东胜区罕台庙政府办公大楼
网络技术方案
北京东联世纪科技有限公司
2011年5月
东胜区罕台庙政府办公大楼需求分析
此次网络系统设计的目标是在建设新网络系统,满足整合数据平台及视频会议等对基础设施提出的各种新需求,同时能够方便灵活的引入并利用各种最新技术。即:一方面,它能适应未来大集中系统的需要,满足不断发展变化的业务需求;另一方面,它要能兼顾到技术的发展趋势,方便用户未来灵活便捷地引入各种先进、实用的技术。网络部分设计阶段主要完成的具体工作如下:
实现体育场内基础网络平台的建设
实现体育场内网络高速、稳定、可靠、安全连接
根据体育场现状及未来业务发展规划,此次网络系统建设的主要实现如下目标:
建立全台统一、共享、规范的网络系统体系架构。建立满足未来管理和业务发展要求的全台网络系统总体架构,以满足系统资源和信息资源整合的需要,规范和统一新应用系统的技术架构和开发方法,同时逐步调整现有的系统结构。
确保系统资源的有效管理和运行,整合系统资源,加强系统资源的有效管理,提高系统资源的利用率,降低系统运行成本。提高系统的可靠性,切实保障播出及关键业务的正常运转。
建设最终目标
1、系统稳定、安全可靠,内部信息共享,且可迅速传递各类信息
对系统之间的信息交换进行总体上的统一规划和设计,最终实现各子系统之间的互联互通,实现信息共享和信息交互,完成信息在不同系统间的传递。
2、提高信息化工作效率
建设一个全数字化、网络化的网络系统,通过网络技术标准平台,避免传统设备之间不兼容的问题,提高各种设备间的通配性,提高设备的使用效率。
3、提高企业的综合竞争力
在提高生产质量、效率,管理水平的同时,会对企业的品质带来质的提高,使企业的发展进入一个良好的循环上升趋势。
4、统一的安全管理措施
从网络规划、操作系统以及业务系统等各个层次上统一考虑安全措施,并充分考虑易操作性。这其中包括网络的多层次安全的规划与设计、系统运行状况的监控和管理以及防攻
击、防病毒等措施的统一规划、设计与部署。
网络建设原则
根据网络系统分析结果、结合现代网络技术发展趋势,我们确定本次网络设计所采用的总的指导原则如下:
(一)安全可靠性原则
网络系统的设计必须遵循可靠性的原则,设计中应尽最大可能减少因网络系统故障而造成的业务无法正常进行的现象的发生(如:因服务器或网络故障造成用户无法访问业务系统,进而无法进行正常业务的现象等);同时,设计中还应注重信息安全体系的建设,提高网络系统的整体安全性,进一步保证数据安全。
(二)先进成熟性原则
网络系统的设计应具有产品和技术先进性,先进的产品和技术是未来系统性能的保证。在信息技术飞速发展的今天,我们选择的产品和技术应具有一定的前瞻性,能够适应未来一段时间(4-5 年)业务需求及技术发展变化的需要。同时,尽可能兼顾产品和技术的成熟性,增强网络系统的整体稳定性。
(三)开放与可扩展性原则
网络系统的设计应选择开放式设计的产品或技术,满足系统间灵活的信息交互的需要。同时,充分考虑产品可扩展性,满足不断发展变化的业务和技术需求。
(四)统一标准化原则
网络系统的设计应该坚持标准化的原则,采用业界公认的行业或技术标准,降低管理复杂度。同时,坚持统一化的原则(如:统一vlan划分,统一的ipaddress分配等)应尽可能采用统一的标准。
(五)经济性原则
网络系统的设计必须实用、经济,应该尽量利用现有资源,坚持在先进、高性能前提下合理投资,以期在成本最佳的前提下获得最大的经济效益和社会效益。
网络设计方案
网络系统技术的选择不仅关系到整个网络系统性能的好坏,还涉及到未来整个网络系统如何有效地与新技术接轨和升级的问题,希望一次投入,可以满足和适应不断发展的应用环境;对设计者来讲,网络技术的选择首先应立足满足于目前的需求,选择一种适当的有发展前途的网络技术。
采用何种技术来构建网络系统应考虑如下几个方面:
按照新一代网络技术结构来设计网络系统;
按照模块化、结构化的原则设计,便于扩充和升级;
考虑技术的先进性,但以实用性及技术的成熟性和简易性为主;
在网络建成后,提供基本的服务和应用,充分体现和发挥网络的价值与效益。
网络技术选择的关键是考察这种技术是否能够满足用户的需要,并且在一定阶段内是否有扩展能力。当今,网络主干技术的选择多种多样,究竟什么是符合计算机网络系统的技术,需要我们认真考虑。在网络技术的选择中,根据前述用户需求和分析可以得出需要高速网络技术来满足应用的需要,随着业务需求的不断升级,桌面接入的带宽升级已经成为当前网络建设的一个主题,经历了长时间的酝酿后,随着千兆网卡的普及、千兆端口价格的不断下降以及万兆下移的快速发展,“百兆到桌面,千兆局域网”已经在国内很多区域、行业的应用中成为实际需求。
这一切都预示着网络主干应该提供更高或更容易扩展的带宽能力。在本方案设计在核心、接入层均采用高速千兆技术,是应用的需要,也是今后应用发展的需要,因此,在此次红孩子网络系统建设中,核心层与汇聚层主干网络全部采用千兆以太网技术,核心交换机支持高密度万兆以太网端口接入能力,以便在今后平滑扩容。
