网络机房技术方案.doc

山东鸿杰印务集团有限公司网络机房技术方案2016年04月目 录第一章 引言31.1概述31.2技术要求3第二章 系统拓扑42.1全网拓扑设计42.2方案说明5第三章 产品介绍63.1核心交换机63.2防火墙153.3汇聚交换机233.4 AP接入点283.5 AP控制器34第一章 引言1.1概述山东鸿杰印务集团有限公司机房建设工程位于山东省淄博市桓台县唐山镇。本次工程内容主要包括网络机房核心设备，厂区及车间之间光纤布线及车间的无线覆盖。1.2技术要求本工程所涉及中华人民共和国相关的国家规范标准、行业标准及地方标准，所有规范或标准等均以最新颁布版本现行有效为准。要求投标单位严格按规范要求执行，但规范中未明确的相关引述标准和细节规定，投标必须符合领取招标文件时已颁布或有实施要求的中华人民共和国国家规范和标准及青岛市地方标准。包括但不限于：钢管敷设工艺标准（305-1998）安全防范工程程序要求（GB-T75-94）民用闭路监视电视系统工程技术规范（GB50198-94）建筑电气安装分项工程施工工艺标准（533-1996）有线电视系统工程技术规范（GB50200-94）民用建筑电缆电视系统工程技术规范（GBJ）建筑与建筑群综合布线工程系统设计规范（GBT/T 50311-2000）建筑与建筑群综合布线系统工程验收规范（GBT/T 50312-2000）智能建筑设计标准（GB/T503142000）第二章 系统拓扑 根据山东鸿杰印务集团有限公司目前的接入点数量及应用系统的分布情况，按照安全区域划分的设计思想，各个区域物理隔离的技术手段，综合高性价比考虑，特设计如下方案。2.1全网拓扑设计网络拓扑图：2.2方案说明设用户网络总体设计主要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。使整个网络既有较高的先进性，并具有长足的开发发展能力，以适应未来网络技术的发展。用户网络设计在垂直层面采用分层的设计方式，用户网络是一个三层的交换网络，由核心层、汇聚层和接入层组成。核心网络设备：由于核心网络设备为用户整个网络的核心处理设备，要求有较高的数据处理能力、安全性及接口的扩展性，方便以后的人员的增加和系统的扩展。因此我们在这里选用了H3C的F100-M-G作为防火墙，选用H3C的S5500-28C-EI作为核心交换机。汇聚层网络：采用H3C的S5120-28P-WiNet交换机，通过电信专线与总机房连接，性能与速率满足用户的应用功能。无线网络：采用H3C专业级AP WAP722E，该AP最大功率可达23dBm。为了便于统一管理和维护以及实现无线漫游等功能，选用了H3C WAC361AP控制器进行统一管理，最大可支持32个AP。第三章 产品介绍3.1核心交换机产品图片产品特性H3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多6个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，其出色的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。同时S5500-EI系列交换机支持嵌入式管理软件,通过内置H3C UIS Manager 统一管理软件可提供跨服务器、存储、网络以及虚拟化的全融合管理，简化部署安装，优化运维管理。高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE链路将是我们的未来发展方向。H3C S5500-EI系列交换机支持两个扩展槽位，每个槽位支持最大两端口的10GE扩展模块及两端口的CX4扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。IPv4到IPv6的演变是以太网发展的大势所趋，网络设备对于IPv6的支持不仅是简单的可用就行，而是需要达到商用的标准，S5500-EI已经通过了国际最权威的IPv6 Ready第二阶段认证，而且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制，实现IPv4到IPv6的平滑升级。智能弹性架构H3C S5500-EI系列交换机支持IRF2（第二代智能弹性架构）技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处：* 简化管理 IRF架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。* 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。* 弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。* 高可靠 IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。* 高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。完备的安全控制策略H3C S5500-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5500-EI交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。H3C S5500-EI系列交换机提供增强的ACL控制逻辑，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。