华为 Quidway 全线以太网交换机产品
description
Transcript of 华为 Quidway 全线以太网交换机产品
华为华为 QuidwayQuidway 全线以太网交换机产全线以太网交换机产品品
渠道营销数通产品部渠道营销数通产品部
汇报提纲汇报提纲 华为系列以太网交换机介绍 华为以太网交换机特色业务介绍
Quidway S20082008/B/
2016/2016B/ 2026/2026B/2403H
边缘接入以太网交换机
QuidwayS3026/3026E/3026F
S3050/3526/3526E/3526F
快速以太网接入交换机
Quidway S5516
千兆路由交换机
华为 Quidway 端到端的可管理、全线速、全业务智能交换解决方案体系结构,通过集群、堆叠、 HGMP 、 QoS 、安全技术、内容分布、 MPLS 提供优良的可管理特性及业务,充分满足语音、数据、视频业务的综合传送。
华为 Quidway 端到端的可管理、全线速、全业务智能交换解决方案体系结构,通过集群、堆叠、 HGMP 、 QoS 、安全技术、内容分布、 MPLS 提供优良的可管理特性及业务,充分满足语音、数据、视频业务的综合传送。
Quidway S8016
千兆核心多层交换机Quidway S6503/6506
千兆核心多层交换机
Quidway S8505/8512
万兆核心多层交换机
华为全系列以太网交换机产品
19 英寸标准机架( 1.8M/2.2M 机柜可选)
20 槽位插框, 16 个通用接口槽位
单板硬件:主控板、交换网板、接口处理板( 转发、 MPLS/VPN) 、业务处理板 (NAT) 、WEB SWITCH 处理板
主控、交换网板冗余热备份设计 支持交 / 直流供电
接口类型丰富,可灵活配置 GE 、 FE 、 POS 155M/62
2M/2.5G 等接口
业务处理板和接口板槽位兼容任意混插
电源风扇冗余热备份
整机在 EMC 、环境、安规、震动各项指标均通过国标
以及欧洲标准
交
换
网
板
主控板
主控板
接口板
接口板
接口板
接口板
接口板
接口板
接口板
接口板
接口板
接口板
接口板
接口板
接口板
接口板
接口板
接口板
交
换
网
板
交流 直流交流 直流
S8016 千兆核心多层交换机
接口特性:16 个业务插槽,整机支持: 64GE/512FE/128POS155/3
2POS622/16POS2.5G
16/32 端口 10/100M 自适应以太网电接口线路板4 端口千兆以太网电口线路板16 端口百兆以太网单 / 多模光纤接口线路板4 端口千兆以太网单 / 多模光纤接口线路板4 端口 GBIC 接口线路板4/8 端口 155M POS 单 / 多模光接口线路板2 端口 622M POS 单 / 多模光接口线路板1 端口 2.5G POS 单 / 多模光接口线路板
整机容量:背板容量: 256G
交换容量: 128G整机处理能力: 96MPPS ,全线速转发
S8016 的系统容量
支持 4K 个 VLAN
支持 64K MAC 地址,支持 802.3x 流控 每接口板支持 5K 个流分类 支持端口捆绑
支持 8FE/ 板, 4GE/ 板端口捆绑,方便组网
支持端口镜像 支持 Spanning Tree 生成树协议
使设备更好地避免环路,收敛时间更短
S8016 丰富的业务特性
丰富的路由协议:静态路由、 RIP1/2 、 OSPF 、 RIP
2 、 IS-IS 和 BGP4 等; 完备的路由策略:支持路由过滤、路由聚合、路由再
分配等; 支持路由分担: per packet/per destination , 3 条
等价路由; 采用路由拓扑驱动技术,依据最长匹配的逐包转发方
式,快速处理复杂路由; 支持 IGMP v1/v2 、 PIM-SM 、 PIM - DM 等组播协
议。
S8016 丰富的业务特性
MPLS
采用 LDP 作为标签发布协议 支持多种格式的 MPLS 封装: FE 、 GE 、 POS , MPLS 报文可以携
带 802.1q Tag 封装基于 MPLS 的二层 VPN
采用 Draft-martini-l2circuit-trans-mpls-08 ,和 Cisco/Juniper 等设备互通
支持 VLL/VPLS 业务模式基于 MPLS 的三层 VPN :
采用 MP-BGP 扩散私网路由 支持地址空间重叠,采用 VPN-IPv4 地址族 支持跨自治域的 VPN
支持 VPN 用户通过 VPN 接口访问 Internet
CE 既可以是三层设备,也可以是二层设备,可以属于多个 VPN
S8016 丰富的业务特性
10.1.1.310.1.1.3
129.9.188.2129.9.188.2
S8016
10.1.1.2310.1.1.23
NAT
IP 城域网
S8016 内置 NAT 业务板以 NAPT 方式支持公网和私网地址的转换,有效解决 IP 地址紧缺的问题
NAT 策略可以支持城域网公网 / 私网地址混合规划,解决外置式 NAT无法支持的混合策略
NAT 支持 ICMP 、 FTP 、 OICQ 等 ALG 处理
