网络解决方案技术建议书

网络解决方案技术建议书#华为技术有限公司TOC\o"1-5"\h\z\o"CurrentDocument"网络总体设计方案1\o"CurrentDocument"网络总体网络设计原则1\o"CurrentDocument"网络总体架构2\o"CurrentDocument"网络详细设计方案3\o"CurrentDocument"VLAN及IP规划3\o"CurrentDocument"VLAN概述3\o"CurrentDocument"VLAN功能划分3\o"CurrentDocument"VLAN规划原则4\o"CurrentDocument"VLAN规划建议4\o"CurrentDocument"IP规划概述5\o"CurrentDocument"IP地址规划原则5\o"CurrentDocument"DHCP规划7\o"CurrentDocument"DNS规划7\o"CurrentDocument"虚拟化设计9\o"CurrentDocument"横向虚拟化设计9\o"CurrentDocument"纵向虚拟化设计12\o"CurrentDocument"安全设计13\o"CurrentDocument"安全概述13\o"CurrentDocument"网络安全方案14\o"CurrentDocument"边界安全方案15\o"CurrentDocument"运维设计22\o"CurrentDocument"设备简易运维管理22\o"CurrentDocument"网络质量感知24\o"CurrentDocument"网络管理软件eSight25\o"CurrentDocument"eSight部署规划方案26设备推荐29\o"CurrentDocument"S7700系列29\o"CurrentDocument"S5700系列全千兆企业交换机32\o"CurrentDocument"安全接入网关35\o"CurrentDocument"AR1200系列企业路由器404设备清单4..1\o"CurrentDocument"5售后服务承诺4..3\o"CurrentDocument"售后服务43\o"CurrentDocument"售后服务体系43\o"CurrentDocument"4.1全.国3服务网络44\o"CurrentDocument"4.1强.大4的管理、技术和服务团队446售后服务期4.6\o"CurrentDocument"设备厂商、维修服务46\o"CurrentDocument"售后服务46\o"CurrentDocument"基本服务CommonService48\o"CurrentDocument"增值服务Value-addedService52\o"CurrentDocument"专家服务ExpertService54\o"CurrentDocument"标准服务流程56\o"CurrentDocument"巡检及健康检查流程56\o"CurrentDocument"6.1.8工作流程57\o"CurrentDocument"6.1.9故障处理流程58\o"CurrentDocument"技术支持流程60\o"CurrentDocument"现场服务流程63\o"CurrentDocument"重大故障处理流程64\o"CurrentDocument"备品备件流程67\o"CurrentDocument"故障事件总结，统计分析报告流程68\o"CurrentDocument"知识库70\o"CurrentDocument"6.1.16客户服务中心的组成71\o"CurrentDocument"6.1.17服务管理平台73网络解决方案技术建议书1网络解决方案技术建议书1网络总体设计方案1网络总体设计方案网络总体网络设计原则网络设计，注重的是网络的简单可靠、易部署、易维护。因此在网络中，拓扑结构通常以星型结构为主，较少使用环网结构（环网结构较多的运用在运营商的城域网络和骨干网络中，可以节约光纤资源）。基于星型结构的网络设计，通常遵循如下原则：层次化将网络划分为核心层、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。模块化将网络中的每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。冗余性关键设备采用双节点冗余设计；关键链路采用Trunk方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。安全隔离网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。可管理性和可维护性网络应当具有良好的可管理性。为了便于维护，应尽可能选取集成度高、模块可通用的产品。

网络总体架构图1-1网络架构该组网结构具有如下特点：以核心节点为“根”的星型分层拓扑，架构稳定，易于扩展和维护。各功能分区模块清晰，模块内部调整涉及范围小，易于进行问题定位。双节点冗余设计，关键链路均采用Trunk链路，保证网络的可靠性。支持各种业务终端接入，一张IP网络承载所有业务。网络解决方案技术建议书2网络解决方案技术建议书2网络详细设计方案2网络详细设计方案VLAN及IP规划VLAN概述VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离广播域的技术。当网络规模越来越庞大时，局部网络出现的故障会影响到整个网络，VLAN的出现可以将网络故障限制在VLAN范围内，增强了网络的健壮性。VLAN功能划分■用户VLAN用户VLAN即普通VLAN，也就是我们日常所说的业务VLAN，是用来对不同端口进行隔离的一种手段。VLAN通常根据业务需要进行规划，需要隔离的端口配置不同的VLAN，需要防止广播域过大的地方配置VLAN用于减小广播域。VLAN最好不要跨交换机，即使跨交换机，数目也需要限制。VoiceVLANVoiceVLAN是为用户的语音数据流划分的VLAN，用户通过创建VoiceVLAN并将连接语音设备的端口加入VoiceVLAN，可以使语音数据集中在VoiceVLAN中进行传输，便于对语音流进行有针对性的QoS配置，提高语音流量的传输优先级，保证通话质量。GuestVLAN网络中用户在通过802.1X等认证之前接入设备会把该端口加入到一个特定的VLAN(即GuestVLAN)，用户访问该VLAN内的资源不需要认证只能访问有限的网络资源。用户从处于GuestVLAN的服务器上可以获取802.1X客户端软件，升级客户端或执行其他应用升级程序(例如：防病毒软件、操作系统补丁程序等）。认证成功后，端口离开GuestVLAN加入用户VLAN，用户可以访问其特定的网络资源。■MulticastVLANMulticastVLAN即组播VLAN，组播交换机运行组播协议时需要组播VLAN来承载组播流。组播VLAN主要是用来解决当客户端处于不同VLAN中时，上行的组播路由器必须在每个用户VLAN复制一份组播流到接入组播交换机的问题。VLAN规划原则一个二层网络规划的基本原则：区分业务VLAN、管理VLAN和互联VLAN按照业务区域划分不同的VLAN同一业务区域按照具体的业务类型（如：Web、APP、DB）划分不同的VLANVLAN需连续分配，以保证VLAN资源合理利用预留一定数目VLAN方便后续扩展VLAN规划建议VLAN根据多种原则组合划分。按照逻辑区域划分VLAN范围：例1：核心网络区：100-199月服务器区：200-999，预留1000-1999接入网络：2000-3499业务网络：3500-3999例2：规划NAC方案时使用动态VLAN情况下VLAN可划分为认证前域GuestVLAN、隔离域IsolateVLAN、认证后域VLAN三类。实际部署时可以按职能部门分配VLAN，同时预留GuestVLAN和隔离VLAN。