网络设备技术方案Word文件下载.docx

1、内部办公各主体（即各处、室）之间通过VLAN隔离，保护各子网的安全,根据用户需求,可对于财务，人事等处室单独设立一个子网。采用多种防病毒手段，防止系统受侵犯。7）可管理性系统管理员可方便地对整个系统进行维护、更新、取消或恢复某些功能.对主要设备具有良好的可管理性、易维护性,充分发挥网络中各部分资源的效能。初步具备配置管理、故障管理、性能管理、安全管理及计费管理等功能，并根据用户需求，不断加强完善其功能.8）可用性可用性主要指方便用户使用。整个系统的建设,分为网络通信平台和应用平台.用户面向应用平台，从应用平台的系统软件到应用软件设计，尽量采用中文环境，把操作简便放在首位.第二章 网络建设方案2

2、.1 方案特点1构建三套网络,物理隔离,建设高安全、高可靠网络。 本次网络建设新建三套网络，一套电信Internet外网，一套内部办公网,一套住宅民网，三套网络之间物理隔离，实现各自的应用,具体实现方式见下面的方案。2提供网络设备的电信级可靠性支持。 本次拟选用的路由器、以太网交换机、防火墙均秉承电信级理念，设备均为高可靠,核心交换机（路由器）关键模块都有冗余。3满足未来几年xx各系统业务发展的需求、VoIP、视频会议对网络系统高性能的要求. 本次网络建设选用设备具有很高的处理性能，丰富的业务支持能力和扩展能力保证未来几年新兴业务的开展以及视频业务发展的需要。4强大的业务区别服务能力支持，满足

3、多媒体统一网络的需求。 目前IP网络承载语音、视频的系列技术已经相当成熟：IP Qos技术已经相当成熟,整网为xx网络以及以后新业务开展提供通用的网络平台，支持业务的平滑升级；高带宽链路为业务开展提供带宽保证；拟选用的核心交换机和系列路由器支持丰富的QOS策略，可以承载多个应用而能保证视频、语音的开展。5统一、经济的跨平台网络管理方案，集群解决方案。 本次网络建设拟选用的网络设备支持丰富的网管策略，可以对全系列产品进行网络管理,节省网络管理的人力和精力投入。6支持未来网络平滑升级。本次网络建设拟选用的核心设备已预留足够的接口,相比业界同档次产品具有极强的可扩展性，保证随着未来业务增加进行设备平

4、滑升级。2。2 网络拓扑设计xx网络系统分内网、外网和住宅网三套网络，内部办公网运行各部门的主要应用系统包括相应数据库服务器系统及相关与省局互联的业务系统等，运行主要系统包括:业务系统、视频会议系统等,各套网络对性能和可靠性要求较高。后期建设以后将增加网络设备容错及线路备份，VOIP、视频会议（H.323）、各种安全设备,并增加网管系统、安全系统。xx外网接入INTERNET宽带，主要访问互联网和远程VPN拨入服务，连接各下属单位和众多的管理服务对象。全网网络协议采用TCP/IP,以适应网络开放性的要求；路由协议采用动态（OSPF）加静态的多种组合方式，既保证线路的备份，又可适应各地不同的通信

5、现状和网络现状。3 组网选型说明组网说明：内、外网络整体分为二个层次：核心层、接入层.核心交换机通过千兆多模光纤线路分别连接到接入层主配线间，接入层交换机通过IRF2设备虚拟化，接入千兆到用户，整个网络采用主干千兆到楼层，千兆到桌面的结构方式，扩展性强、管理维护简单.如图所示：在内、外网主干中,核心交换通过千兆多模光纤分别连接3楼、7楼配线间，在接入层交换机通过使用IRF2技术将2台接入交换机虚拟为1台交换机，并且性能行到累加.该结构设计清晰明了，充分依据了网络层次结构的设计原则。在内网核心层选用1台高端核心网络设备，即可实现核心设备的稳定性、可保护性,又做到了主干链路的稳定性，确保网络24小

