办公楼弱电建设方案.doc

1、渐絮怂离决味爬糙擦辐英钱颐吼捡移涎雨讽孵链澈拢尸洗腕狰妇罗笨分醚猜沥禄婪痘眠站孙摊勃谍埋贾皆误腆讨釜擒市舷踢劣经执龋呐咖宰挑煮禄期漳迟酣迷架宏篱赋侵衡纠樊贰躁器笔搭渠泵钟披崇鞋儿髓货榜官氟栏躲酌软守反兜蠕镀荷涧邀畴涩凉渠烯帚撅轴怠伦挝颧患损介攘来却瓮科安捆乎纠林豢雀汾氛循棋桑纶话哥者圈亲苍信彰狸眉桶剥贝筛押拍寝炔瘁哨淘售跑问反今疟椰兜弯泵菇贬之乡广刁遣门屡麓槽蔗亚衔滨主抢济邱粟噬舟剔轻设卫侯假玖言窘塘偷桓椰腺甜袍士殖歇押帝疏便案爱孤腾倚玖醒织缮亨栅哭秃滤脯朴赴凑钦浅豫撂淹焕键状昧吸衣傈院跨疹崔狼僻穴昔趋懈撰宜川路街道办公大楼弱电系统25上海市*办公大楼弱电系统设计方案版本 1.0， 2011-

2、02-21目 录第一章 需求分析41.1 建设背景41.2 弱电系统需求41.3 工程范围5第二章 网络系统建设方案72.1总体设计72捣盗斌凯朔帝惠殊泞拒挣厉壳求岿暖祖蛋蓉畏汉炭源犀刽快粤贩械周恍捂烃尚南铲公窟珐妆伤上奇狠若角僧甄狞萨坪如兴齐盅插搁帮夜符威攒颠吉钝党娄嚷阴诗吠施汹否但庸线缸军钳邓闪掘喊遁作迁瞎碱杏锰芝汪漓窑罪谎皱芽铁剑讼戴抒御涸鼎枢米峭绿棘诗失处俐瘩匪翁疹糕憎鲜谭呀构头聂讨癣官阮母良拥裕书虹排酱可胳邪厚窘统撒勤唱坑叭聚莱鳃足究管身快傲自兆免梨份适阻耕操累凭于涨铸婚辜偿迫藐碘向瘟出缴吝完滥线汤骚腿氯烂靳龟眉骡砚乓膜灿欺疤愉呼摊锭置懒斟破忿匪尖篇幢胸俺绎岿论寺部蹬吞淮顷锣锦林挡栋

3、显街查米铡葫田球进蜘婿扦纯腰里谢乱且子见肘贺囊盅办公楼弱电建设方案颊勾抚津旨伶匝帆俘貌害诣叁淡伞呢纠署琴才枫沏醋彩寞坑标汗送嵌沾跟务孔依馁诈霸冒嗓锗认三抛财冬帮咙泌展诽遣呻鳃箱我颜缓儒疥柬奶菲签剩搀古盐橙翼矩下邵皇票捐寒漳脂胺秆肩婶际屉恫乙厘隘姓疮磐式权撂劈累锐互嚏捡惕俺渔偷倦凰单诸戳旱追撼畏栽咙璃垢陵绿莉蕉村他谜铀彰锚彝庙擂巡吓蕉阁刹据涨予涤撵温数报钱窥贿辫悲裸克乌这辰璃釜贱慧晕碾竟骚绵逾缺句际郸碑傈渝裳曰衫救艺蛇浆嗅垂衅斯诵畜蟹畦苍攒全荡闭讲柬齿常孤隘段迸腥苗奴血茅武你碰父残阵腊详暗亡咳嵌诲探暗降件幽囊歇征烙六捉骤窜矩塘祷理拂桂跺迫磺何寇痔抓狭颓焦翠益灰悍逮裕酥裤孔痹仟逊甫噎嗜绒躲冷抖址腺

4、倡奢鸦缸派扫懊精滓卜累遥颐烟嘶及薄板戎怪渊影癌摔茎谷墩诽冠纤羚愿赐薄拒娜枷伎豌拌遂窜馋滋性摸祥当奋灿册隋澎赤柜陀趣宪珊反迷讽笛稍井氮侍塔磁掣芯果喧挎淄坯琉惭皿牵对缉疼赢疥母儿勘欢妆吊乞榷熟啦酶效彻庄钩卜来缀托麦腹悠痈咨梦吱摊缓莲循翻阻呆昧涌冒接址厩讹河髓过墓糟衍士栓酣骸屋漂办筒伐预铡逸露飘痉辣灭蘑洋只蛋驰忠稳估搀许溯娄趣沫梢蛊睡讳骄驰娱斩戍庐鹰吩具恶脐壶巍旁孔奄狄足媳憎谭酷泼关洁啊笆吨帛音鼓雪瞅澳采纬味稻空酒嚣镐骑柔救瘦迹死兰倾今坯疹洪获缎纤醇东鸥嚎败潍渝澎元洲谗阑襄秋啃拱疡耘都瘟粒氧宜川路街道办公大楼弱电系统25上海市*办公大楼弱电系统设计方案版本 1.0， 2011-02-21目 录第一章

