H3C产品知识例行考试复习材料

复习材料（Q2例行考试）第一部分：路由器MSR系列路由器硬件【重点学习】MSR－MultipleServicesRouters多业务开放路由器，先进的N-BUS体系架构保证多业务线速并发，丰富的软件平台－COMWAREV5特性，支持丰富的Web网管功能，MSR支持的模块近200种，是业界对模块支持最多的路由器，覆盖了从传统行业窄带到现代企业宽带的所有接口类型，实现路由交换一体化，支持业界最丰富交换板卡，融合安全解决方案，可内置防火墙;持的多种VPN（L2TP,GRE,MPLSVPN；E．SSLVPN,IPSecVPN），支持SSL与IPSecVPN一体化，可作为VPN网关；可作为专业语音网关;支持EAD（端点准入）解决方案,实现分支机构下用户的准入控制，有效防止用户多出口内网外联,EAD支持无客户端方式（WEB方式），无需事先安装;上行链路支持3G无线备份高可靠解决方案；支持WCDMA、CDMA2000、WSCDMA多种制式；端到端链路可靠性检测，MSR具备NQA特性，支持端到端的三层链路检测，可实现静态路由模块、接口备份模块、VRRP模块及策略路由器模块进行联动并实施链路的切换。此外，还支持BFD特性；支持OAA开放应用架构，可集成防毒墙，对数据流进行查毒和杀毒的功能，开放架构之网流分析模块NAM，实时监控每台设备流量；分支和总部同时部署MSR路由器和Wan优化板卡，能在不增加带宽的情况下，通过压缩技术、应用加速、L7带宽管理，可大幅度提升文件传输速度，效果如同增加带宽；MSR最大的亮点是多业务集成和开放应用架构；MSR路由器分为5个系列MSR900；MSR20-1x；MSR20；MSR30；MSR50【一般学习】1个千兆端口的二层线速包转发能力要求=1.488Mpps；计算方法是：100Mbit/s的以太网，100M换算成byte则是100/8=12.5Mbyte/s；以太网最小数据包大小是64byte/s，加上8个byte的前导字节和12个byte的帧间间隙，合计就是84个byte；100M以太网的二层线速包转发率要求的能力=12.5/84=1.48809pps；2..软件【一般学习】H3CComwareV7是H3C新一代网络操作系统，2012年推向市场，是目前比较少的支持全系列多种网络设备运行的网络操作系统。ComwareV7支持集中式、分布式、多框分布式等多种硬件结构，适用于路由器、交换机以及数据中心交换机等各种网络设备。同时，ComwareV7支持包括L2、L3、存储、MPLS、虚拟化在内的全面的网络功能。其中不仅包括各种已经广泛使用的传统功能，还支持包括TRILL（TransparentInterconnectionofLotsofLinks多链接半透明互联）、EVB（EdgeVirtualBridging边缘虚拟桥接）、EVI（EthernetVirtualizationInterconnection以太网虚拟化互联）在内的多种新技术。ComwareV7系统支持两种虚拟化方式：一种是通过IRF技术将多个物理设备虚拟为一个逻辑设备，称为N:1的虚拟化；另一种是通过VD技术将一个物理设备虚拟为多个逻辑设备，称为1:N的虚拟化。ComwareV7虽然支持各种硬件形态，以及不同分布式结构的虚拟化设备，但却是单一的分布式架构，这使得ComwareV7所支持的每个特性可以不加修改在各个设备上使用，一方面保证了ComwareV7在各种应用场合功能的完整性，不会由于应用场景的差异出现功能缺失，另一方面保证每个特性在不同设备上功能完全一致，便于使用与维护。ComwareV7使用通用的Linux操作系统，回归了主流的软件实现方式，提供开放的标准编程接口，可供用户利用ComwareV7提供的基础功能，实现自己的专用功能。CR16K高端路由器CR16K：CR16K推出后，H3C成为继CISCO之后，业界能够提供全系列路由器产品的今后的厂家;目前CR16K在上海电信IDC、湖南广电、义乌广电、湖南电力等大规模应用。CR16K的特点：作为面向未来骨干的100G路由平台，多级分布式转发架构；包含CR16004/CR16008/CR16018三款产品；支持交换网板和主控板完全物理分离(交换网板>=4)；支持虚拟化技术；支持高密度GE、10GE、10GPOS接口；支持FW插卡，后续支持IPS、NS、LB等多业务插卡；在中国移动长达3个月测试过程中，通过了所有的239项测试，唯一能够实现高速POS接口线速转发厂商；支持设备级的NSR不中断转发；支持MPLSTEFRR可以实现对链路、节点故障50ms切换保护；32K组播转发表支持强劲的多媒体业务；可以支持10MIPv4/1MIPv6超大规模路由表；支持丰富的IPV4/IPV6协议栈；通过（IRF2+VPLSOverGRE）技术支持面向云互联的广域虚拟化；目前在移动和广电城域网中获得规模应用；定位于运营商IP骨干路由器、运营商IP城域网核心/汇聚路由器、大型行业IP骨干网核心路由器。支持4/8/16X10GE、4X10GPOS、48GE高速业务板（SPC）；通过SPE卡支持灵活业务子卡，支持POS、RPR、GE等灵活业务子卡；SR88万兆核心路由器H3CSR8800万兆核心路由器定位IP骨干网、行业IP专网核心层和汇聚层、POP点及运营商网络汇聚层等网络位置;H3CSR8800有4款路由器；即:SR8802/SR8805/SR8808/SR8812;最大交换容量1.44T;支持100万条路由表；采用了先进体系架构－“一机四平面”：控制平面由：协议运算、路由表维护、设备管理、操作维护管理等功能，是路由器的控制核心部分；转发平面主要完成各种业务处理和数据转发，包括：ACL/QoS、IP转发、MPLSVPN、组播等；OAM平面主要完成各种网络协议的快速检测和业务的快速倒换功能；监控平面完成电源系统检测控制、风扇系统检测控制等功能。SR8800采用转发三引擎构架，NP+ASIC转发技术，即：NP业务引擎、QoS引擎和表检索引擎。其中，业务引擎采用NP技术，可实现业务的灵活扩展和升级；QoS引擎和表检索引擎采用ASIC技术，实现QoS处理和表项查找的高性能。SR88采用独特的开放应用构架（OAA）：提供标准的应用接口，用户或第三方能够在核心路由器上自行开发业务特性，如：嵌入式Firewall、嵌入式IPS等，实现核心路由器的业务增值，加速IP网络向智能化方向发展精细化的QoS能力：在入方向和出方向支持200ms报文缓存能力，支持突发流量；在海量ACL规则，64K/NP；在入方向和出方向的CAR，粒度1K；H-QoS三级队列调度，支持真正精细化的QoS；交换网级别的深度QoS，支持VoQ和E2E流控，避免HOL；支持强大的NAT性能：单板支持的并发连接数2M，每秒新建连接数20万；单板支持512个地址池；每个地址池支持地址数64(NAPT)/255(NAT)；单板支持4K静态NAT应用；支持多业务：网流分析解决方案；强大的CPOS汇聚能力；支持分布式的组播VPN，无须配置专用GRE板，各业务板独立完成本板组播VPN业务；全面的IPv6解决方案；高价值客户通过双链路接入不同板卡，跨板捆绑，确保业务高可靠性；集成安全插卡优势高可靠性：支持NSF和GR技术；在主备控制器倒换时，在整个过程中网络路由和转发保持稳定，报文转发路径也不会发生任何改变，从整个网络的层面来看，和没有发生重启事件一样。