XX广电IP城域网改造方案建议书(DOC 45页).doc

xx广电ip城域网改造方案建议书 目录1项目概述11.1背景介绍11.2总体需求11.3项目目标21.4网络设计原则32技术介绍52.1mpls/vpn52.2灵活qinq技术63承载网整体方案建议13.1.1业务对承载网络的要求13.1.2整体网络拓扑图24设备推荐及特性介绍34.1核心路由交换机s850834.2汇聚交换机s5600104.3汇聚交换机s3900194.4接入交换机s2000265路由策略315.1 路由设计原则315.2 路由协议选择315.2.1 域间路由协议选择315.2.2 域内路由协议选择325.2.3 组播路由协议选择326宽带接入运营管理建议346.1 vlan划分346.1.1 pupspv方式346.1.2 pupv方式356.1.3 pspv方式356.1.4 混合方式361 项目概述1.1 背景介绍目前广电行业正处于全国数字电视整体转换的历史时期，广电运营商除了传统广播电视业务的运营外，对数字电视、语音通信、宽带数据等多业务融合的有效支持，实现综合性全业务运营已成为业界普遍认同的趋势。国家“十一五规划”中明确提出了计算机网络、通信网络、广电网络实现“三网融合”的总体要求，近年来，下一代网络也一直是业界谈论的焦点。基于广电hfc 网络， 如何进行网络改造，顺利过渡到下一代有线电视网络（ngcn），逐步开展全新的数字电视业务以及丰富的增值业务，是广电行业面临的巨大挑战和历史机遇。另一方面，根据桐乡广电宽带城域网业务的发展和目前网络运营模式的发展趋势，现有的城域业务网的承载和接入能力已经不能满足当前市场的需求，急需进行改造和扩容。建设一个基于ip的高带宽、高可靠性、可运营管理、具备多种业务综合承载能力和扩展性的电信级ip网络，将成为桐乡广电开展全业务运营的关键。广电实现网络双向改造是其业务发展必须经过的技术门槛，实现网络双向改造的技术种类在一定时期内会并存，但最终的发展方向是ip的方向，以太接入网是最完善的接入方式，epon是目前广电以太网建设的最佳起步方式；目前，华为是epon技术的国内领先者。1.2 总体需求桐乡广电网络基本需求：根据桐乡市广电的实际情况，本次工程将升级中心机房的核心路由交换机(现有的是cisco6509)，通过12条单模光纤连接12个镇、街道广电站的交换机（现有的是cisco3550及cisco2924），通过单模中距光纤连接到桐乡市区各个分前端机房汇聚层交换机，通过分前端机房再连接到小区机房接入层交换机。在中心机房设置一台核心路由交换机，与internet、iptv点播服务器连接。城区由4个分前端(分别为：体育路机房、梧桐广电站机房、银菊机房、传媒中心机房)组成，分别设置汇聚层交换机，小区机房放置接入层交换机。本期网络建设节点之间的距离小于10公里。1.3 项目目标桐乡城域网将根据桐乡广电台对数字电视网络建设的指导意见，充分参考杭州成熟的运营模式，建设一个高质量、高可靠性、高扩展性的多业务网络，网络设计坚持适度超前的原则，以满足未来几年桐乡广电对于业务的需求。桐乡业务初期规模虽小，但后期发展潜力大。在建网初期通过少量的投资和设备就可以提供完整的业务能力，并且随着业务的发展，在保护原有投资的情况下，可以对网络做平滑升级，直至万兆骨干城域网。网络建设的目标为1) 数字电视业务目标是整个城区4万电视用户的向数字电视平台( dvb )整体平移，同时城域网能够满足23万户增强型数字电视( vod )用户的发展需要。初期目标为10000户增强型数字电视( vod )用户。2) 家庭用户宽带上网业务在数字电视网络基础上发展宽带数据用户，包括企业专线、家庭宽带等以及相应的voip等增值业务。3) mpls vpn业务 提供大客户的专网接入，重点是跨地区的专网业务。网络最终将分为三个层面：核心层、汇聚层、接入层。具体表现为以下的技术指标：a、核心层高性能、有效的数据转发；能够承载普通上网业务、广电内部dcn业务以及未来3g、ngn等业务；需要提供不同业务所需的qos保证，以保证iptv、ngn等应用对qos的严格要求；电信级的稳定可靠性，具备自愈能力和快速的路由收敛；支持ospf、isis、bgp，具备良好的路由转发处理能力，支持大容量路由表，支持 differsrv/mpls qos，支持mpls vpn、组播等协议；提供两个网络出口连接到两个isp，实现城域网出口的备份；为各种增值业务和vpn提供单独的城域网出口；b、汇聚层支持千兆上行，每个县/区双归属到核心层，保障业务的不间断；为每个区/县提供两个连接到骨干网的出口，为普通业务和专线业务提供各自的出口，同时两个出口互相备份；在每个区/县的网络出口，部署qos，通过业务感知、业务标识，实现不同用户或不同业务，分流到不同的业务平面，提供不同的服务质量保证；能够支持接入层用户灵活的接入方式，除了支持传统的以太网接入外，还支持epon、wlan等方式的接入；c、接入层为每个最终用户提供有足够的带宽，满足宽带上网和ngn等应用；具有ip、vlan、mac、port绑定；入户采用百兆速率；接入用户的二层隔离；限速功能，可以为不同的用户分配不同的带宽；可以实现特殊用户的vpn等需求。