应收账款局域移动系统数据中心设计方案

1、PAGE PAGE 63 键入文字俺鞍应收账款局域移叭动唉系统颁数据中心设计方傲案芭拔岸俺靶八叭扒颁昂板般目 录TOC o 1-3 u拜第1章芭 前言鞍 PAGEREF _Toc351638730 h 邦4安第2章傲 概述澳 PAGEREF _Toc351638731 h 澳5斑第3章氨 网络设计原则澳 PAGEREF _Toc351638732 h 俺6扳第4章佰 总体架构设计阿 PAGEREF _Toc351638733 h 昂7芭4.1般 结构设计袄 PAGEREF _Toc351638734 h 拌7啊4.1.1吧 结构设计策略邦 PAGEREF _Toc351638735 h 巴7凹

2、4.1.2啊 分区模块设计班 PAGEREF _Toc351638736 h 澳7哀4.1.3班 分层设计百 PAGEREF _Toc351638737 h 把8疤4.2胺 数据中心局域耙网拓朴俺 PAGEREF _Toc351638738 h 罢10扳4.3败 网络核心层挨 PAGEREF _Toc351638739 h 案11罢4.4袄 核心业务区把 PAGEREF _Toc351638740 h 鞍11拜4.5捌 运行管理区笆 PAGEREF _Toc351638741 h 八12懊4.6扳 广域接入区白 PAGEREF _Toc351638742 h 柏13芭4.7白 办公接入控制啊区

3、扮 PAGEREF _Toc351638743 h 癌13吧4.8靶 外联哎/澳网上业务区霸 PAGEREF _Toc351638744 h 昂14皑4.9矮 设备选型推荐蔼 PAGEREF _Toc351638745 h 坝15哀4.9.1凹 H3C S7把500E胺简介澳 PAGEREF _Toc351638746 h 翱16伴4.9.2盎 AR28-8癌0敖简介熬 PAGEREF _Toc351638747 h 坝20埃第5章伴 服务器接入设跋计笆 PAGEREF _Toc351638748 h 岸23邦第6章皑 VLAN靶和耙Spannin盎g Tree疤设计坝 PAGEREF _To

4、c351638749 h 绊24癌6.1跋 VLAN稗简述肮 PAGEREF _Toc351638750 h 袄24傲6.2昂 VLAN哀注册协议（懊GVRP袄）疤 PAGEREF _Toc351638751 h 败24笆6.3捌 VLAN凹设计扒 PAGEREF _Toc351638752 h 哀26熬6.4傲 STP蔼设计跋 PAGEREF _Toc351638753 h 霸26扒6.5白 VRRP捌 PAGEREF _Toc351638754 h 伴27拜第7章败 IP拔地址设计捌 PAGEREF _Toc351638755 h 罢28稗第8章办 路由选择和设耙计隘 PAGEREF _T

5、oc351638756 h 颁29凹8.1按 路由协议选择稗 PAGEREF _Toc351638757 h 板29懊8.2扳 路由边界吧 PAGEREF _Toc351638758 h 斑30搬8.3哀 路由协议设计胺（扒OSPF半）叭 PAGEREF _Toc351638759 h 暗31翱8.3.1阿 OSPF A巴rea绊设计啊 PAGEREF _Toc351638760 h 绊31扳8.3.2唉 OSPF P皑rocess 耙ID拌 PAGEREF _Toc351638761 h 案32笆8.3.3澳 OS安PF Rout捌er ID昂 PAGEREF _Toc351638762 h

6、 白32昂8.3.4俺 OSPF袄链路败Metric把 PAGEREF _Toc351638763 h 拔32八8.3.5隘 OSPF M氨D5捌认证疤 PAGEREF _Toc351638764 h 拌32半8.3.6叭 选路规划鞍 PAGEREF _Toc351638765 h 隘33唉8.4安 静态路由般 PAGEREF _Toc351638766 h 斑33版第9章巴 可靠性设计袄 PAGEREF _Toc351638767 h 半33爸9.1摆 可靠性概述暗 PAGEREF _Toc351638768 h 耙33扒9.2胺 设备级可靠性斑设计蔼 PAGEREF _Toc3516387

7、69 h 艾34巴9.3哎 链路级可靠性芭设计百 PAGEREF _Toc351638770 h 办36拌9.4捌 网络级可靠性霸设计坝 PAGEREF _Toc351638771 h 稗37拌9.4.1哀 拓扑冗余摆 PAGEREF _Toc351638772 h 皑37笆9.4.2佰 网关冗余盎 PAGEREF _Toc351638773 h 版40跋9.4.3翱 路由冗余啊 PAGEREF _Toc351638774 h 坝40绊9.5稗 应用级可靠性版设计哎 PAGEREF _Toc351638775 h 隘41敖第10章袄 网络安全俺 PAGEREF _Toc351638776 h

8、靶41安10.1挨 安全设计概述扮 PAGEREF _Toc351638777 h 奥41拔10.2哎 安全管理中心安设计版 PAGEREF _Toc351638778 h 埃4捌2艾10.3捌 其他安全防护扒考虑捌 PAGEREF _Toc351638779 h 奥44凹10.4颁 网络病毒控制凹 PAGEREF _Toc351638780 h 八45岸第11章艾 网络管理跋 PAGEREF _Toc351638781 h 傲47袄第12章八 数据中心存储熬 PAGEREF _Toc351638782 h 癌47前言昂随着社会生产力班的不断发展，用半户需求不断发展袄提高，市场也不背断发展变化

9、，谁笆能真正掌握市场暗迎合用户，谁就懊能够占领先机提白高自己的核心竞耙争力。企业运营瓣中关键资讯传递颁的畅通可以帮助瓣企业充分利用关耙键资源，供应链岸、渠道管理，了拜解市场抓住商机邦，从而帮助企业扮维持甚至提高其败竞争地位。作为把网络上数据存储俺和流通中心的企摆业数据中心很显跋然拥有企业资讯白流通最核心的地蔼位，其越来越受绊到企业的重视。懊数据中心拔建设案已经成为行业内颁的一个主要发展案趋势，利用数据袄中心，企业不但白能集中资源 和挨信息加强资讯的扳流通以及新技术罢的采用，还可以疤改善对外服务水唉平提高企业的市奥场竞争力。一个挨好的数据中心在班具有上述好处之斑外甚至还可以降隘低拥有成本。概述板

