H3C ER6300千兆路由器网吧典型组网方案配置.docx
《H3C ER6300千兆路由器网吧典型组网方案配置.docx》由会员分享,可在线阅读,更多相关《H3C ER6300千兆路由器网吧典型组网方案配置.docx(23页珍藏版)》请在冰豆网上搜索。
H3CER6300千兆路由器网吧典型组网方案配置千兆路由器网吧典型组网方案配置H3CER6300千兆路由器网吧典型组网方案配置1网吧基本需求1.1网吧需求1:
防ARP攻击通常情况下,网吧掉线大部分是由于ARP攻击引起的。
用某网管的话说,要让网吧稳定很简单,只要让PC和路由器上都用静态ARP。
虽然说是ARP攻击,但实际上大部分ARP攻击并不是恶意的。
网上对于ARP攻击的产生是这样描述的:
现在网吧很多网络游戏都有外挂,但很多外挂中都有病毒。
这些病毒通过发送免费ARP报文,让局域网中所有的IP都指向本地PC,以此来获得局域网中所有的数据包,然后分析数据包,将网游的账号提取出来发送给木马作者。
ARP攻击的原理如下:
PC上指向网关的ARP表项被修改,导致PC到Internet的数据不能被转发到PC网关;PC网关的ARP表项被修改,PC网关不能将报文发送到相应的PC,导致该PC掉线;ARP攻击判断方法:
网吧内出现部分掉线,首先要判断的是不是受到的ARP攻击。
步骤如下:
(1)从掉线PC上Ping设备网关,如果是ARP攻击引起的,则不通;
(2)在掉线PC上通过使用“arpa”命令查看PC上指向网关的ARP表项是否正确。
如不正确,说明PC上的ARP表项已被修改,只要在PC上使用静态ARP就行了;(3)如果PC上的ARP表项正常,但仍然不通。
您需登陆到路由器,查看路由器的IP/MAC绑定表是否已经启用。
如果启用,请检查该PC的IP和MAC是否在绑定表中,若不存在,添加一条记录或取消绑定可解决;若存在,则可能另有其他原因。
【ARP攻击解决方案】:
目前成熟的解决方案是通过ARP双向绑定来实现的,即分别在PC和出口路由器上分别绑定对方的IPMAC地址,来达到防范ARP的目的。
ER路由器上采用导入IP/MAC绑定表,并选择“仅允许IP/MAC绑定的客户端访问外网”来防止ARP攻击,PC上用静态ARP表项绑定网关来防止ARP攻击。
1.2网吧需求2:
防BT(P2P)、迅雷过多占用带宽网吧应用中,P2P电影、BT、迅雷等点对点或多线程业务,对带宽占用很大,实际中常常会出现某一台PC在下载而导致整个网吧速率下降。
网吧与企业不同,网吧不能禁止,只能限制业务占用过多的带宽。
统计结果表明,200台左右的网吧用10M20M带宽的局点还是比较多的,这些网吧流量限制是必须的;对于一些带宽比较大(超过50M)的,网管也提出了该需求。
典型配置如下:
当带宽总数小于15M时,上行40KB/s,下行50KB/s;当用户带宽总数较高时,需要根据实际业务流量配置IP限速。
网吧的业务流量可通过ER的流量统计功能来查看。
【防BT(P2P)下载、防迅雷下载解决方案】:
使用IP流量限速,NAT限制。
1.3网吧需求3:
多WAN模式选择在单WAN接入的网吧,无论选择何种多WAN模式都一样。
但目前很多网吧都采用了双线接入,这样做的原因有多个方面,主要目的有以下几个:
为了提高游戏速度,可以实现“电信走电信,网通走网通”;以电信为主,开通网通主要为了看网通的电影;为了备份线路,以便某一个运营商出问题时,可以切换到另一个线路上。
对于此类双线接入的网吧,在ER上我们有三个模式可以选择:
主备模式,智能负载均衡模式,手动负载均衡模式。
实际环境中我们该如何选择?
