上海师范大学校园网技术建议书
华为技术有限公司
2008年11月
目录
目录 (1)
1.概述 (2)
1.1上海师范大学校区校园网建网需求分析 (2)
1.2.1 一般建网需求 (2)
1.2.2 上海师范大学校区建网需求 (4)
1.3核心、汇聚建网原则 (4)
2.总体网络设计 (7)
2.1组网描述 (7)
2.2业务访问说明 (9)
3.上海师范大学详细网络设计 (10)
3.1IP地址规划和路由策略 (10)
3.2上海师范大学VLAN划分 (11)
4.核心网安全设计 (12)
4.1用户严格隔离 (12)
4.2用户唯一标识 (12)
4.3防止对DHCP服务器的攻击 (13)
4.4组网安全性设计 (13)
4.5出口运营商线路备份 (13)
5.组网核心设备介绍 (15)
5.1Q UIDWAY?S9300系列核心路由交换机 (15)
5.2Q UIDWAY?N ET E NGINE 40全业务路由器 (18)
6.教育行业用户名单 (24)
1.概述
随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。在信息化的建设过程中,它的作用体现在如下几个方面:
1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容
是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。
2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校
园网是学校进行教学改革、推行素质教育的一种必不可少的工具。
3、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在
校园网上。
4、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是
学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。
教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑,并将全身心地为之努力。
1.1 上海师范大学校区校园网建网需求分析
1.2.1 一般建网需求
上海师范大学校区的网络属于新建,在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性,如:校园网内部的服务器的访问,由于学生的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设两
个不同的层面。此处主要分析上海师范大学网络基础设施建设和网络运营方面相关的内容。上海师范大学校园网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。主要特点如下:
1、多出口的需求:
典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口。多出口带来了以下两个需求:
1)多权限ISP需求。用户可通过不同的账号名或采用相同的账号,不同的域
名认证,获得不同的上网权限。譬如做到用户不认证前能自由访问校园内
部分服务器,采用“user@163”登录,可实现Internet和校园网络自由
访问,采用“user@crenet”登录,可访问CERNET和校园网。用户域名选
择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。
2)多ISP分别计费的需求,对应不同的ISP,计费策略不一致。
考虑到用户的以上的需求,需要在学校的内部提供不同的路由策略,即用户访问教育网的相关站点,通过CERNET的线路,而访问其他的网站如:新浪
网、263等网站则选择运营商的线路作为出口路由,这要求核心的交换机或
出口路由器能够提供策略路由以支持该特性。
2、用户管理的需求:
1)使用方便,存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP
选择、W用户费率查询、带宽动态调整(隐性需求)、多WEB界面(隐性需
求)等。
2)需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。
3)对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限
制为64K 、256K、512K、1M、2M、5M、10M等等级。
3、多种教学方式并行的需求:
随着校园网的信息化的发展,越来越的多教学方式依托于网络给学生提供多种的特色教学模式
1)多媒体教学。为了更好的为学生提供全方面的教学资料,越来越的多学校
在自己的内部局域网上面为学生提供多种教学资料,如:多媒体教学课件、
典型的考试资料等等提供给学生上网下载使用。
2)VOD 点播业务实现,通过建立VOD视频服务器平台,利用交换机提供的组
播功能,为上海师范大学的用户提供优质的视频效果,同时节省用户带宽。
4、安全管理的需求:
1)校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之
一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻
击手段有DOS,DDOS等
2)上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全
6、组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而体现出
来。
1.2.2 上海师范大学校区建网需求
上海师范大学有两个校区共四个主节点和五个分节点。主节点为:徐汇信息办机房、徐汇一教5楼机房、奉贤图文8楼机房、奉贤老图书馆机房;分节点为:徐汇计算中心、徐汇东校区、徐汇图书馆、徐汇行政楼、奉贤图书馆。
上海师范大学有三个Internet网络出口,分别为徐汇校区的1000M教科网出口(目前日常使用带宽为单向800M、双向1.5G以上)、1000M上海中小学校校通教育网出口和奉贤校区的20M电信出口(所有链路均为千兆光纤接口)。
具体需求:
●现有网络的容量,可靠性--建设后网络5-10年的容量,可靠性
●新的网络平台扩充后必然会引入安全问题,如何实现安全的控制及监控。
●新的网络平台对于业务主流技术的应用(包括VPN,IPV6,QOS等)
●对于用户的管理和计费,以及安全是否做充分的考虑
●其他业务系统的信息化互联,包括一卡通,数据中心等…
1.2 核心、汇聚建网原则
早期的高校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在安全、可管理性较差、无业务增值能力等方面的问题。
现在上海师范大学校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
基于对上海师范大学校园网业务需求的深入理解,结合自身产品和技术特点,华为公司推出了了完善的上海师范大学校园网解决方案,为上海师范大学提供“可管理、可增值、可持续发展”的精品网络。
上海师范大学网络建设遵循以下基本原则:
高带宽
上海师范大学网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性
上海师范大学校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
可扩充性
考虑到上海师范大学用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,上海师范大学校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
2.总体网络设计
2.1组网描述
上海师范大学校园核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:
解决方案网络分为三个层次,核心层、楼层汇聚层、接入层。为实现校区内的高速互联,核心层采用4台华为公司核心路由交换机Quidway S9312,采用10G 接口互联,组成环网,构建了校园网络中心。
设计说明:
核心采用4台S9312核心交换机,主要是从核心的大容量转发、高可靠性角度考虑。4台S9312负载分担连接多台服务器、所有汇聚交换机和出口路由器,部署业界先进的检测技术及保护技术,如BFD FOR VRRP, smartlink,RRPP,确保网络s级的快速切换,保证业务不中断,最大实现网络的可靠性。汇聚层采用全千
徐汇信息
办机房
奉贤图文
8楼机房
中国教科网校校通网络中国电信
教科网、校校通出口路由器
电信出口路由器
NE40
NE40
流控
日志服务器
防火墙防火墙
服
务
器
群
服
务
器
群
S9312
S9303
徐汇一教
5楼机房奉贤老图
书馆机房
徐汇计算中心徐汇东校区徐汇图书馆奉贤图书馆
徐汇行政楼
S9303 S9303
S9303 S9303 S9303
S9312
S9312
S9312
兆S9303汇聚层交换机,保证带宽,避免在汇聚层形成瓶颈。S9303交换机提供的三层功能可以有效屏蔽网络攻击,保证网络安全。
在服务器分布区,核心设备旁挂一台交换机,作为各种服务器端口汇聚,新增一台防火墙作为安全防范。
上海师范大学校区校园网核心层、汇聚层、接入层建设是要求从上海师范大学实际的应用出发,考虑到学生用户数量大、上网时间集中、突发流量较大等因素,华为在实际的建网的过程当中遵循了以下几点要求:
1)核心层交换机:在建设的过程当中,应当充分考虑到核心交换机的交换性能,
以及转发性能,华为 S9312万兆核心交换机具12个业务插槽,最大可以支持
4.8T的背板容量和2T的交换能力,设备包交换能力可以达到864Mpps, MAC
地址表最大达到512K。可以为用户提供强大的三层交换功能,目前对于万兆接口、IPv6等新技术均支持。
2)汇聚层交换机:汇聚层在整网当中是接入层与核心层的桥梁,因此在网络的
建设过程当中应当避免汇聚层的瓶颈问题,并应当留有足够的业务扩展能力。
我们在上海师范大学的网络设计当中采用S9303交换机作为汇聚层交换机,S9303交换机支持QinQ、灵活QinQ、VLAN 交换等VLAN特性。支持BPDU Tunnel、GRE、VLL、MPLS L3 VPN、VPLS等隧道功能,支持RRPP、STP、RSTP、MSTP 等环网技术。支持静态路由,RIPv1/v2,OSPFv2,ISIS,BGPv4等丰富的路由特性。支持IGMP Snooping、IGMP Proxy、静态组播、PIM SM、PIM DM、MSDP 等组播功能.
