X XXX 高级人民法院 网络系统设计 解决方案
第一章
前言 “天平工程”建设目标是初步完成全国各级人民法院以司法审判信息资源管理为核心的网络和软硬件设施建设、安全和配套设施基本到位,实现案件审判工作及其它各项工作管理全过程的科学化、规范化、实体化和协同化,促进和保障人民法院在全社会实现“公正与效率”、“司法统一”、“司法便民为民”的目标。
通过“天平工程”的建设提高各级人民法院审判效率,促进司法公正。为了实现政务目标,针对人民法院主要业务提出各项业务目标,使各级人民法院审判管理业务、审判监督业务、审判支持业务、司法信息公开业务及内部管理等业务能力和水平显着提高。
完善法院司法审判信息系统,完善高级人民法院、中级人民法院和基层人民法院的信息系统建设,在实现各级法院的信息联网基础上进行全国范围内司法审判信息的查询、统计、汇总和分析等数据挖掘、数据分析功能建设,具备与党委、人大、政府、政协、检察院等相关部门信息共享的能力,全面提高我国司法审判水平。
第二章
需求分析 各级人民法院基础业务支撑平台和综合信息交换平台是人民法院业务网络的重要组成部分。人民法院基础业务支撑平台和综合信息交换平台的业务需求是功能和性能上要求能够支持数据、语音和视频业务,应当满足数据传输、交换、共享和综合应用,同时满足各级人民法院综合信息交换平台间的数据、音视频信息通信和视频会议、远程诉讼、案件异地讨论和远程培训等音视频的传输需求。
为解决案件审判质量和审判效率及产生的审判效果相关问题,需要人民法院依据职能,建立相关信息化基础设施。
1、建设和完善审判管理信息系统,加强和规范立案、审理、执行、归档、信访工作的信息化、网络化。最大限度的解决由于人民法院和法官的失误而导致的审判问题,有效的降低因此而发生的涉诉上访问题。并最终形成司法案例库用以指导审判工作。
2、建设和完善各级人民法院之间、人民法院与其它政法机关之间、人民法院与监狱之间、人民法院与其它需要协同的部门之间,人民法院与当事人、律师之间的网络,并建设传输交换系统,有效的解决因沟通不畅,信息掌握不全,信息不一致等原因引起的审判和信访问题。
4、利用信息技术手段搜集司法绩效考核信息、法官绩效考核信息等,协助本级法院对法官、上级法院对下级法院和法官的司法监督和司法指导工作。利用音视频信息传输技术,建设庭审音视频信息系统,信访听证音视频信息系统等。对有必要录音或录像的案例进行录音录像,同时为上级法院监督提供支持。
5、建设和完善人民法院日常工作支持信息系统,提高工作效率。
第三章
总体建设方案 3.1 、 方案设计原则 基于对 XXX 省高级法院业务需求的深入理解,结合自身产品和技术特点,迈普公司推出了了完善的 XXX 省高级法院网络解决方案,为 XXX 省高级法院提供“高扩展、多业务、高安全”的精品网络。
XXX 省高级法院网络建设遵循以下基本原则:
高带宽 XXX 省高级法院网络是一个庞大而且复杂的网络,为了保障全网的高速转发,全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性 XXX 省高级法院网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
可扩充性 考虑到 XXX 省高级法院用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,XXX 省高级法院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性 技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
3.2 、 方案建设目标 基础业务支撑平台建设内容是满足人民法院基础业务应用要求的网络系统设备、计算与存储备份环境、法庭审判音视频信息系统支撑环境、各项业务应用和安全系统支撑环境。
1)建设和完善全国各级人民法院基础业务支撑平台,为人民法院审判工作和其它各项工作管理提供网络系统、法庭审判音视频信息管理和应用系统运行环境的支撑与服务; 2)依托本级法院局域网环境,建设和完善覆盖中级以上人民法院和基层法院的综合信息交换平台,实现人民法院间审判信息和其它各类信息的应用与管理,保障网络与信息的安全传输与可信交换。
3)在全国各级人民法院建设司法、监测分析、宏观决策、司法公开和内部管理等五大类作业子系统,全面提高人民法院审判工作的公正性和透明度,实现人民法院审判工作的科学化、规范化、实体化管理。
4)以人民法院司法审判信息资源管理和应用为核心,建设覆盖最高人民法院、高级人民法院和中级人民法院的三级司法信息资源库;建设最高人民法院和高级人民法院二级数据中心,实现中级以上人民法院诉讼信息的综合应用,为人民法院审判工作、最高院司法资源的整合和配置、最高院对市中院场经济秩序的宏观分析、最高院立法等提供翔实的信息支持和服务。
5)建设全国法院执行案件信息管理系统及统一的执行威慑门户系统,形成全国法院执行威慑体系,并与政府相关部门工作协同,为银行、工商、海关等部门提供信息联动服务。
6)建设人民法院业务网络统一门户系统,为全国各级人民法院提供统一登录入口和高效综合信息交换业务服务的门户网站。
7)完善人民法院互联网网站内容建设,提供网上诉讼指南、法律及法规查询、案例查询等司法便民服务。
3.3 、 整体网络架构 在 XXX 省高级法院网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的网络结构可以分成三层:接入层、汇聚层、核心层。
1)接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos 和 POE 功能都位于这一层。对于法院网络的接入层设备,建议采用千兆三层接入的方式,应该具有线速三层交换、高级 QoS 策略等功能。
