Budowa wielozadaniowej sieci teleinformatycznej na

Transcription

Budowa wielozadaniowej sieci teleinformatycznej na
Budowa wielozadaniowej sieci
teleinformatycznej na terenie gminy Siewierz
PROJEKT WYKONAWCZY
CZĘŚĆ AKTYWNA – WĘZEŁ SZKIELETOWY I WĘZŁY DYSTRYBUCYJNE
Branża:
Teleinformatyczna
Inwestycja:
Kompleksowa realizacja w formie „zaprojektuj i wybuduj”
projektu pn. „Rozwój społeczeństwa informacyjnego w Zagłębiu
Dąbrowskim
–
Gmina
Siewierz”
polegającego
na
zaprojektowaniu,
budowie
i
rozruchu
systemu
telekomunikacyjnego klasy operatorskiej (wielozadaniowej
światłowodowej sieci teleinformatycznej) na rzecz Gminy
Siewierz
Zamawiający:
Gmina Siewierz z siedzibą w Urzędzie Miasta i Gminy
ul. Żwirki i Wigury 16, 42 – 470 Siewierz
Wykonawca:
ELTEL Networks S.A.
ul. Kaliska 21, 61-131 Poznań
Podwykonawca:
Przedsiębiorstwo Telekomunikacyjne OPTOLAND POLSKA S.A.
ul. Żurawia 47-49, 00-680 Warszawa
Projektant:
Janusz Nowak upr. nr T/01/12/94/GOR
Małopolska Izba Inżynierów Budownictwa Zaświadczenia
MAP/BT/0257/07
Zespół projektowy:
Bogdan Pabisz – asystent Projektanta
Wojciech Brągiel – pomocnik asystenta Projektanta
Grudzień 2012
Spis treści:
1. Dane ogólne
1.1 Przedmiot projektu
1.2 Inwestor
1.3 Wykonawca
1.4 Podwykonawca
2. Elementy aktywne
2.1. Opis
2.2. Opis urządzeń
2.3. Bezpieczeństwo i redundancja
2.3.1. Zasilanie
2.3.2. Trasy logiczne
2.3.3. Wykaz sprzętu z wykazem elementów podlegających redundancji
3. Połączenia logiczne sieci
4. Karty katalogowe
1. Dane ogólne
1.1. Przedmiot projektu
Przedmiotem projektu jest budowa wielozadaniowej sieci teleinformatycznej na obszarze
gminy Siewierz, z uwzględnieniem podstawowego szkieletu sieci i przyłączenia wybranych
jednostek (węzłów dystrybucyjnych).
1.2. Inwestor
Gmina Siewierz z siedzibą w Urzędzie Miasta i Gminy, ul. Żwirki i Wigury 16, 42-470 Siewierz
1.3. Wykonawca
ELTEL Networks S.A. z siedzibą w Poznaniu przy ul. Kaliskiej 21, 61-131 Poznań
1.4. Podwykonawca
Przedsiębiorstwo Telekomunikacyjne Optoland Polska S.A. z siedzibą w Warszawie przy
ul. Żurawiej 47-49, 00-680 Warszawa
2. Elementy aktywne
2.1. W skład części aktywnej wchodzą następujące warstwy:
I.
II.
III.
Szkieletowa
Dystrybucyjna
Dostępowa
I Warstwa Szkieletowa
Zadaniem
warstwy szkieletowej jest agregacja ruchu z wielu sieci dystrybucyjnych.
Centralnym jej punktem są urządzenia klasy Enterprice tj. router brzegowy oraz zarządzalny
przełącznik szkieletowy.
II Warstwa Dystrybucyjna
Warstwa dystrybucyjna pozwala na podłączenie operatorów zewnętrznych do sieci jak
również skupia ruch z docelowych punktów dostępowych. Głównym punktem warstwy
dystrybucyjnej jest zarządzalny przełącznik zlokalizowany w węzłach dystrybucyjnych (WDS)
III Warstwa dostępowa
Do warstwy dostępowej należą Punkty końcowe takie jak Infokioski oraz punkty dostępu
limitowanego hot spot.
2.2. Opis urządzeń
W warstwie szkieletowej będą urządzenia takie jak:
- Router Huawei AR2240
-Switch Huawei S7706
oraz Switch Huawei S5710 w warstwie dystrybucyjnej
Szczegółowe konfiguracje poszczególnych urządzeń przedstawia poniższa tabela:
1 szt.
S7700 - Przełącznik szkieletowy modularny wspierający standard
10Gigabit Ethernet
Przełącznik warstwy szkieletowej 10 GbE – Huawei S7706
Element
Opis
Minimalne
wymagania
sprzętowe
•
•
•
•
•
•
•
•
•
•
•
•
Funkcje warstwy
2
Funkcje warstwy
3
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Urządzenie jest fabrycznie nowe oraz nieużywane
Obudowa modularna przeznaczona do montażu w szafie 19”. Wysokość obudowy
wynosi 10 RU.
Urządzenie wyposażone w dwie karty zarządzające
Urządzenie wyposażone w 48 portów Ethernet 1000Base-X SFP
Wszystkie powyższe porty mogą działać jednocześnie.
Dostarczone urządzenie posiada 5 dodatkowych slotów na porty liniowe
Przepustowość od karty interfejsów 1GE do matrycy przełączającej 48 Gb/s per
slot
Wydajność przełącznika 2Tb/s i 1152 Mpps
Przełączanie lokalne w ramach karty liniowej
Przełącznik wyposażony w 2 niezależne zasilacze 800W AC, każdy o mocy
wystarczającej do zasilenia urządzenia w wymaganej konfiguracji, z zapasem mocy
30% na dodatkowe moduły.
Możliwość wymiany zasilaczy i wentylatorów w trakcie pracy urządzenia bez
wpływu na jego działanie
Urządzenie posiada możliwość rozbudowy o funkcjonalność łączenia dwóch
przełączników fizycznych w jeden przełącznik wirtualny, traktowany jako jedno
urządzenie logiczne z punktu widzenia protokołów routingu, LACP i Spanning Tree
Przełączanie w warstwie drugiej i trzeciej modeli ISO/OSI.
Port konsoli - szeregowy RS-232
GARP VLAN Registration Protocol (GVRP)
Rozmiar tablicy MAC 32 000 adresów
4000 aktywnych sieci VLAN
IEEE 802.1ad QinQ i Selective QinQ
Agregacja portów statyczna i przy pomocy protokołu LACP
128 grup portów zagregowanych, możliwość stworzenia grupy z 8 portów
Spanning Tree: MSTP 802.1s, RSTP 802.1w, STP Root Guard
routing IPv4 z prędkością łącza,
wsparcie dla routingu IPv4: statycznego , RIP i RIPv2, OSPF, IS-IS i BGP
routing IPv6 z prędkością łącza,
wsparcie dla routingu IPv6: statycznego, RIPng, OSPFv3, IS-ISv6 i BGP4+
Pojemność tablicy routingu przełącznika 500 000 wpisów
Bidirectional Forwarding Detection dla OSPF, BGP, IS-IS, VRRP, MPLS
Virtual Router Redundancy Protocol (VRRP)
Policy-based routing
IGMPv1, v2, and v3
PIM-SSM, PIM-DM i PIM-SM (dla IPv4 i IPv6)
Equal-Cost Multipath (ECMP)
Konwergencja
Bezpieczeństwo
•
•
•
•
•
•
•
•
•
Zaawansowany mechanizm kolejkowania procesora zapobiegający atakom DoS
1000 list kontroli dostępu (ACL)
DHCP snooping
RADIUS
Secure Shell (SSHv2)
IEEE 802.1X– dynamiczne dostarczanie polityk QoS, ACLs i sieci VLANs:
zezwalające na nadzór nad dostępem użytkownika do sieci
Guest VLAN
Port isolation
Port security: zezwalający na dostęp tylko specyficznym adresom MAC
Quality of
Service (QoS)
Monitoring i
diagnostyka
Zarządzanie
Serwis
gwarancyjny
28 szt.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MAC-based authentication
IP source guard
URPF
Obsługa min. 1000 instancji VRF
Możliwość instalacji dedykowanej karty kontrolera WLAN
Możliwość instalacji dedykowanej karty load balancer o wydajności 1 Gb/s
Funkcje QoS: kreowanie klas ruchu w oparciu o access control lists (ACLs), IEEE
802.1p precedence, IP, DSCP oraz Type of Service (ToS) precedence;
Wsparcie dla następujących metod zapobiegania zatorom: priority queuing,
weighted round robin (WRR), weighted random early discard (WRED), deficit
round robin (DRR)
Obsługa 8 kolejek QoS per port
Port mirroring
OAM (802.3ah) i CFD (802.1ag): wykrywanie problemów na łączu pomiędzy
urządzeniami
Zdalna konfiguracja i zarządzanie przez Web (https) oraz linię komend (CLI)
IEEE 802.1ab LLDP
Pamięć flash o pojemności pozwalającej na przechowywanie dwóch wersji
oprogramowania systemowego
Serwisy DHCP: serwer (RFC 2131), klient i relay
SNMPv1, v2, and v3
Syslog
Zaoferowany serwis gwarancyjny świadczony przez 1 rok.
Dostępność serwisu 8x5xNBD
Rozwiązywanie problemów ze sprzętem i oprogramowaniem
Gwarantowany czas naprawy sprzętu – 48h od momentu zgłoszenia
Dostęp do poprawek i nowych wersji oprogramowania
S5710 - Przełącznik dystrybucyjny wspierający standard 1Gigabit
Ethernet
Przełącznik warstwy dystrybucyjnej 1GbE – Huawei S5710
Element
Opis
Minimalne
wymagania
sprzętowe
•
•
•
•
•
•
•
•
•
•
Funkcje
•
•
•
•
Urządzenie jest fabrycznie nowe, nieużywane
Obudowa przeznaczona do montażu w szafie 19”. Wysokość obudowy 1 RU.
Obudowa jest wykonana z metalu.
Urządzenie jest przystosowane do pracy w temperaturze otoczenia od 0 do 50
stopni Celsjusza.
24 porty Ethernet 1000BaseT z auto-negocjacją 10/100/1000 w tym 4 porty typu
Combo (możliwość bezpośredniego podłączenia za pomocą styku miedzianego lub
wykorzystania optycznej wkładki SFP)
Wszystkie powyższe porty mogą działać jednocześnie.
Wydajność przełącznika 208 Gb/s i 156 Mpps
Przełącznik wyposażony w 2 wbudowane zasilacze 230V/AC, każdy o mocy
wystarczającej do zasilenia urządzenia w wymaganej konfiguracji.
Możliwość wymiany zasilaczy w trakcie pracy urządzenia bez wpływu na jego
działanie
Urządzenie posiada możliwość łączenia przełączników fizycznych w jeden
przełącznik wirtualny, traktowany jako jedno urządzenie logiczne z punktu
widzenia protokołów routingu, LACP i Spanning Tree. Maksymalna liczba
przełączników obsłgiwanych w stosie to 9szt.
Przełączanie w warstwie drugiej i trzeciej modeli ISO/OSI.
Port konsoli - szeregowy RS-232
Minimum jeden port USB
GARP VLAN Registration Protocol (GVRP)
warstwy 2
•
•
•
•
•
•
•
Funkcje
warstwy 3
•
•
•
•
•
•
•
•
•
•
•
•
•
Bezpieczeństwo
Rozmiar tablicy MAC 32 000 adresów
4096 aktywnych sieci VLAN
Mapowanie VLAN-ów 1:1 i N:1
Agregacja portów statyczna i przy pomocy protokołu LACP
Min. 64 grupy portów zagregowanych, możliwość stworzenia grupy z 8 portów
Spanning Tree: MSTP 802.1s, RSTP 802.1w, STP Root Guard
Protokół umożliwiający tworzenie szybkozbieżnych sieci w topologii pierścieni
w których czas przełączenia transmisji na ścieżkę zapasową jest mniejszy niż
50ms
routing IPv4 z prędkością łącza,
wsparcie dla routingu IPv4: statycznego , RIP i RIPv2,
routing IPv6 z prędkością łącza,
wsparcie dla routingu IPv6: statycznego, RIPng,
Rozmiar tablicy routingu 4 000 wpisów
Virtual Router Redundancy Protocol (VRRP)
Policy-based routing
IGMP Snooping
Equal-Cost Multipath (ECMP)
DHCP snooping
RADIUS
Secure Shell (SSHv2)
IEEE 802.1X– dynamiczne dostarczanie polityk QoS, ACLs i sieci VLANs: zezwalające
na nadzór nad dostępem użytkownika do sieci
Guest VLAN
Port isolation
Port security: zezwalający na dostęp tylko specyficznym adresom MAC
MAC-based authentication
IP source guard
URPF
Urządzenie jest odporne na ataki typu Denial of service takich jak SYN Flood
attacks, Land attacks, Smurf attacks, oraz ICMP Flood attacks
Funkcje QoS: kreowanie klas ruchu w oparciu o access control lists (ACLs), IEEE
802.1p precedence, IP, DSCP oraz Type of Service (ToS) precedence;
8 kolejek QoS per port
Port mirroring (SPAN) i Remote Port mirroring (RSPAN)
OAM (802.3ah) i CFM (802.1ag): wykrywanie problemów na łączu pomiędzy
urządzeniami
Zdalna konfiguracja i zarządzanie przez Web (https) oraz linię komend (CLI)
IEEE 802.1ab LLDP
Pamięć flash o pojemności pozwalającej na przechowywanie minium dwóch wersji
oprogramowania systemowego
Serwisy DHCP: serwer (RFC 2131), klient i relay
SNMPv1, v2, v3
Syslog
Serwis gwarancyjny świadczony przez 3 lata.
