信息安全集成设计方案

成都综合保税区西区信息平安集成系统方案XX科技2021.12

目录1、工程背景 32、需求分析 43、系统设计 43.1设计依据及设计原那么 63.2信息平安技术设计 93.3信息平安管理设计 错误!未定义书签。3.4产品选型 18

1、工程背景2010年10月18日，国务院设立成都高新综合保税区。根据国务院批复，成都高新综合保税区规划面积4.68平方公里，位于成都高新区西部园区。新设立的成都高新综合保税区是对现有四川成都出口加工区、成都保税物流中心(B型)和成都出口加工区南区〔803区〕进行整合扩展而成的四川成都出口加工区2000年4月经国务院批准设立，是中国首批出口加工区之一，2021年进出口总额64.2亿美元，2021年1—7月进出口总额50.75亿美元，增长43%，综合排名全国第5、中西部第1，是全国开展最好的出口加工区之一；成都保税物流中心(B型)于2021年3月通过验收，7月正式封关运行，目前开展情况良好。整合扩展后的成都高新综合保税区集保税出口、保税物流、口岸功能于一身，是目前国内功能最全、政策最优的海关特殊监管区域，有利于海关监管运行，更有利于企业的进一步开展。为了将成都综合保税区建设成为中国中西部一流的保税区和口岸平台，提高出口加工区现代化的监管水平，利用现代监控技术、网络与通信技术、计算机处理技术和自动控制技术，构建一个先进、实用、可靠的保税区海关联网监管系统。信息技术的开展，为海关管理创新提供了手段，实现信息化将使海关管理水平产生质的飞跃。经过多年的建设，海关已形成了涉密办公网、办公管理网、业务运行网、对外接入网等功能齐全的复杂办公环境，在业务协同、办公管理、对外效劳等方面发挥了越来越重要的作用。建设统一的技术支撑平台，建立科学的信息管理体系，关键的一环就是信息部门必须对其信息技术设备和效劳进行全面的、整体的网络运行监控和平安管理。这其中，既涉及到网络管理，也有平安管理。技术支撑层，充分利用技术手段，建立高效、协同的信息平安管理平台，将网络监控与平安监控有机地结合在一起，注重能够及时定位故障。技术支撑体系应该包括三个层次：展示层、运维管理层、集中监控层。1〕展示层。提供面向信息平安层面和信息平安管理决策层面的展示视角，在信息平安管理界面上实现集中运维的统一管理功能和信息展示与交互功能。2〕流程及业务信息平安管理层。在集中信息平安管理模式下实现流程执行和管理控制功能、业务平安管理功能。3〕集中控制层。通过监控工具实现对不同效劳对象和IT资源的实时监控，包括主机、数据库、中间件、存储藏份、网络、平安、机房、业务应用和客户端等技术支持管理子系统进行综合处理和集中管理。2、需求分析2.1广域网网络链接2.1.1海关业务线路为保证综保区海关业务正常开展，按海关部署相关规定，要求综保区到成都海关中心机房广域网线路“双线热备〞方案。“双线热备〞方案已在成都海关中心机房至出口加工西区、机场海关等四个重要业务现场实施部署。其具体需求是海关业务运行网和业务管理网在网络正常时各走一条链路，当其中一条链路出理故障时互为备份，故障排除后自动切换回原有链路，无需人工干预。线路上分别选择电信和网通的一条链路，更好地保障备份的可靠。系统建设配置包括广域网路由设备，不同的运营网分别租用4M以上的宽带线路。2.1.2电子口岸专线为满足电子口岸录入的需要，要求建设电子口岸电子专网。电子口岸专网也采用“双线热备〞方案，原那么上由部署数据中心负责审批。2.2综合布线2.2.1分类综合布线系统包括管理网G〔六类系统〕、业务网Y〔超五类系统〕、互联网W〔超五类系统〕语音网T〔水平超五类系统〕、备用网络B〔超五类系统〕共计5个系统〔可根据监管要求及功能设置作相应调整〕。各网络物理隔离、独立组网，新设机构可根据实际情况选择网络系统的建设。楼层弱电井设置不同功能的配线间。主干数据采用4芯多模室内光缆、语音采用25芯5类大对数电缆及超5类屏蔽电缆。2.2.2网线布线系统管理网：水平布线采用六类非屏蔽网线，垂直干线采用4芯多模光纤；运行网、互联网、备用网络：水平布线采用超五类非屏蔽网线，垂直干线采用4芯多模光纤；机房：水平布线采用六类非屏蔽网线及超五类屏蔽网线。2.2.3机柜的配置在楼层弱电井设有不同功能的独立配线间。各楼层布线系统统一会聚到机房。配线间：管理网、业务网可共用一个机柜，互联网、、备用网共用一个机柜；机房：管理网、业务网可共用一个机柜，互联网、备用网共用一个机柜，共用一个机柜。2.2.4综合布线标识说明由于网络的种类比拟多，在前面板用颜色加编号的方式对点位的功能进行分区。使用时从面板标识的颜色可确定点位所属的网络或。综合布线标识面板、水平线缆、配线架用相机的编号，垂直主干用另一种编号。具体编号说明参见海关相应文件。机房的网络布线系统设计，除应符合本标准的规定外，还应符合现行国家标准?综合布线系统工程设计标准?GB50311的有关规定。2.2.5园区网建设园区内应建设园区网，以实现区内所有企业与管委会之间信息的互通和管理，同时考虑相应的平安管理建设，包括防病毒管理、客户端准入等。园区网为封闭局域网，但保存对外互联网出口。园区网建设方案应提交海关技术处审批，海关技术处可对园区网的建设进行协助和指导。2.3机房建设机房建设要求为海关设立独立机房，桐庐工程包括桐庐地面装修、电气局部的配电柜、防雷工程、消防报警、机房空调、UPS、机房监控、综合布线系统等。机房面积：按二类机房的相关要求，面积在90~130平方米之间；机房走线与装修：按上走线方式进行综合布线，吊顶应可拆卸，或留有出入口，以方便管道和设备的安装维护。缆线采用线槽或桥架敷设时，线槽或桥架的高度不宜大于150mm,桥架宜采用网格式桥架。地面工程：地面应平整，必须进行防尘处理，采用防尘涂料时，至少粉刷2遍以上。防雷工程：防雷局部的电源防雷器选用进口产品。机房空调：能够满足机房使用条件的专用独立温湿度调节空调。机房综合布线：机房的综合布线系统选用进口6类非屏蔽系统，配线架全部选用6类24口快跳式配线架，光纤局部采用24口光纤配线盘连接。各楼层会聚机房配线架，配线架型号选择参见综合布线各网络设计要求。UPS：配置10KVAUPS设备2台，电池能够满足10KVA设备支持30分钟。消防报警：根据具体情况自行设计。机房监控：根据具体情况自行设计。3、系统设计3.1设计依据及设计原那么3.1.1?计算机信息系统平安保护等级划分准那么?〔GB17859-1999〕?信息系统平安等级保护根本要求?〔GB/T22239-2021〕。?信息系统平安保护等级定级指南?〔GB/T22240-2021〕?信息系统平安等级保护实施指南?〔信安字[2007]10号〕?