华为 Quidway 全线以太网交换机产品

华为华为 QuidwayQuidway 全线以太网交换机产全线以太网交换机产品品

渠道营销数通产品部渠道营销数通产品部

汇报提纲汇报提纲华为系列以太网交换机介绍华为以太网交换机特色业务介绍

Quidway S20082008/B/

2016/2016B/ 2026/2026B/2403H

边缘接入以太网交换机

QuidwayS3026/3026E/3026F

S3050/3526/3526E/3526F

快速以太网接入交换机

Quidway S5516

千兆路由交换机

华为 Quidway 端到端的可管理、全线速、全业务智能交换解决方案体系结构，通过集群、堆叠、 HGMP 、 QoS 、安全技术、内容分布、 MPLS 提供优良的可管理特性及业务，充分满足语音、数据、视频业务的综合传送。

华为 Quidway 端到端的可管理、全线速、全业务智能交换解决方案体系结构，通过集群、堆叠、 HGMP 、 QoS 、安全技术、内容分布、 MPLS 提供优良的可管理特性及业务，充分满足语音、数据、视频业务的综合传送。

Quidway S8016

千兆核心多层交换机Quidway S6503/6506

千兆核心多层交换机

Quidway S8505/8512

万兆核心多层交换机

华为全系列以太网交换机产品

19 英寸标准机架（ 1.8M/2.2M 机柜可选）

20 槽位插框， 16 个通用接口槽位

单板硬件：主控板、交换网板、接口处理板( 转发、 MPLS/VPN) 、业务处理板 (NAT) 、WEB SWITCH 处理板

主控、交换网板冗余热备份设计支持交 / 直流供电

接口类型丰富，可灵活配置 GE 、 FE 、 POS 155M/62

2M/2.5G 等接口

业务处理板和接口板槽位兼容任意混插

电源风扇冗余热备份

整机在 EMC 、环境、安规、震动各项指标均通过国标

以及欧洲标准

交

换

网

板

主控板

主控板

接口板

接口板

接口板

接口板

接口板

接口板

接口板

接口板

接口板

接口板

接口板

接口板

接口板

接口板

接口板

接口板

交

换

网

板

交流直流交流直流

S8016 千兆核心多层交换机

接口特性：16 个业务插槽，整机支持： 64GE/512FE/128POS155/3

2POS622/16POS2.5G

16/32 端口 10/100M 自适应以太网电接口线路板4 端口千兆以太网电口线路板16 端口百兆以太网单 / 多模光纤接口线路板4 端口千兆以太网单 / 多模光纤接口线路板4 端口 GBIC 接口线路板4/8 端口 155M POS 单 / 多模光接口线路板2 端口 622M POS 单 / 多模光接口线路板1 端口 2.5G POS 单 / 多模光接口线路板

