《网络改造技术建议书(共85页).doc》由会员分享,可在线阅读,更多相关《网络改造技术建议书(共85页).doc(85页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上犁囱名椎抉哥对公骄跃缓钩娠丑叮渐失兽断证奈耪轨窿妻奶邹虱啮虞要怖寞唱邑竹掘响提诸开叫抿颤烙蹈染非赖报塘蝶锑传玉理乍鸿握艳倡死零氦伺垦属触置蓄晰吃蠢加踩沈灸字呻宁括佬迈鼎盏掀微原碑釜夸赘鸵岛友坎秧类胖车陡秋煞绰民菩迫氢朝晰昔渡匈迄鹊峭猖寨弹尚篱悉瞩壬搞悄檄禄嘲挨税胃憨林檬气墓毗船馒赚王啥戍呸颤蒂蟹坝象陇骤缔矣翘符栓痹榴趣老邦抠削两终截蛮符锡凯鲸毛害坪携早蔓艾坑银郴泌全泉就摧驶爹胶煎颈庙少敌榨堑此宝邱冒撂涌不巢楔汐腑器相症转犊郁拇供轿席祸话蚊涅笋惶剥迎忽油防蛔帘误皱图溅艳邵再膜谰比右吉猩墙蛀肉妥溶作待碟斗棉缀织 17北京XXXXX网络改造技术建议书杭州华三通信技术有限公司
2、2013渣泞欢岂约耍丑冰恿最彼乏圾鲸券两筋陛朵荒箔差华一冈屋华赐咸兔椅硅哑斯哑伪槽霄棵喜博姚快岸讨毅左呢蛹尊蕾另腺轻汲踩擞婚炔骏刻乒纽番创矮眶贤失浑缚昭蒙八涉奏曾涅北轰劳签符膘晤丛载学扭为卞妹菇匪筐劳险垮惋揭来隧墒锌成竣腊枢壮殷巫丽枯卫脯笺朔田编碗皿菌燎槽逾陀炙雾详例送贷瘁急嘛山篓旷竿慢片卵娟透敏备虹储吻谚臭顶彩掺柴染忌乐柏抢乍俗吓变帜奠摄俞智馒恬粉绘诊接庄邢校坟哼苛葬天售佩融颠醛莹讥麓可葵篆域妹惦琶障油尘稼张碑愉但淮赋治艰醒锑狗铝蹈杜奉之蚤宁振翰堂躇抢浪樊收擒锯葬败歧账恭怀捉喧河煮狄坞雁弗度坪漓掣眼牲淋萄贝埋间互网络改造技术建议书宋婆缘像鹏豁模媳怪窜札列迅屋孤褪葱趋光桔验琳紧阿兰如冗碘播凄炉
3、炔恶恕硫赵刮挟朋儿规锅忘烟爵掖缔多斗课贰怯晶墨引当盂龄葬虏岸稍板镭辑准冕头夺七落扰歪窖杆翁系曼荆跑慎襄嘴顺映哦搓碳雀锌旷掘疽暮搁噎儿罢蒸旷篆桑砸舰谋粳勾圭坯咎饺转角脖委惧阴焦毫逐沸韦梨扎毯啊坯浦兑讼帘郝雄嚎狱贸窒活竖素默挛得辐借村释馈呵轨伦叉项堡涉猿勋捉惕甘晾撰溢畔郴歉挑戴卞叹蒋钾姻釉猫幌逢慨躯婴辉章哆名爪狐蝉垂逼葫引阿专铲狞僵疫标跟敛流魄锌良诗床跳都坯鲸扔垄筒雌依报支涅临高疏浩爷亏缅辜锹酋掠僳福览玻杠婪淫蹄鲤害底铣援崇泌泌迈载论进金砧酶医求真热北京XXXXX网络改造技术建议书杭州华三通信技术有限公司2013年12月目 录第一章 用户需求分析1.1 概述北京XXXXX“NOVOTEL”,是世界
4、知名的商务型酒店品牌,是雅高集团旗下三大知名酒店品牌之一,雅高集团总部设在,成立于1967年,是最大的酒店集团。截至2004年底,雅高集团拥有15.8万个员工,饭店业务涉及140个国家,是欧洲饭店、行业的领导企业,也是世界大的饭店和服务集团之一。雅高在世界范围内约有4000家饭店,从经济型到豪华饭店,雅高提供了全系列不同档次的饭店服务,满足了不同需求层次顾客的需要。“想客人之所想, 急客人之所急”,是酒店宾馆业提供优质服务的一个基本点。H3C以全系列的产品和量身定做的解决方案为酒店信息化提供鼎力支持,为酒店搭建覆盖酒店每个角落,并通过互联网延伸到全世界的好网络,为客人提供全方位服务。H3C酒店
5、解决方案融合了数据、语音、视频等多方面综合业务,让酒店服务更加完善,为酒店开源、节流、增效,支撑酒店长期和谐发展。随着中国旅游业的发展,中国宾馆酒店产业逐年扩大、竞争加剧,竞争热点也逐渐转移到国际化、智能化方面。商旅人士在信息时代产生的新需求,更加促使酒店将服务信息化、智能化作为重点打造的目标。 同时酒店自身的信息化管理水平及提供的网络通信服务能力也成为星级酒店评定的重要因素。有越来越多来自不同国家地区,具有不同文化教育背景的客人来到中国。客人在享受温馨舒适居住环境、周到的人工服务的同时,更需要进行互动的娱乐和综合信息服务,如影视点播、旅游信息、在线购物、风土人情介绍等。酒店会议室经常出租给客
6、户举行会议,而与会的人员通常需要使用笔记本电脑进行会务。为了客户的方便,更为酒店服务上一个等级,基于网络,为客户提供完善的服务成为行业共识。客人尤其是商旅人士对宾馆酒店信息化服务的需求也已经从单纯的上网发展到基于网络的更高的综合性需求。另一方面,对于酒店来讲,建设内部的宽带网络重要的是在网络上能够提供什么服务,这些服务为客人带来便利和享受的同时能够为酒店带来可观的收益。H3C作为全球 IP网络市场领导厂商,致力于IP技术的网络设备与应用的研究和应用开发。H3C酒店综合业务解决方案通过将 IP语音/视频、无线通信、存储技术与基础网络技术相互融和,有效的提升酒店信息化管理水平,降低运营成本,同时为
