集团设计研发大厦网络系统设计方案.docx

《集团设计研发大厦网络系统设计方案.docx》由会员分享，可在线阅读，更多相关《集团设计研发大厦网络系统设计方案.docx（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中冶建工集团设计研发大厦建设工程计算机网络系统设计方案V3.02012年7月4日目录o 1-3 h z u接入层：网络的第一级接入，实现二、三层接入、广播风暴抑制、边界端口、接入安全认证、链路捆绑、汇聚层：汇聚来自配线间的流量和执行策略，可作为第一跳网关、路由汇 总、负载均衡、快速收敛、保护核心接入数量核心层：网络骨干，高速数据交换、容量大、可靠性高，快速收敛、网络 易扩展。 核心层本工程中，使用两台华为S9303交换机作为大楼办公网络的核心设备，提 供接入设备的汇聚，和数据的高速转发。两台大楼核心S9303使用千兆以太网互联（两条千兆光纤组成）；两台大楼核心S9303分别通过一条千兆光纤及两

2、台1620形成口字型连接；两台大楼核心S9303通过千兆光纤及楼层接入设备形成交叉互联。汇聚层：汇聚层设备放置于3层计算机网络主机房的各子公司机柜内，由于每个子 公司需要放置2台汇聚交换机，为了节约到的光纤链路数量，我们采用交换机 堆叠技术，这样内的所有交换机可以看成一台交换机。由于核心到汇聚到接 入，我们全程采用光纤链路实现千兆骨干连接，所有设备选择华为5700系列 交换机，每台最大支持24口光纤接口。同时最大支持9台设备的堆叠配置，任 一设备问题，不影响整体堆叠组的正常运行。我们采用菊花链式堆叠，背板 带宽可达12,能够满足数据包的快速转发。每个堆叠组双光纤链路上连，实 现链路层的冗余。接

3、入层:接入层设备放置于每个最终用户现场，用户终端可以是、机等。在接入 层设备上，我们推荐采用华为S2700或S5700交换机，通过端口划分到不同的 应用。集团公司接入层交换机通过千兆光纤接口直接及2台核心设备交叉连 接；子公司接入层交换机通过千兆光纤接口直接连接各自的2台及汇聚层设备通过上述双链路连接方式，保证了接入层交换机到汇聚层核心层设备的 线路冗余；从而提高整个网络系统的稳定性和高可用性，可完全防止线路的 单点故障。三楼计算机网络中心部署网络管理服务器，通过管理软件实现对整个交换机、防火墙产品的监 控。无线网络通过华为6303无线控制器，实现对的整体接入控制管理。设计带宽设计研发大厦办公

4、网络为全千兆交换网，即汇聚层、接入层均为千兆带 宽。培训楼为千兆主干，百兆到桌面，即接入交换机上联千兆，接入百兆。和规划在研发楼网络中，楼层接入层为双线3上联的构架，综合考虑了的设计； 楼层交换机做互联。及网段规划结合大楼整体构架，我们采用以楼层为单位，针对业务划分多个，分隔 广播域。地址的分配以为单位，划分不同的地址段。保证规划的清晰可行。地址的整体划分是网络工程设计中的重要环节，网络必须对地址进行统一 规划并得到有效实施。地址划分的好坏，影响到网络路由协议算法的效率， 影响到网络的扩展，影响到网络的管理，也必将影响到网络应用的进一步发 展。按照地址划分原那么，研发楼分配20个C类网段用于办

5、公网络，地址可设 为 192. 168. 101192. 168. 120/24； 192. 168. 120. 0/24 作为互联地址以及管理 地址。最终的地址分配将根据甲方要求，由设备厂家网络调试人员做合理规划 配置。网管协议网管协议默认的认证字符串是。如果保持其默认配置，带来较大风险。网 络设备上线前务必首先更改为安全的认证字符串。根据研发大楼的需求，全网网络设备启用版本3代理，为网管设备提供丰 富的管理信息。推荐研发大楼全网设备均使用的只读模式。如果计划使用简单网管协议用 于读写模式，务必很好地考虑使用此模式的风险，在这种模式下，错误的配 置可能使路由器具有很大的安全隐患。访问控制列表

6、限制对设备的访问，明确哪些网段可以通过指定值访问本机 的，防止网络外的非法用户通过对网络进行探测。协议在局域网内，终端用户都设置一条相同的以网关为下一跳的缺省路由。主 机发往其他网段的报文将通过缺省路由发往网关，再由网关进行转发，从而 实现主机及外部网络的通信。当网关发生故障时，本网段内所有以网关为缺 省路由的主机及外部网络的通信将中断。为了防止网络中断，可以通过在主 机上设置多个网关，但是一般主机只允许设置一个默认网关，此时需要管理 员手动添加。这样大大增加了网络管理的复杂度。为了更好的解决上述网络 中断的问题，协议开发者提出了（，虚拟路由器冗余协议），一种便于管 理的、实现网络一个网关故障

