網(wǎng)絡(luò)工程整體網(wǎng)絡(luò)解決方案

濟寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)解決方案____________________________________________________________________________________________NUMPAGES33-PAGE33濟寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)整體解決方案2012年3月12日目錄TOC\o"1-5"\h\z\u1 概述 32 產(chǎn)學(xué)研基地網(wǎng)絡(luò)建設(shè)設(shè)計原則 33 華為產(chǎn)品解決方案 53.1 整體架構(gòu)設(shè)計 53.1.1 總體網(wǎng)絡(luò)架構(gòu) 53.1.2 有線網(wǎng)絡(luò)解決方案 5 核心層網(wǎng)絡(luò)設(shè)計 6 接入層網(wǎng)絡(luò)設(shè)計 63.2 高可靠性設(shè)計 73.2.1 網(wǎng)絡(luò)高可靠性設(shè)計 73.2.2 設(shè)備高可靠性設(shè)計 7 重要部件冗余 7 設(shè)備自身安全 73.3 安全方案設(shè)計 93.3.1 園區(qū)網(wǎng)安全方案總體設(shè)計 93.3.2 園區(qū)內(nèi)網(wǎng)安全設(shè)計 9 防IP/MAC地址盜用和ARP中間人攻擊 9 防IP/MAC地址掃描攻擊 11 廣播/組播報文抑制 123.3.3 園區(qū)網(wǎng)邊界防御 123.3.4 園區(qū)網(wǎng)出口安全 134 設(shè)備介紹 144.1 Quidway?S9300系列交換機 144.2 Quidway?S7700系列交換機 214.3 Quidway?S5700系列交換機 26概述濟寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)承載產(chǎn)學(xué)研基地所有IT基礎(chǔ)設(shè)施和產(chǎn)學(xué)研基地所有上層軟件應(yīng)用，其重要性不言而喻。而且隨著產(chǎn)學(xué)研基地對于提高生產(chǎn)率、工作效率提升的重視，傳統(tǒng)的辦公方式也已存在諸多不便。無論是在辦公桌前、會議室中，還是在公司的咖啡廳、待客室，今天的用戶都需要方便地獲取各種網(wǎng)絡(luò)服務(wù)。濟寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)還面臨著新技術(shù)不斷涌現(xiàn)、產(chǎn)學(xué)研基地應(yīng)用不斷增加的現(xiàn)實問題，構(gòu)建一個保障產(chǎn)學(xué)研基地未來5~10年擴展，同時兼顧設(shè)備的投資保護的濟寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)尤為重要。華為濟寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)解決方案結(jié)合了高性能的路由、交換基礎(chǔ)設(shè)施和提升安全、可靠等特性，可協(xié)助產(chǎn)學(xué)研基地構(gòu)建一個安全、可靠、易接入、易擴展、易管理的濟寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)。產(chǎn)學(xué)研基地網(wǎng)絡(luò)建設(shè)設(shè)計原則在網(wǎng)絡(luò)建設(shè)項目中，我們應(yīng)該遵循以下設(shè)計原則：合理性、整體性原則系統(tǒng)建設(shè)的功能必須充分滿足網(wǎng)絡(luò)安全性檢測與分析、網(wǎng)絡(luò)安全性監(jiān)測和電子數(shù)據(jù)鑒定的需求是系統(tǒng)建設(shè)的首要原則。深入調(diào)研，全力做好網(wǎng)絡(luò)與信息系統(tǒng)安全檢測、監(jiān)測和認證的需求分析，這是系統(tǒng)成敗的關(guān)鍵；充分考慮已有資源（軟硬件設(shè)備及人員）合理利用，避免出現(xiàn)不必要的浪費；系統(tǒng)建設(shè)盡可能模擬國內(nèi)外最常用的幾種網(wǎng)絡(luò)應(yīng)用模式。系統(tǒng)建設(shè)要有一定的前瞻性。在網(wǎng)絡(luò)建成后的3-5年之內(nèi)，不會由于業(yè)務(wù)量的增加導(dǎo)致對網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的重大調(diào)整。同時要考慮實際的應(yīng)用水平，避免技術(shù)環(huán)境過于超前造成投資浪費。標準化原則為了保證用戶的網(wǎng)絡(luò)系統(tǒng)具有互操作性、可用性、可靠性、可擴充性、可管理性，應(yīng)建立一個開放的、遵循國際標準的網(wǎng)絡(luò)系統(tǒng)。建設(shè)的方案要科學(xué)、正確、嚴謹、且現(xiàn)實可行；采用的先進技術(shù)應(yīng)是成熟的、經(jīng)過實踐證明是成功的技術(shù)；選用的軟硬件平臺應(yīng)采用目前因特網(wǎng)和局域網(wǎng)上最常使用的軟硬件廠商的產(chǎn)品先進性原則系統(tǒng)建設(shè)應(yīng)充分考慮網(wǎng)絡(luò)通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，建設(shè)是循序漸進的，初期重點應(yīng)在網(wǎng)絡(luò)基礎(chǔ)環(huán)境和基本系統(tǒng)上：系統(tǒng)可根據(jù)實際工作中的業(yè)務(wù)需求靈活地結(jié)構(gòu)所需的網(wǎng)絡(luò)與系統(tǒng)環(huán)境；系統(tǒng)實現(xiàn)采用先進的網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全檢測技術(shù)。安全可靠性原則本系統(tǒng)具有特殊性，因此安全保密性非常復(fù)雜。系統(tǒng)要有極強的自我保護能力。選用具有C2安全級或B1安全級的系統(tǒng)軟件平臺；配置功能齊全、可視化程度高的網(wǎng)管系統(tǒng)，對網(wǎng)絡(luò)運行情況進行實時監(jiān)督和控制；采取訪問權(quán)限控制、設(shè)置密鑰、數(shù)據(jù)更新認證等多種手段保證數(shù)據(jù)安全?？晒芾硇栽瓌t隨著網(wǎng)絡(luò)規(guī)模的擴大和系統(tǒng)復(fù)雜程度的增加，網(wǎng)絡(luò)的管理、監(jiān)控和維護，以及網(wǎng)絡(luò)故障的診斷和排除變得越來越復(fù)雜。為了使網(wǎng)絡(luò)系統(tǒng)易于管理和維護，本方案將提供先進而完善的網(wǎng)絡(luò)管理系統(tǒng)。這樣，即方便網(wǎng)絡(luò)管理員的工作，減輕了勞動強度，也提高了網(wǎng)絡(luò)系統(tǒng)的管理程度。靈活、可伸縮性原則為適應(yīng)因特網(wǎng)和互聯(lián)網(wǎng)絡(luò)技術(shù)的發(fā)展，系統(tǒng)必須具有開放性和可擴充性。除單個設(shè)備本身的擴展能力之外，在網(wǎng)絡(luò)系統(tǒng)的設(shè)計過程中，還需要考慮整個網(wǎng)絡(luò)系統(tǒng)在未來幾年的擴充能力和擴充辦法。這樣才能即照顧目前的應(yīng)用需求，又能滿足今后整個計算機系統(tǒng)的發(fā)展需要。應(yīng)用軟件設(shè)計要采用結(jié)構(gòu)化和模塊設(shè)計方法，使系統(tǒng)邏輯結(jié)構(gòu)清晰、易讀，在功能的劃分和設(shè)計時，使各模塊盡可能相對獨立、減少相關(guān)性以易于擴充、維護和修改。網(wǎng)絡(luò)系統(tǒng)要具有異種設(shè)備的異種網(wǎng)絡(luò)的互聯(lián)互通能力，以達到保護已有資源并能與其他信息系統(tǒng)交流信息的目的。綠色節(jié)能原則隨著數(shù)據(jù)中心的不斷壯大，數(shù)據(jù)中心的電費不斷增長，目前，通信/IT設(shè)備節(jié)能是降低能耗的基礎(chǔ)，采用底能耗的設(shè)備是節(jié)能減排最主要的途徑。華為產(chǎn)品解決方案整體架構(gòu)設(shè)計總體網(wǎng)絡(luò)架構(gòu)整體網(wǎng)絡(luò)解決方案總體設(shè)計以高性能、高可靠性、高安全性、有線無線一體化和統(tǒng)一的網(wǎng)管系統(tǒng)為原則，以及考慮到技術(shù)的先進性、成熟性，并采用模塊化的設(shè)計方法，組網(wǎng)圖如下所示：網(wǎng)絡(luò)架構(gòu)整個網(wǎng)絡(luò)的設(shè)計方案采用層次化、模塊化的設(shè)計思路，按照接入層、核心層和出口層進行網(wǎng)絡(luò)設(shè)備設(shè)計部署，在核心層交換機，提供模塊化的增值業(yè)務(wù)功能，滿足產(chǎn)學(xué)研基地日益增長的業(yè)務(wù)需求。