2)汇聚层:汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于法院网络的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合了 MPLS、IPv6、网络安全、无线等多种业务,提供不间断转发、环网保护等多种高可靠技术,能够承载法院融合业务的需求。
3)核心层:网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于校园园区网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的环网结构或多设备冗余的星型结构。对于法院网络核心层设备,应该在提供大容量、高性能 L2/L3 交换服务基础上,能够进一步融合了硬件 IPv6、网络安全、网络业务分析等智能特性,可为法院构建融合业务的基础网络平台,进而帮助用户实现 IT 资源整合的需求。
3.4 、 网络详细设计 3.5 、 局域网 设计 方案 高院 网络 基础 网络设计方案
对于高院局域网络建设,本次建设采用内外网物理隔离的方式。推荐采用千兆接入组网模型。为用户提供三层千兆到桌面的接入服务,整网配置 OSPF 协议,网络故障收敛速度快、易于管理和维护。VLAN 终结在接入端口,限制广播域范围,
较少广播报文对网络带宽的消耗。从接入层开始即可进行快速三层交换,利用网络中存在的等价多路径实现业务流量的负载分担。
网络按照分层、模块化的思路进行设计和规划,根据业务、区域等规划因素进行模块化区域划分,每个区域有自己的汇聚核心与网络核心相连。网络各层设备都为三层设备,支持 OSPF。在接入层设备上提供千兆端口接入。接入层千兆双归属到汇聚层设备,提供链路冗余备份。区域汇聚核心间提供千兆链路连接,双机备份和加速路由收敛。汇聚层千兆双归属到网络核心,根据实际带宽需要也可千兆链路捆绑双上行到核心,汇聚层可采用堆叠设备,它提供的分布式路由和分布式设备管理使整个堆叠设备当成一台交换机进行路由转发和管理,而且支持热插拔,不会因为堆叠组单台设备故障引起整个接入业务中断。两台核心设备间通过千兆捆绑链路连接,完成高速数据交换和双机热备份。
内网部分:
核心采用两台迈普的 MyPowerS6800-08A 核心交换机承担全网的数据转发,汇聚采用迈普的 MyPowerS4200-28FC 实现对接入交换机的接入,分担核心交换机的压力,接入层采用迈普的 MyPowerS3200 系列交换机。根据 XXX 省高法大楼的建设需求,一号楼每层 52 个信息点,总共 13 层。所以每层放置一台 24 口和一台 48口个接入交换机,总共使用 3 个汇聚交换机即可,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。二号楼每层 34 个信息点的接入,总共 9 层。每层放置一台 48 口接入交换机,每 4 层使用一个汇聚交换机,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。
外网部分:
核心采用两台迈普的 MyPowerS6800-08A 核心交换机承担全网的数据转发,汇聚采用迈普的 MyPowerS4200-28FC 实现对接入交换机的接入,分担核心交换机的压力,接入层采用迈普的 MyPowerS3200 系列交换机。根据 XXX 省高法大楼的建设需求,一号楼每层 52 个信息点,总共 13 层。所以每层放置一台 24 口和一台 48口个接入交换机,总共使用 3 个汇聚交换机即可,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。二号楼每层 34 个信息
点的接入,总共 9 层。每层放置一台 48 口接入交换机,每 4 层使用一个汇聚交换机,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。
在互联网区放置两台迈普 MSG4000-G4 实现互联网出口的审计、行为管理、防火墙等功能,保障高法网内的安全性。
3.6 、 网络层安全设计方案 3.6.1 、 网络安全风险分析 首先应在对法院网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI 技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。
为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果及目前主要面临的问题设计出符合具体实际的、可行的网络安全整体解决方案。
1. 物理层的安全风险分析
网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用,它是整个网络系统安全的前提。如:
设备被盗、被毁坏 链路老化或被有意或者无意的破坏 因电子辐射造成信息泄露 设备意外故障、停电 地震、火灾、水灾等自然灾害 因此,法院网络在网络安全考虑时,首先要考虑物理安全。例如:设备被盗、被毁坏;设备老化、意外故障,计算机系统通过无线电辐射泄露秘密信息等。
2. 网络层安全风险分析
重要数据被破坏
由于目前尚无安全的数据库及个人终端安全保护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。存储数据对于法院来说极为重要,如果由于通信线路的质量原因或者人为的恶意篡改,都将导致难以想象的后果,这也是网络犯罪的最大特征。