7、时，保证用户快速、不间断、透明地切换到另 一个网关的协议。协议具体内容在2338中定义，为业界通用标准。其他厂商的私有协议有 类似的做法，比方的私有协议（，热备份路由协议）。协议（）也称为多生成树协议，在802. 1s中定义。及（）和（）相 比，主要引入了 “实例（）”的概念。是基于端口的，而那么是基于实例的。 所谓的“实例”是指多个对应的一个集合，把一台设备的一个或多个划分为 一个，有着相同配置的设备就组成一个域（），运行独立的生成树（这个内 部的生成树称为，）；这个组合就相当于一个大的设备整体，及其他再进 行生成树算法运算，得出一个整体的生成树，称为（）。实例。具有特殊的 作用，称为，即公

8、共及内部生成树，其他实例那么称为，即多生成树实例。双核心应用方案+双核心应用方案，网络扩容，维护方便，用户网关和物理链路的双备份, 提高了网络系统的可用性。和其他提高网络可用性的方案相比，该方案可以 使用较少的客户投资，获得较高的客户收益。同时，在这个方案的基础上,客户可以组合我司产品提高系统可用性的其他技术，比方管理板热备份，获 得更高的系统可用性。拓扑说明：(1)生成树：用户为101 110为1,根桥在S9306A上，111T20为2,根桥 在 S9306B 上。(2) 101710的地址的在S9306A上， U1T200的的地址的在S9306B上。的产 生通过两种方法：一种通过设置接口的

9、地址和组的网关地址一致，在这种情 况下，设置成和组的网关地址相同的接口地址优先级为最高255,自动成为， 比方组26就是这种情况。另一种是通过设置接口优先级，高优先级选举为， 比方组31就是这种情况。同时将通告时间设置为10秒。4.3 路由设计本工程网络涉及的路由协议包括重庆研发大楼的内部协议对于核心网络的选择，通常有收敛速度快、性能优秀、网络开销小的要求, 符合要求的有、等。由于协议是开放、标准的协议，在涉及到多方产品互联 的网络环境下，是常见的选择。本工程研发楼内部核心路由协议采用路由协 议，其中在两台S9303和防火墙组成的口字型网格中实现0。遵循多线路接入、多单位使用的设计原那么，由施

10、工方或厂商按照办公大楼 各个公司使用需求进行设置。4.4 网络管理鉴于研发楼的整体网络结构的复杂程度，需耍提供有效的手段来管理整个 网络设备。是华为企业业务企业数通产品线面向企业市场推出的新一代统一网络运 维解决方案，遵循规范，实现对企业资源、业务以及用户的统一管理，为企 业和合作伙伴提供融合、开放的运维平台。在业界也有广泛好评，因此我们 决定选用作为网络的管理软件。产品概述：有线无线设备一体化管理：华为解决方案，可以对网络中的、路由器、交换机、防火墙进行统一管 理和监控，并支持设备的自动发现和拓扑构成。支持拓扑图中网络分层视图。 在视图中，设备的告警由不同的颜色进行标识，当设备产生告警时，拓

11、扑上 的告警冒泡图标以不同的颜色区别不同级别的告警来提示用户进行干预。在 提供基本的物理拓扑视图、业务拓扑视图、告警、报表等的同时还提供设备 位置视图、干扰源定位和排障、无线业务质量评估，快速恢复等维护手段， 有效降低用户维护本钱。4.4.1 简单高效的快速业务部署随着无线应用的增加，常常需要快速开通无线网络以支撑企业业务开展。 华为解决方案提供向导式的业务部署配置工具以及提供基于规划表单导入方 式，提高部署效率，使用管理组件，可以将部署时间从数天级降低到分钟级, 帮助企业客户快速开通业务，为顾客提供更好的服务。通过配置向导，大大简化配置过程位置视图：设备对于干扰和建筑物中合理部署要求较高，客

12、户可通过位置 拓扑图查看当前热点位置及射频信号覆盖范围，并在视图上标识当前非法位置及冲突域。通过虚拟的仿真网络环境来进行日常维护和排障，了解信号强 弱，实时调整。使日常维护和排障更加迅速。4.4.2 所见即所得的物理拓扑支持网络拓扑自动发现,通过拓扑叠加技术实现二三层拓扑和链路统一管 理，在一张平面拓扑图呈现基于协议发现的三层链路和基于协议发现的二层 链路。所见即所得的物理拓扑呈现效果超越一张绘制的网络拓扑，并根据网 络调整动态呈现。通过网络拓扑图，你可以快速掌握以下信息：网络状态：网络当前状态是否良好；网络间的连接关系：设备是怎么连接的，快速定位网络连接问题；统一的资源管理在网络级日常维护中