按照地理区域划分VLAN范围例如：接入网络A的地理区域使用2000~2199接入网络B的地理区域使用2200~2399按照功能模块划分VLAN范围例如：安全监控网络使用2000~2009企业办公网使用2010~2019按照业务功能划分VLAN范围例如：Web服务器区域：200-299APP服务器区域：300-399DB服务器区域：400~499IPPhone、打印机等哑终端使用单独的VLAN上线°IPPhone需要为其配置VoiceVLAN,提高语音数据的优先级，保证语音质量。建议为AP规划独立的管理VLAN。IP规划概述考虑到后期扩展性在网络IP地址规划时主要以易管理为主要目标。网络中的DMZ区或Internet互联区有少量设备使用公网IP,网络内部使用的则是私网IP。IP地址是动态IP或静态IP的选取原则如下：原则上服务器,特殊终端设备（打卡机,打印服务器,IP视频监控设备等）和生产设备建议采用静态IP。办公用设备建议使用DHCP动态获取，如办公用PC、IP电话等。IP地址规划原则■ip地址规划的原则唯一性-个ip网络中不能有两个主机采用相同的ip地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。连续性连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实意性“望址生意”,好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。■网络IP地址基本分类Loopback地址为了方便管理，会为每一台路由器创建一个Loopback接口，并在该接口上单独指定一个IP地址作为管理地址。Loopback地址务必使用32位掩码的地址。最后一位是奇数的表示路由器，是偶数的表示交换机，越是核心的设备，Loopback地址越小。互联地址互联地址是指两台网络设备相互连接的接口所需要的地址，互联地址务必使用30位掩码的地址。核心设备使用较小的一个地址，互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。业务地址业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址，业务地址规划时所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。网络内部的IP地址建议使用私网IP地址，在边缘网络通过NAT转换成公网地址后接入公网。汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由是可以聚合的，这样可以减少核心网络的路由数目。无线设备的IP地址ACIP地址一般通过静态手工配置。由于AP数量较多，手动配置IP地址工作量大且容易出错，建议采用DHCP动态给AP分配IP地址。DHCP动态分配AP的IP地址时，可以采用指定地址池分配和统一分配两种方式。DHCP规划网络中办公网络、商业WiFi建议使用DHCP，每个DHCP网段应保留部分静态IP供服务器等设备使用。■DHCP部署基本架构在数据中心或服务器区部署独立的DHCPServer。在汇聚层网关部署DHCPRelay指向DHCPServer统一分配地址。DHCP一般通过VLAN分配地址，如有特殊要求，在接入交换机部属Option82，由接入交换机提供的Option82信息分配地址。图2-1DHCP划分ft5图2-1DHCP划分ft5ftiffJDHCPserverDHCPserver戳据中血『凰务器秫1汇累悝网黄叭办玄网商业Wil=i欺也■DHCP部署基本原则固定IP地址段和动态分配IP地址段保持连续。按照业务区域进行DHCP地址的划分，便于统一管理及问题定位。DHCP需要跨网段获得IP地址时，启动DHCPRelay功能。启动DHCP安全功能，禁止非法DHCPServer的架设和非法用户的接入。DNS规划■DNS服务器的角色划分Master服务器：主服务器作为DNS的管理服务器，可以增加、删除、修改域名，修改的信息可以同步到Slave服务器，一般部署1台。Slave服务器：从服务器从Master服务器获取域名信息，采用多台服务器形成集群的方式，统一对外提供DNS服务，一般采用基于硬件的负载均衡器提供服务器集群的功能。一般部署2台从服务器。Cache服务器：缓存服务器用于缓存内部用户的DNS请求结果，加快后续的访问。一般部署在Slave服务器上。DNS服务器的IP地址Master服务器：采用企业内网地址。Slave服务器：分配企业私网地址，并在负载均衡器上分配一个虚拟的企业内网地址。Internet域名地址有两种方案：一种是在防火墙上做NAT映射，把Slave服务器的虚拟地址映射为一个公网IP地址，用于外部Internet用户的访问。另一种是在链路负载均衡设备上通过智能DNS为外部Internet用户提供服务。DNS可靠性设计众多内部用户发送DNS请求，被均匀分担到SlaveDNS1和DNS2。当SlaveDNS1服务器故障后，所有的DNS请求被分发给SlaveDNS2。最终DNS服务器必须与外部DNS通讯。Master服务器，建议放置在DMZ区域，并在同区内部建立SlaveDNS服务器。如只对内提供服务的DNS服务器，可以作为二级的DNS服务器，放入其他非DMZ区域。当所有的SlaveDNS都故障后，用户发送的DNS请求无响应。用户就切换到备DNS，由MasterDNS处理所有的请求。

图2-2DNS规划运营商的DNS^S10J0.31D1QJ0.25主图2-2DNS规划运营商的DNS^S10J0.31D1QJ0.25主DM：<DNS：NAT外部:Masterisia/esiaf7eDNS[dhs_i_1D.D.2.617fl6"b'5~172~6.0.£FWL3hiternEtIP0□仍的虑捌1003IZ虚拟化设计横向虚拟化设计网络核心、汇聚节点均建议采用CSS设计，可以提高单节点设备可靠性，一台交换机故障，另外一台交换机自动接管故障设备上的所有业务，可以做到业务无损切换。设备虚拟化通过跨设备的Trunk链路，提升链路级可靠性，并且流量可以均匀分布在Trunk成员链路上，提高链路带宽利用率，一条或多条链路故障后，流量自动切换到其他正常的链路。网络配置和维护简单，网络二层接入网不需要配置复杂的二层环网和保护倒换协议，二层链路故障能直接感知快速切换。三层网络中多个设备间共享路由表，网络故障路由收敛速度快。网络管理和维护难度大大降低，此方案适应面广，扩展性强，是未来网络的发展趋势。可以提高网络故障的收敛时间。通过虚拟化与Trunk相结合的方式，可以将传统网络中协议的收敛时间转化为Trunk内部成员的选路时间。链路聚合技术的收敛不涉及复杂的协议计算，也不涉及网络协议的重新收敛，因此效率上要高出很多，华为公司的交换机在某些场景可以达到10ms左右的收敛时间，比之网络协议收敛的秒级要提高了100倍。CSS2（ClusterSwitchSystemGeneration2，第二代集群交换机系统），又被称为集群，是指将多台支持集群特性的交换机设备虚拟化为一台交换机设备（目前支持2台），从逻辑上组合成一台整体交换设备。图2-3CSS2集群CSSCSSCSS2系统建立后，根据协议的计算，将出现一个主交换机，一个备交换机。在控制平面上，主交换机的主用主控单元成为CSS2的系统主，作为整个系统的管理主角色；备交换机的主用主控单元成为CSS2的系统备，作为系统的管理备角色；主交换机和备交换机的备用主控单元作为CSS2的候选系统备，不具有管理角色。S12700主控交换分离，备板只作为备用主控，无交换网功能。简化管理和配置集群形成后，两台核心设备物理虚拟成为一台设备，用户可以通过任何一台成员设备登录集群系统，对集群系统所有成员设备进行统一配置和管理，需要管理的设备节点减少一半。其次，组网中逻辑上看变得简单，原来需要的STP/SmartLink/VRRP等冗余备份协议，在使用CSS2后都不再需要了。提高链路利用率通过跨框Trunk，用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口，这样不仅不用酉己置STP等协议，而且Trunk的多条链路之间可以对流量做负载分担，提高了链路的利用率，较STP等阻塞链路的方式要好很多。交换网集群现有技术支持交换网板上支持插集群卡。通过连接交换网集群卡端口，建立交换网集群。交换网