网络边界风险分析 由于当发生安全事件希望把造成的影响降到最低,因此在做安全系统设计时需要按照实际网络情况划分网络边界以达到隔离网络的目的。
3. 应用层安全风险分析
由于法院对外提供网上 WWW 服务,因此存在外网非法用户对内部网和服务器的攻击。
身份认证漏洞 服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对资源非法访问和越权操作。
对法院的网上服务平台,必须加强用户的身份认证,防止对法院网络资源的非授权访问以及越权操作。
www 服务漏洞 WebServer 目前正在成为法院对外宣传、开展业务的基地,但公开服务器本身不能保证没有漏洞,不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的 BUG,使得黑客可以远程对公开服务器发出指令,从而导致对系统进行修改和损坏,包括无限制地向服务器发出大量指令,以至于服务器“拒绝服务”,最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力,防止拒绝服务(DOS)或分布式拒绝服务(DDOS)之类的恶意攻击,提高服务器备份与恢复、防篡改与自动修复能力。
电子邮件系统漏洞
电子邮件为网络系统用户提供电子邮件应用。内部网用户进行电子邮件发送和接收时存在被黑客跟踪或收到一些恶意程序(如,特洛伊木马、蠕虫等)、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
3.6.2 、 网络层安全解决方案 依照法院安全保障体系规划,本章提出安全技术体系的具体配置部署方案。
1. 防火墙分系统 访问控制分系统是信息安全体系的基本组成要素,网络层的访问控制通过防火墙实现。防火墙提供了在不同安全级别的多个系统网络之间提供共享数据的访问控制能力。法院信息网络是一个综合的网络系统,存在着不同安全级别的网络。为了防止不同安全域的安全威胁在整体法院信息系统中传播,我们在不同安全域之间部署防火墙进行逻辑隔离。
防火墙是隔离在本地网络与外界网络之间的一道防御系统。利用防火墙对内部网络的划分,可实现内部重点网段的隔离,通过限制网络互访来限制局部重点或敏感网络安全问题对全局网络造成的影响。防火墙是建立在内部网络与外部之间的唯一安全通道,通过制定相应的安全规则,可以允许符合条件的数据进入,同时将不符合条件的数据拒之门外,即“法无许可即禁止”。这样就可以阻止非法用户的侵入,保证内部网络的安全。
因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全策略。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点。
法院系统是一个业务非常重要,安全级别要求较高的网络系统,在本方案中,我们建议法院内部网络边界处防火墙作为统一的接入控制设备,针对法院网络系统,防火墙主要解决的问题如下:
防止非法的访问与数据包:一般来讲,总是利用高端口发送数据包来进行攻击行为,那么我们只需要封闭这些端口,或者一些没有用处的协议(比如 ICMP
协议),就能够有效的防范攻击,特别是外网用户,由于在内部有各类应用服务,我们必须确保只有对应的服务才能经过防火墙,而其他的访问均被禁止,从而保护各类应用服务的安全。
防止地址欺骗:一方面,来自其它网络的访问者会将自己的 IP 地址伪装成内部地址,从而绕过防火墙发起对内网的攻击;另一方面,内部用户通过修改自己的地址,而获得更高的访问权限;这些行为都会给单位的网络形成安全威胁,那么防火墙通过 MAC 地址绑定技术、源地址识别等技术,能够识别出这些地址欺骗行为,从而更有效的执行访问控制策略; 对内部用户进行应用层深度管理:对 HTTP、FTP、SMTP、POP3 协议的内容进行管理,保护终端用户合法有效地使用各种网络资源;对用户、IP、组等对象进行上传,下载等细致的流量控制;QOS 功能,保证重要数据优先上传。网页访问控制;WEB 认证、文件上传下载控制、代理识别。
2. 入侵防御分系统 在内联网各节点需要重点保护网段的主交换机上配备入侵检测系统,通过中心控制台对各节点进行集中统一管理。包括制定安全策略、修改安全策略以及升级攻击代码库等。入侵检测系统在重要保护网络系统中是访问控制设备防火墙最有利用的补充。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如发现违规访问、阻断网络连接、内部越权访问等,发现更为隐蔽的攻击。
法院网络系统安全体系必须建立一个智能化的实时攻击识别和响应系统,管理和降低网络安全风险,保证网络安全防护能力能够不断增强。
目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技术来解决。网络入侵检测系统应能满足以下要求:
能在网络环境下实现实时地分布协同地入侵检测,全面检测可能的入侵行为。能及时识别各种黑客攻击行为,发现攻击时,阻断弱化攻击行为、并能详细记录,生成入侵检测报告,及时向管理员报警。
能够按照管理者需要进行多个层次的扫描,按照特定的时间、广度和细度的需求配置多个扫描。
能够支持大规模并行检测,能够方便地对大的网络同时执行多个检测。
所采用的入侵检测产品和技术不能被绕过或旁路。
检测和扫描行为不能影响正常的网络连接服务和网络的效率。
检测的特征库要全面并能够及时更新。
安全检测策略可由用户自行设定,对检测强度和风险程度进行等级管理,用户可根据不同需求选择相应的检测策略。
能够帮助建立安全策略,具有详细的帮助数据库,帮助管理员实现网络的安全,并且制定实际的、可强制执行的网络安全策略。
3. 防病毒网关分系统 病毒是系统中最常见、威胁最大的安全来源,建立一个全方位的病毒防范系统是法院网络系统安全体系建设的重要任务。
