北京城乡贸易中心无线网络建设方案.docx

北京城乡贸易中心网络建设技术建议书 杭州华三通信技术有限公司 2012年8月 目录 第1章 无线网络概述 4 1.1 无线网络优势 4 第2章 项目概述 5 2.1 需求分析 5 2.2 现网存在问题 5 2.3 对现有问题分析 5 第3章 问题解决之道 7 3.1 无线网络扩展 7 3.2 核心设备替换 7 3.3 网络管理 7 第4章 无线网络扩展方案 8 4.1 无线网络扩展拓扑 8 4.2 网络拓扑分析 8 4.2.1 核心层 9 4.2.2 汇聚层 10 4.2.3 无线 10 4.2.4 管理平台 11 第5章 方案特点分析 12 5.1 FIP AP模式的组网 12 5.2 FIT AP解决方案包括无线控制器和FIT AP 12 5.2.1 无线控制器 12 5.2.2 无线AP 13 5.3 无线接入认证 14 5.4 供电问题 14 5.5 限速控制 15 5.6 信号覆盖范围控制 15 5.7 无线网络管理（WSM） 15 第6章 相关产品介绍 19 6.1 H3C S7500E 19 6.1.1 产品特点 20 6.1.2 产品规格 23 6.2 H3C S5120-SI系列交换机 26 6.2.1 产品特点 28 6.2.2 产品规格 30 6.3 H3C WX5000系列多业务无线控制器 33 6.3.1 产品特点 34 6.3.2 产品规格 41 6.4 H3C WA2600系列无线接入点 50 6.4.1 产品特点 51 6.4.2 产品规格 56 6.5 IMC WSM无线管理组件 59 6.5.1 产品特点 60 第1章 无线网络概述 1.1 无线网络优势 当今社会无线网络以成为新一代的潮流，无论是在机关单位还是在企业、商贸连锁行业、教育、医疗等单位。对无线网络都有着很大的需求。比如无线POS、无线导购、无线电子称、无线工单等更是当前商贸连锁行业的主流应用。 无线网络建设在维护费用上相对有线网络来说，无线网络组建容易，设置和维护比较简单。只需一次投入就可以解决所有问题，其零布线费用是有线网络所不能比拟的。 在灵活性上，传统的有线网络部署要受到布线格局的限制，如果建筑物中没有预留的线路，布线以及调试的工程比较大，如果使用无线网络的话就可以解决了上述的麻烦。 在扩展性方面，有线网络的扩展性比较弱，如果要增加新用户，而原有布线所预留的端口又不够用的话，那就要进行从新部署线缆等工作，虽然电缆本身不贵，但是改造起来比较麻烦。而无线网络的扩展性就比较强，一台AP可以支持多个用户，如果需要新增用户，网络很小的改动就能满足客户的需求。 在无线网络技术在不断的发展与改善，其发展前景是良好的，但是在很多场合下，有线接入技术并真的比无线网络有更多的优势。无线网络是对有线网络的一种补充，而不是一种替代。从总体上去分析的话,无线是现代网络中的一部分是不可分割的一部分。 第2章 项目概述 2.1 需求分析 北京城乡贸易中心，为了能方便办公和客户的上网需求，在原有网络的基础上扩展无线网络。实现北京城乡贸易中心全楼层的无线全覆盖。北京城乡贸易中心无线网络系统满足高速、可靠、安全、智能等方面的要求，实现以IP为基础的，可以满足城乡贸易中心无线网络不断发展的信息化需求的、标准化的IT融合解决方案，一方面，它能适应未来大集中系统的需要，满足不断发展变化的业务需求；另一方面，它要能兼顾到技术的发展趋势，方便IT系统未来可灵活便捷地引入各种先进、实用的技术。主要表现为以下几点： 1、网络需要尽可能支持无缝切换效果，使用户的便携式终端能够在大楼范围内移动过程中，保持各种流媒体、下载等业务不会明显掉线； 2、需要尽量提高网络信息安全级别，能够支持WPA2等高级网络加密算法，并具有防火墙等网络安全功能； 3、无线系统能与现在商场ERP系统联动，支持无线认证和客户信息记录功能； 4、提出智能网络管理设计，实现整个IT系统的融合管理。 2.2 现网存在问题 1、贸易中心只有有线网络，没有建设无线网络。整个网络的建设还不够完善，导致许多业务不能更快捷的完成，不能给员工和客户带来更好的上网环境。 2、无线网络扩展，原核心设备很难满足扩展够的需求。 3、在整个网络的管理上没有自己的网管软件。 2.3 对现有问题分析 无线网络建设是各行业发展的必然趋势。通过无线网络可以实现无线收银，无线电子秤等。通过无线办公使整个贸易中心的发展会有一个很好的提高。 