1、奎屯高等級公路管理局網絡改造規劃方案目錄（一）現有網絡概況3（二）信息平臺升級改造需求分析52.1目前網絡存在的問題52.2網絡改造實現目的6（三）網絡升級總體設計7（四）網絡改造84.1網絡架構調整84.2綜合布線方案描述94.3外網建設104.4 VPN接入方案11（五）內網局域網升級改造125.1內網網絡架構調整125.2內網核心交換機配置145.3接入交換機配置155.4 推薦配置清單16（六）內網廣域網絡改造176.1 廣域結構調整176.2 核心路由器配置196.3 接入路由器配置196.4 接入交換機配置20（一）現有網絡概況目前奎屯管理處的網絡設備包括如下：服務器兩臺，浪潮服務

2、器和惠普服務器（ML150），交換機設備包括若干臺非網管型交換機和若干臺觀點轉換器用以連接下面的收費站和管理所，下面是管理處現有的網絡拓撲圖：禾什托洛蓋光交換烏爾禾道班光交換OA服務器管理處3樓機房交換機Internet克拉瑪依收費站交換烏蘇管理所路由高速公路管理所交換克拉瑪依管理所路由獨山子管理所路由當前奎屯管理處網絡拓撲圖管理處1、2、4樓交換服務中心及家屬樓交換四棵樹收費站交換安集海收費站交換奎屯收費站交換烏爾禾收費站交換奎屯北收費站交換內部局域網網絡是典型的星型網絡結構，分為4層樓，每層分布一到兩臺交換機，然后連接至三樓總機房的核心交換機，核心交換機是一臺傻瓜型的交換機。下面的各收費站

3、和管理所通過電信的光纖和ADSL連接到三樓總機房的核心交換機，沒有任何安全防范設備以供使用和抵御來自外部和內部的破壞。信息中心主要提供生產數據服務，包括OA、工作票、生產票等服務資源，目前現有生產服務器包括兩部分，OA和郵件系統已進行整合，其它資源在整合中。這些生產數據和生產用服務器也完全裸露在網絡中，沒有硬件級的安全保障。目前數據存儲均采用本機存放方式，隨著應用的不斷開展，服務器資源已經不能完全滿足生產的需要。現有的網絡硬件環境亦不能滿足生產和效率要求和安全需要，因此進行統一資源部署整合和網絡硬件設備的升級和換代以成為必然的需求。改造后的網絡架構圖如下：OA服務器Internet奎屯收費站交

4、換安集海收費站交換奎屯北收費站交換烏爾禾收費站交換克拉瑪依收費站交換四棵樹收費站交換烏蘇管理所路由獨山子管理所路由克拉瑪依管理所路由高速公路管理所交換管理處1、2、4樓交換服務中心及家屬樓交換管理處3樓機房交換機改造后網絡拓撲圖服務中心及家屬樓交換防火墻多WAN口路由器路由器1路 由 器 2光纜 網線（二）信息平臺升級改造需求分析2.1目前網絡存在的問題 安全問題，安全為了生產，生產必須安全。現有的網絡架構在硬件層面上幾乎沒有安全可言，一旦遭遇病毒的侵害，必然導致全網絡的感染以至于全網癱瘓，在沒有防火墻和網絡安全設施的環境下，來自外部世界的攻擊和非法侵害也是很容易得手的。 資源的整合，現有的網

5、絡環境沒有考慮到網絡資源的整合和資源的共享 等級問題，在一個復雜的網絡環境下，等級的劃分是很關鍵的，就像一個社會的等級是一樣的關鍵。2.2網絡改造實現目的 此次管理處網絡改造主要實現如下部分： 將原有網絡進行改造升級，用電信光纖線路將管理處和各管理所和收費站接入到管理處建立獨立的廣域網絡，原有自建通信線路連接保持不變供生產網絡使用。 采用管理處統一的IP地址范圍對全奎屯生產和營銷網絡進行統一地址規劃，統一數據資源，建立清晰的網絡架構以便于維護和管理。 升級現有網絡中心網絡架構，升級骨干連接，更換原有網絡中心核心交換機，提升網絡處理能力。 在生產數據中心服務器資源前增加一臺入侵防御系統（IPS）

