-13-機(jī)房網(wǎng)絡(luò)系統(tǒng)技術(shù)建議書目錄目錄HYPERLINK第一章網(wǎng)絡(luò)設(shè)計原則 -1-HYPERLINK1.1可靠性原則 -1-HYPERLINK1.2安全性原則 -1-HYPERLINK1.3可擴(kuò)展原則 -2-HYPERLINK1.4開放性、一致性原則 -2-HYPERLINK第二章網(wǎng)絡(luò)設(shè)計部分 -3-HYPERLINK3.1網(wǎng)絡(luò)設(shè)計分析 -3-HYPERLINK3.1.2組網(wǎng)技術(shù)選擇 -3-HYPERLINK3.2網(wǎng)絡(luò)設(shè)備選型 -5-HYPERLINK第三章設(shè)備介紹 -5-HYPERLINK3.1華為S5700系列交換機(jī) -5-HYPERLINK第五章遵循的主要標(biāo)準(zhǔn)和協(xié)議 -11-HYPERLINK5.1網(wǎng)絡(luò)標(biāo)準(zhǔn)和協(xié)議 -11-HYPERLINK5.2網(wǎng)絡(luò)管理標(biāo)準(zhǔn) -12-HYPERLINK5.3網(wǎng)絡(luò)安全標(biāo)準(zhǔn) -12-第一章網(wǎng)絡(luò)設(shè)計原則根據(jù)信息部網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)，我們在網(wǎng)絡(luò)設(shè)計中嚴(yán)格遵循網(wǎng)絡(luò)設(shè)計的各項(xiàng)原則。1.1可靠性原則網(wǎng)絡(luò)設(shè)備要求可靠，關(guān)鍵部件如電源、風(fēng)扇、主處理卡、背板、某些接口模塊冗余設(shè)計。設(shè)備要適應(yīng)特定的溫度、濕度、電壓變化等外部環(huán)境的變化；以支持關(guān)鍵線路的備份，保證網(wǎng)絡(luò)結(jié)構(gòu)的可靠性；充分考慮各部門對信息安全的需求，方案設(shè)計中注重考慮保證各類機(jī)密信息的安全。整個網(wǎng)絡(luò)滿足業(yè)務(wù)的實(shí)際需求，各部分關(guān)鍵線路，設(shè)備及數(shù)據(jù)均采用相應(yīng)的容錯及安全措施。1.2安全性原則安全的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，網(wǎng)絡(luò)的安全性能表現(xiàn)在：設(shè)備管理的安全性：包括設(shè)備登陸、遠(yuǎn)程登陸時的多重身份認(rèn)證、授權(quán)；數(shù)據(jù)源的安全性：包括對數(shù)據(jù)源來訪者采用身份認(rèn)證、地址過濾、隔離子網(wǎng)等技術(shù)。網(wǎng)絡(luò)設(shè)計采用的產(chǎn)品及技術(shù)具有較高的安全性，同時還考慮到其他方面的安全因素，從各個方面保證網(wǎng)絡(luò)的安全性。1.3可擴(kuò)展原則本次網(wǎng)絡(luò)建設(shè)可以獨(dú)立擴(kuò)展，以滿足未來業(yè)務(wù)的發(fā)展需要：網(wǎng)絡(luò)具有良好的擴(kuò)展性能：設(shè)備采取模塊化設(shè)計，可以在將來業(yè)務(wù)量較大的時候通過增加模塊擴(kuò)大容量；設(shè)備提供足夠的交換容量。設(shè)備具有良好的升級性能：設(shè)備能支持更高的端口速率、支持新的組網(wǎng)技術(shù)。設(shè)備要遵循有關(guān)國際標(biāo)準(zhǔn)和論壇標(biāo)準(zhǔn)，以利于多廠商互聯(lián)。網(wǎng)絡(luò)采用先進(jìn)的圖形化界面的網(wǎng)管軟件，管理人員可輕松監(jiān)視和管理所有網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備可根據(jù)實(shí)際需要平滑地進(jìn)行調(diào)整和擴(kuò)展。