XX网络设计方案

1、XX网络组建建议书m.pL-tEck.izob广州市鹏龙计算机科技有限公司2011年5月目录TOC o 1-5 h z HYPERLINK l bookmark6 第1章用户需求分析31.1项目概述3项目需求分析3总体设计原则3 HYPERLINK l bookmark8 第2章组网方案建议6网络设计原则6 HYPERLINK l bookmark14 2.2组网设计7 HYPERLINK l bookmark18 2.2.1网络设计特点8 HYPERLINK l bookmark22 2.2.2网络出口设计8 HYPERLINK l bookmark24 网络核心层设计9 HYPERLINK

2、 l bookmark26 2.2.4网络接入层设计10 HYPERLINK l bookmark28 IP地址与VLAN规划10 HYPERLINK l bookmark30 网络管理解决方案11 HYPERLINK l bookmark32 网管管理的重要性11 HYPERLINK l bookmark34 网络管理软件要求11IMC管理平台12 HYPERLINK l bookmark60 第3章选用产品简介26路由器H3CMSR50-4026 HYPERLINK l bookmark66 防火墙迪普FW1000-GS-N35 HYPERLINK l bookmark68 核心交换机H3

3、CS7506E37 HYPERLINK l bookmark70 3.4接入交换机H3CS5120系列43技术方案技术方案XX网络组建方案第 页XX网络组建方案第 页马科BE第1章用户需求分析1.1项目概述XX网络建设一个“全千兆到桌面”的办公局域网络，并配备相应的网络设备，把网络建设成为一个高性能、高可靠性、高安全性的网络，在满足XX各类业务要求的同时，尽可能的符合当今网络发展的潮流，具备相当的先进性和可扩充、可升级的能力，满足后期的扩容需求。采用高性能的核心交换机，提高网络连接主干的带宽，充分考虑网络的可靠性、冗余能力、自愈能力，充分考虑当今网络系统面临的病毒、入侵攻击等不安全因素的影响，

4、充分考虑和其他的网络互通等多方面的因素，方案设计具有前瞻性，充分考虑将来网络能够满足向更高性能扩展的能力。12项目需求分析为实现XX的信息化，构建一个支持数据、语音、视频等综合业务传输、安全、可靠、高速的网络平台。本次XX局域网工程的建设目标是：网络整体采用二层结构，分别为核心层、接入层。核心层到接入层带宽应达到千兆级，网络要求实现千兆到桌，网络设备、防火墙设备可实现集中统一网管，保证全网设备的安全及可靠。网络性能应能实现高带宽、高数据分发速率，即使是视频业务、语音业务、图像监控、数据传送等业务全面启动，亦能满足易用、高服务质量、无阻塞等使用要求。整网还要具有可靠性、坚固性、良好的扩展能力、强

5、大的管理能力以及拥塞控制和服务质量保证等一系列良好的性能。13总体设计原则计算机网络系统设计必须适应当前XX各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在设计网络时，需要遵循以下原则：实用性和先进性采用先进成熟的技术满足大规模数据、语音、视频综合业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，马科BE使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。安全可靠性为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在

6、采用硬件备份、冗余等可靠性技术的基础上，在网络设计方案中要应用网络管理手段，保证接入网络用户身份的合法性；采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。灵活性和可扩展性计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据XX不断深入发展的需要，方便灵活的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。开放性和互连性具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上

7、真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。IP地址设计须遵循科技厅计算机网络TCP/IP地址编码规范；设备及端口模块、光网卡的选型须满足国内外相关的技术标准，并保证与业界主流的网络设备厂家的设备互联、互通。经济性和投资保护应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。可管理性由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必

8、须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。技术方案技术方案XX网络组建方案第 页XX网络组建方案第 页网络设计需要从网络的稳定性、可靠性、先进性、扩展性、高性价比、易用性等多方面综合考虑。第2章组网方案建议2.1网络设计原则模块化设计网络建成后不同的数据点实现不同的功能，除大部分办公数据点外，还存在连接数据

9、中心、网管/安全中心等，其功能的不同决定了不同的数据点对网络的要求和网络设计中考虑的因素不同。当某部分功能要求有所变化时，也只需要针对相应的功能模块进行重新设计和改造升级，对网络的其它组成模块和网络的主干没有任何影响。基于这些优势，xx的设计采用模块化的设计模式，目前主要考虑：核心交换模块、楼层接入模块、用户接入认证模块、安全模块等。高可靠性网络系统应具有高可靠性、高安全性。除了采用高可靠性的网络设备以外还应考虑物理层、数据链路层和网络层的备份。高性能在XX局域网络中，不仅要求网络主干是高带宽的，作为一个整体的系统，网络应具有可控的智能化的高性能。也就是说，网络中以太网(100M/lG/10G

10、bps)连接的节点之间的交换，不管它们的VLAN属性如何，我们都可以控制它在本地交换机交换或通过千兆以太网主干进行交换。可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。标准协议支持网络系统应支持标准协议IP，是一个开放型的网络，支持各种协议的互联。易管理、易维护网络系统需具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。安全性网络系统应具有良好的安全性。由于XX局域网为

