武钢成都现代综合物流园网络方案技术可行性研究报告.doc

1、武钢成都现代综合物流园网络方案 技术建议书 2012年01月目录1.项目背景32.总体网络系统设计32.1需求分析32.2设计原则43.网络设计方案53.1网络拓扑图53.2建议方案说明54.技术介绍94.1VLAN技术介绍94.2堆叠94.3集群115.方案整体特点145.1万兆核心、千兆骨干、百兆到桌面145.2网络安全可信145.3网络稳定可靠155.4高性能数据转发155.5先进的第五代无线架构，性能强大，可以平滑升级156.产品介绍156.1QUIDWAY S9300系列T比特核心路由交换机156.2QUIDWAY S7700系列智能路由交换机236.3QUIDWAY S2700系列

2、企业网交换机316.4WS6603无线控制器356.5WA603SN室内放装型AP397.华为技术有限公司简介431. 项目背景2. 总体网络系统设计2.1 需求分析随着企业信息化建设不断深入，企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展，对于企业园区网的建设要求越来越高。传统园区网建设初期往往面临如下问题：网络架构较为混乱，不便于扩容和维护管理园区网在建设初期，设备和光纤/电缆随意布放，缺乏统一的网络分层规划管理，网络拓扑相对混乱，不便于对网络性能瓶颈进行正确评估和有效扩容，给日常网络管理也带来很大难度。网络可靠性规划不合理，影响企业生产和经营管理、造成投资浪费由于缺乏有效

3、的园区网规划，对于网络可靠性考虑不够，网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为，同时也存在网络过度冗余、造成投资浪费的现象。网络信息安全存在隐患 网络安全性是园区网建设的重中之重，传统园区网安全漏洞较多，无法应对内外部用户日益猖獗的网络攻击行为（例如：对园区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息），对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络，网络层面的安全保证和防御措施也不到位，造成园区网的脆弱和易攻击。无法满足日益增长的网络业务需求随着企业的业务发展，出现了基于园区网基础设施的丰富增值业务需求，例如：网络接入形式要求多样化，支持WLA

4、N无线接入，满足移动办公、大区域无线缆覆盖等特殊要求；对于企业用户访问外网进行计费，计费策略可灵活设置（时长计费、流量计费、按目的地址计费）；企业多出口链路场景下的负载均衡、灵活选路需求。传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑，支持这些业务存在园区网络分散建设、重复投资的问题。缺乏简单有效的网络管理系统，企业IT网络运维部门面临很大压力当前，企业网IT运维部门面临很大的网络运维压力，来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象，网络故障诊断、分析定位过程对于IT运维人员的技术能力和经验水平要求较高，缺乏简单有效/低成本的图形化网管工具、进行实时网络

5、拓扑显示、状态监控和各种故障事件预警/告警展示。另外，IT运维部门也需要实施统计园区网各路径的流量信息，便于对网络带宽进行管理和规划，给后续网络扩容提供参考。2.2 设计原则安全性安全性是企业园区网建设中的关键，它包括物理空间的安全控制及网络的安全控制。需要有完整的安全策略控制体系来实现企业园区网的安全控制。可靠性、可用性高可靠性是园区网提供使用的关键，其可靠性设计包括：关键设备冗余、链路/网络冗余和重要业务模块冗余。关键设备均采用电信级全冗余设计，可实现单板热拔插、冗余的控制模块设计、冗余电源设计。采用冗余网络设计，每个层次均采用双机方式，层次与层次之间采用全冗余连接。提供多种冗余技术，采用

6、高效、负载均衡的双机备份。可采用交换机的集群或者堆叠技术，在不降低网络可靠性的前提下，减化网络架构。可扩展性园区网方案设计中，采用分层的网络设计；每个层次的设计所采用的设备本身都应具足够高的端口密度，为后续园区网扩展奠定基础。在园区出口层、核心层、汇聚层的设备都采用模块化设计，可根据园区网的发展进行灵活扩展。功能的可扩展性是园区网随着发展提供增值业务的基础。实现防火墙、负载均衡、WLAN接入、认证计费等功能，为园区网增值业务的扩展提供基础。 可维护、可管理性网络可管理性是园区网成功运维的基础。应提供低成本、简单有效的园区网统一网管系统，对园区网所有网络设备进行管理，包括网络拓扑显示、网络状态监

