华为企业园区网络建设-技术方案-建议书

企业园区网技术建议书华为数据中心网络技术建议书 内部公开目录项目概述 ..项目背景 项目目标 总体系统设计 需求分析 设计原则 网路架构设计 总体网络架构 典型园区网网络架构 .经济型园区网网络架构 虚拟交换园区网网络架构 .0分层网络设计 3.2.1 接入层 3.2.2 汇聚层 3.2.3 核心层 3.2.4 出口层 二三层网络分界点设计 3高可靠性设计 网络高可靠性设计 设备高可靠性设计 重要部件冗余 .0设备自身安全 .0园区交换机虚拟化设计 1汇聚交换机的集群CSS(ClusterSwitchSwitching) 21接入交换机的堆叠iStack .4安全方案设计 园区网安全方案总体设计 5园区接入安全设计 园区网络监管/监控 防IP/MAC地址盗用和ARP中间人攻击 .0防IP/MAC地址扫描攻击 .2广播/组播报文抑制 3园区网边界防御 .35.4.1 防火墙部署设计35.4.2 防火墙功能设计45.4.3 防火墙性能选择45.4.4 虚拟防火墙设计55.4.5 NAT设计5园区网出口安全 .66 网管系统方案设计8网管系统概述 系统优势介绍 网络管理优势功能 0网络流量分析器优势功能 .0认证计费优势功能 1网管系统部署 2022-04-27

版权所有，侵权必究 第2页，共54页华为数据中心网络技术建议书 内部公开集中式网管系统部署 .2分布式网管系统部署 .47 设备介绍6园区汇聚/核心交换机 6园区接入交换机 .8QuidwayS530系列交换机 .8QuidwayS330系列交换机 .0QuidwayS230系列交换机 .22022-04-27 版权所有，侵权必究 第3页，共54页华为数据中心网络技术建议书 内部公开表目录错误！未找到目录项。图目录图1典型园区网网络架构 图2经济型园区网网络架构 0图3虚拟交换园区网网络架构 1图4交换机集群（堆叠）方案 2图5园区网高可靠性设计方案总览 .5图6口子型组网...........................................................................................................................6图7三角型组网...........................................................................................................................7图8U字型组网8图9可靠性设计目标方案组网 9图10黑客工具的危害性 .0图11集群组网的优势 图12两种集群方式比较 .3图13华为CSS集群技术 .3图14园区网安全方案总体设计 5图15网络准入控制NAC .6图16802.1x接入认证流程 图17MAC认证流程 图18802.1xMAC旁路认证流程 图19WEBPortal认证流程 .0图20ARP中间人攻击防御 .1图21园区网防火墙功能部署 3图22虚拟防火墙设计 图23园区网出口安全设计 图24企业网网管系统组件 图25集中式网管系统部署 图26分布式网管系统部署 图27S9300系列交换机 图28S5300系列交换机 图29S3300系列交换机 图30S2300系列交换机 2022-04-27 版权所有，侵权必究 第4页，共54页华为数据中心网络技术建议书 内部公开企业园区网技术建议书关键词：园区网，网络架构，可靠性，安全，集群/堆叠，防火墙摘 要：本文描述了企业园区网建设需求和设计方案,重点描述了园区网架构、可靠性、安全增值业务和网络管理维护系统的设计方案。缩略语清单：缩略语 英文全名 中文解释STP/RSTP/MSTPSpanningTreeProtocol/RapidSTP/MultipleSTP

生成树协议/多生成树协议CSSiStackDLDPNACDAI

ClusterSwitchSwitchingIntelligentStackDeviceLinkDetectionProtocolNetworkAccessControlDynamicARPInspection

