網(wǎng)絡(luò)解決方案技術(shù)建議書(shū)

網(wǎng)絡(luò)解決方案技術(shù)建議書(shū)#華為技術(shù)有限公司TOC\o"1-5"\h\z\o"CurrentDocument"網(wǎng)絡(luò)總體設(shè)計(jì)方案1\o"CurrentDocument"網(wǎng)絡(luò)總體網(wǎng)絡(luò)設(shè)計(jì)原則1\o"CurrentDocument"網(wǎng)絡(luò)總體架構(gòu)2\o"CurrentDocument"網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)方案3\o"CurrentDocument"VLAN及IP規(guī)劃3\o"CurrentDocument"VLAN概述3\o"CurrentDocument"VLAN功能劃分3\o"CurrentDocument"VLAN規(guī)劃原則4\o"CurrentDocument"VLAN規(guī)劃建議4\o"CurrentDocument"IP規(guī)劃概述5\o"CurrentDocument"IP地址規(guī)劃原則5\o"CurrentDocument"DHCP規(guī)劃7\o"CurrentDocument"DNS規(guī)劃7\o"CurrentDocument"虛擬化設(shè)計(jì)9\o"CurrentDocument"橫向虛擬化設(shè)計(jì)9\o"CurrentDocument"縱向虛擬化設(shè)計(jì)12\o"CurrentDocument"安全設(shè)計(jì)13\o"CurrentDocument"安全概述13\o"CurrentDocument"網(wǎng)絡(luò)安全方案14\o"CurrentDocument"邊界安全方案15\o"CurrentDocument"運(yùn)維設(shè)計(jì)22\o"CurrentDocument"設(shè)備簡(jiǎn)易運(yùn)維管理22\o"CurrentDocument"網(wǎng)絡(luò)質(zhì)量感知24\o"CurrentDocument"網(wǎng)絡(luò)管理軟件eSight25\o"CurrentDocument"eSight部署規(guī)劃方案26設(shè)備推薦29\o"CurrentDocument"S7700系列29\o"CurrentDocument"S5700系列全千兆企業(yè)交換機(jī)32\o"CurrentDocument"安全接入網(wǎng)關(guān)35\o"CurrentDocument"AR1200系列企業(yè)路由器404設(shè)備清單4..1\o"CurrentDocument"5售后服務(wù)承諾4..3\o"CurrentDocument"售后服務(wù)43\o"CurrentDocument"售后服務(wù)體系43\o"CurrentDocument"4.1全.國(guó)3服務(wù)網(wǎng)絡(luò)44\o"CurrentDocument"4.1強(qiáng).大4的管理、技術(shù)和服務(wù)團(tuán)隊(duì)446售后服務(wù)期4.6\o"CurrentDocument"設(shè)備廠(chǎng)商、維修服務(wù)46\o"CurrentDocument"售后服務(wù)46\o"CurrentDocument"基本服務(wù)CommonService48\o"CurrentDocument"增值服務(wù)Value-addedService52\o"CurrentDocument"專(zhuān)家服務(wù)ExpertService54\o"CurrentDocument"標(biāo)準(zhǔn)服務(wù)流程56\o"CurrentDocument"巡檢及健康檢查流程56\o"CurrentDocument"6.1.8工作流程57\o"CurrentDocument"6.1.9故障處理流程58\o"CurrentDocument"技術(shù)支持流程60\o"CurrentDocument"現(xiàn)場(chǎng)服務(wù)流程63\o"CurrentDocument"重大故障處理流程64\o"CurrentDocument"備品備件流程67\o"CurrentDocument"故障事件總結(jié)，統(tǒng)計(jì)分析報(bào)告流程68\o"CurrentDocument"知識(shí)庫(kù)70\o"CurrentDocument"6.1.16客戶(hù)服務(wù)中心的組成71\o"CurrentDocument"6.1.17服務(wù)管理平臺(tái)73網(wǎng)絡(luò)解決方案技術(shù)建議書(shū)1網(wǎng)絡(luò)解決方案技術(shù)建議書(shū)1網(wǎng)絡(luò)總體設(shè)計(jì)方案1網(wǎng)絡(luò)總體設(shè)計(jì)方案網(wǎng)絡(luò)總體網(wǎng)絡(luò)設(shè)計(jì)原則網(wǎng)絡(luò)設(shè)計(jì)，注重的是網(wǎng)絡(luò)的簡(jiǎn)單可靠、易部署、易維護(hù)。因此在網(wǎng)絡(luò)中，拓?fù)浣Y(jié)構(gòu)通常以星型結(jié)構(gòu)為主，較少使用環(huán)網(wǎng)結(jié)構(gòu)（環(huán)網(wǎng)結(jié)構(gòu)較多的運(yùn)用在運(yùn)營(yíng)商的城域網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)中，可以節(jié)約光纖資源）?；谛切徒Y(jié)構(gòu)的網(wǎng)絡(luò)設(shè)計(jì)，通常遵循如下原則：層次化將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。模塊化將網(wǎng)絡(luò)中的每個(gè)功能區(qū)劃分為一個(gè)模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問(wèn)題定位。冗余性關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)；關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載分擔(dān)；關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。提高了整個(gè)網(wǎng)絡(luò)的可靠性。安全隔離網(wǎng)絡(luò)應(yīng)具備有效的安全控制。按業(yè)務(wù)、按權(quán)限進(jìn)行分區(qū)邏輯隔離，對(duì)特別重要的業(yè)務(wù)采取物理隔離?？晒芾硇院涂删S護(hù)性網(wǎng)絡(luò)應(yīng)當(dāng)具有良好的可管理性。為了便于維護(hù)，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品。

網(wǎng)絡(luò)總體架構(gòu)圖1-1網(wǎng)絡(luò)架構(gòu)該組網(wǎng)結(jié)構(gòu)具有如下特點(diǎn)：以核心節(jié)點(diǎn)為“根”的星型分層拓?fù)?，架?gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。各功能分區(qū)模塊清晰，模塊內(nèi)部調(diào)整涉及范圍小，易于進(jìn)行問(wèn)題定位。雙節(jié)點(diǎn)冗余設(shè)計(jì)，關(guān)鍵鏈路均采用Trunk鏈路，保證網(wǎng)絡(luò)的可靠性。支持各種業(yè)務(wù)終端接入，一張IP網(wǎng)絡(luò)承載所有業(yè)務(wù)。網(wǎng)絡(luò)解決方案技術(shù)建議書(shū)2網(wǎng)絡(luò)解決方案技術(shù)建議書(shū)2網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)方案2網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)方案VLAN及IP規(guī)劃VLAN概述VLAN是將LAN內(nèi)的設(shè)備邏輯地而不是物理地劃分為一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)在一個(gè)LAN內(nèi)隔離廣播域的技術(shù)。當(dāng)網(wǎng)絡(luò)規(guī)模越來(lái)越龐大時(shí)，局部網(wǎng)絡(luò)出現(xiàn)的故障會(huì)影響到整個(gè)網(wǎng)絡(luò)，VLAN的出現(xiàn)可以將網(wǎng)絡(luò)故障限制在VLAN范圍內(nèi)，增強(qiáng)了網(wǎng)絡(luò)的健壯性。VLAN功能劃分■用戶(hù)VLAN用戶(hù)VLAN即普通VLAN，也就是我們?nèi)粘Ｋf(shuō)的業(yè)務(wù)VLAN，是用來(lái)對(duì)不同端口進(jìn)行隔離的一種手段。VLAN通常根據(jù)業(yè)務(wù)需要進(jìn)行規(guī)劃，需要隔離的端口配置不同的VLAN，需要防止廣播域過(guò)大的地方配置VLAN用于減小廣播域。VLAN最好不要跨交換機(jī)，即使跨交換機(jī)，數(shù)目也需要限制。VoiceVLANVoiceVLAN是為用戶(hù)的語(yǔ)音數(shù)據(jù)流劃分的VLAN，用戶(hù)通過(guò)創(chuàng)建VoiceVLAN并將連接語(yǔ)音設(shè)備的端口加入VoiceVLAN，可以使語(yǔ)音數(shù)據(jù)集中在VoiceVLAN中進(jìn)行傳輸，便于對(duì)語(yǔ)音流進(jìn)行有針對(duì)性的QoS配置，提高語(yǔ)音流量的傳輸優(yōu)先級(jí)，保證通話(huà)質(zhì)量。GuestVLAN網(wǎng)絡(luò)中用戶(hù)在通過(guò)802.1X等認(rèn)證之前接入設(shè)備會(huì)把該端口加入到一個(gè)特定的VLAN(即GuestVLAN)，用戶(hù)訪(fǎng)問(wèn)該VLAN內(nèi)的資源不需要認(rèn)證只能訪(fǎng)問(wèn)有限的網(wǎng)絡(luò)資源。用戶(hù)從處于GuestVLAN的服務(wù)器上可以獲取802.1X客戶(hù)端軟件，升級(jí)客戶(hù)端或執(zhí)行其他應(yīng)用升級(jí)程序(例如：防病毒軟件、操作系統(tǒng)補(bǔ)丁程序等）。認(rèn)證成功后，端口離開(kāi)GuestVLAN加入用戶(hù)VLAN，用戶(hù)可以訪(fǎng)問(wèn)其特定的網(wǎng)絡(luò)資源?！鯩ulticastVLANMulticastVLAN即組播VLAN，組播交換機(jī)運(yùn)行組播協(xié)議時(shí)需要組播VLAN來(lái)承載組播流。組播VLAN主要是用來(lái)解決當(dāng)客戶(hù)端處于不同VLAN中時(shí)，上行的組播路由器必須在每個(gè)用戶(hù)VLAN復(fù)制一份組播流到接入組播交換機(jī)的問(wèn)題。VLAN規(guī)劃原則一個(gè)二層網(wǎng)絡(luò)規(guī)劃的基本原則：區(qū)分業(yè)務(wù)VLAN、管理VLAN和互聯(lián)VLAN按照業(yè)務(wù)區(qū)域劃分不同的VLAN同一業(yè)務(wù)區(qū)域按照具體的業(yè)務(wù)類(lèi)型（如：Web、APP、DB）劃分不同的VLANVLAN需連續(xù)分配，以保證VLAN資源合理利用預(yù)留一定數(shù)目VLAN方便后續(xù)擴(kuò)展VLAN規(guī)劃建議VLAN根據(jù)多種原則組合劃分。按照邏輯區(qū)域劃分VLAN范圍：例1：核心網(wǎng)絡(luò)區(qū)：100-199月服務(wù)器區(qū)：200-999，預(yù)留1000-1999接入網(wǎng)絡(luò)：2000-3499業(yè)務(wù)網(wǎng)絡(luò)：3500-3999例2：規(guī)劃NAC方案時(shí)使用動(dòng)態(tài)VLAN情況下VLAN可劃分為認(rèn)證前域GuestVLAN、隔離域IsolateVLAN、認(rèn)證后域VLAN三類(lèi)。實(shí)際部署時(shí)可以按職能部門(mén)分配VLAN，同時(shí)預(yù)留GuestVLAN和隔離VLAN。按照地理區(qū)域劃分VLAN范圍例如：接入網(wǎng)絡(luò)A的地理區(qū)域使用2000~2199接入網(wǎng)絡(luò)B的地理區(qū)域使用2200~2399按照功能模塊劃分VLAN范圍例如：安全監(jiān)控網(wǎng)絡(luò)使用2000~2009企業(yè)辦公網(wǎng)使用2010~2019按照業(yè)務(wù)功能劃分VLAN范圍例如：Web服務(wù)器區(qū)域：200-299APP服務(wù)器區(qū)域：300-399DB服務(wù)器區(qū)域：400~499IPPhone、打印機(jī)等啞終端使用單獨(dú)的VLAN上線(xiàn)°IPPhone需要為其配置VoiceVLAN,提高語(yǔ)音數(shù)據(jù)的優(yōu)先級(jí)，保證語(yǔ)音質(zhì)量。