金信工程网络传输设备采购项目技术方案建议书.doc

《金信工程网络传输设备采购项目技术方案建议书.doc》由会员分享，可在线阅读，更多相关《金信工程网络传输设备采购项目技术方案建议书.doc（71页珍藏版）》请在咨信网上搜索。

深圳市市场监督管理局金信工程网络传输设备采购项目技术方案建议书 本页为作品封面，下载后可以自由编辑删除，欢迎下载！！！ 精 品 文 档 1 【精品word文档、可以自由编辑！】 金信工程网络传输设备采购项目技术方案建议书 目 录 第1章 概述 4 1.1 项目建设单位概况 4 1.2 项目基本情况 4 1.3 项目目标及内容 4 第2章 网络设计方案 7 2.1 网络设计原则 7 2.2 网络总体框架 8 2.3 网络总体设计 9 2.3.1 拓扑结构 9 2.3.2 市局网络设计 9 2.3.3 分局网络设计 10 2.4 市局核心设计 10 2.4.1 核心IRF2虚拟化设计 11 2.4.2 数据中心虚拟化和网络融合技术 11 2.4.3 支持多业务插卡扩容设计 12 2.5 市局大楼无线设计 13 2.5.1 无线网络可扩展性设计 14 2.5.2 无线网络安全性设计 14 2.5.3 无线网络管理设计 16 2.6 流量控制管理 22 2.7 应用性能管理设计 23 2.8 分局网络核心设备设计 33 2.8.1 核心交换机VRRP设计： 33 2.8.2 分局核心网络路由规划 34 2.9 其它网络设备设计 34 2.9.1 高性能与灵活扩展能力设计 34 2.9.2 丰富的安全策略设计 35 2.9.3 简单易用的网络管理 35 2.9.4 高可靠性设计 35 2.10 网络管理设计 36 2.10.1 网络管理需求分析 36 2.10.2 网络管理范围 37 2.10.3 统一管理平台 37 第3章 QOS部署设计 51 3.1 QoS部署总体原则 51 3.2 概述 51 3.3 QoS规划及部署 52 3.3.1 业务的分类和标记 52 3.3.2 语音、视频业务QoS设计要求： 52 3.3.3 整体QoS部署方案 54 3.3.4 网络业务模型设计 56 第4章 网络可靠性设计 58 4.1 组网架构可靠性设计 58 4.2 设备可靠性设计选择 58 4.2.1 采用分布式体系结构 58 4.2.2 关键部件冗余 59 4.2.3 实时热备份机制 59 4.2.4 热插拔特性 59 4.2.5 冗余电源支持 59 4.2.6 散热系统 59 4.3 协议可靠性设计 59 4.3.1 BFD（双向转发检测）技术 59 4.3.2 BFD协议概述 60 4.3.3 BFD应用 66 4.3.4 平滑重启GR技术 67 第1章 概述 1.1 项目建设单位概况 深圳市市场监督管理局是二零零九年八月根据经中央编委和广东省委省政府批准的《深圳市人民政府机构改革方案》组建而成的行政机关，其主要职责是贯彻执行国家、省、市有关工商行政管理、质量技术监督、知识产权、食品安全监管和价格监督检查等方面的法律、法规和政策，起草相关地方性法规和规章草案，经批准后组织实施。 深圳市相关市场监督管理部门机构改革的目的主要是贯彻大部制改革思路，理顺市场监管体制。为了解决工商行政管理、质量技术监督部门职能交叉、职责不清的问题，同时为加强商标、版权和专利以及食品安全等执法监督，充分发挥整合优势，有力保护知识产权，强化食品安全监管责任，机构改革将工商行政管理局、质量技术监督局、知识产权局的职责，以及卫生局餐饮环节的食品安全监管职责整合划入市场监督管理局。调整后食品安全监管由目前的卫生、农业、质检、工商、食品药品5个部门减为卫生、农业、市场监管3个部门负责，知识产权保护由目前的工商、知识产权两个部门负责减为市场监管一个部门负责。机构改革后，深圳市不再保留工商行政管理局（物价局）、质量技术监督局和知识产权局。 机构改革后，深圳市市场监督管理局成为深圳第二大部门，其监管职责涵盖了原工商行政管理、质量技术监督、知识产权（商标、专利、版权）、物价、餐饮监管（其他地区属于食品药品监督管理局或者卫生局的职能）、酒类产品监管等部门职责。 1.2 项目基本情况 本项目是深圳市市场监督管理局金信工程的网络系统建设部分，为深圳市场监管局提供必要的计算机网络环境。本项目建设的地点在市局、各分局和各监管所。 