机房网络改造升级方案.doc_文客久久网wenke99.com

资源描述

1、 1 网络改造方案建议书南京普惠数码科技有限公司日期：二零壹零年六月 2 目录一网络状态分析.3 二网络建设目标4 三网络改造总体设计5 四设备选用介绍9 五售后服务与培训24 六公司简介和成功案例27 3 一、网络状况分析当今时代，企业信息化与企业的生命力息息相关。企业的各种业务数据应用、每一台服务器、每一台计算机不仅创造着企业的竞争力，也记录着公司的核心价值。企业的不断成长和发展也需要企业信息建设的不断健全和完善。贵公司大致网络状况如下： 1、企业总部约有150信息点，外部各售楼中心关键信息点不超过50个。 2、在总部大楼设有一中心机房，为企业数据交汇传输存储的

2、唯一节点，总部副楼设有2个小型机房，作为楼宇间数据交换使用。 3、现有一条10M动态电线线路，负责公司总部员工用于外联公网。贵公司计划2010年7月前上主营业务ERP软件，并同时增加一条8M左右固态IP电信电路为此软件应用服务。 4、公司目前正常上网速度较慢，并且缺乏专业安全防护。 5、后台数据应用服务器为IBM3950服务器一台，并在本机做了RADE5。缺少业务数据备份。 6、由于缺少专业人员维护和管理，机房内部线路连接混乱、标识缺失，故障时难于查询统计。原先配置的UPS设备未能正常使用，一旦发生意外造成设备损坏，会给企业造成无法估量的损失。应用软件流量分析（日期 2010 年 5

3、月 19 日2010 年 5 月 24 日）协议类别内对外(上传) (GB) 外对内(下载) (GB) 内对内(内网)(GB) 总流量(GB) P2P_XUNLEI 26.17 18.23 0 44.4 P2P_BT 7.49 3.5 0 10.99 HTTP 2.03 8.65 0.02 10.7 P2P_PPStream 4.8 5.57 0 10.37 SKYPE 3.8 1.86 0 5.66 P2P_PPLive 1.64 2.15 0 3.79 P2P_EDONKEY 1.95 1.5 0 3.45 SMB 0 0 2.4 2.4 RTMPT 0.04 1.81 0 1.85

4、 RTSP 0.02 0.86 0 0.88 P2P_QQLive 0.4 0.41 0 0.81 QQ 0.11 0.14 0.16 0.41 MMSH 0.01 0.33 0 0.34 HTTPS 0.04 0.23 0 0.27 STOCK 0.03 0.08 0 0.11 POP3 0 0.01 0 0.01 共 48.55 45.31 2.57 96.43 4 2010-05-19 至 2010-05-24 应用软件流量饼状图根据流量统计报表以及饼状图清晰显示，迅雷、BT 、电驴等 P2P 下载软件以及 PPstream 等在线视频电影消耗了大量的有效网络带

5、宽，造成出口拥塞，网络访问异常，影响了正常的工作。通过有效的网络带宽管理、有区别的网络行为限制，加强对外网的使用监管，规范上网行为，保障网络畅通，确保关键应用。二、网络建设目标根据实际考察和相互交流，本次网络设计的目标为： A) 尽量保留用户现有网络中的设备，在确保用户正常业务使用的前提下减少用户投资。 B) 企业各计算机等终端设备之间良好的连通性是需要满足的基本条件，网络环境就是提供需要通信的计算机设备之间互通的环境，以实现丰富多彩的网络应用。 C) 许多现有网络在初始建设时不仅要考虑到如何实现数据传输，还要充分考虑网络的冗余与可靠，否则一旦运行过程网络

6、发生故障，系统又不能很快恢复工作，所带来的后果便是企业的经济损失，影响企业的声誉和形象。 5 D) 在商品竞争日益激烈的今天，企业对网络的安全性有非常高的要求。在很多企业在局域网和广域网络中传递的数据都是相当重要的信息，因此一定要保证数据安全保密，防止非法窃听和恶意破坏，在网络建设的开始就考虑采用严密的网络安全措施。 E) 随着网络规模的日益扩大，网络设备的数据和种类日益增加，网络应用日益多样化，网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入，主动控制网络，不仅能够进行定性管理，而且还能够定量分析网络流量，了解网络健康状况。有预见性地发现网络上的问题，并将其消

