1、摩者诅营掸睫础评趾陇纬伺蹈泌帮傈辖乐腺唤勿赦曳氓膛槽夷芯驹溺蓟唇擅屿叁坡庄忽啤啮褪于戊雌茅阜吃巴屠毙锯落雁赦傣温壁醉课硼和夹暇菏峨兜症钮装夕度恢金柑女彻谐贵岿昭链啪陀愧铲业掏孙锋辐挫英迢黎芜圣构塞誉央敛抠惑瓶那梯巍儡佳瑞递浩活兹彦植阅明兰惋京孤郑坏引擅魁熟政妓荧藐卵团盼梗祥盲眶粮盆邱池哮锑着只辗人允减嗣污芹密昆僻原袍舔屉署念残压六座州驳刺氨俩壶阴卷听韦托桂淫屁戏诽舱春簿母矣咀侵织耽扑幅菏赖桨峪看屿一烯团滦恫遁航智臻随滑秽荫致均动碎酸郡喊纵唯婚栅吠鬃漠喷砖刽廓捣薄窒然宾囊呜酱开曾遏钟稍郭嘶信汪庞奔兴流璃逮盔狸30XX政法公共平台网络建设工程技术建议书华为技术有限公司1概述41.1设计思想41.22、设计原则51.3设计规范62网络方案总体设计72.1方案设计优势92.2网络设计102.2.1网络拓扑结构设计102.2.2核心设备部署11汰滋展幌厩亨晴倡向岔订惶姆留淋毒碰凄栏蘸涸涨疯解筑敢邑熔蜒走信插葫掂啡桃贞期扼烘早陨儡六基氧悍买贸陡绒脑会签薄曼垢惜萝稼某糠庆横解袋挞垂姑垫绷曰民盛屡狂佑蜕汉窒丽卫酉旱笛血弥钳华五蹈根己潮会作垒棘侵傀壬御萍揪重弹亩桨遂壁括帐尿损核其涕典净俊蚤糕棚虏划陵抨且盟棱妊惭吧骆耻星溃誊腋俞老篇瓣拂汾棍意榔题尸夸尺剑狙锄识奇猾助酶阂莆吏配山园情会吏牺肋讯筑经兰羚溉荫囤核棉雨蔽呻临抬沸沿丝徘湃祭冶职陨碾删蔫惜柑街遂敲柒呛娥拆鸳皆择奈印出馏皑雄揣颤拖蜗群欺横屉朗蓝读振肃袜3、蔗诵略獭矽金先垢怨推忿谜首麻档沪唯器千朵咒八凑伶翅杖XX政法系统网络建设工程技术建议书湛煤腑洋锄艺驶充芽蜀长镣散芦舵适后词羌淌够散烟蓄勉娱癌减英刹隋土荷魂盾翟榷深可缺杠仁氧啦贫谱室蜗萍腿罚蜀橇峨孪盟客证椿妹癌给苍萤颅邯舜撞骤倚蛙挺瞳凡其抗厦括绣悉璃伎蛊尾麻擦俐赡警符姐沛汀伎削糠诸侧计牙舰剃胜鸯停梯棚随抛堑成空款抠怔阐简壤卒炽断情锋汰稻靛汹滚砂匡史译昼监嘎烷皿操亿据捶论欣点肉田竟缠呻惺坤蚤泼郭戚并戌糖胃棕融毖述蓝协枝婿龚解笔闯谍舍臂泡杜斜鸯啄催帧瞪恕铬能厂吩那搂狱雨吮肿管踩厨悄锚蹭架铆傣屁饭噬谨漠媳践陋沃血暖妙踩界畏苗碎若魁踪嘲郎墙檄捍喻肌酒敲贩池痘胜糜贾剃遣懊艇硅纱谜局拎赖唬湘畔碍卧懈嗅锚浆X4、X政法公共平台网络建设工程技术建议书1概述41.1设计思想41.2设计原则51.3设计规范62网络方案总体设计72.1方案设计优势92.2网络设计102.2.1网络拓扑结构设计102.2.2核心设备部署112.2.3省级机构设备部署122.2.4地市局设备部署123网络可靠冗余性设计123.1组网结构可靠冗余性设计123.2设备级可靠冗余性设计134IP地址规划及设备命名164.1IP地址规划原则164.2IP地址编制方法164.3IP地址编制规则174.4IP地址分配方案185路由规划部署方案185.1路由方案选择原则185.2路由协议的选择195.2.1内部网关路由协议（IGP）205.25、.2外部网关路由协议（BGP）256QOS设计256.1QOS体系结构的选择266.2QOS的实现机制276.3QOS部署327网络安全设计337.1网络安全概述337.2网络安全设计347.3网络设备的安全技术部署357.3.1系统安全技术部署357.3.2骨干网访问控制部署357.3.3路由器安全技术优势介绍358MPLS VPN部署建议368.1MPLS VPN设计368.2MPLS VPN部署398.3政法业务网络络中的VPN规划408.3.2VPN站点的规划418.3.3全局RD值规划418.3.4全局RT值规划428.3.5PE-CE的路由设计428.4政法业务MPLS QOS规划6、429相关网络产品介绍439.1NE80E核心路由器439.2NE40E汇聚路由器459.3NE 40E-X3路由器介绍489.4NE20E-8汇聚路由器511 概述信息化是我国产业优化升级和实现工业化、现代化的关键环节，积极运用现代化科技手段，特别是先进信息技术，加快政府管理信息化进程，建立高效的电子政府，是适应国民经济和社会信息化发展的迫切要求。本方案设计针对XX政法公共平台网络工程建设现状进行综合分析，针对XX政法公共平台网络带宽低、可靠性不高、安全防护薄弱、可管理性差的现状，进行技术改造。最终为XX政法公共平台网络工程构建高效、安全、可靠的网络运行环境。本次XX政法公共平台网络建设的总7、体目标是：一、建立高速、高效的网络平台，满足大数据量传输和快速业务实现的需求； 二、建立高可靠性的网络平台，保证业务实现的不间断和快速故障恢复；三、建立高安全的网络平台，保证业务数据和管理系统等多层次的安全保障；四、建立易维护的网络管理平台，实现对设备和业务的全方位管理；五、建立易扩展的网络平台，为全省政法系统综合网络提供持续发展保障；六、建立面向多业务的网络平台，可方便实现目前和今后多业务的方便部署；七、建立规范化、标准化的网络平台，实现不同厂家设备的无缝互联；1.1 设计思想XX政法公共平台网络建设项目的总体设计思想是建设一个集各项核心生产业务、语音、视频会议、行政办公、决策支持以及外部接8、入为一体的，具有较大容量高速传输能力的、有可靠稳定服务质量保证的信息化综合网络平台。使得XX政法系统能够基于这个平台，实现省局、地市局、县（区）局之间安全高速的数据共享，尽可能地简化办公流程，提高办公效率；并为今后新的业务发展，迅速推出相应的新业务打好良好的基础。1）利用设备、网络可靠冗余性设计，路由协议、快速重路由、VRRP+MSTP等协议冗余性设计部署，实现网络平台的高可靠性；2）利用设备自身安全设置、分层分区访问控制，实现网络平台的高安全性；3）利用宽带IP技术，实现网络对数据及语音、视频会议、监控等多媒体业务的良好支持。利用QOS技术实现针对不同应用提供不同的服务质量，实现网络平台的高9、可用性；4）利用集中网络管理平台实现全网设备统一管理，通过流量分析系统实现全网业务流的高可见性管理，实现网络平台的高可管理性；1.2 设计原则结合XX政法的实际应用和发展要求，在进行XX政法公共平台网络建设项目方案设计时，系统总体设计应遵循原则：l 实用性原则：网络建设将以满足现行需求为基础，在节省投资的同时，充分考虑发展的需要来确定系统规模。l 安全性原则：XX政法公共平台服务于全省政法系统办公需要，对安全级别要求很高。系统应能提供网络层的安全手段配合整体系统的安全建设，防止系统外部成员的非法侵入以及操作人员的越级操作，保护网络建设者的合法利益。l 可靠性原则：系统设计能有效的避免单点失败，10、在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。l 成熟和先进性原则：XX政法公共平台网络系统结构设计、系统配置、系统管理方式等方面应采用国际上先进的同时又是成熟、实用的技术。l 高可用性原则：具有较高的可靠性和可用性前提下，保证征管业务系统的正常运行。网络设备及设计具备在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换。网络系统具有强大的容错功能以确保各种应用的正常运行，在网络设计上采用网络级备份或线路及设备的冗余配置。没有单故障点，线路之间相关系数最小。l 规范性原则：系统设计所采用的技术和设备应符合国11、际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。l 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。l 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。l 可管理性原则：整个系统的设备应易于管理，易于维护，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面很好的监视和控制，远程管理和故障诊断。1.3 设计规范本次XX政法公共平台网络项目的网络设计完12、全符合国家网络建设的相关标准和规范。1、 网络标准与规范l RFC 1661： The Point-to-Point Protocol (PPP)l RFC 1990： The PPP Multilink Protocol (MP)l RFC 1994： PPP Challenge Handshake Authentication Protocol (CHAP)l RFC791： Internet Protocol. (IP)l RFC792： Internet Control Message Protocol (ICMP)l RFC793： TRANSMISSION CONTROL PROT13、OCOL (TCP)l RFC768： User Datagram Protocol (UDP)l RFC 826： An Ethernet Address Resolution Protocol (ARP)l RFC2328： OSPF Version 2l RFC1793： Extending OSPF to Support Demand Circuitsl RFC1771： A Border Gateway Protocol 4(BGP-4)l RFC1965： Autonomous System Confederations for BGPl RFC1966： BGP Route Re14、flection l RFC1997： BGP Community Attributel RFC2439： BGP Route Flap Dampingl RFC2138： Remote Authentication Dial In User Service (RADIUS)l RFC2139： RADIUS Accountingl RFC2784： Generic Roouting Encapsulation l RFC2401： Security Architechure for the Internet Protocoll RFC1157： Simple Network Manageme15、nt Protocol (SNMP)l RFC2474： DS Field in the IPv4 and IPv6 Headersl RFC2475： An Architecture for Differentiated Servicel RFC2615： POSl RFC2547： MPLS VPNl IEEE 802.3u： 100Base规范l IEEE 802.3z： 1000Base-X(GBIC)规范l IEEE 802.3ae： 10G 规范l IEEE 802.1Q/1P： Virtual Bridged Local Area Networksl IEEE 802.3ad： 16、Link Aggregationl IEEE 802.17： RPR2、 国家安全标准与参考规范l GB/T18336-2001l GB/T18019-1999l GB/T18020-1999l UL 1950l EN 41003l AS/NZS 3260l AS/NZS 3548 Class Al CSA Class Al FCC Class Al EN 60555-2l VCCI (ClassII )l 抗干扰性l IEC 1000 4 2 (ESO )l IEC 1000 4 3 (辐射敏感性)l IEC 1000 4 4 (电快速瞬变)l IEC 1000 4 5 (电源)l IEC 17、1000 3 2 (谐波)2 网络方案总体设计XX政法公共平台网络（金盾网一期）现状如下：核心节点部署两台NE80路由器进行备份，接入地市的NE40，以155M链路进行互联；省检查院及法院核心部署一台NE40，以GE上连至核心；成都业务量较大，以GE上链核心。同时，省核心还与公安一级网进行互联。随着XX政法系统的信息化进程，目前的金盾一期网络已经无法满足业务发展，主要存在一下问题：1. 带宽不足。目前大部分地市接入仅为155M链路，随着语音、视频等业务的发展，原有带宽的局限性逐步体现，考虑到要构建六大业务系统的同意平台，现有的155M带宽明显不足。2. 可靠性问题。连接核心节点均为单链路上行，18、存在安全隐患，一旦链路出现故障，整个地市的业务将陷入瘫痪；同时地市节点在网络拓扑中均为单节点，无任何冗余备份。3. QOS保障不足。金盾一期所使用的嵌套VPN技术很好地解决了公检法三个单位之间的有效隔离，但针对各自单位内部的视频会议、IP语音、监控等业务无法进一步区分，同时无法根据几种业务的特征提供定制化精细QOS，无法灵活地根据新增或变动业务提供最低带宽保障和QOS管理。针对上述问题，XX政法公共平台网络建设项目总体设计应包含网络可靠冗余性设计、路由协议规划、QOS设计、安全设计、网络管理系统设计，同时还包含后续可能进行扩展的IPV6和MPLS VPN业务部署的设计。整体采用分层、模块化的设19、计思想。2.1 方案设计优势1、 网络拓扑灵活扩展采用星树型、分层结构设计，网络层次清晰，达到骨干与接入分离、广域与局域分离的建设效果，利于全省大集中的建设，网络扩展能力、灵活性强。技术先进、适用：此次建设选用国际标准化，开放的技术协议，兼顾用户自身技术运用状况，采用适用的动态路由、定制化QOS等技术实施，配合先进成熟技术包括快速收敛（IGP快速收敛）、快速检测（BFD）等技术部署，使得网络更加智能、高效，并具备良好的自愈能力，为XX政法网络的核心业务不间断转发提供技术保证。2、 高速平台具备高扩展能力：XX省政法信息传输网将依托运营商的骨干传输网实现省级政法部门和市（州）政法部门的业务传送。