网络改造方案

网络改造设计建议报告2018年2月公司网络现状及需求前言当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流。自从1993年美国政府公布实施“信息高速公路计划”之后，在世界引起巨大反响，许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透，使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力，尤其是作为国民经济信息化基础的企业信息化，当前更显得尤为重要，信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择!随着信息时代的到来，企业的生存和竞争环境发生了根本性的变化。对于大型企业而言，信息化无论是作为战略手段还是战术手段，在企业经营中发挥着举足轻重的作用。随着近年来企业信息化建设的深入，企业的运作越来越融入计算机网络，企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输，构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。背景分析我公司的网络改造是公司为了适应新形势下企业激烈竞争，提高公司核心竞争力的一项具有战略意义的举措。成功的网络改造将使我公司能够在较长时间里在高科技领域竞争中继续保持科技优势，从而推动各项业务水平的快速发展。我公司的网络现状如下图：伴随着公司的飞速发展，越来越多的分支机构单位和业务系统接入到网络当中，造成公司网络规模不断扩张，网络结构也越来越复杂，而陈旧的网络核心设备和庞大的网络架构，也带来网络骨干性能不足、IT运维监控滞后、服务器负载效率低下、网络安全隐患众多等一系列问题，目前，我公司网络系统面临问题的详细情况如下：1、核心设备陈旧网络核心S6506厂家已停产，无法进行板块扩容，也没有备品备件，且S6506已在线运行多年，一旦出问题网络瘫痪后无法第一时间迅速恢复。2、网络架构复杂网关错位整体网络架构没有进行统一规划，多级串联现象严重，造成网络结构庞杂，增加了很多网络传输延迟和故障节点。三层网关IP是在一台中兴zxr10交换机上而非核心S6506，这个网关错位导致的数据回传不仅增加了传输延时，还造成了网络带宽资源的浪费。3、运维监控滞后无法对网络流量进行实时监控和回溯审计，造成盲目的“黑盒运维”---无法及时准确地掌握网络整体性能、应用负载，并进行针对性的调优，更无法准确定位网络异常原因，排查网络故障和隐患。4、网络性能存在瓶颈现有网络骨干是百兆网络局域网，但网络吞吐约200G/天，流量峰值是200M/S，平均流量为80M/S，其中流量吞吐最大的是的营销系统服务器，而一旦局域网中出现P2P、大文件传输、视频流媒体等数据流，正常业务的带宽就会受到挤占和消耗，造成网络访问拥塞，出现延时大，响应慢等现象。5、业务系统性能待调优首先是OA系统因为访问量少，所以响应快，延时小，性能最好。其次是营销系统，在业务高峰时期会有上万（约13000左右）的并发会话，此时服务器性能和网络非常吃紧。接着是财务NC系统，因为服务器挂在云端，本地是通过VPN去进行访问，导致服务器访问性能在广域网传输过程耗损较多，所以，交互质量差的应用会话比例很高，系统整体性能较差。最后是集抄系统，该业务系统虽然整体流量不大，但总体性能表现并不高，这跟两台服务器没有很效地对访问请求进行负载分担有一定关系。6、网络存在安全隐患网络中存在一些病毒木马、端口扫描、未知异常广播等网络安全隐患，干扰正常网络通信，影响数据传输，并可能造成数据泄密、业务系统停摆无法运转等风险。7、监控流媒体挤占正常业务带宽平时的业务数据和监控流媒体数据混在网络中一起传输而未被分开，会导致视频监控数据挤占正常业务带宽通道进行传输，极大造成了局域网带宽资源浪费，影响业务传输质量。8、运维组织有待完善分支机构接入较多，私接串接导致故障现象屡见不鲜，使运维人员应接不暇，需从制度上和技术上，加强运维组织管理。用户需求骨干网络高性能、高稳定性需求网络骨干包括网络的核心层和汇聚层，是整个网络流量的承受者和汇聚者，因此对骨干网络高性能、高稳定性提出了高的要求。为了提高设备的可靠性和稳定性，可采用骨干网络冗余设计，能够实现设备的热备和失效自动切换。网络安全性需求网络安全包括网络级、系统级、用户级、应用级的安全，在网络级，需要利用防火墙的过滤与隔离功能，将信任网络（内网）和不信任的网络（外网）隔离开来，并利用防火墙或出口路由器的NAT(网络地址转换)功能，对外屏蔽内网的网络拓扑信息，从而避免整网受到外来攻击。在网络内部，根据用户的网络使用需求，将用户和网络资源划分为不同的VLAN，在VLAN间根据需求启用相应的ACL(访问控制列表)，从而保证用户的物理隔离和资源访问的安全。网络监控管理分析需求在不影响关键业务运行的前提下，收集分析网络流量中的应用信息，网络管理员可以定义、监控并评估网络连接性、安全性和性能策略，并进行网络的规划和设计，并且能够使管理员了解计算机网络系统的整体状况，可监控到来自网络内部和外部的“黑客”入侵，能够为查明入侵的来源提供有效的依据，直观的显示各种网络流量运行状态，并对各种异常情况实现自动报警。设计思路我公司网络设计为三层结构，系统的设计应充分利用当今先进的网络技术，实现网络数据高速有序流通，建立高效率的信息网络平台，形成各个部门内外相联、上下贯通的信息传输网络。改造后的我公司网络平台应是一个技术先进、性能可靠、功能齐全的系统，系统内的各级用户在各自权限内，在各自站点上进行各自的工作，满足网上语音、视频、监控等多种应用，为集团业务发展提供一个稳定的信息高速公路基础平台。建设目标尽量保留现有网络中的设备，在确保公司正常业务使用的前提下减少公司投资。不仅要考虑到如何实现数据的高性能传输，还要充分考虑网络的冗余与可靠，让系统在运行过程发生故障时，能迅速恢复正常工作，避免造成企业经济损失。