背板帶寬及線路帶寬完全滿足未來擴(kuò)展、擴(kuò)容的需要。1.4開放性、一致性原則在監(jiān)控系統(tǒng)中存在多種不同的業(yè)務(wù)，如話音、圖像、IP數(shù)據(jù)流等。這些業(yè)務(wù)的接入方式各不相同。對用戶而言，最理想的組網(wǎng)形式應(yīng)是建立一個統(tǒng)一的交換平臺，能支持多種不同業(yè)務(wù)。這樣能大大減少網(wǎng)絡(luò)的連接復(fù)雜度，人員培訓(xùn)的難度，以及網(wǎng)絡(luò)管理的壓力，并提高網(wǎng)絡(luò)的可靠性，降低運(yùn)行成本。簡而言之，就是在建網(wǎng)的過程中利用盡可能少的網(wǎng)絡(luò)設(shè)備提供盡可能多的網(wǎng)絡(luò)業(yè)務(wù)，努力避免在一個節(jié)點(diǎn)上使用多個不同設(shè)備簡單互連，以堆砌的方式提供多種業(yè)務(wù)。在建網(wǎng)的具體技術(shù)上，下列關(guān)鍵點(diǎn)應(yīng)予以關(guān)注：（1）全網(wǎng)的業(yè)務(wù)互通性（2）話音、數(shù)據(jù)、傳真等各種業(yè)務(wù)在整個網(wǎng)絡(luò)的互通。大小節(jié)點(diǎn)的技術(shù)要求不同，但要求大小節(jié)點(diǎn)的業(yè)務(wù)必須能完全融合在一起。因此，網(wǎng)絡(luò)設(shè)計所采用的所有網(wǎng)絡(luò)設(shè)備均支持現(xiàn)有的協(xié)議、信令及不同廠家的產(chǎn)品。第二章網(wǎng)絡(luò)設(shè)計部分3.1網(wǎng)絡(luò)設(shè)計分析機(jī)房網(wǎng)絡(luò)系統(tǒng)的設(shè)計和建設(shè)從戰(zhàn)略角度出發(fā)，結(jié)合本次項(xiàng)目要求及網(wǎng)絡(luò)需求、網(wǎng)絡(luò)產(chǎn)品和技術(shù)成熟度及網(wǎng)絡(luò)發(fā)展的方向等方面考慮，對網(wǎng)絡(luò)整體進(jìn)行統(tǒng)一設(shè)計、實(shí)施，建設(shè)一套完整的、穩(wěn)定可靠的、可持續(xù)發(fā)展的機(jī)房網(wǎng)絡(luò)系統(tǒng)。3.1.2組網(wǎng)技術(shù)選擇網(wǎng)絡(luò)層次采用業(yè)界成熟的三層架構(gòu)：接入、匯聚和核心，最后企業(yè)局園區(qū)通過出口層網(wǎng)絡(luò)設(shè)備（路由器或交換機(jī)）連接到外網(wǎng)通過。這種分層的網(wǎng)絡(luò)架構(gòu)，可以保證根據(jù)的企業(yè)局需求，分別對不同層次進(jìn)行擴(kuò)容。如下圖所示,隨著黑客工具的泛濫和使用的方便,使的網(wǎng)絡(luò)攻擊的成本越來越來,但危害越來越大.黑客工具的危害性這就要求設(shè)備具有強(qiáng)大靈活的自身防護(hù)功能,以不變應(yīng)萬變的方法,才能抵擋日益泛濫的網(wǎng)絡(luò)攻擊。交換機(jī)提供攻擊防范功能，能夠檢測出多種類型的網(wǎng)絡(luò)攻擊，并能采取相應(yīng)的措施保護(hù)設(shè)備自身及其所連接的內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)及設(shè)備的正常運(yùn)行。華為全系列交換機(jī)支持的攻擊防范功能包括防DDOS攻擊、IP欺騙攻擊、Land攻擊、PingofDeath攻擊、Teardrop攻擊、ICMPFlood攻擊、SYNFLOOD攻擊等。另外，以太網(wǎng)交換機(jī)的MAC地址表作為二層報文轉(zhuǎn)發(fā)的核心，在受到攻擊的時候，直接導(dǎo)致交換機(jī)無法正常工作。發(fā)生MAC地址攻擊的時候，攻擊者通過不停的發(fā)送MAC地址來刷新，填充交換機(jī)的MAC地址表，由于MAC地址表的規(guī)格有限，導(dǎo)致正常流量由于沒有正確的轉(zhuǎn)發(fā)表項(xiàng)而無法正常轉(zhuǎn)發(fā)。