现有的核心交换机Cisco 3750设备以用多年，现扩展无线网络，用户数会急剧增加，核心设备承载量也会增大，核心设备很难满足扩展够的网络需求。如果一旦核心设备出现了问题，整个网络就会瘫痪，直接影响到业务的正常运行，导致不可估量的经济损失。 对于网络的管理方面，无线网络扩展以后，网络设备会增加很多，对于工作人员来说管理起来就显得非常繁琐，如果一旦某个交换机或者无线设备出现问题，工作人员需要一一对每个设备进行排查。这样做既麻烦又浪费时间。直接影响到员工们的工作。 第3章 问题解决之道 3.1 无线网络扩展 对于现阶段网络的发展需求，无线网络建设是网络发展的趋势。随着无线网络的应用，一些无线办公义务也随之发展，给各企业公司带来了很大的工作效率。城乡贸易中心的无线网络建设不论是对现在还是对未来网络的发展都是一个正确的选择。 3.2 核心设备替换 原有网络核心设备是Cisco的3750。这款设备已用多年，作为核心设备要求的性能需要相当的高。而且现有的网络使用的是单核心的组网方式，一旦核心设备出现问题，整个网络就会瘫痪。在无线网络扩展以后，用户数会大幅度的增加，这样核心设备的承载量就会增加很多。对于现有的核心产品，很难满足扩展后的需求。所以我们在本次网络的改建中建议核心设备采用华三高端产品7500E系列交换机作为核心交换机，原有的cisco 3750交换机可以充当一台备机，当万一S7500E交换机出现故障，可以及时补充（S7500E交换机故障率很低）。 3.3 网络管理 城乡贸易中心网络，在网络管理上没有自己的一套管理组件。在无线网络扩展以后，网络设备会增加很多。对网管人员来说管理起来非常的繁琐。如果一旦交换机或者无线AP出现故障，网管人员还得一一去排查，直接影响到工作。针对这样的问题在本次网络建设中我们推荐华三IMC网络管理组件。IMC网络管理组件可以做到对交换路由的管理同时还可以做到对无线网络设备的管理，既满足原有网络的管理需求也满足了无线网络扩展后的网络需求。 第4章 无线网络扩展方案 4.1 无线网络扩展拓扑 IMC智能管理平台 WSM无线管理组件 北京城乡贸易中心无线网拓扑 核心层 汇聚层 接入层 H3C 7503E-S+ACG H3C 5120-28P-HPWR-SI H3C WX5004 H3C 5120-28P-HPWR-SI H3C WA2620i Cisco 2960 防火墙 一层 五层 四层 三层 二层 4.2 网络拓扑分析 北京城乡贸易中心无线网络建设，是在原有网络的基础上进行无线网络的扩展。原有网络是核心层和接入层的二层网络架构。在无线网络扩展后我们建议采用三层的网络架构，核心层主要承担高速数据交换的任务，同时要为各汇聚节点提供最佳传输通道。汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。接入层的主要任务是完成用户的接入，它直接和用户连接。 根据无线网络扩展够的需求我们建议把核心设备替换成华三高端交换机，我们在原有网络的基础上添加了汇聚层S5120-28P-HPWR-SI，弥补原有的cisco 2950交换机性能太低，本次的汇聚层交换机也作为无线AP的供电交换机。负责无线AP的POE供电。 无线AP的部署我们采用的是廋AP的组网方式，通过无线控制器对无线AP进行管理。 考虑到网络的管理，我们对本次项目推荐了H3C的IMC管理平台，实现对整个网络设备的管理。 4.2.1 核心层 本次网络建设我们建议把原有的思科设备换成华三高端交换机。原有的思科设备我们可以作为备份设备，保证不时之需。核心层主要承担高速数据交换的任务，同时要为各接入节点提供最佳传输通道。本次项目的核心交换机建议选用华三通信技术有限公司（简称H3C）的高端产品S7503E-S。本次项目核心设备配置了24口千兆电口模块和24口千兆光口模块，本次项目我们建议采用千兆光纤的连接方式。 1、为保证设备可靠性，核心交换机配置冗余电源。S7503E-S整机可提供3个槽位，本次在S7503E-S上配置了1块主控引擎，本次选配的主控板可自带24个光接口，H3C S7503E-S-交换路由引擎,提供24端口千兆/百兆以太网光口(SFP,LC),其中8端口可光电复用。我们还选配了一块24口的电接口模块。H3C S7500E 24端口千兆/百兆以太网光接口模块(SFP,LC)。 2、根据本次项目的需求我们在核心交换机上配置了ACG模块。为了对用户上网行为监控。我们可以通过ACG来查看，用户在那个时间段发布了那些信息。可以对一些不法用户发布的一些信息进行监控。 