实用标准 项目编号: 华为网络整体解决方案
目录 1 概述 (4) 2 企业网络建设设计原则 (5) 3 华为产品解决方案 (7) 3.1 整体架构设计 (7) 3.1.1 总体网络架构 (7) 3.1.2 有线网络解决方案 (8) 3.1.2.1 核心层网络设计 (9) 3.1.2.2 汇聚层网络设计 (9) 3.1.2.3 接入层网络设计 (10) 3.1.3 数据中心解决方案 (10) 3.1.4 无线网络解决方案 (11) 3.1.4.1 无线网络的建设需求 (11) 3.1.4.2 无线网络解决方案 (14) 3.2 高可靠性设计 (18) 3.2.1 网络高可靠性设计 (18) 3.2.2 设备高可靠性设计 (18) 3.2.2.1 重要部件冗余 (18)
3.2.2.2 设备自身安全 (19) 3.3 安全方案设计 (21) 3.3.1 园区网安全方案总体设计 (21) 3.3.2 园区内网安全设计 (21) 3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击 (21) 3.3.2.2 防IP/MAC地址扫描攻击 (23) 3.3.2.3 广播/组播报文抑制 (25) 3.3.3 园区网边界防御 (26) 3.3.4 园区网出口安全 (27) 3.3.5 无线安全设计 (28) 3.3.5.1 无线局域网的安全威胁 (29) 3.3.5.2 华为无线网络的安全策略 (30) 4 设备介绍........................................................................................................ 错误!未定义书签。 4.1 Quidway? S9300系列交换机............................................... 错误!未定义书签。 4.2 Quidway? S7700系列交换机............................................... 错误!未定义书签。 4.3 Quidway? S5700系列交换机 (32) 4.4 无线控制器WS6603 (41)
1项目技术方案 对于XXX项目中众多应用系统,采用华为FusionSphere虚拟化技术,将上述部分应用服务部署到虚拟化化的高性能物理服务器上,达到高可靠、自动化运维的目标。众多物理服务器虚拟化成计算资源池(集群),保障虚拟化平台的业务在出现计划外和计划内停机的情况下能够持续运行。本项目采用华为FusionSphere虚拟化计算技术实现, 通过云平台HA、热迁移功能,能够有效减少设备故障时间,确保核心业务的连续性,避免传统IT,单点故障导致的业务不可用。 易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。 便于业务的快速发放, 缩短业务上线周期,高度灵活性与可扩充性、提高管理维护效 率。 利用云计算技术可自动化并简化资源调配,实现分布式动态资源优化,智能地根据应 用负载进行资源的弹性伸缩,从而大大提升系统的运作效率,使 IT 资源与业务优 先事务能够更好地协调。 在数据存储方面,通过共享的SAN存储架构,可以最大化的发挥虚拟架构的优势;提 供虚拟机的HA、虚拟机热迁移、存储热迁移技术提高系统的可靠性;提供虚拟机快 照备份技术(HyperDP)等,而且为以后的数据备份容灾提供扩展性和打下基础。 云平台:采用华为FusionSphere云平台,提供高可用性的弹性虚拟机,保障业务系统的连续性与虚拟机的安全隔离。 备份系统:采用华为FusionSphere HyperDP备份节点建立完整的数据保护系统。整个备份云可实现集中管理,负载均衡。 数据中心包含云管理、计算资源池、存储资源池,备份系统为可选。 Figure图1 单数据中心方案拓扑
XXX 应用系统集群 Exchange Sharepoint 终端终端 Internet XXX 项目数据中心架构分为: 接入控制:用于对终端的接入访问进行有效控制,包括接入网关,防火墙等设备。接入控制设备不是解决方案所必须的组成部分,可以根据客户的实际需求进行裁减。 虚拟化资源池:通过在计算服务器上安装虚拟化平台软件,然后在其上创建虚拟机。存储用于向虚拟机提供系统盘、数据盘等存储资源。 资源管理:云资源管理及调度,主要是对各种云物理资源和虚拟资源进行管理。创建虚拟机时,为虚拟机分配相应的虚拟资源。包括云管理服务器、集群管理服务器、安装服务器等。 硬件资源:服务器、存储、交换机。
