1、第一章 建设物流园区信息系统平台的目的和意义物流行业作为广州市的重点行业,在广州市的 GDP 中拥有较高的比例的贡献。广州市物流中心经过多年的发展,逐步做大做强,成为广州市物流园区的重要成员。在发展的过程中,逐步体会到物流园区在物流行业中应当扮演的服务中心的角色和相应应当承担的管理责任。并且针对物流园区运营管理中遇到的1. 中小规模物流企业多,日常管理工作量大。2. 物流车辆多,车型复杂,分散,遍布范围广,不宜管理等。3. 货物调配周转快,成本压力大,安全要求高。4. 物流路线规矩化难,物流信息变化快等特点,着手建立适合物流园区实际需求,并能切实提高物流园区管理水平和经济效益的信息化管理平台。
2、不仅如此,本物流园区信息平台还将为提供物流企业和物流用户迫切需要的物品和交易安全保障、信息实时查询、第三方信用认证体系、交易跟踪管理服务、物流车辆安全管理、为物流企业运力及时调运服务等多种物流行业迫切需要的功能。与目前国内出现的其他物流信息平台相比,具有以下特点:1. 针对物流业中信息集中地物流园区服务。a) 针对物流园区服务者角色,结合园区基础服务提供更高等级的服务信息。提供一体化的服务,调度,服务平台。b) 结合物流园区管理者角色,对园区内的物流企业进行统一安装,统一管理。并且可以实现园区内外物流企业和物流园区的信息搜集,发布平台。2. 由下而上实施,a) 第三方平台由上而下实施,在进行大
3、量推广后出现系统设计上的问题就无法继续推广。b) 本平台开始园区开始实施,按物流企业的需求提供信息。一开始就确保平台能为物流行业服务,能持续发展直到盈利。c) 由基础做起,实现困扰物流行业内的信息规范化问题。建设物流车辆实时监控平台成为实现上述服务功能的必要平台,其意义如下:2一、规范物流行业,提高物流企业管理水平,引导现代物流业向 E 物流全球化发展的必然。自中国加入 WTO 世贸组织之后,中国的经济的发展带动了全国的物流行业的快速发展 ,目前国内物流行业车辆保守量是 6800 多万台。而广州是中国的一个大物流港,对于从外到内或是从内到外的货物运输起着很大的作用,物流车辆数目的庞大。珠江三角
4、洲的经济总量占广东省的比重接近 80。广州是珠江三角洲的经济中心,其物流的集散功能不可替代。广州是继香港、上海之后全国第三个挤身于世界 14 个吞吐量超亿吨的大港口城市。据估算,珠江三角洲地区的物流有约 3540通过广州的物流网络集散。目前物流企业管理混乱。本系统将对所有的注册车辆进行监控、调度和管理,做到信息共享,资源的合理利用。提高物流行业的信息化水平,可以直接提高物流行业的生产效率和物流用户的满意度,提供实时的货物在途信息,实行对物流车辆实时灵活调度,将会给我省我市的物流产业带来巨大的发展。二、加强道路车辆行驶安全的保障车辆管理监控系统的建立,能实时的监控到所有注册车辆,做到车辆与监控中
5、心的实时通讯,并监控车辆和司机的行驶状态,当司机超速行驶或是疲劳驾驶行驶时,监控中心会报警,同时车载设备也会提示司机,目前全国 50%的交通事故的发生是由于司机超速驾驶和疲劳驾驶引起的,通过本系统可以有效的避免因为超速和疲劳驾驶导致的交通事故。另外,在物流车辆出现被盗,被抢时,物流中心可以在第一时间对车辆进行断油,断电等操作,直接挽回由于第三方原因造成的损失。三、物流信息即时通报,减少车辆空载率,为物流企业创造效益。物流园区作为物流企业的服务单位,通过信息化建设,为物流企业提供有用的增值信息,可以大大的提高物流园区在同地区同类型物流园区的竞争优势。通过本系统,广州市物流中心可以将各地的物流信息
6、,及时通过无线方式发射到车载设备上,让司乘人员及时了解各地物资情况,最大限度的发挥运力,减少空现象。通过实现信息化提高物流行业的3人员工作效率和设备使用效率,从而提高本园区、广州市乃至广东省物流行业在全国范围内的核心竞争力。四、进行第三方信用认证和交易管理,建立规范化行业。目前,由于第三方认证体系,信用体系的缺乏,物流行业内中小规模的物流企业无法充分发挥管理,信用上的优势,同时,每年物流行业内的大量相关不规范操作甚至恶意诈骗给物流企业和物流用户都造成了巨大的损失。通过物流交易监控平台的建立,我们可以建立具有公信力的第三方交易跟踪系统,物流用户和物流企业的交易信用系统。这些基础数据可以为广东省物