3、H3C S7503E-S采用全分布式转发方式，业务板卡在本地进行转发、访问控制、策略路由、组播、QoS等业务的分布式处理，不会增加主控引擎的负担。 4、H3C S7503E-S所有关键部件采用冗余设计，包括主控板、电源等；采用无源背板设计，避免机箱出现单点故障；所有单板支持热插拔功能，并且对其它单板上运行的业务无影响。 5、H3C S7503E-S支持OSPF/IS-IS/BGP的优雅重启技术（Graceful Restart），可以实现用户业务的不间断转发；支持动态路由协议、跨板端口聚合、虚拟路由冗余协议（VRRP）等保护机制，有效保证全网高速可靠运行。 6、H3C S7503E-S具备多业务特性，可扩展防火墙模块、负载均衡模块、无线控制器模块、网络流量分析模块等多业务模块，未来可根据业务需求随时进行扩展。 4.2.2 汇聚层 本次网络建设，我们在原有网络架构的基础上添加了汇聚层。对于三层的网络架构能够使整个网络更稳定。汇聚层设备我们选用的是华三5120-28P-HPWR-SI产品。H3C S5120-SI系列以太网交换机是H3C技术有限公司自主开发的全千兆以太网交换机，提供灵活的全千兆以太网端口的接入密度、丰富的业务特性。 1、本次项目根据端口需求可选用24口款型，S5120-28P-HPWR-SI支持24个10/100/1000Base-T以太网端口（PoE+），4个1000Base-X SFP千兆以太网端口；满足本次项目的需求。 2、S5120-28P-HPWR-SI交换机产品支持POE供电，本次项目负责对无线AP进行供电。H3C S5120-SI系列交换机支持增强的以太网供电功能（PoE+），PoE供电款型可以提供每端口最大30W的输出功率，可以为802.11n的无线接入点，可视IP电话，以及更多的终端设备提供以太网供电能力。 3、S5120-28P-HPWR-SI交换机产品自带4个千兆光口可以与原有的思科2960交换机产品做链接。 4.2.3 无线 本次项目的无线网络扩展我们采用的是廋AP的组网方式通过无线控制器对无线AP进行管理，根据北京城乡贸易中心的环境结合所用无线AP产品个数我们对本次项目推荐所用的无线控制器是华三的WX5004、无线AP选用华三的WA2620i-AGN-FIT产品。 1、无线控制器WX5000是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的多业务无线控制器(AC，Access Controller)产品系列。H3C WX5000系列无线控制器具有容量适中、高可靠、业务类型丰富等特点，集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多功能于一体，提供强大的有线、无线一体化接入能力。 2、无线控制器WX5000缺省管理无线AP 64个，最大可管理256个无线AP。满足本次项目的需求。 3、无线AP H3C WA2600 i系列无线产品是杭州华三通信技术有限公司(H3C)自主研发的新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆速率的限制，使无线多媒体应用成为现实。 4.2.4 管理平台 考虑到城乡贸易中心网络的管理，本次项目我们推荐使用华三公司的网络管理系统IMC网络管理平台。我们针对本次项目选配了25节点License能够对25个设备进行管理。针对无线网络我们还选配了WSM无线管理组件，可以对无线设备进行管理和查看。 第5章 方案特点分析 5.1 FIP AP模式的组网 FIP AP为现有无线网络建设中广泛采用的模式，集中式无线架构不但能方便地实施二层漫游，而且非常有利于跨三层的漫游实现，用Fat AP部署的WLAN网络，由于AP之间传递的信息有限，导致垮三层的漫游实现及其麻烦，集中式架构非常容易解决跨三层漫游的问题。同时无线的FIP模式，还能解决FAT模式无法解决的信道冲突、智能AP的负载分担、无线入侵检测和灵活的AP接入用户控制等功能。 IEEE802.11a/b/g是无线接入的主流，随着IEEE802.11n的成熟，现有的网络需要无缝集成IEEE802.11n AP，因此，应用FIP AP的解决方案既要能满足IEEE802.11a/b/g的数据处理，又要能够满足IEEE802.11n的数据处理。 