網(wǎng)絡解決方案技術建議書

網(wǎng)絡解決方案技術建議書#華為技術有限公司TOC\o"1-5"\h\z\o"CurrentDocument"網(wǎng)絡總體設計方案1\o"CurrentDocument"網(wǎng)絡總體網(wǎng)絡設計原則1\o"CurrentDocument"網(wǎng)絡總體架構2\o"CurrentDocument"網(wǎng)絡詳細設計方案3\o"CurrentDocument"VLAN及IP規(guī)劃3\o"CurrentDocument"VLAN概述3\o"CurrentDocument"VLAN功能劃分3\o"CurrentDocument"VLAN規(guī)劃原則4\o"CurrentDocument"VLAN規(guī)劃建議4\o"CurrentDocument"IP規(guī)劃概述5\o"CurrentDocument"IP地址規(guī)劃原則5\o"CurrentDocument"DHCP規(guī)劃7\o"CurrentDocument"DNS規(guī)劃7\o"CurrentDocument"虛擬化設計9\o"CurrentDocument"橫向虛擬化設計9\o"CurrentDocument"縱向虛擬化設計12\o"CurrentDocument"安全設計13\o"CurrentDocument"安全概述13\o"CurrentDocument"網(wǎng)絡安全方案14\o"CurrentDocument"邊界安全方案15\o"CurrentDocument"運維設計22\o"CurrentDocument"設備簡易運維管理22\o"CurrentDocument"網(wǎng)絡質量感知24\o"CurrentDocument"網(wǎng)絡管理軟件eSight25\o"CurrentDocument"eSight部署規(guī)劃方案26設備推薦29\o"CurrentDocument"S7700系列29\o"CurrentDocument"S5700系列全千兆企業(yè)交換機32\o"CurrentDocument"安全接入網(wǎng)關35\o"CurrentDocument"AR1200系列企業(yè)路由器404設備清單4..1\o"CurrentDocument"5售后服務承諾4..3\o"CurrentDocument"售后服務43\o"CurrentDocument"售后服務體系43\o"CurrentDocument"4.1全.國3服務網(wǎng)絡44\o"CurrentDocument"4.1強.大4的管理、技術和服務團隊446售后服務期4.6\o"CurrentDocument"設備廠商、維修服務46\o"CurrentDocument"售后服務46\o"CurrentDocument"基本服務CommonService48\o"CurrentDocument"增值服務Value-addedService52\o"CurrentDocument"專家服務ExpertService54\o"CurrentDocument"標準服務流程56\o"CurrentDocument"巡檢及健康檢查流程56\o"CurrentDocument"6.1.8工作流程57\o"CurrentDocument"6.1.9故障處理流程58\o"CurrentDocument"技術支持流程60\o"CurrentDocument"現(xiàn)場服務流程63\o"CurrentDocument"重大故障處理流程64\o"CurrentDocument"備品備件流程67\o"CurrentDocument"故障事件總結，統(tǒng)計分析報告流程68\o"CurrentDocument"知識庫70\o"CurrentDocument"6.1.16客戶服務中心的組成71\o"CurrentDocument"6.1.17服務管理平臺73網(wǎng)絡解決方案技術建議書1網(wǎng)絡解決方案技術建議書1網(wǎng)絡總體設計方案1網(wǎng)絡總體設計方案網(wǎng)絡總體網(wǎng)絡設計原則網(wǎng)絡設計，注重的是網(wǎng)絡的簡單可靠、易部署、易維護。因此在網(wǎng)絡中，拓撲結構通常以星型結構為主，較少使用環(huán)網(wǎng)結構（環(huán)網(wǎng)結構較多的運用在運營商的城域網(wǎng)絡和骨干網(wǎng)絡中，可以節(jié)約光纖資源）?；谛切徒Y構的網(wǎng)絡設計，通常遵循如下原則：層次化將網(wǎng)絡劃分為核心層、匯聚層、接入層。每層功能清晰，架構穩(wěn)定，易于擴展和維護。模塊化將網(wǎng)絡中的每個功能區(qū)劃分為一個模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進行問題定位。冗余性關鍵設備采用雙節(jié)點冗余設計；關鍵鏈路采用Trunk方式冗余備份或者負載分擔；關鍵設備的電源、主控板等關鍵部件冗余備份。提高了整個網(wǎng)絡的可靠性。安全隔離網(wǎng)絡應具備有效的安全控制。按業(yè)務、按權限進行分區(qū)邏輯隔離，對特別重要的業(yè)務采取物理隔離?？晒芾硇院涂删S護性網(wǎng)絡應當具有良好的可管理性。為了便于維護，應盡可能選取集成度高、模塊可通用的產(chǎn)品。

網(wǎng)絡總體架構圖1-1網(wǎng)絡架構該組網(wǎng)結構具有如下特點：以核心節(jié)點為“根”的星型分層拓撲，架構穩(wěn)定，易于擴展和維護。各功能分區(qū)模塊清晰，模塊內(nèi)部調(diào)整涉及范圍小，易于進行問題定位。雙節(jié)點冗余設計，關鍵鏈路均采用Trunk鏈路，保證網(wǎng)絡的可靠性。支持各種業(yè)務終端接入，一張IP網(wǎng)絡承載所有業(yè)務。網(wǎng)絡解決方案技術建議書2網(wǎng)絡解決方案技術建議書2網(wǎng)絡詳細設計方案2網(wǎng)絡詳細設計方案VLAN及IP規(guī)劃VLAN概述VLAN是將LAN內(nèi)的設備邏輯地而不是物理地劃分為一個個網(wǎng)段，從而實現(xiàn)在一個LAN內(nèi)隔離廣播域的技術。當網(wǎng)絡規(guī)模越來越龐大時，局部網(wǎng)絡出現(xiàn)的故障會影響到整個網(wǎng)絡，VLAN的出現(xiàn)可以將網(wǎng)絡故障限制在VLAN范圍內(nèi)，增強了網(wǎng)絡的健壯性。VLAN功能劃分■用戶VLAN用戶VLAN即普通VLAN，也就是我們?nèi)粘Ｋf的業(yè)務VLAN，是用來對不同端口進行隔離的一種手段。VLAN通常根據(jù)業(yè)務需要進行規(guī)劃，需要隔離的端口配置不同的VLAN，需要防止廣播域過大的地方配置VLAN用于減小廣播域。VLAN最好不要跨交換機，即使跨交換機，數(shù)目也需要限制。VoiceVLANVoiceVLAN是為用戶的語音數(shù)據(jù)流劃分的VLAN，用戶通過創(chuàng)建VoiceVLAN并將連接語音設備的端口加入VoiceVLAN，可以使語音數(shù)據(jù)集中在VoiceVLAN中進行傳輸，便于對語音流進行有針對性的QoS配置，提高語音流量的傳輸優(yōu)先級，保證通話質量。GuestVLAN網(wǎng)絡中用戶在通過802.1X等認證之前接入設備會把該端口加入到一個特定的VLAN(即GuestVLAN)，用戶訪問該VLAN內(nèi)的資源不需要認證只能訪問有限的網(wǎng)絡資源。用戶從處于GuestVLAN的服務器上可以獲取802.1X客戶端軟件，升級客戶端或執(zhí)行其他應用升級程序(例如：防病毒軟件、操作系統(tǒng)補丁程序等）。認證成功后，端口離開GuestVLAN加入用戶VLAN，用戶可以訪問其特定的網(wǎng)絡資源?！鯩ulticastVLANMulticastVLAN即組播VLAN，組播交換機運行組播協(xié)議時需要組播VLAN來承載組播流。組播VLAN主要是用來解決當客戶端處于不同VLAN中時，上行的組播路由器必須在每個用戶VLAN復制一份組播流到接入組播交換機的問題。VLAN規(guī)劃原則一個二層網(wǎng)絡規(guī)劃的基本原則：區(qū)分業(yè)務VLAN、管理VLAN和互聯(lián)VLAN按照業(yè)務區(qū)域劃分不同的VLAN同一業(yè)務區(qū)域按照具體的業(yè)務類型（如：Web、APP、DB）劃分不同的VLANVLAN需連續(xù)分配，以保證VLAN資源合理利用預留一定數(shù)目VLAN方便后續(xù)擴展VLAN規(guī)劃建議VLAN根據(jù)多種原則組合劃分。按照邏輯區(qū)域劃分VLAN范圍：例1：核心網(wǎng)絡區(qū)：100-199月服務器區(qū)：200-999，預留1000-1999接入網(wǎng)絡：2000-3499業(yè)務網(wǎng)絡：3500-3999例2：規(guī)劃NAC方案時使用動態(tài)VLAN情況下VLAN可劃分為認證前域GuestVLAN、隔離域IsolateVLAN、認證后域VLAN三類。實際部署時可以按職能部門分配VLAN，同時預留GuestVLAN和隔離VLAN。按照地理區(qū)域劃分VLAN范圍例如：接入網(wǎng)絡A的地理區(qū)域使用2000~2199接入網(wǎng)絡B的地理區(qū)域使用2200~2399按照功能模塊劃分VLAN范圍例如：安全監(jiān)控網(wǎng)絡使用2000~2009企業(yè)辦公網(wǎng)使用2010~2019按照業(yè)務功能劃分VLAN范圍例如：Web服務器區(qū)域：200-299APP服務器區(qū)域：300-399DB服務器區(qū)域：400~499IPPhone、打印機等啞終端使用單獨的VLAN上線°IPPhone需要為其配置VoiceVLAN,提高語音數(shù)據(jù)的優(yōu)先級，保證語音質量。