网络系统工程设计建设方案

网络系统工程设计建设方案1.1、建网背景随着全球信息化进程的发展，对信息的广泛收集，快速反应和处理，对制造业的发展和宣传，已成为日益重要任务。在新世纪，作为一个大型的生产厂区，利用计算机再联网等有效工具，将生产设备与办公管理联系起来，使之能够快速处理大量信息资料，并完善全套生产设备是快速适应高速发展的信息时代，适应西部大开发的必要手段。我司组织专业技术人员在分析国内外网络产品和系统的构架和发展趋势，结合xxxxx世界级热动力基地工程实际情况的基础上，提出了本方案建议书。本建议书应用国内业界领导厂商H3C公司的产品。为了达到生产、办公网络安全的要求，制定出具有1000M乃至10000M以太网为传输骨干、到各厂区具有1000M乃至10000M的快速传输，10/100M乃至1000M快速交换到达各用户、设备点。本网络设计也能满足日常的办公生产需求，对以后信息化日益增长的需求更为方便扩张。1.2、需求分析xxxxx世界级热动力基地目前需要组建一个完整、高效、适用的局域网，因此希望：主干到核心网采用千兆位以太网（GigabitEthernet）以满足广大用户的各种要求。主干建设应能满足各部门的要求并与各部门组建的局域网实施最佳连接，并提供新网的整体管理方案与管理策略。主干设备应能满足大量用户接入访问的要求。（考虑到其它的分厂的访问）支持IP多目广播（Multicast）与服务质量（Qos）或服务类型(CoS)，满足视屏会议等需求。支持虚拟网络（VLAN）。网管软件应具备对接入层交换设备进行远程可操作的能力（如在网络中心对接入交换机进行针对端口IP过滤条件的远程设置）。各厂通过网络可以进行业务的拓展，内部办公提高效率，更增加信息的传递与学习。1.3、建网目标xxxxx世界级热动力基地建设的最终目标是：建设覆盖整个厂区及各部门的互联、统一、高效、实用、安全的网络；以实现资源的共享，设备的有效管理及智能化生产，跨越处于不同地理位置的办公室、厂区，进行更快速、更方便、更可靠的数据传送。1.4、网络系统设计原则xxxxx世界级热动力基地对网络系统要求是一个满足数字、语音、图形图像等多媒体信息。充分依照国际上的规范、标准，借鉴国内外目前所流行的主流网络体系结构和网络运行系统，采用国际上成熟的模式，汲取国内外各种信息系统的建设经验，从网络信息化的实际要求出发进行设计。另外，本计算机信息系统的建设是一项庞大而繁杂的工程，它需要领导的支持、大笔资金的及时到位、计算机专业人员具有良好素质和较高技术水平，以及应用管理人员与技术人员的配合和多部门的密切协作。设计做到网络结构的选择具有先进性和安全性，扩充升级方便，可保护前期投资。先进性-技术上的先进性将保证处理数据的高效率、系统工作的灵活性、网络的可靠性，技术上的先进性也使系统的扩充和维护变得十分简单。可靠性-网络骨干线路的冗余备份、网络核心设备的冗余备份（由于资金情况，本次不设计）和引擎、电源冗余备份等方面保证xxxxx世界级热动力网络的可靠性。开放性和可扩充性-主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构，以及技术的开放性和对相关协议的支持等方面，来保证网络系统的开放性和扩充性。可管理性-网络管理基于SNMP，并支持RMON和RMON2，以及标准的MIB。利用图形化的管理界面和简洁的操作方式，合理的网络规划策略，提供强大的网络管理功能。一体化的网络管理使网络日常的维护和操作变得直观，便捷和高效。安全性-利用VLAN/ELAN、防火墙等对访问进行控制，确保网络的安全。实用性-网络系统的设计在性能价格比方面充分体现系统的实用性，既要采用先进的技术，又能在经费允许的条件下实现建网目标；从实际需要出发，坚持为用户的决策服务，应用服务，管理服务。1.5、方案技术选型如前所叙，xxxxx世界级热动力基地建设的最终目标是：建设覆盖整个厂区及各部门的互联、统一、高效、实用、安全的网络。为了实现这一建网目标，除了需要有效的组织管理及有力的资金投入之外，还必须有一个合理、可行的技术方案。1.51、网络技术比较在网络的选型上我们主要考虑到成熟性，先进性和可升级性相结合，即在技术上要具有先进性，可靠性，在将来升级时尽可能的保护现有投资。目前较为流行的局域网网络技术主要有两种：以太网和ATM。以下是对这两种技术的比较。