11配置动态负载分担 11.1 配置ECMP的动态负载分担功能 11.2 配置LAG的动态负载分担功能 11.3 检查动态负载分担的配置结果 11.1 配置ECMP的动态负载分担功能 背景信息 说明 仅CE6857EI、CE6865EI、CE8850-64CQ-EI、CE8861EI、CE8868EI支持该功能。 传统的静态负载分担没有考虑负载分担链路中各成员链路的利用率,从而会出现成员 链路之间的负载分担不均衡,尤其当大数据流出现时会加剧所选中成员链路的拥塞甚 至引起丢包。 使能动态负载分担功能后,可以将等价多路径路由ECMP的流量通过动态负载分担的方 式分散到不同的成员链路上,在最大程度上保证成员链路间的负载均衡。 操作步骤 步骤1执行命令system-view,进入系统视图。 步骤2执行命令load-balance profile dynamic profile-name,创建动态负载分担模板并进入动态负载分担模板视图,或进入已存在的动态负载分担模板视图。 缺省情况下,系统预定义了一个名为default的动态负载分担模板,default模板不能 删除只能修改。 步骤3执行命令ecmp mode { spray | fixed | eligible [ flowlet-gap-time flowlet-gap-time ] },配置等价多路径路由ECMP的动态负载分担模式。 缺省情况下,等价多路径路由ECMP的动态负载分担模式为eligible模式,其对应的 Flowlet时间间隔为1000微秒。推荐使用eligible模式。 步骤4执行命令quit,返回系统视图。
华为数据中心解决方案 伴随着互联网的飞速发展,企业信息化步伐不断加快。IT资源的应用和管理模式正发生着深刻的变革,将逐步从独立、分散的功能性资源发展成以数据中心为承载平台的服务型创新资源。企业通过租赁的方式从数据中心获取高效、专业的IT资源及增值服务,进而更加专注于自身业务的创新与发展。 然而,在各种网络及自营数据业务快速增长的同时,数据中心规模和复杂性也不断增加;资源紧缺、能耗高、运营管理效率低等问题日益突出,严重制约了企业的业务发展。如何降低TCO、提升运营管理效率、增进业务创新能力成为CIO们面临的严峻挑战。 华为集丰富的ICT融合经验和领先的技术创新理念,提供面向服务的下一代绿色数据中心解决方案,帮助您解决数据中心面临的高成本、低效益问题,建设业务发展的重要战略信息平台,构筑卓越绩效的基石。 华为数据中心解决方案全貌 “面向服务的下一代绿色数据中心”是华为公司全面集合自身优势资源,贴身客户需求,基于业务视角开发的端到端数据中心综合解决方案。 方案引入模块化设计理念,以绿色节能为核心,综合运用机房热管理和IT 虚拟化技术,应用自动化运营管理平台,全面助力客户构建可运营、可维护、可扩展的业务增值与创新中心。 方案分为以下主要方面:
前期咨询:方案咨询、项目规划与设计服务 中期建设:机房建设、IT架构集成、业务开发和综合运营管理平台建设服务后期运维:专业维保服务,长期战略性业务创新合作 商业咨询服务 华为是全球领先的电信解决方案供应商,近20年电信领域的积淀铸就了华为对行业的深刻理解,形成了完善的商业咨询体系、高效的商业咨询流程与方法论;同时具有大量资深商业咨询专家和丰富的数据中心建设、运营和业务咨询经验,可为客户提供一流的咨询服务,带来独特的商业价值。 华为可以帮助您评估当前系统现状与未来发展需求,提供全面、专业的数据中心建设或改造建议,让您清晰把握未来趋势,利用新技术、新的IT管理理念构建面向服务的下一代绿色数据中心。 商业咨询方案 集成交付方案 针对数据中心建设中面临的设备复杂、差异性强、厂商众多、交付维护困难等问题,华为提供端到端的总集成和一站式交付方案;同时与赛门铁克、艾默生、Intel等业界著名厂商深入合作,提供强大的数据中心基础设备和软件应用整合服务。 集成交付实施流程 华为在全球7大片区设立合作分部,100多家区域级战略合作伙伴,300多家SP/CP合作伙伴,拥有全球化的集成交付资源和数据中心集成服务经验,可为客户提供从规划、设计、建设到运维全方位的集成服务和快速的响应交付,降低建设成本。 机房建设方案
HUAWEI 数据中心网络安全技术白皮书