FIP AP部署的方式相对于FAP AP部署方式的优势： 配置简单：AP零配置、所有的配置集中在无线交换机上完成，简单便捷； 维护方便：管理、维护针对无线交换机来实现，不需要对每一台AP进行操作； 易于升级：针对特性增加带来的软件版本升级需求，只需要对无线交换机进行操作即可，不需要对每一台无线AP单独升级； 安全可控：可以集中进行射频及功率、信道调整，黑白名单、无线入侵检测、安全访问控制等功能； 更易扩展：根据需要，可以灵活增加补点AP，支持三层漫游，方便扩展支持无线监控、话音应用等业务。 5.2 FIT AP解决方案包括无线控制器和FIT AP 5.2.1 无线控制器 无线控制器使用H3C公司的WX5004。WX5004基础规格支持64个AP，最多可支持256个AP的管理，可以满足本次无线网络的部署需求。 H3C WX5000是杭州华三通信技术有限公司(以下简称H3C公司)自主研发的多业务无线控制器(AC，Access Controller)产品系列。H3C WX5000系列无线控制器具有容量适中、高可靠、业务类型丰富等特点，集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多功能于一体，提供强大的有线、无线一体化接入能力。 使用无线控制器+FIT AP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。 FIT AP组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可以及时排除其他AP存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。 5.2.2 无线AP 无线AP使用H3C WA2620i-AGN-FIT，它是H3C WA2600系列无线接入点是新一代兼容802.11n Draft2.0的千兆无线接入点（以下简称AP），可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列AP上行接口采用千兆以太网接口接入，突破了百兆以太网接口的限制，使无线多媒体应用成为现实。并兼容11a/b/g标准。 AP点表 楼层 AP数量 5层 8 4层 10 3层 10 2层 13 1层 12 地下一层 9 5.3 无线接入认证 无线认证分三个部分： 第一部分是内部员工上网，内部员工可以共用一个密钥，采用WPA2加密方式； 第二部分是无线POS、无线电子称等设备，可以采用隐藏SSID，采用WPA2加密方式； 第三部分是顾客，建设与原有的ERP系统联系，目前这种方式在SOGO有很好的应用，顾客通过连接相应的SSID，在访问网页时会自动弹出一个认证页面，顾客需要填写相关信息才能获得上网口令，这种方法既方便了顾客，也方便了商场收集顾客信息。 5.4 SSID管理 内部员工：cx-staff 无线POS：cx-pos 并采用隐藏SSID方式 顾客：cx-free 第个SSID对应不同的VLAN，在核心交换机上配置相应的隔离策略，保证无线网安全。 5.5 IP地址分配 本次配置的核心交换机和无线控制器都带有DHCP功能，建设在无线控制器上开启DHCP功能。 5.6 对接入交换机的要求 因为原有的cisco 2950交换机性能低下，已经无法满足现在高带宽的需求，我建设采用S5120-28P-HPWR-SI交换机替专门用于无线AP接入，原有的cisco 2950通过上行口与S5120-28P-HPWR-SI交换机互联，原有接入交换机可以继续使用。 5.7 VLAN的划分 为了与原有的网络区分，建议在核心交换机上为无线网单独创建几个VLAN，并通过策略方式，给每个VALN不同的访问权限。 5.8 互联网出口带宽 将来无线网建成，上网用户会急剧增加，原有的20M出口有可能会不够用，建设再增加一条20M出口链路，并且两个出口可以互相备份。 5.9 培训及文档资料 在工程实施过程中，工程师会对用户进行随工培训，在实施完毕后，会有专门的针对无线系统管理维护方面的培训以及相关资料共享，保证用户具备管理维护能力，才算完成工程交付。 5.10 互联网出口流量管理及上网行为审计 为了响应国家82号令，建议在核心交换机上部署一块ACG（应用控制插卡），主要是管理和审计内部用户的上网行为。 