H3CS3600V2系列交换机介绍.ppt

H3C S3600V2系列交换机 科技无极 创新无限 广州办事处 2012-12-28 网络发展趋势分析 产品概述 产品特性综述 产品重要特性介绍 典型组网 可维护性 目录 2 IP网络发展趋势分析 IP网络从互连互通向多业务融合阶段过渡 多业务融合网络要求具有全局的安全策略 多业务融合网络要求具有精细化管理能力 多业务融合网络对设备可靠性提出更高要求 多业务融合网络要求设备支持一体化接入能力 网络发展趋势分析 产品概述 产品特性综述 产品重要特性介绍 典型组网 可维护性 目录 4 H3C S3600V2产品定位 产品位于宽带小区汇聚、城域网边缘接入层、中小企业网核心、大型企 业网络的汇聚层以及校园网、金融行业等接入组网。 S3600V2 SI系列具有弱三层功能，支持静态路由和 RIP。作为 1000 个节点以上的宽带小区接入、大中型企业网、教育行业、金融行 业和零售行业的接入层设备，具有较强的吸引力。 S3600V2支持丰富的边缘接入特性， SI系列作为强二层在接入层设 备链中独领风骚； S3600V2 EI系列具有强二、三层功能，支持静态路由、 RIP和 OSPF ，可以作为企业网、校园网、行业网的汇聚或核心层设备。 S3600V2系列交换机在特性、指标和成本方面得到充分的融合，是一款 低成本、高性能、能够综合满足客户较高需求的交换机。 【 说明 】 EI和 SI系列，在部分软件特性上支持不同，后续内容中不再区 别指出。具体可以参考产品的规格列表。 5 H3C S3600V2产品列表 H3C S3600V2总共有 9款产品，分 EI和 SI两系列 EI系列： H3C S3600V2-28TP-EI H3C S3600V2-52TP-EI H3C S3600V2-28TP-PWR-EI H3C S3600V2-52TP-PWR-EI H3C S3600V2-28F-EI SI系列： H3C S3600V2-28TP-SI H3C S3600V2-52TP-SI H3C S3600V2-28TP-PWR-SI H3C S3600V2-52TP-PWR-SI 6 H3C S3600V2产品 H3C S3600V2-28TP-EI/H3C S3600V2-28TP-SI 端口配置： 24*10/100Base-T+2*1000Base-X/T Combo + 2*GE SFP 转发性能： 12.8Gbps/9.52Mpps 供电方式： 交直流一体电源（ SI仅提供交流输入） H3C S3600V2-52TP-EI/H3C S3600V2-52TP-SI 端口配置： 48*10/100Base-T+2*1000Base-X/T Combo + 2*GE SFP 转发性能： 17.6Gbps/13.09Mpps 供电方式： 交直流一体电源（ SI仅提供交流输入） 7 H3C S3600V2产品 H3C S3600V2-28TP-PWR-EI/H3C S3600V2-28TP-PWR-SI 端口配置： 24*10/100Base-T+2*1000Base-X/T Combo + 2*GE SFP 转发性能： 12.8Gbps/9.52Mpps 供电方式： 交直流一体电源 H3C S3600V2-52TP-PWR-EI/H3C S3600V2-52TP-PWR-SI 端口配置： 48*10/100Base-T+2*1000Base-X/T Combo + 2*GE SFP 转发性能： 17.6Gbps/13.09Mpps 供电方式： 交直流一体电源 8 H3C S3600V2产品 H3C S3600V2-28F-EI 端口配置： 24*100Base-X+2*1000Base-X/T Combo + 2*GE SFP 转发性能： 12.8Gbps/9.52Mpps 供电方式： 交直流一体电源 9 H3C S3600V2产品接口介绍 100Base-FX SFP光口支持下述光模块 100Base-FX-MM-SFP 100Base-FX-SM-SFP 100Base-FX-SM-LR-SFP 100Base-FX-SM-VR-SFP 1000Base-X SFP光口支持下述光模块 1000BASE-SX-SFP 1000BASE-LX-SFP 1000BASE-LH-SFP 1000BASE-ZX-LR-SFP 1000BASE-ZX-VR-SFP 10 H3C S3600V2设计和制造遵循业界最高标准 硬件设计： 执行比业界标准更加苛刻的公司标准，精细化设计保证所有器件电应力和热应 力上的充分降额，保证器件工作在厂家要求的应力环境之下，以使器件工作达 到最可靠状态同时寿命最长。 硬件测试： 产品通过业界领先的 HALT测试，通过国际标准 EMC、安规测试；通过低气压 和海拔测试，可以达到 -60 4000m；通过风扇寿命测试；通过电容 ECAP寿 命测试；通过震动跌落测试；通过器件的电应力和热应力测试；通过 H3C鉴定 中心严格的硬件鉴定测试。 硬件加工： 生产中通过内部 ICT测试、 FT测试保证出产设备可靠运行；通过 HASA测试对 设备进行筛选，使出产设备适应苛刻工作环境。 11 H3C S3600V2通过 EMC、安规认证 产品的设计遵循业界最先进的标准， S3600V2系列交换机产品满足欧盟、 北美、德国、日本、俄罗斯等国家和地区最严格的 EMC和安规要求并获 得各国的权威认证。 