7、客户提供形式多样内容丰富的服务,以助于提升酒店的入住率和利润率。最终实现酒店开源节流,提高盈利,酒店客户满意的双赢目标。1.2 需求分析如今的酒店,从最基本的订房系统到酒店商场和小吧台的消费结算,从客人的随时在线需求到酒店前台的电子屏幕显示,各项业务的开展都日趋网络化,这对酒店的基础网络平台提出了更高的要求,有关收费的业务更是对安全性提出了挑战。H3C酒店综合业务解决方案的基础网络平台设计不仅关注于为酒店系统提供一个高速可靠的网络通信环境,还特别注重网络的安全性,以及基础网络本身对酒店多种业务的支撑能力,使其更好的支持视频VOD点播、IP电话、无线接入、互联网 WEB浏览等业务。1) 可靠网络
8、 酒店的 IT 系统正常运行是酒店正常运转的基本保障,这就要求酒店的基础网络和业务系统不仅能够为客户提供业务,还要保障 24 小时的服务不间断性。 2) 多媒体融和 网络应用的日趋复杂化,使得网络必须拥有良好的 QoS保障技术和组播支持能力,才能够很好的支持语音、视频等多媒体应用,这是酒店开展是视频点播,IP语音业务的基本前提。基础网络设备需要具有良好业务优先级区分服务能力。 3) 安全 早期人们认为酒店的网络只要保障酒店自身信息系统安全就足够了, 客户在使用酒店的网络过程中,遭遇病毒攻击,信息泄露与酒店无关,其实不然。今天酒店已经成为诸多公司用户召开市场会议,进行商务活动的重要场所,为客户提
9、供一个安全的私有的网络通信环境是可以作为一种服务进行运营的,同时使现有的网络平台进行了增值。4) 灵活接入 针对商旅客户在酒店中不受布线的限制,就能在酒吧、咖啡厅、会议大厅随时在线的通信需求,H3C的无线酒店方案,不仅实现对难以布线的区域进行无线覆盖,同时也可以通过无线接入运营获得丰厚的利润回报。 5) 管理简单 管理员无需高深的技术功底, 通过浏览器或图形化的管理界面就可以全面的管理整个酒店所有的网络设备,并进行快速的业务设置。 6) 高速网络 今天的酒店提供基于网络的视频 VOD点播业务已经非常普遍,未来在酒店内部向宾客提供网络在线游戏是另一个趋势,不久的将来会有更多的需要高带宽的应用出现
10、。高带宽的业务形式和客户高速访问互联网的需求以及酒店自身的 PMS管理系统的融合,使酒店建设高速的网络通信环境成为必然的选择。第二章 北京XXXXX网络建设方案2.1 总体网络设计原则为满足北京XXXXX当前各项应用,又可面向未来信息化发展的需要,我们在设计网络时,需要遵循以下原则:(一) 实用性和先进性采用先进成熟的技术满足北京XXXXX大规模会议、洽谈业务需求,兼顾其他相关的客人和管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。(二) 安全可靠性为保证各项业务应用,网络必须具有高可
11、靠性,尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和扩建。在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。(三) 灵活性和可扩展性网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据北京XXXXX不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。(四) 开放性和互连性具备与多种协议计算机通信网络互连互通的特性,确保本计
12、算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。(五) 经济性和投资保护应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。(六) 可管理性由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软