目前主要采用病毒防范系统解决病毒查找、清杀问题。
根据法院系统网络结构和计算机分布情况,以及目前客户端防病毒软件安装及使用不能完全防范病毒等现状,利用边界安全网关在网络中的特殊位置,使得电脑病毒在进行扩散之前得到有效处理。
通过现有的客户端防病毒系统和网络中的边界安全网关防病毒系统能够形成从多层次进行病毒防范,第一层工作站、服务器,第二层网关都能有相应的防毒功能提供完整的、全面的防病毒保护。
病毒防护功能特色 基于流、低延时、高并发、高性能的病毒过滤 支持对大病毒文件也能检测 实时病毒连接阻断,病毒事件记录 支持常见病毒传输协议 HTTP、FTP 及各种邮件协议扫描 超过 40 万的病毒特征库,病毒库定时自动更新 支持应用处理模块 4. 内网机密信息安全访问解决方案 内网是一个完全独立的网络,因此数据在网络平台的传输过程相对比较安全,但是对于一些重要信息,尤其是一些机密信息,需要严格保证这些数据在传输过程中的安全。因此,虽然这些数据传输在一个相对独立的内网,但是仍然存在被
侦听破解的可能,需要有合理有效的方式解决这个问题,我们建议采用基于 VPN的解决方案,是一种非常安全而且灵活的解决方案。
适用环境:移动办公 SOHO,便携笔记本。
方案实现:在便携终端上安装 VPN 软件客户端(SSLVPN 方式可以免除软件安装)和 USBKEY 设备,便携终端外接 GPRS,CDMA-1XModem 通过移动拨号连接 Internet 与法院中心的 VPN 网关之间建立 VPN 隧道,完成移动办公,使用SSLVPN 方式可以免除客户端软件安装。
方案优势:
MSG4000 安全网关可同时提供 IPSec 和 SSL 两种 VPN 接入方式,可以提供根据业务选择不同的接入方式 SSLVPN 可以提供免安装软件接入,对于 B/S 模式的业务支持能力强,维护成本较低,但对于复杂业务的处理支持能力有限 可以支持 USB-SecKEY,RSA 等多种硬件认证方法,保证移动终端接入的可靠性 接入方式灵活,支持 ADSL,GPRS,CDMA1X,Modem 等多种移动接入方案 5. 上网行为审计 解决方案 互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过 P2P 工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动„„ 针对互联网所带来的上述问题,需要为法院提供可控制的上网行为管理功能。该功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。
上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P 下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能
够配合集中网络安全管理系统对网络行为日志进行查询统计与审计分析,从而为网络管理者的决策和管理提供重要的数据依据。
上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为控制和管理。
上网行为管理策略规则共分为三类:网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则 网络应用控制策略规则 网络应用控制策略规则对网络应用的使用进行控制。根据不同的协议及应用领域将网络应用分为网络游戏、即时通讯、在线炒股、P2P 协议、流媒体协议、其他协议、FTP 控制以及 HTTP 控制等等大类,每一大类中又包含若干具体的子应用和协议。网络管理者可以根据需要,对各种应用和协议制定基于用户和时间表的策略规则,以实现对用户上网行为的控制。
网页内容控制策略规则 网页内容控制策略规则包括 URL 过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL 过滤策略规则可以基于系统预定义的 URL 类别和用户自定义的 URL 类别,对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别,对用户所访问的网页进行过滤,同时,能够通过 SSL 代理功能对用户所访问的含有某特定关键字的 HTTPS加密网页进行过滤。
外发信息控制策略规则 外发信息控制策略规则包括 Email 控制策略规则和论坛发帖控制策略规则,能够对用户的外发信息进行控制。Email 控制策略规则能够对通过 SMTP 协议发送的邮件和 Webmail 外发邮件进行控制,可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时,能够通过 SSL 代理功能控制 Gmail 加密邮件的发送。论坛发帖控制策略规则能够对通过 HTTPPost 方法上传的有某关键字的内容进行控制,如阻断内网用户在论坛发布含有指定关键字的帖子。
上网行为管理作为网络层安全设计中一部分,与访问控制、Qos、IPS 等模块构成企业网络出口的安全屏障。对外可进行入侵防护和非法访问阻断,对内可进行 WEB 访问、P2P、IM 等应用进行审计。从而使网络的安全性得到提高,使应用和用户的行为能够可视化。
3.7 、 整体方 案特点 3.7.1 、 网络结构安全可靠 核心网可靠性、可用性的保障,低成本,快速收敛。满足法院局域网关键业务高可用性要求。针对法院复杂组网环境,提供全线速、高密度的万兆解决方案。对用户接入的有效控制,符合策略的终端才能接入网络。低成本高速率桌面接入,适用单位各个部门、服务器群的接入。
