H3C S5500-EI系统交换机产品.ppt

H3C S5500-EIH3C S5500-EI系列交换机产品培训系列交换机产品培训ISSUE 3.0日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播n熟悉熟悉S5500-EI产品形态和硬件结构产品形态和硬件结构n熟悉熟悉S5500-EI产品软件特性产品软件特性n熟悉熟悉S5500-EI产品的典型应用产品的典型应用n掌握掌握S5500-EI产品的基本维护产品的基本维护课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n第一章第一章产品概述产品概述n第二章第二章软件特性软件特性n第三章第三章典型应用典型应用n第四章第四章基本维护基本维护目录目录4第一章第一章产品概述产品概述l l第一节第一节 产品介绍产品介绍l第二节 硬件结构l第三节 业务特性5产品简介产品简介lH3C S5500-EIH3C S5500-EI系列交换机是华三公司自主开发的千兆以太网系列交换机是华三公司自主开发的千兆以太网交换机产品。交换机产品。S5500-EIS5500-EI系列交换机具备丰富的业务特性，提系列交换机具备丰富的业务特性，提供供IPv6IPv6转发功能以及转发功能以及10GE10GE端口，通过华三公司特有的集群端口，通过华三公司特有的集群管理功能，用户能够简化对网络的管理。管理功能，用户能够简化对网络的管理。lS5500-EIS5500-EI系列千兆以太网交换机定位为企业网和城域网的汇系列千兆以太网交换机定位为企业网和城域网的汇聚或接入，可为客户提供丰富的业务特性和路由功能，还可聚或接入，可为客户提供丰富的业务特性和路由功能，还可以用于数据中心服务器群的连接以用于数据中心服务器群的连接。支持Internet宽带接入主要支持城域网和企业网用户的接入支持VOD等多媒体服务支持VOIP等时延敏感的语音业务提供强组播功能，同时支持IPv4/IPv6组播的音频和视频的服务功能6产品定位产品定位Layer 2Layer 2Layer 3-Layer 3-Layer 3Layer 3MetroMetro10GE10GEGEGEFEFEH3C S7500EH3C S7500EH3C S5100-26CH3C S5100-26CH3C S5100-24PH3C S5100-24PH3C S3610/5510H3C S3610/5510H3C S3600-EI-PWRH3C S3600-EI-PWRH3C S3600-EIH3C S3600-EIH3C S3600-SIH3C S3600-SIH3C S5100-50CH3C S5100-50CH3C S5100-48PH3C S5100-48PH3C S3100-SIH3C S3100-SIH3C S12500H3C S12500S5500-SI S5500-SI H3C S5600H3C S5600L3+GE+10GE uplink+IPv4/IPv6S5500-EI S5500-EI S5500-EI S5500-EI H3C S9500EH3C S9500ES5800/5820XS5800/5820XH3C S3600-EIH3C S3600-EIH3C S3100-EIH3C S3100-EI7产品形态产品形态lS5500-EI系列交换机共有六款设备。系列交换机共有六款设备。S5500-28C-EI：24 个10/100/1000以太网端口，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC电源和-12VRPSS5500-28C-EI-DC：24 个10/100/1000以太网端口，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持-48V DC电源和-12V RPSS5500-52C-EI：48 个10/100/1000以太网端口，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC电源和-12VRPSS5500-28C-PWR-EI：24 个10/100/1000以太网端口，带PoE，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC/DC电源和-48V RPSS5500-52C-PWR-EI：48 