青岛中能酒店基础网络建设-技术建议书

青岛中能酒店基础网络建设技术建议书山东博威信息技术有限公司2008年12月目录1项目概述41.1.中能酒店基础网络建设项目总体概述42.需求分析42.1.网络设计原则与目标43.配置清单94.方案特点及获益分析104.1.网络产品选型104.1.1.中心交换机的选择10桌面交换机的选择11酒店获益分析115.方案产品介绍145.1.SonicWall NSA 统一威胁管理（UTM）设备145.1.1.产品概述145.1.2.功能及特点145.1.3.灵活和可自定义的部署选项NSA系列一览175.1.4.主要功能175.1.5.产品规格195.2.H3C S5500-SI 系列以太网交换机205.2.1.产品概述205.2.2.产品特点20高扩展性保护投资20多业务支持能力20完备的安全控制策略21丰富的QoS策略21出色的管理性225.2.3.产品规格235.3.H3C S1526 可管理接入交换机265.3.1.产品概述：265.3.2.产品规格：265.4.H3CS1550可管理接入交换机285.4.1.产品概述：285.4.2.产品规格295.5.WA2220/WA2110系列无线AP315.5.1.产品概述315.5.2.产品特点：325.5.3.产品规格：356.公司简介406.1.企业文化436.2.组织机构436.3.公司情况一览表457.第八章成功案例467.1.电力系统467.2.运营商477.3.金融、证券、期货487.4.政府军队507.5.大中型企业511项目概述1.1. 中能酒店基础网络建设项目总体概述中能大酒店位于青岛东海东路海滨雕塑园附近，占地面积近20000平方米，花园式酒店建筑，建筑面积7000余平方米，自然环境优美，地理位置优越,理海边仅50米, 是一家集特色餐饮、豪华客房、娱乐休闲于一体的欧式别墅群花园型酒店。 此次酒店建设的的总体项目为酒店四座楼的网络建设, 包括一座4层主楼和三座副楼包括两座三层和一座两层的楼,四座楼的网络管理与应用.2. 需求分析2.1. 网络设计原则与目标目前酒店200多间各式客房，近几年在酒店信息化服务迅速发展的浪潮下，酒店本着为客户提供无微不至的服务，并提高酒店整体形象的目标，计划组建全面的酒店宽带网络，要求网络覆盖酒店客房及办公区域，以此实现酒店内部办公网络的运行，同时也为入住酒店的客人上网提供便利的上网条件。满足入住客人零设置上网，即：即插即用功能的应用。 建立一套安全、稳定并且可运营、可管理的酒店网络环境。 将酒店内部办公网和客房网络进行有效的隔离和管理，并保证办公网的安全性。酒店业的基础网络平台通常分为两个部分：客房网、办公网。前者用于为客人提供服务，后者用于内部的管理和办公。两个网络平台通过共用的出口模块与Internet连接。由于酒店行业的特殊性，在网络设计中我们力求体现到标准化和先进性、高可靠性、高安全性、可管理性、可扩充性等先进特性：标准化和先进性：为了保证用户的网络系统具有互操作性和高可靠性，并且易于维护、管理和扩展，全部网络设备均严格执行国际标准和业界标准，以保证采用设备所建立的网络是一个名副其实的开放的网络系统，成为用户信息交换、资源共享的标准平台。在此基础上，在方案设计上充分考虑技术发展的潮流，既兼顾了技术上的成熟性，同时保证了系统的先进性。 管理网络可管理性鉴于我们的网络设计、建造完毕后对整个网络的管理，以及后期维护便成为保证系统良好运行的基础。我们在设备的选型上应该考虑其是否支持行业标准的管理界面和统一的运维特性。同时，配置基于通用平台的网管软件是方便、高效地进行网络管理的捷径。网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。灵活的设置每个用户对内部网、Internet的访问功能，能够支持对每个用户实行管理；并且能够支持实现复杂的计费管理。I. 带宽管理：由于P2P等技术的滥用，使得网管人员的工作量加大，如果没有合理的带宽管理机制的话，将会造成网络带宽分配不均匀；II. 办公、客房区管理：根据酒店办公以及客房两大模块不同的性质，办公的网络一般建议采取设置固定IP地址，这样方便根据实际的网络使用需求，配置相应的防火墙规则（如：屏蔽某些网站、软件、上网时间管制等），而客房内的网络，一般建议采取DHCP自动获取，这样可以大大方便客人使用网络； 安全系统安全性当前，随着越来越多传统上所认为的“外部人员”获得合法的网络访问权限，仅仅由外围的防火墙所提供的防护级别已不能完全抵御入侵和攻击。此外，混合型威胁（如尼姆达、红色代码和 Slammer）通过利用孤立安全产品的漏洞渗透到网络中。混合型威胁还通过外围防火墙上使用的标准端口侵入网络。