HCSV系列交換機介紹

HCSV系列交換機介紹第1頁/共70頁IP網(wǎng)絡發(fā)展趨勢分析IP網(wǎng)絡從互連互通向多業(yè)務融合階段過渡多業(yè)務融合網(wǎng)絡要求具有全局的安全策略多業(yè)務融合網(wǎng)絡要求具有精細化管理能力多業(yè)務融合網(wǎng)絡對設(shè)備可靠性提出更高要求多業(yè)務融合網(wǎng)絡要求設(shè)備支持一體化接入能力第2頁/共70頁網(wǎng)絡發(fā)展趨勢分析產(chǎn)品概述產(chǎn)品特性綜述產(chǎn)品重要特性介紹典型組網(wǎng)可維護性目錄第3頁/共70頁H3CS3600V2產(chǎn)品定位產(chǎn)品位于寬帶小區(qū)匯聚、城域網(wǎng)邊緣接入層、中小企業(yè)網(wǎng)核心、大型企業(yè)網(wǎng)絡的匯聚層以及校園網(wǎng)、金融行業(yè)等接入組網(wǎng)。S3600V2SI系列具有弱三層功能，支持靜態(tài)路由和RIP。作為1000個節(jié)點以上的寬帶小區(qū)接入、大中型企業(yè)網(wǎng)、教育行業(yè)、金融行業(yè)和零售行業(yè)的接入層設(shè)備，具有較強的吸引力。S3600V2支持豐富的邊緣接入特性，SI系列作為強二層在接入層設(shè)備鏈中獨領(lǐng)風騷；S3600V2EI系列具有強二、三層功能，支持靜態(tài)路由、RIP和OSPF，可以作為企業(yè)網(wǎng)、校園網(wǎng)、行業(yè)網(wǎng)的匯聚或核心層設(shè)備。S3600V2系列交換機在特性、指標和成本方面得到充分的融合，是一款低成本、高性能、能夠綜合滿足客戶較高需求的交換機。【說明】EI和SI系列，在部分軟件特性上支持不同，后續(xù)內(nèi)容中不再區(qū)別指出。具體可以參考產(chǎn)品的規(guī)格列表。第4頁/共70頁H3CS3600V2產(chǎn)品列表H3CS3600V2總共有9款產(chǎn)品，分EI和SI兩系列EI系列：H3CS3600V2-28TP-EIH3CS3600V2-52TP-EIH3CS3600V2-28TP-PWR-EIH3CS3600V2-52TP-PWR-EIH3CS3600V2-28F-EISI系列：H3CS3600V2-28TP-SIH3CS3600V2-52TP-SIH3CS3600V2-28TP-PWR-SIH3CS3600V2-52TP-PWR-SI第5頁/共70頁H3CS3600V2產(chǎn)品H3CS3600V2-28TP-EI/H3CS3600V2-28TP-SI端口配置：24*10/100Base-T+2*1000Base-X/T

Combo+2*GESFP轉(zhuǎn)發(fā)性能：12.8Gbps/9.52Mpps供電方式：交直流一體電源（SI僅提供交流輸入）H3CS3600V2-52TP-EI/H3CS3600V2-52TP-SI端口配置：48*10/100Base-T+2*1000Base-X/TCombo+2*GESFP轉(zhuǎn)發(fā)性能：17.6Gbps/13.09Mpps供電方式：交直流一體電源（SI僅提供交流輸入）第6頁/共70頁H3CS3600V2產(chǎn)品H3CS3600V2-28TP-PWR-EI/H3CS3600V2-28TP-PWR-SI端口配置：24*10/100Base-T+2*1000Base-X/T

Combo+2*GESFP轉(zhuǎn)發(fā)性能：12.8Gbps/9.52Mpps供電方式：交直流一體電源H3CS3600V2-52TP-PWR-EI/H3CS3600V2-52TP-PWR-SI端口配置：48*10/100Base-T+2*1000Base-X/TCombo+2*GESFP轉(zhuǎn)發(fā)性能：17.6Gbps/13.09Mpps供電方式：交直流一體電源第7頁/共70頁H3CS3600V2產(chǎn)品

H3CS3600V2-28F-EI端口配置：24*100Base-X+2*1000Base-X/T

Combo+2*GESFP轉(zhuǎn)發(fā)性能：12.8Gbps/9.52Mpps供電方式：交直流一體電源第8頁/共70頁H3CS3600V2產(chǎn)品接口介紹100Base-FXSFP光口支持下述光模塊100Base-FX-MM-SFP100Base-FX-SM-SFP100Base-FX-SM-LR-SFP100Base-FX-SM-VR-SFP1000Base-XSFP光口支持下述光模塊1000BASE-SX-SFP1000BASE-LX-SFP1000BASE-LH-SFP1000BASE-ZX-LR-SFP1000BASE-ZX-VR-SFP第9頁/共70頁H3CS3600V2設(shè)計和制造遵循業(yè)界最高標準硬件設(shè)計：

