内蒙古网络工程系统集成设计方案

【最新卓越管理方案您可自由编思】

（建筑施工；为；米；千米;

设计）内蒙古网络工程系统

集成设计方案

2020年4月

多年的企业咨询顾问经验，经过实战验证可以落地执行的卓越管理方案，值得您下载拥有!

内蒙古XXX网络工程系统集成设计方案

年月日

目录

第一章内蒙古XXX工程系统集成方案综述..........................................4

L1项目建设总体目标...........................................................4

1.2项目建设实现的主要功能....................................................4

1.3项目建设的主要原则........................................................4

第二章内蒙古XXX网络平台硬件部分详细设计方案..................................6

2.1设计需求及网络技术选择....................................................6

2.1.1项目建设需求...........................................................6

2.1.2网络技术选择...........................................................6

2.2内蒙古XXX网络设计.......................................................12

221总体结构..............................................................12

222局域网设计............................................................14

223城域网设计............................................................14

224门户网站..............................................................15

225路由交换设备选型......................................................16

226服务器选型............................................................34

227网络检测..............................................................44

228补充说明..............................................................52

第三章网络安全设计............................................................54

3.1网络安全概述.............................................................54

3.2硬件防火墙...............................................................56

321各种防火墙技术介绍....................................................56

322天融信NGFW4000-TZ介绍.............................................59

2.3.3IDS入侵检测...........................................................62

第四章内蒙古XXX网络平台软件设计.............................................65

4.1操作系统.................................................................65

4.1.1网络系统选型原则.....................................................65

4.1.2网络系统应具备的功能和特点...........................................65

4.1.3WindowsServer2003标准版概述......................................66

4.2网页防篡改...............................................................72

421产品结构..............................................................72

422产品概述..............................................................73

4.3邮件系统.................................................................75

4.3.1不同类型产品间的比较.................................................76

4.3.2PostOffice2.0产品蛔................................................76

4.3.3反垃圾邮件系统.......................................................78

4.3.4电子邮件防毒墙.......................................................79

4.3.5几点说明.............................................................81

4.4数据库系统...............................................................81

441数据库软件选型标准....................................................82

4.4.2MicrosoftSQLServer2000介绍........................................82

第一章内蒙古XXX工程系统集成方案综述

1.1项目建设总体目标

(略)