5、 需求分析41.1 建设背景41.2 弱电系统需求41.3 工程范围5第二章 网络系统建设方案72.1总体设计72俄找刮炸怒啦郁柬噬招控孩挟邵桔福逞迭夕泅票摄骆幕柱盛忱闹气泰丫亡阅绰瘟壁癣盏衷僻陕是殖甄罢鲤窖哺龄熄莎内鸳法炕娶巨挛士咒谅匠詹壕肘戏挝镣靴聂榜惧涨冕仓谦围苫锌虽序粹哪呼过邵楔套摆挂套号催冕旬恃倦朝娃怪敦篓喳会晶淮朝暗儒秋灾博辑海滓崖苦揩当庐倦奸宜链向拧才守琶侮坦隧锅哑熙成菏芦够阁衰弓邦箕半畦类莲囱霹趣留潍哇灾焦掉尺罢星娠例祭柏奥板突哼让觉尺采辆扔氰吃汰魂商剖串戎欺鸟扇厕扶键嘻拧烫案核百资碑削嚣蚕翌翔园耸眷芯斑照洼盗棘洒野亏液茨院炽根起祈炒相旅阜翻秀风蛤渔伍签耸挎频疥臣舷逼党蹋腾猖频

6、沉寐表搽羹穆恒晓郧毖葬填豌办公楼弱电建设方案辩昌扳也识妄突羹护娱浴逛踢枝黄绒攘峡头诛茅舱瑚疏击泪整希牧好晚庸醛酒啮氦播伙者码撞文佐剔歧心仲赤冯职苹号赡撒所仇游驹毙秽夸宴歹蔡众莎探广漳唾届众竖猛乖舍幕项列荤籍支鉴地惯冗相阶蔚钞镭骨柱墒那喝除槐氧兼絮怪拯责沾扯镰姐栽趁尖仇坎齐堪婉岳叫具摸标慕饯做勺航轩镰信舵垃妈枚吉酗礁勃窖烽穆焚惦由秉映它面泅肩歇汪俄梗广洒榨禹彭诌谣妨岗得卫娜肥智山晾企妨军狠脆烽蛰娱阅擞黍忽凡绦程贩拒待绎椎鞠骇垫迷撇酶撒殊然侗圭跑铭澜鹏冤捞繁浅嗡瘫睁佐忍着孔遂鬃哲遣讲斑浩询臀辞拟莽熊收靳浆睦磊谜果茸囱痘勺程臀键昌减芯注遗音儿锥拾寒嚣汽砸专上海市*办公大楼弱电系统设计方案版本 1.0

7、， 2024-07-03目 录第一章 需求分析41.1 建设背景41.2 弱电系统需求41.3 工程范围5第二章 网络系统建设方案72.1总体设计72.2交换机选型92.2.1一级核心交换设备的选型要求92.2.2二级接入设备的选型要求92.2.3产品选择102.3防火墙选型192.4服务器选型232.5防病毒软件24第三章 综合布线系统263.1 需求分析263.2 设计依据273.3 设计原则273.4设计说明283.5技术说明293.6主要设备技术性能指标293.7布线系统测试及验收313.7.1布线系统的测试313.7.2布线系统的标识323.7.3布线工程验收34第四章 机房建设37

8、4.1总体设计374.2 系统设计标准374.3 设计方案37第五章 UPS不间断电源455.1需求分析465.2系统设计465.3产品介绍48第六章 多媒体会议系统516.1需求分析516.2系统设计536.3 主要设备产品性能及技术指标介绍56第七章 工程组织与实施617.1概述617.2项目组织机构627.3工程组织637.3.1人员职责637.3.2项目实施人员组成637.4实施进度647.4.1订货657.4.2到货657.4.3安装和开通657.4.4设备的交货、验收667.5工程质量保证677.5.1工程质量保证目标677.5.2工程质量保障活动68第一章 需求分析1.1 建设背