3)出口路由器:考虑到上海师范大学的公网出口有两个,用户可以自由的选择
不同的线路作为自己的出口线路;因此要求出口路由器具有强大的策略路由的功能,以及基于硬件的ACL列表功能,华为NE40高端路由器,具有强大的路由功能以及业务功能;NE40基于分布式的硬件转发和无阻塞交换技术,具备电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力、优异的扩展能力。NE40具备核心路由器所需的强大IP业务处理能力,同时融合了三层以太交换能力,具有丰富的IP边缘业务特性,包括以太网交换处
理、PE、隧道和流队列等,支持以太网时钟。凭借NE40全面的业务支持能力,可实现IP运营级业务的可靠承载,IPv4向IPv6的平滑过渡。NE40有机地结
合了软件的灵活性和硬件的高性能,即提供线速转发性能,又具备快速良好
的业务升级和扩展能力。
2.2 业务访问说明
1)不同用户访问公网:用户可以根据自己的需求,选择不同的运营商来进行公
网的访问,出口路由器根据用户的访问策略进行策略路由,如图所示:不同
的ISP用户在经过NE40的时候,NE40会根据用户所在的ISP服务商来做策略
路由,将用户送到自己选择的出口线路上。
2)校内三层互访:对于同在一个校园内部的学生之间的互访可以直接通过局域
网的内部交换机来完成内部之间的互访,对于同属于一个汇聚层交换机S9303
下的用户,两个用户之间的互访可以直接在汇聚层交换机S9303上来完成,
而对于跨汇聚层交换机的用户只见的额互访可以通过核心交换机S9312来完
成,S9312强大的三层交换功能完全可以胜任任何突发流量以及高集中用户上
网时段的三层交换,为用户提供高速高带宽的用户接入。
3)基于流攻击的防止。华为公司所采用产品NE40、S9312、S9303等三层转发模
式均为最长路由匹配技术。这样就可以避免校园网内外的非法用户利用专门
的攻击软件进行的一些基于流的共计,因为这种攻击是通过不断变换自己的
本网断内的IP地址,来不断消耗主控处理板的CPU处理能力,直到彻底使主
控处理板的CPU丧失处理能力,整个机器瘫掉。S9312是根据最长匹配来查找
路由的,是针对网断进行路由的。所以当攻击者进行攻击时,不会造成S9312
业务能力处理下降,对于整机没有影响影响。
4)VPN 业务规划
目前针对学校的主要业务是宽带业务、门禁业务等,VPN的规划是在汇聚层节
点以上部署PE 功能,核心节点作为P设备,可以采用二层或者三层VPN,按
照每个业务采用一类VPN部署。学校内不存在VPN用户之间的访问需求,主要
需求都是针对后台服务器以及出口的访问,同时VPN也没有跨域的需求(不存
在学校和其他网络之间的VPN业务访问),总的来说VPN的LSP 路径从汇聚设
备开始,在核心设备终结。对用户侧采用一类业务一类VLAN,对于宽带业务
部署QINQ(打外层标签),在汇聚设备上通过ACL识别业务,把VLAN按照类
通过子接口放入VRF中。
3.上海师范大学详细网络设计
3.1 IP地址规划和路由策略
IP地址的合理规划是校园网网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
IP地址分配原则
考虑到学校的学生宿舍的固定性,为保证对于上网学生的可查询性,且考虑到10.xxx.xxx.xxx私网地址不存在短缺等因素,建议上海师范大学的IP地址采用静态IP地址接入的方式进行建设。要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。
当校园网以私网地址分配或采用混合网络地址接入时,要求校园网提供地址变换功能,过滤掉私网地址。
上海师范大学校园网IP地址规划方案
1)IP地址的设计
