旅游景区自动票务系统设计方案.doc

1、第1章 项目背景4第2章 项目分析52.1 需求分析52.2 网络设计原则52.3 安全目标6第3章 系统总体设计原则73.1 网络模型设计73.1.1 核心层（Core Layer）73.1.2 汇聚层（Distribution Layer）83.1.3 接入层（Access Layer）83.2 网络模型选择8第4章 网络详细设计方案84.1 旅游区网络拓扑图94.2 IP地址规划94.3 VLAN规划10第5章 网络安全设计115.1 VLAN技术115.2 AAA技术125.3 防火墙技术125.4 安装杀毒软件135.5 其它安全措施13第6章 网络拓扑结构图146.1 星型拓扑14

2、6.2 总线型拓扑146.3 树型拓扑156.4 环型拓扑166.5 网状拓扑16第7章 设备选型167.1 抗DOS选型177.2 核心层交换机选型177.3 汇聚层交换机选型197.4 防火墙选型227.5 路由器选型23第8章 网络模拟实现268.1 模拟器介绍268.2 模拟环境拓扑图278.3 需求实现288.4 配置方法29第9章 网络测试339.1 单体测试339.2 网络连通性测试369.3 网络冗余性测试38第10章 总 结41第11章 参考文献42第1章 项目背景某旅游景区的面积大约有30005000亩大小，景区有东、西、南、北4个门，数据中心位于南门旁。游客购买门票可以使

3、用刷卡、网购或者现金，购买后，门票打印机自动打印带有条码的卡片门票，游客通过景区门口的翼闸读票即可通过。每个门口2个翼闸，两台PC，景区内部通过有线快速以太网连接。服务器放置于数据中心。需要购置服务器若干台，交换机如干台，PC若干台，翼闸8台，门票打印机8台。现在各地市的公园都普遍存在着面积大、场地分散，人员众多，公园周边的环境复杂等特点，随着近年来公园暴力事件和突发事故的增加,以及公园内监控需求的增加，传统的人力巡查已不能满足公园安全管理的需求，越来越多的公园开始考虑通过公园网络视频监控系统的实施来建设平安公园。深圳市中晖盛大科技有限公司专业生产全线网络视频监控系统设备，针对公园网络视频监控

4、系统建设具有丰富的设计经验。第2章 项目分析2.1 需求分析某旅游景区刚刚建成，是一大型3000亩旅游景区，为了实现景区的自动化售票系统，旅游景区客流量大，一般景区年客流量大约在30120万人次，门票方式将是非常重要的考虑因素，需要建立自己企业的Intranet。景区有东、西、南、北4个门，数据中心位于南门旁。游客购买门票可以使用刷卡、网购或者现金，购买后，门票打印机自动打印带有条码的卡片门票，游客通过景区门口的翼闸读票即可通过。系统需要实现的目标如下：（1）现有效的数据交换和共享。企业通过两条专线接入电信和网通。（2）景点实现售票自动化，可通过刷卡，网购或现金交易。（3）景点对外提供网站购票

5、，并且能够保证网站安全，不受外部或者内部攻击。（4）购买后，门票打印机自动打印带有条码的卡片门票，游客通过景区门口的翼闸读票即可通过。（5）服务器放置于数据中心。需要购置服务器若干台，交换机如干台，PC若干台，翼闸8台，门票打印机8台。（6）充分考虑后续网络的接入扩展性。（7）充分考虑数据中心内部网络的安全性。2.2 网络设计原则我们遵循以下的原则进行网络设计：l 实用性实用性是网络系统建设的首要原则，该网络必须最大限度的满足需求，保证网络服务的质量，否则就会影响日常工作效率。l 标准化整个网络从设计、技术和设备的选择，要确保将来可能的不同厂家设备、不同应用、不同协议连接的需求，必须支持国际标