信息系统通用平安技术要求?〔GB/T20271-2006〕?信息系统等级保护平安设计技术要求?〔信安秘字[2021]059号〕?信息系统平安管理要求?〔GB/T20269-2006〕?信息系统平安工程管理要求?〔GB/T20282-2006〕?信息系统物理平安技术要求?〔GB/T21052-2007〕?网络根底平安技术要求?〔GB/T20270-2006〕?信息系统平安等级保护体系框架?〔GA/T708-2007〕?信息系统平安等级保护根本模型?〔GA/T709-2007〕?信息系统平安等级保护根本配置?〔GA/T710-2007〕?信息系统平安等级保护测评要求?〔报批稿〕?信息系统平安等级保护测评过程指南?〔报批稿〕?信息系统平安管理测评?〔GA/T713-2007〕?操作系统平安技术要求?〔GB/T20272-2006〕?操作系统平安评估准那么?〔GB/T20008-2005〕?数据库管理系统平安技术要求?〔GB/T20273-2006〕?数据库管理系统平安评估准那么?〔GB/T20009-2005〕?网络端设备隔离部件技术要求?〔GB/T20279-2006〕?网络端设备隔离部件测试评价方法?〔GB/T20277-2006〕?网络脆弱性扫描产品技术要求?〔GB/T20278-2006〕?网络脆弱性扫描产品测试评价方法?〔GB/T20280-2006〕?网络交换机平安技术要求?〔GA/T684-2007〕?虚拟专用网平安技术要求?〔GA/T686-2007〕?网关平安技术要求?〔GA/T681-2007〕?效劳器平安技术要求?〔GB/T21028-2007〕?入侵检测系统技术要求和检测方法?〔GB/T20275-2006〕?计算机网络入侵分级要求?〔GA/T700-2007〕?防火墙平安技术要求?〔GA/T683-2007〕?防火墙技术测评方法?〔报批稿〕?信息系统平安等级保护防火墙平安配置指南?〔报批稿〕?防火墙技术要求和测评方法?〔GB/T20281-2006〕?包过滤防火墙评估准那么?〔GB/T20010-2005〕?路由器平安技术要求?〔GB/T18018-2007〕?路由器平安评估准那么?〔GB/T20011-2005〕?路由器平安测评要求?〔GA/T682-2007〕?网络交换机平安技术要求?〔GB/T21050-2007〕?交换机平安测评要求?〔GA/T685-2007〕?终端计算机系统平安等级技术要求?〔GA/T671-2006〕?终端计算机系统测评方法?〔GA/T671-2006〕?虚拟专网平安技术要求?〔GA/T686-2007〕?应用软件系统平安等级保护通用技术指南?〔GA/T711-2007〕?应用软件系统平安等级保护通用测试指南?〔GA/T712-2007〕?网络和终端设备隔离部件测试评价方法?〔GB/T20277-2006〕?网络脆弱性扫描产品测评方法?〔GB/T20280-2006〕?信息平安风险评估标准?〔GB/T20984-2007〕?信息平安事件管理指南?〔GB/Z20985-2007〕?信息平安事件分类分级指南?〔GB/Z20986-2007〕?信息系统灾难恢复标准?〔GB/T20988-2007〕3.1.2在技术方案设计中，遵循以下的系统总体设计原那么：1、统一规划、分布实施遵循统一规划、分布实施的原那么，在信息中心软硬件支持平台扩容规划和建设中，首要的工作就是明确近期和长期的建设目标，立足于应用，分布实施。2、开放性、互连性和标准化采用国际、国家标准、协议和接口，能与现有的和未来的系统互连与集成。3、先进性在保证系统的整体性和实用性的前提下，考虑系统的先进性，所采用的技术和设备应能保证在目前同行业中是先进的，能够满足成都海关信息中心软硬件支持平台扩容未来5年以上的需求开展。4、成熟性技术方案中所采用的系统体系结构和技术必须是已经过实践检验，证明是成熟的。5、可靠性、稳定性和容错性通过选择成熟的技术、冗余的设计、可靠性产品保证整个系统具有高度的可靠性、稳定性和容错性。6、平安性建立完善的网络平安体系，保证海关信息中心网络设备的平安运行。7、高性能网络系统、效劳器系统和平安系统的设计和产品选择都要考虑到高性能要求。8、升级性和可扩展性系统设计要充分考虑到扩容和升级的需要，能灵活方便地适应未来系统可能的变化。选择开放性标准的产品，确保设备的兼容性；通过系统结构的合理设计和适度资源冗余，为未来的系统扩充打下根底，保证需求增加时系统的平滑扩充，保证前期的投资。9、高可管理性整个系统的设计要层次清晰、功能明确，便于性能分析、故障诊断，能实现对系统资源的全面监控和优化配置，对访问的有效监控和审计，保证整个系统具有高度的可管理性。3.2信息平安技术设计3.2.1机房设计机房位置的选择机房设置在综合保税区A区2楼，按照国家机房标准设置，具有防震、防风和防雨等能力。机房访问控制a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。防盗窃和防破坏a)应将主要设备放置在机房内；b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标识，存储在介质库或档案室中；e)主机房安装必要的防盗报警设施。防雷击a)机房建筑设置了电源防雷器、数据防雷器和视频信息防雷器等避雷装置；b)机房设置交流电源地线。防火机房应设置灭火设备和火灾自动报警系统。防水和防潮a)水管安装，不得穿过机房屋顶和活动地板下；b)采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；c)采取措施防止机房内水蒸气结露和地下积水的转移与渗透。防静电整个机房采用防静电地板设计。温湿度控制机房设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。电力供给a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供了30KVA的UPS，用于短期的备用电力供给，至少满足关键设备在断电情况下的正常运行要求。0电磁防护电源线和通信线缆应隔离铺设，防止互相干扰。3.2.2网络设计网络结构设计采用MSTP的组网方式，A、B、C三区采用MSTP光纤电路〔RJ45接口〕，通过中国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，组成数据通信传输通信专网。其网络结构图如下列图所示：图9：网络结构图网络中设备、电路均平安可靠，关键设备、电路均有冗余备份，并采用先进的容错技术和故障处理技术，保证数据传输的平安可靠，保证网络可用性到达使用要求。