XX集团信息化建设技术建议书.docx

XX集团信息化建设技术方案建议书华为3Co«n技术有限公司年月目录第I章甯求分析61.1工程背景61.2窿设目标7笫2章网络建设原则8第3章总体建设方案93.1拓扑箧型选择93.1.1星形网络93.1.2网状同络103.1.3环形M络113.1.4及平面何络113. 1.5网络类型比照123.2 XX桀团网络给构选驿133.3 传输技术选择133.4 设备选型133.4.1路由器产品琮述133.4.2MSR系列路由器特点M3.4.3以大网交换机产品玲逑153.4.4H3CS9500系列万兆核心交换机好点153.4.5H3C5510系列全千兆多协议以尢网交换机特点171.1.1 H3C5100全千兆智能交换机特点183.4.7 H3CS36OO系列智能弹性交换机特点203.4.8 II3CS3100系列千兆智能交换机特点223.4.9 平安产品选里原则223.4.10 4.10SeCPaIh系列防r卡、产R特点233.4.10.1离性能保建233.-1.10.2S亚务的支持233.4.10.3增国的应用平安243.4.10.4高可事性243»4«10(5彳下253.4.10.6统一管便的管理手段253.4.10.7实时流量分析253.4.10.8实时即件售嬖253.4.10.9详尽的日志功能263.4.10.10统一的管理手段263.4.11TippingPoint系列IPS产品特点271.1.1.1 4.11.1菊性能的硬件平台281.1.1.2 业界领先的平安威胁分析团队281.1.1.3 合管理中7291.1. 4.11.4无微部署293.4. 11.5多电高可靠性(M1.HA1Mu1.ti-1.ayerHighAvai1.abi1.ity)303.5. 烙总体方案313. 5.1方案一：专线方案313.5. 1.1核心层设计313.6. 1.2会聚/接入层设计313.7. 1.3效劳器区设计323.8. 5.1.4%络出口设计323.9. 1.5广域网设计323.5.2方案二：YPN方案323.5.2.1核心层设计333.5.2.2会聚/接入层设计333.5.2.3效劳器区设计333.5.2.4网络出口设计333.5.2.5广城网设计34第!章IP地址及设备命名称规划341.1Ip地址规划原则344.1.1IP地址规划总原则344.1.2IP地址规划具体原则341.2IP地址分配方案341.1.1 1设备1.oopback地址的分正351.1.2 谀各间互建地址的分配351.1.3 VPN业务地址354.3网络设备命名规则364.3.1网络设备根本命名琥则364.3.2设备具体命名原J1.O364.3.2.1网络设备标识方法364.3.2.2效劳器标识方法364.3.3网络没备命名总体原则36第5章路由设计381.1.概要381.2. 路由场议分类381.3. 选择原则391.4. 路由协议选择401.4.1.IGP珞由选择IO5.1.1.1OSpF和IS1.S的比较405.1.1.2OSPF和IS】S的选择415.1.1.3OSPF和E1.GRP的比较41第6章VPN设计436.1IPSCe八PN原理第介436.2IPSECVPNO436.2.1移动用户VPN接入解决方案446.2.2分支机构VPN接入解决方案45第7章QoS设计467.1梭述167.2IPQOS效劳模St速界467.2.1BestEffort模型467.2.2I1.HSerY模型177.2.3DiffSerV模型477.2.4MP1.SDiffServ487.2.5MP1.STE497.2.6DS-AuBreTE497.2.7总结497.3QOS技术简介507. 3.1DiffSerV相关技术507.1.1.1 流分类507.1.1.2 3.1.2流量装管与整形517.1.1.3 1.3搠塞管理517.1.1.4 拥寄防止537.3.2MP1.S-TE技术537.3.3HP1.SDS-AwareTE技术547.4QoS郡召547 .4JQOS部署总体原则548 .4.2DiffSerV模型的部署557.4.2.1业务分类557.4.2.2标记567.