无线校园网工程技术建议书.doc

1 东北大学工商管理学院东北大学工商管理学院 网络改造项目技术建议书网络改造项目技术建议书 杭州华三通信技术有限公司杭州华三通信技术有限公司 东北大学工商管理学院网络改造项目技术建议书 i 目目 录录 1概述概述 3 2需求分析需求分析 3 3网络建设方案网络建设方案 5 3 1无线网络基础方案 5 3 1 1方案逻辑组网图 5 3 1 2认证方式及认证点选择 5 3 1 3整网安全 6 3 1 4频率规划与负载均衡 7 3 1 5网络管理 8 3 1 6供电问题 9 3 2覆盖解决方案 9 3 2 1学院无线部署覆盖方案 10 4产品配置方案产品配置方案 11 4 1设备选型方案 11 4 2设备配置清单 11 5H3C 设备介绍设备介绍 12 5 1H3C S7500E 系列核心交换机 12 5 1 1产品简介 12 5 1 2产品特点 13 5 2H3C S5100 EI 系列全千兆交换机 15 5 2 1产品简介 15 5 2 2品特点 17 5 3H3C WX3000 系列无线交换机 18 5 3 1产品简介 18 5 3 2产品特点 19 5 4H3C WA2600 系列无线接入点 20 5 4 1产品简介 20 5 4 2产品特点 21 6H3C 方案的特点与优势方案的特点与优势 22 6 1H3C FIT AP 方案的特点 22 6 1 1智能射频管理 22 6 1 2智能负载均衡 22 6 1 3业务QOS支持 23 6 1 4Portal认证支持 24 6 1 5多业务的安全性 25 6 1 6IPV6 26 6 1 7AP间无线漫游 27 6 2H3C 解决方案的优势 29 6 2 1产品系列丰富 29 6 2 2电信级产品质量保证 29 6 2 3强大的研发团队 自主知识产权 快速响应客户需求 30 6 2 4完善的服务体系 30 东北大学工商管理学院网络改造项目技术建议书 ii 6 2 5丰富的无线网络工程经验 30 6 2 6完善的网管解决方案 30 7H3C 简介及应用案例简介及应用案例 31 7 1H3C 公司总体描述公司总体描述 31 7 2成功案例 31 7 2 1国家大剧院 31 7 2 2北京首都国际机场T3航站楼 34 7 2 3北京航空航天大学无线校园网 35 7 2 4北京交通大学无线校园网 36 7 2 5华东理工大学无线校园网 36 7 2 6中国电信集团办公大楼 37 7 2 7国家电力监管委员会 38 7 2 8中山医院 39 7 2 9泰国APEC会议 39 8H3C 公司售后保障体系以及用户认证培训体系公司售后保障体系以及用户认证培训体系 40 8 1厂家上门服务厂家上门服务 40 8 2服务组织结构服务组织结构 40 8 3服务及时性保障服务及时性保障 42 8 48 4 服务有效性保障服务有效性保障 43 8 4 17 24小时热线技术支持电话 43 8 4 2区域技术支持平台 43 8 4 3网上问题处理系统 43 8 4 4完善的实验平台 44 8 4 5高效快捷的备件系统 44 8 4 6技术支持网站与技术支持论坛 44 8 4 7完备的技术支持资料开发系统 44 东北大学工商管理学院网络改造项目技术建议书 3 东北大学工商管理学院网络东北大学工商管理学院网络 改造项目技术建议书改造项目技术建议书 1概述概述 无线局域网 WLAN 技术于 20 世纪 90 年代逐步成熟并投入商用 既可以作传统有 线网络的延伸 在某些环境也可以替代传统的有线网络 无线局域网具有以下显著特点 简易性 WLAN 网桥传输系统的安装快速简单 可极大的减少敷设管道及布线等 繁琐工作 灵活性 无线技术使得 WLAN 设备可以灵活的进行安装并调整位置 使无线网络 达到有线网络不易覆盖的区域 综合成本较低 一方面 WLAN 网络减少了布线的费用 另一方面在需要频繁移动 和变化的动态环境中 无线局域网技术可以更好地保护已有投资 同时 由于 WLAN 技术本身就是面向数据通信领域的 IP 传输技术 因此可直接通过百兆自 适应网口和企业 学校内部 Intranet 相连 从体系结构上节省了协议转换器等相 关设备 扩展能力强 WLAN 网桥系统支持多种拓扑结构及平滑扩容 可以十分容易地从 小容量传输系统平滑扩展为中等容量传输系统 随着 WLAN 技术的快速发展和不断成熟 目前在国内外具有较多的中大规模应用 诸 如荷兰的阿姆斯特丹市的全城覆盖 向客户提供各种业务 2需求分析需求分析 目前学院有线接入点为 400 余个 交换机数量为 17 台 24 口 2 层交换机 未来接入点 在 600 左右主要来自于老师及学生的接入需求 在有线网络上增加接入点 对施工来讲难 度很大 因此采用更加灵活的接入方式 无线接入 东北大学管理学院的校园无线局域示 范网建设的总体目标是 利用无线网络技术进一步扩展校园网的覆盖范围 使全校师生能够随时随地 方 便高效地使用校园网络 促进教学和科研发展 进一步拓展研究空间 东北大学工商管理学院网络改造项目技术建议书 4 提升校园网络环境 提高管理水平和效率 推动学校信息化建设 由于本工程是在校园有线网的基础上加以无线扩充 即采用 AP 将无线网络就近接入 到有线网络 本工程具体的建设目标是 侧重实际应用 覆盖校园内部分区域 为教学和学习生活提供切实可用的无线网 