網(wǎng)絡(luò)工程整體網(wǎng)絡(luò)解決方案

濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)解決方案____________________________________________________________________________________________NUMPAGES33-PAGE33濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)整體解決方案2012年3月12日目錄TOC\o"1-5"\h\z\u1 概述 32 產(chǎn)學(xué)研基地網(wǎng)絡(luò)建設(shè)設(shè)計(jì)原則 33 華為產(chǎn)品解決方案 53.1 整體架構(gòu)設(shè)計(jì) 53.1.1 總體網(wǎng)絡(luò)架構(gòu) 53.1.2 有線網(wǎng)絡(luò)解決方案 5 核心層網(wǎng)絡(luò)設(shè)計(jì) 6 接入層網(wǎng)絡(luò)設(shè)計(jì) 63.2 高可靠性設(shè)計(jì) 73.2.1 網(wǎng)絡(luò)高可靠性設(shè)計(jì) 73.2.2 設(shè)備高可靠性設(shè)計(jì) 7 重要部件冗余 7 設(shè)備自身安全 73.3 安全方案設(shè)計(jì) 93.3.1 園區(qū)網(wǎng)安全方案總體設(shè)計(jì) 93.3.2 園區(qū)內(nèi)網(wǎng)安全設(shè)計(jì) 9 防IP/MAC地址盜用和ARP中間人攻擊 9 防IP/MAC地址掃描攻擊 11 廣播/組播報(bào)文抑制 123.3.3 園區(qū)網(wǎng)邊界防御 123.3.4 園區(qū)網(wǎng)出口安全 134 設(shè)備介紹 144.1 Quidway?S9300系列交換機(jī) 144.2 Quidway?S7700系列交換機(jī) 214.3 Quidway?S5700系列交換機(jī) 26概述濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)承載產(chǎn)學(xué)研基地所有IT基礎(chǔ)設(shè)施和產(chǎn)學(xué)研基地所有上層軟件應(yīng)用，其重要性不言而喻。而且隨著產(chǎn)學(xué)研基地對(duì)于提高生產(chǎn)率、工作效率提升的重視，傳統(tǒng)的辦公方式也已存在諸多不便。無(wú)論是在辦公桌前、會(huì)議室中，還是在公司的咖啡廳、待客室，今天的用戶都需要方便地獲取各種網(wǎng)絡(luò)服務(wù)。濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)還面臨著新技術(shù)不斷涌現(xiàn)、產(chǎn)學(xué)研基地應(yīng)用不斷增加的現(xiàn)實(shí)問(wèn)題，構(gòu)建一個(gè)保障產(chǎn)學(xué)研基地未來(lái)5~10年擴(kuò)展，同時(shí)兼顧設(shè)備的投資保護(hù)的濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)尤為重要。華為濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)解決方案結(jié)合了高性能的路由、交換基礎(chǔ)設(shè)施和提升安全、可靠等特性，可協(xié)助產(chǎn)學(xué)研基地構(gòu)建一個(gè)安全、可靠、易接入、易擴(kuò)展、易管理的濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)絡(luò)。產(chǎn)學(xué)研基地網(wǎng)絡(luò)建設(shè)設(shè)計(jì)原則在網(wǎng)絡(luò)建設(shè)項(xiàng)目中，我們應(yīng)該遵循以下設(shè)計(jì)原則：合理性、整體性原則系統(tǒng)建設(shè)的功能必須充分滿足網(wǎng)絡(luò)安全性檢測(cè)與分析、網(wǎng)絡(luò)安全性監(jiān)測(cè)和電子數(shù)據(jù)鑒定的需求是系統(tǒng)建設(shè)的首要原則。深入調(diào)研，全力做好網(wǎng)絡(luò)與信息系統(tǒng)安全檢測(cè)、監(jiān)測(cè)和認(rèn)證的需求分析，這是系統(tǒng)成敗的關(guān)鍵；充分考慮已有資源（軟硬件設(shè)備及人員）合理利用，避免出現(xiàn)不必要的浪費(fèi)；系統(tǒng)建設(shè)盡可能模擬國(guó)內(nèi)外最常用的幾種網(wǎng)絡(luò)應(yīng)用模式。系統(tǒng)建設(shè)要有一定的前瞻性。在網(wǎng)絡(luò)建成后的3-5年之內(nèi)，不會(huì)由于業(yè)務(wù)量的增加導(dǎo)致對(duì)網(wǎng)絡(luò)結(jié)構(gòu)及主要設(shè)備的重大調(diào)整。同時(shí)要考慮實(shí)際的應(yīng)用水平，避免技術(shù)環(huán)境過(guò)于超前造成投資浪費(fèi)。標(biāo)準(zhǔn)化原則為了保證用戶的網(wǎng)絡(luò)系統(tǒng)具有互操作性、可用性、可靠性、可擴(kuò)充性、可管理性，應(yīng)建立一個(gè)開放的、遵循國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)。建設(shè)的方案要科學(xué)、正確、嚴(yán)謹(jǐn)、且現(xiàn)實(shí)可行；采用的先進(jìn)技術(shù)應(yīng)是成熟的、經(jīng)過(guò)實(shí)踐證明是成功的技術(shù)；選用的軟硬件平臺(tái)應(yīng)采用目前因特網(wǎng)和局域網(wǎng)上最常使用的軟硬件廠商的產(chǎn)品先進(jìn)性原則系統(tǒng)建設(shè)應(yīng)充分考慮網(wǎng)絡(luò)通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，建設(shè)是循序漸進(jìn)的，初期重點(diǎn)應(yīng)在網(wǎng)絡(luò)基礎(chǔ)環(huán)境和基本系統(tǒng)上：系統(tǒng)可根據(jù)實(shí)際工作中的業(yè)務(wù)需求靈活地結(jié)構(gòu)所需的網(wǎng)絡(luò)與系統(tǒng)環(huán)境；系統(tǒng)實(shí)現(xiàn)采用先進(jìn)的網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全檢測(cè)技術(shù)。安全可靠性原則本系統(tǒng)具有特殊性，因此安全保密性非常復(fù)雜。系統(tǒng)要有極強(qiáng)的自我保護(hù)能力。選用具有C2安全級(jí)或B1安全級(jí)的系統(tǒng)軟件平臺(tái)；配置功能齊全、可視化程度高的網(wǎng)管系統(tǒng)，對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)督和控制；采取訪問(wèn)權(quán)限控制、設(shè)置密鑰、數(shù)據(jù)更新認(rèn)證等多種手段保證數(shù)據(jù)安全?？晒芾硇栽瓌t隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和系統(tǒng)復(fù)雜程度的增加，網(wǎng)絡(luò)的管理、監(jiān)控和維護(hù)，以及網(wǎng)絡(luò)故障的診斷和排除變得越來(lái)越復(fù)雜。為了使網(wǎng)絡(luò)系統(tǒng)易于管理和維護(hù)，本方案將提供先進(jìn)而完善的網(wǎng)絡(luò)管理系統(tǒng)。這樣，即方便網(wǎng)絡(luò)管理員的工作，減輕了勞動(dòng)強(qiáng)度，也提高了網(wǎng)絡(luò)系統(tǒng)的管理程度。靈活、可伸縮性原則為適應(yīng)因特網(wǎng)和互聯(lián)網(wǎng)絡(luò)技術(shù)的發(fā)展，系統(tǒng)必須具有開放性和可擴(kuò)充性。除單個(gè)設(shè)備本身的擴(kuò)展能力之外，在網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)過(guò)程中，還需要考慮整個(gè)網(wǎng)絡(luò)系統(tǒng)在未來(lái)幾年的擴(kuò)充能力和擴(kuò)充辦法。這樣才能即照顧目前的應(yīng)用需求，又能滿足今后整個(gè)計(jì)算機(jī)系統(tǒng)的發(fā)展需要。應(yīng)用軟件設(shè)計(jì)要采用結(jié)構(gòu)化和模塊設(shè)計(jì)方法，使系統(tǒng)邏輯結(jié)構(gòu)清晰、易讀，在功能的劃分和設(shè)計(jì)時(shí)，使各模塊盡可能相對(duì)獨(dú)立、減少相關(guān)性以易于擴(kuò)充、維護(hù)和修改。網(wǎng)絡(luò)系統(tǒng)要具有異種設(shè)備的異種網(wǎng)絡(luò)的互聯(lián)互通能力，以達(dá)到保護(hù)已有資源并能與其他信息系統(tǒng)交流信息的目的。綠色節(jié)能原則隨著數(shù)據(jù)中心的不斷壯大，數(shù)據(jù)中心的電費(fèi)不斷增長(zhǎng)，目前，通信/IT設(shè)備節(jié)能是降低能耗的基礎(chǔ)，采用底能耗的設(shè)備是節(jié)能減排最主要的途徑。華為產(chǎn)品解決方案整體架構(gòu)設(shè)計(jì)總體網(wǎng)絡(luò)架構(gòu)整體網(wǎng)絡(luò)解決方案總體設(shè)計(jì)以高性能、高可靠性、高安全性、有線無(wú)線一體化和統(tǒng)一的網(wǎng)管系統(tǒng)為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法，組網(wǎng)圖如下所示：網(wǎng)絡(luò)架構(gòu)整個(gè)網(wǎng)絡(luò)的設(shè)計(jì)方案采用層次化、模塊化的設(shè)計(jì)思路，按照接入層、核心層和出口層進(jìn)行網(wǎng)絡(luò)設(shè)備設(shè)計(jì)部署，在核心層交換機(jī)，提供模塊化的增值業(yè)務(wù)功能，滿足產(chǎn)學(xué)研基地日益增長(zhǎng)的業(yè)務(wù)需求。有線網(wǎng)絡(luò)解決方案整個(gè)網(wǎng)絡(luò)層次建議采用業(yè)界成熟的二層架構(gòu)：接入和核心，最后濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地通過(guò)出口層網(wǎng)絡(luò)設(shè)備（路由器或交換機(jī)）連接到外網(wǎng)通過(guò)。