新辦公樓網絡系統設計方案2020年1月9日 目 錄1.新辦公樓網絡系統說明31.1系統設計思想31.2系統設計原則32.新辦公樓網絡系統設計52.1新辦公樓網絡結構52.2交換機功能規劃62.3接入Internet規劃72.3.1移動用戶遠程VPN接入規劃82.3.2網絡可靠性規劃83.新辦公樓網絡IP和路由設計83.1新辦公樓網絡VLAN規劃83.2新辦公樓網絡IP地址規劃93.2.1內部地址劃分93.3新辦公樓網絡路由規劃103.3.1路由協議選擇103.3.2新辦公樓網路由設計104.新辦公樓網絡安全設計114.1新辦公樓網絡出口安全124.1.1防火墻安全規劃124.1.2移動用戶接入 VPN接入144.2核心交換機OmniSwitch9800技術特性144.3交換機OmniSwitch 6450技術特性214.4千兆防火墻系統性能255.售后服務計劃271. 新辦公樓網絡系統說明1.1 系統設計思想 新辦公樓作為綏德縣標志性建筑，其高端的網絡系統是在所難免的。本網絡系統主要分為兩部分：辦公網絡。本網絡系統要既要滿足新辦公樓日常辦公管理的業務需求，包括樓內辦公人員寬帶上網，視頻會議等。本網絡系統的骨干網為萬兆以太網，千兆傳輸到桌面。集成一個集數據、語音、視頻、圖像于一體的高帶寬、多功能、多服務、開放性、多業務接入的IP多媒體交換計算機網絡。本網絡系統與外界互聯需要加載防火墻等安全設備，配合其它網絡安全措施，以保證系統的安全性,整個計算機網絡系統分為二層結構：核心層和接入層。核心層配置一臺模塊化的萬兆線速路由交換機，交換機位于中心機房，各種數據流在這里集中交換和路由。千兆接入交換機位于各樓層的弱電間，接入交換機通過1000M接入桌面，通過光纖上聯到核心交換機，接入交換機除提供終端計算機的聯網接入外，還提供IP電話、視頻圖像等的接入。1.2 系統設計原則新辦公樓網絡系統負擔著內部的各部門的網絡通信，要提供網絡與Internet之間的通信，提供數據、語音、視頻多媒體的融合，實現三網融合，同時承載大量的智能控制子系統通信（如門禁、防盜系統、樓宇自控系統等）。因此，其帶寬和性能的要求非常高,不僅要滿足數據信息服務的高速需求，還要為整個新辦公樓網絡的外部訪問提供高帶寬、高性能的網絡通道。網絡設計時將遵循以下原則： 先進性: 新辦公樓網絡為了支持數據、話音、視頻多媒體的傳輸能力,在技術上要采用最先進、成熟的網絡技術來滿足目前的網上應用需求,并考慮未來的發展。網絡主干設備應選用高帶寬的、先進的萬兆位線速路由交換技術，能夠承載和交換各種信息。 可擴展性和可升級性：隨著信息化的不斷發展和應用水平的提高,網絡中的數據和信息流會呈指數增長，需要網絡有很好的可擴展性，并能隨技術的發展不斷升級。 國際標準性和開放性：網絡系統應該是一個開放型的網絡,支持各種協議的互聯。選用符合國際標準的系統和產品,保證系統具有較長的生命力和擴展能力,滿足將來系統升級的要求。 可靠性：可靠性是所有類型的網絡所必須具備的特性。這種可靠性不僅表現在通過網絡提供的信息資源，還需要由可靠的網絡基礎平臺來保證，網絡結構的先進性、冗錯性和穩定的QoS是使得各種網絡應用可靠完成的前提。而這些都必須通過可靠穩定的網絡設備來保證。 安全性：新辦公樓網絡中存在各種內部專用信息，這些信息必須得到可靠的保護，要防止黑客對網絡系統的攻擊，還必須防止內部工作人員的誤操作而導致的網絡故障。新辦公樓網絡的安全性一方面要從信息提供角度來保證，即從應用系統中來保證信息安全性，另一方面需要結合網絡結構和網絡設備來保證，與先進網絡設備所提供的各種安全機制相結合。 易管理和易維護性：網絡系統具有良好的可管理性,網管系統具有監測、故障診斷、故障隔離、過濾設置、靈活實現用戶級別的設置等功能。 實用性：網絡系統選用的硬件設備和軟件系統應當具有良好的性能價格比，網絡系統的日常管理和維護簡單方便，經濟實用，網絡拓撲結構和技術符合多媒體應用對主干網絡的要求。 投資保護：網絡系統選用的網絡設備應當能夠充分保護原有網絡設備投資，按照實際需要方便的升級調整，盡可能的延長原有設備的使用價值。 高性能和服務質量(QoS)保障：新辦公樓網絡系統將承載大量的交互信息，對網絡設備的性能要求高，不僅要提供辦公自動化平臺、數據信息服務，還必須為許多先進的網絡應用提供支持。例如，除了傳統的Internet服務(Email、FTP、WWW、數據庫查詢)外，還要提供網絡視頻會議、視頻點播、VoIP等多媒體應用類型。