第1章 H3C ER3100 企业级宽带路由器 ........................................... 1
1.1 产品照片 ............................................................. 1 1.2 产品介绍 ............................................................. 2 1.3 主要特性: ........................................................... 2 1.4 技术规格 ............................................................. 3 第2章 H3CS3600系列智能弹性交换机 .......................................... 5
2.1 产品简介 ............................................................. 5 2.2 产品特点 ............................................................. 6 2.3 产品规格 ............................................................. 8 2.4 典型组网 ............................................................ 11 第3章 H3CS1526可管理接入交换机 ........................................... 14
3.1 产品概述 ............................................................ 14 3.2 产品规格 ............................................................ 14 3.3 典型组网 ............................................................ 17 第4章 SecPath F100-A防火墙 ................................................ 17
4.1 产品概述 ............................................................ 17 4.2 产品特点 ............................................................ 18 4.3 产品规格 ............................................................ 19 4.4 典型组网 ............................................................ 23
第1章 H3C ER3100 企业级宽带路由器
1.1 产品照片
精彩文档
实用标准文案
1.2 产品介绍
ER3100是H3C公司推出的一款高性能路由器,它主要定位于以太网/光纤/ADSL接入的SMB市场和政府、企业机构、网吧等网络环境,如需要高速Internet带宽的网吧、企业、学校和酒店等。ER3100采用专业的64位网络处理器,主频高达500MHz,并且支持丰富的软件特性,如IP<->MAC地址绑定,ARP防攻击,流量限速,链接数限制等功能。它是H3C ER系列路由器中的中端产品,中型网吧用户和企业用户的理想选择。
1.3 主要特性:
专业的64位网络处理器,主频高达500MHz 高性能,达到百兆线速转发
高处理性能:
ER3100采用64位网络处理器,主频高达500MHz,同时配合DDRII高速RAM进行高速转发,可以达到百兆线速转发。在实际应用中,典型的带机量为100~200台。
ARP病毒双重防护
ER3100通过IP<->MAC地址绑定功能,固定了网关的ARP列表,可以有效防止ARP欺骗引起的内网通讯中断;此外ER3100的免费ARP的定时发送机制,可以有效地避免局域网PC中毒后引发的ARP攻击。
网络流量限速
BT,迅雷等P2P软件对网络带宽的过度占用会影响到网内其他用户的正常业务,ER3100通过基于IP或基于NAT表项的网络流量限速机制可以有效地控制单台PC的上/下行流量和建立的NAT表项的个数,限制了P2P软件对网络带宽的过度占用,弹性带宽又保证了闲事对带宽的充分利用。
业务控制
QQ/MSN等即时通讯软件的大量普及,造成员工办公效率低下,无法集中精力。ER3100独有的应用控制功能,可以方便的限制内网用户对QQ/MSN等应用的使用,此外,用户可以通过对特权用户组的设置保证关键用户的使用不受影响。
智能安全自检
ER3100内建了强大的防攻击功能,如ARP双重防护、DDoS攻击防护、Ping of Death攻击防护、SYN Flood攻击防护、端口扫描、内网异常攻击病毒防护等,只有开启了相应的功能才能确保设备工作的稳定性。ER3100内建智能安全自检
精彩文档
实用标准文案
