網(wǎng)絡改造設計方案

網(wǎng)絡拓撲圖

按照網(wǎng)絡分層設計模型，廣安爰眾公司新規(guī)劃的網(wǎng)絡拓撲結(jié)構如

下：

如上圖，整個網(wǎng)絡架構設計可分為網(wǎng)絡出口、核心層、接

入層、傳輸、安全與優(yōu)化等五大部分，現(xiàn)分別詳述如下：

2.1網(wǎng)絡出口設計

外網(wǎng)出口連接上級的Internet,帶寬為上下行對稱的100M,

是各種攻擊行為、病毒傳播、安全事件引入的風險點，通過在

網(wǎng)絡出口處部署高性能、高可靠、高安全的網(wǎng)關設備，可以很

好的緩解風險的傳播，阻擋來自外部網(wǎng)絡攻擊行為的發(fā)生，是網(wǎng)

絡出口的第一道安全屏障。

?下一代防火墻

在外網(wǎng)出口部署下一代防火墻，對進出網(wǎng)絡的數(shù)據(jù)進行過

濾，保護網(wǎng)絡安全，主要實現(xiàn)以下安全防護效果：

＞防止外網(wǎng)上的病毒、木馬等惡意代碼傳播到內(nèi)網(wǎng)中，保護內(nèi)網(wǎng)

終端、服務器；

＞防御來自外網(wǎng)的漏洞掃描行為、入侵行為，使內(nèi)網(wǎng)免受惡意攻

擊；

＞控制用戶訪問網(wǎng)站行為，禁止訪問非法網(wǎng)站、低俗網(wǎng)站、

釣魚網(wǎng)站，降低用戶遭受攻擊的風險。

＞分為信任區(qū)域和非信任區(qū)域，分別實施不同的安全策

略，包括部署區(qū)域間隔離、受限訪問、防止來自區(qū)域內(nèi)

部的DOS攻擊等安全措施；

＞通過加密隧道構建VPN（虛擬專用網(wǎng)絡），方便分支機

構和外出人員遠程接入內(nèi)網(wǎng)辦公，提高工作效率。

?流量控制器

流量控制器可基于DPI（深度包檢測）識別各類上網(wǎng)應用,

由此，在防火墻和核心交換機之間，以網(wǎng)橋模式串接了一臺流

控設備，來對進出防火墻的網(wǎng)絡流量進行內(nèi)容過濾和應用管

控，以有效阻斷非業(yè)務流量和內(nèi)容，保證內(nèi)網(wǎng)安全，提高互聯(lián)

網(wǎng)帶寬利用率，限制高消耗帶寬應用，保障網(wǎng)絡通暢和網(wǎng)絡的

穩(wěn)定性，控制用戶使用無關應用和危險應用，提高網(wǎng)絡整體安

全性。

下一代防火墻到核心交換機之間使用鏈路聚合，來提供冗

余保障。

2.2核心層設計

核心層是網(wǎng)絡的高速交換主干，對整個網(wǎng)絡的連通起到至

關重要的作用。核心層應該具有如下幾個特性：可靠性、高效

性、冗余性、容錯性、可管理性、適應性、低延時性等。在核

心層中，應該采用高帶寬的千兆以上交換機。因為核心層是網(wǎng)

絡的樞紐中心，重要性突出。核心層設備采用雙機冗余熱備份

是非常必要的，也可以使用負載均衡功能，來改善網(wǎng)絡性能。

?核心交換機集群

主要部署兩臺S9706組成一個CSS(ClusterSwitch

System)集群，它是網(wǎng)絡虛擬化的一種形態(tài)，可實現(xiàn)把多臺

支持集群的交換機鏈接起來，從而組成一臺更大的交換機，

CSS

的典型特征有:

＞交換機多虛一：CSS對外表現(xiàn)為一臺邏輯交換機，控制

平面合一，統(tǒng)一管理。

＞轉(zhuǎn)發(fā)平面合一：CSS內(nèi)物理設備轉(zhuǎn)發(fā)平面合一，轉(zhuǎn)發(fā)信

息共享并實時同步。

＞跨設備鏈路聚合：跨CSS內(nèi)物理設備的鏈路被聚合

成一個TRUNK端口，和下游設備實現(xiàn)互聯(lián)。

CSS設備物理形態(tài)

css網(wǎng)絡物理形態(tài)CSS網(wǎng)絡邏輯形態(tài)

從上圖中我們可以看到，CSS通過設備“多虛一”和跨設

備的鏈路聚合，不但簡化了網(wǎng)絡拓撲，而且極大地提高了網(wǎng)

絡性能：

＞簡化運維：整個CSS被作為一臺交換機來管理，簡化運

維、降低Opex。

＞可靠性高：CSS內(nèi)一臺設備故障，其他設備可以接管

css的控制和轉(zhuǎn)發(fā)，避免單點故障。

＞無環(huán)網(wǎng)絡：跨設備的鏈路聚合，在CSS和其他設備互

聯(lián)時，天然避免了環(huán)路問題，無需部署MSTP等復雜的

破環(huán)協(xié)議。

＞鏈路均衡：跨設備的鏈路均衡，100%的網(wǎng)絡鏈路和帶

寬的利用率。

CSS在簡化網(wǎng)絡、提升轉(zhuǎn)發(fā)性能的同時，沒有帶來任何網(wǎng)

絡功能的損失。物理交換機具有的所有功能，都在CSS系統(tǒng)下

得到繼承，且性能還得到了放大。CSS擁有的這些特質(zhì)，使其

得到了越來越多的認可和接受，并成為了部署簡單、高效網(wǎng)

絡的首選方案。

2.3接入層設計

接入層通常指網(wǎng)絡中直接面向用戶連接或訪問的部分。其

目的即利用光纖、雙絞線、同軸電纜、無線接入等傳輸介質(zhì)，

實現(xiàn)與用戶連接，并進行業(yè)務和帶寬的分配，允許終端用戶連

接到網(wǎng)絡，因此接入層交換機具有低成本和高端口密度特性。

而本次改造中有14個接入層點位將采用雙線上行至

核心交換機(集群)，并利用OSPFECMP(Equal-Cost

MultiplePath)特性，在兩條專線鏈路之間進行負載均衡，

既增加了網(wǎng)絡的可靠性，又能提高了資源的利用率。

2.4網(wǎng)絡規(guī)劃設計

本次網(wǎng)絡改造項目中，將摒棄原有傳統(tǒng)的單線二層接入方

式，從而采用運營商雙線運行動態(tài)路由協(xié)議(0SPF)進行三層傳

輸接入核心，去掉中間級聯(lián)設備，形成扁平化的網(wǎng)絡架構，這

種組網(wǎng)方式將各個分支機構分割成單獨的局域網(wǎng)，一旦某個

分支機構出現(xiàn)網(wǎng)絡及線路故障將不會影響其他節(jié)點的業(yè)務。

新的傳輸接入模式，必須在各個節(jié)點建立獨立的三層網(wǎng)關

進行路由轉(zhuǎn)發(fā)，這就要求對整個網(wǎng)絡進行新的規(guī)劃和設置，如

下表所示:

點位網(wǎng)段VL

/24101

互聯(lián)/24102

代市氣所301

岳池水務302

前峰水務303

領水水務304

華琴水務305

城北客戶306

城南客戶307

西充燃氣308

領水燃氣309

希望接收310

城東水所311

龍門收費312

武勝水務313

岳池申力314

??????????????.