传统以太网传统的以太网是一种总线结构的网络，采用广播模式，传输速率仅10Mbps。Ethernet采用一种CSMA/CD（载波监听多路访问/冲突检测）机制来管理对介质的访问。这种介质访问机制决定当网上一个工作站发送或接收信息时，其它的工作站只能等待，因此是共享介质的网络。由于这个原因当网络上站点超过一定数量时整个系统的性能将变得不可容忍。交换式快速以太网和千兆以太网交换式以太网是对传统的共享式局域网技术（包括10Mbps的以太网、2.5Mbps的ARCNET、4Mbps或16Mbps的令牌环网和100Mbps的FDDI）的极大改进。交换技术通过在网段之间建立多个并行连接（就象电话交换机可同时为众多用户建立对话通道一样），为每个单独的网段提供专用的频带（即带宽独享），增大了传统网络的传输吞吐量，提高了传输速率，而原有的布线和网卡等设备仍可以利用。既可以充分利用传统以太网的价格优势，又做到了保护现有投资。交换式快速以太网（SwitchedFastEthernet）将传输速率提高至100Mbps，千兆以太网更将这一速率提高至1000Mbps，同时又加入了优先级和保留带宽等QoS标准，更使以太网焕发了新的生命力。ATMATM与传统局域网技术的关键区别在于：传统局域网基于共享媒介，因而所有事件广播到每个节点，而ATM是在节点之间沿指定路径转发事件的。转发方式的主要优点是可以提供每秒几百到几千兆字节的网络带宽。其主要特点有：信元交换独占带宽：ATM技术是建立在交换机上的网络技术，它可为每个工作站分配专用带宽。每个交换机的端口都特定于某一单个工作站，因而网络中不存在操作的共享访问模式。面向连接：ATM网络的数据传输是面向连接，即ATM网络中的端节点在发送任何数据之前，都预先建立称作“虚连接”的数据传送会话。这样可确保数据传送路径上交换机的资源分配均衡。多种传输速率：ATM交换机之间的链接和端节点可以以多种速率操作，这些不同速率链路之间的速率匹配是ATM交换机本身所固有的功能，无须使用隔离网桥实现不同链路速率之间的转换。同时兼有“路由”和“数据转发”的功能：ATM的“路由选择”功能通过建立虚电路主要由软件来实现；“数据转发”则通过ATM交换机的多兆位信元功能，主要由硬件来实现。广域网和局域网协议的统一：现有的广域网和局域网协议种类繁多（如X.25、PPP、SMDS、令牌环、FDDI等），网络互联要作协议转换，而ATM使广域网和局域网在协议上最终获得统一。小结通过以上比较我们看出：ATM具有速率高、技术先进等优点，但同时也带来一些不足。首先，是ATM的标准还不够完善，造成不同厂家的产品在联网时互联性差；其次，ATM目前在局域网上应用采用的是局域网仿真技术，导致传输上增加额外负担，使ATM的优点不能充分发挥；另外，价格较高也是其不够普及的一个原因。相比之下交换式快速以太网技术和千兆以太网成熟产品丰富、支持厂家众多、应用广泛、性价比高，此外交换技术和千兆以太网技术也对总线竞争的缺陷有较好的弥补。因此，我们在到达各厂区网络上选择千兆以太网为主干，10M/100M交换式以太网连接到用户。这样可以有效的利用综合布线系统，保护用户投资，以交换式技术代替低速的共享式技术，突破共享同一带宽的束缚，增大了传统网络的传输吞吐量，提高了传输速率。此外，千兆以太网技术比较成熟可升级性也好。1.52、网络骨干的技术选型-千兆以太网千兆以太网核心千兆以太网技术-以太网从100Mbps升级到1Gbps，融合了两种技术，即IFFF802.3以太网和ANSIX3T11光纤通道。----协议架构-千兆以太网是在利用了光纤通道的高速物理接口同时，又保留了IEEE802.3以太网帧格式，具备对已安装介质的向后兼容性，并利用了全/半双工载波侦听（CSMA/CD）传输机制。传输介质与物理接口目前千兆以太网的传输介质包括两种标准：IEEE802.3Z和IEEE802.3AB。IEEE802.3Z：1000BASELX(单模或多模)、1000BASTSX（多模）、1000BASECX（屏蔽铜缆）；IEEE802.3AB1000BASET（非屏蔽两绞线）。----千兆以太网接口载体是由千兆接口转换器（GBIC）实现的。其中包括短波（SX），长波（LX），LH和铜缆(CX)物理接口。