S9300产品系统培训.ppt

1、S9300 产品系统培训,ISSUE 2.0,Page 2,第1章 S9300总体概述 第2章 S9300硬件架构 第3章 S9300软件特性 第4章 S9300转发流程 第5章 S9300业务特性 第6章 S9300典型组网,内容介绍,Page 3,S9300 产品形态,说明：指标都是以V1R1版本为依据，V1R1在2009Q2 GA,Page 4,S9300 整机架构描述,Page 5,S9300 机柜和设备走线,N66E机柜,S9312S9306,S9300可以安装在公司的N66E单开门机柜内，走线是在机柜右边一侧，最大走线能力：光纤2900根，5类非屏蔽双绞线900根,Page 6,S

2、9300 整机架构：S9312,S9312支持12个线卡和2个主控处理板。插框下部是电源区，插框左边是防尘网，右边是走线架 电源支持N+N备份，DC支持1+1；AC支持1+1/2+2配置 设备和环境监控负责设备管理，支持1:1备份，一般是单配置 S9312不支持POE 风扇框支持可选两种配置：用户可选。一种是低成本的单风扇；另外一种是满足单风扇失效的高可靠性风扇框，每个风扇框支持两个叠加风扇,S9312正视图,S9312后视图,风扇框,PWR1,PWR2,PWR3,PWR4,CMU 1,CMU 2,预留空间,主用A平面,备用B平面,设备和环境监控,SLOT01：LPU,SLOT13：SRU,S

3、LOT02：LPU,SLOT03：LPU,SLOT04：LPU,SLOT05：LPU,SLOT06：LPU,SLOT14：SRU,SLOT07：LPU,SLOT08：LPU,SLOT09：LPU,SLOT10：LPU,SLOT11：LPU,SLOT12：LPU,防 尘 网,走 线 架,说明：电源的A/B平面是指主备平面，在支持1+1或2+2备份时，主备电源必须分别插入A和B平面区,Page 7,S9300 整机架构：S9306,S9306正视图,S9306后视图,风扇框,PWR1,PWR2,PWR3,PWR4,CMU 1,CMU 2,预留,主用A平面,备用B平面,设备和环境监控,SLOT01：

4、LPU,SLOT13：SRU,SLOT02：LPU,SLOT03：LPU,SLOT14：SRU,SLOT07：LPU,SLOT08：LPU,SLOT09：LPU,防 尘 网,走 线 架,POE 1,POE 2,POE平面,S9306支持6个线卡和2个主控处理板。插框下部是电源区，插框左边是防尘网，右边是走线架 电源支持N+N备份，DC支持1+1；AC支持1+1/2+2配置 设备和环境监控负责设备管理，支持1:1备份，一般是单配置 S9306预留支持POE能力，V1R2支持POE 风扇框支持可选两种配置：用户可选。一种是低成本的单风扇；另外一种是满足单风扇失效的高可靠性风扇框，每个风扇框支持两个

5、叠加风扇,说明：电源的A/B平面是指主备平面，在支持1+1或2+2备份时，主备电源必须分别插入A和B平面区,Page 8,S9300 整机架构：S9303,S9303正视图,S9303后视图,风扇框,SLOT05：MCUA,PWR1,PWR2,主用A平面,备用B平面,SLOT04：MCUA,SLOT01：LPU,SLOT02：LPU,SLOT03：LPU,防 尘 网,走 线 架,POE1,POE平面,S9303支持3个线卡和2个主控板。插框下部是电源区，插框左边是防尘网，右边是走线架 电源AC/DC都支持1+1备份 设备和环境监控集成在主控板内部，没有单独的监控槽位 S9303预留支持POE能

6、力，V1R2支持POE 风扇框支持可选两种配置：用户可选。一种是低成本的单风扇；另外一种是满足单风扇失效的高可靠性风扇框，每个风扇框支持两个叠加风扇,说明：电源的A/B平面是指主备平面，在支持1+1或2+2备份时，主备电源必须分别插入A和B平面区,Page 9,S9300 模块化设计，减少备件种类，降低运维成本,S9300模块化设计，风扇框全系列共用、AC和DC电源模块全系列共用、线卡全系列共用以及机柜内电缆配线全系列共用、机箱抬手可拆卸并且全系列共用 S9312/S9306共用监控板、主控处理板,Page 10,S9300 供电系统,S9300系统中机箱下部区域是供电系统，提供交流或直流输入

