北京邮电大学新建宿舍楼网络.doc

北京邮电大学新建宿舍楼网络 ———————————————————————————————— 作者： ———————————————————————————————— 日期： 2 个人收集整理 勿做商业用途 北京邮电大学 宿舍楼网络建设项目 技术方案 2010年11月 目 录 1. 项目总体概况 3 1.1。 建设需求 3 1.2。 网络状况分析 3 2。 设计原则 3 2。1。 总体设计概述 4 2.2. 方案描述 4 有线网设计 4 核心层设计 4 汇聚层设计 5 接入层设计 5 安全策略 5 3。 网络层安全解决方案 5 3。1. 全面网络基础设施可靠性保证措施 5 3.2。 组合丰富的VLAN功能进行业务隔离 6 4。 IP地址规划 6 5。 投标设备介绍 7 5。1. 核心交换机 8 5。2。 汇聚交换机 — 16 - 5。3。 接入交换机 — 24 — 1. 项目总体概况 1.1. 建设需求 北京邮电大学在本次建设宿舍楼网络的过程中，除了考虑到网络正常使用应具备的特性和功能以外,更是考虑到通过全面优质的IT信息化的建设，将宿舍楼打造成一个数字化宿舍楼宇。 目前在校园网中，学校有着丰富的电子资源,而要充分利用这些资源，就要建设一个高带宽、高性能、高可靠的互联网络,给学生们创造一个良好的网络环境。 1.2. 网络状况分析 本次宿舍楼的网络建设过程中,考虑到以下一些方面： 1) 网络速度。当前网络技术飞速发展，各种新应用和新业务对带宽都有很大的需求，为了满足应用和未来的扩展,采用千兆到寝室，百兆到桌面的方案。 2) 冗余性，考虑到网络的可靠性，将采用一定的冗余设计。核心路由器冗余主控引擎,冗余电源，部分核心—汇聚之间的链路冗余部署，提高整网的可靠性。 3) 安全性。整个网络根据实际情况划分多VLAN，保证各个VLAN的用户可以互不影响。 4) 病毒防范。为了防止局部发生ARP病毒或非授权DHCP服务器,导致全网络瘫痪，严重影响正常业务运行，全部接入交换机采用具有防ARP攻击的设备。 5) 安全认证机制。将采用一定的认证机制,授权之后才可接入到局域网络. 6) 可管理性.交换机支持网管功能，配合统计的网络管理系统，简化排除网络故障工作，对网络进行监控,及时发现网络上出现的异常问题,并对网络进行流量分析。 7) 随着IPv6的商业使用发展，宿舍楼的接入网络也应该考虑对于IPv6的支持，过渡期间应该采用双栈协议。未来全面支持IPv6业务。 2. 设计原则 结合宿舍楼网络的实际使用情况,本次网络建设方案主要考虑如下一些设计原则. 1) 高性能 由于客户端众多,数据流量大，所以对整个系统的性能有着较高的要求.宿舍楼网络应用人数很多，例如FTP文件传输等大数据量的访问,产生了巨大的网络流量。如何高速进行网络传输，对全网网络设备提出了很高的要求.特别是核心交换机的性能和可靠性，以及汇聚层要求具有万兆能力，即配置万兆模块。汇聚交换机能够通过万兆链路与核心交换机相连。接入交换机通过千兆链接与汇聚交换机相连。 2) 安全需求： 宿舍楼内有众多的网络用户，安全问题影响广泛，如何能够建成一个安全可靠的宿舍网络也是本次需要重点考虑的，网络内划分多VLAN，接入交换机支持端口绑定和防ARP攻击等功能，保证网络用户的安全。 3) 可靠性 考虑到可靠性问题，核心路由器采用主控引擎、电源冗余的设计，单控制器故障不影响网络运行，单台设备故障不会影响网络的使用运行。 4) 网络管理 接入层交换机应具备终端用户控制能力，具有防范非法DHCP服务器和ARP攻击的功能。所有交换机需要支持网络管理,并可以通过网络管理软件监测网络设备的运行状态,利用有限的人力物力对宿舍楼网络进行高效管理。 5) 支持IPv4/IPv6双栈 IPv6是未来网络发展的趋势，所以本次网络建设中,采用的核心和汇聚交换机应全面支持IPv6网络和IPv4/IPv6双栈协议。 2.1. 总体设计概述 北京邮电大学宿舍楼网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。组网图如下所示： 2.2. 方案描述 有线网设计: 组网方式采用三层网络结构。分为核心层、汇聚层和接入层，核心和汇聚设备全面支持IPv6协议。 核心层设计：宿舍楼网络用户众多，使用1台H3C的S7500E高端核心交换机作为整个宿舍楼网络的核心，并且和校园网之间通过万兆光纤互联,保证宿舍楼网络和校园网之间的高性能、无瓶颈的互联互通。核心交换机上部署高密度的万兆以太网接口,和汇聚层交换机之间也全部采用万兆互联,保证网络的数据转发性能。同时为保证网络的高可靠性，核心层采用了交换机冗余主控、冗余电源的设计，保证网络的可靠性. 汇聚层设计:汇聚层交换机采用S5500—28C—EI/S5500—52C-EI，采用万兆链路和核心交换机连接.向下用千兆链路与百兆接入交换机连接。汇聚交换机支持3层路由功能,并全面支持IPv6。 接入层设计：每个寝室有一条千兆链路接入到寝室，每个寝室再由1台8口百兆交换机6个百兆接口到桌面。接入交换机S2108支持ACL、端口绑定等安全要素，满足宿舍楼网络对于局域网内终端安全的需求,可以做到有效地控制网络的接入层端口，保证整网内安全。 安全策略。