网络改造设计方案

网络改造设计方案

网络拓扑图

按照网络分层设计模型，广安爰众公司新规划的网络拓扑结构如

下：

如上图，整个网络架构设计可分为网络出口、核心层、接

入层、传输、安全与优化等五大部分，现分别详述如下：

2.1网络出口设计

外网出口连接上级的Internet,带宽为上下行对称的100M,

是各种攻击行为、病毒传播、安全事件引入的风险点，通过在

网络出口处部署高性能、高可靠、高安全的网关设备，可以很

好的缓解风险的传播，阻挡来自外部网络攻击行为的发生，是网

络出口的第一道安全屏障。

•下一代防火墙

在外网出口部署下一代防火墙，对进出网络的数据进行过

滤，保护网络安全，主要实现以下安全防护效果：

＞防止外网上的病毒、木马等恶意代码传播到内网中，保护内网

终端、服务器；

＞防御来自外网的漏洞扫描行为、入侵行为，使内网免受恶意攻

击；

＞控制用户访问网站行为，禁止访问非法网站、低俗网站、

钓鱼网站，降低用户遭受攻击的风险。

＞分为信任区域和非信任区域，分别实施不同的安全策

略，包括部署区域间隔离、受限访问、防止来自区域内

部的DOS攻击等安全措施；

＞通过加密隧道构建VPN（虚拟专用网络），方便分支机

构和外出人员远程接入内网办公，提高工作效率。

•流量控制器

流量控制器可基于DPI（深度包检测）识别各类上网应用,

由此，在防火墙和核心交换机之间，以网桥模式串接了一台流

控设备，来对进出防火墙的网络流量进行内容过滤和应用管

控，以有效阻断非业务流量和内容，保证内网安全，提高互联

网带宽利用率，限制高消耗带宽应用，保障网络通畅和网络的

稳定性，控制用户使用无关应用和危险应用，提高网络整体安

全性。

下一代防火墙到核心交换机之间使用链路聚合，来提供冗

余保障。

2.2核心层设计

核心层是网络的高速交换主干，对整个网络的连通起到至

关重要的作用。核心层应该具有如下几个特性：可靠性、高效

性、冗余性、容错性、可管理性、适应性、低延时性等。在核

心层中，应该采用高带宽的千兆以上交换机。因为核心层是网

络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份

是非常必要的，也可以使用负载均衡功能，来改善网络性能。

•核心交换机集群

主要部署两台S9706组成一个CSS(ClusterSwitch

System)集群，它是网络虚拟化的一种形态，可实现把多台

支持集群的交换机链接起来，从而组成一台更大的交换机，

CSS

的典型特征有:

＞交换机多虚一：CSS对外表现为一台逻辑交换机，控制

平面合一，统一管理。

＞转发平面合一：CSS内物理设备转发平面合一，转发信

息共享并实时同步。

＞跨设备链路聚合：跨CSS内物理设备的链路被聚合

成一个TRUNK端口，和下游设备实现互联。

CSS设备物理形态

css网络物理形态CSS网络逻辑形态

从上图中我们可以看到，CSS通过设备“多虚一”和跨设

备的链路聚合，不但简化了网络拓扑，而且极大地提高了网

络性能：

＞简化运维：整个CSS被作为一台交换机来管理，简化运

维、降低Opex。

＞可靠性高：CSS内一台设备故障，其他设备可以接管

css的控制和转发，避免单点故障。

＞无环网络：跨设备的链路聚合，在CSS和其他设备互

联时，天然避免了环路问题，无需部署MSTP等复杂的

破环协议。

＞链路均衡：跨设备的链路均衡，100%的网络链路和带

宽的利用率。

CSS在简化网络、提升转发性能的同时，没有带来任何网

络功能的损失。物理交换机具有的所有功能，都在CSS系统下

得到继承，且性能还得到了放大。CSS拥有的这些特质，使其

得到了越来越多的认可和接受，并成为了部署简单、高效网

络的首选方案。

2.3接入层设计

接入层通常指网络中直接面向用户连接或访问的部分。其

目的即利用光纤、双绞线、同轴电缆、无线接入等传输介质，

实现与用户连接，并进行业务和带宽的分配，允许终端用户连

接到网络，因此接入层交换机具有低成本和高端口密度特性。

而本次改造中有14个接入层点位将采用双线上行至

核心交换机(集群)，并利用OSPFECMP(Equal-Cost

MultiplePath)特性，在两条专线链路之间进行负载均衡，

既增加了网络的可靠性，又能提高了资源的利用率。

2.4网络规划设计

本次网络改造项目中，将摒弃原有传统的单线二层接入方

式，从而采用运营商双线运行动态路由协议(0SPF)进行三层传

输接入核心，去掉中间级联设备，形成扁平化的网络架构，这

种组网方式将各个分支机构分割成单独的局域网，一旦某个

分支机构出现网络及线路故障将不会影响其他节点的业务。

新的传输接入模式，必须在各个节点建立独立的三层网关

进行路由转发，这就要求对整个网络进行新的规划和设置，如

下表所示:

点位网段VL

/24101

互联/24102

代市气所301

岳池水务302

前峰水务303

领水水务304

华琴水务305

城北客户306

城南客户307

西充燃气308

领水燃气309

希望接收310

城东水所311

龙门收费312

武胜水务313

岳池申力314

・・・・・・・・・・・・・・.

