1、南昌和平國際大酒店智能化及弱電系統安裝工程計算機網絡系統技術方案泰豪科技股份有限公司目 錄1 系統概述11.1 需求分析11.2 設計概述12 系統設計22.1 方案特色功能22.2 酒店網絡安全設計42.3 配置及管理52.4 酒店網絡部署解決方案82.4 主要設備參數151 系統概述1.1 需求分析系統需要滿足以下需要：客人上網、管理人員管理及辦公應用、各弱電子系統網絡應用、會議網絡需求、無線上網；Internet訪問權限控制辦公網：靜態分配IP地址，只有指定客戶端可以訪問Internet，前臺等客戶端不能訪問Internet。客房網：無需認證即可訪問Internet，通過DHCP分配IP

2、地址。防ARP欺騙及攻擊由于無法限制客人的電腦，客房網中經常會出現ARP攻擊，導致大部分客人無法正常上網。需要在接入交換機做隔離，并且在路由器中啟用防ARP欺騙。上網行為監控依據互聯網安全保護技術措施規定公安部第82號令，公安部要求所有提供上網服務的酒店都必須提供必要的互聯網安全保護措施，必須安裝相應的安全管理軟件。目前酒店普遍采用為每個房間劃分一個VLAN，通過對應的VLAN ID來識別房間號，完成用戶上網行為的記錄、跟蹤、分析，實現各種條件下的查詢功能。1.2 設計概述為酒店的各種服務的開展和設備管理提供一個安全、穩定、快速的信息交換平臺，網絡系統需要具備強大的交換能力和可靠的安全性措施。

3、客房部分需要為客人提供高速的、可選性高的網絡服務，對網速有較高的要求，需要具備完善的管理功能，規劃為：有線和無線結合的方式，在所有區域建設無線網絡覆蓋，提供可管理的無線上網業務，建設千兆到桌面的有線網絡。網絡確保每個信息點都能接入。網絡核心設備要求高處理能力，網絡結構設計簡潔，方便管理。辦公樓層的網絡系統應該和酒店部分獨立考慮，本次網絡系統設計不包含辦公樓層部分。2 系統設計2.1 方案特色功能方便的流量監管功能一：對用戶行為的監管支持流量鏡像功能，用戶上網行為可監控與分析大量VLAN對應房間號，便于監控與追溯功能二：對用戶流量的監管可即時監控IP、MAC對應的流量，在流量異常的情況下能很方便

4、的查出異常的來源，方便故障檢測及網絡維護。VLAN隔離功能酒店解決方案的VLAN功能使組網方面更加靈活，同時支持三層VLAN隔離可以保證酒店網絡控制更方便。酒店解決方案采用每個房間對應一個VLAN的方式，保證每個客房的網絡的相對獨立，互不干擾，保證客人上網的信息安全。強推門戶功能客人上網的同時自動先打開酒店的門戶網站。智能QOS100k100kPC流量PC流量酒業務閑時酒業務忙時PC不受帶寬限制，可搶空閑帶寬每臺P酒店解決方案支持多種策略的服務質量保證功能，可以針對IP地址、端口、流量類型進行帶寬保證。例如：優先高檔客房電腦的上網速度，為他分配專用帶寬，保證關鍵客戶業務。優先保證酒店OA和EM

5、AL業務帶寬，讓酒店正常業務不受干擾。將BT等下載業務設為最低優先級，不干擾酒店正常業務。酒店解決方案特有的智能QoS，繼承了傳統QoS的優點，進一步實現了空閑帶寬的合理利用。當某IP有流量時，和傳統QoS處理方式相同；當此IP沒有流量時，其他IP可以自由使用分給它的帶寬。2.2 酒店網絡安全設計防火墻快速設置防火墻酒店解決方案包括智能防火墻功能，管理員可以根據入站和出站通信策略設定多種策略的訪問控制；支持MAC/IP/時間/流量類型等進行靈活設置。支持防火墻的安全等級設置，包括高、中、低三個級別，企業可以根據各個級別預先定義快速設置防火墻功能。基于IDS防范酒店解決方案支持防常見攻擊和防端口