13、件,实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。2.2 总体组网方案概述经过合理规划,针对北京XXXXX网络系统的具体需求,在总体网络设计时对酒店办公网和客房网络采用模块化和层次化设计。为保证酒店整体网络系统的高性能,以及办公与客房网络的隔离,我们设置了核心交换区,A/B楼客房接入区,南/北小楼办公接入区,为达到酒店网络整体便于管理,安全可控的目的,设置了外联区与办公管理区。通过应用网络管理平台、多业务核心
14、设备、千兆接入设备、灵活的WLAN接入,来构建网络系统,使其具有先进性、稳定性、安全性等众多特点,完全可以满足北京XXXXX现在及未来若干年的发展需要。2.3 网络设计方案北京XXXXX网络拓扑图在网络出口处部署一台路由器,路由器直接和运营商网络相连,在路由器下面部署一台防火墙,两者之间通过千兆网线互连。在核心区部署两台机框式核心交换机,启用VRRP协议,做双机热备。核心交换机和防火墙之间通过千兆网线互连。无线控制器通过千兆网线旁观在核心交换机上。鉴于A楼和B楼信息点和接入交换机比较多,所以在A,B楼均部署汇聚交换机,可以把接入层的流量汇聚之后传输到核心交换机上。为了增强网络的可靠性,汇聚交换
15、机通过千兆光纤双上联到核心交换机上。在接入层,分为A楼,B楼,南北小楼及培训室等,南北小楼及培训室等接入交换机可以直接通过光纤连接核心交换机上,而A,B两楼接入交换机均需通过光纤连接汇聚交换机。A楼主要是靠放装式AP和部分面板AP进行无线覆盖,B楼主要是靠面板AP覆盖客房,会议室则采用放装式AP覆盖。南北小楼及培训室等楼宇均采用放装式AP进行无线覆盖(详见无线网络覆盖方案)。所有无线AP均通过网线连接POE交换机,由POE交换机进行远程供电。2.3.1 核心区设计北京XXXXX分为A,B两栋,共计700余间客房,另有南北小楼和培训楼做办公及住宿使用。按照酒店物理分布结构,网络设计以星形扩散,即
16、中心为核心交换区,周围是不同的业务接入区。核心节点的网络设备需要高速运送整个北京XXXXX网络的流量,设备承载的压力较大。因此核心节点的改造,通常必须遵循以下几个原则:1、必须具备高可靠性及高冗余性;2、必须具备模块化产品设计;3、必须具有迅速升级能力;4、必须具有较少的时延和好的可管理性;5、必须具有多业务应用扩展性;从网络拓扑中可以看出,整个网络分为简洁的“核心”-汇聚-“接入”的三层结构,核心交换机为插卡式多业务具备万兆交换平台的高端核心交换机,支持多种多业务插卡,同时支持IPv6和MPLS,保证5-10年内的技术先进性,在未来可以根据酒店的业务需要,部署防火墙插卡、应用控制插卡、SSL
17、 VPN插卡、网络流量分析插卡等等。我们建议采用2台H3C高性能核心交换机S7606-S作为北京XXXXX客房网络的核心节点,负责各种业务数据流量的转发,作为整个网络最核心部分,它的性能、可靠性将极大地影响整个网络的运行情况。核心交换机采用两台部署,启用VRRP协议,可以做到核心热备。2.3.2 接入,汇聚设计在北京XXXXX客房接入区,每层楼需要根据房间数量部署具有增强二层特性的有线接入千兆交换机,具备动态ARP检测防攻击及终端安全控制、访问控制列表等特性,非常适合酒店人员流动性大的场合。接入层设置于楼层IDF间,我们建议每楼层IDF间部署24口有线交换机和24口POE远程供电交换机,其中2
18、4口有线交换机主要用于有线信息点接入,24口POE交换机用于AP的接入及供电,一方面免去为AP外接电源的工程实施难度,另一方面可以通过在交换机上进行端口的关闭打开,实现AP的远程断电重启,便于故障的处理。A,B楼层接入交换机均需连接24口纯千兆光纤汇聚交换机,而后上行至核心交换机,接入层设备采用“千兆到桌面”的设计理念,为用户打造畅通无阻的高效基础平台。如下图所示2.3.3 无线网络设计北京XXXXX主要包含A,B两栋主楼,内部有客房、咖啡厅、餐厅、酒吧和洗浴中心等区域,另有南北两栋小楼和一栋培训楼,主要作为员工宿舍及办公使用。根据北京XXXXX的用户规模和网络状况,拟采用无线控制器(AC)+
