上海师范大学校园网技术申请建设建议书

上海师范大学校园网技术建议书PAGEPAGE3上海师范大学校园网工程 机密文件上海师范大学校园网技术建议书华为技术有限公司2008年11月

目录TOC\o"1-4"\h\z\u目录 11．概述 21.1上海师范大学校区校园网建网需求分析 21.2.1一般建网需求 21.2.2上海师范大学校区建网需求 41.3核心、汇聚建网原则 42．总体网络设计 72.1组网描述 72.2业务访问说明 93．上海师范大学详细网络设计 103.1IP地址规划和路由策略 103.2上海师范大学VLAN划分 114．核心网安全设计 124.1用户严格隔离 124.2用户唯一标识 124.3防止对DHCP服务器的攻击 134.4组网安全性设计 134.5出口运营商线路备份 135．组网核心设备介绍 155.1Quidway®S9300系列核心路由交换机 155.2Quidway®NetEngine40全业务路由器 186.教育行业用户名单 24

1．概述随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。在信息化的建设过程中，它的作用体现在如下几个方面：1、校园网能促进教师和学生尽快提高应用信息技术的水平；信息技术学科的内容是发展的，它是一门应用型学科，因此，为了让学生学到实用的知识，必须给他们提供一个实践的环境，这个环境离不开校园网。2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3、校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。教育即未来，作为国家最重要的战略工程，如何应用信息技术改造我们传统的教学和管理手段；如何加深学生对于信息化和信息技术的理解与了解；如何造就同时具备传统和信息双重文化的一代新人，已成为教育界当前最为紧迫的任务之一。信息技术的应用，势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑，并将全身心地为之努力。1.1上海师范大学校区校园网建网需求分析1.2.1一般建网需求上海师范大学校区的网络属于新建，在实际的建设过程当中，应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性，如：校园网内部的服务器的访问，由于学生的访问的内容多样化决定，涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析上海师范大学网络基础设施建设和网络运营方面相关的内容。上海师范大学校园网络建设从网络流量模型上看和企业网的流量模型相似，用户集中而网络流量大，但实际应用上还存在许多和企业网不同的地方。主要特点如下：多出口的需求：典型的组网有中国教育和科研网（CERNET）出口和运营商网络出口。多出口带来了以下两个需求：多权限ISP需求。用户可通过不同的账号名或采用相同的账号，不同的域名认证，获得不同的上网权限。譬如做到用户不认证前能自由访问校园内部分服务器，采用“user@163”登录，可实现Internet和校园网络自由访问，采用“user@crenet”登录，可访问CERNET和校园网。用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。多ISP分别计费的需求，对应不同的ISP，计费策略不一致。考虑到用户的以上的需求，需要在学校的内部提供不同的路由策略，即用户访问教育网的相关站点，通过CERNET的线路，而访问其他的网站如：新浪网、263等网站则选择运营商的线路作为出口路由，这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。2、用户管理的需求：使用方便，存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整（隐性需求）、多WEB界面（隐性需求）等。需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。对用户带宽进行控制的需求，要求设备能对用户的带宽进行控制，譬如限制为64K、256K、512K、1M、2M、5M、10M等等级。3、多种教学方式并行的需求：随着校园网的信息化的发展，越来越的多教学方式依托于网络给学生提供多种的特色教学模式多媒体教学。为了更好的为学生提供全方面的教学资料，越来越的多学校在自己的内部局域网上面为学生提供多种教学资料，如：多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。