华为整体网络解决方案 本文简介:
:华为网络整体解决方案目录1概述32企业网络建设设计原则43华为产品解决方案63.1整体架构设计63.1.1总体网络架构63.1.2有线网络解决方案73.1.2.1核心层网络设计73.1.2.2汇聚层网络设计73.1.2.3接入层网络设计83.1.3数据中心解决方案83.1.4无线网络解决方案83.
华为整体网络解决方案 本文内容:
:
华为网络整体解决方案
目
录
1
概述
3
2
企业网络建设设计原则
4
3
华为产品解决方案
6
3.1
整体架构设计
6
3.1.1
总体网络架构
6
3.1.2
有线网络解决方案
7
3.1.2.1
核心层网络设计
7
3.1.2.2
汇聚层网络设计
7
3.1.2.3
接入层网络设计
8
3.1.3
数据中心解决方案
8
3.1.4
无线网络解决方案
8
3.1.4.1
无线网络的建设需求
9
3.1.4.2
无线网络解决方案
11
3.2
高可靠性设计
14
3.2.1
网络高可靠性设计
14
3.2.2
设备高可靠性设计
14
3.2.2.1
重要部件冗余
14
3.2.2.2
设备自身安全
15
3.3
安全方案设计
16
3.3.1
园区网安全方案总体设计
16
3.3.2
园区内网安全设计
17
3.3.2.1
防IP/MAC地址盗用和ARP中间人攻击
17
3.3.2.2
防IP/MAC地址扫描攻击
18
3.3.2.3
广播/组播报文抑制
20
3.3.3
园区网边界防御
20
3.3.4
园区网出口安全
21
3.3.5
无线安全设计
22
3.3.5.1
无线局域网的安全威胁
23
3.3.5.2
华为无线网络的安全策略
23
4
设备介绍
25
4.1
Quidway?
S9300系列交换机
25
4.2
Quidway?
S7700系列交换机
32
4.3
Quidway?
S5700系列交换机
37
4.4
无线控制器WS6603
44
1
概述
企业园区网络承载企业所有IT基础设施和企业所有上层软件应用,对一个企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视,传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中,还是在公司的咖啡厅、待客室,今天的用户都需要方便地获取各种网络服务。
一个典型的企业园区网络通常由楼宇办公网络、数据中心、Internet出口、以将这四部分互联起来的主干网络组成,其中办公网络可分为有线网络和无线网络。在规划与建设一个企业园区网络的时候,这些部分都要充分考虑。
同时,企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问题,如何构建一个保障企业未来5~10年扩展,同时兼顾设备的投资保护的企业园区网络,困扰着每一位企业CIO。
华为企业园区网解决方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性,可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业园区网络。
2
企业网络建设设计原则
在网络建设项目中,我们应该遵循以下设计原则:
1)
合理性、整体性原则
系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的需求是系统建设的首要原则。
l
深入调研,全力做好网络与信息系统安全检测、监测和认证的需求分析,这是系统成败的关键;
l
充分考虑已有资源(软硬件设备及人员)合理利用,避免出现不必要的浪费;
l
系统建设尽可能模拟国内外最常用的几种网络应用模式。
l
系统建设要有一定的前瞻性。在网络建成后的3-5年之内,不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平,避免技术环境过于超前造成投资浪费。
2)
标准化原则
为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性,应建立一个开放的、遵循国际标准的网络系统。
l
建设的方案要科学、正确、严谨、且现实可行;
l
采用的先进技术应是成熟的、经过实践证明是成功的技术;
l
选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品
3)
先进性原则
系统建设应充分考虑网络通信技术和互联网技术的发展,建设是循序渐进的,初期重点应在网络基础环境和基本系统上:
l
系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境;
l
系统实现采用先进的网络技术、网络安全检测技术。
4)
安全可靠性原则
本系统具有特殊性,因此安全保密性非常复杂。系统要有极强的自我保护能力。
l
选用具有C2安全级或B1安全级的系统软件平台;
l
配置功能齐全、可视化程度高的网管系统,对网络运行情况进行实时监督和控制;
l
采取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。
5)
可管理性原则
随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控和维护,以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护,本方案将提供先进而完善的网络管理系统。这样,即方便网络管理员的工作,减轻了劳动强度,也提高了网络系统的管理程度。
6)
灵活、可伸缩性原则
为适应因特网和互联网络技术的发展,系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外,在网络系统的设计过程中,还需要考虑整个网络系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求,又能满足今后整个计算机系统的发展需要。
l
应用软件设计要采用结构化和模块设计方法,使系统逻辑结构清晰、易读,在功能的划分和设计时,使各模块尽可能相对独立、减少相关性以易于扩充、维护和修改。
l
网络系统要具有异种设备的异种网络的互联互通能力,以达到保护已有资源并能与其他信息系统交流信息的目的。
7)
绿色节能原则
随着数据中心的不断壮大,数据中心的电费不断增长,目前,通信/IT设备节能是降低能耗的基础,采用底能耗的设备是节能减排最主要的途径。
3
华为产品解决方案
3.1
整体架构设计
3.1.1
总体网络架构
整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法,组网图如下所示:
网络架构
整个网络的设计方案采用层次化、模块化的设计思路,按照接入层、汇聚层、核心层和出口层进行网络设备设计部署,通过模块化或者购买单独设备的方式提供WLAN
AC控制器,在汇聚层交换机,提供防火墙、负载均衡器等增值业务功能,满足企业日益增长的业务需求。
整个网络的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接入核心交换机,交换机之间采用TRUNK链路保证链路级可靠性。
3.1.2
有线网络解决方案
整个网络层次建议采用业界成熟的三层架构:接入、汇聚和核心,最后企业园区通过出口层网络设备(路由器或交换机)连接到外网通过。
这种分层的网络架构,可以保证根据的业务需求,分别对不同层次进行扩容。
3.1.2.1
核心层网络设计
核心层交换机部署在园区核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6,可为园区构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
所以建议核心层采用双机冗余备份的方式构造,消除单点故障,设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G链路互联,达到高带宽、高转发性能的效果。
本次建议采用华为的S9300高性能交换机构造核心层,实现高性能的骨干网络。华为S9300支持大容量、高转发性能,完全能够满足各网络的数据转发。
3.1.2.2
汇聚层网络设计
