班班通技术方案资料.doc

1、第一章 项目概述 2011年，许昌市魏都区将全面实施现代信息技术教育班班通提升工程。工程建成后，优质教育资源将直接传送到中小学课堂。这对提升许昌市魏都区中小学教育信息化应用水平，实现优质教育资源共享，提升教育教学质量具有重要意义。其目的一是要建设优质教育教学资源及服务网络平台，通过建设一个覆盖全市中小学的资源应用及服务平台体系，实现中央、省、地方班级资源通过网络到每一个班级，实现优质教育教学资源的共享；二是要逐步改变教育信息化教育现状，结合许昌市魏都区班级多媒体设备的建设情况，根据市区和县区教学水平不同，为学校班级教学配备电子白板和教学终端等设备设施，实现由授导式向探究式教学模式的转变；实现优

2、质资源进入班级，开展多媒体教学提高课堂教学质量和效率；三是建立资源中心，搭建长期维护与服务平台。成立许昌市魏都区教育资源中心，采用共建共享的资源建设机制，整合许昌市本地优质的教育教学资源，其中包括示范课、课件等资源，为全区的课堂教学、教师培训等工作服务。今后还可以为全省中小学提供资源，实现资源的最大化利用。为了做好此项工作，需要对现有许昌教育城域网进行升级改造，建设、改造成为全新的“班班通”城域网和校园网，为“班班通”工程提供基础网络平台。第二章 基础网络方案设计2.1总体拓扑2.2设计原则2.2.1建设学校规模新建设的“班班通”校园网是一套新的网络系统，学校端网络根据教学班的数量分为三种不同

3、的模式。1. 小型规模学校：教学班级规模在12个班以下（含12个班），学校不单配“班班通”服务器，由几个学校共享放置于区级中心的“班班通”服务器，学校网络需部署、更新一台小型三层交换设备和一台二层交换机，综合布线20条即可满足整个“班班通”网络的应用。2. 中型规模学校：教学班级规模在13-30个班规模的，每个学校部署一台学校的“班班通”服务器，学校网络部署一台综合安全网关设备用于进行路由转发、安全过滤、URL过滤、应用识别与日志审计等功能，部署一台小型三层设备作为核心，接入根据需要部署3台以上二层交换机，综合布线60条以上即可满足整个“班班通”网络的应用。3. 大型规模学校：教学班级规模在3

4、0个以上的，每个学校部署一台学校的“班班通”服务器，学校网络部署一台综合安全网关设备用于进行路由转发、安全过滤、URL过滤、应用识别与日志审计等功能，部署一台中型三层设备作为核心，接入根据需要部署5台以上二层交换机，综合布线100条以上即可满足整个“班班通”网络的应用。2.2.2网络设施及链路部署 1区级教育信息中心节点：提供1条千兆VPN线路，2条100M互联网网出口线路；区级中心部署1台综合安全网关、1台中型三层交换机，用以联通配置的5台教学资源服务器。2学校节点：大规模学校：提供1条100M VPN线路，1条10M互联网出口线路，并为连接的校级班班通服务器分配若干互联网地址，满足外网访问

5、需求；每个学校部署一台学校的“班班通”服务器，学校网络部署一台综合安全网关设备用于进行路由转发、安全过滤、URL过滤、应用识别与日志审计等功能，部署一台中型三层设备作为核心，接入根据需要部署5台以上二层交换机；每所学校提供100个100M信息点满足整个“班班通”网络的应用。中规模学校提供1条100M VPN线路，1条10M互联网出口线路，并为连接的校级班班通服务器分配若干互联网地址，满足外网访问需求；每个学校部署一台学校的“班班通”服务器，学校网络部署一台综合安全网关设备用于进行路由转发、安全过滤、URL过滤、应用识别与日志审计等功能，部署一台小型三层设备作为核心，接入根据需要部署3台以上二层

6、交换机；每所学校提供60个100M信息点满足整个“班班通”网络的应用。小规模学校提供1条100M VPN线路；学校不单配“班班通”服务器，由几个学校共享放置于区级中心的“班班通”服务器，学校网络部署、更新一台小型三层交换设备和一台二层交换机；每所学校提供20个100M信息点满足整个“班班通”网络的应用。2.3具体部署方案与说明2.3.1小型规模学校部署方案提供1条100M MPLS VPN线路；每所学校提供20个100M信息点满足整个“班班通”网络的应用。针对小型规模学校班级数目较少，班班通核心设计采用一台锐捷双栈三层交换机RG-S3760-24作为整网核心，由于不需要做NAT地址转换，可直接