%2.3流量上管577.4.2.4队列管理577.4.2.5拥塞防止587.4.2.6DiffServ模型电署例如587. 4.3QoS参数的测量597. 4.3.1Netstream方案598. 4.3.2HWPing方案60第8章级播设计618. I梃要618.2 泡格模型选择618.3 电排协仅选择628.3.1组播组管理法议选择628.3.2组播珞由协议选择628.4沮播协议原理简介638.4.1级搭组管理筋议638.4.1.1IGMP638.4.1.2IGMPSnooping638.4.1.3SSMMapping648.4,2组措路由林议648.4.2.1P1.M648.4.2.2MSI)P668.4.2.3MP-BGP678.5 组报转发机制688.6 组播地址688.6.1IP俎祐俎地址688.6.2以大同组播MAC地址698.7组恬部署698. 7,1域内组拨部署698. 7.1.1RSM模31姐搭部署699. 7.1.2SSM模型俎势部善718. 7.2城问组整部署758. 7.2.1PIM-SM域间组指部罟实例76第9章平安设计799. 1网珞早安风险分析799.2 网塔平安设计原则809.3 华为3Com平安渗透总体馆决方案809.3,1基纪平安809.3.1.1茶础网络平安设备809.3.1.2威胁抵御819.4平安部署839.4.1 基JB设战平安部署839.4.1.1分级设置用户口令839.4.1.2对任何方式的用户登录楣进行认证839.4.1.3对网络上的病毒所使用的埼Di1.行过港839.4.1.4采用网络地址转换技术保护内部网络839.4,1.5关闭危险的效劳849.4,1.6使用SNMp协议时候的平安珑议849.4.1.7保持系统日志的翻开859.4.1.8注意检查设备的系统时间是否准确859.4.1-9运行路由协议的时候,增加财路由协议的加密认证859.4.1.10设备上开启URPF功能859.4.1.11ICMP协议的平安史置859.4.1.12DDaS攻击的防范869.4.I.13堵口验证技术869.4,1.14防地址假日技术869.4.2防火塘部署869.4.2.1数抠中心防火墙部署879.4.2.2Internet边界平安防护889.5 部署主动入侵防御系统的建议911. 5.1应用程序防护919. 5.2网络架构防护9210. 5.3性能保护9211. .4数字疫苗在线更新机制9212. 5.5平安管理系统总体方案-SMS939.6 EAD解决方案949.6.1方案介貂959.6.2方案思路959.6.3方案组成局部959.6.3.1CAYS平安策略效劳器969.6.3.2修复效劳器969.6.3.3平安联动设备969.6.3.4平安客户痣979.6.4应用模型979.6.4.1平安准入应用模型979.6.4.2平安准入工作流程989.6.5功能特点999.6.5.1平安状态评估999.6.5.2用户权限管理1009.6.5.3用户行为能控100第10章风管部署10210.1QUidVieW各组件功能特点10210.1.1网管平台QUidViCWNMF10210.1.2设备管理粗件10810.1.3网络配置中心（NCC）10810.1.3.1设备配置文件管理10810.1,3,2设备升级管理109第1章需求分析1.1工程背景XXjR团是羟国家工商局批准注册的跨地区、得行业的竦合性企业集团.总部位于河南古汝州市丹阳西路28号。集团拥有安产】1亿元，职工9000余人。集团所属铸造.水泥.旅游.煤电四大公司，是平顶山市政府克点扶羚的十二家大型企业集团之一.2001年生产精钢件2.8万吨，水泥183万多吨，发电5亿度，实现鞘售收入6.5亿元，利税8000余万元.集团制定了“十五”开展规划，其中，将新窿新S!干法水湿生产线，到达600万吨的年生产能力。集团水泥年产量可达800万吨；两条林迪生产段.年生产能力达10万吨。2005年方案实现销名收入20亿元,利税3亿元。天瑞下设十一个职能部门,四个二级子公司（XX集团铸造有限公司、XX集团水褥有限公司.XX集团铝业有限公司.XX集团旅游有限公司）和一个集团直属的XX集团房地产开发公司。