這種分層的網(wǎng)絡(luò)架構(gòu)，可以保證根據(jù)的業(yè)務(wù)需求，分別對(duì)不同層次進(jìn)行擴(kuò)容。核心層網(wǎng)絡(luò)設(shè)計(jì)核心層交換機(jī)部署在園區(qū)核心機(jī)房中，匯聚各樓宇/區(qū)域之間的用戶流量，提供三層交換機(jī)功能，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。對(duì)于園區(qū)網(wǎng)核心層，應(yīng)該在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了硬件IPv6，可為園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助用戶實(shí)現(xiàn)IT資源整合的需求。所以建議核心層采用雙機(jī)冗余備份的方式構(gòu)造，消除單點(diǎn)故障，設(shè)備的關(guān)鍵部分采用冗余模式。從而實(shí)現(xiàn)整個(gè)骨干網(wǎng)絡(luò)的高可靠性。骨干層建議采用10G鏈路互聯(lián)，達(dá)到高帶寬、高轉(zhuǎn)發(fā)性能的效果。本次建議采用華為的S7700高性能交換機(jī)構(gòu)造核心層，實(shí)現(xiàn)高性能的骨干網(wǎng)絡(luò)。華為S7700支持大容量、高轉(zhuǎn)發(fā)性能，完全能夠滿足各網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)。接入層網(wǎng)絡(luò)設(shè)計(jì)接入層交換機(jī)一般部署在樓道的網(wǎng)絡(luò)機(jī)柜中，接入園區(qū)網(wǎng)用戶（PC機(jī)或服務(wù)器），提供二層交換機(jī)功能，也支持三層接入功能（接入交換機(jī)為三層交換機(jī)）。提供網(wǎng)絡(luò)的第一級(jí)接入功能，一般完成簡(jiǎn)單的二層交換，安全、Qos都位于這一層。對(duì)于園區(qū)網(wǎng)的接入層設(shè)備，建議采用千兆二層接入的方式，應(yīng)該具有線速二層交換、IRF智能彈性堆疊技術(shù)以及高級(jí)QoS策略等功能。核心交換機(jī)的主要功能是連接服務(wù)器，因此必須考慮產(chǎn)學(xué)研基地未來(lái)的業(yè)務(wù)增長(zhǎng)，核心交換機(jī)必須具有很好的擴(kuò)展性，隨著以后網(wǎng)絡(luò)的擴(kuò)展，必須具有多個(gè)插槽，以便以后網(wǎng)絡(luò)擴(kuò)展的時(shí)候能夠增加網(wǎng)絡(luò)模塊。由于核心交換機(jī)在整個(gè)網(wǎng)絡(luò)中具有十分重要的地位，因此核心交換機(jī)必須具有電信級(jí)的可靠性和穩(wěn)定性，核心網(wǎng)絡(luò)對(duì)數(shù)據(jù)的快速轉(zhuǎn)發(fā)速度要求很高，因此核心交換機(jī)需要具備高容量的交換帶寬和包轉(zhuǎn)發(fā)速率。我們建議采用華為的S7700系列高性能交換機(jī)，采用雙電源?？蓪?shí)現(xiàn)萬(wàn)兆或者千兆接入，實(shí)現(xiàn)數(shù)據(jù)中心高轉(zhuǎn)發(fā)性能的效果。并且可以通進(jìn)擴(kuò)展防火墻模塊等方面，實(shí)現(xiàn)數(shù)據(jù)中心的安全。高可靠性設(shè)計(jì)網(wǎng)絡(luò)高可靠性設(shè)計(jì)針對(duì)二層接入（接入交換機(jī)是二層交換機(jī)）典型園區(qū)網(wǎng)架構(gòu)，從接入層、核心層來(lái)分層考慮網(wǎng)絡(luò)可靠性設(shè)計(jì)。接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機(jī)與核心交換機(jī)之間通過(guò)SmartLink/STP/RSTP/MSTP/RRPP保證網(wǎng)絡(luò)可靠性，同時(shí)解決二層網(wǎng)絡(luò)環(huán)路問(wèn)題。設(shè)備高可靠性設(shè)計(jì)重要部件冗余設(shè)備本身要具有電信級(jí)5個(gè)9的可靠性，需要網(wǎng)絡(luò)設(shè)備支持:主控1:1備份交換網(wǎng)1+1/1:1兩種方式DC電源1+1備份；AC電源1+1/2+2備份模塊化的風(fēng)扇設(shè)計(jì)，高端配置支持單風(fēng)扇失效無(wú)源背板，高可靠性獨(dú)立的設(shè)備監(jiān)控單元，和主控解耦 所有模塊熱插拔完善的各種告警功能設(shè)備自身安全如下圖所示,隨著黑客工具的泛濫和使用的方便,使的網(wǎng)絡(luò)攻擊的成本越來(lái)越來(lái),但危害越來(lái)越大。這就要求具有強(qiáng)大靈活的自身防護(hù)功能,以不變應(yīng)萬(wàn)變的方法,才能抵擋日益泛濫的網(wǎng)絡(luò)攻擊。華為公司全系列園區(qū)網(wǎng)交換機(jī)（S9300/S7700/S5700/S3700/S2700）提供攻擊防范功能，能夠檢測(cè)出多種類型的網(wǎng)絡(luò)攻擊，并能采取相應(yīng)的措施保護(hù)設(shè)備自身及其所連接的內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)及設(shè)備的正常運(yùn)行。華為全系列交換機(jī)支持的攻擊防范功能包括防DDOS攻擊、IP欺騙攻擊、Land攻擊、PingofDeath攻擊、Teardrop攻擊、ICMPFlood攻擊、SYNFLOOD攻擊等。另外，以太網(wǎng)交換機(jī)的MAC地址表作為二層報(bào)文轉(zhuǎn)發(fā)的核心，在受到攻擊的時(shí)候，直接導(dǎo)致交換機(jī)無(wú)法正常工作。發(fā)生MAC地址攻擊的時(shí)候，攻擊者通過(guò)不停的發(fā)送MAC地址來(lái)刷新，填充交換機(jī)的MAC地址表，由于MAC地址表的規(guī)格有限，導(dǎo)致正常流量由于沒(méi)有正確的轉(zhuǎn)發(fā)表項(xiàng)而無(wú)法正常轉(zhuǎn)發(fā)。ARP攻擊與此類似，通過(guò)攻擊報(bào)文來(lái)更改MAC與IP地址的綁定，從而重新定向流量。華為全系列交換機(jī)可以通過(guò)MAC地址與端口的綁定以及限制端口/VLAN/VSI下MAC地址的最大學(xué)習(xí)個(gè)數(shù)可防止MAC掃描，并通過(guò)VLAN、IP、MAC之間的任意綁定可防范ARP攻擊（SAI/DAI功能）。華為全系列交換機(jī)支持黑洞MAC功能，園區(qū)交換機(jī)收到報(bào)文時(shí)比較報(bào)文目的MAC地址，若與黑洞MAC表項(xiàng)相同則丟棄該報(bào)文。當(dāng)用戶察覺(jué)到某MAC地址的報(bào)文具有一定攻擊性，則可以在園區(qū)交換機(jī)上配置黑洞MAC，從而將具有該MAC地址的報(bào)文過(guò)濾掉，避免遭受攻擊。安全方案設(shè)計(jì)園區(qū)網(wǎng)安全方案總體設(shè)計(jì)從園區(qū)內(nèi)網(wǎng)安全、邊界防御、園區(qū)出口傳輸安全等多緯度、多層次進(jìn)行安全設(shè)計(jì)和安全防御，對(duì)產(chǎn)學(xué)研基地內(nèi)部進(jìn)行安全區(qū)域劃分、隔離和權(quán)限控制，對(duì)產(chǎn)學(xué)研基地外部用戶訪問(wèn)進(jìn)行安全控制、數(shù)據(jù)加密，防止惡意攻擊。園區(qū)網(wǎng)全方位的安全設(shè)計(jì)方案保證內(nèi)部、外部用戶訪問(wèn)園區(qū)網(wǎng)資源的安全性。園區(qū)內(nèi)網(wǎng)安全設(shè)計(jì)防IP/MAC地址盜用和ARP中間人攻擊防IP/MAC地址盜用DHCPSnooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)DHCPSnooping綁定表過(guò)濾不可信任的DHCP信息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息。DHCPSnooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息，DHCPSnooping綁定表可以基于DHCP過(guò)程動(dòng)態(tài)生成，也可以通過(guò)靜態(tài)配置生成，此時(shí)需預(yù)先準(zhǔn)備用戶的IP地址、MAC地址、用戶所屬VLANID、用戶所屬接口等信息。園區(qū)交換機(jī)開啟DHCP-Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCPRequest或DHCPAck報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCPOffer報(bào)文，而不信任端口會(huì)將接收到的DHCPOffer報(bào)文丟棄。這樣，可以完成交換機(jī)對(duì)假冒DHCPServer的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCPServer獲取IP地址。防ARP中間人攻擊DynamicARPInspection(DAI)在交換機(jī)上基于DHCPSnooping技術(shù)提供用戶網(wǎng)關(guān)IP地址和MAC地址、VLAN和接入端口的綁定，并動(dòng)態(tài)建立綁定關(guān)系。對(duì)于用戶終端沒(méi)有使用DHCP動(dòng)態(tài)獲取IP地址的場(chǎng)景，可采用靜態(tài)添加用戶網(wǎng)關(guān)相關(guān)信息的靜態(tài)綁定表。此時(shí)園區(qū)交換機(jī)檢測(cè)過(guò)濾ARP請(qǐng)求響應(yīng)報(bào)文中的源MAC、源IP是否可以匹配上述綁定表，不能匹配則認(rèn)為是仿冒網(wǎng)關(guān)回應(yīng)的ARP響應(yīng)報(bào)文，予以丟棄，從而可以有效實(shí)現(xiàn)防御ARP中間人/網(wǎng)關(guān)ARP仿冒欺騙攻擊行為。防IP/MAC地址掃描攻擊防IP掃描攻擊地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報(bào)文。當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí)，觸發(fā)ARPmiss，使網(wǎng)絡(luò)設(shè)備給該網(wǎng)段下的每個(gè)地址發(fā)送ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可引起網(wǎng)絡(luò)中斷。