3产品特性描述ISSUE100

1、Page1修订记录课程编码适用产品产品版本课程版本ISSUEDR102003NE5000E80E40EALL1.00开发/优化者时间审核人开发类型（新开发/优化）李黎2009/11/10周进军新开发本页不打印NE5000E80E40E产品特性描述Page3前 言NE5000E/80E/40E系列产品是华为技术有限公司自主开发的高端路由器产品，提供高带宽、高处理性能、丰富的接口类型和业务类型。本课程主要介绍产品高可靠性、QoS、MPLS VPN、组播、安全、IPv6、网管、组网。Page4培训目标学完本课程后，您应该能：了解NE5000E/80E/40E路由器的高可靠性了解NE5000E/80E

2、/40E路由器的MPLS和QoS特性等了解NE5000E/80E/40E路由器的特性在现网中应用Page5目 录VRP操作系统平台可靠性QoSMPLS VPN组播安全IPv6网管组网应用Page6目 录VRP操作系统平台可靠性QoSMPLS VPN组播安全IPv6网管组网应用Page7NE5000E/80E/40E路由器的操作系统VRP CoreVRP Shell Product CodeVRP核心独立于产品路由/ TCP IP栈/ MPLS / MPLS VPNVRP shell部分依赖产品链路层。产品代码与产品相关驱动/ 设备管理/转发。Page8VRP控制平台Page9VRP结构设计采用

3、业界先进的组件化技术系统结构高度模块化组件可单个升级，不影响系统的其他组件系统维护更容易，业务扩展更平滑BGP组件示例BGP核心BGP for IPv4 组件BGP for IPv6 组件BGP for IPv4 VPN组件Shell接口HaCfgFuncHaCfgFuncHaFuncCfgPage10在线补丁技术代码段代码段原始代码段代码段代码段代码段正常程序补丁代码区用增强型补丁代码段替换原始代码段补丁代码在线加载优化代码段在线补丁技术提供了灵活的业务增强和缺陷修改的手段，保证了网络业务的可靠持续提供Page11路由特性路由特性关键指标路由表容量超过200万条BGP Peer数量超过100

4、0个；IS-IS/OSPF收敛时间小于100ms；IS-IS/OSPF进程数量超过1000个；路由等值分担数量16PFESearchingEngine采用TCAM查表技术，每秒查表超过25Mpps/10G接口采用高性能CPU和大容量内存,计算速度和容量都大幅提升采用NP处理IP转发，实现各种IP路由和业务特性 策略路由 静态路由 RIP、OSPF、IS-IS、BGP4 路由策略 路由迭代基本路由特性路由快速收敛 路由波动抑制 路由协议平稳重启GR 路由协议多进程/多实例 IS-IS协议L2路由向L1的泄露 IS-IS宽度量 BGP的扩展：for IPv6、for IPv4/IPv6 VPN、f

5、or Multicast、for L2 VPN、for QPPB等 多路径负载分担增强路由特性Page12目 录VRP操作系统平台可靠性QoSMPLS VPN组播安全IPv6网管组网应用Page13全方位的可靠性技术双主控多交换网冗余备份NSFBFDGrace Restart快速链路故障检测路由优化 路由快速收敛弱策略路由ECMPIP TRUNKFRRIP FRRTE FRRLDP FRRVPN FRR设备级可靠性 99.999%网络级可靠性Page14路由可靠性主MPU备MPULPU交换机制IPCFIBFIBFIBFIBRIBRPAMPLSIFNETIPCIPC入报文出报文物理接口数据转发不

6、间断心跳检查相邻路由器恢复后继续会话 短暂中断时不需要删除路由实现平稳重启通知相邻路由器启动GR特性FIBRPAMPLSIFNETIPCFIBRIB BFD快速链路检测 IP TRUNK与ECMP IGP/EGP/LDP快速路由 收敛 IP快速重路由(IP FRR) IP快速路由备份(IP FRB) IP/VRF弱策略路由 NSF/GR 路由可靠性技术Page15NSF不间断转发RMBACKUPRMACTIVEFIB信令/协议包FIB数据包FIB表统计和状态信息转发单元控制单元1+1 冗余稳定的切换GR能力控制与转发平面相分离全面的Graceful Restart能力 每块线卡具有冗余的，能够

