目 录
第一章 投标书.........................................................................................................................................- 1 -
第二章 开标一览表.................................................................................................................................- 2 -
第三章 质量服务承诺及具体质量服务措施.........................................................................................- 3 -
质量服务承诺 .............................................................................................................................- 3 -
质量保障措施 .............................................................................................................................- 4 -
第四章 系统集成方案.............................................................................................................................- 6 -
概述 .............................................................................................................................................- 6 -
校园网建设原则 .........................................................................................................................- 6 -
需求分析 .....................................................................................................................................- 8 -
一般需求 ............................................................................................................................- 8 -
数据中心机房需求 ..........................................................................................................- 10 -
数据中心机房设计 ...................................................................................................................- 11 -
总体设计原则 ..................................................................................................................- 11 -
机房建设方案 ..................................................................................................................- 14 -
系统工程施工 ..................................................................................................................- 19 -
服务器及存储设计 ...................................................................................................................- 21 -
服务器部署设计 ..............................................................................................................- 21 -
存储设计 ..........................................................................................................................- 22 -
网络总体设计 ...........................................................................................................................- 24 -
网络拓扑设计 ..................................................................................................................- 24 -
核心层设计 ......................................................................................................................- 25 -
骨干层设计 ......................................................................................................................- 27 -
汇聚层设计 ......................................................................................................................- 27 -
接入层设计 ......................................................................................................................- 28 -
用户认证计费管理系统设计 ...................................................................................................- 29 -
需求分析 ..........................................................................................................................- 29 -
方案总体设计 ..................................................................................................................- 33 -
认证计费平台特点 ..........................................................................................................- 36 -
系统功能模块特点 ..........................................................................................................- 41 -
网络实施方案 ...........................................................................................................................- 59 -
IP 地址规划 ..........................................................................................................................- 59 -
IP 地址规划原则 ..................................................................................................................- 60 -
IPV4 地址规划方案 .............................................................................................................- 61 -
路由设计 ...................................................................................................................................- 63 -
本网络路由协议选择 ......................................................................................................- 65 -
局域网 VLAN 的设计 ..............................................................................................................- 65 -
虚拟网络划分种类 ..........................................................................................................- 67 -
VLAN 中继 ...........................................................................................................- 68 -
VLAN 技术的实现............................................................................................................- 69 -
VLAN 的管理....................................................................................................................- 70 -
VLAN 的配置....................................................................................................................- 71 -
VLAN 的规划....................................................................................................................- 73 -
QOS 流量工程设计 ..................................................................................................................- 73 -
流量分类、流量监管和流量整形 ..................................................................................- 76 -
拥塞管理 ..........................................................................................................................- 80 -
拥塞避免 ..........................................................................................................................- 88 -
主要设备介绍 ...........................................................................................................................- 91 -
数据中心服务器联想 ThinkServer RD630 .....................................................................- 91 -
日志服务器联想 ThinkServer RD630 .............................................................................- 93 -
数据中心主存储联想 SureSAS112..................................................................................- 95 -
数据中心 NAS 备份存储联想 ThinkServer RD430 ........................................................- 96 -
核心交换机 H3C S7510E ................................................................................................- 98 -
骨干交换机 H3C S5800-32C.........................................................................................- 108 -
汇聚交换机 H3C S5120-24P-EI ....................................................................................- 120 -
接入网交换机 H3C E126 ..............................................................................................- 129 -
投标产品偏离表 .....................................................................................................................- 136 -
第五章 法定代表人资格证明书.........................................................................................................- 149 -
第六章 委托授权书.............................................................................................................................- 150 -
第七章 投标保证金电子回单.............................................................................................................- 151 -
第八章 投标报价.................................................................................................................................- 152 -
第九章 设备清单.....................................................................................................................................- 1 -
第十章 投标厂商备查网址及产品检测报告.......................................................................................- 10 -
第十一章 投标企业综合情况...................................................................................................................- 11 -
企业简介 ...................................................................................................................................- 11 -
企业营业执照 ...........................................................................................................................- 15 -
企业税务登记证 .......................................................................................................................- 16 -
组织机构代码证 .......................................................................................................................- 17 -
重合同守信用证书 ...................................................................................................................- 18 -
企业银行信用证书 ...................................................................................................................- 19 -
ISO9000 证书(质量管理体系认证证书)............................................................................- 20 -
计算机信息系统集成(贰级)等级证书 ...............................................................................- 21 -
建筑智能化工程专业承包(叁级)证书 ...............................................................................- 22 -
安全技术防范工程设计、施工、维修备案书 ...................................................................- 23 -
涉密信息系统集成等级证书 ...............................................................................................- 24 -
安全生产许可证 ...................................................................................................................- 25 -
软件企业 ...............................................................................................................................- 26 -
高新企业 ...............................................................................................................................- 27 -
CMMI 认证 ...........................................................................................................................- 28 -
近两年来财务审计报告 .......................................................................................................- 29 -
2010 年 .............................................................................................................................- 29 -
2011 年 .............................................................................................................................- 41 -
第十二章 类似系统集成成功案例...........................................................................................................- 52 -
邮政储蓄系统逻辑集中工程惠普生产主机采购合同(合同金额 1489 万) .....................- 52 -
中国邮政储蓄银行会计处理平台工程惠普存储采购合同(合同金额 万) ..........- 56 -
武汉大学数字校园一卡通项目( 万) .........................................................................- 60 -
第十三章 工期保障措施...........................................................................................................................- 63 -
组织管理 ...................................................................................................................................- 63 -
工程组结构图 ..................................................................................................................- 63 -
岗位职责 ...................................................................................................................................- 63 -
项目领导小组 ..................................................................................................................- 63 -
项目技术总监 ..................................................................................................................- 64 -
项目经理资信证明 ..........................................................................................................- 64 -
商务组 .......................................................................................................................................- 66 -
文档组 .......................................................................................................................................- 66 -
施工小组 ...................................................................................................................................- 66 -
