开放业务网络 - h3c.com.cn · 把网络打造成开放应用平台，h3c...

开放业务网络—H3C网络产品与解决方案

http://www.h3c.com.cn

杭州华三通信技术有限公司杭州基地

杭州市高新技术产业开发区之江科技

工业园六和路 310 号

邮编：310053

电话：0571－86760000

传真：0571－86760001

北京分部

北京市宣武门外大街 10 号庄胜广场

中央办公楼南翼 16 层

邮编：100052

电话：010－63108666

传真：010－63108777

免责声明：虽然 H3C 试图在本资料中提供准确的信息，但不保证本资料的内容不含有技术性误差或印刷性错误，为此 H3C 对本资料中的准确性不承担任何责任。H3C 保留在没有任何通知或提示的情况下对本资料的内容进行修改的权利。

CN-082030-20081217-BR-SX-V3.0

客户服务热线 H3C网络产品技术解决方案精选系列

产品介绍业务软件产品线

iMC开放智能管理中枢

交换机产品线

S31/36系列

百兆交换机 S51/55/56系列

千兆交换机 S7500E系列

交换机S9500系列

交换机

路由器产品线

MSR 20-1X MSR 20/30/50 SR66多核开放路由器 SR88万兆核心路由器

无线产品线

FAT/FIT AP: 802.11a/b/g/n 无线控制器

业务模块

负载均衡/防火墙/防病毒/WAN 优化/SSL VPN

Contents

路由器产品系列

交换机产品系列

无线产品系列

业务软件产品系列

H3C数据中心解决方案

H3C虚拟园区网解决方案

H3C城域网解决方案

H3C广域纵向网解决方案

H3C网络分支互连解决方案

H3C边界网关解决方案

H3C无线热点解决方案

H3C ARP攻击防御解决方案

H3C EAD终端准入控制解决方案

H3C网络流量分析解决方案

H3C性能优化解决方案

H3C智能分析报表解决方案

H3C用户行为审计解决方案

H3C企业统一通信解决方案

H3C IPv6全网解决方案

H3C OAA解决方案

解决方案 37

成功案例 73

部分用户名单 76

权威认证 78

产品介绍业务软件产品线

iMC开放智能管理中枢

交换机产品线

S31/36系列

百兆交换机 S51/55/56系列

千兆交换机 S7500E系列

交换机S9500系列

交换机

路由器产品线

MSR 20-1X MSR 20/30/50 SR66多核开放路由器 SR88万兆核心路由器

无线产品线

FAT/FIT AP: 802.11a/b/g/n 无线控制器

业务模块

负载均衡/防火墙/防病毒/WAN 优化/SSL VPN

Contents

路由器产品系列

交换机产品系列

无线产品系列

业务软件产品系列

H3C OAA解决方案

解决方案 37

成功案例 73

部分用户名单 76

权威认证 78

路由器产品 > 产品介绍

从1997年推出中国第一款企业网路由器到今天，持续十多年的

市场考验和高额研发投入，H3C已经成为全球路由器领域产品

系列最全、解决方案最完善的领先者之一。据最新统计，H3C

中低端路由器累计销售已达近70万台，高端路由器累计销售达

2万6千余台。

高端产品是一个厂商综合实力和核心竞争力的体现，当前业界

只有少数几家厂商具有高端路由器的自主研发和生产能力。

H3C公司秉承 “电信级”可靠性的传统，重要部件(主控板、交

换网板、风扇、电源等)都进行冗余备份，可靠性做到了

99.999％。完全自主知识产权的通用Comware操作平台采用分

布式的组件化灵活架构，有效地将MPLS、QoS、流量工程、

组播VPN、可管理等诸多技术完美融合，结合创新的全分布式

NP/多核架构体系，使得H3C能够率先推出基于一机四平面三

引擎转发的SR8800万兆高端核心路由器，以及基于分布式多

核处理器的SR6600高端路由器，实现了业务灵活性和高性能

硬件转发的有机结合，是H3C“博大精深”灵活业务网络平台的

有力支撑。

中低端路由器产品层面，H3C全新推出的MSR系列路由器，堪

称业界典范之作，是业界第一台开放式多业务路由器。其

N-BUS总线技术和OAA开放架构，业务灵活扩展，使网络兼具

高性能与稳健性，全面满足路由/交换/安全/语音/无线All in One

的趋势要求，让您深度体验网络智慧之美。

H3C路由器产品线介绍

SR8802 SR8805 SR8808 SR8812

SR6602 SR6604 SR6616SR6608

MSR20系列 MSR30系列 MSR50系列

MSR20-10 MSR20-11 MSR20-12 MSR20-15

ER3000系列 ER5000系列

卷首语

H3C致力于IP技术与产品的研究、开发、生产、销售及服务，

为全球用户提供全系列IP产品和解决方案，H3C的产品和解决

方案已经覆盖全球90多个国家和地区。网络产品线是H3C最早

的产品线，经过4年的发展，已经取得了国内领头羊的地位。

2006年H3C在中国路由器与交换机领域综合市场份额达

36.5%，其中H3C在中国以太网交换机市场份额达39.5%，排

名第一（数据来源：2007 CCID Consulting），证明了H3C作

为国内网络设备领先的地位。

2007年H3C网络产品线发布“开放业务网络”战略。整个战略分

三个阶段，第一个阶段是自适应安全网络平台阶段；第二个阶

段是应用智能网络平台阶段，在这个阶段H3C在开放网络基础

架构基础上，把应用安全、应用优化、应用集成等4～7层业务

集成到网络平台。目前H3C已经实现把IPS、防火墙、防毒

墙、广域网优化、WEB数据中心前端优化、网络流量分析和控

制等功能集成到路由器和交换机上，实现网络平台应用智能

化，增强H3C的核心竞争力，给客户带来创新价值；第三个阶

段是灵活业务网络平台阶段，在这个阶段H3C将开放基于SOA

架构的智能管理接口，使客户和集成商可以根据特定行业的需

求，实现网络平台和用户业务的相互调用，完成业务系统的定

制化和优化。

今天互联网已经进入一个全新的应用时代，其中以多媒体应用

融合、应用WEB化、IT能力的资源化/数据中心等为代表的应用

趋势对网络产品提出很多新的挑战。面对挑战，H3C网络产品

线不断创新，为用户提供更好的网络产品和解决方案，来满足

用户不断变化的需求。H3C开放业务网络的特点可以用“博、

大、精、深”来描述。

就是多业务能力。这里的多业务既体现在多种接入业务

能力（Wireless/EPON/EoC/LRE/PoE），也体现在多种网络业

务能力（MPLS/QinQ/IPv6/组播），还体现在多种应用业务能

力（NAT/FW/IPS/流量分析）。具体的讲，H3C致力将网络变

成一体化安全接入平台，实现有线无线一体化、有源无源一体

化、局域广域一体化；同时H3C通过打造并不断完善两个关键

的平台软件，Comware和iWare，为用户提供具有高度弹性和

可扩展性的业务平台。其中Comare专注于提供丰富的网络业

务，如IPv4、IPv6、MPLS、组播、EAD等等；而iWare则专注

于提供应用安全和应用优化等应用级业务。Comware和iWare

交相辉映，满足丰富的用户业务需求。

就是在业务流量不断发展的情况下，网络设备对业务的

高性能处理能力。高性能除了指网络设备本身的性能提升以

外，更意味着网络设备对业务转发技术的优化和创新。例如

H3C UMS通用媒体交换机，就是H3C公司基于多年的网络技术

积累、对流媒体应用的深刻理解，依靠成熟的路由交换平台，

面向运营商市场和高端行业市场开发的高性能媒体交换机，它

的出现为大规模的实时媒体流分发和节目点播提供了有力的支

撑。而H3C推出的业界第一款基于多核处理器的SR66路由器，

天生就具有多业务并行高速处理的能力，这使得SR66不需要额

外添加任何硬件，就可以在提供高性能IP转发业务的同时提供

高性能FW/IPS/NAT/Netstream/IPSec等多种业务。

就是在大流量、突发性强、混杂转发处理的模式下网络

设备对业务的精细质量保证能力。这方面的技术集大成的代表

就是H3C万兆核心路由器SR8800。 SR8800支持200ms流量缓

存、支持交换网级QoS/VoQ/E2E流控、支持H-QoS，可以按基

于用户业务、用户和系统业务进行层次化调度、支持先进的拥

塞避免机制等多种服务质量保证技术。除了SR88以外H3C网

络产品线的各个产品系列都在服务质量保证能力上都进行了很

好的技术创新和实践。

就是网络设备对业务的深度了解和智能处理。H3C致力

把网络打造成开放应用平台，H3C OAA架构能够在网络平台上

实现应用安全、应用优化和应用集成，赋予了网络智能业务处

理能力，打造新时代的应用智能网络平台。目前H3C网络产品

通过OAA已经集成了防火墙、IPS、流量分析、WEB优化和广

域网优化等能力，成为国内第一个智能网络平台的创新者和实

践者。

“博、大、精、深”既是H3C对网络产品的要求，也是H3C作为

IToIP专家对自己的要求和对用户的承诺。有了您的信任和支

持，H3C坚信通过不断努力创新，一定能够取得更大的辉煌。

开放业务网络—H3C网络产品线概述

SR88万兆

核心路由器

SR66高端

多核路由器

MSR多业务

开放路由器

MSR20-1x系列路由器

ER系列

路由器

OCE系列语音插卡 OCE 8200

语音产品

路由器产品 > 产品介绍

从1997年推出中国第一款企业网路由器到今天，持续十多年的

市场考验和高额研发投入，H3C已经成为全球路由器领域产品

系列最全、解决方案最完善的领先者之一。据最新统计，H3C

中低端路由器累计销售已达近70万台，高端路由器累计销售达

2万6千余台。

高端产品是一个厂商综合实力和核心竞争力的体现，当前业界

只有少数几家厂商具有高端路由器的自主研发和生产能力。

H3C公司秉承 “电信级”可靠性的传统，重要部件(主控板、交

换网板、风扇、电源等)都进行冗余备份，可靠性做到了

99.999％。完全自主知识产权的通用Comware操作平台采用分

布式的组件化灵活架构，有效地将MPLS、QoS、流量工程、

组播VPN、可管理等诸多技术完美融合，结合创新的全分布式

NP/多核架构体系，使得H3C能够率先推出基于一机四平面三

引擎转发的SR8800万兆高端核心路由器，以及基于分布式多

核处理器的SR6600高端路由器，实现了业务灵活性和高性能

硬件转发的有机结合，是H3C“博大精深”灵活业务网络平台的

有力支撑。

中低端路由器产品层面，H3C全新推出的MSR系列路由器，堪

称业界典范之作，是业界第一台开放式多业务路由器。其

N-BUS总线技术和OAA开放架构，业务灵活扩展，使网络兼具

高性能与稳健性，全面满足路由/交换/安全/语音/无线All in One

的趋势要求，让您深度体验网络智慧之美。

H3C路由器产品线介绍

SR8802 SR8805 SR8808 SR8812

SR6602 SR6604 SR6616SR6608

MSR20系列 MSR30系列 MSR50系列

MSR20-10 MSR20-11 MSR20-12 MSR20-15

ER3000系列 ER5000系列

卷首语

H3C致力于IP技术与产品的研究、开发、生产、销售及服务，

为全球用户提供全系列IP产品和解决方案，H3C的产品和解决

方案已经覆盖全球90多个国家和地区。网络产品线是H3C最早

的产品线，经过4年的发展，已经取得了国内领头羊的地位。

2006年H3C在中国路由器与交换机领域综合市场份额达

36.5%，其中H3C在中国以太网交换机市场份额达39.5%，排

名第一（数据来源：2007 CCID Consulting），证明了H3C作

为国内网络设备领先的地位。

2007年H3C网络产品线发布“开放业务网络”战略。整个战略分

三个阶段，第一个阶段是自适应安全网络平台阶段；第二个阶

段是应用智能网络平台阶段，在这个阶段H3C在开放网络基础

架构基础上，把应用安全、应用优化、应用集成等4～7层业务

集成到网络平台。目前H3C已经实现把IPS、防火墙、防毒

墙、广域网优化、WEB数据中心前端优化、网络流量分析和控

制等功能集成到路由器和交换机上，实现网络平台应用智能

化，增强H3C的核心竞争力，给客户带来创新价值；第三个阶

段是灵活业务网络平台阶段，在这个阶段H3C将开放基于SOA

架构的智能管理接口，使客户和集成商可以根据特定行业的需

求，实现网络平台和用户业务的相互调用，完成业务系统的定

制化和优化。

今天互联网已经进入一个全新的应用时代，其中以多媒体应用

融合、应用WEB化、IT能力的资源化/数据中心等为代表的应用

趋势对网络产品提出很多新的挑战。面对挑战，H3C网络产品

线不断创新，为用户提供更好的网络产品和解决方案，来满足

用户不断变化的需求。H3C开放业务网络的特点可以用“博、

大、精、深”来描述。

就是多业务能力。这里的多业务既体现在多种接入业务

能力（Wireless/EPON/EoC/LRE/PoE），也体现在多种网络业

务能力（MPLS/QinQ/IPv6/组播），还体现在多种应用业务能

力（NAT/FW/IPS/流量分析）。具体的讲，H3C致力将网络变

成一体化安全接入平台，实现有线无线一体化、有源无源一体

化、局域广域一体化；同时H3C通过打造并不断完善两个关键

的平台软件，Comware和iWare，为用户提供具有高度弹性和

可扩展性的业务平台。其中Comare专注于提供丰富的网络业

务，如IPv4、IPv6、MPLS、组播、EAD等等；而iWare则专注

于提供应用安全和应用优化等应用级业务。Comware和iWare

交相辉映，满足丰富的用户业务需求。

就是在业务流量不断发展的情况下，网络设备对业务的

高性能处理能力。高性能除了指网络设备本身的性能提升以

外，更意味着网络设备对业务转发技术的优化和创新。例如

H3C UMS通用媒体交换机，就是H3C公司基于多年的网络技术

积累、对流媒体应用的深刻理解，依靠成熟的路由交换平台，

面向运营商市场和高端行业市场开发的高性能媒体交换机，它

的出现为大规模的实时媒体流分发和节目点播提供了有力的支

撑。而H3C推出的业界第一款基于多核处理器的SR66路由器，

天生就具有多业务并行高速处理的能力，这使得SR66不需要额

外添加任何硬件，就可以在提供高性能IP转发业务的同时提供

高性能FW/IPS/NAT/Netstream/IPSec等多种业务。

就是在大流量、突发性强、混杂转发处理的模式下网络

设备对业务的精细质量保证能力。这方面的技术集大成的代表

就是H3C万兆核心路由器SR8800。 SR8800支持200ms流量缓

存、支持交换网级QoS/VoQ/E2E流控、支持H-QoS，可以按基

于用户业务、用户和系统业务进行层次化调度、支持先进的拥

塞避免机制等多种服务质量保证技术。除了SR88以外H3C网

络产品线的各个产品系列都在服务质量保证能力上都进行了很

好的技术创新和实践。

就是网络设备对业务的深度了解和智能处理。H3C致力

把网络打造成开放应用平台，H3C OAA架构能够在网络平台上

实现应用安全、应用优化和应用集成，赋予了网络智能业务处

理能力，打造新时代的应用智能网络平台。目前H3C网络产品

通过OAA已经集成了防火墙、IPS、流量分析、WEB优化和广

域网优化等能力，成为国内第一个智能网络平台的创新者和实

践者。

“博、大、精、深”既是H3C对网络产品的要求，也是H3C作为

IToIP专家对自己的要求和对用户的承诺。有了您的信任和支

持，H3C坚信通过不断努力创新，一定能够取得更大的辉煌。

开放业务网络—H3C网络产品线概述

SR88万兆

核心路由器

SR66高端

多核路由器

MSR多业务

开放路由器

MSR20-1x系列路由器

ER系列

路由器

OCE系列语音插卡 OCE 8200

语音产品

产品介绍 < 路由器产品 < SR8800 SR8800 > 路由器产品 > 产品介绍

产品介绍

H3C SR8800系列万兆核心业务路由器(以下简称SR8800)是

H3C公司基于对用户业务应用的充分调研和深刻理解而推出的

万兆核心路由产品，主要应用在IP骨干网、IP城域网以及各种

大型IP网络的核心和汇聚位置。SR8800系列核心路由器具有

强大的转发性能和丰富的业务特性，全面满足用户各种组网应

用的需求。

H3C SR8800系列核心路由器包括SR8802(4槽)、SR8805(7

槽)、SR8808(垂直10槽)和SR8812(14槽)4款产品。

产品特点

• 创新的体系架构保障业务的高性能

SR8800采用了创新的四平面分离和三引擎转发体系架构，实

现了万兆NP平台和Crossbar无阻塞交换技术完美融合，从而实

现万兆业务流量线速转发，完全满足用户对于业务处理性能和

容量的要求。分布式转发引擎使接口板业务处理实现硬件化，

SR8800业务接口板上同时具有NP业务引擎、QoS控制引擎和

表检索引擎，极大加快了业务处理速度，使系统在完成万兆业

务线速处理的同时，能够实现精细化QoS调度机制和真正意义

上E2E流控。

• 专用的OAM引擎保证业务的高可靠性

SR8800在传统的核心路由器双平面(控制平面和转发平面)的基

础上，利用专用的OAM引擎设计了一个独特的OAM检测平面，

该平面监控网络故障，能够实现30ms的故障检测和20ms的业

务切换，保证业务不中断。检测平面与控制平面、转发平面相

互独立、互不影响，为用户提供了电信级的可靠性。

同时，SR8800还支持完善的设备可靠性机制，包括：关键部

件1＋1冗余备份、热插拔、热补丁等功能。

• 内置QoS引擎实现精细化业务控制

内置QoS引擎支持层次化QoS(H-QoS)，可以实现基于类、用

户及用户业务的三级调度机制，H-QoS和MPLS TE配合可以实

现按隧道、按业务进行带宽预留和调度。

QoS控制引擎提供200ms的强大包缓存能力，可解决网络突发

流量引起的丢包问题。

SR8800的Crossbar交换网支持VOQ和E2E流控技术，可有效避

免报文的头阻塞(HOL)，并且在Crossbar上实现了报文的“区分

服务”。

• 开放业务构架(OAA)满足定制化需求

SR8800秉承H3C公司的开发架构设计理念——开放应用架构

(OAA)，提供了开放应用平台(OAP)板卡，以满足后续业务定

制和升级的要求，如嵌入式的IPS、FW、防毒墙等，实现了核

心路由器和业务应用系统的无缝整合。

• 全面的IPv6解决方案

IPv6作为下一代网络的基础协议以其特有的技术优势得到广泛

的认可，SR8800全面支持IPv6协议族，支持IPv6静态路由、

RIPng、OSPFv3、IS-ISv6、BGP4+等IPv6路由协议，支持丰富

的 IPv4向 IPv6过渡技术，包括： IPv6手工隧道、6to4隧道、

ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术，

保证IPv4向IPv6的平滑过渡。

• 性能卓越的MPLS VPN解决方案

SR8800支持全分布式的三层MPLS VPN、VLL和VPLS/H-VPLS

业务，能够胜任高性能P/PE应用，提供高品质和多层次的

MPLS VPN解决方案。SR8800最大可以支持4K VRF，满足大

型MPLS VPN的组网需求；支持分布式组播VPN，可以在MPLS

VPN网络中方便的开启高性能的组播业务，满足用户的视频会

议和远程教学等组播业务需求。

• 完善的安全机制

SR8800支持集成的防火墙模块，可以将防火墙的保护功能扩

展到路由器的每个端口；支持IPSec功能，提供安全的VPN接

入服务；支持虚拟防火墙功能，可以为VPN用户提供网络防火

墙的租用服务。

支持用户分级管理和口令保护，对登录用户进行认证，并且不

同级别的用户有不同的配置权限，用户认证方式包括：AAA认

证、RADIUS认证等认证方式等；支持SSHv2.0，为用户登录提

供安全加密通道；支持标准和扩展ACL，可以对报文进行过

滤，防止网络攻击；支持主机防火墙功能，防止DoS / DDoS攻

击；支持URPF技术，防止基于源地址欺骗的网络攻击行为。

• 高性能NATSR8800采用10G NP硬件技术实现高性能NAT业务，并且支持

多块NAT业务板负载分担方式来提高整机NAT性能。SR8800

NAT业务板支持丰富的特性，包括NAT、NAPT、内部服务器、

ALG、黑名单、NAT多实例等，支持多ISP出口、内部服务器负

荷分担等策略，支持双向NAT和两次NAT，完全满足用户各种

NAT组网应用。

• 高性能网络流量分析

SR8800采用专用高性能硬件板卡实现对网络业务分析功能，

支持采样功能和流量统计功能，支持V5、V8和V9多种日志格

式，与iMC NTA分析系统配合，为用户提供完整的网络流量分

析解决方案；支持向主、备服务器同时发送日志，防止统计信

息丢失。网络业务分析使原本不可见的网络业务应用流量变得

一目了然，可以为用户提供多种网流分析报表，帮助用户及时

优化网络结构，调整资源部署。

H3C SR8800系列万兆核心业务路由器

SR8802 SR8805 SR8808 SR8812

产品介绍

H3C SR8800系列万兆核心业务路由器(以下简称SR8800)是

H3C公司基于对用户业务应用的充分调研和深刻理解而推出的

万兆核心路由产品，主要应用在IP骨干网、IP城域网以及各种

大型IP网络的核心和汇聚位置。SR8800系列核心路由器具有

强大的转发性能和丰富的业务特性，全面满足用户各种组网应

用的需求。

H3C SR8800系列核心路由器包括SR8802(4槽)、SR8805(7

槽)、SR8808(垂直10槽)和SR8812(14槽)4款产品。

产品特点

• 创新的体系架构保障业务的高性能

SR8800采用了创新的四平面分离和三引擎转发体系架构，实

现了万兆NP平台和Crossbar无阻塞交换技术完美融合，从而实

现万兆业务流量线速转发，完全满足用户对于业务处理性能和

容量的要求。分布式转发引擎使接口板业务处理实现硬件化，

SR8800业务接口板上同时具有NP业务引擎、QoS控制引擎和

表检索引擎，极大加快了业务处理速度，使系统在完成万兆业

务线速处理的同时，能够实现精细化QoS调度机制和真正意义

上E2E流控。

• 专用的OAM引擎保证业务的高可靠性

SR8800在传统的核心路由器双平面(控制平面和转发平面)的基

础上，利用专用的OAM引擎设计了一个独特的OAM检测平面，

该平面监控网络故障，能够实现30ms的故障检测和20ms的业

务切换，保证业务不中断。检测平面与控制平面、转发平面相

互独立、互不影响，为用户提供了电信级的可靠性。

同时，SR8800还支持完善的设备可靠性机制，包括：关键部

件1＋1冗余备份、热插拔、热补丁等功能。

• 内置QoS引擎实现精细化业务控制

内置QoS引擎支持层次化QoS(H-QoS)，可以实现基于类、用

户及用户业务的三级调度机制，H-QoS和MPLS TE配合可以实

现按隧道、按业务进行带宽预留和调度。

QoS控制引擎提供200ms的强大包缓存能力，可解决网络突发

流量引起的丢包问题。

SR8800的Crossbar交换网支持VOQ和E2E流控技术，可有效避

免报文的头阻塞(HOL)，并且在Crossbar上实现了报文的“区分

服务”。

• 开放业务构架(OAA)满足定制化需求

SR8800秉承H3C公司的开发架构设计理念——开放应用架构

(OAA)，提供了开放应用平台(OAP)板卡，以满足后续业务定

制和升级的要求，如嵌入式的IPS、FW、防毒墙等，实现了核

心路由器和业务应用系统的无缝整合。

• 全面的IPv6解决方案

IPv6作为下一代网络的基础协议以其特有的技术优势得到广泛

的认可，SR8800全面支持IPv6协议族，支持IPv6静态路由、

RIPng、OSPFv3、IS-ISv6、BGP4+等IPv6路由协议，支持丰富

的 IPv4向 IPv6过渡技术，包括： IPv6手工隧道、6to4隧道、

ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术，

保证IPv4向IPv6的平滑过渡。

• 性能卓越的MPLS VPN解决方案

SR8800支持全分布式的三层MPLS VPN、VLL和VPLS/H-VPLS

业务，能够胜任高性能P/PE应用，提供高品质和多层次的

MPLS VPN解决方案。SR8800最大可以支持4K VRF，满足大

型MPLS VPN的组网需求；支持分布式组播VPN，可以在MPLS

VPN网络中方便的开启高性能的组播业务，满足用户的视频会

议和远程教学等组播业务需求。

• 完善的安全机制

SR8800支持集成的防火墙模块，可以将防火墙的保护功能扩

展到路由器的每个端口；支持IPSec功能，提供安全的VPN接

入服务；支持虚拟防火墙功能，可以为VPN用户提供网络防火

墙的租用服务。

支持用户分级管理和口令保护，对登录用户进行认证，并且不

同级别的用户有不同的配置权限，用户认证方式包括：AAA认

证、RADIUS认证等认证方式等；支持SSHv2.0，为用户登录提

供安全加密通道；支持标准和扩展ACL，可以对报文进行过

滤，防止网络攻击；支持主机防火墙功能，防止DoS / DDoS攻

击；支持URPF技术，防止基于源地址欺骗的网络攻击行为。

• 高性能NATSR8800采用10G NP硬件技术实现高性能NAT业务，并且支持

多块NAT业务板负载分担方式来提高整机NAT性能。SR8800

NAT业务板支持丰富的特性，包括NAT、NAPT、内部服务器、

ALG、黑名单、NAT多实例等，支持多ISP出口、内部服务器负

荷分担等策略，支持双向NAT和两次NAT，完全满足用户各种

NAT组网应用。

• 高性能网络流量分析

SR8800采用专用高性能硬件板卡实现对网络业务分析功能，

支持采样功能和流量统计功能，支持V5、V8和V9多种日志格

式，与iMC NTA分析系统配合，为用户提供完整的网络流量分

析解决方案；支持向主、备服务器同时发送日志，防止统计信

息丢失。网络业务分析使原本不可见的网络业务应用流量变得

一目了然，可以为用户提供多种网流分析报表，帮助用户及时

优化网络结构，调整资源部署。

H3C SR8800系列万兆核心业务路由器

SR8802 SR8805 SR8808 SR8812

H3C SR6600系列开放多核路由器

产品介绍

H3C SR6600系列开放多核路由器(以下简称SR6600)是H3C公

司自主研发，面向电信、政府、电力、金融、教育、企业等用

户网络量身打造的一款集高性能转发、高灵活性业务处理和高

密度接入能力于一体的高端多业务路由器。

SR6600是业界第一款基于多核多线程处理器技术架构的路由

器产品，其全新的硬件平台和面向业务设计的理念全新诠释了

数据通信业务汇聚/接入和企业网关的新型解决方案，更加充分

的满足未来业务扩展的多元化应用需求，符合电信及各行业IT

建设的现状与发展趋势。

SR6600系列目前包含SR6602、SR6604、SR6608、SR6616

四款产品。

产品特点

• 业界首款多核业务路由器

SR6600是业界首款基于多核多线程的业务路由器，具备高性

能、易编程、灵活的L4-L7层业务应用等特点，满足用户不断

发展的、在路由器上实现应用层业务管理的要求。

• 先进的全分布式业务体系架构

SR6608采用多核多线程CPU、全分布式架构，路由引擎和业

务引擎硬件分离，所有引擎上控制平面和业务平面分离，确保

系统全速运行时业务和控制互不干扰，主备倒换时不丢包，业

务不中断；各业务引擎可独立完成NAT、IPSec、Netstream等

业务的分布式处理，提高系统的整体业务能力，消除传统高端

路由器通过专门的业务板处理所造成的性能瓶颈。

SR6602采用多核CPU集中式架构，控制平面和业务平面完全

分离，确保系统全速运行时，业务和控制互不干扰。

• 开放应用架构(OAA)的设计理念

SR6600秉承H3C公司的开发架构设计理念—开放应用架构

(OAA)，满足后续L4-L7层持续业务定制和升级，实现高端路

由器的业务增值，加速IP网络向智能化方向发展。

• 高密度的窄带汇聚接入能力

SR6600可提供高密度的OC-3/STM-1的通道化POS接口，并支

持通道化到E1/T1或者DS0，提供业界领先的、高密度的E1、

DS0线速汇聚能力，窄带接入容量、密度以及性能均达到业界

领先水准。

• 硬件支持PPP多链路捆绑

SR6600提供的CL2P和CL1P两种高速CPOS模块能够给用户提

供硬件MP功能。在作为广域网汇聚节点时，用户通过采用高性

能CPOS模块对下行E1或者T1链路实现硬件PPP多链路捆绑；

在不影响转发的前提下实现MP协议的报文重组、分片等功能。

• 业界领先的加密性能

SR6600通过内置硬件加密，实现了高性能分布式IPSec加密。

在不增加用户任何投资的前提下，为用户提供业界领先的数据

加密能力，保证用户数据在广域网和内部网络的传输安全。

• 丰富的高性能业务特性

SR6600提供高性能、灵活的QoS解决方案，提供先进的队列

调度、拥塞避免、拥塞管理、流量监管、流量整形、优先级标

记等功能，可精确保证不同业务的带宽、时延、抖动和丢包

率，满足不同用户、不同业务等级的“区分服务”的要求。

SR6600支持高性能NAT、L2TP、GRE等业务特性，支持

Firewall、ASPF、URPF等多种安全特性，提供NetStream报文

统计功能，并针对不同的流信息进行独立的数据统计，为用户

提供可视化的网络流量管理，方便开展网络规划、安全监控、

流量计费等业务。

• 强大的MPLS功能

SR6600支持全面的MPLS协议，支持MPLS L2VPN/L3VPN，

支持MPLS TE、MPLS TE FRR等功能。能够和H3C公司其他网

络产品一起组成强大的MPLS网络，提供高性能、安全和多层

次的MPLS VPN解决方案。

• 电信级可靠性设计

SR6600秉承了高端路由器分布式体系架构，将控制平面和业

务平面分离，确保系统全速运行时业务和控制互不干扰。从而

保障主备倒换时零丢包，实现业务不中断。

SR6600各关键部件如主控板、电源、管理总线全部为冗余热

备分，实现基于状态的热切换。所有组件支持热插拔；提供热

补丁技术，实现软件完全平滑升级。

SR6602 SR6608SR6604 SR6616

H3C SR6600系列开放多核路由器

产品介绍

H3C SR6600系列开放多核路由器(以下简称SR6600)是H3C公

司自主研发，面向电信、政府、电力、金融、教育、企业等用

户网络量身打造的一款集高性能转发、高灵活性业务处理和高

密度接入能力于一体的高端多业务路由器。

SR6600是业界第一款基于多核多线程处理器技术架构的路由

器产品，其全新的硬件平台和面向业务设计的理念全新诠释了

数据通信业务汇聚/接入和企业网关的新型解决方案，更加充分

的满足未来业务扩展的多元化应用需求，符合电信及各行业IT

建设的现状与发展趋势。

SR6600系列目前包含SR6602、SR6604、SR6608、SR6616

四款产品。

产品特点

• 业界首款多核业务路由器

SR6600是业界首款基于多核多线程的业务路由器，具备高性

能、易编程、灵活的L4-L7层业务应用等特点，满足用户不断

发展的、在路由器上实现应用层业务管理的要求。

• 先进的全分布式业务体系架构

SR6608采用多核多线程CPU、全分布式架构，路由引擎和业

务引擎硬件分离，所有引擎上控制平面和业务平面分离，确保

系统全速运行时业务和控制互不干扰，主备倒换时不丢包，业

务不中断；各业务引擎可独立完成NAT、IPSec、Netstream等

业务的分布式处理，提高系统的整体业务能力，消除传统高端

路由器通过专门的业务板处理所造成的性能瓶颈。

SR6602采用多核CPU集中式架构，控制平面和业务平面完全

分离，确保系统全速运行时，业务和控制互不干扰。

• 开放应用架构(OAA)的设计理念

SR6600秉承H3C公司的开发架构设计理念—开放应用架构

(OAA)，满足后续L4-L7层持续业务定制和升级，实现高端路

由器的业务增值，加速IP网络向智能化方向发展。

• 高密度的窄带汇聚接入能力

SR6600可提供高密度的OC-3/STM-1的通道化POS接口，并支

持通道化到E1/T1或者DS0，提供业界领先的、高密度的E1、

DS0线速汇聚能力，窄带接入容量、密度以及性能均达到业界

领先水准。

• 硬件支持PPP多链路捆绑

SR6600提供的CL2P和CL1P两种高速CPOS模块能够给用户提

供硬件MP功能。在作为广域网汇聚节点时，用户通过采用高性

能CPOS模块对下行E1或者T1链路实现硬件PPP多链路捆绑；

在不影响转发的前提下实现MP协议的报文重组、分片等功能。

• 业界领先的加密性能

SR6600通过内置硬件加密，实现了高性能分布式IPSec加密。

在不增加用户任何投资的前提下，为用户提供业界领先的数据

加密能力，保证用户数据在广域网和内部网络的传输安全。

• 丰富的高性能业务特性

SR6600提供高性能、灵活的QoS解决方案，提供先进的队列

调度、拥塞避免、拥塞管理、流量监管、流量整形、优先级标

记等功能，可精确保证不同业务的带宽、时延、抖动和丢包

率，满足不同用户、不同业务等级的“区分服务”的要求。

SR6600支持高性能NAT、L2TP、GRE等业务特性，支持

Firewall、ASPF、URPF等多种安全特性，提供NetStream报文

统计功能，并针对不同的流信息进行独立的数据统计，为用户

提供可视化的网络流量管理，方便开展网络规划、安全监控、

流量计费等业务。

• 强大的MPLS功能

SR6600支持全面的MPLS协议，支持MPLS L2VPN/L3VPN，

支持MPLS TE、MPLS TE FRR等功能。能够和H3C公司其他网

络产品一起组成强大的MPLS网络，提供高性能、安全和多层

次的MPLS VPN解决方案。

• 电信级可靠性设计

SR6600秉承了高端路由器分布式体系架构，将控制平面和业

务平面分离，确保系统全速运行时业务和控制互不干扰。从而

保障主备倒换时零丢包，实现业务不中断。

SR6600各关键部件如主控板、电源、管理总线全部为冗余热

备分，实现基于状态的热切换。所有组件支持热插拔；提供热

补丁技术，实现软件完全平滑升级。

SR6602 SR6608SR6604 SR6616

产品介绍 < 路由器产品 < MSR系列 MSR系列> 路由器产品 > 产品介绍

产品介绍

MSR(Multiple Services Routers)多业务开放路由器是H3C专门

面向行业分支机构和大中型企业而推出的新一代网络产品。

MSR先进的软件结构与硬件平台，能够在最小的投资范围内为

企业边缘网络提供一体化解决方案，更能充分满足未来业务扩

展的多元化应用需求，符合企业IT建设的现状与趋势。

MSR集数据安全、语音通信、视频交互、无线、业务定制等功

能于一体，能够在企业网络应用不断丰富的形势下将多元业务

方便的部署于同一节点，不仅能够最大程度的避免网络中多设

备繁杂异构问题，而且极大降低了企业网络建设的初期投资与

长期运维成本。

H3C MSR系列路由器包括MSR20(MSR20-10(w)/11/12

(w)/15(w)/20/21/40)、MSR30(MSR30-11/16/20/40/60)和

MSR50(MSR50-06/40/60)三大系列，15款产品。

产品特点

• 开放式的增值业务平台

MSR系列路由器基于OAA(Open Application Architecture)理念

设计，创新性的推出了对外开放的业务平台。厂商与合作伙伴

均可以在此平台上直接开发各类高级功能(例如应用层攻击抵

御、网络病毒防护、多媒体集合通信、Web优化与加速等)，

用户只需安装开发出的软件，便可以将上述业务与MSR无缝融

合，为日渐细分的个性化需求提供完整的解决方案。

目前MSR系列路由器已经推出的基于OAA架构的应用产品包

括：ASM(Anti-Virus Security Module)防病毒模块、NAM

(Network Ana lys i s Modu le)网络流量监控模块、SSL

(Security Socket Layer)VPN模块、WAAM(WAN Application

Accelerator Module)应用加速模块等。

• 多业务集成并发能力

集成安全业务

MSR系列路由器提供专门的安全数据连接设计技术，采用内置

硬件加密功能的CPU和主板上内置的硬件加密引擎(NDE)，通

过硬件的方式大大提高数据加密性能，保证转发和加密同步高

性能，同时节省接口插槽。

MSR系列路由器还提供丰富的安全功能，包括Firewall、IPSec

VPN、MPLS VPN、CA、SSH 2.0、入侵保护、DDoS防御、攻

击防御等。

集成语音业务

MSR系列路由器采用了全新的硬件语音设计方案，提供了

FXS/FXO/VE1/VT1等各种语音接口类型，支持H.323、SIP等主

流的语音通讯协议，实现了紧急呼叫/掉电求救/拨号策略/传真

/E-PHONE等各种语音业务。MSR 提供TDM交换能力，使用户

的TDM交换在本地完成，大大节省网络资源的同时，使本地话

音的接通率和通话质量完全达到电信水准。

集成数据交换

MSR系列路由器提供灵活扩展的以太网交换模块，支持丰富的

二层交换特性，极大地满足了企业对于路由交换一体化组网方

案的需要。

多业务线速并发

MSR系列路由器将全新的硬件架构和结构化的软件系统有机结

合，可以为用户提供集成数据、安全、语音、视频以及各种上

层应用的服务，满足用户现有的以及未来的互联网应用，而且

路由器的原有数据传输性能丝毫未受影响。

• 先进的硬件体系架构

MSR系列路由器设备在硬件设计方面充分地考虑到集成综合业

务的需要，采用了先进的N-Bus多总线设计方案，语音、数

据、交换、安全四大业务分别经由不同的总线，由专门的协处

理引擎并行完成处理，消除总线和CPU性能瓶颈，大大提高了

该系列路由器集成的多业务部署和实施能力。可满足行业网边

缘用户、大中型企业分支机构和小型企业总部多种高质量并发

业务无缝集成、完美融合。

• POE远程供电特性

MSR 系列路由器支持PoE(Power Over Ethernet)功能，即可通

过双绞线向远端下挂PD设备(如IP Phone、WLAN AP、Security、

Bluetooth AP等)提供电源，实现对下挂PD设备远端供电，使

设备安装简单而且节省空间。通过支持POE和Voice VLAN技

术，MSR系列路由器能够提供完美的数据和语音融合解决

方案。

• 良好的WLAN无线支持

MSR 20-1X系列路由器还提供可选的WLAN无线支持能力：

支持 802.11b/g；

支持丰富的安全访问策略：共享密钥认证、WEP加密、

WPA、 WPA-PSK、 WPA2；

支持多虚拟AP，可配置多个SSID。

MSR系列多业务开放路由器

MSR20 MSR30 MSR50

产品介绍 < 路由器产品 < MSR系列 MSR系列> 路由器产品 > 产品介绍

产品介绍

MSR(Multiple Services Routers)多业务开放路由器是H3C专门

面向行业分支机构和大中型企业而推出的新一代网络产品。

MSR先进的软件结构与硬件平台，能够在最小的投资范围内为

企业边缘网络提供一体化解决方案，更能充分满足未来业务扩

展的多元化应用需求，符合企业IT建设的现状与趋势。

MSR集数据安全、语音通信、视频交互、无线、业务定制等功

能于一体，能够在企业网络应用不断丰富的形势下将多元业务

方便的部署于同一节点，不仅能够最大程度的避免网络中多设

备繁杂异构问题，而且极大降低了企业网络建设的初期投资与

长期运维成本。

H3C MSR系列路由器包括MSR20(MSR20-10(w)/11/12

(w)/15(w)/20/21/40)、MSR30(MSR30-11/16/20/40/60)和

MSR50(MSR50-06/40/60)三大系列，15款产品。

产品特点

• 开放式的增值业务平台

MSR系列路由器基于OAA(Open Application Architecture)理念

设计，创新性的推出了对外开放的业务平台。厂商与合作伙伴

均可以在此平台上直接开发各类高级功能(例如应用层攻击抵

御、网络病毒防护、多媒体集合通信、Web优化与加速等)，

用户只需安装开发出的软件，便可以将上述业务与MSR无缝融

合，为日渐细分的个性化需求提供完整的解决方案。

目前MSR系列路由器已经推出的基于OAA架构的应用产品包

括：ASM(Anti-Virus Security Module)防病毒模块、NAM

(Network Ana lys i s Modu le)网络流量监控模块、SSL

(Security Socket Layer)VPN模块、WAAM(WAN Application

Accelerator Module)应用加速模块等。

• 多业务集成并发能力

集成安全业务

MSR系列路由器提供专门的安全数据连接设计技术，采用内置

硬件加密功能的CPU和主板上内置的硬件加密引擎(NDE)，通

过硬件的方式大大提高数据加密性能，保证转发和加密同步高

性能，同时节省接口插槽。

MSR系列路由器还提供丰富的安全功能，包括Firewall、IPSec

VPN、MPLS VPN、CA、SSH 2.0、入侵保护、DDoS防御、攻

击防御等。

集成语音业务

MSR系列路由器采用了全新的硬件语音设计方案，提供了

FXS/FXO/VE1/VT1等各种语音接口类型，支持H.323、SIP等主

流的语音通讯协议，实现了紧急呼叫/掉电求救/拨号策略/传真

/E-PHONE等各种语音业务。MSR 提供TDM交换能力，使用户

的TDM交换在本地完成，大大节省网络资源的同时，使本地话

音的接通率和通话质量完全达到电信水准。

集成数据交换

MSR系列路由器提供灵活扩展的以太网交换模块，支持丰富的

二层交换特性，极大地满足了企业对于路由交换一体化组网方

案的需要。

多业务线速并发

MSR系列路由器将全新的硬件架构和结构化的软件系统有机结

合，可以为用户提供集成数据、安全、语音、视频以及各种上

层应用的服务，满足用户现有的以及未来的互联网应用，而且

路由器的原有数据传输性能丝毫未受影响。

MSR系列路由器设备在硬件设计方面充分地考虑到集成综合业

务的需要，采用了先进的N-Bus多总线设计方案，语音、数

据、交换、安全四大业务分别经由不同的总线，由专门的协处

理引擎并行完成处理，消除总线和CPU性能瓶颈，大大提高了

该系列路由器集成的多业务部署和实施能力。可满足行业网边

缘用户、大中型企业分支机构和小型企业总部多种高质量并发

业务无缝集成、完美融合。

• POE远程供电特性

MSR 系列路由器支持PoE(Power Over Ethernet)功能，即可通

过双绞线向远端下挂PD设备(如IP Phone、WLAN AP、Security、

Bluetooth AP等)提供电源，实现对下挂PD设备远端供电，使

设备安装简单而且节省空间。通过支持POE和Voice VLAN技

术，MSR系列路由器能够提供完美的数据和语音融合解决

方案。

• 良好的WLAN无线支持

MSR 20-1X系列路由器还提供可选的WLAN无线支持能力：

支持 802.11b/g；

支持丰富的安全访问策略：共享密钥认证、WEP加密、

WPA、 WPA-PSK、 WPA2；

支持多虚拟AP，可配置多个SSID。

MSR系列多业务开放路由器

MSR20 MSR30 MSR50

产品介绍 < 路由器产品 < ER系列

H3C ER系列企业级宽带路由器

产品介绍

H3C ER系列高性能宽带路由器是H3C公司推出的中低端接入

路由器，主要定位于以太网/光纤/ADSL接入的SMB市场和政

府、企业机构、网吧等网络环境。

H3C ER3000是ER系列路由器中的中端产品。采用专业的64位

网络处理器，支持丰富的软件特性，如IP—MAC地址绑定、

ARP防攻击、流量限速等功能，是中小型网吧和企业用户的理

想选择。

H3C ER5000是一款高性能千兆路由器，是ER系列路由器中的

中高端产品。采用专业的64位双核网络处理器，同时提供丰

富的网吧专有特性及SMB特性，是网吧和中型企业用户的理

想选择。

产品特点

• 高处理性能

ER系列采用64位网络处理器，其中ER5000系列采用64位双

核网络处理器，同时配合DDRII高速RAM进行高速转发，可以

达到百兆线速转发。在实际应用中，典型的带机量为

100~350台。

• ARP病毒双重防护

ER系列路由器支持通过IP--MAC地址绑定功能，通告固定网关

的ARP列表，有效防止ARP欺骗引起的内网通讯中断；此外ER

系列路由器支持免费ARP定时发送功能，可以有效地避免局域

网PC中毒后引发的ARP攻击。

• 网络流量限速

BT、迅雷等P2P软件对网络带宽的过度占用会影响到网内其他

用户的正常业务。ER系列路由器可基于IP或基于NAT表项实施

网络流量限速，有效控制单台PC的上/下行流量和建立的NAT

表项个数，限制P2P软件对网络带宽的过度占用。

• 灵活业务控制

ER系列路由器独有的应用控制功能，可以方便的限制内网用户

对QQ、MSN等软件的使用。同时，用户还可以设置特权用户

组，保证某些关键用户对上述软件的使用不受影响。

• 智能安全自检

ER系列路由器内建智能安全自检功能，方便的提示用户是否开

启了设备的防攻击功能，如ARP双重防护、DDoS攻击防护、

Ping of Death攻击防护、SYN Flood攻击防护、端口扫描、内网

异常攻击病毒防护等，以及在攻击发生时，提示用户内网异常

攻击的病毒源，帮助用户方便快速定位网络故障节点。

ER3100 ER3200 ER3260

ER5100 ER5200

H3C企业统一通信产品系列

随着IP技术的日益发展以及广泛的部署，IP语音通信也越来越

受到人们的关注。企业通过部署IP语音通信产品不仅可为企业

节省长途话费，更可以大幅度提高企业运营效率、提升客户满

意度、降低运营成本使得企业内部以及企业和用户之间沟通更

加灵活和方便。同时以IP语音通信产品为核心的融合通信系统

使得企业可以在IP语音通信系统投资中获取最大价值，提升企

业核心竞争力。

H3C本着从用户需求出发，多年来一直致力于IP语音通信技术

的研究和开发，在IP语音通信解决方案能力上具备独特的先天

优势，H3C作为世界领先的IP语音通信厂商，最早推出世界商

用的IP PBX语音解决方案，拥有业界最齐备的IP语音通信产品

线。如今H3C已拥有完全独立知识产权的全系列IP语音通信产

品，能够满足从中小型企业到大型企业、行业以及SOHO等各

种规模用户的多样化IP语音通信需求。

企业统一通信解决方案 > 路由器产品 > 产品介绍

会议系统即时消息 CDR计费 SIP应用

IP电话 MSR系列语音网关软件客户端

CCXML/Voice XML

MIM-OCE FIC-OCE OCE 8200

应用系统

终端接入

服务器

产品介绍 < 路由器产品 < ER系列

H3C ER系列企业级宽带路由器

产品介绍

H3C ER系列高性能宽带路由器是H3C公司推出的中低端接入

路由器，主要定位于以太网/光纤/ADSL接入的SMB市场和政

府、企业机构、网吧等网络环境。

H3C ER3000是ER系列路由器中的中端产品。采用专业的64位

网络处理器，支持丰富的软件特性，如IP—MAC地址绑定、

ARP防攻击、流量限速等功能，是中小型网吧和企业用户的理

想选择。

H3C ER5000是一款高性能千兆路由器，是ER系列路由器中的

中高端产品。采用专业的64位双核网络处理器，同时提供丰

富的网吧专有特性及SMB特性，是网吧和中型企业用户的理

想选择。

产品特点

• 高处理性能

ER系列采用64位网络处理器，其中ER5000系列采用64位双

核网络处理器，同时配合DDRII高速RAM进行高速转发，可以

达到百兆线速转发。在实际应用中，典型的带机量为

100~350台。

• ARP病毒双重防护

ER系列路由器支持通过IP--MAC地址绑定功能，通告固定网关

的ARP列表，有效防止ARP欺骗引起的内网通讯中断；此外ER

系列路由器支持免费ARP定时发送功能，可以有效地避免局域

网PC中毒后引发的ARP攻击。

• 网络流量限速

BT、迅雷等P2P软件对网络带宽的过度占用会影响到网内其他

用户的正常业务。ER系列路由器可基于IP或基于NAT表项实施

网络流量限速，有效控制单台PC的上/下行流量和建立的NAT

表项个数，限制P2P软件对网络带宽的过度占用。

• 灵活业务控制

ER系列路由器独有的应用控制功能，可以方便的限制内网用户

对QQ、MSN等软件的使用。同时，用户还可以设置特权用户

组，保证某些关键用户对上述软件的使用不受影响。

• 智能安全自检

ER系列路由器内建智能安全自检功能，方便的提示用户是否开

启了设备的防攻击功能，如ARP双重防护、DDoS攻击防护、

Ping of Death攻击防护、SYN Flood攻击防护、端口扫描、内网

异常攻击病毒防护等，以及在攻击发生时，提示用户内网异常

攻击的病毒源，帮助用户方便快速定位网络故障节点。

ER3100 ER3200 ER3260

ER5100 ER5200

H3C企业统一通信产品系列

随着IP技术的日益发展以及广泛的部署，IP语音通信也越来越

受到人们的关注。企业通过部署IP语音通信产品不仅可为企业

节省长途话费，更可以大幅度提高企业运营效率、提升客户满

意度、降低运营成本使得企业内部以及企业和用户之间沟通更

加灵活和方便。同时以IP语音通信产品为核心的融合通信系统

使得企业可以在IP语音通信系统投资中获取最大价值，提升企

业核心竞争力。

H3C本着从用户需求出发，多年来一直致力于IP语音通信技术

的研究和开发，在IP语音通信解决方案能力上具备独特的先天

优势，H3C作为世界领先的IP语音通信厂商，最早推出世界商

用的IP PBX语音解决方案，拥有业界最齐备的IP语音通信产品

线。如今H3C已拥有完全独立知识产权的全系列IP语音通信产

品，能够满足从中小型企业到大型企业、行业以及SOHO等各

种规模用户的多样化IP语音通信需求。

企业统一通信解决方案 > 路由器产品 > 产品介绍

会议系统即时消息 CDR计费 SIP应用

