01－H3C路由器产品及技术概述V3.0.ppt

1、H3C路由器产品及技术概述,日期：2007-11,密级：公开,杭州华三通信技术有限公司,ISSUE 3.0,引子 SR8800产品介绍 SR6600产品介绍 MSR产品介绍,目录,路由器趋势,开放与 多业务融合,高密度窄带汇聚宽窄带一体的汇聚带业务的大容量宽窄带汇聚,尽力而为设备电信级可靠性业务电信级质量保证,数据与互联网接入三网合一统一通信,标准化可定制开放,连接,性能,业务,应用,H3C的开放融合开发历程,汇聚：SR6600开放多核路由器,接入：MSR50/30/20,核心：SR8800万兆核心路由器,成熟商用的Comware软件平台,2007，业务汇聚网关 推出开放多核路由器 SR660

2、0,2006，弹性智能网络 推出多业务开放路由器 MSR50/30/20,2005，高品质核心网 推出万兆核心路由器 SR8800,1996，Comware 软件系统平台第一个 版本诞生并不断发展,十年积累磨一剑 宣告标准化开放,秉承IToIP产品理念，基于面向业务的标准化开放架构，推出从智能接入万兆核心路由器的完善业务路由器产品线（SR），满足开放和多业务融合的客户需求。,标准开放 业务路由,10G,2.5G,GE,100M,SR6600,MSR20/30/50,SR8800,完善的业务路由器产品线,业界第一款多核路由器！,业界第一款开放路由器！,万兆NP路由器！,共同的心comware分布

3、式网络系统,从“火车跑的快全靠车头带”的蒸气机车到动车组，带来是快捷、安全，可靠、舒适的体验。,动车组原理：动力装置分散安装在每节车厢上，车厢动力还可以动态组合，整车实现最佳配比和智能控制,共同点：动力强劲、业务灵活、安全可靠,核“心”技术： N-BUS架构（专利） 分布式多核 分布式万兆NP 多引擎多总线,MSR系列,SR6600系列,SR8800系列,全系列 业务路由器,引子 SR8800产品介绍 SR6600产品介绍 MSR产品介绍,目录,精细化、专业化的核心路由器是行业业务所需,Internet,传统IP网络,按照行业分类,政务网,电力网,教育网,企业网,金融 网,流量复杂 业务隔离

4、应用复杂,分区隔离 精细控制 接口类型多,大流量 可运营可管理 IPv6业务能力,高可靠性 高安全性 强Qos,高性能 大容量 易管理,行业网络差异化横向业务需求,建网策略： 技术具有一定前瞻性 关键业务的保证 适用性分阶段建网 综合低成本 行业网络： 起点不一，行业落差大 行业内条块分割、各自为政 业务要求各行业各不同 同一种业务不同行业需求 存在差异,行业业务需求： 高速稳定 高可靠性保证 丰富的行业应用接口 精细化Qos 高安全性保证,如何通过技术发展来迎接挑战,行业骨干网面临的挑战,H3C SR8800产品家族,H3C SR8800是H3C公司自主研发的核心路由器产品，是路由器产品家族

5、的旗舰产品. H3C SR8800定位IP骨干网、行业IP专网核心层和汇聚层、POP点及运营商网络汇聚层等网络位置 . H3C SR8800有4款路由器，即: SR8802/SR8805/SR8808/SR8812,H3C SR8800核心路由器系列,主要板件：高性能主控板,Crossbar,Crossbar,三级时钟扣板,高性能CPU,三级时钟接口,2G SDRAM可以支持海量路由表容量,每块主控板内嵌双Crossbar，在单主控的情况下也能保证线速无阻塞交换,采用高性能CPU 作为路由引擎，可以大幅度提升路由协议处理性能,CF卡和USB为用户提供形式多样的管理方式,三级时钟接口为系统和外部

6、设备提供高精度的三级时钟,Buffer,OAM 引擎,QoS引擎,主要板件：分布式业务处理板,专用链路故障检测单元，可实现30ms故障检查和50ms业务倒换,专用查表控制单元，实现查表业务的硬件化,业务处理和数据转发,200ms包缓存是实现复杂Qos队列调度的基础,专用的Qos引擎实现了多队列的快速调度机制,接口子卡和业务底板分离，提供灵活的配置功能，保护投资,GP10L,GP20R,XP1L,灵活接口子卡广域网接口,ET8G8L,RUP1L,精细化的业务控制功能,高可靠,分布式业务处理,高性能、大容量,NPCrossbar,产品特点,体系架构： “一机四平面”设计,NP,NP,NP,Cros