质量管理小组 ...........................................................................................................................- 66 -
后勤保障小组 ...........................................................................................................................- 66 -
投入人员计划 ...........................................................................................................................- 67 -
工程进度计划与措施 ...............................................................................................................- 67 -
进度重点管理 ..................................................................................................................- 67 -
制定项目计划 ..................................................................................................................- 68 -
执行项目过程走查和产物评审 ......................................................................................- 68 -
重视里程碑管理 ..............................................................................................................- 69 -
第十四章 测试验收方案...........................................................................................................................- 70 -
测试 ...........................................................................................................................................- 70 -
验收组织 ...................................................................................................................................- 71 -
交验步骤 ...................................................................................................................................- 72 -
验收 ...........................................................................................................................................- 73 -
技术验收 ...................................................................................................................................- 74 -
施工验收 ...................................................................................................................................- 74 -
资料验收 ...................................................................................................................................- 75 -
验收结论编写 ...........................................................................................................................- 75 -
工程风险控制 ...........................................................................................................................- 76 -
系统设计风险 .......................................................................................................................- 78 -
风险组织管理 .......................................................................................................................- 78 -
高级管理者 ..................................................................................................................- 78 -
项目经理 ......................................................................................................................- 79 -
风险项负责人 ..............................................................................................................- 79 -
系统质量保证员 ..........................................................................................................- 79 -
风险管理组织 .......................................................................................................................- 79 -
事前控制-风险管理计划......................................................................................................- 80 -
事中控制-风险管理方法......................................................................................................- 87 -
事后控制-风险管理报告......................................................................................................- 90 -
第十五章 工程变更控制...........................................................................................................................- 92 -
工程变更目的 ...........................................................................................................................- 92 -
变更控制范围 ...........................................................................................................................- 92 -
控制策略 ...................................................................................................................................- 93 -
第十六章 培训计划方案...........................................................................................................................- 94 -
培训目的 ...................................................................................................................................- 94 -
培训内容 ...................................................................................................................................- 95 -
A. 系统维护员培训.......................................................................................................................- 95 -
B. 值班人员培训...........................................................................................................................- 95 -
培训使用设施、培训教材、资料 ...........................................................................................- 96 -
A. 培训设施...................................................................................................................................- 96 -
B. 培训的教材、资料...................................................................................................................- 96 -
C. 培训特点...................................................................................................................................- 96 -
第十七章 售后维护...................................................................................................................................- 98 -
售后服务 ...................................................................................................................................- 98 -
我方服务宗旨 ...........................................................................................................................- 98 -
我方工程服务及保修 ...............................................................................................................- 99 -
我方对本系统提供的服务 .....................................................................................................- 101 -
成立专门的产品服务技术小组 ....................................................................................- 101 -
现场应用系统平台安装 ................................................................................................- 101 -
应用系统的现场调优服务 ............................................................................................- 101 -
应用系统的定期维护服务与优化 ................................................................................- 102 -
常规技术支持和版本升级 ............................................................................................- 102 -
提供详细的服务支持档案 ............................................................................................- 103 -
我方对本系统的承诺 .............................................................................................................- 103 -
2、 信誉承诺..........................................................................................................................................- 103 -
软件产品承诺 .........................................................................................................................- 104 -
服务承诺 .................................................................................................................................- 104 -
管理承诺 ........................................................................................................................- 105 -
保修期承诺 .............................................................................................................................- 105 -
其他承诺 ........................................................................................................................- 106 -
产品厂商售后服务支持 .........................................................................................................- 106 -
备品备件优惠条件 ........................................................................................................- 107 -
售后服务流程 .....................................................................................................................- 108 -
保修服务程序 ............................................................................................................- 108 -
工程定期回访服务及程序 ........................................................................................- 109 -
保修响应速度 ............................................................................................................- 110 -
产品的“三包”说明 .............................................................................................................- 111 -
材料设备 ....................................................................................................................- 111 -
设备和材料的装运 ....................................................................................................- 111 -
设备安装、调试过程期间 ........................................................................................- 111 -
售后服务项目 .....................................................................................................................- 112 -
工程服务 ....................................................................................................................- 112 -
开发过程中对客户分析服务 ....................................................................................- 112 -
系统方案设计及效果模拟服务 ................................................................................- 112 -
系统工程安装、调试服务 ........................................................................................- 113 -
系统工程交付运行服务 ............................................................................................- 113 -
工程巡检回访服务 ....................................................................................................- 113 -
服务联系方式及本地服务机构 ................................................................................- 114 -
第十八章 附件.........................................................................................................................................- 115 -
第一章 投标书
投 标 书
荆门市政府采购中心:
根据已收到的招标编号为 JMZFC2013(G-006)-045 号的湖北信
息工程学校校园网硬件建设项目的招标文件,遵照文件内容的规定,
我单位经考察和研究上述项目招标文件的投标须知、合同条款和其
他文件后,我方愿以壹佰肆拾捌万伍仟整()元,作为
湖北信息工程学校校园网硬件建设项目 的投标报价,按上述合同
条件,承接上述项目。并按经济合同法履行自己的全部责任。
一旦我方中标,我方保证在合同签订后规定时间内完成供货,
为确保服务质量,我方特作出如下承诺并提出具体保证措施。
1、我方同意所递交的投标文件在招标文件规定的投标有效期
内有效,在此期间内我方的投标有可能中标,我方将受此约束。
2、如果我方中标,你方的招标文件和中标通知书以及本投标
文件将构成约束我们双方的合同。
3、我方将以人民币 2 万元作为本次投标的投标保证金。
投标人(盖章) :武汉长软华成系统有限公司
单位地址:武汉市洪山区珞狮路 119 号华成大厦
法定代表人:李泽斌 邮政编码:430070
电 话: 027-87740100 传 真:87740100-3106
开户银行名称:工行洪山支行 (行号 826048)
银行帐号:3202 0067 0900 0386 583
电 话:87873669
2013 年 4 月 8 日
第二章 开标一览表
开 标 一 览 表
招标项目名称:湖北信息工程学校校园网硬件建设项目
招标编号:JMZFCG2013(G-006)-045
单位: 万元(人民币)
项目名称
湖北信息工程学校校园网
硬件建设项目
报价 备注
项目总报价
壹佰肆拾捌万
伍仟整()
设备原厂三
年质保
说明:
本表除装订在投标书中外还应密封一份在一个单独的信封内,
并标明“开标一览表”字样,递交投标文件时一并递交,以便唱标。
详细报价由投标人根据本文件“第 6 条采购需求”及改造现场情况自
行编写。
投标方全称(盖章): 授权代表 (签字):
2013 年 4 月 8 日
第三章 质量服务承诺及具体质量服务措施
质量服务承诺
我公司承诺将按招标文件中规定的要求进行工程的设计与实施。
我公司承诺我们提供的系统和设备是成熟、可靠的,绝不使用正在
试验的产品或不成熟的系统。
我公司承诺将按国家规定的施工规范和质量标准进行施工,工程质
量符合国家优质标准和现行施工验收规范要求。
我公司承诺所有工程和设备免费质保期均为 3 年。
产品服务及软件升级:提供原厂不少于三年硬件维保服务,三年软
件升级服务。提供 7×24×365 天现场服务,故障恢复时间不超过 24 小时,
系统设备维修时必须提供备机备件,保修期从项目工程验收合格之日起
计算。投标人在保修期内至少每年到现场进行两次设备免费维护。在保
修期外提供终身维修,服务响应及修复时间与保修期内一致,维修费用
为优惠的协议价格。
我公司承诺将派有相关经验的曾实施过类似机房系统工程的项目
经理、设计人员、调试工程师进行本项目的实施,且技术人员的投入完
全满足工程要求。
我公司保证在投标文件中所报的项目经理及主要技术、项目部其它
管理人员,在施工过程中全部到位。
我公司承诺所供设备材料均系全新的、未经使用过的、并且外观及
包装良好,技术先进成熟,质量优良,符合安全标准、符合技术规范及
完全符合国家、行业标准的有关规定。
我公司承诺,施工总工期保证满足施工总承包单位的总进度网络计
划的要求,在签定合同后 40 天全部实施完毕;
我公司承诺将严格按照 ISO9000 之国际标准和质量认证体系进行工
程实施与管理。
质量保障措施
项目质量及其服务体系建立之后要保证体系正常运行,不仅需要良
好的管理制度、充分的资源保证,还需要良好的业务流程设计,公司为
售后服务工作提供全面的运行保障。
(1)标准的保证
严格遵循国际标准 ISO9001 的相关标准来实施系统的质量保证,另
外我们还会严格导入 CMM2 的相关标准来执行项目质量的保证措施。
(2)项目管理方法论的保证
我公司拥有符合国际标准(PMBOK)并且经过大型项目实践证实的
项目管理方法论。
3)组织的保证
我们项目组设立有专门的质量控制小组和测试小组,对项目开发和
实施进行全程质量监控和保证,另外公司也成立有专门的客户服务中心
与响应中心,对产品技术支持与售后服务提供专业的服务。
(4)人员的保证
由专门的项目质量保证专员组织,项目经理、项目及质量管理部协
助,落实质量管理措施。
(5)维护档案的保证
