银行网络数据中心设计方案

1、傲2、系统设计总鞍体方案扳XX按银行敖全国拜数据集中工程哀霸颁矮罢癌伴拌埃半捌霸目 录TOC o 1-3 u扒第1章板 前言斑 PAGEREF _Toc120435006 h 阿5傲第2章碍 概述艾 PAGEREF _Toc120435007 h 半6半第3章跋 网络设计原则般 PAGEREF _Toc120435008 h 俺7巴第4章袄 总体架构设计阿 PAGEREF _Toc120435009 h 败8板4.1爸 结构设计按 PAGEREF _Toc120435010 h 伴8板4.1.1唉 结构设计策略百 PAGEREF _Toc120435011 h 芭8矮4.1.2安 分区模块设计

2、稗 PAGEREF _Toc120435012 h 阿8扳4.1.3疤 分层设计绊 PAGEREF _Toc120435013 h 暗9颁4.1.4笆 物理部署设计皑 PAGEREF _Toc120435014 h 奥10氨4.2耙 上海全国数据捌中心局域网拓朴柏 PAGEREF _Toc120435015 h 疤10背4.扮3搬 网络核心层靶 PAGEREF _Toc120435016 h 般11八4.4吧 生产区扮 PAGEREF _Toc120435017 h 岸12斑4.5隘 运行管理区版 PAGEREF _Toc120435018 h 败13芭4.6背 MIS摆区案 PAGEREF

3、_Toc120435019 h 耙14艾4.7阿 广域接入区伴 PAGEREF _Toc120435020 h 碍15罢4.8笆 OA败接入控制区胺 PAGEREF _Toc120435021 h 暗15稗4氨.9阿 生产外联疤 PAGEREF _Toc120435022 h 叭16癌4.10把 设备选型推荐罢 PAGEREF _Toc120435023 h 挨17盎4.10.1吧 S8500埃简介绊 PAGEREF _Toc120435024 h 按19耙4.10.2霸 AR28-8罢0安简介摆 PAGEREF _Toc120435025 h 耙24按第5章疤 服务器接入设蔼计安 PAGER

4、EF _Toc120435026 h 芭28芭第6章矮 VLAN笆和盎Spannin白g Tree隘设计百 PAGEREF _Toc120435027 h 肮29八6.1吧 VLAN办简述翱 PAGEREF _Toc120435028 h 靶29埃6.2捌 VLAN鞍注册协议（啊GVRP矮）矮 PAGEREF _Toc120435029 h 癌29奥6.3袄 VLAN拔设计霸 PAGEREF _Toc120435030 h 懊31氨6.4扮 STP皑设计耙 PAGEREF _Toc120435031 h 挨31绊6.5捌 VRRP奥 PAGEREF _Toc120435032 h 岸33拜第7

5、章瓣 IP捌地址设计盎 PAGEREF _Toc120435033 h 芭34半第8章拌 路由选择和设巴计般 PAGEREF _Toc120435034 h 摆35巴8.1爸 路由协议选择氨 PAGEREF _Toc120435035 h 罢35埃8.2澳 路由边界叭 PAGEREF _Toc120435036 h 笆35暗8.3斑 路由协议设计矮（罢OSPF班）笆 PAGEREF _Toc120435037 h 坝36癌8.3.1袄 OSPF A拔rea挨设计拌 PAGEREF _Toc120435038 h 案36霸8.3.2斑 OSPF P坝rocess 拔ID挨 PAGEREF _To

6、c120435039 h 八37佰8.3.3板 OSPF R鞍outer I败D奥 PAGEREF _Toc120435040 h 哀38巴8.3.4哎 OSPF敖链路安Metric摆 PAGEREF _Toc120435041 h 坝38碍8.3.5半 OSPF M稗D5按认证败 PAGEREF _Toc120435042 h 袄38罢8.3.6白 选路规划氨 PAGEREF _Toc120435043 h 斑38背8.4斑 静态路由扳 PAGEREF _Toc120435044 h 捌39癌第9章爱 QoS矮设计扳 PAGEREF _Toc120435045 h 叭39靶9.1熬 QoS颁

7、服务模型佰 PAGEREF _Toc120435046 h 瓣40哎9.1.1叭 Best-E伴ffort s半ervice盎 PAGEREF _Toc120435047 h 扮40霸9.1.2爱 Integr捌ated se般rvice瓣 PAGEREF _Toc120435048 h 挨40绊9.1.3拔 Differ般entiate傲d servi皑ce败 PAGEREF _Toc120435049 h 板41袄9.1.4伴 服务模型选择办 PAGEREF _Toc120435050 h 傲41哎9.2跋 QoS班实现技术按 PAGEREF _Toc120435051 h 板42疤9.2

8、.1扳 报文分类矮 PAGEREF _Toc120435052 h 暗42把9.2.2扮 拥塞管理霸 PAGEREF _Toc120435053 h 熬42耙9.2.3百 拥塞避免板 PAGEREF _Toc120435054 h 安43搬9.2.4肮 流量监管和整邦形八 PAGEREF _Toc120435055 h 耙44哀9.3白 农行数据中心唉QoS翱设计绊 PAGEREF _Toc120435056 h 颁44坝第10章办 可靠性设计版 PAGEREF _Toc120435057 h 碍46爸10.1唉 可靠性概述瓣 PAGEREF _Toc120435058 h 绊46柏10.2爸

9、 设备级可靠性背设计芭 PAGEREF _Toc120435059 h 柏48板10.2.1氨 引擎（含主控岸及交换网）耙 PAGEREF _Toc120435060 h 霸48板10.2.2绊 电源鞍 PAGEREF _Toc120435061 h 扒50瓣10.2.3奥 模块和端口斑 PAGEREF _Toc120435062 h 盎51扳10.2.4翱 系统软件哎 PAGEREF _Toc120435063 h 哀54罢10.3挨 链路级可靠性拔设计邦 PAGEREF _Toc120435064 h 氨55爸10.4伴 网络级可靠性啊设计奥 PAGEREF _Toc120435065 h

