华为交换机虚拟化解决专业方案.doc

1、华为交换机虚拟化（CSS)解 决 方 案 陕西西华科创软件技术 4月1 目录一、概述3二、目前网络架构问题3三、虚拟化优点5四、组建方法5三、集群卡方法集群线缆连接5四、业务口方法线缆连接6五、集群建立81. 集群管理和维护82. 配置文件备份和恢复93. 单框配置继承说明94. 集群分裂95. 双主检测9六、 产品介绍111.产品型号和外观：152.处理方案应用20一、概述介绍虚拟化技术是目前企业IT技术领域关注焦点，采取虚拟化来优化IT架构，提升IT系统运行效率是目前技术发展方向。对于服务器或应用虚拟化架构，IT行业相对比较熟悉：在服务器上采取虚拟化软件运行多台虚拟机(VM-Virtual

2、 Machine)，以提升物理资源利用效率，可视为1:N虚拟化；其次，将多台物理服务器整合起来，对外提供更为强大处理性能(如负载均衡集群)，可视为N:1虚拟化。对于基础网络来说，虚拟化技术也有相同表现：在一套物理网络上采取VPN或VRF技术划分出多个相互隔离逻辑网络，是1:N虚拟化；将多个物理网络设备整合成一台逻辑设备，简化网络架构，是N:1虚拟化。华为虚拟化技术CSS属于N:1整合型虚拟化技术范围。CSS是Cluster Switch System简称，又被称为集群交换机系统（简称为CSS），是将2台交换机经过特定集群线缆链接起来，对外展现为一台逻辑交换机，用以提升网络可靠性及转发能力。二、

3、目前网络架构问题网络是支撑企业IT正常运行和发展基础动脉，所以网络正常运行对企业提供上层业务连续性访问至关关键。在传统网络计划和设计中，为确保网络可靠性、故障自愈性，均需要考虑多种冗余设计，如网络冗余节点、冗余链路等。图1传统冗余网络架构为处理冗余网络设计中环路问题，在网络计划和布署中需提供复杂协议组合设计，如生成树协议STP(Spanning Tree Protocol)和第一跳冗余网关协议(FHGR: First Hop Redundant Gateway，VRRP)配合，图1所表示。此种网络方案基于标准化技术实现，应用很广泛，不过因为网络发生故障时环路状态难以控制和定位，同时假如配置不妥

4、易引发广播风暴影响整个网络业务。而且，伴随IT规模扩展，网络架构越来越复杂，不仅难于支撑上层应用长远发展，同时带来网络运维过程中更多问题，造成基础网络难以连续升级尴尬局面。其次，快速环路技术也在发展，图2。如标准化弹性分组环RPR(Resilient Packet Ring)技术，可提供50ms内快速切换，但RPR技术构建成本高，且互联带宽有限，不适合局域环境内大型交换网络建设。图2环网结构在传统网络组网技术难以满足IT发展要求挑战下，新网络虚拟化技术怎样起到快速支撑新需求？技术进步并不是全方面修改传统网络计划和设计方法，而需要在保持大部分传统建设习惯下，达成极大简化管理、简化运维、简化计划设

5、计效果，比如虚拟化技术需要考虑：在保持和传统网络布线方法、传统物理拓扑连接方法下进行整体网络架构改良和优化。三、虚拟化优点伴随数据中心数据访问量逐步增大和网络可靠性要求越来越高，单台交换机已经无法满足需求，而经过交换机集群能够实现数据中心大数据量转发和网络高可靠性CSS特征:1. 交换机多虚一：CSS对外表现为一台逻辑交换机，控制平面合一，统一管理2. 转发平面合一：CSS内屋里设备转发平面合一，转发信息共享并实时同时3. 跨设备链路聚合：跨CSS内物理设备链路被聚合成一个ETH-TRUNK端口和下游设备进行互联4. 简化运行：整个CSS被作为一台交换机来管理，简化运维、降低Opex ;5.