Dostępność serwisu 8x5xNBD
Rozwiązywanie problemów ze sprzętem i oprogramowaniem
Gwarantowany czas naprawy sprzętu – 48h od momentu zgłoszenia
Dostęp do poprawek i nowych wersji oprogramowania
•
•
•
•
•
•
•
Quality of
Service (QoS)
Monitoring i
diagnostyka
•
•
•
•
•
•
Zarządzanie
•
•
•
•
•
•
•
•
Serwis
gwarancyjny
1 szt.
•
AR2240 - Router szkieletowy wspierający standard 1Gigabit
Ethernet
Router warstwy szkieletowej 1GbE – Huawei AR2240
Element
Parametr urządzenia
Minimalne
wymagania
•
•
Urządzenie jest fabrycznie nowe oraz nieużywane
Obudowa przeznaczona do montażu w szafie telekomunikacyjnej 19”. Wysokość
sprzętowe
•
•
•
•
Funkcje
warstwy 2
Funkcje
warstwy 3
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Bezpieczeństwo
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
obudowy 2RU
Obudowa wykonana jest z metalu
Urządzenie jest przystosowane do pracy w temp. Od 0 do 45 stopni celciusza
Urządzenie jest modularne z możliwością instalacji 8 dodatkowych modułów
sieciowych
Urządzenie wyposażone jest w 3 porty GE typu WAN w tym dwa porty typu
Combo
Wszystkie powyższe porty mogą działać jednocześnie
Wydajność routingu wynosi 2Mpps
Posiada port konsoli – szeregowy RS-232
Urządzenie wyposażone jest w kartę pamięci SD o pojemności 4GB
Posiada możliwość agregacji portów przy pomocy protokołu LACP (IEEE 802.3ad)
Posiada obsługę VLAN’ów zgodnie z standardem 802.1q
Posiada obsługę Voice VLAN
Posiada obsługę GARP VLAN Registration Protocol (GVRP)
Posiada funkcjonalność Port Security
Obsługuje standardy STP, RSTP, MSTP
Obsługuje protokoły IPv4 oraz IPv6
Dynamic ARP, static ARP, proxy ARP oraz ARP ping
DNS Kklient, DNS/proxy/relay, Dynamic DNS
NAT, PAT, NAT Serwer, NAT ALG (dla protokołów DNS, FTP RSTP oraz SIP)
DHCP Serwer, DHCP Realy, DHCP/BOOTP Klient
Obsługa protokołów routingu statycznego i dynamicznego dla protokołów RIP,
RIPng, OSPF, OSPFv3, IS-IS, BGP, BGP4+
Obsługa wirtualnych tablic routingu
Obsługa 30 tyś wpisów w tablicy routingu
Obsługa protokołu BDF dla protokołów RIP, OSPF, IS-IS i BGP
Obsługa protokołów routingu dla ruchu multicastowego: PIM-DM, PIM-SM, PIMSSM
Osbługa protokołu BFD dla protokołu PIM
Osgługa MBGP
Ochrona protokołu STP: BPDU Protestion, TC protestion, Root Guard
Obsługa uwierzytelniania AAA, RADIUS oraz TACACS
Możliwość zarządzania urządzeniem przez protokół HTTPS
Firewall typu „statefull inspection”
Firewall oparty o strefy bezpieczeństwa
Firewall rozpoznaje aplikacje takie jak: FTP, HTTP, RSTP oraz SIP
Obsługuje ochronę CPU urządzenia przed atakami
Obsługa protokołu 802.1x
obsługa DHCP Snooping obejmującego ochronę przed atakami typu: Man-in-themiddle, IP/MAC poofing, DoS poprzez podmianę adresu MAC, DoS poprzez
zmianę wartości CHADDR
Ochrona przeciwko atakom ARP typu spoofing i flood
Ochrona przed atakami protokołem ICMP
Obsługa mechanizmów IP Source Guard i URPF
Obsługa ACL na podstawie adresów źródłowych i docelowych MAC i IP, portów
źródłowych i docelowych protokołów TCP/UDP, znaczników DSCP i 802.1p, typów
ICPM, flah protokołu TCP, VLANu.
Możliwość przypisywania dla reguł ACL zakresów czasowych
Obsługa PKI
Obsługa protokołu SSL
Obsługa protokołu VRRP
Obsługa BFD dla VRRP
Obsługa interfejsów zapasowych dla ruchu z możliwością wykrycia awarii w
warstwie IP
Możliwość konfiguracji BFD typu Multi-Hop
Moduły interfejsów podlegają wymianie w trakcie pracy urządzenia (funkcja HotSwap)
Obsługa funkcji mirroringu ruchu na interfejsach lokalnego i zdalnego urządzenia
LDP, MPLS L3 VPN, static LSP, dynamic LSP
Obsługa protokołu IPSec
•
•
•
•
Quality of
Service (QoS)
Zarządzenie
Serwis
gwarancyjny
1 szt.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Tunelowanie typu GRE i L2TP
Mechanizm Dynamic VPN typu Point to Multipoint i typu Mesh
Obsługa SSL VPN
Plik konfiguracyjny urządzenia jest edytowalny w trybie off-line. Tzn. istnieje
możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym
urządzeniu PC. Po zapisaniu konfiguracji w pamięci nielotnej jest możliwe
uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej może być
przechowywana dowolnej ilości plików konfiguracyjnych (ilość ograniczona tylko
pojemnością pamięci). Zmiany aktywnej konfiguracji są widoczne
natychmiastowo
Obsługa mechanizmu QoS z zachowaniem gwarancji pasma, opóźnień i Jitter.
Obsługa kolejkowania typu: PQ, WFQ, PQ+WFQ
Limitowanie prędkości na portach z funkcją traffic shaping
Obsługa klasyfikacji ruchu w oparciu o adres źródłowy MAC, adres docelowy
MAC, źródłowy adres IP, docelowy adresu IP, interfejs warstwy 4, typ protokołu
IP, VLAN, typu protokołu Ethernet oraz QoS.
Obsługa hierarchicznego QoS
Obsługa mechanizmów zapobiegania zatorów w sieci
Obsługa mechanizmów RED, WRED
Zdalna konfiguracja i zarządzanie przez Web (https) oraz linię komend (CLI)
IEEE 802.1ab LLDP
Serwisy DHCP: serwer (RFC 2131), klient i relay
SNMPv1, v2, v3
Syslog
Serwis gwarancyjny świadczony przez 3 lata.
Dostępność serwisu 8x5xNBD
Rozwiązywanie problemów ze sprzętem i oprogramowaniem
Gwarantowany czas naprawy sprzętu – 48h od momentu zgłoszenia
Dostęp do poprawek i nowych wersji oprogramowania
eSight(V200R002) - System zarządzania siecią
System zarządzania siecią – e-Sight
Element
Wymagania
podstawowe:
Parametr urządzenia
•
•
•
•
•
•
•
•
Zarządzenie
alertami
•
•
•
Obsługa minimum 110 urządzeń sieciowych (licencja w ofercie), system
obsługuje do 5000 urządzeń sieciowych.
architektura serwer-klient z dostępem do systemu poprzez przeglądarkę
WWW (MS Internet Explorer 8, Firefox 3.6 lub nowsze)
interfejs użytkownika w języku angielskim
Czasowe blokowanie możliwości logowania użytkownika systemu w
przypadku 5-krotnego podania błędnego hasła
Możliwość stworzenia kopii zapasowej danych systemu zarządzania i
odtworzenia tych danych z kopii
możliwość sprawdzenia zainstalowanej licencji oraz zmiany licencji
Monitorowanie wykorzystania licencji i informowanie użytkownika
systemu o zbliżającej się dacie wygasania licencji, bądź przekroczenia
limitów zainstalowanej licencji (np. Ilość obsługiwanych urządzeń)
Dostępna w systemie zarządzającym dokumentacja w języku angielskim
Możliwość automatycznego alarmowania opartego o zadane progi
alarmowe (w sumie 35 zdarzeń na każde urządzenie sieciowe), w tym:
możliwość definiowania dwóch progów – ostrzegawczy i alarmowy
Możliwość automatycznego alarmowania opartego o profil ruchu
•
•
Monitorowanie
•
•
•
•
•
•
•
•
•
Możliwość automatycznego alarmowania o przekroczeniu obciążenia
interfejsu z uwzględnienie dwóch progów - ostrzegawczy i alarmowy
Możliwość wykorzystania następujących kanałów powiadomienia dla
poszczególnych poziomów alarmów
o konsola operatora
o e-mail
SMS
Możliwość monitorowania zdarzeń związanych z funkcjonowaniem
monitorowanych urządzeń w czasie rzeczywistym (CPU, pamięć)
Możliwość monitorowania urządzeń sieciowych oraz ruchu sieciowego w
oparciu o protokoły SNMP
Możliwość zbierania danych z urządzeń firmy Cisco generowanych w
oparciu o protokół SNMP
Możliwość zapisywania niezagregowanych danych pochodzących z
monitorowanych urządzeń przez okres 30 dni.
Możliwość archiwizacji dostępnych danych niezagregowanych.
Możliwość monitorowania obciążenia całkowitego urządzeń oraz ich
interfejsów z zachowaniem
o Wartości aktualnych
o Wartości szczytowych
•
•
•
•
•
•
Zarządzanie
konfiguracją
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Możliwość pozyskania informacji o statusie monitorowanych urządzeń
sieciowych
Możliwość pozyskania informacji o statusie portu
Możliwość ręcznego definiowania progów czułości alarmów
Możliwość przesyłania powiadomień o alarmach za pomocą mechanizmu
SNMP trap
Możliwość monitorowania obciążenia całkowitego urządzeń oraz ich
interfejsów z zachowaniem rozgraniczenia dla ruchu wchodzącego i
wychodzącego
Możliwość wyświetlania 95 percentyla dla raportów obciążenia
interfejsów niezależnie dla kierunku wejściowego i wyjściowego
Możliwość współpracy z urządzeniami sieciowymi różnych producentów,
w szczególności firm Cisco i H3C (produkty 3Com przejęte przez H3C), ZTE
Wsparcie dla protokołu NetFlow (wersja 1, 5, 7, 9) lub równoważnego
oraz SNMP (wersja 1,2,3)
Możliwość konfigurowania zarządzanych urządzeń sieciowych w
szczególności urządzeń firmy Cisco
Możliwość automatycznego wykrywania urządzeń sieciowych
Możliwość automatycznego odczytywania z monitorowanych i
zarządzanych urządzeń ich nazw, listy interfejsów wraz z ich nazwami i
prędkościami. System zarządzania i monitorowania sieci umożliwia
dokonywanie automatycznego odczytu o zdefiniowanej porze.
Możliwość stworzenia mapy topologii fizycznej i logicznej sieci
Możliwość tworzenia i zarządzania sieciami VLAN (niezależnie od fizycznej
lokalizacji urządzeń)
Możliwość pełnego dostępu i zarządzania systemem monitorowania i
zarządzania siecią zarówno lokalnie jak i zdalnie
Możliwość uzyskania zdalnego dostępu do urządzeń sieciowych i
dokonania zmian w ich konfiguracji.
Możliwość definiowania w systemie monitorowania i zarządzania siecią
użytkowników z nadawaniem uprawnień na poziomie poszczególnych
urządzeń oraz grupy urządzeń, do odczytu konfiguracji urządzenia,
zarządzania urządzeniem.
Możliwość stworzenia kopii zapasowej ustawień urządzeń
Możliwość przywrócenia kopii zapasowej ustawień urządzeń
Możliwość ręcznego dodawania opisów do poszczególnych interfejsów
monitorowanych urządzeń
Możliwość logowania i uwierzytelniania w oparciu o lokalną bazę
użytkowników
Możliwość wymuszenia logowania się wszystkich użytkowników systemu
•
•
Raportowanie
•
•
•
•
•
•
•
•
Administracja
systemem i
Bezpieczeństwo
•
•
•
•
•
•
•
•
•
•
•
Serwis
gwarancyjny
•
•
•
•
•
monitorowania i zarządzania siecią.
Możliwość przeprowadzenia testów dostępności urządzenia, liczby
przeprowadzonych udanych oraz nieudanych odpytań SNMP
Możliwość tworzenia szablonów konfiguracji dla danego modelu
urządzenia
Możliwość raportowania na poziomie pojedynczego urządzenia oraz
grupy urządzeń obejmującego dostępne w Systemie - parametry sieciowe
i wydajnościowe
Możliwość raportowania zdarzeń w trybie rzeczywistym - czasie
zbliżonym do rzeczywistego, dla urządzeń (na bieżąco wobec
spływających raportów NetFlow)
Możliwość raportowania w formie graficznej (wykresy) jak i tekstowej
(tabela z wszystkimi konwersacjami)
Możliwość raportowania obciążenia całkowitego urządzeń oraz ich
interfejsów z zachowaniem
Wartości aktualnych, Wartości szczytowych
Możliwość tworzenia raportów dostępności urządzeń
Możliwość przeglądania raportów za pośrednictwem przeglądarki WWW
Możliwość eksportu raportów do plików płaskich lub ustrukturyzowanych
Możliwość automatycznego generowania, zapisywania i wysyłania
raportów pocztą email
Możliwość tworzenia unikalnych kont użytkowników
Możliwość zabezpieczenia Dostępu do kont użytkowników przy pomocy
haseł
Możliwość logowania zdarzeń i aktywności użytkowników narzędzia
Możliwość zarządzania uprawnieniami na poziomie grup - pojedynczych
użytkowników
Możliwość przypisywania użytkownikom - grupom uprawnień na
poziomie czynności, elementów konfiguracji (np. urządzenie sieciowe,
grupa urządzeń sieciowych)
Możliwość definiowania wielu użytkowników, w tym możliwość
różnicowania uprawnień odczytu oraz różnicowania uprawnień
administracyjnych z podziałem na grupy urządzeń
Możliwość tworzenia widoków dla użytkowników w zależności od zakresu
uprawnień
Możliwość tworzenia widoków jedynie do podglądu
Możliwość archiwizacji i odtwarzania danych narzędzia, w tym
konfiguracji oraz informacji o licencji
Możliwość importu całej lub fragmentu konfiguracji
Możliwość konfigurowania, zarządzania oraz monitorowania usług VPN
(IPSec)
Serwis gwarancyjny świadczony przez 3 lata.
