XX集团信息化建设技术建议书

《XX集团信息化建设技术建议书》由会员分享，可在线阅读，更多相关《XX集团信息化建设技术建议书（134页珍藏版）》请在装配图网上搜索。

1、XX集团信息化建设技术方案建议书XX集团信息化建设技术方案建议书华为3Com技术有限公司年月目录第1章 需求分析61.1 项目背景61.2 建设目标7第2章 网络建设原则8第3章 总体建设方案93.1 拓扑模型选择93.1.1 星形网络93.1.2 网状网络103.1.3 环形网络113.1.4 双平面网络123.1.5 网络类型对比123.2 XX集团网络结构选择133.3 传输技术选择133.4 设备选型143.4.1 路由器产品综述143.4.2 MSR 系列路由器特点143.4.3 以太网交换机产品综述163.4.4 H3C S9500系列万兆核心交换机特点163.4.5 H3C 55

2、10系列全千兆多协议以太网交换机特点183.4.6 H3C 5100全千兆智能交换机特点203.4.7 H3C S3600系列智能弹性交换机特点213.4.8 H3C S3100 系列千兆智能交换机特点233.4.9 安全产品选型原则243.4.10 SecPath系列防火墙产品特点253.4.10.1 高性能保障253.4.10.2 多业务的支持253.4.10.3 增强的应用安全263.4.10.4 高可靠性273.4.10.5 协同工作283.4.10.6 统一简便的管理手段283.4.10.7 实时流量分析283.4.10.8 实时邮件告警293.4.10.9 详尽的日志功能293.4

3、.10.10 统一的管理手段303.4.11 TippingPoint 系列 IPS产品特点313.4.11.1 高性能的硬件平台323.4.11.2 业界领先的安全威胁分析团队323.4.11.3 综合管理中心333.4.11.4 无缝部署343.4.11.5 多重高可靠性（MLHA，Multi-Layer High Availability）343.5 网络总体方案353.5.1 方案一：专线方案353.5.1.1 核心层设计363.5.1.2 汇聚/接入层设计363.5.1.3 服务器区设计363.5.1.4 网络出口设计373.5.1.5 广域网设计373.5.2 方案二：VPN方案3

4、73.5.2.1 核心层设计383.5.2.2 汇聚/接入层设计383.5.2.3 服务器区设计383.5.2.4 网络出口设计393.5.2.5 广域网设计39第4章 IP 地址及设备命名称规划401.1 IP地址规划原则404.1.1 IP地址规划总原则404.1.2 IP地址规划具体原则404.2 IP地址分配方案404.2.1 设备Loopback地址的分配414.2.2 设备间互连地址的分配414.2.3 VPN业务地址414.3 网络设备命名规则424.3.1 网络设备基本命名原则424.3.2 网络设备具体命名原则424.3.2.1 网络设备标识方法424.3.2.2 服务器标识

5、方法424.3.3 网络设备命名总体原则43第5章 路由设计441.1.概要441.2.路由协议分类441.3.选择原则451.4.路由协议选择461.4.1.IGP路由选择465.1.1.1 OSPF和ISIS的比较465.1.1.2 OSPF和ISIS的选择475.1.1.3 OSPF和EIGRP的比较48第6章 VPN设计506.1 IPSec/VPN原理简介506.2 IPSEC VPN部署506.2.1 移动用户VPN接入解决方案516.2.2 分支机构VPN接入解决方案52第7章 QoS设计547.1 概述547.2 IP QoS服务模型选择547.2.1 Best Effort模

6、型547.2.2 IntServ模型557.2.3 DiffServ模型557.2.4 MPLS DiffServ567.2.5 MPLS TE577.2.6 DS-Aware TE577.2.7 总结587.3 QOS技术简介597.3.1 DiffServ相关技术597.3.1.1 流分类597.3.1.2 流量监管与整形607.3.1.3 拥塞管理607.3.1.4 拥塞避免627.3.2 MPLS-TE 技术627.3.3 MPLS DS-Aware TE技术637.4 QoS部署647.4.1 QoS部署总体原则647.4.2 DiffServ模型的部署647.4.2.1 业务分类6

7、57.4.2.2 标记667.4.2.3 流量监管677.4.2.4 队列管理677.4.2.5 拥塞避免687.4.2.6 DiffServ 模型部署示例687.4.3 QoS参数的测量697.4.3.1 Netstream方案697.4.3.2 Hwping方案70第8章 组播设计728.1 概要728.2 组播模型选择728.3 组播协议选择738.3.1 组播组管理协议选择738.3.2 组播路由协议选择748.4 组播协议原理简介758.4.1 组播组管理协议758.4.1.1 IGMP758.4.1.2 IGMP Snooping758.4.1.3 SSM Mapping768.4

8、.2 组播路由协议778.4.2.1 PIM778.4.2.2 MSDP798.4.2.3 MP-BGP818.5 组播转发机制828.6 组播地址838.6.1 IP组播组地址838.6.2 以太网组播MAC地址838.7 组播部署848.7.1 域内组播部署848.7.1.1 ASM模型组播部署848.7.1.2 SSM模型组播部署908.7.2 域间组播部署928.7.2.1 PIM-SM域间组播部署实例92第9章 安全设计969.1 网络安全风险分析969.2 网络安全设计原则979.3 华为3Com安全渗透总体解决方案989.3.1 基础安全989.3.1.1 基础网络安全设备989

