网络解决方案技术建议书

酒店行业网络视频监控系统解决方案网络解决方案技术建议书页脚内容酒店行业网络视频监控系统解决方案页脚内容酒店行业网络视频监控系统解决方案页脚内容酒店行业网络视频监控系统解决方案目录1网络总体设计方案.................................................11.1网络总体网络设计原则.....................11.2网络总体架构...........................22网络详细设计方案.................................................32.1VLAN及IP规划.........................32.1.1VLAN概述........................................................32.1.2VLAN功能划分.....................................................32.1.3VLAN规划原则.....................................................42.1.4VLAN规划建议.....................................................42.1.5IP规划概述.......................................................52.1.6IP地址规划原则....................................................62.1.7DHCP规划........................................................72.1.8DNS规划.........................................................82.2虚拟化设计............................102.2.1横向虚拟化设计...................................................102.2.2纵向虚拟化设计...................................................132.3安全设计..............................15页脚内容酒店行业网络视频监控系统解决方案2.3.1安全概述........................................................152.3.2网络安全方案.....................................................152.3.3边界安全方案.....................................................172.4运维设计..............................252.4.1设备简易运维管理..................................................252.4.2网络质量感知.....................................................272.4.3网络管理软件eSight...............................................292.4.4eSight部署规划方案...............................................293设备推荐......................................................333.1S7700系列3.2S5700系列全千兆企业交换机3.3安全接入网关3.4AR1200系列企业路由器...........................33..............36..........................41..................474设备清单......................................................485售后服务承诺...................................................515.1.1售后服务5.1.2售后服务体系4.1.3全国服务网络......................................................524.1.4强大的管理、技术和服务团队..........................................52........................................................51.....................................................526售后服务期.....................................................546.1.1设备厂商、维修服务................................................546.1.2售后服务6.1.3基本服务........................................................54CommonService..........................................57页脚内容酒店行业网络视频监控系统解决方案6.1.4增值服务Value-addedService.....................................626.1.5专家服务ExpertService..........................................656.1.6标准服务流程.....................................................666.1.7巡检及健康检查流程................................................666.1.8工作流程........................................................676.1.9故障处理流程.....................................................686.1.10技术支持流程....................................................716.1.11现场服务流程....................................................756.1.12重大故障处理流程.................................................766.1.13备品备件流程....................................................786.1.14故障事件总结，统计分析报告流程...................................796.1.15知识库.........................................................816.1.16客户服务中心的组成...............................................826.1.17服务管理平台....................................................84页脚内容酒店行业网络视频监控系统解决方案1网络总体设计方案网络设计，注重的是网络的简单可靠、易部署、易维护。