執(zhí)行比業(yè)界標準更加苛刻的公司標準，精細化設(shè)計保證所有器件電應力和熱應力上的充分降額，保證器件工作在廠家要求的應力環(huán)境之下，以使器件工作達到最可靠狀態(tài)同時壽命最長。硬件測試：產(chǎn)品通過業(yè)界領(lǐng)先的HALT測試，通過國際標準EMC、安規(guī)測試；通過低氣壓和海拔測試，可以達到-60～4000m；通過風扇壽命測試；通過電容ECAP壽命測試；通過震動跌落測試；通過器件的電應力和熱應力測試；通過H3C鑒定中心嚴格的硬件鑒定測試。硬件加工：生產(chǎn)中通過內(nèi)部ICT測試、FT測試保證出產(chǎn)設(shè)備可靠運行；通過HASA測試對設(shè)備進行篩選，使出產(chǎn)設(shè)備適應苛刻工作環(huán)境。第10頁/共70頁H3CS3600V2通過EMC、安規(guī)認證產(chǎn)品的設(shè)計遵循業(yè)界最先進的標準，S3600V2系列交換機產(chǎn)品滿足歐盟、北美、德國、日本、俄羅斯等國家和地區(qū)最嚴格的EMC和安規(guī)要求并獲得各國的權(quán)威認證。第11頁/共70頁H3CSS3600V2是綠色環(huán)保產(chǎn)品傳統(tǒng)電子產(chǎn)品生產(chǎn)工藝中，大量使用鉛、汞、鎘、六價鉻、多溴聯(lián)苯（PBB）、多溴聯(lián)苯醚（PBDE）等重金屬和有毒物質(zhì)，對環(huán)境造成長期、嚴重的損害。改進工藝所需要的高昂成本和技術(shù)門檻，使得絕大多數(shù)廠商望而卻步。H3C公司依靠強大的技術(shù)實力，投入巨資研發(fā)和引入世界領(lǐng)先的生產(chǎn)設(shè)計工藝。S3600V2系列交換機的設(shè)計和制造，都嚴格遵循歐盟頒布的RoHS指令并通過認證，在生產(chǎn)、使用和回收處理過程中，不會對環(huán)境造成污染。RoHS（TheRestrictionoftheuseofcertainHazardoussubstancesinElectnicalandElectronicEquipment）第12頁/共70頁H3CS3600V2基于ComwareV5平臺COMWARE多元安全開放便捷可靠靈活豐富的互聯(lián)網(wǎng)協(xié)議多平臺多產(chǎn)品支持多平面模塊化設(shè)計特性可裁減可擴展分布式處理理念在線補丁與升級命令行與界面統(tǒng)一可視化操作與維護面向服務體系架構(gòu)對外開放軟件接口平臺自身的安全防范整網(wǎng)系統(tǒng)的安全策略第13頁/共70頁網(wǎng)絡發(fā)展趨勢分析產(chǎn)品概述產(chǎn)品特性綜述產(chǎn)品重要特性介紹典型組網(wǎng)可維護性目錄第14頁/共70頁H3CS3600V2產(chǎn)品主要特色高擴展性：

強大的QACL功能:千兆SFP光口支持1000M光模塊、1000MBIDI光模塊。百兆SFP光口支持100M光模塊、100MBIDI光模塊。支持千兆光口/電口堆疊，用戶可以實現(xiàn)最大9臺設(shè)備堆疊，提供更高端口密度，實現(xiàn)網(wǎng)絡的平滑擴容。支持出入雙向ACL、VLANACL，支持IPv6ACL，可以對報文進行深度識別，最高達384位;支持對多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管CAR（支持雙速三色和單速雙色標記器，雙向CAR）、擁塞控制方法（WRED、Tail-Drop）、隊列調(diào)度（SP、WRR、SP+WRR）、優(yōu)先級標記及優(yōu)先級映射（802.1P、DSCP），支持基于端口/端口隊列輸出流整形等功能，支持報文重定向，支持基于流的鏡像和端口鏡像(N:4)。第15頁/共70頁H3CS3600V2產(chǎn)品主要特色

