/XXXX市行政中心電子政務(wù)網(wǎng)絡(luò)系統(tǒng)解決方案華為3Com技術(shù)有限公司2005年1月

目錄第一章用戶需求分析 11.1工程概述 11.2需求分析 1第二章組網(wǎng)方案 32.1政務(wù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu) 32.2內(nèi)外網(wǎng)的邏輯隔離 52.3政務(wù)網(wǎng)平安 5第三章網(wǎng)絡(luò)平臺(tái)平安設(shè)計(jì) 103.1網(wǎng)絡(luò)互聯(lián)互通分析及平安控制 103.1.1二層互通分析及控制 103.1.2三層互通分析及控制 103.2設(shè)備自身的平安防護(hù)技術(shù) 113.2.1口令管理 113.2.2控制對(duì)設(shè)備的訪問(wèn) 11第四章網(wǎng)絡(luò)規(guī)劃建議 144.1IP地址規(guī)劃 144.2VLAN設(shè)計(jì) 154.3路由策略 164.4QoS設(shè)計(jì) 194.4.1主要的QOS效勞模型 194.4.2QOS策略 20第五章網(wǎng)絡(luò)管理 245.1網(wǎng)絡(luò)管理需求 245.2網(wǎng)絡(luò)管理平臺(tái)設(shè)計(jì) 245.2.1網(wǎng)絡(luò)集中監(jiān)視 245.2.2故障管理 255.2.3流量性能監(jiān)控 255.2.4故障定位與地址反查 265.2.5Web特性 26附錄：組網(wǎng)設(shè)備介紹 28Quidway?S8500系列萬(wàn)兆核心路由交換機(jī) 28Quidway?S5516千兆智能三層交換機(jī) 34Quidway?S3000系列智能二層交換機(jī) 36Quidview?網(wǎng)絡(luò)管理系統(tǒng) 44第一章用戶需求分析1.1工程概述XXXX市電子政務(wù)網(wǎng)絡(luò)作為XXXX市機(jī)關(guān)的工作中心，需要建立一個(gè)技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋所有功能區(qū)域的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。本次工程旨在建成連接X(jué)XXX市行政中心各種PC機(jī)及效勞器系統(tǒng)的高速寬帶政務(wù)網(wǎng)絡(luò)系統(tǒng)，提供數(shù)據(jù)的統(tǒng)一網(wǎng)絡(luò)平臺(tái)，全面滿足政府辦公需要；統(tǒng)一標(biāo)準(zhǔn)建立政府公文電子信息資源庫(kù)，實(shí)現(xiàn)公文等信息的充分共享和廣泛使用；建立公共信息平臺(tái)，在網(wǎng)上提供方便、快捷、透明的“一站式〞電子政務(wù)效勞。參照國(guó)家電子政務(wù)的有關(guān)規(guī)定以及XXXX市電子政務(wù)網(wǎng)絡(luò)的實(shí)際情況，XXXX市電子政務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)將分為政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)，內(nèi)網(wǎng)是業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行的網(wǎng)絡(luò)平臺(tái)和辦公業(yè)務(wù)系統(tǒng)，外網(wǎng)與因特網(wǎng)互聯(lián)，為社會(huì)公眾提供電子化、網(wǎng)絡(luò)化效勞。XXXX市電子政務(wù)網(wǎng)絡(luò)的的內(nèi)、外網(wǎng)分別與XXXX市電子政務(wù)內(nèi)網(wǎng)和公眾互聯(lián)網(wǎng)互聯(lián)，采用一張物理網(wǎng)絡(luò)，內(nèi)外網(wǎng)邏輯隔離。1.2需求分析XXXX市電子政務(wù)網(wǎng)絡(luò)是為XXXX市政府、人大和政協(xié)的辦公自動(dòng)化，上、下級(jí)機(jī)關(guān)，國(guó)內(nèi)外信息互聯(lián)等建立的信息傳輸通道。網(wǎng)絡(luò)宜采用先進(jìn)的千兆以太網(wǎng)組網(wǎng)方式，并具有進(jìn)一步擴(kuò)展到萬(wàn)兆的能力。具備與外部廣域網(wǎng)的多種連接方式，可與外部實(shí)現(xiàn)方便、快捷的連接，實(shí)現(xiàn)Internet接入等互聯(lián)方式，為辦公自動(dòng)化、國(guó)內(nèi)外信息互聯(lián)、信息效勞等，提供資源共享、信息共享。本次方案主要是滿足XXXX市電子政務(wù)網(wǎng)絡(luò)用戶的內(nèi)網(wǎng)、外網(wǎng)業(yè)務(wù)的需求。整個(gè)行政中心分為主樓和東西兩棟輔樓，主樓為一棟地上15層，地下1層的辦公大樓，輔樓為6層的辦公樓。網(wǎng)絡(luò)信息中心位于行政中心主樓3層西南側(cè)，主樓2－15層每層設(shè)計(jì)2個(gè)分設(shè)備間，分別位于每層的西北角和東北角，兩側(cè)人大和政協(xié)辦公樓各設(shè)一個(gè)分設(shè)備間作為二級(jí)分中心，其余的周邊單體建筑若需建設(shè)綜合布線系統(tǒng)時(shí)，均各設(shè)一個(gè)分設(shè)備間作為二級(jí)分中心，管理本樓的信息點(diǎn)。根據(jù)樓層的信息點(diǎn)分布情況配置配線間數(shù)量，每個(gè)配線間根據(jù)端口需求配置一定數(shù)量的交換機(jī)。本著“可擴(kuò)展萬(wàn)兆，部署千兆骨干、百兆到桌面〞的建網(wǎng)思路，工程將建設(shè)一個(gè)高可靠、高性能、可擴(kuò)展的信息網(wǎng)。

第二章組網(wǎng)方案根據(jù)政務(wù)網(wǎng)絡(luò)設(shè)計(jì)思想及其應(yīng)用需求，鑒于各部門的信息平安等特殊要求性，在總體的設(shè)計(jì)上采用網(wǎng)絡(luò)與業(yè)務(wù)分層建設(shè)，逐層保護(hù)的指導(dǎo)原則，利用寬帶IP技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通，提供具有一定的QOS保障，建成的網(wǎng)絡(luò)以IP為主流技術(shù)。2.1政務(wù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)本次組網(wǎng)主要設(shè)計(jì)是行政中心大樓各部門信息網(wǎng)的建設(shè)，不包含局域網(wǎng)出口及出口平安等，局域網(wǎng)內(nèi)將實(shí)現(xiàn)千兆到骨干，百兆到桌面。由于整個(gè)樓群包含主樓和東西輔樓共三棟樓宇，且主樓和東西輔樓根本按職能劃分為政府，人大和政協(xié)。因此，建議在主樓配置核心路由交換機(jī)，采用華為3Com公司核心路由交換機(jī)QuidwayS8505一臺(tái)，在輔樓的樓宇分中心配置華為3Com公司會(huì)聚路由交換機(jī)QuidwayS5516各一臺(tái)，所有樓宇的接入交換機(jī)采用華為3Com公司S3000系列智能接入交換機(jī)，S3000系列下聯(lián)的用戶按照各自所屬的部門和內(nèi)外網(wǎng)信息點(diǎn)劃分到不同的VLAN（虛擬局域網(wǎng)絡(luò)），通過(guò)會(huì)聚路由交換機(jī)和核心交換機(jī)共同控制VLAN間的訪問(wèn)，實(shí)現(xiàn)內(nèi)外網(wǎng)的邏輯隔離。具體的組網(wǎng)如下：圖網(wǎng)絡(luò)拓?fù)鋱D全網(wǎng)核心為三臺(tái)高性能路由交換機(jī)，主樓由于信息點(diǎn)數(shù)較多，配置S8505核心路由交換機(jī)作為全網(wǎng)的核心，在輔樓配置S5516作為輔樓的分中心，實(shí)現(xiàn)人大和政協(xié)的相對(duì)獨(dú)立規(guī)劃。核心和分中心交換機(jī)間通過(guò)雙千兆互連，即可增加核心交換機(jī)間帶寬，又可提高端口鏈路的可靠性，保證在一條端口鏈路失效的情況下核心間仍可轉(zhuǎn)發(fā)數(shù)據(jù)。接入層采用華為3Com公司的智能型二層交換機(jī)S3000系列，根據(jù)接入點(diǎn)的具體信息點(diǎn)數(shù)堆疊，每個(gè)S3026C提供24個(gè)10/100M自適應(yīng)的以太網(wǎng)口，2個(gè)可擴(kuò)展插槽，支持100M/1000M單模、多模光口，S3050C提供48個(gè)10/100M自適應(yīng)的以太網(wǎng)口，2個(gè)可擴(kuò)展插槽，支持100M/1000M單模、多模光口，根據(jù)具體情況選配模塊，具有較大的組網(wǎng)靈活性。所有各層配線間的S3026C通過(guò)千兆以太網(wǎng)光口上聯(lián)至各自的核心路由交換機(jī)的千兆以太網(wǎng)光口上,實(shí)現(xiàn)業(yè)務(wù)的會(huì)聚和集中處理。同時(shí)在內(nèi)網(wǎng)核心節(jié)點(diǎn)可考慮另配置政務(wù)OA/DHCP效勞器一臺(tái)，以完成內(nèi)部辦公網(wǎng)絡(luò)的IP地址的分配和電子政務(wù)系統(tǒng)的承載。另根據(jù)實(shí)際應(yīng)用需求可以增配文件效勞器等配套效勞器。2.2內(nèi)外網(wǎng)的邏輯隔離在XXXX市行政中心電子政務(wù)網(wǎng)路中，采用的是一張電子政務(wù)網(wǎng)絡(luò)，通過(guò)邏輯隔離的方式實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離和訪問(wèn)控制。目前，在以太局域網(wǎng)邏輯隔離的方式指的是VLAN＋ACL的方式，下面就這種方式加以說(shuō)明。VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）是將一組位于不同物理網(wǎng)段上的用戶在邏輯上劃分成一個(gè)局域網(wǎng)內(nèi)，在功能和操作上與傳統(tǒng)LAN根本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。VLAN可將播送幀限制在一個(gè)VLAN中，即VLAN之間二層隔離，必須通過(guò)IP層（三層）才能互通。所以通過(guò)VLAN可以提供一定的業(yè)務(wù)隔離能力，而這種隔離的設(shè)置在于ACL（AccessControlList，訪問(wèn)控制列表）。前面提到，在網(wǎng)絡(luò)中劃分VLAN后需要三層設(shè)備才能實(shí)現(xiàn)VLAN間相互通訊，且這種通訊能力是網(wǎng)絡(luò)中配置三層設(shè)備后默認(rèn)具有的能力。為了實(shí)現(xiàn)不同網(wǎng)段間的隔離，需要使用訪問(wèn)控制列表控制那些網(wǎng)段可以相互訪問(wèn)，那些不可以。訪問(wèn)控制列表可以包括：根本訪問(wèn)表和擴(kuò)展訪問(wèn)表。根本訪問(wèn)表控制基于網(wǎng)絡(luò)地址的信息流，且只允許過(guò)濾源地址。擴(kuò)展訪問(wèn)表通過(guò)網(wǎng)絡(luò)地址和上層應(yīng)用數(shù)據(jù)。在XXXX電子政務(wù)網(wǎng)絡(luò)中，可以對(duì)局域網(wǎng)交換機(jī)的端口細(xì)分，確定那些端口接入的PC是內(nèi)網(wǎng)的用戶，那些端口的用戶是外網(wǎng)的用戶，從而將不同的端口劃分入不同的網(wǎng)段，這種劃分的方式還可以延伸參加接入PC屬于哪個(gè)部門。確定不同的網(wǎng)段后，在三層設(shè)備上通過(guò)ACL實(shí)現(xiàn)基于源地址的控制，從而保證不同網(wǎng)段間接入的PC是否可以互通和訪問(wèn)，進(jìn)而做到邏輯隔離。采用VLAN＋ACL方式實(shí)現(xiàn)簡(jiǎn)單，對(duì)設(shè)備的要求也較低，并且具有成熟的國(guó)際標(biāo)準(zhǔn)。2.3政務(wù)網(wǎng)平安隨著以太網(wǎng)應(yīng)用的日益普及，以太網(wǎng)的平安為日益迫切的需求。