6、掃描功能，能夠阻止企業網絡遭受外界黑客的惡意攻擊。防止常見DOS攻擊限定帶黑客防火墻源地址與目的地址都設成你的地址，看你何招架!Intrnet偽造大量的SYN報文，我是收不到給我的ACK報為了防止客房網攻擊，通常會使用路由器+防火墻的組網。防ARP欺騙ARP欺騙一：PC機假冒網關通過定時發送免費ARP，更新網絡主機上被攻擊篡改了的網關MAC地址，保證主機與網關之間的通信。PCDHP服務器DCP請求紀錄MACIP關系造ARPIP-MA通過授權ARP，只容許靜態ARP和DHCP分配的ARP表相中的IP地址通過，從而防止PC機IP與MAC的欺騙。防止惡意JAVA網站冒PC機Jva阻擋這些都是訪問過帶

7、有惡意Java代碼在web界面中其中“Java Blocking”功能。還可以記錄日志，看看那些惡意網站2.3 配置及管理有線無線一體化配置管理目前基本所有的星級酒店網絡都是有線無線一體化的網絡，這套系統能夠把整個網絡包括有線無線在同一個網絡管理軟件下進行配置管理。分級用戶管理根據操作設備的用戶權限不一樣，分配不同的用戶名、密碼基于IP和時間段的訪問控制酒店對員工上網的控制要求有：一、按部門：不同的部門訪問網絡的權限不一樣，銷售部業務要求一定要訪問網絡，財務部門為了信息安全一定不能訪問公網。二、按業務：某些部門的人只需要收發郵件，某些部門的人只需要進行www訪問。三、按時間：周一到周五上班時間

8、不能上網，其它時間可以上網。基于MAC地址的訪問控制1、局域網內是DHCP動態分配IP地址，每次PC獲得的IP不相同，所以無法根據IP地址來進行限制。2、即便靜態設置IP，PC機也可私自更改本機IP地址來上網。3、由于MAC地址是固化的，無法更改，所以可以通過MAC地址對訪問進行控制。通過VLAN劃分的訪問控制酒店不同部門、不同層級對網絡的訪問的有不同的要求，我們能夠通過劃分不同的VLAN控制訪問權限來滿足不同的要求。控制通信控制：防止QQ、MSN98%的中國企業中都有員工至少在使用一種形式的聊天工具(CCID Research)辦公室聊天，嚴重影響正常工作78%的即時消息用戶曾因為QQ/MS

9、N而中病毒，并且有泄漏公司機密的問題存在QQ/MSN中的鏈接很可能帶木馬，病毒等限制P2P軟件ICG支持深度應用識別（DAR）功能，目前能夠識別BT、eDonkey、 eMule等多種網絡上常見的應用業務流，而且識別能力還在持續不斷的增強；上下行速率控制屏蔽了。300K400K500K800KDepartmet #1Departmet #2Departmet #3Boss OficeServer armsIntrnet電信2M即可以對網段進行限速，也可以對單個IP速率限制能給客戶帶來的好處：1、按部門類別劃分帶寬：按照IP地址段來規劃部門，按照對網絡的需要程度來分配帶寬。比如192.168.1

10、.30-192.168.40是IT部門，則可以針對這個網段分配上行200K，下行1M的帶寬。2、防止帶寬濫用造成掉線：如果局域網內有人用下載工具或者在線看電影，會導致帶寬被少數人占用完，其他人無法上網。可以對每個PC機的最高速率進行限制。酒店解決方案特點和優勢高可靠：設備冗余、雙主控、雙電源、鏈路冗余、NSF/GR高安全：房間vlan隔離、交換機端口隔離、防ARP欺騙高速：全千兆到桌面、線速交換高擴展性：模塊化結構、設備容量平滑擴展、無線網絡平滑擴展網絡可控：端口限速、非法軟件限制高性價比：性能、價格、穩定性均衡統一管理：一網多用、統一管理鏈路診斷：準確查明線纜/光纜損壞地點，節省維修費用2.

