计算机网络系统方案

1、南昌和平国际大酒店智能化及弱电系统安装工程计算机网络系统技术方案泰豪科技股份有限公司目 录1 系统概述11.1 需求分析11.2 设计概述12 系统设计22.1 方案特色功能22.2 酒店网络安全设计42.3 配置及管理52.4 酒店网络部署解决方案82.4 主要设备参数151 系统概述1.1 需求分析系统需要满足以下需要：客人上网、管理人员管理及办公应用、各弱电子系统网络应用、会议网络需求、无线上网；Internet访问权限控制办公网：静态分配IP地址，只有指定客户端可以访问Internet，前台等客户端不能访问Internet。客房网：无需认证即可访问Internet，通过DHCP分配IP

2、地址。防ARP欺骗及攻击由于无法限制客人的电脑，客房网中经常会出现ARP攻击，导致大部分客人无法正常上网。需要在接入交换机做隔离，并且在路由器中启用防ARP欺骗。上网行为监控依据互联网安全保护技术措施规定公安部第82号令，公安部要求所有提供上网服务的酒店都必须提供必要的互联网安全保护措施，必须安装相应的安全管理软件。目前酒店普遍采用为每个房间划分一个VLAN，通过对应的VLAN ID来识别房间号，完成用户上网行为的记录、跟踪、分析，实现各种条件下的查询功能。1.2 设计概述为酒店的各种服务的开展和设备管理提供一个安全、稳定、快速的信息交换平台，网络系统需要具备强大的交换能力和可靠的安全性措施。

3、客房部分需要为客人提供高速的、可选性高的网络服务，对网速有较高的要求，需要具备完善的管理功能，规划为：有线和无线结合的方式，在所有区域建设无线网络覆盖，提供可管理的无线上网业务，建设千兆到桌面的有线网络。网络确保每个信息点都能接入。网络核心设备要求高处理能力，网络结构设计简洁，方便管理。办公楼层的网络系统应该和酒店部分独立考虑，本次网络系统设计不包含办公楼层部分。2 系统设计2.1 方案特色功能方便的流量监管功能一：对用户行为的监管支持流量镜像功能，用户上网行为可监控与分析大量VLAN对应房间号，便于监控与追溯功能二：对用户流量的监管可即时监控IP、MAC对应的流量，在流量异常的情况下能很方便

4、的查出异常的来源，方便故障检测及网络维护。VLAN隔离功能酒店解决方案的VLAN功能使组网方面更加灵活，同时支持三层VLAN隔离可以保证酒店网络控制更方便。酒店解决方案采用每个房间对应一个VLAN的方式，保证每个客房的网络的相对独立，互不干扰，保证客人上网的信息安全。强推门户功能客人上网的同时自动先打开酒店的门户网站。智能QOS100k100kPC流量PC流量酒业务闲时酒业务忙时PC不受带宽限制，可抢空闲带宽每台P酒店解决方案支持多种策略的服务质量保证功能，可以针对IP地址、端口、流量类型进行带宽保证。例如：优先高档客房电脑的上网速度，为他分配专用带宽，保证关键客户业务。优先保证酒店OA和EM

5、AL业务带宽，让酒店正常业务不受干扰。将BT等下载业务设为最低优先级，不干扰酒店正常业务。酒店解决方案特有的智能QoS，继承了传统QoS的优点，进一步实现了空闲带宽的合理利用。当某IP有流量时，和传统QoS处理方式相同；当此IP没有流量时，其他IP可以自由使用分给它的带宽。2.2 酒店网络安全设计防火墙快速设置防火墙酒店解决方案包括智能防火墙功能，管理员可以根据入站和出站通信策略设定多种策略的访问控制；支持MAC/IP/时间/流量类型等进行灵活设置。支持防火墙的安全等级设置，包括高、中、低三个级别，企业可以根据各个级别预先定义快速设置防火墙功能。基于IDS防范酒店解决方案支持防常见攻击和防端口