单块 NAT 板支持并发会话数 150k ,每秒新会话数 16K会话 /秒
NAT 板数量按照 NAT 容量灵活配置,支持 NAT
板间负荷分担和热备份功能
S8016 丰富的业务特性
Internet
DataServer
Email, FTP, Proxy CacheServers
S8016 S8016
Radius Servers
DNS Servers
四层负载均衡:根据用户访问服务会话请求的四层信息( IP+端口号),确定服务器组,并根据服务器组的负载均衡策略,选择合适的服务器进行处理五~七层负载均衡:基于内容的负载均衡,将不同内容分布到不同的服务器组FTP负载均衡:保证数据通道和控制通道由同一服务器处理内容重定向:将用户访问 Internet Web站点的 HTTP报文重定向到 POP点本地内容缓存服务器上,加速用户访问速度,减少主干网流量健康性检测:及时查看后台服务器,发现死机或提供某项服务失败时,将该服务器从服务器组中移出,使客户请求发往健康的服务器,该项功能即称为健康性检测。S8016具有定时检测和立即检测方式,支持 PING 、 TCP 、 HTTP 等检测
S8016 丰富的业务特性
S6500S6500 系列千兆核心多层交换机系列千兆核心多层交换机
S6503 S6506 S6506R
64G 备板容量32G 交换容量4 个槽位144FE/28GEiSalience™ I 路由引擎
128G 备板容量64G 交换容量7 个槽位288FE/48GESalience™ I 路由引擎
128G 备板容量64G 交换容量8 个槽位288FE/48GESalience™ II 路由引擎
产品定位产品定位 ::中型网络中型网络 LANLAN 骨干路由交换机骨干路由交换机大型网络的汇聚层交换机大型网络的汇聚层交换机高密度高密度 LANLAN 的用户接入交换机的用户接入交换机
模块化、分布式处理 模块化、分布式处理 77 个槽位,个槽位, 66 个通用个通用 I/OI/O 槽槽 最大支持 最大支持 48GE 48GE 或 或 288FE288FE
提供提供 22++ 11 个电源冗余备份个电源冗余备份 支持所有单板在线热插拔支持所有单板在线热插拔 支持支持 Salience I™ Salience I™ 系列 路由引擎系列 路由引擎 支持华为支持华为 VRP™ 3.xVRP™ 3.x 网络操作系统网络操作系统
S6506
S6506 路由交换机
产品定位产品定位 ::中型网络中型网络 LANLAN 骨干路由交换机骨干路由交换机大型网络的汇聚层交换机大型网络的汇聚层交换机高密度高密度 LANLAN 的用户接入交换机的用户接入交换机
模块化、分布式处理 模块化、分布式处理 88 个槽位, 个槽位, 66 个通用个通用 I/OI/O 槽槽 最大支持 最大支持 48GE 48GE 或 或 288FE288FE
提供提供 22++ 11 个电源冗余备份个电源冗余备份 支持所有单板在线热插拔支持所有单板在线热插拔 支持支持 Salience™ Salience™ 系列 路由引擎系列 路由引擎 支持华为支持华为 VRP™ 3.xVRP™ 3.x 网络操作系统网络操作系统
S6506R
S6506R 路由交换机
产品定位产品定位 ::中小企业中小企业 LANLAN骨干路由交换机骨干路由交换机大型网络的汇聚层交换机大型网络的汇聚层交换机高级商务楼宇配线间交换机高级商务楼宇配线间交换机
模块化、分布式处理 模块化、分布式处理 44 个槽位,个槽位, 33 个通用个通用 I/OI/O 槽槽 最大支持 最大支持 28GE 28GE 或 或 4GE+144FE4GE+144FE
提供提供 11++ 11 个电源冗余备份个电源冗余备份 支持所有单板在线热插拔支持所有单板在线热插拔 支持支持 iSalience™ I iSalience™ I 交换路由引擎交换路由引擎 支持华为支持华为 VRP™ 3.xVRP™ 3.x 网络操作系统网络操作系统
S6503
S6503 路由交换机
2G
业界通用方式 Quidway S6506
6G
6G
6G
6G
6G
8G
8G
0/2/4/6/8G
0/2/4/6/8G
8/6/4/2/0G
8/6/4/2/0G
主控交换
槽位 1
槽位 2
槽位 3
槽位 4
槽位 5
主控交换
槽位 1
槽位 2
槽位 3
槽位 4
槽位 5
槽位 6
独有的资源智能调度技术克服了已有技术中槽位上行带宽分配不够灵活的缺点,可以在交换机上动态分配上行带宽:在为大流量的业务板提供无阻塞的业务的同时将上行带宽分配到更多的槽位上面,满足小业务流量槽位的要求。
智能资源调度
具备丰富的 ACL 和 QOS 特性 ; 基于先进的 ASIC 技术,实现 L2/L3/L4 线速转发; iSalienceTM 为高集成的引擎,引擎自带一个业务扩展槽。
Salience II
Salience III
Salience I
即将推出
iSalience I iSalience II
即将推出
Salience™ 系列超级引擎
Salience IISalience IiSalience I
