来源:蜘蛛抓取(WebSpider)
时间:2018-08-27 02:40
标签:
虚拟化存储网关
新华三虚拟化安全防护,将WannaCry拒之门外
日起,全球性爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,据有关机构统计,该勒索病毒WannaCry已影响了150个多国家的20多万台电脑,在国内平均每天就有5000多台电脑遭到WannaCry病毒攻击,其爆炸性感染能力令人咋舌!虚拟化数据中心环境中,在网络边界安全设备上新增配置端口控制策略或入侵防御规则——它们虽然可以抵御外部病毒新一轮的攻击,但在内网环境中,如果有一台Windows设备中毒,它将自动成为病毒的传播源,迅速感染内网中其他Windows设备,这时网络边界安全设备形同虚设。然而据统计,超过80%的虚拟化环境没有使用虚拟化安全防护软件,这使得本次WannaCry病毒事件中,虚拟化环境成为了感染重灾区。显而易见,虚拟化环境在带来资源集中化管理便利的同时,让虚拟化安全防护愈发重要!让人惊喜的是,新华三集团的H3C CAS虚拟化平台独树一帜,其内核集成虚拟化安全防护软件Deep Security,采用无代理部署模式,简单高效地构建四大防护措施,成功防御WannaCry病毒攻击:早在5月2号,WannaCry病毒爆发前10天,Deep Security for CAS就针对微软远程代码执行漏洞[1008306 - Microsoft Windows SMB Remote CodeExecution Vulnerability (MS17-010)],发布了针对所有Windows系统的IPS策略,用户只需要对虚拟化系统做一次&建议扫描&操作,就能自动应用该策略,一键开启对所有Windows虚拟机的攻击防御,有效防护勒索软件。5月13号,Deep Security for CAS迅速跟新病毒特征库,用户只需要更新病毒库,就可以在H3C CAS虚拟化管理平台上一键开启对所有虚拟机的WannaCry病毒查杀。DeepSecurity for CAS采用基于主机的分布式防火墙,在虚拟机开机之前,通过控制台能迅速、简单、全面地为每台服务器、VM实现端口封堵,从而防止虚拟化数据中心的内部交叉感染。DeepSecurity for CAS的虚拟补丁功能,在漏洞被利用之前将其屏蔽,操作系统即使不打补丁,也能防御针对该漏洞的病毒攻击,特别在这次漏洞防护中起到重要作用。看来,病毒再强大,有了Deep Security for CAS,也不需要周末加班打补丁、拔网线了。H3C CAS 携手DeepSecurity,简单高效地构建防护措施,持续为用户打造安全可靠的虚拟化环境!使用“云彩虹”方案实现分级云资源部署和管理
云彩虹(Cloud
Rainbow)解决方案,是解决企业在多级架构下对云资源的部署与管理问题的综合性解决方案,也是H3C多产品、多技术融合的方案总称。
随着云计算在国内的发展,越来越多的政府和企业正在计划或已经开始将自己的应用迁移至云计算资源池内。但不同的企业由于受自身企业规模、IT建设成熟度、企业组织架构、业务务架构模型等因素的影响,面临的问题不尽相同,总结可分为如下三类:
中小型企业
企业分为两级组织架构,分别为总部与分支机构,总部建设有简单的数据中心,业务以总部集中处理为主,分支机构部署少量计算资源完成个性化业务,无专职的IT管理人员。业务的快速扩展带来分支机构的增多与链路的扩容。
面临的主要问题:分支机构复制带来的重复投资、广域网链路费用的增加、分支机构IT资源的难管理等问题。
企业分为三级组织架构,分别是总部、区域中心和分支机构。一般在总部已建有健全的数据中心,业务为仍以集中处理为主,但区域中心有独立部署的业务及相应的软硬件资源,有专职的管理人员或团队。
面临的主要问题:数据中心的业务弹性扩展、区域中心的业务数据备份、IT管理与业务审批的低效等问题。
集团或跨国公司
多级组织架构,IT建设较为成熟,已建有两地三中心或多地多中心,不同的数据中心侧重处理不同的业务,业务覆盖全国甚至海外,广域网带宽充足,IT信息环境复杂。
面临的主要问题:多级多中心之间的资源调度与协调、多厂商多平台之间的兼容性、多级组织架构下可编译的资源管理模式等问题。
实际上,企业云计算的建设与改造会涉及到多平台、多地域、多级资源。面临如IT投资预算、建设模式(自建或租赁)、技术储备、数据风险等更多的影响因素。如何综合考虑企业IT的各种因素并找到合适的解决方案并非易事。要想找到百分之百匹配的解决方案不现实,通常80%匹配的解决方案加上20%的二次开发与持续的技术支持,是解决企业IT多级云资源部署与管理的办法。
一、&云彩虹解决方案及其应用分类
实现企业多级云资源的部署和管理,可以打破IT资源与业务只能本地部署的局限性;通过跨区域的备份与迁移提升业务的连续性;为企业提供全局性的IT资源管理视角。H3C提出通过云彩虹(Cloud
Rainbow)解决方案帮助企业快速实现IT多级云化的建设与改造。针对企业的不同情况,云彩虹可分为五类应用场景(如图1所示)。
图1.云彩虹的5个应用场景
混合云彩虹:企业既有自建的私有云,又从第三方公有云租赁部分云资源,双方之间的资源部署与管理。
私有云彩虹:企业私有云内不同数据中心(同城或异地)之间的云资源部署与管理。
分级云彩虹:企业私有云内数据中心与区域中心之间云资源部署与管理。
内部云彩虹:企业私有云内部署多种虚拟化平台或资源池,在不同云资源间的协调与管理。
分支云彩虹:企业私有云内区域中心与小型分支机构的云计算资源的部署与管理。
企业IT信息环境不同,对云资源的部署与管理的需求也不同,云彩虹方案适用于不同企业多级云资源的部署与管理,企业应依据自身的IT信息环境,选择合适的具体的云彩虹解决方案。此外,云彩虹解决方案也支持用户需求的定制开发。
二、&多级云资源的部署与管理实践
1.&案例简介
