第1章 概述
企业的信息系统建设是随着办公和服务业务的逐步开展逐步建设的。现有的主要网络环境为:
1. 目前约800多个用户使用。
2. FireBOX防火墙一台,主要用来做出口设备。
3. 服务器约40台,主要应用为OA信息管理系统、财务系统等等的核心业务系统。
4. 核心交换机为H3C S5800交换机,部分千兆和百兆交换机若干台。
5. 传输介质都是双绞线,5类和超5类混合使用,少数的光转电。
企业的信息系统建设是随着办公和服务业务的逐步开展逐步建设的,网络系统的建设从建设初期就没有一个完善的规划,因而信息系统的建设有的方面比较完善,有的方面规划和建设相对滞后,性能已经严重影响了业务系统的高效运行,大大降低了员工的工作效率。先阶段主要影响信息系统正常运行的有以下方面:
1. 网络系统:现有的网络系统建设由于建设时期比较早,软硬件系统已经相对落后,已出现影响业务系统的高速运行的情况。
2. 网络安全系统:目前网络出口通过一台百兆防火墙和电信的上网线路接入互联,内网用户的上网行为无法控制,例如:随便下载BT,暂用大量的外网带宽,造成其他员工无法正常办公。上班的时间,聊QQ、偷菜、炒股、玩网络游戏等,影响办公效率。
3. 网络管理系统:缺乏对整个信息系统,包括软件、网络、安全等方面的统一规划管理,在有相应的问题发生时,缺乏快速解决问题的手段。
企业的网络改造升级建设要实现内部全方位的数据共享和传输,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现办公自动化,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
遵循以下基本原则:
高带宽
为了保障全网的高速转发,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性
公司网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
可扩充性
考虑到用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
设计应充分考虑整个网络的稳定性,提供网络安全防范措施。
在这次的网络改造升级整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。根据企业的网络分布情况,共分成核心层和接入层两层。
1)核心层
核心层是整个网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。
企业的核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的多设备冗余的星型结构。
对于核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为企业构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
2)接入层
提供网络的第一级接入功能,完成二层接入,并实现对终端接入的安全控制,包括ARP防御、IP/MAC/端口绑定以及POE等高级功能。
在企业企业网中,接入层采用千兆到桌面的接入模式。
接入层设备以选择二层交换机为主,设备应具有灵活的扩展能力,支持堆叠,具有强安全性,可以实现IP、MAC、端口的绑定,支持802.1x认证,支持DHCP Snooping ,防止非法DHCP接入和ARP攻击。
此次改造升级的网络系统将采用层次化通用结构设计,采用核心层和接入层两层架构,包括核心骨干和网络出口、服务器接入、网络接入等三大部分。
网络骨干由核心层和接入层组网,骨干网采用高可靠性组网,核心层配置两台7506E-S交换机,接入层交换机通过千兆光口链路直接接入核心交换机,网络骨干全面支持IPv6。同时核心交换机上增加了防火墙插卡,对整网进出的数据进行安全过滤。
网络出口实现内部网络与外部网络的互联,网络出口需实现企业内网与外部网络的隔离,网络出口配置H3C MSR3640路由器实现与外部网络互联,同时提供地址转换。
网络接入层分为用户接入和服务器接入两个部分,提供内网用户的接入,并实现网络接入的安全防御,如ARP攻击防护。
为便于网络的管理和维护,还将建设一套网络管理系统,实现对网络平台设备的统一管理,网络管理应具有拓扑、故障、性能、配置和图形化设备管理等功能,为了实现更为方便的通过远程方式对网络的状态进行监控和维护,网络系统采用B/S架构。
企业的核心层,必须提供高性能、高可靠的网络结构,推荐采用星型组网结构。
核心层配置两台S7506E-S交换机作为核心交换机,选用的核心交换机是从可靠性、性能、业务特性、安全特性以及可扩展性等多个方面进行综合考虑。
在可靠性方面,核心交换机应达到99.99%的高可靠性,支持双电源冗余备份,支持VRRP、路由优雅(GR)等高可靠性协议,实现核心层的业务不间断转发。
在性能方面,核心交换机应采用全分布式转发,支持千兆等高速以太网接口,所有接口实现线速转发,保障内网多种业务进行并发交换。
在业务特性方面,核心交换机支持丰富的QoS特性,可保障重要业务得到优先转发;支持IPv6,可平稳过渡到下一代网络。
在安全性方面,核心交换机应既能保障自身的运行安全,也能通过一些安全机制保障所承载业务的安全。
另外服务器基数大,用户数量也比较多,数据流交互大,这需要核心交换机具有更大的包转发能力以及背板带宽。
基于上述因素,我们建议采用H3C S7506E-S核心交换机。
接入层实现服务器以及各终端电脑的高速接入,采用千兆到桌面接入方案。
接入层交换机应具有丰富的安全特性,同时,交换机还应具有防伪DHCP Server的接入,对终端ARP各种形式攻击的防护。
接入层交换机,我们建议采用H3C S5120-EI系列。
此次配置H3C MSR3640路由器,满足内网现有用户的上网需求。同时,能够保障业务、网络等报文过滤,支持多样化的VPN技术。
企业网络承载多种业务系统,并实现与外界网络的互联互通,为确保业务系统的安全性,需根据不同的业务类型,采取相应的安全措施。
在此次网络改造升级建设中,网络安全建设主要包括以下几大部分:
1. 对重点区域的安全隔离和访问控制,实现对业务系统资源和外部网络安全隔离和访问权限的控制。
2. 网络出口部署应用控制网关,实现对企业网用户的行为审计和监管。
3. 网络出口设备应支持过滤功能,保证内网用户的安全。
4. 通过配置交换机所具有的安全功能,加强的网络的安全控制
网络安全是一项系统工程,在网络的边界、内部、终端都需要应用一系列的安全解决方案,才能构建一个完整的安全网络。边界安全解决方案在整个网络的安全部署中扮演着至关重要的角色,优秀的边界安全解决方案可以极大地减少安全威胁在网络之间的传播,可以提供网络边界双向数据流的监控信息,可以用简明的方式实现设备的统一管理。
从用户体验的角度来讲,边界安全解决方案将可以明显减少用户网络数据感染病毒、业务被黑客破坏、重要信息被窃取等等安全事件。
边界安全的主要作用有:
网络隔离:主要是指能够对网络区域进行分割,对不同区域之间的数据流进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数的检查,实现对数据流的精细控制,把可能的安全风险控制在相对独立的区域内。