Dostępność serwisu 8x5xNBD
Rozwiązywanie problemów ze sprzętem i oprogramowaniem
Gwarantowany czas naprawy platformy sprzętowej aplikacji – 48h od
momentu zgłoszenia
Dostęp do poprawek i nowych wersji oprogramowania
Pozostałe urządzenia wspomagające prawidłową pracę sieci:
- Serwer RACK 19” HP DL360p G8 z oprogramowainem Microsoft.
Serwer systemu zarządzania siecią – HP DL360p G8
Element
Charakterystyka
Oferowany parametr
•
•
•
•
•
Możliwy montaż w szafie 19”, rozmiar 1U.
4 dyski SAS o pojemności co najmniej 300GB każdy, 10krpm, Hot Plug,
Kontroler RAID z wsparciem dla poziomów 0, 1, 1+0, 5, 6.
Dwa redundantne zasilacze.
2
interfejsy
sieciowe
w
standardzie
1000Base-T.
•
Dedykowany interfejs do zdalnego zarządzania, zapewniający
funkcjonalność KVM IP.
16 GB RAM (2x8GB)
Port D-SUB.
ponad 2 porty USB, co najmniej jeden na froncie.
Intel Xeon E5-2609 (2.40GHz) – ponad 4200pkt
3 letnia gwarancja – reakcja na zgłodzenie serwisowe w „następny dzień
pracujący”.
•
•
•
•
•
- Notebook Dell Latitude E5520 15,6'' WLED_HD AG i3-2330M 4GB 500GB B-lit_Keyb
Win7Pro64 3YPro
Notebook do systemu zarządzania siecią – Dell Lalitude E5520
Element
Charakterystyka
•
•
•
•
•
•
•
•
•
•
•
•
Dwurdzeniowy procesor z technologią HT, o minimalnym taktowaniu 2Ghz,
4GB pamięci RAM (możliwość rozszerzenia do co najmniej 8GB),
Przekątna matrycy 15,6”, natywna rozdzielczość 1366x768,
Dysk z interfejsem SATA II o pojemności 500GB,
Zintegrowana karta dźwiękowa,
Karta graficzna zintegrowana,
Dedykowane złącze stacji dokującej,
złącza: 15 stykowy D-SUB (monitor), HDMI, 3xUSB 2.0, 1xRJ45, co najmniej 1xE-Sata,
mikrofon i słuchawki, czytnik kart SD,
Technlogie bezprzewodowe: Bluetooth 2.1, Wifi 2,4Ghz (802.11b/g/n),
Interfejs Ethernet w standardzie 10/100/1000 Base-T,
Gwarancja 3 lata NDB
Bezprzewodowa mysz laserowa dedykowana dla urządzeń mobilnych
- UPS Rack 19” : COVER PRM 3 - 3 kVA z wyposażeniem,
Zasilacz awaryjny UPS – Cover PRM 3 3kVA
Element
Charakterystyka
•
•
•
•
•
•
•
•
•
•
Podtrzymanie napięcia co najmniej 20 minut przy obciążeniu 1100W;
maksymalna moca wyjściowa o wartości 2700W;
Zamknięty w obudowie „Rack”, możliwy montaż w szynach szafy
Napięcie wyjściowe 230V;
Porty komunikacyjne np. w postaci DB9 (RS232) lub USB umożliwiający pracę z komputerem
klasy PC, port umożliwia podstawową diagnostykę stanu urządzenia w przypadku awarii
modułu komunikacyjnego IP;
Moduł komunikacji sieciowej w standardzie Ethernet 100Base-T (zintegrowany bądź w
postaci karty rozszerzeń), umożliwiające wsparcie dla zdalnego zarządzania
i raportowania zdarzeń (SNMPv3);
Przedni panel - wskaźniki stanu urządzenia – bieżące obciążenie, wskaźnik przeciążenia,
uszkodzenia modułu bateryjnego, stanu pracy (zasilanie sieciowe, zasilanie bateryjne), co
umożliwi personelowi technicznemu danej jednostki szybką diagnozę stanu zasilacza;
Sygnalizacja dźwiękowa w trakcie pracy na zasilaniu bateryjnym;
Wahania napięcia wyjściowego ± 1% / ± 3%; przy maksymalnym obciążeniu;
dwuletnia gwarancja
z możliwością przedłużenia tego okresu, oraz zakupieniem
dodatkowych usług serwisowych podwyższających standard realizacji zgłoszeń serwisowych
Urządzenia dostępowe założone w projekcie:
Infokioski:
Infobox – model: IB220 wewnętrzny i zewnętrzny
HotSpot: w oparciu o platformę Mikrotik: RB433
2.3. Bezpieczeństwo sprzętowe
2.3.1. Zasilanie:
- każde z urządzeń aktywnych sieci szkieletowej i dystrybucyjnej posiada 2 niezależne
zasilacze
- w szafie głównej Centrum Zarządzania Siecią znajdują się Router brzegowy i Przełącznik
szkieletowy. Jeden zasilacz każdego urządzenia podpięty jest pod UPS natomiast drugi
podpięty bezpośrednio pod gniazdo 230V zasilane z nowopowstałej rozdzielni . Wyeliminuje
to nadmierne obciążenie zasilacza awaryjnego i zapewni ciągłość pracy w przypadku zaniku
zasilania.
- w węzłach dystrybucyjnych zasilacze podpięte są pod gniazda 230V zasilane z
nowopowstałej rozdzielni . Taki sposób zapewni ciągłość pracy w przypadku uszkodzenia
jednego z zasilaczy.
2.3.2. Trasy logiczne
- w celu zapewnienia ciągłości połączeń logicznych każda trasa kablowa jest zdublowana.
(pomiędzy urządzeniami po dwie pary włókien w przypadku połączeń światłowodowych oraz
po dwa kable UTP w przypadku połączeń miedzianych) . Takie rozwiązanie pozwoli na ciągłą
pracę w przypadku uszkodzenia portu w przełącznikach lub routerze lub uszkodzenia
pojedynczego włókna światłowodowego lub kabla miedzianego.
2.3.3. Wykaz sprzętu z wykazem elementów podlegających redundancji
•
•
•
•
•
Router szt 1
- 3 porty WAN ( 2 podłączone do niezależnych punktów styku, 1 zapasowy w
celu szybkiego przełączenia urządzeń z uszkodzonego któregokolwiek portu
WAN )
- 2 zasilacze
Switch Szkieletowy szt. 1
- 2x 48 port 1Gb
- 2 zasilacze
Switch Dystrybucyjny 28 szt
- 24 port 1Gb
- 2 zasilacze
Serwer zarządzający 1 szt.
- 2 zasilacze
UPS szt 1
- podtrzymuje zasilanie dla następujących urządzeń: Router, Switch szkieletowy,
Serwer zarządzający, urządzenia dostępowe do Internetu.
3. Połączenia logiczne sieci
Logicznie sieć będzie się skupiała hierarchicznie i rozgałęziała od węzła szkieletowego, przez
dystrybucyjne do dostępowych.
Sposób konfiguracji początkowej przedstawia się następująco:
Wszystkie klasy urządzeń powinny mieć zaimplementowane mechanizmy usprawniające
centralne zarządzanie infrastrukturą w kontekście utrzymania ciągłości działania oraz kwestii
bezpieczeństwa. W tej grupie funkcjonalności wymaga się poniższe elementy wspierane
przez oprogramowanie do centralnego zarządzania siecią „eSight”(kontrola systemów i
przełączników):
- logowanie zdarzeń (w szczególności związanych z naruszeniem reguł bezpieczeństwa) do
zewnętrznego serwera Syslog.
- udostępnienie stanu urządzeń dla zewnętrznego serwera SNMP. Przełączniki (agenci
SNMP), powinny generować komunikaty „Trap” kluczowych dla bezpieczeństwa (np.
modyfikacja konfiguracji, istotna zmiana topologii, informacje o stanie samego urządzenia).
Serwer usługi SNMP należy zdefiniować tak by móc reagować na zdarzenia np. powiadomić
administratora o uszkodzeniu wentylatora przełącznika (przy pomocy wiadomości e-mail na
sparametryzowany wcześniej adres lub grupę adresów). By osiągnąć akceptowalny poziom
bezpieczeństwa, konfiguracja usługi SNMP powinna zapewniać poufność, integralność oraz
autentykacje dla przesyłanych komunikatów, więc wymagana jest wersja trzecia protokołu.
- Autoryzacja dostępu do urządzeń powinna być obsługiwana za pomocą centralnej usługi
implementującej model AAA ( “Authentication, Authorization, Accounting”), np. protokołu
RADIUS, skonfigurowana dla wszystkich aktywnych metod dostępu (dostęp zdalny przez
SSHv2 bądź https, dostęp lokalny przy użyciu portu konsolowego). Dodatkowo należy
wprowadzić politykę wymuszającą stosowanie silnych haseł. Jako „silne hasło” rozumiemy
ciąg znaków nie zawierający słów pochodzenia słownikowego, o odpowiednio dużej
minimalnej długości (zaleca się minimalnie 8 znaków), składający się z oprócz cyfr i liter
(zarówno dużych jak i małych) z również innych znaków drukowalnych. By maksymalnie
ograniczyć możliwość ataków siłowych na hasła należy ograniczyć ilość prób logowania w
funkcji czasu, poprzez wymuszenie interwałów czasowych pomiędzy kolejnymi (nieudanymi)
próbami logowania. Godną uwagi alternatywą dla tradycyjnej autoryzacji przy użyciu loginu i
hasła są metody oparte o wykorzystanie certyfikatu (przy czym należy pamiętać o
przygotowaniu certyfikatu tak, by maksymalnie ograniczyć możliwość wykorzystania go przez
osoby postronne).
- Serwer czasu dla ujednolicenia wskazań RTC urządzeń. Szyfrowany dostęp do interfejsów
zarządzania przełącznikami (implementowany np. poprzez wykorzystanie usług SSHv2 lub
https). Wymaga się kompletnego wyłączenia nieszyfrowanych protokołów umożliwiających
uzyskanie zdalnego dostępu.
Wszystkie powyższe usługi powinny funkcjonować w obrębie wydzielonej logicznej sieci
administratorskiej, do której dostęp określony jest wyjątkowo rygorystycznymi regułami. Z
racji krytycznej roli jakie spełniają powyższe usługi wymaga się wykorzystania wszystkich
dostępnych w dostarczonych urządzeniach mechanizmów zabezpieczeń oferowanych przez
te protokoły, starając się, wszędzie tam gdzie jest to możliwe, wybierać algorytmy szyfrujące
i/lub haszujące uważane za bezpieczne w danym zastosowaniu. Wszystkie domyślne hasła
urządzeń powinny zostać zmienione i przekazane Zamawiającemu, z możliwością
wprowadzania dalszych zmian przez przyszłych administratorów.
Wybierając protokoły uruchamiane na urządzeniach, należy zwrócić uwagę by wszędzie tam
gdzie pozwalają na to wymagania funkcjonalne wykorzystywać protokoły dobrze
zdefiniowane, o otwartej specyfikacji (np. w postaci dokumentu RFC lub standardu IEEE),
zamiast protokołów własnościowych producenta. Umożliwi to w przyszłości używanie
sprzętu innych producentów i łatwą integrację z istniejącą infrastrukturą oraz pomoże
zapewnić niezależność technologiczną. Sugeruje się wykorzystanie np. „LLDP” zamiast „CDP”,
lub „OSPF” zamiast "EIGRP”.
Urządzenia powinny być skonfigurowane tak by zapewniały ochronę przed
najpopularniejszymi metodami ataku na sieci Ethernet, oraz (wszędzie tam gdzie jest to
konieczne) również przed atakami na stos protokołów TCP/IP (w szczególności pozwalające
uzyskać nie autoryzowany dostęp do administracyjnych interfejsów IP urządzeń sieciowych).
W razie pojawienia się próby ataku lub incydentu bezpieczeństwa na porcie przełącznika (w
szczególności przełącznika dostępowego), powinna istnieć możliwość wymuszenia
automatycznego wyłączenia portu bądź „cichego” odrzucania ramek na określony czas.
Należy w jak najlepszym stopniu, biorąc pod uwagę możliwości udostępnianych przez
dobrane urządzenia, zabezpieczyć urządzenia przed próbami ataków L2, w szczególności:
- “MAC Flooding”,
- “ARP Attack”,
- “MAC Duplicating”,
- “VPMS Attack”,
- “Spanning Tree Attack”
- “Layer 2 Port Authentication”
Zaleca się statyczną konfiguracje interfejsów IP wszędzie tam gdzie nie jest wymagane inne
podejście. Wpłynie to na uniezależnienie tak istotnych parametrów od działania dodatkowej
usługi automatycznej konfiguracji adresów IP (która może ulec awarii bądź zostać
wykorzystana do prób ataku). Wszędzie tam gdzie jest to możliwe wymaga się wyłączenie
nieużywanych portów przełączników.