7、把100M VPN出口接于三层核心之上。选择RG-S3760交换机作为小型校园网核心设备，原因在于其设备硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，同时设备本身提供了较为丰富而完善的路由协议，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障网络安全、网络合理化使用和运营。小型校园网接入的教学教室与教师备课机均不多，配置的1台二层接入设备即可满足小型规模学校的接入需求，如果多出一些信息点，可直接连于三层核心之上。二层接入交换与三层核心通过千兆链路相连保证数据的快速转发。二层接入设备采用锐捷

8、增强网管交换机RG-S2026G负责连接各个教学教室的教学机以及教师备课PC。该接入设备具备丰富而强大的网管功能，在实现流量线速交换的同时，可以通过多重设置方式进行网管操作，实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、端口监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级等各种管理。2.3.2中型规模学校部署方案提供1条100M MPLS VPN线路，1条10M互联网出口线路，并为连接的校级班班通服务器分配若干互联网地址，满足外网访问需求；每所学校提供60个100M信息点满足整个“班班通”网络

9、的应用。中型规模学校会部署自己的班班通教学服务器，对于出口的应用也更加复杂，为了更好的实现路由转发、安全过滤、URL过滤、应用识别与日志审计等功能，中型学校的出口设计部署一台锐捷EG1000S综合安全网关设备。该设备配以先进的DPI深入分析引擎、行为分析/管理引擎，能够在保证班班通网络出口高效转发的基础上，提供专业的流控功能、出色的URL过滤以及本地化的日志存储/审计服务。中型学校班班通网络信息点规模约为60个左右，接入设备部署3台即可满足学校的需求，这样的规模核心建议采用一台锐捷双栈三层交换机RG-S3760-24，其固化的4个光电接口足以满足接入全千兆上联的需求。同时该设备设备硬件支持IP

10、v4/IPv6双协议栈多层线速交换和功能特性，同时设备本身提供了较为丰富而完善的路由协议，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障网络安全、网络合理化使用和运营。学校接入设备采用锐捷增强网管交换机RG-S2026G负责连接各个教学教室的教学机以及教师备课PC，通过千兆链路与核心相连。该接入设备具备丰富而强大的网管功能，在实现流量线速交换的同时，可以通过多重设置方式进行网管操作，实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、端口监控设置、静态地址管理、广播风暴控制、

11、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级等各种管理。2.3.3大型规模学校部署方案提供1条100M MPLS VPN线路，1条10M互联网出口线路，并为连接的校级班班通服务器分配若干互联网地址，满足外网访问需求；每所学校提供100个100M信息点满足整个“班班通”网络的应用。大型规模学校拥有自己的班班通教学服务器，对于出口的应用也最为复杂，为了更好的实现路由转发、安全过滤、URL过滤、应用识别与日志审计等功能，中型学校的出口设计部署一台锐捷EG1000S综合安全网关设备。该设备配以先进的DPI深入分析引擎、行为分析/管理引擎，能够在保证班班通网络出口高

12、效转发的基础上，提供专业的流控功能、出色的URL过滤以及本地化的日志存储/审计服务。大型学校班班通网络信息点规模约为100个左右，接入设备需要部署5台及以上，骨干千兆链路的数量也会大于等于5条，鉴于这样的情况核心设计采用一台锐捷全千兆三层交换机RG-S5750S-24GT/12SFP作为整网核心，其端口形态丰富，拥有24个千兆电口与12个千兆光口，同时具备万兆扩展插槽，完全满足学校的要求。同时该设备可提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户接入管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用

13、户接入网络，保证合法用户合理地使用网络资源，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，充分保障了网络安全、网络合理化使用和运营。接入设备采用锐捷增强网管交换机RG-S2026G负责连接各个教学教室的教学机以及教师备课PC。RG-S20系列是全线速智能型增强网管交换机，具有特别丰富而强大的网管功能，在实现流量线速交换的同时，可以通过多重设置方式进行网管操作，实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、端口监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级等各种管理。2.3.4魏都区

