大理一号院酒店网络改造方案.doc

大理一号院酒店网络改造 建设方案 H3C通信技术有限公司 2014年2月 1. 网络现状 1 2. 网络分析 2 3. 酒店网络解决方案 2 4. 有线无线一体化设计 4 4.1. 酒店无线部署设计 5 4.2. 无线安全 5 4.3. 无线覆盖解决方案 6 5. 产品介绍 9 5.1. H3C SecPath F100-S-G防火墙（出口安全网关） 9 5.1.1. 产品特点 10 5.1.2. 产品技术规格 12 5.2. H3C S5800交换机（核心交换机+无线控制器） 17 5.2.1. 产品特点 18 5.2.2. 产品技术规格 21 5.3. H3C S3110交换机（带POE功能的接入交换机） 28 5.3.1. 产品特点 28 5.3.2. 产品技术规格 31 5.4. H3C WA2610H-GN面板式无线接入设备（客房用面板式AP） 36 5.4.1. 产品特点 36 5.4.2. 产品技术规格 40 1. 网络现状 大理古城一号院无线网络一直不稳定，特别是客房区的无线WIFI频频出问题，现将常见故障归结如下：vn1800G 74栋2层，每栋每层50平米，每栋间隔2米，AP:ARG1210穿墙王 方案一拓扑图：（文档后附上大图） 1、此方案是施工的方案，整个客房区上网通过飞鱼星路由器。客房AP关闭DHCP服务，飞鱼星开启HDCP分配给AP和终端设备IP地址，整个无线WIFI覆盖酒店区域，使用同一个用户名和密码，实现无线信号漫游。此方案使用后出现移动设备无法获取最优网络，使用中客房无线经常出现“有信号无法上网”等故障。我个人认为有以下原因：单个AP或者飞鱼星无故死机，只能重新启动设备。 2、方案二拓扑图雷同方案一。此方案是现用的方案。此方案中终端设备的IP地址由AP分配。每个AP的WAN口地址使用飞鱼星的地址（手动指定静态IP）。每个无线点成单独的无线网络，无线连接使用不同的用户名和密码，去掉无线漫游功能。此方案使用后出现最多的问题是移动设备无法获取的AP给的IP地址（设备显示有信号，但无法连接），重启AP后能正常获取IP地址，上网正常。 2. 网络分析 针对大理一号院酒店客房网现状可得出如下几点结果： 1、 网络建设不规范，导致出现网络经常不稳定情况的发生； 2、 从路由器至交换机再到无线AP均是SOHO（简易，家用）型设备，且这些品牌的设备在市面上主要用于家用，不适合大理一号院酒店这么高档次的酒店使用； 3、 无线AP带机量不足，AP布点规划不合理，致使客房区无线网络体验差； 以上是现网存在的主要几点原因，针对网络现状，我们将给出合理的网络规划方案。 3. 酒店网络解决方案 本次大理一号院酒店网络改造主要是针对客房无线网络进行改造。 客房网主要作为酒店客人、部分管理人员上网用，同时提供无线网络服务。网络改造后的拓扑图如下： 如图所示：酒店客房网采用核心+接入层的网络结构。 原来的什么飞鱼星路由器，傻瓜交换机，所谓的穿墙王无线AP均不要在使用，既是要使用，也最好作为补充使用。 本次网络改造如下： 核心交换机：客房网核心交换机，是整个客房网网络的核心节点，是酒店用户访问Internet资源的核心设备。所以高可靠性以及高性能的设备是酒店考虑的关键。所以建议核心层采用H3C S5800-32C-PWE高性能三层可扩展交换机。H3C S5800-32C-PWR交换机是全三层万兆可扩展交换机，同时它还支持扩展无线控制功能，所有电口支持POE供电，可通过双绞线直接给与其相连的无线AP进行供电（该产品详细介绍及技术规格请查阅产品介绍章节）。 接入交换机：接入层采用H3C S3110-10TP-PWR交换机替换原有的傻瓜交换机，该交换机支持8个百兆以太网电口（支持POE供电）2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-X SFP端口。H3C S3110系列交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代百兆以太网交换机产品，在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的安全易用接入层交换机。S3110系列交换机具备百兆到桌面，千兆上行的特点，上行通过千兆光纤接入到核心交换机，下行直接连接用户终端或者无线AP，同时提供无线AP的POE供电功能，免去二次布线的成本和烦恼。 无线AP：针对以上分析结果，建议淘汰原来酒店采用的所谓穿墙王无线AP。本次网络改造建议采用H3C WA2610H面板式无线AP对整个酒店区域内的所有客房进行精密覆盖。 H3C WA2610H-GN无线接入点是H3C自主研发的新一代面板式无线接入设备(以下简称AP)，可以安装在任意86mm面板的暗盒之上，不破坏原有装修，安装方便，可管理能力强。 WA2610H-GN适合于学校宿舍、医院病房、酒店房间等各种密集房间场所，解决了在这些场景中，传统AP布放方式信号质量不佳的问题，并极大的减少了安装成本以及实施时所带来的运营成本。 网络出口安全网关：本次网络改造建议淘汰原来使用的飞鱼星路由器，此路由器数据转发性能较差，无法满足酒店客房网的统一出口，因此才会出现经常网络故障的原因。 为了是酒店客房网既能正常访问Internet，同时又可在一定程度上保障整个客房网网络的安全，网络出口位置我们建议采用1套H3C F100-S-G防火墙作为客房网出口网关。