中建祥全光网络项目技术建议书

网络项目技术建议书目录1概述311设计思想312设计原则413设计规范52网络架构设计621方案设计优势622网络架构设计7221网络拓扑结构设计7222网设备部署93网络可靠性设计931设备级可靠冗余性设计10311冗余电源10312散热系统10313软件升级、热补丁104网络安全规划1041网络的高可靠性1142网络设备安全技术115VLAN规划1251VLAN定义12511链路类型13512端口类型13513缺省VLAN1452VLAN通信方案15521VLAN基本通信15522VLAN内跨越交换机通信16523VLAN间通信1753VLANAGGREGATION1854MUXVLAN1855VLANMAPPING1956VLAN的划分1957用户移动办公2058VLAN管理206主要网络产品介绍2061华为ASG63202062华为AR12002163华为S57002264华为S27002465AC60052766华为RH12882867RH2288A291概述信息化是我国产业优化升级和实现工业化、现代化的关键环节，积极运用现代化科技手段，特别是先进信息技术，加快信息化进程，建立高效的网络，是适应国民经济和社会信息化发展的迫切要求。本方案设计针对企业的建设需求，对网络架构、可靠性、网络安全、统一管理等功能进行技术分析和方案设计，最终为公司的网络构建高效、安全、可靠的网络运行环境。本次信息化网络建设的总体目标是一、建立高速、高效的网络平台，满足大数据量传输和快速业务实现的需求；二、建立高可靠性的网络平台，保证业务实现的不间断和快速故障恢复；三、建立高安全的网络平台，保证业务数据和管理系统等多层次的安全保障；四、建立易维护的网络管理平台，实现对设备和业务的全方位管理；五、建立易扩展的网络平台，为网络提供持续发展保障；六、建立面向多业务的网络平台，可方便实现目前和今后多业务的方便部署；七、建立规范化、标准化的网络平台，实现不同厂家设备的无缝互联；11设计思想该网络项目的总体设计思想是建设一个具有较大容量高速传输能力的、有可靠稳定服务质量保证的信息化综合网络平台。基于这个平台，实现各个逻辑网路区域之间安全高速的数据共享；为今后新的业务发展，迅速推出相应的新业务打好良好的基础。1）利用关键部件、设备、网络可靠冗余性设计，链路聚合协议，路由协议、快速重路由等协议冗余性设计部署实现网络平台的高可靠性；2）利用设备自身安全设置、分层分区访问控制，实现网络平台的高安全性；3）利用QOS技术实现针对不同应用提供不同的服务质量，实现网络平台的高可用性；4）利用集中网络管理平台实现全网设备统一管理，实现全网业务的高可见性管理，实现网络平台的高可管理性；12设计原则结合实际应用和发展要求，系统总体设计遵循原则实用性原则网络建设将以满足现行需求为基础，在节省投资的同时，充分考虑发展的需要来确定系统规模。安全性原则系统应能提供网络层的安全手段配合整体系统的安全建设，防止系统外部成员的非法侵入以及操作人员的越级操作，保护网络建设者的合法利益。可靠性原则系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。成熟和先进性原则该网络系统结构设计、系统配置、系统管理方式等方面应采用国际上先进的同时又是成熟、实用的技术。高可用性原则具有较高的可靠性和可用性前提下，保证企业所有业务系统的正常运行。网络设备及设计具备在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换。网络系统具有强大的容错功能以确保各种应用的正常运行，在网络设计上采用网络级备份或线路及设备的冗余配置。没有单故障点，线路之间相关系数最小。规范性原则系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性原则整个系统的设备应易于管理，易于维护，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面很好的监视和控制，远程管理和故障诊断。13设计规范该网络项目的网络设计完全符合国家网络建设的相关标准和规范。1、网络标准与规范RFC1661THEPOINTTOPOINTPROTOCOLPPPRFC1990THEPPPMULTILINKPROTOCOLMPRFC1994PPPCHALLENGEHANDSHAKEAUTHENTICATIONPROTOCOLCHAPRFC791INTERNETPROTOCOLIPRFC792INTERNETCONTROLMESSAGEPROTOCOLICMPRFC793TRANSMISSIONCONTROLPROTOCOLTCPRFC768USERDATAGRAMPROTOCOLUDPRFC826ANETHERNETADDRESSRESOLUTIONPROTOCOLARPRFC2328OSPFVERSION2RFC1793EXTENDINGOSPFTOSUPPORTDEMANDCIRCUITSRFC1931ABORDERGATEWAYPROTOCOL4BGP4RFC1965AUTONOMOUSSYSTEMCONFEDERATIONSFORBGPRFC1966BGPROUTEREFLECTIONRFC1997BGPCOMMUNITYATTRIBUTERFC2439BGPROUTEFLAPDAMPINGRFC2138REMOTEAUTHENTICATIONDIALINUSERSERVICERADIUSRFC2139RADIUSACCOUNTINGRFC2784GENERICROOUTINGENCAPSULATIONRFC2401SECURITYARCHITECHUREFORTHEINTERNETPROTOCOLRFC1157SIMPLENETWORKMANAGEMENTPROTOCOLSNMPRFC2474DSFIELDINTHEIPV4ANDIPV6HEADERSRFC2475ANARCHITECTUREFORDIFFERENTIATEDSERVICERFC2615POSRFC2547MPLSVPNIEEE8023U100BASE规范IEEE8023Z1000BASEXGBIC规范IEEE8023AE10G规范IEEE8021Q/1PVIRTUALBRIDGEDLOCALAREANETWORKSIEEE8023ADLINKAGGREGATIONIEEE80217RPR2、国家安全标准与参考规范GB/T183362001GB/T180191999GB/T180201999UL1950EN41003AS/NZS3260AS/NZS3548CLASSACSACLASSAFCCCLASSAEN605552VCCICLASSII抗干扰性IEC100042ESOIEC100043辐射敏感性IEC100044电快速瞬变IEC100045电源IEC100032谐波2网络架构设计21方案设计优势1、网络拓扑灵活扩展采用分层结构设计，网络层次清晰，网络扩展能力、灵活性强。2、技术先进、适用此次建设选用国际标准化，开放的技术协议，兼顾用户自身技术运用状况，采用适用的VLAN、QOS等技术实施，配合先进成熟技术，包括集群、链路聚合等技术部署，使得网络更加智能、高效，并具备良好的自愈能力，为业务不间断转发提供技术保证。3、可靠性技术保证为保证核心业务不间断工作，需要具备724的网络支撑能力，此次设计，从设备选型、技术部署等方面均做了充分准备。4、管理全面高效此次方案设计，包含网络管理平台，对整网网络设备进行统一管理。5、建设和维护成本合理性从建设和维护成本上来分析，网络分层次建设，不同层次的带宽选择可以分别考虑。根据流量需求，核心层设备采用比较高的带宽、较高档次设备，而接入层设备采用相对低一些的带宽、较高档次设备，可以极大提高网络建设成本的合理性，网络的可实施性，同时又增加了带宽分配的合理性，避免带宽资源的浪费，节约了建设和维护成本。22网络架构设计221网络拓扑结构设计该网络采用层次化网络拓扑结构建设，具有以下特点（1）符合网络建设的要求分层的模块化设计使得网络成长更加方便。升级的费用和复杂度限制在整个网络的小范围内，当局部网络环境发生变化时不影响其它无关的层次。便于发现和隔离故障，有助于故障点的识别。（2）可靠性高可以保证在任何一个链路出现故障时，都不会中断全局通信，因此，网络具有很高的可靠性。（3）建设和维护成本合理从建设和维护成本上来分析，网络分层次建设，不同层次的带宽选择可以分别考虑。根据流量需求，核心层采用比较高的带宽，而接入层采用相对低一些的带宽，可以极大提高网络主干层的性能，网络的可实施性，同时又增加了带宽分配的合理性，避免带宽资源的浪费，节约了建设和维护成本。（4）路由效率高模块化、层次化拓扑结构便于路由协议分层设计，减少了路由选择协议在网络链路上的开销，以及路由器的处理时间，这样，提高了路由效率。（5）高效的二层接入从不同部门、不同功能、不同业务、移动办公等需求考虑，在核心层以下采用二层VLAN技术，实现用户、业务隔离和接入，提供高效、稳定的数据传输方案。网络拓扑图如下1G网线防火墙（USG6320）核心交换机（S570024TPSIAC）24口POE接入交换机（S270026TPPWREI）OA/域服务器（RH1288V2）共享服务器（RH2288AV2）百兆网线10M无线控制器AC600524口接入交换机（S270026TPEIAC）路由器（AR1220）24口接入交换机（S270026TPEIAC）PCPCPCPC笔记本PDAAP4030DNAP4030DN222网设备部署该网络要求高带宽，关键部件、设备和链路冗余备份。路由器采用一台华为AR1220路由器实现冗余。核心层交换机采用一台华为S5700三层交换机，接入交换机采用华为百兆S270026TPEIAC二层交换机。A路由器路由器用于实现内部与外部的快速路由。该路由器具有高转发性能以及高整机交换机容量、接口支持丰富、支持多种类型接口卡。该路由器具有高可靠性、可扩展性、高性能。上行电信或联通连接一条带宽，千兆下行到防火墙。B防火墙我们选用华为ASG6320当做防火墙。集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等多种安全功能于一身，为企业提供全面、简单、高效的下一代网络安全防护。千兆上行到路由器，千兆下行到核心交换机。实现内网有线保护。C核心层核心层被认为是所有流量的最终承受者和汇聚者，所以我们对核心层的设计以及网络设备的要求十分严格，要求关键部件冗余、大带宽。