因此在网络中，拓扑结构通常以星型结构为主，较少使用环网结构（环网结构较多的运用在运营商的城域网络和骨干网络中，可以节约光纤基于星型结构的网络设计，通常遵循如下原则：将网络划分为核心层、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。将网络中的每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。冗余性Trunk方式冗余备份或者负载分担；关设键备的电源、主控板等关部键件冗余备份。提高了整个网络的可靠性。网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。可管理性和可维护性酒店行业网络视频监控系统解决方案网络应当具有良好的可管理性。为了便于维护，应尽可能选取集成度高、模块可通用的产品。结构具有如下特点：以核心节点为“根”的星型分层拓扑，部调整涉及范围小，易于进行问题定位。关键链路均采用Trunk链路，务终端接入，一张IP网络承载所有业务。架构稳定，易于扩展和维护。各功能分区模块清晰，模块内双节点冗余设计，支持各种业酒店行业网络视频监控系统解决方案2网络详细设计方案2.1VLAN及IP规划VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离故障会影响到整个网络，VLAN的出现可我们日常所说的业务VLAN，是用来对不同端口进行隔离的一种同的VLAN，需要防止广播域过大。VoiceVLAN是为用户的语音数据流划分的VLAN，用户通过创建VoiceVLAN并将连接语音设备的端口加入VoiceVLAN，可以使语音数据集中在VoiceVLAN中进行传输，便于对语音流进行有针对性的QoS配置，提高语音流量的传输优先级，保证通话质量。GuestVLAN酒店行业网络视频监控系统解决方案网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN（即GuestVLAN），用户访问该VLAN内的资源不需要认证，只能访问有限的网络资源。用户从处于的服务器上可以获取802.1x客户端软件，升级客户端或执行其他应用升级程序（例如：防病毒软件成功后，端口离开GuestVLAN加入用户VLAN，用户可以访问其特定、操作系统补丁程序等）。认证MulticastVLAN即组播VLAN，组播交换机运行组播协议时需要组播VLAN来承载组播流。每个用户VLAN组播VLAN主要同VLAN中时，上行的组播路由器必须在2.1.3VLAN规划原则一个二层网络规划的基本原则：区分业务VLAN、管理VLAN和互联VLAN按照业务区域划分不同的VLAN区域按照具体的业务类型（如：Web、APP、DB）划分不同的VLANVLAN需连续分配，以保证VLAN资源合理利用预留一定数目VLAN方便后续扩展VLAN根据多种原则组合划分。按照逻辑区域划分VLAN范围：例1：核心网络区：100～199服务器区：200～999，预留1000～1999接入网络：2000～3499业务网络：3500～3999酒店行业网络视频监控系统解决方案例2：规划NAC方案时，使用动态VLAN情况下，VLAN可划分为认证前域GuestVLAN、隔离域IsolateVLAN、认证后域VLAN三类。实际部署时可配VLAN，同时预留GuestVLAN和隔离VLAN。按照地理区域划分VLAN范围例如：接入网络A的地理区域使用2000~2199接入网络B的地理区域使用按照功能模块划分VLAN范围例如：安全监控网络使用2000~2009办公网使用2010~2019务功能划分VLAN范围例如：按照业Web服务器区域：200～299APP服务器区域：300～399DB服务器区域：400～499IPPhone、打印机等哑终端使用单独的VLAN上线。IPPhone需要为其配置VoiceVLAN，提高语音数据的优先级，建议为AP规划独立的管理VLAN。保证语音质量。2.1.5IP规划概述考虑到后期扩展性，在网络IP地址规划时Internet互联区有少量设备使用公网IP，网络内IP地址是动态IP或静态IP的选取原则如下：主要以易管理为主要目。标网络中的DMZ区或部使用的则是私网IP。酒店行业网络视频监控系统解决方案原则上服务器，特殊终端设备（打卡机，打印服务器，IP视频监控设备等）和生产设备建议采用静态IP。一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。中易于进行路径叠合，大大缩减路由表，提高路由算法的地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连“望址生意”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。为了方便管理，会为每一台路由器创建一个Loopback接口，并在该接口上单独指定一个IP地址作为管理地址。Loopback地址务必使用32位掩码的地址。最后一位是奇数的表示路由器，是偶数的表示交换机，越是核心的设备，Loopback地址越小。互联地址酒店行业网络视频监控系统解决方案互联地址是指两台网络设备相互连接的接口所需要的地址，互联地址务必使用30位掩码的地址。核心设备使用较小的一个地址，互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。业务地址业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址，业务地址规划时所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。私网IP地址，在边缘网络通过NAT转换成公网地址后接入公网。汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由是可以聚合的，这样可以减少核心网络的路由数目。手动IP地址工作量大且容易出错，建议采用DHCP动态给AP分配IP地址。DHCP动态分配AP的IP地址时，可以采用指定地址池分配和统一分配两种方式。网络中办公网络、商业WiFi建议使用DHCP，每个DHCP网段应保留部分静态IP供服务器等DHCP部署基本架构在数据中心或服务器区部署独立的DHCPServer。在汇聚层网关部署DHCPRelay指向DHCPServer统一分配地址。DHCP一般通过VLAN分配地址，如有特殊要求，在接入交换机部属Option82，由接入交换机提供的Option82信息分配地址。酒店行业网络视频监控系统解决方案图2-1DHCP划分固定IP地址段和动态分配IP地址段保持连续。按照业务区域进行DHCP地址的划分，便于统一管理及问题定位。DHCP需要跨网段获得IP地址时，启动DHCPRelay功能。启动DHCP安全功能，禁止非法DHCPServer的架设和非法用户的接入。作为DNS的管理服务器，可以增加、删除、修改域名，修改的信息可以同步到Slave般部署1台。Slave服务器：从Master服务器获取域名信息，采用多台服务器DNS服务，一从服务器形成集群的方式，统一对外提供般采用基于硬件的负载均衡器提供服务器集群的功能。一般部署2台从服务器。酒店行业网络视频监控系统解决方案。一般部署在Slave服务器Master服务器：Slave服务器：分配企业私网地址，并在负载均衡器上分配一个虚拟的企业内网地址。Internet域名地址有两种方案：一种是在防火墙上做NAT映射，把Slave服务器的于外部Internet用户的访问另一种是在链路负载均衡设备上通过智能DNS为外部Internet用户虚拟地址映射为一个公网IP地址，用。提供服务。DNS可靠性设计众多内部用户发送DNS请求，被均匀分担到SlaveDNS1和DNS2。当SlaveDNS1服务器故障后，所有的DNS请求被分发给SlaveDNS2。