《淮安今世缘酒厂网络方案.docx》由会员分享,可在线阅读,更多相关《淮安今世缘酒厂网络方案.docx(40页珍藏版)》请在三一办公上搜索。
1、淮安今世缘酒厂网络设计方案 湖南创发天辰科技有限责任公司2010年8月目录1.1 网络设计的思想、目标以及设计的原则31.1.1 网络设计的指导思想31.1.2 网络设计目标41.1.1 系统设计原则51.1.2 开放性:51.1.3 标准化61.1.4 简洁性61.1.5 可扩展性61.1.6 安全性71.1.7 技术先进性81.1.8 实用性81.1.9 网络可靠性81.1.10 易维护管理性91.1.11 保护投资91.2 网络解决方案91.2.1 客户需求分析:91.3 网络技术的选择:111.3.1 交换式以太网技术111.3.2 交换与路由的选择131.3.3 设计说明:131.4
2、 网络系统设计方案151.1.3 常用网络分层及拓朴介绍151.4.1 网络分层151.4.2 网络拓扑结构161.1.4 网络系统详细设计方案161.4.3 网络拓扑分析171.4.4 防火墙技术181.5 IP地址规划191.5.1 IP地址分配原理191.5.2 P地址分配应遵循的原则191.5.3 IP地址分配方式20第2章 产品信息202.1 Secospace USG5300 系列统一安全网关202.2 Quidway S9300系列T比特路由交换机252.3 Quidway S5300系列全千兆运营级交换机322.4 Quidway S2300系列运营级接入交换机391.1 网络
3、设计的思想、目标以及设计的原则1.1.1 网络设计的指导思想就目前对网络应用的需求考察结果,并尊重“长远考虑、就地起步”的规划,提出了在技术上遵循开放、标准、成熟、安全、可靠和可扩展的思想,追求技术上的先进性与成熟性、实用性相结合,追求整个系统性能的最佳化、理优化、节省费用等原则。 基于路由器和交换机的局部网间的互联是最好的解决方案。因此,网络协议方面,以网际协议(IP)作为整个网络系统的公用网络协议实行标准化。由于使用IP作为标准传输协议,在以后对网络进行扩充以与其它的网络互连时,可以跨越多个平台自然而然地提供互操作能力和无缝连接功能。所以,IP优化网络允许用户访问电子邮件、办公网和利益复杂
4、的Internet应用。在主干网建设时,我们选择Quidway S9300 系列智能弹性交换机,因为它能够在整套方案中以极具竞争力的价格提供所有技术,还拥有明确的技术方向,有助于未来应用的发展。为我们提供一个集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案的标准。在局部网的建设方面,在认真比较和考察各种骨干网可选方案之后,最后选择使用Quidway S2300-EI系列智能接入交换机作为骨干网基础设施的基础,因为它提供了可伸缩的结构和高性能的处理能力,能够高速传输数据,同时通过它们交换技术保证了安全地接入Internet和一体化的网络解决方案。安全性是另一个关键要求。为了保证能够安全
5、地接入Internet,所以我们选择了USG5320,USG5320防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品,集成防火墙、VPN和丰富的网络特性,为用户提供安全防护、安全远程接入等功能。1.1.2 网络设计目标综合以上的各种信息,结合当前的国外各类计算机系统应用情况,本网要实现的目标是:满足日常工作的处理电子化、日常办公自动化、领导决策科学化,和信息交流快捷方便化。即实现业务系统处理、日常办公、领导决策计算机化、信息交流国际化的先进系统。在统一思想、统一信息交换标准、统一技术规范的原则下,系统达到以下目标:为各办公室提供宽带网络支持;提供公用信息交换平台;能让员工能浏览i
6、nternet;提供Web发布信息等Internet的信息服务; 提供日常工作的处理网络化、电子化的日常办公自动化环境;电子档案的信息查询,提供先进和更多的服务手段, 提高效率和质量; 为调控、科学决策提供有力的支持; 为内部网提供有力的技术保障,增加内部系统的安全性 1.1.1 系统设计原则网络系统总体设计目标是最大限度的满足应用系统的需求,与计算机及网络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作,即通过网络设备将信息点与中心网络系统可靠地连接起来,为当前的各种应用环境系统和应用软件系统提供运行环境支持。由于网络系统对工作的运作与发展具有非常重要的作用,因此网络改造系统