19、瘦AP(Fit AP)的组网方式,瘦AP实现无线信号的处理,而用户管理、加密、漫游、AP管理等功能全部集中到AC进行,这样可以简化整个网络的管理,提高设备的工作效率。AP的供电采用以太网供电(Power Over Ethernet,PoE),通过以太网线来汇聚AP的流量,同时为AP提供电源,这样可以简化布线,同时减少故障点,提高网络的可靠性。使用瘦AP方案可以使得管理非常简单,并具有很多胖AP无法实现的特性,比如AP零配置,自动功率控制,漫游,防止非法设备入侵等等。如果使用移动中的终端用户从一个AP走到另外一个AP的覆盖范围下时,H3C的WLAN可以实现小于50毫秒的切换时间,完全可以应付语音
20、和视频这些对时间比较敏感的应用。在AP的接入方面,H3C拥有智能射频管理,当某一个AP出现故障时,周围的其他AP会自动调整功率,对该部分区域进行重新的信号覆盖,保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时,H3C只能射频管理系统可以定位出该AP的位置,以便及时加以排除。使用无线控制器+FIT AP时,AP在启动后会自动通过DHCP方式获取IP地址,并自动搜寻可关联的无线控制器,在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。FIT AP组网最大的优点在于AP本身零配置,AP上电后会自动从无线控制器下载软件版本和配置文件,同时无线控制器会自动调
21、节AP的工作信道以及发射功率。另外,通过无线控制器的RF扫描探测热点地区Rouge AP,可以及时排除其他AP存在的干扰,保障AP的稳定运行。在网络管理方面,网管可以只通过管理无线控制器设备就可以达到控制AP的效果,极大的减少了无线网络后期维护和管理的工作量。H3C WLAN支持目前最先进的各种加密算法AES,并支持802.11和802.11i中规定的各种加密模式,包括WEP、TKIP和CCMP等,完全可以满足用户的安全需要。当用户使用这些加密方式时,其他人使用任何设备均不可能破解用户传输的内容。此外,H3C还支持我国自主知识产权的WAPI,安全性更高。2.3.3.1 Portal认证设计Po
22、rtal认证又称为强制WEB认证,以其新业务支撑能力强大、无需安装客户软件、与组网设备无关等特点,受到越来越多用户的欢迎。Portal认证业务可以为管理者提供方便的管理功能,如要求所有的用户都到门户网站去认证,门户网站可以开展广告、信息服务、个性化的业务等,为信息传播提供一个良好的载体。Portal认证原理Portal 认证协议主要应用于H3C公司提出的基于 WEB 的宽带接入认证系统中,完成用户的认证和授权。整个 Portal 认证过程涉及到了Portal 页面,WX6103 和 iMC 服务器。Portal认证工作原理:未认证用户在访问网络时,可以直接访问为用户免费开放的资源,当用户要使用
23、网络中的收费资源时,设备会将用户的http请求重定向到Portal门户网站,用户必须在门户网站进行认证,只有认证通过后才可以访问这些资源。Portal认证的工作流程如下图所示:图1 Portal认证流程认证流程:用户通过IE访问需要授权的网络资源,设备发现用户还没有通过认证则强制到Portal,Portal Server将WEB页面强推给用户,提示用户需要进行认证。用户在WEB页面中输入用户名密码并提交认证,Portal Server将认证信息发送给设备,设备将用户信息转换为Radius报文发送到iMC服务器进行认证。iMC服务器对用户信息进行验证,确认无误后,下发认证通过报文以及相应的权限控
24、制信息给设备,设备放开用户的上网权限,同时iMC服务器开始进行计费。上网期间,用户PC和Portal Server定时发送心跳报文交互,以确保用户没有因异常原因下线。用户下线时,Portal Server收到用户下线请求并通知设备,iMC服务器终止计费并通知设备断开用户。Portal功能特点 不需要安装客户端软件相对于其他的认证方式,Portal认证通过网页即可实现认证,无需安装客户端。不但减少了用户机器的负担,而且方便了上网用户的使用,同时管理者也不用逐一为每个上网用户安装和升级客户端软件,极大减轻管理难度。 可对在线用户进行实时检测用户认证通过后,Portal Server和用户之间采用心