以上网络规划和设计，将在大的城域网环境中形成多个广

播域，隔离广播风暴和二层流量泛洪，减少IP地址冲突，提

高整个网络的安全性和可维护性。具体的实施细节，将在项

目施工过程中与甲方相关人员进行深化设计。

2.5网络传输设计

从核心层到接入层的传输部分是各个运营商（电信、广电、

联通、移动）的MSTP专线，其中，大部分接入点专线带宽

为10M,而少数营业收费点专线带宽为2M,在带宽不够的情

况下，可以酌情考虑增加线路带宽。

MSTP(Multi-ServiceTransmissionPlatform)是指基于

SDH平台同时实现TDMATM、以太网等业务的接入、处理和传

送，提供统一网管的多业务节点。其构建统一的城域多业务传

送网，将传统话音、专线、视频、数据、VOIP、IPTV等业务

在接入层分类收敛,并统一送到骨干层对应的业务网络中集中

处理，从而实现了所有业务的统一接入、统一管理、统一

维护，提高了端到端电路的服务等级，这种专线技术具备以下

优点：

•泛用性

MSTP电路适用于任何高速率、信息量大、实时性强的业务

传送在通信领域的应用前景广阔，用户端接口为通用性的

RJ45接口。

•可选性

MSTP专线带宽灵活，在2M至IJ1000M的区间内，可以灵活选

择。

•安全性

安全性有保障，比纯粹基于互联网的VPN业务安全性更高。

•灵活性

组网灵活，可支持星形网络、环形网络、点到点连接、多

点汇聚等。

金机构专蛀企业、集团号线

2.6网络安全与优化设计

1、网络回溯分析系统

在网络核心CSS集群旁部署一台网络回溯分析系统，可以

实现了对网络通讯数据包级的高性能实时智能分析，因为网络

回溯分析系统是一款集成大容量存储的高性能数据包采集和

智能分析硬件平台，它可以提供对各种网络性能和应用性能

的关键参数实时分析，同时还能

够实时捕获并保存网络通讯流量,具备对长期的网络通讯数据

进行快速数据挖掘和回溯分析能力，实现对关键业务系统中

的网络异常、应用性能异常和网络行为异常的实时发现、以及

异常原因的智能回溯分析，提升了对关键业务系统的运行保

障能力和问题处置效率。

这样就在内网构建起了一套基于流量的实时监控和回溯

体系,不但可以精确了解网络整体性能、应用负载，还能准确

定位网络异常原因，及时排查网络故障和病毒、木马、攻击等

安全隐患，实现核心链路/核心区域/核心业务运行可视化，

彻底解决“黑盒运维”。

2、入侵检测系统

在核心CSS集群旁挂一台专业的IDS（入侵检测系统），该设

备可通过抓取来自核心交换机的数据流镜像，对网络、系统的

运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者

攻击结果，以保证网络系统资源的机密性、完整性和可用性。

3、负载均衡器

在业务服务器集群子网区域内的各个应用服务器前端部署

一套负载均衡器，在多个客户端发起业务访问请求时，由前端

的负载均衡器来对所有访问请求进行反向代理和统一调度，进

而将业务访问负载合理均衡地分担到每个后端服务器节点上,

以提高业务系统的整体服务效能。

ClientsServers

同时对服务器的操心系统、中间件、文件系统等软件参数配

置以及资源池分配进行优化，增强服务器的并发会话处理能

架构设计查询优化索引优化

•表・•存储过程

•覆番查询

内存性能最

•视图

处

I理

器亲优化

和

度

力，而数据库方面，则可通过建立索引，优化SQL语句和优化

内存、日志、表空间分配等方法来提高数据库I/O性能，加快

数据的存取速度。

在接入交换机处，可通过Qos策略将业务数据和监控数据

区分开，并给业务数据分配更高的优先级，这样在发生网络拥

塞时，监控数据就无法挤占正常业务带宽，由此保障了业务访

问的稳定性，不受接入视频监控的干扰。

2.6网络特点和优势

通过大力进行网络改造后，具有达到如下特点和优势:

•高性能和高可用的网络骨干

升级核心交换机替换老旧设备，可以大力提升核心节点的

转发速度，增加网络整体吞吐量，形成一个高性能、可扩展、

可靠的高效网络。

•层次架构清晰

对网络架构进行扁平化重构，不仅可以解决多级串连现象,

大大简化网络构成，还能减少中间节点的故障影响，迅速提高

流量转发的处理速度，形成一个架构清晰，层次分明、可维护

性强的网络基础平台。

•运维透明化和可视化

构建网络的实时监控和回溯体系，将全网流量可视化、透

明化，分析从流量趋势、应用分布到性能负载等多方位情况，

能让运维人员对整个网络运行情况了如指掌，及时发现处理

网络异常和攻击威胁，将危害消灭在萌芽阶段，并快速定位故

障原因和节点，缩短故障影响时间，提高故障处理效率，保证

网络的高效稳定运行。

.弹性的应用架构

部署负载均衡器,进一步优化应用架构，让每台服务器轮流

均衡地分摊客户端访问请求，来提高业务系统的整体服务效

能，消除单点故障，形成一个高并发、高可用、高扩展性的业

务群集系统，并结合业务系统性能优化，来提高服务器的并

发会话处理能力与数据库I/O性能，加快业务的响应速度。

•专门的流控体系

在外网出口处通过流量控制器来审计和管控互联网流量，屏

蔽非法应用，限制违规流量，保障带宽资源，提高员工上网的

合规性和网络使用效率，同时，在汇聚交换机处设置Qos策

略，让监控数据就无法挤占正常业务带宽，保障业务访问稳定

性，不受视频监控流媒体数据的干扰。

•强大的安全防护保障

通过部署下一代防火墙和入侵检测系统（IDS）的安全策

略，可进一步强化内网的信息安全保障，防止各种网络攻击

和入侵活动，提高网络安全系统的防护免疫力。

•高效整洁的数据中心

通过新机房搬迁，可以打造一个新的整洁舒适、专业美观

的数据中心环境，为机房设备高效的管理和安全运营提供有

力支撑和保证

2.9主要设备介绍

2.9.1下一代防火墙

专-：

USG6350

当前，智能手机、iPad等终端已经普及，移动应用程序、

Web2.0、社交网络应用于企业运营的方方面面。企业网络边

界变得模糊，信息安全问题日益复杂。通过IP和端口进行访

问控制的传统的防护墙无法应对层出不穷的应用层威胁。

华为USG6300系列下一代防火墙面向中小企业，通过对应

用、用户、内容、威胁、时间、位置6个维度的全面感知，提供

精细的业务访问控制和加速。入侵防御(IPS)和防病毒(AV)等

应用层深度防御与应用识别相结合，有效提高了威胁防御的效

率和准确性。具备全面的防护功能，一机多能，有效降低管理

成本。精细的带宽管理和QoS优化能力有效降低企业的带宽租

用费，确保关键业务体验。持续、简单、高效地提供下一代网

络安全。

•产品特性

精准的访问控制

传统防火墙主要通过端口和IP进行访问控制，下一代防

火墙的核心功能依然是访问控制。USG6000在控制的维度和

精细程度上都有很大的提高：

一体化防护：

从应用、用户、内容、时间、威胁、位置6个维度进行一体

化的管控和防御。内容层的防御与应用识别深度结合，一体化

处理。例如：识别出Oracle的流量，进而针对性地进行对应

的入侵防御，效率更高，误报更少。

基于应用：

运用多种技术手段，准确识别包括移动应用及Web应用内

的6000+应用协议及应用的不同功能，继而进行访问控制和业

务加速。例如:区分微信的语音和文字后采取不同的控制策略。

基于用户:

通过Radius、LDAP、AD等8种用户识别手段集成已有

用户认证系统简化管理。基于用户进行访问控制、QoS管理

和深度防护。

基于位置：

与全球位置信息结合，识别流量发起的位置信息；掌控应

用和攻击发起的位置，第一时间发现网络异常情况。根据位置

信息可以实现对不同区域访问流量的差异化控制。支持根据

IP自定义位置。

＞全面的防护范围

越来越多的信息资产连接到了互联网上，网络攻击和信息

窃取形成巨大的产业链，这对下一代防火墙的防护范围提出

了更高要求。USG6000具备全面的防护功能：

一机多能：

集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、

带宽管理、上网行为管理等功能于一身，简化部署，提高管

理效率。

入侵防护(IPS)：

超过3500+漏洞特征的攻击检测和防御。支持Web攻击识别

和防护，如跨站脚本攻击、

SQL注入攻击

等；防病毒

(AV)：

高性能病毒引擎，可防护500万种以上的病毒和木

马，病毒特征库每日更新；数据防泄漏：

对传输的文件和内容进行识别过滤。可识别120+种常见

文件类型，防止通过修改后缀名的病毒攻击。能对Word.

Excel.PPT、PDF、RAR等30+文件进行还原和内容过滤，

防止企业关键信息通过文件泄露。

SSL解密:

作为代理，可对SSL加密流量进行应用层安全防护，如

IPS、AV、数据防泄漏、URL过滤等。

Anti-DDoS：

可以识别和防范SYNflood、UDPflood等10+种DDoS

攻击，识别500多万种病毒。上网行为管理：

采用基于云的URL分类过滤，预定义的URL分类库已超

过8500万，阻止员工访问恶意网站带来的威胁。并可对员

工的发帖、FTP等上网行为进行控制。可对上网记录进行审

计。

安全互联：

丰富的VPN特性，确保企业总部和分支间高可靠安全互联。

支持IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等；

QoS管理：

基于应用灵活的管理流量带宽的上限和下限，可基于应

用进行策略路由和QoS标签着色。支持对URL分类的QoS

标签着色，例如：优先转发对财经类网站的访问。

负载均衡：

支持服务器间的负载均衡。对多出口场景，可按照链路质

量、链路带宽比例、链路权重基于应用进行负载均衡。

虚拟化：

支持多种安全业务的虚拟化，包括防火墙、入侵防御、反

病毒、VPN等。不同用户可在同一台物理设备上进行隔离的

个性化管理。

＞简单的安全管理

下一代防火墙的防护范围和控制精度比传统防火墙大大

增加，这对使用者的经验和技能提出了更高的要求。华为

USG6000利用SmartPolicy功能降低对使用者的要求，更好

的进行防护。SmartPolicy主要具备以下功能：

快速部署策略：

内置场景策略模板，不依赖使用者的经验也能快速地部署

常用防护策略。例如：如果希望使用网络存储，管理员仅需基

于“使用网盘”这个策略模板，就能建立一系列策略。在策略

中，对网盘类应用允许下载并进行病毒检测，但禁止文件上

传。

智能优化策略：

根据内置应用风险库和网络实际流量对已部署的安全策

略进行评估和优化，使其符合最小授权原则。在企业遗留大量

端口防护策略，需要转换为NGFW使用的应用防护策略时尤其

有用。

智能精简策略：

自动发现重复的和长期没有使用的策略，精简策略规模，

简化管理；

＞高效防护性能

UTM产品当开启应用层防护时性能下降明显，无法满足当

前应用层防护的性能要求。下一代防火墙要求在多重防护的

情况下仍保持高性能。

USG6000系列下一代防火墙采用全新架构的智能

感知引擎(IAE,IntelligenceAwarenessEngine),采

用了一次解析多业务并行处理的架构，确保多重防御下的

高性能体验。IAE使用了三大核心技术：

一体化描述语言：

应用识别、IPS、AV采用统一的描述语言，一次性处理，

一次性分析，减少重复的操作；一体化处理架构：

不同于UTM对各个安全功能串行处理,USG6000在完成统一

解析后，各安全业务检查是并行的，最后做统一处理。每个步

骤一次性做好，确保多安全业务开启情况下，对整体性能影响

最小；

软硬结合一体化:

对有规律、大批量、高运算能力要求的报文处理，例如：

报文加解密、特征匹配，采用专用多核平台由专用的协处理器

硬件处理。对小规模的运算，仍然用软件处理。软硬结合一体

化的处理方式让整体性能更高。

＞组网应用

S••

~s!

6B!

-1

l1

e!

8u1

-/

一

SSSSS

占—JJ

^S6川目目昆仙

＞企业内网边界防护

在企业内网部门和无线接入的汇聚网络部署下一代防火

墙。对PC用户通过防火墙策略基于用户信息进行访问控

制。

对移动用户采用基于用户+应用的策略控制，实现精细权限

管理，并记录日志。

对邮件、IM、文件传输等进行内容过滤和审计，监控社交

类应用，避免数据泄露。

＞互联网出口防护

在互联网出口部署下一代防火墙，在出口进行访问控

制，阻止一切非认证访问。启用入侵防御功能，提供

万兆级应用层威胁实时防护。

对邮件、IM文件传输等进行内容过滤和审计，监控社

交类应用，避免数据泄露。基于用户、应用、时间进行

QoS管理，优先保障核心用户和关键业务的服务质量。

通过URL分类和应用阻断进行上网行为管理。阻断挂马网

站和工作无关网站，根据角色监控员工可以访问的网站和可

以使用的网络应用。

>云数据中心边界防护

数据中心出口部署下一代防火墙，进行安全业务和系统资

源的虚拟化特性，可为每个虚拟环境提供超乎寻常的安全体

验。

万兆级入侵防御可有效阻断各类黑客攻击，并可根据不同

的虚拟环境需求，提供差异化的防御特性，保障数据安全。

通过Anti-DDoS特性，对拒绝服务攻击流量进行清洗，保障

数据中心对外业务。

>VPN远程互联

通过下一代防火墙的VPN接入，在互联网上构建一条可信、

可控、可管的安全传输隧道。在外人员和移动用户可通过

SSLVPN接入，提供Windows、IOS、Android、

Blackberry,

Symbian多种操作系统支持，提供泛终端的接入能力。

•产品规格

型号USG6350

固定接口4GE+2combo

扩展槽位2*WSIC

WSIC:

2X10GE(SFP+)+8XGE(RJ45)、8XGE(RJ45)、8XGE(SFP

接口模块类型4XGE(RJ45)BYPASS'