网络接入控制动态ARP检测2022-04-27 版权所有，侵权必究 第5页，共54页华为数据中心网络技术建议书 内部公开项目概述根据实际情况增加项目介绍项目背景项目目标总体系统设计需求分析随着企业信息化建设不断深入，企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展，对于企业园区网的建设要求越来越高。传统园区网建设初期往往面临如下问题：网络架构较为混乱，不便于扩容和维护管理络拓扑相对混乱，不便于对网络性能瓶颈进行正确评估和有效扩容，给日常网络管理也带来很大难度。网络可靠性规划不合理，影响企业生产和经营管理、造成投资浪费由于缺乏有效的园区网规划，对于网络可靠性考虑不够，网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为，同时也存在网络过度冗余、造成投资浪费的现象。网络信息安全存在隐患网络安全性是园区网建设的重中之重，传统园区网安全漏洞较多，无法应对内外部用户日益猖獗的网络攻击行为（例如：对园区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息），对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络，网络层面的安全保证和防御措施也不到位，造成园区网的脆弱和易攻击。2022-04-27 版权所有，侵权必究 第6页，共54页华为数据中心网络技术建议书 内部公开无法满足日益增长的网络业务需求WLAN无线接入，满足移动办公、大区域无线缆覆盖等特殊要求；对于企业用户访问外网进行计费，计费策略可灵活设置（时长计费、流量计费、按目的地址计费）；这些业务存在园区网络分散建设、重复投资的问题。缺乏简单有效的网络管理系统，企业IT网络运维部门面临很大压力当前，企业网IT运维部门面临很大的网络运维压力，来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象，网络故障诊断、分析定位过程对于IT运维人员的技术能力和经验水平要求较高，缺乏简单有效/低成本的图形化网管工具、进行实时网络拓扑显示、状态监控和各种故障事件预警/告警展示。另外，IT运维部门也需要实施统计园区网各路径的流量信息，便于对网络带宽进行管理和规划，给后续网络扩容提供参考。设计原则安全性安全性是企业园区网建设中的关键，它包括物理空间的安全控制及网络的安全控制。需要有完整的安全策略控制体系来实现企业园区网的安全控制。可靠性、可用性高可靠性是园区网提供使用的关键，其可靠性设计包括：关键设备冗余、链冗余和重要业务模块冗余。关键设备均采用电信级全冗余设计，可实现单板热拔插、冗余的控制模块设计、冗余电源设计。采用冗余网络设计，每个层次均采用双机方式，层次与层次之间采用全冗余连接。提供多种冗余技术，采用高效、负载均衡的双机备份。可采用交换机的集群或者堆叠技术，在不降低网络可靠性的前提下，减化网络架构。可扩展性2022-04-27 版权所有，侵权必究 第7页，共54页华为数据中心网络技术建议书 内部公开园区网方案设计中，采用分层的网络设计；每个层次的设计所采用的设备本身都应具足够高的端口密度，为后续园区网扩展奠定基础。在园区出口层、核心层、汇聚层的设备都采用模块化设计，可根据园区网的发展进行灵活扩展。功能的可扩展性是园区网随着发展提供增值业务的基础。实现防火墙、负载均衡、WLAN接入、认证计费等功能，为园区网增值业务的扩展提供基础。可维护、可管理性网络可管理性是园区网成功运维的基础。应提供低成本、简单有效的园区网统一网管系统，对园区网所有网络设备进行管理，包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。网路架构设计总体网络架构典型园区网网络架构2022-04-27 版权所有，侵权必究 第8页，共54页华为数据中心网络技术建议书 内部公开图1典型园区网网络架构典型园区网方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，在汇聚层交换机，通过模块化（业务单板）方式提供WLANAC控制器、防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。典型园区网的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用TRUNK链路保证链路级可靠性。经济型园区网网络架构2022-04-27 版权所有，侵权必究 第9页，共54页华为数据中心网络技术建议书 内部公开图2经济型园区网网络架构考虑到节省园区网网络建设投资成本，允许网络存在单点故障，不再部署冗余交换机设备，交换机之间互联采用TRUNK链路，保证链路级可靠性，但是园区网交换机设备故障，会导致网络故障和业务中断。经济型的园区网汇聚层交换机仍然可通过模块化（业务单板）方式提供WLANAC控制器、防火墙、负载均衡器等增值业务功能。虚拟交换园区网网络架构2022-04-27 版权所有，侵权必究 第10页，共54页华为数据中心网络技术建议书 内部公开图3虚拟交换园区网网络架构园区网仍然按照分层结构建设，园区交换机分为接入层交换机、汇聚层交换机和核扁平化方向发展，同层次交换机可以多台虚拟成一台，接入交换机通过堆叠（/CSS（ClusterSwitch）将两台交换机虚拟成一台交换机。园区网接入层/汇聚层/核心层交换机虚拟化后，可以减少网络节点、简化网络拓扑，二层网络不需要部署RSTP/MSTP/RRPP/SmartLink等复杂的环网协议和可靠性保络虚拟化的多台设备间路由表统一计算、路由收敛速度快，Trunk对于虚拟交换机而言，实现跨设备的链路聚合（大大增强链路可靠性，另2022-04-27 版权所有，侵权必究 第11页，共54页华为数据中心网络技术建议书 内部公开外可实现链路的流量负载均衡，构建无二层环路网络，网络可靠性（链路故障自收敛性能）和带宽利用率都得到提高。图4交换机集群（堆叠）方案分层网络设计园区网的网络层次采用业界成熟的三层架构：接入、汇聚和核心，最后企业园区通过出口层网络设备（路由器或交换机）连接到外网通过。这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。接入层接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（ PC机或服器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机）。由于接入层交换机直接接园区网用户，根据用户接入信息点数目和类型（GE/FE），对接入交换机的GE/FE接口密度有较高的要求。另外接入交换机部署在楼道网络机柜，数量大，对于成本、功耗和易管理维护等特性要求较高。高用户密度的园区接入场景推荐使用S5300/S9300作为接入交换机，低用户密度的场景推荐使用S2300/S3300作为接入交换机。2022-04-27 版权所有，侵权必究 第12页，共54页汇聚层

