网络改造设计方案

来源：爱问旅游网

网络改造设计方案

网络拓扑图

按照网络分层设计模型，广安爱众公司新规划的网络拓扑结构如下：

如上图，整个网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分，现分别详述如下：

2.1 网络出口设计

出口连接上级的 Internet，带宽为上下行对称的 100M,是各种攻击行为、病毒传播、安全事件引入的风险点，通过在网络出口处部署高性能、高可靠、高安全的网关设备，可以很好的缓解风险的传播，阻挡来自外部网络攻击行为的发生，是网络出口的第一道安全屏障。

 下一代防火墙

在出口部署下一代防火墙，对进出网络的数据进行过滤，保护网络安全，主要实现以下安全防护效果：

➢ 防止上的病毒、木马等恶意代码传播到内网中，保护内网终端、服务器；

➢ 防御来自的漏洞扫描行为、入侵行为，使内网免受恶意攻击；

➢ 控制用户访问网站行为，禁止访问非法网站、低俗网站、钓鱼网站，降低用户遭受攻击的风险。

➢ 分为信任区域和非信任区域，分别实施不同的安全策略，包括部署区域间隔离、受限访问、防止来自区域内部的 DOS 攻击等安全措施；

➢ 通过加密隧道构建 VPN（虚拟专用网络），方便分支机构和外出人员远程接入内网办公，提高工作效率。

 流量控制器

流量控制器可基于 DPI（深度包检测）识别各类上网应用，由此，在防火墙和核心交换机之间，以网桥模式串接了一台流控设备，来对进出防火墙的网络流量进行内容过滤和应用管控，以有效阻断非业务流量和内容，保证内网安全，提高互联网带宽利用率，高消耗带宽应用，保障网络通畅和网络的稳定性，控制用户使用无关应用和危险应用，提高网络整体安全性。

下一代防火墙到核心交换机之间使用链路聚合，来提供冗

余保障。

2.2 核心层设计

核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。

 核心交换机集群

主要部署两台 S9706 组成一个 CSS（Cluster Switch

System）集群，它是网络虚拟化的一种形态，可实现把多台支持集群的交换机链接起来，从而组成一台更大的交换机，CSS

的典型特征有：

➢ 交换机多虚一：CSS 对外表现为一台逻辑交换机，控制平面合一，统一管理。

➢ 转发平面合一：CSS 内物理设备转发平面合一，转发信息共享并实时同步。

➢ 跨设备链路聚合：跨 CSS 内物理设备的链路被聚合成一个 TRUNK 端口，和下游设备实现互联。

从上图中我们可以看到，CSS 通过设备“多虚一”和跨设备的链路聚合，不但简化了网络拓扑，而且极大地提高了网络性能：

➢ 简化运维：整个 CSS 被作为一台交换机来管理，简化运维、降低 Opex。

➢ 可靠性高：CSS 内一台设备故障，其他设备可以接管

CSS 的控制和转发，避免单点故障。

➢ 无环网络：跨设备的链路聚合，在 CSS 和其他设备互联时，天然避免了环路问题，无需部署 MSTP 等复杂的破环协议。

➢ 链路均衡：跨设备的链路均衡，100％的网络链路和带宽的利用率。

CSS 在简化网络、提升转发性能的同时，没有带来任何网络功能的损失。物理交换机具有的所有功能，都在 CSS 系统下得到继承，且性能还得到了放大。CSS 拥有的这些特质，使其得到了越来越多的认可和接受，并成为了部署简单、高效网络的首选方案。

2.3 接入层设计

接入层通常指网络中直接面向用户连接或访问的部分。其目的即利用光纤、双绞线、同轴电缆、无线接入等传输介质，实现与用户连接，并进行业务和带宽的分配，允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。

而本次改造中有 14 个接入层点位将采用双线上行至核心交换机（集群），并利用 OSPFECMP（Equal-Cost Multiple Path）特性，在两条专线链路之间进行负载均衡，既增加了网络的可靠性，又能提高了资源的利用率。

2.4 网络规划设计

本次网络改造项目中，将摒弃原有传统的单线二层接入方式，从而采用运营商双线运行动态路由协议（OSPF）进行三层传输接入核心，去掉中间级联设备，形成扁平化的网络架构，这种组网方式将各个分支机构分割成单独的局域网，一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。

新的传输接入模式，必须在各个节点建立的三层网关进行路由转发，这就要求对整个网络进行新的规划和设置，如下表所示：

点位互联代市气所网段 10.0.1.0/24 10.0.2.0/24 172.16.31.0VL101 102 301 岳池水务前峰水务领水水务华蓥水务城北客户城南客户西充燃气领水燃气希望接收城东水所龙门收费武胜水务岳池电力 …… 172.16.32.0172.16.31.0172.16.34.0172.16.35.0172.16.36.0172.16.37.0172.16.38.0172.16.39.0172.16.40.0172.16.41.0172.16.42.0172.16.43.0 172.16.45.0 …… 302 303 304 305 306 307 308 309 310 311 312 313 314 …以上网络规划和设计，将在大的城域网环境中形成多个广播域，隔离广播风暴和二层流量泛洪，减少 IP 地址冲突，提高整个网络的安全性和可维护性。具体的实施细节，将在项目施工过程中与甲方相关人员进行深化设计。

2.5 网络传输设计

从核心层到接入层的传输部分是各个运营商（电信、广电、联通、移动）的 MSTP 专线，其中，大部分接入点专线带宽为 10M，而少数营业收费点专线带宽为 2M，在带宽不够的情

况下，可以酌情考虑增加线路带宽。

MSTP（Multi-Service Transmission Platform）是指基于 SDH 平台同时实现 TDM、ATM、以太网等业务的接入、处理和传送，提供统一网管的多业务节点。其构建统一的城域多业务传送网，将传统话音、专线、视频、数据、VOIP、IPTV 等业务在接入层分类收敛，并统一送到骨干层对应的业务网络中集中处理，从而实现了所有业务的统一接入、统一管理、统一维护，提高了端到端电路的服务等级，这种专线技术具备以下优点：

 泛用性

MSTP 电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景广阔，用户端接口为通用性的 RJ45 接口。

 可选性

MSTP 专线带宽灵活，在 2M 到 1000M 的区间内，可以灵活选择。

 安全性

安全性有保障，比纯粹基于互联网的 VPN 业务安全性更高。

 灵活性

组网灵活，可支持星形网络、环形网络、点到点连接、多点汇聚等。

2.6 网络安全与优化设计

1、网络回溯分析系统

在网络核心 CSS 集群旁部署一台网络回溯分析系统，可以实现了对网络通讯数据包级的高性能实时智能分析，因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和智能分析硬件平台，它可以提供对各种网络性能和应用性能的关键参数实时分析，同时还能

够实时捕获并保存网络通讯流量，具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力，实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析，提升了对关键业务系统的运行保障能力和问题处置效率。

这样就在内网构建起了一套基于流量的实时监控和回溯体系，不但可以精确了解网络整体性能、应用负载，还能准确定位网络异常原因，及时排查网络故障和病毒、木马、攻击等安全隐患，实现核心链路/核心区域/核心业务运行可视化，彻底解决“黑盒运维”。 2、入侵检测系统

在核心 CSS 集群旁挂一台专业的 IDS(入侵检测系统)，该设备可通过抓取来自核心交换机的数据流镜像，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

3、负载均衡器

在业务服务器集群子网区域内的各个应用服务器前端部署一套负载均衡器，在多个客户端发起业务访问请求时，由前端的负载均衡器来对所有访问请求进行反向代理和统一调度，进而将业务访问负载合理均衡地分担到每个后端服务器节点上，以提高业务系统的整体服务效能。

同时对服务器的操心系统、中间件、文件系统等软件参数配置以及资源池分配进行优化，增强服务器的并发会话处理能力，而数据库方面，则可通过建立索引，优化 SQL 语句和优化内存、日志、表空间分配等方法来提高数据库 I/O 性能，加快数据的存取速度。

在接入交换机处，可通过 Qos 策略将业务数据和监控数据区分开，并给业务数据分配更高的优先级，这样在发生网络拥塞时，监控数据就无法挤占正常业务带宽，由此保障了业务访问的稳定性，不受接入视频监控的干扰。

2.6 网络特点和优势

通过大力进行网络改造后，具有达到如下特点和优势：

 高性能和高可用的网络骨干

升级核心交换机替换老旧设备，可以大力提升核心节点的转发速度，增加网络整体吞吐量，形成一个高性能、可扩展、可靠的高效网络。

 层次架构清晰

对网络架构进行扁平化重构，不仅可以解决多级串连现象，大大简化网络构成，还能减少中间节点的故障影响，迅速提高流量转发的处理速度，形成一个架构清晰，层次分明、可维护性强的网络基础平台。

 运维透明化和可视化

构建网络的实时监控和回溯体系，将全网流量可视化、透明化，分析从流量趋势、应用分布到性能负载等多方位情况，能让运维人员对整个网络运行情况了如指掌，及时发现处理网络异常和攻击威胁，将危害消灭在萌芽阶段，并快速定位故障原因和节点，缩短故障影响时间，提高故障处理效率，保证网络的高效稳定运行。

 弹性的应用架构

部署负载均衡器，进一步优化应用架构，让每台服务器轮流均衡地分摊客户端访问请求，来提高业务系统的整体服务效能，消除单点故障，形成一个高并发、高可用、高扩展性的业务群集系统，并结合业务系统性能优化，来提高服务器的并发会话处理能力与数据库 I/O性能，加快业务的响应速度。