10、 罢56碍10.4.1啊 拓扑冗余鞍 PAGEREF _Toc120435066 h 艾56罢10.4.2胺 网关冗余板 PAGEREF _Toc120435067 h 耙59笆10.4.3拜 路由冗余拔 PAGEREF _Toc120435068 h 隘60八10.5胺 应用级可靠性蔼设计扒 PAGEREF _Toc120435069 h 跋61颁第11章挨 网络安全安 PAGEREF _Toc120435070 h 碍61暗11.1板 安全设计概述胺 PAGEREF _Toc120435071 h 阿61绊11.2背 安全管理中心霸设计皑 PAGEREF _Toc120435072 h 啊

11、62挨11.3班 安全认证中心半设计鞍 PAGEREF _Toc120435073 h 颁65巴11.4爱 模块化的安全隘构架设计板 PAGEREF _Toc120435074 h 稗67搬11.4.1板 核心交换区奥 PAGEREF _Toc120435075 h 霸69哀11.4.2袄 生产区白 PAGEREF _Toc120435076 h 唉69斑11.4.3暗 OA蔼接入控制区熬 PAGEREF _Toc120435077 h 瓣70拌11.4.4矮 运维管理区扳 PAGEREF _Toc120435078 h 板73耙11.4.5拜 MIS把服务区拌 PAGEREF _Toc120

12、435079 h 艾74巴11.4.6百 生产外联区安 PAGEREF _Toc120435080 h 罢75奥11.5盎 统一的安全联懊动设计稗 PAGEREF _Toc120435081 h 拔76奥11.6翱 其他安全防护罢考虑背 PAGEREF _Toc120435082 h 敖78拔11.7班 网络病毒控制捌 PAGEREF _Toc120435083 h 艾79把第12章摆 网络管理阿 PAGEREF _Toc120435084 h 把81唉第13章傲 数据中心切换跋 PAGEREF _Toc120435085 h 颁89前言盎上海数据中心工盎程是XX奥银行数据大集中邦项目的重要组

13、成袄部分，扒将蔼作为岸全国生产中心拜投入运行。半生产靶数据中心的建成坝将把为癌提高吧XX银行癌的经营管理决策坝水平败和风险控制能力埃打下坚实的基础斑，疤并支持提升中国胺XX银行百整体的服务水平版和伴信息化服务质量邦。爸凹华为3Com公板司深刻认识到数懊据中心建设对于哀大集中项目以及柏中国芭XX银行笆发展的重要性，班针对数据中心承叭载多种业务应用艾的特点，按照高蔼可靠、高安全和熬先进性的原则对挨网络整体结构和扮各个功能分区进败行了详细的网络背方案设计。昂哀为用户提供最完爸善的服务是华为蔼3Com技术有熬限公司的一贯宗啊旨，有关本方案芭的案一切问题，欢迎熬用户在随时吧垂询。概述阿蔼针对上海数据生罢

14、产中心俺稳定败、伴可靠奥、半高效运行的疤要求伴，矮本方案吧以高可靠性，高跋安全性和先进性白为原则吧进行了隘重点设计。邦整体结构上昂，敖根据爸上海数据中心承巴载多种业务功能哀的特点，盎依据翱统一性，开放性澳，易扩展和可管颁理的澳特性要求埃，扒通过傲模块化懊层次化的构筑方邦法暗，鞍以高可靠、高速颁率瓣的交换结构为中翱心，俺连接绊生产区，外联区安，接入区和MI扳S区版等功能分区矮，并昂针对啊各个功能靶不同的业务应用安需求和安全要求伴进行了针对性设颁计班。胺在本项目设备建熬议中，我们推荐稗了熬先进的背Quidway板 挨S8500系列哎万兆捌核心摆路由交换机矮作为平台构架的暗主要设备，通过扳高效的万兆

15、交换爸技术实现骨干网俺络的高性能互联艾，同时，其安全癌联动、全面的业班务支持以及电信把级的敖高可靠邦特性岸，柏更矮保障本网络具备挨了疤有强大的业务办支撑翱和性能扩展能力澳，可以满足上海瓣数据中心未来3拔5年的发展需跋要胺。网络设计原则高可用性艾网络架构和设备敖均支持业务系统芭对服务级别搬高可靠性的要求肮，在网络分层部版署的架构和设备半体系选择以及相斑关配置上均充分癌按照高可用的系斑统设计。高安全性坝按照立体的安全颁体系进行设计艾，分布式昂部署，使网络具挨有统一的安全背，支持全网的安把全联动。先进性把碍网络设备支持先傲进的高性能体系氨架构，支持高带按宽的数据传输。统一性唉数据中心局域网氨是基于大

16、集中摆“安一个整体皑”八基础上考虑。靶全网采用统一的疤架构、策略部署颁，QoS分类和笆设备形态，保证颁全网的可维护性佰。开放性安本方案网络建设俺全面遵循业界标白准，所推荐采用板的设备、技术在癌互通性和互操作翱性上，可以支持拔本网络系统的快巴速布拜署。总体架构设计结构设计结构设计策略伴按照数据中心的吧结构，本方案采熬用以下策略设计邦高可靠的蔼设计思想融合在哎结构胺设计、路由设计耙、应用服务设计叭的各个层面；敖针对业务网络应隘用需求实施全颁模块化柏分区澳设计；岸依照工作瓣重点和结构分工氨的拜整网阿三层奥体系瓣结构；分区模块设计疤网络按照邦业务应用需求，稗划分扮以下主要功能区伴：生产区MIS区生产外

17、联区广域接入区运行管理区OA接入控制区摆各个区凹以扩展模块的形艾式分别连接到数暗据中心高可靠的胺核心交换网络跋。分层设计捌按照网络核心，昂汇聚和接入的模瓣型对数据中心敖以及之内的每一靶个功能区域盎按照层次化熬结构模型翱进行划分瓣：核心层办构成肮整个捌数据中心癌生产局域网皑的高速交换核心绊，为各个功能分坝区提供高可靠高氨稳定跋和支持快速愈合氨的第三层接入服叭务。在核心层设岸计以高可靠，高俺速交换为主要原邦则；汇聚层邦各个功能分区的癌交换核心般是组成整个生产板中心局域网的汇稗聚层。汇聚层柏提供各个分区内唉部接入层的汇聚笆，作为各个分区矮的对外接入，耙集中实现接入控澳制和安全控制；接入层案在各个分区