集群与下文的控制面集群差异是控制报文的转发路径。交换网集群是通过交换网集群端口转发控制报文，控制面集群是通过控制面集群口转发控制报文。两种模式下，数据报文都通过交换网集群端口转发。交换网集群与CSS集群卡集群比较：＞启动性能提升（交换网板与MPU并行启动）＞连线简单＞扩展性更强（主控交换合一架构受限于主控数目）＞拔主控不断流＞主备倒换0丢包＞故障感知更优于业务口集群（集群口故障中断上报）交换网集群与业务口集群比较＞不占用业务端口＞转发路径更短＞拔主控0丢包＞流量更均衡（业务口需要二次hash）＞故障感知更优于业务口集群（集群口故障中断上报）＞业务口集群最多两块板、交换网集群最多4块板。＞广播流量无阻塞（业务口集群，两组备份的集群链路中需要阻塞其中一路。交换网集群，集群链路无需阻塞）。•单主控集群S12700主控和交换分离，主控板不在位时不影响转发。S12700支持主框和备框仅一个主控时可建立集群，即S12700支持单主控集群。单主控集群，可以减少客户部署成本。S12700备框主控故障，业务不中断。S12700备框主控都拔出时，备框的数据转发不受影响。

图2-4单主控集群主匪图2-4单主控集群主匪集群參主J空故障r可靠性立见分晓「眶■口致禅集Sfj［吝壇爭圭竺聖I纵向虚拟化设计SVF(SuperVirtualFabric)又称为纵向堆叠技术，是一种更加集中化的设备管理方案，真正做到了SVF架构内设备的通过管理和运维。可以将有线无线网络全部集中到核心•/汇聚上进行统一管理、集中维护。达到整个网络一个管理节点的目的。•设备管理可以将一个SVF系统视为一个虚拟的框式设备，其中SVF-Parent就是这台虚拟框式交换机的主控板，SVF-Client就是这台虚拟框式交换机的有线口接口板，而AP可以看作是无线端口接口板。图2-5设备管理•版本管理SVF-Client的版本都保存在SVF-Parent上，当SVF-Client接入SVF系统后，可以自动从SVF-Parent上获取版本文件并加载，整个过程免人工操作。图2-6版本管理配置下发SVF-Client的配置类似于框式交换机接口的配置，用户使用的命令行都在SVF-Parent上操作，不需要在SVF-Client上直接输入。在SVF-Parent上对应每个SVF-Client（堆叠设备是为一个Client）分配一个ID，SVF-ID范围是101-148，AP不占用SVF-ID。在配置SVF-Client端口时，在现有的端口表示方式基础上（当前方式是：框号/卡号/端口号，如Ge2/0/1），新增一个SVF-ID号，这样端口表示变为四维：SVF-ID/框号/卡号/端口号，如Ge102/2/0/1，表示ID为102的SVF-Client上的Ge2/0/1端口。状态监控SVF系统内，SVF-Client不再作为独立设备对外体现，SVF-Client的告警信息也不再以独立设备的形式上报，而是统一汇总到SVF-Parent上，在SVF-Parent上查看和上报网管。安全设计安全概述随着智能化的发展，对于网络的依赖性不断增强。但病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。统计表明，网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为用户最关心的问题，网络安全基础设施也日渐成为网建设的重点。在传统的网络建设中，一般认为网络内部是安全的，威胁主要来自外界。在网络边界上，一般使用防火墙、IDS/IPS作为安全设备。随着安全挑战的不断升级，仅通过传统的安全措施和独立工作的形式进行边界防御已经远远不够了，安全模型需要由被动模式向主动模式转变，从根源－终端彻底解决网络安全问题，提高整个企业的信息安全水平。目前网络安全一般从网络监管、边界防御、接入安全及远程接入等方面进行考虑。接入安全主要指导网络内的安全接入，包括终端安全接入控制，例如：用户隔离，端口隔离等；远程接入涉及分支机构、出差人员对网络内部的安全访问；边界防御通过防火墙、IPS/IDS对网络出口，网络内的各个组织单元之间进行有效防护和隔离。网络安全方案网络的安全是网络安全最基本的保证。这里主要从交换机的安全特性上的使用来保证网络的安全包括DHCPSnooping、ARP防攻击、MAC防攻击、IP源防攻击等。这些安全特性工作于OSI模型的链路层，可在接入层交换机上部署。DHCPSnoopingDHCPSnooping是DHCP(DynamicHostConfigurationProtocol)的一种安全特性，通过截获DHCPClient和DHCPServer之间的DHCP报文进行分析处理，可以过滤不信任的DHCP报文并建立和维护一个DHCPSnooping绑定表。该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLANID、接口等信息。DHCPSnooping部署在二层设备上面，一般部署在接入交换机上。DAI-ARP欺骗动态ARP检测(DynamicARPInspection)应用在设备的二层接口上，利用DHCPSnooping绑定表来防御ARP攻击。当设备收到ARP报文时，将此ARP报文中的源IP、源MAC、端口、VLAN信息和DHCPSnooping绑定表的信息进行比较。如果信息匹配，说明是合法用户，则允许此用户的ARP报文通过；否则，认为是攻击，丢弃该ARP报文。ARP限速ARP报文限速功能是指对上送CPU的ARP报文进行限速，可以防止大量ARP报文对CPU进行冲击。例如在配置了ARPDetection功能后设备会将收到的ARP报文重定向到CPU进行检查，这样引入了新的问题。如果攻击者恶意构造大量ARP报文发往设备，会导致设备的CPU负担过重，从而造成其他功能无法正常运行甚至设备瘫痪，这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。MAC泛洪MAC泛洪攻击是指攻击主机通过程序伪造大量包含随机源MAC地址的数据帧发往交换机。有些攻击程序一分钟可以发出十几万条伪造源MAC地址的数据帧，交换机根据数据帧中的MAC地址进行学习，但一般交换机的MAC地址表容量也就几千条，交换机的MAC地址表瞬间被伪造的MAC地址填满，交换机的MAC表填满后，交换机再收到数据，不管是单播、广播还是组播，交换机都不再学习MAC地址，如果交换机在MAC地址表中找不到目的MAC地址对应的端口，交换机就像集线器一样，向所有端口广播数据，这样就可能造成广播风暴。在华为交换机上，可以通过对MAC学习限制及流量抑制的功能来防止MAC泛洪攻击。MAC学习限制是指限制MAC学习的数目。华为交换机支持在接口、VLAN、槽位和VSI四个方面对MAC学习数目进行限制。同时，华为交换机支持对未知单播、广播及组播流量进行速度限制。通过对MAC学习限制及流量抑制，可以有效地防范MAC泛洪攻击。IPSourceGuardIP源地址防护能够限制二层不信任端口的IP流量。它采取的方法是，通过DHCP绑定表或手动绑定的IP源地址来对IP流量实行过滤此特性可以阻止IP地址欺骗攻击，也就是主机通过把自己的源IP地址修改成其他主机的IP地址实现的攻击。任何从不信任的端口入站的IP流量，只要其源地址与指定（DHCPSnooping或静态绑定表）的IP地址不同，就会被过滤掉。IP源地址与防护特性需要在不信任的二层接口上和DHCPSnooping共同使用。IP源地址防护会生成一个IP源地址绑定表，并且对这个列表进行维护。这个列表既可以通过DHCP学习到也可以手动配置。列表中的每个条目都包括IP地址及与这个IP地址所关联的MAC地址及VLANID。MFF技术网络中，通常使用MFF（MAC-ForcedForwarding）实现不同客户端主机之间的二层隔离和三层互通。