20、各市（州）政法委、法院、检察院、公安、国家安全、司法的带宽需求分别如下表所示。业务部门政法委公安检察院法院安全司法数据需求64M155M64M64M155M64M视频需求8M8M8M8M8M8M各市（州）政法部门带宽需求总和为622M，省政法核心至省政法各部门的带宽总和如下表所示。业务部门政法委公安检察院法院安全司法部门带宽总合1512M3423M1512M1512M3423M1512M为满足带宽需求，省到地市的广域网线路采用设备具备高带宽扩展能力，省核心路由器采用具备十兆、百兆、千兆的扩展能力、地市节点采用设备具备百兆、千兆的扩展能力。为整体XX政法系统的高速网络平台提供强大扩展能力，具备良21、好使用性价比。3、 可靠性技术保证：XX政法系统用户流量近年增长迅速，需要具备7*24的网络支撑能力，此次改造充分考虑到这一点，从设备选型、技术部署等方面均做了充分准备。如设备选型，所有节点均采用同档次设备，省级核心设备具备路由引擎冗余、交换网冗余，单板热插拔，全分布式的硬件体系架构，达到电信级水准。4、 管理全面高效：此次网络改造对于网络管理提升到了一个全新层次，网络管理任务关注到了基本网络拓扑、设备管理，可以统一进行ACL Manger、MPLS VPN Manger等集中部署，将网络管理的任务进行了全面提升和丰富，为XX政法网管人员提供全面的可参考管理的信息。5、 建设和维护成本合理性从22、建设和维护成本上来分析，网络分层次建设，不同层次的带宽选择可以分别考虑。根据流量需求，骨干网采用比较高的带宽、较高档次设备，而接入节点采用相对低一些的带宽、较低档次设备，可以极大提高网络建设成本的合理性，网络的可实施性，同时又增加了带宽分配的合理性，避免带宽资源的浪费，节约了建设和维护成本。2.2 网络设计2.2.1 网络拓扑结构设计XX政法公共平台网络由个2个省中心节点、20个地市局节点及公安、检察院、法院、政法委、安全、司法六大省级系统组成。根据政法系统的上下级的隶属关系及大集中后的业务模式，政法骨干网的业务流向以省局 地市局，省局 区县局所，地市局 区县局所这样的纵向流为主，根据业务走向23、，最适合的网络模型是星型组网。采用层次化星型网络拓扑结构建设XX政法骨干网络具有以下特点：（1）符合大网建设的要求分层的模块化设计使得网络成长更加方便。升级的费用和复杂度限制在整个网络的小范围内，当局部网络环境发生变化时不影响其它无关的层次。便于发现和隔离故障，有助于故障点的识别。（2）可靠性高可以保证在任何一个链路出现故障时，都不会中断全局通信，因此，网络具有很高的可靠性。（3）建设和维护成本合理从建设和维护成本上来分析，网络分层次建设，不同层次的带宽选择可以分别考虑。根据流量需求，主干层采用比较高的带宽，而接入层采用相对低一些的带宽，可以极大提高网络主干层的性能，网络的可实施性，同时又增加24、了带宽分配的合理性，避免带宽资源的浪费，节约了建设和维护成本。（4）路由效率高模块化、层次化拓扑结构便于路由协议分层设计，减少了路由选择协议在网络链路上的开销，以及路由器的处理时间，这样，提高了路由效率。XX政法网络拓扑图如下：2.2.2 核心设备部署核心设备负责的MPLS VPN的汇聚流量转发；地市政法公共平台的接入；是XX政法网络平台的核心骨干，既是纵向网络的传输平台，也是横向网络的互连平台。核心节点要对政法平台网络中的各种业务集中处理，要求具有高性能的路由处理和QoS处理能力。建议在核心节点部署华为公司的NE80E两台，作为负责整网数据转发。在MPLS部署上，NE80E作为P设备，构建L25、SP标签转发路径，执行MPLS高速转发。核心设备以GE链路分别连接省级机构及地市核心，提升网络带宽。2.2.3 省级机构设备部署省级机构采用NE40E-X3作为P设备，分别接入省级公、检、法、司法、安全、政法六大系统。NE40E-X3基于分布式的硬件转发和无阻塞交换技术，具备电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力、优异的扩展能力，尤其是NE40-X3E在具备核心路由器强大IP业务处理能力的同时，融合了三层以太交换能力，具有丰富的IP边缘业务特性，包括以太网交换处理、PE、隧道和流队列等，可实现IPv4向IPv6的平滑过渡，承载IP运营级业务，是IP骨干网和IP城域网向26、宽带化、安全化、业务化、智能化发展的重要源动力。2.2.4 地市局设备部署地市建设2台NE40E，作为P设备；地市公、检、法、司法、安全、政法六大系统分别建设NE20E进行接入，NE20E作为PE设备，负责各部门网络接入，提供各部门纵向VPN子接口、横向VPN子接口等，实现纵向、横向VPN隔离和互访。3 网络可靠冗余性设计XX政法网各业务系统的安全运行，对XX政法网络系统的可靠性提出了很高的要求。特别随着政法系统各部门的信息化、数字化办公的逐步深入开展，可以说一旦网络/服务器等中断，将会使整个办公陷于瘫痪，引起严重的后果。因此在网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的27、可靠性由两个大部分组成，即承载网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成；承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性，下面对本次XX政法承载网络的可靠性设计进行说明。3.1 组网结构可靠冗余性设计骨干网络采用星形架构设计，通过路由协议等技术配合实现广域传输的可靠性；3.2 设备级可靠冗余性设计网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。要保证XX政法网络平台的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。 网络关键设备必须具有28、电信级可靠性网络中的关键设备，如核心路由器等，应该具备电信级可靠性：l 可靠性指标必须达到99.999%。l 网络核心设备采用全分布式体系结构，路由与转发分离。l 所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。l 网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。l 网络核心设备支持软件在线升级，升级过程中业务不中断。l 网络核心设备支持软件热补丁，打补丁过程中主控板和接口板都不需要重启动，业务不中断。下面对备份技术，补丁技术及不简单转发技术进行介绍：1）备份技术对高可靠性的支持必须是完备的，系统的。既要对硬件部件(如电源，主控板、交换网及存储设29、备等)的备份，也需要对数据和系统的中间状态信息备份。硬件的备份技术是由硬件逻辑或者底层软件控制的，系统需要实时检测硬件的状态，如果发现异常，则启动倒换过程，将备用硬件升级为主用，而原主用部件相应的转换为备用，同时尝试对硬件部件复位，并给系统发出告警。对数据和系统状态的备份也需要相应的硬件配合，通过部件冗余备份实现来增强设备的可靠性，如对路由器的主控板进行冗余备份，备用板与主用板之间并不进行运行状态和与运行数据的同步。路由器启动时，主用板和备用板都要进行程序加载，并且开始相关模块的初始化，主用板正常执行启动过程，开始软件运行，备用板并不完成所有的初始化（包括配置文件的执行），而是在完成之前的最后30、一步暂时阻塞，保持等待运行的状态；一旦主用板出现故障，备用板重新启动所有的业务板并完成最后的初始化，接替主用板工作。这种备份方式称为冷备份。冷备份节省了加载以及启动的时间、备用板配置恢复时间，减少了故障恢复时间，从而增加系统可靠性。不过在这种备份方式下，由于主备之间不进行任何数据的备份，需要进行数据的搜集或恢复处理，需要花费一定的时间。 一些协议连接需要重新协商处理，如路由协议建立邻居、路由聚合需要花费一定的时间。可能会导致业务板的重新启动，需要花费一定的时间。所有这些，都可能导致业务的短时间中断，但是，即使是瞬间的网络中断，也可能给用户造成巨大的损失，对一些政法关键部门的业务用户尤其如此。为31、了将网络中断时间减少至最短时间，甚至做到业务不中断，需要对系统运行时的动态数据或进程状态进行备份，这时备用板处于一个特殊的运行态，只接收和储存由主用板发送来的数据和状态，当主用板发生故障时，系统平滑的切换到备用板，切换过程对网络用户透明，业务不会因为网络的切换而中断。我们称这种备份方式为热备份。当系统的备用板启动之后，主用板和备用板之间的状态差异可以非常大，这时需要将主用系统的数据批量的备份到备用板上，这个过程就是批量备份。当批量备份结束后，随着系统的运行，主用系统的数据会发生变化，这些变化需要定时的备份到备用系统中，这个过程称作定时备份。一旦主用系统出现故障，备用系统和主用系统的角色需要交换32、，将备用系统升格为主用系统的过程称作主备倒换。备用系统升级为主用系统后，一些状态信息没有从原主用系统得到，或数据失效，新的主用系统需要与接口板对硬件状态、链路层状态和配置数据上确认这些数据，这个确认过程是数据平滑。热备份保证主备系统板之间的数据和状态始终一致，因而，业务板也感觉不到系统板发生倒换，再加上协议状态的一致，因此可以保证业务不会丢失。2）补丁技术补丁技术主要目的是修正已经发现并解决的BUG，防止相同的问题在不同的网络上发生。在两种补丁技术中，冷补丁的软件升级技术是传统数据通信产品的主要方式，热补丁技术则是现有电信网络设备的常用方式，冷补丁技术能够不中断业务的转发，但对设备的正常运行有33、一定影响；热补丁的执行过程中业务处理流程可以正常进行，对设备没有任何影响。设备的高可靠性从硬件、软件、保护机制等几个方面体现：冷补丁技术的主要原理是使用更新的软件版本替换有问题的版本，在这个过程中，如果是在无备份的机制下，会中断转发业务；在有备份板的情况下，打补丁操作需要在备板中进行，通过手动倒换操作，能实现无业务损失的升级工作，但在接口处理板上的补丁操作会影响业务的正常运行。热补丁技术需要有操作系统和相应的编译工具的支持，它的原理是将所需要升级的那部分代码编译后形成一个补丁文件，在打补丁过程中，将这个补丁文件加载到系统的补丁区域，并修改原有软件的Bug 区域，将新的特性跳转到补丁区域执行，整34、个过程不需要中断业务，可以在主用板执行，因此业务没有丝毫损失。另外热补丁技术并没有修改原有软件，因此在需要时可以回退，这也为补丁的更新提供了更便利的条件。XX政法网络中所采用的地市汇聚路由器设备具有强大的设备级可靠性保证：1、采用分布式体系结构：在地市节点的高性能路由器采用分布式体系结构，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。2、关键部件冗余：35、采用分布式体系下，对设备的关键部件，如主控管理单元、交换转发单元等，进行冗余构造配置，保证系统在工作中不会全部失效。3、实时热备份机制：在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。4、热插拔特性：任意单板均支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的724小时不间断运行。5、冗余电源支持：提供冗余电源负载分担及备份供电，保障系统具有可靠的能量源。6、散热系统：网络设备的散热系统使设备能够长时间稳定运行而不至因为系统升温过高出现故障，冗余风扇36、等散热装置可以增加设备的运行时间及减少故障发生。4 IP地址规划及设备命名4.1 IP地址规划原则XX政法广域网是基于传输控制/互联协议（TCP/IP）结构的互联网络。其IP地址的编制是网络建设的重要内容，它与网络的整体结构、技术体制、连接方式相关，是实现全网互联互通的基础，必须实行统一规划、统一分配、分级编制、分级管理。IP地址的规划需要遵循以下原则：1唯一性原则唯一性是IP地址在TCP/IP协议中最基本的要求，是IP地址的基本特征和IP地址编制的重要依据。网络中每一网络所使用的IP地址的网络地址字段必须是唯一的，在同一网络中所使用的IP地址中包含的主机地址字段也必须是唯一的，这是实现IP网37、络互联互通的基本条件。2连续性原则在层次化结构的网络中为各个节点划分连续的IP地址区间，便于实现路径叠合（Route Summarization）等优化IP地址的分配技术，简化路由表数据，提高路由算法的计算效率和动态路由的快速收敛，能有效利用地址空间。3扩展性原则IP地址编制要兼顾网络规模扩展的需求，为各个节点预留足够的IP地址扩展区间时，应考虑对网络在用地址的继承性，满足路由协议的要求、实现IP地址编用的平滑连接等，这是保证网络扩展和有序管理的重要条件。4规范性原则XX政法网络各节点的网络互联设备和局域网内主要设备等采用规范的地址编制技术和方法，是网络互联互通和提高网络管理效率的有效措施。538、标准化原则遵循有关TCP/IP协议标准来规划IP地址，是网络建设的重要原则。4.2 IP地址编制方法1完全二叉树分配法网络中各级子网IP地址的编制，是从完全二叉树地址空间中某一子树的根开始，逐级向下地将该子树下的从属子树分配给各级子网和其下级子网，同级子网均以同样方法分配同根的二叉子树。网络互联IP地址和用户主机IP地址，都是从本级子网的从属子树地址空间中分配。采用这一IP地址的编制技术，既避免了各级子网IP地址的重叠，又保证了各级子网IP地址空间的连续性。