這些應用的通信方式和對傳輸網絡的要求各不相同，所以網絡必須具有面向應用的特性和提供，QoS保證能力，才能有效地為不同的網絡應用提供可靠的傳輸。 IP Multicast支持：由于今后網絡中多媒體的應用(如視頻會議、VOD等)越來越多,往往會占用大量的帶寬資源。所以全網必須支持IP Multicast。2. 新辦公樓網絡系統設計2.1 新辦公樓網絡結構整個網絡要實現數據互通，實現信息發布和對INTERNET的訪問，實現網絡一體化的管理。網絡結構分為核心層和接入層兩個部分。采用專線與INTERNET網絡進行連接。 本次數據網絡擔負著傳輸數據、圖像等，實現各種應用的重任，必須滿足現階段及未來5年新辦公樓各種數字化應用的需要。支持日常辦公、酒店用戶、Internet訪問的需要和接入用戶的訪問，針對用戶的信息發布，用戶對中心相關信息訪問。新辦公樓計算機網絡分為兩套局域網系統，分別為內部辦公網和外網：內部辦公網是辦公系統、管理信息系統、數據存儲系統等辦公應用系統等基礎平臺，并為內部人員提供互聯網訪問服務、對外提供辦公網站發布服務；外網是為辦公人員提供互聯網訪問服務等平臺。兩套網絡都采用星型架構，以一臺三層交換機為核心，通過千兆光纖發散連接各樓層接入交換機，接入交換機為各個計算機終端提供千兆到桌面的高速網絡連接；另外兩套網絡各自配置互聯網接入設備，通過運營商提供的寬帶接入線路連接互聯網，實現內部共享上網。根據辦公內網建設的具體需求，辦公區網絡核心交換機不在此次范圍內。出口防火墻不但完成共享上網、安全防護等功能，還為外出人員或駐外人員提供VPN接入服務，通過VPN隧道和加密技術，使在外人員通過互聯網實現對內部辦公網資源的安全訪問。防火墻做為設備端，具有以下作用： n 接受客戶端連接； n 為客戶端分配 IP 地址、DNS 服務器和 WINS 服務器地址； n 進行客戶端用戶的認證與授權； n 對 IPSec數據進行加密與轉發。 核心層：核心層采用ALCATEL-LUCENT OS9700E萬兆線速路由交換機，核心層交換機位于4層網絡中心機房，核心層通過多模光纖鏈路與接入層交換機相連。接入層： 接入交換機采用ALCATEL-LUCENT OS6450-24線速路由交換機，分別位于各個樓層的弱電間，通過多模光纖鏈路上聯到核心交換機，接入層交換機提供1000M接入點到桌面。網絡結構如下圖所示：2.2 交換機功能規劃u 核心實現IPV4/IPV6路由網絡在核心層，實現網絡路由規劃、大部分的路由工作由核心交換機完成；同時提供IPv6路由和擴展的對IPv6隧道的支持，包括配置、6-in-4和ISATAP隧道技術，滿足各種各樣的IPv6需求。u 核心層安全規劃在網絡出口，配置1臺FG-200B防火墻，對進出內部網絡的所有通信進行過濾，對所有進出的通信進行控制和過濾，以及提供外勤人員VPN接入。核心交換機提供分布式多層安全性，實現如下安全： 核心層規劃L27層的安全策略控制，實現數據中心以及各單位間的通信安全控制；保證通信數據的安全； 在核心層交換機智能自動動異常通信阻斷，使一些非法的異常的通信，不能在網絡中傳播； 交換機具有的DoS保護，防止非法攻擊通信設備，影響到網絡通信的穩定； 通過以上的安全策略，實現從核心層到接入層的全網分布式的IPS安全防護功能。 VLAN劃分，采用VLAN技術，虛擬局域網VLAN是一個重要的組成部分，可以認為虛擬局域網VLAN是網絡的靈魂。通過VLAN的合理設置，網絡中的用戶可以方便地在網絡中移動，而不需硬件線路的改變。這樣，可以從邏輯上對用戶和其它網絡對象進行分組，并設定相應的安全和訪問權限，然后，由計算機自動根據配置形成相應的虛擬網絡工作組，充分發揮交換網絡的優勢，體現交換網絡高速、靈活、易管理等特性。u QOS功能核心交換機具有強大的服務質量控制功能，在核心交換機上，啟用流量管理工程。根據不同應用需要和應用特點，分別啟用不同的QOS 策略，保障不同應用達到最佳的服務質量。保證新辦公樓網絡三網融合通信，即使傳輸大量多媒體視頻應用，核心交換機也能提供強大的服務質量控制，保證穩定傳輸這些數據、語音、圖象、視頻通信。2.3 接入Internet規劃新辦公樓網絡采用統一的出口，為了保證網絡安全性，外網的出口配置一臺FT-200B防火墻與電信連接，通過防火墻將內外網進行有效隔離。