因为需要加强内部网络与外部网络的安全问题方能保证内部用户安全高效地访问外部网络。除了位于安全范围之内的台式客户端外，客户端防火墙还应该为在外围防火墙之外移动使用并连接到网络的客户端上的应用程序和数据提供了更多一层的安全防护。通过将客户端防火墙依次与病毒防护和入侵检测相集成，组织能够有效地防御复杂的混合型威胁。 为消除远程用户和联网客户端之间的安全缺口，当今的防病毒厂家已将各自客户端防火墙与入侵检测及防病毒技术相集成，使它们密切协作，构成深层防御的整体架构，结合IDS技术，同时个组件件的协同运作能力使这些安全技术能够有效地防御各种病毒威胁因此我们必须充分考虑到系统的内部安全策略，选择合适的防毒软件，防病毒软件必须能够定期更新病毒库，还具有客户端防火墙能，同时部署非常简单、不需要花费太多的人力、物力去维护良好的计算环境。 除次以外我们还根据中能酒店的实际应用考虑到：客户信息的保密机制和局域网安全防范机制I. 客户信息保密机制：客房内的信息点应该禁止局域网互访，防止客人的电脑接入局域网后被局域网内其他的电脑入侵或者访问到其共享资源；II. 局域网安全防范机制：由于客房内的信息点终端流动性比较大，带来通过局域网传播的病毒的可能性也大大增加，因此应该建立一个完善的局域网安全机制，能够有效地防止DOS蠕虫攻击、ARP病毒攻击等常见的局域网网络攻击，而我们提供的统一威胁管理技术可以完全解决这一问题。 网络维护I. 网络维护成为酒店IT网络管理员头疼的事情，机房网线排序不规则、通常都不清楚那根线接哪个房间。网络可扩充性随着用户应用规模的不断扩大的可能，我们必须设计保证网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，在网络设计时为未来的业务发展留出充分的扩展余地。不仅考虑单个设备本身的扩展能力，更要考虑到整个网络系统的未来应用，在照顾到目前的应用需求的同时，又能满足今后整个计算机系统的发展需要，从长期发展的角度出发保护用户的投资。 响应公安部的82号令，实现实时监控酒店客房上网情况。 良好的售后服务酒店身为一个服务业企业，服务是立身之本，希望能为客人提供迅速有效的反馈。但由于酒店网管一般对路由器了解不深，因此希望能很快得到咨询，并解决问题。本地化技术服务以及远程技术支持就显得非常重要了。网络建设方案：酒店基础网络平台分为核心和接入二层拓朴架构。为了网络安全和方便管理，将整个酒店网络在逻辑上划分为两部分：客房网和办公网。前者用于为客人提供服务，后者用于内部的管理和办公。两个网络平台通过共用的出口模块与Internet连接。网络核心采用高性能三层交换机。接入采用百兆智能交换机实现百兆端口到普通客房，或者千兆交换机实现千兆端口到高级商务套房。位于酒店信息中心的网络核心采用H3C S5500系列交换机为整个网络提供高性能、大容量的交换服务。位于楼层的弱电间的接入交换机采用S1500系列安全智能交换机，来为普通客房提供100M带宽服务。或者采用S5000或S5100系列全千兆安全智能交换机，来为高级商务套房提供1000M带宽服务。通过多模千兆光纤上联到S5500核心交换机。酒店内部的服务器群(如VOD服务器、监控服务器等)可通过1000M端口直接连接到S5500核心上。为Internet访问提供服务的酒店网站、Email服务器等部署在网络出口安全设备的DMZ区域。互联网出口采用SonicWall NSA 2400系列统一威胁管理（UTM）设备，能够抵抗各种攻击，兼备入侵防御、内容过滤、防病毒及反间谍软件功能和 SonicWALL 应用防火墙的应用层控制功能。 同时NSA 系列利用先进的路由、全状态同步高可用性以及高速VPN技术可为酒店网络倍添安全性、可靠性、功能性及生产力，同时还将成本及复杂程度降到最低。SonicWall NSA 系列安全设备克服了现有安全解决方案的各种局限性，它能实时地对每一个数据包执行整体扫描以检测当前出现的内部及外部威胁。依靠高速多核处理平台，NSA 系列能执行深度包检测功能而又不会影响关键业务网络及应用的性能。 另外客人在大堂、咖啡厅、酒吧、餐厅、酒店花园可能都随时有上网的需求。而这些区域是难以布线的。面对这些需求，WLAN网络建设就是必然的选择了。它的作用是显而易见的： 高级商务套房有线无线双重覆盖，提升客户体验，提高客户满意度 公共区域(大堂酒吧咖啡厅花园)无线覆盖。便利客户随时随地上网 新闻发布会现场，方便新闻稿件及时发送 与有线网络比较。投资成本更低 安装简单快捷。不需要复杂施工布线等，节省大量时间，不影响营业。无线网络服务必然会提高客户对酒店服务的高度认可，提高客人的满意度和归属感，从而提升了酒店的品牌。