支持IPFRR、TEFRR、LDPFRR、VPNFRR等，实现各协议级快速切换；支持双电源、在线热补丁；支持业务处理板和接口卡热插拔；支持RPR环网；SR66系列多核业务汇聚路由器H3CSR6600SR6600系列产品所处的网络汇聚设备层次；采用多核处理器作为处理核心，网络多核处理器既有CPU的灵活性，又有网络专用ASIC芯片的高性能，并且内置复杂业务加速引擎，兼顾业务和性能，充分满足客户对高性能业务汇聚的需求；强业务性能；H3CSR6600有4款路由器；即:SR6602/SR6604/SR6608/SR6616;交换容量可达640Gbps；最大支持200万的路由容量；其中，SR6602特点:小体积/高密度/高性能;网关模式64字节转发性能更高，达到8.4Mpps，NAT转发性能可达万兆（256字节及IMIX互联网混合报文可达15Gbps），处于业界领先水平，特别适合作为超大型Internet出口的NAT网关设备;丰富的Portal特性以及高性能，适合大型的portalEAD网关应用。后面会有更为详细的介绍;也可以作为高性能的路由器CE设备使用，不过由于其只有1U高度，在网关场景中推广更为合适；SR6604/08/16特点:作为分布式/双主控/冗余电源，典型的高性能汇聚路由器；大容量业务汇聚能力：支持大容量cPOS通道化E1和大容量以太子接口汇聚；HQoS分层调度；200ms报文缓存；海量用户提供万兆NAT转换；并发连接：400万；支持24端口千兆以太光口和48端口千兆以太电口等高密度以太网板卡；通过开放的API业务接口，能够让专业设备通过硬件线卡载体无缝融入到设备当中，目前已经支持防火墙、SSLVPN业务插卡；支持portalEAD；支持强大的VPN功能；强大的QOS能力；用于各种二、三层VPN组网的业务质量精细化保障；高可靠：BFD＋IPFRR技术实现快速路径备份；500条链路的秒级故障检测；协议级GR及NSR不中断转发；支持RPR环网；绿色环保设计：智能电源控制、智能风扇控制、高可靠性设计、高兼容性设计、接口模式可配；环保器件选型与EMC安规认证；SR6600系列路由器的设计和制造，都严格遵循欧盟颁布的EuP指令、WEEE指令和RoHS指令并通过认证，在生产、使用和回收处理过程中，不会对环境造成污染；H3CSR6600系列路由器的“能耗/性能”比处于业界领先。【补充学习】近日，H3C推出面向云业务应用的高端路由器——SR6600-X系列产品。凭借着突出的性能、丰富的业务处理能力和全面的安全特性，成为高端行业用户网络汇聚、云间互联、运营商边缘及超大型分支出口的首选路由设备，同时可作为企业VPN、NAT、IPSec等业务网关使用，与传统的设备相比，SR6600-X系列“新”在哪里？作为着眼于未来云应用发展的路由设备，SR6600-X系列以创新的技术与架构，针对性的解决与满足了上述需求，并重点体现在以下四个方面。1、全业务分布式处理架构传统高端分布式路由器在业务处理上（如NAT业务、网流分析、报文加密等）往往依赖于专用的单板，使得业务板成为整机性能的瓶颈，同时增加用户投资成本。SR6600-X采用了全业务分布式架构，所有业务无需增加单板直接在线卡上处理，整机业务处理能力随着线卡的增加而线性增长，充分保护用户投资同时可弹性扩展。2、自主研发Apollo业务处理芯片内核传统设备基本采用商用ASIC芯片和网络处理器，但随着网络技术不断发展以及云计算的兴起，用户对设备性能及处理能力提出了更高的要求。为充分解决上述问题，H3C自主研发了Apollo高性能业务处理专业硬件内核，负责业务板上IPv4、IPv6、MPLS报文查表、转发，支持PBR、Netstream、包过滤防火墙，ACL，隧道、IPv4组播等业务，原有的多核CPU此时只作为Apollo的协处理器，完成IPSec加解密，表项下刷，单板管理，以及其他复杂业务处理，两者配合可充分满足用户高性能业务处理需求。3、跨广域汇聚虚拟化SR6600-X产品将H3CIRF2虚拟化技术融入到高端路由器中，可使多台设备虚拟化成一台，不仅提升设备可靠性，更简化整网拓扑和方便管理。针对双设备双链路上行的场景，可实现跨机箱链路捆绑，并可在此基础上叠加Netsteam、NAT及IPSec等多业务功能。4、云间安全互联技术云计算的发展离不开可靠、安全的网络传输，SR6600-X利用自身高业务性能的优势，不仅可以提供安全的云端接入，而且在云与云之间提供大容量、高性能的安全互联。通过集成高性能加密、强大的隧道技术可在云间承载大流量的二层数据，让用户的云间管理和互联变得更加简单、可靠。【补充学习】在这款产品之前，SR6600系列路由器已在各行业得到广泛应用。这两款产品之前的主要区别是什么？SR6600系列产品定位于10G平台，主要应用在企业网高密GE、CPoS及E1汇聚接入等场景；而SR6600-X系列产品定位于40G~100G平台，主要是针对大容量用户接入及复杂流量设计的业务高端设备，不仅仅作为汇聚设备，还可作为企业核心和数据中心云间互联设备。【补充学习】本次推出的SR6602-X产品有什么特点？SR6602-X产品不仅性能得到大幅提升，还可硬件支持内置可插拔电源冗余设计，并提供交流或直流电源输入，同时所有接口模块支持热插拔功能，确保用户业务的不间断运行。SR6602-X目前包括SR6602-X1和SR6602-X2两款机型，主机分别集成4GECombo和4GECombo+210GE接口，并支持FIP20和FIP10灵活业务插卡，配合现有SR66丰富的广域网接口，可满足高端企业用户大型分支和运营商用户的高密接入需求。第二部分：交换机S12500数据中心级核心交换机S12500产品特点：面向下一代数据中心设计的核心交换产品，采用先进的CLOS多级多平面交换架构，可以提供持续的带宽升级能力。S12500是中国国内第一款100G平台交换机，支持未来40GE和100GE以太网标准，整机可以提供576个万兆端口，提供业界密度最高的万兆接入能力；面对下一代数据中心突发流量，创新的采用了“分布式入口缓存”技术，可以实现数据200ms缓存，满足数据中心、高性能计算等网络突发流量的要求；为了满足数据中心级网络高可靠、高可用、虚拟化的要求，S12500采用创新IRF2（第二代智能弹性架构）设计，将多台高端设备虚拟化为一台逻辑设备，同时支持独立的控制引擎、检测引擎、维护引擎，为系统提供强大的控制能力和50ms的高可靠保障。S12500产品包括S12508、S12518两个型号，能够适应不同网络规模的端口密度和性能要求，为数据中心网络建设提供有力的设备保障。同时结合H3C系列路由器、交换机、安全、存储以及iMC智能管理平台为数据中心网络提供全系列的解决方案。产品特点如下：(1)先进的CLOS多级多平面交换架构采用先进的CLOS多级多平面交换架构，提供持续的带宽升级能力。基于100G平台的多级交换网交换机，支持未来40GE和100GE以太网标准，充分满足数据中心应用及未来发展需求。独立的交换网板卡，控制引擎和交换网板硬件相互独立，最大程度的提高设备可靠性，同时为后续产品带宽的持续升级提供保证。超高端口密度，单台设备支持576个万兆端口，满足数据中心高密度万兆应用的需求。(2)创新的多引擎控制设计采用了创新的硬件设计，通过独立的控制引擎、检测引擎、维护引擎为系统提供强大的控制能力和50ms的高可靠保障。独立的控制引擎，提供强大的主控CPU系统，轻松处理各种协议报文及控制报文，并支持协议报文精细控制，为系统提供完善的抗协议报文攻击的能力；独立的检测引擎，提供高可靠和高性能的FFDR（FastFaultDetectionandRestoration-快速故障检测及恢复）CPU系统，专门用于BFD、OAM等快速故障检测，并与控制平面的协议实行联动，支持快速保护切换和快速收敛，可以实现50ms的故障检测，保障业务不中断；独立的维护引擎，智能化的EMS（EmbeddedMaintenanceSubsystem-嵌入式维护子系统）CPU系统，该CPU系统支持电源智能管理，可以支持单板顺序上下电（降低单板同时上电带来的电源冲击，提高设备寿命，降低电磁辐射，降低系统功耗），设备在线状态检查。