一、 引言

　　随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。紧随信息化发展而来的网络安全问题日渐凸出，传统的以太网交换机显得有些力不从心。

　　中兴通讯秉承一贯的高品质作风，研发了智能安全系列交换机ZXR10 3900系列，满足用户对网络品质的深入要求。

　　二、 产品规格

　　中兴通讯智能安全交换机系列产品目前已经推出的型号包括ZXR10 3928/3228、ZXR10 3952/3252、ZXR10 3206/3206，分别对应不同的网络规模和接入方式。

　　● 支持标准IEEE 802.3协议族，支持10/100BaseT百兆自适应电口接入，支持1000M千兆光口、电口上行；

　　● 支持标准VLAN和SVLAN扩展；

　　● 支持端口限速、镜像、聚合；

　　● 支持802.1p优先级队列机制；

　　● 支持IGMP Snooping/Filter/Proxy、IGMP V1/V2、PIM-SM、PIM-DM、DVMRP；

　　● 支持硬件的ACL，ACL流量划分模式基于二层MAC、VLANID、三层IP地址、四层端口等，支持混合ACL和分时间段ACL；

　　● 支持CLI/Telnet/SNMP、ZXNM01、集群管理ZGMP。

　　图1  中兴系列智能安全交换机产品

　　ZXR10 3928提供24个百兆电口，两个千兆扩展槽位，最大4个千兆光电自适应端口。ZXR10 3952提供48个百兆电口，两个千兆扩展槽位，最大支持4个千兆光电自适应端口。ZXR10 3906提供全模块化的接入，6个百兆线卡插槽，多种规格的百兆线卡模块提供最少8个、最多48个全光、全电、光电、或者光电混合的接入，扩展性和适应性强。

　　三、 优势分析

　　中兴ZXR10 3900系列智能安全以太网交换机具有如下优势：

　　● 完善的安全机制

　　随着城域网络中针对传统三层交换机的网络攻击日益增多，如红码病毒、冲击波病毒、ARP攻击、DOS攻击等将造成设备转发性能急剧下降甚至瘫痪。ZXR10 3900系列交换机通过多种策略实现网络安全。

　　（1） CPU保护, CPU通过主动处理报文节奏, 保持CPU在遭受冲击时始终运行平稳；

　　（2） 重要协议报文分级处理，避免重要协议报文被淹没在普通攻击报文中；

　　（3） 对ARP攻击、BPDU攻击等协议报文攻击给出告警，同时实施快速丢弃算法；

　　（4） 通过强大的ACL功能，根据数据流模式实施ACL过滤，将已知病毒攻击报文丢弃。

　　ZXR10 3900系列交换机支持MAC＋PORT＋VLAN＋IP等要素的捆绑、广播、组播、单播风暴，支持各种用户认证机制、ACL策略，抑制常见的网络设备攻击，提高接入网络整体的抗攻击能力，实现网络的安全高效运营，同时防攻击策略启动后对性能没有大的影响。

　　另外，随着安全管理功能日益完善，ZXR10 3900系列交换机支持用户的上网日志功能，能够将用户的上网信息传送到指定的服务器，为实现网络攻击的事后追溯提供可能。

　　● 可控组播

　　可控组播强调对于组播源和组播组接入的身份控制能力，汇聚层交换机需要能够有效地防止协议攻击，与业务管理平台配合还能防止非法组播源、非法转播、非法接收者加入等组播网络，一方面可保证组播业务的安全运行，另一方面可防止非法用户对组播源的攻击，提升网络的整体性能。

　　ZXR10 3900系列交换机支持完备的组播协议IGMPV1/V2、IGMP Snooping、IGMP Filter、IGMP Proxy、PIM-SM/DM、DVMRP，支持对未授权用户端口的访问拒绝功能，支持基于拒绝、允许和有限预览等多种权限的用户组播访问控制，支持基于组播VLAN的管理组配置。