7、sbar,Crossbar,CPU,CPU,CPU,CPU,CPU,OAM CPU,OAM CPU,OAM CPU,线卡监控单元,线卡监控单元,线卡监控单元,系统监控单元,. . .,. . .,. . .,. . .,. . .,. . .,. . .,. . .,主控板,线卡监控单元,OAM CPU,CPU,NP,控制平面由：协议运算、路由表维护、设备管理、操作维护管理等功能，是路由器的控制核心部分。,转发平面主要完成各种业务处理和数据转发，包括：ACL/QoS、IP转发、MPLS VPN、组播等,OAM平面主要完成各种网络协议的快速检测和业务的快速倒换功能,监控平面完成电源系统检测控制、

8、风扇系统检测控制等功能。,体系架构：三引擎转发构架,业务板N,NP业务 引擎,PIC,表检索 引擎,Port 0,Port 1,Port N,PIC,Port 0,Port 1,Port N,QoS引擎,NP业务 引擎,表检索 引擎,QoS引擎,业务板0,NP业务 引擎,PIC,表检索 引擎,Port 0,Port 1,Port N,PIC,Port 0,Port 1,Port N,. . .,Crossbar,Crossbar,Crossbar,Crossbar,数据通道,主控板0,主控板1,QoS引擎,NP业务 引擎,表检索 引擎,QoS引擎,入报文 缓存,出报文 缓存,入报文 缓存,出报

9、文 缓存,入报文 缓存,出报文 缓存,入报文 缓存,出报文 缓存,路由引擎,路由引擎,OAM引擎,OAM引擎,体系架构：分级组播复制,业务板N,NP业务 引擎,PIC,表检索 引擎,Port 0,Port 1,Port N,PIC,Port 0,Port 1,Port N,QoS引擎,NP业务 引擎,表检索 引擎,QoS引擎,业务板0,NP业务 引擎,PIC,表检索 引擎,Port 0,Port 1,Port N,PIC,Port 0,Port 1,Port N,. . .,Crossbar,Crossbar,Crossbar,Crossbar,数据通道,主控板0,主控板1,QoS引擎,NP业

10、务 引擎,表检索 引擎,QoS引擎,入报文 缓存,出报文 缓存,入报文 缓存,出报文 缓存,入报文 缓存,出报文 缓存,入报文 缓存,出报文 缓存,路由引擎,路由引擎,OAM引擎,OAM引擎,NP级组播复制：NP复制组播流量给FA和本NP其它组播出接口,三级组播复制功能，保证组播高性能的基础上，避免带宽的浪费。,FA级组播复制：FA复制组播流量给板内其它FA和Crossbar,交换网级组播复制：交换网复制组播流量给有组播业务需求的FA,组播入接口,体系结构：独特的开放应用构架（OAA）,基于OAA（Open Application Architecture）机制提供标准的应用接口，用户或第三方

11、能够在核心路由器上自行开发业务特性，如：嵌入式Firewall、嵌入式IPS等，实现核心路由器的业务增值，加速IP网络向智能化方向发展。,业务能力 高可靠性 高安全,SR8800技术特点,精细化的QoS能力,Ingress Buffer,Egress Buffer,200ms报文缓存能力，支持突发流量,海量ACL规则，64K/NP 入方向CAR，粒度1K,交换网级别的深度QoS ，支持VoQ和E2E流控，避免HOL,200ms报文缓存能力，支持突发流量,海量ACL规则，64K/NP 出方向CAR，粒度1K,H-QoS三级队列调度，支持真正精细化的QoS,先进的拥塞避免机制,形式多样的Shapp

12、ing方式，可基于端口或基于队列,H-QoS的来源,OA,生产,监控,电话,OA,生产,监控,电话,OA,生产,监控,电话,。 。 。,PE路由器,普通QoS的处理方式：按照业务优先级等规则，对所有用户的所有业务统一调度,CE设备,CE设备,CE设备,普通QoS只能按照业务优先级等规则，对所有用户的所有业务统一调度，无法实现对“用户 每个用户的业务”进行精细化区分服务，即：在对用户进行区分服务的同时还需要对每个用户的业务进行区分服务。 层次化的QoS（H-QoS）技术可以支持对“用户 每个用户的业务”进行精细化区分服务。,3,n,1,n,2,1,2,2,3,VPN 2次优先级用户,VPN n低

13、优先级用户,VPN 1高优先级用户,次优先级和低优先级用户的监控业务被发送,高优先级用户的监控业务被丢弃，带宽被抢占,低优先级用户的OA业务被发送，高优先级和次优先级用户的OA业务被丢弃，带宽被抢占,高优先级和次优先级用户 未真正得到高SLA服务,高优先级用户： 承诺带宽500M,次优先级用户： 承诺带宽400M,低优先级用户： 承诺带宽300M,实际带宽500M,实际带宽400M,H-QoS应用,OA,生产,监控,电话,OA,生产,监控,电话,VPN 2次优先级用户,OA,生产,监控,电话,VPN n低优先级用户,。 。 。,PE路由器,VPN 1高优先级用户,CE设备,CE设备,CE设备,