6、时不间断、无故障运行；还可实现负载均衡，分流网络数据流量的负载。通过负载均衡这种性价比高而有效透明的方法扩展现有网络设备的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性的.在接入层设备启用ARP入侵检测功能，可有效防范ARP的欺骗攻击，还可通过端口、IP、MAC和VLAN的四重绑定功能，有效防范非法地址的仿冒。通过有效的ACL策略的下发，从而第一时间阻断非法终端的通讯。办公大楼内，外网核心：内网核心交换设备采用H3C S7500E 系列高端多业务路由交换机产品，支持双电源冗余配置,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持多个万兆扩展接口，可以满足用户今后

7、5年的带宽需求；支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代；除此以外，还有出色的安全性,可靠性和多业务支持能力。住宅大楼核心：民网核心交换机采用H3C S5120-24PEI千兆三层以太网交换机。提供灵活的千兆以太网端口的接入密度和万兆上行、增强的安全防御能力、丰富的业务特性、统一的集群配置，为用户提供高性能、低成本、可网管的千兆到桌面的解决方案，是千兆接入的理想选择,交换容量192Gbps，包转发能力达36Mpps。办公大楼内，外网接入层：接入层采用H3C S5120-EI接入交换机,它是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交

8、换机产品，在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的安全易用接入层交换机。支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力.S5120EI交换机还支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCP Snoo

9、ping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。2.4 主要网络设备介绍4。1 H3C S7500E系列高端多业务以太网交换机产品概述 H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5操作系统,以第二代智能弹性架构 （IRF,Intelligent Resilient Framework）为系统基石的虚拟化软件系

10、统,进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本（TCO）.H3C S7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。H3C S7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V（垂直8槽）、H3C S7506E-S（8槽）、S7503E（5槽）、7503ES（3槽）和S7502E（4槽）7款产品，除了7503E-S所有产品均支持冗余主控.H3C S750

11、0E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。产品特点丰富的业务，适应融合业务网络发展趋势基于智能弹性架构（IRF）的虚拟化架构H3C S7500E面向数据中心技术的演进,推出了以智能弹性架构（IRF）为代表的软件虚拟化技术,提供多台主机的协同工作、统一管理和不间断维护功能；IRF不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分.全面的MPLS、VPLS业务能力H3C S7500E所有产品均支持MultiVRF

12、特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用户的管理和维护;与H3C MPLS VPN Manager配合,实现图形化的MPLS部署与维护. 全面支持VPLS，VLL，支持1K VPLS实例,4K VLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求.高性能IPv4/IPv6业务能力H3C S7500E支持IPv4/IPv6双协议栈，支持多种隧道技术，支持IPv4/IPv6的组播技术,为用户提供完

13、善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段金色认证,是成熟商用的IPv6产品。有线无线一体化,有源无源一体化H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御,提高了整网的安全性.H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备,单台最大可接入

14、10240个FTTH用户;H3C S7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。EAD端点准入防护技术H3C S7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能.全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3C S7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面,内置协议报文攻击识别模

15、块，防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议,SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。有线无线全面支持EADH3C S7500E是EAD端点准入防御解决方

16、案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，满足金融等行业访问权限严格控制的需求.电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3C S7500E采用无单点故障设计,所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免

17、了机箱出现单点故障;所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999的电信级可靠性。多业务高可靠性运行H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议;支持SmartLink协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3C S7500E可以在承载多业务的情况下不间断运行,实现业务的永续。基于IRF架构的HA智能弹性架构技术（IRF）可以把多台S75E虚拟成一个“联合设备”，使用，配置如同一台机器，而

18、且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性,提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本,并可根据实际需求平滑扩容网络容量。产品规格属 性S7510ES7506EVS7506E-SS7503ES7503ESS7502E整机交换容量1152G/768Gbps768Gbps384Gbps480Gbps288Gbps192Gbps背板容量2。4Tbps1.6Tbps1。6Tbps1Tbps600Gbps400GbpsIPv4包转发率780M/492Mpps492Mpps288Mpps276Mpps180Mpps144Mpps槽位数量1288（垂直插槽）53