交换容量: 64G转发能力: 48M
交换容量: 64G转发能力: 48M支持冗余
交换容量: 32G转发能力: 24M提供一个扣板槽位
Salience™ 系列超级引擎
业务板类型:业务板类型: 48 端口百兆电口业务板 24 端口百兆光口(单模)业务板 24 端口百兆光口(多模)业务板
8 端口千兆以太网 GBIC 光口业务板
8 端口千兆以太网电口业务板
GBICGBIC 光接口模块:光接口模块:
单路千兆单模光模块( 10km )
单路千兆多模光模块( 550m )
单路千兆单模光模块( 30km )
单路千兆单模光模块( 40km )
单路千兆单模光模块( 70km )
单路千兆单模光模块( 100km )
S6500 业务接口板
资源动态调度技术,让每块业务板的处理性能发挥到极至;最长匹配路由技术确保骨干平台在任何网络环境和突发情况下均能发挥最优性能;4K 全局 802.1Q VLAN 支持;路由表项支持达 32/64K ;16/32K MAC 地址表项;支持 8GE或 16FE 捆绑;支持实现多策略线速过滤;带宽预定( CAR ),粒度最小为 64K ;支持增强 IEEE802.1x认证
S6500 系列业务特性
强大的二层特性:强大的二层特性:
•提供提供 STP/RSTP STP/RSTP ;;•提供提供 VLANVLAN 和和 VLAN Trunk VLAN Trunk ;;•支持支持 802.1p802.1p 、、 802.1q802.1q 、、 802.1x802.1x ;;•提供提供 802.3x802.3x 流控机制及半双工反流控机制及半双工反压流控;压流控;•支持支持 802.3ad802.3ad 端口捆绑;端口捆绑;•支持端口锁定及端口镜像;支持端口锁定及端口镜像;•支持端口自动协商;支持端口自动协商;•能够抑制广播风暴;能够抑制广播风暴;
丰富的三层特性:丰富的三层特性:
•支持支持 IPIP 、、 TCPTCP 、、 UDPUDP 、、 ICMPICMP ;;•支持支持 DHCP relay/DHCP+DHCP relay/DHCP+ ;;•支持支持 OSPFOSPF 、、 IS-ISIS-IS 、、 RIP1/2RIP1/2 、、BGP4BGP4 ;;•支持支持 IGMP V1\V2;IGMP V1\V2;•PIM-SM\DM PIM-SM\DM 组播协议;组播协议;•支持支持 HGMPHGMP 集群管理集群管理•支持静态路由;支持静态路由;•支持最长匹配算法支持最长匹配算法 ;;•支持支持 Second IPSecond IP
S6500 系列业务特性
QoS 策略 : 支持 DiffServ 、 802.1p
支持 SP 、 WRR 、 RED
支持基于流的 QoS 策略支持 CAR ,提供以 64Kbps 为单位的流
安全保障 : 提供 L2/3/4 流规则过滤支持用户分级管理和口令保护支持本地认证、 Radius认证和扩展 802.1x认证支持 SNMPv3 的加密和认证支持路由协议的 MD5加密认证
管理特性 : 提供多语言支持支持 SNMP v3
支持 HGMP 集群管理支持灵活的本地、远程诊断方式
S6500 系列业务特性
交换容量:交换容量: 32Gbps32Gbps
转发能力:转发能力: 24Mpps24Mpps
4K IEEE802.1Q VLAN4K IEEE802.1Q VLAN
MACMAC表相:表相: 16K16K
路由表相:路由表相: 32K32K
支持接口板:支持接口板:
4×1000Base-Sx 4×1000Base-Sx 接口单元接口单元
4×1000Base-Lx 4×1000Base-Lx 接口单元接口单元
4×10/100/1000Base-T 4×10/100/1000Base-T 接口单元接口单元
44 端口端口 SFPSFP 光接口板光接口板 (550m/10km/30k(550m/10km/30k
m/40km/70km)m/40km/70km)
44 端口堆叠接口端口堆叠接口
S5516 千兆路由交换机
支持 24×FE , 2×GE 槽位:1×1000Base-Sx 接口单元1×1000Base-Lx 接口单元( 10 、 40 、 70K
M )1×1000Base-T 接口单元
S3526后视图
S3526前视图
交换容量: 12.8Gbps
转发能力: 6.55Mpps
4K IEEE802.1Q VLAN
MAC表相: 16K
路由表相: 16K
S3526 快速以太网交换机
S3526F后视图
S3526F前视图
提供 2 种固定光接口的主机;12 个固定的单模 FE 光接口 F 主机 (FS) ;12 个固定的多模 FE 光接口 F 主机 (FM) ;
前面板提供 2×FE 槽位,可以支持6×100Base-FX (多模)接口单元;6×100Base-LX (单模)接口单元;6×10/100Base-TX(RJ45 )接口单元;
后面板提供 2×GE 槽位,可以支持: 1×1000Base-FX 接口单元; 1×1000Base-LX 接口单元( 10 、 40 、 70KM ); 1×1000Base-T 接口单元;