1.4 网络设计原则实事求是的原则。就是要求网络规划要从技术角度保障方案实施的可行性。一切从实际出发，实事求是。经济适用性的原则。要以市场为导向，如果建设太超前，原始投资就不能马上全部得到收益，因此在规划中需充分把握技术先进性与经济适用性的分寸，不能盲目追求功能的先进与完备高可靠性 合理选择设备、规划网络结构和路由部署，网络具备一定的冗余度和较强的故障自愈能力，保证网络稳定可靠运行。 高性能 设备处理能力、网络带宽及业务承载能力设计时应有余量，保证网络在高负荷或任何单点故障情况下仍具有较高的吞吐能力,不影响业务质量。 扩展性强 要求网络结构满足当前ip城域网发展的趋势，先实现网络的两个转发平面的逻辑分离，以后可以通过设备的增加和升级，使网络能够实现真正分离的两张物理网络，可以更好的承载internet业务和增值业务。 多业务支持能力强 通过划分逻辑平面，使网络具备端到端的qos保证能力，通过合理规划，能满足多业务承载的qos要求。实现多种业务的安全隔离，避免相互干扰，充分保证各业务的安全性。 可运营可管理 网络应提供良好的业务管理和灵活的控制能力；实现集中监测、分权管理，实现统一的网络业务调度和管理，降低网络运营成本。 全网mpls化 mpls vpn是多业务承载的基石，ngn、3g、iptv、internet的统一承载需要通过划分不同的逻辑平面保障业务的安全性、qos问题。2 技术介绍随着宽带业务的发展，人们越来越意识到网络的接入部分(最后1 km)存在严重的带宽“瓶颈”。接入部分两边目前都已跨入吉比特级以上的速率，如用户端广泛使用的pc其内部传送速率已达到千兆比特速率；而作为接入部分的另一头，城域网或国干网的每波长速率也已达到2.510 gbps，它们都比接入部分高出至少3个数量级。随着三网合一的推行，突破接入网瓶颈变得越来越迫切，只有突破接入部分的带宽“瓶颈”，才能使整个网络有效发挥宽带的作用，真正推动各种业务的发展。下面对当前流行的几种网络技术进行简单的介绍。2.1 mpls/vpnmpls是多协议标签交换协议的简称。采用mpls vpn技术可以把物理上单一的ip网络分解成逻辑上隔离的网络，并且每个vpn单独构成一个独立的地址空间，即vpn之间可以重用地址，在分配地址时不必考虑是否会与其他的vpn发生冲突，只需要考虑在本vpn之内不冲突即可，这样可以解决ip网络地址不足的问题，也方便网络的扩展和变更。mpls vpn的网络构造由服务提供商来完成。在这种网络构造中，由服务提供商向用户提供vpn服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。mpls vpn网络中，有三种设备：ce、pe和p路由器，ce是用户直接与服务提供商相连的边缘设备，可以是路由器、交换机或者终端；pe是骨干网中的边缘设备，它直接与用户的ce相连；p 路由器是骨干网中不与ce直接相连的设备。p 路由器并也不知道有vpn的存在，仅仅负责骨干网内部的数据传输，但其必须能够支持mpls协议，并使能该协议；pe位于服务提供商网络的边缘，所有的vpn的构建、连接和管理工作都是在pe上进行的。mpls，不是特指某一种业务或应用，而是一种标准化的路由与交换技术平台，可以支持各种高层协议与业务，mpls报文交换和转发是基于标签的。ip包在进入mpls网络时，入口的路由器分析ip包的内容并且为这些ip包选择合适的标签，然后所有mpls网络中节点都是依据这个简短标签来作为转发依据。mpls 结合了ip的灵活连接和可扩展性，以及atm的可靠传输和qos。标签交换的工作流程如下：由ldp（标签分发协议）和传统路由协议（ospf等）在lsr中建立路由表和标签映射表。 在mpls入口处的ler接收ip包，完成第三层功能，并给ip包加上标签；在mpls出口处的ler将分组中的标签去掉后继续进行转发。lsr不再对分组进行第三层处理，只是根据分组上的标签通过交换单元进行转发。mpls-vpn即采用mpls技术，在公共ip网络上构建企业ip专网，实现数据、语音、图像多业务宽带连接，并结合差别服务、流量工程等相关技术，为用户提供高质量的服务。mpls-vpn能够在提供原有vpn网络所有功能的同时，提供强有力的qos能力，具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。基于mpls 的vpn具有以下优势。mpls vpn 提供一个可快速部署实施增值ip业务的平台，包括内部网、外部网、 话音、多媒体及网络商务。mpls vpn 通过限制vpn 路由信息的传播仅在vpn成员内部，可提供与第二层vpn 相同的私密性及安全性。mpls vpns扩展性好，每个服务提供商可以设定数十万vpn， 每个vpn 可有数千个现场。