10、碍随着企业对信息罢访问依赖性的增捌加，数据中心对扳企业日常业务影癌响也越来越大。氨一旦企业数据中翱心出现故障，将稗对企业日常业务哀的正常运作造成八极大的冲击，给案企业带来巨大的隘损失疤。芭数据中心的可靠搬性直接关系企业颁利益，处于非常暗重要的地位。一艾个高可靠的数据般中心 可以帮助拔企业在集中资源案，提高业务服务疤水平的同时降低挨运行成本。可靠澳性已经成为衡量罢一个数据中心优叭劣的重要方面。隘针对数据生产中稗心邦稳定挨、靶可靠颁、澳高效运行的挨要求挨，芭本方案昂以高可靠性，高蔼安全性和先进性敖为原则案进行了敖重点设计。跋整体结构上袄，吧根据爸数据中心承载业暗务功能背的特点，瓣依据颁统一性，开放

11、性翱，易扩展和可管按理的盎特性要求奥，白通过肮模块化霸层次化的构筑方白法背，俺以高可靠、高速搬率挨的交换结构为中埃心，癌连接八生产区，外联区隘，接入区和MI瓣S区按等功能分区奥，并翱针对熬各个功能邦不同的业务应用扳需求和安全要求翱进行了针对性设癌计奥。碍在本项目设备肮万兆芭核心俺路由交换机唉作为平台构架的版主要设备，通过俺高效的万兆交换搬技术实现骨干网哀络的高性能互联跋，同时，其安全稗联动、全面的业斑务支持以及电信柏级的捌高可靠懊特性般，案更办保障本网络具备佰了傲有强大的业务稗支撑败和性能扩展能力百，可以满足数据绊中心未来的发展拌需要昂。网络设计原则高可用性跋网络架构和设备哎均支持业务系统白对

12、服务级别摆高可靠性的要求般，在网络分层部罢署的架构和设备拜体系选择以及相俺关配置上均充分扳按照高可用的系唉统设计。高安全性爸按照立体的安全按体系进行设计背，分布式懊部署，使网络具芭有统一的安全笆，支持全网的安跋全联动。先进性芭败网络设备支持先罢进的高性能体系吧架构，支持高带艾宽的数据传输。统一性佰数据中心局域网唉是基于大集中傲“鞍一个整体佰”巴基础上考虑。俺全网采用统一的岸架构、策略部署靶，QoS分类和俺设备形态，保证爸全网的可维护性蔼。开放性案本方案网络建设靶全面遵循业界标耙准，所推荐采用佰的设备、技术在佰互通性和互操作佰性上，可以支持澳本网络系统的快奥速布瓣署。瓣数据中心解决方摆案高可用技

13、术总笆图总体架构设计结构设计结构设计策略芭按照数据中心的把结构，本方案采跋用以下策略设计懊高可靠的癌设计思想融合在芭结构拌设计、路由设计伴、应用服务设计把的各个层面；唉针对业务网络应八用需求实施全巴模块化百分区把设计；芭依照工作隘重点和结构分工袄的昂整网矮三层叭体系拔结构；分区模块设计瓣网络按照班业务应用需求，拔划分吧以下主要功能区摆：核心业务区测试区拜外联区袄/网上业务广域接入区运行管理区办公接入控制区案各个区半以扩展模块的形靶式分别连接到数碍据中心高可靠的艾核心交换网络挨。霸数据中心分区架啊构示意图分层设计百按照网络核心，昂汇聚和接入的模案型对数据中心办以及之内的每一半个功能区域胺按照层次

14、化搬结构模型半进行划分拜：核心层班构成扮整个癌数据中心颁生产局域网捌的高速交换核心疤，为各个功能分矮区提供高可靠高邦稳定捌和支持快速愈合蔼的第三层接入服爱务。在核心层设爸计以高可靠，高氨速交换为主要原扮则；汇聚层伴各个功能分区的哎交换核心按是组成整个生产把中心局域网的汇蔼聚层。汇聚层澳提供各个分区内案部接入层的汇聚唉，作为各个分区柏的对外接入，吧集中实现接入控邦制和安全控制；接入层袄在各个分区主机芭和服务器的接入爱，具有高密度的爸接入能力。伴支持基于主机端靶口的访问控制，摆并摆针对伴接入的数据板流进行标记工作鞍，便于懊传输过程中叭逐级俺实现癌针对流量的叭QoS控制隘策略佰。碍数据中心分层设搬计

15、示意图版数据中心局域网疤拓朴扮在数据中心的实按际部署中，稗针对数据中心模扳型进一步细分各矮个功能分区。耙核心业务系统放碍置于皑IBM Pow稗er 740按上，通过在扮IBM Pow阿er 740拌上划分多个分区奥来实现核心业务绊相关的不同功能肮。考虑到阿应收帐款居于移扒动系统是胺核心翱业务系统按，属于数据中心耙的重中之重，因办此岸物理上将跋核心业务生产区板接入到核心层啊。昂测试区罢根据挨测试需要尽量与颁生产网络实现完敖全扮分离，奥根据实际需求确氨定是否需霸接入到核心层胺。按生产外联区包括颁网上霸业务摆外联以及和合作颁伙伴的Extr皑anet外联两澳种方式，在网络白结构翱上和安全笆部署上凹有皑

16、很大拜不同，因此在实坝际部署中岸分别盎设置奥2个接入把区域连接到核心背交换区。广域接入区翱设置一个单独的摆物理分区，提供艾各个一级分行的背流量接入和汇聚拔。灾备接入区摆设置一个单独的八物理分区，部署唉与北京灾备中心半的连接和灾备策拔略的部署。办公服务区白设置一个单独的搬物理分区，提供按办公八业务应用的服务扮。运行管理区败设置一个单独的拔物理分区，提供背数据中心和全网凹的管理和监控昂。网络核心层巴网络核心层由癌2台万兆交换机鞍构成，通过万兆靶实现各个功能分俺区的接入耙。败同时2台交换机爸之间采用双万兆捌捆绑的方式实现暗高速互联。般为了保证通过核昂心网络的流量和皑路径可控，并提班高故障切换的效背率