IP电话 MSR系列语音网关软件客户端

CCXML/Voice XML

MIM-OCE FIC-OCE OCE 8200

应用系统

终端接入

服务器

产品介绍 < 路由器产品 < OCE系列

H3C OCE系列开放通信引擎

产品介绍

企业传统通信系统相互割裂，通过PTSN网络提供语音、传

真，使用移动网络提供语音、短信等业务，而使用Internet实现

E-Mail、Web、即时消息等应用。新兴的 IP融合通信解决方

案，可以将PSTN、移动、Internet等网络分别提供的业务统一

在企业IP网络之上，为企业提供集语音、传真、消息、会议等

业务于一体的通信业务。

H3C OCE(Open Communications Engine)系列信息通信引擎产

品是H3C IP融合通信解决方案的核心部件，旨在为企业构建一

个标准的 IP通信业务平台，对外开放SIP、SOAP、VSAPI、

XML等标准业务接口，方便IP通信业务与企业其他应用系统进

行融合。OCE自身提供了强大的IP-PBX、会议、IM等业务能

力，各业务组件之间通过标准协议配合工作。

H3C OCE系列产品包括三种产品形态：安装在MSR30路由器

上的MIM-OCE插卡，主要定位在小型企业和小型分支；安装在

MSR50路由器上的FIC-OCE插卡，定位于中型企业和中型分

支；独立的OCE 8200服务器，定位在大型企业和行业总部。

产品特点

• 开放式架构

H3C OCE系列产品基于标准的IETF SIP协议，可管理H3C MSR

路由器语音板卡、H3C语音网关、IP电话、软件客户端，也可

管理第三方支持SIP协议的终端设备，包括IP电话、WiFi电话、

SIP软终端等。OCE对外提供丰富的API、SOAP、XML接口，

可以满足IP通信业务与用户OA办公、邮件系统、IP传真系统、

ERP等应用系统的集成。

• 组件化设计

H3C OCE系列产品，采用完全组件化设计，IP-PBX、IP会议、IM

等都是相互独立的软件组件，彼此之间通过标准协议互通。各组

件可以各自独立安装在OCE硬件平台上，互相之间协同工作。也

可以将各组件安装在同一硬件平台之上，提供一体化服务。

OCE硬件有板卡模块形态，可以与H3C网络设备相融合，为客

户提供网络、安全、IP-PBX、会议、IM、语音网关、IP网接入

等多种功能一体化解决方案，非常适合中小型分支或中小企业

用户组网。

• 丰富的语音与呼叫业务

OCE提供的IP PBX系统支持当前业内最丰富的语音呼叫业务，

包括基本呼叫、自动接线员、软件话务台、 IP传真、来电显

示、呼叫转移、呼叫保持、呼叫等待、音乐保持、呼叫代答、

多方通话、多线路、快速拨号、自动接听、呼叫详细记录……

• 简单快捷的即时会议

使用OCE会议组件后，任何用户都可以拨打特定号码随时创建

MSR 30路由器插卡MIM-OCE MSR 50路由器插卡FIC-OCE OCE 8200服务器

语音会议。没有时间限制、召集方便、效率高，已加入会议的

用户可对其他用户的固话、手机等进行主动邀请。

• 自动外呼的预约会议

无需安装特别的客户端软件，使用WEB浏览器，打开会议网

页，就可创建预约式会议。可事先指定会议参与人的电话。当

会议开始时，系统自动呼叫参会者的电话，大大提高了电话会

议召开效率。

• “面对面”的多媒体会议

电话会议，使得参加人能够通过音频了解会议内容，探讨相关

主题。而多媒体会议，在音频的基础上，还可提供电子白板，

桌面共享、文件共享、电子投票、文字消息等多种手段，使得

远程会议效果达到最好，相隔千里，犹如“面对面”。

• 中国特色的企业通讯录

OCE即时消息组件提供了具有中国企业特色的组织架构的企业

通讯录，由管理员统一进行维护，并由服务器下发给客户端使

用。从此企业不需要再频繁制作更新企业号码本，可使用该通

讯录直接与联系人实现通话、会议、消息、短信等方式沟通。

员工还可以维护个人通讯录，由个人创建和管理，以免去保存

大量纸质名片的烦恼。

• 企业内控版即时消息

与娱乐级的即时消息不同，企业级的即时消息系统，集成了企

业通讯录，办公电话，手机短消息，群组等多种适合企业环境

的功能。

• 变腐朽为神奇的点击拨号

员工登录即时消息客户端，并与自己的传统固定话机捆绑，假如

需要与联系人语音通话，只需要在客户端上点击对方相应图标，

系统将自动接通双方的话机，建立呼叫，大大简化了用户查找号

码并拨号的繁琐过程，让固定电话像手机一样智能、便捷。

• 全面WEB管理

OCE三大组件：IP-PBX、Conference、IM等都提供了WEB管理

功能。

OCE系列 > 路由器产品 > 产品介绍

产品介绍 < 路由器产品 < OCE系列

H3C OCE系列开放通信引擎

产品介绍

企业传统通信系统相互割裂，通过PTSN网络提供语音、传

真，使用移动网络提供语音、短信等业务，而使用Internet实现

E-Mail、Web、即时消息等应用。新兴的 IP融合通信解决方

案，可以将PSTN、移动、Internet等网络分别提供的业务统一

在企业IP网络之上，为企业提供集语音、传真、消息、会议等

业务于一体的通信业务。

H3C OCE(Open Communications Engine)系列信息通信引擎产

品是H3C IP融合通信解决方案的核心部件，旨在为企业构建一

个标准的 IP通信业务平台，对外开放SIP、SOAP、VSAPI、

XML等标准业务接口，方便IP通信业务与企业其他应用系统进

行融合。OCE自身提供了强大的IP-PBX、会议、IM等业务能

力，各业务组件之间通过标准协议配合工作。

H3C OCE系列产品包括三种产品形态：安装在MSR30路由器

上的MIM-OCE插卡，主要定位在小型企业和小型分支；安装在

MSR50路由器上的FIC-OCE插卡，定位于中型企业和中型分

支；独立的OCE 8200服务器，定位在大型企业和行业总部。

产品特点

• 开放式架构

H3C OCE系列产品基于标准的IETF SIP协议，可管理H3C MSR

路由器语音板卡、H3C语音网关、IP电话、软件客户端，也可

管理第三方支持SIP协议的终端设备，包括IP电话、WiFi电话、

SIP软终端等。OCE对外提供丰富的API、SOAP、XML接口，

可以满足IP通信业务与用户OA办公、邮件系统、IP传真系统、

ERP等应用系统的集成。

• 组件化设计

H3C OCE系列产品，采用完全组件化设计，IP-PBX、IP会议、IM

等都是相互独立的软件组件，彼此之间通过标准协议互通。各组

件可以各自独立安装在OCE硬件平台上，互相之间协同工作。也

可以将各组件安装在同一硬件平台之上，提供一体化服务。

OCE硬件有板卡模块形态，可以与H3C网络设备相融合，为客

户提供网络、安全、IP-PBX、会议、IM、语音网关、IP网接入

等多种功能一体化解决方案，非常适合中小型分支或中小企业

用户组网。

• 丰富的语音与呼叫业务

OCE提供的IP PBX系统支持当前业内最丰富的语音呼叫业务，

包括基本呼叫、自动接线员、软件话务台、 IP传真、来电显

示、呼叫转移、呼叫保持、呼叫等待、音乐保持、呼叫代答、

多方通话、多线路、快速拨号、自动接听、呼叫详细记录……

• 简单快捷的即时会议

使用OCE会议组件后，任何用户都可以拨打特定号码随时创建

MSR 30路由器插卡MIM-OCE MSR 50路由器插卡FIC-OCE OCE 8200服务器

语音会议。没有时间限制、召集方便、效率高，已加入会议的

用户可对其他用户的固话、手机等进行主动邀请。

• 自动外呼的预约会议

无需安装特别的客户端软件，使用WEB浏览器，打开会议网

页，就可创建预约式会议。可事先指定会议参与人的电话。当

会议开始时，系统自动呼叫参会者的电话，大大提高了电话会

议召开效率。

• “面对面”的多媒体会议

• 中国特色的企业通讯录

OCE即时消息组件提供了具有中国企业特色的组织架构的企业

通讯录，由管理员统一进行维护，并由服务器下发给客户端使

用。从此企业不需要再频繁制作更新企业号码本，可使用该通

讯录直接与联系人实现通话、会议、消息、短信等方式沟通。

员工还可以维护个人通讯录，由个人创建和管理，以免去保存

大量纸质名片的烦恼。

• 企业内控版即时消息

与娱乐级的即时消息不同，企业级的即时消息系统，集成了企

业通讯录，办公电话，手机短消息，群组等多种适合企业环境

的功能。

• 变腐朽为神奇的点击拨号

员工登录即时消息客户端，并与自己的传统固定话机捆绑，假如

• 全面WEB管理

OCE三大组件：IP-PBX、Conference、IM等都提供了WEB管理

功能。

OCE系列 > 路由器产品 > 产品介绍

产品介绍 < 路由器产品 < MSR系列

H3C MSR系列语音网关

产品介绍

H3C MSR多业务开放路由器是杭州华三通信技术有限公司(以

下简称“H3C”)专门面向行业分支机构、大中型企业分支和中小

企业推出的新一代网络产品，该系列设备集数据、语音、安

全、交换和开放式业务于一体，为企业客户提供一个综合和完

整的网络接入解决方案。MSR系列设备在提供高质量数据业务

转发的同时，还提供了强大而灵活的VoIP解决方案，客户可在

单一平台上为其分支机构灵活地部署程控交换机、模拟电话和

IP电话，降低网络运维成本。

MSR路由器通过灵活扩展语音模块的方式提供各种语音接入功

能，该系列设备提供的语音接口卡主要有FXS、FXO、E&M、

BSV和E1等几种类型，在接口密度分布上既支持低密度接口板

卡也有高密度接口板卡，这些接口可直接连接普通电话/传真

机，还可通过ATO及E1等中继连接PBX交换机，当采用E1连接

PBX交换机时，支持R2信令、ISDN PRI接口上的DSS1用户信

令和Q.SIG信令，提供一次拨号/二次拨号服务，极大地提高了

语音接入的接口类型和支持的业务范围。

MSR路由器通过H3C ComwareV5网络操作系统平台实现语音

功能，除支持完善的语音接入功能外，还能提供丰富的语音业

务，如实现呼叫保持、呼叫等待、呼叫前转、呼叫转移、三方

电话会议、SIP本地存活、断电逃生、Centrex改造等PSTN补

充业务。

MSR路由器更可以与H3C OCE开放通信引擎配合，形成丰富

强大的的IP语音整体解决方案，实现IP-PBX、电话会议、即时

消息等业务，为客户提供更多的语音业务体验。

产品特点

基于MSR路由器的高密度语音板卡采用了扩展的、先进的硬件

体系架构，方便地实现了资源和业务的分离，极大地提高了资

源的利用率，保护了用户的投资。

TDM总线和TDM芯片(Time Division Multiplex，时分多路转换)

提供时隙交换功能，可以大大提高了本地话音的接通率和话音

质量，同时减少语音业务对系统总线的资源占用。

数字E1语音方案采用的分离式硬件架构和技术，将一个完整

E1语音模块分离成独立的VPM、VCPM、E1接口卡三个部

分，组件灵活组合和配置，大大提高了接口卡的接入密度和灵

活程度。

高密度的模拟语音接口卡大大提高了设备的语音接入密度和配

置的方便性，另外，支持的断电逃生、FXS与FXO的1:1绑定等

功能提高了应用的可靠性和应用价值。

MSR 50系列 MSR 30系列 MSR 20系列

高密度E1中继模块高密度1：1模块高密度FXS模块

• 丰富的语音业务特性

FXS与FXO接口1:1对应绑定功能

该功能是将FXS模块的接口同FXO模块的接口采用1:1方式进行

绑定，即一个FXS接口对应一个FXO接口。一般情况下，用户

会通过IP网络呼叫通话，当IP网络发生故障时，FXS接口可以

通过绑定的FXO接口，直接使用PSTN线路进行呼叫及建立通

话，这样保证了用户在IP网络故障情况下，仍然能够实现通话

业务。通过FXS与FXO的1:1绑定，具备三个优势：首先是网关

通过PSTN的呼入和呼出时无需改变用户的拨号号码(不需要增

加拨号前缀)；其次是从PSTN拨入到网关的FXO接口的呼叫则

通过TDM交换直接被定位到与之绑定的FXS接口，由于对应的

FXO和FXS接口的摘机状态始终保持一致，因此不会存在FXO

对应的FXS端口被占用而发生PSTN的计费；最后是外线FXO接

口和FXS接口绑定后，一个FXO接口为一个FXS接口专用，FXS

接口在呼叫备份或者出局时不会出现由于FXO接口被占用而打

不通电话的情况。

FXS与FXO的1:1绑定通常应用在对运营商提供的Centrex进行IP

化改造情形。

断电逃生功能

MSR路由器的DFIC-24FXS:24FXO、MIM-8FXS:8FXO和

SIC-2FXS:1FXO语音模块还支持断电逃生功能，即当设备在异

常断电状态下，FXS口下挂的电话机转换为FXO接口电话线供

电，使FXS端口与FXO端口处于连通状态，即使在设备故障或

断电情况下，仍然保证用户摘机能够拨打PSTN电话。

智能拨号路由

VoIP智能拨号路由即默认所有拨号呼叫都使用VOIP网络方式,

一旦VoIP网络中断,网关设备可以选择从本地中继(即本地PSTN

市话)出局,所谓“智能”，即对用户而言,完全不用感知网络情况,

也不用改变任何拨号方式 ,也就是说用户不需要区分是通过

VOIP还是PSTN拨号都采用同样的拨号方式。

SIP语音三方会议

MSR路由器通过模拟语音FXS接口可支持三方的VoIP语音电话

功能,即三方电话会议,不需要部署相关的语音服务器就能实现

小规模的电话会议,具有很强的实用性。

SIP本地存活

SIP本地存活功能是通过系统的ComwareV5操作平台来提供

的。在一般的VoIP语音组网方案中,各分支机构的语音网关通过

WAN链路与总部IP-PBX进行联系,接受总部IP-PBX的呼叫管理,

但是当WAN链路故障导致分支机构设备无法正常与总部IP-PBX

通信时,所有呼叫包括本地呼叫都无法正常进行。MSR路由器

上的SIP本地存活功能很好地解决这个问题,当WAN链路故障时

由本地的一台支持本地存活功能的MSR路由器代替总部的

IP-PBX,承担本地语音设备的呼叫管理功能,保证本地呼叫正常

进行,当WAN链路恢复后,本地呼叫管理功能失效,所有呼叫仍然

由总部IP-PBX管理。可以将SIP本地存活功能认为是一个小型

的IP-PBX,但具备基本的注册管理、呼叫控制、认证鉴权和呼

叫路由管理等功能。

• 严格的国际认证

基于MSR系列路由器的这些语音板卡均符合有关EMC、安规和

环保等方面的国际标准，如CE(欧盟)、UL(北美)、FCC(北

美)安全准入标准。

MSR系列 > 路由器产品 > 产品介绍

产品介绍 < 路由器产品 < MSR系列

H3C MSR系列语音网关

产品介绍

H3C MSR多业务开放路由器是杭州华三通信技术有限公司(以

下简称“H3C”)专门面向行业分支机构、大中型企业分支和中小

企业推出的新一代网络产品，该系列设备集数据、语音、安

全、交换和开放式业务于一体，为企业客户提供一个综合和完

整的网络接入解决方案。MSR系列设备在提供高质量数据业务

转发的同时，还提供了强大而灵活的VoIP解决方案，客户可在

单一平台上为其分支机构灵活地部署程控交换机、模拟电话和

IP电话，降低网络运维成本。

MSR路由器通过灵活扩展语音模块的方式提供各种语音接入功

能，该系列设备提供的语音接口卡主要有FXS、FXO、E&M、

BSV和E1等几种类型，在接口密度分布上既支持低密度接口板

卡也有高密度接口板卡，这些接口可直接连接普通电话/传真

机，还可通过ATO及E1等中继连接PBX交换机，当采用E1连接

PBX交换机时，支持R2信令、ISDN PRI接口上的DSS1用户信

令和Q.SIG信令，提供一次拨号/二次拨号服务，极大地提高了

语音接入的接口类型和支持的业务范围。

MSR路由器通过H3C ComwareV5网络操作系统平台实现语音

功能，除支持完善的语音接入功能外，还能提供丰富的语音业

务，如实现呼叫保持、呼叫等待、呼叫前转、呼叫转移、三方

电话会议、SIP本地存活、断电逃生、Centrex改造等PSTN补

充业务。

MSR路由器更可以与H3C OCE开放通信引擎配合，形成丰富

强大的的IP语音整体解决方案，实现IP-PBX、电话会议、即时

消息等业务，为客户提供更多的语音业务体验。

产品特点

基于MSR路由器的高密度语音板卡采用了扩展的、先进的硬件

体系架构，方便地实现了资源和业务的分离，极大地提高了资

源的利用率，保护了用户的投资。

TDM总线和TDM芯片(Time Division Multiplex，时分多路转换)

提供时隙交换功能，可以大大提高了本地话音的接通率和话音

质量，同时减少语音业务对系统总线的资源占用。

数字E1语音方案采用的分离式硬件架构和技术，将一个完整

E1语音模块分离成独立的VPM、VCPM、E1接口卡三个部

分，组件灵活组合和配置，大大提高了接口卡的接入密度和灵

活程度。

高密度的模拟语音接口卡大大提高了设备的语音接入密度和配

置的方便性，另外，支持的断电逃生、FXS与FXO的1:1绑定等

功能提高了应用的可靠性和应用价值。

MSR 50系列 MSR 30系列 MSR 20系列

高密度E1中继模块高密度1：1模块高密度FXS模块

• 丰富的语音业务特性

FXS与FXO接口1:1对应绑定功能

该功能是将FXS模块的接口同FXO模块的接口采用1:1方式进行

绑定，即一个FXS接口对应一个FXO接口。一般情况下，用户

会通过IP网络呼叫通话，当IP网络发生故障时，FXS接口可以

通过绑定的FXO接口，直接使用PSTN线路进行呼叫及建立通

话，这样保证了用户在IP网络故障情况下，仍然能够实现通话

业务。通过FXS与FXO的1:1绑定，具备三个优势：首先是网关

通过PSTN的呼入和呼出时无需改变用户的拨号号码(不需要增

加拨号前缀)；其次是从PSTN拨入到网关的FXO接口的呼叫则

通过TDM交换直接被定位到与之绑定的FXS接口，由于对应的

FXO和FXS接口的摘机状态始终保持一致，因此不会存在FXO

对应的FXS端口被占用而发生PSTN的计费；最后是外线FXO接

口和FXS接口绑定后，一个FXO接口为一个FXS接口专用，FXS

接口在呼叫备份或者出局时不会出现由于FXO接口被占用而打

不通电话的情况。

FXS与FXO的1:1绑定通常应用在对运营商提供的Centrex进行IP

化改造情形。

断电逃生功能

MSR路由器的DFIC-24FXS:24FXO、MIM-8FXS:8FXO和

SIC-2FXS:1FXO语音模块还支持断电逃生功能，即当设备在异

常断电状态下，FXS口下挂的电话机转换为FXO接口电话线供

电，使FXS端口与FXO端口处于连通状态，即使在设备故障或

断电情况下，仍然保证用户摘机能够拨打PSTN电话。

智能拨号路由

VoIP智能拨号路由即默认所有拨号呼叫都使用VOIP网络方式,

一旦VoIP网络中断,网关设备可以选择从本地中继(即本地PSTN

市话)出局,所谓“智能”，即对用户而言,完全不用感知网络情况,

也不用改变任何拨号方式 ,也就是说用户不需要区分是通过

VOIP还是PSTN拨号都采用同样的拨号方式。

SIP语音三方会议

MSR路由器通过模拟语音FXS接口可支持三方的VoIP语音电话

功能,即三方电话会议,不需要部署相关的语音服务器就能实现

小规模的电话会议,具有很强的实用性。

SIP本地存活

SIP本地存活功能是通过系统的ComwareV5操作平台来提供

的。在一般的VoIP语音组网方案中,各分支机构的语音网关通过

WAN链路与总部IP-PBX进行联系,接受总部IP-PBX的呼叫管理,

但是当WAN链路故障导致分支机构设备无法正常与总部IP-PBX

通信时,所有呼叫包括本地呼叫都无法正常进行。MSR路由器

上的SIP本地存活功能很好地解决这个问题,当WAN链路故障时

由本地的一台支持本地存活功能的MSR路由器代替总部的

IP-PBX,承担本地语音设备的呼叫管理功能,保证本地呼叫正常

进行,当WAN链路恢复后,本地呼叫管理功能失效,所有呼叫仍然

由总部IP-PBX管理。可以将SIP本地存活功能认为是一个小型

的IP-PBX,但具备基本的注册管理、呼叫控制、认证鉴权和呼

叫路由管理等功能。

• 严格的国际认证

基于MSR系列路由器的这些语音板卡均符合有关EMC、安规和

环保等方面的国际标准，如CE(欧盟)、UL(北美)、FCC(北

美)安全准入标准。

MSR系列 > 路由器产品 > 产品介绍

产品介绍 < 路由器产品 < EPhone系列

H3C EPhone系列IP话机

产品介绍

H3C EPhone系列IP电话(以下简称EP)是满足行业和企业用户

需求的 IP网络宽带电话。支持SIP协议、PoE特性，支持

G.711、G.729、G.722等丰富的编解码方式，提供高质量的语

音通话。话机外观典雅大方、功能丰富实用，配合OCE系列语

音服务器，为用户提供精彩的VoIP体验。

产品特点

• 多线路

支持同时有多个电话呼入呼出，可以在不同电话之间进行切

换，支持同时2路语音处理。

• 呼叫特性

自动接听(有来电时自动转入免提模式)、免打扰、呼叫前

转、呼叫待答、呼叫保持、呼叫挂起、呼叫保持、三方通话

等功能。

• FEATURE功能

提供一组已定义的FEATURE功能代码，用于快速试点某个功

能，如查看话机IP地址、或者设置免打扰等。

• PC共享上网

EP采用双网口设计模式，一个网口用来上行接入局域网；另一

个网口用来连接PC，PC可以通过话机桥接接入局域网。

• VLAN功能

话机网口支持VLAN(Virtual Local Area Network，虚拟局域

网)，用户划分VLAN，实现网络二层隔离。

• 语言切换

支持中文、英文两种语言显示。

• PoE(Power over Ethernet，以太网供电)

通过网线供电，无需外接专用电源(所连以太网接入设备需要

支持以太网受电功能)。EP的LAN口支持以太网受电功能。

• 自动时间设置

时间、时区由服务器自动下发，无需设置。

• 可编程快捷键

话机右侧提供6个可编程快捷键，可以用于实现多线路切换和

定义快速拨号号码。

• 从语音信箱接收语音邮件

可以通过按屏幕上的“邮箱”软键，摘机，然后按照语音提示接

收，或者通过拨打语音接入号接收。

• 电话簿

在待机状态，按“电话簿”软键，选择全局电话薄或局部电话

簿，进入相应电话簿。使用上下键可以上下逐条滚动查看电话

簿，使用左右键可以上下翻页查看电话簿。

H3C EPhone 3012 IP电话

H3C交换机产品线介绍

在以太网领域，经历多年的耕耘和发展，H3C拥有大量业界领

先的知识产权和专利，可提供从盒式到箱式，从百兆到万兆，

从L2到L4/7，从IPv4到IPv6，从接入到核心，从企业网络到数

据中心，业界覆盖最全的以太网交换机产品。所有产品均全部

通过中国工业和信息化部、Tolly Group、MetroEthernet论坛以

及IPv6 Ready等权威部门的测试和认证，其中最具代表性的高

端产品S9500系列核心路由交换机获得了107项Tolly认证，是

Tolly Group为一类交换机颁发认证最多的一次。H3C凭借丰富

的产品系列和深厚的技术积累，成为唯一能够提供千兆到桌

面、IPv6全网解决方案、虚拟园区网、数据中心网络、以太城

域网的国内厂商。

在中国交换机市场，H3C自2003年公司成立以来，已累计出货

过百万台，拥有良好的口碑、完善的售后服务和认证计划，已

经成为国内交换机市场的首选品牌，依据IDC 2007年中国以太

网交换机市场研究年度报告，H3C在端口数市场份额排名第

一。H3C也不断开拓国际市场，先后承建了TELEFONICA、西

班牙JAZZTEL Triple Play承载城域网、日本新生银行和泰国宋

卡太子大学校园网的骨干网络；同时和国际上知名通信公司建

立战略合作联盟，为华为、3Com、NEC等客户提供定制化的

以太网产品，已经规模销售到欧洲、日本、北美地区，H3C以

太网交换机已成为全球信息化建设的一支生力军。

核心路由交换机

S7500E

S5100SI/EI S5500SI/EI(-PWR) S5510 S5600

S3100SI/EI

S1000/1200 S1500/L/E S2100 S5000P/E

S3600SI/EI(-PWR) S3610 E系列

全千兆智能交换机

智能二层/三层交换机

SMB交换机

交换机产品 > 产品介绍

产品介绍 < 路由器产品 < EPhone系列

H3C EPhone系列IP话机

产品介绍

H3C EPhone系列IP电话(以下简称EP)是满足行业和企业用户

需求的 IP网络宽带电话。支持SIP协议、PoE特性，支持

G.711、G.729、G.722等丰富的编解码方式，提供高质量的语

音通话。话机外观典雅大方、功能丰富实用，配合OCE系列语

音服务器，为用户提供精彩的VoIP体验。

产品特点

• 多线路

支持同时有多个电话呼入呼出，可以在不同电话之间进行切

换，支持同时2路语音处理。

• 呼叫特性

自动接听(有来电时自动转入免提模式)、免打扰、呼叫前

转、呼叫待答、呼叫保持、呼叫挂起、呼叫保持、三方通话

等功能。

• FEATURE功能

提供一组已定义的FEATURE功能代码，用于快速试点某个功

能，如查看话机IP地址、或者设置免打扰等。

• PC共享上网

EP采用双网口设计模式，一个网口用来上行接入局域网；另一

个网口用来连接PC，PC可以通过话机桥接接入局域网。

• VLAN功能

话机网口支持VLAN(Virtual Local Area Network，虚拟局域

网)，用户划分VLAN，实现网络二层隔离。

• 语言切换

支持中文、英文两种语言显示。

• PoE(Power over Ethernet，以太网供电)

通过网线供电，无需外接专用电源(所连以太网接入设备需要

支持以太网受电功能)。EP的LAN口支持以太网受电功能。

• 自动时间设置

时间、时区由服务器自动下发，无需设置。

• 可编程快捷键

话机右侧提供6个可编程快捷键，可以用于实现多线路切换和

定义快速拨号号码。

• 从语音信箱接收语音邮件

可以通过按屏幕上的“邮箱”软键，摘机，然后按照语音提示接

收，或者通过拨打语音接入号接收。

• 电话簿

在待机状态，按“电话簿”软键，选择全局电话薄或局部电话

簿，进入相应电话簿。使用上下键可以上下逐条滚动查看电话

簿，使用左右键可以上下翻页查看电话簿。

H3C EPhone 3012 IP电话

H3C交换机产品线介绍

在以太网领域，经历多年的耕耘和发展，H3C拥有大量业界领

先的知识产权和专利，可提供从盒式到箱式，从百兆到万兆，

从L2到L4/7，从IPv4到IPv6，从接入到核心，从企业网络到数

据中心，业界覆盖最全的以太网交换机产品。所有产品均全部

通过中国工业和信息化部、Tolly Group、MetroEthernet论坛以

及IPv6 Ready等权威部门的测试和认证，其中最具代表性的高

端产品S9500系列核心路由交换机获得了107项Tolly认证，是

Tolly Group为一类交换机颁发认证最多的一次。H3C凭借丰富

的产品系列和深厚的技术积累，成为唯一能够提供千兆到桌

面、IPv6全网解决方案、虚拟园区网、数据中心网络、以太城

域网的国内厂商。

在中国交换机市场，H3C自2003年公司成立以来，已累计出货

过百万台，拥有良好的口碑、完善的售后服务和认证计划，已

经成为国内交换机市场的首选品牌，依据IDC 2007年中国以太

网交换机市场研究年度报告，H3C在端口数市场份额排名第

一。H3C也不断开拓国际市场，先后承建了TELEFONICA、西

班牙JAZZTEL Triple Play承载城域网、日本新生银行和泰国宋

卡太子大学校园网的骨干网络；同时和国际上知名通信公司建

立战略合作联盟，为华为、3Com、NEC等客户提供定制化的

以太网产品，已经规模销售到欧洲、日本、北美地区，H3C以

太网交换机已成为全球信息化建设的一支生力军。

核心路由交换机

S7500E

S5100SI/EI S5500SI/EI(-PWR) S5510 S5600

S3100SI/EI

S1000/1200 S1500/L/E S2100 S5000P/E

S3600SI/EI(-PWR) S3610 E系列

全千兆智能交换机

智能二层/三层交换机

SMB交换机

交换机产品 > 产品介绍

产品介绍 < 交换机产品 < S9500

H3C S9500系列万兆核心路由交换机

产品介绍

H3C S9500系列是全球业务最丰富的万兆核心路由交换机，

S9500系列基于OAA开放应用式架构，在提供1.44T交换容

量、857Mpps包转发能力的基础上，进一步融合了无线接

入、网络安全、网络业务分析等特性，可为用户构建融合业务

的智能应用网络平台，进而帮助用户实现IT资源整合的需求。

H3C S9500系列交换机目前包括S9505(7槽)、S9508(10槽)、

S9508V(垂直10槽)和S9512(14槽)4款产品，可广泛的适用于

各行业的IP城域网核心和汇聚、大中型园区网核心和汇聚、大

型企业网核心、企业数据中心等场所。

产品特点

• 多业务支持和扩展能力

H3C S9500系列可提供丰富的业务特性，满足不同用户多样化

的应用需求，可提供POE远程供电、QinQ/灵活QinQ业务特性、

MPLS 业务特性、MPLS L2/L3 VPN业务特性、IPv6业务特性。

支持OAA(开放应用架构)架构，H3C S9500系列可以持续满足

用户不断发展的多业务需求，大大降低用户系统建设的总体拥

有成本。目前已经可以提供无线控制器模块、防火墙模块、网

络流量分析模块、多实例NAT模块、流量清洗模块、ACG模

块、SSL VPN模块、防DDOS模块、IPS模块。

• 电信级的高可靠性

S9500系列的背板为无源背板设计，所有关键部件，包括主控

板、交换网、电源、风扇都是冗余热备份，关键模块支持热插

拔，实现了设备电信级可靠性。

支持RPR实现50ms的环网链路保护，支持基于IPv4/IPv6的IGP

路由协议的优雅重启，在双引擎切换过程中确保了业务转发的

持续性。支持热补丁技术，实现业务无中断升级。

• 基于ASIC的高性能业务

H3C S9500系列提供业界领先的交换能力，最高可提供

1.44Tbps的交换容量，实现576个千兆或48个万兆端口的线速

转发，二、三层包转发能力高达857Mpps。

支持分布式的IPv4、IPv6和MPLS业务处理，在部署QOS和

ACL同时，可线速完成各种业务报文的处理，不存在集中式处

理的瓶颈。

• 融合的网络安全特性

H3C S9500系列采用“最长匹配、逐包转发”模式，能够有效抵

御类似红色代码的网络病毒攻击；支持STP协议攻击保护、路

由协议攻击保护，保证了网络拓扑和路由的稳定性；可防止

ARP欺骗攻击、MAC/IP地址欺骗攻击等欺骗类攻击；防止ARP

泛洪攻击、地址扫描攻击、SYN Flooding、Land等DOS/DDOS

攻击。

通过选配的集成安全模块，包括防火墙模块、防DDOS模块、

IPS模块、SSL VPN模块、流量清洗模块、ACG模块，S9500系

列交换机可根据用户多样化的安全需求，提供灵活的安全防护

解决方案。

S9505 S9508 S9508V S9512

S7500E > 交换机产品 > 产品介绍

产品介绍

H3C S7500E系列产品是杭州华三通信技术有限公司(以下简

称H3C公司)面向融合业务网络推出的新一代高端多业务路由

交换机，该产品基于H3C自主知识产权的Comware V5操作系

统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多

种业务，提供不间断转发、优雅重启、环网保护等多种高可靠

技术，在提高用户生产效率的同时，保证了网络最大正常运行

时间，从而降低了客户的总拥有成本(TCO)。H3C S7500E符

合“限制电子设备有害物质标准(RoHS)”，是绿色环保的路由

交换机。

H3C S7500E系列包括S7510E(12槽)、S7506E(8槽)、S7506E-V

(垂直8槽)、S7503E(5槽)、7503E-S(3槽)和S7502E(4槽)6

款产品，除了7503E-S所有产品均支持冗余主控。H3C

S7500E可广泛应用于城域网汇聚和边缘、园区网核心和汇聚

以及配线间等多种网络环境，为用户提供了有线无线一体化、

有源无源一体化的行业解决方案。

产品特点

• 丰富的业务，适应融合业务网络发展趋势

全面的MPLS业务能力

H3C S7500E所有产品均支持Multi-VRF特性，可以作为MCE设

备使用；支持三层的MPLS VPN和二层的MPLS VPN(Martini、

Kompella)，可扩展支持VPLS技术；支持MPLS OAM特性，方

便用户的管理和维护；与H3C MPLS VPN Manager配合，实现

图形化的MPLS部署与维护。

线速的IPv4/IPv6业务能力

H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持

IPv4/IPv6的组播技术，为用户提供完善的 IPv4/IPv6解决方

案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的

线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6

入网认证和IPv6 Ready第二阶段金色认证，是成熟商用的IPv6

产品。

H3C S7500E系列高端多业务路由交换机

S7500E系列

H3C S9500系列万兆核心路由交换机

产品介绍

H3C S9500系列是全球业务最丰富的万兆核心路由交换机，

S9500系列基于OAA开放应用式架构，在提供1.44T交换容

量、857Mpps包转发能力的基础上，进一步融合了无线接

入、网络安全、网络业务分析等特性，可为用户构建融合业务

的智能应用网络平台，进而帮助用户实现IT资源整合的需求。

H3C S9500系列交换机目前包括S9505(7槽)、S9508(10槽)、

S9508V(垂直10槽)和S9512(14槽)4款产品，可广泛的适用于

各行业的IP城域网核心和汇聚、大中型园区网核心和汇聚、大

型企业网核心、企业数据中心等场所。

产品特点

• 多业务支持和扩展能力

H3C S9500系列可提供丰富的业务特性，满足不同用户多样化

的应用需求，可提供POE远程供电、QinQ/灵活QinQ业务特性、

MPLS 业务特性、MPLS L2/L3 VPN业务特性、IPv6业务特性。

支持OAA(开放应用架构)架构，H3C S9500系列可以持续满足

用户不断发展的多业务需求，大大降低用户系统建设的总体拥

有成本。目前已经可以提供无线控制器模块、防火墙模块、网

络流量分析模块、多实例NAT模块、流量清洗模块、ACG模

块、SSL VPN模块、防DDOS模块、IPS模块。

• 电信级的高可靠性

S9500系列的背板为无源背板设计，所有关键部件，包括主控

板、交换网、电源、风扇都是冗余热备份，关键模块支持热插

拔，实现了设备电信级可靠性。

支持RPR实现50ms的环网链路保护，支持基于IPv4/IPv6的IGP

路由协议的优雅重启，在双引擎切换过程中确保了业务转发的

持续性。支持热补丁技术，实现业务无中断升级。

• 基于ASIC的高性能业务

H3C S9500系列提供业界领先的交换能力，最高可提供

1.44Tbps的交换容量，实现576个千兆或48个万兆端口的线速

转发，二、三层包转发能力高达857Mpps。

支持分布式的IPv4、IPv6和MPLS业务处理，在部署QOS和

ACL同时，可线速完成各种业务报文的处理，不存在集中式处

理的瓶颈。

• 融合的网络安全特性

H3C S9500系列采用“最长匹配、逐包转发”模式，能够有效抵

御类似红色代码的网络病毒攻击；支持STP协议攻击保护、路

由协议攻击保护，保证了网络拓扑和路由的稳定性；可防止

ARP欺骗攻击、MAC/IP地址欺骗攻击等欺骗类攻击；防止ARP

泛洪攻击、地址扫描攻击、SYN Flooding、Land等DOS/DDOS

攻击。

通过选配的集成安全模块，包括防火墙模块、防DDOS模块、

IPS模块、SSL VPN模块、流量清洗模块、ACG模块，S9500系

列交换机可根据用户多样化的安全需求，提供灵活的安全防护

解决方案。

S9505 S9508 S9508V S9512

产品介绍

H3C S7500E系列产品是杭州华三通信技术有限公司(以下简

称H3C公司)面向融合业务网络推出的新一代高端多业务路由

交换机，该产品基于H3C自主知识产权的Comware V5操作系

统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多

种业务，提供不间断转发、优雅重启、环网保护等多种高可靠

技术，在提高用户生产效率的同时，保证了网络最大正常运行

时间，从而降低了客户的总拥有成本(TCO)。H3C S7500E符

合“限制电子设备有害物质标准(RoHS)”，是绿色环保的路由

交换机。

H3C S7500E系列包括S7510E(12槽)、S7506E(8槽)、S7506E-V

(垂直8槽)、S7503E(5槽)、7503E-S(3槽)和S7502E(4槽)6

款产品，除了7503E-S所有产品均支持冗余主控。H3C

S7500E可广泛应用于城域网汇聚和边缘、园区网核心和汇聚

以及配线间等多种网络环境，为用户提供了有线无线一体化、

有源无源一体化的行业解决方案。

产品特点

• 丰富的业务，适应融合业务网络发展趋势

全面的MPLS业务能力

H3C S7500E所有产品均支持Multi-VRF特性，可以作为MCE设

备使用；支持三层的MPLS VPN和二层的MPLS VPN(Martini、

Kompella)，可扩展支持VPLS技术；支持MPLS OAM特性，方

便用户的管理和维护；与H3C MPLS VPN Manager配合，实现

图形化的MPLS部署与维护。

线速的IPv4/IPv6业务能力

H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持

IPv4/IPv6的组播技术，为用户提供完善的 IPv4/IPv6解决方

案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的

线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6

入网认证和IPv6 Ready第二阶段金色认证，是成熟商用的IPv6

产品。

H3C S7500E系列高端多业务路由交换机

S7500E系列

有线无线一体化，有源无源一体化

H3C S7500E集成的无线控制模块提供丰富的业务能力，包括

精细的用户控制管理、完善的RF管理及安全机制、快速漫游、

超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略

服务器的联动，实现对无线接入用户的端点准入防御，提高了

整网的安全性。

H3C S7500E是业界最高密度的以太网无源光网络（EPON）设

备，单台最大可接入10240个FTTH用户；H3C S7500E是高可

靠的EPON系统，采用分布式体系结构、模块化设计，主控板

冗余热备份、无源背板、冗余电源支持双路供电，具有电信级

可靠性。

支持Portal认证

H3C S7500E支持大容量的Portal认证功能，可以在数千用户的

局域网中做为EAD网关设备，为全网用户提供EAD安全认证功

能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学

生宿舍区的认证计费提供Portal认证功能。

• 灵活的配置，适应各种应用场景

配线间融合业务网络的最佳选择

H3C S7500E针对配线间的需求定制开发了SA板卡，单台设备

可以提供480个千兆线速接口和4个万兆线速接口。H3C

S7500E支持端点准入防御解决方案，解决终端安全问题；内

置2800W电源直接提供PoE功能，对IP语音和无线接入提供良

好的支持。

政府电力城域网边缘和汇聚的最佳选择

H3C S7500E支持Multi-VRF特性，为用户提供高可靠高性能的

MCE设备；通过配置Salience VI-Turbo引擎，可以提供集中式

MPLS业务功能，适合在城域网边缘作为高性价PE设备使用；

通过配置EA类板卡，可以提供分布式线速的MPLS业务功能，

适合在城域网汇聚层作为高性能的PE使用。

IPv6网络的最佳选择

H3C S7500E所有Salience VI引擎都可以提供集中式IPv6功能，

H3C S7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4

/IPv6转发的SC板卡，在整机满配置状态下实现线速无收敛，

为高校用户提供了高性能低成本的双栈汇聚核心设备，同时也

满足其他行业用户IPv6 Ready的需求。

• 全方位的安全保障，抵御多种网络安全威胁

三平面安全保障机制

H3C S7500E提供完善的安全防护机制，可从控制、管理、转发

三平面全面保障网络的安全：在控制平面，内置协议报文攻击

识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS

路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫

痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、

AAA/Radius的用户身份认证以及分级的用户权限管理保证了设

备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口

等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法

流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的

攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗

等模块，将专业的安全融入到交换机之中。

有线无线全面支持EAD

H3C S7500E是终端准入控制解决方案(EAD)的重要组成部分，

S7500E可以动态的接收来自安全策略服务器的控制策略，根

据终端的安全状态给予下发相应的访问权限。H3C S7500E既

支持有线终端用户的EAD，也支持无线终端用户的EAD，能够

做到终端安全防范无漏洞。

增强的ACL特性

H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展

ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；

支持出方向和入方向的ACL，每板最大可支持9K条ACL，满足

金融等行业访问权限严格控制的需求。

• 电信级的高可靠性，保障用户业务长期稳定运行

电信级高可靠性设计

H3C S7500E采用无单点故障设计，所有关键部件，如主控板、

交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出

现单点故障；所有单板和电源模块支持热插拔功能；H3C

S7500E系列可以在恶劣的环境下长时间稳定运行，达到

99.999％的电信级可靠性。

多业务高可靠性运行

H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换

时间；支持等价路由，可帮助用户建立多条等值路径，实现流

量的负载均衡及冗余备份；支持RRPP快速环网保护协议，提

供小于200ms的环网故障保护；支持Smart-Link协议，保证双

上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C

S7500E可以在承载多业务的情况下不间断运行，实现业务的

永续。

支持热补丁技术

H3C S7500E能够在不重启设备的前提下，通过热补丁技术，

在线修改软件BUG，增加新的业务特性。H3C S7500E提供控

制补丁单元状态切换的用户命令，使用户能够方便的加载、激

活、去激活、运行或删除补丁单元。通过热补丁技术，降低了

设备需要重启的次数，为客户提供更长的网络正常工作时间。

有线无线一体化，有源无源一体化

H3C S7500E集成的无线控制模块提供丰富的业务能力，包括

超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略

服务器的联动，实现对无线接入用户的端点准入防御，提高了

整网的安全性。

H3C S7500E是业界最高密度的以太网无源光网络（EPON）设

备，单台最大可接入10240个FTTH用户；H3C S7500E是高可

靠的EPON系统，采用分布式体系结构、模块化设计，主控板

冗余热备份、无源背板、冗余电源支持双路供电，具有电信级

可靠性。

支持Portal认证

H3C S7500E支持大容量的Portal认证功能，可以在数千用户的

局域网中做为EAD网关设备，为全网用户提供EAD安全认证功

能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学

生宿舍区的认证计费提供Portal认证功能。

• 灵活的配置，适应各种应用场景

配线间融合业务网络的最佳选择

H3C S7500E针对配线间的需求定制开发了SA板卡，单台设备

可以提供480个千兆线速接口和4个万兆线速接口。H3C

S7500E支持端点准入防御解决方案，解决终端安全问题；内

置2800W电源直接提供PoE功能，对IP语音和无线接入提供良

好的支持。

政府电力城域网边缘和汇聚的最佳选择

H3C S7500E支持Multi-VRF特性，为用户提供高可靠高性能的

MCE设备；通过配置Salience VI-Turbo引擎，可以提供集中式

MPLS业务功能，适合在城域网边缘作为高性价PE设备使用；

通过配置EA类板卡，可以提供分布式线速的MPLS业务功能，

适合在城域网汇聚层作为高性能的PE使用。

IPv6网络的最佳选择

H3C S7500E所有Salience VI引擎都可以提供集中式IPv6功能，

H3C S7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4

/IPv6转发的SC板卡，在整机满配置状态下实现线速无收敛，

为高校用户提供了高性能低成本的双栈汇聚核心设备，同时也

满足其他行业用户IPv6 Ready的需求。

• 全方位的安全保障，抵御多种网络安全威胁

三平面安全保障机制

H3C S7500E提供完善的安全防护机制，可从控制、管理、转发

三平面全面保障网络的安全：在控制平面，内置协议报文攻击

识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS

路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫

痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、

AAA/Radius的用户身份认证以及分级的用户权限管理保证了设

备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口

等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法

流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的

攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗

等模块，将专业的安全融入到交换机之中。

有线无线全面支持EAD

H3C S7500E是终端准入控制解决方案(EAD)的重要组成部分，

S7500E可以动态的接收来自安全策略服务器的控制策略，根

据终端的安全状态给予下发相应的访问权限。H3C S7500E既

支持有线终端用户的EAD，也支持无线终端用户的EAD，能够

做到终端安全防范无漏洞。

增强的ACL特性

H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展

ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；

支持出方向和入方向的ACL，每板最大可支持9K条ACL，满足

金融等行业访问权限严格控制的需求。

• 电信级的高可靠性，保障用户业务长期稳定运行

电信级高可靠性设计

H3C S7500E采用无单点故障设计，所有关键部件，如主控板、

交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出

现单点故障；所有单板和电源模块支持热插拔功能；H3C

S7500E系列可以在恶劣的环境下长时间稳定运行，达到

99.999％的电信级可靠性。

多业务高可靠性运行

H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换

时间；支持等价路由，可帮助用户建立多条等值路径，实现流

量的负载均衡及冗余备份；支持RRPP快速环网保护协议，提

供小于200ms的环网故障保护；支持Smart-Link协议，保证双

上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C

S7500E可以在承载多业务的情况下不间断运行，实现业务的

永续。

支持热补丁技术

H3C S7500E能够在不重启设备的前提下，通过热补丁技术，

在线修改软件BUG，增加新的业务特性。H3C S7500E提供控

制补丁单元状态切换的用户命令，使用户能够方便的加载、激

活、去激活、运行或删除补丁单元。通过热补丁技术，降低了

设备需要重启的次数，为客户提供更长的网络正常工作时间。

产品介绍 < 交换机产品 < 千兆交换机百兆交换机> 交换机产品 > 产品介绍

H3C千兆交换机系列

产品介绍

• 增强型多业务万兆交换机

• 24/48*10/100/1000Base-T＋

4Combo SFP＋2个扩展槽(最多

支持4个10G端口)

