tceic.com
学霸学习网 这下你爽了
相关文章
当前位置:首页 >> 解决方案 >>

xx妇幼保健院项目建议书

XX妇幼保健院网络项目 技术建议书

华为技术有限公司

宝安妇幼保健院异地新网络建项目技术建议书

1 概述 ........................................................................................................................................................................ 5 1.1 设计思想 ....................................................................................................................................................... 5 1.2 设计原则 ....................................................................................................................................................... 6 1.3 设计规范 ....................................................................................................................................................... 7 2 网络架构设计 ...................................................................................................................................................... 9 2.1 方案设计优势 .............................................................................................................................................. 9 2.2 网络架构设计 .............................................................................................................................................. 9 2.2.1 网络拓扑结构设计 ............................................................................................................................. 9 2.2.2 网设备部署 ........................................................................................................................................ 11 3 网络可靠性设计................................................................................................................................................ 14 3.1 组网可靠冗余性设计 ............................................................................................................................... 14 3.1.1 设备冗余设计 .................................................................................................................................. 14 3.1.2 链路冗余设计 .................................................................................................................................. 15 3.1.3 核心层集群设计 .............................................................................................................................. 15 3.2 设备级可靠冗余性设计 ........................................................................................................................... 18 3.2.1 分布式体系结构 ................................................................................................................................ 19 3.2.2 关键部件冗余 ..................................................................................................................................... 19 3.2.3 实时热备份机制 ................................................................................................................................ 19 3.2.4 热插拔特性 ......................................................................................................................................... 19 3.2.5 冗余电源 ............................................................................................................................................. 19 3.2.6 散热系统 ............................................................................................................................................. 20 3.2.7 软件升级、热补丁 ............................................................................................................................ 20 4 网络安全规划 .................................................................................................................................................... 20 4.1 网络的高可靠性 ........................................................................................................................................ 20 4.2 网络设备安全技术 ................................................................................................................................... 21 4.3 安全软件 ..................................................................................................................................................... 22 4.4 防火墙 .......................................................................................................................................................... 22 4.5 数据加密传送 ............................................................................................................................................ 23 5 IP 地址规划......................................................................................................................................................... 23 5.1 IP 地址规划原则 ........................................................................................................................................ 23 5.2 IP 地址编制方法 ........................................................................................................................................ 24 5.3 IP 地址编制规则 ........................................................................................................................................ 24 5.4 IP 地址分配方案 ........................................................................................................................................ 25 6 路由规划 ............................................................................................................................................................. 26 6.1 路由方案选择原则 ................................................................................................................................... 26 6.2 路由协议的选择 ........................................................................................................................................ 27 6.2.1 OSPF 简介 ............................................................................................................................................ 28 6.2.2 OSPF 协议特点 ................................................................................................................................... 28 6.2.3 相关基本概念 ..................................................................................................................................... 29 7 QOS 规划 ............................................................................................................................................................ 31
商业机密 2

宝安妇幼保健院异地新网络建项目技术建议书

7.1 QOS 体系结构的选择 ............................................................................................................................... 32 7.2 QOS 的实现机制 ........................................................................................................................................ 33 7.3 QOS 部署 ..................................................................................................................................................... 38 8 VLAN 规划 .......................................................................................................................................................... 39 8.1 VLA N 定义 ................................................................................................................................................. 39 8.1.1 链路类型 ............................................................................................................................................. 40 8.1.2 端口类型 ............................................................................................................................................. 40 8.1.3 缺省 VLAN ......................................................................................................................................... 41 8.2 VLA N 通信方案 ........................................................................................................................................ 42 8.2.1 VLA N 基本通信 ................................................................................................................................ 42 8.2.2 VLA N 内跨越交换机通信 .............................................................................................................. 43 8.2.3 VLA N 间通信 .................................................................................................................................... 44 8.3 VLA N A GGRE GATION................................................................................................................................ 45 8.4 MUX VLAN ................................................................................................................................................ 45 8.5 VLA N M APPING.......................................................................................................................................... 46 8.6 VLA N 的划分 ............................................................................................................................................. 46 8.7 用户移动办公 ............................................................................................................................................ 47 8.8 语音( VOICE) VLA N 方案 ................................................................................................................... 47 8.9 VLA N 管理 ................................................................................................................................................. 48 9 网络管理平台规划 ........................................................................................................................................... 48 10 主要网络产品介绍......................................................................................................................................... 51 10.1 华为 S9300 ............................................................................................................................................... 51 10.1.1 产品特点 ........................................................................................................................................... 52 10.1.2 产品规格 ........................................................................................................................................... 54 10.2 华为 S7700 ............................................................................................................................................... 56 10.2.1 产品特点 ........................................................................................................................................... 56 10.2.2 产品参数 ........................................................................................................................................... 59 10.3 华为 S5700 ............................................................................................................................................... 61 10.3.1 产品特点 ........................................................................................................................................... 62 10.3.2 产品规格 ........................................................................................................................................... 65 10.4 华为 S2700 ............................................................................................................................................... 69 10.4.1 产品特点 ........................................................................................................................................... 69 10.4.2 产品规格 ........................................................................................................................................... 71 10.5 华为 ESI GHT ............................................................................................................................................. 73 10.5.1 产品特点 ........................................................................................................................................... 74 10.6 华为 USG5500......................................................................................................................................... 79 10.6.1 产品特点 ........................................................................................................................................... 80 10.6.2 产品规格 ........................................................................................................................................... 82 10.7 华为 A C6605 ........................................................................................................................................... 83 10.7.1 产品特点 ........................................................................................................................................... 84 10.7.2 产品特性 ........................................................................................................................................... 85 10.8 无线 AP6310SN ...................................................................................................................................... 92

商业机密

3

宝安妇幼保健院异地新网络建项目技术建议书

10.8.1 产品特点 ........................................................................................................................................... 93 10.8.2 产品特性 ........................................................................................................................................... 94 10.8.3 产品参数 ........................................................................................................................................... 96

商业机密

4

宝安妇幼保健院异地新网络建项目技术建议书

1 概述
信息化是我国产业优化升级和实现工业化、 现代化的关键环节, 积极运用现代化科技手 段,特别是先进信息技术,加快信息化进程,建立高效的网络,是适应国民经济和社会信息 化发展的迫切要求。 XX 妇幼保健院作为信息化网络,实现各栋楼宇信息全覆盖。本方案设计针对 XX 妇幼保 健院作为信息化网络建设需求,对于网络架构、可靠性、上网行为管理、语音业务承载、网 络安全、统一管理等功能进行技术分析和方案设计,最终为 XX 妇幼保健院作为信息化网络 构建高效、安全、可靠的网络运行环境。 本次 XX 妇幼保健院作为信息化网络建设的总体目标是: 一、建立高速、高效的网络平台,满足大数据量传输和快速业务实现的需求; 二、建立高可靠性的网络平台,保证业务实现的不间断和快速故障恢复; 三、建立高安全的网络平台,保证业务数据和管理系统等多层次的安全保障; 四、建立易维护的网络管理平台,实现对设备和业务的全方位管理; 五、建立易扩展的网络平台,为网络提供持续发展保障; 六、建立面向多业务的网络平台,可方便实现目前和今后多业务的方便部署; 七、建立规范化、标准化的网络平台,实现不同厂家设备的无缝互联;

1.1 设计思想
XX 妇幼保健院作为信息化网络项目的总体设计思想是建设一个有线覆盖以及无线覆盖 为一体的, 具有较大容量高速传输能力的、 有可靠稳定服务质量保证的信息化综合网络平台。 基于这个平台,实现各个逻辑网路区域之间安全高速的数据共享;为今后新的业务发展,迅 速推出相应的新业务打好良好的基础。 1)利用关键部件、设备、网络可靠冗余性设计,集群协议,链路聚合协议,路由协议、 快速重路由等协议冗余性设计部署实现网络平台的高可靠性; 2)利用设备自身安全设置、分层分区访问控制,实现网络平台的高安全性; 3)利用 QOS 技术实现针对不同应用提供不同的服务质量,实现网络平台的高可用性;

商业机密

5

宝安妇幼保健院异地新网络建项目技术建议书

4)利用集中网络管理平台实现全网设备统一管理,实现全网业务的高可见性管理,实 现网络平台的高可管理性;

1.2 设计原则
结合 XX 妇幼保健院作为信息化网络项目的实际应用和发展要求,系统总体设计应遵循 原则: ? 实用性原则:网络建设将以满足现行需求为基础,在节省投资的同时,充分考虑发 展的需要来确定系统规模。 ? 安全性原则: XX 妇幼保健院作为信息化网络服务于整个的应用服务和无线覆盖, 对安全级别要求很高。系统应能提供网络层的安全手段配合整体系统的安全建设, 防止系统外部成员的非法侵入以及操作人员的越级操作, 保护网络建设者的合法利 益。 ? 可靠性原则: 系统设计能有效的避免单点失败, 在设备的选择和关键设备的互联时, 应提供充分的冗余备份, 一方面最大限度地减少故障的可能性, 另一方面要保证网 络能在最短时间内修复。 ? 成熟和先进性原则: XX 妇幼保健院作为信息化网络系统结构设计、系统配置、系 统管理方式等方面应采用国际上先进的同时又是成熟、实用的技术。 ? 高可用性原则: 具有较高的可靠性和可用性前提下, 保证所有业务系统的正常运行。 网络设备及设计具备在线故障恢复能力, 关键设备、 线路能做到实时备份和自动故 障切换。 网络系统具有强大的容错功能以确保各种应用的正常运行, 在网络设计上 采用网络级备份或线路及设备的冗余配置。 没有单故障点, 线路之间相关系数最小。 ? 规范性原则: 系统设计所采用的技术和设备应符合国际标准、 国家标准和业界标准, 为系统的扩展升级、与其他系统的互联提供良好的基础。 ? 开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案; 设备的各种接口满足开放和标准化原则。 ? 可扩充和扩展化原则: 所有系统设备不但满足当前需要, 并在扩充模块后满足可预 见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完 成后的系统在向新的技术升级时,能保护现有的投资。 ?
商业机密

可管理性原则:整个系统的设备应易于管理,易于维护,易学,易用,便于进行系
6

宝安妇幼保健院异地新网络建项目技术建议书

统配置,在设备、安全性、数据流量、性能等方面很好的监视和控制,远程管理和 故障诊断。

1.3 设计规范
XX妇幼保健院作为信息化网络项目的网络设计完全符合国家网络建设的相关标准和规 范。

1、 网络标准与规范
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
商业机密

RFC 1661: The Point-to-Point Protocol (PPP) RFC 1990: The PPP Multilink Protocol (MP) RFC 1994: PPP Challenge Handshake Authentication Protocol (CHAP) RFC791: RFC792: RFC793: RFC768: RFC 826: RFC2328: RFC1793: RFC1931: RFC1965: RFC1966: RFC1997: RFC2439: RFC2138: RFC2139: RFC2784: RFC2401: RFC1157: RFC2474: RFC2475: Internet Protocol. (IP) Internet Control Message Protocol (ICMP) TRANSMISSION CONTROL PROTOCOL (TCP) User Datagram Protocol (UDP) An Ethernet Address Resolution Protocol (ARP) OSPF Version 2 Extending OSPF to Support Demand Circuits A Border Gateway Protocol 4(BGP-4) Autonomous System Confederations for BGP BGP Route Reflection BGP Community Attribute BGP Route Flap Damping Remote Authentication Dial In User Service (RADIUS) RADIUS Accounting Generic Roouting Encapsulation Security Architechure for the Internet Protocol Simple Network Management Protocol (SNMP) DS Field in the IPv4 and IPv6 Headers An Architecture for Differentiated Service
7

宝安妇幼保健院异地新网络建项目技术建议书

? ? ? ? ? ? ? ?

RFC2615: RFC2547:

POS MPLS VPN

IEEE 802.3u : 100Base规范 IEEE 802.3z: 1000Base-X(GBIC) 规范 IEEE 802.3ae : 10G 规范 IEEE 802.1Q/1P: Virtual Bridged Local Area Networks IEEE 802.3ad : IEEE 802.17 : Link Aggregation RPR

2、 国家安全标准与参考规范
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? GB/T18336-2001 GB/T18019-1999 GB/T18020-1999 UL 1950 EN 41003 AS/NZS 3260 AS/NZS 3548 Class A CSA Class A FCC Class A EN 60555-2 VCCI (ClassII ) 抗干扰性 IEC 1000 4 2 (ESO ) IEC 1000 4 3 ( 辐射敏感性) IEC 1000 4 4 ( 电快速瞬变) IEC 1000 4 5 ( 电源) IEC 1000 3 2 ( 谐波)

商业机密

8

宝安妇幼保健院异地新网络建项目技术建议书

2 网络架构设计
2.1 方案设计优势
1、 网络拓扑灵活扩展
采用分层结构设计,网络层次清晰,网络扩展能力、灵活性强。

2、 技术先进、适用:
此次建设选用国际标准化,开放的技术协议,兼顾用户自身技术运用状况,采用适用的 VLAN、QOS等技术实施,配合先进成熟技术,包括集群、链路聚合等技术部署,使得网络 更加智能、高效,并具备良好的自愈能力,为XX妇幼保健院作为信息化网络的核心业务不间 断转发提供技术保证。

3、 可靠性技术保证:
XX妇幼保健院作为信息化网络系统,需要具备7*24的网络支撑能力,此次设计,从设 备选型、技术部署等方面均做了充分准备。如设备选型,所有节点均采用同档次设备,核心 设备具备路由引擎冗余、交换网冗余,单板热插拔,全分布式的硬件体系架构,达到电信级 水准。

4、 管理全面高效:
此次方案设计,包含网络管理平台,对整网网络设备进行统一管理。

5、 建设和维护成本合理性
从建设和维护成本上来分析,网络分层次建设,不同层次的带宽选择可以分别考虑。根 据流量需求,核心层设备采用比较高的带宽、较高档次设备,而接入层设备采用相对低一些 的带宽、较低档次设备,可以极大提高网络建设成本的合理性,网络的可实施性,同时又增 加了带宽分配的合理性,避免带宽资源的浪费,节约了建设和维护成本。

2.2 网络架构设计 2.2.1 网络拓扑结构设计
XX妇幼保健院作为信息化网络,采用层次化网络拓扑结构建设,具有以下特点: (1) 符合网络建设的要求
商业机密 9

宝安妇幼保健院异地新网络建项目技术建议书

分层的模块化设计使得网络成长更加方便。 升级的费用和复杂度限制在整个网络的 小范围内,当局部网络环境发生变化时不影响其它无关的层次。便于发现和隔离故障, 有助于故障点的识别。 (2) 可靠性高 可以保证在任何一个链路出现故障时,都不会中断全局通信,因此,网络具有很高 的可靠性。 (3)建设和维护成本合理 从建设和维护成本上来分析, 网络分层次建设, 不同层次的带宽选择可以分别考虑。 根据流量需求,核心层采用比较高的带宽,而接入层采用相对低一些的带宽,可以极大 提高网络主干层的性能,网络的可实施性,同时又增加了带宽分配的合理性,避免带宽 资源的浪费,节约了建设和维护成本。 (4)路由效率高 模块化、 层次化拓扑结构便于路由协议分层设计, 减少了路由选择协议在网络链路 上的开销,以及路由器的处理时间,这样,提高了路由效率。 (5)高效的二层接入 从不同部门、不同功能、不同业务、移动办公等需求考虑,在核心层以下采用二层 VLAN技术,实现用户、业务隔离和接入,提供高效、稳定的数据传输方案。 XX妇幼保健院作为信息化网络拓扑图如下.

商业机密

10

宝安妇幼保健院异地新网络建项目技术建议书

2.2.2 网设备部署
外网网络设备部署
网络要求设备和链路高可靠性,关键部件、设备和链路冗余备份。核心层交换机采用双 机做CSS集群,上、下行链路双归接入。 1. 防火墙设备: 在整个网络出口位置部署 2 台华为 USG5550 防火墙, 两台防火墙做双机热 备,用于提供精确的 P2P 流量控制,DDoS 攻击防护,IPS 入侵检测,功能最全的 NAT 技术,超大容量的 VPN,URL 过滤,Anti-Virus 防病毒等功能。上下行分别千兆链路连 接到其他设备。 2. 路由器:部署 1 台华为 AR3260 路由器在整个网络的出口,为内网提供一种廉价有效透 明的方法扩展网络设备的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活 性和可用性。上行连接 Inter 网,下行千兆连接防火墙。 3. 入侵检测:部署一台华为 NIP 1000 入侵检测设备,实时采集网络系统中的信息数据, 并通过综合分析和比较, 判断是否有入侵和可疑行为的发生, 并采用多种方式实时告警, 记录攻击, 阻断攻击者的进攻, 从而起到保护用户网络和系统免受外部和内部的攻击的 作用。千兆双上行到防火墙,千兆下行到防毒墙。
11

商业机密

宝安妇幼保健院异地新网络建项目技术建议书

4.

上网行为管理:部署一台华为 USG2250TSM 上网行为管理,提供工作效率、带宽利用、 法律合规等专项报表,协助发现问题,完善公司治理,提供详尽记录用户上网的轨迹, 并提供多种查询方式,满足企业内部治理和国家法规的要求,同时提供网络身份识别、 安全准入控制,终端安全加固、办公和上网行为管理、网络防护、信息泄密防护(含移 动存储设备管理),提供资产管理、软件部署、远程协助、消息公告。分别千兆上行、 下行到其他设备。

5.

核心层: 核心层被认为是所有流量的最终承受者和汇聚者, 所以我们对核心层的设计以 及网络设备的要求十分严格,要求关键部件冗余、链路冗余、大带宽。部署 2 台华为 S9306 万兆交换机,配置双电源、双主控板、36 端口十兆/百兆/千兆以太网电接口和 12 端口百兆/千兆以太网光接口板(EA,RJ45/SFP) 、24 端口百兆/千兆以太网光接口板 (SA,SFP) 以及 4 端口万兆以太网光接口板(EA,XFP) 。以双链路千兆上行接入上网行为 审计管理设备; 通过双链路万兆光纤汇聚下行汇聚交换机的流量。 整个核心层具有高可 靠性、可扩展性、高性能。

6.

无线部分:整网部署 1 台华为 AC6605 无线控制器(AC)设备,旁挂在核心层交换机下 面, 使用双链路千兆上联到核心层交换机。每栋部署若干个无线接入点设备(AP),通 过百兆网线连接接入层交换机。

7.

网络管理:整个网络要求可维护、可管理。部署 1 套华为网络管理软件 eSight,实现 对全部网络设备的统一管理。网管软件服务器接在数据中心接入层设备。

8.

汇聚层: 部署若干台华为 S7706 交换机, 汇聚层交换机做集群, 配置双电源、 双主控板、 24 端口百兆/千兆以太网光接口和 2 端口万兆以太网光接口板(EA,SFP/XFP) ,对接入 层流量进行汇聚,提供万兆上联和千兆下联。

9.

接入层: 根据信息点分布, 部署不同数量的华为 S5700-24TP-SI-AC、 S5700-48TP-SI-AC、 S5700-28C-EI 和 S5700-52C-EI 交换机作为接入层交换机, 提供千兆/万兆上联和千兆到 个信息点。

内网网络设备部署
网络要求设备和链路高可靠性,关键部件、设备和链路冗余备份。核心层交换机采用双 机做CSS集群,上、下行链路双归接入。 1) 上网行为管理:部署一台华为 USG2250TSM 上网行为管理,提供工作效率、带宽利用、 法律合规等专项报表,协助发现问题,完善公司治理,提供详尽记录用户上网的轨迹,

商业机密

12

宝安妇幼保健院异地新网络建项目技术建议书

并提供多种查询方式,满足企业内部治理和国家法规的要求,同时提供网络身份识别、 安全准入控制,终端安全加固、办公和上网行为管理、网络防护、信息泄密防护(含移 动存储设备管理),提供资产管理、软件部署、远程协助、消息公告。分别千兆上行、 下行到其他设备。 2) 核心层: 核心层被认为是所有流量的最终承受者和汇聚者, 所以我们对核心层的设计以 及网络设备的要求十分严格,要求关键部件冗余、链路冗余、大带宽。部署 2 台华为 S9306 万兆交换机,配置双电源、双主控板、24 端口十兆/百兆/千兆以太网电接口板 (FA,RJ45) 、 24 端口百兆/千兆以太网光接口板(SA,SFP) 以及 12 端口万兆以太网光接口 板(SA,SFP+) 。以双链路千兆上行接入上网行为审计管理设备;通过双链路万兆光纤汇 聚下行汇聚交换机的流量。整个核心层具有高可靠性、可扩展性、高性能。 3) 无线部分:整网部署 1 台华为 AC6605 无线控制器(AC)设备,旁挂在核心层交换机下 面, 使用双链路千兆上联到核心层交换机。每栋部署若干个无线接入点设备(AP),通 过百兆网线连接接入层交换机。 4) 网络管理:整个网络要求可维护、可管理。部署 1 套华为网络管理软件 eSight,实现 对全部网络设备的统一管理。网管软件服务器接在数据中心接入层设备。 5) 汇聚层:部署若干台华为 S7706、S5700-28C-EI-24S 交换机,汇聚层 S7706 交换机做集 群,配置双电源、双主控板、24 端口百兆/千兆以太网光接口和 2 端口万兆以太网光接 口板(EA,SFP/XFP) ,对接入层流量进行汇聚,提供万兆上联和千兆下联。 6) 接入层: 根据信息点分布, 部署不同数量的华为 S5700-24TP-SI-AC、 S5700-48TP-SI-AC、 S5700-28C-EI、S5700-28C-EI-24S 和 S5700-52C-EI 交换机作为接入层交换机,提供千 兆/万兆上联和千兆到个信息点。

智能网网络设备部署
网络要求设备和链路高可靠性,关键部件、设备和链路冗余备份。核心层交换机采用双 机做链路捆绑,上、下行链路双归接入。 ① 核心层: 核心层被认为是所有流量的最终承受者和汇聚者, 所以我们对核心层的设

计以及网络设备的要求十分严格,要求关键部件冗余、链路冗余、大带宽。部署 2 台华为 S7703 万兆交换机,配置双电源、双主控板、24 端口十兆/百兆/千兆以太网电接口板 (FA,RJ45) 、48 端口百兆/千兆以太网光接口板(FA,SFP) 。以双链路千兆上行接入上网行为

商业机密

13

宝安妇幼保健院异地新网络建项目技术建议书

审计管理设备; 通过双链路千兆光纤汇聚下行汇聚交换机的流量。 整个核心层具有高可靠性、 可扩展性、高性能。 ② 网络管理:整个网络要求可维护、可管理。部署 1 套华为网络管理软件 eSight,

实现对全部网络设备的统一管理。网管软件服务器接在数据中心接入层设备。 ③ 汇聚层:部署若干台华为 S5700-28C-EI-24S 交换机,对接入层流量进行汇聚,提

供千兆上联和千兆下联。 ④ 接入层:根据信息点分布,部署不同数量的华为 S2700-26TP-EI-AC 交换机作为接

入层交换机,提供千兆上联和百兆到个信息点。

3 网络可靠性设计
XX妇幼保健院作为信息化网络中, 为保证数据传输的可靠性, 对系统的可靠性提出了很 高的要求。 特别是随着所承载的业务的增多, 和数字化办公的逐步深入开展, 一旦设备故障、 网络中断,将会使整个网络陷于瘫痪,引起严重的后果。因此在网络的设计实施中必须对网 络的可靠性进行详尽的考虑和设计。 网络系统的可靠性由两个大部分组成, 即承载网络的可 靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库 等的可靠性构成;承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性, 下面对XX妇幼保健院医院大楼项目承载网络的可靠性设计进行说明。

3.1 组网可靠冗余性设计
应用服务网络要求设备和链路高可靠性,关键设备和链路冗余。

3.1.1 设备冗余设计
在网络中,核心层交换机设备采用双机做 CSS 集群。当上行设备发生故障时,相联的主 设备自动切换链路到互为备份的设备,保证数据正常传输,业务不中断。

