MSP中文销售培训PPT课件.ppt

SimonHaoProductManager Nov 20 2013 MSP 第三代PowerMICE MSP MICESwitchPower 模块化 更安全的工业以太网交换机 MACAuthentication MAC地址认证 RadiusAuthentication Radius认证 Strongpasswordpolicing 强化的密码保护策略部署 Ingress EgressACLsandpolicing 流入 流出ACL和策略 FullIPv6ready supportwithlaterSWrelease FullMulticastrouting supportwithlaterSWrelease 完整的多播路由支持 DynamicARPinspection 动态ARP检测 DHCPSnooping DHCP监听 S Flow流量监控 MSP交换机提供了更全面 更高级别的网络安全防护 8Ports10 100Mbit s 2 Slots 24Ports10 100Mbit s 2Ports10 100 1000Mbit s 4 6 Slots MS20 MS30 MICE PowerMICE 8Ports10 100Mbit s 2 Slots 24Ports10 100Mbit s 2Ports10 100 1000Mbit s 4 6 Slots PowerMICESystem MS20 MS30 MICE NewPowerMICE MICE模块化家族产品的发展历程 MICE模块化家族产品的未来 MICESwitchPower MICE 2013 MSP30 24个快速以太网端口及4个千兆级联 新一代PowerMICE 新一代PowerMICE MSP30 28Ports 4xGE24xFE LikeMS4128with28ports Max 120WperMSPMax 60WperModule FE模块插槽 GE模块插槽 12Ports 4xGE8XFE 20Ports 4xGE16xFE 新一代PowerMICE的端口模块 新一代端口模块 MSM 简易的卡入式安装在强震动环境下也可通过自带螺丝加强固定 新一代PowerMICE的端口模块 简易的卡入式安装在强震动环境下也可通过自带螺丝加强固定 新一代PowerMICE的端口模块 每种端口模块自带有丰富的运行状态LED诊断指示灯 MICESwitchMediaModule MSM 新一代PowerMICE 外观 与第二代PowerMICE非常接近安装方式 标准35mm导轨式外壳材质 铝制压铸外壳 端口模块外壳为塑料材质IP保护等级 IP30支持最大端口数量 与第二代PowerMICE一致外形尺寸 与第二代PowerMICE一致 通过SD卡实现故障设备替换 数据备份SD卡插槽位于交换机的上部 型号为ACA31V 24接口用于通过串口通过命令行方式访问交换机的网管系统 在MSP产品中 串口的接口类型由原先的RJ11改为RJ45并且在接口引脚的定义上与CISCO设备完全一致因此方便了用户使用串口访问设备 保留了USB接口与MICE MACH RS20 30 RSR等设备上的USB口一致 新一代PowerMICE 输入电源 24 36 48VDC 18 60VDC 将不支持PoE PoE 47 57VDC PoE or53 57VDC PoE 将可以实现基于背板的直接PoE或PoE 供电 唯一的限制在于最大整机输出功率 120Watt 接口描述位于主机模块的前面板上数字输入2个数字输入端子报警节点2个继电器报警节点工作温度范围环境温度范围标准0 C 60 C扩展 40 C 70 C 新一代PowerMICE 限制 PoE PoE 端口模块 最大每个模块60W输出IEC61850 3 Level4 4kVsurgetest 不在MSP交换机的设计范畴内Level3 2kVsurgetest 才是设计的初衷 新一代PowerMICE 安装指导及手册的多语言版本均可在官方网站上下载1 German德语 产品发布时就可以下载2 English英语 产品发布时就可以下载3 French法语 产品发布6个月后就可以下载4 Spanish西班牙语 产品发布6个月后就可以下载5 Italian意大利语 产品发布6个月后就可以下载6 Chinese中文 产品发布6个月后就可以下载7 Portuguese葡萄牙语 产品发布6个月后就可以下载 新一代PowerMICE交换机装载了新一代操作系统 HiOSAdvanced HiOS 安全功能一览 HiOS操作系统分类 StandardSWPackages IPv6Management StaticIPv4Routing AdvancedSWPackage IPv6Management IPv4Routing MC Routing IPv6Routing Metro ERPS Layer2StandardStandardFeatureSetLayer2AdvancedAdvancedFeatureSetMSP MICESwitchPowerRSP RailSwitchPowerRSPE RailSwitchExtendedRSPS RailSwitchPowerSmartRSPL RailSwitchPowerLiteEES EmbeddedEthernetSwitch MSP第一版操作系统已经于2013年3月份发布 L2Advanced发布计划 Q12014 L3IPv4单播路由能力Q32014 L3IPv4多播路由能力 HiOS高级安全功能一览 HiOS高级安全功能一览 HiOS高级安全功能一览 