園區(qū)交換機(jī)支持IP地址掃描攻擊的防護(hù)能力，收到目的IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會(huì)發(fā)送一個(gè)ARP請(qǐng)求報(bào)文，并針對(duì)目的地址下一條丟棄表項(xiàng)（棄后續(xù)所有目的地址為該直連網(wǎng)段的ARP報(bào)文），以防止后續(xù)報(bào)文持續(xù)沖擊CPU。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)；否則，經(jīng)過(guò)一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣，既防止直連網(wǎng)段掃描攻擊對(duì)交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。在上述基礎(chǔ)上，交換機(jī)還支持基于接口設(shè)置ARPmiss的速率。當(dāng)接口上觸發(fā)的ARPmiss超過(guò)設(shè)置的閾值時(shí)，接口上的ARPmiss不再處理，直接丟棄。如果用戶使用相同的源IP進(jìn)行地址掃描攻擊，交換機(jī)還可以基于源IP做ARPmiss統(tǒng)計(jì)。如果ARPmiss的速率超過(guò)設(shè)定的閾值，則下發(fā)ACL將帶有此源IP的報(bào)文進(jìn)行丟棄，過(guò)一段時(shí)間后再允許通過(guò)。防MAC地址掃描攻擊以太網(wǎng)交換機(jī)的MAC地址轉(zhuǎn)發(fā)表作為二層報(bào)文轉(zhuǎn)發(fā)的核心，在受到攻擊的時(shí)候，直接導(dǎo)致交換機(jī)無(wú)法正常工作。發(fā)生MAC地址攻擊的時(shí)候，攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的源MAC地址不斷變化以太報(bào)文，園區(qū)交換機(jī)收到以太報(bào)文會(huì)基于報(bào)文的源MAC學(xué)習(xí)填充二層MAC轉(zhuǎn)發(fā)表項(xiàng)，由于MAC地址轉(zhuǎn)發(fā)表的規(guī)格有限，會(huì)因?yàn)镸AC掃描攻擊而很快填充滿，無(wú)法再學(xué)習(xí)生成新的MAC轉(zhuǎn)發(fā)表，已學(xué)習(xí)的MAC表?xiàng)l目需通過(guò)老化方式刪除，這樣途徑園區(qū)交換機(jī)大量的單播報(bào)文會(huì)因?yàn)榘凑漳康腗AC找不到轉(zhuǎn)發(fā)表項(xiàng)而不得不進(jìn)行廣播發(fā)送，導(dǎo)致園區(qū)網(wǎng)絡(luò)中產(chǎn)生大量的二層廣播報(bào)文，消耗網(wǎng)絡(luò)帶寬、引發(fā)網(wǎng)絡(luò)業(yè)務(wù)中斷異常。交換機(jī)二層MAC轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口/VLAN共享一份MAC轉(zhuǎn)發(fā)表，華為園區(qū)交換機(jī)支持基于端口/VLAN的MAC學(xué)習(xí)數(shù)目限制，同時(shí)支持MAC表學(xué)習(xí)速率限制，有效防御MAC地址掃描攻擊行為。MAC學(xué)習(xí)數(shù)目達(dá)到端口/VLAN上設(shè)置的閾值時(shí)，會(huì)進(jìn)行丟棄/轉(zhuǎn)發(fā)/告警等動(dòng)作（動(dòng)作策略可定制、可疊加）。另外通過(guò)園區(qū)交換機(jī)的MAC地址與端口綁定來(lái)限制跨端口的MAC掃描攻擊。廣播/組播報(bào)文抑制攻擊者不停地向園區(qū)網(wǎng)發(fā)送大量惡意的廣播報(bào)文，惡意廣播報(bào)文占據(jù)了大量的帶寬，傳統(tǒng)的廣播風(fēng)暴抑制無(wú)法識(shí)別用戶VLAN，將導(dǎo)致正常的廣播流量一并被交換機(jī)丟棄。園區(qū)網(wǎng)交換機(jī)需要識(shí)別惡意廣播流量的VLANID，通過(guò)基于VLAN的廣播風(fēng)暴抑制丟棄惡意廣播報(bào)文而不影響正常廣播報(bào)文流量轉(zhuǎn)發(fā)。可基于端口或VLAN限制廣播報(bào)文流量百分比或速率閾值。同時(shí)園區(qū)網(wǎng)交換機(jī)支持組播報(bào)文抑制，可基于端口限制組播報(bào)文流量百分比或速率閾值。園區(qū)網(wǎng)邊界防御濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)邊界防御分為兩個(gè)部分：園區(qū)出口邊界防御、園區(qū)內(nèi)部邊界防御。園區(qū)出口連接Internet和產(chǎn)學(xué)研基地WAN網(wǎng)的接入，產(chǎn)學(xué)研基地外部網(wǎng)路尤其Internet網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險(xiǎn)點(diǎn)，通過(guò)在產(chǎn)學(xué)研基地出口部署高性能防火墻設(shè)備、或者在核心交換機(jī)內(nèi)置防火墻模塊，可以很好的緩解風(fēng)險(xiǎn)的傳播，阻擋來(lái)自Internet/產(chǎn)學(xué)研基地外部網(wǎng)絡(luò)攻擊行為的發(fā)生。濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地出口位置部署的獨(dú)立防火墻設(shè)備（或核心交換機(jī)內(nèi)置的防火墻模塊），需要滿足高性能、高可靠、高安全的要求，是濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)的第一道安全屏障。園區(qū)內(nèi)部邊界防御是將產(chǎn)學(xué)研基地內(nèi)部劃分為多個(gè)區(qū)域，分為信任區(qū)域和非信任區(qū)域，分別實(shí)施不同的安全策略，包括部署區(qū)域間隔離、受限訪問(wèn)、防止來(lái)自區(qū)域內(nèi)部的DOS攻擊等安卻措施。建議通過(guò)匯聚交換機(jī)上集成防火墻模塊（單板）來(lái)實(shí)現(xiàn)園區(qū)內(nèi)部的邊界防御功能。園區(qū)網(wǎng)中防火墻功能無(wú)論是獨(dú)立設(shè)備部署還是集成在核心/匯聚交換機(jī)內(nèi)部，都必須支持靈活的業(yè)務(wù)流控制策略配置，能把特定的流量引到防火墻進(jìn)行處理，其他流量進(jìn)行旁路。防火墻本身需要保證高可靠性，可以考慮防火墻的冗余設(shè)計(jì)，支持Active/ActiveHA設(shè)計(jì)方式，即交換機(jī)內(nèi)集成的多塊防火墻板卡支持負(fù)載分擔(dān)和主備模式，不同交換機(jī)內(nèi)的防火墻支持Active/Active模式，同時(shí)能夠處理流量。園區(qū)網(wǎng)出口安全隨著現(xiàn)代社會(huì)網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，產(chǎn)學(xué)研基地日益發(fā)展擴(kuò)大，辦事處、分支機(jī)構(gòu)以及商業(yè)合作伙伴逐步增多，如何將這些小型的辦公網(wǎng)絡(luò)和產(chǎn)學(xué)研基地總部網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)靈活而有效的互聯(lián)，并且與整個(gè)產(chǎn)學(xué)研基地網(wǎng)絡(luò)安全方案有機(jī)融合，提高產(chǎn)學(xué)研基地信息化程度，優(yōu)化商業(yè)運(yùn)作效率，成為產(chǎn)學(xué)研基地IT網(wǎng)絡(luò)設(shè)計(jì)亟待解決的問(wèn)題；大量普及的SOHO網(wǎng)絡(luò)、小型辦公網(wǎng)絡(luò)、智能家居網(wǎng)絡(luò)也越來(lái)越注重接入的便捷性和網(wǎng)絡(luò)安全性。濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地網(wǎng)出口設(shè)備是產(chǎn)學(xué)研基地內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點(diǎn)，其安全保證能力非常重要，產(chǎn)學(xué)研基地在信息化的過(guò)程中面臨核心技術(shù)、商業(yè)機(jī)密泄密等信息安全問(wèn)題，VPN技術(shù)是產(chǎn)學(xué)研基地傳輸數(shù)據(jù)非常理想的選擇，因?yàn)閂PN技術(shù)正式是為了解決在不安全的Internet上安全傳輸機(jī)密信息，保證信息的完整性、可用性以及保密性，包括IPSecVPN和SSLVPN。產(chǎn)學(xué)研基地辦事處、分支機(jī)構(gòu)以及商業(yè)合作伙伴如果采用主機(jī)VPN客戶端接入產(chǎn)學(xué)研基地總部網(wǎng)絡(luò)，那么分之機(jī)構(gòu)網(wǎng)絡(luò)中的每個(gè)主機(jī)需要單獨(dú)撥號(hào)接入，VPN接入不可控造成內(nèi)部網(wǎng)絡(luò)安全隱患，同時(shí)也大量消耗產(chǎn)學(xué)研基地總部VPN網(wǎng)關(guān)隧道資源；如果采用單獨(dú)的VPN網(wǎng)關(guān)與產(chǎn)學(xué)研基地總部網(wǎng)關(guān)建立VPN隧道，又面臨投資過(guò)大的問(wèn)題。需要有效解決產(chǎn)學(xué)研基地分支機(jī)構(gòu)VPN接入靈活性、安全性和經(jīng)濟(jì)性之間的矛盾。設(shè)備介紹Quidway?S9300系列交換機(jī)Quidway?S9300系列是華為公司面向以業(yè)務(wù)為核心的網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能T比特核心路由交換機(jī)。該產(chǎn)品基于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)基礎(chǔ)上，進(jìn)一步提供業(yè)務(wù)流分析、完善的QOS策略、可控組播、一體化安全等智能業(yè)務(wù)優(yōu)化手段，同時(shí)具備超強(qiáng)擴(kuò)展性和可靠性。Quidway?S9300系列廣泛適用于廣域網(wǎng)、城域網(wǎng)，園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心核心、匯聚節(jié)點(diǎn)，幫助產(chǎn)學(xué)研基地構(gòu)建面向應(yīng)用的網(wǎng)絡(luò)平臺(tái)，提供交換路由一體化的端到端融合網(wǎng)絡(luò)。