改造后的网络系统具有良好的可维护性与可管理性，让管理员通过智能化分析工具后对网络运行状况了如指掌，高效率地处置运行故障与安全威胁。为公司网络基础设施的未来发展提供良好的扩展接口，让网络核心骨干随着公司规模的扩大、业务的增长，便于进行系统的扩展和升级。设计原则在整个网络改造设计过程中，力求尽量利用现有资源的基础上进行改造，严格遵循网络规范和设计原则，为用户打造一个稳定，安全的网络环境，具体考虑到以下的各个方面。1、稳定性网络的可靠性和稳定性非常重要，决定着网络能够正常运行，在网络设计时，不论是网络节点、通信线路、应用设备还是网络拓扑的设计，都应该对可靠性和稳定性加以考虑，尽量减少故障节点，确保系统运行可靠。2、先进性设计网络系统的目的主要就是应用。因此，在设计时应当以注重实用和成效为原则，紧密结合具体应用的实际需要。在技术上应该采用先进的网络技术和网络产品，选择技术成熟和实用效果好、市场占有率高、通用性好的设备，适应信息技术的迅速发展，具有良好的技术先进性。3、安全性对于内部网络以及外部访问的安全必须高度重视，设计部署可靠的系统安全解决方案，避免安全隐患，采取防攻击、防篡改等技术措施，管理和技术并重，全方位构建整个网络安全保障，保证数据和服务器的安全。4、可管理性考虑到网络系统的后期管理和维护，在方案设计中要充分考虑各个设备和系统的可管理性，使系统建成后易于管理、易于维护、操作简单、易学、易用，有效地提高对网络的管理，便于管理人员进行配置和处理故障。5、可扩展性着眼长远考虑，不但满足当前需要，并能满足后期扩展的需要，充分考虑今后网络的发展，预留升级和扩充余量，能够兼容不同厂家、不同类型的网络产品及应用软件，便于向更新技术的升级与衔接。6、经济性本次系统改造建设中，要充分考虑原有系统资源的有效利用，发挥原有设备资源的价值，本着以最少的改造成本，获得最大的改造效果。对一些运行良好的硬件设备及应用软件要加以保护并合理利用，节省一部分投资。另外，对于新增的设备，要尽量选择技术成熟可靠、性价比较高的设备，达到实用、经济和有效的效果。设计依据及标准本次网络改造方案设计参考的标准和依据包括:信息及网络系统设计标准《信息技术通用多八位编码字符集（UCS）》(GB《信息技术系统间远程通信和信息交换局域网和城域网》(GB《信息处理系统光纤分布式数据接口》(ISO9314-1:1989)《光纤分布式数据接口（FDDI）高速局域网标准》（）《通信光缆的一般要求》（GB/T7427-87）结构化布线系统设计标准《建筑和建筑群综合布线系统工程设计规范》(GB/T50311-2006)《建筑和建筑群综合布线系统工程验收规范》(GB/T50312-2006)《信息技术用户建筑群通用布缆》(ISO/IEC11801:2002)《信息技术用户建筑群布缆的实施和运行》(ISO/IEC14763-1:1999)《信息技术用户建筑群布缆配置》(ISO/IEC14709-1:1997)《信息技术用户建筑群布缆的通路和空间》(ISO/IEC18010:2002)?《光纤总规范》(GB/T《民用建筑通讯通道和空间标准》（EIATIA569）信息安全设计标准《计算机软件配置管理计划规范》（GB/T）《计算机信息系统安全保护等级划分规范》（GB17859-1999）《计算机信息系统安全专用产品分类原则》(GB163-1997)?《信息技术设备的安全(ideIEC60950:1999)》（GB4943-2001）《信息技术安全性评估准则》（GB/—2001）《信息技术信息安全管理实施规则》（ISO17799—2000）《涉及国家秘密的计算机信息系统保密技术要求》(BMZ1-2000)《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB5-2000)《涉及国家秘密的计算机信息系统安全保密测评指南》(BMZ3-2001)智能化系统设计规范《智能建筑设计标准》（GB/T50314-2006）《建筑及居住区数字化技术应用系列标准》（GB/T20299-2006）《建筑智能化系统设计技术规程》（DB/J01-615-2003）《公共建筑节能标准》（GB50189-2005）《民用建筑电气设计规范》（JGJ/T）机房工程系统设计标准《电子计算机场地规通用规则》（GB/T2887-2000）《计算机场地安全要求》（GB9361-1988）《电子计算机机房设计规范》（GB50174-1993）《防静电活动地板通用规范》（SJ/T10796-2001）《电信专业房屋设计规范》（YD5003-1994）《通信机房静电防护通则》（YD/T754-1995）火灾报警系统设计标准《高层民用建筑设计防火规范》（GB50045-1995）《火灾自动报警系统设计规范》(GB50116-1998)《建筑设计防火规范》(GBJ16-1987)《火灾报警控制器通用技术条件》(GB4717-2005)《点型感烟火灾探测器技术要求及试验方法》(GB4715-2005)《点型感温火灾探测器技术要求及试验方法》(GB4716-2005)《线型光束感烟火灾探测器技术要求及试验方法》(GB14003-2005)《点型红外火焰探测器性能要求及试验方法》(GB15631-1995)综合安防系统设计标准《安全防范工程技术规范》(GB50348-2004)《安全防范系统验收规则》(GA308-2001)《安全防范工程程序和要求》(GA/T75-1994)《安全防范工程费用概预算定额编制方法》(GA/T78-1994)《出入口控制系统技术要求》(GA/T394-2002)《出入口控制系统工程设计规范》(GB50396-2007)《视频安防监控系统技术要求》(GA/T367-2001)《视频安防监控系统工程设计规范》(GB50395-2007)《安全防范报警系统设备安全要求和试验方法》(GB16796-1997)《报警系统电源装置、测试方法和性能规范》(GB/T15408-1994)防雷与接地系统设计标准《建筑物防雷设计规范》（GB50057-2010）《建筑物电子信息系统防雷技术规范》（GB50343-2012）《通信工程电源系统防雷技术规范》(YD5078-1998)《通讯局（站）低压配电系统用点涌保护器》(YD/T1235-2002)《通讯局（站）接地设计暂行技术规范》(YDJ26-1989)《计算机信息系统防雷保安器》(GA173-2002)《计算机信息系统雷电电磁脉冲安全防护规范》(GA267-2000)?