酒店网络设计方案.doc

酒店网络设计方案一、中国酒店业面临的历史机遇2008年第29届奥运会在北京举行，中国已经成为世界瞩目的焦点，一些其他的重大世界性活动也纷至沓来：奥运会倒计时一周年庆典（2007）、第五届女足世界杯（2007）、第十二届特奥会在上海举办（2007）、2010年上海世博会、2010年广州亚运会等等，这些活动带来了大量的参加人员和众多的海外观众，同时通过这些活动向全世界宣传了中国，提升了国家的品牌，吸引全世界各国人民来中国参观旅游，他们为中国酒店业以及整个旅游业带来了滚滚财源！这波滚滚财源将会持续数年之久！二、中国酒店业需应对的信息化挑战1）如何满足酒店客人信息化娱乐和信息化商务的要求？在当前的信息化时代，客人对酒店的要求已经不仅仅是温馨舒适的居住环境、周到的人工服务了，他们更需要进行互动的娱乐和综合信息服务，如上网冲浪、在线游戏、影视点播、旅游信息、在线购物、风土人情介绍等。而且客人经常在酒店举行商务活动，如举行会议、商务洽谈、商务联谊，需要酒店能够为商务活动提供便利的办公条件和通信条件。2）如何利用信息化手段提升酒店内部的生产效率和管理效率？实践已经证明信息化是生产效率的倍增器，在我国酒店行业竞争日益加剧的背景下，利用信息化手段提高酒店自身的生产效率和管理效率成为不二选择。高速的数据交换网络、强大的信息处理设备、完备的数据库基础平台、优秀的管理软件。都可以有效提升增加员工的工作效率，提升管理者的管理效率，从而提高酒店的竞争力。3）如何利用信息化手段提升酒店的品牌宣传，为酒店招揽更多的客人？通过酒店信息化建设，依赖IT行业高科技带来的强大信息优势，可以增加信息的搜集途径和加快信息发布速度，可以更广泛地将酒店的信息传递到客户的眼前，也便于酒店的销售团队更容易地获取更多大客户信息，从而为酒店招揽更多的客人。可以利用网络的广泛覆盖和广泛使用，建立网上客房预定系统，便利客人的预定，同时也为酒店增加客源。同时可以通过建立网站、广泛的网站链接、网络广告进行广泛的品牌宣传，树立品牌形象，稳定并增加酒店的整体收入4）如何利用信息化手段提高酒店的服务水平？通过酒店信息化建设，依赖其集中管理的优势（如智能房间终端电话，PDA下单，一键式服务等等），可以加快客户要求服务的响应时间，提供服务质量和客户对酒店的服务满意度。通过酒店的信息化建设，通过采用强大的数字安防技术（电子门禁，数字监控，海量存储等），可以为酒店及客户提供有力的安全保障，增加客户的安全感。5）如何利用信息化手段进行服务创新，提供个性化服务？国内和国际的一些高档酒店充分发挥他们在信息化上的优势，建立诸如常客管理系统、客人消费习惯分析系统，能够为客人提供个性化的服务，如客人入住期间恰逢生日为其赠送生日礼物与祝贺，了解客人的饮食习惯和娱乐习惯从而适时推荐恰当的项目，既提高了客人的满意度又增加了酒店收入。6）如何利用信息化手段为客人提供增值服务，为酒店创收？除了满足酒店客人的基本的信息化娱乐和信息化商务的需求，酒店的IT经理还可以提供超出客人期望的增值性服务，可以直接为酒店创收。这样的增值服务在后面H3C的解决方案中会进行介绍。完善的酒店信息化建设，可以为酒店争取更高的星级评定，从而增加酒店的整体经营收入。7）如何利用信息化手段降低酒店的经营管理成本？低效的手工操作、人工业务流程、管理方式必然会雇佣更多的员工而增加成本。例如酒店的信息化系统如果缺少优秀的管理软件，必然需要更多的IT管理人员。相反，采用优秀的信息化手段则能有效降低此类成本。例如，连锁酒店的采购如果采用网上集中采购、供应商信息网上分享，所需成本必然低于传统的分散采购方式。三、H3C公司酒店行业解决方案针对酒店行业面对的信息化挑战，H3C公司想酒店之所想，携全系列网络、无线、语音、视频、监控、存储、管理等产品和量身定做的解决方案为酒店信息化提供鼎力支持，从“基础网络平台建设、品牌提升、开源、节流”四个方面为酒店行业精心设计信息化方案，为酒店提供业界最高水平的、完善的解决方案，帮助酒店在信息化时代打造符合时代要求的信息化、智能化数码酒店，从而极大提高自身的赢利能力，牢牢抓住滚滚而来的奥运商机、世博商机！1）基础网络平台建设篇基础网络平台是酒店整个信息化的基础，相当于是酒店内部的信息高速公路，实现内部的高速信息交换和信息传递，将酒店内部的各个信息孤岛联系成一个整体。同时连接到internet，酒店网络成为全球网络的一部分，这样酒店也不再是一个孤岛了，而是和全世界联系成一个整体。所以基础网络平台的重要作用是将酒店从孤岛状态变成与世界连通状态。高星级商务酒店的基础网络平台通常分为两个部分：客房网、办公网。前者用于为客人提供服务，后者用于内部的管理和办公。两个网络平台通过共用的出口模块与internet连接。