7、的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求,网络系统对先进性的要求是在计算机技术突飞猛进的今天,提供达几年甚至更长时间的可用性。网络系统设计必须满足其应用的要求,网络总体设计、建设的原则如下:1.1.2 开放性:当前计算机技术的发展日新月异,各种硬件和软件产品层出不穷。但总体上看,整个计算机仍然在开放式系统的概念下不断趋于统一,新模式主要有如下特点:开放式系统越来越为广大用户所接受,传统的封闭式厂商也开始走向开放式道路,开放式体系结构已经发展成为计算机技术的主流。网络互联技术成熟,推动了分布式运算环境的建立,如TCP/IP的迅速发展,已成为异种机型互联的标准。在开放系统环境O
8、SE(Open System Environment) 中有两个最基本的特点:一是开放系统所采用的规范是厂家中立的,或者说是与厂家无关的; 二是开放系统允许不同厂家的计算机系统和软件系统可以互换,并可组成一个集成的操作环境。OSE包括了多种功能,它能在不同厂家的网络上实现计算机应用的互操作性、可移植性和集成性。 1.1.3 标准化在方案设计中,所有计算机网络软硬件产品必须坚持标准化原则,遵从国际标准化组织所制订的各种国际标准及各种工业标准。1.1.4 简洁性对于网络系统,在设计过程中要考虑系统的能够适应不断的新的发展需要,并使系统能适应多种硬件平台和多种网络结构,而且网络拓扑结构简洁,硬件和软
9、件按需要能进行灵活的配置。1.1.5 可扩展性 目前设计的网络系统不仅仅用于当前,同时在今后的一段时间内,它将是淮安今世缘酒厂的主要系统。因此,设计时一定得考虑将来的发展,除了当前设计得有一定的超前外,还需要考虑系统的可扩充性,易于系统以后的发展。网络系统必须有足够的扩展性,使得将来增加信息点时,只需很少变动。如当网络设备增加、通信网络升级时,所有设备要保证仍能继续使用,而不能以弃掉已有设备为升级的代价。采用的产品具有充分的可扩充性及升级能力,具有足够的先进网络技术过渡的能力。1.1.6 安全性安全性是指可靠性、保密性和数据一致性。对安全性的要求较高,计算机系统的安全性主要包括以下几个方面:硬
10、件平台安全性:当计算机的元器件突然发生故障,或计算机系统工作环境设备突然发生故障时,计算机系统能继续工作或迅速恢复。 网络通迅系统安全性:网络的安全性主要包括采取以下安全措施:认证措施,包括网点认证和人员认证;数据保密措施如传输加密;存取控制措施如防止非法操作。 操作系统安全性:操作系统安全性要达到世界标准,即通过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性,实施存取限制,保护数据防止被别的用户读取或破坏。 数据库安全性:数据库要有以下安全机制:磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制,确保数据库的安全。 应用软件系统的安全性:
11、认同用户和鉴别,确认用户的真实身份,防止非法用户进入系统。 存取控制,当用户已注册登录后,核对用户权限,根据用户对该项资源被授予的权限对其进行存取控制。 审计,系统能记录用户所进行的操作及其相关数据,能记录操作结果,能判断违反安全的事件是否发生,如果发生则能记录备查。 保障数据完整性,对数据库操作保证数据的一致性和数据的完整性。 1.1.7 技术先进性网络系统不能够一经实现即落后,应当至少处于现今先进水平,只有这样才能在计算机技术迅速发展的今天不落伍,不会在竞争激烈的今天,因计算机技术的不足而影响工作的进行开展。采用先进而成熟的网络技术和产品,适应大量数据和多媒体信息传输、处理、交换的需要,使
12、网络系统具有较强的生命力。1.1.8 实用性网络的建设要强调网络系统与网络应用并重,以应用推动建设,信息资源的开发、利用和效果。产品应选择主流产品,并且具有成熟、稳定、实用的特点。能充分满足日常使用、科学决策、对外交流、以及信息自动化管理等各方面的需要。1.1.9 网络可靠性网络可靠性需要从以下方面来保证:设备的硬件制造品质与运行软件的成熟性。网络设备必须选用已经证实,并在实际应用中得到普遍应用的产品,只有这样,才可能提供不间断运行的能力。网络产品应具备在线热更换的能力,当某一板卡出现故障时,应能带电更换,而不需进行停机操作。1.1.10 易维护管理性网络管理应走向科学化,采用先进的网络管理系
