济宁高新区产学研基地网络整体解决方案
20##年3月12日
目 录
1 概述... 3
2 产学研基地网络建设设计原则... 3
3 华为产品解决方案... 5
3.1 整体架构设计... 5
3.1.1 总体网络架构... 5
3.1.2 有线网络解决方案... 5
3.1.2.1 核心层网络设计... 6
3.1.2.2 接入层网络设计... 6
3.2 高可靠性设计... 7
3.2.1 网络高可靠性设计... 7
3.2.2 设备高可靠性设计... 7
3.2.2.1 重要部件冗余... 7
3.2.2.2 设备自身安全... 7
3.3 安全方案设计... 9
3.3.1 园区网安全方案总体设计... 9
3.3.2 园区内网安全设计... 9
3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击... 9
3.3.2.2 防IP/MAC地址扫描攻击... 11
3.3.2.3 广播/组播报文抑制... 12
3.3.3 园区网边界防御... 12
3.3.4 园区网出口安全... 13
4 设备介绍... 14
4.1 Quidway® S9300系列交换机... 14
4.2 Quidway® S7700系列交换机... 21
4.3 Quidway® S5700系列交换机... 26
1 概述
济宁高新区产学研基地网络承载产学研基地所有IT基础设施和产学研基地所有上层软件应用,其重要性不言而喻。而且随着产学研基地对于提高生产率、工作效率提升的重视,传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中,还是在公司的咖啡厅、待客室,今天的用户都需要方便地获取各种网络服务。
济宁高新区产学研基地网络还面临着新技术不断涌现、产学研基地应用不断增加的现实问题,构建一个保障产学研基地未来5~10年扩展,同时兼顾设备的投资保护的济宁高新区产学研基地网络尤为重要。
华为济宁高新区产学研基地网解决方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性,可协助产学研基地构建一个安全、可靠、易接入、易扩展、易管理的济宁高新区产学研基地网络。
2 产学研基地网络建设设计原则
在网络建设项目中,我们应该遵循以下设计原则:
1) 合理性、整体性原则
系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的需求是系统建设的首要原则。
l 深入调研,全力做好网络与信息系统安全检测、监测和认证的需求分析,这是系统成败的关键;
l 充分考虑已有资源(软硬件设备及人员)合理利用,避免出现不必要的浪费;
l 系统建设尽可能模拟国内外最常用的几种网络应用模式。
l 系统建设要有一定的前瞻性。在网络建成后的3-5年之内,不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平,避免技术环境过于超前造成投资浪费。
2) 标准化原则
为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性,应建立一个开放的、遵循国际标准的网络系统。
l 建设的方案要科学、正确、严谨、且现实可行;
l 采用的先进技术应是成熟的、经过实践证明是成功的技术;
l 选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品
3) 先进性原则
系统建设应充分考虑网络通信技术和互联网技术的发展,建设是循序渐进的,初期重点应在网络基础环境和基本系统上:
l 系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境;
l 系统实现采用先进的网络技术、网络安全检测技术。
4) 安全可靠性原则
本系统具有特殊性,因此安全保密性非常复杂。系统要有极强的自我保护能力。
l 选用具有C2安全级或B1安全级的系统软件平台;
l 配置功能齐全、可视化程度高的网管系统,对网络运行情况进行实时监督和控制;
l 采取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。
5) 可管理性原则
随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控和维护,以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护,本方案将提供先进而完善的网络管理系统。这样,即方便网络管理员的工作,减轻了劳动强度,也提高了网络系统的管理程度。
6) 灵活、可伸缩性原则
为适应因特网和互联网络技术的发展,系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外,在网络系统的设计过程中,还需要考虑整个网络系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求,又能满足今后整个计算机系统的发展需要。
l 应用软件设计要采用结构化和模块设计方法,使系统逻辑结构清晰、易读,在功能的划分和设计时,使各模块尽可能相对独立、减少相关性以易于扩充、维护和修改。
l 网络系统要具有异种设备的异种网络的互联互通能力,以达到保护已有资源并能与其他信息系统交流信息的目的。
7) 绿色节能原则
随着数据中心的不断壮大,数据中心的电费不断增长,目前,通信/IT设备节能是降低能耗的基础,采用底能耗的设备是节能减排最主要的途径。
3 华为产品解决方案
3.1 整体架构设计
3.1.1 总体网络架构
整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法,组网图如下所示:
网络架构
整个网络的设计方案采用层次化、模块化的设计思路,按照接入层、核心层和出口层进行网络设备设计部署,在核心层交换机,提供模块化的增值业务功能,满足产学研基地日益增长的业务需求。