3.7.2 、 网络精细化管理 通过网络精细化管理,能够实时监视所有设备的运行状况,通过可视化的网络拓扑界面帮助用户及时了解网络的变化。帮助用户主动监视网络的状况,及时发现网络潜在的隐患。同时,丰富的历史性能统计数据为用户升级扩容网络提供了客观准确的参考。可管理所有支持标准 SNMP 网管协议的网络设备,为多厂商设备共存的网络提供了统一的管理方式。
3.8 、 硬件配置建议 序号
产品型号
描述
数量
价格
合计
核心交换机
1 SM6800-08A-MF SM6800-08A-MF 交换机箱(含背板、防尘板),2 个主控插槽、2 个交换矩阵板插槽、8 个线卡插槽、1 个风扇插槽,8 个电源插槽。
1
0
2 SM68A-MPUBH 主控卡(含软件),必配 1 张,支持 2张 冗 余 备 份 。
建 议 配 置 两 条DDR400-512S,,可选配一个 U 盘和一个CF 卡 。
用 于 SM6800-08A-MF 、SM6800-16A-MF 2
0 3 SM68A-SFUBH 交换矩阵卡,必配 1 张,支持 2 张冗余备 份 。
适 用 于 SM6800-08A-MF 、SM6800-16A-MF 2
0 4 SM68A-24GET24GEFH 24 端口千兆光接口(需配 SFP 光模块)+24 端口千兆电接口,可选配 POE 模块,该模块可支持 3 个 POE。内存插槽一条,推荐配置 DDR400-512S。适用于S6800-02A/04A/08A/16A-MF 系列主机 1
0 5 SM68A-SIUH 液晶显示模块,用于 SM6800-08A-MFv1版、SM6800-16A-MFV1 版,必配 1 张,。
1
0 6 AD1000-1S007Z 1000 瓦交流电源模块,必配 1 个,支持N+1 冗 余 备 份 。
适 用 于S6800-02A/04A/08A/16A-MF 系列主机。
2
0 7 FAN-13A-01 风扇,必配 1 个,用于 SM6800-08A-MF 1
0 8 DDR400-512S 512MDDRAM条,内存访问速度400,封装为SODIMM 5
0 9 SFP-S2-L24P3 1.25G 单模光模块(传输距离 20km,LC接口、PECL 接口电平、波长 1310nm)
10
0 单套设备合计:
¥0 0
数量/ / 总计
4 ¥0 0
汇聚交换机
1 SM4200-28FC 千兆三层路由交换机(24 个千兆 SFP 以太口,12 个 10/100/1000M 电接口,2 个扩展槽),交直流电源 1
0 2 SFP-S2-L24P3 1.25G 单模光模块(传输距离 20km,LC接口、PECL 接口电平、波长 1310nm)
10
0 单套设备合计:
¥0 0
数量/ / 总计
10 ¥0 0
接入交换机
1 SM3200-50T-AC 网管型千兆交换机主机(44 个10/100/1000M 电口,4 个千兆 Combo 接口,2 个千兆电口,交流主机)
1
0 2 SFP-S2-L24P3 1.25G 单模光模块(传输距离 20km,LC接口、PECL 接口电平、波长 1310nm)
2
0 单套设备合计:
¥0 0
数量/ / 总计
42 ¥0 0
接入交换机
1 SM3200-26T-AC 网管型千兆交换机主机(20 个10/100/1000M 电口,4 个千兆 Combo 接口,2 个千兆电口,交流主机)
1
0 2 SFP-S2-L24P3 1.25G 单模光模块(传输距离 20km,LC接口、PECL 接口电平、波长 1310nm)
2
0 单套设备合计:
¥0 0
数量/ / 总计
26 ¥0 0
出口网关
1 MPSecMSG4000-G4-AC 千兆中端安全网关,配置 4 个 GE 口+4个 SFP 口;提供 2 个模块化插槽,可以扩展 8SFP/8GE/4 口 Bypass 模块;配置单交流电源,标准 1U 设备;默认支持防火墙/IPSecVPN 功能,通过 License 扩展可以支持完善的 IPS/AV/SSLVPN/流量控制/上网行为管理/URL 过滤等功能 1
0 单套设备合计:
¥0 0
数量/ / 总计
2 ¥0 0
3、 产品介绍 MyPowerS6800 系列 产品介绍 产品概述 MyPowerS6800 系列万兆核心路由交换机外观图 MyPowerS6800 系列高性能万兆核心路由交换机是迈普公司推出的新一代多业务高性能电信级核心交换机平台产品,可以向用户提供高性能、高可靠、多业务的网络服务。
MyPowerS6800 系列高性能电信级交换机采用先进的 200G 交换平台,可以提供超大容量 L2/L3 层数据交换服务;采用 ATCA 理念,先进的电信级 99.999%设备稳定性设计,所有部件全冗余,主控卡和交换矩阵硬件分离;支持 MPLS 和 IPv6数据的全分布式硬件线速处理,满足核心层设备高密度、高吞吐量的MPLS和IPv6数据转发要求;提供电信网络的管理特性,通过 OAM 协议可以对网络链路、业务、用户端进行全面的管理。
MyPowerS6800 系列高性能电信级交换机作为多业务网络核心平台,可与迈普全系列交换机一起为金融、运营商、政府、能源、交通、教育、军队等用户提供全方位的广域网和局域网解决方案,广泛应用于以上各个行业领域的国家级和省级数据中心、国家级和省级网络核心、大型园区网核心、运营商 IP 城域网核心。MyPowerS6800 系列高性能电信级交换机分别提供 4 槽、8 槽、12 槽、20 槽四种机框满足不同业务容量客户的需求。