14、教育中心部署方案提供1条千兆VPN线路，2条100M互联网网出口线路。魏都区数据中心主要承载着其下小型学校班班通服务器的运营工作，网络出口需要更好的实现路由转发、安全过滤、URL过滤、应用识别与日志审计等功能，出口设计部署一台锐捷EG1000S综合安全网关设备。该设备配以先进的DPI深入分析引擎、行为分析/管理引擎，能够在保证班班通网络出口高效转发的基础上，提供专业的流控功能、出色的URL过滤以及本地化的日志存储/审计服务。魏都区核心主要连接班班通资源服务器，需要全千兆架构，设计部署一台锐捷全千兆三层交换机RG-S5750S-24GT/12SFP作为整网核心。该设备端口形态丰富，拥有24个千兆

15、电口与12个千兆光口，同时具备万兆扩展插槽，完全满足学校的要求。同时该设备可提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户接入管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入网络，保证合法用户合理地使用网络资源，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，充分保障了网络安全、网络合理化使用和运营。 2.3.5整体链路部署方案根据项目对链路的需求，各中心和学校全部采用专线光纤以太网VPN方式组网。 魏都区教育中心节点提供1条千兆VPN光纤线路用于接入教育城域网，2条100M互联网光

16、纤线路用于满足对互联网的访问。 各学校节点提供1条100M VPN光纤线路用于接入教育城域网，另外根据学校规模的不同，中型和大型规模学校需各提供1条10M互联网光纤线路并为连接的校级班班通服务器的需求分配互联网地址，满足外网访问需求。2.3.6网络部署总结小型规模学校序号名称数量品牌/型号1小型三层网络设备1锐捷RG-S3760-242二层网络设备（含模块）1锐捷RG-S2026G3综合布线/百兆信息点20河南省通信电缆有限公司4100M MPLS VPN线路1许昌联通公司中型规模学校序号名称数量品牌/型号1综合安全网关1锐捷EG1000S2小型三层网络设备（含模块）1锐捷RG-S3760-2

17、43二层网络设备（含模块）3锐捷RG-S2026G4综合布线/百兆信息点60河南省通信电缆有限公司5100M MPLS VPN线路1许昌联通公司610M互联网线路1许昌联通公司大型规模学校序号名称数量品牌/型号1综合安全网关1锐捷EG1000S2中型三层网络设备1锐捷RG-S5750S-24GT/12SFP3二层网络设备5锐捷RG-S2026G4综合布线/百兆信息点100河南省通信电缆有限公司5100M MPLS VPN线路1许昌联通公司610M互联网线路1许昌联通公司魏都区数据中心序号名称数量品牌/型号1综合安全网关1锐捷EG1000S2中型三层网络设备1锐捷RG-S5750S-24GT/1

18、2SFP3千兆MPLS VPN线路1许昌联通公司4100M互联网线路2许昌联通公司第三章 班班通业务系统监控方案3.1班班通系统管理需求分析此次班班通建设完成后，将承担着整个魏都区所辖学校示范课、课件等资源，为整个魏都区的课堂教学、教师培训等班班通工作服务，为了使整个平台安全稳定额运行，需要有一套综合监控的系统整个班班通系统平台的运行状态进行监控与管理，具体覆盖的范围如下：1、基础网络平台：可以对所有学校的基础网络设备进行运行状态的监控，了解各个学校班班通网络的使用情况。2、班班通资源服务器及其资源：除小型规模学校外，每个学校都有自己的班班通资源服务器，需要能够对这些服务器日常的运行状态、服务

19、器上运行数据库以及相关中间件的性能进行监控，方便了解各学校服务的使用情况3.2 RIIL-BMC综合监控解决方案由于班班通信息系统是一个包括了众多软件，硬件技术，设计多厂家产品，从网络，安全，存储，计算到中间件和应用的复杂异构环境，而且随着教育信息建设的深入和持续优化和发展，这个复杂庞大的基础设施，还会随之不断进行演进，在产品，技术和网络结构，业务关系上不断发生变化，因此，要求针对该环境进行管理的系统具有良好的可扩展性，能够将下层网络和的复杂度有效的通过抽象屏蔽起来，向上层应用和运维流程开放稳定的接口。针对这样的特点，我公司提出了基于融合开放RIIL-BMC -基于关键业务系统运行监控解决方案

