DRNEEEE产品特性描述ISSUE.ppt

Page1,修订记录,本页不打印,NE5000E80E40E产品特性描述,Page3,前言,NE5000E/80E/40E系列产品是华为技术有限公司自主开发的高端路由器产品，提供高带宽、高处理性能、丰富的接口类型和业务类型。本课程主要介绍产品高可靠性、QoS、MPLSVPN、组播、安全、IPv6、网管、组网。,Page4,培训目标,学完本课程后，您应该能：了解NE5000E/80E/40E路由器的高可靠性了解NE5000E/80E/40E路由器的MPLS和QoS特性等了解NE5000E/80E/40E路由器的特性在现网中应用,Page5,目录,VRP操作系统平台可靠性QoSMPLSVPN组播安全IPv6网管组网应用,Page6,目录,VRP操作系统平台可靠性QoSMPLSVPN组播安全IPv6网管组网应用,Page7,NE5000E/80E/40E路由器的操作系统,VRPCore,VRPShell,ProductCode,VRP核心独立于产品路由/TCPIP栈/MPLS/MPLSVPN,VRPshell部分依赖产品链路层。,产品代码与产品相关驱动/设备管理/转发。,Page8,VRP控制平台,Page9,VRP结构设计采用业界先进的组件化技术,系统结构高度模块化组件可单个升级，不影响系统的其他组件系统维护更容易，业务扩展更平滑,BGP组件示例,BGP核心,BGPforIPv4组件,BGPforIPv6组件,BGPforIPv4VPN组件,Shell,接口,Ha,Cfg,Func,Ha,Cfg,Func,Ha,Func,Cfg,Page10,在线补丁技术,代码段,代码段,原始代码段,代码段,代码段,代码段,正常程序,补丁代码区,用增强型补丁代码段替换原始代码段,补丁代码,在线加载,优化代码段,在线补丁技术提供了灵活的业务增强和缺陷修改的手段，保证了网络业务的可靠持续提供,Page11,路由特性,PFE,SearchingEngine,采用TCAM查表技术，每秒查表超过25Mpps/10G接口,采用高性能CPU和大容量内存,计算速度和容量都大幅提升,采用NP处理IP转发，实现各种IP路由和业务特性,策略路由静态路由RIP、OSPF、IS-IS、BGP4路由策略路由迭代,基本路由特性,路由快速收敛路由波动抑制路由协议平稳重启GR路由协议多进程/多实例IS-IS协议L2路由向L1的泄露IS-IS宽度量BGP的扩展：forIPv6、forIPv4/IPv6VPN、forMulticast、forL2VPN、forQPPB等多路径负载分担,增强路由特性,Page12,目录,VRP操作系统平台可靠性QoSMPLSVPN组播安全IPv6网管组网应用,Page13,全方位的可靠性技术,双主控多交换网,冗余备份,NSF,BFD,GraceRestart,快速链路故障检测,路由优化,路由快速收敛弱策略路由ECMPIPTRUNK,FRR,IPFRRTEFRRLDPFRRVPNFRR,设备级可靠性99.999%网络级可靠性,Page14,路由可靠性,主MPU,备MPU,LPU,交换机制,IPC,FIB,FIB,FIB,FIB,RIB,RPA,MPLS,IFN,ET,IPC,IPC,入报文,出报文,物理接口,数据转发不间断,心跳检查,相邻路由器,恢复后继续会话,短暂中断时,不需要删除路由,实现平稳重启,通知相邻路由,器启动GR特性,BFD快速链路检测IPTRUNK与ECMPIGP/EGP/LDP快速路由收敛IP快速重路由(IPFRR)IP快速路由备份(IPFRB)IP/VRF弱策略路由NSF/GR,路由可靠性技术,Page15,NSF不间断转发,FIB,FIB,数据包,FIB表,统计和状态信息,转发单元,控制单元,1+1冗余稳定的切换GR能力,控制与转发平面相分离全面的GracefulRestart能力每块线卡具有冗余的，能够独立的进行包转发和链路状态维护,Page16,路由协议快速收敛,BGP快速收敛,ISIS快速收敛,OSPF快速收敛,LDP快速收敛,某电信运营商设备选型,IGP收敛速度业界领先（297ms），最快速的IGP收敛速度LDP收敛速度业界领先（376ms），最快速的MPLS收敛能力BGP收敛速度业界领先（12.8s），优异的BGP收敛性能,Page17,Damping机制,BGP组件,BGPforIPv4组件,BGPforIPv6组件,BGPforIPv6VPN组件,BGPDamping,SDH/MSTP,长距传输,IPDamping,VLANDamping,SR,AG,提供路由变化抵消机制下刷fib前被撤销，路由不会下刷fib发布前被撤销，路由不会被发布给邻居提供路由震荡抑制功能,提供端口Up/Down抑制机制避免链路质量不稳定影响路由震荡不影响正常的TRAP产生和发送,提供VLANUp/Down抑制机制避免AG主备链路切换时VLAN瞬断不会引起协议层面震荡、收敛,Page18,VPNFRR,核心节点,SR,SR,P节点,PE节点,PE节点,LAN,SR,SR,PE节点,PE节点,解决VPN路由收敛慢的问题,业务接入,业务接入,路由器转发平面同时保留主用PE路由器的外层标签、主用PE路由器过来的内层标签，以及对应的备用PE路由器的外层标签和备用PE路由器发送过来的内存标签使用BFD等端到端故障检测方法，在200ms内感知远端主用PE故障，然后进行主备内外层标签的同时切换VPNFRR解决的是内层标签的切换问题，其倒换优先级低于LDP/MPLSTEFRR，因此故障感知时间要长于LDP/TEFRR的保护倒换时间,Page19,VLLFRR,BSC,SGSN2,SGSN1,FrameRelay,CE1,CE2,PW1,PW2,P,PE,PE,PE,PE,P,P,P,IP/MPLSCORE,VLLFRR采用快速检测机制OAM和BFD，实现PW与AC之间的映射，在发生PW、PE或AC故障时及时采取措施，倒换到可用的备选路径。,Page20,双向转发检测(BFD),BFDHellodatagram,10mssendingintermission,BFD运用于直连路由器间,BFD用于非直连路由器间,传输系统,BFD(Bi-directionForwardingDetect:draft-ietf-bfd-v4v6-1hop-02.txt).默认间隔时间为10ms，故障会在3倍间隔时间内被检测到。每个BFD报文不会超过100字节，因此，带宽占用为：78Bytes100/s8bit/Byte=624000bit/s=60.9Kbps.由线卡上的NP处理器处理，不耗用主控板上的CPU资源。,Page21,BFD应用,BFDHelloDatagram,10mssendingintermission,BFDforVRRP,BFDforISIS/OSPF,BFDforBGP,BFDforTEFastReroute,BFDforPIM,BFDforLSP,Page22,BFDforTEFRR,IP/MPLSCORE,P,PE,PE,PE,PE,P,2G/3GRAN,NGN,NGN,2G/3GRAN,TEFRR,(LDP+IGP)FC,P,P,IPFRRE-VRRP,BFD,MSTP,MSTP,Eth,Eth,Eth,Eth,在以太端口之间用MSTP，如果没有BFD，单点和链路故障均不能被检测。主隧道不能检测故障并触发TEFRR华为在业界第一家提供BFDforTEFRR,Page23,增强VRRP(E-VRRP),骨干网,VRRP,BFD检测,主路由器,备路由器,路由器实例,在局域网环境中，每个主机需要通过一个网关连到外部网络。仅一对一的连接不能保证其可靠性。两台部署了VRRP的路由器可以为同一局域网内的主机提供一个统一的虚拟网关。华为用BFD配合VRRP来增强错误检测，这种机制被称之为增强VRRP,Page24,MPLSTE自动快速重路由,P,PE,PE,P,PE,PE,PrimaryTETunnel,NMS,BypassTunnel,BypassTunnel,自动快速重路由可以自动设置一个备用隧道以减轻负载和提高网络可靠性,Page25,PE11,PE12,PE21,PE22,P11,P12,P11,P12,CE,VRF,VRF,VRF,VRF,IP/MPLSCore,CE,BackupTunnel,PrimaryTunnel,BackwardTunnelforBDI,MPLSOAM隧道保护组,部署E2ETE主备TE隧道组成一个TE隧道保护组采用MPLSOAM快速检测。