19、4业务槽位数量1062冗余设计电源、主控冗余电源、单主控二层特性支持IEEE 802.1P（CoS优先级）支持IEEE 802。1Q（VLAN）1d（STP）/802.1w（RSTP）/802.1s（MSTP）1ad（QinQ），灵活QinQ和Vlan mapping支持IEEE 802.3x（全双工流控）和背压式流控（半双工）3ad（链路聚合）和跨板链路聚合支持IEEE 802.3（10BaseT）/802。3u（100BaseT）3z（1000BASE-X）/802.3ab（1000BaseT）3ae（10Gbase）3af（PoE）支持RRPP（快速环网保护协议）支持跨板端口/流镜像支持

20、端口广播/多播/未知单播风暴抑制支持Jumbo Frame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持Multicast VLAN+支持点到点 单VLAN交叉连接、双VLAN交叉连接全部依靠VLAN-ID进行转发，不涉及MAC地址学习支持最大VLAN MAPING/灵活QinQ表项全面支持1:1, 2:1,1：2, 2：2 VLAN MAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARP Proxy支持DHCP Relay支持DHCP Server支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/I

21、S-IS/BGP GR （Graceful Restart优雅重启）支持等价路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持ISISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4双栈组播支持IGMPv1/v2/v3 支持IGMPv1/v2/v3 Snooping支持IGMP Filter支持IGMP Fast leave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2 Snooping支持PIM-SM

22、v6、PIMDMv6、PIM-SSMv6ACL/QoS支持标准和扩展ACL支持基于VLAN的ACL支持Ingress/Egress ACL支持Ingress/Egress CAR，粒度为64Kbps支持两级Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（Traffic Shaping）支持802。1P/DSCP优先级Mark/Remark支持队列调度机制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8队列支持拥塞避免机制，包括Tail-Drop、WRED支持N：2 MirroringMPLS/VPLS支持L3 MPLS VPN支持L2 VPN： VLL （Mar

23、tini， Kompella）支持MCE支持MPLS OAM支持VPLS，VLL支持分层VPLS,以及QinQ+VPLS接入安全机制支持EAD安全解决方案支持Portal认证支持MAC认证1x和IEEE 802。1x SERVER支持AAA/Radius支持HWTACACS，支持命令行认证支持SSHv1。5/SSHv2支持ACL流过滤机制支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限支持受限的IP地址的Telnet的登录和口令机制支持IP地址、VLAN ID、MAC地址和端口等多种组合绑定

24、支持uRPF支持主备数据备份机制支持故障后报警和自恢复支持数据日志系统管理支持FTP、TFTP、Xmodem支持SNMP v1/v2/v3支持sFlow流量统计支持RMON支持NTP时钟支持NetStream流量统计功能可靠性支持主控板1+1冗余备份支持电源1+1冗余备份采用无源背板设计所有单板支持热插拔支持VRRP 支持Ethernet OAM（802.1ag和802。3ah）支持MAC Tracert支持RRPP支持Graceful Restart for OSPF/BGP/ISIS支持DLDP支持VCT支持SmartLink支持热补丁环境要求温度范围：0 OC45 OC相对湿度:10%9

25、5（非凝结）安规和EMC认证通过了CE、FCC PART 15、TUV-GS、ULCUL、ICES003和VCCI的认证电源DC：38.4V72VAC： 90V264POE电源支持内置PoE电源（S7506E-S不支持）外形尺寸（宽高深）（mm）436x 708 x 420436 x 575 x 420436 x 930 x 420436x 575 x 420436 x 441 x 420436 x 175 x 420436 x 175 x 420 满配重量（kg）96kg77kg94kg63kg27kg4.2 H3C S5120EI系列以太网交换机H3C S5120EI系列交换机是H3C公司

26、自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。S5120-24PEI S5120-48PEIS5120-52CEI S5120-28C-EIH3C S5120-EI系列以太网交换机目前包含如下型号：S512024P-EI：24 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo）；S5120-48PEI：48 个10/100/100

27、0Base-T以太网端口，4 个复用的SFP 千兆端口（Combo）；S5120-28C-EI：24 个10/100/1000BaseT以太网端口,4 个复用的SFP 千兆端口（Combo），两个扩展槽位;S512052C-EI：48 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位；高扩展性保护投资随着用户端速度不断提高，用户最终会使集群千兆链路达到饱和，而能够拥有多条10GE链路将是我们的未来发展方向。S5120EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。S5120EI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬件的IPv