8性能管理关于本章
通过配置性能管理,采集和统计系统的性能数据,以便于对系统的运行状态进行分
析。
8.1 性能管理简介
性能管理PM(Performance Management)是一种用于采集和统计系统的各项性能指标
的技术。
8.2 性能管理原理描述
介绍性能管理的基本原理。
8.3 性能管理应用场景
介绍性能管理的应用场景。
8.4 性能管理配置注意事项
介绍性能管理的配置注意事项。
8.5 配置性能管理
通过配置统计任务并绑定实例,对系统的性能数据进行统计。
8.6 性能管理配置举例
介绍性能管理配置举例。配置示例中包括组网需求、配置思路等。
8.1 性能管理简介
性能管理PM(Performance Management)是一种用于采集和统计系统的各项性能指标
的技术。
性能管理作为提高设备运维能力的关键特性,提供对系统各项性能指标当前、历史数
据的统计,用于判别系统的运行状况,为系统的错误分析和系统配置优化提供依据。
通过对各种性能数据的分析,还可以进行性能趋势的分析。例如,通过一天内用户流
量峰值或谷值的记录,可以分析一个月或更长时间的网络流量增长趋势及增长速度
等。同时,可以为用户进行网络配置的合理优化和网络扩容等关键决策提供材料和依
据。
8.2 性能管理原理描述
介绍性能管理的基本原理。性能管理统计的对象可以是:l 接口流量,如某个以太网接口的收、发包数量的统计。l 协议计数,如某种协议报文数量的统计。l
设备运行参数,如CPU 利用率的统计。
数据统计功能包含不同的统计任务,每个统计任务可以绑定多个数据统计实例。用户创建统计任务后,系统按照周期采集统计任务中统计实例的数据,并在周期结束后计算周期内的统计值。统计的数据将被定时保存在统计文件中。
通过FTP/SFTP 协议,系统可以将统计文件上传至远程的性能管理服务器。统计文件上传支持两种模式:l 主动模式:系统定时生成统计文件,并自动将统计文件上传至服务器。
l
被动模式:系统定时生成统计文件,由网管通知系统上传文件或下发命令触发上传文件。
FTP 不是安全的协议,推荐使用SFTP 。
8.3 性能管理应用场景
介绍性能管理的应用场景。
在运行网络中,网管通过对具备PM 能力的设备下发性能管理任务,进行数据统计分析。具体如图8-1所示。图8-1 PM 在网络中的应用网管设备
监控对象
进行性能统计,
性能管理服务器
1.用户通过网管或命令行下发性能统计任务、性能监控对象等配置。
2.设备根据配置的统计任务、统计对象进行性能数据采集,并生成性能统计文件。
3.
设备根据网管或命令行下发的命令,上传性能统计文件到性能管理服务器,或设备生成文件后主动上传。
8.4 性能管理配置注意事项
介绍性能管理的配置注意事项。
涉及网元
用来存储性能管理统计文件的文件服务器。
License支持
性能管理是设备的基本特性,无需获得License许可即可应用此功能。版本支持
表8-1支持本特性的最低软件版本
特性依赖和限制
无。
8.5 配置性能管理
通过配置统计任务并绑定实例,对系统的性能数据进行统计。
前置任务
在配置数据统计之前,需要完成以下任务:
l设备与网管、性能管理服务器之间路由可达。
8.5.1 配置统计任务
背景信息
当用户希望对系统中的业务进行性能数据采集和统计分析时,可以配置数据统计任务
并绑定统计实例。在统计任务中可以实现统计周期、统计文件等基本配置。
目前可以统计的对象包括:
l对单板的内存使用率、CPU使用率、温度等信息进行统计。
l对接口的流量进行统计。
l对网络性能状况进行统计。
l对IP FPM性能状况进行统计(仅CE6880EI支持)。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令pm,进入性能管理视图。
步骤3执行命令statistics enable,使能数据统计功能。
缺省情况下,数据统计功能处于未使能状态。
步骤4执行命令statistics-task task-name,创建统计任务,并进入统计任务视图。
步骤5执行命令binding instance-type instance-type { all | instance instance-name &<1-8> },在统计任务中绑定实例。
绑定实例后,系统将立即开始对实例的性能数据进行统计。
步骤6(可选)执行命令measure disable instance-type instance-type { measure measure-name | all },去使能统计任务中的统计指标。
缺省情况下,统计任务中实例的所有指标均处于使能状态。
用户可以使用display pm measure-info [ instance-type instance-type ]命令查看某个实例
下面有哪些指标信息。如果有不需要关注的指标,则可以通过执行命令measure
disable instance-type instance-type measure measure-name,去使能此指标。
步骤7(可选)执行命令statistics-cycle cycle,配置统计周期。
缺省情况下,统计周期是15分钟。
步骤8(可选)执行命令sample-interval interval,配置采样周期。
缺省情况下:
l统计周期为5分钟时,默认采样周期为1分钟。
l统计周期为10分钟时,默认采样周期为2分钟。
l统计周期为15分钟时,默认采样周期为3分钟。
l统计周期为30分钟时,默认采样周期为5分钟。
l统计周期为60分钟时,默认采样周期为5分钟。
l统计周期为1440分钟时,默认采样周期为15分钟。
步骤9(可选)配置生成统计文件。
l执行命令record-file disable,去使能统计文件的生成功能。
缺省情况下,系统会将统计结果自动保存在统计文件中。
当用户希望只对系统数据进行统计,而不希望生成的文件占用设备空间时,可配
置该命令。去使能统计文件的生成功能后,用户仍可以通过命令display pm
statistics task-name data-index index [ instance-type instance-type [ measure measure-
name | instance instance-name &<1-8> ] * ]查看统计结果。
l在统计文件的生成功能使能的情况下,执行命令record-interval interval,配置统计周期的个数。
缺省情况下:
–当统计周期为短周期(5、10、15、30、60分钟)时,统计周期的个数为4。
–当统计周期为长周期(1440分钟)时,统计周期的个数为1。
执行该命令后,系统将在经历数据统计周期cycle × 统计周期的个数interval的时间
后,以文件形式自动保存性能数据的统计信息。每个统计任务最多支持生成4个统
计文件,如果在已存在4个统计文件的情况下,系统再生成新的统计文件,则日期
较老的那个统计文件会被覆盖。
系统生成的文件可以使用file-format { text | xml }配置统计文件的格式。缺省情况