ARP攻擊與此類似，通過攻擊報文來更改MAC與IP地址的綁定，從而重新定向流量。華為全系列交換機(jī)可以通過MAC地址與端口的綁定以及限制端口/VLAN/VSI下MAC地址的最大學(xué)習(xí)個數(shù)可防止MAC掃描，并通過VLAN、IP、MAC之間的任意綁定可防范ARP攻擊（SAI/DAI功能）。華為全系列交換機(jī)支持黑洞MAC功能，園區(qū)交換機(jī)收到報文時比較報文目的MAC地址，若與黑洞MAC表項(xiàng)相同則丟棄該報文。當(dāng)用戶察覺到某MAC地址的報文具有一定攻擊性，則可以在園區(qū)交換機(jī)上配置黑洞MAC，從而將具有該MAC地址的報文過濾掉，避免遭受攻擊。3.2網(wǎng)絡(luò)設(shè)備選型根據(jù)機(jī)房網(wǎng)絡(luò)系統(tǒng)的需求，在保證各項(xiàng)業(yè)務(wù)正常實(shí)現(xiàn)的情況下，做出了本次選型。華為交換機(jī)S5700-52C-SI48千兆電口（1臺）華為交換機(jī)S57700-52C-EI48千兆電口（2臺）第三章設(shè)備介紹3.1華為S5700系列交換機(jī)華為S5700系列交換機(jī)是華為公司為滿足大帶寬接入和以太多業(yè)務(wù)匯聚而推出的新一代綠色節(jié)能的全千兆以太網(wǎng)交換機(jī)。它基于高性能硬件芯片和華為公司統(tǒng)一的VRP軟件平臺，具備大容量、高密度千兆端口，可提供萬兆上行，充分滿足企業(yè)用戶的園區(qū)網(wǎng)接入、匯聚、IDC千兆接入以及千兆到桌面等多種應(yīng)用場景。產(chǎn)品特點(diǎn)：成熟的IPv6特性S5700基于成熟穩(wěn)定的VRP平臺，支持IPv4/IPv6雙協(xié)議棧、IPv6路由協(xié)議（RIPng/OSPFv3/BGP4＋/ISISforIPv6）、IPv6overIPv4隧道（手工隧道/6to4隧道/ISATAP隧道）。S5700既可以部署在純IPv4或IPv6網(wǎng)絡(luò)，也可以部署在IPv4到IPv6共存的網(wǎng)絡(luò)，充分滿足網(wǎng)絡(luò)從IPv4向IPv6過渡的需求。智能iStack堆疊S5700智能iStack堆疊，將多臺支持堆疊特性的交換機(jī)組合在一起，從邏輯上組合成一臺虛擬交換機(jī)。iStack堆疊系統(tǒng)通過多臺成員設(shè)備之間冗余備份，提高了設(shè)備級的可靠性；通過跨設(shè)備的鏈路聚合功能，提高了鏈路級的可靠性。iStack提供了強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力，通過增加成員設(shè)備，可以輕松地擴(kuò)展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。iStack簡化了配置和管理，堆疊形成后，多臺物理設(shè)備虛擬成為一臺設(shè)備，用戶可以通過任何一臺成員設(shè)備登錄堆疊系統(tǒng)，對堆疊系統(tǒng)所有成員設(shè)備進(jìn)行統(tǒng)一配置和管理。創(chuàng)新AHM節(jié)能S5700-LI系列智能低功耗交換機(jī)，本著“性能優(yōu)先，節(jié)能不犧牲用戶體驗(yàn)”的原則，通過匹配鏈路Down/Up、光模塊在位/不在位、端口ShutDown/UndoShutDown、設(shè)備空閑時段/繁忙時段等不同的使用場景，創(chuàng)造性地應(yīng)用能效以太網(wǎng)（EEE）、端口能量檢測、CPU動態(tài)調(diào)頻、設(shè)備休眠等技術(shù)，達(dá)到節(jié)省設(shè)備耗電量的目的。針對不同用戶的應(yīng)用需求，提供了靈活可配的標(biāo)準(zhǔn)節(jié)能、基本節(jié)能、深度節(jié)能三種節(jié)能模式，是業(yè)界首家支持整機(jī)休眠的交換機(jī)設(shè)備。