交换机通过例如端口安全、ACL、风暴控制等十余项专门的安全功能，控制了病毒等攻击报文的通道，更好地保护了整个网络的安全. 3. 网络层安全解决方案 3.1. 全面网络基础设施可靠性保证措施 首先，可取采取的措施为多种冗余备份能力，包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余，通过这些冗余能力，实现整个网络全面的可靠性保证。在核心采用了双万兆组成的环形网络保障了可靠性。网络设备配置了冗余电源，并可以支持冗余引擎等，基于H3C网络设备丰富的冗余特性,可以有效的实现这些冗余配置模式。 其次，采取高安全性的网络设备,网络与安全的融合是未来网络发展的必然趋势，随着网络设备特性的不断更新,H3C系列网络设备自身具备的安全能力也在不断加强.H3C系列网络设备包括路由器、交换机，都统一采用H3C自主研发的Comware软件平台。 除了上述丰富的基本安全特性,H3C网络设备具备非常丰富的动态安全特性，主要包括动态VLAN的下发和动态ACL的下发,H3C系列网络设备不仅支持标准的802.1Q VLAN，而且提供端口隔离功能,只允许用户端口与上行端口转发报文,从而阻断下挂各个用户私有网络之间的互相访问，从链路层保障用户转发数据的安全；通过启用802.1x和Web认证后下发动态VLAN及ACL，实现用户的动态隔离，保证用户数据的隐私，杜绝内部攻击，与其他安全防护设备进行联动,构建全局的、立体的、动态安全防护体系。 最后，采取具备丰富的安全管理特性的网管系统,在网络系统中,整个网络的安全首先要确保网络设备的安全：非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备，采用网络管理系统是一种有效的解决方法，通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能，可以实现网络设备安全有效的配置，为整个网络系统提供安全运行的基石。 网关系统的基本功能描述如下：配置管理：主要包括设备监控、远程控制、远程维护、自动搜索等；性能管理：主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等；失效管理：主要包括故障定位、故障报警、故障恢复等;安全管理：访问认证和授权、网络隔离、远程访问控制、应用访问控制等. 3.2. 组合丰富的VLAN功能进行业务隔离 大部分网络设备都可以提供对VLAN功能的完善的支持,通过VLAN的划分，可以区分不同的业务，灵活的根据端口、MAC等进行VLAN的划分，实现对各种业务的有效的隔离。 同时,通过各种特性VLAN的部署，可以更加灵活的实现网络流量和业务的隔离，比如，通过PVLAN技术，可以实现同一个VLAN内部服务器之间相互访问的隔离;通过动态VLAN的部署，可以实现用户在任何位置接入网络都能被隔离到自己所属的VLAN中。 4. IP地址规划 IP地址整体规划 IP地址的合理规划是网络设计中的重要一环， IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理,也必将直接影响到网络应用的进一步发展。 IP地址分配原则 IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类,减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性.具体分配时要遵循以下原则: ü 唯一性：一个IP网络中不能有两个主机采用相同的IP地址; ü 简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项 ü 连续性：连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表，提高路由算法的效率 ü 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性 ü 灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间. IP地址规划方案 地址编码规范 建议校园网的IP地址进行严格的编码，每位代表不同的含义。其编码规则（举例如下）为： 通过地址标识可以清楚地区分出IP地址地来源,便于路由汇聚和访问控制。从上表中我们也可以看出，通过我们的规划,我们能从IP地址分析出IP地址的来源、用途等，这将为网络的维护带来方便。 5. 投标设备介绍 核心交换机：S7510E 汇聚交换机：S5500-28C—EI/S5500—52C—EI 接入交换机:S2108 以下为投标产品的具体介绍。 5.1. 核心交换机 产品概述 H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，以第二代智能弹性架构 （IRF，Intelligent Resilient Framework)为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本(TCO).H3C S7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。 