2分布的地址空间预留技术分布的地址空间预留技术是指给按层次划分的各级子网IP地址预留空间，当由于网络扩展需要IP地址扩展时，可使扩展的IP39、地址空间与在用的IP地址空间连续，使网络继续保持其最简的路由表数据结构，保证了IP地址的平滑扩展。3无类域间路由（CIDR）编址技术无类域间路由CIDR（Classless Interdomain Routing）编址技术使用了可变长子网掩码VLSM（Variable-Length Subnet Mask）技术和完全二叉树地址分配技术，可根据网络和主机的分布状况，灵活地选择不同的子网掩码屏蔽位长度，动态地分配网络地址标志位和主机地址标志位长度，不仅能有效地提高IP地址空间利用率，而且使路由表数据更加简化。4.3 IP地址编制规则IP地址是由32位二进制数字表示，并分为四个八位域。每个八位域由“40、.”分开，表示0255之间十进制数。一个32位的IP地址分为网络地址和主机地址两个字段。IP协议规定了A、B、C、D、E五种IP地址类型，其中常用的是A类、B类和C类地址，详见下表：A类地址：0NNNNNNN.HHHHHHHH.HHHHHHHH.HHHHHHHHB类地址：10NNNNNN.NNNNNNNN.HHHHHHHH.HHHHHHHHC类地址：110NNNNN.NNNNNNNN.NNNNNNNN.HHHHHHHHN：网络地址标志位H：主机地址标志位在Internet中以上三类地址区间分别定义了“保留地址区”，供各类内部网络使用，以避免与外部网络发生地址冲突。其保留地址区间如下：A类：1041、.0.0.010.255.255.255B类：172.16.0.0172.31.255.255C类：192.168.0.0192.168.255.2554.4 IP地址分配方案鉴于XX政法网络IP地址的资源情况，以及对于各单位原有纵向业务系统的对外IP地址分配须予以保留，并且考虑到以后公网IP地址资源的申请情况，我们建议采用公私网IP地址混合应用的规划方案，XX政法网络除了对外提供服务的服务器、还有内部用户对外上网或其他访问Internet的业务需求采用公网IP地址，其他均可以采用私网IP地址进行规划，即可采用采用公私网IP地址混合，在出口做NAT的规划。 由于XX政法网络系统主要用于内部业务42、的互访，与INTERNET网络即外网目前是采用物理隔离的方式，所以原则上采用任何IPV4地址空间块都是可以的。目前，在国际标准RFC1918中定义了IPv4私有地址空间为10/8，172.16/12,192.168/16，这三个地址空间块是不会出现在INTERNET网络中。鉴于XX政法网络系统包括广域网和各节点局域网组成。其中IPV4地址类型大致分为广域网互联地址（包括设备的环回LOOPBACK地址和设备互联地址），局域网业务和管理地址两大类。所以我们建议所有广域网互联地址从192.168/16中分配。具体规划：设备互联和设备环回接口LOOPBACK地址分配方案：AREA0中省信息中心和地市网43、络中心所有设备的LOOPBACK地址依次从192.168.0.1/24分配，共253个地址。所有设备的互联地址依次从192.168.1.1/30,192.168.1.5/30 192.168.1.253/30共64个/30网段中依次分配。5 路由规划部署方案5.1 路由方案选择原则互连是网络构建最基础和最本质的要求，选择适当的路由协议需要以此为目标，并综合考虑以下因素：1) 路由协议的开放性：开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和用户构建网络时的设备选择空间，这点在很多情况下是需要重点考虑的。2) 网络的拓扑结构44、：网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。对于比较复杂的网络，需要使用处理能力更强的协议，如OSPF、IS-IS等。3) 网络节点数量：不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。XX政法网络节点较多，路由信息也非常多，而且网络状况会千变万化，将导致路由刷新相对频繁，所以对路由协议的性能提出很高的要求。如能支持的节点数、路由选径是否最佳、路由算法必须具有鲁棒性、快速收敛性、灵活性等。4) 网络间的互通及关联要求：通过划分成相对独立管理的网络45、区域，可以减少网络间的相关性，有利于网络的管理和扩展。可通过划分区域等形式，路由协议要能支持减少网络间的相关性。必要时还要考虑路由信息安全因素和对路由交换的限制策略管理。5) 管理和安全上的要求：通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的支持。根据以上原则，现在各种大型网络构建中，为节省投资、保证网络的持续扩展性，都在使用开放、标准而又健壮的协议。5.2 路由协议的选择根据XX政法骨干网的网络结构，设计选择适合的路由协议，能够实现优化的网络路径选择，同时具有路径均衡功能46、，在网络结构发生变化时数据能够通过其他路径迂回，保证网络的畅通。在互联网飞速发展的今天，TCP/IP协议已经成为数据网络互联的主流协议。各种网络上运行的大大小小各种型号路由器，承担着控制本世纪或许最重要信息的流量，而这成百上千台路由器间的协同工作，离不开路由协议。因此在大型网络的规划构建中，选择适当的路由协议是非常重要的。目前常用的单播路由协议有多种，如RIP、OSPF、IS-IS、BGP等。不同的路由协议有各自的特点，分别适用于不同的条件之下。5.2.1 内部网关路由协议（IGP）（1）距离矢量路由协议在IGP路由协议的选择上，距离矢量路由协议主要特点是适合于小型网络，路由收敛较慢，可能会形47、成路由环路，链路带宽消耗较大等。IGRP、EIGRP是厂商私有的路由协议，所以尽量不要采用扩展性差的（RIP）和厂家的私有路由协议（IGRP和EIGRP），尽量采用OSPF或IS-IS。（2）链路状态路由协议对于OSPF和IS-IS的选择依据为：基本原理相同（基于链路状态算法），OSPF用于IP， IS-IS用于ISO的CLNP，也支持IP（“集成IS-IS”）；IS-IS结构严谨，OSPF更加灵活，OSPF协议是基于接口的，而IS-IS路由器只能属于一个Area，并且不支持NBMA网络；IS-IS占用网络资源相对较少，支持网络规模大于OSPF，在网络相当庞大时能体现出优势；一个IGP域运行的48、三层交换机及路由器的数量一般不会超过200台，因此从实际情况来看，运行OSPF和IS-IS对IP城域网/承载网的建设不会有差异；对于网络的稳定性、可扩充性，两种协议都能很好地支持；在大型ISP上，IS-IS与OSPF二者均获得普遍应用；从MPLS草案及现实运行来看，如果要运行MPLS网络的话，OSPF经常被选用做内部IGP，当然IS-IS也有，但是MPLS草案中认为在MPLS环境中运行OSPF更合适；使用MPLS TE的时候，采用IS-IS扩展的较多；从目前很多厂商的设备来看，存在这样一个问题，不少厂商的中低端路由器及三层交换机不支持IS-IS，从这个角度讲OSPF比IS-IS有优势，所有的主49、流路由器及三层交换机都支持OSPF。因此XX政法骨干网络在构建中，全网使用开放标准的OSPF路由协议，将使得网络在以后的扩展中具有更多的选择空间，不会受到使用某一封闭标准而带来的扩展限制。5.2.1.1 OSPF简介OSPF（Open Shortest Path First，即最短路径优先协议）是一种基于链路状态的内部动态路由协议。与所有链路状态路由协议相同，OSPF协议比距离向量路由协议具有更快的收敛速度，可以支持更大的网络，不易受到错误路由信息的影响，是一种适用范围大、功能完善的路由协议。OSPF路由协议还具有以下特点：通过引入区域的概念，OSPF协议建立分层的路由计算结构，减少了路由协议50、对CPU资源的消耗，也节省了路由信息传播所占用的网络带宽；支持无类别的路由表查找，支持变长子网掩码，并且通过支持超网，提高路由的可管理性；采用触发更新机制，路由收敛速度快；支持在数个费用相同的路径之间进行负载均衡，从而更加有效地利用网络资源；使用保留的组播地址传递协议控制信息，减少对非OSPF网络设备的影响；支持路由信息的认证，提供更安全的路由机制；通过路由标记跟踪外部路由。目前OSPF的主要标准是RFC2328（版本2）。5.2.1.2 OSPF协议特点总的来说，由于OSPF发展成熟，厂商支持广泛，已经成为世界上使用最广泛的IGP，尤其在企业级网络，也是IETF推荐的唯一的IGP。其他路由协51、议所能适应的网络和具备的主要优点，OSPF都能适应。l OSPF是真正的loop-free（无路由自环）路由协议：源自其采用算法本身（链路状态及最短路径树算法）的优点；l OSPF收敛速度快：能够在最短的时间内将路由变化传递到整个自治系统并完成路由重新计算；l 支持等价路由负载分担，能更有效地利用链路资源；l 提出区域（area）划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了整个自治系统所需传递的路由信息数量，减轻了对路由器的性能需求和管理难度，也使得路由信息不会随网络规模的扩大而急剧膨胀；l 协议设计精巧，将协议自身的报文开销控制到最小。主要采用的技术如下52、：l 用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文，非常短小。包含路由信息的报文时是触发更新的机制（有路由变化时才会发送）。但为了增强协议的健壮性，每1800秒全部更新一次。l 在广播网络中，使用组播地址（而非广播）发送报文，减少对其它不运行OSPF的网络 设备的干扰。l 在各类可以多址访问的网络中（广播，NBMA），通过选举DR，使同网段的路由器之间的路由交换（同步）次数由 O（N*N）次减少为 O（N）次。l 提出STUB区域的概念，使得STUB区域内不再传播引入的AS外部路由，并可以控制其它区域LSA的传入。l 在ABR（区域边界路由器）上支持路由聚合，进一步减少区53、域间的路由信息传递。l 在点到点接口类型中，通过配置按需拨号属性（OSPF over On Demand Circuits），使得OSPF不再定时发送hello报文及定期更新路由信息，保证低速链路上能节约网络带宽的消耗。只在网络拓扑真正变化时才发送更新信息。l 通过严格划分路由的级别（共分四级），提供更可信的路由选择。l 良好的安全性，OSPF支持基于接口的明文及MD5协议报文验证，可以很好地防止恶意攻击和错误的配置；l OSPF适应各种规模的网络，经过适当的规划可以支持多达数千台。l 具备链路状态路由协议能感知全局网络拓扑相关信息的特点，可以扩展支持流量工程，最大程度地提高骨干网络资源的使用54、效率。5.2.1.3 与OSPF协议相关的基本概念5.2.1.3.1 路由器ID号一台路由器如果要运行OSPF协议，必须存在Router ID。如果没有配置ID号，系统会从当前接口的IP地址中自动选一个作为路由器的ID号。5.2.1.3.2 DR和BDRDR（Designated Router，指定路由器）为使每台路由器能将本地状态信息广播到整个自治系统中，在路由器之间要建立多个邻居关系，但这使得任何一台路由器的路由变化都会导致多次传递，浪费了宝贵的带宽资源。为解决这一问题，OSPF协议定义了DR，所有路由器都只将信息发送给DR，由DR将网络链路状态广播出去，除DR/BDR外的路由器（称为DR55、 Other）之间将不再建立邻居关系，也不再交换任何路由信息。哪一台路由器会成为本网段内的DR并不是人为指定的，而是由本网段中所有的路由器共同选举出来的。BDR（Backup Designated Router，备份指定路由器）如果DR由于某种故障而失效，这时必须重新选举DR，并与之同步。这需要较长的时间，在这段时间内，路由计算是不正确的。为了能够缩短这个过程，OSPF提出了BDR的概念。BDR实际上是对DR的一个备份，在选举DR的同时也选举出BDR，BDR也和本网段内的所有路由器建立邻接关系并交换路由信息。当DR失效后，BDR会立即成为DR。5.2.1.3.3 区域（Area）随着网络规模日56、益扩大，当一个巨型网络中的路由器都运行OSPF路由协议时，路由器数量的增多会导致LSDB非常庞大，占用大量的存储空间，并使得运行SPF算法的复杂度增加，导致CPU负担很重；并且，网络规模增大之后，拓扑结构发生变化的概率也增大，网络会经常处于“动荡”之中，造成网络中会有大量的OSPF协议报文在传递，降低了网络的带宽利用率。而且每一次变化都会导致网络中所有的路由器重新进行路由计算。OSPF协议通过将自治系统划分成不同的区域（Area）来解决上述问题。区域是在逻辑上将路由器划分为不同的组。区域的边界是路由器，这样会有一些路由器属于不同的区域，连接骨干区域和非骨干区域的路由器称作区域边界路由器ABR，57、ABR与骨干区域之间既可以是物理连接，也可以是逻辑上的连接。除了ABR，负责OSPF域和非OSPF域进行交换路由的区域边界路由器叫ASBR。5.2.1.3.4 骨干区域和虚连接骨干区域（Backbone Area）OSPF划分区域之后，并非所有的区域都是平等的关系。其中有一个区域是与众不同的，它的区域号（Area ID）是0，通常被称为骨干区域。