网络应用层出不穷，在大大提升了用户的工作效率的同时，也带来一些负面影响，在实现网络双出口及安全防护的基础上，网络出口仍面临以下问题： l 员工通过P2P下载电影造成网络速度变慢，访问非法网站易感染病毒，怎么保证网络的正常应用 l 员工访问色情、反动网站，如何监控 l 员工作时间炒股、打游戏、聊天造成工作效率的下降，怎么解决 所以我们建议在网络出口处部署H3C SecBlade ACG，SecBlade ACG是业界第一款千兆高性能应用控制模块，可应用于H3C S7500E/S9500系列交换机，创新性的将应用监控、审计与网络进行无缝融合。SecBlade ACG能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的URL过滤功能，进而全面了解网络应用模型和流量趋势，大大提升网络的业务控制能力，帮助用户优化其网络资源，为用户打造一个和谐、有序的网络环境。 SecBlade ACG能精确检测Thunder（迅雷）、BitTorent、eMule（电骡）、eDonkey（电驴）、QQ、MSN、PPLive等近百种P2P/IM应用。同时，可基于时间、用户（组）、应用协议，对P2P/IM应用进行告警、限速或阻断。 SecBlade ACG通过自定义IP地址、主机名、正则表达式等方式设置URL特征库，支持根据不同的URL策略设置不同的响应方式，支持根据时间表对不同的URL策略设置不同的响应动作，避免保密信息的外泄，免受非法信息干扰，确保网络的健康使用。 SecBlade ACG提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表，并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，使用户能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提供依据。 5.11 供电问题 本次无线网部署，为室内无线应用，多数的AP需要吸顶安装，这样如果采用交流电源供电，就为消防安全提出了挑战，以后的防火和电源维修工作带来了诸多问题，解决无线AP供电问题，是保障无线AP部署位置灵活性的重要前提。这就要求AP在具有本地供电能力的同时，可以通过POE实现远程供电。目前有两类解决方案，POE供电模块和POE供电交换机。为了保证POE供电的可靠性，采用POE供电交换机为单路无线AP提供电源是首选，POE交换机采用一体化的设计，相对供电模块减少了维护的环节，为将来网络的维护和排查提供了便利。所以本次我们推荐POE交换机供电的方式供电。 5.12 限速控制 为了不影响有线网络用户以及内部业务的正常，建议在无线控制器上做相应的限速设置，无线控制器可根据每IP/MAC进行限速，有效保障有线用户、内部业务的正常运行。根据目前城乡出口大小，我们建议给每顾客速率限制在150KB/s，内部员工则酌情而定。 5.13 信号覆盖范围控制 为了保障无线网络的安全，建议在无线网络实施时，需要根据每个区域实际使用环境，对AP的发射功率做相应调整，确保无线信号控制在大楼内，从而屏蔽不安全因素。 在室内覆盖情况下，选择AP摆放位置的时候，需遵循以下几个原则： 1、保持信号穿过墙壁和天花板的数量最小。2.4G信号能够穿透墙壁和天花板，然而，每一面墙壁和天花板都将使AP信号的覆盖范围减少1到30米。应放置AP与计算机于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。 2、考虑AP和覆盖区域之间直线连接。注意AP的放置位置，要尽量使信号能够垂直的穿过（90度角）墙壁或天花板。 3、AP安装位置需远离电子设备（起码1~2米），例如微波炉、监视器、电机等。 5.14 无线网络管理（WSM） 本次方案为实现终端的灵活接入部署了无线设备，作为接入层网络，无线网络维护工作量较大，加之无线网络的灵活性和不可见性，对无线网络的管理需求也较有线网络更加强烈。无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。所以我们建议在IMC平台的基础上配置WSM无线管理组件实现有线无线一体化的网络管理。 WSM无线业务管理器依托iMC智能管理平台，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上，为用户提供无线网络管理能力。用户无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。 WSM无线业务管理器是iMC智能管理中心的业务组件之一。 