mpls vpns 提供与用户内部网的无缝集成。2.2 灵活qinq技术qinq实现方式一种是基于端口的qinq，一种是基于流分类的灵活qinq。基于端口的qinq的实现机理如下：当该设备端口接收到报文，无论报文是否带有vlan tag，交换机都会为该报文打上本端口缺省vlan的vlan tag。这样，如果接收到的是已经带有vlan tag的报文，该报文就成为双tag的报文；如果接收到的是untagged的报文，该报文就成为带有端口缺省vlan tag的报文。由于基于端口的qinq比较容易实现，所以业界主流厂家的三层交换机都支持。基于端口的qinq的缺点是外层vlan tag封装方式死板，不能根据业务种类选择外层vlan tag封装的方式，从而很难有效支持多业务的灵活运营。基于流分类的灵活qinq实现机理如下：基于流的qinq特性（selected qinq），可灵活根据流分类的结果选择是否打外层vlan tag、打上何种外层vlan tag：如根据用户vlan tag、mac地址、ip协议、源地址、目的地址、优先级、或应用程序的端口号等信息实施灵活qinq特性。借助上述流分类方法，实际实现了根据不同用户、不同业务、不同优先级等对报文进行外层vlan tag封装，对多种业务实施不同承载的方案693 承载网整体方案建议3.1.1业务对承载网络的要求 带宽提升n 接入网提升用户带宽，3m左右/用户。n 骨干网提供足够的带宽承载iptv业务。 qos保证n 延迟、抖动、丢包率。n 网络和业务的可靠性。n 频道快速切换。 组播支持n 组播协议支持：pim-smmbgpmsdp，igmp;pim-ssm。n 频道业务的可控管理和运营：可控组播,igmp fliter/snooping 。 安全控制n 提供对用户stb接入的认证：pppoe、dhcp。n 用户和业务安全控制：防非法使用、防攻击。n 业务系统的安全保障 。业务网络时延上限延时抖动上限丢包率上限包误差率上限视频直播1s1s1/10001/10000视频点播10s1s1/10001/10000视频会议400ms50ms1/10001/10000游戏200msn/an/an/a3.1.2整体网络拓扑图建议整体网络拓扑图如下：本工程建议在中心机房设置核心层设备s8508 1台，配置双个引擎，冗余交流电源模块。设备具备如下接口：业务板卡：24个千兆光口（单板卡）二块，配40个中距光模块，配1个长距光模块；48个千兆电口（单板卡）。配置汇聚层交换机12台，其中4台要求有12个千兆光口，选配s5624f其中4台要求有4个千兆光口及48个10/100m电口，选配s3952另4台要求有4个千兆光口及24个10/100m电口，选配s3928配置40个中距光模块。配置接入层交换机50台，要求有2个千兆光口，24个10/100m电口，选配s2403h-hi配置20个中距光模块。 4 设备推荐及特性介绍4.1 核心路由交换机s8508由于该网络层次简单,覆盖地域较小,主要承载vod点播等封闭流量. 所以需要网络设备具备大容量快速转发能力,s8500具有720g交换机能力,更适合该类需求。该网络与外界网络接口很少,因此路由学习条目有限,s8500支持路由条目256k,完全胜任路由学习要求。另外s8500支持mpls 二层/三层vpn,可以很好的满足大客户业务的发展需求.。所以整体采用s8500作为网络骨干设备.quidway s8500系列核心路由交换机提供大容量、高密度、模块化体系架构，提供二、三层线速转发能力，具有强大的ip路由功能，同时支持分布式的ip/mpls线速转发、完善的qos保障、有效的安全管理机制和电信级高可靠设计，满足用户对多业务、高可靠、大容量的需求，可广泛应用于ip城域网、大型园区网的交换核心和汇聚中心。 s8508产品外观图产品特点n 大容量、高密度线速交换s8500采用全分布式体系结构设计，通过最长路由匹配和crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩展能力。s8500最大提供1.44tbps交换容量、864mpps包转发能力，支持各种高密度业务板，整机可支持高达576个千兆端口、48个万兆端口，满足核心层设备大容量、高端口密度的要求，可以满足用户日益增长的带宽需求，并能够极大地保护和节约用户投资。s8500采用的最长匹配、逐包转发方式，能够有效地抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。n 支持完善qinq特性s8500支持灵活qinq功能，可以根据内层vlan tag灵活标记外层vlan tag，满足城域接入网一般建设需求。s8500支持策略qinq功能，可以根据丰富的流分类策略，包括vlan tag、mac地址、ip协议、源地址、目的地址、优先级、或端口号等，灵活标记外层vlan tag，弥补了传统灵活qinq的不足，更好地满足了城域接入网不同业务分类和分流的建设需求。