華為交換機虛擬化解決方案

圖1-1規(guī)則連接起來。集群口連接規(guī)則是固定的，所有集群口都要插上集群線纜，不能隨意連接。對于集群卡連接方式，單臺設(shè)備上必須配置兩塊同類型的SRU主控板，即都是SRUA或都是SRUB；兩臺設(shè)備之間可配不同類型的SRU主控板；S7700系列交換機支持集群卡集群方式；四、業(yè)務(wù)口方式的線纜連接集群成員交換機之間經(jīng)過LPU上的普通業(yè)務(wù)口連接。將LPU上的業(yè)務(wù)口配置為集群物理成員端口后加入邏輯集群端口，經(jīng)過SFP+光模塊和光纖或SFP+集群線纜將集群物理成員端口按照下圖規(guī)則連接起來。業(yè)務(wù)口集群具有靈活的組網(wǎng)形式，每塊單板最多可配置32個集群物理成員端口，提高了集群鏈路的帶寬和可靠性。業(yè)務(wù)口集群按照鏈路的分布，有兩種組網(wǎng)形式。1+0組網(wǎng)：配置一個邏輯集群端口，物理集群端口分布在一塊單板上，依靠一塊單板上的集群鏈路實現(xiàn)集群連接。1+1組網(wǎng)：配置兩個邏輯集群端口，物理集群端口分布在兩塊單板上，不同單板上的集群鏈路形成備份。一個邏輯集群口下的物理集群口只能與對框的一個邏輯集群口下物理集群口相連，不允許混連。為保證集群系統(tǒng)穩(wěn)定和方便后期的維護，集群連線時建議按照如下幾點原則：在1+1組網(wǎng)中，建議兩塊集群單板上的集群鏈路數(shù)量保持一致，而且使用相同端口速率的單板來配置物理集群口。在1+1組網(wǎng)中，對于S7712，S9312，S9312E，S9712，兩塊單板建議對稱分布在主控板的兩側(cè)，例如6和7槽位，5和8槽位、……、1和12槽位，而對于S7706，S9306，S9306E，S9706沒有這個限制。兩框組建集群的單板所在槽位號建議保持一致，物理集群端口和對端物理集群端口連接的時候建議物理端口號一一對應(yīng)。截至V2R2版本，所有支持業(yè)務(wù)口集群的單板類型：五、集群建立集群建立時，先啟動的交換機優(yōu)先競爭為主交換機。同時啟動的成員交換機間相互發(fā)送集群競爭報文，選舉出主交換機，負(fù)責(zé)集群系統(tǒng)的管理，另一臺交換機成為備交換機。主交換機選舉規(guī)則如下圖所示：集群系統(tǒng)建立之前，每臺交換機都是單獨的實體，每臺交換機有自己獨立的IP地址，用戶需要獨立的管理所有的交換機；集群建立后集群成員對外體現(xiàn)為一個統(tǒng)一的邏輯實體，用戶使用一個IP地址對集群中的所有交換機進行管理和維護。集群系統(tǒng)的IP地址和MAC地址為集群系統(tǒng)首次建立時，集群主交換機的IP地址和MAC地址。集群的管理和維護集群建立后，所有的成員設(shè)備組成一臺虛擬設(shè)備存在于網(wǎng)絡(luò)中，所有成員設(shè)備的資源由主交換機統(tǒng)一管理。用戶能夠經(jīng)過LPU接口板上的業(yè)務(wù)端口、系統(tǒng)主用主控板上的串口或管理網(wǎng)口登錄集群系統(tǒng)，對整個集群系統(tǒng)進行管理和維護。對于單臺沒有運行集群的設(shè)備，接口編號采用：槽位號/子卡號/端口號，設(shè)備加入集群后，接口編號采用：集群ID/槽位號/子卡號/端口號。如：設(shè)備沒有運行集群時，某個接口的編號為GigabitEthernet1/0/1；當(dāng)該設(shè)備加入集群后，如果集群ID為2，則該接口的編號將變?yōu)镚igabitEthernet2/1/0/1。在集群環(huán)境下，業(yè)務(wù)流量轉(zhuǎn)發(fā)與單框環(huán)境下不同，跨設(shè)備的轉(zhuǎn)發(fā)需要經(jīng)過交換網(wǎng)兩次。對于報文內(nèi)容的處理沒有區(qū)別，都需要進行一次上、下行處理。配置文件的備份與恢復(fù)設(shè)備從非集群狀態(tài)進入集群狀態(tài)后，會自動將原有的非集群狀態(tài)下的配置文件備份，以便去使能集群功能后，恢復(fù)原有配置。使能設(shè)備的集群功能并立即重啟進入集群狀態(tài)后，系統(tǒng)自動將原有的配置文件加上.bak的擴展名備份：若原配置文件擴展名為.cfg，則備份配置文件擴展名為.cfg.bak。