实用标准
项目编号: 华为网络整体解决方案
目录
1 概述 (4)
2 企业网络建设设计原则 (5)
3 华为产品解决方案 (7)
3.1 整体架构设计 (7)
3.1.1 总体网络架构 (7)
3.1.2 有线网络解决方案 (8)
3.1.2.1 核心层网络设计 (9)
3.1.2.2 汇聚层网络设计 (9)
3.1.2.3 接入层网络设计 (10)
3.1.3 数据中心解决方案 (10)
3.1.4 无线网络解决方案 (11)
3.1.4.1 无线网络的建设需求 (11)
3.1.4.2 无线网络解决方案 (14)
3.2 高可靠性设计 (18)
3.2.1 网络高可靠性设计 (18)
3.2.2 设备高可靠性设计 (18)
3.2.2.1 重要部件冗余 (18)
3.2.2.2 设备自身安全 (19)
3.3 安全方案设计 (21)
3.3.1 园区网安全方案总体设计 (21)
3.3.2 园区内网安全设计 (21)
3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击 (21)
3.3.2.2 防IP/MAC地址扫描攻击 (23)
3.3.2.3 广播/组播报文抑制 (25)
3.3.3 园区网边界防御 (26)
3.3.4 园区网出口安全 (27)
3.3.5 无线安全设计 (28)
3.3.5.1 无线局域网的安全威胁 (29)
3.3.5.2 华为无线网络的安全策略 (30)
4 设备介绍........................................................................................................ 错误!未定义书签。
4.1 Quidway? S9300系列交换机............................................... 错误!未定义书签。
4.2 Quidway? S7700系列交换机............................................... 错误!未定义书签。
4.3 Quidway? S5700系列交换机 (32)
4.4 无线控制器WS6603 (41)
1概述
企业园区网络承载企业所有IT基础设施和企业所有上层软件应用,对一个企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视,传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中,还是在公司的咖啡厅、待客室,今天的用户都需要方便地获取各种网络服务。
一个典型的企业园区网络通常由楼宇办公网络、数据中心、Internet出口、以将这四部分互联起来的主干网络组成,其中办公网络可分为有线网络和无线网络。在规划与建设一个企业园区网络的时候,这些部分都要充分考虑。
同时,企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问
题,如何构建一个保障企业未来5~10年扩展,同时兼顾设备的投资保护的企业园区网络,困扰着每一位企业CIO。
华为企业园区网解决方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性,可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业园区网络。
2企业网络建设设计原则
在网络建设项目中,我们应该遵循以下设计原则:
1)合理性、整体性原则
系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的需求是系统建设的首要原则。
●深入调研,全力做好网络与信息系统安全检测、监测和认证的需求分析,
这是系统成败的关键;
●充分考虑已有资源(软硬件设备及人员)合理利用,避免出现不必要的
浪费;
●系统建设尽可能模拟国内外最常用的几种网络应用模式。
●系统建设要有一定的前瞻性。在网络建成后的3-5年之内,不会由于业
务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的
应用水平,避免技术环境过于超前造成投资浪费。
2)标准化原则
为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管
理性,应建立一个开放的、遵循国际标准的网络系统。
●建设的方案要科学、正确、严谨、且现实可行;
●采用的先进技术应是成熟的、经过实践证明是成功的技术;
●选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商
的产品
3)先进性原则
系统建设应充分考虑网络通信技术和互联网技术的发展,建设是循序渐进的,初期重点应在网络基础环境和基本系统上:
●系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境;
●系统实现采用先进的网络技术、网络安全检测技术。
4)安全可靠性原则
本系统具有特殊性,因此安全保密性非常复杂。系统要有极强的自我保护能力。
●选用具有C2安全级或B1安全级的系统软件平台;
●配置功能齐全、可视化程度高的网管系统,对网络运行情况进行实时监
督和控制;
●采取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。
5)可管理性原则
随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控和维护,以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护,本方案将提供先进而完善的网络管理系统。这样,即方便网络管理员的工作,减轻
了劳动强度,也提高了网络系统的管理程度。
6)灵活、可伸缩性原则
为适应因特网和互联网络技术的发展,系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外,在网络系统的设计过程中,还需要考虑整个网络系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求,又能满足今后整个计算机系统的发展需要。
●应用软件设计要采用结构化和模块设计方法,使系统逻辑结构清晰、易
读,在功能的划分和设计时,使各模块尽可能相对独立、减少相关性以
易于扩充、维护和修改。
●网络系统要具有异种设备的异种网络的互联互通能力,以达到保护已有
资源并能与其他信息系统交流信息的目的。
7)绿色节能原则
随着数据中心的不断壮大,数据中心的电费不断增长,目前,通信/IT设备节能是降低能耗的基础,采用底能耗的设备是节能减排最主要的途径。
3华为产品解决方案
3.1整体架构设计
3.1.1总体网络架构
整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化
的设计方法,组网图如下所示:
网络架构
整个网络的设计方案采用层次化、模块化的设计思路,按照接入层、汇聚层、核心层和出口层进行网络设备设计部署,通过模块化或者购买单独设备的方式提供WLAN AC控制器,在汇聚层交换机,提供防火墙、负载均衡器等增值业务功能,满足企业日益增长的业务需求。
整个网络的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接入核心交换机,交换机之间采用TRUNK链路保证链路级可靠性。
3.1.2有线网络解决方案
整个网络层次建议采用业界成熟的三层架构:接入、汇聚和核心,最后企业
园区通过出口层网络设备(路由器或交换机)连接到外网通过。
这种分层的网络架构,可以保证根据的业务需求,分别对不同层次进行扩容。
3.1.2.1核心层网络设计
核心层交换机部署在园区核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6,可为园区构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
所以建议核心层采用双机冗余备份的方式构造,消除单点故障,设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G 链路互联,达到高带宽、高转发性能的效果。
本次建议采用华为的S9300高性能交换机构造核心层,实现高性能的骨干网络。华为S9300支持大容量、高转发性能,完全能够满足各网络的数据转发。
3.1.2.2汇聚层网络设计
汇聚层交换机的重要性也是比较高的,一般部署在楼宇独立的网络汇聚机柜中,汇聚园区接入交换机的流量,一般提供三层交换机功能,汇聚层交换机作为园区网的网关,终结园区网用户的二层流量,进行三层转发。当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关,能够承载校园园区融合业务的需求。
根据需要,可以在汇聚交换机上集成增值业务板卡(如防火墙,负载均衡器、
WLAN AC控制器)或者旁挂独立的增值业务设备(如WLAN 盒式AC等),为园区网用户提供增值业务。
汇聚层与核心层共同组建成骨干网络,所以汇聚设备的性能要求也是比较高的,建议采用10G的链路互联,达到万兆骨干网络。
汇聚交换机需要提供高密度的GE接口,汇聚接入交换机的流量,通过10GE 接口接到核心交换机,推荐使用S9300系列交换机作为园区汇聚层交换机。3.1.2.3接入层网络设计
接入层交换机一般部署在楼道的网络机柜中,接入园区网用户(PC机或服务器),提供二层交换机功能,也支持三层接入功能(接入交换机为三层交换机)。
提供网络的第一级接入功能,一般完成简单的二层交换,安全、Qos都位于这一层。对于园区网的接入层设备,建议采用千兆二层接入的方式,应该具有线速二层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。
3.1.3数据中心解决方案
数据中心的设计目标是实现高冗余、高带宽、高安全性、高可靠性等目的。数据中心内的网络设备主要是:核心交换机、核心防火墙、核心路由器、负载均衡设备。
核心交换机的主要功能是连接服务器,因此必须考虑企业未来的业务增长,核心交换机必须具有很好的扩展性,随着以后网络的扩展,必须具有多个插槽,以便以后网络扩展的时候能够增加网络模块。由于核心交换机在整个网络中具有十分重要的地位,因此核心交换机必须具有电信级的可靠性和稳定性,核心网络
对数据的快速转发速度要求很高,因此核心交换机需要具备高容量的交换带宽和包转发速率。我们建议采用华为的S7700系列高性能交换机,采用双机双电源。可实现万兆或者千兆接入,实现数据中心高转发性能的效果。并且可以通进扩展防火墙模块等方面,实现数据中心的安全。
3.1.4无线网络解决方案
随着以太网的广泛应用,因特网的日益普及,以及移动终端的不断增加,人们对移动IP接入的需求迅速增长。无线局域网WLAN(Wireless Local Area Network )作为有线以太网的延伸,一定程度上满足了这种需求。
由于无线网络的部署灵活性高,所以受到很多用户的青睐,整个无线网络,WLAN 解决方案可以运行在现有的有线企业网络的基础上,也可以采用一个独立的网络。它为园区提供了具有部署方便性、安全性、可扩展性的无线网络,让用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务。
我们建议采用华为的无线解决方案,在核心网络中部署一套无线控制器,无线AP接入到接入层交换机上,各无线AP通过无线控制器统一管理。从而实现易维护、易管理。
3.1.
