华为交换机虚拟化解决方案.docx
《华为交换机虚拟化解决方案.docx》由会员分享,可在线阅读,更多相关《华为交换机虚拟化解决方案.docx(20页珍藏版)》请在冰豆网上搜索。
华为交换机虚拟化解决方案
华为交换机虚拟化(CSS)
解决方案
陕西西华科创软件技术有限公司
2016年4月1
一、概述
介绍
虚拟化技术是当前企业IT技术领域的关注焦点,采用虚拟化来优化IT架构,提升IT系统运行效率是当前技术发展的方向。
对于服务器或应用的虚拟化架构,IT行业相对比较熟悉:
在服务器上采用虚拟化软件运行多台虚拟机(VM---VirtualMachine),以提升物理资源利用效率,可视为1:
N的虚拟化;另一方面,将多台物理服务器整合起来,对外提供更为强大的处理性能(如负载均衡集群),可视为N:
1的虚拟化。
对于基础网络来说,虚拟化技术也有相同的体现:
在一套物理网络上采用VPN或VRF技术划分出多个相互隔离的逻辑网络,是1:
N的虚拟化;将多个物理网络设备整合成一台逻辑设备,简化网络架构,是N:
1虚拟化。
华为虚拟化技术CSS属于N:
1整合型虚拟化技术范畴。
CSS是ClusterSwitchSystem的简称,又被称为集群交换机系统(简称为CSS),是将2台交换机通过特定的集群线缆链接起来,对外呈现为一台逻辑交换机,用以提升网络的可靠性及转发能力。
二、当前网络架构的问题
网络是支撑企业IT正常运营和发展的基础动脉,因此网络的正常运行对企业提供上层业务持续性访问至关重要。
在传统网络规划与设计中,为保证网络的可靠性、故障自愈性,均需要考虑各种冗余设计,如网络冗余节点、冗余链路等。
图1 传统冗余网络架构
为解决冗余网络设计中的环路问题,在网络规划与部署中需提供复杂的协议组合设计,如生成树协议STP(SpanningTreeProtocol)与第一跳冗余网关协议(FHGR:
FirstHopRedundantGateway ,VRRP)的配合,图1所示。
此种网络方案基于标准化技术实现,应用非常广泛,但是由于网络发生故障时环路状态难以控制和定位,同时如果配置不当易引起广播风暴影响整个网络业务。
而且,随着IT规模扩展,网络架构越来越复杂,不仅难于支撑上层应用的长远发展,同时带来网络运维过程中更多的问题,导致基础网络难以持续升级的尴尬局面。
另一方面,快速环路技术也在发展,如图2。
如标准化的弹性分组环RPR(ResilientPacketRing)技术,可提供50ms内的快速切换,但RPR技术构建成本高,且互联带宽有限,不适合局域环境内大型交换网络建设。
图2 环网结构
在传统的网络组网技术难以满足IT发展要求的挑战下,新的网络虚拟化技术如何起到快速支撑新的需求?
