企业园区网技术建议书1 - 图文

华为数据中心网络技术建议书

内部公开

华为公司全系列园区网交换机（S9300/S5300/S3300/S2300）提供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。

华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。

另外，以太网交换机的MAC地址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者通过不停的发送MAC地址来刷新，填充交换机的MAC地址表，由于MAC地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流量。

华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描，并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击（SAI/DAI功能）。

华为全系列交换机支持黑洞MAC功能，园区交换机收到报文时比较报文目的MAC地址，若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞MAC，从而将具有该MAC地址的报文过滤掉，避免遭受攻击。 4.3 园区交换机虚拟化设计

4.3.1 汇聚交换机的集群CSS(Cluster Switch Switching)

所谓集群，就是把物理的多台服务器连接在一起，对外表现为一台逻辑的服务器，提供服务。

因为企业园区网为了增加可靠性，都是双节点备份，特别适合集群技术。如下图所示：

2016-05-30

版权所有，侵权必究 第21页，共54页

华为数据中心网络技术建议书

内部公开

图11 集群组网的优势

采用集群技术，对企业园区网络，有四大优势： 1)

减化管理和配置

首先，集群后需要管理的设备节点减少一半以上。

其次，组网变得简洁，不需要配置复杂的协议，包括STP/SmartLink/VRRP等。 2)

快速的故障收敛

故障收敛时间可以控制在< 1ms, 大大降低了网络链路/节点的故障，对业务的影响。 3)

带宽利用率高

采用链路Trunk的方式，带宽利用率可以达到100％。 4)

扩容方便

2016-05-30

版权所有，侵权必究 第22页，共54页

华为数据中心网络技术建议书

内部公开

保护用户投资。随着业务的增加，当用户进行网络升级时，采用集群的方式，只需要增加新设备既可，不需要更改网络配置的情况下，平滑扩容，很好的保护了用户投资。

目前，业界有两种堆叠的方式，一种是采用业务接口堆叠，一种是采用专用的堆叠线；

图12 两种集群方式比较

华为的S93系列交换机采用堆叠线的方式，通过在主板板上插入堆叠卡，连接多台设备。如下图所示，这种方式有如下的优势：

图13 华为CSS集群技术

采用交换机网集群的方式，相比接口板集群，有如下的优势： ?

堆叠带宽高

交换机网集群一般采用专用的接口线，堆叠带宽高。

2016-05-30

版权所有，侵权必究

第23页，共54页

华为数据中心网络技术建议书

内部公开

S93系列的堆叠带宽高达128G(单向)；并且可平滑升级到200G(单向)； 相对于业界的80G（单向）的互联带宽，具有明显的优势。 ?

不占用业务槽位

S93系列采用在主控板预留的灵活插卡槽位，插入堆叠卡互联的方式，不占用接口槽位。相对于接口堆叠的方式，节省了1～2个接口槽位。 ?

可靠性高

S93系列采用堆叠线连接，实际上是对交换网的延伸。从上图可以看出，接口板堆叠方式需要经过两个堆叠接口板转发，处理复杂度增加；另外，接口板的硬件可靠性也比交换网低。

总体来看，交换网堆叠在软件和硬件方面，可靠性都高于接口堆叠的方式。

4.3.2 接入交换机的堆叠iStack

iStack堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。一个园区网用户上行的2个网络接口，对于堆叠后的设备，可以看作Trunk接口。

多台设备堆叠成一台设备后，从功能和管理方面，都可以作为一台设备来看待。

华为的iStack堆叠技术有如下的优势： ?

简化管理

堆叠设备的角色分为Master和Slave；通过对Master 设备的配置达到管理整个iStack 堆叠以及堆叠内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。 ?

简化网络运行

iStack 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。 ?

强大的网络扩展能力

通过增加成员设备，可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。 ?

2016-05-30

高可靠性

版权所有，侵权必究

第24页，共54页