Budowa wielozadaniowej sieci teleinformatycznej na
Transcription
Budowa wielozadaniowej sieci teleinformatycznej na
Budowa wielozadaniowej sieci teleinformatycznej na terenie gminy Siewierz PROJEKT WYKONAWCZY CZĘŚĆ AKTYWNA – WĘZEŁ SZKIELETOWY I WĘZŁY DYSTRYBUCYJNE Branża: Teleinformatyczna Inwestycja: Kompleksowa realizacja w formie „zaprojektuj i wybuduj” projektu pn. „Rozwój społeczeństwa informacyjnego w Zagłębiu Dąbrowskim – Gmina Siewierz” polegającego na zaprojektowaniu, budowie i rozruchu systemu telekomunikacyjnego klasy operatorskiej (wielozadaniowej światłowodowej sieci teleinformatycznej) na rzecz Gminy Siewierz Zamawiający: Gmina Siewierz z siedzibą w Urzędzie Miasta i Gminy ul. Żwirki i Wigury 16, 42 – 470 Siewierz Wykonawca: ELTEL Networks S.A. ul. Kaliska 21, 61-131 Poznań Podwykonawca: Przedsiębiorstwo Telekomunikacyjne OPTOLAND POLSKA S.A. ul. Żurawia 47-49, 00-680 Warszawa Projektant: Janusz Nowak upr. nr T/01/12/94/GOR Małopolska Izba Inżynierów Budownictwa Zaświadczenia MAP/BT/0257/07 Zespół projektowy: Bogdan Pabisz – asystent Projektanta Wojciech Brągiel – pomocnik asystenta Projektanta Grudzień 2012 Spis treści: 1. Dane ogólne 1.1 Przedmiot projektu 1.2 Inwestor 1.3 Wykonawca 1.4 Podwykonawca 2. Elementy aktywne 2.1. Opis 2.2. Opis urządzeń 2.3. Bezpieczeństwo i redundancja 2.3.1. Zasilanie 2.3.2. Trasy logiczne 2.3.3. Wykaz sprzętu z wykazem elementów podlegających redundancji 3. Połączenia logiczne sieci 4. Karty katalogowe 1. Dane ogólne 1.1. Przedmiot projektu Przedmiotem projektu jest budowa wielozadaniowej sieci teleinformatycznej na obszarze gminy Siewierz, z uwzględnieniem podstawowego szkieletu sieci i przyłączenia wybranych jednostek (węzłów dystrybucyjnych). 1.2. Inwestor Gmina Siewierz z siedzibą w Urzędzie Miasta i Gminy, ul. Żwirki i Wigury 16, 42-470 Siewierz 1.3. Wykonawca ELTEL Networks S.A. z siedzibą w Poznaniu przy ul. Kaliskiej 21, 61-131 Poznań 1.4. Podwykonawca Przedsiębiorstwo Telekomunikacyjne Optoland Polska S.A. z siedzibą w Warszawie przy ul. Żurawiej 47-49, 00-680 Warszawa 2. Elementy aktywne 2.1. W skład części aktywnej wchodzą następujące warstwy: I. II. III. Szkieletowa Dystrybucyjna Dostępowa I Warstwa Szkieletowa Zadaniem warstwy szkieletowej jest agregacja ruchu z wielu sieci dystrybucyjnych. Centralnym jej punktem są urządzenia klasy Enterprice tj. router brzegowy oraz zarządzalny przełącznik szkieletowy. II Warstwa Dystrybucyjna Warstwa dystrybucyjna pozwala na podłączenie operatorów zewnętrznych do sieci jak również skupia ruch z docelowych punktów dostępowych. Głównym punktem warstwy dystrybucyjnej jest zarządzalny przełącznik zlokalizowany w węzłach dystrybucyjnych (WDS) III Warstwa dostępowa Do warstwy dostępowej należą Punkty końcowe takie jak Infokioski oraz punkty dostępu limitowanego hot spot. 2.2. Opis urządzeń W warstwie szkieletowej będą urządzenia takie jak: - Router Huawei AR2240 -Switch Huawei S7706 oraz Switch Huawei S5710 w warstwie dystrybucyjnej Szczegółowe konfiguracje poszczególnych urządzeń przedstawia poniższa tabela: 1 szt. S7700 - Przełącznik szkieletowy modularny wspierający standard 10Gigabit Ethernet Przełącznik warstwy szkieletowej 10 GbE – Huawei S7706 Element Opis Minimalne wymagania sprzętowe • • • • • • • • • • • • Funkcje warstwy 2 Funkcje warstwy 3 • • • • • • • • • • • • • • • • • • • • Urządzenie jest fabrycznie nowe oraz nieużywane Obudowa modularna przeznaczona do montażu w szafie 19”. Wysokość obudowy wynosi 10 RU. Urządzenie wyposażone w dwie karty zarządzające Urządzenie wyposażone w 48 portów Ethernet 1000Base-X SFP Wszystkie powyższe porty mogą działać jednocześnie. Dostarczone urządzenie posiada 5 dodatkowych slotów na porty liniowe Przepustowość od karty interfejsów 1GE do matrycy przełączającej 48 Gb/s per slot Wydajność przełącznika 2Tb/s i 1152 Mpps Przełączanie lokalne w ramach karty liniowej Przełącznik wyposażony w 2 niezależne zasilacze 800W AC, każdy o mocy wystarczającej do zasilenia urządzenia w wymaganej konfiguracji, z zapasem mocy 30% na dodatkowe moduły. Możliwość wymiany zasilaczy i wentylatorów w trakcie pracy urządzenia bez wpływu na jego działanie Urządzenie posiada możliwość rozbudowy o funkcjonalność łączenia dwóch przełączników fizycznych w jeden przełącznik wirtualny, traktowany jako jedno urządzenie logiczne z punktu widzenia protokołów routingu, LACP i Spanning Tree Przełączanie w warstwie drugiej i trzeciej modeli ISO/OSI. Port konsoli - szeregowy RS-232 GARP VLAN Registration Protocol (GVRP) Rozmiar tablicy MAC 32 000 adresów 4000 aktywnych sieci VLAN IEEE 802.1ad QinQ i Selective QinQ Agregacja portów statyczna i przy pomocy protokołu LACP 128 grup portów zagregowanych, możliwość stworzenia grupy z 8 portów Spanning Tree: MSTP 802.1s, RSTP 802.1w, STP Root Guard routing IPv4 z prędkością łącza, wsparcie dla routingu IPv4: statycznego , RIP i RIPv2, OSPF, IS-IS i BGP routing IPv6 z prędkością łącza, wsparcie dla routingu IPv6: statycznego, RIPng, OSPFv3, IS-ISv6 i BGP4+ Pojemność tablicy routingu przełącznika 500 000 wpisów Bidirectional Forwarding Detection dla OSPF, BGP, IS-IS, VRRP, MPLS Virtual Router Redundancy Protocol (VRRP) Policy-based routing IGMPv1, v2, and v3 PIM-SSM, PIM-DM i PIM-SM (dla IPv4 i IPv6) Equal-Cost Multipath (ECMP) Konwergencja Bezpieczeństwo • • • • • • • • • Zaawansowany mechanizm kolejkowania procesora zapobiegający atakom DoS 1000 list kontroli dostępu (ACL) DHCP snooping RADIUS Secure Shell (SSHv2) IEEE 802.1X– dynamiczne dostarczanie polityk QoS, ACLs i sieci VLANs: zezwalające na nadzór nad dostępem użytkownika do sieci Guest VLAN Port isolation Port security: zezwalający na dostęp tylko specyficznym adresom MAC Quality of Service (QoS) Monitoring i diagnostyka Zarządzanie Serwis gwarancyjny 28 szt. • • • • • • • • • • • • • • • • • • • • • • MAC-based authentication IP source guard URPF Obsługa min. 1000 instancji VRF Możliwość instalacji dedykowanej karty kontrolera WLAN Możliwość instalacji dedykowanej karty load balancer o wydajności 1 Gb/s Funkcje QoS: kreowanie klas ruchu w oparciu o access control lists (ACLs), IEEE 802.1p precedence, IP, DSCP oraz Type of Service (ToS) precedence; Wsparcie dla następujących metod zapobiegania zatorom: priority queuing, weighted round robin (WRR), weighted random early discard (WRED), deficit round robin (DRR) Obsługa 8 kolejek QoS per port Port mirroring OAM (802.3ah) i CFD (802.1ag): wykrywanie problemów na łączu pomiędzy urządzeniami Zdalna konfiguracja i zarządzanie przez Web (https) oraz linię komend (CLI) IEEE 802.1ab LLDP Pamięć flash o pojemności pozwalającej na przechowywanie dwóch wersji oprogramowania systemowego Serwisy DHCP: serwer (RFC 2131), klient i relay SNMPv1, v2, and v3 Syslog Zaoferowany serwis gwarancyjny świadczony przez 1 rok. Dostępność serwisu 8x5xNBD Rozwiązywanie problemów ze sprzętem i oprogramowaniem Gwarantowany czas naprawy sprzętu – 48h od momentu zgłoszenia Dostęp do poprawek i nowych wersji oprogramowania S5710 - Przełącznik dystrybucyjny wspierający standard 1Gigabit Ethernet Przełącznik warstwy dystrybucyjnej 1GbE – Huawei S5710 Element Opis Minimalne wymagania sprzętowe • • • • • • • • • • Funkcje • • • • Urządzenie jest fabrycznie nowe, nieużywane Obudowa przeznaczona do montażu w szafie 19”. Wysokość obudowy 1 RU. Obudowa jest wykonana z metalu. Urządzenie jest przystosowane do pracy w temperaturze otoczenia od 0 do 50 stopni Celsjusza. 24 porty Ethernet 1000BaseT z auto-negocjacją 10/100/1000 w tym 4 porty typu Combo (możliwość bezpośredniego podłączenia za pomocą styku miedzianego lub wykorzystania optycznej wkładki SFP) Wszystkie powyższe porty mogą działać jednocześnie. Wydajność przełącznika 208 Gb/s i 156 Mpps Przełącznik wyposażony w 2 wbudowane zasilacze 230V/AC, każdy o mocy wystarczającej do zasilenia urządzenia w wymaganej konfiguracji. Możliwość wymiany zasilaczy w trakcie pracy urządzenia bez wpływu na jego działanie Urządzenie posiada możliwość łączenia przełączników fizycznych w jeden przełącznik wirtualny, traktowany jako jedno urządzenie logiczne z punktu widzenia protokołów routingu, LACP i Spanning Tree. Maksymalna liczba przełączników obsłgiwanych w stosie to 9szt. Przełączanie w warstwie drugiej i trzeciej modeli ISO/OSI. Port konsoli - szeregowy RS-232 Minimum jeden port USB GARP VLAN Registration Protocol (GVRP) warstwy 2 • • • • • • • Funkcje warstwy 3 • • • • • • • • • • • • • Bezpieczeństwo Rozmiar tablicy MAC 32 000 adresów 4096 aktywnych sieci VLAN Mapowanie VLAN-ów 1:1 i N:1 Agregacja portów statyczna i przy pomocy protokołu LACP Min. 64 grupy portów zagregowanych, możliwość stworzenia grupy z 8 portów Spanning Tree: MSTP 802.1s, RSTP 802.1w, STP Root Guard Protokół umożliwiający tworzenie szybkozbieżnych sieci w topologii pierścieni w których czas przełączenia transmisji na ścieżkę zapasową jest mniejszy niż 50ms routing IPv4 z prędkością łącza, wsparcie dla routingu IPv4: statycznego , RIP i RIPv2, routing IPv6 z prędkością łącza, wsparcie dla routingu IPv6: statycznego, RIPng, Rozmiar tablicy routingu 4 000 wpisów Virtual Router Redundancy Protocol (VRRP) Policy-based routing IGMP Snooping Equal-Cost Multipath (ECMP) DHCP snooping RADIUS Secure Shell (SSHv2) IEEE 802.1X– dynamiczne dostarczanie polityk QoS, ACLs i sieci VLANs: zezwalające na nadzór nad dostępem użytkownika do sieci Guest VLAN Port isolation Port security: zezwalający na dostęp tylko specyficznym adresom MAC MAC-based authentication IP source guard URPF Urządzenie jest odporne na ataki typu Denial of service takich jak SYN Flood attacks, Land attacks, Smurf attacks, oraz ICMP Flood attacks Funkcje QoS: kreowanie klas ruchu w oparciu o access control lists (ACLs), IEEE 802.1p precedence, IP, DSCP oraz Type of Service (ToS) precedence; 8 kolejek QoS per port Port mirroring (SPAN) i Remote Port mirroring (RSPAN) OAM (802.3ah) i CFM (802.1ag): wykrywanie problemów na łączu pomiędzy urządzeniami Zdalna konfiguracja i zarządzanie przez Web (https) oraz linię komend (CLI) IEEE 802.1ab LLDP Pamięć flash o pojemności pozwalającej na przechowywanie minium dwóch wersji oprogramowania systemowego Serwisy DHCP: serwer (RFC 2131), klient i relay SNMPv1, v2, v3 Syslog Serwis gwarancyjny świadczony przez 3 lata. Dostępność serwisu 8x5xNBD Rozwiązywanie problemów ze sprzętem i oprogramowaniem Gwarantowany czas naprawy sprzętu – 48h od momentu zgłoszenia Dostęp do poprawek i nowych wersji oprogramowania • • • • • • • Quality of Service (QoS) Monitoring i diagnostyka • • • • • • Zarządzanie • • • • • • • • Serwis gwarancyjny 1 szt. • AR2240 - Router szkieletowy wspierający standard 1Gigabit Ethernet Router warstwy szkieletowej 1GbE – Huawei AR2240 Element Parametr urządzenia Minimalne wymagania • • Urządzenie jest fabrycznie nowe oraz nieużywane Obudowa przeznaczona do montażu w szafie telekomunikacyjnej 19”. Wysokość sprzętowe • • • • Funkcje warstwy 2 Funkcje warstwy 3 • • • • • • • • • • • • • • • • • • • • Bezpieczeństwo • • • • • • • • • • • • • • • • • • • • • • • • • • obudowy 2RU Obudowa wykonana jest z metalu Urządzenie jest przystosowane do pracy w temp. Od 0 do 45 stopni celciusza Urządzenie jest modularne z możliwością instalacji 8 dodatkowych modułów sieciowych Urządzenie wyposażone jest w 3 porty GE typu WAN w tym dwa porty typu Combo Wszystkie powyższe porty mogą działać jednocześnie Wydajność routingu wynosi 2Mpps Posiada port konsoli – szeregowy RS-232 Urządzenie wyposażone jest w kartę pamięci SD o pojemności 4GB Posiada możliwość agregacji portów przy pomocy protokołu LACP (IEEE 802.3ad) Posiada obsługę VLAN’ów zgodnie z standardem 802.1q Posiada obsługę Voice VLAN Posiada obsługę GARP VLAN Registration Protocol (GVRP) Posiada funkcjonalność Port Security Obsługuje standardy STP, RSTP, MSTP Obsługuje protokoły IPv4 oraz IPv6 Dynamic ARP, static ARP, proxy ARP oraz ARP ping DNS Kklient, DNS/proxy/relay, Dynamic DNS NAT, PAT, NAT Serwer, NAT ALG (dla protokołów DNS, FTP RSTP oraz SIP) DHCP Serwer, DHCP Realy, DHCP/BOOTP Klient Obsługa protokołów routingu statycznego i dynamicznego dla protokołów RIP, RIPng, OSPF, OSPFv3, IS-IS, BGP, BGP4+ Obsługa wirtualnych tablic routingu Obsługa 30 tyś wpisów w tablicy routingu Obsługa protokołu BDF dla protokołów RIP, OSPF, IS-IS i BGP Obsługa protokołów routingu dla ruchu multicastowego: PIM-DM, PIM-SM, PIMSSM Osbługa protokołu BFD dla protokołu PIM Osgługa MBGP Ochrona protokołu STP: BPDU Protestion, TC protestion, Root Guard Obsługa uwierzytelniania AAA, RADIUS oraz TACACS Możliwość zarządzania urządzeniem przez protokół HTTPS Firewall typu „statefull inspection” Firewall oparty o strefy bezpieczeństwa Firewall rozpoznaje aplikacje takie jak: FTP, HTTP, RSTP oraz SIP Obsługuje ochronę CPU urządzenia przed atakami Obsługa protokołu 802.1x obsługa DHCP Snooping obejmującego ochronę przed atakami typu: Man-in-themiddle, IP/MAC poofing, DoS poprzez podmianę adresu MAC, DoS poprzez zmianę wartości CHADDR Ochrona przeciwko atakom ARP typu spoofing i flood Ochrona przed atakami protokołem ICMP Obsługa mechanizmów IP Source Guard i URPF Obsługa ACL na podstawie adresów źródłowych i docelowych MAC i IP, portów źródłowych i docelowych protokołów TCP/UDP, znaczników DSCP i 802.1p, typów ICPM, flah protokołu TCP, VLANu. Możliwość przypisywania dla reguł ACL zakresów czasowych Obsługa PKI Obsługa protokołu SSL Obsługa protokołu VRRP Obsługa BFD dla VRRP Obsługa interfejsów zapasowych dla ruchu z możliwością wykrycia awarii w warstwie IP Możliwość konfiguracji BFD typu Multi-Hop Moduły interfejsów podlegają wymianie w trakcie pracy urządzenia (funkcja HotSwap) Obsługa funkcji mirroringu ruchu na interfejsach lokalnego i zdalnego urządzenia LDP, MPLS L3 VPN, static LSP, dynamic LSP Obsługa protokołu IPSec • • • • Quality of Service (QoS) Zarządzenie Serwis gwarancyjny 1 szt. • • • • • • • • • • • • • • • • • Tunelowanie typu GRE i L2TP Mechanizm Dynamic VPN typu Point to Multipoint i typu Mesh Obsługa SSL VPN Plik konfiguracyjny urządzenia jest edytowalny w trybie off-line. Tzn. istnieje możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nielotnej jest możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej może być przechowywana dowolnej ilości plików konfiguracyjnych (ilość ograniczona tylko pojemnością pamięci). Zmiany aktywnej konfiguracji są widoczne natychmiastowo Obsługa mechanizmu QoS z zachowaniem gwarancji pasma, opóźnień i Jitter. Obsługa kolejkowania typu: PQ, WFQ, PQ+WFQ Limitowanie prędkości na portach z funkcją traffic shaping Obsługa klasyfikacji ruchu w oparciu o adres źródłowy MAC, adres docelowy MAC, źródłowy adres IP, docelowy adresu IP, interfejs warstwy 4, typ protokołu IP, VLAN, typu protokołu Ethernet oraz QoS. Obsługa hierarchicznego QoS Obsługa mechanizmów zapobiegania zatorów w sieci Obsługa mechanizmów RED, WRED Zdalna konfiguracja i zarządzanie przez Web (https) oraz linię komend (CLI) IEEE 802.1ab LLDP Serwisy DHCP: serwer (RFC 2131), klient i relay SNMPv1, v2, v3 Syslog Serwis gwarancyjny świadczony przez 3 lata. Dostępność serwisu 8x5xNBD Rozwiązywanie problemów ze sprzętem i oprogramowaniem Gwarantowany czas naprawy sprzętu – 48h od momentu zgłoszenia Dostęp do poprawek i nowych wersji oprogramowania eSight(V200R002) - System zarządzania siecią System zarządzania siecią – e-Sight Element Wymagania podstawowe: Parametr urządzenia • • • • • • • • Zarządzenie alertami • • • Obsługa minimum 110 urządzeń sieciowych (licencja w ofercie), system obsługuje do 5000 urządzeń sieciowych. architektura serwer-klient z dostępem do systemu poprzez przeglądarkę WWW (MS Internet Explorer 8, Firefox 3.6 lub nowsze) interfejs użytkownika w języku angielskim Czasowe blokowanie możliwości logowania użytkownika systemu w przypadku 5-krotnego podania błędnego hasła Możliwość stworzenia kopii zapasowej danych systemu zarządzania i odtworzenia tych danych z kopii możliwość sprawdzenia zainstalowanej licencji oraz zmiany licencji Monitorowanie wykorzystania licencji i informowanie użytkownika systemu o zbliżającej się dacie wygasania licencji, bądź przekroczenia limitów zainstalowanej licencji (np. Ilość obsługiwanych urządzeń) Dostępna w systemie zarządzającym dokumentacja w języku angielskim Możliwość automatycznego alarmowania opartego o zadane progi alarmowe (w sumie 35 zdarzeń na każde urządzenie sieciowe), w tym: możliwość definiowania dwóch progów – ostrzegawczy i alarmowy Możliwość automatycznego alarmowania opartego o profil ruchu • • Monitorowanie • • • • • • • • • Możliwość automatycznego alarmowania o przekroczeniu obciążenia interfejsu z uwzględnienie dwóch progów - ostrzegawczy i alarmowy Możliwość wykorzystania następujących kanałów powiadomienia dla poszczególnych poziomów alarmów o konsola operatora o e-mail SMS Możliwość monitorowania zdarzeń związanych z funkcjonowaniem monitorowanych urządzeń w czasie rzeczywistym (CPU, pamięć) Możliwość monitorowania urządzeń sieciowych oraz ruchu sieciowego w oparciu o protokoły SNMP Możliwość zbierania danych z urządzeń firmy Cisco generowanych w oparciu o protokół SNMP Możliwość zapisywania niezagregowanych danych pochodzących z monitorowanych urządzeń przez okres 30 dni. Możliwość archiwizacji dostępnych danych niezagregowanych. Możliwość monitorowania obciążenia całkowitego urządzeń oraz ich interfejsów z zachowaniem o Wartości aktualnych o Wartości szczytowych • • • • • • Zarządzanie konfiguracją • • • • • • • • • • • • • • • Możliwość pozyskania informacji o statusie monitorowanych urządzeń sieciowych Możliwość pozyskania informacji o statusie portu Możliwość ręcznego definiowania progów czułości alarmów Możliwość przesyłania powiadomień o alarmach za pomocą mechanizmu SNMP trap Możliwość monitorowania obciążenia całkowitego urządzeń oraz ich interfejsów z zachowaniem rozgraniczenia dla ruchu wchodzącego i wychodzącego Możliwość wyświetlania 95 percentyla dla raportów obciążenia interfejsów niezależnie dla kierunku wejściowego i wyjściowego Możliwość współpracy z urządzeniami sieciowymi różnych producentów, w szczególności firm Cisco i H3C (produkty 3Com przejęte przez H3C), ZTE Wsparcie dla protokołu NetFlow (wersja 1, 5, 7, 9) lub równoważnego oraz SNMP (wersja 1,2,3) Możliwość konfigurowania zarządzanych urządzeń sieciowych w szczególności urządzeń firmy Cisco Możliwość automatycznego wykrywania urządzeń sieciowych Możliwość automatycznego odczytywania z monitorowanych i zarządzanych urządzeń ich nazw, listy interfejsów wraz z ich nazwami i prędkościami. System zarządzania i monitorowania sieci umożliwia dokonywanie automatycznego odczytu o zdefiniowanej porze. Możliwość stworzenia mapy topologii fizycznej i logicznej sieci Możliwość tworzenia i zarządzania sieciami VLAN (niezależnie od fizycznej lokalizacji urządzeń) Możliwość pełnego dostępu i zarządzania systemem monitorowania i zarządzania siecią zarówno lokalnie jak i zdalnie Możliwość uzyskania zdalnego dostępu do urządzeń sieciowych i dokonania zmian w ich konfiguracji. Możliwość definiowania w systemie monitorowania i zarządzania siecią użytkowników z nadawaniem uprawnień na poziomie poszczególnych urządzeń oraz grupy urządzeń, do odczytu konfiguracji urządzenia, zarządzania urządzeniem. Możliwość stworzenia kopii zapasowej ustawień urządzeń Możliwość przywrócenia kopii zapasowej ustawień urządzeń Możliwość ręcznego dodawania opisów do poszczególnych interfejsów monitorowanych urządzeń Możliwość logowania i uwierzytelniania w oparciu o lokalną bazę użytkowników Możliwość wymuszenia logowania się wszystkich użytkowników systemu • • Raportowanie • • • • • • • • Administracja systemem i Bezpieczeństwo • • • • • • • • • • • Serwis gwarancyjny • • • • • monitorowania i zarządzania siecią. Możliwość przeprowadzenia testów dostępności urządzenia, liczby przeprowadzonych udanych oraz nieudanych odpytań SNMP Możliwość tworzenia szablonów konfiguracji dla danego modelu urządzenia Możliwość raportowania na poziomie pojedynczego urządzenia oraz grupy urządzeń obejmującego dostępne w Systemie - parametry sieciowe i wydajnościowe Możliwość raportowania zdarzeń w trybie rzeczywistym - czasie zbliżonym do rzeczywistego, dla urządzeń (na bieżąco wobec spływających raportów NetFlow) Możliwość raportowania w formie graficznej (wykresy) jak i tekstowej (tabela z wszystkimi konwersacjami) Możliwość raportowania obciążenia całkowitego urządzeń oraz ich interfejsów z zachowaniem Wartości aktualnych, Wartości szczytowych Możliwość tworzenia raportów dostępności urządzeń Możliwość przeglądania raportów za pośrednictwem przeglądarki WWW Możliwość eksportu raportów do plików płaskich lub ustrukturyzowanych Możliwość automatycznego generowania, zapisywania i wysyłania raportów pocztą email Możliwość tworzenia unikalnych kont użytkowników Możliwość zabezpieczenia Dostępu do kont użytkowników przy pomocy haseł Możliwość logowania zdarzeń i aktywności użytkowników narzędzia Możliwość zarządzania uprawnieniami na poziomie grup - pojedynczych użytkowników Możliwość przypisywania użytkownikom - grupom uprawnień na poziomie czynności, elementów konfiguracji (np. urządzenie sieciowe, grupa urządzeń sieciowych) Możliwość definiowania wielu użytkowników, w tym możliwość różnicowania uprawnień odczytu oraz różnicowania uprawnień administracyjnych z podziałem na grupy urządzeń Możliwość tworzenia widoków dla użytkowników w zależności od zakresu uprawnień Możliwość tworzenia widoków jedynie do podglądu Możliwość archiwizacji i odtwarzania danych narzędzia, w tym konfiguracji oraz informacji o licencji Możliwość importu całej lub fragmentu konfiguracji Możliwość konfigurowania, zarządzania oraz monitorowania usług VPN (IPSec) Serwis gwarancyjny świadczony przez 3 lata. Dostępność serwisu 8x5xNBD Rozwiązywanie problemów ze sprzętem i oprogramowaniem Gwarantowany czas naprawy platformy sprzętowej aplikacji – 48h od momentu zgłoszenia Dostęp do poprawek i nowych wersji oprogramowania Pozostałe urządzenia wspomagające prawidłową pracę sieci: - Serwer RACK 19” HP DL360p G8 z oprogramowainem Microsoft. Serwer systemu zarządzania siecią – HP DL360p G8 Element Charakterystyka Oferowany parametr • • • • • Możliwy montaż w szafie 19”, rozmiar 1U. 4 dyski SAS o pojemności co najmniej 300GB każdy, 10krpm, Hot Plug, Kontroler RAID z wsparciem dla poziomów 0, 1, 1+0, 5, 6. Dwa redundantne zasilacze. 