7、流行业的规范化提供基本信息数据来源。4第二章 平台架构和平台容量一、平台架构为实现上述功能,整个车辆监控管理系统架构如下:库房,RFID 管理GPRSINTERNET/INTRANETServer 服务器5中心服务器平台架构分三层:1、中心服务器服务器机群2、监控中心3、车载终端各层架构说明如下:1、 车载终端设备具体是安装在物流车辆上,具有全球定位系统和标准的汽车行驶记录仪功能。2、 中心服务器是本系统的信息枢纽,用于实时接受车载设备采集的车辆状态信息,并实时传输到各个监控中心为了处理大量的实时信息,需要采用服务器集群,分散负荷,加大数据处理量,本系统建设车辆容量不小于 5000 台,按照每
8、个服务器可以同时监控300 台车计算,共需要 20 台服务器。监控中心交换机中心服务器分服务器Internet/intranet63、 监控中心用于查询并显示监控车辆的状态信息。二、平台的容量目前广州市物流园的车辆有 2600 多台,为保证系统的前瞻性,并考虑到可以更多的容纳向社会车辆提供服务,本系统的设计车辆一期容量为 5000 台。7第三章 项目报价及实施周期一、系统配置及报价本系统监控平台分两部分报价,分别是:I、 实时监控服务器和监控中心配置报价单II、车载监控终端序号 名称 配置 数量 单价 建议价格 金额一、实时监控服务器和监控中心配置 1 中心服务器CPU7310 四核 ;4G
9、的内存;73SAS 硬盘;1 ¥ 150000.00联想R650¥ 150000.001服务器联想T168 服务器详细配置点击查看#20 ¥ 14,800.00 双硬盘,带 raid0境像,¥ 296000.00 2SQL-SERVER数据库开放式许可+2 年软件升级保障1 ¥ 250000.00 ¥ 25,0000.00 5 监控大屏幕 三星 72 寸 1 ¥ 385,000.00 根据用户需求提供.¥ 385,000.00 6 固定 IP 20 ¥ 20000.00咨询当地网通¥ 400000.00 7 网络交换机CISCO WS-C2960-24TT-L1 ¥ 6,000.00 ¥ 6,
10、000.00 8 二、车载监控终端 9航宝 IV 型汽车行驶记录仪主机、连接线和驾驶员IC 卡,说明书,GPS 通信天线各一.5000 ¥ 1,480.00 2680 ¥ 7400000.0013恩泰柯服务器软件运行在服务器上,每个分服务器可以容纳车载终端 300 台.20 ¥ 48,000.00 ¥ 96,0000.00 814 监控中心软件运行在工作站上,用于实时查询并显示车辆状态信息。500 已自行开发¥ 400,000.00 16 SIM 卡 移动全球通卡 5000 ¥ 50.00 ¥ 250000.0017 系统集成费按项目的总额的 5%收取¥ 504850.00将各个子项目报价合计
11、,平台建设方面项目总费用为:10,601,850 元人民币。9二、信息平台网络传输及安全系统建设2.1 信息平台整体网络拓扑I n t e r n e t / I n t r a n e tS R 6 6 0 8 路由器7 5 0 6 E 交换机F 1 0 0 0 E 防火墙中心服务器分服务器群监控中心2.2 拓扑说明由于本信息平台的业务数据量巨大,一共有 21 台服务器,5000 个客户端(车载客户端) ,而且这仅是第一期的业务规模,所以为了满足这一期业务量的需求以及兼顾后续系统业务量的扩容,建议在连接此信息平台与 Internet/Intranet 的出口处部署一台 H3C RT-SR66
12、08-H3 路由器,SR6600 基于业界领先的多核处理器技术软硬件平台进行开发,适合复杂业务流程处理,使 SR6600 具有极其灵活、全面、高效的多业务处理能力。对于未来新业务、新需求的扩展和适应,更具有其他硬件平台无法比拟的灵活性和快速响应能力。同时,多核多线程处理器的大规模创新应用,实现了不同业务流与报文的全并行高速处理,突破传统单核 CPU 性能瓶颈限制,开创了业务与性能并重的全新天地。同时由于监控中心是通过 Internet/Intranet 等非安全的网络来访问信息平台中心的10服务器,信息平台内部的服务器将面临着各种来自这些非安全网络的威胁,例如各种恶意攻击,非法入侵等,当然还有
13、来自内网的威胁。为了解决这些安全问题,建议部署一台H3C NS-SecPath F1000-E-AC 防火强,如图所示。这款防火墙具有 6GB 的高吞吐量,完全可以满足目前业务量处理以及将来业务量扩展的需求。SecPath F1000-E 支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用 ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种