产品特征 先进的万兆交换硬件体系架构设计保证大容量交换容量 核心保障机制和关键部件冗余保证设备的电信级可靠性 集中式/分布式的 IPv6/MPLS 处理机制满足各类应用需求 完善的网络安全特性能够提供全面的攻击和病毒防范能力 支持虚拟化功能,可以实现配置统一管理和数据同步功能 丰富的多业务卡设计,通过众核处理实现了多业务的加速 超低功耗设计延长交换平台的寿命,降低设备运转能耗 领先的电信级产品的易用性、可管理性、OAM 特性 的 先进的 200GE 多级 交换架构的交换平台
采用新一代 200G 交换平台设计,先进的无源铜背板提供单槽位 400G 的交换容量,通过 Crossbar 空间多级交换矩阵实现板内和板间超高速二、三层线速分布
式转发;通过功能强大的多核+NP+ASIC 芯片进行高速路由查找,从而大大提升MyPowerS6800 交换平台的路由性能;高达 6.4Tbps 的整机交换容量,提供领先的大密度万兆、千兆以太网板卡,可升级支持 40/100GE 接口,满足核心层设备高密度、高吞吐量、可扩展的要求。
用 采用 ATCA 架构设计的电信级交换平台 整个系统采用 ATCA 架构的理念,所有部件均提供双冗余或者多冗余设计,支持电源冗余、管理模块冗余、交换矩阵冗余、风扇冗余、链路冗余等;整个系统电源模块、风扇模块、所有业务板卡支持热插拔;系统软件支持优雅重启技术和在线升级功能,可以保证业务永不中断;独特的双控制引擎互为备份设计,保证核心交换平台具有苛刻电信级可靠性;独立的交换网板卡,交换卡和控制引擎硬件相互独立,可以提高设备的可靠性,同时为后续产品带宽的持续升级提供保证。
持 支持 IPv6/MPLS 硬件全分布式转发平台
整个平台支持基于 ASIC 全分布式全线速硬件 MPLS/IPv6 转发方式,可以在板卡内实现 MPLS/IPv6 报文的全线速处理,避免集中式转发的瓶颈和时延问题,为 MPLS/IPv6 大规模组网提供了有力保障。丰富的 MPLS 功能特性,可以满足运营商 MPLS 城域网的要求,可以针对各类业务提供二、三层 MPLSVPN 功能。每端口大容量 Buffer,满足大型数据中心高突发流量的需求;支持精细化 QoS 和流量管理,给不同用户、不同业务流分配不同的优先级和队列,保证不同的带宽、业务延迟和抖动性能。
领先的电信级产品的易用性、可管理性 通过独立的机箱管理平面和液晶面板,能够自动检测和上报硬件故障,并进行相应的故障隔离,对电源管理、环境及热点温度监控、风扇转速自动调整,CPU系统异常重启前关键信息保存,便于后续故障分析和定位。支持在线状态检测机制,支持单板离线故障诊断,快速方便的现场定位手段,支持业务层面的在线故障诊断,通过 TCP、UDP-Jitter、ICMP、HTTP、FTP、DHCP、DLSw 和 SNMP测试等各种探测方式对网络或服务进行质量分析,并提供测试结果,可视化网络流量监控和分析。全面支持 802.3ahOAM、802.1agOAM、ITUY.1731OAM,提供多种设备级和网络级的故障检测手段。
完 善的系统网络安全特性确保网络可靠 具有系统网络安全性的功能设计,支持基于用户安全策略的 SNMPV3、MAC+IP+VLAN 绑定、802.1X 认证等安全策略,支持防网络风暴攻击、防DOS/DDOS 攻击、防 ARP 攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术,可有效地防止攻击和病毒,更适合大规模、多业务、复杂流量访问的网络。控制平面和转发平面的物理隔离,控制平面和转发平面的多级保护及安全性,可以有效的防止各类攻击。多种攻击检测机制:ARP 深度检测;IP 攻击检测;TCP 攻击检测,IPSourceGuard 等,配合 IPFIX 和 MatserPlan 网管可以实现对攻击源的主动防御。
支持虚拟化功能,可以实现配置统一管理和数据同步功能 支持虚拟化功能,可以将多台交换机虚拟化为一台交换机,进行统一管理和统一表项的数据转发。多台交换机堆叠后,从主交换机可以对从交换机直接进行
管理,以全局的方式进行配置命令下发。多台交换机堆叠后,可以实现主、从交换机的转发表项的自动同步功能,以一台交换机的方式进行数据转发。支持通过10000M 光口的方式进行堆叠,可以实现本地或者远程的堆叠功能,部署更为方便。支持跨设备的链路捆绑功能,可以满足核心网络的链路高速切换需求。
高速交换平台配合众核处理实现了多业务的加速 MyPowerS6800 高性能交换机平台是迈普多年 IP 网络技术研发的结晶,依靠先进的 200G 交换平台,采用全球领先的 40G 处理能力的众核处理器技术,通过全硬件处理实现了 NAT、防火墙、VPN、IPFIX、流量分析、内容过滤、PWE3、语音、视频、网管等功能,扩大了核心交换机的使用范围,实现了网络核心和业务核心的融合。通过加强核心设备的功能集成,将以前多种设备分布实现的业务功能,通过一台 MyPowerS6800 高性能交换机平台来集中处理,既减少网络复杂度,降低了用户的维护工作量,又可以通过 MyPowerS6800 高性能交换机平台的高性能交换通道,提供一个高性能的数据转发环境。业务板卡支持在板卡内置了IPFIX 处理引擎,处理性能高,节省了客户的投资。
全面的绿色环保设计延长核心交换平台的寿命 根据 10℃规律,半导体芯片的可靠性、使用寿命与工作温度有着直接的关系,工作温度每上升 10℃,半导体芯片可靠性降低一半,而工作温度与设备的功耗成正比关系。MyPowerS6800A 高性能电信级交换机大量采用 ASIC 处理芯片进行数据处理,在满足高性能的前提下大幅的降低成本,16 槽设备的整机最大功耗(全配、非 POE)低于 1800 瓦,在高端设备上的低功耗设计使得半导体芯片的温度较低。低功耗设计不但大大增加高端设备的使用寿命和稳定运行,在能源日益紧张的今天,同时也节约设备的运转能耗,满足绿色环保要求。完善的电源管理功能,空闲端口低功率待机,还可以对空闲的单板进行下电管理,同时还可以对相应散热风扇进行停转控制,进一步降低功耗。