9、.3.1.2 威胁抵御999.4 安全部署1019.4.1 基础设施安全部署1019.4.1.1 分级设置用户口令1019.4.1.2 对任何方式的用户登录都进行认证1019.4.1.3 对网络上已知的病毒所使用的端口进行过滤1029.4.1.4 采用网络地址转换技术保护内部网络1029.4.1.5 关闭危险的服务1029.4.1.6 使用SNMP协议时候的安全建议1039.4.1.7 保持系统日志的打开1039.4.1.8 注意检查设备的系统时间是否准确1049.4.1.9 运行路由协议的时候，增加对路由协议的加密认证1049.4.1.10 设备上开启URPF功能1049.4.1.11 IC

10、MP协议的安全配置1049.4.1.12 DDOS攻击的防范1049.4.1.13 端口验证技术1059.4.1.14 防地址假冒技术1059.4.2 防火墙部署1059.4.2.1 数据中心防火墙部署1069.4.2.2 Internet边界安全防护1079.5 部署主动入侵防御系统的建议1109.5.1 应用程序防护1119.5.2 网络架构防护1119.5.3 性能保护1129.5.4 数字疫苗在线更新机制1129.5.5 安全管理系统总体方案-SMS1139.6 EAD解决方案1149.6.1 方案介绍1159.6.2 方案思路1159.6.3 方案组成部分1159.6.3.1 CAM

11、S安全策略服务器1169.6.3.2 修复服务器1169.6.3.3 安全联动设备1179.6.3.4 安全客户端1179.6.4 应用模型1179.6.4.1 安全准入应用模型1179.6.4.2 安全准入工作流程1189.6.5 功能特点1199.6.5.1 安全状态评估1199.6.5.2 用户权限管理1209.6.5.3 用户行为监控121第10章 网管部署12210.1 Quidview各组件功能特点12310.1.1 网管平台Quidview NMF12310.1.2 设备管理组件13210.1.3 网络配置中心（NCC）13310.1.3.1 设备配置文件管理13310.1.3.

12、2 设备升级管理134第1章 需求分析1.1 项目背景XX集团是经国家工商局批准注册的跨地区、跨行业的综合性企业集团，总部位于河南省汝州市丹阳西路28号。集团拥有资产11亿元，职工9000余人。集团所属铸造、水泥、旅游、煤电四大公司，是平顶山市政府重点扶持的十二家大型企业集团之一。2001年生产铸钢件2。8万吨，水泥183万多吨，发电5亿度，实现销售收入6。5亿元，利税8000余万元。集团制定了“十五”发展规划，其中，将新建新型干法水泥生产线，达到600万吨的年生产能力。集团水泥年产量可达800万吨；两条铸造生产线，年生产能力达10万吨。2005年计划实现销售收入20亿元，利税3亿元。天瑞下设

13、十一个职能部门，四个二级子公司（XX集团铸造有限公司、XX集团水泥有限公司、XX集团铝业有限公司、XX集团旅游有限公司）和一个集团直属的XX集团房地产开发公司。十一个职能部门分别为总裁办公室、财务部、审计监察部、企业管理部、资本运营部、法务部、工程部、技术装备部、物资管理部、资源投资部、动能产业管理部。XX集团总部在汝州市广城东路，十一层的集办公和酒店为一体的综合性大楼。15层为酒店部分，611层为办公部分。办公部分平均每层信息点数在90个左右。数据中心机房在办公大楼的七层，每楼层设有弱电间，通过千兆多模光纤方式与数据中心相联。XX集团铸造有限公司下设铸造公司生产一部、铸造公司生产二部、铸造公

14、司生产三部、铸造公司生产四部、天瑞焦化有限公司和云阳钢铁有限公司。铸造公司生产一部、铸造公司生产二部分别在汝州市临汝镇地界内，铸造公司生产三部、铸造公司生产四部、天瑞焦化有限公司分别在汝州市汝南工业区地界内，以上五个生产单位可通过千兆光纤方式联入集团总部。云阳钢铁有限公司在南阳市南召县地界，可通过电信运营商提供的传输线路或VPN方式接入集团总部。XX集团水泥有限公司下设汝州水泥有限公司（在汝州市汝南工业区地界内）、汝州豫泰水泥有限公司（在汝州市临汝镇地界内）、鲁山安泰水泥有限公司、平顶山星峰水泥有限公司、平顶山石龙区水泥有限公司、周口水泥有限公司、商丘水泥有限公司、郑州水泥有限公司、新乡卫辉水