华为数据中心网络技术建议书 内部公开园区汇聚层交换机一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为园区网的网关，终结园区网用户的二层流量，进行三层转发。根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡器、WLANAC控制器）或者旁挂独立的增值业务设备，为园区网用户提供增值业务。汇聚交换机需要提供高密度的GE接口，汇聚接入交换机的流量，通过10GE接口接到核心交换机，推荐使用S9300系列交换机作为园区汇聚层交换机。核心层区域之间的用户流量，提供间的“横向流量”要求高密、高转发性能。推荐使用S9300作为园区核心层交换机。出口层园区出口路由器，连接Internet/WAN广域网和园区内部局域网。推荐华为AR和SRG系列路由器作为企业出口路由器。对于中小型企业园区网，核心层和出口层可进行合并，通过核心交换机的WAN接口板的广域网接口等）直接与外网相连。二三层网络分界点设计二三层网络分界点（用户网关）设置在汇聚交换机汇聚交换机作为用户的网关设备，接入交换机与汇聚交换机之间是二层网络，通过STP/RSTP/MSTP/RRPP保证网络可靠性和防止二层网络环路产生，汇聚交换机与核心交换机之间是三层网络，运行OSPF等路由协议，通过等价路由、IPFRR保证三层网络可靠性、加快路由收敛时间。【优点】2022-04-27 版权所有，侵权必究 第13页，共54页华为数据中心网络技术建议书 内部公开 的投资；高可靠性，二层网络故障收敛速度快；【缺点】接入交换机和汇聚交换机之间存在二层环路风险，需要配置保证；多实例以提高链路利用率。本方案的缺点可以通过接入交换机堆叠/汇聚交换机集群（交换机虚拟化）方案来解决。园区汇聚交换机作为二三层网络分界点（用户网关设备）是经典的园区网架构，推荐使用。二三层网络分界点（用户网关）设置在接入交换机接入交换机作为用户的二三层分界点（网关设备），即三层到边缘的园区网架构，接入交换机到汇聚交换机、汇聚交换机到核心交换机之间都是三层网络，运行OSPF等路由协议，整个企业园区是全路由型网络。【优点】 式扩展； RRPP和【缺点】交换机成本相对较高：相对与二层接入交换机，成本较高；接入层为三层网络，网络故障路由收敛速度相对较慢。高可靠性设计网络高可靠性设计园区网高可靠性设计总体方案如下图所示：2022-04-27 版权所有，侵权必究 第14页，共54页华为数据中心网络技术建议书 内部公开图5园区网高可靠性设计方案总览针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。接入层网络是二层网络，接入交换机与汇聚交换机之间通过SmartLink/STP/RSTP/MSTP/RRPP保证网络可靠性，同时解决二层网络环路问题；汇聚层交换机之间通过VRRP（BFDforVRRP）协议确定用户的主备网关，交换机互联通过TRUNK链路，保证链路级可靠性，汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障（单通故障）。园区网接入/汇聚/核心交换机通过虚拟化技术进行集群（或堆叠），将两台/多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时，提高网络可靠性，是未来高可靠性园区网的发展趋势。典型园区网可靠性组网设计方案有：口子型组网、三角型组网U可靠性组网方案1：口子型组网2022-04-27 版权所有，侵权必究 第15页，共54页华为数据中心网络技术建议书 内部公开图6口子型组网接入交换机与汇聚交换机之间是二层网络，汇聚交换机作为用户网关设备，两台汇聚交换机之间通过二层TRUNK链路互连，多台接入交换机与两台汇聚交换机之间组成口子型二层环网，并且通过部署STP/RSTP/MSTP/RRPP等协议进行二层环网阻断、环网故障检测和保护倒换功能。两台汇聚交换机运行VRRP（BFD+VRRP）协议确定主备用户网关，VRRP报文直接在汇聚交换机直连的TRUNK链路上收发。注意：两台汇聚交换机链路需要保证绝对可靠，必须采用TRUNK链路、包含两条以上物理链路，因为汇聚交换机间链路DOWN，两台汇聚交换机VRRP状态都为主（VRRP双主情况产生），此时接入二层环网阻塞在汇聚交换机之间的直连链路上，这样接入用户同时感知两个处于VRRP主用状态的网关设备（汇聚交换机），出现问题。口子型组网方案的优点是，园区网各个楼层接入交换机可以串在一起，与汇聚交换机组成二层环网，汇聚交换机统一为各楼层接入交换机下的用户分配IP地址，实现园区不同楼层的用户可以共用同一个IP地址网段；该组网方案的缺点是接入层网络需要部署较为复杂的二层环网协议、网络配置和维护较为复杂。2022-04-27 版权所有，侵权必究 第16页，共54页华为数据中心网络技术建议书 内部公开口子型组网方案是园区网非常经典的可靠性设计方案，适合各种规模的园区网应用场景。可靠性组网方案2：三角型组网图7三角型组网汇聚交换机作为用户网关设备，两台汇聚交换机之间通过二层链路互连，每台接入交换机上行有两条链路接入到两台汇聚交换机，接入交换机上行两条链路的主备关系由运行的SmartLink协议确定。两台汇聚交换机运行VRRP（BFD+VRRP）协议确定主备用户网关，VRRP报文直接在汇聚交换机直连链路上收发。注意：两台汇聚交换机链路需要保证绝对可靠，必须采用TRUNK链路。口子型组网场景下，多个楼层之间可以共用VRRP组，不受汇聚交换机VRRP组数量限制，可实现不同楼层间的园区用户可以共享一个IP地址网段。三角型组网方案的优点是：二层接入网不存在环路，不需要配置相对复杂的环网保护协议（STP/RSTP/MSTP/RRPP）；SmartLink故障检测和保护倒换速度快（200～400ms）；支持园区网园区不同楼层的用户可以共用同一个IP地址网段。2022-04-27 版权所有，侵权必究 第17页，共54页华为数据中心网络技术建议书 内部公开三角型组网方案的缺点是每台接入交换机上行需要部署主备两条链路，增加布线成本，对汇聚交换机的端口密度有较高要求。可靠性组网方案3：U字型组网图8U字型组网园区网汇聚交换机之间通过纯三层链路互连，无直连二层链路。汇聚交换机作为园区用户网关，与接入交换机组成二层网络，汇聚交换机的主备通过 VRRP（BFDfor协议协商，VRRP协议通过接入交换机转发，每组接入交换机与两台汇聚交换机组成的一个物理U型网络需要启用一组汇聚交换机通过多个物理端口会接入多个二层U型网络，这样汇聚交换机间需要运行多个VRRP组（每个二层U型接入网络运行一个VRRP组），一般一个U型二层接入网覆盖的是同一个楼层的接入交换机。由于不同VRRP组的网关IP网段不能相同，因此每个U型接入网下的所有园区用户需要独占一个IP网段，不同U型接入网的用户（不同楼层的园区用户）之间不能共享一个IP网段，这是此方案应用的最大缺点。U子型方案的优点：二层接入网不存在环路，不需要配置相对复杂的环网保护协议（STP/RSTP/MSTP/RRPP）。2022-04-27 版权所有，侵权必究 第18页，共54页华为数据中心网络技术建议书 内部公开可靠性设计目标方案（发展趋势）：园区网交换机虚拟化图9可靠性设计目标方案组网园区网可靠性方案设计的目标方案或发展趋势是各层次园区网交换机都进行虚拟/靠性，一台交换机故障，另外一台交换机自动接管故障设备上的所有业务，可以做到业务无损切换。设备虚拟化通过跨设备的TRUNK链路，提升链路级可靠性，并且流量可以均匀分布在TRUNK流量自动切换到其他正常的链路。该方案另外一个优点网络配置和维护简单，园区二层接入网，不需要配置复杂的二层环网和保护倒换协议，二层链路故障直接感知快速切换，三层网络中多个设备间共享路由表，网络故障路由收敛速度快。网络管理和维护难度大大降低，此方案适应面广，扩展性强，是未来园区网的发展趋势。设备高可靠性设计2022-04-27 版权所有，侵权必究 第19页，共54页重要部件冗余

华为数据中心网络技术建议书 内部公开设备本身要具有电信级5个9的可靠性，需要网络设备支持:1:1备份1+1/1:1两种方式DC1+11+1/2+2备份模块化的风扇设计，高端配置支持单风扇失效无源背板，高可靠性独立的设备监控单元，和主控解耦所有模块热插拔完善的各种告警功能设备管理1:1备份设备自身安全如下图所示,随着黑客工具的泛滥和使用的方便,.图10黑客工具的危害性这就要求具有强大灵活的自身防护功能,以不变应万变的方法,滥的网络攻击。2022-04-27 版权所有，侵权必究 第20页，共54页华为数据中心网络技术建议书 内部公开华为公司全系列园区网交换机提供攻击防范功接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、LandPingofDeathTeardropICMPFloodSYNFLOOD攻击等。MACMAC停的发送MAC地址来刷新，填充交换机的MAC地址表，由于MAC地址表的规格ARP攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流量。MAC地址与端口的绑定以及限制端口/VLAN/VSIMAC地址的最大学习个数可防止MACMAC之间的任意绑定可防范ARP攻击（SAI/DAI功能）。MACMAC地址，若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的，从而将具有该MAC地址的报文过滤掉，避免遭受攻击。园区交换机虚拟化设计汇聚交换机的集群CSS(ClusterSwitchSwitching)所谓集群，就是把物理的多台服务器连接在一起，对外表现为一台逻辑的服务器，提供服务。因为企业园区网为了增加可靠性，都是双节点备份，特别适合集群技术。如下图所示：2022-04-27 版权所有，侵权必究 第21页，共54页华为数据中心网络技术建议书 内部公开图11集群组网的优势采用集群技术，对企业园区网络，有四大优势：减化管理和配置首先，集群后需要管理的设备节点减少一半以上。其次，组网变得简洁，不需要配置复杂的协议，包括STP/SmartLink/VRRP等。快速的故障收敛<1ms,的影响。带宽利用率高采用链路Trunk的方式，带宽利用率可以达到100％。扩容方便2022-04-27 版权所有，侵权必究 第22页，共54页华为数据中心网络技术建议书 内部公开保护用户投资。随着业务的增加，当用户进行网络升级时，采用集群的方式，只需要增加新设备既可，不需要更改网络配置的情况下，平滑扩容，很好的保护了用户投资。目前，业界有两种堆叠的方式，一种是采用业务接口堆叠，一种是采用专用的堆叠线；图12两种集群方式比较华为的S93系列交换机采用堆叠线的方式，通过在主板板上插入堆叠卡，连接多台设备。如下图所示，这种方式有如下的优势：图13华为CSS集群技术采用交换机网集群的方式，相比接口板集群，有如下的优势：堆叠带宽高交换机网集群一般采用专用的接口线，堆叠带宽高。2022-04-27 版权所有，侵权必究 第23页，共54页华为数据中心网络技术建议书 内部公开S93于业界的单向）的互联带宽，具有明显的优势。不占用业务槽位S93个接口槽位。可靠性高S93系列采用堆叠线连接，实际上是对交换网的延伸。从上图可以看出，接口板堆叠方式需要经过两个堆叠接口板转发，处理复杂度增加；另外，接口板的硬件可靠性也比交换网低。总体来看，交换网堆叠在软件和硬件方面，可靠性都高于接口堆叠的方式。接入交换机的堆叠iStackiStack堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。一个园区网用户上行的2个网络接口，对于堆叠后的设备，可以看作Trunk接口。多台设备堆叠成一台设备后，从功能和管理方面，都可以作为一台设备来看待。华为的iStack堆叠技术有如下的优势：简化管理堆叠设备的角色分为MasterMaster设备的配置达到管理整个iStack分别对它们进行配置和管理。简化网络运行iStack形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的，简化了网络运行，缩短了网络动荡时的收敛时间。强大的网络扩展能力通过增加成员设备，可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。2022-04-27

