《H3C商业分销主网络产品培训课件.ppt》由会员分享,可在线阅读,更多相关《H3C商业分销主网络产品培训课件.ppt(132页珍藏版)》请在三一办公上搜索。
1、2013年H3C商业分销主网络产品培训,3,2,4,5,目录:,H3C 主网分销业务客户定位和销售模式,主网分销业务的客户群体:广义讲所有可能采用H3C中低端网络产品的客户都是我们的客户群,不论是大型企业还是中央直属机关,或者是一般规模的中小型企事业单位;狭义讲主要指泛SMB市场,包括中小型企业,各级地方政府机关,事业单位,学校,医院等等的具有微型园区网,标准型局域网建设应用需求的用户群体;H3C 所定义的行业客户侧重整体复杂解决方案的多产品销售和规模性采购,而分销客户则侧重简单解决方案销售和零散的阶段性产品采购;主网分销客户的销售模式:从厂商和总代角度讲是发展和依托更多的二、三级渠道合作伙伴
2、,实现更广,更深层面的客户群体覆盖;从二代角度讲是依托H3C平台和产品,采取的直销或者准直销的业务模式,通过自身客户群的扩大和多产品配套销售实现盈利;,H3C 主网分销产品线总体情况,局域网和小型园区网交换机产品线,广域专线和VPN网络产品线,H3C 商业主网分销交换机的市场定位,数据中心IDC,运营商城域网,大型企业园区网,中小型局域网,工业生产监控网,服务器群组接入交换机,交换机市场,小区接入/汇聚交换机,楼宇接入/汇聚交换机,整网解决方案(接入/核心),整网解决方案(接入/核心),主网分销产品线,S5500C-SI,S5500P-SI,S5120P-SI,S5120P-LI,S3100-
3、SI(UM),S3100-SI,S5500P-SI,S5500C-SI,S3100-SI,S5500P-SI,S5500P-SI,注:H3C 交换机EI系列产品主要定位于大中型企业园区网,侧重解决方案整体销售,一些高级特性也只有在大型园区网用户中才被使用,而SI系列侧重性价比优势的中小型网络用户;,H3C 商业主网分销路由器的市场定位,各行业专线网延伸,中小型企业出口网关,大中型企业网点互联,中小型企业网点互联,工业生产监控物联网,4、5级网接入路由器,路由器市场,100500人网关路由器,交换路由一体化网关,整网解决方案(接入/核心),整网解决方案(接入/核心),主网分销产品线,MSR20-
4、B,MSR2010,MSR3600系列,MSR900/920系列,SR6602,注:H3C MSR行业款型主要定位于各行业专网互联(如金融、电力、政府),商业MSR系列产品除补充行业专网延伸外,主要定位于更广阔的中小企业宽带VPN市场的应用;,MSR3016,MSR SSLVPN路由器,MSR900/920系列,MSR SSLVPN路由器,MSR930-WiNet,MSR30,MSR2600,3,2,4,5,目录:,二层盒式以太网交换机啥样,应如何比较,智能网管二层交换机技术关键:计算机连接端口后,数据流先进入缓存器,再进入交换芯片交换;交换芯片查内部的MAC地址表进行转发;CPU负责完成二层
5、协议的执行,如STP生成树计算,组播,以及二层安全特性和SNMP网络管理协议的执行工作;二层盒式交换机交换芯片的交换容量,这是关键指标之一,背板带宽参数没有意义,因为没有背板总线(有则是HUB);交换机端口缓存大小是丢不丢包的关键;CPU和Flash,RAM等外围硬件大小成为左右交换机性能瓶颈的关键;交换机软件特性的丰富度,软件运行效率是不同厂商之间的主要差异;傻瓜交换机没有CPU,端口缓存也没有,所以很便宜,但没有稳定性保障;,S3100-SI系列标准型以太网交换机简介,产品简介:S3100-SI系列标准型二层智能网管交换机是千兆上行、可堆叠的入门型企业级交换机,具备完善的二层协议特性,并支
6、持组播和QinQ等业务,主要定位于中小型企事业单位的标准型局域网或运营商和大型企业园区的宽带小区接入的网络边缘接入型交换机。,产品规格:,S3100-SI系列以太网交换机技术特性简介,DHCP Snooping防范DHCP服务器欺骗攻击,防范步骤启动DHCP Snooping,将合法DHCP服务器的端口设为信任端口,其他端口默认情况下均为非信任端口用户发出DHCP请求攻击者将自己的服务器设置成DHCP服务器并发出错误的DHCP响应交换机自动丢弃所有非信任端口发出的DHCP响应用户采用正确的DHCP服务器发出DHCP 响应,正确的DHCP响应,合法DHCP服务器,伪装的非法DHCP服务器,Qui