服务类型（CoS）和服务质量(QoS)GigabitEthernet除了提供高带宽以外，千兆以太网也支持以太网的服务类型和服务质量保证相关协议，如IEEE802.1P，IEEE802.1Q，IEEE802.3X，IEEE802.3AB和资源预留协议（RSVP）等关键协议。----IEEE802.1P使得以太网能够及时响应独立端站主机对网络发出的某个QoS（服务质量）请求，该标准界定了组播（Multicast）分组管理。IEEE802.1P还包括了最新定义的通用分配注册协议（GARP），它专用于GARP的特定应用，如GARP组播注册协议（GMRP），GARPWAN注册协议（GVRP），GMRP为组播MAC地址分组提供了注册服务。从而保证以太网上的多媒体应用需求。----IEEE802.1Q已建立起了基于标准的VLANs，该标准以帧标签机制为基础，适合于以太网，快速以太网，令牌环和FDDI，也为交换机和路由器提供一种使VLAN标签化的方法。保证了多厂商的VLAN兼容性，GVRP已由IEEE802.1Q支持，它提供了VLAN成员的注册服务。----IEEE802.3X是以太网的一种流控机制。当客户终端向服务器发出请求后，自身系统或网络产生拥塞环境中，它会向服务器发出一种暂停帧，以延缓服务器的数据传输。千兆比设备对该机制的支持，补充了千兆比以太网的控制功能。----IEEE802.3AB的标准支持在5类非屏蔽双绞线上,传输千兆比以太网。----RSVP-资源预留协议,以太网通过在帧位中标记数据流类型，使网络在传输中识别其优先级别，以保证高优先级的数据流优先占用带宽资源，弥补以太网对延时敏感的应用支持的不足。多种网络接口的设备虚拟网络灵活多样的虚拟网划分手段，基于端口，基于地址和给予应用虚拟网中的站点不应受接口类型的限制。支持网络站点的自由移动，虚拟网标志可被交换设备自动识别以保持原有虚拟网属性。虚拟网可延伸到整个信息中心网络，跨越各种交换设备。路由功能内部路由采用三层交换功能提高其路由识别和包转发能力内部的三层交换虚拟路由功能与外部路由功能有互操作性容错功能提供交换机内部重要模块的全双工配置（管理模块）和冗余接口主要功能部件的热插拔功能支持网络链路的冗余连接网络管理支持广泛的网络管理平台（如HPOpenViewSUNNetManager等）提供交换机配置、管理，虚网配置、管理和网络性能统计监控的网管工具：基于SNMP网络管理协议，支持标准的MIBs提供友好的用户图形界面1.6、方案总体设计1.61、网络系统特点通过对xxxxx世界级热动力基地网络系统需求的分析,充分考虑了系统当前和长远的需求,并结合当今的先进技术和产品而制定出本方案。其系统的特点如下：三层网络结构由于本系统将来会跨越各个厂区,覆盖范围广，设计时我司采取三层网络设计结构，第一层为核心层,整个综合型厂区的中心机房设在生产辅房（一），这是整个网络的核心；第二级为汇聚层，为接入层的交换机连接到中心网络起到桥梁作用，设在各个厂区的设备配线间；第三层为接入层，分布在各个厂区内部的，为用户提供接入服务。交换式千兆骨干网现在网络的应用日益增长，对于综合型的厂区百兆骨干网已不足以满足当前和将来的应用发展，信息系统的发展迫使大家都向网络要更高的带宽，建立交换式千兆以太骨干网络平台是毫无疑问的，我公司在满足这一技术需求的基础上，更充分考虑了将来向太兆过渡的技术需求三层交换技术及VLAN通过在网络中应用三层交换技术，我们可以充分应用虚拟局域网（VLAN）技术，而VLAN是一个交换网络，它按功能、科室或应用等构架为基础加以逻辑划分，而不是以实体或地理为基础划分，它极大的扩展了网络的管理的功能，VLAN之间的路由是通过三层交换机上的路由交换模块或路由器来实现。网络性能优化技术人们往往只注意网络的选择（如以太网、令牌环、FDDI、ATM等）和网络的带宽要求，却忽视网络性能的优化，在本方案中我们应用了各种网络优化技术以此来提高网络的性能，例如网络服务质量（QoS）保障技术、网络交通管理技术、网络拥塞避免技术等灵活的网络访问汇聚层的网络系统通过光纤或双绞线可以访问整个网络系统，并经过光纤线路，访问厂区内部服务器上的资源以及各厂区间的网络交流。也可以通过租用运营商的链路或则自建链路和其它地区的分厂的信息交换。网络地址转换（NAT）国际互联网由于Internet的注册地址是很珍贵的，我们自己在内部网络系统中定义的大量的内部IP地址是不能够随意的在国际互联网上去应用的。