11、4 酒店網絡部署解決方案酒店網絡邏輯關系行限速。客房網內部辦公寫字樓區廣域網酒店網絡分支Y分支X數據中心公眾用戶為公眾用戶提供服務對外業務酒店辦公業務管理系統訪問Interet業務酒內部業務酒門戶網站廣域網PN業大堂內部數據外部數據大堂、客房網、辦公之間邏輯隔離，分別對不同區域業務進行授權，如大堂不能上網。客房不能訪問酒店內部辦公網絡，酒店內部辦公網絡可以通過VPN和其他分支酒店協同辦公。寫字樓區也可以通過VPN連接公司內部網絡。酒店常用方案建議配置名稱設備選型特點核心交換機ZTE ZXR10 8905插槽式交換機萬兆插槽式交換機，893Mpps 轉發性能可以達到所有端口線速轉發，性能強勁可配

12、置標準802.1QVLAN（非端口VLAN）支持統一網管管理，管理更容易接入交換機ZTE ZXR10 5200全千兆交換機全千兆交換機，可以達到所有端口線速轉發，性能強勁可配置標準802.1QVLAN（非端口VLAN）支持Web管理，管理更容易網絡管理U31網絡管理軟件能夠對有線無線進行統一化管理出口防火墻ZTE US1612防火墻專業防火墻產品可配置802.1Q標準VLAN（非端口VLAN）支持IPSec VPN功能提供流量分析業務無線控制器W908專業無線控制器產品無線APW812主流無線AP，支持802.11b/g模式，可升級到802.11n模式組網方案在接入層交換機上劃分VLAN，將酒

13、店辦公網與客房網隔離，控制酒店管理系統及Internet訪問權限。酒店辦公網分配靜態IP。在核心層交換機上啟用端口鏡像，將所有出口數據鏡像到監控服務器，滿足公安監控需求。核心支持802.1Q VLAN，做VLAN終結，并且開啟防ARP欺騙。酒店公共區及會議室區提供無線瘦AP，支持無線接入方式。且瘦AP產品特性為酒店提供可控、可靠、安全的網絡。無線部署傳統酒店的日常運作業務都可以通過網絡傳輸數據來實時實現，如房間預訂、開房結算、消費掛帳等，帶來的是明顯效率的提高；并且在房間里接通了有線網絡，客人直接訪問內部局域網服務器及Internet，給酒店帶來的是綜合競爭力的提高。有線帶來的好處顯而易見，但

14、其帶“尾巴”的先天局限也是無法克服的。有線接入位置固定，通常應用于無需移動的固定終端接入網絡，并提供增值業務；但酒店實際運營中大部分業務無法固定在同一個地點實施，如服務員清理房間調度，服務員工作時會在各個樓層不同房間中移動，傳統的方式通過各樓層值班人員人工呼叫或者對講機呼叫，人工呼叫效率低下，而對講機呼叫在樓層之間傳輸距離有限，應用WLAN網絡構建WiFi Phone體系是最合適選擇。WLAN解決方案傳統酒店中：查房、服務調度通過座機或對講機、運營商無線電話實現；服務員工作時需要離開座機，而對講機在室內穿越障礙物傳輸能力有限，帶來效率低下、成本過高；餐廳、茶座點餐通常是手工錄入，高峰期無法充分

15、利用時間、效率低下；只有客戶房間里提供有線接入網絡，賓館內部茶座、大廳無法訪問網絡；有線網絡的建設往往要在房間中打孔穿洞，施工復雜而漫長，耽誤酒店的正常運營；WLAN構建網絡具有其先天優勢，所有客戶端可以隨時隨地接入到網絡，不受端口位置和線纜長度所限制，目前能夠作為終端設備與AP通信的設備包括PC電腦、PDA終端、WiFi語音電話；構建酒店賓館無線局域網，可以實現：內部運營IP電話，WiFi Phone to WiFi Phone、WiFi Phone to IP Phone，實現樓內業務調度語音化，整棟大樓里漫游切換實現；餐廳、茶座PDA終端實現點餐電子化，一次認證多次接入；大廳、茶座等公共

16、場合提供給客戶無線接入服務，訪問Internet；如果涉及到運營時有用戶認證的需求，還可提供專用GUEST用戶，具備基本的訪問權限；和平國際大酒店WLAN介紹酒店的WLAN網絡，基于規模的大小和客戶對于運營增值業務的要求，可以有兩套完整的解決方案：FAT AP和FIT AP解決方案。在南昌和平國際大酒店中采用FIT AP解決方案傳統的FAT AP解決方案，采用AP接入有線交換機，所有AP可視作等同于以太網交換機的設備一樣管理，這樣的網絡特點是管理簡單、方便，小規模網絡成本較低，比價適合中小型的賓館構建WLAN網絡。一般具備以下特性：全面支持802.11i安全機制、802.11e QoS機制、8