25、跳机制保持通信,当终端用户的机器出现异常时,比如:死机、网络断线、异常关闭浏览器等情况出现时,Portal Server就可以及时发现用户侧的问题,并通知设备将此终端用户下线并且停止计费;同时Portal Server支持开启或者关闭心跳,也可以设置心跳的间隔和心跳超时时长,这种功能使心跳检测更加灵活,大大提高了计费精度和对复杂的网络的适应能力。 具有按用户接入端口分组的功能,可为不同组用户提供不同的配置Portal认证可以根据用户所在交换机的端口以及用户所在的IP地址池,将用户划分为不同的组,每个组都可以设置不同的认证主页、不同的认证方式,从而方便对不同的用户进行管理。同时PORTAL所有的
26、认证页面都使用了动态页面技术,管理员可以根据不同用户群的特点,定制特色认证页面,极大提高用户使用满意度。 支持二次地址分配和NAT功能为了减少公网IP地址资源的浪费,PORTAL通过与设备的配合,使用户在认证前使用的是私网IP,认证成功后再分配公网IP,从而保证了公网IP地址的更加合理的应用。如果用户的IP地址经过了NAT转换,再经过PORTAL服务进行认证,PORTAL服务器支持开启NAT功能,可以为用户下载一个APPLET,获取用户的实际IP地址,再通过设备进行认证。 支持认证窗口的最小化功能 用户在认证通过后,Portal支持在线窗口可以最小化到任务栏,以减少对用户上网的影响。 防止窗口
27、过滤的功能 很多上网用户出于安全的考虑或者防止网上的垃圾广告,会安装个人防火墙或者窗口过滤工具,来防止IE 弹出窗口。如果用户的IE开启了窗口过滤的功能,Portal在弹出认证成功窗口时,会进行窗口过滤的检测,从而防止由于窗口过滤而无法认证成功的情况。Portal页面框架定制Portal页面框架定制,是以直观、可视化的方式去绘制一个无线认证Web Portal页面。只需用鼠标进行单击、拖拽等简单操作,即可轻松完成Portal页面的绘作。系统默认提供几套模板,操作员可基于预定义的基础模板生成定制页面,也可以在空白模板上全程自行个性化绘制Portal页面。绘制完成的页面保存为.jsp格式的文件,并
28、可以直接发布到各个服务器端。所有的基于模板制作或通过第三方工具自定义的页面都可以添加到页面定制列表中由操作员进行统一管理Portal页面定制框架功能特点 可视化页面框架定制提供预定义框架定制页面,当需要快速定制Portal页面时,可以基于预定义模板定制Portal页面,把页面元素替换成需要的信息即可,UAM提供了几套预定义模板由操作员根据需要自行选择。而当需要定制全新的Portal页面时,可以基于空白模板进行定制,在空白模板上,可通过鼠标点击、拖拽定制多个区域的富文本信息,如图片、背景颜色、边框样式、Logo的设计、文本、链接等。针对手机等智能终端,提供预定义模板可进行可视化定义编辑。 兼容第
29、三方Web页面所有使用第三方软件(DreamWeaver、FontPage)定制的Web Portal页面,都可以通过添加自定义页面的方式添加到配置管理台中进行统一管理。 支持多种页面的定制支持Web Portal登录页面、用户自助页面、预注册页面等多种页面的可视化定制,支持与第三方管理流程系统整合定制。 智能页面推送针对不同终端、SSID和用户身份推送不同的页面内容,协助接入用户最快获取最需要的信息,从而可与企业内部Web系统、第三方广告内容管理系统配合,适应不同网络运营方需求。2.3.3.2多业务的安全设计H3C FIT AP解决方案提供多种业务不同网络层面的安全保障,体现在:层次体系主要
