成都大悅城網絡設備采購

投標文件（技術標）

投標人：四川龍達網絡信息技術有限公司

法定代表人及委托代理人（簽字或蓋章）:

2015年06月02日

目錄

一、服務實施方案說明........................................................................4

1..1項目情況和需求分析.................................................................5

總項目情況.......................................................................5

於需求分析....................................................................................5

**組網方案規劃設計...........................................................7

**核心層設計...................................................................8

”匯聚和接入層設計............................................................10

^廣域網出口設計.............................................................................13

**本設計方案的優勢...........................................................17

**組網安全性的保障...........................................................17

**組網可靠性的保障............................................................19

a*網絡可管理性的保障..........................................................79

於產品彩頁...................................................................................26

”供貨能力保證措施............................................................76

**產品和設備質量保證..........................................................76

**設備或產品供貨方案和計劃....................................................77

**設備供貨步驟................................................................77

**設備交付啟動會議............................................................77

”設計聯絡會議................................................................77

**設備的生產、制造、采購及出廠驗收測試......................................77

**設備的裝運發貨..............................................................78

**現場開箱檢畛................................................................78

卷全現場安裝....................................................................78

現場施工驗收測試..............................................................79

”系統驗收測試................................................................79

**系統驗收標準................................................................79

**項目實施配合和工程界面.....................................................80

*字需貴方配合事項..............................................................80

**供貨能力承諾書..............................................................81

濟物資品質保證措施............................................................82

?*物資進貨渠道................................................................82

**配件供應的完整性保證措施...................................................82

總質量保證措施................................................................82

班設計及設計聯絡階段.........................................................83

**工廠制造和監測階段.........................................................83

*”包裝、運輸和存儲階段.......................................................83

共到貨、倉儲及驗收階段.......................................................84

**妥費督導階段..............................................................84

”完工測試和綜合聯調階段.....................................................85

”試運行階段..................................................................85

**預驗收階段..................................................................85

”質量保證階段................................................................86

**竣工階段....................................................................86

**找公司質量保證體系..........................................................86

質量保證監督計劃..............................................................87

**針對本標段采購物資供貨及時性的說明及承諾..................................89

**保證交付日期的管理措施.....................................................89

*字按系統分解,明確分步目標...................................................89

**按專業工程分解,確定交接日期...............................................89

”計劃變更情況..................................................................89

**產品交付進度計劃及其保證措施...............................................89

裳*交付進度計劃..................................................................89

**設備交付進度控制措施........................................................90

**系統測試與驗收..............................................................92

**性能測試....................................................................92

”系統預驗收....................................................................92

**施工缺陷的修復..............................................................93

卷*系統竣工驗收..................................................................93

^本期項目完成交付后,后期的技術服務計劃、維護、承諾.........................94

**售后技術支持服務體系........................................................94

**服務優勢....................................................................95

”服務體系......................................................................95

**一站式服務內容..............................................................95

”專家技術咨詢服務.............................................................95

**對用戶的VIP服務承諾........................................................96

**售后服務承諾書.............................................................100

擬投入本項目的主要施工設備表................................................103

擬配備本項目的試驗和檢測儀器設備表.........................................104

**勞動力計劃表...............................................................104

**計劃開、竣工日期和施工進度網絡圖..........................................105

*字培訓........................................................................106

**培訓的意義................................................................106

**培訓的目標................................................................106

**培訓的組織機構.............................................................106

培訓計劃的制定...............................................................106

**培訓方式..................................................................107

**客戶培訓控制程序...........................................................107

**培訓記錄文件...............................................................108

**管理制度...................................................................109

服務機構....................................................................................Ill