最终DNS服务器必须与外部DNS通讯。Master服务器，建议放置在DMZ区域，并在同区内部建立SlaveDNS服务器。如只对内提供服务的DNS服务器，可以作为二级的DNS服务器，放入其他非DMZ区域。当所有的SlaveDNS都故障后，用户发送的DNS请求无响应。用户就切换到备DNS，由MasterDNS处理所有的请求。酒店行业网络视频监控系统解决方案图2-2DNS规划2.2虚拟化设计2.2.1横向虚拟化设计网络核心、汇聚节点均建议采用CSS设计，可以提高单节点设备可靠性，一台交换机故障，另外一台交换机自动接管故障设备上的所有业务，可以做到业务无损切换。设备虚拟化通过跨设备的Trunk链路，提升链路级可靠性，并且流量可以均匀分布在Trunk成员链路上，提高链路带宽利用率，一条或多条链路故障后，流量自动切换到其他正常的链路。网络配置和维护简单，网络障能直接感知快速切换。层三网络中多个设备间共享路由表，网络故障路由收敛速度快。网络管理和维护难度大大降低，此方案适应面广，扩展性强，是未来网络的发展趋势。二层接入网不需要配置复杂的二层环网和保护倒换协议，二层链路故可以提高网络故障的收敛时间。通过虚拟化与Trunk相结合的方式，可以将传统网络中协议的转化为Trunk内部成员的选路时间。链路聚合技术的收敛不涉及复杂的协议计算，也不涉收敛时间页脚内容酒店行业网络视频监控系统解决方案及网络协议的重新收敛，因此效率上要高出很多，华为公司的交换机在某些场景可以达到10ms左右的收敛时间，比之网络协议收敛的秒级要提高了100倍。CSS2（ClusterSwitchSystemGeneration2，第二代集群交换机系统），又被称为集群，设备（目前支持2台），从逻辑上组合成CSS2系统建立后，根据协议的计算，将出现一个主交换机，一个备交换机。在控制平面上，主单元成为CSS2的系统主，作为整个系统的成为CSS2的系统不具有管理角色。S12700主控交换管理主角色；备交换机的主用主控单元作为系统的管理备角色；主交换机和备交换机的备用主控单元作为CSS2的候分离，备板只作为备用主控，无交换网功能。选系统备，简化管理和配置集群形成后，两台核心设备物理虚拟成为用户可以通过任何一台成员设备登录集群系统，对集群系统所有成员设备进行统一配置和管理，需要管理的设备节点减少一半。其次，组网中逻辑上原来需要的STP/SmartLink/VRRP等冗余备份协议，在用CSS2后都不再需提高链路利用率一台设备，看变得简单，使要了。酒店行业网络视频监控系统解决方案通过跨框Trunk，用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口，这样不仅不用配置STP等协议，而且Trunk的多条链路之间可以对流量做负载分担，提高了链路的利用率，较STP等阻塞链路的方式要好很多。现有技术支持交换网板上支持插集群卡。通过连接交换网集群卡端口，建立交换网集群。交换网集群与下文的控制面集群差异是控制报文的转发路径。交换网集群是通过交换网集群端口转发控制报文，控制面集群是通过控制面集群口转发控制报文。两种模式下，数据报文都通过交换网集群端口转发。业务口集群(集群口故障中断上报)故障感知更优于广播流量无阻塞（业务口集群，两组备份的集群链路中需要阻塞其中一路。交换网集群，集群链路无需阻塞）。酒店行业网络视频监控系统解决方案S12700主控和交换分离，主控板不在位时不影响转发。S12700支持主框和备框仅一个主控时可建立集群，即S12700支持单主控集群。单主控集群，可以减少客户部署成本。S12700备框主控故障，业务不中断。S12700备框主控都拔出时，备框的数据转发不受影响。图2-4单主控集群SVF（SuperVirtualFabric）又称为纵向堆叠技术，是一种更加集中化的设备管理方案，真正做到了SVF架构内设备的通过管理和运维。可以将有线无线网络全部集中到核心./汇聚上进行统一管理、集中维护。达到整个网络一个管理节点的目的。设备管理可以将一个SVF系统视为一个虚拟的框式设备，其中SVF-Parent就是这虚台拟框式交换机的主控板，SVF-Client就是这虚台拟框式交换机的有线口接口板，而AP可以看作是无线端口接口板。酒店行业网络视频监控系统解决方案SVF-Client的版本都保存在SVF-Parent上，当SVF-Client接入SVF系统后，可以自动从SVF-Parent上获取版本文件并加载，整个过程免人工操作。SVF-Client的配置类似于框式交换机接口的配置，用户使用的命令行都在SVF-Parent上操作，不需要在SVF-Client上直接输入。在SVF-Parent上对应每个SVF-Client（堆叠设备范围是101-148，AP不占用SVF-ID。在配置SVF-Client端口时，在上（当式是：框号/卡号/端口号，如Ge2/0/1），新增一个SVF-ID号，维：SVF-ID/框号/卡号/端口号，如Ge102/2/0/1，表示ID为102的SVF-Client上的是为一个Client）分配一个ID，SVF-ID端口表示方式基础状态监控酒店行业网络视频监控系统解决方案SVF-Client不再作为独立设备对外体现，SVF-Client的告警信息也不再以独SVF-Parent上查看和上报网管。随着智能化的发展，对于网络的依赖性不断增强。但病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。统计表明，网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为用户最关心的问题，网络安全基础设施也日渐成为网建设的重点。在传统的网络用防火墙、IDS/IPS作为安全设备。随着安全挑战的不断升级，仅通过传统的安全进行边界防御已经远远不够了，安全模型需要由被动模式向主动模式转变，从根源－终端彻底提高整个企业的信息安全水平。部是安全的，威胁主要来自外界。在网络边界上，一措施和独立工作目前网络安全一般从网络监管、边界防御、接入安全及远程接入等方面进行考虑。接入安全主要指导网络内的安全接入，包括终端安全接入控制，例如：用户隔离，端口隔离等；远程接入涉及分支访问；边界防御通过防火墙、IPS/IDS对网络出口，网络内的各网络的安全是网络安全最基本的保证。这里主要从交换机的安全特性上的使用来保证网络的安全。包括DHCPSnooping、ARP防攻击、MAC防攻击、IP源防攻击等。这些安全特性工作于OSIDHCPSnoopingDHCPSnooping是DHCP（DynamicHostConfigurationProtocol）的一种安全特性，通过截获DHCPClient和DHCPServer之间的DHCP报文进行分析处理，可以过滤不信任的DHCP酒店行业网络视频监控系统解决方案报文并建立和维护一个DHCPSnooping绑定表。该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLANID、接口等信息。DHCPSnooping部署在二层设备上面，一般部署在接入交换机上。DAI-ARP欺骗动态ARP检测（DynamicARPInspection）应用在设备的二层接口上，利用DHCPSnooping绑定表来防御ARP攻击。信息和DHCPSnooping绑定表的信息进行比较。如果信息匹配，说明是合法用户，则允许此用户的ARP报文通过；否则，认为是攻击，丢弃该ARP报文。当设备收到ARP报文时，将此ARP报文中的源IP、源MAC、端口、VLANARP报文限速，可以防止大量ARP报文对CPU进行如例，在配置了ARPDetection功能后，设备会将收到的ARP报文重定向到CPU进行检查，这样引入了新的问题。如果攻击者恶意构造大量ARP报文发往设备，会导致设备的CPU负担过重，进行MAC泛洪攻击是指攻击主机通过程序伪造大量包含随机源MAC地址的数据帧发往交换机。