因此在访问Internet的时候必须进行网络地址转换以保证用户的有效访问。在设计时，互联网外网口假如是221.5.20x.xx,而一个IP地址显然是不够的，所以只有通过NAT转换，内网所有的地址，比如是192.168.1.X转换成外网的合法地址上国际互联网。1.62、网络分层设计1.621、分层设计的优点xxxxx世界级热动力基地的网络从逻辑上可分为核心层、分布层（会聚层）和接入层，每层都有其特点。分层设计具有以下优点：可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。核心层为下两层提供优化的数据输运功能，它是一个高速的交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL，过滤等)，否则会降低数据包交换速度。分布层用于为核心层和接入层提供桥梁作用，通常实现网络管理，防止广播风，快速交换数据包等功能。接入层的主要功能是为最终用户提供对办公区网络访问的途径。本层也可以提供进一步的调整，如访问列表过滤等。在办公大楼的网络环境中，接入层主要提供如下功能：带宽共享，交换带宽，MAC层过滤，网段微分。1.622、网络核心层设计根据办公网信息系统网络的总体结构，作为信息存贮与处理中心，在网络系统集成的技术中，直接面向用户的第一层接口和第二层交换技术方面已得到令人满意的答案。交换式局域网技术使专用的带宽为用户所独享，极大的提高了局域网传输的效率。但第二层交换也暴露出弱点：对广播风暴，异种网络互连，安全性控制等不能有效的解决。作为网络核心、起到网间互连作用的路由器技术却没有质的突破。传统的路由器基于软件，协议复杂，与局域网速度相比，其数据传输的效率较低。但同时它又作为网段(子网，VLAN)互连的枢纽，这就使传统的路由器技术面临严峻的挑战。随着网络技术的迅猛发展和B/S(浏览器/服务器)计算模式的广泛应用，跨地域、跨网络的业务急剧增长，业界和用户深感传统的路由器在网络中的瓶颈效应。改进传统的路由技术迫在眉睫。在这种情况下，一种新的路由技术应运而生，这就是第三层交换技术：第三层交换技术也称为IP交换技术、高速路由技术等。第三层交换技术是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而第三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，第三层交换技术就是：第二层交换技术＋第三层转发技术。这是一种利用第三层协议中的信息来加强第二层交换功能的机制。当今绝大部分的大型网络都已变成实施TCP/IP协议的Web技术内联网，用户的数据往往越过本地的网络在网际间传送，因而，路由器常常不堪重负。从应用上来看，Internet和Intranet迅猛发展，跨网络、跨地域的B/S计算模式得到广泛的应用，这一切对路由器提出更高的要求。路由器的高费用、低性能使其成为网络的瓶颈。但由于网络间互连的需求，它又是不可缺少的并处于网络的核心位置。可以说，当网络技术发展到这个地步时，网络的核心--路由器技术的革新已刻不容缓。现实世界的应用为路由器技术提出了严峻的挑战。在这种情况下，提出了第三层交换技术。一个具有第三层交换功能的设备是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单的把路由器设备的硬件及软件简单地叠加在局域网交换机上。从硬件的实现上看，目前，第二层交换机的接口模块都是通过高速背板/总线(速率可高达几十乃至上百上千Gbit/s)交换数据的，在第三层交换机中，与路由器有关的第三层路由硬件模块也插接在高速背板/总线上，这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据，从而突破了传统的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)。第三层交换具有以下突出特点：a.有机的硬件结合使得数据交换加速；b.优化的路由软件使得路由过程效率提高；c.除了必要的路由决定过程外，大部分数据转发过程由第二层交换处理；d.多个子网互连时只是与第三层交换模块的逻辑连接，不象传统的外接路由器那样需增加端口，保护了用户的投资。1.623、Internet接入Internet接入可以采用租用运营商的线路的方式，按月或流量计费，建议在前端添加网络安全设备（防火墙以及IPS）。