数据中心
文案大全络建设方案
网
实用标准
目 录
第一章 数据中心现状分析 ............................................................................................................. 4 第二章 数据中心网络技术分析 ..................................................................................................... 4
2.1 路由与交换 ........................................................................................................................ 4 2.2 EOR 与TOR ...................................................................................................................... 5 2.3网络虚拟化 ......................................................................................................................... 5
2.3.1 网络多虚一技术 ..................................................................................................... 5 2.3.2网络一虚多技术 ...................................................................................................... 7 2.4 VM互访技术(VEPA) ................................................................................................... 7 2.5 虚拟机迁移网络技术 ...................................................................................................... 11 第三章 方案设计 ........................................................................................................................... 13
3.1网络总体规划 ................................................................................................................... 13 3.2省级数据中心网络设计 ................................................................................................... 15 3.3市级数据中心网络设计 ................................................................................................... 16 3.4区县级数据中心网络设计 ............................................................................................... 17 3.5省、市、区/县数据中心互联设计 .................................................................................. 18
3.5.1省、市数据中心互联 ............................................................................................ 18 3.5.2市、区/县数据中心互联 ....................................................................................... 19 3.5.3数据中心安全解决方案 ........................................................................................ 19
第四章 方案的新技术特点 ........................................................................................................... 21
4.1量身定制的数据中心网络平台 ....................................................................................... 21
4.1.1最先进的万兆以太网技术 .................................................................................... 21 4.1.2硬件全线速处理技术 ............................................................................................ 22 4.1.3 Extreme Direct Attach技术 ................................................................................... 24 4.1.5 帮助虚机无缝迁移的XNV技术 ........................................................................ 29 4.1.5环保节能的网络建设 ............................................................................................ 33 4.2 最稳定可靠的网络平台 .................................................................................................. 34
4.2.1 独有的模块化操作系统设计 ............................................................................... 34 4.2.2超强的QOS服务质量保证 .................................................................................. 35 4.3先进的网络安全设计 ....................................................................................................... 37
4.3.1 设备安全特性 ..................................................................................................... 38 4.3.2用户的安全接入 .................................................................................................. 39 4.3.3智能化的安全防御措施 ...................................................................................... 40 4.3.4常用安全策略建议 .............................................................................................. 41
附录 方案产品资料 ....................................................................................................................... 45
1. 核心交换机BD 8800 ..................................................................................................... 45 2. SummitX670系列产品 .................................................................................................. 49 3. 三层千兆交换机Summit X460 ..................................................................................... 61 4. 核心路由器MP7500 ...................................................................................................... 69 5. 汇聚路由器MP7200 ...................................................................................................... 75 6. 接入路由器MP3840 ...................................................................................................... 81
文案大全
实用标准
7. 8.
接入路由器MP2824 ...................................................................................................... 85 MSG4000综合安全网关 ............................................................................................... 90
文案大全
实用标准
第一章 数据中心现状分析
云计算数据中心相比较传统数据中心对网络的要求有以下变化: 1、Server-Server流量成为主流,而且要求二层流量为主。 2、站点内部物理服务器和虚拟机数量增大,导致二层拓扑变大。 3、扩容、灾备和VM迁移要求数据中心多站点间大二层互通。 4、数据中心多站点的选路问题受大二层互通影响更加复杂。
5、iSCSI/FCoE是数据中心以网络为核心演进的需求,也是不可或缺的一部分。
第二章 数据中心网络技术分析
2.1 路由与交换
数据中心网络方面,关注的重点是数据中心内部服务器前后端网络,对于广泛意义上的数据中心,如园区网、广域网和接入网等内容,不做过多扩散。
数据中心的网络以交换以太网为主,只有传统意义的汇聚层往上才是IP的天下。数据中心的以太网络会逐步扩大,IP转发的层次也会被越推越高。
数据中心网络从设计伊始,主要着眼点就是转发性能,因此基于CPU/NP转发的路由器自然会被基于ASIC转发的三层交换机所淘汰。传统的Ethernet交换技术中,只有MAC一张表要维护,地址学习靠广播,没有什么太复杂的网络变化需要关注,所以速率可以很快。而在IP路由转发时,路由表、FIB表、ARP表一个都不能少,效率自然也低了很多。
云计算数据中心对转发带宽的需求更是永无止境,因此会以部署核心-接入二层网络结构为主。层次越多,故障点越多、延迟越高、转发瓶颈也会越多。目前在一些ISP(InternetService Provider)的二层结构大型数据中心里,由于传统的STP需要阻塞链路浪费带宽,而新的二层多路径L2MP技术还不够成熟,因此会采用全三层IP转发来暂时作为过渡技术,如接入层与核心层之间跑OSPF动态路由协议的方式。这样做的缺点显而易见,组网复杂,路由计算繁多,以后
文案大全
实用标准
势必会被Ethernet L2MP技术所取代。
新的二层多路径技术,不管是TRILL还是SPB都引入了二层ISIS控制平面协议来作为转发路径计算依据,这样虽然可以避免当前以太网单路径转发和广播环路的问题,但毕竟是增加了控制平面拓扑选路计算的工作,能否使其依然如以往Ethernet般高效还有待观察。MPLS就是一个的前车之鉴,本想着帮IP提高转发效率,没想到却在VPN路由隔离方面获得真正应用。
2.2 EOR 与TOR
数据中心网络设备就是交换机,而交换机就分为机箱式与机架式两种。当前云计算以大量X86架构服务器替代小型机和大型机,导致单独机架Rack上的服务器数量增多。受工程布线的困扰,在大型数据中心内EOR(End Of Row)结构已经逐步被TOR(Top Of Rack)结构所取代。机架式交换机作为数据中心服务器第一接入设备的地位变得愈发不可动摇。而为了确保大量机架式设备的接入,汇聚和核心层次的设备首要解决的问题就是高密度接口数量,由此机箱式交换机也就占据了数据中心转发核心的位置。
综合来说,一般情况下数据中心以大型机箱式设备为核心,机架式设备为各个机柜的接入
2.3网络虚拟化
云计算就是计算虚拟化,而存储虚拟化已经在SAN上实现得很好了,剩下网络虚拟化了。云计算环境中,所有的服务资源都成为了一个对外的虚拟资源,那么网络不管是从路径提供还是管理维护的角度来说,都得跟着把一堆的机框盒子进行多虚一统一规划。而云计算一虚多的时候,物理服务器都变成了很多的VM,网络层面则需要对一虚多对通路建立和管理更精细化。
2.3.1 网络多虚一技术
网络多虚一技术。最早的网络多虚一技术代表是交换机集群Cluster技术,多以盒式小交换机为主,较为古老,当前数据中心里面已经很少见了。而新的技
文案大全
实用标准
术则主要分为两个方向,控制平面虚拟化与数据平面虚拟化。
控制平面虚拟化
顾名思义,控制平面虚拟化是将所有设备的控制平面合而为一,只有一个主体去处理整个虚拟交换机的协议处理,表项同步等工作。从结构上来说,控制平面虚拟化又可以分为纵向与横向虚拟化两种方向。
纵向虚拟化指不同层次设备之间通过虚拟化合多为一,相当于将下游交换机设备作为上游设备的接口扩展而存在,虚拟化后的交换机控制平面和转发平面都在上游设备上,下游设备只有一些简单的同步处理特性,报文转发也都需要上送到上游设备进行。可以理解为集中式转发的虚拟交换机横向虚拟化多是将同一层次上的同类型交换机设备虚拟合一,,控制平面工作如纵向一般,都由一个主体去完成,但转发平面上所有的机框和盒子都可以对流量进行本地转发和处理,是典型分布式转发结构的虚拟交换机。
控制平面虚拟化从一定意义上来说是真正的虚拟交换机,能够同时解决统一管理与接口扩展的需求。但是有一个很严重的问题制约了其技术的发展。服务器多虚一技术目前无法做到所有资源的灵活虚拟调配,而只能基于主机级别当多机运行时,协调者的角色(等同于框式交换机的主控板控制平面)对同一应用来说,只能主备,无法做到负载均衡。网络设备虚拟化也同样如此,以框式设备举例,不管以后能够支持多少台设备虚拟合一,只要不能解决上述问题,从控制平面处理整个虚拟交换机运行的物理控制节点主控板都只能有一块为主,其他都是备份角色(类似于服务器多虚一中的HA Cluster结构)。总而言之,虚拟交换机支持的物理节点规模永远会受限于此控制节点的处理能力。
数据平面虚拟化
数据平面的虚拟化,目前主要是TRILL和SPB,他们都是用L2 ISIS作为控制协议在所有设备上进行拓扑路径计算,转发的时候会对原始报文进行外层封装,以不同的目的Tag在TRILL/SPB区域内部进行转发。对外界来说,可以认为TRILL/SPB区域网络就是一个大的虚拟交换机,Ethernet报文从入口进去后,完整的从出口吐出来,内部的转发过程对外是不可见且无意义的。
这种数据平面虚拟化多合一已经是广泛意义上的多虚一了,此方式在二层Ethernet转发时可以有效的扩展规模范围,作为网络节点的N虚一来说,控制平
文案大全
实用标准
面虚拟化目前N还在个位到十位数上晃悠,数据平面虚拟化的N已经可以轻松达到百位的范畴。但其缺点也很明显,引入了控制协议报文处理,增加了网络的复杂度,同时由于转发时对数据报文多了外层头的封包解包动作,降低了Ethernet 的转发效率。
从数据中心当前发展来看,规模扩充是首位的,带宽增长也是不可动摇的,因此在网络多虚一方面,控制平面多虚一的各种技术除非能够突破控制层多机协调工作的技术枷锁,否则只有在中小型数据中心里面应用,后期真正的大型云计算数据中心势必是属于TRILL/SPB此类数据平面多虚一技术的天地。
2.3.2网络一虚多技术
网络一虚多技术,已经根源久远,从Ethernet的VLAN到IP的VPN都是已经成熟技术,FC里面则有对应的VSAN技术。此类技术特点就是给转发报文里面多插入一个Tag,供不同设备统一进行识别,然后对报文进行分类转发。代表如只能手工配置的VLAN ID和可以自协商的MPLS Label。传统技术都是基于转发层面的,虽然在管理上也可以根据VPN进行区分,但是CPU/转发芯片/内存这些基础部件都是只能共享的。
目前最新的一虚多技术是类似Extreme Networks在交换机系统中实现的Virtual Router,和VM一样可以建立多个虚拟交换机并将物理资源分配,目前的实现是最多可建立个VR,其中有一个用做管理。
2.4 VM互访技术(VEPA)
随着虚拟化技术的成熟和x86 CPU性能的发展,越来越多的数据中心开始向虚拟化转型。虚拟化架构能够在以下几方面对传统数据中心进行优化:
提高物理服务器CPU利用率; 提高数据中心能耗效率; 提高数据中心高可用性; 加快业务的部署速度
正是由于这些不可替代的优点,虚拟化技术正成为数据中心未来发展的方向。然而一个问题的解决,往往伴随着另一些问题的诞生,数据网络便是其中之
文案大全
实用标准
一。随着越来越多的服务器被改造成虚拟化平台,数据中心内部的物理网口越来越少,以往十台数据库系统就需要十个以太网口,而现在,这十个系统可能是驻留在一台物理服务器内的十个虚拟机,共享一条上联网线。
这种模式显然是不合适的,多个虚拟机收发的数据全部挤在一个出口上,单个操作系统和网络端口之间不再是一一对应的关系,从网管人员的角度来说,原来针对端口的策略都无法部署,增加了管理的复杂程度。
其次,目前的主流虚拟平台上,都没有网管界面,一旦出现问题网管人员与服务器维护人员又要陷入无止尽的扯皮中。当初虚拟化技术推行的一大障碍就是责任界定不清晰,现在这个问题再次阻碍了虚拟化的进一步普及。
接入层的概念不再仅仅针对物理端口,而是延伸到服务器内部,为不同虚拟机之间的流量交换提供服务,将虚拟机同网络端口重新关联起来。
做为X86平台虚拟化的领导厂商,VMWare早已经在其vsphere平台内置了虚拟交换机vswitch,甚至更进一步,实现了分布式虚拟交互机VDS(vnetwork distributed switch),为一个数据中心内提供一个统一的网络接入平台,当虚拟机发生vmotion时,所有端口上的策略都将随着虚拟机移动。
虚拟以太网端口汇聚器(VEPA)是最新IEEE 802.1Qbg标准化工作的一个组成部分,其设计目标是降低与高度虚拟化部署有关的复杂性。如果我们研究一下使用虚拟交换机的传统方法就会发现,它与VEPA方法存在很大的不同,VEPA使用户可以深入了解虚拟化及联网中的各项部署挑战和需要考虑的因素。
当您的物理主机上的监视程序上有多台虚拟机(每台虚拟机都包含一套操作系统和多种应用)时,这些虚拟机在相互通信和与外部世界通信时都要使用虚拟交换机。事实上,虚拟交换机是一种第2层交换机,通常以软件的形式在监视程序内运行。每种监视程序通常都有一个内建的虚拟交换机。不同的监视程序所含的虚拟交换机在能力方面也是千差万别的。
当虚拟交换机从联网领域转移到服务器领域时,就有必要针对虚拟环境对传统的基于网络的工具和解决方案进行重新测试、重新定性和重新部署。从某些方面来说,这种变化会对虚拟化的快速扩展和普及造成阻碍。
例如,传统的网络和服务器运营团队是截然分开的,每个团队都有自己的流程、工具和控制范围。由于虚拟交换机的原因,联网进入了服务器的范畴,因此
文案大全
实用标准
像供应虚拟机这样的简单任务也需要这些团队之间开展额外的协调工作,从而确保虚拟交换机的配置与物理网络配置保持一致。
由于缺乏网络中虚拟机之间流量的可视性,因此涉及到虚拟机之间通信的故障查找和监视也变成了一项极具挑战性的工作。而且随着虚拟机数量的增长,单个服务器中的虚拟机目前已经达到8至12台,并且会在不久的将来达到32至台,因此,保护虚拟机彼此不受干扰,以及不受外界威胁的侵害都变成了一项需要认真考虑的问题。
从防火墙到IDS/IPS,基于网络的传统设备和工具都需要针对这些高度虚拟化的环境重新开发、重新认证和重新部署,从而确保虚拟机之间通过虚拟交换机的通信能够满足法规一致性和安全方面的要求。
由于在虚拟交换机方面缺乏标准,因此会增加涉及不同监视技术的培训、互用性和管理开销,进入使这些挑战变得更加复杂。事实上,物理服务器正在变成一种全面的网络环境,拥有自身的互用性、部署、认证和测试要求。
有趣的是,这种趋势与虚拟化最基本的优势之一是背道而驰的,即虚拟化能够将服务器中过剩的容量以更高的效率来运行各类应用。目前,这种“服务器中的网络”很有可能演变成这些过剩容量的消费方,将CPU和内存资源吞噬殆尽。
VEPA的方法
为应用这些挑战,各方已经提出了多种不同的解决方案,其中就包括VEPA。VEPA是一种虚拟交换机替代产品;它不仅进入了标准化进程,而且成为业界众多厂商的一致选择。
事实上,VEPA会将服务器上虚拟机生成的所有流量转移到外部的网络交换机上。外部网络交换机接下来会为同一台物理服务器上的虚拟机和基础设施的其它部分提供连接。
实现这一功能的方法是将一种新型转发模式融入物理交换机中,使流量能够从来时的端口“原路返回”,从而简化同一服务器上虚拟机之间的通信。
“原路返回”模式(或称“反射中继”)可以在需要时将包的单一副本反向发送至同一台服务器上的目的地或目标虚拟机。对于广播或组播流量,VEPA能够以本地方式向服务器上的虚拟机提供包复制能力。
文案大全
实用标准
传统上,多数网络交换机都不支持这种“原路返回”模式行为,因为它可能会在非虚拟世界中造成环路和广播风暴。然而,许多网络厂商都开始支持这种行为,目的就是解决虚拟机交换的问题,而且使用简单的软件或固件升级即可实现。
IEEE的802.1Qbg工作组还努力将这种行为变成了标准。VEPA能够以软件的方式,作为监视程序中的瘦层在服务器中实施,也可以作为网卡中的硬件来实施,在后一种情况下还可以与SR-IOV等PCIe I/O虚拟化技术结合使用。其中一个典型的例子就是Linux KVM监视程序中提供的基于软件的VEPA实施。
事实上,VEPA将交换功能移出了服务器,并且将其放回物理网络中,而且让外部网络交换机能够看到所有的虚拟机流量。通过将虚拟机交换移回物理网络,基于VEPA的方法使现有的网络工具和流程可以在虚拟化和非虚拟化环境以及监视程序技术中以相同的方式自由使用。
防火墙和IDS/IPS等基于网络的设备,以及访问控制列表(ACL)、服务质量(QoS)和端口监视等成熟的网络交换机功能都可以直接用于虚拟机流量和虚拟机之间的交换,因此减少和消除了对虚拟网络设备重新进行昂贵的质量判定、测试和部署的需求。
此外,VEPA将网络管理控制层重新交给了网络管理员,为所有与虚拟机相关联网功能的供应、监视和故障查找提供了一个单一控制点。
将网络功能从服务器卸载至网络交换机能够带来诸多的优势,例如释放服务器资源并将其用于更多的应用,同时还可在虚拟和非虚拟服务器之间提供线速交换;从1Gbps至10Gbps,甚至可以达到40Gbps和更高的100Gbps。
因此,基于VEPA的方法有助于扩大虚拟化部署,降低复杂性和成本,并且加快虚拟化的普及。
尽管基于VEPA的方法能够带来许多好处,但在某些环境下,虚拟机间流量的交换最好还是留在服务器内部。例如,在有些环境下物理服务器要承担虚拟机的巨大负荷,而且这些虚拟机之间的通信非常频繁,因此为了将延迟降至最低程度,最好的方法是将虚拟机之间的流量留在服务器内部。
在此类场景中,可能的方法之一是绕过基于监视程序的软件虚拟交换机,利用新型网卡提供的交换硬件能力,即SR-IOV等基于入向I/O虚拟化的能力。同样,在使用这种方法时,也需要权衡考虑完全使用“服务器中的网络”模型时的安全和成本问题。
文案大全
实用标准
