1、商業銀行業務網絡建設項目方案建議書PAGE - -目 錄 TOC o 1-2 h z u HYPERLINK l _Toc47533893 一、系統設計、網絡方案 PAGEREF _Toc47533893 h 2 HYPERLINK l _Toc47533894 1.前言 PAGEREF _Toc47533894 h 2 HYPERLINK l _Toc47533895 2.概述 PAGEREF _Toc47533895 h 3 HYPERLINK l _Toc47533896 3.銀行網絡規劃 PAGEREF _Toc47533896 h 4 HYPERLINK l _Toc47533897

2、 4.網絡Qos規劃 PAGEREF _Toc47533897 h 10 HYPERLINK l _Toc47533898 5.網絡安全規劃 PAGEREF _Toc47533898 h 14 HYPERLINK l _Toc47533899 二、系統框架設計圖、網絡拓撲圖 PAGEREF _Toc47533899 h 18 HYPERLINK l _Toc47533900 三、產品技術規格設計 PAGEREF _Toc47533900 h 21 HYPERLINK l _Toc47533901 1.H3C S7500E系列高端多業務路由交換機 PAGEREF _Toc47533901 h 2

3、1 HYPERLINK l _Toc47533902 2.H3C S5500EI系列增強型IPv6萬兆交換機 PAGEREF _Toc47533902 h 28 HYPERLINK l _Toc47533903 3.H3C SECPATH U200-M防火墻 PAGEREF _Toc47533903 h 35 HYPERLINK l _Toc47533904 4.MSR 50系列多業務開放路由器 PAGEREF _Toc47533904 h 37 HYPERLINK l _Toc47533905 5.H3C S5120-EI系列IPv6智能彈性交換機 PAGEREF _Toc47533905

4、h 45 HYPERLINK l _Toc47533906 四、所用的產品環境 PAGEREF _Toc47533906 h 52 HYPERLINK l _Toc47533907 五、服務的期限和內容 PAGEREF _Toc47533907 h 53 HYPERLINK l _Toc47533908 1、技術支持服務內容 PAGEREF _Toc47533908 h 60 HYPERLINK l _Toc47533909 2、服務產品 PAGEREF _Toc47533909 h 66 HYPERLINK l _Toc47533910 3、崗位責任 PAGEREF _Toc47533910

5、 h 75 HYPERLINK l _Toc47533911 4、CASE處理流程 PAGEREF _Toc47533911 h 77 HYPERLINK l _Toc47533912 5、備件策略及RMA流程 PAGEREF _Toc47533912 h 81 HYPERLINK l _Toc47533913 6、客戶滿意度調查 PAGEREF _Toc47533913 h 83 HYPERLINK l _Toc47533914 7、文檔管理 PAGEREF _Toc47533914 h 85 HYPERLINK l _Toc47533915 六、產品詳細清單 PAGEREF _Toc475

6、33915 h 86 HYPERLINK l _Toc47533916 七、相關成功案例介紹 PAGEREF _Toc47533916 h 90 HYPERLINK l _Toc47533917 1.H3C產品市場占有率 PAGEREF _Toc47533917 h 90 HYPERLINK l _Toc47533918 2.H3C金融數據中心典型應用 PAGEREF _Toc47533918 h 90 HYPERLINK l _Toc47533919 3.H3C金融骨干網/園區網典型應用 PAGEREF _Toc47533919 h 101系統設計、網絡方案1.前言文檔目的隨著國內銀行信息化

7、發展的推進，從上世紀八、九十年代開始的會計電算化、電子聯行到近幾年的數據大集中，揭開了金融行業核心網絡安全建設的序幕。伴隨著數據集中的IT集約化、精細化轉變，以及銀行業務跨越式發展和核心競爭力的極大提升，業界掀起了金融行業核心網絡安全建設的浪潮。銀行核心網絡的安全性問題是現在銀行信息化面臨的最為嚴峻的挑戰。一旦各分/支行核心網絡發生安全事故，受到影響的將是所覆蓋范圍的分支機構和幾乎所有業務。因此，銀行核心網絡的安全保護工作也就顯得尤為重要。本文檔是某商業銀行（以下簡稱：銀行）根據自身網絡建設標準和要求，結合銀行目前網絡的現狀，考慮未來本行業務的發展趨勢和面臨的安全挑戰，編寫的網絡安全建設解決方

8、案。本方案在保護現有投資的前提下，也考慮到了后期網絡發展的需求，在提升網絡運維性能和安全防范的同時，最大限度兼顧銀行當前已有的網絡資源。文檔適用人員本文檔主要面向負責銀行網絡設計和實施的設計人員、應用部門、維護人員及服務商的項目實施小組成員，為項目組完成本次網絡安全建設提供建議。文檔內容范圍本文檔設計基于銀行IT及基礎設施規劃，涵蓋了總行外聯業務區、分行網絡、支行廣域網接入等方面的詳細設計，其中包括：網絡總體規劃總行外聯業務網分行網絡總行辦公核心升級 2.概述網絡現狀銀行成立于2006年，現已發展成為由民營企業、自然人和內部職工共同持股、擁有一千多名員工的股份制商業銀行，營業網點基本覆蓋。銀行