7、， 对于AC输入 输入：100V240V ，5060Hz 最大输出功率： S9303：供电区域1U高，220V/800W 或者 110V/400W，1+1备份 S9306：供电区域3U高， 220V/1600W 或者 110V/800W，2+2备份 S9312：供电区域3U高， 220V/1600W， 2+2备份 特别说明：当输入是110V时，输出功率减半，这时S9312不支持满框配置 对于DC输入： 输入：48V 最大输出功率： 1600W（S9303/S9306/S9312统一模块），1+1备份 电源框区域右边部分预留POE电源区域 ，用于内置POE电源模块或者引入外部POE电源模块,Pa

8、ge 11,S9300 电信级的可靠性,电信级的可靠性: 主控1:1备份 交换网1+1/1:1两种方式 DC电源1+1备份；AC电源1+1/2+2备份 模块化的风扇设计，高端配置支持单风扇失效 无源背板，可靠性很高 独立的设备监控单元，和主控解耦 所有模块热插拔 完善的各种告警功能 设备管理1:1备份,99.999%的电信级可靠性,High Availability,Page 12,S9300 平台演进策略说明,V1R1：2009Q2，平台能力： S9306/S9312：主控1+1备份，交换容量1T S9303：Full Mesh架构 每槽位48GE线速，背板64G/SLOT,V1R2：200

9、9Q4，平台能力： S9306/S9312：主控1+1备份，交换容量2T S9303：Full Mesh架构 每槽位12*10GE线速，背板128G/SLOT S9303/S9306支持POE,后续版本规划：平台能力： S9306/S9312：主控1+1备份，交换容量3.2T S9303：Full Mesh架构 每槽位200GE线速，背板200G/SLOT,平台发展演进原则：统一的背板，统一的插框，统一的电源，统一的风扇框,Page 13,第1章 S9300总体概述 第2章 S9300硬件架构 第3章 S9300软件特性 第4章 S9300转发流程 第5章 S9300业务特性 第6章 S930

10、0典型组网,内容介绍,Page 14,S9306/S9312 硬件架构,S9306和S9312采用完全相同的系统架构，硬件系统划分为数据、控制、管理三个平面，“三平面”设计分离。数据面专注于转发业务数据传送，物理上采用多个星型HIG平面；控制面专注于业务控制协议（如路由协议）内部传送，通过独立通道提供控制信息传递；管理面专注于设备管理，物理上采用CANBUS总线，采用独立电源系统供电模式 S9306和S9312系统架构中，SRUA是系统的核心，所有数据转发和控制协议的处理都依赖于SRU，SRUA支持主备热备份工作方式，交换网部分还支持负荷分担方式 CMU是集中的设备管理模块，负责系统风扇、电源

11、、外接干节点以及后续POE电源的监控管理。系统支持CMU 主备热备份工作方式,Page 15,S9303 硬件架构,S9303采用Full MESH系统架构，硬件系统划分为数据、控制、管理三个平面，“三平面”设计分离。数据面专注于转发业务数据传送，物理上采用Mesh拓扑的HIG互连；控制面专注于业务控制协议（如路由协议）内部传送，通过独立带外通道提供控制信息传递；管理面专注于设备管理，物理上采用CANBUS总线，采用独立电源系统供电模式 S9303系统中，集成了设备管理模块，负责系统风扇、电源、外接干节点以及后续POE电源的监控管理,Page 16,S9300 主控处理单元,S9312、S93

12、06 主控处理单板SRUA主要功能 集成交换网，完成跨业务板件的业务交换； 控制平面报文处理，路由计算，转发表项的建立和维护； 提供系统配置、管理功能，管理业务板和设备，完成对业务板软件的升级复位等操作 S9303 主控处理单板MCUA主要功能 控制平面报文处理，路由计算，转发表项的建立和维护； 提供系统配置、管理功能，管理业务板和设备，完成对业务板软件的升级复位等操作,Page 17,S9300 主控系统接口介绍,MCUA,S9303主控板MCUA上状态指示灯（RUN/ALARM、ACT）、系统复位健、以太网10/100Base-TX接口、Console口、灵活插卡槽位，具体接口功能为： 1