MFF截获用户的ARP请求报文，通过ARP代答机制，回复网关MAC地址的ARP应答报文。通过这种方式，可以强制用户将所有流量（包括同一子网内的流量）发送到网关，使网关可以监控数据流量，防止用户之间的恶意攻击，能更好的保障网络部署的安全性。边界安全方案■边界防护概述所谓网络边界，是指网络与其他网络的分界线。对边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。网络边界是网络的重要组成部分，负责对网络流量进行最初及最后的过滤，因此边界安全的有效部署对整网安全意义重大。■边界防护安全设计一般而言，一个完整的安全部署包括边界路由器、边界防火墙、IPS、边界防毒墙、边界流量分析监控等安全部件及各安全部件之间的协同工作。这些部件仅仅依靠各自自身的力量是无法提供完整的网络安全。只有这些部件的功能相互补充，相互结合，协同工作才能形成一个立体的防御结构。边界路由器路由器在网络中承担路由转发的功能，它们将流量引导进入网络、流出网络或者在网络中传输，由于边界路由器具有丰富的网络接口，一般置于Internet出口或广域网出口，是流量进入和流出之前我们可以控制的第一道防线。边界防火墙防火墙设备通过一组规则决定哪些流量可以通过而哪些流量不能通过防火墙。防火墙可以对边界路由器不能监控的流量进行更加深入地分析和过滤，并能够按照管理者所确定的策略来阻塞或者允许流量经过。华为Eudemon系列防火墙支持安全域管理、攻击防范、ASPF、NAT等功能，通过这些功能保障网络安全。安全域管理华为防火墙采用基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意接口，因此防火墙的安全管理模型不会受到网络拓扑的影响。不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表），每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理，方便用户对各种逻辑安全区域的独立管理。基于安全区域的策略控制模型，可以清晰地分别定义从trust到untrust、从DMZ到untrust之间的各种访问，这样的策略控制模型使得华为统一安全网关的网络隔离功能具有很好的管理能力。攻击防范攻击防范功能是防火墙必备的功能之一，常见的攻击类型有DOS攻击、扫描窥探攻击、畸形报•ASPF过滤技术ASPF是一种高级通信过滤技术，它检查应用层协议信息并且监控基于连接的应用层协议状态防火墙依靠这种基于报文内容的访问控制，能够对应用层的一部分攻击加以检测和防范，包括对于FTP、HTTP、RTSP、SIP等的检测。NATNAT的基本原理是仅在私网主机需要访问Internet时才会分配到合法的公网地址，而在内部互联时则使用私网地址。当访问Internet的报文经过NAT网关时，NAT网关会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录；之后，当报文从Internet侧返回时，NAT网关查找原有的记录，将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机。这样，在私网侧或公网侧设备看来，这个过程与普通的网络访问并没有任何的区别。在实现方式上，NAT可以分为BasicNAT、NAPT方式、NATServer方式、EASYIP方式、DNSMapping方式等。P2P流量检测和流量控制防火墙支持的P2P流量检测和流量控制功能：支持基于规则文件的特征检测和行为检测，规则文件可以升级更新支持基于ACL的用户策略控制>支持上下行的不同限流>支持协议优先级的动态调整支持各种协议检测的打开和关闭>支持基于时间段的分时段限流对P2P流量可以限定在一个范围内，这样不但可以使得用户自由的使用P2P软件，也不会造成因为P2P流量对网络造成太大的冲击。例如：支持迅雷、沸点、BT、Kugoo、PPGou、Poco/pp、Baibao、BitComet、Kazaa/FastTrack、Emule/eDonkey、PPSTREAM、UUSee、PPLive、QQLive、TVAnts、BBSEE、Vagaa、Mysee、Filetopia、Soulseek等P2P协议检测和流量控制。URL过滤华为防火墙的URL过滤功能采用了先进的模式匹配引擎算法，大大减少了URL匹配的时间，凭借先进的软硬件性能，能够快速地处理大量的URL访问请求。防火墙支持远程URL分类服务器，远程URL分类服务器提供了细粒度的URL资源种类，使用全面而准确的后台URL资源分类数据库，自动化地实现对用户访问URL的自动分类。另外，防火墙支持本地URL分类功能，用户可以自定义个性化URL资源访问控制的功能。并且可以将URL访问控制策略和时间、IP地址、分类访问控制列表等关键策略进行关联，从而实现基于时间、用户和访问类别等策略的URL过滤功能。另外，防火墙支持本地URL黑/白名单功能，支持基于前缀匹配、后缀匹配、关键字匹配、精确匹配和参数匹配等。•IPS/IDS随着互联网的不断发展，黑客攻击技术也出现了许多新的变化，这也促使网络安全产品不断的更新换代。一种新型的安全防护产品-网络入侵防御系统应运而生。网络入侵防御系统作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方IPS安全网关产品可以部署在企业网络出口处或者重要服务器前面，提供主动的、实时的防护。准确检测2到7层的网络异常流量，自动对各类攻击的流量，尤其是应用层的威胁进行实时阻断。IPS系统自身的安全非常重要，必须能够抵御那些常规的网络安全威胁：如病毒的感染、蠕虫的传播，不可使用通用的处理器及操作系统等。这些都有周知的漏洞，很容易被利用进行入侵攻击。而IPS的检测粒度非常细，由此系统必须具备高性能的数据报处理及转发能力，不然低效的IPS系统将成为网络的性能瓶颈。网络上很多应用服务器（如HTTP、SMTP、FTP、POP3、IMAP4、MSRPC、NETBIOS、SMB、MS_SQL、TELNET、IRC、DNS等）在设计中并不完善，如对协议中的异常情况考虑不足。因此黑客常利用协议的漏洞对服务器发起攻击。他们向服务器发送非标准或者缓冲区溢出的协议数据，从而夺取服务器控制权或者造成服务器宕机。IPS能够检测、识别网络流量的协议异常（包括协议遵从性、参数合法性等）并加以阻断。网络中常包含大量黑客攻击、病毒、特洛伊木马、恶意软件等恶意流量。这些恶意流量都有各自不同的签名（特征）。因此，必须有专业的安全分析工程师对这些恶意网络流量进行深入分析，提取相应的特征码并形成签名。IPS根据签名库，吏用特征检测引擎对网络中传输的数据包进行高速匹配，从而对命中签名规则的流量进行阻断等方式进行响应动作。IPS的检测引擎和签名库，对于入侵检测的效果具有重要意义。优秀的检测引擎算法极大程度影响检测的速度；全面而准确的签名库能够有效防御大量威胁，减少误报。有了优秀的检测引擎及签名库，IPS能够更好的检测各类攻击，如最新病毒、特洛伊木马、恶意软件等进行检测防御。IPS的特征检测引擎和签名库必须支持有效升级，以保证能够应对不断变化着的网络威胁。通常情况下，IPS设备的工作步骤如下：>捕获网络数据包>重组数据包，包括流重组和分片重组>对数据包进行协议识别，有基于端口的识别和基于内容的识别>将数据包送入检测引擎匹配＞最后根据引擎检测结果及安全策略采取响应动作所谓IDS联动，指IDS设备能自动侦听整个网络中是否存在恶意攻击、入侵或其他安全隐患行为，通过下发指令的方式通知防火墙，由防火墙对攻击报文进行丢弃或其它处理。采用IDS联动方式进行攻击防范，入侵检测和攻击处理两个过程有效分离，充分发挥了各设备的优势，改善了系统性能。华为防火墙除了自身提供强劲的攻击防范能力外，还能够和专业的IDS(IntrusionDetectiveSystem)设备联合组网，即IDS设备外置。由于IDS设备包含非常完备的攻击行为信息，因此联合组网将充分发挥IDS设备高效、全面的安全保障能力。