17、02.11f切換機制大范圍覆蓋：高接收靈敏度，達到-97dBm（普通AP-95dBm），保證更遠覆蓋多VLAN支持：虛擬AP方式支持多VLAN，最多支持8個虛擬SSID的VLAN劃分，每個VLAN用戶可以獨立認證兼作網橋使用：WDS模式支持PTP、PTMP工作模式；支持連接速率鎖定、傳輸報文整合，提高傳輸效率負載均衡：支持基于用戶數的負載均衡、基于流量的負載均衡 多種認證和計費方式：可以對上行和下行業務流作計費；支持預付費業務，在用戶余額不足時主動切斷網絡連接；對于每個SSID能夠配置是否需要計費，能夠只進行認證，而不計費適應室外惡劣應用環境：支持室外機箱，并內置防雷防雨防凍套件，充分考慮到室

18、外安裝工程需求FIT AP方案是在FAT AP基礎上發展起來的一種新興模式，除了AP之外，網絡中還引入了Wireless Switch（無線交換機/無線控制器）作為中央集成控制設備實現對整網AP的管理控制，除了傳統WLAN網絡能夠實現的無線接入基本功能之外，能夠提供基于三層的漫游切換、基于用戶名的權限區分，并可對無線射頻環境進行監控，防止未授權的非法AP和客戶端接入網絡。適用于大型賓館復雜的增值業務需求，具備以下特性：快速漫游：在WLAN覆蓋區域內快速切換，用戶信息和授權可無縫漫游，保持業務（數據、語音、視頻）完整性、連續性。用戶、MAC 以及 VLAN組：將 AAA 策略分配給用戶、子網或設

19、備組，以便進行方便、有效、高性價比的 WLAN 管理。 基于用戶身份的組網：提供基于用戶身份的所有服務，以使用戶在漫游時具有諸如虛擬專用組成員資格、訪問控制列表 (ACL)、認證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權等內容；還可跟蹤用戶的具體位置及當前使用業務情況。 AP零配置安裝：接入點無需準備預設置，更換的 AP 從無線 LAN 交換機或控制器繼承配置信息；全面的AP控制和管理：所有屬性如通道編號、功率、SSID 和安全設置都由無線交換機或無線控制器集中處理控制；靈活的拓撲結構： Wireless Switch與AP之間跨越L2、L3網絡靈活的拓撲結構；無線交換機管理軟件WXM：

20、自動覆蓋范圍和容量規劃，并確定設備布局效果；全面控制射頻環境；全面的系統級統計數據和配置變更自動告警；對比有線傳輸解決方案，使用WLAN網絡實現數據傳輸具有以下顯著特點：簡易性：WLAN網絡傳輸系統的安裝快速簡單，可極大的減少敷設管道及布線等繁瑣工作；靈活性：無線技術使得WLAN設備可以靈活的進行安裝并調整位置，使無線網絡達到有線網絡不易覆蓋的區域；綜合成本較低：一方面WLAN網絡減少了布線的費用，另一方面在需要頻繁移動和變化的動態環境中，無線局域網技術可以更好地保護已有投資。同時，由于WLAN技術本身就是面向數據通信領域的IP傳輸技術，因此可直接通過百兆自適應網口和企業內部Intranet相

21、連，從體系結構上節省了協議轉換器等相關設備；擴展能力強：WLAN網絡系統支持多種拓撲結構及平滑擴容，可以十分容易地從小容量傳輸系統平滑擴展為中等容量傳輸系統。覆蓋方案系統在共設計AP73臺。具體的AP布置可參看無線AP平面覆蓋圖，無線AP的布置點表（見綜合布線點表）。注：無線AP的具體位置確定需要結合酒店裝修后情況，采用儀器檢測后確定。走廊直放覆蓋對于一般的客房，由于建筑系統結構簡單，人員密度不高，計劃采用由走廊內獨立AP布點進行覆蓋，在天線選用方面，采用吸頂全向天線，覆蓋效果好，我們在客房部分的走道天花中設計無線AP。AP布點覆蓋原則使用室內直放AP布點覆蓋，需考慮及遵循以下幾個問題和原則：