6、或者防火墻設備，將服務器資源置于安全防護設備之后，確保服務器資源的安全性。 配置VPN安全設備和VPN密鑰建立VPN隧道，實現在外移動用戶建立安全訪問隧道，通過VPN隧道設備訪問內網數據資源。 配置大容量高可用性存儲，實現網絡中心辦公OA、郵件等數據集中存儲，并建立備份措施保障數據安全可靠。 對整個營銷網絡架構、IP地址、服務器資源等進行統一規劃整合，建立統一的管理局營銷信息平臺。（三）網絡升級總體設計針對以上網絡存在的問題，我們考慮采用以下方式對網絡進行升級擴展，改善網絡架構，提高網絡傳輸和處理性能：1、將管理處進行內外網改造，建立物理隔離的內外網絡構架 根據管理處的現有要求，部署內外網系統

7、，將互聯網從現有網絡中獨立出去，建立安全可靠的網絡架構。2、利用現有的光纖線路，建立全奎屯獨立的廣域網絡在管理處新配置一臺核心路由器將各管理所和收費站接入到管理處，在各管理所和收費站配置相應接入路由器建立獨立的生產營銷廣域網絡，原有自建通信線路連接保持不變供生產網絡使用。在管理所和收費站配置交換機將營銷與原有生產網絡分離出來組建單獨的營銷網絡。3、升級信息中心網絡架構，提高網絡性能、可靠性以及安全性 配置一臺新的高性能核心交換機提高網絡核心處理速度；同時將內部網絡升級為千兆互連，采用主干千兆進行連接，減少故障點和提高處理性能。將服務器區獨立出來，將服務器接入新購置的核心交換機H3C S5600

8、后，然后在服務器區和核心交換之間增加一臺防火墻，將服務器資源置于安全防護設備之后，確保服務器資源的安全性4、配置VPN網關和移動客戶端，實現移動辦公用戶的VPN接入 在中心配置VPN網關和移動客戶端，實現在家或出差人員通過VPN隧道進入外網然后通過VPN設備訪問內網數據資源，提高辦公效率。5、建立存儲局域網 配置大容量可靠性磁盤陣列，將原有各服務器數據遷移至磁盤陣列上，并配置相應備份措施對其數據進行自動備份，方便集中管理和備份，提高數據可靠性。6、進行統一的IP地址規劃，并對目前營銷中心和信息中心數據資源進行整合采用管理處統一的IP地址范圍對全奎屯的管理所、收費站等生產和營銷網絡進行統一地址規

9、劃。將原有OA和生產服務器資源進行統一地址和整合。（四）網絡改造4.1網絡架構調整根據管理處網絡環境的要求，部署內外網系統，從管理處目前的網絡情況，我們推薦采用內網網絡配置兩臺新的高性能核心交換機提高網絡核心處理速度，同時配置新的接入交換機用做內網信息點接入；同時將附近的管理所和收費站采用千兆模塊進行連接，減少故障點和提高處理性能。將服務器區獨立出來，將服務器接入核心交換機H3C 5600，然后在服務器區和核心交換之間增加一臺入侵防御系統（IPS），將服務器資源置于安全防護設備之后，確保服務器資源的安全性。4.2綜合布線方案描述采用結構化布線方式將樓內的布線點統一規劃，分步實施。4.3外網建設

10、外網網絡設備我們采用INTERNETROUTER-FIREWALL-核心交換方式。同時建議在互聯網出口部設一臺基于WEB的認證設備確保只有許可用戶才運行接入外網，同時利用其帶寬管理和限制功能進行外網訪問的帶寬管理。4.4 VPN接入方案 隨著業務的不斷開展，目前許多業務需要出差人員或在家通過外網的進入到內網進行業務應用操作，因此需要確保這部分經授權的人員能夠通過互聯網安全的進入內網進行相應的資源訪問，同時保證在互聯網上傳輸的信息不被窺探和篡改。目前VPN方案正是針對于此需求提出的解決方案，VPN即虛擬專用網(Virtal Private Network)，是一條穿過公用網絡的安全、穩定的隧道。

11、通過對網絡數據的封包和加密傳輸，在一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，從而實現在公網上傳輸私有數據、達到私有網絡的安全級別。VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、分支機構、商業伙伴等建立可信的安全連接，并保證數據的安全傳輸。方便遠程人員通過互聯網安全的接入，實現在外移動用戶建立安全訪問隧道，并通過網閘設備訪問內網數據資源。為實現移動VPN接入方案我們在信息中心配置SSL VPN網關實現，采用此方式接入端不需安裝維護，使用方便，考慮到安全性建議配置硬件密鑰方式接入VPN，采用密鑰方式可將證書保存在密鑰內，當客戶端需要建立VPN隧道時必須要有密鑰接入到計算機上，從