整机容量：背板容量： 256G

交换容量： 128G整机处理能力： 96MPPS ，全线速转发

S8016 的系统容量

支持 4K 个 VLAN

支持 64K MAC 地址，支持 802.3x 流控每接口板支持 5K 个流分类支持端口捆绑

支持 8FE/ 板， 4GE/ 板端口捆绑，方便组网

支持端口镜像支持 Spanning Tree 生成树协议

使设备更好地避免环路，收敛时间更短

S8016 丰富的业务特性

丰富的路由协议：静态路由、 RIP1/2 、 OSPF 、 RIP

2 、 IS-IS 和 BGP4 等；完备的路由策略：支持路由过滤、路由聚合、路由再

分配等；支持路由分担： per packet/per destination ， 3 条

等价路由；采用路由拓扑驱动技术，依据最长匹配的逐包转发方

式，快速处理复杂路由；支持 IGMP v1/v2 、 PIM-SM 、 PIM － DM 等组播协

议。


MPLS

采用 LDP 作为标签发布协议支持多种格式的 MPLS 封装： FE 、 GE 、 POS ， MPLS 报文可以携

带 802.1q Tag 封装基于 MPLS 的二层 VPN

采用 Draft-martini-l2circuit-trans-mpls-08 ，和 Cisco/Juniper 等设备互通

支持 VLL/VPLS 业务模式基于 MPLS 的三层 VPN ：

采用 MP-BGP 扩散私网路由支持地址空间重叠，采用 VPN-IPv4 地址族支持跨自治域的 VPN

支持 VPN 用户通过 VPN 接口访问 Internet

CE 既可以是三层设备，也可以是二层设备，可以属于多个 VPN


10.1.1.310.1.1.3

129.9.188.2129.9.188.2

S8016

10.1.1.2310.1.1.23

NAT

IP 城域网

S8016 内置 NAT 业务板以 NAPT 方式支持公网和私网地址的转换，有效解决 IP 地址紧缺的问题

NAT 策略可以支持城域网公网 / 私网地址混合规划，解决外置式 NAT无法支持的混合策略

NAT 支持 ICMP 、 FTP 、 OICQ 等 ALG 处理

单块 NAT 板支持并发会话数 150k ，每秒新会话数 16K会话 /秒

NAT 板数量按照 NAT 容量灵活配置，支持 NAT

板间负荷分担和热备份功能


Internet

DataServer

Email, FTP, Proxy CacheServers

S8016 S8016

Radius Servers

DNS Servers

四层负载均衡：根据用户访问服务会话请求的四层信息（ IP＋端口号），确定服务器组，并根据服务器组的负载均衡策略，选择合适的服务器进行处理五～七层负载均衡：基于内容的负载均衡，将不同内容分布到不同的服务器组FTP负载均衡：保证数据通道和控制通道由同一服务器处理内容重定向：将用户访问 Internet Web站点的 HTTP报文重定向到 POP点本地内容缓存服务器上，加速用户访问速度，减少主干网流量健康性检测：及时查看后台服务器，发现死机或提供某项服务失败时，将该服务器从服务器组中移出，使客户请求发往健康的服务器，该项功能即称为健康性检测。S8016具有定时检测和立即检测方式，支持 PING 、 TCP 、 HTTP 等检测


S6500S6500 系列千兆核心多层交换机系列千兆核心多层交换机

S6503 S6506 S6506R

64G 备板容量32G 交换容量4 个槽位144FE/28GEiSalience™ I 路由引擎

128G 备板容量64G 交换容量7 个槽位288FE/48GESalience™ I 路由引擎

128G 备板容量64G 交换容量8 个槽位288FE/48GESalience™ II 路由引擎

产品定位产品定位 ::中型网络中型网络 LANLAN 骨干路由交换机骨干路由交换机大型网络的汇聚层交换机大型网络的汇聚层交换机高密度高密度 LANLAN 的用户接入交换机的用户接入交换机

模块化、分布式处理模块化、分布式处理 77 个槽位，个槽位， 66 个通用个通用 I/OI/O 槽槽最大支持最大支持 48GE 48GE 或或 288FE288FE

提供提供 22＋＋ 11 个电源冗余备份个电源冗余备份支持所有单板在线热插拔支持所有单板在线热插拔支持支持 Salience I™ Salience I™ 系列路由引擎系列路由引擎支持华为支持华为 VRP™ 3.xVRP™ 3.x 网络操作系统网络操作系统

S6506

S6506 路由交换机

产品定位产品定位 ::中型网络中型网络 LANLAN 骨干路由交换机骨干路由交换机大型网络的汇聚层交换机大型网络的汇聚层交换机高密度高密度 LANLAN 的用户接入交换机的用户接入交换机

模块化、分布式处理模块化、分布式处理 88 个槽位，个槽位， 66 个通用个通用 I/OI/O 槽槽最大支持最大支持 48GE 48GE 或或 288FE288FE

提供提供 22＋＋ 11 个电源冗余备份个电源冗余备份支持所有单板在线热插拔支持所有单板在线热插拔支持支持 Salience™ Salience™ 系列路由引擎系列路由引擎支持华为支持华为 VRP™ 3.xVRP™ 3.x 网络操作系统网络操作系统

S6506R

S6506R 路由交换机

产品定位产品定位 ::中小企业中小企业 LANLAN骨干路由交换机骨干路由交换机大型网络的汇聚层交换机大型网络的汇聚层交换机高级商务楼宇配线间交换机高级商务楼宇配线间交换机

模块化、分布式处理模块化、分布式处理 44 个槽位，个槽位， 33 个通用个通用 I/OI/O 槽槽最大支持最大支持 28GE 28GE 或或 4GE+144FE4GE+144FE

提供提供 11＋＋ 11 个电源冗余备份个电源冗余备份支持所有单板在线热插拔支持所有单板在线热插拔支持支持 iSalience™ I iSalience™ I 交换路由引擎交换路由引擎支持华为支持华为 VRP™ 3.xVRP™ 3.x 网络操作系统网络操作系统

S6503

S6503 路由交换机

2G

业界通用方式 Quidway S6506

6G

6G

6G

6G

6G

8G

8G

0/2/4/6/8G

0/2/4/6/8G

8/6/4/2/0G

8/6/4/2/0G

主控交换

槽位 1

槽位 2

槽位 3

槽位 4

槽位 5

主控交换

槽位 1

槽位 2

槽位 3

槽位 4

槽位 5

槽位 6

独有的资源智能调度技术克服了已有技术中槽位上行带宽分配不够灵活的缺点，可以在交换机上动态分配上行带宽：在为大流量的业务板提供无阻塞的业务的同时将上行带宽分配到更多的槽位上面，满足小业务流量槽位的要求。