6、准的网络接口和协议，以提供高度的开放性。l 先进性先进性主要是针对网络系统的设计思想、网络结构、软硬件设施以及所选用技术等方面。只有先进的技术才可能为网络带来更高的性能，并且能保证在技术上不容易被淘汰。l 可扩展性可扩展性是指该网络系统能够适应需求的变化。随着技术发展，信息量增多和业务的扩大，网络将在规模和性能两方面进行一定程度的扩展。l 可靠性网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效，核心设备需要支持冗余备份。l 安全性网络安全性在整个网络中是个很重要的问题，网络系统建设应采取一定手段控制网络的

7、安全性，以保证网络正常运行。l 管理性随着网络规模和复杂程度的增加，管理和故障排除就会越来越困难。为保障网络中心的正常运行，网络必须易于管理，支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊断、修复。2.3 安全目标该旅游景点自动售票系统安全体系建设的目标是在国家和行业相关安全政策和标准的指导下，结合信息系统自身的安全风险防范需求，通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等，全面提升信息系统的安全性，能面对目前和未来一段时期内的安全威胁，实现对全网安全状况的统一管理，更好地保障信息系统的正常运行，全面提升售票信息系统的安全保

8、护水平，并达到国家信息安全等级保护相关标准的要求。2.3 设计遵循的规范1.1.1 2.3.1 综合布线1、IEEE802.3，IEEE802.5，10BASE-T，100BASE-T，FDDI2、EIA/TIA 568民用建筑线缆标准3、建筑与建筑群综合布线系统工程设计规范 GB/T 50311-20004、建筑与建筑群综合布线系统工程验收规范 GB/T 50312-20005、中国建筑与建筑群综合布线系统工程设计规范 CECS72:976、中国建筑电气设计规范7、工业企业通信设计规范8、中国工程标准化协会CECS72：979、EIA/TIA 569民用建筑通信通道和空间标准10、EIA/T

9、IA 606 民用建筑通信管理标准1.1.2 2.3.2 网络系统在整个项目的建设过程中，我公司将遵循和参照最新的、最权威的、最具有代表性的信息安全标准。这些安全标准包括：1、ISO/IEC 15408 Information technology Security techniques Evaluation criteria for IT security 信息技术安全技术信息技术安全评估准则（等同于Common Criteria for Information Technology Security Evaluation V2.1，简称CC V2.1）2、BS7799 Code of pr

10、actice for information security management信息安全管理纲要（即将被ISO采纳为 ISO17799）3、IETF-RFCRequests For Comments是Internet Engineering Task Force组织发布的TCP/IP标准及相关说明等资料。其中有许多有关安全的标准和说明作为本项目的参考标准和资料。4、我国的国家标准GB、国家军用标准GJB、公共安全行业标准GA、行业标准SJ等标准作为本项目的参考标准。5、GB9813-88 微型数字电子计算机通用技术条件6、JY0001-88教学仪器产品的检验规则7、JY0002-88教学仪

11、器产品的检验规则8、JY0009-90教学电子仪器的环境要求和试验方法第3章 系统总体设计原则3.1 网络模型设计图3.1 典型的三层网络模型三层网络架构采用层次化模型设计，即将复杂的网络设计分成三个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有以下三个层次：3.1.1 核心层（Core Layer）核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。该层必须是基于千兆高速交换和路由的设计，设备的性能容量也是最高的（高达百Gbps

12、 容量和每秒千万级数据包转发能力）。主要是由全模块化的高性能多层路由交换机和高性能服务器组成，系统带宽必须是千兆甚至10Gbps。3.1.2 汇聚层（Distribution Layer）汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施路由策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。该层一般采用100M 或1000M的快速交换路由设计，设备的性能容量性也很高，主要由固定配置+可选模块的三层路由交换设备组成。3.1.3 接入层（Access Layer）接入层向本地网段提供工作站接入。在接