6、可靠性高：CSS 内一台设备故障，其它设备能够接管 CSS 控制和转发，避免单点故障 ;6. 无环网络：跨设备链路聚合，在CSS和其它设备互联时，天然避免了环路问题； 7. 链路均衡：跨设备链路ECMP，100%网络链路和带宽利用率 ;8.扩容网络时，保护已经有投资。9.扩容同时，将2台物理设备虚拟为1台设备，简化了设备配置和管理。10.多台设备间冗余、备份，提升系统可靠性。四、组建方法硬件要求：现在支持2台框式交换机设备组成集群，支持集群设备型号为：l S7706、S7712（S7706和S7712之间能够混合集群。）集群方法为：集群卡方法和业务口方法。l 集群卡方法：即在主控板SRU子卡槽

7、位插入集群卡VSTSA，原有主控板、接口板、机框不用更新，就能够支持集群。l 业务口方法：集群组员交换机之间经过LPU上一般业务口连接。将LPU上业务口配置为集群物理组员端口后加入逻辑集群端口，经过SFP+光模块和光纤或SFP+集群线缆将集群物理组员端口连接起来。三、集群卡方法集群线缆连接集群组员交换机之间经过主控板上集群卡连接（每块集群卡上有4个集群口）。两台设备全部有两块主控板情况下，经过专用集群电缆QSFP+高速线缆或QSFP+光模块和光纤将这8组集群口根据Error! Reference source not found.规则连接起来。集群口连接规则是固定，全部集群口全部要插上集群线缆

8、，不能随意连接。图1-1 集群卡方法集群电缆连接规则对于集群卡连接方法，单台设备上必需配置两块同类型SRU主控板，即全部是SRUA或全部是SRUB；两台设备之间可配不一样类型SRU主控板；S7700系列交换机支持集群卡集群方法；四、业务口方法线缆连接集群组员交换机之间经过LPU上一般业务口连接。将LPU上业务口配置为集群物理组员端口后加入逻辑集群端口，经过SFP+光模块和光纤或SFP+集群线缆将集群物理组员端口根据下图规则连接起来。图1-2 业务口连接规则业务口集群含有灵活组网形式，每块单板最多可配置32个集群物理组员端口，提升了集群链路带宽和可靠性。业务口集群根据链路分布，有两种组网形式。1

9、+0组网：配置一个逻辑集群端口，物理集群端口分布在一块单板上，依靠一块单板上集群链路实现集群连接。1+1组网：配置两个逻辑集群端口，物理集群端口分布在两块单板上，不一样单板上集群链路形成备份。一个逻辑集群口下物理集群口只能和对框一个逻辑集群口下物理集群口相连，不许可混连。为确保集群系统稳定和方便后期维护，集群连线时提议根据以下几点标准：l 在1+1组网中，提议两块集群单板上集群链路数量保持一致，而且使用相同端口速率单板来配置物理集群口。l 在1+1组网中，对于S7712，S9312，S9312E，S9712，两块单板提议对称分布在主控板两侧，比如6和7槽位，5和8槽位、1和12槽位，而对于S7

10、706，S9306，S9306E，S9706没有这个限制。l 两框组建集群单板所在槽位号提议保持一致，物理集群端口和对端物理集群端口连接时候提议物理端口号一一对应。截至V2R2版本，全部支持业务口集群单板类型：五、集群建立集群建立时，先开启交换机优先竞争为主交换机。同时开启组员交换机间相互发送集群竞争报文，选举出主交换机，负责集群系统管理，另一台交换机成为备交换机。主交换机选举规则以下图所表示：集群系统建立之前，每台交换机全部是单独实体，每台交换机有自己独立IP地址，用户需要独立管理全部交换机；集群建立后集群组员对外表现为一个统一逻辑实体，用户使用一个IP地址对集群中全部交换机进行管理和维护。

