单、规范，模块间的联系尽可能简单。因此，如何科学地、有节制地划分模块，是模块化设计中很具有艺术性的一项工作，既要照顾制造管理方便，具有较大的灵活性，避免组合时产生混乱，又要考虑到该模块系列将来的扩展和向专用、变型产品的辐射。划分的好坏直接影响到模块系列设计的成功与否。总的说来，划分前必须对系统进行仔细的、系统的功能分析和结构分析，并要注意以下各点：l）模块在整个系统中的作用及其更换的可能性和必要性。2）保持模块在功能及结构方面有一定的独立性和完整性。3）模块间的接合要素要便于联接与分离。4）模块的划分不能影响系统的主要功能。我们将网络化分为三个模块：计费管理，网络管理，安全管理。2.2 层次化原则为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。 1、核心层 负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。 2、汇聚层 负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的范围内进行数据的路由以及处理。 3、接入层 设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。3 标准化、规范化的设计原则根据网络标准化设计原则，结合浙江局的网络结构特点，考虑网络的扩展性，本次网络改造实行方案设计征循以下设计原则：1扩展性在一个网络上考虑网络增值业务，必须在增值业务上要考虑到今后的扩展性，包括硬件的扩展性和功能的扩展性，以满足不断发展的网络互联需求。迈普1700路由器坚持模块化与标准化设计，紧跟技术发展方向，持续推出新的接口模块和传输模块，模块采用了标准化设计，具有可替换性。迈普1700路由器IOS坚持采用国际标准的网络链路协议和路由协议，同时也支持一些通用国际路由协议，具用很好的兼容性。迈普公司拥有完全的自主知识产权，紧跟网络技术的发展，不断扩充新的技术与功能，使MP1700路由器具用非常好的扩展性，能够满足客户对新技术新应用的不断需求。2科学性网络改造实行方案设计要求依据科学规范化的设计要求，保证整个网络结构的科学性。提供的网络改造实行方案严格遵循网络设计规范要求，采用层次化结构化设计，使设计的网络层次分明，结构分明。3稳定可靠性网络的稳定性和可靠性是一个网络能够投入使用的基础，也是用户最关心的问题之一。迈普提供的设备采用的技术是最新最成熟的技术，完全遵循国际标准、国家标准，在功能的实现上是成熟和稳定的，和其他设备具用完全的兼容性。提供的设备在国内外众多行业中得到了广泛的应用，在众多的网络中发挥重要作用。同时提供网络的整套解决方案，提供了路由器、交换机、网络管理、安全产品等所用产品，完全可以保证网络稳定可靠性。4网络管理在网络建成后，网络设备的管理将成为最重要的日常工作。迈普MP1700路由器和和交换机支持SNMP协议。迈普公司能够提供全面网络管理软件MasterPlan，可以完成对迈普网络设备的全面管理。 5安全性保证网络传输，内部数据安全，对于以后的安全扩展非常方便。4 技术及策略原则4.1、 IP Precedence for Traffic ClassificationIP precedence Classification在网络边缘进行，利用IPv4包头的Type-of-Service 3个比特对每一个IP包依据其地址进行优先级分类。最多可以将traffic分为6个等级。在核心利用不同的Queuing技术对不同等级的traffic进行不同的处理，使得不同的服务级别得到体现。4.2、 用CAR限制接入的带宽Committed Access Rate 提供一种手段来提供承诺的带宽和限制带宽使用，在此同时，提供处理超出承诺带宽以外流量的策略。CAR配置在城域网的边缘，可以基于接入的端口、IP地址以及传输层的端口号进行分类。CAR采用令牌桶的算法进行流量整形。对于超出的流量，CAR利用extended burst定义阈值，超过阈值的流量降低优先级或丢掉。CAR的策略选项包括：n Firm CAR 超出的流量被丢弃n CAR + Premium 超出的流量被标为更低的优先级 n CAR + Best Effort 超出的流量有一个突发的阈值，再超出该阈值的流量被丢弃 n Per Application CAR 不同的CAR策略作用于不同的应用。比如，重要的应用采用CAR + Premium 策略，多媒体应用采用CAR + Best Effort 策略。 4.3、 用WRED进行拥塞管理采用WRED进行拥塞管理。WRED在网络的瓶颈处监视并缓解网络的拥塞。城域网的瓶颈可能出现的地方主要是和163省网骨干连接的地方。WRED监视网络的负载，当拥塞开始刚出现时，它就开始有选择的丢弃一些包以降低流量。其结果是，数据源觉察到丢包，就开始降低发包的速率，从而避免了拥塞。WRED丢包的策略为：低优先级的流先丢，以保证高优先级的流可以顺畅通过。在可能发生拥塞的端口运行WRED和DRR是避免拥塞的较好的选择。