网络设备技术方案Word文件下载.docx
《网络设备技术方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《网络设备技术方案Word文件下载.docx(70页珍藏版)》请在冰豆网上搜索。
⏹内部办公各主体(即各处、室)之间通过VLAN隔离,保护各子网的安全,根据用户需求,可对于财务,人事等处室单独设立一个子网。
⏹采用多种防病毒手段,防止系统受侵犯。
7)可管理性
系统管理员可方便地对整个系统进行维护、更新、取消或恢复某些功能.对主要设备具有良好的可管理性、易维护性,充分发挥网络中各部分资源的效能。
初步具备配置管理、故障管理、性能管理、安全管理及计费管理等功能,并根据用户需求,不断加强完善其功能.
8)可用性
可用性主要指方便用户使用。
整个系统的建设,分为网络通信平台和应用平台.用户面向应用平台,从应用平台的系统软件到应用软件设计,尽量采用中文
环境,把操作简便放在首位.
第二章网络建设方案
2.1方案特点
1.构建三套网络,物理隔离,建设高安全、高可靠网络。
本次网络建设新建三套网络,一套电信Internet外网,一套内部办公网,一套住宅民网,三套网络之间物理隔离,实现各自的应用,具体实现方式见下面的方案。
2.提供网络设备的电信级可靠性支持。
本次拟选用的路由器、以太网交换机、防火墙均秉承电信级理念,设备均为高可靠,核心交换机(路由器)关键模块都有冗余。
3.满足未来几年xx各系统业务发展的需求、VoIP、视频会议对网络系统高性能的要求.
本次网络建设选用设备具有很高的处理性能,丰富的业务支持能力和扩展能力保证未来几年新兴业务的开展以及视频业务发展的需要。
4.强大的业务区别服务能力支持,满足多媒体统一网络的需求。
目前IP网络承载语音、视频的系列技术已经相当成熟:
IPQos技术已经相当成熟,整网为xx网络以及以后新业务开展提供通用的网络平台,支持业务的平滑升级;
高带宽链路为业务开展提供带宽保证;
拟选用的核心交换机和系列路由器支持丰富的QOS策略,可以承载多个应用而能保证视频、语音的开展。
5.统一、经济的跨平台网络管理方案,集群解决方案。
本次网络建设拟选用的网络设备支持丰富的网管策略,可以对全系列产品进行网络管理,节省网络管理的人力和精力投入。
6.支持未来网络平滑升级。
本次网络建设拟选用的核心设备已预留足够的接口,相比业界同档次产品具有极强的可扩展性,保证随着未来业务增加进行设备平滑升级。
2。
2网络拓扑设计
xx网络系统分内网、外网和住宅网三套网络,内部办公网运行各部门的主要应用系统包括相应数据库服务器系统及相关与省局互联的业务系统等,运行主要系统包括:
业务系统、视频会议系统等,各套网络对性能和可靠性要求较高。
后期建设以后将增加网络设备容错及线路备份,VOIP、视频会议(H.323)、各种安全设备,并增加网管系统、安全系统。
xx外网接入INTERNET宽带,主要访问互联网和远程VPN拨入服务,连接各下属单位和众多的管理服务对象。
全网网络协议采用TCP/IP,以适应网络开放性的要求;
路由协议采用动态(OSPF)加静态的多种组合方式,既保证线路的备份,又可适应各地不同的通信现状和网络现状。
3组网选型说明
Ø
组网说明:
内、外网络整体分为二个层次:
核心层、接入层.核心交换机通过千兆多模光纤线路分别连接到接入层主配线间,接入层交换机通过IRF2设备虚拟化,接入千兆到用户,整个网络采用主干千兆到楼层,千兆到桌面的结构方式,扩展性强、管理维护简单.