2 interfejsy sieciowe w standardzie 1000Base-T. • Dedykowany interfejs do zdalnego zarządzania, zapewniający funkcjonalność KVM IP. 16 GB RAM (2x8GB) Port D-SUB. ponad 2 porty USB, co najmniej jeden na froncie. Intel Xeon E5-2609 (2.40GHz) – ponad 4200pkt 3 letnia gwarancja – reakcja na zgłodzenie serwisowe w „następny dzień pracujący”. • • • • • - Notebook Dell Latitude E5520 15,6'' WLED_HD AG i3-2330M 4GB 500GB B-lit_Keyb Win7Pro64 3YPro Notebook do systemu zarządzania siecią – Dell Lalitude E5520 Element Charakterystyka • • • • • • • • • • • • Dwurdzeniowy procesor z technologią HT, o minimalnym taktowaniu 2Ghz, 4GB pamięci RAM (możliwość rozszerzenia do co najmniej 8GB), Przekątna matrycy 15,6”, natywna rozdzielczość 1366x768, Dysk z interfejsem SATA II o pojemności 500GB, Zintegrowana karta dźwiękowa, Karta graficzna zintegrowana, Dedykowane złącze stacji dokującej, złącza: 15 stykowy D-SUB (monitor), HDMI, 3xUSB 2.0, 1xRJ45, co najmniej 1xE-Sata, mikrofon i słuchawki, czytnik kart SD, Technlogie bezprzewodowe: Bluetooth 2.1, Wifi 2,4Ghz (802.11b/g/n), Interfejs Ethernet w standardzie 10/100/1000 Base-T, Gwarancja 3 lata NDB Bezprzewodowa mysz laserowa dedykowana dla urządzeń mobilnych - UPS Rack 19” : COVER PRM 3 - 3 kVA z wyposażeniem, Zasilacz awaryjny UPS – Cover PRM 3 3kVA Element Charakterystyka • • • • • • • • • • Podtrzymanie napięcia co najmniej 20 minut przy obciążeniu 1100W; maksymalna moca wyjściowa o wartości 2700W; Zamknięty w obudowie „Rack”, możliwy montaż w szynach szafy Napięcie wyjściowe 230V; Porty komunikacyjne np. w postaci DB9 (RS232) lub USB umożliwiający pracę z komputerem klasy PC, port umożliwia podstawową diagnostykę stanu urządzenia w przypadku awarii modułu komunikacyjnego IP; Moduł komunikacji sieciowej w standardzie Ethernet 100Base-T (zintegrowany bądź w postaci karty rozszerzeń), umożliwiające wsparcie dla zdalnego zarządzania i raportowania zdarzeń (SNMPv3); Przedni panel - wskaźniki stanu urządzenia – bieżące obciążenie, wskaźnik przeciążenia, uszkodzenia modułu bateryjnego, stanu pracy (zasilanie sieciowe, zasilanie bateryjne), co umożliwi personelowi technicznemu danej jednostki szybką diagnozę stanu zasilacza; Sygnalizacja dźwiękowa w trakcie pracy na zasilaniu bateryjnym; Wahania napięcia wyjściowego ± 1% / ± 3%; przy maksymalnym obciążeniu; dwuletnia gwarancja z możliwością przedłużenia tego okresu, oraz zakupieniem dodatkowych usług serwisowych podwyższających standard realizacji zgłoszeń serwisowych Urządzenia dostępowe założone w projekcie: Infokioski: Infobox – model: IB220 wewnętrzny i zewnętrzny HotSpot: w oparciu o platformę Mikrotik: RB433 2.3. Bezpieczeństwo sprzętowe 2.3.1. Zasilanie: - każde z urządzeń aktywnych sieci szkieletowej i dystrybucyjnej posiada 2 niezależne zasilacze - w szafie głównej Centrum Zarządzania Siecią znajdują się Router brzegowy i Przełącznik szkieletowy. Jeden zasilacz każdego urządzenia podpięty jest pod UPS natomiast drugi podpięty bezpośrednio pod gniazdo 230V zasilane z nowopowstałej rozdzielni . Wyeliminuje to nadmierne obciążenie zasilacza awaryjnego i zapewni ciągłość pracy w przypadku zaniku zasilania. - w węzłach dystrybucyjnych zasilacze podpięte są pod gniazda 230V zasilane z nowopowstałej rozdzielni . Taki sposób zapewni ciągłość pracy w przypadku uszkodzenia jednego z zasilaczy. 2.3.2. Trasy logiczne - w celu zapewnienia ciągłości połączeń logicznych każda trasa kablowa jest zdublowana. (pomiędzy urządzeniami po dwie pary włókien w przypadku połączeń światłowodowych oraz po dwa kable UTP w przypadku połączeń miedzianych) . Takie rozwiązanie pozwoli na ciągłą pracę w przypadku uszkodzenia portu w przełącznikach lub routerze lub uszkodzenia pojedynczego włókna światłowodowego lub kabla miedzianego. 2.3.3. Wykaz sprzętu z wykazem elementów podlegających redundancji • • • • • Router szt 1 - 3 porty WAN ( 2 podłączone do niezależnych punktów styku, 1 zapasowy w celu szybkiego przełączenia urządzeń z uszkodzonego któregokolwiek portu WAN ) - 2 zasilacze Switch Szkieletowy szt. 1 - 2x 48 port 1Gb - 2 zasilacze Switch Dystrybucyjny 28 szt - 24 port 1Gb - 2 zasilacze Serwer zarządzający 1 szt. - 2 zasilacze UPS szt 1 - podtrzymuje zasilanie dla następujących urządzeń: Router, Switch szkieletowy, Serwer zarządzający, urządzenia dostępowe do Internetu. 3. Połączenia logiczne sieci Logicznie sieć będzie się skupiała hierarchicznie i rozgałęziała od węzła szkieletowego, przez dystrybucyjne do dostępowych. Sposób konfiguracji początkowej przedstawia się następująco: Wszystkie klasy urządzeń powinny mieć zaimplementowane mechanizmy usprawniające centralne zarządzanie infrastrukturą w kontekście utrzymania ciągłości działania oraz kwestii bezpieczeństwa. W tej grupie funkcjonalności wymaga się poniższe elementy wspierane przez oprogramowanie do centralnego zarządzania siecią „eSight”(kontrola systemów i przełączników): - logowanie zdarzeń (w szczególności związanych z naruszeniem reguł bezpieczeństwa) do zewnętrznego serwera Syslog. - udostępnienie stanu urządzeń dla zewnętrznego serwera SNMP. Przełączniki (agenci SNMP), powinny generować komunikaty „Trap” kluczowych dla bezpieczeństwa (np. modyfikacja konfiguracji, istotna zmiana topologii, informacje o stanie samego urządzenia). Serwer usługi SNMP należy zdefiniować tak by móc reagować na zdarzenia np. powiadomić administratora o uszkodzeniu wentylatora przełącznika (przy pomocy wiadomości e-mail na sparametryzowany wcześniej adres lub grupę adresów). By osiągnąć akceptowalny poziom bezpieczeństwa, konfiguracja usługi SNMP powinna zapewniać poufność, integralność oraz autentykacje dla przesyłanych komunikatów, więc wymagana jest wersja trzecia protokołu. - Autoryzacja dostępu do urządzeń powinna być obsługiwana za pomocą centralnej usługi implementującej model AAA ( “Authentication, Authorization, Accounting”), np. protokołu RADIUS, skonfigurowana dla wszystkich aktywnych metod dostępu (dostęp zdalny przez SSHv2 bądź https, dostęp lokalny przy użyciu portu konsolowego). Dodatkowo należy wprowadzić politykę wymuszającą stosowanie silnych haseł. Jako „silne hasło” rozumiemy ciąg znaków nie zawierający słów pochodzenia słownikowego, o odpowiednio dużej minimalnej długości (zaleca się minimalnie 8 znaków), składający się z oprócz cyfr i liter (zarówno dużych jak i małych) z również innych znaków drukowalnych. By maksymalnie ograniczyć możliwość ataków siłowych na hasła należy ograniczyć ilość prób logowania w funkcji czasu, poprzez wymuszenie interwałów czasowych pomiędzy kolejnymi (nieudanymi) próbami logowania. Godną uwagi alternatywą dla tradycyjnej autoryzacji przy użyciu loginu i hasła są metody oparte o wykorzystanie certyfikatu (przy czym należy pamiętać o przygotowaniu certyfikatu tak, by maksymalnie ograniczyć możliwość wykorzystania go przez osoby postronne). - Serwer czasu dla ujednolicenia wskazań RTC urządzeń. Szyfrowany dostęp do interfejsów zarządzania przełącznikami (implementowany np. poprzez wykorzystanie usług SSHv2 lub https). Wymaga się kompletnego wyłączenia nieszyfrowanych protokołów umożliwiających uzyskanie zdalnego dostępu. Wszystkie powyższe usługi powinny funkcjonować w obrębie wydzielonej logicznej sieci administratorskiej, do której dostęp określony jest wyjątkowo rygorystycznymi regułami. Z racji krytycznej roli jakie spełniają powyższe usługi wymaga się wykorzystania wszystkich dostępnych w dostarczonych urządzeniach mechanizmów zabezpieczeń oferowanych przez te protokoły, starając się, wszędzie tam gdzie jest to możliwe, wybierać algorytmy szyfrujące i/lub haszujące uważane za bezpieczne w danym zastosowaniu. Wszystkie domyślne hasła urządzeń powinny zostać zmienione i przekazane Zamawiającemu, z możliwością wprowadzania dalszych zmian przez przyszłych administratorów. Wybierając protokoły uruchamiane na urządzeniach, należy zwrócić uwagę by wszędzie tam gdzie pozwalają na to wymagania funkcjonalne wykorzystywać protokoły dobrze zdefiniowane, o otwartej specyfikacji (np. w postaci dokumentu RFC lub standardu IEEE), zamiast protokołów własnościowych producenta. Umożliwi to w przyszłości używanie sprzętu innych producentów i łatwą integrację z istniejącą infrastrukturą oraz pomoże zapewnić niezależność technologiczną. Sugeruje się wykorzystanie np. „LLDP” zamiast „CDP”, lub „OSPF” zamiast "EIGRP”. Urządzenia powinny być skonfigurowane tak by zapewniały ochronę przed najpopularniejszymi metodami ataku na sieci Ethernet, oraz (wszędzie tam gdzie jest to konieczne) również przed atakami na stos protokołów TCP/IP (w szczególności pozwalające uzyskać nie autoryzowany dostęp do administracyjnych interfejsów IP urządzeń sieciowych). W razie pojawienia się próby ataku lub incydentu bezpieczeństwa na porcie przełącznika (w szczególności przełącznika dostępowego), powinna istnieć możliwość wymuszenia automatycznego wyłączenia portu bądź „cichego” odrzucania ramek na określony czas. Należy w jak najlepszym stopniu, biorąc pod uwagę możliwości udostępnianych przez dobrane urządzenia, zabezpieczyć urządzenia przed próbami ataków L2, w szczególności: - “MAC Flooding”, - “ARP Attack”, - “MAC Duplicating”, - “VPMS Attack”, - “Spanning Tree Attack” - “Layer 2 Port Authentication” Zaleca się statyczną konfiguracje interfejsów IP wszędzie tam gdzie nie jest wymagane inne podejście. Wpłynie to na uniezależnienie tak istotnych parametrów od działania dodatkowej usługi automatycznej konfiguracji adresów IP (która może ulec awarii bądź zostać wykorzystana do prób ataku). Wszędzie tam gdzie jest to możliwe wymaga się wyłączenie nieużywanych portów przełączników. Wymagane jest wykorzystanie sieci wirtualnych VLAN w standardzie 802.1q na wszystkich przełącznikach, umożliwi to zapewnienie logicznej separacji klas: usług i użytkowników. Komunikację i wymuszanie polityk bezpieczeństwa pomiędzy sieciami wirtualnymi zapewnią urządzenia warstwy trzeciej czyli przełączniki dystrybucyjne i szkieletowe. Dla każdego z VLAN-ów powinna zostać przypisana podsieć IP. Połączenia pomiędzy switchami powinny być zdefiniowane jako trunki 802.1q. Istotne jest skonfigurowanie urządzeń dostępowych tak, by nie przenosiły po trunku ruchu z identyfikatorami VLAN-ów których obsługi nie przewidują (np. ramka z tagiem VLAN-u wymiany danych dla jednostek miejskich na pojawiająca się na urządzeniu dostępowym jednostki która nie powinna mieć dostępu do tego VLAN-u). Porty dostępowe (tzn. dla urządzeń przyłączanej jednostki) w urządzeniach dostępowych powinny być portami przypisanymi do poszczególnych VLAN-ów przenoszącymi tylko ruch nie-tagowny. Porty tagowane (trunki 802.1a) powinny zostać wykorzystane tylko w sytuacji gdy jednostka wykorzystuje większą ilość VLAN-ów niż umożliwia konfiguracja portów przełącznika dostępowego i posiada odpowiednie możliwości techniczne. W pierwotnej konfiguracji sieci sugeruje się, zgodnie z wymaganiami Zamawiającego, uruchomienie VLAN-ów. UUVLAN- techniczny –VLAN dedykowany do zarządzania siecią, itp. VLAN techniczny (umożliwia dokonanie operacji administratorskich i monitorowanie). o powinien być skonfigurowany na wszystkich urządzeniach pracujących w sieci i zdefiniowany jako interfejs do zarządzania. o Wszelka komunikacja pomiędzy VLAN-em administracyjnym a pozostałymi sieciami wirtualnymi nie powinna być możliwa. o Jedyną lokalizacją z której powinien być możliwy dostęp fizyczny (tzn. poprzez trunk lub port dostępowy), jest centrum monitorowania sieci. W ramach tej sieci wszystkie adresy powinny być przydzielane statycznie. VLAN-y dla telefonii VOIP – w przyszłości posłuży do uruchomienia telefonii IP dla przyłączonych jednostek. Dostęp do VLAN-ów możliwy za pomocą portu dostępowego lub trunka na switchu dostępowym (w zależności od możliwości technicznych jednostki), Przepływy przenoszone z wykorzystaniem tych VLAN-ów powinny być przez mechanizmy QoS traktowane jako strumienie czasu rzeczywistego wymagające niskiej (poniżej 10ms) i względnie stałej latencji. Przewiduję się że wszystkie lokalizacje przyłączone jako punkt dostępowy (tzn. taki węzeł sieci gdzie zamontowano przełącznik dostępowy, a więc nie dotyczy to punktów przyłączenia kamer monitoringu wizyjnego i stacji Wi-MAX) będą wykorzystywać w przyszłości telefonię IP. Każda z przyłączonych jednostek powinna zostać przypisana do indywidualnego VLAN-u przeznaczonego na potrzeby oferowania usług głosowych. Należy również zapewnić adresację IP oraz routing pomiędzy VLAN-ami, w celu umożliwienia realizacji połączeń. Zgodnie z wymaganiami zamawiającego zakłada się że każda jednostka będzie wykorzystywała średnio 5 telefonów VoIP, należy więc zapewnić każdej jednostce pasmo dla 5 strumieni G.711, o wysokim priorytecie. VLAN-y transmisji danych dla jednostek przyłączonych do sieci – umożliwiają wszystkim przyłączonym jednostkom komunikację, wzajemną wymianę danych oraz dostęp do Internetu. Wymaga się by były dostępne na switchach dostępowych jako port dostępowy (trunk, jeśli jednostka posiada możliwości techniczne do obsługi takiego połączenia i ilości sieci VLAN). Jeśli jednostka posiada wiele lokalizacji, wszystkie powinny znaleźć w tym samym VLAN-ie. Posłuży do zapewnienia jednostkom dostępu do sieci Internet (zakładana początkowa przepustowość to 2Mbit/s dla każdej z jednostek, zakłada się jednak że może ulec w przyszłości, dla niektórych z jednostek, zwiększeniu). Ramki przesyłane tymi VLAN-ami powinny być przez mechanizmy QoS traktowane jako dane o niskim priorytecie i przesyłane przez urządzenia zgodnie z założeniami polityki „Best Effort”. Każda jednostka powinna posiadać wydzieloną pulę nie-routowalnych adresów IP. Powinna zostać zapewniona komunikacja między podsieciami jednostek. 