攻击防范:对常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击(DoS/DDoS)等,能够提供有效的检测和防范措施。
病毒抵御:识别并处理网络中的蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等蠕虫病毒,抵御后门木马和垃圾邮件的侵袭,保护企业用户的正常业务不受破坏。
流量监控:用图形化界面,直观、全面地展现各种统计信息,包括:网络流量统计、实时流量监控、系统漏洞检测和网络应用管理等,帮助管理人员掌握网络状况,增强对网络风险的防范能力。
流量控制:为用户网络提供灵活的流量管理能力,保证关键用户和关键业务的网络带宽,同时提供完善的QoS机制,保证数据传输的质量。另外,能够对一些常见的高层协议,提供细粒度的控制和过滤能力,比如支持WEB和EMAIL过滤,支持P2P识别并限流等。
对于企业这样一应用为主的系统,网络的安全特性非常重要,因以太网工作原理的限制,交换式网络容易造成MAC、IP等安全的攻击。对此,需通过交换机的安全特性加以防护。
本次选用的核心交换机和接入交换机具有丰富的安全特性,可以解决网络中存在的安全问题,详细参见下表:
攻击
类型
|
攻击行为
|
交换机安全防范特性
|
核心
交换机
|
接入
交换机
|
资源耗尽型攻击
|
MAC表攻击
|
端口MAC数限制
|
具有
|
具有
|
禁止某个VLAN的MAC地址学习 + 静态MAC表
|
具有
|
具有
|
端口安全
|
具有
|
具有
|
MAC + IP + 端口绑定,
端口安全中的1个特性
|
具有
|
具有
|
DHCP DOS攻击
|
DHCP Relay Option 82
|
具有
|
具有
|
DHCP Snooping Option 82
|
具有
|
具有
|
DHCP报文限速
|
具有
|
具有
|
CPU恶意冲击
|
ARP限速
|
具有
|
具有
|
防范攻击的其它特性
|
广播风暴抑制
|
具有
|
具有
|
环路检测
|
具有
|
具有
|
安全准入特性
|
具有
|
具有
|
802.1x
|
具有
|
具有
|
端口安全特性
|
具有
|
具有
|
假冒伪装型攻击
|
ARP欺骗攻击
|
ARP入侵检测
|
具有
|
具有
|
端口隔离
|
具有
|
具有
|
Isolate-User-VLAN
|
具有
|
具有
|
MAC/IP欺骗攻击
|
DHCP relay Security
|
具有
|
具有
|
IP源地址保护
|
具有
|
具有
|
DHCP服务器欺骗攻击
|
DHCP Snooping Trust
|
具有
|
具有
|
根桥伪装攻击
|
STP根保护
|
具有
|
具有
|
BPDU保护
|
具有
|
具有
|
TCN攻击
|
TC-BPDU报文非立即处理机制
|
具有
|
具有
|
路由源伪装攻击
|
OSPF/RIP路由MD5验证
|
具有
|
二层,不具有
|
设备控制权攻击
|
用户信息嗅探
|
SSH2.0
|
具有
|
具有
|
SNMPv3
|
具有
|
具有
|
SFTP
|
具有
|
具有
|
管理人员泄密
|
远程管理终端限制(Telnet VTY配置ACL)
|
具有
|
具有
|
用户分级
|
具有
|
具有
|
暴力尝试攻击
|
远程管理终端限制(Telnet VTY配置ACL)
|
具有
|
具有
|
在用户接入安全控制,设计时采取以下针对性的措施解决以下MAC、IP地址的安全问题。
1、通过接入层交换机进行IP、MAC、端口的绑定或认证系统的实施,解决IP地址冲突和IP地址欺骗。
2、接入层交换机启用ARP检测特性,解决ARP攻击和欺骗的问题。
3、接入层交换机启用DHCP安全特性,解决用户私自架设非法DHCP服务器的问题。
4、在交换机通过IP Source Guard以及URPF特性上解决伪造IP源地址攻击。
5、交换机启用ARP报文限制,解决导致交换机或客户端ARP表溢出或DHCP服务器地址耗尽的问题。
6、通过网络管理系统,实现在网络维护和故障解决时,可快速查找、定位和隔离发生故障的交换机所有的端口。
现在大部分用户使用DHCP服务器动态地分配IP地址,由于DHCP分配IP地址的不确定性,设计时采取以下针对性的措施解决以下IP地址的安全问题。
1、通过接入层交换机进行IP、MAC、端口的绑定或认证系统的实施,解决IP地址冲突和IP地址欺骗。
2、访问层交换机启用ARP检测特性,解决ARP攻击和欺骗的问题。
3、访问层交换机启用DHCP安全特性,解决用户私自架设非法DHCP服务器的问题。
4、在交换机通过IP Source Guard以及URPF特性上解决伪造IP源地址攻击。
5、交换机启用ARP报文限制,解决导致交换机或客户端ARP表溢出或DHCP服务器地址耗尽的问题。
6、通过网络管理系统,实现在网络维护和故障解决时,可快速查找、定位和隔离发生故障的交换机所有的端口。
2.4.4 H3C交换机防ARP欺骗攻击技术优势介绍
ü ARP欺骗攻击的危害性
当您的计算机网络连接正常,却无法打开网页;当您的计算机网络出现频繁断线,同时网速变得非常慢。这些都可能是由于存在ARP欺骗攻击及ARP中毒,所表现出来的网络故障情况。
ARP欺骗攻击不仅导致联网不稳定,极大影响网络的正常运行,更严重的是利用ARP欺骗攻击可进一步实施中间人攻击。如果局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和网关,让所有网络流量都经过攻击者主机进行转发,攻击者通过截获的信息可得到游戏、网银、文件服务等系统的用户名和口令,这种攻击行为就称为中间人攻击。由此可见,中间人攻击是一种非常恶劣的网络恶意攻击行为。
为什么杀毒软件、防火墙都挡不住ARP 欺骗攻击呢?主要由于ARP欺骗攻击的木马程序,通常会伪装成常用软件的一部分被下载并被激活,或者作为网页的一部分自动传送到浏览者的电脑上并被激活,或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级,杀毒软件常常会失去作用。
ü ARP欺骗攻击的原理
局域网上的一台主机,如果接收到一个ARP报文,即使该报文不是该主机所发送的ARP请求的应答报文,该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。
图1-1 以太网ARP协议报文结构
ARP欺骗攻击就利用了这点,攻击者主动发送ARP报文,发送者的MAC地址为攻击者主机的MAC地址,发送者的IP地址为被攻击主机的IP地址。通过不断发送这些伪造的ARP报文,让局域网上所有的主机和网关ARP表,其对应的MAC地址均为攻击者的MAC地址,这样所有的网络流量都会发送给攻击者主机。由于ARP欺骗攻击导致了主机和网关的ARP表的不正确,这种情况我们也称为ARP中毒。
由于ARP中毒后,所有的流量都需要经过攻击者进行转发。如果攻击者具有转发能力,在攻击开始和攻击结束是都会引发一次网络中断,攻击过程中网络速度变慢,网速变慢原因跟发送大量的ARP流量消耗了带宽以及其本身处理能力有限有很大关系;如果攻击者不具有转发能力,网络出现传输中断,直到攻击停止及ARP表恢复正常。