产品规格 硬件规格 产品型号 S6800-02 机框 S6800-04 机框 S6800-08 机框 S6800-16 机框 整机槽位数 4 8 12 20 主控板槽位数 2 2 2 2 交换板槽位数 0 2 2 2 业务引擎槽位数 2 4 8 16 电源槽位数 2 4 8 8 交换容量 800Gbps 1600Gbps 3200Gbps 6400Gbps 转发性能(IPv4)
952Mpps 1920Mpps 2400Mpps 7619Mpps
转发性能(IPv6)
952Mpps 1920Mpps 2400Mpps 7619Mpps USB 主控板上提供一个 USB 接口 配置口 主控板上提供一个配置接口 存储卡 主控板上提供一个 CF 扩展接口 外形尺寸(长×宽×高)? 444x600x131 (3U)
444x600x310 (7U)
444x600x577 (13U)
444x600x977 (22U)
输入电压 AC:100~260V,50~60Hz DC:–36~-72V 功耗(非 POE 最大值)
200W 600W 1000W 1800W 温度 工作温度:0~45℃ 存储温度:-10~60℃ 湿度 工作湿度:10~90%不结露 存储湿度:10~90%不结露 散热方式 风扇散热 软件特性 链路层协议与技术 局域网 支持 MAC 地址学习数目限制;静态 MAC 配置;黑洞MAC Ethernet,EthernetII、VLAN(VLAN-BASEDPORTVLAN、VOICEVLAN、GuestVLAN)、802.3x、802.1p、802.1Q、802.1x QINQ、灵活的 QinQ STP/RSTP/MSTP;支持 BPDUTUNNEL; IGMPSnooping、GVRP IEEE802.3adLACP 二层聚合 多对一的端口镜像,远程端口镜像 RSPAN,跨板的端口镜像,不同速率的端口镜像,支持基于流的镜像,支持跨网段的流镜像功能 ERPAN
基于端口的广播流量抑制,基于端口的未知组播流量抑制,基于端口的未知单播流量抑制,基于端口绝对带宽进行流量抑制,可按照 PPS 和 BPS 进行抑制 网络协议 ARP 功能 动态和静态 ARP、代理 ARP、免费 ARP 路由协议 静态路由 RIPv1/v2、RIPng OSPFv3、OSPFv3 IS-IS、IS-ISv6 IRMP BGP、BGP4+ ECMP(等价多路径)、路由策略、递归路由 组播协议 IGMPv1/v2/v3、MLDV1/V2 IGMPSnooping、MLDSnooping PIM-DM、PIM-SM、PIM-SDM、PIM-SSM DVMRP、MSDP IP 应用 DHCPServer、DHCPClient、DHCPRelay、DHCPSnooping、Option82 DHCPv6Server、DHCPv6Client、DHCPv6Relay DNS、DDNS FTPServer、FTPClient Ping、Trace IPAccounting、UDPHelper、NTP IPv6 IPv6 基本功能:IPv6ND,IPv6PMTU,IPv6FIB,IPv6ACL IPv6 过渡隧道技术:IPv6 手动隧道、GRE 隧道、IPv4兼容 IPv6 自动隧道、6to4 隧道、ISATAP 隧道 网络安端口 端口安全、端口隔离 ARP ARPGuard,DAI,静态 ARP 捆绑, ACL 标准 IPACL、扩展 IPACL、标准 MACACL、以太协议
全性 ACL、IPv6ACL、自反 ACL、高级 ACL 安全防护 控制平面保护、URPF DDOS 防攻击 ICMPFlood 拦截、Smurf 攻击拦截、Fraggle 攻击拦截、LAND 攻击拦截、SYNFlood 攻击拦截 应用控制 流量控制、URL 过滤 VPN GRE 认证 Local 认证,Radius,Tacacs,AAA Portal 认证、802.1x 认证、MAC 地址认证 用户安全 登陆用户 IP/MAC 绑定 MPLS MPLSL2VPN 支持 L2VPN MPLS/BGPVPN(L3VPN) 支持一个 Site 属于多个 VPN、支持多角色主机 MPLSVPN 跨域 支持三种跨域 MPLSVPN 方式 MPLSTE 支持 MPLSTE/FRR,FRR 切换时间小于 50ms MPLSOAM MPLSping、MPLStraceroute QoS 流分类 基于端口、MAC 地址、IP 地址、IP 优先级、DSCP 优先级、TCP/UDP 端口号、协议类型等 流量监管 CAR、LR 拥塞管理 Sp、RR、WRR、WDRR 拥塞避免 RED、WRED 流量整形 GTS 其他 PLSQoS、IPv6QoS 可靠性 部件可靠 电源、风扇、业务模块热插拔 管理控制引擎和转发引擎完全分离 风扇模块采取多组风扇组冗余备份 关键部件主控板和电源均支持冗余备份 双 Image、双 Bootrom 设计 链路可靠 支持 BFDforBGP/IS-IS/OSPF/RSVP/VPLSPW/VRRP 等
支持 EIPS 支持 KeepaliveGateway 支持 SmartLink 功能 备份功能 接口备份方式 支持 VRRP、VRRPv3、VRRPE 支持基于带宽的负载分担与备份 支持基于用户(IP 地址)的负载分担与备份 业务可靠 软件热补丁/在线升级 支持 NSF/GRforOSFP/BGP/IS-IS/LDP/RSVP 等 支持 IPFRR、TEFRR 虚拟化 虚拟化功能 支持 4 台以上设备堆叠 支持跨设备的链路捆绑 支持 10000M 光接口的堆叠功能 OAM 网络管理 SNMPv1/v2/v3、MIB、RMON、SYSLOG 系统管理 Console 口登录管理、Telnet(VTY)远程管理、SSH 管理、WEB 管理 网 络 质 量 保 证(SLA)