4. Karty katalogowe Huawei eSight Brief Product Brochure Challenges As the network scale and the number of enterprise network applications continue to grow, a large number of terminal access devices, such as multi-service routers, gateways, and WLAN APs, are widely used in decentralized networks like enterprise campus networks and branch networks. An increasing number of IT and IP devices from multiple vendors are used in enterprises and these devices use different network management systems. Enterprises require a unified network management system to manage devices on the entire network, ensure network stability, and improve the O&M efficiency. eSight––Integrated Enterprise O&M Solution Huawei eSight is a next-generation IP+IT network operation and maintenance system developed for enterprises by Huawei enterprise network product Line. eSight manages enterprise resources, services, user data, and applications in compliance with Information Technology Infrastructure Library (ITIL) standards. eSight is able to manage IT and IP devices, and thirdparty devices used by enterprises. It provides an open platform that allows enterprises to build their own intelligent management systems. Any Customer Multi-edition for any customer Customer Policy Any Policy Intelligent center for any policy Any Vendor Open platform for any vendor Vendor eSight Device Service Any Device Flexible mechanism for any device Any Service Simplified visualization of any service eSight can reduce IT device investment and maintenance costs and improve the O&M efficiency. eSight is applicable to: • Any vendor » Preset multi-vendor IP device management capabilities: eSight can manage not only Huawei devices but also Cisco and HP devices. » Open platform: Customers and administrators can customize information about devices to be managed. • Any device » eSight realizes unified management of routers, switches, WLAN, firewall, and other network devices. » eSight can monitor multiple IT devices including servers, IT printers, and workstations. » eSight can monitor any device supporting SNMP protocol. • Any service » eSight MPLS, IPSec, WLAN RF, and other views allow visible management of network services, simplifying O&M needs. » SLA combines network quality analysis to make the network quality situation easily accessible and to ensure users enjoy good experiences using enterprise IT applications. » eSight visualizes network traffic to help realize refined management of enterprise bandwidth. • Any policy » eSight supports batch policy control on network layer devices and provides terminal access and user access authentication to help safeguard enterprise network security. • Any customer » The multi-edition and multi-component mode satisfies a range of customer demands and reduces O&M costs. Multiple editions and open platforms, reducing the initial investment: eSight provides multiple editions to meet management and business requirements of different enterprises. The open secondary development platform and API interface can meet enterprises' requirements for integrating existing systems and developing personalized tools. In addition, eSight can manage IP and IT devices and third-party devices on the entire network in a unified manner. Batch delivery and quick diagnosis, improving the work efficiency: The smart configuration tool provides the template-based and plan file–based batch configuration and command authentication functions, which improve the service deployment efficiency. The MPLS VPN service provides the one-click fault diagnosis function, which helps users to diagnose faults efficiently. The customizable system portal and device portal implement one-stop information monitoring. Visible services and unified O&M, reducing O&M costs: Network Quality Analysis (NQA) counters are encapsulated into SLA services. The SLA compliance indicates the service quality, reducing skill requirements on maintenance personnel. The unified O&M solution supports unified deployment and O&M and interaction between different functions, which simplifies O&M for enterprises. Highlights Lightweight system: eSight uses the B/S architecture and can run on portable computers, enabling users to access the network and check the network status anytime, anywhere. Multiple editions: eSight provides the express, compact, standard, and professional editions, meeting requirements of different enterprises. Comprehensive device management capabilities: eSight can manage IP and IT devices and thirdparty devices and provide device customization capabilities, reducing device investment and improve the O&M efficiency. Unified O&M experience: Based on the unified enterprise management platform, eSight provides a complete O&M solution and supports interaction between system functions, providing the same O&M experience and reducing training costs. Integration of Huawei best practices: Based on Huawei best practices, eSight provides the network quality evaluation, fast fault diagnosis, and detailed fault rectification suggestion functions, helping users to quickly diagnose faults and reducing skill requirements on maintenance personnel. Visible management: eSight provides multiple views and icons, which display the network status and quality from different layers in different modes. Product Components eSight provides a unified O&M platform and components to meet the demands of enterprise customers. Product overview: Application management layer User Access Manager • Unified management of enterprise network and user • Intelligent control center based on policy Network service layer WLAN Manager • Unified wired/wireless network management • Visualized WLAN services, RF view. Network management layer • Web 2.0 provides better user experience. • Multiple editions: Express edition, Compact edition, Standard edition, and Professional Edition • Unified O&M platform: Unified management of multiple devices from multiple vendors, including routers, switches, security devices, WLAN, servers, and third party devices. Enterprise branch & campus MPLS VPN Manager • Visualized monitoring • one-click fault diagnosis Data Center Service Manager • Unified management of physical and virtual resources of enterprise • Data center network auto-migration SLA Manager • Visualized management of network quality Wide area interconnection ... Network Traffic analyzer • Refined management of traffic • Support Netstream, Netflow, and sFlow protocols Data center Unified Management Platform The Unified Management Platform can manage IP and IT devices and third-party devices. It provides the basic management functions including fault management, configuration management, performance management, and security management for all devices. The physical topology and IP topology show the network structure and status in different dimensions. The smart report function meets O&M requirements. MPLS VPN Manager The MPLS VPN Manager provides the service management and monitoring functions. It can automatically discover services on the entire network, including network of Full-Mesh, Hub-Spoke, MCE, HoVPN, Inter-AS option A, Inter-AS option B. The access topology, service monitoring, and one-click fault diagnosis functions protect enterprise backbone networks. In addition, interaction between the SLA, smart report, and performance monitoring services is supported. WLAN Manager Users can deploy WLAN services following the wizard. Visible management is implemented based on the service topology and location topology. The service topology shows the connections between the AC, APs, and STAs, and marks rouge APs, and the detailed information about them. Users can diagnose service faults in the service topology. The location topology shows the hotspots and radio signal coverage scope, and marks unauthorized APs and collision domains. The WLAN Manager provides the functions of restarting, replacing, and restoring APs to factory settings in batches. SLA Manager NQA counters are encapsulated into SLA services such as voice and video services. The SLA compliance indicates the service quality. SLA historical data provides a basis for optimizing the network. Based on the interaction with the smart report service, SLA compliance statistics reports and counter statistics reports can be provided. Network Traffic Analyzer The Network Traffic Analyzer supports NetFlow, NetStream, and sFlow. It monitors network traffic and employs refined management to ensure proper use of network resources. It provides data about traffic that can be used to plan bandwidth expansion or traffic policy optimization. Obtaining More Information http://enterprise.huawei.com/ Copyright © Huawei Technologies Co., Ltd. 2012. All rights reserved. THIS DOCUMENT IS FOR INFORMATION PURPOSE ONLY, AND DOSE NOT CONSTITUTE ANY KIND OF WARRANTIES. S7700 Series Smart Routing Switches Realize Your Potential S7700 Series Smart Routing Switches Product Overview The S7700 series switches (S7700 for short) are high-end smart routing switches designed for nextgeneration enterprise networks. The S7700 design is based on Huawei's intelligent multi-layer switching technology to provide intelligent service optimization methods, such as MPLS VPN, traffic analysis, comprehensive QoS policies, controllable multicast, load balancing, and security, in addition to highperformance Layer 2 to Layer 4 switching services. The S7700 also features superb scalability and reliability. The S7700 can function either as an aggregation or core node on a campus network or in a data center to provide integrated wireless access. The S7700 also offers voice, video, and data services, helping enterprises build an integrated cost-effective end-to-end network. Product Appearance The S7700 series is available in three models: S7703, S7706, and S7712. The switching capacity and port density of all three models is expandable. The S7700 is based on a new hardware platform, which adopts a left-to-rear ventilation channel to achieve better energy efficiency. Key components work in redundancy mode to minimize risks of system breakdown and service interruption. Using innovative energy-saving chips, the S7700 provides an industry-leading solution for a sustainable energy-saving network. S7703 S7706 S7712 S1700-8G-AC 1 Product Features Powerful service processing capabilities • Huawei's advanced switching architecture permits rapid bandwidth expansion. The highly expansible backplane enables ports to be upgraded to a rate of 40 Gbit/s or 100 Gbit/s, and is compatible with the currently used cards, helping enterprises maximize their ROI. • Each 7700 supports 480 10GE ports. The high density of 10GE ports brings enterprise campus networks and data centers into the era of the all-10GE core network. • The S7700's