13、统,实现“在网络中心即能实时控制、监测整个系统的运行状况,能够自动发现故障点”的目标,并具有良好的人-机操作界面。1.1.11 保护投资在网络方案设计时充分考虑现有的硬件和软件资源,尽量把各期投资和未来发展的兼容性容于系统方案中。1.2 网络解决方案1.2.1 客户需求分析:网络系统建设范围包括今世缘酒业的局域网系统,服务器等功能。其建设目标是成为适应互联网要求的安全、可靠、高性能的综合行政业务管理平台和自动化生产平台。系统采用了机架式核心三层交换机,与办公楼A、B、C区每栋楼1台及国缘会所共7台汇聚层交换机进行光纤连接;每栋楼的接入层交换机连接相应汇聚层交换机;A区2号楼采用接入层交换机直接
14、连接主交换机进行连接;系统主干达到千兆,桌面连接全部实现百兆。系统还配置了防火墙。主交换机上预留光纤接口与会议中心、餐厅公寓楼和专家楼、新包装车间等相关设备进行光纤连接。服务器和存储方面主要有数据库服务器、ERP服务器、外网服务器和磁盘阵列,其他应用采用现有服务器(兑奖服务器3台,域控服务器1台,金蝶K3服务器1台、OA服务器1台)。通过服务器上配置的HBA卡和NAS结构连接存储设备,提供了高性能的应用运行和存储平台。今世缘酒业网络承载的应用系统具有大数据流、类型复杂,安全敏感性极高的特点。故系统的安全性、可靠性、Qos支持是系统建设的重点和难点。安全性方面,网络系统采用了防火墙、核心层、汇聚
15、层和接入交换机等多层次的整体安全防御体系,同时对重点区域采用了特殊安全手段。可靠性方面由物理层、链路层、网络层等多个层次对核心交换机、主干链路、互联网接入、服务器接入、服务器数据存储等多方面均采用了冗余可靠设计。Qos方面可考虑网络边界和网络核心的整体Qos策略实施,提供端到端的服务质量,同时对重点区域,如高速局域网和低速广域网的连接部采用了流控设备进行特殊的带宽管理和流量整形。无线接入设备,在新包装车间的仓库、成品仓库和办公楼的会议室系统配置无线接入设备,其中办公楼配置10个点,新包装中心26个点,成品仓库8个点,共计44个点,设备采用54M无线宽带路由器。1.3 网络技术的选择:1.3.1
16、 交换式以太网技术以太网交换技术(SWITCH)是在多端口网桥的基础上与九十年代初发展起来的,实现OSI模型的下两层协议,与网桥有着千丝万缕的关系,甚至被业界人士称为许多联系在一起的网桥,因此现在的交换式技术并不是什么新的标准,而是现有技术的新应用而已,是一种改进了的局域网桥,与传统的网桥相比,它能提供更多的端口(488)、更好的性能、更强的管理功能以及更便宜的价格。现在某些局域网交换机也实现了OSI参考模型的第三层协议,实现简单的路由选择功能,目前很热的第三层交换就是指此。以太网交换机又与电话交换机相似,除了提供存储转发(STORE ANG FORWORD)方式外还提供了其它的桥接技术,如:
17、直通方式(CUT THROUGH)。 交换式以太网的工作原理 :以太网交换机的原理很简单,它检测从以太端口来的数据包的源和目的地的MAC(介质访问层)地址,然后与系统内部的动态查找表进行比较,若数据包的MAC层地址不在查找表中,则将该地址加入查找表中,并将数据包发送给相应的目的端口。交换式以太网技术的优点:交换式以太网不需要改变网络其它硬件,包括电缆和用户的网卡,仅需要用交换式交换机改变共享式HUB,节省用户网络升级的费用。 可在高速与低速网络间转换,实现不同网络的协同。目前大多数交换式以太网都具有100M的端口,通过与之相对应的100M的网卡接入到服务器上,暂时解决了10M的瓶颈,成为网络局
18、域网升级时首选的方案。 它同时提供多个通道,比传统的共享式集线器提供更多的带宽,传统的共享式10M/100M以太网采用广播式通信方式,每次只能在一对用户间进行通信,如果发生碰撞还得重试,而交换式以太网允许不同用户间进行传送,比如,一个16端口的以太网交换机允许16个站点在8条链路间通信。 特别是在时间响应方面的优点,使的局域网交换机倍受青睐。它以比路由器低的成本却提供了比路由器宽的带宽、高的速度,除非有上广域网(WAN)的要求,否则,交换机有替代路由器的趋势。 1.3.2 交换与路由的选择如前所述,局域网交换机是工作在OSI第二层的,可以理解为一个多端口网桥,因此传统上称为第二层交换;二层交换