通过和IDS设备联动，防火墙可以提供一种高可靠的主动防御模型。通过这种主动防御的模型，提供了高可靠的安全解决方案。用户先配置好基本的静态安全策略，通过IDS设备可以动态发现安全隐患，通过防火墙设备修改安全策略，起到实时、动态的修改防御策略，保证了整网的安全。华为防火墙提供灵活的联动接口协议，可以和很多IDS设备互通，方便地支持各种IDS设备和防火墙联合工作。边界防病毒近年来计算机病毒趁着网络信息化的热潮，不断骚扰和破坏人们正常的工作秩序。病毒已逐渐成为网络安全的祸首，严重的病毒爆发将直接导致网络的瘫痪，在边界安全防护中也同样要考虑对病毒的防护。华为防火墙提供了Anti-Virus防病毒功能，防病毒功能采用了先进的病毒检测引擎和病毒库，病毒检出率非常之高。防火墙的病毒引擎支持启发式扫描，对网络上传输的代码文件进行深入的行为分析，采取对需要扫描的文件进行逻辑分析以及行为分析，通过这种方式，可以很大程度的发现一些行为异常的程序，发现未知的病毒。遍布全球的病毒检测点和和专业病毒分析团队，可以实时发现网络最新病毒，并且通过病毒分析团队确认和分析病毒特征，及时的生成最新病毒库。防火墙通过可以多种方式升级或更新病毒库，实现病毒的实时检测。病毒库支持自动定时升级、实时升级、本地升级和回退功能。边界防护组网设计由于防火墙与IPS/IDS等一般是部署在同一个地方，且华为防火墙同时支持防火墙与IPS功能，因此，边界组网设计图中仅画出防火墙。Internet网络出口防护对企业总部或大型分支机构，一般在网络出口部署双防火墙，两防火墙呈主备或负载均衡的方式工作。如图3-11所示，在核心交换机与网络路由器之间采用直路全双归方式接入防火墙设备，两台防火墙设备之间采用主备或负载均衡方式连接。这样，网络出口路由器、防火墙及核心路由器之间都有备份作用，保证了链路的可靠性。防火墙E8000E放置在总部出口，主要承担以下功能：启用防火墙攻击防范以及访问控制，抵御外来的各种攻击。根据需要启用地址转换功能，满足出口公网不足的需要。根据需要开启虚拟防火墙功能，通过不同的虚拟防火墙与各大客户对应，将不同的服务器群用VPN隔离开。启用L2TPVPN的功能允许出差移动用户通过拨号的方式接入不同的VPN访问不同VPN里的业务或者设备。网络出口典型组网图2-7网络出口典型组网除了直路全双归，防火墙的接入方式还有与交换机双归，与路由器口字型、与交换机路由器都口字型及旁挂。图2-8防火墙出口连接方式-与交换机双归、与路由器口子型图2-9防火墙出口连接方式-与交换机口子型、与路由器口子型图2-10防火墙出口连接方式-旁挂域间防护网络出口部署的防火墙可以解决网络内部网络与外部网络之间的安全问题，但研究表明，80%的网络安全漏洞都存在于内部网络。因此，内部的安全防护更为重要。当网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边界。在网络内部，不同的业务部门、研发中心、办公中心可能都具有不同的安全策略。从安全的角度讲，在各个不同的部门、研发中心、办公中心、数据中心、DMZ区域的出口都部署防火墙是最理想的。也可以在核心层部署防火墙，将各业务部门划分在不同的VPN中，防火墙采用虚拟防火墙的方式管理各安全域的安全策略。运维设计设备简易运维管理随着网络技术的飞速发展，网络规模也在不断扩大，客户需要管理和维护多大几十台甚至上百台的设备，弊端显而易见，因此客户对简化网络设备管理的需求越来越迫切。比如设备安装、软件升级、故障定位和设备更换等工作花费网络管理人员的大部分时间，其中，有些工作简单重复、效率低下。如何对网络设备进行批量、自动管理，成为企业IT部门面临的严重挑战。EasyOperation是一个简化运维的方案，可以实现Zero-Touch开局，设备故障自动替换、设备批量升级、拓扑展现等功能。图2-11EasyOperation组网图I:网管网络Cliei了汇聚侧接入侧DHCP服务器TFTP/SFTP/FTP服务器图2-11EasyOperation组网图I:网管网络Cliei了汇聚侧接入侧DHCP服务器TFTP/SFTP/FTP服务器ClientGroupBClientClientClientGroupACommanderEasyOperation的基本组网如上图所示。Commander是网络管理设备，也是Zero-Touch场景中工程师实际需要操作的设备，其主要工作为：管理下挂的Client设备，给下挂的设备分配文件服务器地址、用户名、密码、版本文件名、酉己置文件名、补丁文件名，WEB网页文件名等信息；管理下挂的Client设备的与部署相关的信息，建立信息数据库；统一控制和管理下挂Client设备，控制和信息查询都在Commander上完成。■Zero-Touch开局Zero-Touch开局主要适用于网络部署初期，网络刚刚搭建完成，网络中大部分新安装的设备还没有配置文件无法正常工作，网络还也发无法联通的场景。没有EasyOperation时，需要华为工程师亲自到达现场，依次给新设备完成必要的配置；亦或在现场给新设备分配指定的静态IP地址后再将预先准备的配置文件通过文件传输的方法远程加载。无论哪种方式，工程师都要求人在现场，每台设备的操作工作量也不小，如果新设备数量比较大时，工作量非常可观。EasyOperation的Zero-Touch开局功能很好的解决了以上问题。该功能只需要预先记录下新设备的ID，如MAC或ESN；准备好对应设备的配置文件以及相关需要加载的文件，如版本文件、补丁文件、License、WEB网管等；客户或者代理商在现场链接好设备后，华为工程师可以在远程（网络中心机房）通过命令或者网管方式，所有新设备开局必要文件的加载，整个过程华为工程师对新设备是Zero-Touch的，更不必要到现场，有效的简化了工作量。■设备批量升级设备批量升级主要用于企业客户网络已经部署完成正常运行过程中。或因为设备版本即将EOS，或因为版本已知Bug，或因为要使用新版本的新功能，需要给企业客户升级的场景。没有EasyOperation时，当多台设备升级到相同版本时，需要华为工程师依次向待升级设备加载版本完成升级。如果待升级的设备数量比较大时，工作量还是比较可观的。EasyOperation的设备批量升级功能很好的解决了以上问题。该功能只需要预先记录下待升级相同版本的设备ID，如MAC、ESN或者设备类型等，将这些设备归为一个Group，那么华为工程师只需要针对这个Group指定升级版本以及其他信息后，在远程（网络中心机房）通过命令或者网管方式可以实现一键式批量升级，有效的简化了工作量。■故障设备替换故障设备替换主要用于企业客户网络已经部署完成，正常运行过程中出现设备硬件故障或人为损坏等需要更换的场景。没有EasyOperation时，需要华为工程师亲自到达现场，完成故障设备替换后，还要将原故障设备的配置导入新设备中，如果版本、补丁等文件已经修改了则还要完成升级，一系列过程都不能少。EasyOperation的故障设备替换功能很好的解决了以上问题。该功能只需要将新设备按照原故障设备在网络中的拓扑，原位置接入网络，新设备就可以自动获取并下载原故障设备的文件，完成故障设备的替换，有效的简化了工作量。网络质量感知随着网络的发展，各种应用业务得到了广泛部署，链路的连通性和网络性能的好坏直接影响着承载网络上的各种业务。因此，作为企业网络承载管道的性能检测显得尤为重要。例如语音业务，当链路丢包率在5％以下时，用户不会有明显的感觉；但是当丢包率大于10％时，就会影响语音的质量。例如智真、在线视频等实时性业务一般要求时延至少低于100ms；寸于实时性要求更高的场合，甚至要求时延不得超过50ms，否则会对用户体验造成极坏的影响。iPCA（PacketConservationAlgorithmforInternet）是一种通用的IP网络性能检测的方案，可以有效地解决上述问题。iPCA可以直接对业务报文进行测量，在线监控IP网络承载的业务的变化，真实准确地反映出业务的运行情况，对于网络的故障诊断、业务统计有重大意义。