17、，对各个功能百分区实现三层接爱入的方式。芭为了保证各个功熬能分区的高可靠俺性，与各个功能巴分区的汇聚交换昂机采用败双挨星型版的结构连接。核心业务区癌核心业务平台：袄由2台肮汇聚层癌交换机和背2皑台接入层交换机唉构成，接入层交摆接机连接叭IBM POW稗ER 740败主机版系统艾平台背。按连接方式：白两懊台接入层交换设搬备通过半两芭条千扒兆线路上联到汇敖聚层，两台汇聚百层设备之间通过澳两条冗余的八千爱兆线路实现互连疤，同时，各自通绊过两条办千败兆冗余线路分别邦上行到两台核心艾交换层交换机。运行管理区盎运行管理澳区摆是生产中心主要皑的人员操作区，耙主要以案各种管理配置肮平台为主。靶运行管理拔区稗：

18、拌由2台稗汇聚澳层交换机和阿1背台接入层交换机班构成，接入层交扮接机连接霸各类业务、网络澳、配置管理系统唉；捌连接方式：皑一啊台接入层交换设颁备通过双案千罢兆线路上联到汇按聚层，两台汇聚稗层设备之间通过挨两条冗余的案千翱兆线路实现互连碍，同时，各自通柏过两条芭千胺兆冗余线路分别搬上行到两台核心暗交换层交换机。广域接入区癌 拌广域接入提供各耙个下联的接入，肮同时支持在接入暗边界部署安全控挨制策略。白广域接入平台：埃由2台凹汇聚层摆交换机构成，坝直接接入路由设坝备笆。哎连接方式：汇聚巴层设备之间通过袄两条冗余的爱千啊兆线路实现互连扒，同时，各自通邦过两条哀千板兆冗余线路分别挨上行到两台核心挨交换层

19、交换机。啊在汇聚交换机侧矮支持部署防火墙吧和入侵检测设备俺，采用访问控制袄和安全联动相结罢合的方式对接入阿流量进行安全防挨护。办公接入控制区奥办公唉接入控制区是生搬产区和拜办公百用户及敖办公邦服务器所在功能岸区的隔离区，笆办公颁用户通过此区访案问生产的相关资凹源。班办公氨接入控制区摆：凹由2台暗汇聚层挨交换机构成。暗在汇聚交换机白对外互连处霸部署防火墙和入案侵检测设备，采哀用访问控制和安吧全联动相结合的版方式对流量进行安安全防护。白连接方式：汇聚盎层设备之间通过靶两条冗余的蔼千兆线路实现互傲连，同时，各自蔼通过两条千懊兆冗余线路分别版上行到两台核心拔交换层交换机。隘外联/网上业务翱区阿外联扳区

20、主要分为两大氨部分：背 暗Interne叭t接入区域、合暗作伙伴接入区域案，两大区域建立懊统一的汇聚层交鞍换机，按照两大瓣区域对安全级别罢的要求的不同，斑分别设置多层D啊MZ区域。在合艾作伙伴接入区域盎提供和各个金融敖服务机构的接入按，会部署大量的稗外联前置系统，耙采用防火墙实现癌隔离，在DMZ靶区部署外联前置笆服务器。柏合作伙伴接入区搬域半接入平台：由傲2台坝DMZ区岸接入交换机捌构成傲。按在外联网接入和癌DMZ与汇聚层氨连接处部署高可爸用防火墙疤，并部署IDS绊设备实现安全联巴动。瓣连接方式：汇聚叭层设备之间通过氨两条冗余的千兆斑线路实现互连，按同时，各自通过八两条昂千半兆冗余线路分别扳上

21、行到两台核心摆交换层交换机。啊互联网接入部分隘主要面向互联网俺的客户提供服务吧以及部分数据交翱换柏。此区域会有大安量的互联网服务肮器如Web应用昂，DNS服务器袄等，同时还有大半量的客户服务和把应用处理服务器吧。考虑到Int艾ernet接入白需要更高的安全拔因此将服务器分白别部署在DMZ邦区和扩展DMZ翱区，并采用奥两般层防火墙进行隔凹离，同时部署相扳应的IDS设备绊。设备选型推荐岸针对数据中心建耙设的统一性原则拜，针对数据中心案尽量采用相同的版设备进行配置，挨从而保证数据中奥心整体的易维护拜和易扩展。癌针对数据中心大奥量服务器采用千耙兆接入，要求高背效传输的特点，巴在骨干层和汇聚拔层间，以及

22、部分艾汇聚和接入颁层间采用万兆连捌接，减少千兆捆癌绑带来的复杂配懊置，同时支持业柏务拜的快速增长。巴对于外联区，考瓣虑到需要有大量安的防火墙隔离，瓣受制于外联广域啊网的限制，接入安层和汇聚层之间安采用千兆连接。佰针对上述分析数奥据中心蔼在设备级的要求吧如下：盎电信级可靠性网背络设备99.9唉99%盎，支持热切换，霸热补丁唉采用班万兆技术袄，支持高密度万癌兆连接支持安全联动澳有效抵御网络资般源消耗型病毒攻胺击叭（例如DOS/伴REDCODE佰等版）蔼全分布式线速处哀理靶支持多业务的深吧度扳感知挨支持氨MPLS VP疤N和IP V6扮功能拜扩展哀支持外置冗余电办源拜大容量哎冗余交换背板结般构胺单机

23、霸具有高扩展能力艾针对上述分析本澳项目的设备选型白推荐列表如下：柏数据中心核心交半换机跋H3C S75扮0扳3吧E啊数据中心汇聚层办交换机背H3C S51拔20-52C-办EI胺运维管理区懊接入交换机袄H3C S51版20-52C-耙EI皑其他功能区的接把入交换机氨H3C S51熬20-52C-懊EI熬中端路由器伴Quidway袄 AR28-8啊0稗网络傲管理系统罢H3C IMC班数据服务器白IBM Pow艾er 740熬应用服务器安IBM Sys斑tem x36挨50 M3艾设备数量配置如斑下：安名称版设备配置情况蔼1、核心交换区拜核心层：袄2靶台敖H3C S75颁0安3爸E班2、氨核心业务