某集团企业,在北京、广州两地建有异地灾备数据中心,其中北京建有同城灾备中心,两个数据中心采用DWDM波分设备互联,同城数据中心实现了业务双活。广州与北京两地中心采用异步复制技术实现异地灾备,与北京两个数据中心各有一条622M
POS链路连接,部分业务采用主机托管的方式租赁了第三方的计算资源。由于业务覆盖全国,因此在每个省建有分公司,省分公司设有区域数据中心,分别通过三条155M
POS连接至北京数据中心和广州灾备中心。近期已进行过扁平化架构优化,所有省内地市县机构业务上收至省分公司的数据中心,但地市县内仍有部分个性化业务无法上收,因此在在某些地市县仍有少量的服务器(如图2所示)。
图2.某集团企业网络架构
集团计划开始云计算的建设,按至底而上的建设原则,规划将分四个步骤进行:
找一家省分公司进行试点,单个区域数据中心内所有的云计算资源的部署与管理;
省分公司与北京数据中心之间、各省分公司之间云计算资源的部署与管理;
“两地三中心”之间的云计算资源的部署与管理;
企业原有部分业务采用租赁资源,现第三方公有云提供更有竞争力的价格与云计算资源,计划将业务迁移至第三方公有云内,并考虑私有云与公有云租赁资源之间的部署与管理。
2.&省分公司内部云资源的部署与管理
省分公司内部云资源与管理首先考虑的是统一管理,因为下级组织只有业务部门,基本上不会有专职的IT管理人员,此外省内下属分支机构地理分布广、数量众多,不实现集中管控对省分公司的IT管理团队来说是个巨大的挑战。其次要考虑带宽合理化利用,从地市县至省分公司区域数据中心带宽只有2~10M,带宽使用不均,上班时间高峰到90%,晚上基本空闲,通过监控流量发现每次病毒升级、补丁分发时会造成网络拥塞。最后要考虑尽量减少需要管理的分支机构IT设备,如果每个分支机构减少一台设备,几百个分支机构的减少总量对于IT管理与投资来说都是很大的效益。
方案:分支云彩虹(云点)
图3.云点逻辑架构
如图3所示,分支机构的IT设备通过整合变成云资源,统一由省分公司进行部署与管理,分支机构可以看作是省分公司的云资源扩展的一个“点”,因此也可称之为“云点”。企业在将省分公司数据中心和各分支机构的服务器虚拟化后构成企业跨地域的统一云资源平台,由省分公司数据中心内部署的云管理平台进行统一管理。企业业务由云管理平台统一推送到各分支机构,实现各分支机构的统一业务部署和管理。
利用H3C OAP (Open Application
Platform,开放应用平台)将服务器和分支路由器集成在一起,OAP插卡相当于一个小的x86架构服务器,
MSR路由器上集成的OAP插卡作为企业云计算资源平台的前端延伸。OAP插卡在出厂时已经预装了H3C
CVK(虚拟化内核平台)虚拟化计算环境,当插卡随MSR路由器启动后,即可以自动成为一个虚拟化的计算平台。一台路由器集成了计算、存储、网络资源虚拟化,进一步简化了分支机构的IT架构。
在MSR 的插卡服务器上部署了虚拟化软件,划分为多个虚拟机,将IT管理类的应用推至分支机构前端,例如Lync(Microsoft
Lync是目前大中型企业广为部署的统一通信产品)或WSUS(Windows Server Update
Services微软的服务器升级服务),将需要部署的IT类服务器打包成镜像文件,在晚上非工作时间通过云管理平台推送至分支机构的插卡服务器上,实现本地升级服务减少广域网带宽的消耗,也可以将支持分布式的业务系统或支持分支备份逃生的类似业务应用推送至分支机构前端,在分支机构至区域数据中心链路发生故障里实现本地访问,不影响本地业务的正常运营。
3.&省分公司区域中心与总部数据中心之间云资源的部署与管理
省分公司与总部数据中心之间的云资源部署与管理首先要考虑的两级平台的对接,要实现两级平台之间的IT管理与业务审批流程。其次要考虑省分公司数据中心内云资源数据的备份与恢复,最后需要考虑省分公司数据中心是云资源的弹性扩展,当本地云资源不够用时,能够灵活地将业务扩展至总部的数据中心。
方案:分级云彩虹
云资源的创建与对接
总部云管理平台为省分公司创建一个公共云资源池,为每个省分公司创建账户,将公共云资源池分配给下级云使用(包括计算、存储、网络资源等),省分公司利用已分配的账号创建外部资源池,完成省分公司与总数据中心之间的对接(如图4所示)。
图4.外部云资源的创建与对接
云资源的申请与审批
省分公司下属业务人员登录至用户自助服务门户,通过自选式的虚拟模板申请业务主机,此云业务流程审批至区域数据中心的IT管理人员,IT管理人员判定该申请是否合理、区域内数据中心云资源是否够用,如本地资源池不够用则部署至外部云资源池(即总部数据中心的公共云资源池)。
云资源的备份与恢复
考虑到省分公司的数据中心有大量业务虚拟机和数据需要灾备,总部已为省分公司创建了公共云资源池,可以通过云管理平台实现云备份与云恢复。
省分公司IT管理人员创建备份计划,指定在非工作时间段内对在线的虚拟机进行分批次的复制,第一次实施完全备份,后续实施增量备份。当省分公司数据中心服务器出现故障时,通过云管理平台指定虚拟机实施快速恢复。(如图5所示)
图5.云资源的备份与恢复
云资源的弹性扩展
在省分公司业务突增或由于特殊活动造成本地云资源匮乏时,省分公司的IT管理人员可有计划地将部分业务迁移至总部数据中心的公共资源池运行,如果是新增加的业务主机可选择直接部署于总部数据中心的公共云资源池,或者通过将已实施备份的业务主机在公共资源池解压并启动,同时关闭本地云资源池内的业务主机。通过基于智能DNS解析的GSLB(全球负载均衡设备)或者手动健康路由注入(RHI)实现访问的切换。
4.&“两地三中心”之间的云计算资源的部署与管理
“两地三中心”之间的云计算资源的部署与管理首先应区别化对待,北京两个数据中心为同城且有DWDM互连,可以采用一套云管理平台分布式架构,北京与广州距离远而且带宽不足,需采用另一套云管理平台。其次数据中心内业务环境复杂、设备品牌各异,需要考虑多虚拟化厂商、多管理平台之间的统一部署与调度。最后,总部数据中心管理的部门众多,通常审批流程长、资源部署复杂,需要可编排的管理工具对虚拟的IT资源进行管理,编排后得到的服务模板需要具有快速部署、动态调整、重复使用的能力。