(3)IRF2（第二代智能弹性架构）面对数据中心统一交换架构的应用需求，S12500支持IRF2（第二代智能弹性架构）技术，将多台高端设备虚拟化为一台逻辑设备，在可靠性、分布性和易管理性方面具有强大的优势，主要体现在三个方面：可靠性：通过专利的路由热备份技术，在整个虚拟架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了虚拟架构的可靠性和高性能，同时消除了单点故障，避免了业务中断；分布性：通过分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率；易管理性：整个弹性架构共用一个IP管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本。(4)数据中心级可靠性保障S12500提供专用FFDR（FastFaultDiscoveryandRestore－快速故障检测及恢复）CPU系统，专门用于BFD、OAM等快速故障检测，并与控制平面的协议实行联动，支持快速保护切换和快速收敛。支持BFDforVRRP/BGP/IS-IS/RIP/OSPF/RSVP/静态路由等。控制引擎和交换网板硬件相互独立，实现控制平面和转发平面的物理分离，控制引擎1+1冗余；交换网板N+1冗余；最大限度的提高系统的故障隔离能力和可靠性。竖插框结构及风扇框1+1冗余，充分适应数据中心风道散热要求及可靠性要求。电源模块N+M冗余。(5)多层次的安全保护控制平面的多级保护及安全性，S12500的控制平面策略特性通过配置QoS过滤和限速来管理从数据平面（DP）到控制平面（CP）的报文流，保护S12500交换机在遭受DoS攻击时能识别和保护重要的报文，丢弃非法的报文，保证控制平面在遭受攻击或者大流量的情形下维护正常的转发和协议状态。支持海量的ACL规则，匹配长度多达80Bytes，且满足全线速转发；可以对各种L2/IPv4/IPv6/MPLS报文及其字段组合进行精细的安全接入控制。(6)分布式缓存机制及精细化QoS面对下一代数据中心突发流量，创新的采用了“分布式入口缓存”技术。每个端口可以精确地对所有流向该端口的各个业务流进行精确的带宽分配和流量整形，转发平面的精确调度确保支持Ingress方向的分布式缓存，有效共享和利用分布在各线卡上的缓存空间，提供更好的缓存效果。网络应用模型已经由C/S转换为B/S模型，应用方式的转变，导致网络突发流量的增大，大缓存机制已经成为网络设备的迫切需求。S12500每万兆端口256MBBuffer，支持200ms突发流量，再结合分布式入口缓存机制，满足大型数据中心高突发流量的需求。每板最大48K的硬件队列，支持精细化QoS和流量管理，能准确的按照需求配置给不同用户、不同业务流分配不同的优先级和队列，保证不同的带宽、业务延迟和抖动性能。(7)全方位的维护检测机制在线状态检测机制，通过专用的维护引擎，可以实现对设备的交换网板，背板通信通道，业务通信通道，关键芯片，存储器等进行检测。一旦相关模块发生故障，通过EMS上报给系统。单板隔离功能，可以将指定单板从转发平面中隔离出来，不再参与转发平面的转发，但被隔离单板仍在控制平面中，可对其进行管理操作。可以对该单板进行实时诊断、CPLD升级等业务处理，不影响整机系统的业务。支持以太网OAM，提供多种设备级和网络级的故障检测手段。(8)开放应用架构S12500基于OAA（OpenApplicationArchitecture）理念设计，创新性的推出了对外开放的业务平台。支持网络安全多业务插卡模块，可以集成防火墙模块、IPS模块、ACG应用控制网关模块、LB负载均衡模块等。通过产品的融合实现网络安全一体化的解决方案。(9)面向数据中心的应用需求低时延，满足高性能计算场景要求。支持240个Trunk组，支持64K的ARP/ND、支持256个VRRP、VRRPE组；适应大型数据中心网络扁平化需求。通过先进、完善的流控及反压机制造就真正的Lossless系统，全面满足新一代数据中心需求。(10)绿色环保设计S12500通过智能化的EMS引擎系统，支持对电源的智能管理功能，可以支持单板顺序上电（降低单板同时上电带来的电源冲击，提高设备寿命，降低电磁辐射），可以控制单板下电，隔离故障/空闲单板，降低系统功耗。S12500风扇采用高效PWM调速风扇，支持无级调速。系统可以自动收集单板温度，根据设备实际情况计算风扇调速曲线，并将调速命令下发到风扇框。系统支持风扇状态监控（转速监控、故障告警等）可以根据环境温度、单板配置自动分区调速，降低设备功耗和运行噪声，有效降低环境噪音并延长风扇寿命。S12500支持内部端口的自动检测，当某槽位未配置接口板时，或者端口未连接线缆时候，系统可以自动关闭相应的内部端口，节省了整机功耗。S12500产品满足材料环保与安全性的欧盟RoHS标准。S12500的产品规格：支持的业务板型号和端口密度：S10500多级交换架构的园区网多业务核心交换机S10500的产品特点：H3CS10500是杭州华三通信技术有限公司面向下一代企业网数据业务云计算化、运维虚拟化、设备绿色化和拓扑扁平化而设计的核心路由交换产品；H3CS10500系列核心交换机革命性地采用业界顶级的100G正交背板技术，集成CLOS多平面交换架构、多网板N+1冗余以及主控网板分离等高级可冗余性、可扩展性系统架构，单机实现超过2.5Tbps的巨大交换能力；配合运行于多核高性能处理器平台下的Comware网络通信操作系统，是S10500提供系统成熟、性能卓著、特性丰富、可自愈网络服务的核心动力，也使得S10500成为用户在下一个10年进入40G/100G互联网首选的网络基础架构设备。产品特点：40G/100GReadyS10500采用业界顶及的100G正交背板技术，可无阻塞升级支持40G/100G以太网接口。单机最大交换容量13.5Tbps，每槽位支持48端口万兆全线速转发。IRF2虚拟化后，最大可提供54Tbps的交换系统。IRF2（第二代智能弹性架构）技术的虚拟化架构IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。与H3C其他网络设备一样，H3CS10500同样具备IRF2为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断升级（ISSU）功能；开放应用架构S10500支持网络安全多业务插卡模块，可以集成防火墙模块、IPS模块、ACG应用控制网关模块、LB负载均衡模块等。通过产品的融合实现网络安全一体化的解决方案。全面的MPLS、VPLS业务能力S10500具备电信级的MPLSLayer3VPN（RFC4382）和VPLS（VirtualProviderLANService）技术并提供线速转发能力；支持MPLSOAM特性，方便用户的管理和维护；与H3CMPLSVPNManager配合，实现图形化的MPLS部署与维护。高性能IPv4/IPv6路由能力S10500支持IPv4/IPv6双协议栈，提供最大512K大容量IPv4/IPv6路由的同时支持多种6to4过渡隧道技术，可为用户提供完善的IPv4/IPv6过渡解决方案；同时支持6vPE，使基于IPv6的VPN应用成为可能。绿色环保设计全面提供802.3azEnergyEfficientEthernet（EEE）绿色以太网解决方案；S10500能够根据实际网络吞吐量，自动调整网络接口速率，从而达到在不影响网络性能的情况下降低能耗的目的。