Quidway?S9300系列提供S9303、S9306、S9312三種產(chǎn)品形態(tài)，支持不斷擴(kuò)展的交換能力和端口密度。整個(gè)系列秉承模塊通用化、部件歸一化的設(shè)計(jì)理念，最小化備件成本，在保證設(shè)備擴(kuò)展性的同時(shí)最大限度地保護(hù)用戶投資。此外，S9300作為新一代智能交換機(jī)采用了多種綠色節(jié)能創(chuàng)新技術(shù)，在不斷提升性能及穩(wěn)定性的同時(shí)，大幅降低設(shè)備能源消耗，減小噪聲污染，為網(wǎng)絡(luò)綠色可持續(xù)發(fā)展提供領(lǐng)先的解決方案。

產(chǎn)品特點(diǎn)

先進(jìn)交換架構(gòu)提升網(wǎng)絡(luò)擴(kuò)展性S9300采用先進(jìn)的分布式交換技術(shù)，提供業(yè)界最大整機(jī)交換容量和槽位帶寬。創(chuàng)新的交換速率自適應(yīng)技術(shù)，支持單端口速率40G、100G平滑升級(jí)，同時(shí)完美兼容現(xiàn)網(wǎng)板卡，保護(hù)初始投資。背板通流能力充分考慮未來(lái)帶寬升級(jí)對(duì)整機(jī)電源功率和散熱需求，數(shù)據(jù)總線預(yù)留升級(jí)高速交換網(wǎng)能力。超高萬(wàn)兆端口密度，單臺(tái)設(shè)備支持576個(gè)萬(wàn)兆端口，助力濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地和數(shù)據(jù)中心迎來(lái)全萬(wàn)兆核心時(shí)代。創(chuàng)新的三平面架構(gòu)設(shè)計(jì)S9300在傳統(tǒng)交換機(jī)數(shù)據(jù)轉(zhuǎn)發(fā)、管理控制雙平面基礎(chǔ)上創(chuàng)新地增加了獨(dú)立的環(huán)境監(jiān)控平面，實(shí)現(xiàn)對(duì)單板、風(fēng)扇和電源配電模塊的監(jiān)控、管理和維護(hù)。業(yè)界首創(chuàng)的環(huán)境監(jiān)控板，采用華為自主知識(shí)產(chǎn)權(quán)的高集成度中控芯片，實(shí)現(xiàn)硬件級(jí)的按流量動(dòng)態(tài)調(diào)整功率、風(fēng)扇分區(qū)控制、風(fēng)扇智能調(diào)速、端口休眠技術(shù)等多項(xiàng)節(jié)能技術(shù)，在提升系統(tǒng)性能的同時(shí)大大降低整機(jī)功耗。支持獨(dú)立環(huán)境監(jiān)控與網(wǎng)管聯(lián)動(dòng)，實(shí)現(xiàn)全面可視化管理。

運(yùn)營(yíng)級(jí)高可靠性設(shè)計(jì)，保障產(chǎn)學(xué)研基地應(yīng)用永續(xù)運(yùn)行9300具備超越5個(gè)9的運(yùn)營(yíng)級(jí)高可靠性，主控、電源、風(fēng)扇等關(guān)鍵部件采用冗余設(shè)計(jì)，所有模塊均支持熱插拔。基于分布式的硬件轉(zhuǎn)發(fā)架構(gòu)，路由平面和數(shù)據(jù)交換平面嚴(yán)格分離，保證業(yè)務(wù)流永續(xù)暢通。獨(dú)立的故障檢測(cè)定位硬件，提供3.3ms高精度硬件級(jí)以太OAM功能，實(shí)現(xiàn)快速故障檢測(cè)與定位，與其他倒換技術(shù)聯(lián)動(dòng)可有效保證毫秒級(jí)網(wǎng)絡(luò)保護(hù)。能夠在冗余控制引擎間實(shí)現(xiàn)無(wú)縫切換，設(shè)備優(yōu)雅重啟無(wú)中斷轉(zhuǎn)發(fā)。支持ISSU業(yè)務(wù)無(wú)縫升級(jí)，減少關(guān)鍵業(yè)務(wù)和服務(wù)中斷。支持Enhanced-Trunk（E-Trunk）功能，實(shí)現(xiàn)跨設(shè)備鏈路聚合，二層組網(wǎng)環(huán)境中跨設(shè)備鏈路聚合無(wú)須運(yùn)行破環(huán)協(xié)議，提高設(shè)備鏈路利用效率的同時(shí)避免單點(diǎn)故障。支持IEEE802.3ad鏈路匯聚、IEEE802.1s/w和虛擬路由器冗余協(xié)議（VRRP），同時(shí)支持豐富的毫秒級(jí)倒換技術(shù)如RRPP、SmartLink、IPFRR、TEFRR、VPNFRR等，實(shí)現(xiàn)運(yùn)營(yíng)級(jí)級(jí)高可靠性。多維集群CSS（集群交換系統(tǒng)）通過(guò)CSS集群虛擬化技術(shù)，將集群主機(jī)虛擬成一臺(tái)邏輯設(shè)備，實(shí)現(xiàn)整個(gè)集群系統(tǒng)控制信息共享和路由、組播表項(xiàng)同步。CSS集群技術(shù)可以有效提高單臺(tái)設(shè)備的帶寬，滿足高密萬(wàn)兆園區(qū)核心與大容量數(shù)據(jù)中心對(duì)核心交換設(shè)備的帶寬吞吐要求。CSS集群技術(shù)可以提高系統(tǒng)的可靠性。S9300CSS集群創(chuàng)新性采用交換網(wǎng)集群技術(shù)，克服了業(yè)界普遍采用的線卡集群跨框多次交換，交換效率低下的架構(gòu)難題。采用交換網(wǎng)集群技術(shù)可以將集群主機(jī)交換網(wǎng)拉通，集群不占用線卡槽位，并提供業(yè)界最大的256G集群帶寬，同時(shí)可以通過(guò)跨框鏈路聚合提高鏈路的利用率，并消除單點(diǎn)故障。CSS集群可以簡(jiǎn)化核心層的網(wǎng)絡(luò)管理，整個(gè)集群系統(tǒng)共用同一個(gè)虛擬IP，減少設(shè)備網(wǎng)元，簡(jiǎn)化網(wǎng)絡(luò)拓?fù)涔芾?，提高運(yùn)營(yíng)效率，降低維護(hù)成本。