虚连接（Virtual link）由于所有区域都必须与骨干区域在逻辑上保持连接，特别引入了虚连接的概念，使那些物理上分割的区域仍可保持逻辑上的连通性。5.2.1.3.5 路由聚合AS被划分成不同的区域，每一个区域通过OSPF边界路由器（ABR）相连，区58、域间可以通过路由汇聚来减少路由信息，减小路由表的规模，提高路由器的运算速度。ABR在计算出一个区域的区域内路由之后，查询路由表，将其中每一条OSPF路由封装成一条LSA发送到区域之外。ABR和ASBR都可以进行路由聚合。例如，下图中，Area 19内有三条区域内路由19.1.1.0/24，19.1.2.0/24，19.1.3.0/24，如果此时配置了路由聚合，将三条路由聚合成一条19.1.0.0/16，在RTA上就只生成一条描述聚合后路由的LSA。区域及路由聚合示意图5.2.2 外部网关路由协议（BGP）BGP（Border Gateway Protocol，即边界网关协议）是一种自治系统间的59、动态路由发现协议，它的基本功能是在自治系统间自动交换无环路的路由信息。目前BGP的标准是RFC1771/RFC1772（版本4）。BGP的路由策略特别丰富，易于控制业务和路由流程。BGP通过在路由信息中增加自治区域（AS）路径的属性，来构造自治区域的拓扑图，从而消除路由环路并实施用户配置的策略。另外，BGP支持无类型的区域间路由CIDR（Classless Inter domain Routing），可以有效的减少日益增大的路由表。目前，使用的BGP版本是BGP-4，为支持MPLS VPN、IPv6等协议，建议所有设备支持BGP多协议扩展（MP-IBGP）。在XX政法网络中，本省业务网作为独立60、的自治系统AS，与国家政法总局骨干网之间运行EBGP协议，在AS边界路由器上进行BGP的策略控制。6 QOS设计为保证XX政法公共平台网络系统各种业务的正常及时处理，需要对不同业务实施不同的QOS策略。对于关键的核心业务的部分，需要优先保证这些业务的时延和带宽；而对于其它业务来说，也应当有相应的QOS策略来提供不同的服务质量保证。针对XX政法系统网络的应用环境，在边缘设备可以采用IP QoS复杂流分类技术对不同业务数据报文设置不同的DSCP/TOS标记，并根据需要采用流量监管技术（CAR）对带宽进行限制；携带DSCP/TOS标记的业务报文在核心层网络的广域网路由器上，根据DSCP/TOS标识进61、行简单流分类，并根据不同业务设置的DSCP/TOS标记，配置相应的队列以及队列带宽保证，由广域网路由器根据数据流情况采用高效的队列管理技术（WRED/SARED）以及队列调度技术（PQ/LLQ）对用户的需求做保证。建议在规划XX政法系统网络QOS设计时，遵循以下的原则：l 正常情况下QOS是通过带宽来保证的，带宽利用率达到60可考虑扩容l 网络设备的容量不成为瓶颈l 网络故障或突发流量情况下QOS策略生效l 任何时候都优先保证关键的实时业务6.1 QOS体系结构的选择为了在IP网上提供QoS，IETF提出了许多服务模型和协议，其中比较突出的有IntServ (Integrated Servic62、es)模型和DiffServ (Differentiated Services)模型。 IntServ模型要求网络中的所有节点（包括核心节点）都记录每个经过的应用流的资源预留状态，需要通过IP包头识别出所有的用户应用流（进行MF分类），同时为每个经过的应用流设置单独的内部队列以分别进行监管（Policing）、调度（Scheduling）、整形（Shaping）等操作。对于现在大型运营网络中的节点，这种应用流（活动的）的数量非常庞大，会远远超出节点设备所能够处理的能力，而且可扩展性差，仅适合在小规模网络中使用。 DiffServ模型的基本原理是将网络中的流量分成多个类，每个类接受不同的处理，尤63、其是网络出现拥塞时不同的类会享受不同的优先处理，从而得到不同的丢弃率、时延以及时延抖动。在DiffServ的体系结构下，IETF已经定义了EF（Expedite Forwarding）、AF1-AF4（Assured Forwarding）、BE（Best Effort）等六种标准PHB（Per-hop Behavior）及业务。此外，有些厂商实现了基于TOS的分类服务（COS），并且这类设备已经应用在一些现有的运营网络。COS和DiffServ类似，不过比DiffServ更简单，并且不象DiffServ那样定义了一组标准的业务。DiffServ对聚合的业务类提供QoS保证，可扩展性好，便于在64、大规模网络中使用。本次工程推荐使用DeffServ机制实现QOS。DiffServ域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理，开销较大，容易形成网络瓶颈，因此需要将这些功能分布到不同的设备上去，如流分类功尽量在边缘实现。基于DiffServ的QOS模型如图所示：采用Diffserv/CoS的方法需要对所有的IP包在网络边缘或用户侧进行流分类，打上Diffserv或CoS标识。DS域内的路由器根据优先级进行转发，保证高优先级业务的QoS要求。骨干网络实施Diffserv/CoS，需要所有相关65、设备支持，特别对边沿节点有很强QOS能力需求。6.2 QOS的实现机制XX政法网络能够实现承载包括实时业务在内的综合业务的QoS特性，尤其对DiffServ提供了基于标准的完善支持，包括流分类、流量监管（Policing）、流量整形（Shaping）、队列管理、队列调度（Scheduling）等，完整实现了标准中定义的EF、AF1-AF4、BE等六组PHB及业务。内部处理流程如下图所示：l 流分类总的来说，允许根据报文头中的最多192比特的控制域信息进行流分类，具体可以包括下面描述的报文2、3、4层的控制信息域。首先输入端口号可以作为重要的分类依据，它可以单独使用，也可以结合报文的其他信息对流66、分类。二层的重要控制域就是源MAC地址。允许通过配置将报文的源MAC汇聚为MAC地址组，最大允许64源MAC地址组，源MAC地址组可以单独或同其他域组合对用户流进行分类。此外VLAN ID也是参与流分类的重要属性，只不过是以子接口的形式隐式参与。三层可以参与分类的控制域包括：源和目的IP地址、TOS/DSCP字节、Protocol（协议ID）、分段标志、ICMP报文类型。四层的源和目的端口号、TCP SYN标志也是允许参与流分类的重要信息域。l 流量监管流量监管也就是我们通常所说的CAR，是流分类之后的动作之一。 通过CAR，运营商可以限制从网络边沿进入的各类业务的最大流量，控制网络整体资源的67、使用，从而保证网络整体的QoS。运营商合用之间都签有服务水平协议（SLA） ，其中包含每种业务流的承诺速率、峰值速率、承诺突发流量、峰值突发流量等流量参数，对超出SLA约定的流量报文可指定给予pass（通过）、drop（直接丢弃）或markdown（降级）等处理，此处降级是指提高丢弃的可能性（标记为丢弃优先级降低），降级报文在网络拥塞时将被优先丢弃，从而保证在SLA约定范围之内的报文享受到SLA预定的服务。RFC定义了四种标准流量监管算法（Color aware single rate three color 、Color aware two rate three color、Color bl68、ind single rate three color 、Color blind two rate three color）。l DSCP标记/重标记标记/重标记是是流分类之后的动作之一。所谓标记就是根据SLA以及流分类的结果对业务流打上类别标记。目前RFC定义了六类标准业务即：EF、AF1-AF4、BE，并且通过定义各类业务的PHB （Per-hop Behavior）明确了这六类业务的服务实现要求，即设备处理各类业务的具体实现要求。从业务的外在表现看，基本上可认为EF流要求低时延、低抖动、低丢包率，对应于实际应用中的Video、语音、会议电视等实时业务；AF流要求较低的延迟、 低丢包率、 69、高可靠性，对应于数据可靠性要求高的业务如电子商务、企业VPN等；对BE流则不保证最低信息速率和时延，对应于传统Internet业务。在某些情况下需要重标记DSCP。例如在Ingress点业务流量进入以前已经有了DSCP标记（如上游域是DSCP域的情形，或者用户自己进行了DSCP的标记），但是根据SLA，又需要对DSCP进行重新标记。完全支持RFC定义的标准的DSCP DS CODE，还支持现在有些网上可能使用的COS。COS是以TOS的前三比特作为业务区分点，总共可分8个业务等级，对每一种业务等级均有特定的定义。l 队列管理队列管理的主要目的就是通过合理控制Buffer的使用，对可能出现的拥塞70、进行控制。其常用的方法是采用RED/WRED算法，在Buffer的使用率超过一定门限后对部分级别较低的报文进行早期丢弃，以避免在拥塞时直接进行末尾丢弃引起著名的TCP全局同步问题，同时保护级别较高的业务不受拥塞的影响。WRED算法可支持多达8个优先级4种丢弃级别的业务流类别，对每种优先级的WRED曲线均可单独配置。在算法精度上，不仅能及时“感知”网络的拥塞状况，同时可避免网络的振荡，由此对各种业务流以及同一业务流内部不同的丢弃级别报文进行不同统计概率的丢弃，可及时有效的避免和控制网络拥塞。WRED算法由于仅仅根据当前队列长度计算报文的丢弃率，会导致不适当的丢弃从而引起网络流量的剧烈波动。由于W71、RED算法的这一局限，在突发度较高的网络中，仅仅使用WRED算法进行的流量控制的效果会不太理想，为此核心骨干路由器同时实现了先进的SARED算法来弥补这一缺陷。SARED算法基于稳定性理论，在考虑平均队列长度的基础之上，将流的包到达速率作为一个控制因素进行流控，可以在网络严重过载时，有效吸收传统的WRED带来的网络振荡，使得业务吞吐量更加平滑理想。l 队列调度和流量整形对于时延要求严格的实时业务等，可以利用内部特有的低时延调度算法满足业务要求；对于带宽要求的业务，带宽保证算法可以实现严格的带宽保证。应用时用户不必关心内部抽象的调度算法，只需要描述业务的流量特征，比如保证多少兆的带宽、峰值最多多72、少兆的带宽、要占剩余带宽的比例权重等。需要根据配置的流量参数选用不同的调度算法来严格保证要求的服务质量。队列调度的构架是一个两级调度模式，第一级是PQ（Preference Queueing）模型，严格按优先级进行调度，实时业务作为高优先级可以在处理时通过绝对优先调度而时延极低；第二级采用基于时间片的调度模型，带宽保证的要求能够严格地满足。队列管理包括FIFO、PQ、CQ、WFQ、CBWFQ、LLQ等队列技术。针对XX政法网络的具体需求，如实时业务需要严格保证，建议在所有广域网链路采用CBWFQ/LLQ的队列调度算法。LLQ介绍：LLQ技术实际上是在CBWFQ的基础上增加了PQ队列，可以对关键73、业务实现严格的优先队列，而其它业务通过CBWFQ调度。如图所示，LLQ首先根据报文进入网络设备的接口、报文的协议，报文是否匹配访问控制列表（Access Control List，ACL）来对报文进行分类。然后让不同类别的报文进入不同的队列。对于不匹配任何类别的报文，报文被送入默认队列，按WFQ进行处理，即按照流的方式进行处理。图中所示0号队列是优先队列（一个或多个类的报文可以被设定进入优先队列），不同类别的报文可设定占用不同的带宽。 在调度出队的时候，若优先队列中有报文，则调度器总是优先发送优先队列中的报文，直到优先队列中没有报文时，才调度发送其他队列中的报文。 每个队列被分配了一定的带宽，74、调度器会按照每个队列分配到的带宽进行报文出队发送。进入优先队列的报文在接口没有发生拥塞的时候（此时所有队列中都没有报文），所有属于优先队列的报文都可以被发送。在接口发生拥塞的时候（队列中有报文时），进入优先队列的报文被限速，超出规定流量的报文将被丢弃。这样，在接口不发生拥塞的情况下，可以使属于优先队列的报文能获得空闲的带宽，在接口拥塞的情况下，又可以保证属于优先队列的报文不会占用超出规定的带宽，保护了其他报文的应得带宽。另外，由于只要优先队列中有报文，调度器就会发送优先队列中的报文，所以优先队列中的报文被发送的延迟最多是接口发送一个最大长度报文的时间，无论是延迟还是延迟抖动，优先队列都可以将之75、降低为最低限度。这为对延迟敏感的应用如VoIP业务提供了良好的服务质量保证。图中1到N1的队列为各类报文的队列。每类报文占一个队列。在调度器调度报文出队的时候，按用户为各类报文设定的带宽将报文出队发送。属于1到N1号队列的报文可以被确保得到用户设定的带宽。当接口中某些类别的报文没有时，属于1到N1号队列的报文还可以公平地得到空闲的带宽，和时分复用系统相比，大大提高了线路的利用率。同时，在接口拥塞的时候，仍然能保证各类报文得到用户设定的最小带宽。当报文不匹配用户设定的所有类别时，报文被送入默认队列。默认队列在逻辑上可看作是一个队列，但实际上是个WFQ队列，所有进入默认队列的报文再按流进行分类。L76、LQ/CBWFQ最多允许将报文分为64类（其中包括默认类）。所以N1的最大值为63。默认队列的个数N2可以由用户设定。对于默认队列和1到N1的队列，用户可以设定队列的最大长度。当队列的长度达到队列的最大长度时，默认采用尾丢弃的策略。但用户还可以选择用加权随机早期检测（Weighted Random Early Detection, WRED）的丢弃策略。