ü ARP欺骗攻击防御
由于ARP欺骗攻击,利用了ARP协议的设计缺陷,光靠包过滤、IP+MAC+端口绑定等传统办法是比较难解决的。
通过对ARP欺骗攻击原理的剖析,如果要防御该类型攻击,最理想的办法是在接入层对ARP报文进行内容有效性检查,对于没有通过检查的报文进行丢弃处理。在接入层交换机上采取的这种技术,我们称为ARP入侵检测,此技术可以在访问层区域部署。
访问层交换机S3100系列上部署ARP入侵检测(ARP Intrusion Inspection)功能,进行ARP欺骗攻击防御。
ARP入侵检测在接入交换机进行部署,接入交换机同时启用DHCP Snooping对DHCP报文进行监测。DHCP Snooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息,并形成一个DHCP Snooping绑定表。交换机端口接收到的ARP报文后,通过查找DHCP Snooping建立的绑定关系表,来判断ARP应答报文的发送者源IP、源MAC是否合法。若ARP报文中的发送者源MAC、IP匹配绑定表中的内容,则认为是合法的报文,允许通过;否则认为是欺骗攻击报文,就进行丢弃。
ARP入侵检测能够防止接入终端发起任何ARP欺骗攻击,如果全网部署AII功能,可有效解决ARP欺骗攻击问题。
另外由于ARP欺骗攻击,经常伴随者发送大量的ARP报文,消耗网络带宽资源和交换机CPU资源,造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速,对每个端口单位时间内接收到的ARP报文进行限制,很好地保障了网络带宽资源和交换机CPU资源。
IPS可以针对应用流量做深度分析与检测防御,同时配合病毒攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。尤其是这样大型的数据中心,业务系统种类多,应用复杂,更需要通过入侵防御系统这类的应用层安全控制设备以实现数据的深度检测和防御,从而确保各项业务的正常开展。
在本项目里面,出口UTM自带IPS功能,实现对整个企业网的流量分析和检查防御
各业务系统的安全运行,对网络系统的可靠性提出了很高的要求。因此在网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。
此次企业网络改造升级项目中,接入交换机与核心交换机之间为二层链路互联,为避免二层环路的发生,需运行生成树协议,在具体的部署过程中,为实现链路的快速切换以及保障网络的稳定性,可综合实施MSTP生成树、生成树边缘端口、链路单向检测等技术。
通过运行MSTP生成树协议,可以解决因拓扑变化STP重新计算引起的局部网络中断问题以及因某个VLAN拓扑变化引起整个STP重新计算的问题。
MSTP(Multiple Spanning Tree Protocol,多生成树协议)可以弥补STP和RSTP的缺陷,它既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。
MSTP的特点如下:
MSTP设置VLAN映射表(即VLAN和生成树的对应关系表),把VLAN和生成树联系起来。通过增加“实例”(将多个VLAN整合到一个集合中)这个概念,将多个VLAN捆绑到一个实例中,以节省通信开销和资源占用率。
MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载分担。
MSTP兼容STP和RSTP。
接入交换机的端口设为生成树的边缘端口,通过此种方法,可以避免终端设备接入时,发生由于STP状态变化引起的延时连通现象。
在运行生成树的网络中,当网络拓扑变化时,边缘端口不会产生临时环路。因此,用户如果将某个端口指定为边缘端口,那么当该端口由堵塞状态向转发状态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间。
本项目选用的交换机均具有DLDP(Device Link Detection Protocol,设备连接检测协议),实现光纤单向失效检测(即收发两方向上的一对光纤中有一根失效),解决因光纤单向链路失效引起反复的STP和OSPF计算带来的性能和连通性问题。
DLDP协议有如下特点:
ü DLDP是链路层协议,它与物理层协议协同工作来监控设备的链路状态。
ü 物理层的自动协商机制进行物理信号和故障的检测;DLDP进行对端设备的识别、单向链路的识别和关闭不可达端口等工作。
ü 当使能自动协商机制和DLDP后,二者协同工作,可以检测和关闭物理和逻辑的单向连接,并阻止其他协议(如:STP协议)的失效。
ü 如果两端链路在物理层都能独立正常工作,DLDP会在链路层检测这些链路是否正确连接、两端是否可以正确的交互报文。这种检测不能通过自动协商机制实现。
为了解决企业网络以及多业务管理带来的问题,我们配置有相应的网络管理系统,部署H3C公司的智能管理中心(H3C Intelligent Management Center,以下简称:H3C iMC)。
我们采用H3C iMC统一的管理平台,并配置有管理平台、实现对整个网络系统的统一管理,网络管理具有拓扑、故障、性能、配置和图形化设备管理等功能,同时,H3C iMC采用B/S架构,更为方便的通过远程方式对网络的状态进行监控和维护。
H3C iMC是H3C公司凭借多年网络管理产品的研发经验和对网络管理的深刻理解,推出了新一代的网络管理产品。H3C iMC以业务管理和业务流程模型为核心,采用面向服务(SOA)的设计思想,按需装配的组件化结构,提供网络业务、资源和用户的融合管理解决方案,帮助用户实现网络业务的端到端管理。
H3C iMC智能管理平台不仅可以实现H3C全线数据通信产品的管理,也可通过标准mib实现对Cisco、3com等各主流厂商的数据通信设备管理。
iMC资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。
n 网络自动发现
可以通过设置种子的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑,自动识别包括:路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内的多种类型网络设备;
多种自动发现方式
自动识别多种设备类型
n 网络手工管理
可以手工添加、删除网络设备,可以批量导入、导出网络设备,批量配置Telnet、SNMP参数,以及批量校验Telnet参数等辅助功能;
n 网络视图管理
支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图,用户可以从不同角度实现整个网络的管理;
n 网络设备的管理
从任何一种网络视图入口,都可以实现对网络设备的管理,包括:支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等,用户可以方便的实现所有设备的管理;
n 设备及业务管理系统的集成管理