14、按用户业务级别进行第三级调度，保证高优先级业务高QoS服务,按用户级别进行第二级调度，对不同的用户进行不同的带宽保证,按业务类级别进行第一级调度，按报文优先级进行调度，保证系统的高优先级业务高QoS服务,3,2,1,1,2,1,1,2,3,高优先级和次优先级用户的监控业务被发送，低优先级用户的监控业务被丢弃,高优先级用户的OA业务被发送，次优先级和低优先级用户的OA业务被丢弃,所有用户按SLA等级 获得对应的服务,H-QoS支持所有用户按SLA等级获得对应的服务，精确保证每个用户的带宽。,QoSCrossbar基于信元交换,Crossbar,FA把Packet切分成4128字节大小的Cell,

15、Cell信元重新组合成Packet,8 Priorities Tx Queues of port,3,2,1,0,7,6,5,4,Ingress Buffer,Ingress,VoQ in FA,3,2,1,0,Packet,Cell,Cell,Crossbar基于Cell交换,分级可变长信元交换，提高的数据的转发效率,RPR弹性分组环,RPR（Resilient Packet Ring，弹性分组环）一种新的MAC层的协议，具备多种技术优势： 环路带宽利用率高 故障自愈功能 拓扑自动发现，节点即插即用 Steering和Wrapping倒换机制，故障恢复时间快，可以到达50ms故障自愈的电信级

16、要求 带宽分配加权公平算法 SR8800的RPR功能符合IEEE 802.17标准 支持10G/2.5G RPR不同速率 支持跨板RPR,PE,10G/2.5G RPR,PE,PE,SITE 6,SITE 3,SITE 8,SITE 5,SITE 2,SITE 7,SITE 4,PE,PE,RPR支持三种流量等级： Class-A：提供低抖动带宽保证，以支持TDM业务，分为A0和A1,其中A0带宽是全环预留的，而A1和B类的保证带宽都是可以回收的，空闲时可以被低优先级业务占用； Class-B：提供低延时带宽保证，用来进行分优先级次序的数据发送 Class-C：尽力而为流量，如传统的IP业务。

17、,各种业务的分类： 在RPR端口下，我们可以通过COS值、EXP优先级或者IP优先级把数据报文映射为A、B、C类业务。 对A类业务，我们可以通过rate-limit命令中reserved参数来设置A0的门限值；超出的部分就自动变为A1。 对B类业务，可以通过rate-limit命令中的medium参数来设置B0的门限值，超出的部分自动变为B1。,RPRQoS,MPLS网络,MP-BGP,UPE,SPE,UPE,PE,PE,分层PE,MPLS网络,VPN2 site2,VPN1 site1,VPN2 site3,VPN1 site3,VPN1 site2,VPN2 site2,支持HoPE技术，

18、实现VPN的延伸和扩展,支持各种方式接入MPLS VPN PPP、ATM、Eth/VLAN等,支持PE-CE间各种路由协议 静态路由、EBGP、RIP、OSPF等,支持跨自治域方案 VRF-to-VRF MP-EBGP Multi-Hop MP-EBGP,PE-ASBR,PE-ASBR,MPLS VPN关键指标,VRF数量：4K 标签空间：256K VPN路由：128K,提供VPN网管，支持跨厂家的VPN管理,支持VLL / VPLS Martini 模式 Kompella 模式,支持基于IPv6的MPLS VPN (6PE) 特性,性能卓越的MPLS VPN解决方案,IPv6,二层网络,VP

19、N-A/Site2,VPN-B/Site2,骨干网,PE2,P,CE-A2,CE-B2,VPN-A/Site1,VPN-B/Site1,CE-A1,CE-B1,PE3,MPLS Core,IBGP,IBGP,IBGP,PE1,VPN-A/Site3,CE-A3,分布式组播VPN,接收者,接收者,接收者,SR8800支持分布式的组播VPN，无须配置专用GRE板，各业务板独立完成本板组播VPN业务，性能高、配置灵活,IPv6骨干网络,IPv4/IPv6双栈网络,IPv6网络,NAT-PT转换,IPv4接入,IPv6接入,隧道接入,IPv4网络,全面的IPv6解决方案,IPv4网络,支持IPv6静态

20、路由、RIPng、OSPFv3、IS-ISv6、BGP4+ 支持IPv6 Policy Routing、VRRPv3 支持Neighbor Discovery Protocol、Path MTU Discovery 支持Ping v6、Telnet v6、FTPv6、TFTPv6、DNSv6、ICMPv6 支持IPv4向IPv6的过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道,业务能力 高可靠性 高安全,SR8800技术特点,主控板1,独特的OAM监测机制,CPU,主控板0,CPU,NP,OAM CPU,CPU,NP,OAM CPU,业务