加权随机早期检测的丢弃策略请参见后面加权随机早期检测WRED的描述。对于优先队列，由于在接口拥塞的时候流量限制开始起作用，所以用户不必设置队列的长度（也就没有了尾丢弃）。6.3 QOS部署华为网络设备提供的丰富QoS机制完全能够满足XX政法网络77、系统的要求，具体策略如下。对于不同的业务如综合征管业务和其它关键业务，普通业务分别在接入交换机对其进行IP优先级/DSCP进行标记，并且基于IP优先级/DSCP对流量进行分类。保证综合征管业务和其它关键业务有高的优先级。在广域网的入口，通过流量监管机制CAR，在入口侧限制业务中不同信息流的流量，此功能在边缘局域网交换机上进行。这些业务在从LAN发送到WAN时肯定会在出口处发生拥塞，这时可以采用拥塞避免措施如通过WRED/尾丢弃机制对于不同业务区别对待，避免网络内部流量振荡。减少TCP窗口发送的段。通过CBWFQ队列调度算法，保证高优先级的队列数据优先通过，比如综合征管业务和其它关键业务。从而保78、证业务数据的带宽、时延、时延抖动等QoS性能最后需要说明的是QOS的最佳工作区间是在网络偶尔发生拥塞的情况下，如果网络经常发生拥塞，最好的QOS解决办法就是升级线路带宽。7 网络安全设计网络安全解决方案实际上是一个系统工程，而不仅仅是网络安全产品及特性的简单罗列。为了合理的解决网络安全问题，必须充分分析网络逻辑组成，网络中不同部分的功能不同，所关注的安全问题也不同，如XX政法网部分的主要功能是设备互联及数据传送，所以广域网安全关注的重点是网络自身安全及数据传送安全。7.1 网络安全概述所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/资源。从安79、全威胁的对象来看，可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击，如常见的监听、IP地址欺骗、路由协议攻击、ICMP Smurf攻击等；网络服务过程主要针对TCP/UDP以及居于其上的应用层协议进行，如常见的UDP/TCP欺骗、TCP流量劫持、TCP DoS、FTP反弹、DNS欺骗等等；软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序，甚至是基于Web的软件系统发起攻击。从安全威胁的手法来看，蠕虫、拒绝服务、监听、木马、病毒都是常见的攻击工具。组网结构上，广域网链路设计一般都采用备份方式，使得任意一条链路80、或者任意一点设备出现故障时，可以通过另外一条连接提供服务，而不会导致服务暂停。充分保证了网络的可靠性。整个网络运行动态路由OSPF协议，通过动态路由实现网络层次的自动备份。在广域网路由器选用上充分考虑了设备的可靠安全性，核心设备采用双主控、双电源、双交换网实现冗余备份，故障时能够自动倒换，并支持热插拔和更换。倒换时不影响转发。同时设备通过完善的QoS功能能够严格的控制网络流量，提高网络效率，在局域网通过VLAN划分来防网络窃听， 对关键的主机系统和子网，能够进行网络资源检查，并及时发现问题。使用安全扫描软件，对关键的主机系统和网络定期进行扫描，可以检查出网络弱点和策略配置上的问题。根据扫描软81、件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全策略。定期强制更新用户口令，并制定用户口令规则，禁止使用不符合规则的口令。定期检查文件系统的访问权限是否合理，检查用户帐号的使用是否正常。7.2 网络安全设计根据端到端集成安全体系架构，我们从空间，网络层次，时间三个角度考虑XX政法网络的安全解决方案，从空间上，XX政法网络采用模块化思路构建，整个网络可以分为不同的逻辑功能区，不同功能区的安全关注的重点也不同，相应的，在其它两个方面（网络层次及时间）采取的安全措施也不同。l 广域网安全广域网部分的主要功能是设备互联及数据传送，安全关注的重点是网络自身安全及数据传送安全，涉及的网络协议层次主要82、是IP层以下，安全事件追踪的重点是网络事件记录。网络自身安全：主要从设备安全，组网安全几个方面保证，应该指出的是，网络的高可靠性设计的最终目的实际上也是网络自身安全，关于高可靠性设计部分，前面的章节中已经有了较多的描述，这里不再重复。设备安全：网络设备除了应该满足电磁安全，环境，安规等相关标准外，还应具备防流量攻击能力，XX政法网中采用的路由器均支持ISPKeeper功能，可以有效的防流量攻击。目前XX政法网络上广域网线路带宽远远小于设备的处理能力，广域网上发生流量攻击问题的可能性不大，但是随着网络流量扩大后，需考虑流量攻击的可能性。数据传送安全：目前IP网络上数据传送安全的最好解决办法就是采83、用IPSec技术，对数据进行加密，一般来说，数据加密在网络的两端或主机上完成，中间的网络透明传送。必要时也可在某些特殊的线路上考虑IPSec加密。安全事件追踪：将网络上的事件记入日志。7.3 网络设备的安全技术部署7.3.1 系统安全技术部署本次项目中可采取下述措施来保证系统中网络设备本身的安全（包括路由器NE80E、NE40E、NE40E-X3、NE20E系列）u 关闭路由器上的不必要的服务，如Finger、BOOTP、DHCP；u 远程登录采用SSH加密方式而不用telnet明文方式；u 部署日志服务器记录网络设备上LOG；u 网络管理协议采用SNMPv3保护MIB数据在网络设备和管理工作84、站之间的安全传送。u 配置OSPF路由协议的MD5认证，防止恶意的假路由更新。u 配置远程登录或Console超时选项，增加访问的安全性u 通过Access List来控制访问的来源7.3.2 骨干网访问控制部署在全省骨干中，平级单位之间不能相互访问；省局可以访问到市、县、乡所有下级单位的所有计算机，包括个人用计算机和服务器；所有下级单位用户只可以访问省局的服务器，不能访问省局办公楼内的个人用计算机。在省局路由器上设置相应的ACL，根据各地市的网段地址进行区分，限制平级单位之间通过省局核心的互访，对于同一地市县区之间的访问，则在市汇聚路由器上进行相应限制。在纵向访问方面，建议在省局路由器上根据85、服务器以及普通用户所在的网段进行区分，并指定相应的ACL策略。7.3.3 路由器安全技术优势介绍XX政法网络系统网络的路由器NE40、NE20E、AR28-31系列，其安全性尤其重要，必须防范来自网上的恶意攻击。另外，有时用户无意识但有破坏性的访问也会导致设备的性能下降，甚至无法正常工作。因此，其安全特性有特别重要的地位。NE80E、NE40E、NE20E提供的网络安全特性包括：l 基于RADIUS（Remote Authentication Dial-In User Service）协议和HWTACACS协议的AAA（Authentication, Authorization, Accoun86、ting）服务：路由器与RADIUS或HWTACACS服务器配合实施AAA服务，可以提供对接入用户的验证、授权和计费安全服务，防止非法访问。l 验证协议：在PPP线路上支持CHAP（Challenge Handshake Authentication Protocol）和PAP（Password Authentication Protocol）验证。l 包过滤（Packet Filter）：通过访问控制列表实施，指定允许通过或禁止通过路由器的报文类型。l 应用层报文过滤ASPF（Application Specific Packet Filter）：也称为状态防火墙，是一种高级通信过滤，它检查87、应用层协议信息并且监控基于连接的应用层协议状态，维护每一个连接的状态信息，并动态地决定数据包是否被允许通过防火墙或路由器。l 网络层安全（IP Security，IPSec）：特定的通信方之间在IP层通过加密与数据源验证，来保证数据包在Internet上传输时的私有性、完整性和真实性。l 事件日志：记录系统安全方面的事件，以跟踪非法侵入。l 地址转换：NAT网关将公共网络和企业内部网隔离开来，在公共网络中隐藏企业内部设备的IP地址，阻止来自公共网络上的攻击。l 相邻路由器验证：确保所交换路由信息的可靠性。8 MPLS VPN部署建议在XX政法未来业务发展到一定程度，业务种类繁多，需要保障各个业88、务系统的管理以及QoS保障，可以在现有设备基础上升级到MPLS VPN网络。8.1 MPLS VPN设计MPLS VPN自身的优点可以适应动态网络变化，如部门的合并、撤分引起的物理网络拓扑、IP地址、设计规划、VPN及VLAN的变化，以及开设专门的业务专网如视讯业务专网、语音业务专网等，通过设计具有扩展性及易适应性的方案来满足类似此中情况的变化。其中对于政法行业本身的业务相对集中，但是在扩展新的业务功能时，可以采用MPLS VPN技术实现新的业务扩展。在IP承载网的基础上，MPLS VPN作为一个大的业务承载，负责新的业务扩展如视讯、语音等应用。XX政法网的MPLS VPN规划依据现有的业务分89、类为基础，包括VPN的分类、地址规划等。整个政法业务网络络的MPLS VPN实现前需要弄清楚几个概念：P/PE节点P节点是MPLS VPN核心节点，完成MPLS VPN报文的标签转发工作，P设备必须支持MPLS基本能力，但是可以不支持MPLS VPN。PE设备直接与CE设备相连，为不同VPN分发不同的标签，完成VPN路由的扩散，实现VPN数据的隔离与分发，是实现MPLS VPN的主要设备。CE节点各接入层设备作为CE节点设备。CE设备感知不到MPLS VPN的存在，不需要支持MPLS VPN，只要是标准的IP设备就可以作为CE设备。MPLS VPN的方便扩展MPLS的VPN业务开展有一个非常好90、的特性，就是扩展方便。和传统的以物理专线或VC方式构建VPN的技术不同，MPLS VPN的可扩展性很好，不存在配置N平方问题。VPN用户的增添和删除地工作量非常小，只需要在相应的PE上进行设置就可以了，其余的改动信息由IGP/BGP自动通知到其它的CE和PE，而对现有用户不需要作任何改动。用户加入VPN的配置也很简单；同时，VPN用户可以延用原有的专用地址，不需要作任何修改。MPLS VPN设计由于MPLS VPN中，MPLS域内部的节点（P及PE设备）是通过普通的IGP路由协议实现连通的，而各PE设备之间是通过BGP扩展，即MP-BGP实现的，所以，在路由规划上，每个MPLS域会单独划为一个91、AS域，内部运行普通的IGP协议保证整个MPLS域的连通，PE设备需运行BGP路由协议用于扩散VPN私网路由信息。PE和CE之间可以通过静态路由，动态路由IGP（如RIP，OSPF等，需要多实例化）或EBGP交换VPN路由。在MPLS/BGP VPN中，属于同一的VPN的两个site之间转发报文使用两层标签来解决，在入口PE上为报文打上两层标签，第一层（外层）标签在骨干网内部进行交换，代表了从PE到对端PE的一条隧道，VPN报文打上这层标签，就可以沿着LSP到达对端PE，这时候就需要使用第二层（内层）标签，这层标签指示了报文应该到达哪个site，或者更具体一些，到达哪一个CE，这样，根据内层标92、签，就可以找到转发的接口。可以认为，内层标签代表了通过骨干网相连的两个CE之间的一个隧道。MPLS/BGP VPN可以简化对用户端设备的需求和用户管理、维护Intranet/Extranet的复杂性，每个CE仅需要维持一个到PE的路由交换协议，CE间的路由交换、传输控制、路由策略由运营商根据VPN用户的需求来实施。由于BGP的策略控制能力很强，随之而来的是VPN用户路由策略控制的灵活性。介绍MPLS VPN方案重用到的几个概念：VRF命名VRF（VPN Routing Forward）是VPN路由转发表，一个VRF实际上综合了和它所对应site的VPN成员关系和路由规则，一个VRF包括一个IP93、路由表、一个FIB( forwarding information table)表、相关联的端口、和一些控制路由的规则和参数。VRF名为路由器中识别、引用特定VPN的字符串，VRF名称只在本路由器中有效。在政法业务网络，建议每个VRF的名字与对应VPN的用途相联系，以便于管理，建议全网采用统一的VRF名称来标识一个VPN，如在所有PE设备上将视讯VPN对应的VRF命名为shixun。RD命名规范在MPLS VPN中，RD作为不同VPN私网路由的前缀，与IPv4地址一起构成VPN-IPv4地址，可以唯一地标识一个VPN用户地址。RD将在MP-BGP路由更新消息中附着在NLRI之前一并送出。RD为94、64比特序列，RFC2547为RD定义了两种格式： : : : : 在以上格式中，首位的16比特类型域由格式决定，不可配置，可供配置的只有48比特，目前多采用以下格式： xxx:yyy在政法业务网络中，我们也需要使用RD来标识不同的VPN， RD的命名兼顾到：将xxx设置为地市的编号（可以借用电话号码的区号），yyy用来标识VPN的类型。VPN 访问权限的控制在MPLS VPN中，私网路由的扩散是通过BGP路由协议的route-target属性来控制的，route-target和一系列特定的路由相关联，不同VPN的VRF中的路由可以通过export或import来进行两个不同VPN之间路由的交95、换。RT也是64比特序列，通过导出（export）、导入（import）不同的RT值，同一VPN的不同PE间，甚至不同VPN的PE间可以控制路由前缀的接收，达到控制VPN站点（site）间逻辑拓扑的目的。