 专门的流控体系

在出口处通过流量控制器来审计和管控互联网流量，屏蔽非法应用，违规流量，保障带宽资源，提高员工上网的合规性和网络使用效率，同时，在汇聚交换机处设置 Qos策略，让监控数据就无法挤占正常业务带宽，保障业务访问稳定性，不受视频监控流媒体数据的干扰。

 强大的安全防护保障

通过部署下一代防火墙和入侵检测系统（IDS）的安全策略，可进一步强化内网的信息安全保障，防止各种网络攻击和入侵活动，提高网络安全系统的防护免疫力。

 高效整洁的数据中心

通过新机房搬迁，可以打造一个新的整洁舒适、专业美观的数据中心环境，为机房设备高效的管理和安全运营提供有力支撑和保证

2.9 主要设备介绍

2.9.1 下一代防火墙

USG6350

当前，智能手机、iPad 等终端已经普及，移动应用程序、Web2.0、社交网络应用于企业运营的方方面面。企业网络边界变得模糊，信息安全问题日益复杂。通过 IP 和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。华为 USG6300 系列下一代防火墙面向中小企业，通过对应用、用户、内容、威胁、时间、位置 6 个维度的全面感知，提供精细的业务访问控制和加速。入侵防御（IPS）和防病毒（AV）等应用层深度防御与应用识别相结合，有效提高了威胁防御的效率和准确性。具备全面的防护功能，一机多能，有效降低管理成本。精细的带宽管理和 QoS 优化能力有效降低企业的带宽租用费，确保关键业务体验。持续、简单、高效地提供下一代网络安全。

 产品特性

➢ 精准的访问控制

传统防火墙主要通过端口和 IP 进行访问控制，下一代防火墙的核心功能依然是访问控制。USG6000 在控制的维度和精细程度上都有很大的提高：一体化防护：

从应用、用户、内容、时间、威胁、位置 6 个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合，一体化处理。例如：识别出 Oracle 的流量，进而针对性地进行对应的入侵防御，效率更高，误报更少。基于应用：

运用多种技术手段，准确识别包括移动应用及 Web 应用内的 6000+应用协议及应用的不同功能，继而进行访问控制和业务加速。例如：区分微信的语音和文字后采取不同的控制策略。基于用户：

通过 Radius、LDAP、AD 等 8 种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS 管理和深度防护。基于位置：

与全球位置信息结合，识别流量发起的位置信息；掌控应用和攻击发起的位置，第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据 IP 自定义位置。

➢ 全面的防护范围

越来越多的信息资产连接到了互联网上，网络攻击和信息窃取形成巨大的产业链，这对下一代防火墙的防护范围提出了更高要求。USG6000 具备全面的防护功能：一机多能：

集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身，简化部署，提高管理效率。

入侵防护（IPS）：

超过 3500+漏洞特征的攻击检测和防御。支持 Web 攻击识别和防护，如跨站脚本攻击、

SQL 注入攻击等；防病毒（AV）：

高性能病毒引擎，可防护 500 万种以上的病毒和木马，病毒特征库每日更新；数据防泄漏：

对传输的文件和内容进行识别过滤。可识别 120+种常见文件类型，防止通过修改后缀名的病毒攻击。能对 Word、Excel、PPT、PDF、RAR 等 30+文件进行还原和内容过滤，防止企业关键信息通过文件泄露。 SSL 解密：

作为代理，可对 SSL 加密流量进行应用层安全防护，如 IPS、AV、数据防泄漏、URL 过滤等。 Anti-DDoS：

可以识别和防范 SYN flood、UDP flood 等 10+种 DDoS 攻击，识别 500 多万种病毒。上网行为管理：

采用基于云的 URL 分类过滤，预定义的 URL 分类库已超过 8500 万，阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP 等上网行为进行控制。可对上网记录进行审计。

安全互联：

丰富的 VPN 特性，确保企业总部和分支间高可靠安全互联。支持 IPSec VPN、SSL VPN、 L2TP VPN、MPLS VPN、GRE 等； QoS 管理：

基于应用灵活的管理流量带宽的上限和下限，可基于应用进行策略路由和 QoS 标签着色。支持对 URL 分类的 QoS 标签着色，例如：优先转发对财经类网站的访问。负载均衡：

支持服务器间的负载均衡。对多出口场景，可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。虚拟化：

支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、VPN 等。不同用户可在同一台物理设备上进行隔离的个性化管理。

➢ 简单的安全管理

下一代防火墙的防护范围和控制精度比传统防火墙大大增加，这对使用者的经验和技能提出了更高的要求。华为 USG6000 利用 Smart Policy 功能降低对使用者的要求，更好的进行防护。Smart Policy 主要具备以下功能：快速部署策略：

内置场景策略模板，不依赖使用者的经验也能快速地部署常用防护策略。例如：如果希望使用网络存储，管理员仅需基于“使用网盘”这个策略模板，就能建立一系列策略。在策略中，对网盘类应用允许下载并进行病毒检测，但禁止文件上传。

智能优化策略：

根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化，使其符合最小授权原则。在企业遗留大量端口防护策略，需要转换为 NGFW 使用的应用防护策略时尤其有用。

智能精简策略：

自动发现重复的和长期没有使用的策略，精简策略规模，简化管理；

➢ 高效防护性能

UTM 产品当开启应用层防护时性能下降明显，无法满足当前应用层防护的性能要求。下一代防火墙要求在多重防护的情况下仍保持高性能。

USG6000 系列下一代防火墙采用全新架构的智能感知引擎（ IAE, Intelligence Awareness Engine），采用了一次解析多业务并行处理的架构，确保多重防御下的高性能体验。IAE 使用了三大核心技术：一体化描述语言：

应用识别、IPS、AV 采用统一的描述语言，一次性处理，一次性分析，减少重复的操作；一体化处理架构：不同于 UTM 对各个安全功能串行处理，USG6000 在完成统一解析后，各安全业务检查是并行的，最后做统一处理。每个步骤一次性做好，确保多安全业务开启情况下，对整体性能影响最小；

软硬结合一体化：

对有规律、大批量、高运算能力要求的报文处理，例如：报文加解密、特征匹配，采用专用多核平台由专用的协处理器硬件处理。对小规模的运算，仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。

➢ 组网应用

➢ 企业内网边界防护

在企业内网部门和无线接入的汇聚网络部署下一代防火墙。对 PC 用户通过防火墙策略基于用户信息进行访问控制。

对移动用户采用基于用户+应用的策略控制，实现精细权限管理，并记录日志。

对邮件、IM、文件传输等进行内容过滤和审计，监控社交类应用，避免数据泄露。

➢ 互联网出口防护

在互联网出口部署下一代防火墙，在出口进行访问控制，阻止一切非认证访问。启用入侵防御功能，提供万兆级应用层威胁实时防护。

对邮件、IM、文件传输等进行内容过滤和审计，监控社交类应用，避免数据泄露。基于用户、应用、时间进行 QoS 管理，优先保障核心用户和关键业务的服务质量。通过 URL 分类和应用阻断进行上网行为管理。阻断挂马网站和工作无关网站，根据角色监控员工可以访问的网站和可以使用的网络应用。

➢ 云数据中心边界防护

数据中心出口部署下一代防火墙，进行安全业务和系统资源的虚拟化特性，可为每个虚拟环境提供超乎寻常的安全体验。

万兆级入侵防御可有效阻断各类黑客攻击，并可根据不同的虚拟环境需求，提供差异化的防御特性，保障数据安全。通过 Anti-DDoS 特性，对拒绝服务攻击流量进行清洗，保障数据中心对外业务。

➢ VPN 远程互联

通过下一代防火墙的 VPN 接入，在互联网上构建一条可信、可控、可管的安全传输隧道。在外人员和移动用户可通过 SSL VPN 接入，提供 Windows、IOS、Android、Blackberry，

Symbian 多种操作系统支持，提供泛终端的接入能力。

 产品规格

型号固定接口扩展槽位 USG6350 4GE+2Combo 2*WSIC WSIC: 2×10GE（SFP+）+8×GE（RJ45)、8×GE（RJ45）、8×GE（SFP） 4×GE（RJ45）BYPASS 1U 10kg 选配 300GB 单硬盘，支持热插拔选配 100～240V 170W 温度：0~45℃(不含硬盘)/5℃～40℃ (包含硬盘) 湿度：10%～90% 温度：-40℃～70℃ /湿度：5%～95% 接口模块类型产品形态满配重量 HDD 冗余电源电源 AC 最大功率、

尺寸（W×D×H）mm 442×421×43.6 工作环境非工作环境

2.9.2 核心交换机

 S9706

产品概述

S9700 系列交换机是华为公司面向下一代园区网核心和数据中心业务汇聚而专门设计开发的高端智能 T 比特核心路由交换机。该产品采用先进的多层交换架构，提供持续的带宽

升级能力，支持 40GE 和 100GE 以太网标准。该产品基于华为公司自主研发的通用路由平台

VRP 开发，在提供高性能的 L2/L3 层交换服务基础上，进一步融合了 MPLS VPN、硬件 IPV6、桌面云、视频会议、无线等多种网络业务，提供不间断升级、不间断转发、硬件 OAM/BFD、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。