7、独立的进行包转发和链路状态维护Page16路由协议快速收敛BGP快速收敛ISIS快速收敛OSPF快速收敛LDP快速收敛某电信运营商设备选型IGP收敛速度业界领先（297ms），最快速的IGP收敛速度LDP收敛速度业界领先（376ms），最快速的MPLS 收敛能力BGP收敛速度业界领先（12.8s），优异的BGP收敛性能Page17Damping机制BGP组件BGP for IPv4 组件BGP for IPv6 组件HACfgFuncHACfgFuncHACfgFuncHACfgFuncBGP for IPv6 VPN组件BGP DampingSDH/MSTP长距传输IP DampingVLA

8、N DampingSRAG提供路由变化抵消机制 下刷fib前被撤销，路由不会下刷fib 发布前被撤销，路由不会被发布给邻居提供路由震荡抑制功能提供端口Up/Down抑制机制避免链路质量不稳定影响路由震荡不影响正常的TRAP产生和发送提供VLAN Up/Down抑制机制 避免AG主备链路切换时VLAN瞬断不会引起协议层面震荡、收敛Page18VPN FRR核心节点SRSRP节点PE节点PE节点LANSRSRPE节点PE节点解决VPN路由收敛慢的问题业务接入业务接入路由器转发平面同时保留主用PE路由器的外层标签、主用PE路由器过来的内层标签，以及对应的备用PE路由器的外层标签和备用PE路由器发送过

9、来的内存标签使用BFD等端到端故障检测方法，在200ms内感知远端主用PE故障，然后进行主备内外层标签的同时切换VPN FRR解决的是内层标签的切换问题，其倒换优先级低于LDP/MPLS TE FRR，因此故障感知时间要长于LDP/TE FRR的保护倒换时间Page19VLL FRRBSCSGSN2SGSN1Frame RelayCE1CE2PW1PW2PPEPEPEPEPPPIP/MPLS COREVLL FRR采用快速检测机制OAM和BFD，实现PW与AC之间的映射，在发生PW、PE或AC故障时及时采取措施，倒换到可用的备选路径。Page20双向转发检测(BFD)BFD Hello dat

10、agram10ms sending intermissionBFD Hello datagramBFD运用于直连路由器间BFD用于非直连路由器间传输系统BFD (Bi-direction Forwarding Detect: draft-ietf-bfd-v4v6-1hop-02.txt ).默认间隔时间为10ms，故障会在3倍间隔时间内被检测到。每个 BFD报文不会超过100字节，因此，带宽占用为： 78Bytes100/s8bit/Byte=624000bit/s=60.9Kbps.由线卡上的NP处理器处理，不耗用主控板上的CPU资源。Page21BFD应用BFD Hello Datagr

11、am10ms sending intermissionBFD for VRRPBFD for ISIS/OSPFBFD for BGPBFD for TE Fast RerouteBFD for PIMBFD for LSPPage22BFD for TE FRRIP/MPLS COREPPEPEPEPEP2G/3G RANNGNNGN2G/3G RANTE FRRMain TunnelBackup Tunnel(LDP+IGP)FCPPIP FRRE-VRRPBFDMSTPMSTPEthEthEthEth在以太端口之间用MSTP，如果没有BFD，单点和链路故障均不能被检测。主隧道不能检测故障

12、并触发TE FRR华为在业界第一家提供BFD for TE FRRPage23增强VRRP (E-VRRP)骨干网VRRPBFD 检测主路由器备路由器路由器实例在局域网环境中，每个主机需要通过一个网关连到外部网络。仅一对一的连接不能保证其可靠性。两台部署了 VRRP 的路由器可以为同一局域网内的主机提供一个统一的虚拟网关。华为用BFD配合VRRP来增强错误检测，这种机制被称之为增强VRRPPage24MPLS TE自动快速重路由PPEPEPPEPEPrimary TE TunnelNMS步骤1在MPLS网络使能Auto FRR2在接口使能Auto FRR3在隧道入口配置Auto FRR4设置切

13、换时延5检查配置Bypass TunnelBypass Tunnel自动快速重路由可以自动设置一个备用隧道以减轻负载和提高网络可靠性Page25PE11PE12PE21PE22P11P12P11P12CEVRFVRFVRFVRFIP/MPLS CoreCEBackup TunnelPrimary TunnelBackward Tunnel for BDIMPLS OAM 隧道保护组部署E2E TE主备TE隧道组成一个TE 隧道保护组采用MPLS OAM快速检测。MPLS OAM是ITU-T标准 (ITU-T Y.1711 & Y.1720)BDI反向隧道可以复用保留的备用隧道端到端200ms保