multi-service routing and switching platform meets requirements for service bearing at the access layer, aggregation layer, and core layer of enterprise networks. The S7700 provides wireless access along with voice, video, and data services, helping enterprises build integrated full-service networks with high availability and low latency. • The S7700 supports distributed Layer 2/Layer 3 MPLS VPN functions, including MPLS, VPLS, HVPLS, and VLL, implementing VPN access for enterprise users. • The S7700 supports various Layer 2 and Layer 3 multicast protocols such as PIM SM, PIM DM, PIM SSM, MLD, and IGMP snooping. It can provide enterprises with multi-terminal high definition video surveillance and video conferencing services. Carrier-class reliability and visual fault diagnosis • Huawei's high reliability design ensures that the S7700 is 99.999% reliable. The S7700 provides redundant backup for key components, including MPUs, power supply units, and fans, all of which are hot swappable. • The S7700 innovatively implements the CSS function through switch fabrics, and packets are only switched once when they are forwarded between chassis. This addresses the problem of low switching efficiency caused by multiple switching processes during inter-chassis forwarding in clusters established using line cards. The cluster provides the industry's highest cluster bandwidth 256 Gbit/s, In addition, inter-chassis link aggregation can be used to improve link use efficiency and prevent single-point failures. • The S7700 can use service ports as cluster ports, so that cluster members can be connected through optical fibers. This substantially expands the clustering distance. • The S7700 has a dedicated fault detection subcard that provides hardware-based OAM function conforming to IEEE 802.3ah, 802.1ag, and ITU-Y.1731. Hardware-based OAM implements 3.3 ms fault detection and can check session connectivity of all terminals in real time when a network fault occurs. The S7700 can also work with an NMS. The NMS provides a graphical fault diagnosis interface and traverses all network elements and links automatically to help users detect and locate faults quickly. • The S7700 implements seamless switchover between the master and slave MPUs and supports graceful restart to ensure nonstop forwarding. The in-service software upgrade (ISSU) function of the S7700 prevents interruption of key services during software upgrading. Enhanced QoS mechanism, improving the voice and video experience • The S7700's QoS control mechanisms classify traffic based on information from the link layer to the application layer. With advanced queue scheduling and congestion control algorithms, the S7700 performs accurate multi-level scheduling for data flows, satisfying enterprises' QoS requirements for a variety of services and user terminals. • The S7700 supports hardware-based low delay queues for multicast packets so that the video service can be processed with high priority and low delay. This feature guarantees the high quality of key services in an 2 enterprise, such as video conference and surveillance. • The S7700 uses innovative priority scheduling algorithms to optimize the QoS queue scheduling mechanism for voice and video services. The improved scheduling mechanism shortens the delay of the VoIP service and eliminates the pixelation effect in the video service, improving user experience. High-performance IPv6 service processing, resulting in a smooth transition from IPv4 to IPv6 • Both the hardware platform and software platform of the S7700 support IPv6. The S7700 has earned the IPv6 Ready Phase 2 (Gold) designation. • The S7700 supports IPv4/IPv6 dual stack, various tunneling technologies, IPv6 static routing, RIPng, OSPFv3, BGP+, IS-ISv6, and IPv6 multicast. These features meet the demand for IPv6 networking and combined IPv4 and IPv6 networking. Intelligent traffic load balancing, improving enterprises' network efficiency • The S7700's load balancer supports multiple load balancing algorithms, including the weighted round robin (WRR) algorithm, least connection algorithm, hash algorithm based on the IP address, and hash algorithm based on the URL in HTTP packets. • The S7700's load balancer supports the multiplexing of TCP and HTTP connections to reduce the workloads for establishing and closing TCP connections, therefore increasing the access rate of Web portal servers. • The S7700's load balancer supports dynamic traffic locking to implement load balancing for online shopping on e-commerce websites. Superb traffic analysis capability, resulting in real-time network performance monitoring • The S7700 supports NetStream for the real-time collection and analysis of network traffic statistics. • The S7700 supports the V5, V8, and V9 Netstream formats and provides aggregation traffic templates to reduce the burden on the network collector system. In addition, the S7700 supports real-time traffic collection, dynamic report generation, traffic attribute analysis, and traffic exception trap. • NetStream monitors network traffic in real time and analyzes the device's throughput, providing data for network structure optimization and capacity expansion. Comprehensive security mechanisms, protecting enterprises from internal and external security threats • The S7700 comes equipped with an integrated firewall card and supports virtual firewalls and NAT multiinstance, allowing multiple VPN customers to share the same firewall. Its application-layer packet filtering technology detects and filters application layer packets according to preset rules. • The S7700 provides comprehensive NAC solutions for enterprise networks. It supports MAC address authentication, Portal authentication, 802.1x authentication, and DHCP snooping-triggered authentication. These authentication methods ensure the security of various access modes, such as dumb terminal access, mobile access, and centralized IP address allocation. • The S7700 is the industry leader in integrated security solutions. It supports 1K CPU queues and uses a 2-level CPU protection mechanism, separating the data plane from the control plane. Additionally, the S7700 defends against DoS attacks, prevents unauthorized access, and prevents control plane overloading. 3 Wireless AC boards, meeting mobile office requirements • The S7700 can use an access controller (AC) board to provide radio frequency management functions. The AC board allows access points (APs) to automatically select their radio channels and power. In an AP region, APs automatically adjust radio channels and power in the event of signal interference, enabling the receive signal strength indicator (RSSI) and signal-to-noise ratio (SNR) to be continuously updated. The system can then monitor the electromagnetic environment of every wireless user to improve network availability. • The S7700's AC board supports multiple authentication methods, including 802.1x authentication, MAC address authentication, Portal authentication, and WAPI authentication. These authentication methods meet the requirements of users who use different types of STAs and require different security levels. • The S7700's AC board supports Layer 2 roaming, allowing STAs to rapidly switch between APs. The S7700 supports 1+1 and N+1 cold backup between ACs and load balancing among ACs, improving network reliability. Innovative energy-saving chips, allowing for intelligent power consumption control • The S7700 uses innovative energy-saving chips, which can dynamically adjust power on all ports based on traffic volume. An idle port enters a sleep mode to reduce power consumption. • The S7700 supports Power over Ethernet (PoE) and uses different energy management modes according to the powered device (PD) type, ensuring flexible energy management. • The S7700 supports IEEE 802.3az Energy Efficient Ethernet and provides the low power idle mode for the PHY line card. If the link utilization is low, the S7700 switches to a lower speed or power PHY to reduce power consumption. Product Specifications Item S7703 S7706 S7712 Backplane capacity 3 Tbps 6 Tbps 12 Tbps Switching capacity 768 G/1.92 T 2 T/5.12 T 2 T/5.12 T Forwarding performance 576 Mpps/1440 Mpps 1152 Mpps/ 2880Mpps 1344 Mpps/3360 Mpps Service Slot 3 6 12 Three types of interfaces: access, trunk, and hybrid Default VLAN VLAN VLAN switching QinQ and selective QinQ MAC address-based VLAN assignment MAC address learning and aging Static, dynamic, and blackhole MAC address entries MAC address Packet filtering based on source MAC addresses Limit on the number of MAC addresses learned on ports and VLANs STP(IEEE 802.1d), RSTP(IEEE 802.1w), and MSTP(IEEE 802.1s) STP BPDU protection, root protection, and loop protection BPDU tunnel 4 Item S7703 S7706 S7712 IPv4 routing protocols, such as RIP, OSPF, BGP, and IS-IS IP routing IPv6 dynamic routing protocols, such as RIPng, OSPFv3, ISISv6, and BGP4+ IGMPv1/v2/v3 and IGMP v1/v2/v3 snooping PIM-DM, PIM-SM, and PIM-SSM MSDP and MBGP Fast leave Multicast Multicast traffic control Multicast querier Multicast packet suppression Multicast CAC Multicast ACL Basic MPLS functions MPLS OAM MPLS MPLS-TE MPLS VPN/VLL/VPLS LACP and E-Trunk between devices VRRP and BFD for VRRP BFD for BGP/IS-IS/OSPF/static route NSF and GR for BGP/IS-IS/OSPF/LDP TE FRR and IP FRR Reliability Ethernet OAM (IEEE 802.3ah and 802.1ag) ITU-Y.1731 DLDP ISSU CSS Traffic classification based on Layer 2 protocol packet header, Layer 3 protocol information, Layer 4 protocol information, and 802.1p priority ACL, CAR, re-mark, and scheduling QoS Queue scheduling algorithms including PQ, WRR, DRR, PQ+WRR, and PQ+DRR Congestion avoidance mechanisms, such as WRED and tail drop Traffic shaping 5 Item S7703 S7706 S7712 Console, Telnet, and SSH terminals Network management protocols, such as SNMPv1/v2/v3 Configuration and maintenance File uploading and downloading using FTP and TFTP BootROM upgrade and remote upgrade Hot patches User operation logs 802.1x authentication and portal authentication NAC RADIUS and HWTACACS authentication Security and management Different user levels for commands, preventing unauthorized users from using certain commands Defense against DoS attacks, TCP SYN Flood attacks, UDP Flood attacks, broadcast storms, and heavy traffic attacks 1K CPU queues Ping and traceroute RMON Firewall NAT Netstream Value-added service IPSec Load balancing AC 6 Energy conservation IEEE 802.3az: Energy Efficient Ethernet (EEE) Dimensions (W x D x H) 442 mm x 476 mm x 175 mm 442 mm x 476 mm x 442 mm 442 mm x 476 mm x 664 mm Chassis weight (empty) < 15 kg <30 kg < 45 kg Working voltage DC: –38.4 V to –72 V AC: 90 V to 290 V Maximum power (excluding PoE power) 800 W 1600 W 1600 W Maximum PoE power 2200 W 8800 W 8800 W Applications Large-scale Campus Networks The S7700 provides a switching capacity of 2 Tbit/s and high-density 10GE ports. The S7700 can be used as an aggregation switch on a large-scale campus network, helping to build a highly reliable, scalable, and manageable enterprise network. With hardware-based CPU queue scheduling and firewall modules, the S7700 enhances security at the aggregation layer and protects the enterprise's core network from DDoS attacks and other security threats. IDC Management EMAIL DNS Internet Portal AR router Web & Email S9700 WAN NE router CSS Aggregation S7700 S7700 Access S7700 Access S7700 Fit AP Small - and Medium-sized Campus Networks The S7700 implements the line-speed forwarding of OSPF, BGP, and MPLS packets. With its 2 Tbit/s switching capacity, firewall module, and IPSec module, the S7700 can work at the core layer of small- and