DR102003NE5000E80E40E产品特性描述ISSUE.ppt

Page1,修订记录,本页不打印,NE5000E80E40E产品 特性描述,Page3,前 言,NE5000E/80E/40E系列产品是华为技术有限公司自主开发的高端路由器产品，提供高带宽、高处理性能、丰富的接口类型和业务类型。本课程主要介绍产品高可靠性、QoS、MPLS VPN、组播、安全、IPv6、网管、组网。,Page4,培训目标,学完本课程后，您应该能： 了解NE5000E/80E/40E路由器的高可靠性 了解NE5000E/80E/40E路由器的MPLS和QoS特性等 了解NE5000E/80E/40E路由器的特性在现网中应用,Page5,目 录,VRP操作系统平台 可靠性 QoS MPLS VPN 组播 安全 IPv6 网管 组网应用,Page6,目 录,VRP操作系统平台 可靠性 QoS MPLS VPN 组播 安全 IPv6 网管 组网应用,Page7,NE5000E/80E/40E路由器的操作系统,VRP Core,VRP Shell,Product Code,VRP核心 独立于产品 路由/ TCP IP栈/ MPLS / MPLS VPN,VRP shell 部分依赖产品 链路层。,产品代码 与产品相关 驱动/ 设备管理/转发。,Page8,VRP控制平台,Page9,VRP结构设计采用业界先进的组件化技术,系统结构高度模块化 组件可单个升级，不影响系统的其他组件 系统维护更容易，业务扩展更平滑,BGP组件示例,BGP核心,BGP for IPv4 组件,BGP for IPv6 组件,BGP for IPv4 VPN组件,Shell,接口,Ha,Cfg,Func,Ha,Cfg,Func,Ha,Func,Cfg,Page10,在线补丁技术,代码段,代码段,原始 代码段,代码段,代码段,代码段,正常程序,补丁代码区,用增强型补丁代码段 替换原始代码段,补丁 代码,在线加载,优化 代码段,在线补丁技术提供了灵活的业务增强和缺陷修改的手段，保证了网络业务的可靠持续提供,Page11,路由特性,PFE,Searching Engine,采用TCAM查表技术，每秒查表超过25Mpps/10G接口,采用高性能CPU和大容量内存,计算速度和容量都大幅提升,采用NP处理IP转发，实现各种IP路由和业务特性,策略路由 静态路由 RIP、OSPF、IS-IS、BGP4 路由策略 路由迭代,基本路由特性,路由快速收敛 路由波动抑制 路由协议平稳重启GR 路由协议多进程/多实例 IS-IS协议L2路由向L1的泄露 IS-IS宽度量 BGP的扩展：for IPv6、for IPv4/IPv6 VPN、for Multicast、for L2 VPN、for QPPB等 多路径负载分担,增强路由特性,Page12,目 录,VRP操作系统平台 可靠性 QoS MPLS VPN 组播 安全 IPv6 网管 组网应用,Page13,全方位的可靠性技术,双主控 多交换网,冗余备份,NSF,BFD,Grace Restart,快速链路故障检测,路由优化,路由快速收敛 弱策略路由 ECMP IP TRUNK,FRR,IP FRR TE FRR LDP FRR VPN FRR,设备级可靠性 99.999% 网络级可靠性,Page14,路由可靠性,主MPU,备MPU,LPU,交换机制,IPC,FIB,FIB,FIB,FIB,RIB,RPA,MPLS,IFN,ET,IPC,IPC,入报文,出报文,物理接口,数据转发不间断,心跳检查,相邻路由器,恢复后继续会话,短暂中断时,不需要删除路由,实现平稳重启,通知相邻路由,器启动GR特性,BFD快速链路检测 IP TRUNK与ECMP IGP/EGP/LDP快速路由 收敛 IP快速重路由(IP FRR) IP快速路由备份(IP FRB) IP/VRF弱策略路由 NSF/GR ,路由可靠性技术,Page15,NSF不间断转发,FIB,FIB,数据包,FIB表,统计和状态信息,转发单元,控制单元,1+1 冗余 稳定的切换 GR能力,控制与转发平面相分离 全面的Graceful Restart能力 每块线卡具有冗余的，能够独立的进行包转发和链路状态维护,Page16,路由协议快速收敛,BGP快速收敛,ISIS快速收敛,OSPF快速收敛,LDP快速收敛,某电信运营商设备选型,IGP收敛速度业界领先（297ms），最快速的IGP收敛速度 LDP收敛速度业界领先（376ms），最快速的MPLS 收敛能力 BGP收敛速度业界领先（12.8s），优异的BGP收敛性能,Page17,Damping机制,BGP 组件,BGP for IPv4 