广东省监狱视频监控安全防护系统建设项目--女子监狱.doc

广东省监狱视频监控安全防护系统建设项目女子监狱技术建议书杭州华三通信2015年6月目 录第一章 项目概述31.1 项目建设目标3第二章 项目需求分析42.1 核心层42.2 接入层4第三章 项目建设原则63.1 实用性与经济性63.2 合理性与先进性63.3 标准化与开放性63.4 可靠性和安全性63.5 易管理性和易维护性6第四章 网络总体设计方案84.1 网络总体结构84.2 VLAN规划设计94.3 IP地址规划设计94.4 路由冗余设计104.5 QOS规划设计124.6 整体方案设计特点15第五章 产品介绍225.1 S10500系列核心交换机225.2 S3600V2 系列三层交换机295.3 S3110系列二层交换机375.4 iMC 智能管理中心平台425.5 H3C FlexServer R390575.6 H3C UIS8000统一基础架构系统60第一章 项目概述广东省监狱劳教视频监控安全防护系统建设工程是在各监狱及劳教所安装覆盖各个区域的视频监控设备和报警装置，通过多媒体监控、对讲监听报警、突发事件快速报警、周界防范、门禁控制等技术手段，构建全方位、多层次的安全防范体系，实现与武警、公安及有关部门联动，全面提升监狱、劳教所安全防范和处置突发事件的能力，并建立监狱（广东省司法厅-广东省监狱管理局-监狱）和劳教（广东省司法厅-广东省劳动教养工作管理局-劳教所）三级应急指挥系统，相关部门各司其职，对监狱或劳教所执法监管情况进行实时监督，对发生的各类突发事件进行指挥、协调、督办，实现全省监狱劳教系统的统一自动化指挥。广东省监狱基础网络覆盖建设主要是为实现广东省监狱系统基础网络覆盖建设，达到司法部颁布的全国监狱信息化建设规划中提出的建设“一个平台”，即网络和硬件平台的要求，搭建监狱系统政法信息网建设的物理基础，为监狱信息化应用提供承载平台，同时，为提高监狱物防、技防水平提供有力保障。1.1 项目建设目标通过规范监狱安全技术防范体系建设和管理工作，依靠科技强警，向科技要警力，建设监管基础设施，并联网接入监狱指挥中心，形成快速反应的综合控制安全防范体系。遵循技术先进、功能齐全、性能稳定、节约成本的原则，综合考虑施工、维护及操作因素，并为今后的发展、扩建、改造等留有扩充的余地。建设内容要求系统、完整、全面；建设方案具有科学性、合理性、可操作性。第二章 项目需求分析2.1 核心层女子监狱本期新建配置一台核心交换机：女子监狱现有视频监控网络已有一台核心交换机，本期新建配置一台核心交换机，以上两台核心互联，组成双核心、双链路网络，作为安防承载网络，必须根据接入层交换机和直接接入核心的设备的数量配置合适的光模块和电口模块，需配置一套网络设备管理软件。其中一台与原有的办公网络核心交换机通过链路联通。核心交换机部署在中心机房，中心机房需增加光纤由办公区引入生产园区各厂房、生活园区各监舍等重要建筑。核心接入分别虚拟化，跨设备链路捆绑传统网络设计采用VRRP 和STP 生成树协议作为业务高可用的保障，但存在设备和链路闲置、带宽利用不足、收敛速度慢、配置复杂等问题，本次网络建设采用已发展成熟的网络虚拟化和链路捆绑技术，以提高效率和可用性。对于核心设备，先将两台安防核心虚拟化成一台逻辑设备，再将两台核心间的两条万兆链路捆绑成一条逻辑链路。对于接入设备，先将多台安防交换机通过菊花链型连接，堆叠虚拟化成一台接入设备，再将两条千兆上行链路捆绑成一条逻辑链路。业务恢复时间必须达到毫秒级，毫秒级的收敛时间可以保障各种实时业务不中断，提高了整个网络的稳定性。2.2 接入层局域网接入交换机，采用千兆上行，百兆接入的以太网交换机，提供两种类型接入交换机：24 口交换机和48 口交换机。视频监控系统必须使用三层交换机，交换机使用的光模块数量按实际需求配置。接入层单个堆叠组所含视频端口总数不能超过96 个,因此本次网络方案采用双千兆上行+限制端口数的设计，即每个接入层堆叠的接入设备端口数不能超过96 个，超过96 个的情况下需要另外新建一个堆叠组，新堆叠组同样采用双千兆上行。每台交换机需要做虚拟化堆叠，采用做菊花链型连接方式，即第一台的A 口连第二台的B口，最后再把最后一台的A 口跟第一台的B 口连接。每台机最少需要2 个千兆光口。此外第一台和最后一台交换机，每台需要提供1 个光口作为上行链路，此时每台机需要3 个光口。如果性能不足，还可以增加上行链路，形成交叉连接后再做链路捆绑，此时需要4 个光口。第三章 项目建设原则3.1 实用性与经济性坚持实用性第一的原则。系统应能最大限度地满足监狱各项业务要求、满足系统管理人员和使用人员的业务需求，能适应新技术的发展，同时还应努力降低建设费用，选择技术成熟、性能稳定和性价比高的产品，并尽可能地利用好现有设备，减少浪费。3.2 合理性与先进性系统建设必须遵循系统工程的准则，在系统的合理性与技术的先进性之间取得均衡。应努力追求整个系统功能的科学合理性，防止片面追求某一局部的高指标与先进性。