支持对H3C、CISCO、3COM等主要厂家设备的管理,支持手工添加设备厂商、设备系列及设备型号;支持设备面板管理的动态注册机制,实现与各厂家设备管理系统的有效集成;支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成,实现设备资源的统一管理;
n 设备分组权限管理
支持设备分组功能,通过对设备资源进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离;
iMC拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。
n 拓扑自动发现
H3C iMC可以自动发现网络拓扑结构,支持全网设备的统一拓扑视图,通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构(具体参见资源管理),并且可以将非SNMP设备发现出来,只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围(只要设备IP可达)。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来,同时可以保存为自定义拓扑图并可根据具体情况进行修改以便于网管员对整个网络设备的监控。
支持对全网设备和连接定时轮询和状态刷新,实时了解整个网络的运行情况,并且刷新周期是可定制(刷新周期:60~7200秒),同时也支持对多个设备的刷新周期进行批量配置的功能。
n 支持自定义拓扑
传统的网络管理软件大多支持自动发现网络拓扑的功能,但是自动发现后的网络拓扑往往是很多设备图标的简单排放,不能突出重点设备和网络层次,使网络管理人员感觉无从下手。
针对这种情况,H3C iMC的拓扑功能支持灵活的自定义功能,管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑,可对拓扑图进行增、删、改等编辑操作,使网络拓扑能够清晰地呈现整个企业的网络结构以及IT资源分布。
H3C iMC支持灵活定制拓扑图,使网络拓扑更有重点和层次感。管理员可以按照关注设备不同,管理角度不同定义多种拓扑,并可以针对拓扑不同选择不同的背景图;管理员可以根据网络设备的重要性不同,链路速率不同采用合适的图标显示。例如:对于企业网,用户可以定制企业分布图、办公楼内网络分布图、制造管理中心内网络分布图等等。
n 自动识别各种网络设备和主机的类型
H3C iMC可以自动识别H3C、华为、Cisco、3com等厂商的设备、Windows、Solaris的PC和工作站、其他SNMP设备和ping设备,并且以树形方式组织,以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进行区分,如区分路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC等等。
n 设备状态、连接状态、告警状态等信息在拓扑图上的直观显示
H3C iMC的拓扑功能与故障管理和性能管理紧密融合,使拓扑图能够清晰地看到企业IT资源的状态,包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障,根据节点图标颜色反映设备状态。
n 拓扑能提供设备管理便捷入口
H3C iMC拓扑能够提供对设备管理的便捷入口,管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能,实现对设备的面板管理等各项功能配置。
故障管理,即告警/事件管理,是H3C iMC的核心模块,是iMC智能管理平台及其他业务组件统一的告警中心。如下图所示,以故障管理流程为引导,介绍H3C iMC强大的故障管理能力:
n 告警发现和上报
iMC告警中心可以按收各种告警源的告警事件,包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等;同时通过支持对设备定时轮询,实现通断告警、响应时间告警等,以告警事件的方式上报给H3C iMC告警中心;
设备告警包括电源电压、设备温度、风扇等告警事件,设备冷启动、热启动、接口linkdown等重要告警事件,路由信息事件(OSPF,BGP)变化,热备份路由(HSRP)状态变化等告警事件,支持对H3C、CISCO、华为、3COM等多厂商设备告警的识别和解析;
网管站告警指包括本级iMC系统集群服务器的异常告警,包括CPU利用率、内存使用率、iMC服务程序运行状态等以及下级iMC系统上报的告警事件;
网络性能监视包括CPU利用率,内存使用率,以及RMON告警的故障管理。
网络配置监视告警包括设备软件版本、配置信息变更等告警事件,并通过iMC智能配置中心组件(iMC iCC)实现配置文件定期检查,实现配置变更告警事件。
网络流量异常监视告警通过iMC 网络流量分析组件(iMC NTA)实现网络中异常流量告警,包括对设备及接口异常流量、主机IP地址异常流量和应用异常流量的告警,支持二级阈值告警定义;
终端安全异常告警通过iMC端点准入防御组件(iMC EAD)实现对终端用户安全异常的告警,包括ARP攻击告警、终端异常流量告警及其他终端不安全告警;
iMC定期轮询告警指通过iMC的资源管理模块对设备接口信息定时进行轮循,并及时上报通断告警、响应时间告警等告警事件。
n 告警深度关联分析与统计
iMC告警中心根据告警脚本中的告警事件定义,接收并解析上报的告警事件;
H3C iMC对接收到的告警事件进行深度关联分析,系统缺省支持重复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警,并能在故障恢复时自动确认相关告警;同时用户可以根据自己的需要确定事件的告警规则,以适应网络管理需要。
重复事件阈值告警:屏蔽重复接收到的相同事件,并可在达到阈值条件时产生新告警通知用户。
闪断事件阈值告警:分析接收到的闪断事件,并可在达到阈值条件时产生新告警通知用户。
未知事件阈值告警:屏蔽接收到的未知事件,并可在达到阈值条件时产生新告警通知用户。
未管理设备告警阈值告警:屏蔽接收到的未管理设备事件,并可在达到阈值条件时产生新告警通知用户。
自定义事件过滤规则:用户自定义的事件过滤规则,用户可指定在什么时间范围内、对什么样的告警进行过滤。
iMC系统预定义缺省支持各类深度分析后告警事件关联升级为告警的生成规则,同时,管理员可以自定义由告警事件升级为告警的规则,可从事件、事件关键字、事件源、时间范围四个方面进行规则定义,一旦定义事件升级为告警规则后,iMC告警中心会根据定义的规则关联分析后生成不同级别的告警(告警共分成紧急、重要、次要、警告、事件5个级别;在浏览数据窗口,分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示),将管理员从繁多的告警事件中解脱出来,避免产生告警风暴,让管理员能专心关注告警的根源。
n 实时告警
H3C iMC提供多种方式将告警通知给管理员,包括:
实时远程告警:通过手机短信或Email邮件的方式,将告警及时通知管理员,实现远程网络的监控和管理;
分类、声光告警板,按故障类别及等级实时告警,让管理员通过告警板不但及时知道告警产生,同时可以了解产生的告警的类别和等级:
实时告警浏览和确认,通过告警首页对目前故障未排除的告警实时刷新并提供故障排除确认的入口:
提供系统快照,实时报告网络、下级网络及设备的状态
通过拓扑实现报告网络及设备状态
n 故障解决
H3C iMC对各种故障警均提供“修复建议”,管理员可以参考修复建议对故障进行处理。在故障得到解决后,通过对告警的确认完成故障的恢复确认。
n 固化经验
H3C iMC提供告警知识库。告警知识是用户在维护过程中的经验总结,将这些经验输入系统,下次再出现同样的故障时,可以作为参考。用户选中一条告警记录,系统根据用户选中的告警记录,从告警知识库中查询出该条告警记录的维护经验,供用户进行告警处理进行参考。用户将自己的日常处理经验以及业务信息及时写入数据库、更新告警知识库对以后的故障诊断与排除非常有益。
H3C iMC网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。例如:可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的阈值,当性能超过阈值时,网络以告警的方式通知告警中心:
l 支持At a Glance、TopN功能,用户能够对CPU利用率、流量等关键指标一目了然;
l 提供各类常用性能指标的缺省采集模板;
l 支持实时性能监视,支持二级阈值告警设置,当链路或端口的流量超过阈值,系统将会发送性能告警,使网络管理人员可以能够及时了解网络中的隐患,及时消除隐患。同时为故障定位提供手段;
l 提供基于历史数据的分析,为用户扩容网络、及早发现网络隐患提供保障;
l 支持饼图、折线图、曲线图等多种图形方式,直观地反映性能指标的变化趋势;提供灵活的组合条件统计和查询;性能报表支持导出Html、Txt、Excel、Pdf格式文件:
2.6.5 图形化设备管理
H3C iMC支持对H3C全系列IP产品进行设备管理,提供丰富的管理功能。通过面板管理,网络管理人员可以直观地看到设备、板卡、端口的工作状态,通过设备信息浏览监视,管理人员可以了解设备的运行情况,实时监视CPU利用率、端口利用率等重要信息。同时,H3C iMC提供图形化的配置方式,使设备功能配置不再复杂。
H3C iMC向用户提供了完善的网元管理功能,通过逼真的面板图片,直观地反映了设备运行情况。
l 通过面板图标直观地反映设备的框、架、槽、卡、风扇、CPU、端口等关键部件的运行状态;
l 能够查看、设置设备端口状态;
l 能够查看路由、VLAN等配置信息;
l 能够查看端口流量、丢包率、错包率等关键统计数据;
l 支持对H3C交换机堆叠能力的管理;
l 通过Ping、Traceroute等功能测试当前网络链路的健康状况;
l 支持从设备列表、设备详细信息、拓扑等多个入口打开设备面板。
H3C iMC网络配置中心iCC主要提供设备配置文件管理、设备升级管理及统一部署任务管理。
n 设备配置库管理
当网络规模较大时,网络管理员的配置工作将十分繁重,如果没有好的配置系统,管理员就只能手动进行配置下发及配置备份。这样就给管理员管理、维护网络带来一定的困难,尤其是当网络瘫痪时,大量设备配置需要恢复,导致维护成本大大增加。
H3C iMC iCC组件提供配置库管理功能,帮助管理员对设备配置文件形成基线库,并进行集中管理。
设备配置库包括配置文件和配置片断,配置内容可带有参数,在部署时根据设备的差异设置不同的值。
系统缺省提供常用的配置片断:iCC提供一些常用的基本的配置片断,包括删除SNMP 团体字、添加只读SNMP 团体字、删除 NTP Server、增加 NTP Server、取消本地用户服务级别、取消本地用户服务、删除本地用户密码、删除本地用户、添加本地用户、取消DLDP、修改DLDP、使能DLDP、取消dot1x端口控制、取消dot1x等三十多种配置模板,可以对其进行复制、导出及部署:
管理员可以从指定配置文件/片断导入到配置库中进行管理,也可以从指定设备上读取当前配置并导入到配置库中进行管理。
除从设备导入、从文件导入配置库功能外,管理员可以查看、增加、复制、修改、删除、导出及部署指定的配置库中任何配置文件/片断。
注:配置文件可部署到设备的启动配置或者运行配置;配置片断只能部署到设备的运行配置。
当网络部署完毕,管理员可以通过配置库管理将设备的配置信息保存下来,并进行基线化,这样当设备配置变化或者需要更新配置时,管理员可以参照基线化的配置文件进行修改。
n 设备软件库管理
设备软件版本同设备配置文件一样,其管理方便性直接影响网络维护的工作量。同样iCC提供了设备软件库管理功能,解决对设备软件版本统一管理,并进行基线化。
设备软件的统一管理,包括普通软件、ONU软件、ONU算法等。设备软件库支持设备上各种业务的软件,从而实现设备软件的统一管理。
管理员可以通过设备软件库查看、从文件导入、从设备导入、修改、删除、导出、部署等操作,实现对设备软件的有效管理。
统一的配置向导和部署任务管理
设备软件文件及配置文件通过统一配置向导进行管理,实现软件文件和配置文件的集中部署
通过部署任务集中管理,可以完成任务查看、修改、复制、删除、启动、挂起、恢复等各项操作,任务包括周期性任务、一次性任务和立即任务。
设备软件文件和配置文件管理
管理员可以浏览设备的配置和软件信息,iCC支持四个厂商的设备:H3C、3COM、华为和MARCONI
管理员可以查看设备当前的软件版本和软件库中最新可用的软件,更新设备的软件,从而方便的对设备软件进行升级
管理员可以查看设备最新备份配置的时间,手工备份设备的配置文件,方便的对指定设备进行手工备份
管理员可以查看设备是否进行自动备份,增加自动备份设备,设置自动备份设备和周期,方便的将指定设备加入自动备份中,设置自动备份的设备列表以及自动备份周期
管理员可以查看设备最新的启动配置文件和运行配置文件,从而判断设备的配置是否发生变化
管理员可以通过设备备份配置历史一览,对设备配置文件进行查看、基线化、修改、比较、删除、恢复等操作,配置文件包括三种版本:基线、普通、草稿。
注:配置文件的基线版本只有两个(启动配置一个、运行配置一个),普通版本可升级为基线版本;基线和普通版本配置内容修改后只能另存为草稿版本。
管理员可以比较任意两个配置文件的内容,方便的查看差异部分的内容。
管理员可以通过创建一个恢复任务,恢复设备的某一历史配置或设备某一更新历史的升级前软件版本。
系统安全管理功能主要有包括:操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。
所包含的主要功能有:
n 操作员登录管理
管理员通过制定登录安全策略约束操作员的登录鉴权,实现操作员登录的安全性,通过访问控制模板约束操作员可以登录的终端机器的IP地址范围,避免恶意尝试另人密码进行登录的行为存在,通过密码控制策略,约束操作员密码组成要求,包括密码长度、密码复杂性要求、密码有效期等,以约束操作员定期修改密码,并对密码复杂性按要求设置。
n 操作员密码管理
管理员为操作员制定密码控制策略,操作员仅能按照指定的策略定期修改密码,以保证访问iMC系统的安全性。
n 分组分级权限管理
管理员通过设备分组、用户分组的设置,可以为操作员指定可以管理的指定设备分组和用户分组,并指定其管理权限和角色,包括管理员、维护员和查看员,实现按角色、分权限、分资源(设备和用户)的多层权限控制;同时通过设置下级网络管理权限,可以通过限制登录下级网络管理系统的操作员和密码,保证访问下级网络管理系统的安全性。