iMC智能管理中心采用分布式、组件化、跨平台的开放体系结构。通过选择安装WSM无线业务管理器，用户可以获得全面的无线业务管理能力，实现AC设备、FAT AP设备、FIT AP设备、移动终端等无线设备的集中管理，轻松实现设备配置管理功能，并提供资源分组、无线拓扑功能，对全网无线设备进行直观有效的组织，对网络部署和设备状态一目了然，策略模板等功能实现网络和设备的批量配置，提升效率，降低维护工作量，降低维护成本。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。 与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。 Ø 有线无线一体化管理，提升整体管理能力，使用户获得最佳管理体验，并节约用户部署和维护成本； Ø 漫游域、物理位置、设备类型等多种视图呈现网络资源，网络部署情况更加清晰； Ø 多纬度、多层次、自定义的资源分组管理，有效组织全网资源，灵活机动，建立更加适应用户的个性化网络管理平台； Ø 从纷繁复杂的网络中抽象出逻辑化的无线业务拓扑，使无线网络展示更加清晰，帮助用户更加有针对性地管理无线业务； Ø 漫游域、物理位置等多种拓扑视图帮助用户从多角度监控无线网络，物理位置拓扑视图通过用户实际的户型结构，根据无线设备真实的摆放位置，展示最为逼真的网络部署情况； Ø 支持目前普遍使用的FAT AP和更加先进的AC+FIT AP两种无线网络部署方案，提供全面的无线网络业务管理能力； Ø 全面的无线参数浏览及批量配置功能，使用户真正实现无线网络和设备的远程集中监控和管理； Ø 强大的故障管理能力及设备状态实时显示功能，使用户对网络运行情况了如指掌； Ø 移动终端漫游过程记录，帮助用户审计最终用户漫游轨迹 图5-1 第6章 相关产品介绍 6.1 H3C S7500E H3C S7500E(X)系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，以IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C S7500E(X)符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。 H3C S7500E(X)系列包括S7510E（12槽）、S7508E-X（14槽）、S7506E（8槽）、S7506E-V（垂直8槽）、H3C S7506E-S（8槽）、S7503E（5槽）、7503E-S（3槽）和S7502E(4槽)8款产品，除了7503E-S所有产品均支持冗余主控。H3C S7500E(X)可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。 H3C S7500E(X)系列高端多业务路由交换机 6.1.1 产品特点 丰富的业务，适应融合业务网络发展趋势 Ø 基于IRF2（第二代智能弹性架构）技术的虚拟化架构 H3C S7500E(X)面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供2-4台主机的协同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分；另外H3C 的IRF2虚拟化技术还可根据组网的要求支持长距离（40KM）的线缆。 Ø 全面的MPLS、VPLS业务能力 H3C S7500E(X)所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。 全面支持VPLS，VLL，支持1K VPLS实例，4K VLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。 Ø 高性能IPv4/IPv6业务能力 H3C S7500E(X)支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E(X)采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E(X)已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证，是成熟商用的IPv6产品。 