h3c s5500-hi千兆ipv6交换机主打胶片
TRANSCRIPT
H3C S5500-HI千兆IPV6交换机主打胶片
科技无极 创新无限
S5500产品开发团队
2010-12-25
⚫ 网络发展趋势分析
⚫ 产品概述
⚫ 产品特性综述
⚫ 产品重要特性介绍
⚫ 典型组网
目录
www.h3c.com.cn 2
IP网络发展趋势分析
• IP网络从互连互通向多业务融合阶段过渡
•主流网络结构向万兆骨干、千兆接入过渡
•主流网络从纯IPv4网络向IPv4/IPv6共存过渡
•多业务融合网络要求具有全局的安全策略
•多业务融合网络要求具有精细化管理能力
•多业务融合网络对设备可靠性提出更高要求
•多业务融合网络要求设备支持一体化接入能力
IP网络快速演变催生新一代全千兆IPV6
以太网交换机 S5500-HI
⚫ 网络发展趋势分析
⚫ 产品概述
⚫ 产品特性综述
⚫ 产品重要特性介绍
⚫ 典型组网
目录
www.h3c.com.cn 4
H3C S5500-HI产品定位
•大型企业网汇聚或接入以及中小企业网核心
•校园网、金融行业等汇聚和接入组网
•宽带小区汇聚、城域网汇聚
•数据中心的核心或边缘
做为汇聚或接入设备,与S12500/S7500E/S5120等产品组成
多种千兆解决方案,满足不同用户的组网需求;支持丰富
的IPV6特性,支持向IPV6网络的平滑演变。
www.h3c.com.cn 5
H3C S5500-HI产品交付件
H3C S5500-34C-HI端口配置:24*10/100/1000BASE-T+4*100/1000BASE-X +2 SFP PLUS
+ 2*10GE Slot转发性能:176Gbps/130.95Mpps 供电方式:双交/直流可插拔电源
H3C S5500-58C-HI端口配置:48*10/100/1000 BASE-T + 4*100/1000BASE-X + 2SFP
PLUS + 2*10GE Slot转发性能:224Gbps/166.67Mpps
供电方式:双交/直流可插拔电源
www.h3c.com.cn 6
H3C S5500-HI产品接口介绍
SFP光口: 支持100M、1000M SFP光模块自适应, 支持100/1000BASE-X-
SFP-BIDI光模块。
SFP+光口:支持1G SFP/10G SFP+光模块自适应。
扩展插槽:支持两个万兆扩展插槽,每个插槽支持多种接口板,所有接口板支持热
插拔, 目前接口板类型如下:
1-端口 XFP 10GE 接口板
2-端口 XFP 10GE 接口板
2-端口 CX4 10GE 堆叠板
2-端口 1000Base-X SFP接口
2-端口10GE SFP+接口板
8-端口SFP接口板
8-端口10/100/1000Base-T电口
CX4堆叠电缆:长度分别为0.5m、1m、3m
SFP+堆叠电缆:长度分别为0.65m 、1.2m 、3m 、5m 、10m
www.h3c.com.cn 7
H3C S5500-HI设计和制造遵循业界最高标准
硬件设计:
执行比业界标准更加苛刻的公司标准,精细化设计保证所有器件电应力和热应
力上的充分降额,保证器件工作在厂家要求的应力环境之下,以使器件工作达
到最可靠状态同时寿命最长。
硬件测试:
产品通过业界领先的HALT测试,通过国际标准EMC、安规测试;通过低气压
和海拔测试,可以达到-60~4000m;通过风扇寿命测试;通过电容ECAP寿
命测试;通过震动跌落测试;通过器件的电应力和热应力测试;通过H3C鉴定
中心严格的硬件鉴定测试。
硬件加工:
生产中通过内部ICT测试、FT测试保证出产设备可靠运行;通过HASA测试对