有線網(wǎng)絡(luò)解決方案整個網(wǎng)絡(luò)層次建議采用業(yè)界成熟的二層架構(gòu)：接入和核心，最后濟寧高新區(qū)產(chǎn)學(xué)研基地通過出口層網(wǎng)絡(luò)設(shè)備（路由器或交換機）連接到外網(wǎng)通過。這種分層的網(wǎng)絡(luò)架構(gòu)，可以保證根據(jù)的業(yè)務(wù)需求，分別對不同層次進行擴容。核心層網(wǎng)絡(luò)設(shè)計核心層交換機部署在園區(qū)核心機房中，匯聚各樓宇/區(qū)域之間的用戶流量，提供三層交換機功能，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴展性等。對于園區(qū)網(wǎng)核心層，應(yīng)該在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進一步融合了硬件IPv6，可為園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺，進而幫助用戶實現(xiàn)IT資源整合的需求。所以建議核心層采用雙機冗余備份的方式構(gòu)造，消除單點故障，設(shè)備的關(guān)鍵部分采用冗余模式。從而實現(xiàn)整個骨干網(wǎng)絡(luò)的高可靠性。骨干層建議采用10G鏈路互聯(lián)，達到高帶寬、高轉(zhuǎn)發(fā)性能的效果。本次建議采用華為的S7700高性能交換機構(gòu)造核心層，實現(xiàn)高性能的骨干網(wǎng)絡(luò)。華為S7700支持大容量、高轉(zhuǎn)發(fā)性能，完全能夠滿足各網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)。接入層網(wǎng)絡(luò)設(shè)計接入層交換機一般部署在樓道的網(wǎng)絡(luò)機柜中，接入園區(qū)網(wǎng)用戶（PC機或服務(wù)器），提供二層交換機功能，也支持三層接入功能（接入交換機為三層交換機）。提供網(wǎng)絡(luò)的第一級接入功能，一般完成簡單的二層交換，安全、Qos都位于這一層。對于園區(qū)網(wǎng)的接入層設(shè)備，建議采用千兆二層接入的方式，應(yīng)該具有線速二層交換、IRF智能彈性堆疊技術(shù)以及高級QoS策略等功能。核心交換機的主要功能是連接服務(wù)器，因此必須考慮產(chǎn)學(xué)研基地未來的業(yè)務(wù)增長，核心交換機必須具有很好的擴展性，隨著以后網(wǎng)絡(luò)的擴展，必須具有多個插槽，以便以后網(wǎng)絡(luò)擴展的時候能夠增加網(wǎng)絡(luò)模塊。由于核心交換機在整個網(wǎng)絡(luò)中具有十分重要的地位，因此核心交換機必須具有電信級的可靠性和穩(wěn)定性，核心網(wǎng)絡(luò)對數(shù)據(jù)的快速轉(zhuǎn)發(fā)速度要求很高，因此核心交換機需要具備高容量的交換帶寬和包轉(zhuǎn)發(fā)速率。我們建議采用華為的S7700系列高性能交換機，采用雙電源?？蓪崿F(xiàn)萬兆或者千兆接入，實現(xiàn)數(shù)據(jù)中心高轉(zhuǎn)發(fā)性能的效果。并且可以通進擴展防火墻模塊等方面，實現(xiàn)數(shù)據(jù)中心的安全。高可靠性設(shè)計網(wǎng)絡(luò)高可靠性設(shè)計針對二層接入（接入交換機是二層交換機）典型園區(qū)網(wǎng)架構(gòu)，從接入層、核心層來分層考慮網(wǎng)絡(luò)可靠性設(shè)計。接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機與核心交換機之間通過SmartLink/STP/RSTP/MSTP/RRPP保證網(wǎng)絡(luò)可靠性，同時解決二層網(wǎng)絡(luò)環(huán)路問題。設(shè)備高可靠性設(shè)計重要部件冗余設(shè)備本身要具有電信級5個9的可靠性，需要網(wǎng)絡(luò)設(shè)備支持:主控1:1備份交換網(wǎng)1+1/1:1兩種方式DC電源1+1備份；AC電源1+1/2+2備份模塊化的風(fēng)扇設(shè)計，高端配置支持單風(fēng)扇失效無源背板，高可靠性獨立的設(shè)備監(jiān)控單元，和主控解耦 所有模塊熱插拔完善的各種告警功能設(shè)備自身安全如下圖所示,隨著黑客工具的泛濫和使用的方便,使的網(wǎng)絡(luò)攻擊的成本越來越來,但危害越來越大。這就要求具有強大靈活的自身防護功能,以不變應(yīng)萬變的方法,才能抵擋日益泛濫的網(wǎng)絡(luò)攻擊。華為公司全系列園區(qū)網(wǎng)交換機（S9300/S7700/S5700/S3700/S2700）提供攻擊防范功能，能夠檢測出多種類型的網(wǎng)絡(luò)攻擊，并能采取相應(yīng)的措施保護設(shè)備自身及其所連接的內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)及設(shè)備的正常運行。華為全系列交換機支持的攻擊防范功能包括防DDOS攻擊、IP欺騙攻擊、Land攻擊、PingofDeath攻擊、Teardrop攻擊、ICMPFlood攻擊、SYNFLOOD攻擊等。另外，以太網(wǎng)交換機的MAC地址表作為二層報文轉(zhuǎn)發(fā)的核心，在受到攻擊的時候，直接導(dǎo)致交換機無法正常工作。發(fā)生MAC地址攻擊的時候，攻擊者通過不停的發(fā)送MAC地址來刷新，填充交換機的MAC地址表，由于MAC地址表的規(guī)格有限，導(dǎo)致正常流量由于沒有正確的轉(zhuǎn)發(fā)表項而無法正常轉(zhuǎn)發(fā)。ARP攻擊與此類似，通過攻擊報文來更改MAC與IP地址的綁定，從而重新定向流量。華為全系列交換機可以通過MAC地址與端口的綁定以及限制端口/VLAN/VSI下MAC地址的最大學(xué)習(xí)個數(shù)可防止MAC掃描，并通過VLAN、IP、MAC之間的任意綁定可防范ARP攻擊（SAI/DAI功能）。華為全系列交換機支持黑洞MAC功能，園區(qū)交換機收到報文時比較報文目的MAC地址，若與黑洞MAC表項相同則丟棄該報文。當用戶察覺到某MAC地址的報文具有一定攻擊性，則可以在園區(qū)交換機上配置黑洞MAC，從而將具有該MAC地址的報文過濾掉，避免遭受攻擊。安全方案設(shè)計園區(qū)網(wǎng)安全方案總體設(shè)計從園區(qū)內(nèi)網(wǎng)安全、邊界防御、園區(qū)出口傳輸安全等多緯度、多層次進行安全設(shè)計和安全防御，對產(chǎn)學(xué)研基地內(nèi)部進行安全區(qū)域劃分、隔離和權(quán)限控制，對產(chǎn)學(xué)研基地外部用戶訪問進行安全控制、數(shù)據(jù)加密，防止惡意攻擊。園區(qū)網(wǎng)全方位的安全設(shè)計方案保證內(nèi)部、外部用戶訪問園區(qū)網(wǎng)資源的安全性。園區(qū)內(nèi)網(wǎng)安全設(shè)計防IP/MAC地址盜用和ARP中間人攻擊防IP/MAC地址盜用DHCPSnooping技術(shù)是DHCP安全特性，通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCPSnooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息，DHCPSnooping綁定表可以基于DHCP過程動態(tài)生成，也可以通過靜態(tài)配置生成，此時需預(yù)先準備用戶的IP地址、MAC地址、用戶所屬VLANID、用戶所屬接口等信息。園區(qū)交換機開啟DHCP-Snooping后，會對DHCP報文進行偵聽，并可以從接收到的DHCPRequest或DHCPAck報文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCPOffer報文，而不信任端口會將接收到的DHCPOffer報文丟棄。這樣，可以完成交換機對假冒DHCPServer的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCPServer獲取IP地址。防ARP中間人攻擊DynamicARPInspection(DAI)在交換機上基于DHCPSnooping技術(shù)提供用戶網(wǎng)關(guān)IP地址和MAC地址、VLAN和接入端口的綁定，并動態(tài)建立綁定關(guān)系。對于用戶終端沒有使用DHCP動態(tài)獲取IP地址的場景，可采用靜態(tài)添加用戶網(wǎng)關(guān)相關(guān)信息的靜態(tài)綁定表。此時園區(qū)交換機檢測過濾ARP請求響應(yīng)報文中的源MAC、源IP是否可以匹配上述綁定表，不能匹配則認為是仿冒網(wǎng)關(guān)回應(yīng)的ARP響應(yīng)報文，予以丟棄，從而可以有效實現(xiàn)防御ARP中間人/網(wǎng)關(guān)ARP仿冒欺騙攻擊行為。防IP/MAC地址掃描攻擊防IP掃描攻擊地址掃描攻擊是攻擊者向攻擊目標網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報文。當攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時，觸發(fā)ARPmiss，使網(wǎng)絡(luò)設(shè)備給該網(wǎng)段下的每個地址發(fā)送ARP報文，地址不存在的話，還需要發(fā)送目的主機不可達報文。