3.1.2 有线网络解决方案
整个网络层次建议采用业界成熟的二层架构:接入和核心,最后济宁高新区产学研基地通过出口层网络设备(路由器或交换机)连接到外网通过。
这种分层的网络架构,可以保证根据的业务需求,分别对不同层次进行扩容。
3.1.2.1 核心层网络设计
核心层交换机部署在园区核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6,可为园区构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
所以建议核心层采用双机冗余备份的方式构造,消除单点故障,设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G链路互联,达到高带宽、高转发性能的效果。
本次建议采用华为的S7700高性能交换机构造核心层,实现高性能的骨干网络。华为S7700支持大容量、高转发性能,完全能够满足各网络的数据转发。
3.1.2.2 接入层网络设计
接入层交换机一般部署在楼道的网络机柜中,接入园区网用户(PC机或服务器),提供二层交换机功能,也支持三层接入功能(接入交换机为三层交换机)。
提供网络的第一级接入功能,一般完成简单的二层交换,安全、Qos都位于这一层。对于园区网的接入层设备,建议采用千兆二层接入的方式,应该具有线速二层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。
核心交换机的主要功能是连接服务器,因此必须考虑产学研基地未来的业务增长,核心交换机必须具有很好的扩展性,随着以后网络的扩展,必须具有多个插槽,以便以后网络扩展的时候能够增加网络模块。由于核心交换机在整个网络中具有十分重要的地位,因此核心交换机必须具有电信级的可靠性和稳定性,核心网络对数据的快速转发速度要求很高,因此核心交换机需要具备高容量的交换带宽和包转发速率。我们建议采用华为的S7700系列高性能交换机,采用双电源。可实现万兆或者千兆接入,实现数据中心高转发性能的效果。并且可以通进扩展防火墙模块等方面,实现数据中心的安全。
3.2 高可靠性设计
3.2.1 网络高可靠性设计
针对二层接入(接入交换机是二层交换机)典型园区网架构,从接入层、核心层来分层考虑网络可靠性设计。
接入层网络是二层网络,接入交换机与核心交换机之间通过Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性,同时解决二层网络环路问题。
3.2.2 设备高可靠性设计
3.2.2.1 重要部件冗余
设备本身要具有电信级5个9的可靠性,需要网络设备支持:
Ø 主控1:1备份
Ø 交换网1+1/1:1两种方式
Ø DC电源1+1备份;AC电源1+1/2+2备份
Ø 模块化的风扇设计,高端配置支持单风扇失效
Ø 无源背板,高可靠性
Ø 独立的设备监控单元,和主控解耦
Ø 所有模块热插拔
Ø 完善的各种告警功能
3.2.2.2 设备自身安全
如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大。
这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。
华为公司全系列园区网交换机(S9300/S7700/S5700/S3700/S2700)提供攻击防范功能,能够检测出多种类型的网络攻击,并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运行。
华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。
另外,以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷新,填充交换机的MAC地址表,由于MAC地址表的规格有限,导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似,通过攻击报文来更改MAC与IP地址的绑定,从而重新定向流量。
华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描,并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击(SAI/DAI功能)。
华为全系列交换机支持黑洞MAC功能,园区交换机收到报文时比较报文目的MAC地址,若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性,则可以在园区交换机上配置黑洞MAC,从而将具有该MAC地址的报文过滤掉,避免遭受攻击。
3.3 安全方案设计
3.3.1 园区网安全方案总体设计
从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御,对产学研基地内部进行安全区域划分、隔离和权限控制,对产学研基地外部用户访问进行安全控制、数据加密,防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。
3.3.2 园区内网安全设计
3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击
1) 防IP/MAC地址盗用
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,DHCP Snooping绑定表可以基于DHCP过程动态生成,也可以通过静态配置生成,此时需预先准备用户的IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。
园区交换机开启DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
2) 防ARP中间人攻击