汇聚层交换机的重要性也是比较高的,一般部署在楼宇独立的网络汇聚机柜中,汇聚园区接入交换机的流量,一般提供三层交换机功能,汇聚层交换机作为园区网的网关,终结园区网用户的二层流量,进行三层转发。当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关,能够承载校园园区融合业务的需求。
根据需要,可以在汇聚交换机上集成增值业务板卡(如防火墙,负载均衡器、WLAN
AC控制器)或者旁挂独立的增值业务设备(如WLAN
盒式AC等),为园区网用户提供增值业务。
汇聚层与核心层共同组建成骨干网络,所以汇聚设备的性能要求也是比较高的,建议采用10G的链路互联,达到万兆骨干网络。
汇聚交换机需要提供高密度的GE接口,汇聚接入交换机的流量,通过10GE接口接到核心交换机,推荐使用S9300系列交换机作为园区汇聚层交换机。
3.1.2.3
接入层网络设计
接入层交换机一般部署在楼道的网络机柜中,接入园区网用户(PC机或服务器),提供二层交换机功能,也支持三层接入功能(接入交换机为三层交换机)。
提供网络的第一级接入功能,一般完成简单的二层交换,安全、Qos都位于这一层。对于园区网的接入层设备,建议采用千兆二层接入的方式,应该具有线速二层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。
3.1.3
数据中心解决方案
数据中心的设计目标是实现高冗余、高带宽、高安全性、高可靠性等目的。数据中心内的网络设备主要是:核心交换机、核心防火墙、核心路由器、负载均衡设备。
核心交换机的主要功能是连接服务器,因此必须考虑企业未来的业务增长,核心交换机必须具有很好的扩展性,随着以后网络的扩展,必须具有多个插槽,以便以后网络扩展的时候能够增加网络模块。由于核心交换机在整个网络中具有十分重要的地位,因此核心交换机必须具有电信级的可靠性和稳定性,核心网络对数据的快速转发速度要求很高,因此核心交换机需要具备高容量的交换带宽和包转发速率。我们建议采用华为的S7700系列高性能交换机,采用双机双电源。可实现万兆或者千兆接入,实现数据中心高转发性能的效果。并且可以通进扩展防火墙模块等方面,实现数据中心的安全。
3.1.4
无线网络解决方案
随着以太网的广泛应用,因特网的日益普及,以及移动终端的不断增加,人们对移动IP接入的需求迅速增长。无线局域网WLAN(Wireless
Local
Area
Network
)作为有线以太网的延伸,一定程度上满足了这种需求。
由于无线网络的部署灵活性高,所以受到很多用户的青睐,整个无线网络,WLAN
解决方案可以运行在现有的有线企业网络的基础上,也可以采用一个独立的网络。它为园区提供了具有部署方便性、安全性、可扩展性的无线网络,让用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务。
我们建议采用华为的无线解决方案,在核心网络中部署一套无线控制器,无线AP接入到接入层交换机上,各无线AP通过无线控制器统一管理。从而实现易维护、易管理。
3.1.4.1
无线网络的建设需求
在无线网络建设中,为了解决大规模部署情况下的统一配置、调整问题,以及射频的智能管理问题,现在无线网络建设普遍都采用了瘦AP建网模式。瘦AP的另一个好处是实现了三层漫游环境下避免重新认证,从而使漫游切换时间小于50ms。这对于企业的移动业务,尤其是对切换时间要求最苛刻的语音业务意义重大。
然而,随着无线网络的发展,一些新的需求也逐渐变得越来越强烈。主要有以下几个方面:
稳定问题:
由于WLAN网络的组网设计包含无线控制器、接入交换机、无线接入点等大量设备,在大部分情况下,还需要通过以太网解决供电问题,所有这些环节都会影响校园无线网络的稳定性;同时由于无线信号的传播深受环境影响,多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象,实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以如何实时根据环境动态调整无线接入点的信道、发射功率等也是经常困扰无线校园管理人员的难题。
安全问题:
由于无线网络的特殊性,园区无线用户的安全问题就更加突出。对无线网络的用户来说,所有有线网络存在的安全威胁和隐患都同样存在。同时,任何不可信的无线设备可以在信号覆盖范围内进行网络接入的尝试,一定程度上也加剧了无线用户所面临的安全隐患。
无线网络的安全问题已经不再是单一的物理层安全,也包括了用户接入安全、网络层安全、设备安全、安全管理等多个层面上,如何能使企业无线用户在使用网络时能够像使用有线网络一样安全、可靠,正逐渐成为无线企业网络建设所关注的核心。
管理问题:
相对于FAT
AP来说,虽然FIT
AP解决方案帮助网区管理人员实现了无线网络的灵活安装与应用,但管理无线网络却仍然是一项非常耗时且麻烦的事情。在无线园区网络环境中尤为如此。
传统的FIT
AP解决方案由无线控制器(AC)及无线接入点(FIT
AP)构成,虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能,但是与有线网络难于统一,无法在整个企业范围内实现用户管理及认证、服务质量控制和安全策略实施等。因此,通常引入无线网络会降低安全性,整个网络管理起来比较复杂,并且维护成本也比预期高。把网络作为一个整体,整合有线和无线网络,实现统一的网络控制和管理,对于企业来说具有重要的意义。
扩展问题:
WLAN技术的发展日新月异,新技术、新标准层出不穷,除了呼之欲出的802.11n,在教育行业一个重要的门槛技术是IPv6。所有的无线产品和解决方案都要为未来的升级和应用做好准备。
应用问题:
随着WLAN技术的逐步成熟,市场上各种各样的WLAN终端如笔记本电脑、PDA、双模手机、支持Wi-Fi的游戏机、即拍即传的数码相机如雨后春笋般涌现出来,同时价格越来越低,普及程度越来越高,使得无线新业务在园区网中的丰富应用成为可能。如何在无线网络这个开放的平台上开展丰富的业务是建设者必须要考虑的问题。例如VoWiFi、无线监控等业务,解决了园区内部和各园区之间通讯费用高、无线监控和无线多媒体教学的问题,让无线接入变得更有价值。
3.1.4.2
无线网络解决方案
无线管理中心
管理中心
无线交换机
运营管理中心
室内型热点无线覆盖
办公楼
室外型热点无线覆盖
职工公寓
园区有线骨干网
PoE供电接入
无线业务应用
移动数据业务
Wi-Fi语音漫游
华为无线网络解决方案有效实现了有线和无线网络的融合,通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全,为园区用户提供安全的无线接入。根据用户需求,通过在华为系列交换机中加入无线控制器插卡或者使用单独的无线控制器,就可为原有的有线网络提供无线支持,还可以像扩展和管理传统有线网络一样,对无线网络进行扩展和管理。
可以收到无线信号的地方立即访问各种网络服务。
?
安全性、高QoS保障
华为园区网络WLAN解决方案从用户接入安全、网络安全、设备安全等多个方面保障无线网络的安全,使园区用户安全可靠的使用WLAN网络。
用户接入安全:华为园区WLAN解决方案提供了多样化的用户接入认证以及加密解决方案。无线接入认证主要支持基于MAC地址认证、802.1x认证、Portal认证等保证用户安全合法的接入,支持WEP/TRIP/CCMP等加密措施防范无线接入用户数据被盗。同时可以通过部署VLAN隔离、端口隔离等业务隔离技术避免用户间相互影响。
网络安全:通过接入点对RF
环境的不间断扫描和监控,防止企业受到未经授权的不安全的WLAN
接入点或恶意接入点的影响。
设备安全:无线接入点AP提供“零配置”功能,无需在设备保存业务配置,仅启动的时候自动从无线控制器加载业务配置,这样可以避免设备丢失造成配置泄漏而形成对无线网络的安全威胁。
园区WLAN解决方案可以通过虚拟AP&VLAN构建一个单独的访客网络为客户、供应商等访客人士提供互联网服务访问权限。
对于不同SSID承载的用户业务,由于无线空口资源有限,若某个SSID流量过大,比如访客访问Internet,则可能造成园区用户的不能正常访问无线网络开展业务。因此基于SSID的限速,可以避免其中一种业务流量过大对其他业务造成影响。
另外,基于快速漫游技术可以实现园区无线用户一次认证移动接入。用户移动到新的接入点时,如果用户之前已经认证过,则用户此时无需再次通过安全认证,直接接入,保证用户业务的连续性。
?