21、板,业务板,电源,. . .,CPU,NP,OAM CPU,CPU,NP,OAM CPU,业务板,业务板,风扇,. . .,交换网,采用分布式OAM体系构架，各业务板均提供OAM CPU专用于实现OAM相关功能，使OAM业务从管理CPU分离出来，既减轻管理CPU的负荷、保障管理CPU的安全性，同时又极大地提高OAM业务的处理性能； 支持BFD for BGP/IS-IS/OSPF/RSVP/VPLS PW/VRRP等，实现各协议的快速故障检测机制，故障检测时间小于20ms； 支持IP FRR、TE FRR、LDP FRR、VPN FRR，业务切换时间小于50ms,跨板捆绑,高价值客户通过双链路

22、接入不同板卡，跨板捆绑，确保业务高可靠性 跨板捆绑功能通过高性能硬件引擎实现，多链路线速分担转发 多种HASH策略，保证各链路流量均衡转发 链路故障情况下无缝切换，不影响业务转发 支持256组端口捆绑，每组8个端,Router A,Router B,?,其它可靠性技术,1、支持IP FRR、TE FRR、LDP FRR、VPN FRR等，实现各协议级快速切换 2、支持主控11冗余备份 3、支持电源11冗余备份 4、支持在线热补丁技术 5、支持业务处理板和接口卡热插拔,业务能力 高可靠性 高安全,SR8800技术特点,路由安全,业务接入安全,管理安全,转发安全,SSH,RADIUS,TACACS

23、+,SYSLOG,海量双向ACL,URPF,NETSTREAM,MIRROR,路由协议 MD5认证,管理与业务 平面严格隔离,安全的Commware 路由软件系统,ARP限速,地址绑定,控制信息的 过滤和限制,NQA,端口限速,IPS/FW/IPSec,VLAN内端口隔离,广播/异常流量抑制,全方位的安全特性,业务板CPU,转发层面,第一级： 双向ACL & CAR，线速包过滤,第二级：ACL和CAR流控，过滤非法报文，精细限制报文速率，防止CPU超载,第三级： 内嵌主机防火墙，防止DoS/DDoS攻击,主控板CPU,数据流,控制流,多级安全机制,网址过滤器 HTTP,交付已过滤的内容,病毒过

24、滤器 HTTP FTP SMTP POP3 IMAP,垃圾邮件过滤器 SMTP POP3 IMAP,原始传输的全部内容 (可能被感染),原始传输的全部内容 (干净内容),第一步：典型检查 对所有进入数据包进行“深度检查” 检查所有进入数据包，确定源和目的地址 协议确认,第二步：数据标准化 数据包经过确认，进行排队，直到所有数据包被接收 数据包被接收，标准化重组，为传输的数据提供了全面上下文,基于签名的过滤器 基于协议异常过滤器 基于流量异常过滤器 基于漏洞的过滤器 大量协议解码器,第四步：重组上下文 所有通过安全宽带IPS的数据包内容均被完全检查和清洁处理（或隔离），然后被交付给受保护的用户网

25、络。,OAPIPS/FW,引子 SR8800产品介绍 SR6600产品介绍 MSR产品介绍,目录,行业纵向网边缘 汇聚路由器,校园网出口路由器,中小型企业 核心路由器,大型企业汇聚 接入路由器,金融、电力行业,中小型企业,政府园区网/小区,全国各高等院校,产品定位,多核集中式路由器SR6602,高性能： 转发性能：4.5Mpps IPSec性能：2Gbps 固定接口： 4个GE（光电复用） 灵活配置： HIM、MIM混插 接口模块支持热插拔,多核 紧凑型设计 高性能强业务,多核分布式路由器SR6608,高可靠性 分布式处理 双主控 双电源设计 所有引擎、模块支持热插拔 多种业务引擎配置 FIP

26、-100 FIP-200 高性能 100G背板带宽 转发性能 18 Mpps 支持高密度cPOS线速汇聚,多核 分布式 强业务处理 兼顾高速和低速,电源,风扇,提示：播放时点击各指示的部件可观看动画,路由引擎(RPE-X1),业务子卡(CL2P),业务引擎(FIP-200),多核分布式路由器SR6608,SR6608路由引擎RPE-X1,CPU：1G Hz 内存：1G Console口 Aux口 GE管理网口 内置1个CF卡，外留1个CF卡接口 1个Host USB接口,1个Device USB接口,SR6608之FIP业务引擎,SR66高速HIM子卡,SR66兼容MIM子卡,Speed yo

27、ur Network（硬件提速） Stable（高可靠性） Security（丰富的安全特性） Service（业务融合） Save（节省用户投资）,H3C SR66路由器技术特点（5S）,标准C语言编程，适应各种业务处理,多核CPU,并行硬件体系，内置硬件加速以及加密引擎，具备强大的业务处理和安全能力,多核CPU在路由器上的首次应用,CPU多线程的竞争优势说明,多个硬件CPU线程 32个硬件线程 每个CPU核4个硬件线程 灵活的调度机制，满足各种应用 轮转 优先级 时间片,MultiCore Processor,SR66多核CPU,SR66多线程大幅提升业务处理能力,GE,CPOS,GE,分