网络机房部署1台华为S5700千兆三层兆作为核心交换机。以千兆上行连接防火墙；下行千兆链路连接接入交换机和服务器等。D接入层部署若干台华为S270026TPEIAC百兆二层交换机作为接入层交换机上行千兆连接到核心交换机，下行百兆链路下联到各个接入点。E无线控制器部署一台华为的AC6005无线控制器，实现对若干AP以及连接终端设备的地址下发、有效管理。3网络可靠性设计针对该网络，为保证数据传输的可靠性，对系统的可靠性提出了很高的要求。特别是随着所承载的业务的增多，和数字化办公的逐步深入开展，一旦设备故障、网络中断，将会使整个网络陷于瘫痪，引起严重的后果。因此在网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性由两个大部分组成，即承载网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成；承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性，下面对项目承载网络的可靠性设计进行说明。31设备级可靠冗余性设计311冗余电源提供冗余电源负载分担及备份供电，保障系统具有可靠的能量源。312散热系统网络设备的散热系统使设备能够长时间稳定运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。313软件升级、热补丁支持软件在线升级，升级过程中业务不中断。支持软件热补丁，可以只针对需要修改的部分特性进行升级打补丁过程中主控板和接口板都不需要重启动，业务不中断。热补丁支持确认和删除功能。4网络安全规划网络安全解决方案实际上是一个系统工程，而不仅仅是网络安全产品及特性的简单罗列。为了合理的解决网络安全问题，必须充分分析网络逻辑组成，网络中不同部分的功能不同，所关注的安全问题也不同。网络的主要功能是设备互联及数据传送，所以网络安全关注的重点是网络自身安全及数据传送安全。所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看，可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击，如常见的监听、IP地址欺骗、路由协议攻击、ICMPSMURF攻击等；网络服务过程主要针对TCP/UDP以及居于其上的应用层协议进行，如常见的UDP/TCP欺骗、TCP流量劫持、TCPDOS、FTP反弹、DNS欺骗等等；软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序，甚至是基于WEB的软件系统发起攻击。从安全威胁的手法来看，蠕虫、拒绝服务、监听、木马、病毒等都是常见的攻击工具。41网络的高可靠性网络的高可靠性设计的最终目的实际上也是网络自身安全。在组网结构上，网络链路设计以备份方式为主，使得任意一条链路、或者任意一点设备出现故障时，可以通过另外一条连接提供服务，而不会导致服务暂停。充分保证了网络的可靠性。同时设备通过完善的QOS功能能够严格的控制网络流量，提高网络效率，通过VLAN划分来预防非授权用户接入。42网络设备安全技术网络系统网络的交换机，其安全性尤其重要，必须防范来自网上的恶意攻击。另外，有时用户无意识但有破坏性的访问也会导致设备的性能下降，甚至无法正常工作。因此，其安全特性有特别重要的地位。华为交换机可以提供的网络安全特性包括基于RADIUS（REMOTEAUTHENTICATIONDIALINUSERSERVICE）协议和HWTACACS协议的AAA（AUTHENTICATION,AUTHORIZATION,ACCOUNTING）服务路由器与RADIUS或HWTACACS服务器配合实施AAA服务，可以提供对接入用户的验证、授权和计费安全服务，防止非法访问。验证协议在PPP线路上支持CHAP（CHALLENGEHANDSHAKEAUTHENTICATIONPROTOCOL）和PAP（PASSWORDAUTHENTICATIONPROTOCOL）验证。包过滤（PACKETFILTER）通过访问控制列表实施，指定允许通过或禁止通过路由器的报文类型。应用层报文过滤ASPF（APPLICATIONSPECIFICPACKETFILTER）也称为状态防火墙，是一种高级通信过滤，它检查应用层协议信息并且监控基于连接的应用层协议状态，维护每一个连接的状态信息，并动态地决定数据包是否被允许通过防火墙或路由器。网络层安全（IPSECURITY，IPSEC）特定的通信方之间在IP层通过加密与数据源验证，来保证数据包在INTERNET上传输时的私有性、完整性和真实性。事件日志记录系统安全方面的事件，以跟踪非法侵入。地址转换NAT网关将公共网络和企业内部网隔离开来，在公共网络中隐藏企业内部设备的IP地址，阻止来自公共网络上的攻击。相邻路由器验证确保所交换路由信息的可靠性。在部署网络设备安全技术时，建议关闭不必要的服务，如FINGER、BOOTP、DHCP；远程登录采用SSH加密方式而不用TELNET明文方式；部署日志服务器记录网络设备上LOG；网络管理协议采用SNMPV3保护MIB数据在网络设备和管理工作站之间的安全传送。