个10/100/1000以太网端口，带PoE，4 个SFP 千兆位以太网端口（Combo），两个扩展槽位；支持AC/DC电源和-48VRPSS5500-28F-EI：24个100M/1000M SFP以太网光口，8个10/100/1000千兆位以太网端口（Combo），两个扩展槽位；支持两个互为备份的可插拔AC/DC电源8Combo接口对应关系接口对应关系产品型号产品型号Combo接口接口对应端口对应端口S5500-28C-EI S5500-28C-PWR-EIS5500-28C-EI-DC2522262427212823S5500-52C-EI S5500-52C-PWR-EI4946504851455247S5500-28F-EI 9产品特点产品特点(一一)lS5500-EI系列交换机具有以下的特点：系列交换机具有以下的特点：支持IPv4/IPv6 双栈及硬件转发支持丰富的IPv4/IPv6路由协议支持MCE支持IPv6 over IPv4、6to4 and ISATAP Tunnel提供千兆接入、万兆上行支持Jumbo Frame支持端口安全支持LACP（Link Aggregation Control Protocol，链路聚合控制协议）协议支持丰富的QoS/ACL功能，支持VLAN ACL和Egress ACL及动态Qos修改支持QinQ和Vlan Mapping支持基于端口/流的镜像支持RSPAN通过RPS或1+1电源，提供可靠的电源备份功能10产品特点产品特点(二二)lS5500-EI系列交换机具有以下的特点：系列交换机具有以下的特点：支持IRF及ARP/LACP/BFD分裂检测机制支持ARP Detection支持IPv6 ND Detection/Snooping支持IPv6 DHCP Client/Snooping/Relay/Server支持UDP Helper支持ISSU支持sFlow支持Portal 双机热备支持IP+MAC+端口绑定(包含IPV4和IPV6)支持动态Qos修改支持Loopback-detection多端口检测及检测控制端口S11第一章第一章产品概述产品概述l第一节 产品介绍l l第二节第二节 硬件结构硬件结构l第三节 业务特性12面板及指示灯（无面板及指示灯（无POE功能交换机）功能交换机）（1）：10/100/1000 Base-T自适应以太网端口状态指示灯（2）：SFP Combo接口状态指示灯（3）：Console口（4）：七段数码管（5）：电源指示灯（6）：RPS指示灯（7）：扩展插槽1指示灯（8）：扩展插槽2指示灯（9）：模式指示灯（10）：模式切换按钮（1）：交流电源接口（2）：RPS电源接口（3）：接地柱（4）：扩展插槽1（5）：扩展插槽13面板及指示灯（支持面板及指示灯（支持POE功能交换机）功能交换机）（1）：RPS电源接口（2）：交流电源接口（3）：接地螺钉（4）：10G接口插槽1（5）：10G接口插槽2（1）：10/100/1000 Base-T自适应以太网端口状态指示灯（2）：SFP Combo接口状态指示灯（3）：Console口（4）：7段数码显示灯（5）：电源指示灯（6）：RPS电源指示灯（7）：10G接口插槽1指示灯（8）：10G接口插槽2指示灯（9）：模式指示灯（10）：模式切换按钮14面板及指示灯（面板及指示灯（S5500-28F-EI交换机）交换机）（1）：接地螺钉（2）：电源插槽 1（3）：电源插槽 2（4）：10G接口插槽1（5）：10G接口插槽2（1）：千兆/百兆SFP接口状态指示灯（2）：10/100/1000 Base-T Combo自适应以太网端口状态指示灯（3）：Console口（4）：7段数码显示灯（5）：系统状态指示灯（6）：电源插槽1指示灯（7）：电源插槽2指示灯（8）：10G接口插槽1指示灯（9）：10G接口插槽2指示灯（10）：模式指示灯（11）：模式切换按钮15硬件结构图硬件结构图CPUPCI2*10GE2*10GE24 GEModule2Module1 SwitchSwitchModule2SwitchCPUPCIModule12*10GE2*10GE48 GES5500-28C-EI硬件体系结构：硬件体系结构：S5500-52C-EI硬件体系结构硬件体系结构：l超级紧凑，高千兆端口密度超级紧凑，高千兆端口密度：尺寸数据：440mm X 43.6mm X 300mm(Non-PoE)/440mm X 