某电业局安全存储网络建设技术建议书

1、目目 录录 安全存储网络建设技术建议书安全存储网络建设技术建议书.1 1 1 1概述概述.3 3 1.11.1 项目建设背景需求项目建设背景需求.3 3 .1 网络现状网络现状.3 3 1.21.2 网络建设目标网络建设目标.3 3 1.31.3 网络建设原则网络建设原则.3 3 2 2整体方案设计整体方案设计.4 4 2.12.1 组网方案组网方案.4 4 2.22.2 方案建议及设备选型依据方案建议及设备选型依据.4 4 3 3网络解决方案网络解决方案.5 5 3.13.1 IPIP 地址规划地址规划 .5 5 3.23.2 VLANVLAN 规划规划 .6 6 3.33.

2、3 路由规划路由规划.6 6 3.43.4 QOSQOS 设计设计 .6 6 3.53.5 设备介绍设备介绍.8 8 .1 S9300S9300 系系列列交换机系统特性交换机系统特性 .8 8 .2 OceanspaceOceanspace S2000S2000 系列存储系统系列存储系统 .1616 4 4安全解决方案安全解决方案.2020 4.14.1 安全体系层次设计安全体系层次设计.2020 .1 层次一：物理环境的安全性（物理层安全）层次一：物理环境的安全性（物理层安全）.2020 .2 层次二：操作系统的安全性（系统层安

3、全）层次二：操作系统的安全性（系统层安全）.2020 .3 层次三：网络的安全性（网络层安全）层次三：网络的安全性（网络层安全）.2020 .4 层次四：应用的安全性（应用层安全）层次四：应用的安全性（应用层安全）.2121 .5 层次五：管理的安全性（安全管理）层次五：管理的安全性（安全管理）.2121 .6 总体部署总体部署.2121 4.24.2 入侵检测系统部署入侵检测系统部署.2222 .1 安全风险分析安全风险分析.2222 .2 安全风险解决安全风险解决.2222 .3

4、 智能网络入侵检测设备智能网络入侵检测设备.2323 .4 NIPNIP 10001000 性能指标性能指标 .2828 4.34.3 终端安全管理系统部署终端安全管理系统部署.3030 .1 终端安全管理系统终端安全管理系统.3030 .2 安全监控功能安全监控功能.3333 .3 资产管理应用功能资产管理应用功能.3333 .4 安全接入控制网关应用安全接入控制网关应用.3434 .5 SecospaceSecospace 系统性能指标系统性能指标 .3434 1 1概述概述 1.11.1 项目

5、建设背景需求项目建设背景需求 .1网络现状网络现状 *电业局网络建设主要分为内部办公网络和外部互联网络两部电业局网络建设主要分为内部办公网络和外部互联网络两部 分，现有核心设备是用的是华为分，现有核心设备是用的是华为55005500系列交换机，交换机使用年限系列交换机，交换机使用年限 已久，随着网络规模的不断扩大，现有网络接口已逐渐不能满足网已久，随着网络规模的不断扩大，现有网络接口已逐渐不能满足网 络的需求；内部服务器数量已达到络的需求；内部服务器数量已达到1010台左右，数据量增加的比较快，台左右，数据量增加的比较快， 需要一套网络存储设备。内部安全需要进一步的管理。需要一

6、套网络存储设备。内部安全需要进一步的管理。 1.21.2 网络建设目标网络建设目标 为了提高整网核心的可靠性，设计考虑设备冗余（电源、超级为了提高整网核心的可靠性，设计考虑设备冗余（电源、超级 引擎采用双配置）引擎采用双配置） ，为整网提供更加稳定的网络服务。，为整网提供更加稳定的网络服务。 华为核心设备最多支持华为核心设备最多支持 144144 个光接口，能够极大地满足现在及个光接口，能够极大地满足现在及 将来网络的需求。将来网络的需求。 1.31.3 网络建设原则网络建设原则 我单位针对我单位针对*电业局存储及安全工程将采用华为先进的高端电电业局存储及安全工程将采用华为先进的高端电 信级设

7、备作为构建网络的基础单元，建立一个高带宽、高可用性及信级设备作为构建网络的基础单元，建立一个高带宽、高可用性及 高可靠性的数据网络，为濮阳县电业局业务系统提供强有力的保证，高可靠性的数据网络，为濮阳县电业局业务系统提供强有力的保证， 本次工程基于以下原则进行：本次工程基于以下原则进行： 综合性：将网络建设成为不仅支撑现有濮阳县电业局数据业务，综合性：将网络建设成为不仅支撑现有濮阳县电业局数据业务， 而且支撑未来实时业务的综合业务传送平台。而且支撑未来实时业务的综合业务传送平台。 支持支持 QOSQOS：能根据业务的要求提供不同等级的服务并保证服务：能根据业务的要求提供不同等级的服务并保证服务

8、质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的 IPIP QOSQOS 功能。功能。 高可靠性：具有很高的容错能力，具有抵御外界环境和人为操高可靠性：具有很高的容错能力，具有抵御外界环境和人为操 作失误的能力，保证任何单点故障都不影响整个网络的正常运作。作失误的能力，保证任何单点故障都不影响整个网络的正常运作。 高性能：在高负荷情况下仍然具有较高的吞吐能力和效率，延高性能：在高负荷情况下仍然具有较高的吞吐能力和效率，延 迟低。迟低。 安全性：具有保证系统安全，防止系统被人为破坏的能力。安全性：具有保证系统安全，防止系统被人为破坏