• 支持IPv4/IPv6双栈

产品特点

S5500-EI系列

• 标准型多业务万兆交换机

• 24/48*10/100/1000Base-T＋

4Combo SFP＋2 个扩展槽（最

多支持4个10G端口）

S5500-SI系列

• 智能弹性交换机

• 24/48*10/100/1000Base-T＋

支持2个10G端口）

• 支持IRF堆叠

S5600系列

• 增强型智能安全交换机

• 16/24/48*10/100/1000Base-T

＋4Combo SFP

S5100P-EI系列

S5100C-EI系列

S5100-SI系列

• 24/48*10/100/1000Base-T＋

4Combo SFP＋2 个扩展槽（最多

• 千兆安全接入主打产品

• 8/16/24/48*10/100/1000Base-T

＋2/4Combo SFP

• 全千兆多协议交换机

• 24*10/100/1000Base-T

光/电＋4Combo SFP

S5510系列

产品介绍

H3C百兆交换机，包括S3610、S3600、S3100三大系列，其

中S3610系列支持IPv4/IPv6双栈，S3600按照动态路由和组播

的支持情况分为S3600-EI和S3600-SI两个子系列，S3100按照

安全特性的丰富程度可以分为S3100-EI和S3100-SI。作为网络

边缘设备，H3C百兆交换机除了高性能以外，还具备良好的安

全特性和适用性。

H3C百兆交换机支持终端准入控制解决方案(EAD)，可以从网

络终端入手，强制实施企业安全策略，从而加强网络终端的主

动防御能力；还支持抵御ARP欺骗等网络上日趋盛行的攻击，

将网络威胁拒之门外。

H3C S3600系列支持IRF(智能弹性架构)专利技术，集DDM(分

布设备管理)、DRR(分布冗余路由)、DLA(分布链路聚合)三

大组件与一身，为用户提供高可用性、高可扩展性和高可靠性

的网络边缘。H3C S3100系列采用无风扇静音设计，非常适合

办公环境的使用。

H3C千兆交换机，包括S5600、S5510、S5500、S5100四大系

列，具有产品型号丰富、性价比高、支持全线速转发、安全智

能、组播优化和支持IPv6等六大特点。无论是在对高可靠性、

全线速转发和组播优化有严格要求的数据中心，还是在对QoS

策略部署、安全访问控制和抵抗攻击等特性有较高要求的边缘

接入应用中，均可以找到一款适合于自己的产品。此外S5000

系列千兆交换机具有“近似百兆价格，享受千兆带宽” 的特点，

可以广泛的应用在中小型企业网络和大中型企业的分支机构

中，使客户充分享受“千兆到桌面”所带来的快乐。

H3C百兆交换机系列

产品特点

• 千兆多协议交换机

• 24/48*10/100Base-Tx+4千兆电

口或SFP端口

S3610 系列

• 增强型智能弹性交换机

• 支持静态路由、RIP、OSPF

• 支持IRF智能堆叠技术

• 24/48*10/100Base-Tx+4千兆电

口或SFP端口

S3600-EI系列

• 标准型智能弹性交换机

• 支持静态路由、RIP

• 24/48*10/100Base-Tx+4千兆电

口或SFP端口

S3600-SI系列

• 增强型安全易用交换机

• 支持ACL、防ARP攻击

• 16/24/48*10/100Base-Tx+2千

兆电口或SFP端口

S3100-EI系列

• 标准型安全易用交换机

• 无风扇静音设计

• 8/16/24/48*10/100Base-Tx+2

千兆电口、SFP端口或扩展插槽

S3100-SI系列

产品介绍 < 交换机产品 < 千兆交换机百兆交换机> 交换机产品 > 产品介绍

H3C千兆交换机系列

产品介绍

• 增强型多业务万兆交换机

• 24/48*10/100/1000Base-T＋

支持4个10G端口)

产品特点

S5500-EI系列

• 标准型多业务万兆交换机

• 24/48*10/100/1000Base-T＋

4Combo SFP＋2 个扩展槽（最

多支持4个10G端口）

S5500-SI系列

• 智能弹性交换机

• 24/48*10/100/1000Base-T＋

• 支持IRF堆叠

S5600系列

• 16/24/48*10/100/1000Base-T

＋4Combo SFP

S5100P-EI系列

S5100C-EI系列

S5100-SI系列

• 24/48*10/100/1000Base-T＋

4Combo SFP＋2 个扩展槽（最多

• 千兆安全接入主打产品

• 8/16/24/48*10/100/1000Base-T

＋2/4Combo SFP

• 全千兆多协议交换机

• 24*10/100/1000Base-T

光/电＋4Combo SFP

S5510系列

产品介绍

H3C百兆交换机，包括S3610、S3600、S3100三大系列，其

中S3610系列支持IPv4/IPv6双栈，S3600按照动态路由和组播

的支持情况分为S3600-EI和S3600-SI两个子系列，S3100按照

安全特性的丰富程度可以分为S3100-EI和S3100-SI。作为网络

边缘设备，H3C百兆交换机除了高性能以外，还具备良好的安

全特性和适用性。

H3C百兆交换机支持终端准入控制解决方案(EAD)，可以从网

络终端入手，强制实施企业安全策略，从而加强网络终端的主

动防御能力；还支持抵御ARP欺骗等网络上日趋盛行的攻击，

将网络威胁拒之门外。

H3C S3600系列支持IRF(智能弹性架构)专利技术，集DDM(分

布设备管理)、DRR(分布冗余路由)、DLA(分布链路聚合)三

大组件与一身，为用户提供高可用性、高可扩展性和高可靠性

的网络边缘。H3C S3100系列采用无风扇静音设计，非常适合

办公环境的使用。

H3C千兆交换机，包括S5600、S5510、S5500、S5100四大系

列，具有产品型号丰富、性价比高、支持全线速转发、安全智

能、组播优化和支持IPv6等六大特点。无论是在对高可靠性、

全线速转发和组播优化有严格要求的数据中心，还是在对QoS

策略部署、安全访问控制和抵抗攻击等特性有较高要求的边缘

接入应用中，均可以找到一款适合于自己的产品。此外S5000

系列千兆交换机具有“近似百兆价格，享受千兆带宽” 的特点，

可以广泛的应用在中小型企业网络和大中型企业的分支机构

中，使客户充分享受“千兆到桌面”所带来的快乐。

H3C百兆交换机系列

产品特点

• 千兆多协议交换机

• 24/48*10/100Base-Tx+4千兆电

口或SFP端口

S3610 系列

• 增强型智能弹性交换机

• 支持静态路由、RIP、OSPF

• 24/48*10/100Base-Tx+4千兆电

口或SFP端口

S3600-EI系列

• 标准型智能弹性交换机

• 24/48*10/100Base-Tx+4千兆电

口或SFP端口

S3600-SI系列

• 增强型安全易用交换机

• 支持ACL、防ARP攻击

• 16/24/48*10/100Base-Tx+2千

兆电口或SFP端口

S3100-EI系列

• 标准型安全易用交换机

• 无风扇静音设计

• 8/16/24/48*10/100Base-Tx+2

千兆电口、SFP端口或扩展插槽

S3100-SI系列

产品介绍 < 交换机产品 < E系列教育交换机

H3C E系列教育网交换机

产品介绍

当前校园网建设面临着带宽瓶颈、多业务融合、安全威胁、用

户认证和管理等诸多问题和挑战：

• 如何解决接入带宽瓶颈?如何解决设备扩展和性能以及投资保

护之间的矛盾?

• 如何实现校园网多业务融合的需求，实现网络资源灵活分配

和调度?

• 如何实现用户安全的接入控制，防止病从口入?如何防止恶意

攻击和定位? 如何快速定位链路故障点?

• 如何实现灵活认证计费策略，如何实现网络流量的监控和

分析?

H3C E系列教育网交换机是H3C公司为满足教育行业构建高安

全、高智能、易管理维护等需求定制开发的以太网交换机产

品，定位在网络接入层。按照接入方式的不同可以分为：三层

到桌面的E328/E352系列、二层安全接入的E126A/E152系列和

二层标准接入的E126系列。在消除带宽瓶颈的同时，有效抵御

包括ARP欺骗在内的网络安全隐患，解决网络中心老师们最关

心的问题，是理想的校园网接入交换机。

• 三层接入主打产品

• 48*10/100Base-Tx+4*1000MSFP

• 24*10/100Base-Tx+2*10/100/

1000Base-T+2*1000MSFP

• 二层安全接入主打产品

• 支持ACL、防ARP欺骗攻击

• 48*10/100Base-Tx+4*1000MSFP

• 24*10/100Base-Tx+2*10/100/

1000Base-T+2*1000MSFP(Combo)

产品特点

H3C无线产品线介绍

H3C做为国内领先的一体化移动网络解决方案提供商，在2008

年市场份额获得成倍的增长，在已有的无线插卡、无线控制

器、FIT AP、FAT AP系列、无线应用管理平台等一系列产品的

基础上，在08年又推出了全新的WLAN下一代11n产品，是国

内最早提供企业级11n产品的厂商。同时结合在运营商部署运

营WLAN经验，进一步完善了可运营可管理无线宽带接入解决

方案，提出了无线城域网从热点到热区最终形成城域网的演进

思路，同时，结合对运营商城域网的理解，将WLAN技术很好

的同有线城域网、2G/3G技术进行融合，已经在全国30多个省

的运营商实现规模应用，成为业界领先的无线城域网解决方案

提供商。

H3C可运营可管理无线宽带接入解决方案通过与3G/PHS合路

组网的方式实现无线网络覆盖。该方案基于TR-069的FAT AP

管理，简化了运营商对AP管理和维护的巨大工作量；通过

Portal Server和无线控制器配合，能够实现基于用户接入位置

的广告页面推送的增值业务；而一体化安全控制模块则实现了

P2P限流、攻击防护和访问控制，实现无线安全宽带增值业

务；同时，创新的大功率AP实现同基站的合路，减少了运营商

的投资。

H3C一体化移动网络解决方案在充分考虑同现有网络融合的基

础上，通过一体化网络硬件设计、一体化网络管理、一体化安

全，能帮助用户轻松进行无线网络部署、实施和管理维护，实

现有线无线网络管理的统一、用户帐号的统一、计费认证的统

一、IPv6及QoS部署的统一、终端准入控制(EAD)策略的统

一，使得H3C一体化移动网络解决方案能够快速地部署到实际

应用之中，帮助用户在短时间内实现WLAN应用。

H3C具有系列化无线产品，目前在网运行的AP数量已经超过

60000台。新推出的下一代WLAN 11n产品WA2600E系列，是

国内第一款支持802.11n的企业级产品，单个Radio的吞吐率达

到300M，整机能够达到600M的吞吐率。同时推出了业界首款

支持11n的有线无线一体化交换机WX3024，支持认证、安

全、PoE/PoE+，有线交换机所有的特性，充分考虑了下一代

无线网络的发展需求。

WA2620E-AGN WA2220E-AG WA2110-AG WA1208E-GP

WA2610E-AGN

WB2320X-AGE

WA2210X-G/GEWA2220X-AG/AGP/AGE

WA2210-AGWA2220-AG WA1208E-AGP

WX5002

FIT/FAT/MESH AP

网桥

无线控制器

WX6103

无线应用

网络管理软件无线IDS 无线客户端无线定位

无线产品 > 产品介绍

WX3010

WX3024

WA2220E-AG-T

WA2210E-GE

WX5004

S7500E/9500插卡

产品介绍 < 交换机产品 < E系列教育交换机

H3C E系列教育网交换机

产品介绍

当前校园网建设面临着带宽瓶颈、多业务融合、安全威胁、用

户认证和管理等诸多问题和挑战：

• 如何解决接入带宽瓶颈?如何解决设备扩展和性能以及投资保

护之间的矛盾?

• 如何实现校园网多业务融合的需求，实现网络资源灵活分配

和调度?

• 如何实现用户安全的接入控制，防止病从口入?如何防止恶意

攻击和定位? 如何快速定位链路故障点?

• 如何实现灵活认证计费策略，如何实现网络流量的监控和

分析?

H3C E系列教育网交换机是H3C公司为满足教育行业构建高安

全、高智能、易管理维护等需求定制开发的以太网交换机产

品，定位在网络接入层。按照接入方式的不同可以分为：三层

到桌面的E328/E352系列、二层安全接入的E126A/E152系列和

二层标准接入的E126系列。在消除带宽瓶颈的同时，有效抵御

包括ARP欺骗在内的网络安全隐患，解决网络中心老师们最关

心的问题，是理想的校园网接入交换机。

• 48*10/100Base-Tx+4*1000MSFP

• 24*10/100Base-Tx+2*10/100/

1000Base-T+2*1000MSFP

• 48*10/100Base-Tx+4*1000MSFP

• 24*10/100Base-Tx+2*10/100/

1000Base-T+2*1000MSFP(Combo)

产品特点

H3C无线产品线介绍

H3C做为国内领先的一体化移动网络解决方案提供商，在2008

年市场份额获得成倍的增长，在已有的无线插卡、无线控制

器、FIT AP、FAT AP系列、无线应用管理平台等一系列产品的

基础上，在08年又推出了全新的WLAN下一代11n产品，是国

内最早提供企业级11n产品的厂商。同时结合在运营商部署运

营WLAN经验，进一步完善了可运营可管理无线宽带接入解决

方案，提出了无线城域网从热点到热区最终形成城域网的演进

思路，同时，结合对运营商城域网的理解，将WLAN技术很好

的同有线城域网、2G/3G技术进行融合，已经在全国30多个省

的运营商实现规模应用，成为业界领先的无线城域网解决方案

提供商。

H3C可运营可管理无线宽带接入解决方案通过与3G/PHS合路

组网的方式实现无线网络覆盖。该方案基于TR-069的FAT AP

管理，简化了运营商对AP管理和维护的巨大工作量；通过

Portal Server和无线控制器配合，能够实现基于用户接入位置

的广告页面推送的增值业务；而一体化安全控制模块则实现了

P2P限流、攻击防护和访问控制，实现无线安全宽带增值业

务；同时，创新的大功率AP实现同基站的合路，减少了运营商

的投资。

H3C一体化移动网络解决方案在充分考虑同现有网络融合的基

础上，通过一体化网络硬件设计、一体化网络管理、一体化安

全，能帮助用户轻松进行无线网络部署、实施和管理维护，实

现有线无线网络管理的统一、用户帐号的统一、计费认证的统

一、IPv6及QoS部署的统一、终端准入控制(EAD)策略的统

一，使得H3C一体化移动网络解决方案能够快速地部署到实际

应用之中，帮助用户在短时间内实现WLAN应用。

H3C具有系列化无线产品，目前在网运行的AP数量已经超过

60000台。新推出的下一代WLAN 11n产品WA2600E系列，是

国内第一款支持802.11n的企业级产品，单个Radio的吞吐率达

到300M，整机能够达到600M的吞吐率。同时推出了业界首款

支持11n的有线无线一体化交换机WX3024，支持认证、安

全、PoE/PoE+，有线交换机所有的特性，充分考虑了下一代

无线网络的发展需求。

WA2620E-AGN WA2220E-AG WA2110-AG WA1208E-GP

WA2610E-AGN

WB2320X-AGE

WA2210X-G/GEWA2220X-AG/AGP/AGE

WA2210-AGWA2220-AG WA1208E-AGP

WX5002

FIT/FAT/MESH AP

网桥

无线控制器

WX6103

无线应用

网络管理软件无线IDS 无线客户端无线定位

无线产品 > 产品介绍

WX3010

WX3024

WA2220E-AG-T

WA2210E-GE

WX5004

S7500E/9500插卡

产品介绍 < 无线产品 < WA2600 WA2100&WA2200 > 无线产品 > 产品介绍

H3C WA2600系列AP

产品介绍

H3C WA2600系列是新一代兼容802.11n Draft2.0的千兆AP，

可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，

能够覆盖更大的范围。上行接口采用千兆以太网接口接入，突

破了百兆以太网接口的限制，使无线多媒体应用成为现实。

WA2600系列AP支持Fat和Fit两种工作模式，根据网络规划的

需要，可以通过命令行灵活地在Fat和Fit两种工作模式中切

换，有利于将客户的WLAN网络由小型网络平滑升级到大型网

络，从而很好地保护用户的投资。

H3C WA2600系列AP包括增强型WA2610E-AGN(单频)和

WA2620E-AGN(双频)两款设备，主要面向仓库、工厂车间等

对温度、防尘环境要求较高的应用场景。

产品特点

• 宽带无线接入

WA2600系列无线AP兼容802.11n Draft2.0草案，采用模块化

设计，保证未来802.11n标准正式批准后能及时升级以满足标

准，保护客户投资。本系列无线接入点产品单射频能提供高达

300Mbps的无线接入速度，是传统802.11a/b/g产品的六倍，

覆盖距离更大，能提供更多用户、更大范围、更大流量的无线

接入服务。

• 千兆以太网接口有线连接

上行接口采用千兆以太网接口接入，突破了传统百兆以太网接

口的限制，使有线口不再成为无线接入的速率瓶颈，为将来支

持更高速率更多射频组合提供了平滑升级的平台。

• 支持本地转发

当WA2600(Fit AP模式)系列无线AP通过广域网方式转发时，

AP作为数据接入设备部署在分支机构，而无线控制器部署在总

部，所有用户数据由AP发送到无线控制器，再由无线控制器进

行集中转发，导致转发效率低下。WA2600系列无线AP可将数

据报文在AP上直接转化为有线格式的报文，使得数据报文不

经过无线控制器，而是在AP本地进行转发，大大提高了转发

效率。

• 支持为无线客户端动态分配IPWA2600系列无线AP工作于Fat AP模式时，可以配置为DHCP

server，为接入的无线客户端动态分配IP地址，此功能极大的

省却了网络管理者规划静态地址的烦恼。

• 支持PPPoE客户端

WA2600系列无线AP工作于Fat AP模式时，可以配置工作为

PPPoE client，能主动与远端的PPPoE server建立PPPoE连接。

WA2610E-AGN WA2620E-AGN

H3C WA2100&WA2200系列无线AP

产品介绍

WA2100和WA2200系列无线产品是华三通信技术有限公司

(H3C)自主研发的无线接入点，可广泛应用于各种向用户提供

WLAN接入的无线网络；WA2100系列产品为瘦AP(Fit AP)，需

要与无线控制器系列产品配套使用；WA2200系列支持Fat和Fit

两种工作模式，根据网络规划的需要，可以通过命令行灵活地

在Fat和Fit两种工作模式中切换，有利于将客户的WLAN网络由

小型网络平滑升级到大型网络，从而很好地保护用户的投资。

WA2100系列产品包括WA2110-AG，WA2200系列产品包括室

内型WA2210-AG(单频)和WA2220-AG(双频)，增强型

WA2210E-GE(单频)、WA2220E-AG(双频)，WA2220E-AG-T

(双频，轨道交通应用)，室外型WA2210X-G(单频)、

WA2210X-GE(单频)、WA2220X-AG(双频)，WA2220X-AGE

(双频)和WA2220X-AGP(双频大功率)，

产品特点

• 支持中国标准WAPI(无线局域网鉴别和保密基础

结构)

WA2100和WA2200系列产品，除了支持802.11i和WPA等国际

标准外，配合无线控制器还支持中国无线局域网国家标准

GB15629.11-2003 中提出的、安全等级更高的WAPI。

• 支持IPv6特性

WA2100和WA2200系列产品实现了IPv4/IPv6双协议栈，与无

线控制器之间可以穿过IPv6网络互联，使得组网方式更加灵

活，可以满足今后网络发展的需要，保护用户投资。

WA2110-AG也支持无线用户采用IPv6接入网络。

• 支持TR-069特性(CWMP)WA2200工作于FAT AP模式时，支持TR-069特性，能够方便

网管人员从网络侧对位置分散的WA2200设备进行远程集中

管理。

• 支持智能的负载均衡

WA2100和WA2200系列无线接入点支持按接入用户数量和流

量的复杂均衡方式，创新性地支持智能负载均衡技术，保证

只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，

有效的避免误均衡的出现，从而最大限度的提高了无线网络

容量。

• 支持用户隔离策略

WA2100和WA2200系列无线接入点支持无线用户之间的隔

离。当启用了此功能后，两个无线客户端之间无法直接通讯，

无线客户端只能访问上游的有线网络。应用此特性，运营商可

强制无线用户到指定的网关或服务器上进行计费或更安全的认

证，实现所谓的热点应用。

• 提供灵活的数据转发方式

支持集中式转发和分布式转发。集中式转发，通过AC对报文进

行全面控制，实现精细化管理。分布式转发，可使报文不经过

AC，而是在AP上直接转化为有线格式的报文，实现无线报文

的宽带接入。

WA2200工作于Fat AP模式时，可以配置工作为PPPoE Client，

能主动与远端的PPPoE server建立PPPoE 连接。

• 支持光口上行

WA2210X-G、WA2210X-GE、WA2220X-AG、WA2220X-AGP

和WA2220X-AGE五款室外型AP都支持SFP上行FE光口，用户

在室外部署时不用在配置额外的光电转换器，减少了网络故障

点。此外，上行ETH口与上行光口可进行冗余备份，提供更高

的可靠性。

WA2110 WA2200 WA2200E WA2200X

产品介绍 < 无线产品 < WA2600 WA2100&WA2200 > 无线产品 > 产品介绍

H3C WA2600系列AP

产品介绍

H3C WA2600系列是新一代兼容802.11n Draft2.0的千兆AP，

可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，

能够覆盖更大的范围。上行接口采用千兆以太网接口接入，突

破了百兆以太网接口的限制，使无线多媒体应用成为现实。

WA2600系列AP支持Fat和Fit两种工作模式，根据网络规划的

需要，可以通过命令行灵活地在Fat和Fit两种工作模式中切

换，有利于将客户的WLAN网络由小型网络平滑升级到大型网

络，从而很好地保护用户的投资。

H3C WA2600系列AP包括增强型WA2610E-AGN(单频)和

WA2620E-AGN(双频)两款设备，主要面向仓库、工厂车间等

对温度、防尘环境要求较高的应用场景。

产品特点

• 宽带无线接入

WA2600系列无线AP兼容802.11n Draft2.0草案，采用模块化

设计，保证未来802.11n标准正式批准后能及时升级以满足标

准，保护客户投资。本系列无线接入点产品单射频能提供高达

300Mbps的无线接入速度，是传统802.11a/b/g产品的六倍，

覆盖距离更大，能提供更多用户、更大范围、更大流量的无线

接入服务。

• 千兆以太网接口有线连接

上行接口采用千兆以太网接口接入，突破了传统百兆以太网接

口的限制，使有线口不再成为无线接入的速率瓶颈，为将来支

持更高速率更多射频组合提供了平滑升级的平台。

• 支持本地转发

当WA2600(Fit AP模式)系列无线AP通过广域网方式转发时，

AP作为数据接入设备部署在分支机构，而无线控制器部署在总

部，所有用户数据由AP发送到无线控制器，再由无线控制器进

行集中转发，导致转发效率低下。WA2600系列无线AP可将数

据报文在AP上直接转化为有线格式的报文，使得数据报文不

经过无线控制器，而是在AP本地进行转发，大大提高了转发

效率。

• 支持为无线客户端动态分配IPWA2600系列无线AP工作于Fat AP模式时，可以配置为DHCP

server，为接入的无线客户端动态分配IP地址，此功能极大的

省却了网络管理者规划静态地址的烦恼。

WA2600系列无线AP工作于Fat AP模式时，可以配置工作为

PPPoE client，能主动与远端的PPPoE server建立PPPoE连接。

WA2610E-AGN WA2620E-AGN

H3C WA2100&WA2200系列无线AP

产品介绍

WA2100和WA2200系列无线产品是华三通信技术有限公司

(H3C)自主研发的无线接入点，可广泛应用于各种向用户提供

WLAN接入的无线网络；WA2100系列产品为瘦AP(Fit AP)，需

要与无线控制器系列产品配套使用；WA2200系列支持Fat和Fit

两种工作模式，根据网络规划的需要，可以通过命令行灵活地

在Fat和Fit两种工作模式中切换，有利于将客户的WLAN网络由

小型网络平滑升级到大型网络，从而很好地保护用户的投资。

WA2100系列产品包括WA2110-AG，WA2200系列产品包括室

内型WA2210-AG(单频)和WA2220-AG(双频)，增强型

WA2210E-GE(单频)、WA2220E-AG(双频)，WA2220E-AG-T

(双频，轨道交通应用)，室外型WA2210X-G(单频)、

WA2210X-GE(单频)、WA2220X-AG(双频)，WA2220X-AGE

(双频)和WA2220X-AGP(双频大功率)，

产品特点

结构)

WA2100和WA2200系列产品，除了支持802.11i和WPA等国际

标准外，配合无线控制器还支持中国无线局域网国家标准

GB15629.11-2003 中提出的、安全等级更高的WAPI。

• 支持IPv6特性

WA2100和WA2200系列产品实现了IPv4/IPv6双协议栈，与无

线控制器之间可以穿过IPv6网络互联，使得组网方式更加灵

活，可以满足今后网络发展的需要，保护用户投资。

WA2110-AG也支持无线用户采用IPv6接入网络。

• 支持TR-069特性(CWMP)WA2200工作于FAT AP模式时，支持TR-069特性，能够方便

网管人员从网络侧对位置分散的WA2200设备进行远程集中

管理。

• 支持智能的负载均衡

WA2100和WA2200系列无线接入点支持按接入用户数量和流

量的复杂均衡方式，创新性地支持智能负载均衡技术，保证

只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能，

有效的避免误均衡的出现，从而最大限度的提高了无线网络

容量。

WA2100和WA2200系列无线接入点支持无线用户之间的隔

离。当启用了此功能后，两个无线客户端之间无法直接通讯，

无线客户端只能访问上游的有线网络。应用此特性，运营商可

强制无线用户到指定的网关或服务器上进行计费或更安全的认

证，实现所谓的热点应用。

的宽带接入。

WA2200工作于Fat AP模式时，可以配置工作为PPPoE Client，

能主动与远端的PPPoE server建立PPPoE 连接。

• 支持光口上行

WA2210X-G、WA2210X-GE、WA2220X-AG、WA2220X-AGP

和WA2220X-AGE五款室外型AP都支持SFP上行FE光口，用户

在室外部署时不用在配置额外的光电转换器，减少了网络故障

点。此外，上行ETH口与上行光口可进行冗余备份，提供更高

的可靠性。

WA2110 WA2200 WA2200E WA2200X

产品介绍 < 无线产品 < WX5000&WX6000 WA1208E > 无线产品 > 产品介绍

H3C WX5000&WX6000系列无线控制器

产品介绍

H3C WX5000系列和WX6000系列无线控制器(AC，Access

Controller)是华三通信技术有限公司(H3C)自主开发的系列无

线控制器，提供了丰富的有线数据和无线数据的处理功能，集

超强的QoS及 IPv4&IPv6等多功能于一体。

H3C公司使用创新的基于认证的组网来提供网络服务，这种方

法基于用户身份而非端口或设备，以便跨越整个网络实现移动

性和安全性。当用户漫游网络时，通过WLAN网络范围内的无

线控制器的信息交换，以实现在整个网络范围内执行一致的访

问和安全策略。同时采用WPA/WPA2和802.1X认证结合的

AES、TKIP以及WEP加密等功能增强了网络安全。

WX5000系列包括WX5002-64、WX5002-128和WX5004三款产

品，WX6000系列包括WX6103无线控制器、S7500E无线控制

器插卡和S9500无线控制器插卡三款产品。通过与H3C FIT AP

配合组网，可以方便的部署于任何现有的二层网络或三层网络

之中，控制器和AP通过IETF制定的CAPWAP协议进行互联而无

需针对现在有网络进行重新配置。

产品特点

• 提供对802.11n AP的管理

H3C WX5000系列和WX6000系列无线控制器在支持对传统

802.11a/b/g AP管理的同时，还可以与H3C基于802.11n协议

的 W A 2 6 0 0系列 A P配合组网，从而提供相当于传统

802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范

围，使无线多媒体应用成为现实。

的宽带接入。

• 提供QoS Profile在用户移动的网络中或大型网络中，为了方便网管人员开展日

常的管理工作，QoS Profile特性提供了一种更模块化、更简单

的管理方式。

管理人员将一组基于用户群或特殊用户定制的策略配置在各个

用户的profile中，并且为每个用户群或特殊用户预先分配各自

的profile，用户认证上线时，在用户上线的端口动态下发profile

配置，使该用户能动态获得其可以访问的网络范围，访问带宽

以及访问优先级；在用户下线时，取消该用户在这个端口上的

配置，自动关闭该端口的特殊访问权限。

• 提供基于AP位置的用户接入控制

当无线用户接入网络时，可以通过认证服务器向AC下发允许用

户接入的AP列表，在AC上进行接入控制，从而达到限制无线

用户只能接入到指定位置的AP的目的。

• 提供精细的无线用户管理

提供基于MAC的认证接入控制方式和基于MAC的VLAN。既能

让客户在AAA服务器上对具体用户权限进行配置，又可以把相

同性质的用户(MAC)划分到同一个VLAN，在控制器上基于

VLAN配置安全策略。这种精细的用户权限控制大大增强了无

线网络的可用度，网管人员可以轻松通过该方式对不同级别的

人或人群进行接入权限分配，实现用户级粒度的精细管理。

WX5002 WX6103WX5004

S7500E无线控制器插卡

H3C WA1208E系列无线接入点

产品介绍

H3C WA1208E是H3C公司自主研发的新一代定位于企业运营

网络的无线接入点系列设备。支持802.11i安全机制、802.11e

EDCF QoS机制、802.11f切换机制，并提供了如虚拟AP、多

类型认证方法共存、多样化的计费策略、多层次的安全策

略、全面的二层特性、丰富的管理维护手段等强大的可运

营、可管理、可盈利能力，也可以作为连接无线网络与有线

网络的桥接器。

对于企业网用户、热点和小区网络用户以及移动网络用户，借

助WA1208E拥有的可运营、可管理、可维护、易安装、易维

护的特点，可以构建理想的无线局域网。WA1208E射频指标

优异，业务功能完善，在配套使用室外机箱及防水、防雷器件

后，还可应用于室外建网。

WA1208E系列包括WA1208E-GP大功率企业级单频AP和

WA1208E-AGP大功率企业级双频AP。其双频AP的802.11a模

块利用干扰较少的5.8GHz频段，能提供性能优良的WDS功

能。特别适合于WDS与接入点统一设备的室外全无线组网应

用，节约设备成本。

产品特点

• 支持版本自动升级

WA1208E可以和网络内的无线控制器自动取得关联，并下载

最新的软件版本到AP设备。所有的这些操作都是自动完成的，

不需要人工干预，减少了网络维护的工作量。这个特性对于大

型网络尤其重要。

结构）

WA1208E系列产品，除了支持802.11i和WPA等国际标准外，

配合无线控制器还支持中国无线局域网国家标准GB15629.11-

2003 中提出的、安全等级更高的WAPI。

• 支持无线桥接功能

WA1208E系列产品支持WDS模式无线桥接功能，适用于多种

应用场合。既可提供接入功能，也可以提供桥接功能，或两种

功能同时提供

• 支持智能负载均衡

WA1208E系列无线接入点支持按接入用户数量和流量的复杂

均衡方式，创新性地支持智能负载均衡技术，保证只对处于AP

覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误

均衡的出现，从而最大限度的提高了无线网络容量。

WA1208E系列无线接入点支持无线用户之间的隔离。当启用

了此功能后，两个无线客户端之间无法直接通讯，无线客户端

只能访问上游的有线网络。应用此特性，运营商可强制无线用

户到指定的网关或服务器上进行计费或更安全的认证，实现所

谓的热点应用。

• 支持TR-069特性(CWMP）WA1208E工作于FAT AP模式时，支持TR-069特性，方便网管

人员从网络侧对位置分散的WA1208E设备进行远程集中管理。

• 同时支持本地供电和PoE供电

WA1208E不仅支持PoE供电，还支持本地供电。对于采用光纤

直连室外远距离组网的情况，可以直接采用本地供电。

• 支持为无线客户端动态分配IPWA1208E工作于Fat AP模式时，可以配置工作为DHCP server，

为接入的无线客户端动态分配IP地址，此功能使网络管理者省

却了规划静态地址的烦恼。

H3C WA1208E

S9500无线控制器插卡

产品介绍 < 无线产品 < WX5000&WX6000 WA1208E > 无线产品 > 产品介绍

H3C WX5000&WX6000系列无线控制器

产品介绍

H3C WX5000系列和WX6000系列无线控制器(AC，Access

Controller)是华三通信技术有限公司(H3C)自主开发的系列无

线控制器，提供了丰富的有线数据和无线数据的处理功能，集

超强的QoS及 IPv4&IPv6等多功能于一体。

H3C公司使用创新的基于认证的组网来提供网络服务，这种方

法基于用户身份而非端口或设备，以便跨越整个网络实现移动

性和安全性。当用户漫游网络时，通过WLAN网络范围内的无

线控制器的信息交换，以实现在整个网络范围内执行一致的访

问和安全策略。同时采用WPA/WPA2和802.1X认证结合的

AES、TKIP以及WEP加密等功能增强了网络安全。

WX5000系列包括WX5002-64、WX5002-128和WX5004三款产

品，WX6000系列包括WX6103无线控制器、S7500E无线控制

器插卡和S9500无线控制器插卡三款产品。通过与H3C FIT AP

配合组网，可以方便的部署于任何现有的二层网络或三层网络

之中，控制器和AP通过IETF制定的CAPWAP协议进行互联而无

需针对现在有网络进行重新配置。

产品特点

H3C WX5000系列和WX6000系列无线控制器在支持对传统

802.11a/b/g AP管理的同时，还可以与H3C基于802.11n协议

的 W A 2 6 0 0系列 A P配合组网，从而提供相当于传统

802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范

围，使无线多媒体应用成为现实。

的宽带接入。

的管理方式。

WX5002 WX6103WX5004

S7500E无线控制器插卡

H3C WA1208E系列无线接入点

产品介绍

H3C WA1208E是H3C公司自主研发的新一代定位于企业运营

网络的无线接入点系列设备。支持802.11i安全机制、802.11e

EDCF QoS机制、802.11f切换机制，并提供了如虚拟AP、多

类型认证方法共存、多样化的计费策略、多层次的安全策

略、全面的二层特性、丰富的管理维护手段等强大的可运

营、可管理、可盈利能力，也可以作为连接无线网络与有线

网络的桥接器。

对于企业网用户、热点和小区网络用户以及移动网络用户，借

助WA1208E拥有的可运营、可管理、可维护、易安装、易维

护的特点，可以构建理想的无线局域网。WA1208E射频指标

优异，业务功能完善，在配套使用室外机箱及防水、防雷器件

后，还可应用于室外建网。

WA1208E系列包括WA1208E-GP大功率企业级单频AP和

WA1208E-AGP大功率企业级双频AP。其双频AP的802.11a模

块利用干扰较少的5.8GHz频段，能提供性能优良的WDS功

能。特别适合于WDS与接入点统一设备的室外全无线组网应

用，节约设备成本。

产品特点

• 支持版本自动升级

WA1208E可以和网络内的无线控制器自动取得关联，并下载

最新的软件版本到AP设备。所有的这些操作都是自动完成的，

不需要人工干预，减少了网络维护的工作量。这个特性对于大

型网络尤其重要。

结构）

WA1208E系列产品，除了支持802.11i和WPA等国际标准外，

配合无线控制器还支持中国无线局域网国家标准GB15629.11-

2003 中提出的、安全等级更高的WAPI。

• 支持无线桥接功能

WA1208E系列产品支持WDS模式无线桥接功能，适用于多种

应用场合。既可提供接入功能，也可以提供桥接功能，或两种

功能同时提供

• 支持智能负载均衡

WA1208E系列无线接入点支持按接入用户数量和流量的复杂

均衡方式，创新性地支持智能负载均衡技术，保证只对处于AP

覆盖重叠区的无线用户才启动AP负载均衡功能，有效的避免误

均衡的出现，从而最大限度的提高了无线网络容量。

WA1208E系列无线接入点支持无线用户之间的隔离。当启用

了此功能后，两个无线客户端之间无法直接通讯，无线客户端

只能访问上游的有线网络。应用此特性，运营商可强制无线用

户到指定的网关或服务器上进行计费或更安全的认证，实现所

谓的热点应用。

• 支持TR-069特性(CWMP）WA1208E工作于FAT AP模式时，支持TR-069特性，方便网管

人员从网络侧对位置分散的WA1208E设备进行远程集中管理。

• 同时支持本地供电和PoE供电

WA1208E不仅支持PoE供电，还支持本地供电。对于采用光纤

直连室外远距离组网的情况，可以直接采用本地供电。

• 支持为无线客户端动态分配IPWA1208E工作于Fat AP模式时，可以配置工作为DHCP server，

为接入的无线客户端动态分配IP地址，此功能使网络管理者省

却了规划静态地址的烦恼。

H3C WA1208E

S9500无线控制器插卡

产品介绍 < 无线产品 < WX3000

H3C WX3000系列一体化交换机

产品介绍

H3C WX3000系列一体化交换机是杭州华三通信技术有限公司

(以下简称H3C公司)自主研发的集成无线控制器和千兆以太网

交换机功能的产品。H3C WX3000系列一体化交换机提供纯千

兆以太网有线接入口，支持PoE+供电，每端口最大提供25W

的功率，同时兼容802.11a/b/g/n协议。WX3000系列一体化交

换机提供一体化的有线无线接入控制功能，定位于中小型企业

网和大型企业分支机构的一体化接入，是中小企业，大企业分

支机构有线无线一体化接入最理想的一体化交换机。

H3C WX3000系列一体化交换机目前包含H3C WX3010和H3C

WX3024两款产品。

产品特点

WX3000系列一体化交换机在支持对传统802.11a/b/g AP管理的

同时，还可以与H3C基于802.11n协议的WA2600系列AP配合组

网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入

速率，能够覆盖更大的范围，使无线多媒体应用成为现实。

的宽带接入。

• 提供内置802.1x认证服务器和内置Portal认证服务器

H3C WX3000系列一体化交换机内置802.1x认证服务器，支持

TLS、PEAP、MD5等多种802.1x的认证方式。在中小型企业用

户不需要计费功能，而只需接入控制和数据加密要求时，可利

用内置的Radius服务器直接在设备上完成802.1x认证功能，免

去了复杂的AAA服务器部署过程，既经济又省事。H3C

WX3000系列一体化交换机还提供内置的Portal服务器，解决了

不便于安装客户端用户的安全认证问题。

的管理方式。

WX3024WX3010

业务软件 > 产品介绍

H3C业务软件产品系列介绍

作为H3C IToIP IT建设架构的关键组成部分，H3C业务软件产

品线涵盖了各类IT基础资源管理和IT用户管理的内容，并采用

先进的SOA(Service Oriented Architecture，面向服务的架构)

软件设计思想，能按需装配功能组件，为客户提供端到端的管

理业务流程，实现了业务、资源和用户的深度融合管理，使客

户真正做到了“精细网络、智能掌控”。

H3C业务软件产品对IT资源的管理，除了传统的网络资源(路

由、交换等网络设备)管理外，还能支持对计算资源(服务器、

计算机等)、IP存储资源(IP-SAN设备等)的管理，此外，更创

新的增加了IT用户的管理内容，使管理的范畴从IT资源本身延

展到了IT资源的使用者，使客户能在统一的操作门户下实现了

两者的融合集中管理。

在此基础上，H3C业务软件最核心的价值在于以客户实际管理

业务需求为牵引，灵活的组配各个管理功能组件，形成了三大

管理中心、十大解决方案，从根本上解决了管理的复杂性问

题，提升了IT为客户传递的价值，如端点安全准入解决方案、

网络行为审计解决方案、网络性能优化解决方案等等。

产品介绍 < 无线产品 < WX3000

H3C WX3000系列一体化交换机

产品介绍

H3C WX3000系列一体化交换机是杭州华三通信技术有限公司

(以下简称H3C公司)自主研发的集成无线控制器和千兆以太网

交换机功能的产品。H3C WX3000系列一体化交换机提供纯千

兆以太网有线接入口，支持PoE+供电，每端口最大提供25W

的功率，同时兼容802.11a/b/g/n协议。WX3000系列一体化交

换机提供一体化的有线无线接入控制功能，定位于中小型企业

网和大型企业分支机构的一体化接入，是中小企业，大企业分

支机构有线无线一体化接入最理想的一体化交换机。

H3C WX3000系列一体化交换机目前包含H3C WX3010和H3C

WX3024两款产品。

产品特点

WX3000系列一体化交换机在支持对传统802.11a/b/g AP管理的

同时，还可以与H3C基于802.11n协议的WA2600系列AP配合组

网，从而提供相当于传统802.11a/b/g网络6倍以上的无线接入

速率，能够覆盖更大的范围，使无线多媒体应用成为现实。

的宽带接入。

• 提供内置802.1x认证服务器和内置Portal认证服务器

H3C WX3000系列一体化交换机内置802.1x认证服务器，支持

TLS、PEAP、MD5等多种802.1x的认证方式。在中小型企业用

户不需要计费功能，而只需接入控制和数据加密要求时，可利

用内置的Radius服务器直接在设备上完成802.1x认证功能，免

去了复杂的AAA服务器部署过程，既经济又省事。H3C

WX3000系列一体化交换机还提供内置的Portal服务器，解决了

不便于安装客户端用户的安全认证问题。

的管理方式。

WX3024WX3010

业务软件 > 产品介绍

H3C业务软件产品系列介绍

作为H3C IToIP IT建设架构的关键组成部分，H3C业务软件产

品线涵盖了各类IT基础资源管理和IT用户管理的内容，并采用

先进的SOA(Service Oriented Architecture，面向服务的架构)

软件设计思想，能按需装配功能组件，为客户提供端到端的管

理业务流程，实现了业务、资源和用户的深度融合管理，使客

户真正做到了“精细网络、智能掌控”。

H3C业务软件产品对IT资源的管理，除了传统的网络资源(路

由、交换等网络设备)管理外，还能支持对计算资源(服务器、

计算机等)、IP存储资源(IP-SAN设备等)的管理，此外，更创

新的增加了IT用户的管理内容，使管理的范畴从IT资源本身延

展到了IT资源的使用者，使客户能在统一的操作门户下实现了

两者的融合集中管理。

在此基础上，H3C业务软件最核心的价值在于以客户实际管理

业务需求为牵引，灵活的组配各个管理功能组件，形成了三大

管理中心、十大解决方案，从根本上解决了管理的复杂性问

题，提升了IT为客户传递的价值，如端点安全准入解决方案、

网络行为审计解决方案、网络性能优化解决方案等等。

产品介绍 < 业务软件 < iMC智能管理中心 iMC智能管理中心 > 业务软件 > 产品介绍

产品介绍

H3C iMC智能管理中心(H3C Intelligent Management Center，

以下简称H3C iMC)为业务软件产品线的核心产品。作为H3C

IToIP整体解决方案的重要组成部分，H3C iMC智能管理中心从

根本上颠覆了传统网络管理软件的设计思想，采用面向服务架

构(SOA)的设计思想，融合并统一管理业务、资源和用户这三

大IT组成要素，通过按需装配业务组件与相应的硬件设备配

合，形成一整套、一系列直接面向客户应用需求的解决方案。

H3C iMC智能管理中心将所有的IT资源统一的调度起来，达到

了资源的最大化整合，进而升华了H3C IToIP整体解决方案的

价值。

丰富的解决方案

H3C iMC智能管理中心通过软件灵活的控制，与相应硬件设备

的配合，形成一系列丰富的解决方案，智能化的网络支撑，为

客户构筑理想化、个性化的解决方案，来解决实际应用中在网

络安全控制、性能优化以及运营管理等诸多方面的各种问题，

为客户创造价值。

• 基础网络管理解决方案(NMS)随着网络建设的不断深入发展，除了单纯的追求高带宽、高速

率外，安全、高效和可运营的网络成为越来越多的用户关注的

焦点，网络精细化管理也越来越深入人心，一套好的管理软件

无疑对网络的精细化管理起到至关重要的作用。

精细化管理的第一步是网络的基础管理，基于多年的积累和对

用户网络的深入理解，H3C基础网络管理(NMS，Network

Management System)解决方案为用户提供了实用、易用的网

络管理功能，在网络资源的集中管理基础上，实现设备管理、

拓扑管理、告警管理、性能管理、配置文件管理、ACL资源管

理、MPLS VPN监视与部署等多种管理功能。NMS解决方案不

仅能够管理H3C公司的全线数据通信设备，还能够通过标准

MIB管理3Com、华为、Cisco等各主流厂商的设备，而且还是

H3C公司其他管理解决方案的基石所在。

NMS解决方案以对网络资源的基本管理为核心，不仅提供设备

管理功能，更通过流程向导的方式告诉用户如何使用功能满足

业务需求，为用户提供了网络精细化管理最佳的工具软件。

NMS解决方案采用全新的SOA(Service Oriented Architecture，

面向服务的架构)为设计思想，基于B/S架构，对外提供多种

开放接口，既能与用户原有业务系统有机融合，又能方便吸纳

第三方服务，形成“面向业务”、“融合联动”、“开放架构”的管

理流程。

• 终端准入控制解决方案(EAD)