智能资源调度

具备丰富的 ACL 和 QOS 特性；基于先进的 ASIC 技术，实现 L2/L3/L4 线速转发； iSalienceTM 为高集成的引擎，引擎自带一个业务扩展槽。

Salience II

Salience III

Salience I

即将推出

iSalience I iSalience II

即将推出

Salience™ 系列超级引擎

Salience IISalience IiSalience I

交换容量： 64G转发能力： 48M

交换容量： 64G转发能力： 48M支持冗余

交换容量： 32G转发能力： 24M提供一个扣板槽位

Salience™ 系列超级引擎

业务板类型：业务板类型： 48 端口百兆电口业务板 24 端口百兆光口（单模）业务板 24 端口百兆光口（多模）业务板

8 端口千兆以太网 GBIC 光口业务板

8 端口千兆以太网电口业务板

GBICGBIC 光接口模块：光接口模块：

单路千兆单模光模块（ 10km ）

单路千兆多模光模块（ 550m ）





S6500 业务接口板

资源动态调度技术，让每块业务板的处理性能发挥到极至；最长匹配路由技术确保骨干平台在任何网络环境和突发情况下均能发挥最优性能；4K 全局 802.1Q VLAN 支持；路由表项支持达 32/64K ；16/32K MAC 地址表项；支持 8GE或 16FE 捆绑；支持实现多策略线速过滤；带宽预定（ CAR ），粒度最小为 64K ；支持增强 IEEE802.1x认证

S6500 系列业务特性

强大的二层特性：强大的二层特性：

•提供提供 STP/RSTP STP/RSTP ；；•提供提供 VLANVLAN 和和 VLAN Trunk VLAN Trunk ；；•支持支持 802.1p802.1p 、、 802.1q802.1q 、、 802.1x802.1x ；；•提供提供 802.3x802.3x 流控机制及半双工反流控机制及半双工反压流控；压流控；•支持支持 802.3ad802.3ad 端口捆绑；端口捆绑；•支持端口锁定及端口镜像；支持端口锁定及端口镜像；•支持端口自动协商；支持端口自动协商；•能够抑制广播风暴；能够抑制广播风暴；

丰富的三层特性：丰富的三层特性：

•支持支持 IPIP 、、 TCPTCP 、、 UDPUDP 、、 ICMPICMP ；；•支持支持 DHCP relay/DHCP+DHCP relay/DHCP+ ；；•支持支持 OSPFOSPF 、、 IS-ISIS-IS 、、 RIP1/2RIP1/2 、、BGP4BGP4 ；；•支持支持 IGMP V1\V2;IGMP V1\V2;•PIM-SM\DM PIM-SM\DM 组播协议；组播协议；•支持支持 HGMPHGMP 集群管理集群管理•支持静态路由；支持静态路由；•支持最长匹配算法支持最长匹配算法 ;;•支持支持 Second IPSecond IP


QoS 策略 : 支持 DiffServ 、 802.1p

支持 SP 、 WRR 、 RED

支持基于流的 QoS 策略支持 CAR ，提供以 64Kbps 为单位的流

安全保障 : 提供 L2/3/4 流规则过滤支持用户分级管理和口令保护支持本地认证、 Radius认证和扩展 802.1x认证支持 SNMPv3 的加密和认证支持路由协议的 MD5加密认证

管理特性 : 提供多语言支持支持 SNMP v3

支持 HGMP 集群管理支持灵活的本地、远程诊断方式


交换容量：交换容量： 32Gbps32Gbps

转发能力：转发能力： 24Mpps24Mpps

4K IEEE802.1Q VLAN4K IEEE802.1Q VLAN

MACMAC表相：表相： 16K16K

路由表相：路由表相： 32K32K

支持接口板：支持接口板：

4×1000Base-Sx 4×1000Base-Sx 接口单元接口单元

4×1000Base-Lx 4×1000Base-Lx 接口单元接口单元

4×10/100/1000Base-T 4×10/100/1000Base-T 接口单元接口单元

44 端口端口 SFPSFP 光接口板光接口板 (550m/10km/30k(550m/10km/30k

m/40km/70km)m/40km/70km)