S10508-V采用前后风道设计，满足现在数据中心、电信机房冷热通道设计原则，避免热污染，有效提高热效率。采用高效率、可调速风扇，整机多点温度采样，分区温度控制，最大程度减少风扇能耗；S10500的一次交流电源，AC/DC转换效率高达92.4%，是业界领先的高效率交流电源；S10500产品满足材料环保与安全性的欧盟RoHS标准。2.S10500的产品规格：可选交流或直流两种供电方式，支持电源1+1冗余配置，该主机必配一款电源，最多可以配置6块电源，推荐多电源1+1冗余配置。该主机的2个槽位4、5为引擎槽位，该主机必配一款引擎，推荐双引擎配置，双引擎配置时必须配置相同款式的引擎。该主机为4交换网板配置，必配1块交换网板，最多可配置4块交换网板，推荐4网板配置。该主机最多可以配置8块业务板模块。【补充学习】S10500背板带宽的计算方法？S10500的每槽位总线分为高速连接器和低速连接器两种，可以用来分别或一起向单板提供转发能力。每组高速连接器最大可以支持16对12.5Gbps的Serdes，每业务槽共4个网板，所以是4组连接器。每槽高速连接器最大背板带宽为：16serdesx12.5Gbpsx2双向x4组=1600Gbps；每组低速连接器最大可以支持4对6.5625Gbps的Serdes，每业务槽共4个网板，所以是4组连接器，每槽低速连接器最大背板带宽为：4serdesx6.5625Gbpsx0.8(8B/10B)x2双向x4组=168Gbps整机背板交换容量：（每槽高速连接器容量+每槽低速连接器容量）x整机业务槽位总数【补充学习】交换机体系结构的演进历史什么事多级交换网-CLOSNetwork？什么是CLOS？ 1953年贝尔实验室研究员CharlesClos设计的一种多级交换结构，最早应用在电话网络，实现无阻塞交换。CLOS交换架构的主要特点：多级交换，典型为三级交换架构在每一级，每个交换单元的输出都与下一级的所有单元的输入相连。到指定目的地，在第1级交换单元存在多条路由到指定目的地，后续交换单元都只存在1条路由严格意义上的无阻塞支持递归，无限可扩展使用CLOS架构设计大型交换架构的优势：可以通过使用较小交换结构作为基础组件来构建大型交换结构，从而简化大型交换结构的构建。大幅度减少构建无阻塞交换结构所需要的交叉点，从而减少故障点，增强交换结构的可靠性。强大的故障抵御能力，第1级交换单元即可通过冗余路径绕过第2级交换单元的故障交换单元的交换路径完全独立，不会彼此干扰，从而不需要复杂的集中控制器来协调各交换单元的交换，进一步增强可靠性和可扩展性支持递归扩展，Clos网络中间级的交换也可以是一个完整的三级Clos网络。这可支持构建具有五级、七级或九级的巨大交换结构，在极大数量的输入和输出之间建立严格的无阻塞连接。由于clos网络的递归特性，理论上它具有无限的可扩展性。【补充学习】以太网标准发展历程10G接口一般有采用SFP+、XFP等光模块封装方式；40G接口一般有QSFP光模块和CFP两种封装方式；40GE接口后续对于光纤有什么要求？现有的OM3的光纤可以支持40GE传输，距离不超过100米，另外对于芯的数量有要求，普通的10GE光模块是两根芯，而目前的40GE接口是需要8根芯，8根芯的一些物理特性需要同步，所以在布光纤的时候，最好能够铺设多芯的光缆。另外，由于QSFP的光纤接口是MPO的，所以目前一般的光纤接口因为尺寸问题是不能直接插到QSFP模块里面的，所以需要在插进模块以前做一次接口的转换。H3C目前支持40G接口的高端交换机S75E/S10500/S5800v2-52QF三款设备；【补充学习】IRF技术带来的好处：IRF2（IntelligentResilientFramework2，第二代智能弹性架构），是H3C自主研发的虚拟化技术，将多台物理设备通过IRF虚拟化成一台逻辑设备，从而实现多台设备的协同工作、统一管理和不间断维护。H3C可以在统一的软件平台上提供从核心到接入的全线IRF2解决方案.性能翻倍，2台设备相当于1台设备，2台设备同时主用，解决了一主一备的性能问题简化配置和管理，增加了设备并没有增加管理的工作量，管理仍然当一台设备增强链路的可靠性，链路是聚合的，故障切换的时间是毫秒级。相比以前采用STP或者IP路由协议的秒级可靠性提升 H3CS7500E、S10500、S12500支持IRF2的4框虚拟化；目前S12500/S9500E/S7500E/S5800系列/S5500-EI系列交换机支持IRF2；【补充学习】问题一：我司S10500产品有几个款型？主要应用场景是什么？产品特色和亮点有哪些？答题要点：主要包含四个款型：10504/10508/10508-V/10512，产品典型应用场景是作为园区网的核心和汇聚设备、数据中心的汇聚和接入设备；该产品主要亮点包括：业界首款支持多级交换架构的园区网多业务核心交换机业界首款支持四框虚拟化的核心交换机业界首款支持线速40GE接口的核心交换机业界最全的一体化业务平台(FW/SSL/IPS/LB/ACG/NM等)问题二：我司S10500系列产品，相对友商的差异化优势有哪些？答题要点：1多级架构：10500系列产品采用多级交换架构，控制和转发物理相分离，有多块独立的交换网板，设备可靠性有了明显提升；CISCO65/HW93/ZTE89都没有独立的交换网版，主控异常则直接影响转发。2高性能：10500采用多级架构，多块交换网板下可以最多提供13.44T的交换容量和8640Mpps的包转发率，每槽位48端口万兆线速转发的能力是国内厂商都不具备的。3业务融合：10500可以支持WLAN、NM、FW、IPS、ACG、LB等多种类型的安全业务板卡，同时支持全业务的虚拟化IRF2。4高密万兆：10500可以提供16/32/48端口高密万兆接口板，同时也能提供4端口40GE接口板。问题三：S10500产品有实际的应用吗？目前成功案例有哪些吗？答题要点：10500系列产品从2010年下半年上市到现在，已经覆盖了包括金融、电力能源、公共事业、大企业等各行各业，其产品的稳定性和可靠性完全不用担心；目前已经部署10500的企业有：蒙牛集团、合肥人民医院、河南省政府、中冶北方集团、央视网等等。S75E高端多业务路由交换机1.S75E的产品特点：H3CS7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的ComwareV5操作系统，以第二代智能弹性架构(IRF,IntelligentResilientFramework)为系统基石的虚拟化软件系统，进一步融合MPLSVPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3CS7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。H3CS7500E系列包括S7510E（12槽）、S7508E-X（14槽）、S7506E（8槽）、S7506E-V（垂直8槽）、H3CS7506E-S（8槽）、S7503E（5槽）、7503E-S（3槽）和S7502E(4槽)8款产品，除了7503E-S所有产品均支持冗余主控。H3CS7500E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业解决方案。