若原配置文件擴展名為.zip，則備份配置文件擴展名為.zip.bak。去使能設(shè)備的集群功能時，用戶若希望恢復(fù)設(shè)備的原有配置，能夠更改備份配置文件名并指定其為下一次啟動配置文件，然后重新啟動設(shè)備，恢復(fù)原有配置。單框配置繼承的說明集群系統(tǒng)首次建立后，競爭結(jié)果為主框的交換機上的配置文件會得到繼承，該配置文件上的配置依然生效。由于之前該框上的配置文件不會出現(xiàn)備框的配置，故需要對備框重新配置。集群分裂集群系統(tǒng)建立后，主、備交換機之間定時發(fā)送心跳報文來維護集群系統(tǒng)的狀態(tài)。集群線纜發(fā)生故障可能會導(dǎo)致兩臺交換機之間失去通信，兩臺交換機之間的心跳報文超時，此時集群系統(tǒng)將分裂為兩臺獨立的交換機，如下圖所示。集群系統(tǒng)分裂后，若兩臺交換機都在正常運行，其全局配置完全相同，會以相同的IP和MAC地址與網(wǎng)絡(luò)中的其它設(shè)備交互，導(dǎo)致IP地址和MAC地址沖突，引起整個網(wǎng)絡(luò)故障，此時即需要依靠集群的雙主檢測解決。雙主檢測雙主檢測，DAD（Dual-ActiveDetect），是一種檢測和處理集群分裂的協(xié)議，能夠?qū)崿F(xiàn)集群分裂的檢測、沖突處理和故障恢復(fù)，降低集群分裂對業(yè)務(wù)的影響。雙主檢測方式有兩種：直連檢測方式和Relay代理檢測方式。直連檢測方式：如下圖所示，集群成員設(shè)備間經(jīng)過專用直連鏈路進行雙主檢測。在直連檢測方式中，集群系統(tǒng)正常運行時，為了減輕CPU負(fù)擔(dān)，不發(fā)送DAD報文；集群系統(tǒng)分裂后，集群成員交換機以1s為周期經(jīng)過檢測鏈路發(fā)送DAD報文。Relay代理檢測方式：如下圖所示，Relay代理檢測方式在集群系統(tǒng)跨設(shè)備Eth-Trunk上啟用DAD檢測，在代理設(shè)備上啟用DAD代理功能。在Relay代理檢測方式中，集群系統(tǒng)正常運行時，集群成員交換機以30s為周期經(jīng)過檢測鏈路發(fā)送DAD報文。集群成員交換機對在正常工作狀態(tài)下收到的DAD報文不做任何處理；集群系統(tǒng)分裂后，集群成員交換機以1s為周期經(jīng)過檢測鏈路發(fā)送DAD報文。集群分裂后，分裂成多部分的集群系統(tǒng)會在檢測鏈路上相互發(fā)送DAD競爭報文。集群系統(tǒng)將接收到的報文信息與本部分競爭信息做比較，如果本部分競爭為主，則不做處理，保持Active狀態(tài)，正常轉(zhuǎn)發(fā)業(yè)務(wù)報文；如果本部分競爭為備，則需要關(guān)閉除保留端口（設(shè)備上不會被關(guān)閉的端口）外的所有業(yè)務(wù)端口，轉(zhuǎn)入Recovery狀態(tài)，停止轉(zhuǎn)發(fā)業(yè)務(wù)報文。集群鏈路修復(fù)后，處于Recovery狀態(tài)的集群將重新啟動，同時將被關(guān)閉的業(yè)務(wù)端口恢復(fù)正常，整個集群系統(tǒng)恢復(fù)。產(chǎn)品介紹S7700智能路由交換機系列（以下簡稱S7700）是華為公司面向下一代企業(yè)網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能路由交換機。該產(chǎn)品基于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)基礎(chǔ)上，進一步提供MPLSVPN、業(yè)務(wù)流分析、完善的QOS策略、可控組播、資源負(fù)載均衡、一體化安全等智能業(yè)務(wù)優(yōu)化手段，同時具備超強擴展性和可靠性。S7700廣泛適用于園區(qū)網(wǎng)絡(luò)和數(shù)據(jù)中心網(wǎng)絡(luò)，可對無線、話音、視頻和數(shù)據(jù)融合網(wǎng)絡(luò)進行先進的控制，幫助企業(yè)構(gòu)建交換路由一體化的端到端融合網(wǎng)絡(luò)。S7700產(chǎn)品為滿足不同用戶的需求，同時提供S7703、S7706和S7712三款產(chǎn)品類型，用戶能夠根據(jù)不同的網(wǎng)絡(luò)需求進行靈活的選擇。