建議為AP規(guī)劃獨(dú)立的管理VLAN。IP規(guī)劃概述考慮到后期擴(kuò)展性在網(wǎng)絡(luò)IP地址規(guī)劃時(shí)主要以易管理為主要目標(biāo)。網(wǎng)絡(luò)中的DMZ區(qū)或Internet互聯(lián)區(qū)有少量設(shè)備使用公網(wǎng)IP,網(wǎng)絡(luò)內(nèi)部使用的則是私網(wǎng)IP。IP地址是動(dòng)態(tài)IP或靜態(tài)IP的選取原則如下：原則上服務(wù)器,特殊終端設(shè)備（打卡機(jī),打印服務(wù)器,IP視頻監(jiān)控設(shè)備等）和生產(chǎn)設(shè)備建議采用靜態(tài)IP。辦公用設(shè)備建議使用DHCP動(dòng)態(tài)獲取，如辦公用PC、IP電話(huà)等。IP地址規(guī)劃原則■ip地址規(guī)劃的原則唯一性-個(gè)ip網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的ip地址。即使使用了支持地址重疊的MPLS/VPN技術(shù)，也盡量不要規(guī)劃為相同的地址。連續(xù)性連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。擴(kuò)展性地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性。實(shí)意性“望址生意”,好的IP地址規(guī)劃使每個(gè)地址具有實(shí)際含義，看到一個(gè)地址就可以大致判斷出該地址所屬的設(shè)備?！鼍W(wǎng)絡(luò)IP地址基本分類(lèi)Loopback地址為了方便管理，會(huì)為每一臺(tái)路由器創(chuàng)建一個(gè)Loopback接口，并在該接口上單獨(dú)指定一個(gè)IP地址作為管理地址。Loopback地址務(wù)必使用32位掩碼的地址。最后一位是奇數(shù)的表示路由器，是偶數(shù)的表示交換機(jī)，越是核心的設(shè)備，Loopback地址越小?；ヂ?lián)地址互聯(lián)地址是指兩臺(tái)網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址，互聯(lián)地址務(wù)必使用30位掩碼的地址。核心設(shè)備使用較小的一個(gè)地址，互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時(shí)要充分考慮使用連續(xù)的可聚合地址。業(yè)務(wù)地址業(yè)務(wù)地址是連接在以太網(wǎng)上的各種服務(wù)器、主機(jī)所使用的地址以及網(wǎng)關(guān)的地址，業(yè)務(wù)地址規(guī)劃時(shí)所有的網(wǎng)關(guān)地址統(tǒng)一使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關(guān)。網(wǎng)絡(luò)內(nèi)部的IP地址建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡(luò)通過(guò)NAT轉(zhuǎn)換成公網(wǎng)地址后接入公網(wǎng)。匯聚交換機(jī)下接入的網(wǎng)段可能有很多，在規(guī)劃的時(shí)候需要考慮路由是可以聚合的，這樣可以減少核心網(wǎng)絡(luò)的路由數(shù)目。無(wú)線(xiàn)設(shè)備的IP地址ACIP地址一般通過(guò)靜態(tài)手工配置。由于AP數(shù)量較多，手動(dòng)配置IP地址工作量大且容易出錯(cuò)，建議采用DHCP動(dòng)態(tài)給AP分配IP地址。DHCP動(dòng)態(tài)分配AP的IP地址時(shí)，可以采用指定地址池分配和統(tǒng)一分配兩種方式。DHCP規(guī)劃網(wǎng)絡(luò)中辦公網(wǎng)絡(luò)、商業(yè)WiFi建議使用DHCP，每個(gè)DHCP網(wǎng)段應(yīng)保留部分靜態(tài)IP供服務(wù)器等設(shè)備使用?！鯠HCP部署基本架構(gòu)在數(shù)據(jù)中心或服務(wù)器區(qū)部署獨(dú)立的DHCPServer。在匯聚層網(wǎng)關(guān)部署DHCPRelay指向DHCPServer統(tǒng)一分配地址。DHCP一般通過(guò)VLAN分配地址，如有特殊要求，在接入交換機(jī)部屬Option82，由接入交換機(jī)提供的Option82信息分配地址。圖2-1DHCP劃分ft5圖2-1DHCP劃分ft5ftiffJDHCPserverDHCPserver戳據(jù)中血『凰務(wù)器秫1匯累悝網(wǎng)黃叭辦玄網(wǎng)商業(yè)Wil=i欺也■DHCP部署基本原則固定IP地址段和動(dòng)態(tài)分配IP地址段保持連續(xù)。按照業(yè)務(wù)區(qū)域進(jìn)行DHCP地址的劃分，便于統(tǒng)一管理及問(wèn)題定位。DHCP需要跨網(wǎng)段獲得IP地址時(shí)，啟動(dòng)DHCPRelay功能。啟動(dòng)DHCP安全功能，禁止非法DHCPServer的架設(shè)和非法用戶(hù)的接入。DNS規(guī)劃■DNS服務(wù)器的角色劃分Master服務(wù)器：主服務(wù)器作為DNS的管理服務(wù)器，可以增加、刪除、修改域名，修改的信息可以同步到Slave服務(wù)器，一般部署1臺(tái)。Slave服務(wù)器：從服務(wù)器從Master服務(wù)器獲取域名信息，采用多臺(tái)服務(wù)器形成集群的方式，統(tǒng)一對(duì)外提供DNS服務(wù)，一般采用基于硬件的負(fù)載均衡器提供服務(wù)器集群的功能。一般部署2臺(tái)從服務(wù)器。Cache服務(wù)器：緩存服務(wù)器用于緩存內(nèi)部用戶(hù)的DNS請(qǐng)求結(jié)果，加快后續(xù)的訪(fǎng)問(wèn)。一般部署在Slave服務(wù)器上。DNS服務(wù)器的IP地址Master服務(wù)器：采用企業(yè)內(nèi)網(wǎng)地址。Slave服務(wù)器：分配企業(yè)私網(wǎng)地址，并在負(fù)載均衡器上分配一個(gè)虛擬的企業(yè)內(nèi)網(wǎng)地址。Internet域名地址有兩種方案：一種是在防火墻上做NAT映射，把Slave服務(wù)器的虛擬地址映射為一個(gè)公網(wǎng)IP地址，用于外部Internet用戶(hù)的訪(fǎng)問(wèn)。另一種是在鏈路負(fù)載均衡設(shè)備上通過(guò)智能DNS為外部Internet用戶(hù)提供服務(wù)。DNS可靠性設(shè)計(jì)眾多內(nèi)部用戶(hù)發(fā)送DNS請(qǐng)求，被均勻分擔(dān)到SlaveDNS1和DNS2。當(dāng)SlaveDNS1服務(wù)器故障后，所有的DNS請(qǐng)求被分發(fā)給SlaveDNS2。最終DNS服務(wù)器必須與外部DNS通訊。Master服務(wù)器，建議放置在DMZ區(qū)域，并在同區(qū)內(nèi)部建立SlaveDNS服務(wù)器。如只對(duì)內(nèi)提供服務(wù)的DNS服務(wù)器，可以作為二級(jí)的DNS服務(wù)器，放入其他非DMZ區(qū)域。當(dāng)所有的SlaveDNS都故障后，用戶(hù)發(fā)送的DNS請(qǐng)求無(wú)響應(yīng)。用戶(hù)就切換到備DNS，由MasterDNS處理所有的請(qǐng)求。

圖2-2DNS規(guī)劃運(yùn)營(yíng)商的DNS^S10J0.31D1QJ0.25主圖2-2DNS規(guī)劃運(yùn)營(yíng)商的DNS^S10J0.31D1QJ0.25主DM：<DNS：NAT外部:Masterisia/esiaf7eDNS[dhs_i_1D.D.2.617fl6"b'5~172~6.0.￡FWL3hiternEtIP0□仍的慮捌1003IZ虛擬化設(shè)計(jì)橫向虛擬化設(shè)計(jì)網(wǎng)絡(luò)核心、匯聚節(jié)點(diǎn)均建議采用CSS設(shè)計(jì)，可以提高單節(jié)點(diǎn)設(shè)備可靠性，一臺(tái)交換機(jī)故障，另外一臺(tái)交換機(jī)自動(dòng)接管故障設(shè)備上的所有業(yè)務(wù)，可以做到業(yè)務(wù)無(wú)損切換。設(shè)備虛擬化通過(guò)跨設(shè)備的Trunk鏈路，提升鏈路級(jí)可靠性，并且流量可以均勻分布在Trunk成員鏈路上，提高鏈路帶寬利用率，一條或多條鏈路故障后，流量自動(dòng)切換到其他正常的鏈路。網(wǎng)絡(luò)配置和維護(hù)簡(jiǎn)單，網(wǎng)絡(luò)二層接入網(wǎng)不需要配置復(fù)雜的二層環(huán)網(wǎng)和保護(hù)倒換協(xié)議，二層鏈路故障能直接感知快速切換。三層網(wǎng)絡(luò)中多個(gè)設(shè)備間共享路由表，網(wǎng)絡(luò)故障路由收斂速度快。網(wǎng)絡(luò)管理和維護(hù)難度大大降低，此方案適應(yīng)面廣，擴(kuò)展性強(qiáng)，是未來(lái)網(wǎng)絡(luò)的發(fā)展趨勢(shì)?？梢蕴岣呔W(wǎng)絡(luò)故障的收斂時(shí)間。通過(guò)虛擬化與Trunk相結(jié)合的方式，可以將傳統(tǒng)網(wǎng)絡(luò)中協(xié)議的收斂時(shí)間轉(zhuǎn)化為T(mén)runk內(nèi)部成員的選路時(shí)間。鏈路聚合技術(shù)的收斂不涉及復(fù)雜的協(xié)議計(jì)算，也不涉及網(wǎng)絡(luò)協(xié)議的重新收斂，因此效率上要高出很多，華為公司的交換機(jī)在某些場(chǎng)景可以達(dá)到10ms左右的收斂時(shí)間，比之網(wǎng)絡(luò)協(xié)議收斂的秒級(jí)要提高了100倍。CSS2（ClusterSwitchSystemGeneration2，第二代集群交換機(jī)系統(tǒng)），又被稱(chēng)為集群，是指將多臺(tái)支持集群特性的交換機(jī)設(shè)備虛擬化為一臺(tái)交換機(jī)設(shè)備（目前支持2臺(tái)），從邏輯上組合成一臺(tái)整體交換設(shè)備。圖2-3CSS2集群CSSCSSCSS2系統(tǒng)建立后，根據(jù)協(xié)議的計(jì)算，將出現(xiàn)一個(gè)主交換機(jī)，一個(gè)備交換機(jī)。在控制平面上，主交換機(jī)的主用主控單元成為CSS2的系統(tǒng)主，作為整個(gè)系統(tǒng)的管理主角色；備交換機(jī)的主用主控單元成為CSS2的系統(tǒng)備，作為系統(tǒng)的管理備角色；主交換機(jī)和備交換機(jī)的備用主控單元作為CSS2的候選系統(tǒng)備，不具有管理角色。S12700主控交換分離，備板只作為備用主控，無(wú)交換網(wǎng)功能。簡(jiǎn)化管理和配置集群形成后，兩臺(tái)核心設(shè)備物理虛擬成為一臺(tái)設(shè)備，用戶(hù)可以通過(guò)任何一臺(tái)成員設(shè)備登錄集群系統(tǒng)，對(duì)集群系統(tǒng)所有成員設(shè)備進(jìn)行統(tǒng)一配置和管理，需要管理的設(shè)備節(jié)點(diǎn)減少一半。其次，組網(wǎng)中邏輯上看變得簡(jiǎn)單，原來(lái)需要的STP/SmartLink/VRRP等冗余備份協(xié)議，在使用CSS2后都不再需要了。提高鏈路利用率通過(guò)跨框Trunk，用戶(hù)可以將不同成員設(shè)備上的物理以太網(wǎng)端口配置成一個(gè)聚合端口，這樣不僅不用酉己置STP等協(xié)議，而且Trunk的多條鏈路之間可以對(duì)流量做負(fù)載分擔(dān)，提高了鏈路的利用率，較STP等阻塞鏈路的方式要好很多。交換網(wǎng)集群現(xiàn)有技術(shù)支持交換網(wǎng)板上支持插集群卡。通過(guò)連接交換網(wǎng)集群卡端口，建立交換網(wǎng)集群。交換網(wǎng)