■丢包检测丢包统计功能是指在某一个测量周期内，统计所有进入穿越网络的流量与离开网络的流量之间的差。丢包测量主要有两种类型：点到点丢包测量和多点到多点丢包测量。点到点丢包测量点到点丢包测量是指通过测量指定两台设备之间链路的丢包情况，确定链路的质量。多点到多点丢包测量多点到多点丢包测量是指通过测量指定的多台设备之间链路的丢包情况，确定链路的质量。iPCA采用特征分组测量法来测量丢包，在报文入口（源端），对业务报文头中某一个染色位进行周期性的标识（置位、复位），从而可将业务报文按照特征置位属性，划分为不同的测量区间。■时延统计时延直接测量就是对实际业务的报文进行抽样记录，测量其在网络中的实际转发时间，抽样方法是通过设置业务报文的特征位进行染色区分。时延统计主要有两种类型：单向时延测量和双向时延测点到点单向时延测量单向时延统计是指通过测量指定两台设备之间链路单方向的网络时延，确定链路的质量。点到点双向时延测量双向时延统计是指通过测量指定的两台设备之间链路的往返时延，确定链路的质量。■iPCA方案建议iPCA主要可以更好的迎合当前及将来网络用户对语音业务、交互视频、视频监控等业务质量的更高要求，网络管理中心希望能够实时监控承载链路的丢包性能和时延性能，以便在网络用户业务质量下降时及时做出调整。IPiPCA性能统计主要有三种功能场景：端到端连续性能统计端到端连续性能统计是指用户出于监控网络性能的目的，由系统持续执行的性能统计操作。为了防止网络性能劣化而用户不能感知的情况发生，用户可以部署连续性能统计功能，持续监控网络的运行情况。端到端按需性能统计按需性能统计是指用户在指定的时间内出于诊断或者监控网络性能的目的，人工干预发起的性能统计动作。当用户发现网络性能劣化，或者用户希望根据需要选取指定的业务流发起实时性能统计时，可以通过按需性能统计功能查看近期详细的性能统计信息。逐点性能统计逐点性能统计是指用户处于定位故障的目的，从流量的发起端逐台设备发起的性能统计动作。当用户发现网络性能劣化，网络管理者希望准确定位发生性能故障的网络节点时，可以采用逐点性能统计功能。网络管理软件eSighteSight支持对IT&IP以及第三方设备的统一管理，同时对网络流量、接入认证角色等进行智能分析，自动调整网络控制策略，全方位保证企业网络安全。同时eSight提供灵活的开放平台，为企业量身打造自己的智能管理系统提供基础。针对企业网场景，华为eSight提供多种应用，包括：多厂商的设备管理；企业资源统一管理；可视化的企业统一视图；全方位的企业故障监控；机房精细化监控；辅助智能楼宇安防监控；企业网络监控性能管理；分权-分域-分时的用户管理。•多厂商的设备管理eSight预集成业界主流设备，默认已包含Cisco20个系列140余款设备、H3C14个系列130余款设备、其他厂商100余款设备、以及数十款打印机、服务器。企业运维人员不做任何配置，即可管理全网设备，大大提升管理效率。eSight拥有厂商新款设备自动配套能力，通过eSight厂商类型自动识别能力，对于友商新发布的设备也可实现拓扑、告警、性能等管理能力。针对业界主流设备深入分析，不仅支持标准的流量采集，还同时支持设备面板、设备CPU利用率等私有属性的管理。•资源统一管理如图2-12所示，华为eSight提供全方位的企业资源管理，针对不同网络设备、不同业务、不同服务器、工作站等PC资源进行管理。eSight部署规划方案■分级部署模式ki習ht标准.ki習ht标准.图2-12eSight分级部署模式亡Sighi专业版eSight专业版■网兀配置eSight网络管理系统可以通过三种方式完成单点网元配置工作：使用简单配置框架实现单点网元配置。使用智能配置工具进行设备单点配置。通过Web网管进行单点配置。在开局、网络维护等多个场景，用户有对集中部署的设备的业务进行批量操作的需求，用户通过智能配置工具能够对多台设备的业务进行批量配置，提高用户的运维效率。■监控业务eSight网络管理系统能够对业务进行实时监控，根据业务类型进行流量、信息统计，极大的方便网络运维人员实时监控业务状况。■监控性能eSight可以对网络的关键性能指标进行监控，并对采集到的性能数据进行统计。通过可视化的操作界面，方便用户对网络性能进行管理。通过监视模板管理性能监视指标，并设定告警的阈值。通过性能监视模板，用户可以方便的将性能采集规则应用到多个对象中。性能监视模板包括以下内容：性能指标组将多种性能指标集成到一个性能指标组中，可以支持分场景定制指标组，包含场景相关的所有性能指标，便于根据业务场景建立对应的监视任务。性能指标定义具体的性能采集的指标。采集周期提供多种采集周期供采集性能指标时选择。性能阈值通过设置性能门限值，可以在网络的性能数据低于门限值时及时预警，避免网络性能的持续恶化。通过性能监视的设置，实现网络性能数据的采集。支持周期性性能指标采集，可以了解网络在指定时间范围内的性能状况，并为预测网络的性能变化提供数据依据。■资源查看和报表管理eSight提供丰富的资源查看和预定义报表，同时提供强大易用的报表设计功能，用户可根据行业特点和自身运维要求进行客户报表定制。

图2-13eSght资源查看和报表管理■Ekm寻■*ftV?■若舸PSAW■Ekm寻■*ftV?■若舸PSAW■氏苗上干謂口4莓出*畤□-u[RUtSBJ■E<■■0D10ilL2.E7dn1O.Ll2：S?.lP淹却E・Huhve2&IL-I7-ML1A7I25mrfObrqwiM!.--□La】民wjw]0LLZJ7.KJ€*K-rpHuiwo2DIHT-WLE0；1DLt£>H□MLUFfidfl?AA2Z2£<Hu抑4i2DIL-I7-ILL2JOO：]]>□Diai3?d3S.2WihL挣阳5那伽专taw2&IL-I7-M订加屈l£2J目□LD.137.5B.1IZlOLSrJB.LM523151^51脚IWfl3QIHT-WLJ-W;37LK,S3□LQ137.9.LI3血皿用.MdiPTPgftRHuaw42DIL-I7-Ml1jM!]7L谥>EiDLbia?iEfcLIElO.Ll^^.LbSK31时dHutwo2&ILI7-W口血门9血S目■阶段维护eSight提供配置文件管理和备份功能，可以快速的进行文件备份和设备登录管理。同时还提供系统巡检工具，能够定时对设备进行自检，减轻网络维护人员的工作量。网络解决方案技术建议书3网络解决方案技术建议书3设备推荐3设备推荐S7700系列产品定位S7700系列运营级园区汇聚交换机是由华为公司自主开发的新一代高性能核心路由交换机产品，提供大容量、高密度、模块化的二到四层线速转发性能，具有强大组播功能，完善的QoS保障、有效的安全管理机制和电信级的高可靠设计，满足高端用户对多业务、高可靠、大容量、模块化的需求，降低运营商的建网成本和维护成本，可广泛应用于构建各种类型型园区网核心层和汇聚层交换机。表1-1S7700系列交换机产品型号说明S7703支持3块LPU交换容量4.8Tbit/s包转发率1440MppsS7706支持6块LPU交换容量10.24Tbit/s包转发率2880MppsS7710支持10块LPU交换容量39.68Tbit/s包转发率8400MppsS7712支持12块LPU交换容量10.24Tbit/s包转发率2880Mpps图1-2S7703外观图图1-3S7706外观图图1-4S7710外观图图1-5S7712外观图产品特点S7700系列产品有如下特点：先进体系结构，高性能，配置灵活S7700系列交换机采用先进的全分布式体系结构设计，采用业界最新的硬件转发引擎技术，所有端口支持的业务能够线速转发，业务包括IPv4/MPLS/二层转发等。支持ACL线速转发。S7700系列交换机实现组播线速转发，硬件完成两级复制：交换网板复制到接口板和转发引擎复制到接口。S7700支持1.536Tbps交换容量，支持多种高密度板卡，满足核心、汇聚层设备大容量、高端口密度的要求，可以满足用户日益增长的带宽需求，能够极大的保护和节约用户投资。