12、而提高可靠性。對于FIREWALL防火墻配置如下：屬性說明運行模式路由模式透明模式混合模式網絡安全性AAA服務RADIUS認證HWTACACS認證PKI /CA（X.509格式）認證域認證CHAP驗證PAP驗證防火墻包過濾基礎和擴展的訪問控制列表基于接口的訪問控制列表基于時間段的訪問控制列表動態包過濾ASPF應用層報文過濾 應用層協議：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP） 傳輸層協議：TCP、UDP抗攻擊特性Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SY

13、N Flood、ICMP Flood、UDP Flood、ARP欺騙攻擊防范TCP報文標志位不合法攻擊防范超大ICMP報文攻擊防范地址/端口掃描的防范DoS/DDoS攻擊防范TCP Proxy 功能ICMP重定向或不可達報文控制功能Tracert報文控制功能帶路由記錄選項IP報文控制功能靜態和動態黑名單功能MAC和IP綁定功能透明防火墻基于MAC的訪問控制列表支持802.1q VLAN 透傳郵件/網頁/應用層過濾郵件過濾SMTP郵件地址過濾郵件標題過濾郵件內容過濾郵件附件過濾網頁過濾HTTP URL過濾HTTP內容過濾支持與外部服務器(第三方如SurfControl)進行集成聯動提供URL網頁

14、過濾的解決方案，有效控制和管理用戶的web訪問行為應用層過濾Java BlockingActiveX BlockingSQL注入攻擊防范安全日志及統計用戶行為流日志NAT轉換日志攻擊實時日志黑名單日志地址綁定日志流量告警日志流量統計和分析功能全局/基于安全域連接數率監控全局/基于安全域協議報文比例監控安全事件統計功能E-MAIL郵件實時告警功能E-MAIL郵件定時告警功能NAT支持多個內部地址映射到同一個公網地址支持多個內部地址映射到多個公網地址支持內部地址到公網地址一一映射支持源地址和目的地址同時轉換支持外部網絡主機訪問內部服務器支持內部地址直映射到接口公網IP地址支持DNS映射功能可配置支

15、持地址轉換的有效時間支持多種NAT ALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 VPNL2TP VPN支持根據VPN用戶完整用戶名、用戶域名向指定LNS發起連接支持為VPN用戶分配地址支持進行LCP重協商和二次CHAP驗證GRE VPNIPSec/IKE支持AH、ESP協議支持手工或通過IKE自動建立安全聯盟ESP支持DES、3DES、AES多種加密算法支持MD5及SHA-1驗證算法支持IKE主模式及野蠻模式支持NAT穿越支持DPD檢測DVPN支持UDP封裝支持動態IP地址構建VPN支持加密保護（注冊控制報文，會話控制報文，策略報文）支持多個DVPN域支

16、持分支自動建立VPN隧道支持Server對分支隧道的策略控制Server對Client的AAA身份認證Client對Server的身份驗證網絡互連局域網協議Ethernet_IIEthernet_SNAP802.1q VLAN鏈路層協議PPPoE網絡協議IP服務ARP域名解析IP UNNUMBEREDDHCP中繼DHCP服務器DHCP客戶端IP路由靜態路由RIP v1/2OSPFBGP路由策略策略路由高可靠性雙機狀態熱備,Active/Active和Active/Passive兩種工作模式,支持負載分擔和業務備份遠端鏈路狀態監測（L3 monitor）關鍵部件冗余設計接口模塊熱插拔機箱溫度自動

17、檢測服務質量保證（QoS）流量監管CAR 擁塞管理FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ擁塞避免WRED流量整形GTS接口速率限制LR配置管理命令行接口通過Console口進行本地配置通過Telnet或SSH進行本地或遠程配置配置命令分級保護，確保未授權用戶無法侵入設備提供全中文的提示和幫助信息詳盡的調試信息，幫助診斷網絡故障提供網絡測試工具，如Tracert、Ping、HWPing命令等，迅速診斷網絡是否正常用Telnet命令直接登錄并管理其它設備FTP Server/Client，可以使用FTP下載、上載配置文件和應用程序支持TFTP上傳下載文件支持日志功能文件系統管理User

18、-interface配置，提供對登錄用戶多種方式的認證和授權功能。支持標準網管 SNMPv3，并且兼容SNMP v2c、SNMP v1支持NTP時間同步支持Web方式進行遠程配置管理根據以上需求我們考慮采用H3C 的F100E實現此功能 總部路由可采用H3C MSR 50-40路由器，配置如下： 先進的硬件體系架構MSR 50系列路由器在硬件設計方面充分地考慮到集成綜合業務的需要，采用了先進的N-Bus多總線設計方案，語音、數據、交換、安全四大業務分別經由不同的總線，由專門的協處理引擎并行完成處理，消除總線和CPU性能瓶頸，大大提高了該系列路由器集成的多業務部署和實施能力。可滿足企業網絡內部多