n 全面支持分布式mpls vpn特性s8500遵循业务与性能并重的设计理念，实现mpls的分布式线速转发，支持mpls l3 vpn、mpls l2 vpn、vpls等全面的业务功能，满足高端用户对新型增值业务的需求。n 电信级可靠性设计s8500采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔；电源系统采用1+1冗余热备份，并支持双路电源输入；风扇冗余设计并支持自动调速；支持stp/rstp/mstp、rpr、rrpp、vrrp、smartlink协议；提供不间断路由转发功能，能够满足电信级网络高可靠性要求，系统可靠性达到99.999。n 完善的安全机制s8500支持ospf 、rip v2及bgp v4报文的明文及md5密文认证；采用802.1x方式对接入用户进行认证，支持安全的snmp v3网管协议、支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置权限，并提供两种用户认证方式：本地认证和radius认证。产品规格：属性s8502s8505s8508s8508vs8512交换容量（bps）240g引擎i 300g引擎ii 600g引擎i 480g引擎ii 960g引擎i 480g引擎ii 960g引擎i 720g引擎ii 1.44t背板容量(bps)450g750g1.2t1.2t1.8t包转发率(pps）144m引擎i 180m引擎 ii 360m引擎 i 288m引擎 ii 576m引擎 i 288m引擎 ii 576m引擎 i 432m引擎 ii 864m槽位数量471010（垂直插槽）14业务槽位数量2/358812二层特性支持802.1p(cos优先级)支持ieee 802.1q（vlan）支持ieee 802.1d（stp）/802.1w（rstp）/802.1s（mstp）支持ieee 802.1ad（qinq）和策略qinq支持ieee 802.3x（全双工流控）和背压式流控（半双工）支持ieee 802.3ad（链路聚合）和跨板链路聚合支持ieee 802.3（10base-t）/802.3u（100base-t）支持ieee 802.3z（1000base-x）/802.3ab（1000baset）支持ieee 802.3ae（10gbase）支持ieee 802.3af（poe）支持ieee 802.17（rpr）支持rrpp（快速环网保护协议）支持端口镜像和跨板的端口镜像支持端口广播风暴抑制支持多播流量限制支持jumbo frame支持基于端口、协议vlan划分支持supervlan支持pvlan支持gvrp网络特性支持arp proxy支持dhcp relay支持dhcp server支持netstream流量统计路由特性支持静态路由支持ripv1/v2支持ospfv2支持is-is支持bgpv4支持ospf/is-is/bgp gr (graceful restart)支持等价路由支持策略路由支持路由策略组播支持igmp 支持igmp snooping支持igmp filter支持igmp fast leave支持igmp proxy支持pim-sm支持pim-dm支持msdp支持mbgp支持any-rpacl/qos支持标准和扩展acl支持基于vlan的acl支持自反acl支持diff-serv/qos支持流量监管（car），粒度为8kbps支持流量整形（traffic shapping）支持优先级mark/remark支持队列调度机制，包括sp、wrr、sp+wrr支持拥塞避免机制，包括tail-drop、wred支持bt限流vpn支持mpls l3 vpn支持mpls l2 vpn，包括martini、kompella两种方式支持vpls，包括bgp、ldp两种方式支持ipsec vpn支持l2tp支持gre支持dvpn安全机制支持ieee 802.1x和ieee 802.1x server支持portal认证支持aaa/radius支持hwtacacs支持sshv2支持acl流过滤机制支持ospf、ripv2 及bgpv4 报文的明文及md5密文认证支持安全网管snmpv3支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限支持受限ip地址的telnet登录和口令机制支持ip地址、vlan id、mac地址和端口等多种组合绑定支持urpf支持广播报文抑制支持主备数据备份机制支持故障后报警和自恢复支持数据日志防火墙支持嵌入式硬件加速防火墙支持虚拟系统防火墙，虚拟系统防火墙之间通过vlan划分支持包过滤技术支持应用层报文过滤aspf支持多种攻击防范技术支持智能防范蠕虫病毒技术支持透明防火墙支持邮件过滤支持网页过滤支持日志功能支持各种事件监控和统计功能支持nat功能nat支持nat/napt模式支持napt模式支持vpn多实例nat支持multi