24、佰区蔼汇聚：2台班H3C S51敖20安，接入：2台哀H3C S51搬20哀3、运维管理区搬汇聚：2台扒H3C S51拌20癌，接入：2台白H3C S51巴20鞍4、广域网接入案区把5、版办公班接入控制区叭6、外联区袄、网上业务区罢7、数据库服务袄器安I奥BM Powe叭r 740笆：2台笆8、应用服务器耙IBM Sys靶tem x36稗50 M3般：6台鞍9爱、网元管理般Quidvie绊w DMG凹H3C S75搬0靶0芭E俺简介案H3C S75捌00E俺核心路由交换机柏 昂H3C S75疤00E系列产品伴是杭州华三通信哀技术有限公司（罢以下简称H3C傲公司）面向融合斑业务网络推出的伴新一代

25、高端多业熬务路由交换机，扮该产品基于H3半C自主知识产权罢的Comwar柏e V5操作系扳统，融合了MP搬LS、IPv6坝、网络安全、无皑线、无源光网络蔼等多种业务，提阿供不间断转发、绊优雅重启、环网昂保护等多种高可艾靠技术，在提高案用户生产效率的稗同时，保证了网吧络最大正常运行懊时间，从而降低扮了客户的总拥有矮成本（TCO）拌。H3C S7胺500E符合“翱限制电子设备有捌害物质标准（R扒oHS）”，是熬绿色环保的路由坝交换机。叭。昂H3C S75般00E系列产品胺，所有产品均支肮持冗余主控。H半3C S750敖0E可广泛应用岸于城域网汇聚和柏边缘、园区网核巴心和汇聚以及配巴线间等多种网络熬

26、环境，为用户提敖供了有线无线一熬体化、有源无源跋一体化的行业解敖决方案。产品特点罢丰富的业务，适翱应融合业务网络蔼发展趋势班* 全面的MP白LS业务能力袄H3C S75啊00E所有产品岸均支持Mult按i-VRF特性暗，可以作为MC摆E设备使用；支佰持三层的MPL懊S VPN和二把层的MPLS 把VPN（Mar扳tini、Ko佰mpella）板，可扩展支持V懊PLS技术；支稗持MPLS O捌AM特性，方便凹用户的管理和维背护；与H3C 伴MPLS VP扒N Manag八er配合，实现搬图形化的MPL罢S部署与维护。哎* 线速的IP办v4/IPv6拔业务能力霸H3C S75翱00E支持IP扮v4

27、/IPv6俺双协议栈,支持爸多种隧道技术，扒支持IPv4/鞍IPv6的组播叭技术，为用户提扳供完善的IPv伴4/IPv6解皑决方案；H3C氨 S7500E翱采用分布式体系澳架构，实现IP扮v4/IPv6挨业务的线速无阻八塞转发；H3C挨 S7500E吧已经通过了信息板产业部的IPv按6入网认证和I柏Pv6 Rea疤dy第二阶段金皑色认证，是成熟半商用的IPv6耙产品。八* 有线无线一懊体化，有源无源袄一体化岸H3C S75般00E集成的无翱线控制模块提供唉丰富的业务能力巴，包括精细的用昂户控制管理、完版善的RF管理及把安全机制、快速佰漫游、超强的Q俺oS和对IPv翱6的支持等；无袄线控制模块通

28、过敖与安全策略服务颁器的联动，实现八对无线接入用户办的端点准入防御奥，提高了整网的霸安全性。皑H3C S75癌00E是业界最翱高密度的以太网绊无源光网络（E奥PON）设备，般单台最大可接入挨10240个F碍TTH用户；H鞍3C S750百0E是高可靠的办EPON系统，拔采用分布式体系败结构、模块化设哀计，主控板冗余巴热备份、无源背哀板、冗余电源支隘持双路供电，具挨有电信级可靠性版。靶* 支持Por凹tal认证巴H3C S75敖00E支持大容翱量的Porta笆l认证功能，可翱以在数千用户的八局域网中做为E吧AD网关设备，碍为全网用户提供癌EAD安全认证爱功能；可以在大肮中型的校园网中版担任汇聚/

29、核心皑设备的同时，为白学生宿舍区的认柏证计费提供Po班rtal认证功阿能。板灵活的配置，适板应各种应用场景傲* 配线间融合胺业务网络的最佳稗选择氨H3C S75捌00E针对配线袄间的需求定制开捌发了SA板卡，俺单台设备可以提板供480个千兆爸线速接口和4个叭万兆线速接口。案H3C S75办00E支持端点爱准入防御解决方敖案，解决终端安澳全问题；内置2稗800W电源直柏接提供PoE功唉能，对IP语音鞍和无线接入提供白良好的支持。般* 政府电力城傲域网边缘和汇聚澳的最佳选择鞍H3C S75瓣00E支持Mu班lti-VRF颁特性，为用户提癌供高可靠高性能翱的MCE设备；耙通过配置Sal吧ience

30、V蔼I-Turbo靶引擎，可以提供肮集中式MPLS巴业务功能，适合安在城域网边缘作按为高性价PE设搬备使用；通过配靶置EA类板卡，埃可以提供分布式昂线速的MPLS罢业务功能，适合耙在城域网汇聚层白作为高性能的P巴E使用。埃* IPv6网安络的最佳选择暗H3C S75敖00E所有Sa瓣lience 唉VI引擎都可以百提供集中式IP敖v6功能，H3败C S7500傲E针对IPv4澳/IPv6高性挨能的要求还开发懊了分布式IPv吧4/IPv6转矮发的SC板卡，拔在整机满配置状版态下实现线速无盎收敛，为高校用罢户提供了高性能翱低成本的双栈汇爱聚核心设备，同扮时也满足其他行碍业用户IPv6罢 Ready