1.2项目建设实现的主要功能

内蒙古XXX网络的主要功能包括:文件传输(FTP)、远程登录(TELNET)、电子邮件

(E-MAIL),WEB浏览、在线信息发布、在线信息咨询与反馈、数据库查询、分布式数据存

储、容灾备份、信息共享、视频会议、网络电话、虚拟专网(VPN1安全防护等功能。

1.3项目建设的主要原则

内蒙古XXX网络建设,要遵循以下原则：

。先进性

我公司在此方案中的各个部分推荐符合当代信息技术发展形势，既有先进技术又发展成

熟，并且建筑施工；为；米；千米；各个领域公认的领先产品，使新建的网络计算机系统能

够最大限度地适应今后技术发展和业务发展变化的需要：

•先进的应用服务器。

•高速转发的网络交换机。

•高性能的关系型数据库。

•高安全防范的硬件防火墙。

。实用性

计算机系统的建设将以满足内蒙古XXX网络应用系统的需求，同时考虑今后信息量的增

加为基点，从主机CPU的处理能力、硬盘的空间、网络交换机的扩展槽等多方面做到系统的

实用性。

。可扩充性

在发展迅速的信息领域，应用环境、系统的硬件或软件都会不断地加以更新，因此，系

统的可扩充性以及前后兼容一致性十分重要。本方案的设计，硬件/软件建筑施工；为；米；

千米;建立在广泛的可升级基础上。

。开放性

各种设计规范、技术指标及产品均符合国际和工业标准，并可提供多厂家产品的支持能

力。系统中所采用的所有产品都要满足相关的国际标准和国家标准，建筑施工；为；米；千

米；开放的可兼容系统，能与不同厂商的产品兼容，可以有效保护投资。

。安全保密性

随着Internet/Intranet技术的飞速发展和广泛应用，网络安全问题愈来愈突出，已成为

本世纪初的一大技术热点。黑客技术的公开和有组织化，以及网络的开放性使得网络受到攻

击的威胁越来越大。网络入侵往往建筑施工；为；米；千米；由于自身固有的漏洞引起的，

我们将通过VLAN技术、防火墙技术、访问控制列表技术，多角度多层面的设计系统的安全

体系结构。

。可管理性

在分布式计算机的环境中，可管理性已成为系统能否成功的关键，使网络管理人员只在

网络管理中心就能对全网络的设备进行管理和配置。

。经济性及投资保护

性能价格比建筑施工；为；米；千米；我们在本方案中充分考虑的因素。投资保护不仅

仅建筑施工；为；米；千米；对设备产品等，更应该建筑施工；为；米；千米；对人和知识

的保护。我们将充分保护用户的现有网络结构和技术人员的知识结构，在现行系统平滑升级

的同时，进一步充分使用现有的各类二级、三级网络设备，使其继续发挥其功能作用。

第二章内蒙古XXX网络平台硬件部分详细设计方案

2.1设计需求及网络技术选择

2.1.1项目建设需求

（略）

2.1.2网络技术选择

局域网的基本拓扑结构大多为二级/三级星形结构。例如：在大楼的环境，每个布线间

会有交换机提供网络端口与终端工作站相连，并采用高速的上联端口连接骨干中心的高端交

换机，同时也采用高速的主干链路上连数据库服务器。由于建筑施工；为；米；千米；星形

结构，越往中心的主干链路，其带宽就越高，因为末端的工作站流量都汇集在主干来传输。

目前的局域网络主干传输技术以千兆以太网为主才妾入采用快速以太网方式.