18、主机霸和服务器的接入熬，具有高密度的绊接入能力。拜支持基于主机端胺口的访问控制，把并白针对胺接入的数据澳流进行标记工作扮，便于扳传输过程中罢逐级搬实现靶针对流量的背QoS控制斑策略瓣。物理部署设计柏上海数据中心的耙核心网络主要分板布在上海园区的扳E2楼的各层，捌因此网络百将伴按照就近接入的懊原则将各个功能耙区网络设备与应按用主机就近放置俺分布在各个楼层哎。胺网络的交换核心笆、广域接入区等爱没有主机接入的翱功能区域放置于蔼网络机房。安上海全国数据中斑心局域网拓朴跋在数据中心的实岸际部署中，奥针对数据中心模艾型进一步细分各挨个功能分区。艾生产区涉及到的把应用系统较多包碍括核心业务以及爱各种总行级的

19、业扒务系统。拜核心业务系统放澳置于案IBM S/3爱90败上，通过在S/暗390上划分多绊个分区来实现核扳心业务相关的不凹同功能。考虑到版核心业务系统属唉于银行全部业务敖核心，属于数据肮中心的重中之重佰，同时S/39板0的操作方式与斑其他开放平台不拔一致，因此蔼物理上将昂生产区皑设置败为核心业务生产颁区和开放平台生啊产区拜2个分区接入到罢核心层颁。拜测试区哀根据把测试需要尽量与柏生产网络实现完碍全拜分离，拜根据实际需求确霸定是否需办接入到核心层耙。皑生产外联区包括巴网上银行的In芭ternet外叭联以及和合作伙癌伴的Extra盎net外联两种案方式，在网络靶结构斑上和安全碍部署上艾有懊很大邦不

20、同，因此在实斑际部署中案分别靶设置八2个接入拔区域连接到核心肮交换区。广域接入区奥设置一个单独的吧物理分区，提供碍各个一级分行的伴流量接入和汇聚岸。灾备接入区跋设置一个单独的八物理分区，部署哀与北京灾备中心拌的连接和灾备策碍略的部署。MIS服务区败设置一个单独的佰物理分区，提供隘MIS业务应用伴的服务。运行管理区柏设置一个单独的耙物理分区，提供爱数据中心和全网半的管理和监控氨。网络核心层昂网络核心层由4罢台万兆交换机构阿成，通过万兆实敖现各个功能分区芭的接入，同时4阿台交换机之间采摆用叭双万兆邦捆绑的方式实现碍高速互联。般为了保证通过核班心网络的流量和笆路径可控，并提艾高故障切换的效柏率，对各

21、个功能岸分区实现三层接罢入的方式。澳为了保证各个功柏能分区的高可靠翱性，与各个功能懊分区的汇聚交换蔼机采用唉双星型艾的结构连接。生产区皑生产区将接入数颁据中心核心生产哎系统和部分生产绊系统前置俺 颁；按生产区矮核心业务平台：唉由2台哎汇聚层艾交换机和隘2拜台接入层交换机蔼构成，接入层交傲接机连接拜S/390主机板系统瓣平台翱。斑生产区开放平台敖：由2台半汇聚层氨交换机和埃4安台接入层交换机肮构成，接入层交板接机连接开放平败台。瓣连接方式：四台傲接入层交换设备佰通过半四条千巴兆线路上联到汇爱聚层，两台汇聚案层设备之间通过扒两条冗余的斑千版兆线路实现互连哎，同时，各自通岸过两条拜千暗兆冗余线路分别

22、吧上行到两台核心癌交换层交换机。运行管理区挨运行管理啊区啊是生产中心主要霸的人员操作区，挨主要以傲各种管理配置佰平台为主。搬运行管理跋区摆：伴由2台般汇聚半层交换机和2台阿接入层交换机构八成，接入层交接拔机连接办各类业务、网络矮、配置管理系统案；案连接方式：两台胺接入层交换设备拌通过双矮千搬兆线路上联到汇白聚层，两台汇聚绊层设备之间通过拜两条冗余的拔千敖兆线路实现互连肮，同时，各自通百过两条般千坝兆冗余线路分别叭上行到两台核心凹交换层交换机。MIS区芭MIS癌区将接入数据中斑心柏MIS处理主机扮系统，主要以开班放平台为主。巴MIS系统平台癌：奥由2台唉汇聚伴层交换机和凹4扳台接入层交换机按（两

23、层结构、分芭为外联接入交换疤机与内联接入交稗换机）盎构成，接入层交捌接机连接肮各MIS系统平坝台办；班连接方式：两台埃接入层交换设备阿通过挨双万兆线路上联坝到汇聚层，摆两台汇聚层设备坝之间通过两条冗澳余的矮千澳兆线路实现互连盎，同时，各自通胺过两条懊千霸兆冗余线路分别凹上行到两台核心昂交换层交换机。广域接入区按广域接入提供各笆个下联一级分行啊的接入，同时支疤持在接入边界部版署安全控制策略百。芭广域接入平台：颁由2台百汇聚层肮交换机构成，埃直接接入路由设拔备邦。耙连接方式：汇聚隘层设备之间通过罢两条冗余的矮千敖兆线路实现互连拔，同时，各自通俺过两条鞍千颁兆冗余线路分别扳上行到两台核心氨交换层交换

24、机。版在汇聚交换机侧隘支持部署防火墙鞍和入侵检测设备疤，采用访问控制班和安全联动相结俺合的方式对接入傲流量进行安全防拌护。挨（白关于安全联动的阿详细介绍请参阅隘第十一章：网络隘安全相关内容）OA接入控制区把OA接入控制区邦是生产区和OA傲用户及OA服务唉器所在功能区的熬隔离区，OA用哀户通过此区访问埃生产的相关资源皑。版OA接入控制区搬：俺由2台爸汇聚层跋交换机构成。瓣在汇聚交换机柏对外互连处挨部署防火墙和入罢侵检测设备，采罢用访问控制和安澳全联动相结合的搬方式对流量进行澳安全防护。哎连接方式：汇聚扒层设备之间通过扮两条冗余的蔼千兆线路实现互八连，同时，各自胺通过两条千安兆冗余线路分别凹上行到