在防火墻上，提供策略路由，對用戶出口通信進行有效控制。在防火墻上啟用NAT和PAT功能，使內部所有的IP和端口對外實行屏蔽。在防火墻上，針對不同用戶，設置不同的訪問權限規劃，將內外網用戶實行安全隔離。在防火墻上，設置一個DMZ服務器，將新辦公樓所有對外服務器（特別是網絡中重要服務器，如WEB網站、MAIL服務器等）放置在DMZ區，實現安全隔離。在網絡出口，配置一臺安全審記，對所有進出網絡的流量進行安全流量控制，應用監控和安全審記，使所有出進的流量透明化，保障新辦公樓網絡安全的同時，可以做到有據可查。2.3.1 移動用戶遠程VPN接入規劃在網絡出口配置一臺防火墻,支持硬件SSL VPN功能。網絡移動用戶，采用SSL VPN安全接入到內網。用戶通過SSL VPN安全接入，利用SSL VPN，無需安裝客戶端，就可以安全訪問內部網絡的信息資源。移動用戶和家庭用戶，通過SSL VPN，接入到內部網絡，實現網絡安全接入； 2.3.2 網絡可靠性規劃整個新辦公樓網絡，將主要從以下幾個方面，進行可靠性規劃設計：網絡設備冗余配置和設計主要從硬件、軟件兩個方面加以考慮，可以達到5個9的可靠性，以提高整個網絡可靠性。 核心交換機，采用硬件冗余配置，實現冗災備份 冗余電源模塊、機箱溫度保護/過熱關閉 (溫度高于Tmax時關閉)； 交換機支持在線升級，保證網絡不停機升級系統； 通信模塊相互獨立/模塊化，實現模塊冗余備份，所有的模塊均支持熱插拔；3. 新辦公樓網絡IP和路由設計3.1 新辦公樓網絡VLAN規劃依據用戶對網絡使用情況以及用戶的應用分布等方面需求來規劃IP和VLAN，根據不同的特性，對設備和用戶進行合理規劃，管理VLAN和用戶VLAN分開。設備管理、網絡中心和無線網設備管理，分別規劃為不同的VLAN。接入用戶，根據其所在的單位和樓層，分別劃分到不同的VLAN中。為了減少每個VLAN中的廣播包，以及相互之間的影響，每個VLAN不超過512個用戶，也可根據需要，對不同單位的用戶進行細分。在新辦公樓網絡將根據不同部門，進行VLAN資源組的劃分；將根據不同單位，進行VLAN的劃分，不同單位分劃到不同的VLAN中。同一VLAN的用戶，如果需要隔離，可在接入交換機上，啟用端口隔離，相互之間可選擇性的讓他們通信。辦公網與酒店網絡實現邏輯安全隔離。3.2 新辦公樓網絡IP地址規劃3.2.1 內部地址劃分采用層次化的劃分策略：為便于網絡運行，提高網絡尋址效率，同時在劃分上做到簡單易管理，可以按照層次分配原則，將IP地址按一定規律及具體情況進一步劃分，滿足整個網絡信息服務的需要。為了節約IP資源，在網絡中，所有互連IP接口，均可采用私有IP地址，這些IP，用于IP路由，不需要對外提供服務。1) IP地址分配的方法IP地址的劃分方法有兩種：一種采用固定分配IP地址， 一種采用DHCP動態分配IP地址， 在具體的實施中，可采用DHCP+固定IP相結合的方法進行分配和管理。2) IP地址劃分內部地址可按每個樓和單位進行分配，每個樓分配連續的地址段，便于進行地址的聚合和控制。例如：行政樓分配的地址段為55，VIP住院樓為55。這樣可以清楚的區分每個樓的網絡IP，分別加以控制。網絡地址按每個VLAN為單位進行分配，每個VLAN分配連續的地址段，便于進行地址的聚合和控制。不同子系統，單個VLAN可能需要多個IP地址段，可以在交換機的單個VLAN ，分配從個IP地址段。對于每個VLAN內的地址分配，可以根據具體需求，可采用有類和無類地址段，對VLAN的地址進行細節分。網絡辦公采用固定IP地址分配,酒店采用動態分配。網絡根據用戶，來選擇IP分配是采用固定IP還是采用動態分配IP地址，具體實施時靈活選擇。具體舉列如下所示：VLAN和IP地址規劃表（IP規劃以安裝規劃設計為準）序號應用區域VLAN規劃IP地址段掩碼位數網關備注1交換機管理IPVLAN 100023542服務器DMZDMZ區IP地址243路由互連網段路由互連網段244VPN接入用戶VLANVLAN 423545網絡中心設備VLAN 623546網絡中心服務器VLANVLAN 823547無線用戶VLANVLAN 1023549辦公系統VLAN 13245410酒店系統VLAN 14245412接入用戶無線控制器20543.3 新辦公樓網絡路由規劃3.3.1 路由協議選擇對一個新辦公樓網絡來說，選擇一個合適的路由協議是非常重要的，不恰當的選擇有時對網絡是致命的，路由協議對網絡的穩定高效運行、網絡在拓樸變化時的快速收斂、網絡帶寬的充分有效利用、網絡在故障時的快速恢復、網絡的靈活擴展都有很重要的影響。