方案:私有云彩虹
同城数据中心的云资源部署与管理
北京两个数据中心基础环境具备分布式双活的条件,可以在正常模式下协同工作,并行的为业务访问提供服务,实现了对资源的充分利用,避免一个或中心处于闲置状态,造成资源与投资浪费,通过资源整合,多活数据中心的服务能力往往高于主备数据中心模式。此外在一个数据中心发生故障或灾难的情况下,其他数据中心可以正常运行并对关键业务或全部业务实现接管,达到互为备份的效果,实现用户的“故障无感知”。
采用分布式双话数据中心架构,云资源的调度可以跨越两个数据中心,运维管理可以基于全局,两个数据中心间实现有机结合与资源共享,逻辑上可以视为一个全局的大数据中心。(如图6所示)
图6.同城数据中心云资源部署与管理
要实现虚拟机与数据在两个数据中心之间vMotion(迁移),两个数据中心之间必须有二层链路,如果是三层链路,则需要MAC over
IP技术支持,比如H3C的EVI技术或者思科的OTV技术,通过在IP网络上动态构建二层隧道,实现以太网VLAN的跨数据中心部署。这种技术不依赖物理层技术和数据链路层技术,只要网络层IP可达,则VLAN就可顺势扩展。
当一个数据中心里的业务虚拟机资源利用率达到阀值时,可以利用H3C的DRX(动态资源扩展)技术(如图7所示),快速克隆出多个虚拟机并向前端负载均衡设备主动注册,克隆出来的虚拟机可以位于本地或另一个数据中心内,实现两个数据中心云资源的灵活调度,当业务虚拟机利用率落至指定的阀值时,可自动删除虚拟机实现资源回收。
图7.DRX(动态资源扩展)
异地数据中心云资源部署与管理
北京与广州之间采用两套独立的云管理平台,实现灾难发生时最少宕机时间灾难恢复。由于北京与广州的网络延迟超过了虚拟机vMotion的限制,因此中心之间不会做任何迁移。两个云管理平台负责管理本中心内的云资源。(如图8所示)
图8.异地数据中心云资源部署与管理
日常部署中,广州与北京数据中心之间通过云管理平台将虚拟机执行预定备份计划,通过调用存储复制软件实现数据远程复制。当灾难发生时,由云管理平台启动执行灾难恢复计划,按流程化逐步实现备份业务虚拟机启动或接管、存储切换、网络路由优化、主机DNS解析、用户访问切换等,以自动化的流程替代手工操作,减少灾难恢复的时间与手工操作出错的概率。
方案:内部云彩虹
企业总部数据中心由于业务部署的需要存在多虚拟化平台的环境时,各虚拟化平台之间的云资源需要通过一个云管理平台实现相互调用,将各虚拟化厂商虚拟机与网络的感知与连接统一实现国际IEEE组织的标准802.1QBG(VEPA),完成各虚拟机格式的转换与部署,实现统一云管理平台对各虚拟化厂家虚拟机的部署、管理与监控。H3C是通过CAS平台完成对VMware、XEN、Hyper-V的管理。
为简化总部数据中心的IT云资源管理,通过云管理平台内业务编排工具对IT虚拟化云资源进行业务编排,生成用户业务需要的IT资源,如虚拟服务器、虚拟存储、虚拟网络、虚拟网线、虚拟路由器、虚拟防火墙、虚拟负载均衡设备等。在云资源管理平台中,IT资源是以服务目录的形式向外发布,服务目录是由各种已发布的服务模板组成的目录,通过服务目录可以解决IT资源作为服务的供给问题,用户可以通过服务目录浏览、申请自己需要的服务(如图9所示)。
图9.多级组织架构下的业务编排
通过云管理平台中的业务编排工具,结合云管理平台的服务目录,用户不但可以自助申请一台虚拟机,也可以自助申请一个虚拟数据中心,这样既减轻了总部IT管理人员的工作量,也提高了IT资源的使用效率和交付速度。
5.&私有云与公有云租赁资源之间的部署与管理
随着公有云建设的日渐完善,北京总部数据中心部分原租赁业务计划重新部署至第三方公用云平台。私有云与公有云之间云资源的部署与管理,首先考虑公有云管理平台与私有云管理平台的对接,其次需要对部署在公有云的业务虚拟机进行远程备份与恢复。最后需要考虑公有云与企业私有云采用的虚拟化平台不统一,需要实现两个虚拟化平台之间的格式转换与资源调度。
方案:混合云彩虹
企业计划将业务虚拟机部署至公有云资源池内,仍需要对业务虚拟机进行管理与维护,由于公有云采用的管理平台多为OpenStack类似开源环境,需要企业的云管理平台对其开放的API接口做二次开发,以实现企业私有云的云管理平台能够通过调用公有云提供的API接口完成虚拟机的部分管理与维护功能。对于部署于公有云内的业务虚拟机,通过云管理平台创建备份计划,并使用压缩技术定期将虚拟机备份至企业私有云内,在故障发生时,可以通过云管理平台执行快速故障恢复。
当准备部署至公有云的业务虚拟机计划上线时,可将新的业务在私有云内先行安装测试,测试完成后通过云管理平台内的工具转换成公有云虚拟化格式,发布至公有云资源池内。当部署于公有云的业务虚拟机需要撤回至私有云内时,也需要云管理平台支持相同的功能(如图10所示)。
图10. 私有云与公有云的云资源部署与管理
三、&结束语
传统企业IT信息环境中,跨数据中心、跨地域的业务部署与管理一直是个难题,云计算的出现对这一难题带来技术上的可行性,目前国内大部分云计算建设都还处于单个数据中心内,对于跨数据中心、跨地域的云资源的部署与管理需求,将会随着云计算的快速发展而逐渐呈现。分级云资源的部署与管理,涉及到IT信息环境的网络、计算、存储、虚拟化、云管理平台等多个子系统,对相应的解决方案提供商来说,不仅要融合IaaS整个基础架构,还需要对企业的业务环境有深入的了解,才能契合企业的云计算演进之路。
H3C云彩虹解决方案包含的软件、硬件与服务:
云就绪网络:包括H3C
12500-X、1V2、5100HI、IMC管理软件等产品,具备IRF2(智能弹性架构)、VCF(纵向虚拟化)、VEPA(802.1QBG)、MDC(设备1:N虚拟化)、EVI(跨站点二层连接)、TRILL、FCoE等云计算特性。
