2014-6-23系统集成方案v2423.doc

网 络 设 计 方 案一 前言与需求分析针对贵公司的要求，将整个网络打造成高速、安全、可靠、简便管理的双链路冗余的网络平台，作为数据业务统一承载和传输平台。高性能、高速度的网络系统，让客户机有高速的查询浏览速度 方案说明网络设计采取了全网无单点故障的设计理念，确保单一设备的故障不会影响整个网络的正常运转。双机热备很好的提高的网络的冗余性，稳定性，高可用性。网络连接中上连全部采用了千兆连接，大大的增加的网络的整体速度。外网接入的防火墙可以抵御外网的病毒，黑客，和恶意的攻击。SSL VPN的加密连接，使得连接和传输数据的过程中不会被恶意的篡改和盗取重要文件和数据。加强网络的安全性。千兆到桌面提高了终端与服务器，与外网的访问速度。还可以提高终端间的访问速度。不出现带宽瓶颈。四 总体设计原则系统总体设计应遵循“安全可靠、统一高效”的总原则。A、安全“高”： 对内、对外都要严格保证信息安全B、可靠性“高”：满足电子政务应用安全、稳定运行；C、业务“全”： 数据、语音、视频业务全面支撑，节省成本，提高网络平台效率；D、投资“省”： 实体政务网、虚拟业务网，能够满足纵向连接、横向互通的需要（MPLS VPN）；E、维护“易”： 目前我中心专业化人才相对缺乏，网络维护管理必须最大可能的简单、方便。先进性：作为办公网络平台，网络系统应采用国际上先进的网络技术、智能化程度高的网络设备，保证信息系统的传输速度与质量，实现各种数据、语音、视频等应用以及系统扩展、升级等前瞻性问题。标准化、可扩充性：计算机网络硬件支撑平台的设计首先要满足当前公司各种应用的要求，同时要考虑到业务日益增长的长远需求，提供网络的可扩充性。用户的数量、需求和应用在不断变化，技术也不断发展，随着网络技术的不断发展，网络应用规模在不断扩大。因此，在网络结构上要实现真正开放，基于国际开放式标准，设计过程中应当保证在用户业务量和业务类型的变化增长的情况下，硬件支撑平台能够方便的升级并扩展，网络可以自如地扩充容量，支持更多的用户及应用。网络平台设计时必须按照各种国际通用标准进行，以保证各种设备、网络的兼容通用。开放的网络使用户可以自由地选择不同厂家的产品，将来网络在实现扩容、升级时不会受到某些厂家专有标准的限制。网络结构与网络技术的选择，要具有相当的前瞻性，以确保随着网络技术的不断发展，网络能够平滑地过渡到更先进的技术和设备，充分保障用户现有的投资和利益。网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。安全性：安全性是网络工程的基础保障。出于网络安全及保密因素，网络工程对安全性有很高的要求。设计的过程中必须依据国家各种有关安全法规政策，对硬件支撑平台的访问控制、在线监视、信息加密等方面进行完善考虑，在网络建构上根据功能划分相应的区域，使用如防火墙、入侵检测、加密设备对信息过滤、隔离、数据加密等手段，同时采用虚拟网划分及目前较流行的VPN及安全认证等技术，防止非法用户、非法信息及病毒的入侵和泄密事件的发生。同时还要在公司内部建立健全各种相关安全管理制度，确保公司网络的安全。稳定、可靠性：整网的运行必须保证相当高的可靠性，以满足公司工作及信息的安全与稳定。为了保证网络的可靠性，防止局部故障引起整个网络系统的瘫痪，避免网络出现单点故障。设计中应考虑在硬件支撑平台关键设备使用设备冗余备份和链路备份，在系统出现故障时，能够在最短的时间内恢复系统的正常运作，实现系统的长期稳定可用。对重要数据进行差错控制、数据备份与灾难恢复等手段保证信息传输的完整可靠。实用性：网络硬件支撑平台设计要以应用为指导，坚持实用性原则。要以对应用系统及用户的支持为出发点，充分考虑基础平台的实用性。既实用，又不落后于应用，充分支持上层的多种应用。管理性：网络需要很高的可管理性，特别是在数据、视频等多业务的网络系统里，要使用可管理的网络设备，可以识别关键资源，根据流量状况以及网络性能配置阈值并为不同的应用提供不同的带宽，使所有的服务能够顺利完成。随着系统的投入运行和系统资源的不断增加，网络系统应具有很好的易维护性，使管理人员易于维护，减少不必要的额外劳动，提高工作效率。五 设计依据、规范标准1、方案设计所遵循的标准通信信道：优先选择和采用目前技术成熟、稳定可靠、符合国际标准的各类通信信道。网络协议和网络规程：以工业标准TCP/IP为主，以信道化（CPOS）622M和155M、城域网和MPLS （多协议标签交换）VPN等技术为辅；网络操作系统：采用UNIX 或Windows等主流操作系统；系统安全：遵从国际标准化组织和国家信息安全主管部门制订的各项标准。2、方案设计所遵循的规范电子政务标准化指南工程管理（国标委高新20037号）电子政务工程技术指南（国信办20032号）六 网络设备性能与参数S5700S-LIS5700S-LI系列交换机本着“性能优先，节能不牺牲用户体验”的原则，通过匹配链路 Down/Up、 光模块在位/不在位、端口Shut Down/Undo Shut Down、设备空闲时段/繁忙时段等不同的使用场景，创造性地应用能效以太网（EEE）、端口能量检测、CPU动态调频、设备休眠等技术，达到节省设备耗电量的目的。