網(wǎng)絡(luò)改造升級方案優(yōu)秀文檔

(可以直接使用，可編輯優(yōu)秀版資料，歡迎下載）

錄絡(luò)改造總

網(wǎng)絡(luò)改造方案建議書錄絡(luò)改造總

目

一．網(wǎng)絡(luò)狀態(tài)分析…………。

二．網(wǎng)絡(luò)建設(shè)目標(biāo)………….。

三．網(wǎng)絡(luò)改造總體設(shè)計(jì)……。.

四．網(wǎng)結(jié)……………。.。。..。..。。。..。。。...。.

公司約有70臺用戶電腦，服務(wù)器數(shù)量目前為兩臺。現(xiàn)有一條4MADSL線路，負(fù)責(zé)設(shè)備、品質(zhì)部用于外聯(lián)公網(wǎng).一條4MADSL線路，負(fù)責(zé)采購部用于外聯(lián)沒有專門的機(jī)房或地方存放網(wǎng)絡(luò)設(shè)備及服務(wù)器，設(shè)備無法統(tǒng)一集中管理。網(wǎng)路出現(xiàn)故障不能第一時間通知電腦使用人員，需缺少維護(hù)和管理，公司內(nèi)部線路連接混亂、標(biāo)識缺失，一旦出現(xiàn)故障時難以快速解決問題。盡量保留現(xiàn)有網(wǎng)絡(luò)中的設(shè)備，在確保公司正常業(yè)務(wù)使用的前提下減少公司投資。各計(jì)算機(jī)等終端設(shè)備之間良好的連通性是需要滿足的基本條件，網(wǎng)絡(luò)環(huán)境就是提供需要通信的計(jì)許多現(xiàn)有網(wǎng)絡(luò)在初始建設(shè)時不僅要考慮到如何實(shí)現(xiàn)數(shù)據(jù)傳輸，還要充分考慮網(wǎng)絡(luò)的冗余與可靠，網(wǎng)絡(luò)建設(shè)為未來的發(fā)展提供良好的擴(kuò)展接口是非常理智的選擇。隨著公司規(guī)模的擴(kuò)大、業(yè)務(wù)的增檢查設(shè)備安裝場地是否符合電氣和環(huán)境標(biāo)準(zhǔn)；輸入電壓允許范圍：100V~240VAC50/60Hz或–40V～—60VDC；工作溫度：0C～40C；儲存溫度：-30C~60C；相對濕度：5～95公司約有70臺用戶電腦，服務(wù)器數(shù)量目前為兩臺。現(xiàn)有一條4MADSL線路，負(fù)責(zé)設(shè)備、品質(zhì)部用于外聯(lián)公網(wǎng).一條4MADSL線路，負(fù)責(zé)采購部用于外聯(lián)沒有專門的機(jī)房或地方存放網(wǎng)絡(luò)設(shè)備及服務(wù)器，設(shè)備無法統(tǒng)一集中管理。網(wǎng)路出現(xiàn)故障不能第一時間通知電腦使用人員，需缺少維護(hù)和管理，公司內(nèi)部線路連接混亂、標(biāo)識缺失，一旦出現(xiàn)故障時難以快速解決問題。盡量保留現(xiàn)有網(wǎng)絡(luò)中的設(shè)備，在確保公司正常業(yè)務(wù)使用的前提下減少公司投資。各計(jì)算機(jī)等終端設(shè)備之間良好的連通性是需要滿足的基本條件，網(wǎng)絡(luò)環(huán)境就是提供需要通信的計(jì)許多現(xiàn)有網(wǎng)絡(luò)在初始建設(shè)時不僅要考慮到如何實(shí)現(xiàn)數(shù)據(jù)傳輸，還要充分考慮網(wǎng)絡(luò)的冗余與可靠，網(wǎng)絡(luò)建設(shè)為未來的發(fā)展提供良好的擴(kuò)展接口是非常理智的選擇。隨著公司規(guī)模的擴(kuò)大、業(yè)務(wù)的增檢查設(shè)備安裝場地是否符合電氣和環(huán)境標(biāo)準(zhǔn)；輸入電壓允許范圍：100V~240VAC50/60Hz或–40V～—60VDC；工作溫度：0C～40C；儲存溫度：-30C~60C；相對濕度：5～95％無凝結(jié)；配線架內(nèi)外網(wǎng)段及接口標(biāo)識清晰，線路整理順暢；將服務(wù)器、交換機(jī)等設(shè)備合理放置到機(jī)柜上，便利操作;聯(lián)系

我公司大致網(wǎng)絡(luò)狀況如下：

?

?公網(wǎng)，另外一條4MADSL線路，負(fù)責(zé)技術(shù)部和其它有權(quán)限上網(wǎng)的部門用于外聯(lián)公網(wǎng)。外線負(fù)載極不平衡,利用率很低。

?

?

?

二、網(wǎng)絡(luò)建設(shè)目標(biāo)

?

?算機(jī)設(shè)備之間互通的環(huán)境，以實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用。

?否則一旦運(yùn)行過程網(wǎng)絡(luò)發(fā)生故障，系統(tǒng)又不能很快恢復(fù)工作，所帶來的后果便是企業(yè)的經(jīng)濟(jì)損失。

?長，網(wǎng)絡(luò)的擴(kuò)展和升級是不可避免的問題。

三、網(wǎng)絡(luò)改造總體設(shè)計(jì)1.機(jī)房建設(shè)

?

?

?

?

?

?

?

?UPS等設(shè)備安裝到位，進(jìn)行斷電測試.2。網(wǎng)絡(luò)布線及網(wǎng)絡(luò)設(shè)備規(guī)范

線路整理順暢；網(wǎng)線標(biāo)識清晰；綜合布線成端清晰；交換機(jī)設(shè)備的放置位置與UPS的安裝合理。為節(jié)約改造成本，盡量保留現(xiàn)有網(wǎng)絡(luò)設(shè)備與布線，在現(xiàn)的基礎(chǔ)上進(jìn)行優(yōu)化改造.三條線路整理順暢；網(wǎng)線標(biāo)識清晰；綜合布線成端清晰；交換機(jī)設(shè)備的放置位置與UPS的安裝合理。為節(jié)約改造成本，盡量保留現(xiàn)有網(wǎng)絡(luò)設(shè)備與布線，在現(xiàn)的基礎(chǔ)上進(jìn)行優(yōu)化改造.三條4MADSL外線搬遷到機(jī)房，需要購買多功能路由器WQR—945+進(jìn)行統(tǒng)一集中管理.

?

?

?

3。網(wǎng)絡(luò)改造后建議拓?fù)鋱D

4。網(wǎng)絡(luò)改造總結(jié)

?

?

為了大家訪問共享文件方便，需購買一塊2T硬盤合一硬盤盒服務(wù)器跟網(wǎng)絡(luò)設(shè)備統(tǒng)一搬遷到機(jī)房，進(jìn)行統(tǒng)一集中管理。為加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全，是否考慮購買硬件防火墻，形成一個完整的網(wǎng)絡(luò)架構(gòu)。為加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全，是否考慮購買網(wǎng)絡(luò)版殺毒軟件。日期：為了大家訪問共享文件方便，需購買一塊2T硬盤合一硬盤盒服務(wù)器跟網(wǎng)絡(luò)設(shè)備統(tǒng)一搬遷到機(jī)房，進(jìn)行統(tǒng)一集中管理。為加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全，是否考慮購買硬件防火墻，形成一個完整的網(wǎng)絡(luò)架構(gòu)。為加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全，是否考慮購買網(wǎng)絡(luò)版殺毒軟件。日期：審核人：____________日期：______________

?

?

?

制檔人：宋星茂

網(wǎng)絡(luò)升級改造方案

一、當(dāng)前網(wǎng)絡(luò)現(xiàn)狀

＠廣州

臺式機(jī)（含服務(wù)器）約50臺（暫時使用的有約20多臺）,筆記本使用的約20臺，約20臺接入100M光纖（PPPOE），暫時夠用有些設(shè)備和線路較舊,特別無線網(wǎng)絡(luò)用的是普通家用無線AP，性能有限，無線接入超10臺或流量大時，無線AP處理不過來會出現(xiàn)緩慢，延遲等狀況；隨著現(xiàn)在越來越多移動辦公,無線接入需求越發(fā)強(qiáng)烈,目前的設(shè)備已經(jīng)不能滿足需求，需要升級網(wǎng)絡(luò)管理方面(如上網(wǎng)行為，流量控制等)還有欠缺，需要加強(qiáng)管理網(wǎng)絡(luò)安全方面，沒有啟用防火墻、ARP攻擊、DOS攻擊等公司兩邊沒有建立安全的專用互聯(lián)通道，公司內(nèi)部的CRM、OA等不能在分部訪問

@番禺臺式機(jī)約70臺(暫時使用的有約20多臺），筆記本使用的約20臺,約20臺,大部分臺式機(jī)裝了無線網(wǎng)卡,無線需求大增，一般無線AP能處理接入15臺左右，過多或流量大就會變慢，過載,不穩(wěn)定，連不上等,需要多臺無線AP分流，需要升級網(wǎng)絡(luò)設(shè)備接入100M光纖（PPPOE）,日常辦公暫時夠用目前用的是TP（普通牌子）無線路由器做出口路由，又做無線接入功能，性能一般,距離遠(yuǎn)時速度下降,有時出現(xiàn)不穩(wěn)定，容易出現(xiàn)故障，特別無線故障頻現(xiàn),網(wǎng)絡(luò)很卡，需要更換一個性能更高的路由器

需要設(shè)置限制上網(wǎng)行為，流量控制等

二、網(wǎng)絡(luò)建設(shè)目標(biāo)

大體上都是對無線網(wǎng)絡(luò)的升級，在現(xiàn)有設(shè)備和布線基礎(chǔ)下更換或

增加無線設(shè)備

盡量保留現(xiàn)有網(wǎng)絡(luò)中的設(shè)備,減少投資建設(shè)良好的網(wǎng)絡(luò)環(huán)境,實(shí)現(xiàn)高效的網(wǎng)絡(luò)應(yīng)用充分考慮網(wǎng)絡(luò)的冗余和可靠，減少故障，提高工作效率可擴(kuò)展性，以應(yīng)對未來發(fā)展增加的網(wǎng)絡(luò)需求

三、解決方法

考慮經(jīng)濟(jì)與穩(wěn)定性，通過大量對比，選出合適公司的產(chǎn)品如下：全千兆網(wǎng)口以適應(yīng)未來千兆接入H3CMSG360-4/10：5口多業(yè)務(wù)千兆網(wǎng)關(guān)帶AC無線控制（二三層漫游,-4支持4個AP,-10支持10個AP,帶機(jī)量100臺），支持云端遠(yuǎn)程管理+APP端管理，防火墻，VPN,網(wǎng)管功能等H3CWAP712C-FIT:無線AP，動態(tài)調(diào)節(jié)功率，支持胖、瘦模式，智能帶寬分配，智能負(fù)載均衡（用戶與流量）,支持中文SSID，掛壁，吸頂，放裝，支持POE供電（省了電源布線），一個千兆上行口H3CS1208-PWR：8口全千兆POE交換機(jī),可省去AP的電源布線問題

根據(jù)以上設(shè)備組建AC+AP無線方案,目前該方案市場應(yīng)用成熟，統(tǒng)一管理無線接入，無縫漫游，多個AP分布于多個節(jié)點(diǎn)上（每個節(jié)點(diǎn)覆蓋周圍一部分，多個節(jié)點(diǎn)實(shí)現(xiàn)整個辦公室覆

型號（臺）MSG360-4—1500源,支持4個APWAP7MS12C0MSG360-4價（元)1750內(nèi)1000格數(shù)1500型號（臺）MSG360-4—1500源,支持4個APWAP7MS12C0MSG360-4價（元)1750內(nèi)1000格數(shù)15002/31量單項(xiàng)總價備注4口POE,AP省去電1500/2251000單臺最佳接入20臺支持4AP，AP需接載過大,網(wǎng)絡(luò)變慢變卡等問題，千兆口,滿足多用戶大流量需求