MPLSOAM是ITU-T标准(ITU-TY.1711&Y.1720)BDI反向隧道可以复用保留的备用隧道端到端200ms保护在穿越MSTP网络时切换时间不受影响,Page26,目录,VRP操作系统平台可靠性QoSMPLSVPN组播安全IPv6网管组网应用,Page27,QoS特性,接收报文,报文分类/标记,拥塞检测/避免,报文发送,出接口,入接口,源地址目的地址源端口目的端口协议类型TOS,ACL,CAR,流量监管,拥塞管理,VOQ调度,DWRR/WFQ,WFQ,PQ/DWRR,WFQ/DWRR,流调度,PQ/WFQ,交换网,端口调度,优先级调度,流调度/整形,Page28,专家级层次化QoS,NE,物理端口,业务类,用户组,用户,用户业务,五级调度，精细参数配置，按需保障SLA,五级调度机制，业务能力更丰富8业务类，256用户组，支持4K用户，最大支持64K用户流可配置流队列最大队列长度，WRED参数，低时延，SP/WRR权重，带宽突发度CBS和PBS，统计使能等参数，业务更灵活可配置每用户最小保证事宽CIR，最大突发带宽PIR，所含的流队列数目，所含的流队列之间的调度算法等参数，用户服务差异化,Page29,目录,VRP操作系统平台可靠性QoSMPLSVPN组播安全IPv6网管组网应用,Page30,MPLSVPN一网多平面,ATM,Page31,NE5000E系列路由器支持的功能,MPLSBGPVPN(RFC2547)MPLSVLL(CCC,SVC,Martini，Kompella)VPLS(VPLS-BGP,VPLS-LDP)PWE3,OSPF-TE、IS-IS-TE、RSVP-TE、CR-LDPMPLSFastReroute支持基于TE的FRR和基于LDP的FRR支持LDPoverTEtunnel,支持MPLSVPN,支持MPLSTE,Page32,MPLSVPN特性,MPLS网络,MPBGP,UPE,SPE,UPE,PE,PE,分层PE,MPLS网络,VPN2site2,VPN1site1,VPN2site3,VPN1site3,VPN1site2,VPN2site2,支持HoPE技术，实现VPN的延伸和扩展,支持各种方式接入MPLSVPNPPP、HDLC、ATM、Eth/VLAN等远程拨入/隧道接入,支持PE-CE间各种路由协议静态路由、BGP、RIP、OSPF、ISIS等,支持跨自治域方案VRF-to-VRFMP-EBGPMP-MultihopEBGP,PE-ASBR,PE-ASBR,VRF数量1KVRF路由表容量单VRF可支持70万，总和200万VSI数量4KMAC地址容量64K,提供VPNManager，提供跨厂家的VPN管理,支持MPLSL2VPN/VPLSMartini模式Kompella模式,支持MPLSVPNoverGRE,支持基于IPv6的MPLSVPN(6PE)特性,Page33,MPLS/TE特性,支持显示路径支持带宽分配支持链路颜色支持优先级与抢占支持隧道优化支持隧道备份支持快速重路由FRR支持跨域隧道支持DS-AwareTE支持配置转发邻居支持自动路由宣告,MPLSTE特性,支持负载分担支持自动带宽调节支持在线路径计算支持离线路径计算支持流量统计和计费,Page34,VPN/TE映射,RSVP-TE建立DS-TE隧道BFDforTE隧道,支持VPN/TEMapping，实现特定VPN独占TE隧道,LDP建立一般LSP,MPLSFRR,PE,PE,PE,全程TE保护，高质量SLA服务能力，充分保证VPN用户的业务质量,PE间通过LDP建立LSP，同时可以采用RSVP-TE建立DS-TE隧道针对重要VPN业务，通过VPN/TEMapping功能，将VPN流量按照业务类型影射到DS-TE隧道中，实现RS-VPN（资源预留VPN），保证独立资源一般VPN仍然通过普通LSP连接,Page35,目录,VRP操作系统平台可靠性QoSMPLSVPN组播安全IPv6网管组网应用,Page36,支持丰富组播特性,组播协议：PIM-DM、PIM-SM、MSDP、MBGP、IGMP、AnycastRP等；组播QOS组播VPN,组播特性,组播路由数量:8K组播转发性能:10G线速组播复制能力:1024,组播关键指标,Page37,支持多级硬件分布式复制,TM,TM,TM,TM,TM,TM,组播队列,复制到需要的端口,出引擎复制组播到字端口,入流量,出流量,组播转发机制,两级分布式复制，确保性能：交换网复制到线卡，线卡复制到端口和子接口；单播和组播分别采用不同队列，避免相互影响,Page38,目录,VRP操作系统平台可靠性QoSMPLSVPN组播安全IPv6网管组网应用,Page39,支持多级安全机制,CP,转发层面,第一级：转发层面双向ACL&CAR