31、的柏需求。拜全方位的安全保办障，抵御多种网癌络安全威胁癌* 三平面安全哀保障机制吧H3C S75颁00E提供完善柏的安全防护机制挨，可从控制、管八理、转发三平面班全面保障网络的哀安全：在控制平般面，内置协议报挨文攻击识别模块拜，防止TCN、罢ARP等协议报岸文攻击，OSP佰F/BGP/I疤S-IS路由协肮议采用MD5验袄证，防止非法路瓣由更新报文导致挨的网络瘫痪；在袄管理平面，SN盎MPv3网管协癌议，SSH V艾2，基于802扒.1x、AAA拔/Radius挨的用户身份认证懊以及分级的用户霸权限管理保证了凹设备管理的安全隘性；在转发平面啊，支持IP、V背LAN 、MA埃C和端口等多种懊组合精

32、细绑定；俺支持uRPF单巴播反向路径转发颁，防止非法流量霸访问网络，采用柏最长匹配逐包转版发机制，有效抵霸御病毒的攻击。办H3C S75跋00E还支持内芭置的高性能防火敖墙、异常流量清拌洗等模块，将专靶业的安全融入到跋交换机之中。瓣* 有线无线全白面支持EAD啊H3C S75疤00E是EAD按端点准入防御解稗决方案的重要组扳成部分，S75按00E可以动态把的接收来自安全扒策略服务器的控昂制策略，根据终版端的安全状态给盎予下发相应的访疤问权限。H3C碍 S7500E芭既支持有线终端摆用户的EAD，跋也支持无线终端办用户的EAD，蔼能够做到终端安安全防范无漏洞。碍* 增强的AC叭L特性绊H3C S

33、75瓣00E系列产品爱支持强大的AC傲L能力：支持标傲准和扩展ACL坝；支持基于VL耙AN的ACL，板方便用户配置，背节省ACL资源拌；支持出方向和颁入方向的ACL暗，每板最大可支盎持9K条ACL绊，满足金融等行安业访问权限严格熬控制的需求。皑电信级的高可靠拔性，保障用户业搬务长期稳定运行摆* 电信级高可跋靠性设计靶H3C S75捌00E采用无单按点故障设计，所背有关键部件，如扮主控板、交换网颁、电源和风扇等拜采用冗余设计；鞍无源背板避免了叭机箱出现单点故肮障；所有单板和芭电源模块支持热岸插拔功能；H3百C S7500疤E系列可以在恶捌劣的环境下长时敖间稳定运行，达百到99.999扮的电信级可

34、靠昂性。疤* 多业务高可暗靠性运行霸H3C S75安00E支持不间艾断转发和优雅重昂启，提供毫秒级袄的切换时间；支摆持等价路由，可鞍帮助用户建立多案条等值路径，实斑现流量的负载均邦衡及冗余备份；按支持RRPP快盎速环网保护协议挨，提供小于20懊0ms的环网故伴障保护；支持S拌mart-Li绊nk协议，保证奥双上行网络拓扑班的业务毫秒级快扮速切换。通过上唉述技术，H3C鞍 S7500E唉可以在承载多业爸务的情况下不间按断运行，实现业芭务的永续。挨* 支持热补丁昂技术疤H3C S75班00E能够在不盎重启设备的前提胺下，通过热补丁跋技术，在线修改盎软件BUG，增挨加新的业务特性捌。H3C S7搬5

35、00E提供控捌制补丁单元状态岸切换的用户命令案，使用户能够方挨便的加载、激活坝、去激活、运行板或删除补丁单元爱。通过热补丁技昂术，降低了设备扒需要重启的次数癌，为客户提供更拔长的网络正常工邦作时间。基本规格 HYPERLINK /cword/536.shtml 暗交换机类型败：路由交换机 HYPERLINK 扳传输速率唉: 10/10肮0/1000/白10000应用层级:三层瓣交换方式存储:哎转发败背板带宽(Gb疤ps):般10八00Gbps颁包转发率:扳274般Mpps傲VLAN功能:板支持扳系统内存:Fl吧ash:64M白B；SDRAM鞍:512MB；白CF卡:256隘MB/512M暗B/

36、1GB(可跋选)暗MAC地址表:熬128K邦 网管功能敖：支持半AR28-80疤简介袄Quidway癌稗 俺AR 28-8白0模块化中心路绊由器是华为3C熬om公司拌Quidway昂安 懊AR系列路由器八中面向企业用户跋的网络产品，采敖用32位的微处俺理器技术，使用俺VRP拌（通用路由平台邦），提供了极其半丰富的软件特性白，支持哑终端接巴入服务器和金融白POS接入功能捌，支持爱SNA/DLS拔w疤、板VoIP耙特性等，提供丰哀富的备份方案及白QoS爱特性；硬件采用捌模块化结构，具鞍有更高的处理能霸力和更大的接入绊密度，具备MP百LS VPN功摆能、DVPN功澳能、可平滑升级叭支持IPv6符百合

37、未来IP技术班的发展潮流。凹Quidway暗隘AR 28-8奥0既适合于在中肮小型企业网中担俺当核心路由器，扒也可以在大型网吧络中担当汇聚层肮路由器。按Quidway熬吧 爱AR 28-8把0路由器外观图产品功能特性：耙VRP版操作俺平台：笆华为办3Com胺在敖成熟的袄VRP凹软件平台的基础颁上，结合扮AR28暗系列的硬件体系爱结构和软件业务熬要求，度身定做半的的埃AR28霸系列哎的软件体系，完把全继承了扒VRP扒平台的稳定性、疤成熟性和可靠性吧，所提供的软件稗业务均为蔼VRP稗平台的成熟特性拔，同时可以随着百VRP按平台的不断发展摆同步提供新的特爸性。把VPN懊解决方案：隘支持L2TP 鞍V

38、PN按、GRE VP蔼N、IPSec败 VPN、SS吧L VPN、鞍MPLS L3班VPN， MP拌LS L2VP摆N敖、华为动态VP啊N等多种VPN霸业务。网络安全：颁登录用户认证、翱RADIUS/扳H佰TACACS把认证/计费、I唉PSEC、IK版E、硬件加密卡奥、防火墙支持（捌对接口/时间段吧/MAC地址的疤过滤）、CA认斑证（耙数字证书案）、高性能NA爸T。互连协议：爸以太网、桥、帧白中继、X.25啊、HDLC、S挨DLC、LAP耙B、SLIP、懊PPP、PPP扳头压缩、MP、颁ISDN、PP艾PoE Cli版ent、按需拨蔼号、拨号串循环扒备份、PPP/拌ISDN回呼、拌L2TP建立

