华为企业园区网络建设-技术方案-建议书

企业园区网技术建议书华为数据中心网络技术建议书 内部公开目录工程概述 ..工程背景 6.工程目标 6.总体系统设计 6.需求分析 6.设计原则 7.网路架构设计 8.总体网络架构 典型园区网网络架构 .经济型园区网网络架构 虚拟交换园区网网络架构 .0\l“_TOC_250019“分层网络设计 1.2\l“_TOC_250018“3.2.1 接入层 1.2\l“_TOC_250017“3.2.2 会聚层 1.3\l“_TOC_250016“3.2.3 核心层 1.3\l“_TOC_250015“3.2.4 出口层 1.3\l“_TOC_250014“二三层网络分界点设计 .3\l“_TOC_250013“高牢靠性设计 1.4\l“_TOC_250012“网络高牢靠性设计 1.4\l“_TOC_250011“设备高牢靠性设计 1.9重要部件冗余 .0设备自身安全 .0\l“_TOC_250010“园区交换机虚拟化设计 .1\l“_TOC_250009“会聚交换机的集群CSS(ClusterSwitchSwitching) 21\l“_TOC_250008“接入交换机的堆叠iStack .4\l“_TOC_250007“安全方案设计 2.5\l“_TOC_250006“园区网安全方案总体设计 5\l“_TOC_250005“园区接入安全设计 2.6园区网络监管/监控 3.0防IP/MAC地址盗用和ARP中间人攻击 .0\l“_TOC_250004“防IP/MAC地址扫描攻击 .2\l“_TOC_250003“播送/组播报文抑制 3\l“_TOC_250002“园区网边界防范 .35.4.1 防火墙部署设计35.4.2 防火墙功能设计45.4.3 防火墙性能选择45.4.4 虚拟防火墙设计55.4.5 NAT设计5\l“_TOC_250001“园区网出口安全 .66 网管系统方案设计8网管系统概述 3.8\l“_TOC_250000“系统优势介绍 3.8网络治理优势功能 0网络流量分析器优势功能 .0认证计费优势功能 1网管系统部署 4.22023-04-27

版权全部，侵权必究 第2页，共54页华为数据中心网络技术建议书 内部公开集中式网管系统部署 .2分布式网管系统部署 .47 设备介绍6园区会聚/核心交换机 6园区接入交换机 .8QuidwayS530系列交换机 .8QuidwayS330系列交换机 .0QuidwayS230系列交换机 .22023-04-27 版权全部，侵权必究 第3页，共54页华为数据中心网络技术建议书 内部公开表名目错误！未找到名目项。图名目图1典型园区网网络架构 9.图2经济型园区网网络架构 .0图3虚拟交换园区网网络架构 1图4交换机集群〔堆叠〕方案 2图5园区网高牢靠性设计方案总览 .5图6口子型组网6图7三角型组网7图8U字型组网8图9牢靠性设计目标方案组网 9图10黑客工具的危害性 .0图11集群组网的优势 2.2图12两种集群方式比较 .3图13华为CSS集群技术 .3图14园区网安全方案总体设计 .5图15网络准入掌握NAC .6图16802.1x接入认证流程 2.7图17MAC认证流程 2.8图18802.1xMAC旁路认证流程 2.9图19WEBPortal认证流程 .0图20ARP中间人攻击防范 .1图21园区网防火墙功能部署 3图22虚拟防火墙设计 3.5图23园区网出口安全设计 3.7图24企业网网管系统组件 3.8图25集中式网管系统部署 4.3图26分布式网管系统部署 4.5图27S9300系列交换机7图28S5300系列交换机9图29S3300系列交换机1图30S2300系列交换机32023-04-27 版权全部，侵权必究 第4页，共54页华为数据中心网络技术建议书 内部公开企业园区网技术建议书关键词：园区网，网络架构，牢靠性，安全，集群/堆叠，防火墙摘 要：本文描述了企业园区网建设需求和设计方案,重点描述了园区网架构、牢靠性、安全、增值业务和网络治理维护系统的设计方案。缩略语清单：缩略语 英文全名 中文解释STP/RSTP/MSTPSpanningTreeProtocol/RapidSTP/MultipleSTP

生成树协议/多生成树协议CSSiStackDLDPNACDAI

ClusterSwitchSwitchingIntelligentStackDeviceLinkDetectionProtocolNetworkAccessControlDynamicARPInspection

网络接入掌握动态ARP检测2023-04-27 版权全部，侵权必究 第5页，共54页华为数据中心网络技术建议书 内部公开工程概述依据实际状况增加工程介绍工程背景工程目标总体系统设计需求分析随着企业信息化建设不断深入，企业的生产业务系统、经营治理系统、办公自动化面临如下问题：网络架构较为混乱，不便于扩容和维护治理/电缆随便布放，缺乏统一的网络分层规划治理，网络拓扑相对混乱，不便于对网络性能瓶颈进展正确评估和有效扩容，给日常网络治理也带来很大难度。网络牢靠性规划不合理，影响企业生产和经营治理、造成投资铺张投资铺张的现象。网络信息安全存在隐患〔例如：对园区网设备进展攻击、消耗网络带宽、窃〕，对于内部和外部用户缺乏有效的身份认证手段、用户易攻击。2023-04-27 版权全部，侵权必究 第6页，共54页华为数据中心网络技术建议书 内部公开无法满足日益增长的网络业务需求络接入形式要求多样化，支持WLAN无线接入，满足移动办公、大区域无线缆掩盖等特别要求；对于企业用户访问外网进展计费，计费策略可敏捷设置〔时长计〕；企业多出口链路场景下的负载均衡、敏捷选路这些业务存在园区网络分散建设、重复投资的问题。缺乏简洁有效的网络治理系统，企业IT网络运维部门面临很大压力当前，企业网IT运维部门面临很大的网络运维压力，来自于园区网内外部的安全大事频发、网络牢靠性低引起的网络业务中断现象，网络故障诊断、分析定位过程对于IT/低本钱的图形化网/告警展现。另外，IT运维部门也需要实施统计园区网各路径的流量信息，便于对网络带宽进展治理和规划，给后续网络扩容供给参考。设计原则安全性。需要有完整的安全策略掌握体系来实现企业园区网的安全掌握。牢靠性、可用性高牢靠性是园区网供给使用的关键，其牢靠性设计包括：关键设备冗余、链/网络冗余和重要业务模块冗余。关键设备均承受电信级全冗余设计，可实现单板热拔插、冗余的掌握模块设计、冗余连接。供给多种冗余技术，承受高效、负载均衡的双机备份。构。可扩展性2023-04-27 版权全部，侵权必究 第7页，共54页华为数据中心网络技术建议书 内部公开具足够高的端口密度，为后续园区网扩展奠定根底。敏捷扩展。功能的可扩展性是园区网随着进展供给增值业务的根底。实现防火墙、负载均衡、WLAN接入、认证计费等功能，为园区网增值业务的扩展供给根底。可维护、可治理性网络可治理性是园区网成功运维的根底。应供给低本钱、简洁有效的园区网统一网实时预警和告警、网络流量统计。网路架构设计总体网络架构典型园区网网络架构2023-04-27 版权全部，侵权必究 第8页，共54页华为数据中心网络技术建议书 内部公开图1典型园区网网络架构典型园区网方案承受层次化、模块化的设计思路，依据接入层、会聚层、核心层和出口层进展网络设备设计部署，在会聚层交换机，通过模块化〔业务单板〕方式供给WLANAC掌握器、防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。典型园区网的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备机，交换机之间承受TRUNK链路保证链路级牢靠性。经济型园区网网络架构2023-04-27 版权全部，侵权必究 第9页，共54页华为数据中心网络技术建议书 内部公开图2经济型园区网网络架构考虑到节约园区网网络建设投资本钱，允许网络存在单点故障，不再部署冗余交换机设备，交换机之间互联承受TRUNK链路，保证链路级牢靠性，但是园区网交换机设备故障，会导致网络故障和业务中断。经济型的园区网会聚层交换机仍旧可通过模块化〔业务单板〕方式供给WLANAC掌握器、防火墙、负载均衡器等增值业务功能。虚拟交换园区网网络架构2023-04-27 版权全部，侵权必究 第10页，共54页华为数据中心网络技术建议书 内部公开图3虚拟交换园区网网络架构园区网仍旧依据分层构造建设，园区交换机分为接入层交换机、会聚层交换机和核扁平化方向进展，同层次交换机可以多台虚拟成一台，接入交换机通过堆叠〔Stack〕特性，将多台接入交换机虚拟成一台接入交换机，会聚/核心交换机通过CSS〔ClusterSwitch〕将两台交换机虚拟成一台交换机。园区网接入层/会聚层/核心层交换机虚拟化后，可以削减网络节点、简化网络拓扑，二层网络不需要部署RSTP/MSTP/RRPP/SmartLink等简单的环网协议和牢靠性保络虚拟化的多台设备间路由表统一计算、路由收敛速度快，通过交换机虚拟化设计，交换机互联的两条链路就可以作为Trunk链路进展治理，对于虚拟交换机而言，实现跨设备的链路聚合〔TRUNK〕，大大增加链路牢靠性，另2023-04-27 版权全部，侵权必究 第11页，共54页华为数据中心网络技术建议书 内部公开〔链路故障自收敛性能〕和带宽利用率都得到提高。图4交换机集群〔堆叠〕方案分层网络设计过出口层网络设备〔路由器或交换机〕连接到外网通过。这种分层的网络架构，可以保证依据的业务需求，分别对不同层次进展扩容。接入层接入层交换机一般部署在楼道的网络机柜中，接入园区网用户〔 PC机或效劳器〕，供给二层交换机功能，也支持三层接入功能〔接入交换机为三层交换机〕。由于接入层交换机直接接园区网用户，依据用户接入信息点数目和类型〔GE/FE〕，对接入交换机的GE/FE接口密度有较高的要求。另外接入交换机部署在楼道网络机柜，数量大，对于本钱、功耗和易治理维护等特性要求较高。高用户密度的园区接入场景推举使用S5300/S9300作为接入交换机，低用户密度的场景推举使用S2300/S3300作为接入交换机。2023-04-27 版权全部，侵权必究 第12页，共54页会聚层