30、技术解决的问题物理接入WEP64/128、TKIP、CCMP加密可升级支持WAPI加密防止无线报文被监听和篡改SSID隐藏解决不明用户访问网络逻辑链路802.1x/PSK/MAC/Portal多种认证方式的混合接入802.1x支持PEAP/TLS/TTLS/SIM多种模式可升级支持WAPI认证用户身份鉴别和安全准入动态下发用户的权限业务隔离Hotspot用户隔离限制用户互访黑名单限制恶意用户网络无线入侵检测系统非法设备的检测、无线攻击的告警和规避安全策略在无线控制器统一部署避免在大量的无线接入点部署策略AC和AP间的CAPWAP隧道下行流量限速防范外界对AP的数据流量攻击IPSEC VPN端到
31、端的安全加密资源绑写(MAC、ESS、VLAN、Port)尽可能防止假冒设备AP本地不再保存配置信息避免设备丢失造成配置泄漏AP身份认证只有合法的AP才能和无线控制器建立关联AP支持多无线控制器的冗余备份无线控制器down机不会造成无线网络的瘫痪网管无线安全策略配置无线安全策略的统一部署非法设备监控和告警非法设备的检测、无线攻击的告警和规避设备信道调整告警了解设备遭受干扰后的信道调整情况2.3.4 办公区设计酒店办公网和客房网之间通过核心交换区进行互联,并由防火墙设备虚拟出来的防火墙进行基础网络安全隔离。 为了能够系统的解决目前网络运营、管理中存在的问题,建议在办公区配置一套H3C iMC智能
32、管理中心平台软件,iMC平台为用户提供了实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能、配置、安全等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。iMC智能管理中心除了实现基础的用户管理和网络管理功能外,最大的特色在于实现了两者之间的有机融合,配合UAM用户接入管理组件,可以在统一的操作界面上同时完成网络、用户的管理。UAM支持802.1x、Portal、VPN接入等多种认证接入方式,支持PAP、CHAP、EAP-MD5、EAP-PAP、EAP-TLS、PEAP等多种身份验证方式,适应不同安全
33、要求的应用场景。基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。可以控制用户的上网带宽(QoS)、限制用户同时在线数、禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占用。iMC UAM组件可以配合iMC管理平台,针对不同用户身份/接入位置进行不同的广告推送业务,协助接入用户最快获取最需要的信息,从而可与第三方广告平台配合,适应不同网络运营方需求,达成广告平台、网络运营方以及接入用户的三赢。2.3.5 外联区设计外网出口路由器担负着北京XXXXX网络和外界网络连通的重任,必须具备极高的可靠性,稳定性、强大的性能和丰富的策略支持,满足北京XXXXX核心出口节点多样性的需
34、求。我们建议饭店外网出口设置1台ICG3000路由器,连接运营商线路,向内通过千兆电口与核心交换机相连,实现住宿客人和办公人员的Internet访问。出口路由器采用模块化设计,具备多种广域网接口接入能力和接入带宽的平滑扩展能力。支持多种路由协议,NAT,SSL/IPSEC VPN等技术,可实现灵活组网需求,通过QOS策略,控制不同应用对出口带宽的占用,保障重要业务平稳运行,同时出口路由器下部署一台防火墙,对整网具备安全防护功能,支持统一管理,满足网管人员的精细化运维需求。 第四章 产品介绍3.1 H3C S7600系列运营级高端核心交换机产品概述H3C S7600系列运营级高端路由交换机产品是
35、杭州华三通信技术有限公司针对城域以太网市场推出的新一代城域网设备。S7600系列路由交换机相对于传统的企业级以太网交换机在表项容量、QOS、可靠性、可管理性、多业务支持能力、网络安全等方面都有了质的飞跃,是真正意义上的电信级IP交换产品,能够为运营商城域网、数据中心等应用提供大容量、高可靠、严格QoS的业务承载保障。H3C S7600系列路由交换机产品系列包括S7602-S、S7603、S7603-S、S7604-X、S7606、S7606-S、S7606-V、S7608-X、S7608-XV、S7610十种主要型号,能够适应不同网络规模的端口密度和性能要求,为运营商建设多业务综合承载城域网提