4.1无线网络的建设需求
在无线网络建设中,为了解决大规模部署情况下的统一配置、调整问题,以及射频的智能管理问题,现在无线网络建设普遍都采用了瘦AP建网模式。瘦AP的另一个好处是实现了三层漫游环境下避免重新认证,从而使漫游切换时间小于50ms。这对于企业的移动业务,尤其是对切换时间要求最苛刻的语音业务意义重大。
然而,随着无线网络的发展,一些新的需求也逐渐变得越来越强烈。主要有以下几个方面:
稳定问题:
由于WLAN网络的组网设计包含无线控制器、接入交换机、无线接入点等大量设备,在大部分情况下,还需要通过以太网解决供电问题,所有这些环节都会影响校园无线网络的稳定性;同时由于无线信号的传播深受环境影响,多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象,实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以如何实时根据环境动态调整无线接入点的信道、发射功率等也是经常困扰无线校园管理人员的难题。
安全问题:
由于无线网络的特殊性,园区无线用户的安全问题就更加突出。对无线网络的用户来说,所有有线网络存在的安全威胁和隐患都同样存在。同时,任何不可
信的无线设备可以在信号覆盖范围内进行网络接入的尝试,一定程度上也加剧了无线用户所面临的安全隐患。
无线网络的安全问题已经不再是单一的物理层安全,也包括了用户接入安全、网络层安全、设备安全、安全管理等多个层面上,如何能使企业无线用户在使用网络时能够像使用有线网络一样安全、可靠,正逐渐成为无线企业网络建设所关注的核心。
管理问题:
相对于FAT AP来说,虽然FIT AP解决方案帮助网区管理人员实现了无线网络的灵活安装与应用,但管理无线网络却仍然是一项非常耗时且麻烦的事情。在无线园区网络环境中尤为如此。
传统的FIT AP解决方案由无线控制器(AC)及无线接入点(FIT AP)构成,虽然整个无线网络具有一些设备管理、安全管理功能和用户管理功能,但是与有线网络难于统一,无法在整个企业范围内实现用户管理及认证、服务质量控制和安全策略实施等。因此,通常引入无线网络会降低安全性,整个网络管理起来比较复杂,并且维护成本也比预期高。把网络作为一个整体,整合有线和无线网络,实现统一的网络控制和管理,对于企业来说具有重要的意义。
扩展问题:
WLAN技术的发展日新月异,新技术、新标准层出不穷,除了呼之欲出的802.11n,在教育行业一个重要的门槛技术是IPv6。所有的无线产品和解决方案都要为未来的升级和应用做好准备。
应用问题:
随着WLAN技术的逐步成熟,市场上各种各样的WLAN终端如笔记本电脑、PDA、双模手机、支持Wi-Fi的游戏机、即拍即传的数码相机如雨后春笋般涌现出来,同时价格越来越低,普及程度越来越高,使得无线新业务在园区网中的丰富应用成为可能。如何在无线网络这个开放的平台上开展丰富的业务是建设者必须要考虑的问题。例如VoWiFi、无线监控等业务,解决了园区内部和各园区之间通讯费用高、无线监控和无线多媒体教学的问题,让无线接入变得更有价值。
3.1.
4.2无线网络解决方案
华为无线网络解决方案有效实现了有线和无线网络的融合,通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全,为园区用户提供安
无线管理中心
管理中心
无线交换机运营管理中心
室内型热点无线覆盖
办公楼
室外型热点无线覆盖
职工公寓
无线业务应用
移动数据业务Wi-Fi语音漫游
全的无线接入。根据用户需求,通过在华为系列交换机中加入无线控制器插卡或者使用单独的无线控制器,就可为原有的有线网络提供无线支持,还可以像扩展和管理传统有线网络一样,对无线网络进行扩展和管理。
可以收到无线信号的地方立即访问各种网络服务。
?安全性、高QoS保障
华为园区网络WLAN解决方案从用户接入安全、网络安全、设备安全等多个方面保障无线网络的安全,使园区用户安全可靠的使用WLAN网络。
用户接入安全:华为园区WLAN解决方案提供了多样化的用户接入认证以及加密解决方案。无线接入认证主要支持基于MAC地址认证、802.1x认证、Portal认证等保证用户安全合法的接入,支持WEP/TRIP/CCMP等加密措施防范无线接入用户数据被盗。同时可以通过部署VLAN隔离、端口隔离等业务隔离技术避免用户间相互影响。
网络安全:通过接入点对RF 环境的不间断扫描和监控,防止企业受到未经授权的不安全的WLAN 接入点或恶意接入点的影响。
设备安全:无线接入点AP提供“零配置”功能,无需在设备保存业务配置,仅启动的时候自动从无线控制器加载业务配置,这样可以避免设备丢失造成配置泄漏而形成对无线网络的安全威胁。
园区WLAN解决方案可以通过虚拟AP&VLAN构建一个单独的访客网络为客户、供应商等访客人士提供互联网服务访问权限。
对于不同SSID承载的用户业务,由于无线空口资源有限,若某个SSID流量过大,比如访客访问Internet,则可能造成园区用户的不能正常访问无线网络开展业务。因此基于SSID的限速,可以避免其中一种业务流量过大对其他业务
造成影响。
另外,基于快速漫游技术可以实现园区无线用户一次认证移动接入。用户移动到新的接入点时,如果用户之前已经认证过,则用户此时无需再次通过安全认证,直接接入,保证用户业务的连续性。
?部署方便、扩展灵活
WLAN网络部署简化,安装便捷。WLAN的安装工作简单,它无需施工许可证,不需要布线或开沟挖槽。设备的零配置部署功能可以在无线改造现有网络的基础上轻松部署WLAN。
无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点。随着无线网络的扩展,新添加的无线接入点能自动检测到无线控制器,并下载相应的配置信息以及策略信息,无需任何手动操作。
?统一的网络管理、智能运维
统一的网络管理设备可以实现有线无线网络的统一化管理,简易网络管理操作,结合智能化的网络运维提升了网络管理效率。
无线接入点能够监控环境温度变化,当环境温度低于零下10℃时,启动加热板,确保低温时的正常工作。而且无线接入点检测到电压将要无法供应的情况下(复位或故障),上报该告警,描述最后的工作状态,方便故障定位。
?稳定性
华为WLAN稳定性解决方案从无线控制器的可靠性,接入交换机供电的可靠性、无线信号的可靠性这几方面入手,极大的提高了WLAN网络的可靠性;在实际的使用情况来看,启用这些措施之后,WLAN的可靠性能够得到明显的
提升。
?全面的PoE解决方案
PoE设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源,传输数据的同时传输直流电。因为AP往往要求使用不间断电源(UPS)供应电力,采用PoE设备,AP端仅仅通过一根RJ-45网线与网络连接即可以同时传输数据和电力,因此在使用PoE设备的情况下,所有的AP都使用一个UPS在PoE设备端进行保护。如果不使用PoE设备,就需要给每个AP配一个UPS,而且还需要在AP附近安装电源插座,增加了成本。因此使用PoE设备将大大降低设备成本和管理成本。
PoE具有非常明显的优势,具体如下:
简化安装,降低成本,不需为每个网络设备单独提供数据和电力线缆。
灵活性提高,网络装置可被安装在任何位置,而不需靠近一个已存在的电源输出口。
可靠性增强,有SNMP能力的PoE装置,可实施远程检测和控制,能有效地处理或修理装置的耗电量和(或)失效故障。
3.2高可靠性设计
3.2.1网络高可靠性设计
针对二层接入(接入交换机是二层交换机、汇聚交换机作为用户网关)典型园区网架构,从接入层、汇聚层、核心层来分层考虑网络可靠性设计。