以太網(wǎng)交換機(jī)作為政府部門網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)之間通信的關(guān)鍵設(shè)備，有必要在政務(wù)網(wǎng)內(nèi)部提供充分的平安保護(hù)功能。用戶身份驗(yàn)證傳統(tǒng)的以太網(wǎng)是一個(gè)開(kāi)放的網(wǎng)絡(luò)，所有的用戶只要接入到交換機(jī)上的物理端口就可以訪問(wèn)網(wǎng)絡(luò)的資源，沒(méi)有一個(gè)邏輯上的身份校驗(yàn)的過(guò)程，這種不經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)存在一定的風(fēng)險(xiǎn)。用戶接入控制的目的是保證接入政務(wù)網(wǎng)的用戶是合法的或通過(guò)某個(gè)以太網(wǎng)交換機(jī)端口接入內(nèi)網(wǎng)局域網(wǎng)的用戶是預(yù)先配置的。華為3Com可提供完善的接入認(rèn)證解決方案，可提供的用戶驗(yàn)證包括PPPoE驗(yàn)證、WEB驗(yàn)證、802.1X端口驗(yàn)證等等。針對(duì)XXXX市行政中心的電子政務(wù)，我們推薦采用802.1X的用戶身份驗(yàn)證方式。802.1X用戶身份驗(yàn)證方式下，需要在每臺(tái)電腦上安裝一個(gè)客戶端軟件，用于輸入用戶名和密碼。當(dāng)用戶需要使用網(wǎng)絡(luò)時(shí)，必須先輸入用戶名和密碼，只有經(jīng)過(guò)系統(tǒng)校驗(yàn)合法的用戶才能接入網(wǎng)絡(luò)。用戶輸入一次用戶名和密碼信息，校驗(yàn)合格后則可任意訪問(wèn)網(wǎng)絡(luò)。在XXXX行政中心電子政務(wù)網(wǎng)絡(luò)中，可以根據(jù)實(shí)際情況，考慮到主要領(lǐng)導(dǎo)的多為獨(dú)立辦公，外人不便于接入網(wǎng)絡(luò)，因此可以考慮對(duì)主要領(lǐng)導(dǎo)的接入信息點(diǎn)不做認(rèn)證要求，即領(lǐng)導(dǎo)的辦公室不用輸入用戶名和密碼等信息即可訪問(wèn)網(wǎng)絡(luò)，領(lǐng)導(dǎo)辦公的接入平安可采用綁定MAC地址的方式實(shí)現(xiàn)。而普通公務(wù)員的信息點(diǎn)則開(kāi)通802.1X功能，要求輸入合法的信息后才可訪問(wèn)網(wǎng)絡(luò)。作為802.1X接入認(rèn)證，需要配置一臺(tái)認(rèn)證效勞器，用于完成用戶的信息管理和用戶自助管理。訪問(wèn)控制在局域網(wǎng)內(nèi)的訪問(wèn)控制的原則是只允許授權(quán)的用戶訪問(wèn)某個(gè)主機(jī)，通過(guò)網(wǎng)絡(luò)設(shè)備來(lái)提供這種保障。訪問(wèn)控制包括對(duì)交換機(jī)的訪問(wèn)控制、基于IP地址的訪問(wèn)控制、基于MAC地址的訪問(wèn)控制、基于端口的訪問(wèn)的控制、基于VLAN的訪問(wèn)控制。XXXX市電子政務(wù)網(wǎng)的數(shù)據(jù)庫(kù)、效勞器等資源是受限訪問(wèn)的。一般一個(gè)部門內(nèi)的用戶的權(quán)限是相同的，可以將這些用戶劃分在一個(gè)VLAN內(nèi)，只要設(shè)置基于VLAN的報(bào)文過(guò)濾策略就可以實(shí)現(xiàn)對(duì)這個(gè)VLAN內(nèi)所有的用戶的報(bào)文過(guò)濾。這樣可以看出基于VLAN的報(bào)文過(guò)濾是最簡(jiǎn)單實(shí)用的某個(gè)用戶群的訪問(wèn)控制策略。可以設(shè)定QuidwayS系列以太網(wǎng)交換機(jī)端口禁止或允許轉(zhuǎn)發(fā)來(lái)自或去往某個(gè)VLAN的報(bào)文。QuidwayS系列以太網(wǎng)交換機(jī)支持標(biāo)準(zhǔn)及擴(kuò)展的ACL。可以通過(guò)標(biāo)準(zhǔn)的ACL只設(shè)定一個(gè)簡(jiǎn)單的地址范圍，也可以使用擴(kuò)展的ACL設(shè)定具體到協(xié)議、源地址范圍、目的地址范圍、源端口范圍以及優(yōu)先級(jí)與效勞類型等。這樣可以實(shí)現(xiàn)復(fù)雜的訪問(wèn)控制策略。如果有些主機(jī)和內(nèi)部應(yīng)用效勞器在晚上是要關(guān)閉的，不接受訪問(wèn)，我們可以在核心交換機(jī)上設(shè)置在特定的時(shí)間段起作用的訪問(wèn)控制列表ACL，比方可以設(shè)置每周一的8:00至21:00此ACL起作用，還可以具體到某年某月某日至某年某月某日此ACL作用。對(duì)于一些和以太網(wǎng)交換機(jī)相連接的特殊設(shè)備，只允許接受和發(fā)送到某個(gè)以太網(wǎng)交換機(jī)端口的報(bào)文，以保證該設(shè)備的平安。QuidwayS系列以太網(wǎng)交換機(jī)支持基于端口進(jìn)行過(guò)濾，可以設(shè)定禁止或允許轉(zhuǎn)發(fā)來(lái)自或去往某個(gè)端口的報(bào)文。QuidwayS系列以太網(wǎng)交換機(jī)支持基于MAC地址進(jìn)行幀過(guò)濾。如某些政府單位召開(kāi)各部門的領(lǐng)導(dǎo)群組開(kāi)會(huì)，可以設(shè)定和領(lǐng)導(dǎo)群組相連的交換機(jī)端口允許轉(zhuǎn)發(fā)來(lái)自或去往領(lǐng)導(dǎo)的計(jì)算機(jī)MAC地址的幀，禁止和普通員工相連的交換機(jī)端口轉(zhuǎn)發(fā)來(lái)自或去往領(lǐng)導(dǎo)計(jì)算機(jī)MAC地址的幀。Quidway系列以太網(wǎng)交換機(jī)、路由器實(shí)現(xiàn)了完善的包過(guò)濾，不僅可以過(guò)濾有平安隱患的以太網(wǎng)幀，還可以過(guò)濾IP包。在內(nèi)網(wǎng)內(nèi)可以實(shí)現(xiàn)對(duì)某些應(yīng)用進(jìn)行過(guò)濾，比方禁止HTTP/FTP報(bào)文等。我們可以配置網(wǎng)絡(luò)設(shè)備端口的輸入幀的前80字節(jié)范圍內(nèi)的64字節(jié)任意域設(shè)置過(guò)濾規(guī)則。對(duì)于政務(wù)網(wǎng)中一些關(guān)鍵的地方，可以對(duì)符合條件的報(bào)文或幀做日志，記錄報(bào)文或幀的相關(guān)信息。QuidwayS系列以太網(wǎng)交換機(jī)支持日志功能并提供了機(jī)制保證在有大量相同的觸發(fā)日志的情況下不會(huì)消耗過(guò)多的資源。端口綁定為了加強(qiáng)對(duì)接入用戶的控制和限制，防止用戶地址被假冒，Quidway系列以太網(wǎng)交換機(jī)支持4種地址平安技術(shù)：MAC地址固定、限制MAC地址的個(gè)數(shù)、端口和MAC地址綁定、IP地址＋MAC地址＋VLANID綁定。QuidwayS系列以太網(wǎng)交換機(jī)支持設(shè)置以太網(wǎng)交換機(jī)端口的MAC地址學(xué)習(xí)狀態(tài)。對(duì)于平安要求較高又有移動(dòng)辦公需求的固定計(jì)算機(jī)設(shè)備的辦公區(qū)和的辦公區(qū)。可以關(guān)閉該區(qū)以太網(wǎng)交換端口的MAC地址學(xué)習(xí)狀態(tài)，這樣該端口上只能通過(guò)認(rèn)識(shí)的MAC地址，來(lái)自其它陌生的MAC地址的報(bào)文被丟棄。支持端口和MAC地址的綁定方式。通過(guò)在端口上配置靜態(tài)MAC地址，并禁止該端口進(jìn)行地址學(xué)習(xí)，從而限定在該端口上允許通過(guò)的MAC地址，來(lái)自其它MAC地址的報(bào)文被丟棄。這可以應(yīng)用于接入政務(wù)網(wǎng)的系統(tǒng)主機(jī)的MAC地址是固定的，且接入政務(wù)網(wǎng)的端口較固定的情況，如內(nèi)網(wǎng)的機(jī)要系統(tǒng)。支持IP地址、MAC地址和VLANID的相關(guān)綁定。可以有效的防止IP地址仿冒和MAC地址仿冒，還可以有效控制相同VLAN下的用戶數(shù)目。在一些MAC地址、IP地址、VLANID固定的部門，可以在部門以太網(wǎng)交換機(jī)端口上配置IP地址＋MAC地址＋VLANID的認(rèn)證。政務(wù)網(wǎng)只允許會(huì)議電視系統(tǒng)相連接的以太網(wǎng)交換機(jī)端口支持播送報(bào)文轉(zhuǎn)發(fā)，一般的以太網(wǎng)交換機(jī)端口上關(guān)閉播送報(bào)文轉(zhuǎn)發(fā)開(kāi)關(guān)，禁止目的地址為播送地址的報(bào)文從該端口轉(zhuǎn)發(fā)，以防止Smurf攻擊。入侵檢測(cè)與防范政務(wù)網(wǎng)的局域網(wǎng)有可能受到入侵流量攻擊，對(duì)于一些連接關(guān)鍵部門的端口，特別是連接廣域網(wǎng)設(shè)備的端口（上聯(lián)政務(wù)內(nèi)網(wǎng)橫線網(wǎng)的端口）和財(cái)務(wù)部門、領(lǐng)導(dǎo)部門的端口，可以將以太網(wǎng)交換機(jī)連接協(xié)議分析儀，通過(guò)報(bào)文鏡象、報(bào)文統(tǒng)計(jì)來(lái)監(jiān)控端口流量和統(tǒng)計(jì)某個(gè)應(yīng)用流的流量。Quidway系列以太網(wǎng)交換機(jī)支持端口鏡象和流鏡象，通過(guò)基于ACL的報(bào)文包數(shù)和字節(jié)數(shù)統(tǒng)計(jì)，從而了解網(wǎng)絡(luò)的運(yùn)行狀況，發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備是否受到入侵攻擊。華為3Com公司提供圖形化的TafficView流量監(jiān)控軟件（已包含在專業(yè)版Quidview網(wǎng)管系統(tǒng)中），可以監(jiān)控多個(gè)設(shè)備，用戶可以自行添加、刪除所要檢測(cè)的設(shè)備，非常方便。內(nèi)網(wǎng)擁有Web效勞器的情況下，可以在安裝TrafficView時(shí)選擇將監(jiān)測(cè)設(shè)備的生成的數(shù)據(jù)（含有流量圖形的頁(yè)面和數(shù)據(jù)記錄）放置在web效勞器的目錄下，網(wǎng)絡(luò)管理員可以通過(guò)政務(wù)內(nèi)網(wǎng)上任意一臺(tái)計(jì)算機(jī)來(lái)查看設(shè)備流量圖形和數(shù)據(jù)報(bào)表。當(dāng)發(fā)現(xiàn)存在大流量的報(bào)文攻擊時(shí)，最常用的方法是限制到達(dá)被攻擊目的地址的報(bào)文流量，超過(guò)流量范圍的報(bào)文被QuidwayS系列以太網(wǎng)交換機(jī)丟棄。可以對(duì)匹配規(guī)則的報(bào)文實(shí)施平均流量限制和突發(fā)流量限制，還可以分時(shí)段流量限制。網(wǎng)絡(luò)設(shè)備的平安管理Quidway系列設(shè)備提供對(duì)多種系統(tǒng)信息的記錄功能。如在配置ACL時(shí)參加LOG關(guān)鍵字，這樣可以在交換機(jī)處理相應(yīng)的報(bào)文時(shí)記錄報(bào)文的關(guān)鍵信息；還可以對(duì)關(guān)鍵事件進(jìn)行記錄；對(duì)DEBUG信息進(jìn)行記錄，用于分析網(wǎng)絡(luò)運(yùn)行出現(xiàn)的問(wèn)題。Quidway系列設(shè)備支持對(duì)各監(jiān)控信息設(shè)置重要性程度；配置各監(jiān)控信息的輸出設(shè)備，包括配置終端、Console口、內(nèi)部緩沖區(qū)、日志主機(jī)等。通過(guò)分析這些信息，可以對(duì)網(wǎng)絡(luò)進(jìn)行運(yùn)行維護(hù)和管理。因?yàn)樵絹?lái)越高的網(wǎng)絡(luò)平安性要求，為了設(shè)定各種功能下的平安策略，使得交換機(jī)的平安配置越來(lái)越復(fù)雜，雖然華為網(wǎng)絡(luò)管理軟件的圖形化配置方式可以減輕命令行方式的缺點(diǎn)，但遠(yuǎn)遠(yuǎn)不夠。