完善的VPN隧道S5700支持Multi-VPN-InstanceCE（MCE）功能。S5700支持下接不同的VPN用戶，通過路由多實(shí)例，實(shí)現(xiàn)了不同用戶的隔離；上行通過一個共用的物理接口連接到PE設(shè)備，減少單個VPN用戶對網(wǎng)絡(luò)部署的投資。S5710-EI/S5700-HI支持MPLSL3VPN、MPLSL2VPN(VPWS/VPLS)、MPLS-TE、MPLSQoS等功能，可作為高質(zhì)量企業(yè)專線接入設(shè)備，是業(yè)界為數(shù)不多的高性價比盒式MPLS交換機(jī)。輕松的運(yùn)行維護(hù)支持自動配置、即插即用、USB開局、批量遠(yuǎn)程升級等功能，便于安裝、升級、業(yè)務(wù)發(fā)放和其他管理維護(hù)工作，大大降低了運(yùn)維成本。S5700支持SNMPV1/V2/V3、CLI（命令行）、Web網(wǎng)管、TELNET、SSHv2.0等多樣化的管理和維護(hù)方式；支持RMON、多日志主機(jī)、端口流量統(tǒng)計和網(wǎng)絡(luò)質(zhì)量分析，便于網(wǎng)絡(luò)優(yōu)化和改造。支持GVRP，實(shí)現(xiàn)VLAN的動態(tài)分發(fā)、注冊和屬性傳播，減少手工配置量，保證配置正確性。S5700還支持MUXVLAN功能，MUXVLAN分為主VLAN和從VLAN，從VLAN又分為互通型從VLAN和隔離型從VLAN。主VLAN與從VLAN之間可以相互通信；互通型從VLAN內(nèi)的端口之間互相通信；隔離型從VLAN內(nèi)的端口只能與主VLAN內(nèi)的端口通信。杰出的網(wǎng)流分析支持Netstream網(wǎng)絡(luò)流量分析功能。作為網(wǎng)絡(luò)流量輸出器，S5700根據(jù)用戶配置，實(shí)時采集指定的數(shù)據(jù)流量，通過標(biāo)準(zhǔn)的V5/V8/V9報文格式，將數(shù)據(jù)上送給網(wǎng)絡(luò)流量收集器，這些數(shù)據(jù)被進(jìn)一步處理，可以實(shí)現(xiàn)動態(tài)報表生成、屬性分析、流量異常告警等功能，幫助用戶及時優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、調(diào)整資源部署。支持sFlow功能。S5700按照標(biāo)準(zhǔn)定義的方式，對轉(zhuǎn)發(fā)的流量按需采樣，并實(shí)時地將采樣流量上送到收集器，用于生成統(tǒng)計信息圖表，為企業(yè)用戶的日常維護(hù)提供了極大的方便。靈活的以太組網(wǎng)S5700不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹協(xié)議，還支持華為自主創(chuàng)新的SEP智能以太保護(hù)技術(shù)和業(yè)界最新的以太環(huán)網(wǎng)標(biāo)準(zhǔn)ERPS。SEP是一種專用于以太鏈路層的環(huán)網(wǎng)協(xié)議，適用于半環(huán)、整環(huán)、級連環(huán)等各種組網(wǎng)，其協(xié)議簡單可靠、維護(hù)方便，并提供50ms的快速業(yè)務(wù)倒換。ERPS是ITU-T發(fā)布的G.8032標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)基于傳統(tǒng)的以太網(wǎng)MAC和網(wǎng)橋功能，實(shí)現(xiàn)以太環(huán)網(wǎng)的毫秒級快速保護(hù)倒換。S5700支持SmartLink和VRRP功能。S5700通過多條鏈路接入到多臺匯聚交換機(jī)上，SmartLink/VRRP實(shí)現(xiàn)了上行鏈路的備份，極大地提升了接入側(cè)設(shè)備的可靠性。S5700支持多種快速連接故障檢測功能。