HiOSAdvancedSecurityFeatureSet HiOSAdvancedSecurityFeatureSet MSP Web管理界面 可配置的密码管理策略 IncasewherethelocaluserdatabaseisusedforauthenticationandauthorizationinsteadofRADIUS theusedlocalpasswordscanbecheckedagainstaconfigurablepasswordstrengthpolicy 最小密码长度 最少包含的大写字母数量最少包含的小写字母数量最少包含的数字数量最少包含的特殊字符数量 DynamicPortSecurity动态端口安全 每台交换机内部都会维护一张连接设备和端口的对应表 也叫CAM表 当一个报文的MAC地址并没有出现在CAM表中 交换机的默认行为是向所有端口泛洪 MAC欺骗攻击的办法是通过产生大量的MAC地址以超出交换机的地址表容量造成交换机将MAC地址泛洪 CAM表溢出后被频繁的刷新 该交换机其他端口丢失MAC地址与端口的对应关系 导致正常端口用户无法正常通信 出现丢包或者网络中断现象 由于CAM表的刷新需要使用交换机的cpu资源 大量MAC地址频繁的刷新 使cpu利用率可能过高 导致无法正常网管受攻击交换机限制每个端口最大允许学习的MAC地址数量 防止MAC欺骗 MACSpoofing 攻击 StaticPortSecurity静态端口安全 防止MAC欺骗 MACSpoofing 攻击 允许接入的设备地址将是 静态的被绑定到某个交换机端口一旦绑定 在其它端口上将不能被学习到 DHCPSnooping DHCP监听 通过确定 信任端口 来防止网络中伪造的DHCP服务器过滤无效的DHCP消息限制DHCP报文建立IP MAC地址的对应关系数据库 DynamicARPInspection 动态ARP检测 TopreventARPSpoofingor ARP CachePoisoning attacks A发送ARP请求C发送ARP回复并伪装成它是IP为B的设备交换机在3号端口记录了IPB 结果从A到B的通信去了C 交换机检查所有的ARP请求生成IP MAC地址对应关系表限制APR报文无效的ARP报文将被记录 IPSourceGuard IPSourceGuard通过基于DHCP监听建立起的IP MAC绑定数据库或手动设定的IP源绑定表来在不受信的二层端口上过滤IP流量 流入 流出ACLs 每端口或每VLAN Forward discard limitorprioritizePacketsdependingontheircontent 基于硬件的ACLs MAC和IPACLs每端口或每VLANClassification L2 MACbasedL3 IPbasedL4 UDP TCPbased 100ACLscanbecreatedintotal MAC IP Amaximumof1023rulesperlistareconfigurable Amaximumof128loggingrulesarepossible AnIPACLandaMACACLcannotbeconfiguredonthesameinterface ThesystemsupportsonlyEthernetIIframetypes MaximumlengthoftheACLnameis31case sensitivealphanumericcharacters 基于时间的ACL Absoluteandperiodictimeanddaterulescanbespecifiedbyatimerange 基于硬件的ACLs 100timerangescanbecreatedeachwith10timerules Thenameofthetime rangehasamaximumof31characters Onlyoneabsolutetimeentryisallowedpertime range Theyearofthetimerangecanbebetween1993and2035 MAC和IPACLs每端口或每VLANClassification L2 MACbasedL3 IPbasedL4 UDP TCPbased sFlow网络监控 sFlowusessamplingtoachievescalabilityandis forthisreason applicabletohighspeednetworks 用于检测 诊断及网络故障处理 实时网络拥塞管理 审计追踪分析以便确定未经授权的网络访问活动及访问源跟踪拒绝服务攻击 路径分析和优化 网络运行趋势分析及能力规划 Storm Control广播限制 限制Broadcast Multicasts YoucanusetrafficstormcontroltopreventdisruptionsonLayer2portsbyabroadcastandmulticasttrafficstormonphysicalinterfaces 过量的广播会显著降低网络性能 自动抵御拒绝服务攻击 AntiDoSAttack Adenial of serviceattack DoSattack ordistributeddenial of serviceattack DDoSattack isanattempttomakeamachineornetworkresourceunavailabletoitsintendedusers Inadenialofservice DoS attack