1.3 项目目标及内容 本项目建设通过改善和解决深圳市市场监督管理局计算机网络系统目前主要存在部分设备老化、部分核心设备存在单点故障隐患、核心设备支持容量不够、监管所链路单一、网络优化不足、监控管理深度不够、管理范围不广等实际问题，目标是打造万兆核心网络，为“网上市场监管局”和“电子政务私有云”建设提供坚实的基础网络平台。 本项目建设对市市场监管局计算机网络系统，按照建设目标对市局、分局和监管所的网络系统进行全面改造。具体内容如下： 1.市局核心交换机升级 市局现有核心交换机为CISCO6509核心交换机，随着使用年限的增加和业务系统的多次扩充，部分设备存在业务模块、板卡、电源、风扇等性能无法满足业务增长需求问题、老化问题等，设备所支持的带宽将不足以应对业务需求的持续增长。计划部署两台万兆核心交换机替换现有设备，解决服务器增加和相关业务扩充的需要，增强系统性能、节省成本，并对整个市场监管系统的网络安全与稳定起到有效的保障作用。 2.市局大楼无线网络建设 市局大楼建设无线网络，无线接入点AP部署在各楼层，POE交换机布置在网络间。无线控制器、管理和认证服务器部署在网络中心区，实现对AP和无线接入用户的管理，并结合终端安全管理系统实现对用户认证的安全管理。 整个系统设计具备可扩展性，根据实际需求可进行规模上的扩展，扩展后所有功能和管理的模式保持不变。即便是未来的802.11AC无线技术的成熟之后，也只要增加相应的接入点产品即可，无需改变整个无线网络架构。 3.流量控制管理 市局部署流量管控系统，实现市局与分局全网流量的可视化，查看网络带宽使用情况，通过应用识别库按照各分局用户（或自定义对象）进行带宽的划分及合理的管控，提高带宽的使用效率，保障业务的稳定性。 系统对链路的流量进行统一的规划管理及带宽保障，优先保障重要、紧迫的应用流量，适当限制非重要、非紧迫的流量；对流量进行实时的监控和定期的统计，清晰的掌握链路中各种流量的组成，为系统规划的部署提供数据基础；对网内的用户进行分组并分配策略，不同组别的用户具有不同级别的流量使用策略，保障各用户都能合理的利用网络资源。 系统通过短信或邮件方式对出现的链路故障进行告警，以便管理员进行及时处理，保障业务系统的持久性。 4.应用性能管理 市局部署应用性能管理系统，采用端口镜像方式，通过对设备的性能分析、业务系统健康状态的探测和WEB性能的分析，可视化监控网络设备、服务器设备之间的数据流量，掌握数据在网络传输中的实际情况，准确定位业务系统故障。 系统建立主动预警机制，主动预防专线网络及应用性能面临的中断及瓶颈问题，保证业务系统的良好运行。 5.分局网络核心设备 目前，各分局广域网接入路由器为一台华为NE20路由器，核心交换机为一台华为S6503交换机，由于都是单台设备，存在单点故障的风险，一旦设备故障，将导致分局到市局的网络中断，直接影响业务的使用。为降低该风险，需要在各分局增加一台路由器和一台核心交换机，与现有设备形成双机备份，实现网络设备和链路的双冗余，极大加强网络的稳定性。 6.其它网络设备 分别购置一批汇聚网络交换机和接入交换机逐步更新老旧设备。 7.网络管理 市局部署网络管理系统，采用多厂商设备统一管理的形式，实现网络设备、安全设备、WLAN无线设备等的一体化管理。系统提供分级管理功能，B/S架构，提供软件接口，易于二次开发，WLAN业务管理主机能快速完成无线网络部署提供全网自动发现VPN业务功能，并支持多种发现规则（RT或VRF）。 第2章 网络设计方案 2.1 网络设计原则 l 高安全性原则 深圳市市场监督管理局对网络安全级别要求比较高，特别是保密单位对网络有更高的安全要求，他们在传输业务系统时，需要系统应能提供物理层到应用层的安全防护手段，以保证深圳市市场监督管理局业务的正常使用。 l 高可用性原则 为保证深圳市市场监督管理局各项业务应用，在网络层层面，不能出现单点故障。网络要求具有较高的容错性能，网络设备要求具有高性能的容错和冗余技术（如对路由协议快速收敛、平稳重启和MPLS TE FRR的支持），以确保网络系统不间断运行。对整个网络的机房布局、结构设计、设备选型、电力供应、日常维护等各个方面进行高可用性的设计、建设、管理。采用相关的软件技术来提供较强的管理机制、控制手段和事故监控以及安全保密。对关键设备进行整机冗余、线路模块冗余、控制模块冗余、电源设计冗余、风扇冗余，并支持模板热拔插等。 