運(yùn)行中軟件升級(jí)ISSU保障網(wǎng)絡(luò)無(wú)中斷運(yùn)行ISSU可以在設(shè)備軟件升級(jí)過(guò)程中，減少系統(tǒng)業(yè)務(wù)中斷時(shí)間，顯著地提高設(shè)備的可靠性。真正使產(chǎn)學(xué)研基地網(wǎng)絡(luò)具備“全天候”提供業(yè)務(wù)能力，實(shí)現(xiàn)設(shè)備軟件升級(jí)流量“零”割接，應(yīng)用不中斷。S9300提供無(wú)損升級(jí)、有損升級(jí)和快速重啟三種ISSU升級(jí)方式，系統(tǒng)可自動(dòng)比較新舊版本各個(gè)模塊間差異，給出升級(jí)方式建議，供用戶選擇。支持ISSU升級(jí)失敗時(shí)自動(dòng)回退（Auto-Rollback）版本，線卡采用新舊版本進(jìn)程備份技術(shù)減少ISSU中斷應(yīng)用的影響。完善的QOS機(jī)制S9300提供高品質(zhì)的QOS（QualityofService）能力，支持Layer2~Layer7的流分類技術(shù)，具備完善的隊(duì)列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實(shí)現(xiàn)多級(jí)的精確調(diào)度，從而滿足不同用戶、不同業(yè)務(wù)等級(jí)的服務(wù)質(zhì)量要求。S9300提供層次化QOS（H-QOS）調(diào)度機(jī)制，通過(guò)在不同業(yè)務(wù)等級(jí)上分別設(shè)置單獨(dú)調(diào)度器，進(jìn)一步精細(xì)化流量QOS特征，保障相應(yīng)業(yè)務(wù)的服務(wù)質(zhì)量。支持面向接入側(cè)的多級(jí)H-QOS調(diào)度機(jī)制，多樣化，差異化滿足大型濟(jì)寧高新區(qū)產(chǎn)學(xué)研基地不同層次用戶設(shè)備的業(yè)務(wù)需求。全業(yè)務(wù)以太交換平臺(tái)支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、HVPLS、VLL，滿足產(chǎn)學(xué)研基地VPN等用戶的接入需求。支持多種速率WAN子卡，滿足廣域接入的需求。具備線速的跨VLAN組播復(fù)制能力，實(shí)現(xiàn)端口滿負(fù)荷復(fù)制，滿足多終端視頻監(jiān)控和視頻會(huì)議接入需求；完善的二、三層組播協(xié)議，可作為組播復(fù)制點(diǎn)和控制點(diǎn)，提供高性能的IP組播視頻和音頻應(yīng)用。軟件平臺(tái)提供多種路由協(xié)議滿足產(chǎn)學(xué)研基地建網(wǎng)要求，支持從中小產(chǎn)學(xué)研基地到超大型跨國(guó)公司級(jí)大規(guī)模路由，支持IPv6，能夠?yàn)楫a(chǎn)學(xué)研基地網(wǎng)絡(luò)提供平滑升級(jí)能力。支持標(biāo)準(zhǔn)POE，滿足15.4W和30W標(biāo)準(zhǔn)POE供電規(guī)格，滿足產(chǎn)學(xué)研基地在線供電業(yè)務(wù)需求。虛擬化數(shù)據(jù)中心交換平臺(tái)S9300CSS集群虛擬化技術(shù)，滿足數(shù)據(jù)中心對(duì)核心、匯聚設(shè)備大容量、高可靠、海量吞吐的要求。首創(chuàng)交換網(wǎng)集群，分布式跨設(shè)備鏈路聚合技術(shù)，有效利用數(shù)據(jù)中心內(nèi)部帶寬資源，實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部數(shù)據(jù)交換對(duì)物理鏈路無(wú)感知。針對(duì)大型分布式計(jì)算數(shù)據(jù)中心業(yè)務(wù)模型，專門設(shè)計(jì)大緩存線卡，支持單端口200ms數(shù)據(jù)流量緩存，解決分布式計(jì)算網(wǎng)絡(luò)瞬間流量過(guò)大丟包問(wèn)題。每板最大64K硬件隊(duì)列，支持精細(xì)化QOS和流量管理，利用多種隊(duì)列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實(shí)現(xiàn)多級(jí)的精確調(diào)度，從而滿足不同用戶、不同業(yè)務(wù)等級(jí)的服務(wù)質(zhì)量要求，準(zhǔn)確地按需配置給不同用戶、不同業(yè)務(wù)流分配不同的優(yōu)先級(jí)和隊(duì)列，保證不同的帶寬、業(yè)務(wù)延遲和抖動(dòng)性能需求。高性能IPv6業(yè)務(wù)能力S9300軟硬件平臺(tái)均支持IPv6，取得工信部IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金色認(rèn)證。支持IPv4/IPv6雙協(xié)議棧，支持多種隧道技術(shù)，支持IPv6靜態(tài)路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6組播，滿足IPv6獨(dú)立組網(wǎng)和IPv4/IPv6混合組網(wǎng)要求。智能流量負(fù)載均衡S9300負(fù)載均衡器能夠保證服務(wù)可靠性，提高服務(wù)響應(yīng)速度，方便業(yè)務(wù)靈活擴(kuò)展。S9300負(fù)載均衡器支持加權(quán)輪詢、基于連接數(shù)、加權(quán)IP地址Hash和基于HTTPURL的Hash等多種均衡調(diào)度算法，全面滿足客戶負(fù)載均衡要求。門戶網(wǎng)站服務(wù)器經(jīng)常會(huì)遇到在同一時(shí)間大量針對(duì)同樣網(wǎng)頁(yè)、服務(wù)的請(qǐng)求，服務(wù)器針對(duì)請(qǐng)求會(huì)頻繁建立、拆除TCP連接，耗費(fèi)大量CPU資源，影響服務(wù)器響應(yīng)速度。S9300負(fù)載均衡器支持TCP和HTTP重用，減輕服務(wù)器拆除/建立TCP連接的負(fù)載，提高服務(wù)器訪問(wèn)效率。S9300負(fù)載均衡器支持動(dòng)態(tài)“鎖流”技術(shù)，滿足電子商務(wù)網(wǎng)站在線購(gòu)物負(fù)載均衡需求。強(qiáng)大的網(wǎng)絡(luò)流量分析能力S9300支持隨板分布式和專用處理線卡集中式網(wǎng)絡(luò)Netstream業(yè)務(wù)分析功能，滿足用戶對(duì)網(wǎng)絡(luò)流量實(shí)時(shí)采集、分析需要。支持NetstreamV5/V8/V9多種報(bào)文格式，支持聚合流量模板，減輕網(wǎng)絡(luò)采集器系統(tǒng)壓力，支持實(shí)時(shí)流量采集、動(dòng)態(tài)報(bào)表生成、屬性分析、流量異常告警等功能。幫助客戶對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控、現(xiàn)網(wǎng)設(shè)備吞吐分析，為優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、科學(xué)合理擴(kuò)容提供決策依據(jù)。周密的安全設(shè)計(jì)內(nèi)嵌集中式防火墻板卡，支持虛擬防火墻與NAT多實(shí)例，滿足多VPN客戶共用防火墻組網(wǎng)環(huán)境。動(dòng)態(tài)黑名單主動(dòng)防御技術(shù)實(shí)現(xiàn)蠕蟲病毒防范、抵御拓?fù)涮綔y(cè)、IP掃描和端口掃描攻擊防護(hù)，為產(chǎn)學(xué)研基地打造安全內(nèi)網(wǎng)環(huán)境。應(yīng)用層包過(guò)濾技術(shù)（ApplicationSpecificPacketFilter）對(duì)應(yīng)用層報(bào)文內(nèi)容進(jìn)行復(fù)雜規(guī)則檢測(cè)，支持SIP、QQ、MSN、H.323、SMTP、RTSP、FTP、HTTP多種應(yīng)用層協(xié)議。防火墻熱備份，增強(qiáng)網(wǎng)絡(luò)可靠性與抗攻擊能力。支持完善的AAA（Authentication，AuthorizationandAccounting）機(jī)制，根據(jù)策略對(duì)接入用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。支持802.1X、Portal、GuestVLAN，支持用戶動(dòng)態(tài)接入認(rèn)證，與其他主流廠商的NAC互通。支持路由協(xié)議加密、MAC地址過(guò)濾、動(dòng)態(tài)ARP檢測(cè)、ACL等等一系列安全特性，可以為服務(wù)提供商以及網(wǎng)絡(luò)的最終用戶提供數(shù)據(jù)保護(hù)?；谟布陌^(guò)濾和采樣，可實(shí)現(xiàn)高性能和高擴(kuò)展性。提供2級(jí)CPU保護(hù)機(jī)制，支持1KCPU硬件保護(hù)隊(duì)列，可實(shí)現(xiàn)數(shù)據(jù)和控制的分離處理，防止拒絕服務(wù)攻擊、非法接入以及控制平面過(guò)載等安全威脅，提供業(yè)界領(lǐng)先的一體化安全解決方案。六項(xiàng)創(chuàng)新節(jié)能技術(shù)，省電30%首創(chuàng)的“變流”芯片，實(shí)現(xiàn)按流量動(dòng)態(tài)調(diào)整功率，降低功耗8%。獨(dú)特的“旋轉(zhuǎn)”風(fēng)道設(shè)計(jì)，提高整機(jī)散熱效率，降低功耗3%，同時(shí)整機(jī)出線能力提高6倍。采用顆?；⑿」β实哪K化設(shè)計(jì)思路，提高電源系統(tǒng)的轉(zhuǎn)換效率，電源按需配置，保護(hù)用戶投資。獨(dú)立風(fēng)扇分區(qū)控制，進(jìn)一步降低功耗和噪聲污染。采用智能風(fēng)扇調(diào)速策略，監(jiān)測(cè)全系統(tǒng)關(guān)鍵器件溫度，采用小區(qū)間控溫技術(shù)，可以有效降低轉(zhuǎn)速，并延長(zhǎng)風(fēng)扇使用壽命。支持端口休眠，無(wú)流量不耗電。歸一化平臺(tái)設(shè)計(jì)，最小化備件成本S9300設(shè)計(jì)上采用了業(yè)界最先進(jìn)的散熱架構(gòu)設(shè)計(jì)，在滿足設(shè)備大容量的同時(shí)解決整機(jī)散熱的難題，實(shí)現(xiàn)了單機(jī)柜業(yè)界最大設(shè)備端口密度。S9300全系列產(chǎn)品整機(jī)高度歸一化設(shè)計(jì)，電源、風(fēng)扇、環(huán)境監(jiān)控板等全部通用，減少備件種類，節(jié)省用戶投資。采用自主節(jié)能芯片，高效節(jié)能管理平臺(tái)，能效比業(yè)界領(lǐng)先。\o"Quidway?S7700系列智能路由交換機(jī)"Quidway?S7700系列交換機(jī)