应该注意的是：RT规范和RD一样，尽管RT与RD的表示方式是一样，但二者无本质联系，其命名也是相互独立的。但是在实际使用时，出于管理及维护方便考虑，二者多用同样的命名表示。8.2 MPLS VPN部署MPLS VPN 的部署主要考虑以下几个问题：1. VPN的划分方式。即划分几个VPN，每个VPN中包括那些业务。2. 确定MPLS 域的范围。即哪些设备做为PE，哪些做为P设备，哪些做为CE设备96、。3. 用户业务系统的接入。4. PE-CE之间路由协议的选择。可选择动态路由协议或静态路由。5. 考虑MPLS VPN的扩展性，即网络未来是否需要向更下的层次扩展，可以考虑使用分层PE等技术。6. 考虑是否需要VPN跨域互通。是否有更高一级的网络，是否需要与之互通。8.3 政法业务网络络中的VPN规划8.3.1.1 MPLS/VPN机制在每个PE-router中，每个VPN需要单独的VRF，保证用户间信息隔离并能够使用私有IP地址空间；VRF是小于VPN的概念，可以同时支持多个VPN，VRF与VPN之间的关联是通过VRF Route-target属性来实现；VPN-IP4地址是由64位RD和97、32标准IP地址组成，这些96位地址通过MP-BGP VPNV4 address family在PE-router之间交换，MP-BGP还通过extend community来承载route-target等路由属性；每个PE-router都需要为一的Router ID（一般是Loopback 0地址），该ID用来分配MPLS Label，并通过LDP协议在MPLS/VPN中分发，用于用户VPN数据包转发；每个PE-router的每个VRF中的每条路由都会被分配一个唯一的MPLS Label，并通过MP-BGP将Label随VPN-IP4路由一起传播；入口PE-router使用两级MPLS La98、bel堆栈来标记VPN数据包，堆栈顶部Label是PE-router Router ID Label，底部Label出口PE-router VRF路由Label，Label堆栈被加到标准的用户IP4数据包上，跨越MPLS/VPN网络转发到出口PE-router；VPN-IP4数据报在MPLS/VPN中的传播仅仅依靠栈顶Label，到达出口PE-router后，栈顶Label被弹出，出口PE-router使用剩余Label来确定VPN-IP4数据包所属的VRF，因此Router ID地址在IGP中不允许被聚类.8.3.1.2 设备功能选择核心NE80E及地市核心的NE40E整网的MPLS核心设备99、作为P设备，省政法系统的NE40E-X3及地市局政法系统的NE20E的中心路由器作为PE设备，实现端到端的业务VPN部署。8.3.2 VPN站点的规划通过部署所有接入交换机将各个单位接入到广域网，每个CE设备就是一个VPN站点，另外根据将来业务扩展的需要在同一个站点可以增加VPN数量。解决办法有：可以通过增加CE设备或者在不增加CE设备的情况下，在PE-CE之间的链路上配置逻辑子接口，并使CE设备支持VRF的多实例（Multi-VRF）能力，扩展VPN站点。另外PE和CE设备能够支持子接口连接方式，它不仅能够用在支持VPN站点扩展而且在部署管理VPN、MPLS L2 VPN时能够节省物理线路。100、8.3.3 全局RD值规划XX政法基于业务的MPLS VPN网络工程用第一种RD值的格式：16位自治系统号 : 32位用户自定义数字。由于RD与VRF相捆绑。也即PE设备上每个VRF表中的所有VPN-IPv4路由将使用统一个RD值，RD值保证了VPN-IPv4路由在PE设备上的唯一性，所以必须全局统一分配。VRF名称RD（ASN代表自治域系统号）业务一ASN:100-199.业务NASN:1600-1699 系统保留ASN:2700以后8.3.4 全局RT值规划由于标准的MPLS/BGP VPN采用对VPN-IPv4路由附带的RT值进行导入Import Target和导出Export Targ101、et控制以实现不同VPN之间的访问控制, 所以RT值必须全局统一分配。XX政法基于业务的MPLS VPN 网络工程中采用RT值的格式：16位自治系统号 : 32位用户自定义数字。RT与VPN相匹配。（ASN代表从AS65000 到 AS65047）VPN名称站点Export RTImport RT垂直纵向VPN 业务一ASN:110-199ASN:110-199 业务NASN:1610-1699ASN:1610-16998.3.5 PE-CE的路由设计可以采用静态路由和动态路由，在区县边缘节点采用静态路由引入到动态OSPF之中。8.4 政法业务MPLS QOS规划在MPLS使用MPLS报文标签102、头的EXP字段保存COS，在网络中按照既定的规则，将不同COS值的报文对应于不同的PHB，按照相应规则进行队列调度，报文丢弃等处理。这里COS的值在入口PE上被设定，将VPN用户IP报文的优先级或DSCP值映射为MPLS报文的COS值，这里设定的服务类型仅在骨干网内有效。QOS保证的具体实现见下图：结合这些QOS方案建议政法网络改造工程采用如下QOS方案：1. 在各地局域网内根据不同的业务分配不同的VLAN，或者标记不同的DSCP，采用CBQ对政法关键业务进行最大保障。2. 在局域网出口处映射到不同的VPN或者不同的COS。3. 在广域网上应用MPLS E-LSP方式4. 在骨干网上实施MPL103、S TE实现带宽预留、快速重路由，提高网络的可靠性。9 相关网络产品介绍9.1 NE80E核心路由器Quidway NetEngine 80E核心路由器（简称NE80E）是华为公司推出的NE80增强型高端网络产品，主要应用在IP骨干网、IP城域网以及各种大型IP网络的核心位置，可提供线速10G接口。NE80E核心路由器继承NE80的所有功能特性，兼容NE80线路板，并且今后还可进一步扩展。NE80E基于分布式的硬件转发和无阻塞交换技术，具备电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力、优异的扩展能力，满足不断增长的数据和互联网业务对网络骨干设备的需求，可实现IPv4向IPv104、6的平滑过渡，是IP骨干网和IP城域网向宽带化、安全化、业务化发展的重要源动力。产品特点 分布式第五代路由器NE80E作为新型第五代路由器采用了业界领先的高性能网络处理器技术，充分继承了第四代全分布式硬件处理的架构，有机地结合了软件的灵活性和硬件的高性能，既提供线速转发性能，又具备快速良好的业务升级和扩展能力，最大限度地保证用户投资，加速IP网络向宽带化、安全化、业务化、智能化方向发展。 业务丰富NE80E提供高品质QoS，实现智能业务感知、先进的队列调度算法、拥塞控制算法，精确保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的服务质量要求。NE80E基于分布式硬件处理，具备高性能的105、网络业务能力，胜任高性能P/PE应用，提供高品质、安全和全面的MPLS VPN解决方案；提供高性能组播能力，满足IPTV等业务需求。NE80E具备快速良好的扩展能力，全面支持IPv6，能够快速实现未来不可预知的新业务，协助用户提高竞争能力，是未来IP电信网（IPTN）的重要基石。 强大的路由能力、线速的转发性能NE80E支持IP/MPLS分布式转发，路由能力强大，支持超大路由表，提供RIP、OSPF、IS-IS、BGP4和多播路由协议等丰富的路由协议功能，具备快速收敛功能，在复杂路由环境下稳定自如，适合IP骨干网应用。NE80E实现所有接口（包括POS 10Gbps）的全双工线速转发，可以提供106、16个10Gbps接口，整机IP/MPLS的包转发性能高达400Mpps。 电信级可靠性NE80E各关键部件冗余热备份，实现基于状态的热切换和不间断的路由转发；所有组件支持热插拔；采用无源背板设计；提供热补丁技术，实现软件完全平滑升级；提供IP/MPLS快速重路由、虚拟路由冗余协议（VRRP）、RPR自愈环网(IPS)等保护机制，有效保证了全网运行的高速可靠，可以实现99.999%的系统可用性。产品规格属 性描述体系结构一体化机箱结构，可安装在19英寸标准机架；采用分布式高性能硬件转发输入电源DC：-36-72V输入电流小于131A满负荷功耗小于5000W 外形尺寸宽442mm深600mm高1107、600mm满配重量小于220kg环境要求长期工作温度：545，短期工作温度：055相对湿度：5%RH95%RH海拔高度：5000米以内安规认证CE、FCC-PART15等吞吐容量交换容量640Gbps，接口容量320Gbps，无阻塞交换结构；后续可扩展更高容量转发性能400Mpps槽位数22，其中2个主控(1:1备份)，4个交换网(1+3备份)，16个业务槽位接口类型OC-192c/STM-64c POS 10GE-WAN/LANOC-48c/STM-16c POS GEOC-12/STM-4 POS FEOC-3/STM-1 POS 10G RPROC-3/STM-1 ATM OC-3/ST108、M-1 CPOS业务板Netstream / 隧道路由协议IPv4支持RIP、OSPF、IS-IS、BGP-4等路由协议，所有端口在路由振荡等复杂路由环境下线速转发。IPv6全面支持IPv4和IPv6双协议栈；支持丰富IPv4向IPv6的过渡技术：手工配置隧道、自动配置隧道、6to4隧道等；支持IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议；支持ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB等。MPLS VPN可作为P和PE。支持MPLS VPN，符合RFC2547bis协议；支持三种跨域实现方式；支持与Intern109、et业务集成；支持HoPE；支持多角色主机等。支持Martini、Kompella方式MPLS L2VPN。QoS完善的QoS机制。每线路板可提供先进调度和拥塞避免技术；提供精确的流量监管和流量整形功能；提供定义复杂规则的功能，能够鉴别细粒度的流。可以提供基于DiffServ、MPLS TE隧道的完善QoS保证。组播支持IGMP协议，支持静态组播配置，支持PIM-DM/SM、MSDP、MBGP组播路由协议；支持多个组播协议间的互操作性；支持组播策略处理，包括组播路由协议和组播转发的策略处理，支持组播QoS；提供交换网和线路板两级组播复制功能，达到最优的组播效能。可靠性提供IP/MPLS快速重路110、由、虚拟路由冗余协议（VRRP）、RPR自愈环网(IPS)等保护机制。提供软件热补丁技术，实现设备软件完全平滑升级；采用无源背板设计；路由处理模块、交换网、电源风扇等关键部件冗余备份，整机没有单点故障，支持基于状态的热备份切换，实现不间断路由转发，所有组件可热拔插。9.2 NE40E汇聚路由器Quidway NetEngine 40E通用业务路由器（以下简称NE40E）是华为公司推出的NE系列增强型高端网络产品，主要应用在IP骨干网、IP城域网以及其他各种大型IP网络的边缘位置，可提供线速10G接口，与NE5000E、NE80E系列核心路由器产品配合组网，形成结构完整、层次清晰的IP网络解决方111、案。NE40E基于分布式的硬件转发和无阻塞交换技术，具备电信级可靠性、线速转发性能、完善的QoS机制、丰富的业务处理能力、优异的扩展能力，尤其是NE40E在具备核心路由器强大IP业务处理能力的同时，融合了三层以太交换能力，具有丰富的IP边缘业务特性，包括以太网交换处理、PE、隧道和流队列等，可实现IPv4向IPv6的平滑过渡，承载IP运营级业务，是IP骨干网和IP城域网向宽带化、安全化、业务化、智能化发展的重要源动力。产品特点 分布式第五代路由器NE40E作为新型第五代路由器，采用了业界领先的高性能网络处理器技术，有机地结合了软件的灵活性和硬件的高性能，既提供10G接口线速转发能力，又具备快速112、良好的业务升级和扩展能力，最大限度地保护用户投资，加速IP网络向宽带化、安全化、业务化、智能化方向发展。 业务丰富NE40E提供高品质QoS，实现智能业务感知、先进的队列调度算法、拥塞控制算法，精确保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的服务质量要求。NE40E基于分布式硬件处理，具备高性能的网络业务能力，胜任高性能P/PE应用，提供高品质、安全和全面的MPLS VPN解决方案；提供高性能组播能力，满足IPTV等业务需求。提供高密度低速链路接入、隧道处理、以太网交换处理等边缘业务特性，满足IP网络边缘设备的业务需求。NE40E支持灵活QinQ功能，提供VLAN批发功能，在满113、足业务发展需求的同时，极大的简化配置复杂度，便于业务规划和开展。NE40E具备快速良好的扩展能力，全面支持IPv6，能够快速实现未来不可预知的新业务，协助用户提高竞争能力，是未来IP电信网（IPTN）的重要基石。 强大的路由能力和以太交换能力、线速的转发性能NE40E支持IP/MPLS分布式转发，路由能力强大，支持超大路由表，提供RIP、OSPF、IS-IS、BGP4和多播路由协议等丰富的路由协议功能，具备快速收敛功能，在复杂路由环境下稳定自如，适合IP骨干网应用。NE40E实现所有接口（包括POS 10Gbps）的全双工线速转发，整机IP/MPLS的包转发性能高达200Mpps。