11、集群系统IP地址和MAC地址为集群系统首次建立时，集群主交换机IP地址和MAC地址。 1. 集群管理和维护集群建立后，全部组员设备组成一台虚拟设备存在于网络中，全部组员设备资源由主交换机统一管理。用户能够经过LPU接口板上业务端口、系统主用主控板上串口或管理网口登录集群系统，对整个集群系统进行管理和维护。对于单台没有运行集群设备，接口编号采取：槽位号/子卡号/端口号，设备加入集群后，接口编号采取：集群ID/槽位号/子卡号/端口号。如：设备没有运行集群时，某个接口编号为GigabitEthernet1/0/1；当该设备加入集群后，假如集群ID为2，则该接口编号将变为GigabitEthernet

12、2/1/0/1。在集群环境下，业务流量转发和单框环境下不一样，跨设备转发需要经过交换网两次。对于报文内容处理没有区分，全部需要进行一次上、下行处理。 2. 配置文件备份和恢复设备从非集群状态进入集群状态后，会自动将原有非集群状态下配置文件备份，方便去使能集群功效后，恢复原有配置。使能设备集群功效并立即重启进入集群状态后，系统自动将原有配置文件加上.bak扩展名备份：若原配置文件扩展名为.cfg，则备份配置文件扩展名为.cfg.bak。若原配置文件扩展名为.zip，则备份配置文件扩展名为.zip.bak。去使能设备集群功效时，用户若期望恢复设备原有配置，能够更改备份配置文件名并指定其为下一次开启

13、配置文件，然后重新开启设备，恢复原有配置。3. 单框配置继承说明集群系统首次建立后，竞争结果为主框交换机上配置文件会得到继承，该配置文件上配置仍然生效。因为之前该框上配置文件不会出现备框配置，故需要对备框重新配置。4. 集群分裂集群系统建立后，主、备交换机之间定时发送心跳报文来维护集群系统状态。集群线缆发生故障可能会造成两台交换机之间失去通信，两台交换机之间心跳报文超时，此时集群系统将分裂为两台独立交换机，以下图所表示。集群系统分裂后，若两台交换机全部在正常运行，其全局配置完全相同，会以相同IP和MAC地址和网络中其它设备交互，造成IP地址和MAC地址冲突，引发整个网络故障，此时即需要依靠集群

14、双主检测处理。图1-3 CSS分裂示意图5. 双主检测双主检测，DAD（Dual-Active Detect），是一个检测和处理集群分裂协议，能够实现集群分裂检测、冲突处理和故障恢复，降低集群分裂对业务影响。双主检测方法有两种：直连检测方法和Relay代理检测方法。直连检测方法：以下图所表示，集群组员设备间经过专用直连链路进行双主检测。图1-4 直连方法双主检测示意图在直连检测方法中，集群系统正常运行时，为了减轻CPU负担，不发送DAD报文；集群系统分裂后，集群组员交换机以1s为周期经过检测链路发送DAD报文。Relay代理检测方法：以下图所表示，Relay代理检测方法在集群系统跨设备Eth-

15、Trunk上启用DAD检测，在代理设备上启用DAD代理功效。图1-5 Relay代理方法双主检测示意图 在Relay代理检测方法中，集群系统正常运行时，集群组员交换机以30s为周期经过检测链路发送DAD报文。集群组员交换机对在正常工作状态下收到DAD报文不做任何处理；集群系统分裂后，集群组员交换机以1s为周期经过检测链路发送DAD报文。集群分裂后，分裂成多部分集群系统会在检测链路上相互发送DAD竞争报文。集群系统将接收到报文信息和本部分竞争信息做比较，假如本部分竞争为主，则不做处理，保持Active状态，正常转发业务报文；假如本部分竞争为备，则需要关闭除保留端口（设备上不会被关闭端口）外全部业