7、dview,XE200,远程端口镜像(RSPAN)网络流量监控,远程端口镜像RSPAN,突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口可以跨越网络中的多个设备。即可以将多个接入端口的流量镜像到核心交换机一个端口上,实现多端口的同步监控。配合核心交换机的网流分析功能和XLOG系统,可以对全网业务和流量进行监控、优化部署和恶意攻击监控,满足校园网精细化管理的需要。别看功能小,除了H3C和Cisco这样的大厂家,其他厂家仍然做不了。,大中型园区的特点是什么?规模大,问题多,维护人员和资源有限网络中某段电缆发生了故障怎么办?用VCT,省力省心!自动检测交换机某端口上所连接的电缆是否
8、正常、短路或开路,自动测算出故障点的距离,虚电缆检测(VCT)快速实现故障定位,S3100-Ethernet0/4virtual-cable-testCable pair:RX Status:Open Cable Error lenth:5 metresCable pair:TX Status:Open Cable Error lenth:5 metres-距交换机5米处网线出现故障(开路),S3100-SI系列以太网交换机市场销售指导,总体策略是:差异化端口配置,主动推广内嵌Winet图形化管理系统;S3100-8TP-SI:重点关注在工矿企业、大型制造业和铁路等机电工程领域的应用,如长沙三
9、一重工一次采购400台作为生产车间自动化设备联网使用,广深高铁,京沪高铁前后采购了进1000台用于一些外场自动化设备和站所的计算机网络互联;S3100-16TP-SI:重点关注电力,银行等有大量分支机构的企业网点互联市场的应用,以及在视频监控工程领域的网络配套应用;S2126-EI:重点关注在大中型企业家属区、运营商(小型宽带运营商)小区宽带接入、高校职业学校的宿舍楼宽带网络建设应用;S3100-26/52TP-SI:此类常规产品竞争比较激烈,要强调内嵌Winet网管平台,能有效的降低网络管理维护的工作量,提高管理员工作效率来凸现差异化的竞争优势。,S3100-SI系列以太网交换机典型应用组网
10、,典型组网应用:陕西XX煤炭集团家属区宽带接入项目,H3C-2126EI,楼层交换机,H3C-3600-28F,小区汇聚交换机,电信城域网,H3C-3100-26TP-SI,H3C-5500-24P-SI,H3C-Winet网络管理界面,S3100-UM系列安全型以太网交换机简介,S310026TPSI(UM)固定端口:24个百兆2个千兆(Combo)交换容量:8.8G/6.55Mpps端口包缓存:384KByte堆叠性能:堆叠带宽4G,16台,S310052TPSI(UM)固定端口:48个百兆2个千兆电2个千兆光(SFP)交换容量:17.6G/17.1Mpps端口包缓存:512KByte堆叠
11、性能:堆叠带宽4G,16台,产品简介:S3100-UM系列交换机是在入门级S31-SI产品的基础上进一步增加了ACL(访问控制规则)、ARP攻击自动检测和防御等安全特性的智能安全型交换机,主要定位于构建具有安全防御能力的中小型企事业单位局域网和小型园区网接入交换机;S3100-UM系列交换机配合H3C的S55系列交换机可以构建一个高性价比的Winet智能安全局域网,实现“用户接入要认证,访问网络权限有控制”的网络安全管理模式。UM 是UserManager的缩写,意思是具有用户管理功能的交换机;,WiNet产品,S3100-UM系列交换机技术特性简介,以上特性是S31-UM和老S31-SI之差
12、别,可以看出S31-UM与S31-EI特性基本接近;,ARP入侵检测技术有效防范ARP欺骗攻击,只有ARP入侵检测才能从根本上解决ARP欺骗和由此导致的中间人攻击!,DHCP Snooping 在交换机上生成所有主机的MAC+IP+端口VLAN动态绑定表,受害者 10.1.1.50MAC C,攻击者 10.1.1.20MAC B,Gateway 10.1.1.1MAC A,与DHCP绑定表不匹配,ARP 入侵检测(ARP Intrusion Detection)检查ARP报文是否与绑定信息匹配,如果不匹配,则说明该ARP报文是虚假欺骗报文,直接丢弃该报文,防止ARP欺骗,NO!,IP源地址保护