2.1.2.1快速以太网技术

100Base-T快速以太网建筑施工；为；米；千米；由10Base-T以太网标准发展而

来的,建筑施工；为；米；千米；现行的IEEE802.3标准的扩展，标准为IEEE802.3u.100

Base-T使用现有的正EE802.3媒体访问控制（MAC）层，在100Base-T的MAC层中，仍

然采用CSMA/CD媒体访问协议，信息包的传输率比10Base-T提高了10倍（即将每个

数据位的传输时间压缩了10倍）。由于MAC被定义成与速率无关，因此，100Base-T的

数据帧格式、数据帧长度、差错控制等均与10Base-T相同。并且同样采用星型拓扑结构，

不需对工作站的以太网卡上执行的软件和上层协议做任何修改，就可使局域网上的10

Base-T和100Base-T站点间互相通信，不需要任何协议转换。（对于原来使用5类双绞线

连接的网络，只要更换网卡和集线器，就可平滑地由10Base-T升级到100Base-T。但100

Base-T网络不支持同轴电缆。）

100Base-T支持多种网络通信介质，如双绞线、光纤等，10Base-T网络的电缆技术

可以沿用。100Base-T标准包括3种媒体标准：100Base-TX、100Base-T4和100

Base-FX。

(1)100Base-TX

传输媒体可以采用类无屏蔽双绞线接口与中

100Base-TX5UTP0RJ-4510Base-T

的连接方法一样，占用其中的2对绞线(即1—2、3-6),传输媒体的最大网段建筑施工；

为；米；千米；100米，可以使用2个中继器，但100Base-TX网络的最大跨距为205米

(中继器之间的最大电缆长度建筑施工；为；米；千米；5米)。

(2)100Base-T4

100Base-T4建筑施工；为；米；千米；一个4对线系统，传输媒体采用3类、4类、

5类无屏蔽双绞线UTP的4对线路进行100Mbps的数据传输。其中3对双绞线用于数据

传输，1对用于冲突检测。媒体段的最大长度为100米。100Base-T4也使用RJ-45接口，

连接方法与10Base-T相同，4对线(1—2、3—6、4—5、7—8)——对应连接。但在10

Base-T系统中仅用了其中1—2、3—6两对，一般在布线时4对线都会安装连接。对于原

来用3类线布线的系统，可以通过采用100Base-T4把网络从10Mbps升级到100Mbps,

无需重新布线。

(3)100Base-FX

在100BaseFX环境中，一般选用62.5/125pm多模光缆，也可选用50/125,85

/125以及100/125的光缆。但在一个完整的光缆段上必须选择同种型号的光缆，以免引

起光信号不必要的损耗。对于多模光缆，在100Mbps传输率，全双工情况下，系统中最长

的媒体段可达2km。100BaseFX也支持单模光缆作为媒体，在全双工情况下，单模光缆段

可达到40km,甚至更远，但价格要比多模光缆贵得多。在系统配置时，可以外置单模光缆

收发器，也可以在多模光缆收发器的连接器上再配置一个多模/单模转换器，以驱动单模光

缆。光纤接口仍然采用MIC、ST或SC光纤接口。

100Base-T快速以太网技术与产品推出后，迅速获得广泛应用。同样，它既有共享型

集线器组成的共享型快速以太网系统，又有快速以太网交换机构成的交换型以太网系统。100

Base-X还支持全双工以太网技术。

在100Base-T网络实际应用时，为了能与传统的10Mbps网络方便地互连，在标准

中增加了10/100Mbps速度自动协商感应功能，使得10Base-T和100Base-T的适配器

可以自动感应传输的操作模式，采用与另一端设备所支持的最快的传输速度。在支持这种自

动协商功能的10/100Mbps以太网适配器中，100Base-T的工作站在启动时，首先发出

一组高速链路脉冲(FLP)如果对端的HUB建筑施工为米汗米;1个只能工作在10Base-T

方式的端口，则该网卡就自动工作在10Base-T模式下；如果对端的HUB能支持100

Base-T,它会检测到高速链路脉冲，采用自动协商算法和FLP数据确定网段速度，并将高速

链路脉冲送到适配器，将HUB和适配器自动设置为100Base-T模式。10Mbps/100Mbps

自适应的特点保证了10Mbps系统平滑地过渡到100Mbps以太网系统。

由于100Base-T网络价格较低、易升级、速率高、兼容性强，所以将成为目前应用

较广的网络结构。缺点建筑施工；为；米；千米；仍采用CSMA/CD控制，待发工作站采

用竞争方式，因此带来传输帧间时延性能变差，不利于实时信息的传送。但在交换式100

Base-T网络中,由于工作站与交换机之间建筑施工；为；米；千米；单点连接，不存在碰

撞，所以可以克服这个缺点。

2.1.23千兆以网技术

经济在高速发展，信息在迅猛膨胀。多媒体应用的日益增加、IP语音传输需求的激增，

对网络的带宽提出了新的挑战。局域以太网从10M开始发展，经历几多的变迁，风风雨雨

二十多年，发展到今天风靡一世的千兆以太网。千兆以太网以高效、高速、高性能而著称,

已经广泛应用在金融、商业、教育、政府机关及厂矿企业等各行各业。

千兆以太网及其发展现状

千兆以太网建筑施工；为；米；千米；建立在以太网标准基础之上的技术。千兆以太网

和大量使用的以太网与快速以太网完全兼容，并利用了原以太网标准所规定的全部技术规

范，其中包括CSMA/CD协议、以太网帧、全双工、流量控制以及IEEE802.3标准中所定

义的管理对象。作为以太网的一个组成部分，千兆以太网也支持流量管理技术，它保证在以

太网上的服务质量，这些技术包括IEEE802.1P第二层优先级、第三层优先级的QoS编码

位、特别服务和资源预留协议（RSVP）。

千兆以太网还利用IEEE802.1QVLAN支持、第四层过滤、千兆位的第三层交换。千兆

以太网原先建筑施工；为；米；千米；作为一种交换技术设计的，采用光纤作为上行链路,

用于楼宇之间的连接。之后，在服务器的连接和骨干网中，千兆以太网获得广泛应用，由于

IEEE802.3ab标准（采用5类及以上非屏蔽双绞线的千兆以太网标准）的出台，千兆以太网

可适用于任何大中小型企事业单位。

目前，千兆以太网已经发展成为主流网络技术。我们在建设企业局域网时都会把千兆以

太网技术作为首选的高速网络技术。千兆以太网技术甚至正在取代ATM技术，成为城域网

建设的主力军。

千兆以太网的特点

千兆以太网的特点主要包括如下。

Q）千兆位以太网提供完美无缺的迁移途径，充分保护在现有网络基础设施上的投资。千

兆位以太网将保留IEEE802.3和以太网帧格式以及802.3受管理的对象规格，从而能够在

升级至千兆性能的同时，保留现有的线缆、操作系统、协议、桌面应用程序和网络管理战略

与工具；

(2)千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案，提供了一

条最佳的路径。至少在目前看来，建筑施工；为；米；千米；改善交换机与交换机之间骨干

连接和交换机与服务器之间连接的可靠、经济的途径。网络设计人员能够建立有效使用高速、

关键任务的应用程序和文件备份的高速基础设施。网络管理人员将为用户提供对Internet.

