运营级企业以太网iECE.ppt

1、运营级企业以太网iECE 迈普通信技术股份有限公司,可运营的以太网络CE 企业以太网络面临的挑战 iECE网络建设的关键点,传统以太网在运营中面临的挑战,OAM：随着以太层网络的出现（基于VLAN的QinQ），缺乏基于以太层的维护手段 服务质量：无连接的包交换网络，如何承载不同用户类型的业务 可靠性：传统的生成树保护措施难以满足运营业务实时性的要求,可运营网络（CE）的主要内容,CE：电信级以太网（Carrier Ethernet）， 由MEF组织（城域以太网论坛组织）提出了Carrier Ethernet网络的概念，提出了可运营的以太网的概念，包括五个层面。,可运营网络（CE）的主要内容,标

2、准化的业务：支持城域以太的专线业务，包括E-LINE、E-LAN、E-TREE，支持融合的语音、视频、数据业务，以及通过电路仿真支持TDM透传业务 可扩展性：能够承载广泛领域的商业、信息处理、通信以及娱乐等各种业务 可靠性：用户无感知的故障恢复和保护倒换，其恢复时间达到50ms水平 服务质量保障：支持各种粒度带宽和服务质量选择，支持业务等级规划，以及端到端的语音、视频和数据的业务性能保障。 电信级业务管理：能够快速进行业务部署，开展标准准化的网络监视、诊断和集中控制，实现运营级维护管理(OAM)、用户网络管理(CNM)。,可运营的以太网络CE 企业以太网络面临的挑战 iECE网络建设的关键点,

3、高可靠性是永恒的主题,高可靠性： 高可靠性是网络建设永恒的主题 随着业务的更多集中、实时性、交互性更强的业务承载于现有的IP网络之上，对网络本身的可靠性提出了更高的要求。CE关于网络50ms切换要求的技术指标，可以满足企业内部高可靠性要求,广域网以太化、以太网规模化,广域网线路以太化，以太网络规模化，传统的现场维护方式费时费力，迫使我们必须升级传统的以太现场维护手段。 时常面临网速慢、丢包等非连接性故障现象，需要提升维护手段，超越网络连接管理，关注到网络中业务流量。,网络攻击常态化、设备安全化,由病毒导致的针对网络基础设施的攻击不断出现，攻击防护逐渐过渡到网络基础设备之上，如：冲击波、震荡波、

4、ping of death、ARP病毒、DHCP欺骗、畸形数据包攻击等都对基础网络产品重大影响，迫使基础网络设备安全化。,业务处理实时化、实时业务IP化,业务处理实时化，大量业务要求实时处理，如金融的柜台业务等（其中的图片扫描需要实时上传审核），要求响应及时。 实时业务IP化，原有的语音、视频会议、视频监控等实时业务都朝IP移植，需要保障带宽；以上都需要整个网络具备多业务承载的能力。,运营级企业以太网络iECE,iECE（in-Enterprise Carrier Ethernet）：迈普将电信级以太网技术有选择地应用到企业网，实现多业务承载。主要包括以下几个方面的内容： 高可靠性解决措施 多

5、层次的网络维护 交换、安全一体化方案 多业务的承载与扩展,可运营的以太网络CE 企业以太网络面临的挑战 iECE网络建设的关键点 高可靠性解决措施 多层次的网络维护 交换设备安全化方案 多业务的承载与扩展,高可靠性措施-“0”断网硬件设计,高可靠性措施-核心设备多平面分离,多平面分离意味着各平面之间故障隔离，维护隔离，配合各平面的冗余备份，可以大大提高设备的可靠性。,高可靠性措施-核心设备高速双星型总线,要满足运营级的99.999%的可靠性要求，硬件冗余是基础,高可靠性措施-核心设备硬件冗余,高可靠性措施-“0”断网软件保障,NSF：不间断转发控制层面发生故障的时候，在一段时间内，如果整个网络

6、的拓扑都没有变化，则转发平面的转发表仍然是正确的 ，仍可实现正常数据转发，充分发挥控制、转发分离硬件优势,GR：优雅重启（Graceful Restart）是一种旨在最小化路由协议重启影响的机制 ，它在主控切换期间，通过协议保障路由暂时不做收敛，为了实现不间断转发，需要做到主控冗余备份。,高可靠性措施-“0”丢包EIPS环网保护,实现50ms电信级环网倒换保护，业务恢复快，满足实时性业务的要求 与STP生成树协议可以共存，维护切换更轻松 相比RRPP环，物理链路可以存在不同的逻辑环，通过不同逻辑环可以更容易实现负载均衡。,多层次网络维护DLDP(链路检测协议),DLDP （Device Lin