下面是一点建议。
1、一般情况下,我们推荐用户使用手工负载均衡上网。
在该模式下,可以导入电信网通路由表来实现“电信走电信,网通走网通”。
2、如果网吧两条链路,其中有一条线路采用计费上网,此时可推荐使用主备模式。
几个多WAN模式说明如下:
主备模式:
同一时刻只有一条线路正常工作。
缺省情况下,只使用主链路转发数据。
当主链路出现异常时,所有的数据都自动切换到备份链路上;当设备检测到主链路恢复正常后,备份链路的数据又会自动切换回主链路。
注意:
只有当启用多WAN线路检测功能,设备才会自动切换链路上的数据。
智能负载均衡模式:
如果在设备上导入了电信/网通路由表,则报文优先按照电信/网通路由表转发;如果数据包没有匹配到(电信/网通)路由表,则自动根据WAN的带宽比例来转发;当设备检测到某一条链路出现异常时,该链路上所有数据会被自动切换到另一条链路上,当该链路恢复后,数据又会自动切换回该链路上。
注意:
只有当启用多WAN线路检测功能,设备才会自动切换链路上的数据。
手工负载均衡:
该模式下需要导入电信/网通路由表,并设置默认链路。
数据包优按照电信/网通路由转发,如果没有匹配到(电信/网通)路由表,则该数据从设置的缺省链路转发;如果运行过程中,某一条链路出现异常,该链路上的所有数据会被自动切换到另一条链路上,当该链路恢复后,数据又会自动切换回该链路上。
注意:
只有当启用多WAN线路检测功能,设备才会自动切换链路上的数据。
1.4网吧需求4:
防NAT攻击、路由攻击、异常流量NAT攻击:
该攻击可分为以下几类,一类是PC异常或中毒,发送源IP地址变化的报文,导致设备在建立NAT连接时无可用的端口而丢包;一类是PC异常或中毒,发送源IP(或目的IP、或源端口、或目的端口)不断变化的报化,消耗设备NAT表项,导致设备丢包。
路由攻击:
主要是针对路由缓冲的攻击,PC异常或中毒,发送源IP或目的IP不断变化的报文,导致设备路由缓存处于满配置状态,降低设备转发性能。
异常流量:
PC异常或中毒,向Internet大流量发包,过量占用网吧带宽,导致网吧掉线。
【NAT攻击、路由攻击、异常流量解决方案】:
按要求启用IP流量限制和NAT限制。
2网吧常用业务介绍2.1负载均衡负载均衡是一种廉价有效透明的方法以扩展现有网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性的技术。
负载均衡能力是区别于单WAN口宽带路由器的主要特征,也是考察多WAN口宽带路由器性能优劣的重要指标。
根据策略的不同,负载均衡的实现也不同,不同于单WAN口宽带路由器,由于多WAN口的存在,如何分配各WAN口的数据流量成了多WAN口宽带路由器必须解决的问题,各种负载均衡策略也应运而生。
不同的负载均衡策略的处理方式不一样,即使采用相同的硬件配置,如果采用不同的负载均衡策略,在工作中整机的表现也会完全不一样,一般常用的负载均衡策略有:
基于内外网IP地址;基于设备NAT表项;基于路由器的转发流量大小(或线路的带宽比例);基于服务器的负载能力(如无盘服务器的分布架构);2.2路由策略传统的路由策略都是使用从路由协议派生出来的路由表,根据目的地址进行报文的转发。
在这种机制下,路由器只能根据报文的目的地址为用户提供比较单一的路由方式,它更多的是解决网络数据的转发问题,而不能提供有差别的服务。
基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力。
基于策略的路由比传统路由控制能力更强,使用更灵活,它使网络管理者不仅能够根据目的地址,而且能够根据协议类型、报文大小、应用、IP源地址或者其它的策略来选择转发路径。
策略可以根据实际应用的需要进行定义来控制多个路由器之间的负载均衡、单一链路上报文转发的QoS或者满足某种特定需求。
常见的路由策略有:
基于源IP的路由策略,基于目的接口的路由策略,基于数据包大小的路由策略、基于应用的路由策略和默认的策略路由等。