Wymagane jest wykorzystanie sieci wirtualnych VLAN w standardzie 802.1q na wszystkich
przełącznikach, umożliwi to zapewnienie logicznej separacji klas: usług i użytkowników.
Komunikację i wymuszanie polityk bezpieczeństwa pomiędzy sieciami wirtualnymi zapewnią
urządzenia warstwy trzeciej czyli przełączniki dystrybucyjne i szkieletowe. Dla każdego z
VLAN-ów powinna zostać przypisana podsieć IP. Połączenia pomiędzy switchami powinny
być zdefiniowane jako trunki 802.1q. Istotne jest skonfigurowanie urządzeń dostępowych
tak, by nie przenosiły po trunku ruchu z identyfikatorami VLAN-ów których obsługi nie
przewidują (np. ramka z tagiem VLAN-u wymiany danych dla jednostek miejskich na
pojawiająca się na urządzeniu dostępowym jednostki która nie powinna mieć dostępu do
tego VLAN-u). Porty dostępowe (tzn. dla urządzeń przyłączanej jednostki) w urządzeniach
dostępowych
powinny
być
portami
przypisanymi
do
poszczególnych
VLAN-ów
przenoszącymi tylko ruch nie-tagowny. Porty tagowane (trunki 802.1a) powinny zostać
wykorzystane tylko w sytuacji gdy jednostka wykorzystuje większą ilość VLAN-ów niż
umożliwia konfiguracja portów przełącznika dostępowego i posiada odpowiednie możliwości
techniczne.
W pierwotnej konfiguracji sieci sugeruje się, zgodnie z wymaganiami Zamawiającego,
uruchomienie VLAN-ów.
UUVLAN- techniczny –VLAN dedykowany do zarządzania siecią, itp. VLAN techniczny
(umożliwia dokonanie operacji administratorskich i monitorowanie).
o powinien być skonfigurowany na wszystkich urządzeniach pracujących w sieci i
zdefiniowany jako interfejs do zarządzania.
o Wszelka komunikacja pomiędzy VLAN-em administracyjnym a pozostałymi sieciami
wirtualnymi nie powinna być możliwa.
o Jedyną lokalizacją z której powinien być możliwy dostęp fizyczny (tzn. poprzez trunk lub
port dostępowy), jest centrum monitorowania sieci.
W ramach tej sieci wszystkie adresy powinny być przydzielane statycznie.
VLAN-y dla telefonii VOIP – w przyszłości posłuży do uruchomienia telefonii IP dla
przyłączonych jednostek.
Dostęp do VLAN-ów możliwy za pomocą portu dostępowego lub trunka na switchu
dostępowym (w zależności od możliwości technicznych jednostki),
Przepływy przenoszone z wykorzystaniem tych VLAN-ów powinny być przez mechanizmy
QoS traktowane jako strumienie czasu rzeczywistego wymagające niskiej (poniżej 10ms) i
względnie stałej latencji. Przewiduję się że wszystkie lokalizacje przyłączone jako punkt
dostępowy (tzn. taki węzeł sieci gdzie zamontowano przełącznik dostępowy, a więc nie
dotyczy to punktów przyłączenia kamer monitoringu wizyjnego i stacji Wi-MAX) będą
wykorzystywać w przyszłości telefonię IP.
Każda z przyłączonych jednostek powinna zostać przypisana do indywidualnego VLAN-u
przeznaczonego na potrzeby oferowania usług głosowych. Należy również zapewnić
adresację IP oraz routing pomiędzy VLAN-ami, w celu umożliwienia realizacji połączeń.
Zgodnie z wymaganiami zamawiającego zakłada się że każda jednostka będzie
wykorzystywała średnio 5 telefonów VoIP, należy więc zapewnić każdej jednostce pasmo dla
5 strumieni G.711, o wysokim priorytecie.
VLAN-y transmisji danych dla jednostek przyłączonych do sieci – umożliwiają wszystkim
przyłączonym jednostkom komunikację, wzajemną wymianę danych oraz dostęp do
Internetu.
Wymaga się by były dostępne na switchach dostępowych jako port dostępowy (trunk, jeśli
jednostka posiada możliwości techniczne do obsługi takiego połączenia i ilości sieci VLAN).
Jeśli jednostka posiada wiele lokalizacji, wszystkie powinny znaleźć w tym samym VLAN-ie.
Posłuży do zapewnienia jednostkom dostępu do sieci Internet (zakładana początkowa
przepustowość to 2Mbit/s dla każdej z jednostek, zakłada się jednak że może ulec w
przyszłości, dla niektórych z jednostek, zwiększeniu). Ramki przesyłane tymi VLAN-ami
powinny być przez mechanizmy QoS traktowane jako dane o niskim priorytecie i przesyłane
przez urządzenia zgodnie z założeniami polityki „Best Effort”. Każda jednostka powinna
posiadać wydzieloną pulę nie-routowalnych adresów IP.
Powinna zostać zapewniona komunikacja między podsieciami jednostek.
4. Karty katalogowe
Huawei eSight Brief Product Brochure
Challenges
As the network scale and the number of enterprise network applications continue to grow, a large number of terminal
access devices, such as multi-service routers, gateways, and WLAN APs, are widely used in decentralized networks like
enterprise campus networks and branch networks. An increasing number of IT and IP devices from multiple vendors are
used in enterprises and these devices use different network management systems. Enterprises require a unified network
management system to manage devices on the entire network, ensure network stability, and improve the O&M efficiency.
eSight––Integrated Enterprise O&M Solution
Huawei eSight is a next-generation IP+IT network operation and maintenance system developed for enterprises by Huawei
enterprise network product Line. eSight manages enterprise resources, services, user data, and applications in compliance
with Information Technology Infrastructure Library (ITIL) standards. eSight is able to manage IT and IP devices, and thirdparty devices used by enterprises. It provides an open platform that allows enterprises to build their own intelligent
management systems.
Any Customer
Multi-edition for any customer
Customer
Policy
Any Policy
Intelligent center for any policy
Any Vendor
Open platform for any vendor
Vendor
eSight
Device
Service
Any Device
Flexible mechanism for any device
Any Service
Simplified visualization of any service
eSight can reduce IT device investment and maintenance costs and improve the O&M efficiency.
eSight is applicable to:
•
Any vendor
» Preset multi-vendor IP device management capabilities: eSight can manage not only Huawei
devices but also Cisco and HP devices.
» Open platform: Customers and administrators can customize information about devices to be
managed.
•
Any device
» eSight realizes unified management of routers, switches, WLAN, firewall, and other network
devices.
» eSight can monitor multiple IT devices including servers, IT printers, and workstations.
» eSight can monitor any device supporting SNMP protocol.
•
Any service
» eSight MPLS, IPSec, WLAN RF, and other views allow visible management of network services,
simplifying O&M needs.
» SLA combines network quality analysis to make the network quality situation easily accessible
and to ensure users enjoy good experiences using enterprise IT applications.
» eSight visualizes network traffic to help realize refined management of enterprise bandwidth.
•
Any policy
» eSight supports batch policy control on network layer devices and provides terminal access
and user access authentication to help safeguard enterprise network security.
•
Any customer
» The multi-edition and multi-component mode satisfies a range of customer demands and
reduces O&M costs.
Multiple editions and open platforms, reducing the initial investment: eSight provides
multiple editions to meet management and business requirements of different enterprises. The
open secondary development platform and API interface can meet enterprises' requirements for
integrating existing systems and developing personalized tools. In addition, eSight can manage IP
and IT devices and third-party devices on the entire network in a unified manner.
Batch delivery and quick diagnosis, improving the work efficiency: The smart configuration tool
provides the template-based and plan file–based batch configuration and command authentication
functions, which improve the service deployment efficiency. The MPLS VPN service provides the
one-click fault diagnosis function, which helps users to diagnose faults efficiently. The customizable
system portal and device portal implement one-stop information monitoring.
Visible services and unified O&M, reducing O&M costs: Network Quality Analysis (NQA) counters
are encapsulated into SLA services. The SLA compliance indicates the service quality, reducing skill
requirements on maintenance personnel. The unified O&M solution supports unified deployment and
O&M and interaction between different functions, which simplifies O&M for enterprises.
Highlights
Lightweight system: eSight uses the B/S architecture and can run on portable computers, enabling
users to access the network and check the network status anytime, anywhere.
Multiple editions: eSight provides the express, compact, standard, and professional editions,
meeting requirements of different enterprises.
Comprehensive device management capabilities: eSight can manage IP and IT devices and thirdparty devices and provide device customization capabilities, reducing device investment and improve
the O&M efficiency.
Unified O&M experience: Based on the unified enterprise management platform, eSight provides
a complete O&M solution and supports interaction between system functions, providing the same
O&M experience and reducing training costs.
Integration of Huawei best practices: Based on Huawei best practices, eSight provides the
network quality evaluation, fast fault diagnosis, and detailed fault rectification suggestion functions,
helping users to quickly diagnose faults and reducing skill requirements on maintenance personnel.
Visible management: eSight provides multiple views and icons, which display the network status
and quality from different layers in different modes.
Product Components
eSight provides a unified O&M platform and components to meet the demands of enterprise
customers. Product overview:
Application
management
layer
User Access Manager
• Unified management of enterprise network
and user
• Intelligent control center based on policy
Network
service layer
WLAN Manager
• Unified wired/wireless
network management
• Visualized WLAN
services, RF view.
Network
management
layer
• Web 2.0 provides better user experience.
• Multiple editions: Express edition, Compact edition, Standard edition, and Professional Edition
• Unified O&M platform: Unified management of multiple devices from multiple vendors, including
routers, switches, security devices, WLAN, servers, and third party devices.
Enterprise branch & campus
MPLS VPN Manager
• Visualized
monitoring
• one-click fault
diagnosis
Data Center Service Manager
• Unified management of physical and
virtual resources of enterprise
• Data center network auto-migration
SLA Manager
• Visualized
management of
network quality
Wide area interconnection
...
Network Traffic analyzer
• Refined management of
traffic
• Support Netstream, Netflow,
and sFlow protocols
Data center
Unified Management Platform
The Unified Management Platform can manage IP and IT devices and third-party devices. It provides
the basic management functions including fault management, configuration management,
performance management, and security management for all devices. The physical topology and IP
topology show the network structure and status in different dimensions. The smart report function
meets O&M requirements.
MPLS VPN Manager
The MPLS VPN Manager provides the service management and monitoring functions. It can
automatically discover services on the entire network, including network of Full-Mesh, Hub-Spoke,
MCE, HoVPN, Inter-AS option A, Inter-AS option B. The access topology, service monitoring, and
one-click fault diagnosis functions protect enterprise backbone networks. In addition, interaction
between the SLA, smart report, and performance monitoring services is supported.
WLAN Manager
Users can deploy WLAN services following the wizard. Visible management is implemented based on
the service topology and location topology. The service topology shows the connections between
the AC, APs, and STAs, and marks rouge APs, and the detailed information about them. Users can
diagnose service faults in the service topology. The location topology shows the hotspots and radio
signal coverage scope, and marks unauthorized APs and collision domains. The WLAN Manager
provides the functions of restarting, replacing, and restoring APs to factory settings in batches.
SLA Manager
NQA counters are encapsulated into SLA services such as voice and video services. The SLA
compliance indicates the service quality. SLA historical data provides a basis for optimizing the
network. Based on the interaction with the smart report service, SLA compliance statistics reports
and counter statistics reports can be provided.
Network Traffic Analyzer
The Network Traffic Analyzer supports NetFlow, NetStream, and sFlow. It monitors network traffic
and employs refined management to ensure proper use of network resources. It provides data about
traffic that can be used to plan bandwidth expansion or traffic policy optimization.
Obtaining More Information
http://enterprise.huawei.com/
Copyright © Huawei Technologies Co., Ltd. 2012. All rights reserved.
THIS DOCUMENT IS FOR INFORMATION PURPOSE ONLY, AND DOSE NOT CONSTITUTE ANY KIND OF WARRANTIES.
S7700 Series Smart Routing Switches
Realize Your Potential
S7700 Series Smart Routing Switches
Product Overview
The S7700 series switches (S7700 for short) are high-end smart routing switches designed for nextgeneration enterprise networks. The S7700 design is based on Huawei's intelligent multi-layer switching
technology to provide intelligent service optimization methods, such as MPLS VPN, traffic analysis,
comprehensive QoS policies, controllable multicast, load balancing, and security, in addition to highperformance Layer 2 to Layer 4 switching services. The S7700 also features superb scalability and
reliability.
The S7700 can function either as an aggregation or core node on a campus network or in a data center
to provide integrated wireless access. The S7700 also offers voice, video, and data services, helping
enterprises build an integrated cost-effective end-to-end network.
Product Appearance
The S7700 series is available in three models: S7703, S7706, and S7712. The switching capacity and port
density of all three models is expandable. The S7700 is based on a new hardware platform, which adopts
a left-to-rear ventilation channel to achieve better energy efficiency. Key components work in redundancy
mode to minimize risks of system breakdown and service interruption. Using innovative energy-saving chips,
the S7700 provides an industry-leading solution for a sustainable energy-saving network.
S7703
S7706
S7712
S1700-8G-AC
1
Product Features
Powerful service processing capabilities
• Huawei's advanced switching architecture permits rapid bandwidth expansion. The highly expansible backplane
enables ports to be upgraded to a rate of 40 Gbit/s or 100 Gbit/s, and is compatible with the currently used
cards, helping enterprises maximize their ROI.