13、我们首先会关注网络中可能的异常，如哪些设备负载 过高？哪些告警最经常发生？哪些链路流量过大？能够统一监控网络中的 华为、思科、华三等不同厂商的设备，其特有的技术支持用户灵活呈现最关 注的管理信息，对网络各种事件一目了然。4.4.3 建议监控参数.防火墙利用率常驻进程内存利用率 并发会话数 每秒新建连接数 温度 状态 告警信息 端口流量2.交换机 利用率 常驻进程 内存利用率 线卡模块工作状态 引擎主备状态 温度 状态 告警信息 端口状态 主要端口流量 状态 路由表 动态路由邻居关系网络故障及应急方案在本网络工程中，可能出现的灾难故障主要有两类，即设备故障和链路故 障，以下分别对这两类情况进行说

14、明。设备故障。设备故障是指发生网络设备无法正常转发网络流量的情况。下 表详细的列出了网络故障点及其对系统运行的影响分析，并提供了容灾恢复方案。设备故障故障点造成的影响容灾恢复方案核心交换机电源故障采用冗余电源，无影响核心层交换机故障会造成跨区域调用数据 的用户短暂的中断（小 于1S）对故障交换机进行检修，重新连入网络接入层交换机故障连接到故障交换机的数据不可用备件顶替链路故障。链路故障指网络中的光纤连接由于意外中断的情况发生。设备故障故障点造成的影响容灾恢复方案核心互联光纤中断一根采用了冗余连接，无影响恢复光纤连接核心到接入交换机光纤中断采用多线路冗余和动态路由协议，无影响恢复光纤连接4.4.

15、5 网络系统可靠性设计网络作为各种业务的重要承载网络，对其可靠性提出了很高的要求。可以 说一旦网络出现中断，将会使整个网络瘫痪，引起严重的后果。网络的可靠 性包括组网设备可靠性、网络拓扑组网结构可靠性、网络链路可靠性。4.4.6 网络节点的可靠性网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。耍保证 网络系统的可靠性，选用具备电信级可靠性的网络设备进行组网，才能使网 络具有自动恢复能力、降低人工维护工作，到达电信级的可靠运行。为实现设备的可靠性，考虑了如下内容：/网络中的关键设备，如核心交换机、汇聚交换机具备电信级可靠性。/可靠性指标必须到达99. 999%；/网络核心设备采用全分布

16、式体系结构，路由及转发别离；,所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热 插拔；/网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响 业务转发，不丢包。对于本次方案设计中，我们从安全、可靠的角度出发，在核心层都采用冗 余电源的设计，核心交换机、接入交换机具备电信级可靠性第一章工程背景中冶建工集 团设计研发大厦 位于重庆市大渡 口区建桥工、|园 A区，总用地面积 24990肝，总建筑 面积80107. 1平 方米，主体工程 包括一幢集工程 设计、技术研发、 总部办公和配套 设施四大功能为 一体的总部大 厦，共23层，100米高，附属建筑包括会议中心、餐厅等；其他工程包

17、括培训 中心（附属生活服务设施）、健身中心、停车场、食堂等。第二章设计原那么中冶设计研发大厦网络系统平台的设计将会遵循以下的原那么:链路可靠性网络系统楼层接入层到核心层之间布防了 2根6芯多模光缆，为接入层到 核心层之间的冗余链路提供了足够的光纤链路。第五章无线部署方案5.1 室内传播模型无线局域网室内覆盖的主要特点是：覆盖范围较小，环境变动较大。一 般情况下我们选取以下两种适用于的模型进行分析由于室内无线环境千差 万别，在规划中需根据实际情况选择参考模型及模型系数。(1)模型模型又称线性路径衰减模型，公式如下：()为室内路径损耗=其中，明妙为自由空间损耗=32 4.2叫办佗20收印时d：传播

18、路径；f：电波频率；a：模型系数(2)衰减因子模型就电波空间传播损耗来说，2. 4频段的电磁波有近似的路径传播损耗。公 式为：()=46 +10* n* D (m)其中，D为传播路径，n为衰减因子。针对不同的无线环境，衰减因子n的 取值有所不同。在自由空间中，路径衰减及距离的平方成正比，即衰减因子 为2。在建筑物内，距离对路径损耗的影响将明显大于自由空间。一般来说, 对于全开放环境下n的取值为2.。2. 5；对于半开放环境下n的取值为2. 5 3.0；对于较封闭环境下n的取值为3.03. 5。典型路径传播损耗理论计算值 如表1。5.2 信号链路损耗计算根据模型，室内路径损耗等于自由空间损耗加上