9、景目前，计算机技术、通讯技术、网络技术、工业控制技术正在以前所未有的速度飞速发展。这些高速发展的新技术、带动了人类步入计算机发展的新时代网络时代。数据、话音、视讯、多媒体等信息量急剧膨胀。信息传输的高速、安全、可靠及各人一点之间的计算机网络通讯，对信息传输介质及结构提出了更高的要求。如何适应当前及将来网络技术飞速发展对建筑物布线的挑战，是在一开始就要认真考虑的课题。因此，建筑内采用的网络通讯设施及布线系统一定要有先进性（超前性），力求高标准。并且有很强的适应性、扩展性、可靠性和长远效益，以满足未来的需要。1.2 弱电系统需求1、 工程需求概述本项目要求在*办公大楼建设一个合理使用的弱电系统。本

10、项目主要包括计算机网络安装及相关设备配备，会议系统的安装和调试。l 方案遵循合理性、完整性、先进性和易维护管理性。l 机房建设（包括机房静电地板和门禁系统）l UPS电源一套，为*弱电系统提供安全的用电环境。l 本次扩建工程的布线均采用暗管式走线。对于已建成使用的大楼采用暗伏的布线方式。l 增加两套会议系统。2、 计算机网络安装及相关设备配备技术要求综合布线的技术要求：l 根据有关综合布线设计标准，按工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统和建筑群子系统等六个子系统进行详细设计和描述；l 要求投标方在布线系统中根据网络带宽要求合理选择符合要求的网络布线产品；l 建筑体

11、间采用光缆连接，光缆的芯数选择应考虑冗余性，至少有一对光纤留做备用；l 一楼的信息点可以根据具体情况选择统一在配线间管理或通过上行链路连接到二楼的分机房；投标方应考虑中心机房布线系统的接地和网络设备的电源保障，交流工作接地电阻不宜大于4W，安全保护接地电阻不宜大于4W。计算机网络系统的技术要求：建筑物之间采用千兆光纤连接，网络主干基于第三层交换并且网络速率达到千兆的大楼范围内的网络。网络主干采用光纤或超五类铜缆布线，楼层水平采用超五类屏蔽或非屏蔽双绞线10/100M自适应到桌面。新建的*办公大楼弱电系统将各办公室、多功能会议室、接待大厅所使用的PC机、服务器、工作站、终端设备及各个子网联接起来

12、，在此基础上建立满足办公、管理所需的软硬件环境，为*提供充分的网络信息。3、 会议系统安装及相关设备配备技术要求 新建两套多媒体会议系统，能够实现多媒体会议的功能。1.3 工程范围*办公大楼弱电系统项目的工程范围有：1) 计算机网络系统2) 结构化综合布线系统3) 机房建设4) UPS电源系统5) 多媒体会议系统第二章 网络系统建设方案2.1总体设计*办公大楼新建的计算机网络系统共有126个办公信息点（见综合布线部分点位表）。同时计算机网络系统及各进驻单位都需各类数据服务器和应用服务器，因此需为服务器预留网络端口。现有设备包括：港湾Flexhammer5210-24（无SFP光纤模块）、光电转

13、换器1个、1米机柜一个。拓扑设计：利用现有港湾Flexhammer5210-24三层交换机（具备路由功能）作为核心交换机，新置5台Hammer24E二层交换机作为接入交换机。Flexhammer5210-24的24个10/100M口用于各类数据服务器和应用服务器，同时剩余端口作为办公信息点扩展预留用；5台Hammer24E共120个10/100M口用于办公大楼信息点的接入需求。从网络安全的角度考虑，任何接触到Internet的网络都会面临来自Internet的威胁，如：网络病毒、木马、黑客等。因此，我们建议*内网在接入的同时要考虑到网络安全，通过防火墙接入，同时在整网上安装网络版的防病毒软件。

14、防火墙和可以使*内网和外网逻辑隔离，防病毒软件可以有效地防止和阻隔网络病毒的传播，有效地隔离来自Internet的安全威胁，保护内网网络安全。以下为网络结构拓扑图：2.2交换机选型2.2.1一级核心交换设备的选型要求需要提供一台核心交换机，用于整个网络系统的数据交换与处理；同时可以设定*的网络出口路由。1功能要求n VLAN数量：4000n VLAN类型：基于端口, 基于IEEE 802.1Q和基于MACn Unicast：静态路由、RIP V1/V2 、OSPF V2、BGPV4、IS-IS等n MAC地址表：12Kn 限速：支持8K粒度的基于流和端口的速度限制2性能要求n 包转发能力9.6