这样设计，得以实现系统网络平安：保证关键网络设备的业务处理能力具备冗余空间，满足业务顶峰期需要；保证接入网络和核心网络的带宽满足业务顶峰期需要；根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原那么为各子网、网段分配地址段。访问控制在网络边界部署访问控制设备，启用访问控制功能；根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。按用户和系统之间的允许访问规那么，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；限制具有拨号访问权限的用户数量。平安审计对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。边界完整性检查能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。入侵检测在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统设置一台IDS检测引擎，用于对计算机和网络资源的恶意使用行为进行识别和相应处理。其结构如下列图所示：检测引擎是一个高性能的专用硬件，运行平安的操作系统，对网络中的所有数据包进行记录和分析。根据规那么判断是否有异常事件发生，并及时报警和响应。同时记录网络中发生的所有事件，以便事后重放和分析。管理主机运行于Windows操作系统的图形化管理软件。可以查看分析一个或多个检测引擎，进行策略配置，系统管理。显示攻击事件的详细信息和解决对策。恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂的报表输出。网络设备防护对登录网络设备的用户进行身份鉴别；对网络设备的管理员登录地址进行限制；网络设备用户的标识应唯一；身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。3.2.3主机平安身份鉴别应对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当对效劳器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。访问控制应启用访问控制功能，依据平安策略控制用户对资源的访问；应实现操作系统和数据库系统特权用户的权限别离；应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除多余的、过期的帐户，防止共享帐户的存在。平安审计审计范围应覆盖到效劳器上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的平安相关事件；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；应保护审计记录，防止受到未预期的删除、修改或覆盖等。入侵防范操作系统应遵循最小安装的原那么，仅安装需要的组件和应用程序，并通过设置升级效劳器等方式保持系统补丁及时得到更新。恶意代码防范应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；应支持防恶意代码软件的统一管理。资源控制应通过设定终端接入方式、网络地址范围等条件限制终端登录；应根据平安策略设置登录终端的操作超时锁定；应限制单个用户对系统资源的最大或最小使用限度。3.2.4应用平安身份鉴别应提供专用的登录控制模块对登录用户进行身份标识和鉴别；应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据平安策略配置相关参数。访问控制应提供访问控制功能，依据平安策略控制用户对文件、数据库表等客体的访问；访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；应授予不同帐户为完成各自承当任务所需的最小权限，并在它们之间形成相互制约的关系。平安审计应提供覆盖到每个用户的平安审计功能，对应用系统重要平安事件进行审计；应保证无法删除、修改或覆盖审计记录；审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。通信完整性应采用校验码技术保证通信过程中数据的完整性。通信保密性在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；应对通信过程中的敏感信息字段进行加密。软件容错应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；在故障发生时，应用系统应能够继续提供一局部功能，确保能够实施必要的措施。资源控制当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；应能够对应用系统的最大并发会话连接数进行限制；应能够对单个帐户的多重并发会话进行限制。3.2.5数据平安及备份恢复数据完整性应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。系统提供完整的日志功能，对所有的业务数据，进行日志记录，以备后查。数据保密性应采用加密或其他保护措施实现鉴别信息的存储保密性。系统使用IC卡存储业务数据时，采用了DES加密算法，对关键数据进行加密。备份和恢复a)采用了Rose公司提供的、基于共享磁盘阵列的高可用RoseHA解决方案，为用户提供了具有单点故障容错能力的系统平台。b)采用MSTP的组网方式，A、B、C三区采用MSTP光纤电路〔RJ45接口〕，通过中国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，组成数据通信传输通信专网。c)制定详细的数据库备份与灾难恢复策略，并通过模拟故障对每种可能的情况进行严格测试，保证了数据的高可用性。3.2.6综合布线系统概述综合布线系统范围主要包括联检大楼、闸口及闸口办公区、查验平台及查验仓库及实验楼等。本综合布线系统涉及海关、检验检疫和用户三方的综合布线系统。综合布线系统设计为保证系统先进性、开放性和扩展性，实现语音、多媒体、数据等应用的承载能力，综合布线系统采用六类结构化布线系统，采用星型拓扑结构，主干网络采用千兆以太网络，实现百兆接入、千兆上行的物理链路。