9、的能力。 扩展性：易于增加新设备、新用户，易于和各种公用网络连接，扩展性：易于增加新设备、新用户，易于和各种公用网络连接， 随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。 开放性：符合开放性规范，方便接入不同厂商的设备和网络产开放性：符合开放性规范，方便接入不同厂商的设备和网络产 品。品。 标准化：通讯协议和接口符合国际标准。标准化：通讯协议和接口符合国际标准。 实用性：具有良好的性能价格比，经济实用，拓扑结构和技术实用性：具有良好的性能价格比，经济实用，拓扑结构和技术 符合骨干网信息量大、信息流集中的特点。符合骨干网信息量

10、大、信息流集中的特点。 2 2整体方案设计整体方案设计 2.12.1 组网方案组网方案 出于安全性和稳定性的要求，工程中采用电信级核心层交换机出于安全性和稳定性的要求，工程中采用电信级核心层交换机 从而提高整网结构的健壮性、可靠性，高效性。在存储方面采用华从而提高整网结构的健壮性、可靠性，高效性。在存储方面采用华 为为 23002300 的存储，可提供的存储，可提供 96T96T 的存储容量，满足将来存储的需求。的存储容量，满足将来存储的需求。 2.22.2 方案建议及设备选型依据方案建议及设备选型依据 根据根据*电业局电业局数据库项目的技术规范要求以及华为公司全系列数据库项目的技术规范要求以

11、及华为公司全系列 数通产品及解决方案特点，本着满足业务优先、先进实用、平滑演数通产品及解决方案特点，本着满足业务优先、先进实用、平滑演 进等原则，我单位选择华为公司在本期项目中建议的设备以及相关进等原则，我单位选择华为公司在本期项目中建议的设备以及相关 设备的建网方案优势如下：设备的建网方案优势如下： 网络档次高、层次分明：采用最高能力交换机，按照网络层次网络档次高、层次分明：采用最高能力交换机，按照网络层次 依次选择合理产品，各层次产品之间系列化程度高，可靠性强。依次选择合理产品，各层次产品之间系列化程度高，可靠性强。 负载分担的网络：以最大化网络资源负载分担为原则，通过设负载分担的网络：以

12、最大化网络资源负载分担为原则，通过设 备间链路的分配调整，实现网络资源合理分布，增加可靠性。备间链路的分配调整，实现网络资源合理分布，增加可靠性。 安全的双平面的设计：本次为网络结构通过充分利用两期建设安全的双平面的设计：本次为网络结构通过充分利用两期建设 中的设备，充分保证网络安全备份及冗余性，整体提高网络的可靠中的设备，充分保证网络安全备份及冗余性，整体提高网络的可靠 性等级系数。性等级系数。 良好网络兼容性能：在现网大量的应用环境中，华为设备表现良好网络兼容性能：在现网大量的应用环境中，华为设备表现 出与其他设备厂商良好的互通性，在各大电信运营商网络都有商用。出与其他设备厂商良好的互通性

13、，在各大电信运营商网络都有商用。 优化的网络性能：华为建议的部署方案，能够保证网络在故障优化的网络性能：华为建议的部署方案，能够保证网络在故障 情况下快速实现业务流量疏导，提高整个网络质量，保证网络能够情况下快速实现业务流量疏导，提高整个网络质量，保证网络能够 承载。承载。 多业务的多业务的IPIP网络：优化后的网络具备极强的可扩展性能，除了网络：优化后的网络具备极强的可扩展性能，除了 具备大流量承载能力，还可提供具备大流量承载能力，还可提供IPTVIPTV等多种业务。等多种业务。 平滑的割接方案：华为公司有丰富的网络割接经验，可以保证平滑的割接方案：华为公司有丰富的网络割接经验，可以保证 网

14、络调整到合理的结构，并保证现网业务尽可能的不受影响，保证网络调整到合理的结构，并保证现网业务尽可能的不受影响，保证 平滑割接。平滑割接。 平滑的向平滑的向IPv6IPv6过渡：我单位本次采用的华为产品具备过渡：我单位本次采用的华为产品具备IPv6IPv6高性高性 能转发，满足未来性能要求，并支持多种过渡解决方案，例如能转发，满足未来性能要求，并支持多种过渡解决方案，例如 IPv4/IPv6IPv4/IPv6双栈、多种过渡隧道等等，是业界过渡方案中最好的产品，双栈、多种过渡隧道等等，是业界过渡方案中最好的产品， 能够极大方便实际网络能够极大方便实际网络IPv4-IPv6IPv4-IPv6过渡的灵

15、活性。过渡的灵活性。 3 3网络解决方案网络解决方案 3.13.1 IPIP 地址规划地址规划 IPIP 地址的合理分配是保证网络顺利运行和网络资源有效利用的地址的合理分配是保证网络顺利运行和网络资源有效利用的 关键。需要在所分配的关键。需要在所分配的 IPIP 地址网段中尽可能地利用地址空间，充分地址网段中尽可能地利用地址空间，充分 考虑地址空间的合理使用，保证实现最佳的网络内地址分配及业务考虑地址空间的合理使用，保证实现最佳的网络内地址分配及业务 流量的均匀分布。流量的均匀分布。 IPIP 地址空间的分配与合理使用与网络拓扑结构、网络组织及路地址空间的分配与合理使用与网络拓扑结构、网络组织