内部地址的分配原则是按建筑物进行的,视用户的数量,1/4、1/2、整个私网的划分。对于相对固定不变的教学区采用静态分配IP地址,为防止地址盗用,采用IP地址与端口、地址绑定,对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP 地址,采用By Port的Vlan,小范围地限制地址盗用问题。静态IP地址对于用户来说可以实现对应物理位置的查询,对全网的IP地址与物理位置的对应有全面、可靠的管理。
2)中心交换机支持静态或动态的IP地址分配,并支持动态 IP 地址分配方式下DHCP-Relay功能,DHCP SERVER可安放在园区内部。
3)对于固定IP地址用户,需要针对标识符(MAC地址)设定保留IP地址。
3.2 上海师范大学VLAN划分
通常采用包月方式,同时需要实现帐号和端口绑定的功能,故采用一个用户一个VLAN,并限制一个VLAN下同时接入的用户数量。
2、对一层楼一个VLAN
①本层楼的内部互访无须经过三层交换机,优化了组网。
③这种划分方式中,因为对用户能实现动态的VLAN+MAC+IP绑定,可对用户发动的伪造攻击报文进行合法性检查和过滤,具有一定的网络安全性保障。
3、不同VLAN间的互访,必须经过三层交换机进行转发。
4.核心网安全设计
网络安全是任何一个网络建设时首先要考虑的重要问题,上海师范大学校园网的环境更加复杂,学生的技术水平都较高,好奇心比较强,校园网的网络安全更加值得关注。
TCP/IP网络本身就存在很多安全漏洞,很容易被一些恶意用户利用并实施攻击,或非法占用网络资源,侵犯其它用户的合法利益,甚至导致整个网络系统崩溃。任何一个网络设备都必需首先具备足够的自我保护和防范能力,华为的交换机和路由器等网络设备在安全性方面有丰富实用的功能,大体可分为两类,一类是自身防攻击措施,另一类是用户安全保证措施。
4.1用户严格隔离
方法一:用Vlan隔离。在楼道以太网交换机上按端口划分Vlan,每个用户占用一个Vlan。
方法二:利用PVlan技术。在楼道交换机上划分PVlan,使用户端口之间不能通信,用户端口只能和Uplink口通信。
方法三:使用以太网MUX设备。该类设备将接入层交换机的端口分为两类:上行口Uplink和用户端口。用户端口之间不能通信,Uplink口可以和所有端口通信。
4.2用户唯一标识
一般的边缘路由器对于用户上行报文,只根据目的IP地址进行转发,不做源地址检查,这是出现网络和用户安全性问题的根本原因所在。对于静态IP地址分配方案,接入层交换机可在操作界面中实现用户的VLAN ID+IP+MAC绑定关系的指定;对
于动态IP地址分配方案,在IP地址动态分配后,接入层交换机可实现用户的VLAN ID+IP+MAC的绑定。VLAN信息由设备构造,不可仿冒,可作为用户上网的唯一标识。
4.3防止对DHCP服务器的攻击
使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒,用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突;二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
由于DHCP是通过二层广播包起作用的,故在二层严格隔离用户,可防止DHCP Server假冒。为解决DHCP Smurf,在以太网接入时,对用户划分Vlan,由汇聚层交换机控制一个Vlan下申请的最大IP地址数,当该Vlan的IP地址数目达到限制值后,拒绝新的DHCP申请。Vlan的划分可根据学校的实际情况灵活掌握。
4.4组网安全性设计
网络当中,线路的备份非常重要,上海师范大学的网络的设计当中,我们建议在汇聚层与核心层之间的2GE捆绑的上行可以在采用扩大带宽的同时实现线路上的备份,当其中一条线路出现故障,其余的一条线路可以实现线路的接替。这样大大提高了网络组网的可靠性,进而提高全网的可靠性。
4.5出口运营商线路备份
对于上海师范大学来说虽然存在不同的学生用户选择不同的ISP的服务商,但是在实际的应用当中可能会产生ISP服务商线路终端的问题,因此学校可以在出口路由器上配置备份策略,当一个ISP服务商的线路出现问题的情况下,可以选择有限级较低的策略从其他的ISP出口上网实现ISP线路的备份。