接入层网络是二层网络,接入交换机与汇聚交换机之间通过Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性,同时解决二层网络环路问题;汇聚层交换机之间通过VRRP(BFD for VRRP)协议确定用户的主备网关,交换机互联通过TRUNK链路,保证链路级可靠性,汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障(单通故障)。
园区网接入/汇聚/核心交换机通过虚拟化技术进行集群(或堆叠),将两台/多台交换机虚拟化成一台交换机,降低网络拓扑复杂度的同时,提高网络可靠性,是未来高可靠性园区网的发展趋势。
3.2.2设备高可靠性设计
3.2.2.1重要部件冗余
设备本身要具有电信级5个9的可靠性,需要网络设备支持:
?主控1:1备份
?交换网1+1/1:1两种方式
?DC电源1+1备份;AC电源1+1/2+2备份
?模块化的风扇设计,高端配置支持单风扇失效
?无源背板,高可靠性
?独立的设备监控单元,和主控解耦
?所有模块热插拔
?完善的各种告警功能
?设备管理1:1备份
3.2.2.2设备自身安全
如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大。
这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。
华为公司全系列园区网交换机(S9300/S7700/S5700/S3700/S2700)提供攻击防范功能,能够检测出多种类型的网络攻击,并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运行。
华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。
另外,以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷新,填充交换机的MAC地址表,由于MAC地址表的规格有限,导致正常流量由于没有正确的转发表项而无法正常转发。ARP 攻击与此类似,通过攻击报文来更改MAC与IP地址的绑定,从而重新定向流量。
华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描,并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击(SAI/DAI功能)。
华为全系列交换机支持黑洞MAC功能,园区交换机收到报文时比较报文目的MAC地址,若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC 地址的报文具有一定攻击性,则可以在园区交换机上配置黑洞MAC,从而将具有该MAC地址的报文过滤掉,避免遭受攻击。
目录 1概述 (3) 2xx集团WLAN网络设计方案 (3) 2.1网络设计原则 (3) 2.2无线信号质量分析 (3) 2.3无线网络总体架构 (5) 2.4无线设计 (5) 2.5SSID规划 (10) 2.6无线安全性设计 (10) 2.6.1WLAN终端认证 (10) 2.6.2用户身份验证 (11) 2.6.3组网保护 (11) 2.6.4接入安全方案 (11) 2.7移动漫游设计 (12) 3华为WLAN解决方案的优势 (13) 4华为WLAN设备关键特性 (14) 4.1华为AP介绍 (14) 4.2华为AC介绍 (14)
1 概述 无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点:?简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作; ?灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域; ?综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于 WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适 应网口和企业、内部Intranet相连,从体系结构上节省了协议转换器等相关设备; ?扩展能力强:WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统; 2 xx集团WLAN网络设计方案 2.1网络设计原则 此次无线局域网建设有以下需求: 1.利用无线网技术实现无线覆盖,使员工能够随时随地、方便高效地访问 Internet。 2.实现无线上网用户的认证,销户,监控等功能。 3.对于无线AP设备实施统一管理和监控。 4.无线网络的部署需要考虑简单方便,天线需要采取比较友好的设计,不 能让用户感受到压力。 5.关注安全性,无线用户之间彼此隔离,防止ARP攻击,并限制上网流量。 6.无线AP全部采用POE交换机供电。 2.2无线信号质量分析 下图为WLAN信道分配情况,在2.4GHz-2.4835GHz范围内共13个相邻子信
实用标准 项目编号: 华为网络整体解决方案
目录 1 概述 (4) 2 企业网络建设设计原则 (5) 3 华为产品解决方案 (7) 3.1 整体架构设计 (7) 3.1.1 总体网络架构 (7) 3.1.2 有线网络解决方案 (8) 3.1.2.1 核心层网络设计 (9) 3.1.2.2 汇聚层网络设计 (9) 3.1.2.3 接入层网络设计 (10) 3.1.3 数据中心解决方案 (10) 3.1.4 无线网络解决方案 (11) 3.1.4.1 无线网络的建设需求 (11) 3.1.4.2 无线网络解决方案 (14) 3.2 高可靠性设计 (18) 3.2.1 网络高可靠性设计 (18) 3.2.2 设备高可靠性设计 (18) 3.2.2.1 重要部件冗余 (18)
3.2.2.2 设备自身安全 (19) 3.3 安全方案设计 (21) 3.3.1 园区网安全方案总体设计 (21) 3.3.2 园区内网安全设计 (21) 3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击 (21) 3.3.2.2 防IP/MAC地址扫描攻击 (23) 3.3.2.3 广播/组播报文抑制 (25) 3.3.3 园区网边界防御 (26) 3.3.4 园区网出口安全 (27) 3.3.5 无线安全设计 (28) 3.3.5.1 无线局域网的安全威胁 (29) 3.3.5.2 华为无线网络的安全策略 (30) 4 设备介绍........................................................................................................ 错误!未定义书签。 4.1 Quidway? S9300系列交换机............................................... 错误!未定义书签。 4.2 Quidway? S7700系列交换机............................................... 错误!未定义书签。 4.3 Quidway? S5700系列交换机 (32) 4.4 无线控制器WS6603 (41)