络环境 采取通行的网络协议标准 目前无线局域网普遍采用 802 11 系列标准 因此校园 无线局域网将主要支持 802 11a g n 标准以提供可供实际应用的相对稳定的网络通 讯服务 全面的无线网络支撑系统 包括无线网管 无线安全 无线计费等 以避免无线 设备及软件之间的不兼容性或网络管理的混乱而导致的问题 保证网络访问的安全性 支持 802 1x 安全认证方式 采用非独立型的无线网络结构选型 覆盖范围要求 有线网络使用不便或受限的室内空间 校园内一些室内场所空间较大 会产生许多人 同时接入网络的需求 采用有线的方式只能提供少量接口 不能满足要求 用无线网络覆 盖来解决相当数量的移动设备同时访问网络的问题 安全 认证和管理要求 为了阻止非授权用户访问无线网络 以及防止对无线局域网数据流的非法侦听 无线 网络要具有相应的安全手段 主要包括 物理地址 MAC 过滤 服务区标识符 SSID 匹 配 有线等效保密 WEP 二层隔离 WPA 支持等 本无线局域网的用户认证支持集中认证 WEB PORTAL 认证方式 和 802 1X 安全认 证方式 支持受保护的 PEAP Protected EAP AP 访问控制系统及认证计费系统必须 为要配合要通过验证 便于使用用户的使用及维护 在连续覆盖区域的认证和覆盖应充分 考虑移动用户的易用性 达到一次认证 移动使用的目的 校园无线网网络结构要求 无线接入所需布设的 AP 通过校园网的汇聚层设备接入到校园网中 在汇聚层都提供 相应的接口给无线网线 在接入层设备要在方案中进行描述 工程布线和安装要求 i 室内部分 定好较为开阔位置 将网线和电源线走暗线敷设到位 挂在墙上 可 利用设备本身自带的安装附件进行安装 如果需要遮蔽 则需要定制非金属安装 东北大学工商管理学院网络改造项目技术建议书 5 盒 如果是挂在天花板上 则根据天花板的情况而定 若天花板是非金属结构 可以固定在天花板内 安装过程中应充分考虑防盗问题 ii 供电部分 AP 的供电可采用 POE 方式由接入的网络设备进行供电 无需本地供 电 产品能力要求要求 i 具有无委会核准证 ii 产品支持 AES WEP 加密等安全标准 iii 漫游切换 iv 支撑 QOS 能力 3网络建设方案网络建设方案 针对学校采用 WLAN 技术构架宽带网络服务 从技术上 工程上以及提供的服务质量 上均能较好的满足校方的要求 具体组网构架如下 3 1无线网络基础方案 3 1 1方案逻辑组网图 鉴于东北大学管理学院的有线网络已经较为完善 本次工程采用 AP 就近接入的原则 同时又由于现在每栋楼的有线网络为无线网络只能提供一个有线接口 此有线接口下接一 台交换机完成网络接口的扩展 同时完成 POE 供电的功能 作为整个无线局域网络的中央 管理控制器 在校园的核心交换机旁挂 AC 无线控制器 WX3024 接入网络 3 1 2认证方式及认证点选择 本方案主要采用 Portal 认证方案 WA2620 系列与 WX3024 通过二层隧道协议通信 无线用户的认证点都是放置于 WX3024 设备上 Portal 认证又称为强制 WEB 认证或 WEB DHCP 以其新业务支撑能力强大 无需安 装客户软件 与组网设备无关等特点 受到越来越多用户的欢迎 Portal 认证业务可以为 管理者提供方便的管理功能 如要求所有的用户都到门户网站去认证 门户网站可以开展 广告 信息服务 个性化的业务等 为信息传播提供一个良好的载体 鉴于目前东北大学管理学院无线网络接入点较多 从网络支撑能力的角度来看 建议 2 台 WX3024 实现高可靠 针对无线用户 WX3024 无线交换机作为 Portal 终结点 Portal 认证具有以下优点 东北大学工商管理学院网络改造项目技术建议书 6 不需要安装客户端软件 相对于其他的认证方式 Portal 认证通过网页即可实现认证 无需安装客户端 不但 减少了用户机器的负担 而且方便了上网用户的使用 同时管理者也不用逐一为每个上网 用户安装和升级客户端软件 极大减轻管理难度 可对在线用户进行实时检测 用户认证通过后 Portal Server 和用户之间采用心跳机制保持通信 当终端用户的机器 出现异常时 比如 死机 网络断线 异常关闭浏览器等情况出现时 Portal Server 就可以 及时发现用户侧的问题 并通知设备将此终端用户下线并且停止计费 同时 Portal Server 支持开启或者关闭心跳 也可以设置心跳的间隔和心跳超时时长 这种功能使心跳检测更 加灵活 大大提高了计费精度和对复杂的网络的适应能力 具有按用户接入端口分组的功能 可为不同组用户提供不同的配置 Portal 认证可以根据用户所在交换机的端口以及用户所在的 IP 地址池 将用户划分为 不同的组 每个组都可以设置不同的认证主页 不同的认证方式 从而方便对不同的用户 进行管理 同时 PORTAL 所有的认证页面都使用了 JSP 技术 管理员可以根据不同用户群 的特点 定制特色认证页面 极大提高用户使用满意度 支持二次地址分配和 NAT 功能 为了减少公网 IP 地址资源的浪费 PORTAL 通过与设备的配合 使用户在认证前使用 的是私网 IP 认证成功后再分配公网 IP 从而保证了公网 IP 地址的更加合理的应用 如果用户的 IP 地址经过了 NAT 转换 再经过 PORTAL 