有些攻击程序一分钟可以发出十几万条伪造源MAC地址的数据帧，交换机根据数据帧中的MAC地址进行学习，但一般交换机的MAC地址表容量也就几千条，交换机的MAC地址表瞬间被伪造的MAC地址满，交换机的MAC表填满后，交换机再收到数据，不管是单播、广播还是组播，交换机都不再学习MAC地址，如果交换机在MAC地址表中找不到目的MAC地址对应的端口，交换机就像集线器一样，向所有端口广播数据，这样就可能造成广播风暴。填在华为交换机上，可以通过对MAC学习限制及流量抑制的功能来防止MAC泛洪攻击。MAC学习限制是指限制MAC学习的数目。华为交换机支持在接口、VLAN、槽位和VSI四个方对MAC学习数目进行限制。同时，华为交换机支持对未知单播、广播及组播流量进行速度限制。通面过对MAC学习限制及流量抑制，可以有效地防范MAC泛洪攻击。IPSourceGuard酒店行业网络视频监控系统解决方案IP源地址防护能够限制二层不信任端口的IP流量。它采取的方法是，通过DHCP绑定表或手动绑定的IP源地址来对IP流量实行过滤此特性可以阻止IP地址欺骗攻击，也就是主机通过把自己的源IP地址修改成其他主机的IP地址实现的攻击。任何从不信任的端口入站的IP流量，只要其源地址与指定(DHCPSnooping或静态绑定表)的IP地址不同，就会被过滤掉。IP源地址与防护特性需要在不信任的二层接口上和DHCPSnooping共同使用。IP源地址防护会生成一个IP源地址绑定表，并且对这个列表进行维护。这个列表既可以通过DHCP学习到也可以手动配置。列表中的每个条目都包括IP地址及与这个IP地址所关联的MAC地址及VLANID。MFF技术网络中，通常使用MFF（MAC-ForcedForwarding）实现不同客户端主机之间的二层隔离三层互通。MFF截获用户的ARP请求报文，通过ARP代答机制，回复网关MAC地址的ARP应答报文。通过这种方式，可以强制用户将所有流量（包括同一子网内的流量）发送到网，关使网可关以监控数据流量，防止用户之间的恶意攻击，能更好的保障网络部署的安全性。和所谓网络边界对边界进行安全防护，首先必须明确哪些网络边界定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产，其次对安全资产略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域网络边界是网络的重要组成部分，负责对网络流量进行最初及最后的过滤，因此边界安全对整网安全意义重大，是指网络与其他网络的分界线需要防护，这可以通过安全分区设计定义安全策。来确定。。的有效。一般而言，一个完整的安全部署包括边界路由器、边界防火墙、IPS、边界防毒墙、边界流量分析监控等安全部件及各安全部件之间的协同工作。这些部件仅仅依靠各自自身的力量是无法提供完整的网络安全。只有这些部件的功能相互补充，相互结合，协同工作才能形成一个立体的防御结构。边界路由器酒店行业网络视频监控系统解决方案路由器在网络中承担路由转发的功能，它们将流量引导进入网络、流出网络或者在网络中传输，由于边界路由器具有丰富的网络接口，一般置于Internet出口或广域网出口，是流量进入和流出防火墙设备通过一组规则决定哪些流量可以通过而哪些流量不能通过防火墙。防火墙可以对边界路由器不能监控的流量进行更加深入地分析和过滤，并能够按照管理者所确定的策略来阻塞或者允许通过这些功能保障安全域管理华为防火墙采用基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意接口，因此防火墙的安全管理模型不会受到网络拓扑的影响。不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表），每条安全策略组支持关的策略十分容易管理，方便用户对各种逻辑安制模型，可以清晰地分别定义从trust到untrust、从DMZ到untrust之间的各种访问，这样的策略控制模型使得华为统一安全网关的网络隔离功能具有很好的管理能力。攻击防范功能是防火墙必备的功能之一，常见的攻击类型有DOS攻击、扫描窥探攻击、畸形报ASPF过滤技术ASPF是一种高级通信过滤技术，它检查应用层协议信息并且监控防火墙依靠这种基于报文内容的访问控制，能够对应用层的一部分攻击加以检测和防范，包括对于FTP、HTTP、RTSP、SIP等的检测。NAT酒店行业网络视频监控系统解决方案NAT的基本原理是仅在私网主机需要访问Internet时才会分配到合法的公网地址，而在内部当访问Internet的报文经过NAT网关时，NAT网关会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录；之后，当报文从Internet侧返回时，NAT网关查找原有的记录，将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机。这样，在私网侧或公网侧设备看来，这个过程与普通的网络访问并没有任何的区别。在实现方式上，NAT可以分为BasicNAT、NAPT方式、NATServer方式、EASYIP方式、DNSMapping方式等。P2P流量检测和流量控防火墙支持的P2P流量检测和流量控制功能：于规则文件的特征检测和行为规则文制检测，件可以升级更新于ACL的用户策略控制下行的不同限流协议优先级的动态调整各种协议检测的打开和关于时间段的分时段限流对P2P流量可以限定在一个范围内，这样不但可以使闭得用户自由的使用P2P软件，也不会造成例如：迅雷、沸点、BT、Kugoo、PPGou、Poco/pp、Baibao、BitComet、Kazaa/FastTrack、Emule/eDonkey、PPSTREAM、UUSee、PPLive、QQLive、TVAnts、BBSEE、Vagaa、Mysee、Filetopia、Soulseek等P2P协议检测和流量控URL过滤华为防火墙的URL过滤功能采用了先进的大大减少了URL匹配的时间，凭借先进的软硬件性能，能够快速地处理大量的URL访问请求。防火墙支持远程URL分类服务器，远程URL分类服务器提供了细粒度的URL资源种面而准确的后台URL资源分类数据库，自动化地实现对用户访问URL的自动分类。另外，防火墙支模式匹配引擎算法，类，使用全酒店行业网络视频监控系统解决方案持本地URL分类功能，用户可以自定义个性化URL资源访问控制的功能。并且可以将URL访问控制策略和时间、IP地址、分类访问控制列表等关键策略进行关联，从而实现基于时间、用户和访问类另外，防火墙支持本地URL黑/白名单功能，支持基于前缀匹配、后缀匹配、关键字匹配、精确IPS/IDS随着互联网的不断发展，黑客攻击技术也出现了许多新的变化，这也促使网络安全产品不断的更新换代。一种新型的安全防护产品-网络其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方入侵防御系统应而运生。网络入侵防御系统作为一种在线部署的产品，层的威胁进行实时案。IPS安全网关产品可以部署在企业网络出口处或者重要服务器前面，提供主动的、实时的防护。准确检测2到7层的网络异常流量，自动对各类攻击的流量，尤其是应用层的威胁进行实时阻断。IPS系统自身的安全非常重要，必须能够抵御那些常规的网络安全威胁：如病毒的感染、蠕虫的传播，不可通用的处理器及操作系统这些都有周知的漏洞，很容易被利用进行IPS的检测粒度非常细，由此系统必须具备高性能的数据报处理及转发能力，不然低效的IPS系统将成为网络的性能瓶颈。网络上很多应用服务器（如HTTP、SMTP、FTP、POP3、IMAP4、MSRPC、NETBIOS、SMB、MS_SQL、TELNET、IRC、DNS等）在设计中并不完善，如对协议中的异常情况考虑不足。因此黑客常利用协议的漏洞对服务器发起攻击。他们向服务器发送非标准或者缓冲区溢出的协议数据，从而夺取服务器控制权或者造成服务器宕机。IPS能够检测、识别网络流量的协议异常（包括协议遵从性参数合法性等）并加以阻断。中常包含大量黑客攻击、病毒、特洛伊木马、恶意软件等恶意流量。