1.63、网络需求具体分析根据用户为我们提供的相关资料和我们对用户情况所作出的调查，我们对用户的需求作出如下分析和归纳。xxxxx世界级热动力基地网络工程建设。到达各厂区的主干带宽采用千兆以太网（单/多模光纤）各厂的接入层到汇聚层千兆连接（光纤/双绞线）。接入层设备具备足够的端口接入能力，足够的带宽接入能力。在网络建成后，应达到如下要求及目的：千兆主干核心（可轻松扩充到万兆）、光纤主干，网络主干交换设备具有三层交换能力，信息点全部100M交换到用户点。所有信息点能够灵活地进行VLAN划分，各个子网之间的信息流动能够方便、灵活地授予和限制。能提供网络办公环境：网络的图象、视频必须满足实时的传送。信息点能够方便地访问Internet，能够方便地进行国际流量的授予和限制。对内提供INTERNET的服务，如电子邮件，远程登录、文件传输、信息查询等。网络安全性要有明确、可靠的实施方案，能够有效地防范来自Internet和Intranet的黑客攻击。对现有网络和计算机设备能够最大限度地使用，保护已有投资。对网络设备，应尽量选用已有的相同网络设备或兼容设备。网络主干为今后各种功能厂区及办公等子网的接入预留空间及相关数据接口。1.64、网络设备选型我们推荐H3C公司的系列网络产品供xxxxx世界级热动力基地的领导和专家选择。1.641、核心层交换机在本网络的设计中，对交换机提出了较高要求。要求中心交换机不但应具备足够的端口数，而且对其它性能指标也有较高要求。基于本网络的规模、用户当前的应用、当前网络技术、网络技术及应用的发展趋势，我们对用户中心交换机的性能要求作出如下归纳。网络用户数量较多。在用户数量多的情况下，网络应分级构建。因此，中心交换机必须具备足够的端口，且应能够实现多种网络带宽及介质的连接能力。因网络用户数较多，造成网络信息流量较大，因此要求中心交换机具有很高的背板带宽和包转发率，以获得较高的网络性能，并确保中心交换机在网络尖峰流量时不会出现交换阻塞。同样因网络用户较多，虽交换机能分隔网络冲突域，但其不能阻止网络广播。因此，要求中心交换机能对整个网络进行分段处理，将整个网络分隔成若干个较小的广播域，即中心交换机应具有VLAN（虚拟局域网）划分功能。因网络上的部分资源是供所有用户或部分用户共享的，而这些用户可能不在同一网段上，要实现网络资源的共享，网段之间的路由是必不可少的。因此，要求中心交换机具有三层路由能力。随着网络技术及应用的发展，网络及应用对带宽的要求越来越高，因此，中心交换机应具备足够的千兆扩展能力，以便能对网络主干联接及中心交换机与重要服务器的联接能使用千兆以太网。对一个大型网络的设备进行有效管理是非常重要的，中心交换机应具有相当好的可管理性。包括SNMP、RMON等网络设备信息收集方式、基于CLI、WEB及自身所带设备管理软件等设备管理方式。随着应用的发展，网络应用要求设备应具备多种流量管理机制，中心交换机上应能实现QOS、COS、TOS等先进的流量管理能力，要能进行网络带宽预留、数据传输优先级划分等一系列网络流量管理。为保证网络的可靠性，中心交换机应具有多种冗余措施及能力，如电源冗余、交换机中心处理器冗余、与二级交换机连接的链路冗余（SpanningTree、链路聚合）等。基于上述对本网络中心交换机性能要求的认识，我们推荐对网络的核心交换机采用H3C的7510E作为该网络的中心交换机。现对交换机作出相应有性能及价格介绍，并为用户提出我们的解决方案。A、核心交换机S7510E产品概述H3CS7510E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络推出的新一代高端多业务路由交换机，该产品基于H3C自主知识产权的ComwareV5操作系统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3CS7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。H3CS7510E支持冗余主控，共有12个插槽位。H3CS7500E可广泛应用于城域网汇聚和边缘、园区网核心和汇聚以及配线间等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。1.