以上網(wǎng)絡規(guī)劃和設計，將在大的城域網(wǎng)環(huán)境中形成多個廣

播域，隔離廣播風暴和二層流量泛洪，減少IP地址沖突，提

高整個網(wǎng)絡的安全性和可維護性。具體的實施細節(jié)，將在項

目施工過程中與甲方相關人員進行深化設計。

2.5網(wǎng)絡傳輸設計

從核心層到接入層的傳輸部分是各個運營商（電信、廣電、

聯(lián)通、移動）的MSTP專線，其中，大部分接入點專線帶寬

為10M,而少數(shù)營業(yè)收費點專線帶寬為2M,在帶寬不夠的情

況下，可以酌情考慮增加線路帶寬。

MSTP(Multi-ServiceTransmissionPlatform)是指基于

SDH平臺同時實現(xiàn)TDMATM、以太網(wǎng)等業(yè)務的接入、處理和傳

送，提供統(tǒng)一網(wǎng)管的多業(yè)務節(jié)點。其構建統(tǒng)一的城域多業(yè)務傳

送網(wǎng)，將傳統(tǒng)話音、專線、視頻、數(shù)據(jù)、VOIP、IPTV等業(yè)務

在接入層分類收斂,并統(tǒng)一送到骨干層對應的業(yè)務網(wǎng)絡中集中

處理，從而實現(xiàn)了所有業(yè)務的統(tǒng)一接入、統(tǒng)一管理、統(tǒng)一

維護，提高了端到端電路的服務等級，這種專線技術具備以下

優(yōu)點：

?泛用性

MSTP電路適用于任何高速率、信息量大、實時性強的業(yè)務

傳送在通信領域的應用前景廣闊，用戶端接口為通用性的

RJ45接口。

?可選性

MSTP專線帶寬靈活，在2M至IJ1000M的區(qū)間內(nèi)，可以靈活選

擇。

?安全性

安全性有保障，比純粹基于互聯(lián)網(wǎng)的VPN業(yè)務安全性更高。

?靈活性

組網(wǎng)靈活，可支持星形網(wǎng)絡、環(huán)形網(wǎng)絡、點到點連接、多

點匯聚等。

金機構專蛀企業(yè)、集團號線

2.6網(wǎng)絡安全與優(yōu)化設計

1、網(wǎng)絡回溯分析系統(tǒng)

在網(wǎng)絡核心CSS集群旁部署一臺網(wǎng)絡回溯分析系統(tǒng)，可以

實現(xiàn)了對網(wǎng)絡通訊數(shù)據(jù)包級的高性能實時智能分析，因為網(wǎng)絡

回溯分析系統(tǒng)是一款集成大容量存儲的高性能數(shù)據(jù)包采集和

智能分析硬件平臺，它可以提供對各種網(wǎng)絡性能和應用性能

的關鍵參數(shù)實時分析，同時還能

夠?qū)崟r捕獲并保存網(wǎng)絡通訊流量,具備對長期的網(wǎng)絡通訊數(shù)據(jù)

進行快速數(shù)據(jù)挖掘和回溯分析能力，實現(xiàn)對關鍵業(yè)務系統(tǒng)中

的網(wǎng)絡異常、應用性能異常和網(wǎng)絡行為異常的實時發(fā)現(xiàn)、以及

異常原因的智能回溯分析，提升了對關鍵業(yè)務系統(tǒng)的運行保

障能力和問題處置效率。

這樣就在內(nèi)網(wǎng)構建起了一套基于流量的實時監(jiān)控和回溯

體系,不但可以精確了解網(wǎng)絡整體性能、應用負載，還能準確

定位網(wǎng)絡異常原因，及時排查網(wǎng)絡故障和病毒、木馬、攻擊等

安全隱患，實現(xiàn)核心鏈路/核心區(qū)域/核心業(yè)務運行可視化，

徹底解決“黑盒運維”。

2、入侵檢測系統(tǒng)

在核心CSS集群旁掛一臺專業(yè)的IDS（入侵檢測系統(tǒng)），該設

備可通過抓取來自核心交換機的數(shù)據(jù)流鏡像，對網(wǎng)絡、系統(tǒng)的

運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者

攻擊結(jié)果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。

3、負載均衡器

在業(yè)務服務器集群子網(wǎng)區(qū)域內(nèi)的各個應用服務器前端部署

一套負載均衡器，在多個客戶端發(fā)起業(yè)務訪問請求時，由前端

的負載均衡器來對所有訪問請求進行反向代理和統(tǒng)一調(diào)度，進

而將業(yè)務訪問負載合理均衡地分擔到每個后端服務器節(jié)點上,

以提高業(yè)務系統(tǒng)的整體服務效能。

ClientsServers

同時對服務器的操心系統(tǒng)、中間件、文件系統(tǒng)等軟件參數(shù)配

置以及資源池分配進行優(yōu)化，增強服務器的并發(fā)會話處理能

架構設計查詢優(yōu)化索引優(yōu)化

?表??存儲過程

?覆番查詢

內(nèi)存性能最

?視圖

處

I理

器親優(yōu)化

和

度

力，而數(shù)據(jù)庫方面，則可通過建立索引，優(yōu)化SQL語句和優(yōu)化

內(nèi)存、日志、表空間分配等方法來提高數(shù)據(jù)庫I/O性能，加快

數(shù)據(jù)的存取速度。

在接入交換機處，可通過Qos策略將業(yè)務數(shù)據(jù)和監(jiān)控數(shù)據(jù)

區(qū)分開，并給業(yè)務數(shù)據(jù)分配更高的優(yōu)先級，這樣在發(fā)生網(wǎng)絡擁

塞時，監(jiān)控數(shù)據(jù)就無法擠占正常業(yè)務帶寬，由此保障了業(yè)務訪

問的穩(wěn)定性，不受接入視頻監(jiān)控的干擾。

2.6網(wǎng)絡特點和優(yōu)勢

通過大力進行網(wǎng)絡改造后，具有達到如下特點和優(yōu)勢:

?高性能和高可用的網(wǎng)絡骨干

升級核心交換機替換老舊設備，可以大力提升核心節(jié)點的

轉(zhuǎn)發(fā)速度，增加網(wǎng)絡整體吞吐量，形成一個高性能、可擴展、

可靠的高效網(wǎng)絡。

?層次架構清晰

對網(wǎng)絡架構進行扁平化重構，不僅可以解決多級串連現(xiàn)象,

大大簡化網(wǎng)絡構成，還能減少中間節(jié)點的故障影響，迅速提高

流量轉(zhuǎn)發(fā)的處理速度，形成一個架構清晰，層次分明、可維護

性強的網(wǎng)絡基礎平臺。

?運維透明化和可視化

構建網(wǎng)絡的實時監(jiān)控和回溯體系，將全網(wǎng)流量可視化、透

明化，分析從流量趨勢、應用分布到性能負載等多方位情況，

能讓運維人員對整個網(wǎng)絡運行情況了如指掌，及時發(fā)現(xiàn)處理

網(wǎng)絡異常和攻擊威脅，將危害消滅在萌芽階段，并快速定位故

障原因和節(jié)點，縮短故障影響時間，提高故障處理效率，保證

網(wǎng)絡的高效穩(wěn)定運行。

.彈性的應用架構

部署負載均衡器,進一步優(yōu)化應用架構，讓每臺服務器輪流

均衡地分攤客戶端訪問請求，來提高業(yè)務系統(tǒng)的整體服務效

能，消除單點故障，形成一個高并發(fā)、高可用、高擴展性的業(yè)

務群集系統(tǒng)，并結(jié)合業(yè)務系統(tǒng)性能優(yōu)化，來提高服務器的并

發(fā)會話處理能力與數(shù)據(jù)庫I/O性能，加快業(yè)務的響應速度。

?專門的流控體系

在外網(wǎng)出口處通過流量控制器來審計和管控互聯(lián)網(wǎng)流量，屏

蔽非法應用，限制違規(guī)流量，保障帶寬資源，提高員工上網(wǎng)的

合規(guī)性和網(wǎng)絡使用效率，同時，在匯聚交換機處設置Qos策

略，讓監(jiān)控數(shù)據(jù)就無法擠占正常業(yè)務帶寬，保障業(yè)務訪問穩(wěn)定

性，不受視頻監(jiān)控流媒體數(shù)據(jù)的干擾。

?強大的安全防護保障

通過部署下一代防火墻和入侵檢測系統(tǒng)（IDS）的安全策

略，可進一步強化內(nèi)網(wǎng)的信息安全保障，防止各種網(wǎng)絡攻擊

和入侵活動，提高網(wǎng)絡安全系統(tǒng)的防護免疫力。

?高效整潔的數(shù)據(jù)中心

通過新機房搬遷，可以打造一個新的整潔舒適、專業(yè)美觀

的數(shù)據(jù)中心環(huán)境，為機房設備高效的管理和安全運營提供有

力支撐和保證

2.9主要設備介紹

2.9.1下一代防火墻

專-：

USG6350

當前，智能手機、iPad等終端已經(jīng)普及，移動應用程序、

Web2.0、社交網(wǎng)絡應用于企業(yè)運營的方方面面。企業(yè)網(wǎng)絡邊

界變得模糊，信息安全問題日益復雜。通過IP和端口進行訪

問控制的傳統(tǒng)的防護墻無法應對層出不窮的應用層威脅。

華為USG6300系列下一代防火墻面向中小企業(yè)，通過對應

用、用戶、內(nèi)容、威脅、時間、位置6個維度的全面感知，提供

精細的業(yè)務訪問控制和加速。入侵防御(IPS)和防病毒(AV)等

應用層深度防御與應用識別相結(jié)合，有效提高了威脅防御的效

率和準確性。具備全面的防護功能，一機多能，有效降低管理

成本。精細的帶寬管理和QoS優(yōu)化能力有效降低企業(yè)的帶寬租

用費，確保關鍵業(yè)務體驗。持續(xù)、簡單、高效地提供下一代網(wǎng)

絡安全。

?產(chǎn)品特性

精準的訪問控制

傳統(tǒng)防火墻主要通過端口和IP進行訪問控制，下一代防

火墻的核心功能依然是訪問控制。USG6000在控制的維度和

精細程度上都有很大的提高：

一體化防護：

從應用、用戶、內(nèi)容、時間、威脅、位置6個維度進行一體

化的管控和防御。內(nèi)容層的防御與應用識別深度結(jié)合，一體化

處理。例如：識別出Oracle的流量，進而針對性地進行對應

的入侵防御，效率更高，誤報更少。

基于應用：

運用多種技術手段，準確識別包括移動應用及Web應用內(nèi)

的6000+應用協(xié)議及應用的不同功能，繼而進行訪問控制和業(yè)

務加速。例如:區(qū)分微信的語音和文字后采取不同的控制策略。

基于用戶:

通過Radius、LDAP、AD等8種用戶識別手段集成已有

用戶認證系統(tǒng)簡化管理。基于用戶進行訪問控制、QoS管理

和深度防護。

基于位置：

與全球位置信息結(jié)合，識別流量發(fā)起的位置信息；掌控應

用和攻擊發(fā)起的位置，第一時間發(fā)現(xiàn)網(wǎng)絡異常情況。根據(jù)位置

信息可以實現(xiàn)對不同區(qū)域訪問流量的差異化控制。支持根據(jù)

IP自定義位置。

＞全面的防護范圍

越來越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上，網(wǎng)絡攻擊和信息

竊取形成巨大的產(chǎn)業(yè)鏈，這對下一代防火墻的防護范圍提出

了更高要求。USG6000具備全面的防護功能：

一機多能：

集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、

帶寬管理、上網(wǎng)行為管理等功能于一身，簡化部署，提高管

理效率。

入侵防護(IPS)：

超過3500+漏洞特征的攻擊檢測和防御。支持Web攻擊識別

和防護，如跨站腳本攻擊、

SQL注入攻擊

等；防病毒

(AV)：

高性能病毒引擎，可防護500萬種以上的病毒和木

馬，病毒特征庫每日更新；數(shù)據(jù)防泄漏：

對傳輸?shù)奈募蛢?nèi)容進行識別過濾。可識別120+種常見

文件類型，防止通過修改后綴名的病毒攻擊。能對Word.