7、灭于萌芽状态，降低网络故障所带来的损失，使网络管理的投入达到事半功倍的效果。 F) 网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着企业规模的扩大、业务的增长，网络的扩展和升级是不可避免的问题。思科通过模块化的网络结构设计和模块化的网络产品，能为用户的网络提供很强的扩展和升级能力。 G) 由于视频会议、视频点播、IP 电话等多媒体技术的日趋成熟，网络传输的数据已不再是单一数据了，多媒体网络传输成为世界网络技术的趋势。企业着眼于未来，对网络的多媒体支持是有很多需求的。同时，在网络带宽非常宝贵的情况下，丰富的 QoS 机制，如：IP 优先、排队、组内广播和链路压缩等优化技术能

8、使实时的多媒体和关键业务得到有效的保障。三、网络改造总体设计 1.机房改造检查设备安装场地是否符合电气和环境标准。输入电压允许范围：100V240V AC 50/60Hz 或 40V-60V DC 工作温度：0C40C 储存温度：-30C60C 相对湿度：595% 无凝结配线架内外网段及接口标识清晰，线路整理顺畅。将服务器、交换机等设备合理放置到机柜上，便利操作； UPS 等设备安装到位，进行断电测试。 6 2.网络改造建议拓扑图全网设计说明选用SonicWall NSA2400防火墙作为出口网关设备双线路链接至Internet ,10M动态IP线路提供给内部用户访问Inter

9、net 使用，8M 静态IP 线路用于业务软件访问使用。NSA2400同时开启网络防毒功能模块，对于流量可以进行实时扫描，针对间谍软件、恶意网页病毒等可有效防护，保证业务系统以及内部用户的网络安全。现有网络中的SonicWall防火墙设备作为冷备份，一旦新设备出现故障问题，原有设备可临时替换使用，保证用户的网络应用的不间断。核心交换机选用 LS-5500-28C-SI 为全千兆 3 层设备，提供强大的网络交换功能，满足公司内部网络交换需求。将原有 2 路连接分支大楼机房以及 1 路链接至董事长办公室的光纤线路全部迁移到 LS- 7 5500-28C-SI 设备上，原有 H3900-

10、52P 交换机和 NETCORE 交换机作为接入层交换机使用千兆铜缆网线连接至核心 LS-5500-28C-SI 交换机。基于提升网络试用效率的考虑，采用 SoftNext 公司的 CSQR200 上网行为管理设备，审核网络应用，优化网络带宽。可针对内网用户采用不同分组制定访问策略，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。同时丰富的日志报告功能，对于上网记录进行审核，利于发现网络的潜在威胁。考虑到公司业务系统的重要性，建议配置一台高性能高数据存储 PC，作为现有业务系统数据备份设备使用。保障业务系统数据的安全，降低因为数据丢失或损坏所带来的不必

11、要的损失。我公司可免费帮助用户在服务器和 PC 之间做好备份准备。网络安全防火墙设备选择：安全是最大的网络安全隐患。网络安全防火墙设备选择需要考虑：非法入侵：攻击者通过系统漏洞、木马、窃听等手段获得相应权限，从而窃取数据和破坏系统。病毒攻击：目前绝大多数蠕虫、病毒均可通过互联网进行传播，蠕虫、病毒一旦爆发，就会侵占网络资源，最终可导致网络瘫痪。拒绝服务攻击：通过拒绝服务攻击，可导致服务器当机和网络拥堵，最终造成服务中断。网络安全防火墙设备：网络安全设备采用 SonicWall 防火墙。 NSA 系列采用新一代统一威胁管理（UTM）技术抵抗各种攻击，兼备入侵防御、防病毒及反间谍