高可靠性

版权所有，侵权必究 第24页，共54页华为数据中心网络技术建议书 内部公开堆叠的高可靠性体现在多个方面，比如：成员设备之间堆叠物理端口支持聚合备份提高了堆叠系统的可靠性；堆叠系统由多台成员设备组成Master设备负责堆叠的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务，一旦Master1:N备份。高性能由于iStack设备是由多个支持iStack特性的单机设备堆叠而成的，iStack设备的交换容量和端口数量就是iStack内部所有单机设备交换容量和端口数量的总和。因此，iStack技术能够通过多个单机设备的堆叠，轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。安全方案设计园区网安全方案总体设计图14园区网安全方案总体设计从园区接入、网络监管/监控、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御，对内部员工进行身份认证和网络访问权限控制，对企业内部进行安全区域划分、隔离和权限控制，对企业外部用户访问进行安全控制、数据加密，防止恶意攻击。园区网全方位的2022-04-27 版权所有，侵权必究 第25页，共54页华为数据中心网络技术建议书 内部公开安全设计方案保证内部、外部用户访问园区网资源的安全性。园区接入安全设计图15网络准入控制NAC企业网交换机与华为赛门铁克的NAC方案配套，实现对接入用户的身份认证、终端健康检查，并实现基于用户角色的差异化权限控制。NAC解决方案包含三个关键组件：通信代理、网络访问控制设备（园区交换机）和认证策略服务器组：通信代理也就是安全客户端，是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估检查以及安全策略实施的主体，其主要功能包括：支持802.1x、Portal、MAC层、汇聚层的端点准入控制。检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息，这些信息将被传递到安全策略服务器，执行端点准入的判断与控制。括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（工升级补丁和病毒库）隔离区。2022-04-27 版权所有，侵权必究 第26页，共54页华为数据中心网络技术建议书 内部公开全事件定时上报到安全策略服务器，用于事后进行安全审计。网络访问控制设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。园区网的网络访问控制设备推荐为华为交换机，可分别实现不同认证方式（如802.1x、MAC认证和Portal等）的端点准入控制,具备以下功能：强制网络接入终端进行身份认证和安全状态评估。离指令后，可以通过VLAN或ACL方式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。为用户提供个性化的网络服务，如提供不同的QoS、ACL、VLAN等。根据用户接入安全控制范围需要，作为NAC网络访问控制设备的交换机可以部署在园区接入层、汇聚层，设置可部署在核心层、仅控制用户访问园区外部网络的权限。策略服务器也就是管理服务器，NAC是NAC方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态检查评估、安全联动控制以及安全事件审计等功能。802.1x接入认证图16802.1x接入认证流程2022-04-27 版权所有，侵权必究 第27页，共54页华为数据中心网络技术建议书 内部公开802.1x认证过程如下：用户在802.1x客户端输入用户名、密码，发起802.1x认证请求至园区交换机；交换机作为Radius客户端将用户名、密码发送到认证服务器进行Radius认证；认证服务器将携带VLAN或二三层ACL的Radius果控制其网络访问权限；用户获取IP地址，NAC客户端软件与策略服务器联动，按照预先定制的安全检查策略，RadiusCOA下发VLAN或ACL络访问权限；用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。用户MAC认证图17MAC认证流程用户MAC认证过程如下：用户终端上电（无802.1x认证客户端），用户发起ARP或DHCP请求等报文；园区交换机收到用户终端的数据报文，触发Radius认证请求至认证服务器，根据MAC址生成用户名和密码；认证服务器将携带VLAN或二三层ACL的Radius果控制其网络访问权限；用户获取IP地址，NAC客户端软件与策略服务器联动，按照预先定制的安全检查策略，RadiusCOA下发VLAN或ACL络访问权限；2022-04-27 版权所有，侵权必究 第28页，共54页5)华为数据中心网络技术建议书用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。内部公开802.1XMAC旁路认证图18802.1xMAC旁路认证流程802.1xMAC旁路认证过程如下：用户终端上电，用户发起ARP或DHCP请求等报文；园区交换机先向用户终端发起EAP探测报文，如果用户终端已经安装802.1x端，则触发用户802.1x接入认证过程，否则进行MAC认证过程；认证服务器将携带VLAN或二三层ACL的Radius果控制其网络访问权限；用户获取IP地址，NAC客户端软件与策略服务器联动，按照预先定制的安全检查策略，RadiusCOA下发VLAN或ACL络访问权限；用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。WEBPortal认证2022-04-27 版权所有，侵权必究 第29页，共54页华为数据中心网络技术建议书 内部公开图19WEBPortal认证流程WEBPortal认证过程如下：用户终端打开WEB页面，发起HTTP请求至园区交换机；园区交换机进行HTTP重定向，将用户的打开的WEB页面重定向至Portal服务器；用户访问WEBPortal页面，输入用户名和密码进行认证；Portal服务器通过Portal2.0到认证服务器进行Radius认证；认证服务器将携带VLAN或二三层ACL的Radius果控制其网络访问权限；NAC态进行检查，检查不通过RadiusCOA下发VLAN或ACL，限制用户网络访问权限；用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。园区网络监管/监控防IP/MAC地址盗用和ARP中间人攻击防IP/MAC地址盗用DHCPSnooping技术是DHCP安全特性，通过建立和维护DHCPSnooping绑定表过滤不可信2022-04-27 版权所有，侵权必究 第30页，共54页华为数据中心网络技术建议书 内部公开任的DHCPDHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-IDDHCPSnooping绑定表可以基于DHCP过程动态生成，也可以通过静态配置生成，此时需预先准备用户的IP地址、MAC址、用户所属VLANID、用户所属接口等信息。园区交换机开启DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer报文，而不信任端口会将接收到的DHCPOffer报文丢弃。这样，可以完成交换机对假冒DHCPServer的屏蔽作用，确保客户端从合法的DHCPServer获取IP地址。防ARP中间人攻击图20ARP中间人攻击防御DynamicARPInspection(DAI)在交换机上基于DHCPSnooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定，并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景，可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤2022-04-27 版权所有，侵权必究 第31页，共54华为数据中心网络技术建议书 内部公开ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表，不能匹配则认为是仿冒网关回应的ARP响应报文，予以丢弃，从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。防IP/MAC地址扫描攻击防IP扫描攻击地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，触发ARPmiss，使网络设备给该网段下的每个地址发送ARP址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可引起网络中断。园区交换机支持IP地址扫描攻击的防护能力，收到目的IP是直连网段的报文时，如果该目的地址的路由不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项（弃后续所有目的地址为该直连网段的ARP报文），以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的路由表项；否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。在上述基础上，交换机还支持基于接口设置ARPmiss的速率。当接口上触发的ARPmiss超过设置的阈值时，接口上的ARPmiss不再处理，直接丢弃。如果用户使用相同的源IP进行地址扫描攻击，交换机还可以基于源IP做ARPmiss统计。如果ARPmiss的速率超过设定的阈值，则下发ACL将带有此源IP的报文进行丢弃，过一段时间后再允许通过。防MAC地址扫描攻击以太网交换机的MAC地址转发表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文，园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项，由于MAC地址转发表的规格有限，会因为MAC扫描攻击而很快填充满，无法再学习生成新的MAC转发表，已学习的MAC表条目需通过老化方式删除，这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送，导致园区网络中产生大量的二层广播报文，消耗网络带宽、引发网络业务中断异常。交换机二层MAC转发表是全局共享资源，单板内各端口/VLAN共享一份MAC转发表，华为园区交换机支持基于端口/VLAN的MAC学习数目限制，同时支持MAC表学习速率限制，有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时，会进行丢弃/转发/告警等动作（动作策略可定制、可叠加）。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。2022-04-27 版权所有，侵权必究 第32页，共54页广播/