Excel.PPT、PDF、RAR等30+文件進行還原和內(nèi)容過濾，

防止企業(yè)關鍵信息通過文件泄露。

SSL解密:

作為代理，可對SSL加密流量進行應用層安全防護，如

IPS、AV、數(shù)據(jù)防泄漏、URL過濾等。

Anti-DDoS：

可以識別和防范SYNflood、UDPflood等10+種DDoS

攻擊，識別500多萬種病毒。上網(wǎng)行為管理：

采用基于云的URL分類過濾，預定義的URL分類庫已超

過8500萬，阻止員工訪問惡意網(wǎng)站帶來的威脅。并可對員

工的發(fā)帖、FTP等上網(wǎng)行為進行控制。可對上網(wǎng)記錄進行審

計。

安全互聯(lián)：

豐富的VPN特性，確保企業(yè)總部和分支間高可靠安全互聯(lián)。

支持IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等；

QoS管理：

基于應用靈活的管理流量帶寬的上限和下限，可基于應

用進行策略路由和QoS標簽著色。支持對URL分類的QoS

標簽著色，例如：優(yōu)先轉(zhuǎn)發(fā)對財經(jīng)類網(wǎng)站的訪問。

負載均衡：

支持服務器間的負載均衡。對多出口場景，可按照鏈路質(zhì)

量、鏈路帶寬比例、鏈路權重基于應用進行負載均衡。

虛擬化：

支持多種安全業(yè)務的虛擬化，包括防火墻、入侵防御、反

病毒、VPN等。不同用戶可在同一臺物理設備上進行隔離的

個性化管理。

＞簡單的安全管理

下一代防火墻的防護范圍和控制精度比傳統(tǒng)防火墻大大

增加，這對使用者的經(jīng)驗和技能提出了更高的要求。華為

USG6000利用SmartPolicy功能降低對使用者的要求，更好

的進行防護。SmartPolicy主要具備以下功能：

快速部署策略：

內(nèi)置場景策略模板，不依賴使用者的經(jīng)驗也能快速地部署

常用防護策略。例如：如果希望使用網(wǎng)絡存儲，管理員僅需基

于“使用網(wǎng)盤”這個策略模板，就能建立一系列策略。在策略

中，對網(wǎng)盤類應用允許下載并進行病毒檢測，但禁止文件上

傳。

智能優(yōu)化策略：

根據(jù)內(nèi)置應用風險庫和網(wǎng)絡實際流量對已部署的安全策

略進行評估和優(yōu)化，使其符合最小授權原則。在企業(yè)遺留大量

端口防護策略，需要轉(zhuǎn)換為NGFW使用的應用防護策略時尤其

有用。

智能精簡策略：

自動發(fā)現(xiàn)重復的和長期沒有使用的策略，精簡策略規(guī)模，

簡化管理；

＞高效防護性能

UTM產(chǎn)品當開啟應用層防護時性能下降明顯，無法滿足當

前應用層防護的性能要求。下一代防火墻要求在多重防護的

情況下仍保持高性能。

USG6000系列下一代防火墻采用全新架構的智能

感知引擎(IAE,IntelligenceAwarenessEngine),采

用了一次解析多業(yè)務并行處理的架構，確保多重防御下的

高性能體驗。IAE使用了三大核心技術：

一體化描述語言：

應用識別、IPS、AV采用統(tǒng)一的描述語言，一次性處理，

一次性分析，減少重復的操作；一體化處理架構：

不同于UTM對各個安全功能串行處理,USG6000在完成統(tǒng)一

解析后，各安全業(yè)務檢查是并行的，最后做統(tǒng)一處理。每個步

驟一次性做好，確保多安全業(yè)務開啟情況下，對整體性能影響

最小；

軟硬結(jié)合一體化:

對有規(guī)律、大批量、高運算能力要求的報文處理，例如：

報文加解密、特征匹配，采用專用多核平臺由專用的協(xié)處理器

硬件處理。對小規(guī)模的運算，仍然用軟件處理。軟硬結(jié)合一體

化的處理方式讓整體性能更高。

＞組網(wǎng)應用

S??

~s!

6B!

-1

l1

e!

8u1

-/

一

SSSSS

占—JJ

^S6川目目昆仙

＞企業(yè)內(nèi)網(wǎng)邊界防護

在企業(yè)內(nèi)網(wǎng)部門和無線接入的匯聚網(wǎng)絡部署下一代防火

墻。對PC用戶通過防火墻策略基于用戶信息進行訪問控

制。

對移動用戶采用基于用戶+應用的策略控制，實現(xiàn)精細權限

管理，并記錄日志。

對郵件、IM、文件傳輸?shù)冗M行內(nèi)容過濾和審計，監(jiān)控社交

類應用，避免數(shù)據(jù)泄露。

＞互聯(lián)網(wǎng)出口防護

在互聯(lián)網(wǎng)出口部署下一代防火墻，在出口進行訪問控

制，阻止一切非認證訪問。啟用入侵防御功能，提供

萬兆級應用層威脅實時防護。

對郵件、IM文件傳輸?shù)冗M行內(nèi)容過濾和審計，監(jiān)控社

交類應用，避免數(shù)據(jù)泄露。基于用戶、應用、時間進行

QoS管理，優(yōu)先保障核心用戶和關鍵業(yè)務的服務質(zhì)量。

通過URL分類和應用阻斷進行上網(wǎng)行為管理。阻斷掛馬網(wǎng)

站和工作無關網(wǎng)站，根據(jù)角色監(jiān)控員工可以訪問的網(wǎng)站和可

以使用的網(wǎng)絡應用。

>云數(shù)據(jù)中心邊界防護

數(shù)據(jù)中心出口部署下一代防火墻，進行安全業(yè)務和系統(tǒng)資

源的虛擬化特性，可為每個虛擬環(huán)境提供超乎尋常的安全體

驗。

萬兆級入侵防御可有效阻斷各類黑客攻擊，并可根據(jù)不同

的虛擬環(huán)境需求，提供差異化的防御特性，保障數(shù)據(jù)安全。

通過Anti-DDoS特性，對拒絕服務攻擊流量進行清洗，保障

數(shù)據(jù)中心對外業(yè)務。

>VPN遠程互聯(lián)

通過下一代防火墻的VPN接入，在互聯(lián)網(wǎng)上構建一條可信、

可控、可管的安全傳輸隧道。在外人員和移動用戶可通過

SSLVPN接入，提供Windows、IOS、Android、

Blackberry,

Symbian多種操作系統(tǒng)支持，提供泛終端的接入能力。

?產(chǎn)品規(guī)格

型號USG6350

固定接口4GE+2combo

擴展槽位2*WSIC

WSIC:

2X10GE(SFP+)+8XGE(RJ45)、8XGE(RJ45)、8XGE(SFP

接口模塊類型4XGE(RJ45)BYPASS'