13、入层中，减少同一网段的工作站数量,能够向工作组提供高速带宽。访问层是由100M 快速以太网交换机和客户机组成，该层次一般采用100M 快速以太网，采用可管理的固定配置的工作组级别的交换机，能提供多层堆叠功能实现大量用户的接入。三层网络架构的特点是网络性能高，层次清晰，网络管理直观、方便，并合理地分散了网络设备带来的安全风险，网络结构安全可靠。3.2 网络模型选择单核心网络模型适用于规模小，信息节点少，对网络冗余性要求不高的网络，一般小企业网络最为常见，而双核心网络模型适用于规模大，信息节点多，网络冗余性要求高的网络，一般的园区网都使用双核心网络。第4章 网络详细设计方案4.1 旅游区网络拓扑图

14、4.2 IP地址规划在构建基于 TCP/IP 的企业网络时，IP 地址的选择是根据企业网络规模大小从以下三类国际Internet 组织公布的私有网段中产生，这些范围内的IP 地址不在Internet 上传输，是专门提供给企业用来建设内部网络(Intranet)：A 类私有IP: 10.0.0.0 10.255.255.255。B 类私有IP: 172.16.0.0172.16.31.255。C 类私有IP: 192.168.0.0192.168.255.255。对于小型网络，由于用户少、设备数量少，建议使用地址空间小的192.168.0.0/16的网络。而对于中大型园区网络，如三层结构的校园网

15、，由于上网人数多，设备数量多，建议采用地址空间大的10.0.0.0/8的网络。4.3 VLAN规划虚拟局域网(VLAN)是将局域网内广播域逻辑地划分为若干子网。在一个交换局域网中，所有局域网段通过交换机连接到一起，路由器连在交换机上(如果是三层交换机，则不需路由器)，可以按网段和站点的逻辑分组形成广播域，通过在局域网交换机内过滤广播包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。虚拟局域网之间的寻径由路由器完成。虚拟局域网建立以后，能有效地控制网络的广播风暴，减少不必要的资源带宽浪费，并能随着企业规模的发展和调整改变通信流的模式。VLAN规划需要考虑如下因素：用户V

16、LAN与设备管理VLAN分开(IP地址)。为网络扩容进行可汇总的预留设计。IP地址与VLAN编号(其它相关因素)有一定的对照性。如图3.3所示：图3.3 IP和VLAN对应规则根据具体需求与安全性要求等情况综合分析，景区网络IP地址详细规划如表3.4所示：表3.4 IP地址规划表物理位置VLAN范围IP网段默认网关获取方式东入口VLAN 10172.16.10.1172.16.10.253/24172.16.x.254/24DHCP西入口VLAN 20172.16.20.1172.16.20.253/24172.16.x.254/24DHCP南入口VLAN 30172.16.30.1172.1

17、6.30.253/24172.16.x.254/24DHCP北入口VLAN 40172.16.40.1172.16.40.253/24172.16.x.254/24DHCP数据中心VLAN 10010.10.0.0/16固定IPDMZVLAN20010.20.0.0/16固定IP第5章 网络安全设计景区网的安全是一个综合问题，它包含网络设备和人为因素两个方面以及与外网（Internet）接口上的安全问题。网络的有效性和可靠性即它的可连续运行的安全性是网络建设必须考虑的首要原则，从用户的角度考虑，当网络所需的服务不可用时，不管是何种原因，网络就失去了实际价值。从另一角度看，当某种网络服务的响应时

18、间变得变幻莫测时，网络系统也不可靠了。为此我们在网络设计上就考虑了以下的技术来提高安全性。5.1 VLAN技术VLAN技术是通过路由和交换设备，在网络的物理拓扑基础上建立的一个逻辑的网络。VLAN可以看作是一个广播域，它们不受地理位置的限制而像处于同一LAN上那样相互交换信息。VLAN是在交换网络中实现的。每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发，并能将这种划分信息传递到网络中其它交换设备和路由器中去。可以限制VLAN中的用户数量，禁止那些没有得到许可的用户加入到某个VLAN中。这样，可以控制用户对网络资源的访问，控制广播组的大小和组成，并借助网管软件在发生