12 H3C SS3600V2是绿色环保产品 传统电子产品生产工艺中，大量使用铅、汞、镉、六价铬、多溴联 苯（ PBB）、多溴联苯醚（ PBDE） 等重金属和有毒物质，对环境造 成长期、严重的损害。改进工艺所需要的高昂成本和技术门槛，使 得绝大多数厂商望而却步。 H3C公司依靠强大的技术实力，投入巨资研发和引入世界领先的生产 设计工艺。 S3600V2系列交换机的设计和制造，都严格遵循欧盟颁布 的 RoHS指令并通过认证，在生产、使用和回收处理过程中，不会对 环境造成污染。 RoHS（ The Restriction of the use of certain Hazardous substances in Electnical and Electronic Equipment ） 13 H3C S3600V2基于 Comware V5平台 COMWARE 多元 安全 开放 便捷 可靠 灵活 丰富的互联网协议 多平台多产品支持 多平面模块化设计 特性可裁减可扩展 分布式处理理念 在线补丁与升级 命令行与界面统一 可视化操作与维护 面向服务体系架构 对外开放软件接口 平台自身的安全防范 整网系统的安全策略 14 网络发展趋势分析 产品概述 产品特性综述 产品重要特性介绍 典型组网 可维护性 目录 15 H3C S3600V2产品主要特色 高扩展性 ： 强大的 QACL功能 : 千兆 SFP光口支持 1000M光模块、 1000M BIDI光模块。 百兆 SFP光口支持 100M光模块、 100M BIDI光模块。 支持千兆光口 /电口堆叠，用户可以实现最大 9台设备堆叠，提供更高端口密度，实 现网络的平滑扩容。 支持出入双向 ACL、 VLAN ACL，支持 IPv6 ACL， 可以对报文进行深度识别，最 高达 384位 ; 支持对多种规则组合条件下的流映射和分类、流量监管 CAR（支持双速三 色和单速双色标记器，双向 CAR）、拥塞控制方法（ WRED、 Tail-Drop）、队列调 度（ SP、 WRR、 SP+WRR）、优先级标记及优先级映射（ 802.1P、 DSCP），支 持基于端口 /端口队列输出流整形等功能，支持报文重定向，支持基于流的镜像和端口 镜像 (N:4)。 16 H3C S3600V2产品主要特色 完备的安全控制能力 ： 多重可靠性保护 : 设备安全：支持硬件级防 DOS攻击，通过主动检测攻击报文和避免非法报文上 CPU 两种手段增强了设备的抗攻击能力，支持 SSHv2、 Https 、 SFTP、 SNMPv3等协议 网络安全：支持 EAD和 PORTAL, 支持端口安全、端口隔离，支持 IP Source Guard/ARP Detection/uRPF/Triple authentication，支持 802.1x和集中 MAC认 证，支持动态下发 VLAN和 ACL。 硬件可靠性：支持冗余电源；支持电源、风扇故障检测和告警，支持过温告警和过温保护， 能根据温度变化自动调整风扇转速，支持两级风扇转速。 二层可靠性：支持 RRPP、 Smart Link/Monitor Link、 MSTP、 LACP、 DLDP等。 三层可靠性：支持 VRRP、 ECMP、 BFD、 GR等。 17 H3C S3600V2产品主要特色 IPV6业务能力： 丰富的管理能力 : 设备管理：支持 Cluster/WEB/iMC/CLI/TELNET等多种管理手段 网络管理：支持 LLDP、 OAM、 CFM、 DLDP、 NQA、 RSPAN、 sFlow、 VCT. IPv6路由协议 IPv6 静态路由 /RIPng/OSPFV3/BGP4+ for IPv6/IS-ISv6 IPv6组播协议 MLDv1/2、 MLD Snoopingv1/2、 PIM-DM/SM/SSM for IPV6 /IPv6组播 vlan、 MBGP for IPV6 IPv6隧道技术 手工配置隧道 /自动 6to4隧道 /ISTAP隧道 IPv6访问控制 支持 IPv6 ACL 18 H3C S3600V2软件特性概述 IPV4 unicast IPV6 unicast RIPng OSPFv3 BGP4+ for IPv6 ISISv6 PBR(策略路由） ECMP MCE ISATAP Tunnel Manual Tunnel 6to4 Tunnel L2 RIP OSPF OSPFv3 BGP ISIS DHCP Relay/Server PBR(策略路由） ECMP MCE ARP Proxy UDP Helper BFD Port Isolate MSTP/RSTP LACP GVRP Voice VLAN Mac Based VLAN Protocol Based VLAN IP subnet Based VLAN Flow Interval Storm Constrain Selective QINQ VLAN Mapping RSPAN 19 H3C S3600V2软件特性概述 IPv6 multicast Security ARP Detection IP Source Guard 802.1X Port Security EAD