medium-sized campus networks. It provides a cost-effective, reliable, and easy-to-deploy network solution for small- and medium-sized enterprises. Management Internet AR router AR router S7700 S7700 Aggregation S5700 Access S5700 S5700 Access S5700 Access Point 7 Product List Basic Configuration LE0BN66EDC DC Assembly Rack (600X600X2200mm) LE0BN66EAC AC Assembly Rack (600X600X2200mm) ES0B00770300 S7703 Assembly Chassis ES0B00770600 S7706 Assembly Chassis ES0B00771200 S7712 Assembly Chassis ES0B017706P0 S7706 POE Assembly Chassis ES0B017712P0 S7712 POE Assembly Chassis LE0M00FBXB00 Wide Voltage Fan Box LE0MACPJBX01 APD32-2-4 Distribution Box Monitoring Board LE0DCMUA0000 Centralized Monitoring Board Main Control Unit ES0D00MCUA00 S7703 Main Control Unit A ES0D00SRUA00 S7706/S7712 Main Control Unit A ES0D00SRUB00 S7706/S7712 Main Control Unit B, Clock SRU Service Card ES0D00FSUA00 Enhanced Flexible Service Unit LE0D0VSTSA00 Cluster Switching System Service Unit 10/100BASE-T Interface Card 8 ES0D0F48TA00 48-Port 10/100BASE-T Interface Card (EA, RJ45) ES0DF48TFA00 48-Port 10/100BASE-T Interface Card (FA, RJ45) ES0D0F48TC00 48-Port 10/100BASE-T Interface Card (EC, RJ45) 10/100/1000BASE-T Interface Card ES0DG24TFA00 24-Port 10/100/1000BASE-T Interface Card (FA, RJ45) ES0D0G48TA00 48-Port 10/100/1000BASE-T Interface Card (EA, RJ45) ES0DG48TFA00 48-Port 10/100/1000BASE-T Interface Card (FA, RJ45) ES0D0G48TC00 48-Port 10/100/1000BASE-T Interface Card (EC, RJ45) ES0D0T24XA00 24-Port 10/100/1000BASE-T and 2-Port 10GBASE-X Interface Card (EA,RJ45/XFP) 100/1000BASE-X Interface Card ES0D0G24SA00 24-Port 100/1000BASE-X Interface Card (SA, SFP) ES0D0G24SC00 24-Port 100/1000BASE-X Interface Card (EC, SFP) ES0D0G24CA00 24-Port 100/1000BASE-X and 8-Port 10/100/1000BASE-T Combo Interface Card (SA, SFP/RJ45) ES0D0S24XA00 24-Port 100/1000BASE-X and 2-Port 10GBASE-X Interface Card (EA, SFP/XFP) ES0D0G48SA00 48-Port 100/1000BASE-X Interface Card (EA, SFP) ES0D0G48SC00 48-Port 100/1000BASE-X Interface Card (EC, SFP) ES1D2G48SFA0 48-Port 100/1000BASE-X Interface Card (FA, SFP) ES1D2G48SED0 48-Port 100/1000BASE-X Interface Card (ED, SFP) 100/1000BASE-X Interface Card ES0DG48CEAT0 36-Port 10/100/1000BASE-T and 12-Port 100/1000BASE-X Interface Card (EA, RJ45/SFP) 10GBASE-X Interface Card ES0D0X2UXA00 2-Port 10GBASE-X Interface Card (EA, XFP) ES0D0X2UXC00 2-Port 10GBASE-X Interface Card (EC, XFP) ES0D0X4UXA00 4-Port 10GBASE-X Interface Card (EA, XFP) ES0D0X4UXC00 4-Port 10GBASE-X Interface Card (EC, XFP) ES1D2X04XED0 4-Port 10GBASE-X Interface Card (ED, XFP) ES0DX12XSA00 12-Port 10GBASE-X Interface Card (SA, SFP+) 9 ES1D2X16SFC0 16-Port 10GBASE-X Interface Card (FC, SFP+) ES1D2X40SFC0 40-Port 10GBASE-X Interface Card (FC, SFP+) POE Interface Card ES0D0G48VA00 48-Port 10/100/1000BASE-T POE Interface Card (EA, RJ45, POE) Service Processing Unit LE0D0VAMPA00 Value-added Service Unit* Optical transceiver FE-SFP optical transceiver S-SFP-FE-LH40SM1310 Optical Transceiver-eSFP-FE-Single-mode Module (1310nm,40km,LC) S-SFP-FE-LH80SM1550 Optical Transceiver-eSFP-FE-Single-mode Module (1550nm,80km,LC) GE-SFP module SFP-1000BaseT Electrical transceiver-SFP-GE-Electrical Interface Module (100m,RJ45) eSFP-GE-SXMM850 Optical Transceiver-ESFP-GE-Multi-mode Module (850nm,0.5km,LC) SFP-GE-LXSM1310 Optical Transceiver-SFP-GE-Single-mode Module (1310nm,10km,LC) S-SFP-GE-LH40SM1310 Optical Transceiver-eSFP-GE-Single-mode Module (1310nm,40km,LC) S-SFP-GE-LH40SM1550 Optical Transceiver-eSFP-GE-Single-mode Module (1550nm,40km,LC) S-SFP-GE-LH80SM1550 Optical Transceiver-eSFP-GE-Single-mode Module (1550nm,80km,LC) eSFP-GE-ZX100SM1550 Optical Transceiver-ESFP-GE-Single-mode Module (1550nm,100km,LC) 10GE-XFP optical transceiver XFP-SX-MM850 10 Optical Transceiver-XFP-10G-Multi-mode Module (850nm,0.3km,LC) XFP-STM64-LXSM1310 Optical Transceiver-XFP-10G-Single-mode Module (1310nm,10km,LC) XFP-STM64LH40-SM1550 Optical Transceiver-XFP-10G-Single-mode Module (1550nm,40km,LC) XFP-STM64SM1550-80km Optical Transceiver-XFP-10G-Single-mode Module (1550nm,80km,LC) 10GE-SFP+ optical transceiver OMXD30000 Optical Transceiver-SFP+-10G-Multi-mode Module (850nm,0.3km,LC) OSX010000 Optical Transceiver-SFP+-10G-Single-mode Module (1310nm,10km,LC) OSX040N01 Optical Transceiver-SFP+-10G-Single-mode Module (1550nm,40km,LC) BIDI-SFP optical transceiver SFP-FE-LXSM1310-BIDI Optical Transceiver-eSFP-FE-BIDI Single-mode Module (TX1310/ RX1550,15km,LC) SFP-FE-LXSM1550-BIDI Optical Transceiver-eSFP-FE-BIDI Single-mode Module (TX1550/ RX1310,15km,LC) SFP-GE-LXSM1310-BIDI Optical Transceiver-eSFP-GE-BIDI Single-mode Module (TX1310/ RX1490,10km,LC) SFP-GE-LXSM1490-BIDI Optical Transceiver-eSFP-GE-BIDI Single-mode Module (TX1490/ RX1310,10km,LC) Power module LE0MPSD16 DC Power Module LE0MPSA08 800 W AC Power Module W0PSA2200 2200 W AC Power Module LE0MDCPDBX00 Front-access-maintained Cabinet Power Distribution Box LE0MACPJBX00 Intelligent Value Added Special Service Power Junction Box,8-Channel Output Software ES0SMS137700 Quidway S7700 Basic SW, V100R003 ES0SMS167700 Quidway S7700 Basic SW, V100R006 ES0SMS217700 Quidway S7700 Basic SW, V200R001 11 ES0SMPLS7700 MPLS Function License ES0SNQAF7700 NQA Function License ES0SIPV67700 IPV6 Function License ES0S0SSP7700 Service Splitting Platform Function License ES1SWLAN64AP WLAN Access Controller AP Resource License-64AP ES0SWLAN7700 WLAN Access Controller AP Resource License-128AP Documentation ES0I000DOC00 S7700 Smart Routing Switch Documentation In the preceding table, *indicates a value-added board that supports the firewall/NAT, IPSec, Netstream, wireless AC and load balancing functions. For more information, visit http://enterprise.huawei.com or contact the Huawei local sales office. 12 13 Copyright © Huawei Technologies Co., Ltd. 2012. All rights reserved. No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Huawei Technologies Co., Ltd. Trademark Notice , HUAWEI, and are trademarks or registered trademarks of Huawei Technologies Co., Ltd. Other trademarks, product, service and company names mentioned are the property of their respective owners. General Disclaimer The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice. Realize Your Potential AR G3 Series Enterprise Router Product Brochure AR G3 Series Enterprise Router Product Brochure AR G3 Series Enterprise Routers Huawei AR G3 series enterprise routers (AR G3) are nextgeneration routers dedicated for enterprise customers. Based on Huawei's proprietary Versatile Routing Platform (VRP), the AR G3 takes advantages of Huawei's long-term accumulation in data communication, wireless, access network, and core network fields. The AR G3 integrates routing, switching, 3G, WLAN, voice, and security functions, uses the multi-core CPU and non-blocking switching structure, and provides industry-leading system performance and extensibility, which meets customers' requirements for diversified service development. As an integrated solution for enterprise networks, the AR G3 speeds up multi-service development while protecting existing investments. AR3260 AR2240 AR2220 AR1220W/AR1220VW Headquarter Medium Branch Medium Branch Small Branch AR1220V AR1220 AR1220-D AR208E Small Branch Small Branch Small Branch SOHO & SMB AR207V/AR207V-P AR207G-HSPA+7 AR207 AR206 SOHO & SMB SOHO & SMB SOHO & SMB SOHO & SMB AR201 AR158E AR157 AR156 SOHO & SMB Small Branch SOHO & SMB SOHO & SMB The AR G3 supports various interface cards, including Ethernet interface cards, E1/T1/PRI/ VE1 interface cards, synchronous/asynchronous interface cards, ADSL2+/G.SHDSL/VDSL2 AR151 interface cards, FXS/FXO voice cards, ISDN interface cards, EPON/GPON interface cards and 3G interface cards. Depending on the slot type, these cards are classified into Smart Interface Cards (SICs), Double-Width SICs (WSICs), and Double-Height WSICs (XSICs). SOHO & SMB The following figures show the appearances of main interface cards. Channelized E1/T1/PRI Multiflex Trunk Interface Card Ethernet WAN Interface Card Sync/Async Serial WAN Interface Card 1 ADSL2+ANNEX A/M WAN Interface Module ADSL2+ANNEX B WAN Interface Module 4Pair G.SHDSL WAN Interface Module 8-Port 10/100BASE and 1-Port 10/100/1000BASE L2/L3 Ethernet Interface Card 24-Port 10/100/1000BASE L2/ L3 Ethernet Interface Card 4-Port FXS and 1-Port FXO Voice Interface Card 16-Port FXS Voice Interface Card 32-Port FXS Voice Interface Card 4-Port FXO Voice Interface Card Product Features 3rd Generation and High Performance • Multi-core CPU and distributed service processing to double the performance than other products in the industry • A switching capacity of 160 Gbit/s to ensure non-blocking service operation • Excellent quality and high reliability 2-mode Network and Flexible Access • Seamless integration of wired and 3G (wireless) networks • 24-port gigabit Ethernet board card • Large bandwidth and highly reliable PON access All-in-1 and More Benefits • Unified office (unified communication, PBX, etc.) • Open Service Platform (OSP) for cooperation with partners • Unified and mature VRP platform 2 Typical Applications Voice Gateway Broadband & Leased Line 3G wireless backup One-stop GE Access Value-added Service Platform ARG3 Series Enterprise Routers The AR G3 is creatively designed to provide an all-in-one access solution for enterprise and industry customers. Technical Specifications The following table lists the technical specifications of AR1200&AR2200&AR3200 Series routers. Item Forwarding performance (64 Byte) WAN speed with services AR1220 450 Kpps 200 Mbps AR1220-D 450 Kpps 200 Mbps AR1220V /1220VW 450 Kpps 200 Mbps AR1220W 450 Kpps 200 Mbps AR2220 1 Mpps 400 Mbps Firewall performance (large packets) 900 Mbps 900 Mbps 900 Mbps 900 Mbps 1.9 Gbps Switching capacity 8 Gbps 8 Gbps 8 Gbps 8 Gbps 32 Gbps AR2240 AR3260 2 Mpps (With SRU40) 2 Mpps (With SRU40) 4 Mpps (With SRU80) 4 Mpps (With SRU80) 600 Mbps (With SRU40) 600 Mbps (With SRU40) 1800 Mbps (With SRU80) 1800 Mbps (With SRU80) 5.5 Gbps (With SRU40) 5.5 Gbps (With SRU40) 9.5 Gbps (With SRU80) 9.5 Gbps (With SRU80) 80 Gbps 160 Gbps 4000 (With SRU40) 4000 (With SRU40) 6000 (With SRU80) 6000 (With SRU80) IPSec VPN Tunnels 2000 2000 2000 2000 4000 Fixed Ethernet ports 2 GE 8 FE 2 GE 8 FE 2 GE 8 FE(4 FE support PoE) 2 GE 8 FE(4 FE support PoE) 3 GE (1 Combo) 3 GE (2 Combo) 3 GE (2 Combo) SIC slots 2 2 2 2 4 4 4 WSIC slots (default/max**) 0/1 0/1 0/1 0/1 2/4 2/4 2/4 XSIC slots (default/max**) 0/0 0/0 0/0 0/0 0/2 2/4 4/6 DSP - - 32 channels DSP - 1 DSP Slot 3 DSP Slots 3 DSP Slots 3 AR1220-D AR1220V /1220VW AR1220W AR2220 AR2240 AR3260 512 MB 512 MB 512 MB 512 MB 2 GB 2 GB 2 GB Flash 256 MB 256 MB 256 MB 256 MB 16 MB 16 MB 16 MB Micro SD (default/max) - - - - 2 GB/4 GB 2 GB/4 GB 2 GB/4 GB 150 W 350 W (Single Power Module)/700 W (Dual Power Module) 350 W (Single Power Module)/700 W (Dual Power Module) 88.1mm x 442 mm x 470 mm 130.5mm x 442 mm x 470 mm Item AR1220 USB 2.0 ports 2 Memory Max. power 54 W 54 W 54 W 54 W AC power 100 V-240 V; Frequency: 50 Hz/60 Hz - 100 V-240 V; Frequency: 50 Hz/60 Hz DC Power - -42V~-53V - - -48 V~-60 V Dimensions (W x D x H) 44.5mm x 390 mm x 220 mm 44.5mmx 390 mm x 220 mm 44.5mm x 390 mm x 220 mm 44.5mmx 390 mm x 220 mm 44.5mmx 442 mm x 420 mm Ambient temperature 0--40oC Relative humidity 5 - 90% (non-condensing) WAN interfaces Ethernet, CE1/CT1, E1/T1, ADSL2+, G.SHDSL, Sync/Async Serial, ISDN, CPOS, EPON/GPON LAN IEEE 802.1P, IEEE 802.1Q, IEEE 802.3, VLAN management, MAC address management, MSTP Basic feature DHCP server/client/relay, PPPoE server/client, PPPoA server/client, PPPoEoA server/client, NAT, Sub interface management Voice RTP, SIP, SIP AG, IP PBX/TDM PBX, FXO/FXS, VoIP/Conference call, BESA, DISA, SBC, H.323 gatekeeper WLAN AP management, WLAN QoS (WMM), WLAN security (WEP/WPA/WPA2/key management), WLAN radio management (802.11b/g/n), WLAN user management 3G CDMA 2000 EV-DO Rev A, WCDMA, individual 3G uplink/backup link IPv4 unicast routing Routing policy, static route, RIP v1/v2, OSPF, IS-IS, BGP IPv6 unicast routing Routing policy, static route, RIPng, OSPFv3, IS-ISv6, BGP4+ Multicast IGMP V1/V2/V3, IGMP-Snooping V1/V2/V3(not supported on AR1200 series), PIM SM, PIM DM, MSDP MPLS LDP, MPLS L3 VPN, static LSP, dynamic LSP, MPLS TE, IP FRR, LDP FRR, TE FRR VPN IPSec VPN, GRE VPN, DSVPN, SSL VPN, L2TP VPN QoS Diffserv mode, MPLS QoS, priority mapping, traffic policing (CAR), traffic shaping, congestion avoidance (based on IP precedence/DSCP WRED), congestion management (LAN interface: SP/WRR/SP+WRR; WAN interface: PQ/CBWFQ), MQC (traffic classifier, traffic behavior, and traffic policy), H-QoS, WLAN QoS, FR QoS, Smart Application Control (SAC) Security ACL, firewall, 802.1x authentication, MAC address authentication(not supported on AR1200 series), Web authentication(not supported on AR1200 series), AAA authentication, RADIUS authentication, HWTACACS authentication, broadcast storm suppression, ARP security, ICMP attack defense, URPF, IP Source Guard(not supported on AR1200 series), DHCP snooping(not supported on AR1200 series), CPCAR, blacklist, IP source tracing Management and maintenance Upgrade management, device management, web-based GUI, GTL, SNMP(v1/v2c/v3), RMON, NTP, CWMP, Auto-Config, deployment using USB disk, NetConf, CLI Note**: The maximum number of slots contains the number of all combined slots. 