完備的安全控制能力：多重可靠性保護:設(shè)備安全：支持硬件級防DOS攻擊，通過主動檢測攻擊報文和避免非法報文上CPU兩種手段增強了設(shè)備的抗攻擊能力，支持SSHv2、Https、SFTP、SNMPv3等協(xié)議網(wǎng)絡安全：支持EAD和PORTAL,支持端口安全、端口隔離，支持IPSourceGuard/ARPDetection/uRPF/Tripleauthentication，支持802.1x和集中MAC認證，支持動態(tài)下發(fā)VLAN和ACL。硬件可靠性：支持冗余電源；支持電源、風扇故障檢測和告警，支持過溫告警和過溫保護，能根據(jù)溫度變化自動調(diào)整風扇轉(zhuǎn)速，支持兩級風扇轉(zhuǎn)速。二層可靠性：支持RRPP、SmartLink/MonitorLink、MSTP、LACP、DLDP等。三層可靠性：支持VRRP、ECMP、BFD、GR等。第16頁/共70頁H3CS3600V2產(chǎn)品主要特色IPV6業(yè)務能力：豐富的管理能力:設(shè)備管理：支持Cluster/WEB/iMC/CLI/TELNET等多種管理手段網(wǎng)絡管理：支持LLDP、OAM、CFM、DLDP、NQA、RSPAN、sFlow、VCT.IPv6路由協(xié)議——IPv6靜態(tài)路由/RIPng/OSPFV3/BGP4+forIPv6/IS-ISv6IPv6組播協(xié)議——MLDv1/2、MLDSnoopingv1/2、PIM-DM/SM/SSMforIPV6/IPv6組播vlan、MBGPforIPV6IPv6隧道技術(shù)——手工配置隧道/自動6to4隧道/ISTAP隧道IPv6訪問控制——支持IPv6ACL第17頁/共70頁H3CS3600V2軟件特性概述IPV4unicastIPV6unicastRIPngOSPFv3BGP4+forIPv6ISISv6PBR(策略路由）ECMPMCEISATAPTunnelManualTunnel6to4TunnelL2RIPOSPFOSPFv3BGPISISDHCPRelay/ServerPBR(策略路由）ECMPMCEARPProxyUDPHelperBFDPortIsolateMSTP/RSTPLACPGVRPVoiceVLANMacBasedVLANProtocolBasedVLANIPsubnetBasedVLANFlowIntervalStormConstrainSelectiveQINQVLANMappingRSPAN第18頁/共70頁H3CS3600V2軟件特性概述IPv6multicastSecurityARPDetectionIPSourceGuard802.1XPortSecurityEADPORTALPKISSH2.0HWTACACS+uRPFRadiusBootromAccessControlIP4multicastMLDsnoopingv1/2MLDv1/2PIM-SM/DM/SSMforIPv6MVRforIPv6MVR+forIPv6MBGPforIPv6IGMPsnoopingv1/2/3IGMPv1/2/3MVRMVR+PIM-DMPIM-SMPIM-SSMMSDPMBGP第19頁/共70頁H3CS3600V2軟件特性概述(續(xù))HA(高可靠性)QACL流標記/重定向/鏡像針對范圍四層端口號關(guān)注三色雙速WRR,WRR+SP,SP調(diào)度模式出入雙方向ACLVLANACLGlobalACLWREDShapingManagementLLDPsFlowNQADLDPVCTLoopDetectionHGMPV2WebiMCOAM(802.3ah)CFD(802.12ag)VRRPVRRPv3ECMPGRforOSPF/BGPBFDRRPPSmartLinkLACPIRF第20頁/共70頁網(wǎng)絡發(fā)展趨勢分析產(chǎn)品概述產(chǎn)品特性綜述產(chǎn)品重要特性介紹典型組網(wǎng)及應用可維護性目錄第21頁/共70頁S3600V2的堆疊特性IRF簡介31IRF原理、拓撲介紹選舉規(guī)則32IRFMaster選舉規(guī)則加入規(guī)則34新設(shè)備加入、合并規(guī)則數(shù)據(jù)備份規(guī)則35配置數(shù)據(jù)、協(xié)議數(shù)據(jù)備份規(guī)則IRF與V3差異36與V3平臺堆疊特性對比報文轉(zhuǎn)發(fā)原理33設(shè)備內(nèi)、跨設(shè)備報文轉(zhuǎn)發(fā)原理第22頁/共70頁IRF簡介IRF2.0(IntelegentResilentFabric)是H3C公司開發(fā)的新一代具有高度擴展性、可靠性的智能網(wǎng)絡架構(gòu)。支持IRF技術(shù)的S3600V2交換機互連在一起，便可以形成一個邏輯的交換機架構(gòu)，這種交換架構(gòu)既具有盒式交換機的低成本，又有框式分布式交換機的擴展性和高可靠性。S3600V2交換機支持鏈型、環(huán)形拓撲，環(huán)形拓撲在一條鏈路斷掉的情況下可以變?yōu)殒溞屯負?，網(wǎng)絡轉(zhuǎn)發(fā)保持正常。第23頁/共70頁IRF選舉規(guī)則S3600V2交換機最多支持9臺設(shè)備堆疊，9臺設(shè)備形成1:8備份，一個Master,8臺Slave;Master是成員設(shè)備的一種，它負責管理整個堆疊；一個堆疊中同一時刻只能有一臺成員設(shè)備成為Master設(shè)備。堆疊拓撲建立后需要從成員設(shè)備中選舉Master，Master選舉按照如下規(guī)則進行，優(yōu)先級從上到下：當前Master優(yōu)于非Master成員；成員優(yōu)先級大的優(yōu)先；系統(tǒng)運行時間長的優(yōu)先；成員橋MAC小的優(yōu)先。