通过部署内置华为首款以太网络处理器 ENP 的 X1E 单板， S9700 可以升级为敏捷交换机，客户可以享有敏捷交换机带来的创新体验。

S9700 系列提供 S9703、S9706、S9712 三种产品形态。

 产品特性

S9700 升级为敏捷交换机，让网络更敏捷地为业务服务

S9700 支持随板 AC，业务单板同时兼具无线 AC 功能，无需额外购买 AC 硬件；整机最大可管理 2K AP，32K 用户；整机转发性能可达 T-bit，解决外置 AC 处理性能瓶颈，助力客户从容面向高速无线时代。

S9700 支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异，支持

PPPoE/802.1X/MAC/Portal 等多种认证方式，支持对用户进行分组/分域/分时的管理，用户、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。 SVF2.0 超级虚拟交换网，创新实现不仅将盒式交换机纵向虚拟为框式交换机板卡，而且将 AP 纵向虚拟为框式交换机的端口，使得原来“核心/汇聚+接入交换机+AP”的网络架构，虚拟化为一台设备进行管理，提供业界最简化网络管理方案。 iPCA 网络包守恒算法，改变了传统利用模拟流量做故障定位的检测模型，可对任意业务流随时随地逐点检测网络质量，无需额外开销；可在短时间内立刻检测业务闪断性故障，检测直接精准到故障端口，实现从“粗放式运维”到“精准化运维”的大转变。

S9700 支持 Service Chain 业务编排功能，Service Chain 对网络增值业务处理能力(如下一代防火墙 NGFW)进行虚拟化，以便园区网络实体(如交换机、路由器、AC、AP、终端设备)可以无差别的利用这些能力，而不受物理位置的约束，提供一种更灵活部署园区增值业务的解决方案，减少客户设备投资和维护成本。

➢ 创新的 CSS 集群技术

S9700 支持 CSS 交换网集群和业务口集群，将多台设备虚拟化为一台逻辑设备，在可靠性、交换效率、灵活性和易管理性方面具有强大的优势。

可靠性：通过路由热备份技术，实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大地增强了设备的可靠性和性能，同时可以通过跨框链路聚合提高链路的利用率，消除单点故障，避免了业务中断；

交换效率：创新的 CSS 交换网集群技术，克服了业界普遍采用的线卡集群跨框多次交换，交换效率低下的架构难题；灵活性：普通业务端口可以复用为集群端口，使端口应用更加灵活。通过光纤进行集群可大幅增加集群的距离，突破了传统集群距离的；

易管理性：整个弹性架构共用一个 IP 管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本；

➢ 运营级高可靠性设计

S9700 所有关键器件，如主控、电源、风扇等均采用冗余设计，所有模块均支持热插拔，有效保证网络稳定运行。 S9700 支持硬件级 3.3ms 高精度 BFD 快速链路检测功能，能为静态路由

/RIP/OSPF/BGP/ISIS/VRRP/PIM/MPLS 等协议提供稳定均匀的毫秒级检测机制，大大提高了网络可靠性。

S9700 支持快速自愈保护技术 HSR(High-speed Self Recovery )，基于华为 ENP 板卡，独家实现端到端 IP MPLS

承载网 50ms 倒换保护，进一步提升网络可靠性。

S9700 支持硬件级以太 OAM，包括完善的 802.3ah、802.1ag 和 ITU-Y.1731，能够对网络传输中的时延、抖动等参数进行精确统计，实时监测网络运行情况，并在设备故障发生时快速定位实现网络快速故障检测、定位与倒换。

S9700 支持 ISSU 业务运行中软件升级，设备软件升级过程中确保关键业务和服务不中断。支持优雅重启技术(Graceful Restart)，实现 NSF 无中断转发，有效保证全网高速可靠运行。

➢ 强大的业务处理能力

多业务路由交换平台，满足企业接入、汇聚、核心业务承载要求，支持无线、语音、视频和数据应用，为企业提供高可用、低时延、全业务的一体化网络解决方案。

支持分布式 L2/L3 MPLSVPN 功能，支持 MPLS、VPLS、HVPLS、VLL，满足企业 VPN 等用户的接入需求。

完善的二、三层组播协议，支持 PIM SM、PIM DM、PIM SSM、MLD、IGMP Snooping，满

足多终端高清视频监控和视频会议接入需求。

软件平台提供多种路由协议满足企业建网要求，支持从中小企业到超大型公司级大规模路由，支持 IPv6，能够为企业网络提供平滑升级能力。

➢ 丰富的网络流量分析功能

S9700 支持 Netstream 网络流量分析，支持 V5/V8/V9 多种报文格式，支持聚合流量模板，实时流量采集、动态报表生成、属性分析、流量异常告警等功能；支持向主、备分析服务器同时发送日志，防止统计信息丢失。能够提供实时的网络监控功能和全网范围内的流量模式，并提供预先故障检测、高效故障排除和快速问题解决功能，提供安全监控等应用和分析，帮助用户及时优化网络结构、调整资源部署。

➢ 完善的安全保护机制

S9700 支持 MACsec，提供逐跳设备的数据安全传输，适用于、金融等对数据机密性要求较高的场合。

NGFW 新一代防火墙业务处理板，在提供传统防火墙、身份认证、Anti-DDoS 等基础防御功能外，同时支持 IPS、反垃圾邮件、Web 安全、应用控制等专业安全功能。

提供完善的NAC 解决方案，支持 MAC 地址认证、Portal 认证、802.1x 认证、DHCP Snooping触发认证多种认证方式，有效应

对哑终端接入、移动设备接入和集中式 IP 地址分配等多种接入方式的安全挑战，确保企业网络安全。

提供 2 级 CPU 保护机制，支持 1K CPU 硬件保护队列，可实现数据和控制的分离处理，防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁，提供业界领先的一体化安全解决方案。

➢ 全面的 IPv6 解决方案

S9700 软硬件平台均支持 IPv6，取得工信部 IPv6 入网认证和 IPv6 Ready 第二阶段金色认证。

S9700 全面支持 IPv6 静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等 IPV6 单播路由协议，支持 MLD v1/v2、MLD Snooping、PIM-SM/DMv6、PIM-SSMv6 等 IPv6 组播特性，为用户提供完善的 IPv4/IPv6 解决方案。

S9700 支持丰富的 IPv4 向 IPv6 过渡技术包括：IPv6 手工隧道、6to4 隧道、ISATAP 隧道、GRE 隧道、IPv4 兼容自动配置隧道等隧道技术，保证 IPv4 网络向 IPv6 网络的平滑过渡。

➢ 创新节能打造绿色低碳网络

S9700 采用主机前后及左后风道设计，提高整机散热效率，采用芯片“变流”技术，实现按流量动态调整功率，降低整机功耗 11%。支持端口休眠，无流量不耗电。

风扇分区控制，进一步降低功耗和噪声污染，智能风扇调速策略，采用小区间控温技术，有效降低转速，并延长风扇使用寿命。

支持 IEEE 802.3az 能效以太网标准，线卡收发器具备低功率闲置模式，支持正常工作与低功率状态快速转换，低流量低功耗网络的平滑过渡。

 设备参数

项目交换容量包转发率业务槽位无线管理用户管理 iPCA 质量感知 S9706 15.04Tbps/67.2Tbps 2880Mpps/20880Mpps 6 支持随板 AC 支持AP 接入控制、AP 域管理和AP 配支持射频模板管理、统一静态配置和集支持WLAN 基本业务、QoS、安全和用支持有线无线统一用户管理支持PPPoE、802.1X、MAC、Portal 认支持基于流量、时长和 DAA（按照目的支持分组分域分时授权方式支持直接对业务报文标记以获得丢包支持二三层网络网络级和设备级丢包支持将 AS（接入交换机）、AP 虚拟为SVF2.0 简化运维支持 2 层 AS 支持与第三方厂商混合组网管理支持Access、Trunk、Hybrid 方式支持default VLAN 支持VLAN 交换支持QinQ、增强型灵活 QinQ 支持基于 MAC 的动态 VLAN 分配 VLAN MAC 地址功能支持MAC 地址自动学习和老化 IP 路由组播 MPLS 可靠性支持静态、动态、黑洞 MAC 表项支持源 MAC 地址过滤支持基于端口和 VLAN 的MAC 地址学支持STP(IEEE 802.1d)，RSTP(IEEE 支持BPDU 保护、Root 保护、环路保护支持BPDU Tunnel 支持ERPS 以太环保护协议（G.8032）支持RIP、OSPF、ISIS、BGP 等IPv4 支持RIPng、OSPFv3、ISISv6、BGP4+支持IGMPv1/v2/v3、IGMP v1/v2/v3 支持 PIM DM、PIM SM、PIM SSM 支持MSDP、MBGP 支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功能支持组播 CAC 支持组播 ACL 支持MPLS 基本功能支持MPLS OAM 支持MPLS TE 支持MPLS VPN/VLL/VPLS 支持LACP、支持跨设备 E-Trunk 支持VRRP、BFD for VRRP 支持 BFD for BGP/IS-IS/OSPF/静态路支持 NSF、GR for 支持TE FRR、IP FRR 支持以太网OAM 802.3ah 和 802.1ag(硬支持快速自愈保护技术 HSR 支持 ITU-Y.1731 QoS 配置与维护安全和管理增值业务能力* 支持DLDP 支持运行中软件升级 ISSU 支持基于 Layer2 协议头、Layer3 协议、Layer4 协议、支持ACL、CAR、Remark、Schedule 等支持SP、WRR、DRR、SP+WRR、支持WRED、尾丢弃等拥塞避免机制支持H-QOS 支持流量整形支持Console、Telnet、SSH 等终端服务支持SNMPv1/v2/v3 等网络管理协议支持通过 FTP、TFTP 方式上载、下载文支持BootROM 升级和远程在线升级支持热补丁支持用户操作日志 802.1x 认证，Portal 认证支持MACSec 支持NAC 支持RADIUS 和 HWTACACS 用户登录命令行分级保护，未授权用户无法侵入支持防范 DoS 攻击、TCP 的 SYN 支持 1K CPU 通道队列保护支持ICMP 实现ping 和 traceroute 功能支持RMON 支持Firewall 功能支持NAT 功能支持Netstream 功能支持IPSec 功能支持负载均衡功能支持无线 AC 控制器支持IPS 入侵防御系统互通性 VBST 基于 VLAN 生成树协议（和 PVST/PVST+/RPVST 互通 LNP 链路类型协商协议（和 DTP 相似功能） VCMP VLAN 集中管理协议（和 VTP 相似功能）支持 802.3az 能效以太网）

