HCSV系列交換機(jī)介紹

HCSV系列交換機(jī)介紹第1頁(yè)/共70頁(yè)IP網(wǎng)絡(luò)發(fā)展趨勢(shì)分析IP網(wǎng)絡(luò)從互連互通向多業(yè)務(wù)融合階段過(guò)渡多業(yè)務(wù)融合網(wǎng)絡(luò)要求具有全局的安全策略多業(yè)務(wù)融合網(wǎng)絡(luò)要求具有精細(xì)化管理能力多業(yè)務(wù)融合網(wǎng)絡(luò)對(duì)設(shè)備可靠性提出更高要求多業(yè)務(wù)融合網(wǎng)絡(luò)要求設(shè)備支持一體化接入能力第2頁(yè)/共70頁(yè)網(wǎng)絡(luò)發(fā)展趨勢(shì)分析產(chǎn)品概述產(chǎn)品特性綜述產(chǎn)品重要特性介紹典型組網(wǎng)可維護(hù)性目錄第3頁(yè)/共70頁(yè)H3CS3600V2產(chǎn)品定位產(chǎn)品位于寬帶小區(qū)匯聚、城域網(wǎng)邊緣接入層、中小企業(yè)網(wǎng)核心、大型企業(yè)網(wǎng)絡(luò)的匯聚層以及校園網(wǎng)、金融行業(yè)等接入組網(wǎng)。S3600V2SI系列具有弱三層功能，支持靜態(tài)路由和RIP。作為1000個(gè)節(jié)點(diǎn)以上的寬帶小區(qū)接入、大中型企業(yè)網(wǎng)、教育行業(yè)、金融行業(yè)和零售行業(yè)的接入層設(shè)備，具有較強(qiáng)的吸引力。S3600V2支持豐富的邊緣接入特性，SI系列作為強(qiáng)二層在接入層設(shè)備鏈中獨(dú)領(lǐng)風(fēng)騷；S3600V2EI系列具有強(qiáng)二、三層功能，支持靜態(tài)路由、RIP和OSPF，可以作為企業(yè)網(wǎng)、校園網(wǎng)、行業(yè)網(wǎng)的匯聚或核心層設(shè)備。S3600V2系列交換機(jī)在特性、指標(biāo)和成本方面得到充分的融合，是一款低成本、高性能、能夠綜合滿足客戶較高需求的交換機(jī)?！菊f(shuō)明】EI和SI系列，在部分軟件特性上支持不同，后續(xù)內(nèi)容中不再區(qū)別指出。具體可以參考產(chǎn)品的規(guī)格列表。第4頁(yè)/共70頁(yè)H3CS3600V2產(chǎn)品列表H3CS3600V2總共有9款產(chǎn)品，分EI和SI兩系列EI系列：H3CS3600V2-28TP-EIH3CS3600V2-52TP-EIH3CS3600V2-28TP-PWR-EIH3CS3600V2-52TP-PWR-EIH3CS3600V2-28F-EISI系列：H3CS3600V2-28TP-SIH3CS3600V2-52TP-SIH3CS3600V2-28TP-PWR-SIH3CS3600V2-52TP-PWR-SI第5頁(yè)/共70頁(yè)H3CS3600V2產(chǎn)品H3CS3600V2-28TP-EI/H3CS3600V2-28TP-SI端口配置：24*10/100Base-T+2*1000Base-X/T

Combo+2*GESFP轉(zhuǎn)發(fā)性能：12.8Gbps/9.52Mpps供電方式：交直流一體電源（SI僅提供交流輸入）H3CS3600V2-52TP-EI/H3CS3600V2-52TP-SI端口配置：48*10/100Base-T+2*1000Base-X/TCombo+2*GESFP轉(zhuǎn)發(fā)性能：17.6Gbps/13.09Mpps供電方式：交直流一體電源（SI僅提供交流輸入）第6頁(yè)/共70頁(yè)H3CS3600V2產(chǎn)品H3CS3600V2-28TP-PWR-EI/H3CS3600V2-28TP-PWR-SI端口配置：24*10/100Base-T+2*1000Base-X/T

Combo+2*GESFP轉(zhuǎn)發(fā)性能：12.8Gbps/9.52Mpps供電方式：交直流一體電源H3CS3600V2-52TP-PWR-EI/H3CS3600V2-52TP-PWR-SI端口配置：48*10/100Base-T+2*1000Base-X/TCombo+2*GESFP轉(zhuǎn)發(fā)性能：17.6Gbps/13.09Mpps供電方式：交直流一體電源第7頁(yè)/共70頁(yè)H3CS3600V2產(chǎn)品

H3CS3600V2-28F-EI端口配置：24*100Base-X+2*1000Base-X/T

Combo+2*GESFP轉(zhuǎn)發(fā)性能：12.8Gbps/9.52Mpps供電方式：交直流一體電源第8頁(yè)/共70頁(yè)H3CS3600V2產(chǎn)品接口介紹100Base-FXSFP光口支持下述光模塊100Base-FX-MM-SFP100Base-FX-SM-SFP100Base-FX-SM-LR-SFP100Base-FX-SM-VR-SFP1000Base-XSFP光口支持下述光模塊1000BASE-SX-SFP1000BASE-LX-SFP1000BASE-LH-SFP1000BASE-ZX-LR-SFP1000BASE-ZX-VR-SFP第9頁(yè)/共70頁(yè)H3CS3600V2設(shè)計(jì)和制造遵循業(yè)界最高標(biāo)準(zhǔn)硬件設(shè)計(jì)：