组件,BGP for IPv6 组件,BGP for IPv6 VPN组件,BGP Damping,SDH/MSTP,长距传输,IP Damping,VLAN Damping,SR,AG,提供路由变化抵消机制 下刷fib前被撤销，路由不会下刷fib 发布前被撤销，路由不会被发布给邻居 提供路由震荡抑制功能,提供端口Up/Down抑制机制 避免链路质量不稳定影响路由震荡 不影响正常的TRAP产生和发送,提供VLAN Up/Down抑制机制 避免AG主备链路切换时VLAN瞬断 不会引起协议层面震荡、收敛,Page18,VPN FRR,核心节点,SR,SR,P节点,PE节点,PE节点,LAN,SR,SR,PE节点,PE节点,解决VPN路由收敛慢的问题,业务接入,业务接入,路由器转发平面同时保留主用PE路由器的外层标签、主用PE路由器过来的内层标签，以及对应的备用PE路由器的外层标签和备用PE路由器发送过来的内存标签 使用BFD等端到端故障检测方法，在200ms内感知远端主用PE故障，然后进行主备内外层标签的同时切换 VPN FRR解决的是内层标签的切换问题，其倒换优先级低于LDP/MPLS TE FRR，因此故障感知时间要长于LDP/TE FRR的保护倒换时间,Page19,VLL FRR,BSC,SGSN2,SGSN1,Frame Relay,CE1,CE2,PW1,PW2,P,PE,PE,PE,PE,P,P,P,IP/MPLS CORE,VLL FRR采用快速检测机制OAM和BFD，实现PW与AC之间的映射，在发生PW、PE或AC故障时及时采取措施，倒换到可用的备选路径。,Page20,双向转发检测(BFD),BFD Hello datagram,10ms sending intermission,BFD运用于直连路由器间,BFD用于非直连路由器间,传输系统,BFD (Bi-direction Forwarding Detect: draft-ietf-bfd-v4v6-1hop-02.txt ). 默认间隔时间为10ms，故障会在3倍间隔时间内被检测到。 每个 BFD报文不会超过100字节，因此，带宽占用为： 78Bytes100/s8bit/Byte=624000bit/s=60.9Kbps. 由线卡上的NP处理器处理，不耗用主控板上的CPU资源。,Page21,BFD应用,BFD Hello Datagram,10ms sending intermission,BFD for VRRP,BFD for ISIS/OSPF,BFD for BGP,BFD for TE Fast Reroute,BFD for PIM,BFD for LSP,Page22,BFD for TE FRR,IP/MPLS CORE,P,PE,PE,PE,PE,P,2G/3G RAN,NGN,NGN,2G/3G RAN,TE FRR,(LDP+IGP)FC,P,P,IP FRR E-VRRP,BFD,MSTP,MSTP,Eth,Eth,Eth,Eth,在以太端口之间用MSTP，如果没有BFD，单点和链路故障均不能被检测。主隧道不能检测故障并触发TE FRR 华为在业界第一家提供BFD for TE FRR,Page23,增强VRRP (E-VRRP),骨干网,VRRP,BFD 检测,主路由器,备路由器,路由器实例,在局域网环境中，每个主机需要通过一个网关连到外部网络。仅一对一的连接不能保证其可靠性。 两台部署了 VRRP 的路由器可以为同一局域网内的主机提供一个统一的虚拟网关。 华为用BFD配合VRRP来增强错误检测，这种机制被称之为增强VRRP,Page24,MPLS TE自动快速重路由,P,PE,PE,P,PE,PE,Primary TE Tunnel,NMS,Bypass Tunnel,Bypass Tunnel,自动快速重路由可以自动设置一个备用隧道以减轻负载和提高网络可靠性,Page25,PE11,PE12,PE21,PE22,P11,P12,P11,P12,CE,VRF,VRF,VRF,VRF,IP/MPLS Core,CE,Backup Tunnel,Primary Tunnel,Backward Tunnel for BDI,MPLS OAM 隧道保护组,部署E2E TE 主备TE隧道组成一个TE 隧道保护组 采用MPLS OAM快速检测。