19、附加损耗因子，且随距 离成指数增长。接收电平估算公式如下：其中：口为最小接收电平，即为在不同传输速率下的接收灵敏度；口为最大发射功率；口为发射天线增益；口为接收天线增益；口为路径损耗；我们可以对信号极限传播距离作如下理论计算：假设天线发射和接收增益为零，发射功率为16. 2时，理论室内传播最大 距离如表2所示。5.3 信号穿透损耗现阶段可提供的2. 4电磁波对于各种建筑材质的穿透损耗的经验值如下: 隔墙的阻挡（砖墙厚度100300） ： 20-40；楼层的阻挡：30以上; 木制家具、门和其他木板隔墙阻挡2-15；厚玻璃(12) ： 10 (2450)另外，在衡量墙壁等对于信号的穿透损耗时，需考

20、虑信号入射角度。一 面0.5米厚的墙壁，当信号和覆盖区域之间直线连接呈45度角入射时，相当于 1米厚的墙壁；在2度角时相当于超过14米厚的墙壁。所以要获取更好的接收 效果应尽量使信号能够垂直穿过(90度角)墙壁或天花板。5.4 室内覆盖规划在规划网络时，首先考虑到的是满足跟无线网卡信号的交互，以及用户 可有效地接入网络，因此如何保证无线信号覆盖范围是选点必须要考虑的因 素。由于工作频段较高，灵敏度低(及移动基站/手机相比)，信号反射和绕 射损耗较大，有几种不同的室内覆盖方案，可供规划人员跟据现场实际情况 进行选择参考。在设计之前一定要进行现场勘测，现场勘测主要了解以下几点： 了解覆盖区域的面积

21、，信号覆盖质量要求，不同的地点有不同的覆盖要 求。 考察覆盖区域的现有信号分布情况，了解信号的盲点、热点和信号碰撞 区域；考察覆盖区域建筑物的构成，对信号的阻挡情况； 信号的接入位置及方式；考察设备可以安装的位置。5.5 安装要求1、覆盖点勘查在进行设计、施工之前，必须对室内覆盖系统的站点进行必要的勘查， 并且记录如下信息： 建筑物的总体构造及室内空间分布情况。 室内各种墙、隔断等的材料、厚度等情况。 可能安装设备的位置。 可能布线的路径。 终端用户的分布。 天线的安装位置。2、天线安装位置选择堪点过程中最重要的一点就是确定天线的安装位置，它应该尽量符合以 下原那么： 尽量靠近需要覆盖的目标区

22、域和人群，比方办公区域，保证良好的覆盖 效果。 尽量安装在比拟开阔的地点，保证天线的覆盖效率。 天线在目标区域内比拟均匀的分布。考虑到空间损耗和系统特征，设计一个天线的覆盖距离时，如果需要达 到11的传输速率，可以参考以下原那么： 开阔空间内，设计覆盖距离尽量不要超过30m。 如果天线目标区域之间有20左右薄墙阻隔时，设计覆盖距离尽量不要超 过 2 0m。 如果天线及目标区域之间有较多高于1.5m的家具等阻隔时，设计覆盖距 离尽量不要超过20%如果天线安装在长走廊的一端，设计覆盖距离尽量不要超过20m。 如果天线及目标区域之间有一个拐角时，设计覆盖距离尽量不耍超过 15m。 如果天线及目标区域

23、之间有多个拐角时，设计覆盖距离尽量不要超过 lOlDo5.6方案设计内容重庆研发楼为地下三楼到二十三楼,根据以下计算依据,设置无线点信号链路损耗计算信号穿透损耗研发大厦无线网络系统配置如下：（1）研发大厦一层至五层属于集团公共区域，每层放置4个,所有汇聚接入 位于三层弱电间机柜内的24 口供电交换机；（2）研发大厦六层至八层属于集团房地产公司，每层放置4个,所有汇聚接入位于七层弱电间机柜内的2 4 口供电交换机;（3）研发大厦九层至十一层属于集团设计院，每层放置4个,所有汇聚接入位于十层弱电间机柜内的24 口供电交换机；（4）研发大厦十七层至二十层属于集团办公区域，每层放置4个,所有汇聚 接入