28、发器,Rx,快速消息网络,GE,包分发引擎,解析器,分发器,解析器,分发器,解析器,解析器规则灵活多样，可以动态调整，达到均匀负载,使用TCAM进行表项特征快速并行匹配,SR66 多核硬件包分发引擎,分发器挂在快速消息网络上，直接通知CPU核处理，效率高，不挤占CPU资源,SR66多核硬件包分发引擎负载均衡,CPU-1,CPU-2,CPU-2,CPU-3,CPU-4,CPU-5,CPU-6,CPU-7,10G加密引擎,2号槽位,1号槽位,固定口,快速消息网络完成多核CPU核间快速通信： 工作速度与CPU同频率，不占用CPU资源 主要部件均挂接在消息网络站点上，通信精确到CPU硬件线程， 独特的

29、Credit机制，保证通信无阻塞,高效快速的硬件协同工作机制,HIM GE卡独占10G总线，固定GE独占GE总线，带宽无瓶颈 硬件包分发引擎自动识别各种以太网报文类型，将流特征不同的报文均匀散列到不同的CPU线程上并行处理，吞吐能力得到极大地提升,MSTP,HIM CPOS卡独占10G总线，带宽无瓶颈 硬件包分发引擎自动识别各种以太网报文类型，将流特征不同的报文均匀散列到不同的CPU线程上并行处理，吞吐能力得到极大地提升,强大的汇聚能力,硬件架构全面升级 多核多线程CPU在路由器上首次使用 快速消息网络(FMN)完成多核CPU核间快速通信 包分发引擎 强汇聚能力每卡独占10G总线 基于多核硬件

30、架构，软件并行处理，业务性能全面提升！,硬件提速总结,Speed your Network（硬件提速） Stable（高可靠性） Security（丰富的安全特性） Service（业务融合） Save（节省用户投资）,H3C SR66路由器技术特点（5S）,物理可靠：双主控、双电源、转发引擎/子卡/主控/电源/风扇支持热插拔 软件可靠：热补丁、主机防攻击、控制平面限速、管理安全,多链路捆绑、IP Trunk,不间断转发，冗余网关技术（VRRP）、ECMP、动态路由快速收敛、BFD,控制与业务分离、业务处理隔离、TE FRR,全方位的产品可靠性,高可靠性硬件设计,用增强型补丁代码段 替换原始代

31、码段,代码段,代码段,原始 代码段,代码段,代码段,代码段,原始程序,补丁代码区,SR66支持单核CPU以及多核CPU的软件热补丁技术 实现在不复位设备的前提下，在线修改软件BUG或增加小规模新特性的功能 提供控制补丁单元状态切换的用户命令，使用户能够方便的加载/激活/去激活/运行/删除补丁单元,在线补丁技术提供了灵活的缺陷修改的手段，保证了网络业务的可靠持续提供！,支持在线软件热补丁技术,IP Trunk实现更高的线路带宽和可靠性,IP Trunk,IP Trunk,IP Trunk实现本板捆绑，单链路物理故障仍可正常工作,IP Trunk实现跨板捆绑，更高的可靠性,SR66支持POS IP

32、 Trunk SR66支持以太网 IP Trunk SR66支持Trunk接口的QoS,支持IGP路由快速收敛,测试结果显示：IS-IS路由最快收敛时间小于50ms；1万条IS-IS路由为300ms,实时泛洪，链路状态信息快速通告 检测链路故障，立即泛洪，后计算 增量SPF计算(i-SPF) SPF树中某一树干发生变化(down/up)，那么SPF只计算受该发生变化的树干影响的部分树，不需要完全重新路由计算 局部路由计算(PRC) SPF树中，如果仅仅叶子发生变化，那么只计算叶子部分，不需要完全重新路由计算 智能定时器 根据预先配置的参数，依照指数退避的规律动态的改变时间间隔，解决“频繁产生”

33、与“时间间隔长”之间的矛盾,FIB,高速背板,主备倒换时，板内板间数据转发/业务不中断,控制,IPC,主控,控制,备用主控,原协议会话 被切换,协议会话 保持不断,主控,控制,控制,SR66主控倒换检测机制,主备倒换时业务不中断,FIB,高速背板,主控,备用 主控,相邻路由器,通知路由器启动GR特性,倒换后继续会话实现平稳重启,相邻路由器,SR66全面支持GR特性，包括支持GR for OSPF/IS-IS/BGP/LDP/RSVP 主备倒换期间网络保持稳定，倒换后，设备在相邻路由器的帮助下快速学习到网络路由,短暂中断时不需要删除路由,全面支持GR特性,主控板1,系统 背板,主控板0,业务板,