云服务器:包括R390(二路)、R590(四路)机架式服务器,B390(二路)、B590(四路)刀片服务器,C8000刀箱(支持16个半高刀片或8个全高刀片)。具备iLO智能管理引擎、VC(Virtual
Connect)、FlexNet网卡等技术特性。
云存储:包括P5700系列iSCSI、FC等存储产品,具备跨站点同步/异步部署,精简配置、存储聚合等技术特性。
虚拟化软件:支持802.1QBG的虚拟化平台,支持VEPA、DRX(动态资源扩展)等云网融合的特性。
云管理平台:支持portal、openStack API、业务审批、跨平台管理,自动化业务编排等特性。
云服务:原厂集成服务与定制化服务,本地化的研发与技术支持,国内权威的认证培训。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。现在位置:
&3684&篇文章H3C SR6600-F系列业务承载路由器
H3C SR6600-F系列产品(以下简称SR6600-F)是H3C基于高端路由器平台自主研发的业务承载路由器。SR6600-F提供丰富的业务和可靠的服务质量,为用户搭建宽带化、多业务、智能化IP/MPLS的承载网络。随着数据业务成为移动网络承载主体,分组化的移动承载网已经成为一种不可逆转的大趋势。移动回传网络IP化,要传承传统TDM/MSTP高可靠易管理优势,同时也要面向未来,满足LTE/LTE Advance网络大数据流量要求和精细化流量管理要求。用户对综合业务路由器设备的要求越来越高,除了高性能和大容量之外,还要求虚拟化网络时能够汇聚更多用户和业务流量,并针对各种基于用户的数据流进行精细化区分和QoS保障,确保网络互连时的安全性、可靠性。H3C SR6600-F系列综合业务路由器有针对性地解决了上述问题。H3C SR6600-F采用全业务分布式处理架构,业务全部内置无需另外购置业务板卡,同时具备弹性可扩展业务处理能力,并采用自主研发的集路由转发与业务处理于一体的Apollo硬件芯片内核,实现高性能业务线速转发。支持1588v2时间同步、以太网时钟同步以及多种线路保护技术,满足运营商组网需求;与此同时,SR6600-F还创新的以IRF2技术为基础,实现了广域网汇聚虚拟化,在降低运维、管理成本的同时,大幅提高网络可靠性。H3C SR6600-F系列产品定位于100G平台,适用于在IP骨干网、IP城域网以及其他各种大型IP网络的边缘位置以及移动承载网络汇聚层,充分满足当前乃至未来移动承载业务发展的高标准要求,是用户移动承载网的首选产品。SR6600-F配合H3C全系列网络产品可以为运营商提供全方位网络解决方案。H3C SR6600-F包含SR6603-F、SR6605-F和SR6609-F三款全分布式产品,软件上采用H3C成熟商用的Comware V7操作系统,硬件上支持基于Apollo高速业务处理内核的CFIP-610、强业务灵活线卡CFIP-310/300,在保证高性能和灵活配置的前提下,最大化降低用户投资成本,充分满足不同组网需求。
H3C SR6609-F
H3C SR6605-F
H3C SR6603-F
以下内容较复杂,建议在PC上浏览。
在PC浏览器上输入c.h3c.com.cn,按页面操作,即可同步到PC上继续浏览。
继续手机浏览
新一代网络操作系统 SR6600-F控制平面采用多核及SMP(Symmetrical Multi-Processing对称多处理)技术,先进的操作系统Comware V7,各软件模块有独立进程和运行空间、可以做到动态加载、单独升级,这种精细化的管理更利于系统整体的稳定和性能。 Comware V7能够保证关键业务性能及实时性。支持将指定进程集合运行在专用的CPU Set上,从而为关键任务的运行提供更优的资源保障。同时,配合线程的抢先调度、合理的优先级设置等手段,保证系统CPU负荷高时,有实时性要求的功能仍然可以及时响应事件进行处理。 Comware V7支持分布式计算。全局协议如MPLS、BGP等协议模块,可以运行于指定的主控CPU系统,将各全局服务的主程序分布到不同的主控系统,可以有效的分担各CPU的压力,提高系统的整体性能。一个全局服务可以通过进一步拆分子功能,将子功能分布到不同主控CPU系统运行,实现一个全局服务的分布式计算。先进的全业务分布式处理架构 H3C SR6600-F系列路由器采用了先进的全业务分布式处理架构,路由引擎、业务引擎和转发引擎硬件分离,控制平面和业务平面分离,确保系统全速运行时业务和控制互不干扰,主备倒换时业务不中断;支持独立的交换网板;所有业务(比如隧道业务、NAT地址转换、网流分析、报文加密等)无需额外增加任何业务板卡直接在设备支持的线卡上高速处理,业务处理能力随着线卡的增加线性增长,与传统的高端路由器在业务处理上依赖专用单板相比,不但消除了专用业务单板的带宽瓶颈,而且降低了用户的总拥有成本。自主研发Apollo硬件内核 伴随着云计算业务的兴起,网络用户的激增以及网络业务不断的丰富与发展,网络架构发生根本性的变化,边缘汇聚设备面临着业务性能提升的新挑战,商用ASIC芯片和网络处理器已无法满足当前行业网络和运营商网络的需求。H3C公司凭借在路由器领域十几年的专业经验积累,历时四年之久,专门针对高端路由器业务模型特点,精心打造集路由转发与业务处理于一体的Apollo专业通信处理硬件内核,充分满足用户高性能业务处理需求。此外, Apollo硬件内核的组播复制单元与交换矩阵的组播复制配合,使路由器形成上行组播复制、交换网组播复制、下行组播复制的三级组播复制架构,分级精细化的组播复制架构避免了语音、视频等业务在组播情况下多余复制的带宽占用浪费,从而保证了组播业务的流畅运行。Apollo硬件内核助力多种业务承载