建議為AP規(guī)劃獨立的管理VLAN。IP規(guī)劃概述考慮到后期擴展性在網(wǎng)絡IP地址規(guī)劃時主要以易管理為主要目標。網(wǎng)絡中的DMZ區(qū)或Internet互聯(lián)區(qū)有少量設備使用公網(wǎng)IP,網(wǎng)絡內(nèi)部使用的則是私網(wǎng)IP。IP地址是動態(tài)IP或靜態(tài)IP的選取原則如下：原則上服務器,特殊終端設備（打卡機,打印服務器,IP視頻監(jiān)控設備等）和生產(chǎn)設備建議采用靜態(tài)IP。辦公用設備建議使用DHCP動態(tài)獲取，如辦公用PC、IP電話等。IP地址規(guī)劃原則■ip地址規(guī)劃的原則唯一性-個ip網(wǎng)絡中不能有兩個主機采用相同的ip地址。即使使用了支持地址重疊的MPLS/VPN技術，也盡量不要規(guī)劃為相同的地址。連續(xù)性連續(xù)地址在層次結構網(wǎng)絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率。擴展性地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性。實意性“望址生意”,好的IP地址規(guī)劃使每個地址具有實際含義，看到一個地址就可以大致判斷出該地址所屬的設備?！鼍W(wǎng)絡IP地址基本分類Loopback地址為了方便管理，會為每一臺路由器創(chuàng)建一個Loopback接口，并在該接口上單獨指定一個IP地址作為管理地址。Loopback地址務必使用32位掩碼的地址。最后一位是奇數(shù)的表示路由器，是偶數(shù)的表示交換機，越是核心的設備，Loopback地址越小?；ヂ?lián)地址互聯(lián)地址是指兩臺網(wǎng)絡設備相互連接的接口所需要的地址，互聯(lián)地址務必使用30位掩碼的地址。核心設備使用較小的一個地址，互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時要充分考慮使用連續(xù)的可聚合地址。業(yè)務地址業(yè)務地址是連接在以太網(wǎng)上的各種服務器、主機所使用的地址以及網(wǎng)關的地址，業(yè)務地址規(guī)劃時所有的網(wǎng)關地址統(tǒng)一使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關。網(wǎng)絡內(nèi)部的IP地址建議使用私網(wǎng)IP地址，在邊緣網(wǎng)絡通過NAT轉換成公網(wǎng)地址后接入公網(wǎng)。匯聚交換機下接入的網(wǎng)段可能有很多，在規(guī)劃的時候需要考慮路由是可以聚合的，這樣可以減少核心網(wǎng)絡的路由數(shù)目。無線設備的IP地址ACIP地址一般通過靜態(tài)手工配置。由于AP數(shù)量較多，手動配置IP地址工作量大且容易出錯，建議采用DHCP動態(tài)給AP分配IP地址。DHCP動態(tài)分配AP的IP地址時，可以采用指定地址池分配和統(tǒng)一分配兩種方式。DHCP規(guī)劃網(wǎng)絡中辦公網(wǎng)絡、商業(yè)WiFi建議使用DHCP，每個DHCP網(wǎng)段應保留部分靜態(tài)IP供服務器等設備使用。■DHCP部署基本架構在數(shù)據(jù)中心或服務器區(qū)部署獨立的DHCPServer。在匯聚層網(wǎng)關部署DHCPRelay指向DHCPServer統(tǒng)一分配地址。DHCP一般通過VLAN分配地址，如有特殊要求，在接入交換機部屬Option82，由接入交換機提供的Option82信息分配地址。圖2-1DHCP劃分ft5圖2-1DHCP劃分ft5ftiffJDHCPserverDHCPserver戳據(jù)中血『凰務器秫1匯累悝網(wǎng)黃叭辦玄網(wǎng)商業(yè)Wil=i欺也■DHCP部署基本原則固定IP地址段和動態(tài)分配IP地址段保持連續(xù)。按照業(yè)務區(qū)域進行DHCP地址的劃分，便于統(tǒng)一管理及問題定位。DHCP需要跨網(wǎng)段獲得IP地址時，啟動DHCPRelay功能。啟動DHCP安全功能，禁止非法DHCPServer的架設和非法用戶的接入。DNS規(guī)劃■DNS服務器的角色劃分Master服務器：主服務器作為DNS的管理服務器，可以增加、刪除、修改域名，修改的信息可以同步到Slave服務器，一般部署1臺。Slave服務器：從服務器從Master服務器獲取域名信息，采用多臺服務器形成集群的方式，統(tǒng)一對外提供DNS服務，一般采用基于硬件的負載均衡器提供服務器集群的功能。一般部署2臺從服務器。Cache服務器：緩存服務器用于緩存內(nèi)部用戶的DNS請求結果，加快后續(xù)的訪問。一般部署在Slave服務器上。DNS服務器的IP地址Master服務器：采用企業(yè)內(nèi)網(wǎng)地址。Slave服務器：分配企業(yè)私網(wǎng)地址，并在負載均衡器上分配一個虛擬的企業(yè)內(nèi)網(wǎng)地址。Internet域名地址有兩種方案：一種是在防火墻上做NAT映射，把Slave服務器的虛擬地址映射為一個公網(wǎng)IP地址，用于外部Internet用戶的訪問。另一種是在鏈路負載均衡設備上通過智能DNS為外部Internet用戶提供服務。DNS可靠性設計眾多內(nèi)部用戶發(fā)送DNS請求，被均勻分擔到SlaveDNS1和DNS2。當SlaveDNS1服務器故障后，所有的DNS請求被分發(fā)給SlaveDNS2。最終DNS服務器必須與外部DNS通訊。Master服務器，建議放置在DMZ區(qū)域，并在同區(qū)內(nèi)部建立SlaveDNS服務器。如只對內(nèi)提供服務的DNS服務器，可以作為二級的DNS服務器，放入其他非DMZ區(qū)域。當所有的SlaveDNS都故障后，用戶發(fā)送的DNS請求無響應。用戶就切換到備DNS，由MasterDNS處理所有的請求。

圖2-2DNS規(guī)劃運營商的DNS^S10J0.31D1QJ0.25主圖2-2DNS規(guī)劃運營商的DNS^S10J0.31D1QJ0.25主DM：<DNS：NAT外部:Masterisia/esiaf7eDNS[dhs_i_1D.D.2.617fl6"b'5~172~6.0.￡FWL3hiternEtIP0□仍的慮捌1003IZ虛擬化設計橫向虛擬化設計網(wǎng)絡核心、匯聚節(jié)點均建議采用CSS設計，可以提高單節(jié)點設備可靠性，一臺交換機故障，另外一臺交換機自動接管故障設備上的所有業(yè)務，可以做到業(yè)務無損切換。設備虛擬化通過跨設備的Trunk鏈路，提升鏈路級可靠性，并且流量可以均勻分布在Trunk成員鏈路上，提高鏈路帶寬利用率，一條或多條鏈路故障后，流量自動切換到其他正常的鏈路。網(wǎng)絡配置和維護簡單，網(wǎng)絡二層接入網(wǎng)不需要配置復雜的二層環(huán)網(wǎng)和保護倒換協(xié)議，二層鏈路故障能直接感知快速切換。三層網(wǎng)絡中多個設備間共享路由表，網(wǎng)絡故障路由收斂速度快。網(wǎng)絡管理和維護難度大大降低，此方案適應面廣，擴展性強，是未來網(wǎng)絡的發(fā)展趨勢?？梢蕴岣呔W(wǎng)絡故障的收斂時間。通過虛擬化與Trunk相結合的方式，可以將傳統(tǒng)網(wǎng)絡中協(xié)議的收斂時間轉化為Trunk內(nèi)部成員的選路時間。鏈路聚合技術的收斂不涉及復雜的協(xié)議計算，也不涉及網(wǎng)絡協(xié)議的重新收斂，因此效率上要高出很多，華為公司的交換機在某些場景可以達到10ms左右的收斂時間，比之網(wǎng)絡協(xié)議收斂的秒級要提高了100倍。CSS2（ClusterSwitchSystemGeneration2，第二代集群交換機系統(tǒng)），又被稱為集群，是指將多臺支持集群特性的交換機設備虛擬化為一臺交換機設備（目前支持2臺），從邏輯上組合成一臺整體交換設備。圖2-3CSS2集群CSSCSSCSS2系統(tǒng)建立后，根據(jù)協(xié)議的計算，將出現(xiàn)一個主交換機，一個備交換機。在控制平面上，主交換機的主用主控單元成為CSS2的系統(tǒng)主，作為整個系統(tǒng)的管理主角色；備交換機的主用主控單元成為CSS2的系統(tǒng)備，作為系統(tǒng)的管理備角色；主交換機和備交換機的備用主控單元作為CSS2的候選系統(tǒng)備，不具有管理角色。S12700主控交換分離，備板只作為備用主控，無交換網(wǎng)功能。簡化管理和配置集群形成后，兩臺核心設備物理虛擬成為一臺設備，用戶可以通過任何一臺成員設備登錄集群系統(tǒng)，對集群系統(tǒng)所有成員設備進行統(tǒng)一配置和管理，需要管理的設備節(jié)點減少一半。其次，組網(wǎng)中邏輯上看變得簡單，原來需要的STP/SmartLink/VRRP等冗余備份協(xié)議，在使用CSS2后都不再需要了。提高鏈路利用率通過跨框Trunk，用戶可以將不同成員設備上的物理以太網(wǎng)端口配置成一個聚合端口，這樣不僅不用酉己置STP等協(xié)議，而且Trunk的多條鏈路之間可以對流量做負載分擔，提高了鏈路的利用率，較STP等阻塞鏈路的方式要好很多。交換網(wǎng)集群現(xiàn)有技術支持交換網(wǎng)板上支持插集群卡。通過連接交換網(wǎng)集群卡端口，建立交換網(wǎng)集群。交換網(wǎng)