34、业务板,BFD处理Core,报文处理Core,控制处理Core,业务板,BFD处理Core,报文处理Core,控制处理Core,BFD处理Core,报文处理Core,控制处理Core,业务板,BFD处理Core,报文处理Core,控制处理Core,在BFD应用时，利用多核CPU特点，采用其中一个Core的部分处理能力（如1个线程）用于BFD处理，减轻管理控制CPU核的负担、保障管理CPU核的安全性，同时又极大地提高BFD等OAM业务的处理性能 SR66支持BFD for BGP/IS-IS/OSPF/RSVP/VPLS PW/VRRP等，实现各协议的快速故障检测机制，故障检测时间小于20ms

35、在BFD的基础上，SR66支持IP FRR、TE FRR、LDP FRR、VPN FRR，业务切换时间小于50ms,多核CPU对BFD的完美支持,路由安全,业务接入安全,管理安全,转发安全,SSH,RADIUS,TACACS+,SYSLOG,Firewall,URPF,IPSec,路由协议 MD5认证,管理与业务 平面严格隔离,安全的Comware 路由软件系统,ARP限速,地址绑定,控制信息的 过滤和限速,NQA,端口限速,IPS,广播/异常流量抑制,全方位的安全特性，确保设备可靠安全,ASPF,丰富的安全协议以及严格的业务接入控制使SR66路由器运行的可靠性得到极大的提升！,SR66完全面

36、向电信级应用进行设计，结合多核CPU业务处理能力强的特点，在设备、链路、网络、业务等几个层面上提供了全方位的软硬件可靠性特性 硬件支持关键部件的热插拔 软件架构支持控制与业务分离 热补丁 跨板IP Trunk ECMP VRRP BFD 全面支持GR 支持FRR 控制平面保护,高可靠性总结,Speed your Network（硬件提速） Stable（高可靠性） Security（丰富的安全特性） Service（业务融合） Save（节省用户投资）,H3C SR66路由器技术特点（5S）,Internet,GE2/0/1,GE2/0/2,POS3/0/1,攻击数据包,正常数据包,GE2/0

37、/1,CPU核1,CPU核2,主控,主控,CPU核1,CPU核2,POS3/1/0,多个攻击报文采用与正常报文相同的目的和源，或随机产生源地址，经硬件分发引擎到不同的CPU核 正常报文在根据目的地址转发的同时，反向查找源地址路由，判断入接口一致后正常转发 攻击报文源地址无路由，或入接口不正确，抛弃 防御源欺骗类型、分布式类型攻击,支持URPF安全转发,在PE设备上识别不同业务，将语音、视频实时业务、数据业务等区分开来，封装到VPN中；实现不同业务之间的安全隔离 通过MPLS VPN来承载多种业务,可以保证各类业务对承载网的安全影响,MPLS VPN可以提供等同于专线级别的安全保护,SR66硬件

38、分发引擎对MPLS报文自动识别，负载均衡到各个硬件CPU线程 各个CPU线程并行进行优先级映射 报文传送过程中多个CPU线程并行进行QoS保障,全面支持L2/L3 VPN业务(加),VPN业务隔离,SR66安全特性之硬件加密引擎 多核CPU内嵌10G加密引擎 4个加密核1个RSA核 负载均衡引擎保证各个核并行运行 支持DES/3DES/AES等主流算法 支持SHA/MD5验证 支持CRC校验及RSA Key的硬件加速,传统路由器安全特性硬件架构 纯CPU计算，性能很差 PCI接口的IPSEC加速卡，性能较低,SR66内嵌10G硬件加密引擎,企业总部,PSTN/ISDN,L2TP+IPSec+N

39、at,LNS,LAC NAT,SR66,PPPoE,SOHO,移动用户,传统IP VPN的升级,分支机构,AR46,GRE+IPSec+Nat,MPLS,BAS(LAC),DSLAM,NAS(LAC),PE,PE,L2tpIPSec Tunnel,L2tp+IPSecTunnel,GRE+IPSecTunnel,Internet,DSL,PE,X,X,X,SR66 支持L2tp、IPSec多实例,总部服务器,总部,移动用户 Modem拨入,分支机构,Soho ADSL 拨入,IP VPN与MPLS VPN的完美融合-VPE,包过滤影响其他业务的运行,包过滤防火墙的定义 根据一组规则允许一些数据

40、包通过，同时阻塞其他数据包，规则可以根据网络层协议(如IP)中地址信息或者传输层(如TCP头部或者UDP头部)信息制定,受CPU能力限制，过滤性能较低,单核CPU包过滤遇到的问题,包过滤多核并行处理，性能大幅提升,控制平面不处理过滤，管理功能稳定,SR66多核包过滤,分布式包过滤，整机处理能力大幅提升,多核包过滤防火墙,多核ASPF应用状态防火墙,部分攻击会将报文分片，到达目的地重组报文，产生攻击，使得防火墙失效！,分片重组防攻击！,SR66,SR66支持虚拟分片重组 快速重组分片报文，完成防火墙对攻击分片的防范 快速重组分片报文，用以部分应用的alg转换,支持虚拟分片重组,SR66利用多核C