11、多个用户内部网提供互联并支持多种业务，网络系统应支持多VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。此外，在接入网络的用户通过身份认证系统，防止用户帐户号、IP地址、MAC地址的盗用，保证用户身份的合法性。QoS保证当今网络中的多媒体的应用越来越多，这类应用对服务质量的要求较高。XX局域网应能保证QoS，以支持这类应用。由于网络中多媒体的应用，如VideoConference、可视电话业务等越来越多，往往会占用大量的带宽资源。所以网络系统应能支持组播业务，以节省主干的带宽。符合国际标准选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能

12、力，满足将来系统升级的要求。网络建设依据千兆光纤到桌面，千兆/万兆到核心互联的大原则；考虑充分的网络平台可靠特性和冗余特性；网络协议的标准性和充分的可扩展特性；充分考虑局域网安全特性；充分考虑网络的咼速和咼运行效率；充分利用现有网络线路资源；统一的网络管理。2.2组网设计对于XX办公的局域网网络，网络结构采用二层的结构，分别为核心层、接入层。如下图所示：技术方案技术方案?科BESM.(il-IMh.u*技术方案XX网络组建方案第 页XX网络组建方案第 页XX网络组建方案第 页网络拓扑结构图服务器妁怡服务器服务於群H3CS75U6E出丨丨区域:H3CS5I20InternetFWIOOn-GS-

13、NH3C!SR?n-40i核心区域接入区域！川户接入区域2.2.1网络设计特点网络设计采用双核心，二层网络结构配置二台核心交换机作为网络的核心交换节点。由于XX网络具有信息点地理位置比较集中的特点，建议采用二层网络体系结构进行网络规划建设。中心机房楼层的接入交换机就直接接入到核心交换机上。灵活配置网络架构，满足高性能的同时，节约投资。2.2.2网络出口设计一个良好的局域网其性能再好，也只能在局部区域发挥性能，互联网正在以其无穷的力量，在人们无尽的思维中发挥其浩瀚的力量。如今的网络出口，高速、稳定不是唯一要求，安全、可靠才是网络组建的重点。网络出口的设计一方面考虑能适应各种广域网的接入能力,再考

14、虑为内外网提供高性能数据转发能力。在出口连接处，我们首先建议选择一台H3C多业务路由器MSR5040,MSR系列路由器集数据安全、语音通信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本。该系列产品内置的硬件加密功能可以为中小型分支机构提供与总部安全的数据连接，MSR50也可以作为中小企业核心设备，承担公司广域路由、局域交换、IP语音、视频交互等综合应用。通过在单一平台集成多种网络功能，不仅能够减少业务扩展给企业带来的无尽投资，更能实现总部对众多

15、分支的统一管理和控制，免去了大量的运维成本，让企业在信息化进程中更具竞争力。再考虑内部办公网的安全问题，外部攻击及病毒感染问题，酒店办公更需和远程的地方进行VPN连接。我们在出口处还选择了一台迪普的FW1000-GS-N防火墙。FW1000防火墙是支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（AppicationSpecificPacketFiter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN

16、业务，如2TPVPN、GREVPN、IPSecVPN、动态VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。是办公网络应用安全网管的不错选择。2.2.3网络核心层设计网络核心层主要完成全网业务的高速交换和路由转发，对网络的可靠性、业务的支持能力和报文的转发性能都提出了更高的要求。在核心层，核心层主要是实现高速路由交换，我们建议采用1台高性能交换机H3CS7506E。S7506E万兆交换机，背板容量1.6T，具有6个业务插槽，S7506E万兆核心交换机采用Crossbar体系结构所有端口均线速转发。提供千兆光、电口业务板，

17、采用千兆双绞线或SFP接口下连至楼层的汇聚或接入层交换机。同时，该75E系列交换机支持丰富的软件特性：支持IPv6协议（包括IPv6的路由协议、组播协议、AC协议等等），可以完全兼容下一代互连网即IPv6网络；支持业界最丰富的高性能AC（双向AC、自反AC），能够非常灵活的对企业内各种业务进行控制。而且，75E系列交换机支持双主控、双电源，支持单板热插拔，具有极高的可靠性，这样可以保障各个汇聚点的可靠性。2.2.4网络接入层设计本网络的接入层交换机位于网络的二/三级，是最终用户被许可接入网络的点，一方面要求和核心层、汇聚层保持高速可靠连接，另一方面汇聚了大量的接入终端设备，该分层能够提供多重绑

18、定功能的进一步控制；该分层的主要功能是为最终用户提供网络接入。在接入交换层，有多种产品可供选择，为了便于网管及日后维护，发挥网络应有的功能和最佳性能，我们推荐采用性价比极高的H3CS5120系列交换机产品。H3CS5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。2.3IP地址与VLAN规划ip地址空间分配，要与网络拓扑层次结构相适应，既