19、種高質量并發業務無縫集成、完美融合。MSR系列路由器N-Bus體系結構多業務集成并發能力集成安全業務安全已經成為網絡的基本功能，由于安全性需要內嵌于整個網絡之中，因此路由器在網絡防御戰略中起著重要作用。MSR 50系列產品提供專門的安全數據連接設計技術，采用內置硬件加密功能的CPU和主板上內置的硬件加密引擎（NDE），通過硬件的方式大大提高數據加密性能，保證轉發和加密同步高性能，同時節省接口插槽。MSR 50提供了豐富的安全功能，包括Firewall、IPSec VPN、MPLS VPN、CA、Secure Shell（SSH）協議2.0、入侵保護、DDoS防御、攻擊防御等。集成語音業務MSR

20、 50系列路由器采用了全新的硬件語音設計方案，提供了FXS/FXO/VE1/VT1等各種語音接口類型，支持H.323、SIP等主流的語音通訊協議，實現了緊急呼叫/掉電求救/撥號策略/傳真/E-PHONE等各種語音業務。MSR 50提供TDM交換能力，使用戶的TDM交換在本地完成，大大節省網絡資源的同時，使本地話音的接通率和通話質量完全達到電信水準。MSR50系列路由器還支持高密度模擬語音模塊：FIC-24FXS和DFIC-24FXS:24FXO，并通過支持FXS和FXO接口的1:1綁定功能及DFIC-24FXS:24FXO單板的斷電逃生功能，大大提高了路由器產品的語音部署的靈活性和組網能力。集

21、成數據交換MSR 50系列提供靈活擴展的以太網交換模塊，支持豐富的二層交換特性，極大地滿足了企業對于路由交換一體化組網方案的需要。多業務線速并發MSR 50系列路由器將全新的硬件架構和結構化的軟件系統有機結合，可以為用戶提供集成數據、安全、語音、視頻以及各種上層應用業務的服務，滿足用戶現有的以及未來的互聯網應用，而且路由器的原有數據傳輸性能絲毫未受影響。開放式的增值業務平臺MSR 50基于OAA（Open Application Architecture）理念設計，創新性的推出了對外開放的業務平臺。該平臺提供了一套完整、標準的對外接口（API接口）。廠商與合作伙伴均可以在此平臺上直接開發各類高

22、級功能（例如應用層攻擊抵御、網絡病毒防護、多媒體集合通信、Web優化與加速等），用戶只需安裝開發出的軟件，便可以將上述業務與MSR 50無縫融合，為日漸細分的個性化需求提供完整的解決方案。成熟商用的操作系統MSR 50系列采用了華三公司成熟商用的多業務、可擴展、組件化的先進操作系統平臺，全面支持IPv6，并支持完善的MPLS VPN功能滿足各種組網需求。完善的下一代IP協議解決方案IPv6作為下一代網絡的基礎協議以其鮮明的技術優勢得到廣泛的認可， MSR全面支持IPv4/IPv6雙協議棧，支持通用的IPv4路由協議、IPv6路由協議、組播路由協議和靜態路由。MSR提供了豐富的IPv4向IPv6

23、過渡方案，包括雙棧技術、隧道技術、地址轉換技術（NAT-PT）和MPLS 6PE技術。領先的MPLS流量工程解決方案MPLS TE結合了MPLS技術與流量工程，通過建立到達指定路徑的LSP隧道進行資源預留，使網絡流量繞開擁塞節點，達到平衡網絡流量的目的。在資源緊張的情況下，MPLS TE能夠搶占低優先級LSP隧道帶寬資源，滿足大帶寬LSP或重要用戶的需求。同時，當LSP隧道故障或網絡的某一節點發生擁塞時，MPLS TE可以通過備份路徑和快速重路由FRR（Fast Reroute），提供瞬時恢復保護。安全靈活的VPE功能VPE（VPN PE）是一種特殊的PE，它和CE之間的連接方式不是傳統的DD