在保证整个系统功能和性能的前提下，采用先进成熟的技术。3.3 标准化与开放性系统应采用标准化、模块化设计和建设，并严格遵守相关技术的国际、国内和行业标准，以确保系统之间的开放透明性和系统之间的互连互通。系统建设对有扩展要求的子系统，在设计和选用设备时，应在对未来业务的增长和扩容进行科学预测基础上进行余量设计，预留扩容和发展的空间。3.4 可靠性和安全性整个系统须考虑高可靠性要求，选用的设备应具有较高的安全可靠性，关键设备或关键部件应采取备份冗余设计，选用安全机制完善、安全级别较高的系统软件，使用具有可靠功能的产品。3.5 易管理性和易维护性系统应易于管理和维护，借助网管、系统自诊断程序等专门工具，可方便地监控网络或其它设备的运行状态，以便及时解决出现的问题；计算机网络等信息基础设施的设计应采用简洁易用的体系结构，以降低系统运行维护费用。为确保产品的售后服务，应选用技术成熟且能提供原厂售后服务的产品。第四章 网络总体设计方案4.1 网络总体结构安防监控网新增一台核心交换机S10504与原有的核心交换机之间通过双链路互联，采用VRRP技术实现一主一备，提高网络可靠性。新增的S10504核心交换机作为主用设备，原有的核心交换机作为备用设备,其中一台通过万兆链路与原办公网络实现互联互通。 监控网采用S3600V2接入交换机为IPC等设备提供接入，上行采用千兆光纤双链路与两台核心交换机互联，实现链路捆绑，保证上联链路的可靠性并提高上行带宽。并运行STP生成树协议，逻辑上断开环路，防止二层网络广播风暴的产生，当主链路故障时，自动切换到备用链路且时间达到毫秒级，故障切换不影响系统业务的正常运行。按每个堆叠组的接入端口数不超过96个的原则进行堆叠，采用菊花链型连接方式。基础网络采用S3110接入交换机为对讲机、门禁等提供接入，通过百兆或千兆网线上联到监控网接入交换机S3600V2。网管服务器、视频监控平台服务器、刀箱服务器等通过双链路旁挂在核心交换机。4.2 VLAN规划设计在此次网络建设项目中，我们建议在先期实施中，以区域为单位进行VLAN的划分。将端口分配给VLAN的方式有两种，分别是静态的和动态的。静态VLAN：形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。动态VLAN：建议使用的802.1X实现动态VLAN功能。我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过250台，最好控制在50台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。作为特殊VLAN 的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID=4000,VLAN4000与VLAN1在第三层上相通，同时，部分业务VLAN可以访问VLAN4000，从而实现网管的分布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。4.3 IP地址规划设计IP地址的合理规划是网络设计中的重要一环，计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，具体的IP地址分配将通常在工程实施时统一规划实施，这里主要描述IP地址分配的原则。主要的原则描述为：1） IP地址分配要尽量给每个部门或对立单位分配连续的IP地址空间；在每个单位网中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制；2） IP地址的规划与划分应该考虑到用户的发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；3） 地址分配是由业务驱动，按照业务量的大小分配各地的地址段；4） IP地址的分配必须采用VLSM(变长掩码)技术，保证IP地址的利用效率；5） 采用CIDR技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；6） 在公有地址有保证的前提下，尽量使用公有地址，主要包括设备loopback地址、设备间互连地址。7） 充分合理利用已申请的地址空间，提高地址的利用效率。IP地址规划应该是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。4.4 路由冗余设计选择何种路由协议，对于最大程度的发挥网络的效能具有重要意义，因此本次网络建设的路由协议的选择也就十分重要。4.4.1 路由协议选择原则在本次网络建设中，选择适当的路由协议是非常重要的。目前常用的路由协议有多种，如RIP、OSPF、IS-IS、BGP、PIM等等。不同的路由协议有各自的特点，分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素：n 路由协议的开放性：开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和选择空间。