4 The following table lists the technical specifications of AR150&AR200 Series routers. Item AR201/ AR151 AR206/ AR156 AR207/ AR157 AR207V AR207V-P AR207GHSPA+7 AR208E/ AR158E Forwarding performance (64 Byte) 450 Kpps/ 300 Kpps 450 Kpps/ 300 Kpps 450 Kpps/ 300 Kpps 450 Kpps 450 Kpps 450 Kpps 450 Kpps/ 300 Kpps WAN speed with services 150 Mbps/ 100 Mbps 150 Mbps/ 100 Mbps 150 Mbps/ 100 Mbps 150 Mbps 150 Mbps 150 Mbps 150 Mbps/ 100 Mbps IPSec VPN Tunnels 75/30 75/30 75/30 75 75 75 75/30 2*FE(the interface LAN 0 of which can be used as one WAN interface) 1 ADSL2+ Annex B, 1*FE(the interface LAN 0 of which can be used as one WAN interface) 1 ADSL2+ Annex A/ M, 1*FE(the interface LAN 0 of which can be used as one WAN interface) 1 ADSL2+ Annex A/ M, 1*FE(the interface LAN 0 of which can be used as one WAN interface) 1 ADSL2+ Annex A/ M, 1*FE(the interface LAN 0 of which can be used as one WAN interface) 1 ADSL2+ Annex A/ M, 1*FE(the interface LAN 0 of which can be used as one WAN interface) 1 G.SHDSL 8-wire, 1*FE(the interface LAN 0 of which can be used as one WAN interface) Fixed Ethernet switching ports 8 FE/4 FE 8 FE/4 FE 8 FE/4 FE 8 FE 8 FE(8 FE support PoE) 8 FE 8 FE/4 FE Fixed voice ports - - - 4 FXS, 1 FXO 4 FXS, 1 FXO - - Integrated 3G - - - - - WCDMA HSPA+7 - USB 2.0 ports 1 Serial auxiliary /console ports 1 Memory size (default/maximum) 512 MB Flash memory (default/maximum) 512 MB Maximum power 36W (AR201) 24W (AR151) 36W (AR206) 24W (AR156) 36W (AR207) 24W (AR157) 36 W 36 W 36 W 36W (AR208E) 24W (AR158E) Power supply (AC) 100 V to 240 V Frequency 50/60 Hz Dimensions (H x W x D) 44.5 mm x 300 mm x 220 mm (1.75 in. x 11.8 in. x 8.66 in.) Operating temperature 0oC to 40oC Relative humidity 5% to 90% (non-condensing) Basic feature DHCP server/client/relay, PPPoE server/client, PPPoA server/client, PPPoEoA server/client, NAT, TCP, UDP, ARP, Sub interface management WAN Standards compliance IEEE802.3, IEEE802.3u, IEEE802.3ab ITU-T 992.1 G.DMT ANSI ITU-T 992.1 G.DMT T1.413 Issue 2 ITU-T 992.3 ITU-T 992.3 ITU-T 992.5 ITU-T 992.5 100Mbit/s A downstream transmission rate of 8 Mbit/s and an upstream transmission rate of 1024 kbit/s Fixed WAN ports WAN Transmission rate G.SHDSL.bit ITU-T G.991.2 ADSL full rate mode (ITU-T 992.1 G.DMT): a downstream transmission rate of 8 Mbit/s and an upstream transmission rate of 1024 kbit/s ADSL2 full rate mode (ITU-T 992.3): a downstream transmission 5.696 Mbit/s rate of 12 Mbit/s and an upstream transmission rate of 1024 per pair kbit/s ADSL2+ full rate mode (ITU-T 992.5): a downstream transmission rate of 24 Mbit/s and an upstream transmission rate of 1024 kbit/s 5 AR206/ AR156 AR207/ AR157 AR207GHSPA+7 Item AR201/ AR151 Voice RTP, SIP, SIP AG, IP PBX/TDM PBX, FXO/FXS, VoIP LAN IEEE 802.1P, IEEE 802.1Q, IEEE 802.3, VLAN management, MAC address management, MSTP, etc. AR207V AR207V-P AR208E/ AR158E IPv4 unicast routing Routing policy, static route, RIP v1/v2, OSPF, IS-IS, BGP IPv6 unicast routing Routing policy, static route, RIPng, OSPFv3, IS-ISv6, BGP4+ Multicast IGMP version1/2/3, PIM SM, PIM DM, MSDP VPN IPSec VPN, GRE VPN, DSVPN, SSL VPN, L2TP VPN QoS Diffserv mode, Priority mapping, traffic policing (CAR), traffic shaping, congestion avoidance (based on IP precedence/DSCP WRED), congestion management (LAN interface: SP/WRR/SP+WRR; WAN interface: PQ/CBWFQ), MQC (traffic classification, traffic behavior, and traffic policy), H-QoS Security ACL, firewall, 802.1x authentication, AAA authentication, RADIUS authentication, HWTACACS authentication, broadcast storm suppression, ARP security, ICMP attack defense, URPF, CPCAR, blacklist, IP source tracing, PKI Management and maintenance Upgrade management, device management, web-based GUI, GTL, SNMP(v1/v2c/v3), RMON, NTP, CWMP, AutoConfig, site deployment using USB disk, NetConf, CLI Copyright © Huawei Technologies Co., Ltd. 2012. All rights reserved. No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Huawei Technologies Co., Ltd. Trademark Notice , HUAWEI, and are trademarks or registered trademarks of Huawei Technologies Co., Ltd. Other trademarks, product, service and company names mentioned are the property of their respective owners. General Disclaimer The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice. S5700-SI Series Gigabit Enterprise Switches S5700-SI Series Gigabit Enterprise Switches Product Overview The S5700-SI series are gigabit Layer 3 Ethernet switches based on new generation of high-performance hardware and Huawei Versatile Routing Platform (VRP). It provides a large capacity, high-density GE interfaces, and10GE uplink interfaces. With extensive service features and IPv6 forwarding capabilities, the S5700-SI is applicable to various scenarios. For example, it can be used as an access or aggregation switch on campus networks or an access switch in data centers. The S5700-SI integrates many advanced technologies in terms of reliability, security, and energy saving. It employs simple and convenient means of installation and maintenance to reduce customers' OAM cost and help enterprise customers build a next-generation IT network. Product Appearance S5700-24TP-SI-AC • Twenty 10/100/1000Base-T ports and four GE combo ports S5700-24TP-SI-DC S5700-24TP-PWR-SI • Two models: AC model and DC model • Forwarding performance: 36 Mpps • Twenty 10/100/1000Base-T ports and four GE combo ports • Double hot swappable AC power supplies • PoE+ • Forwarding performance: 36 Mpps S5700-48TP-SI-AC • Forty-four10/100/1000Base-T ports and four GE combo ports • Two models: AC model and DC model S5700-48TP-SI-DC S5700-48TP-PWR-SI • Forwarding performance: 72 Mpps • Forty-four 10/100/1000Base-T ports and four GE combo ports • AC power supply • PoE+ • Forwarding performance: 72 Mpps 1 S5700-28C-SI • Twenty 10/100/1000Base-T ports and four GE combo ports • Subcards supported: 4x1000Base-X SFP subcard, 2x10GE SFP+ subcard, and 4x10GE SFP+ subcard • Double hot swappable power supplies • Forwarding performance: 96 Mpps • Twenty 10/100/1000Base-T ports and four GE combo ports S5700-28C-PWR-SI • Subcards supported: 4x1000Base-X SFP subcard, 2x10GE SFP+ subcard, and 4x10GE SFP+ subcard • Double hot swappable AC power supplies • PoE+ • Forwarding performance: 96 Mpps S5700-52C-SI • Forty-eight 10/100/1000Base-T ports • Subcards supported: 4x1000Base-X SFP subcard, 2x10GE SFP+ subcard, and 4x10GE SFP+ subcard • Double hot swappable power supplies • Forwarding performance: 132 Mpps S5700-52C-PWR-SI • Forty-eight 10/100/1000Base-T ports • Subcards supported: 4x1000Base-X SFP subcard, 2x10GE SFP+ subcard, and 4x10GE SFP+ subcard • Double hot swappable AC power supplies • PoE+ • Forwarding performance: 132 Mpps Product Features and highlights Powerful support for services • The S5700-SI supports IGMP v1/v2/v3 snooping, IGMP filter, IGMP fast leave, and IGMP proxy. The S5700-SI supports wire-speed replication of multicast packets between VLANs, multicast load balancing among member interfaces of a trunk, and controllable multicast, meeting requirements for IPTV and other multicast services. Comprehensive reliability mechanisms • Besides STP, RSTP, and MSTP, the S5700-SI supports enhanced Ethernet reliability technologies such as Smart Link and RRPP (Rapid Ring Protection Protocol), which implement millisecond-level protection switchover and ensure network reliability. It also provides Smart Link multi-instance and RRPP multiinstance to implement load balancing among links, optimizing bandwidth usage. • The S5700-SI supports enhanced trunk (E-Trunk) that enables a CE to be dual-homed to two PEs (S5700s). E-Trunk greatly enhances link reliability between devices and implements link aggregation between devices. This improves reliability of access devices. 2 • The S5700-SI supports the Smart Ethernet Protection (SEP) protocol, a ring network protocol applied to the link layer on an Ethernet network. SEP can be used on open ring networks and can be deployed on upper-layer aggregation devices to provide fast switchover (within 50 ms), ensuring non-stop transmission of services. SEP features simplicity, high reliability, fast switchover, easy maintenance, and flexible topology, facilitating network planning and management. • The S5700-SI supports Ethernet Ring Protection Switching (ERPS), also referred to as G.8032. As the latest ring network protocol, ERPS was developed based on traditional Ethernet MAC and bridging functions and uses mature Ethernet OAM function and a ring automatic protection switching (R-APS) mechanism to implement millisecond-level protection switching. ERPS supports various services and allows flexible networking, helping customers build a network with lower OPEX and CAPEX. Well-designed QoS policies and security mechanisms • The S5700-SI implements complex traffic classification based on packet information such as the 5-tuple, IP preference, ToS, DSCP, IP protocol type, ICMP type, TCP source port, VLAN ID, Ethernet protocol type, and CoS. ACLs can be applied to inbound or outbound direction on an interface. The S5700-SI supports a flow-based two-rate three-color CAR. Each port supports eight priority queues and multiple queue scheduling algorithms such as WRR, DRR, PQ, WRR+PQ, and DRR+PQ. All of these ensure the quality of voice, video, and data services. • The S5700-SI provides multiple security measures to defend against Denial of Service (DoS) attacks, and attacks against networks or users. DoS attack types include SYN Flood attacks, Land attacks, Smurf attacks, and ICMP Flood attacks. Attacks to networks refer to STP BPDU/root attacks. Attacks to users include bogus DHCP server attacks, man-in-the-middle attacks, IP/MAC spoofing attacks, DHCP request flood attacks. DoS attacks that change the CHADDR field in DHCP packets are also attacks against users. • The S5700-SI supports DHCP snooping, which generates user binding entries based on MAC addresses, IP addresses, IP address leases, VLAN IDs, and access interfaces of users. DHCP snooping discards invalid packets that do not match any binding entries, such as ARP spoofing packets and IP spoofing packets. This prevents man-in-the-middle attacks to campus networks that hackers initiate by using ARP packets. The interface connected to a DHCP server can be configured as a trusted interface to protect the system against bogus DHCP server attacks. • The S5700-SI supports strict ARP learning, which prevents ARP spoofing attacks that will exhaust ARP entries. It also provides IP source check to prevent DoS attacks caused by MAC address spoofing, IP address spoofing, and MAC/IP spoofing. • The S5700-SI supports centralized MAC address authentication, 802.1x authentication, and NAC. It authenticates users based on statically or dynamically bound user information such as the user name, IP address, MAC address, VLAN ID, access interface, and flag indicating whether antivirus software is installed. VLANs, QoS policies, and ACLs can be applied to users dynamically. • The S5700-SI can limit the number of MAC addresses learned on an interface to prevent attackers from exhausting MAC address entries by using bogus source MAC addresses. This function minimizes packet flooding that occurs when MAC addresses of users cannot be found in the MAC address table. 