39、二盎层隧道、GRE靶建立三层隧道、扳IPSEC建立胺三层隧道、xD凹SL宽带接入。网络协议：佰DHCP、VL半AN、IPX、稗DLSw、RI隘P-1/RIP办-2、OSPF啊、BGP、策略袄路由、组播、路扒由负载分担、地佰址借用、TCP癌报文头压缩、路罢由策略。哀应用层协议及业背务特性：伴Telnet、叭SSH、Rlo班gin、dum稗b termi岸nal、增强安板全特性的终端接霸入服务器、金融案POS接入服务芭，RTC、LP碍D、及NTP应凹用层协议或业务奥特性。QOS：挨流量分类和流量靶监管CAR/L阿R、流量整形G按TS、拥塞管理背PQ/CQ/W坝FQ/CBQ、罢拥塞避免WRE傲D。网

40、络可靠性：百接口/子接口间熬的物理层备份，靶虚链路/虚模板奥/拨号接口/逻斑辑接口间的链路把层备份，动态路败由实现网络层备百份、VRRP实碍现设备层备份。系统可靠性：盎支持背dual im拔age俺，案能对扮image袄文件进行合法性扳判别，支持启动敖成功性自探测，败支持装载碍image岸文件引导系统，扒支持从主懊image哎文件启动，支持版从备份翱image疤文件启动矮。语音特性：扒静音压缩、舒适哎噪音、语音防抖板动、音量调节、爸PBX交换机功疤能模拟、主叫号靶码识别、自动忙柏音检测、灵活V瓣OIP选路与备半份策略、IP传矮真、语音RAD伴IUS、GK 笆Client、鞍IPHC、语音昂Qo

41、S。IPV6：埃从目前的硬件体埃系结构和奥软班件平台的基础上懊能够平滑芭升级到爱IPV6艾的软件版本版,爱 摆全面支持版IPv4罢和奥IPv6捌双协议栈碍，皑提供丰富的坝IPV6疤协议，癌支持多种挨IPv4按向颁IPv6凹的过渡技术：手案工配置隧道、自扮动配置隧道、扒6to4百隧道、版GRE摆隧道、实现矮NAT-PT半等；支持暗IPv6耙静态路由，支持把BGP4/BG笆P4+哎、暗RIPng懊、氨OSPF3翱、澳ISISv6搬等动态路由协议败；支持安ICMPv6 按MIB暗、皑UDP6 MI摆B碍、俺TCP6 MI凹B埃、蔼IPv6 MI按B坝等疤。配置管理：碍中英文双语、命班令分级保护、t罢

42、racert/岸ping/de袄bugging拔故障诊断功能、拌RMON、SN版MPv1/v2办c/v3、系统熬日志、可通过进把行系统升级、可啊通过Conso岸le/AUX/叭X.25 PA安D/Telne皑t/反向Tel板net等方式进耙行配置。阿通过疤Quidvie摆w颁网管软件，能够办对路由器进行远氨程配置，并且能熬够对主机程序通绊过隘Quidvie哎w拌进行在线升级。产品规格摆项目罢AR 28-4柏0瓣 拔描盎 瓣述鞍AR 28-8氨0拜 八描述傲插槽疤4爱8班 功能模块吧LAN接口模块百1FE/2FE巴（碍10/100B袄as百e-TX凹快速以太网接口碍模块）按1SFX（10跋0Ba

43、se-F拔X以太网单模光半接口模块）佰1MFX（10捌0Base-F哀X以太网多模光斑接口模块）芭1GB澳E（1000B般ase-T千兆胺以太网模块）芭1GEF（10挨00Base-疤SFP千兆以太板网光模块）斑WAN接口模块案2败/4矮SA（高速同异佰步串口模块）搬8/16AS（安异步串口模块）邦2/4/8SA罢E（增强型同异绊步串口模块）扳1/2/4E1捌（通道化cE1哀/PRI模块）白1/2/4E1巴-F（非通道化扒E1模块）背1/2/4T1袄（通道化的cT安1/PRI模块爱）澳1/2/4T1板-澳F（非通道化T盎1模块）拌1C芭E3（通道化E胺3模块）柏1C皑T3（通道化T拔3模块）癌

44、6/12AM（绊模拟调制解调器瓣模块）班4BS埃（罢ISDN BR伴I S/T版接口模块）背155M 1A搬TM（ASM/拔AMM/ASL把，155M 单拜模/多模/单模百长距离光接口模奥块）岸ATM E3/斑T3（ATM 伴E3/T3传输啊模块）挨1/2ADSL艾（ADSL霸 over P案OTS拜通信模块）扳1/2ADSL芭-I爸（ADSL板 over I盎SDN蔼通信模块）板POS（155俺M 非通道化P昂OS传输模块）敖C蔼POS（155挨M 通道化PO绊S传输模块）俺4/8端口E1白 ATM IM班A熬(罢高密度ATM 拌E1 IMA拔 E1 制式传半输模块)盎4/8端口肮T癌1 A

45、TM I疤MA胺(澳高密度ATM 哎E1 IMA版 T1 制式传百输模块)袄语音模块班2FXS拔/败4FXS唉（搬FXS胺接口语音模块）败2FXO笆/袄4FXO跋（盎FXO凹接口语音模块）绊2E&M/4E坝&M版（拜E&M把接口语音模块）瓣E1VI癌（敖E1安语音模块）袄T1VI班（芭T1颁语音模块）芭POS接入模块胺2/4/6FC爱M俺（快速连接MO班DEM模块）氨其他模块八NDEC（网络瓣数据加密模块）巴处理器背MPC824隘5案 案300拜MHz埃MPC8245肮 癌300MHz氨转发性能柏110-120案KPPS拔110-120案KPPS/13岸0-150KP绊PS霸NVRAM跋128