isppoe支持power over ethernet功能系统管理支持ftp、tftp、xmodem支持snmp v1/v2/v3支持rmon支持ntp时钟支持hgmp 支持多种配置方式ipv6支持ripng支持ospf v3支持is-is v6支持bgp4+ for ipv6支持mld v1&v2 snooping支持mld v1&v2支持pim v6可靠性支持主控板冗余备份支持电源冗余备份采用无源背板设计所有单板支持热插拔支持vrrp支持smartlink支持ieee 802.17（rpr）支持rrpp（快速环网保护协议）支持eth oam（802.3ah）环境要求温度范围：0 oc45 oc相对湿度：10%90%（非凝结）安规和emc认证通过了ce、fcc part 15、tuv-gs、ul、vcci和c-tick的认证电源dc：输入电压 -48v-60vac：输入电压 100v240v最大输出功率：1200w（s8502/s8505）、2000w（s8508/s8508v/s8512）poe电源ac：输入电压 160264v，单电源最大输出功率：2500w外形尺寸（宽高深）mm436x265x420436x486x450436x619x450436x886x450436x753x450满配置重量40kg65kg80kg90kg100kg4.2 汇聚交换机s5600quidway s5600系列全千兆智能弹性交换机(以下简称5600)是华为公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用华为公司创新的irf（intelligent resilient framework，智能弹性架构)技术，支持高达96g的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络、园区网和驻地网的汇聚层以及数据中心的服务器接入设备。s5600系列以太网交换机包含型号如下：s5624p、s5624p-pwr、s5648p、s5648p-pwr 、s5624f。s5600系列采用交、直流双输入电源模块供电，并可通过更换电源模块提供千兆poe功能。后面板提供两个固定的堆叠接口和一个扩展模块插槽，扩展模块可选配8端口千兆sfp模块、1端口万兆模块或2端口万兆模块。前面板提供24/48个10/100/1000base-t自协商以太网端口（rj-45连接器）及4个sfp combo接口。s5624f：采用交、直流双输入电源模块供电。后面板提供两个固定的堆叠接口和一个扩展模块插槽，扩展模块可选配8端口千兆sfp模块、1端口万兆模块或2端口万兆模块。前面板提供24个千兆sfp接口和4个como的10/100/1000base-t自协商以太网端口（rj-45连接器）产品特点n irf智能弹性架构技术s5600系列全千兆智能弹性交换机支持华为创新的irf（intelligent resilient framework）技术，能够实现用户网络的高度弹性智能扩展。利用irf技术，用户可以将多台设备通过堆叠接口连接起来组成一个联合设备（fabric），并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。irf（intelligent resilient framework）技术包括三个方面：ddm、drr和dla。1) ddm（分布设备管理）：在外界看来，整个fabric是一台整体设备。用户可以通过console、snmp、telnet、web等多种方式来管理整个fabric。2) drr（分布冗余路由）：fabric的多个设备在外界看来是一台单独的三层交换机。整个fabric将作为一台设备进行路由功能和二三层转发功能。单播路由协议和组播路由协议分布式运行并完全支持热备份，在某一个设备发生故障时，路由协议和数据转发都不会中断。3) dla（分布链路聚合）：支持跨设备的链路聚合，可以在设备之间进行链路的负载分担和互为备份。n poe(power over ethernet)远程供电特性s5600系列交换机可以通过更换poe电源支持poe（power over ethernet）功能，即可通过双绞线向远端下挂pd设备（如ip phone、wlan ap、security、bluetooth ap等）提供-48v直流电源，实现对下挂pd设备远端供电。作为供电方pse（power sourcing equipment）设备，支持ieee802.3af线路供电标准，同时也可以兼容不符合802.3af标准的pd（powered device）设备。交换机远端供电时每个以太网口向下挂设备提供的最大功率为15.4w。s5600提供千兆电口上的poe特性，能够充分满足未来技术发展的需求，为千兆无线技术，语音技术的发展提供了支持。通过支持poe和voice vlan技术，s5600系列交换机能够提供完美的数据和语音融合解决方案。