VOD点播业务实现，通过建立VOD视频服务器平台，利用交换机提供的组播功能，为上海师范大学的用户提供优质的视频效果，同时节省用户带宽。4、安全管理的需求：校园用户接受新鲜事务的能力非常强，因此校园也成为黑客最多的场所之一，如何保障校园网络的安全成为建网时不得不考虑的问题，目前主要攻击手段有DOS，DDOS等上网日志的需求，主要是配合公安机关保证社会的稳定和校园的安全6、组播业务的需求，特别是可控组播的需求将随着校园信息化的深入而体现出来。1.2.2上海师范大学校区建网需求上海师范大学有两个校区共四个主节点和五个分节点。主节点为：徐汇信息办机房、徐汇一教5楼机房、奉贤图文8楼机房、奉贤老图书馆机房；分节点为：徐汇计算中心、徐汇东校区、徐汇图书馆、徐汇行政楼、奉贤图书馆。上海师范大学有三个Internet网络出口，分别为徐汇校区的1000M教科网出口（目前日常使用带宽为单向800M、双向1.5G以上）、1000M上海中小学校校通教育网出口和奉贤校区的20M电信出口（所有链路均为千兆光纤接口）。具体需求：现有网络的容量，可靠性－－建设后网络5－10年的容量，可靠性新的网络平台扩充后必然会引入安全问题，如何实现安全的控制及监控。新的网络平台对于业务主流技术的应用（包括VPN,IPV6,QOS等）对于用户的管理和计费，以及安全是否做充分的考虑其他业务系统的信息化互联，包括一卡通，数据中心等…1.2核心、汇聚建网原则早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在安全、可管理性较差、无业务增值能力等方面的问题。现在上海师范大学校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学、图书馆管理自动化，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。基于对上海师范大学校园网业务需求的深入理解，结合自身产品和技术特点，华为公司推出了了完善的上海师范大学校园网解决方案，为上海师范大学提供“可管理、可增值、可持续发展”的精品网络。上海师范大学网络建设遵循以下基本原则：高带宽上海师范大学网络是一个庞大而且复杂的网络，为了保障全网的高速转发，校园网全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性上海师范大学校园网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到上海师范大学用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，上海师范大学校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。

2．总体网络设计2.1组网描述上海师范大学校园核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。组网图如下所示：徐汇信息办机房徐汇信息办机房奉贤图文8楼机房中国教科网校校通网络中国电信教科网、校校通出口路由器电信出口路由器NE40NE40流控日志服务器防火墙防火墙服务器群服务器群S9312S9303徐汇一教5楼机房奉贤老图书馆机房徐汇计算中心徐汇东校区徐汇图书馆奉贤图书馆徐汇行政楼S9303S9303S9303S9303S9303S9312S9312S9312 解决方案网络分为三个层次，核心层、楼层汇聚层、接入层。为实现校区内的高速互联，核心层采用4台华为公司核心路由交换机QuidwayS9312，采用10G接口互联，组成环网，构建了校园网络中心。设计说明：核心采用4台S9312核心交换机，主要是从核心的大容量转发、高可靠性角度考虑。4台S9312负载分担连接多台服务器、所有汇聚交换机和出口路由器，部署业界先进的检测技术及保护技术，如BFDFORVRRP,smartlink，RRPP，确保网络s级的快速切换，保证业务不中断，最大实现网络的可靠性。汇聚层采用全千兆S9303汇聚层交换机，保证带宽，避免在汇聚层形成瓶颈。S9303交换机提供的三层功能可以有效屏蔽网络攻击，保证网络安全。在服务器分布区，核心设备旁挂一台交换机，作为各种服务器端口汇聚，新增一台防火墙作为安全防范。上海师范大学校区校园网核心层、汇聚层、接入层建设是要求从上海师范大学实际的应用出发，考虑到学生用户数量大、上网时间集中、突发流量较大等因素，华为在实际的建网的过程当中遵循了以下几点要求：核心层交换机：在建设的过程当中，应当充分考虑到核心交换机的交换性能，以及转发性能，华为S9312万兆核心交换机具12个业务插槽，最大可以支持4.8T的背板容量和2T的交换能力，设备包交换能力可以达到864Mpps，MAC地址表最大达到512K。