13、个Console口，支持交换机的本地配置管理 1个升级、网管用10/100Base-TX接口 1个MON口，用来外接一些干节点监控信号，如门禁、水禁等 1个RS485口，用来外接POE电源的监控等,S9312/S9306主控处理单板SRUA上状态指示灯（RUN/ALARM、ACT）、系统复位健、以太网10/100Base-TX接口、Console口、灵活插卡槽位，具体接口功能为： 1个Console口，支持交换机的本地配置管理 1个升级、网管用10/100Base-TX接口 注意：这里SRUA相比MCUA少了MON、RS485接口，这两个接口是通过集中监控单元CMU来提供,SRUA,Page

14、18,S9300 交换容量说明,S9303交换容量： Full mesh架构的S9303每组HIG的带宽是4*5Gbps*8/10(8B/10B编码)=16Gbps，每个槽位是4组HIG，每个槽位总带宽是64G Full Mesh架构下无交换网，严格意义上讲没有交换容量的概念，目前是按照48GE线卡计算，48Gbps*2*3(3块线卡)=288Gbps S9306/S9312 交换容量： 交换网架构的S9306/S9312每组HG的带宽为4*5Gbps*8/10(8B/10B编码)=16Gbps，每槽位到交换网（主备两块主控处理板）是4组HIG，总带宽是64G 交换网架构下最大交换容量是16G

15、*16 Port*1个交换网*2（双向）*2个主控1024Gbps,Page 19,S9300 主控处理板和背板说明,V100R001背板和主控板：,Page 20,标准板,增强板,SA类板 ：支持32K MAC，不支持MPLS，R1中G24SA/G24CA属于这类板,线卡,EA类板： 支持32K MAC，支持ME特性： MPLS 、VLL、VPLS、L3 VPN,EC类板： 支持128K MAC，支持ME特性： MPLS 、VLL、VPLS、L3 VPN,S9300 线卡分类,ED类板： 支持512K MAC，支持ME特性： MPLS 、VLL、VPLS、L3 VPN,Page 21,S93

16、00 线卡说明,V100R001主要线卡：,Page 22,第1章 S9300总体概述 第2章 S9300硬件架构 第3章 S9300软件特性 第4章 S9300转发流程 第5章 S9300业务特性 第6章 S9300典型组网,内容介绍,Page 23,S9300 软件架构,S9300基于华为公司VRP5平台设计，继承了VRP5丰富的业务特性，同时在此基础上针对交换机的产品特点进行了优化和适配,Page 24,软件特性二层特性,VLAN 支持端口VLAN 支持4K个二层VLAN 支持灵活QinQ 支持Super VLAN 支持组播VLAN STP 支持STP，符合802.1D标准 支持MSTP

17、，符合802.1S标准 支持RSTP，符合802.1W标准 保护 支持链路聚合（支持LACP和跨板聚合） 支持Smartlink（支持负载分担方式） 支持Monitor Link 支持RRPP环网（支持国标和华为私有标准）,Page 25,软件特性二层特性（续）,链路检测 支持DLDP单链路检测 支持LLDP链路层发现协议 支持LDP环路检测协议 MAC 支持动态MAC 支持基于端口、VLAN的MAC LIMIT 支持静态MAC 支持黑洞MAC 支持sticky MAC 以太网OAM 支持802.3ah（支持链路检测、远端环回） 支持802.1ag 支持端到端检测 支持MAC Ping 支持M

18、AC Trace,Page 26,软件特性三层特性,支持4K个vlanif接口 支持DHCP Relay 支持UDP Helper 支持NQA 静态路由 RIP（路由信息协议）V1 / V2 OSPF（开放式最短路径优先）V2 ISIS(中间系统到中间系统的域内路由信息交换协议) BGP（边界网关协议） 支持512K转发表项 支持ISIS graceful restart 支持OSPF graceful restart 支持BGP graceful restart,Page 27,软件特性组播,支持IGMP Snooping 支持IGMP Proxy 支持组播VLAN 支持跨VLAN复制 整机