Quidway?S7700系列是華為公司面向下一代產(chǎn)學(xué)研基地網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能路由交換機(jī)。該產(chǎn)品基于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、安全的高性能L2~L4層交換服務(wù)基礎(chǔ)上，進(jìn)一步提供MPLSVPN、業(yè)務(wù)流分析、完善的QOS策略、可控組播、資源負(fù)載均衡、一體化安全等智能業(yè)務(wù)優(yōu)化手段，同時(shí)具備超強(qiáng)擴(kuò)展性和可靠性。

Quidway?S7700系列廣泛適用于園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心核心/匯聚節(jié)點(diǎn)，可對(duì)無(wú)線、話音、視頻和數(shù)據(jù)融合網(wǎng)絡(luò)進(jìn)行先進(jìn)的控制，幫助產(chǎn)學(xué)研基地構(gòu)建交換路由一體化的端到端融合網(wǎng)絡(luò)。

Quidway?S7700系列提供S7703、S7706、S7712三種產(chǎn)品形態(tài)，支持不斷擴(kuò)展的交換能力和端口密度。S7700作為新一代智能交換機(jī)采用了全新的硬件平臺(tái)，左后風(fēng)道散熱整機(jī)架構(gòu)，打造業(yè)界最佳能效比交換設(shè)備。關(guān)鍵部件冗余設(shè)計(jì)，最小化設(shè)備宕機(jī)與業(yè)務(wù)中斷風(fēng)險(xiǎn)。創(chuàng)新節(jié)能控制芯片，整機(jī)智能節(jié)電，為網(wǎng)絡(luò)綠色可持續(xù)發(fā)展提供領(lǐng)先的解決方案。

產(chǎn)品特點(diǎn)強(qiáng)大的業(yè)務(wù)處理能力，提升網(wǎng)絡(luò)架構(gòu)擴(kuò)展性多業(yè)務(wù)路由交換平臺(tái)，滿足產(chǎn)學(xué)研基地接入、匯聚、核心業(yè)務(wù)承載需求，全面支持無(wú)線、語(yǔ)音、視頻和數(shù)據(jù)應(yīng)用，為產(chǎn)學(xué)研基地提供高可用、低時(shí)延、全業(yè)務(wù)的一體化網(wǎng)絡(luò)解決方案。支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、分層VPLS、VLL，滿足產(chǎn)學(xué)研基地VPN等接入需求。具備線速的跨VLAN組播復(fù)制能力，實(shí)現(xiàn)端口滿負(fù)荷復(fù)制，滿足多終端視頻監(jiān)控和視頻會(huì)議接入需求；完善的二、三層組播協(xié)議，支持PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping，提供高性能的IP組播視頻和音頻應(yīng)用。華為VRP軟件平臺(tái)提供靜態(tài)路由、RIP、OSPF、ISIS、BGP多種路由協(xié)議，滿足產(chǎn)學(xué)研基地建網(wǎng)要求，軟硬件支持IPv6，為產(chǎn)學(xué)研基地網(wǎng)絡(luò)提供IPv4到IPv6平滑升級(jí)能力。支持標(biāo)準(zhǔn)POE，滿足15.4W和30W標(biāo)準(zhǔn)POE供電規(guī)格，滿足產(chǎn)學(xué)研基地在線供電業(yè)務(wù)需求。運(yùn)營(yíng)級(jí)高可靠性設(shè)計(jì)，可視化故障診斷S7700具備超越5個(gè)9的運(yùn)營(yíng)級(jí)高可靠性，主控、電源、風(fēng)扇等關(guān)鍵部件采用冗余設(shè)計(jì)，所有模塊均支持熱插拔。基于分布式的硬件轉(zhuǎn)發(fā)架構(gòu)，路由平面和數(shù)據(jù)交換平面嚴(yán)格分離，保證業(yè)務(wù)流永續(xù)暢通。專用的故障檢測(cè)定位子卡，提供300pps/3.3ms高精度硬件級(jí)以太OAM功能，網(wǎng)絡(luò)故障發(fā)生時(shí)能夠在第一時(shí)間檢測(cè)所有終端Session聯(lián)通性，圖形化網(wǎng)管故障診斷界面，設(shè)備節(jié)點(diǎn)、鏈路自動(dòng)遍歷，實(shí)現(xiàn)網(wǎng)絡(luò)快速故障檢測(cè)與定位。能夠在冗余控制引擎間實(shí)現(xiàn)主備無(wú)縫切換，路由控制平面狀態(tài)切換，設(shè)備優(yōu)雅重啟實(shí)現(xiàn)NSF無(wú)中斷轉(zhuǎn)發(fā)。支持ISSU業(yè)務(wù)運(yùn)行中軟件升級(jí)，設(shè)備軟件升級(jí)過(guò)程中確保關(guān)鍵業(yè)務(wù)和服務(wù)不中斷。先進(jìn)的無(wú)環(huán)路以太（LFR）技術(shù)，以太網(wǎng)無(wú)需運(yùn)行任何破環(huán)協(xié)議，簡(jiǎn)化網(wǎng)絡(luò)部署，提高鏈路利用效率，設(shè)備故障不引起網(wǎng)絡(luò)震蕩和拓?fù)涫諗?。支持IEEE802.3ad鏈路匯聚、IEEE802.1s/w和虛擬路由器冗余協(xié)議（VRRP），同時(shí)支持豐富的毫秒級(jí)倒換技術(shù)如RRPP、SmartLink、IPFRR、TEFRR、VPNFRR等，實(shí)現(xiàn)運(yùn)營(yíng)級(jí)高可靠性。支持Enhanced-Trunk（E-Trunk）功能，設(shè)備鏈路聚合由單機(jī)支持?jǐn)U展到跨設(shè)備支持，減少網(wǎng)元維護(hù)，簡(jiǎn)化網(wǎng)絡(luò)層次，提高設(shè)備鏈路利用效率。運(yùn)行中軟件升級(jí)ISSU，網(wǎng)絡(luò)業(yè)務(wù)無(wú)中斷運(yùn)行

ISSU可以在設(shè)備軟件升級(jí)過(guò)程中，減少系統(tǒng)業(yè)務(wù)中斷時(shí)間，顯著地提高設(shè)備的可靠性。真正使產(chǎn)學(xué)研基地網(wǎng)絡(luò)具備“全天候”提供業(yè)務(wù)能力，實(shí)現(xiàn)設(shè)備軟件升級(jí)流量“零”割接，應(yīng)用不中斷。