集群與下文的控制面集群差異是控制報(bào)文的轉(zhuǎn)發(fā)路徑。交換網(wǎng)集群是通過(guò)交換網(wǎng)集群端口轉(zhuǎn)發(fā)控制報(bào)文，控制面集群是通過(guò)控制面集群口轉(zhuǎn)發(fā)控制報(bào)文。兩種模式下，數(shù)據(jù)報(bào)文都通過(guò)交換網(wǎng)集群端口轉(zhuǎn)發(fā)。交換網(wǎng)集群與CSS集群卡集群比較：＞啟動(dòng)性能提升（交換網(wǎng)板與MPU并行啟動(dòng)）＞連線(xiàn)簡(jiǎn)單＞擴(kuò)展性更強(qiáng)（主控交換合一架構(gòu)受限于主控?cái)?shù)目）＞拔主控不斷流＞主備倒換0丟包＞故障感知更優(yōu)于業(yè)務(wù)口集群（集群口故障中斷上報(bào)）交換網(wǎng)集群與業(yè)務(wù)口集群比較＞不占用業(yè)務(wù)端口＞轉(zhuǎn)發(fā)路徑更短＞拔主控0丟包＞流量更均衡（業(yè)務(wù)口需要二次hash）＞故障感知更優(yōu)于業(yè)務(wù)口集群（集群口故障中斷上報(bào)）＞業(yè)務(wù)口集群最多兩塊板、交換網(wǎng)集群最多4塊板。＞廣播流量無(wú)阻塞（業(yè)務(wù)口集群，兩組備份的集群鏈路中需要阻塞其中一路。交換網(wǎng)集群，集群鏈路無(wú)需阻塞）。?單主控集群S12700主控和交換分離，主控板不在位時(shí)不影響轉(zhuǎn)發(fā)。S12700支持主框和備框僅一個(gè)主控時(shí)可建立集群，即S12700支持單主控集群。單主控集群，可以減少客戶(hù)部署成本。S12700備框主控故障，業(yè)務(wù)不中斷。S12700備框主控都拔出時(shí)，備框的數(shù)據(jù)轉(zhuǎn)發(fā)不受影響。

圖2-4單主控集群主匪圖2-4單主控集群主匪集群參主J空故障r可靠性立見(jiàn)分曉「眶■口致禪集Sfj［吝壇爭(zhēng)圭竺聖I縱向虛擬化設(shè)計(jì)SVF(SuperVirtualFabric)又稱(chēng)為縱向堆疊技術(shù)，是一種更加集中化的設(shè)備管理方案，真正做到了SVF架構(gòu)內(nèi)設(shè)備的通過(guò)管理和運(yùn)維?？梢詫⒂芯€(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)全部集中到核心?/匯聚上進(jìn)行統(tǒng)一管理、集中維護(hù)。達(dá)到整個(gè)網(wǎng)絡(luò)一個(gè)管理節(jié)點(diǎn)的目的。?設(shè)備管理可以將一個(gè)SVF系統(tǒng)視為一個(gè)虛擬的框式設(shè)備，其中SVF-Parent就是這臺(tái)虛擬框式交換機(jī)的主控板，SVF-Client就是這臺(tái)虛擬框式交換機(jī)的有線(xiàn)口接口板，而AP可以看作是無(wú)線(xiàn)端口接口板。圖2-5設(shè)備管理?版本管理SVF-Client的版本都保存在SVF-Parent上，當(dāng)SVF-Client接入SVF系統(tǒng)后，可以自動(dòng)從SVF-Parent上獲取版本文件并加載，整個(gè)過(guò)程免人工操作。圖2-6版本管理配置下發(fā)SVF-Client的配置類(lèi)似于框式交換機(jī)接口的配置，用戶(hù)使用的命令行都在SVF-Parent上操作，不需要在SVF-Client上直接輸入。在SVF-Parent上對(duì)應(yīng)每個(gè)SVF-Client（堆疊設(shè)備是為一個(gè)Client）分配一個(gè)ID，SVF-ID范圍是101-148，AP不占用SVF-ID。在配置SVF-Client端口時(shí)，在現(xiàn)有的端口表示方式基礎(chǔ)上（當(dāng)前方式是：框號(hào)/卡號(hào)/端口號(hào)，如Ge2/0/1），新增一個(gè)SVF-ID號(hào)，這樣端口表示變?yōu)樗木S：SVF-ID/框號(hào)/卡號(hào)/端口號(hào)，如Ge102/2/0/1，表示ID為102的SVF-Client上的Ge2/0/1端口。狀態(tài)監(jiān)控SVF系統(tǒng)內(nèi)，SVF-Client不再作為獨(dú)立設(shè)備對(duì)外體現(xiàn)，SVF-Client的告警信息也不再以獨(dú)立設(shè)備的形式上報(bào)，而是統(tǒng)一匯總到SVF-Parent上，在SVF-Parent上查看和上報(bào)網(wǎng)管。安全設(shè)計(jì)安全概述隨著智能化的發(fā)展，對(duì)于網(wǎng)絡(luò)的依賴(lài)性不斷增強(qiáng)。但病毒、木馬、間諜軟件、網(wǎng)絡(luò)攻擊等各種信息安全威脅也在不斷增加。統(tǒng)計(jì)表明，網(wǎng)絡(luò)安全已經(jīng)超過(guò)對(duì)網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的需求，成為用戶(hù)最關(guān)心的問(wèn)題，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為網(wǎng)建設(shè)的重點(diǎn)。在傳統(tǒng)的網(wǎng)絡(luò)建設(shè)中，一般認(rèn)為網(wǎng)絡(luò)內(nèi)部是安全的，威脅主要來(lái)自外界。在網(wǎng)絡(luò)邊界上，一般使用防火墻、IDS/IPS作為安全設(shè)備。隨著安全挑戰(zhàn)的不斷升級(jí)，僅通過(guò)傳統(tǒng)的安全措施和獨(dú)立工作的形式進(jìn)行邊界防御已經(jīng)遠(yuǎn)遠(yuǎn)不夠了，安全模型需要由被動(dòng)模式向主動(dòng)模式轉(zhuǎn)變，從根源－終端徹底解決網(wǎng)絡(luò)安全問(wèn)題，提高整個(gè)企業(yè)的信息安全水平。目前網(wǎng)絡(luò)安全一般從網(wǎng)絡(luò)監(jiān)管、邊界防御、接入安全及遠(yuǎn)程接入等方面進(jìn)行考慮。接入安全主要指導(dǎo)網(wǎng)絡(luò)內(nèi)的安全接入，包括終端安全接入控制，例如：用戶(hù)隔離，端口隔離等；遠(yuǎn)程接入涉及分支機(jī)構(gòu)、出差人員對(duì)網(wǎng)絡(luò)內(nèi)部的安全訪(fǎng)問(wèn)；邊界防御通過(guò)防火墻、IPS/IDS對(duì)網(wǎng)絡(luò)出口，網(wǎng)絡(luò)內(nèi)的各個(gè)組織單元之間進(jìn)行有效防護(hù)和隔離。網(wǎng)絡(luò)安全方案網(wǎng)絡(luò)的安全是網(wǎng)絡(luò)安全最基本的保證。這里主要從交換機(jī)的安全特性上的使用來(lái)保證網(wǎng)絡(luò)的安全包括DHCPSnooping、ARP防攻擊、MAC防攻擊、IP源防攻擊等。這些安全特性工作于OSI模型的鏈路層，可在接入層交換機(jī)上部署。DHCPSnoopingDHCPSnooping是DHCP(DynamicHostConfigurationProtocol)的一種安全特性，通過(guò)截獲DHCPClient和DHCPServer之間的DHCP報(bào)文進(jìn)行分析處理，可以過(guò)濾不信任的DHCP報(bào)文并建立和維護(hù)一個(gè)DHCPSnooping綁定表。該綁定表包括MAC地址、IP地址、租約時(shí)間、綁定類(lèi)型、VLANID、接口等信息。DHCPSnooping部署在二層設(shè)備上面，一般部署在接入交換機(jī)上。DAI-ARP欺騙動(dòng)態(tài)ARP檢測(cè)(DynamicARPInspection)應(yīng)用在設(shè)備的二層接口上，利用DHCPSnooping綁定表來(lái)防御ARP攻擊。當(dāng)設(shè)備收到ARP報(bào)文時(shí)，將此ARP報(bào)文中的源IP、源MAC、端口、VLAN信息和DHCPSnooping綁定表的信息進(jìn)行比較。如果信息匹配，說(shuō)明是合法用戶(hù)，則允許此用戶(hù)的ARP報(bào)文通過(guò)；否則，認(rèn)為是攻擊，丟棄該ARP報(bào)文。ARP限速ARP報(bào)文限速功能是指對(duì)上送CPU的ARP報(bào)文進(jìn)行限速，可以防止大量ARP報(bào)文對(duì)CPU進(jìn)行沖擊。例如在配置了ARPDetection功能后設(shè)備會(huì)將收到的ARP報(bào)文重定向到CPU進(jìn)行檢查，這樣引入了新的問(wèn)題。如果攻擊者惡意構(gòu)造大量ARP報(bào)文發(fā)往設(shè)備，會(huì)導(dǎo)致設(shè)備的CPU負(fù)擔(dān)過(guò)重，從而造成其他功能無(wú)法正常運(yùn)行甚至設(shè)備癱瘓，這個(gè)時(shí)候可以啟用ARP報(bào)文限速功能來(lái)控制上送CPU的ARP報(bào)文的速率。MAC泛洪MAC泛洪攻擊是指攻擊主機(jī)通過(guò)程序偽造大量包含隨機(jī)源MAC地址的數(shù)據(jù)幀發(fā)往交換機(jī)。有些攻擊程序一分鐘可以發(fā)出十幾萬(wàn)條偽造源MAC地址的數(shù)據(jù)幀，交換機(jī)根據(jù)數(shù)據(jù)幀中的MAC地址進(jìn)行學(xué)習(xí)，但一般交換機(jī)的MAC地址表容量也就幾千條，交換機(jī)的MAC地址表瞬間被偽造的MAC地址填滿(mǎn)，交換機(jī)的MAC表填滿(mǎn)后，交換機(jī)再收到數(shù)據(jù)，不管是單播、廣播還是組播，交換機(jī)都不再學(xué)習(xí)MAC地址，如果交換機(jī)在MAC地址表中找不到目的MAC地址對(duì)應(yīng)的端口，交換機(jī)就像集線(xiàn)器一樣，向所有端口廣播數(shù)據(jù)，這樣就可能造成廣播風(fēng)暴。在華為交換機(jī)上，可以通過(guò)對(duì)MAC學(xué)習(xí)限制及流量抑制的功能來(lái)防止MAC泛洪攻擊。MAC學(xué)習(xí)限制是指限制MAC學(xué)習(xí)的數(shù)目。華為交換機(jī)支持在接口、VLAN、槽位和VSI四個(gè)方面對(duì)MAC學(xué)習(xí)數(shù)目進(jìn)行限制。同時(shí)，華為交換機(jī)支持對(duì)未知單播、廣播及組播流量進(jìn)行速度限制。通過(guò)對(duì)MAC學(xué)習(xí)限制及流量抑制，可以有效地防范MAC泛洪攻擊。IPSourceGuardIP源地址防護(hù)能夠限制二層不信任端口的IP流量。它采取的方法是，通過(guò)DHCP綁定表或手動(dòng)綁定的IP源地址來(lái)對(duì)IP流量實(shí)行過(guò)濾此特性可以阻止IP地址欺騙攻擊，也就是主機(jī)通過(guò)把自己的源IP地址修改成其他主機(jī)的IP地址實(shí)現(xiàn)的攻擊。任何從不信任的端口入站的IP流量，只要其源地址與指定（DHCPSnooping或靜態(tài)綁定表）的IP地址不同，就會(huì)被過(guò)濾掉。IP源地址與防護(hù)特性需要在不信任的二層接口上和DHCPSnooping共同使用。IP源地址防護(hù)會(huì)生成一個(gè)IP源地址綁定表，并且對(duì)這個(gè)列表進(jìn)行維護(hù)。這個(gè)列表既可以通過(guò)DHCP學(xué)習(xí)到也可以手動(dòng)配置。列表中的每個(gè)條目都包括IP地址及與這個(gè)IP地址所關(guān)聯(lián)的MAC地址及VLANID。MFF技術(shù)網(wǎng)絡(luò)中，通常使用MFF（MAC-ForcedForwarding）實(shí)現(xiàn)不同客戶(hù)端主機(jī)之間的二層隔離和三層互通。MFF截獲用戶(hù)的ARP請(qǐng)求報(bào)文，通過(guò)ARP代答機(jī)制，回復(fù)網(wǎng)關(guān)MAC地址的ARP應(yīng)答報(bào)文。通過(guò)這種方式，可以強(qiáng)制用戶(hù)將所有流量（包括同一子網(wǎng)內(nèi)的流量）發(fā)送到網(wǎng)關(guān)，使網(wǎng)關(guān)可以監(jiān)控?cái)?shù)據(jù)流量，防止用戶(hù)之間的惡意攻擊，能更好的保障網(wǎng)絡(luò)部署的安全性。邊界安全方案■邊界防護(hù)概述所謂網(wǎng)絡(luò)邊界，是指網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的分界線(xiàn)。對(duì)邊界進(jìn)行安全防護(hù)，首先必須明確哪些網(wǎng)絡(luò)邊界需要防護(hù)，這可以通過(guò)安全分區(qū)設(shè)計(jì)來(lái)確定。定義安全分區(qū)的原則就是首先需要根據(jù)業(yè)務(wù)和信息敏感度定義安全資產(chǎn)，其次對(duì)安全資產(chǎn)定義安全策略和安全級(jí)別，對(duì)于安全策略和級(jí)別相同的安全資產(chǎn)，就可以認(rèn)為屬于同一安全區(qū)域。網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)的重要組成部分，負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量進(jìn)行最初及最后的過(guò)濾，因此邊界安全的有效部署對(duì)整網(wǎng)安全意義重大?！鲞吔绶雷o(hù)安全設(shè)計(jì)一般而言，一個(gè)完整的安全部署包括邊界路由器、邊界防火墻、IPS、邊界防毒墻、邊界流量分析監(jiān)控等安全部件及各安全部件之間的協(xié)同工作。這些部件僅僅依靠各自自身的力量是無(wú)法提供完整的網(wǎng)絡(luò)安全。