华为数据中心网络技术建议书 内部公开园区会聚层交换机一般部署在楼宇独立的网络会聚机柜中，会聚园区接入交换机的二层流量，进展三层转发。依据需要，可以在会聚交换机上集成增值业务板卡〔如防火墙，负载均衡器、WLANAC掌握器〕或者旁挂独立的增值业务设备，为园区网用户供给增值业务。会聚交换机需要供给高密度的GE接口，会聚接入交换机的流量，通过10GE接口接到核心交换机，推举使用S9300系列交换机作为园区会聚层交换机。核心层/区域之间的用户流量，供给间的“横向流量”要求高密10GE、高转发性能。推举使用S9300作为园区核心层交换机。出口层园区出口路由器，连接Internet/WAN广域网和园区内部局域网。推举华为AR和SRG系列路由器作为企业出口路由器。对于中小型企业园区网，核心层和出口层可进展合并，通过核心交换机〔S9300〕的WAN接口板的广域网接口〔POS等〕直接与外网相连。二三层网络分界点设计二三层网络分界点〔用户网关〕设置在会聚交换机通过STP/RSTP/MSTP/RRPP保证网络牢靠性和防止二层网络环路产生，会聚交换机与核心交换机之间是三层网络，运行OSPF等路由协议，通过等价路由、IPFRR保证三层网络牢靠性、加快路由收敛时间。【优点】2023-04-27 版权全部，侵权必究 第13页，共54页华为数据中心网络技术建议书 内部公开 的投资；高牢靠性，二层网络故障收敛速度快；【缺点】接入交换机和会聚交换机之间存在二层环路风险，需要配置保证；多实例以提高链路利用率。本方案的缺点可以通过接入交换机堆叠/会聚交换机集群〔交换机虚拟化〕方〔用户网关设备〕是经典的园区网架构，推举使用。二三层网络分界点〔用户网关〕设置在接入交换机〔网关设备〕，即三层到边缘的园区网架构，接入交换机到会聚交换机、会聚交换机到核心交换机之间都是三层网络，运行OSPF等路由协议，整个企业园区是全路由型网络。【优点】 式扩展； 议、RRPP和VRRP，降低网络配置和维护工作量。【缺点】交换机本钱相对较高：相对与二层接入交换机，本钱较高；接入层为三层网络，网络故障路由收敛速度相对较慢。高牢靠性设计网络高牢靠性设计园区网高牢靠性设计总体方案如以下图所示：2023-04-27 版权全部，侵权必究 第14页，共54页华为数据中心网络技术建议书 内部公开图5园区网高牢靠性设计方案总览〔接入交换机是二层交换机、会聚交换机作为用户网关〕典型园区网架构，从接入层、会聚层、核心层来分层考虑网络牢靠性设计。接入层网络是二层网络，接入交换机与会聚交换机之间通过SmartLink/STP/RSTP/MSTP/RRPP保证网络牢靠性，同时解决二层网络环路问题；会聚层交换机之间通过VRRP〔BFDforVRRP〕协议确定用户的主备网关，交换机互联通过TRUNK链路，保证链路级牢靠性，会聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障〔单通故障〕。园区网接入/会聚/核心交换机通过虚拟化技术进展集群〔或堆叠〕，/多台交性园区网的进展趋势。典型园区网牢靠性组网设计方案有：口子型组网、三角型组网U子型组网。牢靠性组网方案1：口子型组网2023-04-27 版权全部，侵权必究 第15页，共54页华为数据中心网络技术建议书 内部公开图6口子型组网接入交换机与会聚交换机之间是二层网络，会聚交换机作为用户网关设备，两台会聚交换机之间通过二层TRUNK链路互连，多台接入交换机与两台会聚交换机之间组成口子型二层环网，并且通过部署STP/RSTP/MSTP/RRPP等协议进展二层环网阻断、VRRP〔BFD+VRRP〕协议确定主备用户网关，VRRP报文直接在会聚交换机直连的TRUNK链路上收发。留意：两台会聚交换机链路需要保证确定牢靠，必需承受TRUNK链路、包含两条以上物理链路，由于DOWN，两台会聚交换机VRRP状态都为主〔VRRP双主状况产生〕，此时接入二层环网堵塞在会聚交换机之间的直连链路上，这样接入用户同时感知两个处于VRRP主用状态的网关设备〔会聚交换机〕，消灭问题。IP地址，实现园区不同楼层的用户可以共用同一个IP部署较为简单的二层环网协议、网络配置和维护较为简单。2023-04-27 版权全部，侵权必究 第16页，共54页华为数据中心网络技术建议书 内部公开场景。牢靠性组网方案2：三角型组网图7三角型组网会聚交换机作为用户网关设备，两台会聚交换机之间通过二层链路互连，每台接入交换机上行有两条链路接入到两台会聚交换机，接入交换机上行两条链路的主备关系由运行的SmartLink协议确定。两台会聚交换机运行VRRP〔BFD+VRRP〕协议确定主备用户网关，VRRP报文直接在会聚交换机直连链路上收发。留意：两台会聚交换机链路需要保证确定牢靠，必需承受TRUNK链路。口子型组网场景下，多个楼层之间可以共用VRRPVRRP组数量限制，可实现不同楼层间的园区用户可以共享一个IP地址网段。协议〔STP/RSTP/MSTP/RRPP〕；SmartLink故障检测和保护倒换速度快〔200～400ms〕；IP地址网段。2023-04-27 版权全部，侵权必究 第17页，共54页华为数据中心网络技术建议书 内部公开，对会聚交换机的端口密度有较高要求。牢靠性组网方案3：U字型组网图8U字型组网园区网会聚交换机之间通过纯三层链路互连，无直连二层链路。会聚交换机作为园区用户网关，与接入交换机组成二层网络，会聚交换机的主备通过 VRRP〔BFDforVRRP〕协议协商，VRRP协议通过接入交换机转发，每组接入交换机与两台会聚交换机组成的一个物理U型网络需要启用一组VRRP，会聚交换机通过多个物理端口会接入多个二层U型网络，这样会聚交换机间需要运行多个VRRP组〔每个二层U型接入网络运行一个VRRP组〕，一般一个U型二层接入网掩盖的是同一个楼层的接入交换机。由于不同VRRP组的网关IP网段不能一样，因此每个U型接入网下的全部园区用户需要独占一个IP网段，不同U型接入网的用户〔不同楼层的园区用户〕之间不能共享一个IP网段，这是此方案应用的最大缺点。U子型方案的优点：二层接入网不存在环路，不需要配置相对简单的环网保护协议〔STP/RSTP/MSTP/RRPP〕。2023-04-27 版权全部，侵权必究 第18页，共54页华为数据中心网络技术建议书 内部公开牢靠性设计目标方案〔进展趋势〕：园区网交换机虚拟化图9牢靠性设计目标方案组网园区网牢靠性方案设计的目标方案或进展趋势是各层次园区网交换机都进展虚拟性，一台交换机故障，另外一台交换机自动接收故障设备上的全部业务，可以做到业务无损切换。设备虚拟化通过跨设备的TRUNK链路，提升链路级牢靠性，并且流量可以均匀分布在TRUNK,流量自动切换到其他正常的链路。该方案另外一个优点网络配置和维护简洁，园区二层接入网，不需要配置简单的二扩展性强，是将来园区网的进展趋势。设备高牢靠性设计2023-04-27 版权全部，侵权必究 第19页，共54页重要部件冗余