二，其他109

**代理證書..............................................................................112

**開戶許可證113

一、服務實施方案說明

各投標單位自行擬定（但必須包括以下各項,分頁列明）

1、網絡架構深化設計,弱電布線及實施、安裝、調試詳細方案（分別描述設備安裝調試詳

細方案、工程管理方式,工程施工流程,如何保證工程質量工程進度等）

2、項目驗收流程說明、項目驗收標準與項目驗收清單模板

3、質保期內維護服務計劃,質保期屆滿后維修保養服務資料、建議和預計費用

4.售后服務承諾和響應時間承諾,日常緊急故障溝通流程及處理措施等

5.4項目實施及驗收計劃書》

**技術方案

1..1項目情況和需求分析

**項目情況

本次設計為成都大悅城網絡新建，旨在建設先進、智能、安全、可靠、可擴展的基礎網絡。

**需求分析

為滿足成都大悅城業務的發展，并保證在3—5年內大樓網絡的整體高性能，本次網絡建設

方案的設計將充分從以下幾個方面考慮：

?高性能

設備的可靠性一一網絡中所涉及的網絡設備，采用了電信級的高可靠設

計。H3c公司是中國最大的網絡設備制造商，有多年網絡設備的開發制

造技術積累，對可靠特性支持有獨到之處。我們選擇的H3CS10506核心

交換機提供交換引擎冗余備份的方式，并采用先進的IRF2虛擬化技術,

將兩臺設備虛擬成一臺設備，達到硬件冗余的效果，并且性能翻倍，電

源支持備份，并且設備切換實現毫秒級，網絡應用不會出現中斷。同時，

在網絡結構設計中，我們也采取了多項冗余措施，例如骨干連接相互冗

余、跨版匯聚等。

?高可靠

設備的可靠性一一網絡中所涉及的網絡設備，采用了電信級的高可靠設

計。H3c公司是中國最大的網絡設備制造商，有多年網絡設備的開發制造技

術積累，對可靠特性支持有獨到之處。我們選擇的H3cS10506核心交換機

提供交換引擎冗余備份的方式，并采用先進的IRF2虛擬化技術，將兩臺設

備虛擬成一臺設備，達到硬件冗余的效果，并且性能翻倍，電源支持備份，

并且設備切換實現毫秒級，網絡應用不會出現中斷。同時，在網絡結構設計

中，我們也采取了多項冗余措施，例如骨干連接相互冗余、跨版匯聚等。

?可擴展

網絡帶寬的可擴展性：H3c公司的核心、匯聚交換機產品支持

1G,10G,40G,100G端口擴展，在投資和光纜資源允許的情況下，現有建

設的網絡設備平臺可以支持較長時期內網絡容量擴容的需要。

?網絡互連的可擴展性

由于IP交換技術為非面向連接的技術，網絡的擴展表現為IP子網或VLAN

的增加，H3c公司以太網產品支持國際標準的IEEE802.1Q以及相關的

VLAN動態注冊協議，如GVRP、VTP等等，可以實現在邊緣增加VLAN后，

中心以及其他交換機不需任何配置就可以自動學習到新的VLAN,并支持

所有的國際標準協議，完全滿足與其他廠商的設備對接與擴容。

?安全性

方案中采用多種安全策略：

網絡路由信息交換安全策略：包含路由器的認證，路由信息過濾，多種

動態路由協議信息交換控制等。

網絡服務安全控制：包含標準訪問控制列表(ACL),擴展的訪問控制列表

(ExtendACL),動態訪問控制列表(RefHexACL),按數據流的訪問統計

和監控(Netflow)o

基于網絡層的加密：網絡設備可提供基于標準的網絡層加密技術：IPSec,

可以提供高可靠的網絡訪問安全機制。

網絡攻擊防范：通過匯聚交換機的防火墻插卡，對網絡進行安全域的劃

分，控制各個安全域的流量出入，過濾未知流量，防止外網攻擊。通過

核心交換機的IPS安全插卡，來動態防御網絡攻擊，再通過出口部署的

ACG產品，多級地實現安全過濾，使全網無死角的部署靈活的安全方案。

?易管理維護

由于采用TCP/IP協議這種非面向連接的網絡層互連協議，網絡的管理

重點在于網絡的結構化設計。整個網絡的服務提供均建立在一層次化方

式，也就是當新的用戶接入到網絡之中不會影響網絡的骨干，管理人員

只需在相應接入設備做相應的配置即可。

并且采用IMC智能管理平臺，集中管理網絡中所有的網絡設備，并且能

實現隨時查看網絡拓撲，清晰了解網絡情況，實時定位網絡故障，所有

設備均能發送告警或者日志到監控中心，使網絡管理達到真正的簡單、

局效。

?QoS支持能力

H3C10500系列和7500E系列，提供豐富的Diffserv/QoS支持，提供多

種規則組合條件下的流映射和分類、流量監管(CAR)、擁塞控制方法(RED、

WRED、SA-RED)隊列調度和輸出流整形等功能，真正做到業務區分并

保證帶寬/時延/抖動在限定的范圍之內，使貴行可以為用戶提供具有不

同服務質量等級的服務保證，使骨干網真正成為同時承載數據、語音和

視頻業務的綜合網絡。

并且出口ACG,能夠做到真正意義上的7層精細限速，支持超過4級通

道帶寬嵌套，滿足大型網絡管理要求，支持基于地址、用戶、服務、應

用、時間等新五元組一體化策略的上下行帶寬及多優先級控制，流量管

理無死角。

**組網方案規劃設計

本次網絡建設工程針對成都大悅城的具體情況和業務信息點布局，采月標準的三層網絡架構

模型設計，非常符合成都大悅城網絡的實際情況，合理考慮了各樓層網絡通訊的效率和整體

網絡的數據交換性能，并且在成本上控制在合理的范圍內。具體來講在網絡結構上，設置雙

核心交換機，形成雙星型拓撲結構；樓層各接入交換機通過雙鏈路分別連接至高性能匯聚交

換機S7500E,實現冗余鏈路，甚至實現鏈路上流量的負載均衡且互為備份，若其中一條線

路出現故障，不會影響網絡的運行，還可提高整個核心網絡的性能。

網絡核心層：配置核心交換機，即在大樓的中心機房配置兩臺高性能核

心交換機H3c10506。網絡接入層：配置接入交換機，即在大樓各樓層各井

道放置接入交換機S5110系列千兆快速交換機，以滿足網絡數據的快速轉發

需要。

網絡結構如下圖所示:

ACG1OOO-F

S10504<|RF2)