12、软件功能和 SonicWALL 应用防火墙的应用层控制功能。NSA 系列利用先进的路由、全状态同步高可用性以及高速 VPN 技术让您的分支机构、中央区域及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力，同时还将成本及复杂程度降到最低。 8 核心层设备选择：公司现有网络分层中并无核心交换机，考虑到使网络拓扑更加合理、今后更好的拓展性、有利于查出问题故障症结，建议配置一台核心交换机。核心交换层是网络的核心交换节点，它将多个边缘汇聚层连接起来，提供穿透服务，进行数据的高速转发，同时实现与骨干网络的互联，提供高速 IP 数据出口。用户数据流可通过汇聚层上行到核心网络，通过核心网

13、获取所需业务。核心交换机：根据需求我们选用 H3C LS-5500-28C-SI 交换机作为网络的核心设备。 H3C LS-5500-28C-SI 交换机是一款部署于企业核心的高性能交换机，在核心网络中网络的性能、 IP 服务、冗余性和故障弹性十分重要。H3C S5500-SI 系列交换机是 H3C 公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供 IPv6 转发功能以及最多 4 个 10GE 扩展接口。通过 H3C 特有的集群管理功能，用户能够简化对网络的管理。S5500-SI 系列千兆以太网交换机定位为企业网和城域网的汇聚或接入，同时还可以用于数据中心服务器群的连

14、接。上网行为管理设备选择：上网行为管理是一种约束和规范企业员工遵守工作纪律，提高工作效率的工具，是行政管理的电子化辅助手段。上网行为管理设备无疑对企业网络访问的制度化管理起到了良好的辅助作用。上网行为管理设备：上网行为管理设备选用 SoftNext 公司的 CSQR200 设备。 CONTENT SQR是一款多功能的网络信息安全管理审计系统。可详细记录网内受控人员，各种常用网络应用的使用情况，传送或接收的信息内容。并可配合网络管理或公司策略，对常用网络应用的使用情况与内容，进行记录备案以及弹性的策略管控。同时提供了详尽的统计分析功能，透过图表分析，使管理者对各种应用的使用情况，

15、及对网络所造成的影响，尽在掌握。 CONTENT SQR 是全方位的网络内容安全解决方案，具有 EMAIL、 WEBMAIL、WEB、IM、 P2P、FTP 及延伸 VOIP等应用层(LAYER 7)延伸服务的内容管理与使用分析，过滤分析技术能涵盖网络层到应用层，以提供网络内容安全的纵衡防御服务。 CONTENT SQR 包含不当信息拦截防护、策略管理、统计报表、流量控管. 等多种管理功能，特别有助于 WEB MAIL 的使用控管。本产品方便管理，不影响网络运作，是企业进行多通讯端口的安全防护，及内容资产管理的最佳工具。CONTENT SQR 能协助企业进行网络有效管理，提升网络资源 9

16、的使用效益！网络改造补充说明根据贵公司工程师所提出的网络改造关键点，对于网络的优化改造补充说明如下： 1、防病毒软件计算机病毒的预防技术计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如，

17、大家所熟悉的防病毒卡，其主要功能是对磁盘提供写保护，监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令，并且判断磁盘当前所处的状态：哪一个磁盘将要进行写操作，是否正在进行写操作，磁盘是否处于写保护等，来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。检测病毒技术计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术

18、。它有两种：一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地以保存的结果对该文件或数据段进行检验，若出现差异，即表示该文

19、件或数据段完整性已遭到破坏，感染上了病毒，从而检测到病毒的存在。清除病毒技术计算机病毒的清除技术是计算机病毒检测技术发展的必然结果，是计算机病毒传染程序的一种逆过程。目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的，带有滞后性

20、。而且由于计算机软件所要求的精确性，解毒软件有其局限性，对有些变种病毒的清除无能为力。有了企业版防病毒软件，结合贵公司现有的桌面管理软件，可以实现全面的身份验证和企业用户安全管理。在防火墙之类的安全网关的防护下，企业内部网络可以大大提高抗攻击、防病毒的能力， 10 最大限度的保证用户的信息安全。 2SSL VPN 设备随着贵公司 ERP 项目的上马，固态 IP 线路及专有后台服务器的使用。可以预见，随着公司业务的不断繁忙，公司规模的不断壮大，相关业务专业软件（比如 OA）将会越来越多的被使用。贵公司业