此外，为了响应公安部82号令，可在监控服务器上安装公安系统提供的监控软件，利用S5500核心交换机提供的端口镜像功能，通过VLAN ID号监控每个房间的上网信息并实时发到公安部门,轻松实现监控。中能酒店基础网络拓扑图3. 配置清单设备型号描述数量一号楼（4层）LS-5500-20TP-SI-H3H3C S5500-20TP-SI-L3以太网交换机主机(12SFP+8GE)1SOHO-S1526-CN24个10/100M全双工线速交换端口，2个SFP插槽4SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)12二号楼（3层）SOHO-S1526-CN24个10/100M全双工线速交换端口，2个SFP插槽3SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)3三号楼（3层）SOHO-S1526-CN24个10/100M全双工线速交换端口，2个SFP插槽3SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)3四号楼（2层）SOHO-S1526-CN24个10/100M全双工线速交换端口，2个SFP插槽1SOHO-S1550-CN数据通信-H3C S1550-CN-48+2千兆上行以太网交换机1SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)2WLANEWP-WA2210-AGH3C WA2210-AG 无线局域网室内型AG单频双模接入点1UTM01-SSC-7066SonicWALL NSA 2400 GAV/IPS/Application Firewall Security Bundle 1YR14. 方案特点及获益分析中能酒店目前已有从ISP光纤到网络中心，并且将酒店一号楼作为主楼为网络中心，从此拉光纤到二号、三号、四号楼的每个节点，从公平、可管理性、维护角度考虑，这种组网方式比较合适。通过UTM强大的路由和网络安全功能，集成了入侵防御、网关防病毒及反间谍软件以及应用防火墙可配置工具套件，以防止数据泄漏以及提供细粒度应用控制，实现外部和内部网络上物理隔断；并通过配置防火墙，防止了恶意用户的非法访问；通过内部配置第三层交换机，可以提供网络中不同VLAN间的受控制的安全通信，把酒店内部的财务部、业务部等重要部门划分为不同的VLAN进行管理，客房的接入部分划分位一个独立的网络与酒店的内部办公局域网进行完全隔离，通过增加防病毒软件，在INTERNET数据进入内网之前，通过防病毒软件对数据进行检测，使病毒在进入内网前进行清除，从而最大限度地保护内部网络的安全。4.1. 网络产品选型4.1.1. 中心交换机的选择在网络主干上无疑选择1000M快速以太网技术选择设备时既能满足现在网络环境的需求，又为将来网络的进一步的扩展留有充分的余地。从中能酒店的实际状况出发，我们认为，因为从中心设备间拉光纤到各栋二级节点，实现与各个楼群的支干交换机的千兆交换数据，并且作为主干交换机，需要具有极高的可靠性，安全性。所以我们采用一台1台H3C S5500-SI 系列交换机LS-5500-20TP-SI作为核心层交换机，是对网络应用最理想的选择。千兆主干的优势：主干网选用千兆以太网，其第二层以太网路由交换机产品大都满足IEEE 802.3Z标准，技术成熟，具有流量优先机制能有效的保证多媒体传输时的QOS，同时提供基于802.3Q的VLAN技术。提供VLAN的有效管理方案。千兆以太网具有良好的兼容性和可扩展升级性，在ATM技术成熟时，可通过LANE技术，平滑集成到ATM网络中。多媒体应用需求均采用100M交换式连接，使用户终端独占10M带宽的数据交换。从多媒体数据传输方面考虑，点对点的传输保证数据包的碰撞几率达到最小，从多媒体数据对带宽需求方面考虑，传输MPEG-1 1.5Mb/s多媒体数据流时，以太网应用具有QOS的服务优先控制，网络使用效率超过60%，其实际利用带宽超过6Mbps，可满足应用要求，同时还可满足MPGEG-II的6Mbps要求。在核心交换机与工作组交换机之间，采用1000Mbps传输带宽，可传输的MPEG-1多媒体数据流的中数为：1000M/1.5Mbps=667路 当对于MPEG-2数据流，可传输的路数为：1000M/6Mbps=167路 因此，可以在保证的现有投资的基础上，达到图像质量更佳的技术解决方案。系统提供基于SNMP、RMON、RMON2的智能化网络管理，极大的提高了网络的维护性。基于以上的分析论证，我们认为：以千兆以太网作为主干网，100M交换到桌面的集成应用系统方案是一个合理的、可行的、经济的、基于功能应用的方案。