16、务端口，转入 Recovery状态，停止转发业务报文。集群链路修复后，处于Recovery状态集群将重新开启，同时将被关闭业务端口恢复正常，整个集群系统恢复。六、 产品介绍S7700智能路由交换机系列（以下简称S7700）是华为企业面向下一代企业网络架构而推出新一代高端智能路由交换机。该产品基于华为企业智能多层交换技术理念，在提供稳定、可靠、安全高性能L2/L3层交换服务基础上，深入提供MPLS VPN、业务流分析、完善QOS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段，同时含有超强扩展性和可靠性。S7700广泛适适用于园区网络和数据中心网络，可对无线、话音、视频和数据融合网络进

17、行优异控制，帮助企业构建交换路由一体化端到端融合网络。S7700产品为满足不一样用户需求，同时提供S7703、S7706和S7712三款产品类型，用户能够依据不一样网络需求进行灵活选择。S7703最大支持3块LPU线路板S7706最大支持6块LPU线路板S7712最大支持12块LPU线路板 产品特点S7700升级为灵敏交换机，让网络更灵敏地为业务服务 S7700支持随板AC，业务单板同时兼具无线AC功效，无需额外购置AC硬件；整机转发性能可达T-bit，处理外置AC处理性能瓶颈，助力用户从容面向高速无线时代。S7700支持统一用户管理功效，屏蔽了接入层设备能力和接入方法差异，支持PPPoE/8

18、02.1X/MAC/Portal等多个认证方法，支持对用户进行分组/分域/分时管理，用户、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”飞跃。l S7700支持SVF超级虚拟交换网，创新实现将盒式交换机虚拟为框式交换机板卡、将AP虚拟为框式交换机端口，使得原来“关键/汇聚+接入交换机+AP”网络架构，虚拟化为一台设备进行管理，提供业界最简化网络管理方案。S7700采取iPCA网络包守恒算法，改变了传统利用模拟流量做故障定位检测模型，实现从“粗放式运维”到“正确化运维”大转变。l S7700能够对任意业务流随时随地逐点检测网络质量，无需额外开销。l S7700能够在短时间内立即

19、检测业务闪断性故障，检测直接正确到故障端口。l S7700支持业务编排（Service Chain）功效，Service Chain对网络增值业务处理能力(如防火墙FW、反病毒教授系统AVE、应用安全网关ASG)进行业务编排，方便园区网络实体(如交换机、路由器、AC、AP、终端设备)能够无差异利用这些能力，而不受物理位置约束，提供一个更灵活布署园区增值业务处理方案，降低用户设备投资和维护成本。强大业务处理能力 ， 提升网络架构扩展性S7700背板含有良好扩展性，可平滑扩展至更高带宽，支持单端口速率40G平滑升级，同时完美兼容现网板卡，保护初始投资。l 含有超高万兆端口密度，助力企业园区和数据中

20、心迎来全万兆关键时代。l 采取多业务路由交换平台，满足企业接入、汇聚、关键业务承载要求，支持无线、语音、视频和数据应用，为企业提供高可用、低时延、全业务一体化网络处理方案。l 支持分布式L2/L3 MPLS VPN功效，支持MPLS、VPLS、分层VPLS、VLL，满足企业VPN等接入需求。l 拥有完善二、三层组播协议，支持PIM SM、PIM DM、PIM SSM、MLD、IGMPSnooping，满足多终端高清视频监控和视频会议接入需求。运行级高可靠性设计 ， 可视化故障诊疗S7700含有大于0.99999高可靠性，主控、电源、风扇等关键部件采取冗余设计，全部模块均支持热插拔。CSS主控集

21、群创新性采取交换网集群技术，克服了业界普遍采取线卡集群跨框数次交换，交换效率低下架构难题，提供业界主机间最大256G集群带宽，同时能够经过跨框链路聚合提升链路利用率，并消除单点故障。S7700还支持业务口集群技术，一般业务端口能够复用为集群端口，使端口应用愈加灵活。经过光纤进行集群可大幅增加集群距离，突破了传统集群距离限制。 S7700含有专用故障检测定位子卡，提供高精度硬件级以太OAM功效，802.3ah、802.1ag和ITU-Y.1731标准协议，网络故障发生时能够在第一时间检测全部终端Session联通性，图形化网管故障诊疗界面，设备节点、链路自动遍历，实现网络快速故障检测和定位。冗余