华为数据中心网络技术建议书 内部公开设备本身要具有电信级59:1:1备份1+1/1:1两种方式DC1+1备份；AC1+1/2+2备份模块化的风扇设计，高端配置支持单风扇失效无源背板，高牢靠性独立的设备监控单元，和主控解耦全部模块热插拔完善的各种告警功能设备治理1:1备份设备自身安全如以下图所示,随着黑客工具的泛滥和使用的便利,使的网络攻击的本钱越来越来,但危害越来越大.图10黑客工具的危害性这就要求具有强大敏捷的自身防护功能,以不变应万变的方法,才能抵抗日益泛滥的网络攻击。2023-04-27 版权全部，侵权必究 第20页，共54页华为数据中心网络技术建议书 内部公开华为公司全系列园区网交换机〔S9300/S5300/S3300/S2300〕供给攻击防范功接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP哄骗攻击、Land攻击、PingofDeath攻击、Teardrop攻击、ICMPFlood攻击、SYNFLOOD攻击等。MAC地址表作为二层报文转发的核心，在受到攻击的MAC地址攻击的时候，攻击者通过不停的发送MAC地址来刷，填充交换机的MAC地址表，由于MAC地址表的规格ARP攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重定向流量。华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MACVLAN、IP、MAC之间的任意绑定可防范ARP攻击〔SAI/DAI功能〕。MAC功能，园区交换机收到报文时比较报文目的MAC地址，假设与黑洞MAC表项一样则丢弃该报文。当用户觉察到某MAC地址的报文具有肯定攻击性，则可以在园区交换机上配置黑洞MAC，从而将具有该MAC地址的报文过滤掉，避开患病攻击。园区交换机虚拟化设计会聚交换机的集群CSS(ClusterSwitchSwitching)器，供给效劳。所示：2023-04-27 版权全部，侵权必究 第21页，共54页华为数据中心网络技术建议书 内部公开图11集群组网的优势承受集群技术，对企业园区网络，有四大优势：减化治理和配置首先，集群后需要治理的设备节点削减一半以上。其次，组网变得简洁，不需要配置简单的协议，包括STP/SmartLink/VRRP等。快速的故障收敛<1ms,/节点的故障，对业务的影响。带宽利用率高承受链路Trunk的方式，带宽利用率可以到达100％。扩容便利2023-04-27 版权全部，侵权必究 第22页，共54页华为数据中心网络技术建议书 内部公开保护用户投资。随着业务的增加，当用户进展网络升级时，承受集群的方了用户投资。堆叠线；图12两种集群方式比较S93系列交换机承受堆叠线的方式，通过在主板板上插入堆叠卡，连接多台设备。如以下图所示，这种方式有如下的优势：图13华为CSS集群技术堆叠带宽高交换机网集群一般承受专用的接口线，堆叠带宽高。2023-04-27 版权全部，侵权必究 第23页，共54页华为数据中心网络技术建议书 内部公开S93128G(单向)200G(单向)；相对于业界的80G〔单向〕的互联带宽，具有明显的优势。不占用业务槽位S93系列承受在主控板预留的敏捷插卡槽位，插入堆叠卡互联的方式，不占1～2个接口槽位。牢靠性高S93系列承受堆叠线连接，实际上是对交换网的延长。从上图可以看出，接件牢靠性也比交换网低。总体来看，交换网堆叠在软件和硬件方面，牢靠性都高于接口堆叠的方式。接入交换机的堆叠iStackiStack堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的规律设备。一个园区网用户上行的2个网络接口，对于堆叠后的设备，可以看作Trunk接口。。华为的iStack堆叠技术有如下的优势：简化治理堆叠设备的角色分为MasterSlaveMaster设备的配置到达治理整个iStack堆叠以及堆叠内全部成员设备的效果，而不用物理连接到每台成员设备上分别对它们进展配置和治理。简化网络运行iStack形成的虚拟设备中运行的各种掌握协议也是作为单一设备统一运行的，简化了网络运行，缩短了网络动乱时的收敛时间。强大的网络扩展力量。2023-04-27