19、能够有效的减少冲突域,提高网络转发的性能。目前,交换技术已经延伸到OSI第三层的部分功能,既所谓第三层交换,第三层交换可以不将广播封包扩散,直接利用动态建立的MAC地址来通信,似乎可以看懂第三层的信息,如IP地址、ARP等, 具有多路广播和虚拟网间基于IP、IPX等协议的路由功能,这方面功能的顺利实现得力于专用集成电路(ASIC)的加入,把传统的由软件处理的指令改为ASIC芯片的嵌入式指令,从而加速了对包的转发和过滤,使得高速下的线性路由和服务质量都有了可靠的保证,但其价格与二层交换相比,价格较高。针对不同部门具体情况,作为一个独立的分支接入单位,建议采用三层交换技术,可有效的抑制广播包和增强
20、部门内部网络的安全性。1.3.3 设计说明:网络设计遵循安全快速的原则,以科学可行的方案切实有效的解决信息化要求,改变现有办公模式,提高工作效率;根据对淮安今世缘酒厂实地勘察,网络采用树型结构,即核心防火墙汇聚层交换机接入层交换机;总部网络上行为1000兆,有防火墙与汇聚层交换机组成,下面接入层交换机。IP统一分配。网络中所有数据通过防火墙访问internet,确保内部网络的安全性。 部署边界安全:部署USG5320防火墙; 安全域划分:防火墙与交换机VLAN特性配合,实现业务系统间可控访问; 部署终端安全:个人防火墙、病毒防杀,桌面访问控制 安全管理:配合设备网络管理系统使用 核心层交换机:
21、一台S9312,双主控双电源,达到冗余互备的效果。划分不同VLAN,通过防火墙后到电信网络,访问公网。 汇聚层交换机:LS-S5324TP-SI,7台汇聚层交换机进行光纤连接;每栋楼的接入层交换机连接相应汇聚层交换机。 接入层交换机: LS-2326TP-EI分别放置在各个弱电井中,分别于汇聚成交换机互联。 1.4 网络系统设计方案1.1.3 常用网络分层及拓朴介绍1.4.1 网络分层 我们采用分层的建网思路,这样可使网络结构明晰,各层功能实体之间的作用定位清楚,接口开放,标准。根据网络不同的规模,可分为骨干层、汇接层和接入层。如图所示:一般情况下,骨干层和汇接层可合为一层称为核心层,这样有利
22、于扩大接入层的服务范围,降低网络的建设成本。骨干层:主要完成的功能是给各业务汇接节点提供高带宽的IP业务承载和交换通道,完成和已有网络(ATM、PSTN、FRDDN和IP网)的互连互通。一般采用背板交换带宽比较高的网络设备,提供高的交换能力。汇接层:主要完成的功能是给各业务接入节点提供业务的汇聚、管理和分发处理。汇接节点设备一般采用具备三层功能的多层交换机。具有多种接入能力、访问控制和路由能力。接入层:主要利用多种接入技术,迅速覆盖用户,进行带宽和业务分配,实现用户的接入,接入节点设备完成多业务的复用和传输,并且利用光纤,双绞线、同轴电缆等连接到用户。一般采用端口密集的低端具有简单三层功能的交
23、换机。1.4.2 网络拓扑结构网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式,网络中各站点相互连接的方法和形式称为网络拓扑。拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星型结构、环形结构、总线结构、树型结构等。 星型结构:星状网络拓扑结构图星型结构是指各工作站以星型方式连接成网。网络有中央节点,其他节点(工作站、服务器)都与中央节点直接相连,这种结构以中央节点为中心,因此又称为集中式网络。它具有如下特点:结构简单,便于管理;控制简单,便于建网;网络延迟时间较小,传输误差较低。1.1.4 网络系统详细设计方案网络拓扑图:1.4.3 网络拓扑分析根据对淮安今世缘网
24、络的实际考察,建议在中心机房配置一台高性能的防火墙USG5320,防火墙与交换机VLAN特性配合,实现业务系统间可控访问。在交换设备选型方面,我们的原则是选择成熟的、先进、具有较高市场份额的品牌。华为公司的交换机产品技术先进,产品成熟,具有较完整的生产线,值得信赖。根据部门网络系统的理解,我们建议核心层:部署一台S9312,双主控双电源,达到冗余互备的效果。划分不同VLAN,通过防火墙后到电信网络,访问公网。汇聚层:部署7台LS-S5324TP-SI汇聚层交换机进行光纤连接;每栋楼的接入层交换机连接相应汇聚层交换机。 接入层:部署29台 LS-2326TP-EI分别放置在各个弱电井中,分别于汇