H3C S7500E系列包括S7510E（12槽）、S7506E（8槽）、S7506E-V(垂直8槽）、H3C S7506E-S（8槽）、S7503E（5槽）、7503E-S(3槽）和S7502E(4槽)7款产品,除了7503E-S所有产品均支持冗余主控.H3C S7500E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。 第17 页 共29 页 产品特点 丰富的业务,适应融合业务网络发展趋势 l 基于智能弹性架构（IRF）的虚拟化架构 H3C S7500E面向数据中心技术的演进，推出了以智能弹性架构（IRF）为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF所提供的高可靠性和无缝升级、扩展能力,也成为H3C用户增值服务的重要组成部分。 l 全面的MPLS、VPLS业务能力 H3C S7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。 全面支持VPLS，VLL,支持1K VPLS实例，4K VLL，还支持分层VPLS以及QINQ+VPLS接入方式,提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。 l 高性能IPv4/IPv6业务能力 H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发;H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段金色认证，是成熟商用的IPv6产品。 l 有线无线一体化，有源无源一体化 H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御,提高了整网的安全性。 H3C S7500E是业界最高密度的以太网无源光网络(EPON）设备,单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。 l EAD端点准入防护技术 H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。 全方位的安全保障，抵御多种网络安全威胁 l 三平面安全保障机制 H3C S7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN 、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。 l 有线无线全面支持EAD H3C S7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD，能够做到终端安全防范无漏洞. l 增强的ACL特性 H3C S7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL,满足金融等行业访问权限严格控制的需求。 电信级的高可靠性,保障用户业务长期稳定运行 l 电信级高可靠性设计 H3C S7500E采用无单点故障设计,所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999％的电信级可靠性。 l 多业务高可靠性运行 H3C S7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议;支持Smart—Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E可以在承载多业务的情况下不间断运行，实现业务的永续。 l 基于IRF架构的HA 智能弹性架构技术（IRF）可以把多台S75E虚拟成一个“联合设备”,使用，配置如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力.简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量. 产品规格 属 性 S7510E S7506E S7506E -V S7506E—S S7503E S7503E-S S7502E 整机交换容量 1152G/768Gbps 768Gbps 768Gbps 384Gbps 480Gbps 288Gbps 192Gbps 背板容量 ≥2.4Tbps ≥1。6Tbps ≥1.6Tbps ≥1。6Tbps ≥1Tbps ≥600Gbps ≥400Gbps IPv4包转发率 780M/492Mpps 492Mpps 492Mpps 288Mpps 276Mpps 180Mpps 144Mpps 槽位数量 12 8 8（垂直插槽) 8 5 3 4 业务槽位数量 10 6 6 6 3 2 2 冗余设计 电源、主控冗余 电源、主控冗余 电源、主控冗余 电源、主控冗余 电源、主控冗余 电源、单主控 电源、主控冗余 二层特性 支持IEEE 802。