6、扫描功能，能够阻止企业网络遭受外界黑客的恶意攻击。防止常见DOS攻击限定带黑客防火墙源地址与目的地址都设成你的地址，看你何招架!Intrnet伪造大量的SYN报文，我是收不到给我的ACK报为了防止客房网攻击，通常会使用路由器+防火墙的组网。防ARP欺骗ARP欺骗一：PC机假冒网关通过定时发送免费ARP，更新网络主机上被攻击篡改了的网关MAC地址，保证主机与网关之间的通信。PCDHP服务器DCP请求纪录MACIP关系造ARPIP-MA通过授权ARP，只容许静态ARP和DHCP分配的ARP表相中的IP地址通过，从而防止PC机IP与MAC的欺骗。防止恶意JAVA网站冒PC机Jva阻挡这些都是访问过带

7、有恶意Java代码在web界面中其中“Java Blocking”功能。还可以记录日志，看看那些恶意网站2.3 配置及管理有线无线一体化配置管理目前基本所有的星级酒店网络都是有线无线一体化的网络，这套系统能够把整个网络包括有线无线在同一个网络管理软件下进行配置管理。分级用户管理根据操作设备的用户权限不一样，分配不同的用户名、密码基于IP和时间段的访问控制酒店对员工上网的控制要求有：一、按部门：不同的部门访问网络的权限不一样，销售部业务要求一定要访问网络，财务部门为了信息安全一定不能访问公网。二、按业务：某些部门的人只需要收发邮件，某些部门的人只需要进行www访问。三、按时间：周一到周五上班时间

8、不能上网，其它时间可以上网。基于MAC地址的访问控制1、局域网内是DHCP动态分配IP地址，每次PC获得的IP不相同，所以无法根据IP地址来进行限制。2、即便静态设置IP，PC机也可私自更改本机IP地址来上网。3、由于MAC地址是固化的，无法更改，所以可以通过MAC地址对访问进行控制。通过VLAN划分的访问控制酒店不同部门、不同层级对网络的访问的有不同的要求，我们能够通过划分不同的VLAN控制访问权限来满足不同的要求。控制通信控制：防止QQ、MSN98%的中国企业中都有员工至少在使用一种形式的聊天工具(CCID Research)办公室聊天，严重影响正常工作78%的即时消息用户曾因为QQ/MS

9、N而中病毒，并且有泄漏公司机密的问题存在QQ/MSN中的链接很可能带木马，病毒等限制P2P软件ICG支持深度应用识别（DAR）功能，目前能够识别BT、eDonkey、 eMule等多种网络上常见的应用业务流，而且识别能力还在持续不断的增强；上下行速率控制屏蔽了。300K400K500K800KDepartmet #1Departmet #2Departmet #3Boss OficeServer armsIntrnet电信2M即可以对网段进行限速，也可以对单个IP速率限制能给客户带来的好处：1、按部门类别划分带宽：按照IP地址段来规划部门，按照对网络的需要程度来分配带宽。比如192.168.1

10、.30-192.168.40是IT部门，则可以针对这个网段分配上行200K，下行1M的带宽。2、防止带宽滥用造成掉线：如果局域网内有人用下载工具或者在线看电影，会导致带宽被少数人占用完，其他人无法上网。可以对每个PC机的最高速率进行限制。酒店解决方案特点和优势高可靠：设备冗余、双主控、双电源、链路冗余、NSF/GR高安全：房间vlan隔离、交换机端口隔离、防ARP欺骗高速：全千兆到桌面、线速交换高扩展性：模块化结构、设备容量平滑扩展、无线网络平滑扩展网络可控：端口限速、非法软件限制高性价比：性能、价格、稳定性均衡统一管理：一网多用、统一管理链路诊断：准确查明线缆/光缆损坏地点，节省维修费用2.