下,统计文件的格式为.txt格式。
步骤10执行命令commit,提交配置。
----结束
8.5.2 (可选)配置统计文件上传功能
背景信息
系统进行数据统计后,可以定时生成统计文件。如果用户希望在性能管理服务器上查
看性能数据的统计信息,可以配置统计文件上传至性能管理服务器。
通过FTP/SFTP协议,系统可以将统计文件上传至远程性能管理服务器。统计文件上传
支持两种模式:
l主动模式:系统定时生成统计文件,并自动将统计文件上传至服务器。
l被动模式:系统定时生成统计文件,由网管通知系统上传文件或下发命令触发上传文件。
FTP不是安全的协议,推荐使用SFTP。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令pm,进入性能管理视图。
步骤3执行命令pm-server server-name,创建性能管理服务器进程,并进入性能管理服务器视图。
步骤4配置统计文件所上传的性能管理服务器的相关参数。
l执行命令protocol { ftp | sftp } ip-address ip-address [ port port-number | { net-
manager-vpn | vpn-instance vpn-instance-name } ] *,配置上传统计文件至性能管理
服务器所使用的协议、IP地址以及端口号。
缺省情况下,性能管理服务器的端口号为21(使用FTP协议)或者22(使用SFTP协
议)。
l执行命令username user-name password password,配置连接性能管理服务器的用户名和密码。
l执行命令path destination-path,配置上传到性能管理服务器的目的路径。
缺省情况下,统计文件会上传到性能管理服务器的默认路径。
l执行命令retry retry-times,配置统计文件向性能管理服务器传输失败时的重传次数。
缺省情况下,传输失败时的重传次数为3。
步骤5执行命令quit,退回到性能管理视图。
步骤6执行命令upload-config request-name server server-name,创建设备向指定的性能管理服务器上传统计文件的请求。
步骤7向性能管理服务器上传统计文件。
l主动模式
a.执行命令statistics-task task-name,进入统计任务视图。
b.执行命令upload auto request-name,配置统计文件自动上传功能。
l被动模式
a.(可选)执行命令display pm statistics-file [ task-name ],查看已经生成的统
计文件列表。
b.执行命令upload request-name file filename &<1-16>,手动配置向性能管理服
务器上传统计文件。
步骤8执行命令commit,提交配置。
----结束
8.5.3 检查配置结果
操作步骤
l执行命令display pm,查看性能管理的概要信息。
l执行命令display pm statistics-task [ task-name ],查看统计任务的信息。
l执行命令display pm measure-info [ instance-type instance-type ],查看统计实例的指标信息。
l执行命令display pm statistics task-name data-index index [ instance-type instance-type [ measure measure-name | instance instance-name &<1-8> ] * ],查看性能数据的
统计信息。
l执行命令display pm statistics-file [ task-name ],查看统计文件列表。
----结束
8.6 性能管理配置举例
介绍性能管理配置举例。配置示例中包括组网需求、配置思路等。
本节仅列举单特性的配置示例。如果您想了解更多综合场景配置案例、特性典型配置
案例、对接案例、替换案例及行业案例,请参考典型配置案例。
8.6.1 配置性能管理示例
组网需求
如图8-2所示,SwitchA通过网络与FTP Server相连,且相互之间路由可达。网络维护人
员希望对设备接口的流量进行统计,并将统计的结果发送至FTP Server以进行分析。
图8-2配置性能管理组网图
10.2.1.1/2410.1.1.1/24
配置思路
采用如下思路配置:
1.为了对设备接口流量进行统计,使能数据统计功能并创建统计任务。
2.为了将统计文件上传至服务器,配置向FTP Server自动发送统计文件。
使用FTP协议存在安全风险,建议使用SFTP进行文件传输。
操作步骤
步骤1使能数据统计功能
[~HUAWEI] sysname SwitchA
[*HUAWEI] commit
[~SwitchA] pm
[~SwitchA-pm] statistics enable
[*SwitchA-pm] commit
步骤2配置数据统计基本功能
# 创建统计任务,对接口10GE1/0/1的流量进行统计,统计周期为5分钟。
[~SwitchA-pm] statistics-task stream
[*SwitchA-pm-statistics-stream] binding instance-type interface instance 10ge1/0/1
[*SwitchA-pm-statistics-stream] statistics-cycle 5
Warning: All data of the statistics task will be deleted. Continue? [Y/N]: y
[*SwitchA-pm-statistics-stream] commit
# 配置统计周期的个数为2,即每10分钟将统计数据保存至统计文件。
[~SwitchA-pm-statistics-stream] record-interval 2
Warning: This operation will cause some data to be lost. Continue? [Y/N]: y
[*SwitchA-pm-statistics-stream] quit
[*SwitchA-pm] commit
步骤3配置向服务器发送统计文件
# 创建性能管理服务器的进程并配置相关参数。
[~SwitchA-pm] pm-server ftpserver
[*SwitchA-pm-server-ftpserver] protocol ftp ip-address 10.1.1.1
[*SwitchA-pm-server-ftpserver] username user1 password pwd123
[*SwitchA-pm-server-ftpserver] path d:/pmdata
[*SwitchA-pm-server-ftpserver] quit
[*SwitchA-pm] commit