综合布线系统由工作区，水平区，垂直区，设备管理及楼群子系统组成，各局部均采用标准的模块化构件，以利于将来的升级、扩展。工作区子系统工作区子系统由设在各工作区的信息插座、跳线〔连接信息插座至终端设备之间的线缆〕构成。信息插座采用双孔面板及相配合的六类信息模块。水平干线子系统水平子系统由各大楼内楼层配线间至各个工作区之间的电缆和多模水平光缆构成。水平干线子系统采用六类阻燃双绞线电缆。本系统采用六类双绞线，用于所有的数据点和语音点，实现信息点可完全互换。垂直主干子系统垂直主干子系统采用单模光缆，提供全双工传输通道，具有极大的传输带宽和极高的传输质量。管理子系统管理子系统由各层分设的楼层配线系统及主机房中的主配线系统〔设备间子系统〕构成，负责楼层内及信息通道的统一管理。主要由跳线面板、跳线管理器、跳线、光缆端接面板、机柜〔或机架〕等组成。管理子系统将模块、电脑模块和网络模块安装在机柜中，对线缆进行统一布局和管理。系统采用19〞标准机柜，高42U，顶部安装有2-4个风扇，背后安装电源线槽，正面安装玻璃门，后背板和侧板均可拆卸。机柜内所有的信息点符合规定的编号规那么和颜色规那么，以方便用户的使用。主配线间〔BD〕为实现高可靠性，本系统将主配线架全部安装在机柜内。楼层配线间〔FD〕在各楼层配线架中，与水平双绞线连接的用户区采用六类配线架，每个信息点完全灵活用于语音或数据。各配线间设置光纤配线架,用来连接多芯光缆，安装在19〞标准机柜内，用于各种计算机网络设备。通过更换跳线实现与其他网络设备的连接。海关综合布线系统海关网络按照海关总署“五网〞独立要求，分别设置管理网、运行网、电子口岸专网、互联网和语音网。海关网络覆盖范围包括：闸口及闸口办公区、查验平台及查验仓库及联检大楼海关办公场地等。海关网络采用三层结构设计，由核心层、会聚层、接入层组成。核心层设置在海关信息中心机房，会聚层设置在海关信息中心机房、查验平台机房，接入层设置在卡口。海关网络应与成都海关的网络无缝地实现互联互通。在海关网络核心层选择1台高性能交换机作为系统主交换机。主交换机与系统效劳器连接采用1000M连接。3.3产品选型3.3.1选型原那么在本方案的技术选择和设备选型首先是基于对本工程的理解和分析，并特别考虑到满足未来5到10年的业务开展要求做出的，并遵循以下原那么得出的：实用性采用成熟、稳定的技术，满足业务的实际要求；先进性根据当前业务要求，考虑今后5到10年的业务开展需要，在设计上留有余量；可靠性采用目前国际上商用SAN交换机最先进且成熟可靠的软硬件技术；选用可靠性高的产品与技术，充分考虑到在系统出现异常时的应变与容错能力，从而确保整个系统的高可靠性。扩展性在系统结构、产品系列和处理性能等各方面具有良好的扩充，升级能力，完全能满足未来5到10年的业务开展要求；3.3.2产品配置清单序号名称规那么型号单位数量1数据效劳器1.名称:数据效劳器台22.技术参数：HPDL580G7E75202P16GBSvr〔配4*146G双端口热插拔硬盘，3年保修现场金牌效劳〕2应用效劳器1.名称:应用效劳器台12.技术参数：HPDL388G7E5506EntryCNSvr〔配内置光驱，2*146G双端口热插拔硬盘，19"液晶显示器，3年保修现场金牌效劳〕3操作系统〔效劳器〕Windowsserver2003coem企业版1.名称:操作系统〔效劳器〕套32.规格型号：Windowsserver2003coem企业版4数据库软件SQLServer2021工作组版1.名称:数据库软件套22.规格型号：SQLServer2021工作组版5网络交换机LS-5120-28P-SI-H31.名称：网络交换机台132.技术参数:LS-5120-28P-SI-H3，配光模块6网络交换机LS-5500-28C-EI1.名称：网络交换机台202.技术参数:LS-5500-28C-EI，配光模块、堆叠模块、堆叠线7网络交换机LS-5500-28F-EI-AC1.名称：网络交换机台72.技术参数:LS-5500-28F-EI-AC，配8个光模块8操作系统〔客户机〕WindowsXPPCOEM1.名称:操作系统〔客户机〕套12.规格型号：WindowsXPPCOEM9磁盘阵列1.名称：磁盘阵列台12.规格型号：MSA2300SAG2，含磁盘柜，支持12槽,配6x300G10双机热备份软件1.名称:双机热备份软件套12.规格型号：ROSEFORWINDOWS8.5版本11电源防雷器1.名称:电源防雷器个122.型号:ZFDF-2203.参数：标称通流容量：≥20KA最大通流量：≥50KA残压：<200V响应时间：<25ns12接地铜心线BVR-25mm21.引下线材质、规格、技术要求(引下形式)：BVR-25mm2铜芯线，均压环引至联合接地体m96.82.部位：主龙骨接地线、配电柜接地线13接地铜心线BVR-50mm21.引下线材质、规格、技术要求(引下形式)：BVR-50mm2铜芯线，均压环引至联合接地体m37.82.部位：主龙骨接地线、配电柜接地线14抗静电地板接地跨线1.名称：抗静电地板接地跨线BVR6处10815等电位接地铜排1.均压环材质、规格、技术要求:30*3铜排，地板下安装，做等电位均压环米9016防雷器B级ZGG120-3851.名称、型号：防雷器B级ZGG120-385组12.电压等级：400V17防雷器C级ZGG80-3851.名称、型号：防雷器C级ZGG80-385组42.电压等级：400V18防雷器D级ZGG40-3851.名称、型号：防雷器C级ZGG40-385组12.电压等级：400V19输入输出模块1.名称：输入输出模块JF-M02个12.输出形式：单输出20接线端子箱1.名称：接线端子箱台12.型号：JPH90121感烟探测器1.名称:感烟探测器JTY-GD/JF-D11只82.其它：符合设计及标准要求22感温探测器1.名称:感温探测器JTW-BCD/JF-D12只82.其它：符合设计及标准要求23手动报警按扭1.名称:手动报警按扭J-SAP-M/JF-D13只32.其它：符合设计及标准要求24声光报警装置1.名称:声光报警装置JBU-VM1372B台32.其它：符合设计及标准要求25报警控制器1.名称:报警控制器JB-QBZ-JF998X台12.其它：符合设计及标准要求26控制器电源1.名称:控制器电源24V/10A台12.其它：符合设计及标准要求27气体灭火器1.名称：气体灭火器套42.规格型号：2*4KG含箱体CO228自动报警系统装置调试1.名称：自动报警系统装置调试系统12.点数:≤128点29电源配电柜1.名称：电源配电柜台12.