執(zhí)行比業(yè)界標(biāo)準(zhǔn)更加苛刻的公司標(biāo)準(zhǔn)，精細(xì)化設(shè)計(jì)保證所有器件電應(yīng)力和熱應(yīng)力上的充分降額，保證器件工作在廠家要求的應(yīng)力環(huán)境之下，以使器件工作達(dá)到最可靠狀態(tài)同時(shí)壽命最長(zhǎng)。硬件測(cè)試：產(chǎn)品通過(guò)業(yè)界領(lǐng)先的HALT測(cè)試，通過(guò)國(guó)際標(biāo)準(zhǔn)EMC、安規(guī)測(cè)試；通過(guò)低氣壓和海拔測(cè)試，可以達(dá)到-60～4000m；通過(guò)風(fēng)扇壽命測(cè)試；通過(guò)電容ECAP壽命測(cè)試；通過(guò)震動(dòng)跌落測(cè)試；通過(guò)器件的電應(yīng)力和熱應(yīng)力測(cè)試；通過(guò)H3C鑒定中心嚴(yán)格的硬件鑒定測(cè)試。硬件加工：生產(chǎn)中通過(guò)內(nèi)部ICT測(cè)試、FT測(cè)試保證出產(chǎn)設(shè)備可靠運(yùn)行；通過(guò)HASA測(cè)試對(duì)設(shè)備進(jìn)行篩選，使出產(chǎn)設(shè)備適應(yīng)苛刻工作環(huán)境。第10頁(yè)/共70頁(yè)H3CS3600V2通過(guò)EMC、安規(guī)認(rèn)證產(chǎn)品的設(shè)計(jì)遵循業(yè)界最先進(jìn)的標(biāo)準(zhǔn)，S3600V2系列交換機(jī)產(chǎn)品滿足歐盟、北美、德國(guó)、日本、俄羅斯等國(guó)家和地區(qū)最嚴(yán)格的EMC和安規(guī)要求并獲得各國(guó)的權(quán)威認(rèn)證。第11頁(yè)/共70頁(yè)H3CSS3600V2是綠色環(huán)保產(chǎn)品傳統(tǒng)電子產(chǎn)品生產(chǎn)工藝中，大量使用鉛、汞、鎘、六價(jià)鉻、多溴聯(lián)苯（PBB）、多溴聯(lián)苯醚（PBDE）等重金屬和有毒物質(zhì)，對(duì)環(huán)境造成長(zhǎng)期、嚴(yán)重的損害。改進(jìn)工藝所需要的高昂成本和技術(shù)門檻，使得絕大多數(shù)廠商望而卻步。H3C公司依靠強(qiáng)大的技術(shù)實(shí)力，投入巨資研發(fā)和引入世界領(lǐng)先的生產(chǎn)設(shè)計(jì)工藝。S3600V2系列交換機(jī)的設(shè)計(jì)和制造，都嚴(yán)格遵循歐盟頒布的RoHS指令并通過(guò)認(rèn)證，在生產(chǎn)、使用和回收處理過(guò)程中，不會(huì)對(duì)環(huán)境造成污染。RoHS（TheRestrictionoftheuseofcertainHazardoussubstancesinElectnicalandElectronicEquipment）第12頁(yè)/共70頁(yè)H3CS3600V2基于ComwareV5平臺(tái)COMWARE多元安全開放便捷可靠靈活豐富的互聯(lián)網(wǎng)協(xié)議多平臺(tái)多產(chǎn)品支持多平面模塊化設(shè)計(jì)特性可裁減可擴(kuò)展分布式處理理念在線補(bǔ)丁與升級(jí)命令行與界面統(tǒng)一可視化操作與維護(hù)面向服務(wù)體系架構(gòu)對(duì)外開放軟件接口平臺(tái)自身的安全防范整網(wǎng)系統(tǒng)的安全策略第13頁(yè)/共70頁(yè)網(wǎng)絡(luò)發(fā)展趨勢(shì)分析產(chǎn)品概述產(chǎn)品特性綜述產(chǎn)品重要特性介紹典型組網(wǎng)可維護(hù)性目錄第14頁(yè)/共70頁(yè)H3CS3600V2產(chǎn)品主要特色高擴(kuò)展性：

強(qiáng)大的QACL功能:千兆SFP光口支持1000M光模塊、1000MBIDI光模塊。百兆SFP光口支持100M光模塊、100MBIDI光模塊。支持千兆光口/電口堆疊，用戶可以實(shí)現(xiàn)最大9臺(tái)設(shè)備堆疊，提供更高端口密度，實(shí)現(xiàn)網(wǎng)絡(luò)的平滑擴(kuò)容。支持出入雙向ACL、VLANACL，支持IPv6ACL，可以對(duì)報(bào)文進(jìn)行深度識(shí)別，最高達(dá)384位;支持對(duì)多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管CAR（支持雙速三色和單速雙色標(biāo)記器，雙向CAR）、擁塞控制方法（WRED、Tail-Drop）、隊(duì)列調(diào)度（SP、WRR、SP+WRR）、優(yōu)先級(jí)標(biāo)記及優(yōu)先級(jí)映射（802.1P、DSCP），支持基于端口/端口隊(duì)列輸出流整形等功能，支持報(bào)文重定向，支持基于流的鏡像和端口鏡像(N:4)。第15頁(yè)/共70頁(yè)H3CS3600V2產(chǎn)品主要特色