9、網絡放置了網絡、計算、存儲等各種資源，數量龐大、管理復雜，參考各設備制造商在金融行業長期的最佳實踐，銀行擬利用模塊化的設計思路，采用分區、分層、分級的設計方法，實現數據網絡邏輯功能的模塊分區設計。這種標準化的數據網絡架構層次清晰，能夠實現銀行數據網絡高可靠、高性能、易管理、易擴展的目標。需求分析在銀行當前網絡中，分行尚在建設中，計劃打造全新的網絡架構，同時接入總行；臺州本部網絡由于建設較早，業務外聯區需要進行新的整合，辦公網核心交換機老化嚴重，維護壓力和維護成本較高，需要進行升級。業務外聯區在總行建立新的業務外聯區，通過專線連接合作伙伴，為合作伙伴外聯服務。分行網絡分行網絡分為辦公網和生產網，

10、兩套網絡物理隔離，均屬于新建網絡。總行辦公核心升級當前的辦公核心交換機老化現象比較嚴重，已不能滿足日益增長的業務需求和發展勢頭，需要進行升級更換。 3.銀行網絡規劃銀行中運行的業務系統比較多，重要性也非常高，各種應用系統的投入運行，信息網絡系統安全越來越直接的影響到企業的生產、經營及金融、資金的穩定與安全，與經濟效益和社會利益也越來越緊密的聯系在一起。此外，由于銀行系統業務的特殊性和實時性，信息網絡系統的任何間斷和失誤都可能給用戶帶來不可挽救的損失，可以說，信息網絡系統的安全非常重要。因此如何設計一個高效的，經濟的，風險最低的安全網絡信息系統已成為銀行亟待解決的重大問題。銀行業務外聯區銀行內部

11、生產網絡與外部機構（如監管部門、銀聯、券商等）進行通信時所必需經由的網絡平臺，稱為業務外聯區。當前與銀行進行網間互聯的機構主要包括：銀監會、人民銀行、銀聯、海關、部分券商，以及其它業務合作單位等。以下為銀行總行新的業務互聯區拓撲架構。由于業務外聯區主要是與一些第三方機構進行網絡互連，應充分滿足可靠性和安全性要求 ：網絡層面：杜絕單點故障：采用雙設備、雙線路。獨立的外聯設備，包括使用單獨的以太網交換機，防火墻，路由器網絡設備。安全層面：必須在內、外網之間應設置專用的防火墻 。如條件許可，實現“雙層、異構”的防火墻部署模式 （核心交換機上部署防火墻插卡并設置專門的外聯功能分區 ）。本方案中，建議采

12、用杭州華三通信技術有限公司生產的高性能H3C MSR5060路由器、S5500EI千兆三層交換機、S5120EI千兆二層交換機、SecPath U200防火墻組建業務外聯區。其中，MSR5060提供豐富的多接口的第三方接入；S5500EI作為DMZ區服務器網關設備；S5120EI作為外聯交換機使用，將路由器與防火墻進行串接；SecPath U200用于對整個外聯區進行安全防護。分行網絡分行網絡可劃分為生產網和辦公網兩張物理分離的網絡。整體網絡框架規劃如下：生產網生產網可分為核心交換區、廣域網接入區、服務器接入區、功能互聯區、第三方接入區、用戶接入區等。具體拓撲如下：核心交換區核心交換區作為分行

13、生產網的核心，連接不同的功能區域，實現數據的高速轉發。由于性能是該功能區最關鍵的因素，所以建議使用高性能的S5500EI三層交換機，并且在核心交換機上要避免使用那些可能會影響處理速度的訪問列表定義廣域網接入區廣域網接入區由核心骨干網路由器構成，建議采用多接入端口的MSR5060路由器，提供上下級分行之間的互聯互通。服務器接入區生產服務器接入區采用兩臺穩定的高性能的交換機S5500EI和四臺S5120EI構成，每臺S5500EI都與兩臺核心交換機三層互聯，采用千兆光纖連接。同時，為了增強服務器區的安全性，在S5500EI上側掛兩臺SecPath U200防火墻，對生產服務器進行全方位的安全防護。

14、第三方接入區第三方接入區所涉及的業務主要是中間業務等外聯前置系統，當前規劃中放置兩臺三層交換機S5500EI。廣域網接入區廣域網接入區采用兩臺穩定的高性能的交換機MSR5060構成，與兩臺核心交換機通過千兆光纖三層互聯，行成一個口字形連接。同時，MSR5060上配置冗余電源、高密度的廣域網串接口等。用戶接入區用戶接入區由兩臺S5500EI交換機及一部分樓層接入交換機構成，兩臺S5500EI通過千兆光纖上行連接到核心交換區。功能互聯區功能互聯區采用三級架構，首先通過兩臺S5500EI通過千兆光纖上行連接到核心交換區，然后下掛兩臺SecPath U200防火墻，防火墻下面再掛兩臺S5500EI千兆

15、三層交換機。辦公網辦公網和生產網的架構非常相似，也可分為核心交換區、廣域網接入區、服務器接入區、功能互聯區、第三方接入區、用戶接入區等。核心交換區核心交換區作為分行辦公網的核心，連接不同的功能區域，實現數據的高速轉發。由于性能是該功能區最關鍵的因素，所以也建議使用高性能的S5500EI三層交換機，并且在核心交換機上要避免使用那些可能會影響處理速度的訪問列表定義。廣域網接入區廣域網接入區由核心骨干網路由器構成，建議也采用多接入端口的MSR5060路由器，提供上下級分行之間的互聯互通。服務器接入區辦公服務器接入區采用兩臺穩定的高性能的交換機S5500EI和四臺S5120EI構成，每臺S5500EI