港多易區

lOOOBase-T

S2SO5E

**核心層設計

核心層負責整個網絡的數據交換，同時也是整網(LAN)的路由交換中心，全網所有第三層

的轉發交換都通過核心節點集中進行，為保證核心節點的高可用性，核心節點采用雙機虛擬

化方式，即配置兩臺高性能的H3CS10506,它們之間通過萬兆端口實現互連，并用IRF2

技術實現虛擬化。兩臺S10506構成雙機冗余結構，達到無單點故障的目的。這樣任意核心

節點都可以成為是業務的主要匯怠中心，核心節點與接入節點之間形成全冗余連接，以增強

整體網絡的容錯和故障隔禽能力。同時，各種應用服務器系統、網管系統等還可通過核心交

換機提供的電口業務板直接接入。

為了充分保障核心交換平臺的高可靠特性，S10506還支持雙處理引擎

以及冗余電源配置，規格指標達到電信級要求。具體業務單板跟端口需求相

關。

S10506采用先進的CLOS多級多平面交換架構，提供持續的帶寬升級能

力。

正交網板設計：S10500業務板卡與交換網板采用完全正交設計（90度），

跨線卡業務流量通過正交連接器直接上交換網板，背板走線降低為零（極大

規避信號衰減）。高速信號速率可達25Gbps/Serdes,為業界的2.5倍，極

大提升了系統帶寬和演進能力，整機容量可平滑擴展至百Tbps；

支持40GE和100GE以太網標準，充分滿足無阻塞園區網的應用及未來

發展需求。

獨立的交換網板卡，控制引擎和交換網板硬件相互獨立，最大程度的提

高設備可靠性，同時為后續產品帶寬的持續升級提供保證。

采用了創新的硬件設計，通過全分布式的獨立控制引擎、檢測引擎、維

護引擎為系統提供強大的控制能力和毫秒級的高可靠保障；

分布式的控制引擎，所有業務板均提供強大的控制處理系統，輕松處理

各種協議報文及控制報文，并支持協議報文精細控制，為系統提供完善的抗

協議報文攻擊的能力；

分布式的檢測引擎，所有業務板都可以分布式的BFD、OAM等快速故障

檢測，并與控制平面的協議實行聯動，支持快速保護切換和快速收斂，可以

實現毫秒級的故障檢測，保障業務不中斷

面向園區網橫向業務整合的需求，S10500支持IRF2（第二代智能彈性

架構）技術，將多臺高端設備虛擬化為一臺邏輯設備，是業界首款支持4框

虛擬化的核心交換機產品，在可靠性、分布性和易管理性方面具有強大的優

勢，主要體現在三個方面：

可靠性：通過專利的路由熱備份技術，在整個虛擬架構內實現控制平面

和數據平面所有信息的冗余備份和無間斷的三層轉發，極大的增強了虛擬架

構的可靠性和高性能，同時消除了單點故障，避免了業務中斷；

分布性：通過分布式跨設備鏈路聚合技術，實現多條上行鏈路的負載分

擔和互為備份，從而提高整個網絡架構的冗余性和鏈路資源的利用率;