# 配置向FTP Server自动发送统计文件。
[~SwitchA-pm] upload-config req1 server ftpserver
[*SwitchA-pm] statistics-task stream
[*SwitchA-pm-statistics-stream] upload auto req1
[*SwitchA-pm-statistics-stream] commit
[~SwitchA-pm-statistics-stream] return
步骤4验证配置结果
# 查看统计任务的配置信息。
Task Name : stream
Task State : running
Record-file Status : enable
Task Cycle : 5 minutes
Sample Interval : 1 minute
Instance Type : interface
Record Interval(cycle) : 2
File Format : text
File Name Prefix : stream
File Transfer Mode : active
Current File Name : stream20130702195001.txt
# 在FTP Server的d:/pmdata路径下,查看统计文件(略)。
----结束
配置文件
#
sysname SwitchA
#
pm
statistics enable
pm-server ftpserver
protocol ftp ip-address 10.1.1.1
username user1 password %^%#Avd-)b;Q78z9;TEgVi=N(_HI3@mR})^T=mF}!O"3%^%#
path d:/pmdata
upload-config req1 server ftpserver
statistics-task stream
statistics-cycle 5
record-interval 2
upload auto req1
binding instance-type interface instance 10GE1/0/1
#
return
1接口基础配置关于本章 1.1 接口简介 通过本小节,您可以了解到设备的接口分类和接口编号规则。 1.2 配置接口基本参数 配置接口基本参数,包括接口描述信息、接口流量统计时间间隔功能以及开启或关闭 接口。 1.3 维护接口 您可以通过清除接口统计信息以方便查询一定时间内接口的流量信息。 1.1 接口简介 通过本小节,您可以了解到设备的接口分类和接口编号规则。 接口分类 接口是设备与网络中的其它设备交换数据并相互作用的部件,分为管理接口、物理业 务接口和逻辑接口三类,其中: l管理接口 管理接口主要为用户提供配置管理支持,也就是用户通过此类接口可以登录到设 备,并进行配置和管理操作。管理接口不承担业务传输。关于管理接口的详细配 置,请参见《CloudEngine 7800&6800&5800系列交换机配置指南-基础配置》。 设备支持的管理接口如表1-1所示: 表1-1各管理接口介绍
l V100R005C00版本下,仅CE6850-48S6Q-HI支持Mini USB接口。V100R005C10及以后版本,CE6850-48S6Q-HI、CE6850–48T4Q-HI和CE6850U-HI支持Mini USB接口。 l CE6850HI和CE6850U-HI设备上有两个Combo类型的管理接口,每个Combo口包括一个光接口和一个电接口。光接口和电接口只能同时激活其中一个。 l物理业务接口 物理业务接口是真实存在、有器件支持的接口。物理接口需要承担业务传输。 物理接口有时也被称为端口,为便于描述,在本手册中,统一描述为接口。 设备支持的物理接口如表1-2所示。 表1-2物理接口 缺省情况下,设备的以太网接口工作在二层模式,如果需要应用接口的三层功能,可以使 用undo portswitch命令将接口转换为三层模式。 l逻辑接口 逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口。逻辑接口需要承担业务传输。
华为交换机产品系列 在交换机领域,华为历经多年的耕耘和发展,积累了大量业界领先的知识产权和专利,可提供从核心到接入十多个系列上百款交换机产品。 根据所需交换机的用途,可大致分为数据中心交换机,园区交换机,个人和中小企业交换机三大类。数据中心交换机 CloudEngine12800数据中心交换机 CloudEngine12800(简称CE12800)系列交换机是华为公司面向数据中心和高端园区网络推出的新一代高性能核心交换机。在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,实现弹性、虚拟、敏捷和高品质的网络。 CE12800系列支持工业级可靠性,以及严格前后风道设计,并支持全面的虚拟化能力和丰富的数据中心特性。此外,CE12800系列采用了多种绿色节能创新技术,大幅降低设备能源消耗。 关键特性 弹性、虚拟、敏捷、高品质数据中心核心交换机 弹性:64Tbps交换容量,可平滑升级到320Tbps;单设备支持192个100GE,384个40GE,或1536个10GE; 虚拟:1:16核心虚拟化,512节点TRILL组网,EVN支持跨数据中心资源共享; 敏捷:作为Overlay虚拟化网络(VXLAN/NVGRE)的高性能硬件网关,支撑高达16M多租户的数据中心运营,OPS和ENP实现双平面可编程,网络按需定制; 品质:专利的严格前后风道设计,线卡网板风道独立,提高散热效率;多种绿色节能创新技术,降低机房能耗。 技术规格 参数CE12804S CE12808S CE12804 CE12808 CE12812 CE12816 交换容量 (bps) 16T/80T 32T/160T 16T/80T 32T/160T 48T/240T 64T/320T 包转发率 (pps) 14400M 28800M 14400M 28800M 43200M 57600M 业务槽位4 8 4 8 12 16 交换网槽 位 2 4 6 6 6 6 交换架构 Clos交换架构、信元交换、VoQ、分布式大缓存 风道类型 标准前后风道 设备虚拟化支持VS(1:16虚拟化)支持CSS集群 支持SVF 网络虚拟化支持TRILL 支持Overlay虚拟化(VXLAN/NVGRE)硬件网关
9端口安全配置关于本章 9.1 简介 介绍端口安全的定义和目的。 9.2 原理描述 通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安 全的实现原理。 9.3 应用场景 介绍端口安全常见的应用场景。 9.4 配置注意事项 介绍端口安全的配置注意事项。 9.5 缺省配置 介绍端口安全的缺省配置。 9.6 配置端口安全 端口安全(Port Security)功能将设备接口学习到的MAC地址变为安全MAC地址(包 括安全动态MAC和Sticky MAC),可以阻止除安全MAC和静态MAC之外的主机通过 本接口和交换机通信,从而增强设备安全性。 9.7 配置举例 结合组网需求、配置思路来了解实际网络中端口安全的应用场景,并提供配置文件。 9.1 简介 介绍端口安全的定义和目的。 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址 (包括安全动态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而 增强设备的安全性。