交换容量: 12.8Gbps
转发能力: 6.55Mpps
4K IEEE802.1Q VLAN
MAC表相: 16K
路由表相: 16K
S3526F 全光口以太网交换机
支持固定 24×FE ,支持 2×GE或 FE 槽位;
1×1000Base-Sx 接口单元1×1000Base-Lx 接口单元( 10 、 40 、 70K
M );1×1000Base-T 接口单元1×100Base-FX (多模)接口单元;1×100Base-LX (单模)接口单元;
S3526E后视图
S3526E前视图
交换容量: 12.8Gbps
转发能力: 6.55Mpps
256 IEEE802.1Q VLAN
MAC表相: 8K
路由表相: 2K
S3526E 快速以太网交换机
S3526E-F前视图
S3526E-F后视图
交换容量: 12.8Gbps
转发能力: 6.55Mpps
256 IEEE802.1Q VLAN
MAC表相: 8K
路由表相: 2K
提供 2 种固定光接口的主机;12 个固定的单模 FE 光接口 F 主机 (FS) ;12 个固定的多模 FE 光接口 F 主机 (FM) ;
前面板提供 2×FE 槽位,可以支持6×100Base-FX (多模)接口单元;6×100Base-LX (单模)接口单元;6×10/100Base-TX(RJ45 )接口单元;
后面板提供 2×GE 或 FE 槽位,可以支持 1×1000Base-FX 接口单元; 1×1000Base-LX 接口单元( 10 、 40 、 70KM ) ; 1×1000Base-T 接口单元; 1×100Base-FX (多模)接口单元; 1×100Base-LX (单模)接口单元
S3526E-F 全光口以太网交换机
S3050前视图
支持 48×FE , 2×GE 槽位; 1×1000Base-Sx 接口单元 1×1000Base-Lx 接口单元 1×1000Base-T 接口单元
交换容量: 18.5Gbps
转发能力: 10.13Mpps
256 IEEE802.1Q VLAN
MAC表相: 8K
S3050高密度边缘交换机
支持 24×FE , 2×GE或 FE 槽位;1×1000Base-Sx 接口单元1×1000Base-Lx 接口单元1×1000Base-T 接口单元1×100Base-Sx 接口单元1×100Base-Lx 接口单元1×100Base-Tx 接口单元
S3026前视图
S3026后视图
交换容量: 12.8Gbps
转发能力: 6.55Mpps
32 IEEE802.1Q VLAN
MAC表相: 4K
S3026高能线速可堆叠交换机
S3026F后视图
S3026F前视图
提供 2 种固定光接口的主机;12 个固定的单模 FE 光接口 F 主机 (FS) ;12 个固定的多模 FE 光接口 F 主机 (FM) ;
前面板提供 2×FE 槽位,可以支持6×100Base-FX (多模)接口单元;6×100Base-LX (单模)接口单元;6×10/100Base-TX(RJ45 )接口单元;
后面板提供 2×GE 槽位,可以支持: 1×1000Base-FX 接口单元; 1×1000Base-LX 接口单元( 10 、 40 、 70KM ) ; 1×1000Base-T 接口单元;
交换容量: 12.8Gbps
转发能力: 6.55Mpps
4K IEEE802.1Q VLAN
MAC表相: 16K
S3026F 全光口以太网交换机
支持固定 24×FE ,支持 2×GE或 FE 槽位;
1×1000Base-Sx 接口单元1×1000Base-Lx 接口单元( 10 、 40 、 70K
M )1×1000Base-T 接口单元1×100Base-FX (多模)接口单元;1×100Base-LX (单模)接口单元;
S3026E后视图
S3026E前视图
交换容量: 12.8Gbps
转发能力: 6.55Mpps
256 IEEE802.1Q VLAN
MAC表相: 8K
S3026E 快速以太网交换机
S3026E-F前视图
S3026E-F后视图
交换容量: 12.8Gbps
转发能力: 6.55Mpps
256 IEEE802.1Q VLAN
MAC表相: 8K
提供 2 种固定光接口的主机;12 个固定的单模 FE 光接口 F 主机 (FS) ;12 个固定的多模 FE 光接口 F 主机 (FM) ;
前面板提供 2×FE 槽位,可以支持6×100Base-FX (多模)接口单元;6×100Base-LX (单模)接口单元;6×10/100Base-TX(RJ45 )接口单元;
后面板提供 2×GE 或 FE 槽位,可以支持: 1×1000Base-FX 接口单元; 1×1000Base-LX 接口单元( 10 、 40 、 70KM ) 1×1000Base-T 接口单元; 1×100Base-FX (多模)接口单元; 1×100Base-LX (单模)接口单元
S3026E-F 全光口以太网交换机
S2403H
交换容量: 9.6Gbps