16、及路 由政策有非常密切的关系，将由政策有非常密切的关系，将*电业局电业局业务工作的可用性、可靠性业务工作的可用性、可靠性 和有效性以及保密性产生显著影响。和有效性以及保密性产生显著影响。 通常合理的地址规划是使连续的地址尽量集中在一个区域内。通常合理的地址规划是使连续的地址尽量集中在一个区域内。 因此，核心层应象一个区域或一个节点一样，被分配一段连续的地因此，核心层应象一个区域或一个节点一样，被分配一段连续的地 址。址。 IPIP 地址规划遵循以下原则：地址规划遵循以下原则： 1.1. IPIP 地址的规划与划分应该考虑到业务飞速发展，能够满足未地址的规划与划分应该考虑到业务飞速发展，能够满足

17、未 来发展的需要；即要满足本期工程对来发展的需要；即要满足本期工程对 IPIP 地址的需求，同时要地址的需求，同时要 充分考虑未来业务发展，预留相应的地址段；充分考虑未来业务发展，预留相应的地址段； 2.2. IPIP 地址的分配需要有足够的灵活性，能够满足各种用户接入；地址的分配需要有足够的灵活性，能够满足各种用户接入； 3.3. IPIP 地址的分配可以采用地址的分配可以采用 VLSMVLSM 技术，以保证技术，以保证 IPIP 地址的利用效地址的利用效 率；率； 4.4. 充分合理利用已申请的地址空间，提高地址的利用效率。充分合理利用已申请的地址空间，提高地址的利用效率。 3.23.2

18、VLANVLAN 规划规划 VLANVLAN（VirtualVirtual LocalLocal AreaArea NetworkNetwork）又称虚拟局域网，是指）又称虚拟局域网，是指 在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、 不同网络的端到端的逻辑网络。一个不同网络的端到端的逻辑网络。一个 VLANVLAN 组成一个逻辑子网，即一组成一个逻辑子网，即一 个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置 的网络用户加入到一个逻辑子网中。的网络用

19、户加入到一个逻辑子网中。 从技术角度讲，从技术角度讲，VLANVLAN 的划分可依据不同原则，一般有以下三种的划分可依据不同原则，一般有以下三种 划分方法：划分方法： 1.1. 基于端口的基于端口的 VLANVLAN 划分划分 2.2. 基于基于 MACMAC 地址的地址的 VLANVLAN 划分划分 3.3. 基于路由的基于路由的 VLANVLAN 划分划分 而本期项目中以基于端口和基于路由的而本期项目中以基于端口和基于路由的 VLANVLAN 划分方法为主，除划分方法为主，除 了公共了公共 VLANVLAN，网管，网管 VLANVLAN，关键领导，关键领导 VLANVLAN 等特殊网段，按

20、照部门和等特殊网段，按照部门和 单位进行其他单位进行其他 VLANVLAN 网段的划分。网段的划分。 3.33.3 路由规划路由规划 在所建网络系统中将涉及在所建网络系统中将涉及*电业局电业局内部不同虚拟网络之间的路内部不同虚拟网络之间的路 由转发以及与外网之间的互联，因此需要结合实际，在汇聚交换机由转发以及与外网之间的互联，因此需要结合实际，在汇聚交换机 对三层转发协议进行设置，由于通过对三层转发协议进行设置，由于通过 VLANVLAN 隔离业务，在接入层交换隔离业务，在接入层交换 机启用二层接入功能，网关设在汇聚交换机，机启用二层接入功能，网关设在汇聚交换机，VLANVLAN 终结于汇聚交

21、换终结于汇聚交换 机。机。 3.43.4 QOSQOS 设计设计 在传统的在传统的 IPIP 网络中，所有的报文都被无区别的等同对待，每个网络中，所有的报文都被无区别的等同对待，每个 路由器对所有的报文均采用先入先出（路由器对所有的报文均采用先入先出（FIFOFIFO）的策略进行处理，它）的策略进行处理，它 尽最大的努力（尽最大的努力（best-effortbest-effort）将报文送到目的地，但对报文传送的）将报文送到目的地，但对报文传送的 可靠性、传送延迟等性能不提供任何保证。可靠性、传送延迟等性能不提供任何保证。 随着随着 IPIP 技术的日趋成熟，技术的日趋成熟，IPIP 网络电信

22、化已经成为大势所趋，网络电信化已经成为大势所趋， 于是形成了语音、视频、数据等多种业务于是形成了语音、视频、数据等多种业务 IPIP 统一承载，由于语音、统一承载，由于语音、 视频等实时业务自身的特点对承载平台提出了严格的服务质量要求，视频等实时业务自身的特点对承载平台提出了严格的服务质量要求， 因此就必须在网络中部署相应的因此就必须在网络中部署相应的 QoSQoS 技术，使得网络管理者能够有技术，使得网络管理者能够有 效地控制网络资源的使用，能够在有限资源的效地控制网络资源的使用，能够在有限资源的 IPIP 平台上综合语音、平台上综合语音、 视频及数据等多种业务，能够区分业务、针对不同的业务

23、提供特色视频及数据等多种业务，能够区分业务、针对不同的业务提供特色 的差分服务。的差分服务。 QoSQoS 旨在针对各种应用的不同需求，为其提供不同的服务质量，旨在针对各种应用的不同需求，为其提供不同的服务质量， 例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延 抖动等。为实现上述目的，抖动等。为实现上述目的，QoSQoS 提供了下述功能：提供了下述功能： 1.1. 报文分类和着色报文分类和着色 2.2. 避免和管理网络拥塞避免和管理网络拥塞 3.3. 流量监管和流量整形流量监管和流量整形 4.4. QoSQoS 信令协议信令