如果直連網(wǎng)段較大，攻擊流量足夠大時，會消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可引起網(wǎng)絡(luò)中斷。園區(qū)交換機支持IP地址掃描攻擊的防護能力，收到目的IP是直連網(wǎng)段的報文時，如果該目的地址的路由不存在，會發(fā)送一個ARP請求報文，并針對目的地址下一條丟棄表項（棄后續(xù)所有目的地址為該直連網(wǎng)段的ARP報文），以防止后續(xù)報文持續(xù)沖擊CPU。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項，并添加正常的路由表項；否則，經(jīng)過一段時間后丟棄表項自動老化。這樣，既防止直連網(wǎng)段掃描攻擊對交換機造成影響，又保證正常業(yè)務(wù)流程的暢通。在上述基礎(chǔ)上，交換機還支持基于接口設(shè)置ARPmiss的速率。當接口上觸發(fā)的ARPmiss超過設(shè)置的閾值時，接口上的ARPmiss不再處理，直接丟棄。如果用戶使用相同的源IP進行地址掃描攻擊，交換機還可以基于源IP做ARPmiss統(tǒng)計。如果ARPmiss的速率超過設(shè)定的閾值，則下發(fā)ACL將帶有此源IP的報文進行丟棄，過一段時間后再允許通過。防MAC地址掃描攻擊以太網(wǎng)交換機的MAC地址轉(zhuǎn)發(fā)表作為二層報文轉(zhuǎn)發(fā)的核心，在受到攻擊的時候，直接導(dǎo)致交換機無法正常工作。發(fā)生MAC地址攻擊的時候，攻擊者向攻擊目標網(wǎng)絡(luò)發(fā)送大量的源MAC地址不斷變化以太報文，園區(qū)交換機收到以太報文會基于報文的源MAC學(xué)習(xí)填充二層MAC轉(zhuǎn)發(fā)表項，由于MAC地址轉(zhuǎn)發(fā)表的規(guī)格有限，會因為MAC掃描攻擊而很快填充滿，無法再學(xué)習(xí)生成新的MAC轉(zhuǎn)發(fā)表，已學(xué)習(xí)的MAC表條目需通過老化方式刪除，這樣途徑園區(qū)交換機大量的單播報文會因為按照目的MAC找不到轉(zhuǎn)發(fā)表項而不得不進行廣播發(fā)送，導(dǎo)致園區(qū)網(wǎng)絡(luò)中產(chǎn)生大量的二層廣播報文，消耗網(wǎng)絡(luò)帶寬、引發(fā)網(wǎng)絡(luò)業(yè)務(wù)中斷異常。交換機二層MAC轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表，華為園區(qū)交換機支持基于端口/VLAN的MAC學(xué)習(xí)數(shù)目限制，同時支持MAC表學(xué)習(xí)速率限制，有效防御MAC地址掃描攻擊行為。MAC學(xué)習(xí)數(shù)目達到端口/VLAN上設(shè)置的閾值時，會進行丟棄/轉(zhuǎn)發(fā)/告警等動作（動作策略可定制、可疊加）。另外通過園區(qū)交換機的MAC地址與端口綁定來限制跨端口的MAC掃描攻擊。廣播/組播報文抑制攻擊者不停地向園區(qū)網(wǎng)發(fā)送大量惡意的廣播報文，惡意廣播報文占據(jù)了大量的帶寬，傳統(tǒng)的廣播風(fēng)暴抑制無法識別用戶VLAN，將導(dǎo)致正常的廣播流量一并被交換機丟棄。園區(qū)網(wǎng)交換機需要識別惡意廣播流量的VLANID，通過基于VLAN的廣播風(fēng)暴抑制丟棄惡意廣播報文而不影響正常廣播報文流量轉(zhuǎn)發(fā)?？苫诙丝诨騐LAN限制廣播報文流量百分比或速率閾值。同時園區(qū)網(wǎng)交換機支持組播報文抑制，可基于端口限制組播報文流量百分比或速率閾值。園區(qū)網(wǎng)邊界防御濟寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)邊界防御分為兩個部分：園區(qū)出口邊界防御、園區(qū)內(nèi)部邊界防御。園區(qū)出口連接Internet和產(chǎn)學(xué)研基地WAN網(wǎng)的接入，產(chǎn)學(xué)研基地外部網(wǎng)路尤其Internet網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險點，通過在產(chǎn)學(xué)研基地出口部署高性能防火墻設(shè)備、或者在核心交換機內(nèi)置防火墻模塊，可以很好的緩解風(fēng)險的傳播，阻擋來自Internet/產(chǎn)學(xué)研基地外部網(wǎng)絡(luò)攻擊行為的發(fā)生。濟寧高新區(qū)產(chǎn)學(xué)研基地出口位置部署的獨立防火墻設(shè)備（或核心交換機內(nèi)置的防火墻模塊），需要滿足高性能、高可靠、高安全的要求，是濟寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)的第一道安全屏障。園區(qū)內(nèi)部邊界防御是將產(chǎn)學(xué)研基地內(nèi)部劃分為多個區(qū)域，分為信任區(qū)域和非信任區(qū)域，分別實施不同的安全策略，包括部署區(qū)域間隔離、受限訪問、防止來自區(qū)域內(nèi)部的DOS攻擊等安卻措施。建議通過匯聚交換機上集成防火墻模塊（單板）來實現(xiàn)園區(qū)內(nèi)部的邊界防御功能。園區(qū)網(wǎng)中防火墻功能無論是獨立設(shè)備部署還是集成在核心/匯聚交換機內(nèi)部，都必須支持靈活的業(yè)務(wù)流控制策略配置，能把特定的流量引到防火墻進行處理，其他流量進行旁路。防火墻本身需要保證高可靠性，可以考慮防火墻的冗余設(shè)計，支持Active/ActiveHA設(shè)計方式，即交換機內(nèi)集成的多塊防火墻板卡支持負載分擔(dān)和主備模式，不同交換機內(nèi)的防火墻支持Active/Active模式，同時能夠處理流量。園區(qū)網(wǎng)出口安全隨著現(xiàn)代社會網(wǎng)絡(luò)經(jīng)濟的發(fā)展，產(chǎn)學(xué)研基地日益發(fā)展擴大，辦事處、分支機構(gòu)以及商業(yè)合作伙伴逐步增多，如何將這些小型的辦公網(wǎng)絡(luò)和產(chǎn)學(xué)研基地總部網(wǎng)絡(luò)進行經(jīng)濟靈活而有效的互聯(lián)，并且與整個產(chǎn)學(xué)研基地網(wǎng)絡(luò)安全方案有機融合，提高產(chǎn)學(xué)研基地信息化程度，優(yōu)化商業(yè)運作效率，成為產(chǎn)學(xué)研基地IT網(wǎng)絡(luò)設(shè)計亟待解決的問題；大量普及的SOHO網(wǎng)絡(luò)、小型辦公網(wǎng)絡(luò)、智能家居網(wǎng)絡(luò)也越來越注重接入的便捷性和網(wǎng)絡(luò)安全性。濟寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)出口設(shè)備是產(chǎn)學(xué)研基地內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點，其安全保證能力非常重要，產(chǎn)學(xué)研基地在信息化的過程中面臨核心技術(shù)、商業(yè)機密泄密等信息安全問題，VPN技術(shù)是產(chǎn)學(xué)研基地傳輸數(shù)據(jù)非常理想的選擇，因為VPN技術(shù)正式是為了解決在不安全的Internet上安全傳輸機密信息，保證信息的完整性、可用性以及保密性，包括IPSecVPN和SSLVPN。產(chǎn)學(xué)研基地辦事處、分支機構(gòu)以及商業(yè)合作伙伴如果采用主機VPN客戶端接入產(chǎn)學(xué)研基地總部網(wǎng)絡(luò)，那么分之機構(gòu)網(wǎng)絡(luò)中的每個主機需要單獨撥號接入，VPN接入不可控造成內(nèi)部網(wǎng)絡(luò)安全隱患，同時也大量消耗產(chǎn)學(xué)研基地總部VPN網(wǎng)關(guān)隧道資源；如果采用單獨的VPN網(wǎng)關(guān)與產(chǎn)學(xué)研基地總部網(wǎng)關(guān)建立VPN隧道，又面臨投資過大的問題。需要有效解決產(chǎn)學(xué)研基地分支機構(gòu)VPN接入靈活性、安全性和經(jīng)濟性之間的矛盾。設(shè)備介紹Quidway?S9300系列交換機Quidway?S9300系列是華為公司面向以業(yè)務(wù)為核心的網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能T比特核心路由交換機。該產(chǎn)品基于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)基礎(chǔ)上，進一步提供業(yè)務(wù)流分析、完善的QOS策略、可控組播、一體化安全等智能業(yè)務(wù)優(yōu)化手段，同時具備超強擴展性和可靠性。Quidway?S9300系列廣泛適用于廣域網(wǎng)、城域網(wǎng)，園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心核心、匯聚節(jié)點，幫助產(chǎn)學(xué)研基地構(gòu)建面向應(yīng)用的網(wǎng)絡(luò)平臺，提供交換路由一體化的端到端融合網(wǎng)絡(luò)。