15、泥有限公司和大连长兴岛水泥有限公司。汝州地界的企业通过裸光纤方式联入集团总部，外地企业通过电信运营商提供的传输线路或VPN方式接入集团总部。XX集团铝业有限公司位于三门峡市，下设三门峡天元铝业有限公司和三门峡氟化盐铝业有限公司（渑池县），天元铝业公司和氟化盐铝业有限公司通过光纤汇接到XX集团铝业公司，再通过电信运营商提供的传输线路或VPN方式接入集团总部。XX集团旅游有限公司位于平顶山市，下设鲁山石人山旅游公司、鲁山六羊山旅游公司、鲁山上汤旅游总公司。石人山、六羊山、上汤可采用光纤接入旅游公司总部，然后再通过电信运营商提供的传输线路或VPN方式接入集团总部。动能产业管理部下管理汝州市火电厂、汝

16、州市热电厂、宝丰电厂。以上两个汝州地界企业通过裸光纤方式联入集团总部，宝丰电厂通过电信运营商提供的传输线路或VPN方式接入集团总部。1.2 建设目标实现XX集团总公司和各子公司的互联，网络设计应充分考虑实用性和集成性、标准性和开放性、先进性和安全性、成熟性和高可靠性、可维护性和可管理性、可扩充性和兼容性，同时充分考虑冗余性和多协议处理和路由能力设计。第2章 网络建设原则为构建高质量的网络，在网络建设中要坚持以下原则：1.高可靠性：网络的稳定可靠是应用系统正常运行的关键，保证在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，保证网

17、络具有故障自愈的能力，最大限度地支持系统的可靠运行。2.技术先进性：在保证满足基本业务应用的同时，又要体现出网络的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来发展趋势。3.高性能：骨干网络的性能是整个网络良好运行的基础，在设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。4.标准开放性：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。5.可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升

18、级，最大程度的减少对网络架构和现有设备的调整。6.可管理性：选用先进的网络管理平台，具有对设备、端口等的管理及流量统计分析，并可提供故障自动报警。7.安全性：制订统一的网络安全策略，整体考虑网络平台的安全性。做到业务数据的安全传递和网络设备不受黑客攻击。8.经济性：在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。第3章 总体建设方案3.1 拓扑模型选择网络的拓扑结构很大程度上决定了网络的性能。常见的网络拓扑结构主要有星型结构、网状结构、环形结构、双平面等几种，可以适用于的绝大多数广域网的构建，

19、同时，也适用于绝大多数局域网的构建。不同的拓扑结构具有不同的特性，网络建设中拓扑的选择要根据实际情况而定。3.1.1 星形网络1. 单星形网络如图1所示，可以适合中小型的网络。图1 标准星形网络具有以下特点：l 结构简单，便于设计；l 线路成本相对较低；l 网络扩展性好。缺点是对核心设备的处理能力和接口带宽都要求很高，核心设备一旦出现故障，其他节点之间可能无法通信，存在单点故障隐患。2. 双星结构对于规模比较大的网络，下属主要的分支节点比较多，可以考虑采用双星结构。如图2所示， 图1 图2 双星网络具有以下特点：l 可靠性高。采用两个核心节点的双连接星型网络结构，使得网络具有可靠性、可用性及安

20、全性，避免了单点失效的隐患。l 支持流量的负载分担。网络流量可能随着多种业务的发展日益壮大（如语音，视频会议），网络流量的负载分担问题将会成为网络可用性的主要因素，采用双连接的网络结构，使得网络的流量能够比较合理的分布在各条链路上。l 支持网络的冗余备份。核心节点采用两台高性能的网络设备，使得核心层具有较好的冗余备份能力。同时，两台核心设备之间要采用高速链路互连，提供了核心设备间的高速互连带宽，避免两台设备之间形成传输瓶颈。双星结构是实际网络中普遍采用的网络结构之一。3.1.2 网状网络1. 全网状结构对于规模比较小的网络,可以考虑采用网状结构。如图3所示：图2 图3 全网状网络具有以下特点:

21、l 骨干路由器之间full meshed全连接,任何两台设备之间都有链路连接，适用于骨干节点不多的小型网络。l 对于两点之间的通信提供了多种可选路由，有可靠性高、生存性强的特点，且不存在链路瓶颈问题和失效问题。l 当核心设备较多时，规划和部署比较复杂。2. 部分网状结构部分网状结构，就是为了在多设备情况下避免全网状的N2级的链路，根据实际情况，可选择重点节点和其他节点分别建立链路连接，非重点节点之间选择性连接，如图4所示：图4 半网状网络部分网状结构部分解决了全网状存在的问题，主要是扩展性问题，因此更适用于比较大规模的网络。3.1.3 环形网络环形网络是由网络中若干节点，通过点到点的链路首尾相

22、连形成一个闭合的环，这种结构使数据在环路中沿着一个方向在各个节点间传输，信息从一个节点传到另一个节点，简化了路径的选择。在城域网骨干和接入网，在分散的政务网、企业网和校园网中，都可以采用环状的网络。如图5所示：图3 图5 环形网络 具有以下特点:l 拓扑简洁；l 带宽利用率高；l 高可靠性，在出现故障的时候，能提供故障自动保护倒换的故障自愈机制，数据的时延抖动小。如RPR在节点失效的情况下，能在50ms内自动将话务绕到备用光纤上传输。RPR环形网络可以在不中断业务的同时，添加和移除设备，在同一个环内，具有很好的网络扩展能力。但是RPR在跨环方面，相切环、相交环、环带链等复杂的网路拓扑，实现无法