公司从项目维护的开始即对客户建立完备的客户维护档案,在维护
的过程中,我们根据客户的要求和实际情况建立起一套完善的系统维护
文档,以便于维护工作的顺利进行。
对于每次服务,本公司将留下规范的服务记录,服务记录除在本公
司备案外,还会在每次服务完成后 5 天内提交给客户作为资料保存。
(6)培训的保证
我们在项目开始时就会制定培训计划,在系统上线时,我们还会针
对特定的业务应用制作培训的课件。统一对客户进行有效的培训,通过
培训,使用者将更加了解整个系统,从而为系统的顺利维护实施打下良
好的基础。
(7)法律法规的保证
我们的技术支持与售后服务工作严格遵守国家有关法律法规,主要
有:《中华人民共和国消费者权益保障法》,《中华人民共和国标准化
法》,《中华人民共和国产品质量法》等。
法定代表人(或授权代表签字):
单 位 盖 章:
2013 年 4 月 8 日
第四章 系统集成方案
概述
湖北信息工程学校是 2008 年经荆门市委、市政府批准,由原湖北
信息工程学校、原荆门市职业中等专业学校 2 所国家级重点职业学校和
原荆门市财经学校(省级重点职业学校)实施资源整合组建而成,是荆门
市办学规模最大、综合实力最强,集中等学历教育、成人教育和各类短
期职业技能培训于一体的中等职业教育学校。现有全日制在校学生 7620
人,开展成人教育和各类职业技能培训 3600 余人。学校办学规模超过
10000 人,被誉为“荆门职教航母”。
校园占地面积 万平方米(603 亩),建筑面积 万平方米,
固定资产 2 亿元。现有国家正式在岗教职工 568 人,其中专任教师 424
人,专任教师中高级职称 153 人,中级职称 169 人,具有研究生学历及
本科学历的占教师总人数比为 %,另外聘请兼职教师 60 人。有国家、
省市级骨干教师 190 人,省市级学科带头人 108 人,双师型教师 216 人。
校园网建设原则
为满足湖北信息工程学院园区规划后的业务需求,整网采用模块化
的、分层的现代云计算数据中心设计理念,构建一个满足可扩展性、灵
活性和高可用性方面需求的数网络基础架构,实现对整个公司业务系统
提供统一的基础设施服务支持的目标,具体设计原则如下:
可靠性和可用性
数据中心基础设施架构中应采用高可靠的产品和技术,充分考虑系
统的应变能力、容错能力和纠错能力,确保整个基础设施系统运行稳定、
可靠。
当今,关键业务应用的可用性与性能要求比以往分散式设计都更为
重要。如果客户与员工不能访问关键性应用,业务将遭受无法挽回的利
润损失,并使生产力下降甚至是市场份额丢失。
系统的可用性指业务应用系统每天能有多少小时,每周有多少天,
每年有多少周可以为用户提供服务,以及这些应用在发生故障时可以多
快恢复工作的时间。在中,应保证所有应用每天 24 小时,每周 7 天,
每年 52 周的可用性是非常重要的。云计算数据中心的设施架构设计必
须能够满足和达到这个目标。
安全性
数据中心基础设施必须是能够提供认证、访问控制能力的环境,以
确保业务关键信息的完整性与保密性。
可扩展性
可扩展性是指当将来应用系统的业务量增加时,基础设施架构能够
扩展以适应更多用户、交易与更多数据处理的能力。可扩展性应该通过
尽可能扩展已有的系统来实现,而不是必须替换已有系统。可扩展性通
过硬件、软件与应用等方面提供。
灵活性
架构必须能够满足新的服务需求,而不需要对架构进行完全重新设
计或进行超出正常维护时间之外的重大修改。获得灵活性的方法是依靠
模块化的设计架构。
高性能
“性能”指的是为所有应用最终用户提供要求的响应时间的能力。项
目群基础设施架构要具备高性能,能够为用户提供可接受的响应时间。
通常,诸如响应时间等性能特征应该根据真实的业务需求而设定。
需求分析
一般需求
湖北信息工程学院的网络建设本次主要是校区网络新建。在实际的
建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务
等扩展性,如:校园网内部的服务器的访问,由于学生的访问的内容多
样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的
层面。此处主要分析湖北信息工程学院网络基础设施建设和网络运营方
面相关的内容。湖北信息工程学院校园网络建设从网络流量模型上看和
企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在
许多和企业网不同的地方。主要特点如下:
1、用户管理的需求:
使用方便,存在 WEB 认证需求。要求能做到基于 WEB 的身份认
证、多 ISP 选择、用户费率查询、带宽动态调整(隐性需求)、多 WEB
界面(隐性需求)等。
需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。
对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,
譬如限制为 64K 、256K、512K、1M、2M、5M、10M 等等级。
对用户上网认证、上网流量统计和上网 URL 日志记录进行上传至
认证服务器上,以便学校和公安部门查询。
2、多种教学方式并行的需求:
随着校园网的信息化的发展,越来越的多教学方式依托于网络给学
生提供多种的特色教学模式
多媒体教学。为了更好的为学生提供全方面的教学资料,越来越的
多学校在自己的内部局域网上面为学生提供多种教学资料,如:多媒体
教学课件、典型的考试资料等等提供给学生上网下载使用。
VOD 点播业务实现,通过建立 VOD 视频服务器平台,利用交换机
提供的组播功能,为湖北信息工程学院的用户提供优质的视频效果,同
时节省用户带宽。
3、安全管理的需求:
校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的
场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目
前主要攻击手段有 DoS,DDoS 等
上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安
全
4、组播业务的需求,特别是可控组播的需求将随着校园信息化的
深入而体现出来。对于后期建设的校园监控和电子监考工程也需要网络
对组播特性有良好的支持。
5、多出口需求:
典型的组网有中国教育和科研网(CerNet)出口和公网出口。多出
口带来了以下两个需求:
多权限 ISP 需求。用户可通过不同的账号名或采用相同的账号,不
同的域名认证,获得不同的上网权限。
多 ISP 分别计费的需求,对应不同的 ISP,计费策略不一致。
6、WLAN 的需求:
随着 WLAN 技术的成熟,在校园网内(如会议厅、图书馆等)部
署 WLAN 也日益成为热点。因此在规划中需要考虑 WLAN 的规划。
湖北信息工程学院系统分为三级,核心层、汇聚层、接入层,根据
现实情况,需要将教学楼、图书馆、西二区、实训大楼、平房办公、公
寓之间组建网络。
数据中心机房需求
机房建设注意防水防盗,机房面积 18 平米,须使用独立空间,不
应与网络中心办公室合用,整体布局整洁美观。
布线采用上桥架,减小施工及维护难度,有效解决承重和防火问题。
中心机房应该有良好的避雷措施,所有机柜应保证防雷接地。
学生教室及部分办公室的信息模块应采用康普或 AMP 超五类信息
模块。
数据中心机房设计
总体设计原则
根据目前掌握的需求,结合智能弱电系统的特点,本着"统一标准,统
一规划,统一部署,分步实施"的原则进行系统整体设计和集成,设计方案
充分考虑了后期的扩容,管理变更等可能的建设要求.在设计工作中,拟遵
循以下指导原则:
1、总体规划原则
根据实际情况,了解正在建的各类弱电系统和报警联网系统,掌握这
些系统的设备,接口类型,通信方式,软硬件平台等,制定出各个系统对接
的总体规划.在制定规划时,要实事求是,量力而行,做到全面规划,突出重
点,区别档次,逐步实施,积极推进。
2、遵守标准原则
大楼智能弱电系统采用开放式架构,选用标准化接口和协议,并具有
良好的兼容性和可扩展性,能兼容不同厂商的产品.利于硬,软件的兼容,
系统的升级和扩充.选用技术和设备能够与市面上通用接口的设备和系
统完全兼容,系统建设遵守国家和各个行业有关标准与规范,参照行业标
准的技术规范要求来组织实施,统一规划,依据项目的实际情况和经济情
况,从不同层次,不同角度,全面地开展中种一期大楼智能弱电系统的建设
工作。
3、系统集成原则
规划组建新的智能弱电系统,要充分考虑各个分系统、传输资源,自
下而上,先内后外,坚持先进,兼容传统,实现系统集成和系统互联,资源融
合,信息共享.通过系统集成与互联,实现"防,控,管和服务的各项功能,实现
联动机制,形成大楼内部集约管理的规模效应。
4、系统安全原则
系统的设备必须满足安全性要求,设备选型避免试验产品,而要选先
进的市场主流产品,要能保证系统不单数运行.对关键的设备,数据和接口
应采用冗余设计,要具有故障检测,系统恢复等功能;网络环境下信息传
输和数据存储要注重安全,保障系统网络的安全可靠性,避免遭遇恶性攻
击和数据被非法提取的现像出现。
硬件设备具有防破坏性的安全性功能,整个系统,网络,设备,中心机
房和前端,防雷击,过载,断电和人为破坏,软件不受病毒感染,黑客攻击具
有高度的安全和保密性。
5、先进性原则
在设备的选型上,特别是主要器材的选型上采用先进的技术,力求操
作灵活,功能齐全,整个系统要求达到国内先进水平.同时留有足够的扩展
余地,设备兼容性强,避免重复投资。
系统能适应用户需求的变化,适应产品的更新换代,系统软硬件均采
用模块化结构,界面清楚,易于升级,扩充,并预留接口,扩容时只需增加相
应的设备即可.前端监控点的每一路传输光缆都留有一定数量的备用光
纤,以便于将来容量扩展。
6、稳定性原则
应采用成熟稳定的产品,视频采集和编解码设备能保证 7X24 小时不
间断运行。
7、可靠性原则
本系统设计从设备选型,方案设计,安装调试等各方面充分考虑各种
因素,以提高系统的可靠性。
在设备选型配置方面,关键部位和设备等采用一流设备,如摄像机,录
像机,监控终端,光纤传输设备等;安装于露天工作的设备如摄像机等设备
均配有防雷,防水,防尘,恒温等防护设备,以保证这些设备具有较长的
MTBR 和 MTBF。
设计安装时,充分考虑了设备之间的接口及匹配,空间距离及环境干
扰因素对信号传输质量的影响,在设备的搭配和介质的选用上采用了一
系列合理的冗余技术。
在网络结构设计和硬件设计中,采用了容错,备份技术,以保证系统的
可靠运行.任何一台设备出现故障时不影响其它设备的正常运行。
8、兼容性,开放性,可扩展性
系统具备很好的兼容性,同时能与已建成的监控点监控系统很好的
融合。
软件可以与第三方系统相融合,可以读取第三方系统的相关数据,也
可以为第三方系统提供其需要的相关数据,具有开放式结构。
系统中控制部件(软,硬件)采用集中式结构,嵌入式等技术措施,可以
方便灵活的进行扩充,充分保证系统在将来的适应性。
9、经济性
在确保完成系统功能,设备性能指标的前提下,选择性价比高的产品,
降低系统总体造价,花最少的钱,达到最佳的效果,性能价格比高,易维护,
易使用,运行费用低。
机房建设方案
机房装修包括静电地板、机柜、KVM、桥架、防尘漆、PDU、墙面
漆、温度计、湿度计等,中心机房无管网灭火装置、电源空调房无管网
灭火装置等,布线系统包括六类双绞线布线、光缆布线、六类跳线、尾
纤等,机房监控包括配电监控、UPS 、集中监控管 理等。
1) 电子信息系统机房组成应按计算机运行的特点及设备具体要求
确定,一般由主机房、基本工作间和辅助房间等功能区组成;
2) 计算机机房装修材料应选用难燃材料和非燃材料,应能防潮、吸
音、不起尘、抗静电等。
3) 计算机机房的活动地板应选用难燃材料或非燃材料。
4) 活动地板应有稳定的抗静电性能和承载能力,同时耐油、耐腐蚀、
柔光、不起尘等。具体要求应符合 GB 6650《计算机机房用活动地板技
术条 件》。
5) 异型活动地板提供的各种规格的电线、电缆、进出口应做得光滑,
防止损伤电线、电缆。
6) 活动地板下的建筑地面应平整、光洁、防潮、防尘。采用下送风
方式时,应有保温措施,防止结露。
机房设计采用下送风空调,地板安装高度为 300mm,考虑到空调
回风,新风管道安装、消防管道安装等因素天花吊顶以上预留 一定空
高的空间。
机房顶棚的装修采用吊顶的方式,在吊顶以上的空间可以安装各种
管线,探 头等。灯具的安装与吊顶的安装有机的结合,工程选用 600 ㎜
×600 ㎜方形铝合 金微孔板,机房区域在安装天花之前,应将原楼板底
清理干净涂刷乳胶漆,达到固尘防止沙尘脱落的作用,避免机房在今后
的运行过程中产生灰尘,影响计算机系统的正常运行。
整个机房地面采用 600 ㎜×600 ㎜×35 ㎜全钢防静电地板。设计采
用下送风空调,为了便于地板下既能走管线又能作为机房空调的送风风
库,地板的安装高度为 300mm。在安装地板之前对地表面以及安装面
以下的墙面进行清洁处理。
在机房区采用以表面板厚度为 的 900 ㎜×2615 ㎜× ㎜
冷镀锌冷轧钢板的彩钢板来制作墙体。
整个墙面由骨架和面层组成:
骨架采用 75mm*50mm 龙骨(要求采用 2mm 厚度以上轻钢龙骨);
面层为 烤漆钢板;
内衬 12mm 防火石膏板;
钢板表面漆为硬化多元聚酯涂料,耐燃一级防火标准;
板与板之间饰条连接,标准单元墙板均可互换,拐角以及柱子采用
工厂量身定做的定尺彩钢板。
为了机房内设备的安全,所有机房与外界连接的墙体的缝隙区管线
槽接口处均堵实,以防止虫、鼠进入机房。
机房区域的玻璃窗,按机房建设规范要求,应将窗子密封后,采用
彩钢板封闭,其它区域窗户保留不动。机房入口门及各区域之间的门都
采用甲级防火防盗门。所有的门窗材料必须符合防火规范要求。
根据各校区机房工程的结构和特点,采用在机房专用空调送风区域
内房间的楼面铺设 20mm 厚带防水、阻燃材料的 PEF 保温棉板,在铺
设保温棉之前先将地面用水泥沙浆找平,清理干净及除尘。
精密空调区的洁净程度标准为:A 级,每升含尘量≤18000 粒(粒度
≥ 微 米)。应采取有效措施,确保主机房区的洁净度:在整个机房的
楼面及顶面刷防尘抗静电涂料,避免灰尘的产生及吸附。
为做好静电防护,要求每隔 3 块活动地板的地板支架,用金属导
线接成网络式的静电接地网络,并与静电泄放接地线接通;吊顶龙骨、
板,轻质墙和护墙层的金属龙骨、金属饰面板、门、窗的金属框均以金
属导线接通,并与静电泄放接地线接通;主机房设置具有恒湿能力的精
密空调系统,将室内相对湿度控制在 40~55%范围内,以有效地控制静
电产生。
电气工程
照明设备采用铝合金格栅反射弧罩灯盘。在机房内均匀分布安装规
格为600×600内装 20W×3 日光管灯盘,光管采用飞利浦冷色温(≥5300k)
光管,所有灯盘采用电子镇流器,主机房按 400Lx 的照度进行设计。
机房及消防走火通道必须具备应急照明系统,包括应急照明灯和消防疏
散指示灯。应急照明的照度不低于 10Lx。应急照明灯是利用部分照明
灯盘,在机房市电停电或发生火灾的时候自动切换到由 UPS 供电。
市电插座和 UPS 插座分别采用 10A 二三插和 16A 三插。UPS 与
市电插座 采用不同颜色的面板,以便区分供电类别。机房内计算机设
备插座安装在架空活动地板下,配线由 UPS 设备动力配电柜经镀锌金
属线槽(管)引到机房各处。每个设备柜动力插座都由一个独立的 4mm 2
回路提供动力,服务器机柜敷设 380V 独立的 6 mm 2 供电回路;精密
空调由一个独立的 5×16 mm 2 回路提供动力。配电线缆全部采用符合国
家标准的铜芯多股电缆电线,其中机房区计算机电线电缆全部采用铜芯
电缆电线。通过喷塑金属线槽、镀锌金属线管敷设到端口。所有负载配
电线路留有足够冗余量。
机房辅助设备均直接使用市电,采取集中控制的方式,配电柜设在
主机房。机房采用金属桥架地板上走线的方式,电力电缆、通信电缆的
布放距离尽量短而整齐,排列有序。通信电缆主要从配线架配线模块引
出沿走线架到各机柜。所有线缆集中到配线区跳接。由于各服务器设备
及机柜线缆用量较大,考虑今后扩容需求,综合布线系统在预留机柜旁
设计预留线槽,线槽冗余,用于以后扩充设备布线。应对整个综合布线
系统的标识方法给出说明。所有标签必须采用电脑或打印机打印,色标
必须符合 TIA/EIA 606 布线管理规范。中心机房服务器机柜选用铝镁合
金标准机柜,所选机柜均要求表面静电喷涂,钢板厚度不低于 。
顶部有风扇,配备竖向理线器,上下均可走线,提供足够数量托板,具
有前、后门,前门采用平面网孔单开,后门也是平面网孔双开,采用九
折型材框架。前、侧门可拆卸以便施工,上部预留网络设备安装位置,
配有电源插座。每排机柜配置可拆卸扣门式侧板(厚度为 ~)。
配置固定层板 3 块。机柜底端设置可移动底板,方便底部走线,并配
置固定底座以及接地线端子。前后门采用高密度网孔钢板并配置门锁,
前门为单开可拆卸式,后门也为单开可拆卸式,配置 1 个 30A 六输出
电源插排,根据机柜配置要求,提供全套安装螺栓。装配紧固,闭门后
无左右晃动。能抵御冲击、摔到、剧烈晃动所带来的损坏,可抗 8 级地
震;机柜最大静载荷应满足 850KG;每个机柜需进行槽钢加固,并接
地。
本机房在电源配电柜上口加设 B 级防雷装置,三相 B 级高容量防
雷器由具有较强非线性性能的氧化锌压敏电阻构成。在过载情况下,内
置断路可以断开电源上的防护性避雷器模块并有检查窗口显示出红色
的识别区域,最大防护电流 100KA,反应时间﹤25ns。在 UPS 输出柜
上口加设 C 级防雷装置。
综合布线
机房共 3 个设备柜,1 个集中配线柜。
每个柜子 10 根 6 类线,5 对光纤模块接口。
1 集中配线 ;
按照下走线方式,地板下铺设布线桥架,每个分别一排,组成工字
型,强弱电分离布线。
系统工程施工
一般规定
系统的工程施工应满足下列条件:
(1) 设计文件和施工图纸齐全,并已会审和批准;
(2) 施工人员熟悉施工图纸及有关资料,包括工程特点、施工
方案、工艺要求、施工质量标准;
(3) 设备、仪器、器材、机具、辅材、工具和机械等满足连续
施工和阶段施工的要求;
(4) 系统的工程施工前应对现场情况进行检查,符合条件方可
施工:
(5) 施工前对系统使用的材料、部件和设备按要求进行检查:
施工中,做好隐蔽工程的随工验收,并做好记录。
设备安装
在设备安装前按要求例行检查,将设备逐个进行检测和粗调,发现
无任何故障后,方可安装。
线路敷设
电缆的敷设应符合下列要求:
i. 电缆的弯曲半径应大于电缆直径的 15 倍;
ii. 电源线应与信号线、控制线分开敷设;
iii. 室外设备连接电缆时,宜从设备的下部进线;
iv. 敷设管道线之前应先清刷管孔,管孔内预设一根镀锌铁线;
管口与电缆间应衬垫铜杯索,进入管孔的电缆应保持平直,并应
采取防潮、防腐蚀、防鼠等处理措施。
管道电缆或直埋电缆在引出地面时,均应采用钢管保护。钢管伸
出地面不宜小于 ,埋入地下宜为 。
供电与接地
系统工程建议采用集中供电;当供电线与控制线合用多芯线时,多
芯线与电缆可一起敷设。
所有接地的地极电阻应进行测量;经测量达不到设计要求时,应在
接地极回填土中加入无腐蚀性长效降阻剂;当仍达不到设计要求时,应
经过设计单位的同意,采取更换接地装置的措施。
系统工程的防雷接地安装,应严格按设计要求施工;
监控室内接地母线的路由规格应符合设计要求。施工时符合以下规
定:
接地母线的表面应完整,无明显损伤和残余焊剂渣。铜带母线光滑
无毛刺,绝缘线的绝缘层不得有老化龟裂现象;
接地母线应铺放在地槽或电缆走道中央,并固定在架槽的外侧,母
线应平整,不得有歪斜、弯曲。母线与机架或机顶的连接应牢固端正;
电缆走道上的铜带母线可采用螺丝固定;电缆走道上是铜绞线母线,
应绑扎在横挡上。
施工工期安排
根据实际情况调整。
服务器及存储设计
服务器部署设计
根据荆门市湖北信息工程学院的实际需求,采用的服务器主要包括:
3 台数据库服务器备主存储和备份存储服务器。
集中化、基于策略的管理
学校通过基础架构,使 IT 管理人员通过同一台管理操控平台集中
地进行全局的管理和维护,这样可以减少现场维护的次数,从而降低维
护工作量和成本。
存储设计
考虑到荆门市湖北信息工程学院对于数据存储的要求,需要建立独
立的存储网络,实现数据间的共享,并且存储的数据流量不能影响业务
网络。在存储方案上主要选择 SAN 的架构来构建存储平台,不仅能够
保证存储设备能够满足较大的可用容量以及扩展性,并且能够保障数据
存放的可靠性。
SAN 存储系统结构具有以下特点:
(1)开放的标准,适合于服务器和存储设备之间的共享
SAN 标准最早就是为了多个服务器之间通过专用的高速网络来共
享存储和更加有效地管理存储设备所设计,经过近十年的发展,已经成
为非常完善的标准。各主流厂商均遵循开放的观念,保证各家设备之间
的互连性。
磁盘系统可以同时连接当今商业企业的主要计算机环境,包括
HP-UX,Sun Solaris,IBM AIX,Linux,Windows 等。从而将容量巨大的
信息快速传输给不同计算平台的使用者,还可以在开放系统环境之间构
架信息通道,从而确保企业各部门依据需要分享即时信息。
(2)具有高度的可扩充性
基于 SAN 架构的存储设备,本身具有可扩充性。而且一旦 SAN 架
构构建以后,可以很容易增加存储设备,而且,这些存储设备均可以作
为一个整体来共享,它们可以作为一个卷或多个卷来共享。在 SAN 的
架构下,存储是独立于应用的。
(3)具有优越的可靠性
作为关键性应用中,设备的可靠性是必须考虑的。在 SAN 架构中,
主机和 SAN 交换机,和存储设备之间的连接均是冗余的,冗余的通路
带来的好处,在正常情况下,是带宽的扩充,实现自动负载均衡,如果
某一通路出现问题,它又可以作为另一选择路径,保证系统的可用性。
SAN 的存储设备内部,本身也考虑很多系统的高可用性,内部的总
线或连接也均是多通道的,电源,风扇等其他物理设备均是冗余的。
因此,建立一个可扩展性的 SAN 网络是建立一个灵活扩展数据中
心的必要条件。
数据中心数据存储采用高性能的 FC SAN 方式,每个光纤通道为
8Gb/S,能够保证大容量数据库对系统传输速率、IOPS 的要求。
网络总体设计
网络拓扑设计
网络采用树型结构组网,充分考虑到了网络骨干的高带宽、高扩展
性,整网采用一台高性能交换机做为交换核心,设计使用单引擎,双电
源保障核心自身的可靠性。下行使用万兆光纤连接到骨干交换机,通过
骨干交换机 连接各个办公楼的汇聚交换机,整网采用二层结构,提供
高速率的上行带宽,保障多种教学业务,特别是多媒体、语音等教学课
件的高速传输。各个汇聚层的交换机直连到接入层的交换机,接入层交
换机为百兆到桌面。拓扑图如下:
核心层设计
核心层负责整个网络的数据交换,同时也是整网(LAN)的路由中
心,全网第三层、第四层操作都通过核心节点集中进行。核心交换机提
供局域网内用户对服务器群的高速访问。
为了充分保障核心交换平台的高可靠特性,我们提供 S7510E 作为
网络的核心交换设备,该设备采用分布式结构,支持双主控交换板,无
源背板设计,所有单板支持热插拔;电源系统采用 1+1 冗余热备份,并
支持多路电源输入;支持 STP/RSTP/MSTP 协议和 VRRP 协议,能够满
足苛刻的电信级网络可靠性要求,系统可靠性达到:%。
单台核心交换机 S7510E 通过双万兆接口与骨干交换机连接在一起,
同时容许全局范围内的跨设备链路聚合、实现了跨设备的三层路由冗余,
更好的实现核心设备的管理即可靠性配置。
H3C S7510E 交换机是 H3C 公司面向以业务为核心的企业网络架构
而推出的新一代高端多业务路由交换机。该产品基于 H3C 公司自适应
安全网络的技术理念,在提供稳定、可靠、安全的高性能 L2/L3 层交换
服务基础上,进一步提供了业务流分析、基于策略的 QOS、可控组播等
智能的业务优化手段,从而为企业 IT 系统构建面向业务的基础网络平
台,实现通信整合,数据整合奠定了基础。
网络核心的服务器区域,包括网络管理服务器、数据库服务器、认
证计费服务器、一卡通服务器、流媒体服务器等等,以后的 IP 监控存
储也放在该区域。该区域在网络建成后主要提供内网服务,远程教学、
视频点播等业务都由该区域设备提供,所以数据访问量大,因此数据中
心区域的机器都直接通过千兆链路直接连接到核心交换机上。而且服务
器存在较大安全隐患,为了提高访问服务器流量,增大用户需求,所以
采用 7506E 模块化设计,采用 ACG 控制插卡方式,对网络中的
P2P/IM/VoIP 带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问
等行为进行精细化识别和控制;同时,根据对网络流量、用户上网行为
进行深入分析与全面的事后审计,并具有强大的 URL 过滤功能,在校
园网出口方面,保证了关键应用和人员的上网带宽,实时监控校园网各
种网络应用情况,实现对教职工和学生互联网上网行为控制。
在核心骨干部分部署一台千兆级防火墙 SecPath F1000-S-AI 作为广
域网出口的安全控制设备,同时连接到教育网和外网,提供双链路备份,
同时提供强大的 NAT 功能。NAT 除了可以解决全局 IP 地址不足之外,
还对网络的安全起一定的作用,NAT 的安全性主要体现在以下两点:1)
以统一的 IP 地址访问互联网,屏蔽内部网络拓扑结构;2)外部网络不
可以访问内部网络的资源,除非有策略允许。
骨干层设计
骨干层交换机用于校园重要片区的汇聚,采用 H3C 全千兆智能交
换机,上行万兆连接核心交换机上,同时全千兆下行连接接入层,主要
负责湖北信息工程学院重要片区大楼的数据汇聚。
汇聚层设计
汇聚层使用根据不同楼群的接入点密度,可以选用 H3C 全千兆智
能三层交换机,上行千兆连接核心交换机上,同时全千兆下行连接接入
层交换机,主要负责湖北信息工程学院各大楼的数据汇聚。
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,
而能够拥有多条 10GE 链路将是我们的未来发展方向。智能系列交换机
支持两个扩展槽位,每个槽位支持单端口或双端口的 10GE 扩展模块,
在实现千兆汇聚或接入时保留进一步支持 10GE 的扩展能力,尽力保护
用户投资。
全系列支持 IPv4 和 IPv6 的三层路由功能,并可以实现基于硬件的
IPv4 和 IPv6 的全线速转发。同时支持 IPv6 的 ACL、QoS、组播和网管,
实现 IPv4 到 IPv6 的平滑升级。
H3C 系列交换机支持 EAD(端点准入防御)功能,配合后台系统
可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权
限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终
端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防
御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络
对病毒、蠕虫等新兴安全威胁的整体防御能力。
系列交换机支持对试图接入网络的用户进行 认证。可以在交
换机上对 客户端的版本和有效性进行验证,防止非法用户登录网
络。支持集中式 MAC 地址认证,可以基于端口和 MAC 地址对用户的
网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,
而且可以同时运行 认证和基于 MAC 地址认证。提供 Guest Vlan
功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相
应的策略,例如可以获得 客户端、升级客户端或者获得其他的升
级程序等等。支持 Secure Shell V2(SSH V2)特性可以提供安全的信息
保障和强大的认证功能,以保护以太网交换机不受诸如 IP 地址欺诈、
明文密码截取等等攻击。
接入层设计
接入层是直接与用户相连的设备,使用数量较多,分布较广,所以
接入层交换机应该具备较高的性价比,并可支持远程供电和远程管理。