13、有效防范动态地址仿冒攻击,DHCP Snooping 生成MAC+IP+端口VLAN动态绑定表,传统的IP/MAC/端口绑定必须手工操作,只有IP Source Check才能动态抵御地址仿冒!,设备连接检测DLDP-快速消除单通链路,随着光纤在网络中的大量应用,如果连接设备间的两根光纤中的一根出现断路或连接错误,导致通信不正常。辛勤的网管员们越来越多的遇到了这样的问题,“说它通吧又不通,说它不通吧又通”,这样的故障定位那叫一个费时费劲啊。用DLDP(Cisco称为UDLD),用过你就知道了!DLDP可以用来自动监控光纤甚至铜质双绞线的链路状态。当单向链路存在时,DLDP会迅速定位单向链路发生
14、的位置,并根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生别看功能小,除了H3C和Cisco这样的大厂家,其他厂家还就真的做不了。,S31-UM系列以太网交换机市场销售指导,总体策略是:主推内嵌Winet用户管理功能,其次强调拥有ARP攻击防御;S3100-UM为什么比老S3100-SI贵:因为UM是智能安全型交换机,其功能特性与H3C的E126A,S3100-EI接近,只是IPv6 ACL方面有差异,但价格很便宜。S3100-26TP-SI(UM)可以构建新型安全局域网:S3100-UM与H3C S55系列交换机配合组网可以充分发挥内嵌Winet管理平台的功能:1、网络
15、管理功能(包括网络拓扑自动发现,图形化管理,故障链路自动警示);2、用户管理功能(包括用户接入Portal认证,用户访问权限自动下发配置);S3100-26TP-SI(UM)可以建设更为全面安全、稳定的网络:第一:ARP攻击自动检测防御,确保网络安全性;第二:Winet用户管理功能提供给予MAC粒度的用户接入认证,确保接入用户的绝对可靠;第三:Winet用户管理功能通过Vlan和ACL可以严格限定接入用户的访问范围,确保企业的信息安全;,H3C S31-(UM)WiNet智能安全局域网典型组网,接入交换机S3100-26TP-SI(UM),汇聚交换机S5500-24P-SI/EI,Winet管
16、理认证中心设备出口路由器 MSR3016 Router,Server群组,Internet,注意1:MSR3016必须配置一块RT-SIC-4FSW-H3的二层交换板卡,且此卡与接入交换机处于同一个管理VLAN当中;,注意2:此时网关路由器不仅仅做路由功能,同时还作为网络管理和用户管理的管理服务器使用;,Winet网管平台界面,用户protal认证界面,S5120 系列智能安全型千兆以太网交换机,S5120-28P-LI,S5120-52P-LI,S5120-20P-SI,产品简介:S5120-LI系列千兆交换机是入门级基本安全型企业交换机,主要定位于中小型企事业单位的中小型局域网的边缘接入交
17、换机,为用户提供低成本的千兆到桌面解决方案。S5120-SI系列智能安全型千兆交换机则是入门级标准型智能安全交换机,它在ACL规格,端口安全,IPv6等软件特性方面更为丰富,定位于大中型企事业单位的园区网接入交换机,为用户提供高性价比的千兆到桌面解决方案;,产品规格:,WiNet产品,S5120系列以太网交换机技术特性简介,以上特性是S51-LI和老S51-SI 的主要差别,可以看出S51-SI具备更多在园区网和运营商网络中使用的特性,与S51-EI特性已经基本接近,S51-LI则更适合中小局域网简单网络结构环境中使用,提供基本的网络安全防御能力;(说明两者硬件性能完全一致);,SmartLi
18、nk技术实现双上行网络快速收敛,虽然双上行组网可以提供链路备份,但网络中的环路(Switch A-Switch B-Switch D-Switch C-Switch A)会引起广播风暴,因此,需要采取措施避免环路。一般情况下,可以通过STP来消除环路,但STP的收敛时间较长,会丢失较多流量,不适用于对收敛时间有很高要求的组网环境。,Smart Link组也称为灵活链路组,一个Smart Link组包含两个成员端口,其中一个被指定为主端口(Master Port),另一个被指定为副端口(Slave Port。正常情况下,只有一个端口(主端口或副端口)处于转发(ACTIVE)状态,另一个端口被阻塞
19、(BLOCK),处于待命(STANDBY)状态。当处于转发状态的端口发生链路故障,Smart Link组会自动将该端口阻塞,并将原阻塞的处于待命状态的端口切换到转发状态。,RSTP生成树,IPv6 技术保障用户持久投资平滑过渡,IP v6单播地址配置,ICMP v6,IP v6邻居发现协议(ND),TCP v6,TFTP v6,TRACERT v6,S5120-SI(IPv6 ACL),S5120-SI(IPv6 Host),全球互联网地址相关管理组织2011年2月日说,现有的互联网地址已于当天分配完毕,地址总库已经枯竭,互联网未来发展将系于在全球范围内普及下一代互联网通信协议。美国:美国军方