41、PU并行处理业务以及内嵌的10G硬件加密引擎提供了丰富强大的安全特性 强大的VPN隔离 高速的IPSec VPN 加密的IP VPN IP VPN接入MPLS VPN 包过滤以及状态防火墙 虚拟分片重组防攻击,丰富的安全特性总结,Speed your Network（硬件提速） Stable（高可靠性） Security（丰富的安全特性） Service（业务融合） Save（节省用户投资）,H3C SR66路由器技术特点（5S）,,0,,私网IP地址,公网地址,SR66,Internet,NAT,,Web服务器,10.1.

42、1.4,邮件服务器,基于会话的方式，多核多线程并行处理NAT业务，加上分布式处理，极大提升整机NAT处理能力 采用端口循环复用方式，同时自动检测五元组冲突，使得NAPT支持无限连接 支持NAT/NAPT/内部服务器支持黑名单 支持连接数限制 支持会话日志 支持多实例,多核分布式NAT,NetStream V5/V8,DOS攻击Flood 攻击 ,多核分布式NetStream,转发过程中，流量已经均匀分布在多核CPU的各个线程上，并行进行NetStream统计，负载均衡使得转发性能基本不受影响，并行处理使得NetStream处理能力大幅提升 全分布式NetStream处理，整机NetStream

43、处理能力大幅提升,传统的单CPU处理NetStream，CPU性能是瓶颈，流量越大，对性能影响越大！,SR66通过OAP（Open Application Platform）平台，基于OAA（Open Application Architecture）架构，可以根据企业网用户应用需求提供定制的各种业务模块，业务能力无限扩展！,SR66开放架构之OAP,SR66利用多核CPU并行处理业务以及开放式的OAP架构使业务更加丰富! 多核分布式NAT 多核分布式NetStrem OAP平台,业务融合总结,Speed your Network（硬件提速） Stable（高可靠性） Security（丰富的

44、安全特性） Service（业务融合） Save（节省用户投资）,H3C SR66路由器技术特点（5S）,SR6602路由器,SR6608路由器,SR66系列路由器在设计上做了对H3C AR28和MSR系列路由器板卡的兼容，当需要升级到SR66系列路由器时原有板卡仍然可以继续使用，组合方便灵活，从而有效的节省用户投资,兼容AR/MSR的MIM插卡,需求1：GRE,需求2：高性能的L2TP,需求3：高性能的NAT,需求4：高性能的IPsec加密,需要增加单独的GRE板卡,需要增加单独的L2TP板卡,需要增加单独的NAT板卡,需要增加单独的加密板卡,传统的高端路由器为了实现高性能的GRE隧道、L2

45、TP隧道、NAT转换、IPsec加密等往往需要 增加单独的硬件板卡，很大程度上增大了用户的投资,需求1：高性能的GRE,需求2：高性能的L2TP,需求3：高性能的NAT,需求4：高性能的IPsec加密,SR66系列路由器采用多核CPU并行处理的方式以及板卡内嵌加密引擎的方式，在不用增加任何板卡的情况下就可以实现高性能的GRE隧道、L2TP隧道、NAT转换、IPsec加密等，可以极大程度的减少用户的投资！,传统高端路由器,多核分布式SR66,无需增加单板实现高速业务,SR66系列路由器的POS 接口板的接口速率可以通过命令行配置在155M和622M之间进行切换，这样可以有效的减少用户投资，将在有

46、限的投资下实现广泛的接入速率选择的需求变成现实,命令行切换POS 155M/622M速率,在多核分布式系统上全面支持IPV6特性，用户无需增加任何投资，即可将网络从IPV4平滑升级到IPV6 IPv6协议栈： ICMPv6、Path MTU、ND、自动配置、DNS Client等 IPv6过渡技术：双栈、NAT-PT、自动隧道、配置隧道、6to4隧道等 IPv6路由协议：BGP4+、IS-ISv6、OSPFv6、RIPng等,无需追加投资实现IPv6平滑升级,SR66为用户着想，架构上的兼容性设计以及软件特性的前瞻性设计大大节省了用户投资! 兼容AR/MSR MIM板卡 命令行切换POS 15