高牢靠性

版权全部，侵权必究 第24页，共54页华为数据中心网络技术建议书 内部公开堆叠的高牢靠性表达在多个方面，比方：成员设备之间堆叠物理端口支持聚合备份提高了堆叠系统的牢靠性；堆叠系统由多台成员设备组成Master设备负责堆叠的运行、治理和维护，Slave设备在作为备份的同时也可以处理业务，一旦Master设备故障，系统会快速自动选举的Master，以保证通过堆叠的业务不中断，从而实现了设备级的1:N备份。高性能由于iStack设备是由多个支持iStack特性的单机设备堆叠而成的，iStack设备的交换容量和端口数量就是iStack内部全部单机设备交换容量和端口数量的总和。因此，iStack技术能够通过多个单机设备的堆叠，轻易的将设备的交换力量、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。安全方案设计园区网安全方案总体设计图14园区网安全方案总体设计从园区接入、网络监管/监控、边界防范、园区出口传输安全等多纬度、多层次进展安全设计和安全防范，对内部员工进展身份认证和网络访问权限掌握，对企业内部进展安全区域划分、隔离和权限掌握，对企业外部用户访问进展安全掌握、数据加密，防止恶意攻击。园区网全方位的2023-04-27 版权全部，侵权必究 第25页，共54页华为数据中心网络技术建议书 内部公开安全设计方案保证内部、外部用户访问园区网资源的安全性。园区接入安全设计图15网络准入掌握NAC企业网交换机与华为赛门铁克的NAC方案配套，实现对接入用户的身份认证、终端安康检查，并实现基于用户角色的差异化权限掌握。NAC解决方案包含三个关键组件：通信代理、网络访问掌握设备〔园区交换机〕和认证策略效劳器组：通信代理也就是安全客户端，是安装在用户终端系统上的软件，是对用户终端进展身份认证、安全状态评估检查以及安全策略实施的主体，其主要功能包括：支持802.1x、Portal、MAC等多种认证方式，可以与园区网交换机实现接入层、会聚层的端点准入掌握。检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时供给与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息，这些信息将被传递到安全策略效劳器，执行端点准入的推断与掌握。安全策略实施，接收安全策略效劳器下发的安全策略并强制用户终端执行，包括设置安全策略〔是否监控邮件、注册表〕、系统修复通知与实施〔自动或手工升级补丁和病毒库〕等功能。不按要求实施安全策略的用户终端将被限制在隔离区。2023-04-27 版权全部，侵权必究 第26页，共54页华为数据中心网络技术建议书 内部公开实时监控系统安全状态，包括是否更改安全设置、是否觉察病毒等，并将安全大事定时上报到安全策略效劳器，用于事后进展安全审计。网络访问掌握设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户供给网络效劳的作用。园区网的网络访问掌握设备推举为华为交换机，可分别实现不同认证方式〔如802.1x、MAC认证和Portal等〕的端点准入掌握,具备以下功能：强制网络接入终端进展身份认证和安全状态评估。隔离不符合安全策略的用户终端，园区交换机接收到安全策略效劳器下发的隔离指令后，可以通过VLAN或ACL方式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。供给基于身份的网络效劳，园区交换机可以依据安全策略效劳器下发的策略，为用户供给共性化的网络效劳，如供给不同的QoS、ACL、VLAN等。依据用户接入安全掌握范围需要，作为NAC网络访问掌握设备的交换机可以部署在园区接入层、会聚层，设置可部署在核心层、仅掌握用户访问园区外部网络的权限。策略效劳器也就是治理效劳器，NAC方案的核心是整合与联动，其中的安全策略效劳器是NAC方案中的治理与掌握中心，兼具用户治理、安全策略治理、安全状态检查评估、安全联动掌握以及安全大事审计等功能。802.1x接入认证图16802.1x接入认证流程2023-04-27 版权全部，侵权必究 第27页，共54页华为数据中心网络技术建议书 内部公开802.1x认证过程如下：用户在802.1x客户端输入用户名、密码，发起802.1x认证恳求至园区交换机；交换机作为Radius客户端将用户名、密码发送到认证效劳器进展Radius认证；认证效劳器将携带VLAN或二三层ACL的Radius属性下发至园区交换机，依据用户认证结果掌握其网络访问权限；用户猎取IP地址，NAC客户端软件与策略效劳器联动，依据预先定制的安全检查策略，RadiusCOA下发VLAN或ACL，限制用户网络访问权限；用户通过802.1x身份认证和终端安康检查后，猎取业务网络访问权限。用户MAC认证图17MAC认证流程用户MAC认证过程如下：用户终端上电〔无802.1x认证客户端〕，用户发起ARP或DHCP恳求等报文；园区交换机收到用户终端的数据报文，触发Radius认证恳求至认证效劳器，依据MAC地址生成用户名和密码；认证效劳器将携带VLAN或二三层ACL的Radius属性下发至园区交换机，依据用户认证结果掌握其网络访问权限；用户猎取IP地址，NAC客户端软件与策略效劳器联动，依据预先定制的安全检查策略，RadiusCOA下发VLAN或ACL，限制用户网络访问权限；2023-04-27 版权全部，侵权必究 第28页，共54页5)华为数据中心网络技术建议书用户通过802.1x身份认证和终端安康检查后，猎取业务网络访问权限。内部公开802.1XMAC旁路认证图18802.1xMAC旁路认证流程802.1xMAC旁路认证过程如下：用户终端上电，用户发起ARP或DHCP恳求等报文；园区交换机先向用户终端发起EAP探测报文，假设用户终端已经安装802.1x认证客户端，则触发用户802.1x接入认证过程，否则进展MAC认证过程；认证效劳器将携带VLAN或二三层ACL的Radius属性下发至园区交换机，依据用户认证结果掌握其网络访问权限；用户猎取IP地址，NAC客户端软件与策略效劳器联动，依据预先定制的安全检查策略，RadiusCOA下发VLAN或ACL，限制用户网络访问权限；用户通过802.1x身份认证和终端安康检查后，猎取业务网络访问权限。WEBPortal认证2023-04-27 版权全部，侵权必究 第29页，共54页华为数据中心网络技术建议书 内部公开图19WEBPortal认证流程WEBPortal认证过程如下：用户终端翻开WEB页面，发起恳求至园区交换机；园区交换机进展重定向，将用户的翻开的WEB页面重定向至Portal效劳器；用户访问WEBPortal页面，输入用户名和密码进展认证；Portal效劳器通过Portal2.0协议将用户输入的用户名和密码信息发送给交换机，交换机到认证效劳器进展Radius认证；认证效劳器将携带VLAN或二三层ACL的Radius属性下发至园区交换机，依据用户认证结果掌握其网络访问权限；NAC客户端软件与策略效劳器联动，依据预先定制的安全检查策略，对用户终端安康状态进展检查，检查不通过RadiusCOA下发VLAN或ACL，限制用户网络访问权限；用户通过802.1x身份认证和终端安康检查后，猎取业务网络访问权限。园区网络监管/监控防IP/MAC地址盗用和ARP中间人攻击防IP/MAC地址盗用DHCPSnooping技术是DHCP安全特性，通过建立和维护DHCPSnooping绑定表过滤不行信2023-04-27 版权全部，侵权必究 第30页，共54页华为数据中心网络技术建议书 内部公开任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-IDDHCPSnooping绑定表可以基于DHCP过程动态生成，也可以通过静态配置生成，此时需预先预备用户的IP地址、MAC地址、用户所属VLANID、用户所属接口等信息。园区交换机开启DHCP-Snooping后，会对DHCP报文进展侦听，并可以从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MACDHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer报文，而不信任端口会将接收到的DHCPOffer报文丢弃。这样，可以完成交换机对假冒DHCPServer的屏蔽作用，确保客户端从合法的DHCPServer猎取IP地址。防ARP中间人攻击图20ARP中间人攻击防范DynamicARPInspection(DAI)在交换机上基于DHCPSnooping技术供给用户网关IP地址和MAC地址、VLAN和接入端口的绑定，并动态建立绑定关系。对于用户终端没有使用DHCP动态猎取IP地址的场景，可承受静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤2023-04-27 版权全部，侵权必究 第31页，共54页华为数据中心网络技术建议书 内部公开ARP恳求响应报文中的源MAC、源IP是否可以匹配上述绑定表，不能匹配则认为是仿冒网关回应的ARP响应报文，予以丢弃，从而可以有效实现防范ARP中间人/网关ARP仿冒哄骗攻击行为。防IP/MAC地址扫描攻击防IP扫描攻击地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，触发ARPmiss，使网络设备给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不行达报文。假设直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可引起网络中断。园区交换机支持IP地址扫描攻击的防护力量，收到目的IP是直连网段的报文时，假设该目的地址的路由不存在，会发送一个ARP恳求报文，并针对目的地址下一条丢弃表项〔弃后续全部目的地址为该直连网段的ARP报文〕，以防止后续报文持续冲击CPU。假设有ARP应答，则马上删除相应的丢弃表项，并添加正常的路由表项；否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。在上述根底上，交换机还支持基于接口设置ARPmiss的速率。当接口上触发的ARPmiss超过设置的阈值时，接口上的ARPmiss不再处理，直接丢弃。假设用户使用一样的源IP进展地址扫描攻击，交换机还可以基于源IP做ARPmiss统计。假设ARPmiss的速率超过设定的阈值，则下发ACL将带有此源IP的报文进展丢弃，过一段时间后再允许通过。防MAC地址扫描攻击以太网交换机的MAC地址转发表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文，园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项，由于MAC地址转发表的规格有限，会由于MAC扫描攻击而很快填布满，无法再学习生成的MAC转发表，已学习的MAC表条目需通过老化方式删除，这样途径园区交换机大量的单播报文会由于依据目的MAC找不到转发表项而不得不进展播送发送，导致园区网络中产生大量的二层播送报文，消耗网络带宽、引发网络业务中断特别。交换机二层MAC转发表是全局共享资源，单板内各端口/VLAN共享一份MAC转发表，华为园区交换机支持基于端口/VLAN的MACMAC表学习速率限制，有效防范MACMAC学习数目到达端口/VLAN/转发/告警等动作〔动作策略可定制、可叠加〕。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。2023-04-27 版权全部，侵权必究 第32页，共54页/组播报文抑制