Dynamic ARP Inspection (DAI)在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定, 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景,可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表,不能匹配则认为是仿冒网关回应的ARP响应报文,予以丢弃,从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。
3.3.2.2 防IP/MAC地址扫描攻击
1) 防IP扫描攻击
地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,触发ARP miss,使网络设备给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可引起网络中断。
园区交换机支持IP地址扫描攻击的防护能力,收到目的IP是直连网段的报文时,如果该目的地址的路由不存在,会发送一个ARP请求报文,并针对目的地址下一条丢弃表项(弃后续所有目的地址为该直连网段的ARP报文),以防止后续报文持续冲击CPU。如果有ARP应答,则立即删除相应的丢弃表项,并添加正常的路由表项;否则,经过一段时间后丢弃表项自动老化。这样,既防止直连网段扫描攻击对交换机造成影响,又保证正常业务流程的畅通。
在上述基础上,交换机还支持基于接口设置ARP miss的速率。当接口上触发的ARP miss超过设置的阈值时,接口上的ARP miss不再处理,直接丢弃。
如果用户使用相同的源IP进行地址扫描攻击,交换机还可以基于源IP做ARP miss统计。如果ARP miss的速率超过设定的阈值,则下发ACL将带有此源IP的报文进行丢弃,过一段时间后再允许通过。
2) 防MAC地址扫描攻击
以太网交换机的MAC地址转发表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文,园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项,由于MAC地址转发表的规格有限,会因为MAC扫描攻击而很快填充满,无法再学习生成新的MAC转发表,已学习的MAC表条目需通过老化方式删除,这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送,导致园区网络中产生大量的二层广播报文,消耗网络带宽、引发网络业务中断异常。
交换机二层MAC转发表是全局共享资源,单板内各端口/VLAN共享一份MAC转发表,华为园区交换机支持基于端口/VLAN的MAC学习数目限制,同时支持MAC表学习速率限制,有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时,会进行丢弃/转发/告警等动作(动作策略可定制、可叠加)。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。
3.3.2.3 广播/组播报文抑制
攻击者不停地向园区网发送大量恶意的广播报文,恶意广播报文占据了大量的带宽,传统的广播风暴抑制无法识别用户VLAN,将导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的VLAN ID,通过基于VLAN的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。
同时园区网交换机支持组播报文抑制,可基于端口限制组播报文流量百分比或速率阈值。
3.3.3 园区网边界防御
济宁高新区产学研基地网边界防御分为两个部分:园区出口边界防御、园区内部边界防御。
园区出口连接Internet和产学研基地WAN网的接入,产学研基地外部网路尤其Internet网络,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在产学研基地出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块,可以很好的缓解风险的传播,阻挡来自Internet/产学研基地外部网络攻击行为的发生。济宁高新区产学研基地出口位置部署的独立防火墙设备(或核心交换机内置的防火墙模块),需要满足高性能、高可靠、高安全的要求,是济宁高新区产学研基地网的第一道安全屏障。
园区内部边界防御是将产学研基地内部划分为多个区域,分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块(单板)来实现园区内部的边界防御功能。
园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内部,都必须支持灵活的业务流控制策略配置,能把特定的流量引到防火墙进行处理,其他流量进行旁路。
防火墙本身需要保证高可靠性,可以考虑防火墙的冗余设计,支持Active/Active HA 设计方式,即交换机内集成的多块防火墙板卡支持负载分担和主备模式,不同交换机内的防火墙支持Active/Active模式,同时能够处理流量。
3.3.4 园区网出口安全
随着现代社会网络经济的发展,产学研基地日益发展扩大,办事处、分支机构以及商业合作伙伴逐步增多,如何将这些小型的办公网络和产学研基地总部网络进行经济灵活而有效的互联,并且与整个产学研基地网络安全方案有机融合,提高产学研基地信息化程度,优化商业运作效率,成为产学研基地IT网络设计亟待解决的问题;大量普及的SOHO网络、小型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。