11、4 酒店网络部署解决方案酒店网络逻辑关系行限速。客房网内部办公写字楼区广域网酒店网络分支Y分支X数据中心公众用户为公众用户提供服务对外业务酒店办公业务管理系统访问Interet业务酒内部业务酒门户网站广域网PN业大堂内部数据外部数据大堂、客房网、办公之间逻辑隔离，分别对不同区域业务进行授权，如大堂不能上网。客房不能访问酒店内部办公网络，酒店内部办公网络可以通过VPN和其他分支酒店协同办公。写字楼区也可以通过VPN连接公司内部网络。酒店常用方案建议配置名称设备选型特点核心交换机ZTE ZXR10 8905插槽式交换机万兆插槽式交换机，893Mpps 转发性能可以达到所有端口线速转发，性能强劲可配

12、置标准802.1QVLAN（非端口VLAN）支持统一网管管理，管理更容易接入交换机ZTE ZXR10 5200全千兆交换机全千兆交换机，可以达到所有端口线速转发，性能强劲可配置标准802.1QVLAN（非端口VLAN）支持Web管理，管理更容易网络管理U31网络管理软件能够对有线无线进行统一化管理出口防火墙ZTE US1612防火墙专业防火墙产品可配置802.1Q标准VLAN（非端口VLAN）支持IPSec VPN功能提供流量分析业务无线控制器W908专业无线控制器产品无线APW812主流无线AP，支持802.11b/g模式，可升级到802.11n模式组网方案在接入层交换机上划分VLAN，将酒

13、店办公网与客房网隔离，控制酒店管理系统及Internet访问权限。酒店办公网分配静态IP。在核心层交换机上启用端口镜像，将所有出口数据镜像到监控服务器，满足公安监控需求。核心支持802.1Q VLAN，做VLAN终结，并且开启防ARP欺骗。酒店公共区及会议室区提供无线瘦AP，支持无线接入方式。且瘦AP产品特性为酒店提供可控、可靠、安全的网络。无线部署传统酒店的日常运作业务都可以通过网络传输数据来实时实现，如房间预订、开房结算、消费挂帐等，带来的是明显效率的提高；并且在房间里接通了有线网络，客人直接访问内部局域网服务器及Internet，给酒店带来的是综合竞争力的提高。有线带来的好处显而易见，但

14、其带“尾巴”的先天局限也是无法克服的。有线接入位置固定，通常应用于无需移动的固定终端接入网络，并提供增值业务；但酒店实际运营中大部分业务无法固定在同一个地点实施，如服务员清理房间调度，服务员工作时会在各个楼层不同房间中移动，传统的方式通过各楼层值班人员人工呼叫或者对讲机呼叫，人工呼叫效率低下，而对讲机呼叫在楼层之间传输距离有限，应用WLAN网络构建WiFi Phone体系是最合适选择。WLAN解决方案传统酒店中：查房、服务调度通过座机或对讲机、运营商无线电话实现；服务员工作时需要离开座机，而对讲机在室内穿越障碍物传输能力有限，带来效率低下、成本过高；餐厅、茶座点餐通常是手工录入，高峰期无法充分

15、利用时间、效率低下；只有客户房间里提供有线接入网络，宾馆内部茶座、大厅无法访问网络；有线网络的建设往往要在房间中打孔穿洞，施工复杂而漫长，耽误酒店的正常运营；WLAN构建网络具有其先天优势，所有客户端可以随时随地接入到网络，不受端口位置和线缆长度所限制，目前能够作为终端设备与AP通信的设备包括PC电脑、PDA终端、WiFi语音电话；构建酒店宾馆无线局域网，可以实现：内部运营IP电话，WiFi Phone to WiFi Phone、WiFi Phone to IP Phone，实现楼内业务调度语音化，整栋大楼里漫游切换实现；餐厅、茶座PDA终端实现点餐电子化，一次认证多次接入；大厅、茶座等公共