PORTAL PKI SSH 2.0 HWTACACS+ uRPF Radius Bootrom Access Control IP4 multicast MLD snooping v1/2 MLD v1/2 PIM-SM/DM/SSM for IPv6 MVR for IPv6 MVR+ for IPv6 MBGP for IPv6 IGMP snoopingv1/2/3 IGMPv1/2/3 MVR MVR+ PIM-DM PIM-SM PIM-SSM MSDP MBGP 20 H3C S3600V2软件特性概述 (续 ) HA(高可靠性 ) QACL 流标记 /重定向 /镜像 针对范围四层端口号关注 三色双速 WRR,WRR+SP,SP调度模式 出入双方向 ACL VLAN ACL Global ACL WRED Shaping Management LLDP sFlow NQA DLDP VCT Loop Detection HGMPV2 Web iMC OAM(802.3ah) CFD(802.12ag) VRRP VRRP v3 ECMP GR for OSPF/BGP BFD RRPP Smart Link LACP IRF 21 网络发展趋势分析 产品概述 产品特性综述 产品重要特性介绍 典型组网及应用 可维护性 目录 22 S3600V2的堆叠特性 IRF简介 3 1 IRF原理、 拓扑 介绍 选举规则 3 2 IRF Master选举规则 加入规则 3 4 新设备加入、合并规则 数据备份规则 3 5 配置数据、协议数据备份规则 IRF与 V3差异 3 6 与 V3平台堆叠特性对比 报文转发原理 3 设备内、跨设备报文转发原理 23 IRF简介 IRF2.0(Intelegent Resilent Fabric) 是 H3C公司开发的新一代具有高度扩展性、 可靠性的智能网络架构。支持 IRF技术的 S3600V2交换机互连在一起，便可以形 成一个逻辑的交换机架构，这种交换架构既具有盒式交换机的低成本，又有框式 分布式交换机的扩展性和高可靠性。 S3600V2交换机支持链型、环形拓扑，环形拓扑在一条链路断掉的情况下可以 变为链型拓扑， 网络转发保持正常。 链 型 拓 扑 环 形 拓 扑 I R F M a s t e r S l a v e S l a v e S l a v e I R F S l a v e S l a v e S l a v e M a s t e r 24 IRF选举规则 S3600V2交换机最多支持 9台设备堆叠， 9台设备形成 1:8备份，一个 Master, 8台 Slave; Master是成员设备的一种，它负责管理整个堆叠；一 个堆叠中同一时刻只能有一台成员设备成为 Master设备。 堆叠拓扑建立后需要从成员设备中选举 Master， Master选举按照如下规 则进行，优先级从上到下： 当前 Master优于非 Master成员； 成员优先级大的优先； 系统运行时间长的优先； 成员桥 MAC小的优先。 以上规则适应于堆叠建立、新设备加入、堆叠合并等情形。 25 IRF报文转发原理 (1) IRF2.0系统中实现了全分布式的转发，最大限度的发挥了每个成员的处理 能力。组成虚拟设备 堆叠系统中 的各物理设备均有完整的转发表项，可以分 别独立完成查表转发。 当一个报文流的入接口与出接口在同一个物理设备时，报文仅在这一个物理 设备进行处理。 报文在设备内转发 26 IRF报文转发原理 (2) 当一个报文流的入接口与出接口不在同一个物理设备时，系统会按照最优的 路径进行转发。 对于组播报文，每个成员只会根据本成员需要复制报文，保证设备间只有一 份报文传送。 Hos t Se rv e r Hos tHos t Hos t Hos t 报文跨设备转发 组播报文跨设备转发 27 IRF设备加入规则 堆叠维护过程中，继续进行拓扑收集工作，当发现有新的成员设备加入时会 重新进行角色选举，根据情况采用以下的某种处理方式： 堆叠已经形成，新设备加入 (上电 )，该新设备的角色为 Slave，不会进行角色选举。 堆叠已经形成，新设备加入（它们已经形成了堆叠），即两个堆叠各自已经形成， 将这两个堆叠使用堆叠电缆连接起来，这个过程称为堆叠合并（ merge）。合并的情 况下，两个堆叠会进行堆叠竞选，竞选失败的一方所有堆叠成员设备会重启，然后 全部作为 Slave设备加入竞选获胜的一方。 如果成员设备加入成功，对堆叠系统来说，相当于增加一个备用主控板以及 此板上的接口等物理资源。 新设备加入和堆叠合并时， 为防止对原堆叠设备造成影响， 建议对新加入 设备重新上电，然后加入堆叠系统。 28 数据备份规则 保存配置时，配置文件会保存在所有设备上。 配置恢复时只使用 master上的配置。 协议热备份是设备级 1:N备份的基础，它负责将协议的配置信息以及支撑 协议运行的数据（比如状态机或者会话表项等）备份到其它所有成员设备， 从而使得堆叠系统能够作为一台独立的设备在网络中运行。 路由协议采用 GR保证转发的连续性和协议的正常工作。 