n 网络的拓扑结构 ：网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。路由协议还必须支持网络拓扑的变化，在拓扑发生变化时，无论是对网络中的路由本身，还是网络设备的管理都要使影响最小。n 网络节点数量：不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。n 对于本网络，在选择路由协议时不能只看眼前，还要充分考虑今后的扩展性n 与其他网络的互连要求：通过划分成相对独立管理的网络区域，可以减少网络间的相关性，有利于网络的扩展，路由协议要能支持减少网络间的相关性，是通常划分为一个自治系统（AS），在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。n 管理和安全上的要求：通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的支持。4.4.2 路由协议选择考虑到协议的通用性、标准性以及监狱的网络规模，建议在本次网络建设中选择OSPF作为未来网络动态路由协议，选择OSPF主要有以下几个原因：n 标准开放性及成熟性OSPF是开放的标准协议，受到广大厂家设备及组织的支持，也是目前网络构建中用得最多的协议，也是在中小型网络中应用最广泛的IGP协议；因此其性能是经受过考验及验证的。n 扩展能力分域功能非常适合网络扩展OSPF提供分域功能一方面保证路由转发效率，另一方面要提供很好的网络扩展能力。4.4.3 骨干网详细路由规划全网采用OSPF多区域进行部署，可以每个汇聚区域采用一个OSPF区域，中心区域为area0，周围为area1-xx连接到area0，通过area0相互互访。为了减少路由的条目和路由收敛，area1-xx采用NSSA特殊区域，并且在区域1-xx的汇聚ABR设备上进行路由汇总。4.5 QOS规划设计相对广域网，局域网的带宽资源比较充分，对QOS的要求也相对较低，但是由于数据通信的特点，网络中不可避免的存在突发流量，可能造成网络短时期拥塞，随着新业务的开展，另外网络中可能存在大量消耗带宽资源的应用，所以，本项目中仍然需要考虑QOS问题。QoS方案的设计实施，首先需要考虑选择合适的技术框架，也即服务模型。服务模型指的是一组端到端的QoS功能，目前有以下三种QoS服务模型：1） Best-Effort service尽力服务2） Integrated service（Intserv）综合服务3） Differentiated service（Diffserv）区分服务Best-Effort service尽力服务是最简单的服务模型。应用程序可以在任何时候，发出任意数量的报文，而且不需要事先获得批准，也不需要通知网络。网络则尽最大的可能性来发送报文，但对时延、可靠性等不提供任何保证。尽力服务是互联网的缺省传输模式，由于它不区分具体的业务类型，采用先入先出的策略（FIFO）处理，对所有报文都无区别的等同对待，实现起来比较简单，但由于无法为高优先级的实时业务和关键业务提供额外保障，尽力服务模型并不适合用于政务网的建网需求。Integrated serviceIntserv是一个综合服务模型，它可以满足多种QoS需求。这种服务模型在发送报文前，需要向网络申请特定的服务。这个请求是通过信令（signal）来完成的，应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求，包括带宽、时延等，应用程序一般在收到网络的确认信息，即网络已经为这个应用程序的报文预留了资源后，发送报文。而应用程序发出的报文应该控制在流量参数描述的范围内。网络在收到应用程序的资源请求后，执行资源分配检查（Admission control），即基于应用程序的资源申请和网络现有的资源情况，判断是否为应用程序分配资源。一旦网络确认为应用程序的报文分配了资源，则只要应用程序的报文控制在流量参数描述的范围内，网络将承诺满足应用程序的QoS需求。而网络将为每个流（flow，由两端的IP地址、端口号、协议号确定）维护一个状态，并基于这个状态执行报文的分类、流量监管（policing）、排队及其调度，来满足对应用程序的承诺，具有面向连接的特性。因此对网络设备的处理能力有较高要求。传送QoS请求的信令是RSVP（资源预留协议），它通知路由器应用程序的QoS需求。Differentiated serviceDiffserv即区别服务模型，它可以满足不同的QoS需求。与Integrated service不同，它不需要信令，即应用程序在发出报文前，不需要通知路由器。网络不需要为每个流维护状态，它根据每个报文指定的QoS，来提供特定的服务。可以用不同的方法来指定报文的QoS，如IP包的优先级位（IP Precedence)、报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。