25、两台核心搬交换层交换机。生产外联半生产外联扒区主要分为两大艾部分：扮网银Inter矮net接入区域稗、合作伙伴接入靶区域，两大区域澳建立统一的汇聚碍层交换机，按照版两大区域对安全稗级别的要求的不叭同，分别设置多靶层DMZ区域。啊在合作伙伴接入鞍区域暗提供和各个金融唉服务机构，金融背监管机构和金融扒市场的接入，会鞍部署大量的外联皑前置系统，采用绊防火墙实现隔离坝，在DMZ区部阿署外联前置服务伴器。矮合作伙伴接入区哀域胺接入平台：由八2台哀DMZ区颁接入交换机爸构成胺。把在外联网接入和敖DMZ与汇聚层伴连接处部署高可爱用防火墙安，并部署IDS败设备实现安全联笆动。傲连接方式：汇聚懊层设备之间通过般

26、两条冗余的千兆安线路实现互连，瓣同时，各自通过叭两条斑千靶兆冗余线路分别爸上行到两台核心办交换层交换机。扳网银背互联网接入部分皑主要面向互联网按的客户提供服务百以及部分数据交巴换，网上银行作佰为主要特色应用唉会部署在此区域板。此区域会有大蔼量的互联网服务邦器如Web应用八，DNS服务器拌等，同时还有大耙量的客户服务和笆应用处理服务器搬。考虑到Int埃ernet接入碍需要更高的安全板因此将服务器分阿别部署在DMZ瓣区和扩展DMZ柏区，并采用三层案防火墙进行隔离爸，同时部署相应翱的IDS设备。奥网银互联网接入般平台：由2台汇唉聚层交换机和4阿台DMZ接入交背换机构成。并配敖置6台防火墙实案现各个区

27、之间的芭安全隔离。设备选型推荐凹针对数据中心建佰设的统一性原则靶，针对数据中心奥尽量采用相同的稗设备进行配置，把从而保证数据中艾心整体的易维护爸和易扩展。板针对数据中心大皑量服务器采用千艾兆接入，要求高哎效传输的特点，翱在骨干层和汇聚班层间，以及部分唉汇聚和接入拜层间采用万兆连昂接，减少千兆捆皑绑带来的复杂配疤置，同时支持业版务未来35阿年的快速增长。吧对于生产外联区摆，考虑到需要有捌大量的防火墙隔版离，受制于外联肮广域网的限制，拔接入层和汇聚层矮之间采用千兆连白接。白针对上述分析数佰据中心啊在设备级的要求碍如下：盎电信级可靠性网熬络设备99.9翱99%俺，支持热切换，氨热补丁氨采用啊万兆技术

28、芭，支持高密度万澳兆连接支持安全联动俺有效抵御网络资白源消耗型病毒攻叭击拌（例如DOS/疤REDCODE敖等柏）把全分布式线速处巴理佰支持多业务的深伴度绊感知捌支持埃MPLS VP阿N和IP V6邦功能疤扩展矮支持外置冗余电疤源颁大容量般冗余交换背板结啊构班单机版具有高扩展能力八针对上述分析本蔼项目的设备选型傲推荐列表如下：哀数据中心核心奥交换机邦Quidway唉 碍S8512艾数据中心澳汇聚层交换机叭Quidway扳 埃S85肮12敖运维管理区矮接入交换机败Quidway肮 白S懊85芭12佰其他功能区的接板入交换机巴Quidway坝 绊S8512疤中端路由器蔼Quidway爱 AR28-8

29、耙0盎网元管理系统摆Quidvie肮w DMG，C胺AMS(AAA芭)，SUN/N班T服务器奥设备数量配置如爸下：矮名称摆设备配置情况摆1、核心交换区搬核心层：4台S捌8512霸2、主机生产区碍汇聚：2台S8霸512，接入：敖2台S8512阿3、开放生产区傲汇聚：2台S8阿512，接入：熬4台S8512拔4、MIS服务盎区安汇聚：2台S8瓣512，接入：隘2台S8512岸5、运维管理区斑汇聚：2台S8翱512，接入：疤10台S851啊2澳6、外联区(仅把合作伙伴接入区吧)班汇聚：2台S8昂512，接入：搬2台S8512拔7、广域网接入叭区傲汇聚：2台S8鞍512，接入：八4台S8512佰8、O

30、A接入控俺制区氨汇聚：2台S8柏512扒9、网元管理耙Quidvie班w DMG，C皑AMS(AAA吧)，SUN/N癌T服务器笆10、基金国债鞍业务接入路由器般两台AR46-安80S8500简介背Quidway霸哀 S8500爸系列把万兆核心路由交挨换机啊 盎Quidway扮颁 S8500系凹列万兆核心交换熬机是由华为3C按om公司自主开霸发的新一代高性半能万兆核心路由搬交换机产品，可挨广泛应用于疤电子政务网核心半层、校园网及教叭育城域网核心层稗、园区网和企业翱网核心层以及傲运营商IP城域埃网核心层、汇聚稗层。摆Quidway斑凹 S8500矮系列暗基于拜新一代核心交换案机的设计理念，拔具备大

31、容量高性白能、可扩展能力背强和业务与性能搬兼具的特点。办Quidway耙啊 S8500伴系列胺支持新一代高性案能万兆接口，能艾够为城域网、园胺区网、数据中心哀提供超高速链路凹，构建端到端以百太网隘络哀，打造低成本、肮高性能、具有丰胺富业务支持能力芭的高性能网络。芭Quidway邦扳 S8500提案供大容量、高密扮度、模块化的二叭、三层线速转发敖性能，爱内置强劲的全分唉布式业务处理引背擎，以全线速处俺理二层、三层、邦MPLS VP扮N、组播等各种霸业务流量按，凹提供完善巴的QoS保障矮、疤安全管理机制碍和电信级的高可熬靠设计叭，满足佰大型IP网络扒对多业务、高可般靠、大容量、模熬块化的需求。产品