目录 1数据中心网络安全概述 (6) 1.1“三大平面”安全能力与风险防御目标 (7) 2网络安全威胁分析 (9) 2.1拒绝服务 (9) 2.2信息泄漏 (9) 2.3破坏信息完整性 (9) 2.4非授权访问 (10) 2.5身份欺骗 (10) 2.6重放攻击 (10) 2.7计算机病毒 (10) 2.8人员不慎 (11) 2.9物理入侵 (11) 3管理平面安全 (12) 3.1接入控制 (12) 3.1.1认证和授权 (12) 3.1.2服务启停控制 (12) 3.1.3服务端口变更 (12) 3.1.4接入源指定 (13) 3.1.5防暴力破解 (13) 3.2安全管理 (13) 3.2.1SSH (13) 3.2.2SNMPv3 (14) 3.3软件完整性保护 (14) 3.4敏感信息保护 (14) 3.5日志安全 (14) 4控制平面安全 (16) 4.1TCP/IP安全 (16) 4.1.1畸形报文攻击防范 (16) 4.1.2分片报文攻击防范 (17) 4.1.3洪泛报文攻击防范 (17) 4.2路由业务安全 (18)
4.2.1邻居认证 (18) 4.2.2GTSM (19) 4.2.3路由过滤 (19) 4.3交换业务安全 (20) 4.3.1生成树协议安全 (20) 4.3.2ARP攻击防御 (22) 4.3.3DHCP Snooping (25) 4.3.4MFF (27) 5数据平面安全 (28) 5.1应用层联动 (28) 5.2URPF (28) 5.3IP Source Gard (29) 5.4CP-CAR (29) 5.5流量抑制及风暴控制 (30)
双活数据中心解决方案
目录 1.行业背景 (3) 2.系统建设原则及思路 (3) 3.技术方案 (5) 双活数据中心基础架构设计 (5) 双活数据中心网络设计 (6) 双活数据中心系统设计 (6) 双活数据中心系统优势 (9) 浪擎CDP,最可靠的CDP (9) ACDP-恢复速度最快的CDP (10) ACDP-强大的复制,恢复.容错功能 (10) ACDP-支持报警和一键切换 (11) 其他优势 (12)
1.行业背景 随着全球化信息技术的发展,信息化已经成为各个单位的关注热点,各行各业都在进行着信息化的改革。信息化系统已经成为企业核心竞争力的关键条件之一。企业信息化的时代也发生了翻天覆地的变化。 为适应我国改革开放和社会主义现代化建设的新形势对公安执法提出的新要求国家提出了以“公安信息化工作”为核心,以“科技强警”为目标的国家信息化工程—“金盾工程”的建设要求。“金盾工程”既全国公安信息化工程,是国家电子政务建设“十二金”中重要的一部分,主要是利用现代化信息通信技术增强我国公安机关的统一指挥,快速反应,协同作战,打击罪犯的能力,以适应公安机关动态管理和打击罪犯的需要。随着金盾工程在全国的展开信息技术的广泛应用,公安信息化建设全面加快各种业务系统的陆续建设投入使用产生了大量的数据。随着业务数据的增加和应用数据的依赖性的增强,数据已经成为开展业务不可缺少的基础。数据的有效汇集,集中管理,综合分析以及容灾备份的需要等处理要求日益提高。因此,通过管理机制与技术手段相结合保障数据的一致性和业务的连续性在建设公安系统容灾机制中势在必行。 2.系统建设原则及思路 1)绿色容灾,减少对生产系统的影响 双活数据中心在实施和使用的过程中对原有的生产系统、硬件系统、网络系统会造成一定的影响,有的容灾系统可能需要在冻结原有的生产系统的情况下进行数据的复制;有的容灾系统可能要对硬件、网络环境进行改造,改造成系统所要求的条件;有的容灾系统对生产服务器的CPU、内存、网络等资源占用较大,这些影响或者改造对原有的系
华为Cloud Fabric云数据中心网络解决方案 华为Cloud Fabric网络解决方案 2012年5月的美国Interop国际通信展上,华为公司震撼推出面向下一代数据中心的云级交换机CloudEngine系列。包括全球最高配置的旗舰级核心交换机CloudEngine 12800系列,以及高性能的盒式交换机CloudEngine 6800 /5800(10GE/GE接入)系列。 同时,基于CloudEngine(以下简称CE)系列交换机和齐全的传输、路由、安全及网管产品,华为公司全球发布面向下一代云计算数据中心的Cloud Fabric解决方案,旨在为客户打造未来十年的稳定网络架构。 