47、5M/622M速率 无需追加投资实现IPv6平滑升级 无需增加单板实现高速业务,节省投资总结,引子 SR8800产品介绍 SR6600产品介绍 MSR产品介绍,目录,传统分支网点面临的问题,糖葫芦串组网,传统网关,流量分析,安全网关,语音服务,应用优化,防毒网关,分支用户的烦恼： 传统组网设备繁多，初期投资高，管理运维成本高 设备封闭专用，有新的应用增加，就需要新添置设备,集成化是降低企业网络运维成本的最佳选择,传统企业三网合一方案,新型多业务协同组网方案,传统组网设备繁多，初期投资高，管理运维成本高； 设备封闭专用，有新的应用增加，就需要新添置设备；,MSR路由器融合路由、交换、安全、语音、

48、程控交换等功能于一体，为接入层提供一体化组网方案。 集成化组网是边缘网络发展的趋势，不仅初期投资少，而且管理简单，节省长期运维费用。 MSR具有开放应用平台OAP，可集成语音服务器、防毒墙、广域网优化、应用加速等高级业务。,理想的多业务平台：MSR,集成： 路由、交换、语音、安全、VPN,开放： OAA&OAP，第三方应用，定制化开发,业界最先进的开放架构路由器,高速： N-Bus体系架构，多业务线速并发,MSR多业务集成,多设备堆叠,多业务一体化设备,传统网关,流量分析,安全网关,语音服务,应用优化,防毒网关,截至到07年7月，MSR得到业界认可与赞誉,MSR通过清华大学IPv6试验网测试,

49、MSR通过国家电网公司IPv6试验网测试,MSR获得2006年度IT168 产品创新奖,MSR获得2006年国际金融展创新产品奖,MSR获得2007年东京“ShowNet of Interop 2007 Tokyo” 最佳产品奖,MSR功能与性能经过国际权威机构Tolly Group测试（业界公认）,H3C MSR全系列开放多业务路由器,MSR 20-1x/20/21/40,MSR 30-20/40/60 MSR30-16/11,MSR 50-40/60,大中企业分支,中型企业核心,小分支及SMB,性能/端口密度/灵活度/业务,网络定位：,产品主要亮点： 简化管理 一台设备全集成。有效解决多厂

50、商多产品的混插情况，便于维护； 保障应用 通过应用优化、防病毒攻击等诸多业务提升用户满意度； 满足个性化需求 面向中小企业信息化推出有行业特色的定制化路由器；,业界第一台多业务开放路由器,MSR路由器全系列产品一览,MSR 20-20 MSR 20-21 MSR 20-40,MSR 30-11 MSR 30-16,MSR 30-20,MSR 30-40 MSR 30-60,MSR 50-40 MSR 50-60,转发 240Kpps 加密 250Mbps 隧道 2000 FW 600Mbps 语音 240/300 内存 256M CF 256M USB 2,转发 600Kpps 加密 500M

51、bps 隧道 3000 FW 1.5Gbps 语音 360/480 内存 512M CF 256M USB 2,转发 200Kpps 加密 250Mbps 隧道 2000 FW 300Mbps 语音 120 内存 256M CF 256M USB 2,转发 180Kpps 加密 200Mbps 隧道 2000 FW 200Mbps 语音 120 内存 256M USB 0/1,转发 160Kpps 加密 100Mbps 隧道 2000 FW 150Mbps 内存 256M CF 256M USB 1,MSR30-16简介,自带两个FE路由口,4个SIC扩展槽,1个MIM插槽,接口灵活，支持CP

52、os/GE等接口,全面支持IPv6、MPLS TE等特性,高性能(转发:180Kpps,加密:200M),先进的体系架构保证多业务线速并发,路由,交换,安全,语音,L4-L7,路由,交换,安全,语音,L4-L7,路由,交换,安全,语音,L4-L7,多业务集成系统,MSR路由器N-Bus体系结构（发明专利：200410009178.9）,伪“多业务路由器”体系结构,基于深度应用识别的QoS机制,分支,总部,公网,BT种子服务器,BT共享者,BT下载,办公,通话,MSR,MSR,通话,FTP服务器,Web服务器,1、正常办公保证5M 2、确保语音无时延 3、BT下载限速64K,语音流,BT流,业务

53、流,基于深度应用识别的企业多业务协同办公解决方案,MSR支持深度应用识别（DAR）功能，目前能够识别Web、FTP、BT、Napster 、 eDonkey、 eMule等80多种网络上常见的应用业务流，而且识别能力还在持续不断的增强； DAR的特点： 1、对于DAR识别出的业务流，可实施各种QoS策略，加强了管理者对数据流的控制力度； 2、DAR具有统计应用分类及流量百分比功能, 使管理者可以更清晰的了解当前网络使用状况； 3、DAR 不仅能保证企业正常生产效率, 同时还节约了宝贵的带宽资源；,H3C技术,H3C OAP卡,第三方技术,开放源代码,H3C开放多业务网络平台,MSR开放,开放应用架构 OAA,宽带网关、融合通信短信群发、网络传真,运营商综合信息服务器,中小企业综合信息服务器,MSR开放,气象数据采集