n 大容量全线速的多层交换s5600系列交换机具有192g/240g的交换容量和66m/pps102mpps的二/三层包转发能力，支持所有端口线速转发。设备最大提供24/48端口10/100/1000m电接口、12个sfp千兆光接口或2个10g接口，充分满足客户对高密度ge和万兆上行设备的需求。设备具备强大的irf堆叠扩展能力，极大的节省了用户对设备的投资。硬件支持二/三层线速交换，能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。n 完备的安全控制策略s5600系列交换机基于最长匹配的路由策略。系统采用逐包转发方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力，有效保证了设备安全。支持集中式mac地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还可以通过灵活的mac、ip、vlan、port任意组合绑定，有效的防止非法用户访问网络。支持dud（disconnect unauthorised device）认证，通过mac地址学习数目限制和mac地址与端口绑定实现。支持用户分级管理和口令保护，支持mac地址学习数目限制、mac地址与端口绑定、端口隔离、mac地址黑洞；支持防止dos攻击功能。支持qos profile功能。和802.1x认证功能相结合，可以动态的为通过认证的用户提供预先配置的一套qos功能。用户在经过802.1x认证后，交换机根据aaa服务器上配置的用户名和profile的对应关系，将相应的profile动态下发到用户登录的端口上，为该用户提供量身定做的服务质量保证。支持ssh特性。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时，可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如ip地址欺诈、明文密码截取等等攻击。n 高可靠性s5600系列交换机采用irf技术组网后，能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大地增强了设备和网络的可靠性，消除了单点故障，避免了业务中断。同时s5600系列交换机不仅支持stp/rstp生成树协议，还提供了基于多vlan的生成树mstp，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。 支持vrrp虚拟路由冗余协议，与其他三层交换机构建vrrp备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一条备份路由，实现上行路由的多级备份。采用交、直流双输入电源模块供电，也可以通过更换电源模块来支持poe功能，提供所有固定端口的poe满负载。n 丰富的qos策略s5600系列交换机支持基于源mac地址、目的mac地址、源ip地址、目的ip地址、端口、协议的l2l7复杂流分类；每端口支持100个流规则，整机支持3200/5600个流规则，充分保障了复杂网络对于qos规则的要求。提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持sp（strict priority）、wrr（weighted round robin）、sp+wrr三种模式；支持8个优先级队列。支持car（committed access rate）功能，可以实现基于端口和基于流的速率限制，限制的粒度可以精确至64kbps，为网络带宽的精细化管理提供了手段。n 多样的管理方式s5600系列交换机支持cli（命令行）、telnet、console口配置，支持华为的dms、imanager网管系统，支持web网管，使设备管理更加方便。通过各种开放的标准mib和扩展mib的支持可以提供完善的基于snmp的第三方管理能力。产品规格项目s5624p/s5624f /s5624p-pwrs5648p/s5648p-pwr管理端口1个console口业务端口描述固定端口s5624p /s5624p-pwr： 24个10/100/1000m电口4个sfp combo千兆口s5624f ：24个千兆sfp接口4个10/100/1000mcomo电口48个10/100/1000m电口4个sfp combo千兆口可选模块8端口sfp模块1端口10ge模块2端口10ge模块端口类型10/100/1000base-t1000base-sx-sfp1000base-lx-sfp1000base-lh-sfp1000base-t-sfp10gbase-lr-xenpak10gbase-lx4-xenpak10gbase-lr-xfp10gbase-er-xfp可选电源电源模块psl130-ad（130w系统输出电源模块）交流输入或者直流输入psl480-ad24p（180w系统+300w