技术的进步并不是全面修改传统网络规划与设计方法,而需要在保持大部分传统建设习惯下,达到极大简化管理、简化运维、简化规划设计的效果,比如虚拟化技术需要考虑:
在保持与传统网络布线方式、传统物理拓扑连接的方式下进行整体网络架构的改良与优化。
三、虚拟化的优点
随着数据中心数据访问量的逐渐增大以及网络可靠性要求越来越高,单台交换机已经无法满足需求,而通过交换机的集群能够实现数据中心大数据量转发和网络高可靠性
CSS的特征:
1.交换机多虚一:
CSS对外表现为一台逻辑交换机,控制平面合一,统一管理
2.转发平面合一:
CSS内屋里设备转发平面合一,转发信息共享并实时同步
3.跨设备链路聚合:
跨CSS内物理设备的链路被聚合成一个ETH-TRUNK端口和下游的设备进行互联
4.简化运营:
整个CSS被作为一台交换机来管理,简化运维、降低Opex;
5.可靠性高:
CSS内一台设备故障,其他设备可以接管CSS的控制和转发,避免单点故障;
6.无环网络:
跨设备的链路聚合,在CSS和其他设备互联时,天然避免了环路问题;
7.链路均衡:
跨设备的链路ECMP,100%的网络链路和带宽的利用率;
8.扩容网络时,保护已有投资。
9.扩容的同时,将2台物理设备虚拟为1台设备,简化了设备的配置和管理。
10.多台设备间冗余、备份,提高系统的可靠性。
四、组建方式
硬件要求:
目前支持2台框式交换机设备组成集群,支持集群的设备型号为:
●S7706、S7712(S7706和S7712之间可以混合集群。
)
集群方式为:
集群卡方式和业务口方式。
●集群卡方式:
即在主控板SRU的子卡槽位插入集群卡VSTSA,原有主控板、接口板、机框不用更新,就可以支持集群。
●业务口方式:
集群成员交换机之间通过LPU上的普通业务口连接。
将LPU上的业务口配置为集群物理成员端口后加入逻辑集群端口,通过SFP+光模块和光纤或SFP+集群线缆将集群物理成员端口连接起来。
三、集群卡方式集群线缆的连接
集群成员交换机之间通过主控板上的集群卡连接(每块集群卡上有4个集群口)。
两台设备都有两块主控板的情况下,通过专用的集群电缆QSFP+高速线缆或QSFP+光模块和光纤将这8组集群口按照Error!
Referencesourcenotfound.规则连接起来。
集群口连接规则是固定的,所有集群口都要插上集群线缆,不能随意连接。
图1-1集群卡方式集群电缆连接规则
对于集群卡连接方式,单台设备上必须配置两块同类型的SRU主控板,即都是SRUA或都是SRUB;两台设备之间可配不同类型的SRU主控板;S7700系列交换机支持集群卡集群方式;
四、业务口方式的线缆连接
集群成员交换机之间通过LPU上的普通业务口连接。
将LPU上的业务口配置为集群物理成员端口后加入逻辑集群端口,通过SFP+光模块和光纤或SFP+集群线缆将集群物理成员端口按照下图规则连接起来。
图1-2业务口连接规则
业务口集群具有灵活的组网形式,每块单板最多可配置32个集群物理成员端口,提高了集群链路的带宽和可靠性。
业务口集群按照链路的分布,有两种组网形式。
1+0组网:
配置一个逻辑集群端口,物理集群端口分布在一块单板上,依靠一块单板上的集群链路实现集群连接。
1+1组网:
配置两个逻辑集群端口,物理集群端口分布在两块单板上,不同单板上的集群链路形成备份。
一个逻辑集群口下的物理集群口只能与对框的一个逻辑集群口下物理集群口相连,不允许混连。
为保证集群系统稳定和方便后期的维护,集群连线时建议按照如下几点原则:
●在1+1组网中,建议两块集群单板上的集群链路数量保持一致,并且使用相同端口速率的单板来配置物理集群口。
●在1+1组网中,对于S7712,S9312,S9312E,S9712,两块单板建议对称分布在主控板的两侧,例如6和7槽位,5和8槽位、……、1和12槽位,而对于S7706,S9306,S9306E,S9706没有这个限制。
●两框组建集群的单板所在槽位号建议保持一致,物理集群端口和对端物理集群端口连接的时候建议物理端口号一一对应。
截至V2R2版本,所有支持业务口集群的单板类型:
五、集群建立
集群建立时,先启动的交换机优先竞争为主交换机。