16、都與兩臺核心交換機三層互聯，采用千兆光纖連接。同時，為了增強服務器區的安全性，在S5500EI上側掛兩臺SecPath U200防火墻，對辦公服務器進行全方位的安全防護。第三方接入區當前規劃中放置兩臺三層交換機S5500EI。廣域網接入區廣域網接入區采用兩臺穩定的高性能的交換機MSR5060構成，與兩臺核心交換機通過千兆光纖三層互聯，行成一個口字形連接。同時，MSR5060上配置冗余電源、高密度的廣域網串接口等。用戶接入區用戶接入區由兩臺S5500EI交換機及一部分樓層接入交換機構成，兩臺S5500EI通過千兆光纖上行連接到核心交換區。同時考慮到辦公網需要嚴格控制交換機的接入，因此需要考慮基于

17、交換機端口控制的端口準入控制技術（EAD）配合相應的客戶端軟件實現對接入的增強，當前交換機需預先支持此類功能。功能互聯區功能互聯區采用三級架構，首先通過兩臺S5500EI通過千兆光纖上行連接到核心交換區，然后下掛兩臺SecPath U200防火墻，防火墻下面再掛兩臺S5500EI千兆三層交換機。辦公核心升級對于銀行總行來說，辦公核心交換機必須要有較高的性能和先進的架構。本次推薦的核心交換機S7506E-S具有分布式轉發模式、引擎切換零丟包和在線熱補丁等特點，其交換容量為768G、轉發性能為488M。考慮到下聯區域需向21個支行及近三十個自助銀行提供接入，對設備性能及穩定性要求極高，S7506E

18、配置的引擎為Salience VI-Turbo交換路由引擎，有著128K的MAC地址表和128K的IPv4路由轉發表。4.網絡Qos規劃數據的分類目前銀行的數據主要可分為業務類、辦公類和監控類三種。其中，業務類主要是與柜面業務密切相關的業務，如儲蓄、會計業務、外接在線業務和Internet在線服務等，運行的均是銀行最重要的數據，必須重點保證。監控類數據主要是配合業務運行的，在業務運行的同時，必須保證監控數據的穩定傳輸。辦公類數據主要為一些行內的OA、Internet信息服務、外部管理信息交換辦公服務，是可以在Qos中最后考慮的數據。QoS實施策略根據這些數據類型及特點，為建立統一的QoS策略，

19、簡化QoS配置，采用的QoS策略如下：數據優先級標記的設置通過Policy-Based Routing實現；擁塞避免機制采用WRED- Weighted Random Early Detection實現；隊列輸出管理機制采用CBWFQ- Class Based Weighted Fair Queuing實現。帶寬控制機制采用CAR- Committed Access Rate實現針對典型的銀行的應用情況，可以把需要使用QOS的各種應用劃分為3類：業務：這類數據的特點是交易包長度固定，交易時限要求實時，上下行數據流量基本對等，因為是網絡中的關鍵應用，所以定義為最高優先級；監控：這類數據的特點是數

20、據流量大，網絡要求實時性不高。但由于配合業務運行，所以應定義為次高優先級；辦公：這類數據通常對網絡實時性要求不高，可以把這類應用定義為最低的優先級。擁塞管理與擁塞避免數據包被設置IP優先權后，通過路由處理被送到相應的端口等待傳輸。為實現QoS控制，數據包將根據它的IP優先權值被送入不同的隊列，按照WFQ設定的策略進行傳輸。但假如網絡擁塞造成排隊數據包超出緩存，所有的數據包在進入隊列前就都會被丟棄，QOS的控制就無從談起，所以在排隊數據包超出緩存前就應進行擁塞避免機制的控制，而WRED技術則可根據IP優先權丟棄數據包。因此，我們采用WRED技術作為擁塞避免控制機制。隊列管理機制在經過擁塞避免機制

21、WRED的處理后，數據包在輸出端口根據其優先級被分配至不同的隊列排隊等待輸出，由于廣域網帶寬有限，同時只能有一個數據包被發送，那么它們按照怎樣的順序輸出成為QOS保證的關鍵。控制隊列輸出的機制也就是擁塞管理的機制，也就是我們常說的隊列技術(Queuing)。在我們的實現方案中，使用CBWFQ技術作為輸出端口的擁塞管理機制。需要注意的是，分配給某一隊列的帶寬，在該隊列沒有數據傳輸的時候，其帶寬會按照設置的比例分配給其它隊列使用。從而最大限度地提高了網絡利用率。帶寬控制機制Committed Access Rate-CAR是一種基于軟件帶寬控制機制，它可以根據多種標準和策略，在同一條鏈路上，來對不

22、同的應用限制使用不同的帶寬。如果超過其最大限制，則將其數據包丟掉。在網絡中有一些數據對網絡的沖擊很大，包括FTP、HTTP等，因此，針對這些數據我們可采用CAR來限制其最大占用的帶寬。由于CAR 是一種更為嚴格的帶寬控制措施，因此對于這種技術的部署需要謹慎。CBQ&LLQ CBQ是一種隊列調度機制，用于擁塞管理，可與WRED擁塞避免機制結合使用。擁塞管理與擁塞避免在Comware的體系結構中處于鏈路層和物理層之間，在報文輸出時使用。鏈路層調用QoS擁塞管理發送報文，QoS在不擁塞時調用物理接口直接發送報文，如果擁塞則將報文入CBQ隊列。在入隊列之前必須進行擁塞避免機制（尾丟棄或WRED）和帶寬