这些恶意流量都有各自不同的签名（特征）。因此，必须有专业的析工程师对这些恶意网络流量进行深入分析，提取相应的特征码并形成签名。IPS根据签名库，使用特征检测引擎对网络中传输的数据包进行高速匹配，从而对命中签名规则的流量进行阻断等方式进行响应动作。使用等。入侵攻击。而、网络安全分酒店行业网络视频监控系统解决方案IPS的检测引擎和签名库，对于入侵检测的效果具有重要意义。优秀的检测引擎算法极大程度影响检测的速度；全面而准确的签名库能够有效防御大量威胁，减少误报。有了优秀的检测引擎及签名库，IPS能够更好的检测各类攻击，如最新病毒IPS的特征检测引擎和签名库必须支持有效升级，以保证能够应对不断变化着的网络威胁。通常情况下，IPS设备的工作步骤如下：捕获网络数据包重数组据包，包括流重和组分片重组、特洛伊木马、恶意软件等进行检测防御。对数据包进行协议识别，有基于端口的识别和基于内容的识别将数据包送入检测引擎匹配最后根据引擎检测所谓IDS联动，指IDS设备能为，通过下发指令的方式通知防火墙，由防火墙对攻击报式进行攻击防范，入侵检测和攻击处理两个过程有效分离，充分发挥了各安全策略采取响应动作中是否存在恶意攻击丢弃或其它处理。采用IDS联动方势，改善了系统、入侵或其他安全隐患行性华为防火墙除了自身提供强劲的攻击防DetectiveSystem）设备联合组网，即IDS设备外置。由于IDS设备包含非常完备的攻击行信息，因此联合组网将充分发挥IDS设备高效、全面的安全保障能力。范能力外，还能够和专业的IDS（Intrusion为通过和IDS设备联动，防火墙可以提供一种高可靠的主动防御模型。通过这种主动防御的模型，提供了高可靠的安全解决方案。用户先配置好基本的静态安全策略，通过IDS设备可以动态发现安全隐患，通过防火墙设备修改安全策略，起到实时、动态的修改防御策略，保证了整网的安全。华为防火墙提供灵活的联动接口协议，可以和很多IDS设备互通，方便地支持各种IDS设备和防火墙联合工作。边界防病毒酒店行业网络视频监控系统解决方案近年来计算机病毒趁着网络信息化的热潮，不断骚扰和破坏人们正常的工作秩序。病毒已逐渐成为网络安全的祸首，严重的病毒爆发将直接导致网络的瘫痪，在边界安全防护中也同样要考虑对病毒的防护。华为防火墙提供了Anti-Virus防病毒功能，防病毒功能采用了先进的病毒检测引擎和病毒库，防火墙的病毒引擎支持启发式扫描，对网络上传输的代码文件进行深入的行为分析，采取对需要扫描的文件进行逻分辑析以及行为分析，通过这种方式，可以很大程度的发现一些行为异常的程序，发现未知的病毒。全球的病毒检测点和和专业病毒分析团队和分析病毒特征，及时的生成最新病毒库。防火墙通过可以多种方式升级或更新病毒库，实现病毒的实时检测。病毒库支持自动定时升级和回退功能。，可以实时发现网络最新病毒，并且通过病毒分析团队确认由于防火墙与IPS/IDS等一般是部署在同一个地方，且华为防火墙同时支持防火墙与IPS功能，因此，边界组网设计图中仅画出防火墙。对企业总部或大型分支机构，一般在网络出口部署双防火墙，两防火墙呈主备或负载均衡的方式工作。如图3-11所示，在核心交换机与网络路由器之间采用直路全双归方式接入防火墙设备，两台防火墙设备之间采用主备或负载均衡方式连接。这样，网络出口路由器、防火墙及核心路由器之间都有备份作用，保证了链路的可靠性。防火墙E8000E放置在总部出口，主要承担以下功能:根据需要开启虚拟防火墙功能，通过不同的虚拟防火墙与各大客户对应，将不同的服务器群用VPN隔离开。启用L2TPVPN的功能，允许出差移动用户通过拨号的方式接入不同的VPN，访问不同VPN里的业务或者设备。酒店行业网络视频监控系统解决方案网络出口典型组网图2-7网络出口典型组网除了直路全双归，防火墙的接入方式还有与交换机双归，与路由器口字型、与交换机路由器都口字型及旁挂。图2-8防火墙出口连接方式-与交换机双归、与路由器口子型页脚内容酒店行业网络视频监控系统解决方案图2-9防火墙出口连接方式-与交换机口子型、与路由器口子型域间防护网络出口部署的防火墙可以解决网络内部网络与外部网络之间的安全问题，但研究表明，80%的网络安全漏洞都存在于内部网络。因此，内部的安全防护更为重要。当网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边界。在网络内部，不同的业务部门、研发中心、办公中心可能都具有不同的安全策略。从安全的角度讲，在各个不同的部门、研发中心、办公中心、数据中心、DMZ区域的出口都部署防火墙是最理想的。也可以在核心层部署防火墙，将各业务部门划分在不同的VPN中，防火墙采用虚拟防火墙的方式管理各安全域的安全策略。酒店行业网络视频监控系统解决方案2.4运维设计2.4.1设备简易运维管理随着网络技术的飞速发展，网络规模也在不断扩大，客户需要管理和维护多大几十台甚至上百台的设备，弊端显而易见，因此客户对简化网络设备管理的需求越来越迫切。比如设备安装、软件升级、故障定位和设备更换等工作花费网络管理人员的大部分时间，其中，有些工作简单重复、效率低下。如何对网络设备进行批量、自动管理，成为企业IT部门面临的严重挑战。EasyOperation是一个简化运维的方案，可以实现Zero-Touch开局，设备故障自动替换、设备批量升级、拓扑展现等功能。图2-11EasyOperation组网图DHCPTFTP/SFTP/FTP网管服务器服务器网络Commander汇聚侧接入侧ClientClientClientClientClientGroupAGroupBEasyOperation的基本组网如上图所示。Commander网是络管理设备，也是Zero-Touch场景中工程师实际需要操作的设备，其主要工作为：管理下挂的Client设备，给下挂的设备分配文件服务器地址、用户名、密码、版本置文件名、补丁文件名，WEB网页文件名等信息；管理下挂的Client设备的与部署相关的信息，建立信息数据库；文件名、配页脚内容酒店行业网络视频监控系统解决方案统一控制和管理下挂Client设备，控制和信息查询都在Commander上完成。Zero-Touch开局主要适用于网络部署初期，网络刚刚搭建完成，网络中大部分新安装的设备没有EasyOperation时，需要华为工程师亲自到达现场，依次给新设备完成必要的配置；亦或在现场给新设备分配指定的静态IP地址后，再将预先准备的配置文件通过文件传输的方法远程加载。无论哪种方式，工程师都要求人在现场，每台设备的操作工作量也不小，如果新设备数量比较时，工作量非常可观EasyOperation的Zero-Touch开局功能很好的解决了以下新设备的ID，如MAC或ESN；准备好对应设备的配置文件以及相关需要加载的文件，如版本文件、补丁文件、License、WEB网管等；客户或者代理商在现场链接好设备后，华为工程师可以在远程大。上问题。该功能只需要预先记录（网络中心机房）通过命令或者网管方式，所有新设备开局必要文件的加载，整个过程华为工程师对新设备是Zero-Touch的，更不必要到现场，有效的简化了工作量。设备批量升级主要用于企业客户网络已经部署完成，正常运行过程中。或因为设备版本或因为版本已知Bug，或因为要使用新版本的新功能，需要给企业客户升级的场景。没有EasyOperation时，当多台设备升级到相同版本时，需要华为工程师依次向待升级设备加载版本完成升级。如果待升级的设备数量比较大时，工作量还是比较可观的。EasyOperation的设备批量升级功能很好的解决了以上问题。该功能只需要预先记录下待升同版本的设备ID，如MAC、ESN或者设备类型等，将这些设备归为一个Group，那么华为工程师只需要针对这个Group指定升级版本以及其他信息后，在远程（网络中心机房）通过命令或者网管方式可以实现一键式批量升级，有效的简化了工作量。即将EOS，故障设备替换故障设备替换主要用于企业客户网络已经部署完成，正常运行过程中出现设备硬件故障或人为损坏等需要更换的场景。