以上規(guī)則適應于堆疊建立、新設(shè)備加入、堆疊合并等情形。第24頁/共70頁IRF報文轉(zhuǎn)發(fā)原理(1)IRF2.0系統(tǒng)中實現(xiàn)了全分布式的轉(zhuǎn)發(fā)，最大限度的發(fā)揮了每個成員的處理能力。組成虛擬設(shè)備堆疊系統(tǒng)中的各物理設(shè)備均有完整的轉(zhuǎn)發(fā)表項，可以分別獨立完成查表轉(zhuǎn)發(fā)。當一個報文流的入接口與出接口在同一個物理設(shè)備時，報文僅在這一個物理設(shè)備進行處理。報文在設(shè)備內(nèi)轉(zhuǎn)發(fā)第25頁/共70頁IRF報文轉(zhuǎn)發(fā)原理(2)當一個報文流的入接口與出接口不在同一個物理設(shè)備時，系統(tǒng)會按照最優(yōu)的路徑進行轉(zhuǎn)發(fā)。對于組播報文，每個成員只會根據(jù)本成員需要復制報文，保證設(shè)備間只有一份報文傳送。報文跨設(shè)備轉(zhuǎn)發(fā)組播報文跨設(shè)備轉(zhuǎn)發(fā)第26頁/共70頁IRF設(shè)備加入規(guī)則堆疊維護過程中，繼續(xù)進行拓撲收集工作，當發(fā)現(xiàn)有新的成員設(shè)備加入時會重新進行角色選舉，根據(jù)情況采用以下的某種處理方式：堆疊已經(jīng)形成，新設(shè)備加入(上電)，該新設(shè)備的角色為Slave，不會進行角色選舉。堆疊已經(jīng)形成，新設(shè)備加入（它們已經(jīng)形成了堆疊），即兩個堆疊各自已經(jīng)形成，將這兩個堆疊使用堆疊電纜連接起來，這個過程稱為堆疊合并（merge）。合并的情況下，兩個堆疊會進行堆疊競選，競選失敗的一方所有堆疊成員設(shè)備會重啟，然后全部作為Slave設(shè)備加入競選獲勝的一方。如果成員設(shè)備加入成功，對堆疊系統(tǒng)來說，相當于增加一個備用主控板以及此板上的接口等物理資源。新設(shè)備加入和堆疊合并時，為防止對原堆疊設(shè)備造成影響，建議對新加入設(shè)備重新上電，然后加入堆疊系統(tǒng)。第27頁/共70頁數(shù)據(jù)備份規(guī)則保存配置時，配置文件會保存在所有設(shè)備上。配置恢復時只使用master上的配置。協(xié)議熱備份是設(shè)備級1:N備份的基礎(chǔ)，它負責將協(xié)議的配置信息以及支撐協(xié)議運行的數(shù)據(jù)（比如狀態(tài)機或者會話表項等）備份到其它所有成員設(shè)備，從而使得堆疊系統(tǒng)能夠作為一臺獨立的設(shè)備在網(wǎng)絡中運行。路由協(xié)議采用GR保證轉(zhuǎn)發(fā)的連續(xù)性和協(xié)議的正常工作。第28頁/共70頁S3600V2的高可靠特性以太網(wǎng)鏈路聚合技術(shù)(LACP)31聚合鏈路故障/恢復收斂時間小于500毫秒等價多路徑(ECMP)32鏈路故障/恢復時，流量切換幾近不丟包鏈路單通檢測(DLDP)33DLDP檢測可在2秒內(nèi)完成，快于UDLD快速環(huán)網(wǎng)保護協(xié)議RRPP35環(huán)網(wǎng)200ms～500ms倒換保障，光口可達50msVRRP36網(wǎng)關(guān)冗余備份和負載分擔軟件熱補丁功能34在線修改軟件BUG或增加小規(guī)模新特性第29頁/共70頁RRPP增強特性S3600V2支持基于Vlan的RRPP多實例負載分擔，有效利用帶寬；硬件支持基于VLAN（每個實例）維護MAC表項；RRPP環(huán)支持鏈路聚合，有效擴展鏈路帶寬。RingMasterTransitS3600V2X正常情況下，流量根據(jù)Vlan分組，從不同方向傳輸，有效利用帶寬當一個方向上的鏈路中斷，原有這個方向上的流量切換到另一個方向上，保證業(yè)務不受影響第30頁/共70頁端口環(huán)回檢測LDT:LoopbackDetectionLDT虛環(huán)回監(jiān)測的目的是監(jiān)測交換機的端口是否出現(xiàn)環(huán)路。當用戶開啟以太網(wǎng)端口的環(huán)回監(jiān)測功能后，交換機便定時監(jiān)測各個端口是否被外部環(huán)回。如果發(fā)現(xiàn)某端口被環(huán)回，交換機會將該端口處于受控工作狀態(tài)。如果系統(tǒng)發(fā)現(xiàn)端口被環(huán)回，則關(guān)閉該端口，并向上報Trap信息，同時刪除該端口對應的MAC地址轉(zhuǎn)發(fā)表項。[H3C-3600V2]loopback-detectionenable[H3C-3600V2]displayloopback-detectionPortloopback-detectionisrunningSystemLoopback-detectionisrunningDetectionintervaltimeis30secondsLoopbacklinkisDectectedTheLoopbacklinkisPort3時間可設(shè)置第31頁/共70頁虛擬電纜檢測XS3600V2可以檢測檢測電纜短路和短路故障距離優(yōu)點：易于維護和定位減少工作量S3100第32頁/共70頁熱補丁S3600V2實現(xiàn)在不復位設(shè)備的前提下，在線修改軟件BUG或增加新特性提供控制命令，使用戶能夠方便的加載/激活/去激活/運行/刪除補丁單元熱補丁工作狀態(tài)轉(zhuǎn)換圖示4種狀態(tài)，使用更加靈活第33頁/共70頁S3600V2的安全特性IPsourceguard31阻止主機盜用鄰居的IP地址產(chǎn)生的流量攻擊ARP入侵檢測和ARP防欺騙32防范網(wǎng)絡中的ARP攻擊802.1X認證、集中MAC認證34通過認證控制用戶接入網(wǎng)絡