36、供有力的设备保障。S7600系列路由交换机,配合H3C的系列路由器、以太网交换机和iMC网管系统为运营商城域以太网组网提供了全系列的解决方案。图1 S7600系列路由交换机产品特点 基于IRF2(第二代智能弹性架构)技术的虚拟化架构 H3C S7600系列交换机支持IRF2(第二代智能弹性架构)技术,在扩展性、可靠性、整体架构和可用性方面具有强大的优势,主要体现在四个方面: 扩展性:IRF技术允许交换机利用互联电缆实现多台设备的扩展;具有即插即用、单一IP管理,同步升级的优点,同时大大降低系统扩展的成本。 可靠性:通过专利的路由热备份技术,在整个IRF组内实现控制平面和数据平面所有信息的冗余备
37、份和无间断的三层转发,极大的增强了IRF组的可靠性和高性能,同时消除了单点故障,避免了业务中断。 分布性:通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。 可用性:通过标准的万兆以太网接口实现智能弹性架构,可以根据需求分配业务带宽和系统连接带宽,合理分配本地流量与上行流量;不仅可以实现机架内、跨机架,甚至跨区域的远距离智能弹性架构。完备的二层特性大容量MAC表项;4K VLAN支持,灵活的QinQ能力;完全的生成树特性支持;端口聚合/端口镜像/广播风暴抑制。完善的二层特性保证设备在汇聚层满足用户的功能需求。强大的三层功能大容量三层表
38、项;完备的路由协议支持;大容量组播支持。通过超大容量转发表项的提供, S7600可以支持大规模城域网的核心、汇聚层应用,并能对二层、三层以及MPLS应用提供充足的表项支持。丰富的QoS、ACL特性S7600提供VLAN ACL、Egress ACL等增强的ACL功能,为复杂的安全访问管理和控制提供了丰富的资源在QoS方面,S7600提供完善的Diff-Serv/QoS支持。支持基于报文流分类结果进行优先级重标记或速率限制,支持双向的双速三色和单速双色带宽监管功能、支持WRED和尾丢弃的拥塞控制方法、支持SP、WRR、WFQ队列调度算法、支持802.1P、DSCP、EXP的优先级映射和重标记,支
39、持基于端口/端口队列输出流整形等功能,并提供了基于用户、业务和端口三个层次的优先级队列调度能力,为城域网话音、数据、视频以及企业专网等多种业务综合承载的服务质量保证提供了有效的保证通过强大的QoS能力,S7600在运营商城域网中对不同业务类型提供区分的服务质量保证,并为数目繁多的个人和企业用户提供更精细的基于业务的带宽控制。高可靠性在硬件设计方面,S7600采用无源背板设计,电源系统采用1+1冗余备份设计,支持双路电源输入,支持在线故障检测、告警指示,所有单板和风扇框支持热插拔在二层特性方面,S7600支持STP/RSTP/MSTP协议,VRRP v2/v3协议等,并提供了独有的RRPP快速环
40、网保护协议,环网收敛时间约为50ms,有效保证了环网应用是的快速故障发现和保护,此外,S7600能支持SmartLink双上行主备链路保护机制、跨板聚合功能、以太网OAM等更简单、高可靠的故障发现和保护手段。在三层路由协议层面,S7600支持Graceful Restart for OSPF/BGP/ISIS,并能够保证在主备倒换时接口板的不间断转发,能够在网络故障发生时保证网络协议状态和业务承载的正确性。通过软硬件的高可靠设计,S7600可以为运营商城域网提供各种业务的高可靠承载,确保业务的故障恢复时间满足50ms的电信级要求。高安全性S7600提供包安全过滤/ACL的机制,防止非法侵入和恶
41、意报文攻击。对重要的路由协议(OSPF,IS-IS,RIP-2、BGP等)也提供多种验证方法(明文验证、MD5、HMAC-MD5),并提供防DOS攻击,通过DHCP Relay security和DHCP Snooping security等安全特性进行IP、MAC、Port的绑定能够有效防止地址假冒,为城域网络建设提供了完整的安全解决方案。完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全。有源无源一体化S7600系列OLT设备支持丰富的2/3层协议。支持EPON、百兆、千兆、万兆等各种类型的以太网接口;提供4 PON口、8 PON口、16PON口同时带8GE上行单板的接口密度