规格型号：1路市电入、1路UPS入、5路市电出、10路UPS出，含三相电源防雷30配电柜1.名称：配电柜台22.规格型号：1路市电入、1路UPS入、5路市电出、15路UPS出，含三相电源防雷31柜式空调5P1.名称：柜式空调台32.规格型号：5P32UPS电源30KVA1.名称：UPS电源台22.规格类型：30KVA,1小时,输入为三相,输出为三相,含松下电池、电池柜、空开、铜芯电线，9355-30-N-033UPS电源柜15KVA1.名称：UPS电源柜台12.类型：EDX15KXL31(15KVA、1小时输入为三相、输出为单相、含电池及电池柜〕34防火墙深信服NGAF台13.3.3产品参数数据库效劳器HPProLiantDL580G根本参数产品类型：企业级产品类别：机架式产品结构：4U处理器CPU类型：tml"Intel至强7500CPU型号：XeonE7520CPU频率：1.866GHz智能加速主频：1.866GHz标配CPU数量：4颗l/product_param/index70.html"最大CPU数量：4颗制程工艺：45nm三级缓存：18MB总线规格：QPI4.8GT/sCPU核心：四核CPU线程数：八线程主板扩展槽：11个内存内存类型：DDR3内存容量：16GB内存插槽数量：64最大内存容量：2TB存储硬盘接口类型：SAS标配硬盘容量：900GB最大硬盘容量：4TB硬盘描述：3块300GBSAS硬盘内部硬盘架数：最大支持8块SAS/SATA/SSD硬盘热插拔盘位：支持热插拔RAID模式：1个智能阵列P410i/512MBFBWCl"光驱：薄型SATADVDROM网络网络控制器：1GbENC375i四端口网卡管理及其他系统管理：HPInsightControl套件24x7支持

带iLO高级软件包的InsightControl〔iLO3〕电源性能电源数量：4个电源功率：1200W全新的HPProLiantDL580G7效劳器适用于大局部应用，是数据密集且需要向上扩展的工作负载的理想平台。HPProLiant效劳器发挥最正确应用程序运行时间和性能为客户带来更多的效益包括：HPProLiantDL580G7效劳器利用HPProLiantDL580G7效劳器可扩展的4核性能和类似ndex/subcate28_125_list_1.html"IntelMachineCheckArchitecture(MCA)复原的耐用平安功能，增进系统可靠性。与前一代8插槽效劳器相比，HPProLiantDL580G7为数据密集型应用程序带来3倍于以前的数据库性能。因为采用Intel7500系列处理器，该效劳器允许向上扩展更多的客户端。HPProLiantx86效劳器带来的卓越性能包括：适用于HPProLiantDL系列G7效劳器的HPIntelligentPowerDiscovery，在效劳器和第三方设施管理之间建立自动化的能源感知网络，排除过度配置能源容量的问题。通过HPInsightControl提供的IntegratedLights-OutAdvanced(iLO3)，加速远程效劳器管理任务作业。iLO3远程控制面板的执行速度比之前版本快8倍，提高管理员的管理效率。HPInsightControl配备动态用电控制技术后，可以正确监督和控制每台效劳器所使用的能源，加强使用数据中心、重新收回过度配置的能源，并增加数据中心3倍的容量。特别为HPProLiant而扩展的HPMissionCriticalServices，将宕机时间降至最短，并通过增强的应用程序可用性，降低客户必需不断支付的运营本钱。应用效劳器ProLiantDL388G7根本参数ex66.html"产品类别：机架式产品结构：2U处理器CPU类型：dex/subcate31_list_s2898_1.html"Intel至强5600CPU型号：XeonE5649CPU频率：2.53GHz智能加速主频：2.93GHz标配CPU数量：1颗最大CPU数量：2颗制程工艺：32nm三级缓存：12MB总线规格：QPI5.86GT/sCPU核心：六核CPU线程数：12线程主板_param/index2755.html"扩展槽：6内存内存类型：DDR3内存容量：ist_s2241_1.html"2GB内存描述：PC3-10600RRDIMMDDR3或PC3-10600EUDIMMDDR3内存插槽数量：18最大内存容量：192GB存储硬盘接口类型：SATA/SAS749.html"标配硬盘容量：标配不提供最大硬盘容量：8TB内部硬盘架数：最大支持8块SFFSATA/SAS硬盘热插拔盘位：支持热插拔RAID模式：P410i控制器网络网络控制器：两个NC382i双端口千兆网卡管理及其他系统管理：iLO3电源性能电源功率：460W外观特征产品尺寸：85.9×660.7×445.4mm产品重量：最大27.2kg适用环境工作温度：10℃工作湿度：10%-90%储存温度：-30℃储存湿度：5%-95%惠普ProLiantDL388G7(616659-AA1)机架式效劳器一款品质高、价位合理的高信价比2U机架式效劳器。这款效劳器设置有非常出色的内部设计，以Intel至强5600系列处理器作为核心保障，配合大容量的内存和硬盘存储，增加机身的可靠性，更有效的助推企业腾飞的进程。\o"惠普ProLiantDL388G7(616659-AA1)"惠普ProLiantDL388G7(616659-AA1)\o"惠普ProLiantDL388G7(616659-AA1)图片"图片惠普ProLiantDL388G7(616659-AA1)机架式效劳器配置Intel至强5600系列XeonE5620型号处理器。这款四核八线程的处理核心采用32nm制程工艺，频率为2.4GHz，通过智能加速主频，使处理器的频率提升到2.666GHz，配合12MB的三级缓存，增加了机体应对高强度工作的可靠性。惠普ProLiantDL388G7(616659-AA1)机架式效劳器内置有2GB的DDR3类型内存，智能阵列P410i/零缓存，充分保障了机体运行的流畅与数据交换的可靠。惠普ProLiantDL388G7(616659-AA1)机架式效劳器配置有2个NC382i双端口千兆网卡，并配合iLO3管理程序，增加机体整体可控程度。惠普ProLiantDL388G7(616659-AA1)机架式效劳器的主板上最大设计有6个扩展槽，并配置有18个内存插槽和多个硬盘插槽，使最大内存容量可以到达192GB，最大硬盘容量可达8TB，充分保障运转的流畅程度。惠普ProLiantDL388G7(616659-AA1)机架式效劳器是一款性价比非常高的2U产品。这款机架式效劳器采用Intel至强5600系列XeonE5620型号处理核心，配合2个NC382i双端口千兆网卡和iLO3管理程序，充分保障了机体的可靠性和可控性，更加便于使用者操作。磁盘阵列HPMSA2300产品型号序列号描述数量MSA2300双控制器预配置AJ797AHPMSA2324fc双控制器磁盘阵列：