随着服务器虚拟化的广泛普及,服务器内和服务器间虚拟机交换流量的复杂性都在不断提高。基于VEPA的虚拟机间流量交换方法能够为基于虚拟交换机的传统方法提供一种非常有趣且极具吸引力的替代方案。为了向网络和服务器基础设施提供支持VEPA的能力,此类技术的标准化工作正在紧锣密鼓地进行当中。
2.5 虚拟机迁移网络技术
虚拟服务器能够大幅度提升服务器计算资源利用率,但是仍然只发挥了虚拟化优势的很小一部分。虚拟化向网络的延伸使虚拟机能够在应用程序运行的同时实现在物理服务器之间的漂移,并按需提供容量,无需增加昂贵且未尽其用的平台。更重要的是,动态虚拟机的创建和移动让管理员能够迅速响应新的请求,从而提高用户的生产效率和客户满意度。但是目前传统的网络设备并不能满足这种动态迁移的需求,这成为虚拟化进程中的瓶颈,而解决这一瓶颈就意味着虚拟化时代的真正到来。
将虚拟化优势延伸至网络,如何动态并经济有效地分配资源,来满足高峰和低谷时的业务需求显得至关重要。通常在一个工作日中,对计算资源的需求会从最小量开始增长。虚拟机可以立刻迁移至其它新启动的服务器上去,以满足需求。在工作日结束时,对计算资源的需求会降低,那时虚拟机可以迁回原来的服务器,并关闭不需要的服务器资源,以简化管理并降低供电成本。在这个过程中,网络的虚拟化至关重要,网络可以使得虚拟机的动态迁移成为可能,还可以保证在任何情况下对于应用的保护,甚至可以使得用户感觉不到虚拟资源的扩展或缩小。 日常的虚拟机迁移只是虚拟机漂移技术的一种实践应用。当服务器离线进行维护或发生故障时,虚拟机也可进行漂移以支持业务的连续性。为了利用这些优势,在硬件平台间漂移虚拟机相关的网络配置虽并不复杂,但却至关重要且非常耗时。此外,当虚拟机在数据中心内漂移时,与每台虚拟机相关的网络层策略必须随之漂移。这些策略控制着安全、服务质量(QoS)等因素,并因用户和应用的具体情况而异。因此,为每个业务应用维持相适应的网络策略对于业务运营而言至关重要。
虚拟机从一台物理服务器漂移至另一台之前,与之相关的网络端口配置以及安全策略必须针对目标服务器进行正确的设置,以满足安全需求。如果数据中心存在大量的服务器和虚拟机迁移,那么手动配置会消耗大量的时间和资源。
文案大全
实用标准
利用网络虚拟化的解决方案可使虚拟机迁移相关的网络管理任务实现自动化,且无需大量的管理人员。 针对虚拟机漂移的自动化网络管理
实现虚拟机漂移的网络自动化最关键的,就是构建一个包含智能软件的网络交换机,来对单个虚拟机进行配置。传统的网络交换机是通过一个物理端口来与它连接的服务器进行通信的。而包含智能软件的交换机,则能够实现对单个虚拟机的感知,以及对每个虚拟机进行网络配置,从而将单个虚拟机属性扩展到整个网络。当虚拟机在整个网络迁移时,交换机能够追踪这种迁移,并确保网络设置与虚拟机一起实现迁移。
虚拟机感知的一个重要方面是能够与多种架构相兼容。被称为虚拟机监控器(VMM)是虚拟化软件的重要组成之一,它能够使多种操作系统在单一主机平台中运行。目前可支持Citrix、微软、VMwareXen,Oracle等虚拟化平台。 由于数据中心通常运行不同的虚拟化架构,因此,具备兼容多个虚拟化架构的能力至关重要。研究和开发部门或许更青睐某一款架构,因为它使用户能够更好地管理服务器;而数据管理员为了其他用户也许会统一使用另一款来自指定厂商的虚拟化架构。或者,数据中心管理员因为价格或其他因素也许会选择逐步迁移至其它厂商的架构,从而创建一个临时的混合型环境。而网络是承载这些架构的基础,网络的虚拟化同样也需要对于混合环境提供很好的兼容性。 基于交换机的虚拟化产品也包含的有价值的特性:
• 跟踪虚拟机的迁移,无需变更以太网数据包,最大限度提高资源利用率。 • 内置于交换机的智能软件可以缓解网络管理员的负担• 该架构能够方便用户在虚拟层中配置网络设定,从而提高生产效率。 • 同时支持多种虚拟化架构,最大限度提高灵活性。
•管理平台界面简化管理。
针对虚拟化网络的解决方案已成为现实。Extreme Networks公司的XNV技术,能够搜索虚拟机并使性能和安全设置与虚拟端口(而非物理端口)相联系。使用管理员拥有粒度标准来监测每台虚拟机及其相关的虚拟端口。XNV还可监测虚拟机的创建和迁移,并确保网络设置随着虚拟机迁移。这些功能都有助于降低由网络配置错误引起的应用宕机风险,以及将敏感应用暴露给未受权用户的安全
文案大全
实用标准
风险。
综上所述,数据中心的虚拟化,即“网络感知”和开放性,是新的数据中心的必备能力,只有这样,用户才能优化资源利用率,降低手动维护安全策略所造成的人工错误,因为虚拟化提高了数据中心的可用性,并降低了总体拥有成本。
第三章 方案设计
3.1网络总体规划
数据中心网络的建设,需要考虑到以下的一些因素:系统的先进程度、系统的稳定性、可扩展性、系统的维护成本、应用系统和网络系统的配合度、与外界互连网络的连通、建设成本的可接受程度。
网络整体设计采用国际通行的TCP/IP协议,并达到以下目标: 1)系统可靠性和稳定性
作为高性能园区网络,系统的高可靠性和稳定性是网络应用环境正常运行的首要条件。在保证系统可靠性的基础上,还要进一步提高系统的可用性。我们可以从以下几个方面来提供保证。
网络设备、主机系统具有很高的平均无故障时间,并且在业界有广泛的用户
基础;
关键网络设备冗余工作,其关键部件可实现在线更换(热拔插),故障的恢
复时间在秒级间隔内完成;
网络在设备、拓扑以及线路等方面均应具有较高的可靠性,以保证每周7*24
小时,每年365*24小时的正常工作。 2)开放性和标准化
为了保证在网络时保证不同设备的互通性,所以网络系统在设计时必须采用开放技术、支持国际标准协议,具有良好的互连互通性,保证支持同一厂家的不同系列的产品以及与不同厂商的不同网络设备无缝连接和互操作的能力。 3)具有高处理能力、可扩展性
现支持各种高速网络(快速以太网、千兆以太网、万兆以太网等技术),提高对数据包的转发能力和速度,提供足够的网络带宽。支持各种协议并存,可灵
文案大全
实用标准
活地构成不同系统,并可方便地从拓扑的角度和设备的角度扩展,方便升级以满足将来业务增长的需要。
在网络设计时,为了适应用户快速增长的需要,首先要满足现有规模网络用户和应用的需求,同时考虑未来业务发展、规模的扩大,应该设计关键网络设备具备扩展能力以及网络实施新应用的能力。
灵活扩充性:灵活的端口扩充能力,模块扩充能力,满足网络规模的扩充。 支持新应用的能力:产品具有支持新应用的技术准备,能够符合实际要求的,方便快捷地实施新应用。
4)系统的先进、成熟、实用性及可管理和可维护性
当今世界,通信技术和计算机技术的发展日新月异,网络设计既要适应新技术发展的潮流,保证系统的先进性,也要兼顾技术的成熟性、实用性,选择最合适的设备和技术,降低由于新技术和新产品不成熟因素给用户带来的风险。
在系统设计中,选择先进的系统管理软件是必不可少的。我们在这里采用我们通过这个统一的管理平台的控制,监控主机系统、网络系统、应用系统状态,简化管理工作,提高了主机系统和网络系统的利用效率。提供先进而完善的网络管理工具,监控网络故障,优化网络性能,实现一体化的网络管理。网络管理基于SNMP,支持RMON和RMON2。 5)系统安全性和保密性
现在我们网络内接入的用户对网络的好奇心,促使会攻击我们内部网络,我们制订统一的安全策略,整体考虑网络平台的安全性,能够提供不同方式不同级别的安全策略,保证网络重要用户和数据服务器的安全性。
所以说安全性是网络运行的生命线。合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护。网络可以阻止任何非法的操作;网络设备可进行基于协议、基于MAC地址、基于IP地址的包过滤控制功能,不同的业务,划分到不同的虚网中。
6)保护用户现有投资及效益性
在保证网络整体性能的前提下,网络设计充分保护用户投资及效益性,利用现有的网络设备或做必要的升级,在原设备的基础上,进行网络建设,避免用户投资的重复浪费,在满足用户需求和未来发展的趋势情况下,采用性价比高的设
文案大全
实用标准
备,构筑经济可靠的网络平台,使新系统更有效地承担繁重的任务,能支持将来系统的维护和平滑升级。所采用的设备应是当今业界的主流产品,采用主流技术、标准协议,具有良好的互操作性,减少设备互连的问题,网络维护的费用,使用户的投资得到有效保护。
3.2省级数据中心网络设计
对于省级数据中心,一般规划为大约五百台高性能服务器,在这种模式下,可以规划2-3层网络连接模式(下图为3层)
如上图所示,一般情况下,大型数据中心采用2-3层网络结构,以3层结构
为例,采用2台高性能Extreme Networks BD8800核心交换机,提供48个四万兆(40G接口),通过40G通道下联到汇聚层Summit X670系列交换机。每台Extreme Networks Summit X670交换机提供48-60个万兆万兆接口,并提供四万兆接口上联,万兆下联Summit X460交换机,通过X460交换机使用千兆连接所有服务器。
但是对于新型的大型数据中心,万兆网络连接已经成为主流,所以一般使用
万兆连接服务器,则直接将网络简化为如下2层:
文案大全
实用标准
万兆以太网技术目前已成为建设大中型数据中心网络的主流技术。为实现数据网络平台的功能,并考虑网络在性能、容量、扩展性、先进性和服务质量等方面的要求,经过对交换以太网、快速以太网、千兆以太网、万兆以太网不同网络架构在VLAN(虚拟局域网)技术、第三层或多层交换技术、QoS、ACL等方面的性能表现及成本分析,确定将高密度端口的万兆以太网交换机作为整个信息网络的接入设备。
通过将万兆以太网、千兆以太网、VLAN技术、三层路由交换、局域网中的QoS、ACL技术与投资经济性实现完美的有机结合,建立一个具有成熟的先进技术,同时又可简便维护和安全使用的网络。
在省级网络设计中,我们最终推荐核心到接入交换机40G连接,接入到服务器10G连接。
3.3市级数据中心网络设计
市级数据中心一般采用小于100台服务器,根据省级网络的建设设计,我们同样使用万兆进行连接,这里采用一台Summit X670系列交换机。每台Extreme
Networks Summit X670交换机提供个万兆万兆接口,或者采用X670交换机堆叠,提供112个万兆端口,如下图所示:
文案大全
实用标准
3.4区县级数据中心网络设计
区县级数据中心,一般采用普通企业级服务器,不进行大规模数据集中,所
以一般只适用千兆进行接入,所以采用两台千兆交换机Extreme Networks Summit X460进行互联,通过冗余备份设置,千兆连接内部所有服务器。
文案大全
实用标准
3.5省、市、区/县数据中心互联设计
对于大多数行业客户如医疗、教育或等,其数据中心不只为本地市提供
数据交换和处理,同时各级数据中心之间还需要进行数据的远程交换和共享,从而充分发挥多级数据中心架构的优势,使各级数据中心协同工作、远程交换、数据共享和统一管理。因此省、市、区/县数据中心的互联也势在必行。
3.5.1省、市数据中心互联
省数据中心由于数据量较大,需要同时汇聚地市一级数据中心,因此在省数据中心推荐配置两台MP7508作为核心汇聚路由器,并互为备份。MP7508汇聚路由器通过1000M光接口连接省数据中心核心交换机BD8800,再通过1000M MSTP或155M SDH/ATM网络分别连接各个地市数据中心上联路由器MP7204,地市上联路由器MP7204通过1000M光接口连接其核心交换机X670。由于MP7508和MP7204路由器的高性能,从而实现省、市数据中心的高速互联,其软/硬件高可靠性设计以及每个节点采用双机备份的方式,实现了数据传输的高可靠性和稳定性;另外我们可采用MPLS等安全技术,进一步保证数据传输的安全性。
文案大全
实用标准
3.5.2市、区/县数据中心互联
根据不同的行业和应用,市数据中心与区/县数据中心之间数据流量不同,在数据流量较大的应用中,市数据中心采用MP7204中心汇聚路由器通过100M或1000M MSTP线路连接各个区/县数据中心MP3840汇聚路由器;对于数据流量较小的行业或应用,市数据中心MP7204可采用155M SDH线路,采用2M复用的方式连接各个区/县数据中心MP2824,区/县数据中心可根据实际带宽需求采用2M或N*2M链路捆绑方式接入市数据中心。同样为了提高互联的可靠性,地市汇聚路由器和区/县上联路由器均采用双机双线路冗余备份方式,确保数据传输的高可靠性。
3.5.3数据中心安全解决方案
虽然数据中心处于一个相对安全的私有网络环境,不同级别的数据中心也可通过运营商专有线路进行互联互通,其内部数据中心和传输线路上有一定的安全保障。同时为提高数据中心的开放度和利用率,以及远程管理等,其势必要与外部网络或internet进行数据的互联互通,为外部或互联网用户提供数据业务和管理。因此在数据中心的边界需要充分考虑其接入和互联互通的安全性,需要有效的的边界隔离,可以实现对非法访问的阻断;其二是有效的身份识别与访问控
文案大全
实用标准
制功能,可以实现对源地址的定位、识别和控制;其三是建立有效的对抗攻击能力,实现对异常流量、恶意代码、有目标的渗透等情况的鉴别和防护;其四是建立深度应用识别与攻击检测,对应用数据包进行深度检测,防范欺骗;其五是可以实现业务间隔离与带宽资源控制,保障重要业务访问;其六是保护数据传输安全,防止数据被窃听和篡改;同时,还必须具有高可靠性的安全设备来防止由于高并发访问量、系统故障等突发情况而带来的访问不便。此外,由于边界是数据中心正常运行的重要节点,部署安全产品必须具有便于管理的特点,这就要求设备能够适应不同的网络环境,配置尽量简单方便,特征库能够自动升级,可以提供丰富的访问审计功能,能够对流量进行有效监控,能够提供丰富的攻击统计,使数据中心系统管理员能够充分掌握数据中心的安全态势,为不断地优化安全策略提供依据。因此我们建议采用综合的安全网关作为数据中心边界接入和隔离,为其提供用户安全接入、抗攻击、入侵检测、防病毒、高性能VPN、带宽管理等综合安全解决方案,避免了采用多厂家多型号的安全产品而带来的管理和维护上的安全风险。
以下为数据中心安全解决方案:
文案大全
实用标准
在省、市、区/县数据中心边界,我们采用MSG4000综合安全网关作为外部
移动用户、远程管理以及第三方平台等用户和平台的接入。MSG4000作为一款综合安全产品,可根据用户需求提供从100M到10G不同性能需求,省、市、区/县数据中心可根据实际需要选用不同性能层次的MSG4000;同时MSG4000在功能上可为客户提供安全防护、病毒过滤、入侵检测、应用识别、流量管理、WEB访问控制、上网行为管理以及IPSEC/SSL VPN等功能,满足客户整个安全防护的需求,从而避免了由于设备数量、种类较多带来的维护和管理上的不安全因素。
第四章 方案的新技术特点
4.1量身定制的数据中心网络平台
4.1.1最先进的万兆以太网技术
Extreme公司作为以太网技术的先驱,一直致力于生产严格遵循业界标准的以及可与其他厂商兼容的产品,Extreme Networks是由100家国际知名网络公司组成的千兆以太网联盟和万兆以太网联盟的领导者。Extreme交换机的10GB以太网模块在世界上第一个实现单跳网络传输1 TB数据流量。Extreme公司一直走在10GB以太网交换技术开发的前沿,公司的发起人及首席技术官Steve Haddock现任IEEE 802.3ae任务小组副,该小组已经为10-GB以太网开发了行业标准。Extreme Networks的Tony Lee自2000年3月起,在两年任期内担任万兆以太网联盟,另一名Extreme Networks技术专家Ameet Dhillon目前则担任万兆以太网联盟理事。Extreme交换机的扩充能力和高端交换性能标志着基于标准的高性能以太网技术的重大进步。 万兆以太网市占有率:
文案大全
场的全球市场
实用标准
Extreme在万兆网络应用从初期就一直保持着市场领先地位
4.1.2硬件全线速处理技术
网络业务的不断增多,各种应用的流行,对网络也提出了新的要求,传统的以太网交换机由于基于共享的设计理念,对于音频、视频以及数据的各种业务的传输是无法识别区分的,对于多媒体业务的开展需要更智能的设备来支撑。高速的网络数据传输应用已经不是一个高级网络唯一的重要指标。网络的发展方向是支持线速无阻塞地传输各种多媒体等高级应用,在开启各种网络应用和功能的情况下,保证网络畅通。这也是Extreme公司的强大技术优势所在。
Extreme的智能网方案采用先进的组播技术和Qos保证机制,实现全线速的高质量的业务运行。核心设备的大密度的高速端口使得网络设备具有大容量的交换处理能力,以避免拥塞和延迟。Extreme采用无阻塞交换结构,基于先进路由交换机制,能够提供线速处理能力。以此为基础,通过合理的网络设计实现高性能的网络。
Extreme的全线三层产品交换产品均可实现满载情况下的二层线速帧交换和三层线速包转发。应该强调的是,实际运行的网络需要配置很多控制功能,如 QoS处理、ACL、策略路由等,此时需要交换机耗费更多的资源以实现相应的网络控制处理功能。Extreme产品能够保证性能和功能的一致实现,即在打开诸多控制处理功能的前提下,依然保证数据包的真正线速处理和转发。
Extreme的共享内存式的交换背板结构大大提高了组播转发的效率,节省了交换矩阵的带宽。其他网络厂家的交换机支持的组播、ACL、Qos等都是基于软件技术和CPU运算的,由于占用大量处理器和内存资源,经常会导致丢失数据包,在性能上能上都达不到无丢包的限速传输,不得不以添加昂贵的内存条为代
文案大全
实用标准
价。 Extreme主推的真正的线速网络是性能和功能的全面线速,包括线速路由、线速ACL、线速Qos、线速组播,Extreme的网络设备的Qos、组播、ACL都是通过专门的集成芯片来完成,不占运行用系统资源,这也是目前业界唯一能够同时实现四种线速的全线速核心交换设备。国防大学在新网络未来要承载各种多媒体为基础的新应用,影像方面需要应用到组播、Qos技术都会在本方案的设计中得到卓越的性能表现,优异的全线速网络设计能够为科研和业务的效率提高作出巨大的贡献。
组播结构
传统的组播结构
可以看到在传统组播结构上,要实现组播组的发送需要组播发送端通过传统的交换矩阵多次发送,这样造成了组播数据在整个转发过程中速度慢,同时对端口带宽占用资源过大、占用时间过长,容易造成端口拥塞。
文案大全
实用标准
4.1.3 Extreme Direct Attach技术
今天的虚拟机管理程序利用一个内部的“虚拟交换机”为在一个服务器内部的虚拟机(VM)之间以及它们与外部网路之间提供网络连接。这个虚拟交换机给数据中心网络增加了第四个层级。
今天的许多刀片服务器利用一个内部的“刀片交换机”来汇聚刀片服务器机箱内的每个物理服务器的数据流量。这些交换机给网络增加了第五个层级。
虚拟交换机和刀片交换机的组合把交换层级从3层提高到5五层,显著提高了网络延迟并增加了数据中心内的网络元素,这也增加了数据中心管理的复杂性。
Extreme Networks的Direct Attached技术消除了虚拟交换机层,简化网络并提高网络性能。Extreme Networks的BlackDiamond®8800交换机中的00系列交换模块通过利用高密度板卡和布线系统,消除刀片交换机并使数据中心得到简化,从而使数据中心的层级数量从5层简化为3层。
今天的数据中心网络可以通过结构化分“层”定义。通常情况下,有一个“网络核心”,它是所有数据中心设备的中心连接点。这是数据中心网络的“第一层级”。这个核心可能是一个交换机,或者更通常是由冗余交换机组成的集群来连接所有设备:网络设备、安全设备和服务器。而网络的“第二层级”是汇聚交换机,它连接接入交换机和核心。这层常用于大型数据中心,一般没有必要用在中型数据中心。“第三层级”的交换机,通常被称为接入层交换机,它直接连接服务器。这些接入交换机通常被称为“架顶式交换机”或“行末式交换机”。
这种无论是两个或三个层级的模式是已经被多年使用,且广为熟悉的。
目前数据中心有两个重要的趋势,它们正在改变数据中心网络的实现方式,一个在物理方面,而另一个在虚拟化方面。这些趋势给数据中心网络增加了额外的层级。
趋势一:虚拟化
在过去几年的数据中心最重要的发展趋势是虚拟化的应用。虚拟化是一种技术,使一台物理服务器允许安装多个虚拟服务器/虚拟机。这样可以提高服务器利用率和有助于服务器的整合,对于灾难恢复和容量管理等有诸多好处。虚拟化在企业数据中心和主机托管数据中心中非常流行。而由于高性能计算集群或大型互联网消费网站的自身性质,虚拟化不太可能应用在这些领域。
虚拟交换机
文案大全
实用标准
虚拟化引入了“虚拟交换机”的概念。
在非虚拟化数据中心,每个服务器运行一个操作系统,该操作系统管理的物理网络连接到与其它用户和服务器。在虚拟化环境中,有多个虚拟机运行在物理服务器上。这些虚拟机必须共享一个物理网络连接,并且需要互相通信。这给虚拟交换机或“vSwitch的”概念带来了用武之地。虚拟交换机是一个运行在服务器上的模拟2层网络设备的软件。虚拟交换机的功能是使一个服务器内的虚拟机可以互相通讯并且可以与外界通讯。虚拟交换机仿造了二/三层交换机的一部分功能以实现上述通讯功能。虚拟机运行在虚拟化管理软件中,所以它不是通用的。目前VMware、Microsoft和Citrix在自己的虚拟化管理软件中都含有虚拟交换机。另外其它一些网络厂商也推出了额外收费的虚拟交换机,例如Cisco的Nexus 1000。 一个需要注意的关键点是每个物理服务器都需要一个虚拟交换机。例如一个有40台服务器的机柜需要40个虚拟交换机,一个有16个刀片的刀片服务器需要16个虚拟交换机。网络中虚拟交换机的数量与网络中运行虚拟化的服务器的数量是一一对应的。这些虚拟机每一台都需要管理和配置。
虚拟交换机的优点:
虚拟交换机是由虚拟化管理软件厂商发明的,用于虚拟机与网络间进行通讯。直到现在,虚拟交换机还是虚拟机之间,虚拟机与其它服务器和用户之间通讯的唯一手段。
虚拟交换机带来的问题:
安全性:虚拟交换机的主要功能是满足同一服务器内部的虚拟机之间的通讯。因为虚拟交换机存在于服务器内部,虚拟机和虚拟机之间的数据流量对于外界网络是不可见的。这样一些由非法虚拟机引发的安全问题很难被发现。
网络与系统管理软件的可见性:同样由于虚拟机和虚拟机之间的数据流量对于外界网络是不可见的,对于虚拟机和虚拟机之间的流量的管理和监控非常困难。传统的基于端口镜像的网络工具无法在这样的环境中使用。
性能的不可预见性:虚拟交换机使用软件而非线速的交换机硬件来进行数据的转发。虚
拟交换机的转发性能,以至于服务器的网络性能都取决于CPU的可用资源,而该资源又取决于虚拟机上的应用程序。这与服务器的优化是矛盾的:当服务器通过虚拟化增加利用率时,服务器的网络性能实际会下降,这与使用虚拟化优化服务器的设想是相违背的。
额外的网络层级:虚拟交换机为传统的网络增加了第四个层级。这样增加了网络的跳数从而增加了端到端的网络延迟。
虚拟交换机与服务器一一对应引起的扩展性问题:每个服务器都需要一个虚拟交换机,
文案大全
实用标准
整个数据中心的网络设备数量大大增加。一个有40个服务器的机柜需要40个虚拟交换机,而只要一台网络交换机。这样大大增加了数据中心内需要管理和配置的网络元素,增加了数据中心的运维成本。
管理的复杂性:每一个虚拟化管理软件厂家都有一个和自己软件配合的虚拟交换机。在一个使用多种虚拟化软件的数据中心,需要对多种虚拟机管理进行人员培训和制定管理流程,增加了数据中心管理成本。
问责的冲突:到底由哪个部门来管理虚拟交换机呢?是因为虚拟交换机运行在服务器内部而由服务器部门负责呢?还是因为它是网络元素而由网络部门负责呢?这些问题会带来潜在的冲突,增加管理和实施解决方案的复杂度。
趋势二:刀片服务器
刀片服务器为机架内容纳高密度服务器提供了解决方案。一个刀片服务器机箱可以容纳16个服务器,一个标准机柜可以容纳3个或4个刀片服务器机箱。这样一个机柜可以容纳48或个高密度服务器,并且可以简化管理。
刀片服务器带来的挑战是它在一个机柜内制造了很高的布线密度,使为每台服务器提供布线成为挑战。正是这个原因,各个刀片服务器的厂商都制造一种插入刀片服务器机箱的“刀片交换机”。
刀片交换机的优点:
刀片交换机的主要优点是简化了布线。刀片交换机连接所有的服务器,并上连到网络的第三个层级。如果没有刀片交换机,每个服务器需要一个以太网连接到第三级网络,这样每个刀片服务器机箱就需要16根跳线。有了刀片交换机跳线数量减少为1到8根。
刀片交换机的问题:
刀片交换机给网络带来高复用比,这样可能造成网络拥塞并服务器的性能。一个典型的刀片交换机包含24个以上的端口或连接。其中16个端口用来连接服务器,另外8个端口用来连接接入层网络设备。这样造成2:1复用,使网络最高性能减少50%。
从物理网络的角度看,刀片交换机给网络增加了“第五层级”。如我们前面讨论的,每个网络层级都因为转发时延带来端到端的延迟。这个额外的层级增加了网络元素的数量,从而增加了成本,包括刀片交换机本身的成本和配置管理刀片交换机的时间成本。
因为刀片交换机是一个根据刀片服务器机箱定做的产品,它与数据中心汇聚和接入层级的交换机相比通常具有不同的功能和管理结构。这带来的管理的复杂性,因为网络管理员需要学习和管理不同的交换机系统和管理软件。
文案大全
实用标准
刀片交换机同样带来组织管理上的问题。它是应该由管理核心/汇聚/接入交换机的网络部门管理?还是因为它在服务器内部而由服务器部门管理?这个职责的混淆会在配置不兼容以及涉及多个部门在数据中心排错时带来问题。
虚拟化和刀片服务器趋势的叠加效果是把网络层级从3层增加到5层。当虚拟交换机引入时增加了1层,刀片交换机引入时又增加了1层。
由于显著地增加了网络复用比以及端到端的延时,5层网络的性能低于3层网络。另外这样还需要更多电力和冷却能力并大大增加管理成本。
Direct Attach减少网络层级
什么是Extreme Networks的Direct Attach?