9.2 原理描述 通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安 全的实现原理。 安全MAC地址的分类 安全MAC地址分为:安全动态MAC与Sticky MAC。 表9-1安全MAC地址的说明 l接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。 l接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址, 之后学习到的MAC地址也变为Sticky MAC地址。 l接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地 址。 l接口去使能Sticky MAC功能时,接口上的Sticky MAC地址,会转换为安全动态MAC地址。超过安全MAC地址限制数后的动作 接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则 认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动 作是丢弃该报文并上报告警。
11配置动态负载分担 11.1 配置ECMP的动态负载分担功能 11.2 配置LAG的动态负载分担功能 11.3 检查动态负载分担的配置结果 11.1 配置ECMP的动态负载分担功能 背景信息 说明 仅CE6857EI、CE6865EI、CE8850-64CQ-EI、CE8861EI、CE8868EI支持该功能。 传统的静态负载分担没有考虑负载分担链路中各成员链路的利用率,从而会出现成员 链路之间的负载分担不均衡,尤其当大数据流出现时会加剧所选中成员链路的拥塞甚 至引起丢包。 使能动态负载分担功能后,可以将等价多路径路由ECMP的流量通过动态负载分担的方 式分散到不同的成员链路上,在最大程度上保证成员链路间的负载均衡。 操作步骤 步骤1执行命令system-view,进入系统视图。 步骤2执行命令load-balance profile dynamic profile-name,创建动态负载分担模板并进入动态负载分担模板视图,或进入已存在的动态负载分担模板视图。 缺省情况下,系统预定义了一个名为default的动态负载分担模板,default模板不能 删除只能修改。 步骤3执行命令ecmp mode { spray | fixed | eligible [ flowlet-gap-time flowlet-gap-time ] },配置等价多路径路由ECMP的动态负载分担模式。 缺省情况下,等价多路径路由ECMP的动态负载分担模式为eligible模式,其对应的 Flowlet时间间隔为1000微秒。推荐使用eligible模式。 步骤4执行命令quit,返回系统视图。
华为数据中心解决方案 伴随着互联网的飞速发展,企业信息化步伐不断加快。IT资源的应用和管理模式正发生着深刻的变革,将逐步从独立、分散的功能性资源发展成以数据中心为承载平台的服务型创新资源。企业通过租赁的方式从数据中心获取高效、专业的IT资源及增值服务,进而更加专注于自身业务的创新与发展。 然而,在各种网络及自营数据业务快速增长的同时,数据中心规模和复杂性也不断增加;资源紧缺、能耗高、运营管理效率低等问题日益突出,严重制约了企业的业务发展。如何降低TCO、提升运营管理效率、增进业务创新能力成为CIO们面临的严峻挑战。 华为集丰富的ICT融合经验和领先的技术创新理念,提供面向服务的下一代绿色数据中心解决方案,帮助您解决数据中心面临的高成本、低效益问题,建设业务发展的重要战略信息平台,构筑卓越绩效的基石。 华为数据中心解决方案全貌 “面向服务的下一代绿色数据中心”是华为公司全面集合自身优势资源,贴身客户需求,基于业务视角开发的端到端数据中心综合解决方案。 方案引入模块化设计理念,以绿色节能为核心,综合运用机房热管理和IT 虚拟化技术,应用自动化运营管理平台,全面助力客户构建可运营、可维护、可扩展的业务增值与创新中心。 方案分为以下主要方面:
前期咨询:方案咨询、项目规划与设计服务 中期建设:机房建设、IT架构集成、业务开发和综合运营管理平台建设服务后期运维:专业维保服务,长期战略性业务创新合作 商业咨询服务 华为是全球领先的电信解决方案供应商,近20年电信领域的积淀铸就了华为对行业的深刻理解,形成了完善的商业咨询体系、高效的商业咨询流程与方法论;同时具有大量资深商业咨询专家和丰富的数据中心建设、运营和业务咨询经验,可为客户提供一流的咨询服务,带来独特的商业价值。 华为可以帮助您评估当前系统现状与未来发展需求,提供全面、专业的数据中心建设或改造建议,让您清晰把握未来趋势,利用新技术、新的IT管理理念构建面向服务的下一代绿色数据中心。 商业咨询方案 集成交付方案 针对数据中心建设中面临的设备复杂、差异性强、厂商众多、交付维护困难等问题,华为提供端到端的总集成和一站式交付方案;同时与赛门铁克、艾默生、Intel等业界著名厂商深入合作,提供强大的数据中心基础设备和软件应用整合服务。 集成交付实施流程 华为在全球7大片区设立合作分部,100多家区域级战略合作伙伴,300多家SP/CP合作伙伴,拥有全球化的集成交付资源和数据中心集成服务经验,可为客户提供从规划、设计、建设到运维全方位的集成服务和快速的响应交付,降低建设成本。 机房建设方案
Realize Your Potential S6700 系列数据中心万兆交换机 华为技术有限公司
产品画册S6700系列数据中心万兆交换机
产品画册 S6700系列数据中心万兆交换机 1 产品概述 S6700系列数据中心万兆交换机(以下简称S6700),是华为公司自主开发的下一代全万兆盒式交换机,可用于数据中心万兆服务器接入及园区网的核心。 S6700是业内最高性能的盒式交换机之一,同时提供最多24/48个全线速万兆接口,使万兆服务器高密度接入和园区网高密度万兆汇聚成为可能。同时,S6700支持丰富的业务特性、完善的安全控制策略、丰富的QoS 等特性以满足数据中心扩展性、可靠性、可管理性、安全性等诸多挑战。 S6700目前有两款主机形态:48个GE SFP/10 GE SFP+端口,双电? 源槽位,含USB 接口,交流供电包转发率:715Mpps ? 交换容量:960Gbps ? 24个GE SFP/10 GE SFP+端口,双电 ? 源槽位,含USB 接口,交流供电 包转发率:358Mpps ? 交换容量:480Gbps ?