服务进行认证 PORTAL 服务 器支持开启 NAT 功能 可以为用户下载一个 APPLET 获取用户的实际 IP 地址 再通过 设备进行认证 支持认证窗口的最小化功能 用户在认证通过后 Portal 支持在线窗口可以最小化到任务栏 以减少对用户上网的 影响 防止窗口过滤的功能 很多上网用户出于安全的考虑或者防止网上的垃圾广告 会安装个人防火墙或者窗口 过滤工具 来防止 IE 弹出窗口 如果用户的 IE 开启了窗口过滤的功能 Portal 在弹出认 证成功窗口时 会进行窗口过滤的检测 从而防止由于窗口过滤而无法认证成功的情况 3 1 3整网安全 东北大学工商管理学院无线局域网络主要服务于学校的学生与教师 也是一种小规模 的公众型网络 同时由于学生出于技术的研究兴趣 会对网络发起各种各样的攻击行为 此时网络安全问题在建网时必须考虑问题 安全方式主要侧重几个方面 用户安全 网络 东北大学工商管理学院网络改造项目技术建议书 7 安全 而在校园网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性 诸如 MAC 地址 及用户的帐号 密码 而对于学校学生用户来 帐号信息都是一个实 名原则 与学生的学藉进行关联的 这样本无线网络中着重考虑使用无线网络的空口信息 的安全机制 同时也要考虑与无线相关的有线网络的安全问题 对于原有有线网络的安全 问题 在本技术建议书中不作相应的考虑 无线网络安全 无线网络安全部分主要包括以下方面的内容 i MAC 地址过滤 目前支持基于 MAC 地址的过滤 限制具有某种类型的 MAC 地 址特征的终端才能进入网络中 ii SSID 管理 是一种网络标识的方案 将网络进行一个逻辑化标识 对终端上发的 报文都要求进行上带 SSID 如果没有 SSID 标识则不能进入网络 iii WEP 加密 WEP 加密是一种静态加密的机制 通信双方具有一个共同的密钥 终端发送的空口信息报文必须使用共同的密钥进行加密 iv 支持 AES 加密 AES 安全机制是一种动态密钥管理机制 同时密钥生成也基于不 对称密钥机制来实现的 同时密钥的管理也定期更新 具有体的时间由系统可以 设定 一般情况都设定为 5 分钟左右 这样非法用户要想在 5 分钟之内进行获取 足够数量的报文进行匹配出密钥出来 从无线空口的流量来看 基本上是不可能 的 v H3C 的无线方案中可根据用户名来划分权限 即相同用户在不同地点接入无线网 络其权限保持一致 密钥设置可能根据 SSID 信息与用户信息进行组合 即不同 的 SSID 下不同的用户的密钥生成可以不一样 这样一定程度上保证用户之间串 号问题产生 从而保护投资 以达到营维平衡 3 1 4频率规划与负载均衡 频率规划 802 11a g n 使用开放的 2 4GHz ISM 频段 可工作的信道数为欧洲标准信道数 13 个 由于其支持直序扩频技术造成相邻频点之间存在重叠 对于真正相互不重叠信道只有相隔 5 个信道的工作中心频点 因此对于 802 11a g n 在 2 4GHz 地工作频段 理论上只能进行 三信道的蜂窝规划实现对需要规划的热点的无缝覆盖 此外 由于功率模板是否能做到符 合邻道 隔道不干扰也非常影响频率规划的效果 针对如何进行 802 11a g n 的频率规划作了大量的实验 实验证明 3 载频也可以实现蜂 东北大学工商管理学院网络改造项目技术建议书 8 窝对需要覆盖的区域进行无缝覆盖 并提供更高的服务带宽提高服务质量 和高带宽业务 的开展 图 1 频率规划原理图 频率规划需要配合使用的功能包括 i AP 支持 13 个信道设置 ii AP 支持 100mW 最大射频功率以及多级功率控制 iii AP 支持外置天线以及定向天线 iv 针对特殊应用还需要 AP 支持桥接功能 接入功能以及 WDS 功能 3 1 5网络管理 基于标准的 SNMP 协议实现对设备的管理 网管工作站可以放在网上的任意位置 通 过标准的 SNMP 即可实现对无线交换机的管理 无线交换机 WX3024 可以实现更为强大的 管理包括 AP 的自动拓扑发现 自动升级 批量配置 分级管理 分级告警等 并可实现 针对无线覆盖空间内的射频扫描 非法接入点监听等安全功能 其具备以下特点 1 零配置安装 接入点无需准备预设置 AP 从无线控制器继承配置信息 可将无线 控制器 WX3024 接入中心机房核心交换机中 WA2620 系列无需事先进行任何配置 即通 过接入层交换机接入有线网络 并自动注册到 WX3024 上 获得 DHCP SERVER 分配的 IP 地址 并自动下载配置文件正常工作 在大规模 AP 的项目中大量节省安装维护成本 2 防盗防入侵 敏感配置信息不在本地保存 即使设备被入侵被盗也不会丢失安全信 息 实际运营中很多 AP 是放置在公共场所 如果密钥 SSID 等安全信息在本地保存的话 一旦失窃对全网安全性造成威胁 WA2620 系列由于其零配置安装 一旦掉电不会保存任 何信息 避免入侵 3 支持灵活的拓扑结构 AP 允许多种部署 从而能够直接或间接连接到管理它的无 线局域网控制器 WX3024 与 WA2620 系列之间可以隔离任何路由器或交换机 只要共同 东北大学工商管理学院网络改造项目技术建议书 9 连接进有线网络 WA2620 系列就可以自动寻找到 WX3024 