集群與下文的控制面集群差異是控制報文的轉發(fā)路徑。交換網(wǎng)集群是通過交換網(wǎng)集群端口轉發(fā)控制報文，控制面集群是通過控制面集群口轉發(fā)控制報文。兩種模式下，數(shù)據(jù)報文都通過交換網(wǎng)集群端口轉發(fā)。交換網(wǎng)集群與CSS集群卡集群比較：＞啟動性能提升（交換網(wǎng)板與MPU并行啟動）＞連線簡單＞擴展性更強（主控交換合一架構受限于主控數(shù)目）＞拔主控不斷流＞主備倒換0丟包＞故障感知更優(yōu)于業(yè)務口集群（集群口故障中斷上報）交換網(wǎng)集群與業(yè)務口集群比較＞不占用業(yè)務端口＞轉發(fā)路徑更短＞拔主控0丟包＞流量更均衡（業(yè)務口需要二次hash）＞故障感知更優(yōu)于業(yè)務口集群（集群口故障中斷上報）＞業(yè)務口集群最多兩塊板、交換網(wǎng)集群最多4塊板。＞廣播流量無阻塞（業(yè)務口集群，兩組備份的集群鏈路中需要阻塞其中一路。交換網(wǎng)集群，集群鏈路無需阻塞）。?單主控集群S12700主控和交換分離，主控板不在位時不影響轉發(fā)。S12700支持主框和備框僅一個主控時可建立集群，即S12700支持單主控集群。單主控集群，可以減少客戶部署成本。S12700備框主控故障，業(yè)務不中斷。S12700備框主控都拔出時，備框的數(shù)據(jù)轉發(fā)不受影響。

圖2-4單主控集群主匪圖2-4單主控集群主匪集群參主J空故障r可靠性立見分曉「眶■口致禪集Sfj［吝壇爭圭竺聖I縱向虛擬化設計SVF(SuperVirtualFabric)又稱為縱向堆疊技術，是一種更加集中化的設備管理方案，真正做到了SVF架構內(nèi)設備的通過管理和運維。可以將有線無線網(wǎng)絡全部集中到核心?/匯聚上進行統(tǒng)一管理、集中維護。達到整個網(wǎng)絡一個管理節(jié)點的目的。?設備管理可以將一個SVF系統(tǒng)視為一個虛擬的框式設備，其中SVF-Parent就是這臺虛擬框式交換機的主控板，SVF-Client就是這臺虛擬框式交換機的有線口接口板，而AP可以看作是無線端口接口板。圖2-5設備管理?版本管理SVF-Client的版本都保存在SVF-Parent上，當SVF-Client接入SVF系統(tǒng)后，可以自動從SVF-Parent上獲取版本文件并加載，整個過程免人工操作。圖2-6版本管理配置下發(fā)SVF-Client的配置類似于框式交換機接口的配置，用戶使用的命令行都在SVF-Parent上操作，不需要在SVF-Client上直接輸入。在SVF-Parent上對應每個SVF-Client（堆疊設備是為一個Client）分配一個ID，SVF-ID范圍是101-148，AP不占用SVF-ID。在配置SVF-Client端口時，在現(xiàn)有的端口表示方式基礎上（當前方式是：框號/卡號/端口號，如Ge2/0/1），新增一個SVF-ID號，這樣端口表示變?yōu)樗木S：SVF-ID/框號/卡號/端口號，如Ge102/2/0/1，表示ID為102的SVF-Client上的Ge2/0/1端口。狀態(tài)監(jiān)控SVF系統(tǒng)內(nèi)，SVF-Client不再作為獨立設備對外體現(xiàn)，SVF-Client的告警信息也不再以獨立設備的形式上報，而是統(tǒng)一匯總到SVF-Parent上，在SVF-Parent上查看和上報網(wǎng)管。安全設計安全概述隨著智能化的發(fā)展，對于網(wǎng)絡的依賴性不斷增強。但病毒、木馬、間諜軟件、網(wǎng)絡攻擊等各種信息安全威脅也在不斷增加。統(tǒng)計表明，網(wǎng)絡安全已經(jīng)超過對網(wǎng)絡可靠性、交換能力和服務質量的需求，成為用戶最關心的問題，網(wǎng)絡安全基礎設施也日漸成為網(wǎng)建設的重點。在傳統(tǒng)的網(wǎng)絡建設中，一般認為網(wǎng)絡內(nèi)部是安全的，威脅主要來自外界。在網(wǎng)絡邊界上，一般使用防火墻、IDS/IPS作為安全設備。隨著安全挑戰(zhàn)的不斷升級，僅通過傳統(tǒng)的安全措施和獨立工作的形式進行邊界防御已經(jīng)遠遠不夠了，安全模型需要由被動模式向主動模式轉變，從根源－終端徹底解決網(wǎng)絡安全問題，提高整個企業(yè)的信息安全水平。目前網(wǎng)絡安全一般從網(wǎng)絡監(jiān)管、邊界防御、接入安全及遠程接入等方面進行考慮。接入安全主要指導網(wǎng)絡內(nèi)的安全接入，包括終端安全接入控制，例如：用戶隔離，端口隔離等；遠程接入涉及分支機構、出差人員對網(wǎng)絡內(nèi)部的安全訪問；邊界防御通過防火墻、IPS/IDS對網(wǎng)絡出口，網(wǎng)絡內(nèi)的各個組織單元之間進行有效防護和隔離。網(wǎng)絡安全方案網(wǎng)絡的安全是網(wǎng)絡安全最基本的保證。這里主要從交換機的安全特性上的使用來保證網(wǎng)絡的安全包括DHCPSnooping、ARP防攻擊、MAC防攻擊、IP源防攻擊等。這些安全特性工作于OSI模型的鏈路層，可在接入層交換機上部署。DHCPSnoopingDHCPSnooping是DHCP(DynamicHostConfigurationProtocol)的一種安全特性，通過截獲DHCPClient和DHCPServer之間的DHCP報文進行分析處理，可以過濾不信任的DHCP報文并建立和維護一個DHCPSnooping綁定表。該綁定表包括MAC地址、IP地址、租約時間、綁定類型、VLANID、接口等信息。DHCPSnooping部署在二層設備上面，一般部署在接入交換機上。DAI-ARP欺騙動態(tài)ARP檢測(DynamicARPInspection)應用在設備的二層接口上，利用DHCPSnooping綁定表來防御ARP攻擊。當設備收到ARP報文時，將此ARP報文中的源IP、源MAC、端口、VLAN信息和DHCPSnooping綁定表的信息進行比較。如果信息匹配，說明是合法用戶，則允許此用戶的ARP報文通過；否則，認為是攻擊，丟棄該ARP報文。ARP限速ARP報文限速功能是指對上送CPU的ARP報文進行限速，可以防止大量ARP報文對CPU進行沖擊。例如在配置了ARPDetection功能后設備會將收到的ARP報文重定向到CPU進行檢查，這樣引入了新的問題。如果攻擊者惡意構造大量ARP報文發(fā)往設備，會導致設備的CPU負擔過重，從而造成其他功能無法正常運行甚至設備癱瘓，這個時候可以啟用ARP報文限速功能來控制上送CPU的ARP報文的速率。MAC泛洪MAC泛洪攻擊是指攻擊主機通過程序偽造大量包含隨機源MAC地址的數(shù)據(jù)幀發(fā)往交換機。有些攻擊程序一分鐘可以發(fā)出十幾萬條偽造源MAC地址的數(shù)據(jù)幀，交換機根據(jù)數(shù)據(jù)幀中的MAC地址進行學習，但一般交換機的MAC地址表容量也就幾千條，交換機的MAC地址表瞬間被偽造的MAC地址填滿，交換機的MAC表填滿后，交換機再收到數(shù)據(jù)，不管是單播、廣播還是組播，交換機都不再學習MAC地址，如果交換機在MAC地址表中找不到目的MAC地址對應的端口，交換機就像集線器一樣，向所有端口廣播數(shù)據(jù)，這樣就可能造成廣播風暴。在華為交換機上，可以通過對MAC學習限制及流量抑制的功能來防止MAC泛洪攻擊。MAC學習限制是指限制MAC學習的數(shù)目。華為交換機支持在接口、VLAN、槽位和VSI四個方面對MAC學習數(shù)目進行限制。同時，華為交換機支持對未知單播、廣播及組播流量進行速度限制。通過對MAC學習限制及流量抑制，可以有效地防范MAC泛洪攻擊。IPSourceGuardIP源地址防護能夠限制二層不信任端口的IP流量。它采取的方法是，通過DHCP綁定表或手動綁定的IP源地址來對IP流量實行過濾此特性可以阻止IP地址欺騙攻擊，也就是主機通過把自己的源IP地址修改成其他主機的IP地址實現(xiàn)的攻擊。任何從不信任的端口入站的IP流量，只要其源地址與指定（DHCPSnooping或靜態(tài)綁定表）的IP地址不同，就會被過濾掉。IP源地址與防護特性需要在不信任的二層接口上和DHCPSnooping共同使用。IP源地址防護會生成一個IP源地址綁定表，并且對這個列表進行維護。這個列表既可以通過DHCP學習到也可以手動配置。列表中的每個條目都包括IP地址及與這個IP地址所關聯(lián)的MAC地址及VLANID。MFF技術網(wǎng)絡中，通常使用MFF（MAC-ForcedForwarding）實現(xiàn)不同客戶端主機之間的二層隔離和三層互通。MFF截獲用戶的ARP請求報文，通過ARP代答機制，回復網(wǎng)關MAC地址的ARP應答報文。通過這種方式，可以強制用戶將所有流量（包括同一子網(wǎng)內(nèi)的流量）發(fā)送到網(wǎng)關，使網(wǎng)關可以監(jiān)控數(shù)據(jù)流量，防止用戶之間的惡意攻擊，能更好的保障網(wǎng)絡部署的安全性。邊界安全方案■邊界防護概述所謂網(wǎng)絡邊界，是指網(wǎng)絡與其他網(wǎng)絡的分界線。對邊界進行安全防護，首先必須明確哪些網(wǎng)絡邊界需要防護，這可以通過安全分區(qū)設計來確定。定義安全分區(qū)的原則就是首先需要根據(jù)業(yè)務和信息敏感度定義安全資產(chǎn)，其次對安全資產(chǎn)定義安全策略和安全級別，對于安全策略和級別相同的安全資產(chǎn)，就可以認為屬于同一安全區(qū)域。