如图所示:
在内、外网主干中,核心交换通过千兆多模光纤分别连接3楼、7楼配线间,在接入层交换机通过使用IRF2技术将2台接入交换机虚拟为1台交换机,并且性能行到累加.该结构设计清晰明了,充分依据了网络层次结构的设计原则。
在内网核心层选用1台高端核心网络设备,即可实现核心设备的稳定性、可保护性,又做到了主干链路的稳定性,确保网络24小时不间断、无故障运行;
还可实现负载均衡,分流网络数据流量的负载。
通过负载均衡这种性价比高而有效透明的方法扩展现有网络设备的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性的.
在接入层设备启用ARP入侵检测功能,可有效防范ARP的欺骗攻击,还可通过端口、IP、MAC和VLAN的四重绑定功能,有效防范非法地址的仿冒。
通过有效的ACL策略的下发,从而第一时间阻断非法终端的通讯。
办公大楼内,外网核心:
内网核心交换设备采用H3CS7500E系列高端多业务路由交换机产品,支持双电源冗余配置,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。
支持多个万兆扩展接口,可以满足用户今后5年的带宽需求;
支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;
除此以外,还有出色的安全性,可靠性和多业务支持能力。
住宅大楼核心:
民网核心交换机采用H3CS5120-24P—EI千兆三层以太网交换机。
提供灵活的千兆以太网端口的接入密度和万兆上行、增强的安全防御能力、丰富的业务特性、统一的集群配置,为用户提供高性能、低成本、可网管的千兆到桌面的解决方案,是千兆接入的理想选择,交换容量192Gbps,包转发能力达36Mpps。
办公大楼内,外网接入层:
接入层采用H3CS5120-EI接入交换机,它是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品,在满足高性能接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性,是理想的安全易用接入层交换机。
支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力.S5120—EI交换机还支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,对不符合DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。
同时支持IPSourceCheck特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS攻击。
2.4主要网络设备介绍
4。
1H3CS7500E系列高端多业务以太网交换机
产品概述
H3CS7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的ComwareV5操作系统,以第二代智能弹性架构(IRF,IntelligentResilientFramework)为系统基石的虚拟化软件系统,进一步融合MPLSVPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO).H3CS7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
H3CS7500E系列包括S7510E(12槽)、S7506E(8槽)、S7506E-V(垂直8槽)、H3CS7506E-S(8槽)、S7503E(5槽)、7503E—S(3槽)和S7502E(4槽)7款产品,除了7503E-S所有产品均支持冗余主控.H3CS7500E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。
产品特点
丰富的业务,适应融合业务网络发展趋势
基于智能弹性架构(IRF)的虚拟化架构
H3CS7500E面向数据中心技术的演进,推出了以智能弹性架构(IRF)为代表的软件虚拟化技术,提供多台主机的协同工作、统一管理和不间断维护功能;
IRF不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF所提供的高可靠性和无缝升级、扩展能力,也成为H3C用户增值服务的重要组成部分.
全面的MPLS、VPLS业务能力
H3CS7500E所有产品均支持Multi—VRF特性,可以作为MCE设备使用;
支持三层的MPLSVPN和二层的MPLSVPN(Martini、Kompella);
支持MPLSOAM特性,方便用户的管理和维护;
与H3CMPLSVPNManager配合,实现图形化的MPLS部署与维护.
全面支持VPLS,VLL,支持1KVPLS实例,4KVLL,还支持分层VPLS以及QINQ+VPLS接入方式,提供端到端2层VPN接入方案,支持MPLS/VPLS全线速转发,满足VPLS规模部署要求.
高性能IPv4/IPv6业务能力
H3CS7500E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;
H3CS7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;
H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证,是成熟商用的IPv6产品。
有线无线一体化,有源无源一体化
H3CS7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;
无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性.
H3CS7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;
H3CS7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
EAD端点准入防护技术
H3CS7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;
可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能.