n 操作日志管理
对于操作员的所有操作,包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作,都会记录详细的日志。提供丰富的查询条件,管理员可以审计任何操作员的历史操作记录,界定网络操作错误的责任范围。
n 操作员在线监控和管理
系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息,包括登录的主机IP地址、登录时间等,同时,系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。
<一>、 系统安全管理
系统安全管理功能主要有包括:操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。
所包含的主要功能有:
n 操作员登录管理
管理员通过制定登录安全策略约束操作员的登录鉴权,实现操作员登录的安全性,通过访问控制模板约束操作员可以登录的终端机器的IP地址范围,避免恶意尝试另人密码进行登录的行为存在,通过密码控制策略,约束操作员密码组成要求,包括密码长度、密码复杂性要求、密码有效期等,以约束操作员定期修改密码,并对密码复杂性按要求设置。
n 操作员密码管理
管理员为操作员制定密码控制策略,操作员仅能按照指定的策略定期修改密码,以保证访问iMC系统的安全性。
n 分组分级权限管理
管理员通过设备分组、用户分组的设置,可以为操作员指定可以管理的指定设备分组和用户分组,并指定其管理权限和角色,包括管理员、维护员和查看员,实现按角色、分权限、分资源(设备和用户)的多层权限控制;同时通过设置下级网络管理权限,可以通过限制登录下级网络管理系统的操作员和密码,保证访问下级网络管理系统的安全性。
n 操作日志管理
对于操作员的所有操作,包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作,都会记录详细的日志。提供丰富的查询条件,管理员可以审计任何操作员的历史操作记录,界定网络操作错误的责任范围。
n 操作员在线监控和管理
系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息,包括登录的主机IP地址、登录时间等,同时,系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。
3.1核心交换机S7506E-S
产品概述
H3C S7500E(X)系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5操作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。H3C S7500E(X)符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
H3C S7500E(X)系列包括S7510E(12槽)、S7508E-X(14槽)、S7506E(8槽)、S7506E-V(垂直8槽)、H3C S7506E-S(8槽)、S7503E(5槽)、7503E-S(3槽)和S7502E(4槽)8款产品,除了7503E-S所有产品均支持冗余主控。H3C S7500E(X)可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。
丰富的业务,适应融合业务网络发展趋势
基于IRF2(第二代智能弹性架构)技术的虚拟化架构
H3C S7500E(X)面向数据中心技术的演进,推出了IRF2为代表的软件虚拟化技术,提供2-4台主机的协同工作、统一管理和不间断维护功能;IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2所提供的高可靠性和无缝升级、扩展能力,也成为H3C用户增值服务的重要组成部分;另外H3C 的IRF2虚拟化技术还可根据组网的要求支持长距离(80KM)的普通以太网万兆光纤堆叠。
全面的MPLS、VPLS业务能力
H3C S7500E(X)所有产品均支持Multi-VRF特性,可以作为MCE设备使用;支持三层的MPLS VPN和二层的MPLS VPN(Martini、Kompella);支持MPLS OAM特性,方便用户的管理和维护;与H3C MPLS VPN Manager配合,实现图形化的MPLS部署与维护。
全面支持VPLS,VLL,还支持分层VPLS以及QINQ+VPLS接入方式,提供端到端2层VPN接入方案,支持MPLS/VPLS全线速转发,满足VPLS规模部署要求。
高性能IPv4/IPv6业务能力
H3C S7500E(X)支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7500E(X)采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C S7500E(X)已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证,是成熟商用的IPv6产品。
有线无线一体化,有源无源一体化
H3C S7500E(X)集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3C S7500E(X)是业界最高密度的以太网无源光网络(EPON)设备, 其提供高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
EAD端点准入防护技术
H3C S7500E(X)支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
全方位的安全保障,抵御多种网络安全威胁
三平面安全保障机制
H3C S7500E(X)提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSH V2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E(X)还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。
有线无线全面支持EAD
H3C S7500E(X)是EAD端点准入防御解决方案的重要组成部分,S7500E(X)可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E(X)既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。
增强的ACL特性
H3C S7500E(X)系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,满足金融等行业访问权限严格控制的需求。
电信级的高可靠性,保障用户业务长期稳定运行
电信级高可靠性设计