14、VPN 业务,如 GRE VPN 、IPSec VPN 等,可以构建多种形式的 VPN;提供基本的路由能力,支持 RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS 特性。SecPath F1000-E 防火墙充分考虑网络应用对高可靠性的要求,业务接口卡支持热插拔,充分满足网络维护、升级、优化的需求;支持双机状态热备,支持 Active/Active 和Active/Passive 两种工作模式。提供机箱内部环境温度检测功能,支持网管的统一管理。在连接主服务器以及 20 台分服务器汇聚的地方,建议部署一台 H3C S7506E 交换机以千兆接口汇聚 20 台分服务器。兼顾到系统后续
15、的升级扩容,它最高能提供 768G 的交换容量,以及 488Mpps 的 IPv4 包转发率,同时支持双电源,双引擎。在满足大量业务数据交换的同时能保证系统不间断的运行。2.3 产品说明2.3.1 SR6608H3C SR6600 系列路由器(以下简称 SR6600)是 H3C 公司自主研发为运营商及行业用户网络量身打造的一系列高性能多业务路由器。SR6600 首次创新地在高端路由器上实现了各种增值业务的全分布式处理。不需要配置任何集中式的业务处理或加速模块,在业务引擎(FIP-100/FIP-200)上内嵌了高性能的Netstream、ASPF、IPSec、NAT 等各类增值业务。多业务的全
16、分布式处理,优化了报文数据处理流程,规避了业务集中式处理的性能瓶颈,简化了产品配置,同时也大大节省了用户投资,提高了系统资源利用率,为高端路由器面向新型多业务网络应用和未来业务扩展11的多元化应用需求迈出了关键一步。基于全新的硬件平台和面向业务处理的设计理念,SR6600 系列开放式多核路由器完美地诠释了数据通信业务汇聚/接入和企业网关的新型解决方案。SR6600 系列目前包含 SR6602 和 SR6608 两个型号。SR6602 定位于高性能业务核心网关设备,具备高性能的转发和会话管理能力,亦可作为运营商及行业网络的汇聚/接入设备,是业界处理性能最高的单机架(1RU)路由器产品之一。SR6
17、608 定位于运营商及各行业大中型网络的高性能汇聚设备,中小型网络的核心设备。具有强大的宽带、窄带、VPN 汇聚能力,同时提供了双主控、双电源、全分布式等运营商级可靠性设计。SR6600 提供了丰富的可选配模块,同时兼容 H3C 中低端路由器的 MIM 接口卡,最大限度的满足用户的各种组网需求,同时也充分保护了用户已有投资。产品特点先进的多核技术随着 IP 网络的不断发展,用户对于业务的服务质量、安全性,可靠性,业务性能及可扩展性,业务的可管理性等方面的需求也越来越强烈。采用 IP 网的核心技术(分组交换、不面向连接) ,结合运营商网络的设计理念,适应当前多业务应用潮流下日新月异的新应用发展需
18、要,建立一个更大、更快、更安全、可信任、为用户提供灵活业务的可管理网络,已成为基础承载网络最关键的特征。多核多线程处理器就是在这样的一个市场需求的背景下诞生的新一代高性能处理器,它规避了传统通用 CPU 性能差以及和网络处理器业务处理不够灵活的缺陷,为网络复杂业务的高性能处理带来了可能性。SR6600 系列路由器采用的多核多线程处理器在系统架构设计中充分考了内容和安全业务的硬件加速处理,使其宝贵12的核心资源能够充分用于最关键、最核心的转发及 L4-7 深度业务处理,从而使 SR6600 系列路由器的整机包转发性能最高将可达 50Mpps。新一代网络设备以多核处理器为核心,同时具备高性能和业务
19、灵活性,必将成为网络设备发展的大趋势。SR6600 路由器是业界第一款基于多核、多线程处理器的高端业务汇聚路由器,它采用的处理器共有 8 个内核,32 个硬件线程。SR6600 采用的多核处理器既具有类似于 NP 网络处理器并行处理的特点,又具有对各种业务的灵活处理能力,其全新的硬件平台和面向业务处理的设计理念,契合了各行业 IT 建设和运营商网络的应用发展趋势,是数据通信业务汇聚、接入和业务网关的新型解决方案。强大的汇聚能力随着网络规模的逐渐扩大以及网络扁平化的趋势,大型企业、行业用户对于汇聚层路由器汇聚能力的要求不断提高。高汇聚能力的路由器在组网应用中可以大幅节省用户投资、减小网络复杂度,