《建筑物的雷电防护》(IEC61024:1990-1998)工程及设备质量验收规范《智能建筑工程质量验收规范》（GB50339-2003）《智能建筑工程检测规程》（CECS182：2005）《建筑及居住区数字化技术应用》（GB/）《安全防范系统验收规则》（GA308-2001）《安全防范报价设备安全要求和实验方法》（GB16796-1997）《建筑与建筑群综合布线系统工验收规范》（GB/T50312-2000）其他设计标准《信息技术互连国际标准》（ISO/IEC11801-95）《建筑内部装修设计防火规范》（GB-50222－95）《电气装置安装工程施工及验收规范》（GBJ232-82）《民用建筑电气设计规范》（JGJ16-2008）《供配电系统设计规范》（GB50052-2009）《低压配电设计规范》（GB50054-2011）《工业与民用供电系统设计规范》（GBJ52-82）《低压配电装置及线路设计规范》（GBJ54-83）《通用用电设备配电设计规范》(GB50055-2011)《工业企业照明设计标准》（GB50034-1992）《采暖通风与空气调节设计规范》（GB50019-2003）《通风与空调工程施工质量验收规范》(GB50243-2002)《建筑装饰装修工程质量验收规范》（GB50210-2001）用户对网络改造项目的其他要求2.网络改造设计方案网络拓扑图按照网络分层设计模型，广安爱众公司新规划的网络拓扑结构如下：如上图，整个网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分，现分别详述如下：网络出口设计外网出口连接上级的Internet，带宽为上下行对称的100M,是各种攻击行为、病毒传播、安全事件引入的风险点，通过在网络出口处部署高性能、高可靠、高安全的网关设备，可以很好的缓解风险的传播，阻挡来自外部网络攻击行为的发生，是网络出口的第一道安全屏障。下一代防火墙在外网出口部署下一代防火墙，对进出网络的数据进行过滤，保护网络安全，主要实现以下安全防护效果：防止外网上的病毒、木马等恶意代码传播到内网中，保护内网终端、服务器；防御来自外网的漏洞扫描行为、入侵行为，使内网免受恶意攻击；控制用户访问网站行为，禁止访问非法网站、低俗网站、钓鱼网站，降低用户遭受攻击的风险。分为信任区域和非信任区域，分别实施不同的安全策略，包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安全措施；通过加密隧道构建VPN（虚拟专用网络），方便分支机构和外出人员远程接入内网办公，提高工作效率。流量控制器流量控制器可基于DPI（深度包检测）识别各类上网应用，由此，在防火墙和核心交换机之间，以网桥模式串接了一台流控设备，来对进出防火墙的网络流量进行内容过滤和应用管控，以有效阻断非业务流量和内容，保证内网安全，提高互联网带宽利用率，限制高消耗带宽应用，保障网络通畅和网络的稳定性，控制用户使用无关应用和危险应用，提高网络整体安全性。下一代防火墙到核心交换机之间使用链路聚合，来提供冗余保障。核心层设计核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、性、、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余是非常必要的，也可以使用功能，来改善网络性能。核心交换机集群主要部署两台S9706组成一个CSS（ClusterSwitchSystem）集群，它是网络虚拟化的一种形态，可实现把多台支持集群的交换机链接起来，从而组成一台更大的交换机，CSS的典型特征有：交换机多虚一：CSS对外表现为一台逻辑交换机，控制平面合一，统一管理。转发平面合一：CSS内物理设备转发平面合一，转发信息共享并实时同步。跨设备链路聚合：跨CSS内物理设备的链路被聚合成一个TRUNK端口，和下游设备实现互联。从上图中我们可以看到，CSS通过设备“多虚一”和跨设备的链路聚合，不但简化了网络拓扑，而且极大地提高了网络性能：简化运维：整个CSS被作为一台交换机来管理，简化运维、降低Opex。可靠性高：CSS内一台设备故障，其他设备可以接管CSS的控制和转发，避免单点故障。无环网络：跨设备的链路聚合，在CSS和其他设备互联时，天然避免了环路问题，无需部署MSTP等复杂的破环。链路均衡：跨设备的链路均衡，100％的网络链路和带宽的利用率。CSS在简化网络、提升转发性能的同时，没有带来任何网络功能的损失。物理交换机具有的所有功能，都在CSS系统下得到继承，且性能还得到了放大。CSS拥有的这些特质，使其得到了越来越多的认可和接受，并成为了部署简单、高效网络的首选方案。接入层设计接入层通常指网络中直接面向用户连接或访问的部分。其目的即利用、、、等传输介质，实现与用户连接，并进行业务和的分配，允许终端用户连接到网络，因此具有低成本和高特性。而本次改造中有14个接入层点位将采用双线上行至核心交换机（集群），并利用OSPFECMP（Equal-CostMultiplePath）特性，在两条专线链路之间进行负载均衡，既增加了网络的可靠性，又能提高了资源的利用率。网络规划设计本次网络改造项目中，将摒弃原有传统的单线二层接入方式，从而采用运营商双线运行动态路由协议（OSPF）进行三层传输接入核心，去掉中间级联设备，形成扁平化的网络架构，这种组网方式将各个分支机构分割成单独的局域网，一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。