针对不同用户的应用需求，提供了灵活可配的标准节能、基本节能、深度节能三种节能模式，是业界首家支持整机休眠的交换机设备。灵活的以太组网S5700S-LI不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP智能以太保护技 术。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。1S5700S-LI支持SmartLink功能。S5700S-LI通过多条链路接入到多台汇聚交换机上，SmartLink实现了 上行链路的备份，极大地提升了接入侧设备的可靠性。S5700S-LI支持完善的以太OAM(IEEE 802.3ah/802.1ag)功能，用于快速检测链路故障。 多样的安全控制S5700S-LI支持MAC地址认证和802.1x认证，实现用户策略（VLAN、QoS、ACL）的动态下发。支持 基于端口粒度的dot1X、MAC认证和混合认证；支持基于VLANIF接口粒度的Portal认证。S5700S-LI支持完善的DoS类防攻击、用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻 击，包括SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC欺骗、DHCP request flood、改变 DHCP CHADDR 值等等。S5700S-LI通过建立和维护DHCP Snooping 绑定表，对不符合绑定表项的非法报文直接丢弃。利用 DHCP Snooping 的信任端口特性，S5700S-LI还可以保证DHCP服务器的合法性。S5700S-LI支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常 用户无法上网。轻松的运行维护S5700S-LI支持华为Easy Operation简易运维方案，提供新入网设备Zero-Touch安装、故障设备更换 免配置、USB开局、设备批量配置、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700S-LI支持SNMP V1/V2/V3、CLI（命令行）、Web网管、SSHv2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。Easy Deploy：Commander交换机收集下挂Client的拓扑信息，并基于拓扑保存Client对应的启动信 息；支持Client免配置更换。支持对Client批量下发配置和脚本，并支持对配置下发结果进行查询。Commander交换机支持收集并显示整网能耗信息。 S5700S-LI支持GVRP，实现VLAN的动态分发、注册和属性传播，减少手工配置量，保证配置正确 性。S5700S-LI还支持MUX VLAN功能，MUX VLAN分为主VLAN和从VLAN，从VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从VLAN之间可以相互通信；互通型从VLAN内的端口之间互相通信；隔离型从VLAN内的端口之间不能互相通信。支持VCMP，VLAN集中管理协议；支持VBST，VLAN生成树协议。杰出的网流分析S5700S-LI支持sFlow功能。S5700S-LI按照标准定义的方式，对转发的流量按需采样，并实时地将采 样流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供了极大的方便。S5700S-28P-LI-AC S5700S-52P-LI-AC固定端口 2410/100/1000Base-T，41000 Base-X 4810/100/1000Base-T，41000 Base-XMAC地址表支持8K MAC地址容量遵循IEEE 802.1d标准支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤VLAN特性支持4K个VLAN支持Guest VLAN、Voice VLAN支持GVRP协议支持MUX VLAN功能支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN Mapping功能可靠性支持RRPP环型拓扑和RRPP多实例支持SmartLink树型拓朴和SmartLink多实例，提供主备链路的毫秒级保护支持智能以太保护SEP协议支持STP(IEEE 802.1d)，RSTP(IEEE 802.1w)和MSTP(IEEE 802.1s)协议支持BPDU保护、根保护和环回保护IP路由 静态路由IPv6特性支持ND（Neighbor Discovery）支持PMTU支持IPv6 Ping、IPv6 Tracert、IPv6 Telnet支持基于源IPv6 