1P（CoS优先级） 支持IEEE 802.1Q（VLAN） 支持IEEE 802.1d(STP)/802.1w（RSTP）/802.1s(MSTP) 支持IEEE 802.1ad(QinQ）,灵活QinQ和Vlan mapping 支持IEEE 802.3x(全双工流控)和背压式流控（半双工） 支持IEEE 802.3ad（链路聚合）和跨板链路聚合 支持IEEE 802。3(10Base-T）/802。3u（100Base—T） 支持IEEE 802。3z（1000BASE-X）/802.3ab（1000BaseT） 支持IEEE 802。3ae(10Gbase） 支持IEEE 802.3af（PoE） 支持RRPP(快速环网保护协议） 支持跨板端口/流镜像 支持端口广播/多播/未知单播风暴抑制 支持Jumbo Frame 支持基于端口、协议、子网和MAC的VLAN划分 支持SuperVLAN 支持PVLAN 支持Multicast VLAN+ 支持点到点 单VLAN交叉连接、双VLAN交叉连接 全部依靠VLAN—ID进行转发,不涉及MAC地址学习 支持最大VLAN MAPING/灵活QinQ表项 全面支持1:1， 2:1，1:2, 2：2 VLAN MAPPING能力 支持GVRP 支持LLDP IPv4路由特性 支持ARP Proxy 支持DHCP Relay 支持DHCP Server 支持静态路由 支持RIPv1/v2 支持OSPFv2 支持IS-IS 支持BGPv4 支持OSPF/IS-IS/BGP GR (Graceful Restart优雅重启） 支持等价路由 支持策略路由 支持路由策略 IPv6路由特性 支持ICMPv6 支持ICMPv6重定向 支持DHCPv6 支持ACLv6 支持OSPFv3 支持RIPng 支持BGP4+ 支持IS—ISv6 支持手工隧道 支持ISATAP 支持6to4隧道 支持IPv6和IPv4双栈 组播 支持IGMPv1/v2/v3 支持IGMPv1/v2/v3 Snooping 支持IGMP Filter 支持IGMP Fast leave 支持PIM-SM/PIM—DM/PIM—SSM 支持MSDP 支持AnyCast-RP 支持MLDv2/MLDv2 Snooping 支持PIM—SMv6、PIM-DMv6、PIM—SSMv6 ACL/QoS 支持标准和扩展ACL 支持基于VLAN的ACL 支持Ingress/Egress ACL 支持Ingress/Egress CAR，粒度为64Kbps 支持两级Meter能力 支持VLAN聚合CAR，MAC聚合CAR功能 支持流量整形（Traffic Shaping） 支持802。1P/DSCP优先级Mark/Remark 支持队列调度机制，包括SP、WRR、SP+WRR、CBWFQ 支持每端口8队列 支持拥塞避免机制，包括Tail—Drop、WRED 支持N：2 Mirroring MPLS/VPLS 支持L3 MPLS VPN 支持L2 VPN: VLL （Martini， Kompella) 支持MCE 支持MPLS OAM 支持VPLS,VLL 支持分层VPLS，以及QinQ+VPLS接入 安全机制 支持EAD安全解决方案 支持Portal认证 支持MAC认证 支持IEEE 802.1x和IEEE 802.1x SERVER 支持AAA/Radius 支持HWTACACS，支持命令行认证 支持SSHv1.5/SSHv2 支持ACL流过滤机制 支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证 支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限 支持受限的IP地址的Telnet的登录和口令机制 支持IP地址、VLAN ID、MAC地址和端口等多种组合绑定 支持uRPF 支持主备数据备份机制 支持故障后报警和自恢复 支持数据日志 系统管理 支持FTP、TFTP、Xmodem 支持SNMP v1/v2/v3 支持sFlow流量统计 支持RMON 支持NTP时钟 支持NetStream流量统计功能 可靠性 支持主控板1+1冗余备份 支持电源1+1冗余备份 采用无源背板设计 所有单板支持热插拔 支持VRRP 支持Ethernet OAM（802.1ag和802。3ah) 支持MAC Tracert 支持RRPP 支持Graceful Restart for OSPF/BGP/IS—IS 支持DLDP 支持VCT 支持Smart-Link 支持热补丁 环境要求 温度范围：0 OC～45 OC 相对湿度：10%～95%(非凝结） 安规和EMC认证 通过了CE、FCC PART 15、TUV—GS、UL-CUL、ICES003和VCCI的认证 电源 DC：–38。4V～–72V AC： 90V～264 POE电源 支持内置PoE电源（S7506E-S不支持） 外形尺寸（宽×高×深)(mm） 436x 708 x 420 436 x 575 x 420 436 x 930 x 420 436x 575 x 420 436 x 441 x 420 436 x 175 x 420 436 x 175 x 420 满配重量（kg） ≤96kg ≤77kg ≤94kg ≤77kg ≤63kg ≤27kg ≤27kg 典型组网 组网应用一：IRF H3C S75E系列交换机通过第二代智能弹性架构IRF技术堆叠组成网络汇聚层，接入层设备通过聚合双链路上行。