随着运营商承载网业务日趋宽带化和业务的多样化,H3C适时的推出的搭配Apollo硬件内核的SR6600-F系列路由器,更加适应3G基站回传业务承载、LTE阶段的高带宽通信等运营商传统业务需求;同时,面对日趋兴起的IPTV业务,SR6600-F拥有强大的带宽扩展能力,可以提供业务的客户体验并简化运营成本;另外,对于高价值的企业和政府用户业务,不仅可以提供高效的带宽,还可以保证用户信息的传输的安全。SR6600-F不仅可以满足带宽扩展和多业务融合承载的需求,可以更充分满足综合业务的承载需求,提升运营商的综合运营能力,是运营商理想的运营商级承载网平台。精细服务质量(QoS)保障能力
移动回传网络IP化后,并随着用户规模的扩大、业务种类的增多,要求网络设备不仅能够进一步细化区分业务流量,而且还能够对多个用户、多种业务、多种流量等传输对象进行统一管理和分层调度。SR6600-F支持先进的分层队列调度HQoS(Hierarchical Quality of Service):HQoS采用将调度队列划分为如物理级别、逻辑级别、应用或业务级别等多个调度级别,每一级别可以使用不同的特征进行流量管理,实现了多层次的流量管理,从而可以更好地帮助运营商实现多用户、多业务的服务管理。从而,可以使运营商为移动用户提供更加优质的服务。高精度时间同步方案1588v2
H3C为运营商提供了高精度的1588v2时间同步方案。传统的链路是采用NTP传送方式,但NTP已经不能满足运营商对高精度所需ns级的时间同步需求。在运营商组网里,1588v2有着明显的优势,其采用双向信道,精度为ns级,费用低,能适应不同的接入环境。在对精度不断要求提高的行业背景下,1588已成为一种发展的必然趋势。支持新一代高端路由线卡CFIP-610 新一代高端路由灵活接口平台CFIP-610是H3C研发的高端线卡,硬件内核性能强劲,采用最新的网络多核处理器以及自主研发的Apollo专业高速通信处理芯片内核,支持IPv4、IPv6、MPLS、VPLS、组播等业务20Gbps的业务叠加线速处理能力,支持层次化服务质量保证(H-QoS),可以实现基于端口、用户组、用户及用户业务的多级调度机制;支持先进的队列调度、拥塞避免、流量监管、流量整形、优先级标记等功能,可保证不同业务的带宽、时延和抖动,满足不同用户、不同业务等级的“区分服务”;提供1GB的强大包缓存能力,可解决网络突发流量引起的丢包问题,为语音视频等不断增长的多媒体业务提供可靠保障。支持强业务灵活线卡CFIP-310/300 CFIP-310/300是H3C公司为专注业务性能要求的客户定制开发,强劲的网络多核处理器,针对性的业务开发加速,使得IPSec、L2TP、NAT以及ASPF(状态防火墙)等会话业务的性能在CFIP-310/300上大幅提升;同时,业务网络在叠加URPF、ACL、Netstream等业务后,性能也依然强劲。此外,CFIP-310/300线卡在提升业务性能的同时,增加固定WAN三层以太网口的种类和密度(CFIP-300支持12个固定GE,CFIP-310支持4个固定GE和2个固定万兆SFP+)。丰富的固定以太网口以及多样化的HIM高性能接口模块,为网络提供高性价比的线卡;专注的强业务性能为网络业务提供高效率。
H3C SR6600-F系列路由器支持400万的大容量路由表项,同时支持丰富的路由策略和强大的策略路由功能,可对网络流量进行灵活的控制和调度,满足行业和运营商用户不同业务特性要求。此外,H3C SR6600-F系列路由器还全面支持基于IPv4/IPv6静态路由和动态路由协议,如:RIP/RIPng、OSPF/OSPF v3、IS-IS/IS-IS v6、BGP/BGP4+等。支持广域网IRF2虚拟化 传统广域网连接为了高可靠性往往采用双线路、双机备份的方式,虽然可靠性得到增强但是线路和设备利用率不高,维护管理复杂。H3C根据未来云计算网络的虚拟化要求,率先在广域网设备上支持IRF2(第二代智能弹性架构)技术,将物理上两台设备虚拟化成一台逻辑设备,极大的降低了用户网络的运维成本,提升链路带宽利用率以及设备的使用率。H3C SR6600-F系列路由器支持广域网IRF2技术之后将为用户提供更丰富的业务能力: 通过分布式跨设备链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的可靠性和链路资源的利用率,且在跨设备聚合链路上支持丰富的业务,如QoS、网流分析、NAT转换、数据加密等; 多台SR6600-F设备通过IRF2技术虚拟为一台逻辑设备,共用一个管理通道,简化网络设备管理,简化网络拓扑管理,提高运营效率,降低维护成本; 通过专利的路由热备份技术,在整个虚拟架构内实现控制平面和数据平面所有信息的实时备份和无间断的三层转发,极大的增强了虚拟架构的可靠性和高性能,同时消除了单点故障,避免了业务中断。支持一虚多的MDC虚拟化 SR6600-F不仅支持横向虚拟化IRF2技术,支持虚拟路由器MDC技术。MDC技术可以把一台SR6600-F通过软件虚拟化成多台逻辑网络设备,硬件上虚拟设备享有独立的CPU、内存、板卡等资源,软件上虚拟设备享有独立的控制平面、数据平面和管理平面,虚拟路由器之间相互独立、互不影响,为用户提供弹性扩展的租用逻辑网络。云间安全传输 当用户存在多个数据中心间互联时,可以采用大二层网络完成需求。数据中心之间的数据传输要求具备很高的安全性,通过将二层VPLS报文单纯的GRE封装之后明文传输仍无法满足高安全的要求,为了提高GRE隧道中数据安全级别,建议在GRE隧道上配置IPSec隧道,保证GRE隧道内传输的报文可以受到IPSec加密保护。基于上述功能,用户通过SR6600-F系列路由器融合高端设备的业务性能、广域网IRF2以及高性能加密技术可以实现安全可靠的数据中心二层互联需求。 H3C SR6600-F系列路由器创新的支持了以太网虚拟化互联(EVI)技术来完成数据中心二层互联需求。EVI解决方案非常简单,成本低廉,只需要在站点边缘部署一个或多个支持EVI功能的设备,且企业网络和服务提供商网络无需做任何变动;同时,EVI解决方案还提供了对数据进行加密IPsec技术的组合解决方案,来提高数据中心数据在公用网络上传输的安全性。