进行后续的处理。支持特有的 ARP 入侵检测功能,可有效防止黑
客或攻击者通过 ARP 报文实施校园网常见的“中间人”攻击,对不符合
DHCP Snooping 动态绑定表或手工配置的静态绑定表的非法 ARP 欺骗
报文直接丢弃。同时支持 IP Source Check 特性,防止包括 MAC 欺骗、
IP 欺骗、MAC/IP 欺骗在内的非法地址仿冒,以及大流量地址仿冒带来
的 DoS 攻击。另外,利用 DHCP Snooping 的信任端口特性还可以有效
杜绝学生私设 DHCP 服务器,保证 DHCP 环境的真实性和一致性。
图 1-1 以太网 ARP 协议报文结构
ARP 欺骗攻击就利用了这点,攻击者主动发送 ARP 报文,发送者
的 MAC 地址为攻击者主机的 MAC 地址,发送者的 IP 地址为被攻击主
机的 IP 地址。通过不断发送这些伪造的 ARP 报文,让局域网上所有的
主机和网关 ARP 表,其对应的 MAC 地址均为攻击者的 MAC 地址,这
样所有的网络流量都会发送给攻击者主机。由于 ARP 欺骗攻击导致了
主机和网关的 ARP 表的不正确,这种情况我们也称为 ARP 中毒。
用户认证计费管理系统设计
需求分析
根据湖北信息工程学校的特点,以及对目前学校校园网络建设与数
字化信息系统的发展趋势,对湖北信息工程学校宽带认证计费系统项目
的需求做出以下分析:
系统的先进性和可扩展性
系统在设计思想、系统架构、采用技术、选用平台上均具有一定的
先进性、前瞻性、扩充性,考虑一定时期内业务的增长,技术的发展。
应用整合系统的建设是一个循序渐进、不断扩充的过裎,系统应采用积
木式结构,整体构架既要考虑与现有系统的连接,又要充分考虑各种组
件的可重用性,为今后系统扩展和集成留有余地。
全方位兼容性和匹配性
随着校园信息化建设发展得如火如荼,学校信息化系统也是越来越
多,如校园一卡通、OA 系统、邮件系统、信息发布系统、图书馆管理
系统、教务系统等等,用户拥有多套账号密码用户体验差。宽带认证计
费系统作为数字化校园的其中一部分,需要良好的整合能力,能够融合
到数字化校园内,实现用户信息统一整合,提供良好的用户体验。宽带
认证计费系统的整合能力涉及身份对接、财务对接、兼容友商设备以及
其他应用对接,需要多样化灵活的接口形式,如文件接口,动态链接库、
Socket 等多种接口方式,既需支持标准化的通用协议,也需要支持主流
网络设备或应用系统厂家,如 RADIUS 协议、Portal 协议等,需具备良
好的行业内兼容性和通用性。
易部署
宽带认证计费系统应基于 J2EE 的 SOA 架构开发,采用大型数据库,
满足学校大用户数据量的业务环境,需能够根据用户量和业务量增加灵
活扩容,保证系统负载在合理范围。系统应采用 B/S 架构,支持管理人
员使用主流网络浏览器即可对系统进行管理操作。同时系统应具有灵活
性与可扩展性。既可以方便的扩展设备容量和提升设备性能,又能确保
系统整体的平滑升级。系统升级应在不影响正常业务的条件下进行。
稳定性和安全性
宽度认证机房系统作为信息化管理系统的基础部分,是信息化活动
的基石,系统在设计思想、系统架构、采用技术、选用平台上均需要优
先充分考虑技术的稳定性和可靠性,并适当采用冗余备份等措施,进一
步提高系统的容错性和健壮性。产品需要具备大用户量长时间的使用案
例证实其稳定性和可靠性。
系统需对各关键模块提供可靠的冗余备份设计,已保证任一关键模
块出现问题,对校园的关键业务,如接入、认证、计费结算及各对网络
用户开放访问的模块都不产生致命影响。
系统应提供严密的身份验证、访问控制、历史审计等措施,数据库
采用集群或双机热备方式,以保证在出现灾难时能够快速的恢复到 24
小时以前的数据状态。
整体系统具有严格的访问控制机制,可有效控制非法访问者通过网
络对外部资源的访问;同时对数据库采取网络隔离,保证了系统数据库
的安全。
统一的身份认证
校园一般包含教学区、办公区、宿舍区和公共区域,不同区域的校
园有线无线网络均有部署。每个区域还存在与运营商合作运营的情况,
因 此,在认证管理方面主要是考虑如何解决不同区域的准入和准出权
限控制、准入准出统一身份认证、学校与运营商有线无线统一身份认证、
单点登录等认证管理需求。
适合学校的认证计费策略
校园本身区域决定了用户类型的多样化,用户身份有教工用户、学
生用户、访客用户,不同的用户类型在不同区域,使用的接入控制策略
和计费策略也有所不同,宽带认证计费系统需要满足基于用户和区域的
认证计费策略。
防代理私接
学校内学生一托 N 的现象比较严重,一方面影响用户计费管理,另
一方面不利于行为审计的用户溯源。宽带认证计费系统的防代理私接功
能应能够工作在不同结构的校园网络,包括不同厂家的接入服务器设备,
应支持旁路部署实现,以免功能失效影响对用户接入互联网。系统应能
对各种软件代理、宽带路由器的代理形式进行有效检测并对用户下线,
应支持各种操作系统和认证方式下的代理私接检测,应提供有效的防破
解机制。
另外,系统的防代理私接策略应具有灵活的组性化设置和详尽的日
志信息,便于管理人员根据不同的用户类型设置不同的代理私接策略,
如教工、实验室等特殊用户环境。
方案总体设计
根据湖北信息工程学校校园网改造项目的需求,建议部署校园宽带
认证计费系统,完成有线和无线网络的用户接入认证和计费。系统包含
功能完整的校园认证计费业务管理系统,解决方案具有前瞻性、高可用
性和良好的扩展性,为湖北信息工程学校网络现实和今后发展的需求提
供完善的校园网宽带认证计费解决方案。系统部署如下:
部署示意图
系统组成部分
认证计费系统主要包括:
认证服务器
主要负责对多业务路由器的认证记账功能、IPv4/IPv6双栈接入认证、
多进多出、链路聚合、内置光电口 BYPASS、访问日志采集和防代理私
接控制。
应用服务器
校园宽带认证计费系统的后台管理系统,基于 B/S 架构,提供完整的
用户管理、费用结算、策略设置、全业务接口、统计输出等业务模块,
系统基于 Oracle 9i/10G/11G 标准版数据库系统,满足学校大用户量、大
并发量环境下的业务数据要求。
日志收索引擎服务器(选购件)
采集访问日志详单,并提供基于 B/S 架构的访问详单快速查询的子
系统。
系统的工作原理
在本方案中,业务需求主要有三个部分:
1. 认证记账
2. 日志采集
3. 防代理私接
以上三个功能主要由认证服务器来完成,其工作原理示意如下图:
工作原理分别说明如下:
认证记账
认证服务器与多业务路由器建立数据通道,对用户接入进行认证、
授权和计费,并可根据用户的计费策略和控制策略对用户进行接入控制。
日志采集
日志采集,数据包经过认证服务器内核严格的分析和筛选后,把采
集到的 User-agent(含浏览器类型、操作系统版本、无线终端型号、无
线终端品牌分类等)、IP、账号、登陆信息、访问日志 URL 等信息到日
志采集数据库管理端 ,并存储在存储服务器内。
防代理私接
防私接工作原理图如下:
防私接工作原理图如下:
认证计费平台特点
成熟先进的体系架构
整套校园宽带认证计费系统采用 B/S 架构,使用 J2EE 技术开发,
针对校园版的特点进行规划,模块与菜单功能分布更切合学校需求。界
面多采用数据字典解析、模板展现的先进设计模式,如模块及菜单的实
现、角色权限、查询统计等。自助系统的界面换肤功能可以迎合最终上
网用户的感受。
用户/客户端 Radius Server Internet
PPPoE/
RADIUS(Auth/Acc)
RADIUS Server 认证成功,
且有运行防代理私接客户端
防私接客户端检测,如检测防私接客户端无
运行则会将用户离线
防私接插件检测用户
有私接行为
将 DM 下线消息发送到
客户端
通知该用户使用代理私接
客户端收到下线
报文,并强制该用
户下线
X
�
�
�
�
�
�
�
�
宽带认证计费系统的软件架构优势:
采用 Tomcat+JDK+Oracle Database 的架构组合,相比典型的
Apache+PHP+MYSQL 开源组合,在稳定性、性能、扩展性、业界口碑
等方面都更适用于构建长期运营发展的企业级应用。
•充分利用 Oracle Database 产品的强大功能实现后台业务的封装。
如数据压缩、RAC、备份/恢复、跨库协作、外部表高性能日志入库、支
持 SMTP、TCP 等网络通信开发易与其它模块互联,强大的封装函数库,
完善的脚本开发等都是其它数据库产品难以超越或达到的。
完全实现了 RADIUS SERVER、Tomcat、Database 的解耦,Tomcat
故障不会影响后台业务的正常运行,Database 故障不会影响 RADIUS
SERVER 正常认证。
• 真正的跨平台部署,完美支持 LINUX、WINDOWS 等主流系统
平台。管理界面支持主流的 IE 与 Firefox 内核浏览器,自助服务界面支
持所有主流浏览器。
采用 SSH 成熟的开源开发框架,便于实现团队协作,高效而规范,
为高质高效满足客户定制化需求提供有力保证。
满足校园网扁平化网络部署
认证网关,独立满足准出认证的同时还完全满足校园网扁平化环境
的准入、准出认证需求,系统能够与市场主流的 BAS 产品包括但不限
于 H3C 核心交换机等进行配合,实现校园网的 IPOE 和 PPPOE 认证方
式下的准入、准出的认证、计费和管理。
系统提供灵活多样的准入、准出认证组合方案,包括 PPPOE 准入、
IPOE 准入认证,PPPOE 和 IPOE 准入、准出一次认证,PPPOE 准入 IOPE
准出认证和 IPOE+web 准入、准出认证。
成熟规范的数字化校园接口
随着学校信息化建设的脚步日益加快,数字化校园建设在各大学校
如火如荼的进行着,数字化校园建设最重要的环节当属学校一卡通和学
校宽带认证计费系统,宽带认证计费系统支持与多种认证系统通过
LDAP 或 RADIUS 进行对接,2008 年至今,已经和新中新、金智、三九、
新开普、鑫三强、迪科等国内主流知名校园一卡通公司完成对接,能实
现校园卡统一身份认证、收费、业务办理、圈存等业务。
在一卡通对接的项目中,可以实现了认证与计费全业务接口无缝衔
接,从认证方面,师生宽带认证时只需要输入校园卡的查询密码即可通
过认证,实现以校园卡为信息化建设核心,并与认证计费网关实现统一
身份认证平台;从计费方面,开放了计费业务全接口,实现了刷卡开户、
收费、扣费、定期圈存和自然月结算策略(运营商通用计费策略)以及
缴费自动触发开户等个性化功能,以上举措让广大师生在校园宽带上的
使用更加便利,缴费更加方便,计费更加准确合理,极大促进了数字化
校园与宽带认证系统整合的步伐。
在用户信息共享方面与金智、新中新等厂家实现了用户注册信息的
主动获取,另外与网康、深信服等厂家实现了用户在线信息的主动推送。
全业务接口方面,可以满足对学校原有计费管理界面的平滑过渡对
接。
优异的开放性和标准性
B-RAS 设备支持
宽带认证计费系统与主流厂家接入设备的兼容性,主要体现在对厂
家 RADIUS 私有属性的支持,以及基于 Radius 的用户策略控制方式,
比如强制下线、策略下发等。另外,认证服务器也必须能对接入设备的
断电重启后的在线用户下线处理,防止认证服务器端在线用户挂死。
校园宽带认证计费系统已完整支持华为、H3C、Cisco、中兴、
Juniper、阿尔卡特、爱立信等主流厂家接入服务器 RADIUS 属性,并且
能够结合厂家接入服务器本地策略组,实现策略组属性下发、主动控制
用户下线等功能,使厂家接入服务器的功能能够得到充分发挥。特别是
支持
多业务路由器支持
校园宽带认证计费系统支持与 Juniper、H3C、神码、Cisco 等主流
厂家的多业务路由器的无缝配合,满足校园网络扁平化部署环境下的宽
带用户实名认证、接入控制与网络计费的各种需求。
高效安全便利的防私接、防破解客户端
的防用户私接代理技术采用与接入服务器实时通讯的客户端本地
检测方式,客户端软件实时检测用户 PC 的上网行为特征,如果发现有
符合代理私接特征的行为,则通知接入服务器停止该用户的接入。该技
术具有以下特点:
1. 客户的防用户私接代理技术是目前同行业中成熟度最高,覆盖用
户终端数最大的防私接代理技术,共有 180 多家有线电视台宽带网、70
多家电信级运营商、900 多家学校使用防代理技术,涵盖近百万终端用
户;
2. 控制实时性,一旦检测有通过私接代理的用户,实时停止该用
户的接入权限;非其他厂家事后溯源型的防代理技术,需要时间积累才
能定位和控制;
3. 部署简单灵活,适用于各种复杂的网络结构,部署时应不影响整
个城域网的结构,不需改动接入服务器和网络设备的网络配置
4. 支持多种认证方式的用户环境,包括 PPPoE、 等,为网络
管理者提供完整的防非法私接解决方案;
5. 防代理客户端和插件兼容性强,支持 Windows vista/7、Mac OS、
各种版本的 Linux 系统,适应学校校园网这种用户操作系统众多的使用
环境。另外还兼容个人电脑上各种常见的防火墙和防病毒软件,如卡巴
斯基、诺顿、金山、360 安全卫士等。
6. 具备易升级、防破解的功能,能在短时间内解决因代理软件更
新导致的无法防止某些代理软件接入的问题;
7. 采用认证服务器和防代理客户端互为绑定的方式,认证服务器
实时检测防代理客户端的工作状态;
8. 防止代理私接的类型全面,包括软件代理、宽带路由器代理、互
联网共享等;
易用性人性化设计
宽带认证计费系统基于多年扎根教育行业的经验,根据校园信息中
心和网络中心的业务流程和使用习惯,以减轻网络中心工作强度、提高
效率为目标,以为网络中心提供高效易用人性化的操作体验为最大原则
而设计。以下是校园宽带认证计费系统 B/S 界面演示:
1.自定义【我的收藏】,自己常用的功能一键式展现。最近使用的功能自
动学习记忆。
用户日志访问
根据公安部 82 号文的要求,校园宽带接入必须能够做到“落地查
人”,对于学校管理而言,没有上网访问 URL 日志就没有溯源的依据,
宽带认证计费系统天然具备实名制认证的用户信息。
校园宽带认证计费系统,支持访问日志采集,可适应各种异构的网
络环境,系统具有高性能的日志存储及海量快速搜索引擎模块,可在短
时间内对海量数据进行分析和查询输出。满足《互联网安全保护技术措
施规定(公安部令第 82 号)》的落地查人的要求。
系统功能模块特点
高可用性设计
SWP-IMC-CAMS 系统组成和运行环境包括:
ORACLE(10g /11G)数据库服务器,用于存储系统所有业务数据
和配置参数;
守护进程服务器,用于数据库服务器与 B-RAS 进行数据交换与数
据更新;
用户自服务(WEB)服务器,供用户在线查询或自服务的服务器系
统;
访问记录服务器,用于记录用户上网访问记录的服务器;
以上是 Billingware 系统的关键业务系统,。系统的高可用性是围绕
以上各系统模块进行设计。
图 3-2 SWP-IMC-CAMS 系统部署示意图
以上是认证计费系统的关键业务部分,作为整个运营系统的数据及
营账中心,部署在核心机房的网管服务器区域。考虑到整体系统的高可
用性,建议将 Oracle 数据库及守护进程服务器(负责同步 RADIUS 服
务器与数据库信息)部署为双机热备模式。在完善 Oracle 数据备份机制
下,也可以考虑采用单机 Oracle 做好数据库定期备份。此外,也可以根
据客户实际情况通过双机磁盘镜像的方式实现热备。
2166-BRAS 的高可用保障
2166B-RAS 负责用户的接入、认证、计费控制的主要设备,是整
个系统中最重要的部分,其高可用性通过以下两方面实现:
与后台服务器互为冗余
在本系统中, 2166-BRAS 与后台数据库的数据同步与更新,是通
过守护进程服务器实现的。 2166-BRAS 设备本身配有大容量的 FLASH
ROM, 2166-BRAS 本身能保存用户话单和用户资料,在与后台(守护
进程服务器)中断后, 2166-BRAS 仍然能对中断前已经开通的用户提
供完整的接入、认证、计费和控制功能,中断的过程中,对于正在正常
使用的用户不产生任何影响。
在能保证用户正常使用的同时, B-RAS 自身能保存一定数量的用
户的话单和访问记录,直至守护进程服务器恢复。
多机热备、Bypass
2166-BRAS 可以通过集群方式实现多机负载均衡,用户的流量和
并发数量可以实现分流,同时也可实现热备,在其中一台 2166-BRAS
停止工作后,原接入该 2166-BRAS 的用户重新登录后即可通过其他正
常的 B-RAS 恢复正常使用。
另外, 2166-BRAS 可实现基于故障检测的直通模式自动启动,当
主控认证设备无法正常工作,其他节点的 2166-BRAS 可自动启动为直
通模式,确保用户的正常接入不受主控认证设备影响。
数据库服务器与数据存储的高可用性
数据库和数据库服务器的高可用性,建议采用数据库服务器双机热
备+磁盘阵列的方案。服务器双机热备解决方案建议使用 Oracle 10g 的
组件 Oracle Fail Safe。
Oracle Fail Safe 是 Microsoft Windows NT、Windows 2000 和
Windows 2003 平台下所有 Oracle9i 和 10g 许可中包含的核心特性。
它是高可用软件,与 Microsoft Cluster Server 集成,为配置和验证
Windows 集群,以及 Oracle 数据库和应用程序自动故障切换提供快速、
简便和准确的方法。
当发生系统错误时,Oracle Fail Safe 与 Microsoft Cluster Server 一
起工作,在幸存的集群节点上重新启动 Oracle 数据库和应用。Oracle
Fail Safe 也可以提供当节点重新恢复服务时灵活的故障恢复;为循序的
集群升级和负载均衡提供有计划的故障转移;以及通过其命令行界面编
写高可用性任务的脚本
系统结构:
FAILSAFE 采用的是 SHARE NOTHING 结构,即采用若干台服务
器组成集群,共同连接到一个共享磁盘系统,在同一时刻,只有一台服
务器能够访问共享磁盘,能够对外提供服务。只要当此服务器失效时,
才有另一台接管共享磁盘。
运行机理:
组成 FAILSAFE 集群的每台 SERVER 有独立的 IP,整个集群又有
一个 IP,另外还为 FAILSAFE GROUP 分配一个单独的 IP(后两个 IP
为虚拟 IP,对于客户来说,只需知道集群 IP,就可以透明访问数据库)。
工作期间,只有一台服务器(preferred or owner or manager)对外提供服
务,其余服务器(operator)成待命状,当前者失效时,另一服务器就会接
管前者,包括 FAILSAFE GROUP IP 与 CLUSTER IP,同时 FAILSAFE
会启动上面的 DATABASE SERVICE,LISTENER 和其他服务。客户只
要重新连接即可,不需要做任何改动。
用户自服务(WEB)服务器的高可用性
用户自服务系统属于学校宽带运营一个重要组成部分,其作用除了
为用户提供查询纪录功能外,还提供充值、修改账号密码等功能,属于
关键业务功能模块。
在本方案中建议部署一台以上用户自服务系统 WEB 服务器,并各
自配置公网地址,并同时映射到相同的域名,由 DNS 服务器的自动解
析来实现用户访问自服务系统的负载。如果一台用户自服务系统服务器
因故障停止工作,用户通过域名访问用户自服务系统时,DNS 服务器将
会解析到另外一台用户自服务系统 WEB 服务器地址。
访问记录服务器高可用性
在宽带认证计费系统中,用户访问记录是作为国家强制运营商必须
提供的数据,所以访问记录服务器同样被视为关键业务系统,为了保证
访问记录的能够被连续记录,访问记录服务器也需实行双机热备。
访问记录是由 2166-BRAS 采集的,采集后临时存储在 2166-BRAS
的 RAM 中( 2166-BRAS 能够存储 32k 条访问记录),然后再由守护进
程服务器传至访问记录服务器进行存储。
访问记录服务器是在守护进程服务器中配置成一主一备方式,当守
护进程服务器检测其中一台访问记录服务器停止工作后,守护进程服务
器会自动将访问记录切换至备用访问记录服务器记录。由于有
2166-BRAS 做临时存储,所以在切换过程中不会造成记录丢失。
对于访问记录存储的高可用,建议采用一台 Sun StorEdge 3511 光纤
通道阵列,该阵列直接与两台访问记录服务器连接,为满足保存 3 个月
的数据的需求,按 20 万用户每天 20GB 的数据量,建议配置 的
磁盘阵列。
灵活开放的 RADIUS 模块
2166-BRAS 模块是校园宽带认证计费系统的是核心组件,提供集
中的用户验证和接入策略管理,使学校能够控制用户对其网络的接入和
使用- 防止非法用户接入,在用户连接网络前确保他们遵从安全策略,
为每位用户分配适当的接入级别,为计费/跟踪系统提供记账记录。
采用自主知识产权操作系统,采用更高性能多核 CPU 配置,提高
RADIUS 处理能力的同时,系统更加稳定,包处理能力达到每秒 1000
万包,单台 RADIUS SERVER 最大支持 64000 同时在线用户数,多台服
务器备份模式在增加同时在线用户量的同时,实现完全热备份。
优势和特性:
集中验证并管理远程/VPN 和 (无线和有线)用户 ;
•支持标准 RADIUS 协议,符合 RFC 2865 、RFC 2866、
RFC3576 等协议
•完整支持 Juniper 的 DHCP 认证、IPoE 认证、CoA 认证和
PPPoE 认证流程,以及 Juniper 认证的相关属性。
•支持多种认证鉴权协议,包括 PAP, CHAP, MS-CHAPv2、
PEAP、EAP-SIM 等。支持 WISPr 国际漫游认证协议;
•支持华为、H3C、Cisco、中兴、Juniper、阿尔卡特、爱立信、
山石防火墙等多个网络设备厂家的私有 Radius 属性集;
•支持各种灵活的 Proxy RADIUS 功能,例如:基于账号特征、IP
地址将认证请求转向其他 Radius Server,或接受其他 Radius Server 的认
证请求。
•支持根据 Active Directory、LDAP 等后端验证数据库来验证网络
登录;
•针对 BAS 等接入设备断电或故障重启情况,提供在线用户防挂
起设计,检测 BAS 等接入设备重启后清空在线用户,防止用户认证失
效。
完全基于用户的产品控制与精细化管理
完全基于用户的产品控制与精细化管理,同时也保证了灵活、易扩
展与产品策略的封装。用户管理支持灵活多样的业务处理方式:实时业
务办理、预约业务受理、批量业务处理等。业务类型完善,包括:开户、
开通、收费、报停、复通、有效期控制、变更套餐、修改资料、销户等。
支持丰富的调账功能、完善的单条件及组合条件查询统计、信息发布等。
可追溯详细的业务受理日志、缴费记录、结算记录、上下网详单等。
支持个人用户与专线用户管理,支持灵活的个人带宽管理,可支持
对 MAC、IP、VLAN、登录数等网络属性的绑定,也可以根据网络接入
参数实现后台自动绑定。
功能还包括:
•支持任意组合的用户划分
•支持与 ldap 服务器的数据同步配置
•支持用户属性归属节点(开户、修改)
•基于组织结构管理可扩展的增值应用
•基于组织结构的内容权限管理支持
•支持自定义属性的开户录入、资料修改
•支持自定义属性的条件查询、自定义列显示
•支持自定义属性的批量开户、批量修改处理
与 BRAS 深度整合的用户策略管理
校园宽带认证计费系统支持业内十多个厂家 BRAS 和多业务路由器
的厂家私有 Radius 属性,并且成功案例众多,系统可与各个厂家的 BRAS
设备深度整合,根据不同厂家产品的特性自动匹配 Radius 属性实现策略
下发,如带宽属性、BRAS 策略组 ID、CoA 下发、用户计费信息实时更
新、强制用户离线等等。
其他用户策略还包括:
•使用时段实时控制
•可以设定用户每天使用时段和使用日期;
•使用时间和流量的实时控制
•对用户累计使用的时间流量进行实时监控,如果用户使用超过预
先设定的流量和时间限制,则会自动切断用户连接;也可以对用户的储
值,信用额度进行限制,超过也会自动停机;
•带宽实时控制
•控制用户的各种域内服务和互联网接入的带宽在预先设定的最
大值范围之内,防止个别用户占用过多带宽;
•费率实时控制
•根据时段,节假日,星期提供不同的费率优惠,也可以根据用户
的目标地址不同使用不同的费率收费。
功能完整的用户自助服务
自助服务系统支持丰富的自助查询与自助业务办理功能,自助系统
开放的功能可以在后台管理界面上由系统管理员统一配置,比如允许开
放的自助查询业务、自助变更套餐、停/开机等。此外,还可以灵活配置
允许自助维护用户资料的选项,比如哪些用户资料允许变更,哪些允许
一次性变更等。
支持界面的换肤功能,用户可以选择自己喜欢的界面风格,为最终
上网用户提供友好的使用感受。
灵活高效的统计分析报表
系统提供的查询报表功能丰富,分别基于用户、账务、操作人员、
套餐组、运营、详单等作为侧重点,为系统的各部门人员提供其所关注
的报表数据。支持丰富的单条件、多条件组合、复杂条件嵌套作为生成
报表数据的筛选范围。
报表模块整体设计理念先进,不是一个个堆加的方式设计,而是基
于多年来形成的一套成熟的报表设计与解析展现平台来实现,方便以后
客户个性化报表的扩展,而不需要频繁改动前端界面的代码,保障日后
系统功能扩展的稳定性与高效性。
自定义属性,丰富的类型选择,灵活的排序,支持校验
简单、规范、易扩展的全业务数字化校园接口
全业务接口
全业务接口包括:业务受理接口、业务查询接口、数据同步接口、
文件抛送接口。全业务接口采用分层设计分层封装来实现,无论自身的
管理平台界面、自助服务系统,还是与各厂家的一卡通等对接,都是采
用同一套业务实现的封装,提高了系统的健壮性与易维护性。接口的最
终实现与业务封装实现完全解耦,方便与不同的厂家采用不同的网络协
议进行对接。
统一身份认证接口
•二代身份证读卡器接口
•实现单点登陆,多点认证
•统一身份账号数据源
•认证过程可实现系统间账号资源自动同步,减少人工操作环节
•支持多种接口方式,灵活满足不同学校数字化校园不同发展阶段
的需要
•LDAP、RADIUS、Windows 域统一认证、HTTPS URL 接口
•Windows 域/LDAP 账号与宽带认证统一登陆
•支持多种 Windows AD /LDAP 服务器同步策略
•可自定义同步资料字段、组别
实时在线用户信息接口
•实时在线用户信息
•可手动强制在线用户离线
•向在线用户发送消息
•查看用户的使用记录
•查看入侵告警消息记录
•统计在线人数、TCP 连接、UDP 连接曲线、流量曲线
多平台用户客户端
有线终端设备:
第三代防代理客户端支持现有所有主流操作系统平台,如微软
Windows 全系列版本(Win 9X、Win XP、Vista、Win7);Linux(Red
Hat9、Ubuntu、Fedora core 7 等);苹果 Mac OS 等,第三代客户端在以
上所有平台中均能实现防代理功能。PC 客户端均采用绿色客户端方式,
具备加密技术保证用户账号密码信息安全
支持自动智能升级功能,提供的统一版本服务器给校方作客户端升
级管理,可提供快速有效的全网客户端升级手段,及时升级代理软件特
征库、客户端增值功能等。
可实时采集快速查询的海量访问日志模块
校园宽带认证计费系统采集上网访问 url 记录时,可为访问记录专
门设计一个数据库日志文件。并且根据当其访问记录超过容量时,自动
分配一个新的访问记录文件,可以通过写文件或者写数据库的形式保存
访问记录,保证了访问记录的完整性和灵活性。
功能描述:
满足《互联网安全保护技术措施规定(公安部令第 82 号)》
的落地查人的要求
记录并留存用户登录和退出时间、主叫号码、账号、互联网地
址或域名、系统维护日志的技术措施;
根据时间、目标地址快速查找登录的账号,IP 地址,端口;
能够查 QQ 号,电子邮件对应的登录账号;
查询方便,操作简单,采用 BS 管理界面,
高性能,免维护,可靠性高
无需数据库,直接对文件进行操作。
自带高性能服务器以及 4T 的日志海量存储,采用双硬盘实现
Raid1 冗余
对网络的日志进行集中管理、支持的访问日志格式,交换机日
志,后续将支持多种类型设备的网络日志格式