25、聚成交换机互联。1.4.4 防火墙技术防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击,实现以下基本功能:禁止外部用户进入内部网络,访问内部机器;保证外部用户可以且只能访问到某些指定的公开信息;限制内部用户只能访问到某些特定的资源,如WWW服务、FTP服务、 TELNET服务等;过滤进网和出网的流量 我们建议用户在防火墙上实施进网流量过滤措施,阻止非法的数据包进入网络,同时阻止任何伪造IP地址的数据包进入网络。三层接入的特点采
26、用三层结构具有以下几个方面的优点:1、可以对内部网络进行有效的控制、屏蔽内部网络信息。2、VLAN的增加、删除、修改不影响到整个平台。3、可以有效的抑制内部广播包对平台的影响。4、可以配置安全策略,对内部网络进行适度的保护。1.5 IP地址规划1.5.1 IP地址分配原理基于TCP/IP协议的Internet已逐步发展成为当今世界上规模最大、拥有用户和资源最多的一个超大型公务网信息系统,TCP/IP协议也因此成为事实上的工业标准。IP网络正逐步成为当代乃至未来公务网信息系统的主流。IP网络是由通过路由设备互连起来的IP子网构成的,这些路由设备负责在IP子网间寻找路由,并将IP分组转发到下一个I
27、P子网。IP地址是IP网络中数据传输的依据,它标识了IP网络中的一个连接,一台主机可以有多个IP地址。IP分组中的IP地址在网络传输中是保持不变的。网络地址是由Internet权力机构(InterNIC)统一分配的,目的是为了保证网络地址的全球唯一性。主机地址是由各个网络的系统管理员分配。因此,网络地址的唯一性与网络内主机地址的唯一性确保了IP地址的全球唯一性。1.5.2 P地址分配应遵循的原则局域网络是一个基于TCP/IP协议的IP宽带网、包括多种应用网络系统,在分配IP地址时,必须充分考虑网络运行和管理及IP地址分配简单性和可扩充性。简言之,IP地址分配应具备: 唯一性:一个IP网络中不能
28、有两个主机采用相同的IP地址; 简单性:地址分配应简单,易于管理,降低网络扩展的复杂性; 连续性:连续地址在层次结构网络中易于进行路径叠合,缩减路由表,提高路由算法效率; 可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展是能保证地址叠合所需的连续性; 灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。 规范性: IP地址分配要按照纵向和横向的分类有一定的规范性。1.5.3 IP地址分配方式我们先假设一段IP地址,如利用一个C类地址:192.168.0.1/24,进行IP地址规划,本段IP地址的分配作为A楼的IP;192.168.1.1/24 ,这段IP地址分配
29、给B楼;192.168.2.1/24,这段IP分配给B;这样每幢楼在不同的网段,划分不同的VLAN,可以有效的防止广播风暴,即使一个vlan里的用户由于广播风暴不能正常运行,也不会影响到其它用户,保证了用户的安全性,也方便用户管理。1.6 产品信息1.6.1 Secospace USG5300 系列统一安全网关 网络安全状况不断的恶化,越来越多基于各项应用和业务的深层次网络安全问题困扰着用户。恶意入侵、钓鱼网站、木马程序以及P2P泛滥等网络安全问题,导致企业网络效率低下,业务安全受到严重威胁。华为赛门铁克科技有限公司长期致力于为用户提供全面的网络安全解决方案,拥有业界最强的网络协议分析团队以及
30、最全的协议知识库,针对各种网络协议的安全威胁有着深入的分析和理解,可以为用户提供应对各种网络安全威胁的技术支撑。USG5300系列统一安全网关是华为赛门铁克公司推出的新一代统一安全网关,能够为用户提供防火墙、VPN、IPS、反病毒、URL过滤等多项领先的安全功能,提供全方位的网络系统安全防护,保障网络系统高效运行。领先的架构平台USG5300系列统一安全网关采用了先进的多核硬件架构,多线程并行处理,优化了安全业务处理流程,特别是针对首包处理的优化,使USG5300系列统一安全网关具备同档产品业界第一的每秒新建连接数,足以应对各种大规模网络流量的应用。同时,将数据解封装和深度检测进行分离,实现多