路由包括兩個任務：路徑選擇、信息包的傳輸。路徑的選擇取決于metrics，metrics可包括可靠性、延遲、帶寬、負載、MTU、通訊費用，不同的路由算法考慮部分或全部的因素。現在通用的路由協議有：靜態路由、RIP、OSPF、BGP等。所有路由算法都要保證： 3.3.2 新辦公樓網路由設計路由協議的選擇對網絡的可靠性、靈活性、可拓展性有較大的影響。我方根據網絡的結構從管理和技術兩個方面進行選擇路由協議的選擇。路由協議的選擇基本原則是： 管理上層次分明，局部的變動不影響上層路由配置和全局路由配置； 技術上應盡量簡單、靈活，以提高路由器的處理效率。 能夠反映出整個網絡的層次結構，并與自治域、各結點子網的IP 地址分配相結合，做到合理的路由聚合，減少路由表長度，減輕路由更新給網絡帶來的負荷。根據這一原則，網絡的路由協議分為兩個層次：l 域內路由協議： 新辦公樓系統包括核心層和接入層2層結構，整個網絡的路由策略管理是一致的，因此選用域內靜態路由，也可采用 OSPF。l 出口路由協議（可選）： 外網入口路由器與Internet結點之間采用靜態路由4. 新辦公樓網絡安全設計根據網絡的安全需求，網絡安全將采用一次規劃，分步實施，我們建議采取以下安全措施，為網絡構架一個科學合理的安全的網絡，可實現全網的安全防范體系。1) 網絡出口安全 物理鏈路的安全 在網絡邊界設置防火墻，提供安全策略、IPS入侵檢測，病毒過濾、郵件過濾、防DDOS攻擊、流量整形等 遠程用戶VPN安全接入 在DMZ區，設置Web防御系統2) 網絡內部安全 基于物理和設備網絡安全 硬件設備自身安全 硬件設備安全管理：限止非法硬件設備接入到網絡 管理員身份認證/授權 管理通信數據加密 設備分權管理 利用交換機的自身防攻擊、防病毒功能，保證網絡主干的正常運行 基于網絡通信的網絡安全 資源組安全控制：不同部門，不同工作人員，分別設置不同的資源組。 防非法硬件設備和IP地址盜用； 訪問權限策略控制； 身份識別：利用交換機的用戶驗證功能，基于用戶名和密碼的資源組動態分配，對數據資源組的訪問采用用戶驗證； 基于應用聯動的網絡安全 桌面強制檢測系統 內部入侵檢測IDS4.1 新辦公樓網絡出口安全在新辦公樓網絡出口,配置一臺防火墻與本地INTERNET連接，實現安全隔離。網絡可提供雙出口與INTERNET通信,當一個ISP網絡或鏈路出現問題時,不會影響到網絡對INTERNET的訪問。4.1.1 防火墻安全規劃在出口防火墻上，集成全面的安全功能，實現出口通信的安全過濾和隔離，在兩臺出口防火墻上，可啟用防拒絕服務攻擊：防火墻內置入侵防護系統(IPS)，對各種針對網絡的攻擊，能夠實時檢測到并且阻斷、報警，提供防拒絕服務攻擊系統功能，實時防DOS和DDOS攻擊；支持系統、協議和特征庫管理；u 病毒檢測 病毒和蠕蟲防御：能夠檢測、消除感染現有網絡的病毒和蠕蟲，實時的掃描輸入和輸出郵件及其附件（SMTP，POP3，IMAP），在不損失Web性能情況下掃描所有Web內容和插件（HTTP）的病毒特征碼。 VPN反病毒：消除VPN隧道的病毒和蠕蟲，阻止遠程用戶及合作伙伴的病毒傳播。u Web 內容過濾： 處理所有的網頁內容，阻擋不適當的內容和惡意的腳本。 Web內容過濾：根據URL、關鍵詞模式匹配阻止Web站點及頁面。 免屏蔽列表：允許管理員設置專門的URL或關鍵字不被阻斷。 腳本過濾：阻止網頁的插件，例如ActiveX、Java Applets和Cookies。u 防火墻模式及服務 工作模式：網絡地址轉換，透明模式，端口地址轉換，路由模式。 用戶認證：內建用戶認證數據庫，支持RADIUS認證數據庫。 服務：支持20多種標準服務（例如：FTP、HTTP），支持用戶自定義服務和服務組。 時間表：根據小時、日、周和月建立一次性或循環時間表，防火墻根據不同的時間表定義安全策略。 虛擬映射：通過把外部地址映射到內部或DMZ網絡上的地址使得外部用戶能夠訪問內部的服務器。 IP/MAC綁定：自動進行IP與MAC地址的綁定，阻止來自IP地址欺騙的攻擊。 流量控制: 允許管理員定義帶寬限制并且可以給特定的防火墻策略設置優先等級。流量優先級的劃分 反病毒控制：基于防火墻訪問策略的細粒度病毒防御。