S7703最大支持3塊LPU線路板S7706最大支持6塊LPU線路板S7712最大支持12塊LPU線路板產(chǎn)品特點S7700升級為敏捷交換機，讓網(wǎng)絡(luò)更敏捷地為業(yè)務(wù)服務(wù)S7700支持隨板AC，業(yè)務(wù)單板同時兼具無線AC功能，無需額外購買AC硬件；整機轉(zhuǎn)發(fā)性能可達(dá)T-bit，解決外置AC處理性能瓶頸，助力客戶從容面向高速無線時代。S7700支持統(tǒng)一用戶管理功能，屏蔽了接入層設(shè)備能力和接入方式的差異，支持PPPoE/802.1X/MAC/Portal等多種認(rèn)證方式，支持對用戶進行分組/分域/分時的管理，用戶、業(yè)務(wù)可視可控，實現(xiàn)了從“以設(shè)備管理為中心”到“以用戶管理為中心”的飛躍。S7700支持SVF超級虛擬交換網(wǎng)，創(chuàng)新實現(xiàn)將盒式交換機虛擬為框式交換機板卡、將AP虛擬為框式交換機的端口，使得原來“核心/匯聚+接入交換機+AP”的網(wǎng)絡(luò)架構(gòu)，虛擬化為一臺設(shè)備進行管理，提供業(yè)界最簡化網(wǎng)絡(luò)管理方案。S7700采用iPCA網(wǎng)絡(luò)包守恒算法，改變了傳統(tǒng)利用模擬流量做故障定位的檢測模型，實現(xiàn)從“粗放式運維”到“精準(zhǔn)化運維”的大轉(zhuǎn)變。S7700能夠?qū)θ我鈽I(yè)務(wù)流隨時隨地逐點檢測網(wǎng)絡(luò)質(zhì)量，無需額外開銷。S7700能夠在短時間內(nèi)馬上檢測業(yè)務(wù)閃斷性故障，檢測直接精準(zhǔn)到故障端口。S7700支持業(yè)務(wù)編排（ServiceChain）功能，ServiceChain對網(wǎng)絡(luò)增值業(yè)務(wù)處理能力(如防火墻FW、反病毒專家系統(tǒng)AVE、應(yīng)用安全網(wǎng)關(guān)ASG)進行業(yè)務(wù)編排，以便園區(qū)網(wǎng)絡(luò)實體(如交換機、路由器、AC、AP、終端設(shè)備)能夠無差別的利用這些能力，而不受物理位置的約束，提供一種更靈活部署園區(qū)增值業(yè)務(wù)的解決方案，減少客戶設(shè)備投資和維護成本。強大的業(yè)務(wù)處理能力，提升網(wǎng)絡(luò)架構(gòu)擴展性S7700背板具備良好的擴展性，可平滑擴展至更高帶寬，支持單端口速率40G平滑升級，同時完美兼容現(xiàn)網(wǎng)板卡，保護初始投資。具備超高萬兆端口密度，助力企業(yè)園區(qū)和數(shù)據(jù)中心迎來全萬兆核心時代。采用多業(yè)務(wù)路由交換平臺，滿足企業(yè)接入、匯聚、核心業(yè)務(wù)承載要求，支持無線、語音、視頻和數(shù)據(jù)應(yīng)用，為企業(yè)提供高可用、低時延、全業(yè)務(wù)的一體化網(wǎng)絡(luò)解決方案。支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、分層VPLS、VLL，滿足企業(yè)VPN等接入需求。擁有完善的二、三層組播協(xié)議，支持PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping，滿足多終端高清視頻監(jiān)控和視頻會議接入需求。運營級高可靠性設(shè)計，可視化故障診斷S7700具備大于0.99999的高可靠性，主控、電源、風(fēng)扇等關(guān)鍵部件采用冗余設(shè)計，所有模塊均支持熱插拔。CSS主控集群創(chuàng)新性采用交換網(wǎng)集群技術(shù)，克服了業(yè)界普遍采用的線卡集群跨框多次交換，交換效率低下的架構(gòu)難題，提供業(yè)界主機間最大的256G集群帶寬，同時能夠經(jīng)過跨框鏈路聚合提高鏈路的利用率，并消除單點故障。S7700還支持業(yè)務(wù)口集群技術(shù)，普通業(yè)務(wù)端口能夠復(fù)用為集群端口，使端口應(yīng)用更加靈活。經(jīng)過光纖進行集群可大幅增加集群的距離，突破了傳統(tǒng)集群距離的限制。