网络整体设计
网络的结构是层次化的,正确理解网络层次的划分和每个层次的主要作用,有助于我们合理选择网络拓扑和网络技术。从理论上可以划分为三个层次,即核心层(Core Layer)、汇聚层(Distribution Layer)和访问层(Access Layer)。本次的核心层同事兼有汇聚层功能。
核心层主要承担高速数据交换的任务,同时要为各汇聚节点提供最佳传输通道。
汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中,承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性,必须使用模块化的体系结构,可通过增加板卡提高端口密度,以便汇聚更多的接入层设备。
接入层的主要任务是完成用户的接入,它直接和用户连接,可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等等攻击方式,对安全性的要求很高,另一方面必须提供灵活的
用户管理手段。
东胜区罕台庙政府办公大楼网络拓扑设计
网络外网系统结构如下图所示
如上图所示,我们选择在网络核心机房放置外网核心交换机,配置一台可支持万兆的H3C核心交换机H3C LS-5500-28F-EI,LS-5500-28F-EI交换机采用分布式结构,且LS-5500-28F-EI交换机支持双主控板,电源系统采用2+1电源冗余热备份,能够满足苛刻的电信级网络可靠性要求。LS-5500-28F-EI交换机在线速转发的基础上能够提供强大的QoS 保障,并支持丰富的ACL、策略路由、安全等特性。LS-5500-28F-EI交换机采用功能强大的ASIC芯片进行高速路由查找,并通过Crossbar技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩充能力,完全满足现在网络需求。并且直接通过千兆多模光纤与各楼层接入交换机直接互联,使综合楼网络统一管理和运行。
LS-5500-28F-EI具备多业务特性,可扩展防火墙模块、负载均衡模块、无线控制器模块、网络流量分析模块等多业务模块,未来可根据业务需求随时进行扩展。
接入交换机采用H3C的H3C S3100系列层交换机,它具有19.2G的交换容量和9.6Mpps 的二/三层包转发能力,具备丰富的业务特性;多样的队列调度满足高级QoS、更为精细的
流分类、限速粒度和组播服务,实现网络控制和带宽优化;支持基于VLAN的服务策略配置等,保证高性能及复杂业务能力,并提供优良性价比,同时可以灵活控制网络带宽,防止网络P2P等下载占用大量网络带宽资源。
对于员工Internet访问,我们选择核心交换机前端设置H3C百兆防火墙H3C F100-E 做安全访问控制,保证内部网络的安全性,避免来自Internet的攻击,有效的抵御外部网络DOS/DDOS、ARP地址欺骗、端口扫描、内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能。同时担负员工访问Internet,实现NAT地址转换功能,并可提供实现各种VPN如:L2TP VPN、GRE VPN、IPSEC VPN等功能。
防火墙设计
目前,Web2.0、音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求,增加其它辅助设备又会增加组网复杂性;而通过在传统防火墙上简单叠加部分应用层安全防护功能,也由于系统设计和硬件架构的天然不足,造成性能的大幅衰减,导致应用层功能不敢真正启用。特别在对性能、稳定性要求苛刻的数据中心,此问题显得尤为严峻。
为解决上述难题,迪普科技推出了基于全新多核处理器架构的下一代防火墙—DPtech FW1000 N系列应用防火墙。FW1000对网络层、应用层安全进行融合,并采用独有的“并行流过滤引擎”技术,全部安全策略可以一次匹配完成,即使在应用层功能不断扩展、特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。以万兆应用防火墙FW1000-GE-N为例,在开启防火墙、IPSec/SSL VPN、NAT、URL过滤、攻击防护、行为审计功能的情况下,扩展应用控制协议库、URL过滤库等,处理能力依然可达万兆线速。
FW1000 N系列开创了应用防火墙的先河。基于迪普科技自主知识产权的万兆级应用安全硬件处理平台和ConPlat OS安全操作系统,是目前业界性能最高的应用防火墙。无以伦比的高可用性、高性能和高可靠性,使得FW1000 N系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用防火墙方案,也简化了网络的安全架构,并大大降低了企业网络总
体拥有成本!