20、。该方案有如下独特价值点： 从关键业务系统重要性角度来管理下层IT资源l 以用户群重要性自动关联评估业务重要性l 根据业务相关性为IT资源自动生成业务标签l 自动评估实时事件的业务影响度l 以关键业务为单位管理基础IP资源，图形化关联业务系统及其相关的资源池 以多层逻辑视图对业务系统进行透视管理(1) 多维度立体透视关键业务系统及其资源关系(2) 将资源对象按照网络层，计算层，应用层进行分层管理(3) 根据业务资源对象之间的逻辑依赖关系，生成资源层间依赖视图(4) 根据拓扑关联和业务逻辑关联关系，进行图形化的事件传播显示 交互性和可视性强的管理界面(5) 非常适合匹配高清大屏幕来构建运行监控中

21、心(6) Touch-Flow风格的管理界面(7) 支持自定义Dashboard和关键业务监控视图(8) 可实现业务系统的四维立体透视，一目了然其运行状态、底层资源的关联关系和组成关系(9) 以业务卡片方式集中监控多个业务系统及其资源的运行 智能灵活的告警管理能力l 可支持识别，处理，关联多厂商的上千种告警事件，并通过多种手段通知给用户l 内置上千种事件，并可扩展支持更多的网络和系统事件与告警l 具备事件匹配和抖动处理，过滤等关联机制，提高事件识别效率l 可图形化的定义事件处理和分发策略l 支持短信，邮件，声光等告警通知手段 多厂商复杂IP网络、系统和应用组件自动发现能力l 可自动发现和监控多

22、厂商网络设备，服务器，存储，安全设备，UPS，计算机，中间件等IP基础设施，具备强大的多协议物理和逻辑拓扑发现和呈现能力l 基于标准的FDB，LLDP，以及厂商私有的如CDP等协议的强大二层发现技术l 基于三层路由协议的广域网发现和拓扑呈现能力l 基于数据库，Web Service接口的应用层中间件自动发现能力l 多线程并发发现机制，成倍优化传统拓扑发现效率，适合大型网络的拓扑发现l 支持通过标准管理协议对可管理型机房基础设施的监控 融合事件、流量、性能和安全信息的多维拓扑呈现能力l 支持分层显示物理和拓扑视图，并可支持多种自动布局算法l 支持业务系统视图的呈现l 可提供平面或者网段分层拓扑显

23、示模式l 通过与事件管理器的无缝连接，实现设备状态在事件管理器中的实时通知与处理l 在拓扑图中集成图形化流量和性能指标查看视图l 提供安全域管理视图，直接与安全边界和等级保护体系相结合 智能性能指标监测和趋势告警l 可自动进行后台性能指标不间断监测，并根据性能模型实时提示性能变化趋势l 内置性能采集引擎，能够灵活的通过复杂公式定义采集指标l 可自动后台运行多个并发采集进程，并生成历史性能数据库l 可通过自适应算法自动计算业务系统性能基线l 可进行图形化的性能数据查询和趋势分析l 可根据自定义性能门限生成告警并通知相关管理人员 灵活强大的可定制报表功能l 内置强大的报表引擎，可根据后台任务自动生

24、成运维统计报表并进行自动分发l 可图形化选择数据，订购丰富的业务和资源运行统计报表l 后台按照报表定义，按照模板自动生成报表并进行报表分发，自动发送给感兴趣的管理人员 应用先进的Web2.0动态前端技术构建l Web2.0动态页面技术，比传统的C/S或者B/S架构具备更好的可视化呈现和交互能力l 可穿越防火墙进行访问，具备更好的远程管理能力l 可与SOA架构无缝融合l 对浏览器具有更好的适应性l 可方便的支持管理客户端安全连接 高度可扩展的软件体系结构l 能够面向上层应用，提供符合SOA架构的开放管理接口l 基于Web Service架构的模块化设计，可扩展性强，能够与第三方应用快速集成l 支

25、持多管理员并发管理，并能够对不同管理员灵活定义不同的管理权限和视图范围l 能够分布式部署，具备良好的性能伸缩性，适合大规模网络和信息系统管理需求l 能够通过基于中间件的分布式部署，具备良好的性能伸缩性，适合大规模网络和信息系统管理需求l 基于各种标准的通信协议和管理协议，应用规范和管理接口实现l 具备良好的跨平台兼容性，可以选择不同版本支持在Linux, Solaris或Windows操作系统上进行部署 可视化的业务和资源建模能力l 提供可视化业务建模工具，适应业务环境的变化l 所见即所得的业务系统和关系建模l 可配置性能模型和信息模型l 提供自动业务拓扑生成功能，可根据选择的资源自动生成业务