产品形态1U

尺寸(WXDXH)mm442X421X43.6

满配重量10kg

HDD选配300GB单硬盘，支持热插拔

冗余电源选配

电源AC100-240V

最大功率170W

温度：0〜45℃（不含硬盘）/5℃〜40℃（包含硬盘）

工作环境湿度：10%〜90%

非工作环境温度：-40℃〜70℃/湿度：5%-95%

2.9.2核心交换机

S9706

•产品

概述

S9700系列交换机是华为公司面向下一代园区网核心和

数据中心业务汇聚而专门设计开发的高端智能T比特核心路

由交换机。该产品采用先进的多层交换架构，提供持续的带宽

升级能力，支持40GE和100GE以太网标准。该产品基于华为公

司自主研发的通用路由平台

VRP开发，在提供高性能的L2/L3层交换服务基础上，进一步

融合了MPLSVPN＞硬件IPV6＞桌面云、视频会议、无线等多

种网络业务，提供不间断升级、不间断转发、硬件OAM/BFD、

环网保护等多种高可靠技术，在提高用户生产效率的同时，保

证了网络最大正常运行时间，从而降低了客户的总拥有成本

(TCO)o

通过部署内置华为首款以太网络处理器ENP的X1E单

板，S9700可以升级为敏捷交换机，客户可以享有敏捷交

换机带来的创新体验。

S9700系列提供S9703、S9706、S9712三种产品形态。

•产品特性

S9700升级为敏捷交换机，让网络更敏捷地为业务服务

S9700支持随板AC,业务单板同时兼具无线AC功能，

无需额外购买AC硬件；整机最大可管理2KAP,32K用户；

整机转发性能可达T-bit,解决外置AC处理性能瓶颈，助

力客户从容面向高速无线时代。

S9700支持统一用户管理功能，屏蔽了接入层设备能

力和接入方式的差异，支持

PPPoE/802.IX/MAC/Portal等多种认证方式，支持对用户进行

分组/分域/分时的管理,用户、业务可视可控，实现了从“以

设备管理为中心”至U“以用户管理为中心”的飞跃。

SVF2.0超级虚拟交换网，创新实现不仅将盒式交换机纵向

虚拟为框式交换机板卡，而且将AP纵向虚拟为框式交换机的

端口，使得原来“核心/汇聚+接入交换机+AP”的网络架构，虚

拟化为一台设备进行管理，提供业界最简化网络管理方案。

iPCA网络包守恒算法，改变了传统利用模拟流量做故障定

位的检测模型，可对任意业务流随时随地逐点检测网络质量,

无需额外开销；可在短时间内立刻检测业务闪断性故障，检测

直接精准到故障端口，实现从“粗放式运维”到“精准化运

维”的大转变。

S9700支持ServiceChain业务编排功能，ServiceChain

对网络增值业务处理能力（如下一代防火墙NGFW）进行虚拟

化，以便园区网络实体（如交换机、路由器、AC、AP、终端设

备）可以无差别的利用这些能力，而不受物理位置的约束，提

供一种更灵活部署园区增值业务的解决方案，减少客户设备

投资和维护成本。

＞创新的CSS集群技术

S9700支持CSS交换网集群和业务口集群，将多台设备虚拟

化为一台逻辑设备，在可靠性、交换效率、灵活性和易管理

性方面具有强大的优势。

可靠性:通过路由热备份技术,实现控制平面和数据平面所

有信息的冗余备份和无间断的三层转发，极大地增强了设备

的可靠性和性能，同时可以通过跨框链路聚合提高链路的利

用率，消除单点故障，避免了业务中断；

交换效率创新的CSS交换网集群技术,克服了业界普遍采用

的线卡集群跨框多次交换，交换效率低下的架构难题；

灵活性：普通业务端口可以复用为集群端口，使端口应用

更加灵活。通过光纤进行集群可大幅增加集群的距离，突破了

传统集群距离的限制；

易管理性：整个弹性架构共用一个IP管理，简化网络设

备管理，简化网络拓扑管理，提高运营效率，降低维护成本；

＞运营级高可靠性设计

S9700所有关键器件，如主控、电源、风扇等均采用冗余设

计，所有模块均支持热插拔，有效保证网络稳定运行。

S9700支持硬件级3.3ms高精度BFD快速链路检测

功能，能为静态路由

/RIP/OSPF/BGP/1SIS/VRRP/PIM/MPLS等协议提供稳定均匀

的毫秒级检测机制，大大提高了网络可靠性。

S9700支持快速自愈保护技术HSR(High-speedSelf

Recovery),基于华为ENP板卡，独家实现端到端IPMPLS

承载网50nls倒换保护，进一步提升网络可靠性。

S9700支持硬件级以太0AM,包括完善的802.3ah、802.lag

和ITU-Y.1731,能够对网络传输中的时延、抖动等参数进行

精确统计，实时监测网络运行情况，并在设备故障发生时快速

定位实现网络快速故障检测、定位与倒换。

S9700支持ISSU业务运行中软件升级，设备软件升级过程

中确保关键业务和服务不中断。支持优雅重启技术(Graceful

Restart),实现NSF无中断转发，有效保证全网高速可靠运

行。

＞强大的业务处理能力

多业务路由交换平台，满足企业接入、汇聚、核心业务承

载要求，支持无线、语音、视频和数据应用，为企业提供高可

用、低时延、全业务的一体化网络解决方案。

支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、

HVPLS、VLL,满足企业VPN等用户的接入需求。

完善的二、三层组播协议，支持PIMSM、PIMDM、PIM

SSM、MLD、IGMPSnooping,满

足多终端高清视频监控和视频会议接入需求。