Quidway系列以太網(wǎng)交換機(jī)實(shí)現(xiàn)策略分析和管理，以簡(jiǎn)化用戶的使用，保證網(wǎng)絡(luò)的平安性。接入終端設(shè)備的平安由于局域網(wǎng)內(nèi)部的有些計(jì)算機(jī)既要訪問(wèn)內(nèi)網(wǎng)，又要訪問(wèn)外網(wǎng)，這就出現(xiàn)了當(dāng)計(jì)算機(jī)從內(nèi)網(wǎng)切換到外網(wǎng)時(shí)，如何防止政務(wù)內(nèi)網(wǎng)中信息泄露的問(wèn)題，我們提供了如下幾套方案供參考：方案一：按照訪問(wèn)Internet的迫切性和政府職能的級(jí)別進(jìn)行規(guī)劃，給重要領(lǐng)導(dǎo)和機(jī)要人員配置兩臺(tái)計(jì)算機(jī)，一臺(tái)用于訪問(wèn)政務(wù)內(nèi)網(wǎng)，一臺(tái)用于訪問(wèn)政務(wù)外網(wǎng)。方案二：對(duì)重要領(lǐng)導(dǎo)和機(jī)要人員依舊采用配置兩臺(tái)計(jì)算機(jī)的方式，對(duì)于其它的計(jì)算機(jī)則采用在計(jì)算機(jī)中配置雙硬盤，一塊硬盤用于連接政務(wù)內(nèi)網(wǎng)，另一塊硬盤則用于連接政務(wù)外網(wǎng)。采用雙硬盤可以保證，每次政務(wù)內(nèi)外網(wǎng)進(jìn)行切換時(shí)，計(jì)算機(jī)都需要進(jìn)行重啟，這樣就使得駐留在內(nèi)存中的一些資料可以得到徹底去除，從而保證政務(wù)內(nèi)網(wǎng)的信息不被泄露。方案三：對(duì)重要領(lǐng)導(dǎo)和機(jī)要人員依舊采用配置兩臺(tái)計(jì)算機(jī)的方式，對(duì)于其它的計(jì)算機(jī)則采用在計(jì)算機(jī)中配置雙網(wǎng)卡，一塊網(wǎng)卡用于連接政務(wù)內(nèi)網(wǎng)，另一塊網(wǎng)卡則用于連接政務(wù)外網(wǎng)，兩網(wǎng)的切換只需要在操作系統(tǒng)中進(jìn)行相應(yīng)的禁止操作即可。這樣可以保證切換速度。以上三種方案具體選用那一種可根據(jù)實(shí)際情況選用，也可以采用雙機(jī)、雙硬盤和雙網(wǎng)卡混用的方式來(lái)組網(wǎng)。

第三章網(wǎng)絡(luò)平臺(tái)平安設(shè)計(jì)網(wǎng)絡(luò)平臺(tái)的平安需要從多方面保證，包括設(shè)備管理平安，訪問(wèn)平安，路由平安，設(shè)備平安等，針對(duì)XXXX市行政中心網(wǎng)絡(luò)系統(tǒng)，我們建議從以下幾個(gè)方面實(shí)施及考慮平安策略。3.1網(wǎng)絡(luò)互聯(lián)互通分析及平安控制3.1.1二層互通分析及控制在XXXX市行政中心內(nèi)外網(wǎng)中，如果兩個(gè)內(nèi)部客戶機(jī)之間二層能夠互通（處于同一網(wǎng)段），那么兩者之間的三層互通是直接的，不需要經(jīng)過(guò)核心路由交換機(jī)的三層交換功能。因此，核心路由交換機(jī)的三層訪問(wèn)控制策略不能生效，在沒(méi)有任何平安措施的情況下，各種攻擊方法都可以使用。因此，從保護(hù)內(nèi)部各客戶機(jī)的角度出發(fā)，建議對(duì)不同部門和類型的客戶機(jī)在二層完全隔離。一般隔離采用的方法是：VLAN（虛擬局域網(wǎng)絡(luò)）。3.1.2三層互通分析及控制采用VLAN在二層隔離了兩個(gè)內(nèi)部客戶，他們只在三層互通，這時(shí)核心路由交換機(jī)的三層訪問(wèn)控制策略就可以生效了。因此，目前有兩個(gè)平安措施：VLAN、三層訪問(wèn)控制策略。它們配合可實(shí)現(xiàn)：內(nèi)部效勞器隔離(例如：三層訪問(wèn)控制策略)；設(shè)備平安技術(shù)(例如：驗(yàn)證、授權(quán))和防火墻技術(shù)；二層完全隔離(例如：VLAN)；二層完全隔離(例如：VLAN)＋三層隔離(例如：三層防火墻)；設(shè)備平安技術(shù)；帶寬管理。3.2設(shè)備自身的平安防護(hù)技術(shù)3.2.1口令管理為防止對(duì)系統(tǒng)中網(wǎng)絡(luò)設(shè)備未經(jīng)授權(quán)的訪問(wèn)，系統(tǒng)必須具有完善的密碼管理功能。雖然幾乎所有數(shù)據(jù)通信設(shè)備都具有RADIUS或TACACS認(rèn)證效勞器進(jìn)行口令管理的能力，但在設(shè)備本地進(jìn)行密碼分配和管理仍是設(shè)備本身應(yīng)具有的平安特性。這里只描述本地密碼管理，主要是口令的密文顯示。在本地存儲(chǔ)訪問(wèn)權(quán)限驗(yàn)證信息的情況下，若系統(tǒng)的配置文件以文本方式進(jìn)行保存，則在配置文件中，所有的口令都必須以密文方式顯示和保存。3.2.2控制對(duì)設(shè)備的訪問(wèn)控制臺(tái)訪問(wèn)：控制臺(tái)是設(shè)備提供的最根本的配置方式。控制臺(tái)擁有對(duì)設(shè)備最高配置權(quán)限，對(duì)控制臺(tái)訪問(wèn)方式的權(quán)限管理應(yīng)擁有最嚴(yán)格的方式。1. 用戶登錄驗(yàn)證對(duì)從設(shè)備CONSOLE口進(jìn)行訪問(wèn)配置的用戶必需具有身份認(rèn)證的能力，可以通過(guò)本地用戶驗(yàn)證或RADIUS驗(yàn)證實(shí)現(xiàn)。2. 控制臺(tái)超時(shí)注銷控制臺(tái)訪問(wèn)用戶超過(guò)一段時(shí)間對(duì)設(shè)備沒(méi)有交互操作，設(shè)備將自動(dòng)注銷本次控制臺(tái)配置任務(wù)。超時(shí)時(shí)間必須可配置，缺省為10分鐘。3. 使能/禁止用戶通過(guò)控制臺(tái)對(duì)設(shè)備進(jìn)行訪問(wèn)通過(guò)禁止控制臺(tái)數(shù)據(jù)收發(fā)，禁止用戶直接通過(guò)異步線路進(jìn)行配置。這樣，即使非法用戶占領(lǐng)了控制臺(tái)，通過(guò)重啟設(shè)備去除了控制臺(tái)訪問(wèn)口令，也無(wú)法通過(guò)控制臺(tái)對(duì)設(shè)備進(jìn)行非法配置。4. 控制臺(tái)終端鎖定配置用戶離開(kāi)配置現(xiàn)場(chǎng)，設(shè)備應(yīng)提供暫時(shí)鎖定終端的能力，并設(shè)置解鎖口令。TELNET訪問(wèn)1. 缺省要求身份驗(yàn)證對(duì)于非控制臺(tái)的其它一切配置手段，必須要求設(shè)備配置身份驗(yàn)證，如果設(shè)備未配，將拒絕登錄。2. 用戶登錄驗(yàn)證3. 終端超時(shí)退出當(dāng)telnet連接未交互超過(guò)一定時(shí)間時(shí)，將斷開(kāi)本次telnet連接。超時(shí)時(shí)間必須可配置，缺省為10分鐘5. 使能/禁止用戶通過(guò)telnet方式對(duì)設(shè)備進(jìn)行訪問(wèn)6. telnet訪問(wèn)的限入限出限制哪些用戶可以通過(guò)telnet客戶端對(duì)設(shè)備進(jìn)行訪問(wèn)；限制設(shè)備通過(guò)telnet客戶端程序?qū)δ切┠繕?biāo)主機(jī)進(jìn)行訪問(wèn)。7. telnet終端鎖定SNMP訪問(wèn)SNMP是一種使用非常廣泛的協(xié)議，主要用于設(shè)備的監(jiān)控和配置的更改。SNMP協(xié)議自身有平安性保障，同時(shí)SNMPAgent還應(yīng)該具備對(duì)網(wǎng)管站的訪問(wèn)進(jìn)行限制的能力。需特別指出：SNMP的網(wǎng)管站通常有大量的關(guān)于驗(yàn)證信息的數(shù)據(jù)庫(kù)，例如團(tuán)體名。這些信息可以提供訪問(wèn)許多路由器或者其他網(wǎng)絡(luò)設(shè)備的途徑。這使得網(wǎng)管站成為許多攻擊的目標(biāo)，因此，必須要保證網(wǎng)管站的平安。1. SNMPv1的平安性SNMPV1使用的驗(yàn)證方式是基于團(tuán)體名字符串的驗(yàn)證機(jī)制，SNMPv1的驗(yàn)證非常弱：1)它使用明文作為驗(yàn)證字。2)大局部的SNMP操作重復(fù)使用該字符串作為周期性輪流檢測(cè)的一局部。如果必須使用SNMPV1，應(yīng)當(dāng)注意如下事項(xiàng)，以防止平安隱患：1)最好不要使用常用的"public"和"private"作為團(tuán)體名；2)對(duì)每個(gè)設(shè)備使用不同的團(tuán)體名，或者至少是對(duì)網(wǎng)絡(luò)上的每個(gè)區(qū)域使用不同的團(tuán)體名。3)不要使只讀的團(tuán)體名和讀寫的團(tuán)體名一致。如果可能，應(yīng)該實(shí)現(xiàn)使用只讀的團(tuán)體名進(jìn)行周期性的輪流檢測(cè)。讀寫的團(tuán)體名應(yīng)該僅僅用于當(dāng)前的寫操作。2. SNMPv2的平安性SNMP的后序版本SNMPv2進(jìn)行了改良，它支持基于MD5的驗(yàn)證方案，并且允許對(duì)訪問(wèn)的管理數(shù)據(jù)進(jìn)行存取上的限制。SNMPv2根本上是一個(gè)過(guò)渡版本，有多個(gè)版本，盡管也考慮了協(xié)議自身的平安性，但是技術(shù)上并不成熟，平安性仍比較弱。尤其要注意的是，目前常用的SNMPv2c，沒(méi)有增加平安特性，其平安能力與SNMPv1相同。3. SNMPv3的平安性SNMPv3對(duì)協(xié)議的平安性給出了全面的解決方案。SNMPv3繼承了SNMPv2u的很多優(yōu)點(diǎn)，并且從系統(tǒng)的角度進(jìn)行了優(yōu)化。它提供了一個(gè)SNMPNMS和AGENT的完整的系統(tǒng)框架。從平安角度來(lái)講，SNMPv3使用了基于用戶的平安模式（USM）和基于視圖的訪問(wèn)控制模式（VACM）。USM使用MD5或者SHA對(duì)報(bào)文進(jìn)行驗(yàn)證，使用DES對(duì)報(bào)文進(jìn)行加密。這樣保證了數(shù)據(jù)的完整性和正確性。VACM則對(duì)當(dāng)前用戶的訪問(wèn)權(quán)限進(jìn)行檢查，看當(dāng)前用戶是否可以對(duì)管理數(shù)據(jù)進(jìn)行操作。關(guān)于USM和VACM的詳細(xì)介紹可以參見(jiàn)RFC2574和RFC2575。華為3Com的設(shè)備均支持SNMPv1/v2/v3。