相对于单WAN口路由器,多WAN口路由器的路由策略选择更加灵活。
2.3Ghost网络克隆GHOST全称GeneralHardwareOrientedSoftwareTransfer,是Symantec公司出品的一款硬盘操作工具,目前国内网吧流行使用8.2或者8.3版本。
GHOST可以采用网络方式进行一对多硬盘拷贝是其一大特色,网络拷贝的方式可以选择:
组播(默认方式)、广播或者单播。
网吧可以使用该功能进行整个网吧电脑操作系统进行统一安装和维护。
在网吧进行网络克隆时,需要在网卡上加装PXE启动芯片(PXEBootROM),进入纯DOS环境进行还原(GHOST已经可以支持在Windows环境下进行还原,但是如果需要还原系统盘,必须进入纯DOS状态);对于某些型号的网卡,也可以将PXE启动代码(BootCode)写入主板(例如目前流行的NF和945主板)的FlashROM,支持主板集成网卡直接PXE启动。
国内网吧最流行的网络克隆软件是MAXDOS。
MAXDOS的原理是在Windows下把DOS的引导文件给加进去,并修改引导区,使引导区出现进入DOS的选项。
进入纯DOS环境后,首先查找并加载适合主机网卡的DOS驱动,随后调用GHOST主程序,进行网络克隆。
MAXDOS软件核心程序仍为GHOST8.2版本,目前新版本MAXDOS软件开始支持GHOST8.3。
另外一种网络克隆的方式是还原卡克隆,比如三茗克隆神将。
在开机加载还原卡BootCode后,可以进入还原卡自带的硬盘克隆程序,采用Server/Client构架,为选定为Server的硬盘数据向Client端进行快速分发。
还原卡硬盘数据分发通常采用广播方式。
不建议同时进行全网克隆;建议分批进行网刻,每次克隆的PC数不超过20台。
2.4英保通技术部分主板FlashROM直接集成了硬盘数据分发工具,比如:
英特尔“英保通”技术。
英特尔公司近几年大力推行的英保通TM技术,根据国内网吧普遍存在的一些问题和技术难点,提出的全网解决方案。
英保通Agent软件集成在Intel专用主板(目前华硕、精英也推出了支持英保通技术的主板)上的FlashRom,客户端开机后,软件主动发出广播申请加入服务器管理域,服务器端可以选择是否接收客户端。
当把客户端加入管理列表后,英保通系统采用单播方式的私有协议实现远程控制和资产管理功能;硬盘镜像和升级包部署功能,则是通过组播方式(缺省方式,也可以选择单播或者广播方式)的私有协议实现,采用类似Server/Client构架。
2.5无盘启动无盘启动,在网吧行业也是一种不可忽视的技术。
其特色就是客户端不要安装物理硬盘,启动时统一调用服务器上的操作系统镜像,把网络当成客户端的逻辑硬盘。
与有盘系统相比,无盘系统利于统一式管理和维护;部分无盘客户端的数据可以直接从服务器缓存中读取(比如:
魔兽世界切换地图),在一定程度上来说让网吧维护变得更加快捷方便,同时不需要考虑物理硬盘的消耗,为网吧节省了维护成本。
由于无盘系统的实时性,对网络的报文转发速率、延时和丢包率均有较高要求,网络的质量对无盘系统的运行稳定性也有很大影响。
2.6游戏更新对比更新技术对比更新技术是网吧早期的游戏更新技术,最典型的莫过于迅闪软件,即在一个服务器上存放所有网络游戏的最新版本,做个共享出来。
然后在客户机上用迅闪做成更新的图标来替换游戏图标。
顾客双击某个游戏图标,迅闪就会把本机的这个网络游戏和服务器上的相应游戏做对比,然后自动把不相同的文件复制到本机,相同的就跳过。
所有不同文件处理完以后再自动进入网络游戏。
通过这个方法就属于局域网络的游戏更新了,人工需要做的是把服务器上的每个游戏都升级成最高版本,所以讯闪的技术核心为文件对比,如果文件大小不一样就拷贝。
优点:
对服务器的依赖性不大,如果服务器不能连接直接从本地启动网络游戏。
缺点:
对比更新完后不存储,下一个顾客来上机必须再更新一次。
一段时间之后需要更新的文件是越来越多,等待更新的时间也会越来越长。