46、KB扮FLASH俺32半MB捌SDRAM敖缺省：暗128MB敖，最大：懊256MB靶外型尺寸（鞍mm肮）宽爱蔼深背蔼高凹440 拔啊 400挨氨 43坝440 扮斑 400暗安 稗86爱重量奥8癌kg鞍14kg吧输入电压罢AC扳额定电压范围：埃10半0盎-哀24案0背V肮；白50/60Hz吧 案最大电压范围：安9败0癌-皑2扮6板4V鞍；癌 50/60H版z背DC澳额定电压范围：爸-48爸- -班60肮V瓣最大电压范围：碍-36隘- -斑72跋V伴最大功率扒67W澳114W霸工作环境温度伴0 靶版 40把办环境湿度盎5办 肮坝 90% 罢不结露服务器接入设计岸数据中心的服务颁器对可靠性要求瓣较

47、高，会有多种案高可靠的接入方搬式，根据对主机芭接入的分类，主扮要分为三类：多靶主机群集，双机奥HA应用，单机芭多网卡。这三种按方式均涉及到多奥网卡与交换机连氨接。因此针对群搬集和HA应用还瓣有多VLAN的叭方式和同一VL芭AN的方式。败针对多主机多V肮LAN的方式跋这类主机部署的啊应用属于重要应巴用，熬以核心业务应用氨为主。阿为保证可靠性邦至少选择在2台敖接入交换机上均哀做相同的VLA办N和端口配置，澳实现端口1+1伴冗余，即保证单跋一接入设备可以澳承载全部主机连八接，在工作时并霸将暗多版主机叭同一业务对应霸端口接入颁相绊同VLAN中吧（根据切换方式坝不同可选择同一耙交换机或不同交斑换机）拌。

48、拜针对多主机共享敖VLAN的方式颁，为保证可靠性傲至少选择在2台板接入交换机上均扳做相同的VLA俺N和端口配置，霸实现端口1+1邦冗余，即保证单八一接入设备可以爸承载全部主机连敖接，在工作时并懊将多主机对应业爸务端口分布到2敖台交换机。跋针对HA主机多败VLAN的方式扒这类应用也属于翱重要应用吧，以各类基于开唉放平台的业务为暗主跋。为保证可靠性版选择在2台接入拜交换机上做相同办的VLAN和端鞍口配置，实现端扮口1+1冗余，扒即保证单一接入熬设备可以承载全俺部主机连接，在阿工作时将双机对凹应端口部接入到半不同交换机的对碍应VLAN中。哎针对HA主机单邦VLAN的方式办这类应用也属于案重要应用矮，

49、以各类基于开拔放平台的业务为罢主耙。为保证可靠性安选择在2台接入耙交换机上做相同暗的VLAN和端氨口配置，实现端啊口1+1冗余，俺即保证单一接入疤设备可以承载全拔部主机连接，在皑工作时将双机对敖应端口部接入到班不同交换机的疤同一蔼VLAN拔端口吧中。扒针对单机多VL芭AN方式氨单机应用一般数班据次关键应用扳，以部分业务的拔前置服务器为主唉。针对单机多网柏卡多VLAN方稗式，也考虑将多板VLAN在2台芭接入交换机上部拌署，实现VLA斑N端口1+1冗拔余。工作时将主坝机不同端口分别拜连接到不同交换氨机的对应VLA拔N端口。胺针对单机单VL版AN方式挨这种方式是实现癌单机的网卡和链白路备份敖，以部分

50、业务的班前置服务器为主颁。此种方式本身澳即是端口和链路埃备份，在2个交绊换机上均部署相把同VLAN和对巴应端口，将这单办机的2个端口分绊别连接到2个交凹换机的对应端口拌。盎VLAN和Sp八anning 皑Tree设计VLAN简述蔼VLAN（Vi搬rtual L氨ocal Ar柏ea Netw蔼ork虚拟局拜域网）逻辑上把碍网络资源和网络碍用户按照一定的芭原则进行划分，案把一个物理上实扒际的网络划分成埃多个小的逻辑的跋网络。这些小的皑逻辑的网络形成叭各自的广播域，罢也就是虚拟局域挨网VLAN。V凹LAN在功能和八操作上与传统L罢AN基本相同，艾可以提供一定范霸围内终端系统的耙互联。IEEE笆80

51、2.1Q是癌虚拟局域网的正挨式标准，定义了啊同一个物理链路按上承载多个子网熬的数据流的方法颁。IEEE80斑2.1Q定义了坝VLAN帧格式疤，为识别帧属于巴哪个VLAN提懊供了一个标准的矮方法。这个格式拜是统一标识VL坝AN的方法，有斑利于保证不同厂笆家设备配置的V百LAN可以互通挨。奥VLAN注册协挨议（GVRP）翱GVRP（GA伴RP VLAN皑 Regist笆ration 袄Protoco翱l）是VLAN安注册协议。GV哎RP基于GAR白P的工作机制，艾是GARP的一俺种应用，维护交皑换机中的VLA笆N动态注册信息班并传播该信息到昂其它的交换机中傲。所有支持GV瓣RP特性的交换俺机能够接

52、收来自皑其它交换机的V氨LAN注册信息袄，并动态更新本叭地的VLAN注碍册信息，包括当笆前的VLAN成邦员，这些VLA盎N成员可以通过坝哪个端口到达等癌。而且所有支持靶GVRP特性的澳交换机能够将本邦地VLAN注册哎信息向其它交换拌机传播，以便使爸同一交换网内所拌有支持GVRP拔特性的设备的V瓣LAN信息达成哎一致。GVRP白传播的VLAN癌注册信息包括本懊地手工配置的静背态注册信息和来霸自其它交换机的翱动态注册信息。笆对GVRP特性矮的支持使得不同澳交换机上的VL阿AN信息可以由俺协议动态维护和靶更新，只需要对碍少数交换机进行俺VLAN配置，拌就可以应用到整唉个交换网络，无斑需耗费大量时间隘

53、进行拓扑分析和皑配置管理，协议癌会自动根据网络爸中VLAN的配斑置情况，动态地癌传播VLAN信暗息并配置在相应稗的端口上。按根据VLAN注版册信息，交换机八了解到干道链路败对端有哪些VL般AN，自动配置搬干道链路，只允班许对端交换机需艾要的VLAN在皑干道链路上传输按。跋GVRP注册类艾型埃功能败Normal绊允许在该端口手罢工或动态创建、背注册和注销VL唉AN；氨Fixed耙允许手工创建和办注册VLAN，拌并且防止VLA版N的注销和在其拜它Trunk端八口注册此端口所叭知的动态VLA颁N。这种情况下肮，GVRP就不坝会自动配置Tr扮unk端口允许氨哪些VLAN报罢文可以通过；安Forbidd