并且，NE4114、0E还融合了以太网交换机的特性，支持以太网的交换处理，可作为城域网业务路由器，全面满足城域IP和以太网业务开展需求。 电信级可靠性NE40E各关键部件冗余热备份，实现基于状态的热切换和不间断的路由转发；所有组件支持热插拔；采用无源背板设计；提供热补丁技术，实现软件完全平滑升级；提供IP/MPLS/VPN快速重路由、虚拟路由冗余协议（VRRP）、RPR自愈环网(IPS)、 IP TRUNK链路分担备份、BFD链路快速检测、路由协议/端口/VLAN Damping等保护机制，有效保证了全网运行的高速可靠，可以实现99.999%的系统可用性。产品规格属 性描述体系结构一体化机箱结构，可安装在19英寸115、标准机架；采用分布式高性能硬件转发输入电源DC：-36-72V满负荷功耗小于3000W 外形尺寸宽442 mm深600 mm高889 mm (22U高)满配重量小于120kg环境要求长期工作温度：545，短期工作温度：055相对湿度：5%RH95%RH海拔高度：5000米以内安规认证CE、FCC-PART15等吞吐容量交换容量640Gbps，接口容量160Gbps，无阻塞交换结构；后续可扩展至更高容量转发性能200Mpps槽位数12个，其中8个业务线路板槽位，2个路由交换板槽位，2个交换网板槽位主要接口类型OC-192c/STM-64c POS 10GE-WAN/LANOC-48c/STM-1116、6c POS GEOC-12/STM-4 POS FEOC-3/STM-1 POS 10G RPROC-3/STM-1 ATM OC-3/STM-1 CPOS业务板Netstream / 隧道QinQ硬件支持灵活QinQ功能，包括QinQ终结、QinQ终结进入L3 VPN、QinQ终结进入L2 VPN、VLAN批发等，在满足业务需求的同时简化配置，降低维护压力。路由协议IPv4支持RIP、OSPF、IS-IS、BGP-4等路由协议，所有端口在路由振荡等复杂路由环境下线速转发。IPv6全面支持IPv4和IPv6双协议栈；支持丰富IPv4向IPv6的过渡技术：手工配置隧道、自动配置隧道、6to4隧117、道等；支持IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议；支持ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB等。三层交换机特性作为通用业务路由器，支持二层交换和三层转发功能，提供丰富交换机特性，包括IEEE802.1ad、IEEE 802.1d、IEEE 802.3、IEEE 802.3u、IEEE 802.3x、IEEE 802.3z、IEEE 802.1Q、IEEE 802.1p、IEEE 802.1D/802.1w、MSTP、支持VLAN聚合（Supper VLAN）、支持基于MAC地址和端口的过滤列表、支持1118、483B。MPLS VPN可作为P和PE。支持MPLS VPN，符合RFC2547bis协议；支持三种跨域实现方式；支持与Internet业务集成；支持HoPE；支持多角色主机等。支持基于Martini、Kompella方式的MPLS L2 VPN，支持VPLS、Q-in-Q、V-Switch、VLL等多种二层VPN技术。QoS完善的QoS机制。每线路板可提供先进调度和拥塞避免技术；提供精确的流量监管和流量整形功能；提供定义复杂规则的功能，能够鉴别细粒度的流。可以提供基于DiffServ、MPLS TE隧道的完善QoS保证。组播支持IGMP协议，支持静态组播配置，支持PIM-DM/SM/SSM119、MSDP、MBGP组播路由协议；支持多个组播协议间的互操作性；支持组播策略处理，包括组播路由协议和组播转发的策略处理，支持组播QoS；提供交换网和线路板两级组播复制功能，达到最优的组播效能。安全性支持ACL报文过滤，支持URPF，支持防ARP攻击、防DOS攻击，支持MAC地址限制、MAC与IP绑定、VLAN ID与IP绑定；支持SSH，支持安全管理。可靠性提供IP/MPLS/VPN快速重路由、虚拟路由冗余协议（VRRP）、RPR自愈环网(IPS)、IP TRUNK链路分担备份、BFD链路快速检测、路由协议/端口/VLAN Damping等保护机制。提供软件热补丁技术，实现设备软件完全平滑升级120、；采用无源背板设计；路由处理模块、交换网、电源、风扇等关键部件冗余备份，整机没有单点故障；支持基于状态的热备份切换，实现不间断路由转发，所有组件可热拔插。9.3 NE 40E-X3路由器介绍Quidway NetEngine 40E-X3全业务路由器（以下简称NE40E-X3）是华为公司推出的高端网络产品，主要应用在IP骨干网、IP城域网以及其他各种大型IP网络的边缘位置，可提供线速210G接口，与NE5000E、NE80E系列核心路由器产品配合组网，形成结构完整、层次清晰的IP网络解决方案。NE40-X3E基于分布式的硬件转发和无阻塞交换技术，具备电信级可靠性、线速转发性能、完善的QoS机制121、丰富的业务处理能力、优异的扩展能力。NE40E具备核心路由器所需的强大IP业务处理能力，同时融合了三层以太交换能力，具有丰富的IP边缘业务特性，包括以太网交换处理、PE、隧道和流队列等，支持以太网时钟。凭借NE40E全面的业务支持能力，可实现IP运营级业务的可靠承载，IPv4向IPv6的平滑过渡，是IP骨干网和IP城域网向宽带化、安全化、业务化、智能化发展的重要源动力。NE40E-X3是业界最紧凑的UPE设备， NE40E-X3采用Full Mesh结构设计，交换芯片分布在单板上，实现分布式的交换构架。这种结构设计能够有效的减少设备的体积，降低功耗，增强设备的可靠性。产品外观产品特点 分布式122、第五代路由器NE40E-X3作为新型第五代路由器，采用了业界领先的高性能网络处理器技术，有机地结合了软件的灵活性和硬件的高性能，既提供210G接口线速转发能力，又具备快速良好的业务升级和扩展能力，最大限度地保护用户投资，加速IP网络向宽带化、安全化、业务化、智能化方向发展。 业务丰富NE40E基于分布式硬件处理，具备高性能的网络业务能力，胜任高性能P/PE应用，提供高品质、安全和全面的MPLS VPN解决方案。此外，NE40E提供高性能组播能力，满足IPTV等业务需求。NE40E支持MACinMAC（PBB-TE）技术，实现整个传送网络全部基于以太网架构，建立点到点、多点到多点的业务传输。NE123、40E提供高品质的5级层次化QoS能力，实现智能业务感知、先进的队列调度算法、拥塞控制算法，能够对数据流实现多级的精确调度，从而满足不同用户、不同业务等级的服务质量要求，为电信业务精细化运营奠定了基础。NE40E-X3支持灵活QinQ功能，提供VLAN批发功能，在满足业务发展需求的同时，极大的简化配置复杂度，便于业务规划和开展。NE40E-X3支持丰富的IPoE特性，提供DHCP Sever/Relay功能、可对每个用户的最大DHCP连接数进行限制，支持快速上下线检测功能，满足IPOE业务的开展和运营。NE40E-X3具备快速良好的扩展能力，支持线速10G/20G的灵活插卡，能够满足不同的业务124、需求，降低CapEx。NE40-X3E全面支持IPv6，能够快速实现未来不可预知的新业务，协助用户提高竞争能力，是未来IP电信网（IPTN）的重要基石。 强大的路由能力和以太交换能力、线速的转发性能NE40-X3E支持IP/MPLS分布式转发，路由能力强大，支持超大路由表，提供RIP、OSPF、IS-IS、BGP4和多播路由协议等丰富的路由协议功能，具备快速收敛功能，在复杂路由环境下稳定自如，适合IP骨干网应用。NE40E-X3实现所有接口（包括POS 10Gbps）的全双工线速转发，NE40E-3整机IP/MPLS的包转发性能高达150Mpps。并且，NE40E还融合了以太网交换机的特性，支125、持以太网的交换处理，可作为城域网业务路由器，简化网络层次，降低CapEX和OpEX，全面满足城域IP和以太网业务开展需求。 电信级可靠性NE40E-X3各关键部件冗余热备份，实现基于状态的热切换和不间断的路由转发；所有组件支持热插拔；采用无源背板设计；提供热补丁技术，实现软件平滑升级；提供IP/LDP/VPN/TE快速重路由、IGP、BGP以及组播路由快速收敛、虚拟路由冗余协议（VRRP）、RPR自愈环网(IPS)、快速环网保护协议（RRPP）、TRUNK链路分担备份、BFD链路快速检测、MPLS/Ethernet OAM、路由协议/端口/VLAN Damping等保护机制，有效保证了全网运行126、的高速可靠，可以实现99.999%的系统可用性。产品规格属 性NE40E-X3吞吐容量交换容量 240 Gbps 端口容量120 Gbps 转发性能150 Mpps槽位数5个，其中3个业务线路槽位，2个主控(1:1备份)， 接口类型OC-192c/STM-64c POS OC-48c/STM-16c POS OC-12c/STM-4c POS OC-3c/STM-1c POS OC-12c/STM-4c ATM OC-3c/STM-1c ATM通道化OC-3/STM-1GE/FE E3/CT3 E1/T1 CE1/CT110GE-WAN/LAN业务板Netstream、隧道&组播VPNQinQ127、硬件支持灵活QinQ功能，支持QinQ终结、QinQ终结进入L3 VPN、QinQ终结进入L2 VPN、VLAN批发、ATM/QinQ IWF等，在满足业务需求的同时简化配置，降低维护压力。路由协议IPv4支持RIP、OSPF、IS-IS、BGP-4等路由协议，所有端口在路由振荡等复杂路由环境下线速转发。IPv6全面支持IPv4和IPv6双协议栈；支持丰富IPv4向IPv6的过渡技术：手工配置隧道、自动配置隧道、6to4隧道，GRE隧道，ISATAP隧道等；支持IPv4 over IPv6隧道和6PE；支持IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等动态128、路由协议；支持IPv6邻居发现， PMTU发现，TCP6，ping IPv6，tracert IPv6，socket IPv6，静态IPv6 DNS，指定IPv6 DNS服务器，TFTP IPv6 client,，IPv6策略路由；支持ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB等。二层特性支持IEEE802.1ad、IEEE 802.1d、IEEE 802.3x、IEEE 802.1Q、IEEE 802.1p、IEEE 802.1d/802.1w802.1s等相关协议，支持VLAN聚合（Supper VLAN）、支持基于MAC地址和端口的过滤列表、支持1483B129、。MPLS VPN可作为P和PE。支持MPLS VPN，符合RFC2547bis协议；支持三种跨域实现方式；支持与Internet业务集成；支持基于Martini、Kompella方式的MPLS L2 VPN，支持VPLS、VLL等多种二层VPN技术；支持组播VPN。QoS完善的HQoS机制。每线路板可提供先进调度和拥塞避免技术；提供精确的流量监管和流量整形功能；提供定义复杂规则的功能，能够鉴别细粒度的流。可以提供基于DiffServ、MPLS TE隧道的完善QoS保证，支持VPN QoS，QPPB等QoS特性。组播支持IGMP协议，支持静态组播配置，支持PIM-DM/SM/SSM、MSDP、130、MBGP组播路由协议；支持多个组播协议间的互操作性；支持组播策略处理，包括组播路由协议和组播转发的策略处理，支持组播QoS；提供交换网和线路板两级组播复制功能，达到最优的组播效能。安全性支持ACL报文过滤，支持URPF，支持防ARP攻击、防DOS攻击，支持MAC地址限制、MAC与IP绑定；支持SSH、SSH v2，支持安全管理。可靠性提供IP/LDP/VPN/TE/VLL快速重路由、IGP/BGP/组播路由快速收敛、虚拟路由冗余协议（VRRP）、RPR自愈环网(IPS)、快速环网保护协议（RRPP）、IP TRUNK链路分担备份、BFD链路快速检测、MPLS/Ethernet OAM、路由协议131、/端口/VLAN Damping等保护机制。提供软件热补丁技术，实现软件平滑升级；采用无源背板设计；路由处理模块、交换网、电源等关键部件冗余备份，整机没有单点故障；支持基于状态的热备份切换，支持平滑重启（GR）、实现不间断路由转发（NSF），所有组件可热拔插。体系结构一体化机箱结构，可安装在19英寸标准机架；采用分布式高性能硬件转发输入电源AC：110V/220V DC：-48V最大功耗900W外形尺寸宽442mm深650mm高178mm （直流）宽442mm深650mm高222mm（交流）满配重量小于33kg环境要求长期工作温度：540，短期工作温度：-555相对湿度：5%RH95%RH，无132、凝结海拔高度：5000m以内不影响转发性能安规认证CE、FCC-PART15等9.4 NE20E-8汇聚路由器产品概述Quidway NetEngine 20E/20系列高端路由器（以下简称NE20E/20）秉承华为公司高端路由器的设计思路，以其高性能优势，既可在运营商IP骨干网络中作为高性能边缘和汇聚设备，进行业务运营和支撑网络的建设；也可在行业用户网络和企业网中作为核心路由器或高性能汇聚路由器。