網(wǎng)絡邊界是網(wǎng)絡的重要組成部分，負責對網(wǎng)絡流量進行最初及最后的過濾，因此邊界安全的有效部署對整網(wǎng)安全意義重大?！鲞吔绶雷o安全設計一般而言，一個完整的安全部署包括邊界路由器、邊界防火墻、IPS、邊界防毒墻、邊界流量分析監(jiān)控等安全部件及各安全部件之間的協(xié)同工作。這些部件僅僅依靠各自自身的力量是無法提供完整的網(wǎng)絡安全。只有這些部件的功能相互補充，相互結合，協(xié)同工作才能形成一個立體的防御結構。邊界路由器路由器在網(wǎng)絡中承擔路由轉發(fā)的功能，它們將流量引導進入網(wǎng)絡、流出網(wǎng)絡或者在網(wǎng)絡中傳輸，由于邊界路由器具有豐富的網(wǎng)絡接口，一般置于Internet出口或廣域網(wǎng)出口，是流量進入和流出之前我們可以控制的第一道防線。邊界防火墻防火墻設備通過一組規(guī)則決定哪些流量可以通過而哪些流量不能通過防火墻。防火墻可以對邊界路由器不能監(jiān)控的流量進行更加深入地分析和過濾，并能夠按照管理者所確定的策略來阻塞或者允許流量經(jīng)過。華為Eudemon系列防火墻支持安全域管理、攻擊防范、ASPF、NAT等功能，通過這些功能保障網(wǎng)絡安全。安全域管理華為防火墻采用基于安全區(qū)域的隔離模型，每個安全區(qū)域可以按照網(wǎng)絡的實際組網(wǎng)加入任意接口，因此防火墻的安全管理模型不會受到網(wǎng)絡拓撲的影響。不同的安全區(qū)域之間的訪問設計不同的安全策略組（ACL訪問控制列表），每條安全策略組支持若干個獨立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關的策略十分容易管理，方便用戶對各種邏輯安全區(qū)域的獨立管理?；诎踩珔^(qū)域的策略控制模型，可以清晰地分別定義從trust到untrust、從DMZ到untrust之間的各種訪問，這樣的策略控制模型使得華為統(tǒng)一安全網(wǎng)關的網(wǎng)絡隔離功能具有很好的管理能力。攻擊防范攻擊防范功能是防火墻必備的功能之一，常見的攻擊類型有DOS攻擊、掃描窺探攻擊、畸形報?ASPF過濾技術ASPF是一種高級通信過濾技術，它檢查應用層協(xié)議信息并且監(jiān)控基于連接的應用層協(xié)議狀態(tài)防火墻依靠這種基于報文內(nèi)容的訪問控制，能夠對應用層的一部分攻擊加以檢測和防范，包括對于FTP、HTTP、RTSP、SIP等的檢測。NATNAT的基本原理是僅在私網(wǎng)主機需要訪問Internet時才會分配到合法的公網(wǎng)地址，而在內(nèi)部互聯(lián)時則使用私網(wǎng)地址。當訪問Internet的報文經(jīng)過NAT網(wǎng)關時，NAT網(wǎng)關會用一個合法的公網(wǎng)地址替換原報文中的源IP地址，并對這種轉換進行記錄；之后，當報文從Internet側返回時，NAT網(wǎng)關查找原有的記錄，將報文的目的地址再替換回原來的私網(wǎng)地址，并送回發(fā)出請求的主機。這樣，在私網(wǎng)側或公網(wǎng)側設備看來，這個過程與普通的網(wǎng)絡訪問并沒有任何的區(qū)別。在實現(xiàn)方式上，NAT可以分為BasicNAT、NAPT方式、NATServer方式、EASYIP方式、DNSMapping方式等。P2P流量檢測和流量控制防火墻支持的P2P流量檢測和流量控制功能：支持基于規(guī)則文件的特征檢測和行為檢測，規(guī)則文件可以升級更新支持基于ACL的用戶策略控制>支持上下行的不同限流>支持協(xié)議優(yōu)先級的動態(tài)調(diào)整支持各種協(xié)議檢測的打開和關閉>支持基于時間段的分時段限流對P2P流量可以限定在一個范圍內(nèi)，這樣不但可以使得用戶自由的使用P2P軟件，也不會造成因為P2P流量對網(wǎng)絡造成太大的沖擊。例如：支持迅雷、沸點、BT、Kugoo、PPGou、Poco/pp、Baibao、BitComet、Kazaa/FastTrack、Emule/eDonkey、PPSTREAM、UUSee、PPLive、QQLive、TVAnts、BBSEE、Vagaa、Mysee、Filetopia、Soulseek等P2P協(xié)議檢測和流量控制。URL過濾華為防火墻的URL過濾功能采用了先進的模式匹配引擎算法，大大減少了URL匹配的時間，憑借先進的軟硬件性能，能夠快速地處理大量的URL訪問請求。防火墻支持遠程URL分類服務器，遠程URL分類服務器提供了細粒度的URL資源種類，使用全面而準確的后臺URL資源分類數(shù)據(jù)庫，自動化地實現(xiàn)對用戶訪問URL的自動分類。另外，防火墻支持本地URL分類功能，用戶可以自定義個性化URL資源訪問控制的功能。并且可以將URL訪問控制策略和時間、IP地址、分類訪問控制列表等關鍵策略進行關聯(lián)，從而實現(xiàn)基于時間、用戶和訪問類別等策略的URL過濾功能。另外，防火墻支持本地URL黑/白名單功能，支持基于前綴匹配、后綴匹配、關鍵字匹配、精確匹配和參數(shù)匹配等。?IPS/IDS隨著互聯(lián)網(wǎng)的不斷發(fā)展，黑客攻擊技術也出現(xiàn)了許多新的變化，這也促使網(wǎng)絡安全產(chǎn)品不斷的更新?lián)Q代。一種新型的安全防護產(chǎn)品-網(wǎng)絡入侵防御系統(tǒng)應運而生。網(wǎng)絡入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，其設計目標旨在準確監(jiān)測網(wǎng)絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。這類產(chǎn)品彌補了防火墻、入侵檢測等產(chǎn)品的不足，提供動態(tài)的、深度的、主動的安全防御，為企業(yè)提供了一個全新的入侵保護解決方IPS安全網(wǎng)關產(chǎn)品可以部署在企業(yè)網(wǎng)絡出口處或者重要服務器前面，提供主動的、實時的防護。準確檢測2到7層的網(wǎng)絡異常流量，自動對各類攻擊的流量，尤其是應用層的威脅進行實時阻斷。IPS系統(tǒng)自身的安全非常重要，必須能夠抵御那些常規(guī)的網(wǎng)絡安全威脅：如病毒的感染、蠕蟲的傳播，不可使用通用的處理器及操作系統(tǒng)等。這些都有周知的漏洞，很容易被利用進行入侵攻擊。而IPS的檢測粒度非常細，由此系統(tǒng)必須具備高性能的數(shù)據(jù)報處理及轉發(fā)能力，不然低效的IPS系統(tǒng)將成為網(wǎng)絡的性能瓶頸。網(wǎng)絡上很多應用服務器（如HTTP、SMTP、FTP、POP3、IMAP4、MSRPC、NETBIOS、SMB、MS_SQL、TELNET、IRC、DNS等）在設計中并不完善，如對協(xié)議中的異常情況考慮不足。因此黑客常利用協(xié)議的漏洞對服務器發(fā)起攻擊。他們向服務器發(fā)送非標準或者緩沖區(qū)溢出的協(xié)議數(shù)據(jù)，從而奪取服務器控制權或者造成服務器宕機。IPS能夠檢測、識別網(wǎng)絡流量的協(xié)議異常（包括協(xié)議遵從性、參數(shù)合法性等）并加以阻斷。網(wǎng)絡中常包含大量黑客攻擊、病毒、特洛伊木馬、惡意軟件等惡意流量。這些惡意流量都有各自不同的簽名（特征）。因此，必須有專業(yè)的安全分析工程師對這些惡意網(wǎng)絡流量進行深入分析，提取相應的特征碼并形成簽名。IPS根據(jù)簽名庫，吏用特征檢測引擎對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包進行高速匹配，從而對命中簽名規(guī)則的流量進行阻斷等方式進行響應動作。IPS的檢測引擎和簽名庫，對于入侵檢測的效果具有重要意義。優(yōu)秀的檢測引擎算法極大程度影響檢測的速度；全面而準確的簽名庫能夠有效防御大量威脅，減少誤報。有了優(yōu)秀的檢測引擎及簽名庫，IPS能夠更好的檢測各類攻擊，如最新病毒、特洛伊木馬、惡意軟件等進行檢測防御。IPS的特征檢測引擎和簽名庫必須支持有效升級，以保證能夠應對不斷變化著的網(wǎng)絡威脅。通常情況下，IPS設備的工作步驟如下：>捕獲網(wǎng)絡數(shù)據(jù)包>重組數(shù)據(jù)包，包括流重組和分片重組>對數(shù)據(jù)包進行協(xié)議識別，有基于端口的識別和基于內(nèi)容的識別>將數(shù)據(jù)包送入檢測引擎匹配＞最后根據(jù)引擎檢測結果及安全策略采取響應動作所謂IDS聯(lián)動，指IDS設備能自動偵聽整個網(wǎng)絡中是否存在惡意攻擊、入侵或其他安全隱患行為，通過下發(fā)指令的方式通知防火墻，由防火墻對攻擊報文進行丟棄或其它處理。采用IDS聯(lián)動方式進行攻擊防范，入侵檢測和攻擊處理兩個過程有效分離，充分發(fā)揮了各設備的優(yōu)勢，改善了系統(tǒng)性能。華為防火墻除了自身提供強勁的攻擊防范能力外，還能夠和專業(yè)的IDS(IntrusionDetectiveSystem)設備聯(lián)合組網(wǎng)，即IDS設備外置。由于IDS設備包含非常完備的攻擊行為信息，因此聯(lián)合組網(wǎng)將充分發(fā)揮IDS設備高效、全面的安全保障能力。通過和IDS設備聯(lián)動，防火墻可以提供一種高可靠的主動防御模型。通過這種主動防御的模型，提供了高可靠的安全解決方案。