20、并可通过简化网络层次进而提高网络的可维护性。依托于先进的体系架构和多核处理器的并行处理能力,SR6600 具有强大的窄带(E1/T1/ DS0)汇聚能力和宽带(以太网以及 PPPoE)汇聚能力。SR6608 能够给用户提供最大 16 个 cPOS OC-3/STM-1(155M 通道化 POS)接口,并且支持通道化到 E1/T1 甚至 DS0 接口,整机能提供的线速汇聚接入能力超过 756 个 E1;SR6602能够给用户提供最大 4 个 cPOS OC-3/STM-1 接口,同样支持通道化到 E1/T1 甚至 DS0 接口,整机能提供的线速汇聚接入能力超过 189 个 E1。此外,SR660
21、0 具有强大的硬件 MP 特性,通过 cPOS OC-3/STM-1 接口板上特有的芯片完成 MP 报文的分片和重组,可以有效的减少链路层的分片和重组对处理器资源的消耗,大幅度的提高路由器对 MP 报文的处理效率。以 1个 MP 捆绑 12 个 E1 通道这种苛刻的应用场景为例,SR6608 整机支持超过 40 个这样的捆绑达到双向线速。在具备强大的窄带汇聚能力的同时,SR6600 同样也具备强大的宽带汇聚能力。SR6608整机最大可提供 72 个 GE(WAN)接口,可以提供 32000 个 PPPoE 宽带用户的汇聚能力;SR6602 整机最大支持 20 个 GE(WAN)接口,可以提供
22、18000 个 PPPoE 宽带用户的汇聚能力。线速的加密性能随着网络应用的普及,承载业务类型的全面丰富,网络信息的拦截窃取也愈发猖獗,因此广大用户对网络应用的安全性也越来越关注。一个解决网络安全问题的好方法就是利用 IPSec 对报文信息进行加密。但是传统的 IPSec 业务如果用软件处理性能完全不可接受,13而专业的加密板卡价格又非常昂贵。SR6600 采用的多核处理器,内置高速安全加密引擎,硬件支持业界主流加密算法。借助该引擎,用户无需为 SR6600 购买任何加密板卡,即可拥有业界领先的线速加密性能。经国际权威认证机构 TOLLY 实测,在 400 个隧道同时工作的情况下,SR6602
23、 以及 SR6608 单业务引擎(FIP-200)的 IPSec 吞吐量均可达到 3.8Gbps。因此 SR6600 非常适合作为企业IPSec VPN 网关设备。随着 MPLS VPN 和传统的 IP VPN(如 L2tp、GRE、IPSec)越来越广泛的应用,用户对与二者相互融合的需求也越来越强烈。从网络全局来看,MPLS VPN 实现了内部资源划分与安全隔离,却无法将这一安全措施延伸至公网,这样企业网的资源划分与安全隔离就无法跨越公网延伸到网络的最边缘;而 IP VPN 虽然实现了网络边缘节点对企业网的安全访问,但无法实现不同业务的安全隔离与区别服务。SR6600 提供了全面的 VPE
24、技术(即 IP VPNPE) ,可以很好的融合和衔接两种 VPN,为用户提供端到端的优质 VPN 解决方案。丰富的业务特性随着网络通信技术和应用业务的不断发展,高端路由器已不仅仅局限于路由、转发,逐步倾向于多业务融合。SR6600 创新地在高端路由器上实现了各种增值业务的全分布式处理,不需要配置任何业务处理或加速模块,即可实现高性能的Netstream、L2tp、GRE、NAT 等各类增值业务。SR6600 支持高性能全分布式的 NetStream 报文统计功能,并可以针对不同的流信息进行独立的数据统计,使得用户对网络流量了如指掌,方便开展网络规划、安全监控、流量计费等业务。SR6602 支持
25、高性能 NAT 功能,提供百万级的并发会话处理能力,同时提供丰富的ALG(Application Layer Gateway)特性,如 H323/SIP/RTSP/ICMP/FTP/DNS /SQLNET/NetBIOS/ILS/QQ/MSN 等,保证主流应用配合 NAT 正常运行,特别适用于高性能宽带网关的应用场景。SR6608 采用全分布式 NAT 设计,在全面支持上述 NAT 功能的基础上,整机吞吐量更是得到了数倍的提升。SR6600 支持高性能、高灵活度的 QoS 解决方案,提供先进的队列调度、拥塞避免、拥塞管理、流量监管、流量整形、优先级标记等功能,可精确保证不同业务的带宽、时延、抖