　　● 网络QoS

　　随着宽带应用的不断深入，IP网承载的业务已从过去以窄带Internet业务为主，发展到今天以VOD点播、网络游戏、视讯业务等高带宽业务为主的业务格局。随着IPTV/NGN/3G等新兴业务的相继投入商用，IP网需要承载的业务将越来越丰富。从市场调研的结果看，目前受欢迎的IP业务大多是对带宽、时延要求很高的实时性业务，要求网络能够提供端到端的QoS保障。目前，在网络的核心层通过一定的队列算法和丢弃机制，可使高优先级业务及VIP用户的带宽和时延得到充分保证，但很多接入层以太网交换机都不支持带宽控制和优先级控制的QoS策略，使得接入层成了开展实时业务的最大障碍。

　　ZXR10 3900系列交换机从边缘层开始支持基于报文的L2－L7层信息的流分类，可为不同的流选择不同的优先级标签（IEEE802.1p、DSCP），并实施相应的队列调度策略，支持基于端口和基于流的限速，通过汇聚层与接入层设备相互配合来实现端到端的QoS保障。

　　● 用户隔离

　　IP业务电信化运营要求端到端的安全辨识，通过VLAN来识别用户、业务是目前最廉价也是最有效的方案，但面临的问题是标准的VLAN资源仅4000个，这就限制了宽带接入网络的组网规模：一个宽带接入网络所汇聚的用户数不得超过4000个。在将来，一个家庭用户将涉及多种数据业务的接入，如VoIP、视讯等，在运营中可能需要通过VLAN来区分不同的业务，一个用户就会占用多个VLAN，此时，标准的VLAN资源可服务的用户数将小于4000个，远远不能满足POP节点的用户接入能力需求。

　　ZXR10 3900系列智能安全交换机通过对QinQ（双标签）技术的支持，可有效扩展城域网中VLAN的数量，同时支持按端口划分VLAN、按子网划分VLAN、按协议类型划分VLAN等灵活多样的VLAN划分模式，充分满足PUPV/PUMV的需求，实现端到端的安全标识。

　　● 防雷击

　　中兴通讯在语音交换机的开发和商用过程中积累了丰富的防雷击经验，这些经验也用于以太网交换机的防雷击设计中。雷击在技术面上称为浪涌，是指在短时间内将高电压加到线路上，线路再将高电压传递到设备上，导致设备瞬间功能失效或永久损坏。以太网交换机主要是室内运行的设备，如果以太网线走到了户外，在有雷电天气的情况下可能会将雷电引入交换机设备。ZXR10 3900系列交换机设备经过严格防雷击测试，能抵抗4KV的高压，保护设备安全。

　　● 集群管理

　　中兴通讯专利开发的ZXNM01网络管理系统和ZGMP集群管理系统，快速应对网络规模的扩张。ZGMP集群管理系统把一组交换机看作一台完整的设备，不但节约了网络IP地址资源，而且通过网络拓扑的自动发现、自动更新、集群成员的自动配置等特色功能，实现了低端交换机的批量自动配置。一次配置，处处适用，大大节约了运营商的业务开通维护人力。

　　另外，ZXNM01网管系统包含告警系统和故障检测系统，通过在网管台直观显示故障拓扑位置和故障时间。通过VCT线缆测试、端口内外环测试等手段，主动排除用户侧错误配置因素，进一步直接定位到具体的设备、端口和故障线路距离。在网管中心就可以定位、排除大部分故障，减轻网络维护工作量。

　　四、 结束语

　　中兴ZXR10 3900系列智能安全以太网交换机定位于企业网和宽带接入网的小区汇聚层，提供中低密度的以太网端口，非常适合作为信息化智能小区、商务楼、宾馆、大学校园网和企业网（政务网）的用户侧接入设备或者是小型网络的汇聚设备，为用户提供高速、高效、廉价的接入和汇聚方案。