第四章網(wǎng)絡(luò)規(guī)劃建議4.1IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步開(kāi)展。IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要表達(dá)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長(zhǎng)度，減少對(duì)路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原則：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。當(dāng)網(wǎng)絡(luò)以私網(wǎng)地址分配或采用混合網(wǎng)絡(luò)地址接入時(shí)，網(wǎng)絡(luò)應(yīng)提供地址變換功能，過(guò)濾掉私網(wǎng)地址。根據(jù)本次工程的實(shí)際情況，IP地址的具體規(guī)劃需參照信息主管部門的標(biāo)準(zhǔn)，若標(biāo)準(zhǔn)尚未制定，可靈活選擇IP地址。建議選用A類私網(wǎng)（—54）地址，為未來(lái)提供足夠的IP地址空間。具體的IP地址規(guī)劃內(nèi)容可在技術(shù)聯(lián)系會(huì)上確定，但應(yīng)遵循上述的原則。4.2VLAN設(shè)計(jì)VLAN可以實(shí)現(xiàn)將連接在同一個(gè)物理網(wǎng)絡(luò)上面的主機(jī)分組，使它們看起來(lái)就象連接在不同的網(wǎng)絡(luò)上一樣。可以通過(guò)VLAN為網(wǎng)絡(luò)分段，各個(gè)網(wǎng)段可以共用同一套網(wǎng)絡(luò)設(shè)備，節(jié)約了網(wǎng)絡(luò)硬件的開(kāi)銷，同時(shí)在遷移中所需的工作量也大幅度降低了，從而降低了連網(wǎng)本錢。在大型局域網(wǎng)絡(luò)組建中，VLAN技術(shù)是不可缺少的關(guān)鍵技術(shù)，科學(xué)的VLAN設(shè)計(jì)可以為局域網(wǎng)絡(luò)帶來(lái)一系列的優(yōu)點(diǎn)：在同一個(gè)物理網(wǎng)絡(luò)實(shí)現(xiàn)第二層工作組劃分，實(shí)現(xiàn)不同工作組之間第二層的完全隔離，同時(shí)，組員可以處在物理網(wǎng)絡(luò)中的任何位置，不受同一臺(tái)設(shè)備限制；隔離播送，提高效率，防止不相關(guān)的播送幀在全網(wǎng)擴(kuò)散，浪費(fèi)有效帶寬資源；在局域網(wǎng)系統(tǒng)中，建議基于IEEE802.1Q標(biāo)準(zhǔn)實(shí)現(xiàn)VLAN，在分行VLAN設(shè)計(jì)中，使用VLAN技術(shù)到達(dá)兩個(gè)目的，第一，不同業(yè)務(wù)部門之間的隔離和通信控制；第二，播送范圍抑制。VLAN的劃分可以依據(jù)內(nèi)外網(wǎng)用戶和不同的業(yè)務(wù)部門以及用戶所處網(wǎng)絡(luò)的物理結(jié)構(gòu)進(jìn)行，后者主要是從網(wǎng)絡(luò)性能角度出發(fā)，而前者還同時(shí)兼顧了網(wǎng)絡(luò)平安性可控性的需要。從播送控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，按照慣例原則，我們?cè)谶M(jìn)行具體VLAN規(guī)劃時(shí)，同一個(gè)播送域內(nèi)（一個(gè)VLAN）的通信主機(jī)一般不超過(guò)50臺(tái)，最好控制在30臺(tái)以內(nèi)，對(duì)于主機(jī)數(shù)量超過(guò)50的業(yè)務(wù)部門，我們通過(guò)二層隔離，三層交換的方式來(lái)解決。作為特殊VLAN的典型，建議保存VLAN1作為管理VLAN，管理VLAN覆蓋到全網(wǎng)的每一臺(tái)交換機(jī)，但在第三層接口上，需要通過(guò)控制列表與其他業(yè)務(wù)VLAN進(jìn)行有效的隔離。網(wǎng)管工作站建議另外設(shè)置一個(gè)VLAN，例如VLANID=4000，VLAN4000與VLAN1在第三層上相通，同時(shí)，保證只有局部業(yè)務(wù)VLAN可以訪問(wèn)VLAN4000，從而實(shí)現(xiàn)網(wǎng)管的分布式監(jiān)控布局。VLAN1和VLAN4000的第三層路由接口處設(shè)置訪問(wèn)控制列表，只有特定的主機(jī)或者只有網(wǎng)管VLAN可以直接訪問(wèn)每一臺(tái)設(shè)備，其他均在過(guò)濾之列。華為QuidView綜合網(wǎng)管系統(tǒng)提供非常快捷的VLAN批量設(shè)置和修改工具，只需要通過(guò)圖形化界面對(duì)具體端口標(biāo)識(shí)選取或者非選取，就能輕松設(shè)置其VLAN歸屬。網(wǎng)絡(luò)的VLAN規(guī)劃，在明確其網(wǎng)絡(luò)資源訪問(wèn)權(quán)限分配的具體要求后，我們可對(duì)網(wǎng)絡(luò)具體劃分不同的權(quán)限、VLAN等其它的平安策略。4.3路由策略在不同的VLAN間要實(shí)現(xiàn)互通必須提供路由，路由的產(chǎn)生可以由管理員指定，或者由路由器運(yùn)行動(dòng)態(tài)路由協(xié)議而產(chǎn)生。由管理員指定的路由稱為靜態(tài)路由，它是由管理員手工設(shè)置每一個(gè)路由器，它的優(yōu)點(diǎn)是不占用網(wǎng)絡(luò)的資源，沒(méi)有路由更新信息所占用的網(wǎng)絡(luò)開(kāi)銷，缺點(diǎn)是網(wǎng)絡(luò)中的管理員要對(duì)每一條路由都非常清晰地了解，當(dāng)一個(gè)網(wǎng)絡(luò)變得規(guī)模很大時(shí)，系統(tǒng)設(shè)置很困難。由路由器動(dòng)態(tài)產(chǎn)生的路由叫動(dòng)態(tài)路由，它是由路由器動(dòng)行一定的動(dòng)態(tài)路由協(xié)議，彼此通告路由信息，然后在此信息的基礎(chǔ)上產(chǎn)生各個(gè)路由器的路由表，常見(jiàn)的動(dòng)態(tài)路由協(xié)議有RIPv1/v2、IGRP、EIGRP、OSPF、IS-IS、BGP4等協(xié)議。4.3.1RIP協(xié)議RIP使用播送用戶數(shù)據(jù)報(bào)協(xié)議（UDP）數(shù)據(jù)報(bào)文的方式把路由表項(xiàng)發(fā)送到相鄰路由器。因?yàn)镽IP使用UDP作為其發(fā)送機(jī)制，所以發(fā)送到相鄰路由器的路由表更新不能得到保證。路由器間RIP表項(xiàng)的發(fā)送缺省是在路由器初始啟動(dòng)后30s。當(dāng)一個(gè)路由器在到另一個(gè)已經(jīng)活動(dòng)的路由器的連接上變成活動(dòng)時(shí)，這種路由器的“公布〞也會(huì)出現(xiàn)在路由器之間。使用RIP的路由器期待在180s之內(nèi)從鄰接路由器獲得更新。如果在這段時(shí)間內(nèi)沒(méi)有收到鄰接路由器的路由表更新，則去往未更新路由器的網(wǎng)絡(luò)路由被標(biāo)識(shí)為不可用，強(qiáng)制把ICMP網(wǎng)絡(luò)不可到達(dá)消息返回給通過(guò)未更新路由器而連接的資源請(qǐng)求者。一旦接收更新計(jì)時(shí)器到達(dá)240s，未更新路由器的路由表項(xiàng)將被從路由表中移去。路由器現(xiàn)在接收到的要到達(dá)通過(guò)未更新路由器連接的報(bào)文，現(xiàn)在可以被重定向到此路由器的缺省網(wǎng)絡(luò)路徑上。RIP協(xié)議的優(yōu)點(diǎn)：簡(jiǎn)單，應(yīng)用廣泛，幾乎所有的廠商在其網(wǎng)絡(luò)產(chǎn)品中都提供對(duì)它的支持。它的缺點(diǎn)：整個(gè)網(wǎng)絡(luò)不能超過(guò)15跳，采用全網(wǎng)播送來(lái)發(fā)送路由更新信息在廣域網(wǎng)內(nèi)占用帶寬。路由更新不帶子網(wǎng)信息，要求連續(xù)的子網(wǎng)。4.3.2IGRP協(xié)議內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議（IGRP）是Cisco專有的距離向量路由選擇協(xié)議，目的在于解決RIP協(xié)議的限制。雖然RIP在小型同構(gòu)網(wǎng)絡(luò)上工作得相當(dāng)好，但它的跳數(shù)小（16）的特點(diǎn)嚴(yán)重限制了網(wǎng)絡(luò)的大小下，并且單一的度量（跳數(shù)）不能給復(fù)雜網(wǎng)絡(luò)提供有彈性的路由選擇。IGRP通過(guò)使網(wǎng)絡(luò)跳數(shù)增加到255跳和為滿足當(dāng)今復(fù)雜網(wǎng)絡(luò)路由選擇彈性提供而提供的多種度量（鏈路可靠性、帶寬、網(wǎng)絡(luò)間延遲和負(fù)載），解決了RIP的缺乏。4.3.3EIGRP協(xié)議EIGRP是Cisco公司擁有的路由協(xié)議。EIGRP綜合了距離向量協(xié)議與鏈路狀態(tài)協(xié)議的優(yōu)點(diǎn)。此外EIGRP利用散播更新算法（DiffusingUpdateAlgorithm，DUAL），從而加快了收斂，并且減少了網(wǎng)絡(luò)中產(chǎn)生路由環(huán)的可能。EIGRP比其他路由協(xié)議更有優(yōu)勢(shì)的一點(diǎn)是：它不僅支持IP，并且支持NovellNetWareIPX和AppleTalk。因此，減化了網(wǎng)絡(luò)設(shè)計(jì)和故障處理。4.3.4OSPF協(xié)議OSPF用鏈路狀態(tài)算法來(lái)計(jì)算在每個(gè)區(qū)域中到所有目的的最短路徑，當(dāng)一個(gè)路由器首先開(kāi)始工作，或者任一個(gè)路由變化發(fā)生，這個(gè)配備給OSPF的路由器將LSA擴(kuò)散到同一級(jí)區(qū)域內(nèi)所有路由器，這些LSA包含這個(gè)路由器的鏈接狀態(tài)和它與鄰居路由器聯(lián)系的信息，從這些LSA的收集中形成了鏈路狀態(tài)數(shù)據(jù)庫(kù)，在這個(gè)區(qū)域中的所有路由器都有一個(gè)特定的數(shù)據(jù)庫(kù)來(lái)描述這個(gè)區(qū)域的拓?fù)浣Y(jié)構(gòu)。這個(gè)路由器于是就運(yùn)行Diskjtra算法，這個(gè)算法利用鏈路狀態(tài)數(shù)據(jù)庫(kù)在該區(qū)域中形成到所有目的的最短路徑樹，從這個(gè)最短路徑樹中形成了IP路由表。在網(wǎng)絡(luò)中發(fā)生的任何改變將會(huì)被鏈路狀態(tài)包擴(kuò)散出去，同時(shí)使路由器利用這些新信息，重新計(jì)算最短路徑樹。4.3.5IS-IS協(xié)議IS-IS（IntermediateSystem-to-IntermediateSystem,中間系統(tǒng)到中間系統(tǒng)）是一個(gè)分級(jí)的鏈接狀態(tài)路由協(xié)議。IS-IS可以在不同的子網(wǎng)上操作，包括播送型的LAN、WAN和點(diǎn)到點(diǎn)鏈路。IS-IS是一個(gè)鏈接狀態(tài)協(xié)議，實(shí)際上與OSPF非常相似，它也使用Hello協(xié)議尋找毗鄰節(jié)點(diǎn)，使用一個(gè)傳播協(xié)議發(fā)送鏈接信息。但是，至少存在兩個(gè)技術(shù)問(wèn)題：IS-IS使用一個(gè)小的度量值（6比特），嚴(yán)重限制了能與它進(jìn)行轉(zhuǎn)換的信息；而且鏈接狀態(tài)也只有8比特長(zhǎng)，路由器能通告的記錄只有256個(gè)。4.3.6BGP4協(xié)議BGP是自治系統(tǒng)間的路由協(xié)議，它的主要功能是和其他BGP會(huì)話者之間交換網(wǎng)絡(luò)可達(dá)性信息。一個(gè)BGP說(shuō)話者是任何為BGP配置的設(shè)備。BGP使用TCP作為它的傳輸協(xié)議（端口179），這提供了可靠的數(shù)據(jù)傳輸。兩個(gè)BGP路由器形成了一個(gè)傳輸協(xié)議連接。這兩個(gè)路由器被稱為鄰居或者對(duì)等體。一旦傳輸連接形成，兩對(duì)等路由器交換報(bào)文以開(kāi)放并確認(rèn)連接參數(shù)。在這一步，路由器交換BGP版本號(hào)、AS號(hào)、持續(xù)時(shí)間、BGP標(biāo)識(shí)和其他可選參數(shù)等信息。如果對(duì)等體間有任何一個(gè)參數(shù)不一致，就會(huì)有過(guò)錯(cuò)通知發(fā)送，這個(gè)對(duì)等體連接就不會(huì)建立。如果對(duì)等路由器都同意這些參數(shù)，則整個(gè)BGP路由表通過(guò)Update報(bào)文進(jìn)行交換。Update報(bào)文包含了經(jīng)過(guò)每個(gè)系統(tǒng)的可達(dá)目的地的列表（即網(wǎng)絡(luò)層可達(dá)性信息）以及每個(gè)路由的路徑屬性。路徑屬性包含了諸如路由源（ORIGIN）之類的信息和優(yōu)先權(quán)的上下。路徑屬性將會(huì)在本章后面詳細(xì)討論。BGP表在BGP連接的過(guò)程中對(duì)每個(gè)對(duì)等體都是有效的。如果有路由報(bào)文發(fā)生了變化，鄰居路由器使用增量的更新（報(bào)文）來(lái)傳遞這個(gè)信息。BGP并不要求刷新路由信息。如果沒(méi)有路由變化產(chǎn)生，BGP對(duì)等體僅交換保存(keepalive)報(bào)文，保存報(bào)文被周期性地發(fā)送以確保連接是保持有效的。方案中建議配置的華為3Com核心路由交換機(jī)S8505支持除私有協(xié)議EIGRP以外的所有路由協(xié)議。