H3C S7500E(X)采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E(X)系列可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性。
多业务高可靠性运行
H3C S7500E(X)支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E(X)可以在承载多业务的情况下不间断运行,实现业务的永续。
基于IRF2架构的HA
IRF2技术可以把多台S7500E(X)虚拟成一个“联合设备”,使用和配置都如同一台机器,而且扩展端口数量和交换能力,同时也通过多台设备之间的互相备份增强了设备的可靠性,提供毫秒级的链路收敛能力。简化了管理过程,降低管理成本,并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制,实现毫秒级链路故障检测。
3.2接入交换机S5120-EI
产品概述
H3C S5120-EI系列交换机是H3C公司自主开发的全千兆以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF2(智能弹性架构)功能,用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。
S5120-24P-EI
S5120-48P-EI
S5120-28C-EI/S5120-28C-PWR-EI
S5120-52C-EI/S5120-52C-PWR-EI
H3C S5120-EI系列以太网交换机目前包含如下型号:
S5120-24P-EI:24个10/100/1000Base-T以太网端口,4 个复用的SFP 千兆端口(Combo);
S5120-48P-EI:48个10/100/1000Base-T以太网端口,4 个复用的SFP 千兆端口(Combo);
S5120-28C-EI:24个10/100/1000Base-T以太网端口,4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
S5120-52C-EI:48个10/100/1000Base-T以太网端口,4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
S5120-28C-PWR-EI:24个10/100/1000Base-T以太网端口(PoE),4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
S5120-52C-PWR-EI:48个10/100/1000Base-T以太网端口(PoE),4 个复用的SFP 千兆端口(Combo),两个扩展槽位
产品特点
高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条10GE链路将是我们的未来发展方向。S5120-EI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
S5120-EI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管,实现IPv4到IPv6的平滑升级。
智能弹性架构
H3C S5120-EI系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处:
简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。
高可靠 IRF的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。
高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能
完备的安全控制策略
H3C S5120-EI系列交换机支持EAD(终端准入控制)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3C S5120-EI系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证,防止非法用户登录网络。支持集中式MAC地址认证,可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相应的策略,例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2(SSH V2)特性可以提供安全的信息保障和强大的认证功能,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。
丰富的QoS策略
H3C S5120-EI系列交换机支持支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式。支持CAR功能,粒度最小达64Kbps。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。
出色的管理性
H3C S5120-EI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMPv2集群管理,使设备管理更方便,并且支持SSH2.0等加密方式,使得管理更加安全。
H3C S5120-EI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。
增强的以太网供电功能(PoE+)
H3C S5120-EI系列交换机支持增强的以太网供电功能(PoE+),PoE供电款型可以提供每端口最大30W的输出功率,可以为802.11n的无线接入点,可视IP电话,以及更多的终端设备提供以太网供电能力。
3.3出口设备H3C MSR3640
产品概述
随着云业务大规模的应用,广域网为支持这些应用也出现了重大变革,用户对于传统路由设备提出了新的需求,其主要体现在以下几个方面:
网络性能需求。在基本的带宽、性能和可靠性需求基础之上,更加关注网络时延、抖动等网络指标以保证业务在云广域网络中的体验
网络安全需求。伴随着无线通信接入技术的进一步发展,网络接入终端形态已由单一的PC发展为多元化的智能终端、PAD、扫描枪等丰富的终端接入形态,BYOD(Bring your own devices)日趋风行,网络安全边界被打破,客户对于网络设备的安全性提出了更高的要求
网络管理需求。客户需要更加简单、自动化的管理手段,简化网络设备和承载应用的配置、变更、管理与维护,并能对对网络设备进行自动化部署和管理,以提高效率和降低管理成本
云支撑技术需求。网络设备要具备丰富的云网络和云计算的支撑技术以满足云网络应用和计算的需要,如有关虚拟化、开放式架构平台等技术
面临这种机遇和挑战,H3C公司依靠十多年对企业网和运营商网络的深入理解以及扎实技术的积累,开发了MSR3600多业务路由器。MSR3600既可作为中小企业的出口路由器,也可以作为政府或企业的分支接入路由器,还可以作为企业网VPN、NAT、IPSec等业务网关使用,与H3C的其他网络设备一起为政务、电力、金融、税务、公安、铁路、教育等行业用户和大中型企业用户提供全方位的网络解决方案。