双控制器，每个控制器1GB缓存；每个控制器有2个4GbFibreChannel端口；支持RAID0,1,3,5,6,10,50；最大支持64个主机；带24颗2.5寸硬盘插槽；冗余电源1AJ795AHPMSA2312fc双控制器磁盘阵列：

每个控制器1GB缓存;每个控制器有2个4GbFibreChannel端口；支持RAID0,1,3,5,6,10,50；最大支持64个主机；带12颗3.5寸硬盘插槽；冗余电源1AJ805AHPMSA2312sa双控制器磁盘阵列：

冗余控制器，带1GB缓存;每个控制器有4个3GbSAS接口；支持RAID0,1,3,5,6,10,50；直连最大支持8个主机，通过SASBLSwitch最大支持到64个主机；带12颗硬盘插槽；冗余电源1AJ807AHPStorageWorks2324sa双控制器磁盘阵列：

冗余控制器，带1GB缓存；每个控制器有4个3GbSAS接口；支持RAID0,1,3,5,6,10,50；直连最大支持8个主机，通过SASBLSwitch最大支持到64个主机；带24颗2.5寸硬盘插槽；冗余电源1AJ800AHPMSA2312iLFF双控制器磁盘阵列：

冗余控制器，每个控制器1GB缓存;每个控制器有2个1GbiSCSI端口；支持RAID0,1,3,5,6,10,50；最大支持32个主机；带12颗硬盘插槽；冗余电源1AJ956AHPMSA2300fcSANStarterHAUpgradeKit

包括额外一个单独控制器，1×8端口8GbSANSwitch，2×8GbHBAs，SFP和线缆，可以给AJ954A或AJ955A升级1磁盘笼及可添加控制器选一个LFF或SFF磁盘笼，选择一个或两个FC/SA/iSCSI控制器磁盘笼AJ949AHPMSA2324SFF2.5“磁盘存储机箱

2个阵列控制器槽位，带24颗2.5寸硬盘插槽，冗余电源1AJ948AHPMSA2312LFF3.5”磁盘存储机箱

2个阵列控制器槽位，带12颗3.5寸硬盘插槽，冗余电源1DC磁盘笼AJ950AHPMSA20213.5“直流电源存储机箱1AJ951AHPMSA20242.5”直流电源存储机箱1控制器AJ798AHP2300fc磁盘存储控制器，1GB缓存;每个控制器有2个4GbFibreChannel端口;最大支持64个主机1AJ808AHP2300saG2ModularSmartArrayController

带1GB缓存;每个控制器有4个3GbSAS接口；支持RAID0,1,3,5,6,10,50；直连最大支持8个主机，通过SASBLSwitch最大支持到64个主机1AJ803AHPMSA2300iModularSmartArrayController

1GB缓存；每个控制器有2个1GbiSCSI端口，最大支持32个主机；1随着信息化时代的到来，信息的数量化让我们应对起来手忙脚乱，人们迫切的需要大容量的存储设备来存放这些信息，其中\o"磁盘阵列"磁盘阵列就是这个家族中很重要的一员，它利用数组方式来作磁盘组，配合数据分散排列的设计，提升数据的平安性。惠普StorageWorksMSA2300FC(AJ798A)惠普StorageWorksMSA2300FC(AJ798A)磁盘阵列采用2U机架结构，阵列容量为16TB。内置三种\o"硬盘"硬盘接口，分别为SAS、SATAII和SCSI，可满足日常需要。RAID的采用为存储系统(或者\o"效劳器"效劳器的内置存储)带来巨大利益，其中提高传输速率和提供容错功能是最大的优点。另一方面由于同时使用多个磁盘，提高了传输速率。惠普StorageWorksMSA2300FC(AJ798A)磁盘阵列支持的RAID形式为0,1,3,5,6,10,50。惠普StorageWorksMSA2300FC(AJ798A)磁盘阵列支持MicrosoftWindowsServer2021IA32,x64,IA64(Standard,Enterprise,Datacenter)，MicrosoftWindows2003and2003R2IA32,x64,IA64和RedHatLinux(32/64)等多种\o"操作系统"操作系统。惠普StorageWorksMSA2300FC(AJ798A)磁盘阵列具有很高的稳定性，它平均无故障时间可以到达1500000小时。骨干网交换机S5120-28P-SIH3CS5120-SI系列以太网交换机是H3C技术自主开发的全千兆二层以太网交换机，广泛应用于企业网和园区网的接入层。提供灵活的全千兆以太网端口的接入密度、丰富的业务特性、统一的集群配置，为用户提供高性能、低本钱、可网管的千兆到桌面的解决方案。H3CS5120-SI系列以太网交换机目前包含如下型号：S5120-20P-SI：16个10/100/1000Base-T以太网端口，4个1000Base-XSFP千兆以太网端口；S5120-28P-SI：24个10/100/1000Base-T以太网端口，4个1000Base-XSFP千兆以太网端口；S5120-52P-SI：48个10/100/1000Base-T以太网端口，4个1000Base-XSFP千兆以太网端口。灵活的千兆接入和集群管理H3CS5120-SI系列全千兆以太网交换机提供灵活的16/24/48个10/100/1000M自适应电口接入；并且支持非复用的SFP插槽，充分考虑用户的带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用户投资。H3CS5120-SI系列硬件支持最大104Gbps交换容量，保证所有端口二层线速交换。H3CS5120-SI系列交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的本钱，保护了用户投资。全面的接入平安策略H3CS5120-SI系列交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人〞攻击，对不符合DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大量地址仿冒带来的DoS攻击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝私设DHCP效劳器，保证DHCP环境的真实性和一致性。