丰富的专业VPN特性 H3C SR6600-F系列路由器支持全面的L2TP、IPSec以及GRE隧道技术,在硬件上支持独立的硬件加密内核,在不增加用户投资的前提下可提供高性能的加密能力以及超大的隧道容量可以满足各种大型加密网关的要求,保证用户数据在广域网的传输安全。 此外,传统VPN技术在灵活性和可维护性上还存在着不足,例如企业分支机构通常采用公共网络的动态地址接入企业内部,企业核心接入设备无法事先知道对端公网地址,以及当企业各个分支全连接时需要配置的连接的问题等等。H3C针对上述用户业务需求,提供专业ADVPN(Auto Discovery Virtual Private Network,自动发现虚拟专用网络)解决方案:通过VAM(VPN Address Management,VPN地址管理)协议收集、维护和分发动态变化的公网地址等信息,解决无法事先获得通信对端公网地址的问题。ADVPN可以在企业网各分支机构使用动态地址接入公网的情况下,在各分支机构间自动建立隧道进行传输。不但提高了组网的灵活性而且降低了维护工作量,此外还提供很多丰富的特性,例如:ADVPN报文的NAT穿越、安全认证、IPSec的报文加密以及多VPN域等等。 H3C SR6600-F系列路由器还支持全面的MPLS协议,支持二层、三层的VPN业务,支持MPLS TE等功能。能够和H3C公司其他网络产品一起组成强大的MPLS网络,提供高性能、安全和多层次的MPLS VPN解决方案。 H3C SR6600-F系列路由器内置多种安全特性,为用户的网络提供全方位安全防护: 全面的防火墙功能:支持包过滤防火墙、状态防火墙,过滤各种攻击报文,并能提供过滤日志。特有的ACL加速算法,消除了ACL过滤规则数目对防火墙性能的影响; 全面的内置防攻击手段: 支持各种ARP防攻击技术,如:ARP限速、ARP Proxy、授权ARP、ARP主动确认、ARP源MAC一致性检查等等,可以很好地防范内网中日益猖獗的ARP攻击,保证网络业务运行的稳定性; 单包攻击防范:可以对Fraggle、ICMP Redirect、ICMP Unreachable、LAND、Large ICMP、Route Record、Smurf、Source Route、TCP Flag、Tracert、WinNuke等单包攻击行为进行有效防范; 扫描攻击防范:攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备; 泛洪攻击防范:有效阻止SYN Flood攻击、ICMP Flood攻击、UDP Flood 黑名单功能:根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL(Access Control List,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉; 流量统计辅助攻击防范:主要用于对内外部网络之间的会话建立情况进行统计与分析,具有一定的实时性,可帮助网络管理员及时掌握网络中各类型会话的统计值,并可作为制定攻击防范策略的一个有效依据; 完备的用户行为跟踪记录:支持完善的日志功能,配合H3C公司的iMC UBAS(用户行为审计)解决方案,使网络管理员可以方便监控上网用户的行为,保证网络安全运行。 广域网上承载着企业重要繁多的业务流量,但是由于广域网自身存在高收敛比、拥塞、延时等特征,如何在这些不足的环境下最大化利用网络带宽资源,提高系统可靠传输应用是广域网设备面临的重要课题。H3C通过多年企业网建设经验,给用户提供了一套完善的业务带宽管理机制。 主要包括以下几个方面: 主备网络的带宽管理:充分利用备份网络资源,主网络资源紧张的情况下,根据事先设定好的策略,将一部分数据流量重路由到备份网络上进行数据传输,使闲置的资源可以得到充分利用达到100%使用; 带宽预留与资源共享:网络可以为每部门划分一定独享带宽,保证关键业务质量,剩余带宽为共享带宽,超过独享带宽时使用,满足流量突发需求; 分层CAR提高带宽利用率:把传统一层CAR技术实现多级处理,通过多级处理使得带宽可重分配,业务传输带宽利用率大幅提升; 智能过载流量调度:与传统的流量调度方式不同,智能过载流量调度,可以在高质量出口带宽被完全占满的情况下,把过载部分流量引导到其他出口路径,这样客户可以充分利用高质量的出口,从而保证客户业务的稳定性; 先进的分层队列调度HQoS(Hierarchical Quality of Service):随着用户规模的扩大、业务种类的增多,要求网络设备不仅能够进一步细化区分业务流量,而且还能够对多个用户、多种业务、多种流量等传输对象进行统一管理和分层调度。显然,这些应用对于传统的QoS技术来说是很难实现的。HQoS采用将调度队列划分为如物理级别、逻辑级别、应用或业务级别等多个调度级别,每一级别可以使用不同的特征进行流量管理,实现了多层次的流量管理,从而可以更好地帮助运营商实现多用户、多业务的服务管理。可靠性设计 H3C SR6600-F系列路由器给用户提供非常全面的可靠性保障。 首先在硬件上,采用分布式体系结构,支持双主控、冗余电源和热插拔设计;将控制平面和业务平面分离;支持某一硬件部件发生故障时自动隔离技术,避免因为某一硬件故障引起的连环故障的发生;所有业务处理引擎和接口模块都支持热插拔,并且对其它引擎或者模块不会产生影响。 其次在软件上,H3C SR6600-F系列路由器支持丰富的可靠性特性,保证网络设备运行中业务的不中断,这些软件上的可靠性特性包括: 支持软件热补丁,支持ISSU,实现软件平滑升级,确保软件在升级时,业务不会中断; 支持ISIS、BGP、OSPF和LDP的NSR,保证主控板在主备切换时,数据的不间断转发; 支持 BFD、NQA等链路检测协议,确保广域链路发生故障时,上层的协议能够及时收敛,减少因链路故障导致的业务中断时间; 支持MPLS TE FRR(快速重路由)具备快速路由备份(FRB:Fast Routing Backup)特色功能,并结合BFD功能,实现故障链路的快速切换; 支持OSPF/ISIS的IP FRR(Fast ReRoute ,快速重路由),可以和静态路由/策略路由/RIP/IS-IS/OSPF进行联动,并可以结合BFD功能,实现故障链路的快速路由切换; 支持VRRP虚拟路由冗余协议,结合BFD故障检测机制,实现快速的VRRP倒换能力。 支持OSPF/IS-IS/BGP/MPLS LDP/MPLS RSVP-TE GR(Graceful Restart,完美重启)功能实现主备引擎倒换时不间断转发; 支持VPN FRR,实现VPN内的快速切换; 支持 IGP路由快速收敛; 支持IRF2技术为系统基石的虚拟化软件系统; 支持EAA嵌入式自动化架构。