丰富的业务，适应融合业务网络发展趋势l

全面的MPLS业务能力H3CS7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLSVPN和二层的MPLSVPN（Martini、Kompella），可扩展支持VPLS技术；支持MPLSOAM特性，方便用户的管理和维护；与H3CMPLSVPNManager配合，实现图形化的MPLS部署与维护。l

线速的IPv4/IPv6业务能力H3CS7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3CS7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证，是成熟商用的IPv6产品。l

有线无线一体化，有源无源一体化H3CS7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3CS7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3CS7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。l

支持Portal认证H3CS7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。2.

灵活的配置，适应各种应用场景l

配线间融合业务网络的最佳选择H3CS7500E针对配线间的需求定制开发了SA板卡，单台设备可以提供480个千兆线速接口和4个万兆线速接口。H3CS7500E支持端点准入防御解决方案，解决终端安全问题；内置2800W电源直接提供PoE功能，对IP语音和无线接入提供良好的支持。l

政府电力城域网边缘和汇聚的最佳选择H3CS7500E支持Multi-VRF特性，为用户提供高可靠高性能的MCE设备；通过配置SalienceVI-Turbo引擎，可以提供集中式MPLS业务功能，适合在城域网边缘作为高性价PE设备使用；通过配置EA类板卡，可以提供分布式线速的MPLS业务功能，适合在城域网汇聚层作为高性能的PE使用。l

IPv6网络的最佳选择H3CS7500E所有SalienceVI引擎都可以提供集中式IPv6功能，H3CS7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡，在整机满配置状态下实现线速无收敛，为高校用户提供了高性能低成本的双栈汇聚核心设备，同时也满足其他行业用户IPv6Ready的需求。1.

全方位的安全保障，抵御多种网络安全威胁l

三平面安全保障机制H3CS7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSHV2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3CS7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。l

有线无线全面支持EADH3CS7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3CS7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。l

增强的ACL特性H3CS7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，每板最大可支持9K条ACL，满足金融等行业访问权限严格控制的需求。4.

电信级的高可靠性，保障用户业务长期稳定运行l

电信级高可靠性设计H3CS7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3CS7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999％的电信级可靠性。l

多业务高可靠性运行H3CS7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议，提供小于200ms的环网故障保护；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3CS7500E可以在承载多业务的情况下不间断运行，实现业务的永续。l

支持热补丁技术H3CS7500E能够在不重启设备的前提下，通过热补丁技术，在线修改软件BUG，增加新的业务特性。H3CS7500E提供控制补丁单元状态切换的用户命令，使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。1.642、分布层(会聚层)交换机根据用户具体情况，我们归纳出如下用户对二级交换机的性能要求。因用户数量较多，且分布较为集中，因此，要求二级交换机具有较高的端口密度。较多型网络的网管理非常重要，因此，要求二级交换机具有较强的网络管理能力，如RMON、VLAN、SNMP等。随着网络技术的发展，今后的网络应用将越来越复杂，对网络交换设备的要求也将随之而提高，这就要求二级交换机采用较为先进的技术，并具有较好的可持续发展能力，如千兆以太网升级能力。二级交换机应具备冗余连接能力，因此，SpanningTree是必需的。在本方案设计中，分布层交换机采用华为S5510系列千兆以太网交换机作为网络的分布层（会聚层）交换机。H3CS5510系列以太网交换机是H3C公司自主开发的三层全千兆多协议以太网交换产品，是为要求具备高性能、较大端口密度且易于安装的网络环境而设计的智能型可网管交换机。H3CS5510系列以太网交换机主要面向企业网、城域网汇聚或接入层的需求，同时硬件支持IPv4和IPv6双栈，可为客户提供丰富的业务特性和路由功能。H3CS5510系列以太网交换机目前包含如下型号：l

