远程教育网络解决方案分析(共17页).doc

精选优质文档-倾情为你奉上XX大学远程教育解决方案2011-3-10目录第1章 项目背景1.1 项目需求 XX大学远程教育系统要建立一个覆盖全国、安全可靠的XX大学远程教育内部管理平台。网络中心为100M的双路互联网宽带出口，其他网点分布在全国各地通过internet各种形式的宽带接入互联网，在XX大学校园内还有一批教师需要能够随时随地通过互联网安全快速地接入XX大学远程教育网络平台。本方案的目标是利用VPN技术建立一个基于internet的远程教育系统的私有网络，实现在该VPN网络平台上，远程教育各个管理应用系统数据的安全传输，以及对接入用户身份的有效认证和方便控制。尤其在对教师、学员等移动用户的接入身份认证上，需要将VPN系统和现有XX大学远程教育应用系统的身份认证模块无缝整合，实现VPN接入和应用系统用户身份的集中管理和统一控制，极大方便系统管理员管理和用户使用第2章 网络平台建设方案2.1 网络建设目标在完成了XX大学远程教育系统的VPN网络建设后，将为应用系统提供统一、安全、高速、可靠的网络传输平台，具体能够实现以下目标： 1）网络互联可实现本部和各地分支/代理机构、移动用户之间的安全互连，为内部管理系统的运行提供互连互通、又安全可控的XX大学网络平台。 2）独立性能够根据用户的需要有选择地对需要的业务数据进行加密，不需要加密的数据和Internet接入业务可以不受到影响。 3）网络安全性安全周边安全：VPN安全网关融合了防火墙、VPN、路由器等功能及入侵检测微引擎，可对外来及内部攻击进行主动防御，更能保证整个网络平台的安全及每个局域网内部的安全。我公司VPN安全网关其内置防火墙其抗攻击能力优异。信息传输安全：通过建立VPN加密隧道、采用有别于光纤及DDN专线所采用之传统明文传输的密文传输方式，保证信息传输的完整性、保密性及不可抵赖性，把安全真正掌握在用户手里。可靠性：我公司VPN安全网关性能稳定可靠，其高达60000小时的平均无故障工作时间可为系统长期稳定运行提供强有力的保证。 4）系统扩展和变更的灵活性系统VPN网络的扩展非常容易，同时又不会带来安全隐患。 5）网络通讯效率此次网络建设所选用的设备具有很高的加密速率，不会影响网络的通讯效率。为各种网络应用提供统一管理的、透明的网络传输平台。 6）高性价比本项目实施后不但解决了很高的信息数据传输安全性，而且不会影响网络传输性能。本方案不仅满足今天的需求，而且支持未来扩展。本方案提供了完整的思路，具有极高的性能价格比和投资回报率。2.2 远程教育网络平台建设方案 我们建议远程教育网络平台采用如下图所示的拓扑结构：出口网关选用深信服公司的M5800-AD做为负载均衡网关，SSL VPN选用深信服VPN7150-EL做网内单臂接入，.核心交换机选用H3C公司的S5650C。在XX大学远程教育系统信息中心，通过双路100M光纤连接到互联网。对于总部，由于中心网点是整个系统的核心需要确保高可靠性，所以在出口处部署2台千兆级的负载均衡安全网关，实现双机热备功能。对于分支机构，根据各分支机构的不同情况，分别部署硬件安全网关设备和软件网关到各驻外机构。对于老师这类移动用户，由于涉及的应用系统更加机密别而且用户数量较少，所以采用“硬件USB KEY”作为强身份认证工具，通过配套的安全客户端软件实现远程移动安全接入。对于学员这类移动用户，由于相对需要的身份认证不需要特别强而且数量庞大、流动量较大，所以采用“用户名加密码”的方式进行身份认证（在安全客户端启动界面上输入），结合安全客户端软件实现远程移动安全接入。对于XX大学远程教育网总部： 在网络的旁路，单臂部署深信服千兆型VPN安全网关（安全网关综合利用了隧道技术、加密技术、认证技术来保护XX大学远程教育系统和下属市、县远程教育系统内网的安全通讯、安全传输）。另外，VPN-7150安全网关提供高可靠性的双机热备功能，可以在主设备发生故障时，备份网关自动快速进行状态切换，确保系统工作不中断。安全网关可以实现以下几方面功能：1）  和远地分支机构网络边界部署的VPN安全网关或安全客户端建立VPN加密隧道，确保数据传输安全；并能够通过VPN通讯策略的灵活设置，根据用户要求实现对指定网段/范围/IP地址的PC的应用系统数据传输进行加密保护。2）  对总部内网的防火墙防护：深信服安全网关具备优良的状态检测防火墙功能，可以防御外网对内部主机的端口扫描、各种DoS/DDoS攻击等恶意攻击行为，还可以抵御各种常用的应用层攻击。另外，可以通过VPN安全网关上的访问控制策略，对内网PC进行严格的基于“五元组+时间”的访问控制。