十一个职能部门分别为总寂办公室、财务部.审计监察部、企业管理部、克本运营新、法务部、工程葡、技术装备部、物资管理部、费源投资新、动能产业管理部。XX集团总部在汝州市广城东路，十一层的集办公和酒店为一体的综合性大楼.15层为酒店局部.611层为办公局梆.办公局部平均每层信息点数在90个左右.蛾格中心机房在办公大楼的七层,每楼层设有弱电向，通过千兆多馍光纤方式与数Jg中心相联。XX集团侨造有限公司下设普造公司生产一部,普造公司生产二部、普造公司生产三部、铸造公司生产四部、天瑞焦化有限公司和云阳钢铁有限公司.坏盘公司生产一部、轿地公司生产二局部别在汝州市临汝搐地界内，坏造公司生产三新、铸造公司生产四部、天瑞焦化有限公司分别在汝州市汝南工业区地界内，以上五个生产单位可通过千兆光纤方式联入集团总部。云阳钢铁有泯公司在南阳市南召县地界.可通过电信运营商提供的传输烧珞或VpN方式接入桀团总部。XX集团水泡有限公司下设汝州水泥有限公司（在汝州市汝南工业区地界内）、汝州豫泰水泥有限公司（在汶州市I占汝檀地界内）、鲁山安泰水泥右限公司、平顶山星峰水泥有根公司、平顶山石龙区水泥为限公司.周口水泥有限公司.商丘水泥有限公司、郑州水泥有限公司.新乡卫辉水泥有限公司和大旌长兴岛水泥有】艮公司。汝州地界的企业通过裸光纤方式联入集团总辞.外地企业通过电信运包商提供的传输及路或YPN方式接入某团总部。XX集团铝业有限公司位于三门块市.下设三门峡天元铝业有泯公司和三门块氟化盐铝业有限公司（通沌县.天元铝业公司和氟化盆铝业有限公司透过光纤汇樱到XX集团铝业公司，再通过电信运营商提供的传侑姣珞或YPN方式接入集团总部.XX集团能淤有限公司位于平顶山市，下设鲁山石人山旅济公司、鲁山六羊山敬海公司.鲁山上汤故湃总公同。石人W.六羊山、上汤可采用光纤接入旅游公司总部.然后再通过电信运势商提供的传输线路或VPN方式接入集团总部。动能产业管理部下管理汝州市火电厂'汝州市热电厂、宝丰电厂,以上两个汝州地界企业通过操光纤方式联入集团总部，宝丰电厂通it电信运营商摄供的传输拨路或YPN方式接入集团总部.12建设目标实现XX维团总公司和各子公司的互联.网络设计应充分考虑实用性和集成性、标准性和开放性、先进性和平安性、成熟性和高可靠性、可维护性和可管理性、可扩充性期兼容性，同才充分考虑冗余性和多苏议处理和路由能力设计。第2章网络建设原则为用建药质量的网络，在回络疑设中要经特以下原则：1 .高可拿性：网络的稳定可亦是应用系统正常运行的关健.保证在网络设计中选用高可今性的网络产品设&.充分考走冗余、容性和备份能力，同时合理设计网络架构，制订可窜的网络多份策略，保证咫络具有故障自愈的葩力.设大泯度地支持系统的可靠运行。2 .技术先迸性：在保证满足根本业务应用的同忖,又要表达出何络的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考感到网络应月的现状和未来开展趋势。3 .高性能：目干网络的性能是整卞网络曳好运行的基础,在设计中必须保障网络及设备的高不吐能力,保证各种信息教抠、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶强.4 .标准开放性：支持国际上通用标准的网络济双、国际标准的大型的动态路由协议等开放冰仪，有利于以保证与其它网络之间的平滑茨接互通，以及将来网络的护展.5 .可扩展住：根据未来业务的增长和变化，同络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整.6,可管理在：选用先进的匣络管理平台.具有对设备、提口等的管理及流量统计分析，并可提供故碌自动报壑。7 .平安性：制订统一的同络平安策略，整体考虑网络平台的平安性。做到业务数据的平安传递和网络设备不受黑客攻击。8 .统济性：在充分利用现有资源的情况下，最大限度地降低网络系统的总体投费，有方案、有步骤地实施,在保迂网塔整体性能的前提下，充分利用现右的网络设备或做必要的升级.第3章总体建设方案3.1 拓扑模型选择网络的拓扑结构很大程度上决定了网络的性能。