7、k Detection Protocol） ： 当可以监控光纤或铜质双绞线的链路状态。如果发现单向链路存在，DLDP 会根据用户配置，自动关闭或通知用户手工关闭相关端口，以防止网络问题的发生。,设备A,设备B,设备A,设备B,GE,GE,GE,GE,GE,GE,GE,GE,故障一,故障二,多层次网络维护-OAM之802.3ah,广域网区,核心交换机,S6800A,S4100,S4100,MP7500,多层次网络维护-OAM之802.1ag,广域网区,核心交换机,S6800A,S4100,S4100,MP7500,MSTP,三层交换机,汇聚路由器,MP7500,问题一： 采用MSTP方式组网，或

8、与路由器通过以太连接过程中，可能会出现中间链路故障而两侧的以太接口可能还处于UP的状态，在这种情况下，以RIP路由为例，当线路中断后，默认路由收敛时间=180S（无效计时器）+60S（刷新计时器）+30S（更新计时器）=270S，网络中断时间接近5分钟。 解决方案： BFD是毫秒级故障检测，可以在1s内完成检测并触发路由更新，网络收敛时间不超过10S，采用其他路由协议会更快。 BFD还可用于VRRP等协议，辅助完成设备间转发检测,RIP路由,多层次网络维护-BFD双向转发检测,核心交换,多层次网络维护-SLA服务品质保障,广域网区,核心交换机,S6800A,S4100,S4100,MP7500

9、,大多数的网络异常、潜在的安全问题都能通过网络流量提前看到一些蛛丝马迹；同样网络资源的利用效率也要依赖于对数据流量的分析。通过S6800A交换机线卡硬件支持IPFIX流量分析功能，您可以在不影响网络性能的情况下，对各级网络的数据流量进行实时监控，将网络维护由连接维护提升为业务流量管理。,多层次网络维护-IPFIX流量分析,设备安全化方案-局域网安全措施,MP2800,S6800A,MP7500,S6800,MP7500,S41/3100,802.1x、DHCP Snooping、IP Source Guard、DAI、端口安全、端口隔离、ACL、端口环回检测,CPU多级保护、URPF、攻击检测

10、、硬件流量分析、 DAI、DHCP Snooping、IP Source Guard,局域网安全防护,设备安全化方案-TAC,S6800A,MP7500,S6800,MP7500,S41/3100,联动网络控制策略执行：隔离、访问控制等,联动网络控制策略执行：隔离、访问控制,设备安全化方案-TAC,Security Engine,线卡,判定A：判定是否为非法报文，如源、目的MAC相同的数据流，TTL=1报文，偏移量为1的TCP分片报文,判定动作A,判定动作B,主控卡,判定动作C,判定C：CORE1对上交CORE0的数据流再次进行分类，控制数据流典型情形下分为四类（链路控制协议、控制层路由协议、

11、设备配置管理协议、其它数据流） CORE 0对四个优先级队列采用SP调度策略，优先保证链路控制、路由控制数据的处理； CORE 0接收处理低优先级队列数据时，采用限制单位时间内最大能够处理的报文数的方式，避免攻击数据流对控制平面正常运行构成影响。, OSPF 200pps ARP 5000pps MSTP 1000pps,ARP 1000pps,MSTP 500pps,OSPF 200pps,判定B：对需要由主控卡处理的报文进行排序，并针对不同队列提供不同的流量（PPS）限制阀值, MSTP 500pps OSPF 200pps ARP 1000pps,设备安全化方案-多级CPU保护,设备安全化方案-交换、安全一体机,设备安全化方案-一体机软件模块,防火墙模块 IPS应用模块 流量分析模块 流量控制模块,终端访问加密模块 网络接入认证模块 ,设备安全化方案-一体机解决方案,传统CAR：直接丢弃超过带宽的流量,GTS：将超限的报文缓存并排队，使流量以平滑的速率发送,0% Packet Loss,5 % Packet Loss,多业务承载的QoS解决方案,多业务承载的QoS解决方案,流量整形功能(GTS) GTSg功能将突发的流量放入到流量整形的缓冲区中，当带宽可用时，再将它发送出去，或者是当