S7700具備專用的故障檢測定位子卡，提供高精度硬件級以太OAM功能，802.3ah、802.1ag和ITU-Y.1731標(biāo)準(zhǔn)協(xié)議，網(wǎng)絡(luò)故障發(fā)生時能夠在第一時間檢測所有終端Session聯(lián)通性，圖形化網(wǎng)管故障診斷界面，設(shè)備節(jié)點、鏈路自動遍歷，實現(xiàn)網(wǎng)絡(luò)快速故障檢測與定位。冗余控制引擎間主備無縫切換，設(shè)備優(yōu)雅重啟實現(xiàn)NSF無中斷轉(zhuǎn)發(fā)，并準(zhǔn)備支持ISSU業(yè)務(wù)運行中軟件升級，設(shè)備軟件升級過程中確保關(guān)鍵業(yè)務(wù)和服務(wù)不中斷的完善的QoS機制，提升語音、視頻用戶體驗。S7700提供高品質(zhì)的QoS（QualityofService）能力，支持從鏈路層到應(yīng)用層流分類技術(shù)，具備完善的隊列調(diào)度算法、擁塞控制算法，能夠?qū)?shù)據(jù)流實現(xiàn)多級的精確調(diào)度，從而滿足企業(yè)不同用戶終端、不同業(yè)務(wù)種類的服務(wù)質(zhì)量要求。S7700提供硬件組播QoS低延時隊列，全面滿足企業(yè)視頻業(yè)務(wù)優(yōu)先級保障需求，為視頻會議、監(jiān)控等關(guān)鍵業(yè)務(wù)提供高質(zhì)量承載保障。采用創(chuàng)新的優(yōu)先級調(diào)度算法，對傳統(tǒng)QoS隊列調(diào)度進行了專門針對企業(yè)語音與視頻的優(yōu)化，大幅降低IP語音時延、消除視頻馬賽克，提高用戶體驗。高性能IPv6業(yè)務(wù)能力，IPv4到到IPv6平滑升級S7700軟硬件平臺均支持IPv6，取得工信部IPv6入網(wǎng)認(rèn)證和IPv6Ready第二階段金色認(rèn)證。支持IPv4/IPv6雙協(xié)議棧，支持多種隧道技術(shù)，支持IPv6靜態(tài)路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6組播，滿足IPv6獨立組網(wǎng)和IPv4/IPv6混合組網(wǎng)要求。強大的網(wǎng)絡(luò)流量分析能力，隨時網(wǎng)絡(luò)健康診斷S7700支持Netstream業(yè)務(wù)分析功能，滿足用戶對網(wǎng)絡(luò)流量實時采集、分析需要。支持NetstreamV5/V8/V9多種報文格式，支持聚合流量模板，減輕網(wǎng)絡(luò)采集器系統(tǒng)壓力，支持實時流量采集、動態(tài)報表生成、屬性分析、流量異常告警等功能，能夠幫助客戶對網(wǎng)絡(luò)流量進行實時監(jiān)控、現(xiàn)網(wǎng)設(shè)備吞吐分析，為優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、科學(xué)合理擴容提供決策依據(jù)。全方位安全保護，應(yīng)對企業(yè)內(nèi)外部安全威脅S7700采用內(nèi)嵌集中式防火墻板卡，支持虛擬防火墻與NAT多實例，滿足多VPN客戶共用防火墻組網(wǎng)環(huán)境。使用應(yīng)用層包過濾技術(shù)對應(yīng)用層報文內(nèi)容進行復(fù)雜規(guī)則檢測和過濾。提供完善的NAC解決方案，支持MAC地址認(rèn)證、Portal認(rèn)證、802.1x認(rèn)證、DHCPSnooping觸發(fā)認(rèn)證多種認(rèn)證方式，有效應(yīng)對啞終端接入、移動設(shè)備接入和集中式IP地址分配等多種接入方式的安全挑戰(zhàn)，確保企業(yè)網(wǎng)絡(luò)安全。提供2級CPU保護機制，支持CPU硬件保護隊列，可實現(xiàn)數(shù)據(jù)和控制的分離處理，防止拒絕服務(wù)攻擊、非法接入以及控制平面過載等安全威脅，提供業(yè)界領(lǐng)先的一體化安全解決方案。無線AC模塊，全面滿足移動辦公需求S7700無線AC功能支持豐富的RF（射頻）管理，支持AP上線時自動選擇信道和功率，在AP重疊區(qū)域，信號沖突時自動調(diào)整功率或信道，RSSI（接收信號強度指示）/SNR（信噪比）的不斷更新，讓系統(tǒng)能夠?qū)崟r了解每一個無線用戶所處電磁環(huán)境，提升網(wǎng)絡(luò)可用性。