l 技术规范性原则 网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准，为网络的扩展升级、与其他网络的互联提供良好的基础。在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则，如果是不同厂商的产品，必须具备可操作性与可管理性。 l 网络可扩展化原则 有充分的机制方便未来系统内各单位接入的扩展、业务量和业务种类的扩展，保证建设完成后的网络在向新的技术升级时，能保护现有的投资。 网络可扩展的关键在于能否实现合理的层次化设计，采取层次化的设计可以根据网络需求的变化，可在不影响现有网络运行的状况下，迅速扩展。 网络的设计建设必须具有良好的灵活性与可扩展性，能够根据今后业务不断深入发展的需要，扩大设备容量和提高带宽容量。具备支持多种网络传输、多种物理接口的能力，提供技术升级、设备更新的灵活性。 在网络设备选型过程中，设计中所采用的设备本身应具有极高的端口密度，层次化设计会为整个网络的扩展奠定了基础。同时，应充分考虑路由协议的选用，使路由协议为整个网络的发展带来较强的路由扩展能力。 l 可管理性原则 网络管理不仅仅是及时发现故障，而且需要在故障没有发生之前探知到即将到来的瓶颈以及可能出现的故障。整个网络系统的设备和服务器的安全性、数据流量、性能等要得到很好的监控。 网络设计原则关键点 网络设计中安全、稳定放在第一位。整个城域网平台是市场监督管理局信息网基础平台，网络的安全性、稳定性必须要有保证。采用的组网技术、拓扑设计、各种网络协议使用等需要按照市场监督管理局单位信息安全标准来进行设计。 2.2 网络总体框架 如图所示，本次网络建设，包括是深圳市市场监督管理局、福田分局、罗湖分局、南山分局、盐田分局、宝安分局等局域网的设计及市局到分局的广域网设计。 2.3 网络总体设计 2.3.1 拓扑结构 2.3.2 市局网络设计 深圳市市场监督管理局的核心节点上部署2台H3C S10512多级交换架构的核心交换机，通过IRF虚拟化堆叠技术，提高网络的整体性能和可靠性。 在深圳市市场监督管理局网络中部署一台应用性能管理服务器，采用端口镜像方式，通过对设备的性能分析、业务系统健康状态的探测和WEB性能的分析，可视化监控网络设备、服务器设备之间的数据流量，掌握数据在网络传输中的实际情况，准确定位业务系统故障。系统建立主动预警机制，主动预防专线网络及应用性能面临的中断及瓶颈问题，保证业务系统的良好运行。 同时在深圳市市场监督管理局网络中部署一个网络管理中心，在网络管理中心部署imc基础网络管理平台和NTA网络管理组件、iAR报表组件、WSM无线管理组件实现实现网络设备、安全设备、WLAN无线设备等的一体化管理。 在市局部署流量控制设备，实现市局与分局全网流量的可视化，查看网络带宽使用情况，通过应用识别库按照各分局用户（或自定义对象）进行带宽的划分及合理的管控，提高带宽的使用效率，保障业务的稳定性。系统对链路的流量进行统一的规划管理及带宽保障，优先保障重要、紧迫的应用流量，适当限制非重要、非紧迫的流量；对流量进行实时的监控和定期的统计，清晰的掌握链路中各种流量的组成，为系统规划的部署提供数据基础；对网内的用户进行分组并分配策略，不同组别的用户具有不同级别的流量使用策略，保障各用户都能合理的利用网络资源。系统通过短信或邮件方式对出现的链路故障进行告警，以便管理员进行及时处理，保障业务系统的持久性。 2.3.3 分局网络设计 目前，各分局广域网已有接入路由器一台，核心交换机一台，由于都是单台设备，存在单点故障的风险，一旦设备故障，将导致分局到市局的网络中断，直接影响业务的使用。 为降低风险，增强网络的可靠性，本次项目在各分支网络新增一台路由器SR6608-X、一台核心交换机S7506E-S。核心交换机直接通过VRRP协议实现核心交换机的冗余备份，并且对局域网内的数据进行负载分担。出口路由器通过路由协议及路由策略的设计实现出口数据的负载分担。 2.4 市局核心设计 随着深圳市市场监督管理局服务器增加和相关业务扩充，市局原有核心交换机为CISCO6509核心交换机，随着使用年限的增加和业务系统的多次扩充，部分设备存在业务模块、板卡、电源、风扇等性能无法满足业务增长需求问题、老化问题等，已经不足以应对业务需求的持续增长。 