易管理性：整個彈性架構共用一個IP管理，簡化網絡設備管理，簡化

網絡拓撲管理，提高運營效率，降低維護成本。

10500系列產品可以在縱向維度上支持異構虛擬化，將核心和接入設備

通過IRF3技術形成一臺縱向邏輯虛擬設備，支持AC、AP統一管理、配置,

相當于把一臺盒式設備作為一塊遠程接口板加入主設備系統，可支持多達60

臺盒式設備加入，以達到擴展I/O端口能力和進行集中控制管理的目的。IRF3

技術可以簡化管理，大幅度降低網絡管理節點；簡化布線，二層變為一層，

節省橫向連接線纜；最終實現數據轉發平面虛擬化，便與簡化業務部署和自

動編排。

**匯聚和接入層設計

本次整個網絡采用標準的三層網絡結構。由于大悅城地理環境原因，匯聚層和接入交換機之

間采用光纖互聯，并且使用雙鏈路上行，實現冗余鏈路，甚至實現鏈路上流量的負載均衡且

互為備份，若其中一條線路出現故障，則備份線路自動啟動，不會影響網絡的運行，并大大

提高整個網絡的數據交換性能。

各接入交換機以太端口負責接入各終端，終端以千兆以太網電口接入。

我們選用的H3cs7500E面向數據中心技術的演進，推出了IRF2為代表

的軟件虛擬化技術，提供2-4臺主機的協同工作、統一管理和不間斷維護功

能；IRF2不僅成為數據中心交換設備高性能、虛擬化的關鍵技術，而且對于

傳統企業網應用，IRF2所提供的高可靠性和無縫升級、擴展能力，也成為

H3c用戶增值服務的重要組成部分；另外H3c的IRF2虛擬化技術還可根據

組網的要求支持長距離(80KM)的普通以太網萬兆光纖堆疊。

H3CS7500E系列產品可以在縱向維度上支持異構虛擬化，將核心和接

入設備通過IRF3技術形成一臺縱向邏輯虛擬設備，支持AC、AP統一管理、

配置，相當于把一臺盒式設備作為一塊遠程接口板加入主設備系統，以達到

擴展I/O端口能力和進行集中控制管理的目的。IRF3技術可以簡化管理，大

幅度降低網絡管理節點；簡化布線，二層變為一層，節省橫向連接線纜；最

終實現數據轉發平面虛擬化，便與簡化業務部署和自動編排。

H3CS7500E所有產品均支持Multi-VRF特性，可以作為MCE設備使用；

支持三層的MPLSVPN和二層的MPLSVPN(Martini.Kompella)；支持MPLS

0AM特性，方便用戶的管理和維護；與H3cMpLSVPNManager配合，實現圖

形化的MPLS部署與維護。

全面支持VPLS,VLL,還支持分層VPLS以及QINQ+VPLS接入方式，提

供端到端2層VPN接入方案，支持MPLS/VPLS全線速轉發，滿足VPLS規模

部署要求。

H3CS7500E集成的無線控制模塊提供豐富的業務能力，包括精細的用

戶控制管理、完善的RF管理及安全機制、快速漫游、超強的QoS和對IPv6

的支持等；無線控制模塊通過與安全策略服務器的聯動，實現對無線接入用

戶的端點準入防御，提高了整網的安全性。

H3c7500E采用了支持AC功能的芯片設計，可拓展隨板AC功能，為客

戶組建有線無線一體化網絡的提供更豐富的選擇。

H3CS7500E是業界最高密度的以太網無源光網絡(EPON)設備，其提

供高可靠的EPON系統，采用分布式體系結構、模塊化設計，主控板冗余熱

備份、無源背板、冗余電源支持雙路供電，具有電信級可靠性。

H3CS7500E系列產品可以助力用戶從容面對云數據中心化所需的一系

列技術及解決方案：

TRILL：隨著服務器和交換機規模的增加，數據中心網絡越來越傾向于

扁平化的網絡架構以便于維護管理，這就要求構建一個大型的二層網絡；H3C

S7500E系列產品支持通過TRILL技術和縱向虛擬化技術來進行數據中心大二

層網絡的構建。數據中心大二層技術TRILL(TRansparentInterconnection

ofLotsofLinks,多鏈路透明互聯)協議將三層路由技術IS-IS

(IntermediateSystem-to-IntermediateSystem,中間系統到中間系統)