商业机密

14

宝安妇幼保健院异地新网络建项目技术建议书

3.1.2 链路冗余设计
在网络中, 核心层交换机上行链路均采用双链路千兆上联。 汇聚层交换机上行链路采用 双链路万兆上联。当某条链路故障时,相连设备感知后,切换到备用链路,保证数据正常传 输,业务不中断。

3.1.3 核心层集群设计
核心层被认为是所有流量的最终承受者和汇聚者, 所以对核心层的设计以及网络设备的 要求十分严格,要求关键部件冗余、链路冗余、大容量。基于此,在核心层采用集群方案, 来满足现在将来大数据量转发的需求和网络高可靠性的需求。

3.1.3.1

集群(CSS)特性介绍

随着网络数据访问量的逐渐增大以及网络可靠性要求越来越高, 单台交换机已无法满足 网络中越来越多的、 大数据量访问的要求。 为了满足数据中心大数据量转发的需求和网络高 可靠性需求,提出了集群(CSS,Cluster Switch System)交换机系统。将几台交换机通 过专用集群子卡和线缆链接起来,对外呈现为一台逻辑交换机。 CSS特性带来了明显的收益: ? ? ? 扩容网络时,保护已有投资; 扩容的同时,简化配置、管理:将多台物理设备虚拟为一台设备; 多台设备间冗余、备份,提高系统的可靠性。

3.1.3.2

华为 S9306/S7706 集群方案

在S9306/S7706 交换机的主控板(SRU)上插插入集群子卡,原有主控板、接口板、 机框不用更新,就可以支持CSS。S9300交换机每块主控板上可以插一块集群子卡,每块集 群子卡上有4个集群口。两台核心设备都是满配置的情况下,通过专用的集群线缆将这8个 集群子口按下图规则连接起来。单个集群子卡故障,或集群子卡上的任意接口故障,或任意 集群线缆故障,都不影响数据传输,保证系统运行。
商业机密 15

宝安妇幼保健院异地新网络建项目技术建议书

3.1.3.3

集群规则

集群系统启动后,两台核心设备通过竞争,一台设备成为集群主、另一台设备成为集群 备。竞争的规则如下: ? 系统运行状态: 已经正常运行的设备优先级高于正在启动中的设备, 成为集群 主。 ? ? 集群优先级:状态相同,优先级高的设备成为集群主。 MAC 地址大小:状态、优先级都相同, MAC 地址小的设备成为集群主。

两台设备竞争出主备后,集群主设备的主用主控板成为CSS的系统主,集群备的主用 主控板成为CSS的系统备。在系统主和系统备之间进行备份处理,集群主和集群备的备用 主控板作为CSS的候选系统备。 在集群主或集群备单框内的两块主控板倒换后,该框内的备用主控板升为CSS的系统 备。通过这种处理,保证了CSS的高可靠性。 ? 集群主内的两块主控板发生倒换: 集群备升为集群主, 原来的系统备升为系统 主;集群主降为集群备,原来的系统主重启、原来集群主框内的备用主控板升 为CSS的系统备,从系统主进行同步。 ?
商业机密

l集群备内的两块主控板发生倒换:集群主和集群备设备的角色不会发生变化。
16

宝安妇幼保健院异地新网络建项目技术建议书

集群备内的主用主控板(即原来CSS的系统备)重启,备用主控板升为系统 的备,从系统主进行同步。 CSS中的所有单板都向系统主注册,注册后以系统主上的配置文件进行配置恢复。 最终原来两台独立的设备建立CSS,对外呈现为一台设备。

3.1.3.4

集群环境下的配置

CSS建立后,可以通过接口板上的业务端口、系统主上的串口或网管口登陆CSS系统, 进行业务配置和系统管理。 CSS提供四维的接口视图(框/槽/卡/端口)支持对两台设备中的所有端口进行业务相关 配置、操作;以框/槽为单位对两台设备中的所有单板进行管理:查询单板信息、对单板进 行复位等操作。 在CSS环境下,业务流量转发同单框环境下的区别:跨设备的转发需要经过交换网两 次。对于报文内容的处理没有区别:都需要进行一次上、下行处理。对外呈现为一台设备。

3.1.3.5

集群分裂

CSS建立后,系统主和系统备定时发送心跳报文来维护CSS的状态。 因集群线缆、集群卡、主控板等故障可能会导致两台设备之间没有可用集群链路、失去 通信、两台交换机之间的心跳超时,此时集群系统分裂为两台独立的设备。 CSS分裂后,有可能两台交换机都在正常运行,而且是以完全相同的全局配置在运行, 可能会以相同的 IP和相同的 MAC 地址和网络中的其他设备交互,这样会引起整个网络故 障。 为了提高系统的高可用性, 集群分裂后需要检测出是否存在两个以相同配置运行的交换 机(即是否存在双主) ,并进行相应的处理使网络能正常运行。提供两种检测手段: ? ? 用免费ARP检测集群双主现象 用 BFD 协议检测集群双主现象

检测到双主后,原集群主将关闭本设备上除保留端口以外的其他所有物理端口。 故障恢复后,进行关闭所有物理端口操作的设备将重启、重新加入CSS系统。
商业机密 17

宝安妇幼保健院异地新网络建项目技术建议书

3.1.3.6

集群方案场景

两台S9306组成集群系统, 终端用户通过跨框Trunk1连接集群系统, 集群系统通过跨框 Trunk2接入上行设备。如下图所示。

通过跨框Trunk,用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口, 这样即使某些端口所在的设备出现故障, 也不会导致聚合链路完全失效, 其它正常工作的成 员设备会继续管理和维护剩下的聚合端口, 这样即可以增大设备容量, 又可以设备间的备份, 增加可靠性。

3.2 设备级可靠冗余性设计
网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。要保证XX妇幼保健 院医院大楼网络的可靠性, 必须要选用具备高可靠性的网络设备进行组网, 才能使网络具有
商业机密 18

宝安妇幼保健院异地新网络建项目技术建议书

自动恢复能力、降低人工维护工作,保证其高可靠性的运行。 XX 妇幼保健院医院大楼网络中所采用的核心交换机 S9306 可靠性指标达到 99.999%,具 有强大的设备级可靠性:

3.2.1 分布式体系结构
S9306 采用分布式硬件平台体系结构,路由与转发分离。与集中式体系设备相比较, 分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外, 更为关键的是将管 理、路由转发、接口处理等功能分配在不同的部件上,协同工作,分布式体系可以分散故障 风险、隔离故障、提供冗余配置,提高系统的自动恢复能力;如管理部件故障,只需要更换 这部分板件,不影响其他功能。

3.2.2 关键部件冗余
采用分布式体系下,对设备的关键部件,如主控管理单元、交换转发单元等,进行冗余 构造配置,保证系统在工作中不会全部失效。

3.2.3 实时热备份机制
在系统软件及硬件的支持下, 关键部件在发生故障能自动启动备份系统, 而且主备之间 的切换能够实时热倒换, 即运行中即使发生设备故障切换也不会对网络业务造成影响, 支持 不间断转发,不丢包。

3.2.4 热插拔特性
任意单板均支持热插拔特性,保证系统出现故障需要维护,或系统需要升级扩展时,不 需要停机处理,保证网络的 7×24 小时不间断运行。

3.2.5 冗余电源
提供冗余电源负载分担及备份供电,保障系统具有可靠的能量源。

商业机密

19

宝安妇幼保健院异地新网络建项目技术建议书

3.2.6 散热系统
网络设备的散热系统使设备能够长时间稳定运行而不至因为系统升温过高出现故障, 冗 余风扇等散热装置可以增加设备的运行时间及减少故障发生。

3.2.7 软件升级、热补丁
支持软件在线升级,升级过程中业务不中断。 支持软件热补丁,可以只针对需要修改的部分特性进行升级.打补丁过程中主控板和接 口板都不需要重启动,业务不中断。热补丁支持确认和删除功能。

4 网络安全规划
网络安全解决方案实际上是一个系统工程,而不仅仅是网络安全产品及特性的简单罗 列。为了合理的解决网络安全问题,必须充分分析网络逻辑组成,网络中不同部分的功能不 同, 所关注的安全问题也不同。 XX妇幼保健院作为信息化网络的主要功能是设备互联及数据 传送,所以网络安全关注的重点是网络自身安全及数据传送安全。 所谓安全威胁,就是未经授权,对位于服务器、网络和桌面的数据和资源进行访问, 甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看,可以分为网络传送过程、网络 服务过程和软件应用过程三类。 网络传送过程主要针对数据链路层和网络层协议特征中存在 的漏洞进行攻击,如常见的监听、IP地址欺骗、路由协议攻击、 ICMP Smurf攻击等;网络 服务过程主要针对TCP/UDP以及居于其上的应用层协议进行,如常见的 UDP/TCP 欺骗、 TCP流量劫持、TCP DoS、FTP反弹、DNS欺骗等等;软件应用过程则针对位于服务器/主 机上的操作系统以及其上的应用程序, 甚至是基于Web的软件系统发起攻击。 从安全威胁的 手法来看,蠕虫、拒绝服务、监听、木马、病毒等都是常见的攻击工具。

4.1 网络的高可靠性
网络的高可靠性设计的最终目的实际上也是网络自身安全。 在组网结构上,网络链路设计以备份方式为主,使得任意一条链路、或者任意一点设 备出现故障时,可以通过另外一条连接提供服务,而不会导致服务暂停。充分保证了网络的
商业机密 20

宝安妇幼保健院异地新网络建项目技术建议书

可靠性。 在核心设备的选用上充分考虑了设备的可靠安全性,核心设备采用双主控、双电源、 双交换网实现冗余备份,故障时能够自动倒换,并支持热插拔和更换。倒换时不影响转发。 同时设备通过完善的QoS功能能够严格的控制网络流量,提高网络效率,通过VLAN划 分来预防非授权用户接入。

4.2 网络设备安全技术
网络系统网络的交换机,其安全性尤其重要,必须防范来自网上的恶意攻击。另外,有 时用户无意识但有破坏性的访问也会导致设备的性能下降,甚至无法正常工作。因此,其安 全特性有特别重要的地位。 华为交换机可以提供的网络安全特性包括: ? 基于 RADIUS (Remote Authentication Dial-In User Service ) 协议和 HWTACACS 协议的 AAA (Authentication, Authorization, Accounting ) 服务: 路由器与 RADIUS 或 HWTACACS 服务器配合实施 AAA 服务,可以提供对接入用户的验证、授权和 计费安全服务,防止非法访问。 ? 验证协议:在 PPP 线路上支持 CHAP (Challenge Handshake Authentication Protocol)和 PAP(Password Authentication Protocol )验证。 ? 包过滤(Packet Filter ) :通过访问控制列表实施,指定允许通过或禁止通过路由 器的报文类型。 ? 应用层报文过滤 ASPF (Application Specific Packet Filter ) :也称为状态防火墙, 是一种高级通信过滤,它检查应用层协议信息并且监控基于连接的应用层协议状 态, 维护每一个连接的状态信息, 并动态地决定数据包是否被允许通过防火墙或路 由器。 ? 网络层安全(IP Security,IPSec) :特定的通信方之间在 IP 层通过加密与数据源 验证,来保证数据包在 Internet 上传输时的私有性、完整性和真实性。 ? ? 事件日志:记录系统安全方面的事件,以跟踪非法侵入。 地址转换:NAT 网关将公共网络和企业内部网隔离开来,在公共网络中隐藏企业 内部设备的 IP 地址,阻止来自公共网络上的攻击。 ?
商业机密

相邻路由器验证:确保所交换路由信息的可靠性。
21

宝安妇幼保健院异地新网络建项目技术建议书

在部署网络设备安全技术时,建议: ? ? ? ? 关闭不必要的服务,如 Finger 、BOOTP、DHCP; 远程登录采用 SSH 加密方式而不用 telnet 明文方式; 部署日志服务器记录网络设备上 LOG; 网络管理协议采用 SNMPv3 保护 MIB 数据在网络设备和管理工作站之间的安全传 送。 ? ? ? 配置 OSPF 路由协议的 MD5 认证,防止恶意的假路由更新。 配置远程登录或 Console 超时选项,增加访问的安全性 通过 Access List 来控制访问的来源

4.3 安全软件
对关键的主机系统和子网,需要进行网络资源检查,并及时发现问题。建议使用安全 扫描软件, 对关键的主机系统和网络定期进行扫描, 可以检查出网络弱点和策略配置上的问 题。根据扫描软件发现的问题,及时更新操作系统补丁,查杀病毒,更新安全策略。定期强 制更新用户口令,并制定用户口令规则,禁止使用不符合规则的口令。定期检查文件系统的 访问权限是否合理,检查用户帐号的使用是否正常。

4.4 防火墙
网络安全状况不断的恶化,越来越多基于各项应用和业务的深层次网络安全问题困扰 着用户。恶意入侵、钓鱼网站、木马程序以及P2P泛滥等网络安全问题,导致企业网络效率 低下,业务安全受到严重威胁。在 XX妇幼保健院医院大楼网络中部署专用防火墙来解决更 深层次的安全问题。 华为USG统一安全网关部署在靠近网络出口位置, 能够为用户提供防火墙、 VPN、 IPS、 反病毒、URL过滤、强劲的 DDoS防护、精确的P2P流量控制、 IPS入侵检测、Anti-Virus防 病毒等多项领先的安全功能,提供全方位的网络系统安全防护,保障网络系统高效运行。

商业机密

22

宝安妇幼保健院异地新网络建项目技术建议书

4.5 数据加密传送
目前IP网络上数据传送安全的最好解决办法就是采用 IPSec技术,对数据进行加密,一 般来说,数据加密在网络的两端或主机上完成,中间的网络透明传送。必要时也可在某些特 殊的线路上考虑IPSec加密。

5 IP 地址规划
5.1 IP 地址规划原则
XX 妇幼保健院医院大楼网络是基于传输控制/互联协议(TCP/IP)结构的互联网络。 其 IP 地址的编制是网络建设的重要内容,它与网络的整体结构、技术体制、连接方式相关, 是实现全网互联互通的基础,必须实行统一规划、统一分配、分级编制、分级管理。 IP 地址的规划需要遵循以下原则: 1. 唯一性原则

唯一性是 IP 地址在 TCP/IP 协议中最基本的要求,是 IP 地址的基本特征和 IP 地址编 制的重要依据。网络中每一网络所使用的 IP 地址的网络地址字段必须是唯一的,在同一网 络中所使用的 IP 地址中包含的主机地址字段也必须是唯一的, 这是实现 IP 网络互联互通的 基本条件。 2. 连续性原则

在层次化结构的网络中为各个节点划分连续的 IP 地址区间, 便于实现路径叠合 (Route Summarization)等优化 IP 地址的分配技术,简化路由表数据,提高路由算法的计算效率 和动态路由的快速收敛,能有效利用地址空间。 3. 扩展性原则

IP 地址编制要兼顾网络规模扩展的需求,为各个节点预留足够的 IP 地址扩展区间时, 应考虑对网络在用地址的继承性,满足路由协议的要求、实现 IP 地址编用的平滑连接等, 这是保证网络扩展和有序管理的重要条件。 4. 规范性原则

网络各节点的网络互联设备和局域网内主要设备等采用规范的地址编制技术和方法, 是 网络互联互通和提高网络管理效率的有效措施。
商业机密 23

宝安妇幼保健院异地新网络建项目技术建议书

5.

标准化原则

遵循有关 TCP/IP 协议标准来规划 IP 地址,是网络建设的重要原则。

5.2 IP 地址编制方法
1. 完全二叉树分配法

网络中各级子网 IP 地址的编制,是从完全二叉树地址空间中某一子树的根开始,逐级 向下地将该子树下的从属子树分配给各级子网和其下级子网, 同级子网均以同样方法分配同 根的二叉子树。网络互联 IP 地址和用户主机 IP 地址,都是从本级子网的从属子树地址空间 中分配。采用这一 IP 地址的编制技术,既避免了各级子网 IP 地址的重叠,又保证了各级子 网 IP 地址空间的连续性。 2. 分布的地址空间预留技术

分布的地址空间预留技术是指给按层次划分的各级子网 IP 地址预留空间,当由于网络 扩展需要 IP 地址扩展时,可使扩展的 IP 地址空间与在用的 IP 地址空间连续,使网络继续 保持其最简的路由表数据结构,保证了 IP 地址的平滑扩展。 3. 无类域间路由(CIDR)编址技术

无类域间路由 CIDR(Classless Interdomain Routing )编址技术使用了可变长子网掩 码 VLSM(Variable-Length Subnet Mask)技术和完全二叉树地址分配技术,可根据网络 和主机的分布状况, 灵活地选择不同的子网掩码屏蔽位长度, 动态地分配网络地址标志位和 主机地址标志位长度, 不仅能有效地提高 IP 地址空间利用率, 而且使路由表数据更加简化。

5.3 IP 地址编制规则
IP 地址是由 32 位二进制数字表示,并分为四个八位域。每个八位域由“.”分开,表示 0—255 之间十进制数。一个 32 位的 IP 地址分为网络地址和主机地址两个字段。IP 协议规 定了 A、B、C、D、E 五种 IP 地址类型,其中常用的是 A 类、B 类和 C 类地址,详见下表: ? ? ? ? ?
商业机密

A 类地址:0NNNNNNN.HHHHHHHH.HHHHHHHH.HHHHHHHH B 类地址:10NNNNNN.NNNNNNNN.HHHHHHHH.HHHHHHHH C 类地址:110NNNNN.NNNNNNNN.NNNNNNNN.HHHHHHHH N:网络地址标志位 H:主机地址标志位
24

宝安妇幼保健院异地新网络建项目技术建议书

在 Internet 中以上三类地址区间分别定义了“保留地址区”,供各类内部网络使用,以避 免与外部网络发生地址冲突。其保留地址区间如下: ? ? ? A 类:10.0.0.0—10.255.255.255 B 类:172.16.0.0 —172.31.255.255 C 类:192.168.0.0 —192.168.255.255

5.4 IP 地址分配方案
对于各单位原有纵向业务系统的对外 IP 地址分配须予以保留,并且考虑到以后公网 IP 地址资源的申请情况,建议采用公私网 IP 地址混合应用的规划方案。网络中除了对外提供 服务的服务器、还有内部用户对外上网或其他访问 Internet 的业务需求采用公网 IP 地址, 其他均可以采用私网 IP 地址进行规划,即可采用采用公私网 IP 地址混合,在出口做 NAT 的规划。 由于 XX 妇幼保健院作为信息化网络系统主要用于内部业务的互访, 与 INTERNET 网络 即外网目前是采用互联的方式,所以原则上只能采用任何 IPV4 私有地址。目前,在国际标 准 RFC1918 中定义了 IPv4 私有地址空间为 10/8,172.16/12,192.168/16 ,这三个地址空 间块是不会出现在 INTERNET 网络中。建议采用 10.0.0.0/8 目前有以下几种主要的 IP 地址分配方式。 1. 手工分配 IP 地址 可以直接在用户计算机上手工配置 IP 地址,这种方式一般用于固定用途的服务器 或有特殊需要的用户,例如 Web 服务器、交换机等。为防止这类 IP 地址被盗用,可 以在宽带接入服务器上配置 IP/VLAN、 IP/PVC 绑定。 2. 为 PPP 接入的用户分配 IP 地址 采用 PPP 方式接入的用户,可以利用 PPP 的地址协商功能,由接入服务器分配 IP 地址。有两种方法可以为 PPP 用户分配 IP 地址。 ? ? 3. 多用户情况下,配置 IP 地址池,在接口视图下指定该接口使用的地址池。 单用户情况下,不配置 IP 地址池,在接口上直接给用户配置指定的 IP 地址。

使用 DHCP 服务分配 IP 地址 为了避免 IP 地址冲突,建议使用 DHCP 服务分配 IP 地址。 DHCP 采用客户/服务器通信模式。 网络管理员在 DHCP 服务器上设定一个 IP 地

商业机密

25

宝安妇幼保健院异地新网络建项目技术建议书

址范围,客户端向服务器提出配置申请(包括分配的 IP 地址、子网掩码、缺省网关等 参数) ,服务器根据策略返回相应的配置信息。采用以太网接入的用户,如 IPoEoA( IP over Ethernet over AAL5) 、VLAN 用户,可以通过 DHCP 获得 IP 地址。

6 路由规划
6.1 路由方案选择原则
互连 XX 妇幼保健院作为信息化网络构建最基础和最本质的要求,选择适当的路由协议 需要以此为目标,并综合考虑以下因素: 1) 路由协议的开放性:开放性的路由协议保证了不同厂商都能对本路由协议进行支 持, 这不仅保证了目前网络的互通性, 而且保证了将来网络发展的扩充能力和用户 构建网络时的设备选择空间,这点在很多情况下是需要重点考虑的。 2) 网络的拓扑结构:网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路 由协议不支持分层次的路由信息计算, 对复杂网络的适应能力较弱。 对于比较复杂 的网络,需要使用处理能力更强的协议,如OSPF 、IS-IS等。 3) 网络节点数量:不同的协议对于网络规模的支持能力有所不同, 需要按需求适当选 择, 有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。 XXX网络 节点较多,路由信息也非常多,而且网络状况会千变万化,将导致路由刷新相对频 繁,所以对路由协议的性能提出很高的要求。如能支持的节点数、路由选径是否最 佳、路由算法必须具有鲁棒性、快速收敛性、灵活性等。 4) 网络间的互通及关联要求: 通过划分成相对独立管理的网络区域, 可以减少网络间 的相关性,有利于网络的管理和扩展。可通过划分区域等形式,路由协议要能支持 减少网络间的相关性。 必要时还要考虑路由信息安全因素和对路由交换的限制策略 管理。 5) 管理和安全上的要求: 通常要求在可以满足功能需求的情况下尽可能简化管理。 但 有时为了实现比较完善的管理功能或为了满足安全的需要, 例如对路由的传播和选 用提出一些人为的要求,就需要路由协议对策略的支持。

商业机密

26

宝安妇幼保健院异地新网络建项目技术建议书

根据以上原则,现在各种网络构建中,为节省投资、保证网络的持续扩展性,都在使用 开放、标准而又健壮的协议。

6.2 路由协议的选择
根据XX妇幼保健院作为信息化网络结构, 设计选择适合的路由协议, 能够实现优化的网 络路径选择,同时具有路径均衡功能,在网络结构发生变化时数据能够通过其他路径迂回, 保证网络的畅通。目前常用的单播路由协议有多种,如RIP、OSPF 、IS-IS、BGP等。在不 同的路由协议有各自的特点,分别适用于不同的条件之下。 在IGP路由协议的选择上,距离-矢量路由协议主要特点是适合于小型网络,路由收敛 较慢,可能会形成路由环路,链路带宽消耗较大等。IGRP、EIGRP是厂商私有的路由协议, 所以尽量不要采用扩展性差的(RIP)和厂家的私有路由协议( IGRP和EIGRP) ,尽量采用 OSPF 或IS-IS。 对于OSPF 和IS-IS的选择依据为: ? 基本原理相同(基于链路状态算法) ,OSPF 用于 IP , IS-IS用于 ISO的CLNP,也 支持IP(“集成 IS- IS”) ; ? IS-IS结构严谨,OSPF 更加灵活,OSPF 协议是基于接口的,而IS-IS路由器只能属 于一个Area,并且不支持NBMA网络; ? IS-IS占用网络资源相对较少, 支持网络规模大于OSPF , 在网络相当庞大时能体现 出优势;一个IGP域运行的三层交换机及路由器的数量一般不会超过200台,因此 从实际情况来看,运行OSPF 和 IS-IS对 IP城域网/承载网的建设不会有差异;对于 网络的稳定性、 可扩充性, 两种协议都能很好地支持; 在大型ISP上, IS-IS与OSPF 二者均获得普遍应用; ? 从MPLS草案及现实运行来看,如果要运行MPLS网络的话,OSPF 经常被选用做 内部IGP,当然 IS-IS也有,但是 MPLS草案中认为在 MPLS 环境中运行OSPF 更合 适;使用MPLS TE的时候,采用 IS-IS扩展的较多; ? 从目前很多厂商的设备来看, 存在这样一个问题, 不少厂商的中低端路由器及三层 交换机不支持 IS-IS,从这个角度讲OSPF 比IS-IS有优势,所有的主流路由器及三