番禺安裝5臺AP可應(yīng)付100臺設(shè)備需求,廣州2到3臺AP可應(yīng)付50臺左右網(wǎng)絡(luò)管理方面，做一些上網(wǎng)行為管理和流量控制,如每臺終端限制上行速率10-15Mb（基于目前上行總帶寬25Mb左右)，防止一些P2P軟件上傳安全方面，路由器啟用防火墻,預(yù)防ARP、DOS攻擊，安裝殺毒、安全軟件等搭建VPN,兩地實(shí)現(xiàn)訪問企業(yè)內(nèi)部應(yīng)用軟件服務(wù)設(shè)備的工作環(huán)境要良好,特別不能過熱而引起不穩(wěn)定，增加散熱措施，線路布局規(guī)范合理等

四、費(fèi)用預(yù)算

廣州需購設(shè)備價格列表（參考JD.COM）

品牌

（元）

H3C

PWR

H3C

—FIT

H3C

電源

型號（臺）MSG360-10WAP712C—750內(nèi)S1208-PWR價（元）28605650格數(shù)137501量型號（臺）MSG360-10WAP712C—750內(nèi)S1208-PWR價（元）28605650格數(shù)137501量單項(xiàng)總價備注2860單臺最佳接入20臺650支持10AP8口千兆POE交換機(jī)

A：POE供電：1臺AC（MSG360—4-PWR）+2臺AP時：

3000元

B:POE供電：1臺AC（MSG360—4—PWR）+3臺AP時:

3750元

C：AP接電源不需POE：1臺AC(MSG360—4)+2臺AP時：

2500元

D：AP接電源不需POE:1臺AC（MSG360-4）+3臺AP時：

3250元

番禺需購設(shè)備價格列表（參考JD.COM)

品牌

(元）

H3C

H3C

FIT

H3C

合計(jì):

A：AP接電源不需POE供電：1臺AC(MSG360—10）+5臺AP

時：

6610元

B：POE供電：1臺AC（MSG360—10)+1臺POE（S1208-PWR）

+5臺AP時：7260元

五、需要時間

施工（包括布線,設(shè)備安裝，調(diào)試）：約2天

測試（穩(wěn)定性,網(wǎng)絡(luò)速率，一些參數(shù)調(diào)試):約1到2天

六、需要協(xié)助/支持

工具：布線的工具，夾線鉗、測線儀、小電鉆、

物資:超5類網(wǎng)線、水晶頭、電源線+插座（如果AP要另接電源）、

固定網(wǎng)線（釘子、線盒/PVC管+線卡）、捆線繩,

以上物資根據(jù)實(shí)際情況選取一定數(shù)量

調(diào)試：筆記本電腦、臺式電腦、

更改后的路由器賬號密碼、無線AP命名設(shè)定

網(wǎng)絡(luò)改造設(shè)計(jì)方案

建議報(bào)告

2021年2月

前言

公司網(wǎng)絡(luò)現(xiàn)狀及需求分析前言1.1

當(dāng)今社會已步入信息社會，信息成為社會經(jīng)濟(jì)發(fā)展的核心因素，信息化已成為

當(dāng)今世界潮流。自從1993年美國政府公布實(shí)施“信息高速公路計(jì)劃”之后，在世

界引起巨大反響，許多發(fā)達(dá)國家和一些發(fā)展中國家也相繼提出了本國或本地區(qū)的

信息基礎(chǔ)設(shè)施計(jì)劃。可以說，信息化程度已成為衡量一個國家現(xiàn)代化水平和綜合

國力強(qiáng)弱的重要標(biāo)志。

信息技術(shù)作為新技術(shù)革命的核心.不僅具有高增值性、成為最具經(jīng)濟(jì)活力的經(jīng)

濟(jì)增長點(diǎn),而且具有高滲透性,以極強(qiáng)的親和力和擴(kuò)散速度向經(jīng)濟(jì)各部門滲透，使

其結(jié)構(gòu)和效益發(fā)生根本性改變。信息化已成為當(dāng)代經(jīng)濟(jì)發(fā)展與社會進(jìn)步的巨大推

力，尤其是作為國民經(jīng)濟(jì)信息化基礎(chǔ)的企業(yè)信息化，當(dāng)前更顯得尤為重要，信息化

建設(shè)已成為企業(yè)發(fā)展的必由之路.信息化是企業(yè)加快實(shí)現(xiàn)現(xiàn)代化的必然選擇!

隨著信息時代的到來，企業(yè)的生存和競爭環(huán)境發(fā)生了根本性的變化。對于大型企

業(yè)而言，信息化無論是作為戰(zhàn)略手段還是戰(zhàn)術(shù)手段，在企業(yè)經(jīng)營中發(fā)揮著舉足輕

重的作用.

隨著近年來企業(yè)信息化建設(shè)的深入，企業(yè)的運(yùn)作越來越融入計(jì)算機(jī)網(wǎng)絡(luò)，企業(yè)

的溝通、應(yīng)用、財(cái)務(wù)、決策、會議等等數(shù)據(jù)流都在企業(yè)網(wǎng)絡(luò)上傳輸，構(gòu)建一個“安全

可靠、性能卓越、管理方便”的“高品質(zhì)”大型企業(yè)網(wǎng)絡(luò)已經(jīng)成為企業(yè)信息化建設(shè)

司的網(wǎng)絡(luò)現(xiàn)狀如下圖

成功的關(guān)鍵基石.司的網(wǎng)絡(luò)現(xiàn)狀如下圖

1.2背景分析

公司的網(wǎng)絡(luò)改造是公司為了適應(yīng)新形勢下企業(yè)激烈競爭，提高公司核心競爭

力的一項(xiàng)具有戰(zhàn)略意義的舉措。成功的網(wǎng)絡(luò)改造將使我公司能夠在較長時間里在

高科技領(lǐng)域競爭中繼續(xù)保持科技優(yōu)勢，從而推動各項(xiàng)業(yè)務(wù)水平的快速發(fā)展.

公

：

伴隨著公司的飛速發(fā)展，越來越多的分支機(jī)構(gòu)單位和業(yè)務(wù)系統(tǒng)接入到網(wǎng)絡(luò)當(dāng)

中，造成公司網(wǎng)絡(luò)規(guī)模不斷擴(kuò)張，網(wǎng)絡(luò)結(jié)構(gòu)也越來越復(fù)雜,而陳舊的網(wǎng)絡(luò)核心設(shè)備

和龐大的網(wǎng)絡(luò)架構(gòu)，也帶來網(wǎng)絡(luò)骨干性能不足、IT運(yùn)維監(jiān)控滯后、服務(wù)器負(fù)載效

率低下、網(wǎng)絡(luò)安全隱患眾多等一系列問題，目前，我公司網(wǎng)絡(luò)系統(tǒng)面臨問題的詳

細(xì)情況如下：

1、核心設(shè)備陳舊

網(wǎng)絡(luò)核心S6506廠家已停產(chǎn)，無法進(jìn)行板塊擴(kuò)容，也沒有備品備件，且

S6506已在線運(yùn)行多年，一旦出問題網(wǎng)絡(luò)癱瘓后無法第一時間迅速恢復(fù)。

2、網(wǎng)絡(luò)架構(gòu)復(fù)雜網(wǎng)關(guān)錯位

整體網(wǎng)絡(luò)架構(gòu)沒有進(jìn)行統(tǒng)一規(guī)劃,多級串聯(lián)現(xiàn)象嚴(yán)重，造成網(wǎng)絡(luò)結(jié)構(gòu)龐雜，增

加了很多網(wǎng)絡(luò)傳輸延遲和故障節(jié)點(diǎn)。

3、運(yùn)維監(jiān)控滯后

無法對網(wǎng)絡(luò)流量進(jìn)行實(shí)時監(jiān)控和回溯審計(jì)，造成盲目的“黑盒運(yùn)維”---無法

及時準(zhǔn)確地掌握網(wǎng)絡(luò)整體性能、應(yīng)用負(fù)載，并進(jìn)行針對性的調(diào)優(yōu),更無法準(zhǔn)確定位

網(wǎng)絡(luò)異常原因,排查網(wǎng)絡(luò)故障和隱患.

4、網(wǎng)絡(luò)性能存在瓶頸

現(xiàn)有網(wǎng)絡(luò)骨干是百兆網(wǎng)絡(luò)局域網(wǎng),但網(wǎng)絡(luò)吞吐約200G/天，流量峰值是

200M/S,平均流量為80M/S,其中流量吞吐最大的是192.168。8.19的營銷系統(tǒng)

服務(wù)器，而一旦局域網(wǎng)中出現(xiàn)P2P、大文件傳輸、視頻流媒體等數(shù)據(jù)流，正常業(yè)

務(wù)的帶寬就會受到擠占和消耗，造成網(wǎng)絡(luò)訪問擁塞，出現(xiàn)延時大,響應(yīng)慢等現(xiàn)象。

5、業(yè)務(wù)系統(tǒng)性能待調(diào)優(yōu)

首先是OA系統(tǒng)因?yàn)樵L問量少,所以響應(yīng)快,延時小，性能最好。

其次是營銷系統(tǒng)，在業(yè)務(wù)高峰時期會有上萬（約13000左右)的并發(fā)會話，

此時服務(wù)器性能和網(wǎng)絡(luò)非常吃緊。

接著是財(cái)務(wù)NC系統(tǒng)，因?yàn)榉?wù)器掛在云端,本地是通過VPN去進(jìn)行訪問,導(dǎo)致

服務(wù)器訪問性能在廣域網(wǎng)傳輸過程耗損較多，所以,交互質(zhì)量差的應(yīng)用會話比例很

高，系統(tǒng)整體性能較差。

最后是集抄系統(tǒng)，該業(yè)務(wù)系統(tǒng)雖然整體流量不大，但總體性能表現(xiàn)并不高，這

跟兩臺服務(wù)器沒有很效地對訪問請求進(jìn)行負(fù)載分擔(dān)有一定關(guān)系.

6、網(wǎng)絡(luò)存在安全隱患

網(wǎng)絡(luò)中存在一些病毒木馬、端口掃描、未知異常廣播等網(wǎng)絡(luò)安全隱患，干擾正

常網(wǎng)絡(luò)通信，影響數(shù)據(jù)傳輸，并可能造成數(shù)據(jù)泄密、業(yè)務(wù)系統(tǒng)無法運(yùn)轉(zhuǎn)等風(fēng)險。

7、監(jiān)控流媒體擠占正常業(yè)務(wù)帶寬

用戶需求骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性需求網(wǎng)絡(luò)安全性需求

平時的業(yè)務(wù)數(shù)據(jù)和監(jiān)控流媒體數(shù)據(jù)混在網(wǎng)絡(luò)中一起傳輸而未被分開，會導(dǎo)致視用戶需求骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性需求網(wǎng)絡(luò)安全性需求

頻監(jiān)控?cái)?shù)據(jù)擠占正常業(yè)務(wù)帶寬通道進(jìn)行傳輸，極大造成了局域網(wǎng)帶寬資源浪費(fèi)，

影響業(yè)務(wù)傳輸質(zhì)量.

8、運(yùn)維組織有待完善

分支機(jī)構(gòu)接入較多，私接串接導(dǎo)致故障現(xiàn)象屢見不鮮,使運(yùn)維人員應(yīng)接不暇，

需從制度上和技術(shù)上,加強(qiáng)運(yùn)維組織管理。

1.3

網(wǎng)絡(luò)骨干包括網(wǎng)絡(luò)的核心層和匯聚層，是整個網(wǎng)絡(luò)流量的承受者和匯聚者，因

此對骨干網(wǎng)絡(luò)高性能、高穩(wěn)定性提出了高的要求。為了提高設(shè)備的可靠性和穩(wěn)定

性，可采用骨干網(wǎng)絡(luò)冗余設(shè)計(jì)，能夠?qū)崿F(xiàn)設(shè)備的熱備和失效自動切換。

網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)級、系統(tǒng)級、用戶級、應(yīng)用級的安全，在網(wǎng)絡(luò)級，需要利用

防火墻的過濾與隔離功能,將信任網(wǎng)絡(luò)（內(nèi)網(wǎng)）和不信任的網(wǎng)絡(luò)（外網(wǎng))隔離開來，

并利用防火墻或出口路由器的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)功能，對外屏蔽內(nèi)網(wǎng)的網(wǎng)絡(luò)拓

撲信息，從而避免整網(wǎng)受到外來攻擊。

在網(wǎng)絡(luò)內(nèi)部,根據(jù)用戶的網(wǎng)絡(luò)使用需求，將用戶和網(wǎng)絡(luò)資源劃分為不同的

VLAN，VLAN間根據(jù)需求啟用相應(yīng)的ACL(訪問控制列表），從而保證用戶的物

理隔離和資源訪問的安全.