同时启动的成员交换机间相互发送集群竞争报文,选举出主交换机,负责集群系统的管理,另一台交换机成为备交换机。
主交换机选举规则如下图所示:
集群系统建立之前,每台交换机都是单独的实体,每台交换机有自己独立的IP地址,用户需要独立的管理所有的交换机;集群建立后集群成员对外体现为一个统一的逻辑实体,用户使用一个IP地址对集群中的所有交换机进行管理和维护。
集群系统的IP地址和MAC地址为集群系统首次建立时,集群主交换机的IP地址和MAC地址。
1.集群的管理和维护
集群建立后,所有的成员设备组成一台虚拟设备存在于网络中,所有成员设备的资源由主交换机统一管理。
用户可以通过LPU接口板上的业务端口、系统主用主控板上的串口或管理网口登录集群系统,对整个集群系统进行管理和维护。
对于单台没有运行集群的设备,接口编号采用:
槽位号/子卡号/端口号,设备加入集群后,接口编号采用:
集群ID/槽位号/子卡号/端口号。
如:
设备没有运行集群时,某个接口的编号为GigabitEthernet1/0/1;当该设备加入集群后,如果集群ID为2,则该接口的编号将变为GigabitEthernet2/1/0/1。
在集群环境下,业务流量转发与单框环境下不同,跨设备的转发需要经过交换网两次。
对于报文内容的处理没有区别,都需要进行一次上、下行处理。
2.配置文件的备份与恢复
设备从非集群状态进入集群状态后,会自动将原有的非集群状态下的配置文件备份,以便去使能集群功能后,恢复原有配置。
使能设备的集群功能并立即重启进入集群状态后,系统自动将原有的配置文件加上.bak的扩展名备份:
若原配置文件扩展名为.cfg,则备份配置文件扩展名为.。
若原配置文件扩展名为.zip,则备份配置文件扩展名为.。
去使能设备的集群功能时,用户若希望恢复设备的原有配置,可以更改备份配置文件名并指定其为下一次启动配置文件,然后重新启动设备,恢复原有配置。
3.单框配置继承的说明
集群系统首次建立后,竞争结果为主框的交换机上的配置文件会得到继承,该配置文件上的配置仍然生效。
由于之前该框上的配置文件不会出现备框的配置,故需要对备框重新配置。
4.集群分裂
集群系统建立后,主、备交换机之间定时发送心跳报文来维护集群系统的状态。
集群线缆发生故障可能会导致两台交换机之间失去通信,两台交换机之间的心跳报文超时,此时集群系统将分裂为两台独立的交换机,如下图所示。
集群系统分裂后,若两台交换机都在正常运行,其全局配置完全相同,会以相同的IP和MAC地址与网络中的其他设备交互,导致IP地址和MAC地址冲突,引起整个网络故障,此时即需要依靠集群的双主检测解决。
图1-3CSS分裂示意图
5.双主检测
双主检测,DAD(Dual-ActiveDetect),是一种检测和处理集群分裂的协议,可以实现集群分裂的检测、冲突处理和故障恢复,降低集群分裂对业务的影响。
双主检测方式有两种:
直连检测方式和Relay代理检测方式。
直连检测方式:
如下图所示,集群成员设备间通过专用直连链路进行双主检测。
图1-4直连方式双主检测示意图
在直连检测方式中,集群系统正常运行时,为了减轻CPU负担,不发送DAD报文;集群系统分裂后,集群成员交换机以1s为周期通过检测链路发送DAD报文。
Relay代理检测方式:
如下图所示,Relay代理检测方式在集群系统跨设备Eth-Trunk上启用DAD检测,在代理设备上启用DAD代理功能。
图1-5Relay代理方式双主检测示意图
在Relay代理检测方式中,集群系统正常运行时,集群成员交换机以30s为周期通过检测链路发送DAD报文。
集群成员交换机对在正常工作状态下收到的DAD报文不做任何处理;集群系统分裂后,集群成员交换机以1s为周期通过检测链路发送DAD报文。
集群分裂后,分裂成多部分的集群系统会在检测链路上相互发送DAD竞争报文。
集群系统将接收到的报文信息与本部分竞争信息做比较,如果本部分竞争为主,则不做处理,保持Active状态,正常转发业务报文;如果本部分竞争为备,则需要关闭除保留端口(设备上不会被关闭的端口)外的所有业务端口,转入Recovery状态,停止转发业务报文。