济宁高新区产学研基地网出口设备是产学研基地内部网络与外部网络的连接点,其安全保证能力非常重要,产学研基地在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,VPN技术是产学研基地传输数据非常理想的选择,因为VPN技术正式是为了解决在不安全的Internet上安全传输机密信息,保证信息的完整性、可用性以及保密性,包括IPSec VPN和SSL VPN。产学研基地办事处、分支机构以及商业合作伙伴如果采用主机VPN客户端接入产学研基地总部网络,那么分之机构网络中的每个主机需要单独拨号接入,VPN接入不可控造成内部网络安全隐患,同时也大量消耗产学研基地总部VPN网关隧道资源;如果采用单独的VPN网关与产学研基地总部网关建立VPN隧道,又面临投资过大的问题。需要有效解决产学研基地分支机构VPN接入灵活性、安全性和经济性之间的矛盾。
4 设备介绍
4.1 Quidway® S9300系列交换机
Quidway® S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。
Quidway® S9300系列广泛适用于广域网、城域网,园区网络和数据中心核心、汇聚节点,帮助产学研基地构建面向应用的网络平台,提供交换路由一体化的端到端融合网络。
Quidway® S9300系列提供S9303、S9306、S9312三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多种绿色节能创新技术,在不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染,为网络绿色可持续发展提供领先的解决方案。
产品特点
1) 先进交换架构提升网络扩展性
S9300采用先进的分布式交换技术,提供业界最大整机交换容量和槽位带宽。
创新的交换速率自适应技术,支持单端口速率40G、100G平滑升级,同时完美兼容现网板卡,保护初始投资。
背板通流能力充分考虑未来带宽升级对整机电源功率和散热需求,数据总线预留升级高速交换网能力。
超高万兆端口密度,单台设备支持576个万兆端口,助力济宁高新区产学研基地和数据中心迎来全万兆核心时代。
2) 创新的三平面架构设计
S9300在传统交换机数据转发、管理控制双平面基础上创新地增加了独立的环境监控平面,实现对单板、风扇和电源配电模块的监控、管理和维护。
业界首创的环境监控板,采用华为自主知识产权的高集成度中控芯片,实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术,在提升系统性能的同时大大降低整机功耗。
支持独立环境监控与网管联动,实现全面可视化管理。
3) 运营级高可靠性设计,保障产学研基地应用永续运行
9300具备超越5个9的运营级高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。基于分布式的硬件转发架构,路由平面和数据交换平面严格分离,保证业务流永续畅通。
独立的故障检测定位硬件,提供3.3ms高精度硬件级以太OAM功能,实现快速故障检测与定位,与其他倒换技术联动可有效保证毫秒级网络保护。
能够在冗余控制引擎间实现无缝切换,设备优雅重启无中断转发。支持ISSU业务无缝升级,减少关键业务和服务中断。
支持Enhanced-Trunk(E-Trunk)功能,实现跨设备链路聚合,二层组网环境中跨设备链路聚合无须运行破环协议,提高设备链路利用效率的同时避免单点故障。
支持IEEE 802.3ad链路汇聚、IEEE 802.1s/w和虚拟路由器冗余协议(VRRP),同时支持丰富的毫秒级倒换技术如RRPP、Smart Link、IP FRR、TE FRR、VPN FRR等,实现运营级级高可靠性。
4) 多维集群CSS(集群交换系统)
通过CSS集群虚拟化技术,将集群主机虚拟成一台逻辑设备,实现整个集群系统控制信息共享和路由、组播表项同步。
CSS集群技术可以有效提高单台设备的带宽,满足高密万兆园区核心与大容量数据中心对核心交换设备的带宽吞吐要求。
CSS集群技术可以提高系统的可靠性。S9300 CSS集群创新性采用交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换,交换效率低下的架构难题。采用交换网集群技术可以将集群主机交换网拉通,集群不占用线卡槽位,并提供业界最大的256G集群带宽,同时可以通过跨框链路聚合提高链路的利用率,并消除单点故障。
CSS集群可以简化核心层的网络管理,整个集群系统共用同一个虚拟IP,减少设备网元,简化网络拓扑管理,提高运营效率,降低维护成本。
5) 运行中软件升级ISSU保障网络无中断运行
ISSU可以在设备软件升级过程中,减少系统业务中断时间,显著地提高设备的可靠性。真正使产学研基地网络具备“全天候”提供业务能力,实现设备软件升级流量“零”割接,应用不中断。
S9300提供无损升级、有损升级和快速重启三种ISSU升级方式,系统可自动比较新旧版本各个模块间差异,给出升级方式建议,供用户选择。
支持ISSU升级失败时自动回退(Auto-Rollback)版本,线卡采用新旧版本进程备份技术减少ISSU中断应用的影响。
6) 完善的QOS机制
S9300提供高品质的QOS(Quality of Service)能力,支持Layer2~Layer7的流分类技术,具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不同用户、不同业务等级的服务质量要求。
S9300提供层次化QOS(H-QOS)调度机制,通过在不同业务等级上分别设置单独调度器,进一步精细化流量QOS特征,保障相应业务的服务质量。支持面向接入侧的多级H-QOS调度机制,多样化,差异化满足大型济宁高新区产学研基地不同层次用户设备的业务需求。
7) 全业务以太交换平台
支持分布式L2/L3 MPLS VPN功能,支持MPLS、VPLS、HVPLS、VLL,满足产学研基地VPN等用户的接入需求。
支持多种速率WAN子卡,满足广域接入的需求。