实现注册 4 自动设置发射功率和分配射频信道 自动设置发射功率和分配射频信道 用以优化 射频单元大小和满足各国对射频信道的要求 当有个别 AP 故障时 WX3024 会自动调大 相邻 AP 的功率弥补信号盲区 5 基于身份的组网 根据用户名对用户权限进行区分 不同于传统的 WLAN 网络通 过接入的有线交换机端口对用户权限进行划分 并且可以对用户的位置 带宽以及漫游等 历史数据进行记录跟踪 6 提供增强的安全性和无缝漫游 通过这项基于身份的组网功能 经过改进的用户组 认证接入控制 始终强制的漫游策略以及对带宽使用的监视实现了无线局域网的增强的安 全性 实现了无缝的用户移动性和自由性 从而可以进行安全连接和漫游 一次认证多次 接入 免去在不同 AP 下切换的再次认证 7 安全管理 提供入侵检测功能 专用 AP 可以不断地扫描空域 以便对要求更高 安全性的环境提供全天候保护 一旦无线网络中有非法接入点接入 WA2620 系列将上报 相应的告警给 WX3024 并通过网管软件显示 3 1 6供电问题 由于本次无线网中 AP 设备数量约 12 台 AP 布放位置根据实际覆盖效果而调整 在 已建设完成的建筑物上较难进行本地供电 对于学院室内覆盖主要采用 AP 放在室内 对 AP 的本地供电问题难度更大 基于标准的 802 3af 实现对 AP 的供电 通过在汇集交换机 处叠加一个供电电源或者内嵌交换机内 通过以太网线在传输数据同时给 AP 供电 供电 距离达 100 米 满足实际组网的要求 3 2覆盖解决方案 从整体的统计看来 东北大学管理学院此次的无线覆盖设计基本上可以分为以下几种 类型 根据本项目的需求与将来的业务发展需求 初步确定室内部分主要覆盖以下空间 主 要包括图书馆所有的空间及办公楼所有的空间 根据实际工勘的结果来看 可以归纳为两大类 AP 室内无障碍覆盖 AP 室内穿越障 碍覆盖下面则对这两类覆盖分别进行描述 AP 室内无障碍覆盖 主要应用于空间较大的阶梯教室等重点室内区域 此时主要信号进行此空间内覆盖 无需要考虑到穿越墙壁 地板等障碍物对隔壁空间的覆盖 此时又分二种情况 划分原则 主要要看是否要使用吸顶天线的问题 根据实现工程勘测情况来看 室内部分可以采用吸 顶天线的方式进行操作 东北大学工商管理学院网络改造项目技术建议书 10 AP 室内穿越障碍覆盖 主要应用于各办公楼 图书馆 各教学楼等中间走廊两边房间结构室内区域 因为无 线信号穿越墙壁 地板等障碍物会存在衰减 但在走廊式结构的室内区域具备一定的穿越 障碍的能力 一般是穿越一道墙壁之后信号效果较好 因此这样的结构适合在走廊中布置 AP 来覆盖两边的房间区域 并且根据实现工程勘测情况来看 室内走廊部分都可以采用 吸顶天线的方式进行操作 3 2 1学院无线部署覆盖方案 学院楼是进行各种授课的重要场所 需要实现普通无线信号覆盖 目前学院楼有较多 的有线信息点 楼内有吊顶 可吸顶安装 无线 AP 放置比较方便 房间较大 学院楼有 办公区及教室 从实际的勘测来看 一楼和六楼用户数较小可以分别放置一个 AP 三楼由 于有图书阅览室和一个大教室 用户数量较多 故在阅览室放置 2 个 AP 并在走廊中间放 置 2 个 AP 这样信号可以完全覆盖没有盲点 四楼有办公事及一个阶梯教室 可以在走廊 中间放置 2 个 AP 达到完全覆盖 五楼除了办公室外还有 2 个 EMBA 教室 可以在走廊放 置 2 个 AP 并在每个教室放置一个 AP 达到覆盖效果 这样整个学院楼用到 12 个 AP 并配 置无线控制器 WX3024 东北大学工商管理学院网络改造项目技术建议书 11 4产品配置方案产品配置方案 4 1设备选型方案 目前学院的有线网络设备已经使用很长时期 产品性能已经不能满足日益增长的接入 需求 因此我司建议在核心层采用 H3C S7503E 交换机作为出口 S7503E 主要应用在 IP 骨干网 IP 城域网以及各种大型 IP 网络的核心和汇聚位置 S7503E 核心交换机具有强大 的转发性能和丰富的业务特性全面满足用户各种组网应用的需求 背板容量可达到大于 1Tbps 包转发率 274Mpps H3C 的 S7503E 交换机 采用双主控加双电源冗余设计 该系 列交换机集成的无线控制模块提供丰富的业务能力 包括精细的用户控制管理 完善的 RF 管理及安全机制 快速漫游 超强的 QoS 和对 IPv6 的支持等 无线控制模块通过与安全 策略服务器的联动 实现对无线接入用户的端点准入防御 提高了整网的安全性 H3C S7500E 采用分布式体系结构 模块化设计 主控板冗余热备份 无源背板 冗余电源支持 双路供电 具有电信级可靠性 充分的扩展性 保护用户的投资 接入层交换机上采用 H3C 5100 24P EI 千兆三层以太网交换机 广泛应用于企业网和 园区网的汇聚层及接入层 提供灵活的千兆以太网端口的接入密度和万兆上行 增强的安 全防御能力 丰富的业务特性 统一的集群配置 为用户提供高性能 低成本 可网管的 千兆到桌面的解决方案 是千兆接入的理想选择 H3C 5100 24P EI 具有 24 个 10 100 1000Base T 以太网端口和 4 个复用的 1000Base X SFP 千兆以太网端口 Combo 实现千兆带宽到桌面 保证学院的教学工作流畅运行 无线控制器 WX3024 