單播反向路徑檢查（uRPF）38防止IP地址欺騙攻擊大容量雙向ACL和VLANACL39確保對網(wǎng)絡訪問權(quán)限進行嚴格的控制CPU防攻擊33有效防止對CPU、設(shè)備表項、協(xié)議等的攻擊

HWTACACS+,SSH2.035提供安全的接入和認證PortSecurity36防止非法用戶接入網(wǎng)絡STP防攻擊36支持BPDUguard和RootGuard第34頁/共70頁IPsourceguard

IPsourceguardIPsourceguard功能基于DHCPsnooping獲取的綁定數(shù)據(jù)基于手工配置的源IP綁定用源IP和MAC地址過濾

阻止主機盜用鄰居的IP地址產(chǎn)生的流量攻擊。PC-1PC-2PC-3DHCPserverDHCPsnooping創(chuàng)建IP+MAC+PORT或IP+PORT綁定表項IP1+MAC1+PORT1IP2+MAC2+PORT2DHCP獲取IP1DHCP獲取IP2DHCP獲取IP3IP3+MAC3+PORT3PC1用假IP,不是IP1,交換機丟棄報文第35頁/共70頁ARPDetctionARPDetction功能：接口可以配置是否信任狀態(tài)ARP協(xié)議報文限速動態(tài)綁定DHCPSnooping表項PC-1PC-2DHCPserverS3600V2丟棄大于用于配置的ARP報文S3600V2分析每一個ARP報文，對于非法的ARP報文將丟棄。第36頁/共70頁STP防攻擊發(fā)送BPDU信息變成根橋ROOTROOT阻塞STP攻擊：攻擊者可以看到他不應看到網(wǎng)絡拓撲信息盡管STP會考慮鏈路的速度，但總是從根橋的角度出發(fā)，攻擊者會將千兆的骨干變成10兆的半雙工BPDU保護不允許端口參與STP，確保非信任的端口一旦收到其他交換機的BPDU信息就關(guān)閉此端口，以防止非法交換機的接入ROOT保護則是防止新加入的交換機成為ROOT，若新加入的交換機想成為ROOT，則此端口停止工作BPDUROOT阻塞BPDU保護BPDU保護ROOT保護BPDU第37頁/共70頁802.1x認證1.用戶發(fā)起認證。4.認證完成后用戶從DHCPserver獲取IP地址.S3600V2DHCPServerRadiusServer5.用戶獲取IP地址后可以正常訪問網(wǎng)絡。3.交換機到RadiusServer完成認證.2.在認證以前用戶不能獲取IP，不能訪問任何地方。CoreNetwork

擴展的802.1x認證功能基于端口/MAC認證支持EAPrelay功能支持802.1xEAP認證第38頁/共70頁PortSecurityNTK(Needtoknow):通過檢查端口輸出報文的目的MAC地址，NTK能保證只有通過認證的設(shè)備能接收到數(shù)據(jù)報文，防止數(shù)據(jù)被截取。入侵保護:

通過檢查端口輸入報文的源MAC地址或802.1X認證的用戶名和密碼，入侵保護功能檢測非法報文和事件并采取相應的動作。這些動作包括暫時或永久的斷開端口、用MAC地址過濾報文，從而保證端口安全。設(shè)備跟蹤:

當用戶發(fā)送特定類型的報文(非法入侵，不正確的登陸方式),交換機發(fā)送Trap信息協(xié)助管理員監(jiān)控這些行為。第39頁/共70頁VLANACLS3600V2支持基于VLAN的ACL，用戶通過對VLAN配置ACL動作，從而實現(xiàn)對VLAN內(nèi)所有端口的訪問控制VLAN-ACL使用戶能夠更加方便地管理網(wǎng)絡，同時大大節(jié)省了ACL資源。SwitchVLAN10VLAN20VACLVACLappliedtotrafficbridgedwithinaVLANSwitchVLAN10VLAN20VACLappliedtotrafficroutedbetweenVLAN’sVACL第40頁/共70頁S3600V2的多業(yè)務特性IPv6業(yè)務31支持豐富的IPV6路由協(xié)議和多播協(xié)議IPv6tunnel32支持手動Tunnel,6to4Tunnel,ISATAPTunnelVoiceVlan33DLDP檢測可在2秒內(nèi)完成，快于UDLD支持MCE35多用戶共享CE設(shè)備，支持邏輯獨立的路由實例和地址空間。支持POE供電36支持IPPhone、無線AP等多種設(shè)備接入多種VLAN類型34支持Port/Mac/Protocol/subnetbasedVlan第41頁/共70頁IPv6業(yè)務能力IPv6路由協(xié)議——IPv6靜態(tài)路由/RIPng/OSPFV3/BGP+/IS-ISv6IPv6組播協(xié)議——MLD/MLDSnooping/PIM6/IPv6組播vlanIPv6隧道技術(shù)——手工配置隧道/自動6to4隧道/ISTAP隧道IPv6訪問控制——支持IPv6的訪問控制列表IPv6NetworkIPv4Network第42頁/共70頁IPv4/IPv6多播管理S3600V2支持igmp-snooping和MLD-snoopingS3600V2支持igmp、PIM-DM/SM、PIM-SSM、MSDP最大支持1024IGMP多播組支持IGMPgrouppolicy支持IGMPgrouplimit支持組播VLAN+S3600V2VODServerVideostreamS3600V2VODServerVideostreamVLAN10VLAN20VLAN30VLAN10VLAN20VLAN30S7500-EIS7500-EI不支持組播VLAN+的組播報文轉(zhuǎn)發(fā)TV1streaminvlan-10TV1streaminvlan-20TV1streaminvlan-30TV1streaminvlan-100支持組播VLAN+的組播報文轉(zhuǎn)發(fā)第43頁/共70頁IPv6TunnelIPv6隧道機制是將IPv6數(shù)據(jù)報文前封裝上IPv4的報文頭，通過隧道（Tunnel）使IPv6報文穿越IPv4網(wǎng)絡，實現(xiàn)隔離的IPv6網(wǎng)絡的互通。S3600V2支持下面的隧道類型：

manualTunnel,6to4Tunnel,ISATAPTunnel第44頁/共70頁VoiceVLANVoicevlanDataQueue1DataQueue2S3600V2VoiceQueue