26、动和丢包率,满足不同用户、不同业务等级的“区分服务”要求。SR6600 支持 H3C 公司特有的 OAA(Open Application Architecture)开放应用架构,用户或第三方可以基于 H3C 提供的 OAA 应用模块进行二次开发,在 SR6600 上提供“WAN 优14化” 、 “网流分析”等极具特色的高附加值应用。全面的安全保障目前网络中的各种攻击泛滥成灾,用户对安全性的要求日趋迫切。高端路由器不但要保证自身不受各种干扰和攻击,同时还要有效地保护内网设备不受攻击的。SR6600 充分考虑了安全性需求,提供了丰富的安全特性,包括:用户分级管理和口令保护、多核包过滤防火墙、多核
27、 ASPF、虚拟分片重组防攻击、防恶意报文攻击、URPF、控制平面限速、本地认证、RADIUS 认证和 TACACS 认证等等。 SR6600 的多核包过滤防火墙特性采用控制平面与数据平面硬件分离、分布式包过滤以及多核并行处理等先进技术,有效的降低了包过滤对其他业务的影响,大幅提升了整机对攻击包的过滤能力。SR6600 的多核 ASPF 状态防火墙特性采用 H3C 专利的 ASPF 状态机技术,在支持丰富网络应用的同时提供完善的安全机制。支持多种应用协议的状态检测,包括H323/SIP/RTSP/ICMP/FTP/DNS/SQLNET/NetBIOS/ILS/QQ/MSN 等;支持 URL 网
28、页地址过滤/Java Applet 阻断/Active X 阻断。同时 SR6600 实现的 ASPF 特性也采用控制平面与数据平面分离、分布式及多核并行处理等先进技术,有效降低了 ASPF 对其他业务的影响,大幅提高了 ASPF 的处理性能。虚拟分片攻击是指攻击者将攻击报文进行分片,利用分片报文到达目的地进行重组的特点来穿透防火墙,是一种比较隐蔽的攻击手段。SR6600 的虚拟分片重组防攻击特性,利用多核并行处理、智能老化等先进技术,在路由器中虚拟目的地址快速重组分片报文,实现对分片报文攻击的全面防范。贴心的投资保护SR6602 主机以及 SR6608 的业务处理引擎自带 24 个高性能全业
29、务 GE(Combo)接口,可以有效的扩展整机接口密度,节省用户投资。SR6608 采用业务处理引擎与接口卡分离的设计:业务处理引擎支持全面的业务功能,接口卡提供丰富的接口类型,两者灵活组合可以满足不同应用场景的配置需求,并能最大限度地保护用户投资。例如用户网络组网发生变化时,保持原有业务引擎,仅通过更换接口子卡即可实现接口类型的转换,充分的保护了用户的投资。SR6600 支持 GE 光接口 100/1000M 自适应,也支持 GE 光接口转换为 10/100/1000M 自适应的电接口,以一种接口卡从容面对实际组网中对以太网端口类型的多样化需求,进而有效的节省了用户投资。15SR6600 还
30、可以提供 155M POS/622M POS 速率自由适配的接口卡,用户可以通过软件命令配置的方式实现 155M 与 622M 两种速率的选择,满足用户灵活组网需求及可扩展性需求,充分保护用户的投资。 紧凑的系统设计SR6602 采用标准 1RU 高度的紧凑型设计,提供业界领先的端口密度和业务性能,有效节省用户机房空间。SR6608 采用小巧主控板及紧凑型设计,节能环保,主控板不占用业务槽位资源。SR6608 仅有 7RU 的高度,在双主控和双电源输入的高可靠性配置下仍然可以提供 4 个业务引擎(FIP 引擎)槽位,进而整机可以配置多达 8 个 HIM 接口卡或 16 个 MIM 接口卡。运营
31、商级可靠性SR6602 支持 RPS 电源备份,所有接口模块支持热插拔。SR6608 硬件上采用分布式体系结构,双主控、双电源设计。双主控能够实现主备倒换,并且主备倒换不影响处理业务引擎上的数据转发和相关业务处理,最大程度保证设备业务的可靠性。其主控板、电源、风扇框、业务处理引擎、接口卡等关键部件都支持热插拔,并且对其它引擎或者模块不会产生影响。双电源设计能够同时支持 2 个交流电源或者 2 个直流电源供电,只要有任意一个电源正常供电就能够保证设备的正常运行。在可靠的硬件设计基础上,SR6600 还支持丰富的软件可靠性特性,保证网络设备业务的不中断运行:SR6600 秉承了高端路由器分布式软件