用戶先配置好基本的靜態(tài)安全策略，通過IDS設備可以動態(tài)發(fā)現(xiàn)安全隱患，通過防火墻設備修改安全策略，起到實時、動態(tài)的修改防御策略，保證了整網(wǎng)的安全。華為防火墻提供靈活的聯(lián)動接口協(xié)議，可以和很多IDS設備互通，方便地支持各種IDS設備和防火墻聯(lián)合工作。邊界防病毒近年來計算機病毒趁著網(wǎng)絡信息化的熱潮，不斷騷擾和破壞人們正常的工作秩序。病毒已逐漸成為網(wǎng)絡安全的禍首，嚴重的病毒爆發(fā)將直接導致網(wǎng)絡的癱瘓，在邊界安全防護中也同樣要考慮對病毒的防護。華為防火墻提供了Anti-Virus防病毒功能，防病毒功能采用了先進的病毒檢測引擎和病毒庫，病毒檢出率非常之高。防火墻的病毒引擎支持啟發(fā)式掃描，對網(wǎng)絡上傳輸?shù)拇a文件進行深入的行為分析，采取對需要掃描的文件進行邏輯分析以及行為分析，通過這種方式，可以很大程度的發(fā)現(xiàn)一些行為異常的程序，發(fā)現(xiàn)未知的病毒。遍布全球的病毒檢測點和和專業(yè)病毒分析團隊，可以實時發(fā)現(xiàn)網(wǎng)絡最新病毒，并且通過病毒分析團隊確認和分析病毒特征，及時的生成最新病毒庫。防火墻通過可以多種方式升級或更新病毒庫，實現(xiàn)病毒的實時檢測。病毒庫支持自動定時升級、實時升級、本地升級和回退功能。邊界防護組網(wǎng)設計由于防火墻與IPS/IDS等一般是部署在同一個地方，且華為防火墻同時支持防火墻與IPS功能，因此，邊界組網(wǎng)設計圖中僅畫出防火墻。Internet網(wǎng)絡出口防護對企業(yè)總部或大型分支機構，一般在網(wǎng)絡出口部署雙防火墻，兩防火墻呈主備或負載均衡的方式工作。如圖3-11所示，在核心交換機與網(wǎng)絡路由器之間采用直路全雙歸方式接入防火墻設備，兩臺防火墻設備之間采用主備或負載均衡方式連接。這樣，網(wǎng)絡出口路由器、防火墻及核心路由器之間都有備份作用，保證了鏈路的可靠性。防火墻E8000E放置在總部出口，主要承擔以下功能：啟用防火墻攻擊防范以及訪問控制，抵御外來的各種攻擊。根據(jù)需要啟用地址轉換功能，滿足出口公網(wǎng)不足的需要。根據(jù)需要開啟虛擬防火墻功能，通過不同的虛擬防火墻與各大客戶對應，將不同的服務器群用VPN隔離開。啟用L2TPVPN的功能允許出差移動用戶通過撥號的方式接入不同的VPN訪問不同VPN里的業(yè)務或者設備。網(wǎng)絡出口典型組網(wǎng)圖2-7網(wǎng)絡出口典型組網(wǎng)除了直路全雙歸，防火墻的接入方式還有與交換機雙歸，與路由器口字型、與交換機路由器都口字型及旁掛。圖2-8防火墻出口連接方式-與交換機雙歸、與路由器口子型圖2-9防火墻出口連接方式-與交換機口子型、與路由器口子型圖2-10防火墻出口連接方式-旁掛域間防護網(wǎng)絡出口部署的防火墻可以解決網(wǎng)絡內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的安全問題，但研究表明，80%的網(wǎng)絡安全漏洞都存在于內(nèi)部網(wǎng)絡。因此，內(nèi)部的安全防護更為重要。當網(wǎng)絡劃分安全區(qū)域后，在不同信任級別的安全區(qū)域之間就形成了網(wǎng)絡邊界。在網(wǎng)絡內(nèi)部，不同的業(yè)務部門、研發(fā)中心、辦公中心可能都具有不同的安全策略。從安全的角度講，在各個不同的部門、研發(fā)中心、辦公中心、數(shù)據(jù)中心、DMZ區(qū)域的出口都部署防火墻是最理想的。也可以在核心層部署防火墻，將各業(yè)務部門劃分在不同的VPN中，防火墻采用虛擬防火墻的方式管理各安全域的安全策略。運維設計設備簡易運維管理隨著網(wǎng)絡技術的飛速發(fā)展，網(wǎng)絡規(guī)模也在不斷擴大，客戶需要管理和維護多大幾十臺甚至上百臺的設備，弊端顯而易見，因此客戶對簡化網(wǎng)絡設備管理的需求越來越迫切。比如設備安裝、軟件升級、故障定位和設備更換等工作花費網(wǎng)絡管理人員的大部分時間，其中，有些工作簡單重復、效率低下。如何對網(wǎng)絡設備進行批量、自動管理，成為企業(yè)IT部門面臨的嚴重挑戰(zhàn)。EasyOperation是一個簡化運維的方案，可以實現(xiàn)Zero-Touch開局，設備故障自動替換、設備批量升級、拓撲展現(xiàn)等功能。圖2-11EasyOperation組網(wǎng)圖I:網(wǎng)管網(wǎng)絡Cliei了匯聚側接入側DHCP服務器TFTP/SFTP/FTP服務器圖2-11EasyOperation組網(wǎng)圖I:網(wǎng)管網(wǎng)絡Cliei了匯聚側接入側DHCP服務器TFTP/SFTP/FTP服務器ClientGroupBClientClientClientGroupACommanderEasyOperation的基本組網(wǎng)如上圖所示。Commander是網(wǎng)絡管理設備，也是Zero-Touch場景中工程師實際需要操作的設備，其主要工作為：管理下掛的Client設備，給下掛的設備分配文件服務器地址、用戶名、密碼、版本文件名、酉己置文件名、補丁文件名，WEB網(wǎng)頁文件名等信息；管理下掛的Client設備的與部署相關的信息，建立信息數(shù)據(jù)庫；統(tǒng)一控制和管理下掛Client設備，控制和信息查詢都在Commander上完成?！鯶ero-Touch開局Zero-Touch開局主要適用于網(wǎng)絡部署初期，網(wǎng)絡剛剛搭建完成，網(wǎng)絡中大部分新安裝的設備還沒有配置文件無法正常工作，網(wǎng)絡還也發(fā)無法聯(lián)通的場景。沒有EasyOperation時，需要華為工程師親自到達現(xiàn)場，依次給新設備完成必要的配置；亦或在現(xiàn)場給新設備分配指定的靜態(tài)IP地址后再將預先準備的配置文件通過文件傳輸?shù)姆椒ㄟh程加載。無論哪種方式，工程師都要求人在現(xiàn)場，每臺設備的操作工作量也不小，如果新設備數(shù)量比較大時，工作量非?？捎^。EasyOperation的Zero-Touch開局功能很好的解決了以上問題。該功能只需要預先記錄下新設備的ID，如MAC或ESN；準備好對應設備的配置文件以及相關需要加載的文件，如版本文件、補丁文件、License、WEB網(wǎng)管等；客戶或者代理商在現(xiàn)場鏈接好設備后，華為工程師可以在遠程（網(wǎng)絡中心機房）通過命令或者網(wǎng)管方式，所有新設備開局必要文件的加載，整個過程華為工程師對新設備是Zero-Touch的，更不必要到現(xiàn)場，有效的簡化了工作量?！鲈O備批量升級設備批量升級主要用于企業(yè)客戶網(wǎng)絡已經(jīng)部署完成正常運行過程中?；蛞驗樵O備版本即將EOS，或因為版本已知Bug，或因為要使用新版本的新功能，需要給企業(yè)客戶升級的場景。沒有EasyOperation時，當多臺設備升級到相同版本時，需要華為工程師依次向待升級設備加載版本完成升級。如果待升級的設備數(shù)量比較大時，工作量還是比較可觀的。EasyOperation的設備批量升級功能很好的解決了以上問題。該功能只需要預先記錄下待升級相同版本的設備ID，如MAC、ESN或者設備類型等，將這些設備歸為一個Group，那么華為工程師只需要針對這個Group指定升級版本以及其他信息后，在遠程（網(wǎng)絡中心機房）通過命令或者網(wǎng)管方式可以實現(xiàn)一鍵式批量升級，有效的簡化了工作量?！龉收显O備替換故障設備替換主要用于企業(yè)客戶網(wǎng)絡已經(jīng)部署完成，正常運行過程中出現(xiàn)設備硬件故障或人為損壞等需要更換的場景。沒有EasyOperation時，需要華為工程師親自到達現(xiàn)場，完成故障設備替換后，還要將原故障設備的配置導入新設備中，如果版本、補丁等文件已經(jīng)修改了則還要完成升級，一系列過程都不能少。EasyOperation的故障設備替換功能很好的解決了以上問題。該功能只需要將新設備按照原故障設備在網(wǎng)絡中的拓撲，原位置接入網(wǎng)絡，新設備就可以自動獲取并下載原故障設備的文件，完成故障設備的替換，有效的簡化了工作量。網(wǎng)絡質量感知隨著網(wǎng)絡的發(fā)展，各種應用業(yè)務得到了廣泛部署，鏈路的連通性和網(wǎng)絡性能的好壞直接影響著承載網(wǎng)絡上的各種業(yè)務。因此，作為企業(yè)網(wǎng)絡承載管道的性能檢測顯得尤為重要。例如語音業(yè)務，當鏈路丟包率在5％以下時，用戶不會有明顯的感覺；但是當丟包率大于10％時，就會影響語音的質量。例如智真、在線視頻等實時性業(yè)務一般要求時延至少低于100ms；寸于實時性要求更高的場合，甚至要求時延不得超過50ms，否則會對用戶體驗造成極壞的影響。iPCA（PacketConservationAlgorithmforInternet）是一種通用的IP網(wǎng)絡性能檢測的方案，可以有效地解決上述問題。iPCA可以直接對業(yè)務報文進行測量，在線監(jiān)控IP網(wǎng)絡承載的業(yè)務的變化，真實準確地反映出業(yè)務的運行情況，對于網(wǎng)絡的故障診斷、業(yè)務統(tǒng)計有重大意義。■丟包檢測丟包統(tǒng)計功能是指在某一個測量周期內(nèi)，統(tǒng)計所有進入穿越網(wǎng)絡的流量與離開網(wǎng)絡的流量之間的差。丟包測量主要有兩種類型：點到點丟包測量和多點到多點丟包測量。點到點丟包測量點到點丟包測量是指通過測量指定兩臺設備之間鏈路的丟包情況，確定鏈路的質量。