图1：酒店模块化IT架构示意图酒店客房网络酒店对外提供服务的客房网络，一般典型的用户规模在500人左右，但考虑到举办商务会议、新闻发布会等活动时候可能峰值人数会增加至1000人左右，所以对外服务的网络必须具备足够的宽带资源和高速交换速度；而且对外服务的网络质量代表着酒店服务质量，直接影响客户对酒店的满意度评价内部的评价，所以保证网络无故障运行也是非常重要的。另外为了提高酒店的服务水平，争取更高的星级评价和提供增值服务功能，现代星级酒店的客房网络更应该提供无线移动接入网络服务功能。我们按照以上思路为酒店行业设计的客房网络的结构图如下：图2：可靠安全高速的客房网络客房网络分为核心和接入二层拓朴架构，核心可升级万兆交换机核心机箱式交换机，接入采用百兆堆叠安全智能交换机实现百兆端口到普通客房，千兆上连到核心交换机。位于酒店信息中心的网络核心采用了一台S7500万兆交换机构建高性能高可靠的核心双引擎热备，千兆SFP业务板引出千兆光纤，连接各卫星配线间的接入交换机。位于楼层的弱电间的接入交换机采用S3100系列堆叠安全智能交换机，来为普通客房提供100M带宽服务。通过千兆光纤捆绑后分别上联核心S7500双机。用于客户服务的服务器群（如VOD Server）通过1000M端口直接连接到核心S7500双机上。为internet访问提供服务的酒店网站、Email服务器等部署在出口的防火墙DMZ区域。互联网出口路由器选择多业务路由器MSR50，防火墙采用F1000-S，可以100M或者1000M线速的带宽连接到internet。MSR除了提供线速路由转发功能，还能提供强大的语音、安全、加密、VPN、业务控制等功能，能满足酒店将来的各种扩展性要求。F1000-S防火墙可以抵抗来自外网的各种网络攻击、邮件过滤、非法网页过滤、NAT转换等功能，保障整个酒店网络平台的安全性。酒店办公网络酒店内部的业务系统、管理系统、财务操作等依赖于酒店内部办公网络，该网络设计应该充分考虑到网络的高带宽、链路冗余和全方位安全设计，整体设计图如下：图3：高可靠内部办公网络办公网络的规模相对客房网络而言较小，也采用核心和接入二层拓朴架构，核心采用万兆盒式交换机，接入采用百兆堆叠安全智能交换机接入办公用电脑。核心采用了两台S5500-SI交换机构建高性能高可靠的核心双机热备。接入交换机采用S3100系列堆叠安全智能交换机，通过100M端口接入办公用电脑，通过两条千兆光纤两两捆绑后分别上联核心S5500-SI双机。办公服务器群通过1000M端口直接连接到核心S5500双机上。出口和客房网络共用MSR50和F1000-A连接到internet。基础网络平台方案特点高可靠：设备冗余、双主控、双电源、链路冗余、链路捆绑、NSF/GR高安全：客房网和办公网络物理独立、客房vlan隔离、防ARP欺骗、防ddos攻击、防网络攻击、邮件过滤、非法网页过滤高网速：普通客房百兆接入、高级商务套房千兆接入、办公电脑百兆接入、线速交换高扩展性：模块化网络结构、设备容量平滑扩展、带宽平滑升级网络可控：端口限速、非法软件限制、灵活的ACL控制功能、应用识别及控制统一管理：网络平台承载酒店所有的各种应用系统、整个网络平台统一管理2）品牌提升篇酒店品牌的提升意味着顾客对酒店有更高的认知和忠诚度，便于形成酒店稳定的客户群体，从而稳定酒店的营业收入。H3C想酒店之所想，从信息化角度为酒店品牌提升提供相应的解决方案：酒店网站重定向访问酒店应该利用一些机会向客人宣传自己，增进客人对酒店的了解，可以让客户有宾至如归的感受。让客人在酒店访问internet时顺道访问酒店的主页是一个不错的主意，然而传统的网络设计没有提供此类方案。H3C提供的方案可以让酒店的客人在第一次访问internet时，会将用户重定向到一个portal页面，进行简单的认证（用户名和密码），而在portal页面上有酒店的广告、宣传等信息和相关的链接，可以达到宣传酒店的目的。图4：酒店网站重定向访问示意图WLAN无线网络服务酒店已经部署了有线IP网络，是否就足够了呢？答案显然是否定的。例如在酒店标准间一般两位客人，如何让他们同时上网？如何让他们在任何位置都能上网？另外客人在大堂、咖啡厅、酒吧、餐厅、酒店花园可能都随时有上网的需求，而这些区域是难以布线的。面对这些需求，WLAN网络建设就是必然的选择了，它的作用是显而易见的：高级商务套房有线无线双重覆盖，提升客户体验，提高客户满意度公共区域（大堂/酒吧/咖啡厅/花园）无线覆盖，便利客户随时随地上网新闻发布会现场，方便新闻稿件及时发送与有线网络比较，投资成本更低安装简单快捷，不需要复杂施工布线等，节省大量时间，不影响营业无线网络服务必然会提高客户对酒店服务的高度认可，提高客人的满意度和归属感，从而提升了酒店的品牌。图5：酒店WLAN网络部署拓扑图另外，我们深知酒店对WLAN信号的要求是非常严格的，H3C充分考虑到不同酒店建筑构造的差异，能够为酒店提供多样化的具体组网方案、以及不同性价比的方案供酒店选择，从而保证总有令您满意的方案。酒店平安监控酒店出入人员比较繁多，外地客人又占绝大部分，保护客人的人身和财产安全非常重要，任何的安全问题都直接影响到酒店的声誉。