性能描述:
查询时间:在 24 小时日志查找记录时间 <3 秒
保存 100 天(<=2000G)的访问日志记录
支持 16 台采集设备同时写入日志
针对校园设计的计费策略功能
校园宽带认证计费系统支持丰富的计费策略,可以分别按流量、时
长或包月方式计费,也可以支持包月与时长或流量的组合计费;结算方
式支持每月固定日期结算或根据用户不同的账期轮循周期天数结算,也
支持根据用户不同账期按自然月方式轮循结算。计费策略支持先出账与
后出账方式。计时长或流量支持最低消费额、封顶、透支限制、时段折
扣、时长或流量跳档费率等各种优惠。支持即用即扣的实时计费与先用
后扣的日结预判与月结后出账计费。支持灵活的行政费用策略配置,如
改密费、安装费等。
满足学校网络扁平化和精细化用户管理的需要,根据 IP 或 VLAN
范围制定区域动态资费策略。比如基本套餐包月、宿舍区计时长、教学
区计流量。用户登录上网时,内核根据 IP 或 VLAN 规则匹配到本次上
网的计费组,实现动态计费与动态控制策略。
账务系统模块
账务系统是计费系统的核心部分,基于以用户为中心的服务理念,
提供灵活的定制功能与多业务任意扩展的功能。在各业务现有账务系统
的基础上,实现各业务的交叉优惠,捆绑销售,客户化账单及“一单
清”, 实现账务分类汇总;多业务合账/出账、销账等处理。
其中,通过配置灵活实现多业务的交叉优惠、多种资费套餐,更好
地支持新业务的扩展,是综合账务系统追求的重要目标。
账务系统包括以下功能模块:
详单采集
详单采集是指账务系统从其他各个子系统接受各种费用数据。
在数据采集过程需保证数据的一致性、完整性、实时性及安全性,
并能根据处理的需要,将这些费用数据转换为所需的形式和内容。为保
证能够实现上述性能,SWP-IMC-CAMS 具备完备的审核校验机制来保
障采集传输的结果数据与各专业子系统的相关计费数据保持一致,以避
免数据的丢失或错误现象。
详单级优惠
为保证计费处理的速度,在进行计费系统时不与客户资料进行捆绑,
其对用户详单进行的优惠处理在账务系统中完成。
SWP-IMC-CAMS 的计费优惠策略设置非常方便,无需替换软件,
纯界面配置输入。可基于时段、交费金额、使用量等参数配置各种优惠
策略。
累账
SWP-IMC-CAMS 可实现实时计费,在账务系统中可将经过详单优
惠过的清单数据进行累账处理。
根据需要,累账可实时或定时进行。
SWP-IMC-CAMS 账务系统模块性能效率均能满足大用户量的账务
处理,SWP-IMC-CAMS 已在多个不同类型的运营商长期稳定运行,实
际案例中最大处理二十万用户规模的账务业务,其中包括实时和定时累
账业务。
出账
SWP-IMC-CAMS 可支持按任意时间段的出账策略,并可采用组件
方式,通过系统插件实现业务功能的扩展。
在出账过程中能实现账务级的交叉优惠,具体包括基于各账目的关
联优惠,基于客户、账户、用户的总量优惠等。具有较强的灵活性、可
配置性及可扩充性。
销/反账
销账处理是缴费处理的后台处理过程,主要完成对客户账单的勾销。
SWP-IMC-CAMS 具备其完善的排队机制及安全机制来实现销账处
理;
与缴费处理过程相匹配,销账处理也需支持全部销账、部分销账的
功能,并将销账所剩金额放置客户的余额项目上。
SWP-IMC-CAMS 销账能够到实时、准确。反销处理是销账处理的
反过程,在处理时能严格按照操作权限进行,并对每笔返销操作能留下
完整的日志记录。
欠费管理
SWP-IMC-CAMS 的欠费管理主要包括生成欠费清单、欠费服务限
制、欠费账户冻结。
(1) 生成欠费清单
客户使用服务后在规定的期限内仍未缴纳其使用的服务费,根据其
欠费金额和欠费时间,对欠费超过一定时间或达到一定限额的客户,生
成欠费清单,提交给催缴部门。欠费清单上的用户名称应为负责缴费的
用户名称(即账户名称)。欠费清单每日更新。超过系统指定期限的欠
费清单即为停网清单。
(2)欠费冻结账号处理
客户在系统设定的时间期限内仍未缴费,系统将进行欠费账户冻结,
时间期限可以进行配置;欠费账户冻结客户的欠费转为呆账。
欠费处理除了查询与统计功能外,还提供数据给营业系统,由营业
系统进行自动的催缴和人工的催缴。
呆坏账管理
SWP-IMC-CAMS 对欠费达一定期限的客户欠费账单数据需转成呆
账数据,并将数据送交相关部门处理;呆账达到一定期限后,可认为这
部分费用已无法回收,将这部分数据转为坏账,并送交财务部门审批。
对这部分客户,可进行账号冻结处理。如客户的欠费账单数据已是呆坏
账数据,系统应提供对这些客户的缴费、销账处理;为减少欠费的账面
数额,对过期未缴的呆坏账数据应进行核销操作。
系统权限管理
校园宽带认证计费系统支持完善的角色权限管理。
角色信息可以配置工号、姓名、别名,可以分别用其中之一登录系
统。可以配置系统使用者是否可以多点登录系统及源地址范围绑定等。
功能权限:系统导航的每个功能点都可以在权限中进行具体配置;
内容权限:对各种套餐组、资费组、地区组等组属性可以具体配置
各个系统使用者允许操作与查看的组,从而决定可以管理的用户范围。
方便实现不同校区的权限管理。
系统日志审计
SWP-IMC-CAMS 的系统日志审计功能包括四个方面。
1) 日志采集功能:系统关键数据和业务的变动都使用记录日志快
照,比如系统使用者对每个用户做过的任何业务操作、调账等都可以追
溯重现,任何人对资费的任何一个参数的调整都可以重演。
2) 日志分析功能: 是指对于采集上来的信息进行分析、审计。可
以基于数据库的 信息查询和比较;复杂的技术则包括实时关联分析引
擎技术,采用基于规则的审计、基于统计的审计、基于时序的审计,以
及基于人工智能的审计算法等。
3) 日志存储功能:提供日志格式的统一管理,提供日志数据的存
储、备份、恢复、 删除、导入和导出操作。
4) 信息展示功能:包括审计结果展示界面、统计分析报表功能、
告警响应功能、设备联动功能等。
网络实施方案
IP 地址规划
IP 地址为 32 位二进制数,由网络地址和主机地址两个部分组成,
通常也表示为由 3 个小数点隔开的 4 个十进制数。IP 地址的组成结构如
下图所示:
类别,由左端高位的比特来表示不同的级别,如下表所示:
其中 A、B、C 类地址是国际互联网上公共分配的地址,根据 IP 地
址的第一个十进制数字可以很容易地识别出这个 IP 地址属于哪个类别。
每一类别网络地址与主机地址占用的位数见下图所示:
利用 VLSM 变长掩码技术,可以在每个标准 IP 地址类别中划分出
多个 IP 子网地址。IP 地址子网化给使用标准类别 IP 地址的网络带来了
灵活性和有效性。例如,一个用户分配到 的网段地址,采用
24 位变长掩码进行 IP 子网化可以划分出
IP 地址规划原则
1、唯一性原则
唯一性是 IP 地址在 TCP/IP 协议中最基本的要求,是 IP 地址的基
本特征和 IP 地址编制的重要依据。整个网络平台内每个网络所使用的
地址的网络地址字段必须是唯一的,在同一网络中所使用的 IP 地址中
包含的主机地址字段也必须是唯一的,这是实现 IP 网络互联互通的基
本条件。
2、连续性原则
在层次化结构的网络中为各个节点划分连续的 IP 地址区间,便于
实现路径叠合(Route Summarization)等优化 IP 地址的分配技术,简化路
由表数据,提高路由算法的计算效率和动态路由的快速收敛,能有效利
用地址空间。
3、扩展性原则
IP 地址编制要兼顾网络规模扩展的需求,为各个节点预留足够的 IP
地址扩展区间时,应考虑对网络在用地址的继承性,满足路由协议的要
求、实现 IP 地址编用的平滑连接等,这是保证网络扩展和有序管理的
重要条件。
4、规范性原则
网络内各节点的网络互联设备和局域网内主要设备等采用规范的
地址编制技术和方法,是网络互联互通和提高网络管理效率的有效措施。
5、标准化原则
遵循有关 TCP/IP 协议标准来规划 IP 地址,是网络建设的重要原
则。
IPV4 地址规划方案
对 IP 地址的优化工作包括两个方面的工作:IP 地址的合理规划及 IP
地址分配的实施工作。其中 IP 地址的合理规划是整个 IP 地址优化工作
的前提和优化工作的重点。
对 IP 地址规划主要涉及到私用的 IP 地址资源和教育网的 IP 地址资
源两部分的内容等。结合东湖高新分局的实际情况,以及目前现有的 IP
地址分配情况,以下我们提出相关建议,以供参考:
IP 地址可以静态分配也可以动态分配,结合湖北信息工程学院网络
实际环境,建议采用静态 IP 地址分配方式。
网络系统常需要规划的地址包括如下四类:
网络设备 LOOPBACK(环回)地址
网络设备互联的地址
公共信息系统服务器地址
用户主机接入地址
网络设备 LOOPBACK 地址
网络设备 LOOPBACK 地址主要用于标识唯一一台网络节点,采用
单个 IP 地址掩码为/32。LOOPBACK 地址主要用于网络路由协议节点的
标识(如 OSPF、BGP 协议的 ROUTER ID)和对网络设备的管理等,其最
大的好处是只要设备运行正常就可以访问到,而不受其他物理接口故障
的影响。
网络设备互联地址
网络设备互联的地址,通常作用于两台网络设备点对点的互联,因
此建议为每个点对点设备的接口分配一个掩码为/29 的 IP 地址段,这样
一个 C 类地址可总共分配 32 组。
公共信息系统服务器地址
对于公共信息系统服务器,宜采用固定的 IP 地址,具体如下:
对服务器进行专用 IP 地址网段进行分配。
各部门公共服务器 IP 地址分配方案参考如下:
第 1 个 IP 地址:DHCP 服务器
第 2 个 IP 地址:E-mail 服务器
第 3 个 IP 地址:WEB 服务器
第 5 个 IP 地址:DNS 服务器
第 6 个 IP 地址:应用服务器
第 9 个 IP 地址:应用服务器
第 11-14 个地址:小型机服务器
依次类推。
用户主机接入地址
为方便网管人员统一管理,建议采用静态 IP 地址分配来实现对普
通用户分配 IP 地址。
目前规划 IPv4 地址如下分配(具体依据实际情况调整):
设备用途 地址分配 备注
核心及汇聚设备 -254/32
核心及汇聚设备互联
具体 IP 地址分配方案将在工程实施中得到进一步完善。
路由设计
选择何种路由协议,对于最大程度的发挥网络的效能具有重要意义,
因此本次湖北信息工程学院网络建设的路由协议的选择也就十分重要。
在大型网络中,选择适当的路由协议是非常重要的。目前常用的路由协
议有多种,如 RIP、OSPF、IS-IS、BGP、PIM 等等。不同的路由协议有
各自的特点,分别适用于不同的条件之下。
选择适当的路由协议需要考虑以下因素:
1)路由协议的开放性:开放性的路由协议保证了不同厂商都能对本
路由协议进行支持,这不仅保证了目前网络的互通性,而且保证了将来
网络发展的扩充能力和选择空间。
2)网络的拓扑结构 :网络拓扑结构直接影响协议的选择。例如 RIP
这样比较简单的路由协议不支持分层次的路由信息计算,对复杂网络的
适应能力较弱。路由协议还必须支持网络拓扑的变化,在拓扑发生变化
时,无论是对网络中的路由本身,还是网络设备的管理都要使影响最小。
3)网络节点数量:不同的协议对于网络规模的支持能力有所不同,
需要按需求适当选择,有时还需要采用一些特殊技术解决适应网络规模
方面的扩展性问题。
对于本网络,在选择路由协议时不能只看眼前,还要充分考虑今后
的扩展性
4)与其他网络的互连要求:通过划分成相对独立管理的网络区域,
可以减少网络间的相关性,有利于网络的扩展,路由协议要能支持减少
网络间的相关性,是通常划分为一个自治系统(AS),在 AS 之间需要
采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路
由交换的限制管理。
5)管理和安全上的要求:通常要求在可以满足功能需求的情况下尽
可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的
需要,例如对路由的传播和选用提出一些人为的要求,就需要路由协议
对策略的支持。
本网络路由协议选择
考虑到协议的通用性、标准性以湖北信息工程学院网络系统的网络
规模,建议在本次网络建设中选择 OSPF 作为未来网络动态路由协议,
选择 OSPF 主要有以下几个原因:
1.标准开放性及成熟性
OSPF 是开放的标准协议,受到广大厂家设备及组织的支持,也是目
前网络构建中用得最多的协议,也是在企业网中应用最广泛的 IGP 协议;
因此其性能是经受过考验及验证的。
2. 扩展能力分域功能非常适合网络扩展
OSPF 提供分域功能一方面保证路由转发效率,另一方面要提供很好
的网络扩展能力。
当然路由协议的选择也必须考虑本系统的整体规划,本次方案选择
的产品具有丰富的路由协议支持能力,单播、多播路由协议包括 OSPF、
RIP、PIM 等都提供很好的支持,因此可以适应本系统的路由协议的选
择。
局域网 VLAN 的设计
VLAN(Virtual Local Area Network)是虚拟局域网的英文缩写,它
最简明的描述就是可以实现将连接在同一个物理网络上面的主机分组,
使它们看起来就象连接在不同的网络上一样。
VLAN 出现之前,人们通过划分网段来提高局域网性能或者限制网
上的计算机互访问权限等等。当时每一个网段都必须单独拥有一套网络
硬件,各个网段之间不能共享同一套连网设备,而且当计算机从一个网
段迁移到另外一个网段的时候,所做的变动相对是比较大的,尤其是计
算机的连接必须更换到另外一个网络上面。VLAN 出现之后,人们可以
通过 VLAN 为网络分段,各个网段可以共用同一套网络设备,节约了网
络硬件的开销,同时在迁移中所需的工作量也大幅度降低了,从而降低
了连网成本。
在大型局域网络组建中,VLAN 技术是不可缺少的关键技术,科学
的 VLAN 设计可以为局域网络带来一系列的优点
在同一个物理网络实现第二层工作组划分,实现不同工作组之间第
二层的完全隔离,同时,组员可以处在物理网络中的任何位置,不受同
一台设备限制;
隔离广播,提高效率,避免不相关的广播帧在全网扩散,浪费有效
带宽资源;
在 VLAN 的概念最早出现时,各个厂商纷纷推出自己的解决方案,
互不兼容,各个厂商的交换机互相不能识别其他交换机的 VLAN。IEEE
是新的虚拟局域网标准,它统一了各个厂商的 VLAN 实现方案,
使不同厂商的设备可以同时在一个网络中使用,各自的 VLAN 设置可以
被其他设备所识别,实现不同厂商之间交换机的互通。同时,
VLAN 通过 TAG 方式扩展了以太网的帧格式,从而提供了新的 QOS、
用户认证等业务保障、实现的途径。
虚拟网络划分种类
目前,划分虚拟网络有 4 种方式:
基于交换机端口
基于客户端物理地址 MAC
基于协议类型
基于 IP 子网
另外通过结合 IEEE 认证技术的增强属性,还可基于用户认证
实现动态 VLAN 下发。
基于交换机端口的虚网划分方式目前最常用,该技术将交换机的一
组端口定义为一个虚网,这一组端口可以包括一个端口、部分端口或所
有端口。当多个虚拟网络要跨交换机时,则要采用 IEEE 定义的标准虚
网中继技术 。
基于物理地址的划分方式最便于客户端的移动,顾名思义,这种方
式按照客户端的物理地址 MAC 将一组用户逻辑的组合在一起,当客户
端移动时,由于 MAC 地址不变,因此他所在的虚网也不变。这种方式
在一个较小的网络环境中也许适用,但在中大型企业网络项目中则无法
胜任:该方式需要专门的 VLAN 服务器,实时管理 VLAN 与 MAC 地址
的映射表,并需要把这些信息实时传给交换机,其对带宽的占用也很大,
同时难于管理,毕竟 MAC 地址需要用 64 位来表示。从目前使用情况来
看,几乎没有用户使用。
基于协议类型的虚网划分方式是指按照网络中运行的协议类型来划
分虚拟网,该方式基于端口级 VLAN 划分方式。在网络设计中,将运行
特定协议的一组用户所对应的一组交换机端口划分成一个 VLAN,比如
将 IPX 协议划分成一个 VLAN,将 IP 协议划分成另一个 VLAN 等等。
由于今天企业网络协议渐渐转向单一的 IP 应用,因此大多数企业中目
前只需根据 IP 协议划分 VLAN。
基于 IP 子网的虚网方式是指按照 IP 的子网范围划分 VLAN,该方式
也是基于端口级 VLAN。在网络设计中,将一组用户所对应的交换机端
口逻辑上划分成一个 VLAN,然后针对该 VLAN 分配一个 IP 子网。这
种划分方式是目前企业网络最常用的方式。
VLAN 中继
标准由 IEEE 标准委员会制订,用于在交换机与交换机之间,
交换机与路由器之间,交换机与服务器之间同时传递多个 VLAN 信息,
实现跨设备的 VLAN 共享。
工作在 OSI 七层协议的第二层,该标准在标准以太网帧结构
中增加了 4 个字节,其中最后 12 个数据位供 VLAN 标记使用,
共支持 4096 个 VLAN。
从上图可以看出, 将 4 个字节加在目标 MAC 地址与以太网
类型字段之间,从而使传统的以太网最大帧长度从 1518 字节变为 1522
字节,因此在实施 的网络中,要求交换机能支持这个帧长度,
目前,各厂家的交换机都能满足这一要求。
的意义是提出了中继技术,也就是说如果一个交换机端口定
义为 之后,他就可以同时属于多个 VLAN。
从上图可以看出,tag 字段的前三个数据位代表优先级,由
定义。 除了定义了以太网的优先级机制之外,还定义了 GARP 协
议,即通用属性注册协议,也就是说,按照该协议,具有相同属性的一
组端口属于同一个组。 引用了 GARP 协议并按照 VLAN 信息定
义了动态虚网注册协议。
VLAN 技术的实现
VLAN 的实现方式有两种:静态和动态。
静态实现是网络管理员将交换机端口分配给某一个 VLAN,这是一
种最经常使用的配置方式,容易实现和监视,而且比较安全。
动态实现方式中,管理员必须先建立一个较复杂的数据库,例如输
入要连接的网络设备的 MAC 地址及相应的 VLAN 号,这样当网络设备
接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相
应的 VLAN。动态 VLAN 的配置可以基于网络设备的 MAC 地址、IP 地
址、应用或者所使用的协议。实现动态 VLAN 时候一般情况下使用管理
软件来进行管理。在交换机上可以使用 VLAN 管理策略服务器
(VMPS)实现基于 MAC 地址的动态 VLAN 配置。VMPS 是 MAC 地
址与 VLAN 的映射表。这种配置的优点是网络管理员维护管理相应的数
据库,而不用关心用户使用哪一个端口,但是每次新用户加入时需要做
较复杂的手工配置。基于 IP 地址的动态配置中,交换机通过查阅网络
层的地址自动将用户分配到不同的虚拟局域网。
VLAN 的管理
VLAN 与交换网络密不可分,但实施 VLAN 要重新定义管理环境。
VLAN 定义的逻辑域涉及网络里的可能视图,因而网络管理平台可显示
IP 图像,有时还会显示基于 IPX 的图像。如果部署 VLAN,其拓扑可能
与上述视图不匹配。当 VLAN 部署完毕之后,你很可能对根据逐个
VLAN 监视通信量并生成警报这一点感兴趣。
在目前,大多数基于交换机的 VLAN 是专用的。IEEE 委员
会开发出一种多址广播标准,使 VLAN 成员可以在取消 VLAN 广播抑
制任务的情况下通信。在可互操作的软件和硬件里实现上述标准之前,
VLAN 配置仍将要求维护单一供应商交换机环境。
即使在单一供应商 VLAN 里,网络管理也是一种挑战,例如检查
VLAN 对话要求管理软件处理的统计信息不同于检查常见的 LAN 或 IP
子网对话:RMON MIB 和 RMON-2 MIB 分别提供确定 LAN 和子网信
息的框架,而 VLAN 配置必须定义自己的 MIB,或者配置如何根据其
他 MIB 获得上述信息。此外,为了提供连贯的 VLAN 行为特性图,管
理软件要收集并合并来自多个 RMON 检测器的数据。
如果上述问题很严重,就要考虑捕捉多交换机 VALN 数据的地方只
限于中间交换机链路或者主干网。在大型网络里,主干几乎都在
100Mbps 以上,高速控制器的部署与常见 VLAN 不一样,而且成本很高。
VLAN 的配置
如果根据交换机端口定义 VLAN,通常很容易用某种拖放软件把一
个或多个用户分配到特定的 VLAN。在非交换环境里,移动、添加或更
改操作很麻烦,有可能要改动接线板上的跳线充一个集线器端口移动到
另一个端口。然而,改动 VLAN 分配仍然要靠人工进行:在大型网络里,
这样做很费时,因而很多联网供应商鼓吹采用 VLAN 可以简化移动、添
加和更改操作。
基于 MAC 地址的 VLAN 分配方案确实可使某些移动、添加和更改
操作自动化。如果用户根据 MAC 地址被分配到一个 VLAN 或多个
VLAN,他们的计算机可以连接交换网络的任何一个端口,所有通信量
均能正确无误地到达目的地。显然,管理员要进行 VLAN 初始分配,但
用户移动到不同的物理连接不需要在管理控制台进行人工干预;例如有
很多移动用户的站,他们并非总是连接同一端口――或许因为办公室都
是临时性的,采用基于 MAC 地址的 VLAN 可避免很多麻烦。
传统的 Layer3 技术怎么样呢?这里离开 VLAN 最近的是 IP 子网:
每个子网需要一个路由器端口,因为通信量只能通过一个路由器从一个
子网移动到另一个子网。由于 IP32 位地址提供的地址空间很有限,所
以很难分配子网地址,还有看你是否熟悉二进制算法。因此,在 IP 网
络里执行移动、添加和更改操作很困难,速度慢,容易出错,而且费用
大。另外,在公司更换 ISP 或者采用新安全策略时,可能有必要重新编
号网络,这对于大型网络来说是无法想像的。
实际上,如果有人采用现有的有子网的路由 IP 网络,并根据 IP 地
址访问任意 VLAN 成员,路由器就可能会被不必要的通信量淹没。
如果很多子网里都有 VALN 成员,常用的 VLAN 广播必须通过路
由器才能达到所有成员。此外,糟糕的是广域链路会生成额外广播通信
量;有 WAN 连接服务的 VLAN 成员数通常应该保持在最低水平。实际
上,基于 Layer3 地址的 VLAN 成员值有可能在增强和修改现有子网分
布方面很有用,例如可通过一个全子网给 VLAN 添加两个新节点,或者
可用两个子网组成一个 VLAN 而无须重新编号。
Cabletron 的 SecureFast Virtual Networking Layer3 交换技术采用路
由服务器模型而不是传统的路由选择模型。第一个信息包传送到路由服
务器进行常规路由计算,但交换机能记忆路径,因而后续信息包可在
Layer2 交换,而无须查对路由表。由于有了基于纯 Layer3 地址的
VLAN,所以 IP 地址可以作为通用网络 ID,允许任何人连接任何数据
链路,从而获得全网络访问,大大简化移动、添加和更改任务。
但是,还有其他方法解决 IP 子网引起的管理问题。DHCP(动态主
机配置协议)已经在连接时给用户分配地址的其他技术,都可用于解决
上述问题。
VLAN 的规划
我们建议按不同的业务使用主体来规划整个湖北信息工程学院的
VLAN 资源。如:学生宿舍 1、学生宿舍 2、教师、校管理人员等。
为了减小广播域,建议 VLAN 终结在汇聚层的三层交换机上,每
个 VLAN 内的主机数量原则上不要超过 250 台,建议每个 VLAN 内的 PC
机数量控制在 50 台以内。
VLAN 的划分可以依据不同的业务部门进行也可以依据用户所处
网络的物理结构进行,后者主要是从网络性能角度出发,而前者还兼顾
了网络安全性可控性的需要。根据实际业务部门办公环境的分布情况来
看,在大部分情况下,两者实现了重合,而对于少数由于办公地点不同,
隔离在不同汇集点的相同业务部门,我们则推荐第一种方式。
将端口分配给 VLAN 的方式有两种,分别是静态的和动态的。
QOS 流量工程设计
服务质量(Quality of Service,简称 QoS)是各种存在服务供需关系
的场合中普遍存在的概念,它评估服务方满足客户服务需求的能力。评
估通常不是精确的评分,而是注重分析在什么条件下服务是好的,在什
么情况下还存在着不足,以便有针对性地作出改进。
在因特网中,QoS 所评估的就是网络投递分组的服务能力。由于网
络提供的服务是多样的,因此对 QoS 的评估可以基于不同方面。通常所
说的 QoS,是对分组投递过程中可为延迟、延迟抖动、丢包率等核心需
求提供支持的服务能力的评估。
传统的 IP 网络无区别地对待所有的报文,路由器处理报文采用的
策略是先入先出 FIFO(First In First Out),它依照报文到达时间的先后
顺序分配转发所需要的资源。
所有报文共享网络和路由器的带宽等资源,至于得到资源的多少完
全取决于报文到达时机。这种服务策略称作 Best-Effort(尽力而为),它
尽最大的努力将报文送到目的地,但对分组投递的延迟、延迟抖动、丢
包率和可靠性等需求不提供任何承诺和保证。
传统的 Best-Effort 服务策略只适用于对带宽、延迟性能不敏感的
WWW、文件传输、e-mail 等业务。
随着计算机网络的高速发展,越来越多的网络接入因特网。Internet
无论从规模、覆盖范围和用户数量上都拓展得非常快。越来越多的用户
使用 Internet 作为数据传输的平台,开展各种应用。同样地,服务提供
商也希望通过新业务的开展来增加收益。
除了传统的、FTP 应用外,用户还尝试在 Internet 上拓展新业务,
比如远程教学、远程医疗、可视电话、电视会议、视频点播等。企业用
户也希望通过 VPN 技术,将分布在各地的分支机构连接起来,开展一
些事务性应用:比如访问公司的数据库或通过 Telnet 管理远程设备。
这些新业务有个共同特点,即对带宽、延迟、延迟抖动等传输性能
有着特殊的需求。比如电视会议、视频点播需要高带宽、低延迟和低延
迟抖动保证。事务处理、Telnet 等关键任务虽然不一定要求高带宽,但
非常注重低延迟,在拥塞发生时要求优先获得处理。
新业务的不断涌现对 IP 网络的服务能力提出了更高的要求,用户
已不再满足于能够简单地将报文送达目的地,而是还希望在投递过程中
得到更好的服务,诸如支持为用户提供专用带宽、减少报文的丢失率、
管理和避免网络拥塞、调控网络的流量、设置报文的优先级。
所有这些,都要求网络应当具备更为完善的服务能力。
流分类、流量监管、流量整形、拥塞管理和拥塞避免是构造有区别
地实施服务的基石,它们主要完成如下功能:
流分类:依据一定的匹配规则识别出对象。流分类是有区别地实施
服务的前提。
流量监管:对进入路由器的特定流量的规格进行监管。当流量超出
规格时,可以采取限制或惩罚措施,以保护运营商的商业利益和网络资
源不受损害。
拥塞管理:网络拥塞时必须采取的解决资源竞争的措施。通常是将
报文放入队列中缓存,并采取某种调度算法安排报文的转发次序。
拥塞避免:过度的拥塞会对网络资源造成损害。拥塞避免监督网络
资源的使用情况,当发现拥塞有加剧的趋势时采取主动丢弃报文的策略,
通过调整流量来解除网络过载。
流量整形:一种主动调整流的输出速率的流控措施,通常是为了使
流量适配下游路由器可供给的网络资源,避免不必要的报文丢弃和拥塞。
在这些流量管理技术中,流分类是基础,它依据一定的匹配规则识
别出报文,是有区别地实施服务的前提;而流量监管、流量整形、拥塞
管理和拥塞避免从不同方面对网络流量及其分配的资源实施控制,是有
区别地提供服务思想的具体体现。
一般情况下,QoS 执行以下功能:
流分类
访问控制
流量监管和流量整形
拥塞管理
拥塞避免
流量分类、流量监管和流量整形
流分类采用一定的规则识别符合某类特征的报文,它是有区别地进
行服务的前提和基础。
流分类规则可以使用 IP 报文头的 ToS 字段的优先级位,识别出有
不同优先级特征的流量;也可以由网络管理者设置流分类的策略,例如
综合源地址、目的地址、MAC 地址、IP 协议或应用程序的端口号等信
息对流进行分类。一般的分类依据都局限在封装报文的头部信息,使用
报文的内容作为分类的标准是比较少见的。分类的结果是没有范围限制
的,它可以是一个由五元组(源地址、源端口号、协议号码、目的地址、
目的端口号)确定的狭小范围,也可以是到某网段的所有报文。