24、N/E1/ POS/ETH/PVC等專線技術，而是IPSec/L2TP/GRE/UDP VPN等隧道技術。VPE完成IP VPN與MPLS VPN的融合，在網絡邊緣實現網絡資源的邏輯劃分及安全隔離，核心網與邊緣網絡形成了一個整體，實現了端到端的VPN功能。 簡單便捷的網絡分析工具NQA（網絡質量分析）是測量網絡上運行的各種協議性能的一種工具。它可以實現端到端的網絡狀況監測，包括時延、抖動、丟包率等。不僅能使用ICMP協議來測試數據包在本端和指定的目的端之間的往返時間，從而判斷目的主機是否可達，還可以探測DLSw、DHCP、FTP、HTTP、SNMP服務器是否打開，以及測試各種服務的響應時間等，

25、提供對網絡應用的質量檢測。直觀可視化的流量分析工具NetStream提供報文統計功能，它根據報文的目的IP地址、源IP地址、目的端口號、源端口號、協議號、ToS、輸入/輸出接口來區分流，并針對不同的流進行獨立的數據統計。NetStream的統計信息定期發送給NSC（NetStream Collector，網絡流數據收集器），由NSC進一步處理后，交給NDA（NetStream Data Analyzer，網絡流數據分析器）進行可視化的流量分析、計費、網絡規劃等多種應用。電信級運營的高可靠性MSR 50系列路由器設備的可靠性從硬件和軟件兩個方面得到了充分的保證，該系列設備支持冗余備份的雙電源，支

26、持接口模塊、電源模塊和分散的熱插拔，這大大提高了設備硬件的可靠性；在軟件上方面支持VRRP、備份中心、動態路由備份和快速重路由等技術，這些特征和功能滿足了設備的電信級應用需求。提供POE遠程供電特性MSR 50系列支持PoE（Power Over Ethernet）功能，即可通過雙絞線向遠端下掛PD設備（如IP Phone、WLAN AP、Security、Bluetooth AP等）提供電源，實現對下掛PD設備遠端供電，使設備安裝簡單而且節省空間。作為供電方PSE（Power Sourcing Equipment）設備，支持IEEE802.3af線路供電標準，同時也可以兼容不符合802.3a

27、f標準的PD（Powered Device）設備。MSR 50系列以太網口上的PoE特性，能夠充分滿足未來新興技術發展的需求，為無線技術、語音技術的發展提供了支持。通過支持POE和Voice VLAN技術，MSR 50系列路由器能夠提供完美的數據和語音融合解決方案。嚴格的國際認證MSR系列在外觀結構設計上融入流行時尚的元素，并符合有關EMC、安規和環保等方面的國際標準，如CE（歐盟）、UL（北美）、FCC（北美）安全準入標準，更突出了產品內在和外在的價值。（五）內網局域網升級改造5.1內網網絡架構調整內網網絡配置一到兩臺新的高性能核心交換機提高網絡核心處理速度；同時將附近的管理所和收費站主干線

28、路升級為1000M，采用千兆模塊進行連接，減少故障點和提高處理性能。將服務器區獨立出來，將服務器接入H3C 5600核心交換機，然后在服務器區和核心交換之間增加一臺入侵防御系統（IPS）或防火墻，將服務器資源置于安全防護設備之后，確保服務器資源的安全性。信息中心和營銷中心采用一臺防火墻進行訪問控制。5.2內網核心交換機配置為提高整體網絡性能我們考慮升級更換核心交換機，配置一到兩臺核心交換機，采用熱備協議配置成雙機模式，各接入交換機采用雙鏈路分別接入核心交換，構建整個內網的冗余網絡架構。各管理所和收費站直接接入主核心交換機，同時將各管理所和收費站主干線路升級為1000M，采用千兆模塊進行連接，減

29、少故障點和提高處理性能。 核心交換機考慮到性能需求要求配置如下 根據現有需求，我們考慮采用兩臺H3C 5600 路由交換機配置上做為整個網絡主核心。 為實現機關樓內各交換機和各工區的交換機接入以及信息中心服務器的千兆接入，我們在核心交換機上各配置一塊24端口千兆以太網電接口模塊(RJ45)，提供24個千兆RJ45接口，主要用于信息中心現有服務器的千兆高速接入，以及機關樓內的樓層接入交換機千兆雙絞線接入。5.3接入交換機配置此次網絡改造，原有接入交換機用做外網使用，內網重新配置5臺48口接入交換機，分別用于各樓層信息點接入，接入交換機提供24個10/100M接口和兩個千兆電口，采用兩條千兆雙絞線