主备方式:
徐汇A上行端口下一跳静态路由配置为徐汇B,备份路由启动其它上行端口,可以配合ACL(五元组),正常流量统一从徐汇B出口,异常时通过徐汇A出口
策略可以在核心设备上部署,访问电信从奉贤出口,其他选择徐汇出口
负载分担:
徐汇A和徐汇B出口都配置等价路由,采用负载分担方式承载,某条链路故障时,则流量全部转移到正常的链路上承载。
策略可以在核心设备上部署,访问电信从奉贤出口,其他选择徐汇出口
5.组网核心设备介绍
5.1 Quidway? S9300系列核心路由交换机
产品概述
Quidway? S9300系列路由交换机(以下简称S9300)是基于新一代的硬件平台和华为公司统一的VRP?(Versatile Routing Platform)平台而推出的下一代以太网汇聚交换机,提供超大容量、高密度、模块化体系架构,提供二、三层线速转发能力,具有强大组播功能,VLAN交换功能,完善的QoS保障、有效的安全管理机制和电信级高可靠设计,满足城域以太网和企业园区网对Multi-Play业务承载的组网需求,为运营商和企业网提供强大的网络交换能力,支持IP专线、VPN、IPTV、IPv6等多种服务。
为了降低运营成本,满足节能减排需求,S9300作为新一代的交换机采用了多种绿色节能的创新技术,大幅降低设备能耗、减小噪声污染。
产品外观
S9303 S9306 S9312
S9300系列包括S9303、S9306、S9312三款产品形态,均采用前维护设计。三款产品除了外形尺寸、线卡数目、交换容量等指标不同外,其他特性均保持一致。
产品特点
●先进的多平面系统架构
S9300采用分布式的转发控制架构,整个系统被分为五个逻辑平面,包括电源、时钟、设备管理、转发控制四个控制平面和一个数据转发平面,五个平面分别使用不同的背板总线,相互独立,协同工作。
●绿色节能环保
S9300系列交换机基于绿色环保理念设计,左后风道散热方式提高机框的走线效率、智能风扇分区调速以及端口自动休眠功能降低整机平均功耗、小颗粒模块化电源设计减少运营商初期投资、归一化的模块化设计节省维护成本;
●电信级高可靠性设计
S9300系列交换机所有核心部件均采用冗余设计,主控模块SRU/MCU支持1+1的工作模式,集
中监控模块CMU支持1:1的备份工作模式,4个电源模块支持2+2的负荷分担工作模式,风扇模块使用双层备份方案,支持单风扇失效(单风扇出现故障情况下,系统仍可保持正常运行)。除此之外,Quidway? S9300系列软件系统基于华为公司VRP平台的模块化设计,确保了主机系统软件的可靠性,并且支持端口捆绑、Smart Link、RRPP、OAM、BFD、FRR等链路保护倒换协议,提高整个网络的可靠性。
●超大容量交换平台
作为新一代的路由交换平台,Quidway? S9300系列交换机最大可以支持4.8T的背板容量和2T 的交换能力,设备包交换能力可以达到864Mpps,MAC地址表最大达到512K。
●弹性可扩展的硬件结构
S9300系列交换机交换容量可以扩展到3.84T,槽位带宽可以扩展到480Gbps,单框接口密度可以扩展到288个10GE,MAC地址数可以扩展到1M。
●层次化QoS
S9300系列交换机支持双速三色和单速双色标记器,层次化的流量监管,提供基于用户组的流量监控以及组内用户间的带宽统计复用,从而提供更精细的带宽管理。支持SR、WRR、SP+WRR、DWRR等调度算法,解决Triple Play和VPN模式下不同业务的服务质量问题。支持基于端口、COS和VLAN进行流量整形功能,有效提高IPTV视频的质量。
●丰富的二三层业务特性
S9300系列交换机支持QinQ、灵活QinQ、VLAN 交换等VLAN特性。支持BPDU Tunnel、GRE、VLL、MPLS L3 VPN、VPLS等隧道功能,使得运营商有提供管道服务的能力。支持RRPP、STP、RSTP、MSTP等环网技术。支持静态路由,RIPv1/v2,OSPFv2,ISIS,BGPv4等丰富的路由特性。支持IGMP Snooping、IGMP Proxy、静态组播、PIM SM、PIM DM、MSDP等组播功能,为IPTV 业务的开展提供技术支持。