32、特点先进的体系结构版Quidway笆霸 S850靶0系列产品采用搬全分布式体系结巴构设计，敖采用功能强大的背ASIC翱芯片佰进行高速路由查隘找，并通过埃Crossba柏r碍技术进行高速报傲文交换，从而大艾大提升了路由交案换机的转发性能哀和扩充能力。疤Crossba摆r爱交换网芯片内置艾于主控板，不单百独占用设备槽位半，可提供高达般720Gbps靶的交换容量，并巴可平滑升级到拌1.44T坝bps熬的交换容量。接挨口板通过多条高俺速总线分别连到板两块主控板上的伴Crossba埃r拜交换网，从而实霸现真正的双主控疤、双交换网的热捌备份，极大的提吧高了系统的可靠邦性。坝Quidway邦肮 S8500哎

33、系列产品采用高般性能的最长匹配安、逐包转发的方版式，在保持线速敖性能和低成本的叭基础上，革命性按的解决了传统交袄换机流绊Cache按精确匹配转发的疤致命缺陷，能够霸有效的抗击网络坝“隘红色代码奥”碍、摆“罢冲击波哎”耙等病毒的攻击，拜更加适合大规模百、多业务，复杂拜流量访问的网络哀。啊大容量、高密度八线速交换罢Quidway伴板 S850背0碍系列产品目前最艾高可以提供72凹0奥Gbps靶交换容量蔼/428Mpp懊s佰包转发能力，并皑可平滑升级到背1.44T靶bps八交换容量、奥857佰Mpps哀转发能力。爸支持各种高密度肮业务板和组合业扳务板，整机可支绊持高达哀576岸个千兆端口的同鞍时线速

34、转发，满案足核心层设备大俺容量、高密度的斑要求。坝强大的业务支撑芭能力奥Quidway鞍俺 S8500氨支持MPLS 哎VPN业务；支俺持丰富的组播协爸议澳（IGMP、I耙GMP SNO傲OPING，P拔IM-SM、P哀IM-DM和M艾SDP/MBG胺P等）；支持W捌ebSwitc熬h（硬件支持）澳、NAT（硬件扮支持），内置防鞍火墙（硬件支持熬）、IDS；支摆持POS/AT矮M、RPR等接傲口。熬新一代万兆接口袄支持俺Quidway背按 S850暗0系列产品提供癌的新一代万兆以傲太网克服了早期佰万兆以太网的诸肮多局限，在线速啊转发的基础上能盎够提供强大的百QoS安保障，并支持丰傲富的按ACL

35、把、策略路由、安爸全等特性。隘Quidway疤八 S850摆0的新一代万兆稗以太网不仅在接盎口密度上达到芭2扳端口绊/敖线卡（后续可扩霸展至癌4傲端口爱/白线卡），并且可靶以支持线速的M爸PLS转发，可埃以提供更好的般IP碍 挨VPN氨业务和透明的岸LAN埃服务，真正实现碍性能与功能的完版美统一。埃Quidway瓣跋 S850安0系列产品除了板提供标准的LA巴N接口，还可以半提供使用波分复扳用技术的吧10GBASE败-LX4阿接口，从而大大佰提高了用户组网八的灵活性。叭MPLS/IP奥v6分布式线速癌支持伴Quidway肮鞍 S850绊0系列产品遵循袄业务与性能并重矮的设计理念。一背方面带宽和

36、网络八规模的增长推动白核心路由交换机罢的性能容量不断颁提升，另一方面爸业务的发展要求斑核心交换机更加吧智能化并具备更邦强的业务提供能按力。皑Quidway捌跋 S850百0系列产品采用暗功能强大的AS俺IC芯片实现M熬PLS、IPv癌6的分布式线速碍转发，并能够基敖于高性能NP实扮现线速NAT、芭WebSwit耙ch等增值业务靶，在为用户提供八全面的有保障业敖务的同时，也做阿到根据需求业务摆可裁减。俺完善的QoS机熬制叭Quidway凹半 S850邦0系列产品提供澳了灵活的队列调板度算法，可以同半时基于端口和队芭列进行设置，支背持SP、WRR吧、SP+WRR把三种模式；支持昂8个优先级队列拔，

37、3个丢弃优先摆级；支持WRE凹D拥塞避免算法袄和端口流量整形矮。支持带宽控制胺功能，流量限速伴的粒度为8Kb坝it/s，满足澳精品宽带网络的版要求。伴电信级可靠性设板计：埃Quidway半矮 S850捌0系列产品系统伴采用分布式结构敖，支持双主控交皑换板，无源背板蔼设计，所有单板昂支持热插拔；电翱源系统交流/直翱流可选，采用1白+1盎冗余热备份，并芭支持双路电源输阿入；支持百STP/RST捌P版/MSTP协议昂和哎VRRP拌协议，能够满足鞍苛刻的电信级网办络可靠性要求，拜系统可靠性达到芭：99.999皑。颁完善的安全机制盎：巴Quidway碍阿 S850耙0系列产品的先背进的逐包转发机爱制确保

38、其在各种疤数据流状况下的稗设备安全，支持翱OSPF 阿、疤RIP v2 靶及败BGP v4 八报文的明文及扒MD5懊密文认证；支持胺URPF（单播埃反向路径检查）摆；采用802.啊1x方式对接入吧用户进行认证，扳支持安全的碍SNMPv3懊的网管协议、支熬持配置安全，对搬登录用户进行认搬证，不同级别的摆用户有不同的配跋置权限，并提供熬两种用户认证方扮式：本地认证和懊RADIUS认半证。鞍Quidway敖拔 S850案0系列产品通过爱灵活的MAC、办IP、VLAN阿、PORT任意版组合绑定，有效吧的防止非法用户佰访问网络。支持懊多种ACL访问盎控制策略，能够跋对用户访问网络懊资源的权限进行翱设置，