设备进行筛选,使出产设备适应苛刻工作环境。
www.h3c.com.cn 8
H3C S5500-HI通过EMC、安规认证
产品的设计遵循业界最先进的标准,S5500-HI系列交换机产品满足欧盟、
北美、德国、日本、俄罗斯等国家和地区最严格的EMC和安规要求并获
得各国的权威认证。
www.h3c.com.cn 9
H3C SS5500-HI是绿色环保产品
⚫ 传统电子产品生产工艺中,大量使用铅、汞、镉、六价铬、多溴联
苯(PBB)、多溴联苯醚(PBDE)等重金属和有毒物质,对环境
造成长期、严重的损害。改进工艺所需要的高昂成本和技术门槛,
使得绝大多数厂商望而却步。
⚫ H3C公司依靠强大的技术实力,投入巨资研发和引入世界领先的生
产设计工艺。S5500-HI系列交换机的设计和制造,都严格遵循欧盟
颁布的RoHS指令并通过认证,在生产、使用和回收处理过程中,不
会对环境造成污染。
RoHS(The Restriction of the use of certain Hazardous substances in Electnical and Electronic Equipment )
www.h3c.com.cn 10
H3C S5500-HI基于Comware V5平台
COMWARE
多元安全
开放
便捷
可靠
灵活
•丰富的互联网协议
•多平台多产品支持
•多平面模块化设计
•特性可裁减可扩展
•分布式处理理念
•在线补丁与升级
•命令行与界面统一
•可视化操作与维护
•面向服务体系架构
•对外开放软件接口
•平台自身的安全防范
•整网系统的安全策略
www.h3c.com.cn 11
⚫ 网络发展趋势分析
⚫ 产品概述
⚫ 产品特性综述
⚫ 产品重要特性介绍
⚫ 典型组网
目录
www.h3c.com.cn 12
H3C S5500-HI产品主要特色
高扩展性:
强大的QACL功能:
•支持两个万兆扩展插槽,支持7种接口板类型,支持8口光、8口电接口板,使整机最大千兆口数量达到68,达到业界1U设备的最高端口密度.
•SFP光口支持100M、1000M光模块,支持100M、1000M BIDI光模块。(双口SFP接口板不支持100M),SFP+光口支持1G/10G自适应。
•支持万兆堆叠板,用户通过软件升级可以实现最大9台设备堆叠,提供更高端口密度,实现网络的平滑扩容;支持远距离万兆堆叠,最大堆叠带宽达到120G。
•支持出入双向ACL、VLAN ACL,支持IPv6 ACL, 可以对报文进行深度识别,最高达384位; 支持对多种规则组合条件下的流映射和分类、流量监管CAR(支持双速三色和单速双色标记器,双向CAR)、拥塞控制方法(WRED、Tail-Drop)、队列调度(SP、WRR、SP+WRR、WFQ)、优先级标记及优先级映射(802.1P、DSCP),支持基于端口/端口队列输出流整形等功能,支持报文重定向,支持基于流的镜像和端口镜像(N:4),支持TRUE Egress 镜像。
www.h3c.com.cn 13
H3C S5500-HI产品主要特色
完备的安全控制能力:
多重可靠性保护:
•设备安全:支持硬件级防DOS攻击,通过主动检测攻击报文和避免非法报文上
CPU两种手段增强了设备的抗攻击能力,CPU端口支持48个队列,可以对上
CPU报文精确分级,精确控制;支持SSHv2、Https 、SFTP、SNMPv3等协议
•网络安全:支持EAD和PORTAL, 支持端口安全、端口隔离,支持IP Source
Gurard/ARP Detection/uRPF/mRPF,支持802.1x、集中MAC认证、Triple
认证,支持动态下发VLAN和ACL .