43.6mm X 420mm(PoE)/440mm X 43.6mm X 360mm(S5500-28F-EI)前面板提供24或48千兆电接口和4 千兆SFP光口后面板提供多至4个10GE端口l灵活的可扩展性：灵活的可扩展性：多款扩展模块极低成本的10GE接口（CX4）l周全的可靠性设计：周全的可靠性设计：支持RPS，S5500-28F双电源可插拔支持环境温度和风扇的监控告警扩展模块无CPU16第一章第一章产品概述产品概述l第一节 产品介绍l第二节 硬件结构l l第三节第三节 业务特性业务特性17业务特性概述（业务特性概述（1）l二层特性：二层特性：Port IsolateMSTP/RSTPLACPGVRPVoice VLAN Mac Based VLANProtocol Based VLANIP subnet Based VLAN Isolate User VlanFlow IntervalStorm ConstrainLLDPSelective QINQVLAN Mappingl三层特性：三层特性：RIPRIPngOSPFOSPFv3BGPBGP4+ISISISIS for IPV6DHCP Rley/ServerPBR（策略路由）MCEARP ProxyTUNNEL18业务特性概述（业务特性概述（2）l安全特性：安全特性：ARP DetectionIP Source Guard802.1XPort SecurityEADPORTALPKISSH 2.0HWTACACS+uRPFRadiusBootrom Access ControlPortal 双机热备Triple认证l组播特性：组播特性：IGMP SnoopingMLD Snooping v1/v2IGMPv1/v2/v3MLDv1/v2MVR/MVR+PIM-DM/SM/SSMPIM6MSDPMBGPMBGP for IPV6可控组播IPv6组播VLAN/VLAN+静态组播MAC地址表项19业务特性概述（业务特性概述（3）lHA高可靠性：高可靠性：VRRP/VRRPEVRRP v3ECMPGR for OSPF/BGPBFDDLDPNQAISSURRPPSmart linkMonitor link电源热插拔lQACL特性：特性：流标记/重定向/镜像针对范围四层端口号关注三色双速WRR,WRR+SP,SP调度模式出入双方向ACLVLAN ACLGlobal ACLWREDShapingRSPAN动态Qos修改CARUser P20本章小结本章小结lS5500-EI系列交换机总体介绍系列交换机总体介绍产品定位、具体型号、大致性能lS5500-EI系列交换机硬件体系结构系列交换机硬件体系结构lS5500-EI系列交换机业务特性系列交换机业务特性n第一章第一章产品概述产品概述n第二章第二章软件特性软件特性n第三章第三章典型应用典型应用n第四章第四章基本维护基本维护 目录目录22第二章第二章软件特性软件特性l l第一节第一节 二层特性二层特性l第二节 三层特性l第三节 安全特性l第四节 组播特性l第五节 高可靠性l第六节 QACL特性23链路聚合链路聚合l在同一个聚合组中，能进行负载分担的成员端口必须有一在同一个聚合组中，能进行负载分担的成员端口必须有一致的配置。这些配置主要包括：致的配置。这些配置主要包括：端口隔离配置一致QinQ配置一致VLAN配置一致端口属性配置一致MAC地址学习配置一致l按照聚合方式的不同，按照聚合方式的不同，S5500-EI系列以太网交换机支持：系列以太网交换机支持：静态聚合动态聚合l链路聚合的扩展功能：链路聚合的扩展功能：支持配置聚合负载分担为本地转发优先24LLDP协议协议lLLDPLink Layer Discovery Protocol，即，即链路层发现协议链路层发现协议。l它将本地设备的信息组织成它将本地设备的信息组织成TLV（Type/Length/Value，类型，类型/长度长度/值）封装在值）封装在LLDPDU（Link Layer Discovery Protocol Data Unit，链路层发现协议数据单，链路层发现协议数据单元）中发送给直连的邻居，同时也把从邻居接收的元）中发送给直连的邻居，同时也把从邻居接收的LLDPDU以标准以标准MIB（Management Information Base，管理信息库）的形式保存起来。，管理信息库）的形式保存起来。