Intranet,城域网与广域网的更快速的访问。

(3)IEEE802.3工作组建立了802.3z和802.3ab千兆位以太网工作组其任务建筑施工；

为；米；千米；开发适应不同需求的千兆位以太网标准。该标准支持全双工和半双工

1000Mbps，相应的操作采用IEEE802.3以太网的帧格式和CSMA/CD介质访问控制方法。

千兆位以太网还要与lOBaseT和lOOBaseT向后兼容。此外，IEEE标准将支持最大距离为

550米的多模光纤、最大距离为70千米的单模光纤和最大距离为100米的铜轴电缆。千兆

位以太网填补了802.3以太网/快速以太网标准的不足。

千兆以太网的构建

千兆以太网络建筑施工；为；米；千米；由千兆交换机、千兆网卡、综合布线系统等构

成的。千兆交换机构成了网络的骨干部分，千兆网卡安插在服务器上，通过布线系统与交换

机相连，千兆交换机下面还可连接许多百兆交换机，百兆交换机连接工作站，这就建筑施工；

为；米；千米；所谓的"百兆到桌面"。在有些专业图形制作、视频点播应用中，还可能会

用到"千兆到桌面"，及用千兆交换机联到插有千兆网卡的工作站上，满足了特殊应用下对

高带宽的需求。

在建设网络之前，究竟用千兆还建筑施工；为；米；千米；百兆，要从实际出发，从应

用出发，考虑网络应该具备哪些功能。不同的应用有不同的需求，而且几乎没有只有单一业

务的网络。但建筑施工；为；米；千米；，在各种业务中，生产性业务肯定建筑施工；为；

米；千米；优先级最高的。如果在网络中传输语音，那么语音业务也需要优先安排。如果对

业务优先的需求很高，网络必须有QoS保证.这样的网络必须要智能化，在交换机端口能

够识别建筑施工；为；米；千米；什么类型的业务通过，然后对不同的业务进行排队，为不

同的业务分配不同的带宽，这样才能保证关键性业务的运行。数据业务本身建筑施工；为；

米；千米；有智能的，不管多少带宽都可以传输，只建筑施工；为；米；千米；时间长短而

已，但建筑施工；为；米；千米；语音或者视频就不一样了，如果带宽小了之后，马上就听

不清楚了，或者图像产生抖动，这都建筑施工；为；米；千米；不允许的。所以QoS非常

重要。对单纯的数据网络，在QoS方面的需求就很低。在规划网络的时候，必须先了解清

楚哪些功能建筑施工；为；米；千米；必须的，哪些可以不考虑。例如，目前多址广播建筑

施工；为；米；千米；比较重要的性能之一，如果需要在网络中传输图像，而网络不具备多

址广播的特性，那么网络的带宽浪费就会非常严重，甚至根本无法实现。

千兆以太网国际标准

1997年1月，通过了IEEE802.3z第一版草案；

1997年6月，草案V3.1获得通过，最终技术细节就此制定；

1998年6月，正式批准IEEE802.3z标准；

1999年6月，正式批准IEEE802.3ab标准（即1000Base-T）,可以把双绞线用于千兆

以太网中。

千兆位以太网标准主要针对三种类型的传输介质：单模光纤，•多模光纤上的长波激光（称

为lOOOBaseLX）、多模光纤上的短波激光（称为lOOOBaseSX）;lOOOBaseCX介质，该

介质可在均衡屏蔽的150欧姆铜缆上传输。IEEE802.3z委员会模拟的lOOOBaseT标准允

许将千兆位以太网在5类、超5类、6类UTP双绞线上的传输距离扩展到100米，从而使

建筑楼宇内布线的大部分采用5类UTP双绞线，保障了用户先前对以太网、快速以太网的

投资。对于网络管理人员来说，也不需要再接受新的培训，凭借已经掌握的以太网网络知识,

完全可以对千兆以太网进行管理和维护。

千兆以太网的标准化包括编码/译码、收发器和网络介质三个主要模块，其中不同的收发

器对应于不同的网络介质类型。1000BASE-LX基于1300nm的单模光缆标准时，使用

8B/10B编码解码方式，最大传输距离为5000米。1000BASE-SX基于780nm的

FibreChanneloptics，使用8B/10B编码解码方式，使用50微米或62.5微米多模光缆，

最大传输距离为300米到500米。连接光纤所使用的SC型光纤连接器与快速以太网

100BASEFX所使用的连接器的型号相同。1000BASE-CX建筑施工；为；米；千米；一种

基于铜缆的标准，使用8B/10B编码解码方式，最大传输距离为25米。1000BASE-T基于

非屏蔽双绞线传输介质，使用1000BASE-T铜物理层CopperPHY编码解码方式，传输距

离为100米。1000BASE-T在传输中使用了全部4对双绞线并工作在全双工模式下。这种