網(wǎng)絡(luò)監(jiān)控管理分析需求

在不影響關(guān)鍵業(yè)務(wù)運(yùn)行的前提下，收集分析網(wǎng)絡(luò)流量中的應(yīng)用信息，網(wǎng)絡(luò)管理

員可以定義、監(jiān)控并評估網(wǎng)絡(luò)連接性、安全性和性能策略，并進(jìn)行網(wǎng)絡(luò)的規(guī)劃和

設(shè)計(jì),并且能夠使管理員了解計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的整體狀況,可監(jiān)控到來自網(wǎng)絡(luò)內(nèi)部

和外部的“黑客”入侵，能夠?yàn)椴槊魅肭值膩碓刺峁┯行У囊罁?jù),直觀的顯示各種

網(wǎng)絡(luò)流量運(yùn)行狀態(tài),并對各種異常情況

設(shè)計(jì)思路建設(shè)目標(biāo)盡量保留現(xiàn)有網(wǎng)絡(luò)中的設(shè)備，在確保公司正常業(yè)務(wù)使用的前提下減少公司不僅要考慮到如何實(shí)現(xiàn)數(shù)據(jù)的高性能傳輸，還要充分考慮網(wǎng)絡(luò)的冗余與可改造后的網(wǎng)絡(luò)系統(tǒng)具有良好的可維護(hù)性與可管理性，讓管理員通過智能化

實(shí)現(xiàn)自動報(bào)警。設(shè)計(jì)思路建設(shè)目標(biāo)盡量保留現(xiàn)有網(wǎng)絡(luò)中的設(shè)備，在確保公司正常業(yè)務(wù)使用的前提下減少公司不僅要考慮到如何實(shí)現(xiàn)數(shù)據(jù)的高性能傳輸，還要充分考慮網(wǎng)絡(luò)的冗余與可改造后的網(wǎng)絡(luò)系統(tǒng)具有良好的可維護(hù)性與可管理性，讓管理員通過智能化

1.4

公司網(wǎng)絡(luò)設(shè)計(jì)為三層結(jié)構(gòu),系統(tǒng)的設(shè)計(jì)應(yīng)充分利用當(dāng)今先進(jìn)的網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)

網(wǎng)絡(luò)數(shù)據(jù)高速有序流通，建立高效率的信息網(wǎng)絡(luò)平臺，形成各個部門內(nèi)外相聯(lián)、

上下貫通的信息傳輸網(wǎng)絡(luò)。

改造后的我公司網(wǎng)絡(luò)平臺應(yīng)是一個技術(shù)先進(jìn)、性能可靠、功能齊全的系統(tǒng)，系

統(tǒng)內(nèi)的各級用戶在各自權(quán)限內(nèi)，在各自站點(diǎn)上進(jìn)行各自的工作，滿足網(wǎng)上語音、

視頻、監(jiān)控等多種應(yīng)用，為集團(tuán)業(yè)務(wù)發(fā)展提供一個穩(wěn)定的信息高速公路基礎(chǔ)平臺。

1.5

?投資。

?

靠,讓系統(tǒng)在運(yùn)行過程發(fā)生故障時，能迅速恢復(fù)正常工作，避免造成企業(yè)

經(jīng)濟(jì)損失。

?

分析工具后對網(wǎng)絡(luò)運(yùn)行狀況了如指掌，高效率地處置運(yùn)行故障與安全威

設(shè)計(jì)原則

脅.設(shè)計(jì)原則

為公司網(wǎng)絡(luò)基礎(chǔ)設(shè)施的未來發(fā)展提供良好的擴(kuò)展接口，讓網(wǎng)絡(luò)核心骨干隨

著公司規(guī)模的擴(kuò)大、業(yè)務(wù)的增長,便于進(jìn)行系統(tǒng)的擴(kuò)展和升級。

1.6

在整個網(wǎng)絡(luò)改造設(shè)計(jì)過程中,力求盡量利用現(xiàn)有資源的基礎(chǔ)上進(jìn)行改造，嚴(yán)格

遵循網(wǎng)絡(luò)規(guī)范和設(shè)計(jì)原則，為用戶打造一個穩(wěn)定，安全的網(wǎng)絡(luò)環(huán)境，具體考慮到

以下的各個方面。

1、穩(wěn)定性

網(wǎng)絡(luò)的可靠性和穩(wěn)定性非常重要,決定著網(wǎng)絡(luò)能夠正常運(yùn)行，在網(wǎng)絡(luò)設(shè)計(jì)時，

不論是網(wǎng)絡(luò)節(jié)點(diǎn)、通信線路、應(yīng)用設(shè)備還是網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)，都應(yīng)該對可靠性和

穩(wěn)定性加以考慮，盡量減少故障節(jié)點(diǎn)，確保系統(tǒng)運(yùn)行可靠。

2、先進(jìn)性

設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)的目的主要就是應(yīng)用。因此，在設(shè)計(jì)時應(yīng)當(dāng)以注重實(shí)用和成效為原則，緊

密結(jié)合具體應(yīng)用的實(shí)際需要。在技術(shù)上應(yīng)該采用先進(jìn)的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)產(chǎn)品,選擇技

術(shù)成熟和實(shí)用效果好、市場占有率高、通用性好的設(shè)備，適應(yīng)信息技術(shù)的迅速發(fā)展，

具有良好的技術(shù)先進(jìn)性。

3、安全性

對于內(nèi)部網(wǎng)絡(luò)以及外部訪問的安全必須高度重視,設(shè)計(jì)部署可靠的系統(tǒng)安全解

決方案，避免安全隱患,采取防攻擊、防篡改等技術(shù)措施，管理和技術(shù)并重，全方位

構(gòu)建整個網(wǎng)絡(luò)安全保障，保證數(shù)據(jù)和服務(wù)器的安全。

4、可管理性

考慮到網(wǎng)絡(luò)系統(tǒng)的后期管理和維護(hù),在方案設(shè)計(jì)中要充分考慮各個設(shè)備和系統(tǒng)

的可管理性，使系統(tǒng)建成后易于管理、易于維護(hù)、操作簡單、易學(xué)、易用，有效地提

高對網(wǎng)絡(luò)的管理，便于管理人員進(jìn)行配置和處理故障。

5、可擴(kuò)展性

著眼長遠(yuǎn)考慮，不但滿足當(dāng)前需要，并能滿足后期擴(kuò)展的需要，充分考慮今后

網(wǎng)絡(luò)的發(fā)展，預(yù)留升級和擴(kuò)充余量，能夠兼容不同廠家、不同類型的網(wǎng)絡(luò)產(chǎn)品及

應(yīng)用軟件，便于向更新技術(shù)的升級與銜接。

6、經(jīng)濟(jì)性

本次系統(tǒng)改造建設(shè)中,要充分考慮原有系統(tǒng)資源的有效利用，發(fā)揮原有設(shè)備資源

設(shè)計(jì)依據(jù)及標(biāo)準(zhǔn)《信息技術(shù)通用多八位編碼字符集（UCS）》(GB13000。1）《信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)》（G設(shè)計(jì)依據(jù)及標(biāo)準(zhǔn)《信息技術(shù)通用多八位編碼字符集（UCS）》(GB13000。1）《信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)》（GB15629.11-2003）《信息處理系統(tǒng)光纖分布式數(shù)據(jù)接口》（ISO《光纖分布式數(shù)據(jù)接口（FDDI）高速局域網(wǎng)標(biāo)準(zhǔn)》（ANSIX3T9。5)《通信光纜的一般要求》（GB/T7427—87）9314—1:1989)

及應(yīng)用軟件要加以保護(hù)并合理利用，節(jié)省一部分投資。另外,對于新增的設(shè)備，要

盡量選擇技術(shù)成熟可靠、性價比較高的設(shè)備，達(dá)到實(shí)用、經(jīng)濟(jì)和有效的效果。

1.7

本次網(wǎng)絡(luò)改造方案設(shè)計(jì)參考的標(biāo)準(zhǔn)和依據(jù)包括：

信息及網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)

《建筑和建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》(GB/T50311—2006）《建筑和建筑群綜合布線系統(tǒng)工程驗(yàn)收規(guī)范》（GB/T50312—2006)《信息技術(shù)用戶建筑群通用布纜》（ISO/IEC11801：2002）《信息技術(shù)用戶建筑群布纜的實(shí)施和運(yùn)行》(ISO/IEC《信息技術(shù)用戶建筑群布纜配置》（ISO/IEC14709—1：《信息技術(shù)用戶建筑群布纜的通路和空間》（ISO/IEC18010：2002)《民用建筑通訊通道和空間標(biāo)準(zhǔn)》（EIA《計(jì)算機(jī)軟件配置管理計(jì)劃規(guī)范》（GB/T12505-—1990）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分規(guī)范》（GB17859-1999）《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》(GB163-1997）60950:1999）》(GB4943—2001）《信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336.1-2001）《信息技術(shù)信息安全管理實(shí)施規(guī)則》（ISO17799—2000)《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求》（BMZ1—2000)《建筑和建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》(GB/T50311—2006）《建筑和建筑群綜合布線系統(tǒng)工程驗(yàn)收規(guī)范》（GB/T50312—2006)《信息技術(shù)用戶建筑群通用布纜》（ISO/IEC11801：2002）《信息技術(shù)用戶建筑群布纜的實(shí)施和運(yùn)行》(ISO/IEC《信息技術(shù)用戶建筑群布纜配置》（ISO/IEC14709—1：《信息技術(shù)用戶建筑群布纜的通路和空間》（ISO/IEC18010：2002)《民用建筑通訊通道和空間標(biāo)準(zhǔn)》（EIA《計(jì)算機(jī)軟件配置管理計(jì)劃規(guī)范》（GB/T12505-—1990）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分規(guī)范》（GB17859-1999）《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》(GB163-1997）60950:1999）》(GB4943—2001）《信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336.1-2001）《信息技術(shù)信息安全管理實(shí)施規(guī)則》（ISO17799—2000)《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求》（BMZ1—2000)《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防護(hù)要求》(BMB5—2000)《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測評指南》(BMZ《智能建筑設(shè)計(jì)標(biāo)準(zhǔn)》(GB/T50314—2006）《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用系列標(biāo)準(zhǔn)》（GB/T20299—2006）《建筑智能化系統(tǒng)設(shè)計(jì)技術(shù)規(guī)程》（DB/J01—615-2003）《公共建筑節(jié)能標(biāo)準(zhǔn)》（GB50189—2005）《民用建筑電氣設(shè)計(jì)規(guī)范》（JGJ/T）14763-1：1999）1997)

《光纖總規(guī)范》(GB/T15972.2—1998)

TIA569）信息安全設(shè)計(jì)標(biāo)準(zhǔn)

《信息技術(shù)設(shè)備的安全（ideIEC

3—2001)智能化系統(tǒng)設(shè)計(jì)規(guī)范

《電子計(jì)算機(jī)場地規(guī)通用規(guī)則》（GB/T2887-2000）《計(jì)算機(jī)場地安全要求》（GB9361-1988）《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》（GB50174-1993)

機(jī)房工程系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)《電子計(jì)算機(jī)場地規(guī)通用規(guī)則》（GB/T2887-2000）《計(jì)算機(jī)場地安全要求》（GB9361-1988）《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》（GB50174-1993)