u 虛擬專用網（VPN） 在網絡之間或網絡與客戶端之間進行安全通訊，支持工業標準的IPSec、PPTP、L2TP。 密鑰交換算法：支持自動IKE和手工密鑰交換。 硬件加速加密：支持DES，3DES和AES加密算法。 VPN客戶端通過：支持IPSec 和 PPTP客戶端通過。u 入侵檢測系統 實時的基于網絡的入侵檢測。 攻擊數據庫：用戶可配置的超過1300種攻擊特征庫確保可靠的管理。 攻擊檢測：檢測已知的DOS、DDOS攻擊，以及絕大多數操作系統和應用協議的漏洞。 郵件報警：當監測到攻擊時，防火墻會同時向3個郵件地址自動發出警報。4.1.2 移動用戶接入 VPN接入充分利用防火墻的VPN功能,提供移動用戶,安全接入到內部網絡。合法的移動用戶，采用VPN安全接入到內部內網,就可以安全訪問內部網絡的信息資源。移動用戶和家庭用戶，通過VPN，接入到內部網絡，實現網絡安全接入； 移動用戶可采用SSL-VPN，也可采用IPSEC VPN，安全接入到新辦公樓的網絡。4.2 核心交換機OmniSwitch9800技術特性OmniSwitch9800是OmniSwitch9000系列交換機，是第六代高密度線速萬兆以太網交換機，采用單片大于120G的ASIC處理芯片，提供真正線速10G、40G交換交換機交換容量高達3840Gbps,包交換率2880Mpps。OmniSwitch9000系列交換機是一種功能強大、智能化的多層交換平臺，可提供高性能，高通信帶寬和高可用的性能。這種新型第六代交換平臺是阿爾卡特公司現有OmniSwitch系列的升級換代產品。OmniSwitch9000提供了運營商級的優異特性和功能，具有空前的端口密度和海量的吞吐能力，為核心應用和關鍵性業務提供通信服務。第六代交換平臺采用最先進的新一代ASIC芯片，單模塊可提供大于240G的通信容量。提OmniSwitch9000交換機可提供無阻塞的高端口密度萬兆以太網交換、運營商級別的可靠性（99.999%）、分布式的多層安全性、智能化的交換和路由服務；最為關鍵的是，所有這一切全部是線速的。OmniSwitch 9000具有十分優異的網絡技術特性，為新一代IP通信平臺提供高速交換和無縫聯接，它在許多網絡環境中起著重要作用： 新一代萬兆城域網核心層 新一代大型園區網核心層 服務提供商ISP和大型數據中心（IDC） 其它專用網絡，如教育、廣電、電力、交通、航空、金融、政府等OmniSwitch9000是為新一代網絡應用要求而設計，是為處理最復雜的數據流要求而設計，可以提供無阻塞10G以太網交換,它們的關鍵特性包括： 運營商級可用性：99.999%，智能持續交換永不停頓網絡 交換機支持與防火墻、IDS（任意第三方產品）安全聯動，實現網絡分布式的IPS防護功能，交換機能自動隔離網絡中的攻擊源， 分布式多層安全性：增強型ACL、策略VLAN、認證服務、DoS/IPS保護、主機完整性驗證、與防火墻/IDS安全聯動和SSH/SSL等 虛擬交換結構，將多臺核心交換機，虛擬成單臺交換機，提供無環路架構，簡化網絡結構。支持DRR分布式路由,DLA分布式鏈路聚合,DDM分布式設備管理技術以提高系統可靠性； 現配硬件線速服務器負載均衡(SLB)模塊/功能，提供輪詢、比率負載均衡算法、提供服務器健康檢查、提供應用健康檢查功能，每臺支持不少于16個服務器組 現配硬件IP流采集和分析功能，支持Sflow（RFC 3176）標準格式的協議，能夠實現實時的流量分析和協議分析，支持基于源、目的IP/MAC、VLAN、協議、服務端口等流量統計 運營商級智能性：應用識別、L2/L3/L4 QoS分類 支持高性能獨立硬件WIFI無線控制器板卡，提供WIFI FIT AP管理能力 動態移動性：廣泛的VLAN支持、用戶認證VLAN功能和認證服務 支持標準802.1AE以太網鏈路加密功能 硬件策略路由PBR，支持服務重定向 支持MPLS VPN(VPLS)功能，支持VPLS，提供在IP/MPLS上的透明LAN服務 支持 LDP 的傳輸隧道建立和信令(包括平滑重啟) ，支持每服務接入點的靈活優先級映射/改寫，支持FRR提升彈性 支持多虛擬路由協議（Multi-VRF）功能 IP/IPX路由：IPv4（RIPv1/v2、OSPFv2、BGPv4）、IPv6（RIPng、OSPFv3、BGP4、RIP/SAP） IP組播交換(支持VLAN內部組播抑制功能)：IPv4(IGMP v1/v2/v3、PIM-SM/DM)、IPv6（MLD v1/v2，PIM-SM/DM 、DVMRP） 支持基于IEEE 802.1ad （QinQ VLAN 堆疊）的供應商橋接服務，支持透明LAN 服務，具有業務VLAN（SVLAN和客戶VLAN（CVLAN） 以太網用戶網絡接口（UNI）和網絡/ 網絡接口（NNI）服務 NEBs驗證1. 