54、佰en耙将注销VLAN暗1以外的所有V般LAN，并且禁叭止在该端口上创安建和注销任何其胺它VLAN；盎注：VLAN1颁的注册类型必须背是Fixed，敖且不可以更改。背为了减少交换机办之间的相互影响把，蔼数据中心按的奥GVRP类型澳设计为半Fixed。办根据前文所述，敖数据中心网络分背为多个功能分区芭，每个网络功能八分区的接入层交伴换机将定义为L盎ayer2交换阿机，Layer佰2和Layer耙3的边界位于每安个网络功能分区案的暗汇聚层澳交换机上。罢接入层交换机通拔过VLAN连接袄接入设备；办接入层和胺汇聚层芭交换机之间通过耙Trunk连接胺；瓣汇聚层安交换机之间通过拔Trunk连接伴。如下图：

55、VLAN设计邦建议挨数据中心生产相背关VLAN扒依据以下规则进耙行般定义：啊对VLAN I埃D进行连续分配胺；捌分配的VLAN埃 ID与数据中俺心不同的功能分板区进行对应；扮办公相关VLA唉N的VLAN 安ID可以复用生伴产相关VLAN扒的VLAN I稗D袄；邦数据中心网络设扳备互连VLAN拔 (不包括生产般外联区内部设备挨互连VLAN)邦 版单独分区；捌为了灵活的使用叭VLAN ID瓣资源，相邻VL颁AN区的VLA袄N ID分配方扮式取反；例如，白前一个VLAN啊分区分配方式为百从低到高分配凹，后一个VLA叭N区就使用柏从高到低分配扒，反之亦然。STP设计斑STP（生成树啊协议）通过协商氨一

56、条到根网桥的傲无环路径来避免坝和消除网络中环拔路，从而解决透板明桥接冗余网络挨中的环路问题。昂STA（生成树叭算法）在网络中白选择Root 埃Bridge（班根网桥）为参考爸点，通过发送B安PDU（桥接协搬议数据单元）寻坝找冗余链路。生凹成树协议可以自笆动阻断或释放二办层链路，确保到盎每个目的地都只百有单一路径。叭尽管生成树协议吧可以在二层网络埃中防止桥接环路疤问题，但在实际隘环境中，也会引跋起一些其它问题摆。对于使用大型背生成树会造成扩耙展性及稳定性的翱问题，可以通过吧划分VLAN和稗控制交换域范围埃等方式，提高S吧TP的收敛速度笆，达到更快的恢叭复能力和更高的昂可靠性。建立根网桥搬生成树网

57、络中最埃重要的设计之一坝是根网桥的放置爸。根网桥的恰当氨放置不但可以优霸化生成树协议所捌选择的路径，还拌可以为数据提供搬明确的路径，明败确的路径使排错啊和配置网络变得半更为容易。 DOCPROPERTY Project * MERGEFORMAT 挨上海数据中心靶通过在扳汇聚层啊交换机上澳手工配置根网桥啊的主、备伴策略，确保生成捌树在二层链路形胺成笆最佳氨的树型拓扑。绊根网桥设置还可埃以通过调节路径爱开销、端口优先案级、端口ID等百方式实现。扳根据经验，推荐叭将汇聚层交换机艾设置成根网桥。拌 VRRP按VRRP（Vi办rtual R版outer R班edundan笆cy Prot疤ocol）是

58、一败种容错协议，其摆目的是利用备份按机制来提高路由伴器与外界连接的暗可靠性。VRR八P确保当主机的蔼下一跳奥三层设备跋坏掉时可以及时办的由另一台俺三层设备哀来代替，从而保哎持通讯的连续性唉和可靠性。VR败RP中只定义了鞍一种报文艾八VRRP报文，肮这是一种多播报爸文，由主懊设备摆定时发出来通告笆它的存在，使用埃这些报文可以检绊测虚拟盎设备罢各种参数，还可吧以用于主拔设备八的选举。VRR暗P中定义了三种癌状态模型初始状懊态Initia捌lize ，活奥动状态Mast巴er ，备份状捌态Backup矮，其中只有活动凹状态可以发送报案文，而且报文也版只有一种。VR埃RP报文是封装奥在IP报文上的绊，

59、支持各种上层按协议。同时VR鞍RP还支持将真芭实接口IP地址艾设置为虚拟IP唉地址的做法。澳1.安俺汇聚层蔼设备在连接普通捌接入时采用VR疤RP；邦2.搬背VRRP优先级鞍策略与STP的跋根网桥主备设置白一致；凹下图是VRRP搬拓扑设置的示意岸图：IP地址设计隘IP地址的合理霸设计是数据中心叭网络设计中的重碍要一环，大型计扮算机网络必须对邦地址进行统斑一规划并得到实稗施。IP地址规哎划的好坏，影响哀到网络路由协议矮算法的效率，影袄响到网络的性能碍，影响到网络的办扩展，影响到网肮络的管理，也必版将直接影响到网敖络应用的进一步奥发展。伴IP地址采用R般FC1918规扮定的地址段（不叭包括外联区域I

60、阿P地址）。根据颁选择的IP地址瓣段和数据中心的靶业务功能模块进氨行映射，建议如半下：网段分配八功能分区类型颁IP地址范围挨生产区 (主机疤、开放平台)癌16个C类地址碍备用暗16个C类地址岸测试区 (主机办、开放平台)斑16个C类地址懊备用百16个C类地址按运行管理区案16个C类地址哎备用芭16个C类地址蔼生产外联区挨懊扩展DMZ和D板MZ区域吧翱外连区域颁16个C类地址颁芭另一个RFC1搬918网段地址扳扒使用公有地址柏备用拔16个C类地址氨办公肮管理区挨16个C类地址肮备用拜16个C类地址半中心网络设备互啊连百(不包括生产外霸联区内部设备互叭连)霸16个C类地址啊备用凹剩余C类地址懊设备