产品画册 S6700 系列数据中心万兆交换机大容量高密万兆灵活接入随着用户端对业务带宽需求不断提高,服务器端的万兆网卡应用越来越广泛以提供更大的带宽服务。数据? 中心服务器交换机迫切需要提供更高的转发性能和万兆端口扩展能力。S6700 系列盒式交换机拥有业内同档次设备最高的万兆端口密度、最大交换容量,单台设备可以最多支持48个全线速转发的万兆端口。端口支持GE 和10GE 灵活接入,自动识别安装光模块类型,从而最大程度保护用户投资和确保使用的灵活? 性。针对于数据中心数据流量大和无阻塞传输的要求,S6700交换机可以提供强大的缓存能力,并且支持先进? 的缓存调度机制可以保证设备缓存能力最大化的有效利用。完善的安全控制策略S6700提供多种安全保护功能。支持DOS (Denial of Service )类防攻击、网络的防攻击、用户的防攻击等? 功能。其中DOS 类防攻击主要包括SYN Flood 、Land 、Smurf 、ICMP Flood 。网络的防攻击主要是指STP 的BPDU/Root 攻击。用户的防攻击涉及DHCP 仿冒攻击、中间人攻击、IP/MAC Spoo ?ng 攻击、DHCP request ?ood 、改变 CHADDR 值的 DOS 攻击等等。S6700支持通过建立和维护DHCP Snooping 绑定表,侦听接入用户的MAC/IP 地址、租用期、VLAN-ID 、接? 口等信息,解决 DHCP 用户的IP 和端口跟踪定位问题;对不符合绑定表项的非法报文(ARP 欺骗报文、擅自修改IP 地址等)直接丢弃,有效防止黑客或攻击者通过ARP 报文实施园区网常见的“中间人”攻击。利用DHCP Snooping 的信任端口特性还可以保证DHCP Server 的合法性。S6700支持ARP 表项严格学习功能,可以防止因ARP 欺骗攻击将交换机ARP 表项占满,导致正常用户无法上?
8性能管理关于本章 通过配置性能管理,采集和统计系统的性能数据,以便于对系统的运行状态进行分 析。 8.1 性能管理简介 性能管理PM(Performance Management)是一种用于采集和统计系统的各项性能指标 的技术。 8.2 性能管理原理描述 介绍性能管理的基本原理。 8.3 性能管理应用场景 介绍性能管理的应用场景。 8.4 性能管理配置注意事项 介绍性能管理的配置注意事项。 8.5 配置性能管理 通过配置统计任务并绑定实例,对系统的性能数据进行统计。 8.6 性能管理配置举例 介绍性能管理配置举例。配置示例中包括组网需求、配置思路等。 8.1 性能管理简介 性能管理PM(Performance Management)是一种用于采集和统计系统的各项性能指标 的技术。 性能管理作为提高设备运维能力的关键特性,提供对系统各项性能指标当前、历史数 据的统计,用于判别系统的运行状况,为系统的错误分析和系统配置优化提供依据。 通过对各种性能数据的分析,还可以进行性能趋势的分析。例如,通过一天内用户流 量峰值或谷值的记录,可以分析一个月或更长时间的网络流量增长趋势及增长速度 等。同时,可以为用户进行网络配置的合理优化和网络扩容等关键决策提供材料和依 据。
8.2 性能管理原理描述 介绍性能管理的基本原理。性能管理统计的对象可以是:l 接口流量,如某个以太网接口的收、发包数量的统计。l 协议计数,如某种协议报文数量的统计。l 设备运行参数,如CPU 利用率的统计。 数据统计功能包含不同的统计任务,每个统计任务可以绑定多个数据统计实例。用户创建统计任务后,系统按照周期采集统计任务中统计实例的数据,并在周期结束后计算周期内的统计值。统计的数据将被定时保存在统计文件中。 通过FTP/SFTP 协议,系统可以将统计文件上传至远程的性能管理服务器。统计文件上传支持两种模式:l 主动模式:系统定时生成统计文件,并自动将统计文件上传至服务器。 l 被动模式:系统定时生成统计文件,由网管通知系统上传文件或下发命令触发上传文件。 FTP 不是安全的协议,推荐使用SFTP 。 8.3 性能管理应用场景 介绍性能管理的应用场景。 在运行网络中,网管通过对具备PM 能力的设备下发性能管理任务,进行数据统计分析。具体如图8-1所示。图8-1 PM 在网络中的应用网管设备 监控对象 进行性能统计, 性能管理服务器 1.用户通过网管或命令行下发性能统计任务、性能监控对象等配置。 2.设备根据配置的统计任务、统计对象进行性能数据采集,并生成性能统计文件。 3. 设备根据网管或命令行下发的命令,上传性能统计文件到性能管理服务器,或设备生成文件后主动上传。 8.4 性能管理配置注意事项 介绍性能管理的配置注意事项。
3优先级映射配置关于本章 优先级映射配置介绍优先级映射等基本概念并介绍优先级映射的配置方法、配置示例 以及常见配置错误。 3.1 优先级映射概述 优先级映射用来实现报文携带的QoS优先级与设备内部优先级(又称为本地优先级,是 设备内部区分报文服务等级的优先级)之间的转换,从而设备根据内部优先级提供有 差别的QoS服务质量。 3.2 原理描述 3.3 应用场景 3.4 配置注意事项 介绍优先级映射的配置注意事项。 3.5 缺省配置 介绍优先级映射表和缺省取值。 3.6 配置优先级映射 配置优先级映射后,设备将根据报文携带的优先级信息或者端口优先级映射到相应的 PHB行为/颜色,从而提供差异化的服务。 3.7 配置举例 通过示例介绍如何应用优先级映射。配置示例中包括组网需求、配置注意事项、配置 思路等。 3.8 常见配置错误 介绍优先级映射配置的常见错误。 3.1 优先级映射概述 优先级映射用来实现报文携带的QoS优先级与设备内部优先级(又称为本地优先级,是 设备内部区分报文服务等级的优先级)之间的转换,从而设备根据内部优先级提供有 差别的QoS服务质量。 用户可以根据网络规划在不同网络中使用不同的QoS优先级字段,例如在VLAN网络中 使用802.1p,IP网络中使用DSCP。当报文经过不同网络时,为了保持报文的优先级,