19、要有效地利用地址空间，又要体现网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表路由数量，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，降低网络动荡程度，隔离网络故障，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个ip网络中不能有两个主机采用相同的ip地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保

20、证地址叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。核心层交换机和汇聚层交换机都采用三层交换机的，由于VLAN属于局域网特性，在跨越三层IP设备（路由器或交换机）时，VLAN将被终结，理论上这两个区域的VLAN规划可以完全独立，但是出于管理便利，建议在整个局域网中所有VLANID统一分配。技术方案技术方案XX网络组建方案第 页XX网络组建方案第 页马科BEVLAN的划分需参考IP地址的规划，在局域网内部，将VLAN与IP子网对应，在同一功能区域，IP子网连续的地方，VLANID以同样规律保存连续。不同VLAN之间是链路层隔离了，所有链路广播报文都是在

21、一个VLAN内部广播的，不会扩散到VLAN之外。VLAN之间的互访必须在IP层进行，可以通过访问控制列表AC(Accesscontroist)进行控制。在IP设备上，将VLAN终结，每个VLAN对应一个IP子网，该VLAN对其它IP子网的访问控制可以在VLAN所对应的IP逻辑接口上通过AC配置实现。2.4网络管理解决方案2.4.1网管管理的重要性网络管理工具是保证网络正常运转，业务正常运行的必备的工具，通过网络管理软件不但能够及时发现网络的问题，对网络的变化做出迅速的相应，而且可以通过网络管理工具对整个网络进行优化，达到充分利用网络资源的目的。利用网络管理系统提供的专业管理功能，XX的网络管理

22、员需要实现对整个网络从物理链路到上层复杂应用和业务的分层次集中管理，进而提高网络的可管理性和运行的稳定性，缩短XX在提供新业务时的开通周期。通过简化网络管理流程，提高管理员的工作效率，网络管理系统还将帮助XX降低网络的运行成本。网络建设成后的管理、维护工作将是一个任重道远的工作。因此建议XX采用一套图形化管理界面的网管软件实现全网的统一管理。2.4.2网络管理软件要求XX办公网络系统有其自身的显著特点，如网络规模较大，设备类型和所提供服务复杂,网络的可用性要求高等等。因此XX办公用户对其网络管理系统也有很高的要求，不但要求能管理网络中的所有设备、服务，还要符合电信标准并能适应其网络规模，并提供

23、极高的系统和管理稳定性。针对XX用户的上述网络管理需求，管理系统在管理特性上具有下列特点：1基于公共的管理框架。为便于管理系统各功能模块间进行管理信息的共享和数据交换，所有管理体系中的其它管理工具和模块都与之进行集成，由其作为整个管理系统的支撑平台。W.Kl-lahh.LL*技术方案W.Kl-lahh.LL*技术方案技术方案XX网络组建方案第 页XX网络组建方案第 页XX网络组建方案第 页2模块化设计。包含了一组提供不同管理功能的管理工具，各管理工具即可以独立工作也可以通过集成共享管理信息。在网元设备管理层，通过选择集成在其管理框架上的不同网元设备模块，网络管理员可以管理网络中的任何网元硬件设

24、备。在服务和业务管理层，网络管理员可以通过选择不同的管理模块实现网络容量规划管理、配置管理、故障管理、性能管理和计费管理等一系列管理功能。这种模块化设计保证了用户可以根据自己的管理需求构建最符合要求的管理系统，节省用户的投资。3高系统强壮性。管理软件自身具有良好的系统强壮性，符合XX用户对管理系统高可用性的要求。4优秀的规模可扩展性。管理服务器不但支持单机中央处理模式，也同时支持多服务器分布式处理模式，并能实现从中央处理模式向分布式处理模式地平滑过渡。可保证网络管理系统能适应用户网络规模的增长。5高容错性。管理系统中的管理工具都支持双机主备工作方式，当主管理服务器出现故障时，备用管理服务器可以

25、接管主服务器的管理职能，保障管理系统的不间断运行。6支持多种网络和设备管理标准。在网络层支持SNMPV3管理标准。7提供安全认证和用户分权的管理机制。管理员首先需要登录才能使用管理系统对网络进行管理，这样就保证了只有拥有合法授权的管理员才能使用管理系统。同时可以利用管理系统的管理员分权机制，定义每一个登录的管理员所拥有的管理权限，进一步确保每个管理员只能管理他职责范围网络络资源。2.4.3imc管理平台建议XX采用H3CIMC管理平台，提供对网络的统一管理。企业IT环境由IT基础资源、IT业务以及IT使用者（人）三大要素构成。市场上常见的网络管理、用户管理软件各自发展已经较为完善，但网络管理软