S7700提供無(wú)損升級(jí)、有損升級(jí)和快速重啟三種ISSU升級(jí)方式，系統(tǒng)可自動(dòng)比較新舊版本各個(gè)模塊間差異，給出升級(jí)方式建議，供用戶選擇。支持ISSU升級(jí)失敗時(shí)自動(dòng)回退（Auto-Rollback）版本，線卡采用新舊版本進(jìn)程備份技術(shù)減少ISSU中斷應(yīng)用的影響。

完善的QOS機(jī)制，提升語(yǔ)音、視頻用戶體驗(yàn)S7700提供高品質(zhì)的QOS（QualityofService）能力，支持從鏈路層到應(yīng)用層流分類技術(shù)，具備完善的隊(duì)列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實(shí)現(xiàn)多級(jí)的精確調(diào)度，從而滿足產(chǎn)學(xué)研基地不同用戶終端、不同業(yè)務(wù)種類的服務(wù)質(zhì)量要求。S7700提供硬件組播QOS低延時(shí)隊(duì)列，全面滿足產(chǎn)學(xué)研基地視頻業(yè)務(wù)優(yōu)先級(jí)保障需求，為視頻會(huì)議、監(jiān)控等關(guān)鍵業(yè)務(wù)提供高質(zhì)量承載保障。創(chuàng)新的優(yōu)先級(jí)調(diào)度算法，對(duì)傳統(tǒng)QOS隊(duì)列調(diào)度進(jìn)行了專門針對(duì)產(chǎn)學(xué)研基地語(yǔ)音與視頻的優(yōu)化，大幅降低IP語(yǔ)音時(shí)延、消除視頻馬賽克，提高用戶體驗(yàn)。高性能IPv6業(yè)務(wù)能力，IPv4到IPv6平滑升級(jí)S7700軟硬件平臺(tái)均支持IPv6，取得工信部IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金色認(rèn)證。支持IPv4/IPv6雙協(xié)議棧，支持多種隧道技術(shù)，支持IPv6靜態(tài)路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6組播，滿足IPv6獨(dú)立組網(wǎng)和IPv4/IPv6混合組網(wǎng)要求。智能流量負(fù)載均衡，提升產(chǎn)學(xué)研基地IT利用效率S7700負(fù)載均衡器能夠保證服務(wù)可靠性，提高服務(wù)響應(yīng)速度，方便業(yè)務(wù)靈活擴(kuò)展。S7700負(fù)載均衡器支持加權(quán)輪詢、基于連接數(shù)、加權(quán)IP地址Hash和基于HTTPURL的Hash等多種均衡調(diào)度算法，全面滿足客戶負(fù)載均衡要求。門戶網(wǎng)站服務(wù)器經(jīng)常會(huì)遇到在同一時(shí)間大量針對(duì)同樣網(wǎng)頁(yè)、服務(wù)的請(qǐng)求，服務(wù)器針對(duì)請(qǐng)求會(huì)頻繁建立、拆除TCP連接，耗費(fèi)大量CPU資源，影響服務(wù)器響應(yīng)速度。S7700負(fù)載均衡器支持TCP和HTTP重用，減輕服務(wù)器拆除/建立TCP連接的負(fù)載，提高服務(wù)器訪問(wèn)效率。S7700負(fù)載均衡器支持動(dòng)態(tài)“鎖流”技術(shù)，滿足電子商務(wù)網(wǎng)站在線購(gòu)物負(fù)載均衡需求。強(qiáng)大的網(wǎng)絡(luò)流量分析能力，隨時(shí)網(wǎng)絡(luò)健康診斷S7700支持隨板分布式網(wǎng)絡(luò)Netstream業(yè)務(wù)分析功能，滿足用戶對(duì)網(wǎng)絡(luò)流量實(shí)時(shí)采集、分析需要。支持NetstreamV5/V8/V9多種報(bào)文格式，支持聚合流量模板，減輕網(wǎng)絡(luò)采集器系統(tǒng)壓力，支持實(shí)時(shí)流量采集、動(dòng)態(tài)報(bào)表生成、屬性分析、流量異常告警等功能。幫助客戶對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控、現(xiàn)網(wǎng)設(shè)備吞吐分析，為優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、科學(xué)合理擴(kuò)容提供決策依據(jù)。全方位安全保護(hù)，應(yīng)對(duì)產(chǎn)學(xué)研基地內(nèi)外部安全威脅內(nèi)嵌集中式防火墻板卡，支持虛擬防火墻與NAT多實(shí)例，滿足多VPN客戶共用防火墻組網(wǎng)環(huán)境。動(dòng)態(tài)黑名單主動(dòng)防御技術(shù)實(shí)現(xiàn)蠕蟲病毒防范、抵御拓?fù)涮綔y(cè)、IP掃描和端口掃描攻擊防護(hù)，為產(chǎn)學(xué)研基地打造安全內(nèi)網(wǎng)環(huán)境。應(yīng)用層包過(guò)濾技術(shù)（ApplicationSpecificPacketFilter）對(duì)應(yīng)用層報(bào)文內(nèi)容進(jìn)行復(fù)雜規(guī)則檢測(cè)，支持SIP、QQ、MSN、H.323、SMTP、RTSP、FTP、HTTP多種應(yīng)用層協(xié)議。防火墻熱備份，增強(qiáng)網(wǎng)絡(luò)可靠性與抗攻擊能力。提供完善的NAC解決方案，支持MAC地址認(rèn)證、Portal認(rèn)證、802.1x認(rèn)證、DHCPSnooping觸發(fā)認(rèn)證多種認(rèn)證方式，有效應(yīng)對(duì)啞終端接入、移動(dòng)設(shè)備接入和集中式IP地址分配等多種接入方式的安全挑戰(zhàn)，確保產(chǎn)學(xué)研基地網(wǎng)絡(luò)安全。支持路由協(xié)議加密、MAC地址過(guò)濾、動(dòng)態(tài)ARP檢測(cè)、ACL等等一系列安全特性，可以為服務(wù)提供商以及網(wǎng)絡(luò)的最終用戶提供數(shù)據(jù)保護(hù)。基于硬件的包過(guò)濾和采樣，可實(shí)現(xiàn)高性能和高擴(kuò)展性。提供2級(jí)CPU保護(hù)機(jī)制，支持1KCPU硬件保護(hù)隊(duì)列，可實(shí)現(xiàn)數(shù)據(jù)和控制的分離處理，防止拒絕服務(wù)攻擊、非法接入以及控制平面過(guò)載等安全威脅，提供業(yè)界領(lǐng)先的一體化安全解決方案。無(wú)線AC模塊，全面滿足移動(dòng)辦公需求S7700無(wú)線AC板卡支持豐富的RF管理。支持AP上線時(shí)自動(dòng)選擇信道和功率，在AP重疊區(qū)域，信號(hào)沖突時(shí)自動(dòng)調(diào)整功率或信道，RSSI/SNR的不斷更新，讓系統(tǒng)可以適時(shí)了解每一個(gè)無(wú)線用戶所處電磁環(huán)境，提升網(wǎng)絡(luò)可用性。支持智能的負(fù)載均衡，確保只對(duì)處于AP覆蓋重疊區(qū)的無(wú)線用戶才啟動(dòng)AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，最大限度的提高了無(wú)線網(wǎng)絡(luò)容量。支持無(wú)線入侵檢查WIDS功能。提供非法AP檢測(cè)，黑/白名單設(shè)置和無(wú)線協(xié)議攻擊防御等WIDS功能，有效的提高了無(wú)線網(wǎng)絡(luò)的整體安全。