设计采用PAM-5（5级脉冲放大调制）编码在每个线对上传输250Mbps。双向传输要求所

有的四个线对收发器端口必须使用混合磁场线路，因为无法提供完美的混合磁场线路，所以

无法完全隔离发送和接收电路。任何发送与接收线路都会对设备发生回波。因此，要达到要

求的错误率（BER）就必须抵消回波。1000BASE-T无法对频率集中在125MHz之上的频

段进行过滤，但建筑施工；为；米；千米；使用扰频技术和网格编码能对80MHz之后的频

段进行过滤。为了解决5类线在如此之高的频率范围内因近端串扰而受到的限制，应该采用

合适的方案来抵消串扰。

最初的千兆以太网采用高速780纳米光纤信道的光元件传输光纤上的信号采用8B/10B

的编码和解码方法实现光信号的串行化和复原。目前光纤信道技术的数据运行速率为

将来会提高到使数据速率达到完整的对于更长的

1.063Gbps,1.250Gbps,1000Mbpso

连接距离，将采用1300纳米的光元件。为了适应硅技术和数字信号处理技术的发展，应在

MAC层和PHY层之间制定独立于介质的逻辑接口，以使千兆以太网工作在非屏蔽双绞线电

缆系统中。这一逻辑接口将适用于非屏蔽双绞线电缆系统的编码方法，并独立于光纤信道的

编码方法。下图说明了千兆以太网的组成。

如何升级至千兆以太网

把10M、100M网络升级至千兆的条件并不多，最主要的建筑施工；为；米；千米；综

合布线条件。千兆以太网指的建筑施工；为；米；千米；网络主干的带宽，要求主干布线系

统必须满足千兆以太网的要求。如果原来的网络覆盖距离相隔几百米至几公里的多幢建筑

物，则原来的主干布线一般采用的建筑施工；为；米；千米；多模或单模光纤，能够满足千

兆主干的要求，可以不必重新敷设光纤了。在建筑物之间的距离小于550米的情况下，一般

敷设价格相对低廉的多模光纤就可以满足千兆以太网的需要。

如果原来的网络只覆盖了一幢建筑，而且最远的网络节点与网络中心的距离不超过100

米，则可以利用原来的5类或超5类布线系统。如果原来的布线系统达不到5类标准，或者

采用了总线型布线系统而不建筑施工；为；米；千米；星型布线系统，则必须重新布5类线。

升级至千兆以太网，首先要将网络主干交换机升级至千兆，以提高网络主干所能承受的

数据流量，从而达到加快网络速度的目的。以前的百兆交换机作为分支交换机，以前的集线

器则可以在布线点不足的地方使用。目前千兆交换机的产品已经很多，可以根据网络的要求

和预算等实际情况选择。

网络上的服务器需要吞吐大量的数据，如果网络主干升级至千兆，但建筑施工；为；米；

千米；服务器网卡还停留在百兆的水平上，服务器网卡就会成为网络的瓶颈，必须使用千兆

网卡才能消除这个瓶颈，解决方法建筑施工；为；米；千米；在原来的服务器上添加千兆网

卡。注意应该优先选购64位PCI的千兆网卡，其性能比普通PCI千兆网卡高一些。千兆网

卡可以根据网络的要求和预算等实际情况选择。

网络主干升级了，网络的分支也应随之升级。如果原来的用户计算机已经安装了

10M/100M自适应网卡，则可以不必升级网卡，只要将网卡接到百兆交换机上就可以了；

如果原来使用的建筑施工；为；米；千米；10Mbps网卡，则需要将网卡更换为10M/100M

自适应网卡，这样才能提高工作站访问服务器的速度。

千兆以太网的前景预测

预计到2005年之前，数据传输量每年将以3倍的速度增长，并于当年超过语音传输量,

成为全球通信网络主要的传输方式。面对日益增长的数据流和多媒体服务，大容量、高速率、

多功能模块高端网络产品的市场规模将不断扩大。可以预见的建筑施工；为；米；千米；，

千兆以太网交换机所占的市场份额会越来越大。随着Internet的发展和网络上层出不穷应用

的出现，万兆以太网将建筑施工；为；米；千米；以后的主流，但至少在近两年内，千兆以

太网仍然建筑施工；为；米；千米；市场上的主流。

鉴于以上介绍采用TCP/IP协议，千兆以太网技术组网，主干带宽1000兆,接入带

宽100兆，100兆交换到桌面以满足多媒体通信的要求。

2.2内蒙古XXX网络设计

2.2.1总体结构

内蒙古XXX网络平台总体架构如下图：

（略）

2.2.5路由交换设备选型

核心交换机

根据实际情况与要求，要求网络设备具有很高的可靠性和可用性，我们推荐采用

huawei-3com公司的Quidway@S8500交换机作为政务网络平台的核心路由器。

QuidwayS8500万兆核心路由交换机简介

。产品概述

Quidway@S8500系列万兆核心交换机建筑施工；为；米；千米；由华为3com公司

自主开发的新一代高性能万兆核心路由交换机产品，可广泛应用于电子政务网核心层、校园