本次设计采用两台H3C S10512高性能核心交换机对原有核心交换机CISCO6509进行替换，两台核心S10512采用IRF2技术虚拟成一台逻辑的核心交换机，核心交换机重要功能模块采用冗余备份设计，核心交换机到其他设备采用双链路连接，避免出现单点故障的情况，对整个市场监管系统的网络安全与稳定起到有效的保障作用。 H3C S10512交换机采用先进的CLOS多级多平面交换架构，可以提供持续的带宽升级能力，并完全兼容40GE和100GE以太网标准。提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。同时，H3C S10512也符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。 针对深圳市市场监督管理局项目高可靠性、高性能需求，本次核心交换机替换所用设备具备以下功能特性设计： 2.4.1 核心IRF2虚拟化设计 市局网络核心交换机采用虚拟化技术，将两台S10512虚拟化成一台逻辑的核心交换机，对整个市场监管系统的网络安全与稳定起到有效的保障作用。 面向园区网横向业务整合的需求，S10512支持IRF2（第二代智能弹性架构）技术，将多台高端设备虚拟化为一台逻辑设备，是业界首款支持4框虚拟化的核心交换机产品，在可靠性、分布性和易管理性方面具有强大的优势，主要体现在三个方面： 可靠性：通过专利的路由热备份技术，在整个虚拟架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了虚拟架构的可靠性和高性能，同时消除了单点故障，避免了业务中断； 分布性：通过分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率； 易管理性：整个弹性架构共用一个IP管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本。 2.4.2 数据中心虚拟化和网络融合技术 随着深圳市市场监督管理局服务器和业务的增加，后期可能存在云网融合的需求，作为网络中心核心设备，最好能够提供云网融合的技术解决方案。 H3C S10512产品在云计算数据中心虚拟化和网络融合方面都提供了一系列技术解决方案： TRILL：随着服务器和交换机规模的增加，数据中心网络越来越倾向于扁平化的网络架构以便于维护管理，这就要求构建一个大型的二层网络；S10512系列产品支持通过TRILL技术和纵向虚拟化技术来进行数据中心大二层网络的构建。数据中心大二层技术TRILL（TRansparent Interconnection of Lots of Links，多链路透明互联）协议将三层路由技术IS-IS（Intermediate System-to-Intermediate System，中间系统到中间系统）的设计思路引入二层网络，并对其进行了必要的改造。从而将二层的简单、灵活性与三层的稳定、可扩展和高性能有机融合起来。S10512同时也支持数据中心桥接国际标准（DCB）规定的PFC(IEEE802.1Qbb)、ETS(IEEE802.1Qaz)。 VCF：（Vertical Converged Framework，纵向融合架构） S10512系列产品可以在纵向维度上支持异构虚拟化，将核心和接入设备通过VCF技术形成一台纵向逻辑虚拟设备，相当于把一台盒式设备作为一块远程接口板加入主设备系统，以达到扩展I/O端口能力和进行集中控制管理的目的。VCF技术可以简化管理，大幅度降低网络管理节点；简化布线，二层变为一层，节省横向连接线缆；最终实现数据转发平面虚拟化，便与简化业务部署和自动编排。 MDC：S10512产品已经可以通过MDC技术可以实现1：N的虚拟化能力，即一台物理交换机可以虚拟化成N台逻辑交换机，满足多业务客户共享核心交换机，这样，一方面可以充分利用核心交换机的能力；另一方面也降低了用户的投资成本；一举两得，而且还可以通过MDC技术实现对业务的安全隔离。 EVB：S10512产品支持EVB (Edge Virtual Bridging)，通过VEPA (Virtual Ethernet Port Aggregator)技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理，不仅实现了虚拟机间流量转发，同时还解决了虚拟机流量监管、访问控制策略部署等问题。 