網絡核心交換機OmniSwitch9800性能： OmniSwitch9800交換機采用全分布式智能交換體系結構； OmniSwitch9800交換機具有18個插槽； OmniSwitch9800交換機交換容量3840Gbps,吞吐量2880Mpps。具有L2/3/4線速包交換。 支持10G、40G通信2. 系統特性 分布式硬件L2/L3/L4服務與處理 支持IEEE 802.1Q（VLAN）、802.1d、802.1w、802.1s、PVST+和RRSTP 支持生成樹的BPDU包守護和生成樹根守護功能 海量的處理能 無阻塞交換矩陣 線速第二層交換 線速第三層交換 線速ACL(訪問控制表) 線速組播交換和路由 線速病毒過濾3. 網絡核心交換機可靠性特性： 硬件包括：冗余的機架子系統、交換背板、管理模塊、電源和風扇、可熱插拔模塊、負載均衡各部件。 軟件包括：在單管理模塊中，支持冗余雙系統（即同一管理模塊有兩套操作系統和配置文件，用于當一個系統軟件失敗時，備份系統自動對損壞的系統進行修復，對丟失的配置進行自動恢復（可以使系統自動重新加載先前版本的配置和軟件）。 主備交換引擎及交換矩陣切換時，L2、L3、L4交換不中斷，丟包為“0” 交換機全冗余配置，具有運營商級別的可靠性，達到99999%標準； 交換機支持ISSU（不間斷軟件升級） 支持以太環網保護技術ERP（ITU G.8032）,業務切換時間小于50ms； 支持路由BFD（雙向轉發檢測）, 故障檢測時間小于50ms4. 協議支持： 支持路由協議：IPv4: RIPv1/v2、OSPFv2、BGPv4，IS-IS、IPv6: RIPng、OSPFv3、BGP4,RIP/SAP)支持分布式基于硬件的線速路由功能； 硬件IPv4/IPV6、MPLS通信 支持線速策略路由；支持服務重定向 源和目的IP、源和目的網絡組 源和目的TCP/UDP 源端口； 服務和服務組 內置端口組； IP組交換(支持VLAN內部組播抑制功能)，IP v6（MLD v1/v2，PIM-SM/DM 、DVMRP）、IPv4(IGMP v1/v2/v、PIM-SM/DM) 支持BootP/DHCP 5. 安全性特性： 交換機可與防火墻、IDS（任意第三方產品）安全聯動，具有IPS防護功能，實現分布式IPS防護功能；可自動防DOS攻擊保護，； 端口具有IPS自動阻斷網絡攻擊行為 支持主機完整性和安全性認證，確保接入網絡的每一臺主機是完全符合網絡安全規定的，不符合安全規定的設備將被隔離 線速病毒過濾 交換機支持基于硬件的訪問控制列表(基于IPv4/IPV6的ACL)； 源和目的Slot/Port、源和目的端口組、 源和目的接口類型 L2：源和目的MAC、源和目的MAC組、源和目的VLAN、IEEE 802.1p L3：源和目的IP、源和目的網絡組、IP-Protocol L4:：TCP/UDP協議、 TCP/UDP 源端口、 TCP/UDP目的端口 組播：組播IP、組播網絡組、目的VLAN 、PORT、PORT組、MAC、MAC組。 支持認證服務，支持基于RADIUS或LDAP驗證； 支持基于802.1x端口認證，支持802.1x Multi-client, multi-VLAN； 用戶通信權限認證，支持無須客戶端軟件的認證 支持Captive Portal認證 具有防病毒功能，Auto-install of IP anti spoofing 支持ARP過濾和限制技術，預防ARP欺騙攻擊 支持DHCP應答控制，預防以DHCP服務為手段的網絡攻擊 支持廣播風暴以及組播、單播風暴的壓制 支持動態ARP檢查防止MAC地址假冒 支持IP 源地址守護防止用戶自己設置靜態IP地址6. VLAN支持： 支持4096個 802.1Q VLAN； 支持基于端口、MAC地址、第三層地址和協議類型、用戶驗證、綁定規則的VLAN； 支持VLAN內主機隔離技術 支持用戶驗證VLAN（AVLAN） 支持802.1X認證； VLAN 堆棧7. QOS支持 流量監管：基于L2-4層對流進行分類（MAC 目的地址、IP 協議、 IP 源目的地址、TCP/UDP源目的地址、端口、接口類型、 VLAN, 組播等），交換機可以根據統一的策略對不同業務賦予不同的IP COS （IP 服務類別）,并且采用基于差分服務(DiffServ)進行流量標志和分類處理 隊列優先級管理：每個端口支持8個優先級的硬件優先級隊列 帶寬控制：支持基于流的入口帶寬限制。