19、非法入侵时通知管理员。交换机上划分VLAN方法如图4.1所示：图4.1 交换机划分VLAN方法5.2 AAA技术AAA认证体系结构包括鉴别（Authentication）、授权（Authorization）和记账（Accounting）。鉴别过程主要完成用户身份识别，并为该用户指定特权级别，控制该用户对网络资源和服务的访问和使用，在允许访问前，用户必须首先通过鉴别。授权过程决定用户或用户组可以访问的指定服务和网络资源，该过程也定义在用户在资源上的可执行的操作。记账的过程主要是收集信息，以确定谁在使用哪些资源。5.3 防火墙技术目前，在保护计算机网络安全的设备中，使用最多的就是防火墙。防火墙是在

20、两个网络之间执行控制策略的系统，这两个网络中，通常一个是要保护的内部网，一个是外部网，防火墙在内部网和外部网之间构成一道屏障，通过检测、限制或者更改通过它的数据流，对外屏蔽内部网的信息、结构和运行状况，以防止发生网络入侵或攻击，达到对内部网的安全保护。防火墙原理如图4.2所示： 图4.2 防火墙原理图5.4 安装杀毒软件网络的普及带来了计算机的飞速发展，计算机进入了寻常百姓家，个人电脑的安全问题显得尤为重要，尤其是政府重点部门，在防毒杀毒、系统保护方面等方面提出更高的要求，销售防毒杀毒产品的公司很多，如国外的诺顿、卡巴斯基，国内的360、金山等。5.5 其它安全措施服务器本身的安全考虑：不同的

21、功能应尽量分布在不同的主机上，出于节省投资，有时需要将多种应用系统合并到一台物理主机上承载，例如，一台服务器同时提供HTTP 服务和数据库服务。考虑服务器合并时，不仅考虑它的承载能力和处理能力，还要考虑合并的各种服务的安全级别。不要把对外服务的应用与对内管理的应用合并。操作系统：授予不同用户不同的权限。应用软件：在应用软件开发中，也需要考虑分级权限控制，以防止错误操作引起系统数据丢失。最后系统管理员要养成良好的安全管理习惯，例如：定期修改管理员口令，避免使用规律的、易猜测的密码，定期检查安全漏洞等。第6章 LAN网络整体设计方案6.1 LAN网络拓扑结构的选择网络拓扑结构选用星型拓扑结构。它是

22、目前使用最多、最为普遍的局域网拓扑结构。易于网络扩展，节点也具有高度的独立性，电缆的故障或者节点故障的出现，影响都是局部的，只会影响到与线路或节点相关的部分，这种结构还适合在中央位置放置网络诊断设备。6.2 LAN网络技术的选择传统的网络技术通常采用共享访问链路方式进行操作，即网络上所有站点共享一条公共的通信通道，在多个站点同时请求发送数据而导致冲突时，遵循CSMA/CD（多路载波侦听/冲突检测）协议。目前，常用的主干网组网技术有：快速以太网（100Mbps）、FDDI（100Mbps）、千兆以太网（1000Mbps）和ATM（155Mbps/622Mbps），FDDI已经较少使用，主要采用千

23、兆以太网、快速以太网和ATM作为主干网组网技术。根据我们对此次景区计算机网工程进行认真仔细的需求分析和理解，在充分研究了目前国际网络界对网络设计所采用的各种网络技术，并充分考虑到技术发展的主流和趋势后，我们建议景区计算机网络采用以千兆以太网为核心层链路、以千兆以太网为核心与汇聚层连接而组成网络主干。千兆以太网具有技术先进、带宽高、吞吐量大、传输速率高等特点，是一种很有前途的网络技术，是近几年在快速交换式以太网上发展起来的组建主干网的技术。近两年来在组建主干网的技术上它对ATM提出了严重的挑战，在园区局域网上已占有相当的优势。千兆以太网的主要优点是：易用性由于采用与以太网相同的CSMA/CD协议