商业机密

27

宝安妇幼保健院异地新网络建项目技术建议书

层交换机都支持OSPF 。 因此 XX 妇幼保健院作为信息化网络构建中,在核心层交换机以上,使用开放标准的 OSPF 路由协议,将使得网络在以后的扩展中具有更多的选择空间,不会受到使用某一封闭 标准而带来的扩展限制。

6.2.1 OSPF 简介
OSPF (Open Shortest Path First ,即最短路径优先协议)是一种基于链路状态的内部 动态路由协议。与所有链路状态路由协议相同,OSPF 协议比距离向量路由协议具有更快的 收敛速度,可以支持更大的网络,不易受到错误路由信息的影响,是一种适用范围大、功能 完善的路由协议。OSPF 路由协议还具有以下特点:通过引入区域的概念,OSPF 协议建立 分层的路由计算结构,减少了路由协议对CPU资源的消耗,也节省了路由信息传播所占用 的网络带宽;支持无类别的路由表查找,支持变长子网掩码,并且通过支持超网,提高路由 的可管理性;采用触发更新机制,路由收敛速度快;支持在数个费用相同的路径之间进行负 载均衡,从而更加有效地利用网络资源;使用保留的组播地址传递协议控制信息,减少对非 OSPF 网络设备的影响;支持路由信息的认证,提供更安全的路由机制;通过路由标记跟踪 外部路由。目前OSPF 的主要标准是RFC2328(版本2) 。

6.2.2 OSPF 协议特点
总的来说,由于OSPF 发展成熟,厂商支持广泛,已经成为世界上使用最广泛的 IGP, 尤其在企业级网络,也是IETF 推荐的唯一的IGP。其他路由协议所能适应的网络和具备的主 要优点,OSPF 都能适应。 ? OSPF 是真正的loop-free(无路由自环)路由协议:源自其采用算法本身(链路状态及 最短路径树算法)的优点; ? OSPF 收敛速度快:能够在最短的时间内将路由变化传递到整个自治系统并完成路由重 新计算; ? ? 支持等价路由负载分担,能更有效地利用链路资源; 提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由

商业机密

28

宝安妇幼保健院异地新网络建项目技术建议书

信息的摘要, 大大减少了整个自治系统所需传递的路由信息数量, 减轻了对路由器的性 能需求和管理难度,也使得路由信息不会随网络规模的扩大而急剧膨胀; ? ? 协议设计精巧,将协议自身的报文开销控制到最小。主要采用的技术如下: 用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文,非常短小。包 含路由信息的报文时是触发更新的机制(有路由变化时才会发送) 。但为了增强协议的 健壮性,每1800秒全部更新一次。 ? 在广播网络中,使用组播地址(而非广播)发送报文,减少对其它不运行OSPF 的网络 设备的干扰。 ? 在各类可以多址访问的网络中(广播,NBMA) ,通过选举DR,使同网段的路由器之间 的路由交换(同步)次数由 O(N*N)次减少为 O( N)次。 ? 提出STUB区域的概念,使得ST UB区域内不再传播引入的AS外部路由,并可以控制其 它区域LSA的传入。 ? ? 在ABR(区域边界路由器)上支持路由聚合,进一步减少区域间的路由信息传递。 在点到点接口类型中,通过配置按需拨号属性(OSPF over On Demand Circuits ) ,使 得OSPF 不再定时发送hello报文及定期更新路由信息, 保证低速链路上能节约网络带宽 的消耗。只在网络拓扑真正变化时才发送更新信息。 ? ? 通过严格划分路由的级别(共分四级) ,提供更可信的路由选择。 良好的安全性,OSPF 支持基于接口的明文及MD5协议报文验证,可以很好地防止恶意 攻击和错误的配置; ? ? OSPF 适应各种规模的网络,经过适当的规划可以支持多达数千台。 具备链路状态路由协议能感知全局网络拓扑相关信息的特点,可以扩展支持流量工程, 最大程度地提高骨干网络资源的使用效率。

6.2.3 相关基本概念
1. 路由器 ID号

一台路由器如果要运行OSPF 协议,必须存在Router ID。如果没有配置ID号,系统会从
商业机密 29

宝安妇幼保健院异地新网络建项目技术建议书

当前接口的IP地址中自动选一个作为路由器的 ID号。 2. ? DR和 BDR DR(Designated Router ,指定路由器) 。 为使每台路由器能将本地状态信息广播到整个自治系统中, 在路由器之间要建立多 个邻居关系, 但这使得任何一台路由器的路由变化都会导致多次传递, 浪费了宝贵的带 宽资源。为解决这一问题,OSPF 协议定义了DR,所有路由器都只将信息发送给DR, 由DR将网络链路状态广播出去,除DR/BDR外的路由器(称为DR Other )之间将不再 建立邻居关系,也不再交换任何路由信息。哪一台路由器会成为本网段内的DR并不是 人为指定的,而是由本网段中所有的路由器共同选举出来的。 ? BDR(Backup Designated Router ,备份指定路由器) 如果DR由于某种故障而失效,这时必须重新选举DR,并与之同步。这需要较长的 时间, 在这段时间内, 路由计算是不正确的。 为了能够缩短这个过程, OSPF 提出了BDR 的概念。BDR实际上是对DR 的一个备份,在选举DR的同时也选举出 BDR,BDR也和 本网段内的所有路由器建立邻接关系并交换路由信息。当DR失效后,BDR会立即成为 DR。 3. 区域( Area) 随着网络规模日益扩大,当一个巨型网络中的路由器都运行OSPF 路由协议时,路 由器数量的增多会导致LSDB非常庞大,占用大量的存储空间,并使得运行SPF 算法的 复杂度增加,导致 CPU负担很重;并且,网络规模增大之后,拓扑结构发生变化的概 率也增大,网络会经常处于“动荡”之中,造成网络中会有大量的OSPF 协议报文在传递, 降低了网络的带宽利用率。 而且每一次变化都会导致网络中所有的路由器重新进行路由 计算。 OSPF 协议通过将自治系统划分成不同的区域(Area)来解决上述问题。区域是在 逻辑上将路由器划分为不同的组。 区域的边界是路由器, 这样会有一些路由器属于不同 的区域,连接骨干区域和非骨干区域的路由器称作区域边界路由器— BR,ABR与骨干 区域之间既可以是物理连接,也可以是逻辑上的连接。 除了ABR,负责OSPF 域和非OSPF 域进行交换路由的区域边界路由器叫ASBR。

商业机密

30

宝安妇幼保健院异地新网络建项目技术建议书

4. ?

骨干区域和虚连接 骨干区域(Backbone Area ) OSPF 划分区域之后,并非所有的区域都是平等的关系。其中有一个区域是与众不

同的,它的区域号(Area ID)是0,通常被称为骨干区域。 ? 虚连接(Virtual link) 由于所有区域都必须与骨干区域在逻辑上保持连接, 特别引入了虚连接的概念, 使 那些物理上分割的区域仍可保持逻辑上的连通性。 5. 路由聚合 AS被划分成不同的区域,每一个区域通过OSPF 边界路由器( ABR)相连,区域 间可以通过路由汇聚来减少路由信息,减小路由表的规模,提高路由器的运算速度。 ABR在计算出一个区域的区域内路由之后,查询路由表,将其中每一条OSPF 路由 封装成一条LSA发送到区域之外。 ABR和ASBR都可以进行路由聚合。例如,下图中,Area 19内有三条区域内路由 19.1.1.0/24 ,19.1.2.0/24 ,19.1.3.0/24,如果此时配置了路由聚合,将三条路由聚合成 一条19.1.0.0/16 ,在RTA上就只生成一条描述聚合后路由的LSA。
Area 12
19.1.1.0/24

Virtual Link

Area 19

Area 0
RTA 19.1.2.0/24 19.1.3.0/24

Area 8

7 QOS 规划
为保证XX妇幼保健院作为信息化网络系统各种业务的正常及时处理, 需要对不同业务实

商业机密

31

宝安妇幼保健院异地新网络建项目技术建议书

施不同的QOS策略。对于关键的核心业务的部分,需要优先保证这些业务的时延和带宽; 而对于其它业务来说,也应当有相应的QOS策略来提供不同的服务质量保证。 在 边 缘 设 备 可 以 采 用 IP QoS 复 杂 流 分 类 技 术 对 不 同业 务 数 据 报 文 设 置 不同 的 DSCP/TOS标记, 并根据需要采用流量监管技术 (CAR) 对带宽进行限制; 携带DSCP/TOS 标记的业务报文在核心层网络的接入路由器上,根据DSCP/TOS标识进行简单流分类,并 根据不同业务设置的DSCP/TOS标记,配置相应的队列以及队列带宽保证,由接入路由器 根据数据流情况采用高效的队列管理技术(WRED/SARED )以及队列调度技术( PQ/LLQ) 对用户的需求做保证。 建议在规划XX妇幼保健院作为信息化网络QOS设计时,遵循以下的原则: ? ? ? ? 正常情况下 QOS 是通过带宽来保证的,带宽利用率达到 70%可考虑扩容 网络设备的容量不成为瓶颈 网络故障或突发流量情况下 QOS 策略生效 任何时候都优先保证关键的实时业务

7.1 QOS 体系结构的选择
为了在IP网上提供QoS , IETF 提出了许多服务模型和协议,其中比较突出的有 IntServ (Integrated Services) 模型和DiffServ (Differentiated Services) 模型。 IntServ模型要求网络中的所有节点(包括核心节点)都记录每个经过的应用流的资源 预留状态,需要通过IP包头识别出所有的用户应用流(进行 MF 分类) ,同时为每个经过的应 用流设置单独的内部队列以分别进行监管 (Policing) 、 调度 (Scheduling) 、 整形 (Shaping) 等操作。对于现在大型运营网络中的节点,这种应用流(活动的)的数量非常庞大,会远远 超出节点设备所能够处理的能力,而且可扩展性差,仅适合在小规模网络中使用。 DiffServ模型的基本原理是将网络中的流量分成多个类,每个类接受不同的处理,尤其 是网络出现拥塞时不同的类会享受不同的优先处理, 从而得到不同的丢弃率、 时延以及时延 抖动。在DiffServ的体系结构下, IETF 已经定义了EF (Expedite Forwarding ) 、AF1-AF4 (Assured Forwarding ) 、BE(Best Effort)等六种标准PHB(Per-hop Behavior )及业务。 此外,有些厂商实现了基于TOS的分类服务(COS) ,并且这类设备已经应用在一些现
32

商业机密

宝安妇幼保健院异地新网络建项目技术建议书

有的运营网络。COS和DiffServ类似,不过比DiffServ更简单,并且不象DiffServ那样定义了 一组标准的业务。 DiffServ对聚合的业务类提供QoS保证,可扩展性好,便于在大规模网络中使用。本次 工程推荐使用DeffServ机制实现QOS。 DiffServ域将设备分为两类,边缘设备和核心设备,其中边缘设备承担了较多的工作, 如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理, 开销较大,容易形成网络瓶颈,因此需要将这些功能分布到不同的设备上去,如流分类功尽 量在边缘实现。 基于DiffServ的QOS模型如图所示:
DS区域的服务提供 策略由PHB决定。 DS节点根据PHB属性 转发。 在网络边缘进行业 务分类和流量调整。 - 业务分类 . 基于DS域 . 基于其他特征 - 流量调整 . 测量 . 标记 . 丢弃 . 整形
内部节点 内部节点

DiffServ网络
边界节点 边界节点

流量控制
SLA/TCA

用户网络

用户网络

对不同需求的用户提供不同的服务策略,最终实现端到端的SLA/TCA: . SLA:服务等级协定,关于业务流在网络中传递时所应当获得的待遇。 . TCA:流量调整协定,关于业务分类准则、业务模型及相应处理的协定。

采用 Diffserv/CoS 的方法需要对所有的 IP 包在网络边缘或用户侧进行流分类,打上 Diffserv或CoS标识。 DS域内的路由器根据优先级进行转发, 保证高优先级业务的QoS要求。 骨干网络实施Diffserv/CoS, 需要所有相关设备支持, 特别对边沿节点有很强QOS能力需求。

7.2 QOS 的实现机制
XX 妇幼保健院作为信息化网络能够实现承载包括实时业务在内的综合业务的 QoS 特 性,尤其对DiffServ提供了基于标准的完善支持,包括流分类、流量监管(Policing) 、流量 整形(Shaping) 、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF 、
商业机密 33

宝安妇幼保健院异地新网络建项目技术建议书

AF1-AF4、BE等六组PHB及业务。内部处理流程如下图所示:

?

流分类

总的来说, 允许根据报文头中的最多192比特的控制域信息进行流分类, 具体可以包括 下面描述的报文2、3、4层的控制信息域。 首先输入端口号可以作为重要的分类依据,它可以单独使用,也可以结合报文的其他 信息对流分类。 二层的重要控制域就是源 MAC 地址。允许通过配置将报文的源 MAC汇聚为 MAC地址 组, 最大允许64源MAC地址组, 源MAC地址组可以单独或同其他域组合对用户流进行分类。 此外VLAN ID也是参与流分类的重要属性,只不过是以子接口的形式隐式参与。 三层可以参与分类的控制域包括:源和目的IP地址、TOS/DSCP字节、Protocol(协议 ID) 、分段标志、 ICMP报文类型。 四层的源和目的端口号、TCP SYN标志也是允许参与流分类的重要信息域。

?

流量监管

流量监管也就是我们通常所说的CAR,是流分类之后的动作之一。 通过CAR,运营商 可以限制从网络边沿进入的各类业务的最大流量, 控制网络整体资源的使用, 从而保证网络 整体的QoS。运营商合用之间都签有服务水平协议(SLA) ,其中包含每种业务流的承诺 速率、峰值速率、承诺突发流量、峰值突发流量等流量参数,对超出SLA约定的流量报文可 指定给予pass(通过) 、drop(直接丢弃)或 markdown(降级)等处理,此处降级是指提 高丢弃的可能性(标记为丢弃优先级降低) ,降级报文在网络拥塞时将被优先丢弃,从而保 证在SLA约定范围之内的报文享受到SLA预定的服务。
商业机密 34

宝安妇幼保健院异地新网络建项目技术建议书

RFC定义了四种标准流量监管算法 (Color aware single rate three color 、 Color aware two rate three color 、Color blind single rate three color 、Color blind two rate three

color) 。

?

DSCP标记 /重标记

标记/重标记是是流分类之后的动作之一。所谓标记就是根据SLA以及流分类的结果对 业务流打上类别标记。目前RFC定义了六类标准业务即:EF 、AF1-AF4、BE,并且通过定 义各类业务的PHB (Per-hop Behavior )明确了这六类业务的服务实现要求,即设备处理 各类业务的具体实现要求。从业务的外在表现看,基本上可认为EF 流要求低时延、低抖动、 低丢包率, 对应于实际应用中的Video、 语音、 会议电视等实时业务; AF 流要求较低的延迟、 低丢包率、 高可靠性,对应于数据可靠性要求高的业务如电子商务、企业 VPN等;对 BE 流则不保证最低信息速率和时延,对应于传统Internet业务。 在某些情况下需要重标记DSCP 。例如在 Ingress点业务流量进入以前已经有了DSCP 标记(如上游域是DSCP域的情形,或者用户自己进行了DSCP的标记) ,但是根据SLA,又 需要对DSCP进行重新标记。 完全支持RFC定义的标准的DSCP DS CODE,还支持现在有些网上可能使用的COS。 COS是以TOS的前三比特作为业务区分点,总共可分8个业务等级,对每一种业务等级均有 特定的定义。

?

队列管理

队列管理的主要目的就是通过合理控制Buffer 的使用, 对可能出现的拥塞进行控制。 其 常用的方法是采用RED/WRED算法,在Buffer 的使用率超过一定门限后对部分级别较低的 报文进行早期丢弃, 以避免在拥塞时直接进行末尾丢弃引起著名的TCP全局同步问题, 同时 保护级别较高的业务不受拥塞的影响。 WRED算法可支持多达8个优先级4种丢弃级别的业务流类别,对每种优先级的WRED 曲线均可单独配置。在算法精度上,不仅能及时“感知”网络的拥塞状况,同时可避免网络的 振荡,由此对各种业务流以及同一业务流内部不同的丢弃级别报文进行不同统计概率的丢 弃,可及时有效的避免和控制网络拥塞。 WRED算法由于仅仅根据当前队列长度计算报文的丢弃率,会导致不适当的丢弃从而 引起网络流量的剧烈波动。由于WRED算法的这一局限,在突发度较高的网络中,仅仅使 用WRED算法进行的流量控制的效果会不太理想,为此核心骨干路由器同时实现了先进的
商业机密 35

宝安妇幼保健院异地新网络建项目技术建议书

SARED算法来弥补这一缺陷。SARED算法基于稳定性理论,在考虑平均队列长度的基础之 上,将流的包到达速率作为一个控制因素进行流控,可以在网络严重过载时,有效吸收传统 的WRED带来的网络振荡,使得业务吞吐量更加平滑理想。

?

队列调度和流量整形

对于时延要求严格的实时业务等, 可以利用内部特有的低时延调度算法满足业务要求; 对于带宽要求的业务, 带宽保证算法可以实现严格的带宽保证。 应用时用户不必关心内部抽 象的调度算法,只需要描述业务的流量特征,比如保证多少兆的带宽、峰值最多多少兆的带 宽、 要占剩余带宽的比例权重等。 需要根据配置的流量参数选用不同的调度算法来严格保证 要求的服务质量。 队列调度的构架是一个两级调度模式,第一级是PQ( Preference Queueing )模型, 严格按优先级进行调度,实时业务作为高优先级可以在处理时通过绝对优先调度而时延极 低;第二级采用基于时间片的调度模型,带宽保证的要求能够严格地满足。 队列管理包括FIFO、PQ、CQ、WFQ、CBWFQ、LLQ等队列技术。 针 对 XXX 网 络 的 具 体 需 求 , 如 实 时 业 务 需 要 严 格 保 证 , 建 议 在 接 入 链 路 采 用 CBWFQ/LLQ的队列调度算法。 LLQ介绍:LLQ技术实际上是在CBWFQ的基础上增加了PQ 队列,可以对关键业务实 现严格的优先队列,而其它业务通过CBWFQ调度。

商业机密

36

宝安妇幼保健院异地新网络建项目技术建议书

队列
queue 0 queue 1 queue 2

优先队列

queue N1

...
出队调度

分类 需由此接口 发送的报文 默认队列
queue 1 queue 2

离开接口的报文

queue N2

...

说明:

紧急报文 不匹配用户设定的报文 匹配用户设定的报文

如图所示,LLQ首先根据报文进入网络设备的接口、报文的协议,报文是否匹配访问 控制列表(Access Control List ,ACL)来对报文进行分类。然后让不同类别的报文进入不 同的队列。对于不匹配任何类别的报文,报文被送入默认队列,按WFQ进行处理,即按照 流的方式进行处理。 图中所示0号队列是优先队列(一个或多个类的报文可以被设定进入优先队列) ,不同 类别的报文可设定占用不同的带宽。 在调度出队的时候,若优先队列中有报文,则调度器 总是优先发送优先队列中的报文, 直到优先队列中没有报文时, 才调度发送其他队列中的报 文。 每个队列被分配了一定的带宽,调度器会按照每个队列分配到的带宽进行报文出队发 送。 进入优先队列的报文在接口没有发生拥塞的时候(此时所有队列中都没有报文) ,所有 属于优先队列的报文都可以被发送。在接口发生拥塞的时候(队列中有报文时) ,进入优先 队列的报文被限速,超出规定流量的报文将被丢弃。这样,在接口不发生拥塞的情况下,可 以使属于优先队列的报文能获得空闲的带宽, 在接口拥塞的情况下, 又可以保证属于优先队

商业机密

37

宝安妇幼保健院异地新网络建项目技术建议书

列的报文不会占用超出规定的带宽,保护了其他报文的应得带宽。另外,由于只要优先队列 中有报文, 调度器就会发送优先队列中的报文, 所以优先队列中的报文被发送的延迟最多是 接口发送一个最大长度报文的时间, 无论是延迟还是延迟抖动, 优先队列都可以将之降低为 最低限度。这为对延迟敏感的应用如VoIP业务提供了良好的服务质量保证。 图中1到 N1的队列为各类报文的队列。每类报文占一个队列。在调度器调度报文出队 的时候,按用户为各类报文设定的带宽将报文出队发送。属于1到N1号队列的报文可以被确 保得到用户设定的带宽。当接口中某些类别的报文没有时,属于1到N1号队列的报文还可以 公平地得到空闲的带宽,和时分复用系统相比,大大提高了线路的利用率。同时,在接口拥 塞的时候,仍然能保证各类报文得到用户设定的最小带宽。 当报文不匹配用户设定的所有类别时,报文被送入默认队列。默认队列在逻辑上可看 作是一个队列,但实际上是个WFQ队列,所有进入默认队列的报文再按流进行分类。 LLQ/CBWFQ最多允许将报文分为64类(其中包括默认类) 。所以 N1 的最大值为63。 默认队列的个数N2可以由用户设定。 对于默认队列和1到 N1 的队列,用户可以设定队列的最大长度。当队列的长度达到队 列的最 大长 度时, 默认 采用 尾丢弃 的策 略。 但用户 还可 以选 择用加 权随 机早 期检测 (Weighted Random Early Detection, WRED )的丢弃策略。加权随机早期检测的丢弃策略 请参见后面加权随机早期检测WRED的描述。 对于优先队列,由于在接口拥塞的时候流量限制开始起作用,所以用户不必设置队列 的长度(也就没有了尾丢弃) 。

7.3 QOS 部署
华为网络设备提供的丰富 QoS 机制完全能够满足 XX 妇幼保健院作为信息化网络的要 求,具体策略如下。 对于不同的业务如综合征管业务和其它关键业务,普通业务分别在接入交换机对其进 行IP优先级/DSCP进行标记, 并且基于 IP优先级/DSCP对流量进行分类。 保证综合征管业务 和其它关键业务有高的优先级。 在接入的入口,通过流量监管机制CAR,在入口侧限制业务中不同信息流的流量,此 功能在边缘局域网交换机上进行。 这些业务在从LAN发送到 WAN时肯定会在出口处发生拥塞,这时可以采用拥塞避免措
商业机密 38

宝安妇幼保健院异地新网络建项目技术建议书

施如通过WRED/尾丢弃机制对于不同业务区别对待,避免网络内部流量振荡。减少TCP窗 口发送的段。 通过CBWFQ队列调度算法, 保证高优先级的队列数据优先通过, 比如综合征管业务和 其它关键业务。从而保证业务数据的带宽、时延、时延抖动等QoS性能 最后需要说明的是QOS的最佳工作区间是在网络偶尔发生拥塞的情况下,如果网络经 常发生拥塞,最好的QOS解决办法就是升级线路带宽。

8 VLAN 规划
8.1 VLAN 定义
VLAN(Virtual Local Area Network )即虚拟局域网,是将一个物理的 LAN 在逻辑上 划分成多个广播域(多个 VLAN)的通信技术。VLAN 内的主机间可以直接通信,而 VLAN 间不能直接互通,从而将广播报文限制在一个 VLAN 内。由于 VLAN 间不能直接互访,因 此提高了网络安全性。 早期的局域网 LAN 技术是基于总线型结构,它存在以下主要问题: ? ? ? 若某时刻有多个节点同时试图发送消息,那么它们将产生冲突。 从任意节点发出的消息都会被发送到其他节点,形成广播。 所有主机共享一条传输通道,无法控制网络中的信息安全。

这种网络构成了一个冲突域,网络中计算机数量越多,冲突越严重,网络效率越低。同 时,该网络也是一个广播域,当网络中发送信息的计算机数量越多时,广播流量将会耗费大 量带宽。 因此, 传统网络不仅面临冲突域和广播域两大难题, 而且无法保障传输信息的安全。 为了扩展传统 LAN,以接入更多计算机,同时避免冲突的恶化,出现了网桥和二层交 换机,它们能有效隔离冲突域。 Bridge 和交换机采用交换方式将来自入端口的信息转发到出端口上,克服了共享介质 上的访问冲突问题,从而将冲突域缩小到端口级。采用交换机进行组网,通过二层快速交换 解决了冲突域问题,但是广播域和信息安全问题依旧存在。 为减少广播,需要在没有互访需求的主机之间进行隔离。路由器是基于三层 IP 地址信 息来选择路由,其连接两个网段时可以有效抑制广播报文的转发,但成本较高。因此设想在 物理局域网上构建多个逻辑局域网,即 VLAN(Virtual Local Area Network ) 。
商业机密 39

宝安妇幼保健院异地新网络建项目技术建议书

VLAN 将一个物理的 LAN 在逻辑上划分成多个广播域(多个 VLAN) 。 VLAN 内的主 机间可以直接通信,而 VLAN 间不能直接互通。这样,广播报文被限制在一个 VLAN 内, 同时提高了网络安全性。 例如,同一个写字楼的不同企业客户,若建立各自独立的 LAN,企业的网络投资成本 将很高;若共用写字楼已有的 LAN,又会导致企业信息安全无法保证。采用 VLAN,可以 实现各企业客户共享 LAN 设施,同时保证各自的网络信息安全。 IEEE 802.1Q 标准对 Ethernet 帧格式进行了修改, 在源 MAC 地址字段和协议类型字 段之间加入 4 字节的 802.1Q Tag,即 VLAN 标签。

8.1.1 链路类型
VLAN 内的链路包括: ? ? 接入链路(Access Link) :连接用户主机和交换机的链路为接入链路。 干道链路(Trunk Link) :连接交换机和交换机的链路称为干道链路。干道链路上 通过的帧一般为带 Tag 的 VLAN 帧。 ? ? Hybrid 端口 QinQ 端口

8.1.2 端口类型
在 802.1Q 中定义 VLAN 帧后,设备的有些端口可以识别 VLAN 帧,有些端口则不能 识别 VLAN 帧。根据对 VLAN 帧的识别情况,将端口分为 4 类: 1) lAccess 端口 Access 端口是用来连接用户主机的端口,它只能连接接入链路。有如下特点: ? 仅仅允许唯一的 VLAN ID 通过本端口,这个 VLAN ID 与端口的 PVID( Port Default VLAN ID,端口缺省的 VLAN ID)相同。 ? 如果该端口收到的对端设备发送的帧是 untagged (不带 VLAN 标签) ,交换 机将强制加上该端口的 PVID。 ? 2) Access 端口发往对端设备的以太网帧永远是不带标签的帧。

Trunk 端口 Trunk 端口是用来和其他交换机连接的端口, 它只能连接干道链路。 有如下特点:

商业机密

40

宝安妇幼保健院异地新网络建项目技术建议书

? ?