•硬件可靠性:支持可插拔交直流冗余电源,持电源、风扇故障检测和告警,支持过温告警和过温保护,能根据温度变化自动调整风扇转速,支持无级变速。
•二层可靠性:支持RRPP、Smart Link/Monitor Link、MSTP、LACP、DLDP等。
•三层可靠性:支持VRRP、ECMP、BFD、GR等。
www.h3c.com.cn 14
H3C S5500-HI产品主要特色
IPV6业务能力:
•IPv6路由协议——IPv6 静态路由/RIPng/OSPFV3/BGP4+ for IPv6/IS-ISv6
•IPv6组播协议——MLDv1/2、MLD Snoopingv1/2、PIM-DM/SM/SSM for IPV6 、
IPv6组播vlan、MBGP for IPV6 、MLD Proxy、IPv6可控组播、MLD Snooping
Proxy
•IPv6隧道技术——手工配置隧道/自动6to4隧道/ISTAP隧道/GRE 隧道
•IPv6访问控制——支持IPv6 ACL、IPv6 RADIUS Sever、IPv6端口绑定
•IPv6 协议——ND proxy、ND detection、ND snooping、IPv6 DHCP Client、
IPv6 DHCP Snooping、IPv6 DHCP Relay、IPv6 DHCP Server、DNS支持IPv6、
SAVI特性
www.h3c.com.cn 15
H3C S5500-HI产品主要特色
丰富的管理能力:
•设备管理:支持Cluster/WEB/iMC/CLI/TELNET等多种管理手段,支持IRF2,
•网络管理:支持LLDP、802.3ah、802.1ag、DLDP、NQA、RSPAN、sFlow、
VCT、NetStream.、IRDP、RMON2、1588v2
•IR2智能弹性架构:支持分布式设备管理,分布式链路聚合,分布式弹性路由;支持
SFP+/XFP/CX4等多种接口类型堆叠;支持远程堆叠;支持ISSU;最大堆叠带宽
120Gbps。
节能特性:支持一键式节能,支持EEE(802.3az),端口自动Power down功能,端口定时down功能(Schedule job),支持电源功率显示。
www.h3c.com.cn 16
H3C S5500-HI软件特性概述
IPV4 unicast IPV6 unicast
✓RIPng
✓OSPFv3
✓BGP4+ for IPv6
✓ISISv6
✓PBR(策略路由)
✓ECMP
✓MCE
✓ISATAP Tunnel
✓Manual Tunnel
✓6to4 Tunnel
✓GRE tunnel
✓SAVI
✓ND proxy ND snooping
L2
✓RIP
✓OSPF
✓OSPFv3
✓BGP
✓ISIS
✓DHCP Relay/Server
✓PBR(策略路由)
✓ECMP
✓MCE
✓ARP Proxy
✓UDP Helper
✓BFD
✓Super VLAN
✓uRPF
✓Port Isolate
✓MSTP/RSTP
✓LACP
✓GVRP
✓Voice VLAN
✓Mac Based VLAN
✓Protocol Based VLAN
✓IP subnet Based VLAN
✓Flow Interval
✓Storm Constrain
✓Selective QINQ
✓VLAN Mapping
✓RSPAN
www.h3c.com.cn 17
H3C S5500-HI软件特性概述
IPv6 multicast Security
✓ARP Detection
✓IP Source Guard
✓802.1X
✓Port Security
✓EAD、PORTAL
✓PKI
✓SSH 2.0
✓HWTACACS+
✓Radius
✓Bootrom Access Control
✓Triple认证
✓多备份RADIUS Server
✓IPv6端口绑定
IP4 multicast
✓MLD snooping v1/2
✓MLD v1/2
✓MLD Proxy
✓PIM-SM/DM/SSM for IPv6
✓MVR for IPv6