流量監管的粒度為為1kbps 流量整形：利用基于差額輪詢的硬件控制隊列調度實現輸出帶寬整形 隊列調度機制：Pay Check(Paycheck)循環法允許和WFQ算法類似的執行，支持大量的隊列。支持SPQ, WRRQ 擁塞避免機制：自有的Pay Check循環法，背壓，和IEEE 802.3x (可設計的閥值)流量控制，VSRED (非常簡單的隨機早期檢測)和WRED。每個被指派一個或者多個區分規則。隊列閥值通過如上方法監控，當隊列閥值被超出時，通過以上算法支持的內部機制開始在“控制方式”下丟包，直到隊列閥值回到正常范圍。 支持多種QoS映射方式: 802.1p到TOS和Diffserv，TOS到802.1p和Diffserv，Diffserv到802.1p和TOS； 支持基于L2, L3, L4的數據分類: 802.1p, IP COS, DiffServ， 支持端到端的QOS功能。8. 對路由協議的支持 RIP v1/v2 RIPng OSPF v1/v2/v3 OSPF ECMP IS-IS, BGP4、MP-BGP 硬件IPv6、MPLS通信 IPv6（MLD v1/v2、PIM-SM/DM SSM、DVMRP） IPv4 (IGMP v1/v2/v3、PIM-SM、SSM/DM、DVMRP) 支持BootP/DHCP VRRP/V1/V2/3 支持線速策略路由 支持服務重定向 源和目的IP、源和目的網絡組 源和目的TCP/UDP 源端口 服務和服務組 內置端口組9. 交換機管理 支持多種管理手段：包括命令行(CLI)、SNMP、Web和網管平臺、telnet、 支持Ethernet OAM (運行、管理和維護)，802.3ah EFM，支持帶外管理； 現配內嵌式的事件管理功能，能夠在預先設定的事件發生時利用機箱內預設的編程語言編寫的程序自動修改所有的配置文件命令語句，整個過程無需任何管理軟件或人工干預 支持端到端測試網絡延時、抖動、丟包、流量統計功能； 可以模擬PC終端向發出WEB服務器發出HTTP訪問請求及監測WEB服務器的回應時間和網頁傳輸時間， 能配合網管軟件輸出以上測試數據的各種統計圖表及報告，以上功能必須每個方向物理端口能夠同時啟用且同時工作。 支持UDLD、LLDP協議 統一的網管軟件 用戶移動組管理 基于策略Policy管理 語音和數據統一管理 Port mirroring (many-to-one) VLAN based Flow based Remote (802.1Q based) 端口監控，支持對本機和遠端交換機的端口做流量鏡像4.3 交換機OmniSwitch 6450技術特性OmniSwitch 6450是應用于企業和以太網桌面接入的新型三層可堆疊千兆以太網交換機，具有靈活、可擴展和低功耗的系統優化設計。融合了最新的技術和AOS 創新技術。1.交換機OmniSwitch 6450性能 交換容量：192Gbps/96Gbps 包交換能力： 142.8 Mpps /71.4 Mpps 提供真正的線速10G，完善的安全防護 線速L2/L3/L4交換機 全面的QoS支持 分布式多層安全特性 廣泛的路由、服務和過濾機制 支持服務器負載均衡 24/48 x 10/100/1000 端口或24 x 100FX/Gig SFP 2 x 10G Stacking links 最優化功率, 降低的深度和噪音程度 IPv4 and IPv6 RIP和靜態路由2.簡化管理 統一直觀的CLI命令行界面，降低培訓費用 基于Web的點擊式管理界面，使用簡單并配有內置幫助 支持OmniVista，實現全網管理 使用SNMPv1/2/3穿過在所有OmniSwitch 系列促進第三方NMS集成 遠程Telnet管理和使用SSH進行安全Shell訪問 文件上傳使用TFTP，FTP，SFTP或SCP 基于ASCII文本格式的配置文件，適用于離線編輯和批量配置 基于阿爾卡特朗訊5620智能業務管理3.