44 端口堆叠接口端口堆叠接口

S5516 千兆路由交换机

支持 24×FE ， 2×GE 槽位：1×1000Base-Sx 接口单元1×1000Base-Lx 接口单元（ 10 、 40 、 70K

M ）1×1000Base-T 接口单元

S3526后视图

S3526前视图

交换容量： 12.8Gbps

转发能力： 6.55Mpps

4K IEEE802.1Q VLAN

MAC表相： 16K

路由表相： 16K

S3526 快速以太网交换机

S3526F后视图

S3526F前视图

提供 2 种固定光接口的主机；12 个固定的单模 FE 光接口 F 主机 (FS) ；12 个固定的多模 FE 光接口 F 主机 (FM) ；

前面板提供 2×FE 槽位，可以支持6×100Base-FX （多模）接口单元；6×100Base-LX （单模）接口单元；6×10/100Base-TX(RJ45 ）接口单元；

后面板提供 2×GE 槽位，可以支持： 1×1000Base-FX 接口单元； 1×1000Base-LX 接口单元（ 10 、 40 、 70KM ）； 1×1000Base-T 接口单元；



4K IEEE802.1Q VLAN

MAC表相： 16K

路由表相： 16K

S3526F 全光口以太网交换机

支持固定 24×FE ，支持 2×GE或 FE 槽位；

1×1000Base-Sx 接口单元1×1000Base-Lx 接口单元（ 10 、 40 、 70K

M ）；1×1000Base-T 接口单元1×100Base-FX （多模）接口单元；1×100Base-LX （单模）接口单元；

S3526E后视图

S3526E前视图



256 IEEE802.1Q VLAN

MAC表相： 8K

路由表相： 2K

S3526E 快速以太网交换机

S3526E-F前视图

S3526E-F后视图



256 IEEE802.1Q VLAN

MAC表相： 8K

路由表相： 2K



后面板提供 2×GE 或 FE 槽位，可以支持 1×1000Base-FX 接口单元； 1×1000Base-LX 接口单元（ 10 、 40 、 70KM ）； 1×1000Base-T 接口单元； 1×100Base-FX （多模）接口单元； 1×100Base-LX （单模）接口单元

S3526E-F 全光口以太网交换机

S3050前视图

支持 48×FE ， 2×GE 槽位； 1×1000Base-Sx 接口单元 1×1000Base-Lx 接口单元 1×1000Base-T 接口单元



256 IEEE802.1Q VLAN

MAC表相： 8K

S3050高密度边缘交换机

支持 24×FE ， 2×GE或 FE 槽位；1×1000Base-Sx 接口单元1×1000Base-Lx 接口单元1×1000Base-T 接口单元1×100Base-Sx 接口单元1×100Base-Lx 接口单元1×100Base-Tx 接口单元

S3026前视图

S3026后视图



32 IEEE802.1Q VLAN

MAC表相： 4K

S3026高能线速可堆叠交换机

S3026F后视图

S3026F前视图



后面板提供 2×GE 槽位，可以支持： 1×1000Base-FX 接口单元； 1×1000Base-LX 接口单元（ 10 、 40 、 70KM ）； 1×1000Base-T 接口单元；



4K IEEE802.1Q VLAN

MAC表相： 16K

S3026F 全光口以太网交换机

支持固定 24×FE ，支持 2×GE或 FE 槽位；

1×1000Base-Sx 接口单元1×1000Base-Lx 接口单元（ 10 、 40 、 70K

M ）1×1000Base-T 接口单元1×100Base-FX （多模）接口单元；1×100Base-LX （单模）接口单元；

S3026E后视图

S3026E前视图



256 IEEE802.1Q VLAN

MAC表相： 8K

S3026E 快速以太网交换机

S3026E-F前视图

S3026E-F后视图



256 IEEE802.1Q VLAN

MAC表相： 8K



后面板提供 2×GE 或 FE 槽位，可以支持： 1×1000Base-FX 接口单元； 1×1000Base-LX 接口单元（ 10 、 40 、 70KM ） 1×1000Base-T 接口单元； 1×100Base-FX （多模）接口单元； 1×100Base-LX （单模）接口单元

S3026E-F 全光口以太网交换机

S2403H



32 IEEE802.1Q VLAN

MAC表相： 4K

支持（ 24＋ 1)×FE

1×FE 槽位：1×100Base-Sx 接口单元1×100Base-Lx 接口单元

S2403H 边缘接入交换机

S2008

S2016

S2026

交换容量： 6.4G/6.4G/12.8Gbps

转发能力： 1.63Mpps/2.83Mpps/3.87M

pps

32 IEEE802.1Q VLAN

MAC表相： 4K

支持 (8+2)×FE/(16+2)×FE/24×FE

1×FE/1×FE/2×FE 槽位：1×100Base-Sx 接口单元1×100Base-Lx 接口单元

S2008/16/26楼道交换机

S2026B

S2016B

S2008B

交换容量： 2.4G/4.8G/7.2Gbps

转发能力： 1.35Mpps/2.70Mpps/3.87M

pps

32 端口 VLAN

MAC表相： 4K

支持 (8+1)×FE/(16+1)×FE/(24＋ 1)×FE

0×FE/1×FE/1×FE 槽位：1×100Base-Sx 接口单元1×100Base-Lx 接口单元

S2008B/16B/26B楼道交换机

S1016C

S1026C

16 个 100BASE-T＋ 1上行模块

24 个 100BASE-T＋ 1上行模块

包括 1016C 、 1026C两款产品；非网管二层以太网交换机；支持百兆光模块上行；支持 802.3x 的流控；端口 MDI/MDIX 自适应；上行最远支持 15km 传输距离；无风扇、静音环保设备