22、如果在一個大廳里只安裝一個AP，則盡量把AP安放在大廳的中央位置，而且最好是放置于大廳天花板上；如果同一空間安裝兩個AP，則可以放在兩個對角上。保持信號穿過墻壁和天花板的數量最小，2.4G信號能夠穿透墻壁和天花板，然而，每一面墻壁和天花板都將使AP信號的覆蓋范圍減少1到30米。應放置AP與計算機于合適的位置，使墻壁和天花板阻礙信號的路徑最短，損耗最小。考慮AP和覆蓋區域之間直線連接，AP的放置位置要盡量使信號能夠垂直的穿過（90度角）墻壁或天花板。不同的建筑材料產生不同的傳輸效果，由金屬的框架或門構成的建筑物會使WLAN無線信號的傳輸距離變小，放置AP的位置應使信號通過干燥的墻壁或敞開的門，避

23、免放置在使信號必須通過金屬材料的位置。AP天線方向可調，安裝AP的位置應確保天線主波束方向正對覆蓋目標區域，保證良好的覆蓋效果。AP安裝位置需遠離電子設備（起碼12米），例如微波爐、監視器、電機等。覆蓋效果理論計信號強度和傳輸距離的換算公式AP加卡的信號總強度公式：GtGrAP天線增益終端天線增益L信號總強度（dB）Gt（AP或終端功率，單位dB），Gr（終端或AP靈敏度，單位dB）距離產生的信號衰減公式：4020lgdL1（dB） d（距離，單位m）工程中最大傳輸距離以45m計算，所以L172dB障礙物的衰減：物體dB地板30帶窗戶的磚墻2辦公室墻6辦公室墻的金屬門6磚墻的金屬門12.4靠近

24、金屬門的磚墻3工程中實際的障礙物的最大衰減是臨窗墻的衰減3dB加上房間墻的衰減12dB等于15dB。2.4 主要設備參數1、萬兆核心路由交換機選用中興通訊股份有限公司的電信級插槽式交換機RS-8905-CMP-AC，交換容量1.2Tbps，轉發性能890Mpps，7個槽位，業務插槽5個，提供信息產業部入網證，通過IPV6 READY金牌認證，并提供相關證明。支持MPLS VPN、MPLS-TP，與業界主流廠家兼容提供EANTC關于MPLS VPN的互通測試證明。提供MEF、EMC、CE證明材料。MPLS路由交換機基于先進的模塊化理念進行設計，并采用了基于多處理器并行處理機制和Crossbar空

25、分交換結構的體系結構，關鍵模塊均采用可以1：1進行冗余備份。ZXR10 8900系列具備10GE、GE、FE、POS、PON等各種豐富的接口模塊，并全面支持IPv4、IPv6、MPLS、NAT、組播、QOS、帶寬控制等業務功能。ZXR10 8900系列整個系統所具備的高可靠性、高擴展性、強大的業務能力等特點，可以滿足各種網絡核心/匯聚層的建設需求。產品的關鍵特性電信級可靠性系統的主控單元、電源等關鍵模塊均可以進行1:1、1+1方式的備份；采用先進的無中斷保護系統（Hitless Protection System - HPS），保證系統的高可靠性；全面支持VRRP/ZESR+/STP/RSTP

26、/MSTP/LACP多種網絡可靠性保護技術；支持BFD、IP/LDP FRR，實現網絡故障時的快速倒換；支持OSPF、BGP等協議的Graceful Restart，支持NSF，有利于網絡的穩定性和可靠性；支持ZESR+（ZTE Ethernet Smart Ring）智能以太環網技術，實現以太網環路50ms級的保護； ZESS（ZTE Ethernet Smart Switching）技術可實現多設備雙上行鏈路的智能切換保護，支持主備模式和負荷分擔兩種模式。先進的體系架構，大容量，高性能采用了分布式、模塊化設計理念，并采用了基于多處理器分布式處理機制和Crossbar空分交換結構的體系結構；

27、支持高達2880Gbps/1920Gbps/1200G/480Gbps的無阻塞交換能力、2143Mpps/1428Mpps/893M/357Mpps的路由包轉發能力；支持512K條路由信息，512K個MAC地址。 強大的增值業務功能支持UDLD（Unidirectional Links Detection），可以檢測鏈路的單通，與Cisco等主流廠家具有良好的互通性；支持LLDP（Link Layer Discovery Protocol），使得網絡的故障查找變得更加容易；全面支持二、三層MPLS VPN，二層MPLS VPN支持Martini協議（VPWS）和VPLS、三層MPLS VPN采