FCOE： S10512系列产品支持FCOE技术；FCOE技术主要用来解决云计算数据中心LAN网络和存储网络异构的问题，通过FCoE和CEE技术的部署，可以实现数据中心前端网络和后端网络架构的融合，解决数据、计算和存储三网割裂的技术难题，从而大大降低数据中心的采购和扩容成本； 2.4.3 支持多业务插卡扩容设计 考虑到深圳市市场监督管理局后期网络的需求的发展，核心设备应该采用开放应用架构，能够将传统园区网核心交换机的L2至L3的报文转发的简单功能，重新定义为集成L2至L7的深度业务感知，有线无线一体化，有源无源一体化，IPv4/IPv6一体化，网络流量分析与管控等多业务于一体的多业务承载平台。 H3C S10512支持防火墙模块、IPS模块、负载均衡等安全控制模块，可以将安全保护功能扩展到交换机的每个端口；支持虚拟防火墙功能，可以为VPN用户提供网络防火墙的租用服务。实现了网络业务和安全业务的无缝融合。 S10512系列集成无线控制模块，实现有线无线一体化解决方案。无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。 2.5 市局大楼无线设计 针对深圳市市场监督管理局对市局大楼无线建设的需求，本次对无线采用H3C FIT AP的方案设计拓扑图如下： 市局大楼建设无线网络，无线接入点AP WA2620I部署在各楼层，POE交换机S5110-28P-PWR布置在网络间，无线AP采用POE交换机远程供电。在市局网络中心区部署无线控制器S7503E-S插卡无线控制器、IMC有线无线管理和认证服务器，实现对AP和无线接入用户的管理，并结合终端安全管理系统实现对用户认证的安全管理。 H3C FIT AP方案设计具备可扩展性，能够根据实际需求可进行规模上的扩展，扩展后所有功能和管理的模式保持不变。后期需要对802.11AC无线AP进行扩容只要增加相应的接入点产品即可，无需改变整个无线网络架构。 2.5.1 无线网络可扩展性设计 本次项目采用无线控制器和FIT AP（即“瘦”AP）的架构，将密集型的无线网络和安全处理功能转移到集中的无线控制器(以下简称AC)中实现，实现无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。，使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。 H3C FIT AP方案设计具备可扩展性，能够根据实际需求可进行规模上的扩展，扩展后所有功能和管理的模式保持不变，并且在802.11 AC的AP运用成熟后，只需要在网络中增加相应的AP就可以，不需要改变网络结构。 2.5.2 无线网络安全性设计 由于无线电波的开放性，任何人都能监听到信道中无线数据的传输，这就对无线网络的安全性提出了更高的要求。 如何保证WLAN网络的安全性一直是WLAN技术在应用推广中面临的最大障碍。IEEE标准组织及WI-FI联盟为此一直在进行着努力，先后推出了WEP、WPA、802.11i等安全标准，逐步实现了WLAN网络安全性的提升。但802.11i并不是WLAN安全的终极标准，针对802.11i标准的不完善之处，中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的WAPI(无线局域网鉴别与保密基础结构)机制，来实现无线局域网的安全。 深圳市市场监督管理局信息保密非常重要，一旦被泄漏或者被其他机构获得，都会给医院造成难以弥补的损失。由此可见无线网络安全部署重要性。 为了保证深圳市市场监督管理局无线数据传输的安全性，无线接入点选用H3C WA2620i型号AP。H3C WA2620i采用严格安全性要求设计，具备多种安全技术特性。 持WIPS/WIPS特性，能够对无线入侵数据进行检测和防御； 支持RealTime Spectrum Guard(实时频谱保护)模式 RealTime Spectrum Guard(RTSG)是H3C创新提出的针对无线环境频谱状态的专业监控方案。H3C WA2600 i系列AP支持内置射频采集模块，实现深度融合的射频监控和实时频谱防护。 