小型机构VPN安全互联 1.1 简介 BR304具备BR204的所有功能,可以替代BR204,在此基础上增加了安全VPN互联功能,定位于解决异地中小机构上网后的内部局域网安全互联。 BR304可同时支持8个VPN隧道,可用于8个以下中小机构的VPN互联。 BR315具备BR304的所有功能,但支持100个VPN互联,主要用于中型企业总部VPN接入网关,并且转发性能上有所增强。BR304与BR315形成互补之势。 该方案主要用于异地中小机构之间的局域网安全互联,在此基础上各种群组办公软件可运行无阻,并且安全性可得到保障。 1.2 组网需求 BR304作为小型驻外分支机构局域网的网关,通过ADSL Modem或其它宽带接入方式接入到Internet。 BR315做为总部机构局域网网关,也通过ADSL Modem或其它宽带接入方式接入到Internet,但是它支持多达100个驻外分支机构的VPN互联(当驻外分支机构小于8个时可用BR304替代),要求: WAN接入类型为PPPoE; 自动为局域网内LAN口主机分配IP地址; 支持局域网内用户共享一个上网帐号同时上网; 站点过滤:如禁止LAN内主机访问https://www.doczj.com/doc/1512103227.html,; 时间段过滤:如周一到周五8:00-12:00不能上网;
设置WWW、E-mail服务器各一台,对外使用一个地址; 根据配置进行域名及IP地址注册(DDNS功能),重新拨号后确保VPN自动重连成功; 允许指定域名的网关建立基于IPsec的VPN; 各分支机构访问VPN以外网络不经过总部中转; 中小企业无线网络 1.1简介 中小企业的无线组网,首先摒弃了繁杂的网络布线。并且采用了802.11g标准,提供54M 的带宽,保证了公司内部财务、RTX以及办公自动化软件的应用。无线网络中提供了多种加密机制,保证了公司网络的安全。打印服务器则解放出专门用于和打印机连接的PC。通过建立公司内部的无线网络,给移动办公带来了很大的方便。 1.2 组网需求 所有无线环境均为802.11g,速率可达54M。 所有的PC通过各自的无线网卡通过接入到WAP300g,连接接入Internet。 打印机通过打印服务器连接,打印服务器永久在线,任何PC均可以随时进行打印操作。 整个无线网络环境提供SSID、WEP和WPA方式加密和认证,保证了整个无线网络的安全。可以对特定的PC进行网站地址的限制,可以对特定的PC限制只能在指定的时间对Internet 访问。有效的对公司内部的上网进行控制。 宽带路由器支持防火墙,有效的防止了来自Internet的攻击。 可以基于IP地址、MAC地址过滤,能控制到每台PC机对Internet的访问。 整个网络可扩展性强,无需进行线缆的增加,直接可以增加无线网络设备。
华为交换机虚拟化(CSS) 解决方案 陕西西华科创软件技术有限公司 2016年4月1
目录 一、概述 (3) 二、当前网络架构的问题 (3) 三、虚拟化的优点 (4) 四、组建方式 (5) 三、集群卡方式集群线缆的连接 (5) 四、业务口方式的线缆连接 (6) 五、集群建立 (7) 1. 集群的管理和维护 (8) 2. 配置文件的备份与恢复 (8) 3. 单框配置继承的说明 (8) 4. 集群分裂 (8) 5. 双主检测 (9) 六、产品介绍 (10) 1.产品型号和外观: (14) 2.解决方案应用 (20)
一、概述 介绍 虚拟化技术是当前企业IT技术领域的关注焦点,采用虚拟化来优化IT架构,提升IT 系统运行效率是当前技术发展的方向。 对于服务器或应用的虚拟化架构,IT行业相对比较熟悉:在服务器上采用虚拟化软件 运行多台虚拟机(VM---Virtual Machine),以提升物理资源利用效率,可视为1:N的虚拟化;另一方面,将多台物理服务器整合起来,对外提供更为强大的处理性能(如负载均衡集群),可视为N:1的虚拟化。 对于基础网络来说,虚拟化技术也有相同的体现:在一套物理网络上采用VPN或VRF 技术划分出多个相互隔离的逻辑网络,是1:N的虚拟化;将多个物理网络设备整合成一台 逻辑设备,简化网络架构,是N:1虚拟化。华为虚拟化技术CSS属于N:1整合型虚拟化技术范畴。CSS是Cluster Switch System的简称,又被称为集群交换机系统(简称为CSS),是将2台交换机通过特定的集群线缆链接起来,对外呈现为一台逻辑交换机,用以提升 网络的可靠性及转发能力。 二、当前网络架构的问题 网络是支撑企业IT正常运营和发展的基础动脉,因此网络的正常运行对企业提供 上层业务持续性访问至关重要。在传统网络规划与设计中,为保证网络的可靠性、故障 自愈性,均需要考虑各种冗余设计,如网络冗余节点、冗余链路等。 图1 传统冗余网络架构 为解决冗余网络设计中的环路问题,在网络规划与部署中需提供复杂的协议组合设 计,如生成树协议STP(Spanning Tree Protocol)与第一跳冗余网关协议(FHGR: First Hop Redundant Gateway ,VRRP)的配合,图1所示。 此种网络方案基于标准化技术实现,应用非常广泛,但是由于网络发生故障时环路 状态难以控制和定位,同时如果配置不当易引起广播风暴影响整个网络业务。而且,随 着IT规模扩展,网络架构越来越复杂,不仅难于支撑上层应用的长远发展,同时带来 网络运维过程中更多的问题,导致基础网络难以持续升级的尴尬局面。
华为电力数据网解决方案 概述 电力数据网对于保证电力系统的安全、稳定来说必不可少,是电网调度自动化、网络运营市场化和管理现代化的基础,是电力系统的重要基础设施。 电力数据网按照功能和安全级别分成两张独立的物理网络:调度数据网和综合业务数据网。 调度数据网承载实时控制区(安全Ⅰ)和非实时控制生产区(安全Ⅱ)业务,包括与电力自动化生产直接相关的信息系统,用于监控电力生产运行过程中的各种业务处理系统及智能设备。 电力综合业务数据网承载的业务主要是生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)的应用系统业务,包括管理信息系统、财务自动化系统和供电营销系统等;同时,电力综合业务数据网还将承载具有实时性要求的新型应用,如视频监控、视频会议等。 相应地,华为提出了电力调度数据网解决方案,以及电力综合数据网解决方案。 方案介绍 华为电力调度数据网解决方案 华为电力调度数据网解决方案的网络整体架构如图1所示。 网络由骨干网和接入网络部分组成,其中国调、网调、省调、地调组成一级骨干网络,接入网由各级调度直调厂站组成相应的接入自治域(接入网)、县调纳入地调接入网络。 厂站的接入设备采用双机配置,分别接入不同的接入网,一方面方便调度对直调厂站的调度采集要求,另一方面提供接入的冗余可靠性,三是减少调度数据网接入网数量,原则上各级调度机构只需一个接入网,便于接入网络平面和骨干网络平面交叉连接的路由控制,四是接入网实现互为备份,将提高调度间的协同能力。
图1 华为电力调度数据网解决方案 华为电力综合数据网解决方案 电力综合数据网划分为国网骨干网、省广域网、以及县市城域网,华为解决方案的网络整体架构如图2所示。 华为电力综合数据网解决方案综合了多种可靠性特性,整网消除单点故障,保证语音、视频以及重要电力业务应用不中断,与电力综合数据网一起,成为坚强电网的保障。 图2 华为电力综合数据网解决方案 方案特点 高性能、大容量、多业务的承载 华为高性能大容量数据通信设备,使电力数据网骨干网能轻松承载庞大的并发用户数及业务量。 华为电力数据网解决方案所使用的NE系列路由器以及S系列交换机均使用新一代硬件芯片和软件平台,采用最新的分布式架构设计,是建设坚强电网的强大基础。例如,NE40E-X路由器基于400G平台,具备2.56T超大交换容量,同时支持10M路由表,512K队列,为业界同级别路由器最高规格;S9300系列交换机支持5T交换容量,同时具备512K的路由/MAC表规格。 华为路由器/交换机采用IP/MPLS Diff-serv技术,边缘层设备实施复杂流分类优先级标记,核心、骨干层设备根据优先级标记进行优先级队列调度和拥塞处理,确保高品质的用户体验。 华为电力数据网解决方案致力于对不同的业务实现高品质承载,重要业务如调度、网管业务优先保证,时延抖动以及丢包率严格符合电力行业规范;并能保证语音、视频流有较高优先级,使得电力系统内部办公电话以及视频会议业务可以获取较好用户感受。骨干网路由器NE40E-X系列支持业界领先的MPLS HQoS技术,保证不同级别的用户/业务得到精细化QoS调度,确保高优先级业务的传输质量。