《防靜電活動地板通用規(guī)范》(SJ/T10796-2001）《電信專業(yè)房屋設(shè)計(jì)規(guī)范》(YD5003—1994）《通信機(jī)房靜電防護(hù)通則》（YD/T754-1995）《高層民用建筑設(shè)計(jì)防火規(guī)范》（GB50045-1995)《火災(zāi)自動報(bào)警系統(tǒng)設(shè)計(jì)規(guī)范》（GB50116-1998）《建筑設(shè)計(jì)防火規(guī)范》(GBJ16-1987）《火災(zāi)報(bào)警控制器通用技術(shù)條件》（GB4717—2005）《點(diǎn)型感煙火災(zāi)探測器技術(shù)要求及試驗(yàn)方法》(GB4715—2005)《點(diǎn)型感溫火災(zāi)探測器技術(shù)要求及試驗(yàn)方法》(GB4716-2005）《線型光束感煙火災(zāi)探測器技術(shù)要求及試驗(yàn)方法》(GB《防靜電活動地板通用規(guī)范》(SJ/T10796-2001）《電信專業(yè)房屋設(shè)計(jì)規(guī)范》(YD5003—1994）《通信機(jī)房靜電防護(hù)通則》（YD/T754-1995）《高層民用建筑設(shè)計(jì)防火規(guī)范》（GB50045-1995)《火災(zāi)自動報(bào)警系統(tǒng)設(shè)計(jì)規(guī)范》（GB50116-1998）《建筑設(shè)計(jì)防火規(guī)范》(GBJ16-1987）《火災(zāi)報(bào)警控制器通用技術(shù)條件》（GB4717—2005）《點(diǎn)型感煙火災(zāi)探測器技術(shù)要求及試驗(yàn)方法》(GB4715—2005)《點(diǎn)型感溫火災(zāi)探測器技術(shù)要求及試驗(yàn)方法》(GB4716-2005）《線型光束感煙火災(zāi)探測器技術(shù)要求及試驗(yàn)方法》(GB14003-2005)《點(diǎn)型紅外火焰探測器性能要求及試驗(yàn)方法》(GB《安全防范工程技術(shù)規(guī)范》(GB50348-2004）《安全防范系統(tǒng)驗(yàn)收規(guī)則》(GA308-2001)《安全防范工程程序和要求》（GA/T75—1994）《安全防范工程費(fèi)用概預(yù)算定額編制方法》（GA/T78—1994）《出入口控制系統(tǒng)技術(shù)要求》(GA/T394—2002）《出入口控制系統(tǒng)工程設(shè)計(jì)規(guī)范》(GB50396—2007）《視頻安防監(jiān)控系統(tǒng)技術(shù)要求》(GA/T367—2001)《視頻安防監(jiān)控系統(tǒng)工程設(shè)計(jì)規(guī)范》(GB50395-2007）《安全防范報(bào)警系統(tǒng)設(shè)備安全要求和試驗(yàn)方法》（GB16796-1997）《報(bào)警系統(tǒng)電源裝置、測試方法和性能規(guī)范》（GB/T《建筑物防雷設(shè)計(jì)規(guī)范》（GB50057-2021）

火災(zāi)報(bào)警系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)

15631-1995)綜合安防系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)

15408-1994）防雷與接地系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)

《建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范》（GB50343—2021）《通信工程電源系統(tǒng)防雷技術(shù)規(guī)范》(YD《建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范》（GB50343—2021）《通信工程電源系統(tǒng)防雷技術(shù)規(guī)范》(YD5078—1998)《通訊局（站）低壓配電系統(tǒng)用點(diǎn)涌保護(hù)器》(YD/T1235-2002)《通訊局（站）接地設(shè)計(jì)暫行技術(shù)規(guī)范》(YDJ26—1989)

《計(jì)算機(jī)信息系統(tǒng)防雷保安器》(GA173-2002）《計(jì)算機(jī)信息系統(tǒng)雷電電磁脈沖安全防護(hù)規(guī)范》（GA267-2000)《智能建筑工程質(zhì)量驗(yàn)收規(guī)范》（GB50339—2003）《智能建筑工程檢測規(guī)程》（CECS182：2005）《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》（GB/T20299。2）《安全防范系統(tǒng)驗(yàn)收規(guī)則》（GA308—2001）《安全防范報(bào)價設(shè)備安全要求和實(shí)驗(yàn)方法》（GB16796-1997）《建筑與建筑群綜合布線系統(tǒng)工驗(yàn)收規(guī)范》（GB/T50312-2000）其他設(shè)計(jì)標(biāo)準(zhǔn)《信息技術(shù)互連國際標(biāo)準(zhǔn)》(ISO/IEC11801-95）《建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范》（GB—50222－95）《電氣裝置安裝工程施工及驗(yàn)收規(guī)范》（GBJ232-82)《民用建筑電氣設(shè)計(jì)規(guī)范》（JGJ16-2021）《供配電系統(tǒng)設(shè)計(jì)規(guī)范》(GB《低壓配電設(shè)計(jì)規(guī)范》（GB《計(jì)算機(jī)信息系統(tǒng)防雷保安器》(GA173-2002）《計(jì)算機(jī)信息系統(tǒng)雷電電磁脈沖安全防護(hù)規(guī)范》（GA267-2000)《智能建筑工程質(zhì)量驗(yàn)收規(guī)范》（GB50339—2003）《智能建筑工程檢測規(guī)程》（CECS182：2005）《建筑及居住區(qū)數(shù)字化技術(shù)應(yīng)用》（GB/T20299。2）《安全防范系統(tǒng)驗(yàn)收規(guī)則》（GA308—2001）《安全防范報(bào)價設(shè)備安全要求和實(shí)驗(yàn)方法》（GB16796-1997）《建筑與建筑群綜合布線系統(tǒng)工驗(yàn)收規(guī)范》（GB/T50312-2000）其他設(shè)計(jì)標(biāo)準(zhǔn)《信息技術(shù)互連國際標(biāo)準(zhǔn)》(ISO/IEC11801-95）《建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范》（GB—50222－95）《電氣裝置安裝工程施工及驗(yàn)收規(guī)范》（GBJ232-82)《民用建筑電氣設(shè)計(jì)規(guī)范》（JGJ16-2021）《供配電系統(tǒng)設(shè)計(jì)規(guī)范》(GB《低壓配電設(shè)計(jì)規(guī)范》（GB50054—2021）《工業(yè)與民用供電系統(tǒng)設(shè)計(jì)規(guī)范》（GBJ52-82）《低壓配電裝置及線路設(shè)計(jì)規(guī)范》(GBJ54—83）《通用用電設(shè)備配電設(shè)計(jì)規(guī)范》(GB50055—2021)《工業(yè)企業(yè)照明設(shè)計(jì)標(biāo)準(zhǔn)》(GB《采暖通風(fēng)與空氣調(diào)節(jié)設(shè)計(jì)規(guī)范》（GB50019—2003）《通風(fēng)與空調(diào)工程施工質(zhì)量驗(yàn)收規(guī)范》(GB50243—2002)《建筑裝飾裝修工程質(zhì)量驗(yàn)收規(guī)范》（GB50210—2001）用戶對網(wǎng)絡(luò)改造項(xiàng)目的其他要求50052-2021）50034-1992）

《建筑物的雷電防護(hù)》（IEC61024：1990—1998)工程及設(shè)備質(zhì)量驗(yàn)收

規(guī)范

2.網(wǎng)絡(luò)改造設(shè)計(jì)方案

網(wǎng)絡(luò)拓?fù)鋱D

按照網(wǎng)絡(luò)分層設(shè)計(jì)模型，廣安愛眾公司新規(guī)劃的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：

網(wǎng)絡(luò)出口設(shè)計(jì)下一代防火墻防止外網(wǎng)上的病毒、木馬等惡意代碼傳播到內(nèi)網(wǎng)中，保護(hù)內(nèi)網(wǎng)終端、服務(wù)器；防御來自外網(wǎng)的漏洞掃描行為、入侵行為,使內(nèi)網(wǎng)免受惡意攻擊；控制用戶訪問網(wǎng)站行為，禁止訪問非法網(wǎng)站、低俗網(wǎng)站、釣魚網(wǎng)站，降低用戶遭受攻

如上圖，整個網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)可分為網(wǎng)絡(luò)出口、核心層、接入層、傳輸、安全與優(yōu)化等五大網(wǎng)絡(luò)出口設(shè)計(jì)下一代防火墻防止外網(wǎng)上的病毒、木馬等惡意代碼傳播到內(nèi)網(wǎng)中，保護(hù)內(nèi)網(wǎng)終端、服務(wù)器；防御來自外網(wǎng)的漏洞掃描行為、入侵行為,使內(nèi)網(wǎng)免受惡意攻擊；控制用戶訪問網(wǎng)站行為，禁止訪問非法網(wǎng)站、低俗網(wǎng)站、釣魚網(wǎng)站，降低用戶遭受攻

部分，現(xiàn)分別詳述如下：

2.1

外網(wǎng)出口連接上級的Internet，帶寬為上下行對稱的100M，是各種攻擊行為、病毒傳播、安全

事件引入的風(fēng)險點(diǎn)，通過在網(wǎng)絡(luò)出口處部署高性能、高可靠、高安全的網(wǎng)關(guān)設(shè)備，可以很好的

緩解風(fēng)險的傳播，阻擋來自外部網(wǎng)絡(luò)攻擊行為的發(fā)生，是網(wǎng)絡(luò)出口的第一道安全屏障。

在外網(wǎng)出口部署下一代防火墻，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過濾，保護(hù)網(wǎng)絡(luò)安全，主要實(shí)現(xiàn)以

下安全防護(hù)效果：

?

?

?

擊的風(fēng)險。

分為信任區(qū)域和非信任區(qū)域，分別實(shí)施不同的安全策略，包括部署區(qū)域間隔離、受限通過加密隧道構(gòu)建VPN（虛擬專用網(wǎng)絡(luò))，方便分支機(jī)構(gòu)和外出人員遠(yuǎn)程接入內(nèi)網(wǎng)辦流量控制器核心層設(shè)計(jì)核心交換機(jī)集群

?分為信任區(qū)域和非信任區(qū)域，分別實(shí)施不同的安全策略，包括部署區(qū)域間隔離、受限通過加密隧道構(gòu)建VPN（虛擬專用網(wǎng)絡(luò))，方便分支機(jī)構(gòu)和外出人員遠(yuǎn)程接入內(nèi)網(wǎng)辦流量控制器核心層設(shè)計(jì)核心交換機(jī)集群

訪問、防止來自區(qū)域內(nèi)部的DOS攻擊等安全措施；

?

公，提高工作效率。

流量控制器可基于DPI（深度包檢測）識別各類上網(wǎng)應(yīng)用，由此，在防火墻和核心交換機(jī)

之間，以網(wǎng)橋模式串接了一臺流控設(shè)備，來對進(jìn)出防火墻的網(wǎng)絡(luò)流量進(jìn)行內(nèi)容過濾和應(yīng)用管控，

以有效阻斷非業(yè)務(wù)流量和內(nèi)容,保證內(nèi)網(wǎng)安全，提高互聯(lián)網(wǎng)帶寬利用率，限制高消耗帶寬應(yīng)用，

保障網(wǎng)絡(luò)通暢和網(wǎng)絡(luò)的穩(wěn)定性，控制用戶使用無關(guān)應(yīng)用和危險應(yīng)用，提高網(wǎng)絡(luò)整體安全性。

下一代防火墻到核心交換機(jī)之間使用鏈路聚合，來提供冗余保障。

2.2

核心層是網(wǎng)絡(luò)的高速交換主干，對整個網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。核心層應(yīng)該具有

如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應(yīng)性、低延時性等。在核心

層中，應(yīng)該采用高帶寬的千兆以上交換機(jī)。因?yàn)楹诵膶邮蔷W(wǎng)絡(luò)的樞紐中心，重要性突出。核心層

設(shè)備采用雙機(jī)冗余熱備份是非常必要的，也可以使用負(fù)載均衡功能，來改善網(wǎng)絡(luò)性能。

主要部署兩臺S9706組成一個CSS（ClusterSwitchSystem）集群，它是網(wǎng)絡(luò)虛擬化的一

種形態(tài)，可實(shí)現(xiàn)把多臺支持集群的交換機(jī)鏈接起來,從而組成一臺更大的交換機(jī),CSS

交換機(jī)多虛一:CSS對外表現(xiàn)為一臺邏輯交換機(jī)，控制平面合一，統(tǒng)一管理.轉(zhuǎn)發(fā)平面合一：CSS內(nèi)物理設(shè)備轉(zhuǎn)發(fā)平面合一，轉(zhuǎn)發(fā)信息共享并實(shí)時同步。跨設(shè)備鏈路聚合：跨CSS內(nèi)物理設(shè)備的鏈路被聚合成一交換機(jī)多虛一:CSS對外表現(xiàn)為一臺邏輯交換機(jī)，控制平面合一，統(tǒng)一管理.轉(zhuǎn)發(fā)平面合一：CSS內(nèi)物理設(shè)備轉(zhuǎn)發(fā)平面合一，轉(zhuǎn)發(fā)信息共享并實(shí)時同步。跨設(shè)備鏈路聚合：跨CSS內(nèi)物理設(shè)備的鏈路被聚合成一TRUNK端口，和下游簡化運(yùn)維:整個CSS被作為一臺交換機(jī)來管理，簡化運(yùn)維、降低Opex。可靠性高：CSS內(nèi)一臺設(shè)備故障,其他設(shè)備可以接CSS的控制和轉(zhuǎn)發(fā),避免單點(diǎn)無環(huán)網(wǎng)絡(luò)：跨設(shè)備的鏈路聚合,在CSS和其他設(shè)備互聯(lián)時，天然避免了環(huán)路問題，鏈路均衡：跨設(shè)備的鏈路均衡，100％的網(wǎng)絡(luò)鏈路和帶寬的利用率。接入層設(shè)計(jì)

?