另外，S5500-EI系列还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。H3C S5500-EI交换机支持端口隔离功能，即便是在同一VLAN内，也可以实现端口之间的隔离，从而避免广播风暴和病毒在VLAN内地扩散从而影响所有端口。支持MAC地址学习限制和安全MAC地址功能，可以保证只有真正的业务主机才能够接入网络，而其他新接入主机即使连接到交换机上也无法获取地址并连通网络。多重可靠性保护S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持冗余电源，其中S5500-28F-EI支持可插拔的冗余电源模块，也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。除了设备级可靠性以外，还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术，比如华三通信独创的RRPP快速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。多业务支持能力支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。H3C S5500-EI系列交换机支持MCE功能，可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾，它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定，并为每个VPN创建和维护独立的路由转发表（Multi-VRF）。这样不但能够隔离私网内不同VPN的报文转发路径，而且通过与PE间的配合，也能够将每个VPN的路由正确发布至对端PE，保证VPN报文在公网内的传输。丰富的QoS策略H3C S5500-EI系列交换机支持支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式。支持CAR（Committed Access Rate）功能。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。出色的管理性H3C S5500-EI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3C S5500-EI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。该系列交换机还支持sFlow功能，可以对出入方向的报文按比例随机抽样，灵活实现报文采集。技术参数支持特性S5500-28C-EIS5500-52C-EIS5500-28C-PWR-EIS5500-52C-PWR-EIS5500-28F-EI整机交换容量256Gbps256Gbps256Gbps256Gbps256Gbps包转发率（整机）96Mpps132Mpps96Mpps132Mpps96Mpps156Mpps*192Mpps*156Mpps*192Mpps*156Mpps*外形尺寸（长宽高）（单位：mm）44030043.6440420 43.644036043.6重量4kg4.5kg6kg6.5kg6.3kg管理端口1个Console口业务端口描述24个10/100/1000Base-T以太网端口48个10/100/1000Base-T以太网端口24个10/100/1000Base-T以太网端口48个10/100/1000Base-T以太网端口24个1000Base-X千兆SFP端口4个复用的1000Base-X千兆SFP端口4个复用的1000Base-X千兆SFP端口4个复用的1000Base-X千兆SFP端口4个复用的1000Base-X千兆SFP端口8个复用的10/100/1000Base-T以太网端口扩展插槽2个扩展插槽可选接口模块1端口万兆以太网XFP光接口模块2端口万兆以太网XFP光接口模块2端口万兆以太网SFP+接口模块2端口万兆以太网CX4接口模块2端口1/10GBase-T以太网电接口模块2端口千兆以太网SFP光接口模块4端口万兆以太网SFP+接口模块*以太网供电PoE不支持支持不支持端口聚合支持LACP支持手工聚合支持最多14/26个聚合组，每组支持最多8个GE或4个10GE端口端口特性支持IEEE802.3x 流量控制（全双工）支持基于端口速率百分比的风暴抑制支持基于PPS的风暴抑制MAC地址表支持32K个MAC地址支持黑洞MAC地址支持设置端口MAC地址学习最大个数VLAN支持基于端口的VLAN（4K个）支持基于MAC的VLAN基于协议的VLAN基于IP子网的VLAN支持QinQ，灵活QinQ支持VLAN Mapping支持Voice VLAN支持GVRP二层环网协议支持STP/RSTP/MSTP支持RRPPDHCPDHCP ClientDHCP SnoopingDHCP RelayDHCP ServerDHCP Snooping option82/DHCP Relay option82IRF2支持IRF2智能弹性架构智能弹性架构支持分布式设备管理，分布式链路聚合，分布式弹性路由支持通过标准以太网接口进行堆叠支持本地堆叠和远程堆叠IP路由支持静态路由支持RIPv1/v2，RIPng支持OSPFv1/v2，OSPFv3支持BGP4，BGP4+ for IPv6支持等价路由，策略路由支持VRRP/VRRPv3MCE支持IPv6支持ND（Neighbor Discovery）支持PMTU支持IPv6-Ping，IPv6-Tracert，IPv6-Telnet，IPv6-TFTP支持手动配置Tunnel支持6to4 tunnel支持ISATAP