如：为确保安全性,可对允许上网的PC进行IP和MAC绑定,并通过网关中的安全策略设置对这些PC的数据流进行状态检测,以确保不能被仿冒；也可以使用网关中的“用户上网认证”功能，使用户在使用浏览器上网浏览时，首先要通过网关的访问密码认证；禁止某些URL网址的访问等。3）  安全网关具备八个等级的Qos控制功能，能够为VOIP和视频等需要优先的网络应用，保留带宽和优先处理，这样当网络拥挤时，也能够保障VOIP和视频的畅通和话音质量。安全网关能够将访问控制策略与保留带宽绑定，并能为这些应用设定优先级，共有8个处理等级可以设置。4） 深信服公司的负载均衡网关有防火墙功能，为以后进一步加强总部内网的安全留下发展的空间。对于各地的分支机构：    我们可以根据各分支机构的不同情况，分别部署硬件安全网关或安全客户端系统（配合USB KEY）到各驻外机构。具有子网的各驻外机构采用ADSL或者其他宽带方式（如：Cable Modem、FTTB等）接入Internet。建议在有一定规模的局域网出口处，部署中低端型号的安全网关，如：VPN2050或P5100；建议在仅有少数终端的分支机构（如：办事处），在需要联入远程教育网的终端上安装深信服公司的安全客户端软件（与USB KEY配合使用），从而和总部联网实现VPN加密通讯。对于教师和学员等移动用户：XX大学远程教育系统的用户数目庞大，主要包括：教师和学员。对于这么大数量的用户，需要有一个很好的组织方式，能够方便管理和维护，并且和应用系统能够无缝整合，实现VPN接入身份认证和应用系统身份认证完全实现统一：统一管理、单点登录。对于教师，由于数量较少，人员比较稳定，而且使用的系统与内部管理关联紧密，所以需要更高的安全性。我们建议采用：安全客户端配套USB KEY来接决教师和总部VPN安全网关的互联互通。 对于学员，由于数量庞大，而且分布在全国各地，不便进行现场支持，而且稳定性相对较差，所以我们建议采用：纯软件版的安全客户端系统实现和总部VPN安全网关的互联互通。，同时通过“帐户名+ 口令”的方式进行VPN接入身份认证；并且通过定制，实现VPN接入的“帐户名+ 口令”与应用系统的“帐户名+ 口令”完全一致，实现单点登录。根据上述方法，一种对用户（教师和学员）实现统一管理的方法，可采用LDAP目录来保存用户信息，所有的用户信息都保存在LDAP服务器上。 LDAP是Lightweight Directory Access Protocol的缩写，基于X.500标准，但是简化了很多并且可以根据需要定义。与X.500不同的是，LDAP支持TCP/IP，这是访问Internet所必须的。通过LDAP可以访问存储在LDAP目录中的信息。LDAP目录采用树型层次结构来存储数据，就象DNS的主机名一样，LDAP目录中记录的的标志名（Distinguished Name）用来读取单个记录，并回溯到目录树的顶部。大多数的LDAP服务器都为读密集型的操作进行专门的优化。因此，当从LDAP服务器中读取数据的时候会比从关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化，大多数的LDAP目录服务器并不适合存储需要经常改变的数据。对于学员组织结构这样需要经常查询，但是很少修改的信息，非常适合存储在LDAP目录中。LDAP允许根据需要使用ACL（访问控制列表）来控制对数据的读写权限，指定不同的用户可以拥有不同的操作权限，实现用户信息的分级管理。针对XX大学远程教育网的情况，LDAP目录用来存储学院的学员信息，LDAP目录可以根据学院的组织结构来组织。LDAP目录以学院为根目录，以不同的系为下一级目录，如果有需要，每个系可形成再下一级的目录，最后的记录项保存学员的相关信息。同时，通过使用LDAP的ACL，允许学院的管理员有对所有用户信息有读写权限，而系管理员只对本系的用户信息有完全的读写权限。采用LDAP目录来存储用户信息，可以根据学院组织结构来组织用户，方便地实现用户的分级管理，减少管理员的工作量。当用户通过VPN客户端请求连接到安全网关时，先以SSL方式连接到VPN7150安全网关，并上传“帐户名和密码”，安全网关从LDAP服务器获取用户的相关信息，并校验用户身份。如果用户身份校验通过，安全客户端将和安全网关建通过IKE协商建立VPN隧道，通过隧道访问内网应用服务器。LDAP服务器由应用系统管理员进行管理。2.3 深信服AD简介深信服AD系列应用交付产品，使您的业务发布更加快速、稳定，大幅度提升客户的应用访问体验。 深信服application delivery（AD）应用交付产品包含链路负载、服务器负载、商业智能分析等功能，相对于其他同类产品，深信服AD最主要的特色就是加入了商业智能分 析功能。