配置OSPF路由协议的MD5认证，防止恶意的假路由更新。配置远程登录或CONSOLE超时选项，增加访问的安全性通过ACCESSLIST来控制访问的来源5VLAN规划51VLAN定义VLAN（VIRTUALLOCALAREANETWORK）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域（多个VLAN）的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。由于VLAN间不能直接互访，因此提高了网络安全性。早期的局域网LAN技术是基于总线型结构，它存在以下主要问题若某时刻有多个节点同时试图发送消息，那么它们将产生冲突。从任意节点发出的消息都会被发送到其他节点，形成广播。所有主机共享一条传输通道，无法控制网络中的信息安全。这种网络构成了一个冲突域，网络中计算机数量越多，冲突越严重，网络效率越低。同时，该网络也是一个广播域，当网络中发送信息的计算机数量越多时，广播流量将会耗费大量带宽。因此，传统网络不仅面临冲突域和广播域两大难题，而且无法保障传输信息的安全。为了扩展传统LAN，以接入更多计算机，同时避免冲突的恶化，出现了网桥和二层交换机，它们能有效隔离冲突域。BRIDGE和交换机采用交换方式将来自入端口的信息转发到出端口上，克服了共享介质上的访问冲突问题，从而将冲突域缩小到端口级。采用交换机进行组网，通过二层快速交换解决了冲突域问题，但是广播域和信息安全问题依旧存在。为减少广播，需要在没有互访需求的主机之间进行隔离。路由器是基于三层IP地址信息来选择路由，其连接两个网段时可以有效抑制广播报文的转发，但成本较高。因此设想在物理局域网上构建多个逻辑局域网，即VLAN（VIRTUALLOCALAREANETWORK）。VLAN将一个物理的LAN在逻辑上划分成多个广播域（多个VLAN）。VLAN内的主机间可以直接通信，而VLAN间不能直接互通。这样，广播报文被限制在一个VLAN内，同时提高了网络安全性。例如，同一个写字楼的不同企业客户，若建立各自独立的LAN，企业的网络投资成本将很高；若共用写字楼已有的LAN，又会导致企业信息安全无法保证。采用VLAN，可以实现各企业客户共享LAN设施，同时保证各自的网络信息安全。IEEE8021Q标准对ETHERNET帧格式进行了修改，在源MAC地址字段和协议类型字段之间加入4字节的8021QTAG，即VLAN标签。511链路类型VLAN内的链路包括接入链路（ACCESSLINK）连接用户主机和交换机的链路为接入链路。干道链路（TRUNKLINK）连接交换机和交换机的链路称为干道链路。干道链路上通过的帧一般为带TAG的VLAN帧。HYBRID端口QINQ端口512端口类型在8021Q中定义VLAN帧后，设备的有些端口可以识别VLAN帧，有些端口则不能识别VLAN帧。根据对VLAN帧的识别情况，将端口分为4类1ACCESS端口ACCESS端口是用来连接用户主机的端口，它只能连接接入链路。有如下特点仅仅允许唯一的VLANID通过本端口，这个VLANID与端口的PVID（PORTDEFAULTVLANID，端口缺省的VLANID）相同。如果该端口收到的对端设备发送的帧是UNTAGGED（不带VLAN标签），交换机将强制加上该端口的PVID。ACCESS端口发往对端设备的以太网帧永远是不带标签的帧。2TRUNK端口TRUNK端口是用来和其他交换机连接的端口，它只能连接干道链路。有如下特点TRUNK端口允许多个VLAN的帧（带TAG标记）通过。如果从TRUNK端口发送的帧带TAG，且TAG与端口缺省的VLANID相同，则交换机会剥掉该帧中的TAG标记。因为每个端口的PVID取值是唯一的。仅在这种情况下，TRUNK端口发送的帧不带TAG。如果从TRUNK端口发送的帧带TAG，但是与端口缺省的VLANID不同，则交换机对该帧不做任何动作，直接发送带TAG的帧。3HYBRID端口HYBRID端口是交换机上既可以连接用户主机，又可以连接其他交换机的端口。HYBRID端口既可以连接接入链路又可以连接干道链路。HYBRID端口允许多个VLAN的帧通过，并可以在出端口方向将某些VLAN帧的TAG剥掉。4QINQ端口QINQ（8021QIN8021Q）端口是使用QINQ协议的端口。QINQ端口可以给帧加上双重TAG，即在原来TAG的基础上，给帧加上一个新的TAG，从而可以支持多达4094X4094个VLAN，满足网络对VLAN数量的需求。外层的标签通常被称作公网TAG，用来存放公网的VLANID。内层标签通常被称作私网TAG，用来存放私网的VLANID。513缺省VLAN在交换设备上，每个ACCESS、TRUNK、HYBRID、QINQ类型的端口可以配置一个缺省VLAN。端口类型不同，缺省VLAN的含义也有所不同。1ACCESS端口的缺省VLAN对于从ACCESS端口接收到的不带TAG的帧，交换设备会在帧中加上TAG标记，并将TAG中的VID字段的值设置为端口所属的缺省VLAN编号。对于从ACCESS端口发送的帧，如果TAG中的VID值为缺省VLAN编号，则交换设备会剥掉该帧中的TAG标记。因为ACCESS端口发往对端设备的以太网帧永远是不带标签的帧。