完備的安全控制能力：多重可靠性保護(hù):設(shè)備安全：支持硬件級(jí)防DOS攻擊，通過(guò)主動(dòng)檢測(cè)攻擊報(bào)文和避免非法報(bào)文上CPU兩種手段增強(qiáng)了設(shè)備的抗攻擊能力，支持SSHv2、Https、SFTP、SNMPv3等協(xié)議網(wǎng)絡(luò)安全：支持EAD和PORTAL,支持端口安全、端口隔離，支持IPSourceGuard/ARPDetection/uRPF/Tripleauthentication，支持802.1x和集中MAC認(rèn)證，支持動(dòng)態(tài)下發(fā)VLAN和ACL。硬件可靠性：支持冗余電源；支持電源、風(fēng)扇故障檢測(cè)和告警，支持過(guò)溫告警和過(guò)溫保護(hù)，能根據(jù)溫度變化自動(dòng)調(diào)整風(fēng)扇轉(zhuǎn)速，支持兩級(jí)風(fēng)扇轉(zhuǎn)速。二層可靠性：支持RRPP、SmartLink/MonitorLink、MSTP、LACP、DLDP等。三層可靠性：支持VRRP、ECMP、BFD、GR等。第16頁(yè)/共70頁(yè)H3CS3600V2產(chǎn)品主要特色I(xiàn)PV6業(yè)務(wù)能力：豐富的管理能力:設(shè)備管理：支持Cluster/WEB/iMC/CLI/TELNET等多種管理手段網(wǎng)絡(luò)管理：支持LLDP、OAM、CFM、DLDP、NQA、RSPAN、sFlow、VCT.IPv6路由協(xié)議——IPv6靜態(tài)路由/RIPng/OSPFV3/BGP4+forIPv6/IS-ISv6IPv6組播協(xié)議——MLDv1/2、MLDSnoopingv1/2、PIM-DM/SM/SSMforIPV6/IPv6組播vlan、MBGPforIPV6IPv6隧道技術(shù)——手工配置隧道/自動(dòng)6to4隧道/ISTAP隧道IPv6訪問(wèn)控制——支持IPv6ACL第17頁(yè)/共70頁(yè)H3CS3600V2軟件特性概述IPV4unicastIPV6unicastRIPngOSPFv3BGP4+forIPv6ISISv6PBR(策略路由）ECMPMCEISATAPTunnelManualTunnel6to4TunnelL2RIPOSPFOSPFv3BGPISISDHCPRelay/ServerPBR(策略路由）ECMPMCEARPProxyUDPHelperBFDPortIsolateMSTP/RSTPLACPGVRPVoiceVLANMacBasedVLANProtocolBasedVLANIPsubnetBasedVLANFlowIntervalStormConstrainSelectiveQINQVLANMappingRSPAN第18頁(yè)/共70頁(yè)H3CS3600V2軟件特性概述IPv6multicastSecurityARPDetectionIPSourceGuard802.1XPortSecurityEADPORTALPKISSH2.0HWTACACS+uRPFRadiusBootromAccessControlIP4multicastMLDsnoopingv1/2MLDv1/2PIM-SM/DM/SSMforIPv6MVRforIPv6MVR+forIPv6MBGPforIPv6IGMPsnoopingv1/2/3IGMPv1/2/3MVRMVR+PIM-DMPIM-SMPIM-SSMMSDPMBGP第19頁(yè)/共70頁(yè)H3CS3600V2軟件特性概述(續(xù))HA(高可靠性)QACL流標(biāo)記/重定向/鏡像針對(duì)范圍四層端口號(hào)關(guān)注三色雙速WRR,WRR+SP,SP調(diào)度模式出入雙方向ACLVLANACLGlobalACLWREDShapingManagementLLDPsFlowNQADLDPVCTLoopDetectionHGMPV2WebiMCOAM(802.3ah)CFD(802.12ag)VRRPVRRPv3ECMPGRforOSPF/BGPBFDRRPPSmartLinkLACPIRF第20頁(yè)/共70頁(yè)網(wǎng)絡(luò)發(fā)展趨勢(shì)分析產(chǎn)品概述產(chǎn)品特性綜述產(chǎn)品重要特性介紹典型組網(wǎng)及應(yīng)用可維護(hù)性目錄第21頁(yè)/共70頁(yè)S3600V2的堆疊特性IRF簡(jiǎn)介31IRF原理、拓?fù)浣榻B選舉規(guī)則32IRFMaster選舉規(guī)則加入規(guī)則34新設(shè)備加入、合并規(guī)則數(shù)據(jù)備份規(guī)則35配置數(shù)據(jù)、協(xié)議數(shù)據(jù)備份規(guī)則IRF與V3差異36與V3平臺(tái)堆疊特性對(duì)比報(bào)文轉(zhuǎn)發(fā)原理33設(shè)備內(nèi)、跨設(shè)備報(bào)文轉(zhuǎn)發(fā)原理第22頁(yè)/共70頁(yè)IRF簡(jiǎn)介IRF2.0(IntelegentResilentFabric)是H3C公司開發(fā)的新一代具有高度擴(kuò)展性、可靠性的智能網(wǎng)絡(luò)架構(gòu)。支持IRF技術(shù)的S3600V2交換機(jī)互連在一起，便可以形成一個(gè)邏輯的交換機(jī)架構(gòu)，這種交換架構(gòu)既具有盒式交換機(jī)的低成本，又有框式分布式交換機(jī)的擴(kuò)展性和高可靠性。S3600V2交換機(jī)支持鏈型、環(huán)形拓?fù)?，環(huán)形拓?fù)湓谝粭l鏈路斷掉的情況下可以變?yōu)殒溞屯負(fù)?，網(wǎng)絡(luò)轉(zhuǎn)發(fā)保持正常。第23頁(yè)/共70頁(yè)IRF選舉規(guī)則S3600V2交換機(jī)最多支持9臺(tái)設(shè)備堆疊，9臺(tái)設(shè)備形成1:8備份，一個(gè)Master,8臺(tái)Slave;Master是成員設(shè)備的一種，它負(fù)責(zé)管理整個(gè)堆疊；一個(gè)堆疊中同一時(shí)刻只能有一臺(tái)成員設(shè)備成為Master設(shè)備。堆疊拓?fù)浣⒑笮枰獜某蓡T設(shè)備中選舉Master，Master選舉按照如下規(guī)則進(jìn)行，優(yōu)先級(jí)從上到下：當(dāng)前Master優(yōu)于非Master成員；成員優(yōu)先級(jí)大的優(yōu)先；系統(tǒng)運(yùn)行時(shí)間長(zhǎng)的優(yōu)先；成員橋MAC小的優(yōu)先。以上規(guī)則適應(yīng)于堆疊建立、新設(shè)備加入、堆疊合并等情形。第24頁(yè)/共70頁(yè)IRF報(bào)文轉(zhuǎn)發(fā)原理(1)IRF2.0系統(tǒng)中實(shí)現(xiàn)了全分布式的轉(zhuǎn)發(fā)，最大限度的發(fā)揮了每個(gè)成員的處理能力。