Trunk 端口允许多个 VLAN 的帧(带 Tag 标记)通过。 如果从 Trunk 端口发送的帧带 Tag,且 Tag 与端口缺省的 VLAN ID 相同, 则交换机会剥掉该帧中的 Tag 标记。因为每个端口的 PVID 取值是唯一的。 仅在这种情况下,Trunk 端口发送的帧不带 Tag。

?

如果从 Trunk 端口发送的帧带 Tag,但是与端口缺省的 VLAN ID 不同,则交 换机对该帧不做任何动作,直接发送带 Tag 的帧。

3)

Hybrid 端口 Hybrid 端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。 Hybrid 端口既可以连接接入链路又可以连接干道链路。Hybrid 端口允许多个 VLAN 的帧通过,并可以在出端口方向将某些 VLAN 帧的 Tag 剥掉。

4)

QinQ 端口 QinQ(802.1Q-in-802.1Q)端口是使用 QinQ 协议的端口。QinQ 端口可以给 帧加上双重 Tag,即在原来 Tag 的基础上,给帧加上一个新的 Tag,从而可以支持 多达 4094 x 4094 个 VLAN,满足网络对 VLAN 数量的需求。 外层的标签通常被称作公网 Tag, 用来存放公网的 VLAN ID。 内层标签通常被称 作私网 Tag,用来存放私网的 VLAN ID。

8.1.3 缺省 VLAN
在交换设备上,每个 Access、Trunk、Hybrid、QinQ 类型的端口可以配置一个 缺省 VLAN。端口类型不同,缺省 VLAN 的含义也有所不同。 1. ? Access 端口的缺省 VLAN – 对于从 Access 端口接收到的不带 Tag 的帧,交换设备会在帧中加上 Tag 标记,并将 Tag 中的 VID 字段的值设置为端口所属的缺省 VLAN 编号。 ? – 对于从 Access 端口发送的帧, 如果 Tag 中的 VID 值为缺省 VLAN 编号, 则交换设备会剥掉该帧中的 Tag 标记。因为 Access 端口发往对端设备的以 太网帧永远是不带标签的帧。 2. ? l Trunk 端口的缺省 VLAN 对于从 Trunk 端口接收到的不带 Tag 的帧,交换设备会在帧中加上 Tag 标 记,并将 Tag 中的 VID 字段的值设置为端口所属的缺省 VLAN 编号。
商业机密 41

宝安妇幼保健院异地新网络建项目技术建议书

?

对于从 Trunk 端口发送的帧: ? 如果 Tag 中的 VID 值为缺省 VLAN 编号,则交换设备会剥掉该帧中的 Tag 标记。因为每个端口的 PVID 取值是唯一的。 ? 如果 Tag 中的 VID 值与端口缺省的 VLAN 不同,则交换设备对该帧不 做任何改变,直接发送带 Tag 的帧。

3.

l Hybrid 端口的缺省 VLAN 对于从 Hybrid 端口接收到的不带 Tag 的帧,交换机会在帧中加上 Tag 标 记,并将 Tag 中的 VID 字段的值设置为端口所属的缺省 VLAN 编号。

4. ?

QinQ 端口的缺省 VLAN 对于从 QinQ 端口接收的帧,无论该帧是否带 Tag 标记,交换设备都会在帧 中加上 Tag, 并将 Tag 中的 VID 字段的值设置为端口所属的缺省 VLAN 编号。

?

对于 QinQ 端口发送的帧,如果最外层 Tag 的 VID 字段的值等于缺省 VLAN 编号,交换设备会将帧中最外层的 Tag 剥掉。因为每个端口的 PVID 取值是 唯一的。

8.2 VLAN 通信方案 8.2.1 VLAN 基本通信
为了提高处理效率,交换机内部的数据帧一律都带有 VLAN Tag,以统一方式处理。当 一个数据帧进入交换机端口时,如果没有带 VLAN Tag,且该端口上配置了 PVID( Port Default VLAN ID) , 那么, 该数据帧就会被标记上端口的 PVID。 如果数据帧已经带有 VLAN Tag,那么,即使端口已经配置了 PVID,交换机不会再给数据帧标记 VLANTag。由于端口 类型不同,交换机对帧的处理过程也不同。下面根据不同的端口类型分别介绍。 端口 类型 Access 端口 对接收不带 Tag 的报 文处理 接收该报文,并打上缺省 LAN 的 Tag。 对接收带 Tag 的报文 处理 ? VLAN ID 与缺省 VLAN ID 相同时, 接收该报文。 ? 当 VLAN ID 与缺 省 VLAN ID 不同 时,丢弃该报文。 Trunk端
商业机密

发送帧处理过程

先剥离帧的 PVIDTag,然 后再发送。

? 打上缺省的 VLANID,

? 当 VLAN ID 在接

? 当 VLAN ID 与缺省
42

宝安妇幼保健院异地新网络建项目技术建议书

端口 类型 口

对接收不带 Tag 的报 文处理 当缺省 VLANID 在允许 通过的 VLAN ID 列表 里时,接收该报文。 ? 打上缺省的 VLANID, 当缺省 VLANID 不在允 许通过的 VLAN ID 列 表里时,丢弃该报文。

对接收带 Tag 的报文 处理 口 允 许 通 过 的 VLAN ID 列 表 里 时,接收该报文。
? 当 VLAN ID 不在

发送帧处理过程 VLAN ID 相同,且是 该接口允许通过的 VLANID 时,去掉 Tag,发送该报文。
? 当 VLAN ID 与缺省

接口允许通过的 VLAN ID 列 表 里 时,丢弃该报文。

VLAN ID 不同,且是 该接口允许通过的 VLANID 时,保持原 有 Tag,发送该报文。

Hybrid 端口

同 Trunk 端口处理方式

同 Trunk 端口处理方式 当VLAN ID 是该接口允 许通过的VLANID 时,发 送该报文。可以通过命令 设置发送时是否携带Tag。

QinQ 端口

QinQ 端口是使用QinQ 协议的端口。 QinQ 端口可以给帧加上双重Tag, 即在原 来Tag 的基础上,给帧加上一个新的Tag,从而可以支持多达4094 x4094 个 VLAN,满足网络对VLAN 数量的需求。

8.2.2 VLAN 内跨越交换机通信
有时属于同一个 VLAN 的用户主机被连接在不同的交换机上。 当 VLAN 跨越交换机时, 就需要交换机间的端口能够同时识别和发送跨越交换机的 VLAN 报文。这时,需要用到 Trunk Link 技术。Trunk Link 有两个作用: ? ? 中继作用:把 VLAN 报文透传到互联的交换机。 干线作用:一条 Trunk Link 上可以传输多个 VLAN 的报文。

如下图所示,为了让 Switch A 和 Switch B 之间的链路既支持 VLAN2 内的用户通讯 又支持 VLAN3 内的用户通讯,需要配置连接端口同时属于两个 VLAN。即应配置 Switch A 的以太网端口 GE0/0/2 和 Switch B 的以太 网端口 GE0/0/1 既属于 VLAN2 也属于 VLAN3。

商业机密

43

宝安妇幼保健院异地新网络建项目技术建议书

当用户主机 Host A 发送数据给用户主机 Host B 时,数据帧的发送过程如下: 1 2 数据帧首先到达 Switch A 的端口 GE0/0/4。 端口 GE0/0/4 给数据帧加上 Tag,Tag 的 VID 字段填入该端口所属的 VLAN 的 编号。 3 4 5 Switch A 将帧发送到本交换机上除 GE0/0/4 外的所有属于 VLAN2 的端口。 端口 GE0/0/2 将帧转发到 Switch B 上。 Switch B 收到帧后,会根据帧中的 Tag 识别出该帧属于 VLAN2,于是将该帧发 给本交换机上除 GE0/0/1 外所有属于 VLAN2 的端口。 6 端口 GE0/0/3 将数据帧发送给主机 Host B。

8.2.3 VLAN 间通信
划分 VLAN 后,不同 VLAN 的计算机之间不能实现二层通信。如果在 VLAN 间通信, 需要建立 IP 路由。本方案采用三层交换技术方案。 三层交换技术是将路由技术与交换技术合二为一的技术, 在交换机内部实现了路由, 提 高了网络的整体性能。 三层交换机通过路由表传输第一个数据流后, 会产生一个 MAC 地址 与 IP 地址的映射表。当同样的数据流再次通过时,将根据此表直接从二层通过而不是通过 三层,从而消除了进行路由选择而造成的网络延迟,提高了数据包转发效率。
44

商业机密

宝安妇幼保健院异地新网络建项目技术建议书

为了保证第一次数据流通过路由表正常转发, 路由表中必须有正确的路由表项。 因此必 须在三层交换机上部署三层接口并部署路由协议,实现三层路由可达。VLANIF 接口由此而 产生。VLANIF 接口是三层逻辑接口。

8.3 VLAN Aggregation
VLAN Aggregation 技术(也称为 Super VLAN,即 VLAN 聚合)就是在一个物理网络 内, 用多个 VLAN 隔离广播域, 使不同的 VLAN 属于同一个子网。 它引入了 super-VLAN 和 sub-VLAN 的概念。 ? super-VLAN:和通常意义上的 VLAN 不同,它只建立三层接口,与该子网对应, 而且不包含物理端口。可以把它看作一个逻辑的三层概念—若干 sub-VLAN 的集 合。 ? sub-VLAN:只包含物理端口,用于隔离广播域的 VLAN,不能建立三层 VLAN 接 口。它与外部的三层交换是靠 super-VLAN 的三层接口来实现的。 一个 super-VLAN 可以包含一个或多个保持着不同广播域的 sub-VLAN。 sub-VLAN 不 再占用一个独立的子网网段。在同一个 super-VLAN 中,无论主机属于哪一个 sub-VLAN, 它的 IP 地址都在 super-VLAN 对应的子网网段内。 这样,sub-VLAN 间共用同一个三层接口,既减少了一部分子网号、子网缺省网关地 址和子网定向广播地址的消耗, 又实现了不同广播域使用同一子网网段地址的目的。 消除了 子网差异,增加了编址的灵活性,减少了闲置地址浪费。

8.4 MUX VLAN
MUX VLAN ( Multiplex vlan)提供了一种通过 VLAN 进行网络资源控制的机制。例如, 在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部 员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。通过 MUX VLAN 提 供的二层流量隔离的机制可以实现企业内部员工之间可以互相交流, 而企业客户之间是隔离 的。

商业机密

45

宝安妇幼保健院异地新网络建项目技术建议书

8.5 VLAN Mapping
VLAN Mapping ,也叫做 VLAN Translation ,可以实现不同 VLAN 间的通信。 VLAN Mapping 发生在报文从入端口接收进来之后,从出端口转发出去之前。 ? 当在端口配置了 VLAN ID 映射后, 端口在向外发送本地 VLAN 的帧时, 将帧中的 VLAN Tag 替换成外部 VLAN 的 VLAN Tag。 ? 在接收外部 VLAN 的帧时, 将帧中的 VLAN Tag 替换成本地 VLAN 的 VLAN Tag。 这样不同 VLAN 间就实现了互相通信。 借助 VLAN Mapping 实现两个 VLAN 内设备互相通信, 这两个 VLAN 内设备的 IP 地 址还必须处于同一网段。 如果两个 VLAN 内设备的 IP 地址不在同一网段, 那么设备间的互 通需要依赖三层路由实现,这样就失去了 VLAN Mapping 的意义。

8.6 VLAN 的划分
XX 妇幼保健院医院大楼网络中的华为交换机,支持以下 VLAN 划分方式,适用不同的 场景和应用。 ? 基于端口划分 VLAN:根据交换设备的端口编号来划分 VLAN,分给不同部门,或 功能使用。 ? 基于 MAC 地址划分 VLAN:根据计算机网卡的 MAC 地址来划分 VLAN。当终端 用户的物理位置发生改变,不需要重新配置 VLAN。提高了终端用户的安全性和接 入的灵活性,便于移动办公。 ? 基于子网划分 VLAN:如果交换设备收到的是 untagged (不带 VLAN 标签)帧, 交换设备根据报文中的 IP 地址信息,确定添加的 VLANID。 ? 基于协议划分 VLAN:根据接口接收到的报文所属的协议(族)类型及封装格式来 给报文分配不同的 VLAN ID。 ? 基于匹配策略划分 VLAN: 基于 MAC 地址、IP 地址、 接口组合策略划分 VLAN , 是指在交换机上配置终端的 MAC 地址和 IP 地址, 并于 VLAN 关联。 只有符合条 件的终端才能加入指定 VLAN,安全性非常高。

商业机密

46

宝安妇幼保健院异地新网络建项目技术建议书

8.7 用户移动办公
为解决某部门(即某个 VLAN)的员工移动办公需求,采用基于 MAC 地址的方式来划 分 VLAN:根据该用户的计算机网卡的 MAC 地址来划分 VLAN。当终端用户的物理位置发 生改变,不需要重新配置 VLAN,可以正常接入到网络中,提高了终端用户的安全性和接入 的灵活性。

8.8 语音( Voice) VLAN 方案
XX 妇幼保健院作为信息化网络中同时存在语音数据和非语音数据两种流量。语音数据 在传输时需要具有比其他业务数据更高的优先级, 以减少传输过程中可能产生的时延和丢包 现象。 提高语音数据传输优先级的传统处理方法是使用 ACL(Access Control List )对语音数 据进行区分,并使用 QoS(Quality of Service )保证传输质量。为简化用户配置,更方便 的管理语音流的传输,提出了 Voice VLAN 特性。 使能 Voice VLAN 功能的接口根据进入接口的数据流中的源 MAC 地址字段来判断该 数 据 流 是 否 为 语 音 数 据 流 。 源 MAC 地 址 符 合 系 统 设 置 的 语 音 设 备 OUI (OrganizationallyUnique Identifier )地址的报文认为是语音数据流。接收到语音数据流的 接口将自动加入 Voice VLAN 中传输。从而简化了用户配置,实现了用户方便管理语音数 据。 如下图所示, HSI ( High Speed Internet ) 、 VOIP ( Voice Over IP) 、 IPTV (Internet Protocol Television)三种业务同时接入交换机。为了区分语音数据流,对 VoIP 的电话终端流量通 过不同的 VLAN 隔离, 并给与更高的优先级, 保证通话质量。 此时, 可在交换机上部署 Voice VLAN 功能。对于 VoIP 的电话终端的语音流量,交换机为其打上预先配置的 VLAN,并且 为语音流分配较高的优先级,使得语音流可以优先转发,保证通话质量。Switch 不同的接 口下,可以指定不同的 VLAN 为 Voice VLAN,但是同一个接口下只能指定一个 VLAN 为 Voice VLAN。

商业机密

47

宝安妇幼保健院异地新网络建项目技术建议书

8.9 VLAN 管理
可以使用 Telnet 等工具登录到交换机上,使用命令行直接在设备上对 VLAN 进行查看 和管理。或使用华为网络管理软件,通过图形画的界面对设备的 VLAN 进行管理。

9 网络管理平台规划
网络建成后将转入后期运营、维护阶段。在办公高度信息化、智能化、网络化的时代, 网络的稳定性,直接影响公司的业务运营、办公效率和未来发展,所以如何实时监控网络状 态, 提前发现潜在问题, 及时解决网络故障, 保证网络正常运行, 是网络管理员的首要任务。 网络管理是计算机网络的关键技术之一, 尤其在大型计算机网络中更是如此。 网络管理 就是指监督、 组织和控制网络通信服务以及信息处理所必需的各种活动的总称。 其目标是确 保计算机网络的持续正常运行, 并在计算机网络运行出现异常时能及时响应和排除故障。 为 了提高管理效率,减少网络管理成本,网络管理软件成为网管人员的首先工具。通过网管软 件, 网络管理人员可以使网络中的资源能够得到更加有效的利用, 当网络出现故障时能及时获取报
告和处理,并协调、保持网络系统的高效运行等。

XX 妇幼保健院作为信息化网络中,推荐华为的 eSight 网络管理软件,对整网的网络设 备进行统一管理。eSight 是华为面向企业网管理推出的新一代面向企业园区和分支网络管

商业机密

48

宝安妇幼保健院异地新网络建项目技术建议书

理系统,实现对企业资源、业务、用户的统一管理以及智能联动。eSight 支持对 IT&IP, 以及非华为设备的统一管理,同时对网络流量、接入认证角色等进行智能分析,自动调整网 络控制策略,全方位保证企业网络安全;同时,eSight 提供灵活的开放平台,为企业量身 打造自己的智能管理系统提供基础。 eSight 能够对华为、H3C、CISCO、中兴的网络设备进行统一管理。 ? 能够统一管理华为、H3C、 CISCO、 中兴等厂商的网络设备, 以及 IBM、HP、SUN 等厂商的 IT 设备。 ? 预置对 H3C、CISCO、中兴等厂商主流设备的管理能力,同时提供灵活的自定义 能力。对于没有预置的设备,用户可以进行自定义,经过自定义后可以同预置设备 一样进行管理。 ? 对于支持标准 MIB(RFC1213-MIB, Entity-MIB, SNMPv2-MIB, IF-MIB)的非 华为设备, eSight 通过自定义设置就能达到与预置的非华为设备同样的管理能 力;对于不支持标准 MIB 的非华为设备,可以通过打网元补丁的方式进行适配。 eSight 提供全面的基础网络管理、网元管理、业务管理和系统管理功能,不仅在网络 资源管理的基础上实现了拓扑、故障、性能、配置、安全等管理功能,而且还可以作为其他 业务管理组件的承载平台, 共同实现管理的深入融合联动。 软件通过流程向导的方式告诉用 户如何使用功能,为用户提供了精细化的管理。 1. 安全管理 安全管理实现对网管系统本身的安全控制,通过对用户、角色、权限和操作集等管理, 保证网管系统的安全。 2. 日志管理 日志信息记录了用户进行的一些重要操作,用户可以查看、过滤日志列表,还可以详细 查看某条系统日志的内容。支持管理操作日志、安全日志和系统日志,提供提示、一般和危 险三种级别的信息。 3. 资源管理 网管对设备的管理,包括设备添加、删除。提供子网的管理方式,用户可以根据实际设 备的物理位置,划分不同的子网对设备进行区域管理。 4. 拓扑管理 拓扑管理是指以拓扑图方式显示被管网元及其之间连接的状态。 用户可通过浏览拓扑视 图来实时了解整个网络的运行情况。
商业机密 49

宝安妇幼保健院异地新网络建项目技术建议书

5. 告警管理 告警管理是对网络中的异常运行情况进行实时监视,通过告警实时浏览、告警操作、告 警规则设定(屏蔽规则、声音设定) 、告警远程通知等手段,便于网络管理员及时采取措施, 恢复网络正常运行。 6. 性能管理 eSight 可以对网络的关键性指标进行监控,并对采集到性能数据进行统计。通过可视 化的操作界面,方便用户对网络性能进行管理。 7. 物理资源 针对企业网户提供用户对设备的配置、查询功能,提供用户对设备机框、单板、子卡及 端口的查询功能。 8. 报表管理 eSight 通过任务执行报表生成,支持周期报表任务、即时报表任务;支持报表导出为 PDF 、Excel、Word、PowerPoint 等常见文件格式。eSight 预集成了丰富的报表模板,可 以满足常见的网络运维报表需求;同时,提供了灵活的报表设计工具,支持用户自定制报表 模板,以实现个性化的报表需求。 9. 自定义设备管理 针对企业网用户需要管理的多种厂商的设备类型,eSight 提供了自定义管理功能。用 户通过自定义管理模块,完成对设备类型、性能指标、告警参数、配置文件管理、设备面板 的定制,增强对设备基本能力的管理。 10. 配置文件管理 配置文件管理指对设备的配置信息进行管理, 提供对设备配置文件的导入、 备份、 恢复、 比较、基线化管理。当网络出现问题时,可以根据之前备份的网络可运行时的配置文件与当 前设备正在运行的配置进行比较,帮助您快速定位并恢复当前出现的故障。 11. 智能配置工具 智能配置工具用于对华为设备进行业务配置, 支持配置模板和规划表对设备批量下发业 务配置。 模板主要用于对多个网元进行相同业务配置的批量下发; 规划表主要用于对多个网 元进行相似业务配置的批量下发。 12. WLAN 业务管理 WLAN 管理对 WLAN 网络设备和资源进行业务配置和监控,提供 AC、AP、STA 物 理资源管理功能。
商业机密 50

宝安妇幼保健院异地新网络建项目技术建议书

13. SLA 业务管理 SLA 业务管理提供网络性能度量与诊断功能,通过主动在多个网元或链路之间发送诊 断报文来实现对网络业务质量的度量和检测。 14. MPLS VPN 业务管理 BGP/MPLS VPN 管理组件提供了对 MPLS VPN 业务端到端的监控功能。用户通过对 业务的性能、告警、SLA 等多种手段监控当前业务的运行状况,并提供快速诊断功能快速 定位业务故障。 15. 分级网管管理 eSight 支持用户建立分级分层的网络管理方案。用户可以将网络按照需求,将网络进 行分级分层。eSight 支持在上级网管维护下级网管列表,通过链接可以直接打开下级网管 的界面。从而实现查看下级网管告警、拓扑、性能和报表等功能。 16. 单网元特性管理 对各种设备进行管理的功能特性。 17. 系统 Portal 首页 Portal 首页以图形化形式提供重要监控信息一览,并支持用户自定义显示的监控信息 和格式。 18. 数据转储与备份 eSight 提供独立于网络应用平台的 WEB 服务实现数据库备份、恢复管理。供用户进 行数据库数据的备份和恢复功能。 19. 网元适配包管理 eSight 提供独立于网络应用平台的 WEB 服务,实现网元适配包的安装加载和升级。