poe输出电源模块）交流输入或直流输入psl180-ad（180w系统输出电源模块）交流输入或者直流输入psl480-ad48p（180w系统+300w poe输出电源模块）交流输入或直流输入输入电压交、直流双输入电源模块输入电压：ac：额定电压范围：100-240v；50/60hz最大电压范围：90-264v；50/60hzdc：额定电压范围：-48 - -60v最大电压范围：-36 - -72vpoe电源模块直流输入：额定电压：-53.5v最大电压：-52v - - 55v外形尺寸(wdh)440mm420mm43.6mm重量7.5kg8kg功耗（满负荷时）s5624p：170ws5648p：230ws5624f：170ws5624p-pwr：540ws5648p-pwr：600w在进行poe供电时：s5624p-pwr采用直流供电时最大功率为540w，采用交流供电时为540ws5648p-pwr采用直流供电时最大功率为970w，采用交流供电时为600w 工作环境温度045工作环境相对湿度（非凝露）10%95%业务特性特性s5624p/s5624f/s5624p-pwrs5648p/s5648p-pwr线速二/三层交换所有端口支持线速转发交换容量为192gbit/s包转发率66mpps所有端口支持线速转发交换容量为240gbit/s包转发率102mpps交换模式存储转发模式（store and forward）vlan支持4k个符合ieee 802.1q标准的vlan支持基于端口的vlanvoice vlan支持识别进入端口的流的mac地址，如果是ip电话流，就会将该端口加入相应的voice vlan广播风暴抑制支持基于端口速率百分比的广播风暴抑制，同时支持基于pps的广播风暴抑制端口环回检测支持端口收、发数据线被短路的检测与告警ip路由静态路由、ripv1/2ospfecmp组播pim-smpim-dmigmp v1/v2igmp snooping生成树协议支持stp/rstp，支持vlan的stp-ignore属性端口汇聚支持通过lacp进行动态端口汇聚支持进行通过命令行手动进行端口汇聚支持堆叠范围内的跨设备链路汇聚支持ge（gigabit ethernet）端口汇聚支持10g（gigabit ethernet）端口汇聚最多32组端口汇聚组，ge汇聚组最多支持8个端口，10ge汇聚组最多4个端口，汇聚的端口必须具有相同的端口类型镜像支持多对一的端口镜像，即多个源端口，一个镜像端口支持流镜像支持在堆叠范围内跨设备的镜像功能mac地址表地址自学习ieee 802.1d标准最多支持16k个mac地址支持1k个静态mac地址流控支持ieee 802.3x流控（全双工）支持back-pressure based flow control（背压式流控）（半双工）irf 支持irf，最多8台。2个高速堆叠端口，每端口48g堆叠带宽，环形堆叠时可以提供高达96g堆叠带宽。加载与升级支持xmodem协议实现加载升级支持ftp（file transfer protocol）、tftp（trivial file transfer protocol）加载升级管理支持命令行接口（cli）配置支持telnet远程配置支持通过console口配置支持snmp（simple network management protocol）支持rmon （remote monitoring）1，2，3，9组mib支持quidview网管系统支持web网管支持系统日志支持分级告警维护支持调试信息输出支持ping、traceroute， multicast traceroute支持telnet远程维护qos/acl支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持car（committed access rate）功能，ge端口流量限速的粒度为：64kbit/s，10g端口流量限速的粒度为：1mbit/s支持8个端口输出队列支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持sp（strict priority）、wrr（weighted round robin）、sp+wrr三种模式支持报文的802.1p和dscp优先级重新标记支持l2 （layer 2）l4 （layer 4）包过滤功能，提供基于源mac地址、目的mac（medium access control）地址、源ip地址、目的ip地址、端口、协议、vlan（virtual local area network）、vlan范围、mac地址范围和非法帧过滤支持基于时间段（time range）的acl和qos控制支持qos profile管理方式，允许用户定制qos服务方案安全特性用户分级管理和口令保护支持ieee 802.1x认证支持基于mac地址的认证支持dud （disconnect unauthorized device）特性支持ssh包过滤支持端口隔离dhcp relay支持ntp支持4.3 汇聚交换机s3900quidway s3900系列智能弹性以太网交换机（以下简称s3900）是华为公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。