2LTRUNK端口的缺省VLAN对于从TRUNK端口接收到的不带TAG的帧，交换设备会在帧中加上TAG标记，并将TAG中的VID字段的值设置为端口所属的缺省VLAN编号。对于从TRUNK端口发送的帧如果TAG中的VID值为缺省VLAN编号，则交换设备会剥掉该帧中的TAG标记。因为每个端口的PVID取值是唯一的。如果TAG中的VID值与端口缺省的VLAN不同，则交换设备对该帧不做任何改变，直接发送带TAG的帧。3LHYBRID端口的缺省VLAN对于从HYBRID端口接收到的不带TAG的帧，交换机会在帧中加上TAG标记，并将TAG中的VID字段的值设置为端口所属的缺省VLAN编号。4QINQ端口的缺省VLAN对于从QINQ端口接收的帧，无论该帧是否带TAG标记，交换设备都会在帧中加上TAG，并将TAG中的VID字段的值设置为端口所属的缺省VLAN编号。对于QINQ端口发送的帧，如果最外层TAG的VID字段的值等于缺省VLAN编号，交换设备会将帧中最外层的TAG剥掉。因为每个端口的PVID取值是唯一的。52VLAN通信方案521VLAN基本通信为了提高处理效率，交换机内部的数据帧一律都带有VLANTAG，以统一方式处理。当一个数据帧进入交换机端口时，如果没有带VLANTAG，且该端口上配置了PVID（PORTDEFAULTVLANID），那么，该数据帧就会被标记上端口的PVID。如果数据帧已经带有VLANTAG，那么，即使端口已经配置了PVID，交换机不会再给数据帧标记VLANTAG。由于端口类型不同，交换机对帧的处理过程也不同。下面根据不同的端口类型分别介绍。端口类型对接收不带TAG的报文处理对接收带TAG的报文处理发送帧处理过程ACCESS端口接收该报文，并打上缺省LAN的TAG。VLANID与缺省VLANID相同时，接收该报文。当VLANID与缺省VLANID不同时，丢弃该报文。先剥离帧的PVIDTAG，然后再发送。TRUNK端口打上缺省的VLANID，当缺省VLANID在允许通过的VLANID列表里时，接收该报文。打上缺省的VLANID，当缺省VLANID不在允许通过的VLANID列表里时，丢弃该报文。当VLANID在接口允许通过的VLANID列表里时，接收该报文。当VLANID不在接口允许通过的VLANID列表里时，丢弃该报文。当VLANID与缺省VLANID相同，且是该接口允许通过的VLANID时，去掉TAG，发送该报文。当VLANID与缺省VLANID不同，且是该接口允许通过的VLANID时，保持原有TAG，发送该报文。HYBRID端口同TRUNK端口处理方式同TRUNK端口处理方式当VLANID是该接口允许通过的VLANID时，发送该报文。可以通过命令设置发送时是否携带TAG。QINQ端口QINQ端口是使用QINQ协议的端口。QINQ端口可以给帧加上双重TAG，即在原来TAG的基础上，给帧加上一个新的TAG，从而可以支持多达4094X4094个VLAN，满足网络对VLAN数量的需求。522VLAN内跨越交换机通信有时属于同一个VLAN的用户主机被连接在不同的交换机上。当VLAN跨越交换机时，就需要交换机间的端口能够同时识别和发送跨越交换机的VLAN报文。这时，需要用到TRUNKLINK技术。TRUNKLINK有两个作用中继作用把VLAN报文透传到互联的交换机。干线作用一条TRUNKLINK上可以传输多个VLAN的报文。如下图所示，为了让SWITCHA和SWITCHB之间的链路既支持VLAN2内的用户通讯又支持VLAN3内的用户通讯，需要配置连接端口同时属于两个VLAN。即应配置SWITCHA的以太网端口GE0/0/2和SWITCHB的以太网端口GE0/0/1既属于VLAN2也属于VLAN3。当用户主机HOSTA发送数据给用户主机HOSTB时，数据帧的发送过程如下1数据帧首先到达SWITCHA的端口GE0/0/4。2端口GE0/0/4给数据帧加上TAG，TAG的VID字段填入该端口所属的VLAN的编号。3SWITCHA将帧发送到本交换机上除GE0/0/4外的所有属于VLAN2的端口。4端口GE0/0/2将帧转发到SWITCHB上。5SWITCHB收到帧后，会根据帧中的TAG识别出该帧属于VLAN2，于是将该帧发给本交换机上除GE0/0/1外所有属于VLAN2的端口。6端口GE0/0/3将数据帧发送给主机HOSTB。523VLAN间通信划分VLAN后，不同VLAN的计算机之间不能实现二层通信。如果在VLAN间通信，需要建立IP路由。本方案采用三层交换技术方案。三层交换技术是将路由技术与交换技术合二为一的技术，在交换机内部实现了路由，提高了网络的整体性能。三层交换机通过路由表传输第一个数据流后，会产生一个MAC地址与IP地址的映射表。当同样的数据流再次通过时，将根据此表直接从二层通过而不是通过三层，从而消除了进行路由选择而造成的网络延迟，提高了数据包转发效率。为了保证第一次数据流通过路由表正常转发，路由表中必须有正确的路由表项。因此必须在三层交换机上部署三层接口并部署路由协议，实现三层路由可达。VLANIF接口由此而产生。VLANIF接口是三层逻辑接口。53VLANAGGREGATIONVLANAGGREGATION技术（也称为SUPERVLAN，即VLAN聚合）就是在一个物理网络内，用多个VLAN隔离广播域，使不同的VLAN属于同一个子网。