只有這些部件的功能相互補(bǔ)充，相互結(jié)合，協(xié)同工作才能形成一個(gè)立體的防御結(jié)構(gòu)。邊界路由器路由器在網(wǎng)絡(luò)中承擔(dān)路由轉(zhuǎn)發(fā)的功能，它們將流量引導(dǎo)進(jìn)入網(wǎng)絡(luò)、流出網(wǎng)絡(luò)或者在網(wǎng)絡(luò)中傳輸，由于邊界路由器具有豐富的網(wǎng)絡(luò)接口，一般置于Internet出口或廣域網(wǎng)出口，是流量進(jìn)入和流出之前我們可以控制的第一道防線(xiàn)。邊界防火墻防火墻設(shè)備通過(guò)一組規(guī)則決定哪些流量可以通過(guò)而哪些流量不能通過(guò)防火墻。防火墻可以對(duì)邊界路由器不能監(jiān)控的流量進(jìn)行更加深入地分析和過(guò)濾，并能夠按照管理者所確定的策略來(lái)阻塞或者允許流量經(jīng)過(guò)。華為Eudemon系列防火墻支持安全域管理、攻擊防范、ASPF、NAT等功能，通過(guò)這些功能保障網(wǎng)絡(luò)安全。安全域管理華為防火墻采用基于安全區(qū)域的隔離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意接口，因此防火墻的安全管理模型不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊?。不同的安全區(qū)域之間的訪(fǎng)問(wèn)設(shè)計(jì)不同的安全策略組（ACL訪(fǎng)問(wèn)控制列表），每條安全策略組支持若干個(gè)獨(dú)立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關(guān)的策略十分容易管理，方便用戶(hù)對(duì)各種邏輯安全區(qū)域的獨(dú)立管理?；诎踩珔^(qū)域的策略控制模型，可以清晰地分別定義從trust到untrust、從DMZ到untrust之間的各種訪(fǎng)問(wèn)，這樣的策略控制模型使得華為統(tǒng)一安全網(wǎng)關(guān)的網(wǎng)絡(luò)隔離功能具有很好的管理能力。攻擊防范攻擊防范功能是防火墻必備的功能之一，常見(jiàn)的攻擊類(lèi)型有DOS攻擊、掃描窺探攻擊、畸形報(bào)?ASPF過(guò)濾技術(shù)ASPF是一種高級(jí)通信過(guò)濾技術(shù)，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)防火墻依靠這種基于報(bào)文內(nèi)容的訪(fǎng)問(wèn)控制，能夠?qū)?yīng)用層的一部分攻擊加以檢測(cè)和防范，包括對(duì)于FTP、HTTP、RTSP、SIP等的檢測(cè)。NATNAT的基本原理是僅在私網(wǎng)主機(jī)需要訪(fǎng)問(wèn)Internet時(shí)才會(huì)分配到合法的公網(wǎng)地址，而在內(nèi)部互聯(lián)時(shí)則使用私網(wǎng)地址。當(dāng)訪(fǎng)問(wèn)Internet的報(bào)文經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)，NAT網(wǎng)關(guān)會(huì)用一個(gè)合法的公網(wǎng)地址替換原報(bào)文中的源IP地址，并對(duì)這種轉(zhuǎn)換進(jìn)行記錄；之后，當(dāng)報(bào)文從Internet側(cè)返回時(shí)，NAT網(wǎng)關(guān)查找原有的記錄，將報(bào)文的目的地址再替換回原來(lái)的私網(wǎng)地址，并送回發(fā)出請(qǐng)求的主機(jī)。這樣，在私網(wǎng)側(cè)或公網(wǎng)側(cè)設(shè)備看來(lái)，這個(gè)過(guò)程與普通的網(wǎng)絡(luò)訪(fǎng)問(wèn)并沒(méi)有任何的區(qū)別。在實(shí)現(xiàn)方式上，NAT可以分為BasicNAT、NAPT方式、NATServer方式、EASYIP方式、DNSMapping方式等。P2P流量檢測(cè)和流量控制防火墻支持的P2P流量檢測(cè)和流量控制功能：支持基于規(guī)則文件的特征檢測(cè)和行為檢測(cè)，規(guī)則文件可以升級(jí)更新支持基于ACL的用戶(hù)策略控制>支持上下行的不同限流>支持協(xié)議優(yōu)先級(jí)的動(dòng)態(tài)調(diào)整支持各種協(xié)議檢測(cè)的打開(kāi)和關(guān)閉>支持基于時(shí)間段的分時(shí)段限流對(duì)P2P流量可以限定在一個(gè)范圍內(nèi)，這樣不但可以使得用戶(hù)自由的使用P2P軟件，也不會(huì)造成因?yàn)镻2P流量對(duì)網(wǎng)絡(luò)造成太大的沖擊。例如：支持迅雷、沸點(diǎn)、BT、Kugoo、PPGou、Poco/pp、Baibao、BitComet、Kazaa/FastTrack、Emule/eDonkey、PPSTREAM、UUSee、PPLive、QQLive、TVAnts、BBSEE、Vagaa、Mysee、Filetopia、Soulseek等P2P協(xié)議檢測(cè)和流量控制。URL過(guò)濾華為防火墻的URL過(guò)濾功能采用了先進(jìn)的模式匹配引擎算法，大大減少了URL匹配的時(shí)間，憑借先進(jìn)的軟硬件性能，能夠快速地處理大量的URL訪(fǎng)問(wèn)請(qǐng)求。防火墻支持遠(yuǎn)程URL分類(lèi)服務(wù)器，遠(yuǎn)程URL分類(lèi)服務(wù)器提供了細(xì)粒度的URL資源種類(lèi)，使用全面而準(zhǔn)確的后臺(tái)URL資源分類(lèi)數(shù)據(jù)庫(kù)，自動(dòng)化地實(shí)現(xiàn)對(duì)用戶(hù)訪(fǎng)問(wèn)URL的自動(dòng)分類(lèi)。另外，防火墻支持本地URL分類(lèi)功能，用戶(hù)可以自定義個(gè)性化URL資源訪(fǎng)問(wèn)控制的功能。并且可以將URL訪(fǎng)問(wèn)控制策略和時(shí)間、IP地址、分類(lèi)訪(fǎng)問(wèn)控制列表等關(guān)鍵策略進(jìn)行關(guān)聯(lián)，從而實(shí)現(xiàn)基于時(shí)間、用戶(hù)和訪(fǎng)問(wèn)類(lèi)別等策略的URL過(guò)濾功能。另外，防火墻支持本地URL黑/白名單功能，支持基于前綴匹配、后綴匹配、關(guān)鍵字匹配、精確匹配和參數(shù)匹配等。?IPS/IDS隨著互聯(lián)網(wǎng)的不斷發(fā)展，黑客攻擊技術(shù)也出現(xiàn)了許多新的變化，這也促使網(wǎng)絡(luò)安全產(chǎn)品不斷的更新?lián)Q代。一種新型的安全防護(hù)產(chǎn)品-網(wǎng)絡(luò)入侵防御系統(tǒng)應(yīng)運(yùn)而生。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線(xiàn)部署的產(chǎn)品，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類(lèi)攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。這類(lèi)產(chǎn)品彌補(bǔ)了防火墻、入侵檢測(cè)等產(chǎn)品的不足，提供動(dòng)態(tài)的、深度的、主動(dòng)的安全防御，為企業(yè)提供了一個(gè)全新的入侵保護(hù)解決方IPS安全網(wǎng)關(guān)產(chǎn)品可以部署在企業(yè)網(wǎng)絡(luò)出口處或者重要服務(wù)器前面，提供主動(dòng)的、實(shí)時(shí)的防護(hù)。準(zhǔn)確檢測(cè)2到7層的網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類(lèi)攻擊的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷。IPS系統(tǒng)自身的安全非常重要，必須能夠抵御那些常規(guī)的網(wǎng)絡(luò)安全威脅：如病毒的感染、蠕蟲(chóng)的傳播，不可使用通用的處理器及操作系統(tǒng)等。這些都有周知的漏洞，很容易被利用進(jìn)行入侵攻擊。而IPS的檢測(cè)粒度非常細(xì)，由此系統(tǒng)必須具備高性能的數(shù)據(jù)報(bào)處理及轉(zhuǎn)發(fā)能力，不然低效的IPS系統(tǒng)將成為網(wǎng)絡(luò)的性能瓶頸。網(wǎng)絡(luò)上很多應(yīng)用服務(wù)器（如HTTP、SMTP、FTP、POP3、IMAP4、MSRPC、NETBIOS、SMB、MS_SQL、TELNET、IRC、DNS等）在設(shè)計(jì)中并不完善，如對(duì)協(xié)議中的異常情況考慮不足。因此黑客常利用協(xié)議的漏洞對(duì)服務(wù)器發(fā)起攻擊。他們向服務(wù)器發(fā)送非標(biāo)準(zhǔn)或者緩沖區(qū)溢出的協(xié)議數(shù)據(jù)，從而奪取服務(wù)器控制權(quán)或者造成服務(wù)器宕機(jī)。IPS能夠檢測(cè)、識(shí)別網(wǎng)絡(luò)流量的協(xié)議異常（包括協(xié)議遵從性、參數(shù)合法性等）并加以阻斷。網(wǎng)絡(luò)中常包含大量黑客攻擊、病毒、特洛伊木馬、惡意軟件等惡意流量。這些惡意流量都有各自不同的簽名（特征）。因此，必須有專(zhuān)業(yè)的安全分析工程師對(duì)這些惡意網(wǎng)絡(luò)流量進(jìn)行深入分析，提取相應(yīng)的特征碼并形成簽名。IPS根據(jù)簽名庫(kù)，吏用特征檢測(cè)引擎對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進(jìn)行高速匹配，從而對(duì)命中簽名規(guī)則的流量進(jìn)行阻斷等方式進(jìn)行響應(yīng)動(dòng)作。IPS的檢測(cè)引擎和簽名庫(kù)，對(duì)于入侵檢測(cè)的效果具有重要意義。優(yōu)秀的檢測(cè)引擎算法極大程度影響檢測(cè)的速度；全面而準(zhǔn)確的簽名庫(kù)能夠有效防御大量威脅，減少誤報(bào)。有了優(yōu)秀的檢測(cè)引擎及簽名庫(kù)，IPS能夠更好的檢測(cè)各類(lèi)攻擊，如最新病毒、特洛伊木馬、惡意軟件等進(jìn)行檢測(cè)防御。IPS的特征檢測(cè)引擎和簽名庫(kù)必須支持有效升級(jí)，以保證能夠應(yīng)對(duì)不斷變化著的網(wǎng)絡(luò)威脅。通常情況下，IPS設(shè)備的工作步驟如下：>捕獲網(wǎng)絡(luò)數(shù)據(jù)包>重組數(shù)據(jù)包，包括流重組和分片重組>對(duì)數(shù)據(jù)包進(jìn)行協(xié)議識(shí)別，有基于端口的識(shí)別和基于內(nèi)容的識(shí)別>將數(shù)據(jù)包送入檢測(cè)引擎匹配＞最后根據(jù)引擎檢測(cè)結(jié)果及安全策略采取響應(yīng)動(dòng)作所謂IDS聯(lián)動(dòng)，指IDS設(shè)備能自動(dòng)偵聽(tīng)整個(gè)網(wǎng)絡(luò)中是否存在惡意攻擊、入侵或其他安全隱患行為，通過(guò)下發(fā)指令的方式通知防火墻，由防火墻對(duì)攻擊報(bào)文進(jìn)行丟棄或其它處理。采用IDS聯(lián)動(dòng)方式進(jìn)行攻擊防范，入侵檢測(cè)和攻擊處理兩個(gè)過(guò)程有效分離，充分發(fā)揮了各設(shè)備的優(yōu)勢(shì)，改善了系統(tǒng)性能。華為防火墻除了自身提供強(qiáng)勁的攻擊防范能力外，還能夠和專(zhuān)業(yè)的IDS(IntrusionDetectiveSystem)設(shè)備聯(lián)合組網(wǎng)，即IDS設(shè)備外置。由于IDS設(shè)備包含非常完備的攻擊行為信息，因此聯(lián)合組網(wǎng)將充分發(fā)揮IDS設(shè)備高效、全面的安全保障能力。通過(guò)和IDS設(shè)備聯(lián)動(dòng)，防火墻可以提供一種高可靠的主動(dòng)防御模型。通過(guò)這種主動(dòng)防御的模型，提供了高可靠的安全解決方案。用戶(hù)先配置好基本的靜態(tài)安全策略，通過(guò)IDS設(shè)備可以動(dòng)態(tài)發(fā)現(xiàn)安全隱患，通過(guò)防火墻設(shè)備修改安全策略，起到實(shí)時(shí)、動(dòng)態(tài)的修改防御策略，保證了整網(wǎng)的安全。華為防火墻提供靈活的聯(lián)動(dòng)接口協(xié)議，可以和很多IDS設(shè)備互通，方便地支持各種IDS設(shè)備和防火墻聯(lián)合工作。邊界防病毒近年來(lái)計(jì)算機(jī)病毒趁著網(wǎng)絡(luò)信息化的熱潮，不斷騷擾和破壞人們正常的工作秩序。