S7500E产品支持16端口万兆线速单板，每个业务槽位的交换容量是320G属性S7510ES7508E-XS7506ES7506E-VS7506E-SS7503ES7503E-SS7502E整机交换容量3.84Tbps3.84Tbps/8.96Tbps2.56Tbps2.56Tbps2.56Tbps1.6Tbps960Gbps640GbpsIPv4包转发率2880Mpps1920Mbps/5760Mpps1920Mpps1920Mpps1920Mpps1200Mpps720Mpps480Mpps槽位数量121488（垂直插槽）8534业务槽位数量108666322交换网板槽位数量04000000（1）丰富的业务，适应融合业务网络发展趋势基于智能弹性架构（IRF）的虚拟化架构H3CS7500E面向数据中心技术的演进，推出了以智能弹性架构（IRF）为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。全面的MPLS、VPLS业务能力H3CS7500E所有产品均支持Multi-VRF特性，可以作为MCE设备使用；支持三层的MPLSVPN和二层的MPLSVPN（Martini、Kompella）；支持MPLSOAM特性，方便用户的管理和维护；与H3CMPLSVPNManager配合，实现图形化的MPLS部署与维护。全面支持VPLS，VLL，支持1KVPLS实例，4KVLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。S75E系列交换机最大的特色就是支持丰富的业务模块包括：防火墙功能业务模块、ACG应用控制网关模块、无线控制器业务模块、LB负载均衡模块、SSLVPN业务模块、IPS功能业务模块高性能IPv4/IPv6业务能力H3CS7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3CS7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证，是成熟商用的IPv6产品。有线无线一体化，有源无源一体化H3CS7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3CS7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3CS7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。EAD端点准入防护技术H3CS7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。（2）全方位的安全保障，抵御多种网络安全威胁三平面安全保障机制H3CS7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN、ARP等协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSHV2，基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。H3CS7500E还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。有线无线全面支持EADH3CS7500E是EAD端点准入防御解决方案的重要组成部分，S7500E可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。H3CS7500E既支持有线终端用户的EAD，也支持无线终端用户的EAD，能够做到终端安全防范无漏洞。增强的ACL特性H3CS7500E系列产品支持强大的ACL能力：支持标准和扩展ACL；支持基于VLAN的ACL，方便用户配置，节省ACL资源；支持出方向和入方向的ACL，满足金融等行业访问权限严格控制的需求。（3）电信级的高可靠性，保障用户业务长期稳定运行电信级高可靠性设计H3CS7500E采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能；H3CS7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999％的电信级可靠性。多业务高可靠性运行H3CS7500E支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，H3CS7500E可以在承载多业务的情况下不间断运行，实现业务的永续。基于IRF架构的HA智能弹性架构技术（IRF）可以把多台S75E虚拟成一个“联合设备”，使用，配置如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。【补充学习】问题一：如何向客户推荐S75E产品？答题要点：产品款型多、接口卡类型丰富、多种安全业务板卡融合,方便用户组网和扩容设备现网部署超过4万台，应用于各类行业；通过多个业界权威验证、稳定性有保证可做园区网的核心/汇聚、数据中心的汇聚和接入；也可做城域网汇聚/接入业界独有的四框虚拟化技术、开放的OAA架构，满足客户业务的多样化需要问题二：S7500E系列产品在2012年有什么新的特性或板卡推出？答题要点：下一代产品S7508E-X(多级架构产品)：提升了S75E的性能指标，提供了更多差异化的优势特性；还可兼容现有S75E的丰富接口板、安全业务板卡。2）丰富了75E特性和接口卡：75E系列产品推出16端口万兆接口板、四框虚拟化、高性能无线AC、40GE接口卡等问题三：目前S7500E系列产品，相对于友商有哪些优势？答题要点：1）安全业务板卡：虽然友商完善了部分板卡，但S75E安全业务板卡还是业界最丰富的，支持FW/LB/IPS/ACG/SSL/WLAN/NETSTREAM等，2）竖插框机型：我司有S7506E-V；3）虚拟化特性：S75E部分机型可支持四框虚拟化(S7503E/06E/06E-V),目前友商都不支持，同时友商产品虚拟化都有缺陷：4）接口卡丰富：S75E的接口卡丰富有SA/SC/SD/EB，包含千兆光电和万兆光，项目中可以充分利用SA低价单板和某一级别端口来提升其他友商商务，如友商都没有16端口万兆板，部分友商没有组合板等5）第三方证书：S75E有TOLLY、NETWORK、软件著作权、入网证（IPV4/IPV6)、MICROCOM等各类证书，其他友商除了入网证，其他基本没有。问题四：S7500E和S7500相比，75E的主要优势包括哪些？答：主要是IPv6、MPLS和提供更多槽位的机箱。四、S5800系列数据中心级万兆交换机1.S58系列交换机的产品特点：数据中心接入或园区网汇聚/小核心；支持IRF2（第二代智能弹性架构）；通过1：N高可靠性支持设备级的高可靠性；业内第一款采用多核多线程设计的盒式交换机产品，每核可以提供4个线程的并发业务处理能力；支持下一代万兆接口--SFP+；大容量分布式缓存系统；增强数据中心持续业务能力；支持FCOE业界唯一部署在汇聚交换机上的FW插卡和IPS插卡,支持无线控制器插卡；在企业办公网络中，S5800可以作为EAD网关设备，为全网用户提供EADPortal认证功能；在大型校园网，S5800也可以在担当汇聚设备的同时，为所汇聚的用户提供三层Portal认证功能；支持VRRPE,标准的VRRP只能是主备方式，而VRRPE技术可以工作在负载分担方式;支持上行链路以主备方式工作，主链路故障时可快速倒换到备用链路，倒换时间小于50ms;支持RRPP以太环网50ms自愈保护，支持BFD－快速链路故障检测；支持在线软件热补丁技术；全面提升可靠性;支持POE供电；S58系列绿色设计都严格遵循欧盟颁布的RoHS指令以及工信部（原信产部）联合发改委、质检总局、环保总局等发布《电子信息产品污染控制管理办法》，并通过相应认证，在生产、使用和回收处理过程中，不会对环境造成污染。