h3c sr6600-x系列产品(以下简称sr6600-x)是h3c自主研发面向新一代云业务需求的高端路由器。随着云计算应用的大规模普及,用户对路由设备的要求也越来越高。除了高性能和大容量之外,还要求虚拟化网络时能够汇聚更多用户和业务流量,并针对各种基于云的数据流进行精细化区分和qos保障,确保网络互连时的安全性、可靠性。对此,传统的路由设备在这些方面往往难以满足要求。h3c新推出的sr6600-x系列路由器有针对性地解决了上述问题。h3c sr6600-x采用全业务分布式处理架构,业务全部内置无需额外配置业务板卡,同时具备弹性可扩展业务处理能力,并采用自主研发的集路由转发与业务处理于一体的apollo硬件芯片内核,实现高性能业务线速转发。与此同时,sr6600-x还创新的以irf2技术为基础,实现了广域网汇聚虚拟化,在降低运维、管理成本的同时,大幅提高网络可靠性。
先进的全业务分布式处理架构
h3c sr6600-x系列路由器采用了先进的全业务分布式处理架构,路由引擎和业务引擎硬件分离,所有引擎上控制平面和业务平面分离,确保系统全速运行时业务和控制互不干扰,主备倒换时业务不中断;所有业务(比如隧道业务、nat地址转换、网流分析、报文加密等)无需额外增加任何业务板卡直接在设备支持的线卡上高速处理,业务处理能力随着线卡的增加线性增长,与传统的高端路由器在业务处理上依赖专用单板相比,不但消除了专用业务单板的带宽瓶颈,而且降低了用户的总拥有成本。
- 自主研发apollo硬件内核
伴随着云计算业务的兴起,网络用户的激增以及网络业务不断的丰富与发展,网络架构发生根本性的变化,边缘汇聚设备面临着业务性能提升的新挑战,商用asic芯片和网络处理器已无法满足当前行业网络和运营商网络的需求。h3c公司凭借在路由器领域十几年的专业经验积累,历时三年之久,专门针对高端路由器业务模型特点,精心打造集路由转发与业务处理于一体的apollo专业通信处理硬件内核,充分满足用户高性能业务处理需求。此外, apollo硬件内核的组播复制单元与交换矩阵的组播复制配合,使路由器形成上行组播复制、交换网组播复制、下行组播复制的三级组播复制架构,分级精细化的组播复制架构避免了语音、视频等业务在组播情况下多余复制的带宽占用浪费,从而保证了组播业务的流畅运行。
- 支持新一代高端路由线卡fip-600
新一代高端路由灵活接口平台fip-600是h3c在fip-210、fip-110之后研发的高端线卡,硬件内核性能强劲,采用最新的网络多核处理器以及自主研发的apollo专业高速通信处理芯片内核,支持ipv4、ipv6、mpls、vpls、gre、组播等业务的线速处理能力,支持层次化服务质量保证(h-qos),可以实现基于端口、用户组、用户及用户业务的多级调度机制;支持先进的队列调度、拥塞避免、流量监管、流量整形、优先级标记等功能,可保证不同业务的带宽、时延和抖动,满足不同用户、不同业务等级的“区分服务”。提供1gb的包缓存能力,可解决网络突发流量引起的丢包问题,为语音视频等不断增长的多媒体业务提供可靠保障。
- 强大的路由能力
h3c sr6600-x系列路由器支持400万的大容量路由表项,同时支持丰富的路由策略和强大的策略路由功能,可对网络流量进行灵活的控制和调度,满足行业和运营商用户不同业务特性要求。此外,h3c sr6600-x系列路由器还全面支持基于ipv4/ipv6静态路由和动态路由协议,如:rip/ripng、ospf/ospf v3、is-is/is-is v6、bgp/bgp4 等。
- 支持跨广域网irf2
传统广域网连接为了高可靠性往往采用双线路、双机备份的方式,虽然可靠性得到增强但是线路和设备利用率不高,维护管理复杂。h3c根据未来云计算网络的虚拟化要求,率先在广域网设备上支持irf2(第二代智能弹性架构)技术,将物理上两台设备虚拟化成一台逻辑设备,极大的降低了用户网络的运维成本,提升链路带宽利用率以及设备的使用率。h3c sr6600-x系列路由器支持广域网irf2技术之后将为用户提供更丰富的业务能力:
通过分布式跨设备链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的可靠性和链路资源的利用率,且在跨设备聚合链路上支持丰富的业务,如qos、网流分析、nat转换、数据加密等功能;
多台sr6600-x设备通过irf2技术虚拟为一台逻辑设备,共用一个管理通道,简化网络设备管理,简化网络拓扑管理,提高运营效率,降低维护成本;
通过专利的路由热备份技术,在整个虚拟架构内实现控制平面和数据平面所有信息的实时备份和无间断的三层转发,极大的增强了虚拟架构的可靠性和高性能,同时消除了单点故障,避免了业务中断;
- 大二层云间安全传输
当用户存在多个数据中心间互联时,可以采用大二层网络完成需求。数据中心之间的数据传输要求具备很高的安全性,通过将二层vpls报文单纯的gre封装之后明文传输仍无法满足高安全的要求,为了提高gre隧道中数据安全级别,建议在gre隧道上配置ipsec隧道,保证gre隧道内传输的报文可以受到ipsec加密保护。基于上述功能,用户通过sr6600-x系列路由器融合高端设备的业务性能、广域网irf2以及高性能加密技术可以实现安全可靠的数据中心二层互联需求。
- 丰富的专业vpn特性
h3c sr6600-x系列路由器支持全面的l2tp、ipsec以及gre隧道技术,在硬件上支持独立的硬件加密内核,在不增加用户投资的前提下可提供高性能的加密能力以及超大的隧道容量可以满足各种大型加密网关的要求,保证用户数据在广域网的传输安全。
此外,传统vpn技术在灵活性和可维护性上还存在着不足,例如企业分支机构通常采用公共网络的动态地址接入企业内部,企业核心接入设备无法事先知道对端公网地址。例如当企业各个分支需要全连接时需要配置的连接的问题等等。h3c针对上述用户业务需求,提供专业dvpn(dynamic virtual private network,动态虚拟专用网络)凯时app官网首页的解决方案:通过vam(vpn address management,vpn地址管理)协议收集、维护和分发动态变化的公网地址等信息,解决无法事先获得通信对端公网地址的问题。dvpn可以在企业网各分支机构使用动态地址接入公网的情况下,在各分支机构间自动建立隧道进行传输。不但提高了组网的灵活性而且降低了维护工作量,此外还提供很多丰富的特性,例如:dvpn报文的nat穿越、安全认证、ipsec的报文加密以及多vpn域等等。
h3c sr6600-x系列路由器还支持全面的mpls协议,支持二层、三层的vpn业务,支持mpls te等功能。能够和h3c公司其他网络产品一起组成强大的mpls网络,提供高性能、安全和多层次的mpls vpn凯时app官网首页的解决方案。
- 业务带宽的智能管理
广域网上承载着企业重要繁多的业务流量,但是由于广域网自身存在高收敛比、拥塞、延时等特征,如何在这些不足的环境下最大化利用网络带宽资源,提高系统可靠传输应用是广域网设备面临的重要课题。h3c通过多年企业网建设经验,给用户提供了一套完善的业务带宽管理机制。主要包括以下几个方面:
主备网络的带宽管理:充分利用备份网络资源,主网络资源紧张的情况下,根据事先设定好的策略,将一部分数据流量重路由到备份网络上进行数据传输,使闲置的资源可以得到充分利用达到100%使用;
ucmp非等价路由智能负载:ucmp区别于传统的ecmp,其最大特点是利用权重值来区别对待带宽的使用,使得两条不同带宽的出口,可根据带宽大小不同来承担不同的数据流量传输;
带宽预留与资源共享:网络可以为每部门划分一定独享带宽,保证关键业务质量,剩余带宽为共享带宽,超过独享带宽时使用,满足流量突发需求;
分层car提高带宽利用率:把传统一层car技术实现多级处理,通过多级处理使得带宽可重分配,业务传输带宽利用率大幅提升;