桌面交换机的选择根据中能酒店的实际应用状况，我们认为在接入层选用桌面交换机采用以10M/100M自适应交换机为宜，如采用1000M交换机，需要在工作站用1000M网卡，成本相对较高，并且通过在交换机上增加千兆模块实现与网络中心1000M连接速度。上述的依据，我们选择H3C公司的新一代交换机SOHO-S1526-CN和SOHO-S1550-CN在一个简单经济的平台上提供了高性能的功能丰富的10/100以太网交换，是新一代智能化局域网交换机，H3C1500系列交换机对所有网络应用都是理想的选择。在本方案中，我们在桌面交换机选择了H3C1500系列交换机。酒店获益分析 高网速：普通客房百兆接入、高级商务套房千兆接入、办公电脑百兆接入、线速交换。 高安全：客房网和办公网络逻辑上独立、客房VLAN隔离、防ARP欺骗；通过UTM强大的安全功能，能够抵抗各种攻击，兼备入侵防御、内容过滤、防止外界黑客对酒店的宽带系统进行攻击。防病毒及反间谍软件功能和 SonicWALL 应用防火墙的应用层控制等功能。 安全隔离功能：因酒店住客对安全性要求较高，为了保护住客个体的安全，不能允许其直接通信。这可由以太网交换机的VLAN功能解决，VLAN能够在OSI/ISO的第二层数据链路层将数据流隔断，如有的用户提出的隔离掉NETBIOS、网上邻居不能见，这些通过设置基于端口VLAN就可以轻松实现。防止住客与住客之间的机密文件窃取。 网站浏览限制功能：对一些网站的浏览进行限制，例如：防止客户对一些非法网站的访问而带给网络中其它用户的伤害，还有客户用BT等软件会对其他网络用户的网速有非常大的影响，同时一网双用，内部办公网络和客户使用网络并用一个网络，而又互相隔离。 远程管理功能：使酒店或 ISP 的运维人员不必在设备边上进行设备维护和设置。 带宽管理与流量监控： 酒店是一个流动性很强的场所，所以这对网络的安全和管理是有很高的要求，通过网络的规划建设，尽量满足，甚至希望前瞻性满足客人对网络访问的最新需求，比如远程互联、IPSec穿透以及多媒体互联等应用。并通过对BT、电驴、迅雷、QQ等软件进行控制，帮助酒店合理利用带宽。满足公安82号令，能够轻松对上网客房流量监控 酒店计费管理 酒店计费管理服务器作为后台处理软件，放置在酒店前台，主要用于完成用户开户，计费信息采集，帐务处理，统计，出帐的功能。它作为一种服务器软件安装在酒店的 PC 服务器上。该软件还可以提供应用程序（ API ）接口以及硬件的串行接口与酒店的 MIS 接口进行通讯。具体功能包括： 1) 开户（ Authorize ） 2) 认证（ Authenticate ） 3) 采集和监控（ Accounting & Supervising ） 4) 统计与审核 5) 账单输出 6) 系统管理 远程汇总服务器 远程汇总服务器装载运营商级的服务器软件，放在 ISP 的中心机房里；通过 INTERNET 标准的 AAA 协议 -RADIUS 协议远程采集各酒店中用户的网络使用情况，并对详细上网情况进行汇总。以便双方进行合作分成。 系统提供了统计员应用软件，统计员软件用于对数据库进行查询、统计的工作，为经营者统计每天用户登录、访问、使用和缴费等数据， 帮助经营者分析用户的使用习惯， 网络的流量，访问站点等资料。 优质的无线网络服务：优质便捷的无线网络服务可以提升客户体验，提高客户满意度，从而提升了酒店的品牌。 统一管理：网络平台承载酒店所有的各种应用系统、整个网络平台统一管理。有线、无线统一管理。另外依托酒店宽带网络，可以开展诸多特色信息服务，如信息查询、话务台能实现一系列的酒店功能服务，包括入住、退房、免打扰设置/重设、留言等待设置/重设、叫醒呼叫设置/重设、客房呼叫禁止设置/重设、VIP状态显示、客人信息显示、客房状态显示、VOD视频点播、多媒体娱乐房态信息系统、自动唤醒和小酒吧记账等相关应用等，这些能力可向客人提供更为满意的服务，大大提高住客对酒店的满意度。例如：在多媒体网络中消耗网络资源最大的是视频信息。以VOD视频点播为例，VOD系统是一个与网络密切相关的系统，网络的结构、性能、互联性、可扩充性等方面对VOD系统的成功应用有着至关重要的影响。 通常，一路视频信号在IP网上是一个MPEG1视频数据流，在网上占用1.5Mb带宽，而一条10M网络的有效使用带宽为6M8M，可以同时传送45路视频数据流。同理，一条100M网络可同时传送4050路视频数据流，具有大流量、高突发性的应用特征，关键数据的优先传输被赋以更大重要性。H3C1500系列交换机有24个10/100M自适应以太口和2个扩展插槽，百兆扩展插槽可配百兆光纤模块，千兆扩展插槽可选配千兆光纤模块并提供高性能的背板通道。