它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, …）、端口扫描（port scanning）、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。同时支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如GRE VPN 、IPSec VPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持IPv4/IPv6双协议栈；支持丰富的QoS特性。而且该防火墙的数据转发性能较高，数据包吞吐量可达1G以上，足以满足大理一号院酒店客房网的正常使用需求。 4. 有线无线一体化设计 无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点： 简易性：WLAN网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作； 灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域； 综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和Intranet相连，从体系结构上节省了协议转换器等相关设备； 扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统； 4.1. 酒店无线部署设计 目前无线局域网普遍采用802.11n协议，本次酒店客房网设计的无线局域网将主要支持先进的802.11b/g/n（150M带宽）标准以提供可供实际应用的相对稳定的网络通讯服务。 无线覆盖侧重实际应用，主要部署在酒店内部的房间，为移动接入提供切实可用的无线网络环境； 为了避免二次部署电源线造成的装修破坏，采用POE供电的方式对所有无线AP进行POE供电，也就是说用普通的网线来同时对AP进行供电以及数据传输。这样既减轻了施工布线的难度，也降低的酒店装修破坏的风险。只需要各个AP根据自身的部署物理位置，接入到最近的POE供电交换机，就可以直接通过POE交换机供电。 4.2. 无线安全 酒店可往往无线局域网络主要服务于使用便携电脑的客人，由于无线具有一定开放性，因此必须着重考虑无线接入安全。 无线网络安全部分主要包括以下方面的内容： MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中； SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络； WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密； 支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流理来看，基本上是不可能的； H3C无线方案中可根据用户名来划分权限，即相同用户在不同地点接入无线网络其权限保持一致；密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样一定程度上保证用户之间串号问题产生，从而保护投资，以达到营维平衡； 与H3C公司的EAD方案配合，可以实现无线接入统一认证，并实现流量异常、报文异常监管，从而进一步保护网络的安全。 4.3. 无线覆盖解决方案 本次设计的有线无线一体化接入方案为无线控制器＋“瘦”AP方案，无线控制器作为无线数据控制转发中心，旁挂部署在酒店客房网核心交换机侧，无线接入点则部署在各个区域，实现酒店无线区域的移动接入。 Fit AP和 无线控制器之间既可以在同一个网段，也可以不在同一个网段，它们之间通过CAPWAP协议自动建立隧道（该隧道基于UDP，可以穿越三层网络），结合有线交换机的接入功能，这样就非常容易部署企业级有线无线一体化接入方案。 无线控制器＋瘦AP方案的特点如下： 1）智能射频管理：每个AP上电时，无线控制器会根据AP的邻居关系动态调整AP工作的信道和发射功率，在保证覆盖的前提下保证AP间的干扰最小。 当AP覆盖区域受到外界强信号干扰时，无线控制器会控制AP自动切换到合适的工作信道以规避干扰信号 当覆盖区域内的某个AP发生故障而造成覆盖黑洞时，无线控制器会自动调整相邻的AP的发射功率以消除黑洞区域，当故障AP恢复工作后无线控制器可以自动调整邻居AP的发射功率恢复原始工作状态。 2）智能负载均衡：无线控制器可以设定AP间对接入用户进行负载分担，负载分担的策略可以是基于AP接入的用户数量，AP流量负载情况； 当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP； 只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误均衡的出现。 3) 无线入侵检测：非法设备是未经网络管理者许可部署的无线设备或者是发起无线攻击的设备，无线控制器可以指定AP工作在两种工作模式：模式一、AP负责监听空口所有信道的信息，但不负责用户报文的转发。模式二、AP在为用户转发数据的同时定期切换到其他信道监听信息； AP设备负责把监听到的无线设备和有攻击行为的无线设备上报给无线控制器； 无线控制器根据AP上报的设备信息识别合法设备，排除非法设备； 无线控制器可以控制AP 将非法设备列入黑名单或者对其发起攻击。 