可以为用户提供强大的三层交换功能，目前对于万兆接口、IPv6等新技术均支持。汇聚层交换机：汇聚层在整网当中是接入层与核心层的桥梁，因此在网络的建设过程当中应当避免汇聚层的瓶颈问题，并应当留有足够的业务扩展能力。我们在上海师范大学的网络设计当中采用S9303交换机作为汇聚层交换机，S9303交换机支持QinQ、灵活QinQ、VLAN交换等VLAN特性。支持BPDUTunnel、GRE、VLL、MPLSL3VPN、VPLS等隧道功能，支持RRPP、STP、RSTP、MSTP等环网技术。支持静态路由，RIPv1/v2,OSPFv2，ISIS，BGPv4等丰富的路由特性。支持IGMPSnooping、IGMPProxy、静态组播、PIMSM、PIMDM、MSDP等组播功能.出口路由器：考虑到上海师范大学的公网出口有两个，用户可以自由的选择不同的线路作为自己的出口线路；因此要求出口路由器具有强大的策略路由的功能，以及基于硬件的ACL列表功能，华为NE40高端路由器，具有强大的路由功能以及业务功能；NE40基于分布式的硬件转发和无阻塞交换技术，具备电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力、优异的扩展能力。NE40具备核心路由器所需的强大IP业务处理能力，同时融合了三层以太交换能力，具有丰富的IP边缘业务特性，包括以太网交换处理、PE、隧道和流队列等，支持以太网时钟。凭借NE40全面的业务支持能力，可实现IP运营级业务的可靠承载，IPv4向IPv6的平滑过渡。NE40有机地结合了软件的灵活性和硬件的高性能，即提供线速转发性能，又具备快速良好的业务升级和扩展能力。2.2业务访问说明不同用户访问公网：用户可以根据自己的需求，选择不同的运营商来进行公网的访问，出口路由器根据用户的访问策略进行策略路由，如图所示：不同的ISP用户在经过NE40的时候，NE40会根据用户所在的ISP服务商来做策略路由，将用户送到自己选择的出口线路上。校内三层互访：对于同在一个校园内部的学生之间的互访可以直接通过局域网的内部交换机来完成内部之间的互访，对于同属于一个汇聚层交换机S9303下的用户，两个用户之间的互访可以直接在汇聚层交换机S9303上来完成，而对于跨汇聚层交换机的用户只见的额互访可以通过核心交换机S9312来完成，S9312强大的三层交换功能完全可以胜任任何突发流量以及高集中用户上网时段的三层交换，为用户提供高速高带宽的用户接入。基于流攻击的防止。华为公司所采用产品NE40、S9312、S9303等三层转发模式均为最长路由匹配技术。这样就可以避免校园网内外的非法用户利用专门的攻击软件进行的一些基于流的共计，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CPU处理能力，直到彻底使主控处理板的CPU丧失处理能力，整个机器瘫掉。S9312是根据最长匹配来查找路由的，是针对网断进行路由的。所以当攻击者进行攻击时，不会造成S9312业务能力处理下降，对于整机没有影响影响。VPN业务规划目前针对学校的主要业务是宽带业务、门禁业务等，VPN的规划是在汇聚层节点以上部署PE功能，核心节点作为P设备，可以采用二层或者三层VPN，按照每个业务采用一类VPN部署。学校内不存在VPN用户之间的访问需求，主要需求都是针对后台服务器以及出口的访问，同时VPN也没有跨域的需求（不存在学校和其他网络之间的VPN业务访问），总的来说VPN的LSP路径从汇聚设备开始，在核心设备终结。对用户侧采用一类业务一类VLAN，对于宽带业务部署QINQ（打外层标签），在汇聚设备上通过ACL识别业务，把VLAN按照类通过子接口放入VRF中。3．上海师范大学详细网络设计3.1IP地址规划和路由策略IP地址的合理规划是校园网网络设计中的重要一环，大型计算机网络必须对ＩＰ地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址分配原则考虑到学校的学生宿舍的固定性，为保证对于上网学生的可查询性，且考虑到10.xxx.xxx.xxx私网地址不存在短缺等因素，建议上海师范大学的IP地址采用静态IP地址接入的方式进行建设。要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当校园网以私网地址分配或采用混合网络地址接入时，要求校园网提供地址变换功能，过滤掉私网地址。上海师范大学校园网IP地址规划方案1）IP地址的设计内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个私网的划分。