目前，在企业网络中，用户的终端计算机不及时升级系统补丁

和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁

用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等

于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快

速扩散，进而导致网络使用行为的“失控”。保证用户终端的安

全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控

制，是保证企业网络安全运行的前提，也是目前企业急需解决

的问题。

H3C iMC智能管理中心网络安全从本质上讲是管理问题。H3C终端准入控制(EAD，

End user Admission Domination)解决方案从控制用户终端安

全接入网络的角度入手，整合网络接入控制与终端安全产品，

通过智能客户端、策略服务器、网络设备以及第三方服务器的

联动，对接入网络的用户终端强制实施企业安全策略，严格控

制终端用户的网络使用行为，有效地加强了用户终端的主动防

御能力，为企业网络管理人员提供了有效、易用的管理工具和

手段。

EAD解决方案提供完善的接入控制，可以支持局域网、广域

网、网关、VPN、无线各种接入方式，支持包括HUB在内的各

种复杂网络、思科等异构网络环境下的部署，保证从任何地

点、任何方式下的接入安全。除基于用户名和密码的身份认证

外，EAD还支持身份与接入终端的MAC地址、IP地址、所在

VLAN、接入设备IP、接入设备端口号等信息进行绑定，支持智

能卡、数字证书认证，增强身份认证的安全性。

根据管理员配置的安全策略，用户可以进行的安全认证检查包

括终端病毒库版本检查、终端补丁检查、终端安装的应用软件

检查、是否有代理、拨号配置、U盘审计、外设管理、桌面资

产管理等； E A D客户端支持和瑞星、江民、金山、

Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国

内外主流防病毒厂商联动，同时为了更好的满足客户的需求，

也支持与微软SMS、LANDesk、BigFix等业界高端的桌面安全

产品的配合使用。

在用户终端通过病毒、操作系统补丁等安全信息检查后，EAD

可基于终端用户的角色，向网络联动设备下发事先配置的接入

控制策略，按照用户角色权限规范用户的网络使用行为。终端

用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁

止使用双网卡等安全措施均可由管理员统一配置实施。

EAD按照网络管理员配置的安全策略区别对待不同身份的用

户，定制不同的安全检查和处理模式，包括监控模式、提醒模

式、隔离模式和下线模式。用户可以根据自己的实际需要，为

VIP客户、内部员工、外来访客等不同人群，定义不同的安全

策略执行方式。

EAD解决方案提供了对终端资产全方位的监控和管理的功能，

可以对终端软硬件使用情况、变更情况进行监控，同时还支持

软件的统一分发、远程桌面控制，实现对桌面资产的有效管

理。EAD解决方案还提供了对U盘、光驱、红外、蓝牙等的管

理功能，可以对终端用户的各种外设进行控制，有效防止重要

信息的泄密，同时提供U盘文件的监控功能，可以查看重要文

件通过U盘拷贝时，有无存在不当使用行为。

EAD解决方案提供了免安装的易用部署方式，用户事先不需要

安装客户端，上网时EAD系统会自动载入客户端，对用户身份

和终端安全状态进行检查，用户不需要改变上网习惯的同时，

可以享受EAD带来的安全保障。

同时，EAD解决方案提供了双机冷备和双机热备功能，可以避

免单台EAD服务器当机引起的认证中断，同时还支持单机故障

的逃生方案，临时允许客户端不用认证就可以使用网络，保证

了经济敏感用户的利益。

此外，EAD解决方案还为客户提供了一个扩展、开放的结构框

架，最大限度的保护了用户已有的投资。EAD广泛、深入的和

国内外防病毒、操作系统、桌面安全等厂商展开合作，融合各

家所长；EAD与第三方认证服务器、安全联动设备等之间的交

互基于标准、开放的协议架构和规范，易于互联互通。

• 安全联动解决方案(SCC)

随着安全威胁日益严重，企业对网络安全防御体系的投入和复

杂度都在不断增加，彼此割裂的安全资源和海量的安全信息成

为困扰网络管理员的管理难题。企业需要专业化的安全管理技

术平台来支撑网络安全建设的可持续发展，通过全面、集中的

安全事件管理，智能、综合的事件分析，及时的协同响应，将

不同领域的网络安全部件融合成一个无缝的安全体系。

H3C安全联动解决方案集监控管理、分析管理、响应管理于一

体，与网络中的安全产品、安全方案、网络设备、用户终端等

独立功能部件通过各种信息交互接口形成一个完整的协同防御

体系，实现了对多厂家的各类安全设备、安全方案产生的安全

事件进行实时采集、查看，生成丰富的安全报表、法规遵从性

报告，将安全事件转化为直观的可视化安全威胁信息，帮助网

络管理员快速、有效的掌握全网安全状况；可以对海量的安全

事件进行降噪处理，将离散的数据整合成规则的安全事件信

息，对安全事件进行深度查询、审计分析及安全威胁风险评

估；在获取海量信息事件，分析掌握全网安全状态的基础上，

将危害严重的安全事件与设备资源、用户资源相结合，对攻击

源进行拓扑定位，描绘攻击拓扑，协助管理员对已发生的安全

事件进行定位排查，并可对攻击源进行交换机端口控制、用户

下线、在线提醒等策略控制。

面向服务的架构，多组件灵活组合，形成丰富的解决方案

业务功能的整合和发展解决已往产品因功能割裂而造成的客户体验差、新特性开发难等现实问题，提升业务模块间的协同能力

人、资源、业务的联动支撑平台为构建自适应的防御、修复、优化的联动网络提供支撑平台

增值价值中的支撑管理中间件开放SOAP接口，通过向第三方OSS或网管系统开放接口构建增值价值链

基于SOA架构的新一代管理平台提供了标准化、构件化、灵活开放的统一管理平台

面向解决方案的业务支撑能力基于人、资源、业务集成的平台，支撑丰富的产品构件/业务特性，通过构件间的整合优势，提升解决方案市场竞争力

IP网络、用户和业务的集成管理平台提供整合的资源管理，重整业务流程，实现网络业务生命周期（鉴权、部署、监视、调整、审计）的全流程管理

面向业务

融合联动

开放架构

产品介绍

H3C iMC智能管理中心(H3C Intelligent Management Center，

以下简称H3C iMC)为业务软件产品线的核心产品。作为H3C

IToIP整体解决方案的重要组成部分，H3C iMC智能管理中心从

根本上颠覆了传统网络管理软件的设计思想，采用面向服务架

构(SOA)的设计思想，融合并统一管理业务、资源和用户这三

大IT组成要素，通过按需装配业务组件与相应的硬件设备配

合，形成一整套、一系列直接面向客户应用需求的解决方案。

H3C iMC智能管理中心将所有的IT资源统一的调度起来，达到

了资源的最大化整合，进而升华了H3C IToIP整体解决方案的

价值。

丰富的解决方案

H3C iMC智能管理中心通过软件灵活的控制，与相应硬件设备

的配合，形成一系列丰富的解决方案，智能化的网络支撑，为

客户构筑理想化、个性化的解决方案，来解决实际应用中在网

络安全控制、性能优化以及运营管理等诸多方面的各种问题，

为客户创造价值。

• 基础网络管理解决方案(NMS)随着网络建设的不断深入发展，除了单纯的追求高带宽、高速

率外，安全、高效和可运营的网络成为越来越多的用户关注的

焦点，网络精细化管理也越来越深入人心，一套好的管理软件

无疑对网络的精细化管理起到至关重要的作用。

精细化管理的第一步是网络的基础管理，基于多年的积累和对

用户网络的深入理解，H3C基础网络管理(NMS，Network

Management System)解决方案为用户提供了实用、易用的网

络管理功能，在网络资源的集中管理基础上，实现设备管理、

拓扑管理、告警管理、性能管理、配置文件管理、ACL资源管

理、MPLS VPN监视与部署等多种管理功能。NMS解决方案不

仅能够管理H3C公司的全线数据通信设备，还能够通过标准

MIB管理3Com、华为、Cisco等各主流厂商的设备，而且还是

H3C公司其他管理解决方案的基石所在。

NMS解决方案以对网络资源的基本管理为核心，不仅提供设备

管理功能，更通过流程向导的方式告诉用户如何使用功能满足

业务需求，为用户提供了网络精细化管理最佳的工具软件。

NMS解决方案采用全新的SOA(Service Oriented Architecture，

面向服务的架构)为设计思想，基于B/S架构，对外提供多种

开放接口，既能与用户原有业务系统有机融合，又能方便吸纳

第三方服务，形成“面向业务”、“融合联动”、“开放架构”的管

理流程。

• 终端准入控制解决方案(EAD)

目前，在企业网络中，用户的终端计算机不及时升级系统补丁

和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁

用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等

于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快

速扩散，进而导致网络使用行为的“失控”。保证用户终端的安

全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控

制，是保证企业网络安全运行的前提，也是目前企业急需解决

的问题。

H3C iMC智能管理中心网络安全从本质上讲是管理问题。H3C终端准入控制(EAD，

End user Admission Domination)解决方案从控制用户终端安

全接入网络的角度入手，整合网络接入控制与终端安全产品，

通过智能客户端、策略服务器、网络设备以及第三方服务器的

联动，对接入网络的用户终端强制实施企业安全策略，严格控

制终端用户的网络使用行为，有效地加强了用户终端的主动防

御能力，为企业网络管理人员提供了有效、易用的管理工具和

手段。

网、网关、VPN、无线各种接入方式，支持包括HUB在内的各

种复杂网络、思科等异构网络环境下的部署，保证从任何地

点、任何方式下的接入安全。除基于用户名和密码的身份认证

外，EAD还支持身份与接入终端的MAC地址、IP地址、所在

VLAN、接入设备IP、接入设备端口号等信息进行绑定，支持智

能卡、数字证书认证，增强身份认证的安全性。

检查、是否有代理、拨号配置、U盘审计、外设管理、桌面资

产管理等； E A D客户端支持和瑞星、江民、金山、

Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国

内外主流防病毒厂商联动，同时为了更好的满足客户的需求，

也支持与微软SMS、LANDesk、BigFix等业界高端的桌面安全

产品的配合使用。

在用户终端通过病毒、操作系统补丁等安全信息检查后，EAD

可基于终端用户的角色，向网络联动设备下发事先配置的接入

控制策略，按照用户角色权限规范用户的网络使用行为。终端

用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁

止使用双网卡等安全措施均可由管理员统一配置实施。

EAD解决方案提供了对终端资产全方位的监控和管理的功能，

可以对终端软硬件使用情况、变更情况进行监控，同时还支持

软件的统一分发、远程桌面控制，实现对桌面资产的有效管

理。EAD解决方案还提供了对U盘、光驱、红外、蓝牙等的管

理功能，可以对终端用户的各种外设进行控制，有效防止重要

信息的泄密，同时提供U盘文件的监控功能，可以查看重要文

件通过U盘拷贝时，有无存在不当使用行为。

同时，EAD解决方案提供了双机冷备和双机热备功能，可以避

免单台EAD服务器当机引起的认证中断，同时还支持单机故障

的逃生方案，临时允许客户端不用认证就可以使用网络，保证

了经济敏感用户的利益。

此外，EAD解决方案还为客户提供了一个扩展、开放的结构框

架，最大限度的保护了用户已有的投资。EAD广泛、深入的和

国内外防病毒、操作系统、桌面安全等厂商展开合作，融合各

家所长；EAD与第三方认证服务器、安全联动设备等之间的交

互基于标准、开放的协议架构和规范，易于互联互通。

• 安全联动解决方案(SCC)

随着安全威胁日益严重，企业对网络安全防御体系的投入和复

杂度都在不断增加，彼此割裂的安全资源和海量的安全信息成

为困扰网络管理员的管理难题。企业需要专业化的安全管理技

术平台来支撑网络安全建设的可持续发展，通过全面、集中的

安全事件管理，智能、综合的事件分析，及时的协同响应，将

不同领域的网络安全部件融合成一个无缝的安全体系。

H3C安全联动解决方案集监控管理、分析管理、响应管理于一

体，与网络中的安全产品、安全方案、网络设备、用户终端等

独立功能部件通过各种信息交互接口形成一个完整的协同防御

体系，实现了对多厂家的各类安全设备、安全方案产生的安全

事件进行实时采集、查看，生成丰富的安全报表、法规遵从性

报告，将安全事件转化为直观的可视化安全威胁信息，帮助网

络管理员快速、有效的掌握全网安全状况；可以对海量的安全

事件进行降噪处理，将离散的数据整合成规则的安全事件信

息，对安全事件进行深度查询、审计分析及安全威胁风险评

估；在获取海量信息事件，分析掌握全网安全状态的基础上，

将危害严重的安全事件与设备资源、用户资源相结合，对攻击

源进行拓扑定位，描绘攻击拓扑，协助管理员对已发生的安全

事件进行定位排查，并可对攻击源进行交换机端口控制、用户

下线、在线提醒等策略控制。

面向服务的架构，多组件灵活组合，形成丰富的解决方案

业务功能的整合和发展解决已往产品因功能割裂而造成的客户体验差、新特性开发难等现实问题，提升业务模块间的协同能力

人、资源、业务的联动支撑平台为构建自适应的防御、修复、优化的联动网络提供支撑平台

增值价值中的支撑管理中间件开放SOAP接口，通过向第三方OSS或网管系统开放接口构建增值价值链

基于SOA架构的新一代管理平台提供了标准化、构件化、灵活开放的统一管理平台

面向解决方案的业务支撑能力基于人、资源、业务集成的平台，支撑丰富的产品构件/业务特性，通过构件间的整合优势，提升解决方案市场竞争力

IP网络、用户和业务的集成管理平台提供整合的资源管理，重整业务流程，实现网络业务生命周期（鉴权、部署、监视、调整、审计）的全流程管理

面向业务

融合联动

开放架构

H3C 安全联动解决方案融合了安全事件资源、设备资源、用户

资源，通过监控管理、分析管理、响应管理，构成闭环的管理

系统，实现了全网统一安全管理。

• 用户行为审计解决方案(UBA)针对公安机关保留上网记录的要求，帮助政府、企业、高校等

单位管理和审计用户的上网行为，H3C推出了用户行为审计解

决方案(UBA)。UBA通过与多种网络设备共同组网，实现了对

终端用户的上网行为进行事后审计，追查用户的非法网络行为

的功能。 UBA支持多种日志格式 (包括 NAT、 F low、

NetStream、DIG)，可实现2到7层的用户行为审计。针对不同

的日志类型，管理员可以获得源IP地址、源端口、目的IP地

址、目的端口、开始/结束时间、协议类型、协议摘要(目前支

持HTTP、SMTP、FTP协议)等信息。

用户行为审计解决方案具备全面的日志采集和强大的日志审计

功能，能高效地收集用户上网数据，分析用户上网行为，掌握

网络运行的状态，为网络管理员追查相关行为的责任人提供依

据。UBA采用基于IP地址的日志审计方式，能够将进行非法网

络行为的用户精确定义到该用户上一次上网使用的IP地址。但

当网络中采用了动态IP地址分配(DHCP)技术，同一用户多次

上网分配的IP地址不同时，网络管理员不能依据IP地址鉴定用

户的身份，这也是传统的用户行为审计解决方案需要解决的共

同问题。

针对这点，用户行为审计解决方案提供了创新性的基于用户身

份的行为审计方案，通过与iMC UAM用户接入管理组件的联

动，直接将上网IP的非法行为记录映射到上网者的用户账号，

管理者可以很容易查询到访问非法网站的用户账号，大大方便

了管理部门对上网行为的管理。

同时UBA支持以协议摘要作为海量日志的审计条件，根据用户

访问的网站URL、发送邮件的主题、FTP上传/下载文件名等行

为关键字，直接定位非法使用网络的用户。

• 网络流量分析解决方案(NTA)随着网络规模的日渐增长，网络中承载的业务也越来越丰富。企

业需要及时的了解到网络中承载的业务，及时的掌握网络流量特

征，以便使网络带宽配置最优化，及时解决网络性能问题。

为了应对这一系列企业网络管理中的问题，H3C网络流量分析

解决方案(NTA)应运而生，NTA网络流量分析组件可以为企业

网、校园网、园区网等各种网络提供网络流量信息统计和分析

功能，能够让客户及时了解各种网络应用占用的网络带宽，各

种业务消耗的网络资源和网络应用中TopN流量的来源，可以

帮助网络管理员及时发现网络瓶颈，防范网络病毒的攻击，并

提供丰富的网络流量分析报表。帮助客户在网络规划、网络监

控、网络优化、故障诊断等方面做出客观准确的决策。

网络流量分析解决方案包括网络设备、DIG日志采集器(可

选)、iMC NTA网络流量分析组件。网络流量分析设备是指提供

NetStream日志/sFlow日志的网络设备，负责对设备各个端口

进出的网络报文进行流分类统计。DIG日志采集器适用于配合

不支持NetStream日志/sFlow日志的网络设备进行流量分析的

组网环境。iMC NTA网络流量分析组件是本方案的核心，其根

据不同应用对采集来的流量数据进行详细的分析处理。使用分

布式数据集中和分析的方法，具备高效的分析样本以及细化的

统计粒度。为便于网络管理人员的操作，采用基于Web的直观

的、图形化的管理界面。

流量分析解决方案实现各种网络流量信息统计和分析功能，能

够让客户及时了解各种网络应用所占用的带宽、消耗的网络资

源和TopN流量的来源，并提供丰富的网络流量分析报表，提

升了网络的效率和用户的使用体验。

• 性能优化解决方案(QoSM)

随着网络应用的飞速发展，P2P应用的出现，网络流量模型、

应用模型都发生了质的变化，对网络中的关键应用类型、关键

用户业务的服务质量保证需求也变得越来越迫切。统一集中的

QoS策略管理以方便、快捷的实现全网端到端的QoS业务保

证，成为每个网络管理员不可或缺的需求。

H3C在流量分析的基础上，推出了性能优化解决方案

(QoSM)，为客户提供了图形化的全网端到端QoS策略管理方

案，真正为管理员做到了QoS服务保证所见即可得，成为业界

极少数几个能提供完整QoS策略管理解决方案的厂商之一。

H3C性能优化解决方案实现了流量展示分析、QoS策略执行、

QoS策略检测一个完整的业务管理流程。管理员可以借助流量

展示清晰的了解网络流量模型，发现网络带宽瓶颈、应用流量

瓶颈和用户流量瓶颈；根据流量分析的结果，管理员可以借助

图形化的QoS配置工具，制定全网的QoS策略，完成对指定的

关键流量端到端的QoS服务保证配置，实现QoS业务在图形化

操作界面上的“所见即可得”；完成QoS策略部署后，H3C性能

优化解决方案为管理员提供SLA(服务水平协议)工具，可以实

现对QoS策略实施效果的监测审计，并输出图形报表，确保关

键的业务得到了指定的服务保证水平。

• 认证及计费解决方案(UAM+CAMS)在实际生活中，需要进行认证计费管理的网络普遍存在，像运

营商商用网络以及学校、小区宽带等园区网、以及网吧等，都

是认证计费运营的典型应用。这些网络都有偿地提供服务，人

们在使用网络获取资源的同时，需要支付相应的费用。

H3C提供了功能强大的认证及计费解决方案(UAM+CAMS)，

它可以稳定、高效地完成对网络接入用户的认证计费管理等功

能，满足各种网络可运营、可管理的需求。同时，它还提供丰

富和开放的第三方接口功能，帮助管理员快速有效地与第三方

系统进行对接。

认证及计费解决方案支持多种认证接入方式和多种身份验证方

式，支持用户多元素绑定认证，支持与Windows域管理器、第

三方邮件系统的统一认证，同时还拥有丰富的权限控制手段，

支持基于用户的权限控制策略、实现对用户灵活控制，可以最

大程度上保证接入用户的网络访问处于可控的范围之内。认证

及计费解决方案提供灵活的计费策略配置方式，能够提供纯计

量、包月和奖励等各种类型的计费方式，支持按时长计费和按

流量计费多种方式，以适应用户的实际使用环境。此外，认证

及计费解决方案支持认证计费报文的漫游，与第三方系统进行

平滑过接。

在账务处理功能中，认证及计费解决方案支持营业厅缴费、充

值卡缴费以及批量缴费，支持实时预付费和后付费两种付费方

式，支持记录详尽的用户上网明细、账单和缴费信息，支持用

户欠费、余额不足或包月即将到期时的催缴，支持用户信息、

上网明细、用户账单和缴费记录的手工和自动导出。

认证及计费解决方案支持丰富的报表统计功能，能实现各类报表

的生成、打印、导出等，支持对统计结果的不同方式显示和实时

打印，对于重要的数据可以保存为格式化文件并进行导出；提供

便捷的用户自助功能，用户可实现对于自身信息的维护操作；另

外，还可针对不同用户身份/接入位置进行不同的广告推送业

务，达成广告平台、网络运营方以及接入用户的三赢。

• 无线运营管理解决方案(WSM)

无线局域网正逐渐从传统意义上的局域网技术发展成为“公共

无线局域网”，这一改变使其成为一种可运营、可应用和可管

理的宽带接入手段，从而受到了运营商、行业用户和大企业越

来越多的关注。

然而，无线网作为独立的网络与现有网络(主要指有线网)分开

管理、分开运维，这就导致了无线网需要单独的管理系统和

分析：海量事件分析、关联、汇聚、报表展示

监控：对整网异构设备安全事件进行收集

响应：根据决策结果，进行联动，包括在线提醒、短信/邮件通知、关闭端口、强制用户下线、加入黑名单

事件管理中心响应控制中心

事件流控制流

客户端防火墙

其它安全设备IPS

交换机

SecCenteriMC SCC

EAD/UAM

分析网络报文提取符合条件流统计信息输出流统计信息

解析网络设备报文收集统计数据到数据库统计分析数据，产生流量报表

网络设备

NTA网络流量分析服务器

Packet

NetStream/sFLow

端口镜像流量

获取设备镜像数据，形成NetStream日志DIG日志采集器主要功能

配合H3C多款路由器、交换机及所有支持端口镜像网络设备

支持NetStream、sFlow等多种日志格式

流量、应用、节点、会话四大类数十种预制报表自动生成

智能建立基线，异常流量自动告警

P2P应用流量监控与分析

基于MAC、主机名的流量监控

联动iMC、主机名的流量监控

数据库使用空间实时监控

创建通用QoS业务通用QoS创建向导，面向熟悉QoS业务规划的用户，引导用户根据QoS规划定义相关设备的配置。此向导操作灵活便捷，可以完成所有QoS业务配置。

QoS业务自动发现

此向导协助用户发现已部署的QoS业务，将全网的QoS业务纳入iMC系统，进行QoS业务统一的管理。

创建“VoIP”QoS业务

引导用户便捷的进行QoS在VoIP业务中的配置。

创建‘会议电视’QoS业务

引导用户便捷的进行QoS在会议电视业务中的配置。

创建^^QoS业务

^^QoS业务配置向导，引导用户^^^配置。

创建^^^^QoS业务

计费策略管理

H3C 安全联动解决方案融合了安全事件资源、设备资源、用户

资源，通过监控管理、分析管理、响应管理，构成闭环的管理

系统，实现了全网统一安全管理。

• 用户行为审计解决方案(UBA)针对公安机关保留上网记录的要求，帮助政府、企业、高校等

的日志类型，管理员可以获得源IP地址、源端口、目的IP地

用户行为审计解决方案具备全面的日志采集和强大的日志审计

功能，能高效地收集用户上网数据，分析用户上网行为，掌握

网络运行的状态，为网络管理员追查相关行为的责任人提供依

据。UBA采用基于IP地址的日志审计方式，能够将进行非法网

络行为的用户精确定义到该用户上一次上网使用的IP地址。但

当网络中采用了动态IP地址分配(DHCP)技术，同一用户多次

上网分配的IP地址不同时，网络管理员不能依据IP地址鉴定用

户的身份，这也是传统的用户行为审计解决方案需要解决的共

同问题。

针对这点，用户行为审计解决方案提供了创新性的基于用户身

份的行为审计方案，通过与iMC UAM用户接入管理组件的联

动，直接将上网IP的非法行为记录映射到上网者的用户账号，

管理者可以很容易查询到访问非法网站的用户账号，大大方便

了管理部门对上网行为的管理。

• 网络流量分析解决方案(NTA)随着网络规模的日渐增长，网络中承载的业务也越来越丰富。企

业需要及时的了解到网络中承载的业务，及时的掌握网络流量特

征，以便使网络带宽配置最优化，及时解决网络性能问题。

为了应对这一系列企业网络管理中的问题，H3C网络流量分析

解决方案(NTA)应运而生，NTA网络流量分析组件可以为企业

网、校园网、园区网等各种网络提供网络流量信息统计和分析

功能，能够让客户及时了解各种网络应用占用的网络带宽，各

种业务消耗的网络资源和网络应用中TopN流量的来源，可以

帮助网络管理员及时发现网络瓶颈，防范网络病毒的攻击，并

提供丰富的网络流量分析报表。帮助客户在网络规划、网络监

网络流量分析解决方案包括网络设备、DIG日志采集器(可

选)、iMC NTA网络流量分析组件。网络流量分析设备是指提供

NetStream日志/sFlow日志的网络设备，负责对设备各个端口

进出的网络报文进行流分类统计。DIG日志采集器适用于配合

不支持NetStream日志/sFlow日志的网络设备进行流量分析的

组网环境。iMC NTA网络流量分析组件是本方案的核心，其根

据不同应用对采集来的流量数据进行详细的分析处理。使用分

布式数据集中和分析的方法，具备高效的分析样本以及细化的

统计粒度。为便于网络管理人员的操作，采用基于Web的直观

的、图形化的管理界面。

流量分析解决方案实现各种网络流量信息统计和分析功能，能

够让客户及时了解各种网络应用所占用的带宽、消耗的网络资

源和TopN流量的来源，并提供丰富的网络流量分析报表，提

升了网络的效率和用户的使用体验。

• 性能优化解决方案(QoSM)

H3C在流量分析的基础上，推出了性能优化解决方案

瓶颈和用户流量瓶颈；根据流量分析的结果，管理员可以借助

图形化的QoS配置工具，制定全网的QoS策略，完成对指定的

关键流量端到端的QoS服务保证配置，实现QoS业务在图形化

操作界面上的“所见即可得”；完成QoS策略部署后，H3C性能

优化解决方案为管理员提供SLA(服务水平协议)工具，可以实

现对QoS策略实施效果的监测审计，并输出图形报表，确保关

键的业务得到了指定的服务保证水平。

• 认证及计费解决方案(UAM+CAMS)在实际生活中，需要进行认证计费管理的网络普遍存在，像运

营商商用网络以及学校、小区宽带等园区网、以及网吧等，都

是认证计费运营的典型应用。这些网络都有偿地提供服务，人

们在使用网络获取资源的同时，需要支付相应的费用。

H3C提供了功能强大的认证及计费解决方案(UAM+CAMS)，

它可以稳定、高效地完成对网络接入用户的认证计费管理等功

能，满足各种网络可运营、可管理的需求。同时，它还提供丰

富和开放的第三方接口功能，帮助管理员快速有效地与第三方

系统进行对接。

认证及计费解决方案支持多种认证接入方式和多种身份验证方

式，支持用户多元素绑定认证，支持与Windows域管理器、第

三方邮件系统的统一认证，同时还拥有丰富的权限控制手段，

支持基于用户的权限控制策略、实现对用户灵活控制，可以最

大程度上保证接入用户的网络访问处于可控的范围之内。认证

及计费解决方案提供灵活的计费策略配置方式，能够提供纯计

量、包月和奖励等各种类型的计费方式，支持按时长计费和按

流量计费多种方式，以适应用户的实际使用环境。此外，认证

及计费解决方案支持认证计费报文的漫游，与第三方系统进行

平滑过接。

在账务处理功能中，认证及计费解决方案支持营业厅缴费、充

值卡缴费以及批量缴费，支持实时预付费和后付费两种付费方

式，支持记录详尽的用户上网明细、账单和缴费信息，支持用

户欠费、余额不足或包月即将到期时的催缴，支持用户信息、

上网明细、用户账单和缴费记录的手工和自动导出。

认证及计费解决方案支持丰富的报表统计功能，能实现各类报表

的生成、打印、导出等，支持对统计结果的不同方式显示和实时

打印，对于重要的数据可以保存为格式化文件并进行导出；提供

便捷的用户自助功能，用户可实现对于自身信息的维护操作；另

外，还可针对不同用户身份/接入位置进行不同的广告推送业

务，达成广告平台、网络运营方以及接入用户的三赢。

• 无线运营管理解决方案(WSM)

无线局域网正逐渐从传统意义上的局域网技术发展成为“公共

无线局域网”，这一改变使其成为一种可运营、可应用和可管

理的宽带接入手段，从而受到了运营商、行业用户和大企业越

来越多的关注。

然而，无线网作为独立的网络与现有网络(主要指有线网)分开

管理、分开运维，这就导致了无线网需要单独的管理系统和

分析：海量事件分析、关联、汇聚、报表展示

监控：对整网异构设备安全事件进行收集

响应：根据决策结果，进行联动，包括在线提醒、短信/邮件通知、关闭端口、强制用户下线、加入黑名单

事件管理中心响应控制中心

事件流控制流

客户端防火墙

其它安全设备IPS

交换机

SecCenteriMC SCC

EAD/UAM

网络设备

Packet

NetStream/sFLow

端口镜像流量

P2P应用流量监控与分析

联动iMC、主机名的流量监控

创建^^QoS业务

创建^^^^QoS业务

计费策略管理

安全策略，这使得无线网的管理成本居高不下。许多用户希望

在现有网络上搭建无线网络，利用现有的网络资源(包括管理

系统)，保护已有投资，然而无线网络的灵活性和不可见性，

使得用户对无线网络的管理要求较有线网更高。同时，无线局

域网中普遍存在设备数量大、种类多、分布广泛、组网复杂、

业务扩展空间大等问题，也需要一整套统一的解决方案来进行

针对性解决。

对于这些需求，H3C推出了兼顾用户网络投资和有线无线融合

应用的管理解决方案。管理员无需重新搭建IT管理平台，即可

在原有的有线网络管理系统中增加无线管理功能，与有线管理

平台统一部署，节省用户投入，节约维护成本。

通过iMC智能管理中心的统一管理架构，H3C无线运营管理解

决方案(WSM)可以实现有线无线一体化高效管理，对网络中

的有线设备和AC、FAT AP、FIT AP、移动终端等无线设备进行

统一管理，全网设备信息和状态一目了然。并且，帮助管理员

直观了解网络部署情况及设备/链路当前状态；同时还支持丰富

的无线终端管理业务，包括无线终端漫游记录、无线终端准入

控制以及无线终端广告推送；支持对现网中的无线设备RF覆盖

情况进行展示，管理员可以依据需求增加或减少无线设备的分

布，也可以对现网中部署不合理的设备位置进行调整；可对无

线入侵进行检测，可明确显示非法接入设备，并对其进行信息

查询、加入黑名单及发起攻击等动作；提供了丰富的报表个性

化定制和展示功能，配合智能分析报表解决方案(iAR)，管理

员可进行报表自定义操作，进行多层次数据综合和分析。

• EPON/EoC管理解决方案(EPM)

近几年来，随着Internet用户的不断增加，及应用业务的不断发

展，满足带宽要求的光纤接入技术日益普及起来。EPON

(Ethernet Passive Optical Network，以太网无源光网络)技术将目

前广泛使用的以太网技术和PON技术相结合，成功解决点到多

点的以太网接入问题，是目前应用最为广泛的光纤接入技术。

但是，EPON接入技术带来了管理的问题：作为接入网络中的

关键设备，EPON ONU设备数量庞大；EPON接入存在FTTB

(Fiber To The Building)、FTTE(Fiber To The Enterprise)和

FTTH(Fiber To The Home)等多种不同的组网方式，分布复

杂；EPON业务从配置到开通操作复杂，配置繁琐。所以这些

问题要求有一套功能强大的网管系统进行统一的部署、监控和

故障排查。

H3C的EPON管理解决方案(EPM)能统一解决对数目庞大的设

备管理问题，对不同组网方式的统一管理问题，对复杂业务的

向导式部署问题。它既可以为管理员提供EPON OLT、ONU、

UNI等专有业务的配置、监控等管理功能，也可以提供EPON互

连网络设备的网络管理和网元管理，同时可以集成用户管理、

VLAN管理、ACL管理、QoS管理等相关业务功能，实现EPON

网络的综合业务保障。

• 智能分析报表解决方案(iAR）随着网络规模的不断扩大，以及新业务如雨后春笋般的涌现，

管理人员面对是海量的网络数据和业务数据。为理解、提取有

效的信息，各式各样的报表始终贯穿与日常工作中。在网络管

理领域，报表管理功能是企业掌握网络和业务健康情况、进行

分析决策的重要工具。从报表管理的发展来看，完整的报表功

能，应包含数据采集、数据分析、报表设计、报表展现、报表

发布等一系列功能，特别是报表的自定义设计能力。

正是为了应对上述发展趋势，H3C专门推出智能分析报表解决

方案(Intelligent Analysis Report，以下简称iAR)，提供从数据

采集到报表发布的全系列功能。H3C iAR解决方案能帮助IT管

理者清晰的了解当前IT环境中业务、资源和用户的详细状况，

通过智能分析、报表数据挖掘和个性化展示，为IT管理者提供

足够的依据保障和决策支持。

iAR依赖于 iMC平台，并将报表分析和报表展示与iMC无缝集

成，通过数据提取、数据转换和数据展示等功能，为用户提供

“所见即所得”的有效报表解决方案。为满足普通用户的基础报

表需求，iAR提供预定义报表，涵盖常用的基础报表和业务报

表，帮助其完成日常的报表工作。不仅如此，它还拥有生成复

杂报表或专用报表所需的一整套工具，满足各行业用户的定制

报表需求和iMC的专业报表设计人员的开发需求。

• MPLS VPN管理解决方案(MVM）

MPLS VPN由于其在安全性、扩展性、QoS保障等方面的良好

表现，得到广泛应用，已经成为基本的网络业务。但与以往IP

业务不同的是：MPLS VPN涉及技术多而复杂，增加了网络运

营、部署、监控、维护等方面的难度。所以需要对MPLS VPN

的规划、部署、监控及维护，提供一个有效的解决方案。针对

这一情况，H3C公司推出了MPLS VPN管理解决方案——H3C

智能管理中心MPLS VPN Manager。它为MPLS VPN网络提供

了端到端的管理解决方案，为客户网络可靠性和故障响应速度

的提高、网络运营和维护成本的降低提供强大支持，实现业务

部署、性能监控以及故障管理的无缝融合。

• 网络实验管理系统(NEMS）伴随着校园信息化建设的大步前进，很多高校都建立了自己的

计算机教学中心，用于计算机/网络技术专业教学、职业培训或

科研目的。但是，目前大多数学校的计算机中心还停留在“PC

机房”的水平：实验专用设备的种类、数量有限，设备趋于陈

旧，跟不上业界技术发展的脚步；或是投资兴建了大规模的机

房却缺乏高效率的教学管理。

NEMS(Network Experiment Management System)是H3C公司

开发的专业网络实验管理平台，对网络实验教学、实验学员、

实验设备集中统一管理。NEMS针对网络实验生命周期(实验定

义、实验准备、实验过程、实验结果)提供完整的智能的管

理。教师可以通过NEMS系统进行实验的定制、实验环境部署

和实验过程的管理、监控，完成实验环境的快速部属、恢复，

以及获取、验证实验结果等工作，同时学生可以通过NEMS系

统进行具体的实验。

NEMS系统采用B/S架构，教师和学员通过WEB浏览器就可以

进行网络教学实验，不需要部署客户端，仅仅需要部署服务器

端。极大了减轻了网络实验室管理员的维护工作。NEMS网络

实验管理系统通过与设备控制台设备(DMC)联动，提供全面实

验管理方面的功能。

• 统一数据管理平台(UDM）

IT系统的核心数据不仅会被上层的应用系统所调用，而且会在

网络上传输，在存储设备间流动，如何更有效、更安全的监控

和管理数据的流向以及各种数据业务的状态和流程，如何实现

对IT核心数据资源的更有效保护和利用，如何实现对IT系统的

流程优化和长远规划，如何简化数据中心的管理，这些都是阻

碍IT系统发展和业务系统扩展的现实问题。

针对上述问题，H3C推出面向数据存储业务管理的统一数据管

理解决方案(UDM)，方案以存储业务管理和存储业务流程模型

为核心，采用面向服务(SOA)的设计思想，为客户提供存储业

务、存储资源和存储用户的融合管理解决方案，帮助客户实现

存储业务的端到端的管理。作为数据中心和灾备中心的管理和

控制中心，UDM能有效简化数据中心和灾备中心的管理，降低

了IT系统的维护难度和成本，提高了IT资源的利用率，有力保

障了IT系统的有序运行和持续发展。

面向服务(SOA)的开放架构

除了为客户提供三大中心及系列的整体解决方案外，H3C iMC

采用基于面向服务(SOA)的开放架构，可以为第三方业务应用

提供底层的资源管理调用接口，为最终客户提供定制化的服

务，为集成商提供增值价值。

H3C iMC可为客户提供面向安全控制、性能优化和运营管理类

接口，并提供C++/C#/Java/Delphi等多种语言调用样例，方便

各类应用系统灵活调用集成。

除了iMC以外，H3C业务软件系列还包括以下产品，为用户提

供丰富的满足需求的解决方案：

iMC面向服务(SOA)的开放架构

ICG运营系统校园一卡通企业单点登陆无线运营系统 ……

终端准入控制(EAD) 安全类接口

运营类接口

QoS类接口行为审计(UBA)

性能优化(QoSM)

用户管理服务

资源使用者路由交换无线存储

故障管理服务配置管理服务性能监控服务

流量计费(CAMS)

管理解决方案

应用系统

服务包装

服务提供

基础资源

管理接口封装

SOAP/WSDL

数据库/文件访问方式网络访问协议：SNMP/Telnet/RMON/MSI-S/TR069

SOAP SOAP SOAP

SOAP/WSDL SOAP/WSDL SOAP/WSDL

SOAP/WSDL C++/C#/Java/Delphi样例

有线终端

无线终端

有线接入交换机

FAT AP设备

FIT AP设备

AC设备

对报表集中管理，实现报表的发布、报表模板管理、周期性报表管理和查看

支持丰富的报表设计能力，将设计的报表模板通过iMC报表平台发布到iMC中，并提供周期性报表能力

根据报表进行决策

安全策略，这使得无线网的管理成本居高不下。许多用户希望

在现有网络上搭建无线网络，利用现有的网络资源(包括管理

系统)，保护已有投资，然而无线网络的灵活性和不可见性，

使得用户对无线网络的管理要求较有线网更高。同时，无线局

域网中普遍存在设备数量大、种类多、分布广泛、组网复杂、

业务扩展空间大等问题，也需要一整套统一的解决方案来进行

针对性解决。

对于这些需求，H3C推出了兼顾用户网络投资和有线无线融合

应用的管理解决方案。管理员无需重新搭建IT管理平台，即可

在原有的有线网络管理系统中增加无线管理功能，与有线管理

平台统一部署，节省用户投入，节约维护成本。

通过iMC智能管理中心的统一管理架构，H3C无线运营管理解

决方案(WSM)可以实现有线无线一体化高效管理，对网络中

的有线设备和AC、FAT AP、FIT AP、移动终端等无线设备进行

统一管理，全网设备信息和状态一目了然。并且，帮助管理员

直观了解网络部署情况及设备/链路当前状态；同时还支持丰富

的无线终端管理业务，包括无线终端漫游记录、无线终端准入

控制以及无线终端广告推送；支持对现网中的无线设备RF覆盖

情况进行展示，管理员可以依据需求增加或减少无线设备的分

布，也可以对现网中部署不合理的设备位置进行调整；可对无

线入侵进行检测，可明确显示非法接入设备，并对其进行信息

查询、加入黑名单及发起攻击等动作；提供了丰富的报表个性

化定制和展示功能，配合智能分析报表解决方案(iAR)，管理

员可进行报表自定义操作，进行多层次数据综合和分析。

• EPON/EoC管理解决方案(EPM)

近几年来，随着Internet用户的不断增加，及应用业务的不断发

展，满足带宽要求的光纤接入技术日益普及起来。EPON

(Ethernet Passive Optical Network，以太网无源光网络)技术将目

前广泛使用的以太网技术和PON技术相结合，成功解决点到多

点的以太网接入问题，是目前应用最为广泛的光纤接入技术。

但是，EPON接入技术带来了管理的问题：作为接入网络中的

关键设备，EPON ONU设备数量庞大；EPON接入存在FTTB

(Fiber To The Building)、FTTE(Fiber To The Enterprise)和

FTTH(Fiber To The Home)等多种不同的组网方式，分布复

杂；EPON业务从配置到开通操作复杂，配置繁琐。所以这些

问题要求有一套功能强大的网管系统进行统一的部署、监控和

故障排查。

H3C的EPON管理解决方案(EPM)能统一解决对数目庞大的设

备管理问题，对不同组网方式的统一管理问题，对复杂业务的

向导式部署问题。它既可以为管理员提供EPON OLT、ONU、

UNI等专有业务的配置、监控等管理功能，也可以提供EPON互

连网络设备的网络管理和网元管理，同时可以集成用户管理、

VLAN管理、ACL管理、QoS管理等相关业务功能，实现EPON

网络的综合业务保障。

• 智能分析报表解决方案(iAR）随着网络规模的不断扩大，以及新业务如雨后春笋般的涌现，

效的信息，各式各样的报表始终贯穿与日常工作中。在网络管

• MPLS VPN管理解决方案(MVM）

MPLS VPN由于其在安全性、扩展性、QoS保障等方面的良好

表现，得到广泛应用，已经成为基本的网络业务。但与以往IP

业务不同的是：MPLS VPN涉及技术多而复杂，增加了网络运

营、部署、监控、维护等方面的难度。所以需要对MPLS VPN

的规划、部署、监控及维护，提供一个有效的解决方案。针对

这一情况，H3C公司推出了MPLS VPN管理解决方案——H3C

智能管理中心MPLS VPN Manager。它为MPLS VPN网络提供

了端到端的管理解决方案，为客户网络可靠性和故障响应速度

的提高、网络运营和维护成本的降低提供强大支持，实现业务

部署、性能监控以及故障管理的无缝融合。

• 网络实验管理系统(NEMS）伴随着校园信息化建设的大步前进，很多高校都建立了自己的

计算机教学中心，用于计算机/网络技术专业教学、职业培训或

科研目的。但是，目前大多数学校的计算机中心还停留在“PC

机房”的水平：实验专用设备的种类、数量有限，设备趋于陈

旧，跟不上业界技术发展的脚步；或是投资兴建了大规模的机

房却缺乏高效率的教学管理。

NEMS(Network Experiment Management System)是H3C公司

开发的专业网络实验管理平台，对网络实验教学、实验学员、

实验设备集中统一管理。NEMS针对网络实验生命周期(实验定

义、实验准备、实验过程、实验结果)提供完整的智能的管

理。教师可以通过NEMS系统进行实验的定制、实验环境部署

和实验过程的管理、监控，完成实验环境的快速部属、恢复，

以及获取、验证实验结果等工作，同时学生可以通过NEMS系

统进行具体的实验。

NEMS系统采用B/S架构，教师和学员通过WEB浏览器就可以

进行网络教学实验，不需要部署客户端，仅仅需要部署服务器

端。极大了减轻了网络实验室管理员的维护工作。NEMS网络

实验管理系统通过与设备控制台设备(DMC)联动，提供全面实

验管理方面的功能。

• 统一数据管理平台(UDM）

IT系统的核心数据不仅会被上层的应用系统所调用，而且会在

网络上传输，在存储设备间流动，如何更有效、更安全的监控

和管理数据的流向以及各种数据业务的状态和流程，如何实现

对IT核心数据资源的更有效保护和利用，如何实现对IT系统的

流程优化和长远规划，如何简化数据中心的管理，这些都是阻

碍IT系统发展和业务系统扩展的现实问题。

针对上述问题，H3C推出面向数据存储业务管理的统一数据管

理解决方案(UDM)，方案以存储业务管理和存储业务流程模型

为核心，采用面向服务(SOA)的设计思想，为客户提供存储业

务、存储资源和存储用户的融合管理解决方案，帮助客户实现

存储业务的端到端的管理。作为数据中心和灾备中心的管理和

控制中心，UDM能有效简化数据中心和灾备中心的管理，降低

了IT系统的维护难度和成本，提高了IT资源的利用率，有力保

障了IT系统的有序运行和持续发展。

面向服务(SOA)的开放架构

除了为客户提供三大中心及系列的整体解决方案外，H3C iMC

采用基于面向服务(SOA)的开放架构，可以为第三方业务应用

提供底层的资源管理调用接口，为最终客户提供定制化的服

务，为集成商提供增值价值。

H3C iMC可为客户提供面向安全控制、性能优化和运营管理类

接口，并提供C++/C#/Java/Delphi等多种语言调用样例，方便

各类应用系统灵活调用集成。

除了iMC以外，H3C业务软件系列还包括以下产品，为用户提

供丰富的满足需求的解决方案：

iMC面向服务(SOA)的开放架构

ICG运营系统校园一卡通企业单点登陆无线运营系统 ……

终端准入控制(EAD) 安全类接口

运营类接口

QoS类接口行为审计(UBA)

性能优化(QoSM)

用户管理服务

资源使用者路由交换无线存储

故障管理服务配置管理服务性能监控服务

流量计费(CAMS)