功能,方便的提示客户是否开启了相应的功能,设备是否存在安全隐患,在攻击发生时,能提示用户内网异常攻击的病毒源,方便快速定位网络故障节点。
静态NAT(一对一NAT)
电信/网通等ISP厂商往往会给企业较多的公网IP,通过静态NAT功能,企业可以将每一个公网IP映射到特定的内网服务器,无需了解服务的类型和通讯协议/端口号,设置复杂的虚拟服务器规则;通过这个方式,不直接将服务器暴露在公网中,对服务器做到有效的安全保护。
1.4 技术规格
项目 概述 1个10/100Base-TX WAN端口 固定端口 3个10/100Base-TX LAN端口 1个Console接口 处理器(CPU) 内存 FLASH 指示灯 MIPS 64位 网络处理器 500MHz DDR II 64M 4M 每端口:Link/Act,Speed 每设备: Power 描述 外形尺寸(长×宽×高) 330(W)×230(D)×44(H) mm 输入电压 功耗 工作温度 存储温度 工作湿度 存储湿度 散热方式 软件特性 标准的13 英寸机架,1U 高,可上机架 100~240V AC,50/60Hz 15 W 0℃~40℃ -10℃~70℃ 10%~90%无凝结 5%~90%无凝结 自然散热 精彩文档
实用标准文案
PPPoE DHCP 客户端 DHCP服务器 网络协议 静态路由 NAPT NTP DDNS(www.3322.org、花生壳) VPN透传(PPTP、L2TP、IPSEC) IP<->MAC地址绑定 256条 ACL访问控制策略(基于时间段/协议/端口) 100条 访问控制 URL过滤 100条 MAC地址过滤 256条 QQ/MSN访问控制 ARP防攻击 状态数据包检查 防止WAN口的Ping 防止短包 防止碎片包 网络安全 防止TearDrop 防止Ping of Death 防止Land攻击 防止TCP空连接攻击 防止Syn Flood TCP/UDP/端口过滤 流量统计(基于IP/端口的流量统计) QoS 网络流量限速(基于IP,上下行流量分别限速) 256条 NAT表项限制 256条 基于Web的用户管理接口(远程管理/本地管理) 配置管理 命令行CLI 通过http 升级系统软件 ALG 端口触发 系统服务 虚拟服务器 20条 静态NAT(一对一NAT) 10条 DMZ 主机 故障诊断 认证 Ping Tracert CE
精彩文档
实用标准文案
第2章 H3CS3600系列智能弹性交换机
2.1 产品简介
H3C S3600系列交换机是H3C公司基于IToIP理念设计和开发的智能弹性以太网交换机。
系统采用创新的IRF技术,在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案,是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。
H3C S3600系列智能弹性交换机目前包含型号为:
S3600-28P-SI :24个10/100Base-T以太网端口,4个1000Base-X SFP千兆以太网端
口;
S3600-28TP-SI:24个10/100Base-T以太网端口,2个1000Base-X SFP千兆以太网端
口,2个10/100/1000Base-T以太网端口;
S3600-52P-SI:48个10/100Base-T以太网端口,4个1000Base-X SFP千兆以太网端
口;
S3600-28P-EI:24个10/100Base-T以太网端口,4个1000Base-X SFP千兆以太网端
口;
S3600-28F-EI:24个100Base-X SFP百兆以太网端口,2个1000Base-X SFP千兆以太
网端口,2个10/100/1000Base-T以太网端口;
S3600-28P-PWR-EI:24个10/100Base-T以太网端口,带POE,4个1000Base-X SFP
千兆以太网端口;
S3600-52P-EI:48个10/100Base-T以太网端口,4个1000Base-X SFP千兆以太网端
口;
S3600-52P-PWR-EI:48个10/100Base-T以太网端口,带POE,4个1000Base-X SFP
千兆以太网端口;
H3C S3600系列交换机
H3C S3600系列交换机分为SI和EI特性版本。SI版本支持高级Qos、ACL功能、基本三层路由(静态/RIP)和IRF基本功能(单一IP管理),EI版本支持更加丰富和完备的企业特性,包括基于硬件的IP单播路由、组播路由和全部的IRF特性。
精彩文档
实用标准文案
2.2 产品特点
弹性扩展技术--IRF
H3C S3600系列交换机采用H3C公司创新的IRF( Intelligent Resilient Framework)智能弹性技术,与传统组网技术相比,在扩展性、可靠性、整体架构的性能方面具有强大的优势:
扩展性—IRF技术允许交换机利用互联电缆实现多台设备的扩展,最大扩展至384个10/100M端口;具有即插即用、单一IP管理,同步升级的优点,同时大大降低系统扩展的成本。
可靠性—通过专利的路由热备份技术,在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发,极大的增强了堆叠架构的可靠性和性能,同时消除了单点故障,避免了业务中断。