16、场合提供给客户无线接入服务，访问Internet；如果涉及到运营时有用户认证的需求，还可提供专用GUEST用户，具备基本的访问权限；和平国际大酒店WLAN介绍酒店的WLAN网络，基于规模的大小和客户对于运营增值业务的要求，可以有两套完整的解决方案：FAT AP和FIT AP解决方案。在南昌和平国际大酒店中采用FIT AP解决方案传统的FAT AP解决方案，采用AP接入有线交换机，所有AP可视作等同于以太网交换机的设备一样管理，这样的网络特点是管理简单、方便，小规模网络成本较低，比价适合中小型的宾馆构建WLAN网络。一般具备以下特性：全面支持802.11i安全机制、802.11e QoS机制、8

17、02.11f切换机制大范围覆盖：高接收灵敏度，达到-97dBm（普通AP-95dBm），保证更远覆盖多VLAN支持：虚拟AP方式支持多VLAN，最多支持8个虚拟SSID的VLAN划分，每个VLAN用户可以独立认证兼作网桥使用：WDS模式支持PTP、PTMP工作模式；支持连接速率锁定、传输报文整合，提高传输效率负载均衡：支持基于用户数的负载均衡、基于流量的负载均衡 多种认证和计费方式：可以对上行和下行业务流作计费；支持预付费业务，在用户余额不足时主动切断网络连接；对于每个SSID能够配置是否需要计费，能够只进行认证，而不计费适应室外恶劣应用环境：支持室外机箱，并内置防雷防雨防冻套件，充分考虑到室

18、外安装工程需求FIT AP方案是在FAT AP基础上发展起来的一种新兴模式，除了AP之外，网络中还引入了Wireless Switch（无线交换机/无线控制器）作为中央集成控制设备实现对整网AP的管理控制，除了传统WLAN网络能够实现的无线接入基本功能之外，能够提供基于三层的漫游切换、基于用户名的权限区分，并可对无线射频环境进行监控，防止未授权的非法AP和客户端接入网络。适用于大型宾馆复杂的增值业务需求，具备以下特性：快速漫游：在WLAN覆盖区域内快速切换，用户信息和授权可无缝漫游，保持业务（数据、语音、视频）完整性、连续性。用户、MAC 以及 VLAN组：将 AAA 策略分配给用户、子网或设

19、备组，以便进行方便、有效、高性价比的 WLAN 管理。 基于用户身份的组网：提供基于用户身份的所有服务，以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容；还可跟踪用户的具体位置及当前使用业务情况。 AP零配置安装：接入点无需准备预设置，更换的 AP 从无线 LAN 交换机或控制器继承配置信息；全面的AP控制和管理：所有属性如通道编号、功率、SSID 和安全设置都由无线交换机或无线控制器集中处理控制；灵活的拓扑结构： Wireless Switch与AP之间跨越L2、L3网络灵活的拓扑结构；无线交换机管理软件WXM：

20、自动覆盖范围和容量规划，并确定设备布局效果；全面控制射频环境；全面的系统级统计数据和配置变更自动告警；对比有线传输解决方案，使用WLAN网络实现数据传输具有以下显著特点：简易性：WLAN网络传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和企业内部Intranet相

21、连，从体系结构上节省了协议转换器等相关设备；扩展能力强：WLAN网络系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统。覆盖方案系统在共设计AP73台。具体的AP布置可参看无线AP平面覆盖图，无线AP的布置点表（见综合布线点表）。注：无线AP的具体位置确定需要结合酒店装修后情况，采用仪器检测后确定。走廊直放覆盖对于一般的客房，由于建筑系统结构简单，人员密度不高，计划采用由走廊内独立AP布点进行覆盖，在天线选用方面，采用吸顶全向天线，覆盖效果好，我们在客房部分的走道天花中设计无线AP。AP布点覆盖原则使用室内直放AP布点覆盖，需考虑及遵循以下几个问题和原则：

22、如果在一个大厅里只安装一个AP，则尽量把AP安放在大厅的中央位置，而且最好是放置于大厅天花板上；如果同一空间安装两个AP，则可以放在两个对角上。保持信号穿过墙壁和天花板的数量最小，2.4G信号能够穿透墙壁和天花板，然而，每一面墙壁和天花板都将使AP信号的覆盖范围减少1到30米。应放置AP与计算机于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。考虑AP和覆盖区域之间直线连接，AP的放置位置要尽量使信号能够垂直的穿过（90度角）墙壁或天花板。不同的建筑材料产生不同的传输效果，由金属的框架或门构成的建筑物会使WLAN无线信号的传输距离变小，放置AP的位置应使信号通过干燥的墙壁或敞开的门，避