• Each 7700 supports 480 10GE ports. The high density of 10GE ports brings enterprise campus networks and
data centers into the era of the all-10GE core network.
• The S7700's multi-service routing and switching platform meets requirements for service bearing at the access
layer, aggregation layer, and core layer of enterprise networks. The S7700 provides wireless access along with
voice, video, and data services, helping enterprises build integrated full-service networks with high availability
and low latency.
• The S7700 supports distributed Layer 2/Layer 3 MPLS VPN functions, including MPLS, VPLS, HVPLS, and VLL,
implementing VPN access for enterprise users.
• The S7700 supports various Layer 2 and Layer 3 multicast protocols such as PIM SM, PIM DM, PIM SSM, MLD,
and IGMP snooping. It can provide enterprises with multi-terminal high definition video surveillance and video
conferencing services.
Carrier-class reliability and visual fault diagnosis
• Huawei's high reliability design ensures that the S7700 is 99.999% reliable. The S7700 provides redundant
backup for key components, including MPUs, power supply units, and fans, all of which are hot swappable.
• The S7700 innovatively implements the CSS function through switch fabrics, and packets are only switched
once when they are forwarded between chassis. This addresses the problem of low switching efficiency caused
by multiple switching processes during inter-chassis forwarding in clusters established using line cards. The
cluster provides the industry's highest cluster bandwidth 256 Gbit/s, In addition, inter-chassis link aggregation
can be used to improve link use efficiency and prevent single-point failures.
• The S7700 can use service ports as cluster ports, so that cluster members can be connected through optical
fibers. This substantially expands the clustering distance.
• The S7700 has a dedicated fault detection subcard that provides hardware-based OAM function conforming
to IEEE 802.3ah, 802.1ag, and ITU-Y.1731. Hardware-based OAM implements 3.3 ms fault detection and can
check session connectivity of all terminals in real time when a network fault occurs. The S7700 can also work
with an NMS. The NMS provides a graphical fault diagnosis interface and traverses all network elements and
links automatically to help users detect and locate faults quickly.
• The S7700 implements seamless switchover between the master and slave MPUs and supports graceful
restart to ensure nonstop forwarding. The in-service software upgrade (ISSU) function of the S7700 prevents
interruption of key services during software upgrading.
Enhanced QoS mechanism, improving the voice and video experience
• The S7700's QoS control mechanisms classify traffic based on information from the link layer to the application
layer. With advanced queue scheduling and congestion control algorithms, the S7700 performs accurate
multi-level scheduling for data flows, satisfying enterprises' QoS requirements for a variety of services and user
terminals.
• The S7700 supports hardware-based low delay queues for multicast packets so that the video service can
be processed with high priority and low delay. This feature guarantees the high quality of key services in an
2
enterprise, such as video conference and surveillance.
• The S7700 uses innovative priority scheduling algorithms to optimize the QoS queue scheduling mechanism
for voice and video services. The improved scheduling mechanism shortens the delay of the VoIP service and
eliminates the pixelation effect in the video service, improving user experience.
High-performance IPv6 service processing, resulting in a smooth transition from IPv4
to IPv6
• Both the hardware platform and software platform of the S7700 support IPv6. The S7700 has earned the IPv6
Ready Phase 2 (Gold) designation.
• The S7700 supports IPv4/IPv6 dual stack, various tunneling technologies, IPv6 static routing, RIPng, OSPFv3,
BGP+, IS-ISv6, and IPv6 multicast. These features meet the demand for IPv6 networking and combined IPv4 and
IPv6 networking.
Intelligent traffic load balancing, improving enterprises' network efficiency
• The S7700's load balancer supports multiple load balancing algorithms, including the weighted round robin
(WRR) algorithm, least connection algorithm, hash algorithm based on the IP address, and hash algorithm
based on the URL in HTTP packets.
• The S7700's load balancer supports the multiplexing of TCP and HTTP connections to reduce the workloads for
establishing and closing TCP connections, therefore increasing the access rate of Web portal servers.
• The S7700's load balancer supports dynamic traffic locking to implement load balancing for online shopping on
e-commerce websites.
Superb traffic analysis capability, resulting in real-time network performance
monitoring
• The S7700 supports NetStream for the real-time collection and analysis of network traffic statistics.
• The S7700 supports the V5, V8, and V9 Netstream formats and provides aggregation traffic templates to
reduce the burden on the network collector system. In addition, the S7700 supports real-time traffic collection,
dynamic report generation, traffic attribute analysis, and traffic exception trap.
• NetStream monitors network traffic in real time and analyzes the device's throughput, providing data for
network structure optimization and capacity expansion.
Comprehensive security mechanisms, protecting enterprises from internal and external
security threats
• The S7700 comes equipped with an integrated firewall card and supports virtual firewalls and NAT multiinstance, allowing multiple VPN customers to share the same firewall. Its application-layer packet filtering
technology detects and filters application layer packets according to preset rules.
• The S7700 provides comprehensive NAC solutions for enterprise networks. It supports MAC address
authentication, Portal authentication, 802.1x authentication, and DHCP snooping-triggered authentication.
These authentication methods ensure the security of various access modes, such as dumb terminal access,
mobile access, and centralized IP address allocation.
• The S7700 is the industry leader in integrated security solutions. It supports 1K CPU queues and uses a 2-level
CPU protection mechanism, separating the data plane from the control plane. Additionally, the S7700 defends
against DoS attacks, prevents unauthorized access, and prevents control plane overloading.
3
Wireless AC boards, meeting mobile office requirements
• The S7700 can use an access controller (AC) board to provide radio frequency management functions. The
AC board allows access points (APs) to automatically select their radio channels and power. In an AP region,
APs automatically adjust radio channels and power in the event of signal interference, enabling the receive
signal strength indicator (RSSI) and signal-to-noise ratio (SNR) to be continuously updated. The system can then
monitor the electromagnetic environment of every wireless user to improve network availability.
• The S7700's AC board supports multiple authentication methods, including 802.1x authentication, MAC
address authentication, Portal authentication, and WAPI authentication. These authentication methods meet
the requirements of users who use different types of STAs and require different security levels.
• The S7700's AC board supports Layer 2 roaming, allowing STAs to rapidly switch between APs. The S7700
supports 1+1 and N+1 cold backup between ACs and load balancing among ACs, improving network reliability.
Innovative energy-saving chips, allowing for intelligent power consumption control
• The S7700 uses innovative energy-saving chips, which can dynamically adjust power on all ports based on
traffic volume. An idle port enters a sleep mode to reduce power consumption.
• The S7700 supports Power over Ethernet (PoE) and uses different energy management modes according to the
powered device (PD) type, ensuring flexible energy management.
• The S7700 supports IEEE 802.3az Energy Efficient Ethernet and provides the low power idle mode for the PHY
line card. If the link utilization is low, the S7700 switches to a lower speed or power PHY to reduce power
consumption.
Product Specifications
Item
S7703
S7706
S7712
Backplane capacity
3 Tbps
6 Tbps
12 Tbps
Switching capacity
768 G/1.92 T
2 T/5.12 T
2 T/5.12 T
Forwarding performance
576 Mpps/1440 Mpps
1152 Mpps/ 2880Mpps 1344 Mpps/3360 Mpps
Service Slot
3
6
12
Three types of interfaces: access, trunk, and hybrid
Default VLAN
VLAN
VLAN switching
QinQ and selective QinQ
MAC address-based VLAN assignment
MAC address learning and aging
Static, dynamic, and blackhole MAC address entries
MAC address
Packet filtering based on source MAC addresses
Limit on the number of MAC addresses learned on ports and VLANs
STP(IEEE 802.1d), RSTP(IEEE 802.1w), and MSTP(IEEE 802.1s)
STP
BPDU protection, root protection, and loop protection
BPDU tunnel
4
Item
S7703
S7706
S7712
IPv4 routing protocols, such as RIP, OSPF, BGP, and IS-IS
IP routing
IPv6 dynamic routing protocols, such as RIPng, OSPFv3, ISISv6, and
BGP4+
IGMPv1/v2/v3 and IGMP v1/v2/v3 snooping
PIM-DM, PIM-SM, and PIM-SSM
MSDP and MBGP
Fast leave
Multicast
Multicast traffic control
Multicast querier
Multicast packet suppression
Multicast CAC
Multicast ACL
Basic MPLS functions
MPLS OAM
MPLS
MPLS-TE
MPLS VPN/VLL/VPLS
LACP and E-Trunk between devices
VRRP and BFD for VRRP
BFD for BGP/IS-IS/OSPF/static route
NSF and GR for BGP/IS-IS/OSPF/LDP
TE FRR and IP FRR
Reliability
Ethernet OAM (IEEE 802.3ah and 802.1ag)
ITU-Y.1731
DLDP
ISSU
CSS
Traffic classification based on Layer 2 protocol packet header, Layer 3
protocol information, Layer 4 protocol information, and 802.1p priority
ACL, CAR, re-mark, and scheduling
QoS
Queue scheduling algorithms including PQ, WRR, DRR, PQ+WRR, and
PQ+DRR
Congestion avoidance mechanisms, such as WRED and tail drop
Traffic shaping
5
Item
S7703
S7706
S7712
Console, Telnet, and SSH terminals
Network management protocols, such as SNMPv1/v2/v3
Configuration and
maintenance
File uploading and downloading using FTP and TFTP
BootROM upgrade and remote upgrade
Hot patches
User operation logs
802.1x authentication and portal authentication
NAC
RADIUS and HWTACACS authentication
Security and
management
Different user levels for commands, preventing unauthorized users from
using certain commands
Defense against DoS attacks, TCP SYN Flood attacks, UDP Flood attacks,
broadcast storms, and heavy traffic attacks
1K CPU queues
Ping and traceroute
RMON
Firewall
NAT
Netstream
Value-added service
IPSec
Load balancing
AC
6
Energy conservation
IEEE 802.3az: Energy Efficient Ethernet (EEE)
Dimensions (W x D x H)
442 mm x 476 mm x
175 mm
442 mm x 476 mm x
442 mm
442 mm x 476 mm x
664 mm
Chassis weight (empty)
< 15 kg
<30 kg
< 45 kg
Working voltage
DC: –38.4 V to –72 V
AC: 90 V to 290 V
Maximum power
(excluding PoE power)
800 W
1600 W
1600 W
Maximum PoE power
2200 W
8800 W
8800 W
Applications
Large-scale Campus Networks
The S7700 provides a switching capacity of 2 Tbit/s and high-density 10GE ports. The S7700 can be used
as an aggregation switch on a large-scale campus network, helping to build a highly reliable, scalable, and
manageable enterprise network. With hardware-based CPU queue scheduling and firewall modules, the
S7700 enhances security at the aggregation layer and protects the enterprise's core network from DDoS
attacks and other security threats.
IDC
Management
EMAIL
DNS
Internet
Portal
AR router
Web & Email
S9700
WAN
NE router
CSS
Aggregation
S7700
S7700
Access
S7700
Access
S7700
Fit AP
Small - and Medium-sized Campus Networks
The S7700 implements the line-speed forwarding of OSPF, BGP, and MPLS packets. With its 2 Tbit/s
switching capacity, firewall module, and IPSec module, the S7700 can work at the core layer of small- and
medium-sized campus networks. It provides a cost-effective, reliable, and easy-to-deploy network solution
for small- and medium-sized enterprises.