20、多年前就曾计划2008年全部转移到IPv6网络,美国政府也制定了其向IPv6过渡的路线图和时间表,明确2012年运营商将能提供支持纯IPv6的服务。欧盟:提出在2010年首先实现25%用户转移到IPv6网络上。澳大利亚:2009年发布计划,将其向IPv6过渡的截止期限由2015年调整为2012年。日本、韩国:均制定了IPv6行动计划,目前已经基本实现了现有应用对IPv6协议支持。如日本国内电脑支持访问IPv6网站。中国:2003年就启动了下一代互联网示范工程CNGI,2004年建成开通的CERNET2是世界上最大的纯IPv6网络,作为新一代互联网的实验平台,这张网接入了国内300多所高校。,S
21、5120系列以太网交换机市场销售指导,总体策略是:主推内嵌Winet图形化管理平台,引导IPv6管理;S5120LI:重点在200用户以下的中小型局域网络中配置使用,突出其明显的价格优势,实现对用户百兆网络方案选择的替换(一台贵1千,10台贵1万,这个投入对用户没有多大压力,比较容易升级需求);S5120SI:重点在一些大中型园区网做接入交换机,或者在数据中心做服务器群组的接入交换机,能用S5120-EI的地方多数可以用S5120-SI;,H3C S5120 WiNet智能安全局域网典型组网,接入交换机S5120-28P-LI或SI,汇聚交换机S5500/S7500,Winet管理认证中心设备
22、出口路由器 MSR3020 Router,Server群组,Internet,注意1:MSR3020必须配置一块RT-SIC-4FSW-H3的二层交换板卡,且此卡与接入交换机处于同一个管理VLAN当中;,注意2:此时网关路由器不仅仅做路由功能,同时还作为网络管理和用户管理的管理服务器使用;,Winet网管平台界面,用户protal认证界面,三层盒式以太网交换机啥样,应如何比较,三层交换机工作原理:A和B两端口通信,如果IP在一个网段内则进行二层交换,如果不在则通过三层交换引擎进行查找B在的MAC,之后再通过二层交换进行;三层交换机主要看芯片内的CPU速度,包缓存,以及集成的MAC地址表,路由表
23、的深度,这些决定了三层交换过程中查内部路由表的速度;三层交换机有独立的CPU和闪存、内存,由于其要执行一些路由协议,进行跨网段的转发,因此这个CPU更大,内存也更大,此外有一些三层交换机有独立的缓存来解决跨网段时数据的存储转发;,S5500-SI系列智能安全千兆三层交换机,产品简介:S5500-SI系列智能安全千兆三层交换机采用大缓存高性能设计,具有多业务支持能力和完备的安全策略,主要定位于中小型局域网核心、园区网或运营商小区宽带网的汇聚层,以及大中型数据中心服务器群组的接入交换机;,WiNet产品,S5500-24P-SI,S5500-48P-SI,S5500-20TP-SI,S5500-2
24、8C-SI,产品规格:,S5500-SI系列以太网交换机技术特性简介,通过以上特性对比可知,S5500-SI主要是在局域网和中小型园区网中作为核心或者汇聚交换机应用,而S5500-EI则侧重大型园区网和运营商城域网范畴,以及一些特殊行业应用场景;,IRF2弹性堆叠技术构建低成本高可靠核心,IRF2.0 系统逻辑 1 个主引擎 N 个分布式从引擎 M 个接口板堆叠设备共用同一个配置文件和路由转发表,并实现1:N备份;,S5500-28C-SI,S5500-28C-SI,S5500-28C-SI,S5500-28C-SI,万兆IRF2堆叠,SFLOW技术提供网络流量实时在线监测保障,NTA Ser
25、ver,Packet,sFlow,Flow Chart,S5500-SI系列以太网交换机市场销售指导,总体策略是:主推内嵌Winet图形化管理平台和IRF2智能弹性堆叠架构;S5500P-SI:主打是小型办公或网吧等网络的核心,主要通过winet解决方案实现差异化竞争,硬件指标和软件功能不过多的强调;S5500C-SI:主打双核心的中型办公网络核心和园区网络汇聚层,主推IRF2万兆智能堆叠和Smartlink,提高网络可靠性;此外可以牵引中小局域网用户使用免费的网络流量分析软件,通过SFLOW来凸现差异化对华为和锐捷形成一定的屏蔽作用;,H3C S5500-SI 千兆三层交换机典型组网,S51