7、控、故障事件实时预警和告警、网络流量统计。 3. 网络设计方案3.1 网络拓扑图物流园区网络结构图3.2 建议方案说明根据武钢成都现代综合物流园区网络建设的现有需求，并考虑到未来的发展趋势，需要建立一个统一的信息传输网络，满足数据、语音、视频、图像、多媒体等相关信息的传输，可以实现计算机管理系统、办公自动化系统、上网访问（Internet）等应用。为了能够更好地实现网络安全方面的控制，我们根据现在网络的安全问题将安全控制实现在接入层从而大大减轻了核心设备的压力，也保证了设备的稳定高效运行，而且在各个系统运作时需要通过VLAN划分和物理路由相互隔离。为了满足这样一个网络构架，要求各款网络设备能够

8、很好的支持网络数据线速交换，提供二到七层的智能流分类和完善的服务质量（QoS），支持丰富的组播特性以及完善的高性能组播动态路由协议，并可以根据网络实际使用环境实施灵活多样的ACL访问控制策略，能有效防止和控制病毒传播和网络攻击。由于网络中心核心设备的稳定和安全性能是整个网络最重要的保障，因此必须要求核心交换机具有优良的性能和高可靠性，必须采用大交换容量的交换背板，以保证任何情况下网络的每个端口均可具备全线速多层交换能力，能够保证传输带宽和数据传输优化等关键应用，从而为整个网络提供了稳定和快速的基础。此次统计出来的数据信息点大概有7000个左右，由于信息点的数量庞大，所以新建一个强大的网络体系是

9、此次物流园区建设的关键所在。为了满足数据、语音、视频、图像、多媒体等相关信息的传输，我建议此次网络遵照标准的“核心汇聚接入”三层设计理念，核心层设备主要用于高效地执行路由管理、网络管理、网络服务、核心数据处理等功能；汇聚层设备则主要用于汇聚各接入交换机，该交换机需要具有完善的三层功能，在提供高效数据转发的同时，能够提供强大的安全控制功能，可在部分重要区域（例如服务器区、财务部等）部署汇聚交换机；接入层交换机则直接面向终端用户，提供信息点接口。整个网络分层次的结构便于管理，有利于未来网络规模的扩展，同时也方便我们灵活地设计网络带宽。建议核心层与汇聚层之间的骨干网传输带宽为千兆，并且支持随时随地升

10、级到万兆的能力；汇聚层与接入层之间的传输带宽为千兆并且百兆直接至用户。接入层到汇聚层、汇聚层到核心层之间均采用双链路上行的方式连接，在保证网络带宽的同时还能起到负载均衡以及保证网络的健壮性。采用分层模型进行网络设计具有如下特点:可缩放性因为实现了功能的本地化，容易识别潜在的问题，因此遵循分级设计的网络可以在不牺牲对网络的控制和管理的条件下大规模增长。易于实现分级设计清晰地将每项功能分配级相应的层，因此使网络实现更容易。易于排除故障因为每一层的功能都是经过良好定义的，因此隔离网络问题通常并不困难。可预测性使用分级模型的网络具有较高可预测性，从而可以比较容易地规划网络的增长。协议支持因为网络基础设

11、施以逻辑方式组织在一起的，因此，在遵循分级设计的网络里将现在和将来应用或协议结合是非常简单的。易于管理使用分级设计的直接结果就是可以实现有效的网络管理。在产品选型方面我建议考虑以下几个方面：产品成熟、先进度：尽量选用知名的、技术成熟先进的品牌的产品；性价比高：在保证性能指标的情况下，优先选用性价比高的、日后维护方便、维护费用低的产品；耗能低、投资回报高：在保证性能指标的情况下，优先选用耗电量更低、更加节能环保的产品。我选用的核心交换机为华为S9312核心交换机，具有12个业务插槽，另有两个插槽可以用来插管理引擎，提供引擎的冗余。电源方面提供1+1冗余电源，大大增加了电源的冗余性。支持“持续智能