该组网可以简化管理,用户连接到任何一台S75E设备的任何一个端口可以登录并管理IRF堆叠系统；另外还可以扩展堆叠系统的端口数、带宽和处理能力，增加的汇聚能力；IRF还提高了可靠性，Master/Slave设备同时处理业务，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过堆叠的业务不中断。 l 组网应用二：MPLS网络环境（行业城域网） H3C S7500E系列支持二三层的MPLS VPN和VRF—Lite，可提供多种MPLS VPN方案；与MPLS VPN Manager软件配合，可以实现图形化的MPLS部署和维护。S7500E支持MPLS OAM（Operation,Administration and Maintenance)，可在快速检测MPLS管理平面和控制平面的故障，迅速排除故障。S7500E既可以作为PE设备在MPLS到边缘的城域网中使用，也可以作为MCE设备在MPLS延伸网中使用,可广泛适用于政府电子政务网，电力城域网以及其他对MPLS有要求的网络环境. 图2 H3C S7500E在MPLS组网中的典型应用 l 组网应用三：有线无线一体化IPv6校园网 传统无线组网模式对IPv6、无线安全、用户管理、无线语音等业务需求束手无策，H3C S7500E无线控制器＋FIT AP控制架构实现了对AP的集中管理和配置、对用户的集中权限划分和控制，实现AP自动下载配置文件和软件版本自动更新,还实现了Ipv6、无线安全、射频管理和跨三层漫游等功能，满足语音、视频等增值业务的开展。H3C S7500E基于统一的硬件、软件平台,提供有线、无线一体化的解决方案,解决了有线、无线设备分离、网管分离，用户管理分离的难题。 图3 H3C S7500E在IPv6校园网典型应用 l 组网应用四：有源无源一体化的IP承载网 H3C S7500E提供每槽位4/8/16的无源光口，单机最大提供160个无源光口，支持1：64分光,单机最大可接入10240个FTTH用户.采用EPON技术建设的承载网，可以数十倍节省骨干光纤资源，大大节省了客户的运维成本。EPON与高端交换机的结合，使得整个承载网具备了高端设备的高性能和高可靠性，可以提供万兆RRPP环网故障保护以及99.999％的设备电信级可靠性。 5.2. 汇聚交换机 产品概述 H3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口，可以满足用户今后5年的带宽需求；支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外,其出色的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择。 S5500-28C—EI/S5500—28C-PWR-EI S5500-52C-EI/ S5500—52C—PWR—EI S5500-28F—EI H3C S5500—EI系列以太网交换机目前包含如下型号： Ÿ S5500-28C-EI：24 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位; Ÿ S5500-52C—EI：48 个10/100/1000Base—T以太网端口,4 个复用的SFP 千兆端口（Combo），两个扩展槽位； Ÿ S5500—28C-PWR—EI：24 个10/100/1000Base—T以太网（PoE），4 个复用的SFP 千兆端口（Combo），两个扩展槽位； Ÿ S5500—52C—PWR-EI：48 个10/100/1000Base-T以太网（PoE），4 个复用的SFP 千兆端口（Combo)，两个扩展槽位； Ÿ S5500—28F—EI：24 个SFP千兆端口，8 个复用的10/100/1000Base-T以太网端口(Combo），两个扩展槽位； 产品特点 高扩展性保护投资 随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE链路将是我们的未来发展方向。H3C S5500-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资. IPv4到IPv6的演变是以太网发展的大势所趋,网络设备对于IPv6的支持不仅是简单的可用就行，而是需要达到商用的标准，S5500—EI已经通过了国际最权威的IPv6 Ready第二阶段认证，而且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制,实现IPv4到IPv6的平滑升级。 完备的安全控制策略 H3C S5500—EI系列交换机支持EAD（端点准入防御）功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力. H3C S5500—EI交换机支持集中式MAC地址认证、802。