部署方便、扩展灵活
WLAN网络部署简化,安装便捷。WLAN的安装工作简单,它无需施工许可证,不需要布线或开沟挖槽。设备的零配置部署功能可以在无线改造现有网络的基础上轻松部署WLAN。
无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点。随着无线网络的扩展,新添加的无线接入点能自动检测到无线控制器,并下载相应的配置信息以及策略信息,无需任何手动操作。
?
统一的网络管理、智能运维
统一的网络管理设备可以实现有线无线网络的统一化管理,简易网络管理操作,结合智能化的网络运维提升了网络管理效率。
无线接入点能够监控环境温度变化,当环境温度低于零下10℃时,启动加热板,确保低温时的正常工作。而且无线接入点检测到电压将要无法供应的情况下(复位或故障),上报该告警,描述最后的工作状态,方便故障定位。
?
稳定性
华为
WLAN稳定性解决方案从无线控制器的可靠性,接入交换机供电的可靠性、无线信号的可靠性这几方面入手,极大的提高了WLAN网络的可靠性;在实际的使用情况来看,启用这些措施之后,WLAN的可靠性能够得到明显的提升。
?
全面的PoE解决方案
PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源,传输数据的同时传输直流电。因为AP往往要求使用不间断电源(UPS)供应电力,采用PoE设备,AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据和电力,因此在使用PoE设备的情况下,所有的AP都使用一个UPS在PoE设备端进行保护。如果不使用PoE设备,就需要给每个AP配一个UPS,而且还需要在AP附近安装电源插座,增加了成本。因此使用PoE设备将大大降低设备成本和管理成本。
PoE具有非常明显的优势,具体如下:
简化安装,降低成本,不需为每个网络设备单独提供数据和电力线缆。
灵活性提高,网络装置可被安装在任何位置,而不需靠近一个已存在的电源输出口。
可靠性增强,有SNMP能力的PoE装置,可实施远程检测和控制,能有效地处理或修理装置的耗电量和(或)失效故障。
3.2
高可靠性设计
3.2.1
网络高可靠性设计
针对二层接入(接入交换机是二层交换机、汇聚交换机作为用户网关)典型园区网架构,从接入层、汇聚层、核心层来分层考虑网络可靠性设计。
接入层网络是二层网络,接入交换机与汇聚交换机之间通过Smart
Link/STP/RSTP/MSTP/RRPP保证网络可靠性,同时解决二层网络环路问题;汇聚层交换机之间通过VRRP(BFD
for
VRRP)协议确定用户的主备网关,交换机互联通过TRUNK链路,保证链路级可靠性,汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障(单通故障)。
园区网接入/汇聚/核心交换机通过虚拟化技术进行集群(或堆叠),将两台/多台交换机虚拟化成一台交换机,降低网络拓扑复杂度的同时,提高网络可靠性,是未来高可靠性园区网的发展趋势。
3.2.2
设备高可靠性设计
3.2.2.1
重要部件冗余
设备本身要具有电信级5个9的可靠性,需要网络设备支持:
?
主控1:1备份
?
交换网1+1/1:1两种方式
?
DC电源1+1备份;AC电源1+1/2+2备份
?
模块化的风扇设计,高端配置支持单风扇失效
?
无源背板,高可靠性
?
独立的设备监控单元,和主控解耦
?
所有模块热插拔
?
完善的各种告警功能
?
设备管理1:1备份
3.2.2.2
设备自身安全
如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大。
这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。
华为公司全系列园区网交换机(S9300/S7700/S5700/S3700/S2700)提供攻击防范功能,能够检测出多种类型的网络攻击,并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运行。
华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping
of
Death攻击、Teardrop攻击、ICMP
Flood攻击、SYN
FLOOD攻击等。
另外,以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷新,填充交换机的MAC地址表,由于MAC地址表的规格有限,导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似,通过攻击报文来更改MAC与IP地址的绑定,从而重新定向流量。
华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描,并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击(SAI/DAI功能)。
华为全系列交换机支持黑洞MAC功能,园区交换机收到报文时比较报文目的MAC地址,若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性,则可以在园区交换机上配置黑洞MAC,从而将具有该MAC地址的报文过滤掉,避免遭受攻击。
3.3
安全方案设计
3.3.1
园区网安全方案总体设计
从园区内网安全、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御,对企业内部进行安全区域划分、隔离和权限控制,对企业外部用户访问进行安全控制、数据加密,防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。
3.3.2
园区内网安全设计
3.3.2.1
防IP/MAC地址盗用和ARP中间人攻击
1)
防IP/MAC地址盗用
DHCP
Snooping技术是DHCP安全特性,通过建立和维护DHCP
Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP
Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID
接口等信息,DHCP
Snooping绑定表可以基于DHCP过程动态生成,也可以通过静态配置生成,此时需预先准备用户的IP
地址、MAC地址、用户所属VLAN
ID、用户所属接口等信息。
园区交换机开启DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP
Request或DHCP
Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP
Offer报文,而不信任端口会将接收到的DHCP
Offer报文丢弃。这样,可以完成交换机对假冒DHCP
Server的屏蔽作用,确保客户端从合法的DHCP
Server获取IP地址。
2)
防ARP中间人攻击
Dynamic
ARP
Inspection
(DAI)在交换机上基于DHCP
Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定,
并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景,可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表,不能匹配则认为是仿冒网关回应的ARP响应报文,予以丢弃,从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。
3.3.2.2
防IP/MAC地址扫描攻击
1)
防IP扫描攻击
地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,触发ARP
miss,使网络设备给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可引起网络中断。
园区交换机支持IP地址扫描攻击的防护能力,收到目的IP是直连网段的报文时,如果该目的地址的路由不存在,会发送一个ARP请求报文,并针对目的地址下一条丢弃表项(弃后续所有目的地址为该直连网段的ARP报文),以防止后续报文持续冲击CPU。如果有ARP应答,则立即删除相应的丢弃表项,并添加正常的路由表项;否则,经过一段时间后丢弃表项自动老化。这样,既防止直连网段扫描攻击对交换机造成影响,又保证正常业务流程的畅通。
在上述基础上,交换机还支持基于接口设置ARP
miss的速率。当接口上触发的ARP
miss超过设置的阈值时,接口上的ARP
miss不再处理,直接丢弃。
如果用户使用相同的源IP进行地址扫描攻击,交换机还可以基于源IP做ARP
miss统计。如果ARP
miss的速率超过设定的阈值,则下发ACL将带有此源IP的报文进行丢弃,过一段时间后再允许通过。
2)
防MAC地址扫描攻击
以太网交换机的MAC地址转发表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文,园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项,由于MAC地址转发表的规格有限,会因为MAC扫描攻击而很快填充满,无法再学习生成新的MAC转发表,已学习的MAC表条目需通过老化方式删除,这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送,导致园区网络中产生大量的二层广播报文,消耗网络带宽、引发网络业务中断异常。
交换机二层MAC转发表是全局共享资源,单板内各端口/VLAN共享一份MAC转发表,华为园区交换机支持基于端口/VLAN的MAC学习数目限制,同时支持MAC表学习速率限制,有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时,会进行丢弃/转发/告警等动作(动作策略可定制、可叠加)。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。
3.3.2.3
广播/组播报文抑制
攻击者不停地向园区网发送大量恶意的广播报文,恶意广播报文占据了大量的带宽,传统的广播风暴抑制无法识别用户VLAN,将导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的VLAN