24、，实现简单、理解容易、适用于维护简单，千兆以太网网络可通过对现有网络的平滑升级实现，对于那些熟悉以太网、802.1d协议以及OSPF路由协议的人会发现千兆以太网比ATM协议要容易掌握。同样千兆以太网并没有本质上改变对园区骨干网络的设计方法；高带宽可提供高达1000Mbps的网络带宽，能满足多媒体等网络应用的带宽需求；性能价格比高由于千兆以太网采用与以太网同样的帧格式，无需转换，没有额外的开销，容易实现。同相应的ATM设备比较,千兆以太网在LAN交换机的上连接口和数据服务器的网卡是低价格的。在杂志或者各种顾问报告中可以找到提示价格并且象前面所说的那样通常会比ATM优惠50%左右。具有从网卡到交换

25、机的全线产品，交换机具有第三层交换能力，特别是近几年技术上有所突破，提供了较好的服务质量保证（QoS）,实现对多媒体信息处理的支持。支持多种方式的VLANVLAN技术通常用来隔离网络广播，减少网络风暴的影响。现已有802.1Q标准，可对网络中的所有交换机和路由器进行VLAN配置和跨越网络设备连接，是对信息的管理和维护更方便。主流交换式千兆以太网产品均支持多种方式的VLAN设置。正因为千兆以太网技术已趋成熟，产品业已全线配套，且已采用最新技术提供了较好的QoS,更重要的是它与ATM相比较，价格便宜。所以我们采用交换式千兆以太网作为景区的主干网络。聚合交换性能（全工千兆以太网端口）吞吐量（每秒的百

26、万数据帧）图：千兆以太网网线速度性能6.3 LAN网络结构的设计和设备的选型根据实践经验我们建议局域网采用常用的三层式网络结构体系接入层、汇聚层、核心层，接入层负责用户终端设备的接入，通过MAC地址实现第二层交换；汇聚层负责对接入层交换机进行汇聚，通过光纤或双绞线连接到核心层中心交换机或接入层交换机；核心层也可以说对应于TCP/IP协议中的第三层，主要负责内部虚拟子网的路由、中心服务器的接入、广域网的接入。下面我们按三层体系结构针对景区进行分析和设计，具体结构可以参考下页的景区校园网络拓扑图6.3.1网络核心层、汇聚层核心层主要负责内部虚拟子网的路由、中心服务器的接入、广域网的接入，同时因接入

27、的楼栋不是很多，我们可以将传统的三层结构合并成二层即核心层和接入层。考虑到网络，数据流量比较大以及将来的扩充性，在网络中心我们建议配置两台思科核心交换机，全模块、高密度端口，适合为城域网(MAN)、服务供应商和企业数据中心、多公寓大楼和企业配线间提供宽带IP服务，支持标准五类布线和光纤介质及第一英里技术。 最多可支持4,096个IEEE 802.1Q VLAN 64Gbps无阻塞背板带宽，在全部插满模块的情况下可以达到384Gbps的背板带宽 48Mpps包过滤及转发速率 256K MAC地址表 25,000条IS-IS 路由信息 130,000条OSPF的外部路由信息；同时可以存储8,000

28、条内部路由信息 8,000条RIP路由信息 先进的弹性和容错功能，实现了电信级性能 全冗余、分载、可热插拔电源 符合NEBS Level 3 标准 线速IP/IPX路由，采用RIP v1/v2 OSPF, BGP4, PIM和DVMRP 双向速率整形，从500Kbps到1Gbps，分片配置和管理带宽 内置链路冗余提供了活动和备份数据路径 备份路由器协议，提供了第二层和第三层冗余，以智能方式超快速故障切换到默认的路由器或交换机上 内置线速服务器负载均衡，明显提高可用性 内置线速透明网络高速缓存重定向，优化带宽使用率 OSPF等经济多路径路由，把业务分布到多条高带宽链路上 线速实现基于策略的QoS