通常在配置Differentiated service时，在网络边界的路由器通过报文的源地址和目的地址等对报文进行分类，对不同的报文设置不同的IP优先级，而其它路由器只需要用IP优先级来进行报文的分类。这三种服务模型中，只有Intserv与Diffserv这两种能提供多服务的QoS保障。从技术上看，Intserv需要网络对每个流均维持一个软状态，因此会导致设备性能的下降，或实现相同的功能需要更高性能的设备，另外，还需要全网设备都能提供一致的技术才能实现QoS。而Diffserv则没有这方面的缺陷，且处理效率高，部署及实施可以分布进行，它只是在构建网络时，需要对网络中的设备设置相应的规则，会使配置管理比较复杂。考虑到Diffserv模式具有处理效率高，部署和实时方便的特点，我们建议在本项目中，选用Diffserv模式。QOS技术不论是Diffserv，还是Intserv，在最终对服务进行保障时，都是通过以下一些成熟技术来实现的，华三公司的所有数通设备都采用平台软件，支持一系列QOS技术，主要可以分为以下两类：1）流量调节器流量调节器是网络边界所需的各种QoS功能，用于对用户的流量进行分类，并控制接入网络的用户流量与协定相符，同时设置DSCP。流量调节器的功能包括分类、测量、标记、丢弃和整形等，如以下技术：u CAR（承诺的接入速率），对用户流量进行监管；u GTS（通用流量整形），对用户流量进行整形；u ISPKeeper，智能流量控制技术。报文分类是QoS的基础，只有区分了不同的报文业务，才能进行分别处理及保障相应业务的服务质量。一般在网络边界，利用ACL等技术，根据物理接口、源地址、目的地址、MAC地址、IP协议或应用程序的端口号等依据对报文进行分类，并同时设置报文IP头的TOS字段作为报文的IP优先级；在网络的内部则可使用边缘设置好的IP优先级作为分类的标准，以提高网络的处理效率。约定访问速率（CAR）是一种带宽管理机制，利用令牌桶技术来实现带宽的分配和测量。网络管理员可以为不同的业务分配不同的带宽，定义业务占用的带宽超过分配额度时的处理策略，通过限制通过路由器某一端口的流量，很好地保证整个网络的QOS。CAR既可用于网络的入口也可用于网络的出口，可以报文分类完成的结果区分不同的业务流。另外，它还可以对报文的IP优先级根据需要加以重新标记。2）拥塞避免和管理当报文到达网络设备接口的速度大于接口的发送能力时，即将产生拥塞；拥塞发生时，一般采用队列调度的技术来解决，每一种队列调度技术都用来解决特定的问题，都会对网络性能产生特定的影响；目前华三公司可以提供各种队列调度技术包括FIFO、PQ、CQ、WFQ、RTP实时队列、CBWFQ/LLQ。拥塞避免用来监控网络负载，预见并避免拥塞的发生，拥塞避免一般通过丢包技术来实现；华三公司可以提供多种拥塞避免机制来满足不同的应用，包括尾丢弃、RED、WRED。以最简单的PQ(优先队列)为例,PQ对报文进行分类，将所有报文分成最多至4类，分别属于PQ的4个队列中的一个，然后，按报文的类别将报文送入相应的队列。PQ的4个队列分别为高优先队列、中优先队列、正常优先队列和低优先队列，它们的优先级依次降低。在报文出队的时候，PQ首先让高优先队列中的报文出队并发送，直到高优先队列中的报文发送完，然后发送中优先队列中的报文，同样，直到发送完，然后是正常优先队列和低优先队列。这样，分类时属于较高优先级队列的报文将会得到优先发送，而较低优先级的报文将会在发生拥塞时被较高优先级的报文抢先，使得关键业务（如ERP）的报文能够得到优先处理，非关键业务（如E-Mail）的报文在网络处理完关键业务后的空闲中得到处理，既保证了关键业务的优先，又充分利用了网络资源。VRP的拥塞避免和拥塞管理机制是紧密联系在一起的，对于每一种队列调度技术，都可以采用相应的丢包机制与之配合；拥塞管理和避免是所有路由器必须提供的PHB。IP QOS与链路层QOS技术的融合Internet是利用IP技术在网络层将各种二层网络连接起来，典型的二层网络包括FR、ATM、Ethernet等，因此端到端的IP QoS依赖于每一种二层网络的QoS实现以及其与IP QoS的融合。举例说明，Ethernet与IP QoS的融合： Ethernet/VLAN网络通过802.1Q中的VLAN ID和3个802.1p位，采用802.1p作为QoS信令，利用基本的IP QoS技术（如流分类/监管/整形、拥塞管理与避免），提供一定的QoS能力。VRP提供的IP-Ethernet方向的QoS融合包括：提供将分组的IP Pre或EXP映射到Ethernet帧802.1p位的能力，提供根据IP Pre或EXP将报文映射到特定VLAN的能力，各类队列机制增加基于VLAN的流分类等。VRP提供的Ethernet- IP方向的QoS融合包括： 对CAR做了扩展，增加了基于VLAN ID和802.1p的流分类等。