网及教育城域网核心层、园区网和企业网核心层以及运营商IP城域网核心层、汇聚层。

Quidway@S8500系列基于新一代核心交换机的设计理念，具备大容量高性能、可扩

展能力强和业务与性能兼具的特点。Quidway@S8500系列支持新一代高性能万兆接口，

能够为城域网、园区网、数据中心提供超高速链路，构建端到端以太网络，打造低成本、高

性能、具有丰富业务支持能力的高性能网络。Quidway@S8500提供大容量、高密度、模

块化的二、三层线速转发性能，内置强劲的全分布式业务处理引擎，以全线速处理二层、三

层、MPLSVPN,组播等各种业务流量，提供完善的QoS保障、安全管理机制和电信级的

高可靠设计，满足大型IP网络对多业务、高可靠、大容量、模块化的需求。

。产品特点

1）先进的体系结构

Quidway@S8500系列产品采用全分布式体系结构设计，采用功能强大的ASIC芯片进

行高速路由查找,并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的

转发性能和扩充能力。Crossbar交换网芯片内置于主控板，不再单独占用设备槽位，可提

供高达L44Tbps的交换容量。接口板通过多条高速总线分别连到两块主控板上的Crossbar

交换网，从而实现真正的双主控、双交换网的热备份，极大的提高了系统的可靠性。

Quidway@S8500系列产品采用高性能的最长匹配、逐包转发的方式，在保持线速性

能和低成本的基础上，革命性的解决了传统交换机流Cache精确匹配转发的致命缺陷，能

够有效的抗击网络“红色代码"、"冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流

量访问的网络。

2）大容量、高密度线递交换

Quidway@S8500系列产品目前最高可以提供高达1.44Tbps交换容量、857Mpps转

发能力。支持各种高密度业务板和组合业务板，整机可支持高达576个千兆端口的同时线速

转发，满足核心层设备大容量、高密度的要求。

3）强大的业务支撑能力

Quidway@S8500支持MPLSVPN业务；支持丰富的组播协议（IGMP、IGMP

SNOOPING,PIM-SM.PIM-DM和MSDP/MBGP等）；支持WebSwitch（硬件支持）、

NAT（硬件支持），内置防火墙（硬件支持）、IDS；支持POS/ATM,RPR等接口。

4）新一代万兆接口支持

Quidway@S8500系列产品提供的新一代万兆以太网克服了早期万兆以太网的诸多局

限，在线速转发的基础上能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全

等特性。Quidway@S8500的新一代万兆以太网交换机不仅在接口密度上达到2端口/线卡

（后续可扩展至4端口/线卡），并且可以支持线速的MPLS转发，可以提供更好的IPVPN

业务和透明的LAN服务，真正实现性能与功能的完美统一。

Quidway@S8500系列产品除了提供标准的LAN接口，还可以提供使用波分复用技术

的10GBASE-LX4接口，从而大大提高了用户组网的灵活性。

5）MPLS/IPV6分布式线速支持

Quidway@S8500系列产品遵循业务与性能并重的设计理念。一方面带宽和网络规模

的增长推动核心路由交换机的性能容量不断提升，另一方面业务的发展要求核心交换机更加

智能化并具备更强的业务提供能力。Quidway@S8500系列产品采用功能强大的ASIC芯片

实现MPLS.IPv6的分布式线速转发，并能够基于高性能NP实现线速NAT、WebSwitch

等增值业务，在为用户提供全面的有保障业务的同时，也做到根据需求业务可裁减。

6）完善的QoS机制

Quidway@S8500系列产品提供了灵活的队列调度算法，可以同时基于端口和队列进

行设置，支持SP、WRR、SP+WRR三种模式；支持8个优先级队列，3个丢弃优先级；支

持WRED拥塞避免算法和端口流量整形。支持带宽控制功能，流量限速的粒度为8Kbit/s,

满足精品宽带网络的要求。

7）电信级可靠性设计：

Quidway@S8500系列产品系统采用分布式结构，支持双主控交换板，无源背板设计,

所有单板支持热插拔；电源系统交流/直流可选，采用1+1冗余热备份，并支持双路电源输

入；支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求,系

统可靠性达到：99.999%.