集群链路修复后,处于Recovery状态的集群将重新启动,同时将被关闭的业务端口恢复正常,整个集群系统恢复。
6、产品介绍
S7700智能路由交换机系列
(以下简称S7700)是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机。
该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供MPLSVPN、业务流分析、完善的QOS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。
S7700广泛适用于园区网络和数据中心网络,可对无线、话音、视频和数据融合网络进行先进的控制,帮助企业构建交换路由一体化的端到端融合网络。
S7700产品为满足不同用户的需求,同时提供S7703、S7706和S7712三款产品类型,用户可以根据不同的网络需求进行灵活的选择。
S7703最大支持3块LPU线路板
S7706最大支持6块LPU线路板
S7712最大支持12块LPU线路板
产品特点
S7700升级为敏捷交换机,让网络更敏捷地为业务服务
S7700支持随板AC,业务单板同时兼具无线AC功能,无需额外购买AC硬件;整机转发性能可达T-bit,解决外置AC处理性能瓶颈,助力客户从容面向高速无线时代。
S7700支持统一用户管理功能,屏蔽了接入层设备能力和接入方式的差异,支持PPPoE/MAC/Portal等多种认证方式,支持对用户进行分组/分域/分时的管理,用户、业务可视可控,实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。
●S7700支持SVF超级虚拟交换网,创新实现将盒式交换机虚拟为框式交换机板卡、将AP虚拟为框式交换机的端口,使得原来“核心/汇聚+接入交换机+AP”的网络架构,虚拟化为一台设备进行管理,提供业界最简化网络管理方案。
S7700采用iPCA网络包守恒算法,改变了传统利用模拟流量做故障定位的检测模型,实现从“粗放式运维”到“精准化运维”的大转变。
●S7700可以对任意业务流随时随地逐点检测网络质量,无需额外开销。
●S7700可以在短时间内立刻检测业务闪断性故障,检测直接精准到故障端口。
●S7700支持业务编排(ServiceChain)功能,ServiceChain对网络增值业务处理能力(如防火墙FW、反病毒专家系统AVE、应用安全网关ASG)进行业务编排,以便园区网络实体(如交换机、路由器、AC、AP、终端设备)可以无差别的利用这些能力,而不受物理位置的约束,提供一种更灵活部署园区增值业务的解决方案,减少客户设备投资和维护成本。
强大的业务处理能力,提升网络架构扩展性
S7700背板具备良好的扩展性,可平滑扩展至更高带宽,支持单端口速率40G平滑升级,同时完美兼容现网板卡,保护初始投资。
●具备超高万兆端口密度,助力企业园区和数据中心迎来全万兆核心时代。
●采用多业务路由交换平台,满足企业接入、汇聚、核心业务承载要求,支持无线、语音、视频和数据应用,为企业提供高可用、低时延、全业务的一体化网络解决方案。
●支持分布式L2/L3MPLSVPN功能,支持MPLS、VPLS、分层VPLS、VLL,满足企业VPN等接入需求。
●拥有完善的二、三层组播协议,支持PIMSM、PIMDM、PIMSSM、MLD、IGMP
Snooping,满足多终端高清视频监控和视频会议接入需求。
运营级高可靠性设计,可视化故障诊断
S7700具备大于的高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。
CSS主控集群创新性采用交换网集群技术,克服了业界普遍采用的线卡集群跨框多次交换,交换效率低下的架构难题,提供业界主机间最大的256G集群带宽,同时可以通过跨框链路聚合提高链路的利用率,并消除单点故障。
S7700还支持业务口集群技术,普通业务端口可以复用为集群端口,使端口应用更加灵活。
通过光纤进行集群可大幅增加集群的距离,突破了传统集群距离的限制。