转发能力: 3.87Mpps
32 IEEE802.1Q VLAN
MAC表相: 4K
支持( 24+ 1)×FE
1×FE 槽位:1×100Base-Sx 接口单元1×100Base-Lx 接口单元
S2403H 边缘接入交换机
S2008
S2016
S2026
交换容量: 6.4G/6.4G/12.8Gbps
转发能力: 1.63Mpps/2.83Mpps/3.87M
pps
32 IEEE802.1Q VLAN
MAC表相: 4K
支持 (8+2)×FE/(16+2)×FE/24×FE
1×FE/1×FE/2×FE 槽位:1×100Base-Sx 接口单元1×100Base-Lx 接口单元
S2008/16/26楼道交换机
S2026B
S2016B
S2008B
交换容量: 2.4G/4.8G/7.2Gbps
转发能力: 1.35Mpps/2.70Mpps/3.87M
pps
32 端口 VLAN
MAC表相: 4K
支持 (8+1)×FE/(16+1)×FE/(24+ 1)×FE
0×FE/1×FE/1×FE 槽位:1×100Base-Sx 接口单元1×100Base-Lx 接口单元
S2008B/16B/26B楼道交换机
S1016C
S1026C
16 个 100BASE-T+ 1上行模块
24 个 100BASE-T+ 1上行模块
包括 1016C 、 1026C两款产品;非网管二层以太网交换机;支持百兆光模块上行;支持 802.3x 的流控;端口 MDI/MDIX 自适应;上行最远支持 15km 传输距离;无风扇、静音环保设备
S1000 系列以太网交换机
汇报提纲汇报提纲 华为系列以太网交换机介绍 华为以太网交换机特色业务介绍
一次路由多次交换 / 精确匹配1 、目的地址与 IP 地址表的表项进行精确匹配2 、 IP 地址表中的表项是一种类似于 Cache 的表,操作方式很象二层交换机(地址表项通过学习的方法建立起来,如果表项长期不被刷新则会被老化掉)3 、对于能够在此“ Cache” 命中的报文则进行转发4 、不能在“ Cache” 命中的报文将被转发到 CPU 进行软件路由,路由的原理和路由器完全相同的最长地址匹配5 、然后通过地址学习把表项加进来,这样后续的流量就可以在 Cache 中命中了。所谓“一次路由,多次交换”6 、路由由 CPU 完成,适合接入或小型汇聚网络,对于大型汇聚容易造成路由振荡
103.23.122.6 171.3.2.22
103.23.122.4
101.1.3.123
101.20.110.3
100.22.6.9
171.3.2.4
120.33.32.98
320.3.3.1
10.0.0.111
Prefix Next-hop
Forwarding Table
103.23.122.6 171.3.2.22
103.23.122.7
CPUCPU101.23.122.7 171.3.2.22 171.3.2.22
路由精确匹配技术
逐包转发 / 最长匹配1 、目的地址与路由表进行匹配操作,目的地址与路由项的子网掩码进行”与“操作;2 、如果“与”的结果跟网络地址相同,则认为路由匹配;3 、所有匹配项中子网掩码位数最长的为最佳匹配项,据此进行转发;4 、如果找不到匹配项则转发到 0.0.0.0 的确省路由;5 、如果没有确省路由则丢弃;6 、这种路由叫做最长匹配( longest-prefix match) ;7 、基于硬件的路由技术,做到逐包转发,易于系统稳定。
103.23.122/23 171.3.2.22
103.23/16
101.1/16
101.20/13
100/9
171.3.2.4
120.33.32.98
320.3.3.1
10.0.0.111
Prefix Next-hop
Forwarding Table
103.23.122.7 171.3.2.22
路由最长匹配技术
最长匹配最长匹配
Í øÂ çµ ØÖ· × ÓÍ øÑÚÂ ë ½Ó¿ Ú± ຠŠÆäË û
10.111.0.0 255.255.0.0 3 ...
10.111.1.0 255.255.255.0 2 ...
10.119.0.0 255.255.0.0 2 ...
Intf 1 Intf 2
Intf 3SIP:10.110.0.113
DIP:10.111.1.88
......
DA:xx-xx-xx-xx-xx-xx
SA:xx-xx-xx-xx-xx-xx
SIP:10.110.0.113
DIP:10.111.1.88
......
DA:xx-xx-xx-xx-xx-xxSA:xx-xx-xx-xx-xx-xx
Í øÂ çµ ØÖ·  ·Óɽӿ Ú ¶ Ë¿ Úº Å ÆäË û
10.111.1.88 1 2 ...
10.111.1.99 1 2 ...
10.119.6.199 3 3 ...
Port 1 Port 2
Port 3SIP:10.110.0.113
DIP:10.111.1.88
......
DA:xx-xx-xx-xx-xx-xx
SA:xx-xx-xx-xx-xx-xx......