26、20-28P-LI,18楼,S5500P-SI系列,S5500P-SI系列交换机典型应用,万兆IRF2智能弹性堆叠,S5120-28P-SI Smsrtlink上行(50ms收敛),S5500C-SI系列交换机典型应用,Winet网管平台界面,专业级WEB图形化管理交换机的市场空白,中文WEB图形化配置的专业级交换机将成为未来中小规模网络建设的主力军;他通过中文图形化的WEB配置界面,规避了专业级产品命令行配置模式的复杂性,又几乎具备专业级产品的全部功能特性;,非网管交换机,桌面时代产品强调即插即用无需任何配置俗称傻瓜交换机,简单网管交换机,专业级交换机,小型网络时代产品具备简单业务特性采用W
27、EB配置界面又称WEB智能交换机,大中型网络时代产品具备复杂业务特性采用命令行配置界面支持SNMP网管软件,网络管理员具有基础网络知识即可上手应用,无需熟悉厂家专业的晦涩难懂的命令行语言,H3C WiNet(智慧)系列产品线简介,H3C WiNet系列是专业级WEB智能网管交换机,产品市场定位于构建成长型中小企业的局域网和园区网络;2012年8月 4款WiNet系列交换机产品上市,10月1款WiNet系列千兆路由器和1款SSL VPN产品将上市;,WiNet百兆2层交换机,WiNet千兆3层交换机,WiNet企业级千兆路由器,S3100V2-26TP-WiNet,S5500-24P-WiNet
28、,S5120-28P-WiNet S5120-28P-POE-WiNet,MSR930-WiNetMSV50(SSL VPN),10月,WiNet 系列交换机技术规格简表,WiNet 产品优势一:强大专业的图形化网管,WiNet系列产品具有强大专业的中文图形化网管界面,通过WEB页面可以直观的进行40多项交换机业务功能的配置,是目前业界最强悍的中文WEB网管系统;,设备信息堆叠设置端口设置端口隔离端口镜像环回测试流量监控线缆检测节能设置RMON告警SNMP管理NDP邻居发现网络拓扑发现,VLAN设置VLAN子接口语音VLAN设置MSTP设置MAC地址管理ARP表管理ARP防攻击设置IPv4 A
29、CL设置IPv6 ACL设置链路聚合设置LACP设置DHCP设置IGMP设置,端口策略端口限速端口优先级队列调度机制流QOS设置优先级映射802.1x认证MAC认证Portal认证端口安全诊断工具软件升级WiNet网管,WEB配置界面部分功能示例表:,WiNet 产品优势二:全面防范ARP病毒攻击,ARP攻击主要现象:网络全部或部分瘫痪(不能正常上网或通信),用户的QQ,网银、文件系统的帐号和密码失窃,网络设备出现死机现象;ARP攻击主要形式:仿冒网关,仿冒用户(欺骗网关或用户),泛洪攻击(针对网络设备)ARP攻击主要来源:内网用户被ARP病毒或木马感染;,局域网内ARP报文交互示意,WiNe
30、t从端口侧防范ARP攻击,WiNet 的ARP攻击防范技术,针对仿冒攻击:ARP Detection功能 ARP过滤保护功能ARP网关保护功能H3C EAD解决方案针对泛洪攻击:ARP报文限速功能内置ARP防御选项部署简单,WiNet 产品优势三:实现对用户精细化管控,成套部署WiNet系列产品(或部署H3C支持WiNet功能的产品)构建的网络,无需另外增加任何软硬件,即可拥有一套内嵌的网络用户接入认证管理系统,通过此系统可以实现针对上网用户网络访问权限的精细化控制;,WiNet 用户接入认证功能,实现用户账号和VLAN和ACL自动关联,用户认证通过后,这些规则自动在接入交换机端口启用;,用户
31、访问权限控制功能示例:是否允许访问互联网在特定时间段内允许访问互联网只允许访问特定的网站访问网络的最大下载速率限制;是否允许访问内网特定的服务器;只允许访问内网特定的网段;,WiNet 产品优势四:持续成长可用的生命力,一间Office办公室时,发展到几层办公楼时,发展到小规模园区时,1台或几台WiNet交换机作为桌面交换机构建小型的办公局域网络;采用设备内置的WEB网管对网络进行配置调试;,40台以内的WiNet交换机构建的局域办公网络;采用核心交换机内置的WiNet网管平台对网络进行配置;或者采用MIN IMC网管平台管理;,40台到数百台的WiNet交换机构建的园区网络或楼宇宽带接入网络