22、控制引擎间主备无缝切换，设备优雅重启实现NSF无中止转发，并准备支持ISSU业务运行中软件升级，设备软件升级过程中确保关键业务和服务不中止完善 QoS 机制 ， 提升语音 、 视频用户体验。 S7700提供高品质QoS（Quality of Service）能力，支持从链路层到应用层流分类技术，含有完善队列调度算法、拥塞控制算法，能够对数据流实现多级正确调度，从而满足企业不一样用户终端、不一样业务种类服务质量要求。 S7700提供硬件组播QoS低延时队列，全方面满足企业视频业务优先级保障需求，为视频会议、监控等关键业务提供高质量承载保障。采取创新优先级调度算法，对传统QoS队列调度进行了专门针

23、对企业语音和视频优化，大幅降低IP语音时延、消除视频马赛克，提升用户体验。高性能 IPv6业务能力，IPv4 到 到 IPv6 平滑升级S7700软硬件平台均支持IPv6，取得工信部IPv6入网认证和IPv6 Ready第二阶段金色认证。支持IPv4/IPv6双协议栈，支持多个隧道技术，支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播，满足IPv6独立组网和IPv4/IPv6混合组网要求。强大网络流量分析能力 ， 随时网络健康诊疗S7700支持Netstream业务分析功效，满足用户对网络流量实时采集、分析需要。支持Netstream V5/V8/V9多个

24、报文格式，支持聚合流量模板，减轻网络采集器系统压力，支持实时流量采集、动态报表生成、属性分析、流量异常告警等功效，能够帮助用户对网络流量进行实时监控、现网设备吞吐分析，为优化网络结构、科学合理扩容提供决议依据。全方位安全保护 ， 应对企业内外部安全威胁S7700采取内嵌集中式防火墙板卡，支持虚拟防火墙和NAT多实例，满足多VPN用户共用防火墙组网环境。使用应用层包过滤技术对应用层报文内容进行复杂规则检测和过滤。提供完善NAC处理方案，支持MAC地址认证、Portal认证、802.1x认证、DHCPSnooping触发认证多个认证方法，有效应对哑终端接入、移动设备接入和集中式IP地址分配等多个接

25、入方法安全挑战，确保企业网络安全。提供2级CPU保护机制，支持CPU硬件保护队列，可实现数据和控制分离处理，预防拒绝服务攻击、非法接入和控制平面过载等安全威胁，提供业界领先一体化安全处理方案。无线 AC模块，全方面满足移动办公需求 S7700无线AC功效支持丰富RF（射频）管理，支持AP上线时自动选择信道和功率，在AP重合区域，信号冲突时自动调整功率或信道，RSSI（接收信号强度指示）/SNR（信噪比）不停更新，让系统能够实时了解每一个无线用户所处电磁环境，提升网络可用性。 S7700无线AC功效支持802.1x认证、MAC地址认证、Portal认证、WAPI认证等多个认证方法，满足用户不一样

26、终端、不一样安全等级设备接入需求。S7700支持二层漫游，终端设备跨AP漫游快速切换，AC间1+1、N+1多机冷备和AC间负载分担提升网络可靠性。创新节能芯片，智能功耗控制。 S7700采取创新节能芯片，实现按流量动态调整功率，支持端口休眠，无流量不耗电。支持智能POE供电，能够实现基于PD设备角色开启不一样能源管理方案，保持设备能源管理弹性。支持IEEE 802.3az能效以太网标准，线卡收发器含有低功率闲置模式，支持正常工作和低功率状态快速转换，低流量低功耗。1.产品型号和外观：产品规格：项目S7706交换容量 10.24Tbps/25.6Tbps包转发率 2880Mpps/1Mpps业务