?

?

設(shè)備實(shí)現(xiàn)互聯(lián)。

從上圖中我們可以看到，CSS通過設(shè)備“多虛一”和跨設(shè)備的鏈路聚合，不但簡化了網(wǎng)絡(luò)拓

撲，而且極大地提高了網(wǎng)絡(luò)性能：

?

?

故障。

?

無需部署MSTP等復(fù)雜的破環(huán)協(xié)議.

?CSS在簡化網(wǎng)絡(luò)、提升轉(zhuǎn)發(fā)性能的同時,沒有帶來任何網(wǎng)絡(luò)功能的損失。物理交換機(jī)具有

的所有功能,都在CSS系統(tǒng)下得到繼承，且性能還得到了放大.CSS擁有的這些特質(zhì)，使其得到

了越來越多的認(rèn)可和接受，并成為了部署簡單、高效網(wǎng)絡(luò)的首選方案。

2.3

接入層通常指網(wǎng)絡(luò)中直接面向用戶連接或訪問的部分。其目的即利用光纖、雙絞線、同軸

電纜、無線接入等傳輸介質(zhì)，實(shí)現(xiàn)與用戶連接,并進(jìn)行業(yè)務(wù)和帶寬的分配，允許終端用戶連接到

網(wǎng)絡(luò),因此接入層交換機(jī)具有低成本和高端口密度特性。

網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)網(wǎng)段VLAN

而本次改造中有14個接入層點(diǎn)位將采用雙線上行至核心交換機(jī)（集群)，并利用網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)網(wǎng)段VLAN

OSPFECMP（Equal—CostMultiplePath）特性，在兩條專線鏈路之間進(jìn)行負(fù)載均衡，既增加

了網(wǎng)絡(luò)的可靠性，又能提高了資源的利用率。

2.4

本次網(wǎng)絡(luò)改造項(xiàng)目中，將摒棄原有傳統(tǒng)的單線二層接入方式，從而采用運(yùn)營商雙線運(yùn)行動

態(tài)路由協(xié)議（OSPF）進(jìn)行三層傳輸接入核心，去掉中間級聯(lián)設(shè)備，形成扁平化的網(wǎng)絡(luò)架構(gòu)，這種

組網(wǎng)方式將各個分支機(jī)構(gòu)分割成單獨(dú)的局域網(wǎng)，一旦某個分支機(jī)構(gòu)出現(xiàn)網(wǎng)絡(luò)及線路故障將不

會影響其他節(jié)點(diǎn)的業(yè)務(wù)。

新的傳輸接入模式，必須在各個節(jié)點(diǎn)建立獨(dú)立的三層網(wǎng)關(guān)進(jìn)行路由轉(zhuǎn)發(fā)，這就要求對整個

網(wǎng)絡(luò)進(jìn)行新的規(guī)劃和設(shè)置,如下表所示：

點(diǎn)位

101172。16。301

10.0。1。0/24101172。16。301互聯(lián)102

代市氣所31.0/24

302303172。16。

172.16。

172.16。

172.16。

172.16.38。

172。16。172。16.40。311172。16。172.16。43。0314……網(wǎng)絡(luò)傳輸設(shè)計(jì)304305306302303172。16。

172.16。

172.16。

172.16。

172.16.38。

172。16。172。16.40。311172。16。172.16。43。0314……網(wǎng)絡(luò)傳輸設(shè)計(jì)304305306307308309310312313……

前峰水務(wù)

領(lǐng)水水務(wù)34.0/24華鎣水務(wù)35.0/24城北客戶中心36.0/24城南客戶中心37.0/24西充燃?xì)?/24領(lǐng)水燃?xì)?9.0/24希望接收費(fèi)0/24城東水所

龍門收費(fèi)42.0/24武勝水務(wù)燃?xì)?/p>

岳池電力

……

以上網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)，將在大的城域網(wǎng)環(huán)境中形成多個廣播域，隔離廣播風(fēng)暴和二層流量

泛洪，減少IP地址沖突，提高整個網(wǎng)絡(luò)的安全性和可維護(hù)性。具體的實(shí)施細(xì)節(jié)，將在項(xiàng)目施

工過程中與甲方相關(guān)人員進(jìn)行深化設(shè)計(jì)。

2.5

從核心層到接入層的傳輸部分是各個運(yùn)營商(電信、廣電、聯(lián)通、移動）的MSTP專線,

其中，大部分接入點(diǎn)專線帶寬為10M，而少數(shù)營業(yè)收費(fèi)點(diǎn)專線帶寬為2M，在帶寬不夠的情

況下，可以酌情考慮增加線路帶寬.

MSTP（Multi-ServiceTransmissionPlatform）是指基于SDH平臺同時實(shí)現(xiàn)TDM、ATM、以

太網(wǎng)等業(yè)務(wù)的接入、處理和傳送，提供統(tǒng)一網(wǎng)管的多業(yè)務(wù)節(jié)點(diǎn)。其構(gòu)建統(tǒng)一的城域多業(yè)務(wù)傳送

網(wǎng)，將傳統(tǒng)話音、專線、視頻、數(shù)據(jù)、VOIP、IPTV等業(yè)務(wù)在接入層分類收斂，并統(tǒng)一送到

骨干層對應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)中集中處理,從而實(shí)現(xiàn)了所有業(yè)務(wù)的統(tǒng)一接入、統(tǒng)一管理、統(tǒng)一

維護(hù),提高了端到端電路的服務(wù)等級,這種專線技術(shù)具備以下優(yōu)點(diǎn)：

泛用性可選性安全性靈活性

泛用性可選性安全性靈活性MSTP電路適用于任何高速率、信息量大、實(shí)時性強(qiáng)的業(yè)務(wù)傳送在通信領(lǐng)域的應(yīng)用前景

廣闊，用戶端接口為通用性的RJ45接口。

MSTP專線帶寬靈活，在2M到1000M的區(qū)間內(nèi)，可以靈活選擇.

安全性有保障,比純粹基于互聯(lián)網(wǎng)的VPN業(yè)務(wù)安全性更高。

組網(wǎng)靈活,可支持星形網(wǎng)絡(luò)、環(huán)形網(wǎng)絡(luò)、點(diǎn)到點(diǎn)連接、多點(diǎn)匯聚等.

2。6網(wǎng)絡(luò)安全與優(yōu)化設(shè)計(jì)

1、網(wǎng)絡(luò)回溯分析系統(tǒng)

在網(wǎng)絡(luò)核心CSS集群旁部署一臺網(wǎng)絡(luò)回溯分析系統(tǒng)，可以實(shí)現(xiàn)了對網(wǎng)絡(luò)通訊數(shù)據(jù)包級的高

性能實(shí)時智能分析，因?yàn)榫W(wǎng)絡(luò)回溯分析系統(tǒng)是一款集成大容量存儲的高性能數(shù)據(jù)包采集和智

能分析硬件平臺，它可以提供對各種網(wǎng)絡(luò)性能和應(yīng)用性能的關(guān)鍵參數(shù)實(shí)時分析，同時還能

夠?qū)崟r捕獲并保存網(wǎng)絡(luò)通訊流量，具備對長期的網(wǎng)絡(luò)通訊數(shù)據(jù)進(jìn)行快速數(shù)據(jù)挖掘和回溯分析

能力，實(shí)現(xiàn)對關(guān)鍵業(yè)務(wù)系統(tǒng)中的網(wǎng)絡(luò)異常、應(yīng)用性能異常和網(wǎng)絡(luò)行為異常的實(shí)時發(fā)現(xiàn)、以及異

常原因的智能回溯分析，提升了對關(guān)鍵業(yè)務(wù)系統(tǒng)的運(yùn)行保障能力和問題處置效率。

這樣就在內(nèi)網(wǎng)構(gòu)建起了一套基于流量的實(shí)時監(jiān)控和回溯體系，不但可以精確了解網(wǎng)絡(luò)整

體性能、應(yīng)用負(fù)載,還能準(zhǔn)確定位網(wǎng)絡(luò)異常原因，及時排查網(wǎng)絡(luò)故障和病毒、木馬、攻擊等安全

隱患，實(shí)現(xiàn)核心鏈路/核心區(qū)域/核心業(yè)務(wù)運(yùn)行可視化，徹底解決“黑盒運(yùn)維”。

2、入侵檢測系統(tǒng)

在核心CSS集群旁掛一臺專業(yè)的IDS（入侵檢測系統(tǒng)），該設(shè)備可通過抓取來自核心交換

機(jī)的數(shù)據(jù)流鏡像，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或

者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

3、負(fù)載均衡器

在業(yè)務(wù)服務(wù)器集群子網(wǎng)區(qū)域內(nèi)的各個應(yīng)用服務(wù)器前端部署一套負(fù)載均衡器，在多個客戶端

發(fā)起業(yè)務(wù)訪問請求時,由前端的負(fù)載均衡器來對所有訪問請求進(jìn)行反向代理和統(tǒng)一調(diào)度,進(jìn)而

將業(yè)務(wù)訪問負(fù)載合理均衡地分擔(dān)到每個后端服務(wù)器節(jié)點(diǎn)上，以提高業(yè)務(wù)系統(tǒng)的整體服務(wù)效能。

同時對服務(wù)器的操心系統(tǒng)、中間件、文件系統(tǒng)等軟件參數(shù)配置以及資源池分配進(jìn)行優(yōu)化，增

強(qiáng)服務(wù)器的并發(fā)會話處理能力，而數(shù)據(jù)庫方面,則可通過建立索引，優(yōu)化SQL語句和優(yōu)化內(nèi)存、

日志、表空間分配等方法來提高數(shù)據(jù)庫I/O性能，加快數(shù)據(jù)的存取速度.

在接入交換機(jī)處，可通過Qos策略將業(yè)務(wù)數(shù)據(jù)和監(jiān)控?cái)?shù)據(jù)區(qū)分開,并給業(yè)務(wù)數(shù)據(jù)分配更高的

優(yōu)先級，這樣在發(fā)生網(wǎng)絡(luò)擁塞時，監(jiān)控?cái)?shù)據(jù)就無法擠占正常業(yè)務(wù)帶寬，由此保障了業(yè)務(wù)訪問的

穩(wěn)定性，不受接入視頻監(jiān)控的干擾。

高性能和高可用的網(wǎng)絡(luò)骨干層次架構(gòu)清晰運(yùn)維透明化和可視化彈性的應(yīng)用架構(gòu)

2。6網(wǎng)絡(luò)特點(diǎn)和優(yōu)勢高性能和高可用的網(wǎng)絡(luò)骨干層次架構(gòu)清晰運(yùn)維透明化和可視化彈性的應(yīng)用架構(gòu)

通過大力進(jìn)行網(wǎng)絡(luò)改造后,具有達(dá)到如下特點(diǎn)和優(yōu)勢：

升級核心交換機(jī)替換老舊設(shè)備，可以大力提升核心節(jié)點(diǎn)的轉(zhuǎn)發(fā)速度，增加網(wǎng)絡(luò)整體吞吐

量，形成一個高性能、可擴(kuò)展、可靠的高效網(wǎng)絡(luò).