通過識別端口的語音流，將對應的接入端口加入VoiceVLAN中，為語音流量提供專門通道，并自動下發(fā)優(yōu)先級規(guī)則保證語音流的優(yōu)先傳輸來保證通話質(zhì)量。VoiceDataOtherData支持自動識別多達16家IPPhonevendors，提供數(shù)據(jù)、語音融合的解決方案！S3600V2第45頁/共70頁基于MAC的VLANS3600V2可以根據(jù)終端的MAC地址動態(tài)分配交換機端口的VLANID，無須客戶端和用戶名基于MAC的VLAN特性為用戶提供了最簡單易用的認證方式，提高了網(wǎng)絡的安全性第46頁/共70頁高可靠的MCE客戶可以通過一臺做CE的H3CS3600V2設(shè)備接入高達64個VPN的用戶H3CS3600V2為政府和電力的用戶提供具有冗余電源的高可靠MCE設(shè)備、可廣泛應用于政府三四級網(wǎng)和電力調(diào)度網(wǎng)的建設(shè)。第47頁/共70頁EAD安全準入控制S3600V2支持EAD特性，對不符合安全策略的用戶隔離嚴格，可以有效防止來自企業(yè)網(wǎng)絡內(nèi)部的安全威脅。通過EAD客戶端的自動升級控制，也增強了企業(yè)內(nèi)部用戶PC系統(tǒng)的安全性。802.1x接入與CAMS配合可以支持豐富的ACL授權(quán)和VLAN授權(quán)，綁定用戶的接入端口、IP地址等，實現(xiàn)更細粒度地控制用戶訪問。第48頁/共70頁S3600V2的管理特性Telnet本地和遠程維護32提供方便可靠的遠程訪問方式，方便用戶遠程管理SNMPv1,2,333支持標準的MIB，兼容多種管理軟件iMC智能網(wǎng)管中心35實現(xiàn)網(wǎng)絡業(yè)務的端到端管理HGMPV234支持設(shè)備集群管理，簡化操作，提高可維護性WEB網(wǎng)管32可視化的WEB管理，支持IRF等豐富的特性第49頁/共70頁網(wǎng)絡資源、用戶的融合智能管理iMC拓撲不僅展示了網(wǎng)絡資源的連接關(guān)系，更表現(xiàn)出網(wǎng)絡資源被使用的情況網(wǎng)絡管理軟件功能與接入認證的統(tǒng)一融合第50頁/共70頁采用HGMP協(xié)議進行管理，可以簡化操作，提高可維護性，一個集群只需要一個管理IP地址。自動配置管理自動拓撲發(fā)現(xiàn)鏈路層交互信息下掛設(shè)備即插即用高擴展性…...集群network網(wǎng)管00命令交換機成員交換機成員交換機成員交換機備份交換機候選交換機集群管理HGMPv2第51頁/共70頁網(wǎng)絡發(fā)展趨勢分析產(chǎn)品概述產(chǎn)品特性綜述產(chǎn)品重要特性介紹典型組網(wǎng)及應用可維護性目錄第52頁/共70頁中小型企業(yè)中的IRF組網(wǎng)應用InformationCenterServerFarmS5800S3600V2S3600V2S3600V2IRFInternet/VPNFireWallIRFIRFFabricLinkAggregationIRF技術(shù)可提供9臺交換機互連，按需擴展端口密度IRF可以實現(xiàn)對整個結(jié)構(gòu)(Fabric)進行方便的CONSOLE,TELNET,WEB,SNMP管理，大大簡化對數(shù)量龐大的接入層交換機的管理和維護IRF技術(shù)中對新添加到堆疊結(jié)構(gòu)中的交換機單元進行自動配置和版本檢查，大大簡化接入層交換機的安裝和部署動態(tài)識別語音流，自動加入voicevlan并啟用QoS優(yōu)先級，阻斷非語音流量CallAgent第53頁/共70頁大型企業(yè)中的IRF組網(wǎng)應用InformationCenterServerFarmServerFarmBackupCenterBodyshopPanitShopAssemblyShopS8500S8500S5800S5800S5800S3600V2IRFInternet/VPNFireWallIRFFabricLinkAggregation第54頁/共70頁IRF技術(shù)在接入層的具體應用

核心網(wǎng)絡教學、科研樓及教職工和學生宿舍樓圖書館、餐廳和操場等開放空間3600V2堆疊3600V2堆疊第55頁/共70頁網(wǎng)絡發(fā)展趨勢分析產(chǎn)品概述產(chǎn)品特性綜述產(chǎn)品重要特性介紹典型組網(wǎng)及應用可維護性目錄第56頁/共70頁內(nèi)存問題定位——如何確定內(nèi)存占用情況一系統(tǒng)內(nèi)存會分成32、64、128、256等大小字節(jié)塊進行管理[H3C-hidecmd]_displaymemorySliceMemoryUsage:BlockSize32Free534Used54122Total54656BlockSize64Free233Used72781Total73014BlockSize128Free17Used19119Total19136BlockSize256Free64Used3909Total3973BlockSize512Free121Used344Total465BlockSize1024Free66Used746Total812BlockSize2048Free19Used485Total504BlockSize4096Free43Used481Total524-----------------------------Summary--------------------------------Used(Byte)13741312Free1097Used151987Total153084TotalSliceAllocatedSize:19639680bytesUsedRatio:69TotalSliceMemory(IncludeControlDataandFreeSlice):19639680bytesRawSliceMemoryUsage:TotalUsedSize:46385167bytesNum:604TotalRawSliceSize(IncludeControlDataandFreeSlice):46951592bytesUsedRatio:98Partition0TotalMemory(bytes):145279360第57頁/共70頁內(nèi)存問題定位——如何確定內(nèi)存占用情況二可以通過顯示不同大小塊的內(nèi)存細節(jié)，來判斷系統(tǒng)各部分使用的內(nèi)存情況[H3C-hidecmd]_displaymemory128group(cc10,38)(cc1d,85)(cc08,3)(0806,22)(cc09,2)(cc04,1)(cc05,50)(cc1c,1)(0846,2)(0801,1)(0110,141)(02b2,1)(0830,2)(0214,25)(0216,17171)(0283,2)(0240,255)(0833,1)(060f,130)(060c,1)(0610,2)(0616,1)(0614,1)(0213,18)(0218,2)(0280,1)(0260,1)(0920,63)(0342,867)(0446,60)(040c,1)(0341,1)(04e3,4)(0344,28)(0347,1)(034a,2)(034d,1)(0501,3)(0490,3)(0101,1)(0515,1)(0102,2)(0125,1)(0680,1)(0600,1)(0230,55)(04a0,5)(0348,1)(0802,54)(cc0b,1)(0340,1)(0525,1)(0215,1)(0000,0)(0000,0)(0000,0)這個命令顯示相應分塊大小內(nèi)存的使用情況，比如這里顯示的是128字節(jié)的內(nèi)存使用情況這里每個括號中第一列使用內(nèi)存的模塊號，第二列為該模塊使用內(nèi)存塊的數(shù)量第58頁/共70頁內(nèi)存問題定位——如何確定內(nèi)存占用情況三各模塊號的含義_displaymemoryXXXgroup顯示的內(nèi)存信息中，模塊號一共4位，前兩位代表的含義如下：0x01操作系統(tǒng)0x02命令行、文件系統(tǒng)等0x03QACL、二層協(xié)議等0x04MAC、ARP等0x05FTP、TFTP、TCP等IP應用層0x06路由、組播等0x07MPLS0x081X、MAC認證等安全模塊0x09MIB0x0avoice0xcc驅(qū)動使用0xcd高端內(nèi)存第59頁/共70頁內(nèi)存問題定位——問題解決在定位出具體哪個模塊占用內(nèi)存較多的情況下，通過重點分析相關(guān)部分的配置和網(wǎng)絡應用，來解決內(nèi)存過高的問題。比如如果路由模塊占用內(nèi)存較多，可以查看系統(tǒng)中路由條數(shù)。如果路由條數(shù)較多，可以考慮減少路由；如果安全模塊占用內(nèi)存較多，可以查看系統(tǒng)認證通過的用戶數(shù)。第60頁/共70頁端口丟包問題定位物理鏈路質(zhì)量不高網(wǎng)線質(zhì)量不好或接口沒有插牢，導致出現(xiàn)錯包：可以通過查看接口狀態(tài)確認：<H3C>displayinterfaceEthernet1/0/36Ethernet1/0/36currentstate:UPIPPacketFrameType:PKTFMT_ETHNT_2,HardwareAddress:000f-e200-002b……Last300secondsoutput:0packets/sec10bytes/sec0%Input(total):57packets,7838bytes0unicasts,50broadcasts,2multicasts,0pausesInput(normal):52packets,-bytes0unicasts,50broadcasts,2multicasts,0pauses