27、槽位6无线管理支持随板AC支持AP接入控制、AP域管理和AP配置模板管理支持射频模板管理、统一静态配置和集中动态管理支持WLAN基础业务、QoS、安全和用户管理支持AC功效分层布署用户管理支持统一用户管理支持PPPoE、802.1X、MAC、Portal认证方法支持基于流量和时长计费方法支持分组分域分时授权方法VLAN支持Access、Trunk、Hybrid方法支持default VLAN支持VLAN 交换支持QinQ、增强型灵活QinQ支持基于MAC动态VLAN分配ARP支持256K ARP表项MAC地址功效支持1M MAC地址表项支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项

28、支持源MAC地址过滤支持基于端口和VLANMAC地址学习限制环网保护技术支持STP(IEEE 802.1d)，RSTP(IEEE 802.1w)和MSTP(IEEE 802.1s)支持SEP智能保护协议支持BPDU保护、Root保护、环路保护支持BPDU Tunnel支持ERPS以太环境保护护协议（G.8032）IP路由支持1M IPv4路由表项支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议组播支持128K 组播路由表项支持IGMPv1/v2/v3、IGMP v1/v2/v3 Snooping支持 PIM

29、 DM、PIM SM、PIM SSM支持MSDP、MBGP支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功效支持组播CAC支持组播ACL支持MPLS OAM支持MPLS TE支持MPLS VPN/VLL/VPLS可靠性支持LACP、支持跨设备E-Trunk支持VRRP、BFD for VRRP支持 BFD for BGP/IS-IS/OSPF/静态路由支持 NSF、GR for BGP/IS-IS/OSPF/LDP支持TE FRR、IP FRR支持以太网OAM 802.3ah和802.1ag支持 ITU-Y.1731支持DLDP支持运行中软件升级ISSUQoS支持256

30、K ACL支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等组合流分类支持ACL、CAR、Remark、Schedule等动作支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方法支持WRED、尾丢弃等拥塞避免机制支持5级H-QoS支持流量整形配置和维护支持灵敏零配置布署支持Console、Telnet、SSH等终端服务支持SNMP v1/v2c/v3等网络管理协议支持经过FTP、TFTP方法上载、下载文件支持BootROM升级和远程在线升级支持热补丁支持用户操作日志安全和管理802.1x认证，Portal认证支持NAC支持RADIUS和HWTAC

31、ACS用户登录认证命令行分级保护，未授权用户无法侵入支持防范DoS攻击、TCPSYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击支持1K CPU通道队列保护支持ICMP实现ping和traceroute功效支持RMON支持Service Chain增值业务能力*支持Firewall功效支持NAT功效支持Netstream功效支持IPSec功效支持负载均衡功效支持无线AC功效支持IPS入侵防御系统互通性VBST基于VLAN生成树协议（和PVST/PVST+/RPVST 互通）LNP 链路类型协商协议（和DTP相同功效）VCMP VLAN集中管理协议（和VTP相同功效）绿色节

32、能支持802.3az能效以太网机箱尺寸mm（宽深高）442476175机箱重量（空配）15Kg工作电压DC：38.4V72V；AC：90V290V整机最大功耗800W整机最大POE功率2200W2.处理方案应用大型园区网处理方案S7700智能路由交换机能够作为大型企业园区汇聚交换机设备，组建高可靠、业务易扩展、易管理企业园区网络。S7700支持硬件CPU通道队列，防火墙功效模块，在汇聚层为企业业务增加安全保障，保护企业关键免受DDOS攻击和多种安全威胁。 中小型园区网处理方案S7700智能路由交换机支持OSPF、BGP、MPLS全线速转发，同时含有防火墙、IPSec模块，能够作为中小型企业园区网络关键设备。为中小企业园区提供高性价比、高可靠、多业务易布署网络处理方案。