組成虛擬設(shè)備堆疊系統(tǒng)中的各物理設(shè)備均有完整的轉(zhuǎn)發(fā)表項(xiàng)，可以分別獨(dú)立完成查表轉(zhuǎn)發(fā)。當(dāng)一個(gè)報(bào)文流的入接口與出接口在同一個(gè)物理設(shè)備時(shí)，報(bào)文僅在這一個(gè)物理設(shè)備進(jìn)行處理。報(bào)文在設(shè)備內(nèi)轉(zhuǎn)發(fā)第25頁(yè)/共70頁(yè)IRF報(bào)文轉(zhuǎn)發(fā)原理(2)當(dāng)一個(gè)報(bào)文流的入接口與出接口不在同一個(gè)物理設(shè)備時(shí)，系統(tǒng)會(huì)按照最優(yōu)的路徑進(jìn)行轉(zhuǎn)發(fā)。對(duì)于組播報(bào)文，每個(gè)成員只會(huì)根據(jù)本成員需要復(fù)制報(bào)文，保證設(shè)備間只有一份報(bào)文傳送。報(bào)文跨設(shè)備轉(zhuǎn)發(fā)組播報(bào)文跨設(shè)備轉(zhuǎn)發(fā)第26頁(yè)/共70頁(yè)IRF設(shè)備加入規(guī)則堆疊維護(hù)過(guò)程中，繼續(xù)進(jìn)行拓?fù)涫占ぷ?，?dāng)發(fā)現(xiàn)有新的成員設(shè)備加入時(shí)會(huì)重新進(jìn)行角色選舉，根據(jù)情況采用以下的某種處理方式：堆疊已經(jīng)形成，新設(shè)備加入(上電)，該新設(shè)備的角色為Slave，不會(huì)進(jìn)行角色選舉。堆疊已經(jīng)形成，新設(shè)備加入（它們已經(jīng)形成了堆疊），即兩個(gè)堆疊各自已經(jīng)形成，將這兩個(gè)堆疊使用堆疊電纜連接起來(lái)，這個(gè)過(guò)程稱為堆疊合并（merge）。合并的情況下，兩個(gè)堆疊會(huì)進(jìn)行堆疊競(jìng)選，競(jìng)選失敗的一方所有堆疊成員設(shè)備會(huì)重啟，然后全部作為Slave設(shè)備加入競(jìng)選獲勝的一方。如果成員設(shè)備加入成功，對(duì)堆疊系統(tǒng)來(lái)說(shuō)，相當(dāng)于增加一個(gè)備用主控板以及此板上的接口等物理資源。新設(shè)備加入和堆疊合并時(shí)，為防止對(duì)原堆疊設(shè)備造成影響，建議對(duì)新加入設(shè)備重新上電，然后加入堆疊系統(tǒng)。第27頁(yè)/共70頁(yè)數(shù)據(jù)備份規(guī)則保存配置時(shí)，配置文件會(huì)保存在所有設(shè)備上。配置恢復(fù)時(shí)只使用master上的配置。協(xié)議熱備份是設(shè)備級(jí)1:N備份的基礎(chǔ)，它負(fù)責(zé)將協(xié)議的配置信息以及支撐協(xié)議運(yùn)行的數(shù)據(jù)（比如狀態(tài)機(jī)或者會(huì)話表項(xiàng)等）備份到其它所有成員設(shè)備，從而使得堆疊系統(tǒng)能夠作為一臺(tái)獨(dú)立的設(shè)備在網(wǎng)絡(luò)中運(yùn)行。路由協(xié)議采用GR保證轉(zhuǎn)發(fā)的連續(xù)性和協(xié)議的正常工作。第28頁(yè)/共70頁(yè)S3600V2的高可靠特性以太網(wǎng)鏈路聚合技術(shù)(LACP)31聚合鏈路故障/恢復(fù)收斂時(shí)間小于500毫秒等價(jià)多路徑(ECMP)32鏈路故障/恢復(fù)時(shí)，流量切換幾近不丟包鏈路單通檢測(cè)(DLDP)33DLDP檢測(cè)可在2秒內(nèi)完成，快于UDLD快速環(huán)網(wǎng)保護(hù)協(xié)議RRPP35環(huán)網(wǎng)200ms～500ms倒換保障，光口可達(dá)50msVRRP36網(wǎng)關(guān)冗余備份和負(fù)載分擔(dān)軟件熱補(bǔ)丁功能34在線修改軟件BUG或增加小規(guī)模新特性第29頁(yè)/共70頁(yè)RRPP增強(qiáng)特性S3600V2支持基于Vlan的RRPP多實(shí)例負(fù)載分擔(dān)，有效利用帶寬；硬件支持基于VLAN（每個(gè)實(shí)例）維護(hù)MAC表項(xiàng)；RRPP環(huán)支持鏈路聚合，有效擴(kuò)展鏈路帶寬。RingMasterTransitS3600V2X正常情況下，流量根據(jù)Vlan分組，從不同方向傳輸，有效利用帶寬當(dāng)一個(gè)方向上的鏈路中斷，原有這個(gè)方向上的流量切換到另一個(gè)方向上，保證業(yè)務(wù)不受影響第30頁(yè)/共70頁(yè)端口環(huán)回檢測(cè)LDT:LoopbackDetectionLDT虛環(huán)回監(jiān)測(cè)的目的是監(jiān)測(cè)交換機(jī)的端口是否出現(xiàn)環(huán)路。當(dāng)用戶開啟以太網(wǎng)端口的環(huán)回監(jiān)測(cè)功能后，交換機(jī)便定時(shí)監(jiān)測(cè)各個(gè)端口是否被外部環(huán)回。如果發(fā)現(xiàn)某端口被環(huán)回，交換機(jī)會(huì)將該端口處于受控工作狀態(tài)。如果系統(tǒng)發(fā)現(xiàn)端口被環(huán)回，則關(guān)閉該端口，并向上報(bào)Trap信息，同時(shí)刪除該端口對(duì)應(yīng)的MAC地址轉(zhuǎn)發(fā)表項(xiàng)。[H3C-3600V2]loopback-detectionenable[H3C-3600V2]displayloopback-detectionPortloopback-detectionisrunningSystemLoopback-detectionisrunningDetectionintervaltimeis30secondsLoopbacklinkisDectectedTheLoopbacklinkisPort3時(shí)間可設(shè)置第31頁(yè)/共70頁(yè)虛擬電纜檢測(cè)XS3600V2可以檢測(cè)檢測(cè)電纜短路和短路故障距離優(yōu)點(diǎn)：易于維護(hù)和定位減少工作量S3100第32頁(yè)/共70頁(yè)熱補(bǔ)丁S3600V2實(shí)現(xiàn)在不復(fù)位設(shè)備的前提下，在線修改軟件BUG或增加新特性提供控制命令，使用戶能夠方便的加載/激活/去激活/運(yùn)行/刪除補(bǔ)丁單元熱補(bǔ)丁工作狀態(tài)轉(zhuǎn)換圖示4種狀態(tài)，使用更加靈活第33頁(yè)/共70頁(yè)S3600V2的安全特性IPsourceguard31阻止主機(jī)盜用鄰居的IP地址產(chǎn)生的流量攻擊ARP入侵檢測(cè)和ARP防欺騙32防范網(wǎng)絡(luò)中的ARP攻擊802.1X認(rèn)證、集中MAC認(rèn)證34通過(guò)認(rèn)證控制用戶接入網(wǎng)絡(luò)