tunnel组播支持IGMP Snooping v1/v2/v3，MLD Snooping v1/v2支持组播VLAN支持IGMP v1/v2/v3，MLD v1/v2支持PIM-DM，PIM-SM，PIM-SSM支持MSDP，MSDP for IPv6支持MBGP，MBGP for IPv6镜像支持流镜像支持N:4端口镜像支持本地和远程端口镜像QoS/ACL支持ACL支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、TCP/UDP端口号、VLAN的流分类支持时间段（Time Range）ACL支持入方向和出方向的双向ACL策略支持基于VLAN下发ACL支持QoS支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持CAR（Committed Access Rate）功能每个端口支持8个输出队列支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式支持报文的802.1p和DSCP优先级重新标记安全特性支持用户分级管理和口令保护支持802.1X认证/集中式MAC地址认证支持Guest VLAN支持RADIUS认证支持SSH 2.0支持端口隔离支持端口安全支持PORTAL认证支持EAD可支持DHCP Snooping，防止欺骗的DHCP服务器支持动态ARP检测，防止中间人攻击和ARP拒绝服务支持BPDU guard， Root guard支持uRPF(单播反向路径检测)，杜绝IP源地址欺骗，防范病毒和攻击支持IP/Port/MAC的绑定功能支持OSPF、RIPv2报文的明文及MD5密文认证。管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持SNMPv1/v2/v3，WEB网管支持RMON （Remote Monitoring）告警、事件、历史记录支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2（最大256台）支持NTP支持电源的告警功能，风扇、温度告警支持Ping、Tracert支持VCT（Virtual Cable Test）电缆检测功能支持DLDP（Device Link Detection Protocol）单向链路检测协议支持LLDP支持Loopback-detection 端口环回检测支持H3C UIS Manager 统一管理软件,可提供跨服务器、存储、网络以及虚拟化的全融合管理，简化部署安装，优化运维管理输入电压交流额定电压范围：100V240V AC，50/60Hz最大电压范围：90V264V AC，47/63Hz直流额定电压范围：额定电压范围：额定电压范围：10.8V13.2V DC(RPS专用)-52V-55V DC(RPS专用)-48V-60V DC功耗（满负荷时）110W155WAC供电：AC供电：115W满负荷功耗最大575W，其中系统功耗205W，POE对外供电功率370W；满负荷功耗最大640W，其中系统功耗270W，POE对外供电功率370W；DC供电：DC供电：满负荷功耗最大485W，其中系统功耗115W，POE对外供电功率370W；满负荷功耗最大910W，其中系统功耗170W，POE对外供电功率740W工作环境温度050工作环境相对湿（非凝露）10%90%3.2防火墙产品图片产品特性H3C SecPath F100-M-G是H3C公司推出的新一代防火墙产品，能够满足中小企业不断变化的网络环境和日益丰富网络应用的需要。SecPath F100-M-G继承H3C一贯的高性能、高可靠硬件平台，能够为用户提供线速、稳定的应用体验。SecPath F100-M-G不但可以提供传统的基础安全功能，如状态检测、NAT、VPN、链路负载均衡等；同时通过统一的软件平台和处理引擎，SecPath F100-M-G有效整合防火墙、入侵防御、应用层流量识别与控制、防病毒功能，为用户提供一体化的应用安全防护。市场领先的基础安全防护* 全面的基础安全防护：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、地址扫描和端口扫描等多种恶意攻击* 丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSecVPN及SSL VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理* 专业的NAT应用：提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能灵活可扩展的深度安全防护* 与基础安全防护高度集成的一体化安全业务处理平台* 全面的应用层流量识别与管理：通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用；支持P2P流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P协议报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制* 高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时，FIRST引擎采用了并行检测技术，软、硬件可灵活适配，大大提高了入侵检测的效率* 实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码* 全面、及时的安全特征库。