分布性--通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。
完备的安全策略
当前的园区网面临着越来越多的安全威胁和挑战,如何实现安全的接入控制,防止病从口入?如何对攻击源进行定位和反查?如何监控网络中的各种流量并进行分析控制?H3C S3600系列交换机在安全策略方面为用户提供全新的技术特性和解决方案。
传统的802.1X认证方式只解决了用户的权限问题,对用户终端的安全状态无能为力,病毒可以通过合法用户的感染终端进入网络系统和应用系统。H3C S3600系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
传统交换机对端口的镜像功能都是基于本地实现,镜像数据流无法穿越网络在核心实现统一采集集、监控和分析;H3C S3600支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机(例如S9500/7500)上,在核心上启动网流分析(Netstream)功能,配合XLOG系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。
传统行业和园区网采用DHCP技术后极大简化了网络地址的分配和管理。但同时,在一个不安全的园区网中(如校园网),存在恶意地址欺骗、擅自修改IP地址、私设DHCP Server等安全事件和隐患。H3C S3600系列交换机提供DHCP Snooping(侦听)功能,通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息,解决了 DHCP用户的IP和端口跟踪定位问题。同时对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址的报文)直接丢弃,保证DHCP环境的真实性和一致性。同时利用DHCP Snooping的信任端口特性可以保证DHCP Server的合法性。
多业务融合能力
精彩文档
实用标准文案
按业务类型大致分成数据、语音、视频、多媒体等,不同的业务对基础网络的要求,比如带宽、优先级、延时、端到端的QOS保证等,如果这些都需要手工进行设置和调整,那么网络的适应能力无从谈起,因此IToIP的基础网络应该是对业务变化自动感知和自动适应的系统,对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。
例如对于语音业务来说,大量的IP PHONE的部署需要配置和远程供电,H3C S3600系列交换机通过支持Voice VLAN技术和智能POE技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。
Voice VLAN技术是指交换机通过识别端口的语音流,将对应的接入端口加入Voice VLAN(专用语音VLAN)中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性,只允许语音流量通过,可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。
PoE(Power over Ethernet)技术是指通过以太网对所连接的设备(如IP Phone, Wireless AP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。PoE技术符合802.3af标准,通过以太网电口对外供电,采用数据线提供-48V直流电源。当PD设备插到端口上后,交换机将自动对PD设备进行检测,进行功率分类,并根据当前剩余电源、端口供电优先级的配置、端口最小功率配置等参数,决定是否对此设备供电以及分配功率。通过PoE技术和Voice VLAN技术的结合可以提供完整的语音设备管理方案。
高可靠性设计
H3C S3600系列交换机除了支持高可靠性的IRF技术以外,还支持传统的STP/RSTP/MSTP二层链路保护技术,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。
支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓扑结构,保持通讯的连续性和可靠性,有效保障网络稳定。
支持ECMP(等价路由),通过配置多条等值路径实现上行路由的冗余备份和负载分担。 采用交流/直流双输入设计,设备既可以采用交流电源输入,也可以直流电源输入,二者之间热备份。
简单易用的管理维护
H3C S3600系列交换机支持VCT(Virtual Cable Test)电缆检测功能,便于快速定位网络故障点。
支持DLDP(Device Link Detection Protocol,设备连接检测协议),可以监控光纤的链路状态。如果发现单向链路存在,DLDP 协议会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。
支持SNMP V1/V2/V3,可支持Open View等通用网管平台,以及Quidview®网管系统。支持CLI命令行,Web网管,Telnet,HGMP集群管理,使设备管理更方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。