31、种深度检测并行,大幅度提升设备在深度检测状态下的性能。10年成功的商业应用,成熟的VRP软件平台为USG5300系列统一安全网关提供健壮的操作系统,是用户最可信赖的安全操作系统。业界领先的产品性能USG5300系列统一安全网关采用多核并行处理技术,最大可支持数十条线程并行处理,产品在性能上有了质的飞跃,三大主要性能指标在业界处于领先位置,为用户带来超高的性能体验,尤其是作为防火墙最关键的性能指标“每秒新建连接数”,达到了惊人的每秒15万条,在业界同类产品中处于绝对的领先,能在短时间内为用户的网络访问建立大量的连接,提供网络的高速转发和低延迟,同时,也可以有效的应对网络中产生的大量突发流量和网络
32、攻击流量。可满足多种高速转发的网络应用的要求,充分满足用户网络对带宽高速增长的需要。超大容量的VPN机构业务的扩大,导致分支机构及外出办公人员增加,对加密数据传输的需求越来越大,USG5300系列统一安全网关支持L2TP、GRE、IPSec VPN功能,为用户提供灵活的选择和配置,凭借该系列产品领先的硬件架构,可以为用户提供超高的VPN性能和多达15000条的VPN隧道数量,用户不必在为数据加密传输的性能而担忧,各种不同的网络应用,包括视频、语音等大流量的应用,都能在加密隧道内实现高速的传输,为用户提供“G”级的加密传输体验。注: VPN功能为可选模块,客户可通过购买License获得VPN功
33、能。强劲的DDoS防护对关键网络业务的DDoS防护,是机构用户面临的重大安全问题之一,USG5300系列统一安全网关凭借超高的每秒新建连接数,对于DDoS攻击的防护可以达到每秒数百万包以上,为用户的业务系统提供DDoS攻击防护,强大的协议分析能力,可支持对SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、CC等多种DDoS攻击种类的准确识别和控制,同时还能提供蠕虫病毒流量的识别和防范能力,结合华为赛门铁克公司专有ICA智能连接算法,保证在准确识别DDoS攻击流量的同时,不影响用户的正常访问,在复杂网络情况下实现真正的安全防护,是业界领先的DDoS防护设备。精确的
34、P2P流量控制有带宽杀手之称的P2P流量成为各个机构目前最大的困扰,导致机构内的业务应用无法正常进行,由于P2P协议具有的灵活特性,使得对其控制成为一个难题,USG5300系列统一安全网关基于华为赛门铁克公司强大的网络协议分析能力,可以实现对多达50余种P2P流量的精确识别,同时,可支持特征库升级,不断识别新的协议种类,对各类P2P协议实现K级流量控制,并且可以分单个、一组或者全局用户进行控制,有效的保障用户的网络带宽资源,帮助用户合理规划网络流量,提升用户网络应用价值。领先的UTM功能IPS入侵检测IPS入侵检测功能采用了赛门铁克公司先进的IPS检测引擎,可提供高效、精准的网络报文扫描能力,
35、对于IPS躲避和欺骗技术也可以做到准确识别。配合以先进的软、硬件平台及丰富的签名库,USG5300系列统一安全网关能够快速、精确识别出混杂在正常流量中的应用层攻击。通过赛门铁克公司全球部署的蜜罐系统,实时捕获最新的攻击、蠕虫、木马等威胁,提取相应签名,并及时的为USG5300系列统一安全网关提供更新,从而保证USG5300系列统一安全网关对于零日攻击的防御能力。Anti-Virus防病毒Anti-Virus防病毒功能采用了赛门铁克公司先进的病毒检测引擎,对于隐藏在网络流量中的病毒,具有高效、精准的查杀能力。先进的软、硬件平台及丰富病毒库的辅助,使得USG5300系列统一安全网关在查杀病毒方面具
36、有得天独厚的优势,压缩、加壳等逃避检测的技术也拥有极强的处理。通过赛门铁克公司全球分布的病毒监控网点和专业的病毒分析团队,USG5300系列统一安全网关能够在最短时间内获取最新的病毒特征及最新的反病毒引擎。使得USG5300系列统一安全网关在防病毒方面更是游刃有余。URL过滤URL过滤功能采用先进的匹配引擎,极大的缩短了URL匹配时间,使得URL过滤功能更加的高效。海量的URL分类库资源和超强的URL分类能力,为URL过滤的准确性提供了坚实的基础。灵活的安全策略,适用于更多的应用场景。友好、简便的配置方式,极大的提高了产品的易用性,使得USG5300系列统一安全网关在提供强劲功能的同时更加容易