從上面介紹的路由協(xié)議來(lái)看，我們建議XXXX電子政務(wù)網(wǎng)絡(luò)路由的設(shè)置可以根據(jù)網(wǎng)絡(luò)規(guī)模的開(kāi)展采用分步實(shí)施的方式。第一步采用靜態(tài)路由，因?yàn)榇藭r(shí)XXXX電子政務(wù)網(wǎng)絡(luò)的三層數(shù)據(jù)交換均在核心交換機(jī)完成。第二步當(dāng)XXXX電子政務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)規(guī)模擴(kuò)大以后再采用OSPF動(dòng)態(tài)路由協(xié)議，這個(gè)協(xié)議的的優(yōu)點(diǎn)是路由的開(kāi)銷小、收斂速度快、協(xié)議是開(kāi)放的標(biāo)準(zhǔn)，能保證以后升級(jí)的兼容性。方案中選擇的路由交換機(jī)均支持以上兩種路由協(xié)議，可滿足目前及未來(lái)需求。4.4QoS設(shè)計(jì)4.4.1主要的QOS效勞模型InterServ方式：Integratedservice是一個(gè)綜合效勞模型，它可以滿足多種QoS需求。這種效勞模型在發(fā)送報(bào)文前，需要向網(wǎng)絡(luò)申請(qǐng)?zhí)囟ǖ男凇＿@個(gè)請(qǐng)求是通過(guò)信令（signal）來(lái)完成的，應(yīng)用程序首先通知網(wǎng)絡(luò)它自己的流量參數(shù)和需要的特定效勞質(zhì)量請(qǐng)求，包括帶寬、時(shí)延等，應(yīng)用程序一般在收到網(wǎng)絡(luò)確實(shí)認(rèn)信息，即網(wǎng)絡(luò)已經(jīng)為這個(gè)應(yīng)用程序的報(bào)文預(yù)留了資源后，發(fā)送報(bào)文。而應(yīng)用程序發(fā)出的報(bào)文應(yīng)該控制在流量參數(shù)描述的范圍內(nèi)。網(wǎng)絡(luò)在收到應(yīng)用程序的資源請(qǐng)求后，執(zhí)行資源分配檢查（Admissioncontrol），即基于應(yīng)用程序的資源申請(qǐng)和網(wǎng)絡(luò)現(xiàn)有的資源情況，判斷是否為應(yīng)用程序分配資源。一旦網(wǎng)絡(luò)確認(rèn)為應(yīng)用程序的報(bào)文分配了資源，則只要應(yīng)用程序的報(bào)文控制在流量參數(shù)描述的范圍內(nèi)，網(wǎng)絡(luò)將承諾滿足應(yīng)用程序的QoS需求。而網(wǎng)絡(luò)將為每個(gè)流（flow，由兩端的IP地址、端口號(hào)、協(xié)議號(hào)確定）維護(hù)一個(gè)狀態(tài)，并基于這個(gè)狀態(tài)執(zhí)行報(bào)文的分類、流量監(jiān)管（policing）、排隊(duì)及其調(diào)度，來(lái)滿足對(duì)應(yīng)用程序的承諾。傳送QoS請(qǐng)求的信令是RSVP（資源預(yù)留協(xié)議），它通知路由器交換機(jī)應(yīng)用程序的QoS需求。RSVP使網(wǎng)絡(luò)用戶能根據(jù)自己對(duì)帶寬、時(shí)延的要求，動(dòng)態(tài)地申請(qǐng)預(yù)留網(wǎng)絡(luò)資源，滿足它們對(duì)資源的需求。RSVP提供了端到端的、精細(xì)的資源控制機(jī)制，是實(shí)現(xiàn)端到端QOS的解決方案之一。Integrated效勞可以提供以下兩種效勞：保證效勞（Guaranteedservice），它提供保證的帶寬和時(shí)延限制來(lái)滿足應(yīng)用程序的要求。如VoIP應(yīng)用可以預(yù)留10M帶寬和要求不超過(guò)1秒的時(shí)延。負(fù)載控制效勞（Controlled-Loadservice），它保證即使在網(wǎng)絡(luò)過(guò)載（overload）的情況下，能對(duì)報(bào)文提供近似于網(wǎng)絡(luò)未過(guò)載類似的效勞，即在網(wǎng)絡(luò)擁塞的情況下，保證某些應(yīng)用程序的報(bào)文低時(shí)延和高通過(guò)。Differserv方式：Differentiatedservice是一個(gè)多效勞模型，它可以滿足不同的QoS需求。與Integratedservice不同，它不需要信令，即應(yīng)用程序在發(fā)出報(bào)文前，不需要通知路由器。對(duì)Differentiatedservice，網(wǎng)絡(luò)不需要為每個(gè)流維護(hù)狀態(tài)，它根據(jù)每個(gè)報(bào)文指定的QoS，來(lái)提供特定的效勞。可以用不同的方法來(lái)指定報(bào)文的QoS，如IP包的優(yōu)先級(jí)位（IPPrecedence)，報(bào)文的源地址和目的地址等。網(wǎng)絡(luò)通過(guò)這些信息來(lái)進(jìn)行報(bào)文的分類、流量整形、流量監(jiān)管和排隊(duì)。其模型如下列圖。區(qū)分效勞QOS模型4.4.2QOS策略本期工程是一個(gè)集成了數(shù)據(jù)、視頻、語(yǔ)音等多業(yè)務(wù)的跨部門的綜合網(wǎng)絡(luò)，不同的業(yè)務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)效勞的要求不同。在這個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)上，應(yīng)該保證對(duì)于不同的應(yīng)用數(shù)據(jù)根據(jù)其具體要求提供相應(yīng)的網(wǎng)絡(luò)效勞，并能在因故障導(dǎo)致網(wǎng)絡(luò)資源稀缺時(shí)優(yōu)先保證關(guān)鍵性業(yè)務(wù)數(shù)據(jù)的傳輸。根據(jù)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)需求分析，業(yè)務(wù)可分為以下幾類：管理信息類：包括各類OA及管理類業(yè)務(wù)，數(shù)據(jù)流量大、突發(fā)性強(qiáng)、對(duì)實(shí)時(shí)性要求較低，但要求能夠可靠傳輸；綜合類：視頻等多媒體業(yè)務(wù)是面向非連接的，對(duì)時(shí)延非常敏感、流量大、隨機(jī)性強(qiáng)。對(duì)時(shí)延敏感的業(yè)務(wù)，在網(wǎng)絡(luò)傳輸中應(yīng)賦予較高的優(yōu)先權(quán)，使其能得到優(yōu)先傳輸，降低延遲，但同時(shí)還應(yīng)保證關(guān)鍵業(yè)務(wù)得到優(yōu)先處理。根據(jù)網(wǎng)絡(luò)的特點(diǎn)，我們建議網(wǎng)絡(luò)QoS采用成熟的差異效勞模型方式進(jìn)行構(gòu)建，要區(qū)分不同的效勞并提供質(zhì)量保障：1）首先需要區(qū)分不同效勞的數(shù)據(jù)，即利用ACL、CAR、VLANID、IP地址、TCP端口、UDP端口、TOS字段等對(duì)數(shù)據(jù)流進(jìn)行分類識(shí)別；2）在線路上采用帶寬分配、優(yōu)先級(jí)控制、隊(duì)列調(diào)度等QOS控制技術(shù)保證各類應(yīng)用數(shù)據(jù)的有效傳輸。在本次工程的網(wǎng)絡(luò)中將開(kāi)展語(yǔ)音、視頻會(huì)議等高QOS的業(yè)務(wù)，因此建議全網(wǎng)采用統(tǒng)一的VLANID規(guī)劃語(yǔ)音、視頻。在接入層的終端通過(guò)二層交換機(jī)的端口分配相應(yīng)的VLAN后接入會(huì)聚層交換機(jī)S5516，由S5516實(shí)現(xiàn)對(duì)語(yǔ)音、視頻終端等業(yè)務(wù)的帶寬控制；同時(shí)實(shí)現(xiàn)語(yǔ)音、視頻所對(duì)應(yīng)的VLAN與三層TOS/DSCP的映射，將語(yǔ)音、視頻等業(yè)務(wù)根據(jù)需要映射為相應(yīng)的QOS種類，從而實(shí)現(xiàn)三層的QOS。核心和會(huì)聚交換機(jī)只需根據(jù)TOS/DSCP域內(nèi)容進(jìn)行不同優(yōu)先級(jí)數(shù)據(jù)的快速轉(zhuǎn)發(fā)。當(dāng)然為實(shí)現(xiàn)三層的QOS不僅需要在三層的TOS/DSCP的映射，還需要在三層網(wǎng)絡(luò)通過(guò)TOS/DSCP的所映射的優(yōu)先級(jí)實(shí)現(xiàn)數(shù)據(jù)流分類、隊(duì)列調(diào)度和擁塞控制三個(gè)方面，才能夠完全保證三層的QOS。其具體技術(shù)如下：（1）數(shù)據(jù)流分類技術(shù)實(shí)現(xiàn)業(yè)務(wù)區(qū)分?jǐn)?shù)據(jù)流分類是將數(shù)據(jù)報(bào)文分為多個(gè)優(yōu)先級(jí)或多個(gè)效勞類，如使用IP報(bào)文頭的TOS字段（Typeofservice，三個(gè)bit），可以將報(bào)文最多分成六類（另外兩個(gè)值保存為其他用途）。在報(bào)文分類后，就可以將其它的QoS特性應(yīng)用到不同的分類，如擁塞管理、帶寬分配等，分類是QoS的基礎(chǔ)。可以有多種依據(jù)用于對(duì)數(shù)據(jù)流進(jìn)行分類：A. 根據(jù)網(wǎng)絡(luò)設(shè)備物理端口或邏輯端口對(duì)數(shù)據(jù)流進(jìn)行分類。B. 根據(jù)通訊協(xié)議對(duì)數(shù)據(jù)流進(jìn)行分類，例如NETBIOS、IPX、IP等。C. 根據(jù)數(shù)據(jù)的VLANID、IP網(wǎng)段、源（目的）地址、TCP端口號(hào)、UDP端口號(hào)對(duì)數(shù)據(jù)流進(jìn)行分類。對(duì)報(bào)文進(jìn)行分類時(shí)，可同時(shí)設(shè)置報(bào)文的IP頭的TOS字段或Differsrv作為報(bào)文的IP優(yōu)先級(jí)，這樣，在網(wǎng)絡(luò)的內(nèi)部就可以簡(jiǎn)單的使用IP優(yōu)先級(jí)作為分類的標(biāo)準(zhǔn)。而隊(duì)列技術(shù)如WFQ就也可以使用這個(gè)優(yōu)先級(jí)來(lái)對(duì)報(bào)文進(jìn)行不同的處理。（2）QoS控制技術(shù)實(shí)現(xiàn)優(yōu)先級(jí)機(jī)制控制策略增加過(guò)多會(huì)導(dǎo)致路由器負(fù)載過(guò)重，為防止這種情況，我們建議在進(jìn)行策略路由配置的同時(shí)，結(jié)合選擇以下幾種QOS控制技術(shù)，可簡(jiǎn)單有效地實(shí)現(xiàn)各類應(yīng)用的QOS保障。A. 接入速率承諾(CAR)：在數(shù)據(jù)流的進(jìn)口處配置，使用令牌桶技術(shù)，根據(jù)路由器的出口帶寬對(duì)進(jìn)入的數(shù)據(jù)流量加以限制，超過(guò)承諾速率的數(shù)據(jù)將被丟棄或標(biāo)以最低的優(yōu)先級(jí)，防止數(shù)據(jù)在路由器內(nèi)擁塞。B. IP優(yōu)先級(jí)控制路由器根據(jù)預(yù)先設(shè)定好的策略，識(shí)別不同業(yè)務(wù)的數(shù)據(jù)流，可在數(shù)據(jù)包上標(biāo)明IP的優(yōu)先級(jí)別，這些說(shuō)明優(yōu)先級(jí)的數(shù)據(jù)包在傳輸過(guò)程中會(huì)依據(jù)上下級(jí)別享受不同的效勞質(zhì)量。例如當(dāng)數(shù)據(jù)流量突發(fā)，擁塞發(fā)生時(shí)，可以丟棄那些優(yōu)先級(jí)別低的數(shù)據(jù)，保證關(guān)鍵業(yè)務(wù)的正常運(yùn)行。C. 隊(duì)列機(jī)制(WeightedFairQueuing)利用隊(duì)列機(jī)制可以對(duì)路由器的輸出端口進(jìn)行擁塞管理，可以利用PQ、CQ、WFQ、CBWFQ等隊(duì)列技術(shù)對(duì)不同等級(jí)的業(yè)務(wù)進(jìn)行不同的處理，包括時(shí)延、丟包率、緩沖區(qū)大小等。D. 