21、务人员很多时间将会需要在外网直接连接本公司的业务系统，那么公司核心业务数据在公网上传输完全没有保障。企业对网络的依赖日益加深，面对层出不穷的各种网络安全威胁，如何提供安全可靠、低成本、高可用性的远程访问服务直接关系到企业运作的经济效益。SSL VPN 设备可以帮助企业用户在这些方面解决很多直接面对的问题。SSL VPN 是近年来新兴的一种应用级 VPN，是目前解决远程用户访问最简单最安全的 VPN 技术。它正成为企业应用、无线接入、Web 服务安全远程管理的关键产品。 SSL 协议是无所不在（任何浏览器都支持 SSL）的，各浏览器支持的 SSL 高度互相兼容，而且更为重要的是 SS

22、L 可生存于任何网络环境，穿透任何防火墙，这种无所不在，无所不兼容，无所不达的特性为任何其他安全协议所不具备。任何安装浏览器的机器都可以使用 SSL VPN，它不需要像传统 IPSec VPN 一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司内网相连接的用户至关重要。 SSL VPN 提供智能的安全管理功能。与传统 VPN 不同，SSL VPN 提供安全、可代理连接，只有经认证的用户才能对资源进行访问。SSL VPN 是应用级 VPN，能对加密隧道进行细分，从而使得终端用户能够同时接入 Internet 和访问内部企业网资源。另外

23、，SSL VPN 还能细化接入控制功能，易于将不同访问权限赋予不同用户，实现伸缩性访问。有了 SSL VPN 设备外网访问公司内部的核心数据可以大大提高安全性，大大减少公司核心业务数据被窃取、恶意破坏的可能性，增加企业的竞争力。 3机房防静电地板的铺设考虑到未来时间企业信息数据量的增加，贵公司现有的机柜和服务器甚至存储很有可能需要扩容。目前贵公司机房实际铺设防静电地板的面积，为可使用面积的一半左右。我们建议用户在本次机房线路整理的同时，可以考虑将现有的一半木地板和隔断拆除，铺设防静电地板，为将来的扩容做好充分的准备。 11 四、设备选用介绍 1SonicWall NSA2400

24、防火墙各种规模的企业都通过企业网络来访问内部和外部关键业务应用。一方面，网络优势不断为企业带来巨大利益，另一方面，他们受到攻击的挑战也日益巨增，这些攻击纷繁复杂，以经济利益为目的，是专门为了扰乱通信、降低性能和盗取数据而设计的。恶意攻击通过利用更高的网络层穿透过时的状态包检测防火墙。单一功能产品能够增加安全级别，但整体成本更大且难以管理，同时，不易控制网络误用，并在抵御多方位攻击时也差强人意。 SonicWALL网络安全设备（NSA）系列则引发了网络安全革命，采用了突破性多核设计以及具有专利的免重组深度包检测（RFDPI TM）技术*，让您无需牺牲网络性能即可获得全方位的安全保护。

25、 SonicWALL E-Class NSA 系列首次采用了该平台，如今该平台也适用于中型企业。NSA 系列克服了现有安全解决方案的各种局限性，它能实时地对每一个数据包执行整体扫描，以检测当前出现的内部及外部威胁。依靠高速多核处理平台，NSA 系列能执行深度包检测功能，同时不会影响关键网络及应用的性能。 NSA 系列采用了新一代统一威胁管理（UTM）技术来抵御各种攻击，同时具有入侵防御、防病毒及反间谍软件功能以及 SonicWALL 应用智能服务的应用层控制功能。NSA 系列利用先进的路由、全状态高可用性以及高速 IPSec 和 SSL VPN 技术让您的分支机构、中央区域及分布式中