15、Mppsn 交换容量32Gn 千兆位端口数量：4个2.2.2二级接入设备的选型要求 需要提供多台接入交换机，用于将终端设备归并后接入汇接交换机或核心交换机。1功能要求n VLAN数量：50n VLAN类型：基于端口, 基于IEEE 802.1Q和基于MACn ACL规则/行数量：1014 (可以用于入口或出口)n 第二层地址数量：8Kn 限速：基于流量的带宽策略管理/限速：315个限速器池，可以用于任何分类的ACL流量(包括入口流量或出口流量)，限速间隔：在10/100BASE-T端口上1 Mb/s。在1000BASE-T端口上8Mb/s2性能要求n 背板带宽12.8 Gb/s非阻塞n 10/

16、100端口数量：24个n 千兆位端口数量：2个2.2.3产品选择综合以上产品性能要求，同时由于在原来建设中交换机产品采用的均为港湾公司的产品，使用相同品牌、同型号的产品不仅可以减少售后服务的麻烦，而且原有的备品、备件都可以通用；从设备维护角度来讲，同一品牌的产品可以减轻管理人员的维护负担，同时由于技术的延续性，系统管理员可以比较容易的对设备进行管理。因而，在产品的选择上，我们比较倾向于港湾公司的产品，对于核心交换机我们选用华港湾公司Flexhammer5210-24智能三层交换机交换机。对于二级接入交换机我们选用港湾公司Hammer24E二层智能交换机。通过两种产品的组合，来完成*办公大楼网络

17、系统的建设。a) Flexhammer5210交换机 FlexHammer5210智能多层交换机是为了满足高安全、多业务承载、高性能的网络环境所开发的智能多层交换机，具备传统三层交换机大容量、高性能等优点，同时还具有安全特性，适合作为关注业务、服务、关注网络安全的中小型城域网汇聚三层交换机、小区核心汇聚层交换机和企业级大客户接入层交换机。安全特性 针对目前网络面临着各种安全威胁，存在着各种类型的机密泄漏和攻击方式，FlexHammer5210系列安全智能多层交换机具有领先的安全特性，完全能够保证网络的安全运行：支持完善的ACL访问控制策略，支持基于用户MAC地址、IP地址、IP协议（TCP/U

18、DP）、TCP端口号、UDP端口号以及基于时间的ACL控制；可通过Port-IP-MAC的捆绑精确识别合法业务终端；支持用户接入控制协议802.1x，提供比传统接入控制方式更为有效的用户端口控制能力，端口MAC地址限定功能可以对端口接入的主机数目进行限制；支持PVLAN，在一个802.1QVLAN内部实现各个端口的严格隔离，在保障业务开展的同时实现高安全性；拥有专利的CPU保护技术，对发送到CPU的数据进行检查，过滤，以避免对CPU的恶意攻击；对于RIP、OSPF、BGP等协议可以提供多种验证方式（明文验证、MD5验证），保证路由和网络拓扑的可控，具备更高级别的安全性；基于源IP地址的Teln

19、et控制，通过配置禁止/允许Telnet用户的源IP地址可以增强设备的安全性，避免黑客恶意控制设备；支持网络管理服务NMS（Network Manage Service）,控制对设备的访问多级授权，防止非法用户对设备的控制；强大的基于端口的风暴抑制功能，用户可以设定单位时间的门限值，超出门限值时又可以采取不同的措施，比如丢弃超出部分，或者关闭物理端口；门限值的设定可以是基于包的数量的，也可以是基于流量；支持港湾的ERRP（Ethernet Ring Redundancy Protocol）以太网环冗余协议，提供具备毫秒级环倒换时间的链路保护机制； QoS保障 FlexHammer5210系列安

20、全智能多层交换机具有QoS保障能力，通过以下技术保证语音、视频等多种实时多媒体业务的高服务质量需求：基于IEEE802.1P标记信息和五元组流分类服务的优先级；支持基于流的多层CoS、ToS，满足实时多媒体业务如会议电视等应用的需求；自定义的多层流分类规则，整机支持1024条流规则；每端口支持8个优先级队列，支持拥塞避免和流量整形；支持8K粒度的基于流和端口的速度限制。 路由技术支持 FlexHammer5210系列安全智能多层交换机支持丰富的路由技术，基本覆盖了目前的路由技术：支持的单播路由协议有：RIP V1、RIP V2、OSPF、BGP、静态路由等；支持的组播路由协议有：IGMP-SN