H3CS5120-SI系列交换机支持端口平安特性族可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。H3CS5120-SI系列交换机提供802.1X和集中MAC认证方式对接入的用户进行认证，允许合法用户通过，对于非法用户那么拒绝其上网。同时还支持客户端软件版本检测、GuestVLAN等功能，和CAMS效劳器配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络平安的危害。增强的网络管理和维护的易用性H3CS5120-SI系列交换机支持通过FTP、TFTP实现设备的远程升级，支持SNMPv1/v2/v3，可支持OpenView等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。并且支持SSH2.0等加密方式，使得管理更加平安。H3CS5120-SI系列交换机支持VCT〔VirtualCableTest〕电缆检测功能，便于快速定位网络故障点。支持特性S5120-28P-SI外形尺寸〔长×宽×高〕〔单位：mm〕440×160×43.6重量<3kg管理端口1个Console口业务端口描述24个10/100/1000Base-T以太网端口，4个1000Base-XSFP千兆以太网端口交换容量〔全双工〕56Gbps包转发率〔整机〕42Mpps端口聚合支持LACP链路聚合端口支持IEEE802.3x流控〔全双工〕支持基于端口速率百分比的风暴抑制支持基于端口速率百分比、pps和bps的风暴抑制VLAN支持基于端口的VLAN〔4K个〕DHCP支持DHCPClient支持DHCPSnooping支持DHCPSnoopingOption82组播支持IGMPSnoopingv1/v2/v3支持组播VLAN生成树支持STP/RSTP/MSTP协议ACL支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等ACL支持基于时间段的ACL支持基于全局、VLAN、端口〔组〕下发ACLQoS支持IEEE802.1p/DSCP优先级支持优先级映射支持端口信任模式每端口支持4个队列支持端口队列调度(SP/WRR/SP+WRR)镜像支持端口镜像平安特性支持用户分级管理和口令保护支持Radius认证支持SSH2.0支持802.1X，集中式MAC地址认证支持GuestVLAN支持端口隔离支持端口平安支持MAC地址学习数目限制支持IP源地址保护支持ARP入侵检测功能支持IP+MAC+端口的绑定管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口〔CLI〕，Telnet，Console口进行配置支持SNMP，WEB网管支持RMON〔RemoteMonitoring〕支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持Modem远端拨号支持NTP支持Ping，Tracert支持Telnet远程维护支持VCT〔VirtualCableTest〕电缆检测功能支持Loopback-detection端口环回检测输入电压额定电压范围：100V～240VAC.；50/60Hz最大电压范围：90V～264VAC.；47/63Hz功耗〔满负荷时〕31.5W工作环境温度0℃～工作环境相对湿度〔非凝露〕10%～90%核心网交换机LS-5500-28C-EIH3CS5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口；支持IPv4/IPv6硬件双栈及线速转发，使客户能够沉着应对即将带来的IPv6时代；除此以外，其出色的平安性，可靠性和多业务支持能力使其成为大型企业网络和园区网的会聚，中小企业网核心、以及城域网边缘设备的第一选择。随着用户端速度不断提高，用户最终会使集群千兆链路到达饱和，而能够拥有多条集群10GE链路将是我们的未来开展方向。H3CS5500-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆会聚或接入时保存进一步支持10GE的扩展能力，尽力保护用户投资。IPv4到IPv6的演变是以太网开展的大势所趋，网络设备对于IPv6的支持不仅是简单的可用就行，而是需要到达商用的标准，S5500-EI已经通过了国际最权威的IPv6Ready第二阶段认证，而且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制，实现IPv4到IPv6的平滑升级。完备的平安控制策略H3CS5500-EI系列交换机支持EAD〔端点准入防御〕功能，配合后台系统可以将终端防病毒、补丁修复等终端平安措施与网络接入控制、访问权限控制等网络平安措施整合为一个联动的平安体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴平安威胁的整体防御能力。H3CS5500-EI交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略〔VLAN、QoS、ACL〕的动态下发；支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。H3CS5500-EI系列交换机提供增强的ACL控制逻辑，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，防止了ACL资源的浪费。另外，S5500-EI系列还将支持单播反向路径查找技术〔uRPF〕，原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。多重可靠性保护S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持内置的双冗余电源，其中S5500-28F-EI支持可插拔的冗余电源模块，也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。除了设备级可靠性以外，还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。