3 Easy deployment and maintenance free • The S5700-SI supports automatic configuration, plug-and-play, deployment using a USB flash drive, and batch remote upgrade. These capabilities simplify device management and maintenance and reduce maintenance costs. The S5700 supports SNMP v1/v2/v3 and provides flexible methods for managing devices. Users can manage the S5700 using the CLI, Web NMS, Telnet, and HGMP. The NQA function helps users with network planning and upgrades. In addition, the S5700 supports NTP, SSH v2, HWTACACS+, RMON, log hosts, and port-based traffic statistics. • The S5700-SI supports GVRP(GARP VLAN Registration Protocol), which dynamically distributes, registers, and propagates VLAN attributes to reduce manual configuration workloads of network administrators and to ensure correct VLAN configuration. In a complex network topology, GVRP simplifies VLAN configuration and reduces network communication faults caused by incorrect VLAN configuration. • The S5700-SI supports MUX VLAN. MUX VLAN isolates Layer 2 traffic between interfaces in a VLAN. Interfaces in a subordinate separate VLAN can communicate with ports in the principal VLAN but cannot communicate with each other. MUX VLAN is usually used on an enterprise intranet to isolate user interfaces from each other but allow them to communicate with server interfaces. This function prevents communication between network devices connected to certain interfaces or interface groups but allows the devices to communicate with the default gateway. PoE function • The S5700-SI PWR can use PoE power supplies with different power levels to provide -48V DC power for powered devices (PDs) such as IP Phones, WLAN APs, and Bluetooth APs. In its role as power sourcing equipment (PSE), the S5700-SI PWR complies with IEEE 802.3af and 802.3at (PoE+) and can work with PDs that are incompatible with 802.3af or 802.3at. Each port provides a maximum of 30 W power, complying with IEEE 802.3at. The PoE+ function increases the maximum power of each port and implements intelligent power management for high-power consumption applications. This facilitates the use of PDs. PoE ports can work in power-saving mode. The S5700-SI PWR provides improved PoE solutions. Users can configure whether and when a PoE port supplies power. High scalability • The S5700-SI supports intelligent stacking (iStack). Multiple S5700-SI can be connected with stack cables to set up a stack, which functions as a virtual switch. A stack consists of a master switch, a backup switch, and several slave switches. The backup switch takes over services when the master switch fails, reducing service interruption time. Stacks support intelligent upgrade so that users do not need to change the software version of a switch when adding it to a stack. The iStack function allows users to connect multiple switches with stack cables to expand system capacity. These switches can be managed using a single IP address, which greatly reduces the costs of system expansion, operation, and maintenance. Compared with traditional networking technologies, iStack has advantages in scalability, reliability, and system architecture. Various IPv6 features • The S5700-SI supports IPv4/IPv6 dual stack and can migrate from an IPv4 network to an IPv6 network. S5700-SI hardware supports IPv4/IPv6 dual stack, IPv6 over IPv4 tunnels (including manual tunnels, 6to4 tunnels, and ISATAP tunnels), and Layer 3 line-speed forwarding. The S5700 can be deployed on IPv4 networks, IPv6 networks, or networks that run both IPv4 and IPv6. This makes networking flexible and enables a network to migrate from IPv4 to IPv6. 4 Product Specifications S5700-SI* Item S5700-24TP-SI**/ S5700-28C-SI/ S5700-48TP-SI/ S5700-52C-SI/ S5700-24TP-PWR-SI S5700-28C-PWR-SI S5700-48TP-PWR-SI S5700-52C-PWR-SI 44*10/100/1000 Base-T, 4*GE Combo 48*10/100/ 1000Base-T 1000M port 20*10/100/1000Base-T, 4*GE Combo Extended slot The S5700TP provides an extended slot for a stack card The S5700-28C and S5700-52C provide two extended slots, one for an uplink subcard and the other for for a stack card. MAC address table IEEE 802.1d compliance 16 K MAC address entries MAC address learning and aging Static, dynamic, and blackhole MAC address entries Packet filtering based on source MAC addresses VLAN 4 K VLANs Guest VLAN and voice VLAN VLAN assignment based on MAC addresses, protocols, IP subnets, policies, and ports 1:1 and N:1 VLAN Mapping Reliability RRPP ring topology and RRPP multi-instance Smart Link tree topology and Smart Link multi-instance, providing the millisecondlevel protection switchover SEP ERPS(G.8032) STP(IEEE 802.1d), RSTP(IEEE 802.1w), and MSTP(IEEE 802.1s) BPDU protection, root protection, and loop protection E-Trunk IP routing Static routing, RIPv1, RIPv2, and ECMP IPv6 features Neighbor Discovery (ND) Path MTU (PMTU) IPv6 ping, IPv6 tracert, and IPv6 Telnet ACLs based on the source IPv6 address, destination IPv6 address, Layer 4 ports, or protocol type MLD v1/v2 snooping 6to4 tunnel, ISATAP tunnel, and manually configured tunnel multicast IGMP v1/v2/v3 snooping and IGMP fast leave Multicast forwarding in a VLAN and multicast replication between VLANs Multicast load balancing among member ports of a trunk Controllable multicast Port-based multicast traffic statistics 5 S5700-SI* Item 6 S5700-24TP-SI**/ S5700-28C-SI/ S5700-48TP-SI/ S5700-52C-SI/ S5700-24TP-PWR-SI S5700-28C-PWR-SI S5700-48TP-PWR-SI S5700-52C-PWR-SI QoS/ACL Rate limiting on packets sent and received by an interface Packet redirection Port-based traffic policing and two-rate three-color CAR Eight queues on each port WRR, DRR, PQ, WRR+PQ, and DRR+PQ queue scheduling algorithms Re-marking of the 802.1p priority and DSCP priority Packet filtering at Layer 2 to Layer 4, filtering out invalid frames based on the source MAC address, destination MAC address, source IP address, destination IP address, port number, protocol type, and VLAN ID Rate limiting in each queue and traffic shaping on ports Security User privilege management and password protection DoS attack defense, ARP attack defense, and ICMP attack defense Binding of the IP address, MAC address, interface, and VLAN Port isolation, port security, and sticky MAC Blackhole MAC address entries Limit on the number of learned MAC addresses 802.1x authentication and limit on the number of users on an interface AAA authentication, RADIUS authentication, HWTACACS+ authentication, and NAC SSH v2.0 Hypertext Transfer Protocol Secure (HTTPS) CPU defense Blacklist and whitelist Management and maintenance Stacking MAC Forced Forwarding (MFF) Virtual cable test Port mirroring and RSPAN (remote port mirroring) Remote configuration and maintenance by using Telnet SNMP v1/v2/v3 RMON Web NMS HGMP System logs and alarms of different levels GVRP MUX VLAN Operating environment Operating temperature: 0oC–50oC (long term); -5oC–55oC (short term) Relative humidity: 10%–90% (non-condensing) Input voltage AC: Rated voltage range: 100 V to 240 V AC, 50/60 Hz Maximum voltage range: 90 V to 264 V AC, 50/60 Hz DC: Rated voltage range: –48 V to –60 V, DC Maximum voltage range: –36 V to –72 V, DC Note: PoE-support switches do not use DC power supplies. S5700-SI* Item S5700-24TP-SI**/ S5700-28C-SI/ S5700-48TP-SI/ S5700-52C-SI/ S5700-24TP-PWR-SI S5700-28C-PWR-SI S5700-48TP-PWR-SI S5700-52C-PWR-SI Dimensions (W x D x H) S5700-24TP-SI: 442 mm x 220 mm x 43.6 mm Others: 442 mm x 420 mm x 43.6 mm Power consumption Non-PoE: < 40 W PoE: < 455 W (PoE power:370 W) Non-PoE: <56W PoE: <836W (PoE power:740W) Non-PoE: < 64 W PoE: < 907 W (PoE power:740 W) Non-PoE: <78W PoE: <917W (PoE power:740W) *:The S5700 switches of the SI series are collectively called S5700-SI. **:S5700-24TP-SI is short for S5700-24TP-SI-AC and S5700-24TP-SI-DC. As product versions are irrelevant to the power supply mode, the product names mentioned in product specifications do not contain AC or DC. This rule also applies to other product models. Applications On Large-sized Enterprise Networks The S5700-SI can function as an access device on a large-sized or medium-sized enterprise network or an aggregation device on a small-sized campus network. It supports link aggregation and dual-homing to improve network reliability. Internet ISP WAN Internet DMZ Intranet Web server, Email server, DNS server S7700 S5700-SI Office Training center Factory IT Center 7 Product List Product Description S5700-24TP-SI-AC Mainframe(20 GE RJ45,4 GE Combo,AC 110/220V) S5700-24TP-SI-DC Mainframe(20 GE RJ45,4 GE Combo,DC -48V) S5700-48TP-SI-AC Mainframe(44 GE RJ45,4 GE Combo,AC 110/220V) S5700-48TP-SI-DC Mainframe(44 GE RJ45,4 GE Combo,DC -48V) S5700-24TP-PWR-SI Mainframe(20 GE RJ45,4 GE Combo,PoE,Dual Slots of power,Without Power Module) S5700-48TP-PWR-SI Mainframe(44 GE RJ45,4 GE Combo,PoE,Dual Slots of power,Without Power Module) S5700-28C-SI Mainframe(20 GE RJ45,4 GE Combo,Dual Slots of power,Without Flexible Card and Power Module) S5700-52C-SI Mainframe(48 GE RJ45,Dual Slots of power,Without Flexible Card and Power Module) S5700-28C-PWR-SI Mainframe(20 GE RJ45,4 GE Combo,PoE,Dual Slots of Power,Single Slot of Flexible Card,Including Single 500W AC Power) S5700-52C-PWR-SI Mainframe(48 GE RJ45,PoE,Dual Slots of Power,Single Slot of Flexible Card,Including Single 500W AC Power) 4-Port GE SFP Optical Interface Card(Used In S5700-SI & S5710-LI Series)(Including 4-Port GE SFP Optical Interface Card,Extend Channel Card) 2-Port 10GE SFP+ Optical Interface Card 4-Port 10GE SFP+ Optical Interface Card (Including 4-Port 10GE SFP+ Optical Interface Card,Extend Channel Card) Ethernet Stack Interface Card(Including Stack Card,100cm Stack Cable) For more information, visit http://enterprise.huawei.com or contact your local Huawei sales office. 8 9 Copyright © Huawei Technologies Co., Ltd. 2012. All rights reserved. No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Huawei Technologies Co., Ltd. Trademark Notice , HUAWEI, and are trademarks or registered trademarks of Huawei Technologies Co., Ltd. Other trademarks, product, service and company names mentioned are the property of their respective owners. General Disclaimer The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice.
Similar documents
System IPTV i sieć GPON – praktyka wdroŜeń
Queue0 Queue1 Queue2 Queue3 Queue4 Queue5 Queue6 Queue7
More information