深信服AD不仅能为企事业单位提供链路负载和服务器负载以及其它附带功能，而且还能为其提供一种为企业业务运营提供决策依据的工具。深信服应用交付已经在国土资源部、最高人民法院、新闻出版总署、云南省电网、四川省银联、国美电器、联想移动、中融国际信托等用户处获得了成功应用。产品特点u 快速、智能的应用交付深信服AD系列产品不仅包含传统的链路负载均衡以及服务器负载均衡的所有功能，同时具备单边加速、DNS透明代理、链路繁忙控制、智能路由、商业智能分析等众多快速、智能的优化技术，能够最大程度提升用户的访问体验。 u 单边加速功能独一无二的单边加速功能，客户端无需安装任何插件和软件即可提升用户访问速度，这使得用户可以更快更稳定地访问发布内容，打造稳定智能的业务发布平台。 u 商业智能分析深信服AD应用交付产品区别于传统负载均衡设备，更加关注企事业单位应用的整体交付过程中与业务、网络优化相关的一系列问题。其中最显著的特点就是，在保证应用交付过程中稳定性的前提下，不仅可以知悉组织网络和服务器的运行状况，更重要的是可以帮助组织分析自身的业务系统运行状况，以此为高层的网络优化和业务优化提供决策依据。 u 链路负载和服务器负载二合一深信服AD产品作为专业的应用交付设备，能够为用户的应用发布提供全方位的解决方案，包括链路优化和服务器优化，四到七层负载均衡，实现对各个链路以及服务器状态的实时监控，同时根据预设的规则将请求分配给相应的链路以及服务器，以此最终实现数据流的合理分配，使所有的链路和服务器都得到充分的利用，扩展应用系统的整体处理能力，提高应用系统的稳定性，改善用户的访问体验，降低组织IT投资成本。u 高投资回报比深信服AD系列应用交付产品打破国外厂商垄断，在同等投入水平下，具备链路、服务器二合一负载均衡解决方案，并直接开通SSL加速、缓存、压缩等众多优化功能，获得超出业界同类产品的设备性能。 功能价值链路负载均衡技术功能功能价值  负载均衡算法丰富：轮询、加权轮询、加权最小连接等满足客户多种负载形式的需求，将用户访问请求合理的分配，实现业务快速、智能、稳定的访问  支持入站/出站双向负载入站流量及出站流量均支持负载均衡，提升组织多链路资源的带宽利用率  DNS透明代理即使内网用户DNS服务器配置不良，亦能实现上网链路的最佳选择  链路拥塞控制实时检测多链路状态，避免将请求发送给已过载的链路，提升链路使用率，实现链路保护  链路健康检查链路健康检查，及时排除链路故障应用负载均衡技术功能功能价值  负载均衡算法丰富：轮询、URL散列、动态反馈、最快反应等将用户访问均衡的分配给各台服务器，提升服务器响应速度，服务器资源利用率，以及访问请求的响应速度  数据压缩缓存及http压缩，答复降低服务器压力，缩短用户下载资源的时间，提升效率  单边加速客户端无需安装任何插件及软件情况下，大幅提升访问速度，改善用户体验  SSL加速将SSL加解密工作转交给应用交付设备，降低对服务器资源的占用，提升服务器响应能力  服务器健康检查服务器健康检查并及时发现故障服务器，保障用户访问的连贯性商业智能分析技术功能功能价值  链路负载报表提供流量、访问次数、带宽利用率等面数据统计，帮助管理人员直观的了解链路运行状态  服务器负载报表提供流量、访问次数、并发连接数等数据，帮助管理人员直观了解服务器运行状态  商业决策BI提供用户时段分析、用户地域分析、用户类别分析等数据，让企业决策者清晰了解访问者分布及特点，为管理提供智慧决策依据  稳定性统计具备链路稳定性及服务器稳定性报表，管理人员可查看各链路、服务器状态是正常、繁忙还是故障，便于及时调整设备管理技术功能功能价值  智能告警系统当服务器、应用系统故障时，以邮件、短信等方式通知管理员，以便及时维护并保障业务正常  全中文界面图形化配置界面，具备配置向导辅助配置，大大降低配置难度  多级授权管理用户与角色相分离，实现管理权限最大化细分，保障组织信息管理安全性  安全防护DOS攻击及ARP欺骗防护手段阻挡来自互联网的攻击，提高系统安全性  配置备份/恢复支持从设备图形配置界面直接备份及恢复备份配置，便于设备管理2.4 深信服VPN网关简介深信服为您提供高速、易用、安全且高度可靠的SSL VPN产品。作为中国SSL VPN领域的绝对领导者，深信服SSL VPN解决方案已在政府、金融、运营商、能源、教育、大中型企业等各个领域都得到了广泛应用。在中国入选世界五百强的企业中，有近70%的企业选择了深信服SSL VPN解决方案。u 轻松移动办公深信服SSL VPN可助您轻松使用笔记本、桌面PC、智能手机、PDA等移动终端设备实现安全、便捷的远程接入内网，在降低运营成本的同时大幅提高企业的生产效率。