29 S3600V2的高可靠特性 以太网链路聚合技术 (LACP) 3 1 聚合链路故障 /恢复收敛时间小于 500毫秒 等价多路径 (ECMP) 3 2 链路故障 /恢复时，流量切换几近不丢包 链路单通检测 (DLDP) 3 DLDP检测可在 2秒内完成，快于 UDLD 快速环网保护协议 RRPP 3 5 环网 200ms 500ms倒换保障，光口可达 50ms VRRP 3 6 网关冗余备份和负载分担 软件 热补丁功能 3 4 在线修改软件 BUG或增加小规模新特性 30 RRPP 增强特性 S3600V2支持基于 Vlan的 RRPP多实例负载分担，有效利用带宽； 硬件支持基于 VLAN（每个实例）维护 MAC表项； RRPP环支持链路聚合，有效扩展链路带宽。 Ring Master Transit S3600V2 X 正常情况下，流量根据 Vlan分组，从不同方向 传输，有效利用带宽 当一个方向上的链路中 断，原有这个方向上的 流量切换到另一个方向 上，保证业务不受影响 31 端口环回检测 LDT: Loopback Detection LDT虚环回监测的目的 是监测交换机的端口是否出 现环路。 当用户开启以太网端口的 环回监测功能后，交换机便 定时 监测 各个端口是否被外 部环回。如果发现某端口被 环回，交换机会将该端口处 于受控工作状态。 如果系统发现端口被环回， 则关闭该端口，并向上报 Trap信息，同时删除该端口 对应的 MAC地址转发表项。 H3C-3600V2loopback-detection enable H3C-3600V2display loopback-detection Port loopback-detection is running System Loopback-detection is running Detection interval time is 30 seconds Loopback link is Dectected The Loopback link is Port 3 时间可 设置 32 虚拟电缆检测 X S3600V2 可以检测 检测电缆短路和短路 故障距离 优点： 易于维护和定位 减少工作量 S3100 33 热补丁 S3600V2实现在不复位设备的前提下，在线修改软件 BUG或增加新特性 提供控制命令，使用户能够方便的加载 /激活 /去激活 /运行 /删除补丁单元 I D L E D E A C T I V E R U N A C T I V E lo a d d e le t e a c t i v e d e a c t i v e r u n d e le t e d e l e t e 热补丁工作状态转换图示 4种状态，使 用更加灵活 34 S3600V2的安全特性 IP source guard 3 1 阻止主机盗用邻居的 IP地址产生的流量攻击 ARP入侵检测和 ARP防欺骗 3 2 防范网络中的 ARP攻击 802.1X认证、集中 MAC认证 3 4 通过认证控制用户接入网络 单播反向路径检查（ uRPF） 3 8 防止 IP地址欺骗攻击 大容量双向 ACL和 VLAN ACL 3 9 确保对网络访问权限进行严格的控制 CPU防攻击 3 有效防止对 CPU、设备表项、协议等的攻击 HWTACACS+,SSH2.0 3 5 提供安全的接入和认证 Port Security 3 6 防止非法用户接入网络 STP 防攻击 3 6 支持 BPDU guard和 Root Guard 35 IP source guard IP source guard IP source guard 功能 基于 DHCP snooping获取的绑定数 据 基于手工配置的源 IP绑定 用源 IP和 MAC地址过滤 阻止主机盗用邻居的 IP地址产生的 流量攻击 。 PC-1 PC-2 PC-3 DHCP server DHCP snooping 创建 IP+MAC+PORT 或 IP+PORT 绑定表项 IP1+MAC1+PORT1 IP2+MAC2+PORT2 DHCP 获取 IP1 DHCP 获取 IP2 DHCP 获取 IP3 IP3+MAC3+PORT3 PC1 用假 IP,不是 IP1 ,交换机丢弃 报文 36 ARP Detction ARP Detction功能 ： 接口可以配置是否信任状态 ARP协议报文限速 动态绑定 DHCP Snooping表项 PC-1 PC-2 DHCP server S3600V2丢弃大 于用于配置的 ARP报文 S3600V2分析每一 个 ARP报文，对于 非法的 ARP报文将 丢弃。 37 STP防攻击 发送 BPDU信息变成根桥 ROOT ROOT 阻塞 STP攻击： 攻击者可以看到他不应看到网络拓扑信 息 尽管 STP会考虑链路的速度，但总是从根 桥的角度出发，攻击者会将千兆的骨干 变成 10兆的半双工 BPDU保护不允许端口参与 STP，确保非 信任的端口一旦收到其他交换机的 BPDU 信息就关闭此端口，以防止非法交换机 的接入 ROOT保护则是防止新加入的交换机成 为 ROOT，若新加入的交换机想成为 ROOT，则此端口停止工作 BPDU ROOT 阻塞 BPDU保护 BPDU保护 ROOT保护 BPDU 38 802.1x认证 1. 用户发起认 证。 4. 认证完成后用户从 DHCP server获取 IP地 址 . S3600V2 DHCP Server Radius Server 5. 用户获取 IP地址 后可以正常访问网 络。 