24、协议 在在*电业局电业局数据库项目网络构建中，将会设计合理的数据库项目网络构建中，将会设计合理的 QOSQOS 保障保障 方案，利用有限的资源，以获得更好的网络使用效益，是非常必要方案，利用有限的资源，以获得更好的网络使用效益，是非常必要 的。良好的的。良好的 QOSQOS 保障方案可以确保一般情况下网络具有最好的使用保障方案可以确保一般情况下网络具有最好的使用 效率、实时业务具有较小延时，恶劣情况下保证关键业务得到应有效率、实时业务具有较小延时，恶劣情况下保证关键业务得到应有 的网络服务。的网络服务。 衡量衡量 QoSQoS 的指标包括：的指标包括： 带宽带宽/ /吞吐量吞吐量 - - 指网

25、络的两个节点之间特定应用业务流的平均指网络的两个节点之间特定应用业务流的平均 速率；速率； 时延时延 - - 指数据包在网络的两个节点之间传送的平均往返时间；指数据包在网络的两个节点之间传送的平均往返时间； 抖动抖动 - - 指时延的变化；指时延的变化； 丢包率丢包率 - - 指在网络传输过程中丢失报文的百分比，用来衡量网指在网络传输过程中丢失报文的百分比，用来衡量网 络正确转发用户数据的能力；络正确转发用户数据的能力； 可用性可用性 - - 指网络可以为用户提供服务的时间的百分比。指网络可以为用户提供服务的时间的百分比。 在在*电业局电业局数据库项目网络中数据库项目网络中 QOSQOS 方案

26、部署如下：方案部署如下： 接入层交换机接入端口不同业务进行接入层交换机接入端口不同业务进行 VLANVLAN 标记标记, ,并可以对报文并可以对报文 进行进行 802.1P802.1P 优先级标记，以便后续的汇聚交换机和核心交换根据相优先级标记，以便后续的汇聚交换机和核心交换根据相 应优先级标记（应优先级标记（802.1P802.1P、DSCPDSCP）进行调度，当然还可以根据策略的）进行调度，当然还可以根据策略的 需要部署需要部署 CARCAR 流量监管策略，对用户的接入速率进行控制，保证流量监管策略，对用户的接入速率进行控制，保证* 电业局电业局网网络始终处于健康（轻载）的运行状态。网网络

27、始终处于健康（轻载）的运行状态。 本次工程采用的本次工程采用的 S9300S9300 高端交换机均支持选择性高端交换机均支持选择性 SVLANSVLAN 功能功能 （灵活（灵活 QinQQinQ） ，可以在同一个物理端口上支持根据单层，可以在同一个物理端口上支持根据单层 VLANVLAN IDID 灵灵 活加载外层活加载外层 VLANVLAN IDID，同时能够透传标准，同时能够透传标准 VLANVLAN（单（单 VLANVLAN）流量。上）流量。上 述功能实现没有述功能实现没有 VLANVLAN IDID 范围数量的限制，对于设备性能没有影响。范围数量的限制，对于设备性能没有影响。 支持根据

28、支持根据 802.1p802.1p 参数、入端口、入参数、入端口、入 VLANVLAN IDID 等条件进行双等条件进行双 VLANVLAN 透透 传、双层传、双层 VLANVLAN 改写外层改写外层 VLANVLAN、双层、双层 VLANVLAN 改写内外层改写内外层 VLANVLAN 等并且等并且 支持在同一物理接口上对以上操作的并行处理。并支持支持在同一物理接口上对以上操作的并行处理。并支持 TPIDTPID 可配置，可配置， 同时对设备性能没有影响同时对设备性能没有影响 S9300S9300 交换机提供完善的交换机提供完善的 Diff-Serv/QoSDiff-Serv/QoS 支持。

29、支持基于源端口、源支持。支持基于源端口、源 VLANVLAN IDID、源、源 MACMAC 地址、报文种类、地址、报文种类、 TCP/UDPTCP/UDP 端口号、端口号、IPIP 报文地址前缀等多种流分类规则，提供多种规报文地址前缀等多种流分类规则，提供多种规 则组合条件下的流映射和分类、流量监管（则组合条件下的流映射和分类、流量监管（CARCAR） 、拥塞避免方法、拥塞避免方法 （WREDWRED、Tail-DropTail-Drop） 、队列调度（、队列调度（WRRWRR、SPSP）和输出流量整形等功能，）和输出流量整形等功能， 支持支持 802.1p802.1p 的的 8 8 个优先

30、级。完全做到业务区分并保证带宽个优先级。完全做到业务区分并保证带宽/ /时延时延/ / 抖动，可以为用户提供具有不同服务质量等级的服务保证，使抖动，可以为用户提供具有不同服务质量等级的服务保证，使 IPIP 网网 络真正成为同时承载数据、语音和视频业务的综合网络。络真正成为同时承载数据、语音和视频业务的综合网络。 3.53.5 设备介绍设备介绍 .1S9300S9300 系列交换机系统特性系列交换机系统特性 QuidwayQuidway S9300S9300系列以太汇聚交换机（以下简称系列以太汇聚交换机（以下简称S9300S9300）是基）是基 于华为公司统一的于华为公司统一的