华为Cloud Fabric网络方案优势 Cloud Fabric解决方案帮助企业用户和运营商构建高达360T的无阻塞交换平台,可提供高达数万个10GE/GE服务器的接入能力,具备Scalable Fabric、Virtualized Fabric和Converged Fabric三大核心优势。 弹性云网络(Scalable Fabric) 承载未来十年的弹性网络:CloudEngine系列交换机可提供高达360T的无阻塞交换网络,满足从GE/10GE到40GE/100GE的4代服务器演进需求,网络架构长期稳定,轻松迎接10GE服务器潮流的到来。 全球最高配置核心交换机:CE12800单槽位支持2Tbps带宽(单向),整机最大支持48Tbps 的交换能力;同时支持8*100GE,24*40GE/96*10GE等超高性能板卡,整机最大可支持96个100GE、288个40GE或1152个10GE全线速接口,成为当之无愧的核心交换机工业标杆。 全系列TOR支持40GE:CE6800和CE5800提供超高密度的10GE和GE服务器接入能力,全系列支持40GE上行接口,转发性能业界领先。 无阻塞CLOS交换架构:CE12800核心交换机采用无阻塞CLOS交换架构,配合动态的分
Technical White Paper High Throughput Computing Data Center Architecture Thinking of Data Center 3.0 Abstract In the last few decades, data center (DC) technologies have kept evolving from DC 1.0 (tightly-coupled silos) to DC 2.0 (computer virtualization) to enhance data processing capability. Emerging big data analysis based business raises highly-diversified and time-varied demand for DCs. Due to the limitations on throughput, resource utilization, manageability and energy efficiency, current DC 2.0 shows its incompetence to provide higher throughput and seamless integration of heterogeneous resources for different big data applications. By rethinking the demand for big data applications, Huawei proposes a high throughput computing data center architecture (HTC-DC). Based on resource disaggregation and interface-unified interconnects, HTC-DC is enabled with PB-level data processing capability, intelligent manageability, high scalability and high energy efficiency. With competitive features, HTC-DC can be a promising candidate for DC3.0. Contents Era of Big Data: New Data Center Architecture in Need 1 ?Needs on Big Data Processing 1 ?DC Evolution: Limitations and Strategies 1 ?Huawei’s Vision on Future DC 2 DC3.0: Huawei HTC-DC 3 ?HTC-DC Overview 3 ?Key Features 4 Summary 6