千兆上行接入 交换机 实现整个网络千兆带宽链路 从设备管理和系统运维等多个方面考虑 建议采用 Fit AP 无线控制器的方式组网 建 议采用 Fit AP WX3024 无线控制器的形式组网 建议在 S7503E 核心交换机旁挂 2 台 WX3024 高性能无线控制器 对无线 Fit AP 进行 管理 能提供了丰富的有线数据和无线数据的处理功能 负载均衡集精细的用户控制管理 完善的 RF 管理及安全机制 快速漫游 超强的 QoS 及 IPv4 IPv6 等多功能于一体 WA2600 系列无线接入点是新一代兼容 802 11n Draft2 0 的千兆无线接入点 以下简称 AP 可提供相当于传统 802 11a b g 网络 6 倍以上的无线接入速率 能够覆盖更大的范围 Fit AP 建议采用 WA2600 系列 4 2设备配置清单 核心交换机核心交换机 H3C S7500E 系列以太网交换机系列以太网交换机 东北大学工商管理学院网络改造项目技术建议书 12 LS 7503EH3C S7503E 以太网交换机主机 双电源 双引擎 24 口千兆电接口1 接入交换机接入交换机 H3C S5100 以太网交换机 H3C S5100 24P EI 以太网交换机 24 端口 10 100 1000M 自适应端口 4 个 SFP combo 接口 20 无线控制器无线控制器 H3C 无线控制器无线控制器 WX3024 EWP WX3024 POEP H3 H3C WX3024 PoEP 24 端口千兆 4 SFP Combo Slot 插槽 PoE Plus 有 线无线一体化交换机 2 无线无线 AP EWP WA2620E AGN FIT H3C WA2620E AGN 802 11n 无线局域网增强型 2 4 5GHz 双频双模接 入点 FIT 全向天线 PoE 电源 12 网管软件网管软件 H3C iMC 智能管理中心智能管理中心 H3C iMC 智能管理平台标准版 不含节点 For Windows 纯软件 DVD 中 文版 管理 50 节点 1 H3C iMC 无线业务管理组件 纯软件 CD 中文版 管理 50 台 Fit AP 设备1 5H3C 设备介绍设备介绍 东北大学管理学院无线项目使用的 AP 设备不同于家庭或 SOHO 厂商的无线设备 必 须采用电信级厂商的 AP 设备 以达到电信级的稳定性 AP 的发射功率要符合国家信息产 业部的相关规定 同时 AP 设备应具备比较宽的工作温度范围以适应辽宁沈阳地区的气候 环境 5 1H3C S7500E 系列核心交换机 5 1 1产品简介 H3C S7500E 系列产品是杭州华三通信技术有限公司 以下简称 H3C 公司 面向融合 业务网络推出的新一代高端多业务路由交换机 该产品基于 H3C 自主知识产权的 Comware V5 操作系统 融合了 MPLS IPv6 网络安全 无线 无源光网络等多种业务 提供不间 断转发 优雅重启 环网保护等多种高可靠技术 在提高用户生产效率的同时 保证了网 络最大正常运行时间 从而降低了客户的总拥有成本 TCO H3C S7500E 符合 限制电子 设备有害物质标准 RoHS 是绿色环保的路由交换机 H3C S7500E 系列包括 S7510E 12 槽 S7506E 8 槽 S7506E V 垂直 8 槽 S7503E 5 槽 7503E S 3 槽 和 S7502E 4 槽 6 款产品 除了 7503E S 所有产品均支持 冗余主控 H3C S7500E 可广泛应用于城域网汇聚和边缘 园区网核心和汇聚以及配线间 等多种网络环境 为用户提供了有线无线一体化 有源无源一体化的行业解决方案 东北大学工商管理学院网络改造项目技术建议书 13 图 1 H3C S7500E 系列机箱 5 1 2产品特点 丰富的业务 适应融合业务网络发展趋势丰富的业务 适应融合业务网络发展趋势 全面的全面的 MPLS 业务能力业务能力 H3C S7500E 所有产品均支持 Multi VRF 特性 可以作为 MCE 设备使用 支持三层的 MPLS VPN 和二层的 MPLS VPN Martini Kompella 可扩展支持 VPLS 技术 支持 MPLS OAM 特性 方便用户的管理和维护 与 H3C MPLS VPN Manager 配合 实现图形 化的 MPLS 部署与维护 线速的线速的 IPv4 IPv6 业务能力业务能力 H3C S7500E 支持 IPv4 IPv6 双协议栈 支持多种隧道技术 支持 IPv4 IPv6 的组播技术 为用户提供完善的 IPv4 IPv6 解决方案 H3C S7500E 采用分布式体系架构 实现 IPv4 IPv6 东北大学工商管理学院网络改造项目技术建议书 14 业务的线速无阻塞转发 H3C S7500E 已经通过了信息产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段金色认证 是成熟商用的 IPv6 产品 有线无线一体化 有源无源一体化有线无线一体化 有源无源一体化 H3C S7500E 集成的无线控制模块提供丰富的业务能力 包括精细的用户控制管理 完 善的 RF 管理及安全机制 快速漫游 超强的 QoS 和对 IPv6 的支持等 无线控制模块通过 与安全策略服务器的联动 