產(chǎn)品形態(tài)1U

尺寸(WXDXH)mm442X421X43.6

滿配重量10kg

HDD選配300GB單硬盤，支持熱插拔

冗余電源選配

電源AC100-240V

最大功率170W

溫度：0?45℃（不含硬盤）/5℃?40℃（包含硬盤）

工作環(huán)境濕度：10%?90%

非工作環(huán)境溫度：-40℃?70℃/濕度：5%-95%

2.9.2核心交換機

S9706

?產(chǎn)品

概述

S9700系列交換機是華為公司面向下一代園區(qū)網(wǎng)核心和

數(shù)據(jù)中心業(yè)務匯聚而專門設計開發(fā)的高端智能T比特核心路

由交換機。該產(chǎn)品采用先進的多層交換架構，提供持續(xù)的帶寬

升級能力，支持40GE和100GE以太網(wǎng)標準。該產(chǎn)品基于華為公

司自主研發(fā)的通用路由平臺

VRP開發(fā)，在提供高性能的L2/L3層交換服務基礎上，進一步

融合了MPLSVPN＞硬件IPV6＞桌面云、視頻會議、無線等多

種網(wǎng)絡業(yè)務，提供不間斷升級、不間斷轉(zhuǎn)發(fā)、硬件OAM/BFD、

環(huán)網(wǎng)保護等多種高可靠技術，在提高用戶生產(chǎn)效率的同時，保

證了網(wǎng)絡最大正常運行時間，從而降低了客戶的總擁有成本

(TCO)o

通過部署內(nèi)置華為首款以太網(wǎng)絡處理器ENP的X1E單

板，S9700可以升級為敏捷交換機，客戶可以享有敏捷交

換機帶來的創(chuàng)新體驗。

S9700系列提供S9703、S9706、S9712三種產(chǎn)品形態(tài)。

?產(chǎn)品特性

S9700升級為敏捷交換機，讓網(wǎng)絡更敏捷地為業(yè)務服務

S9700支持隨板AC,業(yè)務單板同時兼具無線AC功能，

無需額外購買AC硬件；整機最大可管理2KAP,32K用戶；

整機轉(zhuǎn)發(fā)性能可達T-bit,解決外置AC處理性能瓶頸，助

力客戶從容面向高速無線時代。

S9700支持統(tǒng)一用戶管理功能，屏蔽了接入層設備能

力和接入方式的差異，支持

PPPoE/802.IX/MAC/Portal等多種認證方式，支持對用戶進行

分組/分域/分時的管理,用戶、業(yè)務可視可控，實現(xiàn)了從“以

設備管理為中心”至U“以用戶管理為中心”的飛躍。

SVF2.0超級虛擬交換網(wǎng)，創(chuàng)新實現(xiàn)不僅將盒式交換機縱向

虛擬為框式交換機板卡，而且將AP縱向虛擬為框式交換機的

端口，使得原來“核心/匯聚+接入交換機+AP”的網(wǎng)絡架構，虛

擬化為一臺設備進行管理，提供業(yè)界最簡化網(wǎng)絡管理方案。

iPCA網(wǎng)絡包守恒算法，改變了傳統(tǒng)利用模擬流量做故障定

位的檢測模型，可對任意業(yè)務流隨時隨地逐點檢測網(wǎng)絡質(zhì)量,

無需額外開銷；可在短時間內(nèi)立刻檢測業(yè)務閃斷性故障，檢測

直接精準到故障端口，實現(xiàn)從“粗放式運維”到“精準化運

維”的大轉(zhuǎn)變。

S9700支持ServiceChain業(yè)務編排功能，ServiceChain

對網(wǎng)絡增值業(yè)務處理能力（如下一代防火墻NGFW）進行虛擬

化，以便園區(qū)網(wǎng)絡實體（如交換機、路由器、AC、AP、終端設

備）可以無差別的利用這些能力，而不受物理位置的約束，提

供一種更靈活部署園區(qū)增值業(yè)務的解決方案，減少客戶設備

投資和維護成本。

＞創(chuàng)新的CSS集群技術

S9700支持CSS交換網(wǎng)集群和業(yè)務口集群，將多臺設備虛擬

化為一臺邏輯設備，在可靠性、交換效率、靈活性和易管理

性方面具有強大的優(yōu)勢。

可靠性:通過路由熱備份技術,實現(xiàn)控制平面和數(shù)據(jù)平面所

有信息的冗余備份和無間斷的三層轉(zhuǎn)發(fā)，極大地增強了設備

的可靠性和性能，同時可以通過跨框鏈路聚合提高鏈路的利

用率，消除單點故障，避免了業(yè)務中斷；

交換效率創(chuàng)新的CSS交換網(wǎng)集群技術,克服了業(yè)界普遍采用

的線卡集群跨框多次交換，交換效率低下的架構難題；

靈活性：普通業(yè)務端口可以復用為集群端口，使端口應用

更加靈活。通過光纖進行集群可大幅增加集群的距離，突破了

傳統(tǒng)集群距離的限制；

易管理性：整個彈性架構共用一個IP管理，簡化網(wǎng)絡設

備管理，簡化網(wǎng)絡拓撲管理，提高運營效率，降低維護成本；

＞運營級高可靠性設計

S9700所有關鍵器件，如主控、電源、風扇等均采用冗余設

計，所有模塊均支持熱插拔，有效保證網(wǎng)絡穩(wěn)定運行。

S9700支持硬件級3.3ms高精度BFD快速鏈路檢測

功能，能為靜態(tài)路由

/RIP/OSPF/BGP/1SIS/VRRP/PIM/MPLS等協(xié)議提供穩(wěn)定均勻

的毫秒級檢測機制，大大提高了網(wǎng)絡可靠性。

S9700支持快速自愈保護技術HSR(High-speedSelf

Recovery),基于華為ENP板卡，獨家實現(xiàn)端到端IPMPLS

承載網(wǎng)50nls倒換保護，進一步提升網(wǎng)絡可靠性。

S9700支持硬件級以太0AM,包括完善的802.3ah、802.lag

和ITU-Y.1731,能夠?qū)W(wǎng)絡傳輸中的時延、抖動等參數(shù)進行

精確統(tǒng)計，實時監(jiān)測網(wǎng)絡運行情況，并在設備故障發(fā)生時快速

定位實現(xiàn)網(wǎng)絡快速故障檢測、定位與倒換。

S9700支持ISSU業(yè)務運行中軟件升級，設備軟件升級過程

中確保關鍵業(yè)務和服務不中斷。支持優(yōu)雅重啟技術(Graceful

Restart),實現(xiàn)NSF無中斷轉(zhuǎn)發(fā)，有效保證全網(wǎng)高速可靠運

行。

＞強大的業(yè)務處理能力

多業(yè)務路由交換平臺，滿足企業(yè)接入、匯聚、核心業(yè)務承

載要求，支持無線、語音、視頻和數(shù)據(jù)應用，為企業(yè)提供高可

用、低時延、全業(yè)務的一體化網(wǎng)絡解決方案。

支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、

HVPLS、VLL,滿足企業(yè)VPN等用戶的接入需求。