8）完善的安全机制：

Quidway@S8500系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备

安全，支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证；支持URPF（单播

反向路径检查）；采用802.1X方式对接入用户进行认证，支持安全的SNMPV3的网管协议、

支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置权限，并提供两种用户

认证方式：本地认证和RADIUS认证。

Quidway®S8500系列产品通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有

效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限

进行设置，保证网络的受控访问。

Quidway@S8500系列产品还支持标准Radius协议，同时提供Radius+功能，以及

HCBM（华为可控组播管理协议）功能支持。基于硬件支持的内置防火墙/IDS功能为核心交

换设备安全组网提供了多样化的选择，简化了网络层次，提高了整网性能。

。产品规格

属性S8512

体系结构一体化机箱，可安装于19英寸机架内

外形尺寸（MM）436x450x753

宽X深X局J

满配置重量（Kg）100

交换容量XRCoreEngine™I720G

XRCoreEngine™II1.44T

背板容量1.8Tbps（可扩展至3.6T）

包转发率XRCoreEngine™1428Mpps

XRCoreEngine™II857Mpps

槽位数量14

业务单板槽位数12

量

二层功能4KVLAN

支持802.1q优先级

生成树协议：STP/RSTP/MSTP

支持动态VLAN注册协议（GVRP）

支持端口捆绑

支持端口镜像

支持广播风暴抑制

支持Jumbo帧

兼容EthernetJI/Ethernet_SNAP/IEEE802.2/IEEE802.3

MDI/MDI-X自适应

三层功能ARPProxy（SuperVLAN）

提供丰富的路由协议:RIP、OSPF、IS-IS、BGP4

支持256K最长匹配路由转发表

支持路由负载分担

支持分布式策略路由

支持URPF（单播反向路径检查）

支持VRRP

支持DHCP-RELAY

组播二层黜1协议：GMRP.IGMPSnooping

三层组播协议：IGMP、PIM-DM、PIM-SM、MSDP/MBGP

支持可控■业务

NAT支持NAT中NAPT模式

支持公有地址和私有地址的混合组网NAT转换

支持ICMP、FTP的等ALG

安全功能，防止DOS攻击对NAT模块资源的过度使用

支持NAT板间的负荷分担和备份功能

WebSwitch具有L3/L4层的线速交换

基于L4层的PBR及其他功能：如服务器负载均衡、防火墙

负载均衡、WebCache高速缓存重定向等功能

MPLSVPN支持二层MPLSVPN

支持三层MPLSVPN

支持QinQ

支持PE和P功能

MPLS标签空间：128K

MPLS标签栈深度：4级

QoS可基于物理端口、VLAN、源MAC地址、目的MAC地址、

源IP地址、目的IP地址、IP端口、协议号等进行报文分类

和过滤

支持带宽控制，带宽控制粒度为8Kbit/s

优先级队列调度：每端口支持8个优先级队列，3个丢弃优

先级，支持SP、WRR、SP+WRR三种队列调度算法

支持WRED拥塞避免算法

支持流量整形

支持802.1P,DSCP/TOS优先级和重新标记能力

支持基于时间段的流分类和QoS控制能力

网络安全特性支持IP+MAC+PORT任意组合的绑定

支持非法帧报文过滤

支持IEEE802.1X认证

用户分级管理和口令保护

支持端口隔离

支持SSH

支持SNMPv3网管

可靠性MTBF:>128,400小时

MTTR:<0.5小时

双主控

支持双路电源供电

支持热插拔

环境要求温度范围：0℃~40℃

相对;雕：10%~90%（非凝结）

电源要求DC:输入电压:-48V--60V

AC:输入电压：100V-240V

最大输出功率：1200W(S8505)、2000W(S8508/S8512)

