RG-S8600介绍
RG-S8600是锐捷网络推出的面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机,满足未来以太网络的应用需求,支持下一代的以太网100G速率接口,提供14横槽、10竖插槽设计和6横插槽设计三种主机:RG-S8614、RG-S8610及RG-S8614。
该系列产品除了性能突出之外,还主要包括如下几方面关键特性:
高稳定性、可靠性保障
RG-S86通过如下技术来保证网络的高稳定性:
硬件设计方面:分布式硬件设计降低管理模块的数据处理压力。操作系统分模块单元设计,软件模块间低松散的耦合程度。大大减少了设备的故障率,保证了设备的稳定性。
硬件冗余方面:主机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。
另外还支持跨线卡端口聚合,确保单板故障时,接入用户的业务正常运行。
高安全保障-CPP(CPU Protect Policy)技术
作为金融网络最核心的交换机,除了在网络构架的设计上要重点考虑安全性,而且设备本身必须具备超高的安全保障机制。锐捷网络RG-S86交换机采用硬件方式提供多种安全防护能力,例如NFPP、CPP、防DDOS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。CPP(CPU Protect Policy)是关键的安全保障技术之一。
概述
CPU保护策略(CPU Protect Policy,CPP)用于避免网络设备的CPU收到网络上不必要和具有恶意攻击目的的数据流,提高网络设备自身安全性能,还可以通过设置QoS过滤机制来保护网络设备的控制平台(Control Plane ,简称CP)在遭受攻击和高负载的情况下仍能保持数据转发和协议状态的稳定。本文阐述了目前控制平台策略的现状和发展趋势,以及目前锐捷网络产品采用的CPP技术,剖析了增加cpu保护策略的网络设备对于提高性能所起的作用。
技术原理
最初的网络设计者在设计时更多地考虑如何保证网络的联通性,而很少考虑网络的安全性。,目前的网络协议对于安全的考虑性不足,以及交换机本身设计的特点,对CPP功能的需求就显得越来越强。CPP功能早期只是作为某些单一功能出现的,如ARP check,IP sysguard,这一种CPP主要是反攻击的。随着市场应用的逐渐增多,对于CPU保护提出了更高的要求,第二种cpp应用需要对trap到CPU的管理报文进行分类处理,第一类是作为维护基础协议的BPDU、GVRP和VRRP,第二类是作为维护路由协议的PIM,OSPF,IGMP,RIP报文,第三类是作为需要CPU处理的IP数据报文,第四类是堆叠中的管理报文,通过对这些报文的分级处理,确定优先关系,确保在CPU高负载的情况下仍能保证基本的网络拓扑稳定。CPP的第三种应用是对各种报文的带宽限制,这种方式主要根据具体的网络应用环境确定各类报文的带宽限制,以及CPU可以处理的最高总带宽限制。
CPP作为一个功能模块,无论是硬件实现或者软件实现,都基本上按照以下四个阶段进行:Classifying、Queuing、Scheduling和Shaping。
技术原理
根据ACL将输入流归类分流
Classifying:对每个需要送到CPU的报文进行分类,分类是根据报文的L2、L3以及L4信息。
Queueing:该动作负责将各种不同类型的报文,根据不同的优先级送到指定的映射队列,在不同队列的报文具有不同的传输优先级。
Scheduling:当多个队列有报文需要传输时,Scheduling负责从中选择一个队列并传输这个队列的报文。调度算法有SP,SP+WRR,WRR,DRR,SP+DRR,以下分别介绍以上各种调度算法的原理:
绝对优先级(SP):高优先级队列具有最高的传输数据包的优先级。低优先级的队列要等到优先级高的队列传完才开始传输。在strict priority 调度中,加权设置总是为零。
weighted round-robin (加权轮转)调度(WRR) : WRR调度要求您定义一个数值用于规定当前队列与其他优先级队列的相对重要性(weight)。WRR调度防止低优先级的队列在高优先级队列传输时被完全忽略。WRR调度对各个队列实行轮流发送机制。报文的权重与队列的重要性相对应。举例说明,如果队列1的weight为1,队列2的weight 为2,那么队列1在队列2每次发送完2个报文后发送1个报文。通过调度功能,即使高优先级的队列为非空,低优先级的队列也能获得机会发送报文,这样带宽资源可以得到充分的利用。
Deficit Round Robin (DRR):WRR存在的一个很大的缺点是它是以报文个数做为权重的,这样对于报文平均长度明确的网络更加合适,但是网络中往往报文的长度是不可预知的,必然使WRR的应用受到局限,基于此,提出了以字节数为权重的进行加权轮转调度的算法Deficit Round Robin (DRR),当为某个队列分配的权重低于零时,这时该队列的权重值变为赤字,同时影响到下一次调度该队列的赋予的权重,即该队列的新的权重会减去前一次而产生的赤字,这样就可以避免由于报文长度不等长而产生的非预期的调度。
SP+WRR,SP+DRR,是指在队列调度中选择SP与WRR或者SP和DRR算法共同参与运算的方法,既保证最高优先级的队列能得到优先调度,又避免了其他低优先级队列由于长时间未被调度而饿死的问题。具体来说,就是高优先级的队列在所有报文被调度完成后,才根据选择的WRR或者DRR算法对其他队列进行调度。
Queueing与Scheduling过程
Shaping:控制每个传输队列的最大和最小带宽,超过最大速率的报文将被丢弃。
成功案例-某银行一、二级分行网络改造案例
2006年,某银行已经按照整体的IT规划,完成了全国的数据大集中,所有分行的数据上收工作已经结束。按照全国数据大集中应用架构规划部署的要求,整体业务将会慢慢地从分散式的运行管理模式向集中式的运行管理模式过渡。其中一些重要的业务系统也将会随着数据的上收开始在全国推广应用,随之也对网络基础架构提出了更高的要求。
但是,各分行尤其是地市分行网络架构的稳定性相对较弱,因此需要进行升级整合,从而提高整体的稳定性,为生产的正常运行提供坚实的保障。
涉及这次改造的分行局域网划分成三个功能区:
广域网区,主要用于实现上联一级分行,下联三级网的路由接入;
生产区,主要用于生产业务相关的服务器或终端;
办公区,主要用于OA办公业务相关的服务器或终端。
经过总行全方面的测试和多次的论证,最后采用了锐捷网络的方案,总共使用了583台锐捷S8600核心交换机, 963台锐捷S5750千兆三层交换机。各分行原有的网络现状不完全一致,原则上如果原有的核心交换机仍然能够满足要求,那么继续在功能区中使用,如果原有的设备满足不了要求,那么全部更换为锐捷的S8600。锐捷S5750纯千兆交换机则用于生产或办公区接入层设备。
经过此次升级改造之后,整体网络架构更加稳定,实现了规范要求的功能区域逻辑划分和隔离,降低了办公、生产业务之间的耦合度,起到良好的隔离效果,完全达到设计要求。
网友评论