23、免放置在使信号必须通过金属材料的位置。AP天线方向可调，安装AP的位置应确保天线主波束方向正对覆盖目标区域，保证良好的覆盖效果。AP安装位置需远离电子设备（起码12米），例如微波炉、监视器、电机等。覆盖效果理论计信号强度和传输距离的换算公式AP加卡的信号总强度公式：GtGrAP天线增益终端天线增益L信号总强度（dB）Gt（AP或终端功率，单位dB），Gr（终端或AP灵敏度，单位dB）距离产生的信号衰减公式：4020lgdL1（dB） d（距离，单位m）工程中最大传输距离以45m计算，所以L172dB障碍物的衰减：物体dB地板30带窗户的砖墙2办公室墙6办公室墙的金属门6砖墙的金属门12.4靠近

24、金属门的砖墙3工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。2.4 主要设备参数1、万兆核心路由交换机选用中兴通讯股份有限公司的电信级插槽式交换机RS-8905-CMP-AC，交换容量1.2Tbps，转发性能890Mpps，7个槽位，业务插槽5个，提供信息产业部入网证，通过IPV6 READY金牌认证，并提供相关证明。支持MPLS VPN、MPLS-TP，与业界主流厂家兼容提供EANTC关于MPLS VPN的互通测试证明。提供MEF、EMC、CE证明材料。MPLS路由交换机基于先进的模块化理念进行设计，并采用了基于多处理器并行处理机制和Crossbar空

25、分交换结构的体系结构，关键模块均采用可以1：1进行冗余备份。ZXR10 8900系列具备10GE、GE、FE、POS、PON等各种丰富的接口模块，并全面支持IPv4、IPv6、MPLS、NAT、组播、QOS、带宽控制等业务功能。ZXR10 8900系列整个系统所具备的高可靠性、高扩展性、强大的业务能力等特点，可以满足各种网络核心/汇聚层的建设需求。产品的关键特性电信级可靠性系统的主控单元、电源等关键模块均可以进行1:1、1+1方式的备份；采用先进的无中断保护系统（Hitless Protection System - HPS），保证系统的高可靠性；全面支持VRRP/ZESR+/STP/RSTP

26、/MSTP/LACP多种网络可靠性保护技术；支持BFD、IP/LDP FRR，实现网络故障时的快速倒换；支持OSPF、BGP等协议的Graceful Restart，支持NSF，有利于网络的稳定性和可靠性；支持ZESR+（ZTE Ethernet Smart Ring）智能以太环网技术，实现以太网环路50ms级的保护； ZESS（ZTE Ethernet Smart Switching）技术可实现多设备双上行链路的智能切换保护，支持主备模式和负荷分担两种模式。先进的体系架构，大容量，高性能采用了分布式、模块化设计理念，并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构；

27、支持高达2880Gbps/1920Gbps/1200G/480Gbps的无阻塞交换能力、2143Mpps/1428Mpps/893M/357Mpps的路由包转发能力；支持512K条路由信息，512K个MAC地址。 强大的增值业务功能支持UDLD（Unidirectional Links Detection），可以检测链路的单通，与Cisco等主流厂家具有良好的互通性；支持LLDP（Link Layer Discovery Protocol），使得网络的故障查找变得更加容易；全面支持二、三层MPLS VPN，二层MPLS VPN支持Martini协议（VPWS）和VPLS、三层MPLS VPN采