26、小型企业网络倍添安全性、可靠性、功能性及生产力，同时还将成本及复杂程度降到最低。特性及优点 SonicWALL 新一代安全产品结合了更高层次的UTM 技术，集成了入侵防御、网关防病毒及反间谍软件以及应用智能服务（ApplicationIntelligence Service）可配置工具套件，以防止数据泄漏以及提供细粒度应用控制。可扩展多核硬件及免重组深度包检测扫描并清除任意大小文件中的威胁，对并发连接没有限制而且网速不减。网络管理员可使用主级或次级调制解调器或3G无线接口来配置NSA 240，确保产品的高度扩展能力可以满足未来的需求。 SonicOS 增强版 5.0 具有的全状态

27、高可用性及负载均衡功能可充分利用网络带宽，保证最大的网络正常运行时间，让您随时能访问关键业务资源，并且确保 VPN 隧道及其它网络流量在故障切换时不会中断。高性能及更低的总拥有成本（TCO）通过同时使用多核处理能力而实现，极大地增加了吞吐量和并行检测能力，同时降低了功耗。先进的路由服务及网络功能结合了先进的网络安全技术，包括 802.1q VLAN、WAN/WAN容错功能、基于域和对象的管理、负载均衡、先进的 NAT 模式及更多技术，为您提供灵活的细粒度配置及全面的 12 安全防护能力。标准 VoIP 功能为 VoIP 基础架构的每一个单元，从通信设备到适用于 VoIP 的设备，

28、如 SIP Proxies 、 H.323 Gatekeepers 以及 CallServer，提供最高级别的安全保护。安全的分布式无线 LAN 服务让设备能够起到安全无线交换机及控制器的作用，它能够自动侦别并配置 SonicPoints TM，SonicWALL 无线访问点保障了分布式网络环境中的远程访问安全。联网服务质量（QoS）特性利用行业标准的802.1p 及差异化服务编码点（DSCP）服务类别（CoS）指示符提供强大灵活的带宽管理，这对 VoIP、多媒体内容及关键业务应用起到至关重要的作用。同级别最佳的保护 SonicWALL 深度包检测保护能抵御网络风险，如病毒、蠕虫、

29、木马、间谍软件钓鱼式攻击、新出现的威胁及 Internet 误用。应用智能服务能提供额外的高可配置性控制以防止应用层上的数据泄漏及带宽管理。 SonicWALL 免重组深度包检测（RFDPI）技术利用 SonicWALL 公司的多核架构对数据包进行实时检测，而无需将信息流量缓存在内存中。该功能可以扫描并清除任意大小文件中的威胁，对并发连接没有限制。 NSA 网络安全设备系列通过连续自动的安全更新提供动态的网络保护，对新出现的及不断演变的病毒进行清除而无需请求管理员干预。统一威胁管理负载均衡包含了多种保护技术的单处理器设计受到单个中央处理器的严格限制。 SonicWALL UTM负载

30、均衡技术将高速深度包检测及流量分类引擎应用到多个安全内核上，并行扫描应用程序和文件，而不会对网络性能或可扩展性产生显著影响。这就使在承载带宽密集和延时敏感的应用和业务的网络上扫描和控制安全威胁成为可能。 SonicWALL Clean VPNT NSA 网络安全设备系列包括了极富创造性的 SonicWALL Clean VPN TM技术，该技术让远程移动用户及分支机构的信息进入企业网络之前，就对其漏洞利用及恶意代码进行清除，而无需用户干预。集中化策略管理可利用 SonicWALL 全球管理系统（GMS）对NSA 网络安全设备系列进行管理，该系统提供了强大、灵活、直观的管理工具，可对

31、各种配置执行集中管理，实时查看监控数据并将策略与合规性报告结合在一起。 SonicWALL NSA 网络安全设备解决方案都采用了突破性多核硬件设计以及具有专利的免重组深度包检测（RFDPI TM）技术，针对各种内部和外部网络保护，提供新一代统一威胁管理保护，而无需牺牲网络性能。每一款 NSA 系列产品都融合了高速入侵防御、文档和内容检测、强大的应用智能服务控制以及众多先进的、具有高度灵活性的网络和配置功能。NSA 系列所采用的平台不仅易用性强，而且价格合理，便于在各种类型的企业、分支机构和分布式网络环境中部署和管理。网关防病毒、反间谍软件、入侵防御服务及应用智能服务提供智能实时的网