24、位于十八层弱电间机柜内的24 口供电交换机；（5）研发大厦二十一层至二十三层属于集团办公区域，每层放置4个,所有 汇聚接入位于二十二层弱电间机柜内的24 口供电交换机；（6）无线均使用外形美观且支持供电模式瘦，所有通过主机房无线控制器 做统一配置和管理。第六章产品选型6.1 核心交换机S9300系列交换机提供大容量、高密度、模块化体系架构，提供二、三层 线速转发能力，具有强大的路由功能，同时支持分布式的线速转发、完善的 保障、有效的安全管理机制和电信级高可靠设计，满足用户对多业务、高可 靠、大容量的需求，可广泛应用于城域网、大型园区网的交换核心和汇聚中 心。产品概述：S9300系列核心路由交换

25、机（以下简称S9300）是基于新一代的硬件和华 为公司统一的（）平台而推出的下一代以太网汇聚交换机，提供超大容量、 高密度、模块化体系架构，提供二、三层线速转发能力，具有强大组播功能, 交换功能，接口，完善的保障、有效的安全管理机制和传输级高可靠设计， 满足城域接入网、企业园区网对.业务承载和全光接入的组网需求，为运营商 和企业网提供强大的网络交换和业务运营能力，支持专线、6等多种服务。S9300系列包括S9303、S9306、S9312三款产品形态，均采用前维护设计。 三款产品除了外形尺寸、线卡数目、交换容量等指标不同外，其他特性均保 持一致。全业务汇聚平台，实现业务统一承载S9300支持高

26、密度的接口，能实现汇聚和的统一接入，满足全光接入的需 求；分布式L23功能，支持、，支持、 功能，满足大客户专线、企 业等高端用户的接入需求；线速的跨组播复制能力，实现端口的满负荷复制, 满足大容量的用户接入需求；完善的二、三层组播协议，支持， 可作为组播复制点和控制点。绿色环保节能，降低设备功耗S9300基于绿色环保理念设计，采用左后风道散热，整机出线能力提高6 倍；智能风扇分区调速，可根据单板数量和功耗，灵活调整风扇转速，降低 噪声和整机功耗，提高风扇使用寿命；支持智能供电技术，根据负荷调整芯 片工作状态，并支持闲置部件的休眠能力，有效降低整机平均功耗；支持小 颗粒模块化电源设计，减少用户

27、初期投资，降低设备功耗。传输级高可靠性，提升网络质量S9300所有核心部件均采用冗余设计，主控模块支持1+1的工作模式，集中 监控模块支持1:1的备份工作模式，4个电源模块支持2+2的负荷分担工作模 式，风扇模块使用双层备份方案，支持单风扇失效（单风扇出现故障情况下, 系统仍可保持正常运行）。S9300支持完善的电信级可靠性技术，适合各种复杂网络环境。支持环网 保护倒换和多实例功能，不仅提供环形拓扑的毫秒级保护，还可实现主备链 路的负载分担，提高链路利用率；支持主备链路保护倒换和多实例功能， 不仅提供树形拓扑的毫秒级保护，还可实现主备链路的负载分担，提高链路 利用率。S9300支持硬件级、，实

28、现快速故障定位和保护倒换，到达传输级可 靠性，提升网络质量，满足用户关键业务的可靠性需求。超大容量交换平台，弹性可扩展硬件架构作为新一代的路由交换平台，S9300单槽位支持12X10线速线卡，最大可 以支持4. 8T的背板容量和2T的交换能力，设备包交换能力可以到达864,更好 地满足等大带宽业务和机房的接入需求。S9300系列交换机交换容量可以扩展到3. 84T,单槽位可扩展支持240G线速 能力，后续具备提供24个10接口或者2个100接口的能力，不仅满足现有业务, 还充分考虑未来35年的带宽需求，提供带宽平滑扩展能力。层次化，满足多业务/多用户的需求S9300支持基于端口、和的流量整形功

29、能，提供基于用户、业务的层次化 调度，有效提高等重要业务的质量，保障高优先级用户的使用体验。S9300支持双速三色和单速双色标记器，层次化的流量监管，提供基于用 户组的流量监控以及组内用户间的带宽统计复用，从而提供更精细的带宽管 理；支持、等调度算法，解决和模式下不同业务的服务质量问题。灵活的交换功能，丰富的二三层业务特性S9300支持、增强型灵活，不仅可以通过内层添加外层，还可以根据丰富 的流分类策略，包括地址、协议、源地址、目的地址、优先级、端口号、值 等，灵活标记外层，弥补了传统灵活的缺乏，并解决了其组网局限，更好地 满足了城域接入网不同业务分类和分流的建设需求。S9300支持N： 1交