一般在网络边界对报文分类时,同时设置报文 IP 头的 ToS 字段中
的优先级位,这样,在网络的内部就可以直接使用 IP 优先级作为分类
标准。而队列技术如 WFQ 也可以使用这个优先级来对报文进行不同的
处理。下游(downstream)网络可以选择接收上游(upstream)网络的
分类结果,也可以按照自己的标准重新进行分类。
进行流分类是为了有区别地提供服务,它必须与某种流控或资源分
配动作关联起来才有意义。具体采取何种流控动作,与所处的阶段以及
网络当前的负载状况有关。例如,当报文进入网络时依据承诺速率对它
进行监管;流出结点之前进行整形;拥塞时的队列调度管理;拥塞加剧
时要采取拥塞避免措施等。
流量评估与令牌桶
令牌桶的特点:
令牌桶可以看是一个存放令牌的容器,它有一定的容量。系统按设
定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令
牌不再增加。
用令牌桶评估流量:
在用令牌桶评估流量规格时,是以令牌桶中的令牌数量是否足够满
足报文的转发为依据的。如果桶中存在足够的令牌可以用来转发报文
(通常用一个令牌关联一个比特的转发权限),称流量遵守或符合
(conforming)这个规格,否则称为不符合或超标(excess)。
评估流量时令牌桶的参数设置包括:
平均速率:向桶中放置令牌的速率,即允许的流的平均速度。通常
设置为承诺信息速率(Committed Information Rate ,CIR)。
突发尺寸:令牌桶的容量,即每次突发所允许的最大的流量尺寸。
通常设置为承诺突发尺寸( Committed Burst Size,CBS),设置的突发
尺寸必须大于最大报文长度。
每到达一个报文就进行一次评估。每次评估,如果桶中有足够的令
牌可供使用,则说明流量控制在允许的范围内,此时要从桶中取走与报
文转发权限相当的令牌数量;否则说明已经耗费太多令牌,流量超标了。
流量监管
流量监管(Traffic Policing)的典型应用是监督进入网络的某一流量
的规格,把它限制在一个合理的范围之内,或对超出的部分流量进行“惩
罚”,以保护网络资源和运营商的利益,例如可以限制 HTTP 报文不能
占用超过 50%的网络带宽。如果发现某个连接的流量超标,流量监管可
以选择丢弃报文,或重新设置报文的优先级。
流量监管的一个实例是 TP(Traffic Policing,流量策略),它广泛地
用于监管进入因特网服务提供商 ISP 的网络流量(由于 TP 很有名,它
几乎成了流量监管的代名词)。TP 还包括对所监管流量的流分类服务,
并依据不同的评估结果,实施预先设定好的监管动作。这些动作可以是:
转发:比如对评估结果为“符合”的报文继续正常转发的处理,也可
以为 Diff-Serv 提供代为标记 DSCP 的服务再转发。
丢弃:比如对评估结果为“不符合”的报文进行丢弃。
改变优先级并转发:比如对评估结果为“部分符合”的报文,将之标
记为其它的优先级后再进行转发。
进入下一级的监管:流量监管可以逐级堆叠,每级关注和监管更具
体的目标。
流量整形
流量整形(Traffic Shaping)是一种主动调整流量输出速率的措施。
一个典型应用是基于下游网络结点的 TP 指标来控制本地流量的输出。
流量整形与流量监管的主要区别在于,流量整形对流量监管中需要
丢弃的报文进行缓存——通常是将它们放入缓冲区或队列内,也称流量
整形(Traffic Shaping,简称 TS),如图 2-2 所示,当令牌桶有足够的令
牌时,再均匀的向外发送这些被缓存的报文。流量整形与流量监管的另
一区别是,整形可能会增加延迟,而监管几乎不引入额外的延迟。
例如,在下图所示的应用中,路由器 RouterA 向 RouterB 发送报文。
RouterB 要对 RouterA 发送来的报文进行 TP 监管,对超出规格的流量直
接丢弃。
IP QoS 有两种主要的体系结构,IntServ 模式和 DiffServ 模式,其
中 IntServ 对网络设备包括终端要求高,路由器难以维护大量的软状态
和控制流,可扩展性差,仅适合在小规模网络中使用,不适于在本次电
力调度数据网工程这种网上部署。DiffServ 对聚合的业务类提供 QoS 保
证,可扩展性好,便于在大规模网络中使用,也是目前应用最广泛的 QOS
技术。
拥塞管理
对于网络单元,当分组到达的速度大于该接口发送分组的速度时,
在该接口处就会产生拥塞。如果没有足够的存储空间来保存这些分组,
它们其中的一部分就会丢失。分组的丢失又可能会导致发送该分组的主
机或路由器因超时而重传此分组,这将导致恶性循环。
拥塞管理的中心内容就是当拥塞发生时如何制定一个资源的调度
策略,决定报文转发的处理次序。
对于拥塞管理,一般采用排队技术,使用一个队列算法对流量进行
分类,之后用某种优先级别算法将这些流量发送出去。每种队列算法都
是用以解决特定的网络流量问题,并对带宽资源的分配、延迟、延迟抖
动等有着十分重要的影响。
路由器提供三类队列:一类是紧急队列(urgent queue),链路层的
协议报文,比如 PPP 的协商报文和 Keepalive 报文等将进入这个队列,
紧急队列采用 FIFO 调度,没有带宽限制;一类是协议队列,IP 优先级
为 6 的报文将进入协议队列;最后一类是普通报文队列,根据接口上应
用的队列类型,可能是 FIFO、PQ、CQ 或 CBQ 等。当发生拥塞时,接
口首先发送紧急队列中的报文,然后是协议队列中的报文,最后发送普
通队列中的报文。
下面介绍几种普通报文队列常用的队列调度机制。
FIFO
如上图所示,FIFO 按照时间到达的先后决定分组的转发次序。用
户的业务流在某个路由器能够获得的资源取决于分组的到达时机及当
时的负载情况。Best-Effort 报文投递方式采用的就是 FIFO 的排队策略。
如果路由器的每个端口只有一个基于 FIFO 的输入或输出队列,那
么恶性的应用可能会占用所有的网络资源,严重影响关键业务数据的传
送。
每个队列内部报文的发送(次序)关系默认是 FIFO。
PQ 队列
PQ 队列是针对关键业务应用设计的。关键业务有一个重要的特点,
即在拥塞发生时要求优先获得服务以减小响应的延迟。PQ 可以根据网
络协议(比如 IP,IPX)、数据流入接口、报文长短、源地址/目的地址
等灵活地指定优先次序。 优先队列将报文分成 4 类,分别为高优先队
列(top)、中优先队列(middle)、正常优先队列(normal)和低优先队
列(bottom),它们的优先级依次降低。缺省情况下,缺省数据流进入
normal 队列。
在队列调度时,PQ 严格按照优先级从高到低的次序,优先发送较
高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级
队列中的分组。这样,将关键业务的分组放入较高优先级的队列,将非
关键业务的分组放入较低优先级的队列,可保证关键业务的分组被优先
传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送。
PQ 的缺点是如果较高优先级队列中长时间有分组存在,那么低优
先级队列中的报文将可能一直得不到服务。
CQ 队列
CQ 按照一定的规则将分组分成 17 类(对应于 17 个队列),分组根
据自己的类别按照先进先出的策略进入相应的 CQ 队列。
在 CQ 的 17 个队列中,0 号队列是系统队列(图中未画出),不可
配置;1 到 16 号队列是用户队列,如图所示。用户可以配置流分类的规
则,指定 16 个用户队列占用接口带宽的比例关系。在队列调度时,系
统队列中的分组被优先发送。直到系统队列为空,再采用轮询的方式按
照预先配置的带宽比例依次从 1 到 16 号用户队列中取出一定数量的分
组发送出去。这样,就可以使不同业务的分组获得不同的带宽,既可以
保证关键业务能获得较多的带宽,又不至于使非关键业务得不到带宽。
缺省情况下,缺省数据流进入 1 号队列。
定制队列的另一个优点是:可根据业务的繁忙程度分配带宽,适用
于对带宽有特殊需求的应用。虽然 16 个用户队列的调度是轮询进行的,
但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么
马上换到下一个队列调度。因此,当没有某些类别的报文时,CQ 调度
机制能自动增加现存类别的报文可占的带宽。
WFQ 队列
在介绍加权公平队列前,先要理解公平队列 FQ(Fair Queue)。FQ
是为了公平地分享网络资源,尽可能使所有流的迟延和延迟抖动达到最
优而推出的。它照顾了各方面的利益,主要表现在:
不同的队列获得公平的调度机会,从总体上均衡各个流的延迟。
短报文和长报文获得公平的调度:如果不同队列间同时存在多个长
报文和短报文等待发送,应当顾及短报文的利益,让短报文优先获得调
度,从而在总体上减少各个流的报文间的延迟抖动。
与FQ 相比,WFQ在计算报文调度次序时增加了优先权方面的考虑。
从统计上,WFQ 使高优先权的报文获得优先调度的机会多于低优先权
的报文。
WFQ 能够按流的“会话”信息(协议类型、源和目的 TCP 或 UDP 端
口号、源和目的 IP 地址、ToS 域中的优先级位等)自动进行流分类,并
且尽可能多地提供队列,以将每个流均匀地放入不同队列中,从而在总
体上均衡各个流的延迟。在出队的时候,WFQ 按流的优先级
(precedence)来分配每个流应占有出口的带宽。优先级的数值越小,
所得的带宽越少。优先级的数值越大,所得的带宽越多。
例如:接口中当前共有 5 个流,它们的优先级分别为 0、1、2、3、
4,则带宽总配额为:所有(流的优先级+1)的和。
即:1 + 2 + 3 + 4 + 5 = 15
每个流所占带宽比例为:(自己的优先级数 + 1)/(所有(流的优
先级 + 1)的和)。即每个流可得的带宽分别为:1/15,2/15,3/15,
4/15,5/15。
由于 WFQ 在拥塞发生时能均衡各个流的延迟和延迟抖动,所以
WFQ 在一些特殊场合得到了有效的应用。比如在使用资源预留协议
RSVP(Resource Reservation Protocol)的保证型业务中,通常就是采用
WFQ 作为调度策略;在流量整形 TS 中,也采用 WFQ 调度缓存的报文。
CBQ 队列
CBQ 是对 WFQ 功能的扩展,使用户可以定义类。CBQ 为每个用户
定义的类分配一个单独的 FIFO 预留队列,用来缓冲同一类的数据。
当网络发生拥塞时,CBQ 根据用户定义的类规则对输出报文进行匹
配,使其进入相应的队列。入队列之前必需进行拥塞避免机制(尾部丢
弃或 WRED,Weighted Random Early Detection,加权随机早期检测)和
带宽限制的检查。出队列时,加权公平调度每个类对应的队列中的报文。
如果 CBQ 加权公平对待所有类的队列,对延迟敏感的数据流就可
能得不到及时发送。为此,将 PQ 特性引入 CBQ,称为 LLQ(Low Latency
Queueing,低延迟队列),为语音报文这类延迟敏感数据流提供严格优
先发送服务。
LLQ 将严格优先队列机制与 CBQ 结合,从而达到既保证带宽,也
保证时延的目的。用户在定义类时可以指定其享受严格优先服务,这样
的类称作“优先类“。所有优先类的报文将进入同一个优先队列(LLQ),
在入队列之前需对各类报文进行带宽限制的检查。报文出队列时,将首
先发送优先队列中的报文,直到发送完后才发送其他类对应的队列的报
文。在发送其他队列报文时仍然按照加权公平的方式调度。
为了不使其他队列中的报文延迟时间过长,使用 LLQ 时,可以为
每个优先类指定可用最大带宽,用于发生拥塞时监管流量。如果未发生
拥塞,优先类允许使用超过分配的带宽。如果发生拥塞,优先类超过分
配带宽的数据包将被丢弃。LLQ 还可以指定 Burst-size。LLQ 的配置使
用命令 qos ef bandwidth,在 CBQ 的配置部分介绍。
系统在为报文匹配规则时,总是先匹配优先类,然后再匹配其他类,
对多个优先类,按照配置顺序逐一匹配,对其他类,也是按照配置顺序
逐一匹配,对类中多个规则,按照配置顺序逐一匹配。
RTPQ 队列
RTP 优先队列是一种解决实时业务(包括语音与视频业务)服务质
量的简单的队列技术。通过将承载语音或视频的 RTP 报文送入高优先级
队列,使其得到优先发送,从而保证了语音或视频这种对时延敏感业务
的服务质量。
RTP 报文是端口号在一定范围内为偶数的 UDP 报文,端口号范围
可以配置。RTP 优先队列可以同任何一种队列(包括 FIFO、PQ、CQ、
WFQ 与 CBQ)结合使用,并具有最高优先级。由于 CBQ 中的 LLQ 也
可解决实时业务,所以一般不推荐将 RTP 优先队列与 CBQ 结合应用。
拥塞避免
过度的拥塞会对网络资源造成极大危害,必须采取某种措施加以解
除。这里所说的拥塞避免(Congestion Avoidance),是指通过监视网络
资源(如队列或内存缓冲区)的使用情况,在拥塞有加剧的趋势时,主
动丢弃报文,通过调整网络的流量来解除网络过载的一种流控机制。
与端到端的流控相比,这里的流控有更广泛的意义,它影响到路由
器中更多的业务流的负载。当然,路由器在丢弃报文时,并不排斥与源
端的流控动作比如 TCP 流控的配合,更好地调整网络的流量到一个合理
的负载状态。好的丢包策略和源端流控机制的组合,总是追求网络的吞
吐量和利用效率最大化,并且使报文丢弃和延迟最小化。
1、传统的丢包策略
传统的丢包策略采用尾部丢弃(Tail-Drop)的方法。当队列的长度
达到某一最大值后,所有新到来的报文都将被丢弃。
这种丢弃策略会引发 TCP 全局同步现象——当队列同时丢弃多个
TCP 连接的报文时,将造成多个 TCP 连接同时进入拥塞避免和慢启动
状态以降低并调整流量,而后又会在某个时间同时出现流量高峰,如此
反复,使网络流量忽大忽小。
2、RED 与 WRED
为避免 TCP 全局同步现象,可使用 RED(Random Early Detection,
随机早期检测)或 WRED(Weighted Random Early Detection,加权随机
早期检测)。
在 RED 类算法中,为每个队列都设定一对低限和高限值,并规定:
当队列的长度小于低限时,不丢弃报文。
当队列的长度超过高限时,丢弃所有到来的报文。
当队列的长度在低限和高限之间时,开始随机丢弃到来的报文。方
法是为每个到来的报文赋予一随机数,并用该随机数与当前队列的丢弃
概率比较,如果大于丢弃概率则被丢弃。队列越长,丢弃概率越高——
但有一个最大丢弃概率。
与 RED 不同,WRED 生成的随机数是基于优先权的,它引入 IP 优
选权区别丢弃策略,考虑了高优先权报文的利益并使其被丢弃的概率相
对较小。
RED 和 WRED 通过随机丢弃报文避免了 TCP 的全局同步现象——
当某个 TCP 连接的报文被丢弃,开始减速发送的时候,其他的 TCP 连
接仍然有较高的发送速度。这样,无论什么时候,总有 TCP 连接在进行
较快的发送,提高了线路带宽的利用率。
直接采用队列的长度和低限、高限比较并进行丢弃(这是设置队列
门限的绝对长度),将会对突发性的数据流造成不公正的待遇,不利于
数据流的传输。所以,在和低限、高限比较并进行丢弃时,采用队列的
平均长度(这是设置队列门限与平均长度比较的相对值)。队列的平均
长度是队列长度被低通滤波后的结果。它既反映了队列的变化趋势,又
对队列长度的突发变化不敏感,避免了对突发性数据流的不公正待遇。
当队列机制采用 WFQ 时,可以为不同优先级(precedence)的报文
设定不同的队列长度滤波系数、上限、下限、丢弃概率,从而对不同优
先级的报文提供不同的丢弃特性。
当队列机制采用 FIFO、PQ、CQ 时,可以为每个队列设定不同的队
列长度滤波系数、低限、高限、丢弃概率,为不同类别的报文提供不同
的丢弃特性。
WRED 和队列机制的关系如下图所示。
WRED 和队列机制关系示意图
当 WRED 和 WFQ 配合使用时,可以实现基于流的 WRED。这是因
为,在进行分类的时候,不同的流有自己的队列,对于流量小的流,由
于其队列长度总是比较小,所以丢弃的概率将比较小。而流量大的流将
会有较大的队列长度,从而丢弃较多的报文,保护了流量较小的流的利
益。
主要设备介绍
数据中心服务器联想 ThinkServer RD630
产品概述:
联想最新发布的 ThinkServer RD630 双路机架式服务器,作为
ThinkServer 全新品牌发布后推出的第一款明星产品,延承 Think 家族可
靠品质、创新引领、全程关怀三大 DNA,在高标准满足行业用户稳定、
安全、性能需求的同时,以高能效比为行业用户降低能源消耗,并满足
其对于 IT 平台稳定性、安全性以及性能的高要求,稳定承载关键业务
应用。
对于很多大型企业而言,能耗是 IT 运行中的一项重大成本,
有时甚至超过 IT 硬件本身的成本,而对于企业数据中心而言,其 40%
的能耗被服务器所消耗。因此,服务器的能耗问题已引发越来越多企业
用户的关注。
产品参数:
�规格:19 英寸工业标准 2U 机架式服务器
�处理器:2 颗 Intel Xeon X5650 六核 处理器(6 核/ )
�内存:96GB PC3-10600 CL9 ECC DDR3 1333Mhz LP RDIMM 内
存,20 条内存扩展插槽,≥640GB 内存扩展,可支持高级 Chipkill 内存
保护功能, 内存镜像
�硬盘:2 块 200GB 热插拔 SSD 硬盘,支持 8 个 寸或 16 个
寸 SAS 硬盘扩展(非外挂存储),可支持 SSD 硬盘扩展
�RAID 功能:SAS RAID 卡,支持 0,1,5,6,10,50,60 等 RAID 级别,
512MB 缓存,带电池保护
�网卡:≥3 个 Intel 千兆网卡,支持 iSCSI 连接,支持虚拟化技术
配件:DVD-RW 光驱,机架安装导轨
�电源:电源输出功率≥800W 80+金牌电源,1+1 冗余电源,支持
PMBus
�配置 8Gb FC HBA 卡 2 个
I/O 扩展:扩展槽≥2 个 PCI-E , ≥3 个 PCI-E ,8 个 USB
接口(2 前 4 后 2 内置),1 个串口,2 个 VGA 接口
�服务器管理:支持 IPMI ,B/S 架构;主板集成管理控制器,可通
过网络或串口访问,兼容 IPMI 行业标准;允许用户独立于操作系统状
态之外远程访问、监控、维修、修复和升级服务器;管理软件:通过单
一管理界面即可完成管理任务。采用基于网页的界面,该界面通过符合
行业标准的 SSL 协议传输加密数据;支持 SSL 虚拟介质连接;可与动
态目录(Active Directory)集成。可一站式地完成操作系统的部署,包
括内建驱动程序安装、固件更新、硬件配置和问题诊断
系统部署:提供服务器操作系统安装导航软件,能够实现操作系统
无人值守安装,自动检测硬件系统,安装驱动程序;自动监测 RAID 配
置,能在导航软件操作界面完成 RAID 配置;支持系统克隆,系统恢复
时,能保留用户需要的非操作系统数据
固件升级工具:提供固件升级工具,可由用户选择手动升级固件,
自动实现服务器内包括 BIOS、BMC、RAID 卡和 RDX 磁带机底层代码
的固件升级;在服务器启动时,固件升级工具能自动监测和显示需要支
持的固件列表,用户可选是否升级
�软件:64 位 Linux 操作系统,安装 VMware vSphere ESXi 5,带
VMware vCenter 管理中心,支持集群和应用系统实时迁移;
故障定位:标配前置故障诊断模块,可实现对 CPU/内存/硬盘/网卡
/风扇/温度/电源等关键部件的故障诊断
�服务:原厂商三年免费保修服务,硬盘故障免回收服务
日志服务器联想 ThinkServer RD630
产品概述:
联想最新发布的 ThinkServer RD630 双路机架式服务器,作为
ThinkServer 全新品牌发布后推出的第一款明星产品,延承 Think 家族可
靠品质、创新引领、全程关怀三大 DNA,在高标准满足行业用户稳定、
安全、性能需求的同时,以高能效比为行业用户降低能源消耗,并满足
其对于 IT 平台稳定性、安全性以及性能的高要求,稳定承载关键业务
应用。
对于很多大型企业而言,能耗是 IT 运行中的一项重大成本,
有时甚至超过 IT 硬件本身的成本,而对于企业数据中心而言,其 40%
的能耗被服务器所消耗。因此,服务器的能耗问题已引发越来越多企业
用户的关注。
产品参数:
�规格:19 英寸工业标准 2U 机架式服务器
�处理器:1 颗 Intel Xeon E5606 四核 处理器(4 核/ )
�内存:4GB PC3-10600 CL9 ECC DDR3 1333Mhz LP RDIMM 内
存,20 条内存扩展插槽,≥640GB 内存扩展,可支持高级 Chipkill 内存
保护功能, 内存镜像
�硬盘:500GB 热插拔 SAS 硬盘,支持 8 个 寸或 16 个 寸 SAS
硬盘扩展(非外挂存储),可支持 SSD 硬盘扩展
�RAID 功能:SAS RAID 卡,支持 0,1,5 等 RAID 级别
�网卡:≥3 个 Intel 千兆网卡,支持 iSCSI 连接,支持虚拟化技术
配件:DVD-RW 光驱,机架安装导轨
�电源:电源输出功率≥800W 80+金牌电源,支持 PMBus
�配置 8Gb FC HBA 卡 2 个
I/O 扩展:扩展槽≥2 个 PCI-E , ≥3 个 PCI-E ,8 个 USB
接口(2 前 4 后 2 内置),1 个串口,2 个 VGA 接口
�服务器管理:支持 IPMI ,B/S 架构;主板集成管理控制器,可通
过网络或串口访问,兼容 IPMI 行业标准;允许用户独立于操作系统状
态之外远程访问、监控、维修、修复和升级服务器;管理软件:通过单
一管理界面即可完成管理任务。采用基于网页的界面,该界面通过符合
行业标准的 SSL 协议传输加密数据;支持 SSL 虚拟介质连接;可与动
态目录(Active Directory)集成。可一站式地完成操作系统的部署,包
括内建驱动程序安装、固件更新、硬件配置和问题诊断
系统部署:提供服务器操作系统安装导航软件,能够实现操作系统
无人值守安装,自动检测硬件系统,安装驱动程序;自动监测 RAID 配
置,能在导航软件操作界面完成 RAID 配置;支持系统克隆,系统恢复
时,能保留用户需要的非操作系统数据
固件升级工具:提供固件升级工具,可由用户选择手动升级固件,
自动实现服务器内包括 BIOS、BMC、RAID 卡和 RDX 磁带机底层代码
的固件升级;在服务器启动时,固件升级工具能自动监测和显示需要支
持的固件列表,用户可选是否升级
�软件:64 位 Linux 操作系统,安装 VMware vSphere ESXi 5,带
VMware vCenter 管理中心,支持集群和应用系统实时迁移;
故障定位:标配前置故障诊断模块,可实现对 CPU/内存/硬盘/网卡
/风扇/温度/电源等关键部件的故障诊断
�服务:原厂商三年免费保修服务,硬盘故障免回收服务
数据中心主存储联想 SureSAS112
产品参数:
�外型:2U 高度 12 盘位,冗余电源、冗余风扇
�控制器: RISC 存储专用处理器,整合 XOR 引擎,本次配
置双控制器(4GB 缓存/4 个 8GBFC 端口)
�缓存:本次双控制器 4GB 缓存,含电池保护模块(BBU),支持缓存
数据的掉电保护,瞬间将缓存中数据转移至非易失数据存储介质,数据保
护无时效限制,可永久保存
�RAID:独立硬件 XOR,支持硬件 RAID0, 1,3, 5,6,10,50
�容量:本次配置 6 块 600GB 15000 转 SAS 热插拔硬盘和 8 块 3TB
7200 转 SATA 热插拔硬盘,含扩展柜单元
�扩展性:系统最大可支持 96 颗磁盘驱动器,支持不同类型硬盘混
插
�管理:含 Windows 和 Linux 客户端 Storage Manager 存储管理软件,
支持 GUI、CLI 等多种管理方式
�软件功能:支持最大 256 个逻辑卷;最大支持 32 个系统分区;可
选支持快照,最高达到 1000 个快照卷;可选支持卷复制功能,最高达到
128 个卷拷贝
�相关配件:机架安装导轨,含电源线
�服务及授权:原厂三年免费现场服务,提供原厂首次上门安装服
务
风扇和电源:双冗余、热插拔;最大缓存突发读 I/O 速率 264,000 IOPS
数据中心 NAS 备份存储联想 ThinkServer
RD430
产品概述:
ThinkServer RD430新一代两路机架式服务器,传承Think品质基因,
凭借 36TB 的高存储密度,灵活的扩展能力,以及低投入高回报等特点
打造的企业级存储优化服务器。
产品参数:
规格:19 英寸工业标准 2U 机架式服务器
处理器:1 颗 Intel Xeon E5607(4 核/)
内存:8GB R-ECC 1333 DDR3 内存,12 条扩展插槽
硬盘:8 块 3TB 热插拔 寸 SATA 硬盘,支持 12 个 寸或 16
个 寸 SAS/SATA 硬盘扩展,可支持 SSD 硬盘扩展
RAID 功能:集成或外插 SAS/SATA 6Gb/s RAID 卡,支持
0,1,5,6,10,50 等 RAID 级别;
网卡:3 个 Intel 千兆网卡,支持 iSCSI 连接,支持虚拟化技术
配件:DVD-RW 光驱,USB 键盘鼠标,机架安装导轨
电源:电源输出功率 800W 80+金牌电源,1+1 冗余电源,支持 PMBus
冷却系统:支持 4 个冗余热插拔系统风扇
I/O 扩展:扩展槽≥1 个 PCI-E , ≥4 个 PCI-E ,8 个 USB
接口,1 个串口,2 个 VGA 接口
管理:含 Windows 和 Linux 客户端 Storage Manager 存储管理软件,支
持 GUI、CLI 等多种管理方式
故障定位:标配前置故障诊断模块,可实现对 CPU/内存/硬盘/网卡
/风扇/温度/电源等关键部件的故障诊断
服务:原厂商 3 年保修,原厂上架安装或系统安装服务
核心交换机 H3C S7510E
产品概述:
H3C S7500E 系列产品是杭州华三通信技术有限公司(以下简称
H3C 公司)面向融合业务网络的高端多业务路由交换机,该产品基于
H3C 自主知识产权的 Comware V5 操作系统,以 IRF2(Intelligent
Resilient Framework 2,第二代智能弹性架构)技术为系统基石的虚拟化
软件系统,进一步融合 MPLS VPN、IPv6、网络安全、无线、无源光网
络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保
护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正
常运行时间,从而降低了客户的总拥有成本(TCO)。H3C S7500E 符合“限
制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
H3C S7500E 系列包括 S7510E(12 槽)。
产品特点:
H3C S7500E 面向数据中心技术的演进,推出了 IRF2 为代表的软件
虚拟化技术,提供多台主机的协同工作、统一管理和不间断维护功能;
IRF2 不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于
传统企业网应用,IRF2 所提供的高可靠性和无缝升级、扩展能力,也成
为 H3C 用户增值服务的重要组成部分。
H3C S7500E 所有产品均支持 Multi-VRF 特性,可以作为 MCE 设备
使用;支持三层的 MPLS VPN 和二层的 MPLS VPN(Martini、
Kompella);支持 MPLS OAM 特性,方便用户的管理和维护;与 H3C
MPLS VPN Manager 配合,实现图形化的 MPLS 部署与维护。
全面支持 VPLS,VLL,支持 1K VPLS 实例,4K VLL,还支持分
层 VPLS 以及 QINQ+VPLS 接入方式,提供端到端 2 层 VPN 接入方案,
支持 MPLS/VPLS 全线速转发,满足 VPLS 规模部署要求。