ID,通过基于VLAN的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。
同时园区网交换机支持组播报文抑制,可基于端口限制组播报文流量百分比或速率阈值。
3.3.3
园区网边界防御
企业园区网边界防御分为两个部分:园区出口边界防御、园区内部边界防御。
园区出口连接Internet和企业WAN网的接入,企业外部网路尤其Internet网络,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在企业出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块,可以很好的缓解风险的传播,阻挡来自Internet/企业外部网络攻击行为的发生。企业园区出口位置部署的独立防火墙设备(或核心交换机内置的防火墙模块),需要满足高性能、高可靠、高安全的要求,是企业园区网的第一道安全屏障。
园区内部边界防御是将企业内部划分为多个区域,分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块(单板)来实现园区内部的边界防御功能。
园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内部,都必须支持灵活的业务流控制策略配置,能把特定的流量引到防火墙进行处理,其他流量进行旁路。
防火墙本身需要保证高可靠性,需要考虑防火墙的冗余设计,支持Active/Active
HA
设计方式,即交换机内集成的多块防火墙板卡支持负载分担和主备模式,不同交换机内的防火墙支持Active/Active模式,同时能够处理流量。
3.3.4
园区网出口安全
随着现代社会网络经济的发展,企业日益发展扩大,办事处、分支机构以及商业合作伙伴逐步增多,如何将这些小型的办公网络和企业总部网络进行经济灵活而有效的互联,并且与整个企业网络安全方案有机融合,提高企业信息化程度,优化商业运作效率,成为企业IT网络设计亟待解决的问题;大量普及的SOHO网络、小型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。
企业园区网出口设备是企业内部网络与外部网络的连接点,其安全保证能力非常重要,企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,VPN技术是企业传输数据非常理想的选择,因为VPN技术正式是为了解决在不安全的Internet上安全传输机密信息,保证信息的完整性、可用性以及保密性,包括IPSec
VPN和SSL
VPN。企业办事处、分支机构以及商业合作伙伴如果采用主机VPN客户端接入企业总部网络,那么分之机构网络中的每个主机需要单独拨号接入,VPN接入不可控造成内部网络安全隐患,同时也大量消耗企业总部VPN网关隧道资源;如果采用单独的VPN网关与企业总部网关建立VPN隧道,又面临投资过大的问题。需要有效解决企业分支机构VPN接入灵活性、安全性和经济性之间的矛盾。
3.3.5
数据中心安全设计
数据中心的安全对企业来说,非常重要,企业在享受数据中心带来生产力提高的同时,其内在的安全建设成为了业内的热点。让数据中心远离安全威胁,促使其在管理、运维上向安全靠拢,已经成为建设的趋势。
数据中心的网络安全设计中,我们采用以两台交换机为中心的双星型冗余结构的网络,可以在网络交换机上通过插卡的方式实现防火墙、负载均衡等功能,保障数据中心的安全。
防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离数据中心和局域网,保护数据中心不受攻击,实现以下基本功能:
负载均衡的作用是可以为用户访问数据中心时,能够实现应用级的负载分担。
3.3.6
无线安全设计
无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点。但是由于无线局域网开放访问的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。园区用户大多容易接受新鲜事物,虽然一方面对无线网络的需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。
目前有很多种无线局域网的安全技术,包括物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA
(Wi-Fi
Protected
Access)、IEEE
802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。
3.3.6.1
无线局域网的安全威胁
利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点:
?
未经授权使用网络服务
由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量。
?
地址欺骗和会话拦截
在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
?
高级入侵
一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。
3.3.6.2
华为无线网络的安全策略
针对目前无线校园网应用中的种种安全隐患,华为的无线局域网产品体系能够提供强有力的安全特性,除了传统无线局域网中的安全策略之外,还能够提供更加精细的管理措施:
?
可靠的加密和认证、设备管理
能够支持目前802.11小组所提出的全部加密方式,包括高级WPA
256位加密(AES),40/64位、128位和152位WEP共享密钥加密,WPA
TKIP,特有的128位动态安全链路加密,动态会话密钥管理。
802.1x
认证使用802.1x
RADIUS认证和MAC地址联合认证,确保只有合法用户和客户端设备才可访问网络。
支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器;通过本地控制台或通过SSH
v2或Telnet远程管理的命令行界面;并可通过无线局域网管理系统进行集中管理。
?
用户和组安全配置
和传统的无线局域网安全措施一样,华为无线网络可以依靠物理地址(MAC)过滤、服务集标识符(SSID)匹配、访问控制列表(ACL)来提供对无线客户端的初始过滤,只允许指定的无线终端可以连接AP。
同时,传统无线网络也存在它的不足之处。首先,它的安全策略依赖于连接到某个网络位置的设备上的特定端口,对物理端口和设备的依赖是网络工程的基础。例如,子网、ACL
以及服务等级(CoS)在路由器和交换机的端口上定义,需要通过台式机的MAC地址来管理用户的连接。华为采用基于身份的组网功能,可提供增强的用户和组的安全策略,针对特殊要求创建虚拟专用组(Vertual
Private
Group),VLAN不再需要通过物理连接或端口来实施,而是根据用户和组名来区分权限。
?
非法接入检测和隔离
华为无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP,使管理员能更好地查看网络状况,提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能,通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP,但是网络规模越大就越容易受到攻击。
为了消除这种威胁,可以指定某些AP充当射频“卫士”,其方法是扫描无线局域网来查找非法AP位置,记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源,例如微波炉和无绳电话。
并且,射频监测配合基于用户身份的组网,不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表
(ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容,还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
?
监视和告警
华为无线网络体系提供了实时操作信息,可以快速检测到问题,提高网络的安全性并优化网络,甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计,它提供了配置更改的自动告警功能。向导界面提供了即时提示,从而使得管理员能够快速针对冲突做出更改。
通过使用软件的移动配置文件功能,管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外,位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。
4
设备介绍
4.1
Quidway?
S9300系列交换机
Quidway?
S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。
Quidway?
S9300系列广泛适用于广域网、城域网,园区网络和数据中心核心、汇聚节点,帮助企业构建面向应用的网络平台,提供交换路由一体化的端到端融合网络。?
Quidway?
S9300系列提供S9303、S9306、S9312三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多种绿色节能创新技术,在不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染,为网络绿色可持续发展提供领先的解决方案。?
?
产品特点?
1)
先进交换架构提升网络扩展性
S9300采用先进的分布式交换技术,提供业界最大整机交换容量和槽位带宽。
创新的交换速率自适应技术,支持单端口速率40G、100G平滑升级,同时完美兼容现网板卡,保护初始投资。
背板通流能力充分考虑未来带宽升级对整机电源功率和散热需求,数据总线预留升级高速交换网能力。
超高万兆端口密度,单台设备支持576个万兆端口,助力企业园区和数据中心迎来全万兆核心时代。
2)
创新的三平面架构设计
S9300在传统交换机数据转发、管理控制双平面基础上创新地增加了独立的环境监控平面,实现对单板、风扇和电源配电模块的监控、管理和维护。
业界首创的环境监控板,采用华为自主知识产权的高集成度中控芯片,实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术,在提升系统性能的同时大大降低整机功耗。
支持独立环境监控与网管联动,实现全面可视化管理。
?