l通过通过LLDP，设备可以保存和管理自己以及直连邻居设备的信息，供网络管理系，设备可以保存和管理自己以及直连邻居设备的信息，供网络管理系统查询和判断链路的通信状况。统查询和判断链路的通信状况。25广播风暴抑制广播风暴抑制l广播风暴抑制用来抑制大量的未知单播、多播、广播报文在网络中的传广播风暴抑制用来抑制大量的未知单播、多播、广播报文在网络中的传播，从而减少报文对网络运行效率的影响。播，从而减少报文对网络运行效率的影响。lS5500-EI系列以太网交换机的广播风暴抑制功能是在端口上进行配置系列以太网交换机的广播风暴抑制功能是在端口上进行配置的。一旦有报文流量超过预设的上限阈值，可以阻塞该端口此种报文的的。一旦有报文流量超过预设的上限阈值，可以阻塞该端口此种报文的转发或者关闭端口，并可以发出转发或者关闭端口，并可以发出Trap和和Log信息。信息。如果端口采用阻塞方式控制，则处于阻塞状态的端口仍然会对该报文流量进行统计，但是不会转发报文。如果端口采用shutdown方式控制，处于shutdown的端口可以通过执行undo shutdown命令恢复端口状态，也可以通过删除端口流量阈值配置进行恢复。如果被检测端口的单播、组播或者多播报文流量降低到预设的下限阈值，会恢复被阻塞端口对此种报文转发能力，并发出Trap和Log信息。lS5500-EI系列交换机不仅可以实现基于端口速率百分比的广播风暴抑系列交换机不仅可以实现基于端口速率百分比的广播风暴抑制，而且可以实现基于制，而且可以实现基于pps的广播风暴抑制。的广播风暴抑制。26端口环回检测端口环回检测l端口环回检测（端口环回检测（Loopback-detection）单端口进行环回监测：单端口进行环回监测：端口发送出去的报文又从该端口回到设备，环回的存在可能导致广播风暴 H3Cloopback-detection enable H3C-GigabitEthernet1/0/1loopback-detection enable 多端口环回监测：多端口环回监测：设备上某端口发送出去的报文又从该设备的另一个端口环回到本设备 H3C loopback-detection enable H3C-GigabitEthernet1/0/1loopback-detection enable H3C loopback-detection multi-port-mode enableLoopback-detection检测控制端口检测控制端口Shutdownloopback-detection action no-learning|semi-block|shutdown no-learning：不进行mac地址学习；semi-block：端口物理层up但逻辑down，不转发报文Shutdown：端口物理层downl说明：说明：loopback-detection enable 需在全局和端口均开启才会生效需在全局和端口均开启才会生效27VLANlS5500-EI系列以太网交换机支持以下的系列以太网交换机支持以下的VLAN应用。应用。基于端口的VLANS5500-EI系列以太网交换机最多支持4094个基于端口的VLAN。基于协议的VLAN交换机可以根据端口上收到的untag报文所属的不同协议，自动为报文添加不同的tag，实现将属于指定协议的数据自动归集到指定VLAN中传输。基于MAC的VLAN按照报文的源MAC地址来定义VLAN成员，将指定报文加入该VLAN的tag后发送。基于IP子网的VLAN根据报文的源地址来确定报文所属的VLAN，然后将报文自动划分到指定VLAN中传输。S5500-EI 一个VLAN支持12个网段。28QinQlS5500-EI系列交换机提供的端口系列交换机提供的端口QinQ特性是一种简单、灵特性是一种简单、灵活的二层活的二层VPN技术，它通过在运营商接入端为用户的私网技术，它通过在运营商接入端为用户的私网报文封装外层报文封装外层VLAN Tag，使报文携带两层，使报文携带两层VLAN Tag穿越穿越运营商的骨干网络（公网）。运营商的骨干网络（公网）。lQinQ可分为两种：可分为两种：基本QinQ灵活QinQl灵活灵活QinQ是基于端口与是基于端口与VLAN相结合的方式实现的。除了相结合的方式实现的。除了能实现所有基本能实现所有基本QinQ的功能外，对于同一个端口接收的报的功能外，对于同一个端口接收的报文还可以根据报文的不同内层文还可以根据报文的不同内层VLAN ID添加不同的外层添加不同的外层VLAN Tag。