H3C S7500E 系列产品支持强大的 ACL 能力:支持标准和扩展
ACL;支持基于 VLAN 的 ACL,方便用户配置,节省 ACL 资源;支持
出方向和入方向的 ACL,满足金融等行业访问权限严格控制的需求。
产品规格:
属 性 S7510E S7506E
S7506E
-V
S7506E-
S
S7503E S7503E-S S7502E
整机交换
容量
1152G/768
Gbps
768Gbps 768Gbps 384Gbps 480Gbps 288Gbps 192Gbps
背板容量 ≥ ≥ ≥ ≥ ≥1Tbps
≥600Gbp
s
≥400Gbp
s
IPv4 包转
发率
780M/492
Mpps
492Mpps 492Mpps 288Mpps
276Mpp
s
180Mpps 144Mpps
槽位数量 12 8
8(垂直
插槽)
8 5 3 4
业务槽位
数量
10 6 6 6 3 2 2
冗余设计
电源、主控
冗余
电源、主
控冗余
电源、主
控冗余
电源、主
控冗余
电源、主
控冗余
电源、单
主控
电源、主
控冗余
二层特性
支持 IEEE (CoS 优先级)
支持 IEEE (VLAN)
支持 IEEE (STP)/(RSTP)/(MSTP)
支持 IEEE (QinQ),灵活 QinQ 和 Vlan mapping
支持 IEEE (全双工流控)和背压式流控(半双工)
支持 IEEE (链路聚合)和跨板链路聚合
支持 IEEE (10Base-T)/(100Base-T)
支持 IEEE (1000BASE-X)/(1000BaseT)
支持 IEEE (10Gbase)
支持 IEEE (PoE)
支持 IEEE (PoE+)
支持 RRPP(快速环网保护协议)
支持跨板端口/流镜像
支持端口广播/多播/未知单播风暴抑制
支持 Jumbo Frame
支持基于端口、协议、子网和 MAC 的 VLAN 划分
支持 SuperVLAN
支持 PVLAN
支持 Multicast VLAN+
支持点到点 单 VLAN 交叉连接、双 VLAN 交叉连接
全部依靠 VLAN-ID 进行转发,不涉及 MAC 地址学习
支持最大 VLAN MAPING/灵活 QinQ 表项
全面支持 1:1, 2:1,1:2, 2:2 VLAN MAPPING 能力
支持 GVRP
支持 LLDP
IPv4 路由
特性
支持 ARP Proxy
支持 DHCP Relay
支持 DHCP Server
支持静态路由
支持 RIPv1/v2
支持 OSPFv2
支持 IS-IS
支持 BGPv4
支持 OSPF/IS-IS/BGP GR (Graceful Restart 优雅重启)
支持等价路由
支持策略路由
支持路由策略
IPv6 路由
特性
支持 ICMPv6
支持 ICMPv6 重定向
支持 DHCPv6
支持 ACLv6
支持 OSPFv3
支持 RIPng
支持 BGP4+
支持 IS-ISv6
支持手工隧道
支持 ISATAP
支持 6to4 隧道
支持 IPv6 和 IPv4 双栈
组播
支持 IGMPv1/v2/v3
支持 IGMPv1/v2/v3 Snooping
支持 IGMP Filter
支持 IGMP Fast leave
支持 PIM-SM/PIM-DM/PIM-SSM
支持 MSDP
支持 AnyCast-RP
支持 MLDv2/MLDv2 Snooping
支持 PIM-SMv6、PIM-DMv6、PIM-SSMv6
ACL/QoS
每单板最大支持 16K ACL
支持标准和扩展 ACL
支持基于 VLAN 的 ACL
支持 Ingress/Egress ACL
支持 Ingress/Egress CAR,粒度可达 8Kbps
支持两级 Meter 能力
支持 VLAN 聚合 CAR,MAC 聚合 CAR 功能
支持流量整形(Traffic Shaping)
支持 优先级 Mark/Remark
支持层次化 QoS(H-QoS),支持三级队列调度
支持队列调度机制,包括 SP、WRR、SP+WRR、CBWFQ
支持每端口 8 队列
支持拥塞避免机制,包括 Tail-Drop、WRED
支持 N:2 Mirroring
MPLS/VP
LS
支持 L3 MPLS VPN
支持 L2 VPN: VLL (Martini, Kompella)
支持 MCE
支持 MPLS OAM
支持 VPLS,VLL
支持分层 VPLS,以及 QinQ+VPLS 接入
支持 P/PE 功能
支持 LDP 协议
安全机制
支持 EAD 安全解决方案
支持 Portal 认证
支持 MAC 认证
支持 IEEE 和 IEEE SERVER
支持 AAA/Radius
支持 HWTACACS,支持命令行认证
支持
支持 ACL 流过滤机制
支持 OSPF、RIPv2 及 BGPv4 报文的明文及 MD5 密文认证
支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有
不同的配置权限
支持受限的 IP 地址的 Telnet 的登录和口令机制
支持 IP 地址、VLAN ID、MAC 地址和端口等多种组合绑定
支持 uRPF
支持主备数据备份机制
支持故障后报警和自恢复
支持数据日志
系统管理
支持、Xmodem
支持 SNMP v1/v2/v3
支持 sFlow 流量统计
支持 RMON
支持 NTP 时钟
支持 NetStream 流量统计功能
可靠性
支持主控板 1+1 冗余备份
支持电源 1+1 冗余备份
采用无源背板设计
所有单板支持热插拔
支持 VRRP
支持 Ethernet OAM( 和 )
支持 MAC Tracert
支持 RRPP
支持 Graceful Restart for OSPF/BGP/IS-IS
支持 DLDP
支持 VCT
支持 Smart-Link
支持热补丁
环境要求
温度范围:0�~45�
相对湿度:10%~95%(非凝结)
安规和
EMC 认证
通过了 CE、FCC PART 15、TUV-GS、UL-CUL、ICES003 和 VCCI 的认证
电源
DC:–48V~–60V
AC: 100V~240V
POE 电源 支持内置 PoE 电源(S7506E-S 不支持)
外形尺寸
(宽×高×
深)(mm)
436x 708 x
420
436 x 575
x 420
436 x 930
x 420
436x 575
x 420
436 x
441 x
420
436 x 175
x 420
436 x 175
x 420
满配重量
(kg)
≤96kg ≤77kg ≤94kg ≤77kg ≤63kg ≤27kg ≤27kg
骨干交换机 H3C S5800-32C
产品概述:
H3C S5800 系列交换机是 H3C 公司自主开发的下一代数据中心级
万兆以太网交换产品。分为 S5800、S5810 和 S5820X 三个子系列,为
数据中心提供丰富的服务器接入方案。也可以用于园区网的汇聚层或接
入层以及中小企业核心。
S5800系列支持H3C创新的 IRF2(Intelligent Resilient Framework 2,
第二代智能弹性架构)技术,用户可以将多台 S5800 交换机连接,形成
一个逻辑上的独立实体,从而构建具备高可靠性、易扩展性和易管理性
的新型智能网络。
产品特点:
随着用户端带宽不断提高,服务器万兆网卡的应用越来越广泛,
交换机需要提供更高的转发性能和万兆端口扩展能力。H3C S5800
系列交换机支持业内最高的万兆端口密度,单台设备可以按需扩展
至最多 24 个全线速转发的万兆端口。此外,该系列产品还可以提
供灵活的千兆接入端口,可以提供 16 个千兆光接口或者电接口扩
展模块,单台设备可以按需扩展至最多 84 个全线速转发的千兆端
口,满足大型网络汇聚或中小网络核心对于光电混合配置的要求。
针对于数据中心大流量数据无阻塞传输的要求,H3C S5800 系列可
以提供强大的缓存能力,并且支持先进的缓存调度机制可以保证设备缓
存能力有效利用的最大化。
H3C S5800 系列交换机支持丰富的管理接口,例如 Console、带外
网口、USB 口,支持 SNMPv1/v2/v3,支持 Open View 等通用网管平台
以及 iMC 智能管理中心。支持 CLI 命令行,Web 网管,TELNET,集群
管理,使设备管理更方便,并且支持 、SSL 等加密方式,使得管
理更加安全。
H3C S5800 系列交换机支持 NetStream 功能,以及
SPAN/RSPAN/ERSPAN 镜像和多个镜像观察端口,可以对网络流量进
行分析以采取相应管理维护措施,使原本不可见的网络业务应用流量变
得一目了然,可以为用户提供多种网流分析报表,帮助用户及时优化网
络结构,调整资源部署。
产品规格:
项目 S5800-60C-PWR S5800-56C S5800-56C-PWR S5800-32C S5800-32C-PWR S5800-32F
外形尺
寸(长×
宽×高)
(单位:
mm)
440×465× 440×367× 440×427× 440×367× 440×427×
441×427
×
重量 � 18kg � � � � 8kg �
管理端
口
1 个 Console 口 1 个 Console 口 1 个 Console 口 1 个 Console 口 1 个 Console 口
1 个 Console
口
1 个带外网
管口
USB 接
口
1 个 1 个 1 个 1 个 1 个 1 个
固定业
务端口
48 个 10/100/1000
Base-T 以太网端
口(PoE),4 个
100/1000M SFP 端
口,
48 个
10/100/1000
Base-T 以太网
端口,4 个 1/10G
SFP+端口
48 个 10/100/1000
Base-T 以太网端
口(PoE),4 个
1/10G SFP+端口
24 个
10/100/1000
Base-T 以太网
端口,4 个 1/10G
SFP+端口
24 个 10/100/1000
Base-T 以太网端
口(PoE),4 个
1/10G SFP+端口
24 个
100/1000M
SFP 端口,4
个 1/10G
SFP+端口
以太网
端口扩
展插槽
2 个(前面板) 1 个(后面板) 1 个(后面板) 1 个(后面板) 1 个(后面板) 1个(前面板)
以太网
端口扩
展模块
类型
4 端口 1G/10G SFP+接口模块
2 端口 1G/10G SFP+接口模块
16 端口 10/100/1000MBase-T 电口模块
16 端口 100/1000M SFP 端口模块
无线控制业务板(小规格)
项目 S5800-60C-PWR S5800-56C S5800-56C-PWR S5800-32C S5800-32C-PWR S5800-32F
OAA
模块类
型
防火墙模块
IPS 模块
无线控制业务板
(大规格)
无
交
流
额定电压范围:100V~240V AC,50/60Hz
最大电压范围:90V~264V AC,47/63Hz
输
入
电
压
直
流
额定电压范围:
300W DC:-48V~
-60V DC
750W DC:
-54V~-57V DC
额定电压范围
(RPS):
~
DC
额定电压范围
(RPS):
-52V~-55V DC
额定电压范围
(RPS):
~
DC
额定电压范围(RPS):
-52V~-55V DC
额定电压范
围:
-48V~-60V
DC
功耗
(空载)
DC:94W
AC:96W
102W
DC:107W
AC:131W
67W
DC:64W
AC:85W
DC:58W
AC:67W
功耗
(满载)
单 DC:1840W
(其中 1500W 为
PoE 输出)
双 DC:1840W
(其中 1500W 为
PoE 输出)
单 AC:714W(其
中 425W 为 PoE 输
出)
双 AC:1147W
(其中 740W 为
PoE 输出)
163W
DC:973W(其中
740W 为 PoE 输出)
AC:673W(其中
370W 为 PoE 输出)
105W
DC:870W(其中
740W 为 PoE 输出)
AC:598W(其中
370W为PoE输出)
DC:136W
AC:146W
工作环
境温度
0�~50�
工作环
境相对
湿度
(非凝
露)
10%~90%
交换容
量
360Gbps
项目 S5800-60C-PWR S5800-56C S5800-56C-PWR S5800-32C S5800-32C-PWR S5800-32F
包转发
率(整
机)
198Mpps 192Mpps 192Mpps 156Mpps 156Mpps 156Mpps
S5800/S5820X 系列业务特性
支持特性 S5800 系列 S5820X 系列
转发模式 store-forward 模式 store-forward 模式,cut through 模式
链路聚合
支持 GE 端口、10GE 端口聚合
支持静态聚合、动态聚合
流量控制 支持 流量控制,支持 back pressure
Jumbo Frame 支持
MAC 地址表
支持 32K 个 MAC 地址
支持黑洞 MAC 地址
支持设置端口 MAC 地址学习最大个数
VLAN
支持基于端口、协议、MAC、IP 子网的 VLAN(4094 个)
支持 QinQ 和灵活 QinQ
支持 Voice VLAN
VLAN Mapping
支持 1:1 VLAN Mapping
支持 N:1 VLAN Mapping
支持 2:2 VLAN Mapping
DHCP
支持 DHCP Client
支持 DHCP Snooping
支持 DHCP Relay
支持 DHCP Server
IRF2
智能弹性架构
支持 IRF2 智能弹性架构
支持分布式设备管理,分布式链路聚合,分布式弹性路由
支持通过标准以太网接口进行堆叠
支持本地堆叠和远程堆叠
支持特性 S5800 系列 S5820X 系列
IPv4 路由
支持静态路由、RIP,OSPFv2,BGP,ISIS
支持等价路由,路由策略,VRRP,策略路由
IPv6 路由
支持静态路由、RIPng,OSPFv3,BGP4+ for IPV6,ISISv6
支持等价路由,路由策略,VRRP,策略路由
URPF 支持反向路由检查
MCE 支持
BFD OSPF,BGP,IS-IS,Static Route
IPv6 over IPv4
Tunnel
支持 IPv6 手动隧道,6to4 隧道,ISATAP 隧道,GRE 隧道
IPv4 组播
支持 IGMP Snooping
支持 IGMP v1/v2/v3
支持 PIM-DM/SM/SSM
支持 MSDP、MBGP
支持组播 VLAN、组播 VLAN+
IPv6 组播
支持 MLD Snooping v1/v2
支持 MLD v1/v2
支持 PIM-DM/SM/SSM for IPV6
支持 MBGP for IPv6
支持 IPv6 组播 VLAN、IPv6 组播 VLAN+
广播/组播/单播
风暴抑制
支持基于端口速率百分比的风暴抑制
支持基于 PPS 的风暴抑制
支持基于 kbps 的风暴抑制
MSTP
支持 STP/RSTP/MSTP 协议
支持 STP Root Guard、BPDU Guard
RRPP 支持 RRPP 协议及 RRPP 多实例
Smart link 和
Monitor link
支持 Smart link 及 Smart link 多实例
支持 Monitor link
QoS/ACL
支持 L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源 MAC 地址、目的 MAC
地址、源 IP(IPv4/IPv6)地址、目的 IP(IPv4/IPv6)地址、端口、协议、VLAN 的流分
支持特性 S5800 系列 S5820X 系列
类
支持时间段(Time Range)的包过滤
支持大容量双向 ACL
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
每个端口支持 8 个输出队列
支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持 SP、WDRR、
WFQ、SP+WDRR 四种模式
支持报文的 和 DSCP 优先级重新标记
支持 WRED 拥塞避免机制
镜像
支持 N:1 的端口镜像和流镜像
支持多个镜像观察口
支持端口的远程镜像(RSPAN)
支持增强型端口的远程镜像(ERSPAN)
安全特性
支持用户分级管理和口令保护
支持 AAA 认证、RADIUS 认证
支持 MAC 地址认证、 认证、portal 认证
支持 HWTACACS
支持 SSH
支持 IP+MAC+端口绑
定
支持 IP Source Guard
支持 HTTPs、SSL
支持 PKI(Public Key Infrastructure,公钥基础设施)
支持特性 S5800 系列 S5820X 系列
支持 EAD
支持 ARP Detection 功能(能够根据 DHCP Snooping 安全表项、 表项,或
IP/MAC 静态绑定表项进行检查)
可支持 DHCP Snooping,防止欺骗的 DHCP 服务器
支持 BPDU guard, Root guard
支持 OSPF、RIPv2 报文的明文及 MD5 密文认证。
OAA
防火墙卡
IPS 卡
无线控制业务板
流量管理 支持 NetStream(仅 S5800 系列支持)
加载与升级 支持 XModem 协议、实现加载升级
管理
支持命令行接口(CLI)、Telnet、Console 口进行配置
支持 SNMPv1/v2/v3
支持 RMON (Remote Monitoring)告警、事件、历史记录
支持 Imc 网管系统、支持 WEB 网管
支持系统日志、分级告警
支持集群管理 HGMPv2
支持电源的告警功能
支持风扇、温度告警
维护
支持 Ping、Tracert、NQA、Track
支持虚拟电缆检测(Virtual Cable Test)、DLDP
支持 、支持
支持 USB 进行文件上传和下载
汇聚交换机 H3C S5120-24P-EI
产品概述:
H3C S5120-EI 系列交换机是 H3C 公司自主开发的全千兆三层以太
网交换机产品,具备丰富的业务特性,提供 IPv6 转发功能以及最多 4
个 10GE 扩展接口。通过 H3C 特有的 IRF(智能弹性架构)功能,用户
能够简化对网络的管理。S5120-EI 系列千兆以太网交换机定位为企业网
千兆接入,同时还可以用于数据中心服务器群的连接。
产品特点:
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,
而能够拥有多条 10GE 链路将是我们的未来发展方向。S5120-EI 系列交
换机支持两个扩展槽位,每个槽位支持单端口或双端口的 10GE 扩展模
块,在实现千兆汇聚或接入时保留进一步支持 10GE 的扩展能力,尽力
保护用户投资。
S5120-EI 系列支持 IPv4 和 IPv6 的三层路由功能,并可以实现基于
硬件的 IPv4 和 IPv6 的全线速转发。同时支持 IPv6 的 ACL、QoS、组播
和网管,实现 IPv4 到 IPv6 的平滑升级。
H3C S5120-EI 系列交换机支持 EAD(端点准入防御)功能,配合
后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、
访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络
接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为
主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升
了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3C S5120-EI 系列交换机支持对试图接入网络的用户进行
认证。可以在交换机上对 客户端的版本和有效性进行验证,防止
非法用户登录网络。支持集中式 MAC 地址认证,可以基于端口和 MAC
地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任
何客户端软件,而且可以同时运行 认证和基于 MAC 地址认证。
提供 Guest Vlan 功能,使得为被授权的访问端只能接入访问特定的资源,
并且会采取相应的策略,例如可以获得 客户端、升级客户端或者
获得其他的升级程序等等。支持 Secure Shell V2(SSH V2)特性可以提
供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如 IP
地址欺诈、明文密码截取等等攻击。
产品规格:
支 持 特
性
S5120-24P-EI
S5120-48P-
EI
S5120-28C
-EI
S5120-52C
-EI
S5120-28C-P
WR-EI
S5120-52C-P
WR-EI
交 换 容
量
192Gbps 240Gbps 192Gbps 240Gbps 192Gbps 240Gbps
包 转 发
率
36Mpps 72Mpps 96Mpps 132Mpps 96Mpps 132Mpps
外 形 尺
寸(长×
宽×高)
(单位:
mm)
440×300×
440×300×4
440×300×4
440×300×4
440×420 × 440×420 ×
重量 6kg
管 理 端
口
1 个 Console 口
固 定 端
口
24 个
10/100/1000Ba
se-T 以太网端
口
4 个 复 用 的
1000Base-X 千
兆 SFP 端口
48 个
10/100/100
0 Base-T 以
太网端口
4 个 复 用
的
1000Base-
X 千兆 SFP
端口
24 个
10/100/100
0 Base-T 以
太网端口
4 个 复 用
的
1000Base-
X 千兆 SFP
端口
48 个
10/100/100
0 Base-T 以
太网端口
4 个 复 用
的
1000Base-
X 千兆 SFP
端口
24 个
10/100/1000
Base-T 以太网
端口(PoE)
4 个 复 用 的
1000Base-X 千
兆 SFP 端口
48 个
10/100/1000
Base-T 以太网
端口(PoE)
4 个 复 用 的
1000Base-X 千
兆 SFP 端口
支 持 特
性
S5120-24P-EI
S5120-48P-
EI
S5120-28C
-EI
S5120-52C
-EI
S5120-28C-P
WR-EI
S5120-52C-P
WR-EI
扩 展 插
槽
不支持 2 个扩展插槽
可 选 接
口模块
不支持
单端口 10GE XFP 接口模块
两端口 10GE XFP 接口模块
两端口 10GE CX4 接口模块
两端口 10GE SFP+接口模块
端 口 聚
合
支持 LACP
端 口 特
性
支持 流量控制(全双工)
支持基于端口速率百分比的风暴抑制
支持基于 PPS 的风暴抑制
IRF2
(S5120C
-EI 系列
支持)
支持 IRF2 智能弹性架构
支持分布式设备管理,分布式链路聚合
支持通过标准以太网接口进行堆叠
支持本地堆叠和远程堆叠
VLAN
支持基于端口的 VLAN(4K)
支持基于 MAC 的 VLAN
基于协议的 VLAN
支持 QinQ,灵活 QinQ
支持 VLAN Mapping
支持 Voice VLAN
支持 GVRP
ACL
支持 L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源 MAC 地址、目的 MAC 地址、
源 IP 地址、目的 IP 地址、TCP/UDP 端口、协议类型、VLAN 的流分类
支持时间段(Time Range)ACL
支持基于端口、VLAN 下发 ACL
支 持 特
性
S5120-24P-EI
S5120-48P-
EI
S5120-28C
-EI
S5120-52C
-EI
S5120-28C-P
WR-EI
S5120-52C-P
WR-EI
QoS
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
支持 CAR(Committed Access Rate)功能
每个端口支持 8 个输出队列
支持端口队列调度(SP、WRR、SP+WRR)
支持报文的 和 DSCP 优先级重新标记
DHCP
支持 DHCP Client
支持 DHCP Snooping
支持 DHCP Snooping option82
IP 路由 支持 IPv4 和 IPv6 的三层路由功能
组播
支持 IGMP Snooping /MLD Snooping
支持组播 VLAN
二 层 环
网协议
支持 STP/RSTP/MSTP
支持 RRPP
镜像
支持最大 4 组 N:1 的端口镜像
支持远程端口镜像 RSPAN
支持流镜像
安 全 特
性
支持用户分级管理和口令保护
支持 认证/集中式 MAC 地址认证
支持 Guest VLAN
支持 RADIUS 认证
支持 SSH
支持端口隔离
支持端口安全
支持 EAD
支 持 特
性
S5120-24P-EI
S5120-48P-
EI
S5120-28C
-EI
S5120-52C
-EI
S5120-28C-P
WR-EI
S5120-52C-P
WR-EI
管 理 与
维护
支持 XModem/加载升级
支持命令行接口(CLI),Telnet,Console 口进行配置
支持 SNMPv1/v2/v3,WEB 网管
支持 RMON 告警、事件、历史记录
支持 iMC 智能管理中心
支持系统日志,分级告警,调试信息输出
支持 sFlow
支持 HGMPv2
支持 NTP
支持 Ping、Tracert
支持 VCT 电缆检测功能
支持 DLDP 单向链路检测协议
支持 Loopback-detection 端口环回检测
交 流 输
入电压
额定电压范围:100V~240V AC,50/60Hz
最大电压范围:90V~264V AC,47/63Hz
直 流 输
入电压
额定电压范围:
~ DC(RPS 专用)
额定电压范围:
-52V~-55V DC(RPS 专用)
支 持 特
性
S5120-24P-EI
S5120-48P-
EI
S5120-28C
-EI
S5120-52C
-EI
S5120-28C-P
WR-EI
S5120-52C-P
WR-EI
功率(满
负荷)
62W 110W 103W 145W
455W,其中系
统功耗 85W,
POE 对外供电
功率 370W
不接 RPS 时,
满负荷功耗为
500W,其中系
统功耗 130W,
POE 对外供电
功率 370W;
连接 RPS 时,
满负荷功能为
870W,其中系
统功耗 130W,
POE 对外供电
功率 740W
工 作 环
境温度
0�~45�
工 作 环
境 相 对
湿度(非
凝露)
10%~90%
接入网交换机 H3C E126
产品概述:
H3C E126 教育网交换机是 H3C 公司针对教育行业新推出的二层线
速智能型可网管以太网交换机产品,产品采用低噪音设计,特别适合在
楼道和办公室使用;同时提供完善的线速流量交换、完备的业务控制和
用户管理能力,是教育城域网和校园网接入的理想接入交换机。
当前校园网建设面临着带宽瓶颈、多业务融合、安全威胁、用户认
证和管理等诸多问题和挑战:
l 如何解决接入带宽瓶颈?如何解决设备扩展和性能以及投资保护
之间的矛盾?
l 如何实现校园网多业务融合的需求,实现网络资源灵活分配和调
度?
l 如何实现用户安全的接入控制,防止病从口入?如何防止恶意攻
击和定位?如何快速定位链路故障点?
l 如何实现灵活认证计费策略?如何实现网络流量的监控和分析?