32、体系架构,将控制平面和数据平面分离,确保系统全速运行时业务和控制互不干扰。从而保障主备倒换时转发零丢包、业务不中断;SR6600 实现基于状态的热备份,软件特性支持热插拔;并提供热补丁技术,实现软件完全平滑升级;支持 MPLS TE FRR,具备快速路由备份(FRB:Fast Routing Backup)特色功能,并结合 BFD 功能,实现故障链路的快速倒换;支持 IGP 快速收敛;支持虚拟路由冗余协议(VRRP) ,结合 BFD 故障检测机制,实现VRRP 的快速倒换;支持 OSPF/IS-IS/BGP/MPLS LDP/MPLS RSVP-TE GR (Graceful Restart)
33、功能,实现主备引擎倒换时无间断转发。产品规格硬件规格16SR6602 SR6608结构 标准 19 英寸机箱,集中式架构标准 19 英寸机箱,全分布式架构主控板槽位数 无 2(1+1 冗余备份)业务引擎槽位数无 4(不限制业务引擎类型)HIM 8(满配 FIP200 时)子卡槽位数量MIM216(满配 FIP100 时)2 GE 光电复合(每块FIP-200)固定业务接口 4 GE 光电复合2 GE 光电复合(每块FIP-100)背板容量 20Gbps 100Gbps包转发率 4.5 Mpps 18 MppsIPSec 加密性能3Gbps 12Gbps管理网口 0 1(GE)Console 口
34、 1AUX 口 1USB 接口 2CF 卡 2(内置 1 个,外置 1 个可选配)外形尺寸(宽深高)442mm460mm44mm 436mm468mm308mm满配置重量 7.5kg 50kg工作环境温度 045工作环境湿度 10%95%,无冷凝工作海拔高度 -60m3km -60m4kmAC / RPS AC(1+1)/ DC(1+1)电源输入额定范围:100240V 50/60Hz直流输入额定范围:-40-60V最大功率 150 W 650 W17EMC FCC Part 15 (CFR 47) CLASS AICES-003 CLASS A VCCI CLASS A CISPR22 CL
35、ASS A EN 55022 CLASS A CISPR24EN 55024IEC 61000-3-2IEC 61000-3-3EN 61000-6-1ETSI EN 300 386Safety UL 60950-1:2003CAN/CSA C22.2 No 60950-1-03IEC 60950-1:2001EN 60950-1/A11:2004AS/NZS 60950 EN 60825-1EN 60825-2FDA 21 CFR Subchapter J软件规格SR6602 SR6608二层协议 ARP:动态和静态 ARP、代理 ARP 代理、免费 ARP以太网、子接口 VLANPPPoE
36、 ServerPPP、软件 MP、硬件 MP(CL2P/CL1P 模块)FR、MFR、FRF12 分片、FR 交换HDLCATM:IPoA、PPPoA Server、IPoEoA、PPPoEoA ServerIP 服务 TCP、UDP、IP Option、IP unnumber策略路由18SR6602 SR6608IP 路由 静态路由动态路由协议:RIPv1/v2、OSPFv2、BGP、IS-IS组播路由协议:IGMP、PIM-DM、PIM-SM、MBGP、MSDP路由迭代路由策略IP 应用 DHCP Server/Relay/ClientDNS ClientNTP Server/Client
37、Telnet Server/ClientTFTP ClientFTP Server/ClientIPv6 基本功能:IPv6 ND、IPv6 PMTU、双栈转发,IPv6 ACL过渡技术:NAT-PT,IPv6 隧道,6PEIPv6 策略路由静态路由动态路由协议:RIPng,OSPFv3,IS-ISv6,BGP4+QoS 流分类:基于端口、MAC 地址、IP 地址、IP 优先级、DSCP 优先级、TCP/UDP 端口号、协议类型等流量监管:CAR 限速,粒度可配GTS 流量整形优先级 Mark/Remark各种队列调度机制 :FIFO、PQ、CQ、WFQ、CBWFQ拥塞避免算法:Tail-Dr