✓MVR+ for IPv6
✓MBGP for IPv6
✓IPv6可控组播
✓MLD Snooping Proxy
✓IGMP snoopingv1/2/3
✓IGMPv1/2/3
✓MVR
✓MVR+
✓PIM-DM
✓PIM-SM
✓PIM-SSM
✓MSDP
✓MBGP
✓PIM snooping
✓IGMP Snooping Proxy
✓双向PIM
✓可控组播
www.h3c.com.cn 18
H3C S5500-HI软件特性概述(续)
HA(高可靠性) QACL
✓流标记/重定向/镜像
✓针对范围四层端口号关注
✓三色双速
✓WRR,WRR+SP,SP,WFQ调度模式
✓出入双方向ACL
✓VLAN ACL
✓Global ACL
✓WRED
✓Shaping
Management
✓LLDP
✓sFlow
✓NQA
✓DLDP
✓VCT
✓Loop Detection
✓HGMPV2
✓Web
✓iMC
✓OAM(802.3ah)
✓CFD(802.12ag)
✓EEE
✓NetStream
✓1588v2
✓VRRP
✓VRRP v3
✓ECMP
✓GR for OSPF/BGP
✓BFD
✓RRPP/RRPP多实例
✓Smart Link/Monitor Link
✓LACP
✓IRF2
✓ISSU
www.h3c.com.cn 19
⚫ 网络发展趋势分析
⚫ 产品概述
⚫ 产品特性综述
⚫ 产品重要特性介绍
⚫ 典型组网及应用
目录
www.h3c.com.cn 20
S5500-HI的堆叠特性
IRF2简介31 IRF2原理、拓扑介绍
选举规则32 IRF2 Master选举规则
加入规则34 新设备加入、合并规则
数据备份规则35 配置数据、协议数据备份规则
IRF2与友商比较36 与C、Z友商的堆叠特性对比
IRF2与V3差异37 与V3平台堆叠特性对比
报文转发原理33 设备内、跨设备报文转发原理
www.h3c.com.cn 21
IRF2简介
IRF2.0(Intelegent Resilent Fabric) 是H3C公司开发的新一代具有高度扩展性、
可靠性的智能网络架构。支持IRF技术的S5500-HI交换机互连在一起,便可以形
成一个逻辑的交换机架构,这种交换架构既具有盒式交换机的低成本,又有框式
分布式交换机的扩展性和高可靠性。
S5500-HI交换机支持链型、环形拓扑,环形拓扑在一条链路断掉的情况下可以
变为链型拓扑, 网络转发保持正常。
链型拓扑 环形拓扑
IRF
Master
Slave
Slave
Slave IRF
Slave Slave
Slave Master
www.h3c.com.cn 22
IRF2选举规则
S5500-HI交换机最多支持9台设备堆叠,9台设备形成1:8备份,一个
Master, 8台Slave; Master是成员设备的一种,它负责管理整个堆叠;一
个堆叠中同一时刻只能有一台成员设备成为Master设备。
堆叠拓扑建立后需要从成员设备中选举Master, Master选举按照如下规
则进行,优先级从上到下:
•当前Master优于非Master成员;
•成员优先级大的优先;
•系统运行时间长的优先;
•成员桥MAC小的优先。
以上规则适应于堆叠建立、新设备加入、堆叠合并等情形。
www.h3c.com.cn 23
IRF2报文转发原理(1)
IRF2.0系统中实现了全分布式的转发,最大限度的发挥了每个成员的处理
能力。组成虚拟设备堆叠系统中的各物理设备均有完整的转发表项,可以分
别独立完成查表转发。
当一个报文流的入接口与出接口在同一个物理设备时,报文仅在这一个物理
设备进行处理。
报文在设备内转发
www.h3c.com.cn 24
IRF2报文转发原理(2)
当一个报文流的入接口与出接口不在同一个物理设备时,系统会按照最优的
路径进行转发。
对于组播报文,每个成员只会根据本成员需要复制报文,保证设备间只有一
份报文传送。
Host
Server
HostHost
Host
Host
报文跨设备转发 组播报文跨设备转发
www.h3c.com.cn 25
IRF2设备加入规则
堆叠维护过程中,继续进行拓扑收集工作,当发现有新的成员设备加入时会