Direct Attach是Extreme Networks实现虚拟机在网络中进行交换的技术。一些厂家通过在服务器中的虚拟交换机实现虚拟机数据交换。而Extreme Networks的Direct Attach技术把虚拟机之间的数据交换功能从服务器中迁移回网络设备中。这样使管理员可以在享受服务器虚拟化带来的好处的同时利用成熟的、线速的网络交换机处理虚拟机数据交换。
从本质上讲,Direct Attach允许虚拟机无需通过服务器内的软交换机直接连接到网络。Direct Attach通过去掉虚拟交换机减少了网络层级,从而节约成本,降低延时,减少网络复用并且简化了管理。最后它使管理员在无需考虑虚拟机管理软件的情况下实施一致的网络策略,保证网络的安全且符合规定。
另外,高扇出的交换机模块以及专用的布线方案可以使刀片服务器机箱中的服务器直接连接到数据中心网络,从而使数据中心网络简化。
Direct Attach如何工作
Direct Attach软件包是ExtremeXOS的一个可加载模块。它可以被安装在基于
ExtremeXOS的Extreme Networks的Summit系列堆叠交换机(包括Summit X450、Summit X480、Summit X650)和带有00系列模块的BlackDiamond 8800交换机。
Direct Attach软件把端口上的数据根据虚拟机进行分类,然后根据交换机中二/三层转发协议进行转发。虽然所有的数据包都从一台物理服务器发送和接收,所有交换机策略仍然会针对每个虚拟机的数据流发生作用。
使用Direct Attach技术去掉虚拟交换机的好处
更高的可预见的性能:使用Direct Attach技术不需要服务器内的软件转发数据包,所
文案大全
实用标准
有的数据包都通过以太网交换机线速转发。这样无论服务器的负载如何,都可以保证可预见的性能。
更广泛的网络功能:当今的以太网支持非常广泛的功能,包括服务质量、ACL安全等多年来开发的功能。使用Direct Attach技术,这些功能可以针对数据中心内的所有虚拟机生效。
管理更少的网络元素:在一个有10个机柜,每个机柜有40个1U服务器的数据中心,使用Direct Attach技术只需要第三级的10个网络元素而不需要第四级的网络元素。如果不使用Direct Attach技术,需要管理410个网络元素,除了第三级的10的10个还有第四级的400个网络元素!在这个实例中,减少了98%的需要管理、配置和维护的网络元素。
增强的安全性:在使用虚拟交换机的情况下,虚拟机之间的数据流量永远不会流出服务器。这样很难部署交换机的安全功能,例如ACL和在线的安全检测设备。使用Direct Attach技术,所有虚拟机和虚拟机之间的通信对交换机而言都是可见的,可以被安全策略如ACL、端口镜像等进行处理。
易于管理:Direct Attach技术使数据中心内的所有数据交换机的管理回归到网络管理员手中,消除了与服务器团队的潜在冲突。
不同虚拟化管理软件环境下的轻松管理:Direct Attach技术不依赖于虚拟化管理软件,可以兼容绝大多数虚拟化管理软件。这样它可以在混合有多厂家虚拟化系统的数据中心良好工作。
交换机与布线系统设计
除了可以通过Direct Attach技术去掉虚拟交换机,这个Extreme Networks的解决方案还有另外的好处。BlackDiamond 8800交换机通过MRJ21技术提供高密度千兆接口解决方案。MRJ21技术把6个全带宽的千兆接口集成到1根线缆中。使用这种技术制造的96口千兆模块使1个机箱可以容纳768个千兆接口,使刀片服务器可以轻松接入8800交换机。
Direct Attach布线系统可以把刀片服务器机箱内的所有服务器直接连接到模块化交换机的端口,而无需使用刀片交换机。一个有4个刀片服务器机箱,每个刀片服务器机箱有16个服务器的机柜内的所有服务器都可以直接连接到1个BlackDiamond 8800交换机的00系列模块上。
这个高密度端口和高密度布线解决方案消除了使用刀片交换机的需求,从而消除了这个层级的网络设备。
结论:
文案大全
实用标准
Extreme Networks的Direct Attach技术和高扇出的服务器模块可以被一起使用,也可以被单独使用。如果一起使用您可以去掉虚拟交换机和刀片交换机,从而使网络层级从5层减少到3层,进而建立一个更易于扩展、易于管理和降低成本的网络架构。
减少网络层级的好处
更低的复用提高网络性能使之更可预测 更少层级意味着更低延迟
更少的拥塞点意味着更可预测的性能 更少的网络元素意味着更少的故障点 更少的网络元素意味着更少的电力消耗 更少的交换机意味着更低的总体拥有成本
Direct Attach技术如何减少网络层级
去掉虚拟交换机 去掉刀片交换器
4.1.5 帮助虚机无缝迁移的XNV技术
数据中心里服务器虚拟化的广泛采用推动了整合,降低了能耗,并提高了可用性和灵活性。然而,服务器虚拟化也带来了一系列网络运行的挑战:从进行虚机交换的配置,到管理虚机在网络中的迁移,到提供虚机在网络上的位置及可见性信息。今天,网络管理员几乎没有合适的工具为他们提供虚机环境下的可视性、控制和更深层次的信息。
极进网络的XNV提供了服务器虚拟环境在网络层面的可见性和控制,并且与具体采用的虚拟平台无关,也无需对服务器的操作维护环境做任何改动。这允许网络管理员可以有效的对高度虚拟化的数据中心环境进行监视、实施、故障诊断,同时又能避免错误、降低应用的宕机时间、改进业务质量和响应时间。
服务器虚拟化允许一个操作系统和其上所有的应用可以完全从底层硬件上抽取出来。这不仅仅可以让多个虚拟主机运行在一个物理服务器上,而且允许虚拟主机从一台服务器迁移到另一台服务器——用于业务负载均衡或容错。虚拟主机的移动可以由服务器管理员手工完成,或由管理工具(如:管理业务负载均衡)自动完成。进一步说,在一台服务器上的两个虚拟主机之间的流量由基于软件的
文案大全
实用标准
二层交换机(称为虚拟交换机)在本地完成交换。
这些服务器环境的变化给网络管理员带来了一系列挑战:
1. 传统上,网络策略,如访问控制列表(ACL),服务质量(QoS)和流量控制的策略都是在交换机的物理端口上实施,并映射到相连的服务器及其应用特征。然而,由于有了虚拟化,多个虚拟主机会和同一个物理网络端口相连。这样,这些策略必须和一个物理端口下的多个虚拟端口和虚拟主机相匹配。而且,传统的故障诊断工具,如:物理网络端口上的包计数器和统计,也需要工作于虚拟的端口。如果没有这些能力,就很难进行故障诊断和达到相应的服务等级要求(SLA)。
虚拟主机可以从一台服务器移动到2. 虚拟化给数据中心增加了动态的元素。
另一台服务器——操作却非常简单,点击一下鼠标,或由自动化管理工具自动完成(如负载均衡工具)。但是,网络的配置——例如网络端口上对应某个安装了多个虚拟主机的服务器——却不能移动,跟踪和跟随虚拟主机在服务器间的移动。这会导致业务性能不能始终如一,降低或中断业务的可达性,以及一些安全和合规性的挑战。这反过来导致SLA不能得到满足,增加了人力的介入(服务器管理和网络管理员之间的协调),和数据中心的管理效率下降。
3. 虚拟主机的创建、配置、激活、迁移和禁止等操作通常由服务器管理员通过工具来完成。而网络管理员并不了解虚拟主机的生命周期情况。这意味着,在任何时候,网络管理员都不知道哪台交换机上连接了一个新的虚机,哪个虚机在数据中心里被创建了,某个虚机的网络特性等。但是,即使在在高度虚拟化的数据中心里,网络管理员也一样经常会需要进行虚机层面的某个应用的网络诊断。如果不了解虚机的生命周期信息,这样的诊断将既痛苦又漫长。也导致更长的应用宕机时间,也无法满足SLA。
演进网络,以适应服务器虚拟化
上述挑战的解决之道就在于演进网络,使之能高效的应对服务器的虚拟化。有几个重要的方面与之相关:
从服务器管理员创建一个虚机1. 将网络层面的可视性引入虚机的生命周期:
开始,到它被激活,迁移及最后被禁止,需要给网络管理员提供完整的可见性(当前的和历史的)。能够准确定位虚机在网络中的位置——在哪一台交换机的哪一
文案大全
实用标准
个端口,以及虚机的属性和位置历史信息,及整个网络中的所有虚机的网络信息清单,这些可以极大的简化故障诊断、减少服务器和网络管理员的协调工作量,最终降低应用的宕机时间提供更好的SLA响应。
2. 在虚机层面配置网络策略:网络的业务能力如ACL、QoS、流量、计数器和统计不仅需要在网络和交换机端口层面能够配置,还需要在每一个单独的虚机层面(或虚拟端口)层面可配置。这样可以允许更精确的配置虚机及其应用和服务,同时帮助在整个网络提供强健的安全性和合规性的计量。实际上,这还能帮助其他的网络技术能更快的应用于虚拟环境。并且,也有助于卸载服务器的CPU(进行网络流量处理的部分),以将CPU资源释放来用于应用和更多的虚机。
这对于支持虚拟化的网络的有效性3. 自动的动态跟踪和执行虚机网络策略:
非常关键。由于虚机可以在服务器间动态的迁移,网络需要能够跟踪虚机的迁移,并实时自动的迁移网络上针对虚机的属性和策略到虚机迁移的目标交换机上。这些要求必须是自动化的,才能降低配置的错误,减少服务的中断时间。提供这个级别的自动化可以极大的降低网络和服务器管理员的相互依赖性,极大的简化和理顺数据中心的维护工作。
4. Hypervisor无关的运行:许多数据中心开始部署多种不同的虚拟化技术。将网络功能从服务器转移到网络中的一个好处是,可以方便的支持混合的虚拟化环境。一旦网络上提供某种了网络功能,就相当于在多个虚拟平台上都具备了,而且无需修改服务器操作环境。
5. 投资保护:虚拟化可以在已有的服务器基础设施上开展。同样的,在现有的网络基础设施上虚拟化相关的业务能力的支持也很重要,这可以降低硬件设备升级的需要,提供更好的投资保护。这也让管理员可以逐步实施他们的虚拟化计划,而不是一次性整体替换。
今天的网络缺乏上述相应的工具和能力,因此对数据中心快速引入虚拟化形成了障碍。在数据中心进行上述的网络演进可以提高支持虚拟化的有效性。进一步说,数据中心管理员可以将各种规模的数据中心逐步的从物理的到虚拟的模型按照他们自己的步调进行迁移,不需要大规模替换设备也不需要彻底的修改操作维护流程。
文案大全
实用标准
XNV:将虚机生命周期管理引入网络
XNV是基于ExtremeXOS的交换机产品和EPICenter管理软件中的一套需要授权使用的软件功能。包括极进网络的网络实施和管理工具。XNV将高度虚拟化的数据中心的可视化、控制和自动化引入网络。XNV带来如下功能:
1. XNV提供了集中化的基于网络的虚机清单、虚机位置历史信息和虚机网络策略配置功能。XNV通过EPICenter来实现这一点——EPICenter通过标准API接口与虚机管理平台,如VMWare vCenter或其他,进行通信。
2. XNV提供集中化的网络配置和针对于各个虚机的分布式的网络策略。XNV通过在EPICenter集中管理的虚拟端口策略(Virtual Port Profile,与各个虚机关联)的框架来实现这一点。VPP用于为每一个单独的虚机配置ACL,QoS,流量和其他策略。VPP的执行则是在运行ExtremeOS、并使用了XNV的网络交换机上。
3. XNV可以在虚机从一台服务器迁移到另一台服务器时自动跟踪它,并实时自动迁移相应这个虚机的VPP到目标交换机上去——VPP将在这台交换机上自动强制执行。
并可以同时与多种hypervisorXNV不需要对服务器的运行环境做任何更改,技术兼容。
总结
服务器虚拟化带来一系列网络的挑战。为了应对这些挑战,落实虚拟化的好处,网络必须做一些根本性的改变。从为虚机运行环境提供网络级的可见性和可视性,到将网络功能移植到虚机层面,到自动跟踪虚机的迁移和调整、执行虚机的网络策略,网络需要重新定义,需要主动参与虚拟化。
使得网络可以有XNV为极进网络的数据中心产品提供了一个软件的升级包,
效的应对虚拟化,无论采取的是何种hypervisor方案都无需改变服务器的操作环境。XNV为虚拟主机的生命周期提供了基于网络的可视性,控制和自动化。XNV还为网络管理员提供了一条从现有的网络基础设施升级到虚拟化的道路,而无需彻底替换设备。这种升级途径能够保护现有投资,简便易行。
文案大全
实用标准
4.1.5环保节能的网络建设
构建数据中心网络,不仅仅考虑初期的采购成本,后续的操作和使用成本也是必不可少的,一个好的产品方案,无论初期采购还是后续维护使用,都要为客户着想,如何以最低的成本进行信息化应用,从而提高整体运营效率,提高经济效益。在能源日益紧张的今天,节能环保也纳入了网络设计当中,成为一个优秀方案的必备要素。对于国防大学,作为IT基础设施的网络建设,Extreme为用户寻求低耗电、高性能网络解决方案。所提供以太网局域网交换机的节能表现比其他品牌产品更胜一筹,相应为用户减轻中心机房用于散热所需空调压力。(以下图表数据来源于全球专业的第三方评测机构TollyGroup 2008年的测试报告)
以上的图标数据分别显示,Extreme的核心设备在同等模块数据流压力测试的情况下,能耗和其他品牌产品的对比。(包括空载、千兆交换、万兆交换情况
文案大全
实用标准
下,)可以明显的看出,该产品的能耗只是同类产品的1/4~1/3,这样的产品方案,为用户节省了大量的电力费用投入(包括设备本身耗费的以及由于散热需要配置空调设备采购成本和使用成本),从而提升了整体的运营效率。
4.2 最稳定可靠的网络平台
4.2.1 独有的模块化操作系统设计
本方案中的所有的交换机均采用新一代模块化多线程操作系统XOS。XOS支持动态内核加载(KLM),采用进程内存保护运行模式,支持对称多处理(SMP)和标准POSIX API 及XML技术。通过使用模块化多线程操作系统XOS,核心网络设备可以提供更多的可靠性、拓展性和安全性能力,如:
无中断切换(Hitless Failover)。设备主从管理模块之间的切换不会导致
已有数据流传输的中断。(其他厂商设备在冗余交换管理引擎间故障切换需要1~3秒的时间)
无中断软件升级(Hitless Software Upgarde)。无须重新启动设备及实现
软件版本的升级与新版本软件启用。(其他厂商设备升级软件后需要重启整个设备)
动态停止/重启模块。在某个模块出现的故障的情况下,设备将自动进行
故障模块的单独重新启动。进程和线程的自动重启动。系统中某个进程或线程出现故障时不会影响到其他进程和线程的运行。在无须整台设备重新启动的前提下,设备能够自动实现对故障进程的重启动。(其他厂家设备各个模块和进程之间互相影响,某一个模块出问题整个系统要重启,所有功能被迫停机一次) DoS攻击的自动检测和预防 交互式威胁阻断挂钩(hook)
支持软件模块下载,无中断在线功能扩充。无须中断设备的运行,即能
完成系统软件中某个功能模块的升级。
POSIX API和XML技术保证了用户的个性化功能扩展
可由用户配置的 CLI 命令接口 (TCL)。用户可以根据自己的习惯定制
文案大全
实用标准
命令行界面。
多平台的运行能力。用户可以将XOS运行在任何其他的Linux设备平
台上(PC、服务器),并能提供全部的网络设备功能。
对SMP(对称多处理)的支持,为高优先级应用(如:视频会议、实时
监控、IP电话)的开展提供了更好的保障。
4.2.2超强的QOS服务质量保证
针对国防大学信息网络今后还要开展多种影像应用(尤其在演习网当中),端到端的Qos保证必不可少。Extreme的方案具有 强大的Qos保证技术:
多媒体应用在未来网络应用中将占主要地位,新一代数据网络上实施的
重要基础为带宽的大幅扩展和采用硬件包处理技术的设备性能的提高。由于多媒体应用对延迟和抖动的敏感性以及IP网络本身的尽力而为的特点,在保证带宽和性能的基础上,网络平台好要具有良好的QoS保证能力。
本方案中网络产品提供多种带宽管理方式和策略,不管是核心层、汇聚
层还是接入层接入交换机均具有基于物理端口、MAC地址、IP地址、TCP端口等实施带宽控制策略和流量分类管理的能力。
Extreme产品设计的追求目标之一就是为在以太网和IP技术上提供稳定
的QoS能力,其核心层和汇聚层产品的每端口控制队列最少也达到8个,便管理人员对各种网络服务方式进行更加细致的优先级分类,同时设备采用了基于16个粒度的带宽管理方式,可以将带宽细分成总带宽的1/16,从而提供了出色的网络传输控制解决方案。
通过Extreme公司的IP-TDM技术,可以在网络中定义类似专线的数据
通道,保证应用的延迟可控制在固定的数值之内,从而为IP电话、视频会议、视频监控和实时控制等应用的顺利开展提供良好的保证能力。 非常高的物理QOS队列。交换机支持每端口8个队列。更多的队列意
味着更细的业务类别区别。8个队列意味着8个不同优先级带宽保证的业务类别。
文案大全
实用标准
8个硬件端口优先级:
优先级12345678应用方式控制VoIP数据存储http 或者网上贸易Oracle/SQLE-MAIL视频传输预留优先级网络传输、路由、STP等对延迟敏感的语音技术,小型数据包对延迟敏感的语音技术,大型数据包网站之间的传输网站之间的数据传输收发邮件网络培训或者视频会议为将来可能的应用或者网络管理员制定的具有特殊性的应用预留
业务最强的分组分类能力。Extreme8810能够根据IP数据包前80字节
的任一位或组合进行分类,因此可以实现最细的业务分类能力,轻易区分不同类型的流量。
全Diff-Serv标准的分组分类能力。交换机均能支持全个级别的
Diffserv分类、重写(remark)标准及8个802.1p分类重写(remark)标准。保证QOS的全网实施且与其它厂家兼容。
业界唯一的最小带宽保证,最高带宽限速能力。每个QOS队列均能保
证最小的保证带宽,及最高的允许带宽,及最高的突发带宽。最小带宽保证低优先级的流量不被“饿死”,最高带宽保证该类流量不超量使用,最高突发带宽允许在网络没有瓶颈时可以以最高带宽使用,达到最高的性能。
基于双向速率协商机制的区分服务以及双向带宽管理和分配方式确保
了用户的投资和带宽需要;同时利用流量鉴别技术和队列技术对用户的数据传输质量和服务级别进行定义,根据用户的投资提供区别服务。
文案大全
实用标准
自动QOS映射能力,简化QOS的全网部署。QOS部署要求全网内实施,
也就是说QOS起自客户PC,终于服务器,因此接入层交换机还需识别来自PC的QOS标识,然后自动映射到相应的队列,Extreme8810具备QOS自动映射能力。这样,所有的QOS配置仅需在网络边缘通过网管实施QOS策略。
Extreme的QOS处理,包括识别,分类,标记,重写,队列,调度,限
速在内,均为ASIC处理,保证不引入额外的时延。
通过组合QOS及web/802.1x认证技术,根据不同的用户名指定不同的
QOS及带宽等级。
下图是8810和同类产品在不同数据吞吐量情况下高优先级业务的优先
级保证,无论流量大小,Extreme的产品高优先级的业务不受影响。
4.3先进的网络安全设计
一般来说,网络安全体现在以下几个主要方面: 网络设备的安全 网络管理系统的安全 网络业务的安全
文案大全
实用标准
数据传输的安全 用户网络的安全
以上几个方面又是在网络的不同层面来实现的,即骨干层面、管理层面、业务层面、用户接入层面来分别实现。Extreme从如下几个方面着手来保证网络的安全:
4.3.1 设备安全特性
方案中的网络设备本身也采用了多项先进的安全特性来确保对病毒和攻击的免疫能力。本方案中采用的Extreme网络设备,使用LPM转发技术。区别于和其他厂家的传统三层交换机使用基于流表的方式(IP Host Forwarding)来完成数据包的快速转发。基于流表的快速转发机制要求为每个目的地建立一个转发表项,而流表的建立方式,使得每个新数据流的第一个数据包必须经过CPU进行处理,当网络上出现扫描攻击的时候,会导致流表的快速溢出,引起CPU负载快速上升,并最终导致网络设备性能下降,使得整个网络不能进行正常的数据包传输。通过使用LPM转发技术,可以大大缩减快速转发表的大小,提高每条快速转发表表项覆盖的范围,从而很好地解决了流表溢出所带来的问题,大大提高了网络系统抗击病毒攻击的能力,提高了网络系统的可靠性,并最终保证了网络的高性能和高扩展性。
此外,访问控制列表是网络设备数据流量主要过滤的手段,是网络设备的安全防范的重要功能之一。ACL可以根据数据流的MAC地址、IP地址、端口号、ICMP信息、TCP/UDP端口号进行判别,并进行相应数据丢弃、过滤、转发策略(QOS)的实施。有效增强了网络传输的可控性,是网络安全规划的一项主要手段。
然而访问控制列表对数据包的过滤如果通过交换机的CPU来实现,则会造成数据包转发较大的延迟,有再大的背板带宽和很多厂商宣称的线速性能也没有实际意义,转发根本无法达到线速的数据包转发。只有采用基于硬件的ASCI芯片技术实现的数据包过滤才可以满足线速转发的要求。在当前网络安全日益恶化、网络攻击及网络病毒日益泛滥的今天,访问控制列表的作用尤为重要。
文案大全
实用标准
在网络设备的选择中,有些厂商甚至连基本的VLAN间访问控制都无法实现,而宣传功能齐全的情况屡见不鲜。所以,能够提供真正权威的第三方测试报告将为我校的设备选择提供一份可靠的依据。
4.3.2用户的安全接入
网络的安全防范,除了设备本身的安全性外,系统的安全准入是网络安全的第一道关口。如果一个局域网内装有无法保证网络安全的端点设备,会造成网络安全受到威胁,因而带来许多痛苦以及财务影响。要避免发生这些威胁网络安全的事件,只是把网络端口关闭或是不让人们在办公大楼里连接上网络是不够的。真正有效的访问控制必须要采取主动,在任何威胁进入到内部的网络资源前,就必须要能很好地确保所有端点设备的安全,不用担心任何威胁的侵入。
Extreme的最新内网安全设备Sentriant AG200 能够满足这个需求。它能提供完整的网络访问控制平台 (Network Access Control platform, NAC)。这个平台使用在多种不同的网络基础建设上,不分任何访问方式(有线、无线、虚拟专用网 – VPN),并与多种端点设备兼容。Sentriant AG200 会自动测试每个端点,并在允许访问网络之前,确定终端设备是否满足组织的安全要求。任一不合标准的设备会被隔离,并访问,直到使用多个解决方法修复后,才能给与完全的访问权利。
有了上述专用的安全接入设备,配合交换机的安全功能,Extreme能够提供完善的安全方案。网络用户的接入在某些情况下是需要监督和控制的。为了防止未授权用户私自接入网络,我们可以通过在交换机上实施诸如MAC、IP、VLAN、用户名等多种组合的绑定,来确保阻止非法用户的接入。当前,网络用户采用代理服务器或地址转换技术共享上条线路接入网络的情况也很普遍,而未有很好的解决方案。本方案中安全接入采用如下的技术手段来实现:。