常见的网络拓扑拮构主要有星型造构.网状玷构、环形给构、双平面等几种.可以适用于的绝大多数广域网的构建,同时，也适用于绝大多数局域网的冉建。不同的拓扑结构具有不同的特性,网烙建设中拓扑的选择要根据实际情况而定。3.1.1 星形网络1 .单星形同络如图1所示，可以适合中小型的网塔.图1标准星形网络具有以下特点： 结构制单，便于设计： 蛟期本钱相而较低； 网络犷展性好.缺电是对核心设备的处理能力和接口带宽都要求很高，核心设备一旦出现故障,其他芍点之间可作无法通信,存在单点故障险患。2 ,双星站相,/于规模比较大的网络.下国主要的分支节点比较多.可以考虑采用双星结为。如图2所示.ant三2R具有以下特点： 可作性高。采用两个核心节点的双连接星型网络结构,使得网络具有可拿性、可用性及平安性,防止了单点失效的陞患. 支持流量的负或分担.网络流量可能随着多种业务的开展日我壮大（如语音，视很会议），网络流量的负载分担问题将会成为网络可用性的主要因素，采用或逐接的网络结构,使御网络的流量能多比较合理的分布在各条链路上。 支持网络的冗余备份。核心节点采用两台高性能的网络设备,使得核心层具有较好的冗余备份能力.同时，两台核心设备之间要采用高速他路互连，提供了核心设备间的高速互茂带宽，防止两台设备之间形成传输瓶颈.双星结曲是实际网络中普道采用的网络结为之一。3.1.2网状网络1 .全网状饴相对于规模比较小的牌络,可以考点枭用网状转构.如图3所示:图2图3±RttR具有以下忖点： 骨干路由器之间fu1.1.BeShed全连接.任何两台设备之间都有钱路途接，适用于骨干节点不多的小型网络。 对于两点之间的通信提供了多种可选路由，有可靠性高、生存性强的特点，且不存在破路瓶瓠问题和失效问题. 当核心设备较多时，规划和部署比较灵杂。2 .局邮网状站相局部网状站内，就是为了在多设备情况下防止全网状的M级的辑路，根据实际情况，可选算重点节点和其他节点分别建立钺路连接,非电点节点之间选择性连接,如SH所示：E4半网状网络局部网状结构局部第决了全M状存在的可期.主要是扩展噎何限，因比更适用于比较大规模的恒络.3.1.3环形网络环形网烙是由网络中若干节点,通过点刎点的钺路首尾相连形成一个闭合的环.这种结构使数据在环路中沿着一个方向在各个节点回传输，信息从一个节点传到另一个节点,简化了路径的选择。在地域网骨干和接入网.在分散的孜芬阀、企业同和校园网中.都可以采用环状的网络.如图5所示：图3图5环形区络具有以下特点： 拓扑简洁： 带宽利用率离； 高可拿性，在出现故障的时候，能契供故障自动保护倒换的故漳台意机制，数据的时是抖动小。如RPR在节点失效的情况下，能在50ms内包动将话务绕到备用光纤上传输。即R环形网塔可以在不中断业务的同时，添加和移除没备，在同一个环内，具有很好的网络扩展能力,但是RPR在跨环方面，相切环、相交环、环带桂等复杂的网路拓扑，实现无法很好实现，而且独立纽大网的能力较弱.3.1.4双平面网络时于规模比较大的匣络（如城域网.大型企业网）,可以考定采用双平台结构,如图6所示:图6双平百阀络双平面网络具有以下特点：高可靠性.将重要业务分别部署在两张网络上，能有效实现业务分担、业务保护和抗灾能力,大大增届业务的平安性. 多条低路选择,带宽利用率商。 支持流量的负我均衡。 优化网络拓扑.在部署第二平面时可以选择不同的拓扑结构，从而弥补原有平雨在某些地区或业务方西的空白，使府格实现全业务、全地理的度娄. 利于业务分类.不同的业务部署在不同的网络上.通迂建设第二平面可以扩大技术选择的范00,并可根据自身网络的具体特点和问题,选择具有不同特点及优势的产品,找到最适宜的解决方斐。3.1.5网络类型比照星希同格同状同格环形网络双平百对络对设备的要求对核心设备的接口带宽，接口密度,要求很高密要所有的核心设各，都具有高帝度的接口RPR技术端口本钱高,对于以大环R.我公司提出的RRPP技术.兼容并通的以大网口,无需箝加任何硬件本钱.对设备要求低冗余、可案性标准的冗余性，可率性都比较低,容易单点失«.