19、支持4K组播路由 整机支持240K出接口的复制能力 支持PIM-SIM/PIM-DM,Page 28,软件特性 VPN,支持1K个VRF 支持MPLS L3VPN 支持MPLS TE 支持VLL(Virtual Leased Link) 支持VPLS(Virtual Private LAN Segment) 支持GRE,Page 29,软件特性QOS,支持流分类 支持流量监管 支持流量整形 每端口8个优先级队列 支持WRR、SP等队列调度算法 支持WRED和Tail Drop拥塞避免机制 整机最大支持264K ACL 支持端口镜像、支持流镜像,Page 30,软件特性三层特性可靠性,支持BFD

20、 支持MPLS OAM 支持IP FRR 支持LDP FRR 支持MPLS TE FRR 支持VPN FRR 支持VLL FRR 支持VRRP,Page 31,软件特性安全特性,支持DHCP Snooping、DAI 支持ARP防攻击 支持IP Source Guard、IP Source Tracker 支持uRPF 支持广播、组播流量抑制 支持基于单板、全局的CPCAR 支持SSH V2 支持RADIUS 支持HWTACACS,Page 32,第1章 S9300总体概述 第2章 S9300硬件架构 第3章 S9300软件特性 第4章 S9300转发流程 第5章 S9300业务特性 第6章

21、S9300典型组网,内容介绍,Page 33,S9306/S9312数据转发流程说明,CPU,主控处理板,Switch Fabric,LSW,CPU,LSW,CPU,PHY,PHY,背板,接口板,FE/GE/10GE,FE/GE/10GE,管理报文,LSW是业务处理的核心 Switch Fabric是业务交换的通道,Page 34,S9306/S9312板内数据转发流程描述,PHY,LSW,PHY,LSW,Packet,背板通道,Source Port,Destination Port,业务处理点，二三层转发、MPLS、ACL QoS等,Fabric,1、S9306和S9312采用交换网架构，

22、板内转发时，在入接口处直接查表获得目的单板和出接口的信息,2、目的单板就是本板，因此直接根据出接口目的端口的信息将报文从本板转发出去,Page 35,S9306/S9312板间转发流程描述,PHY,LSW,PHY,LSW,Packet,Data,Packet,Source Port,Destination Port,Data,Fabric,入口转发表项查找,出口转发,所有跨板的转发都要经过主控板上的交换网,1、S9306和S9312采用交换网架构，板内转发时，在入接口处直接查表获得目的单板和出接口的信息,2、报文通过交换网进行交换，交换网根据报文头的目的ID将报文转发到目的单板,3、目的单板根

23、据报文头携带的目的端口，直接转发出去,Page 36,S9303板内数据转发流程描述,PHY,LSW,LSW,LSW,Packet,背板通道,Source Port,Destination Port,业务处理点，二三层转发、MPLS、ACL QoS等,1、S9303没有交换网，采用Full Mesh互连，板内转发时，在入接口处直接查表获得目的单板和出接口的信息,2、目的单板就是本板，因此直接根据出接口的信息将报文从本板转发出去,Page 37,S9303板间转发流程描述,PHY,LSW,PHY,LSW,Packet,Data,Packet,Source Port,Destination Por

24、t,Data,入口转发表项查找,出口转发,1、S9303没有交换网，采用Full Mesh互连，跨板转发时，在入接口处直接查表获得出接口的信息,2、报文根据报文头的目的单板ID通过互连的HIG直接送到目的单板,3、目的单板根据报文头携带的目的端口，直接转发出去,Page 38,第1章 S9300总体概述 第2章 S9300硬件架构 第3章 S9300软件特性 第4章 S9300转发流程 第5章 S9300业务特性 第6章 S9300典型组网,内容介绍,Page 39,S9300支持多种网络拓扑，为网络的部署提供灵活的解决方案 传统的树形拓扑、菊花链型拓扑 基于STP协议的MSTP、RSTP环形

25、拓扑，以及增强型的RRPP环形拓扑,灵活的网络拓扑,Page 40,L2 模式下的业务特性描述,支持二层的业务特性，提供个人业务和商用业务，构建端到端的以太网连接到BNG 汇聚层网络采用灵活QinQ、VLAN等进行业务标识，可以采用MSTP/RSTP/RRPP组成环网进行业务保护 业务在BRAS/SR集中处理，BRAS/SR是三层的第一跳,BRAS,分发节点 S9300,汇聚节点 S9300,接入节点 S5300/3300,SR,HSI,Vlan Mapping,Ethernet NNI,Vlan Mapping,L2 Ethernet,Ethernet NNI,L2 Ethernet,L3V