31、VRPVRP（VersatileVersatile RoutingRouting PlatformPlatform）系统而推）系统而推 出的下一代以太网汇聚交换机，提供整机高达出的下一代以太网汇聚交换机，提供整机高达2T2T交换容量，二、三交换容量，二、三 层线速转发能力，具备强大组播功能，层线速转发能力，具备强大组播功能，EPONEPON接口和完善的接口和完善的QoSQoS保障，保障， 满足城域网、企业园区网对满足城域网、企业园区网对Multi-PlayMulti-Play业务承载和全光接入的组网业务承载和全光接入的组网 需求，为运营商和企业网提供强大的网络交换和业务运营能力，支需求，为运营

32、商和企业网提供强大的网络交换和业务运营能力，支 持持IPIP专线、专线、VPNVPN、IPTVIPTV、IPv6IPv6等多种业务。等多种业务。 S9300S9300系列包括系列包括S9303S9303、S9306S9306、S9312S9312三个产品形态，整个系列三个产品形态，整个系列 秉承模块通用化、归一化的设计理念，最小化备件成本，在保证设秉承模块通用化、归一化的设计理念，最小化备件成本，在保证设 备扩展性的同时最大限度地保护用户投资。备扩展性的同时最大限度地保护用户投资。 S9303S9303 S9306S9306 S9312S9312 产品特点产品特点 创新的三平面设计创新的三平面

33、设计 S9300S9300在传统交换机数据转发、管理控制双平面基础上进行了创在传统交换机数据转发、管理控制双平面基础上进行了创 新，增加了独立的环境监控平面，率先实现整机三平面设计。业界新，增加了独立的环境监控平面，率先实现整机三平面设计。业界 首创的环境监控板，其核心芯片采用华为自主知识产权的中控芯片，首创的环境监控板，其核心芯片采用华为自主知识产权的中控芯片， 实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、 端口休眠技术等多项节能技术，独立环境监控与网管联动，实现整端口休眠技术等多项节能技术，独立环境监控与网管联动，

34、实现整 机运营维护的全面可视化管理。机运营维护的全面可视化管理。 高速 背板 交换网 模块 控制面通讯模块 系统时钟 模块 系统主控模块 控制层软件 业务层软件 网管系统 物理接口模块业务处理模块 单板时钟模块 单板主控模块 单板监控模块 业务模块业务模块 交换路由模块交换路由模块 管理层软件 创新的三平面设计创新的三平面设计 一机多用，全业务承载的以太汇聚平台一机多用，全业务承载的以太汇聚平台 S9300S9300支持高密度的支持高密度的EPONEPON接口，能实现接口，能实现DSLAMDSLAM汇聚、汇聚、EPONEPON和纯以和纯以 太的统一接入，满足全光接入的需求；分布式太的统一接入，

35、满足全光接入的需求；分布式L2/L3L2/L3 MPLSMPLS VPNVPN功能，功能， 系统监控模块系统监控模块 支持支持MPLSMPLS、VPLSVPLS、HVPLSHVPLS、VLLVLL，满足大客户，满足大客户VPNVPN专线、企业专线、企业VPNVPN等高等高 端用户的接入需求。端用户的接入需求。 S9300S9300具备线速的跨具备线速的跨VLANVLAN组播复制能力，实现端口的满负荷复制，组播复制能力，实现端口的满负荷复制， 满足大容量的满足大容量的IPTVIPTV用户接入需求；完善的二、三层组播协议，可作用户接入需求；完善的二、三层组播协议，可作 为组播复制点和控制点。为组播

36、复制点和控制点。 S9300S9300支持支持IPv6IPv6功能，支持功能，支持 RIPngRIPng，OSPFv3OSPFv3，ISISv6ISISv6，BGP4+BGP4+，MLDMLD，MLDMLD SnoopingSnooping，PIMv6PIMv6，IPv6IPv6 multicastmulticast VLANVLAN，ICMPv6ICMPv6等单等单/ /组播组播IPv6IPv6路路 由协议，实现网络由协议，实现网络IPv4IPv4向向IPv6IPv6的平滑迁移。的平滑迁移。 三维扩展，容量三维扩展，容量“无级变速无级变速” 作为新一代的以太汇聚平台，作为新一代的以太汇聚平台

37、，S9300S9300可以从容应对城域骨干网和可以从容应对城域骨干网和 大容量大容量IDCIDC对核心汇聚设备的带宽需求。对核心汇聚设备的带宽需求。S9300S9300单槽位支持单槽位支持1210GE1210GE 线速转发，整机支持线速转发，整机支持2T2T的交换能力，更好地满足的交换能力，更好地满足IPTVIPTV等大带宽业务等大带宽业务 和和IDCIDC机房的接入需求。机房的接入需求。 S9300S9300系列交换机可以扩展到系列交换机可以扩展到3.84T3.84T交换容量，单槽位支持交换容量，单槽位支持240G240G 线速转发，充分考虑未来线速转发，充分考虑未来3 35 5年的带宽需求