造成业务中断：双星冗余性，可集性比较高多种路由可选，冗余性，可方姓高冗余性、可军性特别高如RPR逆向双环保护,故作自动保护倒挨50ms)业务新罟在2张网上，冗余性平安性非常高负钱均衡双星可以实现比较好的负我均衡多条链路可典选择，具有很好的负裁均衡能力负数均衡非常好，如RPR双环结构，带宽动态分配、公平共享多条俄路可以选择.并有高当克的支持，负裁均衡能力好适用范四标准的适合中小型网络：双星可以使用在大型用烙.流量集中的行业仟千适用节点不多的管干网络：大区网络：光纤丰富的哥干网核心;城域网景干核心；对可隼性要求高的全国大型行业骨干城城Ph大型企业网，NGN网，3G网络3.2 XX集团网络结构选择MXI集团的加模及应用模型，囊的蜜。果用星彩网络结构，Rr声网络性危及可*性，核心交犊果用双横心结相.3.3 传输技术选择XX集团各子公司所处地理位置比较分散，较近的越方可通过光纤线路进行互联，对于跨县、跨市、跨省的分公司,只能道过租用电信运芒商的我路或通过YPN进行互联.下面对这两种方式进行比较：租用电信运省商专段：租用专段的优点是线珞专用.带宽和平安性能缪辨到保证,延时较小,对于对QOS要求我高的实时应用如话音、视频等有很好的支持,但投路费用相对于VPN方式较高。VPN方式：VpN方式是租用电信运营商的INTERNET歧路,逋过IPSECYPN技术构建自己的专用网烙,VPN方式数据通过建立加密援边的方式在INTERNET上传输，甭要和其他用户争用两络费嫁，学宽不能徉到保证，同时要对数据进行加密，会用加领外的常时，QoS和平安也较寿或方式基，但VPN方式部署方便，发路费用较低.为荻得较好的应用效果,应优先考虑殂用电信运营Si专线构速XX集团网络系统，VPN方式可作为备份线珞或专战方式无法覆整地区的接入方案。3.4 设备选型3.4.1 路由器产品综述华为3Com秉承华为产品“电信级”可靠性的传统.所有跖珀设冬的重要部件都进行冗余备份（例如主控板、交换网扳、风扇、电源等，确保设备的“商平安、高可IT.可考性做到了99.999%。华为率先提出第五代路由器理念并在业界达成共识.第五代路由器在关键的IP转发和业务流程处理上采用了可温程的网络处理器（NP：netprocessor）技术，实现了业务灵活性和高性能硬件转发的有机结合,有效地将W1.S技术、QOS技术、i1.工程技术.可控培播技术、可管理技术等诸多技术融合进来，并保林高性口、高品质特梃，成为具有强大业务能力的商性能网络设务.在网络核心层.华为3Com找典大容量高性能Ne1.EnginC5000E/80E第五代核心珞由器（TSR/GSR）.秉承业务与性能并重的设计理念,荏提供全分布式的MP1.SVPN.IFV6.组播等复杂业务的同时仍可实现我速转发,为全网摄供蟠到渊可管理止务同络打下了坚实的基础：华为3C0三核心设备采用先进的体系案构，可以很方便的实现系统的扩屐和业务增减，极大的降低和保护了用户的投资。华为3C011成为犍设中国下一代网络(CNG1.)的重要参与者和窿设者.在河塔会聚层，华为3Com提供SR8800系列路由器、NetEngine40系列通用交换路由器、NE20/20E、NE16E/08E/05高端踣由器。NE40条列设备融合了路由器强大的IP业芬处理能力和三层交换机低本饯以大交换能力.武押有强大的处理能力,又兼备丰富的二层峙性,在充分满足业务应用的同时大幅节省建网本钱，表达出敬高的性价比.NE16系列作为国内第一款高端路由母，打破了国外厂商在这一领域的垄断地位,为保护国家信息平安、节约外汇立下了汗马功靖，此系列设备具备南可靠.高性能.再接口密度等拘点，同时通过拮块不断的研发投入.目前此系列谀备的性能与业务支耕能力不断提升，满足了客户不断变化的需求.是华为3Cs保护客户投资的一款经典力作。中低蟠路由器产品层面，华为3Com在钿新致月的信息时代,全新推出的华为3Co<nYSR系列多业务开放珞由器，堆样业界史范之作.MSR(MUItiP1.eSerYiCeSROUter)多业务开放路由器是华为3C0三公司专门面向行业分支机灼和大中型企业推出的新一代网络产品.MSR先进的软件钻狗与硬件平台，能缈力最小的投资范囹内为企业边线网烙摄供一体化解决方案，更能充分满足未来业芬扩展的多元化应用需求,符合企业IT跳设的现状与趋势.