對網(wǎng)絡(luò)架構(gòu)進(jìn)行扁平化重構(gòu)，不僅可以解決多級串連現(xiàn)象，大大簡化網(wǎng)絡(luò)構(gòu)成,還能減少

中間節(jié)點(diǎn)的故障影響，迅速提高流量轉(zhuǎn)發(fā)的處理速度,形成一個架構(gòu)清晰,層次分明、可維護(hù)性

強(qiáng)的網(wǎng)絡(luò)基礎(chǔ)平臺。

構(gòu)建網(wǎng)絡(luò)的實(shí)時監(jiān)控和回溯體系，將全網(wǎng)流量可視化、透明化，分析從流量趨勢、應(yīng)用分

布到性能負(fù)載等多方位情況，能讓運(yùn)維人員對整個網(wǎng)絡(luò)運(yùn)行情況了如指掌，及時發(fā)現(xiàn)處理網(wǎng)絡(luò)

異常和攻擊威脅，將危害消滅在萌芽階段，并快速定位故障原因和節(jié)點(diǎn)，縮短故障影響時間,

提高故障處理效率，保證網(wǎng)絡(luò)的高效穩(wěn)定運(yùn)行。

部署負(fù)載均衡器，進(jìn)一步優(yōu)化應(yīng)用架構(gòu)，讓每臺服務(wù)器輪流均衡地分?jǐn)偪蛻舳嗽L問請求,來提

I/OI/O性能，

系統(tǒng)，并結(jié)合業(yè)務(wù)系統(tǒng)性能優(yōu)化，來提高服務(wù)器的并發(fā)會話處理能力與數(shù)據(jù)庫

加快業(yè)務(wù)的響應(yīng)速度。

專門的流控體系強(qiáng)大的安全防護(hù)保障高效整潔的數(shù)據(jù)中心主要設(shè)備介紹、iPad等終端已經(jīng)普及，移動應(yīng)用程序、Web2。0、社交網(wǎng)絡(luò)應(yīng)用于企業(yè)

專門的流控體系強(qiáng)大的安全防護(hù)保障高效整潔的數(shù)據(jù)中心主要設(shè)備介紹、iPad等終端已經(jīng)普及，移動應(yīng)用程序、Web2。0、社交網(wǎng)絡(luò)應(yīng)用于企業(yè)在外網(wǎng)出口處通過流量控制器來審計(jì)和管控互聯(lián)網(wǎng)流量，屏蔽非法應(yīng)用，限制違規(guī)流量，保

障帶寬資源，提高員工上網(wǎng)的合規(guī)性和網(wǎng)絡(luò)使用效率，同時,在匯聚交換機(jī)處設(shè)置Qos策略，

讓監(jiān)控?cái)?shù)據(jù)就無法擠占正常業(yè)務(wù)帶寬，保障業(yè)務(wù)訪問穩(wěn)定性,不受視頻監(jiān)控流媒體數(shù)據(jù)的干擾。

通過部署下一代防火墻和入侵檢測系統(tǒng)（IDS）的安全策略，可進(jìn)一步強(qiáng)化內(nèi)網(wǎng)的信息

安全保障，防止各種網(wǎng)絡(luò)攻擊和入侵活動，提高網(wǎng)絡(luò)安全系統(tǒng)的防護(hù)免疫力.

通過新機(jī)房搬遷，可以打造一個新的整潔舒適、專業(yè)美觀的數(shù)據(jù)中心環(huán)境，為機(jī)房設(shè)備高

效的管理和安全運(yùn)營提供有力支撐和保證

2.9

2.9.1下一代防火墻

USG6350當(dāng)前,智能

運(yùn)營的方方面面。企業(yè)網(wǎng)絡(luò)邊界變得模糊，信息安全問題日益復(fù)雜.通過IP和端口進(jìn)行訪問控

制的傳統(tǒng)的防護(hù)墻無法應(yīng)對層出不窮的應(yīng)用層威脅。

華為USG6300系列下一代防火墻面向中小企業(yè)，通過對應(yīng)用、用戶、內(nèi)容、威脅、時間、位

置6個維度的全面感知，提供精細(xì)的業(yè)務(wù)訪問控制和加速。入侵防御（IPS）和防病毒（AV)等應(yīng)用層

深度防御與應(yīng)用識別相結(jié)合,有效提高了威脅防御的效率和準(zhǔn)確性。具備全面的防護(hù)功能，一機(jī)

產(chǎn)品特性精準(zhǔn)的訪問控制

多能，有效降低管理成本。精細(xì)的帶寬管理和QoS優(yōu)化能力有效降低企業(yè)的帶寬租用費(fèi)，確保產(chǎn)品特性精準(zhǔn)的訪問控制

關(guān)鍵業(yè)務(wù)體驗(yàn)。持續(xù)、簡單、高效地提供下一代網(wǎng)絡(luò)安全。

?

傳統(tǒng)防火墻主要通過端口和IP進(jìn)行訪問控制，下一代防火墻的核心功能依然是訪問控

制。USG6000在控制的維度和精細(xì)程度上都有很大的提高：

一體化防護(hù):

從應(yīng)用、用戶、內(nèi)容、時間、威脅、位置6個維度進(jìn)行一體化的管控和防御。內(nèi)容層的防

御與應(yīng)用識別深度結(jié)合,一體化處理。例如：識別出Oracle的流量，進(jìn)而針對性地進(jìn)行對應(yīng)的

入侵防御，效率更高，誤報(bào)更少.

基于應(yīng)用:

運(yùn)用多種技術(shù)手段，準(zhǔn)確識別包括移動應(yīng)用及Web應(yīng)用內(nèi)的6000+應(yīng)用協(xié)議及應(yīng)用的不同

功能，繼而進(jìn)行訪問控制和業(yè)務(wù)加速。例如：區(qū)分微信的語音和文字后采取不同的控制策略。

基于用戶：

通過Radius、LDAP、AD等8種用戶識別手段集成已有用戶認(rèn)證系統(tǒng)簡化管理。基

于用戶進(jìn)行訪問控制、QoS管理和深度防護(hù)。

基于位置：

與全球位置信息結(jié)合，識別流量發(fā)起的位置信息；掌控應(yīng)用和攻擊發(fā)起的位置，第一時間

發(fā)現(xiàn)網(wǎng)絡(luò)異常情況.根據(jù)位置信息可以實(shí)現(xiàn)對不同區(qū)域訪問流量的差異化控制。支持根據(jù)

IP自定義位置。

全面的防護(hù)范圍越來越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上，網(wǎng)絡(luò)攻擊和信息竊取形成巨大的產(chǎn)業(yè)鏈，這對下

一代防火墻的防護(hù)范圍提出了更高要求.USG6000具備全面的防護(hù)功能:

一機(jī)多能:

集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、上網(wǎng)行為管理等功

能于一身，簡化部署，提高管理效率。

QoSQoS標(biāo)簽

超過3500+漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護(hù)，如跨站腳本攻擊、

SQL注入攻擊等；防

病毒(AV):

高性能病毒引擎,可防護(hù)500萬種以上的病毒和木馬，病毒特征庫每日更新；

數(shù)據(jù)防泄漏：

對傳輸?shù)奈募蛢?nèi)容進(jìn)行識別過濾。可識別120+種常見文件類型,防止通過修改后綴名

的病毒攻擊。能對Word、Excel、PPT、PDF、RAR等30+文件進(jìn)行還原和內(nèi)容過濾，防

止企業(yè)關(guān)鍵信息通過文件泄露.

SSL解密：

作為代理,可對SSL加密流量進(jìn)行應(yīng)用層安全防護(hù),如IPS、AV、數(shù)據(jù)防泄漏、URL過

濾等。

Anti—DDoS：

可以識別和防范SYNflood、UDPflood等10+種DDoS攻擊，識別500多萬種病

毒.上網(wǎng)行為管理:

采用基于云的URL分類過濾，預(yù)定義的URL分類庫已超過8500萬，阻止員工訪問

惡意網(wǎng)站帶來的威脅。并可對員工的發(fā)帖、FTP等上網(wǎng)行為進(jìn)行控制。可對上網(wǎng)記錄進(jìn)行審

計(jì)。

安全互聯(lián)：

豐富的VPN特性，確保企業(yè)總部和分支間高可靠安全互聯(lián)。支持IPSecVPN、SSLVPN、

L2TPVPN、MPLSVPN、GRE等;

QoS管理：

基于應(yīng)用靈活的管理流量帶寬的上限和下限，可基于應(yīng)用進(jìn)行策略路由和

著色。支持對URL分類的QoS標(biāo)簽著色,例如：優(yōu)先轉(zhuǎn)發(fā)對財(cái)經(jīng)類網(wǎng)站的訪問。

負(fù)載均衡：

支持服務(wù)器間的負(fù)載均衡.對多出口場景,可按照鏈路質(zhì)量、鏈路帶寬比例、鏈路權(quán)重基于

應(yīng)用進(jìn)行負(fù)載均衡。

虛擬化：

支持多種安全業(yè)務(wù)的虛擬化，包括防火墻、入侵防御、反病毒、VPN等。不同用戶可

在同一臺物理設(shè)備上進(jìn)行隔離的個性化管理。

簡單的安全管理高效防護(hù)性能

?簡單的安全管理高效防護(hù)性能

下一代防火墻的防護(hù)范圍和控制精度比傳統(tǒng)防火墻大大增加,這對使用者的經(jīng)驗(yàn)和技能

提出了更高的要求。華為USG6000利用SmartPolicy功能降低對使用者的要求，更好的進(jìn)行防

護(hù)。SmartPolicy主要具備以下功能:

快速部署策略：

內(nèi)置場景策略模板，不依賴使用者的經(jīng)驗(yàn)也能快速地部署常用防護(hù)策略.例如:如果希望使

用網(wǎng)絡(luò)存儲,管理員僅需基于“使用網(wǎng)盤”這個策略模板,就能建立一系列策略。在策略中,對網(wǎng)盤

類應(yīng)用允許下載并進(jìn)行病毒檢測，但禁止文件上傳。

智能優(yōu)化策略：

根據(jù)內(nèi)置應(yīng)用風(fēng)險庫和網(wǎng)絡(luò)實(shí)際流量對已部署的安全策略進(jìn)行評估和優(yōu)化，使其符合最

小授權(quán)原則。在企業(yè)遺留大量端口防護(hù)策略,需要轉(zhuǎn)換為NGFW使用的應(yīng)用防護(hù)策略時尤其有

用。

智能精簡策略：

自動發(fā)現(xiàn)重復(fù)的和長期沒有使用的策略，精簡策略規(guī)模,簡化管理；

?UTM產(chǎn)品當(dāng)開啟應(yīng)用層防護(hù)時性能下降明顯，無法滿足當(dāng)前應(yīng)用層防護(hù)的性能要求。下

一代防火墻要求在多重防護(hù)的情況下仍保持高性能。

USG6000系列下一代防火墻采用全新架構(gòu)的智能感知引擎（IAE，

IntelligenceAwarenessEngine），采用了一次解析多業(yè)務(wù)并行處理的架構(gòu)，確保多重防御下的

高性能體驗(yàn)。IAE使用了三大核心技術(shù)：

一體化描述語言：

應(yīng)用識別、IPS、AV采用統(tǒng)一的描述語言，一次性處理，一次性分析，減少重復(fù)的操作；一

體化處理架構(gòu)：

不同于UTM對各個安全功能串行處理，USG6000在完成統(tǒng)一解析后，各安全業(yè)務(wù)檢查是

并行的，最后做統(tǒng)一處理。每個步驟一次性做好，確保多安全業(yè)務(wù)開啟情況下，對整體性能影

響最小；

軟硬結(jié)合一體化：

對有規(guī)律、大批量、高運(yùn)算能力要求的報(bào)文處理，例如:報(bào)文加解密、特征匹配，采用專用

多核平臺由專用的協(xié)處理器硬件處理。對小規(guī)模的運(yùn)算，仍然用軟件處理.軟硬結(jié)合一體化的

處理方式讓整體性能更高.