監控與故障排除 本地（指示燈）與遠程服務日志：系統日志和命令日志 支持端口鏡像功能，同時允許一對四的端口鏡像 基于鏡像的策略允許使用QoS策略的鏡像流量通過 遠程端口鏡像，便于通過反映通過網絡通信量遠程連接的設備 端口監控功能，允許捕獲以太網中文件中的包，顯示在屏幕上以協助進行故障排除 sFlow的V5和RMON：先進的監測和報告功能對統計，歷史，警報和事件 IP 工具: ping和traceroute4.網絡配置 自協議10/100/1000端口自動協商端口速率和雙工設置 自動MDI/MDIX，自使用直通線和雙絞線 支持BootP/DHCP自動獲取管理IP地址，從而簡化安裝 DHCP中繼將客戶端請求轉發到DHCP服務器 阿爾卡特朗訊映射鄰接協議（AMAP）制作拓撲圖 符合IEEE 802.1AB鏈路層發現協議（LLDP）與MED擴展自動設備檢測 GARP VLAN注冊協議（GVRP）為支持802.1Q的VLAN 修剪與動態VLAN創建 自動QoS的交換機流量管理，以及來自阿爾卡特朗訊的IP電話流量 網絡時間協議(NTP)，實現全網時間同步 可堆疊至8臺（* 16臺請查看詳細情況）5.可靠性和高可用性 環快速生成樹（RRSTP）的環形拓撲優化的收斂不到100ms的時間 IEEE602.1S多生成樹協議：包括IEEE802.1D STP和IEEE802.1w快速生成樹協議 支持在每個VLAN上運行STP（PVST）和阿爾卡特的多生成樹(1x1工作模式) IEEE 802.3ad 鏈路聚合控制協議（LACP）和模塊之間的靜態LAG 聚合組 廣播和多播風暴控制，以避免影響整體系統性能 單向鏈路檢測（UDLD）：檢測和禁用光纖接口上的光纖單向鏈路。 冗余和熱插拔電源，收發器模塊提供不間斷服務 雙圖像和雙重配置文件存儲提供的備份6.高級安全/訪問控制 AOS Access Guardian綜合使用基于NAC策略架構 自動檢測的802.1X多客戶，多VLAN 基于MAC認證的非802.1x主機 基于Web的認證（強制網絡門戶） -交換機上可定制的網頁門戶，可用于驗證客戶端和非客戶端程序。 支持移動組和“guest” VLAN 在每臺交換機上的主機完整性檢測（HIC）代理強制執行HIC檢測，致使終端設備控制遵守企業策略；同樣支持檢察和修復(*) 用戶網絡配置文件（UNP） -簡化NAC管理和通過動態控制，提供預先定義的策略配置，以驗證客戶端的VLAN，ACL，BW,HIC 安全的SSH與支持PKI 的CLI的會話 集中RADIUS和LDAP用戶認證7.抑制，監測和隔離 支持阿爾卡特朗訊隔離管理和隔離VLAN（*） LPS或MAC地址鎖定只允許己知設備接入網絡，防止非法設備的接入 DHCP監聽，防止DHCP IP欺騙 TACACS +的客戶端允許通過遠程TACACS +服務器認證，授權和統計 動態ARP保護和ARP poisoning檢測 訪問控制列表過濾掉不必要的流量，包括拒絕服務攻擊，基于 硬件的流過濾（L1-L4） BPDU鎖定-自動切斷一個被認為是防止拓撲環路端口STP BPDU數據包的用戶端口 STP Root Guard -防止成為生成樹協議根節點邊緣設備8.融合網絡 PoE PoE模塊支持阿爾卡特朗訊IP電話和WLAN接入點，以及任何符合IEEE802.3af或者IEEE802.at的終端設備 可配置每個端口的PoE優先和最大分配功率 動態分配PoE，僅提供在最有效功耗情況下用電設備需要的總功率 QoS 優先級隊列：每端口的8個硬件隊列可進行靈活的QoS管理 流量優先：基于流量的QoS區分內部和外部優先級 帶寬管理：基于流的帶寬管理，入口速率限制，每端口出口速率整形 隊列管理：可配置的調度算法：嚴格優先級（SQP），加權循環（WRR）和差額循環（DRR） 擁塞避免：支持防止端對端的線段擁塞（E2E-HOL）屏蔽 自動QoS管理交換機流量和來自阿爾卡特朗訊的IP電話流量 三色標記單/雙速率Commit BW, Excess BW, Burst size9.L2,L3路由和多播 IPv4和IPv6 靜態路由的IPv4和IPv6 IPv4的RIP v1和v2，IPv6的RIPng 高達256個的IPv4/128 個IPv6靜態和RIP路由 高達128 I