多业务支持能力支持PoE〔PoweroverEthernet〕技术，通过以太网对所连接的设备〔如IPPhone,WirelessAP等〕进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理本钱。支持VoiceVLAN技术，交换机通过识别端口的语音流，将对应的接入端口参加VoiceVLAN〔专用语音VLAN〕中，为语音流量提供专门通道，并自动下发优先级规那么保证语音流的优先传输来保证通话质量。同时通过设置VoiceVLAN平安特性，只允许语音流量通过，可以有效防止突发数据流量对VoiceVLAN内的语音流量的冲击。H3CS5500-EI系列交换机支持MCE功能，可以有效解决多VPN网络带来的用户数据平安与网络本钱之间的矛盾，它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定，并为每个VPN创立和维护独立的路由转发表〔Multi-VRF〕。这样不但能够隔离私网内不同VPN的报文转发路径，而且通过与PE间的配合，也能够将每个VPN的路由正确发布至对端PE，保证VPN报文在公网内的传输。丰富的QoS策略H3CS5500-EI系列交换机支持支持L2〔Layer2〕~L4〔Layer4〕包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP〔StrictPriority〕、WRR〔WeightedRoundRobin〕、SP+WRR三种模式。支持CAR〔CommittedAccessRate〕功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。出色的管理性H3CS5500-EI系列交换机支持SNMPv1/v2/v3〔SimpleNetworkManagementProtocol〕，可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加平安H3CS5500-EI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。该系列交换机还支持sFlow功能，可以对出入方向的报文按比例随机抽样，灵活实现报文采集。支持特性S5500-28C-EI交换容量〔全双工〕192Gbps包转发率〔整机〕95.2Mpps外形尺寸〔长×宽×高〕〔单位：mm〕440×300×43.6重量4kg管理端口1个Console口业务端口描述24个10/100/1000Base-T以太网端口4个复用的1000Base-X千兆SFP端口双机热备份软件ROSEFORWINDOWS8.5版本RoseHA双机系统的两台效劳器〔主机〕都与磁盘阵列〔共享存储〕系统直接连接，用户的操作系统、应用软件和RoseHA高可用软件分别安装在两台主机上，数据库等共享数据存放在存储系统上，两台主机之间通过私用心跳网络连接。配置好的系统主机开始工作后，RoseHA软件开始监控系统，通过私用网络传递的心跳信息，每台主机上的RoseHA软件都可监控另一台主机的状态。当工作主机发生故障时，心跳信息就会产生变化，这种变化可以通过私用网络被RoseHA软件捕捉。当捕捉到这种变化后RoseHA就会控制系统进行主机切换，即备份机启动和工作主机一样的应用程序接管工作主机的工作〔包括提供TCP/IP网络效劳、存储系统的存取等效劳〕并进行报警，提示管理人员对故障主机进行维修。当维修完毕后，可以根据RoseHA的设定自动或手动再切换回来，也可以不切换，此时维修好的主机就作为备份机，双机系统继续工作。RoseHA实现容错功能的关键在于，对客户端来说主机是透明的，当系统发生错误而进行切换时，即主机的切换在客户端看来没有变化，所有基于主机的应用都仍然正常运行。RoseHA采用了虚拟IP地址映射技术来实现此功能。客户端通过虚拟地址和工作主机通讯，无论系统是否发生切换，虚拟地址始终指向工作主机。在进行网络效劳时，RoseHA提供一个逻辑的虚拟地址，任何一个客户端需要请求效劳时只需要使用这个虚拟地址。正常运行时，虚拟地址及网络效劳由主效劳器提供。当主效劳器出现故障时，RoseHA会将虚拟地址转移到另外一台效劳器的网卡上，继续提供网络效劳。切换完成后，在客户端看来系统并没有出现故障，网络效劳仍然可以使用。除IP地址外，HA还可以提供虚拟的计算机别名供客户端访问。对于数据库效劳，当有主效劳器出现故障时，另外一台效劳器就会自动接管，同时启动数据库和应用程序，使用户数据库可以正常操作。RoseHA双机系统的两台效劳器〔主机〕都与磁盘阵列〔共享存储〕系统直接连接，用户的操作系统、应用软件和RoseHA高可用软件分别安装在两台主机的内部存储〔硬盘〕上，数据库等共享数据存放在存储系统上，两台主机之间通过私用心跳网络连接。系统主机开始工作后，RoseHA软件开始监控系统，通过私用网络传递的心跳信息，每台主机上的RoseHA软件随时监控另一台主机的状态。当工作主机发生故障时，心跳信息就会产生变化，这种变化可以通过私用网络传递到备份机的RoseHA软件。之后，RoseHA就会控制系统进行效劳切换，备份机启动和工作主机一样的应用程序，接管工作主机的工作〔包括提供TCP/IP网络效劳、文件共享、数据库等效劳〕，并进行报警提示管理人员对故障主机进行维护。当维护完毕后，RoseHA可以自动或手动地将切换回原先的工作主机。也可以选择不切换，此时维修好的主机就作为备份机，双机系统继续工作。下面是双机高可用系统的架构图：网络用户终端网络用户终端应用网络备效劳器主效劳器侦测网络共享磁盘阵列解决方案优点：对效劳器硬件配置要求不高，可以根据应用情况采用不同型号或配置。系统切换时间短，最大程度减少业务中断的影响。切换过程对应用程序无影响，无需重新启动或登录，做到无人值守。系统效率高，系统中数据读写、管理及容错由磁盘阵列来完成。而系统效劳器故障监控切换处理由HA软件来完成。双机监控依靠RS232线路或专用100/1000M自适应网卡线路，既不占用主机CPU资源也不占用根底业务网络带宽，是RoseHA的特色功能，在实际的应用中得到用户的一致好评。支持丰富的应用配置，如：Oracle、SQLServer、Sybase、Exchange等。硬件可采用机架式结构，便于维护管理。RoseHA主要功能特点友好的界面RoseHA提供了友好直观的图形安装界面和监控管理界面。通过直观而又方便的JavaApplet管理界面，用户可以交互式地对集群系统进行配置、监控和管理，并可以利用Applet的网络特性，通过网络对系统进行远程管理，实时地显示出主机系统及效劳的状态灵活的Active-Active模式和Active-Sta