华为数据中心网络技术建议书 内部公开攻击者不停地向园区网发送大量恶意的播送报文，恶意播送报文占据了大量的带宽，传统的播送风暴抑制无法识别用户VLAN，将导致正常的播送流量一并被交换机丢弃。园区网交换机需要识别恶意播送流量的VLANID，通过基于VLAN的播送风暴抑制丢弃恶意播送报文而不影响正常播送报文流量转发。可基于端口或VLAN限制播送报文流量百分比或速率阈值。同时园区网交换机支持组播报文抑制，可基于端口限制组播报文流量百分比或速率阈值。园区网边界防范防火墙部署设计图21园区网防火墙功能部署企业园区网边界防范分为两个局部：园区出口边界防范、园区内部边界防范。园区出口连接Internet和企业WAN网的接入，企业外部网路尤其Internet网络，是各种攻击行为、病毒传播、安全大事引入的风险点，通过在企业出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块，可以很好的缓解风险的传播，阻挡来自Internet/企业外部网络攻击行为的发生。企业园区出口位置部署的独立防火墙设备〔或核心交换机内置的防火墙模块〕，需要满足高性能、高牢靠、高安全的要求，是企业园区网的第一道安全屏障。园区内部边界防范是将企业内部划分为多个区域，分为信任区域和非信任区域，分别实施不2023-04-27 版权全部，侵权必究 第33页，共54页华为数据中心网络技术建议书 内部公开同的安全策略，包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过会聚交换机上集成防火墙模块〔单板〕来实现园区内部的边界防范功能。园区网中防火墙功能无论是独立设备部署还是集成在核心/会聚交换机内部，都必需支持敏捷的业务流掌握策略配置，能把特定的流量引到防火墙进展处理，其他流量进展旁路。Active/ActiveHA设计方式，即交换机内集成的多块防火墙板卡支持负载分担和主备模式，不同交换机内的防火墙支持Active/Active模式，同时能够处理流量。防火墙功能设计网络隔离：能够对网络区域进展分割，对不同区域之间的数据流进展掌握，通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数的检查，实现对数据流的精细掌握，把可能的安全风险掌握在相对独立的区域内；包过滤：支持基于ACL的根本包过滤，支持基于FTP、等应用层协议包过滤〔ASPF〕；攻击防范：对常见的ICMP重定向/不行达、TCPSYN/ARPFLOOD、Land、Smurf、TearDrop、网络端口扫描、畸形报文、拒绝效劳〔DoS/DDoS〕等攻击行为，能够供给有效的检测和防范措施。NAT/PAT：支持园区外部公网地址到内部私网地址的代理转换，支持应用层网关ALG功能。防火墙性能选择园区网防火墙的选择首先是安全防护力量，对于每秒建连接数，并发连接数和吞吐量，ACL匹配速度，DDOS识别均要进展重点考察。防火墙的性能主要取决于以下参数：,打算设备的防护性能,打算设备的防护性能每秒建连接数：打算单位时间的防护力量ACL匹配速度：打算规章匹配的牢靠和性能华为S93系列集成的防火墙单板在性能方面有突出的表现：转发性能：每单板支持10Gbps(256Bytes)并发连接数：每单板到达400万的并发连接