Ø 有线无线一体化，有源无源一体化 H3C S7500E(X)集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。 H3C S7500E(X)是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3C S7500E(X)是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。 Ø EAD端点准入防护技术 H3C S7500E(X)支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。 全方位的安全保障，抵御多种网络安全威胁 Ø 三平面安全保障机制 H3C S7500E(X)提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3C S7500E(X)还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。 Ø 有线无线全面支持EAD H3C S7500E(X)是EAD端点准入防御解决方案的重要组成部分，S7500E(X)可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3C S7500E(X)既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。 Ø 增强的ACL特性 H3C S7500E(X)系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，满足金融等行业访问权限严格控制的需求。 电信级的高可靠性，保障用户业务长期稳定运行 Ø 电信级高可靠性设计 H3C S7500E(X)采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E(X)系列可以在恶劣的环境下长时间稳定运行，达到99.999％的电信级可靠性。 Ø 多业务高可靠性运行 H3C S7500E(X)支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E(X)可以在承载多业务的情况下不间断运行，实现业务的永续。 Ø 基于IRF2架构的HA IRF2技术可以把多台S7500E(X)虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制，实现毫秒级链路故障检测。 6.1.2 产品规格 属 性 S7510E S7508E-X S7506E S7506E-V S7506E-S S7503E S7503E-S S7502E 整机交换容量 3.84Tbps 3.84Tbps/8.96Tbps 2.56Tbps 2.56Tbps 2.56Tbps 1.6Tbps 960Gbps 640Gbps IPv4包转发率 2880Mpps 1920Mbps/ 5760Mpps 1920Mpps 1920Mpps 1920Mpps 1200Mpps 720Mpps 480Mpps 槽位数量 12 14 8 8（垂直插槽） 8 5 3 4 业务槽位数量 10 8 6 6 6 3 2 2 交换网板槽位数量 0 4 0 0 0 0 0 0 冗余设计 电源、主控冗余 电源、主控、交换网板冗余 电源、主控冗余 电源、主控冗余 电源、主控冗余 电源、主控冗余 电源、单主控 电源、主控冗余 二层特性 支持IEEE 802.1P(CoS优先级) 支持IEEE 802.1Q（VLAN） 支持IEEE 802.1d（STP）/802.1w（RSTP）/802.1s（MSTP） 支持IEEE 802.1ad（QinQ），灵活QinQ和Vlan mapping 支持IEEE 802.3x（全双工流控）和背压式流控（半双工） 支持IEEE 802.3ad（链路聚合）和跨板链路聚合 支持IEEE 802.3（10Base-T）/802.3u（100Base-T） 支持IEEE 802.3z（1000BASE-X）/802.3ab（1000BaseT） 支持IEEE 802.3ae（10Gbase） 支持IEEE 802.3af（PoE） 支持IEEE 802.3at（PoE+） 支持RRPP（快速环网保护协议） 支持跨板端口/流镜像 支持端口广播/多播/未知单播风暴抑制 支持Jumbo Frame 支持基于端口、协议、子网和MAC的V