38、，提供带宽平滑扩展能年的带宽需求，提供带宽平滑扩展能 力。力。 六项创新，省电六项创新，省电 30%30% S9300S9300基于绿色环保理念设计，独特的基于绿色环保理念设计，独特的“变流变流”芯片，实现按流芯片，实现按流 量动态调整功率，降低功耗量动态调整功率，降低功耗8%8%。 独特的独特的“旋转旋转”风道设计，提高整机散热效率，降低功耗风道设计，提高整机散热效率，降低功耗3%3%， 同时整机出线能力提高同时整机出线能力提高6 6倍。倍。 “积木式积木式”电源，按需配置，减少初期投资，降低设备功耗电源，按需配置，减少初期投资，降低设备功耗 10%10%。 独立风扇分区控制，降低噪声独立风

39、扇分区控制，降低噪声10%10%，并延长风扇使用寿命。，并延长风扇使用寿命。 风扇智能调速，根据关键器件温度，灵活调整风扇转速，降低风扇智能调速，根据关键器件温度，灵活调整风扇转速，降低 功耗功耗3%3%，提高风扇抗扰动能力，延长风扇寿命。，提高风扇抗扰动能力，延长风扇寿命。 真正的端口休眠技术，可以依据端口实际流量调整输出功耗，真正的端口休眠技术，可以依据端口实际流量调整输出功耗， 降低功耗降低功耗6%6%，节电，节电“不丢包不丢包”。 产品规格产品规格 项目项目 S9303S9303S9306S9306S9312S9312 背板容量背板容量 1.2Tbps1.2Tbps2.4Tbps2.4

40、Tbps4.8Tbps4.8Tbps 业务槽位业务槽位 3 36 61212 GEGE端口密端口密 度度 144144288288576576 10G10G端口密端口密 36367272144144 项目项目 S9303S9303S9306S9306S9312S9312 度度 支持支持AccessAccess、TrunkTrunk、HybridHybrid方式方式 支持支持defaultdefault VLANVLAN 支持支持VLANVLAN 交换交换 VLANVLAN 支持支持QinQQinQ、增强型灵活、增强型灵活QinQQinQ 支持支持MACMAC地址自动学习和老化地址自动学习和老化

41、 支持静态、动态、黑洞支持静态、动态、黑洞MACMAC表项表项 支持源支持源MACMAC地址过滤地址过滤 MACMAC地址功地址功 能能 支持基于端口和支持基于端口和VLANVLAN的的MACMAC地址学习限制地址学习限制 支持支持STPSTP，RSTPRSTP和和MSTPMSTP 支持支持BPDUBPDU保护、保护、RootRoot保护、环路保护保护、环路保护 STPSTP 支持支持BDPUBDPU TunnelTunnel 支持支持RIPRIP、OSPFOSPF、ISISISIS、BGPBGP等等IPv4IPv4动态路由协议动态路由协议 IPIP路由路由支持支持RIPngRIPng、OSP

42、Fv3OSPFv3、ISISv6ISISv6、BGPv4BGPv4等等IPv6IPv6动态路动态路 由协议由协议 支持支持IGMPIGMP SnoopingSnooping功能功能 支持用户快速离开机制支持用户快速离开机制 支持组播流量控制支持组播流量控制 支持组播查询器支持组播查询器 支持组播协议报文抑制功能支持组播协议报文抑制功能 组播组播 支持组播支持组播ACLACL 项目项目 S9303S9303S9306S9306S9312S9312 支持支持MPLSMPLS基本功能基本功能 支持支持MPLSMPLS OAMOAM 支持支持MPLSMPLS TETE MPLSMPLS 支持支持MPL

43、SMPLS VPN/VLL/VPLSVPN/VLL/VPLS 支持基于支持基于Layer2Layer2协议头、协议头、Layer3Layer3协议、协议、Layer4Layer4协议、协议、 802.1p802.1p优先级等的组合流分类优先级等的组合流分类 支持支持ACLACL、CARCAR、RemarkRemark、ScheduleSchedule等动作等动作 支持支持PQPQ、WRRWRR、DRRDRR、PQ+WRRPQ+WRR、PQ+DRRPQ+DRR等队列调度方等队列调度方 式式 支持支持WREDWRED、尾丢弃等拥塞避免机制、尾丢弃等拥塞避免机制 QoSQoS 支持流量整形支持流量整

44、形 支持支持ConsoleConsole、TelnetTelnet、SSHSSH等终端服务等终端服务 支持支持SNMPv1/v2/v3SNMPv1/v2/v3等网络管理协议等网络管理协议 支持通过支持通过FTPFTP、TFTPTFTP方式上载、下载文件方式上载、下载文件 支持支持BootROMBootROM升级和远程在线升级升级和远程在线升级 支持热补丁支持热补丁 配置与维配置与维 护护 支持用户操作日志支持用户操作日志 命令行分级保护，未授权用户无法侵入命令行分级保护，未授权用户无法侵入 支持支持RADIUSRADIUS和和HWTACACSHWTACACS用户登录认证用户登录认证安全和管安全

45、和管 理理支持防范支持防范DoSDoS攻击、攻击、TCPTCP的的SYNSYN FloodFlood攻击、攻击、UDPUDP FloodFlood攻击、广播风暴攻击、大流量攻击攻击、广播风暴攻击、大流量攻击 项目项目 S9303S9303S9306S9306S9312S9312 支持支持CPUCPU通道的保护通道的保护 支持支持ICMPICMP实现实现pingping和和traceroutetraceroute功能功能 支持支持RMONRMON 机箱尺寸机箱尺寸 mmmm（宽（宽深深 高）高） 44244247647617517544244247647644244244244247647666