为了让客人信赖酒店的安全保护能力，酒店必须建设健全的安全防卫制度和基础设施，酒店的视频监控系统就是必不可少的一个安防系统。当酒店设置了周全、科学的监控摄像头，对潜在的犯罪分子是一种威慑，对酒店的客人带来强烈的安全感。然而传统的模拟视频监控系统在实际使用中存在不少问题：摄像头到监控中心需要很长的视频线，布线成本高而且工程复杂摄像头数量较多时，摄像头无法统一管理和控制历史图像的回放质量低，清晰度不能满足要求历史图像的查找和检索困难H3C公司针对酒店提供的平安监控解决方案不同于传统的模拟视频监控系统，是采用最先进最成熟的IP技术构建的IP智能监控系统，特点如下：提供完善的“监、控、存、查”功能，加强酒店的保安工作；无论摄像头数量多少，都能够进行统一管理和控制IP监控系统共用基础网络平台，减少布线工程（只需要末端进行少量布线）监控图像的存储支持RAID5保护，可靠性高历史图像的回放质量可以和实时图像质量相同，实现高清晰的回放历史图像可以方便地按照名称、时间段等条件检索和回放监控中心采用all in one设备，集成度高，使用起来方便，管理起来轻松图6：酒店视频监控部署拓扑图采用H3C公司的酒店IP智能监控方案，有助于酒店更容易部署视频监控系统，并且监控图像更清晰、控制更容易、存的更可靠、查的更便利，可以帮助酒店提高安保水平，给客人带来安全感，最终提升酒店的品牌。3）开源篇在信息时代，酒店的IT部门扮演的角色不再仅仅是传统的支撑部门角色，事实上IT部门在这个时代能够发挥越来越重要的作用，包括为酒店创收。通过网络和第三方预定网站对接，增加酒店客源在国外的酒店行业，流行应用“中央全球预订网”，这个会员制第三方的网络平台，吸引着全球的酒店集团的加入。这套网络系统与每家会员酒店的客房预定系统实现对接，客人可以自己从网上订到自己希望下榻的酒店和房间。国内也有一些类似的酒店分销网络、旅行社的预定网络。中国的酒店可以根据自己的客源情况选择是否将自己的客房预定系统加入到这类的酒店预定网站，可以成为全球旅客的选择之一，从而为自己增加客源，提高酒店的入住率，从而提升酒店营业收入。H3C提供网络与安全方面解决方案保障这一计划的实施。图7：酒店预定系统与第三方预定网站接口关系示意图会议室无线工具包客人经常在酒店举行一些商务活动，需要网络服务，H3C为酒店提供会议室无线工具包，可以出租给客人使用。会议室无线工具包包括无线AP设备、若干无线网卡和USB Key，客人在使用的时候没有了端口的限制、网线的限制。只需要将AP接入到有线网络，通过网口直接为AP供电，AP设备无需配置即可使用。客人使用工具包中提供的无线网卡，驱动程序和安全密钥都保存在USB Key中，通过简单安装即可接入到无线网络中使用。而且在USB Key中固化了安全密钥，其他没有USB key的便携机即使在无线信号覆盖范围内，也无法接入到无线网络中，从而为客人提供安全的网络环境。图8：酒店会议室无线工具包组成KTV高速网络服务目前酒店KTV系统已经告别传统碟机点歌系统，采用电脑KTV系统，各个部分之间由网络连接，卡拉OK歌曲的音乐及图像画面经过特殊压缩转成MPEG-1（VCD）、MPEG-2（DVD）和MPEG-4（仿DVD）等计算机格式的文件，并将这些文件储存在点播服务器中，客人在房间电脑点播歌曲后，歌曲文件通过网络迅速传到房间电脑并由电脑转换为正常的视频和音频信号，分别送到电视和卡拉OK混音功放上去。KTV系统对网络的要求包括：高稳定、高速、时延小、无丢包。H3C为酒店KTV系统提供高速网络服务，采用高可靠性设备：冗余主控、冗余电源系统、双机备份、链路备份、链路快速切换等技术，保证网络的高可靠以及在故障时候的自动切换以提供不间断服务。采用全交换网络，KTV包间提供100M带宽，服务器端采用1000M带宽或者多个千兆捆绑方式，保证音视频传送需要的高带宽。4）节流篇办公时间限制非法软件酒店工作人员如果上班时间使用QQ、MSN、BT等软件，可能会分散注意力，降低工作效率，并且BT等软件极大占用了网络出口带宽，影响了正常工作。一些酒店管理者要求信息部门能够对这类软件进行限制。H3C公司能够提供完善的方案达到此目标，通过H3C出口路由器可以智能地识别各种类型的应用，而进行限制。使用H3C应用识别技术，可以令上班期间：限制BT、QQ、MSN等非法软件使用，提高酒店员工工作效率保障工作类软件的服务质量（带宽），保证工作效率将宝贵的带宽资源应用在工作上，节约网络成本清晰了解网络上各种应用的使用网络的情况图9：出口路由器上班时间对非法软件限制示意图便利的网络维护手段如果您是酒店的IT维护人员，是否在维护工作中发现网络有问题，查来查去结果发现是网线或者光纤的问题？为这种小毛病大费周折，您是否觉得很无奈？H3C提供给您一些便利的网络维护手段，将令您摆脱这种麻烦。从大的方面说，这些维护手段为酒店节省了维护人力，节省了成本。