H3C公司是业界最早提出路由交换一体化理念并成功付诸实践的网络厂家,目前路由交换一体化设备已经在很多领域得到了普及推广应用,特别是金融、政府、教育及中小企业等行业。为进一步巩固和深化路由交换一体化设备的应用成果,H3C公司在MSR3600系列设备中增加了高性能、高密度和全千兆的路由交换一体化设备,该设备既满足用户对于路由交换一体化设备的新要求,又符合网络设备发展的趋势,有利于保护用户的投资。
MSR3600多业务路由器产品包括:MSR 36-10、MSR 36-20、MSR 36-40、MSR 36-60、MSR3600-28和MSR3600-51路由器。
H3C MSR 36-10路由器
H3C MSR 36-20路由器
H3C MSR 36-40路由器
H3C MSR 36-60路由器
H3C MSR3600-28路由器
H3C MSR3600-51路由器
产品特点
先进的技术支撑
采用H3C成熟的Comware网络操作系统,提供更智能的业务调度管理机制,支持业务模块化的松耦合,并能实现进程和补丁的动态加载
卓越的高性能多核CPU处理器,极大提升多业务并发处理能力
支持OAA开放式应用架构,支持云业务平台CVK、VMWARE、广域网优化(WAN)、Lync协同办公、客户第三方的业务等开放式应用
自主创新的智能链路引擎CUBE技术,不仅提升了SIC卡的总线带宽,还可以自动灵活分配接口资源
强大的安全功能
业务安全
报文过滤功能,支持状态过滤、MAC地址过滤、IP和端口号过滤、时间段过滤等
支持业务流量实时分析等
网络安全
多样化的VPN技术,包括IPsec、L2TP、GRE、MPLS VPN,以及多种VPN技术的叠加使用
支持路由器协议的安全防护,支持OSPF/RIP/IS-IS/BGP动态路由协议认证、支持OSPFv3/RIPng/IS-ISv6/BGP 的IPSec加密、 支持丰富的路由策略控制功能
终端接入安全
一体化的终端接入绑定认证,包括EAD安全检查认证、802.1x认证、终端MAC地址认证、 基于WEB的Portal认证、终端接入静态绑定、MAC自动学习绑定
ARP攻击防范,支持源MAC地址固定、ARP报文攻击防范、地址冲突检测和保护、ARP端口限速、ARP Detection、ARP源MAC地址一致性检查、ARP源抑制、ARP主动确认机制等
设备管理安全
支持基于角色权限管理,能够基于角色进行资源分配、用户与角色的对应、权限二维分配方式
支持控制平面流量限制,支持基于协议类型、不同队列、已知协议报文、指定协议报文等进行流量控制和过滤
远程安全管理,支持SNMPv3、支持SSH、HTTPS远程管理等
管理行为控制审计,支持AAA服务器集中验证、执行命令行授权、操作记录实时上报等
精细化业务控制
通过精细化识别和精细化控制,实现对应用层业务的限速、带宽保障、过滤等功能,并通过精细化统计指导网络优化
业务智能选路通过非对称链路负载分担、流量智能负载分担和多拓扑动态路由等技术,实现不同场景下充分利用网络链路,支持基于带宽比例的负载分担、基于用户和用户组的负载分担和基于业务和应用的负载分担
支持基于多种方式下网络带宽的弹性共享,包括基于业务的弹性共享、基于用户和用户组的弹性共享、基于链路的弹性带宽共享和基于用户的带宽限制
智能化网管
完善的网络管理方式,支持命令行、SNMP等方式
支持零配置部署,可实现零配置方式下的批量设备开局,通过无线短信实现设备的零开局,并且在误配置时可自动实现设备配置的回退
Comware内置的EAA功能,对系统软硬件部件的内部事件、状态进行监控,出现问题时收集现场信息并尝试自动修复,并能将现场信息发送到指定的Email邮箱
支持U盘系统自动启动、U盘配置自动导入和USB Console接口
高可靠性
独立硬件处理模块监控系统,可编程器件支持在线升级和自动加载,增强产品的可靠性
链路毫秒级快速故障侦测技术(BFD),可实现同静态路由、RIP/OSPF/BGP/ISIS动态路由、VRRP和接口备份的联动
网络业务质量智能检测技术(NQA),可实现同静态路由、VRRP和接口备份的联动
支持多设备的冗余备份和负载分担(VRRP/VRRPE)
支持快速重路由、GR/NSR等可靠性技术
绿色环保
完全满足RoHS标准
先进的风道隔离设计,电源与系统风道隔离设计,独特的双L形风道设计,电源风道与系统风道两个L型风道提高了空间利用率
风扇级冗余备份设计,多级风扇调速方案,系统会根据产品内部温度确定系统需要的风扇转速,最大可能的降低了风扇噪音与能耗
智能节电管理,灵活定义HMIM/主控板/转发板节电策略,最大限度地降低设备能耗
产品概述
H3C SecBlade FW是业内第一款万兆高性能防火墙模块,可应用于H3C S5800/S7500E /S9500E/S10500/S12500交换机以及SR6600/SR8800/CR16000路由器。SecBlade FW集成防火墙、VPN、内容过滤和NAT地址转换等功能,提升了网络设备的安全业务能力,为用户提供全面的安全防护。
H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能,有效的保证网络的安全。采用H3C ASPF(Application Specific Packet Filter)应用状态检测技术,实时检测应用层连接状态,实现2-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
SecBlade FW模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。
产品特点
高性能万兆线速
采用先进的多核硬件结构,提供无以伦比的万兆线速安全防护,是业内最早、最成熟的万兆安全防火墙业务模块。
全面的安全防护
支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ActiveX Blocking和SQL注入攻击等威胁的防范;可以有效的识别和控制网络中的各种P2P应用;支持静态和动态黑名单、MAC绑定、安全区域控制、系统统计等安全功能。
丰富的VPN特性
集成IPSec、L2TP、GRE等多种成熟VPN接入技术,保证移动用户、合作伙伴和分支机构安全、便捷的远程接入。
全面NAT应用支持
提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等多种NAT应用方式。提供DNS、FTP、H.323、NBT等NAT ALG功能,支持多种应用协议正确穿越NAT。
先进的虚拟防火墙
支持先进的虚拟防火墙技术,通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题,简化了网络管理的复杂度。
降低运营成本
直接在H3C交换机、路由器中增加SecBlade FW模块,即可扩展交换机、路由器的防火墙功能。通过与交换机或路由器共用管理平台,降低了管理难度。并且交换机的任何端口都可以作为SecBlade FW模块的端口使用,从而降低用户成本。
高可靠性
SecBlade FW业务模块作为业务插卡嵌入H3C交换机或路由器中,降低了单点故障,保证了网络的高可靠性。
|