23、很好实现，而且独立组大网的能力较弱。3.1.4 双平面网络对于规模比较大的网络（如城域网，大型企业网），可以考虑采用双平面结构。如图6所示：图6 双平面网络双平面网络具有以下特点：l 高可靠性。将重要业务分别部署在两张网络上，能有效实现业务分担、业务保护和抗灾能力，大大增强业务的安全性。l 多条链路选择，带宽利用率高。l 支持流量的负载均衡。l 优化网络拓扑。在部署第二平面时可以选择不同的拓扑结构，从而弥补原有平面在某些地区或业务方面的空白，使网络实现全业务、全地理的覆盖。l 利于业务分类。不同的业务部署在不同的网络上。l 通过建设第二平面可以扩大技术选择的范围，并可根据自身网络的具体特点和问

24、题，选择具有不同特点及优势的产品，找到最合适的解决方案。3.1.5 网络类型对比星形网络网状网络环形网络双平面网络对设备的要求对核心设备的接口带宽，接口密度，要求很高需要所有的核心设备，都具有高密度的接口RPR技术端口成本高。对于以太环网，我公司提出的RRPP技术，兼容普通的以太网口，无需增加任何硬件成本。对设备要求低冗余、可靠性标准的冗余性，可靠性都比较低，容易单点失败，造成业务中断；双星冗余性，可靠性比较高多种路由可选，冗余性，可靠性高冗余性、可靠性特别高如RPR逆向双环保护，故障自动保护倒换（50ms）业务部署在2张网上，冗余性安全性非常高负载均衡双星可以实现比较好的负载均衡多条链路可供

25、选择，具有很好的负载均衡能力负载均衡非常好， 如RPR双环结构，带宽动态分配、公平共享多条链路可以选择，并有高带宽的支持，负载均衡能力好适用范围标准的适合中小型网络；双星可以使用在大型网络，流量集中的行业骨干适用节点不多的骨干网络；大区网络；光纤丰富的骨干网核心；城域网骨干核心；对可靠性要求高的全国大型行业骨干城域网，大型企业网，NGN网，3G网络3.2 XX集团网络结构选择根据XX集团的规模及应用模型，我们建议采用星形网络结构，为提高网络性能及可靠性，核心交换采用双核心结构。3.3 传输技术选择XX集团各子公司所处地理位置比较分散，较近的地方可通过光纤线路进行互联，对于跨县、跨市、跨省的分公

26、司，只能通过租用电信运营商的线路或通过VPN进行互联，下面对这两种方式进行比较：租用电信运营商专线：租用专线的优点是线路专用，带宽和安全性能够得到保证，延时较小，对于对QOS要求较高的实时应用如语音、视频等有很好的支持，但线路费用相对于VPN方式较高。VPN方式：VPN方式是租用电信运营商的INTERNET线路，通过IPSEC VPN技术构建自己的专用网络，VPN方式数据通过建立加密隧道的方式在INTERNET上传输，需要和其他用户争用网络资源，带宽不能得到保证，同时要对数据进行加密，会增加额外的延时，QOS和安全性较专线方式差，但VPN方式部署方便，线路费用较低。为获得较好的应用效果，应优先

27、考虑租用电信运营商专线构建XX集团网络系统，VPN方式可作为备份线路或专线方式无法覆盖地区的接入方案。3.4 设备选型3.4.1 路由器产品综述华为3Com秉承华为产品“电信级”可靠性的传统，所有高端设备的重要部件都进行冗余备份（例如主控板、交换网板、风扇、电源等），确保设备的“高安全、高可靠”，可靠性做到了99.999。华为率先提出第五代路由器理念并在业界达成共识。第五代路由器在关键的IP转发和业务流程处理上采用了可编程的网络处理器（NP：net processor）技术，实现了业务灵活性和高性能硬件转发的有机结合。有效地将MPLS技术、QoS技术、流量工程技术、可控组播技术、可管理技术等诸

28、多技术融合进来，并保持高性能、高品质特性，成为具有强大业务能力的高性能网络设备。在网络核心层，华为3Com提供大容量高性能NetEngine5000E/80E第五代核心路由器（TSR/GSR）、秉承业务与性能并重的设计理念，在提供全分布式的MPLS VPN、IPV6、组播等复杂业务的同时仍可实现线速转发，为全网提供端到端可管理业务网络打下了坚实的基础；华为3Com核心设备采用先进的体系架构，可以很方便的实现系统的扩展和业务增减，极大的降低和保护了用户的投资。华为3Com成为建设中国下一代网络（CNGI）的重要参与者和建设者。在网络汇聚层，华为3Com提供SR8800系列路由器、NetEngin