背板带宽高达32G，背板路由速率高达17.4Mpps，为骨干网络提供了畅通的第二层线速交换和第三层线速路由功能。通过下连楼层H3C1500系列交换机，建立了一个全交换的局域网，能为住客提供100M到桌面的应用服务。同时，H3C1500系列交换机提供的QoS服务包括优先级管理、带宽管理、VLAN交换等，使得网络管理者能根据各种不同类型的网络流量（包括TCP/UDP会话），按优先级分配带宽而没有任何交换性能上的损失。从而使酒店住客获得更高质量的多媒体服务。酒店的领导和员工都能通过网络及时、准确地查询经营活动中的信息，网络速率的提升带来了办公效率的提升，宽带服务也可以明显提高酒店的入住率和回头率，IT投资的回报将会有很好体现。5. 方案产品介绍5.1. SonicWall NSA 统一威胁管理（UTM）设备5.1.1. 产品概述SonicWALL网络安全设备（NSA）系列采用了突破性多核设计以及受到专利保护的免重组深度包检测（RFDPITM） 技术*， 在无需牺牲网络性能的情况下即可获得全方位的安全保护。 NSA 系列克服了现有安全解决方案的各种局限性，它能实时地对每一个数据包执行整体扫描以检测当前出现的内部及外部威胁。依靠高速多核处理平台，NSA 系列能执行深度包检测功能而又不会影响关键业务网络及应用的性能。 NSA 系列采用新一代统一威胁管理（UTM）技术抵抗各种攻击，兼备入侵防御、防病毒及反间谍软件功能和 SonicWALL 应用防火墙的应用层控制功能。 NSA 系列利用先进的路由、全状态同步高可用性以及高速 VPN技术让您的分支机构、中央区域及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力，同时还将成本及复杂程度降到最低。 NSA 系列包括 SonicWALL NSA 240、 2400、 NSA 3500、 NSA 4500 和 NSA 5000，提供各种解决方案，专为满足各种机构的网络安全需求而设计。 5.1.2. 功能及特点 SonicWALL 公司新一代安全产品结合了更高层次的UTM技术，集成了入侵防御、网关防病毒及反间谍软件以及应用防火墙可配置工具套件，以防止数据泄漏以及提供细粒度应用控制。 可扩展多核硬件及免重组深度包检测扫描并清除任意大小文件中的威胁， 对并发连接没有限制而且网速不减。 网络管理员可使用主级或次级调制解调器或 3G 无线接口配置 NSA 240 系列，确保产品的高度扩展能力可以满足未来的需求。 SonicOS 5.0 增强版中的全状态同步高可用性及负载均衡功能可充分利用网络带宽， 保证最大的网络正常运行时间， 让您随时能访问关键业务资源并且确保 VPN 隧道及其它网络流量在故障切换时不会中断。 高性能及更低的总拥有成本（TCO）通过同时使用多核处理能力而实现， 极大地增加了吞吐量和并行检测能力，同时降低了功耗。 先进的路由服务及网络功能结合了先进的网络安全技术，包括802.1q VLAN、WAN/WAN容错功能、基于域和对象的管理、负载均衡、先进的 NAT 模式及更多技术，为您提供灵活的细粒度配置及全面的安全防护能力。 标准 VoIP 功能为 VoIP 基础架构的每一个单元， 从通信设备到适用于VoIP 的设备， 如SIP Proxies 、 H.323 Gatekeepers 以及 Call Server，提供最高级别的安全保护。 安全的分布式无线 LAN 服务让设备能够起到安全无线交换机及控制器的作用， 它能够自动侦别并配置SonicPointsTM，SonicWALL无线访问点保障了分布式网络环境中的远程访问安全。 联网服务质量（QoS）特性利用行业标准的802.1p及差异化服务编码点（DSCP）服务类别（CoS）指示符提供强大灵活的带宽管理，这对 VoIP、多媒体内容及关键业务应用起到至关重要的作用。动态安全架构及管理同级别最佳的保护： SonicWALL深度包检测保护能抵御网络风险，如病毒、蠕虫、木马、间谍软件钓鱼式攻击、新出现的威胁及 Internet 误用。应用防火墙能提供额外的高可配置性控制以防止应用层上的数据泄漏及带宽管理。 SonicWALL免重组深度包检测（RFDPI）技术利用 SonicWALL 公司的多核架构对数据包进行实时检测，而无需将信息流量缓存在内存中。该功能可以扫描并清除任意大小文件中的威胁，对并发连接没有限制。 NSA 网络安全设备系列通过连续自动的安全更新提供动态的网络保护，对新出现的及不断演变的病毒进行清除而无需请求管理员干预。统一威胁管理负载均衡 包含了多种保护技术的单处理器设计受到单个中央处理器的严格限制。SonicWALL UTM负载均衡技术将高速深度包检测及流量分类引擎应用到多个安全内核上，并行扫描应用程序和文件，而不会对网络性能或可扩展性产生显著影响。