管理解决方案

应用系统

服务包装

服务提供

基础资源

管理接口封装

SOAP/WSDL

数据库/文件访问方式网络访问协议：SNMP/Telnet/RMON/MSI-S/TR069

SOAP SOAP SOAP

SOAP/WSDL SOAP/WSDL SOAP/WSDL

SOAP/WSDL C++/C#/Java/Delphi样例

有线终端

无线终端

有线接入交换机

FAT AP设备

FIT AP设备

AC设备

对报表集中管理，实现报表的发布、报表模板管理、周期性报表管理和查看

支持丰富的报表设计能力，将设计的报表模板通过iMC报表平台发布到iMC中，并提供周期性报表能力

根据报表进行决策

解决方案产品介绍 < 业务软件 < iMC智能管理中心

H3C BIMS分支智能管理系统

传统的网管软件例如SNMP、Telnet等要求首先确定被管理设

备的 IP地址，一旦设备采用动态分配的 IP或位于NAT网关后

面，基于SNMP或telnet等协议的传统网管软件将变得无能为

力。同时，在实际的组网环境中，网络边缘设备往往配置类似

而数量巨大，传统的手工管理方式将使管理员面临大量繁琐的

重复劳动。

为了解决上述问题，H3C推出了BIMS(Branch Intelligent Manage-

ment System)分支网点智能管理解决方案，可以实现对动态获

取IP地址的设备或位于NAT网关后面的分支网点设备的集中监

控和管理；在对业务应用基本相同、数量庞大并且分布广泛的

网络边缘设备进行管理时，BIMS更会极大提高管理效率，大

量节约管理成本。

BIMS分支网点智能管理解决方案由两部分组成——分支网点

设备和网管中心。分支网点设备包括H3C MSR系列接入路由

器、SecPath系列安全网关等产品以及其它实现BIMS接口的第

三方设备；管理中心由H3C BIMS管理组件实现。与传统网管

不同，BIMS采用一种创新的被动方式对设备进行管理，网管

中心作为服务器，设备作为客户端，通过设备周期性的主动访

问网管中心来实现对设备的管理，双方通过承载在HTTP上的

BIMS接口协议进行通讯。设备主动访问网管中心时，自动上

报当前的运行状态信息，网管中心根据管理员的设置和设备的

当前状态，可智能的判断是否需要对设备进行升级，并全程监

控和记录设备的升级过程。BIMS是一种端到端的解决方案，

只要被管的终端设备支持BIMS接口即可，中间设备可以是任

意厂商的产品。

H3C IPSec VPN业务管理

IPSec VPN是业界标准的网络安全协议，可以为IP网络通信提

供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，从而有

效抵御网络攻击。尽管IPSec VPN有很多优越的功能，但许多

困扰企业的难题仍然摆在面前。

IPSec VPN设备配置命令多，参数专业性强，参数之间的关系

复杂，如何快速完成业务规划部署？如何监视IPSec VPN网络

的运行状态？如何能够监控用户租用VPN的性能？如何快速定

位IPSec VPN设备的故障？…

为了解决企业用户在使用IPSec VPN过程中的问题，H3C提供

了全方位的VPN解决方案，用户可以利用H3C IPSec VPN软件

轻松构建IPSec VPN网络，有效监视VPN网络的运行，并监控

VPN网络性能，快速定位设备故障，从而方便用户在VPN上开

展各项业务。

H3C IPSec VPN业务解决方案由相对独立的几个业务组件组

成，并无缝地集成在管理框架中。H3C IPSec VPN软件提供向

导方式，帮助用户部署VPN网络，部署具有自动容错功能，如

果部署失败可以自动清除下发到设备上的VPN配置；H3C

IPSec VPN软件可以灵活展示VPN拓扑，显示VPN通道状态，

用户可以很方便地在拓扑上对VPN设备进行管理；提供VPN网

络监控功能，帮助用户监控IPSec VPN通道流量及VPN网络性

能；提供故障管理功能，帮助用户快速定位网络故障。

H3C Device Manager设备管理

现有的企业网络中，由于缺乏有效的设备管理软件，网络管理

人员往往只能通过“徒手”进行设备管理。管理人员往往只能通

过远程登录查看设备工作状态，了解设备运行情况。H3C DM

使这种情况成为过去。

H3C DM设备管理系统提供了对交换机和路由器等设备的网元

管理功能，不仅可以进行面板管理，而且实现了各种业务特性

的配置、查询、监视功能，为用户监控设备运行状态，迅速定

位设备故障提供了方便快捷的途径，还可以与业界通用的

SNMPc、HP OpenView、IBM Netview、Micromuse Netcool等

网管平台进行集成。

NAT网关

Firewall

设备侧网管侧

预部署的设备配置web server

1.设备发起请求

2.server响应配置

Http协议

解决方案产品介绍 < 业务软件 < iMC智能管理中心

传统的网管软件例如SNMP、Telnet等要求首先确定被管理设

备的 IP地址，一旦设备采用动态分配的 IP或位于NAT网关后

面，基于SNMP或telnet等协议的传统网管软件将变得无能为

力。同时，在实际的组网环境中，网络边缘设备往往配置类似

而数量巨大，传统的手工管理方式将使管理员面临大量繁琐的

重复劳动。

为了解决上述问题，H3C推出了BIMS(Branch Intelligent Manage-

ment System)分支网点智能管理解决方案，可以实现对动态获

取IP地址的设备或位于NAT网关后面的分支网点设备的集中监

控和管理；在对业务应用基本相同、数量庞大并且分布广泛的

网络边缘设备进行管理时，BIMS更会极大提高管理效率，大

量节约管理成本。

BIMS分支网点智能管理解决方案由两部分组成——分支网点

设备和网管中心。分支网点设备包括H3C MSR系列接入路由

器、SecPath系列安全网关等产品以及其它实现BIMS接口的第

三方设备；管理中心由H3C BIMS管理组件实现。与传统网管

不同，BIMS采用一种创新的被动方式对设备进行管理，网管

中心作为服务器，设备作为客户端，通过设备周期性的主动访

问网管中心来实现对设备的管理，双方通过承载在HTTP上的

BIMS接口协议进行通讯。设备主动访问网管中心时，自动上

报当前的运行状态信息，网管中心根据管理员的设置和设备的

当前状态，可智能的判断是否需要对设备进行升级，并全程监

控和记录设备的升级过程。BIMS是一种端到端的解决方案，

只要被管的终端设备支持BIMS接口即可，中间设备可以是任

意厂商的产品。

H3C IPSec VPN业务管理

IPSec VPN是业界标准的网络安全协议，可以为IP网络通信提

供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，从而有

效抵御网络攻击。尽管IPSec VPN有很多优越的功能，但许多

困扰企业的难题仍然摆在面前。

IPSec VPN设备配置命令多，参数专业性强，参数之间的关系

复杂，如何快速完成业务规划部署？如何监视IPSec VPN网络

的运行状态？如何能够监控用户租用VPN的性能？如何快速定

位IPSec VPN设备的故障？…

为了解决企业用户在使用IPSec VPN过程中的问题，H3C提供

了全方位的VPN解决方案，用户可以利用H3C IPSec VPN软件

轻松构建IPSec VPN网络，有效监视VPN网络的运行，并监控

VPN网络性能，快速定位设备故障，从而方便用户在VPN上开

展各项业务。

H3C IPSec VPN业务解决方案由相对独立的几个业务组件组

成，并无缝地集成在管理框架中。H3C IPSec VPN软件提供向

导方式，帮助用户部署VPN网络，部署具有自动容错功能，如

果部署失败可以自动清除下发到设备上的VPN配置；H3C

IPSec VPN软件可以灵活展示VPN拓扑，显示VPN通道状态，

用户可以很方便地在拓扑上对VPN设备进行管理；提供VPN网

络监控功能，帮助用户监控IPSec VPN通道流量及VPN网络性

能；提供故障管理功能，帮助用户快速定位网络故障。

H3C Device Manager设备管理

现有的企业网络中，由于缺乏有效的设备管理软件，网络管理

人员往往只能通过“徒手”进行设备管理。管理人员往往只能通

过远程登录查看设备工作状态，了解设备运行情况。H3C DM

使这种情况成为过去。

H3C DM设备管理系统提供了对交换机和路由器等设备的网元

管理功能，不仅可以进行面板管理，而且实现了各种业务特性

的配置、查询、监视功能，为用户监控设备运行状态，迅速定

位设备故障提供了方便快捷的途径，还可以与业界通用的

SNMPc、HP OpenView、IBM Netview、Micromuse Netcool等

网管平台进行集成。

NAT网关

Firewall

设备侧网管侧

预部署的设备配置web server

1.设备发起请求

2.server响应配置

Http协议

解决方案解决方案

应用背景

数据中心(Data Center，DC)是数据大集中而形成的集成IT应用

环境，是各种IT应用业务的提供中心，是数据计算、网络传

输、存储的中心。数据中心实现了IT基础设施、业务应用、数

据的统一、安全策略的统一部署与运维管理。

H3C长期保持对数据中心领域的关注，持续投入力量于数据中

心解决方案的研发，融合了网络、安全、IP存储、智能管理等

产品的基于IToIP架构的数据中心解决方案，有效地解决了用户

在数据中心建设中遇到的各种难题，已经在各行各业的数据中

心建设中广泛应用。

解决方案

通过分析和研究企业数据中心的业务需求，H3C认为数据中心

的建设应以提高效率与核心竞争力目标，以业务流程、IT系统

与基础设施的整合为手段，降低TCO，循序渐进，不断完善和

优化。

数据中心基础网络

根据业务相关性和流程需要，需要采用模块化设计，实现低耦

合、高内聚，保证系统和数据的安全性、可靠性、灵活扩展

性、易于管理。

数据中心基础网络设计原则为分区、分层和分级设计。

数据中心分区设计原则

根据企业自身特点，依据业务系统的相关性、数据流的访问要

求和系统安全控制的要求等，把数据中心的服务器与业务系统

分成内网区(Intranet)、外联区(Extranet)和互联网区(Internet)

等，并在此基础上对业务流程进行深入细化。

数据中心分层设计原则

根据内外部分流原则，把数据中心网络分成标准的核心层、汇

聚层和接入层。

� 数据中心服务器接入分级设计原则

目前的应用访问架构已经逐步由传统的C/S架构向B/S的变迁，

B/S应用架构要求采用Web、App和DB的三级服务器架构。

数据中心分区、分层和分级设计原则在安全性、扩展性、可用

性、易管理方面都具有较大的优势。

数据中心建成之后，用户对网络的可用性最为关注。影响数据

中心网络可用性的因素分为不可控因素和可控因素。

不可控因素，如自然遭害、战争等，通过建设生产中心、本地

备份中心、异地容灾中心，即“两地三中心”，提高不可控因素

下的数据中心的可用性。

可控因素，如设备故障、链路故障、恶意攻击等，通过硬件设

备冗余、物理链路冗余、环网技术、二层路径冗余、三层路径

冗余、快速故障检测技术、不间断转发等技术解决可控因素下

的可用性。

除了在产品层面上提高数据中心可用性，H3C还模拟了各种类

型企业的组网环境，对多种可用性组网方案进行了测试和验

证，输出了大量数据中心高可用的最佳实践，对数据中心建设

具有宝贵的指导意义。

数据中心应用智能

随着业务和数据从分散部署走向大集中，数据中心的数据量急

剧膨胀，数据中心的重要性受到空前的重视，应用优化、网络

安全、应用安全设备大规模部署，融合了应用安全、应用优化

能力的应用智能数据中心越来越受到用户的欢迎。

应用安全涵盖应用层认证、授权和审计、应用层加密(SSL)和

集中PKI部署、应用层防火墙(HTTP/XML防火墙,SAML安全断

言标记语言)、应用层内容安全：防病毒、防入侵等。

应用优化涵盖应用负载均衡、基于硬件的应用缓存、压缩和交

换、应用协议优化(HTTP/TCP协议优化)等。

数据中心虚拟化

在数据大集中的背景下，随着业务的持续发展、系统的更新升

级、设备的不断增多、能耗的大幅飚升，数据中心面临着资源

分配与业务发展无法完美匹配的难题：

虚拟化能够有效解决这些难题，虚拟化用多个物理实体创建一

个逻辑实体，或者用一个物理实体创建多个逻辑实体。实体可

以是计算、存储、网络或应用资源。H3C的虚拟化分成三部

分，网络虚拟化、计算虚拟化和存储虚拟化。

虚拟化的实质是隔离——将不同的业务隔离开来，彼此不能互

访，从而保证业务的安全需求；将不同的业务的资源隔离开

来，从而保证业务对于数据中心资源的需求。

数据中心网络虚拟化和园区虚拟化结合，将数据中心的访问与

网络接入的终端用户认证、安全检查和动态授权结合，确保了

数据中心的安全与灵活访问。

存储虚拟化采用IV5000系列产品，可以支持物理磁盘空间动态

扩展，现有的设备可以融入系统，实现了存储容量的动态扩

展，保护已有投资，增加了用户的ROI的同时降低TCO。

H3C数据中心虚拟化特色：实现了网络、计算、存储的端到端

虚拟化。

数据中心存储与容灾建设

数据大集中在带来的巨大好处之外，同时也带来了风险大集中。

数据中心容灾是为了将数据中心的各种应用系统从灾难造成的故

障或瘫痪状态恢复到可正常运行状态而设计的活动和流程。

数据的远程备份是实现数据级灾备的基础。远程数据备份和恢

复方案支持在生产中心与灾备中心之间通过IP网络对关键业务

数据进行策略性增量复制，实现数据的异地备份，并在生产中

心发生意外灾难时对数据进行快速恢复。IP从网络标准扩展为

信息技术基础架构的标准已成为不可争辩的事实，因此更具标

准化、性能提升更快、更简单易用的IP存储，成为一种发展趋

势。H3C全系列IP存储产品提供完整的数据中心存储解决方案。

典型的容灾系统由灾备中心基础环境设施、数据备份系统、备

份处理系统和网络通信系统、灾难恢复计划等组成。

应用背景

数据中心(Data Center，DC)是数据大集中而形成的集成IT应用

环境，是各种IT应用业务的提供中心，是数据计算、网络传

输、存储的中心。数据中心实现了IT基础设施、业务应用、数

据的统一、安全策略的统一部署与运维管理。

H3C长期保持对数据中心领域的关注，持续投入力量于数据中

心解决方案的研发，融合了网络、安全、IP存储、智能管理等

产品的基于IToIP架构的数据中心解决方案，有效地解决了用户

在数据中心建设中遇到的各种难题，已经在各行各业的数据中

心建设中广泛应用。

解决方案

通过分析和研究企业数据中心的业务需求，H3C认为数据中心

的建设应以提高效率与核心竞争力目标，以业务流程、IT系统

与基础设施的整合为手段，降低TCO，循序渐进，不断完善和

优化。

数据中心基础网络

根据业务相关性和流程需要，需要采用模块化设计，实现低耦

合、高内聚，保证系统和数据的安全性、可靠性、灵活扩展

性、易于管理。

数据中心基础网络设计原则为分区、分层和分级设计。

数据中心分区设计原则

根据企业自身特点，依据业务系统的相关性、数据流的访问要

求和系统安全控制的要求等，把数据中心的服务器与业务系统

分成内网区(Intranet)、外联区(Extranet)和互联网区(Internet)

等，并在此基础上对业务流程进行深入细化。

数据中心分层设计原则

根据内外部分流原则，把数据中心网络分成标准的核心层、汇

聚层和接入层。

� 数据中心服务器接入分级设计原则

目前的应用访问架构已经逐步由传统的C/S架构向B/S的变迁，

B/S应用架构要求采用Web、App和DB的三级服务器架构。

数据中心分区、分层和分级设计原则在安全性、扩展性、可用

性、易管理方面都具有较大的优势。

数据中心建成之后，用户对网络的可用性最为关注。影响数据

中心网络可用性的因素分为不可控因素和可控因素。

不可控因素，如自然遭害、战争等，通过建设生产中心、本地

备份中心、异地容灾中心，即“两地三中心”，提高不可控因素

下的数据中心的可用性。

可控因素，如设备故障、链路故障、恶意攻击等，通过硬件设

备冗余、物理链路冗余、环网技术、二层路径冗余、三层路径

冗余、快速故障检测技术、不间断转发等技术解决可控因素下

的可用性。

除了在产品层面上提高数据中心可用性，H3C还模拟了各种类

型企业的组网环境，对多种可用性组网方案进行了测试和验

证，输出了大量数据中心高可用的最佳实践，对数据中心建设

具有宝贵的指导意义。

数据中心应用智能

随着业务和数据从分散部署走向大集中，数据中心的数据量急

剧膨胀，数据中心的重要性受到空前的重视，应用优化、网络

安全、应用安全设备大规模部署，融合了应用安全、应用优化

能力的应用智能数据中心越来越受到用户的欢迎。

应用安全涵盖应用层认证、授权和审计、应用层加密(SSL)和

集中PKI部署、应用层防火墙(HTTP/XML防火墙,SAML安全断

言标记语言)、应用层内容安全：防病毒、防入侵等。

应用优化涵盖应用负载均衡、基于硬件的应用缓存、压缩和交

换、应用协议优化(HTTP/TCP协议优化)等。

数据中心虚拟化

在数据大集中的背景下，随着业务的持续发展、系统的更新升

级、设备的不断增多、能耗的大幅飚升，数据中心面临着资源

分配与业务发展无法完美匹配的难题：

虚拟化能够有效解决这些难题，虚拟化用多个物理实体创建一

个逻辑实体，或者用一个物理实体创建多个逻辑实体。实体可

以是计算、存储、网络或应用资源。H3C的虚拟化分成三部

分，网络虚拟化、计算虚拟化和存储虚拟化。

虚拟化的实质是隔离——将不同的业务隔离开来，彼此不能互

访，从而保证业务的安全需求；将不同的业务的资源隔离开

来，从而保证业务对于数据中心资源的需求。

数据中心网络虚拟化和园区虚拟化结合，将数据中心的访问与

网络接入的终端用户认证、安全检查和动态授权结合，确保了

数据中心的安全与灵活访问。

存储虚拟化采用IV5000系列产品，可以支持物理磁盘空间动态

扩展，现有的设备可以融入系统，实现了存储容量的动态扩

展，保护已有投资，增加了用户的ROI的同时降低TCO。

H3C数据中心虚拟化特色：实现了网络、计算、存储的端到端

虚拟化。

数据中心存储与容灾建设

数据大集中在带来的巨大好处之外，同时也带来了风险大集中。

数据中心容灾是为了将数据中心的各种应用系统从灾难造成的故

障或瘫痪状态恢复到可正常运行状态而设计的活动和流程。

数据的远程备份是实现数据级灾备的基础。远程数据备份和恢

复方案支持在生产中心与灾备中心之间通过IP网络对关键业务

数据进行策略性增量复制，实现数据的异地备份，并在生产中

心发生意外灾难时对数据进行快速恢复。IP从网络标准扩展为

信息技术基础架构的标准已成为不可争辩的事实，因此更具标

准化、性能提升更快、更简单易用的IP存储，成为一种发展趋

势。H3C全系列IP存储产品提供完整的数据中心存储解决方案。

典型的容灾系统由灾备中心基础环境设施、数据备份系统、备

份处理系统和网络通信系统、灾难恢复计划等组成。

灾备中心建设，以数据容灾为核心，以业务连续性为重点，实

现安全生产与运营。在容灾能力上，两地三中心是当前最好的

容灾模式，可以最大程度的保护数据和业务连续性，应对重大

区域性灾难。

数据中心管理智能化

作为企业运维的核心承载体，数据中心为企业的业务、办公等

IT服务提供支撑，数据中心的管理水平和效率显得尤为重要。

传统的FCAPS管理模型具有重要参考的意义，H3C数据中心的

管理方案包括服务器/网络设备管理、数据存储管理、用户管

理、日志行为审计等多个组成部分。其核心为智能管理中心

iMC，其采用面向服务(SOA)的开发架构，实现故障告警、配

置管理、用户管理、网络拓扑管理、行为审计等功能，系统地

解决目前网络安全、优化、运营中存在的问题。

方案总结

H3C在数据中心解决方案特点总结：

高安全、高可靠、高性能、多业务、可扩展、异构融合、智能

管理。

作为核心业务的承载体，数据中心的建设是一个系统工程，从

分析、设计、建设、运维的各个声明周期都需要从需求分析入

手，紧密结合业务特点，以优化整合业务流程、提高运营效率

和竞争力为目标。

接入控制通道隔离统一应用

MPLS VPN

应用背景

随着网络规模的不断增大，其应用和复杂度也在不断增加。对

一个大型园区来说，通常包括很多不同的公司/部门/群组在同

时使用网络，网络上承载着各种不同的复杂应用。很多时候，

需要对这些不同部门/群组用户的访问权限进行控制、不同业务

间的网络传输也需要安全隔离，这种隔离指的是访问、传输、

应用端到端的隔离。

对于有业务和应用隔离需求的用户来说，传统的物理网络隔离

方案已无法满足需求：网络重复建设、分散管理、安全策略难

部署、无法提供统一的应用服务等，都大大增加了用户在网络

投资、建设和运维、管理方面的负担。

在上世纪九十年代，L2交换是园区局域网的标志性特性，使用

虚拟局域网(VLAN)技术将同一网络上的不同群组用户进行二

层隔离，这种方案简单、高效，但却无法很好地适应网络扩展

的需要：广播域占用带宽资源、收敛速度慢、需要配置较多的

二层特性支持、故障定位和管理困难。

核心、汇聚层L3交换技术的使用，在VLAN方式基础上对网络

的可扩展性、性能和管理复杂度进行了优化，但在网络分区和

建立封闭用户组方面存在限制。访问控制列表(ACL)的使用并

未真正建立封闭的用户群组，而只是在某些关键的节点对部分

访问进行了限制，这种方式没有实现业务流量的安全隔离、配

置管理复杂、限制了终端/应用系统的可移动性。

因此，我们需要一个便于扩展的解决方案，来保持用户群组的

完全隔离，实现服务和安全策略的集中，并保留原有设计的高

可用性、安全性和可扩展性的优势。

H3C虚拟园区网解决方案很好地解决了这个问题。其把共用的

一套物理网络、客户端、服务器资源虚拟出多套逻辑资源，供

不同的群组/部门、业务使用，虽然在物理上这些资源是统一、

集中的，但对不同的用户/业务来说，能够使用到的资源、配置

的安全/管理策略可能各不相同。

解决方案

H3C的虚拟园区网解决方案，集中解决了以下三个重要问题：

• 接入控制：确保接入用户的合法性和安全性，并能够控制用

户的访问权限；

• 通道隔离：确保用户群组获得正确的资源和网络流量的安全

隔离；

• 统一应用：能够为各群组提供正确的服务，并进行集中的管

理和策略控制。

接入控制：通过网络接入控制来对接入网络的终端进行接入安

全保障和资源访问授权。建议采用H3C的EAD终端准入控制系

统，对通过认证的用户动态下发VPN和对应的资源访问和使用

权限，加强对用户的集中管理，统一实施企业安全策略，提高

网络终端的主动抵抗能力。通过中央服务器和客户端的配合，

还可以监控接入用户的安全状态，拒绝非法接入网络，防止终

端ARP欺骗和攻击，进一步加强了整网的稳定和安全。

灾备中心建设，以数据容灾为核心，以业务连续性为重点，实

现安全生产与运营。在容灾能力上，两地三中心是当前最好的

容灾模式，可以最大程度的保护数据和业务连续性，应对重大

区域性灾难。

数据中心管理智能化

作为企业运维的核心承载体，数据中心为企业的业务、办公等

IT服务提供支撑，数据中心的管理水平和效率显得尤为重要。

传统的FCAPS管理模型具有重要参考的意义，H3C数据中心的

管理方案包括服务器/网络设备管理、数据存储管理、用户管

理、日志行为审计等多个组成部分。其核心为智能管理中心

iMC，其采用面向服务(SOA)的开发架构，实现故障告警、配

置管理、用户管理、网络拓扑管理、行为审计等功能，系统地

解决目前网络安全、优化、运营中存在的问题。

方案总结

H3C在数据中心解决方案特点总结：

高安全、高可靠、高性能、多业务、可扩展、异构融合、智能

管理。

作为核心业务的承载体，数据中心的建设是一个系统工程，从

分析、设计、建设、运维的各个声明周期都需要从需求分析入

手，紧密结合业务特点，以优化整合业务流程、提高运营效率

和竞争力为目标。

接入控制通道隔离统一应用

MPLS VPN

应用背景

随着网络规模的不断增大，其应用和复杂度也在不断增加。对

一个大型园区来说，通常包括很多不同的公司/部门/群组在同

时使用网络，网络上承载着各种不同的复杂应用。很多时候，

需要对这些不同部门/群组用户的访问权限进行控制、不同业务

间的网络传输也需要安全隔离，这种隔离指的是访问、传输、

应用端到端的隔离。

对于有业务和应用隔离需求的用户来说，传统的物理网络隔离

方案已无法满足需求：网络重复建设、分散管理、安全策略难

部署、无法提供统一的应用服务等，都大大增加了用户在网络

投资、建设和运维、管理方面的负担。

在上世纪九十年代，L2交换是园区局域网的标志性特性，使用

虚拟局域网(VLAN)技术将同一网络上的不同群组用户进行二

层隔离，这种方案简单、高效，但却无法很好地适应网络扩展

的需要：广播域占用带宽资源、收敛速度慢、需要配置较多的

二层特性支持、故障定位和管理困难。

核心、汇聚层L3交换技术的使用，在VLAN方式基础上对网络

的可扩展性、性能和管理复杂度进行了优化，但在网络分区和

建立封闭用户组方面存在限制。访问控制列表(ACL)的使用并

未真正建立封闭的用户群组，而只是在某些关键的节点对部分

访问进行了限制，这种方式没有实现业务流量的安全隔离、配

置管理复杂、限制了终端/应用系统的可移动性。

因此，我们需要一个便于扩展的解决方案，来保持用户群组的

完全隔离，实现服务和安全策略的集中，并保留原有设计的高

可用性、安全性和可扩展性的优势。

H3C虚拟园区网解决方案很好地解决了这个问题。其把共用的

一套物理网络、客户端、服务器资源虚拟出多套逻辑资源，供

不同的群组/部门、业务使用，虽然在物理上这些资源是统一、

集中的，但对不同的用户/业务来说，能够使用到的资源、配置

的安全/管理策略可能各不相同。

解决方案

H3C的虚拟园区网解决方案，集中解决了以下三个重要问题：

• 接入控制：确保接入用户的合法性和安全性，并能够控制用

户的访问权限；

• 通道隔离：确保用户群组获得正确的资源和网络流量的安全

隔离；

• 统一应用：能够为各群组提供正确的服务，并进行集中的管

理和策略控制。

接入控制：通过网络接入控制来对接入网络的终端进行接入安

全保障和资源访问授权。建议采用H3C的EAD终端准入控制系

统，对通过认证的用户动态下发VPN和对应的资源访问和使用

权限，加强对用户的集中管理，统一实施企业安全策略，提高

网络终端的主动抵抗能力。通过中央服务器和客户端的配合，

还可以监控接入用户的安全状态，拒绝非法接入网络，防止终

端ARP欺骗和攻击，进一步加强了整网的稳定和安全。

通道隔离：通过VLAN/VRF/MPLS VPN技术对不同的应用、业

务和群组用户进行安全隔离，把不同用户、不同应用的数据横

向隔离开来，保证数据传输的私密性和安全性。从业务隔离的

灵活性、配置/管理复杂度、扩展性、组网对设备的要求等多方

面对比，建议大、中型园区内应用MPLS L3VPN技术进行业务

逻辑隔离。

统一应用：通过计算虚拟化、存储虚拟化、虚拟安全等技术，

为整网的隔离用户提供统一的安全策略部署、集中的数据中心

服务、统一的网络监控/管理软件、统一的Internet/WAN出口等

服务，提高资源的利用率、降低管理复杂度。

H3C虚拟园区网解决方案提出了一种新的建网思路，通过虚拟

化技术实现了终端接入的安全和访问权限控制、业务数据传输

的安全隔离、应用资源的按需分配，具有提高了网络整体资源

的利用率、降低用户投资、简化网络管理、增强网络应用安全

性等优点。

方案优势

H3C虚拟园区网解决方案是一种真正的面向应用网络架构设计

方案，该方案能够为行业和企业用户带来的好处包括：

• 端到端的业务安全隔离。通过接入访问控制、MPLS VPN隔

离、应用虚拟化技术为用户业务提供端到端的安全隔离，同时

能够实现灵活的互访和网络扩展。结合H3C虚拟化数据中心，

实现一体化的园区网虚拟化解决方案；

• 终端接入灵活、安全。认证客户端能够杜绝非法终端接入网

络，并且让合法终端在任意位置接入网络均获得相同的VPN归

属和访问权限，甚至可以通过多次认证在不同时刻获得不同的

VPN归属和访问权限，方便做到灵活办公和公用办公，真正实

现网络虚拟化；

• 降低网络投资、减少重复建设。避免了业务、数据物理隔离

需要重复建设、应用服务器、安全设备重复采购的缺点，提高

了整体资源的利用率；

• 降低管理难度、提高管理效率。通过iMC专业管理平台对整

网资源进行统一的管理和部署，提高管理效率。

应用背景

随着Web 2.0的迅猛发展和宽带IP技术的不断完善，高带宽、

高性能、综合多种业务承载能力的城域网成为运营商、电力、

政府等用户网络建设的重点。城域网作为基础的承载平台其上

运行着各种不同的复杂应用如：语音、视频、数据及监控等业

务，网络必须能够根据用户和业务应用需求，提供不同等级的

QoS服务，针对用户的业务流量不断变化采取措施进行网络优

化；城域网作为基础的网络平台，平台的稳定将直接影响整个

业务系统的稳定性，因此网络必须具有全方位的可靠性保障措

施，强大故障自愈的能力，最大限度地支持系统的正常运行。

目前城域网还普遍面临着网络病毒泛滥、DoS攻击等大量的安

全问题，如何在城域网的各个层面统一部署安全策略，就成为

网络建设中需要重点考虑的问题。

H3C城域网解决方案代表了当前城域网技术发展的最新趋势，

可以实现高可靠、高安全、易管理、全业务的城域承载平台。

H3C城域网解决方案采用路由型骨干架构和RPR高可靠环网技

术，实现了数据、视讯、语音、监控、存储的一体化设计，能

够满足城域网上承载全业务的要求，此外，H3C城域网解决方

案还提供了智能化全局安全设计和面向业务的IT智能管理，将

城域网的建设推向了全新的阶段。

解决方案

H3C城域网解决方案包括精细化业务控制、高安全、高可靠三

个部分。精细化业务控制功能实现了根据承载业务特点进行分

用户分级别服务质量保证；通过城域网核心设备内置的防火墙

插卡和安全事件分析系统保证城域承载平台的安全性；RRP、

OAM硬件引擎及MPLS TE FRR等高可靠性技术保证了业务系统

在发生故障时能够实现50ms业务切换机制。

精细化业务控制：精细化的业务控制功能是保障城域网网多种

承载业务流畅运行的基础。H3C城域网解决方案通过H-Qos、

海量ACL和大规格队列技术保证了在网络带宽发生拥塞时，优

先保证重要的生产业务和实时业务优先传送，特别是H-Qos可

以实现基于用户组、用户、用户业务、端口等多级别控制机

制，既能够为高级用户提供质量保证，又能够从整体上节约网

络构造成本。H3C网络流量分析解决方案(NTA)能够让客户及

时了解各种网络应用占用的网络带宽，各种业务消耗的网络资

源和网络应用中TopN流量的源主机，可以帮助网络管理员及

时发现网络瓶颈，利用Qos Manager进行网络的优化和调整，

实现网络利用的最大化。

高安全：H3C针对城域网的安全防护需求提出了一体化安全

防护理念。安全防御系统集成SecBlade系列防火墙插卡、

MPLS VPN、SecCenter安全防护中心，实现对城域网的全方

位安全防护。H3C高端路由设备都支持内置的防火墙模块，

防火墙模块集成了包过滤和状态检测技术可以实现外部攻击

防范、内网安全、流量监控、URL过滤、应用层过滤等功能，

有效的保证网络的安全。MPLS VPN技术可以有效提供端到端

的安全隔离，把不同用户、不同应用的数据横向隔离开来，

保证数据传输的私密性和安全性。H3C高端路由器具有强大

的日志采集功能，和SecCenter配合能够实现先进的事件深度

挖掘及分析，解决了网络与安全设备相互孤立、网络安全状

况不直观、安全事件响应慢、网络故障定位困难等问题，使IT

及安全管理员及时发现网络攻击，保障敏感数据不被窃取以

及业务的持续运行。

通道隔离：通过VLAN/VRF/MPLS VPN技术对不同的应用、业

务和群组用户进行安全隔离，把不同用户、不同应用的数据横

向隔离开来，保证数据传输的私密性和安全性。从业务隔离的

灵活性、配置/管理复杂度、扩展性、组网对设备的要求等多方

面对比，建议大、中型园区内应用MPLS L3VPN技术进行业务

逻辑隔离。

统一应用：通过计算虚拟化、存储虚拟化、虚拟安全等技术，

为整网的隔离用户提供统一的安全策略部署、集中的数据中心

服务、统一的网络监控/管理软件、统一的Internet/WAN出口等

服务，提高资源的利用率、降低管理复杂度。

H3C虚拟园区网解决方案提出了一种新的建网思路，通过虚拟

化技术实现了终端接入的安全和访问权限控制、业务数据传输

的安全隔离、应用资源的按需分配，具有提高了网络整体资源

的利用率、降低用户投资、简化网络管理、增强网络应用安全

性等优点。

方案优势

H3C虚拟园区网解决方案是一种真正的面向应用网络架构设计

方案，该方案能够为行业和企业用户带来的好处包括：

• 端到端的业务安全隔离。通过接入访问控制、MPLS VPN隔

离、应用虚拟化技术为用户业务提供端到端的安全隔离，同时

能够实现灵活的互访和网络扩展。结合H3C虚拟化数据中心，

实现一体化的园区网虚拟化解决方案；

• 终端接入灵活、安全。认证客户端能够杜绝非法终端接入网

络，并且让合法终端在任意位置接入网络均获得相同的VPN归

属和访问权限，甚至可以通过多次认证在不同时刻获得不同的

VPN归属和访问权限，方便做到灵活办公和公用办公，真正实

现网络虚拟化；

• 降低网络投资、减少重复建设。避免了业务、数据物理隔离

需要重复建设、应用服务器、安全设备重复采购的缺点，提高

了整体资源的利用率；

应用背景

随着Web 2.0的迅猛发展和宽带IP技术的不断完善，高带宽、

高性能、综合多种业务承载能力的城域网成为运营商、电力、

政府等用户网络建设的重点。城域网作为基础的承载平台其上

运行着各种不同的复杂应用如：语音、视频、数据及监控等业

务，网络必须能够根据用户和业务应用需求，提供不同等级的

QoS服务，针对用户的业务流量不断变化采取措施进行网络优

化；城域网作为基础的网络平台，平台的稳定将直接影响整个

业务系统的稳定性，因此网络必须具有全方位的可靠性保障措

施，强大故障自愈的能力，最大限度地支持系统的正常运行。

目前城域网还普遍面临着网络病毒泛滥、DoS攻击等大量的安

全问题，如何在城域网的各个层面统一部署安全策略，就成为

网络建设中需要重点考虑的问题。

H3C城域网解决方案代表了当前城域网技术发展的最新趋势，

可以实现高可靠、高安全、易管理、全业务的城域承载平台。

H3C城域网解决方案采用路由型骨干架构和RPR高可靠环网技

术，实现了数据、视讯、语音、监控、存储的一体化设计，能

够满足城域网上承载全业务的要求，此外，H3C城域网解决方

案还提供了智能化全局安全设计和面向业务的IT智能管理，将

城域网的建设推向了全新的阶段。

解决方案

H3C城域网解决方案包括精细化业务控制、高安全、高可靠三

个部分。精细化业务控制功能实现了根据承载业务特点进行分

用户分级别服务质量保证；通过城域网核心设备内置的防火墙

插卡和安全事件分析系统保证城域承载平台的安全性；RRP、

OAM硬件引擎及MPLS TE FRR等高可靠性技术保证了业务系统

在发生故障时能够实现50ms业务切换机制。

精细化业务控制：精细化的业务控制功能是保障城域网网多种

承载业务流畅运行的基础。H3C城域网解决方案通过H-Qos、

海量ACL和大规格队列技术保证了在网络带宽发生拥塞时，优

先保证重要的生产业务和实时业务优先传送，特别是H-Qos可

以实现基于用户组、用户、用户业务、端口等多级别控制机

制，既能够为高级用户提供质量保证，又能够从整体上节约网

络构造成本。H3C网络流量分析解决方案(NTA)能够让客户及

时了解各种网络应用占用的网络带宽，各种业务消耗的网络资

源和网络应用中TopN流量的源主机，可以帮助网络管理员及

时发现网络瓶颈，利用Qos Manager进行网络的优化和调整，

实现网络利用的最大化。

高安全：H3C针对城域网的安全防护需求提出了一体化安全

防护理念。安全防御系统集成SecBlade系列防火墙插卡、

MPLS VPN、SecCenter安全防护中心，实现对城域网的全方

位安全防护。H3C高端路由设备都支持内置的防火墙模块，

防火墙模块集成了包过滤和状态检测技术可以实现外部攻击

防范、内网安全、流量监控、URL过滤、应用层过滤等功能，

有效的保证网络的安全。MPLS VPN技术可以有效提供端到端

的安全隔离，把不同用户、不同应用的数据横向隔离开来，

保证数据传输的私密性和安全性。H3C高端路由器具有强大

的日志采集功能，和SecCenter配合能够实现先进的事件深度

挖掘及分析，解决了网络与安全设备相互孤立、网络安全状

况不直观、安全事件响应慢、网络故障定位困难等问题，使IT

及安全管理员及时发现网络攻击，保障敏感数据不被窃取以

及业务的持续运行。

高可靠：城域网的高可靠性包括设备的可靠性和链路的可靠

性，H3C高端路由设备关键部件都支持冗余，控制平面和业务

平面完全分离，设备的可靠性达到99.999%；在城域网的核心

层，H3C建议采用RPR环网技术，RPR技术实现了SDH和IP技

术的完美结合，在保留了SDH强大保护倒换功能(50ms倒换)

的情况下，很好地适应了城域网的业务需求，并且内环和外环

同时传送数据，内环和外环互为备份。在城域网的汇聚层，

H3C高端路由器通过接口板上一个专用的OAM可靠性检测引

擎，可以实现30ms链路检测机制，20ms链路切换，保证上层

业务应用不受链路中断的影响；对于城域网上部分重要链路可

以通过MPLS TE FRR功能对节点或链路进行备份，保证网络上

的部分链路或设备故障不会影响用户端到端的数据传输。

方案优势

H3C城域网解决方案是一种真正的基于用户业务应用的设计方

案，该方案能够为行业和企业用户带来的好处包括：

• 复杂业务的服务质量保证。通过H-Qos、海量ACL、大规格

队列数可以为城域网上语音、视频、数据及监控等业务提供严

格的服务质量保证，保障了多种业务的流畅运行。

• 高安全性。H3C针对城域网提出全面、深层防护的安全理念，

并提供防火墙插卡、MPLS VPN、安全管理软件等一套完善的安

全部署方案，从城域网入口、网络设备安全管理、安全策略等

多方面、多层次实施，形成高效的城域网安全解决方案。

• 高可靠性。H3C针对城域网通过RPR、MPLS TE FRR、硬件

OAM引擎保证在设备或链路发生故障时，实现50ms业务切

换，从而保证了上层业务应用系统不受影响。

应用背景

当前政府、金融、能源、交通乃至企业的信息化发展，都呈现

一种数据集中、多网合一的趋势，所有这些应用趋势都不可避

免地对现有基础网络提出新的问题：

• 数据中心的出现，如何保障业务高速、可靠、安全的跨广域

互访？

• 新兴业务如多媒体应用(视讯会议、监控业务、语音业务等)

的兴起，如何高效、有序进行传送？

• 多网合一的趋势下，如何简单、方便的完成新业务系统的叠

加？又如何完成不同部门/群组用户的访问权限控制、业务安全

隔离？

解决方案

针对于此，H3C结合长达10年的IP领域的经验和积累，提出

H3C广域纵向网解决方案：基于IP/MPLS技术，构建一个“一网

多用，按需资源分配”的动态业务网络。其把共用的广域网链

路资源虚拟出多套逻辑资源，供不同的群组/部门、业务使用，

实现根据业务和应用划分访问权限和业务流向，进行横向安全

隔离，同时也能根据需要提供灵活的互访控制，并能根据业务

需求的发展动态调整。组网图如下：

方案描述：

• SR/MSR+MPLS VPN构建端到端的可靠虚拟化平台

H3C全系列路由器和高端交换机产品都支持完善MPLS VPN

(RFC2547/VPLS等)，通过MPLS构建端到端的高性能传送网

络，基于客户/业务的逻辑子网完成业务的隔离，或受控互访。

通过iMC的MPLS VPN Manager管理组件，完成逻辑子网的添

加、删除，实现网络的动态调整。

广域网通过分层的可靠性部署，实现端到端可靠保障。如核心

和汇聚之间通过部署 i-SPF实现 IGP快速收敛，通过部署

FRR/BFD技术实现业务级故障切换保护；在边缘和汇聚之间，

通过部署VRRP/BFD实现网关的故障切换保护等；

• 业务板卡＋可视化管理工具保障业务安全传送

在核心部署防火墙插卡，通过虚拟防火墙技术实现广域范围的

不同逻辑子网内的核心数据的安全防护，同时集中式部署方式

实现子网内的访问权限控制和跨子网的受限互访。防火墙插卡

与信心中心的SecCenter服务的联动，能实时、动态、可视的

完成网络威胁的侦测和排除。

在核心部署NetStream插卡，通过iMC NTA联动，完成带宽流

量分布、应用流量分布、会话流量分布的统计，并最终输出相

关的统计报表，提供CIO进行信息决策。同时通过iMC QoS、

SLA组件实现广域网的动态优化和调整。

在核心和边缘，通过部署WAN优化模块实现广域网的应用加

速，使有限的带宽最大化发挥其价值。

方案优势

H3C广域网解决方案是一种真正的面向应用网络架构设计方

案，基于该方案可以为用户实现7个端到端的好处：

• 端到端高性能：万兆多核SR88、多核路由器SR66、高性能

MSR；

• 端到端高可靠：设备高可靠设计、链路高可靠设计和协议高

可靠设计(VRRP、BFD、GR等)；

• 端到端网络虚拟化：丰富的MPLS协议和技术，并能够通过

MPLS VPN Manager实现基于业务需求的资源动态调整；

• 端到端多媒体承载：丰富的组播路由、转发和安全技术，通

过VPN组播有效实现VPN内的媒体传送；

• 端到端精细化业务保证：丰富的QoS处理、支持H-QoS、

MPLS TE，完成区分业务模式的服务质量保证；

• 端到端应用安全集成：集成防火墙、流量分析、广域网加速

等等，实现业务跨广域网的安全防护和集中控制；

• 端到端可视化管理：基于iMC，可以实现MPLS VPN manager、

QoS Manager、ACL Manager等增值业务管理解决方案。

高可靠：城域网的高可靠性包括设备的可靠性和链路的可靠

性，H3C高端路由设备关键部件都支持冗余，控制平面和业务

平面完全分离，设备的可靠性达到99.999%；在城域网的核心

层，H3C建议采用RPR环网技术，RPR技术实现了SDH和IP技

术的完美结合，在保留了SDH强大保护倒换功能(50ms倒换)

的情况下，很好地适应了城域网的业务需求，并且内环和外环

同时传送数据，内环和外环互为备份。在城域网的汇聚层，

H3C高端路由器通过接口板上一个专用的OAM可靠性检测引

擎，可以实现30ms链路检测机制，20ms链路切换，保证上层

业务应用不受链路中断的影响；对于城域网上部分重要链路可

以通过MPLS TE FRR功能对节点或链路进行备份，保证网络上

的部分链路或设备故障不会影响用户端到端的数据传输。

方案优势

H3C城域网解决方案是一种真正的基于用户业务应用的设计方

案，该方案能够为行业和企业用户带来的好处包括：

• 复杂业务的服务质量保证。通过H-Qos、海量ACL、大规格

队列数可以为城域网上语音、视频、数据及监控等业务提供严

格的服务质量保证，保障了多种业务的流畅运行。

• 高安全性。H3C针对城域网提出全面、深层防护的安全理念，

并提供防火墙插卡、MPLS VPN、安全管理软件等一套完善的安

全部署方案，从城域网入口、网络设备安全管理、安全策略等

多方面、多层次实施，形成高效的城域网安全解决方案。

• 高可靠性。H3C针对城域网通过RPR、MPLS TE FRR、硬件

OAM引擎保证在设备或链路发生故障时，实现50ms业务切

换，从而保证了上层业务应用系统不受影响。

应用背景

当前政府、金融、能源、交通乃至企业的信息化发展，都呈现

一种数据集中、多网合一的趋势，所有这些应用趋势都不可避

免地对现有基础网络提出新的问题：

• 数据中心的出现，如何保障业务高速、可靠、安全的跨广域

互访？

• 新兴业务如多媒体应用(视讯会议、监控业务、语音业务等)

的兴起，如何高效、有序进行传送？

• 多网合一的趋势下，如何简单、方便的完成新业务系统的叠

加？又如何完成不同部门/群组用户的访问权限控制、业务安全

隔离？

解决方案

针对于此，H3C结合长达10年的IP领域的经验和积累，提出

H3C广域纵向网解决方案：基于IP/MPLS技术，构建一个“一网

多用，按需资源分配”的动态业务网络。其把共用的广域网链

路资源虚拟出多套逻辑资源，供不同的群组/部门、业务使用，

实现根据业务和应用划分访问权限和业务流向，进行横向安全

隔离，同时也能根据需要提供灵活的互访控制，并能根据业务

需求的发展动态调整。组网图如下：

方案描述：

• SR/MSR+MPLS VPN构建端到端的可靠虚拟化平台

H3C全系列路由器和高端交换机产品都支持完善MPLS VPN

(RFC2547/VPLS等)，通过MPLS构建端到端的高性能传送网

络，基于客户/业务的逻辑子网完成业务的隔离，或受控互访。

通过iMC的MPLS VPN Manager管理组件，完成逻辑子网的添

加、删除，实现网络的动态调整。

广域网通过分层的可靠性部署，实现端到端可靠保障。如核心

和汇聚之间通过部署 i-SPF实现 IGP快速收敛，通过部署

FRR/BFD技术实现业务级故障切换保护；在边缘和汇聚之间，

通过部署VRRP/BFD实现网关的故障切换保护等；

• 业务板卡＋可视化管理工具保障业务安全传送

在核心部署防火墙插卡，通过虚拟防火墙技术实现广域范围的

不同逻辑子网内的核心数据的安全防护，同时集中式部署方式

实现子网内的访问权限控制和跨子网的受限互访。防火墙插卡

与信心中心的SecCenter服务的联动，能实时、动态、可视的

完成网络威胁的侦测和排除。

在核心部署NetStream插卡，通过iMC NTA联动，完成带宽流

量分布、应用流量分布、会话流量分布的统计，并最终输出相

关的统计报表，提供CIO进行信息决策。同时通过iMC QoS、

SLA组件实现广域网的动态优化和调整。

在核心和边缘，通过部署WAN优化模块实现广域网的应用加

速，使有限的带宽最大化发挥其价值。

方案优势

H3C广域网解决方案是一种真正的面向应用网络架构设计方

案，基于该方案可以为用户实现7个端到端的好处：

• 端到端高性能：万兆多核SR88、多核路由器SR66、高性能

MSR；

• 端到端高可靠：设备高可靠设计、链路高可靠设计和协议高

可靠设计(VRRP、BFD、GR等)；

• 端到端网络虚拟化：丰富的MPLS协议和技术，并能够通过

MPLS VPN Manager实现基于业务需求的资源动态调整；

• 端到端多媒体承载：丰富的组播路由、转发和安全技术，通

过VPN组播有效实现VPN内的媒体传送；

• 端到端精细化业务保证：丰富的QoS处理、支持H-QoS、

MPLS TE，完成区分业务模式的服务质量保证；

• 端到端应用安全集成：集成防火墙、流量分析、广域网加速

等等，实现业务跨广域网的安全防护和集中控制；

• 端到端可视化管理：基于iMC，可以实现MPLS VPN manager、

QoS Manager、ACL Manager等增值业务管理解决方案。

应用背景

随着企业规模的不断扩大，异地分支机构、办事处、连锁机

构、经营部门、生产部门，以及投资管理机构，甚至出差人员

对中心的数据的获取需求越来越多样化，安全性和实时性要求

也越来越高，传统专线每月昂贵的租用费用让企业望而却步。

随着Internet在企业领域应用的不断深化，VPN(虚拟专用网，

Virtual Private Network)作为一种廉价安全的组网方案越来越受

到人们的青睐，从费用、可靠性、管理和便于连接等几方面来

看，VPN将是下一阶段企业广域网互连的趋势。

然而，由于VPN本身技术的复杂性、Internet网络的不确定性以

及企业员工计算机应用水平的参差不齐，对于VPN在企业中布

署、管理以及易用性提出了很高的要求。在VPN网络布署完成

后，如何让VPN更好的与企业实际业务融合，提高网络利用率，

为企业节省更多的成本？也是企业VPN应用不可回避的问题。

H3C路由器分支互连解决方案，将传统的VPN网关功能融合到

路由器设备上，能够在最小的投资范围内为企业边缘网络提供

一体化VPN网关解决方案，并融入广域网终端准入控制

(EAD)、VPN Manager等优势工具，让VPN的布署和管理更安

全便捷，充分满足未来业务扩展的多元化应用需求，符合企业

IT建设的现状与趋势。

解决方案

H3C SR6600/MSR路由器具备全面的VPN功能，支持6种VPN

类型及其组合应用，是一台专业的VPN网关设备。

H3C路由器分支互连解决方案，充分融合了多业务路由器与

VPN网关的优势，利用路由器原有的多业务特性，基于自带的

VPN功能为用户提供丰富的一体化业务：

• VoIP、电话会议、即时通信业务与VPN融合，节省长途话

费，提升协同办公效率

• 内防内控应用与VPN融合，实现一机多能

• 认证、管理应用与VPN融合，真正意义上上实现全局安全

如下图所示：

在一个典型的路由器VPN融合组网解决方案中：分支节点通过

IPSec VPN或SSL VPN实现了大型/中小型/合作伙伴/移动用户

不同接入形式的安全接入，同时在分支节点路由器启动广域网

终端准入控制(EAD)，实现VPN客户端的自动安全检查和防

护；在公司总部通过SR6600/MSR内嵌语音插卡(OCS插卡)的

布署，满足企业语音、会议、即时消息等统一通信的需求。网

管中心集中部署VPN Manager、广域网终端准入控制(EAD)可

视化管理工具，可以更方便实施全网VPN的布署和管理，以及

可视化安全准入。

方案优势

高性能VPN技术，实现分支节点的安全接入

H3C SR6600/MSR产品支持全面的VPN功能(L2TP、GRE、

IPsec、DVPN)，是一台专业的VPN网关设备，可以很好的满

足各大型/中小型/合作伙伴等固定分支的接入需求。

H3C路由器通过内嵌的硬件加密引擎，并配合专利技术

(SR6600：多核协同计算，MSR：N-Bus总线架构)，实测转

发性能和加密性能远高于业界同类产品。

SSL VPN技术，满足移动用户的快捷接入

SSL VPN在用户远程接入时特点尤为突出，具体如下

• 灵活动态的接入：用户无需安装客户端通过浏览器就可以从

任何地点发起连接，请求接入

• 基于用户实现访问权限的管理和控制：能实现对公司的高级

经理、普通员工、合作伙伴等不同身份的人，实施不同访问授

权，对越权的访问进行拒绝

• 灵活的数据源控制手段：通过URL、文件目录、 IP、

TCP/UDP端口号的设置，可以细致地限制用户所访问的业务资

源(可以是Web应用、TCP应用，甚至主机网络）

• 能根据客户端的安全状态(操作系统版本及其补丁、浏览器版

本及其补丁、防火墙版本、杀毒软件版本的状态)进行接入控

制：当发现客户端不安全时，就拒绝接入；当客户端安全等级

不高时，就限制其能够访问的网络资源

• 语音与VPN的融合，使世界成为一个虚拟办公室

H3C分支互连解决方案，提供了丰富的语音特性如VoIP、会议

电话、即时通信，实现了分支和总部的远程通话、协同办公的

需求，节省了话费，提升了企业效率。H3C语音方案还集成了

企业总机、企业通信录的功能，完成语音和企业内部组织架构

的高效整合，实现点击拨号等功能。

终端准入控制(EAD)，切实保障了分支用户客户端的

安全和准入

H3C分支互连解决方案通过融合广域网融合终端准入控制(EAD)