为了达到对业务服务质量控制的要求，本项目中可以采取以下措施：1）首先需要区分不同服务的数据，在接入层根据接入端口、VLAN ID、协议类型等对数据流进行分类识别，并根据业务优先级的不同打上不同的802.1p标识；必要的时候，可以对一些业务进行流量限制。2）在线路上采用带宽分配、优先级控制、队列调度等QOS控制技术保证各类应用数据的有效传输。4.6 整体方案设计特点4.6.1 核心交换机4.6.1.1 高性能本方案采用H3C高性能核心交换机S10504。H3C S10504交换机产品是杭州华三通信技术有限公司面向下一代园区网核心和城域网汇聚和数据中心业务汇聚而专门设计开发的核心交换产品。采用先进的CLOS多级多平面交换架构，可以提供持续的带宽升级能力，支持40GE和100GE以太网标准。采用控制引擎和交换平面相分离的架构大大提供整机的高性能和高转发性。控制引擎和转发平面相分离的架构，即使在控制引擎出现故障后仍然不会影响数据转发，大大提高整机高可靠性。在控制引擎和转发平面相分离的部署模式不但能提供设备高可靠性，而且在转发性能方面也是大大的增强，设备可以通过部署多块交换网板提高设备转发性能，能真正实现无阻塞转发，支持40GE和100GE以太网标准，提供32个万兆单板全线速转发性能，每块接口板支持802.1X并发用户数大于8K。交换网板还能实现冗余化部署，并且交换网板切换时不会影响数据转发：核心交换机还采用了创新的硬件设计，通过全分布式的独立控制引擎、检测引擎、维护引擎为系统提供强大的控制能力和毫秒级的高可靠保障。核心交换机能实现多台设备虚拟化：将多台高端设备虚拟化为一台逻辑设备，是业界首款支持4框虚拟化的核心交换机产品，在可靠性、分布性和易管理性方面具有强大的优势，主要体现在三个方面： n 可靠性：通过专利的路由热备份技术，在整个虚拟架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了虚拟架构的可靠性和高性能，同时消除了单点故障，避免了业务中断； n 分布性：通过分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率； n 易管理性：整个弹性架构共用一个IP管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本。IPv6作为下一代网络的基础协议以其特有的技术优势得到广泛的认可，S10504系列全面支持IPv6协议族，支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等IPV6路由协议，支持丰富的IPv4向IPv6过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术，保证IPv4向IPv6的平滑过渡。同时，核心交换机还提供精细化、可靠的通风散热设计，能将设备产生的热量及时散出箱外，保证设备处于正常温度下，避免设备高温引起的故障。4.6.1.2 设备级高可用设备级的可靠性：包括设备本身的健壮性及对周围环境的适应能力，可靠的设备应该对关键部件（如主控板，交换网板，电源等）进行冗余备份，并且可以在恶劣的环境下长时间稳定运行。设备级可靠性的另外一个重要方面就是设备在线升级能力及容错能力，容错能力体现在如设备发生故障时，可自动平滑的启动备份部件，不对业务造成影响。 设备部件高可靠十万兆核心交换机支持： n 双引擎冗余热备n 双路电源，负载均衡供电，最大支持6路电源供电n 6风扇冗余设计，互为备份n 0故障独立无源背板设计n 设备采用竖插槽，提供良好的通风散热和抗压能力 引擎切换无中断主从管理板的切换在50ms秒间实现，同时在切换过程中，各主机线卡可以继续转发原有的数据流，不影响网络业务的正常透明运行，实现管理板的平滑切换，极大地保证了核心的可靠性和网络可用性。4.6.2 UIS统一架构优点UIS统一基础架构系统机箱UIS8000，高度为10U，前面板支持16个半高槽位或8个全高槽位，可以混插刀片服务器和刀片存储，后面板有8个网络模块插槽，UIS8000具有密度高、带宽高、集成度高、管理简单和绿色节能等优点。n 多款刀片服务器满足不同需求UIS最大可支持16个半高服务器FlexServer B390或8个全高服务器FlexServer B590，为UIS提供统一的计算能力。B390系列服务器在性能、灵活性和扩展性之间实现了最佳平衡，采用智能内存技术，增强了内存性能并提升了内存的容量，具有低功耗的优势。B590系列服务器是虚拟化、数据库、业务处理、高性能计算和一般密集型应用的理想选择，采用无代理硬件监控和告警功能，可实现自动化固件和系统软件维护。n 高密度存储灵活配置，弹性伸缩UIS融合了刀片存储FlexStorage D3000，每台D3000支持12个SFF硬盘槽位，每个刀片服务器支持两个SFF硬盘槽位，可使单台UIS总容量最大可达134T，满足了用户对于海量存储的需求，并且D3000自带2G容量的缓存，可有效提升读写性能，支持RAID 0，1，1+0，5，6。