本方案支持基于WEB的用户认证技术和IEEE802.1X+EAP标准。通过
该功能,网络系统可以控制用户是否能够接入网络和如何使用网络资源,无论用户的终端设备设备是否配置了正确的IP地址,只有使用设备的用户拥有合法的用户帐号才能接入网络,否则,用户是无法接入
文案大全
实用标准
网络系统的。这样就可以将非法用户屏蔽在网络之外,减少网络收到黑客攻击的可能性。
用户接入认证技术可以将通过认证的用户动态分配到特定的VLAN中,
通过对VLAN的控制,最终实现对用户可使用网络资源的控制。 提供的基于WEB的用户认证方式,大大降低了实施用户接入技术的复
杂性,用户的终端设备上无需安装特定的客户端软件即可完成用户的接入认证。通过单端口上多用户接入认证技术,可以保证用户接入认证技术的广泛应用以及在异构网络上的实施。
支持终端设备的接入控制。通过Extreme网络设备上的MAC地址锁定
和MAC地址功能,网络系统可以控制非法设备的接入,进一步提高网络的安全性。
强制使用DHCP的能力。在现代企业网络覆盖范围日益扩大和网络结构
日益复杂的今天,越来越多的企业网络通过DHCP方式来实现企业内部IP地址的分配,通过DHCP的使用,系统管理员可以更好的实现网络的优化与管理,降低网络管理的复杂度。但企业内部可能出现的无管理下的静态配置IP地址,将导致IP地址的不可管理性,并会导致因IP地址冲突而带来的网络不可用的问题。利用设备独有的的ARP Learning Disable功能,系统管理员可以针对性地强制网络设备上的某些端口连接的终端设备必须使用DHCP获得的IP地址,否则终端设备不能够接入网络,进而保证网络的安全性。
4.3.3智能化的安全防御措施
网络系统的高速、可靠运行是非常重要的。但随着网络技术的不断发展,新兴的网络病毒与攻击软件与日俱增,对网络造成的危害是前所未有的。最早如SQL蠕虫病毒产生,造成了无法大型网络瘫痪,宽带互联网发生前所未有的阻塞。再到冲击波、振荡波等网络病毒,使得网络管理疲于奔命解救濒临瘫痪的网络系统。网络攻击软件如典型的DOS(拒绝服务攻击)和DDOS(分布式DOS攻击)攻击类型,会造成包括如服务器、网络设备、终端机器在内的各种具有网络接口的设备资源耗尽、系统宕机、网络阻塞。种种情况均使得当前网
文案大全
实用标准
络系统的安全成为主要攻关课题。
Extreme具备完善的智能化安全防御解决方案,不但可以从用户的安全接入方面降低安全风险,同时在合法用户接入后的网络使用当中,实时的监控网络流量,发现流量异常的苗头,直接进行相关动作进行防范,达到了事前预警的效果,防患于未然。核心交换机采用独特的CLEAR-Flow技术,CLEAR-Flow不仅具备当前RMON,sFlow,NetFlow的所有优点,而且提供了扩展性、动态性、适应实时性更高的流量测量和分析工具。这提供了网络的优化、统计计费、以及网络安全防范的手段。
从图中的安全防御过程可以看出,该方案具备了智能主动的安全特性,改变了以往网络流量监控技术不加选择镜像数据流的低效方法,当只有异常流量发生的时候才会把相关的流量镜像到专业的安全设备中进行分析,既不影响网络的性能,分析结果确认是攻击后,通知相关的设备进行联动,从而在病毒和攻击没有完全爆发之前消除安全隐患。
在不影响网络运作的情况下防御威胁
使用网络虚拟诱惑装置快速检测,从而创建早期预警系统,当发现虚拟目标时报警
隔离攻击者,并阻止他们与网络上的其它设备进行通讯,但允许重要的数据继续正常传输
补充现有的周边安全和基于主机的安全解决方案
在所有供应商的交换机上都可以高效操作,但是与支持 ExtremeXOS® CLEAR-Flow 的交换机结合,就可以处理您的多路千兆级流量,并减少安全保证所需的成本。
4.3.4常用安全策略建议
同时,为了在本次网络系统建设中,尽最大可能杜绝安全隐患,建设一套强健的网络系统,我们提出以下安全策略建议供参考: 1、Access Control Lists (ACLs)
文案大全
实用标准
ACL 是每个安全策略的组成部份,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管交换机的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。
今天的internet上有一些众所周知并且被接受的安全过滤策略。包括:
• Ingress Filtering (RFC 2827/BCP 38) • Private Address Space Filtering (RFC 1918)
• Bogon and Martian Filtering (draft-manning-dsua-07.txt)
Ingress Filtering
最近频繁出现的各种DoS攻击,使用伪装的源IP地址给内网带来了很多的麻烦,全面影响了内网的通讯。RFC 2827/BCP 38建议的入口地址过滤(Ingress Filtering) 提供了一个简便有效且直观的方法来解决这个问题。
入口过滤在RFC2827/BCP 38 (Best Current Practice ) 中指定。它高度建议使用入口过滤,不仅可以使你的网络安全,而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份。在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的子网源IP地址。
过滤未分配的地址空间
IP 的地址空间由Internet Assigned Numbers Authority 机构指派给各个地区的internet 注册者(RIRs). 顶级的RIRs总共有3个
ARIN . American Registry for Internet Numbers (http://www.arin.net) RIPE . Re.seaux IP Europe.ens (http://www.ripe.net) APNIC . 亚太网络信息中心 (http://www.apnic.net)
当一个prefix (通常是 /8) 被指派给RIR,然后RIR将这些地址分配给各个地区分配者。如果一个prefix 还没有被分配给RIR,那实际上在这个prefix 是不应该有流量的。基于这个考虑。我们应该将这些未分配的地址通过ACL来过滤掉。这个列表可以从下面的地址取得。
http://www.iana.org/assignments/ipv4-address-space.
通过实现这个ACL,也可以使IPFDB的空间得到更有效的利用。
文案大全
实用标准
2、打开CPU DOS PROTECT
一个拒绝服务攻击(Denial-of-Service:DOS)攻击发生于一个危急的网络或计算资源被淹没并且合法的服务请求无法响应。在这种情况下,拒绝服务攻击将很难与合法的高流量数据流有效区分。基于硬件的数据包线速转发可以对该攻击产生一定的抵抗能力。然而,网络中有些操作对于任何交换机和交换机都是相同的,这就是有一类型的数据流必须要由CPU经过软件来处理: 这类数据包(由CPU软件处理)包括: 1) 一个新发起的数据流(TCP SYN) 2) 路由和控制协议包括:ICMP,BGP,OSPF
3) 交换机管理流量(交换机访问通过Telnet,SSH,HTTP,SNMP…) 4) 其他一些直接发往交换机并且必须由CPU丢弃
如果任何一种类型流量被范洪,CPU都有可能变得非常繁忙并且交换机的性能将极剧下降。即便使用更快的CPU,也同样会被无尽的洪流数据包所淹没。
某些先进的网络核心设备所具有DOS保护的设计就是帮助交换机将这类攻击数据流特征化以阻止交换机的性能下降,并且过滤非法流量以保证正常的交换服务功能。当一个泛洪数数据被交换机收到时,DOS保护将通计这类数据包。当这类数据接近报擎阀值时(4000包每秒),包头信息将会被记寻。如果阀值被达到,这种类型数据包头将会被分析,并且一个自动基于硬件处理的ACL会被创建以这类数据包流向CPU。ACL将会被保留以减轻CPU负载。一定周期后,ACL将会过期,如果这种攻击仍然发生,ACL也将再次被创建。
CPU DOS PROTECT 能够抵御大多数的DdoS 攻击如,Jolt\\"raped\ \"winfreeze 等等。 3、针对一些病毒性攻击的过滤
一些病毒性攻击会通过端口1434 和1483 两个端口进行,可以通过加入相应ACL进行过滤。
create access-list denyudp1434 udp destination any source any deny ports 1434 precedence 360
create access-list denyudp1483 udp destination any source any deny ports 1434 precedence 380
4、过滤ICMP 包
文案大全
实用标准
ICMP 数据包是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP数据包作为攻击手段。
但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的其它icmp类型并不使用。
因此,实际上我们可以仅允许ICMP 的ping echo 和 ping reply 及traceroute 所需要的TTL 开放。其它的均可以关闭。
例如:
create access-list pecho icmp destination any source any type 8 code 255 permit ports any precedence 30
create access-list preply icmp destination any source any type 0 code 0 permit ports any precedence 40
create access-list ptraceroute icmp destination any source any type 11 code 255 permit ports any precedence 20
create access-list denyicmpany icmp destination any source any type 255 code 255 deny ports any precedence 50
5、对交换机本身的访问
当一个交换机在网络上开始工作。我们需要确保对交换机进行安全访问并任何对交换机本身的非常访问。
通常我们通过以下方法对交换机进行访问: 1) Telnet
Telnet 是最常用的访问交换机的办法,但是由于telnet是密码是用明文来传送。因而我们需要在安全的网络中使用telnet。至少不应在一个共享的网段上使用telnet登陆到交换机。如果需要更安全的访问,要么甚至可以关掉telnet 服务,而启用SSH代替。以下命令关闭telnet服务 2) SSH
SSH2 是一个更为安全的telnet 替代手段。密码并不是用明文传送的,并且SSH2登陆客端未在Windows系统中集成,需要特殊的客户端软件,因此更安全。但交换机至少应支持该项技术通常我们建议使用SecureCRT(http://www.vandyke.com/)。 6、屏蔽一些网络扫描
在现今的网络上,充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描。
文案大全
实用标准
UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下,进入到交换机的137和138包是广播包。而交换机在默认情况下是不转发这些广播包的。但在某些情况下,一些扫描工具试图UDP 137 和UDP138的端口,以图找出主机上的共享文件夹。这种情况下,进入交换机的数据包会是unicast的137和138,而且通常目的地址不停变化。因此我们可以将这些UDP 138和138的数据包通过ACL 挡断。保护用户和网络的安全。
例如:
create access-list no-udp137-any udp destination any ip-port 137 source any ip-port any deny ports any precedence 330
create access-list no-udp138-any udp destination any ip-port 138 source any ip-port any deny ports any precedence 340
附录 方案产品资料
1. 核心交换机BD 8800
BlackDiamond8800系列
BlackDiamond 8800系列高性能交换机提供了高密度千兆以太网、高密度千兆以太网供电 (PoE)和万兆以太网端口。这一全能的 BlackDiamond产品系列中的每个端口都支持 2层-4层的全部交换功能。BlackDiamond 8800系列产品按机箱的插槽数量分为 10插槽的 BlackDiamond 8810和6插槽的 BlackDiamond 8806。
每个企业的 IT管理者都希望以有限的时间和资源管理极度复杂的专业网络基础。来自极进网络的 BlackDiamond 8800系列交换机可帮助简化网络系统,同一机箱可容纳针对核心、汇聚、接入和数据中心应用的各种接口板卡。它同时适用于高密度二层网络架构,从而简化网络建设和运维成本。
BlackDiamond 8800系列交换机提供语音级可靠性,满足语音、视频、无线和数据传输的各种企业应用需要。 BlackDiamond 8800系列交换机的全线速端口可以互联数以千计的服务器,组成 HPCC(High Performance Cluster Computing)高性能计算集群。BlackDiamond 8800系列交换机提供全面 2—4层IPv4和IPv6交换路由功能,为企业将来应用升级作好准备。
®
BlackDiamond 8800系列帮助您轻松构建企业网络
语音级可靠保障
●全冗余系统设计
●不间断运行的模块化操作系统 -ExtremeXOS
● EAPS以太网自动保护切换备份协议
低能耗高性能接入
文案大全
实用标准
●最大包转发能力-2840 Mpps ●面向融合应用,支持 VoIP自动接入 ●灵活针对各种应用的连接方式 ●低功耗,节约能源和散热成本
目标应用
●高性能企业网络核心;
●低延迟、低能耗的数据中心或 HPCC高性能计算集群服务器接入;
●高密度 PoE在线供电边缘接入;
●针对中小型企业网络的单交换机解决方案;
全面深度安全防护
●目录式链路安全
●通用端口 (UniversalPort)动态安全配置,实现更细致的安全策略控制 ●特有的 ClearFlow威胁检测和响应机制,应对网络攻击和入侵
●传统的千兆和万兆链路汇聚
BlackDiamond 8800系列交换机通过产品的前后兼容性,提供了极佳的投资保护。
支持更好的地址分配和地址聚合,
提供更出色的端到端连接和服务。
冗余管理模块
BlackDiamond 8800系列交换机支
BlackDiamond 8800交换机系列具
持硬件 IPv6,保证未来企业网络
有管理模块自动切换机制,如果一
IPv6平滑升级。
个交换机管理模块 (MSM)失效,备
语音级连接
份管理模块能自动快速接管整个
BlackDiamond 8800系列交换机每
交换机的管理任务 ,该功能是交
端口支持8个队列。支持入口 QoS
换机承载语音和其它关键应用的
优先级标定、控制,速率,支
基础。
持出口 802.1q标签和 DiffServ标
生成树/快速生成树 记以及流量整型。BlackDiamond
高可靠机箱设计
BlackDiamond 8800交换机支持 8800系列交换机使得建设端到端低
BlackDiamond 8800交换机系列机
802.1D生成树、PVST+、802.1w快速延迟和抖动的网络更加容易。
箱采用无源式背板设计,配合其它
生成树和 802.1s等二层冗余协议。
高冗余设计:包括隔离的控制平面
高密度 PoE端口
和数据位面,冗余的电源分配控制
快速路由备份 高密度 PoE允许 BlackDiamond
器和风扇控制器、机箱环境异常监
BlackDiamond 8800交换机支持高级 8800交换机支持大型 IP电话和无
控等。
3层协议,如OSPF、VRRP和ESRP(ESRP线 AP部署。 BlackDiamond 8810同时作用于网络 2层和 3层)等,持在一个 14RU机箱内可支持 333个
负载均衡式备份电源
续检测链路的可用性,并动态引导流Class 3 PoE端口,或432个Class 1、
BlackDiamond 8800交换机系列支
量的转发和迂回。 2 PoE设备,而且无需配置外部电
持一组(最多 6个)负载分担的
源。 BlackDiamond 8800交换机可
冗余电源模块。 3个电源模块即
ECMP-等值多链路负载均衡 轻松支持 Class 1, 2或3 PoE设备。
能提供 2+1冗余的电源供给,支
等值多链路(ECMP)不仅提供负载均链路层发现协议(LLDP)
持满配的非在线供电式千兆或万
衡,而且支持网络冗余恢复。 ExtremeXOS支持 LLDP标准的发现
兆模块。无需任何外置设备,内置
大交换容量 协议,简化了企业网络的故障诊断
的另外 3个电源即可支持大量的
BlackDiamond 8800系列交换机提供并加强了网络管理,可以精确地发
POE接口供电需求。
业界领先的交换性能: 现和维护网络的拓扑结构。
热插拔风扇盘和冗余风扇
●3.8Tbps交换背板带
含有 9或6个风扇的托架,为BD
宽 ,2,840Mpps硬件包转发 通用端口—VoIP自动接入
8800系列机箱提供冗余的冷却能
●每块接口卡均支持本地交换
语音级的可用性
软件模块动态加载
ExtremeXOS的模块化设计允许软件模块单独升级并动态加载. EAPS-以太网自动保护切换
EAPS允许普通 IP网络提供等同于传统语音网络的高级别可靠性和不间断运行能力。 EAPS优于生成树或快速生成树协议,提供亚秒级 (50ms以内 )的快速稳定切换。
文案大全
实用标准
力。风扇托架支持热插拔。 真正抢先式多任务和内存保护 BlackDiamond 8800交换机允许许多单个协议进程-如OSPF、STP生成树-运行,这将提高系统完整性并帮助抵御拒绝服务式攻击(DoS)。
进程监控和重启
ExtremeXOS通过进程监控和重启大大提高网络可靠性。操作系统可以实时监控每个进程,它可以被自动重启。
高密度线速连接
BlackDiamond 8800系列交换机可在一个标准7英尺机柜中提供 1,968个无阻塞千兆接口,或582个万兆接口,为集群应用提供高性能、低成本的接入方案。
IPv6支持
IPv6令数以万亿记的 IP地址成为可能,并支持更好的地址分配和地址聚合。BlackDiamond 8800系列交换机支持硬件 IPv6,保证未来企业网络IPv6平滑升级。
BlackDiamond 8800交换机具备了承载融合应用的良好基础,企业网的设备可以实现即插即用,方便实现语音和无线服务的轻松部署而无需繁杂的网络升级。BlackDiamond 8800的通用端口功能采用 LLDP和事件触发命令脚本实现 VoIP的自动接入。该机制允许自动发现并动态配置交换机接入端口的 VLAN和QoS,甚至可自动配置 IP电话的参数:语音 VLAN,呼叫服务器 IP地址等等,从而极大地简化了网络的管理和操作。
全面深度安全防护
网络登录
网络认证可实现用户接入认证和访问控制。BlackDiamond 8800系列交换机支持全面的网络登录方式,如:802.1x客户端、web(无需客户端)和基于 MAC地址认证。通过这些认证方式,用户将被分配至指定的VLAN,并启用自动配置脚本,为该用户动态分配 ACL、QoS等策略。实现全网细致的安全控制。 多客户端支持
共享端口是网络中潜在的安全盲区。交换机的多客户端支持确保在同一共享端口下的每个用户或设备单独认证并分配其相应的策略和 VLAN。融合网络经常会使用共享端口,多客户端支持使得 IP电话和无线服务更为安全。
网络入侵检测和响应
Clear-Flow安全机制
Clear-Flow安全机制可检测并防御快速攻击,具备与 SentriantNG300等安全设备联动的能力。 sFlow®
sFlow是基于采样的技术,它能够同时监控所有端口的应用层数据流。交换机的 sFlow进程将采样数据打包并通过网络发送给 sFlow收集软件,然后由该收集软件生成最新的全网流量图,方便网络排障、拥塞控制和网络安全威胁发现
端口镜像 BlackDiamond 8800支持多对一、跨模块的端口镜像和远程镜像,可将流量镜像至外部安全设备,如:入侵检测设备,用于流量分析或在网络遭受攻击时,管理员诊断网络的工具。
主机健康检查
主机健康检查可隔离受感染或不符合安全的主线速ACL包过滤 机。极进网络支持的主机健康检查方案是基于 TCG的BlackDiamond 8800交换机支持硬件 ACL,可识别 安全模型。BlackDiamond 8800结合极进网络的 L2/L3/L4包头信息,如:MAC、IPv4和IPv6地址或 SentriantAG200终端安全设备-可确保每个终端满TCP/UDP端口等信息。BlackDiamond 8800系列接口足设定的安全策略,同时隔离那些不符规则的终端主模块每 24个端口支持全局的 ACLs,提供良好的 机。 ACL灵活性。 MAC地址安全 DOS拒绝服务式攻击防护 MAC地址安全保证一个端口锁定某个给定的 MAC地址BlackDiamond 8800可有效防御 DoS攻击。如果交换机或限定端口的 MAC地址数量。这个特性可保证只有特发现异常多的数据包出现在 CPU入口队列,它能够自定的主机或设备 (如IP电话或打印机 )才可使用端动创建 ACL防止其进入 CPU。一段时间后,这些 ACL口,从而防止端口滥用。同时,可定义锁定超时时间,会自动删除。如果攻击持续,这些 ACL会重新加载。 保护网络免受快速变化的 MAC影响。
PBR策略路由
TM
-
文案大全
实用标准
IP安全 ExtremeXOS IP安全体系保护网络服务 (如DHCP、DNS)和主机免受欺骗或中间人式攻击。它同样可建立一个可信的 MAC/IP/端口对应关系数据库,保护网络不受静态定义或假冒 IP地址的影响。
虚拟路由交换
BlackDiamond8800支持虚拟路由交换功能,可将一个物理设备划分为多个的虚拟交换机。每个彼此隔开,非常接近最高安全级别的 “物理隔离 ”要求,允许重叠的地址空间 (IP地址 )和路由表。通过使用虚拟路由交换功能,管理员可建立单独的管理网络或单独的客户网络,同时保证任何一个网络不会给其它网络带来负面影响。