精彩文档
实用标准文案
2.3 产品规格
H3C S3600系列以太网交换机规格特性
项目 管理端口 固定端口 业务端口描述 可选模块 S3600-28P-EI 1个Console口 24个10/100Base-T以太网端口,4个1000Base-X SFP千兆以太网端口 1000BASE-SX-SFP 1000BASE-LX-SFP 1000BASE-LH-SFP 1000BASE-ZX-LR-SFP 1000BASE-ZX-VR-SFP 1000BASE-T-AN-SFP 10/100BASE-T 端口类型 1000BASE-SFP 100BASE-SFP(S3600-28F-EI) 背板带宽 端口交换容量 二/三层转发率 交换模式 32G 12.8G 9.6Mpps 存储转发模式(Store and Forward) 支持4K个符合IEEE 802.1Q标准的VLAN 支持基于端口的VLAN和基于协议的VLAN VLAN 支持GuestVlan 支持GVRP Voice VLAN 广播风暴抑制 端口环回检测 支持识别进入端口的流的MAC地址,如果是IP电话流,就会将该端口加入相应的Voice VLAN 支持基于端口速率百分比的广播风暴抑制,同时支持基于pps的广播风暴抑制 支持端口收、发数据线被短路的检测与告警 静态路由、RIPv1/2、 IP路由 OSPF、ECMP(EI系列支持) IGMP Snooping 组播 IGMP V1/V2、PIM-SM、PIM-DM(EI系列支持) 精彩文档
实用标准文案
生成树协议 支持STP/RSTP/MSTP协议,符合IEEE 802.1D、IEEE 802.1w、IEEE 802.1s标准 支持LACP协议 支持FE端口汇聚 端口汇聚 支持GE端口汇聚 支持每个汇聚组最大端口数8FE或者4GE 最多支持8组端口汇聚 Jumbo frame 支持 支持多对一的端口镜像,即多个源端口,一个镜像端口 镜像 支持流镜像 RSPAN (Remote Switched Port Analyzer,远程交换端口分析)(EI系列支持) 地址自学习 IEEE 802.1D标准 MAC地址表 最多支持16K个MAC地址 支持静态MAC地址1K 支持IEEE 802.3x流控(全双工) 流控 支持背压式流控(半双工) 支持XModem协议实现加载升级 加载与升级 支持FTP、TFTP加载升级 支持命令行接口(CLI)配置 支持Telnet远程配置 支持通过Console口配置 支持SNMPV1/V2/V3 支持RMON 1,2,3,9组MIB 管理 支持QuidView网管系统 支持WEB网管 支持HGMPv2集群管理 支持系统日志 支持分级告警 精彩文档
实用标准文案
支持调试信息输出 支持PING、Tracert 维护 支持上电POST、风扇堵转、PoE设备过热等情况的检测与告警 支持VCT(Virtual Cable Test)电缆检测功能 支持DLDP(Device Link Detection Protocol,设备连接检测协议) 支持对端口接收报文的速率和发送报文的速率进行限制 支持报文重定向 支持CAR功能,流量限速的粒度为:64Kbit/s 支持8个端口输出队列 支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict QoS/ACL Priority)、WRR(Weighted Round Robin)、WFQ、SP+WFQ、SP+WRR五种模式 支持报文的802.1p和DSCP优先级重新标记 支持L2~L4包过滤功能,提供基于源MAC地址、目的MAC址、源IP地址、目的IP地址、端口、协议、VLAN、VLAN范围、MAC地址范围和非法帧过滤 支持基于时间段的ACL和QoS控制 支持Qos Profile管理方式,允许用户定制Qos服务方案 用户分级管理和口令保护 支持IEEE 802.1X认证 支持AAA&Radius认证 支持MAC地址学习数目限制 支持MAC地址与端口、IP的绑定 安全特性 支持SSH2.0 支持防止DoS攻击功能 支持端口隔离 支持MAC地址黑洞 支持集中式mac地址认证 VRRP DHCP DHCP SERVER NTP 外形尺寸(mm) 宽×深×高 重量 EI系列支持 支持DHCP Client/ DHCP Relay/ DHCP Snooping EI系列支持 支持 440×260×43.6 440×420×43.6(PWR系列) S3600-28P-EI:3.5kg. 精彩文档
实用标准文案
S3600-EI系列以太网交换机支持交流电源输入和直流电源输入。 AC: 额定电压范围:100-240V a.c. ;50/60Hz 输入电压 DC: 额定电压范围:-48- -60V d.c. 最大电压范围:-36- -72V d.c. S3600-28P-EI :40W 功耗 (满负荷时) RPS(仅EI系列支持) • RPS1000-A 0~45℃ 10%~90% UL 60950 3rd ed. IEC 60950: 1999, corr. Feb. 2000; all national deviations 安规 EN 60950: 2000, ZB and ZC deviations CSA 22.2 No. 950 3rd ed., 1995 AS/NZS 60950:2000, Australia; CISPR 22 Class A FCC Part 15 Class A EN 55022 Class A EMC ICES -003 Class A VCCI Class A AS/NZS 3548 Class A EN 61000-3-2 EN 61000-3-3 最大电压范围:90-264V a.c. ; 50/60Hz 工作环境温度 工作环境相对湿度(非凝露)