Input:5inputerrors,0runts,0giants,0throttles

5CRC,0frame,-overruns,0aborts-ignored,-parityerrors……第61頁/共70頁端口丟包問題定位報文被acl丟棄檢查端口、vlan以及全局下是否配置acl或policy：如果配置了acl或policy，請檢查端口進入的報文是否匹配了acl而被丟棄，包括端口下的packet-filter、qospolicy，vlanpolicy以及globalpolicy；檢查是否被一些特性下發(fā)的acl丟棄：端口是否配置user-bind或ipcheck端口是否配置了potal端口是否使能了EAD快速部署端口所在vlan是否配置了MFF端口被協(xié)議設(shè)置為block被stp設(shè)置為discarding狀態(tài)：端口被stp設(shè)置為discarding，這時數(shù)據(jù)報文會被丟棄；為聚合組中inactive狀態(tài)的端口：如果端口屬于某個聚合組，而該端口為inactive狀態(tài)，則該端口無法收發(fā)數(shù)據(jù)報文；端口被RRPP阻塞；端口被Smartlink阻塞；第62頁/共70頁端口丟包問題定位：由于端口配置而丟包端口不在vlan中：端口不在pvid中，從該端口進入的untag報文會被丟棄；而對于從端口進入Tag報文，如果端口沒有包含在這個vlan中，也會被丟棄；黑洞mac：報文匹配了黑洞mac；匹配缺省路由被丟棄端口限速、風暴抑制等第63頁/共70頁CPU占用率高問題現(xiàn)象設(shè)備上CPU高一般表現(xiàn)為命令行響應較慢，并且以下命令顯示CPU占用率較高。如下，可以發(fā)現(xiàn)堆疊環(huán)境中slot3設(shè)備CPU最近5秒占有率較高（非堆疊環(huán)境同樣適用）：<H3C>discpuSlot1CPUusage:6%inlast5seconds6%inlast1minute7%inlast5minutes

Slot3CPUusage:60%inlast5seconds4%inlast1minute4%inlast5minutes<H3C>第64頁/共70頁CPU占用率高問題原因CPU高可能原因可以分為幾類：復雜網(wǎng)絡中協(xié)議震蕩導致CPU運算繁忙；協(xié)議報文攻擊導致CPU頻繁處理該協(xié)議報文；大流量上CPU攻擊導致CPU收包繁忙對以上三種原因，可以通過本文介紹方法初步定位CPU占用率高原因，并相應優(yōu)化網(wǎng)絡或排除攻擊。確認CPU占用率高任務顯示當前環(huán)境CPU占用率顯示CPU占用率高具體任務報文攻擊定位方法顯示設(shè)備收包信息顯示軟件防攻