●精细化的主机安全控制
S9300系列交换机不仅提供ACL过滤、DHCP Snooping、MAC地址限制、MAC地址绑定等业务安全以及命令行分级保护、SSH、SNMPv3等设备访问安全控制,还通过硬件层次化的CPU过载控制,抵御各种网络攻击,保障关键业务得到及时处理,从而有效的防止类似于泛洪/DDOS等攻击影响路由协议、DHCP等重要业务。
●NQA——网络质量分析
S9300系列交换机支持NQA(Network Quality Analyses)网络质量分析,通过主动在多个设备之间发送指定设置数量的NQA协议报文来实现网络性能的度量,统计抖动,时延,丢包率等网络性能参数,诊断NQA协议报文包括ICMP ping/traceroute,LSP ping/traceroute,基于VCCV的ping,MAC ping/traceroute,组播ping/traceroute等。
●IPv6 Ready
S9300系列交换机支持软硬件的IPv6,支持RIPng,OSPFv3,ISISv6,BGP4+,MLD,MLD Snooping,PIMv6,IPv6 multicast VLAN,ICMPv6等单组播IPv6路由协议,S9300还支持6 to 4隧道和IPv6 ACL。
产品规格
项目S9303 S9306 S9312
背板容量 1.2Tbps 2.4Tbps 4.8Tbps
交换容量384Gbps 2Tbps 2Tbps
业务槽位 3 6 12
包转发能力216Mpps 432Mpps 864Mpps
端口容量144Gbps 288Gbps 576Gbps
VLAN 支持Access、Trunk、Hybrid和QinQ接入方式支持default VLAN
支持VLAN 交换
支持灵活QinQ
MAC地址功能支持MAC地址自动学习和老化
支持静态、动态、黑洞MAC表项
支持源MAC地址过滤
支持基于端口和VLAN的MAC地址学习限制
STP 支持STP,RSTP和MSTP
支持BPDU保护、Root保护、环路保护支持BDPU Tunnel
IP路由支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议
支持RIPng、OSPFv3、ISISv6、BGPv4等IPv6动态路由协议
组播支持IGMP Snooping功能
支持用户快速离开机制
支持组播流量控制
支持组播查询器
支持组播协议报文抑制功能支持组播ACL
支持IGMP snooping in VPLS
MPLS 支持MPLS基本功能
支持MPLS OAM
支持MPLS TE
支持MPLS VPN/VLL/VPLS
QoS 支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类
支持ACL、CAR、Remark、Schedule等动作
支持PQ、PQ+WRR等队列调度方式
支持WRED、尾丢弃等拥塞避免机制
支持流量整形
支持H-QoS
配置与维护支持Console、AUX、Telnet、SSH等终端服务支持SNMPv1/v2/v3等网络管理协议
支持通过方式上载、下载文件
支持BootROM升级和远程在线升级
支持热补丁
支持用户操作日志
安全和管理命令行分级保护,未授权用户无法侵入
支持RADIUS和HWTACACS用户登录认证
支持防范DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击
支持CPU通道的保护
支持ICMP实现ping和traceroute功能
支持RMON
机箱尺寸
mm(宽×深×
高)
442×476×175 442×476×441.7 442×476×663.95