29灵活灵活灵活灵活QinQQinQVlan 1001-1002上网上网业业务报务报文（双文（双Tag）送）送BAS设备处设备处理理。Vlan 301报报文送文送DHCP Server分配地址或分配地址或组组播播业务业务路由器路由器。PC上网上网业务报业务报文文vlanid为为101200，封装外，封装外层层vlanid 1001。IPTV业务报业务报文文vlan为为组组播播vlan 301，不封装，不封装外外层层vlanid。大客大客户报户报文文vlanid为为201300，封装外，封装外层层vlanid 1002。上网用户、上网用户、IPTVIPTV用户和大用户和大客户都是园区的宽带接入客户都是园区的宽带接入对象，且他们分别接入不对象，且他们分别接入不同范围的用户同范围的用户VLANVLAN来加与来加与区分。区分。在在S5500-EIS5500-EI上的上的A A处开启灵处开启灵活活QinQQinQ，根据不同的内层，根据不同的内层VLAN IDVLAN ID增加外层增加外层VLANVLAN或不或不增加外层增加外层VLANVLAN，将报文送，将报文送至不同的上层设备。至不同的上层设备。30VLAN 映射映射lVLAN映射（映射（VLAN Mapping）功能可以修改报文携带的功能可以修改报文携带的VLAN TaglVLAN映射提供映射提供3种映射关系：种映射关系：1:1 VLAN映射：将来自某一特定VLAN的报文所携带的VLAN Tag替换为新的VLAN TagN:1 VLAN映射：将来自两个或多个VLAN的报文所携带的不同VLAN Tag替换为相同的VLAN Tag 2:2 VLAN映射：将携带有两层VLAN Tag的报文的内、外层VLAN Tag都替换为新的VLAN Tag。31第二章第二章软件特性软件特性l第一节 二层特性l l第二节第二节 三层特性三层特性l第三节 安全特性l第四节 组播特性l第五节 高可靠性l第六节 QACL特性32策略路由策略路由l策略路由是一种依据用户制定的策略进行路由选择的机制。与单纯依照策略路由是一种依据用户制定的策略进行路由选择的机制。与单纯依照IP报文的目的地址查找路由表进行转发不同，策略路由基于到达报文的报文的目的地址查找路由表进行转发不同，策略路由基于到达报文的源地址等信息灵活地进行路由选择。源地址等信息灵活地进行路由选择。lS5500-EI系列交换机支持两种策略路由配置方式：系列交换机支持两种策略路由配置方式：PBR方式（policy-based-route）：通过ACL制定匹配规则，支持对报文的下一跳，优先级及缺省下一跳进行设置，目前只支持IPv4单播策略路由。QoS策略方式：通过QoS策略的流分类功能来制定细致的匹配规则，并使用流行为中的重定向动作将报文按指定的目的进行转发。lS5500-EI系列交换机支持的两种策略路由方式：系列交换机支持的两种策略路由方式：弱策略方式：在配置重定向时，如果只指定下一跳IP地址而不指定出接口，称为弱路由策略，在这种情况下如果下一跳IP地址不可达，则会查找路由表，如果有到达目的地址的路由条目，则按此路由条目转发（缺省情况）强策略方式：所有匹配的数据只能按此策略转发，即使在下一跳IP地址已经不可达但在路由表里面还存在其它路由表项33MCEl MCE功能是功能是Multi-CE的简称，具有的简称，具有MCE功能的交换机可以在功能的交换机可以在BGP/MPLS VPN组网应用中承担多个组网应用中承担多个VPN实例的实例的CE功能，减少用户网络设备的投入。功能，减少用户网络设备的投入。l MCE使用使用CE设备本身的设备本身的VLAN接口编号与网络内的接口编号与网络内的VPN进行绑定，并为每个进行绑定，并为每个VPN创建和维护独立的路由转发表（创建和维护独立的路由转发表（Multi-VRF），能够隔离私网内不同），能够隔离私网内不同VPN的报的报文转发路径，并将每个文转发路径，并将每个VPN的路由正确发布至对端的路由正确发布至对端PE，保证，保证VPN报文在公网内的报文在公网内的传输。传输。34隧道技术隧道技术概述（概述（1）l隧道是一种封装技术，它利用一种网络协议来传输另一种网络协议，即利用一隧道是一种封装技术，它利用一种网络协议来传输另一种网络协议，即利用一种网络传输协议，将其他协议产生的数据报文封装在它自己的报文中，然后在网种网络传输协议，将其他协议产生的数据报文封装在它自己的报文中，然后在网络中传输。络中传输。