單播反向路徑檢查（uRPF）38防止IP地址欺騙攻擊大容量雙向ACL和VLANACL39確保對(duì)網(wǎng)絡(luò)訪問(wèn)權(quán)限進(jìn)行嚴(yán)格的控制CPU防攻擊33有效防止對(duì)CPU、設(shè)備表項(xiàng)、協(xié)議等的攻擊

HWTACACS+,SSH2.035提供安全的接入和認(rèn)證PortSecurity36防止非法用戶接入網(wǎng)絡(luò)STP防攻擊36支持BPDUguard和RootGuard第34頁(yè)/共70頁(yè)IPsourceguard

IPsourceguardIPsourceguard功能基于DHCPsnooping獲取的綁定數(shù)據(jù)基于手工配置的源IP綁定用源IP和MAC地址過(guò)濾

阻止主機(jī)盜用鄰居的IP地址產(chǎn)生的流量攻擊。PC-1PC-2PC-3DHCPserverDHCPsnooping創(chuàng)建IP+MAC+PORT或IP+PORT綁定表項(xiàng)IP1+MAC1+PORT1IP2+MAC2+PORT2DHCP獲取IP1DHCP獲取IP2DHCP獲取IP3IP3+MAC3+PORT3PC1用假IP,不是IP1,交換機(jī)丟棄報(bào)文第35頁(yè)/共70頁(yè)ARPDetctionARPDetction功能：接口可以配置是否信任狀態(tài)ARP協(xié)議報(bào)文限速動(dòng)態(tài)綁定DHCPSnooping表項(xiàng)PC-1PC-2DHCPserverS3600V2丟棄大于用于配置的ARP報(bào)文S3600V2分析每一個(gè)ARP報(bào)文，對(duì)于非法的ARP報(bào)文將丟棄。第36頁(yè)/共70頁(yè)STP防攻擊發(fā)送BPDU信息變成根橋ROOTROOT阻塞STP攻擊：攻擊者可以看到他不應(yīng)看到網(wǎng)絡(luò)拓?fù)湫畔⒈M管STP會(huì)考慮鏈路的速度，但總是從根橋的角度出發(fā)，攻擊者會(huì)將千兆的骨干變成10兆的半雙工BPDU保護(hù)不允許端口參與STP，確保非信任的端口一旦收到其他交換機(jī)的BPDU信息就關(guān)閉此端口，以防止非法交換機(jī)的接入ROOT保護(hù)則是防止新加入的交換機(jī)成為ROOT，若新加入的交換機(jī)想成為ROOT，則此端口停止工作BPDUROOT阻塞BPDU保護(hù)BPDU保護(hù)ROOT保護(hù)BPDU第37頁(yè)/共70頁(yè)802.1x認(rèn)證1.用戶發(fā)起認(rèn)證。4.認(rèn)證完成后用戶從DHCPserver獲取IP地址.S3600V2DHCPServerRadiusServer5.用戶獲取IP地址后可以正常訪問(wèn)網(wǎng)絡(luò)。3.交換機(jī)到RadiusServer完成認(rèn)證.2.在認(rèn)證以前用戶不能獲取IP，不能訪問(wèn)任何地方。CoreNetwork

擴(kuò)展的802.1x認(rèn)證功能基于端口/MAC認(rèn)證支持EAPrelay功能支持802.1xEAP認(rèn)證第38頁(yè)/共70頁(yè)P(yáng)ortSecurityNTK(Needtoknow):通過(guò)檢查端口輸出報(bào)文的目的MAC地址，NTK能保證只有通過(guò)認(rèn)證的設(shè)備能接收到數(shù)據(jù)報(bào)文，防止數(shù)據(jù)被截取。入侵保護(hù):

通過(guò)檢查端口輸入報(bào)文的源MAC地址或802.1X認(rèn)證的用戶名和密碼，入侵保護(hù)功能檢測(cè)非法報(bào)文和事件并采取相應(yīng)的動(dòng)作。這些動(dòng)作包括暫時(shí)或永久的斷開端口、用MAC地址過(guò)濾報(bào)文，從而保證端口安全。設(shè)備跟蹤:

當(dāng)用戶發(fā)送特定類型的報(bào)文(非法入侵，不正確的登陸方式),交換機(jī)發(fā)送Trap信息協(xié)助管理員監(jiān)控這些行為。第39頁(yè)/共70頁(yè)VLANACLS3600V2支持基于VLAN的ACL，用戶通過(guò)對(duì)VLAN配置ACL動(dòng)作，從而實(shí)現(xiàn)對(duì)VLAN內(nèi)所有端口的訪問(wèn)控制VLAN-ACL使用戶能夠更加方便地管理網(wǎng)絡(luò)，同時(shí)大大節(jié)省了ACL資源。SwitchVLAN10VLAN20VACLVACLappliedtotrafficbridgedwithinaVLANSwitchVLAN10VLAN20VACLappliedtotrafficroutedbetweenVLAN’sVACL第40頁(yè)/共70頁(yè)S3600V2的多業(yè)務(wù)特性IPv6業(yè)務(wù)31支持豐富的IPV6路由協(xié)議和多播協(xié)議IPv6tunnel32支持手動(dòng)Tunnel,6to4Tunnel,ISATAPTunnelVoiceVlan33DLDP檢測(cè)可在2秒內(nèi)完成，快于UDLD支持MCE35多用戶共享CE設(shè)備，支持邏輯獨(dú)立的路由實(shí)例和地址空間。支持POE供電36支持IPPhone、無(wú)線AP等多種設(shè)備接入多種VLAN類型34支持Port/Mac/Protocol/subnetbasedVlan第41頁(yè)/共70頁(yè)IPv6業(yè)務(wù)能力IPv6路由協(xié)議——IPv6靜態(tài)路由/RIPng/OSPFV3/BGP+/IS-ISv6IPv6組播協(xié)議——MLD/MLDSnooping/PIM6/IPv6組播vlanIPv6隧道技術(shù)——手工配置隧道/自動(dòng)6to4隧道/ISTAP隧道IPv6訪問(wèn)控制——支持IPv6的訪問(wèn)控制列表IPv6NetworkIPv4Network第42頁(yè)/共70頁(yè)IPv4/IPv6多播管理S3600V2支持igmp-snooping和MLD-snoopingS3600V2支持igmp、PIM-DM/SM、PIM-SSM、MSDP最大支持1024IGMP多播組支持IGMPgrouppolicy支持IGMPgrouplimit支持組播VLAN+S3600V2VODServerVideostreamS3600V2VODServerVideostreamVLAN10VLAN20VLAN30VLAN10VLAN20VLAN30S7500-EIS7500-EI不支持組播VLAN+的組播報(bào)文轉(zhuǎn)發(fā)TV1streaminvlan-10TV1streaminvlan-20TV1streaminvlan-30TV1streaminvlan-100支持組播VLAN+的組播報(bào)文轉(zhuǎn)發(fā)第43頁(yè)/共70頁(yè)IPv6TunnelIPv6隧道機(jī)制是將IPv6數(shù)據(jù)報(bào)文前封裝上IPv4的報(bào)文頭，通過(guò)隧道（Tunnel）使IPv6報(bào)文穿越IPv4網(wǎng)絡(luò)，實(shí)現(xiàn)隔離的IPv6網(wǎng)絡(luò)的互通。S3600V2支持下面的隧道類型：

manualTunnel,6to4Tunnel,ISATAPTunnel第44頁(yè)/共70頁(yè)VoiceVLANVoicevlanDataQueue1DataQueue2S3600V2VoiceQueue