RTSG的控制台融合部署于H3C iMC智能管理中心，通过CAPWAP管理隧道，与Sensor AP进行通信和数据采集，实现7X24小时的无线环境质量监控、无线网络能力趋势评估以及非许可干扰告警。通过图形化方式，主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合H3C iAR智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。 针对用户无线环境监管的不同层次需求，RTSG方案的部署可以灵活采用Local mode或Monitor Mode。当工作在Local Mode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。 支持WAPI，WAPI采用国家密码管理委员会办公室批准的公钥密码体制（椭圆曲线密码算法和对称密码体制的分组密码算法），分别用于WLAN接入设备的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。 高安全性/复杂度的加密算法、支持双向鉴别、使用数字证书、支持完善的鉴别协议等是WAPI相对于802.11i的优势，也是目前业界最先进的WLAN网络安全标准。 但是，网络安全应该作为一个整体体系，不仅仅关注安全标准，更要注重分层实施安全策略。因此，在这里创新性的提出了分层的安全体系架构，将WLAN的安全从单一的物理层安全延伸到设备安全、用户接入安全、网络层安全、管理安全等多个层面上，使用户在使用WLAN网络时能够像使用有线网络一样安全可靠。 本次项目中无线控制器选用H3C S7503E-S插卡无线控制器，设备支持7层移动安全检测/防御(wIDS/wIPS)。WX5510E系列无线控制器支持的移动安全防御模式有：黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的Signature MAC层攻击检测与反制(例如：DoS攻击，Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库，可以获得灵活的无线安全策略判断依据，对于明确的非法攻击源(AP或终端等)，实现可视的物理位置跟踪监控和交换机物理端口移除。可以实现移动园区的7层立体安全防御，满足真正的从无线(802.11)到有线(802.3)端到端安全防护需求。 2.5.3 无线网络管理设计 为了达到信号全面覆盖，市局大楼需要部署大量AP，如何对成百上千AP进行快速有效的配置和管理，融合到原有的管理系统中，也是本次项目在部署无线网络时关心的问题。 虽然FIT AP解决方案在应用上取得了成功，帮助管理员实现了更加灵活地安装与应用，但管理无线网络却仍然是一项非常耗时且麻烦的事情，在大型企业网环境中尤为如此。传统的FIT AP解决方案由无线控制器（AC）及无线接入点（FIT AP）构成，虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能，但是与有线网络难于统一，无法在整个企业范围内实现用户管理及认证、服务质量控制和安全策略实施等。因此，通常引入无线网络会降低安全性，整个网络管理起来比较复杂，并且维护成本也比预期高。 H3C IMC智能管理软件通过无线管理组件有效地整合有线和无线网络，实现统一的网络控制、可扩展性、安全性和可靠性，对于企业应用具有重要的意义。 一体化移动网络能够有效实现有线和无线网络的融合。通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全，为大型园区、中小型办公场所及远程分支机构提供安全的企业无线接入。一体化移动网络有效实现有线与无线的融合，减少了硬件投入，大大降低了企业大规模部署WLAN的难度，减少网络管理维护的工作量，提高了生产效率，最终实现降低企业TCO，提高了赢利能力，从全球WLAN网络发展格局看来，这种建网思路也将成为一种趋势。 H3C无线运营管理组件（WSM）在下一代业务软件平台iMC的基础上进行开发，不仅为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。 无线有线一体化管理： H3C无线运营管理组件（WSM）作为iMC智能管理中心的无线业务管理核心，对于网络中的AC、FAT AP、FIT AP、移动终端等无线设备与有线设备进行一体化集中管理，全网设备信息和状态一目了然。