10 主要网络产品介绍
10.1华为 S9300
S9300系列是华为公司面向融合多业务的网络架构而推出的新一代高端智能 T 比特核心 路由交换机。该产品基于华为公司智能多层交 换的技术理念,在提供稳定、可靠、安全的 高性能 L2/L3层交换服务基础上,实现高清视频流承载、大容量无线网络、弹性云计算 、 硬件 IPv6、一体化安全等业务应用,同时具备强大扩展性和可靠性。 S9300系列交换机广 泛适用于广域网、城域网、园区网络和 数据中心,帮助企业构建面向应用的网络平台,提

商业机密

51

宝安妇幼保健院异地新网络建项目技术建议书

供交换路由一体化的端到端融合网络。 S9300系列提供 S9303、S9306、S9312三种产品形态,支持不断扩展的交换能力和端口 密度。整个系列秉承模块通用化、部件归一化 的设计理念,最小化备件成本,在保证设备 扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机, 采用了多 种 绿色节能创新技术,在不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污 染,为网络绿色可持续发展提供领先的解决方案。

10.1.1 产品特点 先进交换架构提升网络扩展性
? ? 背板具备良好的扩展性,可平滑扩展至更高带宽,支持单端口速率40G、100G 平滑升 级,同时完美兼容现网板卡,保护初始投资。 超高万兆端口密度,单台设备支持576个万兆端口,助力企业园区和数据中心迎来全万 兆核心时代。

运营级高可靠性设计,保障企业应用永续运行
? ? S9300所有关键器件, 如主控、电源、风扇等均采用冗余设计,所有模块均支持热插拔。 支持 ISSU 业务无损升级,减少关键业务和服务中断。 CSS 集群创新性采用交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换, 交换效率低下的架构难题,提供业界主机间最大的256G 集群带宽,同时可以通过跨框 链路聚合提高链路的利用率,并消除单点故障。

商业机密

52

宝安妇幼保健院异地新网络建项目技术建议书

S9300 CSS 集群

全业务以太交换平台
? ? 支持分布式 L2/L3 MPLS VPN 功能, 支持 MPLS、 VPLS、HVPLS、VLL, 满足企业 VPN 等用户的接入需求。 支持完善的二、三层组播协议,线卡硬件具备线速的跨 VLAN 组播复制能力,独立的 组播 QOS 队列,优先满足视频和音频等低时延业务转发。

周密的安全设计
? ? 内嵌集中式防火墙板卡, 支持虚拟防火墙与 NA T 多实例, 满足多 VPN 客户共用防火墙 组网环境。应用层包过滤技术对应用层报文内容进行复杂规则检测和过滤。 提供2级 CPU 保护机制,支持1K CPU 硬件保护队列,可实现数据和控制的分离处理, 防止拒绝服务攻击、 非法接入以及控制平面过载等安全威胁, 提供业界领先的一体化安 全解决方案。

无线+无源一体化接入
? ? S9300无线 AC 功能支持丰富的 RF(射频) 管理。 支持 AP 上线时自动选择信道和功率, 在 AP 重叠区域,信号冲突时自动调整功率或信道。 S9300无线 AC 功能支持二、三层漫游,终端设备跨 AP 漫游快速切换,AC 间1+1、N+1 多机冷备和 AC 间负载分担提高网络可靠性。

创新节能打造低碳网络
? ? ? 主机“旋转”风道设计,提高整机散热效率,采用芯片“变流”技术,实现按流量动态调整 功率,降低整机功耗11%。支持端口休眠,无流量不耗电。 智能 POE 供电,可以实现基于 PD 设备角色启动不同的能源管理方案,保持设备能源 管理弹性。 支持 IEEE 802.3az 能效以太网标准,线卡收发器具备低功率闲置模式,支持正常工作
53

商业机密

宝安妇幼保健院异地新网络建项目技术建议书

与低功率状态快速转换,低流量低功耗。

10.1.2 产品规格
项目 背板容量 交换容量 包转发率 业务槽位 VLAN S9303 3Tbps S9306 6Tbps 12Tbps 2Tbps/5.12Tbps 1344Mpps/3360Mpps S9312

768Gbps/1. 2Tbps/5.12T 92Tbps bps 576Mpps/1 440Mpps 1152Mpps/2 880Mpps

3 6 12 支持 Access 、Trunk、Hybrid 方式 支持 default VLAN 支持 VLAN 交换 支持 QinQ、增强型灵活 QinQ 支持基于 MAC 的动态 VLAN 分配

MAC 地址功能

支持 MAC 地址自动学习和老化 支持静态、动态、黑洞 MAC 表项 支持源 MAC 地址过滤 支持基于端口和 VLAN 的 MAC 地址学习限制

STP

支持 STP(IEEE 802.1d) ,RSTP(IEEE 802.1w)和 MSTP(IEEE 802.1s) 支持 BPDU 保护、 Root 保护、环路保护 支持 BDPU Tunnel

IP 路由 组播

支持 RIP、OSPF、ISIS、BGP 等 IPv4动态路由协议 支持 RIPng、OSPFv3、ISISv6、BGP4+等 IPv6动态路由协议 支持 IGMPv1/v2/v3、IGMP v1/v2/v3 Snooping 支持 PIM DM、PIM SM、PIM SSM 支持 MSDP、MBGP 支持用户快速离开机制 支持组播流量控制 支持组播查询器 支持组播协议报文抑制功能 支持组播 CAC 支持组播 ACL

MPLS

支持 MPLS 基本功能 支持 MPLS OAM 支持 MPLS TE 支持 MPLS VPN/VLL/VPLS

可靠性

支持 LACP、支持跨设备 E-Trunk 支持 VRRP、 BFD for VRRP

商业机密

54

宝安妇幼保健院异地新网络建项目技术建议书

支持 BFD for BGP/IS-IS/OSPF/静态路由 支持 NSF、GR for BGP/IS-IS/OSPF/LDP 支持 TE FRR、IP FRR 支持以太网 OAM 802.3ah 和802.1ag 支持 ITU-Y .1731 支持 DLDP 支持运行中软件升级 ISSU 支持集群交换系统 CSS QoS 支持基于 Layer2协议头、Layer3协议、Layer4协议、802.1p 优先级等的组 合流分类 支持 ACL、CAR、 Remark、Schedule 等动作 支持 PQ、WRR、DRR、PQ+WRR、PQ+DRR 等队列调度方式 支持 WRED、尾丢弃等拥塞避免机制 支持 H-QOS 支持流量整形 配置与维护 支持 Console、Telnet、SSH 等终端服务 支持 SNMPv1/v2/v3等网络管理协议 支持通过 FTP、TFTP 方式上载、下载文件 支持 BootROM 升级和远程在线升级 支持热补丁 支持用户操作日志 安全和管理 802.1x 认证,Portal 认证 支持 NAC 支持 RADIUS 和 HWTACACS 用户登录认证 命令行分级保护,未授权用户无法侵入 支持防范 DoS 攻击、TCP 的 SYN Flood 攻击、 UDP Flood 攻击、广播风 暴攻击、大流量攻击 支持1K CPU 通道队列保护 支持 ICMP 实现 ping 和 traceroute 功能 增值业务能力 支持 RMON 支持 Firewall 功能 支持 NA T 功能 支持 Netstream 功能 支持 IPSec 功能 支持负载均衡功能 支持无线 AC 控制器 绿色节能 机箱尺寸 mm (宽 深× 高) × 支持802.3az 能效以太网 442× 476× 1 75 442× 476× 44 2 442× 476× 664

机箱重量(空配) <15Kg <30Kg <45Kg 工作电压 DC:–38.4V~–72V AC:90V~290V 整机供电能力 (不含 POE)
商业机密 55

800W

1600W

1600W

宝安妇幼保健院异地新网络建项目技术建议书

整机最大 POE 功 率

2200W

8800W

8800W

10.2华为 S7700
S7700系列是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机。该产 品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能 L2~L4层交换 服务基础上,进一步提供 MPLS VPN、业务流分析、完善的 QOS 策略、可控组播、资源负 载均衡、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。 S7700系列广泛适用于园区网络和数据中心网络,可对无线、话音、视频和数据融合网络进 行先进的控制,帮助企业构建交换路由一体化的端到端融合网络。 ●128G 槽位带宽,100GE Ready ●480个万兆端口,24个40GE 端口 ●创新的 CSS 交换网集群 ●硬件级以太 OAM/BFD ●左后风道,高密布线 S7700系列提供 S7703、S7706、S7712三种产品形态。

10.2.1 产品特点 强大的业务处理能力,提升网络架构扩展性
? 背板具备良好的扩展性,可平滑扩展至更高带宽,支持单端口速率40G、100G 平滑升 级,同时完美兼容现网板卡,保护初始投资。
商业机密 56

宝安妇幼保健院异地新网络建项目技术建议书

? ? ? ?

超高万兆端口密度,单台设备支持480个万兆端口,助力企业园区和数据中心迎来全万 兆核心时代。 多业务路由交换平台,满足企业接入、汇聚、核心业务承载要求,支持无线、语音、视 频和数据应用,为企业提供高可用、低时延、全业务的一体化网络解决方案。 支持分布式 L2/L3 MPLS VPN 功能,支持 MPLS、VPLS、分层 VPLS、VLL,满足企业 VPN 等接入需求。 完善的二、 三层组播协议, 支持 PIM SM、 PIM DM、 PIM SSM、 MLD、 IGMP Snooping, 满足多终端高清视频监控和视频会议接入需求。

运营级高可靠性设计,可视化故障诊断
? ? S7700具备超越5个9的高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模 块均支持热插拔。 CSS 主控集群创新性采用交换网集群技术, 克服了业界普遍采用的线卡集群跨框多次交 换,交换效率低下的架构难题,提供业界主机间最大的256G 集群带宽,同时可以通过 跨框链路聚合提高链路的利用率,并消除单点故障。 ? ? S7700支持业务口集群技术, 普通业务端口可以复用为集群端口, 使端口应用更加灵活。 通过光纤进行集群可大幅增加集群的距离,突破了传统集群距离的限制。 专用的故障检测定位子卡,提供3.3ms 高精度硬件级以太 OAM 功能,802.3ah、802.1ag 和 ITU-Y .1731标准协议, 网络故障发生时能够在第一时间检测所有终端 Session 联通性, 图形化网管故障诊断界面,设备节点、链路自动遍历,实现网络快速故障检测与定位。 ? 冗余控制引擎间主备无缝切换, 设备优雅重启实现 NSF 无中断转发。 支持 ISSU 业务运 行中软件升级,设备软件升级过程中确保关键业务和服务不中断。

完善的 QoS 机制,提升语音、视频用户体验
? S7700提供高品质的 QoS (Quality of Service) 能力, 支持从链路层到应用层流分类技术, 具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满 足企业不同用户终端、不同业务种类的服务质量要求。 ? ? S7700提供硬件组播 QoS 低延时队列,全面满足企业视频业务优先级保障需求,为视频 会议、监控等关键业务提供高质量承载保障。 创新的优先级调度算法, 对传统 QoS 队列调度进行了专门针对企业语音与视频的优化, 大幅降低 IP 语音时延、消除视频马赛克,提高用户体验。

高性能 IPv6业务能力, IPv4到 IPv6平滑升级
? ? S7700软硬件平台均支持 IPv6, 取得工信部 IPv6入网认证和 IPv6 Ready 第二阶段金色认 证。 支持 IPv4/IPv6双协议栈,支持多种隧道技术,支持 IPv6静态路由、RIPng、OSPFv3、 BGP+、IS-ISv6、IPv6组播,满足 IPv6独立组网和 IPv4/IPv6混合组网要求。

商业机密

57

宝安妇幼保健院异地新网络建项目技术建议书

强大的网络流量分析能力,随时网络健康诊断
? ? ? S7700支持 Netstream 业务分析功能,满足用户对网络流量实时采集、分析需要。 支持 Netstream V5/V8/V9多种报文格式, 支持聚合流量模板, 减轻网络采集器系统压力, 支持实时流量采集、动态报表生成、属性分析、流量异常告警等功能。 帮助客户对网络流量进行实时监控、现网设备吞吐分析,为优化网络结构、科学合理扩 容提供决策依据。

全方位安全保护,应对企业内外部安全威胁
? ? 内嵌集中式防火墙板卡, 支持虚拟防火墙与 NA T 多实例, 满足多 VPN 客户共用防火墙 组网环境。应用层包过滤技术对应用层报文内容进行复杂规则检测和过滤。 提供完善的 NAC 解决方案,支持 MAC 地址认证、Portal 认证、802.1x 认证、DHCP Snooping 触发认证多种认证方式,有效应对哑终端接入、移动设备接入和集中式 IP 地 址分配等多种接入方式的安全挑战,确保企业网络安全。 提供2级 CPU 保护机制,支持1K CPU 硬件保护队列,可实现数据和控制的分离处理, 防止拒绝服务攻击、 非法接入以及控制平面过载等安全威胁, 提供业界领先的一体化安 全解决方案。

?

无线 AC 模块,全面满足移动办公需求
? S7700无线 AC 功能支持丰富的 RF(射频) 管理。 支持 AP 上线时自动选择信道和功率, 在 AP 重叠区域,信号冲突时自动调整功率或信道,RSSI(接收信号强度指示)/SNR (信噪比)的不断更新,让系统可以实时了解每一个无线用户所处电磁环境,提升网络 ? ? 可用性。 S7700无线 AC 功能支持802.1x 认证、 MAC 地址认证、Portal 认证、WAPI 认证等多种 认证方式,满足客户不同终端、不同安全等级设备的接入需求。 支持二层漫游,终端设备跨 AP 漫游快速切换,AC 间1+1、N+1多机冷备和 AC 间负载 分担提高网络可靠性。

创新节能芯片,智能功耗控制
? ? ? 创新节能芯片,实现按流量动态调整功率,支持端口休眠,无流量不耗电。 智能 POE 供电,可以实现基于 PD 设备角色启动不同的能源管理方案,保持设备能源 管理弹性。 支持 IEEE 802.3az 能效以太网标准,线卡收发器具备低功率闲置模式,支持正常工作 与低功率状态快速转换,低流量低功耗。

智能流量负载均衡,提升企业 IT 利用效率
? S7700负载均衡器支持加权轮询、基于连接数、加权 IP 地址 Hash 和基于 HTTP URL 的 Hash 等多种均衡调度算法,全面满足客户负载均衡要求。
商业机密 58

宝安妇幼保健院异地新网络建项目技术建议书

? ?

S7700负载均衡器支持 TCP 和 HTTP 重用,减轻服务器拆除/建立 TCP 连接的负载,提 高服务器访问效率。 S7700负载均衡器支持动态“锁流”技术,满足电子商务网站在线购物负载均衡需求。

10.2.2 产品参数
项目 背板容量 交换容量 包转发率 业务槽位 VLAN S7703 3Tbps S7706 6Tbps 12Tbps 2Tbps/5.12Tbps 1344Mpps/3360Mpps S7712

768Gbps/1. 2Tbps/5.12T 92Tbps bps 576Mpps/1 440Mpps 1152Mpps/2 880Mpps

3 6 12 支持 Access 、Trunk、Hybrid 方式 支持 default VLAN 支持 VLAN 交换 支持 QinQ、增强型灵活 QinQ 支持基于 MAC 的动态 VLAN 分配

MAC 地址功能

支持 MAC 地址自动学习和老化 支持静态、动态、黑洞 MAC 表项 支持源 MAC 地址过滤 支持基于端口和 VLAN 的 MAC 地址学习限制

STP

支持 STP(IEEE 802.1d) ,RSTP(IEEE 802.1w)和 MSTP(IEEE 802.1s) 支持 BPDU 保护、 Root 保护、环路保护 支持 BDPU Tunnel

IP 路由 组播

支持 RIP、OSPF、ISIS、BGP 等 IPv4动态路由协议 支持 RIPng、OSPFv3、ISISv6、BGP4+等 IPv6动态路由协议 支持 IGMPv1/v2/v3、IGMP v1/v2/v3 Snooping 支持 PIM DM、PIM SM、PIM SSM 支持 MSDP、MBGP 支持用户快速离开机制 支持组播流量控制 支持组播查询器 支持组播协议报文抑制功能 支持组播 CAC 支持组播 ACL

MPLS

支持 MPLS 基本功能 支持 MPLS OAM 支持 MPLS TE 支持 MPLS VPN/VLL/VPLS

可靠性

支持 LACP、支持跨设备 E-Trunk 支持 VRRP、 BFD for VRRP

商业机密

59

宝安妇幼保健院异地新网络建项目技术建议书

支持 BFD for BGP/IS-IS/OSPF/静态路由 支持 NSF、GR for BGP/IS-IS/OSPF/LDP 支持 TE FRR、IP FRR 支持以太网 OAM 802.3ah 和802.1ag 支持 ITU-Y .1731 支持 DLDP 支持运行中软件升级 ISSU QoS 支持基于 Layer2协议头、Layer3协议、Layer4协议、802.1p 优先级等的组 合流分类 支持 ACL、CAR、 Remark、Schedule 等动作 支持 PQ、WRR、DRR、PQ+WRR、PQ+DRR 等队列调度方式 支持 WRED、尾丢弃等拥塞避免机制 配置与维护 支持流量整形 支持 Console、Telnet、SSH 等终端服务 支持 SNMPv1/v2/v3等网络管理协议 支持通过 FTP、TFTP 方式上载、下载文件 支持 BootROM 升级和远程在线升级 支持热补丁 支持用户操作日志 安全和管理 802.1x 认证,Portal 认证 支持 NAC 支持 RADIUS 和 HWTACACS 用户登录认证 命令行分级保护,未授权用户无法侵入 支持防范 DoS 攻击、TCP 的 SYN Flood 攻击、 UDP Flood 攻击、广播风 暴攻击、大流量攻击 支持1K CPU 通道队列保护 支持 ICMP 实现 ping 和 traceroute 功能 支持 RMON 增值业务能力 支持 Firewall 功能 支持 NA T 功能 支持 Netstream 功能 支持 IPSec 功能 支持负载均衡功能 绿色节能 机箱尺寸 mm (宽 深× 高) × 支持无线 AC 功能 支持802.3az 能效以太网 442× 476× 1 75 442× 476× 44 2 442× 476× 664 <45Kg

机箱重量(空配) <15Kg <30Kg 工作电压 DC:–38.4V~–72V AC:90V~290V 整机供电能力 (不含 POE) 整机最大 POE 功
商业机密

800W 2200W

1600W 8800W

1600W 8800W
60

宝安妇幼保健院异地新网络建项目技术建议书



10.3华为 S5700
S5700系列全千兆企业交换机(以下简称 S5700) ,是华为公司为满足大带宽接入和以太 多业务汇聚而推出的新一代绿色节能的全千兆高性能以太交换机。 它基于新一代高性能硬件 和华为公司统一的 VRP(V ersatile Routing Platform )平台,具备大容量、高密度千兆端口, 可提供万兆上行,充分满足企业用户的园区网接入、汇聚、IDC 千兆接入以及千兆到桌面等 多种应用场景。 ●双电源插槽 ●iStack 堆叠 ●硬件级以太 OAM/BFD ●Netstream ●EEE 能效以太网 S5700提供精简版(LI) 、标准版(SI) 、增强版(EI)和高级版(HI)四种产品形态。

商业机密

61

宝安妇幼保健院异地新网络建项目技术建议书

10.3.1 产品特点 强大的多业务支持能力
? ? S5700支持 Multi-VPN-Instance CE(MCE)功能,实现了不同 VPN 用户在同一台设备 上的隔离,有效解决用户数据安全问题,同时降低用户投资成本。 S5700支持 IGMP v1/v2/v3 Snooping, IGMP Filter , IGMP Fast Leave 和 IGMP Proxy 等协 议。S5700支持线速的跨 VLAN 组播复制功能,支持捆绑端口的组播负载分担,支持可 控组播,充分满足 IPTV 和其他组播业务的需求。 ? S5700HI 系列支持 MPLS、VPLS 和 VLL 功能,可作为高质量企业专线接入设备,是业 界为数不多的高性价比盒式 MPLS 交换机。

完备的高可靠保护机制
? S5700不仅支持传统的 STP/RSTP/MSTP 生成树协议, 还支持 SmartLink 和 RRPP (Rapid Ring Protection Protocol,快速环网保护协议)等增强型以太技术,可以实现毫秒级链路 保护倒换,保证高可靠性的网络质量。此外,针对 Smartlink 和 RRPP 均提供多实例功 能,可实现链路负载分担,进一步提高了链路带宽利用率。 ? S5700支持 Enhanced Trunk(E-Trunk)功能。在使用 E-Trunk 之后,CE 设备可以通过 E-Trunk 双归接入到两台 PE 设备上,实现了跨设备的链路聚合,极大的提升了接入侧 设备的可靠性。 S5700支持智能以太保护 SEP(Smart Ethernet Protection) ,SEP 是一种专用于以太链路 层的环网协议,适用于半环组网场景,提供50ms 的快速业务倒换性能,保证业务的不 中断。SEP 协议简单可靠、倒换性能高、维护方便、拓扑灵活,可以大大方便用户进行 网络的管理和规划。 S5700支持 G.8032(Ethernet Ring Protection Switching ,简称 ERPS)业界最新的环网标 准协议,ERPS 标准基于传统的以太网 MAC 和网桥功能,利用以太网成熟的 OAM 功 能和一个环网自动保护倒换(Ring APS,简称 R-APS)协议,实现以太环网的毫秒级 快速保护倒换。 ERPS 支持多种业务,组网模式灵活,为客户带来更低的 OPEX 和 ? ? CAPEX。 S5700支持双电源冗余供电,支持交、直流同时输入。用户可灵活选择单电源工作模式 或者双电源工作模式,提高了设备可靠性。 S5700 EI/HI 系列支持 VRRP 虚拟路由冗余协议, 与其他三层交换机构建 VRRP 备份组, 构建故障时的冗余路由拓朴结构, 保持业务接入的连续性和可靠性。 还支持在设备上配 置多条等价路由实现上行路由的冗余备份, 当主上行路由发生故障时自动切换到下一个 备份路由上去,实现上行路由的多级备份。 ? S5700支持 BFD 链路快速检测功能,能为 OSPF、ISIS、VRRP、PIM 等协议提供毫秒 级检测机制,提高了网络可靠性。S5700遵循 IEEE 802.3ah 和802.1ag 提供点到点以太 网故障管理功能,可以用于检测用户侧最后一公里以太网直连链路上的故障。S5700HI 还提供硬件级3.3ms 高精度以太 OAM 功能和 Y .1731性能检测,实现快速故障检测与定 位,OAM 功能与其他倒换技术联动可有效保证毫秒级网络保护。

?

?