S7700具备专用的故障检测定位子卡,提供高精度硬件级以太OAM功能,、和标准协议,网络故障发生时能够在第一时间检测所有终端Session联通性,图形化网管故障诊断界面,设备节点、链路自动遍历,实现网络快速故障检测与定位。
冗余控制引擎间主备无缝切换,设备优雅重启实现NSF无中断转发,并准备支持ISSU业务运行中软件升级,设备软件升级过程中确保关键业务和服务不中断的完善的QoS机制,提升语音、视频用户体验。
S7700提供高品质的QoS(QualityofService)能力,支持从链路层到应用层流分类技术,具备完善的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足企业不同用户终端、不同业务种类的服务质量要求。
S7700提供硬件组播QoS低延时队列,全面满足企业视频业务优先级保障需求,为视频会议、监控等关键业务提供高质量承载保障。
采用创新的优先级调度算法,对传统QoS队列调度进行了专门针对企业语音与视频的优化,大幅降低IP语音时延、消除视频马赛克,提高用户体验。
高性能IPv6业务能力,IPv4到到IPv6平滑升级
S7700软硬件平台均支持IPv6,取得工信部IPv6入网认证和IPv6Ready第二阶段金色认证。
支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv6静态路由、RIPng、OSPFv3、BGP+、IS-ISv6、IPv6组播,满足IPv6独立组网和IPv4/IPv6混合组网要求。
强大的网络流量分析能力,随时网络健康诊断
S7700支持Netstream业务分析功能,满足用户对网络流量实时采集、分析需要。
支持NetstreamV5/V8/V9多种报文格式,支持聚合流量模板,减轻网络采集器系统压力,支持实时流量采集、动态报表生成、属性分析、流量异常告警等功能,可以帮助客户对网络流量进行实时监控、现网设备吞吐分析,为优化网络结构、科学合理扩容提供决策依据。
全方位安全保护,应对企业内外部安全威胁
S7700采用内嵌集中式防火墙板卡,支持虚拟防火墙与NAT多实例,满足多VPN客户共用防火墙组网环境。
使用应用层包过滤技术对应用层报文内容进行复杂规则检测和过滤。
提供完善的NAC解决方案,支持MAC地址认证、Portal认证、认证、DHCPSnooping触发认证多种认证方式,有效应对哑终端接入、移动设备接入和集中式IP地址分配等多种接入方式的安全挑战,确保企业网络安全。
提供2级CPU保护机制,支持CPU硬件保护队列,可实现数据和控制的分离处理,防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁,提供业界领先的一体化安全解决方案。
无线AC模块,全面满足移动办公需求
S7700无线AC功能支持丰富的RF(射频)管理,支持AP上线时自动选择信道和功率,在AP重叠区域,信号冲突时自动调整功率或信道,RSSI(接收信号强度指示)/SNR(信噪比)的不断更新,让系统可以实时了解每一个无线用户所处电磁环境,提升网络可用性。
S7700无线AC功能支持认证、MAC地址认证、Portal认证、WAPI认证等多种认证方式,满足客户不同终端、不同安全等级设备的接入需求。
S7700支持二层漫游,终端设备跨AP漫游快速切换,AC间1+1、N+1多机冷备和AC间负载分担提高网络可靠性。
创新节能芯片,智能功耗控制。
S7700采用创新节能芯片,实现按流量动态调整功率,支持端口休眠,无流量不耗电。
支持智能POE供电,可以实现基于PD设备角色启动不同的能源管理方案,保持设备能源管理弹性。
支持IEEE能效以太网标准,线卡收发器具备低功率闲置模式,支持正常工作与低功率状态快速转换,低流量低功耗。
1.产品型号和外观:
产品规格:
项目
S7706
交换容量
包转发率
2880Mpps/12000Mpps
业务槽位
6
无线管理
支持随板AC
支持AP接入控制、AP域管理和AP配置模板管理
支持射频模板管理、统一静态配置和集中动态管理
支持WLAN基本业务、QoS、安全和用户管理
支持AC功能分层部署
用户管理
支持统一用户管理