的設計思路引入二層網絡，并對其進行了必要的改造。從而將二層的簡單、

靈活性與三層的穩定、可擴展和高性能有機融合起來。

MDC：H3CS7500E產品可以通過MDC技術實現正真的1：N的虛擬化，

即把一臺交換機虛擬成N臺互相獨立的虛擬交換機，不同于傳統的交換機虛

擬化技術，MDC虛擬出的每臺交換機之間物理隔離、安全隔離，擁有獨立的

硬件資源和管理權限，滿足多業務客戶共享核心交換機的需求，這樣，一方

面可以充分利用核心交換機的能力達到隔離復用的作用，另一方面也降低了

用戶的投資成本，一舉兩得。

EVB：H3CS7500E產品支持EVB(EdgeVirtualBridging),通過VEPA

(VirtualEthernetPortAggregator)技術將虛擬機產生的網絡流量上傳至

與服務器相連的物理交換機進行處理，不僅實現了虛擬機間流量轉發，同時

還解決了虛擬機流量監管、訪問控制策略部署等問題。

FCOE：H3cs7500E系列產品支持FCOE技術；FCOE技術主要用來解決

云計算數據中心LAN網絡和存儲網絡異構的問題，通過FCoE和CEE技術的

部署，可以實現數據中心前端網絡和后端網絡架構的融合，解決數據、計算

和存儲三網割裂的技術難題，從而大大降低數據中心的采購和擴容成本；

EVI：H3CS7500E系列產品支持EVICEthernetVirtualInterconnection,

以太網虛擬化互聯）技術，EVI是一種先進的〃MACinIP〃技術，EVI解決方

案部署非常簡單，基于現有的IP網絡，給分散的物理站點提供靈活的二層

互聯功能。

H3CS5U0系列交換機支持所有端口線速轉發，滿足了用戶對高帶寬的

需求。S5110系列交換機至少支持2或4端口千兆上行，并且SFP端口既可

以支持百兆光模塊，也可以支持千兆光模塊，在降低用戶成本的同時，更好

的考慮了用戶后續升級的實際需求。H3cs5110系列交換機可支持32臺設備

的堆疊，最大擴展至1664個100/1000M端口，支持不同端口設備的混合堆

疊。具有即插即用、單一IP管理。同時大大降低系統擴展的成本，保護了

用戶投資。

H3CS5110系列交換機支持特有的ARP入侵檢測功能，可有效防止黑客

或攻擊者通過ARP報文實施日趨盛行的“ARP欺騙攻擊”。支持IPSource

Guard特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內的非法地址仿冒，

以及DoS攻擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕

私設DHCP服務器，保證DHCP環境的真實性和一致性。

H3CS5110系列交換機支持端口安全特性族，可以有效防范基于MAC地

址的攻擊，實現基于MAC地址允許/限制流量。

H3CS5110系列交換機提供802.IX和MAC認證方式對接入的用戶進行

認證，支持客戶端軟件版本檢測、GuestVLAN等功能，和iMC配合還可以實

現代理檢測、雙網卡檢測等功能。通過這些功能的應用可以對用戶的合法性

進行充分的檢查和控制，最大程度的減少非法用戶對網絡安全的危害。

多重可靠性保護H3CS5U0系列交換機支持以太網0AM和CFD,可以有

效提高對以太網的管理和維護能力，保障網絡的穩定運行。

H3CS5110系列交換機支持SmartLink和MonitorLink,可以為雙

上行鏈路提供更高效，更可靠的鏈路備份。

H3CS5110系列交換機支持RRPP,可為環形組網提供更快的拓撲收斂，

使數據傳輸更為穩定。

H3CS5110系列交換機支持端口限速以及流限速功能，防止惡意侵占網

絡帶寬，也為網絡帶寬的精細化管理提供了手段。

H3CS5110系列交換機支持豐富的隊列調度算法，可以以不同的優先級

將報文放入端口的輸出隊列。

H3CS5110系列交換機支持豐富的IPv6管理功能及支持豐富的IPv6業

務特性等。

H3CS5110系列是H3c新一代綠色節能以太網交換機，采用多種綠色節

能設計，包括auto-power-down（端口自動節能）,如果在一段時間內接口

狀態始終為down,則系統自動停止對該接口供電，自動進入節能模式；支持

一鍵節能模式，通過控制設備上指示燈亮/滅以及端口節能狀態降低能耗；

支持EEE節能功能，端口如果在連續一段時間之內空閑，系統會將該端口設

置為節能模式，當有報文收發時再通過定時發送的監聽碼流喚醒端口恢復業

務，達到節能的效果，滿足材料環保與安全性的歐盟RoHS標準。

**廣域網出口設計

整個大悅城網絡廣域網出口只有一臺路由器，全部與外網的通信均由此設備負載，可以說千

斤重擔系于一身。因此，此設備自身的可靠性是非常關鍵的因素。

H3C公司的SR6602系列高端路由器可完全滿足本設計方案廣域出口的

要求，并且可擴展多種接口，支持全部動態路由，達到真正意義上的多業務

處理。

路由器以下采用ACG安全產品，實現對網絡流量的精細控制，做到真正

意義上的7層精細限速，支持超過4級通道帶寬嵌套，滿足大型網絡管理要

求，支持基于地址、用戶、服務、應用、時間等新五元組一體化策略的上下

行帶寬及多優先級控制，流量管理無死角。

H3CSR6602-X雙萬兆網關基于業界領先緊湊型設計理念，在2U高設備

上不僅集成高密度高速端口，支持FIP-20和FIPT0靈活接口設計，還實現

了可插拔冗余電源和模塊、風扇可插拔功能，在保證設備高可靠性、網絡配

置靈活性的同時確保業務模塊的兼容性，最大限度保護用戶投資。H3C

SR6602-X萬兆網關采用高性能多核處理器作為NAT業務處理引擎，多核多線

程處理器的應用，使SR6602-X萬兆網關具備高性能和靈活性等特點，從而

在并行處理各種復雜的NAT業務同時能夠實現數據的高速轉發。

H3CSR6602-X雙萬兆網關可以平滑升級到新一代的ComwareV7網絡操