商业机密

62

宝安妇幼保健院异地新网络建项目技术建议书

丰富的 QoS 策略和安全机制
? S5700能基于五元组、IP 优先级、TOS、DSCP、IP 协议类型、ICMP 类型、 TCP 源端口、 VLAN、以太网帧协议类型、CoS 等信息,实现复杂流分类功能。S5700支持基于流的 双速三色限速功能,每端口支持8个优先级队列,支持 WRR、DRR、SP、WRR+SP、 ? DRR+SP 多种队列调度算法,有效地保证话音、视频和数据业务质量。 S5700提供多种安全保护功能。支持 DoS(Denial of Service)类防攻击、网络的防攻击、 用户的防攻击等功能。其中 DoS 类防攻击主要包括 SYN Flood、Land、Smurf 、ICMP Flood。网络的防攻击主要是指 STP 的 BPDU/Root 攻击。用户的防攻击涉及 DHCP 仿 冒攻击、中间人攻击、IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值 ? 的 DoS 攻击等等。 S5700支持通过建立和维护 DHCP Snooping 绑定表,侦听接入用户的 MAC/IP 地址、 租用期、VLAN-ID、接口等信息,解决 DHCP 用户的 IP 和端口跟踪定位问题。同时, 对不符合绑定表项的非法报文(ARP 欺骗报文、擅自修改 IP 地址等)直接丢弃,有效 防止黑客或攻击者通过 ARP 报文实施园区网常见的“中间人 ”攻击。 利用 DHCP Snooping 的信任端口特性还可以保证 DHCP Server 的合法性。 ? S5700支持 ARP 表项严格学习功能, 可以防止因 ARP 欺骗攻击将交换机 ARP 表项占满, 导致正常用户无法上网。同时,支持 IP Source Check 特性,防止包括 MAC 欺骗、IP 欺骗、MAC/IP 欺骗在内的非法地址仿冒带来的 DOS 攻击。 S5700支持集中式 MAC 地址认证和802.1x 认证,支持用户账号、IP、MAC、 VLAN、 端口、 客户端是否安装病毒防范等用户标识元素的动态或静态绑定, 同时实现用户策略 (VLAN、QoS、 ACL)的动态下发。 S5700支持基于端口的源 MAC 地址学习限制功能,有效防止用户源 MAC 欺骗冲击设 备 MAC 表项,导致正常用户无法学到 MAC 表而泛洪的问题等。

?

?

精细化流量管理
? S5710 EI 系列支持 Netstream 网络流量分析,支持 V5/V8/V9多种报文格式,支持实时 流量采集、动态报表生成、属性分析、流量异常告警等功能。Netstream 能够提供实时 的网络监控,并提供预先故障检测、高效故障排除和快速问题解决功能,提供安全监控 ? 等应用和分析,帮助用户及时优化网络结构、调整资源部署。 S5700 EI/HI 系列支持 sFlow (Sampled Flow )功能,sFlow 通过特定的采样技术获取网 络设备上的流量转发统计并实时地发送到 Collector 以供 Collector 进行分析,帮助用户 更加有效地管理站点的网络流量。sFlow Agent 集成在交换机内部,实现交换机通过硬 件方式进行流量监控,解决了镜像监控端口影响网络性能的问题。

免维护,易管理
? S5700支持自动配置、即插即用、USB 开局、自动批量远程升级等功能,便于部署升级 和业务发放, 简化后续的管理和维护性能, 从而大大降低了维护成本。 S5700支持 SNMP V1/V2/V3,CLI(命令行接口) 、Web 网管、TELNET 、HGMP 集群管理等多样化的管 理和维护方式,设备管理更加灵活。支持 NTP、SSHv2.0、HWTACACS、RMON、多 日志主机、基于端口的流量统计,支持 NQA 网络质量分析,有利于进一步作好网络规
商业机密 63

宝安妇幼保健院异地新网络建项目技术建议书

划和改造。 ? S5700支持 GVRP(GARP VLAN Registration Protocol,GARP VLAN 注册协议) ,实现 VLAN 动态分发、注册和传播 VLAN 属性,减少手工配置量、保证 VLAN 配置正确性, 减少因为配置不一致而导致的网络互通问题。 S5700支持 MUX VLAN 功能。MUX VLAN 提供了一种在 VLAN 的端口间进行二层流 量隔离的机制。采用两层 VLAN 隔离技术,只有上层 VLAN 全局可见,下层 VLAN 相 互隔离。MUX VLAN 通常用来防止连接到某些接口或接口组的网络设备之间的相互通 信,但却允许与默认网关进行通信。例如在企业内部网,客户端口可以同服务器端口通 讯,但客户端口之间不能通讯。

?

PoE 特性
? ? S5700 PWR 全系列交换机支持完善的 PoE 解决方案,用户可灵活配置 PoE 端口是否供 电以及何时供电。 S5700 PWR 全系列交换机可以通过配置不同功率等级的 PoE 电源支持 PoE (Power over Ethernet)功能,即可通过网线向远端下挂设备(如 IP Phone、WLAN AP、Security、 Bluetooth AP 等)提供-48V 直流电源。作为供电方 PSE(Power Sourcing Equipment)设 备,支持 IEEE802.3af 及802.3at(PoE+)供电标准,同时兼容不符合802.3af 及802.3at 标准的 PD(Powered Device)设备,并支持绿色 PoE 节电应用模式。其中802.3at 单端 口供电功率高达30W,方便接入更大功率的终端。

良好的可扩展性
? S5700支持智能堆叠 iStack 功能,完全即插即用,插好堆叠线缆即可自动组建堆叠虚拟 框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障 引起的业务中断时间。 支持智能升级, 排除用户给堆叠扩容时为新加入交换机更换软件 版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展,单一 IP 管理, 大大降低系统扩展以及运维的成本。与传统组网技术相比,在扩展性、可靠性、整体架 构等性能方面均具有强大的优势。

丰富的 IPv6特性
? S5700提供双协议栈,可平滑升级。硬件支持 IPv4/IPv6双栈和 IPv6 over IPv4隧道(包 括手工 Tunnel, 6to4 Tunnel, ISA TAP Tunnel) , 三层线速转发。 既可以用于纯 IPv4或 IPv6 网络,也可以用于 IPv4到 IPv6共存的网络,组网方式灵活,充分满足当前网络从 IPv4 向 IPv6过渡的需求。

创新节能打造低碳网络
商业机密 64

宝安妇幼保健院异地新网络建项目技术建议书

?

S5700 LI 系列智能低功耗交换机, 根据不同用户的使用场景及应用需求, 提供了灵活可 配的标准节能、基本节能、深度节能三种模式。通过匹配端口 Link Down/Up、光模块 在位/不在位、配置 Shut Down/Undo Shut Down、空闲时段、繁忙时段等应用场景,达 到应用中大幅度提高动态节能技术应用比例,节省设备耗电量的目的。 S5700 LI 系列智能低功耗交换机,本着性能优先,节能不牺牲用户体验的设计原则。突 破性应用能效以太网(EEE) 、端口能量检测、CPU 动态调频、设备休眠等技术完成了 设备智能低功耗设计,力争做到节能无感知。

?

10.3.2 产品规格
项目 S57 00(S )-LI * 固 定 端 口 SI LI 4*100/1000Base-X SFP S5700-52P-LI/S5700S-52P-LI/S5700-52P-PWR-LI : 48*10/100/1000Base-T , 4*100/1000Base-X SFP : S5700-24TP-SI/S5700-24TP-PWR-SI/S5700-28C-SI/S5700-28C-PWR-SI 20*10/100/1000Base-T ,4*GE Combo S5700-48TP-SI/S5700-48TP-PWR-SI:44*10/100/1000Base-T ,4*GE Combo S5700-52C-SI/S5700-52C-PWR-SI:48*10/100/1000Base-T S5700-28C-EI/S5700-28C-PWR-EI:24*10/100/1000Base-T S5700-52C-EI/S5700-52C-PWR-EI:48*10/100/1000Base-T S5700-28C-EI-24S:20*100/1000Base-X,4*GE Combo S5710-28C-EI:20*10/100/1000Base-T ,4*GE Combo,4*10GE SFP + S5710-52C-EI:48*10/100/1000Base-T ,4*10GE SFP + S5700-28C-HI:24*10/100/1000Base-T S5700-28C-HI-24S:24*100/1000Base-X S5700TP 系列提供一个堆叠扩展插槽 S5700C 系列产品提供两个扩展插槽,分别支持上行插卡和堆叠卡 S5710C 提供两个扩展插槽,支持上行插卡 S5700HI 系列提供一个扩展插槽,支持上行插卡 MAC 地 址 表 支持16KMAC 地址容量(S5700S-LI 支8K MAC 地址容量) 遵循 IEEE 802.1d 标准 支持 MAC 地址自动学习和老化 支持静态、动态、黑洞 MAC 表项 支持源 MAC 地址过滤 LAN 特性 支持4K 个 VLAN 支持 Guest VLAN、 Voice VLAN 支持基于 MAC/协议/IP 子网/策略/端口的 VLAN
65

S5700-SI*

S5700-E I/S5710EI*

S5700-HI*

S5700-28P-LI**/S5700S-28P-LI/S5700-28P-PWR-LI : 24*10/100/1000Base-T ,

EI

HI 扩展插槽

支持32K MAC 地址容量

商业机密

宝安妇幼保健院异地新网络建项目技术建议书

支持1:1和 N:1 VLAN Mapping 功能 支持 SuperVLAN(S5700(S)-LI 除外) 可靠性 支持 RRPP 环型拓扑和 RRPP 多实例 支持 SmartLink 树型拓朴和 SmartLink 多实例,提供主备链路的毫秒级保护 支持智能以太保护 SEP 协议 支持 STP/RSTP/MSTP 协议 支持 BPDU 保护、根保护和环回保护 支持 Enhanced Trunk(S5700(S)-LI 系列除外) NA MPLS NA 支 持 BFD For

OSPF/ISIS/VRRP/PIM 协议 支 持 MPLS 支 持 VPLS 支持 MPLS VLL 静态路由、RIP V1/2、RIPng 、ECMP 、 静态路由、RIP V1/2、RIPng、 路由策略 OSPF 、 OSPFv3 、 IS-IS 、 IS-ISv6、 BGP、 BGP4+、 ECMP、 路由策略

IP 路由

静 态 路 由

IPv6特性

支持 ND(Neighbor Discovery) 支持 PMTU 支持 IPv6 Ping、IPv6 Tracert、IPv6 Telnet 支持基于源 IPv6 地址、目的 IPv6 地址、四层端口、协议类型等 ACL 支持 MLD v1/v2 snooping(Multicast Listener Discovery snooping ) 支持6to4 、ISA TAP、手动配置 tunnel(S5700(S)-LI 除外)

组 播

支持 IGMP v1/v2/v3 Snooping 和快速离开机制 支持 VLAN 内组播转发和组播多 VLAN 复制 支持捆绑端口的组播负载分担 支持可控组播 基于端口的组播流量统计 NA IGMP v1/v2/v3 、 PIM-SM 、 PIM-DM、PIM-SSM MSDP

QoS/ACL

支持对端口接收和发送报文的速率进行限制 支持报文重定向 支持基于端口的流量监管,支持双速三色 CAR 功能 每端口支持8个队列 支持 WRR、DRR、SP、WRR+SP、DRR+SP 队列调度算法 支持 WRED(S5710-EI 和 S5700HI 支持) 支持报文的802.1p 和 DSCP 优先级重新标记 支持 L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、端口、协议、VLAN 的非法帧过滤功能 支持基于队列限速和端口 Shaping 功能

安全特性

用户分级管理和口令保护 支持防止 DOS、ARP 攻击功能、ICMP 防攻击 支持 IP、MAC、端口、 VLAN 的组合绑定 支持端口隔离、端口安全、 Sticky MAC

商业机密

66

宝安妇幼保健院异地新网络建项目技术建议书

支持黑洞 MAC 地址 支持 MAC 地址学习数目限制 支持 IEEE 802.1X 认证,支持单端口最大用户数限制 支持 AAA 认证,支持 Radius 、 HWTACACS、NAC 等多种方式 支持 SSH V2.0 支持 HTTPS 支持 CPU 保护功能 支持 黑名单和白名单 OAM 支持 硬件实现 EFM OAM CFM OAM Y.1731 性能检测 : 支持硬件级时延和 抖动检测 管理和维护 支持智能堆叠(S5700-HI 和 S5700S-LI 系列除外) 支持 MFF 支持虚拟电缆检测(Virtual Cable Test) 支持端口镜像和 RSPAN(远程端口镜像) 支持 Telnet 远程配置、维护 支持 SNMPv1/v2/v3 支持 RMON 支持 eSight 网管系统、支持 WEB 网管特性 支持自动配置 支持集群管理 HGMP 支持 HTTPS 支持系统日志、分级告警 支持 GVRP 协议 支持 MUX VLAN 功能 支持802.3az 能效以太网 EEE(S5700-LI 和 S5700-HI 支持) 支持断电告警 Dying gasp 功能(S5700-LI 支持) 支持 NetStream(S5710-EI 支持) NA 环境要求 长期工作温度:0℃ ~50℃ 短期工作温度:- 5℃ ~55℃ 相对湿度:10%~90%(无凝露) AC: 额定电压范围:100-240V AC;50/60Hz 最大电压范围:90-264V AC;50/60Hz DC: 额定电压范围:-48- -60V DC 最大电压范围:-36- -72V DC 外形尺寸 深 mm(宽×
商业机密

支持 sFlow

输入电压

注明:PoE 机型无 DC 电源 S5700-28P-LI/S5700S-28P-LI/S5700-24TP-SI/S5700-28C-HI/S5700-28C-HI-24S: 442× 220× 43.6
67

宝安妇幼保健院异地新网络建项目技术建议书

高) ×

S5700-28P-PWR-LI/S5700-52P-LI/S5700S-52P-LI/S5700-52P-PWR-LI 442*310*43.6 其他:442× 420× 43.6 S57 00-2 8PLI< 25W S57 00S28PLI< 25W S57 00-5 2PLI< 52W S57 00S52PLI< 52W S57 00-2 8P-P WRLI< 765 W (Po E: 740 W) S57 00-5 2P-P WRLI< 792 W (Po E: 740 S5700-24TP-SI< 40W S5700-48TP-SI< 64W S5700-28C-SI<5 6W S5700-52C-SI<7 8W S5700-24TP-PW R-SI<455W (PoE:370W) S5700-48TP-PW R-SI<907W (PoE:740W) S5700-28C-PWR -SI<836W (PoE: 740W) S5700-52C-PWR -SI<917W (PoE: 740W) S5700-28C-EI<60W S5700-28C-EI-24S<63W S5700-52C-EI<88W S5710-28C-EI<100W S5710-52C-EI<165W S5700-28C-PWR-EI<842W (PoE:740W) S5700-52C-PWR-EI<930W (PoE:740W)



功耗

商业机密

68

宝安妇幼保健院异地新网络建项目技术建议书

W)

10.4华为 S2700
S2700 系列企业交换机(以下简称 S2700)是华为公司推出的新一代绿色节能的以太 智能百兆接入交换机。它基于新一代交换技术和华为 VRP?(Versatile Routing Platform) 软件平台,能提供简单便利的安装维护手段,同时融合了灵活的网络部署、完备的安全和 QoS 控制策略、绿色环保等先进技术,可满足以太网多业务承载和接入需要,助力企业用 户搭建面向未来的 IT 网络。S2700 为盒式产品设备,机箱高度为 1U,提供标准型(SI)和 增强型(EI)两种产品版本。

10.4.1 产品特点
1. 免维护,易部署,易管理 S2700 支持自动配置、智能式即插即用,可以大大降低初始安装成本;采用全新交换 ASIC 技术,整机无风扇设计,减少机械故障点的同时免除凝露腐蚀和尘土侵害,能有效降 低主机 53%维护率。S2700 支持自动批量远程升级,提高升级效率并降低工程成本;具备 友好的人机界面和 Web 网管,支持拓扑自动发现、告警管理和可视化配置, ,简化运维。此 外,还支持 HGMPv2、SSHv2、 HWTACACS、RMON、基于端口的流量统计;支持 NQA 网络质量分析,有利于网络规划和优化。S2700 支持 GVRP,实现 VLAN 动态分发、注册 和传播 VLAN 属性,减少手工配置量、保证 VLAN 配置正确性,减少因为配置不一致而导 致的网络互通问题。

商业机密

69

宝安妇幼保健院异地新网络建项目技术建议书

2.

业务控制灵活 S2700-EI 支持丰富的 ACL 策略控制, 特别支持基于 VLAN 下发 ACL 规则, 实现 VLAN

内多端口的灵活控制和统一资源调度。S2700 支持多种 VLAN 划分方式:支持基于端口划 分 VLAN,基于 MAC 地址划分 VLAN,部署安全灵活,尤其适合有移动办公需求的网络场 景。 3. 卓越安全,接入舒心 S2700 支持完备的 DHCP Snooping 功能,通过侦听接入用户的 MAC/IP 地址、租期、 VLAN ID、接口等字段信息,防止 IP 报文伪造、中间人攻击、DHCP 服务器私接等常见网 络安全威胁,保障网络接入安全。S2700 支持基于端口的源 MAC 地址学习限制功能,有效 防止攻击者变换源 MAC 地址发动攻击而产生的泛洪。S2700 支持 ARP 表限制学习功能, 能防止 ARP 欺骗攻击将交换机 ARP 表项占满,保障合法用户正常接入。支持 IP Source Check 特性,防止非法 IP 地址仿冒带来的 DOS 攻击威胁。 S2700 支持集中式 MAC 地址 认证和 802.1x 认证功能,支持用户账号、IP、 MAC、 VLAN、端口等用户标识元素的动态 或静态绑定,可识别客户端是否安装病毒防范系统。并支持用户策略(VLAN、QoS、ACL) 的动态下发。 4. POE 特性 S2700 PWR 系列交换机,可以通过配置不同功率的 POE 电源支持 PoE(Power over Ethernet) 功能, 可通过网线向远端下挂设备 (如 IP Phone、 WLAN AP、 Security、 Bluetooth AP 等)提供-48V 直流电源。作为供电方 PSE(Power Sourcing Equipment )设备,支持 IEEE802.3af 及 802.3at (POE+)供电标准,同时兼容不符合 802.3af 及 802.3at 标准的 PD(Powered Device )设备,并支持绿色 PoE 节电应用模式。其中 802.3at 单端口供电功 率高达 30W,方便接入更大功率的终端。 5. 灵活扩展 S2700 支持智能堆叠 iStack 功能,多台交换机通过堆叠电缆有效连接,即可自动组建 堆叠虚拟框式架构,实现多台设备的扩展提升接入容量。堆叠后的逻辑系统具有单一管理 I P,大大降低系统运维的成本。与传统组网技术相比,堆叠系统避免了每台设备独立上行造 成的线路成本增加。 6. 完备的 QoS 策略 S2700 能基于 VLAN、MAC 地址、IP 协议、源地址、目的地址、优先级、或应用程序 的端口,实现复杂流分类功能;支持基于流的限速功能,保持各个端口的线速转发,有效地
商业机密 70

宝安妇幼保健院异地新网络建项目技术建议书

保证高品质的话音、 视频和数据等网络业务质量; 每个端口支持 4 个队列, 支持 WRR、 SP、 WRR+SP 多种队列调度算法。 7. 强大的防雷能力 S2700 采用专利的内置防雷技术,所有端口均可以满足 6KV 的防雷能力,防雷可靠性 提升 8 倍,能有效抵御感应雷击过电压。在实际应用中,相对于常规设计,即使在恶劣的 应用环境下,甚至无法实现有效接地的场景,也可以大大降低设备的雷击损坏率。 8. 静音节能,辐射低 S2700 系列功耗低,采用新一代高集成芯片节能电路设计,均衡散热,支持空闲端口 休眠;无风扇静音设计,无噪音;辐射低,达到家用电器辐射标准,对人体无危害。

10.4.2 产品规格
S2700-EI S2700-9 TP -E I S2700-9 TP -P WR -E I 8*10/10 0B as eTX 1*(10/1 00 /1 00 0B as eT 或 10 0/ 10 00 Ba se -X ) 2.7Mpps 3.6Gbps S2700-1 8T PEI 16*10/1 00 Ba se -T X 2*(10/1 00 /1 00 0B as eT 或 10 0/ 10 00 Ba se -X ) 5.4 Mpps 7.2Gbps S2700-2 6T PEI 24*10/1 00 Ba se -T X 2*(10/1 00 /1 00 0B as eT 或 10 0/ 10 00 Ba se -X ) 6.6Mpps 8.8Gbps S2700-2 6T PPW REI 24*10/1 00 Ba se -T X 2*(10/1 00 /1 00 0B as eT 或 10 0/ 10 00 Ba se -X ) 6.6Mpps 8.8Gbps S2700-9 TP -S I S2700-SI S2700-1 8T PSI 16*10/1 00 Ba se -T X 2*(10/1 00 /1 00 0B as eT 或 10 0/ 10 00 Ba se -X ) 5.4Mpps 7.2Gbps S2700-2 6T PSI 24*10/1 00 Ba se -T X 2*(10/1 00 /1 00 0B as eT 或 10 0/ 10 00 Ba se -X ) 6.6Mpps 8.8Gbps

项目

S2700-52P -EI

百 兆 端 口

8*10/10 0B as eTX 1*(10/1 00 /1 00 0B as eT 或 10 0/ 10 00 Ba se -X ) 2.7Mpps 3.6Gbps

48*10/100 Base -TX

8*10/10 0B as eTX 1*(10/1 00 /1 00 0B as eT 或 10 0/ 10 00 Ba se -X ) 2.7Mpps 3.6Gbps

端 口 描 述

千 兆 端 口

2*100/100 0Bas e-X, 2*10 00Ba se-X

转发性能 端口交换 容量

13.2Mpps 17.6Gbps

商业机密

71

宝安妇幼保健院异地新网络建项目技术建议书

S2700-EI S2700-9 TP -E I S2700-9 TP -P WR -E I S2700-1 8T PEI S2700-2 6T PEI S2700-2 6T PPW REI S2700-9 TP -S I

S2700-SI S2700-1 8T PSI S2700-2 6T PSI

项目

S2700-52P -EI

背板交换 容量

32G 支持 8K MAC 地址表

MAC 地 址 表

支持手工添加删除 MAC 地址表 支持 MAC 地址老化时间可配置 支持端口/聚合组关闭学习 MAC 能力 支持端口 MAC 地址数限制 支持黑洞 MAC 地址 支持 IEEE 802.1Q(VLAN),整机支持 4K 个 VLAN 支持基于端口的 VLAN

VLAN 特性

支持基于 MAC 地址的 VLAN 基本 QinQ 支持端口限速和流限速 支持每端口 4 个不同优先级的队列 支持根据报文 802.1p 映射到不同队列 支持 SP、WRR、SP+WRR 算法 支持基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、四 层端口、协议类型、VLAN、以太网帧协议、CoS 等信息的流分类 支持基于流的标记优先级、报文重定向 支持 IPv6 主机功能 支持配置静态路由 支持 IPv6 ACL 支持 MLD v1/v2 Snooping 支持 IGMP v1/v2/v3 Snooping 支持捆绑端口的组播负载分担 支持基于端口的组播流速率限制和流量统计 支持端口 1:1 或 N:1 镜像 支持基于流镜像 支持 802.1x,支持单端口最大用户数限制 支持动态 ARP 检测 支持 IP Source Guard 功能 支持 AAA 认证,支持 Radius、HWTACACS+、NAC 等多种方式 支持 IP、MAC、端口、VLAN 的组合绑定

N/A

QoS

N/A

IPv6 特性

支持 IPv6 主机功能 支持配置静态路由

组播

端口镜像

N/A N/A

安全特性

支持端口限速 支持端口隔离、端口安全、Sticky MAC 支持包过滤 支持 MAC 地址过滤 支持多播、广播及未知单播报文抑制 支持 MAC 地址学习数目限制 支持 CPU 保护功能

支持端口隔离 支持多播、广播及未知单播报文 抑制 支持 CPU 保护功能

防雷

所有业务端口防雷能力:6KV;增加额外的防雷设备,所有端口防雷能力 15KV

商业机密

72

宝安妇幼保健院异地新网络建项目技术建议书

S2700-EI S2700-9 TP -E I 支持堆叠 支持自动配置功能 支持 CLI 配置 支持 Telnet 远程配置 支持 SNMP V1/V2/V3 支持 RMON 支持集群管理 HGMP V2 支持 SSH V2 支持 WEB 管理特性 支持 GVRP 协议 环境要求 S2700-9 TP -P WR -E I S2700-1 8T PEI S2700-2 6T PEI S2700-2 6T PPW REI S2700-9 TP -S I

S2700-SI S2700-1 8T PSI S2700-2 6T PSI

项目

S2700-52P -EI

管理

温度范围:长期工作温度:0 OC~50 OC;短期工作温度:- 5OC~55 OC;相对湿度:10%~90%(无凝露) AC: 额定电压范围:100~240V AC;50/60Hz 最大电压范围:90~264V AC;50/60Hz

电源 DC: 额定电压范围:-48~-60V DC 最大电压范围:-36~-72V DC 注:POE 机型无 DC 电源 外形尺寸 mm ( 宽 × 深×高) S2700-9TP-EI/SI:250×180×43.6 S2700-9TP-PWR-EI:320x220x43.6 S2700-18TP-EI/SI,S2700-26TP-EI/SI:442×220×43.6 S2700-26TP-PWR-EI:442×420 ×43.6 S2700-52P-EI:442×220×43.6 重量 <1.4kg <2.5kg <2.4kg <2.4kg
<4kg (不含 电源模块) 最高

N/A

<3kg

<1.4kg

<2.4kg

<2.4kg

最高

功耗

<12.8W

154W, POE 对外供电 功率 124W

<14.5W

<15.5W

868W,POE 对外供电 功率 740W

<38W

<12.8W

<14.5W

<15.5W

10.5华为 eSight
随着企业网络应用的不断增长,网络规模的不断扩大,大量的多业务路由器、网关、 WLAN AP 等终端接入设备被广泛的应用于企业园区、企业分支等分散的网络。带来多厂家 网络设备、IT&IP 日益增多,由单地点办公向跨地域办公演进,企业业务越来越多样化,用

商业机密

73

宝安妇幼保健院异地新网络建项目技术建议书

户面对网络管理和运维中遇到的问题和挑战,需要一套高效、统一的网管进行支撑。 eSight 是华为面向企业网管理推出的新一代面企业运维解决方案,实现对企业资源、 业务、用户的统一管理以及智能联动。eSight 应用平台支持对 IT&IP,以及第三方设备的统 一管理,同时提供灵活的开放平台,为企业量身打造自己的智能管理系统提供基础。

10.5.1 产品特点
eSight 开放、灵活平台架构,打造可运维、可管理企业。 eSight 遵循 ITIL 规范,采用 B/S 架构,应用业界流行的 JAVA、 EJB、OSGI、 XML、 SOAP 等成熟技术。为企业客户提供开放、灵活、可 DIY 的企业管理应用平台: 1. Any Customer 任何客户可用 无论 SMB 还是大中企业, 提供多种版本满足不同企业用户管理需求。 体验版、 精简版、 标准版、专业版,按需选配。 2. Any Vendor 任何厂家可管理 能够统一管理华为、H3C、CISCO、中兴等厂商的网络设备,以及 IBM、HP、SUN 等 厂商的 IT 设备。对于支持标准 MIB(RFC1213-MIB,Entity-MIB,SNMPv2-MIB,IF-MIB) 的第三方设备,eSight 应用平台通过自定义设置就能达到与预置的第三方设备同样的管理 能力。 3. Any Device 可管理 业市场存在多厂家网络设备、IT 服务器、IP 终端等多种设备。需要提供灵活的设备配 套策略以满足多设备管理的诉求。eSight 针对多种适配场景的技术方案解决用户需求。
商业机密 74

宝安妇幼保健院异地新网络建项目技术建议书

4.