支持PPPoE、、MAC、Portal认证方式
支持基于流量和时长计费方式
支持分组分域分时授权方式
VLAN
支持Access、Trunk、Hybrid方式
支持defaultVLAN
支持VLAN交换
支持QinQ、增强型灵活QinQ
支持基于MAC的动态VLAN分配
ARP
支持256KARP表项
MAC地址功能
支持1MMAC地址表项
支持MAC地址自动学习和老化
支持静态、动态、黑洞MAC表项
支持源MAC地址过滤
支持基于端口和VLAN的MAC地址学习限制
环网保护技术
支持STP(IEEE,RSTP(IEEE和MSTP(IEEE
支持SEP智能保护协议
支持BPDU保护、Root保护、环路保护
支持BPDUTunnel
支持ERPS以太环保护协议()
IP路由
支持1MIPv4路由表项
支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议
支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议
组播
支持128K组播路由表项
支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping
支持PIMDM、PIMSM、PIMSSM
支持MSDP、MBGP
支持用户快速离开机制
支持组播流量控制
支持组播查询器
支持组播协议报文抑制功能
支持组播CAC
支持组播ACL
支持MPLSOAM
支持MPLSTE
支持MPLSVPN/VLL/VPLS
可靠性
支持LACP、支持跨设备E-Trunk
支持VRRP、BFDforVRRP
支持BFDforBGP/IS-IS/OSPF/静态路由
支持NSF、GRforBGP/IS-IS/OSPF/LDP
支持TEFRR、IPFRR
支持以太网OAM和
支持
支持DLDP
支持运行中软件升级ISSU
QoS
支持256KACL
支持基于Layer2协议头、Layer3协议、Layer4协议、优先级等的组合流分类
支持ACL、CAR、Remark、Schedule等动作
支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式
支持WRED、尾丢弃等拥塞避免机制
支持5级H-QoS
支持流量整形
配置与维护
支持敏捷零配置部署
支持Console、Telnet、SSH等终端服务
支持SNMPv1/v2c/v3等网络管理协议
支持通过FTP、TFTP方式上载、下载文件
支持BootROM升级和远程在线升级
支持热补丁
支持用户操作日志
安全和管理
认证,Portal认证
支持NAC
支持RADIUS和HWTACACS用户登录认证
命令行分级保护,未授权用户无法侵入
支持防范DoS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击、大流量攻击
支持1KCPU通道队列保护
支持ICMP实现ping和traceroute功能
支持RMON
支持ServiceChain
增值业务能力*
支持Firewall功能
支持NAT功能
支持Netstream功能
支持IPSec功能
支持负载均衡功能
支持无线AC功能
支持IPS入侵防御系统
互通性
VBST基于VLAN生成树协议(和PVST/PVST+/RPVST互通)
LNP链路类型协商协议(和DTP相似功能)
VCMPVLAN集中管理协议(和VTP相似功能)
绿色节能
支持能效以太网
机箱尺寸mm(宽×深×高)
442×476×175
机箱重量(空配)
<15Kg
工作电压
DC:
–~–72V;AC:
90V~290V
整机最大功耗
≤800W
整机最大POE功率
2200W
2.解决方案应用
大型园区网解决方案
S7700智能路由交换机可以作为大型企业园区汇聚交换机设备,组建高可靠、业务易扩展、易管理的企业园区网络。
S7700支持硬件CPU通道队列,防火墙功能模块,在汇聚层为企业业务增加安全保障,保护企业核心免受DDOS攻击与各种安全威胁。
中小型园区网解决方案
S7700智能路由交换机支持OSPF
升级会员 