38、op、WRED LR 速率限制19SR6602 SR6608安全特性 ACL 访问控制列表包过滤防火墙状态防火墙 ASPF本机 TCP 防攻击控制平面限速虚拟分片重组基于时间的访问控制用户分级管理和口令保护AAA 认证、授权、计费RADIUS HWTACACSPKI 证书SSH 1.5/2.0RSAIKEIPSec、IPSec 多实例专用业务处理 NAT、NAT 多实例GRE 隧道L2TP 隧道NetStream(支持 XLog 互通)MPLS(Multiprotocol Label Switching)L3VPN:跨域 MPLS VPN(Option1/2/3) 、嵌套 MPLS VPN、分
39、 层 PE(HoPE) 、CE 双归属、MCE、多角色主机、GRE 隧道等L2VPN:Martini、Kompella、CCC 和 SVC 方式MPLS TE、RSVP TE组播 VPN可靠性 VRRP 虚拟路由冗余协议MPLS TE FRR(快速重路由)IGP 路由快速收敛BFD:Static Route/OSPF/ISIS/BGP/VRRP/TE FRRGR:OSFP/BGP/IS-IS/ LDP/RSVP软件热补丁20SR6602 SR6608支持接口模块的热插拔支持主备倒换,支持主控板、业务引擎及接口模块、电源、风扇框的热插拔管理与维护 通过命令行配置通过 Console 口进行配置通
40、过以太网端口利用 Telnet 进行配置、远程维护通过 AUX 口利用 Modem 拨号进行配置、远程维护通过 SNMP 管理(v1,v2c,v3)支持 RMON( 1,2,3,9 组 MIB)支持系统日志支持分级告警PING、TracertNQA:支持网络质量分析/与 VRRP、策略路由、静态路由联动风扇状态检测、维护和告警电源状态检测、维护和告警CF 卡状态检测、维护环境温度变化检测、告警文件系统 支持 FAT 格式的文件系统支持 CF 卡支持 USB 外部存储设备支持 Dual Image加载与升级 通过 XModem 协议实现加载升级通过 FTP、TFTP 实现加载升级2.3.2 Se
41、cPath F1000-E 防火墙SecPath 系列产品是 H3C 公司为中小、大型企业以及运营商用户设计的专业网络安全产品,通过将强大安全抵御功能、专业 VPN 服务和智能网络特性无缝集成在一个硬件平台上,不但能为用户提供广泛和深入的安全防护和安全连接功能,同时可以降低与安全相关21的总体拥有成本以及部署的复杂程度,是网络安全解决方案的理想选择。SecPath 系列产品作为 H3C 公司 iSPN(智能安全渗透网络)解决方案的重要组成部分,已经成为 H3C 公司 IToIP 核心理念中的 IP 自适应安全网络的坚实基础。产品概述SecPath F1000-E 是 H3C 公司面向大型企业和
42、运营商用户开发的新一代电信级防火墙设备。SecPath F1000-E 采用了 H3C 公司最新的硬件平台和体系架构,实现防火墙性能的跨越式突破,可支持数十个 GE 接口,能满足电信级应用的需求。SecPath F1000-E 支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用 ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种 VPN 业务
43、,如 GRE VPN 、IPSec VPN 等,可以构建多种形式的 VPN;提供基本的路由能力,支持 RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS 特性。SecPath F1000-E 防火墙充分考虑网络应用对高可靠性的要求,业务接口卡支持热插拔,充分满足网络维护、升级、优化的需求;支持双机状态热备,支持 Active/Active 和Active/Passive 两种工作模式。提供机箱内部环境温度检测功能,支持网管的统一管理。SecPath F1000-E 电信级防火墙产品特点先进的平台架构SecPath F1000-E 采用 H3C 电信级硬件平台,通过多内核系统实现核心
44、企业用户对安全设备线性处理能力的需求。市场领先的安全防护功能增强型状态安全过滤:支持虚拟防火墙技术,支持安全区域间默认访问控制;支持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间段进行过滤;支持 H3C 特有ASPF 应用层报文过滤(Application Specific Packet Filter)协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对 FTP、HTTP、SMTP、RTSP、H.323(包括22Q.931,H.245, RTP/RTCP 等)应用层协议的状态监控,支持 TCP/UDP 应用的状态监控。抗攻击防范能力:包括多种 DoS/DDoS 攻击防范(