特性，提供广域用户的认证、检查、授权、审计的准入。EAD

实现用户在身份认证的同时，设备本身处于安全状态，从而保

证了网络的整体安全，EAD通过支持安全状态评估、安全威胁

定位、安全事件感知及保护措施执行等，可以实现预防因未打

补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装、私设

代理等因素可能带来的安全威胁，并可根据终端的安全状态对

终端采用下线、隔离、VIP、Guest等多种控制模式，有效地加

强了终端用户的安全，EAD还通过的资产管理、软件分发、USB

控制等功能加强客户端的管理。除了以上EAD的常用功能之

外，分支互连解决方案下的EAD还有如下技术优势：

• 分支机构下用户的准入控制，有效防止分支用户多出口内网

外联

• 可以只需出口路由器支持即可，对下挂下挂交换机没有要求

• 控制点在路由器上，只在出口做认证，对局域网访问没有

影响

• 支持无客户端方式(WEB方式)，无需事先安装

这样也就无形中解决了分支机构技术维护水平低，管理难的问

题，使IT管理规定能真正贯彻下去。

可视化管理工具，使IT管理人员能彻底解放出来

H3C独有的VPN Manager管理工具，提供了WEB化的端到端

VPN管理，VPN设备的自动发现，对全网的VPN资源管理，可

以从各个角度体现VPN网络的拓扑结构VPN拓扑、连通性和配

置审计、告警计数分析。最大程度的降低了VPN布署工作量，

为VPN的管理提供了傻瓜式的操作界面。

H3C还支持TR069集群管理功能，能实现多达上千台设备的集

中配置和管理功能。

应用背景

随着企业规模的不断扩大，异地分支机构、办事处、连锁机

构、经营部门、生产部门，以及投资管理机构，甚至出差人员

对中心的数据的获取需求越来越多样化，安全性和实时性要求

也越来越高，传统专线每月昂贵的租用费用让企业望而却步。

随着Internet在企业领域应用的不断深化，VPN(虚拟专用网，

Virtual Private Network)作为一种廉价安全的组网方案越来越受

到人们的青睐，从费用、可靠性、管理和便于连接等几方面来

看，VPN将是下一阶段企业广域网互连的趋势。

然而，由于VPN本身技术的复杂性、Internet网络的不确定性以

及企业员工计算机应用水平的参差不齐，对于VPN在企业中布

署、管理以及易用性提出了很高的要求。在VPN网络布署完成

后，如何让VPN更好的与企业实际业务融合，提高网络利用率，

为企业节省更多的成本？也是企业VPN应用不可回避的问题。

H3C路由器分支互连解决方案，将传统的VPN网关功能融合到

路由器设备上，能够在最小的投资范围内为企业边缘网络提供

一体化VPN网关解决方案，并融入广域网终端准入控制

(EAD)、VPN Manager等优势工具，让VPN的布署和管理更安

全便捷，充分满足未来业务扩展的多元化应用需求，符合企业

IT建设的现状与趋势。

解决方案

H3C SR6600/MSR路由器具备全面的VPN功能，支持6种VPN

类型及其组合应用，是一台专业的VPN网关设备。

H3C路由器分支互连解决方案，充分融合了多业务路由器与

VPN网关的优势，利用路由器原有的多业务特性，基于自带的

VPN功能为用户提供丰富的一体化业务：

• VoIP、电话会议、即时通信业务与VPN融合，节省长途话

费，提升协同办公效率

• 内防内控应用与VPN融合，实现一机多能

• 认证、管理应用与VPN融合，真正意义上上实现全局安全

如下图所示：

在一个典型的路由器VPN融合组网解决方案中：分支节点通过

IPSec VPN或SSL VPN实现了大型/中小型/合作伙伴/移动用户

不同接入形式的安全接入，同时在分支节点路由器启动广域网

终端准入控制(EAD)，实现VPN客户端的自动安全检查和防

护；在公司总部通过SR6600/MSR内嵌语音插卡(OCS插卡)的

布署，满足企业语音、会议、即时消息等统一通信的需求。网

管中心集中部署VPN Manager、广域网终端准入控制(EAD)可

视化管理工具，可以更方便实施全网VPN的布署和管理，以及

可视化安全准入。

方案优势

高性能VPN技术，实现分支节点的安全接入

H3C SR6600/MSR产品支持全面的VPN功能(L2TP、GRE、

IPsec、DVPN)，是一台专业的VPN网关设备，可以很好的满

足各大型/中小型/合作伙伴等固定分支的接入需求。

H3C路由器通过内嵌的硬件加密引擎，并配合专利技术

(SR6600：多核协同计算，MSR：N-Bus总线架构)，实测转

发性能和加密性能远高于业界同类产品。

SSL VPN技术，满足移动用户的快捷接入

SSL VPN在用户远程接入时特点尤为突出，具体如下

• 灵活动态的接入：用户无需安装客户端通过浏览器就可以从

任何地点发起连接，请求接入

• 基于用户实现访问权限的管理和控制：能实现对公司的高级

经理、普通员工、合作伙伴等不同身份的人，实施不同访问授

权，对越权的访问进行拒绝

• 灵活的数据源控制手段：通过URL、文件目录、 IP、

TCP/UDP端口号的设置，可以细致地限制用户所访问的业务资

源(可以是Web应用、TCP应用，甚至主机网络）

• 能根据客户端的安全状态(操作系统版本及其补丁、浏览器版

本及其补丁、防火墙版本、杀毒软件版本的状态)进行接入控

制：当发现客户端不安全时，就拒绝接入；当客户端安全等级

不高时，就限制其能够访问的网络资源

• 语音与VPN的融合，使世界成为一个虚拟办公室

H3C分支互连解决方案，提供了丰富的语音特性如VoIP、会议

电话、即时通信，实现了分支和总部的远程通话、协同办公的

需求，节省了话费，提升了企业效率。H3C语音方案还集成了

企业总机、企业通信录的功能，完成语音和企业内部组织架构

的高效整合，实现点击拨号等功能。

终端准入控制(EAD)，切实保障了分支用户客户端的

安全和准入

H3C分支互连解决方案通过融合广域网融合终端准入控制(EAD)

特性，提供广域用户的认证、检查、授权、审计的准入。EAD

实现用户在身份认证的同时，设备本身处于安全状态，从而保

证了网络的整体安全，EAD通过支持安全状态评估、安全威胁

定位、安全事件感知及保护措施执行等，可以实现预防因未打

补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装、私设

代理等因素可能带来的安全威胁，并可根据终端的安全状态对

终端采用下线、隔离、VIP、Guest等多种控制模式，有效地加

强了终端用户的安全，EAD还通过的资产管理、软件分发、USB

控制等功能加强客户端的管理。除了以上EAD的常用功能之

外，分支互连解决方案下的EAD还有如下技术优势：

• 分支机构下用户的准入控制，有效防止分支用户多出口内网

外联

• 可以只需出口路由器支持即可，对下挂下挂交换机没有要求

• 控制点在路由器上，只在出口做认证，对局域网访问没有

影响

• 支持无客户端方式(WEB方式)，无需事先安装

这样也就无形中解决了分支机构技术维护水平低，管理难的问

题，使IT管理规定能真正贯彻下去。

可视化管理工具，使IT管理人员能彻底解放出来

H3C独有的VPN Manager管理工具，提供了WEB化的端到端

VPN管理，VPN设备的自动发现，对全网的VPN资源管理，可

以从各个角度体现VPN网络的拓扑结构VPN拓扑、连通性和配

置审计、告警计数分析。最大程度的降低了VPN布署工作量，

为VPN的管理提供了傻瓜式的操作界面。

H3C还支持TR069集群管理功能，能实现多达上千台设备的集

中配置和管理功能。

应用背景

随着运营商线路的发展，出口网关设备的外联链路以太化的趋势

越来越明显，但是客户需求的东西越来越多，具体集中在如下：

• 作为企业信息化的进出口网关，如何保证设备的可靠可靠互

连？譬如企业为了保证链路可靠性的时候，经常会向运营商租

赁两条或以上的链路，如何充分利用链路资源，如何在主用链

路出现故障的情况下，动态完成切换保障业务不中断？

• 在网络威胁(黑客攻击、ARP泛滥和病毒威胁等)日益严重的

时代，如何有效避免企业关键信息免受攻击？

• QQ、MSN、Skype等即时通信，还有一些炒股软件等业务已

经严重影响到企业员工的工作效率，如何对网内的P2P应用进

行限制以及能否通过有效的手段对QQ、MSN等即时通信软件

进行限制，从而提升企业于员工的工作效率？

解决方案

H3C边界出口解决方案很好地解决了这个问题。H3C 边界出口

解决方案重点包含三个方面可靠互连、业务控制和增值业务，

最终实现出口安全和业务增值。具体方案如下：

可靠互连

H3C路由器支持增强等价路由技术(增强ECMP)实现多出口情

况下的非等值负载均衡。通常情况下，客户会租赁多条非对称

的链路作为网络出口，如何充分利用链路带宽呢？传统的

ECMP技术，只能实现等值的流量分担，对于这种非对称的链

路将无能为力。H3C增强ECMP技术较好的解决了上述问题，

在多链路出口时先配置等价路由(ECMP)，同时在端口上基于

带宽进行负载均衡，出口路由器即可按照实际带宽比例来转发

业务报文，实现出口链路的充分利用。

H3C Auto-Detect特性提供多出口链路下的链路故障切换功能，

从而保证业务自动回复。Auto-Detect的技术原理如下，路由器

在网络出口的主用链路上周期性向发送目的地探测报文，如果

在规定时间内没有收到响应报文，认为主链路不可用，使能备

份链路(如禁用主静态路由)，从而保证业务自动切换。同时保

持自动探测持续进行，假如主用链路恢复，业务再次切换到主

链路。目前H3C Auto-Detect特性支持与静态路由、接口备份、

VRRP及策略路由进行联动，并实施链路故障的切换。

业务控制

为了充分利用网络出口链路，提升出口带宽的价值。H3C边界

出口解决方案提供一系列的技术来限制非生产业务对于出口带

宽的滥用，如P2P限流、增强NAT功能，也提供一系列的技术

来防范风险攻击，如防火墙、防攻击、防病毒等。

当今用户的网络出口应用中经常这样的情况：大量P2P应用占

用了出口带宽，从而导致企业内部其他正常的办公业务无法使

用。H3C基于特征码的深度业务识别特性(DAR)可以解决这个

问题，其通过匹配相应特征码识别出具体的P2P业务(BT、电

驴、QQ、MSN等)，然后通过QoS技术将其限制到约定的带宽

之内，从而保障企业正常业务的开展。

除此之外，H3C还提供增强NAT功能来实现业务控制的目标，

H3C NAT特性除提供传统NAT功能之外，还提供较多增强型

特性：

• 多ISP NAT：支持进入不同ISP的网络设置不同ISP分配的IP

地址；支持根据不同的ISP发布不同的内部服务器外网地址，

可以避免用户跨ISP访问

• 丰富的NAT ALG：保证主流应用(MSN、QQ、SIP、H323、

FTP、DNS、PPTP等)在NAT转换后依然正常

• 基于用户的NAT带宽限制：可针对每个用户并且能根据来限

制通过NAT的流量带宽

• 基于用户的NAT连接速率限制：可按用户最大连接数，防止

恶意消耗资源的建链攻击，保证用户良好的上网体验

H3C边界出口解决方案还通过内嵌防火墙、防毒卡模块实现边

界出口的2－7层应用放活，最终实现边界安全。H3C防病毒模

块可快速有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波

和高波等网络蠕虫病毒的渗透，防御外部网络的蠕虫病毒、后

门木马和垃圾邮件侵袭；支持在线实时升级功能，能够实时升

级病毒特征库及病毒引擎。

增值业务开展

H3C边界路由器通过融合其他一些的功能组件，从而提供增值

的业务服务。如融合语音插卡(OCS插卡)，为企业提供VoIP、

电话会议、即时通信等功能，从而达到节省长途话费，提升协

同办公效率。

H3C边界路由器还通过与iMC UBA方案联动可以完成企业内网

用户行为审计。譬如H3C路由器输出NAT日志提供给网管的

iMC UBA组件可实现完善的用户上网记录审计功能，在UBA系

统中可详细显示内网IP、上网具体时间、访问网站的详细URL

等信息，通过该系统可以做到每一条上网记录都有据可查。对

于查出的非法网站可通过在出口路由器上配置URL过滤功能，

彻底防止内网用户再次访问。

方案优势

• 可靠：通过增强ECMP和Auto-Detect实现多链路出口情况下

的带宽充分利用和链路故障切换保护。

• 可控：通过基于特征码的深度业务识别(DAR)或增强NAT功

能实现P2P限流，通过内嵌防火墙、防攻击、防毒卡实现网络

威胁防护。

• 可审：通过出口日志和iMC UBA联动，实现用户行为审计。

• 可增值：通过集成OCS语音板卡，实现企业统一通信，提升

企业沟通效率。

应用背景

随着运营商线路的发展，出口网关设备的外联链路以太化的趋势

越来越明显，但是客户需求的东西越来越多，具体集中在如下：

• 作为企业信息化的进出口网关，如何保证设备的可靠可靠互

连？譬如企业为了保证链路可靠性的时候，经常会向运营商租

赁两条或以上的链路，如何充分利用链路资源，如何在主用链

路出现故障的情况下，动态完成切换保障业务不中断？

• 在网络威胁(黑客攻击、ARP泛滥和病毒威胁等)日益严重的

时代，如何有效避免企业关键信息免受攻击？

• QQ、MSN、Skype等即时通信，还有一些炒股软件等业务已

经严重影响到企业员工的工作效率，如何对网内的P2P应用进

行限制以及能否通过有效的手段对QQ、MSN等即时通信软件

进行限制，从而提升企业于员工的工作效率？

解决方案

H3C边界出口解决方案很好地解决了这个问题。H3C 边界出口

解决方案重点包含三个方面可靠互连、业务控制和增值业务，

最终实现出口安全和业务增值。具体方案如下：

可靠互连

H3C路由器支持增强等价路由技术(增强ECMP)实现多出口情

况下的非等值负载均衡。通常情况下，客户会租赁多条非对称

的链路作为网络出口，如何充分利用链路带宽呢？传统的

ECMP技术，只能实现等值的流量分担，对于这种非对称的链

路将无能为力。H3C增强ECMP技术较好的解决了上述问题，

在多链路出口时先配置等价路由(ECMP)，同时在端口上基于

带宽进行负载均衡，出口路由器即可按照实际带宽比例来转发

业务报文，实现出口链路的充分利用。

H3C Auto-Detect特性提供多出口链路下的链路故障切换功能，

从而保证业务自动回复。Auto-Detect的技术原理如下，路由器

在网络出口的主用链路上周期性向发送目的地探测报文，如果

在规定时间内没有收到响应报文，认为主链路不可用，使能备

份链路(如禁用主静态路由)，从而保证业务自动切换。同时保

持自动探测持续进行，假如主用链路恢复，业务再次切换到主

链路。目前H3C Auto-Detect特性支持与静态路由、接口备份、

VRRP及策略路由进行联动，并实施链路故障的切换。

业务控制

为了充分利用网络出口链路，提升出口带宽的价值。H3C边界

出口解决方案提供一系列的技术来限制非生产业务对于出口带

宽的滥用，如P2P限流、增强NAT功能，也提供一系列的技术

来防范风险攻击，如防火墙、防攻击、防病毒等。

当今用户的网络出口应用中经常这样的情况：大量P2P应用占

用了出口带宽，从而导致企业内部其他正常的办公业务无法使

用。H3C基于特征码的深度业务识别特性(DAR)可以解决这个

问题，其通过匹配相应特征码识别出具体的P2P业务(BT、电

驴、QQ、MSN等)，然后通过QoS技术将其限制到约定的带宽

之内，从而保障企业正常业务的开展。

除此之外，H3C还提供增强NAT功能来实现业务控制的目标，

H3C NAT特性除提供传统NAT功能之外，还提供较多增强型

特性：

• 多ISP NAT：支持进入不同ISP的网络设置不同ISP分配的IP

地址；支持根据不同的ISP发布不同的内部服务器外网地址，

可以避免用户跨ISP访问

• 丰富的NAT ALG：保证主流应用(MSN、QQ、SIP、H323、

FTP、DNS、PPTP等)在NAT转换后依然正常

• 基于用户的NAT带宽限制：可针对每个用户并且能根据来限

制通过NAT的流量带宽

• 基于用户的NAT连接速率限制：可按用户最大连接数，防止

恶意消耗资源的建链攻击，保证用户良好的上网体验

H3C边界出口解决方案还通过内嵌防火墙、防毒卡模块实现边

界出口的2－7层应用放活，最终实现边界安全。H3C防病毒模

块可快速有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波

和高波等网络蠕虫病毒的渗透，防御外部网络的蠕虫病毒、后

门木马和垃圾邮件侵袭；支持在线实时升级功能，能够实时升

级病毒特征库及病毒引擎。

增值业务开展

H3C边界路由器通过融合其他一些的功能组件，从而提供增值

的业务服务。如融合语音插卡(OCS插卡)，为企业提供VoIP、

电话会议、即时通信等功能，从而达到节省长途话费，提升协

同办公效率。

H3C边界路由器还通过与iMC UBA方案联动可以完成企业内网

用户行为审计。譬如H3C路由器输出NAT日志提供给网管的

iMC UBA组件可实现完善的用户上网记录审计功能，在UBA系

统中可详细显示内网IP、上网具体时间、访问网站的详细URL

等信息，通过该系统可以做到每一条上网记录都有据可查。对

于查出的非法网站可通过在出口路由器上配置URL过滤功能，

彻底防止内网用户再次访问。

方案优势

• 可靠：通过增强ECMP和Auto-Detect实现多链路出口情况下

的带宽充分利用和链路故障切换保护。

• 可控：通过基于特征码的深度业务识别(DAR)或增强NAT功

能实现P2P限流，通过内嵌防火墙、防攻击、防毒卡实现网络

威胁防护。

• 可审：通过出口日志和iMC UBA联动，实现用户行为审计。

• 可增值：通过集成OCS语音板卡，实现企业统一通信，提升

企业沟通效率。

前言

无线热点是指能够以免费或付费方式获得Wi-Fi服务的地点。无

线热点通常位于无线局域网基站覆盖范围内的机场、咖啡馆、

楼宇、员工餐厅、商场或其它社交场所。运营商可以通过部署

无线热点提供宽带上网业务，同时还可提供免费广告、定制

Portal，WiFi语音等增值业务。

运营商在加大力度投入WLAN热点建设的同时，遇到很多现实

的问题：如何有效的管理数目众多且部署在客户侧的AP，如

何快速部署业务，如何和有线宽带城域网统一部署，如何建

立一种可行的盈利模式，针对运营商在建设WLAN遇到的种种

疑惑，H3C推出了无线热点可管理可运营宽带无线网络解决

方案。

方案概述

WLAN网络是一个开放的网络，如何在WLAN这个开放的网络

提供更好的服务是建设WLAN网络必须要考虑的问题。H3C无

线热点可管理可运营宽带无线网络解决方案融合了无线网络接

入，设备管理和运营管理，为运营商在现网基础上快速部署

WLAN接入业务提供了基础平台。

H3C无线热点方案根据运营商不同情况下的需要，提供FAT AP

和FIT AP两种部署，支持ADSL、LAN、EPON等多种接入有线

的方式。本方案充分考虑到热点部署的各种场景，基于网络规

模设计多种组网模式，具体如下：

• 对一些需要进行集中参数设置/管理的大型区域（如高校、机

场，会展/会议中心、室外休闲广场等）首选FIT AP+AC系统，

园区内部部署无线控制器。

• 对酒店，商务楼宇等中型热点，建议采用FIT AP架构，由运营

商大网AC统一管理。接入方式可采用LAN或EPON方式接入。

• 对餐厅，咖啡厅，家庭等小型热点，可采用FAT AP组网，接

入方式可采用ADSL和LAN接入。

FAT AP组网方案

应用场景

• 主要适用于用户规模较小的中小型场点，如小型企业、商

店、咖啡吧等，一般接入AP数不超过24个。

• 建议采用FAT AP组网，上行多采用ADSL接入方式，也可以

根据实际情况采用LAN方式。

• AP接入采用一级PoE接入交换机汇聚，如S3100。AP可采用

WA2200，WA1208E。

中型场点方案(FIT AP方案)

• 可以提供100M/1000Mbit/s速率，主要适用于用户规模较大

的大型场点，如中型企业、酒店、商场、会展中心、商务楼、

医院等。

• 建议采用FIT AP组网，上行通过LAN接入方式，也可根据需

要采用EPON或ADSL接入。

• AP接入采用二级交换机汇聚结构或EPON方式。

• AP可采用WA2200，WA1208E，WA2110。

• 所有AP统一由运营商大网的无线控制器集中管理。热点部署组网建议

小型场点接入方案

FIT AP接入方案

方案优势缺陷应用场景

无线控制器 AC需求数量少，对AC设备要求较高， WLAN部署初期，

集中布放方案部署简单 AC需支持PPPoE和用户分散的情况下

Portal认证，并需考

虑和现网Portal server

和AAA等设备的互通

无线控制器旁有线、无线统一认证， AC和BAS之间有迂回建议方案

挂BAS方案网络结构，对现网改

动较少

无线控制器直挂流量无迂回，有线无线 AC数量要求较多，且需对汇聚交换机和BAS间

在BAS和汇聚交流量互相分离占用AC和汇聚交换机之存在备用光纤且WLAN

换机的方案间备用光纤用户数量较集中的情况下

无线控制器的位置可以灵活选取，主要的方案有三种，下表列出了基本情况：

无线控制器部署方案对比

AAA&PORTAL

AP控制器

三层交换机IP城域网

ADSL DSLAM

SR POE交换机BRAS

酒店、商务楼宇等中型应用

学校、会展中心等大型应用小型场所

前言

无线热点是指能够以免费或付费方式获得Wi-Fi服务的地点。无

线热点通常位于无线局域网基站覆盖范围内的机场、咖啡馆、

楼宇、员工餐厅、商场或其它社交场所。运营商可以通过部署

无线热点提供宽带上网业务，同时还可提供免费广告、定制

Portal，WiFi语音等增值业务。

运营商在加大力度投入WLAN热点建设的同时，遇到很多现实

的问题：如何有效的管理数目众多且部署在客户侧的AP，如

何快速部署业务，如何和有线宽带城域网统一部署，如何建

立一种可行的盈利模式，针对运营商在建设WLAN遇到的种种

疑惑，H3C推出了无线热点可管理可运营宽带无线网络解决

方案。

方案概述

WLAN网络是一个开放的网络，如何在WLAN这个开放的网络

提供更好的服务是建设WLAN网络必须要考虑的问题。H3C无

线热点可管理可运营宽带无线网络解决方案融合了无线网络接

入，设备管理和运营管理，为运营商在现网基础上快速部署

WLAN接入业务提供了基础平台。

H3C无线热点方案根据运营商不同情况下的需要，提供FAT AP

和FIT AP两种部署，支持ADSL、LAN、EPON等多种接入有线

的方式。本方案充分考虑到热点部署的各种场景，基于网络规

模设计多种组网模式，具体如下：

• 对一些需要进行集中参数设置/管理的大型区域（如高校、机

场，会展/会议中心、室外休闲广场等）首选FIT AP+AC系统，

园区内部部署无线控制器。

• 对酒店，商务楼宇等中型热点，建议采用FIT AP架构，由运营

商大网AC统一管理。接入方式可采用LAN或EPON方式接入。

• 对餐厅，咖啡厅，家庭等小型热点，可采用FAT AP组网，接

入方式可采用ADSL和LAN接入。

FAT AP组网方案

应用场景

• 主要适用于用户规模较小的中小型场点，如小型企业、商

店、咖啡吧等，一般接入AP数不超过24个。

• 建议采用FAT AP组网，上行多采用ADSL接入方式，也可以

根据实际情况采用LAN方式。

• AP接入采用一级PoE接入交换机汇聚，如S3100。AP可采用

WA2200，WA1208E。

中型场点方案(FIT AP方案)