26、拓扑关系l 可基于身份管理系统接口导入用户信息，并针对用户群进行业务建模，将用户关联到业务系统第四章 设备选型及介绍4.1易网关EG1000S产品图片：EG1000S易网关面板图产品概述：EasyGate易网关（以下简称EG）是锐捷公司推出的一款解决当下网络出口难题的多业务综合网关产品。作为锐捷完全自主研发的综合网关，EG产品集成先进的软硬件体系构架，配以先进的DPI深入分析引擎、行为分析/管理引擎，能够在保证网络出口高效转发的基础上，提供专业的流控功能、出色的URL过滤以及本地化的日志存储/审计服务。此外，EG的多业务特性还体现在对WEB认证、SSL VPN等功能的支持上。EG易网关的高性能

27、和七层多业务特性，将大大简化中小规模网络出口的部署难题。我们不再需要考虑应该使用防火墙、流量控制设备还是路由器，亦或者产品的相互结合。EG易网关一台设备满足出口部署的必须要求。产品特性：高性能转发，搭建好网络出口基础平台l 从底层硬件架构保证：采用MIPS多核高性能处理器，4G DDRII内存，全千兆接口器件。内置电信级宽频开关电源，具有防雷、防过压、防浪涌设计，适应电压不稳定场合。l 重视设备线速转发能力：支持超大容量的200万条NAT会话，极限NAT吞吐量5Gbps。基于锐捷自主研发的RGOS网络操作平台，提供电信级网络产品的高性能、高稳定性。状态防火墙，做好内、外网的安全保护 l EG易

28、网关作为网络出口设备集成丰富的防火墙功能：l 快速包过滤：EG提供性能卓越的ACL包过滤功能，支持标准和扩展的ACL访问控制列表。EG采用先进的流表处理技术，利用源IP、目的IP、源端口、目的端口、协议号等5个元素来定义一条流。l 报文过滤：报文过滤是防火墙最基本的功能，根据安全策略对数据流进行检查，让合法的流量通过，将非法的流量阻止，从而达到访问控制的目的。l 状态检测：对基于六元组来识别网络流量，并针对每条网络流量建立从二层至七层的状态信息。并基于这些状态信息进行各种丰富的安全控制和更深粒度的报文过滤。l 攻击防御：基于状态检测，EG可以防御的各种网络攻击包括：IP畸形包攻击、IP假冒、T

29、CP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、ping flood、UDP Flood等.继承专业流控，为网络出口全面提速l EG易网关采用新一代DPI引擎，能够准确识别包括P2P应用、IM、炒股软件、流媒体、企业办公、网络游戏等在内的总共600多种协议。l 网络流量的实时采集、监控和精细分析使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。基于协议和基于用户的实时流量分析器，提供基于源/目的IP地址、服务端口、应用协议、Session数以及流量大小等详细信息。l 支持基于用户（源IP地址）、目标IP地址、时间、协议和应用等为参数

30、进行灵活的阻断与允许功能。包括：进行上行与下行带宽控制、进行Session数量控制等。l 支持组对象的配置，如定义用户组（IP组）、协议组（如P2P协议组、游戏组）对同一类型的应用、相同级别的用户进行带宽管理策略的控制。自主研发URL过滤，跟非法网络说ByeByel URL数据库：系统全天候获取URL信息， URL规则库分为41个类别，600万条目数。l URL分类举例：军事、体育、政治、经济、教育、文学艺术、娱乐、游戏、商业、IT类、科学、社会生活、BBS站点、WEB通信、在线聊天、门户网站与搜索引擎、远程代理、色情、成人、赌博、毒品、暴力、违反道德、犯罪技能、违反法律、博客、房地产、广告、