28、用RFC2547bis，具有良好的兼容性，可以与其他主流厂家的设备实现MPLS VPN业务的全面互通；支持IGMP、IGMP Snooping、IGMP Filter、IGMP Fast Leave等组播功能；支持PIM-DM/SM、DVMRP、MSDP、MBGP等组播路由协议；支持跨VLAN的组播复制；支持可控组播，支持频道访问控制、预览次数和最大时长控制、呼叫统计等功能，为IPTV等业务提供有效的运营支撑；可实现基于端口、应用和流的宽带控制，控制粒度为64Kbps； 提供基于硬件的流量分类和记账、组播以及速率限制和先进的服务质量保证（QoS）机制，可为用户开展增值业务提供强大的支持； 支持

29、层次化QoS，可实现对业务的精确控制，确保网络中承载的多种业务可得到其预期的服务质量；全面实现了各种IPv6协议技术，实现了IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议；支持Ethernet OAM、MPLS OAM，使得网络的可维护性和可管理性更好；支持DPI，深度感知网络应用，充实网络的控制和管理手段，构建可运营、可管理的和谐网络。强大的安全功能单板支持高达265K条安全和访问控制策略；支持ACL安全过滤机制，可基于MAC、VLAN、IP、端口号等信息进行安全控制；支持基于时间的ACL，支持事件联动ACL，可以根据端口、协议的状态决定AC

30、L规则的生效与否，使得ACL的部署更加灵活；支持uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传；RIP/OSPF/IS-IS/BGP/LDP支持MD5认证，可防止路由等信息的泄露；支持VLAN ID与MAC地址、端口号、IP地址捆绑功能；支持TACACS协议，可实现命令行级的认证授权；具备完善的抗病毒机制，可以为网络运营提供全面的安全保证。规格与参数项 目描 述8912890889058902基本性能背板带宽5.6Tbps（可扩展至更高带宽）3.75Tbps（可扩展至更高带宽）2.34Tbps（可扩展至更高带宽）960Gbps（可扩展至更高带宽）交换容量2880Gb

31、ps/1152Gbps1920Gbps/768Gbps1200Gbps/480Gbps480Gbps/192Gbps包转发率2143Mpps/857Mpps1428Mpps/571Mpps893Mpps/357Mpps357Mpps/143MppsMAC地址表深度512K 个MAC地址插槽数量总槽位141074业务板槽位12852二层协议支持支持IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3x、IEEE 802.1p等支持IEEE 802.1d STP（生成树）协议，支持MSTP/RSTP支持IEEE802.1q，VLAN数目为4K，支持Select

32、ive QinQ支持ZESR+智能以太环网技术；支持ZESS智能切换技术实现主备链路的快速保护IPV4路由协议支持支持RIP1/2、OSPF、BGP、IS-IS等路由协议IPV6路由协议支持RIPng、BGP4+、OSPFv3、IS-ISv66to4隧道、6PE业务功能MPLS VPN：二层支持VPLS、VPWS（Martini方式）、三层则采用RFC2547bis协议组播：支持PIM-DM/SM、DVMRP、MSDP、MBGP、IGMP、IGMP Snooping、IGMP Filter、IGMP Fast Leave等组播功能，支持可控组播，支持AnyCast-RP带宽控制：可以实现基于端

33、口、应用和流的带宽控制模式，控制粒度为64Kbps认证功能：支持802.1x认证，支持RADIUS、TACACS+协议DHCP：支持DHCP Relay、DHCP Server、DHCP Snooping 支持流量分析、防火墙功能、NAT、IPS/IDS、异常流量检测、异常流量清洗、负载均衡、应用加速等功能QOS特性支持HQoS基于第二层的优先队列基于第三层的源和目的流控制基于第四层的源和目的流控制基于第四层的应用流控制接口模块44端口百兆以太网电接口+4端口千兆/百兆以太网SFP接口模块44端口百兆以太网SFP接口+4端口千兆/百兆以太网SFP接口模块12端口千兆以太网电接口模块，其中4端口