FW1000 N系列具备如下特点:
■ 先进的多核硬件架构,实现超万兆的安全防护
■ 全内置IPSec VPN、SSL VPN硬件加密
■ 接口模块和业务模块的按需扩展
■ 支持路由模式、透明模式、混合模式组网
■ 支持安全区域划分、虚拟防火墙技术
■ 内嵌丰富的应用层过滤与控制引擎,实现细粒度的安全管理
■ 冗余电源、状态热备等高可靠性
■ 支持丰富的网络协议,适应各种复杂组网环境
H3C防火墙产品功能规格:
详细网络解决方案
VLAN规划
VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制
点,它由软件进行管理,所以允许用户利用软件功能灵活地配置资源,管理网络。利用交换设备中的虚网功能,不必改变网络的物理基础,即可重新配置网络。采用虚网功能,网络性能可以获得较大的改善:
1.虚网技术能对工作组业务进行过滤,有效地分割通信量,因而能更好地利用带宽,提高网络总的吞吐量。
2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线,因为虚网技术是从逻辑角度而非物理角度来划分子网的,所以采用虚网技术能减轻系统的扩容压力,将迁移费用降至最小。
3.采用虚网技术能有效隔离网络设备,增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为IEEE802.1Q,此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。
4.虚网技术能对属于同一工作组的用户提供广播服务,但与传统的网络协议所不同的是,虚拟网络能限制广播的区域,从而节省网络带宽。
5.虚拟网络可以建立在不同的物理网络上,用封装的办法支法支持不同的网络协议络协议,如SNMP、NMP、IPX、TCP//IP、IEEE802.33等,兼容性非常好性非常好。
6.虚拟网络中的主要应用技术为“虚网中继”,VLAN Trunking特有技术的采用也成成为了必然。必然。简而言之,VLAN Trunking主要是通过一条高速全双工通道(2000Mbps)来)来实现将将一个LAN Switch端口所划分的不同VLAN与其它LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用,既节省了信道数据量,又提高了可靠性,并便于管理及方便连接,提高了整个网络吞吐量和性能指标。其原理如下图所示:
如果采用VLAN trunking 的技术,则V1、V2、V3均可通过一条全双工的1000Mbps,即2000Mbps的速率与上级LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接,提高了通道的使用效率,如在,如在V2,V3无数据量的情况下,V1可以独占此1000M带宽;并且可以使得线路的连接变得简单,从而大大提高可靠性与易维护性。
LAN技术逻辑结构示意图下图,在每台二层交换机上分别配置了VLAN x、VLAN y、VLAN z。三台二层交换机通过Trunk链路汇聚至三层交换机,通过在三层交换机上配置访问控制列表,可实现不
同交换机上相同VLAN的互访。
QOS实施策略
对于局域网网络的带宽资源比较充分,对QOS的要求也相对较低,但是对于大量Internet数据通信的特点,网络中不可避免的存在突发流量,可能造成网络短时期拥塞,随着新业务的开展,另外网络中可能存在大量消耗带宽资源的应用,所以,本项目中仍然需要考虑QOS问题。
QoS方案的设计实施,首先需要考虑选择合适的技术框架,也即服务模型。服务模型指的是一组端到端的QoS功能,目前有以下三种QoS服务模型:
Best-Effort service——尽力服务
Integrated service(Intserv)——综合服务
Differentiated service(Diffserv)——区分服务
●Best-Effort service
尽力服务是最简单的服务模型。应用程序可以在任何时候,发出任意数量的报文,而且不需要事先获得批准,也不需要通知网络。网络则尽最大的可能性来发送报文,但对时延、可靠性等不提供任何保证。
尽力服务是互联网的缺省传输模式,由于它不区分具体的业务类型,采用先入先出的策略(FIFO)处理,对所有报文都无区别的等同对待,实现起来比较简单,但由于无法为高优先级的实时业务和关键业务提供额外保障,尽力服务模型并不适合用于政务网的建网需求。
●Integrated service
Intserv是一个综合服务模型,它可以满足多种QoS需求。这种服务模型在发送报文前,需要向网络申请特定的服务。这个请求是通过信令(signal)来完成的,应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求,包括带宽、时延等,应用程序一般在收到网络的确认信息,即网络已经为这个应用程序的报文预留了资源后,发送报文。而应用程序发出的报文应该控制在流量参数描述的范围内。
网络在收到应用程序的资源请求后,执行资源分配检查(Admission control),即基于应用程序的资源申请和网络现有的资源情况,判断是否为应用程序分配资源。一旦网络确认为应用程序的报文分配了资源,则只要应用程序的报文控制在流量参数描述的范围内,网络将承诺满足应用程序的QoS需求。而网络将为每个流(flow,由两端的IP地址、端口号、协议号确定)维护一个状态,并基于这个状态执行报文的分类、流量监管(policing)、排队及其调度,来满足对应用程序的承诺,具有面向连接的特性。因此对网络设备的处理能力