31、宗教信仰、求职招聘、旅游l 定期自动更新URL库：类似于windows自动更新程式，让设备可设定时间，定期从服务器获得最新URL库，保证设备URL的实效性和准确性深层次内容审计，本地化日志记录，基于用户身份的审计功能日志对于网络安全的分析和设备的安全管理非常重要，尤其在配合公安机关进行反向查询和定位安全事件的时候。EG针对经过出口的数据流、设备和网络攻击进行相关日志信息的记录。为用户事后分析、审计提供重要信息（日志支持远程web查看和检索）。EG易网关的日志审计包括：l Flow流日志：源IP、目的IP、源端口、目的端口、流起始时间、结束时间、接受字节数，发送字节数等关键信息l 出口NAT日志

32、：经过NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端口，所访问的目的IP、目的端口、协议、开始时间、结束时间等关键信息l URL日志：支持上网五元组、HTTP访问的详细URL日志记录功能。l 设备日志：设备状态，系统事件日志l 攻击日志：设备网络受到攻击的日志信息EG易网关的内容审计包括：l 支持邮件内容审计：邮件客户端方式，如foxmail、outlook等；webmail方式，如新浪、163、雅虎等；l 支持聊天内容审计：QQ、MSN等；l 支持BBS论坛内容审计：天涯社区、猫扑、动网官方网站、PHPWIN官方网站等l 支持加密内容审计、UDP内容审计；l EG内置1

33、60G企业级SATA硬盘，支持日志本地化存储，和异地集中存储两种方式。设备软、硬件高可靠性，保障网络出口不中断运行l 支持桥接模式、路由模式、旁路模式等多种部署方式，充分满足多种环境下的部署要求：1）桥接透明接入不改变任何其他设备配置，实现完整URL过滤、流量控制、内容审计；2）旁路方式确保网络无单点故障，不对网络性能产生任何影响。l 内置硬件BYPASS，保证设备掉电、重启等异常情况下转发不中断；l 关键装置的冗余：多PCI总线冗余、1+1电源冗余（EG1000E支持）、双启动映像文件/双配置文件.l 模块化软件设计：在降低软件的复杂度同时，将问题隔离在软件模块内。某个软件模块出错，不会让机

34、器崩溃。l 同时具备web界面和标准的CLI配置界面，降低学习和使用成本，给维护带来极大方便。产品参数：技术参数参数描述产品型号RG-EG1000SCPUMIPS多核处理器固化电口6GE固化光口1GE管理口1GE内存（DDRII）2G内置硬盘160G企业级硬盘USB接口固化1个USB2.0接口SD卡接口1个SD卡接口硬件BYPASS支持电口/光口BYPASS部署方式路由模式/桥接模式/旁路模式/窥探模式指示灯每端口：Link/Active状态指示（连接/工作）每设备：Power、系统状态（饱和/繁忙/正常/空闲）、USB/SD状态、硬盘指示灯网络协议支持TCP/IP 协议簇，实现了IP、ICM

35、P、IGMP、TCP和UDP等协议支持多种路由协议：静态路由、RIP(V1/V2)、OSPF支持DHCP Relay 、DHCP Server支持PPPoE支持NAT，支持多种NAT ALG，包括FTP、H.323、DNS等支持Ping、Tracert故障检测支持QoS（PQ、CQ、FIFO、WFQ、CBWFQ等）管理协议中文WEB配置管理和监控支持SNMPv1/v2CLI(Telnet/Console)TFTP升级和配置文件管理支持异步文件传输协议X-MODEM 升级方式 网络安全彻底ARP 防攻击防机器狗病毒防内网攻击/外网攻击支持安全地址绑定防止WAN 口Ping防端口扫描攻击防止分片报

36、文攻击防止ICMP flood攻击防止TearDrop攻击防止Ping of Death防止Land 攻击防止Smurf/Fraggled攻击防止Syn Flood应用识别支持自主研发的17类/600种应用；可自定义协议识别；P2P应用：包括Bittorrent、电驴、迅雷、EDONKEY、百度下吧、天网MAZE、超级旋风、KUGOO、VAGAA、FLashGet、等几十种常用P2P应用流媒体软件：包括QQlive、PPSTREAM、PPLIVE、飞速土豆、酷我、新浪直播等几十种常用的流媒体软件聊天软件：包括MSN、QQ、YAHOO、阿里旺旺、新浪UC等十多种聊天软件常用的游戏软件：包括联众游

