网络机房技术方案.docx
《网络机房技术方案.docx》由会员分享,可在线阅读,更多相关《网络机房技术方案.docx(56页珍藏版)》请在冰豆网上搜索。
网络机房技术方案
山东鸿杰印务集团有限公司
网络机房技术方案
2016年04月
第一章引言3
1.1概述3
1.2技术要求3
第二章系统拓扑4
2.1全网拓扑设计4
2.2方案说明5
第三章产品介绍6
3.1核心交换机6
3.2防火墙15
3.3汇聚交换机23
3.4AP接入点28
3.5AP控制器34
第一章引言
1.1概述
山东鸿杰印务集团有限公司机房建设工程位于山东省淄博市桓台县唐山镇。
本次工程内容主要包括网络机房核心设备,厂区及车间之间光纤布线及车间的无线覆盖。
1.2技术要求
本工程所涉及中华人民共和国相关的国家规范标准、行业标准及地方标准,所有规范或标准等均以最新颁布版本现行有效为准。
要求投标单位严格按规范要
求执行,但规范中未明确的相关引述标准和细节规定,投标必须符合领取招标文
件时已颁布或有实施要求的中华人民共和国国家规范和标准及青岛市地方标准。
包括但不限于:
《钢管敷设工艺标准》(305-1998)
《安全防范工程程序要求》(GB-T75-94)
《民用闭路监视电视系统工程技术规范》(GB50198-94
《建筑电气安装分项工程施工工艺标准》(533-1996)
《有线电视系统工程技术规范》(GB50200-94
《民用建筑电缆电视系统工程技术规范》(GBJ
《建筑与建筑群综合布线工程系统设计规范》(GBT/T50311-2000)
《建筑与建筑群综合布线系统工程验收规范》(GBT/T50312-2000)
《智能建筑设计标准》(GB/T50314-2000)
第二章系统拓扑
根据山东鸿杰印务集团有限公司目前的接入点数量及应用系统的分布情况,按照安全区域划分的设计思想,各个区域物理隔离的技术手段,综合高性价比考虑,特设计如下方案。
2.1全网拓扑设计
网络拓扑图:
Internet
■I
4-l'rTj
2.2方案说明
设用户网络总体设计主要考虑到先进性、可靠性、开放性、经济性、安全性和可管理性。
使整个网络既有较高的先进性,并具有长足的开发发展能力,以适应未来网络技术的发展。
用户网络设计在垂直层面采用分层的设计方式,用户网络是一个三层的交换
网络,由核心层、汇聚层和接入层组成。
核心网络设备:
由于核心网络设备为用户整个网络的核心处理设备,要求有较高的数据处理能力、安全性及接口的扩展性,方便以后的人员的增加和系统的扩展。
因此我们在这里选用了H3C的F100-M-G作为防火墙,选用H3C的
S5500-28C-EI作为核心交换机。
汇聚层网络:
采用H3C的S5120-28P-WiNet交换机,通过电信专线与总机房连接,性能与速率满足用户的应用功能。
无线网络:
采用H3C专业级APWAP722,该AP最大功率可达23dBm为了便于统一管理和维护以及实现无线漫游等功能,选用了H3CWAC361A控制器进行统一管理,最大可支持32个AP0
第三章产品介绍
3.1核心交换机
产品图片
产品特性
H3CS5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。
支持最多6个万兆扩展接口,支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城
域网边缘设备的第一选择。
同时S5500-EI系列交换机支持嵌入式管理软件,通过内置H3CUISManager统一管理软件可提供跨服务器、存储、网络以及虚拟化的全融合管理,简化部署安装,优化运维管理。
高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥
有多条集群10GE链路将是我们的未来发展方向。
H3CS5500-EI系列交换机支持两个扩展槽位,每个槽位支持最大两端口的10GE扩展模块及两端口的CX4扩展
模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用
户投资。
IPv4到IPv6的演变是以太网发展的大势所趋,网络设备对于IPv6的支持不仅是简单的可用就行,而是需要达到商用的标准,S5500-EI已经通过了国际最权威的IPv6Ready第二阶段认证,而且通过了信息产业部严格的IPv6入网测试。
这个系列产品是基于硬件的IPv4/IPv6双栈平台,支持丰富的IPv4和IPv6
三层路由协议、组播协议和策略路由机制,实现IPv4到IPv6的平滑升级。
智能弹性架构
H3CS5500-EI系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。
IRF可以为用户带来以下好处:
*简化管理IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
*简化业务IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
*弹性扩展可以按照用户需求实现弹性扩展,保证用户投资。
并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。
*高可靠IRF的高可靠性体现在链路,设备和协议三个方面。