2.4 典型组网
IRF技术的应用
利用IRF技术可以实现汇聚和接入层的高弹性和高可靠性。通过多台S3600系列交换机实现分布式转发架构,设备路由转发表的1:N备份,实现路由的不间断转发和故障的快速自愈。通过IRF实现在扩展用户端口的同时实现真正的性能同步提升,统一设备管理和同步升级配置,极大简化了网络管理和维护。同时利用分布式链路聚合技术实现链路的负载分担和备份,解决了传统STP协议链路利用率低的缺点。
精彩文档
实用标准文案
S9500/7500/5600IRF 架构S3600S3600S3100S3100S3100 H3C S3600的IRF应用环境组网
大型企业网和园区网
在大型企业网络和园区网中,核心采用两台S9500互为热备份,汇聚层采用S7500或S5600汇聚层交换机,通过万兆上行保证带宽,避免在汇聚层形成瓶颈。在接入层采用S3600系列交换机,通过部署EAD端点准入策略,实现包括用户身份、终端安全状态的动态的防御。
精彩文档
实用标准文案
S951210GES9512NE2010GE/n*GES7500/S5600S7500/S5600S3600S3600S3600S3600 H3C S3600大型企业和园区网组网图
中小型企业网和园区网
中小企业采用用S3600做为核心交换机,利用S3600的路由功能实现跨网段的部门和用户的互访,多台之间可以IRF技术实现设备性能和端口的同步扩展。
S3600S3600GE连接服务器S3100S3100 精彩文档
实用标准文案
H3C S3600在中小型企业和园区网的组网示意图
第3章 H3C S1526可管理接入交换机
3.1 产品概述
H3C S1526交换机是H3C公司自主开发的二层线速以太网交换产品,是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S1526提供了24个10/100 Mbps端口,2个千兆铜缆/SFP(mini GBIC)组合端口用于灵活的千兆铜缆或光纤骨干连接,用户可根据传送距离的不同要求灵活的选择1000BASE-LX、1000BASE-SX、
1000BASE-T等多种接口类型。该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能,可以通过WEB界面进行方便地配置。
H3C S1526
3.2 产品规格
H3C S1526以太网交换机规格特性 项目 概述 描述 IEEE802.3 10BASE-T以太网 IEEE802.3u 100BASE-TX快速以太网 标准 IEEE802.3ab 1000BASE-T千兆以太网 IEEE802.3z 千兆以太网(光纤) 精彩文档
实用标准文案
ANSI/IEEE 802.3 NWay自动协商 IEEE802.3x流量控制 24个10/100Base-TX自适应以太网端口 固定端口 2个千兆光电复用端口 1个Console接口 连接器类型:RJ-45 支持10/100/1000Mbit/s传输速率 固定端口属性 支持半双工、全双工、自协商工作模式 支持MDI/MDI-X自适应 10Base-T: 3/4/5类双绞线,支持最大传输距离100m 100Base-TX: 网线类型 5类双绞线,支持最大传输距离100m 1000Base-T: 5类双绞线,支持最大传输距离100m 每端口:Link/Act,Speed 指示灯 每设备: Power 性能 交换模式 存储转发模式 支持地址自动学习、自动老化(老化时间为5分钟) MAC地址表 最多支持MAC(Medium Access Control)地址:8K 外形尺寸(长×宽×高) 精彩文档
440×230×44 mm 标准的19 英寸机架安装宽度,1U 高 实用标准文案
输入电压 功耗 工作温度 工作湿度 散热方式 软件 100~240V AC,50/60Hz 最大15W 0℃~40℃ 5%~95%,非凝露 自然散热 基于端口VLAN VLAN 支持VLAN最大数目:26 支持128个802.1Q的VLAN,VLAN ID 1-4094可配 标准:802.1p 队列数:4个 最多可设置3组端口聚合 2个10/100Mbps端口干路(每个干路2到4个端口) 1个千兆端口干路(2个千兆端口) 优先级队列(QoS) 端口聚合 端口镜像 端口带宽控制 VCT 配置和管理 N:1 最小粒度为64Kbps 支持线路诊断功能 基于Web的管理 支持配置文件导入/导出 精彩文档
实用标准文案
3.3 典型组网
第4章 SecPath F100-A防火墙
SecPath系列产品是H3C公司为中小、大型企业以及运营商用户设计的专业网络安全产品,通过将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上,不但能为用户提供广泛和深入的安全防护和安全连接功能,同时可以降低与安全相关的总体拥有成本以及部署的复杂程度,是网络安全解决方案的理想选择。