30、换、1： 1交换、2： 2交换、2： 1交换、1： 2交换等 灵活的交换功能，能根据用户需要，灵活地调整标签的映射策略，提供更加 灵活的规划方案。S9300支持、L3、等隧道功能，支撑运营商的管道服务的能力。支持、等环网技术，提供二层组网的可靠性。支持静态路由，12, 2, , 4 等丰富的路由特性，满足不同应用场景的三层接入需求。独立硬件资源，精细化的主机安全控制S9300支持硬件层次化的过载控制功能，采用独立的硬件队列，保障关键 业务的优先转发。即使在网络遭受攻击，设备占用率高的情况下，S9300仍能 保障重要业务和关键报文得到及时处理，从而有效防止、攻击对用户使用体 验的影响。S9300

31、还提供过滤、地址限制、地址绑定等业务安全以及命令行分级保 护、3等设备访问安全控制。网络质量分析，提高可网络运营能力S9300支持（）网络质量分析，通过主动在多个设备之间发送指定设置 数量的协议报文来实现网络性能的度量，统计抖动，时延，丢包率等网络性 能参数，提高网络可运营能力。 6 ,实现网络4向6的平滑迁移S9300支持软硬件的6,支持，3, 6, 4+, , , 6, 6 , 6等单组播6路由协 议，S9300还支持6 4隧道和6 o汇聚交换机汇聚层采用华为核心汇聚交换机构建，根据网络的具体情况和位置，推荐 局部采用华为5700系列交换机。产品概述 层次力：中冶设计研发大厦网络系统平台的

32、设计将会遵循层次化的原 那么，使各个级别的设备及服务均能纳入中冶设计研发大厦整体管理平 台的管理之中。模块化中冶设计研发大厦网络系统平台设计必须实现模块化，各个 功能模块相对独立，只有如此才能最符合中冶设计研发大厦的实际情 况。简单化:网络系统平台设计的简单化直接关系到网络系统平台运行和 维护本钱，也是网络系统平台稳定运行的保障。只有操作简单方便， 才能易于维护，并具备迅速发现和排除故障的能力。高可靠:系统的可靠性是网络系统平台健壮和稳定的重要因素之一， 所以对网络系统平台的高可靠设计必须考虑全面。高可用性:网络系统平台必须能够到达并超过业务系统对服务级别的 要求。通过多层次的冗余设计，以及平

33、台自身的冗余支持，使得整个 网络系统平台能够满足业务系统不间断运行的连接需求，同时也兼顾 本钱。安全性：需要考虑网络系统平台数据的完整和安全。网络系统平台需 要具有支持整套安全体系实施的能力，以确保员工生产、办公安全。统一性:中治设计研发大厦网络系统平台的构造、规划和管理都建立 在“一个整体”的基础之上。整体的设计和建设都是基于对中冶设计 研发大厦的应用、数据流和用户访问的全面理解。5700系列全千兆运营级交换机(以下简称5700),是华为公司为满足业 务的大带宽接入和以太网多业务承载而推出的新一代全千兆运营级以太网交 换机。5700基于新一代高性能硬件和华为公司统一的 ()软件，具备大 容量

34、、高密度千兆端口、高性价比等特性，具备万兆上行，拥有多业务接入 能力和良好的扩展性，支持环型拓扑和树型拓扑等运营级组网技术，可满足 园区网和驻地网的汇聚层、接入层，以及企业千兆到桌面等多种场合的需求, 包转发速率到达96,背板带宽为256G,足够满足集团公司分公司层，和接入 层使用。设计研发大厦子公司汇聚层交换机采用千兆24 口纯光交换机 S5700-28C1-24S；设计研发大厦接入层全部采用千兆24 口或48 口电口交换机S5700-28C52c 产品特点大带宽、高性能5700最大可提供28/52个接口、或2个10接口，充分满足客户对高密度千兆 和万兆上行设备的需求。5700硬件支持二/三

35、层数据包转发能力，所有端口线 速转发。5700能够识别和处理四到七层的应用业务流，能根据不同的业务流 进行不同的管理和控制。强大的多业务支持能力5700支持增强型灵活功能，启动该功能不占用资源。5700能将内层的值映 射到外层，或者修改外层的值，可根据业务需要灵活标记等级，满足多业务 承载的要求。5700支持可控组播，支持等协议。5700支持线速的跨组播复制功能，支 持捆绑端口的组播负载分担，支持基于的组播呼叫接纳控制功能(组播)， 充分满足运营需求。5700支持功能，实现了不同用户在同一台设备的隔离，有效解决用户数据 安全问题，同时降低用户投资本钱。电信级以太网技术及高可靠性5700不仅支持