完善的二、三層組播協(xié)議，支持PIMSM、PIMDM、PIM

SSM、MLD、IGMPSnooping,滿

足多終端高清視頻監(jiān)控和視頻會議接入需求。

軟件平臺提供多種路由協(xié)議滿足企業(yè)建網(wǎng)要求，支持從中

小企業(yè)到超大型跨國公司級大規(guī)模路由，支持IPv6,能夠為

企業(yè)網(wǎng)絡提供平滑升級能力。

＞豐富的網(wǎng)絡流量分析功能

S9700支持Netstream網(wǎng)絡流量分析，支持V5/V8/V9多種

報文格式，支持聚合流量模板，實時流量采集、動態(tài)報表生

成、屬性分析、流量異常告警等功能；支持向主、備分析服務

器同時發(fā)送日志，防止統(tǒng)計信息丟失。能夠提供實時的網(wǎng)絡監(jiān)

控功能和全網(wǎng)范圍內(nèi)的流量模式，并提供預先故障檢測、高效

故障排除和快速問題解決功能，提供安全監(jiān)控等應用和分析，

幫助用戶及時優(yōu)化網(wǎng)絡結(jié)構、調(diào)整資源部署。

＞完善的安全保護機制

S9700支持MACsec,提供逐跳設備的數(shù)據(jù)安全傳輸,適用于

政府、金融等對數(shù)據(jù)機密性要求較高的場合。

NGFW新一代防火墻業(yè)務處理板，在提供傳統(tǒng)防火墻、身份

認證、Anti-DDoS等基礎防御功能外，同時支持IPS、反垃圾

郵件、Web安全、應用控制等專業(yè)安全功能。

提供完善的NAC解決方案，支持MAC地址認證、Portal認證、

802.lx認證。HCPSnooping觸發(fā)認證多種認證方式，有效應

對啞終端接入、移動設備接入和集中式IP地址分配等多種

接入方式的安全挑戰(zhàn)，確保企業(yè)網(wǎng)絡安全。

提供2級CPU保護機制，支持IKCPU硬件保護隊列，可實

現(xiàn)數(shù)據(jù)和控制的分離處理，防止拒絕服務攻擊、非法接入以及

控制平面過載等安全威脅，提供業(yè)界領先的一體化安全解決

萬案。

>全面的IPv6解決方案

S9700軟硬件平臺均支持IPv6,取得工信部IPv6入網(wǎng)

認證和IPv6Ready第二階段金色認證。

S9700全面支持IPv6靜態(tài)路由、RIPng>0SPFv3、

IS-ISv6>BGP4+等IPV6單播路由協(xié)議,支持MLDvl/v2、

MLDSnooping>PIM-SM/DMv6>PIM-SSMv6等IPv6組播特

性，為用戶提供完善的IPv4/IPv6解決方案。

S9700支持豐富的IPv4向IPv6過渡技術包括：IPv6

手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼

容自動配置隧道等隧道技術，保證IPv4網(wǎng)絡向IPv6網(wǎng)絡

的平滑過渡。

>創(chuàng)新節(jié)能打造綠色低碳網(wǎng)絡

S9700采用主機前后及左后風道設計，提高整機散熱效率,

采用芯片“變流”技術，實現(xiàn)按流量動態(tài)調(diào)整功率，降低整

機功耗11%。支持端口休眠，無流量不耗電。

獨立風扇分區(qū)控制，進一步降低功耗和噪聲污染，智能風

扇調(diào)速策略，采用小區(qū)間控溫技術，有效降低轉(zhuǎn)速，并延長風

扇使用壽命。

支持IEEE802.3az能效以太網(wǎng)標準，線卡收發(fā)器具備低功

率閑置模式，支持正常工作與低功率狀態(tài)快速轉(zhuǎn)換，低流量

低功耗網(wǎng)絡的平滑過渡。

?設備參數(shù)

而日S9706

點攤?cè)リ?S04ThnJA7

旬蛀分室

業(yè)務橫得6

方痔的柘AC

方持AP熔入垓制、AP-堿管理禾flAP西F1

方拷射驪橫柘管鋰、締一熱?太麻獸和魚

無線管理方持式/TAN其木業(yè)冬、CcS、右仝和田

方持有繡而繡緯一田戶管理

主持PPPCF、8021X.MAC.PortalTA

方排其干潘黑、（用昭曰的

用戶管理方持A幺日仆城仆府將初方請

支持直接對業(yè)務報文標記以獲得丟包

iPCA質(zhì)量感知方持一二星網(wǎng)紇網(wǎng)紇爾和港密爾壬句

方持滔1AS（接入方將木口）、AP虎杷為

古持2早AS

SVF2.0簡化運維

方持匕笛一方1'矗浪合幺日網(wǎng)普鋰

寺i^Arrcss、Trunk、Hvhridhvl

方持出小VTAN

方持VLAN方悔

方持C*C、僧舟刑擊活OinO

XTTAN'T方痔具+MA「的初太VI.AN仆航

MAU出b七卜Hi能方持MA「陽七卜白加受習和玄伊

方持靜太、天力木、里洞MAT美工而

方持源MA「加七小寸油

方持具手湍口和VT.AN的MAC曲七卜學

支持STP(IEEE802.1d),RSTP(IEEE

方持RPDIT保護、Rcct像護、環(huán)腐板■護

方持RPDITTur1noi

方持FRPS□大環(huán)保柏油、例（G

主持RIP、CSPF、ISIS、RCP箋IPv4

支持RIPng、OSPFv3>ISISv6>BGP4+

IP路由

右持ICMPvl/v?/v^、IGMPv1/v?/v3

方持PTMDM、PTMSM.PTMASM

方持MSDP、MRQP

方持田向桂注電并和生||

方持如施潘曷松制

寺持幺日據(jù)杳詢器

方持組據(jù)協(xié)相十如1制計能

方持幺日挑rA「

方持幺日據(jù)AC1

方持MPT.S其木Hl能

主持MPLSCAM

主持MPTSTF

MPLS方持MPLSVPN/VTT./VP1S

主持T.AUP、方持睦語名F-Trunk

方持VRRP、RFDfnrVRRP

主持RFDfcrRGP/TS-TS/CSPF/靜太跑

方持NSF、CRFer

主持TFFRR、TPFRR

主持IN太網(wǎng)CAMRO?4ah禾n80?1co防百

方持仲漆白俞俅護拈犬HSR

HT竟，吐方持TTTT-Y1731

主持DTDP

方持運行中軟件升級TSSTI

支持基于Layer2協(xié)議頭、Layer3協(xié)議、

Layer4協(xié)議、

CAR、Remark、Schedule笑

方持SP、戈/RR、DRR、SP+式7RR、

方持WRF.D、尾壬寶箋：Iffl突遮令和制

方持H-CCS

CK古持流曷數(shù)刑

^!r木壬CcnscL、Telnet^SSl-f笙幺攵湍口

方持SNMPvl/v2/v3箋網(wǎng)絡管理協(xié)＜?”