S1000 系列以太网交换机

汇报提纲汇报提纲华为系列以太网交换机介绍华为以太网交换机特色业务介绍

一次路由多次交换 / 精确匹配1 、目的地址与 IP 地址表的表项进行精确匹配2 、 IP 地址表中的表项是一种类似于 Cache 的表，操作方式很象二层交换机（地址表项通过学习的方法建立起来，如果表项长期不被刷新则会被老化掉）3 、对于能够在此“ Cache” 命中的报文则进行转发4 、不能在“ Cache” 命中的报文将被转发到 CPU 进行软件路由，路由的原理和路由器完全相同的最长地址匹配5 、然后通过地址学习把表项加进来，这样后续的流量就可以在 Cache 中命中了。所谓“一次路由，多次交换”6 、路由由 CPU 完成，适合接入或小型汇聚网络，对于大型汇聚容易造成路由振荡

103.23.122.6 171.3.2.22

103.23.122.4

101.1.3.123

101.20.110.3

100.22.6.9

171.3.2.4

120.33.32.98

320.3.3.1

10.0.0.111

Prefix Next-hop

Forwarding Table

103.23.122.6 171.3.2.22

103.23.122.7

CPUCPU101.23.122.7 171.3.2.22 171.3.2.22

路由精确匹配技术

逐包转发 / 最长匹配1 、目的地址与路由表进行匹配操作，目的地址与路由项的子网掩码进行”与“操作；2 、如果“与”的结果跟网络地址相同，则认为路由匹配；3 、所有匹配项中子网掩码位数最长的为最佳匹配项，据此进行转发；4 、如果找不到匹配项则转发到 0.0.0.0 的确省路由；5 、如果没有确省路由则丢弃；6 、这种路由叫做最长匹配（ longest-prefix match) ；7 、基于硬件的路由技术，做到逐包转发，易于系统稳定。

103.23.122/23 171.3.2.22

103.23/16

101.1/16

101.20/13

100/9

171.3.2.4

120.33.32.98

320.3.3.1

10.0.0.111

Prefix Next-hop

Forwarding Table

103.23.122.7 171.3.2.22

路由最长匹配技术

最长匹配最长匹配

Í øÂ çµ ØÖ· × ÓÍ øÑÚÂ ë ½Ó¿ Ú± àº Å ÆäË û

10.111.0.0 255.255.0.0 3 ...

10.111.1.0 255.255.255.0 2 ...

10.119.0.0 255.255.0.0 2 ...

Intf 1 Intf 2

Intf 3SIP:10.110.0.113

DIP:10.111.1.88

......

DA:xx-xx-xx-xx-xx-xx

SA:xx-xx-xx-xx-xx-xx

SIP:10.110.0.113

DIP:10.111.1.88

......

DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx

Í øÂ çµ ØÖ· Â ·ÓÉ½Ó¿ Ú ¶ Ë¿ Úº Å ÆäË û

10.111.1.88 1 2 ...

10.111.1.99 1 2 ...

10.119.6.199 3 3 ...

Port 1 Port 2

Port 3SIP:10.110.0.113

DIP:10.111.1.88

......


SA:xx-xx-xx-xx-xx-xx......

SIP:10.110.0.113

DIP:10.111.1.88

......


SA:xx-xx-xx-xx-xx-xx......

精确匹配精确匹配与精确匹配比较，最长匹配技术具有更强的网络适应能力，在任何网络环境下都可实现线速转发；具备天然的抵御“红码病毒”的能力，可有效改善传统三层交换机的安全特性，提升网络的健壮性。

最长匹配的优势

华为 i3 SAFE 三维度端到端集成安全体系架构：i － intelligence ， integrated ， individuality ；3 －时间、空间及网络层次三个维度的 End to EndSAFE － Safe Architecture for eNET ， IP信息网络的安全架构

华为 i3 SAFE 三维度端到端集成安全体系架构：i － intelligence ， integrated ， individuality ；3 －时间、空间及网络层次三个维度的 End to EndSAFE － Safe Architecture for eNET ， IP信息网络的安全架构