45、CC、SYN flood、DNS Query Flood等) 、ARP 欺骗攻击的防范、提供 ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项 IP 报文控制功能;静态和动态黑名单功能;MAC和 IP 绑定功能;支持智能防范蠕虫病毒技术。应用层内容过滤:可以有效的识别和控制网络中的各种 P2P 模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;能够识别和控制 IM 协议,如 QQ、MSN 等;支持邮件过滤,提供 SMTP 邮件地址、标题、附
46、件和内容过滤;支持网页过滤,提供 HTTP URL 和内容过滤;支持应用层过滤,提供 Java/ActiveX Blocking 和 SQL 注入攻击防范。多种安全认证服务:支持 RADIUS 和 HWTACACS 协议及域认证;支持基于 PKI /CA 体系的数字证书(X.509 格式)认证功能;支持用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限。集中管理与审计:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。全面 NAT 应用支持:提供多对一、多对多、静态网段、双向转换 、Easy IP 和 DNS 映
47、射等 NAT 应用方式;支持多种应用协议正确穿越 NAT,提供 DNS、FTP、H.323、NBT 等 NAT ALG 功能;支持无限 NAT 转换。支持 GRE VPN、IPSec VPN 等多种 VPN 业务模式。智能网络集成电信级设备高可靠性智能图形化管理产品规格系统规格项目 防火墙描述固定接口 1 个配置口(CON)1 个备份口(AUX)4 个千兆光电 Combo1 个 USB 工作在 Host 模式,1 个 USB 工作在 Device 模式23插槽 2 个 HIM 插槽,可选的接口模块有 4GE/8GE 两种DDR2 SDRAM 配置标配 1G,可扩展 2GCF 卡 内置 256M
48、B外置 1 个扩展 CF 卡插槽,选配外型尺寸(WDH)442mm 460mm 44mm重量 7.5 kgAC 额定电压范围:100-240V a.c. ;50/60Hz额定电流:2.5A电源输入RPS 选配额定功率 150 W环境温度 040环境湿度 1090% (非凝露)功能特性规格属性 说明运行模式 路由模式透明模式混合模式网络安全性 AAA 服务 RADIUS 认证HWTACACS 认证PKI /CA(X.509 格式)认证域认证CHAP 验证PAP 验证24防火墙 包过滤基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表基于面向对象的访问控制列表动态包过滤ASPF
49、 应用层报文过滤应用层协议:IM(QQ、MSN)FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)传输层协议:TCP、UDP抗攻击特性Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query FloodARP 欺骗攻击防范ARP 主动反向查询TCP 报文标志位不合法攻击防范超大 ICMP 报文攻击防范地址/端口扫描的防范DoS/DDoS 攻击防范TCP Proxy 功能ICMP 重定向或不可达报文控制功能Tracert 报文控制功能带路由记录选项 IP 报文控制功能静态和动态黑名单功能MAC 和 IP 绑定功能透明防火墙基于 MAC 的访问控制列表支持 802.1q VLAN 透传25邮件/网页/应用层过滤邮件过滤SMTP 邮件地址过滤邮件标题过滤邮件内容过滤邮件附件过滤网页过滤HTTP URL 过滤HTTP 内容过滤应用层过滤Java BlockingActiveX BlockingSQL 注入攻击防范安全日志及统计用户行为流日志NAT 转换日志攻