多點到多點丟包測量多點到多點丟包測量是指通過測量指定的多臺設備之間鏈路的丟包情況，確定鏈路的質量。iPCA采用特征分組測量法來測量丟包，在報文入口（源端），對業(yè)務報文頭中某一個染色位進行周期性的標識（置位、復位），從而可將業(yè)務報文按照特征置位屬性，劃分為不同的測量區(qū)間。■時延統(tǒng)計時延直接測量就是對實際業(yè)務的報文進行抽樣記錄，測量其在網(wǎng)絡中的實際轉發(fā)時間，抽樣方法是通過設置業(yè)務報文的特征位進行染色區(qū)分。時延統(tǒng)計主要有兩種類型：單向時延測量和雙向時延測點到點單向時延測量單向時延統(tǒng)計是指通過測量指定兩臺設備之間鏈路單方向的網(wǎng)絡時延，確定鏈路的質量。點到點雙向時延測量雙向時延統(tǒng)計是指通過測量指定的兩臺設備之間鏈路的往返時延，確定鏈路的質量?！鰅PCA方案建議iPCA主要可以更好的迎合當前及將來網(wǎng)絡用戶對語音業(yè)務、交互視頻、視頻監(jiān)控等業(yè)務質量的更高要求，網(wǎng)絡管理中心希望能夠實時監(jiān)控承載鏈路的丟包性能和時延性能，以便在網(wǎng)絡用戶業(yè)務質量下降時及時做出調(diào)整。IPiPCA性能統(tǒng)計主要有三種功能場景：端到端連續(xù)性能統(tǒng)計端到端連續(xù)性能統(tǒng)計是指用戶出于監(jiān)控網(wǎng)絡性能的目的，由系統(tǒng)持續(xù)執(zhí)行的性能統(tǒng)計操作。為了防止網(wǎng)絡性能劣化而用戶不能感知的情況發(fā)生，用戶可以部署連續(xù)性能統(tǒng)計功能，持續(xù)監(jiān)控網(wǎng)絡的運行情況。端到端按需性能統(tǒng)計按需性能統(tǒng)計是指用戶在指定的時間內(nèi)出于診斷或者監(jiān)控網(wǎng)絡性能的目的，人工干預發(fā)起的性能統(tǒng)計動作。當用戶發(fā)現(xiàn)網(wǎng)絡性能劣化，或者用戶希望根據(jù)需要選取指定的業(yè)務流發(fā)起實時性能統(tǒng)計時，可以通過按需性能統(tǒng)計功能查看近期詳細的性能統(tǒng)計信息。逐點性能統(tǒng)計逐點性能統(tǒng)計是指用戶處于定位故障的目的，從流量的發(fā)起端逐臺設備發(fā)起的性能統(tǒng)計動作。當用戶發(fā)現(xiàn)網(wǎng)絡性能劣化，網(wǎng)絡管理者希望準確定位發(fā)生性能故障的網(wǎng)絡節(jié)點時，可以采用逐點性能統(tǒng)計功能。網(wǎng)絡管理軟件eSighteSight支持對IT&IP以及第三方設備的統(tǒng)一管理，同時對網(wǎng)絡流量、接入認證角色等進行智能分析，自動調(diào)整網(wǎng)絡控制策略，全方位保證企業(yè)網(wǎng)絡安全。同時eSight提供靈活的開放平臺，為企業(yè)量身打造自己的智能管理系統(tǒng)提供基礎。針對企業(yè)網(wǎng)場景，華為eSight提供多種應用，包括：多廠商的設備管理；企業(yè)資源統(tǒng)一管理；可視化的企業(yè)統(tǒng)一視圖；全方位的企業(yè)故障監(jiān)控；機房精細化監(jiān)控；輔助智能樓宇安防監(jiān)控；企業(yè)網(wǎng)絡監(jiān)控性能管理；分權-分域-分時的用戶管理。?多廠商的設備管理eSight預集成業(yè)界主流設備，默認已包含Cisco20個系列140余款設備、H3C14個系列130余款設備、其他廠商100余款設備、以及數(shù)十款打印機、服務器。企業(yè)運維人員不做任何配置，即可管理全網(wǎng)設備，大大提升管理效率。eSight擁有廠商新款設備自動配套能力，通過eSight廠商類型自動識別能力，對于友商新發(fā)布的設備也可實現(xiàn)拓撲、告警、性能等管理能力。針對業(yè)界主流設備深入分析，不僅支持標準的流量采集，還同時支持設備面板、設備CPU利用率等私有屬性的管理。?資源統(tǒng)一管理如圖2-12所示，華為eSight提供全方位的企業(yè)資源管理，針對不同網(wǎng)絡設備、不同業(yè)務、不同服務器、工作站等PC資源進行管理。eSight部署規(guī)劃方案■分級部署模式ki習ht標準.ki習ht標準.圖2-12eSight分級部署模式亡Sighi專業(yè)版eSight專業(yè)版■網(wǎng)兀配置eSight網(wǎng)絡管理系統(tǒng)可以通過三種方式完成單點網(wǎng)元配置工作：使用簡單配置框架實現(xiàn)單點網(wǎng)元配置。使用智能配置工具進行設備單點配置。通過Web網(wǎng)管進行單點配置。在開局、網(wǎng)絡維護等多個場景，用戶有對集中部署的設備的業(yè)務進行批量操作的需求，用戶通過智能配置工具能夠對多臺設備的業(yè)務進行批量配置，提高用戶的運維效率?！霰O(jiān)控業(yè)務eSight網(wǎng)絡管理系統(tǒng)能夠對業(yè)務進行實時監(jiān)控，根據(jù)業(yè)務類型進行流量、信息統(tǒng)計，極大的方便網(wǎng)絡運維人員實時監(jiān)控業(yè)務狀況?！霰O(jiān)控性能eSight可以對網(wǎng)絡的關鍵性能指標進行監(jiān)控，并對采集到的性能數(shù)據(jù)進行統(tǒng)計。通過可視化的操作界面，方便用戶對網(wǎng)絡性能進行管理。通過監(jiān)視模板管理性能監(jiān)視指標，并設定告警的閾值。通過性能監(jiān)視模板，用戶可以方便的將性能采集規(guī)則應用到多個對象中。性能監(jiān)視模板包括以下內(nèi)容：性能指標組將多種性能指標集成到一個性能指標組中，可以支持分場景定制指標組，包含場景相關的所有性能指標，便于根據(jù)業(yè)務場景建立對應的監(jiān)視任務。性能指標定義具體的性能采集的指標。采集周期提供多種采集周期供采集性能指標時選擇。性能閾值通過設置性能門限值，可以在網(wǎng)絡的性能數(shù)據(jù)低于門限值時及時預警，避免網(wǎng)絡性能的持續(xù)惡化。通過性能監(jiān)視的設置，實現(xiàn)網(wǎng)絡性能數(shù)據(jù)的采集。支持周期性性能指標采集，可以了解網(wǎng)絡在指定時間范圍內(nèi)的性能狀況，并為預測網(wǎng)絡的性能變化提供數(shù)據(jù)依據(jù)?！鲑Y源查看和報表管理eSight提供豐富的資源查看和預定義報表，同時提供強大易用的報表設計功能，用戶可根據(jù)行業(yè)特點和自身運維要求進行客戶報表定制。

圖2-13eSght資源查看和報表管理■Ekm尋■*ftV?■若舸PSAW■Ekm尋■*ftV?■若舸PSAW■氏苗上干謂口4莓出*畤□-u[RUtSBJ■E<■■0D10ilL2.E7dn1O.Ll2：S?.lP淹卻E?Huhve2&IL-I7-ML1A7I25mrfObrqwiM!.--□La】民wjw]0LLZJ7.KJ€*K-rpHuiwo2DIHT-WLE0；1DLt￡>H□MLUFfidfl?AA2Z2￡<Hu抑4i2DIL-I7-ILL2JOO：]]>□Diai3?d3S.2WihL掙陽5那伽專taw2&IL-I7-M訂加屈l￡2J目□LD.137.5B.1IZlOLSrJB.LM523151^51腳IWfl3QIHT-WLJ-W;37LK,S3□LQ137.9.LI3血皿用.MdiPTPgftRHuaw42DIL-I7-Ml1jM!]7L謚>EiDLbia?iEfcLIElO.Ll^^.LbSK31時dHutwo2&ILI7-W口血門9血S目■階段維護eSight提供配置文件管理和備份功能，可以快速的進行文件備份和設備登錄管理。同時還提供系統(tǒng)巡檢工具，能夠定時對設備進行自檢，減輕網(wǎng)絡維護人員的工作量。網(wǎng)絡解決方案技術建議書3網(wǎng)絡解決方案技術建議書3設備推薦3設備推薦S7700系列產(chǎn)品定位S7700系列運營級園區(qū)匯聚交換機是由華為公司自主開發(fā)的新一代高性能核心路由交換機產(chǎn)品，提供大容量、高密度、模塊化的二到四層線速轉發(fā)性能，具有強大組播功能，完善的QoS保障、有效的安全管理機制和電信級的高可靠設計，滿足高端用戶對多業(yè)務、高可靠、大容量、模塊化的需求，降低運營商的建網(wǎng)成本和維護成本，可廣泛應用于構建各種類型型園區(qū)網(wǎng)核心層和匯聚層交換機。表1-1S7700系列交換機產(chǎn)品型號說明S7703支持3塊LPU交換容量4.8Tbit/s包轉發(fā)率1440MppsS7706支持6塊LPU交換容量10.24Tbit/s包轉發(fā)率2880MppsS7710支持10塊LPU交換容量39.68Tbit/s包轉發(fā)率8400MppsS7712支持12塊LPU交換容量10.24Tbit/s包轉發(fā)率2880Mpps圖1-2S7703外觀圖圖1-3S7706外觀圖圖1-4S7710外觀圖圖1-5S7712外觀圖產(chǎn)品特點S7700系列產(chǎn)品有如下特點：先進體系結構，高性能，配置靈活S7700系列交換機采用先進的全分布式體系結構設計，采用業(yè)界最新的硬件轉發(fā)引擎技術，所有端口支持的業(yè)務能夠線速轉發(fā)，業(yè)務包括IPv4/MPLS/二層轉發(fā)等。支持ACL線速轉發(fā)。S7700系列交換機實現(xiàn)組播線速轉發(fā)，硬件完成兩級復制：交換網(wǎng)板復制到接口板和轉發(fā)引擎復制到接口。