需要在连接不同网络的设备上配置这些优先级字段的映射关系。当设备连接不同网络 时,所有进入设备的报文,其外部优先级字段(包括802.1p、DSCP)都被映射为内部 优先级;设备发出报文时,将内部优先级映射为某种外部优先级字段。 3.2 原理描述 优先级映射 不同的报文使用不同的QoS优先级,例如VLAN报文使用802.1p,IP报文使用DSCP, MPLS报文使用EXP。当报文经过不同网络时,为了保持报文的优先级,需要在连接不 同网络的网关处配置这些优先级字段的映射关系。 优先级映射实现从QoS优先级到内部优先级(或者本地优先级)或从内部优先级到QoS 优先级的映射,并利用DiffServ域来管理和记录QoS优先级和服务等级之间的映射关 系。对于进入设备的报文,设备将报文携带的优先级或者端口优先级映射为内部优先 级,然后根据内部优先级与队列之间的映射关系确定报文进入的队列,从而针对队列 进行流量整形、拥塞避免、队列调度等处理,并可以根据配置修改报文发送出去时所 携带的优先级,以便其他设备根据报文的优先级提供相应的QoS服务。 QoS优先级字段 为了在Internet上针对不同的业务提供有差别的QoS服务质量,人们根据报文头中的某 些字段记录QoS信息,从而让网络中的各设备根据此信息提供有差别的服务质量。这些 和QoS相关的报文字段包括: l Precedence字段 根据RFC791定义,IP报文头ToS(Type of Service)域由8个比特组成,其中3个比 特的Precedence字段标识了IP报文的优先级,Precedence在报文中的位置如图3-1所 示。 图3-1 IP Precedence/DSCP字段 DSCP 比特0~2表示Precedence字段,代表报文传输的8个优先级,按照优先级从高到低 顺序取值为7、6、5、4、3、2、1和0。最高优先级是7或6,经常是为路由选择或 更新网络控制通信保留的,用户级应用仅能使用0~5。 除了Predecence字段外,ToS域中还包括D、T、R三个比特: –D比特表示延迟要求(Delay,0代表正常延迟,1代表低延迟)。
华为主流路由器交换机 简介和规格 WEIHUA system office room 【WEIHUA 16H-WEIHUA WEIHUA8Q8-
华为网络产品 一、路由器 1、AR G3系列企业路由器 i.AR3200 系列企业路由器 产品简介: AR3200系列企业路由器是华为公司推出的新一代网络产品,其秉承了华为在数据通信、无线通信、PON接入及软交换领域的深厚积累,并依托于自主知识产权的VRP平台,提供包括有线和无线的Internet接入、专线接入,PBX、融合通信及安全等功能,广泛部署于大中型园区网出口、大中型企业总部或分支等场景。 产品规格; ii.AR2200 系列企业路由器 产品简介: AR2200系列企业路由器是华为公司推出的面向中型企业总部或大中型企业分支等以宽带、专线接入、语音和安全场景为主的路由器产品,采用多核CPU、独立分布式交换网可满足不同企业用户的的业务需求。
产品规格: 2、AR系列工业路由器: i.AR530系列工业路由交换一体机 产品简介: AR530系列工业路由交换一体机是专为工业环境设计的网关设备,可以满足在恶劣的温度、湿度、电磁干扰等环境下的网络通信需求。AR530系列是集路由、交换、安全和采集功能于一体的新一代工业网关路由设备,具有强大的行业应用扩展能力。
产品规格: 3、NE系列高端路由器: i.Huawei NetEngine5000E 集群路由器 产品简介: NetEngine 5000E集群路由器(以下简称NE5000E)是华为公司面向互联网骨干节点、城域网核心节点、数据互联中心节点以及Internet承载节点推出的超级核心路由器产品。 NE5000E采用自研的Solar系列芯片,先进的光背板设计和分布式可扩展软件平台,可提供海量交换容量和超高转发性能,全面满足新一代互联网对带宽性能、服务质量、业务能力的需要。 NE5000E 硬件上包括两部分,集群中央框CCC(Cluster Central Chassis)和转发线卡框CLC(Cluster Line Chassis)。CLC应用于用户和业务的高速接入,可工作在单框模式和多框集群模式,CCC应用于集群系统,主要用于连接各线卡框的控制平面和数据平面,使多台CLC在逻辑上连接,实现系统的统一管理和控制。
华为交换机产品系列整理版 在交换机领域,华为历经多年的耕耘和进展,积存了大量业界领先的知识产权和专利,可提供从核心到接入十多个系列上百款交换机产品。 按照所需交换机的用途,可大致分为数据中心交换机,园区交换机,个人和中小企业交换机三大类。 数据中心交换机 CloudEngine 12800数据中心交换机 CloudEngine 12800(简称CE12800)系列交换机是华为公司面向数据中心和高端园区网络推出的新一代高性能核心交换机。在提供稳固、可靠、安全的高性能L2/L3层交换服务基础上,实现弹性、虚拟、灵敏和高品质的网络。 CE12800系列支持工业级可靠性,以及严格前后风道设计,并支持全面的虚拟化能力和丰富的数据中心特性。此外,CE12800系列采纳了多种绿色节能创新技术,大幅降低设备能源消耗。 关键特性 弹性、虚拟、灵敏、高品质数据中心核心交换机 弹性:64Tbps交换容量,可平滑升级到320Tbps;单设备支持192个1 00GE,384个40GE,或1536个10GE; 虚拟:1:16核心虚拟化,512节点TRILL组网,EVN支持跨数据中心资源共享; 灵敏:作为Overlay虚拟化网络(VXLAN/NVGRE)的高性能硬件网关,支撑高达16M多租户的数据中心运营,OPS和ENP实现双平面可编程,网络按需定制; 品质:专利的严格前后风道设计,线卡网板风道独立,提升散热效率;多种绿色节能创新技术,降低机房能耗。 技术规格