n 高性能的刀片网络模块支持丰富的数据中心特性以太网交换模块B6300可支持16个万兆下行口以及4个40GE、8个万兆上行口，1280Gbps的转发容量，且UIS8000具有8个网络模块插槽，可以在UIS满配刀片服务器及网卡的极端情况下实现流量线速转发，网络无瓶颈。同时B6300可支持IRF2、VEPA（802.1Qbg）、FCOE、TRILL、DCB等数据中心特性，丰富的数据中心网络特性满足了复杂组网需求，为云计算的实现打下了坚实的基础。虚拟连接模块Flex-10、FlexFabric可提供多种端口形态并支持丰富的协议类型。Flex-10模块可支持16个万兆下行口以及10个万兆以太网上行口；FlexFabric模块可支持16个万兆下行口以及8个万兆上行口，其中上行口包括4个万兆以太口，以及4个可以在10G以太口和FC口（支持2/4/8 Gbps）之间灵活切换的端口，满足FC、FCOE以及以太网等多种融合组网环境。虚拟连接模块支持将万兆物理网口虚拟化为4个虚拟网口，每个虚拟网口的带宽可在100Mb至10Gb之间灵活调整，这样可以在不增加更多交换机的情况下增添服务器端口，满足多网口的组网需求。n 互联交换机融合多种网络形态互联交换机U8300可支持48个1/10G SFP+端口+4个40G QSFP端口（每个QSFP端口可拆分为4个万兆端口），其中48个万兆端口为融合端口（Uport），即可实现以太网端口、FCOE端口、FC端口三种形态灵活切换。U8300可互联FCoE接口的存储设施，同时支持与FC SAN互通，实现了FC SAN网络与以太网络的完全融合，保护了用户的投资，也大大简化了整网基础设施。n 集成开放的虚拟化及云管理平台UIS统一基础架构系统可融合H3C CVM虚拟化平台和CIC云管理平台。通过CVM平台可以实现服务器、网络和存储资源的虚拟化，将物理资源抽象成按需提供的弹性虚拟资源池。通过CIC平台可为用户提供WEB形式的自助服务门户，用户可以按需索取IT资源，实现IT资源的自动化交付。CVM和CIC均提供了开放的API接口，可与第三方的平台软件做灵活的对接，有效保护用户投资，具备构建大规模云数据中心的能力。4.6.2.1 刀片服务器和机架服务器相比有何优势？刀片服务器作为一个集成系统，与网络设备、存储设备、管理模块、风扇、电源等集成于一个机箱中，可以很多提供机架服务器所不具有的优势。实现集中供电与散热，功耗更低。UIS8000最多可容纳10个风扇，刀片系统中的服务器、网络设备、存储设备、管理模块等都是通过这10个风扇统一进行散热，相比于机架式服务器的单独散热方式，整体功耗更低。UIS8000最多可容纳6个电源，刀片系统中的所有设备都是通过这6个电源统一进行散热，相比于机架式服务器的单独供电方式，整体功耗更低。据统计， UIS8000通过集中供电和散热，与传统机架服务器的独立供电和散热方式相比，功耗降低至少达20%。密度更高刀片系统UIS8000高度为10U，最多可容纳16台2路刀片服务器，一个标准的42U机柜中最多可以容纳4*16=64台2路刀片服务器。而目前业界主流的2路机架服务器为2U，一个标准的42U机柜中最多可容纳42/2=21台机架服务器，密度远远小于刀片服务器，对于机房空间有限、对服务器密度和性能要求较高的用户，刀片系统是最佳选择。布线更简单刀片服务器与刀片交换机之间通过背板内部互联，无需像机架服务器一样通过网线互联，极大的减少网线的数量。同时UIS8000内的服务器供电通过6个电源模块统一供电，因此电源线最多6根，相比于每台机架服务器至少都需要2根电源线，大大减少了电源线的数量，极大的简化了服务器的维护。维护更方便刀片服务器体积比机架服务器更小，对于更换服务器或服务器上架，更为简单轻松。一般机架服务器上架至少需要2人，刀片服务器只需一人即可。由于UIS8000提供有无状态计算功能，可以实现刀片服务器更换硬件配件时，无需重新更改网络配置和服务器启动配置。同时刀片服务器网卡一般可以实现网口虚拟化，这在机架服务器上一般是无法实现的。4.6.2.2 什么是刀片系统的无状态计算？目前业界有很多业务软件（如H3C iMC），为了防止盗版，软件注册激活时需要绑定服务器的物理信息，软件运行时需要验证服务器的物理信息。对于传统机架服务器，运行这种类型的软件，如果服务器发生故障需要更换网卡或整机时，往往需要重新与原厂重新注册激活，这将大大影响用户的业务正常允许。通过无状态计算技术，当对刀片服务器更换硬件配件时，无需重新更改配置。无状态计算的技术原理是在刀片服务器和刀片交换机之间增加了一层软件层，该软件层保存了刀片服务器的很多物理信息（如MAC、WWN、UUID、VLAN、LACP等）。当需要更换某一台服务器时，可以将这条服务器的物理参数写入软件层，等新的服务器插入之后，用软件层的参数来覆盖新服务器的物理参数，即应用软件读取的是老服务器的物理参数，因此软件读取的物理参数并没有发生变化，服务器的配置无需改变。