实现对无线接入用户的端点准入防御 提高了整网的安全性 H3C S7500E 是业界最高密度的以太网无源光网络 EPON 设备 单台最大可接入 10240 个 FTTH 用户 H3C S7500E 是高可靠的 EPON 系统 采用分布式体系结构 模块化 设计 主控板冗余热备份 无源背板 冗余电源支持双路供电 具有电信级可靠性 支持支持 Portal 认证认证 H3C S7500E 支持大容量的 Portal 认证功能 可以在数千用户的局域网中做为 EAD 网 关设备 为全网用户提供 EAD 安全认证功能 可以在大中型的校园网中担任汇聚 核心设 备的同时 为学生宿舍区的认证计费提供 Portal 认证功能 二 灵活的配置 适应各种应用场景二 灵活的配置 适应各种应用场景 配线间融合业务网络的最佳选择配线间融合业务网络的最佳选择 H3C S7500E 针对配线间的需求定制开发了 SA 板卡 单台设备可以提供 480 个千兆线 速接口和 4 个万兆线速接口 H3C S7500E 支持端点准入防御解决方案 解决终端安全问 题 内置 2800W 电源直接提供 PoE 功能 对 IP 语音和无线接入提供良好的支持 政府电力城域网边缘和汇聚的最佳选择政府电力城域网边缘和汇聚的最佳选择 H3C S7500E 支持 Multi VRF 特性 为用户提供高可靠高性能的 MCE 设备 通过配置 Salience VI Turbo 引擎 可以提供集中式 MPLS 业务功能 适合在城域网边缘作为高性价 PE 设备使用 通过配置 EA 类板卡 可以提供分布式线速的 MPLS 业务功能 适合在城域 网汇聚层作为高性能的 PE 使用 IPv6 网络的最佳选择网络的最佳选择 H3C S7500E 所有 Salience VI 引擎都可以提供集中式 IPv6 功能 H3C S7500E 针对 IPv4 IPv6 高性能的要求还开发了分布式 IPv4 IPv6 转发的 SC 板卡 在整机满配置状态下 实现线速无收敛 为高校用户提供了高性能低成本的双栈汇聚核心设备 同时也满足其他 行业用户 IPv6 Ready 的需求 三 全方位的安全保障 抵御多种网络安全威胁三 全方位的安全保障 抵御多种网络安全威胁 三平面安全保障机制三平面安全保障机制 H3C S7500E 提供完善的安全防护机制 可从控制 管理 转发三平面全面保障网络的 安全 在控制平面 内置协议报文攻击识别模块 防止 TCN ARP 等协议报文攻击 OSPF BGP IS IS 路由协议采用 MD5 验证 防止非法路由更新报文导致的网络瘫痪 在管 理平面 SNMPv3 网管协议 SSH V2 基于 802 1x AAA Radius 的用户身份认证以及分 东北大学工商管理学院网络改造项目技术建议书 15 级的用户权限管理保证了设备管理的安全性 在转发平面 支持 IP VLAN MAC 和端 口等多种组合精细绑定 支持 uRPF 单播反向路径转发 防止非法流量访问网络 采用最 长匹配逐包转发机制 有效抵御病毒的攻击 H3C S7500E 还支持内置的高性能防火墙 异常流量清洗等模块 将专业的安全融入到交换机之中 有线无线全面支持有线无线全面支持 EAD H3C S7500E 是 EAD 端点准入防御解决方案的重要组成部分 S7500E 可以动态的接收 来自安全策略服务器的控制策略 根据终端的安全状态给予下发相应的访问权限 H3C S7500E 既支持有线终端用户的 EAD 也支持无线终端用户的 EAD 能够做到终端安全防 范无漏洞 增强的增强的 ACL 特性特性 H3C S7500E 系列产品支持强大的 ACL 能力 支持标准和扩展 ACL 支持基于 VLAN 的 ACL 方便用户配置 节省 ACL 资源 支持出方向和入方向的 ACL 每板最大可支持 9K 条 ACL 满足金融等行业访问权限严格控制的需求 四 电信级的高可靠性 保障用户业务长期稳定运行四 电信级的高可靠性 保障用户业务长期稳定运行 电信级高可靠性设计电信级高可靠性设计 H3C S7500E 采用无单点故障设计 所有关键部件 如主控板 交换网 电源和风扇等 采用冗余设计 无源背板避免了机箱出现单点故障 所有单板和电源模块支持热插拔功能 H3C S7500E 系列可以在恶劣的环境下长时间稳定运行 达到 99 999 的电信级可靠性 多业务高可靠性运行多业务高可靠性运行 H3C S7500E 支持不间断转发和优雅重启 提供毫秒级的切换时间 支持等价路由 可 帮助用户建立多条等值路径 实现流量的负载均衡及冗余备份 支持 RRPP 快速环网保护 协议 提供小于 200ms 的环网故障保护 支持 Smart Link 协议 保证双上行网络拓扑的业 务毫秒级快速切换 通过上述技术 H3C S7500E 可以在承载多业务的情况下不间断运行 实现业务的永续 支持热补丁技术支持热补丁技术 H3C S7500E 能够在不重启设备的前提下 通过热补丁技术 在线修改软件 BUG 增 加新的业务特性 H3C S7500E 提供控制补丁单元状态切换的用户命令 使用户能够方便 的加载 激活 去激活 运行或删除补丁单元 通过热补丁技术 降低了设备需要重启的 次数 为客户提供更长的网络正常工作时间 5 2H3C S5100 EI 系列全千兆交换机 5 2 1产品简介 H3C S5100 