37、操作维护。绿色环保USG5300系列统一安全网关在开发之初就将“高性能,低功耗”作为重要的硬性规格,对多个部件做了功耗方面的优化设计,功耗仅为同类产品的1/4,为用户大幅度节省产品的后期维护成本。USG5300系列统一安全网关严格按照欧盟的“RoHS”环保标准,采用无公害、无污染的环保材料制造,为用户带来“绿色环保”使用新体验。1.6.2 Quidway S9300系列T比特路由交换机 Quidway S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,
38、进一步提供业务流分析、完善的QOS策略、可控组播、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。Quidway S9300系列广泛适用于广域网、城域网,园区网络和数据中心核心、汇聚节点,帮助企业构建面向应用的网络平台,提供交换路由一体化的端到端融合网络。 Quidway S9300系列提供S9303、S9306、S9312三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多种绿色节能创新技术,在不断提升产品特点 先进交换架构提升网络扩展
39、性 S9300采用先进的分布式交换技术,提供业界最大整机交换容量和槽位带宽。 创新的交换速率自适应技术,支持单端口速率40G、100G平滑升级,同时完美兼容现网板卡,保护初始投资。 背板通流能力充分考虑未来带宽升级对整机电源功率和散热需求,数据总线预留升级高速交换网能力。 超高万兆端口密度,单台设备支持576个万兆端口,助力企业园区和数据中心迎来全万兆核心时代。 创新的三平面架构设计 S9300在传统交换机数据转发、管理控制双平面基础上创新地增加了独立的环境监控平面,实现对单板、风扇和电源配电模块的监控、管理和维护。 业界首创的环境监控板,采用华为自主知识产权的高集成度中控芯片,实现硬件级的按
40、流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术,在提升系统性能的同时大大降低整机功耗。 支持独立环境监控与网管联动,实现全面可视化管理。 运营级高可靠性设计,保障企业应用永续运行 9300具备超越5个9的运营级高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。基于分布式的硬件转发架构,路由平面和数据交换平面严格分离,保证业务流永续畅通。 独立的故障检测定位硬件,提供3.3ms高精度硬件级以太OAM功能,实现快速故障检测与定位,与其他倒换技术联动可有效保证毫秒级网络保护。 能够在冗余控制引擎间实现无缝切换,设备优雅重启无中断转发。支持ISSU业务无
41、缝升级,减少关键业务和服务中断。 支持Enhanced-Trunk(E-Trunk)功能,实现跨设备链路聚合,二层组网环境中跨设备链路聚合无须运行破环协议,提高设备链路利用效率的同时避免单点故障。 支持IEEE 802.3ad链路汇聚、IEEE 802.1s/w和虚拟路由器冗余协议(VRRP),同时支持丰富的毫秒级倒换技术如RRPP、Smart Link、IP FRR、TE FRR、VPN FRR等,实现运营级级高可靠性。 多维集群CSS(集群交换系统) 通过CSS集群虚拟化技术,将集群主机虚拟成一台逻辑设备,实现整个集群系统控制信息共享和路由、组播表项同步。 CSS集群技术可以有效提高单台设
42、备的带宽,满足高密万兆园区核心与大容量数据中心对核心交换设备的带宽吞吐要求。 CSS集群技术可以提高系统的可靠性。S9300 CSS集群创新性采用交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换,交换效率低下的架构难题。采用交换网集群技术可以将集群主机交换网拉通,集群不占用线卡槽位,并提供业界最大的256G集群带宽,同时可以通过跨框链路聚合提高链路的利用率,并消除单点故障。 CSS集群可以简化核心层的网络管理,整个集群系统共用同一个虚拟IP,减少设备网元,简化网络拓扑管理,提高运营效率,降低维护成本。运行中软件升级ISSU保障网络无中断运行 ISSU可以在设备软件升级过程中,减少系统业