多厂家设备管理 eSight 针对 Huawei、Cisco、 H3C 三种厂商设备提供基础的适配能力,包括设备拓扑

管理、标准告警、标准性能指标(含 CPU/内存) 、配置备份、面板显示能力,支持第三方 厂商设备的默认配套能。 5. 特殊设备自定义管理 面对网管未适配的设备,通过设备定制功能输入设备的设备类型 OID、告警信息、 性能指标信息、配置命令、面板仿真图完成设备的基本管理功能定制。 6. “享 ”设备管理 针对设备管理,用户可在华为网站/论坛获取华为最新设备适配包,也可以在其它,用 户或者代理商可以开发对应的适配包。 7. Any Service 可视化管理 能管理 SLA 、VPN、ACL 等网络业务;流量分析、语音等多种企业业务,并实现网络 与业务的智能联动。 WLAN 业务管理: eSight 提供对华为 AC 设备管理, 通过对 AC 的配置管理实现对 WLAN 业务的配置功能。 IPSec VPN 业务管理: eSight 支持 IPSec VPN 业务监控管理, 提供浏览业务拓扑功能。 MPLS VPN 业务管理:eSight 提供 MPLS VPN 业务监控管理,支持业务拓扑、业务还 原、业务告警、性能管理;支持跨域 Option B、HoVPN、MCE 组网的自动发现、拓扑展示 及业务监控。 8. Any Policy 任何策略可控 能实现网络端口、安全管理、用户权限、接入认证、行为管理 等多种控制策略。 9. 分级网络管理 eSight 契合企业总部-分支结构,支持企业分级、分层次构建网管管理区域,建立层次 化的管理体系。用户能够查看下级网管的告警、拓扑、性能和报表等功能。 10. 网络流量分析 通过可视化图表监视网络流量, 实时了解网络健康状况和网络性能, 准确把握带宽占用 状况;支持 NetStream 、 NetFlow、sFlow、 J-Flow、 IPF IX 等协议。 11. 有线无线设备一体化管理 华为 eSight 解决方案,可以对网络中的 AC、AP、路由器、交换机、防火墙进行统一 管理和监控,并支持设备的自动发现和拓扑构成。支持拓扑图中网络分层视图。在视图中,
商业机密 75

宝安妇幼保健院异地新网络建项目技术建议书

设备的告警由不同的颜色进行标识, 当设备产生告警时, 拓扑上的告警冒泡图标以不同的颜 色区别不同级别的告警来提示用户进行干预。在提供基本的物理拓扑视图、业务拓扑视图、 告警、报表等的同时还提供设备位置视图、干扰源定位和排障、无线业务质量评估,AP 快 速恢复等维护手段,有效降低用户维护成本。 使用华为有线无线一体化解决方案将为您带来: ? ? 全面的网络管理能力,不区分有线还是无线网络,给您一致的网络运维体验。 高效的 WIFI 网络开通能力,加速企业应用服务上市时间,助您保障最终客户的良 好体验。直观的 WIFI 网络监控能力,网络质量一眼即知。丰富的无线业务报表, 直观管理无线网络质量、无线流量、无线用户时间和空间分布。

12. 简单高效的快速业务部署 随着无线应用的增加,常常需要快速开通无线网络以支撑企业业务发展。华为 eSight 解决方案提供向导式的业务部署配置工具以及提供基于规划表单导入方式,提高部署效率, 使用 eSight WLAN 管理组件,可以将 AP 部署时间从数天级降低到分钟级,帮助企业客户 快速开通业务,为顾客提供更好的服务。

商业机密

76

宝安妇幼保健院异地新网络建项目技术建议书

通过配置向导,将大大减化配置流程:

13. WLAN 可视化监控和集中管理 a) 业务拓扑 :通过 WLAN 业务拓扑展现 AC 、AP 、STA 之间连接关系,直观的展现 并提供无线业务的故障诊断能力,使网络维护更加简化、快捷。

b)

位置视图: WLAN 设备对于干扰和建筑物中合理部署要求较高, 客户可通过 eSight 位置拓扑图查看当前热点位置及射频信号覆盖范围,并在视图上标识当前非法 AP

商业机密

77

宝安妇幼保健院异地新网络建项目技术建议书

位置及冲突域。通过虚拟的仿真网络环境来进行日常维护和排障,了解信号强弱, 实时调整。使日常维护和排障更加迅速。

c)

无线网络的故障快速恢复能力:在 WLAN 网络建设初期和调整阶段,经常需要对 AP 进行重启和恢复,eSight 提供批量恢复 AP 能力,可远程快速批量恢复 AP 出 厂设置、或 AP 替换的能力,保证 AP 替换后业务不变,方便运维人员维护。

d)

详细的运维统计报表 在 WLAN 网络中,如何对海量的设备进行管理和对设备资源合理利用和分配是管

理的重点。eSight 提供多种形式的资源统计,让您的维护更容易找到关键点。WLAN 用户视图: 提供全网用户在线趋势图、TOP 接入用户,全网物理资源统计,让您方便 的了解当前网络的负载能力和利用率为扩容调整提供数据。 e) 设备视图: 提供基于资源的统计方式, 可根据 AC、 AP 统计用户在线趋势图、 AP 信息、 TOP5
商业机密 78

宝安妇幼保健院异地新网络建项目技术建议书

告警、当前性能 KPI 等来对 WLAN 中的设备部署进行及时调整,充分挖掘现有设备价 值。此外,还可以进行区域位置资源统计,可方便的按区域统计出 AP、AC 在线总数。 WLAN 设备布放区域与位置及网络信号覆盖范围的可视化管理,网络状况的可视化管 理,提高日常管理和维护效率。

14. 详尽的报表,助您运筹帷幄 华为有线无线一体化管理解决方案,为您提供了丰富的报表展现方式 、支持报表数 据字段的自定义、报表设计的预览。支持实时统计并按每日、每周生成报表。对于生成后 的报表、您还可以设置 E-mail、FTP 等多种方式进行发送,方便随时查看。

10.6华为 USG5500
Secoway USG5500是华为技术有限公司面向大中型企业和下一代数据中心推出的新一 代万兆统一安全网关。 USG5500 集大容量交换与专业安全于一体, 在3U 的平台上提供了超 过30G 的处理能力,以用户为核心的安全策略融合了 IPS、A V、URL 过滤,应用程序控制, 邮件过滤等行业领先的专业安全技术,可精细化管理1000余种网络应用,同时传承了 USG 产品族优异的防火墙、VPN 及路由特性,为用户打造更高速、更高效、更安全的网络。

商业机密

79

宝安妇幼保健院异地新网络建项目技术建议书

10.6.1 产品特点
1. 领先的架构平台 USG5500 系列统一安全网关采用了先进的多核硬件架构,多线程并行处理,优化了 安全业务处理流程,特别是针对首包处理的优化,使 USG5500 系列统一安全网关具备同 档产品业界第一的每秒新建连接数,足以应对各种大规模网络流量的应用。同时,将数据 解封装和深度检测进行分离, 实现多种深度检测并行, 大幅度提升设备在深度检测状态下 的性能。10 年成功的商业应用,成熟的 VRP 软件平台为 USG5500 系列统一安全网关提 供健壮的操作系统,是用户最可信赖的安全操作系统。 2. 业界领先的产品性能 USG5500 系列统一安全网关采用多核并行处理技术,最大可支持数十条线程并行处 理,产品在性能上有了质的飞跃,三大主要性能指标在业界处于领先位置,为用户带来超 高的性能体验,尤其是作为防火墙最关键的性能指标“每秒新建连接数” ,达到了惊人的 每秒 15 万条,在业界同类产品中处于绝对的领先,能在短时间内为用户的网络访问建立 大量的连接,提供网络的高速转发和低延迟,同时,也可以有效的应对网络中产生的大量 突发流量和网络攻击流量。 可满足多种高速转发的网络应用的要求, 充分满足用户网络对 带宽高速增长的需要。 3. 超大容量的 VPN 机构业务的扩大, 导致分支机构及外出办公人员增加, 对加密数据传输的需求越来越 大,USG5500 系列统一安全网关支持 L2TP、GRE、IPSec VPN 功能,为用户提供灵活 的选择和配置,凭借该系列产品领先的硬件架构,可以为用户提供超高的 VPN 性能和多 达 15000 条的 VPN 隧道数量,用户不必在为数据加密传输的性能而担忧,各种不同的网 络应用,包括视频、语音等大流量的应用,都能在加密隧道内实现高速的传输,为用户提 供“G”级的加密传输体验。注:VPN 功能为可选模块,客户可通过购买 License 获得 VPN 功能。 4. 强劲的 DDoS 防护 对关键网络业务的 DDoS 防护,是机构用户面临的重大安全问题之一,USG5500 系 列统一安全网关凭借超高的每秒新建连接数,对于 DDoS 攻击的防护可以达到每秒数百
商业机密 80

宝安妇幼保健院异地新网络建项目技术建议书

万包以上, 为用户的业务系统提供 DDoS 攻击防护, 强大的协议分析能力, 可支持对 SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNSFLOOD、CC 等多种 DDoS 攻击种类的准 确识别和控制, 同时还能提供蠕虫病毒流量的识别和防范能力, 结合华为赛门铁克公司专 有 ICA 智能连接算法,保证在准确识别 DDoS 攻击流量的同时,不影响用户的正常访问, 在复杂网络情况下实现真正的安全防护,是业界领先的 DDoS 防护设备。 5. 精确的 P2P 流量控制 有带宽杀手之称的 P2P 流量成为各个机构目前最大的困扰,导致机构内的业务应用 无法正常进行,由于 P2P 协议具有的灵活特性,使得对其控制成为一个难题,USG5500 系列统一安全网关基于华为赛门铁克公司强大的网络协议分析能力,可以实现对多达 50 余种 P2P 流量的精确识别,同时,可支持特征库升级,不断识别新的协议种类,对各类 P2P 协议实现 K 级流量控制,并且可以分单个、一组或者全局用户进行控制,有效的保 障用户的网络带宽资源,帮助用户合理规划网络流量,提升用户网络应用价值。 6. IPS 入侵检测 IPS 入侵检测功能采用了赛门铁克公司先进的 IPS 检测引擎, 可提供高效、 精准的网 络报文扫描能力,对于 IPS 躲避和欺骗技术也可以做到准确识别。配合以先进的软、硬 件平台及丰富的签名库,USG5500 系列统一安全网关能够快速、精确识别出混杂在正常 流量中的应用层攻击。通过赛门铁克公司全球部署的蜜罐系统,实时捕获最新的攻击、蠕 虫、木马等威胁,提取相应签名,并及时的为 USG5500 系列统一安全网关提供更新,从 而保证 USG5300 系列统一安全网关对于零日攻击的防御能力。 7. Anti-Virus 防病毒 Anti-Virus 防病毒功能采用了赛门铁克公司先进的病毒检测引擎,对于隐藏在网络流 量中的病毒,具有高效、精准的查杀能力。先进的软、硬件平台及丰富病毒库的辅助,使 得 USG5500 系列统一安全网关在查杀病毒方面具有得天独厚的优势,压缩、加壳等逃避 检测的技术也拥有极强的处理。 通过赛门铁克公司全球分布的病毒监控网点和专业的病毒 分析团队,USG5500 系列统一安全网关能够在最短时间内获取最新的病毒特征及最新的 反病毒引擎。使得 USG5500 系列统一安全网关在防病毒方面更是游刃有余。

8.

URL 过滤 URL 过滤功能采用先进的匹配引擎,极大的缩短了 URL 匹配时间,使得 URL 过滤 功能更加的高效。海量的 URL 分类库资源和超强的 URL 分类能力,为 URL 过滤的准确

商业机密

81

宝安妇幼保健院异地新网络建项目技术建议书

性提供了坚实的基础。 灵活的安全策略, 适用于更多的应用场景。 友好、 简便的配置方式, 极大的提高了产品的易用性, 使得 USG5300 系列统一安全网关在提供强劲功能的同时更 加容易操作维护。 9. 绿色环保 USG5500 系列统一安全网关在开发之初就将“高性能,低功耗”作为重要的硬性规 格,对多个部件做了功耗方面的优化设计,功耗仅为同类产品的 1/4,为用户大幅度节省 产品的后期维护成本。 USG5500 系列统一安全网关严格按照欧盟的“RoHS”环保标准,采用无公害、无 污染的环保材料制造,为用户带来“绿色环保”使用新体验。

10.6.2 产品规格
型号 US G5 530 S 扩展及 I/O 固定接 4× GE(RJ45)+4× GE(combo) 口 扩展槽 位 接口模 块类型 2× F IC 1× DMIC +4× FIC+2× DFIC 1× DMIC +4× FIC+ 1× DFIC DMIC:2× 10GE(SFP+) (SFP+) 、 (SFP+) (RJ45) 、 (RJ45) 、 (SFP) 、 FIC: 2× 10GE 2× 10GE +8× GE 8× GE 8× GE 4× GE(RJ45) BYPASS 、2 Line (LC/UPC) BYPASS 、16xGE(RJ45)+4GE(SFP) DFIC: 18xFE(RJ45)+2GE(SFP) 功能特性 IPS 入 侵防御 系统 AV 防 病毒系 统 AS 反 垃圾邮 件系统 URL 过 滤系统 应用控
商业机密

USG5530

USG555 0

USG5560

(RJ45) (combo) 4× GE +4× GE +8× GE(SFP) 1× DMIC+4× FIC+1× DFIC

支持(系统漏洞,未授权下载,欺骗软件,间谍/广告类软件,协议识别等)

支持(文件识别及筛选,高效病毒扫描,10万以上的病毒签名库)

支持(本地黑、白名单,远程实时黑名单、内容过滤、关键字过滤、附件类型、大 小、数量等) 支持6500万网站识别(黑白名单过滤,远程分类过滤,自定义分类过滤、搜索引擎 关键字过滤等,支持恶意 URL) 支持1000+协议识别与管理,涵盖所有主流应用协议,如:QQ,网易泡泡,阿里旺
82

宝安妇幼保健院异地新网络建项目技术建议书

制 VPN DDoS 攻击防 护 路由特 性 部署及 可靠性 整机规 格

旺, 迅雷, 电驴, 同花顺, 大智慧, PPStream, PPLive , MSN,GoogleTalk ,Youtube, Facebook,BitTorrent,eMule,Skype 等等。 IPSec VPN / SSL VPN / MPLS VPN 支持(防范多种 DoS 和 DDoS 攻击:SYN Flood、ICMP Flood、 UDP Flood 等)

IPv4:静态路由、RIP、OSPF、BGP、IS-IS; IPv6:RIPng、OSPFv3、BGP4+、IPv6 IS-IS、IPv6RD、ACL6 支持透明、路由、混合等部署模式,支持主/主,主/备模式备份

尺 寸 442 ( W× × 56 D× H ) 0× 4 mm 3.6 满配重 8.9 量 电 AC 电 DC 最大功 率 工作环 境 非工作 环境 源 不 支 持 150 kg 源

442× 415× 130.5

442× 415 × 130.5

442× 415× 130.5

18 kg

18 kg

18 kg

100~240V,支持冗余 不支持 -48 ~ -60V 支 持冗余 300 W -48~-60V 支持冗余

300 W

300 W

W 温度:0℃ ~40℃ / 湿度:10%~90% 温度:-40℃ ~70℃ /湿度:5%~95%

10.7华为 AC6605
AC6605是华为技术有限公司推出的无线接入控制器,提供大容量、高性能、高可靠性、易 安装、易维护的无线数据控制业务,具有组网灵活、绿色节能等优势。

商业机密

83

宝安妇幼保健院异地新网络建项目技术建议书

10.7.1 产品特点 丰富的接口类型
? ? ? 上行接口:2个10GE 上行接口 业务接口:24个电口,其中最后4个电口与4个光口组成 combo。 维护接口:1个 RJ-45维护串口;1个 RJ-45维护网口;1个 Mini USB 维护串口

高容量、高性能的一体化设计
? 一体化设计:AC 和 LSW 一体化,同时具备有线接入或汇聚功能。 ? 24个 GE 口和2个10GE 口,128G 的交换容量,提供了更强的交换能力。 ? 24个 PoE 口和满供能力,可以满足 AC 下直挂 AP 或其他需要供电终端的网络部署 要求。

高可靠性设计
? 支持基于 LACP(Link Aggregation Control Protocol) 、MSTP(Multiple Spanning Tree Protocol)的端口冗余备份。 ? 支持交流、直流均双电源备份。 ? 支持电源模块热插拔时单电源供电。

易安装、易维护功能
? ? ? ? AC6605设备尺寸为442mm× 420mm× 44.4mm,适合在标准机柜里安装。 电源支持热插拔,维护方便。 网管 eSight 具有丰富的北向接口,符合企业用户使用习惯。 支持环境监控开关量接口和板内温度探测器,实时监控 AC6605运行周围的环境。

绿色节能
? ?
商业机密

采用静音风扇,风扇转速自动调整,降低系统的噪音,节省风扇功耗。 当检测不到业务端口对端连接设备,即端口空闲,则芯片进入省电模式,以减小功
84

宝安妇幼保健院异地新网络建项目技术建议书

耗。 ? 采用先进工艺、高集成度、低功耗芯片,并配合智能设备管理系统充分利用芯片的 低功耗特性,在提升系统性能的同时还降低了整机功耗。

10.7.2 产品特性 有线单元功能特性
属性 以 太 网 特性 Ethernet 说明 支持全双工、半双工、自动协商工作方式 以太网接口可支持10M、100M、1000M 和自协商速 率 支持接口流量控制 支持 Jumbo 报文 支持链路聚合 支持 Trunk 内各链路流量的负载分担 支持接口隔离、接口转发限制 支持广播风暴抑制 VLAN 支持 Access 、Trunk、Hybrid 和 QinQ 接入方式 支持 Default VLAN 支持 VLAN Mapping 支持灵活 QinQ 支持 V oice VLAN MAC 支持 MAC 地址自动学习和老化 支持静态、动态、黑洞 MAC 表项 支持源 MAC 地址过滤 支持接口 MAC 地址学习限制 ARP 支持静态、动态 ARP 支持 VLAN 上应用 ARP 支持 ARP 表项老化 支持 Smartlink 支持 Smartlink 多实例 支持 Monitorlink LLDP 以 太 网 环 路 保 护 MSTP 支持 LLDP 支持 STP 支持 RSTP 支持 MSTP 提供 BPDU 保护、 Root 保护、环路保护 提供局部 STP、BPDU 隧道 RRPP 支持 RRPP 保护倒换 支持 RRPP 单环、RRPP 相切环、RRPP 相交环 支持 RRPP 环和其他环网混合组网 ARP/RARP
85

Smartlink

IPv4/IPv
商业机密

IPv4特性

宝安妇幼保健院异地新网络建项目技术建议书

6转发 单播路由特性

ARP 代理 支持自动侦测功能 静态路由 RIP-1/RIP-2 OSPF BGP IS-IS 路由策略、策略路由 uRPF 检查 VRF 支持 DHCP Client/Server/Relay 支持 DHCP Snooping 组播路由特性 IGMPv1/v2/v3 PIM-SM 组播路由策略 RPF 支持 IPv6协议栈 支持单播路由协议:RIPng/OSPFv3 支持 VRRP6 支持 IPv4/IPv6过渡技术

IPv6特性

设 备 可 靠性

BFD

BFD 基本功能 BFD FOR OSPF BFD FOR IS-IS BFD FOR BGP BFD FOR PIM

其他 二 层 组 播特性 二层组播特性

VRRP 支持 IGMP Snooping 功能 支持用户快速离开机制 支持组播流量控制 支持跨 VLAN 组播复制

以 太 网 OAM

EFM OAM

支持可控组播 支持对端发现 支持链路监控 支持故障通告 支持远端环回

CFM OAM

支持 CCM 检测 支持 MAC Ping 支持 MAC Trace 支持时延和抖动测量 支持基于 L2协议头、IP 五元组、出接口、802.1p 优 先级的组合流分类 支持基于 QinQ 报文的 C-VID 和 C-PRI 的流分类 支持对分类后报文流的访问控制 支持基于流分类的流量监管
86