4.4、 基于CoS的DRRAlternate priority队列可以和其它队列交替，Alternat priority为基于CoS的队列指定“deficit counter”。GSR开始以交替的、Round-robin的方式清空队列长度，每个队列被清掉的traffic决定于该队列的deficit counter值，这个值对于每个队列是不同的。比如，有三个服务类别，那么在GSR上有三个活动的队列。队列1是一个特殊的队列，它采用Alternate priority。GSR开始清空该队列的traffic，直到达到deficit counter的值。然后，GSR开始清空队列2的traffic，直到用完deficit counter。然后，它再转回到队列1。接着，GSR再开始从队列3清空traffic，然后，再转回队列1。每趟清空的traffic取决于队列的deficit counter值。Deficit counter值由系统管理员决定。Strict priority 队列不采用deficit counter，但是其它队列采用。Strict priority 队列相对其它队列具有绝对的优先权。GSR首先清空Strict priority队列，然后才是其它队列。这一机制在网络繁忙的时候可能会造成其它队列完全得不到服务。其它队列以一种Round-robin的方式轮转，每次服务权值为deficit counter。4.5、SDH同步数字体系SDH（Synchronous Digital Hierarchy，同步数字体系）是一种将复接、线路传输及交换功能融为一体、并由统一网管系统操作的综合信息传送网络，是美国贝尔通信技术研究所提出来的同步光网络（SONET）。国际电话电报咨询委员会（CCITT）（现ITU-T）于1988年接受了SONET 概念并重新命名为SDH，使其成为不仅适用于光纤也适用于微波和卫星传输的通用技术体制。 它可实现网络有效管理、实时业务监控、动态网络维护、不同厂商设备间的互通等多项功能，能大大提高网络资源利用率、降低管理及维护费用、实现灵活可靠和高效的网络运行与维护，因此是当今世界信息领域在传输技术方面的发展和应用的热点，受到人们的广泛重视。SDH采用的信息结构等级称为同步传送模块STMN（Synchronous Transport，N=1，4， 16，64），最基本的模块为STM1。SDH的帧传输时按由左到右、由上到下的顺序排成串型码流依次传输，每帧传输时间为125s，每秒传输11251000000帧，对STM1而言每帧字节为8bit（92701）=19440bit，则STM1的传输速率为194408000=155.520MbitSDH核心就是应用了波分多路复用技术,就是一条光纤信道上传输多条信号,SDH网络是ATM,DDN等中继网络服务的承载网4.6、 MPLS和VPN的支持。MPLS(Multiprotocol Label Switching，多协议标记交换)是从90年代中期起新兴的多层交换技术的标准化和最新进展，最初提出MPLS技术的初衷是为了加快IP转发速度。虽然MPLS最初是动机是提高路由交换设备的转发速度，随着硬件技术及网络处理器技术的不断发展，MPLS应用也逐步转向MPLS流量工程和MPLS VPN等。MPLS VPN是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。采用MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络的应用可以是千变万化的：可以是用在解决企业互连、政府相同/不同部门的互连、也可以时用来提供新的业务-如为IP电话业务专门开辟一个VPN、以此解决IP网络地址不足和QoS的问题，也可以为用MPLS VPN为IPv6提供开展业务的可能。4.7、分局网络的STP的统一设计。STP即生成树协议（spanning-treeprotocol）是一种二层的链路管理协议，通过一种专用的算法来发现网络中的物理环路并产生一个逻辑的无环（loop-free）拓扑结构，它在提供链路冗余的同时防止网络产生环路。stp生成了一个无环的树形结构，包括可以在整个2层网络范围内扩展的叶和枝。一个高冗余度的网络，如果没有stp的存在，将会产生大量的广播环路，严重影响性能。5 网络分层原则为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。 1、核心层 负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。 2、汇聚层 负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的范围内进行数据的路由以及处理。 3、接入层 设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。四、解决方案1、网络系统拓扑结构（图）2. 方案说明（网段的流量要求、信息点数量分析等）2.1主干网的拓扑结构采用星型结构。以SDH或DDN等专线系统为基础，设立信息中心，将各二级单位局域网连接起来，同时考虑了线路和设备的备份。