网络资源通过多种视图进行查看，视图内分组管理，将规模巨大的无线接入设备有效组织，便于管理员维护。 多样化的拓扑管理： WSM中的无线业务逻辑拓扑帮助管理员直观了解网络部署情况及设备/链路当前状态。系统可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中管理员可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。 无线终端查看和漫游记录审计： WSM可以直接在拓扑图中对移动终端的信息进行查看，包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看各移动终端的全部漫游记录，使管理员随时了解最终接入用户的情况，并对其接入轨迹进行审计。 RF覆盖及无线网络规划： 在实际无线环境的部署和维护中，需要关注无线设备的RF范围、覆盖管理以及无线网络规划扩容问题。H3C无线运营管理组件（WSM）可以用很直观的拓扑图表示出无线网络中的RF状况。通过障碍物的设置，用户可以更加精确的查看由于遮挡对信号衰减的情况。查询RF覆盖可以分别按照信号强度、速率、信道进行，满足用户分析信号覆盖情况的需要。 可根据用户的需求，将虚拟AP加入位置视图拓扑，并查看信号覆盖范围，帮助用户在建设或扩容WLAN网络之前，通过评估具体位置中AP信号覆盖情况，对AP型号选择和布局进行详细的网络规划。 基于物理位置的无线终端准入控制： 结合iNode客户端，WSM可以实现基于物理位置的无线终端准入控制。通过设置准入区域及其准入规则，用户可以将未经授权的iNode用户强制下线或向其发送通知等方式进行控制，方便了用户实施基于物理位置的终端准入控制。 无线网络质量评估： WSM网络评估功能为用户提供了评估无线网络质量的途径，方便用户了解某区域内的AP工作情况及用户体验情况，根据评估结果及数据记录，用户可采取有效措施进行网络优化，改善网络质量。通过AP设备及移动终端的相关数据进行采集并汇总，根据任务阈值设置的AP及用户的评价标准对AP及用户进行评价，完成评估后可查看网络评估报告了解评估期间AP的工作情况及用户网络使用情况。WSM提供丰富的评估报告，显示各位置视图下AP设备的总评信息、评估期间AP及用户各项统计指标的历史及汇总记录、以及相应的评价结果，可通过总评信息了解某位置下AP的整体工作情况，通过各查询条件迅速找到关心的AP及用户。 PoE供电管理： WSM可以实现对AP可能的上联设备进行查询的功能，并可以确定AP与上联设备是否直连。通过此功能，用户可以方便的查找AP的物理接入端口。如果AP是使用PoE供电的方式，还可以通过对PoE端口的操作实现对AP的断电、上电。 绿色节能管理： WSM可对整网的WLAN设备制定绿色节能策略，包括AP、Radio按计划启动和停止， Radio的功率按计划动态调整， Radio提供的SSID服务按计划启动和停止，以达到节约能源、减少辐射、改善环境的目的。 无线入侵检测和防护： 无线网络灵活多变，并且基础设施不可见，因此比有线网络更容易遭到越权使用。对于这类问题，WSM提供了Rogue设备检测功能，可对无线入侵进行检测，可明确显示非法接入设备，并对其进行信息查询、加入黑名单及发起攻击等动作。 丰富的无线统计报表： 对网络进行运营管理需要对网络进行全方位的监控，从网络各种性能指标、告警指标中进行智能的统计和分析，才能有效从整体对网络状况进行衡量。WSM提供了丰富的无线统计报表查询和定制功能，以帮助管理员对网络进行综合而全面的管理。通过配置分级报表系统，可以实现对大规模的无线网络的报表系统，从而可以满足运营商级别的报表统计需求。 2.6 流量控制管理 在市局的出口部署一台H3C F100-M-G流量控制设备，实现市局与分局全网流量的可视化，查看网络带宽使用情况，通过应用识别库按照各分局用户（或自定义对象）进行带宽的划分及合理的管控，提高带宽的使用效率，保障业务的稳定性。 通过H3C F100-M-G对链路的流量进行统一的规划管理及带宽保障，优先保障重要、紧迫的应用流量，适当限制非重要、非紧迫的流量；对流量进行实时的监控和定期的统计，清晰的掌握链路中各种流量的组成，为系统规划的部署提供数据基础；对网内的用户进行分组并分配策略，不同组别的用户具有不同级别的流量使用策略，保障各用户都能合理的利用网络资源。 