3. 交换机到 Radius Server完成认证 . 2. 在认证以前用户不 能获取 IP，不能访问 任何地方。 Core Network 扩展的 802.1x认证功能 基于端口 /MAC认证 支持 EAP relay 功能 支持 802.1x EAP认证 39 Port Security NTK(Need to know): 通过检查端口输出报文的目的 MAC地址， NTK能 保证只有通过认证的设备能接收到数据报文，防止数据被截取。 入侵保护 : 通过检查端口输入报文的源 MAC地址或 802.1X认证的用户名 和密码，入侵保护功能检测非法报文和事件并采取相应的动作。这 些动作包括暂时或永久的断开端口、用 MAC地址过滤报文，从而保 证端口安全。 设备跟踪 : 当用户发送特定类型的报文 (非法入侵，不正确的登陆方式 ),交 换机发送 Trap信息协助管理员监控这些行为。 40 VLAN ACL S3600V2支持基于 VLAN的 ACL，用户通过对 VLAN配置 ACL动作，从而实现对 VLAN内 所有端口的访问控制 VLAN-ACL使用户能够更加方便地管理网络，同时大大节省了 ACL资源。 Switch VLAN 10 VLAN 20 VACL VACL applied to traffic bridged within a VLAN Switch VLAN 10 VLAN 20 VACL applied to traffic routed between VLANs VACL 41 S3600V2的多业务特性 IPv6业务 3 1 支持丰富的 IPV6路由协议和多播协议 IPv6 tunnel 3 2 支持手动 Tunnel, 6to4 Tunnel, ISATAP Tunnel Voice Vlan 3 DLDP检测可在 2秒内完成，快于 UDLD 支持 MCE 3 5 多用户共享 CE设备，支持逻辑独立的路由实例和地址空间。 支持 POE供电 3 6 支持 IP Phone、无线 AP等多种设备接入 多种 VLAN类型 3 4 支持 Port/Mac/Protocol/subnet based Vlan 42 IPv6业务能力 IPv6路由协议 IPv6 静态路由 /RIPng/OSPFV3/BGP+/IS-ISv6 IPv6组播协议 MLD/MLD Snooping/PIM6/IPv6组播 vlan IPv6隧道技术 手工配置隧道 /自动 6to4隧道 /ISTAP隧道 IPv6访问控制 支持 IPv6的访问控制列表 IPv6 Network IPv4 Network 43 IPv4/IPv6多播管理 S3600V2 支持 igmp-snooping 和 MLD-snooping S3600V2 支持 igmp、 PIM-DM/SM、 PIM-SSM、 MSDP 最大支持 1024 IGMP多播组 支持 IGMP group policy 支持 IGMP group limit 支持组播 VLAN+ S3600V2 VOD Server Video stream S3600V2 VOD Server Video stream VLAN10 VLAN20 VLAN30 VLAN10 VLAN20 VLAN30 S7500-EI S7500-EI 不支持组播 VLAN+的组播报文转发 TV1 stream in vlan-10 TV1 stream in vlan-20 TV1 stream in vlan-30 TV1 stream in vlan-100 支持组播 VLAN+的组播报文转发 44 IPv6 Tunnel IPv6隧道机制是将 IPv6数据报文前封装上 IPv4的报文头，通过 隧道（ Tunnel）使 IPv6报文穿越 IPv4网络，实现隔离的 IPv6网络的 互通。 S3600V2支持 下面的隧道类型： manual Tunnel, 6to4 Tunnel, ISATAP Tunnel I P v 6 I P v 6 I P v 6 H e a d e r I P v 6 D a t a I P v 6 H e a d e r I P v 6 D a t a I P v 4 H e a d e r I P v 6 H e a d e r I P v 6 D a t a D u a l S t a c k R o u t e r I P v 6 H o s t I P v 6 H o s t T u n n e l D u a l S t a c k R o u t e r N e t w o r k N e t w o r k I P v 4 N e t w o r k 45 Voice VLAN Voice vlan Data Queue 1 Data Queue 2 S3600V2 Voice Queue 通过识别端口的语音流，将对应的接入端口加入 Voice VLAN中，为语音流量提供专门通道， 并自动下发优先级规则保证语音流的优先传输来保证通话质量。 Voice Data Other Data 支持自动识别多达 16家 IP Phone vendors， 提供数据、语音融合的解决方案！ S3600V2 46 基于 MAC的 VLAN S3600V2可以根据终端的 MAC地址动态分配交换机端口的 VLAN ID，无须客户端和用户名 基于 MAC的 VLAN特性为用户提供了最简单易用的认证方式， 提高了网络的安全性 47 高可靠的 MCE 客户可以通过一台做 CE的 H3C S3600V2设备接入高达 64个 VPN的用户 H3C S3600V2为政府和电力的用户提供具有冗余电源的高可靠 MCE设备、可 广泛应用于政府三四级网和 电力调度网的建设。 48 EAD 安全准入控制 内 部 网 I n t e r n e t 隔 离 区 客 户 端 管 理 代 理 服 务 器 补 丁 服 务 器 病 毒 服 务 器 C A M S 平 台 安 全 策 略 服 务 器 安 全 联 动 交 换 机 8 0 2 . 1 x 认 证 用 户 S3600V2支持 EAD特性，对不符合安全策略的用户隔离严格，可以有效防止来自企业网络内部的安全威胁。通 过 EAD客户端的自动升级控制，也增强了企业内部用户 PC系统的安全性。 802.1x接入与 CAMS配合可以支持丰 富的 ACL授权和 VLAN授权，绑定用户的接入端口、 IP地址等，实现更细粒度地控制用户访问 。 49 S3600V2的管理特性 Telnet本地和远程维护 3 2 提供方便可靠的远程访问方式，方便用户远程管理 SNMP v1, 2 ,3 3 支持标准的 MIB，兼容多种管理软件 iMC 智能网管中心 3 5 实现网络业务的端到端管理 HGMP V2 3 4 支持设备集群管理，简化操作，提高可维护性 WEB网管 3 2 可视化的 WEB管理，支持 IRF等丰富的特性 50 网络资源、用户的融合智能管理 iMC 拓扑不仅展示了网络 资源的连接关系，更 表现出网络资源被使 用的情况 网络管理软件功能与 接入认证的统一融合 51 采用 HGMP协议进行管理，可以简化操作，提高可维 护性，一个集群只需要一个管理 IP地址。 自动配置管理 自动拓扑发现 链路层交互信息 下挂设备即插即用 高扩展性 . 集群 network 网管 69.110.1.100 命令交换机 69.110.1.1 成员交换机 成员交换机 成员交换机 备份交换机 候选交换机 集群管理 HGMPv2 网络发展趋势分析 产品概述 产品特性综述 产品重要特性介绍 典型组网及应用 可维护性 目录 53 中小型企业中的 IRF组网应用 Information Center Server Farm S5800 S3600V2 S3600V2 S3600V2 IRF Internet/ VPN FireWall IRF IRF Fabric Link Aggregation IRF技术可提供 9台交换机互连，按需扩展端口密度 IRF可以实现对整个结构 (Fabric)进行方便的 CONSOLE, TELNET, WEB, SNMP管理，大大简化 对数量庞大的接入层交换机的管理和维护 IRF技术中对新添加到堆叠结构中的交换机单元进行自动配置和版本检查，大大简化接入层交 换机的安装和部署 动态识别语音流，自动加入 voice vlan并启用 QoS优先级，阻断非语音流量 Call Agent 54 大型企业中的 IRF组网应用 Informa tion Center Server Farm Server Farm Backup Center Body shop Panit Shop Assemb ly Shop S8500 S85 00 S5800 S5800 S5800 S3600V2 IRF Interne t/ VPN FireWa ll IRF Fabric Link Aggregation 55 IRF技术在接入层的具体应用 核心网络 教学、科研楼及教职工和学生宿舍楼 图书馆、餐厅和操场等开放空间 3600V2堆叠 3600V2堆叠 56 网络发展趋势分析 产品概述 产品特性综述 产品重要特性介绍 典型组网及应用 可维护性 目录 57 内存问题定位 如何确定内存占用情况一 系统内存会分成 32、 64、 128、 256等大小字节块进行管理 H3C-hidecmd_display memory Slice Memory Usage: Block Size 32 Free 534 Used 54122 Total 54656 Block Size 64 Free 233 Used 72781 Total 73014 Block Size 128 Free 17 Used 19119 Total 19136 Block Size 256 Free 64 Used 3909 Total 3973 Block Size 512 Free 121 Used 344 Total 465 Block Size 1024 Free 66 Used 746 Total 812 Block Size 2048 Free 19 Used 485 Total 504 Block Size 4096 Free 43 Used 481 Total 524 -Summary- Used(Byte) 13741312 Free 1097 Used 151987 Total 153084 Total Slice Allocated Size: 19639680 bytes Used Ratio: 69 Total Slice Memory(Include