成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:
N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:
N的协议可靠
性。
*高性能对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。
而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。
因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
完备的安全控制策略
H3CS5500-EI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访冋权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3CS5500-EI交换机支持集中式MAC地址认证、802.1x认证、PORTA认证,支持用户帐号、IP、MACVLAN端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLANQoSACL的动态下发;支持配合H3C公司的CAM喺统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。
H3CS5500-EI系列交换机提供增强的ACL控制逻辑,支持超大容量的入端口和出端口ACL并且支持基于VLAN的ACL下发,在简化用户配置过程的同时,避免了ACL资源的浪费。
另外,S5500-EI系列还将支持单播反向路径查找技术(uRPF,原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验
证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。
H3CS5500-EI交换机支持端口隔离功能,即便是在同一VLAN内,也可以实现端口之间的隔离,从而避免广播风暴和病毒在VLAN内地扩散从而影响所有端
口。
支持MAC地址学习限制和安全MAC地址功能,可以保证只有真正的业务主机才能够接入网络,而其他新接入主机即使连接到交换机上也无法获取地址并连通网络。
多重可靠性保护
S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。
所有机型都支持冗余电源,其中S5500-28F-EI支持可插拔的冗余电源模块,也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块,此外整机还支持电源
和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计
使我们这款盒式交换机具备了机柜式交换机的高可靠性。
除了设备级可靠性以外,还支持丰富的链路可靠性以外,还支持丰富的链路可靠性技术,比如华三通信独创的RRPP快速环网保护机制。
当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。
多业务支持能力
支持PoE(PoweroverEthernet)技术,通过以太网对所连接的设备(如IPPhone.WirelessAP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。
支持VoiceVLAN技术,交换机通过识别端口的语音流,将对应的接入端口加入Voice
VLAN(专用语音VLAN中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。
同时通过设置VoiceVLAN安全特性,
只允许语音流量通过,可以有效防止突发数据流量对VoiceVLAN内的语音流量
的冲击。
H3CS5500-EI系列交换机支持MCE功能,可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾,它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定,并为每个VPN创建和维护独立的路由转发表(Multi-VRF)。
这样不但能够隔离私网内不同VPN的报文转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保证VPN报文在公网内的传输。
丰富的QoS策略
H3CS5500-EI系列交换机支持支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。
提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP(StrictPriority)、WRRWeightedRoundRobin)、SP+WR三种模式。
支持CAR(CommittedAccessRate)功能。
支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。
出色的管理性
H3CS5500-EI系列交换机支持SNMPv1/v2/v3(SimpleNetworkManagementProtocol),可支持OpenView等通用网管平台以及iMC智能管理中心。