SIP:10.110.0.113
DIP:10.111.1.88
......
DA:xx-xx-xx-xx-xx-xx
SA:xx-xx-xx-xx-xx-xx......
精确匹配精确匹配 与精确匹配比较,最长匹配技术具有更强的网络适应能力,在任何网络环境下都可实现线速转发;具备天然的抵御“红码病毒”的能力,可有效改善传统三层交换机的安全特性,提升网络的健壮性。
最长匹配的优势
华为 i3 SAFE 三维度端到端集成安全体系架构:i - intelligence , integrated , individuality ;3 -时间、空间及网络层次三个维度的 End to EndSAFE - Safe Architecture for eNET , IP信息网络的安全架构
华为 i3 SAFE 三维度端到端集成安全体系架构:i - intelligence , integrated , individuality ;3 -时间、空间及网络层次三个维度的 End to EndSAFE - Safe Architecture for eNET , IP信息网络的安全架构
业务层
用户层
事前防范 事后追踪
外网
网络层
内网
时间空间
网络层次
端到端高安全网络
华为
i3SAFE
三维度集成安全体系架构
安全维度 描述 网络基础设施
端到端集成安全服务
网络层次
业务层( CA 、内容过滤、业务访问控制、加密、病毒防御、组播控制、 ASPF )
防火墙,业务网关,业务管理系统
用户层( CA 、接入认证、带宽控制、访问控制)
交换机,路由器,接入服务器、业务管理系统
网络层( VPN 、地址防盗用、协议验证) 交换机,路由器,接入服务器,业务网关
时间
事前防范( VPN 、数据隔离、加密、访问控制、入侵检测、漏洞扫描)
交换机,路由器,接入服务器, IDS ,防火墙,
事后追踪(用户日志、分析审计)交换机,路由器,以太网接入服务器,业务网关,业务管理设备、日志服务器
空间
外网( VPN 、加密、鉴权,病毒防御) 防火墙,业务网关,交换机,路由器
内网(访问控制、用户日志、检测防御)交换机,路由器,以太网接入服务器,业务管理系统, IDS 、 DMZ 区构建
华为三维度集成安全体系架构
以太网接入方案业务特性
系统访问管理系统访问管理设备管理设备管理用户管理用户管理业务管理业务管理维护运营管理维护运营管理
系统访问管理-典型网络结构
接入层
L3/L2
L2
汇聚层核心层
业务服务器业务服务器 Quidview/iManager2000Quidview/iManager2000
业务管理层 网络管理层
L3L3
Syslog server
IP 网络
管理用户可以分级,不同级别的用户的权限不同 (命令行、 Telnet) ;
对于管理用户进行的任何操作都可以记录日志;
关键操作都需要用户确认
L2
L3/L2
系统访问管理(设备)-安全控制
•ACLACL 控制控制•设备 ACL 控制,不 接受非法 IP 地址设备的报文•管理员 ACL 控制,不接受非法 IP 地址机器的 Http 连接
系统访问管理(业务平台)— ACL 控制
系统详细记录了操作员详细信息( IP 地址)的每一次操作,管理员可以方便的查询操作日志,监控操作员的工作。使每一次数据库操作都有据可查。
系统访问管理(业务平台)—操作日志
È ëÇ Ö¼ ì² âÊ µÊ ±¼ à¿ ØÍ ø çÔ ËÐ Ð× ¿́ ö£ ¬¶ Ô¹ ¥» ÷× ö³ öÏ ìÓ ¦£ ¬± £» ¤Í ø çÔ ËРе Ä° ²È «¡ £
InternetÊ ý¾ ÝÁ ÷
¼ ì² âÆ÷Õ ý³ £Á ÷ Intranet
¹ ¥» ÷Á ÷¸ æ¾ ¯
¼ ÇÂ ¼
Ö ØÖ ÃÁ ¬½ Ó
± Ü¿ ª¹ ¥» ÷
Ó ¦Ó ù æÔ ò¼ ì² â
¼ ì² é° üÍ ·º Í£ »̈ ò£ ©¾ »º É
¹ æÔ ò¼ °Ë Ù¶ ÈÊ Ç¹ ؼ ü!