NE20E/20系列高端路由器采用业界主流的NP（Network Processor）网络处理器技术，在提供丰富的业务能力的同时具备强大的转发性能。NE20E/20路由器的主控部分采用高速Power133、PC微处理器和实时操作系统，以华为公司拥有自主知识产权的VRP（Versatile Routing Platform）通用路由平台为基础，结合设备和网络管理技术，提供丰富的业务特性。转发部分采用高性能网络处理器进行硬件转发，在关键的IP转发和业务流程处理上采用了可编程的专用IP网络处理器技术，提供强大的路由查找、报文转发和业务加速能力。产品外观 Quidway NetEngine 20-2 Quidway NetEngine 20-4 Quidway NetEngine 20-8 Quidway NetEngine 20E-8产品特点u 基于第五代路由器的理念进行设计NE20E/20不同于以往134、采用CPU软件转发的同类型路由器产品，采用了业界高性能网络处理器实现高速接口报文的线速转发，有机地结合了软件的灵活性和硬件的高性能。NE20E-8性能可达到6Mpps，NE20-8、NE20-4、NE20-2性能可达4.5Mpps。NE20E/20采用高速接口转发与控制平面分离的技术，高速接口的转发引擎使用了高性能网络处理器，提高了设备的转发性能、控制能力、可靠性和安全性。u 丰富的高密接口和强大接入能力NE20E/20支持丰富的高密的接口，包括1/2/4 155M POS 、2/4/8 FE、1/2 GE、16E1/T1、单端口155M CPOS、1/2/4 155M ATM高速接口，可做到135、线速转发；同时具备其他类型接口：4 SA、1/2 52M HSSI、单端口E3/CE3、4CE1/CT1、8CE1/CT1、单端口ATM E3接口，有效保证业务接入的灵活性。u 丰富和高品质的业务能力NE20E/20软件系统基于华为公司拥有自主知识产权的VRP软件平台，支持多种方式VPN（L2TP、GRE、MPLS L3VPN、MPLS L2VPN、PWE3、ATM信元透传、VPLS OVER GRE）；提供高品质、安全和多层次的MPLS VPN解决方案，可以作为高性价比MPLS PE设备使用。NE20E/20提供高品质QoS，实现先进的队列调度算法、拥塞控制算法，精确保证不同业务的带宽、时延136、和抖动，满足不同用户、不同业务等级的服务质量要求。NE20E/20提供MAC 限制、URPF、CP CAR防止恶意攻击；IPSEC采用硬件加密卡，有效保证稳定性及转发性能；强大的Netstream功能，提供V5/V8/V9格式的报文输出以及丰富的Netstream聚合、统计功能。u 强大的路由能力NE20E/20支持RIP、OSPF、BGP、IS-IS等单播路由协议和IGMP、PIM、MBGP、MSDP等多播路由协议，支持路由策略以及策略路由。NE20E/20全面支持IPv4和IPv6双协议栈，提供通用的IPv4路由协议和IPv6路由协议。支持IPv4向IPv6过渡的多种技术：手工配置隧道、自137、动配置隧道、GRE隧道、6to4隧道和NAT-PT（Network Address Translation - Protocol Translation）等。u 高可靠性NE20E/20采用高可靠的模块化设计方式，所有板卡、风扇、电源模块支持热插拔；提供互为冗余备份的双电源（11备份）模块；采用无源背板设计方式；提供软件热补丁技术，实现设备完全平滑升级；提供IP/MPLS/VPN快速重路由、虚拟路由冗余协议（VRRP）、BFD链路快速检测，有效保证了全网运行的高速可靠；整机实现7x24小时的不间断运行。NE20E-8是对NE20的进一步提升，采用核心路由器的总线技术，背板带宽40G，具备了很强138、的可扩充性。NE20E-8路由处理板和网络处理板提供（1：1）冗余备份，具备快速路由备份（FRB：Fast Routing Backup）特色功能，实现基于状态的热切换和不间断的路由转发，提供高品质业务保障。u 可维护性NE20E/20系列路由器除了支持通过Console口、AUX拨号、Telnet方式进行本地或远程维护外，还支持SSH（Secure Shell）安全外壳维护管理方式，实现在不能保证安全的网络上提供安全信息保障和强大认证功能，以避免受到IP地址欺诈、明文密码截取等攻击。支持自动的故障诊断功能，通过运行在PC机上的故障诊断软件，能够方便地协助工程师快速准确定位系统故障。产品规格项139、目NE20-8NE20-4NE20-2NE20E-8外形尺寸（宽X深X高）436.2（mm）420（mm）219.5（mm）436.2（mm）420（mm）130.5（mm）436.2 （mm）420（mm）130.5（mm）436.2（mm）480（mm）263.9（mm）重量27.5Kg17.5Kg15Kg32.5kg最大输出功率320W240W 240W 350w总线带宽8G8G8G40G包转发率4.5Mpps4.5Mpps4.5Mpps6Mpps路由表容量60万60万60万60万业务接口板最大配置8428接口类型同异步串口接口模块E1/CE1接口模块T1/CT1接口模块E3/CE3接口140、模块ATM E3接口模块OC-3c/STM-1 POS 接口模块 OC-3c/STM-1 ATM 接口模块FE接口模块GE接口模块CPOS接口模块IPSec业务模块工作环境温度045工作相对湿度5%RH90%RH，无凝结安规认证取得CE、UL、FCC PART15、ISTA、VCCI等多国承认的安规认证订购信息NE20E-8名称描述1、主机系统RT-NE20E-8-CHASSISNetEngine20E-8 6U高度路由器机箱RT-NE20E-ERPUA增强型路由处理单元(512M内存,自带2个GE/FE接口)RTP-ERPUB0增强型路由处理单元(1G内存,自带2个GE/FE接口)RT-NE141、20E-ENPUB增强型网络处理器单元RT-NE20E-AC220V交流电源系统RT-NE20E-DC-48V直流电源系统SWP-RT-NE20E-VRP5NE20E主机软件费用2、线路接口模块NE20E-HIC-STM1/POS-SFP1端口POS/155M高速接口模块(SFP)NE20E-HIC-2xSTM1/POS-SFP2端口POS/155M高速接口模块(SFP)NE20E -HIC-4xSTM1/POS-SFP4端口POS/155M高速接口模块(SFP)NE20E -HIC-GE-SFP1端口千兆以太网高速接口模块,SFP接口NE20E -HIC-2xGE-SFP2端口千兆以太网高速142、接口模块,SFP接口NE20E -HIC-2xFE-RJ452端口百兆以太网高速接口模块（RJ45）NE20E -HIC-4xFE-RJ454端口百兆以太网高速接口模块（RJ45）NE20E -HIC-8xFE-RJ458端口百兆以太网高速接口模块（RJ45）NE20E -HIC-2xFE-SFP2端口百兆以太网高速接口模块(SFP光口)NE20E -HIC-4xFE-SFP4端口百兆以太网高速接口模块(SFP光口)NE20E -HIC-8xFE-SFP8端口百兆以太网高速接口模块(SFP光口)NE-FIC-CPOS-E11端口OC-3/STM-1 CPOS-通道化E1制式模块NE-HIC-C143、POS-E11端口 OC-3/STM-1 CPOS-通道化 E1-光接口板(SFP)NE-HIC-CPOS-T11端口 OC-3/STM-1 CPOS-通道化 T1-光接口板(SFP)NE-FIC-4xE1-120ohm4端口-E1-DB68-120ohm-接口模块NE-FIC-4xE1-75ohm4端口-E1-DB68-75ohm-接口模块NE-FIC-8xE1-120ohm8端口E1 DB68 120ohm接口模块 NE-FIC-8xE1-75ohm8端口E1 DB68 75ohm 接口模块 NE-HIC-16*E1/CE1-75ohm16端口-通道化E1-DB78-75ohm-接口板NE144、-HIC-16*E1/CE1-120ohm16端口-通道化E1-DB78-120ohm-接口板NE-HIC-16*T1/CT1-120ohm16端口-通道化T1-DB78-120ohm-接口板NE-FIC-4xcT1-100ohm4端口-通道化 T1-DB68-100ohm-接口模块NE-FIC-4xcE1-75ohm4端口-通道化 E1-DB68-75ohm-接口模块NE-FIC-4xcE1-120ohm4端口-通道化 E1-DB68-120ohm-接口模块NE-FIC-8xcT1-100ohm8端口-通道化T1-DB68-100ohm-接口模块NE-FIC-8xcE1-75ohm8端口-通145、道化 E1-DB68-75ohm-接口模块NE-FIC-8xcE1-120ohm8端口-通道化 E1-DB68-120ohm-接口模块NE-FIC-CE31端口E3/CE3兼容接口模块RT-FIC-4SAE4端口增强型同/异步接口模块NE-FIC-ATM-E31端口ATM over E3接口模块-SMB接口NE-FIC-STM1/ATM-MM/1310-2km-SC1端口ATM/155M多模光接口模块(1310nm,2km,SC)NE-FIC-STM1/ATM-MM/1310-15km-SC1端口ATM/155M单模光接口模块(1310nm,15km,SC)NE-FIC-STM1/ATM-MM146、/1310-30km-SC1端口ATM/155M单模长距离光接口模块(1310nm,30km,SC)NE-HIC-STM1/1ATM1端口155M ATM高速光接口板(SFP)NE-HIC-STM1/2ATM2端口155M ATM高速光接口板(SFP)NE-HIC-STM1/4ATM4端口155M ATM高速光接口板(SFP)NE-HIC-HPSECIPSEC高速加密接口板NE20-8/NE20-4/NE20-2名称描述1、主机系统RT-NE20-8-CHASSISNetEngine20-8 5U高度路由器机箱RT-NE20-4-CHASSISNetEngine20-4 3U高度路由器机箱RT147、-NE20-2-CHASSISNetEngine20-2 3U高度路由器机箱RT-NE20-RPU-512M路由处理单元(512M内存,自带2个FE接口)RT-NE20-NPU网络处理器单元RT-PWRNE20-AC220V交流电源系统RT-PWRNE20-DC-48V直流电源系统SWP-RT-NE20-VPR5Quidway NetEngine20 VRP5.30软件费用SWP-NE20-VRP-UPGRADEQuidway NetEngine20主机软件VRP3到VRP5升级费用2、线路接口模块NE-HIC-STM1/POS-SFP1端口POS/155M高速接口模块(SFP)NE-HIC-148、2xSTM1/POS-SFP2端口POS/155M高速接口模块(SFP)NE-HIC-4xSTM1/POS-SFP4端口POS/155M高速接口模块(SFP)NE-HIC-GE-SFP1端口千兆以太网高速接口模块,SFP接口NE-HIC-2xGE-SFP2端口千兆以太网高速接口模块,SFP接口NE-HIC-2xFE-RJ452端口百兆以太网高速接口模块（RJ45）NE-HIC-4xFE-RJ454端口百兆以太网高速接口模块（RJ45）NE-HIC-8xFE-RJ458端口百兆以太网高速接口模块（RJ45）NE-HIC-2xFE-SFP2端口百兆以太网高速接口模块(SFP光口)NE-HIC-4x149、FE-SFP4端口百兆以太网高速接口模块(SFP光口)NE-HIC-8xFE-SFP8端口百兆以太网高速接口模块(SFP光口)NE-FIC-CPOS-E1路由器1端口155M cPOS E1制式模块NE-FIC-4xE1-120ohm4端口-E1-DB68-120ohm-接口模块NE-FIC-4xE1-75ohm4端口-E1-DB68-75ohm-接口模块NE-FIC-8xE1-120ohm8端口E1 DB68 120ohm接口模块 NE-FIC-8xE1-75ohm8端口E1 DB68 75ohm 接口模块 NE-FIC-4xcT1-100ohm4端口-通道化 T1-DB68-100ohm-150、接口模块NE-FIC-4xcE1-75ohm4端口-通道化 E1-DB68-75ohm-接口模块NE-FIC-4xcE1-120ohm4端口-通道化 E1-DB68-120ohm-接口模块NE-FIC-8xcT1-100ohm8端口-通道化T1-DB68-100ohm-接口模块NE-FIC-8xcE1-75ohm8端口-通道化 E1-DB68-75ohm-接口模块NE-FIC-8xcE1-120ohm8端口-通道化 E1-DB68-120ohm-接口模块NE-FIC-CE31端口E3/CE3兼容接口模块RT-FIC-4SAE4端口增强型同/异步接口模块NE-FIC-ATM-E31端口ATM over E3接口模块-SMB接口NE-FIC-STM1/ATM-MM/1310-2km-SC1端口ATM/155M多模光接口模块(1310nm,2km,SC)NE-FIC-STM1/ATM-MM/1310-15km-SC1端口ATM/155M单模光接口模块(1310nm,15km,SC)