主持:甬;寸FTP、TFTPTi^t卜弒、T^ir

3號寺RcctRCM幺乃禾Fl：兀程幺袈王"織

方持執(zhí)補丁

方持田戶榻拴FI擊

R021vxAT?F_Pertaii/AiTF

方持MACS”

方持NAU

方持RADTTS禾flHWTACACS田白咨金

余金行公郵像護去梧柯田門市法信入

支持防范DoS攻擊、TCP的SYN

方持1K「PIT誦酒弘萬II像柏

古持ICMP立即nino■和tr^rernnte功臺6

.__、，—?/“、4r~T~t方持RMCN

寺持Firewall功能

方持NAT功能

寺拮功臺W

方持TPS”功能

方持儕郭均衡功能

方持王繡制黑

+曲伯Nl/紹臺g-h*方持IPS入僖防御季締

VBST基于VLAN生成雄＞議（和PVST/PVST+/RPVST互叫

互通性LNP鏈路類型協(xié)商協(xié)議（和DTP相似功能）

VCMPVLAN集中管理協(xié)議（和VTP相似功能）

綠色節(jié)能支持802.3az能效以太網(wǎng)

機箱尺寸mm（高*寬*深）441.7*442*489

機箱重量（空配）29kg

DC:-40V--72V

工作電壓

AC：90V?290V

整機供電能力4400W

2.9.3接入交換機

S5700-28C-EI

?產(chǎn)品概述

S5700-EI增強型千兆以太網(wǎng)交換機系列(以下簡稱

S5700-EI),是華為公司自主研發(fā)的千兆以太網(wǎng)交換機，提供

靈活的全千兆接入以及萬兆上行端口。該系列交換機基于新

一代高性能硬件和華為公司統(tǒng)一的VRP(VersatileRouting

Platform)軟件平臺，具有智能

iStack堆疊，杰出的網(wǎng)流分析，靈活的以太組網(wǎng)，完善的VPN

隧道，多樣的安全控制，成熟的IPv6特性，輕松的運行維護，

更多的端口組合等特點。廣泛應用于企業(yè)園區(qū)接入、匯聚，

數(shù)據(jù)中心千兆接入等多種應用場景。

?產(chǎn)品特性和優(yōu)勢

＞更多的端口組合

S5700-EI支持多種上行擴展插卡，提供高密度的

GE/10GE上行接口。其中S5710-EI系列具有4個固定

10GESFP+端口，通過上行擴展插卡可實現(xiàn)64XGE+

4X10GE,48XGE+8

X10GE,或56XGE+6X10GE等不同端口組合，充分滿足不

同用戶對帶寬升級的實際需求，保護用戶投資。

完善的VPN隧道

S5700-EI支持Multi-VPN-InstanceCE(MCE)功能。

S5700-EI支持下接不同的VPN用戶，通過路由多實例，實

現(xiàn)了不同用戶的隔離；上行通過共用的物理接口連接到PE

設備，減少單個VPN用戶對網(wǎng)絡部署的投資。

S5710-EI支持MPLSL3VPN、MPLSL2VPN(VPWS\VPLS)、

MPLS-TE.MPLSQoS等功能,可

作為高質(zhì)量企業(yè)專線接入設備，是業(yè)界為數(shù)不多的高性價比盒

式MPLS交換機。

＞靈活的以太組網(wǎng)

S5700-EI不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹協(xié)議，還

支持華為自主創(chuàng)新的SEP智能以太保護技術和業(yè)界最新的

以太環(huán)網(wǎng)標準ERPS。SEP是一種專用于以太鏈路層的環(huán)網(wǎng)協(xié)

議，適用于半環(huán)、整環(huán)、級連環(huán)等各種組網(wǎng)，其協(xié)議簡單可

靠、維護方便，并提供50ms的快速業(yè)務倒換。ERPS是ITU-T

發(fā)布的G.8032標準，該標準基于傳統(tǒng)的以太網(wǎng)MAC和網(wǎng)橋功

能，實現(xiàn)以太環(huán)網(wǎng)的毫秒級快速保護倒換。

S5700-EI支持SmartLink和VRRP功能。S5700-EI通過多條

鏈路接入到多臺匯聚交換機上，SmartLink/VRRP實現(xiàn)了上

行鏈路的備份，極大地提升了接入側(cè)設備的可靠性。

S5700-EI支持多種連接故障快速檢測功能。

S5700-EI支持完善的以太OAM

(IEEE802.3ah/802.lag/ITUY.1731)和BFD功能。

＞多樣的安全控制

S5700-EI支持MAC地址認證和802.lx認證，實現(xiàn)用戶

策略(VLAN、QoS、ACL)的動態(tài)下發(fā)。支持基于端口粒度的dotIX、

MAC認證和混合認證;支持基于VLANIF接口粒度的Portal認

證。

S5700-EI支持完善的DoS類防攻擊、用戶類防攻擊。其

中，DoS類防攻擊主要針對交換機本身的攻擊，包括SYN

Flood、Land、Smurf＞ICMPFlood；用戶類防攻擊涉及DHCP

服務器仿冒攻擊、IP/MAC欺騙、DHCPrequestflood,改

變DHCPCHADDR值等等。

S5700-EI通過建立和維護DHCPSnooping綁定表，對不

符合綁定表項的非法報文直接丟棄。利用DHCPSnooping的

信任端口特性，S5700-EI還可以保證DHCP服務器的合法

性。S5700-EI支持ARP表項嚴格學習功能，可以防止因

ARP欺騙攻擊將交換機ARP表項占

滿，導致正常用戶無法上網(wǎng)。

＞杰出的網(wǎng)流分析

S5710-EI支持NetStream網(wǎng)絡流量分析功能。作為網(wǎng)絡

流量輸出器，S5710-EI根據(jù)用戶配置，實時采集指定的數(shù)

據(jù)流量，通過標準的V5/V8/V9報文格式，將數(shù)據(jù)上送給網(wǎng)

絡流

量收集器，這些數(shù)據(jù)被進一步處理，可以實現(xiàn)動態(tài)報表生成、

屬性分析、流量異常告警等功能，幫助用戶及時優(yōu)化網(wǎng)絡結(jié)