设备管理(网络攻击)-入侵检测设备管理(网络攻击)-入侵检测
L2/L3
DHCP Server
IP 网络
DHCP 请求广播
DHCP续传
控制每个端口的接入用户数目
设置用户访问控制表 IP 地址是重要网络
资源,需要保护,控制分配
DHCP 服务器监测
L2
控制每个 VLAN的分配 IP 地址个数
设备管理—地址资源保护
L2
交换机的每个端口都可以限定最大学习MAC 地址个数,防止用户进行源 MAC 地址扫描
通过广播抑制防止用户进行目的MAC 地址扫描
能够自动检查 IP 地址冲突,并记录日志
L3
网络
L2
设备管理-防地址攻击
QuidwayQuidwayS2008/2016S2008/2016
QuidwayQuidwayS2403HS2403H
QuidwayQuidwayS2026S2026
QuidwayQuidwayS2008B/2016BS2008B/2016B
L2L2
L2L2
L3/L2L3/L2
ServerServer 数据中心数据中心
GEGE GEGE GEGE GEGE GEGE GEGE
FEFE FEFE FEFE FEFE
一个管理一个管理 IPIP 地址地址202.38.128.126202.38.128.126管理组内全部设备管理组内全部设备
•能够将管理触觉延伸到末端网元•节约管理的 IP 地址•简化管理•批量配置•批量升级
设备管理-集群应用
DHCP, RADIUS Server
DHCP RELAY
MSTP
小区 /企业
• 提高网络的可靠性• 实现基于 VLAN 的负载均衡和冗余备份• 根保护和双根冗余
L2
L2
S6500
MSTP 冗余技术
DHCP, RADIUS Server
DHCP RELAY S6500/S5516
L2
小区 /企业
• 提高网络的可靠性• 实现三层的负载均衡和冗余备份•对外同一个 IP 地址 /同一个 MAC 地址
VRRP
三层负载均衡和冗余备份
DHCP, RADIUS Server
S6500/5516
L2
端口捆绑
小区 /企业
• 提高网络的可靠性• 实现基于物理端口的负载均衡和冗余备份
物理层负载均衡和冗余备份
IPIP++ MACMAC ++ VLANVLAN ++ PORTPORT +用户名+密码=网络用户身份证+用户名+密码=网络用户身份证
在用户接入连接建立后绑定在用户接入连接建立后绑定 IP-MAC-VLANIP-MAC-VLAN 关系,丢弃不符合以上关系,丢弃不符合以上
绑定关系的报文,用户断开连接后,绑定关系解除绑定关系的报文,用户断开连接后,绑定关系解除
可以动态和静态分配给用户可以动态和静态分配给用户 IPIP 地址,动态用户在地址,动态用户在 IPIP 地址分配后,建地址分配后,建
立立 IP-MAC-VLANIP-MAC-VLAN 绑定关系绑定关系
静态用户在操作界面完成静态用户在操作界面完成 IP-MAC-VLANIP-MAC-VLAN 绑定关系的指定绑定关系的指定
动态用户不能通过指定动态用户不能通过指定 IPIP 地址的方式接入网络地址的方式接入网络
通过限制通过限制 MACMAC 地址学习的个数限制接入用户的个数地址学习的个数限制接入用户的个数
用户管理 -- 网络用户身份证
一个端口下挂 HUB ,其 HUB下的用户的 M
AC 地址不一样,以此标识用户
防止用户仿冒
网络
L3/L2
HUB
MAC1 MAC2 MAC3
用户管理 -- 用 MAC来标识用户
L2
每个端口分配一个 VLAN
号,利用不同的 VLAN号二层严格隔离用户 , 标识用户
L2/L3
网络
L2
VLAN1 VLAN2 VLAN3
用户管理 -- 用 VLAN来标识用户
WEB Server
L2
逻辑结构
用户
HTTP
WEB Server 认证 Client
和 MD5-Client
认证 Client
和 MD5-Client
认证 Server
和 MD5-Server
认证 Server
和 MD5-Server
认证代理
认证代理
私有认证协议
私有认证协议
私有认证协议
私有认证协议
物理结构
用户
L3
…
网络
L3 L3
用户管理 -- Web认证
CoreCore
BAS
Radius Server
1 、用户发起 PPPoE
1 、用户发起 PPPoE
2 、 BAS终结 PPPoE
2 、 BAS终结 PPPoE
5 、 Radius服务器完成对用户的计费
5 、 Radius服务器完成对用户的计费
3 、 BAS与 Radius服务器配合完成 PPPoE的帐号、密码的验证处理,给用户分配一个合
法的 IP 地址
3 、 BAS与 Radius服务器配合完成 PPPoE的帐号、密码的验证处理,给用户分配一个合
法的 IP 地址
4 、用户获得 IP地址并可以访问 I
nternet
4 、用户获得 IP地址并可以访问 I
nternet
S3050/S3026/S2403H
PPPoEPPPoE 方式是基于方式是基于
帐号、密码的认证帐号、密码的认证
方式 方式
PPPOE认证方式
Radius Server
1 、用户发起认证
1 、用户发起认证
3 、接入设备作为认证客户端,与 Radius Server 配
合完成用户的认证过程
3 、接入设备作为认证客户端,与 Radius Server 配
合完成用户的认证过程
2 、接入设备的端口在用户未经过认证前不能能访问任何地方,并且不能获得 IP 地址
2 、接入设备的端口在用户未经过认证前不能能访问任何地方,并且不能获得 IP 地址
4 、用户通过认证后可以 DHCP获得 IP 地址
4 、用户通过认证后可以 DHCP获得 IP 地址
5 、用户获得 IP 地址后可以正常实现 Internet 访问,设备将用户的 IP 地址、 MAC 地址、VLAN进行绑定
5 、用户获得 IP 地址后可以正常实现 Internet 访问,设备将用户的 IP 地址、 MAC 地址、VLAN进行绑定
S2403/S3026
S6506
DHCP Server
用户管理- 802.1x
CorCoree
1. 扩展 802.1X 的握手机制 , 定期监测用户的在线情况,解决了有线网应用中的仿冒和时长计费准确性问题 ;
2. 交换机支持内置认证服务器 , 降低了小型网络的建设成本和管理成本 ;
3. 支持 EAP终结和 EAP续传两种模式 , 可以支持现有的 Radius
Server, 保护用户的投资 .