29、，分配带宽、优先处理不同业务 访问控制列表可以连接到一种服务等级上，同时线速执行第一层到第四层分组级安全保护，控制业务流动 RADIUS对所有企业用户提供了认证和集中控制功能 安全套接字 (SSH2)对网络上的远程telnet管理连接应用加密 可热插拔I/O模块和风扇托架 高密度端口容量千兆位以太网 在全装满G4LXi模块时，提供了32个1000BASE-LX端口 在全装满G4Ti模块时，提供了32个1000BASE-T端口 在全装满G4Sxi模块时，提供了32个1000BASE-SX端口快速以太网 在全装满F32Ti模块时，提供了256个10/100BASE-TX端口 在全装满F24FX模块

30、时，提供了192个100BASE-FX端口 WAN 在全装满4-port T1/E1模块时，提供了最多32个T1/E1端口 在全装满1-port T3模块时，提供了最多8个T3端口 VDSL 在全装满8-port Ethernet over VDSL模块时，提供了最多64个端6.3.2网络接入层接入层主要负责网络终端设备的接入。我们建议在数据流量比较大和网络要求比较高的办公楼、教学楼、培训楼、生活楼配置一到多台联想H3C交换机，通过千兆光纤与中心交换机相连，这样既提高了这些楼栋相互访问的速度又提高了中心交换机交换效率。H3C支持光纤铜线自动切换H3C集超级堆叠Hyper-Stacking, 超

31、级安全Hyper-Safety, 超级管理Hyper-Management, 超级冗余Hyper-Redundancy, 超级诊断Hyper-Watch等专利技术,配合先进嵌入式操作系统Hyper OS,可以为用户搭建高速、安全、便捷的高可靠性的信息网络。H3C兼备模块化和固定配置的可网管的新一代智能千兆交换机。它提供24个RJ-45 的10/100M自适应端口和2个10/100/1000端口和一个可扩展的千兆以太网转换器（GBIC）端口模块或者26个10/100M铜线端口,同时具备模块化GBIC光纤上连扩展功能(相比普通24口的交换机多提供了9%的增值功能)，并且可以提供高达4000Mbps

32、的上连速度，为用户提供最大的灵活性。此款交换机适用于政府、院校、金融以及其他企业工作组用户接入和运营商驻地网宽带IP接入。 24口10/100BaseT以太网接口，内置2个1000BaseT接口，1个GBIC接口 业界首创光电自切换技术，实现单端口链路容错功能 支持32台交换机的超级堆叠，基于一个IP地址的多交换机堆叠管理技术 多种状态的LED指示，独特的指示灯在线诊断技术 端口限速功能，用户可以进行以1Mbps为粒度进行端口的带宽调节 支持802.1x基于端口的用户认证，保证合法用户使用网络资源 为多媒体或其他数据流提供灵活的端口优先级排队机制 32个基于端口或者标签VLAN，支持GARP/

33、GVRP，具有动态VLAN标记，管理方便易于软件升级设计，可以通过TFTP的带内（in-band）升级方法实现 网络适配器MAC地址可以和端口绑定，实现安全访问 支持端口聚合和端口镜像功能，易于扩展带宽和监测流量 可以实现基于浏览器的图形化界面管理以及标准SNMP网管软件HP OperView兼容 CCID赛迪评测获得技术特色奖 针对中小型企业分布或骨干交换、大企业和园区网接入应用特点，量身定做第7章 设备选型设备选型对景区网络系统的规划有很重要的意义，7.1 抗DOS选型产品名称天融信抗拒绝服务系统产品型号TOP-35230-DDoS硬件尺寸2U机架式结构；接口配置最大配置为26个接口， 默