Quidway?S9300系列提供S9303、S9306、S9312三種產(chǎn)品形態(tài)，支持不斷擴展的交換能力和端口密度。整個系列秉承模塊通用化、部件歸一化的設(shè)計理念，最小化備件成本，在保證設(shè)備擴展性的同時最大限度地保護用戶投資。此外，S9300作為新一代智能交換機采用了多種綠色節(jié)能創(chuàng)新技術(shù)，在不斷提升性能及穩(wěn)定性的同時，大幅降低設(shè)備能源消耗，減小噪聲污染，為網(wǎng)絡(luò)綠色可持續(xù)發(fā)展提供領(lǐng)先的解決方案。

產(chǎn)品特點

先進交換架構(gòu)提升網(wǎng)絡(luò)擴展性S9300采用先進的分布式交換技術(shù)，提供業(yè)界最大整機交換容量和槽位帶寬。創(chuàng)新的交換速率自適應(yīng)技術(shù)，支持單端口速率40G、100G平滑升級，同時完美兼容現(xiàn)網(wǎng)板卡，保護初始投資。背板通流能力充分考慮未來帶寬升級對整機電源功率和散熱需求，數(shù)據(jù)總線預(yù)留升級高速交換網(wǎng)能力。超高萬兆端口密度，單臺設(shè)備支持576個萬兆端口，助力濟寧高新區(qū)產(chǎn)學(xué)研基地和數(shù)據(jù)中心迎來全萬兆核心時代。創(chuàng)新的三平面架構(gòu)設(shè)計S9300在傳統(tǒng)交換機數(shù)據(jù)轉(zhuǎn)發(fā)、管理控制雙平面基礎(chǔ)上創(chuàng)新地增加了獨立的環(huán)境監(jiān)控平面，實現(xiàn)對單板、風(fēng)扇和電源配電模塊的監(jiān)控、管理和維護。業(yè)界首創(chuàng)的環(huán)境監(jiān)控板，采用華為自主知識產(chǎn)權(quán)的高集成度中控芯片，實現(xiàn)硬件級的按流量動態(tài)調(diào)整功率、風(fēng)扇分區(qū)控制、風(fēng)扇智能調(diào)速、端口休眠技術(shù)等多項節(jié)能技術(shù)，在提升系統(tǒng)性能的同時大大降低整機功耗。支持獨立環(huán)境監(jiān)控與網(wǎng)管聯(lián)動，實現(xiàn)全面可視化管理。

運營級高可靠性設(shè)計，保障產(chǎn)學(xué)研基地應(yīng)用永續(xù)運行9300具備超越5個9的運營級高可靠性，主控、電源、風(fēng)扇等關(guān)鍵部件采用冗余設(shè)計，所有模塊均支持熱插拔?；诜植际降挠布D(zhuǎn)發(fā)架構(gòu)，路由平面和數(shù)據(jù)交換平面嚴格分離，保證業(yè)務(wù)流永續(xù)暢通。獨立的故障檢測定位硬件，提供3.3ms高精度硬件級以太OAM功能，實現(xiàn)快速故障檢測與定位，與其他倒換技術(shù)聯(lián)動可有效保證毫秒級網(wǎng)絡(luò)保護。能夠在冗余控制引擎間實現(xiàn)無縫切換，設(shè)備優(yōu)雅重啟無中斷轉(zhuǎn)發(fā)。支持ISSU業(yè)務(wù)無縫升級，減少關(guān)鍵業(yè)務(wù)和服務(wù)中斷。支持Enhanced-Trunk（E-Trunk）功能，實現(xiàn)跨設(shè)備鏈路聚合，二層組網(wǎng)環(huán)境中跨設(shè)備鏈路聚合無須運行破環(huán)協(xié)議，提高設(shè)備鏈路利用效率的同時避免單點故障。支持IEEE802.3ad鏈路匯聚、IEEE802.1s/w和虛擬路由器冗余協(xié)議（VRRP），同時支持豐富的毫秒級倒換技術(shù)如RRPP、SmartLink、IPFRR、TEFRR、VPNFRR等，實現(xiàn)運營級級高可靠性。多維集群CSS（集群交換系統(tǒng)）通過CSS集群虛擬化技術(shù)，將集群主機虛擬成一臺邏輯設(shè)備，實現(xiàn)整個集群系統(tǒng)控制信息共享和路由、組播表項同步。CSS集群技術(shù)可以有效提高單臺設(shè)備的帶寬，滿足高密萬兆園區(qū)核心與大容量數(shù)據(jù)中心對核心交換設(shè)備的帶寬吞吐要求。CSS集群技術(shù)可以提高系統(tǒng)的可靠性。S9300CSS集群創(chuàng)新性采用交換網(wǎng)集群技術(shù)，克服了業(yè)界普遍采用的線卡集群跨框多次交換，交換效率低下的架構(gòu)難題。采用交換網(wǎng)集群技術(shù)可以將集群主機交換網(wǎng)拉通，集群不占用線卡槽位，并提供業(yè)界最大的256G集群帶寬，同時可以通過跨框鏈路聚合提高鏈路的利用率，并消除單點故障。CSS集群可以簡化核心層的網(wǎng)絡(luò)管理，整個集群系統(tǒng)共用同一個虛擬IP，減少設(shè)備網(wǎng)元，簡化網(wǎng)絡(luò)拓撲管理，提高運營效率，降低維護成本。