32、;采用H3C IMC网管平台或者其他SNMP网管软件进行管理;,WiNet系列产品遵从H3C现有主流企业级产品体系(子品牌运营),具有完善的二层网络功能(不同于其他简单智能网管交换机产品),其能够伴随用户网络的发展持续可用,为用户提供了更优性价比的解决方案,用户无需担心IT硬件投资随业务发展而浪费;,WiNet 系列的三种卖法(1)-替换销售,第一种:零散销售,替代主流简单WEB网管交换机;WiNet系列产品的定价贴近目前市场上主流的简单WEB网管交换机产品,可以称之为增强型WEB智能网管交换机,因此替换性销售容易;此外,WiNet系列品牌好,一看就知道是企业级主流产品衍生过来,就如宝马X1,
33、奥迪A4,以长城哈弗,北京现代的价格来卖,没有任何用户能够抵档诱惑;WiNet系列WEB网管界面有专业性,因此卖给了用户后,必然提高用户满意度,并容易激发用户技术工作者的新需求,从而为后续的升级扩容(更换),整网销售WiNet系统网络奠定基础;,H3C WiNet系列,业内简单WEB网管交换机,VS,第二种:小规模销售,当主流网管交换机卖,推WiNet系统应用;WiNet系列产品业务特性与主流网管交换机基本一致,硬件配置丝毫不差,因此可以大胆放心的作为主流网管交换机来组建常用的二层网络;主推方案模式:S3100-WiNet+S5500-WiNet或S5120-WiNet+S5500-WiNet
34、,并通过开通S5500设备上的内嵌WiNet网管平台来实现统一管理的需要;此时主要竞争方案为华为S27+S57,思科SG500+SF200E 等典型方案配置,竞争方案的价格基本一致,WiNet方案的优势是具有图形化管理系统和用户认证接入管理系统;,S3100V2-26TP-SI+S5500-24P-SI,S3100V2-26TP-WiNet+S5500-24P-WiNet,S3100-26TP-UM+S5500-24P-SI,C2960-24TC+C3560X-24T-S,C2918-24TC+C3560X-24T-S,VS,SF200E-24-CN+SG500-28P,S2700-26TP-
35、SI/EI+C5700-28P-SI,系统优势,思科,华为,WiNet 系列的三种卖法(2)-成套销售,WiNet 系列的三种卖法(3)-规模销售,第三种:大规模销售,当主流网管交换机卖,配合IMC网管平台使用;WiNet系列产品业务特性与主流网管交换机基本一致,硬件配置丝毫不差,在规模部署的园区网(以联通性为主的校园网,宽带小区,企业办公网络)使用时,只要配置和IMC网管平台就和主流网管交换机使用差异微小(即用IMC网管平台管理设备,不用命令行Telnet调试设备);此时WiNet系列产品完全可以与其他友商的企业级产品竞争,并且极具商务优势;,3,2,4,5,目录:,盒式路由器的硬件结构原理
36、和评价标准,业务板卡功能:数据链路层的封装和解封;运行数据链路协议,实现异构网络互联;特殊业务板卡进行一些业务的协处理,如硬件的加密或者语音编解码的处理,分担主CPU的部分工作量;,CPU功能:查找路由转发表;执行路由协议;完成特殊业务处理如数据加密或者语音编码执行策略路由或完成一些防火墙功能;完成必要的设备管理配置和网络管理功能;,单总线单CPU时代,多总线单CPU时代,路由器优劣比拼:1、看系统设计结构;2、看CPU,内存;3、看软件功能协议;,企业级路由器与SOHO路由器主要区别,通过以上比较可知,企业级路由器与SOHO路由器、防火墙从硬件到软件有着本质不同,路由器以多业务支持能力为重点
37、,防火墙以安全防御为重点,SOHO路由器仅是NAT性能;,MSR900 系列分支网点接入路由器简介,MSR900,MSR900W,MSR920,MSR920W,产品简介:MSR900系列路由器集路由、交换、无线接入功能于一体,具备完善的IP路由协议和业务功能支持能力,是H3C面向企业分支网点和政府边缘分支机构VPN互联市场的主打产品,该系列产品可以在最小的投资范围内为用户提供一体化网络接入解决方案;,3G VPN路由器,产品规格:,亮点1:完备的IPSec VPN功能,企业总部,中心路由器,IPSec VPN,FE/ADSL/WCDMA/TD/EVDO,INode客户端,使用INode的IPs