第三章计算机网络系统设计方案 1.网络设计依据 标准与协议 IEEE802系列: IEEE802.1 IEEE802.1p IEEE802.2 IEEE802.3 IEEE802.3u IEEE802.3z IEEE802.1Q 网络协议: TCP/IP IPX/SPX 网管协议: SNMP agentV1(RFC1155-1157)/SNMP agentV2 RMON/ATMRMON Telnet TFTP,LEC,RFC1577Client SNMP MIBII(RFC1213) Bridge MIB(RFC1493) 802.1DSpanning-TreeMIB Ethernet MIB(RFC1398) 2.网络设计原则 多媒体技术的普及给Internet和Intranet提出了更高的发展要求。海军工程大学校园网络应建成一个以宽带技术为基础、提供多层次服务、支持多媒体应用的信息服务网络。 数据网建设是海军工程大学数字化校园工程项目重要组成部分,为学生、教师获取各种信息资源提供通信基础,为各种上层应用提供网络平台,在校园的信息化中发挥这重
要作用。 在网络的整体规划中,使用代表未来发展方向的技术,采取合理的建设步骤,最终建设一个高效、实用的校园网络,为学校的信息化建设打下坚实的基础。海军工程大学校园网络工程将是一个满足数字、语音、图形图像等多媒体信息,以及综合业务信息传输和处理需要的综合数字网,并能符合多种网络协议,体系结构符合国际标准或事实上的国际工业标准(如TCP/IP),同时能兼容已有的网络环境。 根据海军工程大学校园网络建设目标和设计要求,和我们多年的系统集成经验,其校园网络总体设计遵循以下若干原则: (1)先进性: 从系统体系结构和网络系统基础结构方面均采用当前国内外先进的技术,同时,在设备选型方面考虑到技术的成熟性,采用主流机型,主流系统。 校园网络传输的信息量大,要求计算机网络具备高带宽的传输主干。随着将来用户的增加,网络也将面临多样化需求。 我们将在网络构架,硬件设备,协议选择,安全控制和网络管理等方面充分体现海军工程大学校园网络的先进性。 (2)可靠性: 我们从网络骨干线路的冗余备份、网络设备的冗余备份和电源冗余备份等方面来保证海军工程大学校园网络的可靠性。另外,还从以下几个方面来保障: 无差错运行:在网络设计中采用防干扰、防浪涌技术,在网络系统的配置中,严格遵循设备技术要求。 不间断运行:对关键的部件和设备均采用冗余备份设计,同时采用UPS电源系统,确保系统安全可靠的连续运行。 (3)开放性和扩充性 在设备选型上,选择业界著名厂商的产品,以提供更为完善全面的技术支持和售后服务。选择符合国际标准及业界流行成熟的工业标准的设备,以便对技术的未来发展提供保证。 系统结构配置,采用具有最佳升级途径的配置,一是结构合理,二是升级代价最小,保证系统具有良好的可升级性。 随着业务的发展,海军工程大学校园网络面临的任务将会愈来愈繁重,信息资源范
小型机构VPN安全互联 48
1.1 简介 48
BR304具备BR204的所有功能,可以替代BR204,在此基础上增加了安全VPN互联功能,定位于解决异地中小机构上网后的内部局域网安全互联。 BR304可同时支持8个VPN隧道,可用于8个以下中小机构的VPN互联。 BR315具备BR304的所有功能,但支持100个VPN互联,主要用于中型企业总部VPN接入网关,并且转发性能上有所增强。BR304与BR315形成互补之势。 该方案主要用于异地中小机构之间的局域网安全互联,在此基础上各种群组办公软件可运行无阻,并且安全性可得到保障。 1.2 组网需求 BR304作为小型驻外分支机构局域网的网关,通过ADSL Modem或其它宽带接入方式接入到Internet。 48
BR315做为总部机构局域网网关,也通过ADSL Modem或其它宽带接入方式接入到Internet,但是它支持多达100个驻外分支机构的VPN 互联(当驻外分支机构小于8个时可用BR304替代),要求: WAN接入类型为PPPoE; 自动为局域网内LAN口主机分配IP地址; 支持局域网内用户共享一个上网帐号同时上网; 站点过滤:如禁止LAN内主机访问https://www.doczj.com/doc/1512103227.html,; 时间段过滤:如周一到周五8:00-12:00不能上网; 设置WWW、E-mail服务器各一台,对外使用一个地址; 根据配置进行域名及IP地址注册(DDNS功能),重新拨号后确保VPN自动重连成功; 允许指定域名的网关建立基于IPsec的VPN; 各分支机构访问VPN以外网络不经过总部中转; 48
中小企业无线网络 1.1简介 1.2中小企业的无线组网,首先摒弃了繁杂的网络布线。并且采用了80 2.11g标准,提供54M的带宽,保证了公司内部财务、RTX以及办公自动化软件的应用。无线网络中提供了多种加密机制,保证了公司网络的安全。打印服务器则解放出专门用于和打印机连接的PC。通过建立公司内部的无线网络,给移动办公带来了很大的方便。 1.3 1.2 组网需求 1.4所有无线环境均为80 2.11g,速率可达54M。 1.5所有的PC通过各自的无线网卡通过接入到WAP300g,连接接入Internet。 1.6打印机通过打印服务器连接,打印服务器永久在线,任何PC均可以随时进行打印操作。 48
华为地铁乘客wifi覆盖网络解决方 案,v 篇一:华为WS603-64无线覆盖方案 华为 WS6603-无线方案 1 全方位管理的解决方案 具有统一无线网络设备管理、统一无线网用户认/管理和统一安全应用策略的企业级WLAN解决方案。华为系列无线控制器采用了目前最先进的并行多核多业务处理器及高速ASIC 作为业务和数据处理平台,并基于业界领先的网管分布式WLAN 交换架构进行开发。 具有强大灵活的无线用户及Fit AP 管理特性,最高规格的单台无线控制器可达1280 个FIT AP和32K 无线用户管理能力,无线控制器都可提供全网部署和IPv6的支持,可满足不同规模校园网络无线网络部署的需求。 业界领先的一体化融合设计理念进行开发,具备全特性的有线和无线协议的业务支持。华为系列无线控制器可提供全面的以太网高速处理能力,还可提供丰富的无线网络接入和管理特性,无线射频管理和优化、网络故障定位与排查、网络性能监测与优化、网络安全策略和管理在内的全方位网络管理解决方案。 2 运营商级设备的性能设计 第一代无线控制器引擎设计为单颗通用CPU, 有CPU来