这就使在承载带宽密集和延时敏感的应用和业务的网络上扫描和控制安全威胁成为可能。SonicWALL Clean VPNTM NSA 网络安全设备系列包括了极富创造性的 SonicWALL Clean VPNTM技术， 该技术让远程移动用户及分支机构的信息进入企业网络之前，就对其漏洞利用及恶意代码进行清除，而无需用户干预。集中化策略管理 可利用 SonicWALL 全球管理系统（GMS）对NSA网络安全设备系列进行管理，该系统提供了强大、灵活、直观的管理工具，可对各种配置执行集中管理，实时查看监控数据并将策略与合规性报告结合在一起。5.1.3. 灵活和可自定义的部署选项NSA系列一览每一种 SonicWALL NSA 网络安全设备解决方案都采用了突破性多核硬件设计以及受到专利保护的免重组深度包检测 TM（RFDPI）技术，针对各种内部和外部网络保护，提供新一代统一威胁管理保护，而无需牺牲网络性能。每一款NSA系列产品都融合了高速入侵防御、文档和内容检测、强大的应用防火墙控制以及众多先进的、具有高度灵活性的网络和配置功能。NSA 系列所采用的平台不仅易用性强，而且价格合理，便于在各种类型的企业、分支机构和分布式网络环境中部署和管理。 SonicWALL NSA 5000是该系列中的顶级产品，也是要求最严苛的校园及分布式网络环境的理想选择。 SonicWALL NSA 4500是那些需要高吞吐量和高性能的企业中心站点和大规模分布式环境的理想选择。 SonicWALL NSA 3500是那些对吞吐量和性能要求极高的企业、分支机构和分布式环境的理想选择。 SonicWALL NSA 2400是那些非常关注吞吐量和性能的中小型企业和分支机构环境的理想选择。 SonicWALL NSA 240 是中小型企业和分支机构的理想选择。5.1.4. 主要功能 网关防病毒、反间谍软件及入侵防御服务以及应用防火墙提供智能实时的网络安全保护，以抵抗复杂的应用层以及基于内容的攻击，包括病毒、蠕虫、木马、间谍软件及软件漏洞利用（如缓存溢出） 。应用防火墙能提供一整套可配置的管理工具，这些工具是专为防止数据泄漏并且提供细粒度应用层控制而设计的。 强制客户端和服务器防病毒及反间谍软件利用一个单一的集成客户端为笔记本电脑、 台式机及服务器提供全面的病毒及间谍软件防护， 同时还能提供网络范围内的防病毒及反间 谍软件策略、定义及软件更新的自动强制。 内容过滤服务通过采用创新性的评级架构，利用动态数据库阻止 56 类令人讨厌的 Web 内容，从而实现保护及生产力策略的强制。 ViewPoint报告提供易用的、基于 Web的各种功能， 这些功能让系统管理员能立即获得网络性能及安全的综合性了解。ViewPoint 采用 Dashboard 和详细总结的方式为各种机构提供一系列 历史报告，从而帮助他们进行 Internet 使用追踪， 满足合规性要求并对其网络的安全状态进行监控。 动态支持服务可根据用户的需要选择 85 或247 支持服务。 该服务包括了世界级的技术支持、关键的固件升级、 扩展性电子工具的使用以及及时的硬件更换， 从而帮助各种机构 获得最大的 SonicWALL 投资收益。5.1.5. 产品规格5.2. H3C S5500-SI 系列以太网交换机5.2.1. 产品概述H3C S5500-SI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的集群管理功能，用户能够简化对网络的管理。S5500-SI系列千兆以太网交换机定位为企业网和城域网的汇聚或接入，同时还可以用于数据中心服务器群的连接。S5500-20TP-SI5.2.2. 产品特点高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE链路将是我们的未来发展方向。S5500-SI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力保护用户投资。S5500-SI系列硬件支持IPv4/IPv6双栈，其中IPv4支持静态路由和RIP协议，IPv6支持静态路由和RIPng协议。同时支持IPv6的ACL和网管，实现IPv4到IPv6的平滑升级。H3C S5510-SI交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理的优点。同时大大降低系统扩展的成本，保护了用户投资。多业务支持能力支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。