30、分別接入兩臺核心交換機。 工區接入交換機考慮到性能需求要求配置如下項目要求背板帶寬=19Gbit/s端口配置24個100M接口，配置1端口千兆單模模塊擴展能力至少提供兩個擴展模塊插槽，支持千兆模塊5.4 推薦配置清單配置清單如下：序號產品型號產品描述數量核心交換機（推薦）1S5600-26CH3C 核型交換機22H3c AR 18-63-1H3C 核心路由器43H3C SECPATH F100-MH3C 主干防火墻2樓層接入交換機（推薦）7LS-S3100-26C-SI-ACH3C S3100-52TP-SI以太網交換機主機,48個10/100Base-T,210/100/1000M電口和兩個

31、1000BASE-X光口5（六）內網廣域網絡改造6.1 廣域結構調整 利用電信廣域網線路，在中心新增一臺核心路由設備，同時為各管理所和收費站營銷接入新配置一套路由交換網絡設備，搭建新的管理局獨立營銷網絡。原有自建通信線路繼續用于實現生產網絡的連接，同時起著電信2M營銷線路的備份作用。網絡中心和營銷中心之間互連采用一臺千兆防火墻采用透明模式進行連接，對網絡中心和營銷中心之間訪問進行限制。而接入路由器和營銷網絡以及信息中心同樣采用獨立的一臺防火墻進行連接，實現對各管理所和收費站營銷或生產網絡接入的不同進行訪問控制。6.2 核心路由器配置為實現各所和收費站的廣域線路接入，中心配置一臺 核心路由器H3

32、C MSR 50-40,具體參數配置如下：先進的硬件體系架構MSR 50系列路由器在硬件設計方面充分地考慮到集成綜合業務的需要，采用了先進的N-Bus多總線設計方案，語音、數據、交換、安全四大業務分別經由不同的總線，由專門的協處理引擎并行完成處理，消除總線和CPU性能瓶頸，大大提高了該系列路由器集成的多業務部署和實施能力。可滿足企業網絡內部多種高質量并發業務無縫集成、完美融合。MSR系列路由器N-Bus體系結構多業務集成并發能力集成安全業務安全已經成為網絡的基本功能，由于安全性需要內嵌于整個網絡之中，因此路由器在網絡防御戰略中起著重要作用。MSR 50系列產品提供專門的安全數據連接設計技術，采

33、用內置硬件加密功能的CPU和主板上內置的硬件加密引擎（NDE），通過硬件的方式大大提高數據加密性能，保證轉發和加密同步高性能，同時節省接口插槽。MSR 50提供了豐富的安全功能，包括Firewall、IPSec VPN、MPLS VPN、CA、Secure Shell（SSH）協議2.0、入侵保護、DDoS防御、攻擊防御等。集成語音業務MSR 50系列路由器采用了全新的硬件語音設計方案，提供了FXS/FXO/VE1/VT1等各種語音接口類型，支持H.323、SIP等主流的語音通訊協議，實現了緊急呼叫/掉電求救/撥號策略/傳真/E-PHONE等各種語音業務。MSR 50提供TDM交換能力，使用戶

34、的TDM交換在本地完成，大大節省網絡資源的同時，使本地話音的接通率和通話質量完全達到電信水準。MSR50系列路由器還支持高密度模擬語音模塊：FIC-24FXS和DFIC-24FXS:24FXO，并通過支持FXS和FXO接口的1:1綁定功能及DFIC-24FXS:24FXO單板的斷電逃生功能，大大提高了路由器產品的語音部署的靈活性和組網能力。集成數據交換MSR 50系列提供靈活擴展的以太網交換模塊，支持豐富的二層交換特性，極大地滿足了企業對于路由交換一體化組網方案的需要。多業務線速并發MSR 50系列路由器將全新的硬件架構和結構化的軟件系統有機結合，可以為用戶提供集成數據、安全、語音、視頻以及各

35、種上層應用業務的服務，滿足用戶現有的以及未來的互聯網應用，而且路由器的原有數據傳輸性能絲毫未受影響。開放式的增值業務平臺MSR 50基于OAA（Open Application Architecture）理念設計，創新性的推出了對外開放的業務平臺。該平臺提供了一套完整、標準的對外接口（API接口）。廠商與合作伙伴均可以在此平臺上直接開發各類高級功能（例如應用層攻擊抵御、網絡病毒防護、多媒體集合通信、Web優化與加速等），用戶只需安裝開發出的軟件，便可以將上述業務與MSR 50無縫融合，為日漸細分的個性化需求提供完整的解決方案。成熟商用的操作系統MSR 50系列采用了華三公司成熟商用的多業務、可