u 第三方远程接入深信服SSL VPN为您提供完整的第三方远程接入方案，融合了多种加速技术并进行细致的应用权限访问控制，让您的第三方合作伙伴能享受快速资源共享体验的同时，实现应用的安全、可控的访问。u 内网分区逻辑隔离保护深信服SSL VPN通过细致的权限划分、多种认证安全机制、客户端安全检查等多项技术为您实现安全、可靠、低成本、灵活度高的网络逻辑隔离方案。u 关键业务信息系统安全加固深信服SSL VPN提供完整的关键业务信息系统安全加固方案，提供完整的身份认证机制及访问过程保护，并具有专利技术主从帐号绑定指定用户的应用访问帐号，杜绝帐号冒用及越权访问。u 防范WLAN非法访问深信服SSL VPN为您提供安全的WLAN接入方案，通过SSL VPN进行WLAN接入的统一认证，严格控制访问用户，防止信息泄漏，保护应用安全。功能价值技术优势功能价值  快速流缓存：特有的加速技术大幅削减冗余数据的传输。甚至可削减多达80%的流量，大大提升用户访问速度多线路复用智能选路：同时复用多条线路带宽资源，全面提高VPN接入速度。单臂模式下亦支持  安全混合认证：多种认证方式“与”、“或”组合，实现不同使用者登录安全的差异化要求，比网银还安全 终端检测：检查接入用户客户端设备的系统类型、注册表、进程等特征，防止客户端因感染木马病毒等通过VPN隧道潜入组织内网的风险安全桌面沙盒技术：组织内网指定资源的访问、编辑、数据操作等均在虚拟的安全桌面中进行，避免数据留存在客户端设备上而泄密的可能虚拟站点和分级管理：实现虚拟站点，并在虚拟站点下实现多达16级树形用户分组结构，与组织行政架构体系一致，权限管理更清晰  易用单点登录（SSO）：支持B/S、C/S应用的单点登录，避免用户重复输入账号或口令的繁琐操作 远程应用发布：将组织内网应用程序窗口发布到远程用户端，无需传输大量数据，只需传输界面/键盘/鼠标信息，速度更快，使用更方便兼容各种终端：包括PDA、智能手机、Apple电脑、Linux系统、Firefox浏览器等不同的终端环境均支持接入SSLVPN非对称集群以及分布式集群技术：实现非对称型号的集群和分布式的集群方式，实现最佳的投资回报比和访问便易性快速技术功能功能价值  智能选路组织网络为多条运营商线路时，远程用户接入时自动选择最快链路，解决跨运营商问题  多线路复用同时复用多条线路带宽资源，全面提高VPN接入速度。单臂模式下亦支持  HTP加速提高无线GPRS/CDMA/EDGE下的SSL VPN访问速度  负载均衡融合服务器负载均衡技术，将用户访问请求在多服务期间职能分配，提升访问速度  Web优化动态调整页面显示效果，提高PDA、智能手机用户访问体验  智能数据压缩大幅减少数据量，降低带宽需求，提高传输速度  流缓存加速(选配)特有的加速技术大幅削减冗余数据的传输。甚至可削减多达80%的流量，大大提升用户访问速度身份安全技术功能功能价值  本地认证支持用户名/密码认证，图形验证码认证，本机自建CA认证等，使得认证体系的构建简单方便  第三方认证支持第三方CA认证、Radius、LDAP、Microsoft AD等认证，于接入人员身份的统一管理  动态认证支持短信认证、USBKey认证、动态令牌认证、终端硬件特征码认证等，大幅强化接入用户身份鉴别安全性  混合认证多种认证方式“与”、“或”组合，实现不同使用者登录安全的差异化要求，比网银还安全  其他认证密码防暴力破解、软键盘及图形码验证等终端安全技术功能功能价值  客户端安全检查检查接入用户客户端设备的系统类型、注册表、进程等特征，防止客户端因感染木马病毒等通过VPN隧道潜入组织内网的风险  客户端动态授权基于时间、接入IP、接入线路、客户端安全检查结果等动态控制该用户对组织内网资源的访问授权策略  VPN专线客户端接入SSL VPN后自动断开其余所有Internet连接，避免黑客以客户端为跳板潜入内网的风险  安全桌面组织内网指定资源的访问、编辑、数据操作等均在虚拟的安全桌面中进行，避免数据留存在客户端设备上而泄密的可能  “零”痕迹退出SSL VPN后自动清除本机访问痕迹，避免信息泄露传输安全技术功能功能价值  丰富的加密算法支持AES、DES、3DES、RC4、SHA、MD5等多种国际标准加密算法，且支持国密办安全算法，提供全面安全保障  标准SSL VPN支持利用标准SSL 协议进行数据封装，完全符合国家标准的SSL VPN技术规范权限安全技术功能功能价值  基于角色授权将用户身份与资源关联，直观管控接入用户的访问权限   细粒度授权可按URL、服务、IP等实现内网资源的划分和用户接入授权  