它引入了SUPERVLAN和SUBVLAN的概念。SUPERVLAN和通常意义上的VLAN不同，它只建立三层接口，与该子网对应，而且不包含物理端口。可以把它看作一个逻辑的三层概念若干SUBVLAN的集合。SUBVLAN只包含物理端口，用于隔离广播域的VLAN，不能建立三层VLAN接口。它与外部的三层交换是靠SUPERVLAN的三层接口来实现的。一个SUPERVLAN可以包含一个或多个保持着不同广播域的SUBVLAN。SUBVLAN不再占用一个独立的子网网段。在同一个SUPERVLAN中，无论主机属于哪一个SUBVLAN，它的IP地址都在SUPERVLAN对应的子网网段内。这样，SUBVLAN间共用同一个三层接口，既减少了一部分子网号、子网缺省网关地址和子网定向广播地址的消耗，又实现了不同广播域使用同一子网网段地址的目的。消除了子网差异，增加了编址的灵活性，减少了闲置地址浪费。54MUXVLANMUXVLAN（MULTIPLEXVLAN）提供了一种通过VLAN进行网络资源控制的机制。例如，在企业网络中，企业员工和企业客户可以访问企业的服务器。对于企业来说，希望企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。通过MUXVLAN提供的二层流量隔离的机制可以实现企业内部员工之间可以互相交流，而企业客户之间是隔离的。55VLANMAPPINGVLANMAPPING，也叫做VLANTRANSLATION，可以实现不同VLAN间的通信。VLANMAPPING发生在报文从入端口接收进来之后，从出端口转发出去之前。当在端口配置了VLANID映射后，端口在向外发送本地VLAN的帧时，将帧中的VLANTAG替换成外部VLAN的VLANTAG。在接收外部VLAN的帧时，将帧中的VLANTAG替换成本地VLAN的VLANTAG。这样不同VLAN间就实现了互相通信。借助VLANMAPPING实现两个VLAN内设备互相通信，这两个VLAN内设备的IP地址还必须处于同一网段。如果两个VLAN内设备的IP地址不在同一网段，那么设备间的互通需要依赖三层路由实现，这样就失去了VLANMAPPING的意义。56VLAN的划分中国安防办公楼网络中的华为交换机，支持以下VLAN划分方式，适用不同的场景和应用。基于端口划分VLAN根据交换设备的端口编号来划分VLAN，分给不同部门，或功能使用。基于MAC地址划分VLAN根据计算机网卡的MAC地址来划分VLAN。当终端用户的物理位置发生改变，不需要重新配置VLAN。提高了终端用户的安全性和接入的灵活性，便于移动办公。基于子网划分VLAN如果交换设备收到的是UNTAGGED（不带VLAN标签）帧，交换设备根据报文中的IP地址信息，确定添加的VLANID。基于协议划分VLAN根据接口接收到的报文所属的协议（族）类型及封装格式来给报文分配不同的VLANID。基于匹配策略划分VLAN基于MAC地址、IP地址、接口组合策略划分VLAN，是指在交换机上配置终端的MAC地址和IP地址，并于VLAN关联。只有符合条件的终端才能加入指定VLAN，安全性非常高。57用户移动办公为解决某部门（即某个VLAN）的员工移动办公需求，采用基于MAC地址的方式来划分VLAN根据该用户的计算机网卡的MAC地址来划分VLAN。当终端用户的物理位置发生改变，不需要重新配置VLAN，可以正常接入到网络中，提高了终端用户的安全性和接入的灵活性。58VLAN管理可以使用TELNET等工具登录到交换机上，使用命令行直接在设备上对VLAN进行查看和管理。或使用华为网络管理软件，通过图形画的界面对设备的VLAN进行管理。6主要网络产品介绍61华为ASG6320USG6300支持业界最多的6000应用识别，集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等多种安全功能于一身，为企业提供全面、简单、高效的下一代网络安全防护。技术规格型号USG6320USG6306USG6308USG6330USG6350USG6360USG6370USG6380固定接口8GE4GE2COMBO8GE4SFP接口扩展可扩展千兆电口/千兆光口/万兆光口，支持BYPASS插卡一体化防护集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、ANTIDDOS、URL过滤、反垃圾邮件等多种功能与一身，全局配置视图和一体化策略管理支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理应用识别与管控可识别6000应用，访问控制精度到应用功能，例如区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率入侵防御与WEB防护第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对WEB的攻击，包括SQL注入攻击和跨站脚本攻击防病毒病毒库每日更新，可迅速检出超过500万种病毒数据防泄漏对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如WORD、EXCEL、PPT、PDF等，并对敏感内容进行过滤带宽管理与QOS优化在识别业务应用的基础上，可管理每用户/IP使用的带宽,确保关键业务和关键用户的网络体验。