36、擴展、組件化的先進操作系統平臺，全面支持IPv6，并支持完善的MPLS VPN功能滿足各種組網需求。完善的下一代IP協議解決方案IPv6作為下一代網絡的基礎協議以其鮮明的技術優勢得到廣泛的認可， MSR全面支持IPv4/IPv6雙協議棧，支持通用的IPv4路由協議、IPv6路由協議、組播路由協議和靜態路由。MSR提供了豐富的IPv4向IPv6過渡方案，包括雙棧技術、隧道技術、地址轉換技術（NAT-PT）和MPLS 6PE技術。領先的MPLS流量工程解決方案MPLS TE結合了MPLS技術與流量工程，通過建立到達指定路徑的LSP隧道進行資源預留，使網絡流量繞開擁塞節點，達到平衡網絡流量的目的。在

37、資源緊張的情況下，MPLS TE能夠搶占低優先級LSP隧道帶寬資源，滿足大帶寬LSP或重要用戶的需求。同時，當LSP隧道故障或網絡的某一節點發生擁塞時，MPLS TE可以通過備份路徑和快速重路由FRR（Fast Reroute），提供瞬時恢復保護。安全靈活的VPE功能VPE（VPN PE）是一種特殊的PE，它和CE之間的連接方式不是傳統的DDN/E1/ POS/ETH/PVC等專線技術，而是IPSec/L2TP/GRE/UDP VPN等隧道技術。VPE完成IP VPN與MPLS VPN的融合，在網絡邊緣實現網絡資源的邏輯劃分及安全隔離，核心網與邊緣網絡形成了一個整體，實現了端到端的VPN功能。

38、 簡單便捷的網絡分析工具NQA（網絡質量分析）是測量網絡上運行的各種協議性能的一種工具。它可以實現端到端的網絡狀況監測，包括時延、抖動、丟包率等。不僅能使用ICMP協議來測試數據包在本端和指定的目的端之間的往返時間，從而判斷目的主機是否可達，還可以探測DLSw、DHCP、FTP、HTTP、SNMP服務器是否打開，以及測試各種服務的響應時間等，提供對網絡應用的質量檢測。直觀可視化的流量分析工具NetStream提供報文統計功能，它根據報文的目的IP地址、源IP地址、目的端口號、源端口號、協議號、ToS、輸入/輸出接口來區分流，并針對不同的流進行獨立的數據統計。NetStream的統計信息定期發送

39、給NSC（NetStream Collector，網絡流數據收集器），由NSC進一步處理后，交給NDA（NetStream Data Analyzer，網絡流數據分析器）進行可視化的流量分析、計費、網絡規劃等多種應用。電信級運營的高可靠性MSR 50系列路由器設備的可靠性從硬件和軟件兩個方面得到了充分的保證，該系列設備支持冗余備份的雙電源，支持接口模塊、電源模塊和分散的熱插拔，這大大提高了設備硬件的可靠性；在軟件上方面支持VRRP、備份中心、動態路由備份和快速重路由等技術，這些特征和功能滿足了設備的電信級應用需求。提供POE遠程供電特性MSR 50系列支持PoE（Power Over Ethe

40、rnet）功能，即可通過雙絞線向遠端下掛PD設備（如IP Phone、WLAN AP、Security、Bluetooth AP等）提供電源，實現對下掛PD設備遠端供電，使設備安裝簡單而且節省空間。作為供電方PSE（Power Sourcing Equipment）設備，支持IEEE802.3af線路供電標準，同時也可以兼容不符合802.3af標準的PD（Powered Device）設備。MSR 50系列以太網口上的PoE特性，能夠充分滿足未來新興技術發展的需求，為無線技術、語音技術的發展提供了支持。通過支持POE和Voice VLAN技術，MSR 50系列路由器能夠提供完美的數據和語音融合

41、解決方案。嚴格的國際認證MSR系列在外觀結構設計上融入流行時尚的元素，并符合有關EMC、安規和環保等方面的國際標準，如CE（歐盟）、UL（北美）、FCC（北美）安全準入標準，更突出了產品內在和外在的價值。6.3 接入路由器配置管理所和收費站配置接入路由器主要實現光纖線路接入，同時考慮到要實現采用原有通信線路為2M電信線路進行自動備份功能，路由器需同時接入營銷和生產的網絡，兩者之間采用訪問控制確保生產網絡不允許訪問營銷資源。因此接入路由器要求配置如下：項目要求轉發性能=160Kpps端口需求至少提供一端口高速同步串口，2端口以上100M以太接口擴展能力至少提供一個擴展模塊插槽軟件特性支持MPLS