绿色节能机箱重量（空配）

2.9.3 接入交换机

工作电压整机供电能力机箱尺寸 mm（高*宽*深） 441.7*442*4 29kg DC：–40V～–72V AC：90V～290V 4400W

S5700-28C-EI

 产品概述

S5700-EI 增强型千兆以太网交换机系列（以下简称

S5700-EI），是华为公司自主研发的千兆以太网交换机，提供灵活的全千兆接入以及万兆上行端口。该系列交换机基于新一代高性能硬件和华为公司统一的 VRP（Versatile Routing Platform）软件平台，具有智能

iStack 堆叠，杰出的网流分析，灵活的以太组网，完善的 VPN 隧道，多样的安全控制，成熟的 IPv6 特性，轻松的运行维护，更多的端口组合等特点。广泛应用于企业园区接入、汇聚，数据中心千兆接入等多种应用场景。

 产品特性和优势

➢ 更多的端口组合

S5700-EI 支持多种上行扩展插卡，提供高密度的 GE/10GE 上行接口。其中 S5710-EI 系列具有 4 个固定 10GE SFP+端口，通过上行扩展插卡可实现 ×GE＋4×10GE，48×GE＋8

×10GE，或 56×GE＋6×10GE 等不同端口组合，充分满足不同用户对带宽升级的实际需求，保护用户投资。

➢ 完善的 VPN 隧道

S5700-EI 支持 Multi-VPN-Instance CE（MCE）功能。S5700-EI 支持下接不同的 VPN用户，通过路由多实例，实现了不同用户的隔离；上行通过共用的物理接口连接到 PE 设备，减少单个 VPN 用户对网络部署的投资。

S5710-EI 支持 MPLS L3VPN、MPLS L2VPN(VPWS\\VPLS)、MPLS-TE、MPLS QoS 等功能，可

作为高质量企业专线接入设备，是业界为数不多的高性价比盒式 MPLS 交换机。

➢ 灵活的以太组网

S5700-EI 不仅支持传统的 STP/RSTP/MSTP 生成树协议，还支持华为自主创新的 SEP 智能以太保护技术和业界最新的以太环网标准 ERPS。SEP 是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供 50ms 的快速业务倒换。ERPS 是 ITU-T 发布的 G.8032 标准，该标准基于传统的以太网 MAC 和网桥功能，实现以太环网的毫秒级快速保护倒换。

S5700-EI 支持 SmartLink 和 VRRP 功能。S5700-EI 通过多条链路接入到多台汇聚交换机上，SmartLink/VRRP 实现了上行链路的备份，极大地提升了接入侧设备的可靠性。

S5700-EI 支持多种连接故障快速检测功能。 S5700-EI

支

持

完

善

的

以

太

OAM

(IEEE802.3ah/802.1ag/ITU Y.1731)和 BFD 功能。

➢ 多样的安全控制

S5700-EI 支持 MAC 地址认证和 802.1x 认证，实现用户策略（VLAN、QoS、ACL）的动态下发。支持基于端口粒度的 dot1X、MAC 认证和混合认证；支持基于 VLANIF 接口粒度的Portal认证。

S5700-EI 支持完善的 DoS 类防攻击、用户类防攻击。其中，DoS 类防攻击主要针对交换机本身的攻击，包括 SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及 DHCP 服务器仿冒攻击、IP/MAC 欺骗、DHCP request flood、改变 DHCP CHADDR 值等等。

S5700-EI 通过建立和维护 DHCP Snooping 绑定表，对不符合绑定表项的非法报文直接丢弃。利用 DHCP Snooping 的

信任端口特性，S5700-EI 还可以保证 DHCP 服务器的合法性。 S5700-EI 支持 ARP 表项严格学习功能，可以防止因

ARP 欺骗攻击将交换机 ARP 表项占

满，导致正常用户无法上网。

➢ 杰出的网流分析

S5710-EI 支持 NetStream 网络流量分析功能。作为网络流量输出器，S5710-EI 根据用户配置，实时采集指定的数据流量，通过标准的 V5/V8/V9 报文格式，将数据上送给网络流

量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。

S5700-EI 支持 sFlow 功能。S5700-EI 按照标准定义的方式，对转发的流量按需采样，并实时地将采样流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供了极大的方便。

➢ 轻松的运行维护

S5700-EI 支持华为 Easy Operation 简易运维方案，提供新入网设备 Zero-Touch 安装、故障设备更换免配置、USB 开局、设备批量配置、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700-EI 支持 SNMP V1/V2c/V3、CLI

（命令行）、Web 网管、SSHv2.0 等多样化的管理和维护方式；支持 RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。

Easy Deploy：Commander 交换机收集下挂 Client 的拓扑信息，并基于拓扑保存 Client对应的启动信息；支持 Client 免配置更换。支持对 Client 批量下发配置和脚本，并支持对配置下发结果进行查询。

Commander 交换机支持收集并显示整网能耗信息。

S5700-EI 支持 GVRP，实现 VLAN 的动态分发、注册和属性传播，减少手工配置量，保证配置正确性。S5700-EI 还支持 MUX VLAN 功能，MUX VLAN 分为主 VLAN 和从 VLAN，从 VLAN又分为互通型从 VLAN 和隔离型从 VLAN。主 VLAN 与从 VLAN 之间可以相互通信；互通型从

VLAN 内的端口之间互相通信；隔离型从 VLAN 内的端口之间不能互相通信。

➢ 智能 iStack 堆叠

S5700-EI 智能 iStack 堆叠，将多台支持堆叠特性的交换机组合在一起，从逻辑上组合成一台虚拟交换机。iStack 堆叠系统通过多台成员设备之间冗余备份，提高了设备级的可靠性；通过跨设备的链路聚合功能，提高了链路级的可靠性。iStack 提供了强大的网络扩展能力，通过增加成员设备，可以轻松地扩展堆叠系统的端口数、带宽和处理能力。iStack简化了配置和管理，堆叠形成后，多台物理设备虚拟成为一台设备，用户可以通过任何一台成员设备登录堆叠系统，对堆叠系统所有成员设备进行统一配置和管理。

➢ 成熟的 IPv6 特性

S5700-EI 基于成熟稳定的 VRP 平台，支持 IPv4/IPv6

双协议栈、IPv6 路由协议

（RIPng/OSPFv3/BGP4+/IS-ISv6）、IPv6 over IPv4 隧道（手工隧道/6to4 隧道/ISATAP 隧

道）。S5700-EI 既可以部署在纯 IPv4 或 IPv6 网络，也可以部署在 IPv4 与 IPv6 共存的网络，充分满足网络从 IPv4 向 IPv6 过渡的需求。

 产品规格

项目固定端口扩展插槽 MAC 地址表 VLAN 特性可靠性 S5700-28C-EI 24×10/100/1000Base-T S5700C 提供两个扩展插槽，分别支持上遵循 IEEE 802.1d 标准支持 32K MAC 地址容量支持 MAC 地址自动学习和老化支持静态、动态、黑洞 MAC 表项支持源 MAC 地址过滤支持 4K 个 VLAN 支持 Guest VLAN、Voice VLAN 支持 GVRP 协议支持 MUX VLAN 功能支持基于 MAC/协议/IP 子网/策略/端支持 1:1 和 N:1 VLAN Mapping 功能支持 RRPP 环型拓扑和RRPP 多实例支持 SmartLink 树型拓朴和SmartLink 支持智能以太保护 SEP 协议支持 ERPS 以太环保护协议（G.8032）支持 BFD For OSPF/IS-IS/VRRP/PIM 支持STP(IEEE 802.1d)，RSTP(IEEE 802.1w)和MSTP(IEEE 支持 BPDU 保护、根保护和环回保护 S5710-EI 支持下列特性：支持 MPLS L3VPN IP 路由支持 MPLS L2VPN(VPWS/VPLS) 支持 MPLS-TE 支持 MPLS QoS 静态路由、RIPv1/2、RIPng、OSPF、组播 QoS/ACL 安全特性 IS-ISv6、BGP、BGP4+、ECMP、路由策略支持 ND（Neighbor Discovery）支持 PMTU 支持 IPv6 Ping、IPv6 Tracert、IPv6 支持 6to4、ISATAP、手动配置tunnel 支持基于源 IPv6 地址、目的IPv6 地支持 MLD v1/v2 snooping（Multicast 支持 IGMP v1/v2/v3 Snooping 和快速支持 VLAN 内组播转发和组播多 VLAN 支持捆绑端口的组播负载分担支持可控组播支持基于端口的组播流量统计支持 IGMP v1/v2/v3、PIM-SM、支持 MSDP 支持对端口入方向、出方向进行速率限支持报文重定向支持基于端口的流量监管，支持双速每端口支持 8 个队列支持 WRR、DRR、SP、WRR＋SP、支持 WRED（S5710-EI 支持）支持报文的 802.1p 和DSCP 优先级重新支持 L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源 MAC 地址、目支持基于队列限速和端口整形功能用户分级管理和口令保护支持防止 DOS、ARP 攻击功能、ICMP 支持 IP、MAC、端口、VLAN 的组合支持端口隔离、端口安全、Sticky MAC 支持 MFF 支持黑洞 MAC 地址支持 MAC 地址学习数目支持 IEEE 802.1x 认证，支持单端口最大用户数支持 AAA 认证，支持Radius、HWTACACS、NAC 等多种方式支持 SSH V2.0 支持 HTTPS 支持 CPU 保护功能支持黑名单和白名单支持智能堆叠 iStack 支持虚拟电缆检测(Virtual Cable Test) 支持 SNMPv1/v2c/v3 支持 RMON 支持网管系统、支持 WEB 网管特性支持系统日志、分级告警支持 NetStream(S5710-EI 支持) 支持 sFlow VBST 基于VLAN 生成树协议（和 PVST/PVST+/RPVST 互通 LNP 链路类型协商协议（和DTP 相似功能） VCMP VLAN 集中管理协议（和VTP 相似功能）工作温度：0 OC～50 OC 相对湿度：5%～95%（无凝露） AC：额定电压范围：100-240V AC；50/60Hz 最大电压范围：90-2V AC；47/63Hz DC：额定电压范围：-48- -60V DC 最大电压范围：-36- -72V DC 注明：PoE 机型无 DC 电源 442×420×43.6 非 PoE 款型：<60W PoE 款型：<842W (PoE：740W) 管理和维护互通性环境要求输入电压外形尺寸mm（宽×深×高）功耗