吞吐量每秒建连接数：每单板到达10万/，,同级别产品通常缺乏3万2023-04-27 版权全部，侵权必究 第34页，共54页华为数据中心网络技术建议书 内部公开 ACLACL匹配动作不影响防火墙整体转发性能华为S938Gbps的转发力量，400万的并发连接，每秒钟15万的建流速度；并且支持1K的虚拟化多实例。虚拟防火墙设计企业内部不同的部门具备不同的安全属性，部门内部需要进展单独的安全区域划分、并应用不同的安全策略。如以下图所示，可以通过防火墙支持虚拟化实现上述需求，一个物理防火墙对资源进展划分和隔离，安排给企业内不同的部门使用，虚拟防火墙直接相互独立，就似乎独立物理的防火墙一样，进展独立配置和掌握。图22虚拟防火墙设计总结一下，虚拟防火墙具备如下特征： 同物理防火墙一样独立治理、独立设置、每个虚拟防火墙专用的系统日志和攻击日志，——ACL等可通过VLAN划分园区网用户〔PC机/效劳器〕属于那个虚拟防火墙一台物理防火墙虚拟成多个规律防火墙，节约投资和维护本钱适合于大型企业园区各分支部门对防火墙相对独立使用和维护的场景NAT设计2023-04-27 版权全部，侵权必究 第35页，共54页华为数据中心网络技术建议书 内部公开考虑到园区内网安全和企业公网地址缺乏等缘由，会有一些企业选择通过承受私IP地址NAT设备进展IP地址转换。为了进展安全防护，NATNAT的应用一般主要有如下的应用场景：PAT方式它通过使用“IP地址＋端口号”的形式进展转换，使多个私网用户可共用一个公网IP地址访问外网，是地址转换实现的主要形式。NATServer方式一般状况下，Internet/WAN上的用户，无法直接访问NAT后的私网地址效劳器的；但实际应用中，需要给公网用户供给一个访问私网效劳(DNS效劳器)的时机。NATServer——通过静态配置“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，NAT“反向”转换成私网地址。NAT时，需要考虑应用级ALGNATIP报文头部地址信息，而不对报文载荷进展分析，这对于一般的应用层协议〔如Telnet〕来说，并不会影响其业务的开展；然而有一些应用层协议，其报文载荷中可能也携带有数据通道的地址或端口信NAT需要承受ALG机制处理多种应用层协议。华为S9300交换机内置防火墙模块上的NAT功能，支持上述企业园区网NAT需求，包括：11的IP地址转换PAT方式的多对多的IP地址转换：每板地址池：1K，地址池中地址个数：255NATServer功能,支持每板1K个ServerALG功能包括MSN等NAT多实例园区网出口安全随着现代社会网络经济的进展，企业日益进展扩大，办事处、分支机构以及商业合作伙伴逐步增多，如何将这些小型的办公网络和企业总部网络进展经济敏捷而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企IT网络设计亟待解决的问题；大量普及的SOHO网络、小型办公网络、智能家居网络也越来越留意接入的便捷性和网络安全性。2023-04-27 版权全部，侵权必究 第36页，共54页华为数据中心网络技术建议书 内部公开图23园区网出口安全设计企业园区网出口设备是企业内部网络与外部网络的连接点，其安全保证力量格外重要，企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题VPN技术是企业传输数据格外抱负的选择，由于VPN技术正式是为了解决在担忧全的Internet上安全传输机密信息，保证信息的完整性、可用性以及保密性，包括IPSecVPNSSLVPN。企业办事处、分支机构以及商业合作伙伴假设承受主机VPN客户端接入企业总部网络，那么分之机构网络中的每个主机需要单独拨号接入，VPN接入不行控造成内部网络安全隐患，同时也大量消耗企业总部VPN网关隧道资源；假设承受单独的VPN网关与企业总部网关建立VPN隧道，又面临投资过大的问题。需要有效解决企业分支机构VPN接入敏捷性、安全性和经济性之间的冲突。园区出口设备形态推举：接入路由器SOHO办公、智能家居等园区网络要求，承受华为SRG列业务路由网关〔SRG1210/1220/2210/2220等多款产品〕或AR系列接入路由器〔AR18/28/46、AR19/29/49〕作为园区网出口设备，集路由、交换、无线与数据安全于一WLAN解决方案、3G无线上网、NAT/PAT地址转换、攻击防范、状态检测等特性，全面满足客户自由安全联网需求。交换机针对局部小型园区网，可承受华为S9300交换机作为园区出口设备，考虑到降低设备投资S9300的WAN接口板供给POS/GE/10GE等广域网接口与企业外部网络互联，同时S9300作为园区核心交换机，下连各个会聚交换机，2023-04-27 版权全部，侵权必究 第37页，共54页华为数据中心网络技术建议书 内部公开S9300通过增值业务单板供给IPsecVPN和SSLVPN，满足企业分支机构安全互联以及企业员工或外部访客远程访问园区网的需求。网管系统方案设计网管系统概述网管系统供给了“无缝式IT运维治理”功能，其系统架构清楚，承受模块化的设计理念，各功能模块既可独立运行、松散耦合；亦可整体功能无缝连接掩盖整个业务系统，敏捷的自由组合真正实现共性化的IT无忧运维。网管系统主要由网络治理、流量治理、认证计费等几个产品组成。网络治理：实现了对交换机、路由器、防火墙等设备的全方位治理，供给了丰富的拓扑、配置、资产、故障、性能、大事、流量、报表等网络治理功能。供给网络流量监测、流量门限、协议分析、Web上网行为审计等功能。结合NetFlow网络流量分析器实现更为细化、便捷的全网流量分析功能。认证计费：供给敏捷多样的计费策略，支持多种认证方式，满足组性化的用户治理，实现多样化的掌握策略。通过网管系统模块可以实现对IT资源的全面、可视化、统一治理。图24企业网网管系统组件系统优势介绍多角度治理:2023-04-27 版权全部，侵权必究 第38页，共54页华为数据中心网络技术建议书 内部公开面对根底设施：供给全面的IT资源治理，实现对网络、主机、存储设备、安全设备、数据库、中间件及应用软件等IT资源的全面监控和治理；同时对网络和业务应用等IT资源的性能进展监控，定期性能报表和趋势报表，为IT系统性能优化供给科学依据。面对维护治理人员：将人、技术与流程进展有效地融合，实现日常运维工作的自动化、信息化和标准化，实时呈现当前企业IT系统的运行状态及趋势，帮助治理人员快速定位问题，修复故障，保障业务系统的稳定性，学问库能降低IT运维治理对个人的依靠。面对领导决策者：可准时汇总系统运行状态信息，帮助领导全面了解IT系统状况和趋势，为其供给科学依据。同时可借助自动生成的多种工作记录，实现对运维人员的绩效考核，提高团队技术水平，建立以客户为中心的运维模式，供给低本钱、高质量的IT效劳，提高客户满足度立体化分级治理：可依据不同用户的组织构造、地理分布及业务关系，实施跨地域、层次化的统一治理模式，使责权治理更加明确，拓扑图更加清楚，提高系统的工作效率；主动预警：对网络关键设备设置相关阈值，当到达范围时，自动产生告警，并执行事先设置动作。内置解释器，告警信息可按指定方式进展解释，更加明白易懂。支持声音、邮件和手机短信等多种告警方式，确保信息通知到相应负责人；资产生命周期治理：从运维的角度对IT资产进展治理，包括相关配置、使用年限、修理记录等。全程跟踪记录IT设备的使用周期，包括入库、领用、使用负荷和报废等。削减设备流失，提高设备利用率，以最少的资金投入带来最大的回报；易于使用：操作简洁便利，拓扑图支持全屏显示、局部放大镜、延时拖动、鹰眼、拖动图标无极缩放等丰富的操作功能，并支持任意层次的拓扑构造划分；易于部署：无需在被监测信息系统、效劳器上安装任何代理软件，只需将系统安装在一台治理机上，即可自动进展监测和治理，同时对现有系统性能影响甚微，不会转变现有系统的应用配置，便于安装实施、维护使用。供给了敏捷的Web方式的客户化定制、公布工具，可对软件界面呈现及风格、数据库表、对象属性和方法进展敏捷配置和定制，以满足用户特定的业务需求；供给了丰富的扩展和开发接口，可以快捷的集成各种治理工具，可以快速将各类IT资源纳入到系统治理范围内，参加到IT效劳治理的流程中；此外，可视化的客户定制工具可以支持用户敏捷定义和调整流程，以支持组织架构和流程的变化和进展。2023-04-27 版权全部，侵权必究 第39页，共54页网络治理优势功能