lIPv6 over IPv4隧道机制是将隧道机制是将IPv6数据报文前封装上数据报文前封装上IPv4的报文头，通过隧道的报文头，通过隧道（Tunnel）使）使IPv6报文穿越报文穿越IPv4网络，实现隔离的网络，实现隔离的IPv6网络的互通。网络的互通。lIPv6 over IPv4隧道可以建立在主机隧道可以建立在主机-主机、主机主机、主机-设备、设备设备、设备-主机、设备主机、设备-设备设备之间。隧道的终点可能是之间。隧道的终点可能是IPv6报文的最终目的地，也可能需要进一步转发。报文的最终目的地，也可能需要进一步转发。35隧道技术隧道技术概述（概述（2）l根据隧道终点的根据隧道终点的IPv4地址的获取方式不同，隧道分为地址的获取方式不同，隧道分为“配置隧道配置隧道”及及“自动隧道自动隧道”。如果IPv6 over IPv4隧道的终点地址不能从IPv6报文的目的地址中自动获取，需要进行手工配置，这样的隧道即为“配置隧道”。如果IPv6 over IPv4隧道的接口地址采用内嵌IPv4地址的特殊IPv6地址形式，即可以从IPv6报文的目的地址中自动获取隧道终点的IPv4地址，这样的隧道即为“自动隧道”。l根据对根据对IPv6报文的封装方式的不同，报文的封装方式的不同，IPv6 over IPv4隧道分为以下几隧道分为以下几种模式：种模式：IPv6手动隧道6to4隧道ISATAP（Intra-Site Automatic Tunnel Addressing Protocol，站点内自动隧道寻址协议）隧道l在上面列出的隧道模式中，在上面列出的隧道模式中，IPv6手动隧道为配置隧道；手动隧道为配置隧道；6to4隧道及隧道及ISATAP隧道为自动隧道。隧道为自动隧道。36隧道技术隧道技术手动隧道手动隧道l手动隧道是点到点之间的链路，一条链路就是一个单独的手动隧道是点到点之间的链路，一条链路就是一个单独的隧道。主要用于边缘路由器隧道。主要用于边缘路由器-边缘路由器或主机边缘路由器或主机-边缘路由边缘路由器之间定期安全通信的稳定连接，可实现与远端器之间定期安全通信的稳定连接，可实现与远端IPv6网络网络的连接。的连接。h3c interface Tunnel 0h3c-Tunnel0 ipv6 address 3001:1/64h3c-Tunnel0 source Vlan-interface 100h3c-Tunnel0 destination 192.168.30.1h3c-Tunnel0 tunnel-protocol ipv6-ipv4h3c-Tunnel0 aggregation-group 1h3c interface Tunnel 0h3c-Tunnel0 ipv6 address 3001:2/64h3c-Tunnel0 source Vlan-interface 100h3c-Tunnel0 destination 192.168.99.1h3c-Tunnel0 tunnel-protocol ipv6-ipv4h3c-Tunnel0 aggregation-group 1IPv6HostIPv6网络网络IPv4网络网络S5500-EIIPv6网络网络S5500-EIIPv6HostIPv4:192.168.99.1IPv6:3001:1/64IPv4:192.168.30.1IPv6:3001:2/64Vlan 100Vlan 37隧道技术隧道技术6to4隧道隧道l6to4隧道是点到多点的自动隧道，主要用于将多个隧道是点到多点的自动隧道，主要用于将多个IPv6孤岛通过孤岛通过IPv4网络连接到网络连接到IPv6网网络。络。6to4隧道通过隧道通过IPv6报文的目的地址中嵌入的报文的目的地址中嵌入的IPv4地址，可以自动获取隧道的终点。地址，可以自动获取隧道的终点。l6to4隧道采用特殊的地址：隧道采用特殊的地址：6to4地址，其格式为：地址，其格式为：2002:abcd:efgh:子网号子网号:接口接口ID/64，其中，其中2002表示固定的表示固定的IPv6地址前缀，地址前缀，abcd:efgh表示该表示该6to4隧道对应的隧道对应的32位位IPv4源源地址，用地址，用16进制表示（如进制表示（如1.1.1.1可以表示为可以表示为0101:0101）。通过这个嵌入的）。通过这个嵌入的IPv4地址可地址可以自动确定隧道的终点，使隧道的建立非常方便。以自动确定隧道的终点，使隧道的建立非常方便。