S7700支持1.536Tbps交換容量，支持多種高密度板卡，滿足核心、匯聚層設備大容量、高端口密度的要求，可以滿足用戶日益增長的帶寬需求，能夠極大的保護和節(jié)約用戶投資。完善的安全機制S7700系列交換機支持OSPF、RIPv2及BGPv4報文的明文及MD5密文認證，支持安全的SSH登錄、命令行分級保護、基于用戶安全策略的SNMPV3、DHCPSnooping、IPSourceGuard、DAI、層次化CPU通道保護，并提供以下幾種用戶認證方式：本地認證、RADIUS和HWTACACS認證。支持防網(wǎng)絡風暴攻擊、防DOS/DDOS攻擊、防掃描窺探攻擊、防畸形報文攻擊、防網(wǎng)絡協(xié)議報文攻擊等安全技術。全面的可靠性S7700系列交換機最大支持128個匯聚組，每個匯聚組內(nèi)支持最多8個成員端口，支持跨單板端口間的匯聚。支持DLDP，可以監(jiān)控光纖或銅質雙絞線的鏈路狀態(tài)。如果發(fā)現(xiàn)單向鏈路存在,DLDP會根據(jù)用戶配置，自動關閉或通知用戶手工關閉相關端口，以防止網(wǎng)絡問題的發(fā)生。支持RRPP及多實例，相比其他以太環(huán)網(wǎng)技術，RRPP具有以下優(yōu)勢：拓撲收斂速度快，低于50mso收斂時間與環(huán)網(wǎng)上節(jié)點數(shù)無關，可應用于網(wǎng)絡直徑較大的網(wǎng)絡。支持標準STP/RSTP/MSTP二層環(huán)網(wǎng)保護協(xié)議。支持SmartLink及多實例。支持BFDfor單播路由/VRRP/FRR/PIMoS5700系列全千兆企業(yè)交換機S5700系列全千兆企業(yè)交換機（以下簡稱S5700），是華為公司為滿足大帶寬接入和以太多業(yè)務匯聚而推出的新一代綠色節(jié)能的全千兆以太網(wǎng)交換機尼基于高性能硬件芯片和華為公司統(tǒng)一的VRP軟件平臺，具備大容量、高密度千兆端口，可提供萬兆上行，充分滿足企業(yè)用戶的網(wǎng)絡接入、匯聚、IDC千兆接入以及千兆到桌面等多種應用場景。S5700提供精簡版（LI）標準版（SI）增強版（EI）和高級版（HI）四種產(chǎn)品形態(tài)，具有下列這些特點。創(chuàng)新AHM節(jié)能智能iStack，支持9臺設備堆疊硬件級以太OAM/BFD?高性能Netstream雙電源可靠供電此外，根據(jù)不同客戶和場景的需求，推出了可內(nèi)置蓄電池的電池交換機、CSFP交換機、電源口前置的交換機。圖3-1S5700系列交換機■產(chǎn)品特點?豐富的敏捷特性S5720-HI系列內(nèi)置以太網(wǎng)絡處理器ENP芯片，業(yè)務隨需而變，助力客戶網(wǎng)絡敏捷演進，滿足現(xiàn)在與未來的各種挑戰(zhàn)。IP質量可感知，網(wǎng)絡管理更高效；有線無線深度融合，從容面向高速無線時代；SVF超級虛擬交換網(wǎng)技術將整網(wǎng)虛擬成一臺設備，提供業(yè)界最簡化網(wǎng)絡管理方案；大表項與大緩存使得業(yè)務彈性擴展，暢享高清視頻。成熟的IPV6特性S5700基于成熟穩(wěn)定的VRP平臺，支持IPv4/IPv6雙協(xié)議棧、IPv6路由協(xié)議（RIPng/0SPFv3侶GP4+/ISISforIPv6）IPv6overIPv4隧道（手工隧道/6to4隧道/ISATAP隧道）。S5700既可以部署在純IPv4或IPv6網(wǎng)絡，也可以部署在IPv4與IPv6共存的網(wǎng)絡，充分滿足網(wǎng)絡從IPv4向IPv6過渡的需求。更多的端口組合S5700支持多種上行擴展插卡，提供高密度的GE/10GE上行接口。其中S5710-HI具有4個擴展插槽，可實現(xiàn)48*GE（電）+48GE（光）+8*10GE+4*40GE,96GE（電）+8*10GE+4*40GE,或96*GE（電）+12*10GE等不同端口組合，充分滿足不同用戶對帶寬升級的實際需求，保護用戶投資。智能iStack堆疊S5700智能iStack堆疊，將多臺支持堆疊特性的交換機組合在一起，從邏輯上組合成一臺虛擬交換機。iStack堆疊系統(tǒng)通過多臺成員設備之間冗余備份,提高了設備級的可靠性；通過跨設備的鏈路聚合功能,提高了鏈路級的可靠性。iStack提供了強大的網(wǎng)絡擴展能力,通過增加成員設備,可以輕松地擴展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。iStack簡化了酉己置和管理，堆疊形成后，多臺物理設備虛擬成為一臺設備，用戶可以通過任何一臺成員設備登錄堆疊系統(tǒng)，對堆疊系統(tǒng)所有成員設備進行統(tǒng)一配置和管理。創(chuàng)新AHM節(jié)能S5700-LI系列智能低功耗交換機，本著“性能優(yōu)先，節(jié)能不犧牲用戶體驗”的原則，通過匹配鏈路Down/Up、光模塊在位/不在位、端口ShutDown/UndoShutDown、設備空閑時段/繁忙時段等不同的使用場景,創(chuàng)造性地應用能效以太網(wǎng)（EEE）、端口能量檢測、CPU動態(tài)調(diào)頻、設備休眠等技術,達到節(jié)省設備能耗的目的。針對不同用戶的應用需求，提供了靈活可配的標準節(jié)能、基本節(jié)能、深度節(jié)能三種節(jié)能模式，是業(yè)界首家支持整機休眠的交換機設備。完善的VPN隧道S5700支持Multi-VPN-InstaneeCE（MCE）功能。S5700支持下接不同的VPN用戶，通過路由多實例，實現(xiàn)了不同用戶的隔離；上行通過一個共用的物理接口連接到PE設備，減少單個VPN用戶對網(wǎng)絡部署的投資。S5710-EI/S5700-HI支持MPLSL3VPN、MPLSL2VPN（VPWS/VPLS）、MPLS-TE、MPLSQoS等功能，可作為高質量企業(yè)專線接入設備，是業(yè)界為數(shù)不多的高性價比盒式MPLS交換機。?輕松的運行維護S5700支持華為EasyOperation簡易運維方案,提供新入網(wǎng)設備Zero-Touch安裝、故障設備更換免配置、USB開局、設備批量配置、批量遠程升級等功能，便于安裝、升級、業(yè)務發(fā)放和其他管理維護工作大大降低了運維成本°S5700支持SNMPV1/V2/V3、CLI（命令行）Web網(wǎng)管、TELNET、SSHV2.0等多樣化的管理和維護方式；支持RMON、多日志主機、端口流量統(tǒng)計和網(wǎng)絡質量分析，便于網(wǎng)絡優(yōu)化和改造。S5700支持GVRP，實現(xiàn)VLAN的動態(tài)分發(fā)、注冊和屬性傳播，減少手工配置量，保證配置正確性。S5700還支持MUXVLAN功能，MUXVLAN分為主VLAN和從VLAN，從VLAN又分為互通型從VLAN和隔離型從VLAN。主VLAN與從VLAN之間可以相互通信；互通型從VLAN內(nèi)的端口之間互相通信；隔離型從VLAN內(nèi)的端口之間不能互相通信。S5700-EI/S5700-HI系列支持風扇備份以及在線更換風扇，不間斷設備運行，并支持根據(jù)環(huán)境溫度變化自動分區(qū)調(diào)節(jié)風扇的轉速，不僅能夠減少設備功耗和運行噪聲，還能延長風扇的壽命。?杰出的網(wǎng)流分析S5700支持Netstream網(wǎng)絡流量分析功能。作為網(wǎng)絡流量輸出器，S5700根據(jù)用戶配置，實時采集指定的數(shù)據(jù)流量，通過標準的V5/V8/V9報文格式，將數(shù)據(jù)上送給網(wǎng)絡流量收集器，這些數(shù)據(jù)被進一步處理，可以實現(xiàn)動態(tài)報表生成、屬性分析、流量異常告警等功能，幫助用戶及時優(yōu)化網(wǎng)絡結構、調(diào)整資源部署。S5700支持sFlow功能。S5700按照標準定義的方式，對轉發(fā)的流量按需采樣，并實時地將采樣流量上送到收集器，用于生成統(tǒng)計信息圖表，為企業(yè)用戶的日常維護提供了極大的方便。?靈活的以太組網(wǎng)S5700不僅支持傳統(tǒng)的STP/RSTP/MSTP生成樹協(xié)議，還支持華為自主創(chuàng)新的SEP智能以太保護技術和業(yè)界最新的以太環(huán)網(wǎng)標準協(xié)議ERPS。SEP是一種專用于以太鏈路層的環(huán)網(wǎng)協(xié)議，適用于半環(huán)、整環(huán)、級連環(huán)等各種組網(wǎng)，其協(xié)議簡單可靠、維護方便，并提供50ms的快速業(yè)務倒換。ERPS是ITU-T發(fā)布的G.8032標準，該標準基于傳統(tǒng)的以太網(wǎng)MAC和網(wǎng)橋功能，實現(xiàn)以太環(huán)網(wǎng)的毫秒級快速保護倒換。S5700支持SmartLink和VRRP功能。S5700通過多條鏈路接入到多臺匯聚交換機上，SmartLink/VRRP實現(xiàn)了上行鏈路的備份，極大地提升了接入側設備的可靠性。S5700支持多種連接故障快速檢測功能。S5700支持完善的以太OAM（IEEE802.3ah/802.1ag/ITUY.1731）和BFD功能。S5700-HI更能提供硬件級3.3ms高精度以太OAM和10msBFD檢測。?多樣的安全控制S5700支持MAC地址認證和802.1X認證，實現(xiàn)用戶策略（VLAN、QoS、ACL）的動態(tài)下發(fā)。S5700支持完善的DoS類防攻擊、用戶類防攻擊。