酒店行业网络视频监控系统解决方案没有EasyOperation时，需要华为工程师亲自到达现场，完成故障设备替换后，还要将原故障设备的配置导入新设备中，如果版本、补丁等文件已经修改了则还要完成升级，一系列过程都不能EasyOperation的故障设备替换功能很好的解决了以上问题。该功能只需要将新设备按照原故障设备在网络中的拓扑，原位置接入网络，新设备就可以自动获取并下载原故障设备的文件，完成故障设备的替换，有效的简化了工作量。随着网络的发展，各种应用业务得到了广泛部署，链路的连通性和网络性能的好坏直接影响着承载网络上的各种业务。因此，作为企业网络承载管道的性能检测显得尤为重要。例如语音业务，当链路丢包率在5％以下时，用户不会有明显的感觉；但是当丢包率大于10％就会影响语音的质量。例如智真、在线视频等实时性业务，甚至要求时延不得超过50ms，否则会对用户体验造成极坏的影响。iPCA（PacketConservationAlgorithmforInternet）是一种通用的IP网络性能检测的方案，效地解决上述问题。iPCA可以直接对业务报文进行测量，在线监控IP网络变化，真实准确地反映出业务的运行情况，对于网络的故障诊断、业计有重大意义。一般要求时延至少低于100ms；对于实时性要求更高的场合，承载的业务的丢包统计功能是指在某一个测量周期内，统计所有进入穿越网络的流量与离开网络的流量之间的差。丢包测量主要有两种类型：点到点丢包测量和多点到多点丢包测量。点到点丢包测量是指通过测量指定两台设备之间链路的丢包情况，确定链路的质量。多点到多点丢包测量多点到多点丢包测量是指通过测量指定的多台设备之间链路的丢包情况，确定链路的质量。酒店行业网络视频监控系统解决方案iPCA采用特征分组测量法来测量丢包，在报文入口（源端），对业务报文头中某一个染色位进行周期性的标识（置位、复位），从而可将业务报文按照特征置位属性，划分为不同的测量区间。时延统计时延直接测量就是对实际业务的报文进行抽样记录，测量其在网络中的实际转发时间，抽样方法是通过设置业务报文的特征位进行染色区分。时延统计主要有两种类型：单向时延测量和双向时延测量。点到点单向时延测量单向时延统计是指通过测量指定两台设备之间链路单方向的网络时延，确定链路的质量。点到点双向时延测量双向时延统计是指通过测量指定的两台设备之间链路的往返时延，确定链路的质量。iPCA方案建议户对语音业务、交互视频、视频监控等业务质量的能和时延性能，以便在网络用户业务更高要求，网络管理中心希望能够实时监控承载链路的丢包性质IPiPCA性能统计主要有三种功能场景：端到端连续性能统计端到端连续性能统计是指用户出于监控网络性防止网络性能劣化而用户不能感知的情况发生，用户可以部署连续性能统计功能，持续监控网络的行情况。能的目的，由系统持续执行的性能统计操作。为了运端到端按需性能统计是指用统计动作。当用户发现网络性能劣化，或者用户希望根据需要选取指定的业务可以通过按需性能统计功能查看近期详细的性能统计信息。逐点性能统计出于诊断或者监控网络性能的目的，人工干预发起的性能流发起实时性能统计时，酒店行业网络视频监控系统解决方案逐点性能统计是指用户处于定位故障的目的，从流量的发起端逐台设备发起的性能统计动作。当用户发现网络性能劣化，网络管理者希望准确定位发生性能故障的网络节点时，可以采用逐点性能统计功能。2.4.3网络管理软件eSighteSight支持对IT&IP以及第三方设备的统一管理，同时对网络流量、接入认证角色等进行智能分析，安全。同时eSight提供灵活的开放平台，为企业量身打造自己的智能管理系统提供基础。场景，华为eSight提供多种应用，包括：多厂商的设备管理；企业资统源一管理；；辅助智能楼宇安防监控；企业网多厂商的设备管理eSight预集成业界主流设备，余款设备、其他厂商100余款设备全网设备，大大提升管理效率。默认已包含Cisco20个系列140余款设备、H3C14个系列130、以及数十款打印机、服务器。企业运维人员不做任何配置，即自动配套能力，通过eSight厂商类型自动识别能力，对于友商新发布的设备也可实现拓扑、告警、性能力。标准的流量采集，还同时支持设备面板、设备CPU利用如图2-12所示，华为eSight提供全方位的企业资管源理，针对不同网络设备、不同业务、不同服务器、工作站等PC资进源行管理。2.4.4eSight部署规划方案分级部署模式酒店行业网络视频监控系统解决方案图2-12eSight分级部署模式eSight网络管理系统可以通过三种方式完成单点网元配置工作：使用简单配置框架实现单点网元配置。使用智能配置工具进行设备单点配置。通过Web网管进行单点配置。在开局、网络维护等多个场景，用户有对集中部署的设备的业务进行批量操作的需求，用户通过智能配置工具能够对多台设备的业务进行批量配置，提高用户的运维效率。eSight网络管理系统能够对业务进行实时监控，根据业务类型进行流量、信息统计，极大的方便网络运维人员实时监控业务状况。监控性能eSight可以对网络的关键性能指标进行监控，并对采集到的性能数据进行统计。通过可视化的操作界面，方便用户对网络性能进行管理。通过监视模板管理性能监视指标，并设定告警的阈值。通过性能监视模板，用户可以方便的将性能采集规则应用到多个对中象。性能监视模板包括以下内容：酒店行业网络视频监控系统解决方案将多种性能指标集成到一个性能指标组中，可以支持分场景定制指标组，包含场景相关的所有性能指标，便于根据业务场景建立对应的监视任务。定义具体的性能采集的指标。通过设置性能门限值，可以在网络的性能数据低于门限值时及时预警，避免网络性能的持续恶化。数据的采集。支持周期性性能指标采集，可以了解网络在指变化提供数据依据。eSight提供丰富的资源查看和预定义报表，同时提供强大易用的报表设计功能，用户可根据行图2-13eSght资源查看和报表管理阶段维护eSight提供配置文件管理和备份功能，可以快速的进行文件备份和设备登录管理。同时还提供系统巡检工具，能够定时对设备进行自检，减轻网络维护人员的工作量。酒店行业网络视频监控系统解决方案页脚内容酒店行业网络视频监控系统解决方案3设备推荐3.1S7700系列产品定位S7700系列运营级园区汇聚交换机是由华为公司自主开发的新一代高性能核心路由交、高密度、模块化的二到四层线速转发性能，具有强大组播功能，完善的QoS保障、有效的换机产品，提供大容量安全管理机制和电信级的高可靠设计，满足高端用户对多业务、高可靠、大容量、模块化的需求，降低运营商的建网成本和维护成本，可广泛应用于构建各种类型型园区网核心层和汇聚层交换机。表1-1S7700系列交换机产品型号说明S7703支持3块LPU交换容量4.8Tbit/s包转发率1440MppsS7706支持6块LPU交换容量10.24Tbit/s包转发率2880Mpps页脚内容酒店行业网络视频监控系统解决方案产品型号说明S7710支持10块LPU交换容量39.68Tbit/s包转发率8400MppsS7712支持12块LPU交换容量10.24Tbit/s包转发率2880Mpps图1-2S7703外观图图1-3S7706外观图页脚内容酒店行业网络视频监控系统解决方案图1-4S7710外观图图1-5S7712外观图先进体系结构，高性能，配置灵活S7700系列交换机采用先进的全分布式体系结构设计，采用业界最新的硬件转发引擎技术，所有端口支持的业务能够线速转发，业务包括IPv4/MPLS/二层转发等。支持ACL线速转发。酒店行业网络视频监控系统解决方案S7700系列交换机实现组播线速转发，硬件完成两级复制：交换网板复制到接口板S7700支持1.536Tbps交换容量，支持多种高密度板卡，满足核心、汇聚层设备大容量、高端口密度的要求，可以满足用户日益增长的带宽需求，能够极大的保护和节约用户投资。完善的安全机制S7700系列交换机支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证，支持安全的SSH登录、命令行保护、基于用户安全策略的SNMPV3、DHCPSnooping、IPSourceGuard、DAI、层次化CPU通道保护，本地认证、RADIUS和HWTACACS认证。