关键文件保护保护客户端中指定的关键文件，一旦被篡改将不能接入SSLVPN或访问关键的应用系统  用户分级管理多达16级树形用户分组结构，与组织行政架构体系一致，权限管理更清晰日志安全技术功能功能价值  日志数据丰富系统日志、设备运行日志、管理员日志、用户日志等，便于设备管理  独立日志中心日志数据可采用第三方设备独立存储、海量存储  统计报表众多基于用户、用户组、流量、资源等的柱状图、曲线图、列表等多种显示方式，便于管理员全面掌握SSL VPN运行、资源访问及用户SSL VPN的使用情况  日志分级管理日志中心支持分节点分级管理，防止轨迹记录被删除或滥用易用技术功能功能价值  单点登录（SSO）支持B/S、C/S应用的单点登录，避免用户重复输入账号或口令的繁琐操作   兼容各种终端包括PDA、智能手机、Apple电脑、Linux系统、Firefox浏览器等不同的终端环境均支持接入SSLVPN  流量/会话控制基于用户、用户组的流量控制/会话控制，防止单用户流量过大、滥用带宽问题，提高整体用户访问体验  系统托盘用户端支持以托盘程序形式连接SSLVPN，并支持开机SSL VPN自动登陆、断线自动重连  远程应用发布将组织内网应用程序窗口发布到远程用户端，无需传输大量数据，只需传输界面/键盘/鼠标信息，速度更快，使用更方便  虚拟站点将一台SSL VPN 设备虚拟成多套独立的、互不干预的虚拟SSLVPN设备高可靠、可扩展技术功能功能价值  Webagent专利只有动态IP的组织也可使用唯一的静态入口接入SSLVPN   多线路备份多条VPN链路互为备份技术，提高SSLVPN的可靠性  双机/多机技术一台设备故障时，另一台或几台设备自动接管所有SSL VPN业务，保证VPN的稳定和可靠性  集群技术多台SSLVPN设备以集群方式部署，稳定性更高、性能更强，且保护客户前期投资，实现性能平滑升级  分布式集群多个数据中心均部署SSL VPN后，用户以统一入口自动就进接入最快的SSLVPN，且实现异地热备接入、全网负载均衡等效果2.5 核心交换机S5650C简介H3C S5600系列全千兆智能弹性交换机是华为3COM公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用华为3COM公司创新的IRF（Intelligent Resilient Framework，智能弹性架构)技术，支持高达96G的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。H3C S5600系列提供：· 产品系列齐全，每款都支持1端口、2端口万兆接口或8端口SFP千兆光口，最大的堆叠带宽达到96G· 支持创新的IRF（Intelligent Resilient Framework）智能弹性架构技术，能够实现用户网络的高度弹性智能扩展· 可通过双绞线向远端下挂PD设备（如IP Phone、WLAN AP、Security、Bluetooth AP等）提供电源，实现POE功能· 支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系· 更加多样化的管理和丰富的特性H3C S5600系列以太网交换机目前包含型号：S5600-26C 24个10/100/1000Base-T以太网端口和4个1000Base-X SFP千兆以太网端口（Combo），后面板提供两个固定的堆叠接口和一个扩展模块插槽。S5600-26C-PWR 24个10/100/1000Base-T以太网端口和4个1000Base-X SFP千兆以太网端口（Combo），后面板提供两个固定的堆叠接口和一个扩展模块插槽，带POE功能。S5600-50C 48个10/100/1000Base-T以太网端口和4个1000Base-X SFP千兆以太网端口（Combo），后面板提供两个固定的堆叠接口和一个扩展模块插槽。S5600-50C-PWR 48个10/100/1000Base-T以太网端口和4个1000Base-X SFP千兆以太网端口（Combo），后面板提供两个固定的堆叠接口和一个扩展模块插槽，带POE功能。S5600-26F 24个千兆SFP端口，4个Combo的10/100/1000M电口，后面板提供两个固定的堆叠接口和一个扩展模块插槽。产品特性u 大容量全线速的多层交换S5600系列交换机具有192G/240G的交换容量和66M/102Mpps的二/三层包转发能力，支持所有端口线速转发。