38、ec客户端,企业分支,MSR 900,亮点:,支持DDNS与IPSec VPN的联动。对于企业中心出口路由器没有固定IP地址的SMB用户,配置IPSec VPN时只需指定中心侧的域名,特别适用于很多SMB用户。支持“VRRP 虚地址”VPN连接,提供IPSec VPN冗余备份功能,极大的提升了企业VPN网络的可靠性。支持“DPD”IPSec隧道动态检测功能,能够迅速发现链路故障,并将业务切换到备用链路,大大降低了企业网络可能的故障时间。,MSR900支持2233与花生壳DDNS服务,在使用此业务前,用户需要现在2233与花生壳网站进行申请相关服务,亮点2:灵活方便的SSL VPN功能,MSR9
39、00,认证服务器,应用服务器,企业总部,企业分支,FE/ADSL/WCDMA/TD/EVDO,普通IE客户端,亮点:,相比IPSec VPN,SSL VPN不需要在PC上安装软件客户端,只需要一个浏览器。对于公司来说节省了大量的维护维护成本,对用户来说,更加方便易用。相比IPSec方案,SSL VPN支持根据帐号控制用户访问网络的权限,增强了对公司信息的安全保护(例如在公司外部时,不允许访问某些关键服务器)。MSR900支持DDNS,允许SSL访问可通过域名进行,对没有固定IP地址的SMB用户非常有价值。高性价比,在此价位上,目前只有MSR900同时提供SSL VPN+IPSec VPN功能,
40、其它厂家基本只是提供IPSec VPN功能,MSR900 可支持5个SSL VPN用户,能够满足大部分SMB用户需求,3G 上网卡,亮点3:灵活可选的3G接入功能,应用场景:不方便固定线路接入的场所,例如某些偏远地区的分支,某些地点的ATM等。利用3G接入实现对固定线路的备份,提高网络可靠性。在某些可移动场所提供网络接入,例如大巴,火车等。,Internet,MSR900,WCDMACDMA2000TD-SCDMA,网管,应用服务器,总部,分支,亮点:,支持多种3G制式,包括联通(WCDMA),电信(CDMA2000),移动(TD-SCDMA),是业内唯一支持 所有3G制式的厂家。支持灵活的3
41、G接入方式,3G即可用作主链路,也可用作备份链路。支持3G与VPDN的组合应用,满足用户通过3G访问企业总部网络资源的需求。,亮点4:一体化的WiFi接入功能,MSR900,网管,应用服务器,总部,分支,Internet,支持802.11i 无线安全功能,为用户的无线访问提供数据私密性保护。同时支持中国标准的WAPI加密技术,为用户提供了更多的选择。多虚拟AP功能:可在一台设备上虚拟多台接入AP,使得企业可为不同的部门,或者为企业与来访客户指定不同的虚拟AP,实现不同部门用户之间网络的隔离与保护。,亮点:,亮点5:企业门户站页面推送功能,方便、快捷,只需要简单设置,就可以将客户上网首页面重定向
42、到需要宣传的企业门户页面,方便,快捷的起到企业信息化宣传的作用。,亮点:,MSR900企业门户页面推送功能,为SMB用户提供方便、快捷企业信息化宣传功能,Internet,企业用户,服务器,企业内部网络,公共热点网络,亮点 6:远程集中化网络管理功能,MSR900支持TR-069,SNMP,WEB管理等多种网络管理与设备管理功能。通过H3C IMC-BIMS可以实现分散地点路由器的集中统一管理和批量配置;,分支网点数目太多,配置更新工作量太大,怎么办?需要升级设备的版本,分支设备数目太多,怎么办?有一些分支设备的IP地址是动态获取的,经常在变化,在中心很难纳入SNMP等网管的管理,怎么办?,T
43、R-069可以批量升级分支网络设备的配置或版本TR-069能用于分支设备的IP地址动态获得的场景支持增量配置更新功能。企业需要增加分支路由器的配置时,只需将配置放置在总部服务器上,分支路由器会自动下载,自动部署。而不用更新完整的配置文件,避免了设备重启的要求。,爱屋食品总部,H3C BIMSTR-069 服务器,MSR900,H3C iVMSVPN Manager,爱屋门店,MSR900,IPSec VPN主链路,IPSec VPN备份链路,VPN链路实时监控,门店MSR900配置与版本管理,上海爱屋食品企业网络应用图,配置/版本的自动下载与部署,爱屋门店,MSR900 网点接入路由器市场销售
44、指导,总体策略是:利用3G VPN概念吸引用户,用BIMS集中网管屏蔽友商;市场机会:有分支机构和营业网点的政府机关和企事业单位,如各类县乡村级政务网络互联,移动联通运营商的合作加盟营业网点互联;连锁商贸企业营业网点互联;加油站、ATM机、优惠券打印机等工业自动化场站之间的自动控制或者收费网络互联;市场竞争:此市场有很多低端品牌,产品性能一般,但价格实际也不低,因此多引导测试,并通过强调可以通过IMC-BIMS网管软件实现远程集中管理批量配置来屏蔽对手;,H3C MSR900分支网点路由器典型组网应用,方案说明:分支网点网关为:H3C MSR900型3G无线VPN路由器,采用有线或者3G无线信