对于相对固定不变的教学区采用静态分配IP地址，为防止地址盗用，采用IP地址与端口、地址绑定，对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP地址，采用ByPort的Vlan，小范围地限制地址盗用问题。静态IP地址对于用户来说可以实现对应物理位置的查询，对全网的IP地址与物理位置的对应有全面、可靠的管理。2）中心交换机支持静态或动态的IP地址分配，并支持动态IP地址分配方式下DHCP-Relay功能，DHCPSERVER可安放在园区内部。3）对于固定IP地址用户，需要针对标识符（MAC地址）设定保留IP地址。3.2上海师范大学VLAN划分通常采用包月方式，同时需要实现帐号和端口绑定的功能，故采用一个用户一个VLAN，并限制一个VLAN下同时接入的用户数量。2、对一层楼一个VLAN①本层楼的内部互访无须经过三层交换机，优化了组网。③这种划分方式中，因为对用户能实现动态的VLAN+MAC+IP绑定，可对用户发动的伪造攻击报文进行合法性检查和过滤，具有一定的网络安全性保障。3、不同VLAN间的互访，必须经过三层交换机进行转发。4．核心网安全设计网络安全是任何一个网络建设时首先要考虑的重要问题，上海师范大学校园网的环境更加复杂，学生的技术水平都较高，好奇心比较强，校园网的网络安全更加值得关注。TCP/IP网络本身就存在很多安全漏洞，很容易被一些恶意用户利用并实施攻击，或非法占用网络资源，侵犯其它用户的合法利益，甚至导致整个网络系统崩溃。任何一个网络设备都必需首先具备足够的自我保护和防范能力，华为的交换机和路由器等网络设备在安全性方面有丰富实用的功能，大体可分为两类，一类是自身防攻击措施，另一类是用户安全保证措施。4.1用户严格隔离方法一：用Vlan隔离。在楼道以太网交换机上按端口划分Vlan，每个用户占用一个Vlan。方法二：利用PVlan技术。在楼道交换机上划分PVlan，使用户端口之间不能通信，用户端口只能和Uplink口通信。方法三：使用以太网MUX设备。该类设备将接入层交换机的端口分为两类：上行口Uplink和用户端口。用户端口之间不能通信，Uplink口可以和所有端口通信。4.2用户唯一标识一般的边缘路由器对于用户上行报文，只根据目的IP地址进行转发，不做源地址检查，这是出现网络和用户安全性问题的根本原因所在。对于静态IP地址分配方案，接入层交换机可在操作界面中实现用户的VLANID+IP+MAC绑定关系的指定；对于动态IP地址分配方案，在IP地址动态分配后，接入层交换机可实现用户的VLANID+IP+MAC的绑定。VLAN信息由设备构造，不可仿冒，可作为用户上网的唯一标识。4.3防止对DHCP服务器的攻击使用DHCPServer动态分配IP地址会存在两个问题：一是DHCPServer假冒，用户将自己的计算机设置成DHCPServer后会与局方的DHCPServer冲突；二是用户DHCPSmurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。由于DHCP是通过二层广播包起作用的，故在二层严格隔离用户，可防止DHCPServer假冒。为解决DHCPSmurf，在以太网接入时，对用户划分Vlan，由汇聚层交换机控制一个Vlan下申请的最大IP地址数，当该Vlan的IP地址数目达到限制值后，拒绝新的DHCP申请。Vlan的划分可根据学校的实际情况灵活掌握。4.4组网安全性设计网络当中，线路的备份非常重要，上海师范大学的网络的设计当中，我们建议在汇聚层与核心层之间的2GE捆绑的上行可以在采用扩大带宽的同时实现线路上的备份，当其中一条线路出现故障，其余的一条线路可以实现线路的接替。这样大大提高了网络组网的可靠性，进而提高全网的可靠性。4.5出口运营商线路备份对于上海师范大学来说虽然存在不同的学生用户选择不同的ISP的服务商，但是在实际的应用当中可能会产生ISP服务商线路终端的问题，因此学校可以在出口路由器上配置备份策略，当一个ISP服务商的线路出现问题的情况下，可以选择有限级较低的策略从其他的ISP出口上网实现ISP线路的备份。主备方式：徐汇A上行端口下一跳静态路由配置为徐汇B，备份路由启动其它上行端口，可以配合ACL（五元组），正常流量统一从徐汇B出口，异常时通过徐汇A出口策略可以在核心设备上部署，访问电信从奉贤出口，其他选择徐汇出口负载分担：徐汇A和徐汇B出口都配置等价路由，采用负载分担方式承载，某条链路故障时，则流量全部转移到正常的链路上承载。策略可以在核心设备上部署，访问电信从奉贤出口，其他选择徐汇出口