• 可以提供100M/1000Mbit/s速率，主要适用于用户规模较大

的大型场点，如中型企业、酒店、商场、会展中心、商务楼、

医院等。

• 建议采用FIT AP组网，上行通过LAN接入方式，也可根据需

要采用EPON或ADSL接入。

• AP接入采用二级交换机汇聚结构或EPON方式。

• AP可采用WA2200，WA1208E，WA2110。

• 所有AP统一由运营商大网的无线控制器集中管理。热点部署组网建议

小型场点接入方案

FIT AP接入方案

方案优势缺陷应用场景

无线控制器 AC需求数量少，对AC设备要求较高， WLAN部署初期，

集中布放方案部署简单 AC需支持PPPoE和用户分散的情况下

Portal认证，并需考

虑和现网Portal server

和AAA等设备的互通

无线控制器旁有线、无线统一认证， AC和BAS之间有迂回建议方案

挂BAS方案网络结构，对现网改

动较少

无线控制器直挂流量无迂回，有线无线 AC数量要求较多，且需对汇聚交换机和BAS间

在BAS和汇聚交流量互相分离占用AC和汇聚交换机之存在备用光纤且WLAN

换机的方案间备用光纤用户数量较集中的情况下

无线控制器的位置可以灵活选取，主要的方案有三种，下表列出了基本情况：

无线控制器部署方案对比

AAA&PORTAL

AP控制器

三层交换机IP城域网

ADSL DSLAM

SR POE交换机BRAS

酒店、商务楼宇等中型应用

学校、会展中心等大型应用小型场所

大型场点方案

应用场景

• 一般指学校，机场，大型企业等AP需求数量较多，既有公众

上网也有内部OA需求的场所。内部员工可以通过无线网络上

办公网，访客可以利用无线网络访问Internet，但不能访问企业

内网。

• 此外，持有运营商热点账户的用户，也可以通过企业WLAN

网络访问Internet。企业WLAN网络可作为运营商热点的延伸。

• 企业内部部署AAA服务器，无线控制器和无线接入点，运营

商在代维代建企业WLAN网络的同时，还可利用企业无线网络

开展热点运营。

• AP的管理IP地址由无线控制器分配，采用私网IP地址。

• 无线控制器可选用S7500E/S9500交换机集成无线控制器插

卡方式，提供有线无线一体化方案。

无线网管方案

iMC网管中心通过SNMP直接管理到AC设备和FAT AP，FIT AP

设备信息由AC设备提供给 iMC网管中心，管理员可通过

Browser方式操作iMC网管。

无线业务管理组件(以下简称为WSM组件)依托iMC智能管理平

台，实现有线无线一体化的管理。用户可以获得全面的无线业

务管理能力，实现AC、Fat AP、Fit AP、移动终端等无线设备

的集中管理，轻松实现设备配置管理功能，并提供无线拓扑、

AP设备物理位置拓扑等多种拓扑功能，对全网无线设备进行直

观有效的组织，了解网络部署和设备状态；支持无线设备的批

量配置，提升管理效率，降低维护成本；丰富的无线业务报表

可直观体现出无线网络质量、无线流量、无线用户时间和空间

分布。

功能特点

• 提供FAT/FIT AP混合组网方案，以及EPON，LAN等多种接入

方式整体解决方案，满足不同应用场景需求，明确FIT AP和AC

在城域网中的布放方案。

• 支持FAT/FIT AP平滑升级，保护运营商的前期投资。

• 有线无线一体化网管，可在同一个平台中实现对有线无线网

络的无缝管理，节省用户投入，减少维护工作量。

• 无线网管支持AP和用户流量统计，告警和性能监控，掉线率

统计，TopN用户统计等自定义报表功能，以及用户信息查看

及定位，射频覆盖情况显示，无线入侵检测等功能，便于运营

商运维、管理。

• 无线网管支持FIT AP/AC有线无线一体化物理拓扑显示，便于

设备故障时的问题排查。

• FAT AP支持TR-069，简化大规模FAT AP部署和管理。

• AC支持基于SSID的双向限速，防止部分AP和业务抢占网络

带宽。

• 交换机支持无线插卡，保护用户投资，并可以平滑扩容；交

换机集成EPON， IPS，VPN等多业务板卡，实现一体化的

WLAN接入和安全管理。

大型场点WLAN接入iMC无线网管基本模式

应用背景

当您的计算机网络连接正常，却无法打开网页；当您的计算机

网络出现频繁断线，同时网速变得非常慢，这些都可能是由于

存在ARP欺骗攻击及ARP中毒，所表现出来的网络现象。

ARP欺骗攻击不仅导致联网不稳定，极大影响网络的正常运

行，更严重的是利用ARP欺骗攻击可进一步实施中间人攻击，

非法获取到游戏、网银、文件服务等系统的用户名和口令，给

用户造成极大危害。由于造成ARP欺骗攻击的木马程序的特征

不断变化和升级，杀毒软件常常会失去作用。

解决方案

H3C ARP攻击防御解决方案通过对客户端、接入设备和网关三

个控制点实施自上至下的全面防御，并且能够根据不同的网络

环境和客户需求进行防御模块定制，为用户提供多样、灵活的

ARP攻击防御解决方案，保障用户网络的稳定。

在进行大量市场需求调研和分析的基础上，H3C提供的ARP攻

击防御解决方案有两大类：监控方式和认证方式。

监控方式也即DHCP SNOOPING方式，在动态分配IP地址的网

络环境中，交换机监控用户终端申请IP地址的全过程，记录用

户的IP、MAC和端口信息，生成对应的ARP绑定表项，通过

ARP Detection功能检测终端的ARP报文与ARP绑定表项的一致

性，从而达到ARP入侵检测(ARP Intrusion Inspection)和防御

的目的，可在接入层直接阻断非法ARP报文的传播，防止接入

终端发起的任何ARP欺骗攻击。

另外由于ARP欺骗攻击，经常伴随者发送大量的ARP报文，消

耗网络带宽资源和交换机CPU资源，造成网络速度的速度降

低。因此接入交换机还需要部署ARP报文限速，对每个端口单

位时间内接收到的ARP报文以及学习到的ARP数量进行限制，

很好地保障了网络带宽资源和交换机CPU资源。

监控方式ARP攻击防御解决方案适合于采用动态分配IP地址方

式接入的网络，只需接入交换机采用H3C支持DHCP Snooping

的产品，无须任何配置，简便有效，易于管理。

H3C ARP攻击防御解决方案认证模式

认证模式是通过认证协议实现认证，EAD服务器会将事先配置

好的用户、IP、MAC和网关的绑定信息下发给iNode客户端、

接入交换机和网关，实现了ARP报文在iNode客户端、接入交

换机和网关的绑定，使得虚假的ARP在网络里无立足之地，从

根本上防止ARP病毒泛滥。认证方式同时支持IEEE802.1X和

PORTAL认证方式接入的用户和网络，为用户提供更全面、灵

活的解决方案。

认证方式适用于采用认证接入网络的用户，通过EAD服务器、

iNode智能客户端与接入交换机和网关的联动，全方面的防御

所有的ARP攻击。

此外，在采用IEEE802.1X认证方式的网络环境中，H3C接入交

换机还可以监控终端的认证过程，记录用户的IP、MAC和端口

信息，生成对应的ARP绑定表项，通过ARP Detection功能检测

终端的ARP报文与ARP绑定表项的一致性，从而达到ARP入侵

检测(ARP Intrusion Inspection)和防御的目的。此种方式同样

可在接入层直接阻断非法ARP报文的传播，防止接入终端发起

的任何ARP欺骗攻击。

大型场点方案

应用场景

• 一般指学校，机场，大型企业等AP需求数量较多，既有公众

上网也有内部OA需求的场所。内部员工可以通过无线网络上

办公网，访客可以利用无线网络访问Internet，但不能访问企业

内网。

• 此外，持有运营商热点账户的用户，也可以通过企业WLAN

网络访问Internet。企业WLAN网络可作为运营商热点的延伸。

• 企业内部部署AAA服务器，无线控制器和无线接入点，运营

商在代维代建企业WLAN网络的同时，还可利用企业无线网络

开展热点运营。

• AP的管理IP地址由无线控制器分配，采用私网IP地址。

• 无线控制器可选用S7500E/S9500交换机集成无线控制器插

卡方式，提供有线无线一体化方案。

无线网管方案

iMC网管中心通过SNMP直接管理到AC设备和FAT AP，FIT AP

设备信息由AC设备提供给 iMC网管中心，管理员可通过

Browser方式操作iMC网管。

无线业务管理组件(以下简称为WSM组件)依托iMC智能管理平

台，实现有线无线一体化的管理。用户可以获得全面的无线业

务管理能力，实现AC、Fat AP、Fit AP、移动终端等无线设备

的集中管理，轻松实现设备配置管理功能，并提供无线拓扑、

AP设备物理位置拓扑等多种拓扑功能，对全网无线设备进行直

观有效的组织，了解网络部署和设备状态；支持无线设备的批

量配置，提升管理效率，降低维护成本；丰富的无线业务报表

可直观体现出无线网络质量、无线流量、无线用户时间和空间

分布。

功能特点

• 提供FAT/FIT AP混合组网方案，以及EPON，LAN等多种接入

方式整体解决方案，满足不同应用场景需求，明确FIT AP和AC

在城域网中的布放方案。

• 支持FAT/FIT AP平滑升级，保护运营商的前期投资。

• 有线无线一体化网管，可在同一个平台中实现对有线无线网

络的无缝管理，节省用户投入，减少维护工作量。

• 无线网管支持AP和用户流量统计，告警和性能监控，掉线率

统计，TopN用户统计等自定义报表功能，以及用户信息查看

及定位，射频覆盖情况显示，无线入侵检测等功能，便于运营

商运维、管理。

• 无线网管支持FIT AP/AC有线无线一体化物理拓扑显示，便于

设备故障时的问题排查。

• FAT AP支持TR-069，简化大规模FAT AP部署和管理。

• AC支持基于SSID的双向限速，防止部分AP和业务抢占网络

带宽。

• 交换机支持无线插卡，保护用户投资，并可以平滑扩容；交

换机集成EPON， IPS，VPN等多业务板卡，实现一体化的

WLAN接入和安全管理。

大型场点WLAN接入iMC无线网管基本模式

应用背景

当您的计算机网络连接正常，却无法打开网页；当您的计算机

网络出现频繁断线，同时网速变得非常慢，这些都可能是由于

存在ARP欺骗攻击及ARP中毒，所表现出来的网络现象。

ARP欺骗攻击不仅导致联网不稳定，极大影响网络的正常运

行，更严重的是利用ARP欺骗攻击可进一步实施中间人攻击，

非法获取到游戏、网银、文件服务等系统的用户名和口令，给

用户造成极大危害。由于造成ARP欺骗攻击的木马程序的特征

不断变化和升级，杀毒软件常常会失去作用。

解决方案

H3C ARP攻击防御解决方案通过对客户端、接入设备和网关三

个控制点实施自上至下的全面防御，并且能够根据不同的网络

环境和客户需求进行防御模块定制，为用户提供多样、灵活的

ARP攻击防御解决方案，保障用户网络的稳定。

在进行大量市场需求调研和分析的基础上，H3C提供的ARP攻

击防御解决方案有两大类：监控方式和认证方式。

监控方式也即DHCP SNOOPING方式，在动态分配IP地址的网

络环境中，交换机监控用户终端申请IP地址的全过程，记录用

户的IP、MAC和端口信息，生成对应的ARP绑定表项，通过

ARP Detection功能检测终端的ARP报文与ARP绑定表项的一致

性，从而达到ARP入侵检测(ARP Intrusion Inspection)和防御

的目的，可在接入层直接阻断非法ARP报文的传播，防止接入

终端发起的任何ARP欺骗攻击。

另外由于ARP欺骗攻击，经常伴随者发送大量的ARP报文，消

耗网络带宽资源和交换机CPU资源，造成网络速度的速度降

低。因此接入交换机还需要部署ARP报文限速，对每个端口单

位时间内接收到的ARP报文以及学习到的ARP数量进行限制，

很好地保障了网络带宽资源和交换机CPU资源。

监控方式ARP攻击防御解决方案适合于采用动态分配IP地址方

式接入的网络，只需接入交换机采用H3C支持DHCP Snooping

的产品，无须任何配置，简便有效，易于管理。

认证模式是通过认证协议实现认证，EAD服务器会将事先配置

好的用户、IP、MAC和网关的绑定信息下发给iNode客户端、

接入交换机和网关，实现了ARP报文在iNode客户端、接入交

换机和网关的绑定，使得虚假的ARP在网络里无立足之地，从

根本上防止ARP病毒泛滥。认证方式同时支持IEEE802.1X和

PORTAL认证方式接入的用户和网络，为用户提供更全面、灵

活的解决方案。

认证方式适用于采用认证接入网络的用户，通过EAD服务器、

iNode智能客户端与接入交换机和网关的联动，全方面的防御

所有的ARP攻击。

此外，在采用IEEE802.1X认证方式的网络环境中，H3C接入交

换机还可以监控终端的认证过程，记录用户的IP、MAC和端口

信息，生成对应的ARP绑定表项，通过ARP Detection功能检测

终端的ARP报文与ARP绑定表项的一致性，从而达到ARP入侵

检测(ARP Intrusion Inspection)和防御的目的。此种方式同样

可在接入层直接阻断非法ARP报文的传播，防止接入终端发起

的任何ARP欺骗攻击。

方案优势

• 更灵活。提供DHCP监控模式和EAD认证模式两种方案，支

持1X认证和Portal两种认证模式，可在核心/汇聚交换机上部署

ARP防攻击，组网方式多样灵活；

• 更彻底。多种方式组合能够全面防御已有和新建网络ARP攻

击，切实保障网络稳定和安全；

• 保护投资。对接入交换机的依赖较小，可以较好的支持现有

网络的利旧，可以兼容多品牌产品，有效保护投资；

• 适用性强。满足网络地址分配为动态和静态两种方式，最多

三条配置命令，自动完成ARP检测、防御，无需改动网络结

构，部署简单，易于维护。

部署方式预防类型实现方式部署位置部署要求

A：ARP限速 ARP泛洪限制端口下ARP报文速率，接入交换机支持ARP限速特性

避免大量虚假ARP占用网

络带宽，导致网络设备

CPU负载过重

B：DHCP 监控所有ARP欺骗和攻击监控DHCP过程，自动建立接入交换机支持DHCP

绑定表项，通过ARP Detection 监控模式特性

防止虚假ARP在网络中传播

C：1x认证监控所有ARP欺骗和攻击监控1x认证过程，自动建立绑接入交换机支持1x认证监控模式

定表项，通过ARP Detection防

止虚假ARP在网络中传播

D：手工静态绑定所有ARP欺骗和攻击对不采用DHCP、1x认证的端口，接入交换机支持手工静态绑定特性

手工配置ARP Dectection绑定表项

E：普通认证方式仿冒网关、ARP泛洪认证服务器(EAD)向接入终端认证服务器、 EAD配置网关的IP-MAC

(iNode客户端)下发对应网关的接入终端绑定列表，接入终端安

IP-MAC绑定，终端PC生成静态装iNode客户端软件

表项；iNode客户端可进行终端

ARP流量检测，超过阈值自动下线

F：简单网关绑定仿冒网关接入终端若发送带有网关IP的接入交换机支持简单网关绑定特性

ARP报文，进行丢弃

G：ARP一致性检查欺骗网关、检查ARP报文的源MAC与以太头网关支持ARP一致性检查

欺骗终端用户中的源MAC是否一致，不一致则特性

不学习和更新ARP表项

应用背景

IT系统中，终端是网络威胁高发区和IT 管理薄弱点。终端数量

大、分布广、应用频繁，带来的管理难度令 IT管理者十分头

痛。一个高效、安全、全方位的终端准入控制工具能够帮助终

端网络由羸弱变得强壮，更好地抵御各种原因引发的网络威

胁，大大降低终端安全问题出现几率，切实提升用户IT系统的

管理和应用水平。

H3C公司的终端准入控制解决方案EAD(End user Admission

Domination)作为中国最专业、部署最广泛的终端控制解决方

案，已经跨越产品层面，上升到整体解决方案层面，凭借在终

端安全、身份认证、访问控制、资产管理、在线防御、在线审

计、高可用性等全方位的特性，从控制用户终端安全接入网络

入手，对终端强制实施预定安全策略，严格控制终端网络使用

行为，为网络安全提供了有效的保障，帮助用户实现更加主动

的安全防护，从而推动IT整体安全体系的建设。目前，H3C

EAD终端准入解决方案已经在金融、电力、企业、政府、教

育、传媒等用户中获得广泛应用。

作为业界最早推出完整终端准入控制的厂商，H3C强化网络终

端全流程控制，保证易用性，200多名研发人员进行了大量的

研发工作，将EAD解决方案和整个网络系统联动起来，不仅可

以支持局域网、广域网、无线、VPN、网关等多种方式接入，

还具备了分级管理、双机冷备、双机热备、单点逃生、资产管

理、软件分发、外设控制、终端“绿色环保”管理等一系列特色

功能，引领着终端控制技术发展的走向，成为业界的风向标。

解决方案

H3C EAD终端准入控制解决方案从控制用户终端安全接入网络

的角度入手，整合网络接入控制与终端安全产品，通过智能客

户端、安全策略服务器、网络联动设备以及第三方服务器的联

动，对接入网络的用户终端强制实施安全策略，严格控制终端

用户的网络使用行为，有效地加强了用户终端的主动防御能

力，为网络管理人员提供了有效、易用的管理工具和手段。

对于要接入安全网络的用户，EAD解决方案首先要对其进行身

份认证，通过身份认证的用户进行终端的安全认证，根据网络

管理员定制的安全策略进行包括病毒库更新情况、系统补丁安

装情况、软件的黑白名单、U盘外设使用情况、软硬件资产信

息等内容的安全检查，根据检查的结果，EAD对用户网络准入

进行授权和控制。通过安全认证后，用户可以正常使用网络，

与此同时，EAD可以对用户终端运行情况和网络使用情况进行

审计和监控。EAD解决方案对用户网络准入的整体认证过程如

下图所示。

方案优势

• 更灵活。提供DHCP监控模式和EAD认证模式两种方案，支

持1X认证和Portal两种认证模式，可在核心/汇聚交换机上部署

ARP防攻击，组网方式多样灵活；

• 更彻底。多种方式组合能够全面防御已有和新建网络ARP攻

击，切实保障网络稳定和安全；

• 保护投资。对接入交换机的依赖较小，可以较好的支持现有

网络的利旧，可以兼容多品牌产品，有效保护投资；

• 适用性强。满足网络地址分配为动态和静态两种方式，最多

三条配置命令，自动完成ARP检测、防御，无需改动网络结

构，部署简单，易于维护。

部署方式预防类型实现方式部署位置部署要求

A：ARP限速 ARP泛洪限制端口下ARP报文速率，接入交换机支持ARP限速特性

避免大量虚假ARP占用网

络带宽，导致网络设备

CPU负载过重

B：DHCP 监控所有ARP欺骗和攻击监控DHCP过程，自动建立接入交换机支持DHCP

绑定表项，通过ARP Detection 监控模式特性

防止虚假ARP在网络中传播

C：1x认证监控所有ARP欺骗和攻击监控1x认证过程，自动建立绑接入交换机支持1x认证监控模式

定表项，通过ARP Detection防

止虚假ARP在网络中传播

D：手工静态绑定所有ARP欺骗和攻击对不采用DHCP、1x认证的端口，接入交换机支持手工静态绑定特性

手工配置ARP Dectection绑定表项

E：普通认证方式仿冒网关、ARP泛洪认证服务器(EAD)向接入终端认证服务器、 EAD配置网关的IP-MAC

(iNode客户端)下发对应网关的接入终端绑定列表，接入终端安

IP-MAC绑定，终端PC生成静态装iNode客户端软件

表项；iNode客户端可进行终端

ARP流量检测，超过阈值自动下线

F：简单网关绑定仿冒网关接入终端若发送带有网关IP的接入交换机支持简单网关绑定特性

ARP报文，进行丢弃

G：ARP一致性检查欺骗网关、检查ARP报文的源MAC与以太头网关支持ARP一致性检查

欺骗终端用户中的源MAC是否一致，不一致则特性

不学习和更新ARP表项

应用背景

IT系统中，终端是网络威胁高发区和IT 管理薄弱点。终端数量

大、分布广、应用频繁，带来的管理难度令 IT管理者十分头

痛。一个高效、安全、全方位的终端准入控制工具能够帮助终

端网络由羸弱变得强壮，更好地抵御各种原因引发的网络威

胁，大大降低终端安全问题出现几率，切实提升用户IT系统的

管理和应用水平。

H3C公司的终端准入控制解决方案EAD(End user Admission

Domination)作为中国最专业、部署最广泛的终端控制解决方

案，已经跨越产品层面，上升到整体解决方案层面，凭借在终

端安全、身份认证、访问控制、资产管理、在线防御、在线审

计、高可用性等全方位的特性，从控制用户终端安全接入网络

入手，对终端强制实施预定安全策略，严格控制终端网络使用

行为，为网络安全提供了有效的保障，帮助用户实现更加主动

的安全防护，从而推动IT整体安全体系的建设。目前，H3C

EAD终端准入解决方案已经在金融、电力、企业、政府、教

育、传媒等用户中获得广泛应用。

作为业界最早推出完整终端准入控制的厂商，H3C强化网络终

端全流程控制，保证易用性，200多名研发人员进行了大量的

研发工作，将EAD解决方案和整个网络系统联动起来，不仅可

以支持局域网、广域网、无线、VPN、网关等多种方式接入，

还具备了分级管理、双机冷备、双机热备、单点逃生、资产管

理、软件分发、外设控制、终端“绿色环保”管理等一系列特色

功能，引领着终端控制技术发展的走向，成为业界的风向标。

解决方案

H3C EAD终端准入控制解决方案从控制用户终端安全接入网络

的角度入手，整合网络接入控制与终端安全产品，通过智能客

户端、安全策略服务器、网络联动设备以及第三方服务器的联

动，对接入网络的用户终端强制实施安全策略，严格控制终端

用户的网络使用行为，有效地加强了用户终端的主动防御能

力，为网络管理人员提供了有效、易用的管理工具和手段。

对于要接入安全网络的用户，EAD解决方案首先要对其进行身

份认证，通过身份认证的用户进行终端的安全认证，根据网络

管理员定制的安全策略进行包括病毒库更新情况、系统补丁安

装情况、软件的黑白名单、U盘外设使用情况、软硬件资产信

息等内容的安全检查，根据检查的结果，EAD对用户网络准入

进行授权和控制。通过安全认证后，用户可以正常使用网络，

与此同时，EAD可以对用户终端运行情况和网络使用情况进行

审计和监控。EAD解决方案对用户网络准入的整体认证过程如

下图所示。

组网模型

EAD组网模型图中包括智能客户端、联动设备、EAD安全策略

服务器和第三方服务器。

智能客户端：是指安装了H3C iNode智能客户端的用户接入终

端，负责身份认证的发起和安全策略的检查。

网络联动设备：是指用户网络中的交换机、路由器、VPN网关

等设备。EAD提供了灵活多样的组网方案，网络联动设备可以

根据需要灵活部署在各层比如网络接入层和汇聚层。

EAD安全策略服务器：它要求和网络联动设备路由可达。负责

给客户端下发安全策略、接收客户端安全策略检查结果并进行

审核，向网络联动设备发送网络访问的授权指令。

第三方服务器：是指补丁服务器、病毒服务器和安全代理服务

器等，被部署在隔离区中。当用户通过身份认证但安全认证失

败时，将被隔离到隔离区，此时用户只能访问隔离区中的服务

器，通过第三方服务器进行自身安全修复，直到满足安全策略

要求。

功能特点

• 全方位准入控制

网、VPN、无线各种接入方式，支持包括HUB在内的各种复杂

网络、思科等异构网络环境下的部署，保证从任何地点、任何

方式下的接入安全。

• 严格的身份认证

除基于用户名和密码的身份认证外，EAD还支持支持智能卡、

数字证书认证，增强身份认证的安全性。同时，EAD支持多元

素绑定，如账号、MAC地址、IP地址、所在VLAN、接入设备

IP、接入设备端口、无线SSID、QinQ等。

• 完备的安全状态评估

检查、代理及拨号配置、多网卡检查、注册表管理、操作系统

密码管理等； EAD客户端支持和瑞星、江民、金山、

Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内

外主流病毒厂商联动，同时为了更好的满足客户的需求，也支

持与微软SMS、LANDesk、BigFix等业界高端的桌面安全产品

的配合使用。例如已经购买微软的桌面管理工具SMS的用户，

EAD可以与SMS配合，由EAD实现终端用户的准入控制，由

SMS实现各种Windows环境下用户的桌面管理需求：资产管

理、补丁管理、软件分发和安装等。

• 基于用户的准入控制

在用户终端通过病毒、补丁等安全信息检查后，EAD可基于用

户的角色，向网络联动设备下发事先配置的接入控制策略，按

照用户角色权限规范用户的网络使用行为。终端用户的所属

VLAN、ACL访问策略等安全措施均可由管理员统一配置实施，

即使是在HUB环境，也可区分不同的用户并执行不同的控制。

• 灵活方便的执行模式

• 全面的ARP攻击防御

EAD解决方案通过ARP网关地址自动下发、自动绑定的功能，

使终端用户免受ARP欺骗攻击的影响，同时提供了ARP攻击报

文过滤、ARP异常流量检测等控制措施，杜绝恶意用户的ARP

攻击行为。

• 桌面资产管理

EAD解决方案实现了对终端资产全方位的监控和管理，可以对

终端软硬件使用情况、变更情况进行监控，同时还支持终端资

产的配置管理和软件的统一分发、远程协助、桌面防火墙管

理，帮助客户更有效地管理企业的桌面资产。

• U盘审计及外设管理

EAD解决方案可以对U盘和外设的访问过程进行监控，可以查

看重要文件通过U盘拷贝时，有无存在不当使用行为。EAD还

提供了对U盘和其他外设的管理功能，可以对终端用户的USB

存储设备、USB非存储设备、光驱、软驱、串口、并口、红

外、蓝牙、1394、Modem等进行控制，有效防止重要信息的

泄密，而且在离线状态下依然生效。

• 易于部署的无客户端

• 多种层次的高可用性

EAD解决方案提供了双机冷备和双机热备功能，可以避免单台

EAD服务器当机引起的认证中断，同时还支持单机故障的逃生

方案，临时允许客户端不用认证就可以使用网络，保证了经济

敏感用户的利益。

• 扩展开放的解决方案

EAD解决方案为客户提供了一个扩展、开放的结构框架，最大

限度的保护了用户已有的投资。EAD广泛、深入的和国内外防

病毒、操作系统、桌面安全等厂商展开合作，融合各家所长；

EAD与第三方认证服务器、网络联动设备等之间的交互基于标

准、开放的协议架构和规范，易于互联互通。

方案部署

• 局域网安全准入防护

在企业网内部，接入终端一般是通过交换机接入企业网络，

EAD通过与交换机的联动，强制检查用户终端的病毒库和系统

补丁信息，降低病毒和蠕虫蔓延的风险，同时强制实施网络接

入用户的安全策略，阻止来自企业内部的安全威胁。

• 广域网安全准入防护

大型企业往往拥有分支机构或合作伙伴，其分支机构、合作伙

伴也可以通过专线或WAN连接企业总部。这种组网方式在开放

型的商业企业中比较普遍，受到的安全威胁也更严重。为了确

保接入企业内部网的用户具有合法身份且符合企业安全标准，

可以在分支机构路由器、总部路由器或网关中实施EAD准入控

制，保证接入网络的用户终端不会对内部网络造成安全威胁。

• VPN安全准入防护

一些企业和机构允许移动办公员工或外部合作人员通过VPN方

式接入企业内部网络。EAD方案可以通过VPN网关确保远程接

入用户在进入企业内部网之前，检查用户终端的安全状态，并

在用户认证通过后实施企业安全策略。对于没有安装智能客户

端的远程用户，管理员可以选择拒绝其访问内部网络或限制其

访问权限。

• WLAN无线安全准入防护

对于外来访客和企业内部的移动用户，使用WLAN无线网卡接

入企业网络的情况越来越多，这带来了许多安全问题，EAD通

过与FAT AP、AC无线控制器等无线设备的联动，强制用户在

使用无线网络之前，必须先进行身份认证、安全状态检查，在

享受便捷的无线网络同时，大大减少了来自空中的安全威胁。

• 网关安全准入防护

通常企业在满足互联互通的要求

后，会逐渐意识到内部网络安全控

制的必要性，尤其是终端用户的安

全问题，这时终端的安全准入控制

就显得尤为重要。而企业网络通常

为多厂商设备共存，很难单独使用

一家厂商的设备实施网络的准入控

制。这种情况下，视网络规模大

小，推荐使用一台或多台网关设备

作为强制认证控制器，使用基于

Portal的认证协议，部署在核心

层、数据中心、网络出口等位置，

与iNode客户端、安全策略服务器

配合完成EAD终端准入控制。

组网模型

EAD组网模型图中包括智能客户端、联动设备、EAD安全策略

服务器和第三方服务器。

智能客户端：是指安装了H3C iNode智能客户端的用户接入终

端，负责身份认证的发起和安全策略的检查。

网络联动设备：是指用户网络中的交换机、路由器、VPN网关

等设备。EAD提供了灵活多样的组网方案，网络联动设备可以

根据需要灵活部署在各层比如网络接入层和汇聚层。

EAD安全策略服务器：它要求和网络联动设备路由可达。负责

给客户端下发安全策略、接收客户端安全策略检查结果并进行

审核，向网络联动设备发送网络访问的授权指令。

第三方服务器：是指补丁服务器、病毒服务器和安全代理服务

器等，被部署在隔离区中。当用户通过身份认证但安全认证失

败时，将被隔离到隔离区，此时用户只能访问隔离区中的服务

器，通过第三方服务器进行自身安全修复，直到满足安全策略

要求。

功能特点

• 全方位准入控制

网、VPN、无线各种接入方式，支持包括HUB在内的各种复杂

网络、思科等异构网络环境下的部署，保证从任何地点、任何

方式下的接入安全。

• 严格的身份认证

除基于用户名和密码的身份认证外，EAD还支持支持智能卡、

数字证书认证，增强身份认证的安全性。同时，EAD支持多元

素绑定，如账号、MAC地址、IP地址、所在VLAN、接入设备

IP、接入设备端口、无线SSID、QinQ等。

• 完备的安全状态评估

检查、代理及拨号配置、多网卡检查、注册表管理、操作系统

密码管理等； EAD客户端支持和瑞星、江民、金山、

Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内

外主流病毒厂商联动，同时为了更好的满足客户的需求，也支

持与微软SMS、LANDesk、BigFix等业界高端的桌面安全产品

的配合使用。例如已经购买微软的桌面管理工具SMS的用户，

EAD可以与SMS配合，由EAD实现终端用户的准入控制，由

SMS实现各种Windows环境下用户的桌面管理需求：资产管

理、补丁管理、软件分发和安装等。

• 基于用户的准入控制

在用户终端通过病毒、补丁等安全信息检查后，EAD可基于用

户的角色，向网络联动设备下发事先配置的接入控制策略，按

照用户角色权限规范用户的网络使用行为。终端用户的所属

VLAN、ACL访问策略等安全措施均可由管理员统一配置实施，

即使是在HUB环境，也可区分不同的用户并执行不同的控制。

• 灵活方便的执行模式

• 全面的ARP攻击防御

EAD解决方案通过ARP网关地址自动下发、自动绑定的功能，

使终端用户免受ARP欺骗攻击的影响，同时提供了ARP攻击报

文过滤、ARP异常流量检测等控制措施，杜绝恶意用户的ARP

攻击行为。

• 桌面资产管理

EAD解决方案实现了对终端资产全方位的监控和管理，可以对

终端软硬件使用情况、变更情况进行监控，同时还支持终端资

产的配置管理和软件的统一分发、远程协助、桌面防火墙管

理，帮助客户更有效地管理企业的桌面资产。

• U盘审计及外设管理

EAD解决方案可以对U盘和外设的访问过程进行监控，可以查

看重要文件通过U盘拷贝时，有无存在不当使用行为。EAD还

提供了对U盘和其他外设的管理功能，可以对终端用户的USB

存储设备、USB非存储设备、光驱、软驱、串口、并口、红

外、蓝牙、1394、Modem等进行控制，有效防止重要信息的

泄密，而且在离线状态下依然生效。

• 易于部署的无客户端

• 多种层次的高可用性

EAD解决方案提供了双机冷备和双机热备功能，可以避免单台

EAD服务器当机引起的认证中断，同时还支持单机故障的逃生

方案，临时允许客户端不用认证就可以使用网络，保证了经济

敏感用户的利益。

• 扩展开放的解决方案

EAD解决方案为客户提供了一个扩展、开放的结构框架，最大

限度的保护了用户已有的投资。EAD广泛、深入的和国内外防

病毒、操作系统、桌面安全等厂商展开合作，融合各家所长；

EAD与第三方认证服务器、网络联动设备等之间的交互基于标

准、开放的协议架构和规范，易于互联互通。

方案部署

• 局域网安全准入防护

在企业网内部，接入终端一般是通过交换机接入企业网络，

EAD通过与交换机的联动，强制检查用户终端的病毒库和系统

补丁信息，降低病毒和蠕虫蔓延的风险，同时强制实施网络接

入用户的安全策略，阻止来自企业内部的安全威胁。

• 广域网安全准入防护

大型企业往往拥有分支机构或合作伙伴，其分支机构、合作伙

伴也可以通过专线或WAN连接企业总部。这种组网方式在开放

型的商业企业中比较普遍，受到的安全威胁也更严重。为了确

保接入企业内部网的用户具有合法身份且符合企业安全标准，

可以在分支机构路由器、总部路由器或网关中实施EAD准入控

制，保证接入网络的用户终端不会对内部网络造成安全威胁。

• VPN安全准入防护

一些企业和机构允许移动办公员工或外部合作人员通过VPN方

式接入企业内部网络。EAD方案可以通过VPN网关确保远程接

入用户在进入企业内部网之前，检查用户终端的安全状态，并

在用户认证通过后实施企业安全策略。对于没有安装智能客户

端的远程用户，管理员可以选择拒绝其访问内部网络或限制其

访问权限。

• WLAN无线安全准入防护

对于外来访客和企业内部的移动用户，使用WLAN无线网卡接

入企业网络的情况越来越多，这带来了许多安全问题，EAD通

过与FAT AP、AC无线控制器等无线设备的联动，强制用户在

使用无线网络之前，必须先进行身份认证、安全状态检查，在

享受便捷的无线网络同时，大大减少了来自空中的安全威胁。

• 网关安全准入防护

通常企业在满足互联互通的要求

后，会逐渐意识到内部网络安全控

制的必要性，尤其是终端用户的安

全问题，这时终端的安全准入控制

就显得尤为重要。而企业网络通常

为多厂商设备共存，很难单独使用

一家厂商的设备实施网络的准入控

制。这种情况下，视网络规模大

小，推荐使用一台或多台网关设备

作为强制认证控制器，使用基于

Portal的认证协议，部署在核心

层、数据中心、网络出口等位置，

与iNode客户端、安全策略服务器

配合完成EAD终端准入控制。

结束语

凭着多年来在各行业的丰富实践，H3C EAD终端准入控制解决

方案得到了广大用户的普遍认可，继2005年被中国电子信息

产业发展研究院授予“2000－2005年中国最具价值网络安全领

域解决方案”、2007年喜获“金融行业优秀网络信息安全解决方

案”并以部署20万用户领跑中国市场后，2008年H3C EAD在应

用的广度、深度方面均获得了极大的延伸，截至2008年11月

份，H3C EAD解决方案用户数已经超过60万，并在中国银行、

中国建设银行、中国民生银行、国务院办公厅、新华社、国家

人事部、国家统计局、国家电网、中国外运集团、太原钢铁、

用友软件、百度等高端用户获得成功应用，在终端控制市场遥

遥领先。

路漫漫其修远兮，为客户构建开放、安全的网络环境和完善、

生态的IT管理体系还有很多道路要走，H3C将继续秉赋着“以客

户的需求为中心”的理念，立足本土、把握根源、更加努力、

更加专注的在终端管理的道路上，不断前行。

应用背景

随着网络规模的日渐增长，网络中承载的业务也越来越丰富。

企业需要及时的了解到网络中承载的业务，及时的掌握网络流

量特征，以便使网络带宽配置最优化，及时解决网络性能问

题。目前企业在管理网络当中普遍遭遇到了如下的问题：

• 网络的可视性：网络利用率如何？什么样的程序在网络中运

行？主要用户有哪些？网络中是否产生异常流量？有没有长期

的趋势数据用作网络带宽规划？

• 应用的可视性：当前网内有哪些应用？分别产生了多少流

量？网络中应用使用的模式是什么？企业内部重要应用执行状

况如何？

• 用户使用网络模式的可视性：哪些用户产生的流量最多？哪

些服务器接收的流量最多？哪些会话产生了流量？分别使用了

哪些应用？

从这些企业管理网络中所经常遇到的问题来看，需要有一种解

决方案能让网络管理人员及时了解到详细的网络使用情形，使

网络管理人员及时洞察网络运行状况、及时了解网内应用的执

行情况。

解决方案

为了应对企业网络管理中的这些问题，H3C网络流量分析解决

方案(NTA)应运而生，NTA网络流量分析组件可以为企业网、

校园网、园区网等各种网络提供网络流量信息统计和分析功

能，能够让客户及时了解各种网络应用占用的网络带宽，各种

业务消耗的网络资源和网络应用中TopN流量的来源，可以帮

助网络管理员及时发现网络瓶颈，防范网络病毒的攻击，并提

供丰富的网络流量分析报表。帮助客户在网络规划、网络监

iMC NTA解决方案包括：网络设备、DIG日志采集器(可选）、

iMC NTA网络流量分析组件。

网络流量分析设备：是指提供NetStream技术/sFlow技术接口

的网络设备，负责对设备各个端口进出的网络报文进行流分类

统计，然后打包输出。

DIG日志采集器：适用于配合不支持NetStream技术/sFlow技术

的网络设备进行流量分析的组网环境，DIG日志采集器过滤和

统计DIG日志报文，形成DIG日志输出。DIG采集器有以下两种

方式对网络设备端口的数据报文进行采集：

从镜像端口采集

对于支持镜像端口的交换机、路由器设备，可以将镜像端口直

接同DIG日志探针组件的采集网卡相连，实现数据采集。此类

采集方式，需要设置设备镜像端口，保证镜像端口和采集网卡

的类型匹配、带宽匹配。

� 分流器采集

在设备不支持镜像端口的情况下，为了不影响设备性能，比较专

业的采集方案是采用分流器，从设备端口接收网络数据报文。

NTA网络流量分析服务器：iMC NTA网络流量分析组件是本方

案的核心，其根据不同应用对采集来的流量数据进行详细的分

析处理。使用分布式数据集中和分析的方法，具备高效的分析

样本以及细化的统计粒度。为便于网络管理人员的操作，采用

基于Web的直观的、图形化的管理界面。

网络设备

Packet

NetStream/sFLow

端口镜像流量

P2P应用流量监控与分析对MPLS VPN流量进行分析

联动iMC UAM提供上网明细查询

网络流量分析解决方案(NTA)逻辑组成

结束语

凭着多年来在各行业的丰富实践，H3C EAD终端准入控制解决

方案得到了广大用户的普遍认可，继2005年被中国电子信息

产业发展研究院授予“2000－2005年中国最具价值网络安全领

域解决方案”、2007年喜获“金融行业优秀网络信息安全解决方

案”并以部署20万用户领跑中国市场后，2008年H3C EAD在应

用的广度、深度方面均获得了极大的延伸，截至2008年11月

份，H3C EAD解决方案用户数已经超过60万，并在中国银行、

中国建设银行、中国民生银行、国务院办公厅、新华社、国家

人事部、国家统计局、国家电网、中国外运集团、太原钢铁、

用友软件、百度等高端用户获得成功应用，在终端控制市场遥

遥领先。

路漫漫其修远兮，为客户构建开放、安全的网络环境和完善、

生态的IT管理体系还有很多道路要走，H3C将继续秉赋着“以客

户的需求为中心”的理念，立足本土、把握根源、更加努力、

更加专注的在终端管理的道路上，不断前行。

应用背景

随着网络规模的日渐增长，网络中承载的业务也越来越丰富。

企业需要及时的了解到网络中承载的业务，及时的掌握网络流

量特征，以便使网络带宽配置最优化，及时解决网络性能问

题。目前企业在管理网络当中普遍遭遇到了如下的问题：

• 网络的可视性：网络利用率如何？什么样的程序在网络中运

行？主要用户有哪些？网络中是否产生异常流量？有没有长期

的趋势数据用作网络带宽规划？

• 应用的可视性：当前网内有哪些应用？分别产生了多少流

量？网络中应用使用的模式是什么？企业内部重要应用执行状

况如何？

• 用户使用网络模式的可视性：哪些用户产生的流量最多？哪

些服务器接收的流量最多？哪些会话产生了流量？分别使用了

哪些应用？

从这些企业管理网络中所经常遇到的问题来看，需要有一种解

决方案能让网络管理人员及时了解到详细的网络使用情形，使

网络管理人员及时洞察网络运行状况、及时了解网内应用的执

行情况。

解决方案

为了应对企业网络管理中的这些问题，H3C网络流量分析解决

方案(NTA)应运而生，NTA网络流量分析组件可以为企业网、

校园网、园区网等各种网络提供网络流量信息统计和分析功

能，能够让客户及时了解各种网络应用占用的网络带宽，各种

业务消耗的网络资源和网络应用中TopN流量的来源，可以帮

助网络管理员及时发现网络瓶颈，防范网络病毒的攻击，并提

供丰富的网络流量分析报表。帮助客户在网络规划、网络监

iMC NTA解决方案包括：网络设备、DIG日志采集器(可选）、

iMC NTA网络流量分析组件。

网络流量分析设备：是指提供NetStream技术/sFlow技术接口

的网络设备，负责对设备各个端口进出的网络报文进行流分类

统计，然后打包输出。

DIG日志采集器：适用于配合不支持NetStream技术/sFlow技术

的网络设备进行流量分析的组网环境，DIG日志采集器过滤和

统计DIG日志报文，形成DIG日志输出。DIG采集器有以下两种

方式对网络设备端口的数据报文进行采集：

从镜像端口采集

对于支持镜像端口的交换机、路由器设备，可以将镜像端口直

接同DIG日志探针组件的采集网卡相连，实现数据采集。此类

采集方式，需要设置设备镜像端口，保证镜像端口和采集网卡

的类型匹配、带宽匹配。

� 分流器采集

在设备不支持镜像端口的情况下，为了不影响设备性能，比较专

业的采集方案是采用分流器，从设备端口接收网络数据报文。

NTA网络流量分析服务器：iMC NTA网络流量分析组件是本方

案的核心，其根据不同应用对采集来的流量数据进行详细的分

析处理。使用分布式数据集中和分析的方法，具备高效的分析

样本以及细化的统计粒度。为便于网络管理人员的操作，采用

基于Web的直观的、图形化的管理界面。

网络设备

Packet

NetStream/sFLow

端口镜像流量

P2P应用流量监控与分析对MPLS VPN流量进行分析

联动iMC UAM提供上网明细查询

网络流量分析解决方案(NTA)逻辑组成

方案优势

• 整网统一的流量分析。NTA可统计接入、汇聚、核心、出口

等不同层次网络设备流量信息，以接口、接口组、IP组等单位

监控流入、流出速、链路利用率、应用、TopN节点等流量信

息。从多角度分析网络流量，并生成报表(包括总体流量趋势

报表、应用流量分析报表、来源/目的节点流量报表、会话等几

大类)，为客户提供整网统一的流量分析解决方案；

• 智能基线及自动告警。NTA采用独创的坏值剔除技术和高精

度的基线构造算法，智能化自动生成流量基线，动态衡量网络

总体流量水平。依据基线实时监测流量状态，采用零均值化、

二阶自回归模型AR(2)等高准确性的数学模型，在无序的流量运

行状态中准确分辨网络异常流量，流量发生异常偏离时自动告

警，通过声光、短信、邮件等多种方式通知管理员，及时发现

网络中的异常流量；

• 分布式流量监控能力。针对一个总部多个分支、跨广域网的

大型园区网，提供了分布式流量检测能力：通过核心出口部署

流量检测点，实现对企业各分支之间、分支到总部应用流量的

统计分析；通过在各分支部署流量检测点实现各分支网络内部

应用流量的监控。并以统一的Web界面展示全网总部和分支所

有流量，实现层次化的分级流量监控；

• 流量信息永久保存。NTA采用独创的海量数据裁减和压缩算

法，能够永久保存网络流量信息，便于客户观测长期流量趋势

作为网络规划、带宽扩容的参考；

• 七层应用流量分析。针对端口不固定的应用，如P2P应用，

NTA通过报文应用层数据的特征进行识别，提供对常见P2P应

用(BT、eDonkey等)的网络占用带宽趋势图和流量趋势图及应

用的详细信息列表等报表，实现对此类应用流量的监控；

• 基于用户的流量分析。NTA提供了根据IP地址获取对应的主

机名称/域名和MAC地址的功能，并可与iMC用户接入管理组

件进行联动，获取特定时间段内使用该IP地址的用户上网明细

信息；

• VPN流量分析。通过NTA对NetStream V9中VPN日志模板的

支持，可以接收和处理MPLS VPN流量日志，并基于VPN进行

流量分析，供用户了解网络中各VPN内部的流量使用情况，对

规划VPN网络提供帮助。

应用背景

作为业界领导的网络设备厂商，H3C通过多年对网络的深刻理

解和积累，在流量分析的基础上，推出了性能优化解决方案

解决方案

瓶颈和用户流量瓶颈：

根据流量分析的结果，管理员可以借助图形化的QoS配置工

具，制定全网的QoS策略，完成对指定的关键流量端到端的

QoS服务保证配置，实现QoS业务在图形化操作界面上的“所见

即可得”：

完成QoS策略部署后，H3C性能优化解决方案为管理员提供

SLA(服务水平协议)工具，可以实现对QoS策略实施效果的监

测审计，并输出图形报表，确保关键的业务得到了指定的服务

保证水平：

带宽利用率

应用流量分析

创建^^QoS业务

创建^^^^QoS业务

全网QoS端到端管理

SLA监测QoS策略实施效果

用户流量分析

方案优势

• 整网统一的流量分析。NTA可统计接入、汇聚、核心、出口

等不同层次网络设备流量信息，以接口、接口组、IP组等单位

监控流入、流出速、链路利用率、应用、TopN节点等流量信

息。从多角度分析网络流量，并生成报表(包括总体流量趋势

报表、应用流量分析报表、来源/目的节点流量报表、会话等几

大类)，为客户提供整网统一的流量分析解决方案；

• 智能基线及自动告警。NTA采用独创的坏值剔除技术和高精

度的基线构造算法，智能化自动生成流量基线，动态衡量网络

总体流量水平。依据基线实时监测流量状态，采用零均值化、

二阶自回归模型AR(2)等高准确性的数学模型，在无序的流量运

行状态中准确分辨网络异常流量，流量发生异常偏离时自动告

警，通过声光、短信、邮件等多种方式通知管理员，及时发现

网络中的异常流量；

• 分布式流量监控能力。针对一个总部多个分支、跨广域网的

大型园区网，提供了分布式流量检测能力：通过核心出口部署

流量检测点，实现对企业各分支之间、分支到总部应用流量的

统计分析；通过在各分支部署流量检测点实现各分支网络内部

应用流量的监控。并以统一的Web界面展示全网总部和分支所

有流量，实现层次化的分级流量监控；

• 流量信息永久保存。NTA采用独创的海量数据裁减和压缩算

法，能够永久保存网络流量信息，便于客户观测长期流量趋势

作为网络规划、带宽扩容的参考；

• 七层应用流量分析。针对端口不固定的应用，如P2P应用，

NTA通过报文应用层数据的特征进行识别，提供对常见P2P应

用(BT、eDonkey等)的网络占用带宽趋势图和流量趋势图及应

用的详细信息列表等报表，实现对此类应用流量的监控；

• 基于用户的流量分析。NTA提供了根据IP地址获取对应的主

机名称/域名和MAC地址的功能，并可与iMC用户接入管理组

件进行联动，获取特定时间段内使用该IP地址的用户上网明细

信息；

• VPN流量分析。通过NTA对NetStream V9中VPN日志模板的

支持，可以接收和处理MPLS VPN流量日志，并基于VPN进行

流量分析，供用户了解网络中各VPN内部的流量使用情况，对

规划VPN网络提供帮助。

应用背景

作为业界领导的网络设备厂商，H3C通过多年对网络的深刻理

解和积累，在流量分析的基础上，推出了性能优化解决方案

解决方案

瓶颈和用户流量瓶颈：

根据流量分析的结果，管理员可以借助图形化的QoS配置工

具，制定全网的QoS策略，完成对指定的关键流量端到端的

QoS服务保证配置，实现QoS业务在图形化操作界面上的“所见

即可得”：

完成QoS策略部署后，H3C性能优化解决方案为管理员提供

SLA(服务水平协议)工具，可以实现对QoS策略实施效果的监

测审计，并输出图形报表，确保关键的业务得到了指定的服务

保证水平：

带宽利用率

应用流量分析

创建^^QoS业务

创建^^^^QoS业务

全网QoS端到端管理

SLA监测QoS策略实施效果

用户流量分析

方案优势

• 从分析到执行，再到审计监测，完整的业务流程解决方案

为管理员提供的不是一个简单的配置工具，而是一个从发现问

题到分析问题再到解决问题的完整业务流程解决方案，将工作

流程融入于管理工具之中；

• 向导式的操作界面，方便管理员完成端到端的QoS服务保证

策略，所见即可得

友好的操作界面，管理员可以直接通过图形界面完成全网QoS

策略的预制，并可直接下发网络设备完成配置，真正实现端到

端QoS策略，所见即所得；

• 性能优化与网络拓扑、告警、用户信息等联动，形成融合统

一管理方案

性能优化与网络拓扑关联，异常流量通过拓扑直观展示。与网络告

警关联，自学习网络流量基线，当网络流量与基线模型不符时，短

信、邮件等方式发送告警信息给管理员。与网络接入用户关联，网

络会话流量直接定位到用户信息，方便管理员识别流量。

应用背景

随着网络规模的不断扩大，以及新业务如雨后春笋般的涌现，

效的信息，各式各样的报表始终贯穿于日常工作中。在网络管

解决方案

iAR解决方案共由四个部分组成：

报表管理平台。iMC平台集成并提供了集中的报表管理平台，

实现对报表模板管理、周期性报表管理和报表模板的发布，同

时提供实时报表和周期性报表的查看。

报表设计平台。通过报表设计平台可以方便的设计出用户所

需要的报表，设计所见即所得，可以无缝地和报表管理平台

集成。

开放数据源。用户使用报表设计平台设计自定义报表，需要

iMC的网络和业务数据作为数据源。iMC平台和各业务组件开

放了丰富的数据源，并随版本提供完备的数据源说明，方便查

看和使用。

数据分析工具。用于从多个源提取业务数据、清理数据，然

后集成这些数据，并将它们装入数据库中，为数据分析做好

准备。

方案优势

• 从分析到执行，再到审计监测，完整的业务流程解决方案

为管理员提供的不是一个简单的配置工具，而是一个从发现问

题到分析问题再到解决问题的完整业务流程解决方案，将工作

流程融入于管理工具之中；

• 向导式的操作界面，方便管理员完成端到端的QoS服务保证

策略，所见即可得

友好的操作界面，管理员可以直接通过图形界面完成全网QoS

策略的预制，并可直接下发网络设备完成配置，真正实现端到

端QoS策略，所见即所得；

• 性能优化与网络拓扑、告警、用户信息等联动，形成融合统

一管理方案

性能优化与网络拓扑关联，异常流量通过拓扑直观展示。与网络告

警关联，自学习网络流量基线，当网络流量与基线模型不符时，短

信、邮件等方式发送告警信息给管理员。与网络接入用户关联，网

络会话流量直接定位到用户信息，方便管理员识别流量。

应用背景

随着网络规模的不断扩大，以及新业务如雨后春笋般的涌现，

效的信息，各式各样的报表始终贯穿于日常工作中。在网络管

解决方案

iAR解决方案共由四个部分组成：

报表管理平台。iMC平台集成并提供了集中的报表管理平台，

实现对报表模板管理、周期性报表管理和报表模板的发布，同

时提供实时报表和周期性报表的查看。

报表设计平台。通过报表设计平台可以方便的设计出用户所

需要的报表，设计所见即所得，可以无缝地和报表管理平台

集成。

开放数据源。用户使用报表设计平台设计自定义报表，需要

iMC的网络和业务数据作为数据源。iMC平台和各业务组件开

放了丰富的数据源，并随版本提供完备的数据源说明，方便查

看和使用。

数据分析工具。用于从多个源提取业务数据、清理数据，然

后集成这些数据，并将它们装入数据库中，为数据分析做好

准备。

方案优势

• 完备的开放数据源。 iMC开放的数据源是自定义报表的基

础，涵盖了iMC预定义报表使用的几乎所有数据源，并且不断

增加中。 iMC平台开放的是基础网管的数据，包括资源、性

能、告警模块，每个业务组件也会根据自己的设计开放完备的

数据源；

• 强大的智能分析能力。iMC报表平台同时内嵌强大的智能数

据分析工具，在iMC开放的原始数据源和对应复杂报表需求的

用户自定义报表数据源之间搭建起了一个桥梁；

• 丰富的预定义报表模板。iMC平台和各业务组件提供了近50

种丰富的预定义报表模板，如设备总表、配置变化报表、链路

通断报表等，对于大部分用户，已经完全能够满足日常的报表

需求；

• 灵活的报表设计功能。iAR提供可视化的自定义报表设计环

境，类似MS Office的操作界面，用户可以拖放报表的组成元

素，例如报表标题、数据库字段等。同时提供了各种专家向

导，包括排序专家、分组专家、汇总专家、选择专家、图表专

家等功能向导，指导用户轻松地实现记录的排序、分类、归

纳、选择和格式设置等，快速开发和设计报表。提供多种报表

样式，包括普通的行列报表、主/子报表、图形摘要报表、交叉

表、TopN和BottomN报表；

• 业界领先的报表展示。设计的报表能以多种图形或列表等各

种形式展示；

设备总表

自动化的周期性报表机制。在报表平台中，可以使用报表模

板创建各类周期的报表，包括天报表、周报表、月报表、季度

报表、半年报表、年报表。可以设定周期性报表的开始时间、

失效时间。完成一次性配置后，就可以自动化的产生周期性报

表结果。同时，对所有的报表模板，都可以使用立即报表的操

作查看实时的报表数据，而不必等到每个周期结束时。有助于

实时的定位问题；

� 自动的发放报表。对于自动化生成的周期性报表，可以根据

需要发送给不同角色的用户，比如决策人、投资人、管理员

等。如果采用手工的操作，将是一件繁重的工作，iAR解决方

案提供了通过Email自动发放报表的功能。

应用背景

随着网络基础设施建设的迅速发展，网络使用人数快速增长，

网络在企业生产经营和人们的生活中的作用也日益重要。然而

随着网络技术的普及和网络用户使用水平的不断提高，在网络

建设和应用过程中也出现了很多难以监控与管理的用户行为：

• 网络帐号盗用严重：政府、企业、高校等用户出于网络运营

和信息安全等需要，通常对网络用户采用AAA服务器进行认证

管理，但盗用他人帐号密码和IP地址的行为仍然时有发生。

• 访问不健康、非法站点，散布非法言论：当前，网络也成为

某些人攻击政府、危害社会的工具。由于目前尚没有简单有效

的技术手段追查非法网站的访问者和不当言论的传播人，此类

行为往往难以治理。

非法的网络行为同网络用户人数一样呈高速增长趋势。为了解

决上述问题，公安部门在2005年颁布了《互联网安全保护技术

措施规定》，要求网络管理者或者运营者必须记录并留存用户

登录和退出时间、主叫号码、帐号、互联网地址或域名等信

息，能够记录并留存用户使用的互联网网络地址和内部网络地

址对应关系，并保留3个月以上的上网日志信息备查，以便公

安机关公共信息网络安全监察部门在需要时可以进行追查。

解决方案

针对公安机关保留上网记录的要求，帮助政府、企业、高校等

的日志类型，管理员可以获得如源IP地址、源端口、目的IP地

UBA具备全面的日志采集和强大的日志审计功能，能高效地收

集用户上网数据，分析用户上网行为，掌握网络运行的状态，

为网络管理员追查相关行为的责任人提供依据。UBA采用基于

IP地址的日志审计方式，能够将进行非法网络行为的用户精确

定义到该用户上一次上网使用的IP地址。但当网络中采用了动

态IP地址分配(DHCP)技术，同一用户多次上网分配的IP地址

不同时，网络管理员不能依据IP地址鉴定用户的身份，这也是

传统的用户行为审计解决方案需要解决的共同问题。

针对这点，UBA解决方案提供了创新性的基于用户身份的行为

审计方案，通过与iMC UAM用户接入管理组件的联动，直接将

上网IP的非法行为记录映射到上网者的用户帐号，管理者可以

很容易查询到是访问非法网站的用户帐号，大大方便了管理部

门对上网行为的管理。

用户行为审计解决方案(UBA)逻辑组成

分析网络报文提取符合条件日志统计信息输出日志统计信息

解析网络设备报文收集统计数据，过滤聚合后存储数据库统计分析数据，根据审计条件产生报表

网络设备

UBA用户行为审计服务器

Packet

NetStream/NAT/FLow

端口镜像流量

获取设备镜像数据，形成DIG日志DIG日志采集器

主要功能

支持NAT、FlOW、DIG、NetStream多种日志格式

强大的日志查询分析，包括Web访问、文件传输、邮件、P2P、即时通信等多方面内容

精确的流量审计，可查询特定用户网络访问流量、端口等信息

基于用户的行为分析，配合EAD定位异常用户

根据审计条件，系统自动任务式跟踪分析用户行为

分布式日志审计支持，适应大规模园区网用户行为设计需求

海量日志过滤、聚合

灵活的日志转储

方案优势

• 完备的开放数据源。 iMC开放的数据源是自定义报表的基

础，涵盖了iMC预定义报表使用的几乎所有数据源，并且不断

增加中。 iMC平台开放的是基础网管的数据，包括资源、性

能、告警模块，每个业务组件也会根据自己的设计开放完备的

数据源；

• 强大的智能分析能力。iMC报表平台同时内嵌强大的智能数

据分析工具，在iMC开放的原始数据源和对应复杂报表需求的

用户自定义报表数据源之间搭建起了一个桥梁；

• 丰富的预定义报表模板。iMC平台和各业务组件提供了近50

种丰富的预定义报表模板，如设备总表、配置变化报表、链路

通断报表等，对于大部分用户，已经完全能够满足日常的报表

需求；

• 灵活的报表设计功能。iAR提供可视化的自定义报表设计环

境，类似MS Office的操作界面，用户可以拖放报表的组成元

素，例如报表标题、数据库字段等。同时提供了各种专家向

导，包括排序专家、分组专家、汇总专家、选择专家、图表专

家等功能向导，指导用户轻松地实现记录的排序、分类、归

纳、选择和格式设置等，快速开发和设计报表。提供多种报表

样式，包括普通的行列报表、主/子报表、图形摘要报表、交叉

表、TopN和BottomN报表；

• 业界领先的报表展示。设计的报表能以多种图形或列表等各

种形式展示；

设备总表

自动化的周期性报表机制。在报表平台中，可以使用报表模