26、PN E-Line/E-LAN,L2 Ethernet,port, 1q, qinq,Ethernet NNI,个人业务,商业业务,VoD/VoIP/BTV,VoIP VLAN,VoD VLAN,L2 Ethernet,VLAN/QinQ Enterprise B,VLAN/QinQ Enterprise C,BTV VLAN,Page 41,L2 和L3混合模式下的业务描述,个人业务 HSI业务通过QinQ/VLAN/EoMPLS透传到BRAS/SR VoIP/VoD/BTV业务可以在汇聚节点S9300上终结，采用DHCP接入，NNI侧提供三层接口；支持PIM SM/SSM 商业业务 L3

27、VPN，支持VRF，做为边缘PE L2 VPN P2P/MP, 汇聚节点建立P2P的VLL到远端PE；支持VPLS,L3VPN,port, 1q, qinq,IP/MPLS NNI,E-Line,port, 1q, qinq,IP/MPLS NNI,MPLS VPN,商业业务,VLL Enterprise B,VLL Enterprise C,E-LAN,port, 1q, qinq,IP/MPLS NNI,BRAS,SR,分发节点 S9300,汇聚节点 S9300,接入节点 S5300/3300,HSI,Vlan Mapping,VoIP/VoD/BTV,L3 IP/MPLS,Etherne

28、t NNI,IP/MPLS NNI,Vlan Mapping,个人业务,EoMPLS/QinQ,Page 42,High-Speed InternetPPPoE接入,10G,10G,Subscriber Edge,1G/10G,ACCESS,AGGREGATION,GE Ring,S9303,S9303,DSLAM,IP/MPLS Core,BRAS,SR,Metro Ethernet,P,Internet traffic,Vlan Mapping, 1:1和 N:1（R2支持） RRPP/RSTP/MSTP接入环网 smartlink上行双归属 基于Priority的队列调度,VLAN/VL

29、AN Stacking,1:1,N:1（R2支持） 上行QinQ/Stacking/EoMPLS接入到BRAS RRPP/RSTP/MSTP环网,S9306/12,集中式 L3和业务处理 PPPoE终结 AAA H-QoS,S9303,S9303,Page 43,High-Speed InternetDHCP接入,10G,10G,Subscriber Edge,1G/10G,ACCESS,AGGREGATION,GE,S9303,S9303,DSLAM,IP/MPLS Core,BRAS,SR,Metro Ethernet,P,Internet traffic,S9306/12,-Vlan M

30、apping, 1:1和 N:1（R2支持） DHCP Snooping防欺骗 -ARP proxy -Option 82 CID和RID灵活可配 -IP/ARP防欺骗 -基于优先级的队列调度 -RRPP/RSTP/MSTP环网,VLAN/VLAN Stacking,1:1,N:1（R2支持） 上行QinQ/Stacking/EoMPLS接入到BRAS RRPP/RSTP/MSTP环网,S9303,S9303,Page 44,个人业务IPTV,10G,10G,Subscriber Edge,1G/10G,ACCESS,AGGREGATION,GE,S9303,S9306,S9306,DSLAM

31、,IP/MPLS Core,BRAS,SR,Metro Ethernet,P,S9303,S9312,VoD traffic,BTV traffic,Multicast (BTV)和VoD业务 -支持-Multicast VLAN -IGMP Snooping/Proxy -组播协议PIM SM/SSM -VOD报文转发，确保QoS,-Vlan Mapping, 1:1和 N:1（R2支持） DHCP Snooping防欺骗 -ARP proxy -Option 82 CID和RID -IP/ARP防欺骗 -基于优先级的队列调度 -RRPP/RSTP/MSTP环网,Page 45,企业L2以太

32、网专线业务,Enterprise A Headquarter,Corporate,CPE,S93,Private VLAN,使能VLAN QinQ, 增加外层 VLAN ID, QinQ 二层隧道透传业务到远端的AN,802.1Q,L2 AGG,提供支持L2的二层专线业务 通过增加外层VLAN，提供纯二层的以太专线业务，在一定范围内的城域网内可以简单的部署,AN S53/33,L2 leased line traffic, Enterprise A,Corporate,CPE,L2 leased line traffic, Enterprise B,Enterprise B Headquart