病毒已逐漸成為網(wǎng)絡(luò)安全的禍?zhǔn)?，?yán)重的病毒爆發(fā)將直接導(dǎo)致網(wǎng)絡(luò)的癱瘓，在邊界安全防護(hù)中也同樣要考慮對(duì)病毒的防護(hù)。華為防火墻提供了Anti-Virus防病毒功能，防病毒功能采用了先進(jìn)的病毒檢測(cè)引擎和病毒庫(kù)，病毒檢出率非常之高。防火墻的病毒引擎支持啟發(fā)式掃描，對(duì)網(wǎng)絡(luò)上傳輸?shù)拇a文件進(jìn)行深入的行為分析，采取對(duì)需要掃描的文件進(jìn)行邏輯分析以及行為分析，通過(guò)這種方式，可以很大程度的發(fā)現(xiàn)一些行為異常的程序，發(fā)現(xiàn)未知的病毒。遍布全球的病毒檢測(cè)點(diǎn)和和專(zhuān)業(yè)病毒分析團(tuán)隊(duì)，可以實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)最新病毒，并且通過(guò)病毒分析團(tuán)隊(duì)確認(rèn)和分析病毒特征，及時(shí)的生成最新病毒庫(kù)。防火墻通過(guò)可以多種方式升級(jí)或更新病毒庫(kù)，實(shí)現(xiàn)病毒的實(shí)時(shí)檢測(cè)。病毒庫(kù)支持自動(dòng)定時(shí)升級(jí)、實(shí)時(shí)升級(jí)、本地升級(jí)和回退功能。邊界防護(hù)組網(wǎng)設(shè)計(jì)由于防火墻與IPS/IDS等一般是部署在同一個(gè)地方，且華為防火墻同時(shí)支持防火墻與IPS功能，因此，邊界組網(wǎng)設(shè)計(jì)圖中僅畫(huà)出防火墻。Internet網(wǎng)絡(luò)出口防護(hù)對(duì)企業(yè)總部或大型分支機(jī)構(gòu)，一般在網(wǎng)絡(luò)出口部署雙防火墻，兩防火墻呈主備或負(fù)載均衡的方式工作。如圖3-11所示，在核心交換機(jī)與網(wǎng)絡(luò)路由器之間采用直路全雙歸方式接入防火墻設(shè)備，兩臺(tái)防火墻設(shè)備之間采用主備或負(fù)載均衡方式連接。這樣，網(wǎng)絡(luò)出口路由器、防火墻及核心路由器之間都有備份作用，保證了鏈路的可靠性。防火墻E8000E放置在總部出口，主要承擔(dān)以下功能：?jiǎn)⒂梅阑饓舴婪兑约霸L(fǎng)問(wèn)控制，抵御外來(lái)的各種攻擊。根據(jù)需要啟用地址轉(zhuǎn)換功能，滿(mǎn)足出口公網(wǎng)不足的需要。根據(jù)需要開(kāi)啟虛擬防火墻功能，通過(guò)不同的虛擬防火墻與各大客戶(hù)對(duì)應(yīng)，將不同的服務(wù)器群用VPN隔離開(kāi)。啟用L2TPVPN的功能允許出差移動(dòng)用戶(hù)通過(guò)撥號(hào)的方式接入不同的VPN訪(fǎng)問(wèn)不同VPN里的業(yè)務(wù)或者設(shè)備。網(wǎng)絡(luò)出口典型組網(wǎng)圖2-7網(wǎng)絡(luò)出口典型組網(wǎng)除了直路全雙歸，防火墻的接入方式還有與交換機(jī)雙歸，與路由器口字型、與交換機(jī)路由器都口字型及旁?huà)?。圖2-8防火墻出口連接方式-與交換機(jī)雙歸、與路由器口子型圖2-9防火墻出口連接方式-與交換機(jī)口子型、與路由器口子型圖2-10防火墻出口連接方式-旁?huà)煊蜷g防護(hù)網(wǎng)絡(luò)出口部署的防火墻可以解決網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全問(wèn)題，但研究表明，80%的網(wǎng)絡(luò)安全漏洞都存在于內(nèi)部網(wǎng)絡(luò)。因此，內(nèi)部的安全防護(hù)更為重要。當(dāng)網(wǎng)絡(luò)劃分安全區(qū)域后，在不同信任級(jí)別的安全區(qū)域之間就形成了網(wǎng)絡(luò)邊界。在網(wǎng)絡(luò)內(nèi)部，不同的業(yè)務(wù)部門(mén)、研發(fā)中心、辦公中心可能都具有不同的安全策略。從安全的角度講，在各個(gè)不同的部門(mén)、研發(fā)中心、辦公中心、數(shù)據(jù)中心、DMZ區(qū)域的出口都部署防火墻是最理想的。也可以在核心層部署防火墻，將各業(yè)務(wù)部門(mén)劃分在不同的VPN中，防火墻采用虛擬防火墻的方式管理各安全域的安全策略。運(yùn)維設(shè)計(jì)設(shè)備簡(jiǎn)易運(yùn)維管理隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)規(guī)模也在不斷擴(kuò)大，客戶(hù)需要管理和維護(hù)多大幾十臺(tái)甚至上百臺(tái)的設(shè)備，弊端顯而易見(jiàn)，因此客戶(hù)對(duì)簡(jiǎn)化網(wǎng)絡(luò)設(shè)備管理的需求越來(lái)越迫切。比如設(shè)備安裝、軟件升級(jí)、故障定位和設(shè)備更換等工作花費(fèi)網(wǎng)絡(luò)管理人員的大部分時(shí)間，其中，有些工作簡(jiǎn)單重復(fù)、效率低下。如何對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行批量、自動(dòng)管理，成為企業(yè)IT部門(mén)面臨的嚴(yán)重挑戰(zhàn)。EasyOperation是一個(gè)簡(jiǎn)化運(yùn)維的方案，可以實(shí)現(xiàn)Zero-Touch開(kāi)局，設(shè)備故障自動(dòng)替換、設(shè)備批量升級(jí)、拓?fù)湔宫F(xiàn)等功能。圖2-11EasyOperation組網(wǎng)圖I:網(wǎng)管網(wǎng)絡(luò)Cliei了匯聚側(cè)接入側(cè)DHCP服務(wù)器TFTP/SFTP/FTP服務(wù)器圖2-11EasyOperation組網(wǎng)圖I:網(wǎng)管網(wǎng)絡(luò)Cliei了匯聚側(cè)接入側(cè)DHCP服務(wù)器TFTP/SFTP/FTP服務(wù)器ClientGroupBClientClientClientGroupACommanderEasyOperation的基本組網(wǎng)如上圖所示。Commander是網(wǎng)絡(luò)管理設(shè)備，也是Zero-Touch場(chǎng)景中工程師實(shí)際需要操作的設(shè)備，其主要工作為：管理下掛的Client設(shè)備，給下掛的設(shè)備分配文件服務(wù)器地址、用戶(hù)名、密碼、版本文件名、酉己置文件名、補(bǔ)丁文件名，WEB網(wǎng)頁(yè)文件名等信息；管理下掛的Client設(shè)備的與部署相關(guān)的信息，建立信息數(shù)據(jù)庫(kù)；統(tǒng)一控制和管理下掛Client設(shè)備，控制和信息查詢(xún)都在Commander上完成。■Zero-Touch開(kāi)局Zero-Touch開(kāi)局主要適用于網(wǎng)絡(luò)部署初期，網(wǎng)絡(luò)剛剛搭建完成，網(wǎng)絡(luò)中大部分新安裝的設(shè)備還沒(méi)有配置文件無(wú)法正常工作，網(wǎng)絡(luò)還也發(fā)無(wú)法聯(lián)通的場(chǎng)景。沒(méi)有EasyOperation時(shí)，需要華為工程師親自到達(dá)現(xiàn)場(chǎng)，依次給新設(shè)備完成必要的配置；亦或在現(xiàn)場(chǎng)給新設(shè)備分配指定的靜態(tài)IP地址后再將預(yù)先準(zhǔn)備的配置文件通過(guò)文件傳輸?shù)姆椒ㄟh(yuǎn)程加載。無(wú)論哪種方式，工程師都要求人在現(xiàn)場(chǎng)，每臺(tái)設(shè)備的操作工作量也不小，如果新設(shè)備數(shù)量比較大時(shí)，工作量非?？捎^。EasyOperation的Zero-Touch開(kāi)局功能很好的解決了以上問(wèn)題。該功能只需要預(yù)先記錄下新設(shè)備的ID，如MAC或ESN；準(zhǔn)備好對(duì)應(yīng)設(shè)備的配置文件以及相關(guān)需要加載的文件，如版本文件、補(bǔ)丁文件、License、WEB網(wǎng)管等；客戶(hù)或者代理商在現(xiàn)場(chǎng)鏈接好設(shè)備后，華為工程師可以在遠(yuǎn)程（網(wǎng)絡(luò)中心機(jī)房）通過(guò)命令或者網(wǎng)管方式，所有新設(shè)備開(kāi)局必要文件的加載，整個(gè)過(guò)程華為工程師對(duì)新設(shè)備是Zero-Touch的，更不必要到現(xiàn)場(chǎng)，有效的簡(jiǎn)化了工作量?！鲈O(shè)備批量升級(jí)設(shè)備批量升級(jí)主要用于企業(yè)客戶(hù)網(wǎng)絡(luò)已經(jīng)部署完成正常運(yùn)行過(guò)程中。或因?yàn)樵O(shè)備版本即將EOS，或因?yàn)榘姹疽阎狟ug，或因?yàn)橐褂眯掳姹镜男鹿δ?，需要給企業(yè)客戶(hù)升級(jí)的場(chǎng)景。沒(méi)有EasyOperation時(shí)，當(dāng)多臺(tái)設(shè)備升級(jí)到相同版本時(shí)，需要華為工程師依次向待升級(jí)設(shè)備加載版本完成升級(jí)。如果待升級(jí)的設(shè)備數(shù)量比較大時(shí)，工作量還是比較可觀的。EasyOperation的設(shè)備批量升級(jí)功能很好的解決了以上問(wèn)題。該功能只需要預(yù)先記錄下待升級(jí)相同版本的設(shè)備ID，如MAC、ESN或者設(shè)備類(lèi)型等，將這些設(shè)備歸為一個(gè)Group，那么華為工程師只需要針對(duì)這個(gè)Group指定升級(jí)版本以及其他信息后，在遠(yuǎn)程（網(wǎng)絡(luò)中心機(jī)房）通過(guò)命令或者網(wǎng)管方式可以實(shí)現(xiàn)一鍵式批量升級(jí)，有效的簡(jiǎn)化了工作量?！龉收显O(shè)備替換故障設(shè)備替換主要用于企業(yè)客戶(hù)網(wǎng)絡(luò)已經(jīng)部署完成，正常運(yùn)行過(guò)程中出現(xiàn)設(shè)備硬件故障或人為損壞等需要更換的場(chǎng)景。沒(méi)有EasyOperation時(shí)，需要華為工程師親自到達(dá)現(xiàn)場(chǎng)，完成故障設(shè)備替換后，還要將原故障設(shè)備的配置導(dǎo)入新設(shè)備中，如果版本、補(bǔ)丁等文件已經(jīng)修改了則還要完成升級(jí)，一系列過(guò)程都不能少。EasyOperation的故障設(shè)備替換功能很好的解決了以上問(wèn)題。該功能只需要將新設(shè)備按照原故障設(shè)備在網(wǎng)絡(luò)中的拓?fù)?，原位置接入網(wǎng)絡(luò)，新設(shè)備就可以自動(dòng)獲取并下載原故障設(shè)備的文件，完成故障設(shè)備的替換，有效的簡(jiǎn)化了工作量。網(wǎng)絡(luò)質(zhì)量感知隨著網(wǎng)絡(luò)的發(fā)展，各種應(yīng)用業(yè)務(wù)得到了廣泛部署，鏈路的連通性和網(wǎng)絡(luò)性能的好壞直接影響著承載網(wǎng)絡(luò)上的各種業(yè)務(wù)。因此，作為企業(yè)網(wǎng)絡(luò)承載管道的性能檢測(cè)顯得尤為重要。例如語(yǔ)音業(yè)務(wù)，當(dāng)鏈路丟包率在5％以下時(shí)，用戶(hù)不會(huì)有明顯的感覺(jué)；但是當(dāng)丟包率大于10％時(shí)，就會(huì)影響語(yǔ)音的質(zhì)量。例如智真、在線(xiàn)視頻等實(shí)時(shí)性業(yè)務(wù)一般要求時(shí)延至少低于100ms；寸于實(shí)時(shí)性要求更高的場(chǎng)合，甚至要求時(shí)延不得超過(guò)50ms，否則會(huì)對(duì)用戶(hù)體驗(yàn)造成極壞的影響。iPCA（PacketConservationAlgorithmforInternet）是一種通用的IP網(wǎng)絡(luò)性能檢測(cè)的方案，可以有效地解決上述問(wèn)題。iPCA可以直接對(duì)業(yè)務(wù)報(bào)文進(jìn)行測(cè)量，在線(xiàn)監(jiān)控IP網(wǎng)絡(luò)承載的業(yè)務(wù)的變化，真實(shí)準(zhǔn)確地反映出業(yè)務(wù)的運(yùn)行情況，對(duì)于網(wǎng)絡(luò)的故障診斷、業(yè)務(wù)統(tǒng)計(jì)有重大意義?！鰜G包檢測(cè)丟包統(tǒng)計(jì)功能是指在某一個(gè)測(cè)量周期內(nèi)，統(tǒng)計(jì)所有進(jìn)入穿越網(wǎng)絡(luò)的流量與離開(kāi)網(wǎng)絡(luò)的流量之間的差。丟包測(cè)量主要有兩種類(lèi)型：點(diǎn)到點(diǎn)丟包測(cè)量和多點(diǎn)到多點(diǎn)丟包測(cè)量。