14、护在穿越MSTP网络时切换时间不受影响Page26目 录VRP操作系统平台可靠性QoSMPLS VPN组播安全IPv6网管组网应用Page27QoS特性接收报文报文分类/标记REDWRED拥塞检测/避免报文发送出接口入接口 源地址 目的地址 源端口 目的端口 协议类型 TOS ACLCAR流量监管拥塞管理VOQ调度DWRR/WFQWFQPQ/DWRRWFQ/DWRR流调度PQ/WFQ交换网端口调度优先级 调度流调度/整形Page28专家级层次化QoSNE物理端口业务类用户组用户用户业务SP/WRRSP/WRRSHVCSP/WFQShaperShaperShaperShaperTDM/WFQUs

15、erUserPort0From OtherPortsShaperSP/WRRSHVCShaperSP/WRRVoiceVideoDataAF4EFAF1WFQShaperBESPShaperShaperVoiceVideoDataVoiceVideoDataVoiceVideoData五级调度，精细参数配置，按需保障SLA五级调度机制，业务能力更丰富8业务类，256用户组，支持4K用户，最大支持64K用户流可配置流队列最大队列长度，WRED参数，低时延，SP/WRR权重，带宽突发度CBS和PBS，统计使能等参数，业务更灵活可配置每用户最小保证事宽CIR，最大突发带宽PIR，所含的流队列数目，所

16、含的流队列之间的调度算法等参数，用户服务差异化Page29目 录VRP操作系统平台可靠性QoSMPLS VPN组播安全IPv6网管组网应用Page30MPLS VPN 一网多平面精品大客户NGN语音/信令NGN网管ATM迁移ATM物理网Page31NE5000E系列路由器支持的功能MPLS BGP VPN(RFC2547)MPLS VLL (CCC, SVC, Martini，Kompella)VPLS( VPLS-BGP, VPLS-LDP)PWE3OSPF-TE、IS-IS-TE、RSVP-TE、CR-LDPMPLS Fast Reroute支持基于TE的FRR和基于LDP的FRR支持LD

17、P over TE tunnel支持MPLS VPN支持MPLS TEPage32MPLS VPN特性MPLS网络MPBGPUPESPEUPEPEPE分层PEMPLS网络VPN2 site2VPN1 site1VPN2 site3VPN1 site3VPN1 site2VPN2 site2支持HoPE技术，实现VPN的延伸和扩展支持各种方式接入MPLS VPNPPP、HDLC、ATM、Eth/VLAN等远程拨入/隧道接入支持PE-CE间各种路由协议静态路由、BGP、RIP、OSPF、ISIS等支持跨自治域方案VRF-to-VRFMP-EBGPMP-Multihop EBGPPE-ASBRPE-

18、ASBRMPLS VPN关键指标VRF数量1KVRF路由表容量单VRF可支持70万，总和200万VSI数量4KMAC地址容量64K提供VPN Manager，提供跨厂家的VPN管理支持MPLS L2 VPN / VPLSMartini 模式Kompella 模式支持MPLS VPN over GRE支持基于IPv6的MPLS VPN (6PE) 特性Page33MPLS/TE特性MPLS关键指标标签栈深度8层LIB 标签数量100万LSP刷新速度3000条/秒LDP邻居数量大于1000个MPLS FRR指标小于50ms支持显示路径支持带宽分配支持链路颜色支持优先级与抢占支持隧道优化支持隧道备份

19、支持快速重路由FRR支持跨域隧道支持DS-Aware TE支持配置转发邻居支持自动路由宣告MPLS TE特性支持负载分担支持自动带宽调节支持在线路径计算支持离线路径计算支持流量统计和计费Page34VPN/TE 映射RSVP-TE建立DS-TE隧道BFD for TE隧道支持VPN/TE Mapping，实现特定VPN独占TE隧道LDP 建立一般LSPMPLS FRRPEPEPE全程TE保护，高质量SLA服务能力，充分保证VPN用户的业务质量PE间通过LDP建立LSP，同时可以采用RSVP-TE建立DS-TE隧道针对重要VPN业务，通过VPN/TE Mapping功能，将VPN流量按照业务类型

20、影射到DS-TE隧道中，实现RS-VPN（资源预留VPN），保证独立资源一般VPN仍然通过普通LSP连接Page35目 录VRP操作系统平台可靠性QoSMPLS VPN组播安全IPv6网管组网应用Page36支持丰富组播特性 组播协议：PIM-DM、PIM- SM、MSDP、 MBGP、 IGMP、Anycast RP等； 组播QOS 组播VPN组播特性视频服务器101010组播 Multicast 组播路由数量: 8K 组播转发性能: 10G线速 组播复制能力: 1024组播关键指标Page37支持多级硬件分布式复制TMTMTMTMTMTM组播队列复制到需要的端口出引擎复制组播到字端口入流量