46、4664 机箱重量机箱重量 （空配）（空配） 15Kg15Kg30Kg30Kg45Kg45Kg 工作电压工作电压 DCDC：38.4V38.4V72V72V ACAC：90V90V264V264V 典型功耗典型功耗 180W180W350W350W650W650W 整机供电整机供电 能能 350W350W800W800W1600W1600W 订购信息订购信息 1 1、QuidwayQuidway S9300S9300 主机选购一览表主机选购一览表 产品描述产品描述 S9303S9303总装机箱总装机箱 S9306S9306总装机箱总装机箱 S9312S9312总装机箱总装机箱 2 2、Quid

47、wayQuidway S9300S9300 交换路由处理板选购一览表交换路由处理板选购一览表 产品描述产品描述 S9306/S9312S9306/S9312交换路由单元交换路由单元 S9303S9303主控处理单元主控处理单元 增强灵活业务子卡增强灵活业务子卡 3 3、QuidwayQuidway S9300S9300 业务单板选购一览表业务单板选购一览表 产品描述产品描述 4848端口百兆以太网光接口板端口百兆以太网光接口板 4848端口百兆以太网电接口板端口百兆以太网电接口板 4848端口百兆端口百兆/ /千兆以太网光接口板千兆以太网光接口板 4848端口百兆端口百兆/ /千兆以太网电接口

48、板千兆以太网电接口板 2424端口百兆端口百兆/ /千兆以太网光接口板千兆以太网光接口板 2424端口百兆端口百兆/ /千兆以太网光接口和千兆以太网光接口和8 8端口百兆端口百兆/ /千兆千兆ComboCombo电口板电口板 4 4端口万兆以太网光接口板端口万兆以太网光接口板 2 2端口万兆以太网光接口板端口万兆以太网光接口板 .2OceanspaceOceanspace S2000S2000 系列存储系统系列存储系统 概述概述 华为赛门铁克华为赛门铁克 OceanspaceOceanspace S2000S2000 系列（以下简称系列（以下简称 S2000S2000）产品）产

49、品 是中国第一款拥有完全自主知识产权的存储。融合了高密、接口模是中国第一款拥有完全自主知识产权的存储。融合了高密、接口模 块化设计、多重数据保护技术，满足数据库等应用系统、备份、数块化设计、多重数据保护技术，满足数据库等应用系统、备份、数 据中心等不同的存储资源部署需求。据中心等不同的存储资源部署需求。 产品特点产品特点 高性能高性能 6464 位系统架构：位系统架构：6464 位多核处理器，位多核处理器，6464 位系统总线，位系统总线，6464 位实位实 时操作系统时操作系统 交换体系架构：交换架构，高性能，低延时；硬盘独立，单交换体系架构：交换架构，高性能，低延时；硬盘独立，单 个硬盘故

50、障不影响其他盘，便于故障检测和排除个硬盘故障不影响其他盘，便于故障检测和排除 高密设计：硬盘框高密设计：硬盘框 4U4U 高度，可容纳高度，可容纳 2424 块硬盘，产品占用空块硬盘，产品占用空 间小，扩间小，扩 1 1 个硬盘框能扩展个硬盘框能扩展 2424 块硬盘，大幅降低扩容成本块硬盘，大幅降低扩容成本 高可靠高可靠 全冗余模块化设计：冗余控制器，全冗余模块化设计：冗余控制器，1+11+1 冗余电源冗余电源/ /风扇模块；风扇模块； 冗余掉电保护电池冗余掉电保护电池 一体化一体化 UPSUPS 技术：技术：UPSUPS 集成在控制框内，节省机架空间；意集成在控制框内，节省机架空间；意 外

51、掉电时，可以保证外掉电时，可以保证 CacheCache 数据可安全写入数据保险箱；恢复供电数据可安全写入数据保险箱；恢复供电 后，可以把数据保险箱的数据恢复到后，可以把数据保险箱的数据恢复到 CacheCache 中，保证中，保证 CacheCache 数据不数据不 丢失丢失 硬盘坏道修复技术：最大限度修复硬盘坏道，将硬盘故障率硬盘坏道修复技术：最大限度修复硬盘坏道，将硬盘故障率 降低降低 50%50%，延长硬盘寿命，延长硬盘寿命 硬盘预拷贝技术：提前发现故障盘，主动迁移故障盘数据，硬盘预拷贝技术：提前发现故障盘，主动迁移故障盘数据， 规避系统降级的风险，有效降低两个硬盘同时故障导致数据丢失

52、的规避系统降级的风险，有效降低两个硬盘同时故障导致数据丢失的 概率概率 灵活灵活 灵活组网：灵活组网：iSCSIiSCSI 主机口满足与主机口满足与 IPIP 网络无缝融合的组网需求；网络无缝融合的组网需求； SASSAS 主机口满足高性价比的组网需求；主机口满足高性价比的组网需求；FCFC 主机口满足高速率、高可主机口满足高速率、高可 靠靠的组网需求的组网需求 控制器选配：单控制器配置满足低成本需求，平滑升级到双控制器选配：单控制器配置满足低成本需求，平滑升级到双 控制器配置，满足高性能、高可靠的需求控制器配置，满足高性能、高可靠的需求 分级存储：支持分级存储：支持 SAS/SATASAS/