34、认包括2个可插拨的扩展槽和2个10/100/1000BASE-T接口，标配4光4电千兆接口；支持双电源（默认配置为1个）系统版本升级及特征库升级永久许可。支持bypass。运行环境电压：AC100240V频率: 50/60Hz 电流:8-5A 功率 400W 工作温度：040摄氏度 非工作温度：-4070摄氏度 工作湿度：595%，非冷凝功能模块该产品是天融信推出的一款能够抵御DoS/DDoS攻击的专业防护设备，能为大中型企业、ISP、IDC、政府门户网站等用户抵御SYN Flood、UDP Flood / UDP DNS Query Flood、ICMP Flood、ACKFlood、Con

35、nection Flood、HTTP Get Flood等数百种攻击。系统不仅能够准确检测出各种混合复杂的DDoS攻击，更能够在不影响正常业务流量情况下对潜在攻击精确识别，实时阻断，即保证了合法流量的传输，也减轻了出口网关设备的性能压力，对保障用户业务系统的持续性和稳定性有着极为重要的意义。7.2 核心层交换机选型体系结构Catalyst 4000Catalyst 5000Catalyst 6500Catalyst 6500主干带宽60 Bps可以提高到13.6+Gbps32Gbps322到256Gbps千兆位以太网端口数量9238130130100FX以太网端口数量1201341921921

36、0/100以太网端口数量最高240可扩展到396+384384FEC、GEC支持是，最多8端口是，最多4端口是，最多8端口是，最多8端口非以太网接口选项无令牌环、FDDI、ATM、QoSATM OC-12ATM OC-12设计模块化模块化模块化模块化第3层协议支持IP、IPX、PIMIP、IPX、Appletalk、DECnet、Vines、PIM（稀疏和密集）IP、IPX、PIM（稀疏和密集）、Appletalk、DECnet、VinesIP、IPX、PIM（稀疏和密集）、Appletalk、DECnet、Vines路由选择协议支持OSPF, IGRP, EIGRP, RIP,RIP-2OS

37、PF, IGRP, EIGRP, RIP,RIP-2OSPF, IGRP, EIGRP, RIP, RIP-2, BGP, BGP4, EGP, ISISOSPF, IGRP, EIGRP, RIP, RIP-2BGP, BGP4, EGP, ISIS第3层转发性能6Mpps1-2Mpps可扩展到15Mpps可扩展到150+Mpps智能服务器交换未来WCCPWCCP，加速服务器负载平衡（15Mpps）WCCP，加速服务器负载平衡（15Mpps）冗余选项电源： 热交换第2层和第3层，快速切换，HSRP冗余，监管器，电源，风扇：热交换模块，第2层和第3层负载平衡，快速切换，HSRP冗余，监管器，电

38、源，风扇：热交换模块，第2层和第3层负载平衡，快速切换，HSRP冗余，监管器，交换网络、电源，风扇：热交换模块，第2层和第3层负载平衡，快速切换，HSRP7.3 汇聚层交换机选型H3C S5100-EI 系列以太网交换机H3C S5100EI系列交换机是H3C公司面向企业网和城域网推出的二层全千兆以太网交换机，提供高密度的10/100/1000Base-T以太网端口，满足行业和企业网络千兆以太网接入和汇聚，也适用于宽带小区汇聚、城域网边缘接入，以及数据中心服务器群的连接，组网方式灵活。H3C S5100EI提供高密度的24或48个10/100/1000Base-T以太网端口，支持万兆上行，并且

39、支持万兆堆叠；多样的队列调度满足高级QoS、更为精细的流分类、限速粒度和组播服务，实现网络控制和带宽优化；为网络提供了更多的智能特性，如基于策略的VLAN、支持基于端口流MACVLAN镜像、增强的ACL和端口安全功能等；支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系；更加多样化的管理和丰富的特性。项目S5100-24P-EIS5100-48P-EIS5100-26C-EIS5100-50C-EI外形尺寸44026043.6 （mm3）44030043.6（mm3）（长宽高）重量4kg4kg4