模块指标参数 性能
BlackDiamond 8810
● 3.872 Tbps总交换容量(包含本地交换) ● 2.080 Tbps交换容量
● 2,840 Mpps 2层硬件转发速率 ● 2,840 Mpps 3层硬件转发速率
BlackDiamond 8806
● 1.952 Tbps总交换容量(包含本地交换) ● 1.056 Tbps交换容量 ● 1,420 Mpps 2层硬件转发速率 ● 1,420 Mpps 3层硬件转发速率
端口密度
BlackDiamond 8810
● 217端口 10GBASE-X (194端口,冗余 MSM配置 ) ● 8端口 10/100/1000BASE-T (768端口,冗余 MSM配置 ) ● 440端口 1000BASE-X SFP (400端口,冗余 MSM配置 )
BlackDiamond 8806
● 121端口 10GBASE-X (98端口 ,冗余 MSM配置 )
● 480端口 10/100/1000BASE-T (384端口 ,冗余 MSM配置 ) ● 248端口 1000BASE-X SFP (208端口 ,冗余 MSM配置 )
文案大全
策略路由提供更灵活的网络流量管理机制。通过基于 ACL的PBR策略路由,数据包可以匹配设定条件,如:QoS,VLAN,IP地址,协议,端口等,按照指定的路径包转发。
基于ASIC的 LPM最长匹配包转发
ASIC硬件实现的 LPM最长匹配路由转发机制无需控制平面学习新数据流,抵御 DoS攻击能力更强。 绿色环保节能
BlackDiamond8800系列交换机配置 432个千兆接口时,耗电量仅为 1.3千瓦或 3.2瓦每端口。其业界领先的绿色节电水平,可帮助节省大量能耗和散热成本。
可选接口模块
● 00-G96T-c 96端口 10/100/1000BASE-T千兆以太网模块 ● G48Te 48端口 10/100/1000BASE-T千兆以太网模块 ● G48Pe 48端口 10/100/1000BASE-T PoE千兆以太网模块 ● G48T 48端口 10/100/1000BASE-T千兆以太网模块 ● G48P 48端口 10/100/1000BASE-T PoE千兆以太网模块 ● G48Te2 48端口 10/100/1000BASE-T千兆以太网模块 ● G24X 24端口 1000BASE-X千兆以太网模块 ,需额外 mini-GBIC
● G48Xa 48端口 1000BASE-X千兆以太网模块 ,需额外 mini-GBIC
● G24Xc 24端口 1000BASE-X千兆以太网模块 ● G48Xc 48端口 1000BASE-X千兆以太网模块
● 10G4X 4端口 10GBASE-X万兆以太网模块 ,需额外 XENPAK ● 10G4Xa 4端口 10GBASE-X万兆以太网模块 ,需额外 XFP ● 10G4Ca 4端口 10GBASE-CX4万兆以太网模块
● 10G4Xc 4端口 10GBASE-X万兆以太网模块 ,需额外 XFP ● 10G8Xc 8端口 10GBASE-X万兆以太网模块 ,需额外 XFP ● 00-10G24X-c 24端口 10GBASE-SFP+万兆以太网模块 ,需额外 SFP+
供电类型
支持交流或直流DC供电
● 交流供电输入电压范围 : 85-2V ~功率 700W,90V-100V ~功率 1200W,200V-220V ● 48V直流供电,功率 1200W
实用标准
MSM管理模块
●该MSM管理模块包含控制管理部件和交换引擎
● MSM-G8X模块 BlackDiamond 8800 MSM,含有 81000BASE-X Mini-GBIC端口
● MSM-48 BlackDiamond 8800 MSM,无 I/O端口 ● MSM-48c BlackDiamond 8800 MSM,可安装 I/O接口卡 ● 00-MSM128 BlackDiamond 00 MSM,可安装 I/O接口卡 ● S-G8Xc 8端口 1G SFP卡 (可选附加在MSM-48c/00-MSM128上)
● S-10G1Xc 1端口 10G XFP卡 (可选附加在MSM-48c/00-MSM128上)
物理特性
尺寸BlackDiamond 8810 机箱: ● 24.47”高 x 17.51”宽 x 18.23” BlackDiamond 8806 机箱:
● 17.5”高 x 17.51”宽 x 18.23” MSM 模块:
● 1.63”高 x 15.26”宽 x 15.25” 接口模块:
● 1.63”高 x 15.26”宽 x 15.25” 运行参数
●运行温度范围 : 0C to 40C (32F to 104F) ●运行湿度 : 10% to 93%相对湿度 ,非冷凝
●运行震动 (Half Sine): 30 m/s2 (3g),11ms, 60 Shocks ●运行随机震动 : 3-500 Hz @1.5g rms
2. SummitX670系列产品
Summit X670作为专业定制的高性能交换机,特别适于新兴的采用万兆以太网的服务器在企业数据中
心的部署。Summit X670可以用于优化部署新型的服务器,同时提供从传统的采用千兆以太网技术的传统服务器的逐渐过渡升级,并进一
高性能交换和路由
● 在1RU的标准机架空间,提供48个无阻塞的万兆以太网口 ● 可以选配4个40G以太网上连接口模块
● 可以选配160Gbps堆叠模块,可以最大堆叠8台X670提步全面演化到虚拟数据中心的架供384个万兆以太网接口
构。
Summit X670系列交换机在紧凑
多功能的架构
● 在网络任意位置的Extreme交换机都是使用一致的操作系的1RU的机架高度提供了非常高密
度的万兆以太口,单台可以提供到
文案大全
实用标准
统 个万兆端口,整个堆叠系统可以
● 万兆以太网端口连接可以采用UTP双绞线方式、SFP+的光提供多达384个万兆端口。 接口方式和无源铜缆方式
● 不论采用10Gbase-T还是SFP+的接口,都可以做到千兆和Summit X670在极低的转发时延万兆的双速率支持,使得网络平滑地从千兆向万兆迁移
和高扩展的IPv4/IPv6单播和组播路由能力基础上,提供了高密度的二层和三层万兆交换,可以使X670在企业交流或直流电源的环境中作
高可靠性
● ExtremeXOS®模块化操作系统支持高可靠的网络运行
● 包含了以太网自动保护切换技术EAPS的运营商级的冗余网为汇聚和核心。 络保护协议
●内置冗余AC/DC电源和可在线替换的风扇
Summit X670使用了模块化的ExtremeXOS®操作系统,这个操作系统使用在Extreme所有的交换机上,从而简化了网络的运维。ExtremeXOS操作系统让网络的任何部分都使用一个操作系统,使网络更可靠和简化管理。
深度防御,全面安全防护
● 丰富的MAC和IP地址安全架构
● 用CLEAR-Flow安全规则引擎进行网络入侵检测和防御
目标应用
● 在企业数据中心作为连接服务器的Top of Rack架顶交换机 ● 作为小型高性能计算系统的万兆
文案大全
实用标准
文案大全
核心交换机
● 作为传统三级网络中的高性能万兆汇聚交换机
● 作为HPCC高性能集群的低延时互连交换机
实用标准
高性能交换和路由
Summit X670以模块化操作系统Extreme XOS驱动,采用卓越的高性能堆叠技术,以及专用的上联万兆接口为下一代企业数据中心提供智能化的交换和路由。同时,X670的极低的包转发时延能力为数据中心和HPCC高性能计算环境提供了强健的支持。
万兆以太网交换
Summit X670提供基于IEEE 802.3an标准的24个无阻塞10GBASE-T接口或者10GBASE-X SFP+接口。Summit X670具备了1RU空间里1.28Tbps的二层和三层包转发能力,使得在数据中心部署高性能下一代服务器成为可能。
通过多功能接口模块VIM提供的灵活架构,使得所配置的X670可以最适合实际的网络需求
SummitStack堆叠支持
Summit X670的缺省配置支持与目前常见的Summit X250e、Summit X450e、Summit X450a交换机进行混合堆叠的解决方案。对于SummitStack的支持提供了一条从千兆服务器到高性能万兆服务器的绝佳的迁移道路。您可以通过配置使用2个SummitStack 40G堆叠端口来简单管理千兆和万兆的混合堆叠环境。缺省安装在X670上的VIM1-SummitStack模块提供了SummitStack的支持。
最高达80Gbps的专用上连
Summit X670通过安装可选VIM-10G8X模块,支持额外的8个万兆以太端口,这个模块提供了8个万兆SFP+接口以及40G的SummitStack端口。选配了这个模块后,可以在使用8个万兆口上联的同时,提供24个万兆服务器连接端口。这个选配的VIM-10G8X模块通过80G汇聚后提供了
文案大全
实用标准
连接主干的理想带宽。使用了这个8端口SFP+万兆模块后,X670在1RU的空间最多可以支持32个万兆以太网端口。这个选件可以提供24端口到上连8端口的3:1复用比,也可以最大化服务器接入端口密度。可采用星型和环形两种拓扑结构来建设万兆以太网的数据中心或者HPCC应用系统。
高性能计算机集群(HPCC)
基于以太网的高性能计算机集群(HPCC)的部署具有很高的经济性架构和较低的运作成本,正在越来越多被采用。使用了Summit X670,集群可以通过低延时的万兆来连接,这将大大有利于增加HPCC系统的计算能力。
多功能的架构
Summit X670设计用来部署需要高性能万兆以太网交换和路由的多种应用。通过提供企业核心级别的扩展能力,Summit X670可以用在用户需要万兆以太网络的任何地方。Summit X670和Extreme的其他以太网交换产品一样,运行同一个ExtremeXOS模块化操作系统。
企业核心级的交换和路由扩展能力
在企业园区网络中,不论是小型核心骨干还是传统的三级网络结构,都存在高性价比的万兆以太网交换机的需求。Summit X670不仅可以提供下一代服务器接入,还可以给万兆以太园区网汇聚层的应用提供核心级别的路由交换扩展能力。Summit X670可以提供12000条IPv6 LPM路由表、6000个IP/ARP表项、2000个IP组播组。
统一的操作系统
Extreme网络公司提供一个统一的操作系统ExtremeXOS贯穿整个产品线, 从而简化了网络的运行维护。从10/100Mbps的交换机如Summit X150和Summit X250e到多万兆核心骨干
文案大全
实用标准
BlackDiamond 插槽式交换机,所有的这些交换机都运行同一个版本的操作系统,这将有助于部署、运行和维护整个网络。
更多选择:UTP、无源铜缆或者光纤端口
Summit X670有2种机型。一种解决方案基于最新的IEEE标准802.3an 10GBASE-T,通过UTP双绞线来使用万兆。10GBASE-T符合行业标准,在使用Category 5e或更高等级的线缆时,可以支持最大100米的传送距离。10GBASE-T是跨铜线架构的第1个可以达到100米的标准。另一个解决方案是基于最新的MSA技术称为SFP+。SFP+的机型可以支持最长到10米无源铜缆和SFP+光纤接口。
双速率支持
10GBASE-T 和SFP+都支持灵活的千兆和万兆的双接口速率。10GBASE-T通过自动协商可以降到1000BASE-T,通过UTP双绞线提供统一的10GBASE-T和1000BASE-T的统一架构。根据用户所选择的可插拔光模块,SFP+端口可以安装10G的SFP+光模块和1G的SFP光模块,可以分别在这两种模式下正常工作。
最优化的通风系统
为了获取最佳的冷却效能,大多数的安装在19英寸标准机架中的服务器都采用从前到后的通风模式。在数据中心,相比侧边的通风的方式,从前到后的通风方式会取得更好的制冷效果。Summit X670具备了可以现场更换风扇的、高效的从前到后通风方式。
高可靠性
文案大全
实用标准
采用ExtremeXOS操作系统,Summit X670支持进程恢复和应用升级时无需系统重启。Summit X670通过先进的模块化操作系统、高可靠的硬件架构以及运营商级的网络冗余协议,为关键业务服务和应用提供极高的网络可用性。
运用模块化操作系统实现最大化运行时间
真正抢先式多任务和内存保护
Summit X670交换机允许每个应用进程-如OSPF、STP生成树-作为的系统进程运行,从而避免相互影响。这将提高系统完整性并帮助抵御拒绝服务式攻击(DOS)。
进程监控和重启
ExtremeXOS通过进程监控和重启大大提高网络可靠性。操作系统可以实时监控每个进程,如果某个进程没有响应或停止运行,它可以被自动重启。
动态调用的软件模块
ExtremeXOS的模块化设计允许软件模块单独升级,这已经成为新型网络必须的标准配置,引领了更高的可靠性。
高可靠网络协议
EAPS-以太网自动保护切换
EAPS允许普通IP网络提供等同于传统语音网络级别的高可靠性和不间断运行能力。EAPS比STP或者RSTP协议具有更强的适应性并可以提供50ms以内的快速稳定切换,不会受vlan数量、网络节点数或者网络拓扑影响。正因为EAPS允许网络几乎是无缝的恢复,所以绝大部分情况下VOIP电话将不会丢失连接,数字视频不会有马赛克或卡壳。
生成树/快速生成树
文案大全
实用标准
Summit X670交换机支持802.1D生成树、PVST+、802.1w快速生成树和802.1s等二层冗余协议。
软件增强的可靠性
软件增强的可靠性保证了即使部分网络发生故障时,仍然可以保持网络的连接性。Summit X670可以通过OSPF协议、VRRP和ESRP协议等,持续的检查上联链路的问题,并通过动态路由避开问题链路。
等价多路径(ECMP)
等价多路径(ECMP)路由允许在多条链路之间将数据流量进行负载均衡,既提高了性能,节约了成本的同时还可以做到冗余故障保护。
链路汇聚(802.3ad)
链路汇聚允许最多8个链路汇聚形成一个逻辑中继链路,提供高达80Gbps冗余带宽。
语音级交换机堆叠 SummitStack
Summit X670缺省支持高速40Gbps堆叠,这些SummitStack堆叠架构设计用于支持关键业务,提供多种可靠性保障、n-1个master冗余的快速故障恢复能力、分布式二层和三层转发能力、跨堆叠的链路汇聚能力和分布式的上连能力。SummitStack支持每堆叠组最多8个交换机,并支持构建混合的堆叠组,如在堆叠中加入Summit X670、Summit X450a、 Summit X450e和Summit X250e等不同速率的设备进行混合堆叠。该堆叠支持50毫秒内的快速路径切换、不中断的主/备节点故障切换和不中断状态协议的支持,如OSPF graceful restart 和网络登陆用户认证。Summit X670使用SummitStack堆叠技术提供了类似插槽式交换机的管理性和可靠性。
硬件冗余
文案大全
实用标准
Summit X670支持双冗余的AC或者DC电源来提高系统的高可靠性。电源模块可以做热插拔的在线更换。Summit X670还支持现场更换风扇。
基于深度防御的全面安全防护
部署一个安全的网络意味着需要在网络的边界到核心提供保护。通过与Extreme网络公司的Sentriant系列产品协同工作,Summit X670用深度防御策略保护您的网络避免已知或潜在的威胁。
丰富的MAC和IP的安全功能
MAC地址安全
MAC地址安全保证一个端口锁定某个指定的MAC地址或限定端口的MAC地址数量。这个特性可限定只有指定的主机或设备(如IP电话或打印机)才可使用端口,防止端口滥用-是公共环境网络所必需的特性。同时,可定义锁定MAC地址老化时间,保护网络免受快速变化的MAC影响。
IP安全
ExtremeXOS IP安全体系保护网络服务(如DHCP、DNS)和主机免受欺骗或中间人式攻击。系统能够建立一个外部可信的MAC/IP/端口对应关系数据库,保护网络不受静态定义或假冒IP地址的影响。
网络入侵检测和响应
CLEAR-Flow安全引擎
CLEAR-Flow安全引擎提供快速攻击检测和防御的能力,并具备和Sentriant NG300等安 全设备联动的能力。CLEAR-Flow是面向高速网络的安全技术。
硬件sFlow采样
文案大全
实用标准
sFlow是基于硬件采样的技术,它能够同时监控所有端口的应用层数据流。
端口镜像
Summit X670支持多对一和一对多端口镜像,方便威胁检测和防护。它可将流量镜像至外部安全设备(如入侵检测设备),实现流量分析,便于管理员诊断网络。同时,可跨越交换机堆叠群组中的交换机进行端口镜像。
线速ACL包过滤
ACL是网络资源访问控制及保护网络最强有力的手段之一。Summit X670的每12个端口支持2048个全局的ACLs,可识别L2/L3/L4包头信息如MAC、IPv4和IPv6地址或TCP/UDP端口等信息。
DOS拒绝服务式攻击防护
Summit X670可有效防御DOS攻击。如果交换机发现异常多的数据包出现在CPU入口队列,它能够自动创建ACL防止其进入CPU。一段时间后,这些ACL会自动删除。如果攻击持续,这些ACL会重新加载。
安全和全面的网络管理
为防止管理数据被截取或篡改,Summit X670支持SSH2、SCP和SNMPv3协议。
技术指标参数
Summit X670 通用特性
性能
● ●
1280 Gbps交换背板带宽 9216 Byte 超大帧
文案大全
实用标准
● ● ● ●
128个链路捆绑组, 每组多至8个端口 8 QoS 队列/端口
4094 VLANs (端口, 协议, IEEE 802.1Q) 每12个端口2048个ACL条目
转发表
● ● ● ● ●
Layer 2/MAC 地址表: 32K IPv4 Host表:6K IPv4 LPM表:12K IPv6 Host表:3K IPv6 LPM表:6K
速率
● ● ● ●
数据流入口策略控制/速率 出口队列带宽整形 速率粒度: Kbps 每端口8个出口队列
状态指示灯
● ●
每端口状态LED
系统状态LEDs: 管理, 风扇和电源
物理特性
文案大全
实用标准
尺寸和重量
高度: 1.73 英寸/4.4 厘米 宽度: 17.4 英寸/44.1 厘米 深度: 26英寸/65.5 厘米
重量: Summit X670-24t:10.9 千克, Summit X670-24x:9.2千克
运行参数
温度
● ● ● ●
运行温度范围: 0C to 40C (32F to 104F) 运行湿度: 10% to 93% 相对湿度, 非冷凝
运行撞击 (Half Sine): 30 m/s2 (3g),11ms, 60 Shocks 运行随机震动: 3-500 Hz @1。5g rms
电源特性
● ● ● ● ● ● ● ● ●
AC输入电压范围: 90 –2V
通常输入范围: 100-240V~, 50/60Hz, 10A 输入电流: 12A @ 115V~ 5A @230V~ 最大浪涌电流: 100A @115V/60 Hz,最大负载 效率: 80% with 60% -100% load 供电频率: 47—63 Hz 电源插座: IEC 320 C14 电源线插头: IEC 320 C13 电源消耗: 735W (2508 BTU/h)
文案大全
实用标准
3. 三层千兆交换机Summit X460
Summit® X460系列-带有创新的模块化ExtremeXOS®的可扩展的高级汇聚和边缘交换机
高性能交换和路由
● 在标准1RU机架空间内,提供52个、48个或者28个千兆以太网端口
● 可选2个万兆以太网端口,提供20Gbps上连
● 可选SummitStack™ 40Gbps堆叠模块,80Gbps高速堆叠模块,或者SummitStack-V低成本长距离堆叠
● 支持IEEE 802.3at POE+以太网供电,满足融合网络应用需求 ● 支持二层和三层交换,以及MPLS/H-VPLS高性能交换和路由
丰富的安全管理功能用户策略、主机完整性和身份管理
● 通用端口(Universal Port)动态安全配置,实现更细致的安全策略控制 ● 通过CLEAR-Flow安全规则引擎对网络威胁检测和响应
● 安全加固的网络构架,有效防御拒绝服务攻击和“中间人”式欺骗 高性能、高可靠、支持融合应用
● ExtremeXOS模块化操作系统支持高可靠的网络运行 ● 运营商级的冗余网络协议包括以太网自动保护交换技术EAPS ● 内置冗余AC/DC电源和可在线替换的风扇
文案大全
Summit X460系列交换机基于性的Extreme XOS高可靠模块化操作系统。Extreme XOS是Extreme Networks核心级的操作系统,它提供了卓越的连续运行能力、可管理性和操作效率。Extreme XOS模块化操作系统应用在Extreme Networks全线以太网交换机上,从而提高了整个网络的可用性,降低了运营复杂度。
具有高度灵活性和可扩展性的Summit X460系列交换机端口支持802.3at POE+以太网供电,是园区网接入交换机的理想选择,同时也是传统企业网络汇聚层设备的理想选择。Summit X460系列交换机也是DSLAM和CMTS汇聚设备的优先选择。
Summit X460系列交换机是一个为数据中心度身定做的架顶式交换机,满足数据中心高密度千兆接入的需求。它支持XNV™(ExtremeXOS网络虚拟化)技术,它可以集中管理基于网络的虚拟机的清单、位置历史记录和相应网络配置信息。它支持Direct Attach™技术,卸载服务器中的软交换功能,以提高性能。它以高速的2/3层交换能力和跨机架的长距离堆叠能力满足高度虚拟化数据中心的网络需求。
目标应用 ● 大型网络的接入层或小型网络的核心层交换机 ● 传统三层架构网络的汇聚交换机
● 数据中心的架顶式交换机,支持100米、80Gbps的跨机
架堆叠 ● 高性能运算集群的低延时互连交换机
● 运营商网络中,DSLAM或CMTS最后一公里接入设备的以太网汇聚交换机
● 基于VPLS网络的E-Line或E-LAN商用网络的汇聚或接入交换机
实用标准
高性能和高扩展性的路由和交换
有ExtremeXOS模块化操作系统的助力,Summit X460不但提供核心级的智能交换和路由,还提供杰出的端口密度、高扩展性和虚拟化技术支持以及高性能的堆叠技术。Summit X460的高性能交换和路由,可以帮助加强数据中心,运营商以太网和企业网络汇聚层及接入层的部署。