具备线速的跨VLAN组播复制能力,实现端口满负荷复制,满足多终端视频监控和视频会议接入需求;完善的二、三层组播协议,可作为组播复制点和控制点,提供高性能的IP组播视频和音频应用。
软件平台提供多种路由协议满足产学研基地建网要求,支持从中小产学研基地到超大型跨国公司级大规模路由,支持IPv6,能够为产学研基地网络提供平滑升级能力。
支持标准POE,满足15.4W和30W标准POE供电规格,满足产学研基地在线供电业务需求。
8) 虚拟化数据中心交换平台
S9300 CSS集群虚拟化技术,满足数据中心对核心、汇聚设备大容量、高可靠、海量吞吐的要求。首创交换网集群,分布式跨设备链路聚合技术,有效利用数据中心内部带宽资源,实现数据中心内部数据交换对物理链路无感知。
针对大型分布式计算数据中心业务模型,专门设计大缓存线卡,支持单端口200ms数据流量缓存,解决分布式计算网络瞬间流量过大丢包问题。
每板最大64K硬件队列,支持精细化QOS和流量管理,利用多种队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不同用户、不同业务等级的服务质量要求,准确地按需配置给不同用户、不同业务流分配不同的优先级和队列,保证不同的带宽、业务延迟和抖动性能需求。
9) 高性能IPv6业务能力
S9300软硬件平台均支持IPv6,取得工信部IPv6入网认证和IPv6 Ready第二阶段金色认证。
支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播,满足IPv6独立组网和IPv4/IPv6混合组网要求。
10) 智能流量负载均衡
S9300负载均衡器能够保证服务可靠性,提高服务响应速度,方便业务灵活扩展。
S9300负载均衡器支持加权轮询、基于连接数、加权IP地址Hash和基于HTTP URL的Hash等多种均衡调度算法,全面满足客户负载均衡要求。
门户网站服务器经常会遇到在同一时间大量针对同样网页、服务的请求,服务器针对请求会频繁建立、拆除TCP连接,耗费大量CPU资源,影响服务器响应速度。S9300负载均衡器支持TCP和HTTP重用,减轻服务器拆除/建立TCP连接的负载,提高服务器访问效率。
S9300负载均衡器支持动态“锁流”技术,满足电子商务网站在线购物负载均衡需求。
11) 强大的网络流量分析能力
S9300支持随板分布式和专用处理线卡集中式网络Netstream业务分析功能,满足用户对网络流量实时采集、分析需要。
支持Netstream V5/V8/V9多种报文格式,支持聚合流量模板,减轻网络采集器系统压力,支持实时流量采集、动态报表生成、属性分析、流量异常告警等功能。
帮助客户对网络流量进行实时监控、现网设备吞吐分析,为优化网络结构、科学合理扩容提供决策依据。
12) 周密的安全设计
内嵌集中式防火墙板卡,支持虚拟防火墙与NAT多实例,满足多VPN客户共用防火墙组网环境。动态黑名单主动防御技术实现蠕虫病毒防范、抵御拓扑探测、IP扫描和端口扫描攻击防护,为产学研基地打造安全内网环境。应用层包过滤技术(Application Specific Packet Filter)对应用层报文内容进行复杂规则检测,支持SIP、QQ、MSN、H.323、SMTP、RTSP、FTP、HTTP多种应用层协议。防火墙热备份,增强网络可靠性与抗攻击能力。
支持完善的AAA(Authentication,Authorization and Accounting)机制,根据策略对接入用户进行认证、授权和计费。支持802.1X、Portal、Guest VLAN,支持用户动态接入认证,与其他主流厂商的NAC互通。
支持路由协议加密、MAC地址过滤、动态ARP检测、ACL等等一系列安全特性,可以为服务提供商以及网络的最终用户提供数据保护。基于硬件的包过滤和采样,可实现高性能和高扩展性。
提供2级CPU保护机制,支持1K CPU硬件保护队列,可实现数据和控制的分离处理,防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁,提供业界领先的一体化安全解决方案。
13) 六项创新节能技术,省电30%
首创的“变流”芯片,实现按流量动态调整功率,降低功耗8%。
独特的“旋转”风道设计,提高整机散热效率,降低功耗3%,同时整机出线能力提高6倍。
采用颗粒化、小功率的模块化设计思路,提高电源系统的转换效率,电源按需配置,保护用户投资。
独立风扇分区控制,进一步降低功耗和噪声污染。
采用智能风扇调速策略,监测全系统关键器件温度,采用小区间控温技术,可以有效降低转速,并延长风扇使用寿命。
支持端口休眠,无流量不耗电。
14) 归一化平台设计,最小化备件成本
S9300设计上采用了业界最先进的散热架构设计,在满足设备大容量的同时解决整机散热的难题,实现了单机柜业界最大设备端口密度。
S9300全系列产品整机高度归一化设计,电源、风扇、环境监控板等全部通用,减少备件种类,节省用户投资。
采用自主节能芯片,高效节能管理平台,能效比业界领先。
4.2 Quidway® S7700系列交换机
Quidway® S7700系列是华为公司面向下一代产学研基地网络架构而推出的新一代高端智能路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2~L4层交换服务基础上,进一步提供MPLS VPN、业务流分析、完善的QOS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。
Quidway® S7700系列广泛适用于园区网络、数据中心核心/汇聚节点,可对无线、话音、视频和数据融合网络进行先进的控制,帮助产学研基地构建交换路由一体化的端到端融合网络。
Quidway® S7700系列提供S7703、S7706、S7712三种产品形态,支持不断扩展的交换能力和端口密度。S7700作为新一代智能交换机采用了全新的硬件平台,左后风道散热整机架构,打造业界最佳能效比交换设备。关键部件冗余设计,最小化设备宕机与业务中断风险。创新节能控制芯片,整机智能节电,为网络绿色可持续发展提供领先的解决方案。