3)
运营级高可靠性设计,保障企业应用永续运行
9300具备超越5个9的运营级高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。基于分布式的硬件转发架构,路由平面和数据交换平面严格分离,保证业务流永续畅通。
独立的故障检测定位硬件,提供3.3ms高精度硬件级以太OAM功能,实现快速故障检测与定位,与其他倒换技术联动可有效保证毫秒级网络保护。
能够在冗余控制引擎间实现无缝切换,设备优雅重启无中断转发。支持ISSU业务无缝升级,减少关键业务和服务中断。
支持Enhanced-Trunk(E-Trunk)功能,实现跨设备链路聚合,二层组网环境中跨设备链路聚合无须运行破环协议,提高设备链路利用效率的同时避免单点故障。
支持IEEE
802.3ad链路汇聚、IEEE
802.1s/w和虚拟路由器冗余协议(VRRP),同时支持丰富的毫秒级倒换技术如RRPP、Smart
Link、IP
FRR、TE
FRR、VPN
FRR等,实现运营级级高可靠性。
4)
多维集群CSS(集群交换系统)
通过CSS集群虚拟化技术,将集群主机虚拟成一台逻辑设备,实现整个集群系统控制信息共享和路由、组播表项同步。
CSS集群技术可以有效提高单台设备的带宽,满足高密万兆园区核心与大容量数据中心对核心交换设备的带宽吞吐要求。
CSS集群技术可以提高系统的可靠性。S9300
CSS集群创新性采用交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换,交换效率低下的架构难题。采用交换网集群技术可以将集群主机交换网拉通,集群不占用线卡槽位,并提供业界最大的256G集群带宽,同时可以通过跨框链路聚合提高链路的利用率,并消除单点故障。
CSS集群可以简化核心层的网络管理,整个集群系统共用同一个虚拟IP,减少设备网元,简化网络拓扑管理,提高运营效率,降低维护成本。
?
5)
运行中软件升级ISSU保障网络无中断运行
ISSU可以在设备软件升级过程中,减少系统业务中断时间,显著地提高设备的可靠性。真正使企业网络具备“全天候”提供业务能力,实现设备软件升级流量“零”割接,应用不中断。
S9300提供无损升级、有损升级和快速重启三种ISSU升级方式,系统可自动比较新旧版本各个模块间差异,给出升级方式建议,供用户选择。
支持ISSU升级失败时自动回退(Auto-Rollback)版本,线卡采用新旧版本进程备份技术减少ISSU中断应用的影响。
6)
完善的QOS机制
S9300提供高品质的QOS(Quality
of
Service)能力,支持Layer2~Layer7的流分类技术,具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不同用户、不同业务等级的服务质量要求。
S9300提供层次化QOS(H-QOS)调度机制,通过在不同业务等级上分别设置单独调度器,进一步精细化流量QOS特征,保障相应业务的服务质量。支持面向接入侧的多级H-QOS调度机制,多样化,差异化满足大型企业园区不同层次用户设备的业务需求。
7)
全业务以太交换平台
支持分布式L2/L3
MPLS
VPN功能,支持MPLS、VPLS、HVPLS、VLL,满足企业VPN等用户的接入需求。
支持多种速率WAN子卡,满足广域接入的需求。
具备线速的跨VLAN组播复制能力,实现端口满负荷复制,满足多终端视频监控和视频会议接入需求;完善的二、三层组播协议,可作为组播复制点和控制点,提供高性能的IP组播视频和音频应用。
软件平台提供多种路由协议满足企业建网要求,支持从中小企业到超大型跨国公司级大规模路由,支持IPv6,能够为企业网络提供平滑升级能力。
支持标准POE,满足15.4W和30W标准POE供电规格,满足企业在线供电业务需求。
8)
虚拟化数据中心交换平台
S9300
CSS集群虚拟化技术,满足数据中心对核心、汇聚设备大容量、高可靠、海量吞吐的要求。首创交换网集群,分布式跨设备链路聚合技术,有效利用数据中心内部带宽资源,实现数据中心内部数据交换对物理链路无感知。
针对大型分布式计算数据中心业务模型,专门设计大缓存线卡,支持单端口200ms数据流量缓存,解决分布式计算网络瞬间流量过大丢包问题。
每板最大64K硬件队列,支持精细化QOS和流量管理,利用多种队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不同用户、不同业务等级的服务质量要求,准确地按需配置给不同用户、不同业务流分配不同的优先级和队列,保证不同的带宽、业务延迟和抖动性能需求。
9)
高性能IPv6业务能力
S9300软硬件平台均支持IPv6,取得工信部IPv6入网认证和IPv6
Ready第二阶段金色认证。
支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播,满足IPv6独立组网和IPv4/IPv6混合组网要求。
10)
智能流量负载均衡
S9300负载均衡器能够保证服务可靠性,提高服务响应速度,方便业务灵活扩展。
S9300负载均衡器支持加权轮询、基于连接数、加权IP地址Hash和基于HTTP
URL的Hash等多种均衡调度算法,全面满足客户负载均衡要求。
门户网站服务器经常会遇到在同一时间大量针对同样网页、服务的请求,服务器针对请求会频繁建立、拆除TCP连接,耗费大量CPU资源,影响服务器响应速度。S9300负载均衡器支持TCP和HTTP重用,减轻服务器拆除/建立TCP连接的负载,提高服务器访问效率。
S9300负载均衡器支持动态“锁流”技术,满足电子商务网站在线购物负载均衡需求。
11)
强大的网络流量分析能力
S9300支持随板分布式和专用处理线卡集中式网络Netstream业务分析功能,满足用户对网络流量实时采集、分析需要。
支持Netstream
V5/V8/V9多种报文格式,支持聚合流量模板,减轻网络采集器系统压力,支持实时流量采集、动态报表生成、属性分析、流量异常告警等功能。
帮助客户对网络流量进行实时监控、现网设备吞吐分析,为优化网络结构、科学合理扩容提供决策依据。
12)
周密的安全设计
内嵌集中式防火墙板卡,支持虚拟防火墙与NAT多实例,满足多VPN客户共用防火墙组网环境。动态黑名单主动防御技术实现蠕虫病毒防范、抵御拓扑探测、IP扫描和端口扫描攻击防护,为企业打造安全内网环境。应用层包过滤技术(Application
Specific
Packet
Filter)对应用层报文内容进行复杂规则检测,支持SIP、QQ、MSN、H.323、SMTP、RTSP、FTP、HTTP多种应用层协议。防火墙热备份,增强网络可靠性与抗攻击能力。
支持完善的AAA(Authentication,Authorization
and
Accounting)机制,根据策略对接入用户进行认证、授权和计费。支持802.1X、Portal、Guest
VLAN,支持用户动态接入认证,与其他主流厂商的NAC互通。
支持路由协议加密、MAC地址过滤、动态ARP检测、ACL等等一系列安全特性,可以为服务提供商以及网络的最终用户提供数据保护。基于硬件的包过滤和采样,可实现高性能和高扩展性。
提供2级CPU保护机制,支持1K
CPU硬件保护队列,可实现数据和控制的分离处理,防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁,提供业界领先的一体化安全解决方案。
13)
六项创新节能技术,省电30%
首创的“变流”芯片,实现按流量动态调整功率,降低功耗8%。
独特的“旋转”风道设计,提高整机散热效率,降低功耗3%,同时整机出线能力提高6倍。
采用颗粒化、小功率的模块化设计思路,提高电源系统的转换效率,电源按需配置,保护用户投资。
独立风扇分区控制,进一步降低功耗和噪声污染。
采用智能风扇调速策略,监测全系统关键器件温度,采用小区间控温技术,可以有效降低转速,并延长风扇使用寿命。
支持端口休眠,无流量不耗电。
14)
归一化平台设计,最小化备件成本
S9300设计上采用了业界最先进的散热架构设计,在满足设备大容量的同时解决整机散热的难题,实现了单机柜业界最大设备端口密度。
S9300全系列产品整机高度归一化设计,电源、风扇、环境监控板等全部通用,减少备件种类,节省用户投资。
采用自主节能芯片,高效节能管理平台,能效比业界领先。
4.2
Quidway?