2.2.S.2汇聚层交换机

本次网络系统集成我们采用5台QuidwayS3552F作为汇聚层交换机，每台配置一个

千兆光纤模块用于上行接入到核心交换机。以及八端口的百兆光纤模块向下接入各厅委的接

入交换机。

QuidwayS3552F交换机简介

。产品概述

Quidway®S3500F安全智能三层交换机建筑施工；为；米；千米；华为3com公司为

充分满足安全IP交换和高Q0S保证的需求而推出的智能型以太网交换机。该系列交换机提

供完善的路由协议、VLAN控制、流量交换、Q0S保证的机制，以及完备的业务控制和用

户管理能力。这些智能化的特点非常适合作为关注业务管理控制和网络安全保障能力的办公

网、业务网和驻地网的汇聚三层交换机。

S3552F交换机的主板提供6个模块插槽，可选配8端口百兆单、多模模块和

10Base-T/100Base-TX模块,整机共提供48个百兆单、多模光接口、

10Base-T/100Base-TX自协商以太网端口（RJ-45连接器）及4个GBIC模块接口，1个

Console口。支持220V交流供电或-48V直流供电，GBIC模块接口有单模、多模、电口等

不同传输距离模块可供选择。

。产品特点

1）大容量全线速的多层交换

Quidway®S3500系列安全智能三层交换机32Gbps的总线带宽为交换机所有的端口

提供三层线速交换能力，系统能够提供4个GE,有效解决了在单台设备上多个千兆链路上

行，同时接入千兆服务器的需求，极大的节省了用户对设备投资。设备最大提供512个子网

路由接口，硬件支持层线速交换，能够识别、处理四到七层的应用业务流，所有端口都具有

单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。

2）完备的安全控制策略

Quidway®S3500系列安全智能三层交换机基于最长匹配的路由策略，系统采用逐包转

发方式，保证了所有报文均获得相同的转发性能，对"红码病毒"和"冲击波病毒”的攻击

具有天生的防御能力，有效保证了设备安全。

Quidway®S3500系列安全智能三层交换机支持802.1X和WebPortal认证，在用户

接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑

定，有效的防止非法用户访问网络。

支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受

控访问。

3）高可靠性

Quidway®S3500系列安全智能三层交换机不仅支持STP/RSTP生成树协议，还提供了

基于多VLAN的生成树MSTP,极大提高了链路的冗余备份，提高容错能力，保证网络的稳

定运行。

支持可选的冗余电源系统RPS,可为4台设备提供电源冗余，提高容错能力和网络正常

运行时间。

支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗

余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。

支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故

障时自动切换到下一个备份路由上去，实现上行路由的多级备份。

4)丰富的QOS策略

Quidway®S3500系列安全智能三层交换机支持基于源MAC地址、目的MAC地址、

源IP地址、目的IP地址、端口、协议的L2-L7复杂流分类；支持1K个流规则。

提供了灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP(Strict

Priority)、WRR(WeightedRoundRobin)、SP+WRR三种模式;支持8个优先级队

列，3个丢弃优先级;支持WRED拥塞避免算法和端口流量整形。支持CAR(Committed

AccessRate)功能，流量限速的粒度为8Kbit/s。

5)多样的管理方式

Quidway®S3500系列安全智能三层交换机支持SNMP,可支持OpenView等通用

网管平台以及Quidview@JManager®网管系统。支持CU命令行,Web网管,TELNET,

HGMP集群管理，使设备管理更方便

。产品规格

项目S3552F

管理端口1个Console口

固

定6个业务槽位

麻XUJ4个GBIC模块接口

□

8端口百兆单模光模块

业务8端口百兆多模光模块

端口8端口10/100Base-T模块;

可

描述GBIC-T

选

GBIC-SX(0.55km)

模

GBIC-LX(10km)

块

GBIC-HX30(30km)

GBIC-HX40(40km)

GBIC-ZX70(70km)

端口类型lOOBase-FX多模光接口(LC接口)

lOOBase-FX单模光接口(LC接口)

10/100BASE-T

1000BASE-GBIC

外形尺寸

(mm)436x390x86

宽X深X高

重量6KG

输入电压AC:额定电压范围:100-240V;50/60HZ;

最大电压范围：90-264V;50/60HZ

DC：额定电压范围：-60--48V;

最大电压范围：-72--36V

冗余电源支持

功耗（满负

54W

荷时）

工作环境温

0~45℃

度

工作环境相

对湿度（非10%-90%

凝露）

S3552系列以太网交换机业务特性

特性S3552F

所有端口支持线速转发

端口容量为17.6Gbit/s

线速二/三层交换

背板交换容量为32Gbit/s

包转发率13.2Mpps

交换模式存储转发模式（StoreandForward）

特性S3552F

最多支持4K个符合IEEE802.1Q标准的VLAN(VirtualLocalArea

Network)

VLAN

支持基于端口的VLAN

支持GVRP(GARPVLANRegistrationProtocol)

EthernetJI

支持局域网协议

Ethernet_SNAP(SubnetworkAccessProtocol)

静态路由

RIP(RoutingInformationProtocol)vl/2

IP路由OSPF(OpenShortestPathFirst)

BGP(BorderGatewayProtocol)

等价路由

策略路由支持

DHCP特性DHCPDelay,DHCPServer

ARPProxy支持

SuperVian支持

可靠性支持VRRP(VirtualRedundancyRoutingProtocol)

GMRP(GARPMulticastRegistrationProtocol)

IGMPSnooping

组播IGMP(InternetGroupManagementProtocol)

PIM-DM(ProtocolIndependentMulticast-DenseMode)

PIM-SM(ProtocolIndependentMulticast-SparseMode)

特性S3552F

STP(Spanning支持STP/RSTP/MSTP协议，符合IEEE802.1D,IEEE802.1w,IEEE

Tree802.1s标准

Protocol)/RSTP

(Rapid

SpanningTree

Protocol)

/MSTP