出了上述3种款型外，还有2款，S5830系列交换机作为重载云接入交换机和S5820V2-52QF;重载云接入交换机S5830系列交换机特点：S5830系列交换机作为“重载云接入交换机”，具备业界同类产品中最大的缓存能力，其中S5830-52SC整机缓存为1.25G；S5830-106S的缓存能力达到3.75G；SS5830系列交换机采用前后或后前风道设计；S5830系列交换机最多可以提供10个万兆端口和96个千兆端口S5830系列交换机具备多种安全控制策略和多重可靠性保护机制。硬件支持IPFIX、sFlow、RSPAN等实现流量的精细监控;支持双可插拔电源，采用前后风道设计;相比思科的C4948E,5830端口形态更加灵活;做数据中心接入时的应用场景如下：问题一：我司S58产品目前包含哪些产品系列，各系列定位或特点？答题要点：主要包含四个系列1S5800千兆接入机型（包括新推出的S5800-54S，可调风道机型）2S5820X万兆机型（包括新推出的S5820X-26S，可调风道机型）3S5830大缓存、高千兆端口密度机型4高性能、高密万兆机型，包括S5820V2-52QF，支持40GE接口；S5830V2-24S，超大缓存；支持丰富数据中心特性（FCOE、VEPA、TRILL等）（各系列具体型号可见产品彩页）问题二：我司S5820X系列产品的产品特色，竞争优势？答题要点：1高性能，高密线速万兆2高可靠，支持双可插拔电源、可插拔风扇，部分机型支持可调风道，专业带外网口3开放多业务融合，专业插槽支持FW/IPS/WS/FC多业务模块4IRF2智能弹性架构，并支持与S5800系列混合堆叠5低延时，采用CUTTHROUGHFORWARDING技术，而非传统的STOREANDFORWARDING技术，使报文延迟在1.3微秒6网络流量分析，精细业务控制能力问题三：我司S5830系列产品特点，相对cisco4948E优势有哪些？答题要点：1高密千兆/万兆接入密度，支持4-10SFP+高密万兆，使得上行无阻塞，全线速强三层交换机2超大缓存（1.25G/3.75G）满足数据中心突发业务需求，并支持buffer参数的灵活配置3高可靠性，支持双可插拔电源，可插拔风扇，并支持前后/后前可调风道，具有专业的带外网口4IRF2智能弹性架构5硬件支持IPFIX，sFlow，RSPAN等实现流量的精细监控相对思科C4948E优势：1C4948E单端口仅17.5M缓存能力2C4948E不支持虚拟化，不支持带外网管，不支持网流分析，软件特性需要单独购买license3C4948E端口固化，S5830-52SC,S5830-106S能提供更丰富的端口形态规避点，C4948E在MAC/ACL/路由表项比我司要大问题四：即将推出基于v7平台的S5820V2-52QF、S5830V2-24S产品特色？答题要点：1高密万兆，S5820V2-52QF单机固化48个SFP+万兆端口，以及4个40GE端口（可工作在40GE模式或者4个10GE模式），通过低成本的转接线缆实现64个万兆端口；2支持40GE端口3大缓存，其中S5830V2-24S支持3.6G缓存能力，S5820V2-52QF支持9M缓存能力4IRF2，支持4台虚拟化，320G高堆叠带宽5高可靠性，支持双可插拔电源，可插拔风扇6完善数据中心特性，目前产品硬件已经成熟，后续仅通过软件升级即可实现VEPA、TRILL、FCOE等数据中心特性。问题五：在原有S5800系列的基础上，S5820v2有哪些新的特性？答题要点：S5800系列作为数据中心汇聚或接入交换机，已广泛应用在各大行业及国内的各大数据中心。S5820v2作为该系列的成员，不但延续了高可靠性和精细化的调度能力，同时在端口交换能力、对云计算特性的支持等方面做了革命新的创新，是业界最高万兆端口密度及首款提供40GE的1U盒式交换机。1、整机支持48个1GE/10GESFP+接口，并固化4个QSFP40GE接口，即每个40GE接口通过转接线缆可以分为4个万兆接口，这样整机的最大万兆端口可达64个，，可以轻松应对云计算环境中的大流量带来的挑战。2、40GE端口作为上链端口，与核心交换机（如H3CS10500等）能形成端到端40GE高速通道解决方案；同时作为堆叠口也可为系统提供强大的背板虚拟化能力。3、支持VEPA协议。云计算的最大特征之一是虚拟化。S5820v2是业界第一款支持VEPA特性的物理交换机，这使得云计算网络方案得以真正的落地。4、支持FCoE。通过将光纤通道映射到以太网，实现FC存储网络和以太网络的融合，减少了数据中心设备和线缆数量，同时降低供电和制冷负载，并有助于降低管理复杂度。针对特定的大数据流场景，S5820v2的姊妹款型——S5830v2-24S采用专用的报文缓存芯片以提供强大的缓存能力，整机支高达3.6GB数据报文缓存，配合先进的缓存调度机制可以保证设备缓存能力有效利用的最大化，从而满足数据中心大流量数据无阻塞传输的要求。S5820v2-52QF新品主要特点高密万兆接入整机支持48个SFP+光口，以及4个40G的QSFP端口，40G的端口可以工作在4个10G端口模式，即该款型在1U高度内最大可以支持到64个万兆端口。40GE高速通道整机支持4个40GE的QSFP接口，同S10500或S7500E的40GE板卡可形成端到端的40GE高速通道解决方案。全面支持IRF2支持4台设备虚拟为一台逻辑设备，通过4个40GE或16个10GE端口捆绑最高形成320GE的超高堆叠带宽。丰富的数据中心特性硬件支持FCOE、VEPA、Trill及DCB等丰富的数据中心特性。大规格表项1.28Tbps交换容量、960Mpps包转发率、128KMAC地址表项，1U设备业内最高。精细化多业务调度支持双向ACL、CAR及N:4的端口镜像和流镜像，实现IPv4和IPv6报文的精确过滤和访问控制，支持MPLSVPN。高可靠性保障

硬件支持可插拔双电源、双风扇；除支持STP/RSTP/MSTP外，支持RRPP、Smartlink、BFD实现毫秒级故障收敛，同时支持完善以太网OAM功能，及时监控网络的状态，有效提高网管人员对网络业务及故障的管理能力。【补充学习】数据中心对接入层交换机的要求：（1）1U设备；（2）堆叠扩展能力；（3）上行双链路冗余能力；（4）双向ACL；（5）Multi-VRF支持；五、中低端交换机新产品学习S3600V2系列基于强大的Comware5.0平台，集成了S3600和S3610系列的全部特性，软件特性完善，具体的规格特性向S5800系列靠拢。在安全可靠、多业务融合、易管理和维护等方面为用户提供了全新的技术特性和产品选择；S3600V2分为EI和SI两个子系列，并有两款POE供电机型，能完全覆盖原S3600和S3610应用场景；S3600V2系列有4个上行GE口，前两个是Combo口（2光+2电combo口），后两个是非combo的SFP端口。S3600V2的4个上行GE口均不支持10M、100M模式。S3600V2的2个非combo的SFP端口，插入堆叠电缆时可以工作在2.5G，此时堆叠带宽可达10G；2个combo端口仅能工作在1G速率。H3CS3100V2系列交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的安全易用接入层交换机；S5120HI具备多重可靠性、高扩展性、完善的IPV6特性、完备的安全控制能力及丰富的管理能力，支持IRF2，是大型数据中心服务器群接入、宽带小区接入、大中企业接入的首选机型。