本次无线网络采用S5800交换机插无线控制器板卡＋WA2610H（面板式AP）构建。 5. 产品介绍 5.1. H3C SecPath F100-S-G防火墙（出口安全网关） H3C SecPath F100-S-G是H3C公司推出的新一代防火墙产品，能够满足中小企业不断变化的网络环境和日益丰富网络应用的需要。SecPath F100-S-G继承H3C一贯的高性能、高可靠硬件平台，能够为用户提供线速、稳定的应用体验。SecPath F100-S-G不但可以提供传统的基础安全功能，如状态检测、NAT、VPN、链路负载均衡等；同时通过统一的软件平台和处理引擎，SecPath F100-S-G有效整合防火墙、入侵防御、应用层流量识别与控制、防病毒功能，为用户提供一体化的应用安全防护。 H3C SecPath F100-S-G不仅能够通过H3C SecCenter安全管理中心进行设备管理和维护，同时还支持SNMP和TR-069网管方式，最大化减少设备运营成本和维护复杂性。 5.1.1. 产品特点 市场领先的基础安全防护 全面的基础安全防护：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、地址扫描和端口扫描等多种恶意攻击 丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSecVPN及SSL VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理 专业的NAT应用：提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能 灵活可扩展的深度安全防护 与基础安全防护高度集成的一体化安全业务处理平台 全面的应用层流量识别与管理：通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用；支持P2P流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P协议报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制 高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时，FIRST引擎采用了并行检测技术，软、硬件可灵活适配，大大提高了入侵检测的效率 实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码 全面、及时的安全特征库。通过多年经营与积累，H3C公司拥有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新 技术领先的IPv6 国内率先支持IPv6状态防火墙，真正意义上实现IPv6条件下的防火墙功能，满足迫在眉睫的IPv6应用需求 支持IPv4/IPv6双协议栈，并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能 支持IPv6各种过渡技术，包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等 支持IPv6 ACL、Radius等安全技术 电信级设备的高可靠性 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验 支持VRRP和NQA链路状态检测，有效提升组网可靠性 极具性价比的多业务特性 集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等技术，有效实现企业互联网出口的多链路自动均衡和自动切换 一体化集成SSL VPN特性，满足移动办公、员工出差的安全访问需求，不仅可结合USB-Key进行移动用户的身份认证，还可与企业原有认证系统相结合、实现一体化的认证接入 作为分支机构的出口设备，支持广域网EAD解决方案 简单易用的智能管理 简单易用的Web UI管理 适合专业用户的全命令行管理 支持基于SNMP和TR-069协议的管理 通过H3C SecCenter安全管理中心实现统一管理 5.1.2. 产品技术规格 项目 描述 接口 1个配置口（CON） 5GE 插槽 1个MIM插槽，可通过该插槽扩展网络接口 DDR SDRAM 512M CF卡 标配256M CF卡 外型尺寸（W ×H ×D） 300mm×260mm×43.6mm 电源模块 输入额定电压 100VAC～240VAC；50/60Hz 最大输入电流 1.6A 最大功率消耗 27W 环境温度 工作：0～45℃ 非工作：-40～70℃ 环境湿度 工作：10～95%，无冷凝 非工作：5～95%，无冷凝 重量 <2.22Kg 属性 说明 运行模式 路由模式 透明模式 混合模式 网络安全性 AAA服务 Portal认证 RADIUS认证 HWTACACS认证 PKI /CA（X，509格式）认证 域认证 CHAP验证 PAP验证 防火墙 安全区域划分 可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood等多种恶意攻击 基础和扩展的访问控制列表 