S5700支持完善的以太OAM(IEEE802.3ah/802.1ag/ITUY.1731)和BFD功能。S5700-HI更能提供硬件級3.3ms高精度以太OAM和10msBFD檢測。多樣的安全控制S5700支持MAC地址認(rèn)證和802.1x認(rèn)證，實(shí)現(xiàn)用戶策略（VLAN、QoS、ACL）的動態(tài)下發(fā)。S5700支持完善的DoS類防攻擊、用戶類防攻擊。其中，DoS類防攻擊主要針對交換機(jī)本身的攻擊，包括SYNFlood、Land、Smurf、ICMPFlood；用戶類防攻擊涉及DHCP服務(wù)器仿冒攻擊、IP/MAC欺騙、DHCPrequestflood、改變DHCPCHADDR值等等。S5700通過建立和維護(hù)DHCPSnooping綁定表，偵聽接入用戶的IP/MAC地址、租用期、VLAN-ID、接口等信息，解決DHCP用戶的IP和端口跟蹤定位問題。利用DHCPSnooping的信任端口特性，S5700還可以保證DHCP服務(wù)器的合法性。S5700通過建立和維護(hù)DHCPSnooping綁定表，對不符合綁定表項(xiàng)的非法報文直接丟棄。利用DHCPSnooping的信任端口特性，S5700還可以保證DHCP服務(wù)器的合法性項(xiàng)目S5700固定端口48個10/100/1000Base-T以太網(wǎng)端口性能包轉(zhuǎn)發(fā)率：138Mpps

交換容量：256Gbps電源可擴(kuò)展雙電源擴(kuò)展插槽S5700C系列產(chǎn)品提供兩個擴(kuò)展插槽，支持上行插卡和堆疊卡，上行可擴(kuò)展4×1000Base-XSFP、

2×10GESFP+、4×10GESFP+插卡MAC地址表遵循IEEE802.1d標(biāo)準(zhǔn)支持MAC地址自動學(xué)習(xí)和老化支持靜態(tài)、動態(tài)、黑洞MAC表項(xiàng)支持源MAC地址過濾MAC地址容量：32KVLAN特性支持4K個VLAN支持GuestVLAN、VoiceVLAN支持GVRP協(xié)議支持MUXVLAN功能支持SuperVLAN支持基于MAC/協(xié)議/IP子網(wǎng)/策略/端口的VLAN支持1:1和N:1VLANMapping功能環(huán)網(wǎng)保護(hù)技術(shù)支持STP/RSTP/MSTP協(xié)議支持RRPP環(huán)型拓?fù)浜蚏RPP多實(shí)例支持SmartLink樹型拓樸和SmartLink多實(shí)例，提供主備鏈路的毫秒級保護(hù)支持智能以太保護(hù)SEP協(xié)議支持RRPP環(huán)型拓?fù)浜蚏RPP多實(shí)例支持ERPS以太環(huán)保護(hù)協(xié)議(G.8032)支持BPDU保護(hù)、根保護(hù)和環(huán)回保護(hù)支持BPDUTunnel可靠性支持以太網(wǎng)OAM802.3ah和802.1ag支持ITU-Y.1731支持EnhancedTrunk支持BFDForOSPF/ISIS/VRRP/PIM協(xié)議支持DLDP支持LACPMPLSS5710-EI支持下列特性：支持MPLSL3VPN支持MPLSL2VPN(VPWS/VPLS)支持MPLS-TE支持MPLSQoSIP路由靜態(tài)路由支持三層動態(tài)路由IPv6特性支持ND（NeighborDiscovery）支持PMTU支持IPv6Ping、IPv6Tracert、IPv6Telnet支持6to4、ISATAP、手動配置tunnel支持MLDv1/v2snooping（MulticastListenerDiscoverysnooping）支持基于源IPv6地址、目的IPv6地址、TCP/UDP端口號、協(xié)議類型等ACL組播支持IGMPv1/v2/v3Snooping和快速離開機(jī)制支持VLAN內(nèi)組播轉(zhuǎn)發(fā)和組播多VLAN復(fù)制支持捆綁端口的組播負(fù)載分擔(dān)支持可控組播支持基于端口的組播流量統(tǒng)計支持IGMPv1/v2