H3C酒店解决方案提供的交换机产品提供以下一些便利的网络维护手段：设备连接检测协议（DLDP）： 可以监控光纤的链路状态，如果发现单向链路存在，DLDP协议会根据用户配置，告警并自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。端口环回检测： 如果端口发生环路，报文发送陷入循环，导致环路风暴导致网络阻塞。开启交换机的端口环回检测，可以发现交换机任一个端口下的环路。发现环路后，交换机会进行告警并自动中止环路转发。电缆故障检测（VCT）： 使用H3C交换机的电缆检测功能，便于快速定位网络因为网线的故障点。网络统一管理如果您是酒店的IT维护人员，是否为缺少一套管理系统来实现对各种设备的统一管理而苦恼？H3C公司的iMC（智能管理中心）将消除您的苦恼，iMC智能管理中心能够实现对全网资源的统一部署、管理和调配中心，包括对路由器、交换机、安全、无线、语音、存储、服务器、PC、UPS等设备类型，实现了故障、性能、拓扑、配置等管理内容。图10：iMC智能管理中心实现对服务器、网络、安全、终端综合管理界面通过IMC智能管理中心，您可以对酒店的整体信息系统运行状况了如指掌，以更少的人力维护好酒店整个信息系统，为酒店业务保驾护航。无须象以前那样采用多套管理系统来管理不同类型的设备，省时省力省钱！三、网络设备选型1）防火墙：H3C SecPath F1000 系列防火墙可扩展高性能防火墙H3C SecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。H3C SecPath F1000系列防火墙包括SecPath F1000-C/SecPath F1000-S/ SecPath F1000-S-EI/SecPath F1000-A/SecPath F1000-E等五款产品，支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。扩展性最强基于H3C 先进的OAA开放应用架构，SecPath防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块，实现2-7层的全面安全。强大的攻击防范能力能防御DoS/DDoS攻击（如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。增强型状态安全过滤支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。丰富的VPN特性集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。应用层内容过滤可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤。全面NAT应用支持提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。全面的认证服务支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。集中管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。属性说明运行模式路由模式透明模式混合模式网络安全性AAA服务RADIUS认证HWTACACS认证PKI /CA（X.509格式）认证域认证CHAP验证PAP验证防火墙包过滤基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表动态包过滤ASPF应用层报文过滤应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）传输层协议：TCP、UDP抗攻击特性Land/Smurf/Fraggle/WinNuke/Ping of Death/Tear Drop/IP Spoofing/ARP欺骗攻击防范/TCP报文标志位不合法攻击防范/超大ICMP报文攻击防范/地址/端口扫描的防范防病毒DoS/DDoS攻击防范 CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP Flood等TCP Proxy 功能ICMP重定向或不可达报文控制功能Tracert报文控制功能带路由记录选项IP报文控制功能静态和动态黑名单功能MAC和IP绑定功能透明防火墙基于MAC的访问控制列表支持802.1q VLAN 透传邮件/网页/应用层过滤邮件过滤网页过滤应用层过滤Java BlockingActiveX