S5510-24P：24个10/100/1000Base-T以太网端口和4个1000Base-XSFP千兆以太网端口（Combo）；l

S5510-24F：24个1000Base-XSFP千兆以太网端口和4个10/100/1000Base-T以太网端口（Combo）；丰富的IPv4和IPv6三层功能硬件支持IPv4/IPv6双栈和IPv6overIPv4隧道，三层线速转发。S5510系列以太网交换机硬件支持IPv4/IPv6双栈和常用IPv6过渡隧道协议（手工Tunnel，6to4Tunnel，ISATAPTunnel，auto-Tunnel），既可以用于纯IPv4或IPv6网络，也可以用于IPv4到IPv6共存的网络，组网方式灵活，可以用于企业网络或宽带接入。支持丰富的IPv6路由协议，包括RIPng、OSPFv3、ISISv6、BGP4+forIPv6。支持IPv6的邻居发现协议（NeighborDiscoveryProtocol，NDP），管理邻居节点的交互。支持PMTU发现（PathMTUDiscovery）机制，可以找到从源端到目的端的路径上一个合适的MTU值，以便有效地利用网络资源并得到最佳的吞吐量。完备的安全控制策略H3CS5510系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3CS5510系列交换机支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCPSnooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。H3CS5510系列交换机支持802.1x及MAC认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，支持动态VLAN下发和GuestVLAN，有效的防止非法用户访问网络。支持端口和Vlan下发ACL，以及支持用户自定义流模板配合实现自定义ACL功能，更加灵活方便，保证网络的受控访问。丰富的QoS策略H3CS5510系列交换机支持基于源MAC地址、目的MAC地址、源IPv4/v6地址、目的IPv4/v6地址、四层端口、协议类型、VLAN等信息的流分类，充分保障了复杂网络对于QoS规则的要求。支持基于流的流量限速，优先级标记或映射，基于流的修改VLAN以及重定向到端口或下一跳，基于端口的流量整形。提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR、WRED等模式。支持CAR功能，粒度最小达4Kbps，支持对多个端口的业务流使用同一个CAR进行流量监管。用户还可以选择直接在端口下发CAR，或通过QoS策略下发CAR。高可靠性及灵活扩展能力H3CS5510系列全千兆多协议智能三层交换机实现双电源负载分担，也可以交、直流同时输入。H3CS5510系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持RRPP（RapidRingProtectionProtocol）协议，可以防止数据环路引起的广播风暴，当以太网环上一条链路断开时能迅速恢复环网上各个节点之间的通信通路。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓扑结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一个备份路由上去，实现上行路由的多级备份。H3CS5510交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了用户投资。强大的多业务能力H3CS5510系列交换机支持QinQ即VLANVPN特性，可以将用户私网VLAN标签封装在公网VLAN标签中，使报文带着两层VLANTag穿越运营商的骨干网络。S5510系列交换机支持灵活QinQ，可以实现针对不同的业务报文打不同的外层VLAN标签或者不打VLAN标签，便于业务分离。S5510系列交换机还支持VLANtranslation，可以根据不同用户或业务重新设置VLAN标签。同时支持IPv4和IPv6组播功能，支持丰富的组播协议IGMPSnooping、MLDSnooping、IGMPv1/v2/v3、PIM-DM、PIM-SM/SSM、MSDP，支持组播静态路由、组播组静态加入，而且组播VLAN可以跨VLAN复制，支持IGSPv1/v2/v3，支持大容量组播路由，强组播复制能力。H3CS5510系列交换机支持MCE功能，可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾，它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定，并为每个VPN创建和维护独立的路由转发表（Multi-VRF）。这样不但能够隔离私网内不同VPN的报文转发路径，而且通过与PE间的配合，也能够将每个VPN的路由正确发布至对端PE，保证VPN报文在公网内的传输。出色的管理性H3C5510交换机支持基于出/入端口镜像、基于流的镜像以及支持远程端口镜像功能，可以实现统一监控检测,使网络管理更方便。支持SNMP，可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。支持特性说明业务端口S5510-24P：24个10/100/1000Base-T以太网端口和4个1000Base-XSFP千兆以太网端口（Combo）S5510-24F：24个1000Base-XSFP千兆以太网端口和4个10/100/1000Base-T以太网端口（Combo）管理端口1个Console口二三层线速转发交换容量为：48Gbps包转发率：35.71Mpps端口汇聚支持LACP支持手工聚合支持最大聚合组为12个，每个聚合组支持最大8GEMAC地址支持16K个MAC地址支持黑洞MAC地址支持设置端口地址学习MAC最大个数端口特性支持IEEE802.3x流控（全双工）支持基于端口速率百分比的风暴抑制堆叠支持IRFTITE堆叠技术支持最大堆叠16台VLAN支持端口VLAN（4K个）支持协议VLAN基于IPv4子网VLAN支持VoiceVLAN支持GVRP/GARP支持VLANVPN（QinQ），灵活QinQ支持VLANTranslationDHCP支持DHCPServer支持DHCP-Relay支持DHCPClient支持DHCPSnooping支持DHCPRelayOption82，DHCPSnoopingOption82IP路由支持静态路由和缺省路由支持RIPv1/v2，RIPng支持OSPFv1/v2，OSPFv3支持IS-IS，IS-ISv6支持BGP，BGP4+forIPv6支持策略路由，等价路由支持VRRP/VRRPv3MCE支持MCE（Multi-CE）组播支持IGMPSnooping，MLDSnooping支持组播VLAN支持IGMPv1/v2/v3支持PIM-DM，PIM-SM支持MSDP二层环网协议支持STP/RSTP/MSTP支持RRPPIPv6支持ND（NeighborDiscovery）支持PMTU支持IPv6Ping，IPv6Tracert，IPv6Telnet，IPv6TFTP支持手动配置Tunnel支持6to4tunnel支持ISATAPtunnel支持Auto-tunnel（即automaticIPv4CompatibleIPv6Tunnel）QoS/ACL支持ACL支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四层端口、协议类型、VLAN等ACL支持用户自定义ACL支持基于源IPv6地址、目的IPv6地址、四层端口、协议类型等ACL支持时间段ACL支持QoS支持基于流的流量限速（8Kbit/s）支持基于流的标记优先级支持基于流的修改报文VLANID支持基于流的报文重定向到端口或IP下一跳支持基于流的流量统计支持基于流的流镜像支持端口队列调度（SP/WRR/SP+WRR）支持端口镜像和RSPAN（远程端口镜像）支持端口流量整形支持端口拥塞丢弃安全特性支持用户分级管理和口令保护支持IEEE802.1X认证/集中式MAC地址认证支持GuestVLAN支持RADIUS认证/HWTACACS支持ARP入侵检测支持IP源地址保护支持端口隔离支持IP+MAC+端口绑定管理与维护支持XModem/FTP/TFTP协议加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持SNMPV1/V2/V3，WEB网管支持RMON（RemoteMonitoring）1，2，3，9组MIB支持H3CiMC智能管理中心支持系统日志，分级告警，调试信息输出，电源的状态检测和告警支持集群管理HGMPV2支持Modem远端拨号支持NTP支持SSH2.0支持Ping、Tracert支持HWPING支持Telnet远程维护支持VCT（VirtualCableTest，虚拟电缆检测）支持DLDP（DeviceLinkDetectionProtocol，设备连接检测协议）1.643、接入层交换机对于接入层交换机，我司建议选用S3100以及S1550E-CN。S3100系列智能接入交换机产品概述：H3CS3100系列千兆以太网交换机是H3C公司秉承IToIP理念设计的二层线速智能型可网管以太网交换机产品，具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QoS控制策略等特点，满足企业用户多业务融合、高安全、可扩展、易管理的建网需求，适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。1.