属性 SR6603-FSR6605-FSR6609-F结构一体化机箱,可安装于标准19英寸机架内,业务分布式处理架构主控板槽位数2(1+1冗余备份)2(1+1冗余备份)2(1+1冗余备份)业务板槽位数量248业务槽位数81632交换架构1+1冗余备份2+1冗余备份2+1冗余备份支持独立交换网板交换容量8.64Tbps14.4Tbps25.92Tbps整机包转发率720Mpps1440Mpps2880Mpps电源双电源,“1+1”备份支持智能电源管理双电源,“1+1”备份支持智能电源管理四电源,可配置多种灵活的电源备份方案,支持智能电源管理交流输入额定范围:100~240V 50/60Hz直流输入额定范围:-48~-60V整机最大功耗521W851W1816W外形尺寸(W×D×H)436mm×480mm×220mm436mm×480mm×308mm436mm×480mm×886mm满配置重量39.1kg50.8kg101.95kg工作环境温度0℃~45℃工作环境湿度5%~95%,无冷凝工作海拔高度-60m~5000mEMCFCC Part 15 (CFR 47) CLASS AICES-003 CLASS AVCCI-3 CLASS AVCCI-4 CLASS ACISPR 22 CLASS AEN 55022 CLASS AAS/NZS CISPR22 CLASS ACISPR 24EN 55024EN EN EN ETSI EN 300 386EN 301 489-1EN 301 489-17安规UL 60950-1CAN/CSA C22.2 No 60950-1IEC 60950-1EN AS/NZS 60950EN 60825-1EN 60825-2FDA 21 CFR Subchapter JGB 4943二层协议ARP:动态和静态ARP、代理ARP、免费ARP以太网、子接口VLANPPPoE ServerPPP、软件MP、硬件MPHDLCATM:IPoA、PPPoA Server、IPoEoA、PPPoEoA ServerQinQ终结STP端口镜像IP服务TCP、UDP、IP Option、IP unnumber策略路由三层以太网接口捆绑POS接口捆绑IP路由静态路由动态路由协议:RIPv1/v2、OSPFv2、BGP、IS-IS路由迭代路由策略ECMP(等价多路径)UCMP(非平衡链路负载均衡)BGP GTSMISIS MTR(多拓扑路由)IPv4组播IGMPv1/v2/v3PIM-DM、PIM-SM、PIM-SSMMSDPMBGP组播静态路由组播主机跟踪功能IP应用DHCP Server/Relay/ClientDNS ClientNTP Server/ClientTelnet Server/ClientTFTP ClientFTP Server/ClientUDP HelperIPv6基本功能:IPv6 ND、IPv6 PMTU、双栈转发、IPv6 ACL、DHCPv6 Server/ProxyIPv6隧道技术:IPv6手动隧道、IPv6-over-IPv4 、GRE隧道、IPv4兼容IPv6自动隧道、6to4隧道、ISATAP隧道、6PE6VPE(IPv6 MPLS L3VPN)NATPT静态路由动态路由协议:RIPng,OSPFv3,IS-ISv6,BGP4+IPv6组播协议:MLDv1/v2、PIM6-DM、PIM6-SM、PIM6-SSMQoS流分类:基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等流量监管:CAR限速,粒度可配基于目的地址或者源地址的限速(支持网段限速)GTS流量整形优先级Mark/Remark各种队列调度机制 :FIFO、PQ、CQ、WFQ、RTPQ、CBWFQ拥塞避免算法:Tail-Drop、WRED LR速率限制MPLS QoSIPv6 QoS层次化QoS(H-QoS)QPPB(QoS Policy Propagation on BGP)安全特性ACL访问控制列表ACL加速基于时间的访问控制包过滤防火墙状态防火墙ASPF本机TCP防攻击控制平面限速虚拟分片重组URPFWeb过滤用户分级管理和口令保护AAA认证、授权、计费RADIUS TACACSPortal认证(支持与EAD联动和Portal逃生)PKI证书SSH 1.5/2.0RSAIPSec、IPSec多实例、IKEBGP/BGP4+支持GTSMPassword Control攻击检测及防范IP业务特性NAT、NAT多实例、VPN NAT、NAT日志连接数限制GRE隧道(支持点到多点应用)IPSec隧道L2TP隧道NetStream支持 v5/v8/v9报文格式、支持IPv4/IPv6/MPLS报文统计SFlowSSL VPNADVPN(Auto Discovery VPN)GDVPN(Group Domain VPN)支持EVIMPLSL3VPN:跨域MPLS VPN(Option1/2/3)、嵌套MPLS VPN、分层PE(HoPE)、CE双归属、MCE、多角色主机等L2VPN:VPLS、Martini、Kompella、CCC和SVC方式VPLS/H-VPLSMPLS