36、生成树协议，还支持树型()和环型()拓扑等增强型运营 级以太网技术，实现毫秒级链路保护倒换，保证高可靠性的网络质量；止匕外, 5700提供和多实例功能，可实现链路负载分担，进一步提高了链路带宽利用 率。5700运营级以太网技术拥有很强的扩展性和兼容能力，能和现网设备混合 组网，既保护了用户投资，又为新业务的引入提供了有力的保障。5700支持链路快速检测，能为、等协议提供毫秒级检测机制，提高了 网络可靠性。5700支持双电源冗余供电，用户可灵活选择单电源工作模式或者双电源工 作模式，提高了设备可靠性。完备的策略和安全机制5700能基于五元组、优先级、协议类型、类型、源端口、以太网帧 协议类型、等

37、信息，实现复杂流分流功能。5700支持基于流的双速三色限速 功能，每端口支持8个优先级队列，支持、+、多种队列调度算法，有效 地保证话音、视频和数据等网络业务质量。5700提供多种用户安全保护功能，支持大表项，支持、端口的组合绑定, 支持 地址黑洞、端口隔离、包过滤、地址学习数目限制、动态检测、 等安 全技术，支持、认证、802. IX认证、，为网络穿上坚实的保护衣。完善的维护和管理性5700易于使用和部署,支持丰富的以太特性(802.3和802. 1)和多种维护 管理模式。5700支持、2.0、多日志主机，基于端口的流量统计，多 种配置管理和系统支撑等。5700完善的操作维护功能，让运营商轻

38、松管理网 络，从而降低运维费用。6.2 接入交换机根据中冶设计研发大厦培训中心网络的特点以及要求，培训中心接入层网 络选择 S2700系列运营级接入交换机。该交换机基于新一代高性能硬件和华 为公司统一的()软件，可为用户提供丰富灵活的业务特性，有效地提高 产品可运营、可管理和业务扩展能力，具备优异的防雷能力和安全特性，支 持强大的功能，支持，支持1： 1和N： 1交换功能，满足灵活部署的需求。6.3 安全网关1620系列产品是深信服公司推出的新一代统一安全网关，该防火墙是面 向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力， 能够全面替代传统防火墙，并具有强劲应用层处理能力的全

39、新网络安全设备。 解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大 缺乏，同时开启所有功能后性能不会大幅下降。不但可以提供基础网络安全功能，如状态检测、抗、等；还实现了统 一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检 测和防护，如应用扫描、漏洞利用、入侵、非法访问、蠕虫病毒、带宽滥用、 恶意代码等。可以为不同规模的行业用户的数据中心、广域网边界、互联网 边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。精细的应用层安全控制当前网络环境中，应用已成为网络的主要载体，而网络安全的威胁更多的 来源于应用层，这也使得用户对于网络访问控制提出更高的要求

40、。如何精确 的识别出用户和应用、阻断有安全隐患的应用、保证合法应用正常使用、防 止端口盗用等问题，已成为现阶段用户对网络安全关注的焦点。但不等于用 户、端口不等于应用，传统防火墙基于端口的五元组访问控制策略已不能有 效的应对现阶段网络环境的巨大变化。采用独创的应用可视化技术，可以根据应用的行为和特征实现对应用的识 别和控制，而不仅仅依赖于端口或协议，摆脱了传统设备只能通过地址来控 制的尴尬，即使加密过的数据流也能应付自如。目前，可以识别700多种应用及其1000多种应用动作，还可以及多种认 证系统（、等）、应用系统（3、等）无缝对接，自动识别出网络当中地址 对应的用户信息，并建立组织的用户分组

41、结构；既满足了普通互联网边界行 为管控的要求，同时满足了在内网数据中心和广域网边界的部署要求，可以 识别和控制丰富的内网应用，如、金蝶、等，针对用户应用系统更新服务的诉求，还可以精细识别、360金山毒霸、江民杀毒等软件更新，保障在安全管控严格的环境下，系统软件更新服务畅通无阻。因此，通过应用可视化技术制定的L37一体化应用访问控制策略，可以为 用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工 作，提升工作效率。更全面的内容级安全防护网络安全及黑客技术的开展使得用户面临的威胁不再单单是一个病毒一 个木马、一次攻击这样的简单攻击。黑客可采用丰富的工具，利用众多的漏 洞，结合多种攻