23、限制的檢查（AF/Best-Effort類入隊不做帶寬限制的檢查，AF出隊列時限制帶寬）。在報文出隊列時，加權公平調度每個類對應的隊列中的報文。物理接口在成功發送完一個報文后，會產生一個中斷，在中斷的處理過程中，可以發送CBQ隊列中下一個報文。如果CBQ加權公平對待所有類的隊列，那么對延遲敏感的數據流就可能不能及時發送。為此將PQ特性引入CBQ，稱其為LLQ（Low Latency Queueing，低延遲隊列），為語音報文這樣的對延遲敏感的數據流提供嚴格優先發送服務。LLQ將嚴格優先隊列機制與CBQ結合起來使用，用戶在定義類時可以指定其享受嚴格優先服務，這樣的類稱作優先類。所有優先類的報文將

24、進入同一個優先隊列，在入隊列之前需對各類報文進行帶寬限制的檢查。報文出隊列時，將首先發送優先隊列中的報文，直到發送完后才發送其他類對應的隊列的報文。在發送其他隊列報文時將仍然按照加權公平的方式調度。為了不讓其他隊列中的報文延遲時間過長，在使用LLQ時將會為每個優先類指定可用最大帶寬，該帶寬值用于擁塞發生時監管流量。如果擁塞未發生，優先類允許使用超過分配的帶寬。如果擁塞發生，優先類超過分配帶寬的報文將被丟棄。實現方式基于令牌，入隊列時檢查，如果沒有足夠的可用令牌用于發送數據包，該包被丟棄。支行路由器MSR3011可充分實現這一Qos功能。監控數據Qos規劃在廣域網線路中，帶寬往往是有限的，尤其是

25、增加了集中監控的應用之后，帶寬顯得越來越緊張，如果不通過Qos進行帶寬控制和管理，將無法保障日常業務和辦公數據的正常轉發。對于自助銀行監控數據，由于監控設備是通過S3100SI交換機連接到分行核心網絡的，因此我們采用二層上送的方式傳輸監控數據，將監控設備的網關設置在集中監控室的S3600上。由于S3100SI交換機支持的Qos功能有限，此處只能通過在S3100SI的上行口上使能WRR隊列調度，對業務數據進行帶寬保證。對于支行監控，由于出口路由器的廣域網口無法同時工作在二/三層模式，因此不能采用自助銀行這種組網方式，也將監控設備的網關設置在集中監控室的S3600上。支行監控的網關可以設置在出口路

26、由器上，同時在出口路由器的上行口配置Qos，進行業務、辦公的帶寬保證。由于路由器的Qos功能非常豐富，可供選擇的方式也比較多，此處計劃選用CBQ方式。5.網絡安全規劃銀行網絡安全需求銀行網絡安全策略的總體建議如下：1) 采用相關的訪問控制產品及控制技術來防范來自不安全網絡或不信任域的非法訪問或非授權訪問。2) 采用加密設備應用加密、認證技術防范信息在網絡傳輸過程中被非法竊取，而造成信息的泄露，并通過認證技術保證數據的完整性、真實性、可靠性。3) 采用安全檢測技術來實時檢查進出網絡的數據流，動態防范各種來自內外網絡的惡意攻擊。4) 采用網絡安全評估系統定期或不定期對網絡系統或操作系統進行安全性掃

27、描，評估網絡系統及操作系統的安全等級，并分析提出補救措施。5) 采用防病毒產品及技術實時監測進入網絡或主機的數據，防范病毒對網絡或主機的侵害。6) 構建CA認證中心，來保證加密密鑰的安全分發及安全管理。7) 必須制定完善安全管理制度，并通過培訓等手段來增強員工的安全防范技術及防范意識。以上安全建議可在后期分步驟細化。網絡安全規劃 網絡分區分行網絡安全設計基于模塊化設計方案，是基于業界企業級網絡參考架構和安全架構進行的，在設計中考慮了網絡的擴展性、可用性、管理性、高性能等因素，也重點覆蓋了安全性設計。通過網絡分區，明確不同網絡區域之間的安全關系，也可以對每一個區域進行安全的評估和實施，不必考慮對

28、其他區域的影響，保障了網絡的高擴展性、可管理性和彈性。達到了一定程度的物理安全性。 VLAN技術在局域網內采用VLAN技術，除了在網絡性能、管理方面的優點外，在網絡安全上，也具有明顯的優點：限制局域網中的廣播包；隔離不同的網段，使不同VLAN之間的設備互通必須經過路由，為安全控制提供了基礎；提供了基礎的安全性，VLAN之間的數據包在鏈路層上隔離，防止數據不適當的轉發或竊聽。 訪問控制列表ACL通過對網絡數據源地址、源端口、目的地址、目的端口全部或部分組合的控制，能夠限制數據在網絡中的傳輸。在網絡中應用ACL，能夠達到這樣一些目的：阻斷網絡中的異常流量應用系統間訪問控制SNMP網管工作站控制設備