Management
Internet
AR router
AR router
S7700
S7700
Aggregation
S5700
Access
S5700
S5700
Access
S5700
Access Point
7
Product List
Basic Configuration
LE0BN66EDC
DC Assembly Rack (600X600X2200mm)
LE0BN66EAC
AC Assembly Rack (600X600X2200mm)
ES0B00770300
S7703 Assembly Chassis
ES0B00770600
S7706 Assembly Chassis
ES0B00771200
S7712 Assembly Chassis
ES0B017706P0
S7706 POE Assembly Chassis
ES0B017712P0
S7712 POE Assembly Chassis
LE0M00FBXB00
Wide Voltage Fan Box
LE0MACPJBX01
APD32-2-4 Distribution Box
Monitoring Board
LE0DCMUA0000
Centralized Monitoring Board
Main Control Unit
ES0D00MCUA00
S7703 Main Control Unit A
ES0D00SRUA00
S7706/S7712 Main Control Unit A
ES0D00SRUB00
S7706/S7712 Main Control Unit B, Clock
SRU Service Card
ES0D00FSUA00
Enhanced Flexible Service Unit
LE0D0VSTSA00
Cluster Switching System Service Unit
10/100BASE-T Interface Card
8
ES0D0F48TA00
48-Port 10/100BASE-T Interface Card (EA, RJ45)
ES0DF48TFA00
48-Port 10/100BASE-T Interface Card (FA, RJ45)
ES0D0F48TC00
48-Port 10/100BASE-T Interface Card (EC, RJ45)
10/100/1000BASE-T Interface Card
ES0DG24TFA00
24-Port 10/100/1000BASE-T Interface Card (FA, RJ45)
ES0D0G48TA00
48-Port 10/100/1000BASE-T Interface Card (EA, RJ45)
ES0DG48TFA00
48-Port 10/100/1000BASE-T Interface Card (FA, RJ45)
ES0D0G48TC00
48-Port 10/100/1000BASE-T Interface Card (EC, RJ45)
ES0D0T24XA00
24-Port 10/100/1000BASE-T and 2-Port 10GBASE-X Interface Card (EA,RJ45/XFP)
100/1000BASE-X Interface Card
ES0D0G24SA00
24-Port 100/1000BASE-X Interface Card (SA, SFP)
ES0D0G24SC00
24-Port 100/1000BASE-X Interface Card (EC, SFP)
ES0D0G24CA00
24-Port 100/1000BASE-X and 8-Port 10/100/1000BASE-T Combo Interface Card
(SA, SFP/RJ45)
ES0D0S24XA00
24-Port 100/1000BASE-X and 2-Port 10GBASE-X Interface Card (EA, SFP/XFP)
ES0D0G48SA00
48-Port 100/1000BASE-X Interface Card (EA, SFP)
ES0D0G48SC00
48-Port 100/1000BASE-X Interface Card (EC, SFP)
ES1D2G48SFA0
48-Port 100/1000BASE-X Interface Card (FA, SFP)
ES1D2G48SED0
48-Port 100/1000BASE-X Interface Card (ED, SFP)
100/1000BASE-X Interface Card
ES0DG48CEAT0
36-Port 10/100/1000BASE-T and 12-Port 100/1000BASE-X Interface Card (EA,
RJ45/SFP)
10GBASE-X Interface Card
ES0D0X2UXA00
2-Port 10GBASE-X Interface Card (EA, XFP)
ES0D0X2UXC00
2-Port 10GBASE-X Interface Card (EC, XFP)
ES0D0X4UXA00
4-Port 10GBASE-X Interface Card (EA, XFP)
ES0D0X4UXC00
4-Port 10GBASE-X Interface Card (EC, XFP)
ES1D2X04XED0
4-Port 10GBASE-X Interface Card (ED, XFP)
ES0DX12XSA00
12-Port 10GBASE-X Interface Card (SA, SFP+)
9
ES1D2X16SFC0
16-Port 10GBASE-X Interface Card (FC, SFP+)
ES1D2X40SFC0
40-Port 10GBASE-X Interface Card (FC, SFP+)
POE Interface Card
ES0D0G48VA00
48-Port 10/100/1000BASE-T POE Interface Card
(EA, RJ45, POE)
Service Processing Unit
LE0D0VAMPA00
Value-added Service Unit*
Optical transceiver
FE-SFP optical transceiver
S-SFP-FE-LH40SM1310
Optical Transceiver-eSFP-FE-Single-mode Module (1310nm,40km,LC)
S-SFP-FE-LH80SM1550
Optical Transceiver-eSFP-FE-Single-mode Module (1550nm,80km,LC)
GE-SFP module
SFP-1000BaseT
Electrical transceiver-SFP-GE-Electrical Interface Module (100m,RJ45)
eSFP-GE-SXMM850
Optical Transceiver-ESFP-GE-Multi-mode Module (850nm,0.5km,LC)
SFP-GE-LXSM1310
Optical Transceiver-SFP-GE-Single-mode Module (1310nm,10km,LC)
S-SFP-GE-LH40SM1310
Optical Transceiver-eSFP-GE-Single-mode Module (1310nm,40km,LC)
S-SFP-GE-LH40SM1550
Optical Transceiver-eSFP-GE-Single-mode Module (1550nm,40km,LC)
S-SFP-GE-LH80SM1550
Optical Transceiver-eSFP-GE-Single-mode Module (1550nm,80km,LC)
eSFP-GE-ZX100SM1550
Optical Transceiver-ESFP-GE-Single-mode Module (1550nm,100km,LC)
10GE-XFP optical transceiver
XFP-SX-MM850
10
Optical Transceiver-XFP-10G-Multi-mode Module (850nm,0.3km,LC)
XFP-STM64-LXSM1310
Optical Transceiver-XFP-10G-Single-mode Module (1310nm,10km,LC)
XFP-STM64LH40-SM1550
Optical Transceiver-XFP-10G-Single-mode Module (1550nm,40km,LC)
XFP-STM64SM1550-80km
Optical Transceiver-XFP-10G-Single-mode Module (1550nm,80km,LC)
10GE-SFP+ optical transceiver
OMXD30000
Optical Transceiver-SFP+-10G-Multi-mode Module (850nm,0.3km,LC)
OSX010000
Optical Transceiver-SFP+-10G-Single-mode Module (1310nm,10km,LC)
OSX040N01
Optical Transceiver-SFP+-10G-Single-mode Module (1550nm,40km,LC)
BIDI-SFP optical transceiver
SFP-FE-LXSM1310-BIDI
Optical Transceiver-eSFP-FE-BIDI Single-mode Module (TX1310/
RX1550,15km,LC)
SFP-FE-LXSM1550-BIDI
Optical Transceiver-eSFP-FE-BIDI Single-mode Module (TX1550/
RX1310,15km,LC)
SFP-GE-LXSM1310-BIDI
Optical Transceiver-eSFP-GE-BIDI Single-mode Module (TX1310/
RX1490,10km,LC)
SFP-GE-LXSM1490-BIDI
Optical Transceiver-eSFP-GE-BIDI Single-mode Module (TX1490/
RX1310,10km,LC)
Power module
LE0MPSD16
DC Power Module
LE0MPSA08
800 W AC Power Module
W0PSA2200
2200 W AC Power Module
LE0MDCPDBX00
Front-access-maintained Cabinet Power Distribution Box
LE0MACPJBX00
Intelligent Value Added Special Service Power Junction Box,8-Channel Output
Software
ES0SMS137700
Quidway S7700 Basic SW, V100R003
ES0SMS167700
Quidway S7700 Basic SW, V100R006
ES0SMS217700
Quidway S7700 Basic SW, V200R001
11
ES0SMPLS7700
MPLS Function License
ES0SNQAF7700
NQA Function License
ES0SIPV67700
IPV6 Function License
ES0S0SSP7700
Service Splitting Platform Function License
ES1SWLAN64AP
WLAN Access Controller AP Resource License-64AP
ES0SWLAN7700
WLAN Access Controller AP Resource License-128AP
Documentation
ES0I000DOC00
S7700 Smart Routing Switch Documentation
In the preceding table, *indicates a value-added board that supports the firewall/NAT, IPSec, Netstream,
wireless AC and load balancing functions.
For more information, visit http://enterprise.huawei.com or contact the Huawei local sales office.
12
13
Copyright © Huawei Technologies Co., Ltd. 2012. All rights reserved.
No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Huawei
Technologies Co., Ltd.
Trademark Notice
, HUAWEI, and
are trademarks or registered trademarks of Huawei Technologies Co., Ltd.
Other trademarks, product, service and company names mentioned are the property of their respective owners.
General Disclaimer
The information in this document may contain predictive statements including,
without limitation, statements regarding the future financial and operating results,
future product portfolio, new technology, etc. There are a number of factors that
could cause actual results and developments to differ materially from those
expressed or implied in the predictive statements. Therefore, such information is
provided for reference purpose only and constitutes neither an offer nor an
acceptance. Huawei may change the information at any time without notice.
Realize Your Potential
AR G3 Series Enterprise Router
Product Brochure
AR G3 Series Enterprise Router
Product Brochure
AR G3 Series Enterprise Routers
Huawei AR G3 series enterprise routers (AR G3) are nextgeneration routers dedicated for enterprise customers.
Based on Huawei's proprietary Versatile Routing Platform
(VRP), the AR G3 takes advantages of Huawei's long-term
accumulation in data communication, wireless, access
network, and core network fields. The AR G3 integrates
routing, switching, 3G, WLAN, voice, and security
functions, uses the multi-core CPU and non-blocking
switching structure, and provides industry-leading system
performance and extensibility, which meets customers'
requirements for diversified service development. As an
integrated solution for enterprise networks, the AR G3
speeds up multi-service development while protecting
existing investments.
AR3260
AR2240
AR2220
AR1220W/AR1220VW
Headquarter
Medium Branch
Medium Branch
Small Branch
AR1220V
AR1220
AR1220-D
AR208E
Small Branch
Small Branch
Small Branch
SOHO & SMB
AR207V/AR207V-P
AR207G-HSPA+7
AR207
AR206
SOHO & SMB
SOHO & SMB
SOHO & SMB
SOHO & SMB
AR201
AR158E
AR157
AR156
SOHO & SMB
Small Branch
SOHO & SMB
SOHO & SMB
The AR G3 supports various interface cards, including Ethernet interface cards, E1/T1/PRI/
VE1 interface cards, synchronous/asynchronous interface cards, ADSL2+/G.SHDSL/VDSL2
AR151
interface cards, FXS/FXO voice cards, ISDN interface cards, EPON/GPON interface cards
and 3G interface cards. Depending on the slot type, these cards are classified into Smart
Interface Cards (SICs), Double-Width SICs (WSICs), and Double-Height WSICs (XSICs).
SOHO & SMB
The following figures show the appearances of main interface cards.
Channelized E1/T1/PRI
Multiflex Trunk Interface Card
Ethernet WAN Interface Card
Sync/Async Serial WAN
Interface Card
1
ADSL2+ANNEX A/M WAN
Interface Module
ADSL2+ANNEX B WAN
Interface Module
4Pair G.SHDSL WAN
Interface Module
8-Port 10/100BASE and 1-Port
10/100/1000BASE L2/L3
Ethernet Interface Card
24-Port 10/100/1000BASE L2/
L3 Ethernet Interface Card
4-Port FXS and 1-Port FXO
Voice Interface Card
16-Port FXS Voice Interface
Card
32-Port FXS Voice Interface
Card
4-Port FXO Voice Interface
Card
Product Features
3rd Generation and High Performance
• Multi-core CPU and distributed service processing to double the performance than
other products in the industry
• A switching capacity of 160 Gbit/s to ensure non-blocking service operation
• Excellent quality and high reliability
2-mode Network and Flexible Access
• Seamless integration of wired and 3G (wireless) networks
• 24-port gigabit Ethernet board card
• Large bandwidth and highly reliable PON access
All-in-1 and More Benefits
• Unified office (unified communication, PBX, etc.)
• Open Service Platform (OSP) for cooperation with partners
• Unified and mature VRP platform
2
Typical Applications
Voice Gateway
Broadband &
Leased Line
3G wireless backup
One-stop GE Access
Value-added
Service Platform
ARG3 Series
Enterprise Routers
The AR G3 is creatively designed to provide an all-in-one access solution for enterprise and industry customers.
Technical Specifications
The following table lists the technical specifications of AR1200&AR2200&AR3200 Series routers.
Item
Forwarding
performance
(64 Byte)
WAN speed
with services
AR1220
450 Kpps
200 Mbps
AR1220-D
450 Kpps
200 Mbps
AR1220V
/1220VW
450 Kpps
200 Mbps
AR1220W
450 Kpps
200 Mbps
AR2220
1 Mpps
400 Mbps
Firewall
performance
(large packets)
900 Mbps
900 Mbps
900 Mbps
900 Mbps
1.9 Gbps
Switching
capacity
8 Gbps
8 Gbps
8 Gbps
8 Gbps
32 Gbps
AR2240
AR3260
2 Mpps
(With SRU40)
2 Mpps
(With SRU40)
4 Mpps
(With SRU80)
4 Mpps
(With SRU80)
600 Mbps
(With SRU40)
600 Mbps
(With SRU40)
1800 Mbps
(With SRU80)
1800 Mbps
(With SRU80)
5.5 Gbps
(With SRU40)
5.5 Gbps
(With SRU40)
9.5 Gbps
(With SRU80)
9.5 Gbps
(With SRU80)
80 Gbps
160 Gbps
4000
(With SRU40)
4000
(With SRU40)
6000
(With SRU80)
6000
(With SRU80)
IPSec VPN
Tunnels
2000
2000
2000
2000
4000
Fixed Ethernet
ports
2 GE
8 FE
2 GE
8 FE
2 GE
8 FE(4 FE
support PoE)
2 GE
8 FE(4 FE
support PoE)
3 GE
(1 Combo)
3 GE
(2 Combo)
3 GE
(2 Combo)
SIC slots
2
2
2
2
4
4
4
WSIC slots
(default/max**)
0/1
0/1
0/1
0/1
2/4
2/4
2/4
XSIC slots
(default/max**)
0/0
0/0
0/0
0/0
0/2
2/4
4/6
DSP
-
-
32 channels
DSP
-
1 DSP Slot
3 DSP Slots
3 DSP Slots
3
AR1220-D
AR1220V
/1220VW
AR1220W
AR2220
AR2240
AR3260
512 MB
512 MB
512 MB
512 MB
2 GB
2 GB
2 GB
Flash
256 MB
256 MB
256 MB
256 MB
16 MB
16 MB
16 MB
Micro SD
(default/max)
-
-
-
-
2 GB/4 GB
2 GB/4 GB
2 GB/4 GB
150 W
350 W
(Single Power
Module)/700
W (Dual Power
Module)
350 W
(Single Power
Module)/700
W (Dual Power
Module)
88.1mm x 442
mm x 470 mm
130.5mm x 442
mm x 470 mm
Item
AR1220
USB 2.0 ports
2
Memory
Max. power
54 W
54 W
54 W
54 W
AC power
100 V-240 V;
Frequency: 50
Hz/60 Hz
-
100 V-240 V; Frequency: 50 Hz/60 Hz
DC Power
-
-42V~-53V
-
-
-48 V~-60 V
Dimensions
(W x D x H)
44.5mm x 390
mm x 220 mm
44.5mmx 390
mm x 220 mm
44.5mm x 390
mm x 220 mm
44.5mmx 390
mm x 220 mm
44.5mmx 442
mm x 420 mm
Ambient
temperature
0--40oC
Relative
humidity
5 - 90% (non-condensing)
WAN interfaces Ethernet, CE1/CT1, E1/T1, ADSL2+, G.SHDSL, Sync/Async Serial, ISDN, CPOS, EPON/GPON
LAN
IEEE 802.1P, IEEE 802.1Q, IEEE 802.3, VLAN management, MAC address management, MSTP
Basic feature
DHCP server/client/relay, PPPoE server/client, PPPoA server/client, PPPoEoA server/client, NAT, Sub interface management
Voice
RTP, SIP, SIP AG, IP PBX/TDM PBX, FXO/FXS, VoIP/Conference call, BESA, DISA, SBC, H.323 gatekeeper
WLAN
AP management, WLAN QoS (WMM), WLAN security (WEP/WPA/WPA2/key management), WLAN radio management
(802.11b/g/n), WLAN user management
3G
CDMA 2000 EV-DO Rev A, WCDMA, individual 3G uplink/backup link
IPv4 unicast
routing
Routing policy, static route, RIP v1/v2, OSPF, IS-IS, BGP
IPv6 unicast
routing
Routing policy, static route, RIPng, OSPFv3, IS-ISv6, BGP4+
Multicast
IGMP V1/V2/V3, IGMP-Snooping V1/V2/V3(not supported on AR1200 series), PIM SM, PIM DM, MSDP
MPLS
LDP, MPLS L3 VPN, static LSP, dynamic LSP, MPLS TE, IP FRR, LDP FRR, TE FRR
VPN
IPSec VPN, GRE VPN, DSVPN, SSL VPN, L2TP VPN
QoS
Diffserv mode, MPLS QoS, priority mapping, traffic policing (CAR), traffic shaping, congestion avoidance (based on IP
precedence/DSCP WRED), congestion management (LAN interface: SP/WRR/SP+WRR; WAN interface: PQ/CBWFQ),
MQC (traffic classifier, traffic behavior, and traffic policy), H-QoS, WLAN QoS, FR QoS, Smart Application Control (SAC)
Security
ACL, firewall, 802.1x authentication, MAC address authentication(not supported on AR1200 series), Web
authentication(not supported on AR1200 series), AAA authentication, RADIUS authentication, HWTACACS
authentication, broadcast storm suppression, ARP security, ICMP attack defense, URPF, IP Source Guard(not supported
on AR1200 series), DHCP snooping(not supported on AR1200 series), CPCAR, blacklist, IP source tracing
Management
and
maintenance
Upgrade management, device management, web-based GUI, GTL, SNMP(v1/v2c/v3), RMON, NTP, CWMP, Auto-Config,
deployment using USB disk, NetConf, CLI
Note**: The maximum number of slots contains the number of all combined slots.