Y.1731 QoS 特性 流分类

流动作

商业机密

宝安妇幼保健院异地新网络建项目技术建议书

支持按照分类结果重标记报文 支持分类后报文进入指定调度队列中 支持流分类、流行为的组合应用 队列调度 支持 PQ 调度 支持 DRR 调度 支持 PQ+DRR 调度 支持 WRR 调度 支持 PQ+WRR 调度 拥塞避免 出接口限速 终端服务 支持 SRED 支持 WRED 配 置 与 维护 支持出接口限速 支持命令行配置 支持英文和中文的提示和帮助信息 支持 Console、Telnet 终端服务 文件系统 支持 Send 功能,终端用户之间进行信息互通 支持文件系统 支持目录和文件管理 支持通过 FTP、TFTP 方式上传、下载文件 调试和维护 支持日志、告警、调试信息统一管理 提供电子标签 支持用户操作日志 支持详尽的调试信息,帮助诊断网络故障 提供网络测试工具,如 Traceroute、Ping 命令等 提供接口镜像、流镜像 版本升级 支持整机软件加载、在线加载 支持 BootROM 在线升级 支持在线补丁 安 全 和 管理 系统安全 命令行分级保护、未授权用户无法侵入 AC6605 支持 SSHv2.0 支持 RADIUS 和 HWTACACS 用户登录认证 支持 ACL 过滤 支持 DHCP 报文过滤(插入 Option82选项) 支持预防控制报文攻击 支持防范 Source Address spoofing 、 LAND 、 SYN Flood (TCP SYN)、Smurf 、Ping Flood (ICMP Echo) 、 网络管理 Teardrop、Ping of Death 多种攻击 支持 ICMP 实现 Ping 和 Traceroute 功能 支持标准网管协议 SNMPv1/v2/v3 支持通用特性的标准 MIB 支持 RMON

无线单元的特性
商业机密 87

宝安妇幼保健院异地新网络建项目技术建议书

AP 设备管理
特性 AP 设备的接入控制 指标 支持基于 MAC 或 SN 的 AP 白名单功能的设置和查询 支持以单个和批量(MAC 地址段或 SN 段)方式手动设置白名 单 支持半自动上线(手工确认)接入方式 支持全自动(无需认证)AP 接入 AP 域管理 支持设置 AP 域的布放类型: 离散布放: AP 布放非常独立, AP 间无任何干扰,此时一个 AP 相当与一个域,工作在最大功率,不调优 普通布放: AP 之间分布比较稀疏,每个射频的发送功率要求 小于其最大发送功率的50% 密集布放: AP 之间分布比较密集,每个射频的发送功率小于 最大发送功率的25% 支持指定域设置为默认域,用于配置 AP 自动上线 最多支持256个 AP 域,域描述长度为63 AP 配置模板管理 AP 设备类型特性管理 支持指定某 AP 配置模板为默认模板,用于配置 AP 自动上线 最多支持256个 AP 配置模板 通过 AP 设备类型特性管理 AP 设备固有属性,包括:AP 上的 接口数量、类型,射频数量、类型,最大支持的 V AP 数,最大 关联用户数,以及射频增益(针对部分室内放装式 AP) 内置已知类型的 AP 设备类型特性 用户可自行扩展 AP 设备类型特性 网络拓扑管理 最多支持256个 AP 类型特性 支持 AP LLDP 拓扑感知

射频管理
特性 射频模板管理 指标 通过模板可设置: 射频的工作模式、速率 自动或手动的信道、功率模式 管理射频调优的检测间隔 支持按射频设置802.11n、802.11b/g/n、802.11a/n 模式 支持手动为单个射频绑定射频模板 最多支持1024个射频模板 统一静态配置 整网射频参数的集中配置与管理:经过网规部署,在 AC 上进 行集中配置,将射频参数(工作信道、发射功率等)批量下发 给各 AP AP 上线时自动选择信道和功率 支持动态调优:在 AP 重叠区域,信号冲突时自动调整功率或
商业机密 88

集中动态管理

宝安妇幼保健院异地新网络建项目技术建议书

信道 局部调优:调整指定 AP 最优工作信道和功率 全局调优:调整指定域所有 AP 的最优工作信道和功率 支持补盲功能:支持删除 AP 或 AP 下线时调大周围邻居的功 率补盲 基于域的集中控制式射频参数自动选择和调优 业务增强 多模式组合接入:a/b/g/n 独立部署及组合(an、bg、bgn、gn) 部署,共8种模式接入 优先接入5G 终端:无线终端优先启用5G 频段

WLAN 业务管理
特性 服务集(ESS)管理 指标 基于 ESS 可设置:使能广播 SSID、最大接入用户数、用 户老化时间 支持基于 ESS 的 AP 二层隔离 支持基于 ESS 的映射业务 VLAN 支持基于 ESS 关联安全、QoS 等业务模板 支持基于 ESS 控制 AP 组播开关 最大支持1024个 ESS 服务集 基于 VAP 的业务管理 支持 VAP 的批量创建及绑定射频 ESS 支持按多种方式查询 VAP:单个查询、按 ESS 查询、批 量查询 支持业务离线配置 AP 全自动上线方式下,根据业务批量发放规则,自动创 建 VAP 最大支持20000个 VAP 对象 配置的自动发放管理 支持基于“AP 类型+射频 ID”定义业务配置的自动发放规 则 支持自动上线 AP 加入缺省域(缺省域可事先制定) 自动发放规则与域配合使用, 实现针对某区域 AP 的批量 上线 系统支持最多256条业务自动发放规则 组播业务管理 负载均衡 支持 AP IGMP Snooping 模式 支持 AP IGMP Proxy 模式 支持通过负载均衡组对一组射频进行负载均衡 支持两种负载均衡策略: 基于 STA 数的负载均衡 基于流量的负载均衡

WLAN QOS 特性
商业机密 89

宝安妇幼保健院异地新网络建项目技术建议书

特性

指标

(WMM-Profile) 基于模板的 WMM 使能/禁用 WMM 模板管理 系统最多支持32个 WMM 模板 WMM 模板可同时运用到多个 AP 的不同射频 流 量 模 板 管 理 支持 AP 流量模板管理, 基于模板管理流量、 优先级映射等 AP (Traffic-Profile) 系统最多支持32个空口流量模板 支持空口流量模板绑定到 ESS,即每个 ESS 有独立的 QoS 策略 支持 AC 的 QoS 模板管理 支持通过 ACL 规则对业务流进行分类 支 持 基 于 物 理 端 口 的 上 行 / 下 行 ( 上 行 CAR , 下 行 CAR/Shaping)流量控制 支持基于用户的上行/下行(上/下行 CAR)业务流量控制 支持基于 ESS 和基于 V AP 的流量限速 AP 流量控制 报文优先级配置 支持多用户流量控制,共享带宽 支持指定 VAP 的带宽限速 支持配置 CAPWAP 控制通道的 QoS 优先级(IP DSCP) 支持配置 CAPWAP 数据通道的 QoS 优先级 指定数据 CAPWAP 头优先级 用户报文到隧道报文的优先级映射(802.1p 和 ip tos )

AC 流量控制

WLAN 安全特性
特性 WLAN 安全模板管理 指标 支持通过 WLAN 安全模板管理认证和加密方式 支持安全模板绑定到 ESS 模板 最多支持256个 AP 模板 支持多种认证 支持“OPEN-SYS 认证+无加密”方式 支持 WEP 的认证/加密方式 支持 WPA/WPA2认证加密 “WPA/WPA2-PSK+T KIP” “WPA/WPA2-PSK+CCMP” “WPA/WPA2-802.1x+TKIP” “WPA/WPA2-802.1x+CCMP” 支持 WAPI 认证加密 支持 AC 集中式 WAPI 认证 支持 WAPI 多信任证书方式(3证书) ,兼容传统双证书 方式 支持证书和私钥合一的发放方式 支持 MAC 认证 将用户 MAC 地 址做账号 ,送认证 服务器 ( Radius Server )认证 支持 Portal 认证
商业机密 90

宝安妇幼保健院异地新网络建项目技术建议书

支持 AC 做 Portal 网关 不支持 AP 做 Portal 网关 仅支持 L2Portal 方式 支持组合认证 支持 MAC 组合认证 PSK&MAC 认证 支持 MAC 与 Portal 组合认证 先 MAC 认证,后 Portal 认证 仅针对集中转发场景 AAA 支持本地认证/本地账户(MAC、账号) 支持 Radius 认证 支持多认证服务器 支持备份认证服务器 基于账号域指定认证服务器 基于账号域配置认证服务器 支持用户账号域与 SSID 绑定 安全隔离 权限控制 支持基于端口的隔离 支持基于用户组的隔离 支持基于端口的 ACL 权限控制 支持基于用户组的 ACL 权限控制 支持基于用户的 ACL 权限控制 支持 SSID 隐藏 支持终端 IP Source Guard 防护 支持静态绑定终端 IP 地址 支持动态绑定终端 IP 地址(DHCP)

其他安全防护

WLAN 用户管理
特性 无线用户地址分配 WLAN 用户管理 支持用户黑白名单 支持用户接入数量限制: 按 AP 限制用户接入数量 按 SSID 限制用户接入数量 支持多种方式强制用户下线 Radius DM 强制用户下线 命令行强制用户下线 支持多种查询方式: 支持基于用户 MAC、 AP、射频、WLAN ID 方式查询用 户状态信息 支持按 ESS、AP、射频查询在线用户数 支持基于用户的空口信息统计 WLAN 用户漫游 支持 AC 内的二层漫游 说明
91

指标 集成 DHCP 服务器,为无线用户分配地址

商业机密

宝安妇幼保健院异地新网络建项目技术建议书

用户可经 AP 从 AC 相同或不同物理口接入 支持 AC 内的跨 VLAN 的三层漫游 支持免完整802.1X 认证的快速协商密钥 支持重关联用户的合法检查,拒绝非法用户的重关联请 求 支持用户信息的延时清除,实现用户下线后的快速重新 上线 用户组管理 支持基于用户组的 ACL 访问控制 支持基于用户组的隔离 支持组间隔离 支持组内隔离

系统维护管理特性
分类 管理 支持串口、网口调试 支持 Telnet 远程配置 支持命令行(CLI)配置 支持通过 eSight 网管系统进行管理 支持系统日志 维护 支持分级告警 支持调试信息输出 支持 Ping 支持 SSH/Telnet 远程维护 版本管理 AC6605支持三种方式版本下载方式: 本地保存 AP 版本文件 通过管理通道自动发放版本给 AP 通过 FTP 方式为 AP 下载版本 支持配置和查询 AP 类型与版本文件的关联关系,用于自 动版本加载 支持基于 AP 类型的手动批量下载版本,查询下载结果 特性

10.8无线 AP6310SN
AP6310SN 是经济型室分单频无线 AP(Access Point) ,功率大,可靠性高,支持2.4G 频率,遵循 IEEE 802.11b/g/n 标准,支持 Fit 模式的 WLAN( Wireless Local Area Network) 接入点设备。AP6310SN 具有完善的业务支持能力,高可靠性,高安全性,网络部署简单, 自动上线和配置,实时管理和维护等特点,满足室分型网络部署要求。

商业机密

92

宝安妇幼保健院异地新网络建项目技术建议书

10.8.1 产品特点 高速可靠的无线接入服务
? ? ? ? ? ? ? ? ? ? 兼容 IEEE 802.11b/g/n 标准 支持每射频最高速率达150Mbps 支持 WMM 协议,根据业务类型(语音、视频、数据)进行优先级调度;支持空口 支持有线链路的完整性检测 支持负载均衡 支持用户漫游切换,业务不中断 支持 AC 热备份 采用最新一代802.11n 芯片技术,性能提高20% 覆盖能力更强 金属外壳及整体散热设计,高温性能及可靠性更有保证

和有线的优先级映射,实现端到端 QOS

完善的用户接入控制能力
? ? ? 支持基于用户的访问控制(ACL) 。可根据用户组策略,基于用户实施访问控制 支持单个用户的精细带宽管理 支持用户隔离策略

高等级的网络安全性
? ? 支持 WEP(Wired Equivalent Privacy)即有线等效认证/加密方式 支持 WPA(WiFi protected access )/WPA2 即 Wi-Fi 安全访问协议认证/加密方式

? 支持 WAPI(WLAN authentication and privacy infrastructure)即无线局域网鉴别和保 密基础结构认证/加密方式,是中国的无线局域网国家标准体系 ? ? 支持802.1x 认证/加密方式 支持非法 AP 检测

灵活的组网和环境适应能力
商业机密 93

宝安妇幼保健院异地新网络建项目技术建议书

?

灵活的组网能力,满足接入、桥接(WDS)等多种组网应用场景

? 强大的环境适应能力,自动选择传输速率、信道和发射功率,自适应射频环境,实 时回避干扰 ? 自适应带宽管理,自动根据用户数量、环境等因素调整用户带宽分配,改善用户体 验

简单的设备管理和维护
? ? ? ? AP 上线自动发现 AC,自动加载配置,即插即用 支持批量自动升级 网管系统实时监控,实现远程配置和快速故障定位 支持 LLDP 链路自动发现,快速获取网络拓扑

10.8.2 产品特性 WLAN 特性
? ? 支持 IEEE 802.11b/g/n 标准,每射频最高速率达150Mbps 。 基于 WMM(Wi-Fi multimedia)即 Wi-Fi 多媒体标准的映射及优先级调度规则,实

现基于优先级的数据处理和转发。 ? 支持自动和手动两种速率调节方式,默认方式为自动速率调节方式。 ? 支持 WLAN 信道速率调整: 802.11b 可选择的速率:1、2、5.5、11Mbps 。 802.11g 可选择的速率:6、9、12、18、24、36、48、54Mbps 。 802.11n 速率可调,支持调试速率 MCS0~15。 ? 支持 WLAN 信道管理: 802.11b/g 模式支持信道数:13个。 802.11n 模式支持信道数:13个。 ? 支持信道自动扫描功能,自动探测周边的 AP、使用的信道及干扰,结果上报 AC, 触发信道调整。 ? 支持 AP 中每个 SSID 可独立配置隐藏功能。 ? ? ? 支持 SST (signal sustain technology) 。 支持 STA 节电模式。 支持 CAPWAP(control and provisioning of wireless access points )即无线接入点控制

协议隧道数据转发。 ? AP 支持自动发现 AC。

网络特性
? ? ? ?
商业机密

符合 IEEE 802.3u 标准。 支持速率和双工模式的自协商,自动 MDI/MDI-X。 支持1024个单播 MAC 地址。 支持根据用户接入的 SSID 划分 VLAN。
94

宝安妇幼保健院异地新网络建项目技术建议书

? ? ? ? ? ? ? ? ?

上行以太网口支持 VLAN trunk 功能。 支持 VLAN ID (1-4093),可设置16个 V AP。 支持 AP 上联口管理通道以 tag 和 untag 两种模式组网。 支持 DHCP Client,通过 DHCP 方式获取 IP 地址。 支持 AP 以 PPPoE 方式拨号上线。 支持用户数据的集中转发和本地转发两种方式。 支持同一 VLAN 中不同的无线终端之间的访问隔离。 支持用户访问控制(ACL) 。 支持 LLDP 链路发现。

QoS 特性
? 基于 WMM (Wi-Fi multimedia )即 Wi-Fi 多媒体标准的映射及优先级调度规则,实 现基于优先级的数据处理和转发。 ? ? ? ? ? 支持按射频管理 WMM 参数。 支持 WMM 节电模式。 支持上行报文优先级映射和下行流量映射。 支持队列映射和调度。 支持基于每用户的带宽限制。

? 支持自适应带宽管理,自动根据用户数量、环境等因素动态调整用户带宽分配,改 善用户体验。

安全特性
? ? ? ? ? ? ? 支持 OPEN-SYS 认证方式。 支持 WEP 认证/加密方式。 支持 WPA/WPA2认证/加密方式。 支持802.1X 认证/加密方式。 支持 WAPI 认证/加密方式。 支持对数据报文采用 SMS4解密。 支持链路完整性功能检测,当 AP 和 AC 间隧道中断后自动关闭无线信号发射。

维护特性
? ? ? ? ? ? 支持通过 AC 对 AP 进行的集中管理和维护。 AP 上线自动发现 AC,自动加载配置,即插即用。 支持批量自动升级。 AP 支持 Telnet 和串口两种调试方式。 支持网管实时监控用户配置信息和快速故障定位。 支持 AP 系统状态告警。

商业机密

95

宝安妇幼保健院异地新网络建项目技术建议书

10.8.3 产品参数 基本参数
项目 物理 参数 尺寸(长× 宽× 高) 重量 系统内存 电源 参数 电源输入 最大功耗 150mm× 130mm× 35mm 0.6 kg 128 MB DRAM 32 MB Flash DC 12V± 10% 供电: POE -48V DC 6.5W 说明: 实际最大功耗遵照不同国家和地区法规而有所不 同。 ~+50℃ -10℃ ~+70℃ -40℃ 5%~95%(非凝结) IP31 –60m~4000m 描述

环境 参数

工作温度 存储温度 工作湿度 防水等级 海拔

无线参数
项目 射频连接器类型 可同时在 线的用 户数量 发射功率 27dBm(最大) 支持至少100%、50%、25%、12.5%四级功率可调,调整步长为3dB。 支持1dB 步长调整,可调范围为满功率向下15dB。 说明 实际发射功率遵照不同国家和地区法规而有所不同。 802.11b/g 20MHz: 3 802.11n 20MHz: 3 40MHz: 1 支持的信道速率 802.11b: 1、2、5.5和11Mb/s 802.11g:6、9、12、18、24、36、48和54Mb/s 802.11n 数据速率 M GI=800ns C
商业机密

描述 N型 ≤128

非重叠频 道最大 数量

GI=400ns 20MH 40MHz 速率(Mb/s )
96

20MHz

40MHz

宝安妇幼保健院异地新网络建项目技术建议书

S 指 数 0 1 2 3 4 5 6

速 率 ( Mb/s ) 6.5 13 19.5 26 39 52 58.5

速 率 ( Mb/s ) 13.5 27 40.5 54 81 108 121.5 135

z 速率 (Mb/s ) 7.2 14.4 21.7 28.9 43.3 57.8 65 72.2 15 30 45 60 90 123 135 150

7 65 说明

1MCS 指数:调制和编码方案(MCS)指数,确定空间流的数量、调制、 编码率以及数据速率值。 ,帮助接收器克服多路径延迟的影响。 2GI:符号之间的保护间隔(GI) 接收灵敏度 802.11 b (CCK) -97 dBm @ 1 Mb/s -92 dBm @ 2 Mb/s -92 dBm @ 5.5 Mb/s -90 dBm @ 11 Mb/s 802.11 n(HT2 0) -92 dBm @ MCS 0 -89 dBm
商业机密

802.11g (non-HT20) -92 dBm @ 6 Mb/s -91 dBm @ 9 Mb/s -90 dBm @ 12 Mb/s -87 dBm @ 18 Mb/s -83 dBm @ 24 Mb/s -80 dBm @ 36 Mb/s -76 dBm @ 48 Mb/s -74 dBm @ 54 Mb/s

802.11n (HT40) -89 dBm @ MCS 0 -86 dBm @ MCS 1 -83 dBm @ MCS 2 -79 dBm @ MCS 3 -76 dBm @ MCS 4 -72 dBm @ MCS 5 -70 dBm @ MCS 6 -68 dBm @ MCS 7

97

宝安妇幼保健院异地新网络建项目技术建议书

@ MCS 1 -86 dBm @ MCS 2 -82 dBm @ MCS 3 -79 dBm @ MCS 4 -74 dBm @ MCS 5 -73 dBm @ MCS 6 -71 dBm @ MCS 7

商业机密

98


推荐相关:

妇幼保健院建设项目建议书.doc

妇幼保健院建设项目建议书 - XX 县妇幼保健机构建设项目建议书 一、概况 1、项目名称:XX 县妇幼保健机构建设 2、项目业主:XX 县疾病控制中心妇幼保健中心 3、...

妇幼保健院新建住院部项目建议书可行性研究报告申请报....doc

妇幼保健院新建住院部项目建议书可行性研究报告申请报告__调查/报告_表格/模板_实用文档。XX妇幼保健院新建住院部项目可行性研究报告 妇幼保健院新建住院部项目 ...

妇幼保健院新建住院部项目建议书可行性研究报告申请报告.doc

XX妇幼保健院新建住院部项目可行性研究报告 妇幼保健院新建住院部项目 可行性研究报告项目建议书资金申请报告可研报告 可行性研究报告 XX 工程咨询服务有限公司 1...

xx县xx项目建议书.doc

xxxx项目建议书 - xx 县 xxx 项目建议书 编制单位:xxxxxxx 日期: 年月日 目 录 一、项目名称 ...

xx项目建议书.doc

xx项目建议书_调查/报告_表格/模板_实用文档。项目建议书 XX 九龙洼避暑休闲开发项目 建议书 项目名称:XX 九龙洼避暑休闲开发项目 项目主管单位:XX 县旅游局 ...

XX公司项目建议书.doc

XX公司项目建议书 - 目 录 第一章 XX 律师事务所 第一节 我所简介 第二

XX学校项目建议书.doc

XX学校项目建议书 - XXXXXX 高中改造装修工程 项目建议书 XXXXXX 工程建设咨询有限责任公司 2018 年 6 月 XXXXXXX 高中改造装修工程 项目建议书 目录 ...

(新)XX集团项目建议书_图文.ppt

(新)XX集团项目建议书 - XX集团有限公司管理咨询项目 项目建议书 2001年4月27日 上海 机密 2 内容 页数 1. 对XX集团有限公司需求的理解 2. 项目范围、实施...

妇幼保健院门诊综合楼、安置楼项目可行性研究分析报告.doc

妇幼保健院门诊综合楼、安置楼项目 XX 工程咨询公司项目可行性研究报告项目建议书资金申请报告可研报告 可行性研究报告 目 第一章 总 录 论 ... 妇幼保健院门诊...

XX项目建议书PPT模板_图文.ppt

XX项目建议书PPT模板 - Logistics Services Indust

妇幼保健院建设项目建议书.doc

妇幼保健院建设项目建议书_调查/报告_表格/模板_实用文档 暂无评价|0人阅读|0次下载妇幼保健院建设项目建议书_调查/报告_表格/模板_实用文档。妇幼保健院建设项目...

XX公司咨询项目建议书_图文.doc

XX公司咨询项目建议书 - XX 公司咨询项目建议书 【最新资料,WORD 文档,可编辑 资金管理制度 烟台公司 咨询项目建议书 北大纵横管理咨询公司 声 明 本项目建议书...

xx养老项目建议书(20161020可研).doc

xx养老项目建议书(20161020可研) - xx 健康养老项目建议书 1 总论 1.1 项目名称 xx 健康养老项目 1.2 拟建地点 项目建设地点在 xx 县大菩提寺东一公里处。...

XX公司管理咨询项目建议书.doc

XX公司管理咨询项目建议书 - xx 公司用品有限 公司 内部管理咨询项目建 议书 年 11 月 2 日 1. 项目背景 BUC 会计 09-5 钟海珊 11 2011 公司用品有限公司...

某市妇幼保健院迁址新建项目可研投资报告(43页,word可....doc

委托书 结论 建议 133 133 XX 市发展和改革委员会 《关于 XX妇幼保健院迁址新建项目建议书的批复》 XXX 投资[2009]60 号 XX 市建设与规划委员会《XX 市...

湖南某县妇幼保健院医技大楼建设工程项目可行性研究分....doc

XX妇幼保健院医技大楼建设工程 XX 工程咨询公司项目可行性研究报告项目建议书资金申请报告 可行性研究报告 二一二年十月 1 目 录 第一章 总 论 ... 错...

XX公司信息服务项目建议书(22页).doc

XX公司信息服务项目建议书(22页) - XX 信息服务项目建议书 第 1 页

妇幼保健院医技大楼建设工程可行性研究报告.doc

妇幼保健院医技大楼建设工程可行性研究报告 - 可行性分析报告建设是分析立项备案可研报告建议书范文格式模板范本建议书代可行性研究报告项目申请报告分析,策划方案申报...

XX公司项目建议书.ppt

XX公司项目建议书_书信模板_表格/模板_实用文档 暂无评价|0人阅读|0次下载|举报文档XX公司项目建议书_书信模板_表格/模板_实用文档。机密 建立科学有效的管理...

XX仓库项目建议书.doc

XX仓库项目建议书 - xxx 仓库项目建议书 第一章 总论 第一节 项目背景

网站首页 | 网站地图
All rights reserved Powered by 学霸学习网 www.tceic.com
copyright ©right 2010-2021。
文档资料库内容来自网络,如有侵犯请联系客服。zhit325@126.com