26、件仅关注于网络设备资源的管理，不能涵盖网络用户资源的管理；而用户管理及接入控制软件往往缺乏与网络资源管理、业务管理的融合，导致管理手段单一、管理力度不足、管理操作复杂。企业迫切需要一种管理系统，使得用户、网络、业务统一管理、互相协同、操作简便、满足多种接入场景所需。iMC智能管理中心平台所提供的功能就可满足上述管理需求。iMC智能管理平台，是在统一了设备资源和用户资源管理的平台框架的基础上，实现的基础业务管理平台，包括iMC基础网络管理和iMC基本接入管理。iMC基础网络管理，涵盖了传统网管的主要功能，包括告警管理、性能管理、拓扑管理等。iMC基本接入管理，主要管理用户的接入准入和控制。iMC

27、智能管理平台和AC、Qos、VLAN等网络资源管理一起构成了承载其他业务的基础平台。iMC平台的基本资源管理管理特性主要包括集中化的设备资源和用户资源管理设备和用户的统一分组管理丰富的设备资源管理能力集中化用户业务信息管理针对每种业务都具有不同的管理动作用户管理与网络设备管理相融合系统管理和完备的安全策略良好的可扩展性和组件化设计iMC基础网络管理特性主要包括丰富、实用的网络视图多样化的网络拓扑智能的告警显示、过滤和关联直观的状态监控性能管理用户管理与网络拓扑管理相融合iMCACM组件特性主要包括：支持多种接入及认证方式严格的权限控制手段详尽的用户监控集中方便的用户管理灵活的业务及运行环境参数

28、调整接入设备配置与ACM组件的协同为接入设备提供查询设备明细信息的链接接入设备管理与拓扑管理的融合技术方案技术方案技术方案XX网络组建方案第 页XX网络组建方案第 #页XX网络组建方案第 页5鹏_空IMC产品特性如下:基本资源管理部分集中化的设备资源和用户资源管理，提高管理效率设备視團快盟6路日器巨云兰网关工$语音设备同=C|E1殘机5打印机00耳他寸WF服卿斤绘垃备1.PS：0須亦时用户在域趋劳国6O.M00.00020.MO、0-IX.A61D12时阖141B182S2201）对H3C、3Com、华为、Cisco各厂家网络设备的分类和识别；对设备状态和基本信息的管理，不仅包含了设备的基本信

29、息、接口信息、性能数据和告警信息，同时还可以在增加其他组件的情况下显示扩展后的业务信息；2）与业务无关的用户基本信息的统一维护，这些基本信息是独立于业务的，包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组；并提供用户附加信息管理功能，管理员可根据网络运营的习惯进行用户信息定制，如学校可以定制学号、年级等信息，企业可以定制部门、职务等信息；3）支持对设备访问参数的批量配置和校验，提供对网络设备资源的查找、修改、删除和批量导入和导出功能；提供用户的批量管理功能，包括：批量修改用户附加信息、批量注销用户，以及批量用户导入功能，节省操作员录入时间；设备和用户的统一分组管理1）支持设备和用户分

30、组功能，通过对设备资源和用户进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离；2）可以设置每个用户分组所对应的接入业务服务名，这样，在给用户配置服务的时候，只有归属于这个服务所属的用户组的用户，才能配置该服务；丰富的设备资源管理能力1）能够通过自动发现和手工添加方式增加网络设备资源；自动发现支持多种方式，除了简易的种子发现方式外，还支持路由方式、ARP方式、IPSecVPN方式、网段方式发现网络设备。选择自动覧現方式以路由方式发现通过设备路由表自动搜索可管理的网络设备口O以阳p方式发现通过设备ARP表自动搜索可管理的网络设备.OIIPSecVPM方式发现illPSecVPN

31、自动崔索可管理的网路设备O以网段方式怎现按F网段发现只需设置要发现的网段地址范围，不需种子设备.2）支持设备面板管理，所见即所得的显示设备的资产组成和运行状态;3）支持对设备的管理/去管理，接口的管理/去管理，接口信息的显示和接口的UP/DOWN配置；集中化用户业务信息管理，便于针对用户做统一资源部署4）目前iMC中具有两种与用户相关的业务一一FTTX业务、接入业务。iMC所提供的统一化的用户管理平台，可针对单一用户的多种业务进行信息集中管理、技术方案技术方案科毡.|ilIritisix*技术方案XX网络组建方案第 页XX网络组建方案第 #页XX网络组建方案第 页维护;用户用尸舌連_X11.-

32、&動I.-HI百用P年用pfaaiiSB同？.m掛q；：丰：SAH户囹&S-耳P5US畐三吧：.刊芒.二I-+Vr5tjffAiftsnlS丞认证失收日志且玄入明细黑安全-!*心儿w.：?.-圈如i归r“止rl.1*沪YI-!-_-T1111-1曲用户用户5）提供集中化用户业务信息管理的同时，每种业务对应的用户视图也提供很方便的用户信息维护、业务信息维护功能：18尸肯理泮州尸基車疽E：*Ir-nm-=筲寸习.L芳审习.L露改.7511=HIIFF网川fflfeft用户韭苦电子*姑iedOOi证件吕玛rtta用户分姐SAS户很田s:IrrriSAE3轨王活mm!.“菲aisAig*毛i7司*玉-