支持CLI命令行,Web网管,TELNETHGMP使设备管理更方便,并且支持SSH2.0
等加密方式,使得管理更加安全。
H3CS5500-EI系列交换机支持基于MACM址划分VLAN很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户
配置的同时,也大幅节约了硬件资源。
该系列交换机还支持sFlow功能,可以对出入方向的报文按比例随机抽样,灵活实现报文采集。
。
技术参数
支持特
性
S5500-28C-EI
S5500-52C-EI
S5500-28C-PW
R-EI
S5500-52C-PW
R-EI
E5500-28F-EI
整机交
换容量
256Gbps
256Gbps
256Gbps
256Gbps
256Gbps
包转发率(整机)
96Mpps
132Mpps
96Mpps
132Mpps
96Mpps
156Mpps*
192Mpps*
156Mpps*
192Mpps*
156Mpps*
外形尺寸(长X宽X高)
(单位:
mrj)
440X300X43.6
440X420X43.6
440X360X
43.6
重量
4kg
4.5kg
6kg
6.5kg
6.3kg
管理端
口
1个Console口
业务端
口描述
24个
10/100/1000Base-T以太网
端口
48个
10/100/1000Base-T以太网端口
24个
10/100/1000Base-T以太网端口
48个
10/100/1000Base-T以太网端口
24个
1000Base-X
千兆SFP端口
4个复用的
1000Base-X
千兆SFP端口
4个复用的
1000Base-X
千兆SFP端口
4个复用的
1000Base-X
千兆SFP端口
4个复用的
1000Base-X
千兆SFP端口
8个复用的
10/100/1000Base-T以太网
端口
扩展插
槽
2个扩展插槽
可选接
口模块
1端口万兆以太网XFP光接口模块
2端口万兆以太网XFP光接口模块
2端口万兆以太网SFP接口模块
2端口万兆以太网CX4接口模块
2端口1/10GBase-T以太网电接口模块
2端口千兆以太网SFP光接口模块
4端口万兆以太网SFP+接口模块*
以太网
供电PoE
不支持
支持
不支持
端口聚
合
支持LACP
支持手工聚合
支持最多14/26个聚合组,每组支持最多8个GE或4个10GE端口
端口特
性
支持IEEE802.3X流量控制(全双工)
支持基于端口速率百分比的风暴抑制
支持基于PPS的风暴抑制
MAC地址
表
支持32K个MAC地址
支持黑洞MAC地址
支持设置端口MAC地址学习最大个数
VLAN
支持基于端口的VLAN(4K个)
支持基于MAC勺VLAN
基于协议的VLAN
基于IP子网的VLAN
支持QinQ,灵活QinQ
支持VLANMapping
支持VoiceVLAN
支持GVRP
二层环〕
支持STP/RSTP/MSTP
网协议
支持RRPP
DHCP
DHCPClient
DHCPSnooping
DHCPRelay
DHCPServer
DHCPSnoopingoption82/DHCPRelayoption82
IRF2
支持IRF2智能弹性架构
智能弹
性架构
支持分布式设备管理,分布式链路聚合,分布式弹性路由
支持通过标准以太网接口进行堆叠
支持本地堆叠和远程堆叠
IP路由
支持静态路由
支持RIPv1/v2,RIPng
支持OSPFv1/v2OSPFv3
支持BGP4BGP4+forIPv6
支持等价路由,策略路由
支持VRRP/VRRPv3
MCE
支持
IPv6
支持ND(NeighborDiscovery)
支持PMTU
支持IPv6-Ping,IPv6-Tracert,IPv6-Telnet,IPv6-TFTP
支持手动配置Tunnel
支持6to4tunnel
支持ISATAPtunnel
组播
支持IGMPSnoopingv1/v2/v3,MLDSnoopingv1/v2
支持组播VLAN
支持IGMPv1/v2/v3,MLDv1/v2
支持PIM-DMPIM-SMPIM-SSM
支持MSDPMSDPforIPv6
支持MBGPMBGPforIPv6
镜像
支持流镜像
支持N:
4端口镜像
支持本地和远程端口镜像
QoS/
ACL
支持
AC
L
支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、TCP/UDP端口号、VLAN的流分类
支持时间段(TimeRange)ACL
支持入方向和出方向的双向ACL策略
支持基于VLAN下发ACL
支持
Qo
S
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
支持CAR(CommittedAccessRate)功能
每个端口支持8个输出队列
支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP
WRRSP+WR三种模式
支持报文的802.1p和DSCP优先级重新标记
安全特
性
支持用户分级管理和口令保护
支持802.1X认证/集中式MAC地址认证
支持GuestVLAN
支持RADIUS!