产品特点
1) 强大的业务处理能力,提升网络架构扩展性
多业务路由交换平台,满足产学研基地接入、汇聚、核心业务承载需求,全面支持无线、语音、视频和数据应用,为产学研基地提供高可用、低时延、全业务的一体化网络解决方案。
支持分布式L2/L3 MPLS VPN功能,支持MPLS、VPLS、分层VPLS、VLL,满足产学研基地VPN等接入需求。
具备线速的跨VLAN组播复制能力,实现端口满负荷复制,满足多终端视频监控和视频会议接入需求;完善的二、三层组播协议,支持PIM SM、PIM DM、PIM SSM、MLD、IGMP Snooping,提供高性能的IP组播视频和音频应用。
华为VRP软件平台提供静态路由、RIP、OSPF、ISIS、BGP多种路由协议,满足产学研基地建网要求,软硬件支持IPv6,为产学研基地网络提供IPv4到IPv6平滑升级能力。
支持标准POE,满足15.4W和30W标准POE供电规格,满足产学研基地在线供电业务需求。
2) 运营级高可靠性设计,可视化故障诊断
S7700具备超越5个9的运营级高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。基于分布式的硬件转发架构,路由平面和数据交换平面严格分离,保证业务流永续畅通。
专用的故障检测定位子卡,提供300pps/3.3ms高精度硬件级以太OAM功能,网络故障发生时能够在第一时间检测所有终端Session联通性,图形化网管故障诊断界面,设备节点、链路自动遍历,实现网络快速故障检测与定位。
能够在冗余控制引擎间实现主备无缝切换,路由控制平面状态切换,设备优雅重启实现NSF无中断转发。支持ISSU业务运行中软件升级,设备软件升级过程中确保关键业务和服务不中断。
先进的无环路以太(LFR)技术,以太网无需运行任何破环协议,简化网络部署,提高链路利用效率,设备故障不引起网络震荡和拓扑收敛。
支持IEEE 802.3ad链路汇聚、IEEE 802.1s/w和虚拟路由器冗余协议(VRRP),同时支持丰富的毫秒级倒换技术如RRPP、Smart Link、IP FRR、TE FRR、VPN FRR等,实现运营级高可靠性。
支持Enhanced-Trunk(E-Trunk)功能,设备链路聚合由单机支持扩展到跨设备支持,减少网元维护,简化网络层次,提高设备链路利用效率。
3) 运行中软件升级ISSU,网络业务无中断运行
ISSU可以在设备软件升级过程中,减少系统业务中断时间,显著地提高设备的可靠性。真正使产学研基地网络具备“全天候”提供业务能力,实现设备软件升级流量“零”割接,应用不中断。
S7700提供无损升级、有损升级和快速重启三种ISSU升级方式,系统可自动比较新旧版本各个模块间差异,给出升级方式建议,供用户选择。
支持ISSU升级失败时自动回退(Auto-Rollback)版本,线卡采用新旧版本进程备份技术减少ISSU中断应用的影响 。
4) 完善的QOS机制,提升语音、视频用户体验
S7700提供高品质的QOS(Quality of Service)能力,支持从链路层到应用层流分类技术,具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足产学研基地不同用户终端、不同业务种类的服务质量要求。
S7700提供硬件组播QOS低延时队列,全面满足产学研基地视频业务优先级保障需求,为视频会议、监控等关键业务提供高质量承载保障。
创新的优先级调度算法,对传统QOS队列调度进行了专门针对产学研基地语音与视频的优化,大幅降低IP语音时延、消除视频马赛克,提高用户体验。
5) 高性能IPv6业务能力,IPv4到IPv6平滑升级
S7700软硬件平台均支持IPv6,取得工信部IPv6入网认证和IPv6 Ready第二阶段金色认证。
支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播,满足IPv6独立组网和IPv4/IPv6混合组网要求。
6) 智能流量负载均衡,提升产学研基地IT利用效率
S7700负载均衡器能够保证服务可靠性,提高服务响应速度,方便业务灵活扩展。
S7700负载均衡器支持加权轮询、基于连接数、加权IP地址Hash和基于HTTP URL的Hash等多种均衡调度算法,全面满足客户负载均衡要求。
门户网站服务器经常会遇到在同一时间大量针对同样网页、服务的请求,服务器针对请求会频繁建立、拆除TCP连接,耗费大量CPU资源,影响服务器响应速度。S7700负载均衡器支持TCP和HTTP重用,减轻服务器拆除/建立TCP连接的负载,提高服务器访问效率。
S7700负载均衡器支持动态“锁流”技术,满足电子商务网站在线购物负载均衡需求。
7) 强大的网络流量分析能力,随时网络健康诊断
S7700支持随板分布式网络Netstream业务分析功能,满足用户对网络流量实时采集、分析需要。
支持Netstream V5/V8/V9多种报文格式,支持聚合流量模板,减轻网络采集器系统压力,支持实时流量采集、动态报表生成、属性分析、流量异常告警等功能。
帮助客户对网络流量进行实时监控、现网设备吞吐分析,为优化网络结构、科学合理扩容提供决策依据。
8) 全方位安全保护,应对产学研基地内外部安全威胁
内嵌集中式防火墙板卡,支持虚拟防火墙与NAT多实例,满足多VPN客户共用防火墙组网环境。动态黑名单主动防御技术实现蠕虫病毒防范、抵御拓扑探测、IP扫描和端口扫描攻击防护,为产学研基地打造安全内网环境。应用层包过滤技术(Application Specific Packet Filter)对应用层报文内容进行复杂规则检测,支持SIP、QQ、MSN、H.323、SMTP、RTSP、FTP、HTTP多种应用层协议。防火墙热备份,增强网络可靠性与抗攻击能力。