33、+-IR号宓朮许川尸怀5晤已氏建口期EA-MWH4-&霞录1示右辽8AKS-|:m2不鴨-r户改登亲淒悻改誉玛A-SESTHffla1&.很后!S:=.：21Iadlieadlvgad82i入邊誓娣丰肯宜克击接人用户列歪”后送拇臬于用户点击，之后海岀现右边财界商针对每种业务都具有不同的管理动作，在集中化用户管理的同时提供高度的业务管理灵活性提供独立于业务的用户管理动作，做到用户基本信息的集中化管理，减轻操作员维护量：动齐nil-X注销I討LSTEFi/R=AFHliuan*ffl户惬改書珂AfifflJB户密玛控制茉酩彌日期不PR下塗畫录第桂改誉码-hK=Ali-?iS3S.技苕尸我eadlK

34、1独亢于业需时动作占丹二斗每种业务都能具有自己特定的用户管理操作，确保在集中管理用户信息的同时,又能确保每种业务特定的管理操作:用户基率首R县压恰Jfe用户壮瞎I社鬥耳码適績比it电话电T*fTmuI.*蒂入业初地的菅理动作接入信煜it号容liuan*wfflptteraA启用罔户空码竝制K喈*BI期不限Ek国晋MK不陀芥钱報旱阻制舅豈帀打袪片富J:三試昭用户管理与网络设备管理相融合，用户管理操作更加简单1）接入设备列表中可以直接看到用户相关信息，在使得操作简单方便的基础上,又提高了操作员日常维护的效率：技术方案技术方案XX网络组建方案第 页XX网络组建方案第 页护血卑Fm所育用户誌用尸附加信

35、息嚴Itfi挟惟踊入用尸TftSlPW不宝全阳户總不总安星J戸数如牆佬录岁附輛-9,弟m虱-3850510876摄皿户机国1015:39.2232A(s.a1D15ZBS.44411SA.S晶瘙A炜尸列丟$在爲用戶別眉毘漏名単用F二LDFB.SBCB50505M.诂389.6Sfi5Q5E5G5Q51015389.810.15389.945&565点击携入设备列表，即可看到相E捞上懺备听时应前用户慣衣3B715SA.E325311232：:：lEA.EftAfa.g3A.f*.e507162）可针对选定的接入设备进行用户操作，比如，针对某个接入设备，将其所挂的用户全部下线处

36、理等；3）可以在在线用户列表中通过点击接入设备，直接查看当前在线用户所对应的接入设备的详细信息，比如，对应的基本信息、告警、性能状况等。该功能使得操作更友好，全面提升操作员的操作体验;接氏用户枫阳口zHkal知雄弁抗州瑚霸瞬AJ長劳昂二ttfflF1一I旦击征线用户列去之后擀卫I一r-r-|以看到在疑用户、对应博讣：点匸氓备龙斤，轧可臥看封设戏圧帘信貝服务2007-01-2412：23：212007-01-2412：23：212007-01-2512：2：2115D&山小吋赳,W18P0inr出3FK：SAE询loaf爆執Bffifl贰识禺F”2007-01-2312：2：21-SB5DDj-

37、I-F:5：j-I-F:涉E；=-.10I-E!-;83526JOI-E.-;H3&IHC粕|FTT绷户刑园岳卜：+syslKiSIPMM掩码412D2000严臺Udi于天的可盛畢基础网络管理部分（NME）丰富、实用的网络视图具备丰富的视图功能，使得管理员可以从多个角度观测和管理网络。1）通过IP视图，用户可以观测网络的逻辑结构和物理结构。2）设备视图，使得用户对网络中设备类型和数量一目了然。3）自定义视图，使用户可以按照任何希望的方式构造客户化的网络拓扑。并提供技术方案XX网络组建方案第 页XX网络组建方案第 页目足七Ij-I*Hei=；jtiii=；f-i=；wi=i：;i-:r-.：.j

38、ir-.：-.r-.：hJi.r-.：-!i”i:-t6e：i：I4?I|FP|flP#眼勰I-：ni-th琬圮1自EMt图HI搭dHtitesI匚111r=iI匚.；：/Mr-.：-i世石壬-r-Of.-J.j.-.EQ直卫-O二费彦eCO空空曲.-j.):.：s:iiG)O&Q0OO00GftGO00000GOO：i:.:-石幽“旨&0Q沪钞GOPD橹尊dOGO0窃於-:49-4500翰0尊-I：:：000&如匕呼。审皙uW穆打。审审啓如心&护色总橹总也0审Inqpp-G0Q99PPQ0GQ9O0PPQ0OQ9Q90P000Q999(L,3心牟畢”F.II：.II-.直观简便的预览功能，集

39、中监控用户关心的重点设备和接口的状态。|【P|5并心ID.mMLLS3L3.5.E.Q|Quxis刼皿ID.m10.i53.冊.肌対:IL153別.術E10.153OT.EE110.153S3ISil1GB.JI0|JF：SSRHiirra实堆运nns总百購屁时冈血寸邊醫:r可直比例Ctl1S13ElD.d5SMLSfl正乍Inifeigon多样化的网络拓扑拓扑更加美观清晰，能够实时实时显示当前视图的拓扑状态。通过在拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息，管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视，拓扑上提供了常用的Ping、tenet、TraceR