1x认证、PORTAL认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发;支持配合H3C公司的CAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为. H3C S5500—EI系列交换机提供增强的ACL控制逻辑，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下发,在简化用户配置过程的同时，避免了ACL资源的浪费.另外,S5500—EI系列还将支持单播反向路径查找技术(uRPF)，原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗.7VM海岸线网络安全资讯站 多重可靠性保护 S5500—EI系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持内置的双冗余电源，其中S5500—28F—EI支持可插拔的冗余电源模块，也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。 除了设备级可靠性以外，还支持丰富的链路可靠性以外,还支持丰富的链路可靠性技术,比如华三通信独创的RRPP快速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。 多业务支持能力 支持PoE（Power over Ethernet）技术,通过以太网对所连接的设备(如IP Phone, Wireless AP等)进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。 H3C S5500-EI系列交换机支持MCE功能,可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾，它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定，并为每个VPN创建和维护独立的路由转发表（Multi—VRF）。这样不但能够隔离私网内不同VPN的报文转发路径，而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保证VPN报文在公网内的传输. 丰富的QoS策略 H3C S5500-EI系列交换机支持支持L2（Layer 2）~L4（Layer 4)包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式.支持CAR（Committed Access Rate）功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口,以进行网络检测和故障排除。 出色的管理性 H3C S5500-EI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管，TELNET,HGMP集群管理，使设备管理更方便，并且支持SSH2.0等加密方式,使得管理更加安全。 H3C S5500—EI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。该系列交换机还支持sFlow功能，可以对出入方向的报文按比例随机抽样，灵活实现报文采集. 产品规格 支持特性 S5500—28C-EI S5500-52C—EI S5500—28C—PWR-EI S5500—52C—PWR—EI S5500-28F-EI 交换容量 （全双工） 192Gbps 240Gbps 192Gbps 240Gbps 192Gbps 包转发率（整机） 95.2Mpps 130。9Mpps 95.2Mpps 130.9Mpps 95.2Mpps 外形尺寸(长×宽×高） （单位：mm） 440×300×43.6 440×420 ×43。6 440×360×43.6 重量 4kg 4.5kg 6kg 6.5kg 6。3kg 管理端口 1个Console口 业务端口描述 24个10/100/1000Base—T以太网端口 4个复用的1000Base—X千兆SFP端口 48个10/100/1000Base—T以太网端口 4个复用的1000Base-X千兆SFP端口 24个10/100/1000Base—T以太网端口 4个复用的1000Base-X千兆SFP端口 48个10/100/1000Base—T以太网端口 4个复用的1000Base—X千兆SFP端口 24个1000Base—X千兆SFP端口 8个复用的10/100/1000Base—T以太网端口 扩展插槽 2个扩展插槽 可选接口模块 10GE XFP接口模块 10GE CX4接口模块 SFP接口模块 以太网供电PoE 不支持 支持 不支持 端口聚合 支持LACP 支持手工聚合 支持最多14/26个聚合组，每组支持最多8个GE或4个10GE端口 端口特性 支持IEEE802.3x 流量控制（全双工） 支持基于端口速率百分比的风暴抑制 支持基于PPS的风暴抑制 MAC地址表 支持32K个MAC地址 支持黑洞MAC地址 支持设置端口MAC地