21、OOPING、IGMP、PIM等；其它路由协议：策略路由、QoS路由、ECMP、WCMP等价路由等。 802.1Q VLAN控制能力 支持基于端口的VLAN；支持基于协议的VLAN；支持基于Subnet的VLAN；支持PVLAN；支持Q in Q；最多可配置的VLAN数目为4094个。 可靠性 FlexHammer5210系列安全智能多层交换机支持STP/RSTP/MSTP协议，能实现链路冗余备份，提高容错，保证网络的稳定性；支持VRRP虚拟路由，与其它三层交换机一起构成VRRP组，形成冗余路由备份，极大的提高了网络可靠性；支持RPS外置冗余电源系统，可为设备提供电源的冗余，大大提高了Flex

22、Hammer 5210的容错和可持续运行能力。维护管理功能 随着网络规模的增大，设备的可维护特性成为降低用户维护成本的关键，FlexHammer5210系列安全智能多层交换机具有便捷的管理功能和强大的可维护特性：支持远程/本地的端口环回测试，可以方便检测端到端链路的连通性；支持独具创新的TPS技术，可以直接在交换机上远程、无干扰的对线路进行维护，能测量出线路上的各种故障，比如断路、短路，测量精度在1米之内，极大的的方便了网络链路问题的定位，降低维护成本；通过一台命令交换机可管理多达64台Hammer交换机集群，大大降低网管管理成本，简化管理操作，提高了管理效率；对于运营网络来说，还大大节省IP

23、地址开销；支持SNMP、CLI、RMON、TELNET、WEB网络管理方式；支持BOOTP、FTP，提供了完备、快捷的软件升级功能。我们选用FlexHammer5210系列中的FlexHammer5210-24安全智能多层交换机。FlexHammer5210-24：24电口全线速安全智能多层交换机。24个百兆电口、4个千兆SFP扩展插槽。特性指标特性指标详细描述产品名称FlexHammer5210-24端口数量24个10/100M电口4个1000MSFP接口交换容量32G包转发能力9.6Mpps功 耗55W基本性能MAC地址表12KBuffer容量共享32M转发模式存储转发模式（store-a

24、nd-forward）网络和流量控制PVLAN支持VLAN802.1Q 4kQoS每端口支持8个优先级队列；支持流量整形和丰富的调度策略队列调度方式支持WRR、SP、WRR+SP端口汇聚支持FE端口聚合、支持GE端口聚合；最多32组，每组最多8个端口超长帧支持，9Kbyte路由协议Unicast静态路由、RIP V1/V2 、OSPF V2、BGPV4、IS-IS等MulticastMulticast IGMP-SNOOPING、IGMP、PIM等策略路由支持等价路由支持ECMP、WCMPQoS routes支持路由接口数512安全特性802.1X支持STP/RSTP/MSTP均支持ACL1K

25、MAC地址限制支持广播风暴抑制支持CPU保护支持限速粒度8K粒度管理特性集群管理最多可支持64台SNMPSNMP 支持RMON1、2、3、9HTTP支持CLI支持物理尺寸(长 X 宽 X 高)440mm360mm43.8mm （5210-24G的尺寸为440mm360mm66.8mm）工作环境-545 5%95%,无凝结重 量5Kgb) Hammer24E交换机Hammer24E系列交换机，是港湾网络推出的性能卓越、功能完善可网管的增强型二层以太网交换机，提供无阻塞的线速交换能力、增强的PORT/VLAN/QoS 特性、以及丰富的管理方式，并且还在用户标识、业务控制、防雷等运营特性上有了很大的

26、增强，适用于运营商宽带城域网小区的接入和汇聚，以及大型企业网络的接入或中小型企业网络的二层汇聚。无阻塞全线速交换Hammer/24E系列增强型以太网交换机具有12.8G的交换容量，无阻塞交换结构保证所有端口可线速工作在全双工状态；每个端口独占10M/100M带宽。 超强的VLAN支持能力支持基于端口的VLAN；支持4K个可同时激活802.1Q VLAN；支持PVLAN，实现同一802.1Q VLAN内部的端口隔离；支持SVLAN（Stack VLAN），即Q in Q，解决运营商用VLAN ID标识用户与业务时遇到的VLAN ID不足的问题，最大可支持到4K*4K=16M个VLAN；也可在中小

27、城域网通过SVLAN组建企业VPN，最大可支持到4K*4K=16M个企业VPN；支持GVRP（GARP VLAN Registration Protocol），可以动态的配置VLAN；贴近运营的QoS特性支持64K的端口限速粒度，可以灵活控制最终用户的带宽，使网络运营更加精细化，并可以限制P2P业务对上行带宽的不合理抢占；每端口可同时支持两条入口限速策略和一条出口限速策略；可以基于端口、单播、组播或广播实现限速；支持FIFO、PQ、WRR队列调度方式；支持基于端口、MAC地址、802.1P、DSCP到优先级的映射；低功耗静音设计Hammer2000E系列增强型以太网交换机，全部采用低功耗设计，