【重点学习】5120HI作为高可靠接入机型，对比5120EI有明显的优势：支持双电源和带外网管，为系统提供更高的可靠性支持前后风道，满足数据中心对风道的设计要求固定两端口万兆，作为万兆上行或堆叠支持EEE,满足绿色节能要求支持BIMS管理，实现配置的自动下发和软件的升级支持双向ACL支持双HASH更高的硬件规格表项第三部分：安全产品安全产品全家福二、SecPathF5000-A5－超万兆防火墙介绍定位：大型园区出口、ICP/ISP、数据中心以及运营商；面向业务高性能，系统高可靠性以及端口高密度等应用：F5000-A5是H3CSecPath系列防火墙的旗舰产品，针对大型企业、运营商和数据中心市场推出的超万兆防火墙，适应未来云计算、IPv6等技术发展趋势。采用多核多线程、FPGA硬件逻辑等先进处理器，基于Crossbar无阻塞交换矩阵分布式硬件架构；业界唯一多核CPU+FPGA+Crossbar架构；多核处理器实现多种核心业务并行处理；FPGA实现业务高速硬件转发；Crossbar实现多板卡统一调度、高速互联；将系统管理和业务处理相分离，整机吞吐量达到40Gbps；采用的是H3CComware操作系统；专有硬件DDoS防护：FPGA实现3200万PPSSynflood防护，做到异常流量清洗同时，最大限度的减少CPU资源占用；容量NAT设计：大容量NAT并发、新建处理性能，满足园区网出口多出口、高带宽、高并发、业务复杂的NAT需求；400万NAT会话能力；F5000-A5是H3CSecPath防火墙旗舰产品，最大并发连接为400万；F5000可提供高效丰富的NAT转换技术，具体包括：支持多种常用转换（一对多、多对一、NAPT、EasyIP等；支持多种地址转换应用层网关ALG(解决特殊协议穿越NAT问题；NAT限制最小TCP连接数（解决内网病毒主机发起大量NAT会话）；ACL加速：ACL规则遍历会极大消耗CPU资源影响防火墙性能，尤其是新建连接性能；有效提高海量访问控制策略的匹配效率，减少时延；H3C特有的ACL加速特性在开启1万条过滤规则后，新建性能下降仅10～15%左右；高可靠性：支持VRRP组网，多台防火墙可组成高可靠性的网络；双机热备：支持主/主、主/备模式；广泛应用：中国移动30%省份的IMS核心网；整机硬件规格 尺寸标准7U插槽1主控板+4业务板业务接口48GE/8*10GE管理口1GE+1CON+1AUX热备口1GE整机性能规格 吞吐量40Gbps并发连接400万每秒新建连接 20万加密性能2GbpsVPN隧道数5000【补充学习】H3CSecBladeFW是业内第一款万兆高性能防火墙模块，可应用于H3CS5800/S7500E/S9500E/S10500/S12500交换机以及SR6600/SR8800路由器。SecBladeFW集成防火墙、VPN、内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。H3CSecBladeFW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3CASPF（ApplicationSpecificPacketFilter）应用状态检测技术，实时检测应用层连接状态，实现2-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。SecBladeFW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。二、SecPathF1000系列产品1.千兆系列防火墙包含4款产品：F1000E-SI/F1000A-EI/F1000S-AI3款和F1000E1款；产品定位为小型数据中心前端、中小型园区网出口和企业分支（二、三级广域网出口2.H3C自主开发Comware操作系统，多核硬件架构，确保NAT/ASPF/抗DDoS攻/VPN等多种业务高速并行处理；3.全面的基础安全特性：二层ACL/基本ACL/高级ACL/基于时间段的ACL;ASPF(动态通道检测+应用状态监测);NAT（1：100万地址转换）；ALG（应用层多通道转换全面支持QQ、SCCP、SIP等数十种应用协议）；层次化攻击防护（IP+MAC绑定，解决各类ARP攻击；网络层全面支持对各种DOS/DDOS攻击、扫描窥探攻击、畸形报文攻击的防护；应用层网站地址过滤、URL参数过滤；JavaApplet过滤、ActiveX过滤）；全内置SSLVPN；4.完善的双机热备——主主模式，两台设备都为主设备，都处理业务，互为备份，其中一台故障，另一台持续处理全部业务；支持双电源；5.支持虚拟防火墙；支持IPv6;通过了ICSA——国际顶尖信息安全认证；6.获得广泛应用：人保数据中心、中国银行、淘宝、百胜等；7.接口特性：硬件支持高密千兆接口和万兆上行接口：均有2个扩展插槽；三、UTM系列产品1.SecPathU200定位为新一代百兆防火墙，主打防火墙功能，并提供防病毒、漏洞防护、应用控制、垃圾邮件过滤和URL地址过滤等附加的安全增值功能。附加功能的开启要经过产品部严格审核和控制。2.最优异的硬件平台；应用多核多线程技术，为多业务安全提供坚实的硬件平台；3.最全面的安全功能：提供7大功能：防火墙基本防护、NAT地址转换、VPN远程互联、实时防病毒防护、P2P流量控制，应用控制、先进的漏洞防护、基于应用的行为审计；（注意，不支持垃圾邮件防护和URL过滤）4.合理的投资保护：全系列千兆接口：固定提供超过5个10M/100M/1000M自适应接口，满足网络接入需求；支持IPV4和IPV6双协议，绿色保护（通过欧洲严格的RoHS认证，保障产品具有环保、低辐射和低功耗等特点，降低环境污染和维护费用）；5.应用场景：中小分支机构互联网出口（主打防火墙功能，可适当引导防病毒、漏洞防护和应用控制功能）；连锁机构的VPN分支互联；广域网的三四级网；小结：UTM的基本定位还是防火墙功能；UTM通过整合防火墙、VPN、病毒防护等安全功能，降低了用户投资成本，满足中小型企业安全需求；UTM通过整合诸多安全功能，使得网络安全的维护和管理成本大大降低；可扩展性好，用户可以基于现网情况定制各种安全功能，满足用户的差异性需求；U200系列防火墙的特色优势：业界唯一在百兆系列防火墙中采用多核处理器，保障多项深度安全检测功能可同时开启5个以上全千兆接口，保护用户既有投资基于OAA架构，与专业厂商合作提供专业的深度安全功能：防病毒（卡巴斯基）国内唯一支持TR069管理协议的UTM，支持设备海量部署，极大提升了组网能力和管理性。SecPathF100系列产品面向小型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（ApplicationSpecificPacketFilter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN和动态VPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP、OSPF、路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略；在7款百兆防火墙中，除F100-C不支持双机热备外，SecPathF100-A-SI、SecPathF100-A、SecPathF100-M、SecPathF100-E防火墙充分考虑网络应用对高可靠性的要求，支持双机状态热备，支持Active/Active和Active/Passive两种工作模式。另F100-C，F100-C-EI,100-S三款防火墙不具备扩展插槽。