提供完善的NAC解决方案,支持MAC地址认证、Portal认证、802.1x认证、DHCP Snooping触发认证多种认证方式,有效应对哑终端接入、移动设备接入和集中式IP地址分配等多种接入方式的安全挑战,确保产学研基地网络安全。
支持路由协议加密、MAC地址过滤、动态ARP检测、ACL等等一系列安全特性,可以为服务提供商以及网络的最终用户提供数据保护。基于硬件的包过滤和采样,可实现高性能和高扩展性。
提供2级CPU保护机制,支持1K CPU硬件保护队列,可实现数据和控制的分离处理,防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁,提供业界领先的一体化安全解决方案。
9) 无线AC模块,全面满足移动办公需求
S7700无线AC板卡支持丰富的RF管理。支持AP上线时自动选择信道和功率,在AP重叠区域,信号冲突时自动调整功率或信道,RSSI/SNR的不断更新,让系统可以适时了解每一个无线用户所处电磁环境,提升网络可用性。
支持智能的负载均衡,确保只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现,最大限度的提高了无线网络容量。
支持无线入侵检查WIDS功能。提供非法AP检测,黑/白名单设置和无线协议攻击防御等WIDS功能,有效的提高了无线网络的整体安全。
10) 一体化EPON板卡,无源维护更舒心
S7700 EPON板卡支持12 EPON接口与12GE以太接口,上下行接口同板卡共存,节省建网投资。支持1.25G上下行对称带宽,最大1:64分光。
S7700集成化EPON解决方案广泛适用于政府、公安、道路交通、大型产学研基地的高清视频监控传输。S7700可同时承担EPON接入和核心层路由交换机双重角色,减少网络层次,降低用户组网成本。
11) 创新节能芯片,智能功耗控制
左后风道散热整机架构,冷热风道完全分离,打造业界最佳能效比交换设备。
创新节能芯片,实现按流量动态调整功率,支持端口休眠,无流量不耗电。
芯片智能风扇调速算法,监测全系统关键器件温度,小区间控温技术,有效降低转速,并延长风扇使用寿命。
4.3 Quidway® S5700系列交换机
Quidway® S5700系列全千兆产学研基地网交换机(以下简称S5700),是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机。它基于新一代高性能硬件和华为公司统一的VRP®(Versatile Routing Platform)平台,具备大容量、高密度千兆端口,可提供万兆上行,充分满足客户对高密度千兆和万兆上行设备的需求,同时针对产学研基地网用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景,融合了可靠、安全、绿色环保等先进技术,采用简单便利的安装维护手段,帮助客户减轻网络规划、建设和维护的压力,助力产学研基地搭建面向未来的IT网络。
S5700系列以太网交换机为盒式设备,机箱高度为1U,提供标准型(SI)和增强型(EI)两种产品版本。标准型支持二层和基本的三层功能,增强型支持复杂的路由协议和更为丰富的业务特性,包含型号如下:S5700-24TP-SI-AC/DC、S5700-24TP-PWR-SI、S5700-48TP-SI-AC/DC、S5700-48TP-PWR-SI、S5700-28C-SI、S5700-28C-EI、S5700-28C-EI-24S、S5700-28C-PWR-EI、S5700-52C-SI、S5700-52C-EI、S5700-52C-PWR-EI。
产品外观
S5700系列交换机包括如下款型:
产品特点
1) 强大的多业务支持能力
S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能,支持捆绑端口的组播负载分担,支持可控组播,可以充分满足IPTV和其他组播业务的需求。
S5700支持MCE 功能,实现了不同VPN用户在同一台设备的隔离,有效解决用户数据安全问题,同时降低用户投资成本。
2) 完备的高可靠保护机制
S5700不仅支持传统的STP/RSTP/MSTP生成树协议,还支持SmartLink和RRPP等增强型以太网技术,可以实现毫秒级链路保护倒换,保证高可靠性的网络质量。此外,针对Smartlink和 RRPP均提供多实例功能,可实现链路负载分担,进一步提高了链路带宽利用率。
S5700支持以太Trunk(E-Trunk)功能。在使用E-Trunk之后,CE设备可以通过E-Trunk双归接入到两台PE设备上。从而把链路可靠性从单板级提高到了设备级,大大增强了设备级的可靠性。从而实现了跨设备的链路聚合和链路负载分担功能。极大的提升了接入侧设备的可靠性。
S5700支持智能以太保护SEP(Smart Ethernet Protection),SEP是一种专用于以太网链路层的环网协议。适用于半环组网场景,部署时可独立于上层汇聚设备,并提供50ms的快速业务倒换性能。保证业务的不中断。在华为设备上已经利用SEP协议实现了以太网链路管理。SEP协议简单可靠、倒换性能高、维护方便、拓扑灵活,可以大大方便用户进行网络的管理和规划。
S5700支持双电源冗余供电,也可以交、直流同时输入。用户可灵活选择单电源工作模式或者双电源工作模式,提高了设备可靠性。
S5700 EI系列支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份,当主上行路由发生故障时自动切换到下一个备份路由上去,实现上行路由的多级备份。
S5700支持BFD链路快速检测功能,能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制,提高了网络可靠性。S5700遵循IEEE 802.3ah和802.1ag提供点到点以太网故障管理功能,可以用于检测用户侧最后一公里以太网直连链路上的故障。
3) 完备的QoS策略和安全机制