新的传输接入模式，必须在各个节点建立独立的三层网关进行路由转发，这就要求对整个网络进行新的规划和设置，如下表所示：点位网段VLAN互联/24101/24102代市气所/24301岳池水务/24302前峰水务/24303领水水务/24304华蓥水务/24305城北客户中心/24306城南客户中心/24307西充燃气/24308领水燃气/24309希望接收费/24310城东水所/24311龙门收费/24312武胜水务燃气313岳池电力314………………以上网络规划和设计，将在大的城域网环境中形成多个广播域，隔离广播风暴和二层流量泛洪，减少IP地址冲突，提高整个网络的安全性和可维护性。具体的实施细节，将在项目施工过程中与甲方相关人员进行深化设计。网络传输设计从核心层到接入层的传输部分是各个运营商（电信、广电、联通、移动）的MSTP专线，其中，大部分接入点专线带宽为10M，而少数营业收费点专线带宽为2M，在带宽不够的情况下，可以酌情考虑增加线路带宽。MSTP（Multi-ServiceTransmissionPlatform）是指基于SDH平台同时实现TDM、ATM、以太网等业务的接入、处理和传送，提供统一网管的多业务节点。其构建统一的城域多业务传送网，将传统话音、专线、视频、数据、VOIP、IPTV等业务在接入层分类收敛，并统一送到骨干层对应的业务网络中集中处理，从而实现了所有业务的统一接入、统一管理、统一维护，提高了端到端电路的服务等级，这种专线技术具备以下优点：泛用性MSTP电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景广阔，用户端接口为通用性的RJ45接口。可选性MSTP专线带宽灵活，在2M到1000M的区间内，可以灵活选择。安全性安全性有保障，比纯粹基于互联网的VPN业务安全性更高。灵活性组网灵活，可支持星形网络、环形网络、点到点连接、多点汇聚等。网络安全与优化设计1、网络回溯分析系统在网络核心CSS集群旁部署一台网络回溯分析系统，可以实现了对网络通讯数据包级的高性能实时智能分析，因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和智能分析硬件平台，它可以提供对各种网络性能和应用性能的关键参数实时分析，同时还能够实时捕获并保存网络通讯流量，具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力，实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析，提升了对关键业务系统的运行保障能力和问题处置效率。这样就在内网构建起了一套基于流量的实时监控和回溯体系，不但可以精确了解网络整体性能、应用负载，还能准确定位网络异常原因，及时排查网络故障和病毒、木马、攻击等安全隐患，实现核心链路/核心区域/核心业务运行可视化，彻底解决“黑盒运维”。2、入侵检测系统在核心CSS集群旁挂一台专业的IDS(入侵检测系统)，该设备可通过抓取来自核心交换机的数据流镜像，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。3、负载均衡器在业务服务器集群子网区域内的各个应用服务器前端部署一套负载均衡器，在多个客户端发起业务访问请求时，由前端的负载均衡器来对所有访问请求进行反向代理和统一调度，进而将业务访问负载合理均衡地分担到每个后端服务器节点上，以提高业务系统的整体服务效能。同时对服务器的操心系统、中间件、文件系统等软件参数配置以及资源池分配进行优化，增强服务器的并发会话处理能力，而数据库方面，则可通过建立索引，优化SQL语句和优化内存、日志、表空间分配等方法来提高数据库I/O性能，加快数据的存取速度。在接入交换机处，可通过Qos策略将业务数据和监控数据区分开，并给业务数据分配更高的优先级，这样在发生网络拥塞时，监控数据就无法挤占正常业务带宽，由此保障了业务访问的稳定性，不受接入视频监控的干扰。网络特点和优势通过大力进行网络改造后，具有达到如下特点和优势：高性能和高可用的网络骨干升级核心交换机替换老旧设备，可以大力提升核心节点的转发速度，增加网络整体吞吐量，形成一个高性能、可扩展、可靠的高效网络。层次架构清晰对网络架构进行扁平化重构，不仅可以解决多级串连现象，大大简化网络构成，还能减少中间节点的故障影响，迅速提高流量转发的处理速度，形成一个架构清晰，层次分明、可维护性强的网络基础平台。运维透明化和可视化构建网络的实时监控和回溯体系，将全网流量可视化、透明化，分析从流量趋势、应用分布到性能负载等多方位情况，能让运维人员对整个网络运行情况了如指掌，及时发现处理网络异常和攻击威胁，将危害消灭在萌芽阶段，并快速定位故障原因和节点，缩短故障影响时间，提高故障处理效率，保证网络的高效稳定运行。弹性的应用架构部署负载均衡器，进一步优化应用架构，让每台服务器轮流均衡地分摊客户端访问请求，来提高业务系统的整体服务效能，消除单点故障，形成一个高并发、高可用、高扩展性的业务群集系统，并结合业务系统性能优化，来提高服务器的并发会话处理能力与数据库I/O性能，加快业务的响应速度。专门的流控体系在外网出口处通过流量控制器来审计和管控互联网流量，屏蔽非法应用，限制违规流量，保障带宽资源，提高员工上网的合规性和网络使用效率，同时，在汇聚交换机处设置Qos策略，让监控数据就无法挤占正常业务带宽，保障业务访问稳定性，不受视频监控流媒体数据的干扰。强大的安全防护保障通过部署下一代防火墙和入侵检测系统（IDS）的安全策略，可进一步强化内网的信息安全保障，防止各种网络攻击和入侵活动，提高网络安全系统的防护免疫力。高效整洁的数据中心通过新机房搬迁，可以打造一个新的整洁舒适、专业美观的数据中心环境，为机房设备高效的管理和安全运营提供有力支撑和保证主要设备介绍下一代防火墙USG6350当前，智能手机、iPad等终端已经普及，移动应用程序、、社交网络应用于企业运营的方方面面。