支 持DHCP,FTP,HTTP,ICMP,UDPpublic,UDPprivate,TCPpublic,TCPprivate,SNMP 等协议测试 支持网络的时延、抖动、丢包率等测试 MyPowerS3200 系列 产品介绍 产品描述 MyPowerS3200 系列网管型交换机外观图 MyPowerS3200 系列千兆智能网管型交换机是迈普公司针对企业网中心 LAN以及 IP 城域网小区汇接,自主研发的高性能台式二层以太网交换产品。
SM3200-24TC-AC 提供 22 个千兆电接口,2 个千兆 SFP 光接口,2 个千兆电接口;
SM3200-26T-AC 提供 24 个千兆电接口,4 个千兆 SFP 光接口,2 个千兆电接口; SM3200-50T-AC 提供 48 个千兆电接口,4 个千兆 SFP 光接口,2 个千兆电接口; MyPowerS3200 系列网管型交换机能在第二层上实现线速以太数据帧的转发,并具有完善的 QoS、组播能力。具备完善的 QoS、VLAN 增强功能以及迈普特有的相关安全功能,满足用户安全性要求。能够帮助客户轻松实现千兆到桌面,能满足企业网、IP 城域网视频、音频高优先级数据及其它特定数据对交换机的特定需要,能将需要转发到核心网的数据汇聚后传到核心网,可以为企业网中心、IP 城域网、小区汇聚提供低成本、高性能、扩展性强、管理简单的解决方案。
产品特征 全面的二层协议支持 灵活的 VLAN 隔离功能 完善的安全策略 强大的访问控制能力 丰富的 QoS 机制 全面网管支持 全面协议支持
提供如 IEEE802.3、IEEE802.3x、IEEE802.3ab、IEEE802.3u、IEEE802.ad、IEEE802.1d、IEEE802.1W、IEEE802.1q 等协议支持。
灵活的 N VLAN 隔离功能
支持基于 802.1Q 的 VLAN 隔离功能,可在 1~4094 之间任意配置,并支持GVRP 动态 VLAN 协议,使不同的业务、不同用户之间不能互访,保证了业务来往数据的保密性,提高整个网络系统的安全性,节省网络带宽。VoiceVlan 特性,可以将 IP 电话等终端加入 VoiceVlan,为语音业务提供良好的 QoS 保障机制。
完善的安全策略
提供用户权限/身份认证、端口安全、端口限速、端口监控、地址过滤、802.1X认证等多种安全策略,支持防 ARP 攻击功能,为用户访问提供多种保护机制,有效保证用户的网络安全。
强大的访问控制能力
支持二到七层的访问控制,可以根据源、目的 MAC 地址、源、目的 IP 地址、UDP/TCP 端口号、IP 协议类型等信息对数据流进行分类,根据数据分类设定访问控制规则,可以设定 permit 或 deny,然后将规则应用于 VLAN 或者物理端口。
丰富的 S QoS 机制
根据端口、802.1p、ToS、DSCP、TCP/UDP 端口等进行流量分类,并分配不同的服务级别,支持 WRR/SP 等调度方式,能够为语音、数据在同一网络中传输提供不同服务质量,满足客户网络对业务处理优先级的要求。
全面网管支持
提供 SHELL、TELNET、WEB、SNMP、第三方软件等网管支持,能够实现跨平台、规模化网络管理,友好的人机界面,为用户管理设备、掌控网络情况提供了强大支持。
产品规格 硬件规格 机框型号 SM3200-24TC-AC SM3200-26T-AC SM3200-50T-AC 整机结构 台式 物理端口 22 个 10/100/1000 电口、2 端口10/100/1000M 电口、2端口千兆光接口 24 个 10/100/1000M电接口,4 个1000MSFP 光接口,2 个 10/100/1000M电接口 48 个 10/100/1000M电接口,4 个1000MSFP 光接口,2 个 10/100/1000M电接口 整机交换容量 260Gbps 260Gbps 260Gbps IPv4 包转发率 45Mpps 45Mpps 78Mpps VLAN 4k 平均无故障时间 8 万小时 外形尺寸(W×D×H) 440mmx415 mmx44 mm 输入电压(AC)
100~240V,50~60Hz 功耗(MAX)
54W 工作温度 0~45℃ 工作湿度 10~90%不结露 软件特性 链路层协议与技术 局域网 MAC 老化时间 10~1000000 秒 802.1Q、PVLAN、802.3ad、802.3x、802.1DSTP、802.1P、802.1W、802.1s STP/RSTP/MSTP GVRP 端口镜像 网络协议 组播协议 IGMPSnooping IP 应用 DHCP、DHCPRelay、DHCPServer、DHCPSnooping FTP、TFTP SNTP
路由协议 支持路由功能 网络安全性 ARP 防 ARP 欺骗、防 ARP 扫描 安全防护 广播报文抑制 认证 Radius、802.1x 认证 用户安全 全局地址过滤、端口安全 ACL 访问控制列表、用户分级登陆认证 服务质量保证 QOS 端口限速每端口 8 个优先级队列 802.1pToS 应用端口号入口流量整形 WRR/SP 等调度方式 堆叠 堆叠功能 支持菊花链模式、星型模式,最大支持 9 台堆叠 支持 1000M 光电接口的堆叠功能 OAM 网络管理 SNMPV1/V2/V3、RMON1/2/3/9 系统管理 Console 口登录管理、HTTP、Telnet(VTY)远程管理、SSH 管理 MpSecMSG4000 系列 产...