構、調(diào)整資源部署。

S5700-EI支持sFlow功能。S5700-EI按照標準定義的方

式，對轉(zhuǎn)發(fā)的流量按需采樣，并實時地將采樣流量上送到收

集器，用于生成統(tǒng)計信息圖表，為企業(yè)用戶的日常維護提供了

極大的方便。

>輕松的運行維護

S5700-EI支持華為EasyOperation簡易運維方案，提供新

入網(wǎng)設備Zero-Touch安裝、故障設備更換免配置、USB開

局、設備批量配置、批量遠程升級等功能，便于安裝、升

級、業(yè)務發(fā)放和其他管理維護工作，大大降低了運維成本。

S5700-EI支持SNMPVl/V2c/V3>CLI

（命令行）、Web網(wǎng)管、SSHv2.0等多樣化的管理和維護方

式；支持RM0N、多日志主機、端口流量統(tǒng)計和網(wǎng)絡質(zhì)量分

析，便于網(wǎng)絡優(yōu)化和改造。

EasyDeploy：Commander交換機收集下掛Client的拓

撲信息，并基于拓撲保存Client對應的啟動信息；支持

Client免配置更換。支持對Client批量下發(fā)配置和腳

本，并支持對配置下發(fā)結(jié)果進行查詢。

Commander交換機支持收集并顯示整網(wǎng)能耗信息。

S5700-EI支持GVRP,實現(xiàn)VLAN的動態(tài)分發(fā)、注冊和

屬性傳播，減少手工配置量，保證配置正確性。S5700-EI

還支持MUXVLAN功能，MUXVLAN分為主VLAN和從VLAN,從

VLAN又分為互通型從VLAN和隔離型從VLAN。主VLAN與從

VLAN之間可以相互通信；互通型從

VLAN內(nèi)的端口之間互相通信；隔離型從VLAN內(nèi)的端口之間不

能互相通信。

＞智能iStack堆疊

S5700-EI智能iStack堆疊，將多臺支持堆疊特性的交換機

組合在一起，從邏輯上組合成一臺虛擬交換機。iStack堆疊

系統(tǒng)通過多臺成員設備之間冗余備份，提高了設備級的可靠

性；通過跨設備的鏈路聚合功能，提高了鏈路級的可靠性。

iStack提供了強大的網(wǎng)絡擴展能力，通過增加成員設備，可

以輕松地擴展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。iStack

簡化了配置和管理，堆疊形成后，多臺物理設備虛擬成為一臺

設備，用戶可以通過任何一臺成員設備登錄堆疊系統(tǒng)，對堆疊

系統(tǒng)所有成員設備進行統(tǒng)一配置和管理。

＞成熟的IPv6特性

S5700-EI基于成熟穩(wěn)定的VRP平臺，支持IPv4/IPv6

雙協(xié)議棧、IPv6路由協(xié)議

(RIPng/0SPFv3/BGP4+/IS-ISv6)、IPv6overIPv4隧道(手

工隧道/6to4隧道/ISATAP隧

道)。S5700-EI既可以部署在純IPv4或IPv6網(wǎng)絡，也

可以部署在IPv4與IPv6共存的網(wǎng)絡，充分滿足網(wǎng)絡從

IPv4向IPv6過渡的需求。

?產(chǎn)品規(guī)格

工而日SS700-98C-FT

IWI^1~124X10/100/1000Rq?p-T

方廣國插灑S57。。「狙征兩個擴國插槽A早II方持卜

遒循TFFF?0?1d標準

方持3?I<MA。陽七卜去曷

方持MAC曲七卜白新生習和老伊

古持靜太、孫太、里洞MAC走工而

N/A廠」」LLL=t^方洋源MA「-曲七卜:寸浦

主持4K個VTAN

寺持CuztVT.AN、Vci”VTAN

主持avRP-bfi^,</

方持MUXVLANTh臺U

古蚌其干MA「/W、；"/IP不網(wǎng)/普感/濾

主持1?1天flNMVI.ANManninb功臺U

古持RRPP林開【J柘撲和RRPP先立碗

支持SmartLink樹型拓樸和SmartLink

志持智能［J太保護SFP協(xié)、起

古持FRPS口大壞俱護協(xié)、；"(GROD)

節(jié)"持RFDFnrOSPF/TS-TS/VRRP/PTM

支持STP&EEE802.Id),RSTP(IEEE

802.1w)和MSTP(IEEE

BT隼柱方持RPDU保護、相模護和環(huán)向保護

SR71C_RT古持卜圳皓枇?

主持MPTST3VPN

方持MPTST2VPN6VPWS/VPIS

主持MPTS-TF

主持MPTSOnS

TP蜴■出靜太喀山、RTPv1/TRTPtib、CSPF、

、、、路由

I給S-畋ISv6>BGPBGP4+ECMP

才專ND（N「icrhhcrDis「cvFrv）

主持PMTU

4^IPv6Pino*、IPv6Tr^rertIPv6

古方豐Atc4、ISATAP、7\'hS?S*tiinnel

支持基于源IPv6地址、目的IPv6地

支持MLDvl/v2snooping（Multicast

主持TCMPv1/v2/v4Snccnincr天門，山;市

方性VLAN肉幺日據(jù)蛀巖和絹據(jù)含VLAN

主排棚緇湍n的幺日據(jù)儕裁A柏

方持HT松幺日熱

寺持其十湍口崎絹耀濟曷統(tǒng)計

主持IGMPv1/v?./v3、PTM-SM、

如挑古持MSDP

士"才生*h湍I~［入片后1、M~!h1口1-#彳丁-曲)玄sE包

^^拮:方仔V由空向

方持其干湍門的流曷西筲方持雙深

第湍rr方持s個隊列

主持WRR、DRR、SP、XX7RR+SP、

方洋XX/RFD火K710-FI右持)

寺持招十的?n?in^rmscp帶牛郵串新

支持L2(Layer2)?L4(Layer4)包過

濾功能，提供基于源MAC地址、目

主持其干際列眼油和謐口數(shù)弦計能

田戶小繡管理和門今保護

寺持附【卜DC。、ARP的古曲能、TCMP

古拷IP、MAC.濾口、VT.AN的幺日合

方排端門隔南、湍門右仝、Stir^rMAC

壬人i，回古持MFF

支持黑洞MAC地址

支持MAC地址學習數(shù)目限制

支持IEEE802.1x認證，支持單端口最大用戶數(shù)限制

支持AAA認證，支持Radius、HWTACACS>NAC等多

種方式

支持SSHV2.0

支持HTTPS

支持CPU保護功能

支持黑名單和白名單

支持智能堆疊iStack

支持虛擬電纜檢測（VirtualCableTest）

支持SNMPvl/v2c/v3

支持RMON

管理和維護支持網(wǎng)管系統(tǒng)、支持WEB網(wǎng)管特性

支持系統(tǒng)日志、分級告警

支持