4
The following table lists the technical specifications of AR150&AR200 Series routers.
Item
AR201/
AR151
AR206/
AR156
AR207/
AR157
AR207V
AR207V-P
AR207GHSPA+7
AR208E/
AR158E
Forwarding
performance
(64 Byte)
450 Kpps/
300 Kpps
450 Kpps/
300 Kpps
450 Kpps/
300 Kpps
450 Kpps
450 Kpps
450 Kpps
450 Kpps/
300 Kpps
WAN speed with
services
150 Mbps/
100 Mbps
150 Mbps/
100 Mbps
150 Mbps/
100 Mbps
150 Mbps
150 Mbps
150 Mbps
150 Mbps/
100 Mbps
IPSec VPN Tunnels
75/30
75/30
75/30
75
75
75
75/30
2*FE(the
interface LAN
0 of which
can be used
as one WAN
interface)
1 ADSL2+
Annex B,
1*FE(the
interface LAN
0 of which
can be used
as one WAN
interface)
1 ADSL2+
Annex A/
M, 1*FE(the
interface LAN
0 of which
can be used
as one WAN
interface)
1 ADSL2+
Annex A/
M, 1*FE(the
interface LAN
0 of which
can be used
as one WAN
interface)
1 ADSL2+
Annex A/
M, 1*FE(the
interface LAN
0 of which
can be used
as one WAN
interface)
1 ADSL2+
Annex A/
M, 1*FE(the
interface LAN
0 of which
can be used
as one WAN
interface)
1 G.SHDSL
8-wire,
1*FE(the
interface LAN
0 of which
can be used
as one WAN
interface)
Fixed Ethernet
switching ports
8 FE/4 FE
8 FE/4 FE
8 FE/4 FE
8 FE
8 FE(8 FE
support PoE)
8 FE
8 FE/4 FE
Fixed voice ports
-
-
-
4 FXS, 1 FXO
4 FXS, 1 FXO
-
-
Integrated 3G
-
-
-
-
-
WCDMA
HSPA+7
-
USB 2.0 ports
1
Serial auxiliary
/console ports
1
Memory size
(default/maximum)
512 MB
Flash memory
(default/maximum)
512 MB
Maximum power
36W (AR201)
24W (AR151)
36W (AR206)
24W (AR156)
36W (AR207)
24W (AR157)
36 W
36 W
36 W
36W (AR208E)
24W (AR158E)
Power supply (AC)
100 V to 240 V
Frequency
50/60 Hz
Dimensions
(H x W x D)
44.5 mm x 300 mm x 220 mm (1.75 in. x 11.8 in. x 8.66 in.)
Operating
temperature
0oC to 40oC
Relative humidity
5% to 90% (non-condensing)
Basic feature
DHCP server/client/relay, PPPoE server/client, PPPoA server/client, PPPoEoA server/client, NAT, TCP, UDP, ARP, Sub
interface management
WAN Standards
compliance
IEEE802.3,
IEEE802.3u,
IEEE802.3ab
ITU-T 992.1
G.DMT ANSI
ITU-T 992.1 G.DMT
T1.413 Issue 2 ITU-T 992.3
ITU-T 992.3
ITU-T 992.5
ITU-T 992.5
100Mbit/s
A downstream
transmission
rate of 8
Mbit/s and
an upstream
transmission
rate of 1024
kbit/s
Fixed WAN ports
WAN Transmission
rate
G.SHDSL.bit
ITU-T G.991.2
ADSL full rate mode (ITU-T 992.1 G.DMT): a downstream
transmission rate of 8 Mbit/s and an upstream transmission rate
of 1024 kbit/s
ADSL2 full rate mode (ITU-T 992.3): a downstream transmission
5.696 Mbit/s
rate of 12 Mbit/s and an upstream transmission rate of 1024
per pair
kbit/s
ADSL2+ full rate mode (ITU-T 992.5): a downstream transmission
rate of 24 Mbit/s and an upstream transmission rate of 1024
kbit/s
5
AR206/
AR156
AR207/
AR157
AR207GHSPA+7
Item
AR201/
AR151
Voice
RTP, SIP, SIP AG, IP PBX/TDM PBX, FXO/FXS, VoIP
LAN
IEEE 802.1P, IEEE 802.1Q, IEEE 802.3, VLAN management, MAC address management, MSTP, etc.
AR207V
AR207V-P
AR208E/
AR158E
IPv4 unicast routing
Routing policy, static route, RIP v1/v2, OSPF, IS-IS, BGP
IPv6 unicast routing
Routing policy, static route, RIPng, OSPFv3, IS-ISv6, BGP4+
Multicast
IGMP version1/2/3, PIM SM, PIM DM, MSDP
VPN
IPSec VPN, GRE VPN, DSVPN, SSL VPN, L2TP VPN
QoS
Diffserv mode, Priority mapping, traffic policing (CAR), traffic shaping, congestion avoidance (based on IP
precedence/DSCP WRED), congestion management (LAN interface: SP/WRR/SP+WRR; WAN interface: PQ/CBWFQ),
MQC (traffic classification, traffic behavior, and traffic policy), H-QoS
Security
ACL, firewall, 802.1x authentication, AAA authentication, RADIUS authentication, HWTACACS authentication,
broadcast storm suppression, ARP security, ICMP attack defense, URPF, CPCAR, blacklist, IP source tracing, PKI
Management and
maintenance
Upgrade management, device management, web-based GUI, GTL, SNMP(v1/v2c/v3), RMON, NTP, CWMP, AutoConfig, site deployment using USB disk, NetConf, CLI
Copyright © Huawei Technologies Co., Ltd. 2012. All rights reserved.
No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Huawei
Technologies Co., Ltd.
Trademark Notice
, HUAWEI, and
are trademarks or registered trademarks of Huawei Technologies Co., Ltd.
Other trademarks, product, service and company names mentioned are the property of their respective owners.
General Disclaimer
The information in this document may contain predictive statements including,
without limitation, statements regarding the future financial and operating results,
future product portfolio, new technology, etc. There are a number of factors that
could cause actual results and developments to differ materially from those
expressed or implied in the predictive statements. Therefore, such information is
provided for reference purpose only and constitutes neither an offer nor an
acceptance. Huawei may change the information at any time without notice.
S5700-SI Series Gigabit Enterprise Switches
S5700-SI Series Gigabit Enterprise Switches
Product Overview
The S5700-SI series are gigabit Layer 3 Ethernet switches based on new generation of high-performance
hardware and Huawei Versatile Routing Platform (VRP). It provides a large capacity, high-density GE interfaces,
and10GE uplink interfaces. With extensive service features and IPv6 forwarding capabilities, the S5700-SI is
applicable to various scenarios. For example, it can be used as an access or aggregation switch on campus
networks or an access switch in data centers. The S5700-SI integrates many advanced technologies in terms of
reliability, security, and energy saving. It employs simple and convenient means of installation and maintenance
to reduce customers' OAM cost and help enterprise customers build a next-generation IT network.
Product Appearance
S5700-24TP-SI-AC
• Twenty 10/100/1000Base-T ports and four GE combo ports
S5700-24TP-SI-DC
S5700-24TP-PWR-SI
• Two models: AC model and DC model
• Forwarding performance: 36 Mpps
• Twenty 10/100/1000Base-T ports and four GE combo ports
• Double hot swappable AC power supplies
• PoE+
• Forwarding performance: 36 Mpps
S5700-48TP-SI-AC
• Forty-four10/100/1000Base-T ports and four GE combo ports
• Two models: AC model and DC model
S5700-48TP-SI-DC
S5700-48TP-PWR-SI
• Forwarding performance: 72 Mpps
• Forty-four 10/100/1000Base-T ports and four GE combo ports
• AC power supply
• PoE+
• Forwarding performance: 72 Mpps
1
S5700-28C-SI
• Twenty 10/100/1000Base-T ports and four GE combo ports
• Subcards supported: 4x1000Base-X SFP subcard, 2x10GE SFP+
subcard, and 4x10GE SFP+ subcard
• Double hot swappable power supplies
• Forwarding performance: 96 Mpps
• Twenty 10/100/1000Base-T ports and four GE combo ports
S5700-28C-PWR-SI
• Subcards supported: 4x1000Base-X SFP subcard, 2x10GE SFP+
subcard, and 4x10GE SFP+ subcard
• Double hot swappable AC power supplies
• PoE+
• Forwarding performance: 96 Mpps
S5700-52C-SI
• Forty-eight 10/100/1000Base-T ports
• Subcards supported: 4x1000Base-X SFP subcard, 2x10GE SFP+
subcard, and 4x10GE SFP+ subcard
• Double hot swappable power supplies
• Forwarding performance: 132 Mpps
S5700-52C-PWR-SI
• Forty-eight 10/100/1000Base-T ports
• Subcards supported: 4x1000Base-X SFP subcard, 2x10GE SFP+
subcard, and 4x10GE SFP+ subcard
• Double hot swappable AC power supplies
• PoE+
• Forwarding performance: 132 Mpps
Product Features and highlights
Powerful support for services
• The S5700-SI supports IGMP v1/v2/v3 snooping, IGMP filter, IGMP fast leave, and IGMP proxy. The
S5700-SI supports wire-speed replication of multicast packets between VLANs, multicast load balancing
among member interfaces of a trunk, and controllable multicast, meeting requirements for IPTV and
other multicast services.
Comprehensive reliability mechanisms
• Besides STP, RSTP, and MSTP, the S5700-SI supports enhanced Ethernet reliability technologies such as
Smart Link and RRPP (Rapid Ring Protection Protocol), which implement millisecond-level protection
switchover and ensure network reliability. It also provides Smart Link multi-instance and RRPP multiinstance to implement load balancing among links, optimizing bandwidth usage.
• The S5700-SI supports enhanced trunk (E-Trunk) that enables a CE to be dual-homed to two PEs (S5700s).
E-Trunk greatly enhances link reliability between devices and implements link aggregation between
devices. This improves reliability of access devices.
2
• The S5700-SI supports the Smart Ethernet Protection (SEP) protocol, a ring network protocol applied
to the link layer on an Ethernet network. SEP can be used on open ring networks and can be deployed
on upper-layer aggregation devices to provide fast switchover (within 50 ms), ensuring non-stop
transmission of services. SEP features simplicity, high reliability, fast switchover, easy maintenance, and
flexible topology, facilitating network planning and management.
• The S5700-SI supports Ethernet Ring Protection Switching (ERPS), also referred to as G.8032. As the latest
ring network protocol, ERPS was developed based on traditional Ethernet MAC and bridging functions
and uses mature Ethernet OAM function and a ring automatic protection switching (R-APS) mechanism
to implement millisecond-level protection switching. ERPS supports various services and allows flexible
networking, helping customers build a network with lower OPEX and CAPEX.