一體化EPON板卡，無(wú)源維護(hù)更舒心S7700EPON板卡支持12EPON接口與12GE以太接口，上下行接口同板卡共存，節(jié)省建網(wǎng)投資。支持1.25G上下行對(duì)稱帶寬，最大1：64分光。S7700集成化EPON解決方案廣泛適用于政府、公安、道路交通、大型產(chǎn)學(xué)研基地的高清視頻監(jiān)控傳輸。S7700可同時(shí)承擔(dān)EPON接入和核心層路由交換機(jī)雙重角色，減少網(wǎng)絡(luò)層次，降低用戶組網(wǎng)成本。創(chuàng)新節(jié)能芯片，智能功耗控制左后風(fēng)道散熱整機(jī)架構(gòu)，冷熱風(fēng)道完全分離，打造業(yè)界最佳能效比交換設(shè)備。創(chuàng)新節(jié)能芯片，實(shí)現(xiàn)按流量動(dòng)態(tài)調(diào)整功率，支持端口休眠，無(wú)流量不耗電。芯片智能風(fēng)扇調(diào)速算法，監(jiān)測(cè)全系統(tǒng)關(guān)鍵器件溫度，小區(qū)間控溫技術(shù)，有效降低轉(zhuǎn)速，并延長(zhǎng)風(fēng)扇使用壽命。Quidway?S5700系列交換機(jī)Quidway?S5700系列全千兆產(chǎn)學(xué)研基地網(wǎng)交換機(jī)（以下簡(jiǎn)稱S5700），是華為公司為滿足大帶寬接入和以太網(wǎng)多業(yè)務(wù)匯聚而推出的新一代綠色節(jié)能的全千兆高性能以太網(wǎng)交換機(jī)。它基于新一代高性能硬件和華為公司統(tǒng)一的VRP?（VersatileRoutingPlatform）平臺(tái)，具備大容量、高密度千兆端口，可提供萬(wàn)兆上行，充分滿足客戶對(duì)高密度千兆和萬(wàn)兆上行設(shè)備的需求，同時(shí)針對(duì)產(chǎn)學(xué)研基地網(wǎng)用戶的園區(qū)網(wǎng)接入、匯聚、IDC千兆接入以及千兆到桌面等多種應(yīng)用場(chǎng)景，融合了可靠、安全、綠色環(huán)保等先進(jìn)技術(shù)，采用簡(jiǎn)單便利的安裝維護(hù)手段，幫助客戶減輕網(wǎng)絡(luò)規(guī)劃、建設(shè)和維護(hù)的壓力，助力產(chǎn)學(xué)研基地搭建面向未來(lái)的IT網(wǎng)絡(luò)。

S5700系列以太網(wǎng)交換機(jī)為盒式設(shè)備，機(jī)箱高度為1U，提供標(biāo)準(zhǔn)型（SI）和增強(qiáng)型（EI）兩種產(chǎn)品版本。標(biāo)準(zhǔn)型支持二層和基本的三層功能，增強(qiáng)型支持復(fù)雜的路由協(xié)議和更為豐富的業(yè)務(wù)特性，包含型號(hào)如下：S5700-24TP-SI-AC/DC、S5700-24TP-PWR-SI、S5700-48TP-SI-AC/DC、S5700-48TP-PWR-SI、S5700-28C-SI、S5700-28C-EI、S5700-28C-EI-24S、S5700-28C-PWR-EI、S5700-52C-SI、S5700-52C-EI、S5700-52C-PWR-EI。產(chǎn)品外觀

S5700系列交換機(jī)包括如下款型：產(chǎn)品外觀描述S5700-24TP-SI/PWR-SI24個(gè)10/100/1000Base-T，4個(gè)100/1000Base-X千兆Combo口分交流供電和直流供電兩種機(jī)型,支持RPS12V冗余電源支持USB口24個(gè)10/100/1000Base-T，4個(gè)100/1000Base-X千兆Combo口可插拔雙電源，交流供電支持POE+支持USB口S5700-48TP-SI/PWR-SI48個(gè)10/100/1000Base-T，4個(gè)100/1000Base-X千兆Combo口分交流供電和直流供電兩種機(jī)型，支持RPS12V冗余電源支持USB口48個(gè)10/100/1000Base-T，4個(gè)100/1000Base-X千兆Combo口交流供電支持POE+支持USB口S5700-28C-SI/EI/EI-24S/PWR-EI24個(gè)10/100/1000Base-T，4個(gè)100/1000Base-X千兆Combo口，上行支持4×1000Base-XSFP、2×10GESFP＋、4×10GESFP＋插卡雙電源，可插拔支持USB口

24個(gè)10/100/1000Base-T，上行支持4×1000Base-XSFP、2×10GESFP＋、4×10GESFP＋插卡雙電源，可插拔24個(gè)100/1000Base-X，4個(gè)10/100/1000Base-T千兆Combo口，上行支持4×1000Base-XSFP、2×10GESFP＋、4×10GESFP＋插卡，雙電源，可插拔24個(gè)10/100/1000Base-T，上行支持4×1000Base-XSFP或者2×10GESFP＋插卡可插拔雙電源，交流供電，支持POE+S5700-52C-SI/EI/PWR-EI48個(gè)10/100/1000Base-T，上行支持4×1000Base-XSFP、2×10GESFP＋、4×10GESFP＋插卡雙電源，可插拔，支持USB口48個(gè)10/100/1000Base-T，上行支持4×1000Base-XSFP、2×10GESFP＋或者4×10GESFP＋插卡，雙電源，可插拔48個(gè)10/100/1000Base-T，上行支持4×1000Base-XSFP或者2×10GESFP＋插卡可插拔雙電源，交流供電，支持POE+產(chǎn)品特點(diǎn)強(qiáng)大的多業(yè)務(wù)支持能力

S5700支持IGMPv1/v2/v3Snooping/Filter/FastLeave/Proxy等協(xié)議。S5700支持線速的跨VLAN組播復(fù)制功能，支持捆綁端口的組播負(fù)載分擔(dān)，支持可控組播，可以充分滿足IPTV和其他組播業(yè)務(wù)的需求。

S5700支持MCE功能，實(shí)現(xiàn)了不同VPN用戶在同一臺(tái)設(shè)備的隔離，有效解決用戶數(shù)據(jù)安全問(wèn)題，同時(shí)降低用戶投資成本。

完備的高可靠保護(hù)機(jī)制

S5700不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹協(xié)議，還支持SmartLink和RRPP等增強(qiáng)型以太網(wǎng)技術(shù)，可以實(shí)現(xiàn)毫秒級(jí)鏈路保護(hù)倒換，保證高可靠性的網(wǎng)絡(luò)質(zhì)量。此外，針對(duì)Smartlink和RRPP均提供多實(shí)例功能，可實(shí)現(xiàn)鏈路負(fù)載分擔(dān)，進(jìn)一步提高了鏈路帶寬利用率。

S5700支持以太Trunk（E-Trunk）功能。在使用E-Trunk之后，CE設(shè)備可以通過(guò)E-Trunk雙歸接入到兩臺(tái)PE設(shè)備上。從而把鏈路可靠性從單板級(jí)提高到了設(shè)備級(jí)，大大增強(qiáng)了設(shè)備級(jí)的可靠性。從而實(shí)現(xiàn)了跨設(shè)備的鏈路聚合和鏈路負(fù)載分擔(dān)功能。極大的提升了接入側(cè)設(shè)備的可靠性。

S5700支持智能以太保護(hù)SEP（SmartEthernetProtection），SEP是一種專用于以太網(wǎng)鏈路層的環(huán)網(wǎng)協(xié)議。適用于半環(huán)組網(wǎng)場(chǎng)景，部署時(shí)可獨(dú)立于上層匯聚設(shè)備，并提供50ms的快速業(yè)務(wù)倒換性能。保證業(yè)務(wù)的不中斷。在華為設(shè)備上已經(jīng)利用SEP協(xié)議實(shí)現(xiàn)了以太網(wǎng)鏈路管理。SEP協(xié)議簡(jiǎn)單可靠、倒換性能高、維護(hù)方便、拓?fù)潇`活，可以大大方便用戶進(jìn)行網(wǎng)絡(luò)的管理和規(guī)劃。S5700支持雙電源冗余供電，也可以交、直流同時(shí)輸入。用戶可靈活選擇單電源工作模式或者雙電源工作模式，提高了設(shè)備可靠性。S5700EI系列支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機(jī)構(gòu)建VRRP備份組。構(gòu)建故障時(shí)的冗余路由拓樸結(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。支持在設(shè)備上配置多條等價(jià)路由的方式實(shí)現(xiàn)上行路由的冗余備份，當(dāng)主上行路由發(fā)生故障時(shí)自動(dòng)切換到下一個(gè)備份路由上去，實(shí)現(xiàn)上行路由的多級(jí)備份。

S5700支持BFD鏈路快速檢測(cè)功能，能為OSPF、ISIS、VRRP、PIM等協(xié)議提供毫秒級(jí)檢測(cè)機(jī)制，提高了網(wǎng)絡(luò)可靠性。S5700遵循IEEE802.3ah和802.1ag提供點(diǎn)到點(diǎn)以太網(wǎng)故障管理功能，可以用于檢測(cè)用戶側(cè)最后一公里以太網(wǎng)直連鏈路上的故障。

完備的QoS策略和安全機(jī)制

S5700系列交換機(jī)可以基于五元組、IP優(yōu)先級(jí)、TOS、DSCP、IP協(xié)議類型、ICMP類型、TCP源端口、VLAN、以太網(wǎng)幀協(xié)議類型、CoS等信息，實(shí)現(xiàn)復(fù)雜流分流功能，支持雙向ACL。5700支持基于流的雙速三色限速功能，每端口支持8個(gè)優(yōu)先級(jí)隊(duì)列，支持WRR、DRR、SP、WRR＋SP、DRR+SP多種隊(duì)列調(diào)度算法，有效地保證了話音、視頻和數(shù)據(jù)等網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量。S5700系列交換機(jī)提供多種安全保護(hù)功能。支持DoS（DenialofService）類防攻擊、網(wǎng)絡(luò)的防攻擊、用戶的防攻擊等功能。其中DoS類防攻擊主要包括