53、SATA 硬盘混插，可以根据业务级别选硬盘混插，可以根据业务级别选 择存储介质择存储介质 便捷便捷 便捷管理：支持图形化便捷管理：支持图形化 GUIGUI 及及 CLICLI 管理方式，提升管理效率；管理方式，提升管理效率； 支持支持 LUNLUN 后台格式化，压缩设备安装及配置时间后台格式化，压缩设备安装及配置时间 便捷维护：主要模块及硬盘组件支持热插拔，减少维护复杂便捷维护：主要模块及硬盘组件支持热插拔，减少维护复杂 性；支持性；支持 WebWeb 和和 ModemModem 拨号等远程管理能力，增加维护及时性；提拨号等远程管理能力，增加维护及时性；提 供声光、邮件、短信等告警模式，确保设

54、备故障信息不会被忽视或供声光、邮件、短信等告警模式，确保设备故障信息不会被忽视或 遗漏遗漏 产品规格产品规格 型号型号 S2100S2100S2300S2300 硬件特性硬件特性 存储处理器存储处理器6464 位多核处理器位多核处理器 标配缓存标配缓存( (可扩展可扩展) ) 单控单控 2GB2GB、双控、双控 4GB4GB 控制器数量控制器数量 1 1 oror 2 2 标配主机端口标配主机端口( (可扩可扩 展展) ) 单控单控:2:2 个个 4 43Gb3Gb SASSAS 或或 2 2 个个 1Gb1Gb iSCSIiSCSI 双控双控:4:4 个个 4 43Gb3Gb SASSAS

55、或或 4 4 个个 1Gb1Gb iSCSIiSCSI 单控单控:2:2 个个 4Gb4Gb FCFC 或或 4 4 个个 1Gb1Gb iSCSIiSCSI 双控双控:4:4 个个 4Gb4Gb FCFC 或或 8 8 个个 1Gb1Gb iSCSIiSCSI 硬盘数量硬盘数量( (可扩展可扩展) )单控单控 4848 / /双控双控 9696 硬盘规格硬盘规格 SATASATA 硬盘：硬盘： 500GB/1TB500GB/1TB（72007200 rpmrpm） SASSAS 硬盘：硬盘：300GB/450GB300GB/450GB（15k15k rpmrpm） 硬盘密度硬盘密度2424

56、个个/ /框框 性能特性性能特性 主机连接数量主机连接数量( (可扩可扩 展展) ) 128128128128 LUNs(LUNs(可扩展可扩展) ) 51251210241024 RAIDRAID 特性特性 RAIDRAID 支持能力支持能力0 0、1 1、5 5、1010 等等 可靠性可靠性 冗余保护能力冗余保护能力 控制器、电源、风扇、控制器、电源、风扇、UPSUPS 模块、级联模块（硬模块、级联模块（硬 盘框）盘框） 热备盘热备盘全局热备、预拷贝全局热备、预拷贝 掉电保护掉电保护数据保险箱、一体化数据保险箱、一体化 UPSUPS 技术技术 主机兼容性主机兼容性 支持的操作系统支持的操作

57、系统 WindowsWindows、LinuxLinux、SolarisSolaris、HP-HP- UXUX、AIXAIX、FreeBSDFreeBSD、VMwareVMware 等等 软件特性软件特性 主机多路径主机多路径 UltraPathUltraPath（forfor Windows/Linux/AIXWindows/Linux/AIX）、）、 STMS(forSTMS(for SolarisSolaris）、）、PV-LinksPV-Links（forfor HP-UXHP-UX） 管理特性管理特性 管理界面管理界面WebWeb GUIGUI、CLICLI 等等 SANSAN 资源

58、管理资源管理LUNLUN 动态调整动态调整 故障告警故障告警 网管界面告警、声光告警、网管界面告警、声光告警、E-mailE-mail 告警、短信告警、短信 告警告警 远程管理远程管理 支持支持 WebWeb 远程登录模式、支持远程登录模式、支持 ModemModem 拨号连接，拨号连接， 命令行配置命令行配置 物理特性物理特性 电源电源ACAC 200V200V240V(50/60Hz),240V(50/60Hz), DCDC -48V-48V -60V-60V 功耗（控制框）功耗（控制框）单控：交流：单控：交流：725W/725W/直直单控：交流：单控：交流：725W/725W/直直 流：

59、流：625W625W 双控：交流：双控：交流： 828W/828W/直流：直流：728W728W 流：流：674W674W 双控：交流：双控：交流： 835W/835W/直流：直流：775W775W 功耗（硬盘框）功耗（硬盘框） 单控：交流：单控：交流：668W/668W/直直 流：流：617W617W 双控：交流：双控：交流： 680W/680W/直流：直流：630W630W 单控：交流：单控：交流：668W/668W/直直 流：流：617W617W 双控：交流：双控：交流： 680W/680W/直流：直流：630W630W 尺寸尺寸4U4U，175mm(H)*446mm(W)*175mm(

60、H)*446mm(W)* 600mm(D)600mm(D) 重量重量 不带硬盘不带硬盘 45Kg45Kg（控制框）；（控制框）；38Kg38Kg（硬盘框）（硬盘框） 4 4安全解决方案安全解决方案 4.14.1 安全体系层次设计安全体系层次设计 由于本次由于本次*电业局电业局属于新建系统，因此整个属于新建系统，因此整个*电业局电业局网络安网络安 全的需求是全方位的、整体的，相应的网络安全体系也是分层次的，全的需求是全方位的、整体的，相应的网络安全体系也是分层次的， 在不同层次反映了不同的安全问题。根据第三章中我单位对于安全在不同层次反映了不同的安全问题。根据第三章中我单位对于安全 的风险分析，