企业网络边界变得模糊，信息安全问题日益复杂。通过IP和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。华为USG6300系列下一代防火墙面向中小企业，通过对应用、用户、内容、威胁、时间、位置6个维度的全面感知，提供精细的业务访问控制和加速。入侵防御（IPS）和防病毒（AV）等应用层深度防御与应用识别相结合，有效提高了威胁防御的效率和准确性。具备全面的防护功能，一机多能，有效降低管理成本。精细的带宽管理和QoS优化能力有效降低企业的带宽租用费，确保关键业务体验。持续、简单、高效地提供下一代网络安全。产品特性精准的访问控制传统防火墙主要通过端口和IP进行访问控制，下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高：一体化防护：从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合，一体化处理。例如：识别出Oracle的流量，进而针对性地进行对应的入侵防御，效率更高，误报更少。基于应用：运用多种技术手段，准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能，继而进行访问控制和业务加速。例如：区分微信的语音和文字后采取不同的控制策略。基于用户：通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。基于位置：与全球位置信息结合，识别流量发起的位置信息；掌控应用和攻击发起的位置，第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置。全面的防护范围越来越多的信息资产连接到了互联网上，网络攻击和信息窃取形成巨大的产业链，这对下一代防火墙的防护范围提出了更高要求。USG6000具备全面的防护功能：一机多能：集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身，简化部署，提高管理效率。入侵防护（IPS）：超过3500+漏洞特征的攻击检测和防御。支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等；防病毒（AV）：高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新；数据防泄漏：对传输的文件和内容进行识别过滤。可识别120+种常见文件类型，防止通过修改后缀名的病毒攻击。能对Word、Excel、、PDF、RAR等30+文件进行还原和内容过滤，防止企业关键信息通过文件泄露。SSL解密：作为代理，可对SSL加密流量进行应用层安全防护，如IPS、AV、数据防泄漏、URL过滤等。Anti-DDoS：可以识别和防范SYNflood、UDPflood等10+种DDoS攻击，识别500多万种病毒。上网行为管理：采用基于云的URL分类过滤，预定义的URL分类库已超过8500万，阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为进行控制。可对上网记录进行审计。安全互联：丰富的VPN特性，确保企业总部和分支间高可靠安全互联。支持IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等；QoS管理：基于应用灵活的管理流量带宽的上限和下限，可基于应用进行策略路由和QoS标签着色。支持对URL分类的QoS标签着色，例如：优先转发对财经类网站的访问。负载均衡：支持服务器间的负载均衡。对多出口场景，可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。虚拟化：支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。简单的安全管理下一代防火墙的防护范围和控制精度比传统防火墙大大增加，这对使用者的经验和技能提出了更高的要求。华为USG6000利用SmartPolicy功能降低对使用者的要求，更好的进行防护。SmartPolicy主要具备以下功能：快速部署策略：内置场景策略，不依赖使用者的经验也能快速地部署常用防护策略。例如：如果希望使用网络存储，管理员仅需基于“使用网盘”这个策略模板，就能建立一系列策略。在策略中，对网盘类应用允许下载并进行病毒检测，但禁止文件上传。智能优化策略：根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化，使其符合最小授权原则。在企业遗留大量端口防护策略，需要转换为NGFW使用的应用防护策略时尤其有用。智能精简策略：自动发现重复的和长期没有使用的策略，精简策略规模，简化管理；高效防护性能UTM产品当开启应用层防护时性能下降明显，无法满足当前应用层防护的性能要求。下一代防火墙要求在多重防护的情况下仍保持高性能。USG6000系列下一代防火墙采用全新架构的智能感知引擎（IAE,IntelligenceAwarenessEngine），采用了一次解析多业务并行处理的架构，确保多重防御下的高性能体验。IAE使用了三大核心技术：一体化描述语言：应用识别、IPS、AV采用统一的描述语言，一次性处理，一次性分析，减少重复的操作；一体化处理架构：不同于UTM对各个安全功能串行处理，USG6000在完成统一解析后，各安全业务检查是并行的，最后做统一处理。每个步骤一次性做好，确保多安全业务开启情况下，对整体性能影响最小；软硬结合一体化：对有规律、大批量、高运算能力要求的报文处理，例如：报文加解密、特征匹配，采用专用多核平台由专用的协处理器硬件处理。对小规模的运算，仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。