29、e 40系列通用交换路由器、NE20/20E、NE16E/08E/05高端路由器。NE40系列设备融合了路由器强大的IP业务处理能力和三层交换机低成本以太交换能力，既拥有强大的处理能力，又兼备丰富的二层特性，在充分满足业务应用的同时大幅节省建网成本，体现出极高的性价比。NE16系列作为国内第一款高端路由器，打破了国外厂商在这一领域的垄断地位，为保护国家信息安全、节约外汇立下了汗马功劳，此系列设备具备高可靠、高性能、高接口密度等特点，同时通过持续不断的研发投入，目前此系列设备的性能与业务支持能力不断提升，满足了客户不断变化的需求，是华为3Com保护客户投资的一款经典力作。中低端路由器产品层面，华

30、为3Com在创新致用的信息时代，全新推出的华为3Com MSR系列多业务开放路由器，堪称业界典范之作。MSR（Multiple Services Router）多业务开放路由器是华为3Com公司专门面向行业分支机构和大中型企业推出的新一代网络产品。MSR先进的软件结构与硬件平台，能够在最小的投资范围内为企业边缘网络提供一体化解决方案，更能充分满足未来业务扩展的多元化应用需求，符合企业IT建设的现状与趋势。在XX集团网络建设中我们建议选用华为3COM MSR系列多业务开放路由器构建XX集团广域网。3.4.2 MSR 系列路由器特点企业信息架构正在由C/S模式向B/S模式转变，MSR具备高数据转发

31、能力与高加密能力，很好的解决了转变过程中凸现的网络带宽压力与安全隐患，保障企业关键业务流可以高速、机密的通过广域网传输。MSR集数据安全、语音通信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本。针对企业用户日益个性化的应用需求，MSR领先集成了可以定制开发的高性能开放业务平台，任何人都可以基于该平台开发自身需要的高级网络业务，企业用户只需安装软件便能在网络中方便的部署相应业务，节省了购置各类高昂专用网络设备的投资。MSR在突破性提高数据处理能力

32、与插槽扩展性的同时，还能完全兼容原AR系列的硬件模块与软件功能，为客户提供了最为经济的网络升级方案。网络总体方案内容为网络方案的总体描述。MSR 特点：先进的硬件体系架构n 先进的N-Bus体系架构，保证多业务实时线速并发n 采用了更强大处理能力的处理器，IP转发和业务处理能力大幅提高n 缺省配置256M大小的内存和256M存储空间的CF卡n 提供高密度语音的分离式解决方案和TDM总线设计技术n 实现多种业务类型的硬件加速方案多业务集成并发能力n 极大地提高了集成安全、交换和语音等多种业务的能力n 提供业界领先和不断创新的网络安全功能n 真正实现了对以太网交换机的彻底融合n 实现更灵活方便和高

33、密度的语音网关部署开放式的增值业务平台n 提供OAA（Open Application Architecture）开放应用体系架构的增值平台，合作伙伴与用户可基于此平台开发出更为丰富的业务，形成优势互补、深度集成、合作共赢全新的软件通信平台n 采用支持多业务、可扩展和组件化的成熟商用操作系统平台n 不仅全面支持IPv4的组网，还同时支持IPv6的全面商用n 大大增强了部署MPLS VPN业务的能力，丰富了产品的软件特性新型存储介质的应用n 利用CF卡来取代传统产品的Flash功能，并将其容量扩大到256M，足够存储多份系统文件和配置文件n 提供USB接口，USB可扩展更多的应用和功能电信级运营

34、的高可靠性n 支持外置输入的冗余电源n 支持VRRP、备份中心、动态路由备份技术和快速重路由技术3.4.3 以太网交换机产品综述华为3com具有业界最长最丰富的交换机产品线，其中新一代的大容量Tbit级别的万兆核心交换机S9500系列，可以提供大容量无阻塞的高性能业务交换，具备不断扩展和升级的能力；多业务交换机S7500系列提供大容量的三层线速交换，提供多种丰富的业务板卡，不断满足客户对网络的需求，并极大的保护用户户投资。中低端交换机覆盖从百兆、千兆和万兆等盒式产品，具备优异的性价比。如支持具有自主知识产权“IRF”技术的S3600系列和S5600系列交换机，智能接入的S5100、 S3100

35、系列交换机，支持丰富的协议类型，用户行为的管理控制、安全可靠，充分满足客户对网络易管理、高性能、多业务承载的需求。我们建议选用华为3COM交换机建设XX集团网络系统，核心交换机选用S9500系列万兆核心交换机，服务器区选用S5100全千兆二层交换机，汇聚交换机选用S5510全千兆三层交换机，接入交换机选用S3100系列，分公司中心交换机选用S3600系列三层交换机。3.4.4 H3C S9500系列万兆核心交换机特点H3C S9500系列交换机是华为3Com公司面向以业务为核心的企业网络架构而推出的新一代核心路由交换机，该产品基于华为3Com公司自适应安全网络的技术理念，在提供大容量、高性能L

36、2/L3交换服务基础上，进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为企业构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。产品特点：一、基于ASIC的高性能业务l线速的MPLS业务处理H3C S9500系列支持分布式的MPLS业务，分布在接口板上的ASIC芯片直接完成MPLS标签的线速处理，不存在集中式处理的瓶颈，MPLS性能业界最高。与其他集中式的MPLS设备相比，S9500保障了大业务量时MPLS的高可用性，持续保护用户投资。l线速的IPv6业务处理H3C S9500系列支持分布式的IPv6业务，分布在接口板上的ASIC芯片支持对IPv6报文的线速处理，用