软件平台提供多种路由协议满足企业建网要求，支持从中

小企业到超大型跨国公司级大规模路由，支持IPv6,能够为

企业网络提供平滑升级能力。

＞丰富的网络流量分析功能

S9700支持Netstream网络流量分析，支持V5/V8/V9多种

报文格式，支持聚合流量模板，实时流量采集、动态报表生

成、属性分析、流量异常告警等功能；支持向主、备分析服务

器同时发送日志，防止统计信息丢失。能够提供实时的网络监

控功能和全网范围内的流量模式，并提供预先故障检测、高效

故障排除和快速问题解决功能，提供安全监控等应用和分析，

帮助用户及时优化网络结构、调整资源部署。

＞完善的安全保护机制

S9700支持MACsec,提供逐跳设备的数据安全传输,适用于

政府、金融等对数据机密性要求较高的场合。

NGFW新一代防火墙业务处理板，在提供传统防火墙、身份

认证、Anti-DDoS等基础防御功能外，同时支持IPS、反垃圾

邮件、Web安全、应用控制等专业安全功能。

提供完善的NAC解决方案，支持MAC地址认证、Portal认证、

802.lx认证。HCPSnooping触发认证多种认证方式，有效应

对哑终端接入、移动设备接入和集中式IP地址分配等多种

接入方式的安全挑战，确保企业网络安全。

提供2级CPU保护机制，支持IKCPU硬件保护队列，可实

现数据和控制的分离处理，防止拒绝服务攻击、非法接入以及

控制平面过载等安全威胁，提供业界领先的一体化安全解决

万案。

>全面的IPv6解决方案

S9700软硬件平台均支持IPv6,取得工信部IPv6入网

认证和IPv6Ready第二阶段金色认证。

S9700全面支持IPv6静态路由、RIPng>0SPFv3、

IS-ISv6>BGP4+等IPV6单播路由协议,支持MLDvl/v2、

MLDSnooping>PIM-SM/DMv6>PIM-SSMv6等IPv6组播特

性，为用户提供完善的IPv4/IPv6解决方案。

S9700支持丰富的IPv4向IPv6过渡技术包括：IPv6

手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼

容自动配置隧道等隧道技术，保证IPv4网络向IPv6网络

的平滑过渡。

>创新节能打造绿色低碳网络

S9700采用主机前后及左后风道设计，提高整机散热效率,

采用芯片“变流”技术，实现按流量动态调整功率，降低整

机功耗11%。支持端口休眠，无流量不耗电。

独立风扇分区控制，进一步降低功耗和噪声污染，智能风

扇调速策略，采用小区间控温技术，有效降低转速，并延长风

扇使用寿命。

支持IEEE802.3az能效以太网标准，线卡收发器具备低功

率闲置模式，支持正常工作与低功率状态快速转换，低流量

低功耗网络的平滑过渡。

•设备参数

而日S9706

点摊去曷1S04ThnJA7

旬蛀分室

业务横得6

方痔的柘AC

方持AP熔入垓制、AP-碱管理禾flAP西F1

方拷射骊横柘管锂、缔一热•太麻兽和鱼

无线管理方持式/TAN其木业冬、CcS、右仝和田

方持有绣而绣纬一田户管理

主持PPPCF、8021X.MAC.PortalTA

方排其干潘黑、（用昭曰的

用户管理方持A幺日仆城仆府将初方请

支持直接对业务报文标记以获得丢包

iPCA质量感知方持一二星网纥网纥尔和港密尔壬句

方持滔1AS（接入方将木口）、AP虎杷为

古持2早AS

SVF2.0简化运维

方持匕笛一方1'矗浪合幺日网普锂

寺i^Arrcss、Trunk、Hvhridhvl

方持出小VTAN

方持VLAN方悔

方持C*C、僧舟刑击活OinO

XTTAN'T方痔具+MA「的初太VI.AN仆航

MAU出b七卜Hi能方持MA「阳七卜白加受习和玄伊

方持静太、天力木、里洞MAT美工而

方持源MA「加七小寸油

方持具手湍口和VT.AN的MAC曲七卜学

支持STP(IEEE802.1d),RSTP(IEEE

方持RPDIT保护、Rcct像护、环腐板■护

方持RPDITTur1noi

方持FRPS□大环保柏油、例（G

主持RIP、CSPF、ISIS、RCP笺IPv4

支持RIPng、OSPFv3>ISISv6>BGP4+

IP路由

右持ICMPvl/v?/v^、IGMPv1/v?/v3

方持PTMDM、PTMSM.PTMASM

方持MSDP、MRQP

方持田向桂注电并和生||

方持如施潘曷松制

寺持幺日据杳询器

方持组据协相十如1制计能

方持幺日挑rA「

方持幺日据AC1

方持MPT.S其木Hl能

主持MPLSCAM

主持MPTSTF

MPLS方持MPLSVPN/VTT./VP1S

主持T.AUP、方持睦语名F-Trunk

方持VRRP、RFDfnrVRRP

主持RFDfcrRGP/TS-TS/CSPF/静太跑

方持NSF、CRFer

主持TFFRR、TPFRR

主持IN太网CAMRO?4ah禾n80?1co防百

方持仲漆白俞俅护拈犬HSR

HT竟，吐方持TTTT-Y1731

主持DTDP

方持运行中软件升级TSSTI

支持基于Layer2协议头、Layer3协议、

Layer4协议、

CAR、Remark、Schedule笑

方持SP、戈/RR、DRR、SP+式7RR、

方持WRF.D、尾壬宝笺：Iffl突遮令和制

方持H-CCS

CK古持流曷数刑

^!r木壬CcnscL、Telnet^SSl-f笙幺攵湍口

方持SNMPvl/v2/v3笺网络管理协＜?”