完成控制,转发和业务处理;整体业务性能很低; 第二代无线控制器引擎设计将硬件ASIC处理业务转发,转发性能较高,而控制和业务处理由CPU来处理,所以复杂业务的处理性能相对偏低; 第三代无线控制器引擎设计引入了网络处理器平台(NP),认证,MPLS等业务由NP平台来处理,降低了CPU的负载,但NP平台的可扩展性不如CPU,所以不易扩展功能; 华为网管无线控制器的主控引擎采用了目前业界最为先进的第四代专用的多核CPU处理器;专用的ASIC芯片保证了特殊业务的高速处理和报文的并行处理能力,L2-L7层安全策略实现,所有这些加密/安全/DPI/转发等都由CPU的专用核心处理,性能高,功能易扩展,;而控制和其它业务由CPU 通用核心负责;可兼容和支持10Gbps高速接口, WLAN和支持三层漫游(数据/语音/视频),自动Qos业务流分类等实时业务的高速转发; 3 轻松管理和维护 作为一个设计良好的网络,其应该是易于管理和维护,由此把网络管理者从繁重的管理维护工作中解放出来,并提高网络管理者的工作效率。 本次网络设计中所采用的华为无线解决方案及其设备,具有丰富的管理特性,可以极大减轻网络管理者对网络管理和维护的工作量。包括了图形化的配置界面,AP自动发现和集中配置,集中状态监控和事件告警, 集中配置下发和固件
华为企业内部网络解决方案 1)企业综合数据网络需求方案 该方案适应客户在电话、图像、数据的综合应用方面的需求,如下图所示。 客户需求:电话、图像、数据的综合应用 低成本、低维护量的网络方案 华为经过在网络技术上多年的积累,能够提供isdn解决方案的全套设备,包括isdn终端、isdn路由器、以太网交换机,通过各种组合方式,提供最优的低成本网络方案,并保证各设备之间良好的兼容性和互通性,满足低成本、低维护量的需求。 华为中小企业解决方案1 使用isdn线路实现访问inter-net,提供真正端到端数字连接,提供128k双链路捆绑,且具有动态带宽分配和按需拨号和拨号路由功能,在实现2倍于普通ddn速率的同时,又最大限度降低线路费用,同时提供双路传统电话/传真接口,真正实现话音、数据有机结合,是小型办公环境的理想选择。 全交换的局域网方案 传统hub采用共享带宽的方式,在转发突发大流量的数据包时,由于争用信道,导致网络的崩溃,采用独享带宽的交换机替代hub,不仅避免网络崩溃的现象,同时保证每个连接不会因为负荷加重使包转发率降低。华为quidway s2403以太网交换机提供到桌面的以太网的全速交换端口。 方案2 客户需求:实现与分支机构的互联互通 如下图所示,随着用户业务的逐步发展,企业需要跨地域的开展业务,在异地成立分支机构,支撑用户业务正常实施的信息系统也必然需要延伸到异地的分支机构,实现机构间的信息共享和管理系统的互通。电子商务的发展,使企业可以利用internet开展业务。在保证网络安全的前提下,访问internet,开展网上业务是企业发展的有效手段。
华为中小企业解决方案2 华为quidway r1603/1604路由器可以通过高速串口实现与分支机构的互联互通,连接速率最高达2m,并支持通过ddn、x.25、fr、pstn等多种互联方式,同时通过isdn接口实现高速访问internet,速度可在64k和128k中动态调整,实现与分支机构的互联。华为路由器产品内置功能强大的可编程防火墙,防止非法访问,确保网络安全。 华为quidway r2501路由器具有两个高速串口和一个备份口,可以实现与两个分支机构的互联,联接速率最高达2m,支持通过ddn、x.25、fr、pstn等多种互联方式,并实现与分支机构互联的同时访问internet,内置防火墙和nat功能,防止非法访问,确保网络安全。 方案3 客户需求:实现家庭、移动办公 如下图所示。越来越多的企业用户需要将网络延伸到每个职员的身边,提供家庭办公和移动办公的能力,使职员能随时访问公司网络,获取需要的信息。企业业务的开展跨越了空间的限制,网络成为可伸缩和延展的业务支撑平台,将计算能力和信息带到企业业务开展所需要的每个地点。 华为中小企业解决方案3
华为公司VoIP解决方案 华为公司提供基于H.323、基于IP接入网和基于NGN的系列VoIP解决方案,帮助行业用户构建不同容量、规模和业务需求的VoIP网络。 1、基于H.323的VoIP解决方案 华为公司提供从路由器、小容量VG到大中容量A8010 Expert全系列的H.323语音网关,支持E1、E&M、FXO、FXS等多种中继和用户接口,并提供系列化网守设备,为用户提供VoIP语音网关全网解决方案。 ?建网成本较低,利用IP网络传输话音,可与数据网共享带宽,带宽利用率高。 ?主要解决跨区域长途VoIP接入,提供基本的话音业务,新业务提供能力不够丰富。 ?适合局点数量较少、各局点用户相对集中的应用;当局点数量多、用户分散时,网络规划配置较复杂、管理维护不便。 2、基于IP接入网的VoIP解决方案 华为IP接入网具有接入业务丰富、系统安全可靠、QOS质量保证,终端兼容能力强、易维护管理等特点,能有效地利用已有的IP及PSTN网络资源迅速开展业务,并具备向NGN网络平滑演进的能力。
?兼顾话音质量与建网成本,管理方便灵活。并可在NGN网络应用时,作为NGN中的接入层标准部件使用,是面向未来、可持续发展的解决方案之一。 ?话音业务丰富,不仅可提供国标规定的各项基本语音业务和补充业务,配合华为程控交换机还可支持一些特色业务。 ?不支持多媒体业务;需要配合程控交换机应用,且需要支持V5接口。 3、基于NGN的VoIP解决方案 NGN是一种综合、开放的网络构架,提供话音、数据和多媒体等业务,通过优化网络结构不但实现了网络的融合,更重要的是实现了业务的融合,使得包交换网络能够继承原有电路交换网中丰富的业务功能,同时可以在全网范围内快速提供原有网络难以提供的新型业务。 华为提供全面完善的NGN产品与解决方案,帮助用户构建基于NGN的VoIP网络,实现网络与业务融合:
华为小型企业网络解决方案 小型企业网络解决方案(一) 客户需求 电话、图象、数据的综合应用 低成本、低维护量的网络方案 全交换的局域网方案 安全、高可靠性的应用保障 适应性和可扩展性 设计方案要点 电话、图象、数据的综合应用 ISDN(综合业务数字网)是实现综合业务的良好手段,N-ISDN(窄带ISDN)能利用现在覆盖最广的PSTN 网络改造,实现电话、传真、数据、图象的综合应用。采用华为Quidway R1603/1604 路由器,支持话音、传真、数据、图象的综合应用。 低成本、低维护量的网络方案 华为在网络技术上多年的积累,提供ISDN 解决方案的全套设备,包括ISDN 终端、ISDN 路由器、以太网交换机,通过各种组合方式,提供最优的低成本网络方案,并保证各设备之间良好的兼容性和互通性,满足低成本、低维护量的需求。 使用ISDN 线路实现访问Internet,提供真正端到端数字联接,提供128K
双链路捆绑,且具有动态带宽分配和按需拨号和拨号路由功能,在实现2倍于普通DDN 速率的同时,又最大限度降低线路费用,同时提供双路传统电话/传真接口,真正实现话音、数据有机结合,是小型办公环境的理想选择。Quidway R1603/1604 路由器符合SNMP 标准,可通过多种方式管理配置,更提供中英文双语配置界面,用户无需特殊培训便可全面配置此产品。采用屏蔽电磁辐射设计的塑料机箱,不仅造型优美流畅,而且可有效切断各种电磁干扰。工作更加稳定可靠。 全交换的局域网方案 传统Hub 采用共享带宽的方式,在转发突发大流量的数据包时,由于争用信道,导致网络的崩溃,采用独享带宽的交换机替代Hub,不仅避免网络崩溃的现象,同时保证每个联接不会因为负荷加重而包转发率的降低。华为Quidway S2403 以太网交换机提供到桌面的以太网的全速交换端口,并支持Store-and-forward 和Cut-through 两种交换方式,采用PACE 技术提高数据传输速度,更好地支持实时多媒体;为工作组分段提供VLAN 支持;提供标准SNMP 网络管理。 安全、高可靠性的应用保障 华为Quidway 路由器采用安全防火墙、NAT 等多项功能,提供安全的网络链接,并提供"备份中心"可靠性解决方案,实现多条线路之间的任意备份和业务分担,构筑安全、高可靠性的网络平台。华为公司的研发、生产、服务体系通过ISO9001 国内国际的双重认证,其产品通过国家信息安全认证、CE 电磁兼容性测试等国内外多项检测,并积极参与国内国外的专业权威检测,保证网络系统的安全和可靠。 适应性和可扩展性 Quidway R1603/1604 路由器独有的ISDN 和多协议串口集一身的设计,支持多种广域线路,用户可在PSTN 网络,Frame Relay 网络,X.25 网络,DDN 和ISDN 等多种广域网技术中,灵活选择组网方案,适应未来多种广域互联方式,支持用户采用最佳性/价比的互联方式。 Quidway S2403 以太网交换机所提供的24 个全双工10M 以太网交换端口和3 个10/100M 自适应交换/上联端口,为用户网络规模和性能的提高提供