l由于由于6to4地址的地址的64位地址前缀中的位地址前缀中的16位子网号可以由用户自定义，前缀中的前位子网号可以由用户自定义，前缀中的前48位已位已由固定数值、隧道起点或终点设备的由固定数值、隧道起点或终点设备的IPv4地址确定，使地址确定，使IPv6报文通过隧道进行转发成为报文通过隧道进行转发成为可能。可能。IPv6HostIPv6网络网络IPv4网络网络S5500-EIIPv6网络网络S5500-EIIPv6HostIPv4:192.168.99.1IPv6:网络前缀2002:c0a8:6301:/48IPv4:192.168.30.1IPv6:网络前缀2002:c0a8:1e01:/48IPv6报文中嵌入了隧道的目的IPv4地址h3c interface Tunnel 0h3c-Tunnel0 ipv6 address 2002:c0a8:6301:/64h3c-Tunnel0 source Vlan-interface 100h3c-Tunnel0 tunnel-protocol ipv6-ipv4 6to4h3c-Tunnel0 aggregation-group 1h3c interface Tunnel 0h3c-Tunnel0 ipv6 address 2002:c0a8:1e01:/64h3c-Tunnel0 source Vlan-interface 100h3c-Tunnel0 tunnel-protocol ipv6-ipv4 6to4h3c-Tunnel0 aggregation-group 1Vlan 100Vlan 38隧道技术隧道技术ISATAP隧道隧道lISATAP隧道是点到点的自动隧道技术，通过在隧道是点到点的自动隧道技术，通过在IPv6报文的目的地址中嵌入的报文的目的地址中嵌入的IPv4地址，可以自动获取隧道的终点。使用地址，可以自动获取隧道的终点。使用ISATAP隧道时，隧道时，IPv6报文的目的报文的目的地址和隧道接口的地址和隧道接口的IPv6地址都要采用特殊的地址：地址都要采用特殊的地址：ISATAP地址。地址。lISATAP地址格式为：地址格式为：Prefix(64bit):0:5EFE:ip-address。ip-address形式为形式为a.b.c.d 或者或者abcd:efgh，其中，其中abcd:efgh表示表示32位位IPv4源地址。通过这个嵌源地址。通过这个嵌入的入的IPv4地址就可以自动建立隧道，完成地址就可以自动建立隧道，完成IPv6报文的传送。报文的传送。ISATAP隧道主要隧道主要用于在用于在IPv4网络中网络中IPv6路由器路由器-IPv6路由器、路由器、IPv6主机主机-IPv6路由器的连接。路由器的连接。IPv4网络网络IPv6网络网络192.168.4.1fe80:5efe:192.168.4.12001:5efe:192.168.4.1S5500-EI192.168.2.1fe80:5efe:192.168.2.12001:5efe:192.168.2.1192.168.3.1fe80:5efe:192.168.3.12001:5efe:192.168.3.1h3c interface Tunnel 0h3c-Tunnel0 ipv6 address 2001:!/64 eui-64h3c-Tunnel0 source Vlan-interface 101h3c-Tunnel0 tunnel-protocol ipv6-ipv4 isataph3c-Tunnel0 aggregation-group 1h3c-Tunnel0 undo ipv6 nd ra 39第二章第二章软件特性软件特性l第一节 二层特性l第二节 三层特性l l第三节第三节 安全特性安全特性l第四节 组播特性l第五节 高可靠性l第六节 QACL特性40IP Source Guardl通过通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，绑定功能，可以对端口转发的报文进行过滤控制，防止非法报文通过端口，提高了端口的安全性。端口接收到报文后查找防止非法报文通过端口，提高了端口的安全性。端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。特征项匹配，则端口转发该报文，否则做丢弃处理。lIP Source Guard支持的报文特征项包括：源支持的报文特征项包括：源IP地址、源地址、源MAC地址和地址和VLAN标签。