有较高要求。
传送QoS请求的信令是RSVP(资源预留协议),它通知路由器应用程序的QoS需求。
Differentiated service
Diffserv即区别服务模型,它可以满足不同的QoS需求。与Integrated service不同,它不需要信令,即应用程序在发出报文前,不需要通知路由器。网络不需要为每个流维护状态,它根据每个报文指定的QoS,来提供特定的服务。可以用不同的方法来指定报文的QoS,如IP包的优先级位(IP Precedence)、报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。
通常在配置Differentiated service时,在网络边界的路由器通过报文的源地址和目的地址等对报文进行分类,对不同的报文设置不同的IP优先级,而其它路由器只需要用IP 优先级来进行报文的分类。
这三种服务模型中,只有Intserv与Diffserv这两种能提供多服务的QoS保障。从技术上看,Intserv需要网络对每个流均维持一个软状态,因此会导致设备性能的下降,或实现相同的功能需要更高性能的设备,另外,还需要全网设备都能提供一致的技术才能实现QoS。而Diffserv则没有这方面的缺陷,且处理效率高,部署及实施可以分布进行,它只是在构建网络时,需要对网络中的设备设置相应的规则,会使配置管理比较复杂。
考虑到Diffserv模式具有处理效率高,部署和实时方便的特点,我们建议在本项目中,选用Diffserv模式。
网络安全解决方案
网络安全是任何一个网络建设时首先要考虑的重要问题,TCP/IP网络本身就存在很多安全漏洞,很容易被一些恶意用户利用并实施攻击,或非法占用网络资源,侵犯其它用户的合法利益,甚至导致整个网络系统崩溃。任何一个网络设备都必需首先具备足够的自我保护和防范能力,H3C的交换机和路由器等网络设备在安全性方面有丰富实用的功能,大体可分为两类,一类是自身防攻击措施,另一类是用户安全保证措施。
1.1.1 用户严格隔离
方法一:用Vlan隔离。在楼层以太网交换机上按端口划分Vlan,每个用户占用一个
Vlan。
方法二:利用PVlan技术。在楼道交换机上划分PVlan,使用户端口之间不能通信,用户端口只能和Uplink口通信。
方法三:使用以太网MUX设备。该类设备将接入层交换机的端口分为两类:上行口Uplink和用户端口。用户端口之间不能通信,Uplink口可以和所有端口通信。
通过用户隔离,可以防止用户对网络邻居的工具,阻止冲击波等蠕虫病毒在网上的传播。
1.1.2 有效防范MAC扫描和ARP攻击:
MAC地址表放置在内存中,容量有限,用户通过不停的发送MAC地址冲刷MAC地址表,通过MAC地址表溢出来更改MAC与IP地址的绑定,从而重新定向流量(CAM Overflow, macoftool工具)。ARP攻击与此类似,它是通过对交换机CPU的处理能力进行大容量冲刷造成其溢出而实现其攻击的。H3C交换机通过将MAC地址与端口绑定、并限制端口下MAC地址的最大学习个数,从而有效地防止MAC扫描,同时也可有效地防范ARP攻击。
1.1.3 DHCP攻击、VLAN “Hopping”攻击的防范:
使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒,用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突;二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
由于DHCP是通过二层广播包起作用的,故在二层严格隔离用户,可防止DHCP Server假冒。为解决DHCP Smurf,在以太网接入时,对用户划分Vlan,由汇聚层交换机控制一个Vlan 下申请的最大IP地址数,当该Vlan的IP地址数目达到限制值后,拒绝新的DHCP申请。Vlan 的划分可根据实际情况灵活掌握。华为S系列交换机提供dhcp server detect功能,可以检测到非法的dhcp server。同时,在CPE交换机上通过配置流规则,可以将非法端口的dhcp reply报文丢弃。VLAN “Hopping”攻击的解决方案与此类似。
1.1.4 采用SNMP v3杜绝网管攻击:
网络管理员通过Telnet远程访问网络时,由于Telnet在网络中是明文传输,容易被窃取管理密码,采用支持SSH的交换机,可以对Telnet报文进行加密,截获报文也无法解析密码。华为S系列交换机支持SNMP V3,确保网管信息在传输过程中加密,侦听用户无法获致报文的真正内容。
1.1.5 有效抑制广播风暴
广播风暴是网络最常见的网络问题,针对此情况H3C S系列以太网交换机提供完善的广播风暴抑制功能,提供了针对特定VLAN的广播风暴抑制比的设定功能,可对VLAN上收到的广播流量进行监控,当广播流量的带宽超过配置的限度时,交换机将过滤该VLAN上超出的流量,保证网络的业务,使广播所占的流量比例降低到合理的范围。
1.1.6 防治蠕虫病毒
防治蠕虫病毒需要系统管理、网络维护和安全操作部门的协力合作。一般情况下,通过网络设备限制的目的主要是把蠕虫的活动范围限定在已经感染蠕虫病毒的范围内,也就是说是防止蠕虫的扩散。限制需要将网络分段隔离来减慢甚至是停止蠕虫的继续传播。涉及到的具体技术包括在路由器、防火墙、三层交换机等网络上的安全控制点上设置入口和出口包过滤规则。同样的在网络边缘设置入口和出口ACL可以很好的限制蠕虫病毒的传播。