通过多年经营与积累，H3C公司拥有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新技术领先的IPv6* 国内率先支持IPv6状态防火墙，真正意义上实现IPv6条件下的防火墙功能，满足迫在眉睫的IPv6应用需求* 支持IPv4/IPv6双协议栈，并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能* 支持IPv6各种过渡技术，包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等* 支持IPv6 ACL、Radius等安全技术电信级设备的高可靠性* 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验* 支持双机状态热备功能，支持配置同步与IPSecVPN的状态备份，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份极具性价比的多业务特性* 集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等技术，有效实现企业互联网出口的多链路自动均衡和自动切换* 一体化集成SSL VPN特性，满足移动办公、员工出差的安全访问需求，不仅可结合USB-Key进行移动用户的身份认证，还可与企业原有认证系统相结合、实现一体化的认证接入* 作为分支机构的出口设备，支持广域网EAD解决方案简单易用的智能管理* 简单易用的Web UI管理* 适合专业用户的全命令行管理* 支持基于SNMP和TR-069协议的管理* 通过H3C SecCenter安全管理中心实现统一管理。硬件参数项目描述接口1个配置口（CON）6GE插槽1个MIM插槽，可通过该插槽扩展网络接口DDR SDRAM1GBCF卡标配256M CF卡外型尺寸（W H D）442mm400mm44.2mm电源模块输入额定电压100VAC240VAC；50/60Hz最大输入电流1.6A最大功率消耗46W环境温度工作：045非工作：-4070环境湿度工作：1095%，无冷凝非工作：595%，无冷凝重量5.5Kg功能参数属性说明运行模式路由模式透明模式混合模式网络安全性AAA服务Portal认证RADIUS认证HWTACACS认证PKI /CA（X，509格式）认证域认证CHAP验证PAP验证防火墙安全区域划分可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood等多种恶意攻击基础和扩展的访问控制列表基于时间段的访问控制列表动态包过滤ASPF应用层报文过滤静态和动态黑名单功能MAC和IP绑定功能基于MAC的访问控制列表支持802.1q VLAN 透传病毒防护基于病毒特征进行检测支持病毒库手动和自动升级报文流处理模式支持HTTP、FTP、SMTP、POP3协议支持的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等支持病毒日志和报表入侵防御支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御支持对BT等P2P/IM识别和控制支持攻击特征库的分类（根据攻击类型、目标机系统进行分类）、分级（分高、中、低、提示四级）支持攻击特征库的手动和自动升级（TFTP和HTTP）URL过滤客户自定义URL过滤规则库支持Java Blocking、ActiveX Blocking过滤安全日志及统计系统操作日志防火墙日志攻击防护日志黑名单日志NAT日志NAT支持多个内部地址映射到同一个公网地址支持多个内部地址映射到多个公网地址支持内部地址到公网地址一一映射支持源地址和目的地址同时转换支持外部网络主机访问内部服务器支持内部地址直映射到接口公网IP地址支持DNS映射功能可配置支持地址转换的有效时间支持多种NAT ALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等VPNL2TP VPN支持根据VPN用户完整用户名、用户域名向指定LNS发起连接支持为VPN用户分配地址支持进行LCP重协商和二次CHAP验证GRE VPNIPSec/IKE支持AH、ESP协议支持手工或通过IKE自动建立安全联盟ESP支持DES、3DES、AES多种加密算法支持MD5及SHA-1验证算法支持IKE主模式及野蛮模式支持NAT穿越支持DPD检测SSL VPN支持 Web Proxy服务支持Telnet、Windows、VNC远程桌面共享支持Outlook、Notes支持固定服务端口的TCP应用程序支持路由模式的IP互连支持客户端隧道分离支持对可访问网段的限制支持对TCP、UDP和ICMP报文的过滤支持使用私有协议对客户端虚网卡IP地址的分配支持SSL VPN客户端之间的通讯客户端支持WINS服务和DNS服务支持本地认证、RADIUS认证、LDAP认证、AD认证、PKI证书认证和双因子认证支持对操作系统、浏览器、用户证书、指定文件和指定进程的检查支持清除缓存的网页、Cookie、客户端程序和客户端配置网络互连局域网协议Ethernet_IIEthernet_SNAP802.1q VLAN链路层协议PPPoE Client网络协议IP服务IPv4ARP域名解析IP UNNUMBEREDDHCP中继DHCP服务器DHCP客户端IP路由静态路由RIP v1/2OSPFBGP策略路由高可靠性VRRP支持双机状态热备（Active/Active和Active/Backup两种工作模式）支持负载分担和业务备份QoS流量监管CAR配置管理命令行接口通过Console口进行本地配置通过Telnet或SSH进行本地或远程配置配置命令分级保护，确保未授权用户无法侵入设备详尽的调试信息，帮助诊断网络故障用Telnet命令直接登录并管理其它设备FTP Server/Client，TFTP Client支持日志功能User-interface配置，提供对登录用户多种方式的认证和授权功能。