S5500-SI系列交换机通过支持POE和Voice Vlan技术结合可以提供完整的语音设备管理方案，很好地解决了大量的IP PHONE的智能检测、供电和优先级的调整问题。完备的安全控制策略H3C S5500-SI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5500-SI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2（SSH V2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富的QoS策略H3C S5500-SI系列交换机支持支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式。支持CAR（Committed Access Rate）功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。出色的管理性H3C S5500-SI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMPv2集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3C S5500-SI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。5.2.3. 产品规格支持特性S5500-20TP-SI交换容量（全双工）128Gbps包转发率（整机）29.8Mpps外形尺寸（长宽高）（单位：mm）440360 43.6重量5.5kg管理端口1个Console口业务端口描述12个1000Base-X千兆SFP端口8个10/100/1000Base-T以太网端口扩展插槽不支持可选接口模块不支持以太网供电PoE不支持端口聚合支持LACP 支持手工聚合支持最多12个聚合组，每组支持最多8个GE或2个10GE端口（10GE机型）端口特性支持IEEE802.3x 流量控制（全双工）支持基于端口速率百分比的风暴抑制支持基于PPS的风暴抑制MAC地址支持16K MAC支持黑洞MAC支持设置端口MAC地址学习最大个数堆叠支持IRF LITE堆叠技术最大支持16台堆叠VLAN支持基于端口的VLAN（4K个）支持基于MAC的VLAN基于协议的VLAN支持QinQ，灵活QinQ支持VLAN Mapping支持Voice VLAN支持GVRPDHCP支持DHCP Client支持DHCP Snooping支持 DHCP Relay支持DHCP Snooping option82/DHCP Snooping option82IP路由支持静态路由支持RIP/RIPng组播支持IGMP Snooping /MLD Snooping支持组播VLAN支持未知组播丢弃二层环网协议支持STP/RSTP/MSTP支持RRPP镜像支持N:4端口镜像支持流镜像QoS/ACLACL支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口、协议类型、VLAN的流分类支持时间段（Time Range）ACL支持基于VLAN下发ACLQoS支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持CAR（Committed Access Rate）功能每个端口支持8个输出队列支持端口队列调度（SP、WRR、SP+WRR）支持报文的802.1p和DSCP优先级重新标记安全特性支持用户分级管理和口令保护支持802.1X认证/集中式MAC地址认证支持Guest VLAN支持RADIUS认证支持SSH 2.0支持端口隔离支持端口安全支持EAD管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持SNMPv1/v2/v3，WEB网管支持RMON （Remote Monitoring）告警、事件、历史记录支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持NTP支持电源的告警功能，风扇、温度告警支持Ping、Tracert支持VCT（Virtual Cable Test）电缆检测功能支持DLDP（Device Link Detection Protocol）单向链路检测协议支持Loopback-detection 端口环回检测输入电压交流额定电压范围：100V240V AC，50/60Hz最大电压范围：90V264V AC，47/63Hz直流不支持功耗（满负荷时）65W工作环境温度045工作环境相对湿度（非凝露）10%90%5.3. H3C S1526 可管理接入交换机5.3.1. 