支持防网络风暴攻、击防DOS/DDOS攻、击防扫描窥探攻、击防畸形报文攻、击防网络协议报文攻击等安全技术。全面的可靠性S7700系列交换机支持跨单板端口间的汇聚。支持DLDP，可以监控光纤或铜质双绞线的链路状态。如果发现会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发支持RRPP及多实例，相比其他以太环网技术，RRPP具有以下优势：拓扑收敛速度快，低于50ms。收敛时间与环网上节点数无关，可应用于网络直径较大的网络。支持标准STP/RSTP/MSTP二层环网保护协议。支持SmartLink及多实例。支持最大支持128个汇聚组，每个汇聚组内支持最多8个成员端口，单向链路存在，DLDP生。BFDfor单播路由/VRRP/FRR/PIM。3.2S5700系列全千兆企业交换机S5700系列汇聚而推出的新一代绿色节能的全千兆以太网交换机。软件平台，具备大容量、高密度千兆端口，可提供万兆上行，全千兆企业交换机（以下简称S5700），是华为公司为满足大带宽接入和以太多业务它基于高性能硬件芯片和华为公司统一的VRP充分满足企业用户的网络接入、汇聚、酒店行业网络视频监控系统解决方案IDC千兆接入以及千兆到桌面等多种应用场景。S5700提供精简版（LI）、标准版（SI）、增强版（EI）和高级版（HI）四种产品形态，具有下列这些特点。此外，根据不同客户和场景的需求，推出了可内置蓄电池的电池交换机、CSFP交换机、电源口图3-1S5700系列交换机S5720-HI系列内置以太网络处理器ENP芯片，业现在与未来的各种挑战。IP质量可感知，网络管理更高效；有线无线深度融合，从容面向高速无线时代；SVF超级虚拟交换网技术将整网虚拟成一台设备，提供业界最简化网络管理方案；大表项与务随需而变，助力客户网络敏捷演进，满足大缓存使得业务弹性扩展，畅享高清视频。成熟的IPV6特性S5700基于成熟稳定的VRP平台，支持IPv4/IPv6双协议栈、IPv6路由协议（RIPng/OSPFv3/BGP4+/ISISforIPv6）、IPv6overIPv4隧道（手工隧道/6to4隧道酒店行业网络视频监控系统解决方案/ISATAP隧道）。S5700既可以部署在纯IPv4或IPv6网络，也可以部署在IPv4与IPv6共存的网络，充分满足网络从IPv4向IPv6过渡的需求。S5700支持多种上行扩展插卡，提供高密度的GE/10GE上行接口。其中S5710-HI具有4个扩展插槽，可实现48*GE(电)＋48GE(光)＋8*10GE＋4*40GE，96GE(电)＋8*10GE+4*40GE，或96*GE(电)＋12*10GE等不同端口组合，充分满足不同用户对带宽升级的实际需求，保护用户投资。S5700智能iStack堆叠，将多台支持堆叠特性的交换机组合在一起，从逻辑上组合成一台虚拟交换机。iStack堆叠系统通过多台成员设备之间冗余备份，提高了设备级的可靠性；通过跨设备的链路聚合能功，提高了链路级的可靠性。iStack提供了强大的网络扩展能力，通过增加成员设备，可以轻松地扩展堆叠系统的端口数、带宽和处理能力。iStack简化了配置和管理，堆叠形成后，多台物理设备虚拟成为一台设备，用户可以通过任何一台成员设备登录堆叠系统，对堆叠系统所有成员设备进行统一配置和管理。S5700-LI系列智能低功耗交换机，本着“性能优先，节能不牺牲用户体验”的原则，通过匹配链路Down/Up、光模块在位/不在位、端口ShutDown/UndoShutDown、设备空闲时段/繁忙时段等不同的使用场景，创造性地应用能效以太网（EEE）、端口能量检测、CPU动态调频、设备休眠等技术，达到节省设备能耗的目的。针对不同用户的应用需求，提供了灵活可配的标准节能、基本节能、深度节能三种节能模式，是业界首家支持整机休眠的交换机设备。完善的VPN隧道S5700支持Multi-VPN-InstanceCE（MCE）能功。S5700支持下接不同的VPN用户，通过路由多实例，实现了不同用户的隔离；上行通过一个共用的物理接口连接到PE设备，减少单个VPN用户对网络部署的投资。S5710-EI/S5700-HI支持MPLSL3VPN、MPLSL2VPN(VPWS/VPLS)、MPLS-TE、MPLSQoS等能功，可作为高质量企业专线接入设备，是业界为数不多的高性价比盒式MPLS交换机。酒店行业网络视频监控系统解决方案S5700支持华为EasyOperation简易运维方案，提供新入网设备Zero-Touch安装、故障更换免配置、USB开局、设备大大降低了运维成本。S5700支持SNMPV1/V2/V3、CLI（命令行）、Web网管、TELNET、SSHv2.0等多样化的式；支持RMON、多日志主机、端口流量统批量配置、批量远程升级等功能，便于安装、升级、业务发放和其计和网络质S5700支持GVRP，实现VLAN的动态分发、注册和属性传播，减少手工配置量，保证配置正确性。S5700还支持MUXVLAN功能，MUXVLAN分为主VLAN和从VLAN，从VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从VLAN之间可以相互通信；互通型从VLAN内的端口之间互相通信；隔离型从VLAN内的端口之间不能互相通信。S5700-EI/S5700-HI系列支持风扇备份以及在线更换风扇，不间断设备运行，并支持根据环境温度变化自动分区调节风扇的转速，不仅能够减少设备功耗和运行噪声，还能延长风扇的寿命。S5700支持Netstream网络流量分析功能。作为网络流量输出器，S5700根据用户配置，实将数据上送给网络流量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络S5700支持sFlow功能。S5700按照标准定义的方式，对转发的流量按需采样，并实时地将采了极大的方便。样流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供灵活的以太组网S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为护技术和业界最新的以太环网标准协议ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方并提供50ms的快速业务倒换。ERPS自主创新的SEP智能以太保便，是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现以太环网的毫秒级快速保护倒换。酒店行业网络视频监控系统解决方案S5700支持SmartLink和VRRP功能。S5700通过多条链路接入到多台汇聚交换机上，SmartLink/VRRP实现了上行链路的备份，极大地提升了接入侧设备的可靠性。S5700支持多种连接故障快速检测功能。S5700支持完善的以太OAM(IEEE802.3ah/802.1ag/ITUY.1731)和BFD功能。S5700-HI更能提供硬件级3.3ms高精度以太S5700支持MAC地址认证和802.1x认证，实现用户策略（VLAN、QoS、ACL）的动态下发。S5700支持完善的DoS类防攻击、用户其中，DoS类防攻击主要针对交换机攻击，包括SYNFlood、Land、Smurf、ICMPFlood；用户类防攻击涉及DHCP服务器仿冒攻击、S5700通过VLAN-ID、接口等信息，解决DHCP用户的IP和端口跟踪定位问题。利用DHCPSnooping的信任端口特性，S5700还可以保证DHCP服务器的合法性。建立和维护DHCPSnooping绑定表，侦听接入用户的IP/MAC地址、租用期、S5700通过建立和维护DHCPSnooping绑定表，对不符合绑定表项的非法报文直接丢弃。利用DHCPSnooping的信任端口特性，S5700还可以保证DHCP服务器的合法性。