39、保证网络鞍的受控访问。半Quidway澳胺 S850耙0系列产品还支昂持标准Radi暗us协议，同时背提供Radiu奥s+功能佰，扳以及霸HCBM爱（华为可控组播班管理协议）功能背支持。基于硬件板支持的内置防火扮墙凹/癌IDS功能为核班心交换设备安全疤组网提供了多样吧化的选择，简化颁了网络层次，提懊高了整网性能。产品规格八属 性艾S8505按S85版08啊S8512肮体系结构瓣一体化机箱，可佰安装于19英寸爱机架内板外形尺寸（MM安）熬宽深高霸436 x 4般5埃0 x 般486背436 x 4扳5扳0 x 澳619百436 x 4扒5扳0 x 75皑3爱满配置重量摆（Kg）叭65芭80昂1碍

40、0拔0哀交换容量斑XRCoreE邦ngine 安I 300G昂XRCoreE耙ngine 罢II 600G叭XRCoreE按ngine扮 八I 480G盎XRCoreE扒ngine 班II 960G捌XRCoreE岸ngine 癌I 720G柏XRCoreE熬ngine 隘II 1.44碍T按 安背板容量碍750Gbps罢（可扩展至1柏.5佰T）稗1.碍2柏Tbps搬（可扩展至2般.笆4T）颁1.8Tbps碍（可扩展至3斑.扮6T）隘包转发按率半XRCoreE案ngine 蔼I 178Mp埃ps背XRCoreE埃ngineI跋I 357Mp败ps阿XRCoreE拌ngine 把I 285Mp熬

41、ps办XRCoreE邦ngineI奥I 571Mp氨ps哀XRCoreE俺ngine 啊I 428Mp翱ps白XRCoreE班ngineI芭I 857Mp背ps哀槽位数量八7埃1盎0跋14办业务单板槽位数疤量傲5安8唉12蔼二层功能哎4K VLAN拜支持802.1唉q优先级爸生成树协议：艾STP/RST芭P/MSTP拌支持动态VLA斑N注册协议（G罢VRP）半支持端口捆绑叭支持斑端口镜像斑支持摆广播风暴抑制傲支持Jumbo半帧靶兼容Ether肮net_II/巴Etherne隘t_SNAP/爱IEEE 80把2.2/IEE艾E 802.3安MDI/MDI板-X自适应暗三层功能扳ARP Pro傲x

42、y（Supe背rVLAN）案提供丰富的路由艾协议：RIP、班OSPF、IS扒-IS、BGP霸4八支持256耙K 版最长匹配伴路由转发表袄支持哀路由负载分担爸支持分布式盎策略路由胺支持URPF（败单播反向路径检拌查）挨支持VRRP按支持DHCP-靶RELAY坝组播巴二层组播协议：扮GMRP挨、斑IGMP搬 Snoop矮ing按三层组播协议：白IGMP扮、PIM-DM按、PIM-SM扮、捌MSDP败/MBGP按支持办可控组播业务芭NAT唉支持板NAT懊中凹NAPT邦模式般支持公有地址和稗私有地址的混合八组网把NAT斑转换霸支持隘ICMP拔、般FTP袄的等版ALG败安全功能，防止白DOS般攻击对白N

43、AT拜模块资源的过度败使用袄支持爱NAT佰板间的负荷分担暗和备份功能胺WebSwit摆ch柏具有L3/L4隘层的线速交换拔基于L4层的P熬BR及其他功能爱：如服务器负载白均衡、防火墙负肮载均衡、案Web Cac霸he摆高速缓存重定向哀等功能氨MPLS VP凹N岸支持二层MPL暗S VPN爸支持三层MPL挨S VPN凹支持QinQ昂支持PE和P功耙能扒MPLS标签空瓣间：按128唉K拜MPLS傲标签栈深度：4岸级俺QoS碍可基于物理端口败、VLAN、源唉MAC地址、目凹的MAC地址、昂源IP地址、目唉的IP地址、I罢P端口、协议号柏等白进行报文分类和皑过滤扒支持带宽控制，岸带宽控制粒度为疤1败K

44、bit/s氨优先级队列调度扒：每端口支持8奥个优先级队列，坝3个丢弃优先级盎，支持SP、W隘RR、SP+W熬RR三种队列调捌度算法搬支持WRED拥哎塞避免算法拜支持流量整形拜支持802.1瓣P，DSCP/安TOS优先级和袄重新标记能力俺支持基于时间段澳的流分类和Qo靶S控制能力笆网络安全特性爸支持IP+MA捌C+跋PORT哀任意组合的绑定胺支持非法帧报文拌过滤氨支持IEEE 伴802.1X认版证笆用户分级管理和胺口令保护靶支持端口隔离哀支持SSH拔支持SNMPv哎3网管稗可靠性瓣MTBF: 案128,400巴小时凹MTTR:0稗.5小时佰双主控扮支持版双路坝电源扮供电癌支持罢热插拔傲环境要求阿

45、温度范围：0吧柏碍40案岸相对湿度：10柏%背90拌%鞍（非凝结）挨电源要求安DC：输入电压八：伴48胺V吧60败V案AC：输入电压氨：碍100V坝2盎40白V把最大阿输出斑功率：般1200柏W盎（S8505）隘、2000W（芭S8508/S吧8512）败AR28-80背简介把Quidway百佰 跋AR 28-4安0、AR 28叭-80模块化中翱心路由器是华为拌3Com公司办Quidway胺罢 绊AR系列路由器靶中面向企业用户伴的网络产品，采啊用32位的微处案理器技术，使用拜VRP俺（通用路由平台稗），提供了极其班丰富的软件特性吧，支持哑终端接拌入服务器和金融背POS接入功能拌，支持佰SNA/

46、DLS暗w挨、爱VoIP八特性等，提供丰岸富的备份方案及挨QoS板特性；硬件采用巴模块化结构，具坝有更高的处理能盎力和更大的接入摆密度，具备MP疤LS VPN功挨能、DVPN功皑能、可平滑升级败支持IPv6符把合未来IP技术吧的发展潮流。稗Quidway疤邦 鞍AR 28-4氨0、AR 28哀-80既适合于颁在中小型企业网靶中担当核心路由拔器，也可以在大版型网络中担当汇阿聚层路由器。肮Quidway扳碍 隘AR 28-4敖0路由器外观图芭Quidway半挨 白AR 28-8哎0路由器外观图产品功能特性：版VRP疤操作唉平台：肮华为俺3Com芭在袄成熟的耙VRP耙软件平台的基础碍上，结合胺AR2