先期擁塞控制(WRED)當(dāng)網(wǎng)絡(luò)出現(xiàn)真正的擁塞時(shí)，瞬間大量的丟包會(huì)引起大量TCP數(shù)據(jù)同時(shí)重發(fā)，加劇網(wǎng)絡(luò)擁塞的程度并引起網(wǎng)絡(luò)的不穩(wěn)定。網(wǎng)絡(luò)設(shè)備在網(wǎng)路出現(xiàn)擁塞前就自動(dòng)采取適當(dāng)?shù)拇胧M(jìn)行先期擁塞控制，防止瞬間大量的丟包現(xiàn)象。在多種業(yè)務(wù)并存并且存在資源瓶頸的地方，都應(yīng)該考慮相應(yīng)的QOS保證機(jī)制，確保時(shí)間敏感的、關(guān)鍵的業(yè)務(wù)報(bào)文能夠被及時(shí)、正確、有效的轉(zhuǎn)發(fā)。在我們建議的設(shè)備解決方案中，所有設(shè)備都可以支持相應(yīng)的QOS/COS策略，核心路由交換機(jī)S8508提供完善的Diffserv/QoS支持，提供多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管（CAR）、擁塞控制方法（RED、WRED、SA-RED）、隊(duì)列調(diào)度和輸出流整形等功能，做到業(yè)務(wù)區(qū)分并保證帶寬/時(shí)延/抖動(dòng)在限定的范圍內(nèi)，使網(wǎng)管中心可以為工作組用戶提供具有不同效勞質(zhì)量等級(jí)的效勞保證，使骨干網(wǎng)真正成為同時(shí)承載數(shù)據(jù)、語(yǔ)音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。我們建議在網(wǎng)絡(luò)中上實(shí)施面向效勞端口的QOS保證機(jī)制，同時(shí)，在核心交換機(jī)的路由端口設(shè)置中，開(kāi)啟WFQ功能，通過(guò)WFQ保證實(shí)時(shí)、小包即使在最擁擠時(shí)仍然能夠得到快速的轉(zhuǎn)發(fā)。同時(shí)，系統(tǒng)通過(guò)WRED、SA-RED隊(duì)列調(diào)度和輸出流整形等功能，真正做到業(yè)務(wù)區(qū)分并保證帶寬/時(shí)延/抖動(dòng)在限定的范圍內(nèi)，確保網(wǎng)絡(luò)不出現(xiàn)擁塞，始終保持其高吞吐率和區(qū)別效勞特性。

第五章網(wǎng)絡(luò)管理5.1網(wǎng)絡(luò)管理需求由于政務(wù)網(wǎng)平安性要求，內(nèi)外網(wǎng)完全隔離，所以需要在內(nèi)網(wǎng)和外網(wǎng)上各采用一套華為公司網(wǎng)絡(luò)管理軟件Quidview。華為公司Quidview網(wǎng)管軟件能對(duì)全網(wǎng)的寬帶設(shè)備統(tǒng)一維護(hù)管理，減低維護(hù)本錢，優(yōu)化網(wǎng)絡(luò)的運(yùn)維模型和理順運(yùn)維流程，明確各個(gè)不同角色在網(wǎng)絡(luò)管理中的角色，我們建議采用帶內(nèi)網(wǎng)管方式。在中心機(jī)房各設(shè)立一臺(tái)網(wǎng)管效勞器，分別對(duì)內(nèi)網(wǎng)和外網(wǎng)提供全網(wǎng)管理。5.2網(wǎng)絡(luò)管理平臺(tái)設(shè)計(jì)華為Quidview網(wǎng)絡(luò)管理平臺(tái)能實(shí)現(xiàn)網(wǎng)絡(luò)的性能管理，故障管理，配置管理，平安管理和計(jì)費(fèi)管理等根本管理功能及其它功能。Quidview具有強(qiáng)大的管理功能，為用戶提供路由器設(shè)備管理、交換機(jī)設(shè)備管理、集群管理、堆疊管理、視頻設(shè)備管理、設(shè)備日志與告警和RMON等功能，同時(shí)還提供了TrafficView等工具組件，其目標(biāo)是要成為一個(gè)更穩(wěn)定、更完善的華為公司數(shù)據(jù)通信產(chǎn)品的通用網(wǎng)管平臺(tái)。Quidview使用靈活的組件技術(shù)，支持多種操作平臺(tái)，并能夠與多種通用網(wǎng)管平臺(tái)集成（如：HPOpenView），實(shí)現(xiàn)從設(shè)備級(jí)到網(wǎng)絡(luò)級(jí)全方位的網(wǎng)絡(luò)管理。5.2.1網(wǎng)絡(luò)集中監(jiān)視Quidview網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時(shí)監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供適宜的方式對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。具有如下功能： 全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D 拓?fù)渥詣?dòng)發(fā)現(xiàn)，拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)刷新 可視化操作方式：拓?fù)湟晥D節(jié)點(diǎn)直接點(diǎn)擊進(jìn)入設(shè)備操作面板 在網(wǎng)絡(luò)、設(shè)備狀態(tài)改變時(shí)，改變節(jié)點(diǎn)顏色，提示用戶 對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行定時(shí)（輪詢間隔時(shí)間可配置）的輪循監(jiān)視和狀態(tài)刷新并表現(xiàn)在網(wǎng)絡(luò)視圖上 支持拓?fù)溥^(guò)濾，讓用戶關(guān)注所關(guān)心的網(wǎng)絡(luò)設(shè)備情況 支持快速查找拓?fù)鋵?duì)象，并在導(dǎo)航樹和拓?fù)湟晥D中定位該拓?fù)鋵?duì)象5.2.2故障管理故障管理主要功能是對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。Quidview告警管理可做到： 告警實(shí)時(shí)監(jiān)視，提供告警聲光提示，支持外接告警箱 支持告警轉(zhuǎn)到Email、手機(jī)短信（配合短信網(wǎng)關(guān)） 支持告警過(guò)濾，讓用戶關(guān)注重要的告警，查詢結(jié)果可生成報(bào)表 支持告警基級(jí)別重新定義，支持告警轉(zhuǎn)存，保證系統(tǒng)的運(yùn)行效率和穩(wěn)定性 支持告警拓?fù)涠ㄎ唬瑢@示的焦點(diǎn)定位到產(chǎn)生選定告警的拓?fù)鋵?duì)象 支持告警相關(guān)性分析，包括屏蔽重復(fù)告警、屏蔽閃斷告警、屏蔽root-cause告警等5.2.3流量性能監(jiān)控Quidview網(wǎng)絡(luò)管理軟件可以統(tǒng)計(jì)不同線路的利用情況，不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。Quidview提出了層次化性能監(jiān)控的概念，針對(duì)不同的側(cè)重點(diǎn)，提供不同的性能監(jiān)控工具。Quidview網(wǎng)絡(luò)管理軟件提供TrafficView工具，能夠檢測(cè)網(wǎng)絡(luò)設(shè)備端口流量變化，它使得網(wǎng)絡(luò)管理者能夠直觀地觀測(cè)設(shè)備流量的變化，從而對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行有效的管理。圖設(shè)備端口流量監(jiān)控5.2.4故障定位與地址反查針對(duì)最為常見(jiàn)的端口故障，Quidview網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測(cè)工具——路徑跟蹤和端口環(huán)回測(cè)試；當(dāng)用戶報(bào)告網(wǎng)絡(luò)端口使用異常時(shí)，網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)管對(duì)指定用戶端口做環(huán)回測(cè)試，直接定位端口故障。Quidview提供的端口反查功能支持兩種方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用時(shí)分別輸入終端用戶的MAC地址或IP地址，能夠定位該終端用戶連接的交換機(jī)及交換機(jī)的端口，幫助網(wǎng)絡(luò)管理員及早定位非法報(bào)文接入網(wǎng)絡(luò)的原始端口，及時(shí)關(guān)閉端口，防止一些違規(guī)用戶進(jìn)行非法操作比方濫發(fā)報(bào)文、訪問(wèn)非法站點(diǎn)等，危害網(wǎng)絡(luò)平安。5.2.5Web特性提供Web特性，具有完善的平安機(jī)制，用戶可隨時(shí)隨地管理網(wǎng)絡(luò)，降低管理網(wǎng)絡(luò)的難度與強(qiáng)度，使網(wǎng)絡(luò)運(yùn)維過(guò)程流程化，能夠靈活地組織設(shè)備集合，快捷地獲得設(shè)備各類信息。 提供設(shè)備日志分析工具，使用戶及時(shí)了解網(wǎng)絡(luò)中設(shè)備運(yùn)行狀況。 通過(guò)定期輪詢機(jī)制，幫助用戶及時(shí)了解網(wǎng)絡(luò)關(guān)鍵設(shè)備的在線情況。 提供批量配置功能，將用戶從煩瑣，重復(fù)的配置工作中解脫。 提供設(shè)備配置文件管理功能，幫助用戶建立配置文件版本管理機(jī)制，減少災(zāi)難情況下網(wǎng)絡(luò)的恢復(fù)時(shí)間。 具有完善的報(bào)表功能，讓用戶對(duì)網(wǎng)絡(luò)運(yùn)行情況一目了然。 提供統(tǒng)一的任務(wù)機(jī)制，使用戶對(duì)網(wǎng)絡(luò)運(yùn)維管理能夠統(tǒng)一流程。圖Quidview網(wǎng)絡(luò)管理系統(tǒng)WEB管理界面

附錄：組網(wǎng)設(shè)備介紹Quidway?S8500系列萬(wàn)兆核心路由交換機(jī)Quidway?S8500系列萬(wàn)兆核心交換機(jī)是由華為3Com公司自主開(kāi)發(fā)的新一代高性能萬(wàn)兆核心路由交換機(jī)產(chǎn)品，可廣泛應(yīng)用于電子政務(wù)網(wǎng)核心層、校園網(wǎng)及教育城域網(wǎng)核心層、園區(qū)網(wǎng)和企業(yè)網(wǎng)核心層以及運(yùn)營(yíng)商IP城域網(wǎng)核心層、會(huì)聚層。Quidway?S8500系列基于新一代核心交換機(jī)的設(shè)計(jì)理念，具備大容量高性能、可擴(kuò)展能力強(qiáng)和業(yè)務(wù)與性能兼具的特點(diǎn)。Quidway?S8500系列支持新一代高性能萬(wàn)兆接口，能夠?yàn)槌怯蚓W(wǎng)、園區(qū)網(wǎng)、數(shù)據(jù)中心提供超高速鏈路，構(gòu)建端到端以太網(wǎng)絡(luò)，打造低本錢、高性能、具有豐富業(yè)務(wù)支持能力的高性能網(wǎng)絡(luò)。Quidway?S8500提供大容量、高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能，內(nèi)置強(qiáng)勁的全分布式業(yè)務(wù)處理引擎，以全線速處理二層、三層、MPLSVPN、組播等各種業(yè)務(wù)流量，提供完善的QoS保障、平安管理機(jī)制和電信級(jí)的高可靠設(shè)計(jì)，滿足大型IP網(wǎng)絡(luò)對(duì)多業(yè)務(wù)、高可靠、大容量、模塊化的需求。S8505S8508S8512產(chǎn)品特點(diǎn)先進(jìn)的體系結(jié)構(gòu)Quidway?S8500系列產(chǎn)品采用全分布式體系結(jié)構(gòu)設(shè)計(jì)，采用功能強(qiáng)大的ASIC芯片進(jìn)行高速路由查找，并通過(guò)Crossbar技術(shù)進(jìn)行高速報(bào)文交換，從而大大提升了路由交換機(jī)的轉(zhuǎn)發(fā)性能和擴(kuò)充能力。Crossbar交換網(wǎng)芯片內(nèi)置于主控板，不單獨(dú)占用設(shè)備槽位，可提供高達(dá)720Gbps的交換容量，并可平滑升級(jí)到1.44Tbps的交換容量。