全方位的安全保障,抵御多种网络安全威胁
三平面安全保障机制
H3CS7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:
在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;
在管理平面,SNMPv3网管协议,SSHV2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;
在转发平面,支持IP、VLAN、MAC和端口等多种组合精细绑定;
支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。
H3CS7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。
有线无线全面支持EAD
H3CS7500E是EAD端点准入防御解决方案的重要组成部分,S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。
H3CS7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。
增强的ACL特性
H3CS7500E系列产品支持强大的ACL能力:
支持标准和扩展ACL;
支持基于VLAN的ACL,方便用户配置,节省ACL资源;
支持出方向和入方向的ACL,满足金融等行业访问权限严格控制的需求.
电信级的高可靠性,保障用户业务长期稳定运行
电信级高可靠性设计
H3CS7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;
无源背板避免了机箱出现单点故障;
所有单板和电源模块支持热插拔功能;
H3CS7500E系列可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性。
多业务高可靠性运行
H3CS7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;
支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;
支持RRPP快速环网保护协议;
支持Smart—Link协议,保证双上行网络拓扑的业务毫秒级快速切换。
通过上述技术,H3CS7500E可以在承载多业务的情况下不间断运行,实现业务的永续。
基于IRF架构的HA
智能弹性架构技术(IRF)可以把多台S75E虚拟成一个“联合设备”,使用,配置如同一台机器,而且扩展端口数量和交换能力,同时也通过多台设备之间的互相备份增强了设备的可靠性,提供毫秒级的链路收敛能力。
简化了管理过程,降低管理成本,并可根据实际需求平滑扩容网络容量。
产品规格
属性
S7510E
S7506E
—V
S7506E-S
S7503E
S7503E—S
S7502E
整机交换容量
1152G/768Gbps
768Gbps
384Gbps
480Gbps
288Gbps
192Gbps
背板容量
≥2。
4Tbps
≥1.6Tbps
≥1。
6Tbps
≥1Tbps
≥600Gbps
≥400Gbps
IPv4包转发率
780M/492Mpps
492Mpps
288Mpps
276Mpps
180Mpps
144Mpps
槽位数量
12
8
8(垂直插槽)
5
3
4
业务槽位数量
10
6
2
冗余设计
电源、主控冗余
电源、单主控
二层特性
支持IEEE802.1P(CoS优先级)
支持IEEE802。
1Q(VLAN)
1d(STP)/802.1w(RSTP)/802.1s(MSTP)
1ad(QinQ),灵活QinQ和Vlanmapping
支持IEEE802.3x(全双工流控)和背压式流控(半双工)
3ad(链路聚合)和跨板链路聚合
支持IEEE802.3(10Base—T)/802。
3u(100Base—T)
3z(1000BASE-X)/802.3ab(1000BaseT)
3ae(10Gbase)
3af(PoE)
支持RRPP(快速环网保护协议)
支持跨板端口/流镜像
支持端口广播/多播/未知单播风暴抑制
支持JumboFrame
支持基于端口、协议、子网和MAC的VLAN划分
支持SuperVLAN
支持PVLAN
支持MulticastVLAN+
支持点到点单VLAN交叉连接、双VLAN交叉连接
全部依靠VLAN-ID进行转发,不涉及MAC地址学习
支持最大VLANMAPING/灵活QinQ表项
全面支持1:
1,2:
1,1:
2,2:
2VLANMAPPING能力
支持GVRP
支持LLDP
IPv4路由特性
支持ARPProxy
支持DHCPRelay
支持DHCPServer
支持静态路由
支持RIPv1/v2
支持OSPFv2
支持IS-IS
支持BGPv4
支持OSPF/IS-IS/BGPGR(GracefulRestart优雅重启)
支持等价路由
支持策略路由
支持路由策略
IPv6路由特性
支持ICMPv6
支持ICMPv6重定向
支持DHCPv6
支持ACLv6
支持OSPFv3