基于时间段的访问控制列表 动态包过滤 ASPF应用层报文过滤 静态和动态黑名单功能 MAC和IP绑定功能 基于MAC的访问控制列表 支持802.1q VLAN 透传 病毒防护 基于病毒特征进行检测 支持病毒库手动和自动升级 报文流处理模式 支持HTTP、FTP、SMTP、POP3协议 支持的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等 支持病毒日志和报表 入侵防御 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御 支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御 支持对BT等P2P/IM识别和控制 支持攻击特征库的分类（根据攻击类型、目标机系统进行分类）、分级（分高、中、低、提示四级） 支持攻击特征库的手动和自动升级（TFTP和HTTP） URL过滤 客户自定义URL过滤规则库 支持Java Blocking、ActiveX Blocking过滤 安全日志及统计 系统操作日志 防火墙日志 攻击防护日志 黑名单日志 NAT日志 NAT 支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 支持外部网络主机访问内部服务器 支持内部地址直映射到接口公网IP地址 支持DNS映射功能 可配置支持地址转换的有效时间 支持多种NAT ALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 VPN L2TP VPN 支持根据VPN用户完整用户名、用户域名向指定LNS发起连接 支持为VPN用户分配地址 支持进行LCP重协商和二次CHAP验证 GRE VPN IPSec/IKE 支持AH、ESP协议 支持手工或通过IKE自动建立安全联盟 ESP支持DES、3DES、AES多种加密算法 支持MD5及SHA-1验证算法 支持IKE主模式及野蛮模式 支持NAT穿越 支持DPD检测 SSL VPN 支持 Web Proxy服务 支持Telnet、Windows、VNC远程桌面共享 支持Outlook、Notes 支持固定服务端口的TCP应用程序 支持路由模式的IP互连 支持客户端隧道分离 支持对可访问网段的限制 支持对TCP、UDP和ICMP报文的过滤 支持使用私有协议对客户端虚网卡IP地址的分配 支持SSL VPN客户端之间的通讯 客户端支持WINS服务和DNS服务 支持本地认证、RADIUS认证、LDAP认证、AD认证、PKI证书认证和双因子认证 支持对操作系统、浏览器、用户证书、指定文件和指定进程的检查 支持清除缓存的网页、Cookie、客户端程序和客户端配置 网络互连 局域网协议 Ethernet_II Ethernet_SNAP 802.1q VLAN 链路层协议 PPPoE Client 网络协议 IP服务 IPv4 ARP 域名解析 IP UNNUMBERED DHCP中继 DHCP服务器 DHCP客户端 IP路由 静态路由 RIP v1/2 OSPF BGP 策略路由 高可靠性 VRRP NQA QoS 流量监管 CAR 配置管理 命令行接口 通过Console口进行本地配置 通过Telnet或SSH进行本地或远程配置 配置命令分级保护，确保未授权用户无法侵入设备 详尽的调试信息，帮助诊断网络故障 用Telnet命令直接登录并管理其它设备 FTP Server/Client，TFTP Client 支持日志功能 User-interface配置，提供对登录用户多种方式的认证和授权功能。 支持标准网管 SNMPv3，并且兼容SNMP v2c、SNMP v1 支持NTP时间同步 支持Web方式进行远程配置管理 支持SNMP、TR069网管协议 支持H3C SecCenter安全管理中心进行设备管理 认证 支持欧洲严格的RoHS环保认证 5.2. H3C S5800交换机（核心交换机+无线控制器） S5800系列机箱式交换机支持H3C创新的IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术，用户可以将多台S5800交换机连接，形成一个逻辑上的独立实体，从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。 5.2.1. 产品特点 灵活的端口扩展能力 随着用户端带宽不断提高，服务器万兆网卡的应用越来越广泛，交换机需要提供更高的转发性能和万兆端口扩展能力。H3C S58系列机箱式交换机支持业内最高的万兆端口密度，单台设备可以按需扩展至最多24个全线速转发的万兆端口。此外，该系列产品还可以提供灵活的千兆接入端口，可以提供16个千兆光接口或者电接口扩展模块，单台设备可以按需扩展至最多84个全线速转发的千兆端口，满足大型网络汇聚或中小网络核心对于光电混合配置的要求。 智能弹性架构 H3C S5800/S5820X系列交换机支持IRF2（第二代智能弹性架构）技术，在扩展性、可靠性、整体架构和可用性方面具有强大的优势，主要体现在四个方面： 扩展性：IRF技术允许交换机利用互联电缆实现多台设备的扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。 