12、交换”功能，即不仅可以提供引擎的热插拔，还可以在管理引擎进行故障切换的过程中，保持所有原有连接，而不会引起的网络流量的中断。背板带宽达到12Tbps，包转发率达到了1320Mpps，完全可以满足所有网络数据的线速转发。设备支持防火墙板卡，能有效的提高网络的安全性。设备支持模块化电源，提供电源的1+1或2+2备份；支持IPv6转发功能，由于IPv6是今后网络部署的趋势，所以具有很高的扩展性，日后再做IPv4-IPv6升级时，无需更坏硬件设备，即可迅速部署IPv6网络，节约了大量的后期人力、资金等投入。核心采用两台S9312核心交换机，并启用华为css集群技术，把两台核心设备虚拟成一台设备；这样除

13、了能起到核心层设备的冗余备份以及负载均衡以外，还能提高整个核心层设备的处理性能，同时配合汇聚层设备启用E-TRUNK技术解决由于设备繁多而引起的网络环路问题。我选用的汇聚交换机为华为S7706智能路由交换机，设备的背板带宽为2.4Tbps，包转发率为1080Mpps；设备为模块化框式设备，拥有6个业务槽位，能满足接入层交换机千兆光纤上连的需求；设备支持丰富的业务板卡，可以满足万兆上连的需求，同时支持CSS虚拟化技术，能实现交换机虚拟化功能；设备支持模块化电源，提供电源的1+1或2+2备份；外置电源可以很好的保证设备故障修复时间。一般来说，网络设备硬件本身发生故障，很大一部分是由于电源出现问题，

14、所以当电源发生故障时，只需更换备份电源即可，无需将设备返厂，这样便提高了网络运行效率，大大的缩减了由于设备故障而引起的网络中断时间。我选用的接入层交换机为华为S2700-24TP-EI或S2700-52P-EI,设备分别拥有24个和48个电口，并能提供2个千兆光电复用口和4个千兆光口；交换机支持堆叠功能，堆叠之后的所有交换机逻辑上形成一个类似模块化交换机的虚拟机箱，并会自动选择一台主控设备用于统一管理虚拟机箱内的其他交换机。除了主控设备之外，其他所有交换机都可作为虚拟机箱的备份交换机，当主控设备发生故障时，备份交换机会自动接替主控交换机的工作，统一管理其余交换机。接入交换机具有系统恢复功能，即

15、如果在日常的网络维护管理过程中，出现人为的设备配置错误（如软件升级）而引起的网络故障，只需将系统恢复至之前正确配置模式即可，无需等待专业技术人员到场，大大缩短了故障修复时间。支持IPv6转发功能，由于IPv6是今后网络部署的趋势，所以具有很高的扩展性，日后再做IPv4-IPv6升级时，无需更坏硬件设备，即可迅速部署IPv6网络，节约了大量的后期人力、资金等投入。接入层交换机为三层可网管交换机，便于管理维护；设备具有6KV的防雷能力，确保设备在恶劣条件下正常工作。我选用的网络管理软件为华为Esight企业级网管软件，系统除了能有效的对华为数通产品进行有效管理以外，还能对目前主流厂商的网络产品以及

16、终端服务器、打印机、桌面PC等设备全方位管理；具有流量管理、应用系统管理、桌面安全管理、上网行为管理等实用的管理功能。我选用的无线控制器为华为WS6603无线控制器，设备具有大容量、高性能、高可靠的亮点，最少能管理64个无线AP，背板带宽达128Gbps，实现内部数据无阻赛交换，支持设备级1+1快速备份和N+1备份。此设备的使用可以大大降低大量无线AP设备的维护难度及复杂度，减少网络维护人员的工作量。我选用的无线AP为华为WA603SN，设备支持802.11b/g/n三种无线传输标准，设备具有高可靠性的无线接入服务，高等级的网络安全性，高度的环境自适应能力，简单的设备管理和维护。尤其是当802

17、.11n无线项目建成后，可很好的突出体现以下方面的特点与优势：全覆盖以802.11n智能无线方式覆盖所需区域，提供高达300Mbps的接入速率，同有线相结合保证被覆盖需求的网络访问流畅。同时，必须利用现有的有线资源，做到有线、无线混合组网，避免用户投资的浪费。分批次在此次全网规划中，要有批次、有阶段的进行部署实施。方便后续的工程的接入与扩展。可管理无线网络，要求融合进现有网络管理系统中，对无线网内所有用户和无线接入点/网桥进行统一管理。安全性需要充分考虑网络的安全性，网络系统已经具备多种安全防御能力，建成的无线网络首先必须融合进原有网络安全解决方案体系中，并根据无线网络的安全技术特征，补充为具