系统通过短信或邮件方式对出现的链路故障进行告警，以便管理员进行及时处理，保障业务系统的持久性。 通过该设备实现具体功能如下： 完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、地址扫描和端口扫描等多种恶意攻击。 IPv4/IPv6协议栈：支持完整的IPv4/IPv6协议栈，能够为各种IPv4/IPv6应用提供支撑。随着网络安全问题日益突出，加强了IPv4/IPv6协议栈安全性，提高了网络设备抵御攻击的能力。 丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSec VPN及SSL VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。 实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。 全面的流量管理：能精确检测BitTorrent、Thunder（迅雷）、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。 细致的行为审计：可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。 NAT应用：提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。 2.7 应用性能管理设计 市局部署H3C APM应用性能管理系统，采用端口镜像方式，通过对设备的性能分析、业务系统健康状态的探测和WEB性能的分析，可视化监控网络设备、服务器设备之间的数据流量，掌握数据在网络传输中的实际情况，准确定位业务系统故障。 系统建立主动预警机制，主动预防专线网络及应用性能面临的中断及瓶颈问题，保证业务系统的良好运行。 通过iMC APM应用管理系统能够帮助企业各种业务的监控管理需求而提供的应用监控管理解决方案，采用易于部署的Web架构，基于最新的Agentless（无监控代理）技术，无需在被监控的服务器上安装监控代理，就可以通过Telnet、命令行等方式，对关键应用或资源进行远程监控，避免安装监控代理后对服务器造成的影响。iMC APM提供强大的系统与应用监控管理能力，可以对不同的业务系统、应用和网络服务（如服务器、操作系统、数据库、Web服务、中间件、邮件、其他关键应用等），进行远程监控和管理，从而充分满足用户对各种关键业务和数据中心的监控管理需求。在应用监控的基础上，结合告警、报表等功能，对网络中的所有应用进行可用性和健康度评价，帮助网络管理员了解网络应用的运行状况，并及时发现网络应用的隐患。 H3C APM应用管理设备具备以下特点： l 应用监视 应用监视能够监视各种应用程序和服务器，包括：Windows服务器、Unix服务器、Linux服务器、数据库、应用服务器、Web服务器、邮件服务器、Web服务、LDAP服务等。 Windows服务器包括：Windows XP、各版本的Windows Server。 Unix服务器包括：AIX、FreeBSD、OpenBSD、Solaris、Mac OS、HP-UX。 Linux服务器包括：Linux。 数据库服务器包括：Oracle（8.x/9i/10g/RAC/11g）、MySQL（3.23.x/4.x/5.x）、MS SQL Server（2000/2005/2008）。 应用服务器包括：.Net服务器、JBoss服务器、Tomcat服务器。 Web服务器包括：Apache 服务器、IIS服务器。 邮件服务器包括：Exchange 服务器（2003/2007）。 Web服务包括：REST服务、SOAP服务。 LDAP包括：Active Directory服务。 最近1小时可用性和健康状况历史： 在应用监视页面，将鼠标放置到可用性或者健康状况的图标上，页面自动弹出最近1小时的可用性或健康状况历史。 应用监视报表： 在应用监视页面，点击应用名称，弹出该应用的监视报表。 可用性及指标历史： 在报表页面，今日可用性模块，点击图标或者，页面弹出应用最近7天或者30天可用性历史； 其他模块点击图标或者，