MPLS OAM是ITU-T标准 (ITU-T Y.1711 & Y.1720) BDI反向隧道可以复用保留的备用隧道 端到端200ms保护 在穿越MSTP网络时切换时间不受影响,Page26,目 录,VRP操作系统平台 可靠性 QoS MPLS VPN 组播 安全 IPv6 网管 组网应用,Page27,QoS特性,接收报文,报文分类/ 标记,拥塞检测/ 避免,报文发送,出接口,入接口,源地址 目的地址 源端口 目的端口 协议类型 TOS ,ACL,CAR,流量监管,拥塞管理,VOQ调度,DWRR/WFQ,WFQ,PQ/DWRR,WFQ/DWRR,流调度,PQ/WFQ,交换网,端口调度,优先级 调度,流调度/ 整形,Page28,专家级层次化QoS,NE,物理端口,业务类,用户组,用户,用户业务,五级调度，精细参数配置，按需保障SLA,五级调度机制，业务能力更丰富 8业务类，256用户组，支持4K用户，最大支持64K用户流 可配置流队列最大队列长度，WRED参数，低时延，SP/WRR权重，带宽突发度CBS和PBS，统计使能等参数，业务更灵活 可配置每用户最小保证事宽CIR，最大突发带宽PIR，所含的流队列数目，所含的流队列之间的调度算法等参数，用户服务差异化,Page29,目 录,VRP操作系统平台 可靠性 QoS MPLS VPN 组播 安全 IPv6 网管 组网应用,Page30,MPLS VPN 一网多平面,ATM,Page31,NE5000E系列路由器支持的功能,MPLS BGP VPN(RFC2547) MPLS VLL (CCC, SVC, Martini，Kompella) VPLS( VPLS-BGP, VPLS-LDP) PWE3,OSPF-TE、IS-IS-TE、 RSVP-TE、CR-LDP MPLS Fast Reroute 支持基于TE的FRR和基于LDP的FRR 支持LDP over TE tunnel,支持MPLS VPN,支持MPLS TE,Page32,MPLS VPN特性,MPLS网络,MPBGP,UPE,SPE,UPE,PE,PE,分层PE,MPLS网络,VPN2 site2,VPN1 site1,VPN2 site3,VPN1 site3,VPN1 site2,VPN2 site2,支持HoPE技术，实现VPN的延伸和扩展,支持各种方式接入MPLS VPN PPP、HDLC、ATM、Eth/VLAN等 远程拨入/隧道接入,支持PE-CE间各种路由协议 静态路由、BGP、RIP、OSPF、ISIS等,支持跨自治域方案 VRF-to-VRF MP-EBGP MP-Multihop EBGP,PE-ASBR,PE-ASBR,VRF数量 1K VRF路由表容量 单VRF可支持70万，总和200万 VSI数量 4K MAC地址容量 64K,提供VPN Manager，提供跨厂家的VPN管理,支持MPLS L2 VPN / VPLS Martini 模式 Kompella 模式,支持MPLS VPN over GRE,支持基于IPv6的MPLS VPN (6PE) 特性,Page33,MPLS/TE特性,支持显示路径 支持带宽分配 支持链路颜色 支持优先级与抢占 支持隧道优化 支持隧道备份 支持快速重路由FRR 支持跨域隧道 支持DS-Aware TE 支持配置转发邻居 支持自动路由宣告,MPLS TE特性,支持负载分担 支持自动带宽调节 支持在线路径计算 支持离线路径计算 支持流量统计和计费 ,Page34,VPN/TE 映射,RSVP-TE建立DS-TE隧道 BFD for TE隧道,支持VPN/TE Mapping，实现特定VPN独占TE隧道,LDP 建立一般LSP,MPLS FRR,PE,PE,PE,全程TE保护，高质量SLA服务能力，充分保证VPN用户的业务质量,PE间通过LDP建立LSP，同时可以采用RSVP-TE建立DS-TE隧道 针对重要VPN业务，通过VPN/TE Mapping功能，将VPN流量按照业务类型影射到DS-TE隧道中，实现RS-VPN（资源预留VPN），保证独立资源 一般VPN仍然通过普通LSP连接,Page35,目 录,VRP操作系统平台 可靠性 QoS MPLS VPN 组播 安全 IPv6 网管 组网应用,Page36,支持丰富组播特性,组播协议：PIM-DM、PIM- SM、MSDP、 MBGP、 IGMP、Anycast RP等； 组播QOS 组播VPN,组播特性,组播路由数量: 8K 组播转发性能: 10G线速 组播复制能力: 1024,组播关键指标,Page37,支持多级硬件分布式复制,TM,TM,TM,TM,TM,TM,组播队列,复制到需要的端口,出引擎复制组播到字端口,入流量,出流量,组播转发机制,两级分布式复制，确保性能：交换网复制到线卡，线卡复制到端口和子接口； 单播和组播分别采用不同队列，避免相互影响,Page38,目 录,VRP操作系统平台 可靠性 QoS MPLS VPN 组播 安全 IPv6 网管 