組網(wǎng)應(yīng)用

企業(yè)內(nèi)網(wǎng)邊界防護(hù)互聯(lián)網(wǎng)出口防護(hù)云數(shù)據(jù)中心邊界防護(hù)

?企業(yè)內(nèi)網(wǎng)邊界防護(hù)互聯(lián)網(wǎng)出口防護(hù)云數(shù)據(jù)中心邊界防護(hù)在企業(yè)內(nèi)網(wǎng)部門和無線接入的匯聚網(wǎng)絡(luò)部署下一代防火墻。對PC用戶通過防火墻策

略基于用戶信息進(jìn)行訪問控制。

對移動用戶采用基于用戶+應(yīng)用的策略控制,實(shí)現(xiàn)精細(xì)權(quán)限管理,并記錄日志。

對郵件、IM、文件傳輸?shù)冗M(jìn)行內(nèi)容過濾和審計(jì)，監(jiān)控社交類應(yīng)用,避免數(shù)據(jù)泄露。

?在互聯(lián)網(wǎng)出口部署下一代防火墻，在出口進(jìn)行訪問控制，阻止一切非認(rèn)證訪問。

啟用入侵防御功能,提供萬兆級應(yīng)用層威脅實(shí)時防護(hù)。

對郵件、IM、文件傳輸?shù)冗M(jìn)行內(nèi)容過濾和審計(jì),監(jiān)控社交類應(yīng)用，避免數(shù)據(jù)泄露。基

于用戶、應(yīng)用、時間進(jìn)行QoS管理，優(yōu)先保障核心用戶和關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量。

通過URL分類和應(yīng)用阻斷進(jìn)行上網(wǎng)行為管理.阻斷掛馬網(wǎng)站和工作無關(guān)網(wǎng)站，根據(jù)角色監(jiān)

控員工可以訪問的網(wǎng)站和可以使用的網(wǎng)絡(luò)應(yīng)用。

?數(shù)據(jù)中心出口部署下一代防火墻，進(jìn)行安全業(yè)務(wù)和系統(tǒng)資源的虛擬化特性，可為每個虛擬

環(huán)境提供超乎尋常的安全體驗(yàn).

萬兆級入侵防御可有效阻斷各類黑客攻擊,并可根據(jù)不同的虛擬環(huán)境需求，提供差異化的

防御特性，保障數(shù)據(jù)安全。

通過Anti—DDoS特性，對拒絕服務(wù)攻擊流量進(jìn)行清洗，保障數(shù)據(jù)中心對外業(yè)務(wù)。

VPN遠(yuǎn)程互聯(lián)通過下一代防火墻的VPN接入，在互聯(lián)網(wǎng)上構(gòu)建一條可信、可控、可管的安全傳輸隧道。在

外人員和移動用戶可通過SSLVPN接入，提供Windows、IOS、Android、Blackberry，

USG63504GE+2Combo2*WSIC2×10GE（SFP+）+8×GE（RJ45)、8×GE（RJ45）、8×GE（SFP）1U10kg選配300GB單硬盤，支持熱插拔選配100～240V170W溫度：0~45℃(不含硬盤)/5℃～40℃(包含硬盤)濕度：10%～90%溫度：-40℃～70℃/濕度：5%～95%、

Symbian多種操作系統(tǒng)支持,提供泛終端的接入能力。USG63504GE+2Combo2*WSIC2×10GE（SFP+）+8×GE（RJ45)、8×GE（RJ45）、8×GE（SFP）1U10kg選配300GB單硬盤，支持熱插拔選配100～240V170W溫度：0~45℃(不含硬盤)/5℃～40℃(包含硬盤)濕度：10%～90%溫度：-40℃～70℃/濕度：5%～95%、

產(chǎn)品規(guī)格

型號固定接口擴(kuò)展槽位WSIC:接口模塊類型4×GE（RJ45）BYPASS產(chǎn)品形態(tài)尺寸（W×D×H）mm442×421×43.6滿配重量HDD冗余電源電源AC最大功率

工作環(huán)境

非工作環(huán)境

2.9.2核心交換機(jī)

S9706產(chǎn)品概述

S9700系列交換機(jī)是華為公司面向下一代園區(qū)網(wǎng)核心和數(shù)據(jù)中心業(yè)務(wù)匯聚而專門設(shè)

計(jì)開發(fā)的高端智能T比特核心路由交換機(jī)。該產(chǎn)品采用先進(jìn)的多層交換架構(gòu)，提供持續(xù)的帶寬

升級能力，支持40GE和100GE以太網(wǎng)標(biāo)準(zhǔn).該產(chǎn)品基于華為公司自主研發(fā)的通用路由平臺

VRP開發(fā)，在提供高性能的L2/L3層交換服務(wù)基礎(chǔ)上,進(jìn)一步融合了MPLSVPN、硬件IPV6、桌

面云、視頻會議、無線等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷升級、不間斷轉(zhuǎn)發(fā)、硬件OAM/BFD、環(huán)

網(wǎng)保護(hù)等多種高可靠技術(shù),在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡(luò)最大正常運(yùn)行時間，從而

降低了客戶的總擁有成本(TCO）.

通過部署內(nèi)置華為首款以太網(wǎng)絡(luò)處理器ENP的X1E單板，S9700可以升級為敏捷

交換機(jī),客戶可以享有敏捷交換機(jī)帶來的創(chuàng)新體驗(yàn)。

S9700系列提供S9703、S9706、S9712三種產(chǎn)品形態(tài).

產(chǎn)品特性S9700升級為敏捷交換機(jī)，讓網(wǎng)絡(luò)更敏捷地為業(yè)務(wù)服務(wù)

S9700支持隨板AC,業(yè)務(wù)單板同時兼具無線AC功能，無需額外購買AC硬件;整機(jī)

最大可管理2KAP,32K用戶;整機(jī)轉(zhuǎn)發(fā)性能可達(dá)T-bit，解決外置AC處理性能瓶頸，助力

客戶從容面向高速無線時代。

S9700支持統(tǒng)一用戶管理功能,屏蔽了接入層設(shè)備能力和接入方式的差異,支持

PPPoE/802。1X/MAC/Portal等多種認(rèn)證方式，支持對用戶進(jìn)行分組/分域/分時的管理，用戶、業(yè)

務(wù)可視可控，實(shí)現(xiàn)了從“以設(shè)備管理為中心”到“以用戶管理為中心”的飛躍。

SVF2。0超級虛擬交換網(wǎng)，創(chuàng)新實(shí)現(xiàn)不僅將盒式交換機(jī)縱向虛擬為框式交換機(jī)板卡，而

且將AP縱向虛擬為框式交換機(jī)的端口使,得原來“核心/匯聚+接入交換機(jī)+AP”的網(wǎng)絡(luò)架構(gòu)，虛擬化

為一臺設(shè)備進(jìn)行管理,提供業(yè)界最簡化網(wǎng)絡(luò)管理方案.

iPCA網(wǎng)絡(luò)包守恒算法,改變了傳統(tǒng)利用模擬流量做故障定位的檢測模型,可對任意業(yè)務(wù)流

隨時隨地逐點(diǎn)檢測網(wǎng)絡(luò)質(zhì)量，無需額外開銷；可在短時間內(nèi)立刻檢測業(yè)務(wù)閃斷性故障，檢測

直接精準(zhǔn)到故障端口,實(shí)現(xiàn)從“粗放式運(yùn)維”到“精準(zhǔn)化運(yùn)維”的大轉(zhuǎn)變。

S9700支持ServiceChain業(yè)務(wù)編排功能，ServiceChain對網(wǎng)絡(luò)增值業(yè)務(wù)處理能力(如下一代

防火墻NGFW)進(jìn)行虛擬化,以便園區(qū)網(wǎng)絡(luò)實(shí)體（如交換機(jī)、路由器、AC、AP、終端設(shè)備）

可以無差別的利用這些能力，而不受物理位置的約束,提供一種更靈活部署園區(qū)增值業(yè)務(wù)的解

決方案，減少客戶設(shè)備投資和維護(hù)成本。

創(chuàng)新的CSS集群技術(shù)S9700支持CSS交換網(wǎng)集群和業(yè)務(wù)口集群，將多臺設(shè)備虛擬化為一臺邏輯設(shè)備，在可靠性、

交換效率、靈活性和易管理性方面具有強(qiáng)大的優(yōu)勢。

運(yùn)營級高可靠性設(shè)計(jì)強(qiáng)大的業(yè)務(wù)處理能力

可靠性：通過路由熱備份技術(shù)，實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷的運(yùn)營級高可靠性設(shè)計(jì)強(qiáng)大的業(yè)務(wù)處理能力

三層轉(zhuǎn)發(fā)，極大地增強(qiáng)了設(shè)備的可靠性和性能,同時可以通過跨框鏈路聚合提高鏈路的利用率，

消除單點(diǎn)故障，避免了業(yè)務(wù)中斷；

交換效率：創(chuàng)新的CSS交換網(wǎng)集群技術(shù)，克服了業(yè)界普遍采用的線卡集群跨框多次交換，交換

效率低下的架構(gòu)難題；

靈活性：普通業(yè)務(wù)端口可以復(fù)用為集群端口,使端口應(yīng)用更加靈活。通過光纖進(jìn)行集群可

大幅增加集群的距離，突破了傳統(tǒng)集群距離的限制；

易管理性：整個彈性架構(gòu)共用一個IP管理,簡化網(wǎng)絡(luò)設(shè)備管理,簡化網(wǎng)絡(luò)拓?fù)涔芾恚?/p>

高運(yùn)營效率，降低維護(hù)成本；

?S9700所有關(guān)鍵器件，如主控、電源、風(fēng)扇等均采用冗余設(shè)計(jì)，所有模塊均支持熱插拔,有效

保證網(wǎng)絡(luò)穩(wěn)定運(yùn)行。

S9700支持硬件級3。3ms高精度BFD快速鏈路檢測功能，能為靜態(tài)路由

/RIP/OSPF/BGP/ISIS/VRRP/PIM/MPLS等協(xié)議提供穩(wěn)定均勻的毫秒級檢測機(jī)制,大大提高了

網(wǎng)絡(luò)可靠性.

S9700支持快速自愈保護(hù)技術(shù)HSR(High—speedSelfRecovery)，基于華為ENP板卡,

獨(dú)家實(shí)現(xiàn)端到端IPMPLS承載網(wǎng)50ms倒換保護(hù)，進(jìn)一步提升網(wǎng)絡(luò)可靠性.

S9700支持硬件級以太OAM，包括完善的802.3ah、802.1ag和ITU—Y.1731，能夠?qū)W(wǎng)絡(luò)

傳輸中的時延、抖動等參數(shù)進(jìn)行精確統(tǒng)計(jì)，實(shí)時監(jiān)測網(wǎng)絡(luò)運(yùn)行情況，并在設(shè)備故障發(fā)生時快速

定位實(shí)現(xiàn)網(wǎng)絡(luò)快速故障檢測、定位與倒換.

S9700支持ISSU業(yè)務(wù)運(yùn)行中軟件升級，設(shè)備軟件升級過程中確保關(guān)鍵業(yè)務(wù)和服務(wù)不中斷.

支持優(yōu)雅重啟技術(shù)（GracefulRestart），實(shí)現(xiàn)NSF無中斷轉(zhuǎn)發(fā),有效保證全網(wǎng)高速可靠運(yùn)行。

?多業(yè)務(wù)路由交換平臺，滿足企業(yè)接入、匯聚、核心業(yè)務(wù)承載要求，支持無線、語音、視頻

和數(shù)據(jù)應(yīng)用，為企業(yè)提供高可用、低時延、全業(yè)務(wù)的一體化網(wǎng)絡(luò)解決方案。

支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、HVPLS、VLL，滿足企業(yè)VPN

等用戶的接入需求.

完善的二、三層組播協(xié)議，支持PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping，滿

豐富的網(wǎng)絡(luò)流量分析功能完善的安全保護(hù)機(jī)制提供2級CPU保護(hù)機(jī)制,支持1KCPU硬件保護(hù)隊(duì)列，可實(shí)現(xiàn)數(shù)據(jù)和控制的分離處理，防止

S970豐富的網(wǎng)絡(luò)流量分析功能完善的安全保護(hù)機(jī)制提供2級CPU保護(hù)機(jī)制,支持1KCPU硬件保護(hù)隊(duì)列，可實(shí)現(xiàn)數(shù)據(jù)和控制的分離處理，防止

S9700軟硬件平臺均支持IPv6,取得工信部IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金MLDv1/v2、MLDSnooping、PIM—SM/DMv6、PIM—SSMv6等IPv6組播S9700支持豐富的IPv4向IPv6過渡技術(shù)包括：IPv6手工隧道、6to4隧道、ISATAP隧

軟件平臺提供多種路由協(xié)議滿足企業(yè)建網(wǎng)要求,支持從中小企業(yè)到超大型跨國公司級大規(guī)

模路由，支持IPv6，能夠?yàn)槠髽I(yè)網(wǎng)絡(luò)提供平滑升級能力.