43、务中断时间,显著地提高设备的可靠性。真正使企业网络具备“全天候”提供业务能力,实现设备软件升级流量“零”割接,应用不中断。 S9300提供无损升级、有损升级和快速重启三种ISSU升级方式,系统可自动比较新旧版本各个模块间差异,给出升级方式建议,供用户选择。 支持ISSU升级失败时自动回退(Auto-Rollback)版本,线卡采用新旧版本进程备份技术减少ISSU中断应用的影响 。 完善的QOS机制 S9300提供高品质的QOS(Quality of Service)能力,支持Layer2Layer7的流分类技术,具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不同
44、用户、不同业务等级的服务质量要求。 S9300提供层次化QOS(H-QOS)调度机制,通过在不同业务等级上分别设置单独调度器,进一步精细化流量QOS特征,保障相应业务的服务质量。支持面向接入侧的多级H-QOS调度机制,多样化,差异化满足大型企业园区不同层次用户设备的业务需求。 全业务以太交换平台 支持分布式L2/L3 MPLS VPN功能,支持MPLS、VPLS、HVPLS、VLL,满足企业VPN等用户的接入需求。 支持多种速率WAN子卡,满足广域接入的需求。 具备线速的跨VLAN组播复制能力,实现端口满负荷复制,满足多终端视频监控和视频会议接入需求;完善的二、三层组播协议,可作为组播复制点和
45、控制点,提供高性能的IP组播视频和音频应用。 软件平台提供多种路由协议满足企业建网要求,支持从中小企业到超大型跨国公司级大规模路由,支持IPv6,能够为企业网络提供平滑升级能力。 支持主流的时钟方案,包括以太网同步时钟,以及IEEE1588时钟同步。 支持标准POE,满足15.4W和30W标准POE供电规格,满足企业在线供电业务需求。 虚拟化数据中心交换平台 S9300 CSS集群虚拟化技术,满足数据中心对核心、汇聚设备大容量、高可靠、海量吞吐的要求。首创交换网集群,分布式跨设备链路聚合技术,有效利用数据中心内部带宽资源,实现数据中心内部数据交换对物理链路无感知。 针对大型分布式计算数据中心业
46、务模型,专门设计大缓存线卡,支持单端口200ms数据流量缓存,解决分布式计算网络瞬间流量过大丢包问题。 每板最大64K硬件队列,支持精细化QOS和流量管理,利用多种队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不同用户、不同业务等级的服务质量要求,准确地按需配置给不同用户、不同业务流分配不同的优先级和队列,保证不同的带宽、业务延迟和抖动性能需求。 高性能IPv6业务能力 S9300软硬件平台均支持IPv6,取得工信部IPv6入网认证和IPv6 Ready第二阶段金色认证。 支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv6静态路由、RIPng、OSPFv3、B
47、GP+、IS-ISv6、IPv6组播,满足IPv6独立组网和IPv4/IPv6混合组网要求。 智能流量负载均衡 S9300负载均衡器能够保证服务可靠性,提高服务响应速度,方便业务灵活扩展。 S9300负载均衡器支持加权轮询、基于连接数、加权IP地址Hash和基于HTTP URL的Hash等多种均衡调度算法,全面满足客户负载均衡要求。 门户网站服务器经常会遇到在同一时间大量针对同样网页、服务的请求,服务器针对请求会频繁建立、拆除TCP连接,耗费大量CPU资源,影响服务器响应速度。S9300负载均衡器支持TCP和HTTP重用,减轻服务器拆除/建立TCP连接的负载,提高服务器访问效率。 S9300负载均衡器支持动态“锁流”技术,满足电子商务网站在线购物负载均衡需求。 强大的网络流量分析能力 S9300支持随板分布式和专用处理线卡集中式网络Netstream业务分析功能,满足用户对网络流量实时采集、分析需要。 支持Netstream V5/V8/V9多种报文格式,支持聚合流量模板,减轻网络采集器系统压力,支持实时流量采集、动态报表生成、属性分析