支持RIPng
支持BGP4+
支持IS—ISv6
支持手工隧道
支持ISATAP
支持6to4隧道
支持IPv6和IPv4双栈
组播
支持IGMPv1/v2/v3
支持IGMPv1/v2/v3Snooping
支持IGMPFilter
支持IGMPFastleave
支持PIM-SM/PIM-DM/PIM-SSM
支持MSDP
支持AnyCast-RP
支持MLDv2/MLDv2Snooping
支持PIM-SMv6、PIM—DMv6、PIM-SSMv6
ACL/QoS
支持标准和扩展ACL
支持基于VLAN的ACL
支持Ingress/EgressACL
支持Ingress/EgressCAR,粒度为64Kbps
支持两级Meter能力
支持VLAN聚合CAR,MAC聚合CAR功能
支持流量整形(TrafficShaping)
支持802。
1P/DSCP优先级Mark/Remark
支持队列调度机制,包括SP、WRR、SP+WRR、CBWFQ
支持每端口8队列
支持拥塞避免机制,包括Tail-Drop、WRED
支持N:
2Mirroring
MPLS/VPLS
支持L3MPLSVPN
支持L2VPN:
VLL(Martini,Kompella)
支持MCE
支持MPLSOAM
支持VPLS,VLL
支持分层VPLS,以及QinQ+VPLS接入
安全机制
支持EAD安全解决方案
支持Portal认证
支持MAC认证
1x和IEEE802。
1xSERVER
支持AAA/Radius
支持HWTACACS,支持命令行认证
支持SSHv1。
5/SSHv2
支持ACL流过滤机制
支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证
支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限
支持受限的IP地址的Telnet的登录和口令机制
支持IP地址、VLANID、MAC地址和端口等多种组合绑定
支持uRPF
支持主备数据备份机制
支持故障后报警和自恢复
支持数据日志
系统管理
支持FTP、TFTP、Xmodem
支持SNMPv1/v2/v3
支持sFlow流量统计
支持RMON
支持NTP时钟
支持NetStream流量统计功能
可靠性
支持主控板1+1冗余备份
支持电源1+1冗余备份
采用无源背板设计
所有单板支持热插拔
支持VRRP
支持EthernetOAM(802.1ag和802。
3ah)
支持MACTracert
支持RRPP
支持GracefulRestartforOSPF/BGP/IS—IS
支持DLDP
支持VCT
支持Smart—Link
支持热补丁
环境要求
温度范围:
0OC~45OC
相对湿度:
10%~95%(非凝结)
安规和EMC认证
通过了CE、FCCPART15、TUV-GS、UL—CUL、ICES003和VCCI的认证
电源
DC:
–38.4V~–72V
AC:
90V~264
POE电源
支持内置PoE电源(S7506E-S不支持)
外形尺寸(宽×
高×
深)(mm)
436x708x420
436x575x420
436x930x420
436x575x420
436x441x420
436x175x420
436x175x420
满配重量(kg)
≤96kg
≤77kg
≤94kg
≤63kg
≤27kg
4.2H3CS5120—EI系列以太网交换机
H3CS5120—EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。
通过H3C特有的IRF(智能弹性架构)功能,用户能够简化对网络的管理。
S5120-EI系列千兆以太网交换机定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。
S5120-24P—EIS5120-48P—EI
S5120-52C—EIS5120-28C-EI
H3CS5120-EI系列以太网交换机目前包含如下型号:
S5120—24P-EI:
24个10/100/1000Base-T以太网端口,4个复用的SFP千兆端口(Combo);
S5120-48P—EI:
48个10/100/1000Base-T以太网端口,4个复用的SFP千兆端口(Combo);
S5120-28C-EI:
24个10/100/1000Base—T以太网端口,4个复用的SFP千兆端口(Combo),两个扩展槽位;
S5120—52C-EI:
48个10/100/1000Base-T以太网端口,4个复用的SFP千兆端口(Combo),两个扩展槽位;
高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条10GE链路将是我们的未来发展方向。
S5120—EI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
S5120—EI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬件的IPv