32、络安全保 13 护，以抵御复杂的应用层以及基于内容的攻击，包括病毒、蠕虫、木马、间谍软件及软件漏洞利用（如缓存溢出）。应用智能服务能提供一整套可配置的管理工具，这些工具是专为防止数据泄漏并且提供细粒度应用层控制而设计的。强制客户端和服务器防病毒及反间谍软件利用一个单一的集成客户端为笔记本电脑、台式机及服务器提供全面的病毒及间谍软件防护，同时还能提供网络范围内的防病毒及反间谍软件策略、定义及软件更新的自动强制。内容过滤服务通过采用创新性的评级架构，利用动态数据库阻止 56 类令人讨厌的 Web 内容，从而实现保护及生产力策略的强制。 ViewPoint报告提供易用的、基于 Web 的

33、各种功能，这些功能让系统管理员能立即获得网络性能及安全的综合性了解。ViewPoint 采用 Dashboard 和详细总结的方式为各种机构提供一系列历史报告，从而帮助他们进行 Internet 使用追踪，满足合规性要求并对其网络的安全状态进行监控。 SonicWALL 虚拟辅助服务（SonicWALL Virtual Assist）是一项远程技术支持工具。采用此工具，技术人员可控制用户PC 或笔记本电脑，从而进行远程技术援助。经用户许可后，技术人员可通过Web浏览器及时访问用户计算机，更轻松地进行远程诊断和问题修复，而无需预装“肥”客户端。动态技术支持服务可根据用户的需要选择5

34、8或 724 小时技术支持服务。该服务包括世界级的技术支持、关键的固件升级、扩展性电子工具的使用以及即时的硬件更换，从而帮助企业获得最大的 SonicWALL 投资收益。全球 VPN 客户端升级采用了可直接安装在基于Windows 的计算机上的软件客户端，让远程用户可安全访问电子邮件、文件、内联网和应用，从而提高了员工的工作效率。升级许可证适用于各种规模的用户群，因此，企业可根据自身的发展进行扩展。 SSL VPN 远程访问升级为基于 PC、Mac 和 Linux的系统提供了无客户端远程网络访问。由于采用了集成式 SSL VPN 技术，SonicWALL UTM 设备让用户可通过

35、NetExtender（一种可推送到用户设备的轻量级客户端软件）无缝、安全地访问来自各种客户端平台的电子邮件、文件、内联网和应用。NetExtender 的安装和配置都是自动的，用户无需介入。 SonicWALL 综合反垃圾邮件服务可在网关阻止垃圾邮件、钓鱼邮件以及带病毒的电子邮件。只要轻轻一点，就可马上激活此服务，及时阻止垃圾邮件，节省宝贵的网络带宽，无需重定向 MX 记录或向另一提供商发送电子邮件。 14 规格防火墙 NSA 2400 SonicOS 版本 ?SonicOS 增强版 5.6（或更高）全状态吞吐量 1 775 Mbps GAV 性能 2 160 Mbps IPS

36、性能 2 275 Mbps UTM 性能 2 150 Mbps IMIX 性能 2 235 Mbps 最大连接数 3 225,000 最大 UTM 连接数 125,000 每秒新建连接 4,000 支持的节点无限制拒绝服务攻击保护 22 类 DoS、 DDoS 和扫描攻击支持的 Sonic 点（最多) 32 VPN NSA 2400 3DES/AES 吞吐量 5 300 Mbps 点对点 VPN 隧道 75 捆绑式全局 VPN 远程访问的客户端许可证（最多) 10（250) 捆绑的 SSLVPN 许可证（最多）? 10（250）捆绑的虚拟辅助服务（最多） 2（25）捆绑的虚拟辅助

37、服务(最多） 1（5）加密/认证/DH Group DES、3DES、AES（128 位、192 位、256 位）、MD5、SHA-1/DH Groups 1, 2, 5, 14 密钥交换密钥交换 IKE、IKEv2、手动键、PKI（X.509）、L2TPover IPSec 基于路由的 VPN? 支持（OSPF、RIP）证书支持 Verisign、Thawte、Cybertrust、RSA Keon、Entrust 和 Microsoft CA for SonicWALL-to-SonicWALL VPN、SCEP 失效对端检测（DPD) 支持 DHCP over VPN 支持 IPS