系统采用创新的irf（intelligent resilient framework，智能弹性架构)技术，将多台分散的设备组成统一的交换矩阵，非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。s3900系列智能弹性交换机目前包含型号为：s3928p-si、s3928tp-si、s3928p-ei、s3928f-ei、s3928p-pwr-ei、s3952p-si、s3952p-ei、s3952p-pwr-ei。s3900系列交换机提供标准型（si）和增强型（ei）两种产品版本，标准型支持二层和基本的三层功能、提供部分的irf功能（分布设备管理和基本的分布冗余路由）。增强型支持复杂的路由协议和丰富的业务特性，支持全部的irf功能（分布设备管理、分布冗余路由和分布链路聚合）。产品特点n 基于vlan的业务控制s3900提供基于vlan的批量acl下发，支持对报文的过滤、优先级设置，保障高优 先级业务和用户的安全需求。s3900支持qinq，可以将用户私网vlan标签封装在公网vlan标签中，使报文带着 两层vlan tag穿越运营商的骨干网络。s3900支持灵活qinq，能针对不同的业务报文打不同外层vlan标签，便于业务分离。n 高可靠性s3900不仅支持stp/rstp/mstp生成树协议，还提供smartlink技术，能实现主备链路毫秒级倒换，解决了电信级业务接入可靠性问题。s3900采用irf技术组网后，能够在整个堆叠组内实现控制平面和数据平面所有信息 的冗余备份，极大地增强了设备和网络的可靠性，消除了单点故障，避免了业务中断。s3900支持vrrp虚拟路由冗余协议，能与其他三层交换机构建vrrp备份组。s3900 能配置多条等价路由，当主上行路由发生故障时自动切换到下一条备份路由，实现上行路由的多级备份。s3900支持交流/直流双输入，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份。n 丰富业务支撑能力s3900支持创新的irf（intelligent resilient framework）技术，能够将多台设备连接 起来组成一个联合设备（fabric），并将这些设备看作单一设备进行管理和使用，降低 了管理成本，同时实现按需购买、平滑扩容。s3900（pwr型号）支持poe（power over ethernet），即可通过双绞线向远端下挂 pd设备（如ip phone、wlan ap、security、bluetooth ap等）提供-48v直流电源，实现对下挂pd设备远端供电。s3900通过支持poe和voice vlan技术，提供完美的数据和语音融合解决方案。s3900支持dhcp snooping、dhcp snooping trust、dhcp option82，满足iptv业务 开展的需要。s3900支持单纤双向模块，能实现单根光纤双向传输，解决光纤资源不足问题。n 完备的安全控制策略s3900支持集中式mac地址认证和802.1x认证，在用户接入网络时完成必要的身 份认证，还可以通过灵活的mac、ip、port任意组合绑定，有效地防止非法用户访问网络。支持dud(disconnect unauthorized device)认证，通过mac地址学习数目限制和mac地址与端口绑定实现。支持用户分级管理和口令保护；支持mac地址学习数目限制、mac地址与端口绑定、端口隔离、mac地址黑洞；支持防止dos攻击功能。 s3900支持hwtacacs特性，可以提供安全的信息保障和强大的认证功能。n 丰富的qos策略s3900支持基于源mac地址、目的mac地址、源ip地址、目的ip地址、端口、协议的l2l7复杂流分类。提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持sp、wrr、wfq、sp+wrr等模式；支持8个优先级队列，2个丢弃优先级；支持wred拥塞避免算法。支持car功能，可以实现基于端口和基于流的速率限制，限制的粒度可以精确至64kbps，为网络带宽的精细化管理提供了手段。n 多样的管理方式s3900支持rspan远程端口镜像，突破传统镜像端口和被镜像端口必需同设备的限 制；支持vct虚电路检测，dldp单向链路检测功能，能自动发现链路故障。s3900支持snmp v1/v2/v3，可支持imanager 网管系统。支持cli命令行，web