點(diǎn)到點(diǎn)丟包測(cè)量點(diǎn)到點(diǎn)丟包測(cè)量是指通過(guò)測(cè)量指定兩臺(tái)設(shè)備之間鏈路的丟包情況，確定鏈路的質(zhì)量。多點(diǎn)到多點(diǎn)丟包測(cè)量多點(diǎn)到多點(diǎn)丟包測(cè)量是指通過(guò)測(cè)量指定的多臺(tái)設(shè)備之間鏈路的丟包情況，確定鏈路的質(zhì)量。iPCA采用特征分組測(cè)量法來(lái)測(cè)量丟包，在報(bào)文入口（源端），對(duì)業(yè)務(wù)報(bào)文頭中某一個(gè)染色位進(jìn)行周期性的標(biāo)識(shí)（置位、復(fù)位），從而可將業(yè)務(wù)報(bào)文按照特征置位屬性，劃分為不同的測(cè)量區(qū)間。■時(shí)延統(tǒng)計(jì)時(shí)延直接測(cè)量就是對(duì)實(shí)際業(yè)務(wù)的報(bào)文進(jìn)行抽樣記錄，測(cè)量其在網(wǎng)絡(luò)中的實(shí)際轉(zhuǎn)發(fā)時(shí)間，抽樣方法是通過(guò)設(shè)置業(yè)務(wù)報(bào)文的特征位進(jìn)行染色區(qū)分。時(shí)延統(tǒng)計(jì)主要有兩種類(lèi)型：?jiǎn)蜗驎r(shí)延測(cè)量和雙向時(shí)延測(cè)點(diǎn)到點(diǎn)單向時(shí)延測(cè)量單向時(shí)延統(tǒng)計(jì)是指通過(guò)測(cè)量指定兩臺(tái)設(shè)備之間鏈路單方向的網(wǎng)絡(luò)時(shí)延，確定鏈路的質(zhì)量。點(diǎn)到點(diǎn)雙向時(shí)延測(cè)量雙向時(shí)延統(tǒng)計(jì)是指通過(guò)測(cè)量指定的兩臺(tái)設(shè)備之間鏈路的往返時(shí)延，確定鏈路的質(zhì)量?！鰅PCA方案建議iPCA主要可以更好的迎合當(dāng)前及將來(lái)網(wǎng)絡(luò)用戶(hù)對(duì)語(yǔ)音業(yè)務(wù)、交互視頻、視頻監(jiān)控等業(yè)務(wù)質(zhì)量的更高要求，網(wǎng)絡(luò)管理中心希望能夠?qū)崟r(shí)監(jiān)控承載鏈路的丟包性能和時(shí)延性能，以便在網(wǎng)絡(luò)用戶(hù)業(yè)務(wù)質(zhì)量下降時(shí)及時(shí)做出調(diào)整。IPiPCA性能統(tǒng)計(jì)主要有三種功能場(chǎng)景：端到端連續(xù)性能統(tǒng)計(jì)端到端連續(xù)性能統(tǒng)計(jì)是指用戶(hù)出于監(jiān)控網(wǎng)絡(luò)性能的目的，由系統(tǒng)持續(xù)執(zhí)行的性能統(tǒng)計(jì)操作。為了防止網(wǎng)絡(luò)性能劣化而用戶(hù)不能感知的情況發(fā)生，用戶(hù)可以部署連續(xù)性能統(tǒng)計(jì)功能，持續(xù)監(jiān)控網(wǎng)絡(luò)的運(yùn)行情況。端到端按需性能統(tǒng)計(jì)按需性能統(tǒng)計(jì)是指用戶(hù)在指定的時(shí)間內(nèi)出于診斷或者監(jiān)控網(wǎng)絡(luò)性能的目的，人工干預(yù)發(fā)起的性能統(tǒng)計(jì)動(dòng)作。當(dāng)用戶(hù)發(fā)現(xiàn)網(wǎng)絡(luò)性能劣化，或者用戶(hù)希望根據(jù)需要選取指定的業(yè)務(wù)流發(fā)起實(shí)時(shí)性能統(tǒng)計(jì)時(shí)，可以通過(guò)按需性能統(tǒng)計(jì)功能查看近期詳細(xì)的性能統(tǒng)計(jì)信息。逐點(diǎn)性能統(tǒng)計(jì)逐點(diǎn)性能統(tǒng)計(jì)是指用戶(hù)處于定位故障的目的，從流量的發(fā)起端逐臺(tái)設(shè)備發(fā)起的性能統(tǒng)計(jì)動(dòng)作。當(dāng)用戶(hù)發(fā)現(xiàn)網(wǎng)絡(luò)性能劣化，網(wǎng)絡(luò)管理者希望準(zhǔn)確定位發(fā)生性能故障的網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)，可以采用逐點(diǎn)性能統(tǒng)計(jì)功能。網(wǎng)絡(luò)管理軟件eSighteSight支持對(duì)IT&IP以及第三方設(shè)備的統(tǒng)一管理，同時(shí)對(duì)網(wǎng)絡(luò)流量、接入認(rèn)證角色等進(jìn)行智能分析，自動(dòng)調(diào)整網(wǎng)絡(luò)控制策略，全方位保證企業(yè)網(wǎng)絡(luò)安全。同時(shí)eSight提供靈活的開(kāi)放平臺(tái)，為企業(yè)量身打造自己的智能管理系統(tǒng)提供基礎(chǔ)。針對(duì)企業(yè)網(wǎng)場(chǎng)景，華為eSight提供多種應(yīng)用，包括：多廠(chǎng)商的設(shè)備管理；企業(yè)資源統(tǒng)一管理；可視化的企業(yè)統(tǒng)一視圖；全方位的企業(yè)故障監(jiān)控；機(jī)房精細(xì)化監(jiān)控；輔助智能樓宇安防監(jiān)控；企業(yè)網(wǎng)絡(luò)監(jiān)控性能管理；分權(quán)-分域-分時(shí)的用戶(hù)管理。?多廠(chǎng)商的設(shè)備管理eSight預(yù)集成業(yè)界主流設(shè)備，默認(rèn)已包含Cisco20個(gè)系列140余款設(shè)備、H3C14個(gè)系列130余款設(shè)備、其他廠(chǎng)商100余款設(shè)備、以及數(shù)十款打印機(jī)、服務(wù)器。企業(yè)運(yùn)維人員不做任何配置，即可管理全網(wǎng)設(shè)備，大大提升管理效率。eSight擁有廠(chǎng)商新款設(shè)備自動(dòng)配套能力，通過(guò)eSight廠(chǎng)商類(lèi)型自動(dòng)識(shí)別能力，對(duì)于友商新發(fā)布的設(shè)備也可實(shí)現(xiàn)拓?fù)?、告警、性能等管理能力。針?duì)業(yè)界主流設(shè)備深入分析，不僅支持標(biāo)準(zhǔn)的流量采集，還同時(shí)支持設(shè)備面板、設(shè)備CPU利用率等私有屬性的管理。?資源統(tǒng)一管理如圖2-12所示，華為eSight提供全方位的企業(yè)資源管理，針對(duì)不同網(wǎng)絡(luò)設(shè)備、不同業(yè)務(wù)、不同服務(wù)器、工作站等PC資源進(jìn)行管理。eSight部署規(guī)劃方案■分級(jí)部署模式ki習(xí)ht標(biāo)準(zhǔn).ki習(xí)ht標(biāo)準(zhǔn).圖2-12eSight分級(jí)部署模式亡Sighi專(zhuān)業(yè)版eSight專(zhuān)業(yè)版■網(wǎng)兀配置eSight網(wǎng)絡(luò)管理系統(tǒng)可以通過(guò)三種方式完成單點(diǎn)網(wǎng)元配置工作：使用簡(jiǎn)單配置框架實(shí)現(xiàn)單點(diǎn)網(wǎng)元配置。使用智能配置工具進(jìn)行設(shè)備單點(diǎn)配置。通過(guò)Web網(wǎng)管進(jìn)行單點(diǎn)配置。在開(kāi)局、網(wǎng)絡(luò)維護(hù)等多個(gè)場(chǎng)景，用戶(hù)有對(duì)集中部署的設(shè)備的業(yè)務(wù)進(jìn)行批量操作的需求，用戶(hù)通過(guò)智能配置工具能夠?qū)Χ嗯_(tái)設(shè)備的業(yè)務(wù)進(jìn)行批量配置，提高用戶(hù)的運(yùn)維效率?！霰O(jiān)控業(yè)務(wù)eSight網(wǎng)絡(luò)管理系統(tǒng)能夠?qū)I(yè)務(wù)進(jìn)行實(shí)時(shí)監(jiān)控，根據(jù)業(yè)務(wù)類(lèi)型進(jìn)行流量、信息統(tǒng)計(jì)，極大的方便網(wǎng)絡(luò)運(yùn)維人員實(shí)時(shí)監(jiān)控業(yè)務(wù)狀況?！霰O(jiān)控性能eSight可以對(duì)網(wǎng)絡(luò)的關(guān)鍵性能指標(biāo)進(jìn)行監(jiān)控，并對(duì)采集到的性能數(shù)據(jù)進(jìn)行統(tǒng)計(jì)。通過(guò)可視化的操作界面，方便用戶(hù)對(duì)網(wǎng)絡(luò)性能進(jìn)行管理。通過(guò)監(jiān)視模板管理性能監(jiān)視指標(biāo)，并設(shè)定告警的閾值。通過(guò)性能監(jiān)視模板，用戶(hù)可以方便的將性能采集規(guī)則應(yīng)用到多個(gè)對(duì)象中。性能監(jiān)視模板包括以下內(nèi)容：性能指標(biāo)組將多種性能指標(biāo)集成到一個(gè)性能指標(biāo)組中，可以支持分場(chǎng)景定制指標(biāo)組，包含場(chǎng)景相關(guān)的所有性能指標(biāo)，便于根據(jù)業(yè)務(wù)場(chǎng)景建立對(duì)應(yīng)的監(jiān)視任務(wù)。性能指標(biāo)定義具體的性能采集的指標(biāo)。采集周期提供多種采集周期供采集性能指標(biāo)時(shí)選擇。性能閾值通過(guò)設(shè)置性能門(mén)限值，可以在網(wǎng)絡(luò)的性能數(shù)據(jù)低于門(mén)限值時(shí)及時(shí)預(yù)警，避免網(wǎng)絡(luò)性能的持續(xù)惡化。通過(guò)性能監(jiān)視的設(shè)置，實(shí)現(xiàn)網(wǎng)絡(luò)性能數(shù)據(jù)的采集。支持周期性性能指標(biāo)采集，可以了解網(wǎng)絡(luò)在指定時(shí)間范圍內(nèi)的性能狀況，并為預(yù)測(cè)網(wǎng)絡(luò)的性能變化提供數(shù)據(jù)依據(jù)?！鲑Y源查看和報(bào)表管理eSight提供豐富的資源查看和預(yù)定義報(bào)表，同時(shí)提供強(qiáng)大易用的報(bào)表設(shè)計(jì)功能，用戶(hù)可根據(jù)行業(yè)特點(diǎn)和自身運(yùn)維要求進(jìn)行客戶(hù)報(bào)表定制。

圖2-13eSght資源查看和報(bào)表管理■Ekm尋■*ftV?■若舸PSAW■Ekm尋■*ftV?■若舸PSAW■氏苗上干謂口4莓出*畤□-u[RUtSBJ■E<■■0D10ilL2.E7dn1O.Ll2：S?.lP淹卻E?Huhve2&IL-I7-ML1A7I25mrfObrqwiM!.--□La】民wjw]0LLZJ7.KJ€*K-rpHuiwo2DIHT-WLE0；1DLt￡>H□MLUFfidfl?AA2Z2￡<Hu抑4i2DIL-I7-ILL2JOO：]]>□Diai3?d3S.2WihL掙陽(yáng)5那伽專(zhuān)taw2&IL-I7-M訂加屈l￡2J目□LD.137.5B.1IZlOLSrJB.LM523151^51腳IWfl3QIHT-WLJ-W;37LK,S3□LQ137.9.LI3血皿用.MdiPTPgftRHuaw42DIL-I7-Ml1jM!]7L謚>EiDLbia?iEfcLIElO.Ll^^.LbSK31時(shí)dHutwo2&ILI7-W口血門(mén)9血S目■階段維護(hù)eSight提供配置文件管理和備份功能，可以快速的進(jìn)行文件備份和設(shè)備登錄管理。同時(shí)還提供系統(tǒng)巡檢工具，能夠定時(shí)對(duì)設(shè)備進(jìn)行自檢，減輕網(wǎng)絡(luò)維護(hù)人員的工作量。網(wǎng)絡(luò)解決方案技術(shù)建議書(shū)3網(wǎng)絡(luò)解決方案技術(shù)建議書(shū)3設(shè)備推薦3設(shè)備推薦S7700系列產(chǎn)品定位S7700系列運(yùn)營(yíng)級(jí)園區(qū)匯聚交換機(jī)是由華為公司自主開(kāi)發(fā)的新一代高性能核心路由交換機(jī)產(chǎn)品，提供大容量、高密度、模塊化的二到四層線(xiàn)速轉(zhuǎn)發(fā)性能，具有強(qiáng)大組播功能，完善的QoS保障、有效的安全管理機(jī)制和電信級(jí)的高可靠設(shè)計(jì)，滿(mǎn)足高端用戶(hù)對(duì)多業(yè)務(wù)、高可靠、大容量、模塊化的需求，降低運(yùn)營(yíng)商的建網(wǎng)成本和維護(hù)成本，可廣泛應(yīng)用于構(gòu)建各種類(lèi)型型園區(qū)網(wǎng)核心層和匯聚層交換機(jī)。