板创建各类周期的报表，包括天报表、周报表、月报表、季度

报表、半年报表、年报表。可以设定周期性报表的开始时间、

失效时间。完成一次性配置后，就可以自动化的产生周期性报

表结果。同时，对所有的报表模板，都可以使用立即报表的操

作查看实时的报表数据，而不必等到每个周期结束时。有助于

实时的定位问题；

� 自动的发放报表。对于自动化生成的周期性报表，可以根据

需要发送给不同角色的用户，比如决策人、投资人、管理员

等。如果采用手工的操作，将是一件繁重的工作，iAR解决方

案提供了通过Email自动发放报表的功能。

应用背景

随着网络基础设施建设的迅速发展，网络使用人数快速增长，

网络在企业生产经营和人们的生活中的作用也日益重要。然而

随着网络技术的普及和网络用户使用水平的不断提高，在网络

建设和应用过程中也出现了很多难以监控与管理的用户行为：

• 网络帐号盗用严重：政府、企业、高校等用户出于网络运营

和信息安全等需要，通常对网络用户采用AAA服务器进行认证

管理，但盗用他人帐号密码和IP地址的行为仍然时有发生。

• 访问不健康、非法站点，散布非法言论：当前，网络也成为

某些人攻击政府、危害社会的工具。由于目前尚没有简单有效

的技术手段追查非法网站的访问者和不当言论的传播人，此类

行为往往难以治理。

非法的网络行为同网络用户人数一样呈高速增长趋势。为了解

决上述问题，公安部门在2005年颁布了《互联网安全保护技术

措施规定》，要求网络管理者或者运营者必须记录并留存用户

登录和退出时间、主叫号码、帐号、互联网地址或域名等信

息，能够记录并留存用户使用的互联网网络地址和内部网络地

址对应关系，并保留3个月以上的上网日志信息备查，以便公

安机关公共信息网络安全监察部门在需要时可以进行追查。

解决方案

针对公安机关保留上网记录的要求，帮助政府、企业、高校等

的日志类型，管理员可以获得如源IP地址、源端口、目的IP地

UBA具备全面的日志采集和强大的日志审计功能，能高效地收

集用户上网数据，分析用户上网行为，掌握网络运行的状态，

为网络管理员追查相关行为的责任人提供依据。UBA采用基于

IP地址的日志审计方式，能够将进行非法网络行为的用户精确

定义到该用户上一次上网使用的IP地址。但当网络中采用了动

态IP地址分配(DHCP)技术，同一用户多次上网分配的IP地址

不同时，网络管理员不能依据IP地址鉴定用户的身份，这也是

传统的用户行为审计解决方案需要解决的共同问题。

针对这点，UBA解决方案提供了创新性的基于用户身份的行为

审计方案，通过与iMC UAM用户接入管理组件的联动，直接将

上网IP的非法行为记录映射到上网者的用户帐号，管理者可以

很容易查询到是访问非法网站的用户帐号，大大方便了管理部

门对上网行为的管理。

用户行为审计解决方案(UBA)逻辑组成

分析网络报文提取符合条件日志统计信息输出日志统计信息

解析网络设备报文收集统计数据，过滤聚合后存储数据库统计分析数据，根据审计条件产生报表

网络设备

UBA用户行为审计服务器

Packet

NetStream/NAT/FLow

端口镜像流量

获取设备镜像数据，形成DIG日志DIG日志采集器

主要功能

支持NAT、FlOW、DIG、NetStream多种日志格式

强大的日志查询分析，包括Web访问、文件传输、邮件、P2P、即时通信等多方面内容

精确的流量审计，可查询特定用户网络访问流量、端口等信息

基于用户的行为分析，配合EAD定位异常用户

根据审计条件，系统自动任务式跟踪分析用户行为

分布式日志审计支持，适应大规模园区网用户行为设计需求

海量日志过滤、聚合

灵活的日志转储

方案优势

• 全面的日志采集。UBA用户行为审计解决方案可支持多种网

络日志的采集(包括NAT、Flow、NetStream、DIG)，同时用户

行为审计解决方案采用分布式的体系结构，支持多点采集，可

以同时采集多个设备的日志信息，为网络管理员监控网络提供

了灵活有效的支持；

• 强大的日志审计。用户行为审计解决方案可根据用户需要，

通过各种条件的组合对网络日志进行快速分析。管理员可以从

海量的网络日志中精确审计终端用户的上网行为，如何时访问

了某网站、使用何种协议、向外发送了哪些文件等；

• 精准的七层应用审计。对于端口不固定的应用，如BT、

eDonkey等P2P协议可以通过报文应用层数据的特征进行识

别。基于七层应用的识别和分类，UBA可全面审计网络中的七

层应用使用情况；

• 便捷的审计报表。UBA系统提供专业的报表，包括访问站

点、会话数、应用分布、未知应用的TopN报表，SMTP、

HTTP、FTP的应用分析报表，每种报表都可以按照天、周等周

期和图形、列表等形式输出。通过使用这些自带的报表，管理

员可以非常清楚的了解当前用户对网络的使用情况；

• 基于用户的行为审计。结合iMC UAM用户接入管理组件强大

的用户身份管理和用户行为审计解决方案详尽的用户网络行为

日志，可高效地管理网络用户，同时建立详细的用户访问互联

网的日志，帮助管理分析用户的上网行为，为管理员提供行之

有效的网络管理和用户行为跟踪策略；

• 精确的用户行为跟踪。提供Web访问审计、文件传输和邮件

审计功能，跟踪用户Web网页访问、FTP文件传输、邮件交互

等网络访问行为，可按照用户访问网页的URL、FTP操作文件

及发送邮件的主题等条件灵活查询，精确跟踪定位用户的网络

行为。

基于用户的行为审计

WEB访问审计结果页面

通信是企业得以生存发展的基础，来自竞争对手的巨大压力、

用户需求的不断变化、与上游供应商和下游合作伙伴的密切合

作，使每一个企业都需要一套运转良好的通信系统来保证信息

的畅通。传统的企业通信包括语音通话、手机短信、即时消

息、邮件、传真等，但每个通信系统独立建设，使用的终端也

各不相同，员工不仅需要在各种通信系统间来回切换，而且不

能按照企业自身需求提供业务的定制。不仅耗费了企业通信费

用，而且降低了生产效率，大大约束了企业良性发展。

为了降低企业运营成本、简化管理、提高工作效率，使企业在

市场竞争中轻装上阵，就必须整合各种通信手段。从通信方式

上看，企业通信可以分为实时通信和非实时通信两类，实时通

信包括基本的电话互通和电话业务、多媒体会议、可视通信；

非实时通信包括了即时消息、语音信箱、传真信箱；而这一切

又是以企业或个人的通讯录数据库为核心。整合企业通信系统

的目标，就是要用一套融合的通信系统来实现上述所有的企业

通信业务。

H3C本着从中国企业特征与用户需求出发的原则，不断探索与

创新，提出了以符合中国企业特色通讯录为核心的统一通信解

决方案。它可以使企业内部以及企业和用户之间的沟通更加灵

活、及时、方便，同时也可以大幅度提高企业运营效率、提升

客户满意度、降低运营成本、提升企业核心竞争力。

方案介绍

H3C统一通信系统解决方案以企业通讯录为核心，基于标准的

SIP协议开发，通过强大的高可用性设计保证系统安全、可

靠、稳定运行，同时该方案充分考虑了安装部署时的易用性、

对已有投资的保护与扩展、中国特色的沟通方式等特点，能够

充分满足企业用户的高效通信需求。

中国特色的企业通讯录

通讯录是统一通信的基础与本质，H3C提供了具有中国企业特

色的组织架构的企业通讯录，由管理员统一进行维护，并由服

务器下发给客户端使用。从此企业不需要再频繁制作更新企业

号码本，可使用该通讯录直接与联系人实现通话、消息、短信

等方式沟通。员工还可以维护个人通讯录，由个人创建和管

理，以免去保存大量纸质名片的烦恼。

变腐朽为神奇的点击拨号

员工登录统一通信客户端，并与自己的传统固定话机捆绑，假如

企业内控版消息系统

通过客户端即时消息窗口，员工间可以互相发送文字消息、图

表、文件等，所有发送记录都是可以控制与审计，既提高了企

业内部工作效率，又避免了员工使用公共聊天工具对内部机密

的泄漏隐患。

企业短信收发器

在用户离线的情况下，用户还可以通过客户端单发或群发手机

短信，使信息通过短信的方式传递到联系人手机。不仅可以用

户员工沟通，更方便企业公告、通知、广告、提醒等批量短信

场合。

方案优势

• 全面的日志采集。UBA用户行为审计解决方案可支持多种网

络日志的采集(包括NAT、Flow、NetStream、DIG)，同时用户

行为审计解决方案采用分布式的体系结构，支持多点采集，可

以同时采集多个设备的日志信息，为网络管理员监控网络提供

了灵活有效的支持；

• 强大的日志审计。用户行为审计解决方案可根据用户需要，

通过各种条件的组合对网络日志进行快速分析。管理员可以从

海量的网络日志中精确审计终端用户的上网行为，如何时访问

了某网站、使用何种协议、向外发送了哪些文件等；

• 精准的七层应用审计。对于端口不固定的应用，如BT、

eDonkey等P2P协议可以通过报文应用层数据的特征进行识

别。基于七层应用的识别和分类，UBA可全面审计网络中的七

层应用使用情况；

• 便捷的审计报表。UBA系统提供专业的报表，包括访问站

点、会话数、应用分布、未知应用的TopN报表，SMTP、

HTTP、FTP的应用分析报表，每种报表都可以按照天、周等周

期和图形、列表等形式输出。通过使用这些自带的报表，管理

员可以非常清楚的了解当前用户对网络的使用情况；

• 基于用户的行为审计。结合iMC UAM用户接入管理组件强大

的用户身份管理和用户行为审计解决方案详尽的用户网络行为

日志，可高效地管理网络用户，同时建立详细的用户访问互联

网的日志，帮助管理分析用户的上网行为，为管理员提供行之

有效的网络管理和用户行为跟踪策略；

• 精确的用户行为跟踪。提供Web访问审计、文件传输和邮件

审计功能，跟踪用户Web网页访问、FTP文件传输、邮件交互

等网络访问行为，可按照用户访问网页的URL、FTP操作文件

及发送邮件的主题等条件灵活查询，精确跟踪定位用户的网络

行为。

基于用户的行为审计

WEB访问审计结果页面

通信是企业得以生存发展的基础，来自竞争对手的巨大压力、

用户需求的不断变化、与上游供应商和下游合作伙伴的密切合

作，使每一个企业都需要一套运转良好的通信系统来保证信息

的畅通。传统的企业通信包括语音通话、手机短信、即时消

息、邮件、传真等，但每个通信系统独立建设，使用的终端也

各不相同，员工不仅需要在各种通信系统间来回切换，而且不

能按照企业自身需求提供业务的定制。不仅耗费了企业通信费

用，而且降低了生产效率，大大约束了企业良性发展。

为了降低企业运营成本、简化管理、提高工作效率，使企业在

市场竞争中轻装上阵，就必须整合各种通信手段。从通信方式

上看，企业通信可以分为实时通信和非实时通信两类，实时通

信包括基本的电话互通和电话业务、多媒体会议、可视通信；

非实时通信包括了即时消息、语音信箱、传真信箱；而这一切

又是以企业或个人的通讯录数据库为核心。整合企业通信系统

的目标，就是要用一套融合的通信系统来实现上述所有的企业

通信业务。

H3C本着从中国企业特征与用户需求出发的原则，不断探索与

创新，提出了以符合中国企业特色通讯录为核心的统一通信解

决方案。它可以使企业内部以及企业和用户之间的沟通更加灵

活、及时、方便，同时也可以大幅度提高企业运营效率、提升

客户满意度、降低运营成本、提升企业核心竞争力。

方案介绍

H3C统一通信系统解决方案以企业通讯录为核心，基于标准的

SIP协议开发，通过强大的高可用性设计保证系统安全、可

靠、稳定运行，同时该方案充分考虑了安装部署时的易用性、

对已有投资的保护与扩展、中国特色的沟通方式等特点，能够

充分满足企业用户的高效通信需求。

中国特色的企业通讯录

通讯录是统一通信的基础与本质，H3C提供了具有中国企业特

色的组织架构的企业通讯录，由管理员统一进行维护，并由服

务器下发给客户端使用。从此企业不需要再频繁制作更新企业

号码本，可使用该通讯录直接与联系人实现通话、消息、短信

等方式沟通。员工还可以维护个人通讯录，由个人创建和管

理，以免去保存大量纸质名片的烦恼。

变腐朽为神奇的点击拨号

员工登录统一通信客户端，并与自己的传统固定话机捆绑，假如

企业内控版消息系统

通过客户端即时消息窗口，员工间可以互相发送文字消息、图

表、文件等，所有发送记录都是可以控制与审计，既提高了企

业内部工作效率，又避免了员工使用公共聊天工具对内部机密

的泄漏隐患。

企业短信收发器

在用户离线的情况下，用户还可以通过客户端单发或群发手机

短信，使信息通过短信的方式传递到联系人手机。不仅可以用

户员工沟通，更方便企业公告、通知、广告、提醒等批量短信

场合。

丰富的语音与呼叫业务

系统支持当前业内最丰富的语音呼叫业务，包括基本呼叫、自

动接线员、软件话务台、IP传真、来电显示、呼叫转移、呼叫

保持、呼叫等待、音乐保持、呼叫代答、多方通话、多线路、

快速拨号、自动接听、呼叫详细记录……

预约会议与即时会议

任何用户都可以拨打特定号码随时创建语音会议。没有时间限

制、召集方便、效率高，已加入会议的用户可对其他用户的固

话、手机等进行主动邀请。

而在较为正式的场合，管理员可预订会议资源，包括会议的方

数、入会密码、持续时长等，在指定时间内召开电话会议。

“面对面”的多媒体会议

与企业IP网络的融合

H3C统一通信系统企业内部的IP网络有机融合在一起，甚至可

以直接融合到路由器、交换机等网络设备中，成为设备的模块

或插卡，满足行业和企业的一体化管理需求，帮降低企业运维

成本，提高企业效率。

对原有通信投资的保护与扩展

对企业原有PBX或固定电话，通过部署MSR系列语音网关，采

用E1数字中继或者模拟中继，实现PBX系统与IP系统的融合。

改造后，可以保证用户原有的电话与使用方式保持不变，整网

平滑切换到IP系统。

统一通信系统可靠性设计

H3C解决方案支持完善的呼叫服务器备份机制和灾难备份机

制。在组网中，通信服务器支持双机备份，备机与主机间通过

服务器镜像随时进行数据同步，当主机出现故障时能够迅速切

换到备机。在切换过程中，正在进行的业务不会受到影响，新

的呼叫请求改由备份服务器完成。

MSR系列语音网关提供FXS接口与FXO接口1比1的语音板卡，

支持断电逃生功能。在设备断电情况下，FXS接口与对应的

FXO接口会自动切换到连通状态，FXS接口下挂的电话机转换

为FXO接口电话线供电，接受运营商交换机馈电，通话不受影

响，实现断电逃生。

MSR系列语音网关支持断网逃生功能。IP语音网络中的用户

拨打电话时，优先选择VoIP方式建立呼叫，当VoIP网络中断

时，网关设备可以自动选择从本地中继(即本地PSTN市话)出

局。对用户而言，完全不用感知网络情况，也不用改变任何

拨号方式。

应用背景

IPv4协议是目前广泛部署的因特网协议，然而，随着Internet的

发展，该协议在历经了20多年的实践与考验后，已逐渐暴露出

设计的先天不足以及诸多局限，成为IP技术应用和未来发展的

瓶颈。

而IPv6作为下一代网络的基础以其鲜明的技术优势得到广泛的

认可，为业务发展创造了机会：

• 地址充足：IPv6的产生从根本上解决了地址短缺的问题

• 即插即用：IPv6引入自动配置及重配置技术，提供了更快捷

的部署方式

• 服务优先：IPv6支持流标签能力，便于QoS的实施

• 贴身安全：IPv6集成了安全特性，为用户提供端到端的安全

• 简单是美： IPv6具备更简单、有效的报头结构，提高处理性能

• 向下兼容：IPv6与IPv4网络之间可以平滑过渡以及相互访问

解决方案

作为全球领先的网络设备和解决方案供应商，H3C将IPv6作为

一个战略性的发展目标，依托自身领先的技术实力，紧跟IPv6

技术的前沿发展方向。目前，H3C已推出从核心到接入、从高

端到低端、从有线到无线全系列IPv6路由器、交换机产品，可

以组建满足用户任意需求的解决方案。

在大型园区网和广域网IPv6部署中，针对网络流量的特点，分

别提供核心路由器SR8800或核心交换机S9500。通过核心层

IPv6/IPv4双栈的部署，结合电信级设备可靠性和网络可靠性设

计，实现IPv4网络向IPv6/IPv4双栈网络的稳定过渡。

在中型网络IPv6部署中，分别提供S7500E和SR6600作为核心

设备使用，实现IPv6/IPv4双栈的部署。同时，在大型网络中，

SR6600和S7500E也可作为汇聚设备，实现IPv6/IPv4业务流的

汇聚。

面对接入层网络的复杂结构，分别提供系列化的接入层交换机

和路由器。在IPv6网络部署中可以分别满足二层/三层接入，支

持百兆到桌面、千兆到桌面及万兆上行等多种组网模式，提供

丰富的接入手段；在广域网IPv6分支部署中，MSR系列路由器

可以满足不同规模网络的出口节点需求。

作为一种灵活的接入方式，无线全系列产品全面支持IPv6，既

包括支持IPv4报文流量穿越IPv6隧道，同时也支持AP设备直接

传输 IPv6数据；无线用户可以通过 IPv6正常访问 IPv6网络及

IPv6业务。FIT AP可以通过IPv6网络注册到AC，并建立CAPWAP

(无线控制器与AP设备通讯协议)隧道。这种全面的支持保障了

有线无线一体化对IPv6的无缝支持，提供了有线无线一体化的

IPv6组网方案。

从IPv4向IPv6过渡将是一个渐进的过程，其中IPv4与IPv6将会

长期共存。H3C IPv6解决方案支持IPv6过渡技术，实现“IPv6孤

岛”之间跨越IPv4网络互连，并有效解决了IPv6/IPv4用户的接入

和互访问题，为用户提供满足任意需求的解决方案。接入和互

访问题，为用户提供满足任意需求的解决方案。

丰富的语音与呼叫业务

系统支持当前业内最丰富的语音呼叫业务，包括基本呼叫、自

动接线员、软件话务台、IP传真、来电显示、呼叫转移、呼叫

保持、呼叫等待、音乐保持、呼叫代答、多方通话、多线路、

快速拨号、自动接听、呼叫详细记录……

预约会议与即时会议

任何用户都可以拨打特定号码随时创建语音会议。没有时间限

制、召集方便、效率高，已加入会议的用户可对其他用户的固

话、手机等进行主动邀请。

而在较为正式的场合，管理员可预订会议资源，包括会议的方

数、入会密码、持续时长等，在指定时间内召开电话会议。

“面对面”的多媒体会议

与企业IP网络的融合

H3C统一通信系统企业内部的IP网络有机融合在一起，甚至可

以直接融合到路由器、交换机等网络设备中，成为设备的模块

或插卡，满足行业和企业的一体化管理需求，帮降低企业运维

成本，提高企业效率。

对原有通信投资的保护与扩展

对企业原有PBX或固定电话，通过部署MSR系列语音网关，采

用E1数字中继或者模拟中继，实现PBX系统与IP系统的融合。

改造后，可以保证用户原有的电话与使用方式保持不变，整网

平滑切换到IP系统。

统一通信系统可靠性设计

H3C解决方案支持完善的呼叫服务器备份机制和灾难备份机

制。在组网中，通信服务器支持双机备份，备机与主机间通过

服务器镜像随时进行数据同步，当主机出现故障时能够迅速切

换到备机。在切换过程中，正在进行的业务不会受到影响，新

的呼叫请求改由备份服务器完成。

MSR系列语音网关提供FXS接口与FXO接口1比1的语音板卡，

支持断电逃生功能。在设备断电情况下，FXS接口与对应的

FXO接口会自动切换到连通状态，FXS接口下挂的电话机转换

为FXO接口电话线供电，接受运营商交换机馈电，通话不受影

响，实现断电逃生。

MSR系列语音网关支持断网逃生功能。IP语音网络中的用户

拨打电话时，优先选择VoIP方式建立呼叫，当VoIP网络中断

时，网关设备可以自动选择从本地中继(即本地PSTN市话)出

局。对用户而言，完全不用感知网络情况，也不用改变任何

拨号方式。

应用背景

IPv4协议是目前广泛部署的因特网协议，然而，随着Internet的

发展，该协议在历经了20多年的实践与考验后，已逐渐暴露出

设计的先天不足以及诸多局限，成为IP技术应用和未来发展的

瓶颈。

而IPv6作为下一代网络的基础以其鲜明的技术优势得到广泛的

认可，为业务发展创造了机会：

• 地址充足：IPv6的产生从根本上解决了地址短缺的问题

• 即插即用：IPv6引入自动配置及重配置技术，提供了更快捷

的部署方式

• 服务优先：IPv6支持流标签能力，便于QoS的实施

• 贴身安全：IPv6集成了安全特性，为用户提供端到端的安全

• 简单是美： IPv6具备更简单、有效的报头结构，提高处理性能

• 向下兼容：IPv6与IPv4网络之间可以平滑过渡以及相互访问

解决方案

作为全球领先的网络设备和解决方案供应商，H3C将IPv6作为

一个战略性的发展目标，依托自身领先的技术实力，紧跟IPv6

技术的前沿发展方向。目前，H3C已推出从核心到接入、从高

端到低端、从有线到无线全系列IPv6路由器、交换机产品，可

以组建满足用户任意需求的解决方案。

在大型园区网和广域网IPv6部署中，针对网络流量的特点，分

别提供核心路由器SR8800或核心交换机S9500。通过核心层

IPv6/IPv4双栈的部署，结合电信级设备可靠性和网络可靠性设

计，实现IPv4网络向IPv6/IPv4双栈网络的稳定过渡。

在中型网络IPv6部署中，分别提供S7500E和SR6600作为核心

设备使用，实现IPv6/IPv4双栈的部署。同时，在大型网络中，

SR6600和S7500E也可作为汇聚设备，实现IPv6/IPv4业务流的

汇聚。

面对接入层网络的复杂结构，分别提供系列化的接入层交换机

和路由器。在IPv6网络部署中可以分别满足二层/三层接入，支

持百兆到桌面、千兆到桌面及万兆上行等多种组网模式，提供

丰富的接入手段；在广域网IPv6分支部署中，MSR系列路由器

可以满足不同规模网络的出口节点需求。

作为一种灵活的接入方式，无线全系列产品全面支持IPv6，既

包括支持IPv4报文流量穿越IPv6隧道，同时也支持AP设备直接

传输 IPv6数据；无线用户可以通过 IPv6正常访问 IPv6网络及

IPv6业务。FIT AP可以通过IPv6网络注册到AC，并建立CAPWAP

(无线控制器与AP设备通讯协议)隧道。这种全面的支持保障了

有线无线一体化对IPv6的无缝支持，提供了有线无线一体化的

IPv6组网方案。

从IPv4向IPv6过渡将是一个渐进的过程，其中IPv4与IPv6将会

长期共存。H3C IPv6解决方案支持IPv6过渡技术，实现“IPv6孤

岛”之间跨越IPv4网络互连，并有效解决了IPv6/IPv4用户的接入

和互访问题，为用户提供满足任意需求的解决方案。接入和互

访问题，为用户提供满足任意需求的解决方案。

方案优势

组网丰富。H3C IPv6全网解决方案可针对新建IPv6网络和改

造原有IPv4网络等多种情况，提供全双栈解决方案、ISATAP

等隧道式过渡方案，以适应不同IPv6部署。

产品全面。H3C IPv6交换机、路由器系列全、规格丰富，可

高效、低成本的满足IPv6组网需求，提供二层/三层接入，

支持百兆到桌面、千兆到桌面及万兆上行等多种组网模式。

无线支持。H3C无线产品支持IPv6组网能力，提供IPv6有

线—无线一体化解决方案。

高速传输。H3C IPv6产品支持10GE、GE、FE的整机全线速

转发。

扩展灵活。H3C IPv6平台Comware5为统一的IPv6/v4操作系

统平台，为100%的自主知识产权平台，可以更全面、灵活

的满足学校IPv6业务发展的需要。

统一网管。部署H3C IPv6解决方案，可以全面的满足对IPv6

组播、安全控制、QoS实施、网络管理的需求。

权威认证。伴随着IPv6网络和应用在不同领域中的不断发展，

H3C的IPv6产品系列逐渐得到广泛使用，在积累了大量实际案

例的同时，也获得了众多IPv6权威机构、组织的认可。

中国工业与信息化部IPv6入网测试

IPv6 Fourum IPv6 Ready Phase1/Phase2认证

Tolly Group产品认证

权威用户测试报告

H3C OAA解决方案

应用背景

随着网络技术的发展，用户对网络设备的要求不再局限于传统路

由器和交换机等设备提供的基本数据转发功能，而是要求网络设

备更加智能，能够实现应用层的相关安全、优化和集成的工作，

从而提供更多的应用和业务，以及贴近用户的可定制服务。

面对构建新的应用智能网络的挑战，H3C公司走的是开放的道

路。H3C OAA(Open Application Architecture)开放应用架构，

是一种能够提供开放式业务的应用体系架构。它基于H3C的硬

件平台，公开软硬件接口及标准规范，为用户提供一个开放平

台，使第三方厂商能够在此基础上开发出更为丰富的业务，与

H3C优势互补、深度集成、合作共赢。

这种开放、融合的网络基础架构，可以实现众多厂商设备和软件

有机的整合，为客户提供集成多业务和多应用的开放式一体化解

决方案。在H3C OAA的帮助下，企业可以轻松实施最新的技

术，在减少IT集成设施复杂性的前提下，最大程度解决业务问

题，实现网络与应用系统的真正融合，同时大大降低综合成本。

OAA架构是实现应用智能网络平台的基石，H3C OAA解决方案

的最终目的是构建智能网络。通过OAA实现网络平台软件、硬

件和应用集成，实现网络平台对上层应用软件的解释和对下层

硬件的调度工作，减少了人工协调解释调试的过程，并且可以

随用户业务要求而动态调整功能模块，实现一体化IT和智能IT。

解决方案

在OAA体系中，从硬件结构上看，可以分成路由交换部件、独

立业务部件、接口连接部件。其中，路由交换部件就是路由器

和交换机的主体部分，这部分有着完整的路由器或交换机的功

能，也是用户管理控制的核心；独立业务部件则是可以开放给

第三方合作开发的主体，主要用来提供多种独特的业务服务功

能；接口连接部件则是路由交换接部件和独立业务部件的接口

连接体，通过这个部件将两个不同厂商的设备连接在一起，以

形成一个统一的产品。

凭借着在路由器和以太网交换机上的深厚的积累，H3C对自己

新一代的路由器和交换机做了全新的设计，这些产品都遵循

OAA的设计规范，允许任何按照OAA标准设计的板卡插入到自

己的插槽上，从而融合为全新功能的设备。与此同时，H3C也

通过自主研发、与微软、Intel、瑞星、联合华创等第三方厂商

合作的形式，推出了一系列基于OAA架构的业务卡，为用户提

供集成应用智能的多业务网络能力。

在路由器和防火墙上，如MSR、SecPath，集成的模块主要有：

ASM(Anti-Virus Security Module)防病毒模块。ASM模块可以

集成在H3C防火墙、路由器等网关设备上，主要功能是防范和

隔离来自互联网的病毒威胁，对病毒进行有效地查杀。ASM模

块通过与防火墙、入侵检测与防御、内容过滤等功能集成，加

上自带的详细的日志分析功能和灵活的配置管理方式，为用户

提供了一种完善的病毒防护解决方案。

NAM(Network Analysis Module)网络流量监控模块。NAM模

块可以为用户提供网络流量统计、流量监控、漏洞检测、性

能优化等功能。通过NAM提供的图形化界面和直观全面的统

计信息，管理人员可及时掌握网络状况，增强网络的风险防

范能力。

SSL(Security Socket Layer)VPN模块。SSL VPN模块能够让

用户在最低成本情况下部署移动用户、远程分支和外联网VPN

接入，实现用户网络的安全连通。SSL VPN模块可以与SecPath

防火墙实现无缝融合，提供智能安全的远程移动接入解决方案。

方案优势

组网丰富。H3C IPv6全网解决方案可针对新建IPv6网络和改

造原有IPv4网络等多种情况，提供全双栈解决方案、ISATAP

等隧道式过渡方案，以适应不同IPv6部署。

产品全面。H3C IPv6交换机、路由器系列全、规格丰富，可

高效、低成本的满足IPv6组网需求，提供二层/三层接入，

支持百兆到桌面、千兆到桌面及万兆上行等多种组网模式。

无线支持。H3C无线产品支持IPv6组网能力，提供IPv6有

线—无线一体化解决方案。

高速传输。H3C IPv6产品支持10GE、GE、FE的整机全线速

转发。

扩展灵活。H3C IPv6平台Comware5为统一的IPv6/v4操作系

统平台，为100%的自主知识产权平台，可以更全面、灵活

的满足学校IPv6业务发展的需要。

统一网管。部署H3C IPv6解决方案，可以全面的满足对IPv6

组播、安全控制、QoS实施、网络管理的需求。

权威认证。伴随着IPv6网络和应用在不同领域中的不断发展，

H3C的IPv6产品系列逐渐得到广泛使用，在积累了大量实际案

例的同时，也获得了众多IPv6权威机构、组织的认可。

中国工业与信息化部IPv6入网测试

IPv6 Fourum IPv6 Ready Phase1/Phase2认证

Tolly Group产品认证

权威用户测试报告

H3C OAA解决方案

应用背景

随着网络技术的发展，用户对网络设备的要求不再局限于传统路

由器和交换机等设备提供的基本数据转发功能，而是要求网络设

备更加智能，能够实现应用层的相关安全、优化和集成的工作，

从而提供更多的应用和业务，以及贴近用户的可定制服务。

面对构建新的应用智能网络的挑战，H3C公司走的是开放的道

路。H3C OAA(Open Application Architecture)开放应用架构，

是一种能够提供开放式业务的应用体系架构。它基于H3C的硬

件平台，公开软硬件接口及标准规范，为用户提供一个开放平

台，使第三方厂商能够在此基础上开发出更为丰富的业务，与

H3C优势互补、深度集成、合作共赢。

这种开放、融合的网络基础架构，可以实现众多厂商设备和软件

有机的整合，为客户提供集成多业务和多应用的开放式一体化解

决方案。在H3C OAA的帮助下，企业可以轻松实施最新的技

术，在减少IT集成设施复杂性的前提下，最大程度解决业务问

题，实现网络与应用系统的真正融合，同时大大降低综合成本。

OAA架构是实现应用智能网络平台的基石，H3C OAA解决方案

的最终目的是构建智能网络。通过OAA实现网络平台软件、硬

件和应用集成，实现网络平台对上层应用软件的解释和对下层

硬件的调度工作，减少了人工协调解释调试的过程，并且可以

随用户业务要求而动态调整功能模块，实现一体化IT和智能IT。

解决方案

在OAA体系中，从硬件结构上看，可以分成路由交换部件、独

立业务部件、接口连接部件。其中，路由交换部件就是路由器

和交换机的主体部分，这部分有着完整的路由器或交换机的功

能，也是用户管理控制的核心；独立业务部件则是可以开放给

第三方合作开发的主体，主要用来提供多种独特的业务服务功

能；接口连接部件则是路由交换接部件和独立业务部件的接口

连接体，通过这个部件将两个不同厂商的设备连接在一起，以

形成一个统一的产品。

凭借着在路由器和以太网交换机上的深厚的积累，H3C对自己

新一代的路由器和交换机做了全新的设计，这些产品都遵循

OAA的设计规范，允许任何按照OAA标准设计的板卡插入到自

己的插槽上，从而融合为全新功能的设备。与此同时，H3C也

通过自主研发、与微软、Intel、瑞星、联合华创等第三方厂商

合作的形式，推出了一系列基于OAA架构的业务卡，为用户提

供集成应用智能的多业务网络能力。

在路由器和防火墙上，如MSR、SecPath，集成的模块主要有：

ASM(Anti-Virus Security Module)防病毒模块。ASM模块可以

集成在H3C防火墙、路由器等网关设备上，主要功能是防范和

隔离来自互联网的病毒威胁，对病毒进行有效地查杀。ASM模

块通过与防火墙、入侵检测与防御、内容过滤等功能集成，加

上自带的详细的日志分析功能和灵活的配置管理方式，为用户

提供了一种完善的病毒防护解决方案。

NAM(Network Analysis Module)网络流量监控模块。NAM模

块可以为用户提供网络流量统计、流量监控、漏洞检测、性

能优化等功能。通过NAM提供的图形化界面和直观全面的统

计信息，管理人员可及时掌握网络状况，增强网络的风险防

范能力。

SSL(Security Socket Layer)VPN模块。SSL VPN模块能够让

用户在最低成本情况下部署移动用户、远程分支和外联网VPN

接入，实现用户网络的安全连通。SSL VPN模块可以与SecPath

防火墙实现无缝融合，提供智能安全的远程移动接入解决方案。

解决方案

WAAM(WAN Application Accelerator Module)应用加速模块。

WAAM模块可以基于现有网络的广域网带宽，结合主流的数据

压缩、动态缓存、IP流量管理、QoS、TCP加速等业务加速技

术，降低了基于WAN业务的时延，实现用户应用性能的扩展,

为客户的广域网应用提供保障。WAAM 模块可以与MSR路由

器实现无缝融合，提供智能安全的广域网优化解决方案。

在机架式交换机上，如S9500、S7500E，集成的模块插卡主要

有：SecBlade防火墙模块、AFC(Anomaly Flow Cleaner)异常

流量清晰模块、ACG(Application Control Gateway)应用控制网

关模块、LB(Load Balance)负载均衡模块、IPS模块、SSL VPN

模块等。

其中，ACG(Application Control Gateway)模块是业界第一款千

兆高性能应用控制模块，可应用于H3C S75E/S95系列交换

机，创新性的将应用监控与网络进行无缝融合。通过对P2P、

IM、炒股软件、网络游戏、网络多媒体等应用进行识别和控

制，大大提升网络的业务控制能力，为用户打造一个和谐、有

序的网络环境。

通过将这些模块进行组合，可以在一台交换机上为用户提供

丰富的应用智能解决方案。例如在配置无线控制器插卡的交

换机上，使用ACG模块，可以为无线接入用户提供基于用户

和业务的带宽保证和P2P限流，大大增强无线网络的可管理、

可运营性。

方案优势

OAA通过开放的业务平台，与各领域顶级厂商进行广泛的合作

联盟，从而实现对业界先进技术的整合，达到为用户提供最优

解决方案的目的。同其他厂商通过收购来实现网络智能化的方

式相比，H3C OAA架构具有下面的优势：

• 增值：在一个平台上提供多样的功能特性，如防火墙、防毒

墙、无线、语音、安全等。

• 灵活：基于开放的系统，业务系统可以灵活定制，实现业务

随需而变。

• 快速：开放性保证了快速业务系统定制，轻松业务部署。

• TCO：在一个平台上支持多种业务，并可根据业务的发展需

求分阶段部署；同时一套设备全部解决问题，降低总的TCO。

成功案例

解决方案

WAAM(WAN Application Accelerator Module)应用加速模块。

WAAM模块可以基于现有网络的广域网带宽，结合主流的数据

压缩、动态缓存、IP流量管理、QoS、TCP加速等业务加速技

术，降低了基于WAN业务的时延，实现用户应用性能的扩展,

为客户的广域网应用提供保障。WAAM 模块可以与MSR路由

器实现无缝融合，提供智能安全的广域网优化解决方案。

在机架式交换机上，如S9500、S7500E，集成的模块插卡主要

有：SecBlade防火墙模块、AFC(Anomaly Flow Cleaner)异常

流量清晰模块、ACG(Application Control Gateway)应用控制网

关模块、LB(Load Balance)负载均衡模块、IPS模块、SSL VPN

模块等。

其中，ACG(Application Control Gateway)模块是业界第一款千

兆高性能应用控制模块，可应用于H3C S75E/S95系列交换

机，创新性的将应用监控与网络进行无缝融合。通过对P2P、

IM、炒股软件、网络游戏、网络多媒体等应用进行识别和控

制，大大提升网络的业务控制能力，为用户打造一个和谐、有

序的网络环境。

通过将这些模块进行组合，可以在一台交换机上为用户提供

丰富的应用智能解决方案。例如在配置无线控制器插卡的交

换机上，使用ACG模块，可以为无线接入用户提供基于用户

和业务的带宽保证和P2P限流，大大增强无线网络的可管理、

可运营性。

方案优势

OAA通过开放的业务平台，与各领域顶级厂商进行广泛的合作

联盟，从而实现对业界先进技术的整合，达到为用户提供最优

解决方案的目的。同其他厂商通过收购来实现网络智能化的方

式相比，H3C OAA架构具有下面的优势：

• 增值：在一个平台上提供多样的功能特性，如防火墙、防毒

墙、无线、语音、安全等。

• 灵活：基于开放的系统，业务系统可以灵活定制，实现业务

随需而变。

• 快速：开放性保证了快速业务系统定制，轻松业务部署。

• TCO：在一个平台上支持多种业务，并可根据业务的发展需

求分阶段部署；同时一套设备全部解决问题，降低总的TCO。

成功案例

东莞广电—10G RPR城域网

东莞广电使用SR88构建RPR环网，S9500，S5500-EI覆盖莞

城、常平、石龙、东坑等30余个镇区。RPR环网具有业务

50ms快速切换、丰富的QoS策略、高带宽利用率等特点，充

分保证东莞广电宽带上网、STB机顶盒业务、出租屋监控等业

务的高质量承载。

用友软件园

2007年3月22日，位于北京中关村永丰产业基地的用友软件园

盛大开园。软件园将成为用友公司总部所在地和中心研发基

地，软件园规划建筑总面积40万平方米，能容纳1.2万人同时

办公，设立用友产业中心、研发中心、数据中心、培训中心等

七大功能区。H3C公司，作为用友软件园建设的最佳合作伙

伴，为软件园构建了高效、智能、安全的园区网络，支撑用友

的研发、销售、服务和运营信息化平台，提供支持全国乃至全

球分支机构联络沟通的通信平台。

“现在，我们的网管员再也不用担心突如其来、不知底细的用

户接入网络了，自从我们实施了终端准入控制解决方案(EAD)

后，所有接入用户的一举一动都在管理员监控之下，全公司终

端的安全策略达到高度统一。”一位用友集团的网管维护人员

如是说。其实，让终端用户接入受到控制只是用友集团构筑网

络安全防线后的诸多优势之一。

成功案例

中国国家大剧院

中国国家大剧院从设计之初就树立宏伟目标—建造全世界最

一流的大剧院，在其设计、选材、建设、维护和应用方面都坚

持以世界最高标准进行建设和应用，其建筑难度与建筑品质对

网络应用和网络安全提出了更高规格的要求。H3C公司凭借多

年的网络经验和成熟的IToIP整体解决方案一举成为国家大剧院

网络系统的战略合作伙伴，提供交换机、存储、安全、无线等

设备，承担国家大剧院整体网络建设。

国家大剧院作为一座现代化的剧场，网络系统不仅仅要为多场

所提供互联网接口，接下来还需要支撑多种业务应用的实施。

这就都对整个网络平台的安全与可靠性提出巨大的挑战。

中国建设银行—级分行局域网

H3C网络产品成功完成陕西、山西、辽宁、吉林等4省一级分

行局域网(Server Farm B)建设，实现H3C S9500系列万兆核心

路由交换机在金融网络核心的规模部署，并得到中国建设银行

的良好评价。

该项目的成功开局，标志着H3C已经具备从一级分行骨干网(DCC)

到分行数据中心(SFB)的全网解决方案，满足金融核心客户一级分

行最核心的网络系统的可靠、安全、高性能的要求，能够为大型

金融客户业务系统和服务器快速部署提供可靠支撑。

通过SFB项目的实施，中国建设银行的网络基础建设将更加合

理，网络结构更加清晰。并且使用H3C高端交换机S9500能够

保证网络资源支撑未来中国建设银行在组织结构、产品种类、

业务处理模式等方面的创新和发展。

H3C服务2008年北京奥运

奥运场馆—青岛奥帆基地

坐落于美丽青岛的奥林匹克帆船中心基地，H3C为其包括新闻

中心、行政中心、接待中心、制证中心、奥运村、奥运酒店等

关键单位提供先进的网络解决方案。经过2007年奥帆测试赛的

成功举办，奥帆基地蓄势以待，迎接2008年奥运会和残奥会帆

船比赛。H3C还为北京五棵松体育馆和天津残疾人体育训练基

地提供网络支持。

奥运交通—首都机场T3航站楼

北京首都机场T3航站楼，H3C为其提供关键的业务运行及管理的网络解决方案。从地面运行系统到航显系统；

从离港系统到安防系统，整个T3航站楼将在国际大型机场行列达到领先水平，为迎接奥运带来的航运高峰做准

备。H3C同时助力于奥运备降机场的天津新机场及青岛流亭国际机场三期的网络建设。

奥运媒体—搜狐网

搜狐网作为2008北京奥运会互联网内容服务赞助商，奥运期间

的关键使命是保证各种赛事资讯在互联网上的无阻传播。H3C

为其打造高性能、高品质的业务网络系统，确保高效稳定承载

庞大的赛事报道，实时转播赛事。

成功案例

东莞广电—10G RPR城域网

东莞广电使用SR88构建RPR环网，S9500，S5500-EI覆盖莞

城、常平、石龙、东坑等30余个镇区。RPR环网具有业务

50ms快速切换、丰富的QoS策略、高带宽利用率等特点，充

分保证东莞广电宽带上网、STB机顶盒业务、出租屋监控等业

务的高质量承载。

用友软件园

2007年3月22日，位于北京中关村永丰产业基地的用友软件园

盛大开园。软件园将成为用友公司总部所在地和中心研发基

地，软件园规划建筑总面积40万平方米，能容纳1.2万人同时

办公，设立用友产业中心、研发中心、数据中心、培训中心等

七大功能区。H3C公司，作为用友软件园建设的最佳合作伙

伴，为软件园构建了高效、智能、安全的园区网络，支撑用友

的研发、销售、服务和运营信息化平台，提供支持全国乃至全

球分支机构联络沟通的通信平台。

“现在，我们的网管员再也不用担心突如其来、不知底细的用

户接入网络了，自从我们实施了终端准入控制解决方案(EAD)

后，所有接入用户的一举一动都在管理员监控之下，全公司终

端的安全策略达到高度统一。”一位用友集团的网管维护人员

如是说。其实，让终端用户接入受到控制只是用友集团构筑网

络安全防线后的诸多优势之一。

成功案例

中国国家大剧院

中国国家大剧院从设计之初就树立宏伟目标—建造全世界最

一流的大剧院，在其设计、选材、建设、维护和应用方面都坚

持以世界最高标准进行建设和应用，其建筑难度与建筑品质对

网络应用和网络安全提出了更高规格的要求。H3C公司凭借多

年的网络经验和成熟的IToIP整体解决方案一举成为国家大剧院

网络系统的战略合作伙伴，提供交换机、存储、安全、无线等

设备，承担国家大剧院整体网络建设。

国家大剧院作为一座现代化的剧场，网络系统不仅仅要为多场

所提供互联网接口，接下来还需要支撑多种业务应用的实施。

这就都对整个网络平台的安全与可靠性提出巨大的挑战。

中国建设银行—级分行局域网

H3C网络产品成功完成陕西、山西、辽宁、吉林等4省一级分

行局域网(Server Farm B)建设，实现H3C S9500系列万兆核心

路由交换机在金融网络核心的规模部署，并得到中国建设银行

的良好评价。

该项目的成功开局，标志着H3C已经具备从一级分行骨干网(DCC)

到分行数据中心(SFB)的全网解决方案，满足金融核心客户一级分

行最核心的网络系统的可靠、安全、高性能的要求，能够为大型

金融客户业务系统和服务器快速部署提供可靠支撑。

通过SFB项目的实施，中国建设银行的网络基础建设将更加合

理，网络结构更加清晰。并且使用H3C高端交换机S9500能够

保证网络资源支撑未来中国建设银行在组织结构、产品种类、

业务处理模式等方面的创新和发展。

H3C服务2008年北京奥运

奥运场馆—青岛奥帆基地

坐落于美丽青岛的奥林匹克帆船中心基地，H3C为其包括新闻

中心、行政中心、接待中心、制证中心、奥运村、奥运酒店等

关键单位提供先进的网络解决方案。经过2007年奥帆测试赛的

成功举办，奥帆基地蓄势以待，迎接2008年奥运会和残奥会帆

船比赛。H3C还为北京五棵松体育馆和天津残疾人体育训练基

地提供网络支持。

奥运交通—首都机场T3航站楼

北京首都机场T3航站楼，H3C为其提供关键的业务运行及管理的网络解决方案。从地面运行系统到航显系统；

从离港系统到安防系统，整个T3航站楼将在国际大型机场行列达到领先水平，为迎接奥运带来的航运高峰做准

备。H3C同时助力于奥运备降机场的天津新机场及青岛流亭国际机场三期的网络建设。

奥运媒体—搜狐网

搜狐网作为2008北京奥运会互联网内容服务赞助商，奥运期间

的关键使命是保证各种赛事资讯在互联网上的无阻传播。H3C

为其打造高性能、高品质的业务网络系统，确保高效稳定承载

庞大的赛事报道，实时转播赛事。

大企业

国美电器

苏宁电器

中复电讯

蒙牛乳业

伊利集团

本溪钢铁

鞍山钢铁

太原钢铁

武汉钢铁

首都钢铁

网通集团

安徽网通

厦门网通

哈尔滨网通

抚顺网通

河南网通

甘肃移动

金华移动

丹东移动

浙江移动

佛山移动

北京铁通

中国外运集团

中国远洋集团

中国路桥集团

神华集团

一汽集团

运营商

上海电信

深圳电信

杭州电信

安徽电信

江西电信

广西电信

部分用户名单

上海浦东新区卫生信息网

北京医院

北京铁路总医院

上海第一人民医院

上海国际和平妇幼保健医院

上海同济医院

上海中山医院

上海市第七人民医院

武汉同济医院

武汉中心医院

山东省立医院

医疗卫生

国家卫生部

国家疾控中心

广西疾病控制中心

北京卫生局

云南卫生厅

吉林卫生厅

能源交通

中交通管理局

中国民用航空总局

中国民航信息网络股份有限公司

北京首都机场

上海浦东机场

深圳国际机场

济南国际机场

中国路桥集团

沈阳铁路局

广州铁路局

成都铁路局

北京高速公路管理局

国家防讯抗旱指挥系统

北京水务局

黄河水利委员会

中国石油天然气集团公司

中国石油天然气股份有限公司

大庆油田

辽河油田

胜利油田

江汉油田

中石油运输公司

中国石油化工股份有限公司

传媒

重庆广播电视集团(总台）

贵州新华书店

四川新华集团

电子工业出版社

山东出版社

搜狐网络公司

百度公司

求是杂志社

新华社

中国日报社

光明日报社

人民日报社

湖南日报社

上海文新报业集团

云南日报报业集团

黑龙江报业

河北日报报业集团

浙江日报社

成都商报社

福建晚报社

厦门日报社

宁波日报报业集团

东营日报社

中国国际广播电台

陕西广播电视台

部分用户名单

政府

信息产业部

国家信息中心

国家公安部

国家财政部

国家商务部

国家科技部

国家税务总局

国家工商总局

国家统计局

国家外文局

国家文物局

国家经贸委

国家审计署

国务院新闻办公室

中国海关总署

国家海事局

国家水利部

国家铁道部

国家卫生部

国家劳动与社会保障部

中国银联

中国人寿

中国人保

平安保险

太平洋保险

安邦保险

中银保险

永安保险

中国银河证券公司

上海房产交易所

西南联交所

深圳市证券通信公司

江西农村信用联社

湖南农村信用联社

吉林农村信用联社

陕西农村信用联社

全国人大

中共中央办公厅

国务院办公厅

中共中央组织部

中共中央宣传部

中共中央对外联络部

中共中央纪律检查委员会

中华人民共和国监察部

国家发改委

中央党校

金融

中国人民银行总行

中国工商银行总行

中国农业银行总行

中国银行总行

中国建设银行总行

中国邮政总局

交通银行总行

华夏银行总行

中国民生银行

中国光大银行

北京大学

清华大学

中央民族大学

中国政法大学

中央美术学院

中国科技大学

中国人民公安大学

浙江大学

浙江师范大学

南开大学

武汉大学

华中科技大学

西安交通大学

西北大学

西安电子科技大学

深圳市图书馆

教育

西部八省教育骨干网

河南教育骨干网

广东教育骨干网

湖北教育骨干网

山西教育骨干网

北京市校校通

上海浦东校校通

苏州教育城域网

徐州教育城域网

太原教育城域网

电力

华中电网有限公司

西北电网有限公司

中国电力科学研究院

国电信息中心

国电通信中心

东北电力科学研究院

中国南方电网有限责任公司

国家电网公司

华北电网有限公司

东北电网有限公司

华东电网有限公司

大企业

国美电器

苏宁电器

中复电讯

蒙牛乳业

伊利集团

本溪钢铁

鞍山钢铁

太原钢铁

武汉钢铁

首都钢铁

网通集团

安徽网通

厦门网通

哈尔滨网通

抚顺网通

河南网通

甘肃移动

金华移动

丹东移动

浙江移动

佛山移动

北京铁通

中国外运集团

中国远洋集团

中国路桥集团

神华集团

一汽集团

运营商

上海电信

深圳电信

杭州电信

安徽电信

江西电信

广西电信

部分用户名单

上海浦东新区卫生信息网

北京医院

北京铁路总医院

上海第一人民医院

上海国际和平妇幼保健医院

上海同济医院

上海中山医院

上海市第七人民医院

武汉同济医院

武汉中心医院

山东省立医院

医疗卫生

国家卫生部

国家疾控中心

广西疾病控制中心

北京卫生局

云南卫生厅

吉林卫生厅

能源交通

中交通管理局

中国民用航空总局

中国民航信息网络股份有限公司

北京首都机场

上海浦东机场

深圳国际机场

济南国际机场

中国路桥集团

沈阳铁路局

广州铁路局

成都铁路局

北京高速公路管理局

国家防讯抗旱指挥系统

北京水务局

黄河水利委员会

中国石油天然气集团公司

中国石油天然气股份有限公司

大庆油田

辽河油田

胜利油田

江汉油田

中石油运输公司

中国石油化工股份有限公司

传媒

重庆广播电视集团(总台）

贵州新华书店

四川新华集团

电子工业出版社

山东出版社

搜狐网络公司

百度公司

求是杂志社

新华社

中国日报社

光明日报社

人民日报社

湖南日报社

上海文新报业集团

云南日报报业集团

黑龙江报业

河北日报报业集团

浙江日报社

成都商报社

福建晚报社

厦门日报社

宁波日报报业集团

东营日报社

中国国际广播电台

陕西广播电视台

部分用户名单

政府

信息产业部

国家信息中心

国家公安部

国家财政部

国家商务部

国家科技部

国家税务总局

国家工商总局

国家统计局

国家外文局

国家文物局

国家经贸委

国家审计署

国务院新闻办公室

中国海关总署

国家海事局

国家水利部

国家铁道部

国家卫生部

国家劳动与社会保障部

中国银联

中国人寿

中国人保

平安保险

太平洋保险

安邦保险

中银保险

永安保险

中国银河证券公司

上海房产交易所

西南联交所

深圳市证券通信公司

江西农村信用联社

湖南农村信用联社

吉林农村信用联社

陕西农村信用联社

全国人大

中共中央办公厅

国务院办公厅

中共中央组织部

中共中央宣传部

中共中央对外联络部

中共中央纪律检查委员会

中华人民共和国监察部

国家发改委

中央党校

金融

中国人民银行总行

中国工商银行总行

中国农业银行总行

中国银行总行

中国建设银行总行

中国邮政总局

交通银行总行

华夏银行总行

中国民生银行

中国光大银行

北京大学

清华大学

中央民族大学

中国政法大学

中央美术学院

中国科技大学

中国人民公安大学

浙江大学

浙江师范大学

南开大学

武汉大学

华中科技大学

西安交通大学

西北大学

西安电子科技大学

深圳市图书馆

教育

西部八省教育骨干网

河南教育骨干网

广东教育骨干网

湖北教育骨干网

山西教育骨干网

北京市校校通

上海浦东校校通

苏州教育城域网

徐州教育城域网

太原教育城域网

电力

华中电网有限公司

西北电网有限公司

中国电力科学研究院

国电信息中心

国电通信中心

东北电力科学研究院

中国南方电网有限责任公司

国家电网公司

华北电网有限公司

东北电网有限公司

华东电网有限公司

权威认证

Tolly Group是一家独立测试和战略咨询机构，其宗旨是

在权威和公正信息的基础上同时为供应商和最终用户群

体提供全面的服务。作为全球顶级权威评测机构之一，

Tolly Group是世界公认的前沿技术评估专家，拥有顶级

的专家、技术及专业设备。由于其测试的独立性、公正

性和客观性，因而得到了全球业界的一致认同。

H3C全线网络产品(包括SR8800、SR6600、MSR系列

路由器以及S9500、S7500E、S7500、S5600、

S5500、S5100、S3600、S3100等交换机)均通过Tolly

Group的评测，在www.tolly.com网站上可以查到H3C全

部产品的测试报告。报告显示，H3C产品的部分性能及

业务评测数据指标已稳居业内领先水平。

• H3C SR8800万兆核心路由器共通过104项Tolly认证，

测试表明SR8800在加载多业务情况下能够实现多端口万

兆线速转发及海量的路由计算和处理。

• H3C SR6600系列开放多核路由器通过了100项Tolly认

证，测试结果表明SR6600可以实现在高密度窄带、宽带

汇聚的情况下集成NAT、Netstream、IPSec等多业务的

并行处理，是集高性能转发、高灵活性业务处理于一体

的新一代高端路由器。

• H3C MSR系列路由器将多种业务设备集于一身，能够

提供杰出的路由、交换、安全、防火墙、语音网关等特

性，其性能和各种功能共获得了73项TV认证，这使 H3C

MSR成为通过Tolly Group测试的最完善的多业务路由器

之一，多业务路由器名副其实。

• H3C S9500系列交换机共获得了107项Tolly(TV)认

证，这是Tolly Group为单系列交换机颁发认证最多的一

次。认证内容除了基本的二层特性、IPv4/IPv6三层功

能、业务转发性能和与第三方互操作性外，还包括

RPR、QinQ、MPLS VPN、VLL VPN、VPLS VPN等城域

网特性。

�• H3C S7500E系列交换机获得超过80项TV认证，测试

表明能够在4个10GbE和96个GbE端口下实现任意大小

报文L2/L3层的IPv4和IPv6线速吞吐。

• H3C全系列千兆交换机实现了线速吞吐，即使是在10

GE的连接中，也保持了线速，且帧丢失为零。

H3CSR8800 SERIES ROUTER

WWW.TOLLY.COM

H3CMSR 20, 30, 50 SERIES

MULTIPLE SERVICE ROUTERWWW.TOLLY.COM

H3CS9500 SERIES SWITCH

WWW.TOLLY.COM

H3CS7500E SERIES SWITCH

WWW.TOLLY.COM

H3CS3610 AND S5510 SERIES SWITCH

WWW.TOLLY.COM

权威认证

Tolly Group是一家独立测试和战略咨询机构，其宗旨是

在权威和公正信息的基础上同时为供应商和最终用户群

体提供全面的服务。作为全球顶级权威评测机构之一，

Tolly Group是世界公认的前沿技术评估专家，拥有顶级

的专家、技术及专业设备。由于其测试的独立性、公正

性和客观性，因而得到了全球业界的一致认同。

H3C全线网络产品(包括SR8800、SR6600、MSR系列

路由器以及S9500、S7500E、S7500、S5600、

S5500、S5100、S3600、S3100等交换机)均通过Tolly

Group的评测，在www.tolly.com网站上可以查到H3C全

部产品的测试报告。报告显示，H3C产品的部分性能及

业务评测数据指标已稳居业内领先水平。

• H3C SR8800万兆核心路由器共通过104项Tolly认证，

测试表明SR8800在加载多业务情况下能够实现多端口万

兆线速转发及海量的路由计算和处理。

• H3C SR6600系列开放多核路由器通过了100项Tolly认

证，测试结果表明SR6600可以实现在高密度窄带、宽带

汇聚的情况下集成NAT、Netstream、IPSec等多业务的

并行处理，是集高性能转发、高灵活性业务处理于一体

的新一代高端路由器。

• H3C MSR系列路由器将多种业务设备集于一身，能够

提供杰出的路由、交换、安全、防火墙、语音网关等特

性，其性能和各种功能共获得了73项TV认证，这使 H3C

MSR成为通过Tolly Group测试的最完善的多业务路由器

之一，多业务路由器名副其实。

• H3C S9500系列交换机共获得了107项Tolly(TV)认

证，这是Tolly Group为单系列交换机颁发认证最多的一

次。认证内容除了基本的二层特性、IPv4/IPv6三层功

能、业务转发性能和与第三方互操作性外，还包括

RPR、QinQ、MPLS VPN、VLL VPN、VPLS VPN等城域

网特性。

�• H3C S7500E系列交换机获得超过80项TV认证，测试

表明能够在4个10GbE和96个GbE端口下实现任意大小

报文L2/L3层的IPv4和IPv6线速吞吐。

• H3C全系列千兆交换机实现了线速吞吐，即使是在10

GE的连接中，也保持了线速，且帧丢失为零。

WWW.TOLLY.COM

H3CMSR 20, 30, 50 SERIES

MULTIPLE SERVICE ROUTERWWW.TOLLY.COM

WWW.TOLLY.COM

H3CS7500E SERIES SWITCH

WWW.TOLLY.COM

H3CS3610 AND S5510 SERIES SWITCH

WWW.TOLLY.COM

权威认证

开放业务网络—H3C网络产品与解决方案

http://www.h3c.com.cn

杭州华三通信技术有限公司杭州基地

杭州市高新技术产业开发区之江科技

工业园六和路 310 号

邮编：310053

电话：0571－86760000

传真：0571－86760001

北京分部

北京市宣武门外大街 10 号庄胜广场

中央办公楼南翼 16 层

邮编：100052

电话：010－63108666

传真：010－63108777

免责声明：虽然 H3C 试图在本资料中提供准确的信息，但不保证本资料的内容不含有技术性误差或印刷性错误，为此 H3C 对本资料中的准确性不承担任何责任。H3C 保留在没有任何通知或提示的情况下对本资料的内容进行修改的权利。

CN-082030-20081217-BR-SX-V3.0

客户服务热线 H3C网络产品技术解决方案精选系列

开放业务网络 - h3c.com.cn · 把网络打造成开放应用平台，h3c...

Documents

Transcript of 开放业务网络 - h3c.com.cn · 把网络打造成开放应用平台，h3c...