BlockingSQL注入攻击防范安全日志及统计用户行为流日志NAT转换日志攻击实时日志黑名单日志地址绑定日志流量告警日志流量统计和分析功能全局/基于安全域连接数率监控全局/基于安全域协议报文比例监控安全事件统计功能E-MAIL邮件实时告警功能E-MAIL邮件定期信息发布功能NAT支持多个内部地址映射到同一个公网地址支持多个内部地址映射到多个公网地址支持内部地址到公网地址一一映射支持源地址和目的地址同时转换支持外部网络主机访问内部服务器支持内部地址直映射到接口公网IP地址支持DNS映射功能可配置支持地址转换的有效时间支持多种NAT ALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 VPNL2TP VPN/GRE VPN/IPSec VPN/SSL VPN/DVPN网络互连局域网协议Ethernet_IIEthernet_SNAP802.1q VLAN链路层协议PPPoE网络协议IP服务ARP域名解析IP UNNUMBEREDDHCP中继DHCP服务器DHCP客户端IP路由静态路由RIP v1/2OSPFBGP路由策略策略路由高可靠性双机状态热备，Active/Active和Active/Passive两种工作模式，支持负载分担和业务备份关键部件冗余设计接口模块热插拔机箱温度自动检测服务质量保证（QoS）流量监管CAR 拥塞管理FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ拥塞避免WRED流量整形GTS接口速率限制LR配置管理命令行接口通过Console口进行本地配置通过Telnet或SSH进行本地或远程配置配置命令分级保护，确保未授权用户无法侵入设备提供全中文的提示和帮助信息详尽的调试信息，帮助诊断网络故障提供网络测试工具，如Tracert、Ping、HWPing命令等，迅速诊断网络是否正常用Telnet命令直接登录并管理其它设备FTP Server/Client，可以使用FTP下载、上载配置文件和应用程序支持TFTP上传下载文件支持日志功能文件系统管理User-interface配置，提供对登录用户多种方式的认证和授权功能支持标准网管SNMPv3，并且兼容SNMP v2c、SNMP v1支持NTP时间同步支持Web方式进行远程配置管理支持H3C BIMS系统进行设备管理支持H3C VPN Manager系统进行VPN业务管理和监控1 防火墙应用方案SecPath F1000系列防火墙应用典型部署图l 灵活组网，可按需扩展l 双机状态热备技术，高可靠网络设计l 丰富路由协议，实现安全与网络融合l 支持P2P流量检测l 支持虚拟防火墙l 阻止各类恶意攻击l 支持网络流量监控2 防火墙结合VPN应用方案SecPath F1000系列防火墙结合VPN应用典型部署图l 支持多种VPN组网应用l 支持用户名/口令/USB Key(Gemplus)/X.509格式数字证书认证l 强大的VPN加密处理能力l 双机状态热备技术，高可靠网络设计2）统一安全网关：H3C SecPath U200-A统一威胁管理产品产品概述H3C SecPath U200-A是H3C公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。H3C公司的SecPath U200-A不仅能够全面有效的保证用户网络的安全，还支持SNMP和TR-069网管方式，最大化减少设备运营成本和维护复杂性。 SecPath U200-A市场领先的安全防护功能完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。实时的垃圾邮件防护：可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。先进的URL过滤：实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。全面的流量管理：能精确检测BitTorrent、Thunder（迅雷）、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。细致的行为审计：可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。NAT应用：提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。电信级设备高可靠性采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。36年的平均无故障时间(MTBF)智能图形化的管理简单易用的Web UI管理。支持基于SNMP和TR-069协议的管理。通过H3C UTM管理软件实现统一管理。通过H3C SecCenter安全管理中心实现统一管理。