在XX集团网络戏设中我们是议选用华为3C0MMSR系列多业务开放路由器为建XX集团广域网。3.4.2 MSR系列路由界待点企业信息柒构正在由C/S馍式向B/S模式转变，MSR具备高数据转发能力与高加密能力,很好的密决了转变过程中凸现的网络芍宽压力与平安隐患,保障企业关键业务流可以高速,机密的通过广域网传输。MSR臬数据平安、语音通信.现频交互、业务定制等功能于一体,能够在企业风络应用不断丰富的形势下将多元业务方便的第基于同一节点，不仅能蜂景大程度的防止网塔中多设备繁杂异构问题，而且极大降低了企业网络族设的初期投费与长期运维本钱。疑时企业用户日益个性化的应用AF求，MSR领先集成了可以定制开发的高性能开放业务平台，任何人梆可以基于谈平台开发自身需要的高纹网络业务,企业用户只需安装软件便能在网烙中方便的部考相应业务，节省了婶置各类高昂专用网络设备的投资，MSR在突破性提高戡禺处理能力与插懵扩展性的同时，还能完金兼容原AR系列的硬件模块与软件功能，为客户提供了最为姣济的网络升级方案.网珞总体方案内容为网络方案的总体描述.MSR特点:先进的硬件体系裳构 先进的N-BUS体系架构，保证多业务实时线速并发 采用了更强大处理能力的处理器,IP岭发和业务处理能力大幅提高 缺省纪置256M大小的内存和256M存储空间的CF卡 搔供高密度浩音的别高式解决方案和TDM总线设计技术 实现多种业务类型的硬件加速方案多业务集成并发能力极大地提高了集成平安、交换和语音等多种业务的能力 提供业界领先和不断创新的网络平安功能 真正实现了对以大网交换机的御感联合 实现更灵活方便和高密度的语音网关部署开放式的增值义务平台 提供OAA(OpenApp1.icationArchitecture)开放应用体系架用的增值平台，合作伙伴与用户可梦于此平台开发出更为丰K的业务，形成优势互补、深度集成、合作共充全新的软件通信平台 采用支杆多业务、可扩展和娟件化的成熟Sf用操作系统平台 不仅全百支持IPv4的组网，还同时支持IPv6的全面商用 大大增强了部署MP1.SYPN业务的能力，丰黛了产品的软件特性新型存储介质的应用 利用CF卡来取代传统产品的FhISh功能，并将其容量扩大到256«,足够存储多份系统文件和配置文件 提供USB按口.USB可扩展更多的应用和功能电信线运营的高可X性 支持外置输入的冗余电源 支持VRRP、备份中心.动态路由备份技末和快速里路由技术3.4.3 以太网交换机产品综述华为3com具有业界哉长最丰富的交换机产品线,其中新一代的大容量Tbit级别的万兆核心交换机S9500系列,可以提供大容量无阻塞的高性能止务交换,具备不断扩展和升纹的能力：多业务交换机S75M系列提供大容量的三层线速交换，提供多种丰富的业务板卡,不断满足客户对同路的需求,并极大的保护用户户投资,中低痣交换机楂要从百兆、千兆和万兆等盒式产品，具备优异的性价比.如支持具有自主知识产权“IRF*技术的S3600系列和S5600系列交换机,智能接入的S5100、S3I00票列交换机.支持丰富的协议类型,用户行为的管理控制.平安可簟,充分满足客户对网络易管理.高性修，多业务承我的需求.我们建议选用华为3C0M交换机建设XX集团网络系统,核心交换机选用S9500系列万兆核心交换机.疑劳器区选用S5100金千兆二层交换机，会聚交操机选用S5510全千兆三层交换机，接入交换机选用S3100系列，分公司中心交换机通用S3600系列三层交换机.3.4.4 H3CS9500系列万兆核心交换机特点1.i3CS9500系列交换机是华为3C<xn公司面向以业务为核心的企业网络架构而推出的新一代核心路由交换机,该产品基于华为3Cn公司臼适应平安网络的技术理念.在提供大容量、高性能1.2/1.3交换效劳基曲上,进一步融合了硬件IPY6、网络平安.网珞业芬分析等智能峙性,可为企业构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求.产品特点：一、基于AS1.C的高性能业务竣遑的MP1.S业务处理H3CS9500系列支持分布式的MP1.S业务，分布在接口板上的AS1.C芯片直接完成MP1.s标签的线速处理，不存在集中式处理的兼颈，MP1.S性能业界最高.