组网应用,Page39,支持多级安全机制,CP,转发层面,第一级： 转发层面双向ACL & CAR 线速包过滤防火墙,第二级：转发层面硬件CP-ACL & CPU-CAR 硬件实现ACL和CAR流控，保证CPU安全 上送CPU报文微粒度分类，过滤非法报文 精细限制报文速率，防止CPU超载,第三级：控制层面CP-ACL 内嵌状态防火墙 对CPU的控制信息进行精细智能 安全控制,MPU板,数据流,控制流,控制、转发、监控平面向分离的体系架构，保证设备的安全,Page40,支持ARP防攻击特性,空间攻击：通过发送伪造的大量ARP请求、应答报文，造成路由器设备的ARP表项溢出； 时间攻击：通过发送伪造的大量ARP请求、应答报文或能触发路由器ARP处理的报文，造成路由器计算资源忙于应付ARP处理，影响其他业务转发；,ARP攻击,防ARP攻击方案,ARP表项限制：支持基于端口/子接口/VE接口/Eth-Trunk/Eth-Trunk子接口/Vlan的ARP表项限制； ARP报文限制：基于源或目的地址的时间戳抑制；只学习自己发送请求报文的应答ARP报文；加强上送检查；“非攻击”优先；每单板报文CP-CAR； ARP miss消息抑制：基于源的ARP miss时间戳抑制；表项满时自动加快老化速度；miss报文CP-Car；,2,1,1,2,3,Page41,协议保护技术GTSM,GTSM( Generalized TTL Security Mechanism)，即通用TTL安全保护机制，RFC3682，通过检查报文的TTL值来实现过滤非法报文的目的； 保护建立在TCP/IP基础上的控制协议（如路由协议等）免受CPU overload资源消耗攻击 此方案部署简单，极大降低对BGP自治系统内部DDOS攻击的效力，支持BGP和OSPF,Page42,协议保护技术身份认证,ISP,bgp 100 router-id XXX peer XXX as-number 200,AS100,Hacker,Spoofing,bgp 200 router-id XXX peer XXX as-number 100,确保路由协议的合法性，防止仿冒协议报文攻击； 目前用于认证的算法有MD5，SHA1等； 适用的协议有BGP、OSPF、ISIS、LDP、RIP、RSVP等；,Page43,防源地址欺骗技术uRPF,Sx D Data,Int1,Int2,Int3,FIB,Dest Path,Sx Int1 Sy Int2 Sz null0,Sy D Data,Int1,Int2,Int3,FIB,Dest Path,Sx Int1 Sy Int2 Sz null0,Sx D Data,uRPF是一种防源地址欺骗的技术，部署在网络边缘设备； 支持基于端口/子接口/VLAN if/Trunk/RPR接口/ATM接口/MPLS； 严格模式：根据源地址查路由表，查到的接口应该与包入接口一致，否则丢弃；,Page44,目 录,VRP操作系统平台 可靠性 QoS MPLS VPN 组播 安全 IPv6 网管 组网应用,Page45,IPv6特性,IPv6协议栈 ICMPv6、PathMTU、ND、自动配置、DNS Client等 IPv6过渡技术 双栈、自动隧道、配置隧道、6to4隧道等 IPv6路由协议 BGP4+、IS-ISv6、OSPFv3、RIPng等,IPv6特性,IPv4网络,IPv6骨干网络,IPv6网络,NAT-PT 转换,IPv4接入,IPv6接入,隧道接入,IPv4网络,NE5000E,NE5000E,NE5000E,NE80E,iManager N2000 DMS,IPv4/IPv6双栈网络,完善支持纯IPv6网络、IPv4/IPv6双栈网络建设 IPv4/IPv6线速转发技术、全面隧道过渡技术 完整支持DiffServ、TE、6PE、L2VPN等核心网技术,Page46,MPLS/BGP隧道6PE,通过IPv4或MPLS网络连接多个IPv6 孤岛，使用BGP交换IPv6可达信息 IPv6网络可被看作VPN网，多个IPv6孤岛属于同一VPN，利用VPN机制在PE之间建立隧道连接 可以充分利用已有MPLS或VPN网络,Page47,领先IPv6过渡方案,IPv4 Internet,协议转换,IPv6孤岛,IPv4/IPv6 多业务承载网,IPv6 多业务承载网,IPv6孤岛,IPv4孤岛,IPv4孤岛,IPv4孤岛,全面提供IPv4和IPv6，提供领先的功能和性能 最完善的IPv4向IPv6过渡技术：双栈/隧道/6PE/NAT-PT，满足多种应用 丰富的IPv6应用经验，国内CNGI获得优势份额，取得运营商普遍认可,现有Internet网络上大量的网络设备对迁移的成本压力很大 