高性能交换和路由
Summit X460有六种不同的端口配置选项:28个千兆以太网端口(Summit X460-24t/24p/24x),48个千兆以太网光端口(Summit X460-48x),或者52个千兆以太网端口(Summit
X460-48t/48p)。所有的端口均为无阻塞和全线速,并且与扩展槽之间也是全线速转发。Summit X460扩展槽提供灵活的端口配置,扩展槽A可配置1个2端口万兆模块(XGM3-2sf),堆叠扩展槽B可配置2端口SummitStack堆叠模块或者2端口SummitStack-V80堆叠模块(见图一:Summit X460端口配置选项)
灵活的端口配置
Summit X460提供非常灵活的端口配置。Summit X460-24t/24p提供4个的千兆以太网光端口和4个千兆以太网光电共享端口,这样它在提供20个PoE+或非PoE千兆以太网电端口的同时提供8个千兆以太网光端口或者在需要高密度千兆端口的情况下提供24个千兆以太网电端口和4个千兆以太网光端口。通过两个扩展插槽,Summit X460交换机可以提供2个万兆以太网端口和2个堆叠端口。根据堆叠交换机之间的带宽需求,可以选择堆叠带宽40Gbps的SummitStack堆叠和堆叠带宽80Gbps的SummitStack-V80堆叠(见图:Summit X460-24t 灵活的端口配置)。
SummitStack和SummitStack-V80-高性能堆叠
Summit X460支持带宽40Gbps的SummitStack堆叠和带宽80Gbps的SummitStack-V80堆叠。SummitStack堆叠模块提供40Gbps高速堆叠并且可以与Summit X250e,Summit X450a/e,Summit X480和Summit X650堆叠交换机混合堆叠。
另外,在大量数据通过堆叠连接又不希望堆叠影响带宽的应用场合下您也可以选择80Gbps
文案大全
实用标准
高速的堆叠。SummitStack-V80通过QSFP+技术打破了堆叠的距离。SummitStack-V80可支持无源铜缆(长达5米),有源多模光纤线缆(长达100米)和40G以太网标准技术的QSFP+光收发器。通过SummitStack-V80,Summit X460为数据中心和网络中心提供了一个非常灵活的堆叠解决方案。它可以跨越机架行建立一个虚拟的交换基础设施(见图三:SummitStack-V80 40G线缆)。
SummitStack-V通过万兆以太网的灵活堆叠
ExtremeXOS推出新的SummitStack-V堆叠功能。它利用标准的万兆以太网端口作为堆叠端口,从而实现使用标准的布线系统和XFP、SFP+、10GBASE-T和XENPAK等万兆收发器进行堆叠。SummitStack-V提供可达40公里的远距离堆叠解决方案,同时降低堆叠线缆的复杂度。SummitStack-V使用的万兆堆叠端口必须是物理直连的。
智能交换与MPLS/H-VPLS支持
Summit X460支持复杂和智能的二层交换和IPv4/IPv6第三层路由。它支持策略路由和交换、Provider Bridges、入/出双向访问控制列表和8 Kbps粒度的入/出双向带宽控制。为了支持以太网运营商的电信级以太网部署,Summit X460支持基于LSP的MPLS第三层转发和层次化 VPLS(H-VPLS)。基于H-VPLS技术,Extreme交换机通过VPLS隧道提供用户内网报文在运营商核心网上的透明传输服务。
IEEE 802.3at PoE+以太网供电
IEEE 802.3af PoE以太网供电已经被广泛应用在企业园区网的接入层网络,用来为无线AP、IP电话、安全摄像头等以太网供电设备提供电源。以太网端口扩展设备如Extreme Networks ReachNXT™ 100-8t也可以利用以太网供电使安装和管理更为简便且节约维护成本。新的IEEE 802.3at PoE+以太网供电标准把以太网供电额度提升到30瓦,同时通过LLDP协议标准化供电协商机制。Summit X460支持IEEE 802.3at PoE+标准以及现在和未来的基于标准的以太网供电设备。
丰富的安全管理
实现一个安全的网络需要在网络核心和网络边缘同时提供安全保护。Extreme Networks网络安全包括三个关键领域:用户和主机完整性,威胁检测和响应以及强化的网络基础设施。此外,可以使用基于策略的路由功能来保证指定的数据在内部网络节点之间传输的保密性。
用户认证和主机完整性检查
网络登录和动态安全配置文件
ExtremeXOS的网络登陆功能可以强制用户接纳和使用策略。Summit X460系列交换机支持全面的网络登录方式如:802.1x客户端、web(无需客户端)和基于MAC地址的认证。通过这些认证方式,只有经过授权的用户和设备才被允许接入网络并分配至对应的VLAN。Summit X460的统一端口管理器(UPM)与网络登陆功能结合可以让网络管理员轻松建立细致而强大的安全策略并生成动态安全配置文件。登陆时,交换机可以根据用户或用户组信息调用动态访问控制列表/服务质量配置文件,允许或阻止用户访问应用服务器或部分内部网络。 多客户端支持
共享端口是网络中潜在的安全盲区。交换机的多客户端支持确保在同一共享端口下的每个用
文案大全
实用标准
户或设备单独认证并分配其相应的策略和VLAN。融合网络经常会使用共享端口,多客户端支持使得IP电话和无线服务更为安全。
MAC地址锁定MAC地址锁定功能保证打印机、无线接入点和服务器的安全。Summit X460的MAC地址安全/锁定功能可以在访问者的MAC地址与设备内预配置的MAC地址不同时拒绝网络访问。该功能可以用来绑定特定的设备和交换机端口。
主机健康检查
主机健康检查可隔离受感染或不符合安全策略的主机。Summit X460系列交换机支持的主机健康检查方案是基于TCG的安全模型。Summit X460结合Extreme Networks的Sentriant™ AG200终端安全软件,可确保每个终端满足设定的安全策略,同时隔离那些不符合安全策略的终端主机。
身份管理
身份管理使网络管理员可以追踪并记录访问网络的用户。用户身份可通过网络登录认证、LLDP发现协议和Kerberos探针等方式来捕捉。ExtremeXOS使用这些身份信息,提供有关用户MAC、VLAN、计算机名称和端口位置的详细报告。
网络入侵检测和响应
硬件sFlow采样
sFlow是基于采样的技术,它能够同时监控所有端口的应用层数据流。Summit X460的sFlow 进程将采样数据打包并通过网络发送给sFlow收集软件,然后由该收集软件生成最新的全网流量图,方便网络排障、拥塞控制和网络安全威胁发现。
硬件IPFIX采样
IPFIX(Internet Protocol Flow Information eXport)是以私有的Netflow协议为基础定义的一个国际标准的流信息测量协议。它是sFlow的一个补充协议。IPFIX从通过交换机的数据流中采集信息并发送到外部的收集软件。Summit X460支持数据流信息的硬件采样。
端口镜像
Summit X460支持多对一和一对多端口镜像和远程镜像,方便威胁检测和防护。它可将流量镜像至外部安全设备(如入侵检测设备),实现流量分析,便于管理员诊断网络。端口镜像可跨越堆叠组内的交换机。
线速ACL包过滤
ACL是网络资源访问控制及保护网络最强有力的手段之一。Summit X460的每24/28个端口支持2048个全局的ACL,可识别L2/L3/L4包头信息如MAC、IPv4/IPv6地址和TCP/UDP端口等信息。ACL可用来过滤数据流,也可以把数据流分类以用于带宽控制、优先级分配、镜像和基于策略的路由/交换等功能。
DOS拒绝服务式攻击防护
Summit X460可有效防御DOS攻击。如果交换机发现异常多的数据包出现在CPU入口队列,
文案大全
实用标准
它能够自动创建ACL防止其进入CPU。一段时间后,这些ACL会自动删除。如果攻击持续,这些ACL会重新加载。
安全管理
为防止管理数据被截取或篡改,Summit X450a支持SSH2、SCP和SNMPv3协议。MD5算法被用来验证路由信息以防止路由信息篡改攻击。
Extreme Networks研发了网络管理工具,帮助用户减少网络管理时间和成本。EPICenter管理套件具有故障管理、配置管理、统计管理、性能管理和安全管理功能,方便用户有效管理复杂融合网络中的各类Extreme Networks交换设备。
对于运营商网络而言,Extreme Networks的Ridgeline™ Service Advisor管理软件,帮助用户从被动线路监测转化为主动服务监测。Ridgeline Service Advisor结合业务开通,服务保障和服务工程功能,帮助运营商有效地管理下一代三网合一的商业以太网服务。
高性能、高可靠性、支持融合应用
得益于ExtremeXOS模块化操作系统,Summit X460支持在线进程恢复和应用升级,无需系统重起。Summit X460通过先进的模块化操作系统、高可靠的硬件架构和运营商级的网络冗余协议提供给关键服务器和业务应用高可靠的网络。
不间断运行的模块化操作系统
真正抢先式多任务和内存保护
Summit X480交换机允许每个应用进程-如OSPF、STP生成树等-作为的操作系统进程运行,从而避免相互影响。这将提高系统完整性并帮助抵御拒绝服务式攻击(DOS)。
进程监控和重启
ExtremeXOS通过进程监控和重启大大提高网络可靠性。操作系统可以实时监控每个进程,如果某个进程没有响应或停止运行,它可以被自动重启。
动态调用的软件模块
ExtremeXOS的模块化设计允许软件模块单独升级,这已经成为网络必备的功能要求,确保更高的可靠性(见图五:ExtremeXOS模块化设计)。
高可靠网络协议
EAPS-以太网自动保护切换
EAPS可提升普通IP网络,提供等同于传统语音网络的高级别可靠性和不间断运行能力。EAPS比STP或者RSTP协议具有更强的适应性,可以提供小于一秒(50毫秒以内)的快速稳定切换,不会受VLAN数量、网络节点数或者网络拓扑影响。正因为EAPS允许网络几乎是全透明的恢复,所以绝大部分情况下VOIP电话将不会中断,数字视频不会有马赛克或不流畅现象。
生成树/快速生成树
文案大全
实用标准
Summit X460交换机支持802.1D生成树、PVST+、802.1w快速生成树和802.1s多生成树等二层冗余协议。
软件增强的可靠性
网络基础架构中部分故障时,软件增强的可靠性仍然可以保持用户网络连接。通过先进的三层协议,如OSPF、VRRP和ESRP协议,Summit X460可以持续监测上连线路的问题,并动态路由流量跳过故障点。
等价多路径(ECMP)
等价多路径(ECMP)路由允许上连线路间进行负载均衡,既提高了性能,节约了成本同时还可以做到冗余故障保护。
链路汇聚(802.3ad)
链路汇聚允许最多8个链路汇聚形成一个逻辑中继链路,最多可以创建128个汇聚链路组。
语音级交换机堆叠
Summit X460提供基于专用堆叠模块的40G和80G堆叠能力以及通过标准万兆端口的SummitStack-V堆叠技术。所有SummitStack堆叠架构都是精心设计以支持关键业务,它集成了以下高可靠、快速备份切换的特性:n-1个master冗余、分布式二层和三层转发、跨堆叠的链路汇聚和分布式的上连中继。SummitStack支持每堆叠8个交换机,并可构建混合的堆叠组。该堆叠支持50毫秒内的快速路径切换、不中断的主/备节点故障切换和不中断状态协议的支持,如OSPF graceful restart和网络登陆用户认证。Summit X460的SummitStack技术提供了类似插槽式交换机的管理性和可靠性。(见图六:SummitStack堆叠架构)
硬件冗余
Summit X460使用双冗余的交/直流电源来提高系统的可靠性,支持热插拔在线更换。对于非PoE机型,Summit X460支持交流电源和直流电源同时配置,直流电源会作为主供电电源,交流电源可以连接UPS作为备份。Summit X460同时支持可热插拔风扇盘。
技术指标
通用特性
性能
⊙ 交换容量:176Gbps(24t/24p/24x),224Gbps(48t/p),216Gbps(48x)
⊙ 包转发率:130.9Mpps(24t/24p/24x),166.7Mpps(48t/48p),160.7Mpps(48x) ⊙ 转发延迟:低于4微秒(字节) ⊙ 最大9216字节数据包(Jumbo帧)
⊙ 128个负载分担链路捆绑组,每组多至8个端口 ⊙ 4094 VLAN(基于端口、协议、IEEE802.1Q) ⊙ 每24端口4192个入口ACL和512个出口ACL
转发表
文案大全
实用标准
⊙ MAC地址表:32K ⊙ IPv4 LPM表:12K ⊙ IPv6 LPM表:6K
CPU和内存
⊙ 位MIPS处理器,600 MHz ⊙ 1GB ECC DRAM内存 ⊙ 1GB闪存
QoS和速率
⊙ 每24端口4096个入口带宽器 ⊙ 每端口8个QoS出口队列 ⊙ 出口队列带宽整形 ⊙ 速率颗粒度:8Kbps
状态指示灯 ⊙ 每端口状态LED
⊙ 系统状态LED:管理、风扇和电源
端口
⊙ Summit X460-24t:24端口10/100/1000BASE-T,8端口100/1000 BASE-X SFP(4端口SFP与4端口10/100/1000BASE-T共享),1个XGM3-2sf模块扩展槽,1个堆叠模块扩展槽
⊙ Summit X460-48t:48端口10/100/1000BASE-T,4端口100/1000 BASE-X SFP,1
个XGM3-2sf模块扩展槽,1个堆叠模块扩展槽
⊙ Summit X460-24p:24端口10/100/1000 BASE-T带PoE+以太网供电,8端口100/1000 BASE-X SFP(4端口SFP与4端口10/100/1000BASE-T共享),1个XGM3-2sf模块扩展槽,1个堆叠模块扩展槽
⊙ Summit X460-48p:48端口10/100/1000 BASE-T带PoE+以太网供电,4端口100/1000 BASE-X SFP,1个XGM3-2sf模块扩展槽,1个堆叠模块扩展槽
⊙ Summit X460-24x:24端口100/1000 BASE-X SFP,8端口10/100/1000BASE-T(4端口10/100/1000BASE-T与4端口SFP共享),1个XGM3-2sf模块扩展槽,1个堆叠模块扩展槽
⊙ Summit X460-48x:48端口100/1000 BASE-X SFP,1个XGM3-2sf模块扩展槽,1个堆叠模块扩展槽 扩展槽
⊙ 扩展槽A:XGM3模块扩展槽 ⊙ 扩展槽B:堆叠模块扩展槽
XGM3模块端口(扩展槽A)
文案大全
实用标准
⊙ 2端口10GBASE-X SFP+(XGM3-2sf)
堆叠模块端口(扩展槽B) ⊙ 2端口20G SummitStack模块 ⊙ 2端口40G SummitStack-V80模块
电源
⊙ Summit 300W交流电源 ⊙ Summit 300W直流电源 ⊙ Summit 750W PoE交流电源 风扇转速
⊙ 最低转速2500 RPM ⊙ 最高转速15900 RPM
文案大全
实用标准
4. 核心路由器MP7500
产品概述
MP7500系列核心汇聚路由器
MP7500系列路由器是迈普通信技术股份有限公司自主研发的核心汇聚路由器,它是基于ATCA(Advanced Telecom Computing Architecture,高级电信计算架构)的电信级产品架构设计理念,充分考虑下一代路由器针对业务/内容的数据处理特点,主要面向大型广域网的省级核心汇聚和省级核心上联以及超大型互联网接入平台。
MP7500系列路由器在领先的“双核动力”基础上进一步实现“多核动力”,并基于ATCA结构设计,在满足用户高性能需求的基础上,在整个系统提供最为完善的双冗余或者多冗余设计,为用户提供核心设备电信运营级的高可靠性。MP7500系列路由器使用统一的MyPower-R软件,提供丰富的路由、备份、网络安全服务、IP组播、QoS以及网络管理等功能,支持多种网络层和链路层协议,支持BGP边界网关协议和MPLS功能,可以在网络中担当PE节点或P节点的功能。
MP7500具有2个主控槽位和8个多功能插槽,最多支持32路155M接口或256路E1接口同时接入,目前整机具有12-48Mpps的包转发能力。
MP7500系列路由器作为一种多用途的通用数据业务处理路由平台,可与迈普公司全系列路由器一起为运营商、金融、、能源、交通、教育、等行业用户和大中型企业用户提供全方位的广域网解决方案,广泛应用于以上各个行业领域核心骨干层和核心汇聚层。 产品特征
率先基于ATCA架构的设计,在满足高性能基础上提供电信级可靠性
ATCA架构是国际标准化组织PICMG于2002年颁布的电信设备硬件开放设计标准
文案大全
实用标准
PICMG3.X,秉承开放化、标准化的技术设计理念,旨在为用户提供高性能、高稳定性、充满弹性并具有高扩展性的新一代计算平台标准,是未来电信的标准架构。
MP7500系列路由器是业界第一台基于领先的ATCA架构设计核心路由平台,在满足高性能基础上提供电信级苛刻的高可靠性。基于ATCA架构设计标准,MP7500系列路由器提供的系统管理子系统,配合多核处理技术实现数据转发平面、协议控制平面、系统管理平面的分离,使得相互之间不会抢夺资源,保证系统运行的高可靠性。
基于ATCA架构设计标准,MP7500系列路由器整个系统每个方面均提供最为完善的双冗余或者多冗余设计(双主控、双风扇、三电源、双星型数据总线、双管理总线、单主控上双Monitor ROM、单主控上双内存、单主控上双Flash等),永远不会因为单点故障而导致系统的瘫痪,达到苛刻电信级可靠性。
采用业界领先的多核处理技术,提供强大转发能力满足高性能的需求
MP7500系列路由器采用业界领先的多核处理技术,通过分布式处理机制实现数据转发平面和协议控制平面分离,并实现多个处理内核之间的负载均衡,即使配置复杂的软件功能也不会降低性能,使得MP7500系列路由器转发能力达到12-48Mpps,最大支持32个155M接口以及256个E1接口,满足2000个以上的2M网点汇聚能力。
提供双主控冗余,并基于迈普专利技术提供独特的单框双机应用模式
传统双主控设计的应用模式为主/备模式,一张主控卡是另外一张主控卡的备份,当主要主控卡失效时,备份主控卡立即启动接替主要主控卡工作,保证业务不中断。这种模式只能解决单机可靠性问题,不能解决链路备份问题。
MP7500系列路由器双主控设计在满足上述传统应用模式的基础上,通过迈普专利技术实现独特的单框双机应用模式:一台双主控的MP7500系列路由器可以设置两立的单主控路由器,实现双链路双设备冗余备份和负载均衡,完成只有两立路由器才能完成的工作。
提供320G背板,实现分布式与集中式混合架构满足高扩展性的需求
MP7500系列路由器为每个槽位提供的40Gbps背板带宽,使得整机背板带宽达到320Gbps,实现分布式与集中式混合架构,基于目前低速板卡应用(2M、100M、155M)提供在分布式架构集中处理,未来更换带有交换矩阵的主控卡和智能处理线卡即可升级成全分布式架构,满足高速板卡应用(2.5G、10G)。
文案大全
实用标准
基于ATCA架构设计标准,MP7500系列路由器预留资源未来可扩展高速硬件加密引擎模块、内容处理模块、IDS/IPS模块、硬件防火墙模块、磁盘阵列模块等,为用户未来的业务实现提供无限可能的扩展空间,满足ATCA架构高扩展性的标准。
采用迈普独特的专利技术-虚拟路由交换技术,有效实现多业务隔离
MP7500系列路由器支持迈普专利的虚拟路由交换技术,可将广域接口(例如E1)或者广域接口划分的多个通道(例如CPOS的通道)虚拟成以太接口,且在MP7200系列路由器基础上使得单个CPOS接口划分通道数增加一倍,达到252个,可以为每一个网点分配4个通道,并通过迈普多业务隔离网桥接入网点交换机或者网点路由器,并通过划分硬件时隙的方式实现每个通道的硬件隔离以及带宽承诺,有效实现一个网点多种业务的硬件隔离与带宽保障。
采用超低功耗设计,延长核心路由平台寿命,降低核心设备运转能耗
根据10℃规律,半导体芯片的可靠性、使用寿命与工作温度有着直接的关系,工作温度每上升10℃,半导体芯片则其可靠性降低一半,而工作温度则与设备的功耗成正比关系。MP7500系列路由器整机最大功耗(全配)低于400W,如此低的功耗使得MP7500系列路由器板卡半导体芯片的温度较低,这种低功耗设计不仅大大提高了高端设备的使用寿命,保障了高端设备的稳定运行,而且,在能源日益紧张的今天,也大大节约设备的运转能耗。
顶端提供液晶显示屏,基于标准的ATCA接口提供多种告警维护手段
MP7500系列路由器在顶端提供液晶显示屏,可实时显示整个系统的温度、CPU利用率、内存占用量等重要情况,并利用液晶显示屏旁边的快捷键可以快速的查看主控卡状态和各个线卡的状态,以及相应各个接口的状态等。
基于ATCA架构设计标准,MP7500系列路由器提供适应于机房管理的对外开放的告警接口可以与机房第三方告警系统联动,形成最为快捷的告警管理维护系统。当MP7500系列路由器出现严重告警时,迈普综合网络管理系统可以根据预先设定的策略通过播放声音、发送邮件、发送短消息、或拨打电话等各种自动提示方式告诉网络管理人员;并且MP7500系列路由器标准的ATCA接口均会驱动管理办公室里高分贝的震铃系统以及高亮度的大型告警指示灯进行告警,维护人员同时可以利用MP7500系列路由器顶部的液晶显示屏和快捷键进行一些告警故障的现场快速处理。
文案大全
实用标准
支持IPv6协议,提供丰富软件功能,全面兼容业界主流路由器产品
MP7500系列路由器支持IPv6协议,全面实现BGP边界网关协议和MPLS协议套件,支持标准的L2TP协议,可以采用这些技术部署从二层到三层不同类型的VPN网络;提供ACL包过滤、NAT、认证审计、路由验证、Callback、拒绝服务保护等高级安全特性;提供集成服务和区分服务,支持RSVP资源预留协议,支持CAR,支持FIFO、PQ、FQ、CBWFQ、LLQ等排队策略,保障关键业务区分服务;支持SHELL、WEB、SNMP(SNMP V3协议)三种集中网络管理方式,采用中文图形化Maipu Masterplan网管平台可以跨平台、规模化网络管理,轻松实现网络配置、网络监控、统计、计费、维护等操作。
提供流行的配置界面和风格,简单易用,并遵循RFC标准和主流的业界标准,能够做到与业界主流厂商的网络设备互连互通。