18、有多层次的安全保护措施，以满足用户身份鉴别、访问控制、可稽核性和保密性等要求。可扩充性在网络规模不断发展的情况下，无线网络应满足在不改变主体架构与大部分设备的前提下，平滑实现升级和扩充，降低原有网络的硬件投资，并保证扩展后的系统可用性与稳定性。可认证系统在新建成的无线网络中，作为网络接入层的有效补充，必须完全满足网络的安全与稳定，因此网络中的认证是达成安全、可信的网络的必要基础。在新建成的无线网络中的所有设备必须支持业内主流的802.1x及WEB认证系统。4. 技术介绍4.1 VLAN技术介绍虚拟局域网（VLAN）技术是为了解决桥接的局域网中存在的广播风暴，以及网络系统的可扩展性、灵活性和易管

19、理性方面的问题，第二层交换机基本上都支持VLAN划分。在局域网设计中，我们可以根据不同部门划分VLAN。VLAN技术的采用为网络系统带来了以下的优点：控制广播VLAN之间是相互隔离的，所有的广播和多点广播都被限制在一个VLAN的范围内，即一个VLAN产生的广播信息不会被传播到其它的VLAN中，有效地防止了局域网上广播风暴的产生，提供了带宽的利用率。提高安全性由于VLAN之间是相互隔离的，因此可将高安全性要求的主机服务器可划分到一个VLAN中，而其它VLAN的用户则不能访问它们。如果VLAN之间要进行通信则必需通过三层交换机才能完成，而三层交换机上具有访问控制（Access-List）以及防火墙

20、等安全控制功能，因此VLAN之间的访问可以通过三层交换机进行控制。提高性能通过VLAN的划分，可将需访问同一服务器/服务器组的用户放到同一个VLAN中，这样该VLAN内部的服务器只由本VLAN内的成员访问，其它VLAN的用户不会影响服务器的性能。便于管理由于VLAN的划分是逻辑上的，因此用户不再受到物理位置的限制，任意位置的用户可以属于任意一个VLAN，VLAN内的成员可以任意地增加，修改和删除，使得网络管理更加简便易行。VLAN的划分可以有三种方式：By Port、By Protocol、By a User-Defined Value。 4.2 堆叠交换机堆叠是通过厂家提供的一条专用连接电缆

21、，从一台交换机的UP交换机堆叠端口直接连接到另一台交换机的DOWN交换机堆叠端口。以实现单台交换机端口数的扩充。一般交换机堆叠49台。交换机堆叠为了使交换机满足大型网络对端口的数量要求，一般在较大型网络中都采用交换机堆叠方式来解决。要注意的是只有可交换机堆叠才具备这种端口，所谓可交换机堆叠，就是指一个交换机中一般同时具有UP和DOWN交换机堆叠端口。当多个交换机连接在一起时，其作用就像一个模块化交换机一样，交换机堆叠在一起交换机可以当作一个单元设备来进行管理。一般情况下，当有多个交换机堆叠时，其中存在一个可管理交换机，利用可管理交换机可对此可交换机堆叠中的其他“独立型交换机”进行管理。可交换机

22、堆叠可非常方便地实现对网络的扩充，是新建网络时最为理想的选择。交换机堆叠中的所有交换机可视为一个整体的交换机来进行管理，也就是说，交换机堆叠中所有的交换机从拓扑结构上可视为一个交换机。堆栈在一起的交换机可以当作一台交换机来统一管理。交换机堆叠技术采用了专门的管理模块和堆栈连接电缆。这样做的好处是，一方面增加了用户端口，能够在交换机之间建立一条较宽的宽带链路，这样每个实际使用的用户带宽就有可能更宽（只有在并不是所有端口都在使用情况下）。另一方面多个交换机能够作为一个大的交换机，便于统一管理。华为的iStack堆叠技术有如下的优势：简化管理堆叠设备的角色分为Master和Slave；通过对Mast

23、er 设备的配置达到管理整个iStack 堆叠以及堆叠内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。简化网络运行iStack 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。强大的网络扩展能力通过增加成员设备，可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。高可靠性堆叠的高可靠性体现在多个方面，比如：成员设备之间堆叠物理端口支持聚合功能，堆叠系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了堆叠系统的可靠性；