29、本身防護網絡安全策略設計及布置網絡分區將分行與各下屬支行劃分為若干個功能區域。通過網絡結構的功能分區，在網絡安全上實現了以下目標：實現不同功能的設備處在不同的分區內，實現了數據鏈路層上物理隔離；各分區有單一的出入口；分區之間互訪必須經過網絡層路由；為其他安全控制策略的部署奠定了基礎。應用系統內部安全策略在服務器區內，根據確定的應用系統內部三層架構，服務器的應用類型被分為業務展現層（Web層），應用/業務邏輯層（AP層）和數據庫層（DB層），對應的安全控制策略如下:通過應用類型分層保護不同級別服務器的安全；劃分VLAN，各分層分別位于不同的VLAN中；在三個應用類型分層中，安全級別的定義是接入層

30、（Web層）安全級別最低，應用/業務邏輯層（AP層）安全級別較高，數據庫層（DB層）安全級別最高；應用類型分層之間，通過單向的ACL允許較低級別的服務器訪問較高級別的服務器。 應用系統之間的安全策略根據應用系統內部三層架構和應用系統之間關系，制定了應用系統之間的安全訪問規則。對應的安全控制策略如下：劃分VLAN，隔離各應用系統和各應用系統內部處在不同安全層次上的服務器；根據確定的類規則在VLAN上部署ACL。客戶端與服務器之間的安全策略客戶端與服務器之間的安全控制，首先采用配合交換機的端點接入技術對符合安全策略的終端進行接入，同時配合部署專用硬件防火墻和設置客戶端和服務器之間的嚴格的訪問規則來

31、實現。安全控制設計如下：選擇支持基于ACL下發具備準入控制功能的交換機，使整網具備端點控制能力。在需要重點防護的接入點終端安全相關的客戶端軟件，檢測客戶端的合規性。在服務器區邊界部署專用硬件防火墻，防火墻采用雙機主備工作模式，保障系統可靠性；在防火墻上部署嚴格的安全控制策略，對數據流執行雙向控制；確定客戶端和服務器之間的訪問規則，部署在服務器區邊界防火墻上。預防惡意代碼安全策略網絡中的惡意代碼包括病毒、蠕蟲、木馬等，這類惡意代碼發作時，對網絡安全有嚴重的影響。預防惡意代碼的安全控制策略如下：根據已知的各類惡意代碼，識別其傳輸特征，編寫相應的ACL；把ACL部署在關鍵的控制點上，這些控制點包括：

32、各功能區的出口交換機上（防火墻默認情況下已經可以拒絕這些惡意代碼）；在必要時，也可以部署在功能區內各VLAN上，達到更進一步控制惡意代碼傳播的目的。ACL單向部署，控制從區內出（out）的流量。在廣域網區的上下聯路由器廣域網端口上，ACL單向部署，控制這些端口出（out）和入（in）的流量。網絡設備自身安全策略網絡設備自身安全防護，安全策略設計如下：物理安全：安裝環境溫度、濕度、空氣潔凈度需要滿足設備正常運行條件；禁止非授權人員物理接觸設備。網絡服務安全：關閉設備上確認有軟件Bug的網絡服務和可能對自身產生安全威脅的沒有必要的服務；加密設備密碼并定期更改密碼，將密碼交由專門部門管理，由需配置變

33、更應履行相關手續領取密碼。；用戶安全，只允許經授權的用戶在設備上執行權限范圍內的操作，（且對操作有相應的授權、認證和審計）網管SNMP安全，對SNMP訪問設置ACL控制，只允許許可范圍內的IP地址通過SNMP管理設備。二、系統框架設計圖、網絡拓撲圖1、業務外聯區2、分行（1）分行總體拓撲 （2）生產網（3）辦公網三、產品技術規格設計1.H3C S7500E系列高端多業務路由交換機H3C S7500E系列產品是H3C公司面向融合業務網絡推出的新一代高端多業務路由交換機，該產品基于H3C自主知識產權的Comware V5操作系統，融合了MPLS、IPv6、網絡安全、無線、無源光網絡等多種業務，提供

34、不間斷轉發、優雅重啟、環網保護等多種高可靠技術，在提高用戶生產效率的同時，保證了網絡最大正常運行時間，從而降低了客戶的總擁有成本（TCO）。H3C S7500E符合“限制電子設備有害物質標準（RoHS）”，是綠色環保的路由交換機。H3C S7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V（垂直8槽）、S7503E（5槽）和S7502E(4槽)5款產品，所有產品均支持冗余主控。H3C S7500E可廣泛應用于城域網匯聚和邊緣、園區網核心和匯聚以及配線間等多種網絡環境，為用戶提供了有線無線一體化、有源無源一體化的行業解決方案。圖9 H3C S7500E系列產品產品特

35、點豐富的業務，適應融合業務網絡發展趨勢全面的MPLS業務能力H3C S7500E所有產品均支持Multi-VRF特性，可以作為MCE設備使用；支持三層的MPLS VPN和二層的MPLS VPN（Martini、Kompella），可擴展支持VPLS技術；支持MPLS OAM特性，方便用戶的管理和維護；與H3C MPLS VPN Manager配合，實現圖形化的MPLS部署與維護。 線速的IPv4/IPv6業務能力H3C S7500E支持IPv4/IPv6雙協議棧,支持多種隧道技術，支持IPv4/IPv6的組播技術，為用戶提供完善的IPv4/IPv6解決方案；H3C S7500E采用分布式體系架