?S9700支持Netstream網(wǎng)絡(luò)流量分析,支持V5/V8/V9多種報(bào)文格式，支持聚合流量模板,實(shí)

時流量采集、動態(tài)報(bào)表生成、屬性分析、流量異常告警等功能；支持向主、備分析服務(wù)器同時

發(fā)送日志，防止統(tǒng)計(jì)信息丟失。能夠提供實(shí)時的網(wǎng)絡(luò)監(jiān)控功能和全網(wǎng)范圍內(nèi)的流量模式，并提

供預(yù)先故障檢測、高效故障排除和快速問題解決功能，提供安全監(jiān)控等應(yīng)用和分析,幫助用戶

及時優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、調(diào)整資源部署.

?S9700支持MACsec，提供逐跳設(shè)備的數(shù)據(jù)安全傳輸，適用于政府、金融等對數(shù)據(jù)機(jī)密性要

求較高的場合。

NGFW新一代防火墻業(yè)務(wù)處理板,在提供傳統(tǒng)防火墻、身份認(rèn)證、Anti—DDoS等基礎(chǔ)防

御功能外，同時支持IPS、反垃圾郵件、Web安全、應(yīng)用控制等專業(yè)安全功能。

提

供

完

拒絕服務(wù)攻擊、善非法接入以及控制平面過載等安全威脅,提供業(yè)界領(lǐng)先的一體化安全解決方案.的?全面的IPv6解決方案NA色認(rèn)證。C

S9700全面支持IPv6靜態(tài)路由、RIPng、OSPFv3、IS-ISv6、BGP4+等IPV6單播路

解由協(xié)議，支持

特性決,為用戶提供完善的IPv4/IPv6解決方案.

支

道、持GRE隧道、IPv4兼容自動配置隧道等隧道技術(shù)，保證IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的平滑

MAC

地

創(chuàng)新節(jié)能打造綠色低碳網(wǎng)絡(luò)

S970615。04Tbps/67.2Tbps2880Mpps/20880Mpps6支持AP接入控制、AP域管理和AP配置模板管理支持PPPoE、802。1X、MAC、Portal認(rèn)證方式時統(tǒng)計(jì)S970615。04Tbps/67.2Tbps2880Mpps/20880Mpps6支持AP接入控制、AP域管理和AP配置模板管理支持PPPoE、802。1X、MAC、Portal認(rèn)證方式時統(tǒng)計(jì)支持2層AS支持VLAN交換

流量動態(tài)調(diào)整功率,降低整機(jī)功耗11％。支持端口休眠，無流量不耗電。

獨(dú)立風(fēng)扇分區(qū)控制,進(jìn)一步降低功耗和噪聲污染,智能風(fēng)扇調(diào)速策略,采用小區(qū)間控溫技術(shù),

有效降低轉(zhuǎn)速，并延長風(fēng)扇使用壽命.

支持IEEE802。3az能效以太網(wǎng)標(biāo)準(zhǔn)，線卡收發(fā)器具備低功率閑置模式,支持正常工作與

低功率狀態(tài)快速轉(zhuǎn)換,低流量低功耗網(wǎng)絡(luò)的平滑過渡.

設(shè)備參數(shù)

項(xiàng)目交換容量包轉(zhuǎn)發(fā)率業(yè)務(wù)槽位支持隨板AC

無線管理支持射頻模板管理、統(tǒng)一靜態(tài)配置和集中動態(tài)管理支持WLAN基本業(yè)務(wù)、QoS、安全和用戶管理支持有線無線統(tǒng)一用戶管理

用戶管理支持基于流量、時長和DAA(按照目的地址）計(jì)費(fèi)方式支持分組分域分時授權(quán)方式支持直接對業(yè)務(wù)報(bào)文標(biāo)記以獲得丟包數(shù)量和丟包率的實(shí)iPCA質(zhì)量感知支持二三層網(wǎng)絡(luò)網(wǎng)絡(luò)級和設(shè)備級丟包數(shù)量和丟包率統(tǒng)計(jì)支持將AS（接入交換機(jī)）、AP虛擬為一臺設(shè)備管理SVF2.0簡化運(yùn)維支持與第三方廠商混合組網(wǎng)管理支持Access、Trunk、Hybrid方式支持defaultVLANVLAN

支持QinQ、增強(qiáng)型靈QinQ支持基于MAC的動態(tài)VLAN分配

支持MAC地址自動學(xué)習(xí)和老化

MAC地址功能支持MAC地址自動學(xué)習(xí)和老化

支持BPDU保護(hù)、Root保護(hù)、環(huán)路保護(hù)支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6動態(tài)路由協(xié)支持組播流量控制支持MPLSOAM支持支持BPDU保護(hù)、Root保護(hù)、環(huán)路保護(hù)支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6動態(tài)路由協(xié)支持組播流量控制支持MPLSOAM支持NS、GRforBGP/IS-IS/OSPF/LDP支持源MAC地址過濾支持基于端口和VLAN的MAC地址學(xué)習(xí)限制支持STP（IEEE802。1d），RSTP(IEEE802。1w)和MSTP(IEEE802.1s）

STP/ERPS支持BPDUTunnel支持ERPS以太環(huán)保護(hù)協(xié)議(G。8032）支持RIP、OSPF、ISIS、BGP等IPv4動態(tài)路由協(xié)議IP路由議支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping支持PIMD、PIMSM、PIMSSM支持MSDP、MBGP支持用戶快速離開機(jī)制組播

支持組播查詢器支持組播協(xié)議報(bào)文抑制功能支持組播CAC支持組播ACL支持MPLS基本功能

MPLS支持MPLSTE支持MPLSVPN/VLL/VPLS支持LACP、支持跨設(shè)備E-Trunk支持VRRP、BFDforVRRP支持BFDforBGP/IS-IS/OSPF靜態(tài)路由

可靠性支持TEFRR、IPFRR支持以太網(wǎng)OAM802.3ah和802。1ag(硬件級)支持快速自愈保護(hù)技術(shù)HSR支持ITU-。1731

支持SP、WRR、DRR、SP+WRR、SP+DRR等隊(duì)列調(diào)度方式支持通過FTP、TFTP方式上載、下載文件命令行分級保護(hù)，未授權(quán)用戶無法侵入支持IPSec功能支持SP、WRR、DRR、SP+WRR、SP+DRR等隊(duì)列調(diào)度方式支持通過FTP、TFTP方式上載、下載文件命令行分級保護(hù)，未授權(quán)用戶無法侵入支持IPSec功能支持運(yùn)行中軟件升級ISSU支持基于Layer2協(xié)議頭、Layer3協(xié)議、Layer4協(xié)議、802。1p優(yōu)先級等的組合流分類支持ACL、CAR、Remark、Schedule等動作

QoS支持WRED、尾丟棄等擁塞避免機(jī)制支持H—QOS支持流量整形支持Console、Telnet、SSH等終端服務(wù)支持SNMPv1/v2/v3等網(wǎng)絡(luò)管理協(xié)議

配置與維護(hù)支持BootROM升級和遠(yuǎn)程在線升級支持熱補(bǔ)丁支持用戶操作日志802。1x認(rèn)證，Portal認(rèn)證支持MACSec支持NAC支持RADIUS和HWTACACS用戶登錄認(rèn)證

安全和管理支持防范DoS攻擊、TCP的SYNFlood攻擊、UDPFlood攻擊、廣播風(fēng)暴攻擊、大流量攻擊支持1KCPU通道隊(duì)列保護(hù)支持ICMP實(shí)現(xiàn)ping和traceroute功能支持RMON支持Firewall功能支持NAT功能支持Netstream功能增值業(yè)務(wù)能力＊

支持負(fù)載均衡功能支持無線AC控制器支持IPS入侵防御系統(tǒng)

）LNP鏈路類型協(xié)商協(xié)議（和DTP相似功能）支持802.3az能效以太網(wǎng)29kgAC：90V～290V4400W產(chǎn)品概述產(chǎn)品特性和優(yōu)勢更多的端口組合

VBST基于VLAN生成樹協(xié)議（PVST/PVST+/RPVST）LNP鏈路類型協(xié)商協(xié)議（和DTP相似功能）支持802.3az能效以太網(wǎng)29kgAC：90V～290V4400W產(chǎn)品概述產(chǎn)品特性和優(yōu)勢更多的端口組合互通性VCMPVLAN集中管理協(xié)議（和VTP相似功能）綠色節(jié)能機(jī)箱尺寸mm（高*寬*深）441.7*442*489機(jī)箱重量（空配）DC：–40V～–72V工作電壓

整機(jī)供電能力

2.9.3接入交換機(jī)

S5700-28C-EI

S5700-EI增強(qiáng)型千兆以太網(wǎng)交換機(jī)系列（以下簡稱S5700-EI），是華為公司自主研發(fā)的千

兆以太網(wǎng)交換機(jī)，提供靈活的全千兆接入以及萬兆上行端口。該系列交換機(jī)基于新一代高性能

硬件和華為公司統(tǒng)一的VRP(VersatileRoutingPlatform)軟件平臺,具有智能

iStack堆疊，杰出的網(wǎng)流分析，靈活的以太組網(wǎng),完善的VPN隧道，多樣的安全控制,成熟的

IPv6特性,輕松的運(yùn)行維護(hù),更多的端口組合等特點(diǎn)。廣泛應(yīng)用于企業(yè)園區(qū)接入、匯聚,數(shù)據(jù)中

心千兆接入等多種應(yīng)用場景。

?

64×GE＋

S5700—EI支持多種上行擴(kuò)展插卡，提供高密度的GE/10GE上行接口.其中64×GE＋

S5710—EI系列具有4個固定10GESFP+端口，通過上行擴(kuò)展插卡可實(shí)現(xiàn)

4×10GE，48×GE＋8

×10GE，或56×GE＋6×10GE等不同端口組合，充分滿足不同用戶對帶寬升級的實(shí)際需求，

保護(hù)用戶投資。

完善的VPN隧道

VPN靈活的以太組網(wǎng)多樣的安全控制S5700-EI支持完善的DoS類防攻擊、用戶類防攻擊.其中，DoS類防攻擊主要針對交換

欺騙、DHCPrequestflood、改變DHCPCHADDR值等等.VPN靈活的以太組網(wǎng)多樣的安全控制S5700-EI支持完善的DoS類防攻擊、用戶類防攻擊.其中，DoS類防攻擊主要針對交換

欺騙、DHCPrequestflood、改變DHCPCHADDR值等等.

S570—EI通過建立和維護(hù)DHCPSnooping綁定表，對不符合綁定表項(xiàng)的非法報(bào)文直接S5700-EI支持ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能，可以防止因ARP欺騙攻擊將交換機(jī)ARP表項(xiàng)占?杰出的網(wǎng)流分析

用戶，通過路由多實(shí)例，實(shí)現(xiàn)了不同用戶的隔離；上行通過共用的物理接口連接到PE設(shè)備，

減少單個VPN用戶對網(wǎng)絡(luò)部署的投資。

S5710—EI支持MPLSL3VPN、MPLSL2VPN（VPWS\VPLS）、MPLS—TE、MPLSQoS等功能,可

作為高質(zhì)量企業(yè)專線接入設(shè)備,是業(yè)界為數(shù)不多的高性價比盒式MPLS交換機(jī).

?S5700—EI不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹協(xié)議,還支持華為自主創(chuàng)新的SEP智

能以太保護(hù)技術(shù)和業(yè)界最新的以太環(huán)網(wǎng)標(biāo)準(zhǔn)ERPS。SEP是一種專用于以太鏈路層的環(huán)網(wǎng)協(xié)

議，適用于半環(huán)、整環(huán)、級連環(huán)等各種組網(wǎng),其協(xié)議簡單可靠、維護(hù)方便,并提供50ms的