）

2.9.4 网络回溯分析系统

 产品概述

随着网络规模的日益增大和网络问题的日趋复杂，单一的网络分析终端将无法有效胜任对整网的全面分析。科来网络回溯分析系统用分布式远程管理和历史数据回溯分析的方法解决便携式网络分析系统的不足。它采用科来自主设计研发的第三代网络分析引擎，提供千兆网络流量数据采集、存储，历史数据挖掘与回溯分析，并支持与便携式网络分析系统进行联动，对挖掘的网络数据进行精细化诊断与分析。通过在网络的多个流量汇聚点，如二、三层交换机处采集流量，进行分段分析，并将分析结果传回进程控制台，使得网络管理人员可以从容地实现远程管理和分析。

 系统组成

本系统网络部署拓扑示意图如下所示：

➢ 分析服务器

分析服务器主要负责所处网段的流量采集、分析和存储，通过对各网络对象进行详细的数据统计，对网络可能存在的潜在问题迚行诊断预警，它是整个系统的核心部分。它负责接收控制台的各种命令请求，并将结果实时的返回给控制台。

➢ 控制台

控制台主要负责人机交互，当成功连接到分析服务器之后，控制台将把该分析服务器所分析的各种数据以友好方式显示出来。网络管理员通过控制台可以连接到不同支干网中的分析服务器，通过查看分析服务器提交回来的数据，来了解和掌握该支干网的网络状况。控制台还负责指定分析服务器的远程管理和配置，控制台与分析服务器可以建立多对多的连接。分析服务器的部署点和数量选择要根据网络规模和分析范围而定，通常要求在每个支干网的核心交换点至少部署一台分析服务器，控制台则可以在任意一点，甚至在上通过加密通道连接到分析服务器。

 系统架构

 主要功能价值

网络回溯分析系统能够实现在关键网络的分布式长期实时分析能力，其主要的功能与价值如下：

➢ 将全网可视化、透明化，解决“黑盒”运维

通过回溯系统对链路进行长期监控，对其总体流量参数进行分析、统计和长期保存，如总流量、广播/组播流量、上行/下行流量、数据包、利用率、TCP 同步数据包数、TCP 同步确认数据包数、TCP 同步重置数据包数等多种网络基本流量数据统计，建立整个网络的全景运行信息图，并生成准确的网络基线，掌握全网运行状态，洞悉关键业务应用状况，及时发现网络中的异常流量，大力提升运维效率，解决“黑盒运维”。

数据流可视化、

透明化

应用负载实时

监测

网络数据回溯

分析

➢ 网络异常和安全隐患预警和分析

随着网络的发展，网络安全的重要性越来越凸显，而现在的攻击手段越来越高明，隐蔽性也越来越强，如果再继续单纯依靠特征库匹配的方式，已经无法满足现阶段安全检测的需求。

回溯分析通过对海量数据的存储、数据包解码分析、利用网络行为特征来实现对安全事件的检测。系统根据各种安全威胁的网络行为特性分析，及时检测链路中的 ARP 攻击、蠕虫病毒、DoS 攻击、TCP 端口扫描、木马等安全威胁。

网络异常和安全威胁预警

➢ 异常流量安全分析

快速定位故障源头

网络回溯分析系统，是网络世界的“全球眼”，就像一个摄像头，实时采集、监控经过网络的流量，并提供了强大的分析能力和丰富的警报功能。网络回溯分析系统是以网络中最底层的数据包为基础，提供了快速、高效的诊断视图，大大提高了对网络故障的响应时间。

层次化、智能化的故障诊断视图

网络回溯分析技术进行故障诊断有两个特点：

 回溯分析，可以提供故障前、中、后的全景分析能力。数据包分析，把故障定位到数据包级别，使故障定位更加准确、透彻。

 而网络回溯分析系统支持 7*24 小时不间断监控,可以保障在故障发生前、故障发生时以及故障发生后进行全方位监控。

故障前

基于流量峰值、TCP 新建会话、响应失败等参数实时报警，及时发现异常，在故障发生前进行有效规避，避免或减少网络故障损失。网络回溯分析技术实现了对网络的长期监控，深入掌握网络运行趋势、流量特征，建立针对自身网络流量模型。建立网络流量模型后，可以基于 IP、应用、会话、内容等参数建立阈值或特征值报警功能,一旦流量出现异常,则实时报警。故障中

基于警报、流量、应用、会话快速定位异常主机，使故障影响降到最低。网络回溯分析技术提供了实时报警功能，并智能定位到引起故障的异常主机；实时展现网络流量、TCP 会话信息，从流量特征中快速定位出异常主机。从海量数据中，实时定位异常主机，提供深入分析能力，大大提高了对故障排除的响应时间。故障后

基于时间、IP 和应用的回溯，重现故障发生时流量，摆脱了网络故障时隐时现无法彻底清查的窘境。一些间歇性网络故障，由于其无固定的发生时间，很难实现跟踪和重现，无

法了解其故障发生根源，从而长期存在网络之中。网络回溯分析系统，长期部署在网络之中，提供了基于时间的回溯分析能力，实现了故障的事后分析能力。“昨天晚上发生的故障，今天早上仍然可以分析”，极大的方便了网络管理工作。

➢ 历史数据回溯和取证

科来网络回溯系统具有 7*24 小时数据包捕获存储能力（历史数据包存储时间依据客户的实时通讯流量以及回溯设备的存储空间大小而定），将网络中所有通讯数据包进行完整存储。当发现网络中出现突发流量或异常流量时，及时回溯分析该时段的流量，能够及时掌握网络异常的原因，避免问题的进一步扩大。同时，对于发生的历史问题，能够快速提取该时段数据进行历史数据精细分析，不管是突发流量检测还是历史数据回溯，一切都变得轻而易举。 1.基于时间的数据挖掘与数据检索

提供针对任意时间范围内的网络通讯数据的挖掘与检索能力，能够针对应用、主机、会话的关联数据进行挖掘，并能够最终检索到相应的原始通讯数据，帮助用户快速定位挖掘特定分析目标的网络通讯数据。

基于时间进行数据挖掘

2.多角度，多层次的挖掘分析

系统提供从网络应用、交易统计、IP 地址、网段统计、物理地址和 IP 会话等多个角度进行数据挖掘，能直观地看到各网络对象间的关联关系和数据统计结果。如通过某个网络应用可挖掘出其下的 IP 地址，再到 IP 地址下的会话和最底层的数据包，层层递进，逐级挖掘。系统还支持在各层次间进行快速跳转，可方便的回溯至任意挖掘路径节点。

基于 IP 会话开展多角度的关联分析

3.问题的追溯分析

科来网络回溯分析系统能长期记录保存所有访问运系统以及各业务系统各主机间的通讯数据，一旦出现异常，能够将存储的数据包提取出来进行分析，提供有效的分析依据。 4.安全问题的分析取证

一旦出现安全事件，可以通过详细的数据分析来对当时的网络访问和所有通讯数据进行深入分析，完整记录通讯对象的历史通讯数据，不漏过任何蛛丝马迹

提供直接有效的分析依据和证据。

基于回溯的数

字取证

➢ 链路流量梳理

回溯分析系统的应用自定义功能，提供基于 IP、端口、URL、数据流特征等多种方式的应用自定义，能对网络链路中的业务系统进行梳理，准确掌握各业务系统的流量情况。通过对链路流量的梳理，可以实现以下功能：