支持标准网管 SNMPv3，并且兼容SNMP v2c、SNMP v1支持NTP时间同步支持Web方式进行远程配置管理支持SNMP、TR069网管协议支持H3C SecCenter安全管理中心进行设备管理认证支持欧洲严格的RoHS环保认证3.3汇聚交换机产品图片产品特性H3C WiNet智慧系列交换机是H3C近年来在中低端网络产品技术领域的一次重大技术创新，将具有WEB图形化界面的网络设备管理和用户管理功能的软件融合到交换设备中，通过设备间的配合组网能轻松实现设备配置管理，网络拓扑管理，用户接入认证，访问权限控制等功能，满足企业用户易管理、高安全、低成本的建网需求，适合行业、企业网、办公网等场景交换机组网选型。内嵌专业级中文图形化网管系统H3C WiNet智慧系列交换机内嵌专业级中文WEB网管软件，通过其简单直观的WEB图形化网管界面可以实现40多种功能配置，包括常用的设备端口配置，VLAN配置，生成树协议配置，MAC地址管理，ARP表管理，基础和高级的IPv4、IPv6 ACL（访问控制列表）配置，以及高级专业应用如端口安全策略，ARP攻击防御，802.1X、MAC、Portal用户认证，QOS策略，SNMP管理，ROMN告警设置等，使得网络管理员无需熟悉复杂的命令行语言即可直观的进行网络系统的部署。全面彻底的防范ARP病毒攻击H3C WiNet智慧系列交换机具有完备的安全策略，除了具备常用的端口绑定和ACL（访问控制列表）等网络安全技术外，还支持ARP入侵检测功能和ARP报文限速功能，可在交换机接入端口侧有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”和“泛洪攻击”，并且这一技术部署十分简单，可以基于端口，也可以基于VLAN，只需要在设备的中文WEB网管界面中点击鼠标选中启动防御策略即可完成部署。可实现对网络用户精细化管理H3C S5500系列千兆三层交换机内嵌WiNet网管平台，在与WiNet系列交换机成套部署时，通过设备间的配合组网，用户无需购买硬件服务器、软件数据库和AAA用户管理软件，即可拥有一套属于企业自己的用户管理认证系统。WiNet用户管理系统采用基于WEB的Portal认证模式，无需用户安装客户端，此外基于帐号（用户）的管理模式，使得WiNet用户管理系统可以对不同的认证用户授予不同的网络访问权限，如实现员工之间、部门之间的安全隔离或者允许禁止某一部分用户访问互联网络，从而保证企业机密信息有效受控。由此将中小企业网络由开放的、不受控的网络加固为具有用户准入及精细权限控制的安全的网络。增强的以太网供电功能（POE+）H3C WiNet智慧系列交换机提供支持增强的以太网供电功能（POE+）的款型产品，POE供电款型可以提供每端口最大30W的输出功率，可以为802.11n的无线接入点，可视IP电话，以及更多的POE受电终端设备提供以太网供电能力。高性价比，持续可用的生命力H3C WiNet智慧系列交换机遵从H3C现有主流企业级产品体系（软硬件设计），具有完善的二、三层网络功能（不同于其他简单智能网管产品），其能够伴随用户网络的发展持续可用，为用户提供了更优性价比的解决方案，用户无需担心IT硬件投资随业务发展而浪费；如企业规模只有几十人时可以作为桌面交换机（组建小型Office办公网络），采用产品自带的中文WEB网管系统管理；在企业规模达到百人以上时，可以通过核心H3C S5500系列交换机内嵌的WiNet网管平台进行网络和用户的管理；当企业规模达到几百上千人时，可以通过H3C IMC网管平台对网内的WiNet智慧系列交换机进行管理，由此可以看出WiNet智慧系列交换机具有广泛的适用性和强大的生命力。产品参数支持特性S5120-28P-WiNet交换容量（全双工）192Gbps包转发率（整机）42/78Mpps重量3/5kg管理端口1个Console口外形尺寸（长宽高）（单位：mm）44016043.6业务端口描述24个10/100/1000 Base-T以太网端口，4个1000Base-X SFP千兆以太网端口扩展插槽无可选接口模块如下接口模块仅适配S5500-28F-WiNet款型：单端口10GE XFP接口模块两端口10GE XFP接口模块两端口10GE CX4接口模块两端口10GBase-T接口模块两端口SFP接口模块两端口SFP接口模块端口聚合支持LACP支持手工聚合端口支持IEEE 802.3x流控（全双工）支持基于端口速率百分比和kbps的风暴抑制VLAN支持基于端口的VLAN（4K个）支持Voice VLANDHCP支持DHCP client支持DHCP Snooping支持DHCP Snooping trust支持DHCP Snooping option 82支持 DHCP Server（S5500-24P-WiNet/ S5500-48P-WiNet/ S5500-28F-WiNet支持）支持 DHCP Reley（S3100V2-26TP-WiNet/S3100V2-52TP-WiNet除外）组播支持IGMP Snoopingv2/v3生成树支持STP/RSTP/MSTP协议ACL支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等ACL支持基于时间段的ACL支持基于全局、VLAN、端口下发ACLQoS每个端口支持4个输出队列（S5500-24P- WiNet/ S5500-48P- WiNet/ S5500-28F- WiNet支持8个输出队列）支持802.1p/DSCP优先级支持端口队列调度（SP、WRR、SP+WRR）支持基于流的包过滤支持基于流的流量统计支持基于流的重定向支持基于流的优先级标记支持基于流的限速支持流量整形镜像支持端口镜像支持流镜像安全特性支持用户分级管理和口令保护支持Radius认证支持SSH 2.0支持802.1X，集中式MAC地址认证支持Guest VLAN支持端口隔离支持端口安全支持MAC地址学习数目限制支持ARP 入侵检测功能管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行基本业务配置支持SNMP，WEB网管，内嵌WiNet网管平台（S5500-24P- WiNet/ S5500-48P- WiNet/ S5500-28F- WiNet内嵌）支持RMON（Remote Monitoring）支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持NTP支持Ping，Tracert支持VCT（Virtual Cable Test）电缆检测功能输入电压交流额定电压范围：100V240V AC；50/60Hz最大电压范围：90V264V AC；47/63Hz功耗（满负荷时）31.5W工作环境温度045工作环境相对湿度（非凝露）10%90%3.4 AP接入点产品图片产品特性H3C WAP722系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于2-Streams 11ac MIMO技术的千兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11n网络3倍以上的无线接入速率，能够覆盖更大的范围。实现智能千兆云接入和最佳无线网络TCOWAP722系列AP遵从802.11ac协议标准，能提供空间2流(2-Streams) 866Mbps的无线传输速率以及整机千兆接入能力，是相同环境下802.11n产品3倍左右。内置天线，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络TCO(总拥有成本/Total Cost of Ownership)。绿色低碳设计* 全速率全特性能够满足标准POE供电（低于12.95W）。* WAP722系列AP采用专业绿色低碳设计，支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD)，智能辨识终端实际性能需求，合理化调配终端休眠队列，动态调整MIMO工作模式。* WAP722系列AP支持Green AP模式，实现单天线待机，节能更精准。* WAP722系列AP通过创新性的逐包功率控制(PPC)技术，在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率，以达到减少设备能耗和延长移动终端待机时间的作用。提供双千兆以太网接口有线连接* WAP722系列AP支持双频同时工作，组合性能可达1166Mbps。WAP722上行链路采用双千兆以太网接口，突破了传统单以太网接口的限制，使有线口不再成为无线接入的速率瓶颈，为将来支持更高速率更多射频组合提供了平滑升级的平台。* 双千兆以太网口的支持，还可以实现AP上行链路传输的备份，有效降低规模部署中有线侧故障对无线网络运行带来的风险和影响。支持Fat/Fit两种模式WAP722系列AP支持Fat和Fit两种工作模式，根据网络规划的需要，可以灵活地在Fat和Fit两种工作模式中切换，同时用户可以根据应用需求，灵活选择所需的设备出厂版本(Fat模式版本或Fit模式版本)。当客户的无线网络初始规模较小时，客户只需采购相应无线设备，并设置其工作模式为Fat模式。随着客户网络规模的不断扩容，当网络中应用的无线设备达到几十甚至上百台时，为降低网络管理的复杂度，建议客户采购H3C自主研发的WAC系列无线控制器设备，便于集中管理网络中的所有的WAP722系列无线设备，此时只需将其工作模式切换到Fit模式。工作模式切换过程只需要简易命令行，且可以通过设备网管批量执行，有利于将客户的无线网络由小型网络平滑升级到大型网络，从而更好地保护用户的投资，非常适合运营级大规模无线网络的平滑扩容升级。提供本地转发功能当WAP722系列AP (Fit模式)通过广域网方式转发时，无线接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制器，再由无线控制器进行集中转发。WAP722系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发，大大节约了有线带宽。支持IPv4/IPv6双协议栈(Native IPv6)WAP722系列AP全面支持IPv6特性，设备实现了IPv4/IPv6双协议栈。无论原有有线网络是IPv4还是IPv6，都可以自动地与WAC系列控制器进行注册提供WLAN服务，不会成为网络中的信息孤岛。支持RealTime Spectrum Guard(实时频谱保护)模式RealTime Spectrum Guard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。H3C WAP722系列AP支持内置射频采集模块，实现深度融合的射频监控和实时频谱防护。RTSG的控制台融合部署于H3C iMC智能管理中心，通过CAPWAP管理隧道，与Sensor AP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4GHz/5