36、構，實現IPv4/IPv6業務的線速無阻塞轉發；H3C S7500E已經通過了信息產業部的IPv6入網認證和IPv6 Ready第二階段金色認證，是成熟商用的IPv6產品。有線無線一體化，有源無源一體化H3C S7500E集成的無線控制模塊提供豐富的業務能力，包括精細的用戶控制管理、完善的RF管理及安全機制、快速漫游、超強的QoS和對IPv6的支持等；無線控制模塊通過與安全策略服務器的聯動，實現對無線接入用戶的端點準入防御，提高了整網的安全性。H3C S7500E是業界最高密度的以太網無源光網絡（EPON）設備，單臺最大可接入10240個FTTH用戶；H3C S7500E是高可靠的EPON系統

37、，采用分布式體系結構、模塊化設計，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，具有電信級可靠性。支持Portal認證H3C S7500E支持大容量的Portal認證功能，可以在數千用戶的局域網中做為EAD網關設備，為全網用戶提供EAD安全認證功能；可以在大中型的校園網中擔任匯聚/核心設備的同時，為學生宿舍區的認證計費提供Portal認證功能。靈活的配置，適應各種應用場景配線間融合業務網絡的最佳選擇H3C S7500E針對配線間的需求定制開發了SA板卡，單臺設備可以提供480個千兆線速接口和4個萬兆線速接口。H3C S7500E支持端點準入防御解決方案，解決終端安全問題；內置2800W電源

38、直接提供PoE功能，對IP語音和無線接入提供良好的支持。政府電力城域網邊緣和匯聚的最佳選擇H3C S7500E支持Multi-VRF特性，為用戶提供高可靠高性能的MCE設備；通過配置Salience VI-Turbo引擎，可以提供集中式MPLS業務功能，適合在城域網邊緣作為高性價PE設備使用；通過配置EA類板卡，可以提供分布式線速的MPLS業務功能，適合在城域網匯聚層作為高性能的PE使用。IPv6網絡的最佳選擇H3C S7500E所有Salience VI引擎都可以提供集中式IPv6功能，H3C S7500E針對IPv4/IPv6高性能的要求還開發了分布式IPv4/IPv6轉發的SC板卡，在整

39、機滿配置狀態下實現線速無收斂，為高校用戶提供了高性能低成本的雙棧匯聚核心設備，同時也滿足其他行業用戶IPv6 Ready的需求。全方位的安全保障，抵御多種網絡安全威脅三平面安全保障機制H3C S7500E提供完善的安全防護機制，可從控制、管理、轉發三平面全面保障網絡的安全：在控制平面，內置協議報文攻擊識別模塊，防止TCN、ARP等協議報文攻擊，OSPF/BGP/IS-IS路由協議采用MD5驗證，防止非法路由更新報文導致的網絡癱瘓；在管理平面，SNMPv3網管協議，SSH V2，基于802.1x、AAA/Radius的用戶身份認證以及分級的用戶權限管理保證了設備管理的安全性；在轉發平面，支持IP

40、、VLAN 、MAC和端口等多種組合精細綁定；支持uRPF單播反向路徑轉發，防止非法流量訪問網絡，采用最長匹配逐包轉發機制，有效抵御病毒的攻擊。H3C S7500E還支持內置的高性能防火墻、異常流量清洗等模塊，將專業的安全融入到交換機之中。有線無線全面支持EADH3C S7500E是EAD端點準入防御解決方案的重要組成部分，S7500E可以動態的接收來自安全策略服務器的控制策略，根據終端的安全狀態給予下發相應的訪問權限。H3C S7500E既支持有線終端用戶的EAD，也支持無線終端用戶的EAD，能夠做到終端安全防范無漏洞。增強的ACL特性H3C S7500E系列產品支持強大的ACL能力：支持標

41、準和擴展ACL；支持基于VLAN的ACL，方便用戶配置，節省ACL資源；支持出方向和入方向的ACL，每板最大可支持9K條ACL，滿足金融等行業訪問權限嚴格控制的需求。電信級的高可靠性，保障用戶業務長期穩定運行電信級高可靠性設計H3C S7500E采用無單點故障設計，所有關鍵部件，如主控板、交換網、電源和風扇等采用冗余設計；無源背板避免了機箱出現單點故障；所有單板和電源模塊支持熱插拔功能；H3C S7500E系列可以在惡劣的環境下長時間穩定運行，達到99.999的電信級可靠性。多業務高可靠性運行H3C S7500E支持不間斷轉發和優雅重啟，提供毫秒級的切換時間；支持等價路由，可幫助用戶建立多條等

42、值路徑，實現流量的負載均衡及冗余備份；支持RRPP快速環網保護協議，提供小于200ms的環網故障保護；支持Smart-Link協議，保證雙上行網絡拓撲的業務毫秒級快速切換。通過上述技術，H3C S7500E可以在承載多業務的情況下不間斷運行，實現業務的永續。支持熱補丁技術H3C S7500E能夠在不重啟設備的前提下，通過熱補丁技術，在線修改軟件BUG，增加新的業務特性。H3C S7500E提供控制補丁單元狀態切換的用戶命令，使用戶能夠方便的加載、激活、去激活、運行或刪除補丁單元。通過熱補丁技術，降低了設備需要重啟的次數，為客戶提供更長的網絡正常工作時間。產品規格屬 性S7510ES7506ES