千兆上行、线速交换H3CS3100系列千兆交换机具有19.2Gbps的总线带宽，为所有端口提供二层线速交换能力，同时支持千兆上行，满足当前多业务融合对高带宽的需求。2.

完备的安全控制策略H3CS3100系列千兆交换机支持802.1x认证，在用户接入网络时完成必要的身份认证，支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能，保证接入用户的合法性。

支持跨交换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到核心交换机（例如S9500/7500）上，在核心上启动网流分析（Netstream）功能，对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。支持DHCPSnooping(侦听)功能，通过建立和维护DHCPSnooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID接口等信息，解决了DHCP用户的IP和端口跟踪定位问题。同时对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址的报文）直接丢弃，保证DHCP环境的真实性和一致性。1.

QoS能力H3CS3100系列千兆交换机支持每个端口4个输出队列，支持2种队列调度算法：WRR调度算法和HQ+WRR调度算法，可以以不同的优先级将报文放入端口的输出队列。支持端口双向限速，限速的控制粒度最小可达64Kbps。满足用户多业务识别、分类、资源调度的需要。4.

简单易用的管理和维护H3CS3100系列千兆交换机采用无风扇静音设计，特别适合在楼道和办公室使用。支持VCT（VirtualCableTest）电缆检测功能，便于快速定位网络故障点。支持堆叠功能，通过增加设备来扩展端口数量和交换能力，多台设备之间的互相备份增强了设备的可靠性，从而保证了网络的平滑升级并能降低扩建成本；同时对多台设备统一管理，降低了管理成本。通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统和故障诊断，实现了设备的集中管理和维护。支持SNMP，可支持HPOpenView等通用网管平台，以及Quidview®网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。H3CS1550E可智能网管接入交换机H3CS1550E交换机是H3C公司自主开发的二层线速以太网交换产品，是为要求具备高性能、高端口密度且易于安装的网络环境而设计的智能型交换机。S1550E提供了48个10/100Mbps端口，1个千兆铜缆端口和1个千兆铜缆/SFP（miniGBIC）组合端口用于灵