EI 系列以太网交换机是 H3C 技术有限公司自主开发的千兆三层以太网交换 机 广泛应用于企业网和园区网的汇聚层及接入层 提供灵活的千兆以太网端口的接入密 东北大学工商管理学院网络改造项目技术建议书 16 度和万兆上行 增强的安全防御能力 丰富的业务特性 统一的集群配置 为用户提供高 性能 低成本 可网管的千兆到桌面的解决方案 是千兆接入的理想选择 在过去的三年中 组播或视频点播 带大附件的电子邮件 文件传输器 按需备份和 恢复 CRM ERP 以及 Web 和 Java 工具等多种应用都成为吞噬带宽的 杀手 千兆位以太 网逐渐延伸到桌面已经成为最迫切的需要之一 用户需要大容量带宽的语音 视频 多媒 体等的应用 网络的价值正在快速显现 一些协作的应用开始在企业崭露头角 真正的提 高企业的效率 例如在医疗行业的会诊 视频 广告制作 制造业的设计 加工 游戏领域 网格计算 科研协作等 诸如此类的应用在消耗大量带宽的同时 也在追求用户的满意度 人们对应用的要求已经不仅仅是 有 而且要 好 这都需要以消耗带宽资源作为代价 基于铜缆的千兆以太网可以将更多的应用从低速链路中解放出来 并且为业务创新提供了 一个崭新的平台 对更高带宽的各种需求催生新一代千兆接入交换机 H3C 公司的 S5100 产品的推出 正是为了满足这一需求 H3C S5100 EI 系列以太网交换机目前包含如下型号 S5100 16P EI 16 个 10 100 1000Base T 以太网端口和 4 个复用的 1000Base X SFP 千 兆以太网端口 Combo S5100 24P EI 24 个 10 100 1000Base T 以太网端口和 4 个复用的 1000Base X SFP 千 兆以太网端口 Combo S5100 48P EI 48 个 10 100 1000Base T 以太网端口和 4 个复用的 1000Base X SFP 千 兆以太网端口 Combo S5100 26C EI 24 个 10 100 1000Base T 以太网端口和 4 个复用的 1000Base X SFP 千 兆以太网端口 Combo 2 个 10G 接口插槽 S5100 50C EI 48 个 10 100 1000Base T 以太网端口和 4 个复用的 1000Base X SFP 千 兆以太网端口 Combo 2 个 10G 接口插槽 S5100 16P EI 东北大学工商管理学院网络改造项目技术建议书 17 S5100 24P EI S5100 26C EI S5100 48P EI S5100 50C EI 5 2 2产品特点 灵活的千兆接入和集群管理灵活的千兆接入和集群管理 H3C S5100 EI 系列千兆以太网交换机提供灵活的 16 24 48 个 10 100 1000M 自适应电 口接入密度 并且支持复用的 SFP 插槽 充分考虑用户的带宽升级的实际情况 既可以支 持千兆光模块 也可以支持百兆光模块 保护用户投资 其中 S5100C EI 机型支持最多 2 个可扩展的万兆接口 并且支持 40G 带宽的堆叠 该系列硬件支持最大 136Gbps 交换容量 保证所有端口线速交换 H3C S5100 EI 系列交换机采用专利技术允许交换机利用专用互联电缆实现多达 16 台 设备的堆叠 支持不同端口设备的混合堆叠 具有即插即用 单一 IP 管理 同时大大降低 系统扩展的成本 保护了用户投资 全面的接入安全策略全面的接入安全策略 H3C S5100 EI 系列交换机支持 EAD 端点准入防御 功能 配合后台系统可以将终端 防病毒 补丁修复等终端安全措施与网络接入控制 访问权限控制等网络安全措施整合为 一个联动的安全体系 通过对网络接入终端的检查 隔离 修复 管理和监控 使整个网 络变被动防御为主动防御 变单点防御为全面防御 变分散管理为集中策略管理 提升了 网络对病毒 蠕虫等新兴安全威胁的整体防御能力 H3C S5100 EI 系列交换机支持特有的 ARP 入侵检测功能 可有效防止黑客或攻击者 通过 ARP 报文实施网络中逐渐盛行的 中间人 攻击 对不符合 DHCP Snooping 动态绑定 表或手工配置的静态绑定表的非法 ARP 欺骗报文直接丢弃 同时支持 IP Source Check 特 性 防止包括 MAC 欺骗 IP 欺骗 MAC IP 欺骗在内的非法地址仿冒 以及大流量地址 仿冒带来的 DoS 攻击 另外 利用 DHCP Snooping 的信任端口特性还可以有效杜绝私设 DHCP 服务器 保证 DHCP 环境的真实性和一致性 H3C S5100 EI 系列交换机支持端口安全特性族可以有效防范基于 MAC 地址的攻击 可以实现基于 MAC 地址允许 限制流量 或者设定每个端口允许的 MAC 地址的最大数量 使得某个特定端口上的 MAC 地址可以由管理员静态配置 或者由交换机动态学习 H3C S5100 EI 系列交换机有强大硬件 ACL 能力 能深度识别报文 支持 L2 L4 包过 东北大学工商管理学院网络改造项目技术建议书 18 滤功能 提供基于源 MAC 地址 目的 MAC 源 IP 地址 目的 IP 地址 IP 协议类型 物 理端口 VLAN 等定义 ACL 并且支持基于硬件的 IPv6 报文过滤 以便交换机进行后续 的处理 并且支持基于全局 