接口板通過(guò)多條高速總線分別連到兩塊主控板上的Crossbar交換網(wǎng)，從而實(shí)現(xiàn)真正的雙主控、雙交換網(wǎng)的熱備份，極大的提高了系統(tǒng)的可靠性。Quidway?S8500系列產(chǎn)品采用高性能的最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的方式，在保持線速性能和低本錢的基礎(chǔ)上，革命性的解決了傳統(tǒng)交換機(jī)流Cache精確匹配轉(zhuǎn)發(fā)的致命缺陷，能夠有效的抗擊網(wǎng)絡(luò)“紅色代碼〞、“沖擊波〞等病毒的攻擊，更加適合大規(guī)模、多業(yè)務(wù)，復(fù)雜流量訪問(wèn)的網(wǎng)絡(luò)。大容量、高密度線速交換Quidway?S8500系列產(chǎn)品目前最高可以提供720Gbps交換容量/428Mpps包轉(zhuǎn)發(fā)能力，并可平滑升級(jí)到1.44Tbps交換容量、857Mpps轉(zhuǎn)發(fā)能力。支持各種高密度業(yè)務(wù)板和組合業(yè)務(wù)板，整機(jī)可支持高達(dá)576個(gè)千兆端口的同時(shí)線速轉(zhuǎn)發(fā)，滿足核心層設(shè)備大容量、高密度的要求。強(qiáng)大的業(yè)務(wù)支撐能力Quidway?S8500支持MPLSVPN業(yè)務(wù)；支持豐富的組播協(xié)議（IGMP、IGMPSNOOPING，PIM-SM、PIM-DM和MSDP/MBGP等）；支持WebSwitch（硬件支持）、NAT（硬件支持），內(nèi)置防火墻（硬件支持）、IDS；支持POS/ATM、RPR等接口。新一代萬(wàn)兆接口支持Quidway?S8500系列產(chǎn)品提供的新一代萬(wàn)兆以太網(wǎng)克服了早期萬(wàn)兆以太網(wǎng)的諸多局限，在線速轉(zhuǎn)發(fā)的基礎(chǔ)上能夠提供強(qiáng)大的QoS保障，并支持豐富的ACL、策略路由、平安等特性。Quidway?S8500的新一代萬(wàn)兆以太網(wǎng)不僅在接口密度上到達(dá)2端口/線卡（后續(xù)可擴(kuò)展至4端口/線卡），并且可以支持線速的MPLS轉(zhuǎn)發(fā)，可以提供更好的IPVPN業(yè)務(wù)和透明的LAN效勞，真正實(shí)現(xiàn)性能與功能的完美統(tǒng)一。Quidway?S8500系列產(chǎn)品除了提供標(biāo)準(zhǔn)的LAN接口，還可以提供使用波分復(fù)用技術(shù)的10GBASE-LX4接口，從而大大提高了用戶組網(wǎng)的靈活性。MPLS/IPv6分布式線速支持Quidway?S8500系列產(chǎn)品遵循業(yè)務(wù)與性能并重的設(shè)計(jì)理念。一方面帶寬和網(wǎng)絡(luò)規(guī)模的增長(zhǎng)推動(dòng)核心路由交換機(jī)的性能容量不斷提升，另一方面業(yè)務(wù)的開(kāi)展要求核心交換機(jī)更加智能化并具備更強(qiáng)的業(yè)務(wù)提供能力。Quidway?S8500系列產(chǎn)品采用功能強(qiáng)大的ASIC芯片實(shí)現(xiàn)MPLS、IPv6的分布式線速轉(zhuǎn)發(fā)，并能夠基于高性能NP實(shí)現(xiàn)線速NAT、WebSwitch等增值業(yè)務(wù)，在為用戶提供全面的有保障業(yè)務(wù)的同時(shí)，也做到根據(jù)需求業(yè)務(wù)可裁減。完善的QoS機(jī)制Quidway?S8500系列產(chǎn)品提供了靈活的隊(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP、WRR、SP+WRR三種模式；支持8個(gè)優(yōu)先級(jí)隊(duì)列，3個(gè)丟棄優(yōu)先級(jí)；支持WRED擁塞防止算法和端口流量整形。支持帶寬控制功能，流量限速的粒度為8Kbit/s，滿足精品寬帶網(wǎng)絡(luò)的要求。電信級(jí)可靠性設(shè)計(jì)：Quidway?S8500系列產(chǎn)品系統(tǒng)采用分布式結(jié)構(gòu)，支持雙主控交換板，無(wú)源背板設(shè)計(jì)，所有單板支持熱插拔；電源系統(tǒng)交流/直流可選，采用1+1冗余熱備份，并支持雙路電源輸入；支持STP/RSTP/MSTP協(xié)議和VRRP協(xié)議，能夠滿足苛刻的電信級(jí)網(wǎng)絡(luò)可靠性要求，系統(tǒng)可靠性到達(dá)：99.999％。完善的平安機(jī)制：Quidway?S8500系列產(chǎn)品的先進(jìn)的逐包轉(zhuǎn)發(fā)機(jī)制確保其在各種數(shù)據(jù)流狀況下的設(shè)備平安，支持OSPF、RIPv2及BGPv4報(bào)文的明文及MD5密文認(rèn)證；支持URPF（單播反向路徑檢查）；采用802.1x方式對(duì)接入用戶進(jìn)行認(rèn)證，支持平安的SNMPv3的網(wǎng)管協(xié)議、支持配置平安，對(duì)登錄用戶進(jìn)行認(rèn)證，不同級(jí)別的用戶有不同的配置權(quán)限，并提供兩種用戶認(rèn)證方式：本地認(rèn)證和RADIUS認(rèn)證。Quidway?S8500系列產(chǎn)品通過(guò)靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問(wèn)網(wǎng)絡(luò)。支持多種ACL訪問(wèn)控制策略，能夠?qū)τ脩粼L問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)行設(shè)置，保證網(wǎng)絡(luò)的受控訪問(wèn)。Quidway?S8500系列產(chǎn)品還支持標(biāo)準(zhǔn)Radius協(xié)議，同時(shí)提供Radius+功能，以及HCBM?（華為可控組播管理協(xié)議）功能支持。基于硬件支持的內(nèi)置防火墻/IDS功能為核心交換設(shè)備平安組網(wǎng)提供了多樣化的選擇，簡(jiǎn)化了網(wǎng)絡(luò)層次，提高了整網(wǎng)性能。產(chǎn)品規(guī)格屬性S8505S8508S8512體系結(jié)構(gòu)一體化機(jī)箱，可安裝于19英寸機(jī)架內(nèi)外形尺寸（MM）寬×深×高436x450x486436x450x619436x450x753滿配置重量（Kg）6580100交換容量XRCoreEngine?I300GXRCoreEngine?II600GXRCoreEngine?I480GXRCoreEngine?II960GXRCoreEngine?I720GXRCoreEngine?II1.44T背板容量750Gbps（可擴(kuò)展至1.5T）1.2Tbps（可擴(kuò)展至2.4T）1.8Tbps（可擴(kuò)展至3.6T）包轉(zhuǎn)發(fā)率XRCoreEngine?I178MppsXRCoreEngine?II357MppsXRCoreEngine?I285MppsXRCoreEngine?II571MppsXRCoreEngine?I428MppsXRCoreEngine?II857Mpps槽位數(shù)量71014業(yè)務(wù)單板槽位數(shù)量5812二層功能4KVLAN支持802.1q優(yōu)先級(jí)生成樹協(xié)議：STP/RSTP/MSTP支持動(dòng)態(tài)VLAN注冊(cè)協(xié)議（GVRP）支持端口捆綁支持端口鏡像支持播送風(fēng)暴抑制支持Jumbo幀兼容Ethernet_II/Ethernet_SNAP/IEEE802.2/IEEE802.3MDI/MDI-X自適應(yīng)三層功能ARPProxy（SuperVLAN）提供豐富的路由協(xié)議：RIP、OSPF、IS-IS、BGP4支持256K最長(zhǎng)匹配路由轉(zhuǎn)發(fā)表支持路由負(fù)載分擔(dān)支持分布式策略路由支持URPF（單播反向路徑檢查）支持VRRP支持DHCP-RELAY組播二層組播協(xié)議：GMRP、IGMPSnooping三層組播協(xié)議：IGMP、PIM-DM、PIM-SM、MSDP/MBGP支持可控組播業(yè)務(wù)NAT支持NAT中NAPT模式支持公有地址和私有地址的混合組網(wǎng)NAT轉(zhuǎn)換支持ICMP、FTP的等ALG平安功能，防止DOS攻擊對(duì)NAT模塊資源的過(guò)度使用支持NAT板間的負(fù)荷分擔(dān)和備份功能WebSwitch具有L3/L4層的線速交換基于L4層的PBR及其他功能：如效勞器負(fù)載均衡、防火墻負(fù)載均衡、WebCache高速緩存重定向等功能MPLSVPN支持二層MPLSVPN支持三層MPLSVPN支持QinQ支持PE和P功能MPLS標(biāo)簽空間：128KMPLS標(biāo)簽棧深度：4級(jí)QoS可基于物理端口、VLAN、源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP端口、協(xié)議號(hào)等進(jìn)行報(bào)文分類和過(guò)濾支持帶寬控制，帶寬控制粒度為1Kbit/s優(yōu)先級(jí)隊(duì)列調(diào)度：每端口支持8個(gè)優(yōu)先級(jí)隊(duì)列，3個(gè)丟棄優(yōu)先級(jí)，支持SP、WRR、SP+WRR三種隊(duì)列調(diào)度算法支持WRED擁塞防止算法支持流量整形支持802.1P，DSCP/TOS優(yōu)先級(jí)和重新標(biāo)記能力支持基于時(shí)間段的流分類和QoS控制能力網(wǎng)絡(luò)平安特性支持IP+MAC+PORT任意組合的綁定支持非法幀報(bào)文過(guò)濾支持IEEE802.1X認(rèn)證用戶分級(jí)管理和口令保護(hù)支持端口隔離支持SSH支持SNMPv3網(wǎng)管可靠性MTBF:>128,400小時(shí)MTTR:<0.5小時(shí)雙主控支持雙路電源供電支持熱插拔環(huán)境要求溫度范圍：0℃～40℃相對(duì)濕度：10%～90%（非凝結(jié)）電源要求DC：輸入電壓：－48V～－60VAC：輸入電壓：100V～240V最大輸出功率：1200W（S8505）、2000W（S8508/S8512）訂購(gòu)信息Quidway?S8500系列核心路由交換機(jī)是華為3Com公司自主開(kāi)發(fā)的核心交換機(jī)產(chǎn)品，用戶可以根據(jù)實(shí)際需求按照機(jī)箱、電源、業(yè)務(wù)模塊等幾局部進(jìn)行選購(gòu)。機(jī)柜/機(jī)箱配置根據(jù)產(chǎn)品具體型號(hào)選擇需配的機(jī)箱描述數(shù)量范圍備注Quidway?S85002.2m總裝機(jī)柜1可選Quidway?S85001.8m總裝機(jī)柜1可選Quidway?S8505一體化總裝機(jī)箱1必選Quidway?S8508一體化總裝機(jī)箱1必選Quidway?S8512一體化總裝機(jī)箱1必選交換路由處理板配置根據(jù)產(chǎn)品具體型號(hào)選擇需配的交換路由處理板描述數(shù)量范圍備注Quidway?S8505交換路由處理板1-2必選Quidway?S8508交換路由處理板1-2必選Quidway?S8512交換路由處理板1-2必選單板配置根據(jù)具體情況選擇業(yè)務(wù)單板。工程描述數(shù)量范圍備注48端口百兆以太網(wǎng)電接口業(yè)務(wù)板（RJ45）0-12可選20端口百兆以太網(wǎng)光接口業(yè)務(wù)板（SFP,LC）0-12可選12端口10/100/1000M自適應(yīng)電接口業(yè)務(wù)板（RJ45）0-12可選24端口10/100/1000M自適應(yīng)電接口業(yè)務(wù)板（RJ45）0-12可選12端口千兆以太網(wǎng)光接口業(yè)務(wù)板（SFP,LC）0-12可選24端口千兆以太網(wǎng)光接口業(yè)務(wù)板（SFP,LC）0-12可選1端口10GBASE-R/LX4業(yè)務(wù)板（XENPAK,SC）0-12可選2端口萬(wàn)兆以太網(wǎng)光接口業(yè)務(wù)板（XFP,LC）0-12可選4端口OC-3c（155M）POS接口＋8端口千兆光接口業(yè)務(wù)板0-12可選32端口百兆以太網(wǎng)電接口＋4端口千兆光接口業(yè)務(wù)板0-12可選8端口10/100/1000M自適應(yīng)電接口＋4端口千兆光接口業(yè)務(wù)板0-12可選電源配置可以選擇直流電源也可以選擇交流電源，二者必選其一描述數(shù)量范圍備注直流電源模塊1-2可選交流電源模塊1-2可選Quidway?S5516千兆智能三層交換機(jī)Quidway?S5516千兆智能三層交換機(jī)是華為3Com公司面向IP城域網(wǎng)的會(huì)聚層和大型企業(yè)或園區(qū)網(wǎng)的會(huì)聚層推出的盒式高密度可堆疊二、三層全線速以太網(wǎng)交換機(jī)產(chǎn)品。