SecPath系列产品作为H3C公司SPN(安全渗透网络)解决方案的重要组成部分,已经成为H3C公司IToIP核心理念中的IP自适应安全网络的坚实基础。
4.1 产品概述
SecPath F100-A是H3C公司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接
精彩文档
实用标准文案
状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等,可以构建多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
SecPath F100-A防火墙充分考虑网络应用对高可靠性的要求,支持交、直流输入电源模块;支持双机状态热备,支持Active/Active和Active/Passive两种工作模式。
SecPath F100-A 防火墙产品
4.2 产品特点
市场领先的安全防护功能
增强型状态安全过滤:支持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间段进行过滤;支持H3C特有ASPF应用层报文过滤(Application Specific Packet Filter)协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对FTP、HTTP、SMTP、RTSP、H.323(包括Q.931,H.245, RTP/RTCP等)应用层协议的状态监控,支持TCP/UDP应用的状态监控。
抗攻击防范能力:包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智能防范蠕虫病毒技术。
应用层内容过滤:可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤;支持应用层过滤,提供Java/ActiveX Blocking和SQL注入攻击防范。
多种安全认证服务:支持RADIUS和HWTACACS协议及域认证;支持基于PKI /CA体系的数字证书(X.509格式)认证功能;在PPP线路上支持CHAP和PAP验证协议;支持
精彩文档
实用标准文案
用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限。
集中管理与审计:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。
全面NAT应用支持:提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。 专业 灵活的VPN服务
支持L2TP VPN、GRE VPN、IPSec VPN、动态VPN等多种VPN业务模式。 利用动态VPN(DVPN)技术,简化VPN配置,实现按需动态构建VPN网络。
智能网络集成及QoS保证
支持路由、透明及混合运行模式 支持静态路由协议
支持RIP v1/2、OSPF、BGP动态路由协议 支持路由策略及策略路由 支持基于802.1q VLAN 支持PPPoE Client/Server DHCP Client/Server/Relay
支持流分类、流量监管、流量整形及接口限速 支持拥塞管理(FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ) 支持拥塞避免(WRED)
电信级设备高可靠性
支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份
36年的平均无故障时间(MTBF) 远端链路状态监测(L3 monitor) 设备关键部件均采用冗余设计
智能 图形化的管理
通过Web方式进行远程配置管理。
通过Quidview 网管软件实现与网络设备的统一管理。
通过Quidview BIMS系统对数量众多、位置分散的设备提供智能和高效管理。 通过Quidview VPN Manager系统对VPN进行动态和图形化的业务管理和状态监控。
4.3 产品规格
系统规格 项目 精彩文档
属性 实用标准文案
1个配置口(CON) 接口 插槽 FLASH DDR SDRAM 外型尺寸(H×W×D) 重量 电源模块 最大功率 平均无故障时间(MTBF) 工作环境温度 环境相对湿度
功能特性规格 属性 运行模式 说明 路由模式 透明模式 混合模式 RADIUS认证 HWTACACS认证 AAA服务 PKI /CA(X.509格式)认证 域认证 CHAP验证 PAP验证 包过滤 基础和扩展的访问控制列表 基于接口的访问控制列表 基于时间段的访问控制列表 网络安全性 动态包过滤 ASPF应用层报文过滤 应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,防火墙 H.245, RTP/RTCP) 传输层协议:TCP、UDP 抗攻击特性 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范 ARP主动反向查询 TCP报文标志位不合法攻击防范 超大ICMP报文攻击防范 精彩文档