33、er,Enterprise A Branch,VLAN 10,VLAN 10,VLAN 10,VLAN 10,QinQ Tunnel,QinQ Tunnel,S93,Page 46,企业L2VPN业务,AGG S9300,Headquarter,Corporate,CPE,S9300,S9300,H-VPLS,企业私有VLAN,AN S5300,VLAN 10,使能VLAN QinQ,外层VLAN ID做为企业专线接入标识,802.1Q,802.1Q,QinQ,QinQ,AN,外层 Vlan 映射到 VPLS VSI,VLAN 20,VLAN 10,VLAN 10,VLL,S9300支持Qin

34、Q和VLAN Mapping，在接入交换机上提供灵活QinQ，外层VLAN标识企业用户，在PE上接入到VPLS/VLL 或者, 企业用户使用是有VLAN直接接入到汇聚交换机上，由汇聚交换机增加外层Tag，然后在映射到VPLS.VLL上,IP/MPLS AGG,企业L2VPN P2MP流量,企业L2VPN P2P流量,Page 47,企业L3VPN业务,S9300支持1K VRF，AC侧基于VLANIF映射VRF 不同的企业Site通过L3VPN互通,汇聚设备支持L3VPN业务，基于VLANIF映射到VRF,AGG S9300,Headquarter,Corporate,CPE,MPLS L3

35、VPN,802.1Q,IP/MPLS AGG,802.1Q,AGG S9300,AGG S9300,企业L3VPN流量,802.1Q/QinQ,802.1Q,AN S5300,802.1Q/QinQ,VLAN 10,VLAN 100,Page 48,灵活的VLAN Mapping,ETH,IP/MPLS Core,Internet,VLAN Mapping table,VLAN1HSI,VLAN3VoIP,VLAN2IPTV,DSLAM,HG,DSLAM,S9306,BRAS,SR,S9312,HG,HG,SoftX,Headend,支持基于用户Port用户VLAN的灵活VLAN切换 支持基于

36、ACL的灵活VLAN切换 支持单层、双层VLAN到单层、双层VLAN的切换，802.1p的切换、拷贝等,Page 49,Metro Ethernet Network,AMG,CE,LSW,DSLAM,A,B,C,Active Link,Backup Link,适用双归属上行网络拓扑，可替代STP技术。适用于承载实时业务，对可靠行要求高的网络； 双上行链路以主备方式工作，主链路故障时可快速倒换到备用链路，倒换时间小于50ms。,S9300,Forwarding traffic,Forwarding traffic,Backup Link,Active Link,Blocking,Blocking

37、,S9300,S9300,Smart Link双上行链路组网保护,Page 50,增强的VRRP技术,基于BFD检测的快速链路状态和节点检测和保护倒换 提高VRRP的倒换时间达到50ms,传统的VRRP,增强的 VRRP,Master,Backup,VRRP Hello,Converge Time 3s,Master,Backup,BFD for VRRP,Converge Time: 50ms,interface y vrrp vrid 1 track bfd-session 10 increase 50,S9300,S5300 S3300,S9300,Page 51,DHCP Snoopi

38、ng/Option82、 IP Source Guard,DHCP Server,Rogue Server,DHCP Snooping Enabled,DHCP Request,DHCP ACK,1,3,2,1,2,3,Trustless port,Trustful port,S9300,支持基于DHCP接入的安全控制，基于端口使能配置 支持配置Trust Port，防止DHCP Server仿冒攻击 支持用户特征的安全绑定， IP address/MAC address, port, VLAN ID 支持Option82，RID和CID自定义，同时支持多种客户模式（如中国电信格式） 解析用户

39、租期，用户下线或租期到达，删除绑定表项，抑制假冒用户MAC和IP的攻击 IP Source Guard基于端口使能，采用静态绑定表或者DHCP Snooping动态绑定表进行安全检查,IPMAC Binding Table,Page 52,Static/Dynamic ARP Inspection (SAI/DAI),SAI静态ARP合法性检查，基于静态配置的IP/MAC绑定表进行ARP报文检查 DAI 动态ARP报文的有效性，基于DHCP Snooping动态建立的IP/MAC绑定表进行ARP报文合法性检查 设备丢弃不匹配的MAC-IP报文，阻止ARP报文攻击,Host C IP: IC M