Well-designed QoS policies and security mechanisms
• The S5700-SI implements complex traffic classification based on packet information such as the 5-tuple,
IP preference, ToS, DSCP, IP protocol type, ICMP type, TCP source port, VLAN ID, Ethernet protocol type,
and CoS. ACLs can be applied to inbound or outbound direction on an interface. The S5700-SI supports
a flow-based two-rate three-color CAR. Each port supports eight priority queues and multiple queue
scheduling algorithms such as WRR, DRR, PQ, WRR+PQ, and DRR+PQ. All of these ensure the quality of
voice, video, and data services.
• The S5700-SI provides multiple security measures to defend against Denial of Service (DoS) attacks,
and attacks against networks or users. DoS attack types include SYN Flood attacks, Land attacks, Smurf
attacks, and ICMP Flood attacks. Attacks to networks refer to STP BPDU/root attacks. Attacks to users
include bogus DHCP server attacks, man-in-the-middle attacks, IP/MAC spoofing attacks, DHCP request
flood attacks. DoS attacks that change the CHADDR field in DHCP packets are also attacks against users.
• The S5700-SI supports DHCP snooping, which generates user binding entries based on MAC addresses,
IP addresses, IP address leases, VLAN IDs, and access interfaces of users. DHCP snooping discards invalid
packets that do not match any binding entries, such as ARP spoofing packets and IP spoofing packets.
This prevents man-in-the-middle attacks to campus networks that hackers initiate by using ARP packets.
The interface connected to a DHCP server can be configured as a trusted interface to protect the system
against bogus DHCP server attacks.
• The S5700-SI supports strict ARP learning, which prevents ARP spoofing attacks that will exhaust ARP
entries. It also provides IP source check to prevent DoS attacks caused by MAC address spoofing, IP
address spoofing, and MAC/IP spoofing.
• The S5700-SI supports centralized MAC address authentication, 802.1x authentication, and NAC. It
authenticates users based on statically or dynamically bound user information such as the user name,
IP address, MAC address, VLAN ID, access interface, and flag indicating whether antivirus software is
installed. VLANs, QoS policies, and ACLs can be applied to users dynamically.
• The S5700-SI can limit the number of MAC addresses learned on an interface to prevent attackers from
exhausting MAC address entries by using bogus source MAC addresses. This function minimizes packet
flooding that occurs when MAC addresses of users cannot be found in the MAC address table.
3
Easy deployment and maintenance free
• The S5700-SI supports automatic configuration, plug-and-play, deployment using a USB flash drive,
and batch remote upgrade. These capabilities simplify device management and maintenance and
reduce maintenance costs. The S5700 supports SNMP v1/v2/v3 and provides flexible methods for
managing devices. Users can manage the S5700 using the CLI, Web NMS, Telnet, and HGMP. The NQA
function helps users with network planning and upgrades. In addition, the S5700 supports NTP, SSH v2,
HWTACACS+, RMON, log hosts, and port-based traffic statistics.
• The S5700-SI supports GVRP(GARP VLAN Registration Protocol), which dynamically distributes,
registers, and propagates VLAN attributes to reduce manual configuration workloads of network
administrators and to ensure correct VLAN configuration. In a complex network topology, GVRP simplifies
VLAN configuration and reduces network communication faults caused by incorrect VLAN configuration.
• The S5700-SI supports MUX VLAN. MUX VLAN isolates Layer 2 traffic between interfaces in a VLAN.
Interfaces in a subordinate separate VLAN can communicate with ports in the principal VLAN but cannot
communicate with each other. MUX VLAN is usually used on an enterprise intranet to isolate user
interfaces from each other but allow them to communicate with server interfaces. This function prevents
communication between network devices connected to certain interfaces or interface groups but allows
the devices to communicate with the default gateway.
PoE function
• The S5700-SI PWR can use PoE power supplies with different power levels to provide -48V DC power
for powered devices (PDs) such as IP Phones, WLAN APs, and Bluetooth APs. In its role as power
sourcing equipment (PSE), the S5700-SI PWR complies with IEEE 802.3af and 802.3at (PoE+) and can
work with PDs that are incompatible with 802.3af or 802.3at. Each port provides a maximum of 30 W
power, complying with IEEE 802.3at. The PoE+ function increases the maximum power of each port and
implements intelligent power management for high-power consumption applications. This facilitates
the use of PDs. PoE ports can work in power-saving mode. The S5700-SI PWR provides improved PoE
solutions. Users can configure whether and when a PoE port supplies power.
High scalability
• The S5700-SI supports intelligent stacking (iStack). Multiple S5700-SI can be connected with stack
cables to set up a stack, which functions as a virtual switch. A stack consists of a master switch, a
backup switch, and several slave switches. The backup switch takes over services when the master
switch fails, reducing service interruption time. Stacks support intelligent upgrade so that users do not
need to change the software version of a switch when adding it to a stack. The iStack function allows
users to connect multiple switches with stack cables to expand system capacity. These switches can be
managed using a single IP address, which greatly reduces the costs of system expansion, operation, and
maintenance. Compared with traditional networking technologies, iStack has advantages in scalability,
reliability, and system architecture.
Various IPv6 features
• The S5700-SI supports IPv4/IPv6 dual stack and can migrate from an IPv4 network to an IPv6 network.
S5700-SI hardware supports IPv4/IPv6 dual stack, IPv6 over IPv4 tunnels (including manual tunnels, 6to4
tunnels, and ISATAP tunnels), and Layer 3 line-speed forwarding. The S5700 can be deployed on IPv4
networks, IPv6 networks, or networks that run both IPv4 and IPv6. This makes networking flexible and
enables a network to migrate from IPv4 to IPv6.
4
Product Specifications
S5700-SI*
Item
S5700-24TP-SI**/
S5700-28C-SI/
S5700-48TP-SI/
S5700-52C-SI/
S5700-24TP-PWR-SI S5700-28C-PWR-SI S5700-48TP-PWR-SI S5700-52C-PWR-SI
44*10/100/1000
Base-T, 4*GE
Combo
48*10/100/
1000Base-T
1000M port
20*10/100/1000Base-T, 4*GE Combo
Extended slot
The S5700TP provides an extended slot for a stack card
The S5700-28C and S5700-52C provide two extended slots, one for an uplink
subcard and the other for for a stack card.
MAC address
table
IEEE 802.1d compliance
16 K MAC address entries
MAC address learning and aging
Static, dynamic, and blackhole MAC address entries
Packet filtering based on source MAC addresses
VLAN
4 K VLANs
Guest VLAN and voice VLAN
VLAN assignment based on MAC addresses, protocols, IP subnets, policies, and
ports
1:1 and N:1 VLAN Mapping
Reliability
RRPP ring topology and RRPP multi-instance
Smart Link tree topology and Smart Link multi-instance, providing the millisecondlevel protection switchover
SEP
ERPS(G.8032)
STP(IEEE 802.1d), RSTP(IEEE 802.1w), and MSTP(IEEE 802.1s)
BPDU protection, root protection, and loop protection
E-Trunk
IP routing
Static routing, RIPv1, RIPv2, and ECMP
IPv6 features
Neighbor Discovery (ND)
Path MTU (PMTU)
IPv6 ping, IPv6 tracert, and IPv6 Telnet
ACLs based on the source IPv6 address, destination IPv6 address, Layer 4 ports, or
protocol type
MLD v1/v2 snooping
6to4 tunnel, ISATAP tunnel, and manually configured tunnel
multicast
IGMP v1/v2/v3 snooping and IGMP fast leave
Multicast forwarding in a VLAN and multicast replication between VLANs
Multicast load balancing among member ports of a trunk
Controllable multicast
Port-based multicast traffic statistics
5
S5700-SI*
Item
6
S5700-24TP-SI**/
S5700-28C-SI/
S5700-48TP-SI/
S5700-52C-SI/
S5700-24TP-PWR-SI S5700-28C-PWR-SI S5700-48TP-PWR-SI S5700-52C-PWR-SI
QoS/ACL
Rate limiting on packets sent and received by an interface
Packet redirection
Port-based traffic policing and two-rate three-color CAR
Eight queues on each port
WRR, DRR, PQ, WRR+PQ, and DRR+PQ queue scheduling algorithms
Re-marking of the 802.1p priority and DSCP priority
Packet filtering at Layer 2 to Layer 4, filtering out invalid frames based on the source
MAC address, destination MAC address, source IP address, destination IP address,
port number, protocol type, and VLAN ID
Rate limiting in each queue and traffic shaping on ports
Security
User privilege management and password protection
DoS attack defense, ARP attack defense, and ICMP attack defense
Binding of the IP address, MAC address, interface, and VLAN
Port isolation, port security, and sticky MAC
Blackhole MAC address entries
Limit on the number of learned MAC addresses
802.1x authentication and limit on the number of users on an interface
AAA authentication, RADIUS authentication, HWTACACS+ authentication, and NAC
SSH v2.0
Hypertext Transfer Protocol Secure (HTTPS)
CPU defense
Blacklist and whitelist
Management
and
maintenance
Stacking
MAC Forced Forwarding (MFF)
Virtual cable test
Port mirroring and RSPAN (remote port mirroring)
Remote configuration and maintenance by using Telnet
SNMP v1/v2/v3
RMON
Web NMS
HGMP
System logs and alarms of different levels
GVRP
MUX VLAN
Operating
environment
Operating temperature: 0oC–50oC (long term); -5oC–55oC (short term)
Relative humidity: 10%–90% (non-condensing)
Input voltage
AC:
Rated voltage range: 100 V to 240 V AC, 50/60 Hz
Maximum voltage range: 90 V to 264 V AC, 50/60 Hz
DC:
Rated voltage range: –48 V to –60 V, DC
Maximum voltage range: –36 V to –72 V, DC
Note: PoE-support switches do not use DC power supplies.
S5700-SI*
Item
S5700-24TP-SI**/
S5700-28C-SI/
S5700-48TP-SI/
S5700-52C-SI/
S5700-24TP-PWR-SI S5700-28C-PWR-SI S5700-48TP-PWR-SI S5700-52C-PWR-SI
Dimensions
(W x D x H)
S5700-24TP-SI: 442 mm x 220 mm x 43.6 mm
Others: 442 mm x 420 mm x 43.6 mm
Power
consumption
Non-PoE: < 40 W
PoE: < 455 W
(PoE power:370 W)
Non-PoE: <56W
PoE: <836W
(PoE power:740W)
Non-PoE: < 64 W
PoE: < 907 W
(PoE power:740 W)
Non-PoE: <78W
PoE: <917W
(PoE power:740W)
*:The S5700 switches of the SI series are collectively called S5700-SI.
**:S5700-24TP-SI is short for S5700-24TP-SI-AC and S5700-24TP-SI-DC. As product versions are irrelevant to
the power supply mode, the product names mentioned in product specifications do not contain AC or DC.
This rule also applies to other product models.
Applications
On Large-sized Enterprise Networks
The S5700-SI can function as an access device on a large-sized or medium-sized enterprise network or an
aggregation device on a small-sized campus network. It supports link aggregation and dual-homing to
improve network reliability.
Internet
ISP WAN
Internet
DMZ
Intranet
Web server,
Email server,
DNS server
S7700
S5700-SI
Office
Training center
Factory
IT Center
7
Product List
Product Description
S5700-24TP-SI-AC Mainframe(20 GE RJ45,4 GE Combo,AC 110/220V)
S5700-24TP-SI-DC Mainframe(20 GE RJ45,4 GE Combo,DC -48V)
S5700-48TP-SI-AC Mainframe(44 GE RJ45,4 GE Combo,AC 110/220V)
S5700-48TP-SI-DC Mainframe(44 GE RJ45,4 GE Combo,DC -48V)
S5700-24TP-PWR-SI Mainframe(20 GE RJ45,4 GE Combo,PoE,Dual Slots of power,Without Power Module)
S5700-48TP-PWR-SI Mainframe(44 GE RJ45,4 GE Combo,PoE,Dual Slots of power,Without Power Module)
S5700-28C-SI Mainframe(20 GE RJ45,4 GE Combo,Dual Slots of power,Without Flexible Card and Power
Module)
S5700-52C-SI Mainframe(48 GE RJ45,Dual Slots of power,Without Flexible Card and Power Module)
S5700-28C-PWR-SI Mainframe(20 GE RJ45,4 GE Combo,PoE,Dual Slots of Power,Single Slot of Flexible
Card,Including Single 500W AC Power)
S5700-52C-PWR-SI Mainframe(48 GE RJ45,PoE,Dual Slots of Power,Single Slot of Flexible Card,Including
Single 500W AC Power)
4-Port GE SFP Optical Interface Card(Used In S5700-SI & S5710-LI Series)(Including 4-Port GE SFP Optical
Interface Card,Extend Channel Card)
2-Port 10GE SFP+ Optical Interface Card
4-Port 10GE SFP+ Optical Interface Card (Including 4-Port 10GE SFP+ Optical Interface Card,Extend Channel
Card)
Ethernet Stack Interface Card(Including Stack Card,100cm Stack Cable)
For more information, visit http://enterprise.huawei.com or contact your local Huawei sales office.
8
9
Copyright © Huawei Technologies Co., Ltd. 2012. All rights reserved.
No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Huawei
Technologies Co., Ltd.
Trademark Notice
, HUAWEI, and
are trademarks or registered trademarks of Huawei Technologies Co., Ltd.
Other trademarks, product, service and company names mentioned are the property of their respective owners.
General Disclaimer
The information in this document may contain predictive statements including,
without limitation, statements regarding the future financial and operating results,
future product portfolio, new technology, etc. There are a number of factors that
could cause actual results and developments to differ materially from those
expressed or implied in the predictive statements. Therefore, such information is
provided for reference purpose only and constitutes neither an offer nor an
acceptance. Huawei may change the information at any time without notice.