与其他集中式的MP1.S设备相比，S9500保障了大业务量时MP1.S的高可用性.持续保护用户投资。段速的IPv6业务处理H3CS9500系列支持分布式的IPv6业务,分布在接口板上的AS1.C芯片支拉对IPv6报文的技迎苑理.用户通过升圾操作系统可实现基于AS1.C的全线速IPv6转发,极大保护用户投资,适应网络业务不断开展的需求。大容量高性能路由交换H3CS95OO系列提供业界领先的交换能力,其最高的1.MT珞由交换引搴可以实现576个千兆或48个万兆端口的规速转发，三炭包转发能力高达857MPPs,二、融合的网络平安特性维成的平安转性H3CS9500系列支持集成的防火增懊块，可以将防火墙的保护功能扩展到交换机的每个堵口：支持桀成IPSeC模块，提供平安的互联网VPN接入效劳；支种堵口镜像和远程阴口镜像，将有平安险感的报文镜像到分析端口，并通过与IDS联动及时阻断攻击.设备囱身的平安特性H3CS9500系列采用“最长匹配、逐包.转发”模式,能纱抵御网络病海的攻击：支抖OSPF.RIPY2及BGPM报文的明文及MDS击文认证：支费IP、V1.AN.MAC和端口等多种组合绑定方式,防范地址施用：支持播送报文邦制，有效控制ARP等非法嵇送流It对设备造成冲击：支持URPF,防JE1.P地址歌支持薮文平安过滤，防止非法侵入和零焦报文攻击等.普理的平安性H3CS9500系列支持IEEE802.1.x.AAA/Radius.1WTACACS,对用户身份进行合法性认证；支持用户分级管理,不同级别的用户拥有不同的配置权限：支持平安的SNMPV3网管协议；文带平安的远程登陆SSHY2:支持受限IP地址方式的T登录.三、最长的网络正常运行时同产品的无单点故漳设计H3CS95OO系列采用分布式影系结构,所有关键部件采用冗余设计，包括主控板.交换网.电源和凤岛等：采用无潭背板设计，防止机箱出现单点故障：所有单机支持热插拨功能，并且寿其它单板上运行的业务无影响，路由协仪的高可京保障H3CS9500系列支持OSPF/IS-IS/BGP的优程电启技术(Gracefu1.Restart).可以实现用户业务的不间断转发：支持动左路由孙议、跨板端口聚合、虚拟潞由冗余协议(VRRP)等保护机制，利效保证全网高速可#运行.快遑自愈的环网保护技术H3CS9500支持RPR(弹性分组环)，RPR技术融合了SDH故障自愈的高可靠性与以大网的珏济性.高带宽、灵活性、可护展能力等优势，可以保獐小于SOmS的故障切怏才问，视翔等实时业务不受故障影响.RPR技术为用户提供了高可靠的多业务传输解决方案。四.融合的多业务特性网络业务分析H3CS950O系列通过奇性能的网络处理器实现六网络业芬的分析。支持V5.丫8和丫9多种日志格式，与X1.oG日志审计系统配合.为用户提供完整的网塔流，分析储决方案：支持向主、备看劳器同时发送日志，防止统计信息丧失.网络亚务分析使原本不可见的网培业务应用流量变得一目了标，进而可以播助用户及时优化同络结构，谢整资源部署.高品质QOS特性H3CS9500系列支挣完善的QOS功能，支抑流量拉管,粒度可惜期化到8Kbps：支持流量整形，可参于转口或队列灵活设置；支持报文DSCP优先级、IP优先级、ToS优先级、COS优先级以及Ew优先级的IE置功能；支持报文重定向功能,可根据网烙流it状况灵活正置报文的转发路径：支持多种模式的队列调度机制：支持多种推塞防止机制。定制的行业解决力案H3CS9500系列根Jg行业用户的个性化需求，推出了多种新业务捋性：支持PortaI认证，使最终用户无须安装客户端即可完成认证；支持对BT流量控制，防止P2P业务对出口带宽资源的流用；在校园网中对不同河段的流量区分计费.满足教育用户的需求：支持可编程的开放接口.可针财各行业客户需求实现个性化的业分定制.3.4.5 H3C5510系列全千兆多协议以太网交换机特点H3CS55I0系列以大网交换机是华为3Com公司囱主开发的三层全千兆多协议以大网交换产品,是为要求具备高性能.我大堵口密度且易于安装的网烙环境而设计的智能里可修管交换机。