可靠性：通过专利的路由热备份技术，在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了IRF组的可靠性和高性能，同时消除了单点故障，避免了业务中断。 分布性：通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。 可用性：通过标准的万兆以太网接口实现智能弹性架构，可以根据需求分配业务带宽和系统连接带宽，合理分配本地流量与上行流量；不仅可以实现机架内、跨机架，甚至跨区域的远距离智能弹性架构。 强大的缓存能力 针对于数据中心大流量数据无阻塞传输的要求，H3C S58系列可以提供强大的缓存能力，并且支持先进的缓存调度机制可以保证设备缓存能力有效利用的最大化。 灵活的风道方向选择 为了更好的配合数据中心的风道设计，S5800/S5820X系列交换机部分款型为用户提供了更灵活的风道方案，在实现前后风道的同时，用户还可以通过选择不同的风扇框来实现不同的风向（从前往后或者从后往前）。 完善的安全控制策略 H3C S58交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证、EAD快速部署，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；配合H3C公司的iMC系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。 H3C S58系列交换机提供增强的ACL控制逻辑，支持超大容量的入方向和出方向ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。另外，S58系列还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。 多重可靠性保护 H3C S58系列交换机还具备设备级和链路级的多重可靠性保护。采用过流保护、过压保护和过热保护技术。 可插拔电源以及风扇提高设备的硬件可靠性。H3C S58系列所有机型支持电源冗余，其中部分机型支持模块化双电源和双风扇组件，风扇支持前后风道，风道方向可调；所有机型的接口板，电源模块以及风扇模块均可以热插拔而不影响设备的正常运行。此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速。同时支持绿色节能模式，支持EEE节能特性，是满足数据中心使用需求的专业交换机。 除了设备级可靠性以外，该系列还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术，比如华三通信独创的RRPP快速环网保护机制，VRRPE和Smart link。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。 中功率PoE H3C S5800系列交换机支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。不仅可以提供遵从IEEE 802.3af标准的每端口15.4W的功率，还支持中功率PoE技术，每端口可以提供最高30W的输出功率，满足包括无线802.11n AP以及部分可视IP电话等大功率PD设备的使用要求。 出色的管理性 H3C S58系列交换机支持丰富的管理接口，例如Console、带外网口、USB口，支持SNMPv1/v2/v3，支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，集群管理，使设备管理更方便，并且支持SSH2.0、SSL等加密方式，使得管理更加安全。 H3C S58系列交换机支持NetStream功能，以及SPAN/RSPAN/ERSPAN镜像和多个镜像观察端口，可以对网络流量进行分析以采取相应管理维护措施，使原本不可见的网络业务应用流量变得一目了然，可以为用户提供多种网流分析报表，帮助用户及时优化网络结构，调整资源部署。 开放业务架构 H3C S58系列交换机采用了H3C的开放业务架构（OAA），不仅可以提供传统交换机的二、三层报文转发的功能，而且可以集成包括防火墙，IPS，无线控制器等高性能多业务模块，使S58交换机成为一个多业务的承载平台。 5.2.2. 产品技术规格 项目 S5800-60C-PWR S5800-56C S5800-56C-PWR S5800-32C S5800-32C-PWR S5800-54S S5800-32F 机箱尺寸（长×宽×高）（单位：mm） 440×465 ×86.1 440×367 ×43.6 440×427 ×43.6 440×367 ×43.6 440×427 ×43.6 440×660 ×43.6 440×427 ×43.6 重量 ≤18kg ≤6.5kg ≤8.5kg ≤6.0kg ≤8kg ≤12.2Kg ≤8.5kg 管理端口 1个Console口 1个Console口 1个Console口 1个Console口 1个Console口 1个Console口 1个带外网管口 1个Console口 1个带外网管口 USB接口 1个 1个 1个 1个 1个 1个 1个 固定业务端口 48个10/100 /1000Base-T以太网端口（PoE），4个100/1000M SFP端口， 48个10/100 /1000Base-T以太网端口，4个1/10G