组网应用企业内网边界防护在企业内网部门和无线接入的汇聚网络部署下一代防火墙。对PC用户通过防火墙策略基于用户信息进行访问控制。对移动用户采用基于用户+应用的策略控制，实现精细权限管理，并记录日志。对邮件、IM、文件传输等进行内容过滤和审计，监控社交类应用，避免数据泄露。互联网出口防护在互联网出口部署下一代防火墙，在出口进行访问控制，阻止一切非认证访问。启用入侵防御功能，提供万兆级应用层威胁实时防护。对邮件、IM、文件传输等进行内容过滤和审计，监控社交类应用，避免数据泄露。基于用户、应用、时间进行QoS管理，优先保障核心用户和关键业务的服务质量。通过URL分类和应用阻断进行上网行为管理。阻断挂马网站和工作无关网站，根据角色监控员工可以访问的网站和可以使用的网络应用。云数据中心边界防护数据中心出口部署下一代防火墙，进行安全业务和系统资源的虚拟化特性，可为每个虚拟环境提供超乎寻常的安全体验。万兆级入侵防御可有效阻断各类黑客攻击，并可根据不同的虚拟环境需求，提供差异化的防御特性，保障数据安全。通过Anti-DDoS特性，对拒绝服务攻击流量进行清洗，保障数据中心对外业务。VPN远程互联通过下一代防火墙的VPN接入，在互联网上构建一条可信、可控、可管的安全传输隧道。在外人员和移动用户可通过SSLVPN接入，提供Windows、IOS、Android、Blackberry，Symbian多种操作系统支持，提供泛终端的接入能力。产品规格型号USG6350固定接口4GE+2Combo扩展槽位2*WSIC接口模块类型WSIC:2×10GE（SFP+）+8×GE（RJ45)、8×GE（RJ45）、8×GE（SFP）4×GE（RJ45）BYPASS产品形态1U尺寸（W×D×H）mm442×421×满配重量10kgHDD选配300GB单硬盘，支持热插拔冗余电源选配电源AC100～240V最大功率170W工作环境温度：0~45℃(不含硬盘)/5℃～40℃(包含硬盘)湿度：10%～90%非工作环境温度：-40℃～70℃/湿度：5%～95%、核心交换机产品概述S9706S9700系列交换机是华为公司面向下一代园区网核心和数据中心业务汇聚而专门设计开发的高端智能T比特核心路由交换机。该产品采用先进的多层交换架构，提供持续的带宽升级能力，支持40GE和100GE以太网标准。该产品基于华为公司自主研发的通用路由平台VRP开发，在提供高性能的L2/L3层交换服务基础上，进一步融合了MPLSVPN、硬件IPV6、桌面云、视频会议、无线等多种网络业务，提供不间断升级、不间断转发、硬件OAM/BFD、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。通过部署内置华为首款以太网络处理器ENP的X1E单板，S9700可以升级为敏捷交换机，客户可以享有敏捷交换机带来的创新体验。S9700系列提供S9703、S9706、S9712三种产品形态。产品特性S9700升级为敏捷交换机，让网络更敏捷地为业务服务S9700支持随板AC，业务单板同时兼具无线AC功能，无需额外购买AC硬件；整机最大可管理2KAP，32K用户；整机转发性能可达T-bit，解决外置AC处理性能瓶颈，助力客户从容面向高速无线时代。S9700支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异，支持PPPoE/MAC/Portal等多种认证方式，支持对用户进行分组/分域/分时的管理，用户、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。超级虚拟交换网，创新实现不仅将盒式交换机纵向虚拟为框式交换机板卡，而且将AP纵向虚拟为框式交换机的端口，使得原来“核心/汇聚+接入交换机+AP”的网络架构，虚拟化为一台设备进行管理，提供业界最简化网络管理方案。iPCA网络包守恒算法，改变了传统利用模拟流量做故障定位的检测模型，可对任意业务流随时随地逐点检测网络质量，无需额外开销；可在短时间内立刻检测业务闪断性故障，检测直接精准到故障端口，实现从“粗放式运维”到“精准化运维”的大转变。S9700支持ServiceChain业务编排功能，ServiceChain对网络增值业务处理能力(如下一代防火墙NGFW)进行虚拟化，以便园区网络实体(如交换机、路由器、AC、AP、终端设备)可以无差别的利用这些能力，而不受物理位置的约束，提供一种更灵活部署园区增值业务的解决方案，减少客户设备投资和维护成本。创新的CSS集群技术S9700支持CSS交换网集群和业务口集群，将多台设备虚拟化为一台逻辑设备，在可靠性、交换效率、灵活性和易管理性方面具有强大的优势。可靠性：通过路由热备份技术，实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大地增强了设备的可靠性和性能，同时可以通过跨框链路聚合提高链路的利用率，消除单点故障，避免了业务中断；交换效率：创新的CSS交换网集群技术，克服了业界普遍采用的线卡集群跨框多次交换，交换效率低下的架构难题；灵活性：普通业务端口可以复用为集群端口，使端口应用更加灵活。通过光纤进行集群可大幅增加集群的距离，突破了传统集群距离的限制；易管理性：整个弹性架构共用一个IP管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本；运营级高可靠性设计S9700所有关键器件，如主控、电源、风扇等均采用冗余设计，所有模块均支持热插拔，有效保证网络稳定运行。S9700支持硬件级高精度BFD快速链路检测功能，能为静态路由/RIP/OSPF/BGP/ISIS/VRRP/PIM/MPLS等协议提供稳定均匀的毫秒级检测机制，大大提高了网络可靠性。S9700支持快速自愈保护技术HSR(High-speedSelfRecovery)，基于华为ENP板卡，独家实现端到端IPMPLS承载网50ms倒换保护，进一步提升网络可靠性。