线速包过滤防火墙,第二级：转发层面硬件CP-ACL&CPU-CAR硬件实现ACL和CAR流控，保证CPU安全上送CPU报文微粒度分类，过滤非法报文精细限制报文速率，防止CPU超载,第三级：控制层面CP-ACL内嵌状态防火墙对CPU的控制信息进行精细智能安全控制,MPU板,数据流,控制流,控制、转发、监控平面向分离的体系架构，保证设备的安全,Page40,支持ARP防攻击特性,空间攻击：通过发送伪造的大量ARP请求、应答报文，造成路由器设备的ARP表项溢出；时间攻击：通过发送伪造的大量ARP请求、应答报文或能触发路由器ARP处理的报文，造成路由器计算资源忙于应付ARP处理，影响其他业务转发；,ARP攻击,防ARP攻击方案,ARP表项限制：支持基于端口/子接口/VE接口/Eth-Trunk/Eth-Trunk子接口/Vlan的ARP表项限制；ARP报文限制：基于源或目的地址的时间戳抑制；只学习自己发送请求报文的应答ARP报文；加强上送检查；“非攻击”优先；每单板报文CP-CAR；ARPmiss消息抑制：基于源的ARPmiss时间戳抑制；表项满时自动加快老化速度；miss报文CP-Car；,2,1,1,2,3,Page41,协议保护技术GTSM,GTSM(GeneralizedTTLSecurityMechanism)，即通用TTL安全保护机制，RFC3682，通过检查报文的TTL值来实现过滤非法报文的目的；保护建立在TCP/IP基础上的控制协议（如路由协议等）免受CPUoverload资源消耗攻击此方案部署简单，极大降低对BGP自治系统内部DDOS攻击的效力，支持BGP和OSPF,Page42,协议保护技术身份认证,ISP,bgp100router-idXXXpeerXXXas-number200,AS100,Hacker,Spoofing,bgp200router-idXXXpeerXXXas-number100,确保路由协议的合法性，防止仿冒协议报文攻击；目前用于认证的算法有MD5，SHA1等；适用的协议有BGP、OSPF、ISIS、LDP、RIP、RSVP等；,Page43,防源地址欺骗技术uRPF,SxDData,Int1,Int2,Int3,FIB,DestPath,SxInt1SyInt2Sznull0,SyDData,Int1,Int2,Int3,FIB,DestPath,SxInt1SyInt2Sznull0,SxDData,uRPF是一种防源地址欺骗的技术，部署在网络边缘设备；支持基于端口/子接口/VLANif/Trunk/RPR接口/ATM接口/MPLS；严格模式：根据源地址查路由表，查到的接口应该与包入接口一致，否则丢弃；,Page44,目录,VRP操作系统平台可靠性QoSMPLSVPN组播安全IPv6网管组网应用,Page45,IPv6特性,IPv6协议栈ICMPv6、PathMTU、ND、自动配置、DNSClient等IPv6过渡技术双栈、自动隧道、配置隧道、6to4隧道等IPv6路由协议BGP4+、IS-ISv6、OSPFv3、RIPng等,IPv6特性,IPv4网络,IPv6骨干网络,IPv6网络,NAT-PT转换,IPv4接入,IPv6接入,隧道接入,IPv4网络,NE5000E,NE5000E,NE5000E,NE80E,iManagerN2000DMS,IPv4/IPv6双栈网络,完善支持纯IPv6网络、IPv4/IPv6双栈网络建设IPv4/IPv6线速转发技术、全面隧道过渡技术完整支持DiffServ、TE、6PE、L2VPN等核心网技术,Page46,MPLS/BGP隧道6PE,通过IPv4或MPLS网络连接多个IPv6孤岛，使用BGP交换IPv6可达信息IPv6网络可被看作VPN网，多个IPv6孤岛属于同一VPN，利用VPN机制在PE之间建立隧道连接可以充分利用已有MPLS或VPN网络,Page47,领先IPv6过渡方案,IPv4Internet,协议转换,IPv6孤岛,IPv4/IPv6多业务承载网,IPv6多业务承载网,IPv6孤岛,IPv4孤岛,IPv4孤岛,IPv4孤岛,全面提供IPv4和IPv6，提供领先的功能和性能最完善的IPv4向IPv6过渡技术：双栈/隧道/6PE/NAT-PT，满足多种应用丰富的IPv6应用经验，国内CNGI获得优势份额，取得运营商普遍认可,现有Internet网络上大量的网络设备对迁移的成本压力很大网络向IPv6网络的迁移取决于业务需要，i-ConPath多业务IP承载网具备全面IPv6，大大降低了升级到IPv6的网络迁移成本,Page48,目录,VRP操作系统平台可靠性QoSMPLSVPN组播安全IPv6网管组网应用,Page49,VPNManager,设备/网络,ServiceManagement(NSM),LSPManager,OSS(ServiceFulfillment,ServiceAssurance,ServicePlanning),ElementandNetworkManagement(N2000DMS),DMS-Base,PerfManager,ReportManager,NBI(SNMP/CORBA/),SNMP,NetStreamAnalysisSystem,Collector,HGMP,NetStream,iManager,GenieATM6000,NBI,华为NMS产品族,Page50,NMS体系架构,支持大型网络,提供安全、可靠性的系统,可承载多种业务,SNMP/Telnet/FTP,备,NE/ServiceManagement,收集服务器,SNMP/Telnet/FTP,SNMP/Telnet/FTP,主,双节点互为备份,NE/ServiceManagement,支持高可靠性(HA)：本地双机和远程双机热备份,Page51,iManagerNSMVPNManager功能特性,全类型MPLSVPN的管理MPLSL3VPN:BGP/MPLSVPN（RFC2547）MPLSL2VPN:VPLS,Martini,Kompella,多种VPN拓扑结构全网状结构（Fullmesh）星型结构（Hub-and-Spoke）部分网状结构（PartialMesh）跨域（Multi-AS）分层PE（HoPE）,MPLSVPN端到端的快速部署GUI向导式业务定义、修改业务相关资源统一管理、自动分配支持批量操作方便的业务拆除功能可调度的任务机制,MPLSVPN业务丰富的监控手段MPLSVPN网络故障管理和业务影响分析MPLSVPN可用性及服务质量监控MPLSVPN网络的流量管理丰富的MPLSVPN网络信息统计报表,MPLSVPN自动发现可用资源的自动发现发现MPLS中的MPLSVPN业务,Other多厂商设备管理支持全面的PE-CE的路由协议提供客户自助管理的窗口(CNM)支持CE的管理北向接口,Page52,VPN业务服务质量监控,SLA性能监控任务下发及监控结果的采集,PE,PE,PE,PE,PE,P,P,CE,CE,客户网络服务水平提供有效的监控手段（PE到CE）阈值告警功能包括ICMP，TCP，UDP，Jitter等类型,Page53,提供大客户自助服务,客户IT管理部门,Internet,运营商运维中心iManagerNSM,WEB自助CNM,基于Web的综合报表统计分析功能VPN流量、SLA、故障等运行情况报表客户可通过WEB访问与自己相关的故障信息，访问客户关心的重要的运行情况，最终提供客户满意度,Page54,目录,VRP操作系统平台可靠性QoSMPLSVPN组播安全IPv6网管组网应用,Page55,国家骨干网解决方案,10GPOS,NE5000E,NE5000E,NE5000E,NE5000E,国家骨干网,国际出口,国际出口,NE5000E,NE5000E,NE5000E,/NE80E,省骨干网,省骨干网,NE5000E,/NE80E,NE5000E,/NE80E,NE5000E,/NE80E,Page56,省级骨干网解决方案,省骨干,网,地市节点,地市节点,NE5000E,省骨干网,NE5000E,NE5000E,NE5000E,POS10G,POS10G,POS10G,POS10G,GE,POS2.5G,GE,NE80,NE80,NE80,NE80,城域网,专线汇聚,窄带接入,IDC,POS2.5G,NE5000E,/NE80E,NE5000E,/NE80E,10GPOS,Page57,NE5000E/80E构建IP城域网,国干网1,国干网2,NE5000E,NE5000E,NE80E,NE80E,NE80E,NE80E,NE80E,NE80E,城域网核心节点,城域网汇聚节点,Page58,NE5000E系列路由器构建IP承载网,NGN业务核心网,承载网骨干网,承载网汇聚层,NGN承载网接入层,认证/计费/网管平台,Internet,PSTN网,S3528,E