华为数据中心管理解决方案7 华为数据中心管理方案 (ManageOne) 华为技术有限公司 ???? ? ???????? 2012??????? ???????????????????????????? ??????????????????????????? ??? ???? HUAWEI !!????????????????????? ????????????????????????????????????????? ?????????? ???????? ?????????????????????????? ? ????????????????????????????????????????????? ???????????????????????????????????????????管理成本高:?长期烟囱式的管理模式,运维成本占TCO 一半以上 业务上线慢:?业务上线时间通常都需要数周时间,且不能支持业务的转售模式资源利用率低:?服务器利用率低,能耗成本逐年增长服务水平难以保证?:对故障缺乏预见性,故障解决周期长 华为数据中心管理方案——ManageOne 方案亮点
为客户带来的价值 成功案例 简化管理,敏捷运营 2 数据中心管理困局 华为数据中心管理方案ManageOne 是一个智能、高效、联动、便捷的数据中心运营运维统一管理平台。ManageOne 过简化运维,敏捷运营,提高数据中心整体竞争力,帮助客户商业成功。 敏捷运营?——快速业务分发能力 流畅的运营支撑平台,提供业务高效支撑能力,实现用户自助申请使用服务,按应用分级安全管理,让业务运营更加可靠安全。 灵活的销售模式?——转售模式 IDC 运营商可以把IT 资源转售给代理商,代理商可以自主定义销售价格等运营方式,便于发展IDC 渠道销售模式。多中心?——多数据中心统一管理 实现多个数据中心统一管理,分权分域运维,无人值守监控服务等多数据中心管理的特性,提速企业、运营商数据中心管理效率50%。 融合?——云与非云统一管理 实现融合云与非云的统一管理,基础架构与基础设施联动管理,支持异构的虚拟化平台,让运维更加高效。
华为,数据中心解决方案部篇一:华为数据中心虚拟化解决方案 1 项目技术方案 对于XXX项目中众多应用系统,采用华为FusionSphere 虚拟化技术,将上述部分应用服务部署到虚拟化化的高性能物理服务器上,达到高可靠、自动化运维的目标。众多物理服务器虚拟化成计算资源池(集群),保障虚拟化平台的业务在出现计划外和计划内停机的情况下能够持续运行。本项目采用华为FusionSphere虚拟化计算技术实现, ? 通过云平台HA、热迁移功能,能够有效减少设备故障时间,确保核心业务的连续 性,避免传统IT,单点故障导致的业务不可用。 ? 易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。 ? 便于业务的快速发放, 缩短业务上线周期,高度灵活性与可扩充性、提高管理维护效率。 ? 利用云计算技术可自动化并简化资源调配,实现分布式动态资源优化,智能地根据 应用负载进行资源的弹性伸缩,从而大大提升系统的运作效率,使 IT 资源与业务优先事务能够更好地协调。 ? 在数据存储方面,通过共享的SAN存储架构,可以
最大化的发挥虚拟架构的优势; 提供虚拟机的HA、虚拟机热迁移、存储热迁移技术提高系统的可靠性;提供虚拟机快照备份技术(HyperDP)等,而且为以后的数据备份容灾提供扩展性和打下基础。云平台:采用华为FusionSphere云平台,提供高可用性的弹性虚拟机,保障业务系统的连续性与虚拟机的安全隔离。 备份系统:采用华为FusionSphere HyperDP备份节点建立完整的数据保护系统。整个备份云可实现集中管理,负载均衡。 数据中心包含云管理、计算资源池、存储资源池,备份系统为可选。 Figure图1 单数据中心方案拓扑 终端终端 业务网络 管理网络 存储网络 网络连线防火墙防火墙 XXX项目数据中心架构分为: 接入控制:用于对终端的接入访问进行有效控制,包括接入网关,防火墙等设备。接入控制设备不是解决方案所必须的组成部分,可以根据客户的实际需求进行裁减。