40、kg5kg管理端口1个Console口业务端口描述24个10/100/1000M电口4个千兆SFP Combo口48个10/100/1000M电口4个千兆SFP Combo口24个10/100/1000M电口4个千兆SFP Combo口48个10/100/1000M电口4个千兆SFP Combo口2个10G插槽（可插XFP接口板/堆叠板/XENPAK光模块）2个10G插槽（可插XFP接口板/堆叠板/XENPAK光模块）输入电压S5100-EI系列以太网交换机支持交流电源输入和直流电源输入。AC：额定电压范围：100V240V ；50/60Hz最大电压范围：90V264V ； 47/63HzDC

41、：额定电压范围：-48V-60V最大电压范围：-36V-72V功耗（满负荷时）39W78W54W97W工作环境温度045工作环境相对湿度（非凝露）10%90%业务特性支持特性S5100-24P-EIS5100-48P-EIS5100-26C-EIS5100- 50C-EI线速二层交换交换容量48G bit/s96G bit/s88G bit/s136G bit/s（全双工）36Mpps72Mpps66Mpps102Mpps包转发率（整机）端口聚合支持GE（Gigabit Ethernet）端口动态聚合支持10GE端口动态聚合支持动态LACP链路聚合支持手工聚合支持静态聚合支持最多25个端口聚合

42、组，每组支持最多8个GE或2个10GE端口流控支持端口流控MAC地址表支持16K MAC地址支持1K静态MAC地址支持1K组播MAC地址支持黑洞MAC地址VLAN支持基于端口的VLAN（4K个）支持嵌套式VLAN（VLAN-VPN）支持协议VLAN支持策略VLAN支持Voice VLAN支持管理VLAN可配置支持GVRP支持VLAN下配置禁止MAC地址学习功能DHCP支持DHCP Client支持DHCP Snooping组播支持IGMP（Internet Group Management Protocol） Snoopingv1/v2单VLAN内最多256个组播组，整机1024个组播组支持组

43、播VLAN支持未知组播丢弃支持未知组播出端口报文过滤支持手工配置组播MAC地址广播风暴抑制支持基于端口的广播风暴控制MSTP支持STP/RSTP/MSTP协议支持域内最大生成树（16个）支持STP Root Guard支持BPDU Guard堆叠支持HGMP V2堆叠支持16台设备堆叠QACL支持IEEE 802.1p/DSCP优先级支持优先级映射支持优先级标记支持流量统计支持端口信任模式每端口支持8个队列支持方式为SP/SDWRR/SP+SDWRR的队列调度支持端口和队列的流量整形支持基于端口/流的限速，最小粒度为1Kbps支持基于流的重定向支持数字表示型标准ACL支持数字表示型扩展ACL支

44、持数字表示型二层ACL支持对下发ACL的配置支持根据时间段变化实时更新ACL镜像支持流镜像支持基于VLAN的镜像支持基于MAC地址的镜像支持端口镜像；支持多个源端口镜像支持远程端口镜像安全特性支持用户分级管理和口令保护；支持AAA认证支持Radius认证；支持SSH 2.0支持管理VLAN；支持端口隔离支持端口安全；支持集中式MAC地址认证802.1x支持基于端口的认证和基于MAC的认证支持Guest VLAN支持MAC认证信息与Fabric同步支持TRUNK端口认证JUMBO Frame支持最大帧长为9KDLDP支持DLDP（Device Link Detection Protocol）加载

45、与升级支持XModem协议实现加载升级支持FTP（File Transfer Protocol）加载升级支持TFTP（Trivial File Transfer Protocol）加载升级管理支持命令行接口（CLI）配置；支持Telnet远程配置支持通过Console口配置支持SNMP（Simple Network Management Protocol）支持RMON（Remote Monitoring）告警、事件、历史记录支持Quidview网管系统；支持WEB网管支持系统日志；支持分级告警支持HGMP（Huawei Group Management Protocol）V2支持Modem远端拨号；支持NTP