华为全光接入解决方案-解决方案 目前,我国的网民总数已达13700万,宽带用户超过4000万,基于宽带网络的各种新业务层出不穷,可视电话、视频聊天、网络游戏、视频点播、高清电视等越来越多的视频业务和交互式业务走进人们的生活。现有带宽远远不能满足更高的业务需求,业界普遍认为,未来3~5年,用户对带宽的需求为30~ 50Mbit/s。 “工欲善其事,必先利其器”,在这个充满竞争的社会中,众多富有远见的业内人士已经认识到“带宽”是一切竞争的基础。这一切使得拥有更高带宽接入能力和更低维护成本的无源光纤到户(FTTH)技术迅速步入人们的眼帘。华为技术有限公司(以下简称华为)基于SmartAXMA5680T的光接入解决方案正是为了满足客户快速增长的带宽需求而推出的全光接入解决方案。 2华为全光接入解决方案 “光进铜退”的趋势不可避免,PON(无源光网络)作为FTTH的全光纤接入技术之一,在光分支点不需要有源节点设备,只需在靠近用户处安装无源光分路器,对安装环境无特殊要求,具有节省光纤资源、节省机房投资、综合建网成本及维护成本低、传输距离远、业务提供能力强、高带宽和带宽资源共享等优点,成为FTTH的首选实现技术。 FTTH系统由光线路终端(OLT)、光网络终端(ONT)、光分配网络(ODN)三个部分组成。在目前的发展阶段,多数厂商仅能提供整个系统的一个部分。作
为宽带接入领域的领先者,通过在光纤接入方面10年的技术和经验积累,华为是目前为数不多的、能够提供从OLT到ONT全套设备和咨询服务能力的设备厂商。 2.1太比特级OLT全光接入平台 OLT是FTTx整体解决方案中的灵魂,对于整个系统的表现起到至关重要的作用。在现有光接入技术中,GPON、EPON、P2P三种技术的选用是目前争议比较大 的问题,但实际上三种技术各有一定的优劣,技术和产业成熟度各有秋千,同时适用于不同的市场和业务环境。面对这一新兴市场,占据先机无疑会起到战略和市场意义,而主动出手比被动选择更为重要。 为了使客户得到更多的选择,华为开发了SmartAXMA5680T全光接入平台,该平台可同时支持GPON、EPON和P2P三种主流的光接入技术,支持GPON、EPON、P2P业务单板混插,能够灵活适应不同的场景和业务需求,为客户的技术选择和将来的技术升级提供了有力的保障和便利。 与此同时,该平台还是一款T-bit背板的超大容量光接入平台。实际上,对于高带宽的光接入方案而言,只有实现T-bit无阻塞交换,才能充分体现光纤高带宽的特性。正是基于这一理解,该平台设计了业界目前最大的T-bit背板容量,拥有400Gbit/s交换容量,槽位带宽单向带宽达到10GE,可以充分满足光 接入高带宽需求,使您能够从容应对未来高速增长的带宽需求,给您的业务开展带来无限遐想。
为数据通信网络安全解决方案 数据支撑网络DCN(数据通信网络)经过多年建设,已成为目前主要的内部系统承载网络,承载的系统包括了计费、MIS、OA、经营分析、短信、电子运维、静态资源管理、网管系统等等,是一个综合的承载网,与各个业务子系统都有接口,并且已经延伸到省内的各县市公司和主要机房。 目前,DCN(数据通信网络)上的各种业务应用无序繁杂,彼此互通,各种不同安全等级的设备没有实施隔离,使病毒、非法入侵、IP冲突、广播风暴等越来越对业务安全运营服务造成威胁。市场竞争日益激烈,在运营商市场上恶性竞争、商业间谍、企业经营机密、客户资料泄密的事件越来越多,保障DCN网络的正常运转和其承载的信息安全是使企业在激烈的市场竞争中利于不败的必要条件。 华为i3SAFE信息安全服务模型糅合了安全领域三大国际标准(ISO7799、ISO7498-2、SSE-CMM),以策略为核心,以管理为重点、以技术为支撑、以工程方法论为指导,为客户提供以电信级业务为核心的电信级安全解决方案,为客户创建立体的安全防御体系,全面保障电信业务的持续运营。电信级的专业解决方案 i3-SAFE信息安全架构 华为i3-SAFE信息安全架构糅合了安全领域三大国际标准(ISO17799,ISO7498-2,ISO7498-2),以业务为中心,整网统一规划(包括支撑网、运营网、OA),分期逐级实现;以业务划分网络,解析网络特点,定制安全策略;以风险管理为基础,综合考虑安全、性能、可管理、可扩展和成本等因素;融合安全技术、安全管理和安全工程;兼顾保障网络、设备安全和开展安全业务。 安全域划分 数据网络安全域划分从网络域入手,依照安全域理论将数据网络划分为网络域、计算域、用户域、公共外部接口区、安全服务域、跨子域数据交换区: 网络域:为业务系统提供承载平台,是整个数据网络的基础。 计算域:基于MPLSVPN技术,以每一个site为一个安全域基本单位。安全域等级根据资产分类、识别及防护等级定义,据此对site进行分类,同类site之间共享同等安全防护强度。系统业务之间互访不需通过防火墙,而跨业务的访问需要通过防火墙。
项目技术类文档 xx集团 华为无线覆盖方案设计 Version 1.0 2013年3月
目录 1概述............................................................................................................错误!未指定书签。2xx集团WLAN网络设计方案 ................................................................错误!未定义书签。 2.1网络设计原则............................................................................错误!未指定书签。 2.2无线信号质量分析....................................................................错误!未指定书签。 2.3无线网络总体架构....................................................................错误!未指定书签。 2.4无线设计....................................................................................错误!未指定书签。 2.5SSID规划..................................................................................错误!未指定书签。 2.6无线安全性设计........................................................................