運行中軟件升級ISSU保障網(wǎng)絡(luò)無中斷運行ISSU可以在設(shè)備軟件升級過程中，減少系統(tǒng)業(yè)務(wù)中斷時間，顯著地提高設(shè)備的可靠性。真正使產(chǎn)學(xué)研基地網(wǎng)絡(luò)具備“全天候”提供業(yè)務(wù)能力，實現(xiàn)設(shè)備軟件升級流量“零”割接，應(yīng)用不中斷。S9300提供無損升級、有損升級和快速重啟三種ISSU升級方式，系統(tǒng)可自動比較新舊版本各個模塊間差異，給出升級方式建議，供用戶選擇。支持ISSU升級失敗時自動回退（Auto-Rollback）版本，線卡采用新舊版本進程備份技術(shù)減少ISSU中斷應(yīng)用的影響。完善的QOS機制S9300提供高品質(zhì)的QOS（QualityofService）能力，支持Layer2~Layer7的流分類技術(shù)，具備完善的隊列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實現(xiàn)多級的精確調(diào)度，從而滿足不同用戶、不同業(yè)務(wù)等級的服務(wù)質(zhì)量要求。S9300提供層次化QOS（H-QOS）調(diào)度機制，通過在不同業(yè)務(wù)等級上分別設(shè)置單獨調(diào)度器，進一步精細化流量QOS特征，保障相應(yīng)業(yè)務(wù)的服務(wù)質(zhì)量。支持面向接入側(cè)的多級H-QOS調(diào)度機制，多樣化，差異化滿足大型濟寧高新區(qū)產(chǎn)學(xué)研基地不同層次用戶設(shè)備的業(yè)務(wù)需求。全業(yè)務(wù)以太交換平臺支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、HVPLS、VLL，滿足產(chǎn)學(xué)研基地VPN等用戶的接入需求。支持多種速率WAN子卡，滿足廣域接入的需求。具備線速的跨VLAN組播復(fù)制能力，實現(xiàn)端口滿負荷復(fù)制，滿足多終端視頻監(jiān)控和視頻會議接入需求；完善的二、三層組播協(xié)議，可作為組播復(fù)制點和控制點，提供高性能的IP組播視頻和音頻應(yīng)用。軟件平臺提供多種路由協(xié)議滿足產(chǎn)學(xué)研基地建網(wǎng)要求，支持從中小產(chǎn)學(xué)研基地到超大型跨國公司級大規(guī)模路由，支持IPv6，能夠為產(chǎn)學(xué)研基地網(wǎng)絡(luò)提供平滑升級能力。支持標準POE，滿足15.4W和30W標準POE供電規(guī)格，滿足產(chǎn)學(xué)研基地在線供電業(yè)務(wù)需求。虛擬化數(shù)據(jù)中心交換平臺S9300CSS集群虛擬化技術(shù)，滿足數(shù)據(jù)中心對核心、匯聚設(shè)備大容量、高可靠、海量吞吐的要求。首創(chuàng)交換網(wǎng)集群，分布式跨設(shè)備鏈路聚合技術(shù)，有效利用數(shù)據(jù)中心內(nèi)部帶寬資源，實現(xiàn)數(shù)據(jù)中心內(nèi)部數(shù)據(jù)交換對物理鏈路無感知。針對大型分布式計算數(shù)據(jù)中心業(yè)務(wù)模型，專門設(shè)計大緩存線卡，支持單端口200ms數(shù)據(jù)流量緩存，解決分布式計算網(wǎng)絡(luò)瞬間流量過大丟包問題。每板最大64K硬件隊列，支持精細化QOS和流量管理，利用多種隊列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實現(xiàn)多級的精確調(diào)度，從而滿足不同用戶、不同業(yè)務(wù)等級的服務(wù)質(zhì)量要求，準確地按需配置給不同用戶、不同業(yè)務(wù)流分配不同的優(yōu)先級和隊列，保證不同的帶寬、業(yè)務(wù)延遲和抖動性能需求。高性能IPv6業(yè)務(wù)能力S9300軟硬件平臺均支持IPv6，取得工信部IPv6入網(wǎng)認證和IPv6Ready第二階段金色認證。支持IPv4/IPv6雙協(xié)議棧，支持多種隧道技術(shù)，支持IPv6靜態(tài)路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6組播，滿足IPv6獨立組網(wǎng)和IPv4/IPv6混合組網(wǎng)要求。智能流量負載均衡S9300負載均衡器能夠保證服務(wù)可靠性，提高服務(wù)響應(yīng)速度，方便業(yè)務(wù)靈活擴展。S9300負載均衡器支持加權(quán)輪詢、基于連接數(shù)、加權(quán)IP地址Hash和基于HTTPURL的Hash等多種均衡調(diào)度算法，全面滿足客戶負載均衡要求。門戶網(wǎng)站服務(wù)器經(jīng)常會遇到在同一時間大量針對同樣網(wǎng)頁、服務(wù)的請求，服務(wù)器針對請求會頻繁建立、拆除TCP連接，耗費大量CPU資源，影響服務(wù)器響應(yīng)速度。S9300負載均衡器支持TCP和HTTP重用，減輕服務(wù)器拆除/建立TCP連接的負載，提高服務(wù)器訪問效率。S9300負載均衡器支持動態(tài)“鎖流”技術(shù)，滿足電子商務(wù)網(wǎng)站在線購物負載均衡需求。強大的網(wǎng)絡(luò)流量分析能力S9300支持隨板分布式和專用處理線卡集中式網(wǎng)絡(luò)Netstream業(yè)務(wù)分析功能，滿足用戶對網(wǎng)絡(luò)流量實時采集、分析需要。支持NetstreamV5/V8/V9多種報文格式，支持聚合流量模板，減輕網(wǎng)絡(luò)采集器系統(tǒng)壓力，支持實時流量采集、動態(tài)報表生成、屬性分析、流量異常告警等功能。幫助客戶對網(wǎng)絡(luò)流量進行實時監(jiān)控、現(xiàn)網(wǎng)設(shè)備吞吐分析，為優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、科學(xué)合理擴容提供決策依據(jù)。周密的安全設(shè)計內(nèi)嵌集中式防火墻板卡，支持虛擬防火墻與NAT多實例，滿足多VPN客戶共用防火墻組網(wǎng)環(huán)境。動態(tài)黑名單主動防御技術(shù)實現(xiàn)蠕蟲病毒防范、抵御拓撲探測、IP掃描和端口掃描攻擊防護，為產(chǎn)學(xué)研基地打造安全內(nèi)網(wǎng)環(huán)境。應(yīng)用層包過濾技術(shù)（ApplicationSpecificPacketFilter）對應(yīng)用層報文內(nèi)容進行復(fù)雜規(guī)則檢測，支持SIP、QQ、MSN、H.323、SMTP、RTSP、FTP、HTTP多種應(yīng)用層協(xié)議。防火墻熱備份，增強網(wǎng)絡(luò)可靠性與抗攻擊能力。支持完善的AAA（Authentication，AuthorizationandAccounting）機制，根據(jù)策略對接入用戶進行認證、授權(quán)和計費。支持802.1X、Portal、GuestVLAN，支持用戶動態(tài)接入認證，與其他主流廠商的NAC互通。支持路由協(xié)議加密、MAC地址過濾、動態(tài)ARP檢測、ACL等等一系列安全特性，可以為服務(wù)提供商以及網(wǎng)絡(luò)的最終用戶提供數(shù)據(jù)保護。基于硬件的包過濾和采樣，可實現(xiàn)高性能和高擴展性。提供2級CPU保護機制，支持1KCPU硬件保護隊列，可實現(xiàn)數(shù)據(jù)和控制的分離處理，防止拒絕服務(wù)攻擊、非法接入以及控制平面過載等安全威脅，提供業(yè)界領(lǐng)先的一體化安全解決方案。六項創(chuàng)新節(jié)能技術(shù)，省電30%首創(chuàng)的“變流”芯片，實現(xiàn)按流量動態(tài)調(diào)整功率，降低功耗8%。獨特的“旋轉(zhuǎn)”風(fēng)道設(shè)計，提高整機散熱效率，降低功耗3%，同時整機出線能力提高6倍。采用顆?；?、小功率的模塊化設(shè)計思路，提高電源系統(tǒng)的轉(zhuǎn)換效率，電源按需配置，保護用戶投資。獨立風(fēng)扇分區(qū)控制，進一步降低功耗和噪聲污染。采用智能風(fēng)扇調(diào)速策略，監(jiān)測全系統(tǒng)關(guān)鍵器件溫度，采用小區(qū)間控溫技術(shù)，可以有效降低轉(zhuǎn)速，并延長風(fēng)扇使用壽命。支持端口休眠，無流量不耗電。歸一化平臺設(shè)計，最小化備件成本S9300設(shè)計上采用了業(yè)界最先進的散熱架構(gòu)設(shè)計，在滿足設(shè)備大容量的同時解決整機散熱的難題，實現(xiàn)了單機柜業(yè)界最大設(shè)備端口密度。S9300全系列產(chǎn)品整機高度歸一化設(shè)計，電源、風(fēng)扇、環(huán)境監(jiān)控板等全部通用，減少備件種類，節(jié)省用戶投資。采用自主節(jié)能芯片，高效節(jié)能管理平臺，能效比業(yè)界領(lǐng)先。\o"Quidway?S7700系列智能路由交換機"Quidway?S7700系列交換機