证
支持SSH2.0
支持端口隔离
支持端口安全
支持PORTA认证
支持EAD
管理与
维护
可支持DHCPSnooping防止欺骗的DHCP服务器
支持动态ARP检测,防止中间人攻击和ARP拒绝服务
支持BPDUguard,Rootguard
支持uRPF单播反向路径检测),杜绝IP源地址欺骗,防范病毒和攻击
支持IP/Port/MAC的绑定功能
支持OSPFRIPv2报文的明文及MD5密文认证。
支持XModem/FTP/TFT加载升级
支持命令行接口(CLI),Telnet,Console口进行配置
支持SNMPv1/v2/v3,WE聊管
支持RMON(RemoteMonitoring)告警、事件、历史记录
支持iMC智能管理中心
支持系统日志,分级告警,调试信息输出
支持HGMPv(最大256台)
支持NTP
支持电源的告警功能,风扇、温度告警
支持Ping、Tracert
支持VCT(VirtualCableTest)电缆检测功能
支持DLDP(DeviceLinkDetectionProtocol)单向链路检测协议
支持LLDP
支持Loopback-detection端口环回检测
支持H3CUISManager统一管理软件,可提供跨服务器、存储、网络以
及虚拟化的全融合管理,简化部署安装,优化运维管理
输交流
电直流
压
额定电压范围:
100V〜240VAC,50/60Hz
最大电压范围:
90V〜264VAC,47/63Hz
额定电压范围:
额定电压范围:
额定电压范
围:
10.8V〜13.2VDC(RPS专用)
-52V〜-55VDC(RPS专用)
-48V〜-60V
DC
功耗(满负荷时)
110W
155W
AC供电:
AC供电:
115W
满负荷功耗最
大575W其中
系统功耗
205WPOE对
外供电功率
370V;
满负荷功耗最
大640W其中
系统功耗
270V,POE对
外供电功率
370V;
DC供电:
DC供电:
满负荷功耗最
大485V,其中
系统功耗
115V,POE对
外供电功率
370V;
满负荷功耗最
大910W其中
系统功耗
170WPOE对
外供电功率
740W
工作环
境温度
0°C〜50°C
工作环境相对湿(非凝露)
10%〜90%
3.2防火墙
产品图片
产品特性
H3CSecPathF100-M-G是H3C公司推出的新一代防火墙产品,能够满足中
小企业不断变化的网络环境和日益丰富网络应用的需要。
SecPathF100-M-G继承H3C—贯的高性能、高可靠硬件平台,能够为用户提供线速、稳定的应用体验。
SecPathF100-M-G不但可以提供传统的基础安全功能,如状态检测、NATVPN
链路负载均衡等;同时通过统一的软件平台和处理引擎,SecPathF100-M-G有
效整合防火墙、入侵防御、应用层流量识别与控制、防病毒功能,为用户提供一体化的应用安全防护。
市场领先的基础安全防护
*全面的基础安全防护:
提供安全区域划分、静态/动态黑名单功能、MAC
和IP绑定、访问控制列表(ACL和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。
能够防御ARP欺骗、TCP报文标志位不合法、LargeICMP报文、SYNflood、地址扫描和端口扫描等多种恶意攻击
*丰富的VPN特性:
支持L2TPVPNGREVPNIPSecVPN及SSLVPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理
*专业的NAT应用:
提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT提供DNSFTPH.323、NBT等NATALG功能
灵活可扩展的深度安全防护
*与基础安全防护高度集成的一体化安全业务处理平台
*全面的应用层流量识别与管理:
通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/WebThunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQMSNPPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制
*高精度、高效率的入侵检测引擎。
采用H3C公司自主知识产权的FIRST
(FullInspectionwithRigorousStateTest,基于精确状态的全面检测)引
擎。
FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率
*实时的病毒防护:
采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码
*全面、及时的安全特征库。
通过多年经营与积累,H3C公司拥有业界资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新
技术领先的IPv6
*国内率先支持IPv6状态防火墙,真正意义上实现IPv6条件下的防火墙功能,满足迫在眉睫的IPv6应用需求
*支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能
*支持IPv6各种过渡技术,包括NAT-PTIPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等
*支持IPv6ACL、Radius等安全技术
升级会员 