主持:甬;寸FTP、TFTPTi^t卜弑、T^ir

3号寺RcctRCM幺乃禾Fl：兀程幺袈王"织

方持执补丁

方持田户榻拴FI击

R021vxAT?F_Pertaii/AiTF

方持MACS”

方持NAU

方持RADTTS禾flHWTACACS田白咨金

余金行公邮像护去梧柯田门市法信入

支持防范DoS攻击、TCP的SYN

方持1K「PIT诵酒弘万II像柏

古持ICMP立即nino■和tr^rernnte功台6

.__、，—•/“、4r~T~t方持RMCN

寺持Firewall功能

方持NAT功能

寺拮功台W

方持TPS”功能

方持侪郭均衡功能

方持王绣制黑

+曲伯Nl/绍台g-h*方持IPS入僖防御季缔

VBST基于VLAN生成雄＞议（和PVST/PVST+/RPVST互叫

互通性LNP链路类型协商协议（和DTP相似功能）

VCMPVLAN集中管理协议（和VTP相似功能）

绿色节能支持802.3az能效以太网

机箱尺寸mm（高*宽*深）441.7*442*489

机箱重量（空配）29kg

DC:-40V--72V

工作电压

AC：90V〜290V

整机供电能力4400W

2.9.3接入交换机

S5700-28C-EI

•产品概述

S5700-EI增强型千兆以太网交换机系列(以下简称

S5700-EI),是华为公司自主研发的千兆以太网交换机，提供

灵活的全千兆接入以及万兆上行端口。该系列交换机基于新

一代高性能硬件和华为公司统一的VRP(VersatileRouting

Platform)软件平台，具有智能

iStack堆叠，杰出的网流分析，灵活的以太组网，完善的VPN

隧道，多样的安全控制，成熟的IPv6特性，轻松的运行维护，

更多的端口组合等特点。广泛应用于企业园区接入、汇聚，

数据中心千兆接入等多种应用场景。

•产品特性和优势

＞更多的端口组合

S5700-EI支持多种上行扩展插卡，提供高密度的

GE/10GE上行接口。其中S5710-EI系列具有4个固定

10GESFP+端口，通过上行扩展插卡可实现64XGE+

4X10GE,48XGE+8

X10GE,或56XGE+6X10GE等不同端口组合，充分满足不

同用户对带宽升级的实际需求，保护用户投资。

完善的VPN隧道

S5700-EI支持Multi-VPN-InstanceCE(MCE)功能。

S5700-EI支持下接不同的VPN用户，通过路由多实例，实

现了不同用户的隔离；上行通过共用的物理接口连接到PE

设备，减少单个VPN用户对网络部署的投资。

S5710-EI支持MPLSL3VPN、MPLSL2VPN(VPWS\VPLS)、

MPLS-TE.MPLSQoS等功能,可

作为高质量企业专线接入设备，是业界为数不多的高性价比盒

式MPLS交换机。

＞灵活的以太组网

S5700-EI不仅支持传统的STP/RSTP/MSTP生成树协议，还

支持华为自主创新的SEP智能以太保护技术和业界最新的

以太环网标准ERPS。SEP是一种专用于以太链路层的环网协

议，适用于半环、整环、级连环等各种组网，其协议简单可

靠、维护方便，并提供50ms的快速业务倒换。ERPS是ITU-T

发布的G.8032标准，该标准基于传统的以太网MAC和网桥功

能，实现以太环网的毫秒级快速保护倒换。

S5700-EI支持SmartLink和VRRP功能。S5700-EI通过多条

链路接入到多台汇聚交换机上，SmartLink/VRRP实现了上

行链路的备份，极大地提升了接入侧设备的可靠性。

S5700-EI支持多种连接故障快速检测功能。

S5700-EI支持完善的以太OAM

(IEEE802.3ah/802.lag/ITUY.1731)和BFD功能。

＞多样的安全控制

S5700-EI支持MAC地址认证和802.lx认证，实现用户

策略(VLAN、QoS、ACL)的动态下发。支持基于端口粒度的dotIX、

MAC认证和混合认证;支持基于VLANIF接口粒度的Portal认

证。

S5700-EI支持完善的DoS类防攻击、用户类防攻击。其

中，DoS类防攻击主要针对交换机本身的攻击，包括SYN

Flood、Land、Smurf＞ICMPFlood；用户类防攻击涉及DHCP

服务器仿冒攻击、IP/MAC欺骗、DHCPrequestflood,改

变DHCPCHADDR值等等。

S5700-EI通过建立和维护DHCPSnooping绑定表，对不

符合绑定表项的非法报文直接丢弃。利用DHCPSnooping的

信任端口特性，S5700-EI还可以保证DHCP服务器的合法

性。S5700-EI支持ARP表项严格学习功能，可以防止因

ARP欺骗攻击将交换机ARP表项占

满，导致正常用户无法上网。

＞杰出的网流分析

S5710-EI支持NetStream网络流量分析功能。作为网络

流量输出器，S5710-EI根据用户配置，实时采集指定的数

据流量，通过标准的V5/V8/V9报文格式，将数据上送给网

络流

量收集器，这些数据被进一步处理，可以实现动态报表生成、

属性分析、流量异常告警等功能，帮助用户及时优化网络结

构、调整资源部署。

S5700-EI支持sFlow功能。S5700-EI按照标准定义的方

式，对转发的流量按需采样，并实时地将采样流量上送到收

集器，用于生成统计信息图表，为企业用户的日常维护提供了

极大的方便。

>轻松的运行维护

S5700-EI支持华为EasyOperation简易运维方案，提供新

入网设备Zero-Touch安装、故障设备更换免配置、USB开