6配置转发器SFF 背景信息 SFF(Service Function Forward)是业务链转发节点,用于将网络中收到的报文根据 NSH封装信息,转发给SFF关联的若干个SF上。报文经过SF解析处理后,再返回给同 一个SFF。当业务链上最后一个SF把处理后的报文发给SFF后,SFF终结报文中的NSH 封装信息,把报文发回网络继续传输。 一般情况下,选择网关设备作为SFF。在VXLAN集中式网关组网中,SC和SFF重合, 均为集中式网关设备;在VXLAN分布式网关典型组网中,SC和SFF不重合,选择连接 SF的VXLAN网关设备作为SFF节点。 l当SFF连接NSH-unaware SC时,需要在SFF上重新配置流量分类及引流入链,可以理解为NSH-unaware SC和第一个SFF节点设备是重合的。 l当SFF连接NSH-unaware SF时,需要在SFF及其关联的若干个NSH-unaware SF之间使用SFC代理,它代表SF接收来自SFF的报文,删除NSH封装信息,根据NSH封装 报文中携带的SF信息将报文发给NSH-unaware SF;也接收从SF发回的报文,对SI 值减一后重新封装NSH信息,返回给SFF进行下一步处理。实际应用中,通常会使 用SFF节点来完成SFC代理的功能。 操作步骤 步骤1执行命令system-view,进入系统视图。 步骤2执行命令service-chain enable,使能SFC功能。 缺省情况下,未使能SFC功能。 步骤3执行命令commit,提交配置。 步骤4执行命令service-chain service-path path-id,创建SFP路径,并进入业务链路径视图。 步骤5(可选)执行命令description description-content,配置业务链路径描述信息。 步骤6执行命令service-index si-id next-hop { sff | sf [ nsh-proxy ] } { vtep-ip vtep-ip-address vni vni-id | remote-ip remote-ip-address [ vpn-instance vpn-instance-name ] },配置业务链的 下一跳节点类型及下一跳转发信息。 多次执行此命令,配置完整的SFP转发路径。 当下一跳是NSH-unaware SF时,需要指定下一跳为sf nsh-proxy。
华为公司数据中心机房动力一体化整体解决方案 ——艾默生网络能源数据中心整体解决方案实例 概述 华为技术数据中心机房采用艾默生的动力一体化整体解决方案:包括800KVA 6台组成的双母线系统,600KVA 2台组成的1+1并机系统,精密空调26台,4台10KVA 2000KW柴油机并机。该数据中心目前是亚太地区最大的数据中心,配有总容量为6000KVA的大型UPS。分别用2+1并机方式组成双母线供电系统,该系统还配置艾默生的LBS负载母线同步跟踪器及STS静态切换开关,该系统可用度达到99.99999%。 华为公司数据中心机房动力一体化整体解决方案 鉴于当今被安装于信息数据中心内的绝大多数IT设备(服务器、交换机、光端机、网关、磁盘阵列机和通信设备)所允许的瞬间供电中断时间仅为0.01~0.02s左右。这就意味着:对于关键性的数据中心机房所用的UPS供电系统而言,在运行中如果出现0.02s以上瞬间供电中断的故障时,就会造成网络瘫痪事故发生。众所周知:一旦网络瘫痪后,要想让整个网络重新恢复正常工作往往需耗时几十分钟至几小时。显而易见,由此会给用户带来巨大的经济损失。 基于上述原因,艾默生为华为公司数据中心机房提供了可用度达到99.99999%的新一代数据中心解决方案:包括800KVA 6台组成的双母线系统,600KVA 2台组成的1+1并机系统,精密空调26台,4台10KVA 2000KW柴油机并机。
此数据中心机房用智能化UPS供电系统是由以两套2+1型UPS(800kVA)冗余并机系统和1套1+1型UPS(600kVA)冗余并机系统为核心、采用双总线输入、双总线输出设计方案所构成的、具世界一流技术水平的超大型UPS供电系统。此系统具备冗余式供电能力为3800kVA,其最大供电能力高达6000kVA,目前是亚太地区最大的数据中心。采用双总线输入、双总线输出+负载同步控制器+负载自动切换开关设计方案所构成的、具有世界一流技术水平的超大型UPS供电系统,不仅可以消除各种可能出现的单点瓶颈故障隐患,而且还可向位于数据中心机房内的各种IT设备连续提供365×24h高品质的UPS逆变器电源(高达99.99999995%的高品质的,年平均的停电时间小于0.15s左右)。此系统允许数据中心机房维护人员在逆变器电源连续供电的条件下执行不带电的安全维护/维修操作、允许机房值班人员通过智能化楼宇监控系统随时远程监控其运行状态及调阅各种运行参数/相关报警信息。此外,它还能确保用户的输入电源始终处于绿色电源运行状态之中。 欢迎您的下载,资料仅供参考!