S7700系列交换机?
Quidway?
S7700系列是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2~L4层交换服务基础上,进一步提供MPLS
VPN、业务流分析、完善的QOS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。?
Quidway?
S7700系列广泛适用于园区网络、数据中心核心/汇聚节点,可对无线、话音、视频和数据融合网络进行先进的控制,帮助企业构建交换路由一体化的端到端融合网络。?
Quidway?
S7700系列提供S7703、S7706、S7712三种产品形态,支持不断扩展的交换能力和端口密度。S7700作为新一代智能交换机采用了全新的硬件平台,左后风道散热整机架构,打造业界最佳能效比交换设备。关键部件冗余设计,最小化设备宕机与业务中断风险。创新节能控制芯片,整机智能节电,为网络绿色可持续发展提供领先的解决方案。
?
产品特点
1)
强大的业务处理能力,提升网络架构扩展性
多业务路由交换平台,满足企业接入、汇聚、核心业务承载需求,全面支持无线、语音、视频和数据应用,为企业提供高可用、低时延、全业务的一体化网络解决方案。
支持分布式L2/L3
MPLS
VPN功能,支持MPLS、VPLS、分层VPLS、VLL,满足企业VPN等接入需求。
具备线速的跨VLAN组播复制能力,实现端口满负荷复制,满足多终端视频监控和视频会议接入需求;完善的二、三层组播协议,支持PIM
SM、PIM
DM、PIM
SSM、MLD、IGMP
Snooping,提供高性能的IP组播视频和音频应用。
华为VRP软件平台提供静态路由、RIP、OSPF、ISIS、BGP多种路由协议,满足企业建网要求,软硬件支持IPv6,为企业网络提供IPv4到IPv6平滑升级能力。
支持标准POE,满足15.4W和30W标准POE供电规格,满足企业在线供电业务需求。
2)
运营级高可靠性设计,可视化故障诊断
S7700具备超越5个9的运营级高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。基于分布式的硬件转发架构,路由平面和数据交换平面严格分离,保证业务流永续畅通。
专用的故障检测定位子卡,提供300pps/3.3ms高精度硬件级以太OAM功能,网络故障发生时能够在第一时间检测所有终端Session联通性,图形化网管故障诊断界面,设备节点、链路自动遍历,实现网络快速故障检测与定位。
能够在冗余控制引擎间实现主备无缝切换,路由控制平面状态切换,设备优雅重启实现NSF无中断转发。支持ISSU业务运行中软件升级,设备软件升级过程中确保关键业务和服务不中断。
先进的无环路以太(LFR)技术,以太网无需运行任何破环协议,简化网络部署,提高链路利用效率,设备故障不引起网络震荡和拓扑收敛。
支持IEEE
802.3ad链路汇聚、IEEE
802.1s/w和虚拟路由器冗余协议(VRRP),同时支持丰富的毫秒级倒换技术如RRPP、Smart
Link、IP
FRR、TE
FRR、VPN
FRR等,实现运营级高可靠性。
支持Enhanced-Trunk(E-Trunk)功能,设备链路聚合由单机支持扩展到跨设备支持,减少网元维护,简化网络层次,提高设备链路利用效率。
3)
运行中软件升级ISSU,网络业务无中断运行
?ISSU可以在设备软件升级过程中,减少系统业务中断时间,显著地提高设备的可靠性。真正使企业网络具备“全天候”提供业务能力,实现设备软件升级流量“零”割接,应用不中断。
?S7700提供无损升级、有损升级和快速重启三种ISSU升级方式,系统可自动比较新旧版本各个模块间差异,给出升级方式建议,供用户选择。
支持ISSU升级失败时自动回退(Auto-Rollback)版本,线卡采用新旧版本进程备份技术减少ISSU中断应用的影响
。
4)
?完善的QOS机制,提升语音、视频用户体验
S7700提供高品质的QOS(Quality
of
Service)能力,支持从链路层到应用层流分类技术,具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足企业不同用户终端、不同业务种类的服务质量要求。
S7700提供硬件组播QOS低延时队列,全面满足企业视频业务优先级保障需求,为视频会议、监控等关键业务提供高质量承载保障。
创新的优先级调度算法,对传统QOS队列调度进行了专门针对企业语音与视频的优化,大幅降低IP语音时延、消除视频马赛克,提高用户体验。
5)
高性能IPv6业务能力,IPv4到IPv6平滑升级
S7700软硬件平台均支持IPv6,取得工信部IPv6入网认证和IPv6
Ready第二阶段金色认证。
支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播,满足IPv6独立组网和IPv4/IPv6混合组网要求。
6)
智能流量负载均衡,提升企业IT利用效率
S7700负载均衡器能够保证服务可靠性,提高服务响应速度,方便业务灵活扩展。
S7700负载均衡器支持加权轮询、基于连接数、加权IP地址Hash和基于HTTP
URL的Hash等多种均衡调度算法,全面满足客户负载均衡要求。
门户网站服务器经常会遇到在同一时间大量针对同样网页、服务的请求,服务器针对请求会频繁建立、拆除TCP连接,耗费大量CPU资源,影响服务器响应速度。S7700负载均衡器支持TCP和HTTP重用,减轻服务器拆除/建立TCP连接的负载,提高服务器访问效率。
S7700负载均衡器支持动态“锁流”技术,满足电子商务网站在线购物负载均衡需求。
7)
强大的网络流量分析能力,随时网络健康诊断
S7700支持随板分布式网络Netstream业务分析功能,满足用户对网络流量实时采集、分析需要。
支持Netstream
V5/V8/V9多种报文格式,支持聚合流量模板,减轻网络采集器系统压力,支持实时流量采集、动态报表生成、属性分析、流量异常告警等功能。
帮助客户对网络流量进行实时监控、现网设备吞吐分析,为优化网络结构、科学合理扩容提供决策依据。
8)
全方位安全保护,应对企业内外部安全威胁
内嵌集中式防火墙板卡,支持虚拟防火墙与NAT多实例,满足多VPN客户共用防火墙组网环境。动态黑名单主动防御技术实现蠕虫病毒防范、抵御拓扑探测、IP扫描和端口扫描攻击防护,为企业打造安全内网环境。应用层包过滤技术(Application
Specific
Packet
Filter)对应用层报文内容进行复杂规则检测,支持SIP、QQ、MSN、H.323、SMTP、RTSP、FTP、HTTP多种应用层协议。防火墙热备份,增强网络可靠性与抗攻击能力。
提供完善的NAC解决方案,支持MAC地址认证、Portal认证、802.1x认证、DHCP
Snooping触发认证多种认证方式,有效应对哑终端接入、移动设备接入和集中式IP地址分配等多种接入方式的安全挑战,确保企业网络安全。
支持路由协议加密、MAC地址过滤、动态ARP检测、ACL等等一系列安全特性,可以为服务提供商以及网络的最终用户提供数据保护。基于硬件的包过滤和采样,可实现高性能和高扩展性。
提供2级CPU保护机制,支持1K
CPU硬件保护队列,可实现数据和控制的分离处理,防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁,提供业界领先的一体化安全解决方案。
9)
无线AC模块,全面满足移动办公需求
S7700无线AC板卡支持丰富的RF管理。支持AP上线时自动选择信道和功率,在AP重叠区域,信号冲突时自动调整功率或信道,RSSI/SNR的不断更新,让系统可以适时了解每一个无线用户所处电磁环境,提升网络可用性。
支持智能的负载均衡,确保只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现,最大限度的提高了无线网络容量。
支持无线入侵检查WIDS功能。提供非法AP检测,黑/白名单设置和无线协议攻击防御等WIDS功能,有效的提高了无线网络的整体安全。
10)
?一体化EPON板卡,无源维护更舒心
S7700
EPON板卡支持12
EPON接口与12GE以太接口,上下行接口同板卡共存,节省建网投资。支持1.25G上下行对称带宽,最大1:64分光。
S7700集成化EPON解决方案广泛适用于政府、公安、道路交通、大型企业的高清视频监控传输。S7700可同时承担EPON接入和核心层路由交换机双重角色,减少网络层次,降低用户组网成本。
11)
创新节能芯片,智能功耗控制
左后风道散热整机架构,冷热风道完全分离,打造业界最佳能效比交换设备。
创新节能芯片,实现按流量动态调整功率,支持端口休眠,无流量不耗电。
芯片智能风扇调速算法,监测全系统关键器件温度,小区间控温技术,有效降低转速,并延长风扇使用寿命。
4.3
Quidway?