通過(guò)識(shí)別端口的語(yǔ)音流，將對(duì)應(yīng)的接入端口加入VoiceVLAN中，為語(yǔ)音流量提供專門通道，并自動(dòng)下發(fā)優(yōu)先級(jí)規(guī)則保證語(yǔ)音流的優(yōu)先傳輸來(lái)保證通話質(zhì)量。VoiceDataOtherData支持自動(dòng)識(shí)別多達(dá)16家IPPhonevendors，提供數(shù)據(jù)、語(yǔ)音融合的解決方案！S3600V2第45頁(yè)/共70頁(yè)基于MAC的VLANS3600V2可以根據(jù)終端的MAC地址動(dòng)態(tài)分配交換機(jī)端口的VLANID，無(wú)須客戶端和用戶名基于MAC的VLAN特性為用戶提供了最簡(jiǎn)單易用的認(rèn)證方式，提高了網(wǎng)絡(luò)的安全性第46頁(yè)/共70頁(yè)高可靠的MCE客戶可以通過(guò)一臺(tái)做CE的H3CS3600V2設(shè)備接入高達(dá)64個(gè)VPN的用戶H3CS3600V2為政府和電力的用戶提供具有冗余電源的高可靠MCE設(shè)備、可廣泛應(yīng)用于政府三四級(jí)網(wǎng)和電力調(diào)度網(wǎng)的建設(shè)。第47頁(yè)/共70頁(yè)EAD安全準(zhǔn)入控制S3600V2支持EAD特性，對(duì)不符合安全策略的用戶隔離嚴(yán)格，可以有效防止來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部的安全威脅。通過(guò)EAD客戶端的自動(dòng)升級(jí)控制，也增強(qiáng)了企業(yè)內(nèi)部用戶PC系統(tǒng)的安全性。802.1x接入與CAMS配合可以支持豐富的ACL授權(quán)和VLAN授權(quán)，綁定用戶的接入端口、IP地址等，實(shí)現(xiàn)更細(xì)粒度地控制用戶訪問(wèn)。第48頁(yè)/共70頁(yè)S3600V2的管理特性Telnet本地和遠(yuǎn)程維護(hù)32提供方便可靠的遠(yuǎn)程訪問(wèn)方式，方便用戶遠(yuǎn)程管理SNMPv1,2,333支持標(biāo)準(zhǔn)的MIB，兼容多種管理軟件iMC智能網(wǎng)管中心35實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的端到端管理HGMPV234支持設(shè)備集群管理，簡(jiǎn)化操作，提高可維護(hù)性WEB網(wǎng)管32可視化的WEB管理，支持IRF等豐富的特性第49頁(yè)/共70頁(yè)網(wǎng)絡(luò)資源、用戶的融合智能管理iMC拓?fù)洳粌H展示了網(wǎng)絡(luò)資源的連接關(guān)系，更表現(xiàn)出網(wǎng)絡(luò)資源被使用的情況網(wǎng)絡(luò)管理軟件功能與接入認(rèn)證的統(tǒng)一融合第50頁(yè)/共70頁(yè)采用HGMP協(xié)議進(jìn)行管理，可以簡(jiǎn)化操作，提高可維護(hù)性，一個(gè)集群只需要一個(gè)管理IP地址。自動(dòng)配置管理自動(dòng)拓?fù)浒l(fā)現(xiàn)鏈路層交互信息下掛設(shè)備即插即用高擴(kuò)展性…...集群network網(wǎng)管00命令交換機(jī)成員交換機(jī)成員交換機(jī)成員交換機(jī)備份交換機(jī)候選交換機(jī)集群管理HGMPv2第51頁(yè)/共70頁(yè)網(wǎng)絡(luò)發(fā)展趨勢(shì)分析產(chǎn)品概述產(chǎn)品特性綜述產(chǎn)品重要特性介紹典型組網(wǎng)及應(yīng)用可維護(hù)性目錄第52頁(yè)/共70頁(yè)中小型企業(yè)中的IRF組網(wǎng)應(yīng)用InformationCenterServerFarmS5800S3600V2S3600V2S3600V2IRFInternet/VPNFireWallIRFIRFFabricLinkAggregationIRF技術(shù)可提供9臺(tái)交換機(jī)互連，按需擴(kuò)展端口密度IRF可以實(shí)現(xiàn)對(duì)整個(gè)結(jié)構(gòu)(Fabric)進(jìn)行方便的CONSOLE,TELNET,WEB,SNMP管理，大大簡(jiǎn)化對(duì)數(shù)量龐大的接入層交換機(jī)的管理和維護(hù)IRF技術(shù)中對(duì)新添加到堆疊結(jié)構(gòu)中的交換機(jī)單元進(jìn)行自動(dòng)配置和版本檢查，大大簡(jiǎn)化接入層交換機(jī)的安裝和部署動(dòng)態(tài)識(shí)別語(yǔ)音流，自動(dòng)加入voicevlan并啟用QoS優(yōu)先級(jí)，阻斷非語(yǔ)音流量CallAgent第53頁(yè)/共70頁(yè)大型企業(yè)中的IRF組網(wǎng)應(yīng)用InformationCenterServerFarmServerFarmBackupCenterBodyshopPanitShopAssemblyShopS8500S8500S5800S5800S5800S3600V2IRFInternet/VPNFireWallIRFFabricLinkAggregation第54頁(yè)/共70頁(yè)IRF技術(shù)在接入層的具體應(yīng)用