24、堆叠系统由多台成员设备组成，Master 设备负责堆叠的运行、管理和维护，Slave 设备在作为备份的同时也可以处理业务，一旦Master 设备故障，系统会迅速自动选举新的Master，以保证通过堆叠的业务不中断，从而实现了设备级的1:N 备份。高性能由于iStack 设备是由多个支持iStack 特性的单机设备堆叠而成的，iStack设备的交换容量和端口数量就是iStack 内部所有单机设备交换容量和端口数量的总和。因此，iStack 技术能够通过多个单机设备的堆叠，轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。4.3 集群所谓集群，就是把物理的多台服务器连接在

25、一起，对外表现为一台逻辑的服务器，提供服务。如下图所示：采用集群技术，对园区网络，有四大优势：减化管理和配置首先，集群后需要管理的设备节点减少一半以上。其次，组网变得简洁，不需要配置复杂的协议，包括STP/SmartLink/VRRP等。快速的故障收敛故障收敛时间可以控制在 1ms, 大大降低了网络链路/节点的故障，对业务的影响。带宽利用率高采用链路Trunk的方式，带宽利用率可以达到100。扩容方便保护用户投资。随着业务的增加，当用户进行网络升级时，采用集群的方式，只需要增加新设备既可，不需要更改网络配置的情况下，平滑扩容，很好的保护了用户投资。目前，业界有两种堆叠的方式，一种是采用业务接口

26、堆叠，一种是采用专用的堆叠线；两种集群方式比较华为的S93系列交换机采用堆叠线的方式，通过在主板板上插入堆叠卡，连接多台设备。如下图所示，这种方式有如下的优势：华为CSS集群技术采用交换机网集群的方式，相比接口板集群，有如下的优势：堆叠带宽高交换机网集群一般采用专用的接口线，堆叠带宽高。 S93系列的集群带宽高达256G； 相对于业界的其他产品的互联带宽，具有明显的优势。不占用业务槽位S93系列采用在主控板预留的灵活插卡槽位，插入堆叠卡互联的方式，不占用接口槽位。相对于接口堆叠的方式，节省了12个接口槽位。可靠性高S93系列采用堆叠线连接，实际上是对交换网的延伸。从上图可以看出，接口板堆叠方式

27、需要经过两个堆叠接口板转发，处理复杂度增加；另外，接口板的硬件可靠性也比交换网低。总体来看，交换网堆叠在软件和硬件方面，可靠性都高于接口堆叠的方式。5. 方案整体特点5.1 万兆核心、千兆骨干、百兆到桌面万兆核心、千兆骨干、百兆到桌面的设计，为用户提供高带宽无阻塞的可靠稳定的网络应用环境，使整个网络系统具有完善的服务质量，良好的可管理性与极高的安全性，另外，为了能够提供高带宽、高速率的数据服务，保障网络架构在未来数年不落后。5.2 网络安全可信组网方案中各层设备通过支持基于SNMP的统一网络管理，提供真正安全的网络管理机制。带内网管数据流承载关于网络配置的全部信息，SNMP协议种基于加密、鉴权

28、、认证手段把这部分信息保护起来，实质性地提高了网络管理安全性，改善网络可运营性和可管理性。通过划分VLAN的方式，实现不同部门之间的隔离，保证用户之间不能互访，以避免各种问题的产生。通过MAC地址过滤可有效防止地址仿冒。通过广播风暴抑制功能有效的抑制广播风暴的发生，避免对有效带宽的无端浪费。华为系列交换机可以监视各个端口上发送和接收广播包的情况，一旦流经某端口的广播报文的数量超过预定的门限，将会触发交换机采取相应的保护措施（通常是阻塞该端口并丢弃所有进入该端口的广播报文）；而此后当广播报文的数量下降到预定门限之下后，交换机将解除保护措施。 可以针对每个端口，或针对所有端口设定门限。5.3 网络