S5700系列交换机
Quidway?
S5700系列全千兆企业网交换机(以下简称S5700),是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机。它基于新一代高性能硬件和华为公司统一的VRP?(Versatile
Routing
Platform)平台,具备大容量、高密度千兆端口,可提供万兆上行,充分满足客户对高密度千兆和万兆上行设备的需求,同时针对企业网用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景,融合了可靠、安全、绿色环保等先进技术,采用简单便利的安装维护手段,帮助客户减轻网络规划、建设和维护的压力,助力企业搭建面向未来的IT网络。?
S5700系列以太网交换机为盒式设备,机箱高度为1U,提供标准型(SI)和增强型(EI)两种产品版本。标准型支持二层和基本的三层功能,增强型支持复杂的路由协议和更为丰富的业务特性,包含型号如下:S5700-24TP-SI-AC/DC、S5700-24TP-PWR-SI、S5700-48TP-SI-AC/DC、S5700-48TP-PWR-SI、S5700-28C-SI、S5700-28C-EI、S5700-28C-EI-24S、S5700-28C-PWR-EI、S5700-52C-SI、S5700-52C-EI、S5700-52C-PWR-EI。
产品外观?
S5700系列交换机包括如下款型:
产品外观
描述
S5700-24TP-SI/PWR-SI
24个10/100/1000Base-T,4个100/1000Base-X千兆Combo口
分交流供电和直流供电两种机型,
支持RPS
12V冗余电源
支持USB口
24个10/100/1000Base-T,4个100/1000Base-X千兆Combo口
可插拔双电源,交流供电
支持POE+
支持USB口
S5700-48TP-SI/PWR-SI
48个10/100/1000Base-T,4个100/1000Base-X千兆Combo口
分交流供电和直流供电两种机型,支持RPS
12V冗余电源
支持USB口
48个10/100/1000Base-T,4个100/1000Base-X千兆Combo口
交流供电
支持POE+
支持USB口
S5700-28C-SI/EI/EI-24S/PWR-EI
24个10/100/1000Base-T,4个100/1000
Base-X
千兆Combo口,
上行支持4×1000Base-X
SFP、2×10GE
SFP+、4×10GE
SFP+插卡
双电源,可插拔
支持USB口
?24个10/100/1000Base-T,上行支持4×1000Base-X
SFP、2×10GE
SFP+、4×10GE
SFP+插卡
双电源,可插拔
24个100/1000Base-X,4个10/100/1000Base-T千兆Combo口,上行支持4×1000Base-X
SFP、2×10GE
SFP+、4×10GE
SFP+插卡,双电源,可插拔
24个10/100/1000Base-T,上行支持4×1000Base-X
SFP或者2×10GE
SFP+插卡
可插拔双电源,交流供电,支持POE+
S5700-52C-SI/EI/PWR-EI
48个10/100/1000Base-T,上行支持4×1000Base-X
SFP、2×10GE
SFP+、4×10GE
SFP+插卡
双电源,可插拔,支持USB口
48个10/100/1000Base-T,上行支持4×1000Base-X
SFP、
2×10GE
SFP+或者4×10GE
SFP+插卡,双电源,可插拔
48个10/100/1000Base-T,上行支持4×1000Base-X
SFP或者2×10GE
SFP+插卡
可插拔双电源,交流供电,支持POE+
产品特点
1)
强大的多业务支持能力?
S5700支持IGMP
v1/v2/v3
Snooping/Filter/Fast
Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能,支持捆绑端口的组播负载分担,支持可控组播,可以充分满足IPTV和其他组播业务的需求。?
S5700支持MCE
功能,实现了不同VPN用户在同一台设备的隔离,有效解决用户数据安全问题,同时降低用户投资成本。?
2)
完备的高可靠保护机制?
S5700不仅支持传统的STP/RSTP/MSTP生成树协议,还支持SmartLink和RRPP等增强型以太网技术,可以实现毫秒级链路保护倒换,保证高可靠性的网络质量。此外,针对Smartlink和
RRPP均提供多实例功能,可实现链路负载分担,进一步提高了链路带宽利用率。?
S5700支持以太Trunk(E-Trunk)功能。在使用E-Trunk之后,CE设备可以通过E-Trunk双归接入到两台PE设备上。从而把链路可靠性从单板级提高到了设备级,大大增强了设备级的可靠性。从而实现了跨设备的链路聚合和链路负载分担功能。极大的提升了接入侧设备的可靠性。?
S5700支持智能以太保护SEP(Smart
Ethernet
Protection),SEP是一种专用于以太网链路层的环网协议。适用于半环组网场景,部署时可独立于上层汇聚设备,并提供50ms的快速业务倒换性能。保证业务的不中断。在华为设备上已经利用SEP协议实现了以太网链路管理。SEP协议简单可靠、倒换性能高、维护方便、拓扑灵活,可以大大方便用户进行网络的管理和规划。
S5700支持双电源冗余供电,也可以交、直流同时输入。用户可灵活选择单电源工作模式或者双电源工作模式,提高了设备可靠性。
S5700
EI系列支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份,当主上行路由发生故障时自动切换到下一个备份路由上去,实现上行路由的多级备份。?
S5700支持BFD链路快速检测功能,能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制,提高了网络可靠性。S5700遵循IEEE
802.3ah和802.1ag提供点到点以太网故障管理功能,可以用于检测用户侧最后一公里以太网直连链路上的故障。?
3)
完备的QoS策略和安全机制?