47、8胺系列的硬件体系爱结构和软件业务碍要求，度身定做埃的的八AR28斑系列耙的软件体系，完肮全继承了拜VRP鞍平台的稳定性、靶成熟性和可靠性埃，所提供的软件奥业务均为摆VRP暗平台的成熟特性岸，同时可以随着板VRP邦平台的不断发展搬同步提供新的特背性。霸VPN版解决方案：昂支持L2TP 鞍VPN背、GRE VP捌N、IPSec肮 VPN、SS敖L VPN、笆MPLS L3拔VPN， MP拌LS L2VP哀N摆、华为动态VP跋N等多种VPN吧业务。网络安全：凹登录用户认证、鞍RADIUS/般H跋TACACS暗认证/计费、I拌PSEC、IK肮E、硬件加密卡伴、防火墙支持（叭对接口/时间段拌/MAC地

48、址的懊过滤）、CA认背证（唉数字证书绊）、高性能NA跋T。互连协议：扳以太网、桥、帧皑中继、X.25案、HDLC、S白DLC、LAP般B、SLIP、爸PPP、PPP啊头压缩、MP、安ISDN、PP百PoE Cli俺ent、按需拨埃号、拨号串循环靶备份、PPP/哀ISDN回呼、熬L2TP建立二疤层隧道、GRE傲建立三层隧道、埃IPSEC建立搬三层隧道、xD芭SL宽带接入。网络协议：捌DHCP、VL白AN、IPX、氨DLSw、RI佰P-1/RIP熬-2、OSPF傲、BGP、策略斑路由、组播、路芭由负载分担、地盎址借用、TCP罢报文头压缩、路埃由策略。唉应用层协议及业叭务特性：摆Telnet、拜SS

49、H、Rlo埃gin、dum敖b termi叭nal、增强安半全特性的终端接霸入服务器、金融拔POS接入服务澳，RTC、LP扒D、FTP、P扮ing及NTP爱应用层协议或业翱务特性。QOS：阿流量分类和流量扒监管CAR/L绊R、流量整形G氨TS、拥塞管理芭PQ/CQ/W俺FQ/CBQ、叭拥塞避免WRE白D。网络可靠性：版接口/子接口间坝的物理层备份，爱虚链路/虚模板啊/拨号接口/逻俺辑接口间的链路敖层备份，动态路矮由实现网络层备白份、VRRP实碍现设备层备份。系统可靠性：板支持摆dual im唉age柏，案能对案image八文件进行合法性版判别，支持启动澳成功性自探测，百支持装载按image敖文

50、件引导系统，斑支持从主扳image扳文件启动，支持霸从备份佰image巴文件启动伴。语音特性：肮静音压缩、舒适捌噪音、语音防抖拔动、音量调节、安PBX交换机功矮能模拟、主叫号败码识别、自动忙扒音检测、灵活V俺OIP选路与备挨份策略、IP传啊真、语音RAD叭IUS、GK 捌Client、败IPHC、语音吧QoS。IPV6：啊从目前的硬件体叭系结构和隘软爱件平台的基础上案能够平滑哎升级到捌IPV6伴的软件版本皑,把 拌全面支持绊IPv4按和叭IPv6霸双协议栈哎，氨提供丰富的板IPV6啊协议，爸支持多种般IPv4颁向拌IPv6巴的过渡技术：手邦工配置隧道、自矮动配置隧道、埃6to4俺隧道、埃GRE

51、凹隧道、实现靶NAT-PT靶等；支持摆IPv6唉静态路由，支持懊BGP4/BG矮P4+矮、肮RIPng岸、碍OSPF3霸、扳ISISv6翱等动态路由协议把；支持艾ICMPv6 埃MIB暗、绊UDP6 MI癌B澳、罢TCP6 MI颁B唉、埃IPv6 MI芭B澳等耙。配置管理：唉中英文双语、命皑令分级保护、t傲racert/碍ping/de绊bugging背故障诊断功能、八RMON、SN百MPv1/v2拔c/v3、系统哎日志、可通过F蔼TP或TFTP半进行系统升级、板可通过Cons傲ole/AUX肮/X.25 P按AD/Teln芭et/反向Te案lnet等方式袄进行配置。扳通过绊Quidvie败w

52、癌网管软件，能够暗对路由器进行远背程配置，并且能柏够对主机程序通拜过搬Quidvie半w捌进行在线升级。产品规格稗项目哎AR 28-4哀0搬 矮描拌 叭述颁AR 28-8稗0爸 板描述阿插槽版4埃8扳 功能模块芭LAN接口模块芭1FE/2FE昂（氨10/100B罢ase-TX癌快速以太网接口绊模块）隘1SFX（10颁0Base-F哀X以太网单模光按接口模块）氨1MFX（10颁0Base-F般X以太网多模光哎接口模块）懊1GB暗E（1000B拌ase-T千兆碍以太网模块）斑1GEF（10熬00Base-啊SFP千兆以太绊网光模块）百WAN接口模块绊2捌/4坝SA（高速同异矮步串口模块）凹8/16

53、AS（翱异步串口模块）懊2/4/8SA坝E（增强型同异岸步串口模块）摆1/2/4E1版（通道化cE1凹/PRI模块）搬1/2/4E1矮-F（非通道化摆E1模块）扳1/2/4T1暗（通道化的cT昂1/PRI模块胺）氨1/2/4T1埃-耙F（非通道化T岸1模块）把1C芭E3（通道化E阿3模块）澳1C拜T3（通道化T办3模块）哀6/12AM（扳模拟调制解调器唉模块）颁4BS巴（笆ISDN BR袄I S/T隘接口模块）扒155M 1A耙TM（ASM/疤AMM/ASL跋，155M 单摆模/多模/单模板长距离光接口模叭块）稗ATM E3/懊T3（ATM 扒E3/T3传输邦模块）疤1/2ADSL败（ADSL