完善的散热系统设计,满足ATCA架构机箱设计标准保证系统稳定性
MP7500系列路由器提供标准14U屏蔽电磁辐射的机箱,可以安置在标准机架上,具有抗震、抗高低温、抗电磁辐射、易装拆等特点,满足“主控卡居中,线槽分布两旁、竖槽设计”的ATCA机箱标准,并首家依据ATCA机箱设计标准在高端路由设备上实现最为完善的“双风扇冗余,前方进气风扇与后方排气风扇组合,下送上拉循环散热方式”的散热系统设计,并提供每槽位200W散热能力的ATCA标准要求,提供三电源组合实现1+1和2+1电源冗余备份方案,并支持所有组件热插拔,最大程度保证设备可靠性和可维护性,可以工作在电力、石油、石化、等多个应用环境相对特殊的地方。 产品规格 硬件规格 产品型号 内存 Flash 固定接口 主控板槽位数 业务引擎槽位数 交换容量 转发性能 USB AUX 配置口 CF卡 外形尺寸(长×宽×高) 文案大全
MP7500 最大可配置到1Gbytes 固化Mbytes,可通过CF卡扩展到1Gbytes 4GE(光电复用) 2 8 320Gbps 12-48Mpps 1 1 1 支持 576 mm×482.6 mm×420mm 实用标准
输入电压(AC) 电压:100~240V;电流:1.2A;频率:50~60Hz 输入电压(DC) 功耗 温度 湿度 散热方式 软件特性 电压:-40~-57V;电流:4.6A 3×350W 工作温度:0~40℃ 存储温度:-20-50℃ 工作湿度:10~90%,不结露 存储湿度:5~95%,不结露 主动方式 ATM FR、MFR HDLC PPP、MP、支持LCP协商功能,支持PAP/CHAP认证 PPPoE、PPPoE Server X.25 桥接 虚拟以太桥接 动态和静态ARP、代理ARP、免费ARP Ethernet,Ethernet II、VLAN(VLAN-BASED PORT VLAN、VOICE VLAN、Guest VLAN)、802.3x、802.1p、802.1Q、802.1x 广域网 链路层协议与技术 局域网 STP/RSTP/MSTP IGMP Snooping、GVRP IEEE802.3ad LACP二层聚合 端口镜像 广播风暴抑制 静态路由 RIP v1/v2、RIPng OSPF v3、OSPFv3 路由协议 IS-IS、IS-ISv6 IRMP BGP、BGP4+ ECMP(等价多路径)、路由策略、递归路由 IGMP v1/v2/v3、MLD V1/V2 网络协议 组播协议 IGMP Snooping、MLD Snooping PIM-DM、PIM-SM、PIM-SDM、PIM-SSM DVMRP、MSDP DHCP Server、DHCP Client、DHCP Relay DHCPv6 Server、DHCPv6 Client、DHCPv6 Relay DNS、DDNS FTP Server、FTP Client Ping、Trace IP Accounting、UDP Helper、NTP IP应用 IPv6 文案大全
IPv6基本功能:IPv6 ND,IPv6 PMTU,IPv6 FIB,IPv6 ACL 实用标准
IPv6隧道技术:IPv6手动隧道、GRE隧道、IPv4兼容IPv6自动隧道、6to4隧道、ISATAP隧道 NATPT ACL 安全防护 防火墙 网络安全性 DDOS防攻击 应用控制 VPN NAT 认证 MPLS VPN 标准IP ACL、扩展IP ACL、标准MAC ACL、以太协议ACL、IPv6 ACL、自反ACL 控制平面保护、URPF 包过滤、状态检测、不合理IP分片过滤、太小包过滤、伪源地址检测 ICMPFlood拦截、Smurf攻击拦截、Fraggle攻击拦截、LAND攻击拦截、SYNFlood攻击拦截 流量控制、URL过滤 L2TP、GRE、IPSec、IKE、RSA 静态NAT、动态NAT、静态NAPT、动态NAPT Local认证,RADIUS,TACACS Portal认证、802.1x认证、MAC地址认证 L2 Martini方式的L2VPN Kompella方式的L2VPN 支持一个Site属于多个VPN、支持多角色主机 MPLS MPLS/BGP VPN(L3 VPN) MPLS VPN跨域 MPLS TE MPLS 组播 支持三种跨域MPLS VPN方式(Option1/Option2/Option3) 支持MPLS TE/FRR,FRR切换时间小于50ms 支持MVPN 基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等 CAR、LR PQ、FQ、CQ、CBWFQ、LLQ RED、WRED GTS HQoS、以太子接口QoS、MPLS QoS、IPv6 QoS 电源、风扇、业务模块热插拔 管理控制引擎和转发引擎完全分离 关键部件主控板和电源均支持冗余备份 Dual Image、Dual Bootrom 支持BFD for BGP/IS-IS/OSPF/RSVP/VPLS PW/VRRP等 MPLS OAM MPLS ping、MPLS traceroute 流分类 流量监管 QoS 拥塞管理 拥塞避免 流量整形 其他 部件可靠 可靠性 链路可靠 支持EIPS 支持Keepalive Gateway 支持接口备份方式 支持VRRP、VRRPv3、VRRPE 支持基于带宽的负载分担与备份 支持基于用户(IP地址)的负载分担与备份 备份功能 文案大全
实用标准
软件热补丁 业务可靠 网络管理 系统管理 OAM 网络质量保证(SLA)
支持NSF/GR for OSFP/BGP/IS-IS/LDP/RSVP等 支持IP FRR、TE FRR SNMP v1/v2/v3、MIB、RMON、SYSLOG、TR069 Console口登录管理、AUX口登录管理、Telnet(VTY)远程管理、SSH管理、WEB管理 支持DHCP, FTP,HTTP,ICMP,UDP public, UDP private, TCP public, TCP private, SNMP等协议测试 支持语音jitter测试 支持网络的时延、抖动、丢包率等测试 5. 汇聚路由器MP7200
产品概述
MP7200外观图
MP7200系列路由器是迈普公司自主研发的接入中心汇聚路由器,主要面向大型广域网的地市级汇聚和上联、小型广域网的省级汇聚和上联以及用作大型互联网接入平台,包含MP7204,MP7208两款型号,分别具有4个和8个多功能插槽(MIM)。
MP7200系列路由器秉承迈普公司“双核动力”理念,提供完善的网络投资保护设计,轻松实现未来网络的平滑升级和扩展。MP7200系列路由器可提供强劲的汇聚能力,满足客户大规模汇聚的应用需求;采用全模块化设计,并在主控板上集成了3个千兆光/电可选的以太口,充分释放了功能模块插槽,节约用户投资;使用统一的MyPower-R软件,提供了丰富的网络和链路协议、路由和备份协议、网络安全服务、IP组播协议、SNA/DLSw功能、QoS特性以及网络管理协议,支持BGP边界网关协议和MPLS功能,可以在网络中担当PE节点或P节点的功能。
文案大全
实用标准
MP7200系列路由器可与迈普全系列路由器一起为运营商、金融、、能源、交通、教育、等行业用户和大中型企业用户提供全方位的广域网解决方案,广泛应用于以上各个行业领域。 产品特征
采用业界领先的硬件系统设计,提升中心接入汇聚层路由器的应用空间 采用代表业界芯片领先技术水平的双内核处理器,两个内核分别负责协议处理和数据转发,相互互不影响,即使配置复杂的软件功能也不会降低性能;采用双PCI总线架构,高带宽接口直接接入CPU,从而可以接入更多高速板卡,解决了共享总线的性能瓶颈问题;3个高速接口(千兆以太)控制器集成在CPU芯片内,不占用系统总线带宽;采用两个可交织使用的DDR内存通道,能够提供两倍于单通道的内存带宽,使得内存访问不再是瓶颈。
以上业界领先的硬件系统设计,有力保障MP7200系列路由器的性能,提升了中心接入汇聚层路由器的应用空间。
双核CPU支持大容量数据转发,强劲的性能支撑了更多的网络应用服务
采用迈普公司的自主研发的快速转发引擎技术,配合采用大量DMA、片内硬件加速部件、双内核和双DDR内存通道的CPU芯片以及双PCI总线架构的硬件系统设计,提供强劲的性能支撑了更多的网络应用服务。
提供强劲的2M汇聚能力,为用户轻松实现网点带宽提速
强劲的性能为用户提供了强劲的2M汇聚能力,可以实现大容量的E1端口汇聚和多张155M的高速板卡(ATM/CPOS/POS)线速转发,为用户轻松实现网点带宽提速。
完善的网络投资保护设计理念,为用户节约每一分网络投资
为用户提供了“可持续性保护的网络投资理念”,提供多种不同性能主控板供用户灵活选择,可以根据现在业务的需求订购合适的主控板,以后业务的发展需求升级则不用更换整个主机,只需要更换主控板就可以平滑实现,保护网络投资;此外标配3个光/电自选的千兆以太口使得用户不用额外购买这些接口模块,并且提供的多E1/CE1板卡端口密度最大,使得每个端口平均价格低,以上设计大大节约了用户网络投资。
支持多种网络危机处理机制,保证作为大型中心汇聚设备的稳定运行
提供双电源冗余热备份,支持瞬时断电保护,所有电源均通过CE认证标准,支持100~240V的范围,宽广的电压适应范围能满足更多电压环境下的正常使用;支持业务板卡热插拔,支持标准的VRRP(VBRP)协议,可与其它厂商的路由器一起实现双机热备份功能,让
文案大全
实用标准
业务永不中断,保证MP7200系列路由器作为大型中心汇聚设备的稳定运行。
提供迈普专利的虚拟路由交换技术,利用交换机组网的成本实现路由器组网的优
势
提供迈普公司自主研发的专利技术――迈普虚拟路由交换技术,具有路由和桥接两种工作模式,每一个封装该协议的广域网接口都有对应的虚拟以太接口,数据在虚拟以太口和广域网接口之间路由或者桥接,用户就象操作一个真实以太接口一样配置和使用这个虚拟以太接口,实现上端用MP7200系列路由器配置CPOS/多E1板卡汇聚,下端用网桥加交换机的模式组网,利用交换机组网的成本实现路由器组网的优势。
提供丰富的软件功能
全面实现BGP边界网关协议和MPLS协议套件,支持标准的L2TP、IPSec,可以采用这些技术部署从二层到三层不同类型的VPN网络;并内置防火墙功能,提供ACL包过滤、NAT、认证审计、路由验证、Callback、拒绝服务保护等高级安全特性;提供集成服务和区分服务,支持RSVP资源预留协议,支持CAR ,支持FIFO、PQ、FQ、CBWFQ、LLQ等排队策略,保障关键业务区分服务;在国内首家实现SNA与DLSw、LLC2协议并支持SHELL、WEB、SNMP(SNMP V3协议)三种集中网络管理方式,采用中文图形化Maipu Masterplan网管平台可以跨平台、规模化网络管理,轻松实现网络配置、网络监控、统计、计费、维护等操作。
完善的IPv6解决方案
作为下一代网络的基础协议IPv6的技术优势已得到业内的普遍认可,MP7200全面支持IPv6协议,包括IPv6和IPv4双协议栈、IPv4到IPv6各类过渡技术、IPv6隧道、6to4隧道、IPv6静态路由、RIPng、OSPFv3、IS-ISv6、IPv6组播、PingV6,Traceroute V6、IPv6 Forwarding、ND,IPv6 PMTU,IPv6 FIB,IPv6 ACL等衍伸功能,保证了IPv4到IPv6的平滑过渡。
全面兼容业界主流厂商路由器产品
提供流行的配置界面和风格,简单易用,并遵循RFC标准和主流的业界标准,能够做到与业界主流厂商的网络设备互连互通。
外型结构
采用标准19'屏蔽电磁辐射的机箱,可以安置在标准机架上,具有抗震、抗高低温、抗电磁辐射、易装拆等特点,使MP7200系列路由器工作更加稳定可靠,可以工作在电力、石油、石化、等多个应用环境相对特殊的地方。 产品规格
文案大全
实用标准
硬件规格 产品型号 内存 Flash 主控板槽位数 业务引擎槽位数 MP7204 最低256Mbytes ,可扩至1Gbytes 固化配置16Mbytes,可扩展至80Mbytes 1 4 1 8 MP7208 风扇模块槽位数 电源模块槽位数 AIM槽位数 交换容量 转发性能 USB AUX 配置口 CF卡 1 2 1 12Gbps 2.2Mpps-4.5Mpps 1 与配置口复用 与AUX口复用 支持 1 2 1 12Gbps 2.2Mpps-4.5Mpps 1 支持 444mm × 360mm×155mm 外形尺寸(W×D×H) 444mm × 360mm×100mm 输入电压(AC) 输入电压(DC) 功耗 温度 电压:100~240V;电流:1.2A;频率:50~60Hz 电压:-40~-57V;电流:4.6A 200W 工作温度:0~40℃ 存储温度:-20-50℃ 湿度 工作湿度:10~90%,不结露 存储湿度:5~95%,不结露 软件特性 ATM FR、MFR HDLC 广域网 链路层协议与技术 PPP、MP、支持LCP协商功能,支持PAP/CHAP认证 PPPoE、PPPoE Server X.25 桥接 虚拟以太桥接 动态和静态ARP、代理ARP、免费ARP 局域网 Ethernet,Ethernet II、VLAN(VLAN-BASED PORT VLAN、VOICE VLAN、Guest VLAN)、802.3x、802.1p、802.1Q、802.1x STP/RSTP/MSTP 文案大全
实用标准
IGMP Snooping、GVRP IEEE802.3ad LACP二层聚合 端口镜像 广播风暴抑制 静态路由 RIP v1/v2、RIPng OSPF v3、OSPFv3 路由协议 IS-IS、IS-ISv6 IRMP BGP、BGP4+ ECMP(等价多路径)、路由策略、递归路由 IGMP v1/v2/v3、MLD V1/V2 组播协议 网络协议 IGMP Snooping、MLD Snooping PIM-DM、PIM-SM、PIM-SDM、PIM-SSM DVMRP、MSDP DHCP Server、DHCP Client、DHCP Relay DHCPv6 Server、DHCPv6 Client、DHCPv6 Relay IP应用 DNS、DDNS FTP Server、FTP Client Ping、Trace IP Accounting、UDP Helper、NTP IPv6基本功能:IPv6 ND,IPv6 PMTU,IPv6 FIB,IPv6 ACL IPv6 IPv6隧道技术:IPv6手动隧道、GRE隧道、IPv4兼容IPv6自动隧道、6to4隧道、ISATAP隧道 NATPT ACL 标准IP ACL、扩展IP ACL、标准MAC ACL、以太协议ACL、IPv6 ACL、自反ACL 安全防护 控制平面保护、URPF 防火墙 包过滤、状态检测、不合理IP分片过滤、太小包过滤、伪源地址检测 DDOS防ICMPFlood拦截、Smurf攻击拦截、Fraggle攻击拦截、LAND攻击拦截、网络安全攻击 SYNFlood攻击拦截 性 应用控制 流量控制、URL过滤 VPN NAT 认证 L2TP、GRE、IPSec、IKE、RSA 静态NAT、动态NAT、静态NAPT、动态NAPT Local认证,RADIUS,TACACS Portal认证、802.1x认证、MAC地址认证 文案大全
实用标准
MPLS L2 Martini方式的L2VPN VPN Kompella方式的L2VPN MPLS/BGP VPN(L3 支持一个Site属于多个VPN、支持多角色主机 VPN) MPLS MPLS 支持三种跨域MPLS VPN方式(Option1/Option2/Option3) VPN跨域 MPLS TE 支持MPLS TE/FRR,FRR切换时间小于50ms MPLS 组支持MVPN 播 MPLS OAM 流分类 MPLS ping、MPLS traceroute 基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等 流量监管 CAR、LR QoS 拥塞管理 PQ、FQ、CQ、CBWFQ、LLQ 拥塞避免 RED、WRED 流量整形 GTS 其他 HQoS、以太子接口QoS、MPLS QoS、IPv6 QoS 电源、风扇、业务模块热插拔 部件可靠 管理控制引擎和转发引擎完全分离 关键部件主控板和电源均支持冗余备份 Dual Image、Dual Bootrom 支持BFD for BGP/IS-IS/OSPF/RSVP/VPLS PW/VRRP等 链路可靠 支持EIPS 可靠性 支持Keepalive Gateway 支持接口备份方式 备份功能 支持VRRP、VRRPv3、VRRPE 支持基于带宽的负载分担与备份 支持基于用户(IP地址)的负载分担与备份 软件热补丁 业务可靠 支持NSF/GR for OSFP/BGP/IS-IS/LDP/RSVP等 支持IP FRR、TE FRR 网络管理 SNMP v1/v2/v3、MIB、RMON、SYSLOG、TR069 OAM 系统管理 Console口登录管理、AUX口登录管理、Telnet(VTY)远程管理、SSH管理、WEB管理 网络质量支持DHCP, FTP,HTTP,ICMP,UDP public, UDP private, TCP public, TCP 文案大全
实用标准
保证private, SNMP等协议测试 (SLA) 支持语音jitter测试 支持网络的时延、抖动、丢包率等测试
6. 接入路由器MP3840
产品概述
MP3800外观图
MP3800系列路由器是迈普通信技术股份有限公司自主研发的新一放式全业务汇聚路由器,主要面向大型广域网的区县级汇聚和上联、小型广域网的地市级汇聚和上联以及用作大型互联网接入平台,包含MP3840一款型号,具有4个多功能大插槽(MIM)+4个多功能小插槽(SIC),MP3800系列路由器秉承迈普公司“全业务集成理念”,提供路由、交换、安全、视频、语音、存储、带宽优化等完全的业务集成服务,轻松实现未来网络的平滑升级和扩展。MP3800系列路由器可提供强劲的汇聚能力,满足客户大规模汇聚的应用需求;采用全模块化设计,并在主控板上集成千兆光/电可选的以太口,充分释放了功能模块插槽,节约用户投资;使用统一的MyPower-R软件,提供了丰富的网络和链路协议、路由和备份协议、网络安全服务、IP组播协议、QoS特性以及网络管理协议,支持BGP边界网关协议和MPLS功能,可以在网络中担当PE节点的功能。
MP3800系列路由器可与迈普全系列路由器一起为运营商、金融、、能源、交通、教育、等行业用户和大中型企业用户提供全方位的广域网网络解决方案。 产品特征
采用业界领先的硬件结构设计,强劲的性能支撑了更多的网络应用服务
采用迈普公司自主研发的快速转发引擎技术,配合采用大量DMA、片内硬件加速部件、高性能DDR内存通道的CPU芯片以及多总线架构的硬件系统设计,4个高速接口(千兆以太)控制器集成在CPU芯片内,强劲的性能支撑了更多的网络应用服务。
文案大全
实用标准
提供强劲的2M汇聚能力,为用户轻松实现网点带宽提速
强劲的性能为用户提供了强劲的2M汇聚能力,可以实现多张155M的高速板卡(ATM/CPOS/POS)线速转发,最多可以汇聚数百个2M的网点;并提供多E1汇聚能力,为用户轻松实现网点带宽提速。
高背板带宽的全开放式架构支持全业务集成服务
为用户提供了高背板带宽,多功能大插槽(MIM)提供千兆背板,支撑高密度宽带接口密度,并且全开放式架构可以为用户提供路由、交换、安全、视频、语音、带宽优化等完全的业务支持。
支持多种网络危机处理机制,保证作为大型边缘汇聚设备的稳定运行
提供双电源冗余热备份,支持瞬时断电保护,所有电源均通过CE认证标准,支持100~240V的范围,宽广的电压适应范围能满足更多电压环境下的正常使用;支持业务板卡热插拔,支持标准的VRRP(VBRP)协议,可与其它厂商的路由器一起实现双机热备份功能,让业务永不中断,保证MP3800系列路由器作为大型边缘汇聚设备的稳定运行。
提供迈普专利的虚拟路由交换技术,利用交换机组网的成本实现路由器组网的优
势
提供迈普公司自主研发的专利技术――迈普虚拟路由交换技术,具有路由和桥接两种工作模式,每一个封装该协议的广域网接口都有对应的虚拟以太接口,数据在虚拟以太口和广域网接口之间路由或者桥接,用户就像操作一个真实以太接口一样配置和使用这个虚拟以太接口,实现上端用MP3800系列路由器配置CPOS/多E1板卡汇聚,下端用网桥加交换机的模式组网,利用交换机组网的成本实现路由器组网的优势。
提供丰富的软件功能
全面实现BGP边界网关协议和MPLS协议套件,支持标准的L2TP、IPSec,可以采用这些技术部署从二层到三层不同类型的VPN网络;并内置防火墙功能,提供ACL包过滤、NAT、认证审计、路由验证、Callback、拒绝服务保护等高级安全特性;提供集成服务和区分服务,支持RSVP资源预留协议,支持CAR ,支持FIFO、PQ、CQ、FQ、CBWFQ、LLQ等排队策略,保障关键业务区分服务;在国内首家实现SNA协议并支持SHELL、WEB、SNMP(SNMP V3协议)三种集中网络管理方式,采用中文图形化Maipu Masterplan网管平台可以跨平台、规模化网络管理,轻松实现网络配置、网络监控、统计、计费、维护等操作。
全面兼容业界主流厂商路由器产品
文案大全
实用标准
提供流行的配置界面和风格,简单易用,并遵循RFC标准和主流的业界标准,能够做到与业界主流厂商的网络设备互连互通。
标准的机箱结构
采用标准19'屏蔽电磁辐射的机箱,可以安置在标准机架上,具有抗震、抗高低温、抗电磁辐射、易装拆等特点,使MP3800系列路由器工作更加稳定可靠,可以工作在电力、石油、石化、等多个应用环境相对特殊的地方。 产品规格 硬件规格 产品型号 内存 Flash 固定接口 主控板槽位数 业务引擎槽位数 风扇模块槽位数 电源模块槽位数 AIM槽位数 交换容量 转发性能 USB AUX 配置口 CF卡 外形尺寸(长×宽×高) 输入电压(AC) 输入电压(DC) 功耗 温度 湿度 散热方式 软件特性 ATM 链路层协议与技术 FR、MFR 广域网 HDLC PPP、MP、支持LCP协商功能,支持PAP/CHAP认证 PPPoE、PPPoE Server 文案大全
MP3800 512M/1G(DDR) 1G/2G(DDR) 采用CF,可扩展到1Gbytes 3GE(光电复用) 1 4MIM插槽+4SIC插槽 1 2 1 12Gbps 1Mpps 1 与配置口复用 与AUX口复用 支持 444mm×380mm×130.4mm 电压:100~240V;电流:5A;频率:50~60Hz 电压:-40~-57V;电流:10A 200W 工作温度:0~40℃ 存储温度:-20-50℃ 工作湿度:10~90%,不结露 存储湿度:5~95%,不结露 主动方式 实用标准