华为数据中心网络技术建议书 内部公开攻击者不停地向园区网发送大量恶意的广播报文，恶意广播报文占据了大量的带宽，传统的广播风暴抑制无法识别用户VLAN识别恶意广播流量的VLANID，通过基于VLAN播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。同时园区网交换机支持组播报文抑制，可基于端口限制组播报文流量百分比或速率阈值。园区网边界防御防火墙部署设计图21园区网防火墙功能部署企业园区网边界防御分为两个部分：园区出口边界防御、园区内部边界防御。园区出口连接Internet和企业WAN网的接入，企业外部网路尤其Internet网络，是各种攻击行为、病毒传播、安全事件引入的风险点，通过在企业出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块，可以很好的缓解风险的传播，阻挡来自Internet/生。企业园区出口位置部署的独立防火墙设备（或核心交换机内置的防火墙模块），需要满足高性能、高可靠、高安全的要求，是企业园区网的第一道安全屏障。园区内部边界防御是将企业内部划分为多个区域，分为信任区域和非信任区域，分别实施不2022-04-27 版权所有，侵权必究 第33页，共54页华为数据中心网络技术建议书 内部公开同的安全策略，包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块（单板）来实现园区内部的边界防御功能。园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内部，都必须支持灵活的业务流控制策略配置，能把特定的流量引到防火墙进行处理，其他流量进行旁路。Active/ActiveHA式，即交换机内集成的多块防火墙板卡支持负载分担和主备模式，不同交换机内的防火墙支持Active/Active模式，同时能够处理流量。防火墙功能设计源地址、目的地址、源端口、目的端口、网络协议等参数的检查，实现对数据流的精细控制，把可能的安全风险控制在相对独立的区域内；包过滤：支持基于ACL的基本包过滤，支持基于FTP、HTTP等应用层协议包过滤（ASPF）；攻击防范：对常见的ICMP重定向/不可达、TCPSYN/ARPFLOOD、Land、Smurf、TearDrop、网络端口扫描、畸形报文、拒绝服务（DoS/DDoS）等攻击行为，能够提供有效的检测和防范措施。NAT/PAT：支持园区外部公网地址到内部私网地址的代理转换，支持应用层网关ALG功能。防火墙性能选择园区网防火墙的选择首先是安全防护能力，对于每秒新建连接数，并发连接数和吞吐量，ACL匹配速度，DDOS识别均要进行重点考察。防火墙的性能主要取决于以下参数：决定设备的防护性能决定设备的防护性能每秒新建连接数：决定单位时间的防护能力ACL匹配速度：决定规则匹配的可靠和性能华为S93系列集成的防火墙单板在性能方面有突出的表现：转发性能：每单板支持10Gbps(256Bytes)并发连接数：每单板达到400