表1-1S7700系列交換機(jī)產(chǎn)品型號(hào)說(shuō)明S7703支持3塊LPU交換容量4.8Tbit/s包轉(zhuǎn)發(fā)率1440MppsS7706支持6塊LPU交換容量10.24Tbit/s包轉(zhuǎn)發(fā)率2880MppsS7710支持10塊LPU交換容量39.68Tbit/s包轉(zhuǎn)發(fā)率8400MppsS7712支持12塊LPU交換容量10.24Tbit/s包轉(zhuǎn)發(fā)率2880Mpps圖1-2S7703外觀圖圖1-3S7706外觀圖圖1-4S7710外觀圖圖1-5S7712外觀圖產(chǎn)品特點(diǎn)S7700系列產(chǎn)品有如下特點(diǎn)：先進(jìn)體系結(jié)構(gòu)，高性能，配置靈活S7700系列交換機(jī)采用先進(jìn)的全分布式體系結(jié)構(gòu)設(shè)計(jì)，采用業(yè)界最新的硬件轉(zhuǎn)發(fā)引擎技術(shù)，所有端口支持的業(yè)務(wù)能夠線(xiàn)速轉(zhuǎn)發(fā)，業(yè)務(wù)包括IPv4/MPLS/二層轉(zhuǎn)發(fā)等。支持ACL線(xiàn)速轉(zhuǎn)發(fā)。S7700系列交換機(jī)實(shí)現(xiàn)組播線(xiàn)速轉(zhuǎn)發(fā)，硬件完成兩級(jí)復(fù)制：交換網(wǎng)板復(fù)制到接口板和轉(zhuǎn)發(fā)引擎復(fù)制到接口。S7700支持1.536Tbps交換容量，支持多種高密度板卡，滿(mǎn)足核心、匯聚層設(shè)備大容量、高端口密度的要求，可以滿(mǎn)足用戶(hù)日益增長(zhǎng)的帶寬需求，能夠極大的保護(hù)和節(jié)約用戶(hù)投資。完善的安全機(jī)制S7700系列交換機(jī)支持OSPF、RIPv2及BGPv4報(bào)文的明文及MD5密文認(rèn)證，支持安全的SSH登錄、命令行分級(jí)保護(hù)、基于用戶(hù)安全策略的SNMPV3、DHCPSnooping、IPSourceGuard、DAI、層次化CPU通道保護(hù)，并提供以下幾種用戶(hù)認(rèn)證方式：本地認(rèn)證、RADIUS和HWTACACS認(rèn)證。支持防網(wǎng)絡(luò)風(fēng)暴攻擊、防DOS/DDOS攻擊、防掃描窺探攻擊、防畸形報(bào)文攻擊、防網(wǎng)絡(luò)協(xié)議報(bào)文攻擊等安全技術(shù)。全面的可靠性S7700系列交換機(jī)最大支持128個(gè)匯聚組，每個(gè)匯聚組內(nèi)支持最多8個(gè)成員端口，支持跨單板端口間的匯聚。支持DLDP，可以監(jiān)控光纖或銅質(zhì)雙絞線(xiàn)的鏈路狀態(tài)。如果發(fā)現(xiàn)單向鏈路存在,DLDP會(huì)根據(jù)用戶(hù)配置，自動(dòng)關(guān)閉或通知用戶(hù)手工關(guān)閉相關(guān)端口，以防止網(wǎng)絡(luò)問(wèn)題的發(fā)生。支持RRPP及多實(shí)例，相比其他以太環(huán)網(wǎng)技術(shù)，RRPP具有以下優(yōu)勢(shì)：拓?fù)涫諗克俣瓤?，低?0mso收斂時(shí)間與環(huán)網(wǎng)上節(jié)點(diǎn)數(shù)無(wú)關(guān)，可應(yīng)用于網(wǎng)絡(luò)直徑較大的網(wǎng)絡(luò)。支持標(biāo)準(zhǔn)STP/RSTP/MSTP二層環(huán)網(wǎng)保護(hù)協(xié)議。支持SmartLink及多實(shí)例。支持BFDfor單播路由/VRRP/FRR/PIMoS5700系列全千兆企業(yè)交換機(jī)S5700系列全千兆企業(yè)交換機(jī)（以下簡(jiǎn)稱(chēng)S5700），是華為公司為滿(mǎn)足大帶寬接入和以太多業(yè)務(wù)匯聚而推出的新一代綠色節(jié)能的全千兆以太網(wǎng)交換機(jī)尼基于高性能硬件芯片和華為公司統(tǒng)一的VRP軟件平臺(tái)，具備大容量、高密度千兆端口，可提供萬(wàn)兆上行，充分滿(mǎn)足企業(yè)用戶(hù)的網(wǎng)絡(luò)接入、匯聚、IDC千兆接入以及千兆到桌面等多種應(yīng)用場(chǎng)景。S5700提供精簡(jiǎn)版（LI）標(biāo)準(zhǔn)版（SI）增強(qiáng)版（EI）和高級(jí)版（HI）四種產(chǎn)品形態(tài)，具有下列這些特點(diǎn)。創(chuàng)新AHM節(jié)能智能iStack，支持9臺(tái)設(shè)備堆疊硬件級(jí)以太OAM/BFD?高性能Netstream雙電源可靠供電此外，根據(jù)不同客戶(hù)和場(chǎng)景的需求，推出了可內(nèi)置蓄電池的電池交換機(jī)、CSFP交換機(jī)、電源口前置的交換機(jī)。圖3-1S5700系列交換機(jī)■產(chǎn)品特點(diǎn)?豐富的敏捷特性S5720-HI系列內(nèi)置以太網(wǎng)絡(luò)處理器ENP芯片，業(yè)務(wù)隨需而變，助力客戶(hù)網(wǎng)絡(luò)敏捷演進(jìn)，滿(mǎn)足現(xiàn)在與未來(lái)的各種挑戰(zhàn)。IP質(zhì)量可感知，網(wǎng)絡(luò)管理更高效；有線(xiàn)無(wú)線(xiàn)深度融合，從容面向高速無(wú)線(xiàn)時(shí)代；SVF超級(jí)虛擬交換網(wǎng)技術(shù)將整網(wǎng)虛擬成一臺(tái)設(shè)備，提供業(yè)界最簡(jiǎn)化網(wǎng)絡(luò)管理方案；大表項(xiàng)與大緩存使得業(yè)務(wù)彈性擴(kuò)展，暢享高清視頻。成熟的IPV6特性S5700基于成熟穩(wěn)定的VRP平臺(tái)，支持IPv4/IPv6雙協(xié)議棧、IPv6路由協(xié)議（RIPng/0SPFv3侶GP4+/ISISforIPv6）IPv6overIPv4隧道（手工隧道/6to4隧道/ISATAP隧道）。S5700既可以部署在純IPv4或IPv6網(wǎng)絡(luò)，也可以部署在IPv4與IPv6共存的網(wǎng)絡(luò)，充分滿(mǎn)足網(wǎng)絡(luò)從IPv4向IPv6過(guò)渡的需求。更多的端口組合S5700支持多種上行擴(kuò)展插卡，提供高密度的GE/10GE上行接口。其中S5710-HI具有4個(gè)擴(kuò)展插槽，可實(shí)現(xiàn)48*GE（電）+48GE（光）+8*10GE+4*40GE,96GE（電）+8*10GE+4*40GE,或96*GE（電）+12*10GE等不同端口組合，充分滿(mǎn)足不同用戶(hù)對(duì)帶寬升級(jí)的實(shí)際需求，保護(hù)用戶(hù)投資。智能iStack堆疊S5700智能iStack堆疊，將多臺(tái)支持堆疊特性的交換機(jī)組合在一起，從邏輯上組合成一臺(tái)虛擬交換機(jī)。iStack堆疊系統(tǒng)通過(guò)多臺(tái)成員設(shè)備之間冗余備份,提高了設(shè)備級(jí)的可靠性；通過(guò)跨設(shè)備的鏈路聚合功能,提高了鏈路級(jí)的可靠性。iStack提供了強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力,通過(guò)增加成員設(shè)備,可以輕松地?cái)U(kuò)展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。iStack簡(jiǎn)化了酉己置和管理，堆疊形成后，多臺(tái)物理設(shè)備虛擬成為一臺(tái)設(shè)備，用戶(hù)可以通過(guò)任何一臺(tái)成員設(shè)備登錄堆疊系統(tǒng)，對(duì)堆疊系統(tǒng)所有成員設(shè)備進(jìn)行統(tǒng)一配置和管理。創(chuàng)新AHM節(jié)能S5700-LI系列智能低功耗交換機(jī)，本著“性能優(yōu)先，節(jié)能不犧牲用戶(hù)體驗(yàn)”的原則，通過(guò)匹配鏈路Down/Up、光模塊在位/不在位、端口ShutDown/UndoShutDown、設(shè)備空閑時(shí)段/繁忙時(shí)段等不同的使用場(chǎng)景,創(chuàng)造性地應(yīng)用能效以太網(wǎng)（EEE）、端口能量檢測(cè)、CPU動(dòng)態(tài)調(diào)頻、設(shè)備休眠等技術(shù),達(dá)到節(jié)省設(shè)備能耗的目的。針對(duì)不同用戶(hù)的應(yīng)用需求，提供了靈活可配的標(biāo)準(zhǔn)節(jié)能、基本節(jié)能、深度節(jié)能三種節(jié)能模式，是業(yè)界首家支持整機(jī)休眠的交換機(jī)設(shè)備。完善的VPN隧道S5700支持Multi-VPN-InstaneeCE（MCE）功能。S5700支持下接不同的VPN用戶(hù)，通過(guò)路由多實(shí)例，實(shí)現(xiàn)了不同用戶(hù)的隔離；上行通過(guò)一個(gè)共用的物理接口連接到PE設(shè)備，減少單個(gè)VPN用戶(hù)對(duì)網(wǎng)絡(luò)部署的投資。S5710-EI/S5700-HI支持MPLSL3VPN、MPLSL2VPN（VPWS/VPLS）、MPLS-TE、MPLSQoS等功能，可作為高質(zhì)量企業(yè)專(zhuān)線(xiàn)接入設(shè)備，是業(yè)界為數(shù)不多的高性?xún)r(jià)比盒式MPLS交換機(jī)。?輕松的運(yùn)行維護(hù)S5700支持華為EasyOperation簡(jiǎn)易運(yùn)維方案,提供新入網(wǎng)設(shè)備Zero-Touch安裝、故障設(shè)備更換免配置、USB開(kāi)局、設(shè)備批量配置、批量遠(yuǎn)程升級(jí)等功能，便于安裝、升級(jí)、業(yè)務(wù)發(fā)放和其他管理維護(hù)工作大大降低了運(yùn)維成本°S5700支持SNMPV1/V2/V3、CLI（命令行）Web網(wǎng)管、TELNET、SSHV2.0等多樣化的管理和維護(hù)方式；支持RMON、多日志主機(jī)、端口流量統(tǒng)計(jì)和網(wǎng)絡(luò)質(zhì)量分析，便于網(wǎng)絡(luò)優(yōu)化和改造。S5700支持GVRP，實(shí)現(xiàn)VLAN的動(dòng)態(tài)分發(fā)、注冊(cè)和屬性傳播，減少手工配置量，保證配置正確性。S5700還支持MUXVLAN功能，MUXVLAN分為主VLAN和從VLAN，從VLAN又分為互通型從VLAN和隔離型從VLAN。主VLAN與從VLAN之間可以相互通信；互通型從VLAN內(nèi)的端口之間互相通信；隔離型從VLAN內(nèi)的端口之間不能互相通信。S5700-EI/S5700-HI系列支持風(fēng)扇備份以及在線(xiàn)更換風(fēng)扇，不間斷設(shè)備運(yùn)行，并支持根據(jù)環(huán)境溫度變化自動(dòng)分區(qū)調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速，不僅能夠減少設(shè)備功耗和運(yùn)行噪聲，還能延長(zhǎng)風(fēng)扇的壽命。?杰出的網(wǎng)流分析S5700支持Netstream網(wǎng)絡(luò)流量分析功能。作為網(wǎng)絡(luò)流量輸出器，S5700根據(jù)用戶(hù)配置，實(shí)時(shí)采集指定的數(shù)據(jù)流量，通過(guò)標(biāo)準(zhǔn)的V5/V8/V9報(bào)文格式，將數(shù)據(jù)上送給網(wǎng)絡(luò)流量收集器，這些數(shù)據(jù)被進(jìn)一步處理，可以實(shí)現(xiàn)動(dòng)態(tài)報(bào)表生成、屬性分析、流量異常告警等功能，幫助用戶(hù)及時(shí)優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、調(diào)整資源部署。S5700支持sFlow功能。S5700按照標(biāo)準(zhǔn)定義的方式，對(duì)轉(zhuǎn)發(fā)的流量按需采樣，并實(shí)時(shí)地將采樣流量上送到收集器，用于生成統(tǒng)計(jì)信息圖表，為企業(yè)用戶(hù)的日常維護(hù)提供了極大的方便。?靈活的以太組網(wǎng)S5700不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹(shù)協(xié)議，還支持華為自主創(chuàng)新的SEP智能以太保護(hù)技術(shù)和業(yè)界最新的以太環(huán)網(wǎng)標(biāo)準(zhǔn)協(xié)議ERPS。SEP是一種專(zhuān)用于以太鏈路層的環(huán)網(wǎng)協(xié)議，適用于半環(huán)、整環(huán)、級(jí)連環(huán)等各種組網(wǎng)，其協(xié)議簡(jiǎn)單可靠、維護(hù)方便，并提供50ms的快速業(yè)務(wù)倒換。ERPS是ITU-T發(fā)布的G.8032標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)基于傳統(tǒng)的以太網(wǎng)MAC和網(wǎng)橋功能，實(shí)現(xiàn)以太環(huán)網(wǎng)的毫秒級(jí)快速保護(hù)倒換。S5700支持SmartLink和VRRP功能。