1. 减少网络中的未知流量，可以第一时间发现网络中任何非业务流量或者新上线业务；

2. 提供快速检索、逐层挖掘，掌握所有网络业务的详细会话信息；

3. 掌握每种业务流量的历史基准、趋势变化，为业务规划提供准确的依据；

4. 掌握应用交易的详细通信过程，当业务交易失败时，能进行挖掘分析，定位准确的故障原因。

挖掘应用交易的详细过程是业务排障的重要手段

➢ 业务性能监控

科来网络回溯分析系统能够实现对业务流量的梳理，实现对关键业务性能的实时监控分析。通过对业务交易过程中的网络延时、服务器响应时间、丢包率、重传率等关键性能参数的监控，实现对业务系统的重点监控分析，从而及时发现业务性能异常。

业务关键性能参数监控

系统支持对用户指定的自定义应用进行实时监控和质量分析，能够实时分析应用流量的通讯质量参数，监控应用系统的网络传输质量，包括：传输层 RTT 延时、丢包/重传统计、会话发起量、会话异常中断量等等。

能够实时分析应用系统的应用层响应时间，包括：服务端应用响应延时、应用请求量统计、数据传输时间统计等等。提供针对应用流量的通讯流量参数进行实时分析，定义监测规则库，实现对重点关注的应用的网络通讯异常告警。

➢ 保护 IT 投资

全面分析网络中从网络设备运行状态、应用流量分布到应用性能状态等多方位情况，让运维人员对局域网的所有情况了如指掌，从而结合网络设备和安全设备制定相应策略，提升网络质量和效率，针对性地开展的业务性能优化，最大程度进行 IT 资源优化配置，保护客户 IT 投资。

 设备参数

指标类型指标项指标RAID 模式 RAID1 管理口 2 个电口最大处理性800Mbps 最大 pps 20 万最大会话数 5 万/秒存储空间 1TB 电源参数最大控制台4 个尺寸电源高 42.4mm×宽 434mm×深 250W 服务器专用电源环境和规范可靠性

电压 AC 220V，50Hz 运行时环境10 °C ~ 35 °C 运行时相对20% ～ 80 % 安全标准中国 CNCA 或 CCC EMC 中国 CNCA 或 CCC（Class A） MTBCF ,600 小时 2.9.5 负载均衡器

F5 BIG-LTM-2000S

 产品概述

BIG-IP 新平台，为更多用户交付更多应用。

F5® BIG-IP®应用交付网络平台可以管理第 4 层到第 7 层的大规模流量负载，通过将高性能交换结构、专用硬件和先进的软件结合在一起，F5 使用户能够在不产生瓶颈的情况下灵活地制定深层的应用决策。借助 BIG-IP 平台的高性能，您可以整合设备，从而节约数据中心的管理成本，同时节约电力、空间和制冷资源，并且这其中仍有改进的空间。通过 BIG-IP 硬件和软件完美的统一运行，BIG-IP 新平台可提供给用户完整的综合应用交付解决方案，为用户的业务提供高可用、快速、安全等保障，并在以下方面得到完美体现。

➢ 性能

 业界最为领先的技术指标(L7 RPS, SSL 和 Compression Throughput)

 从未被超越的 ADC 整合服务能力面对 DDoS 攻击时最强的防护能力最高的性能和电力消耗比

  ➢ 可扩展性

 根据您的业务实时按需扩展

可灵活操作扩展的多租户虚拟化集合实现真正灵活的应用弹性部署和扩展

  ➢ 品质及可靠性

 专为应用交付需求而设计的硬件

运营级别的高质量和高可用保障在线时间拥有全世界领域的用户选择和满意度

为应用交付需求而设计的整合硬件和软件系统

   ➢ 实现高性能和按需扩展

 满足运营级别高可用需求-实现 99.999%高可用能力持续提供多年的产品售后支持

为问题的发现和解决提供实时在线管理系统

   BIG-IP 新平台的主要优点

➢ 利用专用硬件整合您的基础设施

BIG-IP 硬件平台专门为应用交付而设计。一台设备可以配置多种功能，如服务器负载均衡、全球数据中心负载均衡、DNS 服务、接入管理、web 性能优化和 WAN 优化。

➢ 对应用服务器进行卸载

BIG-IP 系统采用高性能 SSL 和压缩硬件以及先进的连接管理功能，将需要大量处理能力的任务从应用服务器中移出，并更高效地使用这些资源。

➢ 保护您的网络安全

具备 ICSA 认证的 BIG-IP 平台拥有 3-7 层防护能力，提供默认全部拒绝的安全模式和一个全面的数据包过滤引擎，能以极为精确的方式接入，并具备业界领先的应用安全防火墙

➢ 降低您的运营成本

利用易于管理的 BIG-IP 硬件所提供的带外管理、前面板管理、热升级、远程引导和 USB支持能力，您可以减少用于进行配置、升级和维护的时间。通过使用获得 80 Plus 金银认证的高效率电源，可以降低您数据中心的电力和冷却成本。

➢ 最大限度的延长运行时间

通过采用热插拔组件、冗余电源、冗余风扇、紧凑型闪存、多重引导支持以及始终开启

的管理功能，您可确保您的关键基础设施是基于可靠硬件而构建的。通过在传统的主/备用配置或水平集群（主/主）配置中部署设备，来实现其高可用性和应用级别的故障恢复能力。

➢ 智能化性能至关重要

过去，性能的衡量单位是吞吐量，但是这并不能准确指出应用交付的复杂需求。连接容量和每秒钟的 7 层交易量对于 ADC 满足现代 Web 应用和基础设施日益增长的需求至关重要。例如，ADC 必须能够处理大量 L4 和 L7 连接，并且在应用层做出更多决策，例如检测并且移除敏感信息，或者转换特定应用的有效负载。BIG-IP 设备拥有必要的智能化和性能，可实现最大数量的应用层决策，同时保护您的数据和基础架构的安全。

➢ 简化您的网络

BIG-IP ADC 设备通过卸载服务器的负载，并且整合设备，来帮您简化网络，从而节约数据中心的管理成本，同时节约电力、空间和制冷成本。

由于 BIG-IP 平台卓越的性能和可扩展性，您在交付要求最高的应用时也能够减少所需的应用交付控制器的数量。通过卸载计算密集型流程，您可以显著减少需要的应用服务器数量。

 BIG-IP 硬件包括

➢ SSL 硬件加速—卸载高成本的 SSL 处理负载，以市场

上最高的 SSL 性能加快密钥交换和批处理加密。

➢ 硬件压缩—能够经济高效地卸载服务器中的流量压缩处理负载，缩短页面加载时间，降低带宽使用量。

➢ OneConnect™连接池—将数百万个 TCP 请求汇聚到数百个服务器端的连接中，增加服务器容量，并确保请求得到高效的处理。

➢ 嵌入式数据加速技术（ePVA）—提供高性能的 L4 吞吐能力和拒绝服务（DoS）攻击防护。ePVA 使用现场可编程门阵列（FPGA）技术，并与 TMOS 和软件紧密集成，能够提供：

➢ 以太网端口与处理器之间的高性能互连

4 层处理卸载，实现领先的吞吐能力并减少软件负载支持硬件加速的 SYN 攻击防护硬件检测并阻挡 20 多种 DoS 攻击

为低延迟协议（例如，财务信息交换(FIX)协议）提供可预测的性能支持

➢ ➢ ➢ ➢  F5 BIG-IP 技术的优势

独特的架构和拥有专利的软硬件创新为 F5 提供了无与匹敌的能力，其中包括：

➢ F5 ScaleN 架构

ScaleN 使您能够利用所有可用的 CPU 资源，实现多个 BIG-IP 设备的虚拟化或者水平集群，从而创建一个有弹性的应用交付网络基础架构，可有效地适应您的业务需求变化。按需扩展—利用按需扩展提高容量和性能，这样，您便可以仅向现有的基础架构配备更强大的处理能力，而无需增加更多的设备，来达到提高容量和性能的目的。通过按需软件许可，最新的 BIG-IP 设备可在各个系列中升级至更高性能的型号。您无需购买新的硬件，按需许可使企业能够确定应用交付服务的最佳规模并支持续增长。

运营扩展——F5 能够采用多租户架构实现应用交付控制器(ADC)服务的虚拟化。该架构可在单个设备上支持大量 BIG-IP 版本和产品模块。多租户设备虚拟化由 F5 独特的虚拟集群多处理(vCMP®)技术提供，使某些硬件平台能够运行多个 BIG-IP 客户端实例。每个 BIG-IP客户端实例看起来和运行时就像是一个物理 BIG-IP 设备，拥有专门分配的 CPU、内存和其他资源。

每个 vCMP 客户端客户采用多租户特性进一步细分，例如分区和路由域，这样可以隔离每个虚拟域上的配置和网络。在每个虚拟域内，您可以采用基于角色的接入系统进一步隔离并保护配置和策略，从而实现更好的管理控制。当把路由域/分区与 vCMP 客户端相结合时，

F5 提供了高密集度的多租户虚拟化解决方案，以扩展到数百个虚拟 ADC（vADC）实例。虚拟化 BIG-IP ADC 服务的能力意味着提供商和企业用户可以基于 BIG-IP 版本进行隔离，实现部门级或基于项目的租用和性能保证，同时管理单个整合的应用交付平台，并提高利用率。

应用扩展—通过使 BIG-IP 全部处于活动状态的方法增加 BIG-IP 资源而提高容量。借助水平集群，您可以对传统冗余设备进行扩展，以消除对昂贵的闲置资源的需求。水平集群通过两种水平扩展形式而实现这一点：应用服务集群—注重应用扩展性和高可用性，和设备服务集群—旨在高效且无缝地扩展 BIG-IP 应用交付服务。应用服务集群在应用层为多达八个设备的高可用集群提供了次秒级故障切换和全面的连接映射，从而提供了高可用的多租户部署。工作负载可以在设备集群或虚拟实例间移动，而不会中断其他服务，而且可以通过扩展来满足业务需求。