吞吐量10同级别产品通常不足3万2022-04-27 版权所有，侵权必究 第34页，共54页华为数据中心网络技术建议书 内部公开 ACLACL影响防火墙整体转发性能华为S93系列交换机集成的防火墙模块，每单板支持8Gbps的转发能力，400万的并发连接，每秒钟15万的新建流速度；并且支持1K的虚拟化多实例。虚拟防火墙设计企业内部不同的部门具备不同的安全属性，部门内部需要进行独自的安全区域划分、并应用不同的安全策略。如下图所示，可以通过防火墙支持虚拟化实现上述需求，一个物理防火墙对资源进行划分和隔离，分配给企业内不同的部门使用，虚拟防火墙直接互相独立，就好像独立物理的防火墙一样，进行独立配置和控制。图22虚拟防火墙设计总结一下，虚拟防火墙具备如下特征： ACL等可通过VLAN划分园区网用户服务器）属于那个虚拟防火墙一台物理防火墙虚拟成多个逻辑防火墙，节省投资和维护成本适合于大型企业园区各分支部门对防火墙相对独立使用和维护的场景NAT设计2022-04-27 版权所有，侵权必究 第35页，共54页华为数据中心网络技术建议书 内部公开考虑到园区内网安全和企业公网地址缺乏等原因，会有一些企业选择通过采用私IP地址NATIP地址NAT应用场景：PAT方式它通过使用“IP地址＋端口号”的形式进行转换，使多个私网用户可共用一个公网IP地址访问外网，是地址转换实现的主要形式。NATServer方式上的用户，无法直接访问NAT但实际应用中，需要给公网用户提供一个访问私网服务DNS的机会。NATServer方式就可以解决这个问题——通过静态配置“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，NAT设备可以将公网地址“反向”转换成私网地址。在部署NAT时，需要考虑应用级ALG，因为通常情况下，NAT只改变IP报文头部地址信息，而不对报文载荷进行分析，这对于普通的应用层协议（如Telnet）来说，并不会影响其业务的开展；然而有一些应用层协议，其报文载荷中可能也携带有数据通道的地址或端口信息，若这些信息不能被有效转换，就可能导致问题。所以，NAT需要采用ALG机制处理多种应用层协议。华为S9300交换机内置防火墙模块上的NAT功能，支持上述企业园区网NAT需求，包括：11的IP地址转换PAT方式的多对多的IPNATServer支持每板1K个ServerALG功能包括MSN等NAT多实例园区网出口安全随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构以及商业合作伙伴个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企IT网络设SOHO的便捷性和网络安全性。2022-04-27 版权所有，侵权必究 第36页，共54页华为数据中心网络技术建议书 内部公开图23园区网出口安全设计业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题VPN技术是企业传输数据非常理想的选择，因为VPNInternet上安全传输机密信息，保IPSecVPNSSL。企业办事处、分支机构VPN客户端接入企业总部网络，那么分之机构网络中的每个主机需要单独拨号接入，VPN接入不可控造成内部网络安全隐患，同时也大量消耗企业总部VPNVPN网关与企业总部网关建立VPN隧道，又面临投资过VPN接入灵活性、安全性和经济性之间的矛盾。园区出口设备形态推荐：接入路由器SOHO采用华为SRG列业务路由网关等多款产品）或AR系列接入路由器、作为园区网出口设备，集路由、交换、无线与数据安全于一WLAN3GNAT/PAT地址转换、攻击防范、状态检测等特性，全面满足客户自由安全联网需求。交换机S9300S9300WAN接口板提供POS/GE/10GES93002022-04-27 版权所有，侵权必究 第37页，共54页华为数据中心网络技术建议书 内部公开S9300通过增值业务单板提供IPsecVPN和SSLVPN，满足企业分支机构安全互联以及企业员工或外部访客远程访问园区网的需求。网管系统方案设计网管系统概述“无缝式IT运维管理”能模块既可独立运行、松散耦合；亦可整体功能无缝衔接覆盖整个业务系统，灵活的自由组合真正实现个性化的IT无忧运维。网管系统主要由网络管理、流量管理、认证计费等几个产品组成。置、资产、故障、性能、事件、流量、报表等网络管理功能。流量管理：提供网络流量监测、流量门限、协议分析、 Web上网行为审计等功能。结合NetFlow网络流量分析器实现更为细化、便捷的全网流量分析功能。样化的控制策略。通过网管系统模块可以实现对IT资源的全面、可视化、统一管理。图24企业网网管系统组件系统优势介绍多角度管理:2022-04-27 版权所有，侵权必究 第38页，共54页华为数据中心网络技术建议书 内部公开面向基础设施：提供全面的IT资源管理，实现对网络、主机、存储设备、安全设备、数据库、中间件及应用软件等IT资源的全面监控和管理；同时对网络和业务应用等IT资源的性能进行监控，定期性能报表和趋势报表，为IT系统性能优化提供科学依据。面向维护管理人员：将人、技术与流程进行有效地融合，实现日常运维工作的自动化、信息化和标准化，实时展现当前企业IT系统的运行状态及趋势，帮助管理人员快速定位问题，修复故障，保障业务系统的稳定性，知识库能降低IT运维管理对个人的依赖。面向领导决策者：可及时汇总系统运行状态信息，帮助领导全面了解IT系统状况和趋势，为其提供科学依据。同时可借助自动生成的多种工作记录，实现对运维人员的绩效考核，提高团队技术水平，建立以客户为中心的运维模式，提供低成本、高质量的IT服务，提高客户满意度立体化分级管理：可根据不同用户的组织结构、地理分布及业务关系，实施跨地域、层次化的统一管理模式，使责权管理更加明确，拓扑图更加清晰，提高系统的工作效率；主动预警：对网络关键设备设置相关阈值，当达到范围时，自动产生告警，并执行事先设置动作。内置解释器，告警信息可按指定方式进行解释，更加明白易懂。资产生命周期管理：从运维的角度对IT全程跟踪记录IT设备的使用周期，包括入库、领用、使用负荷和报废等。减少设备流失，提高设备利用率，以最少的资金投入带来最大的回报；易于使用：操作简单方便，拓扑图支持全屏显示、局部放大镜、延时拖动、鹰眼、拖动图标无极缩放等丰富的操作功能，并支持任意层次的拓扑结构划分；上，即可自动进行监测和管理，同时对现有系统性能影响甚微，不会改变现有系统的应用配置，便于安装实施、维护使用。易于定制：提供了灵活的Web方式的客户化定制、发布工具，可对软件界面呈现及风格、数据库表、对象属性和方法进行灵活配置和定制，以满足用户特定的业务需求；提供了丰富的扩展和开发接口，可以快捷的集成各种管理工具，可以快速将各类IT资源纳入到系统管理范围内，加入到IT服务管理的流程中；此外，可视化的客户定制工具可以支持用户灵活定义和调整流程，以支持组织架构和流程的变化和发展。2022-04-27 版权所有，侵权必究 第39页，共54页网络管理优势功能