29、稳定可靠方案从设备本身、网络结构设计和安全防护三个方面确保了网络的高度稳定可靠运行。核心层和汇聚层设备本身都提供了关键部件如电源冗余，所有骨干链路均采用双链路的方式，在网络架构上进行了全面的冗余设计，确保单点故障不影响网络的正常运转；全局安全网络设计，保证网络不受病毒和网络攻击影响，进一步提升了网络的稳定可靠性。5.4 高性能数据转发高性能接入、汇聚、核心设备，保证全网线速转发。万兆骨干路由交换机提供超强背板带宽，并支持将来更高带宽的扩展能力，高速的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。5.5 先进的第五代无线架构，性能强大，可以平滑升级采用了世界最为领先无线技术标准8

30、02.11n，可提供300Mbps的网络接入速度。无线的智能转发，可以保证无线网络的无瓶颈。先进的AC+AP的管理方式，可以轻松管理和监测无线网络。强大的无线安全性能，可以为您的无线网络保驾护航，不受黑客的骚扰。6. 产品介绍6.1 Quidway S9300系列T比特核心路由交换机Quidway S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，进一步提供业务流分析、完善的QOS策略、可控组播、一体化安全等智能业务优化手段，同时具备超强扩展性和可靠性

31、。Quidway S9300系列广泛适用于广域网、城域网，园区网络和数据中心核心、汇聚节点，帮助企业构建面向应用的网络平台，提供交换路由一体化的端到端融合网络。Quidway S9300系列提供S9303、S9306、S9312三种产品形态，支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念，最小化备件成本，在保证设备扩展性的同时最大限度地保护用户投资。此外，S9300作为新一代智能交换机采用了多种绿色节能创新技术，在不断提升性能及稳定性的同时，大幅降低设备能源消耗，减小噪声污染，为网络绿色可持续发展提供领先的解决方案。S9303 S9306 S9312产品特点先进

32、交换架构提升网络扩展性S9300采用先进的分布式交换技术，提供业界最大整机交换容量和槽位带宽。创新的交换速率自适应技术，支持单端口速率40G、100G平滑升级，同时完美兼容现网板卡，保护初始投资。背板通流能力充分考虑未来带宽升级对整机电源功率和散热需求，数据总线预留升级高速交换网能力。超高万兆端口密度，单台设备支持576个万兆端口，助力企业园区和数据中心迎来全万兆核心时代。创新的三平面架构设计S9300在传统交换机数据转发、管理控制双平面基础上创新地增加了独立的环境监控平面，实现对单板、风扇和电源配电模块的监控、管理和维护。业界首创的环境监控板，采用华为自主知识产权的高集成度中控芯片，实现硬件

33、级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术，在提升系统性能的同时大大降低整机功耗。支持独立环境监控与网管联动，实现全面可视化管理。创新的三平面设计运营级高可靠性设计，保障企业应用永续运行9300具备超越5个9的运营级高可靠性，主控、电源、风扇等关键部件采用冗余设计，所有模块均支持热插拔。基于分布式的硬件转发架构，路由平面和数据交换平面严格分离，保证业务流永续畅通。独立的故障检测定位硬件，提供3.3ms高精度硬件级以太OAM功能，实现快速故障检测与定位，与其他倒换技术联动可有效保证毫秒级网络保护。能够在冗余控制引擎间实现无缝切换，设备优雅重启无中断转发。支持I

34、SSU业务无缝升级，减少关键业务和服务中断。支持Enhanced-Trunk（E-Trunk）功能，实现跨设备链路聚合，二层组网环境中跨设备链路聚合无须运行破环协议，提高设备链路利用效率的同时避免单点故障。支持IEEE 802.3ad链路汇聚、IEEE 802.1s/w和虚拟路由器冗余协议（VRRP），同时支持丰富的毫秒级倒换技术如RRPP、Smart Link、IP FRR、TE FRR、VPN FRR等，实现运营级级高可靠性。多维集群CSS（集群交换系统）通过CSS集群虚拟化技术，将集群主机虚拟成一台逻辑设备，实现整个集群系统控制信息共享和路由、组播表项同步。CSS集群技术可以有效提高单台

35、设备的带宽，满足高密万兆园区核心与大容量数据中心对核心交换设备的带宽吞吐要求。CSS集群技术可以提高系统的可靠性。S9300 CSS集群创新性采用交换网集群技术，克服了业界普遍采用的线卡集群跨框多次交换，交换效率低下的架构难题。采用交换网集群技术可以将集群主机交换网拉通，集群不占用线卡槽位，并提供业界最大的256G集群带宽，同时可以通过跨框链路聚合提高链路的利用率，并消除单点故障。CSS集群可以简化核心层的网络管理，整个集群系统共用同一个虚拟IP，减少设备网元，简化网络拓扑管理，提高运营效率，降低维护成本。运行中软件升级ISSU保障网络无中断运行ISSU可以在设备软件升级过程中，减少系统业务中