VLAN 端口 组 的 ACL 下发 有效简化配置过程并节约 硬件资源 H3C S5100 EI 系列交换机提供 802 1X 和集中 MAC 认证方式对接入的用户进行认证 允许合法用户通过 对于非法用户则拒绝其上网 同时还支持客户端软件版本检测 Guest VLAN 等功能 和 CAMS 服务器配合还可以实现代理检测 双网卡检测等功能 通过这些 功能的应用可以对用户的合法性进行充分的检查和控制 最大程度的减少非法用户对网络 安全的危害 完善的完善的 QoS 保障保障 H3C S5100 EI 系列以太网交换机提供基于 Diffserv 和 802 1P 的 QoS 特性 可以对报 文的 802 1P 和 DSCP 域优先级进行修改等操作 并映射到每端口提供的 8 个 COS 队列 队列调度提供了三种各具特色的队列调度算法 严格优先级 SP 和整形加权轮循 SDWRR 调度算法以及 SP SDWRR 组合调度算法 H3C S5100 EI 系列以太网交换机支持基于 IPv4 和 IPv6 的流量监管和带宽粒度控制 流量限速的最小粒度为 1Kbit s 确保为进入交换机的特定业务提供带宽保证 即使在网络 拥塞时 也能满足一定的丢包 时延及时延抖动等 QoS 需求 支持流量整形保证以太网交 换机可以对输出报文速率进行控制 支持基于流的报文重定向 增强的网络管理和维护的易用性增强的网络管理和维护的易用性 H3C S5100 EI 系列交换机支持通过 FTP TFTP 实现设备的远程升级 支持 SNMP v1 v2 v3 可支持 Open View 等通用网管平台 以及 iMC 智能管理中心 支持 CLI 命令行 Web 网管 TELNET HGMP 集群管理 使设备管理更方便 并且支持 SSH2 0 等加密方 式 使得管理更加安全 传统交换机对端口的镜像功能都是基于本地实现 镜像数据流无法穿越网络在核心实 现统一采集 监控和分析 H3C S5100 EI 支持跨交换机的远程端口镜像功能 RSPAN 可以将接入端口的流量镜像到核心交换机上 在核心上启动网流分析 Netstream 功能 对监控端口的业务和流量进行监控 优化部署和恶意攻击监控 H3C S5100 EI 系列交换机支持 VCT Virtual Cable Test 电缆检测功能 便于快速定 位网络故障点 并支持 DLDP Device Link Detection Protocol 单向链路检测协议 可以 有效的防止网络中单通故障的发生 大幅提高网络维护效率 切实将设备的易用性带给用 户 H3C S5100 EI 系列交换机支持 IPv6 host 功能族 包括 IPv6 单播地址配置 ICMPv6 IPv6 邻居发现协议 ND IPv6 Telnet IPv6 Ping IPv6 TCP IPv6 TFTP IPv6 TRACERT 管理特性 满足用户未来从 IPv4 向 IPv6 平滑升级的需求 东北大学工商管理学院网络改造项目技术建议书 19 5 3H3C WX3000 系列无线交换机 5 3 1产品简介 H3C WX3000 系列一体化交换机是杭州华三通信技术有限公司 以下简称 H3C 公司 自主研发的集成无线控制器和千兆以太网交换机功能的产品 H3C WX3000 系列一体化交 换机提供纯千兆以太网有线接入口 支持 PoE 供电 每端口最大提供 25W 的功率 同时 兼容 802 11a b g n 协议 其中 WX3024 后面板提供两个 10GE 接口插槽 解决了 WLAN 网络核心的传输瓶颈 WX3000 系列一体化交换机提供一体化的有线无线接入控制功能 定位于中小型企业网和大型企业分支机构的一体化接入 是中小企业 大企业分支机构有 线无线一体化接入最理想的一体化交换机 H3C WX3000 系列一体化交换机目前包含 H3C WX3024 一款型号 配合 H3C 公司自主研发的 Fit AP H3C WA2110 WA2620 WA2600 可以满足上述几种无线典型应用 产品视图如下 产品视图如下 WX3024 设备外观图设备外观图 5 3 2产品特点 提供对提供对 802 11n AP 的管理的管理 WX3000 系列一体化交换机在支持对传统 802 11a b g AP 管理的同时 还可以与 H3C 于 802 11n 协议的 WA2600 系列 AP 配合组网 从而提供相当于传统 802 11a b g 网络 6 倍 以上的无线接入速率 能够覆盖更大的范围 使无线多媒体应用成为现实 提供灵活的数据转发方式提供灵活的数据转发方式 支持集中式转发和分布式转发 单一的集中式转发 AC 虽然能对报文进行全面控制 但所有的无线业务流都要到 AC 进行统一处理 使得 AC 的转发能力很容易成为瓶颈 特 别是当通过广域网方式转发时 AP 作为数据接入设备部署在分支机构 而无线控制器部署 在总部 所有用户数据由 AP 发送到无线控制器 再由无线控制器进行集中转发 导致转 发效率低下 甚至当 802 11n 出现时 一个 AP 的业务报文流量高达 300M 之多 AC 的处 理性能更加成为无线系统的瓶颈 当采用分布式转发时 报文在 AP 上直接转化为有线格 式的报文 并不经过 AC 能够实现无线报文的宽带接入 WX3000 系列一体化交换机 支持两种转发方式 用户可以