华为数据中心网络技术建议书 内部公开业界领先的全自动拓扑觉察技术自动搜寻网络、觉察网络节点，包括：网络设备、效劳器、打印机、PC主机及VLAN等，并基于网络的二层连接关系构建物理拓扑。故障智能推测与分析通过实时的网络运行监测，ApexU2810可智能分析和推测潜在故障，并依据告警程度的不同发送警报。智能阈值技术能为每一个IT资源监控项给出科学的差异化阈值设置指导，并可随着时间段和业务量的变化进展动态调整。网络拓扑快速全面可快速全面的呈现网络拓扑构造，自动觉察网络及其承载的效劳，并支持多种协议。支持分布式治理支持多用户，多角色，IT运维人员，决策人员，不同角色有不同权限，不同区域级别也有不同权限。多维度监控支持从路由、设备、终端、流量、故障等方面多角度、细颗粒度地监控、治理整个IT网络。网络流量分析器优势功能简化的带宽监控NetFLowAnalyzer能分析园区网交换机和出口路由器等设备中导出的Netstream数据。它支持标准的的操作硬件，支持Windows和Linux环境，易于部署易于操作，且无需广泛培训。深入的流量分析无需使用硬件探针或其他设备，NetFlowAnalyzer能简洁有效地执行流量分析。除了设置路由/交换设备导出NetFlow数据到NetFlowAnalyzer，不需要其它的配置。全面显示流量信息NetFlowAnalyzer通过NetFlow数据能呈现占用带宽最多的应用、主机和会话。要了解顶峰时间的使用和历史趋势，该信息就显得格外重要。此外，从长期来看这些信息还可用于带宽容量规划和稳固安全策略。高效的带宽利用在多数企业中，对带宽不加治理将导致在顶峰时间不重要的应用具有高于重要应用的优先级。NetFlowAnalyzer中的带宽报表准确地显示了哪些应用在顶峰时间使用带宽，并深入分析使用这些应用的主机。这将有助于掌握带宽使用并加强企业安全策略。敏捷的设备治理2023-04-27 版权全部，侵权必究 第40页，共54页华为数据中心网络技术建议书 内部公开NetFlowAnalyzer可以将NetFLow输出设备分组到不同的组别，以便进展针对性监控，以及向用户授予访问权限。利用NetFlowAnalyzer中的设备分组，就可以特地治理某组导出NetFlow数据的设备，您可以将操作员指派到不同的组，监控带宽利用状况，以及查看针对每个设备组的流量模式。降低运维本钱NetFlowAnalyzer通过简化治理任务以降低本钱。比起分析数据包需要很多时间分析结果并得到结论，故障诊断只需要相当少的时间。带宽报表以及深入分析选项使得流量分析更加快速有效，从而高效地使用企业的重要资源。高效的报表，易于趋势分析NetFlowAnalyzer供给了丰富的带宽报表，便于分析流量的相关信息。通过查看不同时段的流量模NetFlowAnalyzer具有30多种不同的图表和报表，并带有能深入分析特定明细的选项，便于用户直接访问重要的信息。用户可以在线查看不同时段的图表，并将其输出为PDF格式。完全基于WebNetFlowAnalyzer完全基于web，因此只需一个web扫瞄器就可以从网络中的任何位置跨WAN链接轻松查看流量报表。认证计费优势功能成熟先进的宽带综合业务治理平台集成实时计费、业务治理和客户治理，供给各种应用的运行和治理、计费平台先进宽带运营理念的载体基于用户的全方位治理掌握手段支持多种接入认证方式：802.1x、WEB、PPPoE、RADIUS认证多层次计费策略：针对储值卡、充值卡有效期设置；支持交费送免费用量设置；供给信用额功能，允许用户超支局部用量；2023-04-27 版权全部，侵权必究 第41页，共54页华为数据中心网络技术建议书 内部公开支持预付费、后付费方式；支持月结、即用即结、先付后用、包日等结算方式；支持期限用户，即按每月固定月租，开通日开头计费，效劳完毕日自动停机，可以续交费，计费开头日自动按续费日开头计算；支持月结延迟停机，在线催费；支持开机停机预受理；敏捷的掌握策略：用户每日上网时段掌握；目标地址掌握过滤策略；目标端口掌握策略；源地址掌握策略；每日或每月上网时间和流量上限掌握策略；完整的登录记录、访问记录；完整的设备运行日志网管系统部署集中式网管系统部署2023-04-27 版权全部，侵权必究 第42页，共54页华为数据中心网络技术建议书 内部公开硬件推举配置：工程

图25集中式网管系统部署推举配置 数量 备注效劳器

英特尔®奔腾®D(双核) 3.0GHz, 1800MHz前端总线，2x1MB缓存73GB,10K,SCSI硬盘1~2GBDDR-2ECC内存2*千兆以太网卡客户端 显示器:17”LCD/17”CRT,推举区分率: 1280*1024,最低区分率:1024*768CPU:P42.8GHz内存最小512MB硬盘40GB网卡100M声卡音箱

可利用现有运维人2023-04-27 版权全部，侵权必究 第43页，共54页华为数据中心网络技术建议书 内部公开软件推举配置：类别 效劳器端操作 支持Windows2023ProfessionalSP2或更高系统 支持WindowsXPProfessionalSP1或更高支持WindowsServer2023标准版及企业版WindowsVista支持Windows2023标准版及企业版LinuxRedhatEnt4数据库MySQL4.1+〔系统自带〕可选：MicrosoftSQLServer2023Oracle9i/10gDB28.1

客户端Windows2023ProfessionalSP2或更高支持WindowsXPProfessionalSP1或更高支持WindowsServer2023标准版及企业版WindowsVistaWindows2023标准版及企业版Web效劳器JRE

Apache2.0+ N/A1.6 1.6分布式网管系统部署系统可以通过将网管效劳和数据库分别，降低数据库系统和网管效劳器在高负荷状态下的相互影响。目前可将网管效劳器和南向接口效劳器分别。一方面可以降低南向接口承受的通信压力对网管效劳器造成的影响。另外，对于大规模的网络，通过部署多个南向接口效劳器，可以提高通信效率，降低单点失效造成的全网无法治理的风险。网络治理系统均部署在一台中心效劳器〔以下简称Apex中心效劳器〕上，并通过PlusWellHACluster做集群。数据库效劳器单独部署一台效劳器，流量分析单独部署一台效劳器，网络治理的二级系统部署在一台二级效劳器上，分布在各个分支机构，可已经依据网络规模的不断增长敏捷扩容。2023-04-27 版权全部，侵权必究 第44页，共54页华为数据中心网络技术建议书 内部公开图26分布式网管系统部署硬件推举配置：名称数量指标中心效劳器1台四核英特尔至强，处理器频率≥3GHz，≥4G，〔集群内置SmartArrayP400i/256MB阵列掌握器,配置为Raid5,模式为2台〕3*146GB10KSAS2.5“双端口热插拔硬盘以太网≥2千兆，冗余电源。中心数据库效劳器四核英特尔至强，处理器频率≥2.4GHz，≥4G，1台中心数据库磁盘柜 平台二级效劳器5台

内置SmartArrayP400i/256MB阵列掌握器,配置为Raid5,3*146GB10KSAS2.5“双端口热插拔硬盘≥2千兆，冗余电源。SAS300GX8〔Raid5+热备用硬盘1个〕1*SAS5/EHBA卡/4M,SAS数据线四核英特尔至强，处理器频率≥3GHz，≥2G，内置SmartArrayP400i/256MB阵列掌握器,配置为Raid5,3*146GB10KSAS2.5“双端口热插拔硬盘≥2千兆，冗余电源。2023-04-27 版权全部，侵权必究 第45页，共54页华为数据中心网络技术建议书 内部公开流量分析效劳器1台

机架式效劳器，1台双核英特尔至强，处理器频率≥1.8GHz，≥2G，内置SmartArrayP400i/256MB阵列掌握器,配置为Raid5,3*146GB10KSAS2.5“双端口热插拔硬盘≥2千兆，冗余电源。软件推举配置：类别 效劳器端 客户端操作 支持Windows2023ProfessionalSP2或更高系统 支持WindowsXPProfessionalSP1或更高

支持 WindowsProfessionalSP2或更高

2023支持 Windows XP支持WindowsServer2023标准版及企业版WindowsVista支持Windows2023标准版及企业版LinuxRedhatEnt4数据库 二级效劳器数据库：系统自带〕中心数据库：ORACLE10G4CPU10USERS