完善的安全机制S7700系列交换机支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证，支持安全的SSH登录、命令行分级保护、基于用户安全策略的SNMPV3、DHCPSnooping、IPSourceGuard、DAI、层次化CPU通道保护，并提供以下几种用户认证方式：本地认证、RADIUS和HWTACACS认证。支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。全面的可靠性S7700系列交换机最大支持128个汇聚组，每个汇聚组内支持最多8个成员端口，支持跨单板端口间的汇聚。支持DLDP，可以监控光纤或铜质双绞线的链路状态。如果发现单向链路存在,DLDP会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。支持RRPP及多实例，相比其他以太环网技术，RRPP具有以下优势：拓扑收敛速度快，低于50mso收敛时间与环网上节点数无关，可应用于网络直径较大的网络。支持标准STP/RSTP/MSTP二层环网保护协议。支持SmartLink及多实例。支持BFDfor单播路由/VRRP/FRR/PIMoS5700系列全千兆企业交换机S5700系列全千兆企业交换机（以下简称S5700），是华为公司为满足大带宽接入和以太多业务汇聚而推出的新一代绿色节能的全千兆以太网交换机尼基于高性能硬件芯片和华为公司统一的VRP软件平台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足企业用户的网络接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景。S5700提供精简版（LI）标准版（SI）增强版（EI）和高级版（HI）四种产品形态，具有下列这些特点。创新AHM节能智能iStack，支持9台设备堆叠硬件级以太OAM/BFD•高性能Netstream双电源可靠供电此外，根据不同客户和场景的需求，推出了可内置蓄电池的电池交换机、CSFP交换机、电源口前置的交换机。图3-1S5700系列交换机■产品特点•丰富的敏捷特性S5720-HI系列内置以太网络处理器ENP芯片，业务随需而变，助力客户网络敏捷演进，满足现在与未来的各种挑战。IP质量可感知，网络管理更高效；有线无线深度融合，从容面向高速无线时代；SVF超级虚拟交换网技术将整网虚拟成一台设备，提供业界最简化网络管理方案；大表项与大缓存使得业务弹性扩展，畅享高清视频。成熟的IPV6特性S5700基于成熟稳定的VRP平台，支持IPv4/IPv6双协议栈、IPv6路由协议（RIPng/0SPFv3侶GP4+/ISISforIPv6）IPv6overIPv4隧道（手工隧道/6to4隧道/ISATAP隧道）。S5700既可以部署在纯IPv4或IPv6网络，也可以部署在IPv4与IPv6共存的网络，充分满足网络从IPv4向IPv6过渡的需求。更多的端口组合S5700支持多种上行扩展插卡，提供高密度的GE/10GE上行接口。其中S5710-HI具有4个扩展插槽，可实现48*GE（电）+48GE（光）+8*10GE+4*40GE,96GE（电）+8*10GE+4*40GE,或96*GE（电）+12*10GE等不同端口组合，充分满足不同用户对带宽升级的实际需求，保护用户投资。智能iStack堆叠S5700智能iStack堆叠，将多台支持堆叠特性的交换机组合在一起，从逻辑上组合成一台虚拟交换机。iStack堆叠系统通过多台成员设备之间冗余备份,提高了设备级的可靠性；通过跨设备的链路聚合功能,提高了链路级的可靠性。iStack提供了强大的网络扩展能力,通过增加成员设备,可以轻松地扩展堆叠系统的端口数、带宽和处理能力。iStack简化了酉己置和管理，堆叠形成后，多台物理设备虚拟成为一台设备，用户可以通过任何一台成员设备登录堆叠系统，对堆叠系统所有成员设备进行统一配置和管理。创新AHM节能S5700-LI系列智能低功耗交换机，本着“性能优先，节能不牺牲用户体验”的原则，通过匹配链路Down/Up、光模块在位/不在位、端口ShutDown/UndoShutDown、设备空闲时段/繁忙时段等不同的使用场景,创造性地应用能效以太网（EEE）、端口能量检测、CPU动态调频、设备休眠等技术,达到节省设备能耗的目的。针对不同用户的应用需求，提供了灵活可配的标准节能、基本节能、深度节能三种节能模式，是业界首家支持整机休眠的交换机设备。完善的VPN隧道S5700支持Multi-VPN-InstaneeCE（MCE）功能。S5700支持下接不同的VPN用户，通过路由多实例，实现了不同用户的隔离；上行通过一个共用的物理接口连接到PE设备，减少单个VPN用户对网络部署的投资。S5710-EI/S5700-HI支持MPLSL3VPN、MPLSL2VPN（VPWS/VPLS）、MPLS-TE、MPLSQoS等功能，可作为高质量企业专线接入设备，是业界为数不多的高性价比盒式MPLS交换机。•轻松的运行维护S5700支持华为EasyOperation简易运维方案,提供新入网设备Zero-Touch安装、故障设备更换免配置、USB开局、设备批量配置、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作大大降低了运维成本°S5700支持SNMPV1/V2/V3、CLI（命令行）Web网管、TELNET、SSHV2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。S5700支持GVRP，实现VLAN的动态分发、注册和属性传播，减少手工配置量，保证配置正确性。S5700还支持MUXVLAN功能，MUXVLAN分为主VLAN和从VLAN，从VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从VLAN之间可以相互通信；互通型从VLAN内的端口之间互相通信；隔离型从VLAN内的端口之间不能互相通信。S5700-EI/S5700-HI系列支持风扇备份以及在线更换风扇，不间断设备运行，并支持根据环境温度变化自动分区调节风扇的转速，不仅能够减少设备功耗和运行噪声，还能延长风扇的寿命。•杰出的网流分析S5700支持Netstream网络流量分析功能。作为网络流量输出器，S5700根据用户配置，实时采集指定的数据流量，通过标准的V5/V8/V9报文格式，将数据上送给网络流量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。S5700支持sFlow功能。S5700按照标准定义的方式，对转发的流量按需采样，并实时地将采样流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供了极大的方便。•灵活的以太组网S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标准协议ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。ERPS是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现以太环网的毫秒级快速保护倒换。S5700支持SmartLink和VRRP功能。S5700通过多条链路接入到多台汇聚交换机上，SmartLink/VRRP实现了上行链路的备份，极大地提升了接入侧设备的可靠性。S5700支持多种连接故障快速检测功能。S5700支持完善的以太OAM（IEEE802.3ah/802.1ag/ITUY.1731）和BFD功能。S5700-HI更能提供硬件级3.3ms高精度以太OAM和10msBFD检测。•多样的安全控制S5700支持MAC地址认证和802.1X认证，实现用户策略（VLAN、QoS、ACL）的动态下发。