无状态计算可以大大简化运维管理员的工作，几分钟内便可轻松完成服务器的替换。4.6.2.3 刀片服务器网卡虚拟化功能有什么好处？刀片系统的内部互联通道设计决定了刀片服务器有几个网卡，就需要配置几个网络模块。对于千兆组网环境下，如果服务器配置了8个千兆网卡，则需要相应的配置8个网络模块，成本非常高。同时每个网卡的带宽固定，无法根据业务应用类型做带宽的动态调整。网卡的虚拟化技术，可以大大减小网络模块的数量，同时每个虚拟网口带宽可以任意调节，充分满足不同业务类型对带宽的不同需求。如UIS8000实现刀片服务器网卡虚拟化，一个万兆网口最多可以虚拟成4个虚网口，4个虚端口总带宽为10GE，每个虚网口的带宽可以任意调节。由于4个虚网口物理形态只是1个实端口，因此只需配置1个网络模块即可实现外联通信。4.6.2.4 H3C UIS8000刀片系统具有怎样的特点？支持哪几类网络模块？UIS8000作为刀片系统，具有功耗低、密度高、布线简单、维护方便等特点，并且支持功能丰富（如无状态计算、网卡虚拟化、网络设备虚拟化（IRF）、VEPA、FCoE等），同时还具有网络模块数量多、种类多、功能丰富的特点，可以满足不同用户的各种需求。UIS8000支持的网络模块分为以下两大类。支持无状态计算、网卡虚拟化技术的网络模块（包括纯万兆以太网、万兆FCoE、纯FC 三款），代表产品：B6300G/XG。B6300G/XG是一款16*GE下行、4*GE+4*10GE上行的（强三层的）以太网刀片交换机，支持H3C IRF，最大可实现10台B6300G/XG的横向虚拟化为一台设备，且支持跨刀箱的虚拟化。不支持无状态计算、网卡虚拟化技术的网络模块（包括千兆下行+万兆上行、万兆+40GE、纯FC三款），代表产品：B6300XLG。B6300XLG是一款16*10GE下行、8*10GE+4*40GE上行的（强三层的）以太网刀片交换机，支持H3C IRF，最大可实现4台B6300XLG的横向虚拟化为一台设备，且支持跨刀箱的虚拟化。同时B6300XLG还支持FCoE、VEPA（802.1Qbg）等特性。第五章 产品介绍5.1 S10500系列核心交换机5.1.1 产品概述H3C S10500系列交换机产品是杭州华三通信技术有限公司（以下简称H3C公司）面向云计算数据中心核心、下一代园区网核心和城域网汇聚而专门设计开发的核心交换产品。采用先进的CLOS多级多平面交换架构，可以提供持续的带宽升级能力，支持数据中心大二层技术TRILL、纵向虚拟化和MDC（一虚多）技术，支持EVB和FCOE，并完全兼容40GE和100GE以太网标准。该产品基于H3C自主知识产权的Comware V5/V7操作系统，以IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）、IRF3（Intelligent Resilient Framework3，第三代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、应用安全、应用优化，无线，BRAS等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。同时，H3C S10500也符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。5.1.2 产品特点先进的CLOS 多级多平面交换架构采用先进的CLOS 多级多平面交换架构，提供持续的带宽升级能力。支持40GE 和100GE 以太网标准，充分满足无阻塞园区网的应用及未来发展需求。独立的交换网板卡，控制引擎和交换网板硬件相互独立，最大程度的提高设备可靠性，同时为后续产品带宽的持续升级提供保证。S10500的业务板卡与交换网板采用完全正交设计，背板零走线，高速信号速率可升级至25Gbps/Serdes，整机容量可平滑扩展至近百Tbps；创新的分布式多引擎设计采用了创新的硬件设计，通过全分布式的独立控制引擎、检测引擎、维护引擎为系统提供强大的控制能力和毫秒级的高可靠保障；分布式的控制引擎，所有业务板均提供强大的控制处理系统，轻松处理各种协议报文及控制报文，并支持协议报文精细控制，为系统提供完善的抗协议报文攻击的能力；分布式的检测引擎，所有业务板都可以分布式的BFD、OAM等快速故障检测，并与控制平面的协议实行联动，支持快速保护切换和快速收敛，可以实现毫秒级的故障检测，保障业务不中断；分布式的维护引擎，智能化CPU 系统支持电源智能管理，可以支持单板顺序上下电（降低单板同时上电带来的电源冲击，提高设备寿命，降低电磁辐射，降低系统功耗），设备在线状态检查。