ProfessionalSP1或更高支持WindowsServer2023标准版及企业版WindowsVista支持Windows2023标准版及企业版效劳器PlusWellHAClusterforWindows2023群集软件〔可选〕器Apache2.0+N/AJRE1.61.6设备介绍园区会聚/核心交换机2023-04-27 版权全部，侵权必究 第46页，共54页华为数据中心网络技术建议书 内部公开Quidway®S9300系列运营级园区会聚交换机是由华为公司自主开发的一代高性能核心路由交换机产品，供给大容量、高密度、模块化的二到四层线速转发性能，具有强大组播功能，完善的QoS保障、有效的安全治理机制和电信级的高牢靠设计，满足高端用户对多业务、高牢靠、大容量、模块化的需求，降低运营商的建网本钱和维护本钱，可广泛应用于构建各种类型型园区网核心层和会聚层交换机，对于接入交换机性能和接口密度要求高的某些大型园区网，也可使用S9303/S9306系列交换机作为接入交换机使用。S9303 S9306 S9312图27S9300系列交换机产品特点先进体系构造，高性能，配置敏捷S9300系列交换机承受先进的全分布式体系构造设计，承受业界最的硬件转发引擎技术，全部端口支持的业务能够线速转发，业务包括IPv4/MPLS/二层转发等。支持ACL线速转发。S9300系列交换机实现组播线速转发，硬件完成两级复制：交换网板复制到接口板和转发引擎复制到接口。S9300支持2Tbps交换容量，支持多种高密度板卡，满足核心、会聚层设备大容量、高端口密度的要求，可以满足用户日益增长的带宽需求，能够极大的保护和节约用户投资。S9300设备的性能规格参数：S9312

S9306

S9303交换容量背板容量

1/2Tbps4.8Tbps

1/2Tbps2.4Tbps

288Gbps1.2Tbps2023-04-27 版权全部，侵权必究 第47页，共54页华为数据中心网络技术建议书 内部公开用户接口容量)

576GE 288GE 144GE用户接口容量10GE〔4810GE/槽位〕

6410GE(线速)

28810GE〔4：1收敛〕

14410GE〔4：1收敛〕完善的安全机制S9300系列交换机支持OSPF、RIPv2BGPv4报文的明文及MD5密文认证，支持安全的SSH登陆、命令行分级保护、基于用户安全策略的SNMPV3、DHCPSnooping、IPSourceGuard、DAI〔DynamicARPInspection〕、层次化CPU通道保护，并供给以下几种用RADIUS和HWTACACS认证。支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。全面的牢靠性链路会聚：S9300系列交换机最大支持128个会聚组，每个会聚组内支持最多8个成员端口，支持跨单板端口间的会聚。支持DLDDeviceLinkDetection

设备连接检测协议〕：可以监控光纤或铜质双绞线的链路状态。假设觉察单向链路存在，DLDP会依据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。快，低于50ms。收敛时间与环网上节点数无关，可应用于网络直径较大的网络。支持标准STP/RSTP/MSTP二层环网保护协议支持SmartLink及多实例支持BFDfor单播路由/VRRP/FRR/PIM园区接入交换机QuidwayS5300系列交换机QuidwayS5300系列运营级园区交换机是华为公司为满足大带宽及多业务承载需求而推出S5300基于一代高性能硬件和华为公司统一的VRP(VersatileRoutingPlatform)软件平台，支持万兆上行，供给高密度下行千兆端口，支持多2023-04-27 版权全部，侵权必究 第48页，共54页华为数据中心网络技术建议书 内部公开/会聚力量，可充分满足园区网络接入层S5300产品版本，包括型号：S5328C-EI、S5328C-EI-24S、S5352C-EI、S5324TP-SI、S5324TP-PWR-SI、S5348TP-SI、S5348TP-PWR-SI、S5328C-PWR-EI、S5352C-PWR-EI、S5328C-SI、S5352C-SI、S5328C-PWR-SI、S5352C-PWR-SI。图28 S5300系列交换机产品特点：大带宽、高性能S5300最大可供给48个GE接口，以及4个GE接口或者210GE接口，充分满足对高S5300硬件支持二/三层数据包线速转发力量。强大的组播功能S5300支持组播组，支持可控组播、IGMPSnooping/Proxy/Filter/Fastleave等特性。S5300支持线速的跨VLANVLAN的组播(CAC)，支持IPv6组播，支持MLDV1/V2snooping,充分满足IPTV等组播业务的运营要求。运营级高牢靠性S5300STP/RSTP/MSTP(Smartlink/Monitorlink)环形(RRPP)拓扑等增加型运营级以太网链路冗余保护技术，实现毫秒级的链路保护倒换，保证高可靠性业务要求的网络质量。2023-04-27 版权全部，侵权必究 第49页，共54页华为数据中心网络技术建议书 内部公开S5300支持Smartlink和RRPP的多实例功能，可实现链路负载分担，进一步提高链路带S5300BFD快速链路检测，可以为OSPF、ISIS、VRRP、PIM等路由协议供给毫秒级的连通性检测机制，提高网络拓扑收敛速度。S5300同时供给Eth-OAM功能，802.1ag供给端到端牢靠性检测，802.3ah供给最终一公里故障检测和链路性能治理。此外，S3300支持BPDUtunnel功能，为用户利用运营商供给的专线构建自己的二层网络供给可能。卓越的安全特性S5300支持MCE功能，实现不同VPN用户在同一台设备上的路由隔离，有效解决用户的S5300供给多种用户安全保护功能，支持大ACL表项，支持IP/MAC/端口的组合绑定，支持黑洞MACMAC地址学习数目限StickyMAC、MFF、动态ARP检测、IPSOURCEGUARD等安全技术，支持Radius、Tacacs、802.1x、NAC、SSH等认证技术，为网络穿上坚实的保护衣。iStack功能S5300全系列产品支持堆叠功能，供给高速堆叠模块，支持双向48Gbps的堆叠带宽，在保证了堆叠设备高性能的同时，简化了治理和网络运行，降低了本钱，供给强大的网络扩展力量，保障了网络的牢靠性。支持IPv6功能S5300支持IPv6协议，支持双栈，实现了多种IPv6协议，支持IPv4向IPv6的多种过渡技术，实现了IPv6的多种路由协议，为下一代网络供给了保证。QuidwayS3300系列交换机QuidwayS3300系列运营级园区交换机是华为公司为满足以太网多业务承载需要而推出的一代园区接入三层交换机。S3300基于一代高性能硬件和华为公司统一的VRP(VersatileRoutingPlatform)软件平台，供给增加型敏捷QinQ功能，具备限速的跨VLAN组播复制力量，支持环形拓扑和树形拓扑等运营级组网技术，具备以太网OAM功能，供给高性能低本钱的堆叠功能，是企业网的楼宇、小区接入等多种场合的最正确选择。S3300为盒式产品设备，机箱高度1U，从特性上划分为标准型(SI)和增加型(EI)两个产品版本，标准型支持二层和根本的三层功能，增加型支持简单的路由协议和丰富的业务特性，包含型号：S3328TP-SI、S3352P-SI、S3328TP-EI、S3328TP-EI-24S、S3325-EI、S3325-EI-24S、S3325-EI-48S、S3328TP-PWR-EI、S3352P-PWR-EI。2023-04-27 版权全部，侵权必究 第50页，共54页华为数据中心网络技术建议书 内部公开图29S3300系列交换机产品特点：强大的组播功能S3300支持组播组，支持