1个备份口(AUX) 7 FE 1个MIM插槽, 可选的接口模块包括1FE/2FE/4FE/NDECII 16MB 256MB 44×436×420mm 4kg 输入 输出 交流主机:100-240V ;50/60Hz 直流主机:-48V--60V 电压:12V 22W 36年 0~45℃ 10~95%(不结露) 实用标准文案
地址/端口扫描的防范 DoS/DDoS攻击防范 TCP Proxy功能 ICMP重定向或不可达报文控制功能 Tracert报文控制功能 带路由记录选项IP报文控制功能 静态和动态黑名单功能 MAC和IP绑定功能 透明防火墙 基于MAC的访问控制列表 支持802.1q VLAN 透传 邮件过滤 SMTP邮件地址过滤 邮件标题过滤 邮件内容过滤 邮件附件过滤 邮件/网页/应用层过滤 网页过滤 HTTP URL过滤 HTTP内容过滤 应用层过滤 Java Blocking ActiveX Blocking SQL注入攻击防范 用户行为流日志 NAT转换日志 攻击实时日志 黑名单日志 地址绑定日志 安全日志及统计 流量告警日志 流量统计和分析功能 全局/基于安全域连接数率监控 全局/基于安全域协议报文比例监控 安全事件统计功能 E-MAIL邮件实时告警功能 E-MAIL邮件定期信息发布功能 支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 NAT 支持外部网络主机访问内部服务器 支持内部地址直映射到接口公网IP地址 支持DNS映射功能 可配置支持地址转换的有效时间 支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、精彩文档
实用标准文案
NBT、PPTP、SIP等 支持根据VPN用户完整用户名、用户域名向指定LNSL2TP VPN 发起连接 支持为VPN用户分配地址 支持进行LCP重协商和二次CHAP验证 GRE VPN 支持AH、ESP协议 支持手工或通过IKE自动建立安全联盟 ESP支持DES、3DES、AES多种加密算法 IPSec/IKE VPN 支持MD5及SHA-1验证算法 支持IKE主模式及野蛮模式 支持NAT穿越 支持DPD检测 支持UDP封装 支持动态IP地址构建VPN 支持加密保护(注册控制报文,会话控制报文,策略报文) DVPN 支持多个DVPN域 支持分支自动建立VPN隧道 支持Server对分支隧道的策略控制 Server对Client的AAA身份认证 Client对Server的身份验证 Ethernet_II 网络互连 局域网协议 链路层协议 Ethernet_SNAP 802.1q VLAN PPPoE ARP 域名解析 IP服务 IP UNNUMBERED DHCP中继 DHCP服务器 网络协议 DHCP客户端 静态路由 RIP v1/2 IP路由 OSPF BGP 路由策略 策略路由 双机状态热备,Active/Active和Active/Backup两种工作模式,支持负载分担和业务备份 高可靠性 远端链路状态监测(L3 monitor) 支持VRRP 关键部件冗余设计 精彩文档
实用标准文案
流量监管 服务质量保证(QoS) 拥塞管理 拥塞避免 流量整形 接口速率限制 CAR FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ WRED GTS LR 通过Console口进行本地配置 通过Telnet或SSH进行本地或远程配置 配置命令分级保护,确保未授权用户无法侵入设备 提供全中文的提示和帮助信息 详尽的调试信息,帮助诊断网络故障 提供网络测试工具,如Tracert、Ping、HWPing命令等,迅速诊断网络是否正常 命令行接口 用Telnet命令直接登录并管理其它设备 FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序 支持TFTP上传下载文件 支持日志功能 文件系统管理 User-interface配置,提供对登录用户多种方式的认证和授权功能。 配置管理 支持标准网管 SNMPv3,并且兼容SNMP v2c、SNMP v1 支持NTP时间同步 支持Web方式进行远程配置管理 支持Quidview BIMS系统进行设备管理 支持Quidview VPN Manager系统进行VPN业务管理和监控 4.4 典型组网
一、防火墙应用方案
精彩文档
实用标准文案
SecPath F100-A 防火墙应用典型部署图
灵活组网,可按需扩展,具有强大的处理能力 双机状态热备技术,高可靠网络设计 丰富路由协议,实现安全与网络融合 支持P2P流量检测和应用层过滤
阻止恶意攻击,能够实现邮件、网页过滤
二、防火墙结合VPN应用方案
SecPath F100-A 防火墙结合VPN应用典型部署图
支持动态/点对点/远程访问等VPN组网应用 支持用户名/口令/SecKey/X.509格式数字证书认证
具有强大的VPN加密处理能力 双机状态热备技术,高可靠网络设计
精彩文档
实用标准文案
基于用户接入控制,对流量进行监控和过滤 丰富路由协议,实现安全与网络融合
Quidview BIMS系统对数量众多、位置分散的设备提供智能和高效管理 Quidview VPN Manager系统对VPN进行动态和图形化的业务管理和状态监控
精彩文档
因篇幅问题不能全部显示,请点此查看更多更全内容