核心網(wǎng)絡(luò)教學(xué)、科研樓及教職工和學(xué)生宿舍樓圖書館、餐廳和操場(chǎng)等開放空間3600V2堆疊3600V2堆疊第55頁(yè)/共70頁(yè)網(wǎng)絡(luò)發(fā)展趨勢(shì)分析產(chǎn)品概述產(chǎn)品特性綜述產(chǎn)品重要特性介紹典型組網(wǎng)及應(yīng)用可維護(hù)性目錄第56頁(yè)/共70頁(yè)內(nèi)存問(wèn)題定位——如何確定內(nèi)存占用情況一系統(tǒng)內(nèi)存會(huì)分成32、64、128、256等大小字節(jié)塊進(jìn)行管理[H3C-hidecmd]_displaymemorySliceMemoryUsage:BlockSize32Free534Used54122Total54656BlockSize64Free233Used72781Total73014BlockSize128Free17Used19119Total19136BlockSize256Free64Used3909Total3973BlockSize512Free121Used344Total465BlockSize1024Free66Used746Total812BlockSize2048Free19Used485Total504BlockSize4096Free43Used481Total524-----------------------------Summary--------------------------------Used(Byte)13741312Free1097Used151987Total153084TotalSliceAllocatedSize:19639680bytesUsedRatio:69TotalSliceMemory(IncludeControlDataandFreeSlice):19639680bytesRawSliceMemoryUsage:TotalUsedSize:46385167bytesNum:604TotalRawSliceSize(IncludeControlDataandFreeSlice):46951592bytesUsedRatio:98Partition0TotalMemory(bytes):145279360第57頁(yè)/共70頁(yè)內(nèi)存問(wèn)題定位——如何確定內(nèi)存占用情況二可以通過(guò)顯示不同大小塊的內(nèi)存細(xì)節(jié)，來(lái)判斷系統(tǒng)各部分使用的內(nèi)存情況[H3C-hidecmd]_displaymemory128group(cc10,38)(cc1d,85)(cc08,3)(0806,22)(cc09,2)(cc04,1)(cc05,50)(cc1c,1)(0846,2)(0801,1)(0110,141)(02b2,1)(0830,2)(0214,25)(0216,17171)(0283,2)(0240,255)(0833,1)(060f,130)(060c,1)(0610,2)(0616,1)(0614,1)(0213,18)(0218,2)(0280,1)(0260,1)(0920,63)(0342,867)(0446,60)(040c,1)(0341,1)(04e3,4)(0344,28)(0347,1)(034a,2)(034d,1)(0501,3)(0490,3)(0101,1)(0515,1)(0102,2)(0125,1)(0680,1)(0600,1)(0230,55)(04a0,5)(0348,1)(0802,54)(cc0b,1)(0340,1)(0525,1)(0215,1)(0000,0)(0000,0)(0000,0)這個(gè)命令顯示相應(yīng)分塊大小內(nèi)存的使用情況，比如這里顯示的是128字節(jié)的內(nèi)存使用情況這里每個(gè)括號(hào)中第一列使用內(nèi)存的模塊號(hào)，第二列為該模塊使用內(nèi)存塊的數(shù)量第58頁(yè)/共70頁(yè)內(nèi)存問(wèn)題定位——如何確定內(nèi)存占用情況三各模塊號(hào)的含義_displaymemoryXXXgroup顯示的內(nèi)存信息中，模塊號(hào)一共4位，前兩位代表的含義如下：0x01操作系統(tǒng)0x02命令行、文件系統(tǒng)等0x03QACL、二層協(xié)議等0x04MAC、ARP等0x05FTP、TFTP、TCP等IP應(yīng)用層0x06路由、組播等0x07MPLS0x081X、MAC認(rèn)證等安全模塊0x09MIB0x0avoice0xcc驅(qū)動(dòng)使用0xcd高端內(nèi)存第59頁(yè)/共70頁(yè)內(nèi)存問(wèn)題定位——問(wèn)題解決在定位出具體哪個(gè)模塊占用內(nèi)存較多的情況下，通過(guò)重點(diǎn)分析相關(guān)部分的配置和網(wǎng)絡(luò)應(yīng)用，來(lái)解決內(nèi)存過(guò)高的問(wèn)題。比如如果路由模塊占用內(nèi)存較多，可以查看系統(tǒng)中路由條數(shù)。如果路由條數(shù)較多，可以考慮減少路由；如果安全模塊占用內(nèi)存較多，可以查看系統(tǒng)認(rèn)證通過(guò)的用戶數(shù)。第60頁(yè)/共70頁(yè)端口丟包問(wèn)題定位物理鏈路質(zhì)量不高網(wǎng)線質(zhì)量不好或接口沒(méi)有插牢，導(dǎo)致出現(xiàn)錯(cuò)包：可以通過(guò)查看接口狀態(tài)確認(rèn)：<H3C>displayinterfaceEthernet1/0/36Ethernet1/0/36currentstate:UPIPPacketFrameType:PKTFMT_ETHNT_2,HardwareAddress:000f-e200-002b……Last300secondsoutput:0packets/sec10bytes/sec0%Input(total):57packets,7838bytes0unicasts,50broadcasts,2multicasts,0pausesInput(normal):52packets,-bytes0unicasts,50broadcasts,2multicasts,0pauses

Input:5inputerrors,0runts,0giants,0throttles

5CRC,0frame,-overruns,0aborts-ignored,-parityerrors……第61頁(yè)/共70頁(yè)端口丟包問(wèn)題定位報(bào)文被acl丟棄檢查端口、vlan以及全局下是否配置acl或policy：如果配置了acl或policy，請(qǐng)檢查端口進(jìn)入的報(bào)文是否匹配了acl而被丟棄，包括端口下的packet-filter、qospolicy，vlanpolicy以及globalpolicy；檢查是否被一些特性下發(fā)的acl丟棄：端口是否配置user-bind或ipcheck端口是否配置了potal端口是否使能了EAD快速部署端口所在vlan是否配置了MFF端口被協(xié)議設(shè)置為block被stp設(shè)置為discarding狀態(tài)：端口被stp設(shè)置為discarding，這時(shí)數(shù)據(jù)報(bào)文會(huì)被丟棄；為聚合組中inactive狀態(tài)的端口：如果端口屬于某個(gè)聚合組，而該端口為inactive狀態(tài)，則該端口無(wú)法收發(fā)數(shù)據(jù)報(bào)文；端口被RRPP阻塞；端口被Smartlink阻塞；第62頁(yè)/共70頁(yè)端口丟包問(wèn)題定位：由于端口配置而丟包端口不在vlan中：端口不在pvid中，從該端口進(jìn)入的untag報(bào)文會(huì)被丟棄；而對(duì)于從端口進(jìn)入Tag報(bào)文，如果端口沒(méi)有包含在這個(gè)vlan中，也會(huì)被丟棄；黑洞mac：報(bào)文匹配了黑洞mac；匹配缺省路由被丟棄端口限速、風(fēng)暴抑制等第63頁(yè)/共70頁(yè)CPU占用率高問(wèn)題現(xiàn)象設(shè)備上CPU高一般表現(xiàn)為命令行響應(yīng)較慢，并且以下命令顯示CPU占用率較高。如下，可以發(fā)現(xiàn)堆疊環(huán)境中slot3設(shè)備CPU最近5秒占有率較高（非堆疊環(huán)境同樣適用）：<H3C>discpuSlot1CPUusage:6%inlast5seconds6%inlast1minute7%inlast5minutes

Slot3CPUusage:60%inlast5seconds4%inlast1minute4%inlast5minutes<H3C>第64頁(yè)/共70頁(yè)CPU占用率高問(wèn)題原因CPU高可能原因可以分為幾類：復(fù)雜網(wǎng)絡(luò)中協(xié)議震蕩導(dǎo)致CPU運(yùn)算繁忙；協(xié)議報(bào)文攻擊導(dǎo)致CPU頻繁處理該協(xié)議報(bào)文；大流量上CPU攻擊導(dǎo)致CPU收包繁忙對(duì)以上三種原因，可以通過(guò)本文介紹方法初步定位CPU占用率高原因，并相應(yīng)優(yōu)化網(wǎng)絡(luò)或排除攻擊。確認(rèn)CPU占用率高任務(wù)顯示當(dāng)前環(huán)境CPU占用率顯示CPU占用率高具體任務(wù)報(bào)文攻擊定位方法顯示設(shè)備收包信息顯示軟件防攻