S5700系列交换机可以基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息,实现复杂流分流功能,支持双向ACL。5700支持基于流的双速三色限速功能,每端口支持8个优先级队列,支持WRR、DRR、SP、WRR+SP、DRR+SP多种队列调度算法,有效地保证了话音、视频和数据等网络业务质量。
S5700系列交换机提供多种安全保护功能。支持DoS(Denial
of
Service)类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN
Flood、Land、Smurf、ICMP
Flood。网络的防攻击主要是指STP的bpdu/root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC
Spoofing
攻击、DHCP
request
flood、改变
CHADDR
值的
DoS
攻击等等。
S5700支持通过建立和维护DHCP
Snooping
绑定表,侦听接入用户的MAC/IP
地址、租用期、VLAN-ID、接口等信息,解决
DHCP
用户的IP
和端口跟踪定位问题。同时,对不符合绑定表项的非法报文(ARP欺骗报文、擅自修改IP地址等)直接丢弃,有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人”攻击。利用DHCP
Snooping
的信任端口特性还可以保证DHCP
Server
的合法性。?
S5700支持ARP表项严格学习功能,可以防止因ARP欺骗攻击将交换机ARP表项占满,导致正常用户无法上网。同时,支持IP
Source
Check
特性,防止包括MAC
欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。
S5700支持集中式MAC地址认证和802.1x
认证及NAC功能,支持用户账号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发。
S5700支持基于端口的源MAC地址学习限制功能,有效防止用户源MAC欺骗冲击设备MAC表项,导致正常用户无法学到MAC表而泛洪的问题等。?
4)
免维护易部署?
S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能,便于部署升级和业务发放,简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMP
V1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式,设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计,支持NQA网络质量分析,有利于进一步作好网络规划和改造。?
5)
POE特性?
S5700
PWR系列交换机可以通过配置不同功率等级的POE电源支持PoE(Power
Over
Ethernet)功能,即可通过网线向远端下挂PD设备(如IP
Phone、WLAN
AP、Security、Bluetooth
AP等)提供-48V直流电源,实现对下挂PD设备远端供电。作为供电方PSE(Power
Sourcing
Equipment)设备,支持IEEE802.3af及802.3at
(POE+)供电标准,同时兼容不符合802.3af及802.3at标准的PD(Powered
Device)设备。其中802.3at单端口供电功率高达30W。POE+功能提升了单端口的最大功率,实现了支持at标准大功率应用的智能化功率管理,有效方便了客户的应用。同时支持绿色PoE节电应用模式。S5700
PWR全系列交换机支持完善的POE解决方案,用户可灵活配置POE端口是否供电以及何时供电。?
6)
良好的可扩展性?
S5700系列交换机支持智能堆叠
iStack功能,完全即插即用,插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障引起的业务中断时间。支持智能升级,排除用户给堆叠扩容时为新加入交换机更换软件版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展,单一IP管理,大大降低系统扩展以及运维的成本。与传统组网技术相比,在扩展性、可靠性、整体架构等性能方面均具有强大的优势。?
7)
简单的可管理特性?
S5700支持GVRP实现动态分发、注册和传播VLAN属性,从而达到减少网络管理员的手工配置量及保证VLAN配置正确的目的。GVRP是一种VLAN的动态配置技术,在复杂的组网环境中应用GVRP,能够简化VLAN配置管理,减少因为配置不一致而导致的网络互通问题。?
S5700支持MUX
VLAN功能。MUX
VLAN提供了一种在VLAN的端口间进行二层流量隔离的机制。采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。MUX
VLAN通常用于企业内部网,客户端口可以同服务器端口通讯,但客户端口之间不能通讯。用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。?
8)
?丰富的IPv6特性?
S5700系列交换机提供双协议栈,可平滑升级。硬件支持IPv4/IPv6双栈和IPv6
over
IPv4隧道(包括手工Tunnel,6to4
Tunnel,ISATAP
Tunnel),三层线速转发。既可以用于纯IPv4或IPv6网络,也可以用于IPv4到IPv6共存的网络,组网方式灵活,充分满足当前网络从IPv4向IPv6过渡的需求。
S5700支持IGMP
v1/v2/v3
Snooping/Filter/Fast
Leave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能,支持捆绑端口的组播负载分担,支持可控组播,可以充分满足IPTV和其他组播业务的需求。
S5700支持MCE
功能,实现了不同VPN用户在同一台设备的隔离,有效解决用户数据安全问题,同时降低用户投资成本。
4.4
无线控制器WS6603
WS6603
是华为技术有限公司推出的无线接入控制器,应用城域网和企业网接入,是无线城域网覆盖、热点覆盖等应用环境的理想接入控制器,提供大容量、高性能、高可靠性、易安装、易维护的无线数据控制业务,具有组网灵活、绿色节能等优势。
WS6603
位于整个网络的业务接入层,提供高速、安全、可靠的WLAN
业务。
WS6603
具有以下特点和性能:
u
具有灵活的二层和三层数据转发功能。
u
支持风扇的冗余备份和热插拔,支持交流、直流均双电源备份和热插拔,保证设备的长时间无故障运行。
u
强大的接入容量,最大可管理1024
个AP(Access
Point),达到盒式AC(AccessController)设备的业界最高水平。
u
提供用户快速漫游切换功能。
u
具有CAPWAP(Control
And
Provisioning
of
Wireless
Access
Points)隧道硬件线速转发功能。
u
设备可通过网管U2560、命令行(CLI)进行维护。
u
支持以太网OAM(Operation,
Administration
and
Maintenanc)
产品特点
1)
丰富的接口类型
WS6603
提供丰富的接口类型,满足各种应用场景。
2)
高容量、高性能设计
WS6603
提供高容量、高性能的设计方案,满足实际网络的应用需求。
l
WS6603
最大可管理1024
个AP,达到业界盒式AC
的最高水平。
l
提供WLAN
用户快速漫游切换:
–
支持AC
内IPoE
用户二层快速漫游,用户可经AP
从WS6603
的不同物理口接入。
–
支持AC
内IPoE
用户三层快速漫游,用户可经AP
从WS6603
的不同物理口,或虚接口(用户地址池不同网段)接入。
–
支持AC
内PPPoE
用户二层漫游,用户PPPoE
在BRAS(Broadband
RemoteAccess
Server)终结。
–
支持重关联用户的合法检查,拒绝非法用户的重关联请求。
–
支持用户下线后的快速重新上线,用户信息的延时清除。
l
背板容量达128G,硬件实现内部数据交换无阻塞。
l
CAPWAP
隧道硬件线速转发。
3)
电信级的可靠性设计
l
支持基于LACP(Link
Aggregation
Control
Protocol)、MSTP(Multiple
SpanningTree
Protocol)的端口冗余备份。
l
支持交流、直流均双电源备份。
l
支持风扇冗余备份。
l
支持电源模块热插拔时单电源供电。
l
支持风扇热插拔。
4)
易安装、易维护功能
l
WS6603
安装简单,维护方便,满足运行商的部署要求。
l
WS6603
设备深度为240mm,适合安装在深度为300mm
以内的各种标准机柜里安装。
l
电源、风扇框均支持热插拔,维护方便。
l
网管U2560
具有丰富的北向接口,并继承了华为网管U2000
的界面,符合运营商使用习惯。
l
支持以太网OAM(Operation,
Administration
and
Maintenanc),满足快速定位故障的要求。
l
支持环境监控开关量接口和板内温度探测器,实时监控WS6603
运行周围的环境。
华为整体网络解决方案 本文关键词:华为,解决方案,网络
华为整体网络解决方案 来源:网络整理
免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
《
华为整体网络解决方案》
由:
76范文网互联网用户整理提供,链接地址:
http://m.yuan0.cn/a/94129.html
免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。