37、户通过升级操作系统可实现基于ASIC的全线速IPv6转发，极大保护用户投资，适应网络业务不断发展的需求。l大容量高性能路由交换H3C S9500系列提供业界领先的交换能力，其最高的1.44T路由交换引擎可以实现576个千兆或48个万兆端口的线速转发，三层包转发能力高达857Mpps。二、融合的网络安全特性l集成的安全特性H3C S9500系列支持集成的防火墙模块，可以将防火墙的保护功能扩展到交换机的每个端口；支持集成IPSec模块，提供安全的互联网VPN接入服务；支持端口镜像和远程端口镜像，将有安全隐患的报文镜像到分析端口，并通过与IDS联动及时阻断攻击。l设备自身的安全特性H3C S9500

38、系列采用“最长匹配、逐包转发”模式，能够抵御网络病毒的攻击；支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证；支持IP、VLAN 、MAC和端口等多种组合绑定方式，防范地址盗用；支持广播报文抑制，有效控制ARP等非法广播流量对设备造成冲击；支持URPF，防止IP地址欺骗；支持报文安全过滤，防止非法侵入和恶意报文攻击等。l管理的安全性H3C S9500系列支持IEEE 802.1x、AAA/Radius、HWTACACS，对用户身份进行合法性认证；支持用户分级管理，不同级别的用户拥有不同的配置权限；支持安全的SNMPv3网管协议；支持安全的远程登陆SSH V2；支持受限IP地址

39、方式的Telnet登录。三、最长的网络正常运行时间l产品的无单点故障设计H3C S9500系列采用分布式体系结构，所有关键部件采用冗余设计，包括主控板、交换网、电源和风扇等；采用无源背板设计，避免机箱出现单点故障；所有单板支持热插拔功能，并且对其它单板上运行的业务无影响。l路由协议的高可靠保障H3C S9500系列支持OSPF/IS-IS/BGP的优雅重启技术（Graceful Restart），可以实现用户业务的不间断转发；支持动态路由协议、跨板端口聚合、虚拟路由冗余协议（VRRP）等保护机制，有效保证全网高速可靠运行。l快速自愈的环网保护技术H3C S9500支持RPR（弹性分组环），RP

40、R技术融合了SDH故障自愈的高可靠性与以太网的经济性、高带宽、灵活性、可扩展能力等优势，可以保障小于50ms的故障切换时间，音频、视频等实时业务不受故障影响。RPR技术为用户提供了高可靠的多业务传输解决方案。四、融合的多业务特性l网络业务分析H3C S9500系列通过高性能的网络处理器实现对网络业务的分析。支持V5、V8和V9多种日志格式，与XLOG日志审计系统配合，为用户提供完整的网络流量分析解决方案；支持向主、备服务器同时发送日志，防止统计信息丢失。网络业务分析使原本不可见的网络业务应用流量变得一目了然，进而可以帮助用户及时优化网络结构，调整资源部署。l高品质QoS特性H3C S9500系

41、列支持完善的QoS功能，支持流量监管，粒度可精细化到8Kbps；支持流量整形，可基于端口或队列灵活设置；支持报文DSCP优先级、IP优先级、TOS优先级、COS优先级以及Exp优先级的重置功能；支持报文重定向功能，可根据网络流量状况灵活配置报文的转发路径；支持多种模式的队列调度机制；支持多种拥塞避免机制。l定制的行业解决方案H3C S9500系列根据行业用户的个性化需求，推出了多种新业务特性：支持Portal认证，使最终用户无须安装客户端即可完成认证；支持对BT流量控制，防止P2P业务对出口带宽资源的滥用；在校园网中对不同网段的流量区分计费，满足教育用户的需求；支持可编程的开放接口，可针对各行

42、业客户需求实现个性化的业务定制。3.4.5 H3C 5510系列全千兆多协议以太网交换机特点H3C S5510系列以太网交换机是华为3Com公司自主开发的三层全千兆多协议以太网交换产品，是为要求具备高性能、较大端口密度且易于安装的网络环境而设计的智能型可网管交换机。H3C S5510系列以太网交换机主要面向企业网、城域网汇聚或接入层的需求，同时硬件支持IPv4和IPv6双栈，可为客户提供丰富的业务特性和路由功能。特点：l丰富的IPv4和IPv6三层功能硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道，三层线速转发。S5510系列以太网交换机硬件支持IPv4/IPv6双栈和常用I

43、Pv6过渡隧道协议（手工Tunnel, 6to4 Tunnel, ISATAP Tunnel, auto-Tunnel），既可以用于纯IPv4或IPv6网络，也可以用于IPv4到IPv6共存的网络，组网方式灵活，可以用于企业网络或宽带接入。支持丰富的IPv6路由协议，包括RIPng, OSPF v3, ISISv6, BGP4+ for IPv6。支持IPv6的邻居发现协议（Neighbor Discovery Protocol，NDP），管理邻居节点的交互。支持PMTU发现（Path MTU Discovery）机制，可以找到从源端到目的端的路径上一个合适的MTU值，以便有效地利用网络资源并