设备服务集群可以在全活动部署模式下同步所有设备配置，以实现多达 32 个活动节点之间设备的统一策略部署和执行。这保证了统一的设备配置，有助于简化操作。

➢ F5 TMOS 平台

BIG-IP 设备的核心是 F5 的 TMOS®操作系统，它为实现最佳应用交付而提供了统一的系统，让您具备跨所有服务的全面可视性、灵活性和控制力。您可以利用 TMOS 智能地适应应用及网络的多样化且不断演进的需求。

➢ F5 SYN Check

F5 采用软件 SYN 缓存和硬件 SYN cookie 合作的方法防止大规模 SYN 洪水 DDoS 攻击。这种能力在所有 TMOS 平台上都可以以软件形式实现，并且在某些硬件平台上利用嵌入式包加速(ePVA)字段可编程门阵列(FPGA)提供更高的性能(在 BIG-IP 10200v 设备上达到每秒

8000 万个 SYN cookies)。在检测到 SYN 洪水攻击时，FPGA 打开 SYN Check™功能，以防止无效会话到达服务器，或者耗尽 BIG-IP 设备资源。SYN Check 的独特之处在于，它可以用在单个虚拟 IP/应用上，即如果一个应用受到攻击，其他应用不受影响。F5 是唯一在 L4 和全代理 L7 模式中实施基于硬件的 SYN Cookies 的 ADC。

➢ 下一代 ADC 设备

随着最新 BIG-IP 2000 系列、4000 系列和 7000 系列设备的推出，F5 持续在硬件开发方面投资和创新，以保证即使最苛刻的 Web 应用也能做到高可用、安全且快速。全新 BIG-IP硬件在各个等级 ADC 平台的每秒应用决策数、SSL 处理和硬件压缩方面提供了业界领先的性能。企业和服务提供商可以在单个统一平台上部署多个应用交付服务，卸载 SSL 处理负载，并进行高效整合。此外，由于能够通过软件许可协议从基础设备升级到该系列内更高容量的型号，F5 的产品提供了优异的按需灵活性以适应不断变化的业务需求。

 产品规格

技术端口 CPU 内存存储介质最大并发会话数吞吐量交换背板指标和8 个 10/100/1000MRJ45 以太网端口 2 个可选的 SFP 千兆/万兆光纤端口 Intel 双核（共 4 个处理内核） 8GB RAM 500GB 硬盘 5,000,000 5Gbps 56Gb/s 2.5Gbps *HTTP 压缩 4096 VLAN 个数无 IP 路由表项 550,000 会话数/秒四层处理能力 212,000 会话数/秒七层处理能力支持的虚拟服务器40,000 无 Real Server 包含：2,000 TPS（2K 密钥）最大：2,000 TPS（2K 密钥） 4 Gbps 批量加密提供全面的网络编程端口，支持关键任 API 接口高可用务应用、第三方解决方案和网络流量管理技术高效地结合起来，企业可以实现支持双机热备：专有 Wacthdog 芯片、支持所有基于 TCP/IP 的协议： Spanning Tree (IEEE 802.1d) VLAN（IEEE802.1q） Trunk（IEEE802.3ad） 10BASE-T/100BASE-TX (IEEE 802.3, RMON (RFC 1757) SNMP (1213 MIB-II, 13 Ethernet, 1493 1000BASE-SX (IEEE 802.3z) IP RIP v1 /v2 OSPF BGP TFTP (RFC 783) BootP (RFC 12) BootP (RFC 951) Telnet(RFC 8) VLAN 与 VLAN 支持 802.1q 标准封装协议，链路聚合故障切换支持工业标准 802.3ad 链路聚合，支持 10/100/1000M 端口 10/100/1000 full or half-duplex IP Version 防止 Dos 攻击 *协议层保护安全的管理 RS-232C 控制口尺寸重量电源支持 ipv4 和 ipv6，防止 Dos 攻击,SYNC 攻击以及提供 HTTP（S）,FTP(S)，SMTP 等协议可以通过 HTTPS、SSH 进行安全的远程DB-9 serial connection, female DCE 1.75” (4.45 cm) H x 17” (43.18 cm) W x 1U 行业标准机架安装式机箱 20 磅（9.1 公斤）（单电源）操作环境：运行温度：32°至 104°F (0°至 40℃) 运行相对湿度：40℃时 10 至 90% 包含一个 400W（80+金牌效率）双电源和 DC 可选安全标准： UL 60950-1 第 2 版 CAN/CSA C22.2 No. 60950-1-07 EN 60950-1:2006，第 2 版 IEC 60950-1:2006，第 2 版针对所有 CB 国家评估电磁辐射认证： EN 300 386 V1.5.1 (2010-10) EN 55022:2006 + A1:2007 EN 61000-3-2:2006 EN 61000-3-3:1995 + A1:2000 + A2:2005 EN 55024: 2010 USA FCC Class A 典型功耗输入电压

2.9.6 流量控制器

74W（单电源，110V 输入） 90 –240 VAC +/- 10%，自交换，

 PA-5

产品概述

PA-500 是 Panabit 专门为具备一定规模的企业网络提供的一款高性能、高可用性、功能丰富的出口一体优化设备。PA-500 处理能力为 120Mbps，特别适用于同时在线 500 人以下的企业、、普教、酒店、Wifi 覆盖场馆等客户群体。PA-500 不但可以满足用户对网络流量最细致粒度的可视、可控、可审计的核心需求，同时能够提供业内领先的应用分流、应用负载均衡及其他丰富功能。

 产品特色

➢ 应用识别与流量整形

每时每刻，都有超过 6T 的互联网流量穿越 Panabit 智能应用网关，Panabit 在现网保持着超过 95% 的识别率，可以辨识和控制常见的 13 大类近千种应用。藉由互联网助力，

Panabit 拥有业内最庞大的测试队伍和最全面的测试环境，这是 Panabit 始终保持最快的未知应用样本获取速度、最精确的协议识别率的生态基础。

➢ 开放的数据面操作系统 PanaOS

不同于大多数厂商使用改装过的 Linux/ FreeBSD 等通用操作系统，Panabit 使用自研的数据面操作系统 PanaOS，采用虚拟化技术完成了数据面和控制面分离，从驱动、内存管理到任务调度等数据面核心任务都由 PanaOS 一肩承担。利用虚拟化 OS 技术，PanaOS 赋予了系统永不宕机超高稳定性。路由、NAT、负载均衡、应用识别与控制等关键基础设施内置 PanaOS 之中，为用户提供一体化解决方案提供了坚实基础。

➢ 超高处理性能

Panabit 智能应用网关的高性能及高稳定性早已获得业内公认，特别是在铁通、移动、广电等多个城域网 10G 节点案例中用实际表现赢得用户一致好评。在企业用户群体， Panabit 以技术指标 100%线上可达、功能默认全开而不导致网络延迟卡慢、配置使用灵活、设备升级扩容便捷而著称。

➢ 应用路由与负载均衡

业内率先提出并实现应用路由和应用负载均衡，以应用协议为调度实体，将数据流量路由到指定的链路和目标地址，并基于应用特性进行有针对性的负载均衡，最高支持多达 500条 WAN 线路。

➢ 协议定向优化智能 DNS 管控：

DNS 实际是互联网上最脆弱的基础设施，通过DNS 重定向、劫持、丢弃等动作，实现应急恢复网络、信息推送、缓解 DNS 服务器压力、形成类 CDN 机制、域名封锁、保护服务器安全、镜像缓存、多运营商入口地址智能解析等效果。 HTTP 管控：

URL 重定向、Web 信息提示、 HTTP 文件类型控制、

HTTP 浏览/发帖动作控制、 HTTP 请求报文镜像，支持第三方 URL 库。

➢ 用户实时信息

Panabit 轻松应对实时海量数据的应用识别、策略处理、监控统计、报表输出。即使是在单向 10GE 满负载环境下，仍可对最高 50 万在线 IP 进行实时查询每一个 IP 当前的应用概况、连接信息、虚拟身份、共享用户、移动终端等深度信息。

➢ 更精准的日志审计

基于业内最精准的应用识别率，Panabit 提供显著超越传统 4 层设备的包含 7 层信息细粒度日志，并具备无可比拟的低漏报/误报率。在当前相关部门对于敏感应用事件逐渐提高关注度的背景下，对比非 DPI 专业厂商更加满足 82 号令要求。

 产品功能

➢ 流量管理

 最精确的 DPI 应用识别

基于应用、IP、链路、流向、群组、个体、共享设备数、在线用户数、时间

 等多重机制灵活组合的带宽管理策略

 数据通道应用优先级单 IP 限速动态 IP 限速

➢ 分析统计

实时统计、流量构成、在线用户数、共享用户数、新建会话数、TOP 应用、TOP IP、用户深度信息、移动终端识别、趋势图表、对比分析

➢ 一体化网关

应用路由、负载均衡、智能 DNS、NAT、PPPOE、认证、DHCP、HTTP 访问控制、MAC 绑定、DDNS、配置同步、权限分级、管理日志、系统告警

➢ 安全防护

应用并发连接数、伪 IP 防护、内网异常流量源实时追溯、垃圾包过滤、SYN Flood

➢ 日志审计

流量日志、应用日志、IP 日志、NAT 日志、流量流向、用户行为分析、域名统计、事件日志（微博、 QQ、URL、淘宝、POP3、Radius 认证拒绝…）

➢ 高可用性

双 OS 备份与 Bypass 双重保障机制

 产品参数

指标 PA-500 吞吐量（最大） 120Mbps DPI 并发连接数 150000 NAT 并发连接数 75000 在线 IP 数（最大） 500 新建连接数 50000/ 秒包转发速率 2000000/ 秒 PPPOE 帐户数 500 负载均衡链路数 >500 条管理接口（）千兆电口 *1 数据接口（标配）千兆电口 *5 电源规格 150W 单电源外形尺寸（W*D*H，1U （428*338*44.5）重量 3.4KG 工作温度工作湿度