S9700支持硬件级以太OAM，包括完善的、和，能够对网络传输中的时延、抖动等参数进行精确统计，实时监测网络运行情况，并在设备故障发生时快速定位实现网络快速故障检测、定位与倒换。S9700支持ISSU业务运行中软件升级，设备软件升级过程中确保关键业务和服务不中断。支持优雅重启技术(GracefulRestart)，实现NSF无中断转发，有效保证全网高速可靠运行。强大的业务处理能力多业务路由交换平台，满足企业接入、汇聚、核心业务承载要求，支持无线、语音、视频和数据应用，为企业提供高可用、低时延、全业务的一体化网络解决方案。支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、HVPLS、VLL，满足企业VPN等用户的接入需求。完善的二、三层组播协议，支持PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping，满足多终端高清视频监控和视频会议接入需求。软件平台提供多种路由协议满足企业建网要求，支持从中小企业到超大型跨国公司级大规模路由，支持IPv6，能够为企业网络提供平滑升级能力。丰富的网络流量分析功能S9700支持Netstream网络流量分析，支持V5/V8/V9多种报文格式，支持聚合流量模板，实时流量采集、动态报表生成、属性分析、流量异常告警等功能；支持向主、备分析服务器同时发送日志，防止统计信息丢失。能够提供实时的网络监控功能和全网范围内的流量模式，并提供预先故障检测、高效故障排除和快速问题解决功能，提供安全监控等应用和分析，帮助用户及时优化网络结构、调整资源部署。完善的安全保护机制S9700支持MACsec，提供逐跳设备的数据安全传输，适用于政府、金融等对数据机密性要求较高的场合。NGFW新一代防火墙业务处理板，在提供传统防火墙、身份认证、Anti-DDoS等基础防御功能外，同时支持IPS、反垃圾邮件、Web安全、应用控制等专业安全功能。提供完善的NAC解决方案，支持MAC地址认证、Portal认证、认证、DHCPSnooping触发认证多种认证方式，有效应对哑终端接入、移动设备接入和集中式IP地址分配等多种接入方式的安全挑战，确保企业网络安全。提供2级CPU保护机制，支持1KCPU硬件保护队列，可实现数据和控制的分离处理，防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁，提供业界领先的一体化安全解决方案。全面的IPv6解决方案S9700软硬件平台均支持IPv6，取得工信部IPv6入网认证和IPv6Ready第二阶段金色认证。S9700全面支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等IPV6单播路由协议，支持MLDv1/v2、MLDSnooping、PIM-SM/DMv6、PIM-SSMv6等IPv6组播特性，为用户提供完善的IPv4/IPv6解决方案。S9700支持丰富的IPv4向IPv6过渡技术包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术，保证IPv4网络向IPv6网络的平滑过渡。创新节能打造绿色低碳网络S9700采用主机前后及左后风道设计，提高整机散热效率，采用芯片“变流”技术，实现按流量动态调整功率，降低整机功耗11%。支持端口休眠，无流量不耗电。独立风扇分区控制，进一步降低功耗和噪声污染，智能风扇调速策略，采用小区间控温技术，有效降低转速，并延长风扇使用寿命。支持IEEE能效以太网标准，线卡收发器具备低功率闲置模式，支持正常工作与低功率状态快速转换，低流量低功耗网络的平滑过渡。设备参数项目S9706交换容量包转发率2880Mpps/20880Mpps业务槽位6无线管理支持随板AC支持AP接入控制、AP域管理和AP配置模板管理支持射频模板管理、统一静态配置和集中动态管理支持WLAN基本业务、QoS、安全和用户管理用户管理支持有线无线统一用户管理支持PPPoE、、MAC、Portal认证方式支持基于流量、时长和DAA（按照目的地址）计费方式支持分组分域分时授权方式iPCA质量感知支持直接对业务报文标记以获得丢包数量和丢包率的实时统计支持二三层网络网络级和设备级丢包数量和丢包率统计简化运维支持将AS（接入交换机）、AP虚拟为一台设备管理支持2层AS支持与第三方厂商混合组网管理VLAN支持Access、Trunk、Hybrid方式支持defaultVLAN支持VLAN交换支持QinQ、增强型灵活QinQ支持基于MAC的动态VLAN分配MAC地址功能支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤支持基于端口和VLAN的MAC地址学习限制STP/ERPS支持STP(IEEE，RSTP(IEEE和MSTP(IEEE支持BPDU保护、Root保护、环路保护支持BPDUTunnel支持ERPS以太环保护协议（）IP路由支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议组播支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping支持PIMDM、PIMSM、PIMSSM支持MSDP、MBGP支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功能支持组播CAC支持组播ACLMPLS支持MPLS基本功能支持MPLSOAM支持MPLSTE支持MPLSVPN/VLL/VPLS可靠性支持LACP、支持跨设备E-Trunk支持VRRP、BFDforVRRP支持BFDforBGP/IS-IS/OSPF/静态路由支持NSF、GRforBGP/IS-IS/OSPF/LDP支持TEFRR、IPFRR支持以太网OAM和(硬件级)支持快速自愈保护技术HSR支持支持DLDP支持运行中软件升级ISSUQoS