重新进行角色选举,根据情况采用以下的某种处理方式:
•堆叠已经形成,新设备加入(上电),该新设备的角色为Slave,不会进行角色选举。
•堆叠已经形成,新设备加入(它们已经形成了堆叠),即两个堆叠各自已经形成,
将这两个堆叠使用堆叠电缆连接起来,这个过程称为堆叠合并(merge)。合并的情
况下,两个堆叠会进行堆叠竞选,竞选失败的一方所有堆叠成员设备会重启,然后
全部作为Slave设备加入竞选获胜的一方。
如果成员设备加入成功,对堆叠系统来说,相当于增加一个备用主控板以及
此板上的接口等物理资源。
新设备加入和堆叠合并时, 为防止对原堆叠设备造成影响, 建议对新加入
设备重新上电,然后加入堆叠系统。
www.h3c.com.cn 26
数据备份规则
•保存配置时,配置文件会保存在所有设备上。
•配置恢复时只使用master上的配置。
•协议热备份是设备级1:N备份的基础,它负责将协议的配置信息以及支撑
协议运行的数据(比如状态机或者会话表项等)备份到其它所有成员设备,
从而使得堆叠系统能够作为一台独立的设备在网络中运行。
•路由协议采用GR保证转发的连续性和协议的正常工作。
www.h3c.com.cn 27
IRF2与V3差异
S5600 S5500HI
堆叠口 固定堆叠口使用10GE端口,通过配置可在10GE口和堆叠口切换。组网灵活。堆叠口配置修改后需要重启生效。
堆叠最大台数 8台 9台
配置文件 端口配置使用本地配置文件,全局配置master同步 全部使用master配置文件,slave的配置文件不生效。
自动编号分手动编号和自动编号,自动编号的全部重新分配。计算复杂,不确定性高。
编号没有冲突时不会变化。冲突时竞争失败的选择未使用的最小编号。
优先级不能配置,优先级体现在手动编号和自动编号,手动编号的优先级高。
用户可配置。
自动升级 有 有
拓扑类型 链型、环形 链型、环形
堆叠口延迟up、down 无 有,可配置延时时间
堆叠mac保留 不可配置,master切换,mac立即切换。可配置。有不切换、6分钟切换、立即切换3种。缺省6
分钟切换。
堆叠分裂分裂后,两个master相互检测,如果能检测到,新master切换到L2工作。
分裂后,支持分裂检测,支持冲突处理,down掉竞争失败一方的端口。
堆叠合并 直接合并,不需要重启。 竞争失败的堆叠全部重启,重新加入。
支持特性 BGP等多种协议不支持堆叠 支持分布式的协议都支持堆叠。
主备倒换路由同步机制 软件同步路由 通过GR实现转发不中断。
www.h3c.com.cn 28
S5500-HI的高可靠特性
以太网链路聚合技术(LACP)31 聚合链路故障/恢复收敛时间小于500毫秒
等价多路径(ECMP)32 链路故障/恢复时,流量切换几近不丢包
链路单通检测(DLDP)33 DLDP检测可在2秒内完成,快于UDLD
快速环网保护协议RRPP35 环网200ms~500ms倒换保障,光口可达50ms
VRRP/VRRPE36 网关冗余备份和负载分担
软件热补丁功能34 在线修改软件BUG或增加小规模新特性
ISSU37 不中断业务升级
双可插拔电源38 支持双可插拔电源,支持RPS供电
www.h3c.com.cn 29
RRPP 增强特性
◼S5500-HI支持基于Vlan的RRPP多实例负载分担,有效利用带宽;
◼硬件支持基于VLAN(每个实例)维护MAC表项;
◼RRPP环支持链路聚合,有效扩展链路带宽。
Ring
MasterTransit
S5500-HIX
正常情况下,流量根据
Vlan分组,从不同方向
传输,有效利用带宽
当一个方向上的链路中
断,原有这个方向上的
流量切换到另一个方向
上,保证业务不受影响
www.h3c.com.cn 30
端口环回检测LDT: Loopback Detection
LDT虚环回监测的目的是
监测交换机的端口是否出现
环路。
当用户开启以太网端口的
环回监测功能后,交换机便
定时监测各个端口是否被外
部环回。如果发现某端口被
环回,交换机会将该端口处
于受控工作状态。
如果系统发现端口被环回,
则关闭该端口,并向上报Trap
信息,同时删除该端口对应
的MAC地址转发表项。