28、用RFC2547bis，具有良好的兼容性，可以與其他主流廠家的設備實現MPLS VPN業務的全面互通；支持IGMP、IGMP Snooping、IGMP Filter、IGMP Fast Leave等組播功能；支持PIM-DM/SM、DVMRP、MSDP、MBGP等組播路由協議；支持跨VLAN的組播復制；支持可控組播，支持頻道訪問控制、預覽次數和最大時長控制、呼叫統計等功能，為IPTV等業務提供有效的運營支撐；可實現基于端口、應用和流的寬帶控制，控制粒度為64Kbps； 提供基于硬件的流量分類和記賬、組播以及速率限制和先進的服務質量保證（QoS）機制，可為用戶開展增值業務提供強大的支持； 支持

29、層次化QoS，可實現對業務的精確控制，確保網絡中承載的多種業務可得到其預期的服務質量；全面實現了各種IPv6協議技術，實現了IPv6靜態路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等動態路由協議；支持Ethernet OAM、MPLS OAM，使得網絡的可維護性和可管理性更好；支持DPI，深度感知網絡應用，充實網絡的控制和管理手段，構建可運營、可管理的和諧網絡。強大的安全功能單板支持高達265K條安全和訪問控制策略；支持ACL安全過濾機制，可基于MAC、VLAN、IP、端口號等信息進行安全控制；支持基于時間的ACL，支持事件聯動ACL，可以根據端口、協議的狀態決定AC

30、L規則的生效與否，使得ACL的部署更加靈活；支持uRPF、防DDOS攻擊、SSH2.0安全管理、802.1x接入認證及透傳；RIP/OSPF/IS-IS/BGP/LDP支持MD5認證，可防止路由等信息的泄露；支持VLAN ID與MAC地址、端口號、IP地址捆綁功能；支持TACACS協議，可實現命令行級的認證授權；具備完善的抗病毒機制，可以為網絡運營提供全面的安全保證。規格與參數項 目描 述8912890889058902基本性能背板帶寬5.6Tbps（可擴展至更高帶寬）3.75Tbps（可擴展至更高帶寬）2.34Tbps（可擴展至更高帶寬）960Gbps（可擴展至更高帶寬）交換容量2880Gb

31、ps/1152Gbps1920Gbps/768Gbps1200Gbps/480Gbps480Gbps/192Gbps包轉發率2143Mpps/857Mpps1428Mpps/571Mpps893Mpps/357Mpps357Mpps/143MppsMAC地址表深度512K 個MAC地址插槽數量總槽位141074業務板槽位12852二層協議支持支持IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3x、IEEE 802.1p等支持IEEE 802.1d STP（生成樹）協議，支持MSTP/RSTP支持IEEE802.1q，VLAN數目為4K，支持Select

32、ive QinQ支持ZESR+智能以太環網技術；支持ZESS智能切換技術實現主備鏈路的快速保護IPV4路由協議支持支持RIP1/2、OSPF、BGP、IS-IS等路由協議IPV6路由協議支持RIPng、BGP4+、OSPFv3、IS-ISv66to4隧道、6PE業務功能MPLS VPN：二層支持VPLS、VPWS（Martini方式）、三層則采用RFC2547bis協議組播：支持PIM-DM/SM、DVMRP、MSDP、MBGP、IGMP、IGMP Snooping、IGMP Filter、IGMP Fast Leave等組播功能，支持可控組播，支持AnyCast-RP帶寬控制：可以實現基于端

33、口、應用和流的帶寬控制模式，控制粒度為64Kbps認證功能：支持802.1x認證，支持RADIUS、TACACS+協議DHCP：支持DHCP Relay、DHCP Server、DHCP Snooping 支持流量分析、防火墻功能、NAT、IPS/IDS、異常流量檢測、異常流量清洗、負載均衡、應用加速等功能QOS特性支持HQoS基于第二層的優先隊列基于第三層的源和目的流控制基于第四層的源和目的流控制基于第四層的應用流控制接口模塊44端口百兆以太網電接口+4端口千兆/百兆以太網SFP接口模塊44端口百兆以太網SFP接口+4端口千兆/百兆以太網SFP接口模塊12端口千兆以太網電接口模塊，其中4端口