36、断时间，显著地提高设备的可靠性。真正使企业网络具备“全天候”提供业务能力，实现设备软件升级流量“零”割接，应用不中断。S9300提供无损升级、有损升级和快速重启三种ISSU升级方式，系统可自动比较新旧版本各个模块间差异，给出升级方式建议，供用户选择。支持ISSU升级失败时自动回退（Auto-Rollback）版本，线卡采用新旧版本进程备份技术减少ISSU中断应用的影响 。完善的QOS机制S9300提供高品质的QOS（Quality of Service）能力，支持Layer2Layer7的流分类技术，具备完善的队列调度算法、拥塞控制算法，能够对数据流实现多级的精确调度，从而满足不同用户、不同业

37、务等级的服务质量要求。S9300提供层次化QOS（H-QOS）调度机制，通过在不同业务等级上分别设置单独调度器，进一步精细化流量QOS特征，保障相应业务的服务质量。支持面向接入侧的多级H-QOS调度机制，多样化，差异化满足大型企业园区不同层次用户设备的业务需求。全业务以太交换平台支持分布式L2/L3 MPLS VPN功能，支持MPLS、VPLS、HVPLS、VLL，满足企业VPN等用户的接入需求。支持多种速率WAN子卡，满足广域接入的需求。具备线速的跨VLAN组播复制能力，实现端口满负荷复制，满足多终端视频监控和视频会议接入需求；完善的二、三层组播协议，可作为组播复制点和控制点，提供高性能的I

38、P组播视频和音频应用。多协议L3路由支持满足了传统的网络要求，支持从中小企业到超大型跨国公司级大规模路由表，支持IPv6，能够为企业网络提供平滑升级能力。支持主流的时钟方案，包括以太网同步时钟，以及IEEE1588时钟同步。支持标准POE，满足15.4W和30W标准POE供电规格，满足企业在线供电业务需求。虚拟化数据中心交换平台S9300 CSS集群虚拟化技术，满足数据中心对核心、汇聚设备大容量、高可靠、海量吞吐的要求。首创交换网集群，大容量集群数据交换无阻塞，分布式跨设备链路聚合技术，有效利用数据中心内部带宽资源，实现数据中心内部数据交换对物理链路无感知。针对大型分布式计算数据中心业务模型，

39、专门设计大缓存线卡，支持单端口200ms数据流量缓存，解决分布式计算网络瞬间流量过大丢包问题。每板最大64K硬件队列，支持精细化QOS和流量管理，利用多种队列调度算法、拥塞控制算法，能够对数据流实现多级的精确调度，从而满足不同用户、不同业务等级的服务质量要求，准确地按需配置给不同用户、不同业物流分配不同的优先级和队列，保证不同的带宽、业务延迟和抖动性能需求。高性能IPv6业务能力S9300软硬件平台均支持IPv6，取得工信部IPv6入网认证和IPv6 Ready第二阶段金色认证。支持IPv4/IPv6双协议栈，支持多种隧道技术，支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-I

40、Sv6、IPv6组播，满足IPv6独立组网和IPv4/IPv6混合组网要求。智能流量负载均衡S9300负载均衡器能够保证服务可靠性，提高服务响应速度，方便业务灵活扩展。S9300负载均衡器支持加权轮询、基于连接数、加权IP地址Hash和基于HTTP URL的Hash等多种均衡调度算法，全面满足客户负载均衡要求。门户网站服务器经常会遇到在同一时间大量针对同样网页、服务的请求，服务器针对请求会频繁建立、拆除TCP连接，耗费大量CPU资源，影响服务器响应速度。S9300负载均衡器支持TCP和HTTP重用，减轻服务器拆除/建立TCP连接的负载，提高服务器访问效率。S9300负载均衡器支持动态“锁流”技