S5700支持完善的DoS类防攻击、用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻击，包括SYNFlood、Land、Smurf、ICMPFlood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC欺骗、DHCPrequestflood、改变DHCPCHADDR值等等。S5700通过建立和维护DHCPSnooping绑定表侦听接入用户的IP/MAC地址、租用期、VLAN-ID、接口等信息，解决DHCP用户的IP和端口跟踪定位问题。利用DHCPSnooping的信任端口特性，S5700还可以保证DHCP服务器的合法性。S5700通过建立和维护DHCPSnooping绑定表，对不符合绑定表项的非法报文直接丢弃。利用DHCPSnooping的信任端口特性，S5700还可以保证DHCP服务器的合法性。•业界首创的蓄电池内置S5700-LI-BAT是业界首创的电池交换机，支持内置的锂电池作为备用电源，适用于网络接入层频繁断电的应用场景。其主要优点体现在：>市电断电自动切换到蓄电池供电，保证业务不中断电池交换机内置蓄电池，集成度高，节省空间，安装方便>智能电源管理，电池续航时间长全网电池交换机统一可视化管理，方便运维，电池寿命可预测，无须整网定期更换电池，节省成本电池可靠性高，支持电池保护和告警功能，超过工作温度进行过温保护高密接入带宽倍增的CSFPCSFP交换机支持下行端口CSFP功能，每个下行端口插入一个CSFPGE光模块和一对光纤实现单纤双向2GE的带宽，是普通SFP光模块带宽的两倍，下行24个CSFP端口可实现带宽48GE，实现了相当于48个普通SFP端口的高密接入，节省了铺设光纤的成本和新增光模块的成本。方便的单面运维电源端口前置的款型可以满足300mm深的机柜放置，整台设备可以前面板单面维护，简化了运维，而且机柜的摆放更加灵活，可以灵活选择机柜靠墙放置或者机柜背靠背放置，满足客户机柜深度小、机房空间有限的需求，并为客户节省空间。安全接入网关■产品介绍表3-1安全接入网关USG9500云数居中心安全网关为解决云数据中心大型企业、教育、政府等网络的安全问题而自主研发的高性能统一安全网关产品。USG9500系列云数据中心安全网关USG9000系列产品是华为技术有限公司为解决云数据中心、大型企业、教育、政府等网络的安全问题而自主研发的统一安全网关。USG9500基于业界领先的“NP+多核+分布式”架构，融合了NAT、VPN、IPS、Anti-DDoS等行业领先的专业安全技术，通过将交换、路由、安全服务整合到统一的设备中，提供给用户高性能保证、全面的虚拟化安全防护、超千种应用识别。USG9500在大型数据中心、大型企业、教育、政府、广电等行业和典型场景得到广泛应用。USG9500系列云数据中心安全网关USG6000下一代防火墙在移动化，社交化和云化的IT新环境，通过ACTUAL全局环境感知能力，重塑企业网络边界安全。USG6300系列下一代防火墙面向SOHO企业、连锁机构、营业网点、中小企业、企业的分支机构，提供高性能，全方位的下一代安全防护。该系列产品集防火墙、IPS、AV、VPN、上网行为管理等功能于一体，提供安全、灵活、便捷的一体化组网和接入解决方案。USG6500系列下一代防火墙集防火墙、IPS、AV、VPN、上网行为管理和强大的路由功能于一体，提供安全、灵活、便捷的一体化组网和接入解决方案。为大中型企业及分支机构、连锁营业网点、中小企业，提供高性能、全方位的下一代安全防护。USG6600系列下一代防火墙企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。移动APP、Web2.0、社交网络让企业处于开放的网络环境，攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透，企业面临前所未有的安全风险，传统防火墙面对变革却无能为力。华为SecospaceUSG6600系列下一代防火墙应需而生，面向下一代网络环境，基于“ACTUAL”感知，实现安全管理自我优化，通过云技术识别未知威胁，高性能地为大型企业、数据中心提供以应用层威胁防护为核心的下一代网络安全。USG2000&5000统一安全网关为解决政府、企业、数据中心等机构的网络安全问题，而自主研发的统一安全网关，基于业界领先的软、硬件体系架构，为用户提供强大、可扩展、持续的安全能力。USG2000HSR多功能安全网关华为USG2000HSR系列多业务安全网关，是面向中小型用户、大中型用户的分支机构提供多种接入解决方案与安全防御的新一代网关产品。USG2000HSR系列为用户提供完整的接入解决方案提供多种WAN接口，包括E1/CE1/Serial/ADSL/G.SHDSL;支持全无线组网802.11a/b/g/n全制式的Wi-Fi下行，支持3G上行。基于业界领先的软、硬件体系架构，融合了IPS、AV、URL过滤、应用程序控制、邮件过滤等行业领先的专业安全技术，为用户提供强大、可扩展、持续的安全能力。网络解决方案技术建议书3网络解决方案技术建议书3设备推荐USG5500系列产品是华为公司面向大中型企业机构和数据USG5500系列产品是华为公司面向大中型企业机构和数据中心设计的新一代防火墙/UTM（UnitedThreatManagement，统一威胁管理）设备。USG5500基于业界领先的软、硬件体系架构，基于用户的安全策略融合了传统防火墙、VPN、入侵检测、防病毒、URL过滤、应用程序控制、USG5100HSR多功能安全网关USG2110系列防火墙/UTM产品USG2000系列防火墙/UTM产品USG5100系列防火墙/UTM产品USG5500系列防火墙/UTM产品华为USG5100HSR系列是面向大中型用户的千兆级多业务安全网关，是供高密度的交换接入，最大支持88个千兆接口。基于业界领先的软、硬件体系架构，融合了IPS、AV、URL过滤、应用程序控制、邮件过滤等行业领先的专业安全技术，为用户提供强大、可扩展、持续的安全能力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。USG2110系列是专门面向中小企业、连锁机构、营业网点、SOHO企业推出的网络互联设备。该系列产品集防火墙、UTM、VPN、路由、无线（WIFI/3G）功能于一体，能够将多种业务部署在同一节点，在充分节约用户投资的情况下提供安全、灵活、便捷的一体化组网和接入解决方案，有效降低运维成本。USG2000系列产品是华为公司面向中小型企业/分支机构设计的新一代防火墙/UTM（UnitedThreatManagement，统一威胁管理）设备。USG2000基于业界领先的软、硬件体系架构，基于用户的安全策略融合了传统防火墙、VPN、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等行业领先的专业安全技术，可精细化管理1200余种网络应用，全面支持IPv6协议，为用户提供强大、可扩展、持续的安全能力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。USG2000系列产品包括：USG2130,USG2160,USG2210，USG2210E，USG2220，USG2220E，USG2230，USG2230E，USG2250，USG2250E等十个型号产品。均为模块化设备，提供多个扩展槽，支持多种I/O模块选配。USG5100系列产品是华为公司面向大中型企业和机构设计的新一代防火墙/UTM（UnitedThreatManagement，统一威胁管理）设备。USG5100基于业界领先的软、硬件体系架构，基于用户的安全策略融合了传统防火墙、VPN、入侵检测、防病毒、URL过滤，应用程序控制，邮件过滤等行业领先的专业安全技术，可精细化管理1200余种网络应用，全面支持IPv6协议，为用户提供强大、可扩展、持续的安全能力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。USG5100系列产品包括:USG5120JJSG5150J