34、可光電復用12端口千兆/百兆以太網SFP接口模塊，其中4端口可光電復用24端口千兆以太網電接口模塊24端口千兆/百兆以太網SFP接口模塊24端口千兆以太網電接口模塊，其中4端口可光電復用24端口千兆/百兆以太網SFP接口模塊，其中4端口可光電復用48端口千兆以太網電接口模塊48端口千兆/百兆以太網SFP接口模塊24端口千兆/百兆以太網SFP接口（其中4端口可光電復用）+2端口萬兆以太網光接口模塊24端口千兆以太網電接口（其中4端口可光電復用）+2端口萬兆以太網光接口模塊2端口萬兆以太網光接口模塊4端口萬兆以太網光接口模塊8端口萬兆以太網光接口模塊4端口STM-16 POS光接口模塊1端口STM

35、-64 POS光接口模塊4端口千兆無源光接口+12端口千兆/百兆以太網SFP接口模塊8端口千兆無源光接口+12端口千兆/百兆以太網SFP接口模塊12端口千兆無源光接口+12端口千兆/百兆以太網SFP接口模塊防火墻業務單板DPI業務單板設備管理支持SNMP MIB， MIB II （RFC 1213）支持RMON支持端口/流鏡像：鏡像實現包括控制模塊、特定端口以及特定插槽支持Console/Telnet/WEB管理支持SSH可靠性MTBF>200000小時MTTR<30分鐘熱拔插所有單板支持熱拔插主控冗余備份主控1+1、1：1冗余備份電源冗余備份電源冗余備份（交流2+1；直流1+1）

36、電源冗余備份（交流1+1；直流1+1）2、24口全千兆接入交換機接入交換機采用中興通訊的ZXR10 5250-24T全千兆智能以太網交換機，分滿足高帶寬、高安全和高QoS保證的需求。為便于前端接入點靈活配置，本次設計中交換機均選用24口接入交換機。性能包轉發率36Mpps交換容量240Gbps可配置千兆電接口24，千兆光接口4MAC地址表16K協議與功能支持標準以太網IEEE 802.3協議族支持STP、RSTP、MSTP、PVST支持ZESR環網保護支持端口聚合LACP支持802.1Q VLAN，支持SVLAN、QinQ、SelectiveQinQ支持完整可控組播支持CPU防攻擊（病毒）保護

37、，支持CPU過載/節奏保護防DDos攻擊，識別多種病毒特征報文并加以過濾LAND/BLAT/NULLScan/XmaScan/Smurf、SYN Flooding、Ping Flood支持生成樹根保護（Rood Guard）、BPDU攻擊保護、ARP攻擊保護網絡管理支持SNMP v1/v2/v3 和RMON支持Console/Telnet管理資質提供信息產業部入網證，入網證中生產企業和申請單位為同一廠商配置需求單臺配置24個千兆電接口豐富的業務功能、強大的安全特性支持完善的二層協議特性。支持4k個基于802.1q的標準VLAN，支持QinQ以及靈活 QinQ，滿足多業務承載時的用戶、業務的區分

38、需要；支持基于業務流的ACL過濾機制，支持基本、混合、擴展以及全局等多種模式的ACL，提供基于二層幀頭各字段、三層報文頭各字段、四層協議端口號的訪問控制，實現對P2P、視頻流等業務流區分限速，幫助提高帶寬的利用率；支持雙向端口限速和雙漏桶業務區分速率限制，并且支持64K粒度帶寬控制，滿足對各類用戶的接入帶寬的限速要求。實現4級QOS隊列及多種隊列調度算法（SP,WRR,SP+WRR），滿足用戶等級和業務區分要求；支持各種業務安全接入技術，降低惡意攻擊造成宕機的風險，以保障網絡和業務穩定運行：MAC/PORT動態綁定技術，和IEEE802.1X認證相結合，動態綁定接入MAC地址，特別適合筆記本接入的環境，支持用戶在交換機端口之間的遷徙切換，無需人工干預，減輕網管維護工作量；通過對特征病毒的過濾、防DOS攻擊以及CPU保護技術，保障了設備和網絡的安全平穩運行，降低網絡維護的成本和開銷；通過雙向的流量鏡像功能，監控網絡中的可疑流量，不僅支持基于端口的采樣鏡像，還可以通過指定流量的源/目的MAC地址，對特定流量進行監控；采樣速率可以從每1個包采樣