21、出流量组播转发机制 两级分布式复制，确保性能：交换网复制到线卡，线卡复制到端口和子接口； 单播和组播分别采用不同队列，避免相互影响Page38目 录VRP操作系统平台可靠性QoSMPLS VPN组播安全IPv6网管组网应用Page39支持多级安全机制SFU板(1+3备份)交换矩阵1+3冗余备份交换矩阵CP 转发层面第一级：转发层面双向ACL & CAR线速包过滤防火墙第二级：转发层面硬件CP-ACL & CPU-CAR硬件实现ACL和CAR流控，保证CPU安全上送CPU报文微粒度分类，过滤非法报文精细限制报文速率，防止CPU超载第三级：控制层面CP-ACL内嵌状态防火墙对CPU的控制信息进行精

22、细智能 安全控制MPU板数据流控制流控制、转发、监控平面向分离的体系架构，保证设备的安全Page40支持ARP防攻击特性空间攻击：通过发送伪造的大量ARP请求、应答报文，造成路由器设备的ARP表项溢出；时间攻击：通过发送伪造的大量ARP请求、应答报文或能触发路由器ARP处理的报文，造成路由器计算资源忙于应付ARP处理，影响其他业务转发；ARP攻击防ARP攻击方案ARP表项限制：支持基于端口/子接口/VE接口/Eth-Trunk/Eth-Trunk子接口/Vlan的ARP表项限制；ARP报文限制：基于源或目的地址的时间戳抑制；只学习自己发送请求报文的应答ARP报文；加强上送检查；“非攻击”优先；

23、每单板报文CP-CAR；ARP miss消息抑制：基于源的ARP miss时间戳抑制；表项满时自动加快老化速度；miss报文CP-Car；21123Page41协议保护技术GTSMISPHacker使能GTSM，设置所有BGP包的TTL值为225；AS100伪造真实的BGP协议报文，大量发送给路由器，导致CPU利用率超负荷；使能GTSM，对于TTL值225的BGP包直接丢弃；GTSM( Generalized TTL Security Mechanism)，即通用TTL安全保护机制，RFC3682，通过检查报文的TTL值来实现过滤非法报文的目的；保护建立在TCP/IP基础上的控制协议（如路由协

24、议等）免受CPU overload资源消耗攻击此方案部署简单，极大降低对BGP自治系统内部DDOS攻击的效力，支持BGP和OSPFPage42协议保护技术身份认证ISPbgp 100router-id XXXpeer XXX as-number 200AS100HackerSpoofingbgp 200router-id XXXpeer XXX as-number 100确保路由协议的合法性，防止仿冒协议报文攻击；目前用于认证的算法有MD5，SHA1等；适用的协议有BGP、OSPF、ISIS、LDP、RIP、RSVP等；Page43防源地址欺骗技术uRPFSx D DataInt1Int2In

25、t3FIBDest PathSx Int1Sy Int2Sz null0Sy D DataInt1Int2Int3FIBDest PathSx Int1Sy Int2Sz null0Sy D DataSx D DatauRPF是一种防源地址欺骗的技术，部署在网络边缘设备；支持基于端口/子接口/VLAN if/Trunk/RPR接口/ATM接口/MPLS；严格模式：根据源地址查路由表，查到的接口应该与包入接口一致，否则丢弃；Page44目 录VRP操作系统平台可靠性QoSMPLS VPN组播安全IPv6网管组网应用Page45IPv6特性 IPv6协议栈ICMPv6、PathMTU、ND、自动配

26、置、DNS Client等 IPv6过渡技术双栈、自动隧道、配置隧道、6to4隧道等 IPv6路由协议BGP4+、IS-ISv6、OSPFv3、RIPng等IPv6特性IPv6关键指标转发性能线速转发路由表容量超过260万IPv6 over IPv4隧道数80006PE数量1000IPv4网络IPv6骨干网络IPv6网络NAT-PT 转换IPv4接入IPv6接入隧道接入IPv4网络NE5000ENE5000ENE5000ENE80EiManager N2000 DMSIPv4/IPv6双栈网络完善支持纯IPv6网络、IPv4/IPv6双栈网络建设IPv4/IPv6线速转发技术、全面隧道过渡技术