40、T、打开设备Web网管和管理/不管理设备等常用操作和相关链接，拓扑可以作为管理员管理网络的唯一入口。1）提供完整的IP拓扑、二层拓扑、邻居拓扑，能够显示接入设备上的接入情况。2）用户可以根据实际组网情况，定义自己关注的自定义网络拓扑。3）在安装了其他组件的情况下，拓扑会增加相应的业务拓扑和操作链接，以满足不同业务的需求。技术方案智能的告警显示、过滤和关联1）提供丰富的声光告警，还可以针对不同的告警定义不同的操作提示以及维护参考等;屮确认MttP.T堡I炉件才芒i阳ID32083田14E：NMSDeviceDescnptiDnQuicNvay虽近昭的告警当髻级别I当警详细怯息20D7-05-23

41、1454512）汇总显示发生故障的设备，方便管理员日常维护工作的开展。存在故障的设备列表刷新共有存在故陣的设备QuidwayXLOGSERVERwulihong_0.aa(37)(3)(31)3）提供重复告警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤，可以有效压缩海量网络告警，使得管理员直接关注真正的网络故障。4）在安装其他组件的情况下，还提供基本告警和业务告警的关联，在基本告警发生后，系统进行关联分析，自动产生业务告警。管理员即可根据基本告警从而迅速定位问题，缩短平均修复时间。又可根据业务告警，分析出受影响的业务,为网络的现状评估和优化提供数据基础。直观的状态监控与传统的网

42、管告警和拓扑状态互相分离做法不同，使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上，用户仅需要查看拓扑，即可知道网络的整体运行状态。性能管理1）提供了对系统所管理的各种设备性能参数的公共监视功能，比如内存利用率、CPU利用率、设备不可达率、设备响应时间和接口性能数据等。2）可对每一个性能指标设置二级阈值，发送不同级别的告警。用户可以根据告警信息直接了解到设备某指标的性能情况，有助于用户随时了解网络的运行状态，预防网络故障，预测网络发展趋势，合理优化网络。3）通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息，通过报表的导出和打印功能，管理员能够迅速将网络

43、状况汇总数据上报给各级领导，为网络的决策提供有利的支撑。用户管理与网络拓扑管理相融合科毡科毡技术方案XX网络组建方案第 页XX网络组建方案第 页XX网络组建方案第 页在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。接入部分（ACM）支持多种接入及认证方式，适合多种接入组网场景及应用场景：1）支持802.1x、VPN接入、无线接入等多种认证接入方式；2）支持PAP、CHAP、EAP-MD5、EAP-TS、PEAP等多种身份验证方式，适应不同安全要求的应用场景；3）支持用户与设备IP地址、接入端口、VLAN、

44、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止账号盗用和非法接入；4）支持与Windows域管理器、第三方邮件系统（必须支持DAP协议）的统一认证，避免用户记忆多个用户名和密码。5）支持端点准入防御（EAD）解决方案，确保所有接入网络的用户终端符合企业的安全策略。严格的权限控制手段，强化用户接入控制管理：1）基于用户的权限控制策略，可以为不同用户定制不同网络访问权限；2）可以控制用户的上网带宽（QoS；802.1x认证支持）、限制用户的同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用；3）支持最大闲置时长限制；4）可以实现对用户AC、VL

45、AN的控制，限制用户对内部敏感服务器和外部非法网站的访问（802.1X认证支持）；5）可以限制用户IP地址分配策略，防止IP地址盗用和冲突；技术方案6）可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网；7）可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露；8）可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性；FnrilSL.W&厂启用证钿.证JiiEiE书晏S1c池IRiMtKBPS厂宙定用户隔匸地址労爼用耳最狡球启目和创剽Eifl录井耳強最科脱怪r-ffipcassp*厂摇用代理岷势蹬耒勺笔详尽的用户监控，强化对终端用户的监视控制：1）接入业务

46、组件提供强大的“黑名单”管理，可以将恶意猜测密码的用户加入黑名单，并可按MAC、IP地址跟踪非法行为的来源；2）管理员可以实时监控在线用户，强制非法用户下线；3）支持消息下发，管理员可以向上网用户发布通知消息，如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等；4）iMC接入业务组件记录认证失败日志，便于方便定位用户无法认证通过的原因；集中方便的接入业务用户管理，简化管理员维护操作1）基于服务的用户分类管理，用户的认证绑定策略、安全策略、访问权限均封装于服务中，简化管理员的操作，保证网络管理模式的统一；2）接入用户相关的管理动作集中化，界面对操作员来说更友好、