38、ec NAT 穿越支持冗余 VPN 网关支持 15 支持的全局 VPN 客户端平台 Microsoft?Windows 2000、Windows XP、 Microsoft?Vista 32 位/64 位、Windows 7 支持的 SSLVPN 平台 Microsoft? Windows 2000 / XP / Vista 32/位 / Windows 7、 Mac 10.4+、Linux FC 3+ / Ubuntu 7+ / OpenSUSE 安全服务 NSA 2400 深度包检测服务网关防病毒、反间谍软件、入侵防御和应用智能服务内容过滤服务 Premium 版（CFS）?

39、 HTTP URL、HTTPS IP、关键字和内容扫描 ActiveX、Java Applet 及 Cookie 封堵网关强制的客户端防病毒及反间谍软件? HTTP/S、SMTP、POP3、IMAP 及 FTP，强制的 McAfeeTM 客户端电子邮件附件封堵综合反垃圾邮件服务支持应用智能提供应用层强制及带宽控制、网页流量管理、电子邮件、电子邮件附件及文件转发，通过关键字和短语进行文件文档扫描和限制 DPI-SSL6 6 可透明解密 HTTPS 流量，并使用 SonicWALL 深度包检测技术（GAV/AS/IPS/应用智能服务/CFS）对流量进行扫描，以查找威胁，如果未发现

40、任何威胁或漏洞，随后将重新加密流量，并将其发送到目标地址。该功能既适用于客户端也适用于服务器。网络 NSA 2400 IP 地址分配静态、（DHCP、PPPoE、L2TP 及 PPTP 客户端）、内部 DHCP 服务器、DHCP 中继 NAT 模式 1:11:多多:1多:多、灵活的 NAT（重复的 IP）、PAT、透明模式 VLAN 接口(802.1q) 25 路由 OSPF、RIPv1/v2、静态路由、基于策略的路由、组播 QoS 带宽优先级、最大带宽、保证带宽、DSCP 标记、802.1p IPv6 适用于 IPv6 认证 XAUTH/RADIUS、活动目录、SSO、LDAP、内部

41、用户数据库内部数据库/单点登录用户 252/250 名用户 VoIP 全 H.323v1-5、SIP、Gatekeeper 支持、出站带宽管理、 VoIP over WLAN、深度安全检测、大多数 VoIP 网关及通信设备之间的全面互通性系统 NSA 2400 区域安全支持时间表一次，定期的基于对象 /基于组的管理支持动态域名支持管理及监控 Web GUI（HTTP、HTTPS）、命令行（SSH、控制台）、 SNMPv2：SonicWALL GMS 的全球管理系统 16 日志及报告 ViewPoint?、本地日志、Syslog、Solera Networks 高可用性可

42、选主动 /被动状态同步内部数据库/单点登录用户可选负载均衡是，（出方向的流量基于百分比、轮循及带宽溢出)（进入方向的轮循、随机分布、静态 IP、网段重新影射以及对称重新影射) 标准 TCP/IP, UDP, ICMP, HTTP, HTTPS, IPSec, ISAKMP/IKE, SNMP, DHCP, PPPoE, L2TP, PPTP, RADIUS, IEEE 802.3 无线标准 802.11 a/b/g/n, WPA2, WPA, TKIP, 802.1x, EAP-PEAP, EAP-TTLS 硬件 NSA 2400 （6 个）10/100/1000 铜缆千兆端口，

43、 1 个控制台接口，2 个 USB（备用) 内存（RAM） 512MB 闪存 32MBCom-pactFlash 512MB Compact Flash 3G 无线/调制解调器 7* 带 3G USB 适配器/调制解调器电源单个 180W ATX 电源风扇无 2 个风扇输入功率 100-240Vac, 60-50Hz 最大功耗 42W 总散热量 144BTU 认证 VPNC、ICSA 防火墙 4.1 待定认证 EAL-4+、FIPS 140-2 - 外观及尺寸 1U 机架式/1710.251.75 英寸/43.18264.44 厘米重量 8.05 镑/3.65 千克 WEEE 重量