并且，可支持端口与如下特征项的组合（下文简称绑定表标签。并且，可支持端口与如下特征项的组合（下文简称绑定表项）：项）：IP、MAC、IPMACIPVLAN、MACVLAN、IPMACVLANl该特性提供两种触发绑定的机制：该特性提供两种触发绑定的机制：一种是通过手工配置方式提供绑定表项，称为静态绑定。一种由DHCP Snooping或者DHCP Relay提供绑定表项，称为动态绑定。l绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。受该绑定影响。41URPF特性特性lURPF（Unicast Reverse Path Forwarding，单播反向路，单播反向路径转发）的主要功能是用于防止基于源地址欺骗的网络攻击行径转发）的主要功能是用于防止基于源地址欺骗的网络攻击行为。为。l源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文，对于使用基于文，对于使用基于IP地址验证的应用来说，此攻击方法可以导地址验证的应用来说，此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限，甚至是以管致未被授权用户以他人身份获得访问系统的权限，甚至是以管理员权限来访问。即使响应报文不能达到攻击者，同样也会造理员权限来访问。即使响应报文不能达到攻击者，同样也会造成对被攻击对象的破坏。成对被攻击对象的破坏。42EAD（1）lEndpoint Admission Defense，端点准入防御。，端点准入防御。l通过对接入的数据进行监控，能够增强网络终端通过对接入的数据进行监控，能够增强网络终端的主动防御能力，控制病毒和蠕虫在网络内部的的主动防御能力，控制病毒和蠕虫在网络内部的蔓延。蔓延。l通过限制不符合安全要求的终端的访问权限，防通过限制不符合安全要求的终端的访问权限，防止不安全终端对整个网络的安全造成危害。止不安全终端对整个网络的安全造成危害。43EAD（2）S5500-EI病毒补丁服务器病毒补丁服务器认证服务器认证服务器3.交换机和认证服务器间交互完成认证2.身份认证通过前用户无法访问网络Core Network4.身份验证后用户即可以从病毒补丁服务器升级5.客户端开始安全认证安全策略服务器安全策略服务器7.安全认证通过后，用户可以正常的访问网络1.用户开始认证6.安全认证通过前只能访问病毒补丁服务器44EAD 快速部署快速部署lS5500-EI支持支持EAD功能特性提供了功能特性提供了802.1X未认证时终端用户未认证时终端用户IE访问访问URL重定向重定向功能；利用以下两个功能实现功能；利用以下两个功能实现EAD客户端的强制下发。客户端的强制下发。用户受限访问802.1x认证成功之前（包括认证失败），终端用户只能访问一个特定的IP地址段。该IP地址段中可以配置一个或多个特定服务器，用于提供EAD客户端的下载升级或者动态地址分配等服务。用户HTTP访问URL重定向终端用户在802.1x认证成功之前（包括认证失败），如果使用浏览器访问网络，设备会将用户访问的URL重定向到已配置的URL（例如，重定向到EAD客户端下载界面），这样只要用户打开浏览器，就必须进入管理员预设的界面。45PortallPortal认证通常也称为认证通常也称为Web认证，一般将认证，一般将Portal认证网站称为门户网站。认证网站称为门户网站。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。lPortal的典型组网方式如下所示，它由五个基本要素组成：认证客户端、的典型组网方式如下所示，它由五个基本要素组成：认证客户端、接入设备、接入设备、Portal服务器、认证服务器、认证/计费服务器和安全策略服务器。计费服务器和安全策略服务器。46Portal扩展功能（一）扩展功能（一）lPortal支持通过强制接入终端实施补丁和防病毒策略，加支持通过强制接入终端实施补丁和防病毒策略，加强网络终端对病毒攻击的主动防御能力。强网络终端对病毒攻击的主动防御能力。lPortal的扩展功能：的扩展功能：在Portal身份认证的基础上增加了安全认证机制，可以检测接入终端上是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。用户通过身份认证后仅仅获得访问部分互联网资源（受限资源）的权限，如