对网络的影响:
更新文件时,会产生较大的局域网流量。
2.7游戏更新只读更新技术利用XP系统的双帐号对游戏分区进行不同的权限设置,将游戏盘设置为只有高级帐号才可以进行存储,其他所有用户为只能读取。
只读更新实现方式:
(1)首先确定需要更新的网络游戏盘不保护,并一定要采用NTFS分区。
administrators组有2个用户。
假设有administrator和clinet两个权限帐户,把clinet帐户设置成客人上机的默认帐户,网络游戏安装在D盘,设置成D盘不保护。
(2)一定要使用administrator帐户登陆系统。
针对D盘,先删除D盘所有用户的权限,然后添加administrator帐户的权限,权限设置为:
完全控制,再添加Everyone用户(只分配读取权限)。
再把“用此显示的可以应用到的子对象的项目替代所有子对象的权限项目”打上勾,点“确定”按钮。
通过以上的设置,administrator帐户可以往D盘里面写数据,但是顾客上机使用的clinet帐户却无法往D盘里面写数据,此时就可以通过只读更新软件实现在administrator帐户下往D盘里更新游戏数据。
优点:
不依赖服务器,通过本地更新后可以存储起来。
缺点:
D盘只能读取,只能通过更新软件的游戏菜单进入游戏,因此很多网络游戏的插件、外挂无法运行,私服不能运行。
2.8游戏更新虚拟磁盘技术虚拟磁盘技术,即将一台服务器的硬盘虚拟出来给所有客户机,客户机器多出一个盘符。
但不同与早期的那个共享映射,客户机对虚拟盘的盘符可以进行任何操作,但重启后盘的内容保持不变。
盘上的游戏更新通过服务器来实现,网吧业主只需要在服务器的挂卷硬盘上添加目录和更新游戏,客户端的本地虚拟硬盘里就有了相应的游戏软件,不需要到每台机器进行安装。
优点:
只需要在服务器上把游戏更新,下面的客户机器游戏就是最新的,而且实现了扩展客户机硬盘的目的,所有客户对挂卷硬盘可以进行任何操作而不损坏硬盘内容,包括格式化。
缺点:
对服务器的依赖性大,对服务器的配置要求高,因为所有的游戏都要在服务器挂卷硬盘上运行,所以一旦访问量大了玩游戏会卡。
2.9游戏更新对等乱序更新、基于文件快照技术对等乱序更新模式下,局域网内的每台机器根据自身的繁忙程度成为服务器或者成为客户机,使得更新从以前的从一台服务器更新发展到从众多的服务器上更新,将更新的速度提升到极限。
基与文件快照技术的更新则是将服务器与客户机上的文件进行快照,则在需要更新的时候直接对比快照数据库,不必再耗费系统资源进行文件对比,将对比速度大幅度提升。
比较典型的如易游网娱平台。
2.10游戏更新穿透还原保护技术假设:
某家网吧发现有一个补丁包需要升级,而这家网吧每个机器上都装有还原软件,那么网管:
(1)运行制作软件(名为UpMaker),填好版本,说明,安装目录等,然后保存目录信息。
(2)安装的最新版本。
(3)使用UpMaker制作升级包(一个*.UP文件),然后把这个文件拷贝到本网吧服务器的一个指定目录下。
(4)整个过程只需要5-10分钟。
剩下的工作,包括游戏补丁的分发,传输,转储都是自动完成的。
系统会自动把分发UP文件到每台电脑的非保护分区(这个非保护分区大小为1-2G,一般设为隐藏分区且不安装任何软件)。
重新启动后,操作系统会发现UP文件并且把它转储到硬盘上,一次安装,永远有效。
(5)客户端软件会自动校验UP文件,一旦数据损坏,客户端软件也会自动重新拷贝,安装。
一直到所有需要安装的UP文件包都正确安装为止。
优点:
基本可以在全盘保护的状态下进行游戏更新数据的转储,从最大的限度上减少了网吧母盘的故障发生和感染病毒机率。
缺点:
如果在客户上机的时候游戏更新了,只能让用户重启一次计算机才行。
如果再在系统里加入对比更新这个功能,基本上就能满足目前游戏更新的问题了。
2.11游戏服务器同步更新网吧通常需要在客户端安装大量网络游戏,而网络游戏的更新速度极快,难道每个游戏更新后都需要在客户端执行手动更新?