产品概述：H3C S1526交换机是H3C公司自主开发的二层线速以太网交换产品，是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S1526提供了24个10/100 Mbps端口，2个千兆铜缆/SFP（mini GBIC）组合端口用于灵活的千兆铜缆或光纤骨干连接，用户可根据传送距离的不同要求灵活的选择1000BASE-LX、1000BASE-SX、1000BASE-T等多种接口类型。该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能，可以通过WEB界面进行方便地配置。图1 H3C S1526产品外观示意图5.3.2. 产品规格：项目描述概述标准IEEE802.3 10BASE-T以太网IEEE802.3u 100BASE-TX快速以太网IEEE802.3ab 1000BASE-T千兆以太网IEEE802.3z 千兆以太网（光纤）ANSI/IEEE 802.3 NWay自动协商IEEE802.3x流量控制固定端口24个10/100Base-TX自适应以太网端口2个10/100/1000Base-T自适应以太网端口1个Console接口固定端口属性连接器类型：RJ-45支持10/100/1000Mbit/s传输速率支持半双工、全双工、自协商工作模式支持MDI/MDI-X自适应网线类型10Base-T：3/4/5类双绞线，支持最大传输距离100m100Base-TX：5类双绞线，支持最大传输距离100m1000Base-T：5类双绞线，支持最大传输距离100m可选模块1000Base-LX-SFP：9/125m单模光纤，传输距离10km1000BASE-ZX-LR-SFP：9/125m单模光纤，传输距离40km1000BASE-ZX-VR-SFP：9/125m单模光纤，传输距离70km1000BASE-SX-SFP：50/125m多模光纤，传输距离550m指示灯每端口：Link/Act，Speed 每设备： Power性能背板带宽8.8G转发能力6.55Mpps交换模式存储转发模式MAC地址表支持地址自动学习、自动老化（老化时间为5分钟）最多支持MAC（Medium Access Control）地址：8K外形尺寸（长宽高）44023044 mm标准的19 英寸机架安装宽度，1U 高输入电压100240V AC,50/60Hz功耗最大15W工作温度040存储温度-1070工作湿度20%85%无凝结存储湿度5%90%无凝结散热方式自然散热软件VLAN基于端口VLAN支持VLAN最大数目:26支持128个802.1Q的VLAN，VLAN ID 1-4094可配优先级队列（QoS）标准:802.1p 队列数:4个端口聚合最多可设置3组端口聚合2个10/100Mbps端口干路（每个干路2到4个端口）1个千兆端口干路（2个千兆端口）端口镜像N:1端口带宽控制最小粒度为64KbpsVCT支持线路诊断功能配置和管理基于Web的管理支持配置文件导入/导出5.4. H3CS1550可管理接入交换机5.4.1. 产品概述：H3C S1550交换机是H3C公司自主开发的二层线速以太网交换产品，是为要求具备高性能、高端口密度且易于安装的网络环境而设计的智能型交换机。S1550提供了48个10/100 Mbps端口，1个千兆铜缆端口和1个千兆铜缆/SFP（mini GBIC）组合端口用于灵活的千兆铜缆或光纤骨干连接。H3C S1550可以为中小企业、教育、酒店等行业提供经济的网络解决方案，并能提供诸如VLAN划分、端口限速、端口汇聚和QOS等功能特性和简易的Web配置界面。图1 H3C S1550产品外观示意图 符合IEEE 802.3，IEEE 802.3u，IEEE 802.3z/802.3ab标准 流控方式：全双工采用IEEE 802.3x标准，半双工采用Backpressure标准 48个10/100M自适应RJ45端口，支持端口自动翻转（Auto MDI/MDIX） 2个10/100M/1000M自适应RJ45端口，1个SFP千兆光接口（与1个千兆以太网端口复用） 1个Console口 支持512个 802.1Q VLAN 支持端口聚合：支持6组汇聚组，每组最多8个端口 提供端口带宽控制功能，最小粒度为64kbps 支持IEEE 802.1p优先级协议模式、支持WRR（加权轮询）调度，支持每端口4个输出队列提供端口安全控制功能 支持广播风暴控制 支持端口镜像功能 支持MAC地址老化时间设置 提供W