34、可光电复用12端口千兆/百兆以太网SFP接口模块，其中4端口可光电复用24端口千兆以太网电接口模块24端口千兆/百兆以太网SFP接口模块24端口千兆以太网电接口模块，其中4端口可光电复用24端口千兆/百兆以太网SFP接口模块，其中4端口可光电复用48端口千兆以太网电接口模块48端口千兆/百兆以太网SFP接口模块24端口千兆/百兆以太网SFP接口（其中4端口可光电复用）+2端口万兆以太网光接口模块24端口千兆以太网电接口（其中4端口可光电复用）+2端口万兆以太网光接口模块2端口万兆以太网光接口模块4端口万兆以太网光接口模块8端口万兆以太网光接口模块4端口STM-16 POS光接口模块1端口STM

35、-64 POS光接口模块4端口千兆无源光接口+12端口千兆/百兆以太网SFP接口模块8端口千兆无源光接口+12端口千兆/百兆以太网SFP接口模块12端口千兆无源光接口+12端口千兆/百兆以太网SFP接口模块防火墙业务单板DPI业务单板设备管理支持SNMP MIB， MIB II （RFC 1213）支持RMON支持端口/流镜像：镜像实现包括控制模块、特定端口以及特定插槽支持Console/Telnet/WEB管理支持SSH可靠性MTBF>200000小时MTTR<30分钟热拔插所有单板支持热拔插主控冗余备份主控1+1、1：1冗余备份电源冗余备份电源冗余备份（交流2+1；直流1+1）

36、电源冗余备份（交流1+1；直流1+1）2、24口全千兆接入交换机接入交换机采用中兴通讯的ZXR10 5250-24T全千兆智能以太网交换机，分满足高带宽、高安全和高QoS保证的需求。为便于前端接入点灵活配置，本次设计中交换机均选用24口接入交换机。性能包转发率36Mpps交换容量240Gbps可配置千兆电接口24，千兆光接口4MAC地址表16K协议与功能支持标准以太网IEEE 802.3协议族支持STP、RSTP、MSTP、PVST支持ZESR环网保护支持端口聚合LACP支持802.1Q VLAN，支持SVLAN、QinQ、SelectiveQinQ支持完整可控组播支持CPU防攻击（病毒）保护

37、，支持CPU过载/节奏保护防DDos攻击，识别多种病毒特征报文并加以过滤LAND/BLAT/NULLScan/XmaScan/Smurf、SYN Flooding、Ping Flood支持生成树根保护（Rood Guard）、BPDU攻击保护、ARP攻击保护网络管理支持SNMP v1/v2/v3 和RMON支持Console/Telnet管理资质提供信息产业部入网证，入网证中生产企业和申请单位为同一厂商配置需求单台配置24个千兆电接口丰富的业务功能、强大的安全特性支持完善的二层协议特性。支持4k个基于802.1q的标准VLAN，支持QinQ以及灵活 QinQ，满足多业务承载时的用户、业务的区分

38、需要；支持基于业务流的ACL过滤机制，支持基本、混合、扩展以及全局等多种模式的ACL，提供基于二层帧头各字段、三层报文头各字段、四层协议端口号的访问控制，实现对P2P、视频流等业务流区分限速，帮助提高带宽的利用率；支持双向端口限速和双漏桶业务区分速率限制，并且支持64K粒度带宽控制，满足对各类用户的接入带宽的限速要求。实现4级QOS队列及多种队列调度算法（SP,WRR,SP+WRR），满足用户等级和业务区分要求；支持各种业务安全接入技术，降低恶意攻击造成宕机的风险，以保障网络和业务稳定运行：MAC/PORT动态绑定技术，和IEEE802.1X认证相结合，动态绑定接入MAC地址，特别适合笔记本接入的环境，支持用户在交换机端口之间的迁徙切换，无需人工干预，减轻网管维护工作量；通过对特征病毒的过滤、防DOS攻击以及CPU保护技术，保障了设备和网络的安全平稳运行，降低网络维护的成本和开销；通过双向的流量镜像功能，监控网络中的可疑流量，不仅支持基于端口的采样镜像，还可以通过指定流量的源/目的MAC地址，对特定流量进行监控；采样速率可以从每1个包采样