45、道与总部构建IPSEC VPN;企业总部网关为:H3C MSR3020-AS型融合VPN路由器或者高端VPN防火墙设备,开通SSL VPN方便管理人员和员工进行移动办公;,MSR900,物流车载信息平台,MSR900,营业分支网点,MSR900,营业分支网点,MSR900,郊区库房,MSR3020-AS,企业营销总部(固定IP),在外地出差的老板,ADSL,SSL VPN移动办公,H3C IMC BIMS分支网点管理软件,MSR900 在江苏靖江财政局电子政务VPN网络,靖江财政局电子政务信息网在22个乡镇部署了MSR900路由器,通过电信线路IPSECVPN接入靖江财政局的信息服务中心,实现
46、了乡镇到县市道地级市的网络改造。,MSR900 在河北省石家庄社会保障厅试点网络,石家庄乡镇社保网共计使用了200个MSR900路由器,其中 乡镇的路由器MSR900通过电信的3G上网卡拨号,以VPDN为主,拨入省电信的路由器设备,再由省电信路由器转接到省厅核心网关路由器;,MSR900在安徽铜陵联通VPN网络建设项目,铜陵市联通与各营业网点通过Internet完成各节点的网络通信,中心采用H3C Secpath F1000系列VPN网关设备作为VPN中心,各营业网点采用H3C MSR900路由器设备利用IPSEC VPN技术连入中心,实现对数据传输的加密。,法国达尔凯佳木斯城市供热有限公司,
47、换热站自动控制计算机监控网络通信系统,70多个分支换热站采用MSR900设备通过3G网络搭建IPsecVPN,进行内部控制数据的传输。,MSR900 在佳木斯热力公司的工业生产监控网,控制中心机房,换热站站点,MSR2010(W)型宽带模块化路由器简介,MSR2010,MSR2010W,产品简介:MSR2010(W)路由器具备完善的IP路由协议和一体化业务接入能力,是H3C面向政府、金融、电力等行业纵向专线或者VPN网络边缘节点多业务一体化接入需求的主打产品;,宽带模块化路由器,产品规格:,MSR20-1X Comware5平台特性简介,L3,L4-L7,安全,IPv6IPv4/IPv6双栈技
48、术IPv4/IPv6隧道技术RIPngOSPFv3IGMPv3/PIM SSM,OAA开放应用架构DAR深度应用识别DAR与QoS策略匹配应用协议报文统计应用协议探测HTTP URL过滤,防ARP欺骗与攻击802.1X/PORTAL安全认证防攻击/防蠕虫病毒防止非法DHCP服务器密钥技术与数字证书SSH 2.0/HWTACACS,L2,MPLS,可靠性,交换&路由深度融合MSTP多生成树协议RSTP快速生成树协议LACP链路聚合控制协议GVRP动态注册VLANVoice VLAN,MPLS TE流量工程RSVP TE资源预留LSP热备份快速重路由LSP优先级与抢占指定LSP不能经过的节点,VR
49、RP v3(支持IPv6)备份中心关键部件冗余技术完美重启(GR)模块/风扇/电源热插拔L3MONITOR,亮点1:全中文WEB配置界面一看就会,亮点2:基于IP和时间段的访问控制,客户对内网员工上网的控制要求有:一、按部门:不同的部门访问网络的权限不一样,销售部业务要求一定要访问网络,财务部门为了信息安全一定不能访问外网。二、按业务:某些部门的人只需要收发邮件,某些部门的人只需要进行www访问。三、按时间:周一到周五上班时间不能上网,其它时间可以上网。,这些要求在MSR20的web界面中都可以轻松实现!,按部门IP地址段来控制,按不同时间段来控制,按业务对应的端口来控制,下载网站,股票网站,
50、黄色网站,在这里禁止掉相应的网站地址,在这里可以导入“黄色网站地址”、“股票网站地址”,“下载网站地址”等等,可以轻松实现对网站访问的控制,亮点3:批量URL网站地址过滤功能,S3100-SI,S5500-SI,MSR20-10(W),千兆,千兆,电信/公安,移动/政府,多链路上行备份需求:1、为了保证业务不中断,一些用户采用多个运营商链路上行接入互联网;2、MSR201X除了2个固定上行WAN外,其LAN口可以设置成1个WAN口应用,实现最大3个WAN口上行;3、MSR201X可以采用策略路由实现不同目的地的负载分配(通过静态路由,以不同DNS解析地址池判断);,多专网接入系统应用:1、一些