Quidway?S7700系列是華為公司面向下一代產(chǎn)學(xué)研基地網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能路由交換機。該產(chǎn)品基于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、安全的高性能L2~L4層交換服務(wù)基礎(chǔ)上，進一步提供MPLSVPN、業(yè)務(wù)流分析、完善的QOS策略、可控組播、資源負載均衡、一體化安全等智能業(yè)務(wù)優(yōu)化手段，同時具備超強擴展性和可靠性。

Quidway?S7700系列廣泛適用于園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心核心/匯聚節(jié)點，可對無線、話音、視頻和數(shù)據(jù)融合網(wǎng)絡(luò)進行先進的控制，幫助產(chǎn)學(xué)研基地構(gòu)建交換路由一體化的端到端融合網(wǎng)絡(luò)。

Quidway?S7700系列提供S7703、S7706、S7712三種產(chǎn)品形態(tài)，支持不斷擴展的交換能力和端口密度。S7700作為新一代智能交換機采用了全新的硬件平臺，左后風(fēng)道散熱整機架構(gòu)，打造業(yè)界最佳能效比交換設(shè)備。關(guān)鍵部件冗余設(shè)計，最小化設(shè)備宕機與業(yè)務(wù)中斷風(fēng)險。創(chuàng)新節(jié)能控制芯片，整機智能節(jié)電，為網(wǎng)絡(luò)綠色可持續(xù)發(fā)展提供領(lǐng)先的解決方案。

產(chǎn)品特點強大的業(yè)務(wù)處理能力，提升網(wǎng)絡(luò)架構(gòu)擴展性多業(yè)務(wù)路由交換平臺，滿足產(chǎn)學(xué)研基地接入、匯聚、核心業(yè)務(wù)承載需求，全面支持無線、語音、視頻和數(shù)據(jù)應(yīng)用，為產(chǎn)學(xué)研基地提供高可用、低時延、全業(yè)務(wù)的一體化網(wǎng)絡(luò)解決方案。支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、分層VPLS、VLL，滿足產(chǎn)學(xué)研基地VPN等接入需求。具備線速的跨VLAN組播復(fù)制能力，實現(xiàn)端口滿負荷復(fù)制，滿足多終端視頻監(jiān)控和視頻會議接入需求；完善的二、三層組播協(xié)議，支持PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping，提供高性能的IP組播視頻和音頻應(yīng)用。華為VRP軟件平臺提供靜態(tài)路由、RIP、OSPF、ISIS、BGP多種路由協(xié)議，滿足產(chǎn)學(xué)研基地建網(wǎng)要求，軟硬件支持IPv6，為產(chǎn)學(xué)研基地網(wǎng)絡(luò)提供IPv4到IPv6平滑升級能力。支持標準POE，滿足15.4W和30W標準POE供電規(guī)格，滿足產(chǎn)學(xué)研基地在線供電業(yè)務(wù)需求。運營級高可靠性設(shè)計，可視化故障診斷S7700具備超越5個9的運營級高可靠性，主控、電源、風(fēng)扇等關(guān)鍵部件采用冗余設(shè)計，所有模塊均支持熱插拔?；诜植际降挠布D(zhuǎn)發(fā)架構(gòu)，路由平面和數(shù)據(jù)交換平面嚴格分離，保證業(yè)務(wù)流永續(xù)暢通。專用的故障檢測定位子卡，提供300pps/3.3ms高精度硬件級以太OAM功能，網(wǎng)絡(luò)故障發(fā)生時能夠在第一時間檢測所有終端Session聯(lián)通性，圖形化網(wǎng)管故障診斷界面，設(shè)備節(jié)點、鏈路自動遍歷，實現(xiàn)網(wǎng)絡(luò)快速故障檢測與定位。能夠在冗余控制引擎間實現(xiàn)主備無縫切換，路由控制平面狀態(tài)切換，設(shè)備優(yōu)雅重啟實現(xiàn)NSF無中斷轉(zhuǎn)發(fā)。支持ISSU業(yè)務(wù)運行中軟件升級，設(shè)備軟件升級過程中確保關(guān)鍵業(yè)務(wù)和服務(wù)不中斷。先進的無環(huán)路以太（LFR）技術(shù)，以太網(wǎng)無需運行任何破環(huán)協(xié)議，簡化網(wǎng)絡(luò)部署，提高鏈路利用效率，設(shè)備故障不引起網(wǎng)絡(luò)震蕩和拓撲收斂。支持IEEE802.3ad鏈路匯聚、IEEE802.1s/w和虛擬路由器冗余協(xié)議（VRRP），同時支持豐富的毫秒級倒換技術(shù)如RRPP、SmartLink、IPFRR、TEFRR、VPNFRR等，實現(xiàn)運營級高可靠性。支持Enhanced-Trunk（E-Trunk）功能，設(shè)備鏈路聚合由單機支持擴展到跨設(shè)備支持，減少網(wǎng)元維護，簡化網(wǎng)絡(luò)層次，提高設(shè)備鏈路利用效率。運行中軟件升級ISSU，網(wǎng)絡(luò)業(yè)務(wù)無中斷運行