2.9.7 入侵检测系统

0-40 5-95%（不结露）

 产品概述

McAfee IntruShield 具有高自动化和易管理性，设计灵活，能够分阶段执行，这就克服了老旧入侵检测系统中固有的误报率，也使用户能够开发出合适的策略，以阻止独特 IT基础架构中的攻击。

IntruShield 基于完整的攻击分析方法而构建，并引入了业界最为全面的网络攻击特征检测、异常检测以及拒绝服务检测技术，除了可以探测已知攻击，还可以探测未知蠕虫和后门程序，抵御拒绝服务攻击。（1）防护已知攻击

为了实现高性能的网络攻击特征检测，IntruShield 体系结构不仅采用了创新的专利技术，而且集成了全面的状态检测引擎、完善的特征规范语言、“用户自定义特征”以及实时特征更新，确保了 IntruShield 能够提供并维护业界最为全面、更新最及时的攻击签名数据库。

（2）异常检测-防护未知攻击

异常检测技术为 IntruShield 体系结构全面的签名检测过程提供了完美的补充，异常检测技术使得网络工程师能够对突发威胁或首次攻击进行拦截，并创建出一套完整的“异常档案”，从而保护网络免受当前威胁和未来攻击的骚扰。（3）防护拒绝服务攻击

IntruShield 检测体系结构的第三根“支柱”就是它完善的拒绝服务防护技术。

IntruShield 体系结构综合利用了基于阀值的检测技术和获得专利的、具有自动记忆功能的基于配置文件的检测技术，从而使拒绝服务检测更具智能化。借助基于阀值的检测功能，网络安全管理员就能够使用预先编写的数据流量来确保服务器不会因负载过重而宕机。

同时，自动记忆功能使得 IntruShield 体系结构能够分析网络使用方法和流量的模式，了解合法网络操作中发生的多种合法，但不常见的使用模式。

 IntruShield IPS 的优势

➢ 准确检测进入的已知的、未知的和 DoS 攻击主动阻断攻击流，保护网络多种相应方式进行处理防护加密攻击

灵活的部署方式，随时适应客户网络的变化自学习功能，动态保障网络的安全

自动保存攻击日志和数据包，进行事后分析动态图示显示，准侧预测趋势

➢ ➢ ➢ ➢ ➢ ➢ ➢  产品参数

项具体功能目要求 8*GE 千兆电口、2U 机架式，双冗余电源，千兆光口，吞吐量硬件架构 2*GE 部署方式支持网桥模式，以透明方式串接在网络中，IP碎片整理和TCP流重组,详细协议分析,非对称流量监控,协议规状态流量范化,高级抗逃避防护,取证数据收集,协议隧签名检测支持用户自定义签名和实时签名更新异常检测支持统计异常，协议异常，应用程序异常检

基于阈值的检测，基于配置文件的自学习检DOS检测测，最大 DoS 配置文实施拦截攻击，丢弃攻击数据包/会话，主机入侵防御隔离TCP 重置初始化、 ICMP unreachable，

2.10 网络及业务迁移计划方案

网络及业务的搬迁涉及环节众多，且设备复杂、新机房环境磨合时间短，给迁移工作提出了很高的要求。此次网络及业务迁移，实时性要求高、影响大，许多系统是业务大集中方式，具有全局性、实时性、关键性的特点，在法定工作时间，必须确保所有核心应用系统正常运行，一旦中断应用，将给公司业务造成重大影响。因此所有的迁移实施工作只能在节假日及夜间完成，并要经过充分的测试和验证，从而对迁移工作提出了较大的考验和挑战。

，本次网络及业务迁移将按照以下步骤进行实施：即首先开展新机房建设，搭建好网络出口和核心层部分，把老机房服务器搬迁至新机房，确保业务系统运转正常后，再进行接入层传输线路割接，最后，进行网络安全部署和业务系统应用优化，详细实施步骤如下：

2.10.1 前期准备工作

➢ 新机房基础设施就位

新机房的机柜、桥架、动力、UPS、监控、装修、防雷、空调、布线等基础工作必须在设备搬迁之前全部各就各位，为实施迁移奠定一个良好的基础环境。

➢ 光缆资源准备

1. 新机房中先开通一条”临时”的互联网光纤专线，

2. 各运营商（自建、电信、广电、联通、移动）准备好从光交箱到新机房的主干光缆，并且将 14 个核心业务节点的传输线路直接接入 ODF 架做好标记；

3. 从老机房至新机房铺设一根“临时”光缆，用于连接 S6506 和 CSS 核心集群。

➢ 割接资料、物料、工具准备

网络拓扑图、网络规划、端口分配表、接口线路连接表、设备割接脚本、配置备份、割接方案、割接流程任务一览表以及若干网线、尾纤等割接资料和物料，还有光功率计、红光笔、测线仪、螺丝、起子、扳手等工具统统准备齐全。

➢ 主要设备进场

下一代防火墙和两台核心 S9706 等主要设备必须在老机房搬迁工作前提前进场，并安置

固定到相应的机架位置。

2.10.2 网络出口搭建

调试下一代防火墙（防火墙本身沿用 192.168.1.8 老 IP 地址）允许内网合法网段可以通过“临时”互联网光纤访问，并测试通过 VPN 访问阿里云托管的用友财务系统。流量控制器则以透明模式桥接到防火墙和核心交换机集群中间，暂不做任何控制策略。

2.10.3 核心层集群构建

将两台核心交换机 S9706 组建成一个 CSS 集群，并配置成所有 VLAN 的三层网关，通过链路聚合（Eth-trunk）连到出口设备后，能正常访问。

在老机房，将 192.168.8.1 的 zxr10 交换机上的电信和广电线路直接接入 S6506，让

S6506 做为“临时”汇聚交换机通过预先准备的光缆连接到

新机房的 CSS 集群。

2.10.4 服务器搬迁

将所有服务器和存储阵列平滑搬迁至新机房（服务器机柜），然后全部直连到网络核心

CSS 集群，形成一个逻辑上的业务服务器子网区域。以上任务完成后的拓扑结构如下图：

2.10.5 业务测试

 测试所有接入点的访问业务是否正常；测试内网访问互联网是否正常；

测试访问公司对外发布业务（如门户网站）是否正常。测试内网访问互联网托管业务（如用友财务系统和视频会议）是否正常。

  

2.10.6 传输线路割接

➢ 自建线路

将高桥、凉滩、代市开关站、代市气所、枣变、景河、观塘、前锋变电站、电力事业部、服务公司、圆门、城北等所有自建线路的接入点，通过预备的新主干光缆（自建）割接到新机房，并完成相应的数据配置。

➢ 电信线路

将二三分厂、石笋、恒生、悦来、协兴、岳池水务、邻水水务、华蓥水务、岳池电力、集抄等所有电信线路接入点，通过运营商预备的主干光缆割接至新机房，并完成相应的数据配置。

➢ 广电线路

将前锋水务、城南、西充、邻水燃气、希望街、城东、龙门、武胜等所有广电线路接入点，通过运营商预备的主干光缆割接至新机房，并完成相应的数据配置。

➢ 联通线路

将前锋供电所、火ft、枣ft等联通线路接入点，通过运营商预备的主干光缆割接至新机房，并完成相应的数据配置。

➢ 移动线路

将移动抄表的线路，通过运营商预备的主干光缆割接至新机房，并完成相应的数据配置。以上任务完成后的拓扑结构如下图：

2.10.7 单线接入调试

所有接入点都暂时先通过单链路与网络核心的 CSS 集群通信，并测试业务访问是否正常。

2.10.8 核心业务节点位双线改造

点位互联网段 10.0.1.0/24 VL101 代市气所岳池水务前峰水务领水水务华蓥水务城北客户城南客户西充燃气领水燃气希望接收城东水所龙门收费武胜水务10.0.2.0/24 172.16.31.0172.16.32.0172.16.31.0172.16.34.0172.16.35.0172.16.36.0172.16.37.0172.16.38.0172.16.39.0172.16.40.0172.16.41.0172.16.42.0172.16.43.0 102 301 302 303 304 305 306 307 308 309 310 311 312 313 岳池电力 172.16.45.0 314 将 14 个核心业务节点按照上表的网络规划，一个一个挨着改造成本地三层网关，并接入第二条运营商线路，通过三层路由协议 OSPF 来进行负载均衡和链路冗余。在每个点位被改造成本地三层网关同时，该接入点位下所有终端电脑的 IP 设置也将一并修改。

2.10.9 完善网络部署及应用优化

以上改造任务完成后，整个网络从接入层-核心层-网络出口基本框架就已经搭建好了，接下来就是在网络基本框架之上，部署网络回溯分析系统，建立可视化的数据流量监控分析手段，部署负载均衡系统，优化应用性能，部署 IDS 强化网络安全保障，设置流控策略提升网络日常运行效率。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文