5．组网核心设备介绍5.1Quidway®S9300系列核心路由交换机产品概述Quidway®S9300系列路由交换机（以下简称S9300）是基于新一代的硬件平台和华为公司统一的VRP®（VersatileRoutingPlatform）平台而推出的下一代以太网汇聚交换机，提供超大容量、高密度、模块化体系架构，提供二、三层线速转发能力，具有强大组播功能，VLAN交换功能，完善的QoS保障、有效的安全管理机制和电信级高可靠设计，满足城域以太网和企业园区网对Multi-Play业务承载的组网需求，为运营商和企业网提供强大的网络交换能力，支持IP专线、VPN、IPTV、IPv6等多种服务。为了降低运营成本，满足节能减排需求，S9300作为新一代的交换机采用了多种绿色节能的创新技术，大幅降低设备能耗、减小噪声污染。产品外观S9303S9306S9312S9300系列包括S9303、S9306、S9312三款产品形态，均采用前维护设计。三款产品除了外形尺寸、线卡数目、交换容量等指标不同外，其他特性均保持一致。产品特点先进的多平面系统架构S9300采用分布式的转发控制架构，整个系统被分为五个逻辑平面，包括电源、时钟、设备管理、转发控制四个控制平面和一个数据转发平面，五个平面分别使用不同的背板总线，相互独立，协同工作。绿色节能环保S9300系列交换机基于绿色环保理念设计，左后风道散热方式提高机框的走线效率、智能风扇分区调速以及端口自动休眠功能降低整机平均功耗、小颗粒模块化电源设计减少运营商初期投资、归一化的模块化设计节省维护成本；电信级高可靠性设计S9300系列交换机所有核心部件均采用冗余设计，主控模块SRU/MCU支持1+1的工作模式，集中监控模块CMU支持1:1的备份工作模式，4个电源模块支持2+2的负荷分担工作模式，风扇模块使用双层备份方案，支持单风扇失效（单风扇出现故障情况下，系统仍可保持正常运行）。除此之外，Quidway®S9300系列软件系统基于华为公司VRP平台的模块化设计，确保了主机系统软件的可靠性，并且支持端口捆绑、SmartLink、RRPP、OAM、BFD、FRR等链路保护倒换协议，提高整个网络的可靠性。超大容量交换平台作为新一代的路由交换平台，Quidway®S9300系列交换机最大可以支持4.8T的背板容量和2T的交换能力，设备包交换能力可以达到864Mpps，MAC地址表最大达到512K。弹性可扩展的硬件结构S9300系列交换机交换容量可以扩展到3.84T，槽位带宽可以扩展到480Gbps，单框接口密度可以扩展到288个10GE，MAC地址数可以扩展到1M。层次化QoSS9300系列交换机支持双速三色和单速双色标记器，层次化的流量监管，提供基于用户组的流量监控以及组内用户间的带宽统计复用，从而提供更精细的带宽管理。支持SR、WRR、SP+WRR、DWRR等调度算法，解决TriplePlay和VPN模式下不同业务的服务质量问题。支持基于端口、COS和VLAN进行流量整形功能，有效提高IPTV视频的质量。丰富的二三层业务特性S9300系列交换机支持QinQ、灵活QinQ、VLAN交换等VLAN特性。支持BPDUTunnel、GRE、VLL、MPLSL3VPN、VPLS等隧道功能，使得运营商有提供管道服务的能力。支持RRPP、STP、RSTP、MSTP等环网技术。支持静态路由，RIPv1/v2,OSPFv2，ISIS，BGPv4等丰富的路由特性。支持IGMPSnooping、IGMPProxy、静态组播、PIMSM、PIMDM、MSDP等组播功能，为IPTV业务的开展提供技术支持。精细化的主机安全控制S9300系列交换机不仅提供ACL过滤、DHCPSnooping、MAC地址限制、MAC地址绑定等业务安全以及命令行分级保护、SSH、SNMPv3等设备访问安全控制，还通过硬件层次化的CPU过载控制，抵御各种网络攻击，保障关键业务得到及时处理，从而有效的防止类似于泛洪/DDOS等攻击影响路由协议、DHCP等重要业务。NQA——网络质量分析S9300系列交换机支持NQA（NetworkQualityAnalyses）网络质量分析，通过主动在多个设备之间发送指定设置数量的NQA协议报文来实现网络性能的度量，统计抖动，时延，丢包率等网络性能参数，诊断NQA协议报文包括ICMPping/traceroute，LSPping/traceroute，基于VCCV的ping，MACping/traceroute，组播ping/traceroute等。IPv6ReadyS9300系列交换机支持软硬件的IPv6，支持RIPng，OSPFv3，ISISv6，BGP4+，MLD，MLDSnooping，PIMv6，IPv6multicastVLAN，ICMPv6等单组播IPv6路由协议，S9300还支持6to4隧道和IPv6ACL。