43、7506E-VS7503ES7503E-SS7502E整機交換容量1152G/768G768G768G480G288G192G背板容量2.4Tbps1.6Tbps1.6Tbps1Tbps600Gbps400GbpsIPv4包轉發率773M/488Mpps488Mpps488Mpps274Mpps178Mpps143Mpps槽位數量1288（垂直插槽）534業務槽位數量1066332冗余設計電源、主控冗余電源、主控冗余電源、主控冗余電源、主控冗余電源、單主控電源、主控冗余二層特性支持IEEE 802.1P(CoS優先級)支持IEEE 802.1Q（VLAN）支持IEEE 802.1d（STP）/

44、802.1w（RSTP）/802.1s（MSTP）支持IEEE 802.1ad（QinQ），靈活QinQ和Vlan mapping支持IEEE 802.3x（全雙工流控）和背壓式流控（半雙工）支持IEEE 802.3ad（鏈路聚合）和跨板鏈路聚合支持IEEE 802.3（10Base-T）/802.3u（100Base-T）支持IEEE 802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE 802.3ae（10Gbase）支持IEEE 802.3af（PoE）支持RRPP（快速環網保護協議）支持跨板端口/流鏡像支持端口廣播/多播/未知單播風暴抑制支持Jumbo

45、 Frame支持基于端口、協議、子網和MAC的VLAN劃分支持SuperVLAN支持PVLAN支持Multicast VLAN+支持GVRP支持LLDPIPv4路由特性支持ARP Proxy支持DHCP Relay支持DHCP Server支持靜態路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGP GR (Graceful Restart優雅重啟)支持等價路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持I

46、SATAP支持6to4隧道支持IPv6和IPv4雙棧組播支持IGMPv1/v2/v3 支持IGMPv1/v2/v3 Snooping支持IGMP Filter支持IGMP Fast leave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2 Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS支持標準和擴展ACL支持基于VLAN的ACL支持Ingress/Egress ACL支持Ingress/Egress CAR，粒度為64Kbps支持流量整形（Traffic Shaping）支持802.1P/D

47、SCP優先級Mark/Remark支持隊列調度機制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8隊列支持擁塞避免機制，包括Tail-Drop、WREDMPLS支持L3 MPLS VPN支持L2 VPN: VLL (Martini, Kompella)支持MCE支持MPLS OAM安全機制支持EAD安全解決方案支持Portal認證支持MAC認證支持IEEE 802.1x和IEEE 802.1x SERVER支持AAA/Radius支持HWTACACS,支持命令行認證支持SSHv1.5/SSHv2支持ACL流過濾機制支持OSPF、RIPv2 及BGPv4 報文的明文及MD5密文認證支持命

48、令行采用分級保護方式，防止未授權用戶的非法侵入，為不同級別的用戶有不同的配置權限支持受限的IP地址的Telnet的登錄和口令機制支持IP地址、VLAN ID、MAC地址和端口等多種組合綁定支持uRPF支持主備數據備份機制支持故障后報警和自恢復支持數據日志系統管理支持FTP、TFTP、Xmodem支持SNMP v1/v2/v3支持sFlow流量統計支持RMON支持NTP時鐘可靠性支持主控板1+1冗余備份支持電源1+1冗余備份采用無源背板設計所有單板支持熱插拔支持VRRP 支持Ethernet OAM（802.1ag和802.3ah）支持MAC Tracert支持RRPP支持Graceful Re

49、start for OSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持熱補丁環境要求溫度范圍：0 OC45 OC相對濕度：10%95%（非凝結）安規和EMC認證通過了CE、FCC PART 15、TUV-GS、UL-CUL、ICES003和VCCI的認證電源DC：輸入電壓 48V60VAC：輸入電壓 100V240V最大輸出功率：650W（S7502E）、1400W/2800W（S7503E/S7506E-V/S7506E/S7510E）POE電源支持內置PoE電源外形尺寸（寬高深）(mm)436x 708 x 420436 x 575 x 420436 x 930

50、 x 420436 x 441 x 420436 x 175 x 420436 x 175 x 420 滿配重量(kg)96kg77kg94kg63kg27kg27kg2.H3C S5500EI系列增強型IPv6萬兆交換機H3C S5500-EI系列交換機是H3C公司最新開發的增強型IPv6強三層萬兆以太網交換機產品，具備業界盒式交換機最先進的硬件處理能力和最豐富的業務特性。支持最多4個萬兆擴展接口，可以滿足用戶今后5年的帶寬需求；支持IPv4/IPv6硬件雙棧及線速轉發，使客戶能夠從容應對即將帶來的IPv6時代；除此以外，其出色的安全性，可靠性和多業務支持能力使其成為大型企業網絡和園區網的匯

51、聚，中小企業網核心、以及城域網邊緣設備的第一選擇。 S5500-28C-EI/S5500-28C-PWR-EIS5500-52C-EI/ S5500-52C-PWR-EIS5500-28F-EIH3C S5500-EI系列以太網交換機目前包含如下型號：S5500-28C-EI：24 個10/100/1000Base-T以太網端口，4 個復用的SFP 千兆端口（Combo），兩個擴展槽位；S5500-52C-EI：48 個10/100/1000Base-T以太網端口，4 個復用的SFP 千兆端口（Combo），兩個擴展槽位；S5500-28C-PWR-EI：24 個10/100/1000Base

52、-T以太網（PoE），4 個復用的SFP 千兆端口（Combo），兩個擴展槽位；S5500-52C-PWR-EI：48 個10/100/1000Base-T以太網（PoE），4 個復用的SFP 千兆端口（Combo），兩個擴展槽位；S5500-28F-EI：24 個SFP千兆端口，8 個復用的10/100/1000Base-T以太網端口（Combo），兩個擴展槽位；產品特點高擴展性保護投資隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達到飽和，而能夠擁有多條集群10GE鏈路將是我們的未來發展方向。H3C S5500-EI系列交換機支持兩個擴展槽位，每個槽位支持單端口或雙端口的10GE擴展模塊