错误!未指定书签。 2.6.1WLAN终端认证...............................................................错误!未指定书签。 2.6.2用户身份验证....................................................................错误!未指定书签。 2.6.3组网保护............................................................................错误!未指定书签。 2.6.4接入安全方案....................................................................错误!未指定书签。 2.7移动漫游设计............................................................................错误!未指定书签。3华为WLAN解决方案的优势 ..................................................................错误!未指定书签。4华为WLAN设备关键特性 (10) 4.1华为AP介绍.............................................................................错误!未指定书签。 4.2华为AC介绍 ...........................................................................错误!未指定书签。 1 概述 无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显着特点:?简易性:WLAN网桥传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作; ?灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域; ?综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于 WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适 应网口和企业、内部Intranet相连,从体系结构上节省了协议转换器等相关设备; ?扩展能力强:WLAN网桥系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;
华为,解决方案架构师 篇一:华为组织结构 组织结构 华为技术有限公司分为6大体系,分别是销售与服务,产品与解决方案,财经,市场策略,运作与交付,人力资源。其中销售与服务体系下在全球设有7大片区,分别是中国区(国内市场部,下设中国国内27个代表处),亚太片区,拉美片区,欧美片区,南部非洲片区,独联体片区和中东北非片区,各片区下还设有代表处驻扎在各国家,在代表处工作的员工同时受所在代表处及所属体系部门双重领导。华为公司还拥有一些子公司,包括海思半导体有限公司,终端公司,华为数字技术有限公司,华为软件技术公司,安捷信电气有限公司,深圳慧通商务有限公司,华为大学,华为赛门铁克科技有限公司,华为海洋网络有限公司等。 华为公司的组织架构 由上至下分别是董事会(BOD)-经营管理团队(EMT)-产品投资评审委员会(IRB) -六大体系的办公会议组织变革从产品线变革开始,以公司经营管理团队及战略与客户常务委员会作为实现市场驱动的龙头组织,强化 Marketing 体系对客户需求理解、战略方向把握和业务规划的决策支撑能力。同时,华为通过投资评审委员会(IRB)、营销管理团
队、产品体系管理团队、运作与交付管理团队及其支持性团队的有效运作,确保以客户需求驱动华为整体的战略及其实施。 华为在全球设立了包括印度、美国、瑞典、欧洲(德意法等)、俄罗斯以及中国的北京、上海、南京、成都、西安、杭州等多个研究所,89000名员工中的48% 从事研发工作,截止XX年年底已累计申请专利超过19000件,已连续数年成为中国申请专利最多的单位。 XX年5月8日,华为启用新的企业识别系统CIS XX年9月,华为与3Com合资设立的网络通讯设备品牌“华为3Com”(Huawei-3Com)改名为H3C”。XX年华为与赛门铁克合资成立存储与网络安全解决方案提供商——华为赛门铁克科技有限公司。 XX年,华为软件技术有限公司(下面简称:华为)于近日与朗新信息科技有限公司(下面简称:朗新)签署合资协议,成立合资公司。合资公司名称为北京华为朗新科技有限责任公司(下面简称:合资公司),总部所在地北京,由朗新董事长徐长军任合资公司的董事长。合资公司立足原朗新在中国电信、中国联通市场的现有产品和应用经验,结合华为的销售与服务网络及资金优势,加大投入,进一步为中国电信和中国联通客户提供更优质的解决方案和服务,构
华为敏捷校园网解 决方案
华为敏捷校园网方案销售拓展指导 摘要:本文从技术角度分析了中国区校园网(主要针对高校或高职)的网络运维管理和应用的痛点,针对客户特点和需求,简要总结了华为网络解决方案基本打法,以及竞争对手的方案对比分析。供拓展参考。
华为高校网络解决方案销售指导书 1 高校网络市场介绍 1.1 高校网络市场空间 根据《教育发展纲要》要求,国家要进一步深化教育信息化,加大对信息化建设的投入,预计教育信息化的投资规模为460亿,其中网络设备超50亿,网络设备占比教育信息化投资近11%。其中全国高校校园网总投资预计达25亿,随着纲要的贯彻落实,整个教育行业网络投资将以每年20%以上递增。 全国共有2500多所高等院校,近年来在无线网络发展的带动下,校园网持续有建设需求,建设主要动力如下: ●升级改造:很多院校核心、接入设备面临在网运行超过6年的升级改造需求; ●新校区建设:院校的扩招及升级,院校之间的合并等带来新校区建设需求; ●无线网改造:移动办公、学习的需求,移动终端发展的态势等,促使校方除了需要承建办公无线还需要对宿舍区及整个校区进行无线覆盖,部分院校之前由运营商承建经营的无线网由于体验差服务水平低下等原因也需要校方进行替换,无线网覆盖整个校区乃至替代有线接入网已成趋势; ●教育信息化趋势:国家十二五规划及中长期发展纲要强调了
对教育信息化加大投入,以及智慧教育云平台,数字化校园应用,新一代IPv6校园网等先进信息化理念促使网络进行改造。1.2 聚焦高校市场的重要性 高校校园网是我司企业网市场重要拓展方向,其原因在于: ●教育行业在国内是个非常优质的市场,宏观经济冷热对这个市场影响不大,近年来,随着政府预算中逐年增加教育行业投入比重,信息化的资金投入呈持续的增长的态势,市场容量也随着扩大; ●高教是国家教育战略中最重要的环节,高校园区网市场也是整个教育网络市场占比最大的部分,超过50%,相比较我司当前的市场份额,待挖掘市场空间巨大; ●教育行业决策链特点是注重圈子市场,决策链条清晰,重点争取对象集中在网络与信息中心主任和主管信息化的副校长,特别是大型高校,很适合High-touch模式,我司容易上手,且项目颗粒较大,非常值得投入; ●高校在一个地区一般具有很重要的地位,一所重点高校的成功能够复制到本地其它教育领域,且教育行业在政府领域具有指标性意义,高校的成功能够提升我司在整个政府与公共事业领域的形象与品牌; ●一般知名高校的信息中心负责人一般也是相关领域学术权威,经常会担当本地政府方案设计专家顾问小组、招投标评标专