acomputersendsmultipleauthenticationrequeststotheserver Allrequestshavefalsereturnaddresses sotheservercan tfindthecomputerwhenittriestosendtheauthenticationapproval Whentheserverclosestheconnection theDoSattackersendsanewbatchofforgedrequests andtheprocessbeginsagain causingtheservertobeunavailableforlegitimateconnections RADIUSVLAN PolicyAssignmentundGuest UnauthenticatedVLAN RemoteAuthenticationDialInUserService RADIUS isanetworkingprotocolthatprovidescentralizedAuthentication Authorization andAccounting MSP支持一下Radius认证功能 802 1XRADIUSAuthentication802 1XRADIUSAccountingRADIUSVLANAssignmentRADIUSDynamicVLANCreationGuestVLAN UnauthenticatedVLANLocalDatabaseforDOT1xusers IntegratedAuthenticationServer IAS 802 1xMonitorMode HistoryLogVoIPSupportMAC basedAuthenticationMACAuthenticationBypass MAB RADIUSPolicyAssignment MABMAC Authentication Bypass不支持Raidus认证的设备 例如 打印机 也可以被认证 MABisanauthenticationmethodfordeviceswhichdonotsupportdot1x TheprinciplebehindMAC basedauthenticationisthefollowing TheSwitchwilldetectwhena nondot1xclient istryingtosenddataovertheconnectedport ThedevicewilltheninitiateanauthenticationwithaRADIUSserverusingtheclient sMACaddressascredentials username password 802 1xMultiClientAuthentication多客户端认证 802 1xMultiClientAuthenticationallowsmultipleclientstohaveaccesstothesecuredinfrastructureviathesamephysicalport tosupporttypicalVoIPscenarios aphoneandaPCareconnectedtothesameswitchportandmustbeauthenticatedseparately Themaximumnumberofclientsthatcanbeauthenticatedonthesameportis16 SupportforauthenticationofmultipleclientsonthesameportallhavetobelongtothesameVLAN oneexceptionisaVoIPdevicewhichmaybelongtoanotherVLAN VoiceVLAN MACbasedVLANassignment基于MAC的VLAN划分 IfclientisnotauthenticatedandGuestVLANorunauthenticatedVLANareenabledGuestVLANorunauthenticatedVLANwillbeused 常备用于VoIP场景中 IP电话和PC机联机到了同一个交换端口但是又需要被分别认证和指定到不同的VLAN中去 SupportforassignmentofVLAN stomultipleclientsonthesameportEachclientcangetaownVLAN GuestVLAN UnauthenticatedVLAN ifguestVLANisnotenabled clientwillbedropped noaccessifunauthenticatedVLANisnotenabled clientwillbedropped noaccess GuestVLANAClientwillbeassignedtoaguestVLAN ifaclientisnotdot1xcapableandMABisdeactivatedUnauthenticatedVLANAClientwillbeassignedtoanunauthenticatedVLAN ifaclientisdot1xcapablebutisnotbeingauthenticated Outlook PRP ParallelRedundancyProtocol DAN DualattachednodeimplementingPRPSAN Singleattachednodes PRPPacket PRPPacket IPPacket PRPPacket