产品规格项目S9303S9306S9312背板容量1.2Tbps2.4Tbps4.8Tbps交换容量384Gbps2Tbps2Tbps业务槽位3612包转发能力216Mpps432Mpps864Mpps端口容量144Gbps288Gbps576GbpsVLAN支持Access、Trunk、Hybrid和QinQ接入方式支持defaultVLAN支持VLAN交换支持灵活QinQMAC地址功能支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤支持基于端口和VLAN的MAC地址学习限制STP支持STP，RSTP和MSTP支持BPDU保护、Root保护、环路保护支持BDPUTunnelIP路由支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议支持RIPng、OSPFv3、ISISv6、BGPv4等IPv6动态路由协议组播支持IGMPSnooping功能支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功能支持组播ACL支持IGMPsnoopinginVPLSMPLS支持MPLS基本功能支持MPLSOAM支持MPLSTE支持MPLSVPN/VLL/VPLSQoS支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类支持ACL、CAR、Remark、Schedule等动作支持PQ、PQ+WRR等队列调度方式支持WRED、尾丢弃等拥塞避免机制支持流量整形支持H-QoS配置与维护支持Console、AUX、Telnet、SSH等终端服务支持SNMPv1/v2/v3等网络管理协议支持通过FTP、TFTP方式上载、下载文件支持BootROM升级和远程在线升级支持热补丁支持用户操作日志安全和管理命令行分级保护，未授权用户无法侵入支持RADIUS和HWTACACS用户登录认证支持防范DoS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击、大流量攻击支持CPU通道的保护支持ICMP实现ping和traceroute功能支持RMON机箱尺寸mm（宽×深×高）442×476×175442×476×441.7442×476×663.95机箱重量（空配）<15Kg<30Kg<45Kg工作电压DC：–38.4V～–72VAC：90V～264V最大支持功耗350W800W1600W环境参数工作温度：长期0℃～45℃；短期-5相对适度：5％RH～85％RH，不结露气压：70~106kPa5.2Quidway®NetEngine40全业务路由器产品概述Quidway®NetEngine40系列通用交换路由器（以下简称NE40），采用分布式网络处理器技术和无阻塞交换技术，具备优异的扩展能力，全面支持IPv6，具备高速接口的线速转发能力、完善的QoS（QualityofService）机制和运营级的可靠性。NE40融合核心路由器强大的IP业务处理能力和二层以太交换能力，可提供更丰富的业务、更灵活的组网和更理想的性价比，面向承载网边缘、IP骨干网边缘和城域网核心、城域网汇聚、骨干网汇聚以及各种行业、企业的核心网络。产品外观NE40-8NE40-4NE40-2NE40-8提供2个路由交换板槽位和8个业务槽位，交换容量为128Gbps，整机包转发性能为48Mpps。NE40-4提供2个路由交换板槽位和4个业务槽位，交换容量为128Gbps，整机包转发性能为24Mpps。NE40-2提供1个路由交换板槽位和2个业务槽位，交换容量为16Gbps，整机包转发性能为12Mpps。

产品特点分布式第五代路由器NE40作为第五代路由器采用了业界高性能网络处理器技术，充分继承了第四代全分布式硬件处理的架构，有机地结合了软件的灵活性和硬件的高性能，既提供线速转发性能，又具备快速良好的业务升级和扩展能力，最大限度地保证用户投资。NE40良好的可扩展性加速了IP网络向宽带化、安全化、业务化、智能化方向发展。全面的业务能力和高品质性能NE40基于分布式硬件处理，具备高性能的网络业务能力，胜任高性能MPLSVPNP/PE应用，提供高品质、安全和全面的MPLSL3VPN、MPLSTE、IPVPN、组播等业务方案。NE40提供丰富的二层VPN业务特性，如L2VPN/PWE3、1483B透传业务，VPLS(VirtualPrivateLANService)、VLL(VirtualLeasedLine)和VLAN的相关特性。NE40提供高品质QoS，实现先进的队列调度算法、拥塞控制算法，精确保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的服务质量要求，保证VoIP（VoiceoverIP）等电信级业务的开展，适应多业务承载IP网的发展要求。