地址、目的IPv6 地址、四层端口、协议类型等ACL支持MLD v1/v2 snooping（Multicast Listener Discovery snooping）组 播支持IGMP v1/v2/v3 Snooping和快速离开机制支持VLAN内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播支持基于端口的组播流量统计QoS/ACL支持对端口入方向、出方向进行速率限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRRSP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP协议源/目的端口号、协议、VLAN的非法帧过滤功能支持基于队列限速和端口整形功能安全特性用户分级管理和口令保护支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、 Sticky MAC支持MFF支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证，支持单端口最大用户数限制支持AAA认证，支持Radius、HWTACACS、NAC等多种方式支持SSH V2.0支持HTTPS支持CPU保护功能支持 黑名单和白名单接入安全 支持 DHCP Relay、 DHCP Server、DHCP Snooping、DHCP Security防雷 业务端口防雷能力：6KV管理和维护支持虚拟电缆检测(Virtual Cable Test)支持SNMPv1/v2/v3支持RMON支持eSight网管系统、支持WEB网管特性支持自动配置支持HTTPS支持系统日志、分级告警支持EEE 802.3az能效以太网（Energy Efficient Ethernet）支持sFlow功能互通性VBST基于VLAN生成树协议（和PVST/PVST+/RPVST 互通）LNP 链路类型协商协议（和DTP相似功能）VCMP VLAN集中管理协议（和VTP相似功能）环境要求工作温度：0oC50oC相对湿度：5%95%（无凝露）输入电压AC：额定电压范围：100-240V AC；50/60Hz最大电压范围：90-264V AC； 47/63Hz外形尺寸mm(宽深高)442 x 220 x 43.6 442 x 310 x 43.6功耗 25W 52WS5700-EIS5700-EI支持多种上行扩展插卡，提供高密度的GE/10GE上行接口。其中S5710-EI系列具有4 个固定10GE SFP+端口，通过上行扩展插卡可实现64GE410GE，48GE810GE，或56GE610GE等不同端口组合，充分满足不同用户对带宽升级的实际需求，保护用户投资。完善的VPN隧道S5700-EI支持Multi-VPN-Instance CE（MCE） 功能。S5700-EI支持下接不同的VPN用户，通过路由多 48个10/100/1000Base-T，上行支持41000Base-X SFP、 210GE SFP+、410GE SFP+插卡可插拔双电源，交流供电 包转发率：138Mpps 交换容量：256Gbps 24个10/100/1000Base-T以太网端口，4个复用的千兆SFP Combo，4个10GE SFP+，上行支持810/100/1000BASE-T、81000Base-X、210GE SFP+插卡可插拔双电源，支持直流或者交流供电 包转发率：156Mpps 交换容量：368Gbps 24个10/100/1000Base-T以太网端口，4个复用的千兆SFP Combo，4个10GE SFP+，上行支持810/100/1000BASE-T、81000Base-X、210GE SFP+插卡可插拔双电源 支持PoE+ 包转发率：156Mpps 交换容量：368Gbps 48个10/100/1000Base-T，4个10GE SFP+，上行支持 810/100/1000BASE-T、81000Base-X、210GE SFP+插卡可插拔双电源，支持直流或者交流供电 包转发率：192Mpps 交换容量：416Gbps 48个10/100/1000Base-T，4个10GE SFP+，上行支持 810/100/1000BASE-T、81000Base-X、210GE SFP+插卡可插拔双电源，其中S5710-52C-PWR-EI-AC内置1个580W交流 电源，S5710-52C-PWR-EI支持直流或者交流供电支持PoE+ 包转发率：192Mpps 交换容量：416Gbps 产品特性和优势2 实例，实现了不同用户的隔离；上行通过共用的物理接口连接到PE设备，减少单个VPN用户对网络部署的投资。S5710-EI支持MPLS L3VPN、MPLS L2VPN(VPWSVPLS)、MPLS-TE、MPLS QoS等功能，可作为高质量 企业专线接入设备，是业界为数不多的高性价比盒式MPLS交换机。