为了确保在现有和不断发展的通讯条件基础上，实现系统最大程度的互联性和管理性，在网络设计中统一采用一致的网络协议、路由协议和网络操作系统标准，建立了Intranet网络。2.2实现基于CoS的差分服务结构需要4个步骤：n 入口的带宽限制在边缘路由器7206和6506上实现，同时完成入口traffic的Classification。边缘设备完成大部分processor-intensive任务，针对不同的用户策略进行分类。对需要提供带宽保证的流量边缘设备也需要做带宽管理的工作，采用CAR，对于小区、商业、政府接入模块的端口，按照一定的带宽对其进行带宽限制。该带宽100M。n 核心路由器GSR完成CoS的管理工作，进行有差别的服务质量保证。n 出口设备，作WRED设置，预告丢弃可能造成拥塞的非重要IP包。入口、出口设备对带宽的限制保护了网络免于拥塞，使得网络具有很高的可扩展性。2.3、 配置WREDRED(随机早期丢弃)是利用TCP窗口机制而采用的拥塞避免技术，通过在拥塞发生前随机丢弃一些包，RED通知数据源，可能要发生拥塞，请降低速率。WRED依据IP precendence来丢弃数据包，以保证优先级高的traffic得到服务保证。WRED一般配置在核心路由器上，而不是接入路由器。n WRED的处理流程如下：n 计算平均的队列长度n 如果平均队列长度小于域值下限，将到来的包放入队列中n 如果平均队列长度在域值的下限和上限之间，是否丢弃该包取决于这个包的优先级n 如果平均队列长度大于域值的上限，则丢弃该包。3网络系统产品选型（建议选型）（注：整个网络系统的新购置设备应具有良好的平台兼容性，必须与省局现有的Cisco7206平滑连接，实现专网上的MPLS,VPN,QOS） 一级路由器Cisco 3800 系列特性 Cisco 3845 网络模块插槽这些插槽可支持一个标准网络模块、增强网络模块(NME)、增强扩展网络模块 (NMEX)和高密度扩展模块(EVMHD)。NMEX在可用时，其机型将宽于NME。两个紧邻的 NME插槽可结合起来，容纳一个双宽网络模块 (NMD) ，或在适当时，容纳一个双宽增强扩展网络模块(NMEXD)。 NM NME NMEX NMD EVMHD 支持的最大网络模块、NME和 NMEX数目 4 支持的最大EVM数目 2 支持的最大 NMD/NMEXD数目 2 支持的最大EVMHD数目 2 高速WIC (HWIC) 插槽数这些 HWIC 插槽也支持VIC、 VWIC和WIC 4 固定 LAN 端口数 (固定RJ45 端口，用于10/100/1000 连接) 2 个千兆位以太网 (10/100/1000) 固定小型可插拔 (SFP) 端口数 (用于 SFP 千兆位以太网连接) 1 AIM 插槽数(用于可选AIM，以卸载计算密集型功能) 2 PVDM 插槽数 (用于可选 PVDM2) 4 USB 1.1 端口数 (未来与 USB 闪存、用于保护Cisco IOS 软件配置分发的安全令牌和VPN证书的平台外存储共用) 2 内嵌 VPN (基于硬件的 VPN 加密加速) 有 控制台端口数 (高达 115.2 kbps) 1 辅助端口数 (高达 115.2 kbps) 1 内存外部小型闪存和内部按需拨号路由(DDR) 同步动态 RAM (SDRAM) ，带 ECC 确省64MB小型闪存；256MB DDR SDRAM 最大256MB小型闪存； 1GB DDR SDRAM 一级交换机 CISCO WS-C6506(1300AC) 主要参数交换机类型快速以太网交换机 传输速率10Mbps/100Mbps/1000Mbps 网络标准IEEE802.3，IEEE802.3U 端口数量300 接口介质10/100/1000Base-TX,1000Base-FX 传输模式支持全双工 配置形式可堆叠 交换方式存储-转发 背板带宽720Gbps VLAN支持支持 MAC地址表16000 模块化插槽数6 尺寸(mm)437460511 重量(Kg)52 一级防毒墙FORTINET FortiGate 3600LX2 主要参数设备类型病毒防火墙 并发连接数1000000 网络吞吐量4000Mpps 安全过滤带宽4000MB 用户数限制无用户数限制 入侵检测Dos、DDoS 安全标准FCC Class A Part 15、CSA/CUS、ICSA Antivirus、ICSA Firewall、ICSA IPSec 控制端口Console口 管理SNMP 一般参数适用环境工作温度（） 0 - 40 工作湿度 5% - 95% 存储温度（） -25 - 70 存储湿度 5% - 95% 电源100 - 240V 防火墙尺寸343*425*89mm 防火墙重量8kg 其他性能CPU：Dual Intel Xeon 2.4G；内存：1GB5000个VPN通道数,50000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。内嵌日志、 二级防毒墙FORTINET FortiGate 3000防毒墙主要参数设备类型病毒防火墙 并发连接数975000 网络吞吐量2250Mpps 用户数限制无用户数限制 入侵检测