NE40既具有高端路由器强大的路由处理能力，又兼具丰富的二层交换特性，在充分满足业务应用的同时大幅节省建网成本，体现出极高的性价比。同时支持强大的NAT/NATPT能力，提供单播反向路径检查uRPF（UnicastReversePathForwarding）、策略路由、端口镜像、系统漏桶（CP-CAR）、流量统计NetStream等周密的安全措施协助用户提高竞争能力，是性价比极好的高端路由器。强大的路由能力NE40支持IP/MPLS分布式转发，路由能力强大，提供RIP、OSPF、IS-IS、BGP4和组播等丰富的路由协议功能，具备快速收敛功能，在复杂路由环境下稳定自如。NE40全面支持IPv4/IPv6双协议栈，支持通用的IPv4路由协议、IPv6路由协议、组播路由协议和静态路由。NE40支持IPv4向IPv6过渡的多种技术，如手工配置隧道、自动配置隧道、6to4隧道、基于硬件的NAT-PT和6PE。电信级可靠性NE40各关键部件冗余热备份，所有组件支持热插拔；采用无源背板设计；实现基于状态的热切换和不间断的路由转发；提供热补丁技术，实现软件完全平滑升级；提供IP/MPLS/VPN快速重路由、虚拟路由冗余协议（VRRP）、RPR自愈环网(IPS)、IPTRUNK链路分担备份、BFD链路快速检测、路由协议/端口/VLANDamping等保护机制，有效保证了全网运行的高速可靠，可以实现99.999%的系统可用性。产品规格项目NE40-8NE40-4NE40-2交换容量128Gbps，无阻塞交换128Gbps，无阻塞交换16Gbps，无阻塞交换转发性能48Mpps24Mpps12Mpps接口板槽位数842接口类型OC-48c/STM-16cPOSOC-12c/STM-4cPOSOC-3/STM-1POSOC-3/STM-1cPOS通道化到E1/T1OC-3/STM-1cPOS通道化至DS0OC-12c/STM-4cATMOC-48c/STM-16cRPRGEFEE3/T3E1/cE1灵活业务插卡OC-3/STM-1ATM专用业务板NAT/NATPT/Netstream/隧道路由协议支持RIP、OSPF、IS-IS、BGP-4等路由协议，所有端口在路由振荡等复杂路由环境下仍然能够保持线速转发。IPv6全面支持IPv4和IPv6双协议栈；支持丰富的IPv4向IPv6的过渡技术：手工配置隧道、自动配置隧道、6to4隧道、硬件实现NAT-PT等；支持IPv6静态路由，支持BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议；支持ICMPv6MIB、UDP6MIB、TCP6MIB、IPv6MIB等。二层交换特性作为通用核心路由器，支持二层交换和三层转发功能，提供丰富交换机特性，包括IEEE802.1ad、IEEE802.1d、IEEE802.3、IEEE802.3u、IEEE802.3x、IEEE802.3z、IEEE802.1Q、IEEE802.1p、IEEE802.1D/802.1w、MSTP、支持VLAN聚合（SupperVLAN）、VLANTRUNK、支持基于MAC地址和端口的过滤列表。MPLSVPN可作为P和PE。支持MPLSL3VPN，符合RFC4364协议；支持三种跨域实现方式；支持与Internet业务集成，提供基于VPN的多实例NAT；支持HoPE；支持多角色主机等。支持MPLSTE、RSVPTE。IPVPN/L2VPN支持L2TP、GRE，支持Martini、Kompella方式MPLSL2VPN和LDP、BGP方式的VPLS，支持ATM信元透传。NAT提供专用NAT业务处理板，实现双向千兆线速地址转换能力；每板支持100万并发连接；每秒处理20万新建连接；每秒刷新50万NAT表项；支持IPv6/IPv4的NAT-PT功能；提供完善的安全日志。QoS提供完善的QoS机制。每线路板可提供2k个队列，支持CBQ、LLS/NLS、PBS等先进调度技术，采用WRED和先进的SA-RED算法，支持8个等级的丢弃优先级；提供精确的流量监管和流量整形功能；提供定义复杂规则的功能，可以鉴别细粒度的流。可以提供基于DiffServ的完善QoS保证。组播支持IGMP协议，支持静态组播配置，支持PIM-DM/SM、MSDP、MBGP组播路由协议；支持多个组播协议间的互操作性；支持组播策略处理，包括组播路由协议和组播转发的策略处理，支持组播QoS、组播VPN；提供交换网和线路板两级组播复制功能，达到最优的组播效能。可靠性提供IP/MPLS/VPN快速重路由、虚拟路由冗余协议（VRRP）、RPR自愈环网(IPS)、IPTRUNK链路分担备份、BFD链路快速检测、路由协议/端口/VLANDamping等保护机制。