PRPPacket Zerofailover duplicatednetworks Outlook HSR HighAvailableSeamlessRing MSP PRPPacket PRPPacket ZerofailoverRedundantRing 近似的价格 近似的价格 从MS4128迁移到MSP30 端口模块不同 MM30 O7O79999 MM30 O7O7O7O7 MM20 T1T1T1T1 MM22 T1T1T1T1 MM20 1FX 3TXMM20 2FX 2TXMM20 4FXMM24 IOIOIOIO AUI MSM40 C1C1C1C1 MSM40 T1T1T1T1 MSM42 T1T1T1T1 MSM20 4FXMSM20 3FX 1TXMSM20 2FX 2TXMSM24 IOIOIOIO 在考虑中但很有可能不会提供 从MS4128迁移到MSP30 ACA31 SD card MSP30仍然提供了USB接口支持ACA21ACA21在HiOS2 0版本下还不能够支持但是将在3 0版本后支持 从MS4128迁移到MSP30 从MS4128迁移到MSP30 48 将原有MS4128交换机中的功能配置信息移植到MSP交换机中 MS4128功能配置 我们正在准备一个移植工具以便 MICESwitchPower Productname code 1 Product 2 Datarate 3 HWTyp 4 10 100Mbit sPorts 6 10 100 1000 10000Mbit sPorts 7 Temp range 8 Operatingvoltage 9 approvals 10 SW Paket 11 customized Version 12 SW config 13 SW Level 14 SW version 1 Product 2 Datarate 3 HWTyp 4 numbersports10 100Mbit s 6 numbersports10 100 1000 10000Mbit s 7 Temperaturerange 8 Operatingvoltage MSP 3 10 100Mbit sPorts10 100 1000Mbit sPorts 0 Standard2 suitableforPoEorPoE 08 8Ports16 16Ports24 24Ports 04 4Ports 5 10 100 1000Mbit sPorts 5 numbersports10 100 1000Mbit s 0 0Ports S Standard0 C 60 CT Extended 40 C 70 CE Extended 40 C 70 CincludingConformalCoating 10 Software packets 11 customizedversion 12 Softwareconfiguration 13 Softwarelevel C 18V 60VDC atMSP30 P 47V 57VDCPoE atMSP32 53V 57VDCPoE atMSP32 99 reservedMR Multicast RoutingUR Unicast Routing HH HirschmannStandard E HirschmannStandardConfiguration 2A HiOSLayer2Advanced 2plugsoperatingvoltageforredundantpowersupplies 14 Softwareversion 02 0 Software Version02 0XX X actualsoftware version MSP XX X MSP 3 04 0 HH E 2A onlyTP andComboportsinslot1 SFPslotsaredualspeed 9 approvals certifications Z9 CE FCC EN61131 EN60950 1Y9 Z9 cUL508 UL60950 1 V9 Z9 IEC61850 IEEE1613VY V9 cUL508VU V9 CUL508 UL60950 1 GL ABS BV DNS LR VT V9 cUL508 UL60950 1 EN50121 4T9 Z9 EN50121 4TY T9 cUL508 UL60950 1 U9 Z9 EN50121 4UY U9 cUL508 UL60950 1 Substation application Substation application Substation andmarineapplication Substation andrailwayapplication railwayapplication railwayapplication marineapplication marineapplication MICESwitchMediaModules Productname code 1 Product 2 Datarate 3 HWType 4 Port1 6 Port3 7 Port4 8 Temperaturerange 9 approvals 10 Customizedversion 11 HWconfiguration 12 SW config 13 SW release 1 Product 2 Datarate 3 HWType 8 Temperaturerange MSM 2 10 100Mbit sports4 10 100 1000Mbit sports 0 Standard2 suitabl