[H3C-5500-HI]loopback-detection enable
[H3C-5500-HI]display loopback-detection
Port loopback-detection is running
System Loopback-detection is running
Detection interval time is 30 seconds
Loopback link is Dectected
The Loopback link is Port 3 时间可设置
www.h3c.com.cn 31
虚拟电缆检测
X
S5500-HI
✔可以检测
✔检测电缆短路和断路
✔故障距离
✔优点:
✔易于维护和定位
✔减少工作量
S3100
www.h3c.com.cn 32
热补丁
◼S5500-HI实现在不复位设备的前提下,在线修改软件BUG或增加新特性
◼提供控制命令,使用户能够方便的加载/激活/去激活/运行/删除补丁单元
IDLE DEACTIVE
RUN ACTIVE
load
delete
active
deactive
run
delete
delete
热补丁工作状态转换图示
4种状态,使用更加灵活
www.h3c.com.cn 33
S5500-HI的安全特性IP source guard31 阻止主机盗用邻居的IP地址产生的流量攻击
ARP入侵检测和ARP防欺骗32 防范网络中的ARP攻击
802.1X/MAC认证,Triple 认证34 通过认证控制用户接入网络
单播反向路径检查(uRPF)38 防止IP地址欺骗攻击
大容量双向ACL和VLAN ACL39 确保对网络访问权限进行严格的控制
CPU防攻击33 有效防止对CPU、设备表项、协议等的攻击
HWTACACS+,SSH2.035 提供安全的接入和认证
Port Security36 防止非法用户接入网络
STP 防攻击36 支持BPDU guard,Root Guard,Edge-port
www.h3c.com.cn 34
IP source guardIP source guard
IP source guard 功能
基于DHCP snooping获取的绑定
数据
基于手工配置的源IP绑定
用源IP和MAC地址过滤
阻止主机盗用邻居的IP地址产生的
流量攻击。
PC-1 PC-2 PC-3
DHCP serverDHCP snooping 创建IP+MAC+PORT 或IP+PORT 绑定表项
IP1+MAC1+PORT1
IP2+MAC2+PORT2
DHCP 获取IP1
DHCP 获取IP2
DHCP 获取IP3
IP3+MAC3+PORT3
PC1 用假IP,不是IP1 ,交换机丢弃报文
www.h3c.com.cn 35
ARP Detction
ARP Detction功能 :
接口可以配置是否信任状态
ARP协议报文限速
动态绑定DHCP Snooping表项
PC-1 PC-2
DHCP server
S5500-HI丢弃大于用于配置的
ARP报文S5500-HI分析每一个ARP报文,对于非法的ARP报文将
丢弃。
www.h3c.com.cn 36
STP防攻击
发送BPDU信息变成根桥
ROOT
ROOT 阻塞
◼ STP攻击:
✓ 攻击者可以看到他不应看到网络拓扑信
息
✓ 尽管STP会考虑链路的速度,但总是从根
桥的角度出发,攻击者会将千兆的骨干
变成10兆的半双工
◼ BPDU保护不允许端口参与STP,确保非
信任的端口一旦收到其他交换机的BPDU
信息就关闭此端口,以防止非法交换机
的接入
◼ ROOT保护则是防止新加入的交换机成
为ROOT,若新加入的交换机想成为
ROOT,则此端口停止工作
BPDU
ROOT 阻塞
BPDU保护BPDU保护
ROOT保护
BPDU
www.h3c.com.cn 37
802.1x认证
1. 用户发起认证。
4. 认证完成后用户从DHCP server获取IP地
址.
S5500-HI
DHCP
Server
Radius
Server
5. 用户获取IP地址后可以正常访问网
络。
3. 交换机到Radius
Server完成认证.