42、击手段进行混合型的破坏性攻击，具有代表性的如、等。而 信息获取和攻击代码往往也隐藏在正常的应用访问中，这种混合型安全威胁 的出现也给网络安全建设提出新的要求：需要采用更全面的防护手段，防止 安全短板被利用；需要深入到应用内容的安全防护，以识别和预防潜在威胁。融合了漏洞防护、安全防护、病毒防护等多种安全技术，具备2000+条漏 洞特征库、数十万条病毒、木马等恶意内容特征库、1000应用威胁特征库， 可以全面识别各种应用层和内容级别的各种安全威胁。通过灰度威胁关联分 析技术将数据包还原的内容进行全面的威胁检测，并可以针对黑客入侵过程 中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行

43、为, 有效阻断威胁风险的发生。灰度威胁识别技术改变了传统等设备防御威胁种 类单一，威胁检测经常出现漏报、误报的问题，可以帮助用户最大程度减少 风险短板的出现，保证业务系统稳定运行。此外，深信服凭借在应用层领域6年以上的技术积累，组建了专业的安全 攻防团队，可以为用户定期提供最新的威胁特征库更新，以确保防御的及时 性。更高性能的应用层处理能力性能和安全往往是传统安全设备是无法权衡的问题。尤其在应用层安全防 护功能开启时，该问题尤为明显。在带宽不断提升、威胁不断增多的网络环 境下，用户不得不在两者做出艰难的选择。为了实现强劲的应用层处理能力，抛弃了传统防火墙、等适合执行网络层 重复计算工作的硬件设

44、计，采用了更加适合应用层灵活计算能力的多核并行 处理技术；在系统架构上，也放弃了多引擎，屡次解析的架构，而采用了更 为先进的一体化单次解析引擎，将漏洞、病毒、攻击、恶意代码/脚本、库等 众多应用层威胁统一进行检测匹配，从而提升了工作效率，实现了万兆级的 应用安全防护能力。更完整的安全防护方案只提供基于应用层安全防护功能的方案，并不是一个完整的安全方案。对 于用户来说，还需要采购基础网络层的安全设备（、），既增加了本钱，也 增加了组网复杂度、提升了运维难度。从技术角度来说，一个黑客完整的攻 击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法，如果将 这些威胁割裂开处理进行防护，各种防护设

45、备之间缺乏智能的联动，很容易 出现“三不管”的灰色地带，出现防护真空。涵盖传统防火墙、的主要功能，内部能够实现内核级联动，是一个“L27 完整的安全防护产品”。这也是定义的“额外的防火墙智能”实现的前提， 做到真正的内核级联动，才能为用户的业务系统提供一个安全防护的“铜墙 铁壁”。6.5 6603无线接入控制器6603是华为技术推出的无线接入控制器，应用城域网和企业网接 入，是无线城域网覆盖、热点覆盖等应用环境的理想接入控制器，提供大容 量、高性能、高可靠性、易安装、易维护的无线数据控制业务，具有组网灵 活、绿色节能等优势。丰富的接口类型2个10上行接口 8个光口16个电口高容量、高性能管理1

46、024个，到达业界盒式的最高水平。 提供用户快速漫游切换。 背板容量达128G,硬件实现内部数据交换无阻塞。 隧道硬件线速转发。电信级的可靠性设计支持基于（）、（）的端口冗余备份。支持交流、直流均双电源备份。 支持风扇冗余备份。 支持电源模块热插拔时单电源供电。支持风扇热插拔。易安装、易维护功能 6603设备深度为240,适合安装在深度为300以内的各种标准机 柜里安装电源、风扇框均支持热插拔，维护方便网管具有丰富的北向接 口，并继承了华为网管的界面，符合客户使用习惯支持以太网(,), 满足快速定位故障的要求支持环境监控开关量接口和板内温度探测器， 实时监控6603运行周围的环境。绿色节能66

47、03支持定时关闭/开启射频的功能，到达节能的目的，满足绿色环保、 低碳要求，同时减少设备的运维本钱。6603采用自研硬件平台，有效降低每 的管理功耗，从而减少设备的运维本钱。6603是华为技术推出的无线接入控制器，应用城域网和企业网接 入，是无线城域网覆盖、热点覆盖等应用环境的理想接入控制器，提供大容 量、高性能、高可靠性、易安装、易维护的无线数据控制业务，具有组网灵 活、绿色节能等优势。6603具有以下特点和性能： 强大的接入容量，最大可管理1024个(),到达盒式()设备的业界最高水平。 提供用户快速漫游切换功能。 具有()隧道硬件线速转发功能。 设备可通过网管U2560、命令行()进行维护。 支持以太网(,)o6. 6 603无线特性支持802. 11标准，支持2. 4频段。 支持自动和手动两种速率调节方式，默认方式为自动速率调节 方式。 支持信道速率调整： 802. 11b可选择的速率：1、2、5.5、Ik802. 11g可选择的速率：6、