作系統。ComwareV7控制平面采用多核及SMP（Symmetrical

Multi-Processing對稱多處理）技術，各軟件模塊有獨立的運行空間，可以

動態加載、單獨升級，支持ISSU。ComwareV7能夠保證關鍵業務性能及實

時性。支持指定進程集合運行在專有的CPU上，為關鍵任務的運行提供資源

保障、線程的搶先調度及合理的優先級設置，保證系統CPU負荷高時，有實

時性要求的功能仍然可以及時響應事件進行處理。ComwareV7能夠提供良好

的進程級可靠性。支持進程內存保護、進程級重啟、進程級備份、進程級補

丁等技術。

SR6602-X的網關模式具有雙萬兆的強大NAT業務性能：SR6602-X網關

模式NAT會話數最高支持400萬；在疊加NAT、防火墻以及策略路由等常見

網關應用的情況下，256字節報文轉發性能可以達到15Gbps。在并發200萬

NAT連接時，256字節以及IMIX互聯網混合報文的NAT轉發性能仍然仍可超

lOGbpsoSR6602-X強大的NAT轉發性能，完全可以滿足各種超大型園區網出

口的性能要求，并能滿足用戶今后出口帶寬擴容需求。

作為網關出口經常要面對雙出口或多出口的情況，SR6602-X的網關模

式支持靈活的出口選擇技術：在內部用戶訪問Internet方向，采用靈活的

路徑選擇技術，可以根據出口網絡資源利用情況、內部用戶的訪問需求、目

的網絡地址所屬運營商、基于用戶應用等因素，規劃網關出口的選擇；在

Internet用戶訪問內部服務器方向，可以根據Internet用戶入內部網絡的

運營商線路，智能選擇該用戶回程流量的運營商線路，保證入出網關流量的

路徑一致；另外，在多出口場景時，還可以基于EAA功能解決個別出口超負

載后的流量調整問題。針對出口鏈路設定一定的閾值，達到閾值后可以調整

部分流量到負載較為空閑的鏈路上。

作為大型企業的出口網關設備，在部署NAT功能的同時，還可能需要部

署各種VPN應用。SR6602-X萬兆網關全面支持GRE、L2TP、IPSec等VPN功

能，借助多核處理器內嵌的強大加密引擎，可以為用戶提供大容量、高性能

的安全VPN接入。在硬件上支持獨立的硬件加密內核，在不增加用戶投資的

前提下可提供8GbpsIPSec數據加密處理能力，6000條IPSec隧道、32000

條L2Tp隧道、4000條GRE隧道，高性能的加密能力以及超大的隧道容量可

以滿足各種大型加密網關的要求，保證用戶數據在廣域網的傳輸安全。

H3CSR6602-X網關路由器憑借靈活接口平臺設計具備強大的擴展能力。

FIP-10可同時支持4個多功能接口模塊(MIM),FIP-20可以同時支持2個

高速接口模塊(HIM)或2個多功能接口模塊(MIM),并支持口M和MIM接

口模塊之間混插。

SR6602-X網關模式可以支持FE、GE以及10GE等多種速率的以太接口

卡，在接口介質上可以支持電口和SFP光口，光口還可以支持百兆、千兆自

適應。用戶按需購買，應用靈活方便。

H3CSR6602-X網關路由器支持大容量路由轉發表項，同時支持豐富的

路由策略和強大的策略路由功能，可對網絡流量進行靈活的控制和調度，滿

足行業和運營商用戶不同業務特性要求。此外，H3CSR6602-X還全面支持基

于IPv4/IPv6靜態路由和動態路由協議，如：RIP/RIPng.0SPF/0SPFv3、

IS-IS/IS-ISv6.BGP/BGP4+等。

SR6602-X秉承高端設計理念給用戶提供全面的可靠性保障:在硬件上，

提供可插拔電源冗余設計，支持交流或直流電源輸入，保證用戶在一路電源

故障的情況下能夠繼續運行設備；支持全部接口模塊的熱插拔功能，確保用

戶在不間斷業務的情況下插拔或者更換單獨的模塊，并提供熱補丁技術，實

現軟件平滑升級。

支持MPLSTEFRR(FastReRoute,快速重路由)，具備快速路由備

份(FRB：FastRoutingBackup)特色功能，并結合BFD功能，實現故障鏈

路的快速切換。

支持IPFRR(FastReRoute,快速重路由)，可以和靜態路由/策略

路由/RIP/IS-IS/OSPF進行聯動，并可以結合BFD功能，實現故障鏈路的快

速路由切換。

支持IGP快速收斂。

支持虛擬路由冗余協議(VRRP),結合BFD故障檢測機制，實現快速的

VRRP倒換能力。此外，還支持增強型虛擬路由冗余協議(VRRPE),可實現

多個虛擬路由器的負載分擔功能。

支持OSPF/IS-IS/BGP/MPLSLDP/MPLSRSVP-TEGR（GracefulRestart,

完美重啟）功能實現主備引擎倒換時不間斷轉發。

SecPathACG支持超過4級通道帶寬嵌套，滿足大型網絡管理要求，支

持基于地址、用戶、服務、應用、時間等新五元組一體化策略的上下行帶寬

及多優先級控制，流量管理無死角。

SecPathACG設備的智能流控技術將出口物理線路帶寬劃分為邏輯虛擬

線路，在父線路內支持二次劃分，即將線路劃分為通道，從而達到多級流控。

根據流量特征，智能識別應用和服務，之后根據流量特性，識別出配置的虛

擬線路和流控管道，計算出管道的帶寬使用率，是否需要向父節點借用帶寬

等信息。在轉發過程中，支持流量整形，在接口上緩存報文，并以比較均勻

的速度發送出去，避免網絡出現burst,導致丟包。

SecPathACG產品整機提供32個虛擬線路、1024個帶寬通道、4級流

控，徹底告別陳舊的流控技術，讓帶寬管理做到最精細！

通過H3c長期積累的狀態機檢測、流量交互檢測技術，能精確檢測115

網盤、電信通、盛大網盤、百度網盤、360云盤、Thunder/WebThunder（迅

雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、

新浪UC、阿里旺旺、新浪微博、騰訊微博、天涯論壇、貓撲論壇、微信等

P2P/IM/網絡游戲/炒股/網絡視頻/網絡多媒體等多種主流網絡應用，為應用