其中，DoS類防攻擊主要針對交換機本身的攻擊，包括SYNFlood、Land、Smurf、ICMPFlood；用戶類防攻擊涉及DHCP服務器仿冒攻擊、IP/MAC欺騙、DHCPrequestflood、改變DHCPCHADDR值等等。S5700通過建立和維護DHCPSnooping綁定表偵聽接入用戶的IP/MAC地址、租用期、VLAN-ID、接口等信息，解決DHCP用戶的IP和端口跟蹤定位問題。利用DHCPSnooping的信任端口特性，S5700還可以保證DHCP服務器的合法性。S5700通過建立和維護DHCPSnooping綁定表，對不符合綁定表項的非法報文直接丟棄。利用DHCPSnooping的信任端口特性，S5700還可以保證DHCP服務器的合法性。?業(yè)界首創(chuàng)的蓄電池內(nèi)置S5700-LI-BAT是業(yè)界首創(chuàng)的電池交換機，支持內(nèi)置的鋰電池作為備用電源，適用于網(wǎng)絡接入層頻繁斷電的應用場景。其主要優(yōu)點體現(xiàn)在：>市電斷電自動切換到蓄電池供電，保證業(yè)務不中斷電池交換機內(nèi)置蓄電池，集成度高，節(jié)省空間，安裝方便>智能電源管理，電池續(xù)航時間長全網(wǎng)電池交換機統(tǒng)一可視化管理，方便運維，電池壽命可預測，無須整網(wǎng)定期更換電池，節(jié)省成本電池可靠性高，支持電池保護和告警功能，超過工作溫度進行過溫保護高密接入帶寬倍增的CSFPCSFP交換機支持下行端口CSFP功能，每個下行端口插入一個CSFPGE光模塊和一對光纖實現(xiàn)單纖雙向2GE的帶寬，是普通SFP光模塊帶寬的兩倍，下行24個CSFP端口可實現(xiàn)帶寬48GE，實現(xiàn)了相當于48個普通SFP端口的高密接入，節(jié)省了鋪設光纖的成本和新增光模塊的成本。方便的單面運維電源端口前置的款型可以滿足300mm深的機柜放置，整臺設備可以前面板單面維護，簡化了運維，而且機柜的擺放更加靈活，可以靈活選擇機柜靠墻放置或者機柜背靠背放置，滿足客戶機柜深度小、機房空間有限的需求，并為客戶節(jié)省空間。安全接入網(wǎng)關■產(chǎn)品介紹表3-1安全接入網(wǎng)關USG9500云數(shù)居中心安全網(wǎng)關為解決云數(shù)據(jù)中心大型企業(yè)、教育、政府等網(wǎng)絡的安全問題而自主研發(fā)的高性能統(tǒng)一安全網(wǎng)關產(chǎn)品。USG9500系列云數(shù)據(jù)中心安全網(wǎng)關USG9000系列產(chǎn)品是華為技術有限公司為解決云數(shù)據(jù)中心、大型企業(yè)、教育、政府等網(wǎng)絡的安全問題而自主研發(fā)的統(tǒng)一安全網(wǎng)關。USG9500基于業(yè)界領先的“NP+多核+分布式”架構，融合了NAT、VPN、IPS、Anti-DDoS等行業(yè)領先的專業(yè)安全技術，通過將交換、路由、安全服務整合到統(tǒng)一的設備中，提供給用戶高性能保證、全面的虛擬化安全防護、超千種應用識別。USG9500在大型數(shù)據(jù)中心、大型企業(yè)、教育、政府、廣電等行業(yè)和典型場景得到廣泛應用。USG9500系列云數(shù)據(jù)中心安全網(wǎng)關USG6000下一代防火墻在移動化，社交化和云化的IT新環(huán)境，通過ACTUAL全局環(huán)境感知能力，重塑企業(yè)網(wǎng)絡邊界安全。USG6300系列下一代防火墻面向SOHO企業(yè)、連鎖機構、營業(yè)網(wǎng)點、中小企業(yè)、企業(yè)的分支機構，提供高性能，全方位的下一代安全防護。該系列產(chǎn)品集防火墻、IPS、AV、VPN、上網(wǎng)行為管理等功能于一體，提供安全、靈活、便捷的一體化組網(wǎng)和接入解決方案。USG6500系列下一代防火墻集防火墻、IPS、AV、VPN、上網(wǎng)行為管理和強大的路由功能于一體，提供安全、靈活、便捷的一體化組網(wǎng)和接入解決方案。為大中型企業(yè)及分支機構、連鎖營業(yè)網(wǎng)點、中小企業(yè)，提供高性能、全方位的下一代安全防護。USG6600系列下一代防火墻企業(yè)網(wǎng)絡正向以移動寬帶、大數(shù)據(jù)、社交化和云服務為核心的下一代網(wǎng)絡演進。移動APP、Web2.0、社交網(wǎng)絡讓企業(yè)處于開放的網(wǎng)絡環(huán)境，攻擊者通過身份仿冒、網(wǎng)站掛馬、惡意軟件、僵尸網(wǎng)絡等多種方式進行網(wǎng)絡滲透，企業(yè)面臨前所未有的安全風險，傳統(tǒng)防火墻面對變革卻無能為力。華為SecospaceUSG6600系列下一代防火墻應需而生，面向下一代網(wǎng)絡環(huán)境，基于“ACTUAL”感知，實現(xiàn)安全管理自我優(yōu)化，通過云技術識別未知威脅，高性能地為大型企業(yè)、數(shù)據(jù)中心提供以應用層威脅防護為核心的下一代網(wǎng)絡安全。USG2000&5000統(tǒng)一安全網(wǎng)關為解決政府、企業(yè)、數(shù)據(jù)中心等機構的網(wǎng)絡安全問題，而自主研發(fā)的統(tǒng)一安全網(wǎng)關，基于業(yè)界領先的軟、硬件體系架構，為用戶提供強大、可擴展、持續(xù)的安全能力。USG2000HSR多功能安全網(wǎng)關華為USG2000HSR系列多業(yè)務安全網(wǎng)關，是面向中小型用戶、大中型用戶的分支機構提供多種接入解決方案與安全防御的新一代網(wǎng)關產(chǎn)品。USG2000HSR系列為用戶提供完整的接入解決方案提供多種WAN接口，包括E1/CE1/Serial/ADSL/G.SHDSL;支持全無線組網(wǎng)802.11a/b/g/n全制式的Wi-Fi下行，支持3G上行?；跇I(yè)界領先的軟、硬件體系架構，融合了IPS、AV、URL過濾、應用程序控制、郵件過濾等行業(yè)領先的專業(yè)安全技術，為用戶提供強大、可擴展、持續(xù)的安全能力。網(wǎng)絡解決方案技術建議書3網(wǎng)絡解決方案技術建議書3設備推薦USG5500系列產(chǎn)品是華為公司面向大中型企業(yè)機構和數(shù)據(jù)USG5500系列產(chǎn)品是華為公司面向大中型企業(yè)機構和數(shù)據(jù)中心設計的新一代防火墻/UTM（UnitedThreatManagement，統(tǒng)一威脅管理）設備。USG5500基于業(yè)界領先的軟、硬件體系架構，基于用戶的安全策略融合了傳統(tǒng)防火墻、VPN、入侵檢測、防病毒、URL過濾、應用程序控制、USG5100HSR多功能安全網(wǎng)關USG2110系列防火墻/UTM產(chǎn)品USG2000系列防火墻/UTM產(chǎn)品USG5100系列防火墻/UTM產(chǎn)品USG5500系列防火墻/UTM產(chǎn)品華為USG5100HSR系列是面向大中型用戶的千兆級多業(yè)務安全網(wǎng)關，是供高密度的交換接入，最大支持88個千兆接口。基于業(yè)界領先的軟、硬件體系架構，融合了IPS、AV、URL過濾、應用程序控制、郵件過濾等行業(yè)領先的專業(yè)安全技術，為用戶提供強大、可擴展、持續(xù)的安全能力。在政府、金融、電力、電信、石油、教育、工業(yè)制造等行業(yè)得到廣泛應用。USG2110系列是專門面向中小企業(yè)、連鎖機構、營業(yè)網(wǎng)點、SOHO企業(yè)推出的網(wǎng)絡互聯(lián)設備。該系列產(chǎn)品集防火墻、UTM、VPN、路由、無線（WIFI/3G）功能于一體，能夠將多種業(yè)務部署在同一節(jié)點，在充分節(jié)約用戶投資的情況下提供安全、靈活、便捷的一體化組網(wǎng)和接入解決方案，有效降低運維成本。USG2000系列產(chǎn)品是華為公司面向中小型企業(yè)/分支機構設計的新一代防火墻/UTM（UnitedThreatManagement，統(tǒng)一威脅管理）設備。USG2000基于業(yè)界領先的軟、硬件體系架構，基于用戶的安全策略融合了傳統(tǒng)防火墻、VPN、入侵檢測、防病毒、URL過濾、應用程序控制、郵件過濾等行業(yè)領先的專業(yè)安全技術，可精細化管理1200余種網(wǎng)絡應用，全面支持IPv6協(xié)議，為用戶提供強大、可擴展、持續(xù)的安全能力。在政府、金融、電力、電信、石油、教育、工業(yè)制造等行業(yè)得到廣泛應用。USG2000系列產(chǎn)品包括：USG2130,USG2160,USG2210，USG2210E，USG2220，USG2220E，USG2230，USG2230E，USG2250，USG2250E等十個型號產(chǎn)品。均為模塊化設備，提供多個擴展槽，支持多種I/O模塊選配。USG5100系列產(chǎn)品是華為公司面向大中型企業(yè)和機構設計的新一代防火墻/UTM（UnitedThreatManagement，統(tǒng)一威脅管理）設備。USG5100基于業(yè)界領先的軟、硬件體系架構，基于用戶的安全策略融合了傳統(tǒng)防火墻、VPN、入侵檢測、防病毒、URL過濾，應用程序控制，郵件過濾等行業(yè)領先的專業(yè)安全技術，可精細化管理1200余種網(wǎng)絡應用，全面支持IPv6協(xié)議，為用戶提供強大、可擴展、持續(xù)的安全能力。在政府、金融、電力、電信、石油、教育、工業(yè)制造等行業(yè)得到廣泛應用。USG5100系列產(chǎn)品包括:USG5120JJSG5150J