S7700無線AC功能支持802.1x認(rèn)證、MAC地址認(rèn)證、Portal認(rèn)證、WAPI認(rèn)證等多種認(rèn)證方式，滿足客戶不同終端、不同安全等級設(shè)備的接入需求。S7700支持二層漫游，終端設(shè)備跨AP漫游快速切換，AC間1+1、N+1多機冷備和AC間負(fù)載分擔(dān)提高網(wǎng)絡(luò)可靠性。創(chuàng)新節(jié)能芯片，智能功耗控制。S7700采用創(chuàng)新節(jié)能芯片，實現(xiàn)按流量動態(tài)調(diào)整功率，支持端口休眠，無流量不耗電。支持智能POE供電，能夠?qū)崿F(xiàn)基于PD設(shè)備角色啟動不同的能源管理方案，保持設(shè)備能源管理彈性。支持IEEE802.3az能效以太網(wǎng)標(biāo)準(zhǔn)，線卡收發(fā)器具備低功率閑置模式，支持正常工作與低功率狀態(tài)快速轉(zhuǎn)換，低流量低功耗。1.產(chǎn)品型號和外觀：產(chǎn)品規(guī)格：項目S7706交換容量10.24Tbps/25.6Tbps包轉(zhuǎn)發(fā)率2880Mpps/1Mpps業(yè)務(wù)槽位6無線管理支持隨板AC支持AP接入控制、AP域管理和AP配置模板管理支持射頻模板管理、統(tǒng)一靜態(tài)配置和集中動態(tài)管理支持WLAN基本業(yè)務(wù)、QoS、安全和用戶管理支持AC功能分層部署用戶管理支持統(tǒng)一用戶管理支持PPPoE、802.1X、MAC、Portal認(rèn)證方式支持基于流量和時長計費方式支持分組分域分時授權(quán)方式VLAN支持Access、Trunk、Hybrid方式支持defaultVLAN支持VLAN交換支持QinQ、增強型靈活QinQ支持基于MAC的動態(tài)VLAN分配ARP支持256KARP表項MAC地址功能支持1MMAC地址表項支持MAC地址自動學(xué)習(xí)和老化支持靜態(tài)、動態(tài)、黑洞MAC表項支持源MAC地址過濾支持基于端口和VLAN的MAC地址學(xué)習(xí)限制環(huán)網(wǎng)保護技術(shù)支持STP(IEEE802.1d)，RSTP(IEEE802.1w)和MSTP(IEEE802.1s)支持SEP智能保護協(xié)議支持BPDU保護、Root保護、環(huán)路保護支持BPDUTunnel支持ERPS以太環(huán)保護協(xié)議（G.8032）IP路由支持1MIPv4路由表項支持RIP、OSPF、ISIS、BGP等IPv4動態(tài)路由協(xié)議支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6動態(tài)路由協(xié)議組播支持128K組播路由表項支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping支持PIMDM、PIMSM、PIMSSM支持MSDP、MBGP支持用戶快速離開機制支持組播流量控制支持組播查詢器支持組播協(xié)議報文抑制功能支持組播CAC支持組播ACL支持MPLSOAM支持MPLSTE支持MPLSVPN/VLL/VPLS可靠性支持LACP、支持跨設(shè)備E-Trunk支持VRRP、BFDforVRRP支持BFDforBGP/IS-IS/OSPF/靜態(tài)路由支持NSF、GRforBGP/IS-IS/OSPF/LDP支持TEFRR、IPFRR支持以太網(wǎng)OAM802.3ah和802.1ag支持ITU-Y.1731支持DLDP支持運行中軟件升級ISSUQoS支持256KACL支持基于Layer2協(xié)議頭、Layer3協(xié)議、Layer4協(xié)議、802.1p優(yōu)先級等的組合流分類支持ACL、CAR、Remark、Schedule等動作支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等隊列調(diào)度方式支持WRED、尾丟棄等擁塞避免機制支持5級H-QoS支持流量整形配置與維護支持敏捷零配置部署支持Console、Telnet、SSH等終端服務(wù)支持SNMPv1/v