控制及審計提供有力支撐。

SecPathACG采用了DPI/DFI融合識別技術，相對于傳統的流控產品，

控制力度更精細，控制層面不再局限在主程序，更能深入識別應用程序的子

功能。例如對新浪微博的控制力度不僅僅是登錄動作，更是深入識別到注銷、

發表、評論、轉發、關注、搜索等子功能，支持單應用高達12種行為動作

控制、超過八百種主流應用類別識別、近60種分類URL審計過濾、桌面及

移動終端均可審計控制，提供最精細的控制功能。

提供實時的業務流量趨勢圖、流量分布圖、TopN用戶列表、TopN應

用協議列表等報表，并支持按照用戶名/用戶組、使用時段、應用分類、應

用協議、流量大小、安全事件等進行多維度組合定制報表，使用戶能全面掌

握網絡中的流量、應用和業務分布，為合理規劃網絡、制定流量控制策略提

供依據。

可對各種網絡社區、P2P/IM、網絡游戲、網絡多媒體、文件共享、郵件

收發、數據傳輸、數據庫應用等各種上網行為提供全方面的行為監控和記錄；

同時，通過綜合分析、檢測用戶網絡流量與流向趨勢，對歷史數據進行分析，

為用戶提供細粒度的網絡應用審計管理系統。

H3c專業特征庫團隊密切跟蹤應用變化，并對應用協議特征庫及時更新；

支持對協議特征庫的在線自動/手動升級、本地升級，且升級過程無需重啟

系統，不影響系統業務運行。

針對各企業為用戶組建免費WIFI的大趨勢并結合移動互聯網營銷需求,

H3CACG1000產品為用戶提供創新的微信推廣方案，用戶只需關注企業公眾

號后簡單操作即可獲得上網權限。

**本設計方案的優勢

**組網安全性的保障

H3C的網絡設備為本網絡提供如〈幾方面的安全保障：

＞在核心交換機上提供了IPS入侵防御系統，SecBladeIPSEnhanced是業界唯

一集成漏洞庫、專業病毒庫、應用協議庫的IPS模塊。配合H3cFIRST（Full

InspectionwithRigorousStateTest,基于精確狀態的全面檢測）專有

引擎技術，能精確識別并實時防范各種網絡攻擊和濫用行為。SecBladeIPS

Enhanced通過了國際權威組織CVE（CommonVulnerabilities&Exposures,

通用漏洞披露）的兼容性認證，在系統漏洞研究和攻擊防御方面達到了業界

頂尖水平。SecBladeIPSEnhanced集成卡巴斯基防病毒引擎和病毒庫。采

用第二代啟發式代碼分析、iChecker實時監控和獨特的腳本病毒攔截等多種

最尖端的反病毒技術，能實時查殺各種文件型、網絡型和混合型病毒；并采

用新一代虛擬脫殼和行為判斷技術，準確查殺各種變種病毒、未知病毒。H3C

專業安全團隊密切跟蹤全球知名安全組織和廠商發布的安全漏洞公告，通過

準確的分析，快速生成保護操作系統、應用系統以及數據庫漏洞的特征庫；

H3c通過了微軟的MAPP（MicrosoftActiveProtectionsProgram,微軟主

動防御計劃）認證，可以提前獲得微軟的漏洞信息。同時，通過部署于全球

的蜜罐系統，實時掌握最新的攻擊技術和趨勢，以定期1每周）和緊急（當

重大安全漏洞被發現）兩種方式發布，并自動或手動地分發到SecBladeIPS

Enhanced模塊中，使用戶的SecBladeIPSEnhanced模塊快速具備防御零時

差攻擊的能力。領先的多核架構及分布式搜索引擎，確保SecBladeIPS

Enhanced在各種大流量、復雜應用的環境下，仍能具備線速深度檢測和防護

能力，僅有微秒級時延。IPS模塊通過嵌入到交換機中，可以有效降低單點

故障，即使在SecBladeIPSEnhanced出現故障時也能保證數據業務的正常

轉發。除了在線部署，SecBladeIPSEnhanced模塊還可以采用旁路部署的

模式，實現IDS入侵檢測的功能。

在匯聚交換機H3c7500E采用了H3cSecBladeFWLite防火墻模塊，該模塊

采用先進的多核硬件結構，提供高性能的安全防護；同時采用H3cComware

安全軟件平臺，是成熟的安全防火墻業務模塊。支持對DoS/DDoS攻擊、ARP

欺騙攻擊、TCP報文標志位不合法攻擊、超大ICMP報文攻擊、地址/端口掃描、

ICMP重定向或不可達攻擊、Tracert攻擊、帶路由記錄選項IP報文、

Java/ActiveXBlocking和SQL注入攻擊等威脅的防范；支持靜態和動態黑名

單、MAC綁定、安全區域控制、系統統計等安全功能。集成IPSec、L2TP、

GRE等多種成熟VPN接入技術，保證移動用戶、合作伙伴和分支機構安全、便

捷的遠程接入。提供多對一、多對多、靜態網段、雙向轉換、￡25丫訃和。和

映射等多種NAT應用方式。提供DNS、FTP、H.323、NBT等NATALG功能，支持

多種應用協議正確穿越NAT。支持先進的虛擬防火墻技術，通過在同一臺物

理設備上劃分多個邏輯的防火墻實例來實現對用戶多個業務獨立安全策略

部署的需求。當用戶業務劃分發生變化或者產生新的業務部門時，可以通過

添加或者減少防火墻實例的方式十分靈活的解決后續網絡擴展問題，簡化了

網絡管理的復雜度。直接在113c交換機、路由器中增加SecBladeFWLite模

塊，即可擴展交換機的防火墻功能。通過與交換機共用管理平臺，降低了管

理難度。并且交換機的任何端口都可以作為SecBladeFWLite模塊的端口

使用，從而降低用戶成本。SecBladeFWLite業務模塊作為業務插卡嵌入

H3c交換機中，降低了單點故障，保證了網絡的高可靠性。

除了提供MAC地址綁定、IP+MAC地址綁定等等常用特性以外，H3c還在交換機

上提供了802.IX認證技術，802.IX認證技術是目前比較通行的認證技術，通

過802.IX接入認證，不但可以記錄用戶的MAC地址，還可以記錄了用戶的IP

地址、VLANID等，同時還可以監測網絡用戶使用網絡的時間起止段、時長

以及流量的大小，可以有效的對整個網絡資源的使用做出統一調度、安排;