H3CS5510系列以大区交换机主要面向企业网.城域网会聚或接入层的需求，同时硬件支持IPM和IPv6双枝，可为客户提供丰富的业务性和塔由功能.特点：丰富的IPv4和IPv6三层功能硬件支林IPv4/IPv6双栈和IPv6overIPv4陵边，三层娱速岭发.S5510系列以大网交换机皮件支林IPv4IPy6双极和常用IPv6过渡陡道协议(手工TUnne1,6to4Tunne1.,ISATAPTunne1.,auto-Tunne1.).既可以用于她IPM或IPv6网络,也可以用于IPv4到IPv6共存的网络.组区方式灵活,可以用于企业回络或宽带接入.支持丰富的IPv6痔由林议，包括RIPng.OSPFv3,ISISv6.BGP4+forIPv6,支持IPv6的邻居发现矫仪(NeighborDiscoveryProtoco1.,NDP),音理邻居节点的交互。支持PWTu发现(PathMi1.1.Discovery)机制，可以找到从源端到目的端的路径上一个适宜的K1.Ttft,以便有效地利用网络资源并得到俄正确的吞吐量.完各的平安控制策略H3CS5510系列交挨机支持802.Ix及瞅C认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、V1.AN.PORT任意俎合绑定，支林动态Y1.AN下发和GUeS1.V1.N,右效的防止乖法用户访问网络.支持娓口和YIan下发RC1.以及文括用户自定义流模板配合实现囱定义AC1.功能，更加灵活方便，喋证网珞的受控访问。丰富拘QoS策珞H3CS551O系列交换机支持基于源MAC地址，目的YAC地址、源1Pv4v6地址、目的IPM八6地址*四层娓口、冰议类型.Y1.AN等信息的流分类，充分保障了复杂网络对于QOS规则的要求.支持基于流的流量限速，优先级快记或映射，着于流的修改V1.AN以及或走向到端口或下一跳，塞于端口的流量整形.提供灵活的队列调度算法,可以同时茶于端口和队列逐行设置,SP(StrictPriority).BIiR(WeightedRoundRobin).SP+TOR三种模式。支挣CAR功能.粒度最小达8Kbps.支桥对多个堵口的业务流使用同一个CAR进行流监管。用户迂可以选择直接在甥口下发CAR,或递itQoS策略下发CAR,高E非性H3CS5510系列金千兆多林议智能三层交换机实现双电源负坡分担,也可以交.克流同时侑入。支持1.ACP(1.inkAggregationContro1.Protoco1.,箱踣聚合控制协议进行动杰做踣会聚.H3CS5510系列交换现不仅支抖STP/RSTP生成材协仅，运提俣了基干多V1.AN的生成树MSTP.极大提高了链路的冗余备份.提高容格能力,保证网络的稳定运行.支抖RRPp(RaPidRingProtectionProtoco1.)协议.可以防止蚊据环路引起的播送风暴,当以大网环上一条钺路断开的能迅速恢发环网上各个节点之间的逋信通路。支持VRRP虚姒路由冗余除议,与其他三层交换机构规YRRP备份组。构赛故障时的冗余路由拓扑结构，保持通讯的连续性和可率性，有效保障网络悔定.支持在设备上配置多条等价珞由的方式实现上行路由的冗余备份，当主上行骼由发生故建时自动切换到下一个备份珞亩上去，宾现上行珞由的多级备份.强大的多业务能力H3CS5510系列交换机支持QinQ即V1.ANYPN特性，可以将用户私网V1.AN标签封装在公网Y1.AN标零中，便报文带着的层V1.ANTag穿卷运言商的骨干网络S5510系列交换机支持灵活QinQ,可以宾现针对不同的业务报文打不同的外层Y1.AN标势或者不打Y1.AN标势,便于业务别离。S5510系列交换机还支挣V1.ANtrans1.ation,可以根据不同用户或业务重新设置V1.AN标算.同时支持IPm和IPv6投播功能，支持丰富的组播讲出IGMPSnooping.MI.DSnooping.IGMPv1.v2v3.PIMDM.PIM-SM/SSM.MSDP,支持姐搭仿态路由、俎播娟仿态参如,而且限播YIan可以珞YIan复制,文杆IGSPV1.v2v3,支持大容量组援路