SFP+端口 48个10/100 /1000Base-T以太网端口（PoE），4个1/10G SFP+端口 24个10/100 /1000Base-T以太网端口，4个1/10G SFP+端口 24个10/100 /1000Base-T以太网端口（PoE），4个1/10G SFP+端口 48个10/100 /1000Base-T以太网端口，6个1/10G SFP+端口 24个100/1000M SFP端口，4个1/10G SFP+端口 业务槽位数 3 1 1 1 1 0 1 业务板卡类型 4端口1G/10G SFP+接口模块 2端口1G/10G SFP+接口模块 16端口10/100/1000MBase-T电口模块 16端口100/1000M SFP端口模块 防火墙模块 IPS模块 无线控制业务板（小规格） 无线控制业务板（大规格） 输入电压 交流 额定电压范围：100V～240V AC，50/60Hz 最大电压范围：90V～264V AC，47/63Hz 直流 额定电压范围： 300W DC：-48V～-60V DC 750W DC： -54V～-57V DC 额定电压范围(RPS)： 10.8V～13.2V DC 额定电压范围(RPS)： -52V～-55V DC 额定电压范围(RPS)： 10.8V～13.2V DC 额定电压范围(RPS)： -52V～-55V DC 额定电压范围：-40V～-60V DC 最大电压范围：-40V～-72V DC 额定电压范围： -48V～-60V DC 功耗（空载） DC：94W AC：96W 102W DC：107W AC：131W 67W DC：64W AC：85W 105W DC：58W AC：67W 功耗（满载） 单DC：1840W（其中1500W为PoE输出) 双DC：1840W（其中1500W为PoE输出) 单AC：714W（其中425W为PoE输出) 双AC：1147W（其中740W为PoE输出) 163W DC：973W（其中740W为PoE输出) AC：673W（其中370W为PoE输出) 105W DC：870W（其中740W为PoE输出) AC：598W（其中370W为PoE输出） 130W DC：136W AC：146W 工作环境温度 0℃～45℃ 工作环境相对湿度（非凝露） 10%～90% 交换容量 360Gbps/3.6Tbps 包转发率（整机） 213Mpps 192Mpps 192Mpps 156Mpps 156Mpps 162Mpps 156Mpps 项目 S5820X-28C S5820X-28S S5820X-26S 外形尺寸 （长×宽×高）（单位：mm） 440×467×86 440×427×43.6 440×427×43.6 重量 ≤17kg ≤8.5kg ≤11.2kg 管理端口 1个Console口 1个Console口，1个带外网管口 1个Console口，1个带外网管口 USB接口 1个 1个 1个 固定业务端口 14个1/10G SFP+端口 4个10/100/1000M电口 24个1/10G SFP+端口 4个10/100/1000M电口 24个1/10G SFP+端口 2个10/100/1000M电口 业务槽位数 3 0 0 业务板卡类型 4端口1G/10G SFP+接口模块 2端口1G/10G SFP+接口模块 防火墙模块 IPS模块 无线控制业务板（大规格） 无 无 输入电压 交流 额定电压范围：100V～240V AC，50/60Hz 最大电压范围：90V～264V AC，47/63Hz 直流 额定电压范围： -48V～-60V DC 功耗（空载） AC：105W DC：103W AC：128W DC：124W 135W 功耗（满载） AC：245W DC：241W AC：185W DC：176W 205W 工作环境温度 0℃～45℃ 工作环境相对湿度（非凝露） 10%～90% 交换容量 680Gbps/6.8Tbps 包转发率（整机） 336Mpps 366Mpps 363Mpps 支持特性 S5800系列 S5820X系列 转发模式 store-forward模式 store-forward模式，cut through模式 链路聚合 支持GE端口、10GE端口聚合 支持静态聚合、动态聚合 流量控制 支持IEEE802.3x 流量控制，支持back pressure Jumbo Frame 支持 MAC地址表 支持黑洞MAC地址 支持设置端口MAC地址学习最大个数 VLAN 支持基于端口、协议、MAC、IP子网的VLAN（4094个） 支持QinQ和灵活QinQ 支持Voice VLAN VLAN Mapping 支持1:1 VLAN Mapping 支持N:1 VLAN Mapping 支持2:2 VLAN Mapping DHCP 支持DHCP Client 支持DHCP Snooping 支持 DHCP Relay 支持 DHCP Server 支持 DHCPv6 IRF2智能弹性架构 支持IRF2智能弹性架构 支持分布式设备管理，分布式链路聚合，分布式弹性路由 支持通过标准万兆以太网接口进行堆叠 支持本地堆叠和远程堆叠 IPv4路由 支持静态路由、RIP，OSPFv2，BGP，ISIS 支持等价路由，路由策略，VRRP，策略路由 IPv6路由 支持静态路由、RIPng，OSPFv3，BGP4+ for