设备最大提供24/48端口10/100/1000M电接口、32个SFP千兆光接口或2个10G接口，充分满足客户对高密度GE和万兆上行设备的需求。设备具备强大的IRF堆叠扩展能力，极大的节省了用户对设备的投资。u IRF智能弹性架构技术 S5600系列交换机采用创新的IRF智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势，主要体现在三个方面；扩展性IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大实现8台设备的弹性扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。可靠性通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了堆叠架构的可靠性和高性能，同时消除了单点故障，避免了业务中断。分布性通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。u POE(Power over ethernet)远程供电特性S5600系列交换机支持PoE（Power Over Ethernet）功能，即可通过双绞线向远端下挂PD设备（如IP Phone、WLAN AP、Security、Bluetooth AP等）提供电源，实现对下挂PD设备远端供电，使设备安装简单而且节省空间。作为供电方PSE（Power Sourcing Equipment）设备，支持IEEE802.3af线路供电标准，同时也可以兼容不符合802.3af标准的PD（Powered Device）设备。交换机远端供电时每个以太网口向下挂设备提供的最大功率为15.4W。S5600提供千兆电口上的PoE特性，能够充分满足未来技术发展的需求，为千兆无线技术，语音技术的发展提供了支持。通过支持POE和Voice VLAN技术，S5600系列交换机能够提供完美的数据和语音融合解决方案。u 完备的安全控制策略S5600系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持DUD（Disconnect Unauthorised Device）认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。支持QoS Profile功能。和802.1x认证功能相结合，可以动态的为通过认证的用户提供预先配置的一套QoS功能。用户在经过802.1x认证后，交换机根据AAA服务器上配置的用户名和Profile的对应关系，将相应的Profile动态下发到用户登录的端口上，为该用户提供量身定做的服务质量保证。支持SSH特性。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时，可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。u 高可靠性S5600系列交换机采用IRF技术组网后，能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大地增强了设备和网络的可靠性，消除了单点故障，避免了业务中断。同时H3C S5600系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持等价路由实现上行路由的冗余备份和负载分担。采用交、直流双输入电源模块供电，也可以通过更换电源模块来支持PoE功能，提供所有固定端口的PoE满负载。u 丰富的QOS策略H3C S5600系列交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类；每端口支持100个流规则，整机支持3200/5600个流规则，充分保障了复杂网络对于QoS规则的要求。提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式；支持8个优先级队列。支持CAR（Committed Access Rate）功能，可以实现基于端口和基于流的速率限制，限制的粒度可以精确至64Kbps，为网络带宽的精细化管理提供了手段。 u 多样的管理方式H3C S5600系列交换机支持CLI（命令行）、Telnet、Console口配置，支持华为3COM的Quidview®、iManager®网管系统，支持WEB网管，使设备管理更加方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。第3章 产品列表3.1 专心-专注-专业