这时需要用到游戏更新软件。
通常,游戏更新软件都是采用同步对比更新的方法,其原理是客户端从服务器获得文件的MD5值列表,里面包含所有最新文件的MD5值。
在对比服务器和客户端本地文件列表MD5值的差异后,与客户端本地文件不同或者本地文件根本不存在,则从服务器下载该文件。
常用的游戏同步更新软件有迅闪、网维大师、网吧点点通、网吧同步更新专家等。
这些同步更新软件,对比更新的原理基本相同,只是在界面和从服务器获取文件的方式略有不同。
2.12硬盘保护与还原穿透由于网吧顾客参差不齐,客户端电脑数据必须进行保护,以免造成系统崩溃或者被人植入恶意代码。
通常的做法是安装还原卡或者还原软件,当客户端电脑启动时,还原卡和还原软件会抢先夺取引导权,将原来的0头0道1扇保存在一个其他的扇区(具体备份到哪个扇区是不一定的),将自己的代码写入0头0道1扇,从而能在操作系统之前得到执行权,这一点类似于引导型病毒。
然后,还原软件把中断向量表中的INT13H入口地址保存。
把自己用于代替INT13H的代码常驻内存,并将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。
补充一点,虚拟还原软件在修改INT13H的入口后往往都会修改一些其他中断入口,当然也是通过常驻程序来实现的,这些中断用来实现对中断向量表中INT13H入口地址监控,一旦发现被修改,就马上把它改回,这样做同样是用来防止被有心人破解;同时,虚拟还原软件还需要备份INT70H,71H中的内容,防止BIOS被修改。
常用的还原卡有三茗、小哨兵等等;常用的虚拟还原软件有还原精灵、冰点还原等等。
当客户端电脑启动后,还原软件对硬盘进行的读写操作进行记录,并在电脑重启后还原这些操作,保证数据安全。
当然,严格的硬盘保护也会带来一些使用上的不方便,比如同步更新的数据每次重启后都会被还原。
这时,软件开发人员想到了还原穿透技术。
同步对比更新软件与还原技术相互配合,将由同步更新的数据通过指定的接口,绕过还原软件,写入客户端硬盘,以达到还原穿透的目的。
2.13流量监控与信息过滤流量监控和信息过滤软件是公安部及文化部要求网吧必须安装的软件。
常见的如过滤王、信息卫士、任子行等等。
流量监控软件主要负责对通过网关的报文进行分析和过滤。
一方面,将分析结果上传到公安局的管理服务器,以达到公安部门对互联网信息监控和安全管理的目的;另外一方面,配合信息过滤软件阻止非法信息访问。
从总体上来说,监控软件的工作原理相同,均需要核心交换机实现端口镜像,把核心交换机与网关(比如路由器)之间的出入端口报文镜像到监控主机的端口,由监控主机上的Wincap和上层协议分析软件处理后,把系统日志统一发送到远端的公安局监控管理服务器。
信息过滤软件阻止客户端访问非法信息,则是通过对监控软件截获的HTTP报文(明文)进行内容分析和过滤,如果发现含有非法字段的网页,则根据TCP的序列号冒充远端服务器向客户端发送关闭连接的报文(TCPRST报文),实现非法信息过滤。
2.14ARP攻击防护Internet网络病毒泛滥和恶意攻击屡禁不止是不争的事实,网吧作为小型公共网络中心,对病毒和各种网络攻击的防护也是刻不容缓。
网吧常见的攻击方式有蠕虫病毒、ARP欺骗攻击和DOS攻击。
蠕虫病毒是一类复制和传播能力很强的病毒。
当蠕虫软件侵入网吧内一个主机并开始运行时,它随机选取一段IP地址,然后发出大量扫描包对这一地址段上的主机扫描,从中寻找有漏洞的主机。
每发现一个目标,就立即入侵该主机。
当网吧内大量主机感染蠕虫病毒后,扫描包会占用大量网络带宽,造成网速大幅度下降和运行不稳定现象。
ARP欺骗攻击通常将执行脚本隐藏在网页中,当用户访问时下载到网吧内部客户端电脑后台自动执行。
一方面,病毒对局域网进行扫描,伪称自己是真实的网关;另一方面,欺骗网关,冒充其他客户端的IP地址。
ARP欺骗是一种典型的“中间人”攻击,目的是从监听的流量中窃取密码等敏感信息。