H3C E126 教育网交换机在以上各方面为用户提供了全新的技术特
性和解决方案,完美地解决了当前校园网建设面临的各种问题。
产品特点:
1. 高带宽和高扩展
H3C E126 教育网交换机具有 的总线带宽为所有的端口提供二
层线速交换能力,同时支持 2 个 GE 的上行扩展,满足教育行业用户多
业务和高带宽的应用需求。
2. 灵活的用户管理和完备的安全控制策略
H3C E126 教育网交换机支持集中式 MAC 地址认证和 认证,在
用户接入网络时完成必要的身份认证,支持 MAC 地址和端口的绑定、
广播风暴抑制和端口锁定功能,支持配合 H3C 公司的 CAMS 系统对在
线用户进行实时的管理,及时的诊断和瓦解网络非法行为,保证接入用
户的合法性。支持对 Proxy 进行有效的管理。
H3C E126 教育网交换机支持通过建立和维护 DHCP Snooping 绑定
表实现侦听接入用户的 MAC 地址、IP 地址、租用期、VLAN-ID 接口等
信息,解决 DHCP 用户的 IP 和端口跟踪定位问题。
3. 丰富的 QOS 策略
H3C E126 教育网交换机支持每个端口 4 个输出队列,支持 2 种队列调
度算法:WRR 调度算法和 HQ+WRR 调度算法,可以以不同的优先级将
报文放入端口的输出队列。
支持端口双向限速,限速的控制粒度为 64 Kbps。
4. 多样的管理方式
H3C E126 教育网交换机支持跨交换机的远程端口镜像 RSPAN,可以将
接入端口的流量镜像到核心交换机上,配合核心交换机的网流分析功能
和 XLOG 系统,可以对全网业务和流量进行监控、优化部署和恶意攻击
监控,满足校园网精细化管理的需要。
H3C E126 教育网交换机支持 VCT(Virtual Cable Test)电缆检测功
能,便于快速定位网络故障点。支持通过实现设备的远程升级,支持
HGMP 集群管理系统和故障诊断,实现了设备的集中管理和维护,支
持 SNMP,可支持 Open View 等通用网管平台,以及 Quidview 网管系
统。支持 CLI 命令行,Web 网管,TELNET,HGMP 集群管理,使设备
管理更方便。
产品规格:
项目 H3C E126
外形尺寸(长×宽×高)
(单位:mm)
436×240×42
重量
固定端口 24 个 10/100Base-T 以太网端口
管理端口 1 个 Console 口
扩展槽位数量 2 个
交换容量
包转发率
VLAN
最多支持 4K 个符合 IEEE 标准的 VLAN
项目 H3C E126
支持 GVRP
广播风暴抑制 支持基于端口带宽百分比的广播风暴抑制
组播 IGMP Snooping
生成树协议
支持 STP/RSTP/MSTP,符合 IEEE 、IEEE 、IEEE
标准
支持通过命令行手动进行端口汇聚
支持 FE 端口汇聚和 GE 端口汇聚
端口汇聚
最多可支持 3 个端口汇聚组,FE 汇聚组最多支持 8 个端口,GE 汇聚
组最多支持 2 个端口(汇聚的端口必须具有相同的端口类型)
端口镜像
支持一对多的端口镜像(即一个镜像端口,而对被镜像端口的数量没
有限制)
支持 RSPAN(Remote Switched Port Analyzer,远程交换端口分析)
端口隔离 支持
端口自环检测 支持
端口环回
(内环和外环测试)
支持
MAC 地址表
支持地址自学习
符合 IEEE 标准
最多支持 8K 个 MAC 地址
流控
支持 IEEE 流控(全双工)
支持背压式流控(半双工)
加载与升级
支持 XModem 协议实现加载升级
支持加载升级
管理
支持命令行接口(CLI)配置
支持 Telnet 远程配置
支持通过 Console 口配置
支持 SNMP
项目 H3C E126
支持 1,2,3,9 组 MIB
支持 QuidView 网管系统
支持 WEB 网管
支持系统日志
支持分级告警
维护
支持调试信息输出
支持 PING、Traceroute, Multicast Traceroute
支持 Telnet 远程维护
支持 VCT(Virtual Cable Test)电缆检测功能
每个端口支持 4 个输出队列
支持 WRR、HQ+WRR 队列调度算法
QoS
支持 优先级
支持双向端口限速,控制粒度为 64 Kbit/s:
支持未知多播报文丢弃
安全特性
用户分级管理和口令保护
支持 Guest VLAN
支持 IEEE 认证
支持集中 MAC 地址认证
支持 SSH2 .0
DHCP 支持 DHCP Client
NTP 支持
集群管理
支持 NDP(邻居发现协议)
支持 NTDP(网络拓扑发现协议)
电源
AC:
额定电压范围:100V~240V AC;50/60Hz
项目 H3C E126
最大电压范围:90V~264V AC;47Hz~63Hz
整机最大功耗 20W
工作环境温度 0�~45�
工作环境相对湿度(非
凝露)
10%~90%
投标产品偏离表
序
号
指标项 指技术规格要求 偏离情况
服务器外观 机架式 无偏离
服务器高度 2U 无偏离
处理器类型
Intel Xeon X5650 系列 六核
处理器
无偏离
处理器个数 不少于两个 无偏离
处理器主频 不少于 无偏离
处理器高速
缓存
三级高速缓存不少于 12MB 无偏离
内存类型
PC3-10600 CL9 ECC DDR3
1333Mhz LP RDIMM
无偏离
内存配置数
目
单根 8GB 内存不少于 12 根 无偏离
内存最大支
持数目
不少于 288GB 无偏离
内存插槽数
量
不少于 18 个内存插槽 正偏离 20 个内存插槽
内存保护技
术
可支持高级 Chipkill 内存保护
功能, 内存镜像
无偏离
内置硬盘类
型
” SAS/SATA/SSD 无偏离
内置硬盘容
量及数目
可支持不少于 16 个 英寸的
热插拔硬盘托架,本次配置 2
块 120G SSD 固态硬盘做成
raid1
正偏离 2 块 200G 硬盘同时支
持 8 个 寸 SAS 硬盘
阵列控制器
独立的物理整列卡,可支持
RAID0,1,5,6.缓存不少于512M。
带电池保护。
无偏离
PCI I/O 插槽 不少于 4 个 PCI-E (x8)插槽 无偏离
网卡
双口千兆以太网, 支持网络唤
醒、网络卸载引擎(TOE)等
网络高级性能 (标配支持 2 个,
无需占用 PCI-E 插槽就可扩展
至 4 个)
无偏离
光驱 内置 DVD 光驱 无偏离
1
数据
库服
务器
可管理 和
维护性
光通路诊断,集成管理软件,
可支持远程管理
无偏离
安装系统(附
带光盘)等软
件
1、64 位 Linux,Tomcat,
MySql,nginx 或 Apache2、安
装 VMware vSphere ESXi 5,
带 VMware vCenter 管理中心,
支持集群和应用系统实时迁移;
无偏离
售后服务 提供 3 年 7*24 小时包修服务 无偏离
HBA 卡 8Gb FC HBA 两块 无偏离
电源 ≥675W 冗余电源 正偏离 800W
�服务器外
观
机架式 无偏离
服务器高度 2U 无偏离
处理器类型
Intel Xeon 5606 系列 四核 处
理器
无偏离
处理器个数 不少于一个 无偏离
处理器主频 不少于 无偏离
处理器高速
缓存
三级高速缓存不少于 8MB 无偏离
内存类型
PC3-10600 CL9 ECC DDR3
1333Mhz LP RDIMM
无偏离
内存配置数
目
单根 4GB 内存不少于一根 无偏离
内存最大支
持数目
不少于 288GB 正偏离可扩展 640G
内存插槽数
量
不少于 18 个内存插槽 正偏离 20 个内存插槽
内存保护技
术
可支持高级 Chipkill 内存保护
功能, 内存镜像
无偏离
内置硬盘类
型
” SAS/SATA/SSD 无偏离
内置硬盘容
量及数目
可支持不少于 16 个 英寸的
热插拔硬盘托架,本次配置
500GB SAS HDD 硬盘不少于
1 块
无偏离
阵列控制器
独立的物理整列卡,可支持
RAID0,1,5.
无偏离
PCI I/O 插槽 不少于 4 个 PCI-E (x8)插槽 正偏离 5 个 PCI-E 插槽
网卡
双口千兆以太网, 支持网络唤
醒、网络卸载引擎(TOE)等
网络高级性能 (标配支持 2 个,
无需占用 PCI-E 插槽就可扩展
至 4 个)
无偏离
光驱 内置 DVD 光驱 无偏离
2
日志
服务
器
可管理 和
维护性
光通路诊断,集成管理软件,
可支持远程管理
无偏离
(附光盘) 安装系统及日志管理软件 无偏离
售后服务 提供 3 年 7*24 小时包修服务 无偏离
HBA 卡 8Gb FC HBA 两块 无偏离
�基本要求 与数据中心服务器同一品牌 无偏离
外观 2~4U 机架式 无偏离
�控制器/缓
存
双控制器/4GB(每控制器 2GB)
正偏离含电池保护模块(BBU),
支持缓存数据的掉电保护,瞬
间将缓存中数据转移至非易失
数据存储介质,数据保护无时效
限制,可永久保存
支持 RAID
级别
0, 1, 3, 5, 6,10 无偏离
最大 LUN 数
量
2048 无偏离
单个 LUN 最
大容量
60TB 无偏离
RAID 卷组支
持最大硬盘
数量
24 无偏离
�外接主机
通道
4 个 8Gb/s FC 接口,直连服务
器
无偏离
�本次硬盘
配置
1、6 块 600GB 15000 转的 SAS
磁盘
无偏离
硬件磁盘加
密
2、8 块 7200 转 3TB SAS
或 SATA 磁盘
正偏离含扩展柜
风扇和电源
支持磁盘加密功能,采用 128
位密钥,硬件级加密,完全不
影响存储性能
无偏离
�管理软件 冗余热插拔电源及风扇 无偏离
3
主存
储
包修
配置图形界面通用存储管理软
件
无偏离
�基本要求 与数据中心服务器同一品牌 无偏离
外观 机架式 无偏离
�处理器 ≥Intel Xeon E5520() 无偏离
�内存
≥6GB DDR3 寄存式
(RDIMM),带 ECC 功能
正偏离 8GB R-ECC 1333
DDR3 内存,12 条扩展插槽
RAID 支持 RAID 0/1/1+0/5/5+0 1 无偏离
支持最大硬
盘数量
24 无偏离
�外接主机
通道
1000M 网络接口 NAS 无偏离
4
备份
存储
�本次硬盘
配置
8 块 3TB 7200 转 磁盘 无偏离
风扇和电源 冗余热插拔电源及风扇 无偏离
�管理软件
配置图形界面通用存储备份管
理软件
无偏离
包修 3 年原厂免费上门服务 无偏离
�用户人数 ≥1000
正偏离
最大并发连接数≥1200
产品规格 标准机架式 无偏离
网络吞吐量 400Mbps
正偏离最大吞吐量单向 700M,
双向 ,
并发连接数 800000
正偏离
最大并发连接数并发会话数 ≥
1000,000)
�网络接口
4 个千兆网络接口
(LAN*1,DMZ*1,WAN*2),
支持扩展到6个千兆网络接口,
1 个 RS232 口
正偏离
六个千兆网口
5
流控
及上
网行
为管
理
访问控制
可自定义对色情、病毒、钓鱼
网站的阻隔访问;提供多种对
象组合的安全访问控制策略;
可实现对任何 P2P 软件的流量
阻隔;提供 Web 登录认证功能;
能对 Http、Ftp 文件上传、下载
类型和大小进行控制,也能对
P2P 软件的文件传送进行拦截;
提供灵活的 IPMAC 绑定策略;
能识别采用 Http,Https,Socks 等
代理服务器绕过防火墙检查的
行为,从而进行阻断;对
Http、、Imap 等应用协议做敏
感数据拦截,以防泄密或引起
法律纠纷;
无偏离
1. 支持 URL 访问控制;
2. 支持第三方分类 URL 库手
动上传,实现基于“类型”的 URL
过滤功能,URL 库容量默认为
10 万条;
3. 支持 URL 重定向;
4. 支持 Web 信息提示;
5. 支持(HTTP 方式)文件类
型的访问控制, 控制用户通
过 HTTP 方式访问或下
载.exe、 .rmvb、 .mp3 等类型
的文件;
6. 支持根据内网 IP、文件类型、
访问方法(GET 或 POST)和目
标 URL 等参数设置控制策略;
可根据时间和在线 IP 数等参数
启用相应策略;
访问审计
对外发邮件进行延迟缓存,审
计后才能发出,确保信息资产
不外泄;实时监控用户的上网
行为;监控用户所有的上网记
录,包括 Web 访问、、邮件
(含 Webmail)及附件、QQ、
MSN、ICQ、Yahoo Message 等
流行 IM 的数据。以防止信息
泄密;能按用户、协议和时间
对 Internet 流量进行统计分析,
以优化员工对 Internet 的资源
使用情况;
无偏离
管理功能
权限细致分级管理;提供图形
界面方式;能通过远程升级;
提供自动恢复功能,配置恢复
功能;支持双机备份功能;
无偏离
日志功能
支持自动定时备份;支持转换
日志为标准的 TXT 文件;
无偏离
网络特性
支持 IPv4、IPv6 协议;支持 2-4
条 Internet 线路的负载均衡和
备份,提供智能选择最优线路
等多种负载均衡策略
无偏离
�上网流量
管理
支持基于应用类型划分与分配
带宽;支持基于网站类型划分
与分配带宽;支持基于文件类
型划分与分配带宽;支持基于
时间段的带宽划分与分配策略;
支持基于访问行为的目标 IP 实
现带宽划分与分配;
无偏离
�其他要求
能提供中国信息安全产品测评
认证中心《产品型号证书》,
公安部信息安全产品检测中心
《检验报告》;具备公安部销
售许可证;
无偏离
售后服务 提供 3 年 7*24 小时包修服务 无偏离
1、2~4 个千兆电口 无偏离
2、吞吐量 2GbPS 正偏离双向 2G 吞吐量
3、同时在线用户数>=5000 正偏离 6000 用户6
认证
计费
设备
技术规格及
要求
4、具备上网认证、流量统计和
上网 URL 日志刻录功能
正偏离同时提供 WEB Portal
认证
5、支持多种灵活的计费方案:
支持纯包月计费、支持包月限
时、包月限流量、支持包月暂
停与恢复、支持自适应包月、
支持按使用量(时长/流量)计
费、支持按使用量分档计费、
支持时段优惠、支持按累积使
用量进行奖励、支持对计费参
数的灵活设置、支持组合费率
(套餐)、支持实时预付费和
后付费两种付费方式、支持付
费方式的更改
正偏离可根据资费组实现对不
同的计费需求设置对应的资费
策略。
2、资费类别包括储值卡、合约、
期限、临时。
3、储值卡资费:月租先扣,首
月按足月计月租,时长或流量
计费即用即扣,每月固定日期
(如 1 日)出上月汇总账单,
同时扣除下月月租。
4、合约资费:先用后扣,支持
首月、中途结算策略,每月固
定日期(如 1 日)月结出账,
支持欠费继续使用,支持透支
限制等。
5、期限资费:支持先结算后使
用与先使用后结算两种方式,
支持固定天数与自然月轮循结
算,不支持计时长、流量。
6、临时资费:临时资费可设定
有效期,不计费,不月结;有
效期过系统自动停机,出汇总
账单;停机后再过一个周期自
动销户。
一带宽型:可自定义用户带宽,
粒度为 KB。
一用户权限:可下发策略控制
用户访问资源。
一实时监测用户使用费用,流
量情况,使用到期立即警告并
将用户离线
6、系统具备丰富的报表,便于
管理员进行各项指标的统计:
每月(日)业务使用量统计、
每月(日)人均业务使用量统
计、每月帐号数统计、单用户
月度消费金额统计、用户月度
平均消费额分布统计、每月应
缴和实缴费用对比统计、每小
时平均在线用户数统计、操作
员收费记录统计
无偏离
7、全面支持 Ipv4、Ipv6 双栈环
境下 接入认证、授权、
用户管理、LDAP 用户管理、
二次开发接口、用户自助、计
费、账务管理等。
无偏离
产品规格 机箱式路由交换机 无偏离
�空余业务
插槽数
≥10 无偏离
�背板交换
容量
≥ 无偏离
�交换容量 ≥1152Gbps 无偏离
包转发能力 ≥780Mpps 无偏离
虚拟化技术
支持将两台物理设备虚拟化为
一台逻辑设备,虚拟组内可以
实现一致的转发表项,统一的
管理,跨物理设备的链路聚合。
无偏离
多业务扩展
能力
支持负载均衡、网络分析、入
侵防御、防火墙、应用控制、
SSLVPN、无线等多业务扩展
能力
无偏离
生成树协议
支持 IEEE (STP)
/(RSTP)/
(MSTP)标准,支持 BPDU
guard, Root guard;
无偏离
7
核心
交换
机
ACL/QOS
每单板最大支持 16K ACL、支
持标准和扩展 ACL、支持基于
VLAN 的 ACL、支持
Ingress/Egress ACL、支持
Ingress/Egress CAR,粒度可达
8Kbps、支持两级 Meter 能力、
支持 VLAN 聚合 CAR,MAC
聚合 CAR 功能、支持流量整形
(Traffic Shaping)、支持
优先级
Mark/Remark、支持层次化 QoS
(H-QoS),支持三级队列调
度、支持队列调度机制,包括
SP、WRR、SP+WRR、
CBWFQ、支持每端口 8 队列、
支持拥塞避免机制,包括
Tail-Drop、WRED、支持 N:2
Mirroring
无偏离
生成树协议
支持 IEEE (STP)
/(RSTP)/
(MSTP)标准,支持 BPDU
guard, Root guard;
无偏离
认证协议特
性
支持 IVP6、IEEE Sever
认证,支持 Portal 认证,支持
动态 VLAN 策略下发
无偏离
路由协议
支持静态路由、RIP V1/V2、
OSPF、BGP,支持 BGP4+,支
持 OSPFv3,支持 6to4 隧道,
支持 Ipv6 和 Ipv4 双栈
无偏离
�本机配置
要求
24 端口千兆电接口模块,24 端
口千兆/百兆以太网光接口模块,
8 端口万兆以太网 SFP+光接口
模块,单模万兆模块 2 个
无偏离
证书
1、提供 IPV4 和 IPV6 入网许
可证和入网检测报告。
2、提供 Tolly Group 报告
无偏离
售后服务 提供 3 年 7*24 小时包修服务 无偏离
电源 电源 1+1 冗余备份 无偏离 650W 交流电源
�基本要求 与核心交换机同一品牌 无偏离
交换容量 ≥ Tbps 无偏离
转发速率 ≥150Mpps 正偏离≥156
三层交换机 标准三层交换机 无偏离
�多业务特
性
支持无线控制器插卡 无偏离
虚拟化特性
支持两台物理设备虚拟化为一
台逻辑设备,支持单一 IP 地址
统一管理、支持跨设备链路聚
合、支持分布式弹性路由。
无偏离
电源模块 支持双冗余交流 无偏离
访问控制策
略
支持基于第二层、第三层和第
四层的 ACL;支持基于端口和
VLAN 的 ACL;支持时间段
的 ACL,支持 IPv6、 认
证,支持集中式 MAC 地址认
证;
无偏离
�接口要求
固定 10/100/1000 以太网光电
端口≥24 个; 万兆光接口≥4 个,
整机最大支持 8 个万兆接口
无偏离
8
骨干
交换
机
管理和维护
支持SNMP V1/V2/V3、RMON、
SSHV2
无偏离
支持通过命令行、Web、中文
图形化配置软件等方式进行配
置和管理。
无偏离
�配置数量
交换机主机 1 台。2 个万兆光
接口板,万兆单模光模块 2 个
无偏离
其他功能要
求
支持 DHCP Snooping、环路检
测、具有防 ARP 欺骗功能、可
限制管理登录的 IP 地址
无偏离
售后服务 提供 3 年 7*24 小时包修服务 无偏离
�交换容量 ≥192Gbps 无偏离
转发性能 ≥35Mpps 无偏离
�端口配置
千兆电接口数量≥24;4 个千兆
SFP 光电复用端口,
无偏离
VLAN 特性
支持基于端口的 VLAN,支持
基于协议的 VLAN,支持策略
VLAN,支持 Voice VLAN,支
持 VLAN 下发 ACL,支持基于
时间段的 ACL,支持基于 IPv6
的 ACL
无偏离
支持 GE 口端口动态聚合;支
持至少 20 个端口聚合组,每组
支持至少 8 个 GE
无偏离
链路聚合
;支持 LACP; 无偏离
三层路由
支持 IPv4 和 IPv6 的三层路由
功能,Rip2
无偏离
镜像功能
支持本地端口镜像和远程端口
镜像 RSPAN;
无偏离
组播
支持 IGMP(Internet Group
Management Protocol)
Snoopingv1/v2;支持组播
VLAN;
无偏离
每端口支持≥8 个优先级队列; 无偏离
9
汇聚
交换
机
QOS
支持 IEEE
支持方式为
SP/SDWRR/SP+SDWRR 的队
列调度,支持基于端口/流的限
速,最小粒度为 1Kbps
无偏离
访问控制策
略
支持 L2(Layer 2)~L4(Layer
4)包过滤功能,提供基于源
MAC 地址、目的 MAC 地址、
源 IP 地址、目的 IP 地址、
TCP/UDP 端口、协议类型、
VLAN 的流分类、持时间段
(Time Range)ACL,支持基于
端口、VLAN 下发 ACL 、支
持准入控制、支持虚拟化
无偏离
支持 认证,支持基于端
口的认证和基于 MAC 的认证;
端口 mac 地址数目学习限制
无偏离
安全特性
支持 DHCP Snooping,防止欺
骗的 DHCP 服务器;支持 ARP
入侵检测;
无偏离
支持SNMP V1/V2/V3、RMON、
SSHV2
无偏离
支持虚电缆检测功能(VCT),快
速准确定位网络中故障电缆的
短路或断路点;
无偏离
支持单向链路检测(DLDP),有
效的防止网络中单通故障的发
生;
无偏离
管理和维护
支持通过命令行、Web、中文
图形化配置软件等方式进行配
置和管理。
无偏离
资质认证 要求提供信产部入网证 无偏离
�基本要求 与核心交换机同一品牌 无偏离
售后服务 提供 3 年 7*24 小时包修服务 无偏离
�交换容量 ≥32G 无偏离
�转发性能 ≥ 无偏离
�固定接口
数量
24 个 10/100Base-TX 以太网端
口,2 个 10/100/1000Base-T 与
1000Base-X SFP Combo 以太
网端口
无偏离
支持基于端口的 VLAN,
Vlan 封装,
无偏离
VLAN 特性
最大 Vlan 数≥4094,支持 GVRP 无偏离
MAC 地址表 ≥8K 无偏离
堆叠特性 堆叠数量≥16 无偏离
10
接入
交换
机
链路聚合
支持端口聚合和 LACP,每个
聚合组支持 8 个端口
无偏离
端口镜像
支持端口镜像和远程端口镜
像 RSPAN;支持多对一的端口
镜像;
无偏离
端口限速
支持端口双向限速,限速的控
制粒度为 64 Kbps。
无偏离
组播协议 支持 IGMP v1/v2/v3 Snooping 无偏离
二层环网
支持 STP/RSTP/MSTP ,支持
Smart Link
无偏离
生成树协议
支持 STP/RSTP/MSTP 协议,