TE、RSVP TE组播VPNMPLS L2PN接入MPLS L3VPN可靠性关键部件主控板、交换网、电源均支持1+1冗余备份VRRP /VRRP v3 虚拟路由冗余协议VRRPE(VRRP增强)MPLS TE FRR(Fast ReRoute,快速重路由)IP FRR(Fast ReRoute,快速重路由):静态路由/策略路由/RIP/IS-IS/OSPF支持VPN FRRIGP路由快速收敛BFD:Static Route/RIP/OSPF/ISIS/BGP/VRRP/TE FRR/IPv6支持ISSU支持IRF2GR:OSFP/BGP/IS-IS/ LDP/RSVPNSR:IS-IS/BGP/OSPF/LDP支持EAA以太网OAM(Operations, Administration and Maintenance,操作、管理和维护)软件热补丁支持主备倒换,支持主控板、线卡板及接口模块、电源、风扇框的热插拔管理与维护通过命令行配置通过Console口进行配置通过以太网端口利用Telnet进行配置、远程维护通过SNMP进行配置和管理(SNMP v1/v2c/v3)支持RMON( 1,2,3,9组MIB)支持系统日志支持分级告警Ping、TracertNQA:支持网络质量分析,支持与VRRP、策略路由、静态路由联动风扇状态检测、维护和告警电源状态检测、维护和告警CF卡状态检测、维护环境温度变化检测、告警文件系统支持FAT格式的文件系统支持CF卡支持USB外接存储设备加载与升级通过XModem协议实现加载升级通过FTP、TFTP实现加载升级
IP RAN业务承载网典型应用本组网是H3C SR6600-F系列路由器IP RAN业务承载网方案典型组网应用。H3C SR6600-F系列路由器能够提供MPLS TE、三层VPN、二层VPN等功能,最大限度的满足运营商IP RAN的业务需求。H3C SR6600-F系列路由器IP RAN组网方案的优势在于: 标准化程度高,兼容性强,能够兼容所有的IP网络; 满足运营商业务带宽需求增长迅速; 通过精细化的QoS技术,提高了业务的服务质量,提升客户满意度; 通过BFD、OAM和多种类型的保护技术,有效的缩短了故障恢复时间,增强了网络的可靠性; 提供了高可靠的1588v2时间同步方案满足运营商对高精度所需ns级的时间同步需求。H3C SR6600-F IP RAN业务承载典型应用组网图数据中心EVI安全传输典型应用本组网是H3C SR6600-F系列路由器在运营商数据中心EVI安全传输方案典型组网应用。H3C SR6600-F系列路由器能够提供EVI(Ethernet Virtual Interconnect,以太网虚拟化互联)解决方案,最大限度的满足数据中心互连的业务需求;通过IRF2实现EVI网关的冗余备份,提高HA。H3C SR6600-F系列路由器EVI组网方案的优势在于: 标准化程度高,兼容性强,能够兼容所有的IP网络; IPSec加密传输,安全级别高;;;; 通过IRF虚拟化技术使云间传输设备规模减少,极大降低运维成本,并且站点边缘设备上的配置简单。H3C SR6600-F数据中心EVI安全传输典型应用组网图
型号描述主机H3C SR6603-F 路由器机框H3C SR6605-F 路由器机框H3C SR6609-F 路由器机框附件H3C SR6604-X 风扇框模块H3C SR6608-X 风扇框模块H3C SR6616-X 风扇框模块主控板和网板主控单元CRSE-X3(2G DDR3/1AUX/1CON/1GE Mgt/1CF/1USB/1588)SR6600-F CSFE-X1 交换网板业务处理板灵活接口平台C240,4 HIM 插槽,2端口GE Combo灵活接口平台C300,1 HIM 插槽,12端口GE Combo灵活接口平台C310,1 HIM 插槽,2端口万兆SFP+,4端口GE Combo灵活接口平台C610,2 HIM 插槽,2端口GE Combo业务汇聚模块CSAP 4端口万兆以太网光接口模块(SFP+)电源H3C PSR650A 交流电源模块,650WH3C PSR650D 直流电源模块,650WH3C PSR1200A 交流电源模块,1200WH3C PSR1200D 直流电源模块,1200W以太网子卡1端口万兆以太网光接口卡(XFP)2端口万兆以太网光接口模块(SFP+)16端口千兆以太网光接口模块(SFP)8端口千兆以太网电口接口模块8端口千兆以太网光口接口模块(SFP)4端口千兆以太网电口接口模块4端口千兆以太网光接口模块(SFP)8端口百兆以太网电接口模块2端口10/100/1000M Base-T电口(RJ45)模块CPOS子卡2端口OC-3/STM-1通道化E1/T1 POS接口模块(SFP)1端口OC-3/STM-1通道化E1/T1 POS接口模块(SFP)1端口OC-48/STM-16通道化POS接口模块(SFP,LC)POS子卡4端口OC-3c/STM-1c或2端口OC-12c/STM-4c POS接口模块(SFP)2端口OC-3c/STM-1c或1端口OC-12c/STM-4c POS接口模块(SFP)1端口OC-48/STM-16 POS接口模块(SFP)1端口OC-192/STM-48 POS接口模块(XFP)ATM子卡2端口OC-3c/STM-1c ATM接口模块(SFP)1端口OC-3c/STM-1c ATM接口模块(SFP)混合子卡8端口OC-3c/OC-12c POS或GE光接口模块(SFP)4端口GE光接口+4端口OC-3c POS接口模块(SFP)同/异步子卡2路增强型同/异步接口模块4路增强型同/异步接口模块8路增强型同/异步接口模块E1/E1-F子卡8端口E1/CE1/PRI 接口模块(75ohm)8端口非通道化E1接口模块(75ohm)
需要技术帮助?
如果您需要更多更准确的技术帮助
H3C 为您服务
产品和解决方案售前咨询方式:
400-810-0504 转 1