华为数据中心网络技术建议书 内部公开业界领先的全自动拓扑发现技术自动搜索网络、发现网络节点，包括：网络设备、服务器、打印机、PC主机及VLAN络的二层连接关系构建物理拓扑。故障智能预测与分析通过实时的网络运行监测，ApexU2810可智能分析和预测潜在故障，并根据告警程度的不同发送警报。智能阈值技术能为每一个IT态调整。网络拓扑快速全面支持分布式管理支持多用户，多角色，IT运维人员，决策人员，不同角色有不同权限，不同区域级别也有不同权限。多维度监控支持从路由、设备、终端、流量、故障等方面多角度、细颗粒度地监控、管理整个IT网络。网络流量分析器优势功能简化的带宽监控NetFLowAnalyzer能分析园区网交换机和出口路由器等设备中导出的Netstream数据。它支持标准的的操作硬件，支持Windows和Linux环境，易于部署易于操作，且无需广泛培训。深入的流量分析无需使用硬件探针或其他设备，NetFlowAnalyzer能简单有效地执行流量分析。除了设置路由/交换设备导出NetFlow数据到NetFlowAnalyzer，不需要其它的配置。全面显示流量信息NetFlowAnalyzer通过NetFlow数据能呈现占用带宽最多的应用、主机和会话。要了解高峰时间的使策略。高效的带宽利用在多数企业中，对带宽不加管理将导致在高峰时间不重要的应用具有高于重要应用的优先级。NetFlowAnalyzer中的带宽报表准确地显示了哪些应用在高峰时间使用带宽，并深入分析使用这些应用的主机。这将有助于控制带宽使用并加强企业安全策略。灵活的设备管理2022-04-27 版权所有，侵权必究 第40页，共54页华为数据中心网络技术建议书 内部公开NetFlowAnalyzer可以将NetFLow输出设备分组到不同的组别，以便进行针对性监控，以及向用户授予访问权限。利用NetFlowAnalyzer中的设备分组，就可以专门管理某组导出NetFlow数据的设备，您可以将操作员指派到不同的组，监控带宽利用情况，以及查看针对每个设备组的流量模式。降低运维成本NetFlowAnalyzer通过简化管理任务以降低成本。比起分析数据包需要许多时间分析结果并得到结论地使用企业的重要资源。高效的报表，易于趋势分析NetFlowAnalyzer提供了丰富的带宽报表，便于分析流量的相关信息。通过查看不同时段的流量模式，NetFlowAnalyzer显著简化了趋势分析过程。NetFlowAnalyzer具有30多种不同的图表和报表，并带有将其输出为PDF格式。完全基于WebNetFlowAnalyzer完全基于web，因此只需一个web浏览器就可以从网络中的任何位置跨WAN松查看流量报表。认证计费优势功能成熟先进的宽带综合业务管理平台集成实时计费、业务管理和客户管理，提供各种应用的运行和管理、计费平台先进宽带运营理念的载体基于用户的全方位管理控制手段支持多种接入认证方式：802.1x、WEB、PPPoE、RADIUS多层次计费策略：针对储值卡、充值卡有效期设置；支持交费送免费用量设置；提供信用额功能，允许用户超支部分用量；2022-04-27 版权所有，侵权必究 第41页，共54页华为数据中心网络技术建议书 内部公开支持预付费、后付费方式；支持月结、即用即结、先付后用、包日等结算方式；费，计费开始日自动按续费日开始计算；支持月结延迟停机，在线催费；灵活的控制策略：用户每日上网时段控制；目标地址控制过滤策略；目标端口控制策略；源地址控制策略；每日或每月上网时间和流量上限控制策略；完整的登录记录、访问记录；完整的设备运行日志网管系统部署集中式网管系统部署2022-04-27 版权所有，侵权必究 第42页，共54页华为数据中心网络技术建议书 内部公开硬件推荐配置：项目

图25集中式网管系统部署推荐配置 数量 备注服务器

英特尔®奔腾®D(双核) 3.0GHz, 800MHz前端总线，2x1MB缓存73GB,10K,SCSI硬盘1~2GBDDR-2ECC内存2*千兆以太网卡客户端 显示器:17”LCD/17”CRT,推荐分辨率: 1280*1024,最低分辨率:1024*768CPU:P42.8GHz内存最小512MB硬盘40GB网卡100M声卡,音箱

可利用现有运维人员PC或笔记本电脑。2022-04-27 版权所有，侵权必究 第43页，共54页华为数据中心网络技术建议书 内部公开软件推荐配置：类别 服务器端操作 支持Windows2000ProfessionalSP2或更系统 支持WindowsXPProfessionalSP1或更高WindowsServer2003标准版及企业版WindowsVistaWindows2008标准版及企业版LinuxRedhatEnt4数据库 MySQL4.1+（系统自带）可选：MicrosoftSQLServer2005Oracle9i/10gDB28.1

客户端Windows2000SP2或更高WindowsXPSP1或更高支持WindowsServer2003版及企业版WindowsVistaWindows2008业版Web服务器JRE

Apache2.0+ N/A1.6 1.6分布式网管系统部署系统可以通过将网管服务和数据库分离，降低数据库系统和网管服务器在高负荷状态下的相互影响。目前可将网管服务器和南向接口服务器分离。一方面可以降低南向接口承受的通信压力对网管服务器造成的影响。另外，对于大规模的网络，通过部署多个南向接口服务器，可以提高通信效率，降低单点失效造成的全网无法管理的风险。网络管理系统均部署在一台中心服务器（以下简称Apex中心服务器）上，并通过PlusWellHACluster做集群。数据库服务器单独部署一台服务器，流量分析单独部署一台服务器，网络管理的二级系统部署在一台二级服务器上，分布在各个分支机构，可已经根据网络规模的不断增长灵活扩容。2022-04-27 版权所有，侵权必究 第44页，共54页华为数据中心网络技术建议书 内部公开图26分布式网管系统部署硬件推荐配置：名称网络管理与运维管理中心服务器数量1台指标四核英特尔至强，处理器频率≥3GHz，内存≥4G，（集群模式为2台）内置SmartArrayP400i/256MB阵列控制器,配置为Raid3*146GB10KSAS2.5"双端口热插拔硬盘以太网≥2千兆，冗余电源。中心数据库服务器四核英特尔至强，处理器频率≥2.4GHz，内存≥4G，1台中心数据库磁盘柜 1平台二级服务器5台

内置SmartArrayP400i/256MB阵列控制器,配置为Raid5,3*146GB10KSAS2.5"双端口热插拔硬盘以太网≥2千兆，冗余电源。SAS300GX8（Raid5+热备用硬盘1个1*SAS5/EHBA卡/4M,SAS数据线四核英特尔至强，处理器频率≥3GHz，内存≥2G，内置SmartArrayP400i/256MB阵列控制器,配置为Raid5,3*146GB10KSAS2.5"双端口热插拔硬盘以太网≥2千兆，冗余电源。2022-04-27 版权所有，侵权必究 第45页，共54页华为数据中心网络技术建议书 内部公开流量分析服务器1台