54、坝 over P艾OTS澳通信模块）叭1/2ADSL澳-I奥（ADSL癌 over I哀SDN吧通信模块）吧POS（155袄M 非通道化P稗OS传输模块）斑C笆POS（155熬M 通道化PO隘S传输模块）皑4/8端口E1翱 ATM IM扳A奥(按高密度ATM 把E1 IMA盎 E1 制式传八输模块)肮4/8端口隘T爱1 ATM I邦MA埃(摆高密度ATM 傲E1 IMA唉 T1 制式传白输模块)肮语音模块傲2FXS肮/罢4FXS八（唉FXS奥接口语音模块）唉2FXO盎/皑4FXO背（傲FXO艾接口语音模块）半2E&M/4E鞍&M绊（按E&M熬接口语音模块）百E1VI氨（碍E1皑语音模块）扳T1

55、VI芭（敖T1搬语音模块）啊POS接入模块吧2/4/6FC奥M柏（快速连接MO柏DEM模块）靶其他模块鞍NDEC（网络安数据加密模块）板处理器埃MPC824版5暗 澳300半MHz阿MPC8245癌 鞍300MHz扳转发性能拜110-120案KPPS败110-120碍KPPS/13柏0-150KP把PS般NVRAM挨128KB唉FLASH癌32阿MB靶SDRAM扳缺省：唉128MB百，最大：靶256MB癌外型尺寸（扒mm捌）宽邦懊深百案高半440 笆案 400叭版 43邦440 白皑 400办唉 哎86唉重量安8柏kg肮14kg八输入电压办AC挨额定电压范围：隘10佰0凹-暗24哀0氨V笆；捌

56、50/60Hz跋 颁最大电压范围：鞍9佰0霸-班2凹6挨4V罢；扒 50/60H摆z俺DC阿额定电压范围：哎-48啊- -背60拌V把最大电压范围：熬-36坝- -把72伴V背最大功率隘67W扒114W袄工作环境温度斑0 拌绊 40啊俺环境湿度凹5啊 败稗 90% 办不结露服务器接入设计巴数据中心的服务拌器对可靠性要求昂较高，会有多种伴高可靠的接入方蔼式，根据对主机巴接入的分类，主稗要分为三类：多霸主机群集，双机拌HA应用，单机耙多网卡。这三种八方式均涉及到多翱网卡与交换机连懊接。因此针对群颁集和HA应用还傲有多VLAN的熬方式和同一VL搬AN的方式。叭针对多主机多V瓣LAN的方式熬这类主机部

57、署的柏应用属于重要应傲用，鞍以核心业务应用斑为主。耙为保证可靠性跋至少选择在2台疤接入交换机上均爸做相同的VLA肮N和端口配置，鞍实现端口1+1俺冗余，即保证单胺一接入设备可以绊承载全部主机连蔼接，在工作时并案将挨多按主机拜同一业务对应八端口接入拔相唉同VLAN中阿（根据切换方式蔼不同可选择同一唉交换机或不同交扮换机）扮。般针对多主机共享颁VLAN的方式斑，为保证可靠性翱至少选择在2台暗接入交换机上均佰做相同的VLA半N和端口配置，唉实现端口1+1按冗余，即保证单隘一接入设备可以柏承载全部主机连皑接，在工作时并熬将多主机对应业颁务端口分布到2白台交换机。熬针对HA主机多稗VLAN的方式扮这类应

58、用也属于白重要应用肮，以各类基于开柏放平台的业务为版主癌。为保证可靠性岸选择在2台接入拌交换机上做相同熬的VLAN和端版口配置，实现端靶口1+1冗余，矮即保证单一接入爸设备可以承载全般部主机连接，在跋工作时将双机对霸应端口部接入到凹不同交换机的对颁应VLAN中。翱针对HA主机单白VLAN的方式按这类应用也属于隘重要应用颁，以各类基于开稗放平台的业务为哎主唉。为保证可靠性凹选择在2台接入傲交换机上做相同般的VLAN和端佰口配置，实现端柏口1+1冗余，扮即保证单一接入伴设备可以承载全半部主机连接，在叭工作时将双机对凹应端口部接入到扮不同交换机的板同一癌VLAN凹端口碍中。搬针对单机多VL叭AN方式

59、柏单机应用一般数稗据次关键应用俺，以部分业务的叭前置服务器为主安。针对单机多网袄卡多VLAN方碍式，也考虑将多绊VLAN在2台皑接入交换机上部唉署，实现VLA巴N端口1+1冗板余。工作时将主扳机不同端口分别班连接到不同交换盎机的对应VLA搬N端口。爱针对单机单VL叭AN方式罢这种方式是实现矮单机的网卡和链吧路备份埃，以部分业务的伴前置服务器为主暗。此种方式本身坝即是端口和链路八备份，在2个交白换机上均部署相懊同VLAN和对爱应端口，将这单爸机的2个端口分背别连接到2个交爸换机的对应端口隘。八VLAN和Sp案anning 八Tree设计VLAN简述跋VLAN（Vi半rtual L氨ocal Ar

60、扳ea Netw班ork虚拟局八域网）逻辑上把背网络资源和网络靶用户按照一定的按原则进行划分，瓣把一个物理上实绊际的网络划分成巴多个小的逻辑的暗网络。这些小的霸逻辑的网络形成瓣各自的广播域，隘也就是虚拟局域搬网VLAN。V伴LAN在功能和盎操作上与传统L矮AN基本相同，敖可以提供一定范爱围内终端系统的艾互联。IEEE搬802.1Q是搬虚拟局域网的正哎式标准，定义了啊同一个物理链路凹上承载多个子网哀的数据流的方法岸。IEEE80扳2.1Q定义了般VLAN帧格式鞍，为识别帧属于澳哪个VLAN提拔供了一个标准的摆方法。这个格式斑是统一标识VL般AN的方法，有翱利于保证不同厂耙家设备配置的V吧LAN可