44、得到最佳的吞吐量。l完备的安全控制策略H3C S5510系列交换机支持802.1x及MAC认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，支持动态VLAN下发和Guest VLAN，有效的防止非法用户访问网络。支持端口和Vlan下发ACL，以及支持用户自定义流模板配合实现自定义ACL功能，更加灵活方便，保证网络的受控访问。l丰富的QoS策略H3C S5510系列交换机支持基于源MAC地址、目的MAC地址、源IPv4/v6地址、目的IPv4/v6地址、四层端口、协议类型、VLAN等信息的流分类，充分保障了复杂网络对于QoS规则的要求。支持基

45、于流的流量限速，优先级标记或映射，基于流的修改VLAN以及重定向到端口或下一跳，基于端口的流量整形。提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式。支持CAR功能，粒度最小达8Kbps，支持对多个端口的业务流使用同一个CAR进行流量监管。用户还可以选择直接在端口下发CAR，或通过QoS策略下发CAR。l高可靠性H3C S5510系列全千兆多协议智能三层交换机实现双电源负载分担，也可以交、直流同时输入。支持LACP（Link Aggregation Control Pro

46、tocol，链路聚合控制协议）进行动态链路汇聚。H3C S5510系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持RRPP（Rapid Ring Protection Protocol）协议，可以防止数据环路引起的广播风暴，当以太网环上一条链路断开时能迅速恢复环网上各个节点之间的通信通路。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路

47、由发生故障时自动切换到下一个备份路由上去，实现上行路由的多级备份。l强大的多业务能力H3C S5510系列交换机支持QinQ即VLAN VPN特性，可以将用户私网VLAN标签封装在公网VLAN标签中，使报文带着两层VLAN Tag穿越运营商的骨干网络。S5510系列交换机支持灵活QinQ，可以实现针对不同的业务报文打不同的外层VLAN标签或者不打VLAN标签，便于业务分离。S5510系列交换机还支持VLAN translation，可以根据不同用户或业务重新设置VLAN标签。 同时支持IPv4和IPv6组播功能，支持丰富的组播协议IGMP Snooping、MLD Snooping、IGMP

48、v1/v2/v3、 PIM-DM、 PIM-SM/SSM、MSDP，支持组播静态路由、组播组静态加入，而且组播Vlan可以跨Vlan复制，支持IGSP v1/v2/v3，支持大容量组播路由，强组播复制能力。l出色的管理性H3C 5510交换机支持基于出/入端口镜像、基于流的镜像以及支持远程端口镜像功能，可以实现统一监控检测, 使网络管理更方便。支持SNMP，可支持Open View等通用网管平台以及Quidview网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。3.4.6 H3C 5100全千兆智能交换

49、机特点H3C S5100EI系列全千兆智能以太网交换机是华为3Com公司自主开发的二层线速全千兆以太网交换产品，定位为企业网和城域网的汇聚层交换机或接入层交换机。S5100-EI系列交换机下行提供24或48个10/100/1000M自适应电口，可以应用于企业网络的汇聚或千兆接入，也可以用于运营商网络的用户汇聚或接入，以及用于数据中心服务器群的连接，组网方式灵活。S5126C-EI和S5150C-EI支持两个10GE扩展插槽，可以选配XFP接口板/XENPAK光模块/专用堆叠板。特点：全线速的二层交换H3C S5100EI系列全千兆智能以太网交换机所有的端口提供二层线速交换能力，硬件识别和处理各

50、种应用业务流，所有端口都具有单独的数据包过滤和区分不同应用流的能力，并根据不同的流进行不同的管理和控制。提供24/48端口10/100/1000M电接口，充分满足用户对高密度GE接入和千兆上行及万兆预留的应用需求，节省和保护用户投资。完备的安全智能控制策略H3C S5100EI系列全千兆智能以太网交换机支持集中式MAC地址认证802.1x认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效地防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。支持基于策略的VLAN，可以对指定流分类特

51、征的报文指定修改VLAN，实现指定特征的报文与VLAN相绑定，方便管理。支持MAC地址黑洞、MAC地址学习数目限制、用户分级管理和口令保护以及防止DoS攻击功能。支持QoS Profile功能，可以和802.1x认证功能相结合，可以动态的为通过认证的用户提供预先配置的一套QoS功能。用户在经过802.1x认证后，交换机根据AAA服务器上配置的用户名和Profile的对应关系，将相应的Profile动态下发到用户登录的端口上，为该用户提供量身定做的服务质量保证。高可靠性和可扩展性H3C S5100EI系列全千兆智能以太网交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MS

52、TP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持LACP（Link Aggregation Control Protocol，链路聚合控制协议）进行动态链路汇聚。提供Loopback Detection功能，实现网络的链路环回检测，避免出现MAC地址学习错误而造成广播风暴。 Quidway S5100EI系列交换机支持HGMP集群管理系统并能实现远程升级和故障诊断，实现了设备的集中管理和维护。Quidway S5100C-EI支持万兆堆叠，最多可达16台设备。支持可选的冗余电源系统RPS，提高容错能力和网络正常运行时间。丰富的QOS策略 H3C S5100EI系列全千兆智