业务层

用户层

事前防范事后追踪

外网

网络层

内网

时间空间

网络层次

端到端高安全网络

华为

i3SAFE

三维度集成安全体系架构

安全维度描述网络基础设施

端到端集成安全服务

网络层次

业务层（ CA 、内容过滤、业务访问控制、加密、病毒防御、组播控制、 ASPF ）

防火墙，业务网关，业务管理系统

用户层（ CA 、接入认证、带宽控制、访问控制）

交换机，路由器，接入服务器、业务管理系统

网络层（ VPN 、地址防盗用、协议验证）交换机，路由器，接入服务器，业务网关

时间

事前防范（ VPN 、数据隔离、加密、访问控制、入侵检测、漏洞扫描）

交换机，路由器，接入服务器， IDS ，防火墙，

事后追踪（用户日志、分析审计）交换机，路由器，以太网接入服务器，业务网关，业务管理设备、日志服务器

空间

外网（ VPN 、加密、鉴权，病毒防御）防火墙，业务网关，交换机，路由器

内网（访问控制、用户日志、检测防御）交换机，路由器，以太网接入服务器，业务管理系统， IDS 、 DMZ 区构建

华为三维度集成安全体系架构

以太网接入方案业务特性

系统访问管理系统访问管理设备管理设备管理用户管理用户管理业务管理业务管理维护运营管理维护运营管理

系统访问管理－典型网络结构

接入层

L3/L2

L2

汇聚层核心层

业务服务器业务服务器 Quidview/iManager2000Quidview/iManager2000

业务管理层网络管理层

L3L3

Syslog server

IP 网络

管理用户可以分级，不同级别的用户的权限不同 (命令行、 Telnet) ；

对于管理用户进行的任何操作都可以记录日志；

关键操作都需要用户确认

L2

L3/L2

系统访问管理（设备）－安全控制

•ACLACL 控制控制•设备 ACL 控制，不接受非法 IP 地址设备的报文•管理员 ACL 控制，不接受非法 IP 地址机器的 Http 连接

系统访问管理（业务平台）— ACL 控制

系统详细记录了操作员详细信息（ IP 地址）的每一次操作，管理员可以方便的查询操作日志，监控操作员的工作。使每一次数据库操作都有据可查。

系统访问管理（业务平台）—操作日志

È ëÇ Ö¼ ì² âÊ µÊ ±¼ à¿ ØÍ øÂ çÔ ËÐ Ð× ¿́ ö£ ¬¶ Ô¹ ¥» ÷× ö³ öÏ ìÓ ¦£ ¬± £» ¤Í øÂ çÔ ËÐ Ðµ Ä° ²È «¡ £

InternetÊ ý¾ ÝÁ ÷

¼ ì² âÆ÷Õ ý³ £Á ÷ Intranet

¹ ¥» ÷Á ÷¸ æ¾ ¯

¼ ÇÂ ¼

Ö ØÖ ÃÁ ¬½ Ó

± Ü¿ ª¹ ¥» ÷

Ó ¦Ó Ã¹ æÔ ò¼ ì² â

¼ ì² é° üÍ ·º Í£ »̈ ò£ ©¾ »º É

¹ æÔ ò¼ °Ë Ù¶ ÈÊ Ç¹ Ø¼ ü!