44、克 8.05 镑/3.65 千克主要要求 FCC A 级、CES A 级、CE、C-Tick、VCCI、Compliance MIC、UL、cUL、TUV/GS、CB、NOM、RoHS、WEEE 运行环境 40-105F，5-40 MTBF 16.0 年湿度 10-90%，非冷凝 17 2H3C LS-5500-28C-SI 交换机产品概述 H3C S5500-SI 系列交换机是 H3C 公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供 IPv6 转发功能以及最多 4 个 10GE 扩展接口。通过 H3C 特有的集群管理功能，用户能够简化对网络的管理。S5500-S

45、I 系列千兆以太网交换机定位为企业网和城域网的汇聚或接入，同时还可以用于数据中心服务器群的连接。支持特性 S5500-28C-SI 交换容量（全双工） 192Gbps 包转发率（整机） 96Mpps 外形尺寸（长宽高）（单位：mm） 44030043.6 重量 4kg 管理端口 1 个 Console 口业务端口描述 24 个 10/100/1000Base-T 以太网端口 4 个复用的 1000Base-X 千兆 SFP 端口扩展插槽 2 个扩展插槽可选接口模块单端口 10GE XFP 接口模块两端口 10GE XFP 接口模块两端口 10GE CX4 接口模块两端口

46、GE SFP 接口模块两端口 10GE SFP+接口模块以太网供电 PoE 不支持 18 支持特性 S5500-28C-SI 端口聚合支持 LACP 支持手工聚合支持最多 12/24 个聚合组，每组支持最多 8 个 GE 或 2 个 10GE 端口（10GE 机型）端口特性支持 IEEE802.3x 流量控制（全双工）支持基于端口速率百分比的风暴抑制支持基于 PPS 的风暴抑制 MAC 地址支持 16K MAC 支持黑洞 MAC 支持设置端口 MAC 地址学习最大个数堆叠支持 IRF LITE 堆叠技术最大支持 16 台堆叠 VLAN 支持基于端口的 VLAN（4K 个

47、）支持基于 MAC 的 VLAN 基于协议的 VLAN 支持 QinQ，灵活 QinQ 支持 VLAN Mapping 支持 Voice VLAN 支持 GVRP DHCP 支持 DHCP Client 支持 DHCP Snooping 支持 DHCP Relay 支持 DHCP Snooping option82/DHCP Snooping option82 IP 路由支持静态路由支持 RIP/RIPng 19 支持特性 S5500-28C-SI 组播支持 IGMP Snooping /MLD Snooping 支持组播 VLAN 支持未知组播丢弃二层环网协议支持 STP/RST

48、P/MSTP 支持 RRPP 镜像支持 N:4 端口镜像支持流镜像 ACL 支持 L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、TCP/UDP 端口、协议类型、VLAN 的流分类支持时间段（Time Range）ACL 支持基于 VLAN 下发 ACL QoS 支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持 CAR（Committed Access Rate）功能每个端口支持 8 个输出队列支持端口队列调度（SP、WRR、SP+WRR）支持报文的 802.1p 和 D

49、SCP 优先级重新标记安全特性支持用户分级管理和口令保护支持 802.1X 认证/集中式 MAC 地址认证支持 Guest VLAN 支持 RADIUS 认证支持 SSH 2.0 支持端口隔离支持端口安全支持 EAD 20 支持特性 S5500-28C-SI 管理与维护支持 XModem/FTP/TFTP 加载升级支持命令行接口（CLI），Telnet，Console 口进行配置支持 SNMPv1/v2/v3，WEB 网管支持 RMON （Remote Monitoring）告警、事件、历史记录支持 iMC 智能管理中心支持系统日志，分级告警，调试信息输出支持 HGMPv2 支持 NTP 支持电源的告警功能，风扇、温度告警支持 Ping、Tracert 支持 VCT（Virtual Cable Test）电缆检测功能支持 DLDP（Device Link Detection Protocol）单向链路检测协议支持 Loo

展开阅读全文