37、戏、QQ堂、QQ游戏、浩方对战平台、地下城与勇士 、穿越火线、魔兽世界、传奇、大话西游等企业内部典型应用：包括HTTP、FPT、SMTP、POP3、IMAP、Telnet、LOTUS-NOTES、SQL Server、Oracle、Mysql、HTTPS等流量控制基于应用/用户/时段的流量控制；基于应用/用户/时段的阻断URL过滤URL日志支持41类/600万个URL规则库；支持自定义URL；支持远程HTPP自动升级URL库；本地化日志存储（NAT日志、流日志、URL日志等）内容审计支持邮件内容审计：邮件客户端方式，如foxmail、outlook等；webmail方式，如新浪、163、雅虎等

38、；支持聊天内容审计：QQ、MSN等；支持BBS论坛内容审计：天涯社区、猫扑、动网官方网站、PHPWIN官方网站等支持加密内容审计、UDP内容审计；其他特性支持WEB认证支持IPSec VPN、SSL VPN支持智能DNS支持多链路负载均衡支持HTTP在线远程升级特征库、主机软件版本等规格1U输入电压AC: 100240V 5060Hz4.2中型核心交换机S5750S-24GT/12SFP产品图片产品概述RG-S5750系列是IPv6的万兆多层交换机。该系列产品为IPv4网络的建设、IPv4向IPv6网络过渡、以及IPv6网络的建设和通信提供了最直接和最方便灵活的技术实现和方案保障。全千兆的端口

39、形态，加上可扩展的万兆端口，特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器群的接入使用。硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，可灵活应用于纯IPv4网络、纯IPv6网络、IPv4到IPv6共存的网络，能充分满足当前园区网从IPv4向IPv6过渡的需要。产品特性高性能l 万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网路，也方便用户后续升级网络到万兆。IPv4/IPv6双栈协议多层交换l 硬件支持IPv

40、4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和 ISATAP隧道等等），可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信方案；l 支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络；l 支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络。l S5750 V2.0硬件版本设备支持MCE功能，可

41、以在BGP/MPLS VPN组网应用中承担多个VPN实例的CE功能，减少用户设备的投入灵活完备的安全策略l 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色；l 支持基于硬件的IPv6 ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等；l 业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流

42、区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全；l 硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；l 支持DHCP snooping，可只允许信任端口的DHCP响应，防止私设DHCP Server的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题；l 基于源IP地址控制的Telnet设备访问控制，避免非法人员和黑客恶意攻击和控制设备，

43、增强了设备网管的安全性；l SSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；l 控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。强大的多业务支撑能力l 支持IPv4、IPv6组播功能，包含丰富的组播协议。比如IGMP Snooping、IGMP、MLD、PIM、PIM for IPv6、MSDP等协议族，为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了

44、组播服务支持；l 支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的安全性；l 支持等价路由（ECMP）、权重路由（WCMP）等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。完善的QoS策略l 具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务；l 以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑。高可靠性l 支持生成树协议802.1D

45、、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；l 支持VRRP虚拟路由器冗余协议，有效保障网络稳定；l 支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象；l 支持RERP，专门为核心以太网设计的二层链路链路冗余备份协议，其环路阻断以及链路恢复都集中在主控设备上进行,非主控设备直接向主控设备汇报自己的链路情况,无需经过其他非主控设备的处理,因此环路中断以及恢复时间比STP快。基于以上区别,RERP在理想环境下的链路恢

46、复能力能够达到百毫秒级；l 在不启用STP的情况下，可以通过REUP(Rapid Ethernet Uplink Protection Protocol)提供一个快速上链保护功能，REUP使得用户在关闭STP的情况下，仍提供基本的链路冗余，同时提供比STP更快的毫秒级故障恢复。l 支持BFD，为各上层协议如路由协议，MPLS等提供一种快速检测两台路由设备之间转发路径连通状态的方法，大大减少了上层协议在链路状态变化时的收敛时间。方便易用易管理l 灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择线缆；l 为方便安装地点或建筑物不适宜部署外部电源的环境，RG-S5750系列交换机特别提供支持PoE功能的产品型号，即通过双绞线就可以向远端下挂的PD设备供电，如无线AP、IP Phone、视频监控等设备，方便了任何符合IEEE 802.3af标准的终端设备的接入，实现以太网集中供电，以满足金融、企业、学校、医院、工厂等用户实现VoIP、远程监控、无线AP等网络应用的需要；l 网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；l Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；l 多端口同步监控，通过一个端口即可同时监控