系统规格项目U200-A接口1个配置口（CON）6GE插槽2个MIM插槽，可通过该插槽扩展网络接口CF外置一个CF扩展槽（选配）DDR SDRAM1GB尺寸：长深高442mm400mm44.2mm电源模块输入额定电压100VAC240VAC；47/63Hz最大输入电流2.5A最大功率功耗100W平均无故障时间（MTBF）36年工作环境温度045环境相对湿度1095%（不结露）重量4KG功能特性规格属性说明运行模式路由模式透明模式混合模式网络安全性AAA服务RADIUS认证HWTACACS认证PKI /CA（X.509格式）认证域认证CHAP验证PAP验证防火墙虚拟防火墙安全区域划分可以防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、地址扫描和端口扫描等多种恶意攻击基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表动态包过滤ASPF应用层报文过滤静态和动态黑名单功能MAC和IP绑定功能基于MAC的访问控制列表支持802.1q VLAN 透传病毒防护基于病毒特征进行检测支持病毒库手动和自动升级报文流处理模式支持HTTP、FTP、SMTP、POP3协议支持的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等支持病毒日志和报表URL过滤客户自定义URL过滤规则库支持Java Blocking、ActiveX Blocking过滤垃圾邮件防护支持IP地址黑名单支持对收发邮件的地址、附件名、附件内容、主体、正文内容、收发邮件人姓名等关键字匹配过滤深度安全防护支持对黑客攻击、蠕虫、木马常等攻击的防御支持对BT等P2P/IM识别和控制安全日志及统计用户行为流日志NAT转换日志攻击实时日志黑名单日志地址绑定日志流量告警日志流量统计和分析功能全局/基于安全域连接数率监控全局/基于安全域协议报文比例监控安全事件统计功能E-MAIL邮件实时告警功能E-MAIL邮件定期信息发布功能NAT支持多个内部地址映射到同一个公网地址支持多个内部地址映射到多个公网地址支持内部地址到公网地址一一映射支持源地址和目的地址同时转换支持外部网络主机访问内部服务器支持内部地址直映射到接口公网IP地址支持DNS映射功能可配置支持地址转换的有效时间支持多种NAT ALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等VPNL2TP VPN支持根据VPN用户完整用户名、用户域名向指定LNS发起连接支持为VPN用户分配地址支持进行LCP重协商和二次CHAP验证GRE VPNIPSec/IKE支持AH、ESP协议支持手工或通过IKE自动建立安全联盟ESP支持DES、3DES、AES多种加密算法支持MD5及SHA-1验证算法支持IKE主模式及野蛮模式支持NAT穿越支持DPD检测网络互连局域网协议Ethernet_IIEthernet_SNAP802.1q VLAN链路层协议PPPoE网络协议IP服务IPv4/v6ARP域名解析IP UNNUMBEREDDHCP中继DHCP服务器DHCP客户端IP路由静态路由RIP v1/2OSPFBGP策略路由高可靠性双机状态热备，Active/Active和Active/Backup两种工作模式，支持负载分担和业务备份支持VRRPQoS流量监管CAR配置管理命令行接口通过Console口进行本地配置通过Telnet或SSH进行本地或远程配置配置命令分级保护，确保未授权用户无法侵入设备详尽的调试信息，帮助诊断网络故障用Telnet命令直接登录并管理其它设备FTP Server/Client，可以使用FTP下载、上载配置文件和应用程序支持日志功能User-interface配置，提供对登录用户多种方式的认证和授权功能。支持标准网管 SNMPv3，并且兼容SNMPv2c、SNMPv1支持NTP时间同步支持Web方式进行远程配置管理支持SNMP/TR-069网管协议支持H3C SecCenter安全管理中心进行设备管理认证支持欧洲严格的RoHS环保认证组网应用多功能集成，实现全网应用层安全防护多核、多线程硬件平台，具有强大的处理能力双机状态热备技术，高可靠网络设计统一Web界面，降低管理复杂度3）核心交换机：H3C S7500E 系列高端多业务路由交换机产品概述H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，以IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C S7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。H3C S7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V（垂直8槽）、H3C S7506E-S（8槽）、S7503E（5槽）、7503E-S（3槽）和S7502E(4槽)7款产品，除了7503E-S所有产品均支持冗余主控。