Control Data and Free Slice): 19639680 bytes Raw Slice Memory Usage: Total Used Size: 46385167 bytes Num: 604 Total Raw Slice Size (Include Control Data and Free Slice): 46951592 bytes Used Ratio: 98 Partition 0 Total Memory(bytes): 145279360 58 内存问题定位 如何确定内存占用情况二 可以通过显示不同大小块的内存细节，来判断系统各部分使用的内存情况 H3C-hidecmd_display memory 128 group (cc10, 38) (cc1d, 85) (cc08, 3) (0806, 22) (cc09, 2) (cc04, 1) (cc05, 50) (cc1c, 1) (0846, 2) (0801, 1) (0110, 141) (02b2, 1) (0830, 2) (0214, 25) (0216, 17171) (0283, 2) (0240, 255) (0833, 1) (060f, 130) (060c, 1) (0610, 2) (0616, 1) (0614, 1) (0213, 18) (0218, 2) (0280, 1) (0260, 1) (0920, 63) (0342, 867) (0446, 60) (040c, 1) (0341, 1) (04e3, 4) (0344, 28) (0347, 1) (034a, 2) (034d, 1) (0501, 3) (0490, 3) (0101, 1) (0515, 1) (0102, 2) (0125, 1) (0680, 1) (0600, 1) (0230, 55) (04a0, 5) (0348, 1) (0802, 54) (cc0b, 1) (0340, 1) (0525, 1) (0215, 1) (0000, 0) (0000, 0) (0000, 0) 这个命令显示相应分块大小内存的使用情况，比如这里显示的是 128字节的内存使用情况 这里每个括号中第一列使用内存的模块号，第二列为该模块使用内存块的数量 59 内存问题定位 如何确定内存占用情况三 各模块号的含义 _display memory XXX group显示的内存信息中，模块号一共 4位，前两位代表的含义如 下： 0 x01 操作系统 0 x02 命令行、文件系统等 0 x03 QACL、二层协议等 0 x04 MAC、 ARP等 0 x05 FTP、 TFTP、 TCP等 IP应用层 0 x06 路由、组播等 0 x07 MPLS 0 x08 1X、 MAC认证等安全模块 0 x09 MIB 0 x0a voice 0 xcc 驱动使用 0 xcd 高端内存 60 内存问题定位 问题解决 在定位出具体哪个模块占用内存较多的情况下，通 过重点分析相关部分的配置和网络应用，来解决内 存过高的问题。比如 如果路由模块占用内存较多，可以查看系统中路由条数。如果 路由条数较多，可以考虑减少路由； 如果安全模块占用内存较多，可以查看系统认证通过的用户数。 61 端口丢包问题定位 物理链路质量不高 网线质量不好或接口没有插牢，导致出现错包： 可以通过查看接口状态确认： display interface Ethernet1/0/36 Ethernet1/0/36 current state: UP IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e200-002b Last 300 seconds output: 0 packets/sec 10 bytes/sec 0% Input (total): 57 packets, 7838 bytes 0 unicasts, 50 broadcasts, 2 multicasts, 0 pauses Input (normal): 52 packets, - bytes 0 unicasts, 50 broadcasts, 2 multicasts, 0 pauses Input: 5 input errors, 0 runts, 0 giants, 0 throttles 5 CRC, 0 frame, - overruns, 0 aborts - ignored, - parity errors 62 端口丢包问题定位 报文被 acl丢弃 检查端口、 vlan以及全局下是否配置 acl或 policy： 如果配置了 acl或 policy，请检查端口进入的报文是否匹配了 acl而被丢弃，包括端口下的 packet-filter、 qos policy， vlan policy以及 global policy； 检查是否被一些特性下发的 acl丢弃： 端口是否配置 user-bind或 ip check 端口是否配置了 potal 端口是否使能了 EAD快速部署 端口所在 vlan是否配置了 MFF 端口被协议设置为 block 被 stp设置为 discarding状态： 端口被 stp设置为 discarding，这时数据报文会被丢弃； 为聚合组中 inactive状态的端口： 如果端口属于某个聚合组，而该端口为 inactive状态，则该端口无法收发数据报文； 端口被 RRPP阻塞； 端口被 Smartlink阻塞； 63 端口丢包问题定位： 由于端口配置而丢包 端口不在 vlan中： 端口不在 pvid中，从该端口进入的 untag报文会被丢弃； 而对于从端口进入 Tag报文，如果端口没有包含在这个 vlan中，也会被丢弃； 黑洞 mac： 报文匹配了黑洞 mac； 匹配缺省路由被丢弃 端口限速、风暴抑制等 64 CPU占用率高问题现象 设备上 CPU高一般表现为命令行响应较慢，并且以下命令显示 CPU占用率较高。 