支持基于Layer2协议头、Layer3协议、Layer4协议、优先级等的组合流分类支持ACL、CAR、Remark、Schedule等动作支持SP、WRR、DRR、SP+WRR、SP+DRR等队列调度方式支持WRED、尾丢弃等拥塞避免机制支持H-QOS支持流量整形配置与维护支持Console、Telnet、SSH等终端服务支持SNMPv1/v2/v3等网络管理协议支持通过FTP、TFTP方式上载、下载文件支持BootROM升级和远程在线升级支持热补丁支持用户操作日志安全和管理认证，Portal认证支持MACSec支持NAC支持RADIUS和HWTACACS用户登录认证命令行分级保护，未授权用户无法侵入支持防范DoS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击、大流量攻击支持1KCPU通道队列保护支持ICMP实现ping和traceroute功能支持RMON增值业务能力*支持Firewall功能支持NAT功能支持Netstream功能支持IPSec功能支持负载均衡功能支持无线AC控制器支持IPS入侵防御系统互通性VBST基于VLAN生成树协议（和PVST/PVST+/RPVST互通LNP链路类型协商协议（和DTP相似功能）VCMPVLAN集中管理协议（和VTP相似功能）绿色节能支持能效以太网机箱尺寸mm（高*宽*深）*442*489机箱重量（空配）29kg工作电压DC：–40V～–72VAC：90V～290V整机供电能力4400W）接入交换机S5700-28C-EI产品概述S5700-EI增强型千兆以太网交换机系列（以下简称S5700-EI），是华为公司自主研发的千兆以太网交换机，提供灵活的全千兆接入以及万兆上行端口。该系列交换机基于新一代高性能硬件和华为公司统一的VRP（VersatileRoutingPlatform）软件平台，具有智能iStack堆叠，杰出的网流分析，灵活的以太组网，完善的VPN隧道，多样的安全控制，成熟的IPv6特性，轻松的运行维护，更多的端口组合等特点。广泛应用于企业园区接入、汇聚，数据中心千兆接入等多种应用场景。产品特性和优势更多的端口组合S5700-EI支持多种上行扩展插卡，提供高密度的GE/10GE上行接口。其中S5710-EI系列具有4个固定10GESFP+端口，通过上行扩展插卡可实现64×GE＋4×10GE，48×GE＋8×10GE，或56×GE＋6×10GE等不同端口组合，充分满足不同用户对带宽升级的实际需求，保护用户投资。完善的VPN隧道S5700-EI支持Multi-VPN-InstanceCE（MCE）功能。S5700-EI支持下接不同的VPN用户，通过路由多实例，实现了不同用户的隔离；上行通过共用的物理接口连接到PE设备，减少单个VPN用户对网络部署的投资。S5710-EI支持MPLSL3VPN、MPLSL2VPN(VPWS\VPLS)、MPLS-TE、MPLSQoS等功能，可作为高质量企业专线接入设备，是业界为数不多的高性价比盒式MPLS交换机。灵活的以太组网S5700-EI不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标准ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。ERPS是ITU-T发布的标准，该标准基于传统的以太网MAC和网桥功能，实现以太环网的毫秒级快速保护倒换。S5700-EI支持SmartLink和VRRP功能。S5700-EI通过多条链路接入到多台汇聚交换机上，SmartLink/VRRP实现了上行链路的备份，极大地提升了接入侧设备的可靠性。S5700-EI支持多种连接故障快速检测功能。S5700-EI支持完善的以太OAMITU和BFD功能。多样的安全控制S5700-EI支持MAC地址认证和认证，实现用户策略（VLAN、QoS、ACL）的动态下发。支持基于端口粒度的dot1X、MAC认证和混合认证；支持基于VLANIF接口粒度的Portal认证。S5700-EI支持完善的DoS类防攻击、用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻击，包括SYNFlood、Land、Smurf、ICMPFlood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC欺骗、DHCPrequestflood、改变DHCPCHADDR值等等。S5700-EI通过建立和维护DHCPSnooping绑定表，对不符合绑定表项的非法报文直接丢弃。利用DHCPSnooping的信任端口特性，S5700-EI还可以保证DHCP服务器的合法性。S5700-EI支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。杰出的网流分析S5710-EI支持NetStream网络流量分析功能。作为网络流量输出器，S5710-EI根据用户配置，实时采集指定的数据流量，通过标准的V5/V8/V9报文格式，将数据上送给网络流量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。S5700-EI支持sFlow功能。S5700-EI按照标准定义的方式，对转发的流量按需采样，并实时地将采样流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供了极大的方便。轻松的运行维护S5700-EI支持华为EasyOperation简易运维方案，提供新入网设备Zero-Touch安装、故障设备更换免配置、USB开局、设备批量配置、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700-EI支持SNMPV1/V2c/V3、CLI（命令行）、Web网管、等多样化的管理和维