42、，支持IPV6根據以上要求我們推薦采用H3C MSR 20-12路由器，提供一端口百兆接口, 4個百兆交換接口, 1個高速同步串口, 以及1個 DSIC插槽。滿足當前應用以及未來業務擴展需求。其具體配置如下：序號產品型號產品描述數量1MSR 20-11H3C MSR 20-11 路由器主機(AC), 1 百兆接口, 4 百兆交換接口, 1個高速同步串口, 1 DSIC插槽482CAB-V35DTE(DB28)同異步串口(SA)V.35 DTE電纜(DB28)486.4 接入交換機配置考慮將營銷網絡應用獨立出來推薦為各管理所和收費站配置一臺專用營銷交換機，將營銷用計算機單獨出來。接入交換機要求配

43、置如下：項目要求背板帶寬=19Gbit/s固定端口24個100M接口擴展能力至少提供兩個擴展模塊插槽，支持千兆模塊根據以上要求我們推薦采用H3C S3100-26C-SI交換機，提供24個10/100M接口和兩個擴展模塊插槽。實現管理所和收費站營銷網絡獨立接入。配置清單如下：序號產品型號產品描述數量1LS-S3100-26C-SI-ACH3C S3100-26C-SI以太網交換機主機,24個10/100Base-T,2個模塊插槽,交流供電附件1（網絡產品列表）：產品型號規格單價(萬元)數量合計防 火 墻 （H3C）SECPATH F100E2.52核心路由器（H3C）MSR 50-400.9分

44、 支 路 由 器（H3C）MSR 20-110.4核 心 交 換 機（H3C）S 5600-26C2.6分 支 交 換 機（H3C）S 3100-26C0.3機 柜42U標準機柜0.18附件2（服務器參考配置列表）：HP服務器：產品型 號詳細配置單價(萬元)數量備注HP DL 380G5標配一個四核Intel Xeon E5405處理器(2.0 GHz, 80W, 1333MHz前端總線)，可擴至二路處理器，集成12MB(2x6MB)二級緩存,標配1GB (2 x 512MB) PC2-5300 全緩沖DIMMs (DDR2-667)內存，最高支持32GB, 共8個內存插槽,支持4:1和2:1

45、交錯、內存鏡象和在線備用,集成Smart Array E200陣列控制器，64MB高速緩存，支持RAID 0/1，可選128MB電池保護寫緩存以支持RAID 5,集成雙NC373i多功能千兆網卡,帶TCP/IP Offload引擎, 通過可選的許可證可實現加速iSCSI，集成iLO 2遠程管理,五個PCI-Express擴展槽:3個x4 PCI Express, 2個x8 PCI Express, 8個小尺寸熱插拔SAS/SATA硬盤槽位，1個1000W熱插拔電源，可選冗余,6個熱插拔冗余風扇,支持CD-ROM、DVD-ROM、DVD/CD-RW Combo、DVD+RW或軟驅,2U機架式2.

46、0適用機型HP DL 580G5標配兩個Intel 四核Xeon 7310處理器(1.6GHz, 2x2M緩存, 80W)，可擴至四路處理器，帶1066 MT/s專用高速互連，集成iLO2遠程管理,標配4GB(4x1GB) 全緩沖DIMMs (DDR2-667)內存，最大可擴充至128GB，可以配置成鏡像，在線備用或者高級ECC模式；內置Smart Array P400i/256MB陣列控制器,標配8槽位SFF SAS硬盤籠,最多支持16個小尺寸SAS/SATA熱插拔硬盤，標配8個可用I/O插槽：4個全長PCI-E x8, 1個全長PCI-E x4和3個半長PCI-E x4插槽，通過可選卡可增

47、加3個PCI-X或3個PCI-E x8；集成兩個NC373i多功能千兆網卡，標配2個熱插拔電源, 可增加第三和第四個熱插拔電源實現冗余；6個熱插拔冗余系統風扇；超薄DVD驅動器(8X/24X), 4U機架式6.5高配機型ProLiant DL180 標配一個四核Intel Xeon 5355處理器(2.66GHz,1333MHz前端總線)，8MB(2x4MB)二級緩存，可擴至二路處理器，標配1GB(1*1GB)PC2-5300 全緩沖DIMMs (DDR2-667)內存,最高支持16GB，集成Broadcom5703 10/100/1000快速以太網卡，2個全長/全高PCI-Express x8插槽，1個半長/半高PCI-Express x4插槽, HP Smart Array E200/128陣列控制器, 支持RAID 0/1/5，標配無硬盤，最多支持8個熱插拔SATA/SAS 3.5硬盤，750W電源,5個USB 2.0端口,機架式(2U)4.0存儲機型