管控方式包括限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等VPN加密支持丰富高可靠性的VPN特性，如IPSECVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等业务智能选路支持基于业务的策略路由，在多出口场景下可根据多种负载均衡算法（如带宽比例、链路健康状态等）进行智能选路62华为AR1200AR1200可应用于中小型办公室或中小型企业分支的多业务路由器，具有灵活的扩展性。采用多核CPU、无阻塞交换架构，融合WIFI、语音安全等多种业务。AR1200路由器，可以为客户提供ALLINONE的灵活组网能力。技术规格参数AR1220AR1220VAR1220WAR1220VWAR1220DAR1220EVAR1220EVWAR1220CAR1220F转发性能600KPPS600KPPS600KPPS600KPPS600KPPS15MPPS15MPPS15MPPS15MPPS固定端口2GE8FE2GE8FE2GE8FE2GE8FE2GE8FE2GECOMBO8GE2GECOMBO8GE4GE1GE光8GE2GE1COMBO8FESIC插槽222222222WSIC插槽（缺省/最大）0/10/10/10/10/10/10/10/10/1接口类型支持FE、GE、同异步串口、E1/CE1、3G/LTE等接口无线局域网（AC）支持AP无线控制器功能，可管理无线APVPN支持IPSECVPN、L2TPVPN、EVPN、DSVPN等多种VPN技术安全性支持MAC、8021X、PORTAL认证、广播抑制、ARP安全等，支持本地认证、AAA认证、RADIUS认证等支持包过滤防火墙，支持防火墙安全域支持国家密码局规定的加密算法QOS可提供完善的QOS机制支持PQ、CQ、WFQ、CBWFQ等调度技术，支持基于IPPRECEDENCE、8021P、DSCP、MPLSEXP流量分类，支持流量整形以及WRED拥塞避免机制支持等价负载分担（ECMP）和非等价负载分担（UCMP）支持智能应用控制（SAC）功能,可识别P2P流量以及IM流量，并对这些流量进行限速和控制可靠性所有业务板卡支持直接热插拔支持智能策略路由（SPR）技术，可根据多个链路的网络质量，动态选择最佳链路管理维护支持SYSLOG、SNMPV1/V2/V3、RMON、WEB网管、CWMP功能支持U盘快速部署功能63华为S5700S5700SI系列交换机基于新一代高性能硬件和华为公司统一的VRP（VERSATILEROUTINGPLATFORM）软件平台。具有智能ISTACK堆叠，灵活的以太组网，多样的安全控制，成熟的IPV6特性，轻松的运行维护等特点。广泛应用于企业园区接入和汇聚、数据中心接入等多种应用场景。技术规格项目S570024TPSIS570024TPPWRSIS570028CSIS570028CPWRSIS570026XSI12SACS570048TPSIACS570048TPPWRSIS570052CSIS570052CPWRSI交换容量256GBPS256GBPS256GBPS256GBPS包转发率S570024TPSI72MPPSS570024TPPWRSI72MPPSS570028CSI102MPPSS570028CPWRSI102MPPS66MPPS108MPPS138MPPS固定端口2410/100/1000BASET，4个复用的千兆SFPCOMBO1210/100/1000BASET，12100/1000BASEX，210GESFP4810/100/1000BASET，4个复用的千兆SFPCOMBO4810/100/1000BASET扩展插槽S5700TP系列提供一个堆叠扩展插槽S5700C系列产品提供两个扩展插槽，支持上行插卡和堆叠卡MAC地址表遵循IEEE8021D标准支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤MAC地址容量16K互通性VBST基于VLAN生成树协议（和PVST/PVST/RPVST互通）LNP链路类型协商协议（和DTP相似功能）VCMPVLAN集中管理协议（和VTP相似功能）接入安全支持DHCPRELAY、DHCPSERVER、DHCPSNOOPING、DHCPSECURITY、SAVI等管理和维支持智能堆叠护支持虚拟电缆检测VIRTUALCABLETEST支持RMON支持ESIGHT网管系统、支持WEB网管支持自动配置、EASYOPERATION方案支持SNMPV1/V2C/V3支持系统日志、分级告警VLAN特性支持4K个VLAN支持GUESTVLAN、VOICEVLAN支持SUPERVLAN支持MUXVLAN功能支持GVRP协议支持11和N1VLANMAPPING功能支持基于MAC/协议/IP子网/策略/端口的VLAN环网保护技术支持STP/RSTP/MSTP协议支持SMARTLINK树型拓朴和SMARTLINK多实例，提供主备链路的毫秒级保护支持RRPP环型拓扑和RRPP多实例支持ERPS以太环保护协议G8032支持智能以太保护SEP协议支持BPDU保护、根保护和环回保护支持BPDUTUNNEL可靠性支持以太网OAM8023AH和8021AG支持ITUY1731支持ENHANCEDTRUNK支持DLDP支持LACPIP路由静态路由支持三层动态路由64华为S2700S2700系列企业交换机（以下简称S2700）是华为公司推出的新一代绿色节能的以太智能百兆接入交换机。