2. 在认证以前用户不能获取IP,不能访问
任何地方。
Core Network
扩展的802.1x认证功能
基于端口/MAC认证
支持EAP relay 功能
支持802.1x EAP认证
www.h3c.com.cn 38
Port Security
NTK(Need to know): 通过检查端口输出报文的目的MAC地址, NTK能
保证只有通过认证的设备能接收到数据报文,防止数据被截取。
入侵保护: 通过检查端口输入报文的源MAC地址或802.1X认证的用户名
和密码,入侵保护功能检测非法报文和事件并采取相应的动作。这
些动作包括暂时或永久的断开端口、用MAC地址过滤报文,从而保
证端口安全。
设备跟踪: 当用户发送特定类型的报文(非法入侵,不正确的登陆方式),交
换机发送Trap信息协助管理员监控这些行为。
www.h3c.com.cn 39
VLAN ACL
◼ S5500-HI支持基于VLAN的ACL,用户通过对VLAN配置ACL动作,从而实现对VLAN内
所有端口的访问控制
◼ VLAN-ACL使用户能够更加方便地管理网络,同时大大节省了ACL资源。
Switch
VLAN 10 VLAN 20
VACL
VACL applied to traffic bridged within a VLAN
Switch
VLAN 10 VLAN 20
VACL applied to traffic routed between VLAN’s
VACL
www.h3c.com.cn 40
S5500-HI的多业务特性IPv6业务31 支持丰富的IPV6路由协议和多播协议
IPv6 tunnel32手动 /6to4 /ISATAP/GRE tunnel/IPv4 O IPv6/IPv4 O IPv4/IPv6 O IPv6
Voice Vlan33 支持识别多种OUI MAC,语音报文隔离,优先转发
支持MCE35 多用户共享CE设备,支持逻辑独立的路由实例和地址空间。
支持MPLS36 支持L2VPN、 L3VPN、 VPLS、 MPLS TE等
多种VLAN类型34 支持Port/Mac/Protocol/subnet based Vlan
www.h3c.com.cn 41
IPv6业务能力
IPv6路由协议——IPv6 静态路由/RIPng/OSPFV3/BGP+/IS-ISv6
IPv6组播协议——MLD/MLD Snooping/PIM6/IPv6组播vlan
IPv6隧道技术——手工配置隧道/自动6to4隧道/ISTAP隧道/GRE隧道
IPv6访问控制——支持IPv6的访问控制列表
IPv6
Network
IPv4
Network
H3C S5500-HI的IPv6特性已经通过了IPv6论坛第二阶段金色认证和信息产业部的IPv6认证,成熟商用
www.h3c.com.cn 42
IPv4/IPv6多播管理
S5500-HI 支持 igmp-snooping 和 MLD-snooping
S5500-HI 支持 igmp、PIM-DM/SM、PIM-SSM、MSDP
最大支持1024 IGMP多播组
支持IGMP group policy
支持IGMP group limit
支持组播VLAN+
S5500-HIVOD Server
Video stream
S5500-HIVOD Server
Video stream
VLAN10 VLAN20 VLAN30 VLAN10 VLAN20VLAN30
S7500-EIS7500-EI
不支持组播VLAN+的组播报文转发
TV1 stream in vlan-10
TV1 stream in vlan-20
TV1 stream in vlan-30
TV1 stream in vlan-100
支持组播VLAN+的组播报文转发
www.h3c.com.cn 43
IPv6 Tunnel
IPv6隧道机制是将IPv6数据报文前封装上IPv4的报文头,通过隧道(Tunnel)使IPv6报文穿越IPv4网络,实现隔离的IPv6网络的互通。S5500-HI支持下面的隧道类型:
Manual Tunnel, 6to4 Tunnel, ISATAP Tunnel,GRE Tunnel
IPv6 IPv6
IPv6 Header IPv6 Data IPv6 Header IPv6 Data
IPv4 Header IPv6 Header IPv6 Data
Dual StackRouter
IPv6 Host IPv6 HostTunnel
Dual StackRouter
Network Network
IPv4 Network
www.h3c.com.cn 44
Voice VLAN
Voice vlan
Data Queue 1
Data Queue 2
S5500-HIS5500-HIVoice Queue
通过识别端口的语音流,将对应的接入端口加入Voice VLAN中,为语音流量提供专门通道,
并自动下发优先级规则保证语音流的优先传输来保证通话质量。
Voice Data
Other Data
支持自动识别多达16家IP Phone vendors,提供数据、语音融合的解决方案!