CloudEngine 7800数据中心交换机 CloudEngine 7800数据中心交换机关键特性 40GE汇聚交换机 全40GE交换机,1U高设备支持32个40GE接口,可灵活拆分为10G E接口; 支持iStack堆叠技术,实现机架内、机架间以及跨区域超长距的高性能堆叠,构建可扩展、易治理的数据中心网络平台; 支持IETF标准协议TRILL,构建512节点的大二层网络,实现虚拟机大范畴在线迁移。支持nCenter虚拟机感知,通过高速Radius接口快速下发网络策略,实现策略随行;
2业务链原理描述关于本章 2.1 SFC基本概念 2.2 SFC工作过程 2.1 SFC基本概念 SFC的相关的基本概念如表2-1所示。 表2-1 SFC基本概念
2.2 SFC 工作过程 NSH 报文 承载NSH 报文的网络有多种,例如VLAN 网络、VXLAN 网络。报文封装格式如图2-1所示。 图2-1 NSH 报文封装格式 承载网为VXLAN 网络 承载网为VLAN 网络 为了实现SFC ,报文进入SFC 域后,需要进行NSH (Network Service Header )封装。具体的报文格式见图2-2所示。
图2-2 NSH报文格式 表2-2 NSH报文格式说明
工作机制 典型场景是使用VXLAN网络作为承载网,下面分别以NSH-aware SF接入集中式 VXLAN网关组网和分布式VXLAN网关组网场景为例,介绍SFC的工作过程。 集中式VXLAN网关组网 在下图所示的集中式VXLAN网关组网场景中,SF节点以路由的方式连接网络。报文需 要依次经过防火墙(SF1)和负载均衡器(SF2),然后经出口网关转发出去。SC节点 和第一个SFF节点重合,均选择VXLAN集中网关设备,并且如果SF1和SF2是NSH- unaware时,网关设备还要具备SFC Proxy的功能。以图中虚线所示的南北向流量为 例。
图2-3 集中式VXLAN 网关组网场景 抽象出的SFP 路径如图2-4所示。图中报文格式是流量转发方向上设备出接口上的报文格式。 图2-4 集中式VXLAN 网关报文转发过程 流量转发路径 SFF/SC (Spine) SFF/SC (Spine) SFF/SC (Spine)
5配置分类器SC 背景信息 SC(Service Classifier,分类器)节点一般位于SFF节点之前,根据用户指定的策略对 传输流量进行分类处理,使得满足匹配条件的流量在对应的路径上传输,从而降低对 防火墙等SF设备在处理峰值流量性能方面的要求。 SC的分类粒度是由分类器的能力和SFC策略需求来决定的,分类规则可以详细,也可 以粗略。 在VXLAN集中式网关组网中,SC节点和SFF节点重合,均为集中网关设备。在 VXLAN分布式网关典型组网中,SC节点和SFF节点不重合,选择连接租户服务器的 VXLAN网关设备作为SC节点。 操作步骤 步骤1执行命令system-view,进入系统视图。 步骤2执行命令service-chain enable,使能SFC功能。 缺省情况下,未使能SFC功能。 步骤3执行命令commit,提交配置。 步骤4执行命令service-chain service-path path-id,创建SFP路径,并进入业务链路径视图。 path-id需要与SFF上配置的SFP索引值一致。 步骤5(可选)执行命令description description-content,配置业务链路径描述信息。 步骤6执行命令service-index si-id next-hop sff { vtep-ip vtep-ip-address vni vni-id | remote-ip remote-ip-address [ vpn-instance vpn-instance-name ] },配置业务链的下一跳节点类型为 SFF。 仅在分布式网关场景下,需要指定vtep-ip参数。 步骤7执行命令commit,提交配置。 步骤8配置流分类 1.执行命令traffic classifier classifier-name [ type { and | or } ],创建一个流分类并进 入流分类视图,或进入已存在的流分类视图。
【最新整理,下载后即可编辑】 华为交换机产品系列 在交换机领域,华为历经多年的耕耘和发展,积累了大量业界领先的知识产权和专利,可提供从核心到接入十多个系列上百款交换机产品。 根据所需交换机的用途,可大致分为数据中心交换机,园区交换机,个人和中小企业交换机三大类。 数据中心交换机 CloudEngine 12800数据中心交换机 CloudEngine 12800(简称CE12800)系列交换机是华为公司面向数据中心和高端园区网络推出的新一代高性能核心交换机。在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,实现弹性、虚拟、敏捷和高品质的网络。 CE12800系列支持工业级可靠性,以及严格前后风道设计,并支持全面的虚拟化能力和丰富的数据中心特性。此外,CE12800系列采用了多种绿色节能创新技术,大幅降低设备能源消耗。 关键特性 弹性、虚拟、敏捷、高品质数据中心核心交换机 弹性:64Tbps交换容量,可平滑升级到320Tbps;单设备支持192个100GE,384个40GE,或1536个10GE; 虚拟:1:16核心虚拟化,512节点TRILL组网,EVN支持跨数据中心资源共享; 敏捷:作为Overlay虚拟化网络(VXLAN/NVGRE)的高性能硬件网关,支撑高达16M多租户的数据中心运营,OPS和ENP实现双平面可编程,网络按需定制; 品质:专利的严格前后风道设计,线卡网板风道独立,提高散热效率;多种绿色节能创新技术,降低机房能耗。 技术规格