除造成用户信息泄密外,由于ARP表震荡和网吧外部访问流量较大等原因,ARP欺骗攻击容易引起网吧频繁掉线等故障。
DOS是拒绝服务攻击的简称,这种恶意攻击的执行方式很多。
比如SYNFlood攻击,网吧客户端执行该脚本后,会并发目的IP地址并不存在的TCP连接,占用大量路由器NAT表项,最终引起路由器负荷过高或者NAT条目不够,造成网吧断网。
2.15端口绑定出于安全性和管理方便的考虑,网吧一般需要将客户端的静态MAC、IP地址和接入交换机的端口实现绑定。
一方面,当网络出现异常时,可以快速确认故障点,协助定位问题;另一方面,对于非绑定主机,限制或者禁止其访问网络的权力,以免出现人为的内网攻击或者非法侵入。
此外,实现绑定的端口可以配合交换机ACL安全策略,实现内网攻击防护;针对指定端口、IP或者MAC地址,甚至指定业务流,进行速率限制等等。
3网吧常用方案介绍3.1H3C有盘+Ghost网吧组网方案本方案采用核心层和接入层二层组网结构,具有以下特征:
结构简单,方便管理维护;可满足网吧所有基本需求,经济实惠,性价比高。
3.1.1组网图3.1.2配置步骤1.接入交换机上的配置关闭流控,具体设置请参见“5.2.1”。
2.核心交换机上的配置
(1)关闭流控,具体设置请参见“5.2.1”。
(2)启用端口镜像,具体设置请参见“5.2.2”。
(3)启用四元绑定(可选),具体设置请参见“5.2.3”。
3.路由器上的配置
(1)设置上网方式,具体设置请参见“5.1.1”;
(2)启用防ARP攻击,具体设置请参见“5.1.3”;(3)启用QoS限速,具体设置请参见“5.1.2”;(4)启用网络连接限制,具体设置请参见“5.1.2”。
如果需要使用Ghost网刻,则必须关闭流控,否则会导致网刻速度慢。
网刻时,由于单个PC的网卡性能会影响到所有PC的网刻速度,因此我们不推荐全网同时网刻,建议在单个接入交换机下分批网刻。
3.2H3C无盘网吧三层组网方案本方案采用核心层、汇聚层、接入层三层组网架构,具有以下特征:
结构清晰,网络可展扩性好;新增网络节点不会影响到已有网络的稳定性。
从网络结构上对无盘服务器的流量进行均衡,减轻服务器负载。
网吧实现区域化管理,方便定位故障。
增加网吧可靠性,一台无盘服务器发生故障时不会影响到其他无盘服务器。
3.2.1组网图3.2.2配置步骤1.接入交换机上的配置启用流控,具体设置请参见“5.2.1”。
2.汇聚交换机上的配置启用流控,请参见“5.2.1”。
3.核心交换机上的配置
(1)启用流控,具体设置请参见“5.2.1”。
(2)启用端口镜像,具体设置请参见“5.2.2”。
(3)启用四元绑定,具体设置请参见“5.2.3”。
4.路由器上的配置
(1)设置上网方式,具体设置请参见“5.1.1”;
(2)启用防ARP攻击,具体设置请参见“5.1.3”;(3)启用QoS限速,具体设置请参见“5.1.2”;(4)启用网络连接限制,具体设置请参见“5.1.2”。
3.3H3C无盘网吧二层组网方案3.3.1组网图3.3.2配置步骤1.接入交换机配置:
(1)启用流控,具体设置请参见“5.2.1”。
(2)启用端口聚合(可选),具体设置请参见“5.2.4”。
2.核心交换机配置
(1)启用流控,具体设置请参见“5.2.1”。
(2)启用端口镜像,具体设置请参见“5.2.2”。
(3)启用端口聚合(可选),具体设置请参见“5.2.4”3.路由器上的配置
(1)设置上网方式,具体设置请参见“5.1.1”。
(2)启用防ARP攻击,具体设置请参见“5.1.3”。
(3)启用QoS限速,具体设置请参见“5.1.2”。
(4)启用网络连接限制,具体设置请参见“5.1.2”。
4H3C推荐的网吧组网产品H3C推荐的网吧组网产品特点说明路由器MSR50-06多WAN,全千兆,最高带机量1000ER8300双WAN,全千兆,双核,最高带机量400ER6300双WAN,全千兆,双核,最高带机量300ER520