ISSU可以在設(shè)備軟件升級過程中，減少系統(tǒng)業(yè)務(wù)中斷時間，顯著地提高設(shè)備的可靠性。真正使產(chǎn)學(xué)研基地網(wǎng)絡(luò)具備“全天候”提供業(yè)務(wù)能力，實現(xiàn)設(shè)備軟件升級流量“零”割接，應(yīng)用不中斷。

S7700提供無損升級、有損升級和快速重啟三種ISSU升級方式，系統(tǒng)可自動比較新舊版本各個模塊間差異，給出升級方式建議，供用戶選擇。支持ISSU升級失敗時自動回退（Auto-Rollback）版本，線卡采用新舊版本進程備份技術(shù)減少ISSU中斷應(yīng)用的影響。

完善的QOS機制，提升語音、視頻用戶體驗S7700提供高品質(zhì)的QOS（QualityofService）能力，支持從鏈路層到應(yīng)用層流分類技術(shù)，具備完善的隊列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實現(xiàn)多級的精確調(diào)度，從而滿足產(chǎn)學(xué)研基地不同用戶終端、不同業(yè)務(wù)種類的服務(wù)質(zhì)量要求。S7700提供硬件組播QOS低延時隊列，全面滿足產(chǎn)學(xué)研基地視頻業(yè)務(wù)優(yōu)先級保障需求，為視頻會議、監(jiān)控等關(guān)鍵業(yè)務(wù)提供高質(zhì)量承載保障。創(chuàng)新的優(yōu)先級調(diào)度算法，對傳統(tǒng)QOS隊列調(diào)度進行了專門針對產(chǎn)學(xué)研基地語音與視頻的優(yōu)化，大幅降低IP語音時延、消除視頻馬賽克，提高用戶體驗。高性能IPv6業(yè)務(wù)能力，IPv4到IPv6平滑升級S7700軟硬件平臺均支持IPv6，取得工信部IPv6入網(wǎng)認證和IPv6Ready第二階段金色認證。支持IPv4/IPv6雙協(xié)議棧，支持多種隧道技術(shù)，支持IPv6靜態(tài)路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6組播，滿足IPv6獨立組網(wǎng)和IPv4/IPv6混合組網(wǎng)要求。智能流量負載均衡，提升產(chǎn)學(xué)研基地IT利用效率S7700負載均衡器能夠保證服務(wù)可靠性，提高服務(wù)響應(yīng)速度，方便業(yè)務(wù)靈活擴展。S7700負載均衡器支持加權(quán)輪詢、基于連接數(shù)、加權(quán)IP地址Hash和基于HTTPURL的Hash等多種均衡調(diào)度算法，全面滿足客戶負載均衡要求。門戶網(wǎng)站服務(wù)器經(jīng)常會遇到在同一時間大量針對同樣網(wǎng)頁、服務(wù)的請求，服務(wù)器針對請求會頻繁建立、拆除TCP連接，耗費大量CPU資源，影響服務(wù)器響應(yīng)速度。S7700負載均衡器支持TCP和HTTP重用，減輕服務(wù)器拆除/建立TCP連接的負載，提高服務(wù)器訪問效率。S7700負載均衡器支持動態(tài)“鎖流”技術(shù)，滿足電子商務(wù)網(wǎng)站在線購物負載均衡需求。強大的網(wǎng)絡(luò)流量分析能力，隨時網(wǎng)絡(luò)健康診斷S7700支持隨板分布式網(wǎng)絡(luò)Netstream業(yè)務(wù)分析功能，滿足用戶對網(wǎng)絡(luò)流量實時采集、分析需要。支持NetstreamV5/V8/V9多種報文格式，支持聚合流量模板，減輕網(wǎng)絡(luò)采集器系統(tǒng)壓力，支持實時流量采集、動態(tài)報表生成、屬性分析、流量異常告警等功能。幫助客戶對網(wǎng)絡(luò)流量進行實時監(jiān)控、現(xiàn)網(wǎng)設(shè)備吞吐分析，為優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、科學(xué)合理擴容提供決策依據(jù)。全方位安全保護，應(yīng)對產(chǎn)學(xué)研基地內(nèi)外部安全威脅內(nèi)嵌集中式防火墻板卡，支持虛擬防火墻與NAT多實例，滿足多VPN客戶共用防火墻組網(wǎng)環(huán)境。動態(tài)黑名單主動防御技術(shù)實現(xiàn)蠕蟲病毒防范、抵御拓撲探測、IP掃描和端口掃描攻擊防護，為產(chǎn)學(xué)研基地打造安全內(nèi)網(wǎng)環(huán)境。應(yīng)用層包過濾技術(shù)（ApplicationSpecificPacketFilter）對應(yīng)用層報文內(nèi)容進行復(fù)雜規(guī)則檢測，支持SIP、QQ、MSN、H.323、SMTP、RTSP、FTP、HTTP多種應(yīng)用層協(xié)議。防火墻熱備份，增強網(wǎng)絡(luò)可靠性與抗攻擊能力。提供完善的NAC解決方案，支持MAC地址認證、Portal認證、802.1x認證、DHCPSnooping觸發(fā)認證多種認證方式，有效應(yīng)對啞終端接入、移動設(shè)備接入和集中式IP地址分配等多種接入方式的安全挑戰(zhàn)，確保產(chǎn)學(xué)研基地網(wǎng)絡(luò)安全。支持路由協(xié)議加密、MAC地址過濾、動態(tài)ARP檢測、ACL等等一系列安全特性，可以為服務(wù)提供商以及網(wǎng)絡(luò)的最終用戶提供數(shù)據(jù)保護。基于硬件的包過濾和采樣，可實現(xiàn)高性能和高擴展性。提供2級CPU保護機制，支持1KCPU硬件保護隊列，可實現(xiàn)數(shù)據(jù)和控制的分離處理，防止拒絕服務(wù)攻擊、非法接入以及控制平面過載等安全威脅，提供業(yè)界領(lǐng)先的一體化安全解決方案。無線AC模塊，全面滿足移動辦公需求S7700無線AC板卡支持豐富的RF管理。支持AP上線時自動選擇信道和功率，在AP重疊區(qū)域，信號沖突時自動調(diào)整功率或信道，RSSI/SNR的不斷更新，讓系統(tǒng)可以適時了解每一個無線用戶所處電磁環(huán)境，提升網(wǎng)絡(luò)可用性。支持智能的負載均衡，確保只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負載均衡功能，有效的避免誤均衡的出現(xiàn)，最大限度的提高了無線網(wǎng)絡(luò)容量。支持無線入侵檢查WIDS功能。提供非法AP檢測，黑/白名單設(shè)置和無線協(xié)議攻擊防御等WIDS功能，有效的提高了無線網(wǎng)絡(luò)的整體安全。