47、更美观易用：科苗1A.p-llhh.LL*技术方案科苗1A.p-llhh.LL*技术方案科苗m.Ed*技术方案XX网络组建方案第 页XX网络组建方案第 #页XX网络组建方案第 页AR9动作lESt允许用户修改密码启用用户亶码控制黄略畑a日期s_kras时丧基录盟示信且疫A.JK务不限不限F枚豆录瀆修改巒码在飙甄呈限制X口肖转移:寸辽LJ怜忙瓦三疔旦眼矢后最石接厶煌前柞東中化体现。期果用户在纬肝蕊此址还会爭岀在绒处理弗关新川F，也n强制rr线零WANID终盂绑定佶总詰n号FLTffllP.MAC灵活的业务及运行环境参数调整，适应不同的运行及应用环境1）系统参数配置，系统提供业务相关的常用参数信息

48、配置功能；2）策略服务器参数配置，提供策略服务器及安全管理相关的参数信息配置功能;3）运行参数配置，提供系统运行环境相关的路径、数据库属性等基本信息的能;4）证书文件配置，提供证书认证配置信息功能；5）用户提示信息配置，提供给用户的相关提示信息配置功能；6）客户端自动运行任务配置，提供配置客户端认证后自动运行相关程序的配能;7）用户密码控制策略配置，提供配置用户密码的控制策略配置功能；接入设备配置与ACM组件的协同，使得针对接入设备的管理操作更加简单化，便于快速部署及开通业务接入业务：1）选定接入设备后，可直接为此设备进行AC配置；同时，在接入设备列表中,可查看其对应的AC部署信息；祓哥ipt

49、fc吐从iSSmo|si%俺蘆iKSACL顧立即生散-_-芒有竦怩录当洲勒-5.1113J.基页星示；利巧Iso100200厂邊备容聊jisowQuidxS650iuidwayhuswei设备富1设备IFH址设毎型呂共有1亲偲象.QUlChWSG50ER10/1537.39HuaweiS6506RI设备IF地址-畏帚下甘|腐肖为接入设备提供査询设备明细信息的链接，操作简便:1）可以通过简单的鼠标点击即可看到接入设备的详细信息，比如，对应的基本信息、告警、性能状况等；接入设备管理与拓扑管理的融合，使得设备管理更简单，管理更方便：1）拓扑中可以清晰的显示出接入设备，并能查看接入设备相关信息，并可以

50、通过很简单的鼠标点击方式，将此接入设备设置为非接入设备。技术方案技术方案科毡技术方案XX网络组建方案第 页XX网络组建方案第 #页XX网络组建方案第 页第3章选用产品简介3.1路由器H3CMSR50-40MSR(MultipleServicesRouters)多业务开放路由器是杭州华三通信技术有限公司(以下简称“H3C”专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件结构与硬件平台，能够在最小的投资范围内为企业边缘网络提供一体化解决方案，更能充分满足未来业务扩展的多元化应用需求，符合企业IT建设的现状与趋势。企业信息架构正在由C/S模式向B/S模式转变,MSR具备高数据

51、转发能力与高加密能力，很好的解决了转变过程中凸现的网络带宽压力与安全隐患，保障企业关键业务流可以高速、机密的通过广域网传输。MSR集数据安全、语音通信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本。针对企业用户日益个性化的应用需求，MSR领先集成了可以定制开发的高性能开放业务平台，任何人都可以基于该平台开发自身需要的高级网络业务，企业用户只需安装软件便能在网络中方便的部署相应业务，节省了购置各类高昂专用网络设备的投资。MSR在突破性提高数据处理

52、能力与插槽扩展性的同时，还能完全兼容原AR系列的硬件模块与软件功能，为客户提供了最为经济的网络升级方案。MSR产品包括MSR50、MSR30和MSR20三个系列。H3CMSR50系列多业务开放路由器包含MSR50-40和MSR50-60两款设备，该系列产品可以为大型分支机构提供高性能、多业务的一体化网络方案，也可以作为大中型企业的核心网络设备，完成数据、语音、视频等多种流量的广域网交互。MSR50针对安全数据连接进行设计，采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎，大大提高产品的数据加密性能，同时节省接口插槽oMSR50在提供高质量数据业务转发的同时，还提供了强大而灵活的VoIP解

53、决方案，客户可在单一平台上为其分支机构灵活地部署程控交换机、模拟电话和IP电话，降低网络运维成本。另外，MSR50系列路由器还通过集成以太网交换模块提供二层数据交换功能，实现了真正的路由交换一体化解决方案。MSR50系列产品采用H3C成熟商用的软件操作系统，提供丰富的QoS特性，全面支持IPv6，同时大大地增强部署MPLSVPN业务的能力。MSR50采用OAA(OpenApplicationArchitecture)开放应用体系架构，产品提供了一个公开软硬件接口及标准规范的开放平台,任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能，以形成业务定制、优势互补、深度集成、合作共赢。