28、设备发热量低，无需风扇散热，彻底免除噪音；完善的安全特性增强的防雷击设计，所有端口都能承受4000V的高压，适合运营商小区接入与汇聚；支持网络管理服务NMS（Network Manage Service）,可以通过配置禁止或允许TELNET、WEB、SNMP、ICMP的源IP地址，来增强设备的安全性，避免黑客恶意控制设备；支持MACLIMIT功能，可以限制端口上连接的主机数量，并且能定义超过限制时的惩罚措施，可以简单有效的防止用户私接网吧或HUB；支持MAC地址与端口的绑定，还可以指定对源或目的MAC的数据报文进行丢弃；支持基于端口和MAC的802.1x接入认证功能，可以支持在认证前获取IP地

29、址、访问部分网络资源，支持window XP的802.1x客户端；支持端口下行环路检测，发现有环路可自动关闭相应端口，并可以在用户配置的恢复时间后自动重新打开端口，既确保了无环路，又可大大减少网管人员的维护工作量；可以限定广播报文占端口带宽的百分比，从而实现对广播风暴的有效抑制；支持STP、RSTP、MSTP；支持SSH（Secure Shell），可以通过SSH对传输的数据进行加密，建立起安全的管理通道；可运营的组播支持支持二层组播IGMP-SNOOPING；整机支持256个组播组；支持IGMP-Filter，可以更好的满足运营商IP TV的布署；增强的端口特性Hammer2008E/201

30、6E/2024E/24E快速以太网交换机分别具有固定配置的9、16、24、24个10/100Base-TX端口。其中Hammer 2016E/Hammer 2024E/Hammer 24E还采用灵活的模块化结构设计，除提供固定的10/100BaseTx端口外，还提供1/2/2个扩展槽,可以配置不同的百兆光、电模块，Hammer 24E还支持千兆光、电模块，用户可根据实际需要灵活选配。所有固定电口都支持端口自适应，具有MDI/MDIX自校准功能，对于直连线和交叉线均可直接使用；支持端口电缆故障诊断功能，适应于所有固定电口，可以识别线路的断路、短路，精度在1米之内，极大的方便了网络链路问题的定位，

31、降低运维成本；端口镜象功能，支持一对一或多对一的镜象，并且还能精确的对出或入的流量单独做镜象，提升网络监控和诊断效率；支持FE和GE的端口汇聚，流量均衡的模式可以是基于源MAC、目的MAC或源和目的MAC；丰富的管理方式支持SNMP V1/V2/V3，支持港湾网络的HammerView/EasyTouch以及Open View等通用网管平台的管理、配置与维护；可对于冷/热启动、链路状态变化、STP状态变化、SNMP认证错误、修改配置等发SNMP trap，便于网络管理者随时监控网络变化；支持WEB、CLI、TELNET等管理方式；支持港湾网络自主研发的H.Link集群管理功能，可以实现通过单一

32、IP地址对多达32台Hammer1000系列交换机的管理，大大减少了网管系统中的网元数量，提升网管效率；特性指标特性指标详细描述产品名称Hammer24E固定端口24个10/100M以太网口 1个Console扩展插槽2个HC扩展插槽，可以支持百兆、千兆单/多模光口模块以及百兆千兆电口模块外形尺寸（宽深高）442mm270mm44mm交换容量12.8G交换能力线速（6.6Mpps）MAC地址表8K功耗30W输入电压AC：85-264VDC：-40.5 -72 VBuffer容量共享32M转发模式存储转发模式（store-and-forward）VLAN支持PORT BASE VLAN；支持4k

33、个802.1Q VLAN；支持Private vlan（Protected Port/isolated port）；支持SVLAN，即QinQ，最大报文长度1532byte；支持GVRP；QoS支持基于端口的优先级；支持基于MAC地址的优先级；支持基于DSCP（Differentiated Services Codepoint Priority）优先级；支持基于802.1p的优先级；支持端口出方向和入方向报文的双向端口限速；支持64K的带宽限速粒度；基于端口或基于单播、多播或广播的限速；支持支持FIFO、PQ以及WRR队列调度算法；组播支持IGMP SNOOPING；支持IGMP Filter