市场领先的安全防护功能增强型状态安全过滤：支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤（ApplicationSpecificPacketFilter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。抗攻击防范能力：包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、超大ICMP报文攻击防范、地址/端口扫描的防范、Tracert报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能。应用层内容过滤：支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTPURL和内容过滤。多种安全认证服务：支持RADIUS和HWTACACS协议及域认证；支持基于PKI/CA体系的数字证书（X.509格式）认证功能；支持用户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限。集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。全面NAT应用支持：提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能。专业灵活的VPN服务支持L2TPVPN、GREVPN、IPSecVPN和动态VPN等多种VPN业务模式。利用动态VPN（DVPN）技术，简化VPN配置，实现按需动态构建VPN网络。智能网络集成及QoS保证支持路由、透明运行模式支持流分类、流量监管、流量整形及接口限速支持拥塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ）支持拥塞避免（WRED）电信级设备高可靠性36年的平均无故障时间(MTBF)远端链路状态监测（L3Monitor）智能图形化的管理通过Web方式进行远程配置管理。通过H3CIMC网管软件实现与网络设备的统一管理。通过H3CBIMS系统对数量众多、位置分散的设备提供智能和高效管理。通过H3CVPNManager系统对VPN进行动态和图形化的业务管理和状态监控。SecPathIPS系列产品H3CSecPathIPS（IntrusionPreventionSystem）集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护；1、业界唯一的三库合一技术：集成了攻击特征库、病毒特征库（卡巴斯基提供）、协议库，三库合一技术是精确防范混合型威胁的有利武器。2、采用多重高可靠性机制，可靠性业界领先：无源的掉电保护机制、二层回退、接口同步、双机冗余、数据面控制面分离，使IPS在可靠性上进行了层层保护，永远不会成为业务的故障点。3、高性能：多核分布式加大容量交换背板的硬件架构，确保IPS可提供20G以上的入侵防御性能；采用多种专利技术的入侵防御引擎确保IPS在开启全部（上万条）特征规则后，性能不衰减。4、持续投入和强强合作的攻防研究，确保提前防御新型攻击：组建国内最早的IPS特征库团队，北京、杭州、北美都建有攻防研究专家队伍，并与微软（MAPP计划，可提前获得微软漏洞信息）、卡巴斯基、CVE、Commtouch等厂商或组织建立了强强合作。持续投入和开放合作的攻防研究，确保了IPS可有效防御不断涌现的“零日攻击”。5、H3CIPS的市场地位和广泛应用：国内最早推广和研发IPS的厂商，持续多年国内市场份额排名第一；已具有5500多台的在线应用，每天实时拦截500多万条攻击或病毒事件；2010年中国电信集采，H3CIPS技术排名第一。中国工商银行总行南、北两大数据中心和网银系统先后共部署了近20台H3C高端IPS，两年多来，IPS累计拦截了30多万条攻击事件，保护着工行的每一笔交易业务；客户明显感受到了IPS在线实时阻断攻击、高检测精度等优势，彻底取代了原IDS的使用。SecPathIPS系列产品负载均衡分类：服务器负载均衡（四层服务器负载均衡、七层负载均衡）、链路负载均衡；全局负载均衡；负载均衡带来的好处：扩展网络设备和服务器的带宽；增加吞吐量，加强网络数据处理能力；提高网络的灵活性和可用性。H3C的负载均衡产品有2种：（1）SecBladeLBForS7500E/S9500E/S10500/S12500；（2）SecBladeLBForSR8800H3C的负载均衡产品特点：强大的硬件平台：多核处理器+专用的硬件处理单元+交换架构丰富的负载均衡功能：链路LB、L4、L7服务器LB，无Liense限制高性能：单机整机性能可达40G、多机IRF堆叠性能达160G高可靠性：双主控、双电源、VRRP、IRF等多种软硬件可靠性保证应用与网络的融合：组网简化、配置简化专业的2～7层安全功能：专业的硬件FW、IPS模块【重点学习】安全插卡的种类：SecBladeFW模块SecBladeIPS模块SecBladeSSLVPN模块SecBladeACG模块SecBladeLB模块SecBladeNetStream模块第四部分：无线产品AP产品的分类室内放装型：802.11a/b/g室内放装型：WA2110-AG——支持多种模式：室内单频支持IEEE802.11a（5.8G）；或支持802.11b/11g（2.4G）；室内普通型，室内壁挂或外接吸顶天线；可拆卸分离天线；软件设置；支持FATAP/FITAP模式灵活转换；支持POE受电；支持多个SSID实现虚拟AP特性；室内单频集中管理型无线接入设备；WA2200系列：WA2220-AG——支持多种模式：室内双频，同时工作在2.4G和5.8G两个载波频段；IEEE802.11a/11b/11g；室内普通型，室内壁挂或外接吸顶天线；可拆卸分离天线；双频：支持FATAP/FITAP模式灵活转换；支持POE受电；支持多个SSID实现虚拟AP特性；WA2220E-AG——IEEE802.11a/11b/11g；室内增强型（温度变化大、防尘要求高、干扰强的场景）；原配天线；双频多模；支持FATAP/FITAP模式灵活转换；支持POE受电【重点学习】工作在2.4GHz频段的无线协议是（802.11n;802.11g;802.11b）802.11a工作在5GHz频段;802.11n300M室内放装型：2条流产品WA2600i/E系列：WA2620i-AGN——双频室内型11n，内置天线；支持802.abg或11n；双频，同时支持2.4GHz和5GHz；天线：内置8根终端感知型硬件智能天线阵列，且支持外接4根天线，天线单独采购WA2610i-GN——单频室内型11n，内置天线;支持802.abg或11n，单频，支持2.4GHz，内置终端感知型硬件智能天线系统（这里没有WA3600那么多根，不建议提天线数量），且支持外接2根天线，天线单独采购WA2110GN———分销产品(不支持WAPI)，单频室内型,支持802.abg或11n，FAT/FIT一体化AP；频段：单频，支持2.4GHz天线：自带2根全向天线WA2612-AGN——单频、室内型11n，可支持802.11an或802.11gn，300MFAT/FIT一体化AP，内置天线，PoE交换机直接供电，非高密度用户部署环境，内置天线（外型美观），高性价比；吸顶安装，小巧、美观；802.11n450M室内放装型:3条流产品WA3600i系列——WA3600i-AGN：千兆加速（3-Streams11nMIMO实现450Mbps传输速率）、智能覆盖（创新的终端感知型智能天线阵列，最高可达4096种波形，按照终端的应用智能调整MIMO路径）、频谱防护、业务感知、绿色节能；主打款型WA3620i-AGN，双频，同时支持2.4GHz和5G