先进的分层队列调度hqos(hierarchical quality of service):随着用户规模的扩大、业务种类的增多,要求网络设备不仅能够进一步细化区分业务流量,而且还能够对多个用户、多种业务、多种流量等传输对象进行统一管理和分层调度。显然,这些应用对于传统的qos技术来说是很难实现的。hqos采用将调度队列划分为如物理级别、逻辑级别、应用或业务级别等多个调度级别,每一级别可以使用不同的特征进行流量管理,实现了多层次的流量管理,从而可以更好地帮助运营商实现多用户、多业务的服务管理。
- 全方位网络安全防护
h3c sr6600-x系列路由器内置多种安全特性,为用户的网络提供全方位安全防护:
全面的防火墙功能:支持包过滤防火墙、状态防火墙,过滤各种攻击报文,并能提供过滤日志。特有的acl加速算法,消除了acl过滤规则数目对防火墙性能的影响;
全面的内置防攻击手段:
支持各种arp防攻击技术,如:arp限速、arp的dhcpr安全认证、授权arp、arp主动确认、arp源mac一致性检查等等,可以很好地防范内网中日益猖獗的arp攻击,保证网络业务运行的稳定性;
单包攻击防范:可以对fraggle、icmp redirect、icmp unreachable、land、large icmp、route record、smurf、source route、tcp flag、tracert、winnuke等单包攻击行为进行有效防范;
扫描攻击防范:攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备;
泛洪攻击防范:有效阻止syn flood攻击、icmp flood攻击、udp flood
黑名单功能:根据报文的源ip地址进行报文过滤的一种攻击防范特性。同基于acl(access control list,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤,从而有效地将特定ip地址发送来的报文屏蔽掉;
流量统计辅助攻击防范:主要用于对内外部网络之间的会话建立情况进行统计与分析,具有一定的实时性,可帮助网络管理员及时掌握网络中各类型会话的统计值,并可作为制定攻击防范策略的一个有效依据;
支持url过滤,避免用户访问非法网站;
完备的用户行为跟踪记录:支持完善的日志功能,配合h3c公司的imc ubas(用户行为审计)凯时app官网首页的解决方案,使网络管理员可以方便监控上网用户的行为,保证网络安全运行。
- 运营级可靠性设计
h3c sr6600-x系列路由器给用户提供非常全面的可靠性保障。
首先在硬件上,采用分布式体系结构,支持双主控、冗余电源和热插拔设计;将控制平面和业务平面分离;支持某一硬件部件发生故障时自动隔离技术,避免因为某一硬件故障引起的连环故障的发生;所有业务处理引擎和接口模块都支持热插拔,并且对其它引擎或者模块不会产生影响。支持rpr(resilient packet ring,弹性分组环),可以实现50ms的快速故障保护。
其次在软件上,h3c sr6600-x系列路由器支持丰富的可靠性特性,保证网络设备运行中业务的不中断,这些软件上的可靠性特性包括:
支持 软件热补丁,实现软件平滑升级,确保软件在升级时,业务不会中断;
支持isis、bgp、ospf和ldp的nsr,保证主控板在主备切换时,数据的不间断转发;
支持 bfd、nqa等链路检测协议,确保广域链路发生故障时,上层的协议能够及时收敛,减少因链路故障导致的业务中断时间;
支持mpls te frr(快速重路由)具备快速路由备份(frb:fast routing backup)特色功能,并结合bfd功能,实现故障链路的快速切换;
支持ospf/isis的ip frr(fast reroute ,快速重路由),可以和静态路由/策略路由/rip/is-is/ospf进行联动,并可以结合bfd功能,实现故障链路的快速路由切换;
支持vrrp虚拟路由冗余协议,结合bfd故障检测机制,实现快速的vrrp倒换能力。
支持ospf/is-is/bgp/mpls ldp/mpls rsvp-te gr(graceful restart,完美重启)功能实现主备引擎倒换时不间断转发;
支持 igp路由快速收敛;
支持irf2技术为系统基石的虚拟化软件系统