通過(guò)提供高密度的GE端口，為IP城域網(wǎng)或者園區(qū)網(wǎng)提供GE接口的會(huì)聚和收斂功能，是組建園區(qū)網(wǎng)中心和IP城域網(wǎng)會(huì)聚層的理想產(chǎn)品。產(chǎn)品特點(diǎn)先進(jìn)的體系結(jié)構(gòu)、卓越的性能Quidway?S5516具有32Gbps交換容量，24Mpps轉(zhuǎn)發(fā)能力，最大支持32K路由表項(xiàng)，基于最長(zhǎng)匹配的路由方式，保證了所有報(bào)文均獲得相同的轉(zhuǎn)發(fā)性能,對(duì)“紅碼病毒〞和“沖擊波病毒〞的攻擊具有天生的防御能力。強(qiáng)大的處理能力是構(gòu)建可靠、穩(wěn)定、高速的IP網(wǎng)絡(luò)平臺(tái)的重要保障。靈活的組網(wǎng)能力Quidway?S5516采用模塊化設(shè)計(jì)，4個(gè)接口槽位，每個(gè)接口槽位可提供4個(gè)GE端口，提供多種規(guī)格千兆接口模塊供選擇，支持高性能SFP光接口，支持GE電口、單/多模光口模塊的混合配置，支持模塊熱插拔；并可提供堆疊接口模塊，可以和系列交換機(jī)堆疊，能夠提供更靈活的組網(wǎng)模式。強(qiáng)大的網(wǎng)絡(luò)適應(yīng)能力支持豐富的二層、三層協(xié)議：支持OSPF，RIPI/II，IS-IS，BGP4等路由協(xié)議，支持802.1q，GVRP等二層協(xié)議；提供RSTP，VRRP，PIM協(xié)議，支持802.1x用戶認(rèn)證功能，可勝任各種復(fù)雜網(wǎng)絡(luò)的組網(wǎng)需求。可控組播技術(shù)使得網(wǎng)絡(luò)的組播源和組播用戶可控，能夠?qū)M播業(yè)務(wù)進(jìn)行可靠的管理。豐富的QoS策略支持DiffServ、802.1p、WRR、RED等優(yōu)先級(jí)處理和調(diào)度算法可以對(duì)不同優(yōu)先級(jí)業(yè)務(wù)進(jìn)行調(diào)度及良好的網(wǎng)絡(luò)擁塞控制策略，提供以64Kbit/s為步長(zhǎng)的流控粒度，可以對(duì)不同業(yè)務(wù)進(jìn)行更細(xì)致的管理，支持基于L2/3/4的流分類，豐富的Qos策略是構(gòu)建高質(zhì)量“三網(wǎng)合一〞網(wǎng)絡(luò)的基礎(chǔ)。實(shí)用的網(wǎng)絡(luò)管理維護(hù)功能支持SNMP，可支持OpenView等通用網(wǎng)管平臺(tái)，以及Quidview?、iManager?網(wǎng)管系統(tǒng)。支持SMON、RMON，HGMP集群管理，使設(shè)備管理更方便。Quidway?S5516L2/L3以太網(wǎng)交換機(jī)特性參數(shù)：屬性描述支持的標(biāo)準(zhǔn)和協(xié)議IEEE802.1d、IEEE802.1x、IEEE802.3、IEEE802.3u、IEEE802.3x、IEEE802.3z、IEEE802.1Q、IEEE802.1p、OSPF、RIP1/2、GMRP、GVRP、IGMP、VRRP等交換容量≥32Gbps轉(zhuǎn)發(fā)性能≥24Mpps可選模塊4端口1000Base－T接口板4端口1000Base-SX接口板4端口1000Base－LX接口板4端口千兆堆疊板4端口SFP光接口板（SFP模塊有：550m多模、10Km單模、30Km單模、40Km單模、70Km單模可選擇）MAC地址表容量16KVLAN數(shù)量4K路由表項(xiàng)32KPortTrunking支持，最大支持16個(gè)GE口捆綁CAR支持，粒度：64Kbps系統(tǒng)配置/系統(tǒng)管理提供中/英文雙語(yǔ)界面支持CLI、Console、Telnet、Modem方式配置支持基于SNMP支持RMONHGMPV2支持系統(tǒng)日志支持分級(jí)告警外形尺寸（mm）寬×深×高436×400×86重量10kg環(huán)境工作溫度：0～45℃保存溫度：－30～60℃相對(duì)濕度：10％～90％無(wú)凝結(jié)電源支持220V、110V、－48V，支持外置冗余電源功耗120W訂購(gòu)信息主機(jī)配置表3S5516以太網(wǎng)交換機(jī)主機(jī)選購(gòu)一覽表描述數(shù)量備注S5516主機(jī)（220V）1可選S5516主機(jī)（-48V）1可選冗余電源模塊1可選接口模塊配置表4S5516以太網(wǎng)交換機(jī)接口模塊選購(gòu)一覽表描述數(shù)量備注4端口1000Base-LX模塊0～4可選4端口1000Base-SX模塊0～4可選4端口10/100/1000Base-T模塊0～4可選4端口千兆堆疊模塊0～4可選4端口千兆SFP光接口模塊-LC接口板0～4可選千兆多模SFP光收發(fā)模塊（550m，LC）0～16可選千兆單模SFP光收發(fā)模塊（10km，LC）0～16可選千兆單模SFP光收發(fā)模塊（70km，LC）0～16可選注：在配置SFP光收發(fā)模塊時(shí)必須配置接口板，每塊接口板支持4個(gè)SFP光收發(fā)模塊，不同型號(hào)的SFP模塊在同一塊接口板上可混合配置。Quidway?S3000系列智能二層交換機(jī)Quidway?S3000系列智能二層交換機(jī)是華為3Com公司為充分滿足高QOS保證的需求而推出的智能型以太網(wǎng)交換機(jī)。系統(tǒng)采用高性能的ASIC，采用靈活的模塊化結(jié)構(gòu)，提供二到七層的智能的流分類和和完善的效勞質(zhì)量（QoS），實(shí)現(xiàn)完備的業(yè)務(wù)控制和用戶管理能力，可作為關(guān)注業(yè)務(wù)管理控制和網(wǎng)絡(luò)平安保障能力的企業(yè)網(wǎng)和城域網(wǎng)的接入層交換機(jī)。S3000系列智能二層交換機(jī)，包括：S3050C、S3026G/T/C、S3026C-PWR、S3026E-FS/FM。Quidway?S3050CQuidway?S3026GQuidway?S3026CQuidway?S3026C-PWRQuidway?S3026E-FS/FMQuidway?S3050C以太網(wǎng)交換機(jī)采用1U高的盒式設(shè)備，支持19英寸機(jī)架安裝，可不依賴于其他設(shè)備獨(dú)立運(yùn)行；提供固定的48個(gè)10Base-T/100Base-TX的自適應(yīng)端口、1個(gè)Console口及2個(gè)后擴(kuò)展槽。Quidway?S3026G/S3026T/S3026C/S3026C-PWR以太網(wǎng)交換機(jī)為1U高的盒式設(shè)備，支持19英寸機(jī)架安裝，可不依賴于其他設(shè)備獨(dú)立運(yùn)行。系統(tǒng)提供固定的24個(gè)10/100Base-TX的自適應(yīng)端口、1個(gè)Console口及2個(gè)GBIC/1000Base-T/前擴(kuò)展槽，可以根據(jù)需求靈活選擇設(shè)備。Quidway?S3026E-FS/S3026E-FM以太網(wǎng)交換機(jī)為2U高的盒式設(shè)備，支持19英寸機(jī)架安裝，可不依賴于其他設(shè)備獨(dú)立運(yùn)行。系統(tǒng)提供固定的12個(gè)100Base-FX單模/多模百兆光口、1個(gè)Console口，2個(gè)6端口百兆模塊前擴(kuò)展槽和2個(gè)單端口后擴(kuò)展槽（可支持千兆和百兆），提供靈活的上行端口配置。產(chǎn)品特點(diǎn)全線速的二層交換：Quidway?S3000系列智能二層交換機(jī)12.8/18.5Gbps的總線帶寬為交換機(jī)所有的端口提供二層線速交換能力，硬件能夠識(shí)別、處理四到七層的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨(dú)的數(shù)據(jù)包過(guò)濾、區(qū)分不同應(yīng)用流，并根據(jù)不同的流進(jìn)行不同的管理和控制。完備的平安智能控制策略：Quidway?S3000系列智能二層交換機(jī)支持802.1x認(rèn)證，在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，還可以通過(guò)靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問(wèn)網(wǎng)絡(luò)。支持多種ACL訪問(wèn)控制策略，能夠?qū)τ脩粼L問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)行設(shè)置，保證網(wǎng)絡(luò)的受控訪問(wèn)。高可靠性：Quidway?S3000系列智能二層交換機(jī)不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。支持可選的冗余電源系統(tǒng)RPS，可為4臺(tái)設(shè)備提供電源冗余，提高容錯(cuò)能力和網(wǎng)絡(luò)正常運(yùn)行時(shí)間。優(yōu)異的遠(yuǎn)程供電功能：Quidway?S3026C-PWR以太網(wǎng)交換機(jī)支持PoE（PowerOverEthernet），即可通過(guò)以太網(wǎng)雙絞線向遠(yuǎn)端下掛PD（PoweredDevice）設(shè)備（IPPhone、WLANAP、NetworkCamera等）提供-48V直流電源，實(shí)現(xiàn)對(duì)下掛PD設(shè)備遠(yuǎn)端供電。作為供電方PSE（PowerSourcingEquipment）設(shè)備，滿IEEE802.3af線路供電標(biāo)準(zhǔn)。Quidway?S3026C-PWR可通過(guò)3/5類雙絞線的數(shù)據(jù)線（1、3、2、6）同時(shí)傳遞數(shù)據(jù)和電流，也可通過(guò)3/5類雙絞線的數(shù)據(jù)線（1、3、2、6）傳遞數(shù)據(jù)、空閑線（4、5、7、8）傳遞電流。可通過(guò)命令行進(jìn)行相關(guān)供電參數(shù)配置，也可通過(guò)模式按鈕進(jìn)行選擇。Quidway?S3026C-PWR最多可以向24臺(tái)下掛以太網(wǎng)交換機(jī)進(jìn)行遠(yuǎn)程供電，最長(zhǎng)供電距離為100m。每個(gè)以太網(wǎng)口向下掛設(shè)備提供的最大功率為15.4W。Quidway?S3026C-PWR采用交流供電時(shí)向下掛設(shè)備供電的總功率最大為160W，采用RPS冗余電源則高達(dá)280W，滿足24個(gè)端口同時(shí)以最大輸出功率提供遠(yuǎn)程供電。S3026C-PWR會(huì)依據(jù)計(jì)算當(dāng)前對(duì)外提供的功率判斷是否對(duì)檢測(cè)到的下一個(gè)設(shè)備進(jìn)行遠(yuǎn)程供電。豐富的QOS策略：Quidway?S3000系列智能二層交換機(jī)支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復(fù)雜流分類；支持1K個(gè)流規(guī)則。提供了三種各具特色的隊(duì)列調(diào)度算法，嚴(yán)格優(yōu)先級(jí)（Strict-PriorityQueue，簡(jiǎn)稱PQ）、加權(quán)輪循（WeightedRoundRobin，簡(jiǎn)稱WRR）調(diào)度算法和DelayboundedWRR調(diào)度算法；支持帶寬控制功能，確保進(jìn)入交換機(jī)的特定業(yè)務(wù)流一個(gè)最小的帶寬，即使在網(wǎng)絡(luò)擁塞時(shí)，也能滿足一定的丟包、時(shí)延及時(shí)延抖動(dòng)等QoS需求。支持CAR（CommittedAccessRate）功能