同時通過802.IX認證，只要帳號、密碼、MAC地址、IP地址和VLANID任何一

個與接入設備上保存的信息匹配不上，就不允許此報文通過。

＞H3c的所有交換機均提供強大的QoS能力，S5110系列二層交換機提供基于硬

件的功能豐富的QoS能力，可以從接入層對網絡的流量、業務類型進行QoS策

略的設計和規劃以及過濾，對不同的業務提供不同的質量保障，同時也能將

一些ping攻擊、icmp攻擊進行過濾，從而從接入層保證網絡的安全。

＞**組網可靠性的保障

H3C10506冗余/熱備份

主控板1：1冗余熱備份

分布式轉發，路由和交換系統不存在單點故障

交流電源：1+1冗余熱備份

風扇系統：熱備份

單板支持熱插拔而不丟失配置數據

電信級熱備份，單板倒換不影響系統正常運行和業務轉發

＞網絡可靠性

采用了端口捆綁、鏈路聚合提供了鏈路備份和負載均衡。

內網的兩臺S10506運行IRF2協議，一旦其中一臺發生故障，所有流量自動

切換到另一臺上，保證網絡的不間斷。

**網絡可管理性的保障

按照用戶網絡管理的要求，網絡的管理軟件采用H3c公司的IMC網絡管理系統管理，特點

如下：

＞中文管理操作界面

中文網管界面，方便國內用戶操作和使用。使得網絡管理人員可以更加靈活

的選擇語種進行操作。

＞網絡集中監視

全網設備的統一拓撲視圖

拓撲自動發現，拓撲結構動態刷新

可視化操作方式：拓撲視圖節點直接點擊進入設備操作面板

在網絡、設備狀態改變時，改變節點顏色，提示用戶

對網絡設備進行定時（輪詢間隔時間可配置）的輪循監視和狀態刷新并表現

在網絡視圖上

支持拓撲過濾，讓用戶關注所關心的網絡設備情況

支持快速查找拓撲對象，并在導航樹和拓撲視圖中定位該拓撲對象

＞故障管理

告警實時監視，提供告警聲光提示，支持外接告警箱

支持告警過濾，讓用戶關注重要的告警，查詢結果可生成報表

支持告警基級別重新定義，支持告警轉存，保證系統的運行效率和穩定性

支持告警拓撲定位，將顯示的焦點定位到產生選定告警的拓撲對象

A故障定位與地址反查

針對最為常見的端口故障，IMC網絡管理軟件提供了便捷的定位檢測工具一

一路徑跟蹤和端口環回測試；當用戶報告網絡端口使用異常時，網絡管理員

可以通過網管對指定用戶端口做環回測試，直接定位端口故障。

端口反查功能支持兩種方式的查找定位功能：MAC地址端口反查和IP地址

端口反查，使用時分別輸入終端用戶的MAC地址或IP地址，能夠定位該終

端用戶連接的交換機及交換機的端口，幫助網絡管理員及早定位非法報文接

入網絡的原始端口，及時關閉端口，防止一些違規用戶進行非法操作比如濫

發報文、訪問非法站點等，危害網絡安全。

H3CIMC管理軟件支持各業務在首頁發布widget（WebWidget,中文譯名被

稱作是微件,是一小塊可以在任意一個基于HTML的Web頁面上執行的Web子

頁面），每個widget具有折疊、還原、最大化、拖拉、關閉、新窗口打開、

自動異步刷新等功能。

支持用戶在自己的權限范圍內定制個性化主頁。

支持通過高分辨率大屏幕監視網絡運行情況，以便實時掌握網絡運行狀態，

顯示的內容可根據管理員的需求進行定制。

支持使用移動客戶端（智能手機、平板電腦）訪問iMC中的資源，以簡化網

絡的日常管理和監控，提升管理效率。當前版本的iMC支持iOS（iOS4.3

或更高，iPhone>iPodtouch^iPad兼容）、Android（Android2.1updatel

或以上版本）操作系統的移動設備訪問。通過iMC移動智能客戶端，管理員

可以查詢特定設備，瀏覽存在故障的設備信息及接口信息，對設備進行可達

性測試（Ping,TraceRoute）等操作。

更多的管理設備類型：除了傳統的路由器、交換機外，更能對網絡中的無線、

安全、語音、存儲、監控、服務器、打印機、UPS等設備進行管理，實現設

備資源的集中化管理。

多廠家設備的統一管理：除了對H3c的網絡設備管理外，iMC平臺還實現了

對HP、3com、華為、Cisco各廠家網絡設備的分類和識另J；對設備狀態和基

本信息的管理，不僅包含了設備的基本信息、接II信息、性能數據和告警信

息，同時還可以在增加其他組件的情況下顯示擴展后的業務信息。

支持對設備訪問參數的批量配置和校驗，提供對網絡設備資源的查找、修改、

刪除和批量導入/導出功能；提供用戶的批量管理功能，包拈：批量修改用

戶附加信息、批量注銷用戶，以及批量用戶導入功能，節省操作員錄入時間。

靈活快捷的自動發現算法：基于H3c專利的發現算法，iMC平臺不僅提供了

快速自動發現方式，還提供了四種高級自動發現方式，包括路由方式、ARP

方式、IPSecVPN方式、網段方式等，能快速、準確地發現網絡資源。

清晰的網絡設備資產管理：在將iMC平臺中管理的設備增加到網絡資產管理

的同時，系統還會自動發現該設備上可以管理的配件信息，并將這些配件加

入到網絡資產中進行管理，管理員可以對網絡資產信息進行修改，還可以查

看該資產的子模塊信息、接口信息以及變更審計歷史信息。

多種網絡拓撲視圖：除傳統的IP拓撲視圖外，iMC平臺還提供全網絡的拓撲

視圖和自定義拓撲視圖，使用戶可以根據自己的組織結構、地域情況、甚至

樓層情況清晰靈活地繪制出客戶化的網絡拓撲。在全網絡拓撲視圖中，用戶

可以隨意組織和定制子圖。

增強的二層拓撲：傳統實現的拓撲都是基于IP的三層拓撲，iMC平臺在此基

礎上更支持二層拓撲，實現了同一個VLAN或者網段內部PC與網絡設備、二

層網絡設備之間的互連關系，更方便直觀的體現了網絡中