H3C S7500E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。产品特点丰富的业务，适应融合业务网络发展趋势基于IRF2（第二代智能弹性架构）技术的虚拟化架构H3C S7500E面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。全面的MPLS、VPLS业务能力H3C S7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。 全面支持VPLS，VLL，支持1K VPLS实例，4K VLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。高性能IPv4/IPv6业务能力H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。EAD端点准入防护技术H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3C S7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。有线无线全面支持EADH3C S7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，满足金融等行业访问权限严格控制的需求。电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3C S7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999的电信级可靠性。多业务高可靠性运行H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不间断运行，实现业务的永续。基于IRF2架构的HAIRF2技术可以把多台S7500E虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制，实现毫秒级链路故障检测。属 性S7506E-S整机交换容量768Gbps背板容量1.6TbpsIPv4包转发率492Mpps槽位数量8业务槽位数量6冗余设计电源、主控冗余二层特性支持IEEE 802.1P(CoS优先级)支持IEEE 802.1Q（VLAN）支持IEEE 802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE 802.1ad（QinQ），灵活QinQ和Vlan mapping支持IEEE 802.3x（全双工流控）和背压式流控（半双工）支持IEEE 802.3ad（链路聚合）和跨板链路聚合支持IEEE 802.3（10Base-T）/802.3u（100Base-T）支持IEEE 802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE 802.3ae（10Gbase）支持IEEE 802.3af（PoE）支持IEEE 802.3at（PoE+）支持RRPP（快速环网保护协议）支持跨板端口/流镜像支持端口广播/多播/未知单播风暴抑制支持Jumbo Frame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持Multicast VLAN+支持点到点 单VLAN交叉连接、双VLAN交叉连接全部依靠VLAN-ID进行转发，不涉及MAC地址学习支持最大VLAN MAPING/灵活QinQ表项全面支持1:1, 2:1,1:2, 2:2 VLAN MAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARP Proxy支持DHCP Relay支持DHCP Server支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGP GR (Graceful Restart优雅重启)支持等价路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4双栈组播支持IGMPv1/v2/v3 支持IGMPv1/v2/v3 Snooping支持IGMP Filter支持IGMP Fast leave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2 Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS每单板最大支持16K ACL支持标准和扩展ACL支持基于VLAN的ACL支持Ingress/Egress ACL支持Ingress/Egress CAR，粒度可达