S5700通過(guò)多條鏈路接入到多臺(tái)匯聚交換機(jī)上，SmartLink/VRRP實(shí)現(xiàn)了上行鏈路的備份，極大地提升了接入側(cè)設(shè)備的可靠性。S5700支持多種連接故障快速檢測(cè)功能。S5700支持完善的以太OAM（IEEE802.3ah/802.1ag/ITUY.1731）和BFD功能。S5700-HI更能提供硬件級(jí)3.3ms高精度以太OAM和10msBFD檢測(cè)。?多樣的安全控制S5700支持MAC地址認(rèn)證和802.1X認(rèn)證，實(shí)現(xiàn)用戶(hù)策略（VLAN、QoS、ACL）的動(dòng)態(tài)下發(fā)。S5700支持完善的DoS類(lèi)防攻擊、用戶(hù)類(lèi)防攻擊。其中，DoS類(lèi)防攻擊主要針對(duì)交換機(jī)本身的攻擊，包括SYNFlood、Land、Smurf、ICMPFlood；用戶(hù)類(lèi)防攻擊涉及DHCP服務(wù)器仿冒攻擊、IP/MAC欺騙、DHCPrequestflood、改變DHCPCHADDR值等等。S5700通過(guò)建立和維護(hù)DHCPSnooping綁定表偵聽(tīng)接入用戶(hù)的IP/MAC地址、租用期、VLAN-ID、接口等信息，解決DHCP用戶(hù)的IP和端口跟蹤定位問(wèn)題。利用DHCPSnooping的信任端口特性，S5700還可以保證DHCP服務(wù)器的合法性。S5700通過(guò)建立和維護(hù)DHCPSnooping綁定表，對(duì)不符合綁定表項(xiàng)的非法報(bào)文直接丟棄。利用DHCPSnooping的信任端口特性，S5700還可以保證DHCP服務(wù)器的合法性。?業(yè)界首創(chuàng)的蓄電池內(nèi)置S5700-LI-BAT是業(yè)界首創(chuàng)的電池交換機(jī)，支持內(nèi)置的鋰電池作為備用電源，適用于網(wǎng)絡(luò)接入層頻繁斷電的應(yīng)用場(chǎng)景。其主要優(yōu)點(diǎn)體現(xiàn)在：>市電斷電自動(dòng)切換到蓄電池供電，保證業(yè)務(wù)不中斷電池交換機(jī)內(nèi)置蓄電池，集成度高，節(jié)省空間，安裝方便>智能電源管理，電池續(xù)航時(shí)間長(zhǎng)全網(wǎng)電池交換機(jī)統(tǒng)一可視化管理，方便運(yùn)維，電池壽命可預(yù)測(cè)，無(wú)須整網(wǎng)定期更換電池，節(jié)省成本電池可靠性高，支持電池保護(hù)和告警功能，超過(guò)工作溫度進(jìn)行過(guò)溫保護(hù)高密接入帶寬倍增的CSFPCSFP交換機(jī)支持下行端口CSFP功能，每個(gè)下行端口插入一個(gè)CSFPGE光模塊和一對(duì)光纖實(shí)現(xiàn)單纖雙向2GE的帶寬，是普通SFP光模塊帶寬的兩倍，下行24個(gè)CSFP端口可實(shí)現(xiàn)帶寬48GE，實(shí)現(xiàn)了相當(dāng)于48個(gè)普通SFP端口的高密接入，節(jié)省了鋪設(shè)光纖的成本和新增光模塊的成本。方便的單面運(yùn)維電源端口前置的款型可以滿(mǎn)足300mm深的機(jī)柜放置，整臺(tái)設(shè)備可以前面板單面維護(hù)，簡(jiǎn)化了運(yùn)維，而且機(jī)柜的擺放更加靈活，可以靈活選擇機(jī)柜靠墻放置或者機(jī)柜背靠背放置，滿(mǎn)足客戶(hù)機(jī)柜深度小、機(jī)房空間有限的需求，并為客戶(hù)節(jié)省空間。安全接入網(wǎng)關(guān)■產(chǎn)品介紹表3-1安全接入網(wǎng)關(guān)USG9500云數(shù)居中心安全網(wǎng)關(guān)為解決云數(shù)據(jù)中心大型企業(yè)、教育、政府等網(wǎng)絡(luò)的安全問(wèn)題而自主研發(fā)的高性能統(tǒng)一安全網(wǎng)關(guān)產(chǎn)品。USG9500系列云數(shù)據(jù)中心安全網(wǎng)關(guān)USG9000系列產(chǎn)品是華為技術(shù)有限公司為解決云數(shù)據(jù)中心、大型企業(yè)、教育、政府等網(wǎng)絡(luò)的安全問(wèn)題而自主研發(fā)的統(tǒng)一安全網(wǎng)關(guān)。USG9500基于業(yè)界領(lǐng)先的“NP+多核+分布式”架構(gòu)，融合了NAT、VPN、IPS、Anti-DDoS等行業(yè)領(lǐng)先的專(zhuān)業(yè)安全技術(shù)，通過(guò)將交換、路由、安全服務(wù)整合到統(tǒng)一的設(shè)備中，提供給用戶(hù)高性能保證、全面的虛擬化安全防護(hù)、超千種應(yīng)用識(shí)別。USG9500在大型數(shù)據(jù)中心、大型企業(yè)、教育、政府、廣電等行業(yè)和典型場(chǎng)景得到廣泛應(yīng)用。USG9500系列云數(shù)據(jù)中心安全網(wǎng)關(guān)USG6000下一代防火墻在移動(dòng)化，社交化和云化的IT新環(huán)境，通過(guò)ACTUAL全局環(huán)境感知能力，重塑企業(yè)網(wǎng)絡(luò)邊界安全。USG6300系列下一代防火墻面向SOHO企業(yè)、連鎖機(jī)構(gòu)、營(yíng)業(yè)網(wǎng)點(diǎn)、中小企業(yè)、企業(yè)的分支機(jī)構(gòu)，提供高性能，全方位的下一代安全防護(hù)。該系列產(chǎn)品集防火墻、IPS、AV、VPN、上網(wǎng)行為管理等功能于一體，提供安全、靈活、便捷的一體化組網(wǎng)和接入解決方案。USG6500系列下一代防火墻集防火墻、IPS、AV、VPN、上網(wǎng)行為管理和強(qiáng)大的路由功能于一體，提供安全、靈活、便捷的一體化組網(wǎng)和接入解決方案。為大中型企業(yè)及分支機(jī)構(gòu)、連鎖營(yíng)業(yè)網(wǎng)點(diǎn)、中小企業(yè)，提供高性能、全方位的下一代安全防護(hù)。USG6600系列下一代防火墻企業(yè)網(wǎng)絡(luò)正向以移動(dòng)寬帶、大數(shù)據(jù)、社交化和云服務(wù)為核心的下一代網(wǎng)絡(luò)演進(jìn)。移動(dòng)APP、Web2.0、社交網(wǎng)絡(luò)讓企業(yè)處于開(kāi)放的網(wǎng)絡(luò)環(huán)境，攻擊者通過(guò)身份仿冒、網(wǎng)站掛馬、惡意軟件、僵尸網(wǎng)絡(luò)等多種方式進(jìn)行網(wǎng)絡(luò)滲透，企業(yè)面臨前所未有的安全風(fēng)險(xiǎn)，傳統(tǒng)防火墻面對(duì)變革卻無(wú)能為力。華為SecospaceUSG6600系列下一代防火墻應(yīng)需而生，面向下一代網(wǎng)絡(luò)環(huán)境，基于“ACTUAL”感知，實(shí)現(xiàn)安全管理自我優(yōu)化，通過(guò)云技術(shù)識(shí)別未知威脅，高性能地為大型企業(yè)、數(shù)據(jù)中心提供以應(yīng)用層威脅防護(hù)為核心的下一代網(wǎng)絡(luò)安全。USG2000&5000統(tǒng)一安全網(wǎng)關(guān)為解決政府、企業(yè)、數(shù)據(jù)中心等機(jī)構(gòu)的網(wǎng)絡(luò)安全問(wèn)題，而自主研發(fā)的統(tǒng)一安全網(wǎng)關(guān)，基于業(yè)界領(lǐng)先的軟、硬件體系架構(gòu)，為用戶(hù)提供強(qiáng)大、可擴(kuò)展、持續(xù)的安全能力。USG2000HSR多功能安全網(wǎng)關(guān)華為USG2000HSR系列多業(yè)務(wù)安全網(wǎng)關(guān)，是面向中小型用戶(hù)、大中型用戶(hù)的分支機(jī)構(gòu)提供多種接入解決方案與安全防御的新一代網(wǎng)關(guān)產(chǎn)品。USG2000HSR系列為用戶(hù)提供完整的接入解決方案提供多種WAN接口，包括E1/CE1/Serial/ADSL/G.SHDSL;支持全無(wú)線(xiàn)組網(wǎng)802.11a/b/g/n全制式的Wi-Fi下行，支持3G上行?；跇I(yè)界領(lǐng)先的軟、硬件體系架構(gòu)，融合了IPS、AV、URL過(guò)濾、應(yīng)用程序控制、郵件過(guò)濾等行業(yè)領(lǐng)先的專(zhuān)業(yè)安全技術(shù)，為用戶(hù)提供強(qiáng)大、可擴(kuò)展、持續(xù)的安全能力。網(wǎng)絡(luò)解決方案技術(shù)建議書(shū)3網(wǎng)絡(luò)解決方案技術(shù)建議書(shū)3設(shè)備推薦USG5500系列產(chǎn)品是華為公司面向大中型企業(yè)機(jī)構(gòu)和數(shù)據(jù)USG5500系列產(chǎn)品是華為公司面向大中型企業(yè)機(jī)構(gòu)和數(shù)據(jù)中心設(shè)計(jì)的新一代防火墻/UTM（UnitedThreatManagement，統(tǒng)一威脅管理）設(shè)備。USG5500基于業(yè)界領(lǐng)先的軟、硬件體系架構(gòu)，基于用戶(hù)的安全策略融合了傳統(tǒng)防火墻、VPN、入侵檢測(cè)、防病毒、URL過(guò)濾、應(yīng)用程序控制、USG5100HSR多功能安全網(wǎng)關(guān)USG2110系列防火墻/UTM產(chǎn)品USG2000系列防火墻/UTM產(chǎn)品USG5100系列防火墻/UTM產(chǎn)品USG5500系列防火墻/UTM產(chǎn)品華為USG5100HSR系列是面向大中型用戶(hù)的千兆級(jí)多業(yè)務(wù)安全網(wǎng)關(guān)，是供高密度的交換接入，最大支持88個(gè)千兆接口?；跇I(yè)界領(lǐng)先的軟、硬件體系架構(gòu)，融合了IPS、AV、URL過(guò)濾、應(yīng)用程序控制、郵件過(guò)濾等行業(yè)領(lǐng)先的專(zhuān)業(yè)安全技術(shù)，為用戶(hù)提供強(qiáng)大、可擴(kuò)展、持續(xù)的安全能力。在政府、金融、電力、電信、石油、教育、工業(yè)制造等行業(yè)得到廣泛應(yīng)用。USG2110系列是專(zhuān)門(mén)面向中小企業(yè)、連鎖機(jī)構(gòu)、營(yíng)業(yè)網(wǎng)點(diǎn)、SOHO企業(yè)推出的網(wǎng)絡(luò)互聯(lián)設(shè)備。該系列產(chǎn)品集防火墻、UTM、VPN、路由、無(wú)線(xiàn)（WIFI/3G）功能于一體，能夠?qū)⒍喾N業(yè)務(wù)部署在同一節(jié)點(diǎn)，在充分節(jié)約用戶(hù)投資的情況下提供安全、靈活、便捷的一體化組網(wǎng)和接入解決方案，有效降低運(yùn)維成本。USG2000系列產(chǎn)品是華為公司面向中小型企業(yè)/分支機(jī)構(gòu)設(shè)計(jì)的新一代防火墻/UTM（UnitedThreatManagement，統(tǒng)一威脅管理）設(shè)備。USG2000基于業(yè)界領(lǐng)先的軟、硬件體系架構(gòu)，基于用戶(hù)的安全策略融合了傳統(tǒng)防火墻、VPN、入侵檢測(cè)、防病毒、URL過(guò)濾、應(yīng)用程序控制、郵件過(guò)濾等行業(yè)領(lǐng)先的專(zhuān)業(yè)安全技術(shù)，可精細(xì)化管理1200余種網(wǎng)絡(luò)應(yīng)用，全面支持IPv6協(xié)議，為用戶(hù)提供強(qiáng)大、可擴(kuò)展、持續(xù)的安全能力。在政府、金融、電力、電信、石油、教育、工業(yè)制造等行業(yè)得到廣泛應(yīng)用。USG2000系列產(chǎn)品包括：USG2130,USG2160,USG2210，USG2210E，USG2220，USG2220E，USG2230，USG2230E，USG2250，USG2250E等十個(gè)型號(hào)產(chǎn)品。均為模塊化設(shè)備，提供多個(gè)擴(kuò)展槽，支持多種I/O模塊選配。USG5100系列產(chǎn)品是華為公司面向大中型企業(yè)和機(jī)構(gòu)設(shè)計(jì)的新一代防火墻/UTM（UnitedThreatManagement，統(tǒng)一威脅管理）設(shè)備。USG5100基于業(yè)界領(lǐng)先的軟、硬件體系架構(gòu)，基于用戶(hù)的安全策略融合了傳統(tǒng)防火墻、VPN、入侵檢測(cè)、防病毒、URL過(guò)濾，應(yīng)用程序控制，郵件過(guò)濾等行業(yè)領(lǐng)先的專(zhuān)業(yè)安全技術(shù)，可精細(xì)化管理1200余種網(wǎng)絡(luò)應(yīng)用，全面支持IPv6協(xié)議，為用戶(hù)提供強(qiáng)大、可擴(kuò)展、持續(xù)的安全能力。在政府、金融、電力、電信、石油、教育、工業(yè)制造等行業(yè)得到廣泛應(yīng)用。USG5100系列產(chǎn)品包括:USG5120JJSG5150J