网络向IPv6网络的迁移取决于业务需要，i-ConPath多业务IP承载网具备全面IPv6，大大降低了升级到IPv6的网络迁移成本,Page48,目 录,VRP操作系统平台 可靠性 QoS MPLS VPN 组播 安全 IPv6 网管 组网应用,Page49,VPN Manager,设备/网络,Service Management (NSM),LSP Manager,OSS (Service Fulfillment, Service Assurance, Service Planning),Element and Network Management (N2000 DMS),DMS-Base,Perf Manager,Report Manager,NBI (SNMP/CORBA/),SNMP,NetStream Analysis System,Collector,HGMP,NetStream,iManager,GenieATM6000,NBI,华为NMS 产品族,Page50,NMS体系架构,支持大型网络,提供安全、可靠性的系统,可承载多种业务,SNMP /Telnet /FTP,备,NE/Service Management,收集服务器,SNMP /Telnet /FTP,SNMP /Telnet /FTP,主,双节点互为备份,NE/Service Management,支持高可靠性(HA)：本地双机和远程双机热备份,Page51,iManager NSM VPN Manager功能特性, 全类型MPLS VPN的管理 MPLS L3 VPN: BGP/MPLS VPN（RFC2547） MPLS L2 VPN: VPLS, Martini, Kompella, 多种VPN拓扑结构 全网状结构（Full mesh） 星型结构（Hub-and-Spoke） 部分网状结构（Partial Mesh） 跨域（Multi-AS） 分层PE（HoPE）, MPLS VPN端到端的快速部署 GUI向导式业务定义、修改 业务相关资源统一管理、自动分配 支持批量操作 方便的业务拆除功能 可调度的任务机制, MPLS VPN业务丰富的监控手段 MPLS VPN网络故障管理和业务影响分析 MPLS VPN可用性及服务质量监控 MPLS VPN网络的流量管理 丰富的MPLS VPN 网络信息统计报表, MPLS VPN自动发现 可用资源的自动发现 发现MPLS中的MPLS VPN业务, Other 多厂商设备管理 支持全面的PE-CE的路由协议 提供客户自助管理的窗口(CNM) 支持CE的管理 北向接口,Page52,VPN业务服务质量监控,SLA性能监控任务下发及监控结果的采集,PE,PE,PE,PE,PE,P,P,CE,CE,客户网络服务水平提供有效的监控手段 （PE到CE） 阈值告警功能 包括ICMP，TCP，UDP，Jitter等类型,Page53,提供大客户自助服务,客户IT管理部门,Internet,运营商运维中心 iManager NSM,WEB自助CNM,基于Web的综合报表统计分析功能 VPN流量、SLA、故障等运行情况报表 客户可通过WEB访问与自己相关的故障信息，访问客户关心的重要的运行情况，最终提供客户满意度,Page54,目 录,VRP操作系统平台 可靠性 QoS MPLS VPN 组播 安全 IPv6 网管 组网应用,Page55,国家骨干网解决方案,10G POS,NE5000E,NE5000E,NE5000E,NE5000E,国家骨干网,国际出口,国际出口,NE5000E,NE5000E,NE5000E,/NE80E,省骨干网,省骨干网,NE5000E,/NE80E,NE5000E,/NE80E,NE5000E,/NE80E,Page56,省级骨干网解决方案,省骨干,网,地市节点,地市节点,NE5000E,省骨干网,NE5000E,NE5000E,NE5000E,POS 10G,POS 10G,POS 10G,POS 10G,GE,POS 2.5G,GE,NE80,NE80,NE80,NE80,城域网,专线汇聚,窄带接入,IDC,POS 2.5G,NE5000E,/NE80E,NE5000E,/NE80E,10G POS,Page57,NE5000E/80E构建IP城域网,国干网1,国干网2,NE5000E,NE5000E,NE80E,NE80E,NE80E,NE80E,NE80E,NE80E,城域网核心节点,城域网汇聚节点,Page58,NE5000E系列路由器构建IP承载网,NGN业务核心网,承载网骨干网,承载网汇聚层,NGN承载网接入层,认证/计费/网管平台,Int