40、AC: MC,DHCP Server,Host B IP: IB MAC: MB,Host A IP: IA MAC: MA,S9300,Gratitude ARP IP:IA, MAC:MB,Traffic, From Host C to Host A,man-in-the middle attack,Host C IP: IC MAC: MC,DHCP Server,Host B IP: IB MAC: MB,Host A IP: IA MAC: MA,S9300,Gratitude ARP IP:IA, MAC:MB,discard unmatched MAC-IP pairs,Page

41、 53,uRPF安全过滤,防止变换源IP的DOS攻击，uRPF当前存在2种模式，Strict和Loose Loose模式：只要在FIB表中查询源地址，相应的路由存在出接口（NULL除未），认为合法，否则丢弃 Strict模式：在FIB表中查询源地址，必须输入的路由接口等于查找到路由的输出接口，认为合法，否则丢弃 基于单板使能，使能后DEF_IP表容量减半。在单板使能的基础上，可以基于端口去使能。,Im really 10.0.0.2,Im Sourcing 10.0.0.2,生成IP 欺骗流量，变换IP地址,WAN,IP: 10.0.0.1,uRPF检查，丢弃从假冒端口上来的IP报文,10.0

42、.0.2,S9300,Page 54,控制平面保护和防攻击,SR,AGG S9300,硬件支持上送控制平面报文的流量分类、策略控制和非法报文过滤 两级的CPU安全保护 LPU线卡： 线卡进行一级流量分类和CAR控制，防止对控制平面攻击 SRU主控：主控CPU和交换网进行ACL过滤和针对所有线卡上送CPU的报文进行CAR限制，保护控制系统，防止DoS/DDoS, IP spoofing, 和SYN Flood 攻击,Attacking Traffic,Attacking Source Trace,10.202.37.2/24 000D-5F4A-7FC6,10.202.37.3/24 00FC-

43、7F33-7F43,10.202.37.4/24 000D-884A-7DD0,Attack Source!,Trace by PORT+VLAN+SMAC,Trace by PORT+VLAN,AN S53/33,Page 55,高性能的 Ethernet OAM: IEEE 802.1ag,IP/MPLS Core,CE,MPLS Access,Customer,Customer,Service Provider,CE,Customer Domain,Provider Domain,Operator Domain,Operator Domain,Operator Domain,S9300,

44、S9300,Maintenance End Point,Maintenance Intermediate Point,Page 56,第1章 S9300总体概述 第2章 S9300硬件架构 第3章 S9300软件特性 第4章 S9300转发流程 第5章 S9300业务特性 第6章 S9300典型组网,内容介绍,Page 57,P2P VLL,L2 MPLS VPN VLL（Virtual Leased Lines）,10.1.0.0,10.2.0.0,VLAN 10,VLAN 10,VLAN 20,VLAN 20,LSP 1,LSP 2,IP/MPLS Network,IN,OUT,10.1.

45、0.0/16,VLAN 10,10.2.0.0/16,VLAN 20,Route Table,IN,OUT,VLAN 10,LSP 1,VLAN 20,LSP 2,LINK Table,IN,OUT,LSP 2,VLAN 20,LINK Table,IN,OUT,LSP 1,VLAN 10,LINK Table,source,S9300,S9300,S9300,CE,CE,CE,S9300支持L2 MPLS VPN VLL (Virtual Leased Line) . S9300支持Martini and Kompella and CCC 整机支持 8K VLL,Page 58,MPLS L

46、2 VPNVPLS,MPLS Network,S9300,MAC1.1.1,MAC2.2.2,MAC3.3.3,MAC4.4.4,PE,PE,PE,VLAN100,VLAN100,VLAN100,VLAN100,LSP1,LSP2,LSP3,LSP4,LSP6,LSP5,S9300支持L2 MPLS VPN VPLS (Virtual Private LAN Service) 支持Martini(LDP) and Kompella 两种模式 支持1K VSI,S9300,S9300,Page 59,MPLS BGP VPN,MPLS CORE,PE,P,P,P,PE,PE,CE,CE,CE,CE,CE,CE,S9300,S9300,支持 RFC 2547 and RFC2547bis. 支持 P and PE. 支持 MPLS VPN ，Supporting 10