局、设备批量配置、批量远程升级等功能，便于安装、升

级、业务发放和其他管理维护工作，大大降低了运维成本。

S5700-EI支持SNMPVl/V2c/V3>CLI

（命令行）、Web网管、SSHv2.0等多样化的管理和维护方

式；支持RM0N、多日志主机、端口流量统计和网络质量分

析，便于网络优化和改造。

EasyDeploy：Commander交换机收集下挂Client的拓

扑信息，并基于拓扑保存Client对应的启动信息；支持

Client免配置更换。支持对Client批量下发配置和脚

本，并支持对配置下发结果进行查询。

Commander交换机支持收集并显示整网能耗信息。

S5700-EI支持GVRP,实现VLAN的动态分发、注册和

属性传播，减少手工配置量，保证配置正确性。S5700-EI

还支持MUXVLAN功能，MUXVLAN分为主VLAN和从VLAN,从

VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从

VLAN之间可以相互通信；互通型从

VLAN内的端口之间互相通信；隔离型从VLAN内的端口之间不

能互相通信。

＞智能iStack堆叠

S5700-EI智能iStack堆叠，将多台支持堆叠特性的交换机

组合在一起，从逻辑上组合成一台虚拟交换机。iStack堆叠

系统通过多台成员设备之间冗余备份，提高了设备级的可靠

性；通过跨设备的链路聚合功能，提高了链路级的可靠性。

iStack提供了强大的网络扩展能力，通过增加成员设备，可

以轻松地扩展堆叠系统的端口数、带宽和处理能力。iStack

简化了配置和管理，堆叠形成后，多台物理设备虚拟成为一台

设备，用户可以通过任何一台成员设备登录堆叠系统，对堆叠

系统所有成员设备进行统一配置和管理。

＞成熟的IPv6特性

S5700-EI基于成熟稳定的VRP平台，支持IPv4/IPv6

双协议栈、IPv6路由协议

(RIPng/0SPFv3/BGP4+/IS-ISv6)、IPv6overIPv4隧道(手

工隧道/6to4隧道/ISATAP隧

道)。S5700-EI既可以部署在纯IPv4或IPv6网络，也

可以部署在IPv4与IPv6共存的网络，充分满足网络从

IPv4向IPv6过渡的需求。

•产品规格

工而日SS700-98C-FT

IWI^1~124X10/100/1000Rq?p-T

方广国插洒S57。。「狙征两个扩国插槽A早II方持卜

遒循TFFF«0?1d标准

方持3?I<MA。阳七卜去曷

方持MAC曲七卜白新生习和老伊

古持静太、孙太、里洞MAC走工而

N/A厂」」LLL=t^方洋源MA「-曲七卜:寸浦

主持4K个VTAN

寺持CuztVT.AN、Vci”VTAN

主持avRP-bfi^,</

方持MUXVLANTh台U

古蚌其干MA「/W、；"/IP不网/普感/滤

主持1・1天flNMVI.ANManninb功台U

古持RRPP林开【J柘扑和RRPP先立碗

支持SmartLink树型拓朴和SmartLink

志持智能［J太保护SFP协、起

古持FRPS口大坏俱护协、；"(GROD)

节"持RFDFnrOSPF/TS-TS/VRRP/PTM

支持STP&EEE802.Id),RSTP(IEEE

802.1w)和MSTP(IEEE

BT隼柱方持RPDU保护、相模护和环向保护

SR71C_RT古持卜圳皓枇•

主持MPTST3VPN

方持MPTST2VPN6VPWS/VPIS

主持MPTS-TF

主持MPTSOnS

TP蜴■出静太喀山、RTPv1/TRTPtib、CSPF、

、、、路由

I给S-畋ISv6>BGPBGP4+ECMP

才专ND（N「icrhhcrDis「cvFrv）

主持PMTU

4^IPv6Pino*、IPv6Tr^rertIPv6

古方丰Atc4、ISATAP、7\'hS?S*tiinnel

支持基于源IPv6地址、目的IPv6地

支持MLDvl/v2snooping（Multicast

主持TCMPv1/v2/v4Snccnincr天门，山;市

方性VLAN肉幺日据蛀岩和绢据含VLAN

主排棚缁湍n的幺日据侪裁A柏

方持HT松幺日热

寺持其十湍口崎绢耀济曷统计

主持IGMPv1/v?./v3、PTM-SM、

如挑古持MSDP

士"才生*h湍I~［入片后1、M~!h1口1-#彳丁-曲)玄sE包

^^拮:方仔V由空向

方持其干湍门的流曷西筲方持双深

第湍rr方持s个队列

主持WRR、DRR、SP、XX7RR+SP、

方洋XX/RFD火K710-FI右持)

寺持招十的«n?in^rmscp带牛邮串新

支持L2(Layer2)〜L4(Layer4)包过

滤功能，提供基于源MAC地址、目

主持其干际列眼油和谧口数弦计能

田户小绣管理和门今保护

寺持附【卜DC。、ARP的古曲能、TCMP

古拷IP、MAC.滤口、VT.AN的幺日合

方排端门隔南、湍门右仝、Stir^rMAC

壬人i，回古持MFF

支持黑洞MAC地址

支持MAC地址学习数目限制

支持IEEE802.1x认证，支持单端口最大用户数限制

支持AAA认证，支持Radius、HWTACACS>NAC等多

种方式

支持SSHV2.0

支持HTTPS

支持CPU保护功能

支持黑名单和白名单

支持智能堆叠iStack

支持虚拟电缆检测（VirtualCableTest）

支持SNMPvl/v2c/v3

支持RMON

管理和维护支持网管系统、支持WEB网管特性

支持系统日志、分级告警

支持