S5700-LI-BAT是业界首创的电池交换机，支持内置的锂电池作为备用电源，适用于网络接入层频繁断电的应用场景。其主要优点体现在：电池交换机内置蓄电池，集成度高，节省空间，安装方便全网电池交换机统一可视化管理，方便运维，电池寿命可预测，无须整网定期更换电池，电池可靠性高，支持电池保护和告警功能，超过工作温度进行过温保护高密接入带宽倍增的CSFP酒店行业网络视频监控系统解决方案CSFP交换机支持下行端口CSFP功能，每个下行端口插入一个CSFPGE光模块和一对光纤实现单纤双向2GE的带宽，是普通SFP光模块带宽的两倍，下行24个CSFP端口可实现带宽48GE，实现了相当于48个普通SFP端口的高密接入，节省了铺设光纤的成本和新增光模块的成本。电源端口前置的款型可以满足300mm深的机柜放置，整台设备可以前面板单面维护，简化了运维，而且机柜的摆放更加灵活，可以灵活选择机柜靠墙放置或者机柜背靠背放置，满足客户机柜深度小、机房空间有限的需求，并为客户节省空间。介绍表3-1安全接入网关USG9500云数据中心云数据中心、大型企业、教育、政府等网络的安全问题而自主研发的高性能统一安全网关产品。USG9000系列华为技术有限公司为解决云数据中心、大型企业、教育、政府等网络的安全问题而自主研发安全网关。USG9500基于业界领先的“NP+多核+分布式”架构，融合了NAT、VPN、IPS、Anti-DDoS等行业领先的专安全网关为解决的统一USG9500系列云数据中心安全网关业安全技术，通过将交换、路由、安全服务整合到统一的设备中，提供给用户高性能保证、全面的虚拟化安全防护、超千种应用识别。USG9500在大型数据中心、大型企业、教育、政府、广电等行业和典型场景得到广泛应用。USG6000下一代防火墙在移动化，社交化和云化的IT新环境，通过ACTUAL全局环境感知能力，重塑企面向SOHO企业、连锁机构、营业网点、中小企业、企业的分支机构，提供高性能，全方位的下一代安全防护。该系列集防火墙、IPS、AV、VPN、上网行为管理等体，提供安全、灵活、便捷的一体化组网和接入解决方案。业网络边界安全。功能于一USG6300系列下一代防火墙酒店行业网络视频监控系统解决方案集防火墙、IPS、AV、VPN、上网行为管理和强大的路由功能于一体，提供安全、灵活、便捷的一体化组网和接入解决方案。为大中型企业及分支机构、连锁营业网点、中小企业，提供高性能、全方位的下一代安全防护。USG6500系列下一代防火墙USG6600系列下一代防火墙企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。移动APP、Web2.0、社交网络让企业处于开放的网络环境，攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透，企业面临前所未有的安全风险，传统防火墙面对变革却无能为力。华为SecospaceUSG6600系列下一代防火墙应需而生，面向下一代网络环境，基于“ACTUAL”感知，实现安全管理自我优化，通过云技术识别未知威胁，高性能地为大型企业、数据中心提供以应用层威胁防护为核心的下一代网络安全。USG2000&5000统一为解决政府、企业、数据中心等机构的网络安全问题，而自主研发的统一软、硬件体系架构，为用户提供强大、可扩展、持续的安全能力。华为USG2000HSR系列大中型用户的分支机构提供多种接入解决方案新一代网关产品。安全网关安全网关，基于业界领先的多业务安全网关，是面向中小型用户、与安全防御的USG2000HSR系列为用户提供完整的接入解决方案：提供多USG2000HSR多功能安全网关种WAN接口，包括E1/CE1/Serial/ADSL/G.SHDSL；支持全无线组网----802.11a/b/g/n全制式的Wi-Fi下行，支持3G上行。基于业界领先的软、硬件体系架构，融合了IPS、AV、URL过滤、应用程序控制、邮件过滤等行业领先的专业安全技术，为用户提供强大、可扩展、持续的安全能力。华为USG5100HSR系列关，提供高密度的交换接入，最大支持88个千兆接口。基于业界领先的软、硬件体系架构，融合了IPS、AV、URL过是面向大中型用户的千兆级多业务安全网滤、应用程序控制、邮件过滤等行业领先的专业安全技术，为用户提供强大、可扩展、持续的安全能力。在政府、金融、USG5100HSR多功能安全网关电力、电信、石油、教育、工业制造等行业得到广泛应用。页脚内容酒店行业网络视频监控系统解决方案USG2110系列是专门面向中小企业、连锁机构、营业网点、SOHO企业推出的网络互联设备。该系列产品集防火墙、UTM、VPN、路由、无线（WIFI/3G）功能于一体，能够将多种业USG2110系列防火墙/UTM产品务部署在同一节点，在充分节约用户投资的情况下提供安全、灵活、便捷的一体化组网和接入解决方案，有效降低运维成本。USG2000系列产品是华为公司面向中小型企业/分支机构设计的新一代防火墙/UTM（UnitedThreatManagement，统一威胁管理）设备。USG2000基于业USG2000系列防火墙/UTM产品系架构，基于用户的安全策略融合了传统防火墙、VPN、入侵界领先的软、硬件体检测、防病毒、URL过滤、应用程序控制、邮件过滤等行业领先的专业安全技术，可精细化管理1200余种网络应用，全面支持IPv6协议，为用户提供强大、可扩展、持续的安全能力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。USG2000系列产品包括：USG2130，USG2160，USG2210，USG2210E，USG2220，USG2220E，USG2230，USG2230E，USG2250，USG2250E等十个型号产品提供多个扩展槽，支持多种I/O模块选配。USG5100系列产品是大中型企业的新一代防火墙/UTM（UnitedThreatManagement，统一威胁管理）设备。USG5100基于业USG5100系列防火墙/UTM产品系架构，基于用户的安全策略融合了传统防火墙、VPN、入侵。均为模块化设备，华为公司面向和机构设计界领先的软、硬件体检测、防病毒、URL过滤，应用程序控制，邮件过滤等行业领先的专业安全技术，可精细化管理1200余种网络应用，全面支持IPv6协议，为用户提供强大、可扩展、持续的安全能力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。USG5100系列产品包括：USG5120，USG5150，USG5160等三个型号产品。均为模块化设备，提供多个扩展槽，支持多种I/O模块选配。USG5500系列产品是心设计的新一代防火墙/UTM（UnitedThreatManagement，统一威胁管理）设备。USG5500基于业界领华为公司面向大中型企业机构和数据中页脚内容酒店行业网络视频监控系统解决方案USG5500系列防火墙/UTM产品先的软、硬件体系架构，基于用户的安全策略融合了传统防、VPN、入侵检测、防病毒、URL过滤、应用程序控制、安全技术，可精细化管理1200应用，全面支持IPv6协议，为用户提供强大、可火墙邮件过滤等行业领先的专业余种网络扩展、持续的安全能力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。USG5500系列产品包括：USG5520S，USG5530S，USG5530，USG5550，USG5560等五个型号产品供多个扩展槽，支持多种I/O模块选配。均为模块化设备，提华为USG2100BSR安全路由网关集接入、交换、安全于一体，支持3G和无线接入，帮助企业实现全无线组网,是SOHO企业、小型办公室互联网接入的最佳之选。USG2100BSR安全路由网关华为USG2200BSR安全路由网关集成丰富的防火墙、VPN和应用优化功能，有效保护企业网络免受外界攻击，精细化控制企业带宽，保障关键业务顺畅运行。同时该产品采