53、，在實現千兆匯聚或接入時保留進一步支持10GE的擴展能力，盡力保護用戶投資。IPv4到IPv6的演變是以太網發展的大勢所趨，網絡設備對于IPv6的支持不僅是簡單的可用就行，而是需要達到商用的標準，S5500-EI已經通過了國際最權威的IPv6 Ready第二階段認證，而且通過了信息產業部嚴格的IPv6入網測試。這個系列產品是基于硬件的IPv4/IPv6雙棧平臺，支持豐富的IPv4和IPv6三層路由協議、組播協議和策略路由機制，實現IPv4到IPv6的平滑升級。完備的安全控制策略H3C S5500-EI系列交換機支持EAD（端點準入防御）功能，配合后臺系統可以將終端防病毒、補丁修復等終端安全措施

54、與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系，通過對網絡接入終端的檢查、隔離、修復、管理和監控，使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網絡對病毒、蠕蟲等新興安全威脅的整體防御能力。H3C S5500-EI交換機支持集中式MAC地址認證、802.1x認證、PORTAL認證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標識元素的動態或靜態綁定，同時實現用戶策略（VLAN、QoS、ACL）的動態下發；支持配合H3C公司的CAMS系統對在線用戶進行實時的管理，及時的診斷和瓦解網絡非法行為。H3C S5500-EI系列交換機提供增

55、強的ACL控制邏輯，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下發，在簡化用戶配置過程的同時，避免了ACL資源的浪費。另外，S5500-EI系列還將支持單播反向路徑查找技術（uRPF），原理是當設備的一個接口上收到一個數據包時，會反向查找路徑來驗證是否存在從該接收接口到包中制定的源地址之間的路由，即驗證了其真實性，如果不存在就將數據包刪除，這樣我們就可以有效杜絕網絡中日益泛濫的源地址欺騙。7VM海岸線網絡安全資訊站多重可靠性保護S5500-EI系列交換機還具備設備級和鏈路級的多重可靠性保護。所有機型都支持內置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模

56、塊，也就是說我們可以根據實際環境的需要靈活配置交流或直流電源模塊，此外整機還支持電源和風扇的故障檢測及告警，可以根據溫度的變化自動調節風扇的轉速，這些設計使我們這款盒式交換機具備了機柜式交換機的高可靠性。除了設備級可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術，比如華三通信獨創的RRPP快速環網保護機制。當網絡上承載多業務、大流量的時候也不影響網絡的收斂時間，保證業務的正常開展。多業務支持能力支持PoE（Power over Ethernet）技術，通過以太網對所連接的設備（如IP Phone, Wireless AP等）進行遠程供電，從而使得不必在使用現場為設備部署單獨的

57、電源系統，能夠極大地減少部署終端設備的布線和管理成本。支持Voice VLAN技術，交換機通過識別端口的語音流，將對應的接入端口加入Voice VLAN（專用語音VLAN）中，為語音流量提供專門通道，并自動下發優先級規則保證語音流的優先傳輸來保證通話質量。同時通過設置Voice VLAN安全特性，只允許語音流量通過，可以有效防止突發數據流量對Voice VLAN內的語音流量的沖擊。H3C S5500-EI系列交換機支持MCE功能，可以有效解決多VPN網絡帶來的用戶數據安全與網絡成本之間的矛盾，它使用CE設備本身的VLAN接口編號與網絡內的VPN進行綁定，并為每個VPN創建和維護獨立的路由轉發表

58、（Multi-VRF）。這樣不但能夠隔離私網內不同VPN的報文轉發路徑，而且通過與PE間的配合，也能夠將每個VPN的路由正確發布至對端PE，保證VPN報文在公網內的傳輸。豐富的QoS策略H3C S5500-EI系列交換機支持支持L2（Layer 2）L4（Layer 4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號、協議類型、VLAN的流分類。提供靈活的對列調度算法，可以同時基于端口和隊列進行設置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三種模式。支持CAR（Committe

59、d Access Rate）功能，粒度最小達64Kbps。支持出、入兩個方向的端口鏡像，用于對指定端口上的報文進行監控，將端口上的數據包復制到監控端口，以進行網絡檢測和故障排除。出色的管理性H3C S5500-EI系列交換機支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用網管平臺以及iMC智能管理中心。支持CLI命令行，Web網管，TELNET，HGMP集群管理，使設備管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3C S5500-EI系列交換機支持基于MAC地址劃分VLAN，很好的解決了移動

60、辦公的智能靈活管理；結合特有的基于全局和VLAN下發ACL策略，在簡化用戶配置的同時，也大幅節約了硬件資源。該系列交換機還支持sFlow功能，可以對出入方向的報文按比例隨機抽樣，靈活實現報文采集。產品規格支持特性S5500-28C-EIS5500-52C-EIS5500-28C-PWR-EIS5500-52C-PWR-EIS5500-28F-EI交換容量（全雙工）192Gbps240Gbps192Gbps240Gbps192Gbps包轉發率（整機）95.2Mpps130.9Mpps95.2Mpps130.9Mpps95.2Mpps外形尺寸（長寬高）（單位：mm）44030043.6440420