一方面我们可以在交换机上配置VLAN,隔离用户,防止染病PC通过ARP扫描感染同网段主机,另一方面,可以通过在汇聚交换机上限制单位时间内ARP报文的数目,以及ARP报文的总流量,从而从二层阻止蠕虫病毒的传播。如下图所示:
我们还可以在汇聚交换机上配置ACL,限制蠕虫病毒传播的端口,防止蠕虫病毒的蔓延,如下图所示:
所选设备参数
产品概述
H3C S7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5操作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。H3C S7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
H3C S7500E系列包括S7510E(12槽)、S7506E(8槽)、S7506E-V(垂直8槽)、H3C S7506E-S(8槽)、S7503E(5槽)、7503E-S(3槽)和S7502E(4槽)7款产品,除了7503E-S 所有产品均支持冗余主控。H3C S7500E可广泛应用于城域网、数据中心、园区网核心和汇
聚等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。
产品特点
丰富的业务,适应融合业务网络发展趋势
基于IRF2(第二代智能弹性架构)技术的虚拟化架构
H3C S7500E面向数据中心技术的演进,推出了IRF2为代表的软件虚拟化技术,提供多台主机的协同工作、统一管理和不间断维护功能;IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2所提供的高可靠性和无缝升级、扩展能力,也成为H3C用户增值服务的重要组成部分。
全面的MPLS、VPLS业务能力
H3C S7500E所有产品均支持Multi-VRF特性,可以作为MCE设备使用;支持三层的MPLS VPN和二层的MPLS VPN(Martini、Kompella);支持MPLS OAM特性,方便用户的管理和维护;与H3C MPLS VPN Manager配合,实现图形化的MPLS部署与维护。
全面支持VPLS,VLL,支持1K VPLS实例,4K VLL,还支持分层VPLS以及QINQ+VPLS 接入方式,提供端到端2层VPN接入方案,支持MPLS/VPLS全线速转发,满足VPLS规模部署要求。
高性能IPv4/IPv6业务能力
H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready 第二阶段认证,是成熟商用的IPv6产品。
有线无线一体化,有源无源一体化
H3C S7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过
与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3C S7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;H3C S7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
EAD端点准入防护技术
H3C S7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
全方位的安全保障,抵御多种网络安全威胁
三平面安全保障机制
H3C S7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSH V2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。
有线无线全面支持EAD
H3C S7500E是EAD端点准入防御解决方案的重要组成部分,S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。
增强的ACL特性
H3C S7500E系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN 的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,满足金融等行业访问权限严格控制的需求。
电信级的高可靠性,保障用户业务长期稳定运行
电信级高可靠性设计
H3C S7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E系列可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性。
多业务高可靠性运行
H3C S7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E可以在承载多业务的情况下不间断运行,实现业务的永续。
基于IRF2架构的HA
IRF2技术可以把多台S7500E虚拟成一个“联合设备”,使用和配置都如同一台机器,而且扩展端口数量和交换能力,同时也通过多台设备之间的互相备份增强了设备的可靠性,提供毫秒级的链路收敛能力。简化了管理过程,降低管理成本,并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制,实现毫秒级链路故障检测。