41、术，满足电子商务网站在线购物负载均衡需求。强大的网络流量分析能力S9300支持随板分布式和专用处理线卡集中式网络Netstream业务分析功能，满足用户对网络流量实时采集、分析需要。支持NetStream V5/V8/V9多种分析报文格式，支持聚合流量模板，减轻网络采集器系统压力，支持实时流量采集、动态报表生成、属性分析、流量异常告警等功能。帮助客户对网络流量进行实时监控、现网设备吞吐分析，为优化网络结构、科学合理扩容提供决策依据。周密的安全设计内嵌集中式防火墙板卡，支持虚拟防火墙与NAT多实例，满足多VPN客户共用防火墙组网环境。动态黑名单主动防御技术实现蠕虫病毒防范、抵御拓扑探测、IP扫描

42、和端口扫描攻击防护，为企业打造安全内网环境。应用层包过滤技术（Application Specific Packet Filter）对应用层报文内容进行复杂规则检测，支持SIP、QQ、MSN、H323、SMTP、RTSP、FTP、HTTP多种应用层协议。防火墙热备份，增强网络可靠性与抗攻击能力。支持完善的AAA（Authentication，Authorization and Accounting）机制，根据策略对接入用户进行认证、授权和计费。支持802.1X、Portal、Guest VLAN，支持用户动态接入认证，与其他主流厂商的NAC互通。支持路由协议加密、MAC地址过滤、动态ARP检测

43、、ACL等等一系列安全特性，可以为服务提供商以及网络的最终用户提供数据保护。基于硬件的包过滤和采样，可实现高性能和高扩展性。提供2级CPU保护机制，支持1K CPU硬件保护队列，可实现数据和控制的分离处理，防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁，提供业界领先的一体化安全解决方案。六项创新节能技术，省电30%首创的“变流”芯片，实现按流量动态调整功率，降低功耗8%。独特的“旋转”风道设计，提高整机散热效率，降低功耗3%，同时整机出线能力提高6倍。采用颗粒化、小功率的模块化设计思路，提高电源系统的转换效率，电源按需配置，保护用户投资。独立风扇分区控制，进一步降低功耗和噪声污染。采用智

44、能风扇调速策略，监测全系统关键器件温度，采用小区间控温技术，可以有效降低转速，并延长风扇使用寿命。支持端口休眠，无流量不耗电。归一化平台设计，最小化备件成本S9300设计上采用了业界最先进的散热架构设计，在满足设备大容量的同时解决整机散热的难题，实现了单机柜业界最大设备端口密度。S9300全系列产品整机高度归一化设计，电源、风扇、环境监控板等全部通用，减少备件种类，节省用户投资。采用自主节能芯片，高效节能管理平台，能效比业界领先。产品规格项目S9303S9306S9312背板容量3Tbps6Tbps12Tbps交换容量720G/1.92T2T/5.12T2T/5.12T包转发率540Mpps/

45、1440Mpps1080Mpps/2880Mpps1320Mpps/3360Mpps业务槽位3612GE端口密度14428857610G端口密度144288576VLAN支持Access、Trunk、Hybrid方式 支持default VLAN支持VLAN 交换支持QinQ、增强型灵活QinQ支持基于MAC的动态VLAN分配MAC地址功能支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤支持基于端口和VLAN的MAC地址学习限制STP支持STP，RSTP和MSTP支持BPDU保护、Root保护、环路保护支持BDPU TunnelIP路由支持RIP、OSPF、ISI

46、S、BGP等IPv4动态路由协议支持RIPng、OSPFv3、ISISv6、BGPv4等Ipv6动态路由协议组播支持IGMP Snooping功能支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功能支持组播CAC支持组播ACLMPLS支持MPLS基本功能支持MPLS OAM支持MPLS TE支持MPLS VPN/VLL/VPLSQoS支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类支持ACL、CAR、Remark、Schedule等动作支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式支持WRED、尾丢弃等拥塞避免机制支持H-QOS支持流量整形EPON OLT支持IEEE 802.3ah支持DBA支持ONU上、下行带宽控制支持ONU环回测试配置与维护支持Console、Telnet、SSH等终端服务支持SNMPv1/v2/v3等网络管理协议支持通过FTP、TFTP方式上载、下载文件支持BootROM升级和远程在线升级支持热补丁支持用户操作日志安全和管理802.1x认证，Portal认证支持NAC支持RADIUS和HWTACACS用户登录认证命令行分级保护，未授权用户无法侵入支持防范DoS攻击、TCP的SYN