www.h3c.com.cn 45
基于MAC的VLAN
◼S5500-HI可以根据终端的MAC地址动态分配交换机端口的VLAN ID,无须客户端和用户名◼基于MAC的VLAN特性为用户提供了最简单易用的认证方式,提高了网络的安全性
www.h3c.com.cn 46
高可靠的MCE
◼ 客户可以通过一台做CE的H3C S5500-HI设备接入高达64个VPN的用户
◼ H3C S5500-HI为政府和电力的用户提供具有冗余电源的高可靠MCE设备、
可广泛应用于政府三四级网和 电力调度网的建设。
www.h3c.com.cn 47
EAD 安全准入控制
内部网
Internet
隔离区
客户端管理
代理服务器
补丁服务器
病毒服务器
CAMS平台
安全策略服务器 安全联动交换机
802.1x认证用户
S5500-HI支持EAD特性,对不符合安全策略的用户隔离严格,可以有效防止来自企业网络内部的安全威胁。通
过EAD客户端的自动升级控制,也增强了企业内部用户PC系统的安全性。802.1x接入与CAMS配合可以支持丰
富的ACL授权和VLAN授权,绑定用户的接入端口、IP地址等,实现更细粒度地控制用户访问 。
www.h3c.com.cn 48
S5500-HI的管理特性
Telnet本地和远程维护32 提供方便可靠的远程访问方式,方便用户远程管理
SNMP v1, 2 ,333 支持标准的MIB,兼容多种管理软件
iMC 智能网管中心35 实现网络业务的端到端管理
HGMP V234 支持设备集群管理,简化操作,提高可维护性
WEB网管32 可视化的WEB管理,支持IRF等丰富的特性
节能模式36 一键式节能模式,EEE功能
www.h3c.com.cn 49
WEB 网管
www.h3c.com.cn 50
网络资源、用户的融合智能管理iMC
◼ 拓扑不仅展示了网络
资源的连接关系,更
表现出网络资源被使
用的情况
◼ 网络管理软件功能与
接入认证的统一融合
www.h3c.com.cn 51
采用HGMP协议进行管理,可以简化操作,提高可维
护性,一个集群只需要一个管理IP地址。
自动配置管理
自动拓扑发现
链路层交互信息
下挂设备即插即用
高扩展性
…...
集群
network
网管 69.110.1.100
命令交换机69.110.1.1
成员交换机
成员交换机 成员交换机
备份交换机
候选交换机
集群管理HGMPv2
⚫ 网络发展趋势分析
⚫ 产品概述
⚫ 产品特性综述
⚫ 产品重要特性介绍
⚫ 典型组网及应用
目录
大型企业网/园区网汇聚层应用
10 GE 10 GE
GE
CAMS NMS Server Farm
FirewallS12500/S7500E S12500/S7500E
S5500-HI S5500-HI
GE GE GE GE
S3600 S3600 S3600S3600
S5500-HI S5500-HI
GE GE GE GE
S3600 S3600 S3600S3600
S5500-HI S5500-HI
GE GE GE GE
S3600 S3600 S3600S3600
S3100 S3100
FE PoE FE FE PoE
10 GE
GE
CAMS NMS Server Farm
FirewallS5500-HI S5500-HI
S5120-EI S5120-EI
GE GE GE PoE GE
中小企业网/园区网核心层应用
S5120-EI S5120-EI
GE PoE GE GE PoE
IPV6组网方案
IPv4 Network
IPv6 Enterprise Users
IPv6 Users
WLAN
IPv6 Network
Dual-Stack Access
Dual-Stack Access
Mobile Network
IPv4 Access
IPv6 IDC Network Manager
IPv6 Mobile
Terminal
IPv6 Island
IPv4 Internet
IPv6 Internet
IPv6 Over IPv4 Tunnel
IPv6 Access
IPv6 Access
IPv4 User
IPv6 Link
6to4 Relay
S5500-HI
S5500-HI
S5500-HI
S5500-HI
www.h3c.com.cn 56
有线无线一体化IPv6校园网应用
S7500E+AC S7500E+AC
GE/10GE
GE/10GE
GE
核心层
外网
GE
IPv4 IPv6
IPv6服务器
GE
汇聚层 S5500-HI
GE
S5500-HI
L2接入层
用户端
L2 L2
FE FE FE FE FE FE
IPv4服务器
WA2110 WA2110 WA2110PCPCPC
GE/10GE
www.h3c.com.cn 57
企业数据中心应用
防火墙
负载均衡设备
IPS
核心路由器
核心层交换机
接入层交换机
接备份数据中心
服务器群
汇聚层交换机
S7500E
S5500-HI
S5500-HI
WEB服务器区 应用服务器区 数据服务器区
S5500-HI
杭州华三通信技术有限公司
www.h3c.com.cn