27、完整支持DiffServ、TE、6PE、L2VPN等核心网技术Page46MPLS/BGP隧道6PEMPLS/IPv4网络IPv4 VPN纯IPv6网络IPv6IPv6IPv6IPv4 VPN通过IPv4或MPLS网络连接多个IPv6 孤岛，使用BGP交换IPv6可达信息IPv6网络可被看作VPN网，多个IPv6孤岛属于同一VPN，利用VPN机制在PE之间建立隧道连接可以充分利用已有MPLS或VPN网络Page47领先IPv6过渡方案IPv4 Internet协议转换IPv6孤岛IPv4/IPv6多业务承载网IPv6多业务承载网IPv6孤岛IPv4孤岛IPv4孤岛IPv4孤岛全面提供IPv4和

28、IPv6，提供领先的功能和性能最完善的IPv4向IPv6过渡技术：双栈/隧道/6PE/NAT-PT，满足多种应用丰富的IPv6应用经验，国内CNGI获得优势份额，取得运营商普遍认可现有Internet网络上大量的网络设备对迁移的成本压力很大网络向IPv6网络的迁移取决于业务需要，i-ConPath多业务IP承载网具备全面IPv6，大大降低了升级到IPv6的网络迁移成本Page48目 录VRP操作系统平台可靠性QoSMPLS VPN组播安全IPv6网管组网应用Page49VPN Manager设备/网络Service Management (NSM)LSP ManagerOSS (Service

29、 Fulfillment, Service Assurance, Service Planning)Element and Network Management (N2000 DMS)DMS-BasePerf ManagerReport ManagerNBI (SNMP/CORBA/)SNMPNetStream Analysis SystemCollectorHGMPNetStreamiManagerGenieATM6000NBI华为NMS 产品族Page50 NMS体系架构支持大型网络提供安全、可靠性的系统可承载多种业务SNMP/Telnet/FTP备NE/Service Managemen

30、t收集服务器SNMP/Telnet/FTPSNMP/Telnet/FTP主双节点互为备份NE/Service Management支持高可靠性(HA)：本地双机和远程双机热备份Page51iManager NSM VPN Manager功能特性 全类型MPLS VPN的管理MPLS L3 VPN: BGP/MPLS VPN（RFC2547）MPLS L2 VPN: VPLS, Martini, Kompella 多种VPN拓扑结构全网状结构（Full mesh）星型结构（Hub-and-Spoke）部分网状结构（Partial Mesh）跨域（Multi-AS）分层PE（HoPE） MPLS

31、VPN端到端的快速部署GUI向导式业务定义、修改业务相关资源统一管理、自动分配支持批量操作方便的业务拆除功能可调度的任务机制 MPLS VPN业务丰富的监控手段MPLS VPN网络故障管理和业务影响分析MPLS VPN可用性及服务质量监控MPLS VPN网络的流量管理丰富的MPLS VPN 网络信息统计报表 MPLS VPN自动发现可用资源的自动发现发现MPLS中的MPLS VPN业务 Other多厂商设备管理支持全面的PE-CE的路由协议提供客户自助管理的窗口(CNM)支持CE的管理北向接口Page52VPN业务服务质量监控NSMSLA性能监控任务下发及监控结果的采集PEPEPEPEPEPP

32、CECE客户网络服务水平提供有效的监控手段 （PE到CE）阈值告警功能包括ICMP，TCP，UDP，Jitter等类型Page53提供大客户自助服务客户IT管理部门Internet运营商运维中心iManager NSMWEB自助CNM基于Web的综合报表统计分析功能 VPN流量、SLA、故障等运行情况报表客户可通过WEB访问与自己相关的故障信息，访问客户关心的重要的运行情况，最终提供客户满意度Page54目 录VRP操作系统平台可靠性QoSMPLS VPN组播安全IPv6网管组网应用Page55国家骨干网解决方案 10G POSNE5000ENE5000ENE5000ENE5000E国家骨干网

33、国际出口国际出口NE5000ENE5000ENE5000E/NE80E省骨干网省骨干网NE5000E/NE80ENE5000E/NE80ENE5000E/NE80EPage56省级骨干网解决方案 省骨干网地市节点地市节点NE5000E省骨干网NE5000ENE5000ENE5000EPOS 10GPOS 10GPOS 10GPOS 10GGEPOS 2.5GGENE80NE80NE80NE80城域网专线汇聚窄带接入IDCPOS 2.5GNE5000E/NE80ENE5000E/NE80E10G POSPage57NE5000E/80E构建IP城域网国干网1国干网2NE5000ENE5000ENE80ENE80ENE8