X.25 桥接 虚拟以太桥接 动态和静态ARP、代理ARP、免费ARP Ethernet,Ethernet II、VLAN(VLAN-BASED PORT VLAN、VOICE VLAN、Guest VLAN)、802.3x、802.1p、802.1Q、802.1x 局域网 STP/RSTP/MSTP IGMP Snooping、GVRP IEEE802.3ad LACP二层聚合 端口镜像 广播风暴抑制 静态路由 RIP v1/v2、RIPng OSPF v3、OSPFv3 路由协议 IS-IS、IS-ISv6 IRMP BGP、BGP4+ ECMP(等价多路径)、路由策略、递归路由 IGMP v1/v2/v3、MLD V1/V2 组播协议 网络协议 IGMP Snooping、MLD Snooping PIM-DM、PIM-SM、PIM-SDM、PIM-SSM DVMRP、MSDP DHCP Server、DHCP Client、DHCP Relay DHCPv6 Server、DHCPv6 Client、DHCPv6 Relay IP应用 DNS、DDNS FTP Server、FTP Client Ping、Trace IP Accounting、UDP Helper、NTP IPv6基本功能:IPv6 ND,IPv6 PMTU,IPv6 FIB,IPv6 ACL IPv6 IPv6隧道技术:IPv6手动隧道、GRE隧道、IPv4兼容IPv6自动隧道、6to4隧道、ISATAP隧道 NATPT ACL 安全防护 防火墙 网络安全性 DDOS防攻击 应用控制 VPN NAT 认证 文案大全
标准IP ACL、扩展IP ACL、标准MAC ACL、以太协议ACL、IPv6 ACL、自反ACL 控制平面保护、URPF 包过滤、状态检测、不合理IP分片过滤、太小包过滤、伪源地址检测 ICMPFlood拦截、Smurf攻击拦截、Fraggle攻击拦截、LAND攻击拦截、SYNFlood攻击拦截 流量控制、URL过滤 L2TP、GRE、IPSec、IKE、RSA 静态NAT、动态NAT、静态NAPT、动态NAPT Local认证,RADIUS,TACACS 实用标准
Portal认证、IEEE802.1x认证、MAC地址认证 MPLS VPN L2 Martini方式的L2VPN Kompella方式的L2VPN 支持一个Site属于多个VPN、支持多角色主机 MPLS MPLS/BGP VPN(L3 VPN) MPLS VPN跨域 MPLS TE MPLS 组播 支持三种跨域MPLS VPN方式(Option1/Option2/Option3) 支持MPLS TE/FRR,FRR切换时间小于50ms 支持MVPN 基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等 CAR、LR PQ、FQ、CQ、CBWFQ、LLQ RED、WRED GTS HQoS、以太子接口QoS、MPLS QoS、IPv6 QoS 电源、风扇、业务模块热插拔 管理控制引擎和转发引擎完全分离 关键部件主控板和电源均支持冗余备份 Dual Image、Dual Bootrom 支持BFD for BGP/IS-IS/OSPF/RSVP/VPLS PW/VRRP等 MPLS OAM MPLS ping、MPLS traceroute 流分类 流量监管 QoS 拥塞管理 拥塞避免 流量整形 其他 部件可靠 链路可靠 可靠性 备份功能 支持EIPS 支持Keepalive Gateway 支持接口备份方式 支持VRRP、VRRPv3、VRRPE 支持基于带宽的负载分担与备份 支持基于用户(IP地址)的负载分担与备份 软件热补丁 业务可靠 网络管理 系统管理 OAM 网络质量保证(SLA) 支持NSF/GR for OSFP/BGP/IS-IS/LDP/RSVP等 支持IP FRR、TE FRR SNMP v1/v2/v3、MIB、RMON、SYSLOG、TR069 Console口登录管理、AUX口登录管理、Telnet(VTY)远程管理、SSH管理、WEB管理 支持DHCP, FTP,HTTP,ICMP,UDP public, UDP private, TCP public, TCP private, SNMP等协议测试 支持语音jitter测试 支持网络的时延、抖动、丢包率等测试 7. 接入路由器MP2824
产品概述
文案大全
实用标准
MP2824外观图
MP2824路由器是迈普通信技术股份有限公司自主研发的新一放式全业务接入路由器,主要面向大型广域网的区县级汇聚和上联以及用作大型互联网接入平台。
MP2824路由器秉承迈普公司“全业务集成理念”,提供路由、交换、安全、视频、语音、存储、带宽优化等完全的业务集成服务,轻松实现未来网络的平滑升级和扩展。MP2824路由器可提供强劲的汇聚能力,满足客户中小规模汇聚的应用需求;采用全模块化设计,并在主控板上集成千兆电以太接口,充分释放了功能模块插槽,节约用户投资;使用统一的MyPower-R软件,提供了丰富的网络和链路协议、路由和备份协议、网络安全服务、IP组播协议、QoS特性以及网络管理协议,支持BGP边界网关协议和MPLS功能,可以在网络中担当PE节点的功能。
MP2824具有2个多功能大插槽(MIM)+4个多功能小插槽(SIC),最多支持20路E1接口同时接入,目前具有600Kpps的包转发能力。MP2824可与迈普全系列路由器一起为运营商、金融、、能源、交通、教育、等行业用户和大中型企业用户提供全方位的广域网网络解决方案。 产品特征
处理性能达到600Kpps,强劲的性能支撑了更多的网络应用服务
采用迈普公司自主研发的快速转发引擎技术,配合采用大量DMA、片内硬件加速部件、高性能DDR内存通道的CPU芯片以及多总线架构的硬件系统设计,4个高速接口(千兆以太)控制器集成在CPU芯片内,使得处理性能达到600Kpps,强劲的性能支撑了更多的网络应用服务。
提供强劲的2M汇聚能力,为用户轻松实现网点带宽提速
强劲的性能为用户提供了强劲的2M汇聚能力,可以实现多张155M的高速板卡(ATM/CPOS/POS)线速转发,最多可以汇聚数百个2M的网点;如果采用多E1/CE1板卡,端口密度达到20个,最多可以汇聚20个2M的网点,为用户轻松实现网点带宽提速。
文案大全
实用标准
高背板带宽的全开放式架构支持全业务集成服务
为用户提供了高背板带宽,多功能大插槽(MIM)提供千兆背板,使得整机背板带宽达到12Gbps,并且全开放式架构可以为用户提供路由、交换、安全、视频、语音、带宽优化等完全的业务支持。
支持多种网络危机处理机制,保证作为大型边缘汇聚设备的稳定运行
提供双电源冗余热备份,支持瞬时断电保护,所有电源均通过CE认证标准,支持100~240V的范围,宽广的电压适应范围能满足更多电压环境下的正常使用;支持业务板卡热插拔,支持标准的VRRP(VBRP)协议,可与其它厂商的路由器一起实现双机热备份功能,让业务永不中断,保证MP2824路由器作为大型边缘汇聚设备的稳定运行。
提供专利的虚拟路由交换技术,利用交换机组网的成本实现路由器组网的优势
提供迈普公司自主研发的专利技术――迈普虚拟路由交换技术,具有路由和桥接两种工作模式,每一个封装该协议的广域网接口都有对应的虚拟以太接口,数据在虚拟以太口和广域网接口之间路由或者桥接,用户就像操作一个真实以太接口一样配置和使用这个虚拟以太接口,实现上端用MP2824路由器配置CPOS/多E1板卡汇聚,下端用网桥加交换机的模式组网,利用交换机组网的成本实现路由器组网的优势。
提供丰富的软件功能
全面实现BGP边界网关协议和MPLS协议套件,支持标准的L2TP、IPSec,可以采用这些技术部署从二层到三层不同类型的VPN网络;并内置防火墙功能,提供ACL包过滤、NAT、认证审计、路由验证、Callback、拒绝服务保护等高级安全特性;提供集成服务和区分服务,支持RSVP资源预留协议,支持CAR ,支持FIFO、PQ、CQ、FQ、CBWFQ、LLQ等排队策略,保障关键业务区分服务;在国内首家实现SNA并支持SHELL、WEB、SNMP(SNMP V3协议)三种集中网络管理方式,采用中文图形化Maipu Masterplan网管平台可以跨平台、规模化网络管理,轻松实现网络配置、网络监控、统计、计费、维护等操作。
全面兼容业界主流厂商路由器产品
提供流行的配置界面和风格,简单易用,并遵循RFC标准和主流的业界标准,能够做到与业界主流厂商的网络设备互连互通。
文案大全
实用标准
标准的机箱结构
采用标准19'屏蔽电磁辐射的机箱,可以安置在标准机架上,具有抗震、抗高低温、抗电磁辐射、易装撤等特点,使MP2824路由器工作更加稳定可靠,可以工作在电力、石油、石化、等多个应用环境相对特殊的地方。 产品规格 硬件规格 内存 Flash 固定接口 主控板槽位数 业务引擎槽位数 USB AUX 配置口 CF卡 外形尺寸(长×宽×高) 输入电压(AC) 输入电压(DC) 电源功率 默认配置256M,可以扩展到1G 默认配置M,可以扩展到1G 4GE 1 2MIM插槽+4SIC插槽 1 与配置口复用 与AUX口复用 支持 444mm×380mm×88mm 电压:100~240V;电流:5A;频率:50~60Hz 电压:-40~-57V;电流:10A 100W 工作温度:0~40℃ 存储温度:-20-50℃ 工作湿度:10~90%,不结露 存储湿度:5~95%,不结露 主动方式 WCDMA、CDMA2000、CDMA 1x、GRPS、EDGE ATM FR、MFR HDLC 广域网 PPP、MP、支持LCP协商功能,支持PAP/CHAP认证 PPPoE、PPPoE Server X.25 桥接 虚拟以太桥接 动态和静态ARP、代理ARP、免费ARP Ethernet,Ethernet II、VLAN(VLAN-BASED PORT VLAN、VOICE VLAN、Guest VLAN)、802.3x、802.1p、802.1Q、802.1x STP/RSTP/MSTP IGMP Snooping、GVRP 温度 湿度 散热方式 软件特性 无线技术 3G无线 链路层协议与技术 局域网 文案大全
实用标准
IEEE802.3ad LACP二层聚合 端口镜像 广播风暴抑制 静态路由 RIP v1/v2、RIPng OSPF v3、OSPFv3 路由协议 IS-IS、IS-ISv6 IRMP BGP、BGP4+ ECMP(等价多路径)、路由策略、递归路由 IGMP v1/v2/v3、MLD V1/V2 组播协议 网络协议 IGMP Snooping、MLD Snooping PIM-DM、PIM-SM、PIM-SDM、PIM-SSM DVMRP、MSDP DHCP Server、DHCP Client、DHCP Relay DHCPv6 Server、DHCPv6 Client、DHCPv6 Relay IP应用 DNS、DDNS FTP Server、FTP Client Ping、Trace IP Accounting、UDP Helper、NTP IPv6基本功能:IPv6 ND,IPv6 PMTU,IPv6 FIB,IPv6 ACL IPv6 IPv6隧道技术:IPv6手动隧道、GRE隧道、IPv4兼容IPv6自动隧道、6to4隧道、ISATAP隧道 NATPT ACL 安全防护 防火墙 网络安全性 DDOS防攻击 应用控制 VPN NAT 认证 MPLS L2 VPN MPLS/BGP VPN(L3 VPN) MPLS VPN跨域 MPLS TE 文案大全
标准IP ACL、扩展IP ACL、标准MAC ACL、以太协议ACL、IPv6 ACL、自反ACL 控制平面保护、URPF 包过滤、状态检测、不合理IP分片过滤、太小包过滤、伪源地址检测 ICMPFlood拦截、Smurf攻击拦截、Fraggle攻击拦截、LAND攻击拦截、SYNFlood攻击拦截 流量控制、URL过滤 L2TP、GRE、IPSec、IKE、RSA 静态NAT、动态NAT、静态NAPT、动态NAPT Local认证,RADIUS,TACACS Portal认证、IEEE802.1x认证、MAC地址认证 Martini方式的L2VPN Kompella方式的L2VPN 支持一个Site属于多个VPN、支持多角色主机 支持三种跨域MPLS VPN方式(Option1/Option2/Option3) 支持MPLS TE/FRR,FRR切换时间小于50ms MPLS 实用标准
MPLS 组播 MPLS OAM 流分类 流量监管 QoS 拥塞管理 拥塞避免 流量整形 其他 部件可靠 支持MVPN MPLS ping、MPLS traceroute 基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等 CAR、LR PQ、FQ、CQ、CBWFQ、LLQ RED、WRED GTS HQoS、以太子接口QoS、MPLS QoS、IPv6 QoS 电源、风扇、业务模块热插拔 电源支持冗余备份 Dual Image、Dual Bootrom 支持BFD for BGP/IS-IS/OSPF/RSVP/VPLS PW/VRRP等 链路可靠 可靠性 备份功能 支持EIPS 支持Keepalive Gateway 支持接口备份方式 支持VRRP、VRRPv3、VRRPE 支持基于带宽的负载分担与备份 支持基于用户(IP地址)的负载分担与备份 软件热补丁 业务可靠 网络管理 系统管理 OAM 网络质量保证(SLA) 支持NSF/GR for OSFP/BGP/IS-IS/LDP/RSVP等 支持IP FRR、TE FRR SNMP v1/v2/v3、MIB、RMON、SYSLOG、TR069 Console口登录管理、AUX口登录管理、Telnet(VTY)远程管理、SSH管理、WEB管理 支持DHCP, FTP,HTTP,ICMP,UDP public, UDP private, TCP public, TCP private, SNMP等协议测试 支持语音jitter测试 支持网络的时延、抖动、丢包率等测试 8. MSG4000综合安全网关
产品概述
文案大全
实用标准
MPSec MSG4000是迈普通信技术股份有限公司全新推出的安全网关产品。其基于角色、深度应用的“MIPS并行众核+高速交换总线”安全架构突破了传统防火墙只能基于 “IP+端口”五元组的安全过滤控制。处理器模块化设计可以提升整体处理能力,突破了传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。
MPSec MSG4000处理能力从准千兆直到万兆级别,可广泛适用于、金融、运营商、能源、教育、、大型企业等机构,可部署在网络的主要结点及Internet出口及数据中心,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSL VPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品特征
模块化、全并行处理的安全架构(并行众核+高速交换总线)
MPSec MSG4000系列产品采用了并行众核处理器技术,同时在内部又采用了高速交换总线,使得MSG4000-X1系列产品在应用层安全处理的性能上有了质的飞跃,为网络应用安全提供专业的高性能硬件平台。
同时,迈普自主开发的位实时安全操作系统MP SecOS采用专利的多处理器全并行架构,和常见的众核处理器或NP/ASIC只负责三层包转发的架构不同;MP SecOS实现了从网络层到应用层的众核全并行处理。
因此MSG4000较业界其他的众核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。
文案大全
实用标准
强健的专用实时并行操作系统
MPSec MSG4000系列产品采用了专用的位实时并行操作系统——MP SecOS,其并行处理能力和模块化的结构易于集成和扩展更多的安全功能。针对新一代众核处理器进行的全面优化和安全加固极大地提高了系统处理效率、稳定性和安全性。模块化和并行多任务的处理机制,为迈普新一代的网络安全系统提供了极大的可扩展能力,包括支持更多的核处理器和集成更多的安全功能。
安全视图化
● 管理视图化
通过MP SecOS内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。
● 接入视图化
MP SecOS基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。
● 应用视图化
MP SecOS内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。MP SecOS识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。
全面的VPN解决方案
MSG4000众核安全网关支持多种IPSec VPN的部署,它能够完全兼容标准的IPSec VPN。MSG4000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合众核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。
迈普安全网关独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSec VPN设备配置难、使用难、维护成本高的问题。
文案大全
实用标准
MSG4000众核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。
内容安全
MSG4000可选UTM软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的网页做到及时响应。 产品规格
防火墙 ● 全新一代基于应用和角色控制的防火墙 ● 基于应用/角色的安全策略 ● 可防范DNS Query Flood、SYN Flood、DoS/DDoS等攻击 ● 各种畸形报文攻击防护 ● ARP 欺骗防护 网络功能 ● IEEE802.1Q VLAN 中继、PPPoE 客户端 ● IEEE802.3ad 链路聚合 ● ECMP、WECMP ● DHCP 中继、服务器和客户端 ● DNS 代理、DDNS、NTP ● 静态路由、策略路由(基于源、目的、服务、协议) ● 动态路由RIP v1/v2、OSPF、BGP VPN ● 支持各种标准IPSec VPN协议及部署方式 ● 创新的PnPVPN (即插即用VPN) ● 支持 SSL VPN (可选USB-key) ● 支持L2TP VPN 文案大全
实用标准
病毒过滤 ● 基于流、低延时、高并发、高性能的病毒过滤 ● 支持大病毒文件的扫描 ● 实时病毒连接阻断,病毒事件记录 ● 支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描 ● 超过40万的病毒特征库、病毒库可以做到实时更新 ● 基于角色、应用、IP地址、时间等的流量管理策略 ● 支持基于服务等级(CoS)的流控,兼容DiffServ标记 ● 支持嵌套QoS和多层QoS ● 弹性流控,可以动态分配带宽 入侵防御 ● 基于状态、精准的高性能攻击检测和防御 ● 实时攻击源阻断、IP屏蔽、攻击事件记录 ● 支持针对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、 NETBIOS、TFTP等多种协议和应用的攻击检测和防御 应用识别 ● 全新一代基于应用行为和特征的应用识别 ● 多达上千种的应用特征库 ● 应用特征库可以通过网络自动实时更新 流量管理 ● 基于角色、应用、IP地址、时间等的流量管理策略 ● 支持基于服务等级(CoS)的流控,兼容DiffServ标记 ● 支持嵌套带宽管理(基于每个IP/角色的每种应用做带宽管理)和多层带宽管理 ● 弹性流控,可以动态分配带宽 网页访问控制 ● 基于角色、时间、优先级等条件的Web网页访问策略控制 ● 总数超过2千万条域名的分类Web页面库,支持Web页面库实时更新 文案大全
实用标准
● 基于网页分类类别控制,控制对不良网站访问 ● 支持自定义Web页面类别 上网行为管理 ● 超过2千万条域名的分类Web页面库,轻松控制不良网站访问 ● 基于应用(P2P、即时通讯、游戏、办公软件等)的细粒度网络访问控制 ● 内容审计,包括对论坛发帖、外发邮件、IM聊天等内容的审计 ● 敏感文件类型过滤,Java Applet/ActiveX阻断 集中监管和细粒度分析审计 ● 设备集中管理 ● 性能、流量监控与分析 物理规格和工作环境 参数 管理接口 网络接口 扩展模块槽 MSG4000-F6 MSG4000-G1 MSG4000-G2 MSG4000-G4 MSG4000-G6 MSG4000-X1 1个配置口, 1个AUX口,1个USB 2.0口 5GE 无 8GE 无 无 8GE+2Combo 无 无 4GE+4SFP 2 4GE,4SFP 2XFP 单电源450W,2XFP 单电源4GE+8SFP 4 4GE,4SFP, 4GE+8SFP 4 4GE,4SFP, 扩展模块选项 无 电源规格 单45W 单45W 单45W 冗余150W 可选双冗余 450W,可选双冗余 电源输入范围 交流 100-240V 50/60Hz 外形尺寸(W×D×H, mm) 重量 1U (442 x 1U (442 x 1U (442 x 1U (436 x 2U (440 × 2U (440 × 241 x 44) 5kg 241 x 44) 5kg 241 x 44) 5kg 366 x 44) 9kg 520 × 88) 16kg 520 × 88) 16kg 工作环境温度 0-40℃ 工作环境湿10-95%(不结露)
文案大全
实用标准
文案大全
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- sceh.cn 版权所有 湘ICP备2023017654号-4
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务