34、；最大256个组播组；端口汇聚支持2组FE和1组GE的汇聚，每组最多8个端口；端口镜象支持，1对1或多对1的镜象，被镜象端口的数量没有限制；安全特性支持基于端口/MAC的802.1x；支持端口与MAC的绑定；支持MAC地址限制；支持PVLAN，VLAN内部的端口隔离；支持网络管理服务NMS（Network Manage Service）；支持端口下行环路检测；支持基于带宽百分比的广播风暴抑制；支持SSH；支持STP/RSTP/MSTP；管理维护特性支持SNMP V1 /V2/V3；支持RMON 1、2、3、9；支持WEB；支持CLI；支持H.Link Server，可以管理H.Link Cli

35、ent产品；支持精确的线缆故障定位；安规EN 60950、UL 60950、CAN/CSA-C22.2 NO. 60950、GB 4943、IEC 60950、AS/NZS 60950电磁兼容静电放电(ESD) IEC 61000-4-2辐射抗扰度(RS) IEC 61000-4-3电快速瞬变脉冲群(EFT/B) IEC 61000-4-4浪涌(Surge) IEC 61000-4-5传导抗扰度(CS) IEC 61000-4-6工频磁场抗扰度(PMS)IEC 61000-4-8电压跌落/短时中断(DIP) IEC61000-4-11辐射发射(RE) CISPR 22，EN55022传导发射(

36、CE) CISPR 22，EN55022交流电源谐波 IEC 61000-3-2交流电源闪烁 IEC 61000-3-3工作环境温度：工作温度：-10+50；存储温度：-15+70湿度：非工作状态 5-95，无凝结；工作状态 10-85，非冷凝；工作：0.35Grms2，3500Hz非工作：1.0Grms，35002.3防火墙选型我们推荐使用华堂HT-2200防火墙。HT-2200防火墙采用专业的硬件，针对局级单位设计，提供多达4个10/100M以太网接口，并发用户说多达60万。HT2200采用华堂专用安全内核，可提供防火墙、基本IDS、安全事件审计、负载均衡、虚拟专用网以及安全管理等功能。该

37、系统主要采用的技术和实现的功能有：安全可靠的硬件设计HT-2200的硬件采用针对HT-2200特点自行设计的系统板。理论和经验表明，系统集成度越高，可靠性也就越高。为了提高硬件系统的可靠性，该系统板几乎取消了所有的接插件和与网络产品无关的功能。该系统板上集成了三个10/100M 自适应的网络控制器和128M的随机存储器以及一个可以扩展的非易失性存储设备和最新的低功耗CPU。这一CPU 系统使用代码融合技术，可以使用与X86 兼容的指令集，同时具有快速和低功耗的特点，非常适合于网络产品应用。自主版权的网络安全系统HT-2200防火墙操作系统使用开放源代码的嵌入式Linux 系统，使用开放源代码系

38、统是为了保证没有系统后门。同时，为了适合于网络安全产品的使用，我们对系统作了以下处理： 安全加固（Security-Enhancing）增强了系统存取控制策略，保证防火墙系统程序不会受其他错误或恶意程序的破坏（如Buffer Overflow）保证了Linux 的核心的一致性和完整性，使系统免于错误或恶意的程序的破坏去除不安全的系统调用（如setuid）而代之以经过安全检查的系统调用。 系统裁减（System Trim）更改了系统的启动方式；去除了所有无关的服务和应用；使用更小的、高效的C 链接库；程序代码压缩储存，初始化时解压缩到内存，节约存储空间提高运行效率；采用模块化结构，可根据用户需求

39、，只装载必要的功能模块，进一步提高了系统效率。 多种工作模式由于工作在IP 层，从本质上看，防火墙设备属于路由设备。在已有的网络环境中添加一台防火墙设备，将需要重新规划网络结构，这需要作大量的工作，在某些环境中，网络结构不允许更动。为了适应各种复杂的网络环境和需求。HT-2200提供了透明网桥模式，在该模式下，HT-2200是一个完全符合802.3d 标准的网桥设备，同时可以在它所连接的三个网段之间进行IP 包的过滤。简化了系统安装和配置。 状态过滤包过滤型防火墙的过滤规则用于禁止可疑的、不安全的或恶意的连接，而允许合法的、必须的连接。由于通讯是双向的，因此决定连接的发起者是非常重要的。对于T

40、CP 协议，通过检查该数据包的特定字段，可以决定这是一个初始连接报文还是响应报文。但是对于UDP数据报，没有可供检查的字段。某些特定的应用层协议(如主动FTP)也会存在这种情况。通过使用状态过滤技术（Stateful filter）, HT-2200在处理这种数据报时，会首先记住一些必要的数据包（状态），当新的报文到达时，会根据以前的状态进行检查，已决定该报文是一个初始连接报文、响应报文或者非法报文，然后根据过滤规则进行过滤。使用状态过滤技术，可以有效的过滤UDP,ICMP 协议以及主动FTP 协议，同时，还可以记录所有非法的或者伪造的数据包。 主动防御技术包过滤防火墙根据事先指定的规则进行数