IRF2（第二代智能弹性架构-横向虚拟化） 面向园区网横向业务整合的需求，S10500支持IRF2（第二代智能弹性架构）技术，将多台高端设备虚拟化为一台逻辑设备，是业界首款支持4框虚拟化的核心交换机产品，在可靠性、分布性和易管理性方面具有强大的优势，主要体现在三个方面： 可靠性：通过专利的路由热备份技术，在整个虚拟架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了虚拟架构的可靠性和高性能，同时消除了单点故障，避免了业务中断； 分布性：通过分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率； 易管理性：整个弹性架构共用一个IP管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本。 IRF3：（第三代智能弹性架构纵向虚拟化） 10500系列产品可以在纵向维度上支持异构虚拟化，将核心和接入设备通过IRF3技术形成一台纵向逻辑虚拟设备，支持AC、AP统一管理、配置，相当于把一台盒式设备作为一块远程接口板加入主设备系统，可支持多达60台盒式设备加入，以达到扩展I/O端口能力和进行集中控制管理的目的。IRF3技术可以简化管理，大幅度降低网络管理节点；简化布线，二层变为一层，节省横向连接线缆；最终实现数据转发平面虚拟化，便与简化业务部署和自动编排。数据中心虚拟化和网络融合技术作为企业级云计算数据中心核心设备，10500系列产品在云计算数据中心虚拟化和网络融合方面都提供了一系列技术解决方案：TRILL：随着服务器和交换机规模的增加，数据中心网络越来越倾向于扁平化的网络架构以便于维护管理，这就要求构建一个大型的二层网络；10500系列产品支持通过TRILL技术和纵向虚拟化技术来进行数据中心大二层网络的构建。数据中心大二层技术TRILL（TRansparent Interconnection of Lots of Links，多链路透明互联）协议将三层路由技术IS-IS（Intermediate System-to-Intermediate System，中间系统到中间系统）的设计思路引入二层网络，并对其进行了必要的改造。从而将二层的简单、灵活性与三层的稳定、可扩展和高性能有机融合起来。MDC：10500产品可以通过MDC技术实现正真的1：N的虚拟化，即把一台交换机虚拟成N台互相独立的虚拟交换机，不同于传统的交换机虚拟化技术，MDC虚拟出的每台交换机之间物理隔离、安全隔离，拥有独立的硬件资源和管理权限，满足多业务客户共享核心交换机的需求，这样，一方面可以充分利用核心交换机的能力达到隔离复用的作用，另一方面也降低了用户的投资成本，一举两得。EVB：10500产品支持EVB (Edge Virtual Bridging)，通过VEPA (Virtual Ethernet Port Aggregator)技术将虚拟机产生的网络流量上传至与服务器相连的物理交换机进行处理，不仅实现了虚拟机间流量转发，同时还解决了虚拟机流量监管、访问控制策略部署等问题。FCOE： 10500系列产品支持FCOE技术；FCOE技术主要用来解决云计算数据中心LAN网络和存储网络异构的问题，通过FCoE和CEE技术的部署，可以实现数据中心前端网络和后端网络架构的融合，解决数据、计算和存储三网割裂的技术难题，从而大大降低数据中心的采购和扩容成本；EVI： 10500系列产品支持EVI（Ethernet Virtual Interconnection，以太网虚拟化互联）技术，EVI是一种先进的MAC in IP技术，EVI解决方案部署非常简单，基于现有的IP网络，给分散的物理站点提供灵活的二层互联功能。基于开放架构的多业务融合S10500系列秉承H3C公司的开放架构设计理念开放应用架构（OAA），将传统园区网核心交换机的L2至L3的报文转发的简单功能，重新定义为集成L2至L7的深度业务感知，有线无线一体化，有源无源一体化，IPv4/IPv6一体化，网络流量分析与管控等多业务于一体的多业务承载平台。S10500系列支持防火墙模块、IPS模块、负载均衡等安全控制模块，可以将安全保护功能扩展到交换机的每个端口；支持虚拟防火墙功能，可以为VPN用户提供网络防火墙的租用服务。实现了网络业务和安全业务的无缝融合。S10500系列集成无线控制模块，实现有线无线一体化解决方案。无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。全面的IPv6解决方案IPv6作为下一代网络的基础协议以其特有的技术优势得到广泛的认可，S10500系列全面支持IPv6协议族，支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等IPV6路由协议，支持丰富的IPv4向IPv6过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术，保证IPv4向IPv6的平滑过渡。5.1.3 产品规格属 性S10504S10506S10508S10508-VS10510S10512交换容量13.82Tbps/32T Tbps20.74Tbps/48 Tbps27.65Tbps/64Tbps27.65Tbps/64Tbps34