54、图1-1H3CMSR50-40路由器先进的硬件体系架构MSR50系列路由器在硬件设计方面充分地考虑到集成综合业务的需要，采用了先进的N-Bus多总线设计方案，语音、数据、交换、安全四大业务分别经由不同的总线，由专门的协处理引擎并行完成处理，消除总线和CPU性能瓶颈，大大提高了该系列路由器集成的多业务部署和实施能力。可满足企业网络内部多种高质量并发业务无缝集成、完美融合。技术方案技术方案科苗BWk.pl-IMh.U*技术方案XX网络组建方案第 页XX网络组建方案第 #页XX网络组建方案第 页CPU理杵加童引肇系统故据内部专用it第系统GE/FE接口高速内部交换数据交换专有引華语音编解码协址理匚|

55、擎高速硬件加密引華图1-2MSR系列路由器N-Bus体系结构多业务集成并发能力集成安全业务安全已经成为网络的基本功能，由于安全性需要内嵌于整个网络之中，因此路由器在网络防御战略中起着重要作用。MSR50系列产品提供专门的安全数据连接设计技术，采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎（NDE）,通过硬件的方式大大提高数据加密性能，保证转发和加密同步高性能，同时节省接口插槽。MSR50提供了丰富的安全功能，包括Firewall、IPSecVPN、MPLSVPN、CA、SecureShell（SSH）协议2.0、入侵保护、DDoS防御、攻击防御等。集成语音业务MSR50系列路由器采用了

56、全新的硬件语音设计方案，提供了FXS/FXO/VE1/VT1等各种语音接口类型，支持H.323、SIP等主流的语音通讯协议，实现了紧急呼叫/掉电求救/拨号策略/传真/E-PHONE等各种语音业务。MSR50提供TDM交换能力，使用户的TDM交换在本地完成，大大节省网络资源的同时，使本地话音的接通率和通话质量完全达到电信水准。MSR50系列路由器还支持高密度模拟语音模块：FIC-24FXS和DFIC-24FXS:24FXO,并通过支持FXS和FXO接口的1:1绑定功能及DFIC-24FXS:24FXO单板的断电逃生功能，大大提高了路由器产品的语音部署的灵活性和组网能力。集成数据交换MSR50系列

57、提供灵活扩展的以太网交换模块，支持丰富的二层交换特性，极大地满足了企业对于路由交换一体化组网方案的需要。多业务线速并发MSR50系列路由器将全新的硬件架构和结构化的软件系统有机结合，可以为用户提供集成数据、安全、语音、视频以及各种上层应用业务的服务，满足用户现有的以及未来的互联网应用，而且路由器的原有数据传输性能丝毫未受影响。开放式的增值业务平台MSR50基于OAA（OpenApplicationArchitecture）理念设计，创新性的推出了对外开放的业务平台。该平台提供了一套完整、标准的对外接口（API接口）。厂商与合作伙伴均可以在此平台上直接开发各类高级功能（例如应用层攻击抵御、网络病

58、毒防护、多媒体集合通信、Web优化与加速等），用户只需安装开发出的软件，便可以将上述业务与MSR50无缝融合，为日渐细分的个性化需求提供完整的解决方案。成熟商用的操作系统MSR50系列采用了华三公司成熟商用的多业务、可扩展、组件化的先进操作系统平台，全面支持IPv6,并支持完善的MPLSVPN功能满足各种组网需求。完善的下一代IP协议解决方案IPv6作为下一代网络的基础协议以其鲜明的技术优势得到广泛的认可，MSR全面支持IPv4/IPv6双协议栈，支持通用的IPv4路由协议、IPv6路由协议、组播路由协议和静态路由。MSR提供了丰富的IPv4向IPv6过渡方案，包括双栈技术、隧道技术、地址转换

59、技术（NAT-PT）和MPLS6PE技术。领先的MPLS流量工程解决方案MPLSTE结合了MPLS技术与流量工程，通过建立到达指定路径的LSP隧道进行资源预留，使网络流量绕开拥塞节点，达到平衡网络流量的目的。在资源紧张的情况下，MPLSTE能够抢占低优先级LSP隧道带宽资源，满足大带宽LSP或重要用户的需求。同时，当LSP隧道故障或网络的某一节点发生拥塞时,MPLSTE可以通过备份路径和快速重路由FRR（FastReroute），提供瞬时恢复保护。安全灵活的VPE功能VPE（VPNPE）是一种特殊的PE,它和CE之间的连接方式不是传统的DDN/E1/POS/ETH/PVC等专线技术，而是IPS

60、ec/L2TP/GRE/UDPVPN等隧道技术。VPE完成IPVPN与MPLSVPN的融合，在网络边缘实现网络资源的逻辑划分及安全隔离，核心网与边缘网络形成了一个整体，实现了端到端的VPN功能。简单便捷的网络分析工具NQA（网络质量分析）是测量网络上运行的各种协议性能的一种工具。它可以实现端到端的网络状况监测，包括时延、抖动、丢包率等。不仅能使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间，从而判断目的主机是否可达，还可以探测DLSw、DHCP、FTP、HTTP、SNMP服务器是否打开，科毡技术方案科毡技术方案M科毡aaa,|il-IririXix*技术方案XX网络组建方案第 页