53、能以太网交换机提供二到四层策略的报文ACL功能，可以对满足特定规则的流量进行过滤。用户可以根据源、目的地址IP地址、源、目的四层端口号和入、出物理端口、协议类型等信息对策略进行的灵活配置。H3C S5100EI系列以太网交换机提供基于Diffserv和802.1P的QoS特性，可以对报文的802.1P和DSCP域优先级进行修改等操作，并映射到每端口提供的8个COS队列，队列调度提供了三种各具特色的队列调度算法，严格优先级（SP）和整形加权轮循（SDWRR）调度算法以及SP+SDWRR组合调度算法。支持流量监管和带宽粒度控制，确保为进入交换机的特定业务提供带宽保证，即使在网络拥塞时，也能满足一定

54、的丢包、时延及时延抖动等QoS需求。支持流量整形保证以太网交换机可以对输出报文速率进行控制。支持基于流的报文重定向。支持256个CAR（Committed Access Rate），流量限速的最小粒度为1Kbit/s。多样的管理方式H3C S5100EI交换机支持基于物理端口以及基于流VLANMAC的镜像功能，支持N:1镜像，N:1的VLAN镜像和MAC镜像，还支持远程端口镜像功能，可以实现统一监控检测, 使网络管理更方便。支持SNMP，可支持Open View等通用网管平台，以及Quidview、iManager 网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备

55、管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。3.4.7 H3C S3600系列智能弹性交换机特点H3C S3600系列交换机是华为3COM公司基于IToIP理念设计和开发的智能弹性以太网交换机。系统采用创新的IRF技术，在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案，是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。特点：l弹性扩展技术-IRFH3C S3600系列交换机采用华为3COM公司创新的IRF（ Intelligent Resilient Framework）智能弹性技术，与传统组网技术相比，在扩展性、

56、可靠性、整体架构的性能方面具有强大的优势： 扩展性IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至384个10/100M端口；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。可靠性通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。分布性-通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。l完备的安全策略当前的园区网面临着越来越多的安全威胁和挑战，如何实现安全的接入控制，防止病从

57、口入？如何对攻击源进行定位和反查？如何监控网络中的各种流量并进行分析控制？H3C S3600系列交换机在安全策略方面为用户提供全新的技术特性和解决方案。传统的802.1X认证方式只解决了用户的权限问题，对用户终端的安全状态无能为力，病毒可以通过合法用户的感染终端进入网络系统和应用系统。H3C S3600系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升

58、了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。传统交换机对端口的镜像功能都是基于本地实现，镜像数据流无法穿越网络在核心实现统一采集集、监控和分析；H3C S3600支持跨交换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到核心交换机（例如S9500/7500）上，在核心上启动网流分析（Netstream）功能，配合XLOG系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。传统行业和园区网采用DHCP技术后极大简化了网络地址的分配和管理。但同时，在一个不安全的园区网中（如校园网），存在恶意地址欺骗、擅自修改IP地址、私设DHCP Server等安全事件和隐患。H3C S

59、3600系列交换机提供DHCP Snooping(侦听)功能，通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解决了 DHCP用户的IP和端口跟踪定位问题。同时对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址的报文）直接丢弃，保证DHCP环境的真实性和一致性。同时利用DHCP Snooping的信任端口特性可以保证DHCP Server的合法性。l多业务融合能力按业务类型大致分成数据、语音、视频、多媒体等，不同的业务对基础网络的要求,比如带宽、优先级、延时、端到端的QOS保证等，如果这些都需要手工进行设置和调

60、整,那么网络的适应能力无从谈起，因此IToIP的基础网络应该是对业务变化自动感知和自动适应的系统，对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。例如对于语音业务来说，大量的IP PHONE的部署需要配置和远程供电，H3C S3600系列交换机通过支持Voice VLAN技术和智能POE技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。Voice VLAN技术是指交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全

61、特性，只允许语音流量通过，可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。PoE（Power over Ethernet）技术是指通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。PoE技术符合802.3af标准，通过以太网电口对外供电，采用数据线提供-48V直流电源。当PD设备插到端口上后，交换机将自动对PD设备进行检测，进行功率分类，并根据当前剩余电源、端口供电优先级的配置、端口最小功率配置等参数，决定是否对此设备供电以及分配功率。通过PoE技

62、术和Voice VLAN技术的结合可以提供完整的语音设备管理方案。高可靠性设计H3C S3600系列交换机除了支持高可靠性的IRF技术以外，还支持传统的STP/RSTP/MSTP二层链路保护技术，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。 支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓扑结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持ECMP（等价路由），通过配置多条等值路径实现上行路由的冗余备份和负载分担。采用交流/直流双输入设计，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份。简单易用的管理维护H3C S3600系列交换机支持VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点。支持DLDP（Device Link Detection Protocol，设备连接检测协议），可以监控光纤的链路状态。如果发现单向链路存在，DLDP 协议会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。支持SNMP V1/V2/V3，