灵活的以太组网S5700-EI不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP 智能以太保护技术 和业界最新的以太环网标准ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。ERPS是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现以太环网的毫秒级快速保护倒换。S5700-EI支持SmartLink和VRRP功能。S5700-EI通过多条链路接入到多台汇聚交换机上，SmartLink/ VRRP实现了上行链路的备份，极大地提升了接入侧设备的可靠性。S5700-EI支持多种连接故障快速检测功能。S5700-EI支持完善的以太OAM (IEEE802.3ah/802.1ag/ITU Y.1731)和BFD功能。多样的安全控制S5700-EI支持MAC地址认证和802.1x认证，实现用户策略（VLAN、QoS、ACL）的动态下发。支持 基于端口粒度的dot1X、MAC认证和混合认证；支持基于VLANIF接口粒度的Portal认证。S5700-EI支持完善的DoS类防攻击、用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻 击，包括SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC欺骗、DHCP request flood、改变DHCP CHADDR 值等等。S5700-EI通过建立和维护DHCP Snooping绑定表，对不符合绑定表项的非法报文直接丢弃。利用 DHCP Snooping的信任端口特性，S5700-EI还可以保证DHCP服务器的合法性。S5700-EI支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用 户无法上网。杰出的网流分析S5710-EI支持NetStream 网络流量分析功能。作为网络流量输出器，S5710-EI 根据用户配置，实时 采集指定的数据流量，通过标准的V5/V8/V9报文格式，将数据上送给网络流量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。S5700-EI支持sFlow功能。S5700-EI按照标准定义的方式，对转发的流量按需采样，并实时地将采样 流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供了极大的方便。轻松的运行维护S5700-EI支持华为Easy Operation简易运维方案，提供新入网设备Zero-Touch 安装、故障设备更换免 配置、USB开局、设备批量配置、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700-EI支持SNMP V1/V2/V3、CLI（命令行）、Web网管、SSHv2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。固定端口2410/100/1000Base-T24100/1000Base-X，4个复用的10/100/1000Base-T(Combo)4810/100/1000Base-T2410/100/1000Base-T，4个复用的千兆SFP端口(Combo)，410GE SFP+4810/100/1000Base-T，410GESFP+扩展插槽S5700C提供两个扩展插槽，分别支持上行插卡和堆叠卡S5710C提供两个扩展插槽，支持上行插卡MAC地址表遵循IEEE 802.1d标准支持32K MAC地址容量支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤VLAN特性支持4K个VLAN支持Guest VLAN、Voice VLAN支持GVRP协议支持MUX VLAN功能支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN Mapping功能产品规格Easy Deploy：Commander交换机收集下挂Client的拓扑信息，并基于拓扑保存Client对应的启动信 息；支持Client免配置更换。支持对Client批量下发配置和脚AR3200系列企业路由器支持丰富的接口类型，包括高密度E1、CPOS、POS等多款板卡，满足各个分支机构和总部间的汇聚接入要求。企业多个小型分支机构可通过E1链路上行连接至汇聚层路由器，通过其支持的高密E1板卡或者CPOS提供汇聚接入，然后再通过POS上行到高端路由器连接核心网络。AR3200设备作为MPLS网络的PE设备被部署在企业总部和分支，不同业务之间通过MPLS L3 VPN隔离。实现VPN业务的灵活部署、快速转发、安全传输，实现企业业务的虚拟化运营。通过高密度E1汇聚分支接入通过MPLS网络构建VPN.规格名称 AR3260EXSIC插