设备管理（网络攻击）－入侵检测设备管理（网络攻击）－入侵检测

L2/L3

DHCP Server

IP 网络

DHCP 请求广播

DHCP续传

控制每个端口的接入用户数目

设置用户访问控制表 IP 地址是重要网络

资源，需要保护，控制分配

DHCP 服务器监测

L2

控制每个 VLAN的分配 IP 地址个数

设备管理—地址资源保护

L2

交换机的每个端口都可以限定最大学习MAC 地址个数，防止用户进行源 MAC 地址扫描

通过广播抑制防止用户进行目的MAC 地址扫描

能够自动检查 IP 地址冲突，并记录日志

L3

网络

L2

设备管理－防地址攻击

QuidwayQuidwayS2008/2016S2008/2016

QuidwayQuidwayS2403HS2403H

QuidwayQuidwayS2026S2026

QuidwayQuidwayS2008B/2016BS2008B/2016B

L2L2

L2L2

L3/L2L3/L2

ServerServer 数据中心数据中心

GEGE GEGE GEGE GEGE GEGE GEGE

FEFE FEFE FEFE FEFE

一个管理一个管理 IPIP 地址地址202.38.128.126202.38.128.126管理组内全部设备管理组内全部设备

•能够将管理触觉延伸到末端网元•节约管理的 IP 地址•简化管理•批量配置•批量升级

设备管理－集群应用

DHCP, RADIUS Server

DHCP RELAY

MSTP

小区 /企业

• 提高网络的可靠性• 实现基于 VLAN 的负载均衡和冗余备份• 根保护和双根冗余

L2

L2

S6500

MSTP 冗余技术

DHCP, RADIUS Server

DHCP RELAY S6500/S5516

L2

小区 /企业

• 提高网络的可靠性• 实现三层的负载均衡和冗余备份•对外同一个 IP 地址 /同一个 MAC 地址

VRRP

三层负载均衡和冗余备份

DHCP, RADIUS Server

S6500/5516

L2

端口捆绑

小区 /企业

• 提高网络的可靠性• 实现基于物理端口的负载均衡和冗余备份

物理层负载均衡和冗余备份

IPIP＋＋ MACMAC ＋＋ VLANVLAN ＋＋ PORTPORT ＋用户名＋密码＝网络用户身份证＋用户名＋密码＝网络用户身份证

在用户接入连接建立后绑定在用户接入连接建立后绑定 IP-MAC-VLANIP-MAC-VLAN 关系，丢弃不符合以上关系，丢弃不符合以上

绑定关系的报文，用户断开连接后，绑定关系解除绑定关系的报文，用户断开连接后，绑定关系解除

可以动态和静态分配给用户可以动态和静态分配给用户 IPIP 地址，动态用户在地址，动态用户在 IPIP 地址分配后，建地址分配后，建

立立 IP-MAC-VLANIP-MAC-VLAN 绑定关系绑定关系

静态用户在操作界面完成静态用户在操作界面完成 IP-MAC-VLANIP-MAC-VLAN 绑定关系的指定绑定关系的指定

动态用户不能通过指定动态用户不能通过指定 IPIP 地址的方式接入网络地址的方式接入网络

通过限制通过限制 MACMAC 地址学习的个数限制接入用户的个数地址学习的个数限制接入用户的个数

用户管理 -- 网络用户身份证

一个端口下挂 HUB ，其 HUB下的用户的 M

AC 地址不一样，以此标识用户

防止用户仿冒

网络

L3/L2

HUB

MAC1 MAC2 MAC3

用户管理 -- 用 MAC来标识用户

L2

每个端口分配一个 VLAN

号，利用不同的 VLAN号二层严格隔离用户 , 标识用户

L2/L3

网络

L2

VLAN1 VLAN2 VLAN3

用户管理 -- 用 VLAN来标识用户

WEB Server

L2

逻辑结构

用户

HTTP

WEB Server 认证 Client

和 MD5-Client

认证 Client

和 MD5-Client

认证 Server

和 MD5-Server

认证 Server

和 MD5-Server

认证代理

认证代理

私有认证协议

私有认证协议

私有认证协议

私有认证协议

物理结构

用户

L3

…

网络

L3 L3

用户管理 -- Web认证

CoreCore

BAS

Radius Server

1 、用户发起 PPPoE

1 、用户发起 PPPoE

2 、 BAS终结 PPPoE

2 、 BAS终结 PPPoE

5 、 Radius服务器完成对用户的计费

5 、 Radius服务器完成对用户的计费

3 、 BAS与 Radius服务器配合完成 PPPoE的帐号、密码的验证处理，给用户分配一个合

法的 IP 地址

3 、 BAS与 Radius服务器配合完成 PPPoE的帐号、密码的验证处理，给用户分配一个合

法的 IP 地址

4 、用户获得 IP地址并可以访问 I

nternet

4 、用户获得 IP地址并可以访问 I

nternet

S3050/S3026/S2403H

PPPoEPPPoE 方式是基于方式是基于

帐号、密码的认证帐号、密码的认证

方式方式

PPPOE认证方式

Radius Server

1 、用户发起认证

1 、用户发起认证

3 、接入设备作为认证客户端，与 Radius Server 配

合完成用户的认证过程

3 、接入设备作为认证客户端，与 Radius Server 配

合完成用户的认证过程

2 、接入设备的端口在用户未经过认证前不能能访问任何地方，并且不能获得 IP 地址

2 、接入设备的端口在用户未经过认证前不能能访问任何地方，并且不能获得 IP 地址

4 、用户通过认证后可以 DHCP获得 IP 地址

4 、用户通过认证后可以 DHCP获得 IP 地址

5 、用户获得 IP 地址后可以正常实现 Internet 访问，设备将用户的 IP 地址、 MAC 地址、VLAN进行绑定

5 、用户获得 IP 地址后可以正常实现 Internet 访问，设备将用户的 IP 地址、 MAC 地址、VLAN进行绑定

S2403/S3026

S6506

DHCP Server

用户管理－ 802.1x

CorCoree

1. 扩展 802.1X 的握手机制 , 定期监测用户的在线情况，解决了有线网应用中的仿冒和时长计费准确性问题 ;

2. 交换机支持内置认证服务器 , 降低了小型网络的建设成本和管理成本 ;

3. 支持 EAP终结和 EAP续传两种模式 , 可以支持现有的 Radius

Server, 保护用户的投资 .