4. 提供多平台的 802.1X客户端软件 .( WINDOWS98/ME/2000/XP),
客户端软件可以满足运营网络的要求 .
5. 802.1X受控端口机制灵活 , 支持基于端口 , 基于 MAC 地址的受控端口 , 可以灵活地应用在各种网络环境 , 如网吧 ,校园 .
华为 802.1X 系统的特点
基于用户的访问控制:
1 、配置用户禁止访问的网段;
2 、配置用户组之间的访问与禁止
3 、保护网上或小区重要服务器
4 、便于设置用户访问网络资源的权限
R
R
CORE
ACL
RadiusServer 访问控制表访问控制表 ACL:ACL:
DstIP SrcIP Action ...
userA userB Deny
0.0.0.0/0 userA Permit
访问控制表访问控制表 ACL:ACL:
DstIP SrcIP Action ...
userA userB Deny
0.0.0.0/0 userA Permit
L3/L2
提供二到七层策略的报文 ACL功能
可根据源、目的地址 IP 地址、源、目的四层端口号和入、出物理端口、协议类型等信息对策略进行的灵活配置
业务管理—访问控制管理
可控组播网络模型
PORTAL
网络管理、认证、计费、组播源
汇聚层、接入层 S6506
宽带小区 /企业网络
宽带骨干网络
PPPoE 用户
VLAN 用户
可控组播可控组播
S6506
S6506
可控组播技术
VLLS6506
S3026
S2000
S3000
网管中心
企业 A-1客户 1-1
S8016
CE
CE
P/PE
•支持多种形式的 VPN 技术•VLL•VLAN / VLAN TRUNK•MPLS L2/L3 VPN•VPDN
支持多种 VPN 技术的互操作提供完善的 VPN 全程业务管理系统
S6506
S6506
企业 A-2
S8016
客户 1-2
VLAN
P
客户业务信息
部署( 业务规划 /部署 /审计 )
计费系统
性能 /QoS监控故障监控
订单系统
MPLS 网络
业界领先的 VPN业务提供能力
P
华为 VPN 业务管理系统是目前业内第一套支持多产家设备互操作的业务管理系统
上层设备(网络中心)提供电源,通过五类线供电
简化施工,降低维护运营费用
网络 L3/L2
L2
五类线远程供电
…
网络中心
小区
维护运营管理-远程供电
•IP/MAC 地址追查 •网管根据 IP/MAC地址可方便定位到设备端口,迅速实现故障定位• 提供最小粒度的安全保障,防止端口盗用等攻击措施
远程端口环回(内环回远程端口环回(内环回 // 外环回)测试,远程故障定位。外环回)测试,远程故障定位。
维护运营管理-远程故障定位和维护
IP 网络
iManager N2000
IP 网络IP 网络
iManager N2000
Quidview Monitor Center
DCN
• 大规模网络的集中拓扑管理• 分级域管理和授权• 全网故障数据的收集和统计• 全网性能数据的收集和统计
• 本区域设备的集中管理与维护• 接受上级网管的权限管理• 向上级网管上报告警数据• 向上级网管上报性能数据
分级管理解决了大规模 分级管理解决了大规模 IP IP 网络的管理问题网络的管理问题
维护运营管理-分级网管
•统一管理所有支持 SNMP 协议的设备;
•自动 /手动发现 IP网络拓扑结构,自动/手动排列拓扑节点。
•对网络状态、拓扑结构实时监控,动态刷新;•在网络、设备状态改变时,改变节点颜色,提示用户。
维护运营管理-拓扑管理
维护运营管理-可视化图形界面• 方便的面板启动方式——双击拓扑节点
• 逼真的设备 面板—采用实际的设备照片•前后面板同时浏览
维护运营管理-智能化性能监控智能性能监控
设备内嵌智能 Agent ,实现对需经过复杂计算的性能数据(如接口利用率)的主动监视,在超出阈值时能自动产生告警,并生成 Email 、手机短信及时通知网管人员。
TrapTrap
EmailEmail
短信短信计算计算
接口输入包+接口输出包接口输入包+接口输出包接口带宽接口带宽接口利用率接口利用率 ==
• 告警实时监视和历史告警查询• 支持告警过滤,关注和自己相关的告警
• 告警转发,支持二次开发• 告警远程通知 ( 转手机短信、 E
mail 等 )
维护运营管理-告警管理