机架式服务器，1台双核英特尔至强，处理器频率≥1.8GHz，内存≥2G，内置SmartArrayP400i/256MB阵列控制器,配置为Raid5,3*146GB10KSAS2.5"双端口热插拔硬盘以太网≥2千兆，冗余电源。软件推荐配置：类别 服务器端 客户端操作 支持Windows2000ProfessionalSP2或更高系统 支持WindowsXPProfessionalSP1或更高

支 持 WindowsProfessionalSP2或更

2000支 持 Windows XPWindowsServer2003标准版及企业版WindowsVistaWindows2008标准版及企业版LinuxRedhatEnt4数据库 二级服务器数据库：MySQL4.1+（系统自带）中心数据库：ORACLE10G4CPU10USERS

ProfessionalSP1或更高WindowsServer2003准版及企业版WindowsVistaWindows2008企业版件（可PlusWellHAClusterforWindows2003选）Web服务器Apache2.0+N/AJRE1.61.6设备介绍园区汇聚/核心交换机2022-04-27 版权所有，侵权必究 第46页，共54页华为数据中心网络技术建议书 内部公开Quidway®S9300路由交换机产品，提供大容量、高密度、模块化的二到四层线速转发性能，具有强大组播功能，完善的QoS保障、有效的安全管理机制和电信级的高可靠设计，满足高端用户对多业务园区网，也可使用S9303/S9306系列交换机作为接入交换机使用。S9303 S9306 S9312图27S9300系列交换机产品特点先进体系结构，高性能，配置灵活S9300系列交换机采用先进的全分布式体系结构设计，采用业界最新的硬件转发引擎技ACL发。S9300系列交换机实现组播线速转发，硬件完成两级复制：交换网板复制到接口板和转发引擎复制到接口。S9300支持2Tbps交换容量，支持多种高密度板卡，满足核心、汇聚层设备大容量、高端口密度的要求，可以满足用户日益增长的带宽需求，能够极大的保护和节约用户投资。S9300设备的性能规格参数：S9312

S9306

S9303交换容量背板容量

1/2Tbps4.8Tbps

1/2Tbps2.4Tbps

288Gbps1.2Tbps2022-04-27 版权所有，侵权必究 第47页，共54页华为数据中心网络技术建议书 内部公开用户接口容量GE(48GE/槽位)

576GE 288GE 144GE用户接口容量10GE（48槽位）

6410GE(线速)

28810GE（4：1收敛

14410GE（4：1收敛）完善的安全机制S9300系列交换机支持RIPv2BGPv4报文的明文及MD5密文认证，支持安SSHSNMPV3、DHCP、IPSourceDAI（DynamicARP、层次化CPURADIUS和HWTACACS认证。支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。全面的可靠性链路汇聚：S9300系列交换机最大支持128个汇聚组，每个汇聚组内支持最多8个成员端口，支持跨单板端口间的汇聚。支持DLDDeviceLinkDetection

设备连接检测协议）：可以监控光纤或铜质双绞线的链路状态。如果发现单向链路存在，DLDP会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。支持RRPP及多实例：相比其他以太环网技术，RRPP具有以下优势――拓扑收敛速度快，低于50ms。收敛时间与环网上节点数无关，可应用于网络直径较大的网络。支持标准STP/RSTP/MSTP支持SmartLink及多实例支持BFDfor单播路由/VRRP/FRR/PIM园区接入交换机QuidwayS5300系列交换机QuidwayS5300S5300基于新一代高性能硬件和华为公司统一的VRP(VersatileRouting软件平台，支持万兆上行，提供高密度下行千兆端口，支持多2022-04-27 版权所有，侵权必究 第48页，共54页华为数据中心网络技术建议书 内部公开S5300为盒式产品设备，机箱高度1U产品、、、、S5324TP-PWR-SI、、、S5328C-PWR-EI、S5352C-PWR-EI、S5328C-SI、。图28S5300系列交换机产品特点：大带宽、高性能S5300最大可提供48个GE接口，以及4个GE接口或者210GES5300三层数据包线速转发能力。强大的组播功能S5300IGMPSnooping/Proxy/Filter/Fastleave等特性。S5300支持线速的跨VLANVLAN，支持IPv6组播，支持MLDV1/V2snooping,充分满足IPTV等组播业务的运营要求。运营级高可靠性S5300STP/RSTP/MSTP(Smartlink/Monitorlink)环形(RRPP)拓扑等增强型运营级以太网链路冗余保护技术，实现毫秒级的链路保护倒换，保证高可靠性业务要求的网络质量。2022-04-27 版权所有，侵权必究 第49页，共54页华为数据中心网络技术建议书 内部公开S5300Smartlink和RRPPS5300BFD快速链路检测，可以为PIM等路由协议提供毫秒级的连通性检测机制，提高网络拓扑收敛速度。S5300同时提供Eth-OAM功能，802.1ag提供最后一公支持BPDUtunnel专线构建自己的二层网络提供可能。卓越的安全特性S5300支持MCE功能，实现不同VPN用户在同一台设备上的路由隔离，有效解决用户的数据安全问题，同时降低用户设备投资成本。S5300提供多种用户安全保护功能，支持大ACL表项，支持IP/MAC/端口的组合绑定，支持黑洞MAC地址、端口隔离、MAC地址学习数目限制、、端口安全、StickyMAC、MFF、动态ARP检测、IPSOURCEGUARD等安全技术，支持Radius、Tacacs、802.1x、NAC、SSH等认证技术，为网络穿上坚实的保护衣。iStack功能S5300全系列产品支持堆叠功能，提供高速堆叠模块，支持双向48Gbps的堆叠带宽，在保证了堆叠设备高性能的同时，简化了管理和网络运行，降低了成本，提供强大的网络扩展能力，保障了网络的可靠性。支持IPv6功能S5300支持IPv6协议，支持双栈，实现了多种IPv6协议，支持IPv4向IPv6的多种过渡技术，实现了IPv6的多种路由协议，为下一代网络提供了保证。QuidwayS3300系列交换机QuidwayS3300一代园区接入三层交换机。S3300基于新一代高性能硬件和华为公司统一的VRP(VersatileRoutingPlatform)软件平台，提供增强型灵活QinQ功能，具备限速的跨VLAN组播复制能力，支持环形拓扑和树形拓扑等运营级组网技术，具备以太网OAM功能，提供高性能低成本的堆叠功能，是企业网的楼宇、小区接入等多种场合的最佳选择。S3300为盒式产品设备，机箱高度1U，从特性上划分为标准型(SI)和增强型(EI)准型支持二层和基本的三层功能，增强型支持复杂的路由协议和丰富的业务特性，包含型号：S3328TP-SI、S3352P-SI、S3328TP-EI、S3328TP-EI-24S、S3325-EI、S3325-EI-24S、S3325-EI-48S、S3328TP-PWR-EI、S3352P-PW