提供软件热补丁技术，实现设备软件完全平滑升级；采用无源背板设计；路由处理模块、交换网、电源风扇等关键部件冗余备份，整机没有单点故障，支持基于状态的热备份切换，实现不间断路由转发，所有组件可热拔插。体系结构一体化机箱结构，支持19英寸标准机架输入电源DC：-42～-60VAC：100V～240V满负荷功耗小于1000W小于600W小于300W外形尺寸(mm)(宽X深X高)482.6（mm）×420（mm）×797.3（mm）482.6（mm）×420（mm）×352.8（mm）482.6（mm）×420（mm）×219.5（mm）满配置最大重量小于85kg小于50kg小于35kg环境要求长期工作温度：5～40℃；短期工作温度：-5～50℃温度变化速率限制：30°C/小时运行湿度：5%～85%（无凝露）；短时间运行湿度：5%～90%海拔高度：5000m以内不影响转发性能5.3Quidway®MA5200F宽带接入服务器产品概述Quidway®MA5200F系列宽带接入服务器（以下简称MA5200F）采用集中式处理的盒式硬件体系，具备完善的接入、认证、授权和计费功能，完整的QoS机制、丰富的业务处理能力，能够满足中小规模IP网络宽带接入服务和用户管理的需求。MA5200F主要是面向城域网汇聚层中小汇聚节点，用于IPDSLAM模块局、小容量IPDSLAM端局的xDSL宽带接入用户的管理，也可用于以太网汇聚层，对以太网接入用户进行管理，还可用于中小企业网和行业网络，以及酒店、会议中心、展览馆等各种热点地区宽带用户（包括专线用户）的接入。MA5200F可以支持1K用户的并发接入，5200F-2000是5200F的增强版，可以支持2K用户的并发接入。产品外观MA5200FMA5200F提供4个业务槽位，每槽位可配置1/2路GE或6路FE或4路POS155M；MA5200F支持1K并发用户接入；MA5200F-2000支持2K并发用户接入。

产品特点灵活的接入认证方式支持用户通过以太网、xDSL、HFC、WLAN等各种方式进行接入。支持Web、PPPoE、802.1x、端口绑定、即插即用等多种认证接入方式；对应不同的用户，可以灵活地选择不同的认证方式。并可以在一个端口上同时支持PPPoE认证、WEB认证、快速认证和802.1x认证。支持多种认证策略，包括：本地认证和远端认证，以及本地优先认证和远端优先认证。有效的地址管理功能支持DHCPRelay和内置DHCPServer，为配置DHCP的用户动态分配地址，还可以为PPP拨号用户作DHCP代理，从外部DHCP服务器申请地址，具有DHCPProxy功能。可以对地址池中的地址资源进行管理，能够实现从本地地址池和远端DHCP服务器地址池中为用户分配地址，并且支持通过AAA服务器为用户分配地址。允许用户通过动态获取地址或者静态配置地址的方式接入网络。支持二次地址分配，用户认证之前分配私网IP，在认证通过后，根据用户所选择的域重新分配地址，可以解决公网地址不足问题，提高公网地址的利用率。支持多种计费方案能够准确地采集用户的计费信息，包括时长和流量。同时还支持将计费信息抄送到指定的计费服务器。支持本地计费和远端计费。对于本地计费和远端计费都支持实时计费，保证计费信息的准确性。对于远端计费，还支持提供计费保护机制，通过计费服务器的冗余备份、握手、重发等机制，保证链路故障时不丢失话单、不产生错误话单。在远端计费服务器不能计费时，可以将话单保存在本地，计费服务器恢复正常后，可以通过TFTP协议，将计费信息上传到计费服务器。支持不计费、后付费和预付费等多种计费策略。对于预付费业务，支持基于时长的预付费和基于流量的预付费业务。与AAA服务器配合还能实现基于时长和流量的综合预付费业务，并支持费率切换功能和各种折扣功能，可以按照接入类型，采用不同的费率收费。强大的用户管理功能支持用户属性授权和管理，包括用户带宽限制、NAT连接数限制、访问权限控制、互访权限控制、QoS属性控制和策略路由授权；提供用户登录日志和用户访问日志。能够指定逻辑端口接入用户的类型，例如WLAN用户，ADSL用户等，并且能够针对不同用户实施不同的控制策略，并且能够将用户接入类型信息上报给认证计费服务器。基于用户群的访问控制功能，可以将用户分为不同的UCL-Group，并在不同的UCL-Group上作用不同的ACL规则，由此实现用户访问控制的分群管理；基于用户群的互访控制功能，可以将用户分为不同的互访控制群InterGroup，InterGroup内部用户的互访权限和InterGroup之间的互访权限可配置，由此实现用户互访的分群管理。完善的安全机制通过身份认证、ACL、资源保护、用户日志等手段，提供身份鉴别、防地址仿冒、攻击防护、安全审计等完善的安全功能。专有的报文绑定检查技术，可以在用户通过认证后对用