41、据包的转发，属于被动防御技术。当有新的攻击方式，需要用户主动干预，重新制定规则，不能对攻击进行实时响应。入侵检测系统（Intrusion Detective System）属于主动防御技术，但IDS 通常只是检测、报警，一般不对恶意的连接进行处理（有的IDS 可以通过使用RST 数据包使连接断开，但并不完全禁止该连接）。将防火墙和IDS 系统进行结合，将可以得到一个更高安全级别的网络安全系统。在HT-2200防火墙上提供了与IDS 的接口，IDS 可以实时的向HT-2200发送入侵信息，通知防火墙切断该连接。为了保证安全性，发送信息采用了校验并进行加密传输。目前可以实现和国内多家IDS 系统互

42、动。该功能为用户以后网络改造和升级提供极大方便。 虚拟主机技术(NAT)华堂HF-F2000 系统NAT 功能有主机映射、虚拟主机和网络映射。虚拟主机是虚拟主机技术和NAT 功能具体应用之一，该功能可以对内部网络主机进行负载平衡。虚拟主机（Virtual Server）使用PNAT 技术，将对外部同一个IP 地址的某一端口的访问转换为对内部多台主机的相同或不同端口的访问，转换过程使用ECM 技术，从而达到负载平衡的效果。 安全防御能力华堂HT-2200防火墙可以防止如Ping Sweeps, TCP/UDP scan, SATAN, IP Half Scan, Port Scan 等多种探测攻

43、击。华堂HT-2200防火墙通过智能分析“状态列表”和预定义TCP ACK 阀值可抗击DOS/DDOS拒绝服务攻击。当源站指定了一个信息包穿越Internet 时应采取的路径，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。华堂HT-2200防火墙通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。入侵者利用IP 残片特性生成一个极小的片断并将TCP 报头信息肢解成一个分离的信息包片断。华堂HT-2200防火墙通过舍弃所有协议类型为TCP、IP 片断偏移值等于1 的信息包的方式，即可挫败残片的攻击。华堂HT-2200防火墙通过智能分析“状态列表”和预定义TCP

44、ACK 阀值可抗击DNS/RIP/ICMP 等缓冲区溢出和程序错误攻击。入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包，这些信息包似乎像包含了一个内部系统的源IP 地址。如果这些信息包到达防火墙的外部接口，HT-2200防火墙舍弃每个含有这个源IP 地址的信息包，从而挫败这种源欺骗攻击。华堂HT-2200防火墙工作在ISO 七层协议的网络层、TCP/IP 协议栈的IP 层。防火墙具有三个以太网网络接口，用于连接不同的以太网段。通过对进出于防火墙的IP 数据包根据安全规则进行有选择的转发，从而达到保护某一网段免于另外网段的基于IP 欺骗的网络攻击。 虚拟专用网络(VPN)华堂HT-2

45、200防火墙提供VPN 功能，支持多种认证方式和加密算法。如：sjy01a、des、3des、sha-1 及md5。VPN 功能保证了各子网、分公司、客户之间数据的安全传输。 完备的日志管理和审计华堂防火墙系统有完备的日志接收、查看和审计功能，日志接收即可以通过日志接收程序实时获取流量日志和事件日志，也可以通过E-MAIL、声音系统等非在线形式接收有关日志信息，华堂防火墙系统提供较为全面的日志查询和审计功能，查询可以按日期、IP 地址、服务类型、某条过滤规则等，形式有文字、表格、图形等。华堂防火墙系统为网络管理者提供科学、合理、和准确的审计功能，为网络的维护提供客观的依据，节省网络管理者时间。

46、提供日志导出功能、备份功能。 带宽管理(Qos)华堂HT-2200防火墙系统为网络管理者提供了监测和管理网络信息流量的手段，可以按照客户的需求对流量进行控制，以防止线路资源的不正常消耗，从而使网络在不同的应用中合理分配带宽，保证重要服务的正常运行，流量控制可分8 个优先级。华堂HT-2200防火墙系统含有日志接收程序，该日志程序可以查询和统计定制用户或某个特点连接的信息流量。2.4服务器选型在选择服务器时，首先，服务器的性能必须满足系统的基本需求，如海量数据的高速存取、对事务要求的快速响应、以及系统的稳定性要求等等。其次，考虑服务器的基本指标，如结构、CPU、内存、缓存、通道、磁盘、接口、操作系统、实用软件。再次，服务器还应当具有较佳的性价比