4. 提供多平台的 802.1X客户端软件 .( WINDOWS98/ME/2000/XP),

客户端软件可以满足运营网络的要求 .

5. 802.1X受控端口机制灵活 , 支持基于端口 , 基于 MAC 地址的受控端口 , 可以灵活地应用在各种网络环境 , 如网吧 ,校园 .

华为 802.1X 系统的特点

基于用户的访问控制：

1 、配置用户禁止访问的网段；

2 、配置用户组之间的访问与禁止

3 、保护网上或小区重要服务器

4 、便于设置用户访问网络资源的权限

R

R

CORE

ACL

RadiusServer 访问控制表访问控制表 ACL:ACL:

DstIP SrcIP Action ...

userA userB Deny

0.0.0.0/0 userA Permit

访问控制表访问控制表 ACL:ACL:

DstIP SrcIP Action ...

userA userB Deny

0.0.0.0/0 userA Permit

L3/L2

提供二到七层策略的报文 ACL功能

可根据源、目的地址 IP 地址、源、目的四层端口号和入、出物理端口、协议类型等信息对策略进行的灵活配置

业务管理—访问控制管理

可控组播网络模型

PORTAL

网络管理、认证、计费、组播源

汇聚层、接入层 S6506

宽带小区 /企业网络

宽带骨干网络

PPPoE 用户

VLAN 用户

可控组播可控组播

S6506

S6506

可控组播技术

VLLS6506

S3026

S2000

S3000

网管中心

企业 A-1客户 1-1

S8016

CE

CE

P/PE

•支持多种形式的 VPN 技术•VLL•VLAN / VLAN TRUNK•MPLS L2/L3 VPN•VPDN

支持多种 VPN 技术的互操作提供完善的 VPN 全程业务管理系统

S6506

S6506

企业 A-2

S8016

客户 1-2

VLAN

P

客户业务信息

部署( 业务规划 /部署 /审计 )

计费系统

性能 /QoS监控故障监控

订单系统

MPLS 网络

业界领先的 VPN业务提供能力

P

华为 VPN 业务管理系统是目前业内第一套支持多产家设备互操作的业务管理系统

上层设备（网络中心）提供电源，通过五类线供电

简化施工，降低维护运营费用

网络 L3/L2

L2

五类线远程供电

…

网络中心

小区

维护运营管理－远程供电

•IP/MAC 地址追查 •网管根据 IP/MAC地址可方便定位到设备端口，迅速实现故障定位• 提供最小粒度的安全保障，防止端口盗用等攻击措施

远程端口环回（内环回远程端口环回（内环回 // 外环回）测试，远程故障定位。外环回）测试，远程故障定位。

维护运营管理－远程故障定位和维护

IP 网络

iManager N2000

IP 网络IP 网络

iManager N2000

Quidview Monitor Center

DCN

• 大规模网络的集中拓扑管理• 分级域管理和授权• 全网故障数据的收集和统计• 全网性能数据的收集和统计

• 本区域设备的集中管理与维护• 接受上级网管的权限管理• 向上级网管上报告警数据• 向上级网管上报性能数据

分级管理解决了大规模分级管理解决了大规模 IP IP 网络的管理问题网络的管理问题

维护运营管理－分级网管

•统一管理所有支持 SNMP 协议的设备；

•自动 /手动发现 IP网络拓扑结构，自动/手动排列拓扑节点。

•对网络状态、拓扑结构实时监控，动态刷新；•在网络、设备状态改变时，改变节点颜色，提示用户。

维护运营管理－拓扑管理

维护运营管理－可视化图形界面• 方便的面板启动方式——双击拓扑节点

• 逼真的设备面板—采用实际的设备照片•前后面板同时浏览

维护运营管理－智能化性能监控智能性能监控

设备内嵌智能 Agent ，实现对需经过复杂计算的性能数据（如接口利用率）的主动监视，在超出阈值时能自动产生告警，并生成 Email 、手机短信及时通知网管人员。

TrapTrap

EmailEmail

短信短信计算计算

接口输入包＋接口输出包接口输入包＋接口输出包接口带宽接口带宽接口利用率接口利用率 ==

• 告警实时监视和历史告警查询• 支持告警过滤，关注和自己相关的告警

• 告警转发，支持二次开发• 告警远程通知 ( 转手机短信、 E

mail 等 )

维护运营管理－告警管理

华为 Quidway 全线以太网交换机产品

Documents

Transcript of 华为 Quidway 全线以太网交换机产品