一體化EPON板卡，無源維護更舒心S7700EPON板卡支持12EPON接口與12GE以太接口，上下行接口同板卡共存，節(jié)省建網(wǎng)投資。支持1.25G上下行對稱帶寬，最大1：64分光。S7700集成化EPON解決方案廣泛適用于政府、公安、道路交通、大型產(chǎn)學(xué)研基地的高清視頻監(jiān)控傳輸。S7700可同時承擔(dān)EPON接入和核心層路由交換機雙重角色，減少網(wǎng)絡(luò)層次，降低用戶組網(wǎng)成本。創(chuàng)新節(jié)能芯片，智能功耗控制左后風(fēng)道散熱整機架構(gòu)，冷熱風(fēng)道完全分離，打造業(yè)界最佳能效比交換設(shè)備。創(chuàng)新節(jié)能芯片，實現(xiàn)按流量動態(tài)調(diào)整功率，支持端口休眠，無流量不耗電。芯片智能風(fēng)扇調(diào)速算法，監(jiān)測全系統(tǒng)關(guān)鍵器件溫度，小區(qū)間控溫技術(shù)，有效降低轉(zhuǎn)速，并延長風(fēng)扇使用壽命。Quidway?S5700系列交換機Quidway?S5700系列全千兆產(chǎn)學(xué)研基地網(wǎng)交換機（以下簡稱S5700），是華為公司為滿足大帶寬接入和以太網(wǎng)多業(yè)務(wù)匯聚而推出的新一代綠色節(jié)能的全千兆高性能以太網(wǎng)交換機。它基于新一代高性能硬件和華為公司統(tǒng)一的VRP?（VersatileRoutingPlatform）平臺，具備大容量、高密度千兆端口，可提供萬兆上行，充分滿足客戶對高密度千兆和萬兆上行設(shè)備的需求，同時針對產(chǎn)學(xué)研基地網(wǎng)用戶的園區(qū)網(wǎng)接入、匯聚、IDC千兆接入以及千兆到桌面等多種應(yīng)用場景，融合了可靠、安全、綠色環(huán)保等先進技術(shù)，采用簡單便利的安裝維護手段，幫助客戶減輕網(wǎng)絡(luò)規(guī)劃、建設(shè)和維護的壓力，助力產(chǎn)學(xué)研基地搭建面向未來的IT網(wǎng)絡(luò)。

S5700系列以太網(wǎng)交換機為盒式設(shè)備，機箱高度為1U，提供標準型（SI）和增強型（EI）兩種產(chǎn)品版本。標準型支持二層和基本的三層功能，增強型支持復(fù)雜的路由協(xié)議和更為豐富的業(yè)務(wù)特性，包含型號如下：S5700-24TP-SI-AC/DC、S5700-24TP-PWR-SI、S5700-48TP-SI-AC/DC、S5700-48TP-PWR-SI、S5700-28C-SI、S5700-28C-EI、S5700-28C-EI-24S、S5700-28C-PWR-EI、S5700-52C-SI、S5700-52C-EI、S5700-52C-PWR-EI。產(chǎn)品外觀

S5700系列交換機包括如下款型：產(chǎn)品外觀描述S5700-24TP-SI/PWR-SI24個10/100/1000Base-T，4個100/1000Base-X千兆Combo口分交流供電和直流供電兩種機型,支持RPS12V冗余電源支持USB口24個10/100/1000Base-T，4個100/1000Base-X千兆Combo口可插拔雙電源，交流供電支持POE+支持USB口S5700-48TP-SI/PWR-SI48個10/100/1000Base-T，4個100/1000Base-X千兆Combo口分交流供電和直流供電兩種機型，支持RPS12V冗余電源支持USB口48個10/100/1000Base-T，4個100/1000Base-X千兆Combo口交流供電支持POE+支持USB口S5700-28C-SI/EI/EI-24S/PWR-EI24個10/100/1000Base-T，4個100/1000Base-X千兆Combo口，上行支持4×1000Base-XSFP、2×10GESFP＋、4×10GESFP＋插卡雙電源，可插拔支持USB口

24個10/100/1000Base-T，上行支持4×1000Base-XSFP、2×10GESFP＋、4×10GESFP＋插卡雙電源，可插拔24個100/1000Base-X，4個10/100/1000Base-T千兆Combo口，上行支持4×1000Base-XSFP、2×10GESFP＋、4×10GESFP＋插卡，雙電源，可插拔24個10/100/1000Base-T，上行支持4×1000Base-XSFP或者2×10GESFP＋插卡可插拔雙電源，交流供電，支持POE+S5700-52C-SI/EI/PWR-EI48個10/100/1000Base-T，上行支持4×1000Base-XSFP、2×10GESFP＋、4×10GESFP＋插卡雙電源，可插拔，支持USB口48個10/100/1000Base-T，上行支持4×1000Base-XSFP、2×10GESFP＋或者4×10GESFP＋插卡，雙電源，可插拔48個10/100/1000Base-T，上行支持4×1000Base-XSFP或者2×10GESFP＋插卡可插拔雙電源，交流供電，支持POE+產(chǎn)品特點強大的多業(yè)務(wù)支持能力

S5700支持IGMPv1/v2/v3Snooping/Filter/FastLeave/Proxy等協(xié)議。S5700支持線速的跨VLAN組播復(fù)制功能，支持捆綁端口的組播負載分擔(dān)，支持可控組播，可以充分滿足IPTV和其他組播業(yè)務(wù)的需求。

S5700支持MCE功能，實現(xiàn)了不同VPN用戶在同一臺設(shè)備的隔離，有效解決用戶數(shù)據(jù)安全問題，同時降低用戶投資成本。

完備的高可靠保護機制

S5700不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹協(xié)議，還支持SmartLink和RRPP等增強型以太網(wǎng)技術(shù)，可以實現(xiàn)毫秒級鏈路保護倒換，保證高可靠性的網(wǎng)絡(luò)質(zhì)量。此外，針對Smartlink和RRPP均提供多實例功能，可實現(xiàn)鏈路負載分擔(dān)，進一步提高了鏈路帶寬利用率。

S5700支持以太Trunk（E-Trunk）功能。在使用E-Trunk之后，CE設(shè)備可以通過E-Trunk雙歸接入到兩臺PE設(shè)備上。從而把鏈路可靠性從單板級提高到了設(shè)備級，大大增強了設(shè)備級的可靠性。從而實現(xiàn)了跨設(shè)備的鏈路聚合和鏈路負載分擔(dān)功能。極大的提升了接入側(cè)設(shè)備的可靠性。

S5700支持智能以太保護SEP（SmartEthernetProtection），SEP是一種專用于以太網(wǎng)鏈路層的環(huán)網(wǎng)協(xié)議。適用于半環(huán)組網(wǎng)場景，部署時可獨立于上層匯聚設(shè)備，并提供50ms的快速業(yè)務(wù)倒換性能。保證業(yè)務(wù)的不中斷。在華為設(shè)備上已經(jīng)利用SEP協(xié)議實現(xiàn)了以太網(wǎng)鏈路管理。SEP協(xié)議簡單可靠、倒換性能高、維護方便、拓撲靈活，可以大大方便用戶進行網(wǎng)絡(luò)的管理和規(guī)劃。S5700支持雙電源冗余供電，也可以交、直流同時輸入。用戶可靈活選擇單電源工作模式或者雙電源工作模式，提高了設(shè)備可靠性。S5700EI系列支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機構(gòu)建VRRP備份組。構(gòu)建故障時的冗余路由拓樸結(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。支持在設(shè)備上配置多條等價路由的方式實現(xiàn)上行路由的冗余備份，當主上行路由發(fā)生故障時自動切換到下一個備份路由上去，實現(xiàn)上行路由的多級備份。

S5700支持BFD鏈路快速檢測功能，能為OSPF、ISIS、VRRP、PIM等協(xié)議提供毫秒級檢測機制，提高了網(wǎng)絡(luò)可靠性。S5700遵循IEEE802.3ah和802.1ag提供點到點以太網(wǎng)故障管理功能，可以用于檢測用戶側(cè)最后一公里以太網(wǎng)直連鏈路上的故障。

完備的QoS策略和安全機制

S5700系列交換機可以基于五元組、IP優(yōu)先級、TOS、DSCP、IP協(xié)議類型、ICMP類型、TCP源端口、VLAN、以太網(wǎng)幀協(xié)議類型、CoS等信息，實現(xiàn)復(fù)雜流分流功能，支持雙向ACL。5700支持基于流的雙速三色限速功能，每端口支持8個優(yōu)先級隊列，支持WRR、DRR、SP、WRR＋SP、DRR+SP多種隊列調(diào)度算法，有效地保證了話音、視頻和數(shù)據(jù)等網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量。S5700系列交換機提供多種安全保護功能。支持DoS（DenialofService）類防攻擊、網(wǎng)絡(luò)的防攻擊、用戶的防攻擊等功能。其中DoS類防攻擊主要包括