S5700系列交换机可以基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息,实现复杂流分流功能,支持双向ACL。5700支持基于流的双速三色限速功能,每端口支持8个优先级队列,支持WRR、DRR、SP、WRR+SP、DRR+SP多种队列调度算法,有效地保证了话音、视频和数据等网络业务质量。
S5700系列交换机提供多种安全保护功能。支持DoS(Denial of Service)类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的bpdu/root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。
S5700支持通过建立和维护DHCP Snooping 绑定表,侦听接入用户的MAC/IP 地址、租用期、VLAN-ID、接口等信息,解决 DHCP 用户的IP 和端口跟踪定位问题。同时,对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址等)直接丢弃,有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP Server 的合法性。
S5700支持ARP表项严格学习功能,可以防止因ARP欺骗攻击将交换机ARP表项占满,导致正常用户无法上网。同时,支持IP Source Check 特性,防止包括MAC 欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。
S5700支持集中式MAC地址认证和802.1x 认证及NAC功能,支持用户账号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发。
S5700支持基于端口的源MAC地址学习限制功能,有效防止用户源MAC欺骗冲击设备MAC表项,导致正常用户无法学到MAC表而泛洪的问题等。
4) 免维护易部署
S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能,便于部署升级和业务发放,简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMP V1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式,设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计,支持NQA网络质量分析,有利于进一步作好网络规划和改造。
5) POE特性
S5700 PWR系列交换机可以通过配置不同功率等级的POE电源支持PoE(Power Over Ethernet)功能,即可通过网线向远端下挂PD设备(如IP Phone、WLAN AP、Security、Bluetooth AP等)提供-48V直流电源,实现对下挂PD设备远端供电。作为供电方PSE(Power Sourcing Equipment)设备,支持IEEE802.3af及802.3at (POE+)供电标准,同时兼容不符合802.3af及802.3at标准的PD(Powered Device)设备。其中802.3at单端口供电功率高达30W。POE+功能提升了单端口的最大功率,实现了支持at标准大功率应用的智能化功率管理,有效方便了客户的应用。同时支持绿色PoE节电应用模式。S5700 PWR全系列交换机支持完善的POE解决方案,用户可灵活配置POE端口是否供电以及何时供电。
6) 良好的可扩展性
S5700系列交换机支持智能堆叠 iStack功能,完全即插即用,插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障引起的业务中断时间。支持智能升级,排除用户给堆叠扩容时为新加入交换机更换软件版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展,单一IP管理,大大降低系统扩展以及运维的成本。与传统组网技术相比,在扩展性、可靠性、整体架构等性能方面均具有强大的优势。
7) 简单的可管理特性
S5700支持GVRP实现动态分发、注册和传播VLAN属性,从而达到减少网络管理员的手工配置量及保证VLAN配置正确的目的。GVRP是一种VLAN的动态配置技术,在复杂的组网环境中应用GVRP,能够简化VLAN配置管理,减少因为配置不一致而导致的网络互通问题。
S5700支持MUX VLAN功能。MUX VLAN提供了一种在VLAN的端口间进行二层流量隔离的机制。采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。MUX VLAN通常用于产学研基地内部网,客户端口可以同服务器端口通讯,但客户端口之间不能通讯。用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。
8) 丰富的IPv6特性
S5700系列交换机提供双协议栈,可平滑升级。硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道(包括手工Tunnel,6to4 Tunnel,ISATAP Tunnel),三层线速转发。既可以用于纯IPv4或IPv6网络,也可以用于IPv4到IPv6共存的网络,组网方式灵活,充分满足当前网络从IPv4向IPv6过渡的需求。
S5700支持IGMP v1/v2/v3 Snooping/Filter/Fast Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能,支持捆绑端口的组播负载分担,支持可控组播,可以充分满足IPTV和其他组播业务的需求。
S5700支持MCE 功能,实现了不同VPN用户在同一台设备的隔离,有效解决用户数据安全问题,同时降低用户投资成本。