CloudEngine 7800数据中心交换机CloudEngine 7800数据中心交换机关键特性40GE汇聚交换机
6配置转发器SFF 背景信息 SFF(Service Function Forward)是业务链转发节点,用于将网络中收到的报文根据 NSH封装信息,转发给SFF关联的若干个SF上。报文经过SF解析处理后,再返回给同 一个SFF。当业务链上最后一个SF把处理后的报文发给SFF后,SFF终结报文中的NSH 封装信息,把报文发回网络继续传输。 一般情况下,选择网关设备作为SFF。在VXLAN集中式网关组网中,SC和SFF重合, 均为集中式网关设备;在VXLAN分布式网关典型组网中,SC和SFF不重合,选择连接 SF的VXLAN网关设备作为SFF节点。 l当SFF连接NSH-unaware SC时,需要在SFF上重新配置流量分类及引流入链,可以理解为NSH-unaware SC和第一个SFF节点设备是重合的。 l当SFF连接NSH-unaware SF时,需要在SFF及其关联的若干个NSH-unaware SF之间使用SFC代理,它代表SF接收来自SFF的报文,删除NSH封装信息,根据NSH封装 报文中携带的SF信息将报文发给NSH-unaware SF;也接收从SF发回的报文,对SI 值减一后重新封装NSH信息,返回给SFF进行下一步处理。实际应用中,通常会使 用SFF节点来完成SFC代理的功能。 操作步骤 步骤1执行命令system-view,进入系统视图。 步骤2执行命令service-chain enable,使能SFC功能。 缺省情况下,未使能SFC功能。 步骤3执行命令commit,提交配置。 步骤4执行命令service-chain service-path path-id,创建SFP路径,并进入业务链路径视图。 步骤5(可选)执行命令description description-content,配置业务链路径描述信息。 步骤6执行命令service-index si-id next-hop { sff | sf [ nsh-proxy ] } { vtep-ip vtep-ip-address vni vni-id | remote-ip remote-ip-address [ vpn-instance vpn-instance-name ] },配置业务链的 下一跳节点类型及下一跳转发信息。 多次执行此命令,配置完整的SFP转发路径。 当下一跳是NSH-unaware SF时,需要指定下一跳为sf nsh-proxy。
12智能无损网络配置举例 12.1 配置智能无损网络功能综合示例 12.1 配置智能无损网络功能综合示例 组网需求 如图12-1所示,某数据中心的PoD内,在服务器集群1与服务器集群2上部署了某 RoCEv2分布式高性能应用,Leaf1、Leaf2作为接入交换机通过上行口和汇聚交换机 Spine相连,通过下行口和服务器直连。为了给RoCEv2流量提供低时延、无丢包、高 吞吐的网络环境,需要在PoD内的交换机上均部署智能无损网络功能。 图12-1智能无损网络组网图
配置思路 说明 ●服务器网卡须支持RoCEv2协议和DCQCN功能。 ●本示例中配置的参数取值仅为参考,用户请根据实际组网中的流量模型对每台设备进行配 置。 ●本示例以CE6865EI为例来进行配置。 配置思路如下: 1.配置基于DSCP优先级的PFC优先级流量控制功能,将承载RoCEv2流量的队列设置 为无损队列。 2.配置PFC死锁检测功能。 3.开启智能无损网络基本功能。 4.配置无损队列的缓存空间优化。 5.配置无损队列的动态ECN门限。 6.配置快速ECN拥塞标记。 7.配置快速CNP拥塞通知。 8.配置无损队列的大小流区分调度功能。 9.配置动态负载分担功能。 操作步骤 步骤1配置基于DSCP优先级的PFC优先级流量控制功能。 # 本示例中规划使用优先级3来承载网络中的RoCEv2流量,则在Leaf1的接口下针对优 先级3使能PFC优先级流量控制。Leaf2和Spine上的配置与Leaf1上的配置类似,配置过 程略。
云引擎 ·承未来CloudEngine 数据中心交换机产品 华为CloudEngine交换机斩获东京Interop ShowNet大奖 华为迈入2017 Gartner数据中心网络魔力象限挑战者
CloudEngine数据中心交换机 业界3倍性能,支持4代服务器生命周期 1032T超大容量, 满足10GE/25GE/ 40GE/100GE服务器生命周期 72*100GE高速高密线卡,提供 55K+10GE接入能力 弹性 全面虚拟化,打造DC 内和DC间网络资源池 VS 业界最高1虚16,设备资源按需共享 CSS/iStack/SVF多虚一,简化管理 VXLAN+BGP-EVPN实现DC内、 DC间的网络虚拟化 虚拟 3平面全可编程,快速应对业务创新需求 网络可编程:支持NSH、SR,构建业 界首个基于SDN端到端数据中心网络 系统可编程:支持OPS及Linux容器, 快速满足业务需求 芯片可编程:支持核心芯片的可编程, 业务快速定制 敏捷 业内顶级品质,打造7*24小时不间断网络 主控、网板、电源、风扇等部件冗余 设计,可靠性达到99.999% 专利前后风道,绿色节能,端口能耗 为业界平均的50% 品质 CloudEngine系列(简称CE系列)是华为面向数据中心和高端园区网络推出的新一代高性能交换机, 在提供稳定、可靠、安全的L2/L3层交换服务基础上,实现弹性、虚拟、敏捷和高品质的网络。
CloudEngine 12800系列数据中心核心交换机 CloudEngine 12800采用全正交架构设计,具备业界领先的Clos 交换和严格的前后风道设计,支持全面的虚拟化技术和丰富的数据中心特性。 CE12800 系列框式交换机