机箱重量
(空配)
<15Kg <30Kg <45Kg
工作电压DC:–38.4V~–72V
AC:90V~264V
最大支持功
耗
350W 800W 1600W
环境参数工作温度:长期0℃~45℃;短期-5℃~55℃相对适度:5%RH~85%RH,不结露
气压:70~106kPa
5.2 Quidway? NetEngine 40全业务路由器
产品概述
Quidway? NetEngine 40系列通用交换路由器(以下简称NE40),采用分布式网络处理器技术和无阻塞交换技术,具备优异的扩展能力,全面支持IPv6,具备高速接口的线速转发能力、完善的QoS(Quality of Service)机制和运营级的可靠性。NE40融合核心路由器强大的IP业务处理能力和二层以太交换能力,可提供更丰富的业务、更灵活的组网和更理想的性价比,面向承载网边缘、IP骨干网边缘和城域网核心、城域网汇聚、骨干网汇聚以及各种行业、企业的核心网络。
NE40-8 NE40-4 NE40-2
NE40-8
48Mpps。
NE40-4提供2个路由交换板槽位和4个业务槽位,交换容量为128Gbps,整机包转发性能为24Mpps。
NE40-2提供1个路由交换板槽位和2个业务槽位,交换容量为16Gbps,整机包转发性能为12Mpps。
产品特点
●分布式第五代路由器
NE40作为第五代路由器采用了业界高性能网络处理器技术,充分继承了第四代全分布式硬件处理的架构,有机地结合了软件的灵活性和硬件的高性能,既提供线速转发性能,又具备快速良好的业务升级和扩展能力,最大限度地保证用户投资。NE40良好的可扩展性加速了IP网络向宽带化、安全化、业务化、智能化方向发展。
●全面的业务能力和高品质性能
NE40基于分布式硬件处理,具备高性能的网络业务能力,胜任高性能MPLS VPN P/PE应用,提供高品质、安全和全面的MPLS L3 VPN、MPLS TE、IP VPN、组播等业务方案。
NE40提供丰富的二层VPN业务特性,如L2VPN/PWE3、1483B 透传业务,VPLS (Virtual Private LAN Service)、VLL (Virtual Leased Line)和VLAN的相关特性。
NE40提供高品质QoS,实现先进的队列调度算法、拥塞控制算法,精确保证不同业务的带宽、时延和抖动,满足不同用户、不同业务等级的服务质量要求,保证V oIP(V oice over IP)等电信级业务的开展,适应多业务承载IP网的发展要求。
NE40既具有高端路由器强大的路由处理能力,又兼具丰富的二层交换特性,在充分满足业务应用的同时大幅节省建网成本,体现出极高的性价比。同时支持强大的NA T/NAT PT能力,提供单播反向路径检查uRPF(Unicast Reverse Path Forwarding)、策略路由、端口镜像、系统漏桶(CP-CAR)、流量统计NetStream等周密的安全措施协助用户提高竞争能力,是性价比极好的高端路由器。
●强大的路由能力
NE40支持IP/MPLS分布式转发,路由能力强大,提供RIP、OSPF、IS-IS、BGP4和组播等丰富的路由协议功能,具备快速收敛功能,在复杂路由环境下稳定自如。
NE40全面支持IPv4/IPv6双协议栈,支持通用的IPv4路由协议、IPv6路由协议、组播路由协议和静态路由。NE40支持IPv4向IPv6过渡的多种技术,如手工配置隧道、自动配置隧道、6to4隧道、基于硬件的NA T-PT和6PE。
●电信级可靠性
NE40各关键部件冗余热备份,所有组件支持热插拔;采用无源背板设计;实现基于状态的热切换和不间断的路由转发;提供热补丁技术,实现软件完全平滑升级;提供IP/MPLS/VPN快速重路由、虚拟路由冗余协议(VRRP)、RPR自愈环网(IPS)、IP TRUNK链路分担备份、BFD链路快速检测、路由协议/端口/VLAN Damping等保护机制,有效保证了全网运行的高速可靠,可以实现99.999%的系统可用性。