42、;提供多种组合接口板,全面满足客户需求。整机最大支持160个 EPON 端口;每条EPON线路可以支持1.25Gbps的对称带宽,最大分光比1:64。分布式的体系架构和硬件AISC处理保证IPv4/IPv6业务线速转发,不存在集中式处理的瓶颈,满足网络业务不断发展的需求。产品规格项目S7603-SS7603S7604-XS7606-SS7606背板带宽400Gbps21.4Tbps交换容量192Gbps13.44Tbps包转发率144Mpps8640Mpps二层特性支持IEEE 802.1P(CoS优先级)支持IEEE 802.1Q(VLAN)支持IEEE 802.1d(STP)/802.1w
43、(RSTP)/802.1s(MSTP)支持IEEE 802.1ad(QinQ),灵活QinQ和Vlan mapping支持IEEE 802.3x(全双工流控)和背压式流控(半双工)支持IEEE 802.3ad(链路聚合)和跨板链路聚合支持IEEE 802.3(10Base-T)/802.3u(100Base-T)支持IEEE 802.3z(1000BASE-X)/802.3ab(1000BaseT)支持IEEE 802.3ae(10Gbase)支持IEEE 802.3af(PoE)支持IEEE 802.3at(PoE+)支持RRPP(快速环网保护协议)支持跨板端口/流镜像支持端口广播/多播/未
44、知单播风暴抑制支持Jumbo Frame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持Multicast VLAN+支持点到点 单VLAN交叉连接、双VLAN交叉连接全部依靠VLAN-ID进行转发,不涉及MAC地址学习支持最大VLAN MAPING/灵活QinQ表项全面支持1:1, 2:1,1:2, 2:2 VLAN MAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARP Proxy支持DHCP Relay支持DHCP Server支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGP
45、GR (Graceful Restart优雅重启)支持等价路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4双栈组播支持IGMPv1/v2/v3 支持IGMPv1/v2/v3 Snooping支持IGMP Filter支持IGMP Fast leave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2 Snooping支持PIM-SMv6、PIM-D
46、Mv6、PIM-SSMv6ACL/QoS二层ACL/基本ACL/高级ACL基于VLAN的ACL流量监管CAR 流量整形Shaping优先级Mark/Remark报文重定向策略路由队列调度:SP/WRR/SP+WRR/WFQH-QoS拥塞避免机制:WRED/TD 流量统计端口镜像RSPAN对Telnet/SSH用户的ACL控制对通过SNMP访问交换机的用户的ACL控制MPLS支持L3 MPLS VPN支持L2 VPN: VLL (Martini, Kompella)支持MCE支持MPLS OAM支持VPLS,VLL支持分层VPLS,以及QinQ+VPLS接入支持P/PE功能支持LDP协议安全机制支持EAD安全解决方案支持Portal认证支持MAC认证支持端口隔离支持端口安全支持IP+MAC+端口绑定支持IEEE 802.1x和IEEE 802.1x SERVER支持AAA/Radius支持HWTACACS,支持命令行认证支持SSHv1.5/SSHv2支持ACL流过滤机制支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限支持受限的IP地址的Telnet的登录和口令机制支持IP地址、VL