如下，可以发现堆叠环境中 slot3设备 CPU最近 5秒占有率较高（非堆叠环境同样适用） ： dis cpu Slot 1 CPU usage: 6% in last 5 seconds 6% in last 1 minute 7% in last 5 minutes Slot 3 CPU usage: 60% in last 5 seconds 4% in last 1 minute 4% in last 5 minutes 65 CPU占用率高问题原因 CPU高可能原因可以分为几类： 复杂网络中协议震荡导致 CPU运算繁忙； 协议报文攻击导致 CPU频繁处理该协议报文； 大流量上 CPU攻击导致 CPU收包繁忙 对以上三种原因，可以通过本文介绍方法初步定位 CPU占 用 率 高原因，并相应优化网络或排除攻击。 确认 CPU占用率高任务 显示当前环境 CPU占用率 显示 CPU占用率高具体任务 报文攻击定位方法 显示设备收包信息 显示软件防攻击信息 基于报文内容分类统计 协议任务繁忙（包括协议报文攻击） 查找任务 Vid 显示具体任务调用栈 66 定位方法 -确认 CPU占用率高任务 (续 1) 显示当前环境 CPU占用率 dis cpu Slot 1 CPU usage: 6% in last 5 seconds 6% in last 1 minute 7% in last 5 minutes Slot 3 CPU usage: 60% in last 5 seconds 4% in last 1 minute 4% in last 5 minutes 67 定位方法 -确认 CPU占用率高任务 (续 2) 显示 CPU占用率高具体任务 如下显示为 slot3设备上各任务 CPU占有率： dis cpu task slot 3 = Current CPU usage info = CPU Usage Stat. Cycle: 6 (Second) CPU Usage : 78% CPU Usage Stat. Time : 2000-04-26 12:37:24 CPU Usage Stat. Tick : 0 x22(CPU Tick High) 0 xfda2(CPU Tick Low) Actual Stat. Cycle : 0 x0(CPU Tick High) 0 x19e0fe3f(CPU Tick Low) TaskName CPU Runtime(CPU Tick High/CPU Tick Low) VIDL 22% 0/ 5e28ffa bRX1 20% 0/ 560442d bRX2 0% 0/ 4123b ARP 16% 0/ 4394920 IP 0% 0/ 1827b8 . VIDL任务为空闲任务，不做考虑。其他不相关任务略。 bRX1和 RXT为收包任务， ARP为处理 ARP报文任务。 通过上页信息基本可以确定 CPU占用率高为 slot3设备上收到大量 ARP报文导致。 根据 CPU占有率高任务可以确定下一步定位步骤，如果是 bRX1或 RXT任务 CPU占有率高则可能是存在 报文攻击，如果其他非 bRX1或 RXT任务 CPU占有率高，则可能是协议运算繁忙（包括协议报文攻击） 68 定位方法 -如何查看上 cpu报文 STEP 1 设定过滤报文 H3C-diagnosedisplay rxtx dest_mac 0180-c200-0000 说明： 1、可以设定很多过滤条件，命令行里边有帮助，例如： Broadcast， cos， dest_mac， dip， etype， iptype， port， reason， receive， sip ， send ， source_mac， vlan . STEP 2 查看报文内容 H3C-diagnosedebug rxtx -c 100 -s 100 pkt 1 Debug RxTx packet is on! H3C-diagnose *Apr 27 09:00:47:870 2000 H3C RXTX/7/pkt: From board 1: received packet from chip0,port17,reason=0 x1000,cos=3,sMod=0,sPort=17,len=216, Matched=53 *Apr 27 09:00:48:46 2000 H3C RXTX/7/pkt: - 0000 01 80 c2 00 00 0e 00 0f e2 5b 18 c9 81 00 00 01 - 杭州华三通信技术有限公司