它基于新一代交换技术和华为VRP（VERSATILEROUTINGPLATFORM）软件平台，能提供简单便利的安装维护手段，同时融合了灵活的网络部署、完备的安全和QOS控制策略、绿色环保等先进技术，可满足以太网多业务承载和接入需要，助力企业用户搭建面向未来的IT网络。技术规格参数S2700SI/S2710SIS2700EIS2750EI/S2751EI/S2720EI交换容量32GBPS32GBPSS2750EI/S2751EI64GBPSS272028TPEIAC128GBPS其余S2720EI32GBPS包转发率S27009TPSIAC27MPPSS270018TPSIAC54MPPSS270026TPSIAC66MPPSS271052PSIAC177MPPSS27009TPEIAC27MPPSS27009TPEIDC27MPPSS27009TPPWREI27MPPSS270018TPEIAC54MPPSS270026TPEIAC66MPPSS270026TPEIDC66MPPSS270026TPPWREI66MPPSS270052PEIAC177MPPSS275020TPPWREIAC129MPPSS275028TPEIAC141MPPSS275028TPPWREIAC141MPPSS275128TPPWREIAC141MPPSS272028TPEIAC96MPPS端口描述下行8/16/24/48个百兆端口上行2个或4个千兆端口下行8/16/24/48个百兆端口上行2个或4个千兆端口下行24个百兆端口上行4个千兆端口MAC地址表支持8KMAC地址表；支持删除动态MAC地址；支持MAC地址老化时间可配置；支持黑洞MAC地址；支持8KMAC地址表；支持删除动态MAC地址；支持MAC地址老化时间可配置；支持基于端口的MAC地址学习使能控制；支持黑洞MAC地址；支持16KMAC地址表支持删除动态MAC地址支持MAC地址老化时间可配置支持基于端口的MAC地址学习使能控制支持端口MAC地址数限制支持黑洞MAC地址VLAN特性支持IEEE8021QVLAN，整机支持4K个VLAN支持基于端口的VLAN支持IEEE8021QVLAN，整机支持4K个VLAN支持基于端口的VLAN支持基于MAC地址的VLAN支持基于端口的QINQ支持IEEE8021QVLAN，整机支持4K个VLAN支持基于端口的VLAN支持基于MAC地址的VLAN支持基于端口的QINQQOS支持出端口限速；支持每端口4个或8个优先级队列；支持根据报文8021P映射到不同队列；支持SP、WRR、SPWRR算法支持端口限速；支持每端口4个或8个优先级队列；支持根据报文8021P映射到不同队列；支持SP、WRR、SPWRR算法支持端口限速；支持每端口8个优先级队列；支持根据报文8021P映射到不同队列；支持SP、WRR、SPWRR算法支持报文的标记优先级、报文重定向IPV6特性支持IPV6协议支持配置静态路由支持IPV6协议支持配置静态路由支持MLDV1/V2SNOOPING支持IPV6协议支持配置静态路由支持MLDV1/V2SNOOPING组播支持IGMPV1/V2/V3SNOOPING支持基于端口的组播流速率限制支持组播VLAN支持可控组播支持IGMPV1/V2/V3SNOOPING支持基于端口的组播流速率限制支持组播VLAN支持可控组播支持IGMPV1/V2/V3SNOOPING支持基于端口的组播流速率限制可靠性S2700SI支持STPIEEE8021D，RSTPIEEE8021W协议S2710SI支持STPIEEE8021D，RSTPIEEE8021W和MSTPIEEE8021S协议支持STPIEEE8021D，RSTPIEEE8021W和MSTPIEEE8021S协议，支持RRPP环型拓扑和RRPP多实例支持STPIEEE8021D，RSTPIEEE8021W和MSTPIEEE8021S协议，支持RRPP环型拓扑和RRPP多实例支持智能以太保护SEP协议，支持ERPS以太环保护协议（G8032）支持SMARTLINK树型拓朴和SMARTLINK多实例，提供主备链路的毫秒级保护防雷业务端口防雷能力6KV（POE类型设备的业务端口防雷能力1KV）业务端口防雷能力6KV（POE类型设备的业务端口防雷能力1KV）业务端口防雷能力6KV安全接入S2700SI风暴抑制支持AAA认证，支持RADIUS、HWTACACS等多种方式；支持端口隔离支持多播、广播及未知单播报文抑制支持CPU保护功能S2710SI风暴抑制、IPSOURCEGUARD支持AAA认证，支持RADIUS、HWTACACS等多种方式；支持端口隔离支持多播、广播及未知单播报文抑制支持CPU保护功能支持DHCPSNOOP