Коммутаторы серии Quidway S5700 EI (далее — S5700-EI) — это энергосберегающие коммутаторы следующего поколения, разработанные компанией Huawei для высокоскоростного доступа и мультисервисной агрегации Ethernet. Созданные на современном аппаратном обеспечении и программном обеспечении многоцелевой платформы маршрутизации VRP (Versatile Routing Platform ) компании Huawei, S5700-EI обеспечивает высокую скорость коммутации, высокую плотность портов GE и позволяет выполнять агрегирующие подключения со скоростью 10 Гбит/с. S5700-EI предназначен для различных сценариев построения корпоративной сети. Например, S5700 может работать в качестве коммутатора доступа или агрегирования в кампусной сети, в качестве гигабитного коммутатора доступа в ЦОД для Интернет-хостинга (IDC) или в качестве офисного коммутатора доступа 1000 Мбит/с для терминальных устройств. Коммутатор прост в установке и обслуживании, что позволяет сократить объем работ при планировании, построении и обслуживании сети. S5700-EI использует современные технологии надежности, безопасности и энергосбережения, помогая корпоративным заказчикам построить сеть следующего поколения.
Широкий спектр услуг
Коммутатор S5700-EI поддерживает IGMP v1/v2/v3 snooping, IGMP filter, IGMP fast leave, и IGMP proxy, функцию репликации многоадресных пакетов на скорости канала связи между сетями VLAN, балансировки нагрузки для трафика многоадресной рассылки между интерфейсами в составе транкового подключения и управляемую многоадресную рассылку, что позволяет предоставлять услуги IPTV и прочие сервисы многоадресной рассылки.
S5700-EI поддерживает функцию Multi-VPN-Instance CE (MCE), которая позволяет изолировать пользователей различных VLAN на одном устройстве, гарантируя защиту данных и снижая затраты.
Всесторонние механизмы обеспечения надежности
Кроме протоколов STP, RSTP и MSTP, S5700-EI поддерживает новейшие технологии Ethernet, включая Smart Link и RRPP (Rapid Ring Protection Protocol), которые реализуют защитное переключение каналов в течение миллисекунд и гарантируют надежность работы сети. Коммутаторы также реализуют варианты Smart Link и RRPP со множеством экземпляров (multi-instance) для балансировки нагрузки между каналами, оптимизируя использование полосы пропускания.
S5700-EI поддерживает технологию «расширенный транк» (Enhanced Trunk, E-Trunk), которая позволяет узлам CE быть подключенным к двум узлам PЕ (S5700). Технология E-Trunk значительно повышает надежность каналов между устройствами, а также реализует агрегацию каналов между устройствами. В результате повышается надежность подключения устройств доступа.
S5700-EI поддерживает интеллектуальный протокол защиты (Smart Ethernet Protection, SEP) — протокол для кольцевых топологий, работающий на канальном уровне Ethernet. SEP может быть использован в разомкнутых кольцевых топологиях и может развертываться на агрегирующих устройствах верхнего уровня для обеспечения быстрого переключения (в пределах 50 мс), обеспечивая непрерывную передачу сервисов. SEP отличается простотой, высокой надежностью, быстрым переключением, легкостью обслуживания и гибкостью поддерживаемых топологий, облегчая планирование и управление сетью.
S5700-EI поддерживает протокол ERPS (Ethernet Ring Protection Switching), G.8032. ERPS был разработан на основе традиционных функций Ethernet MAC и мостового соединения (bridging), он использует развитую функцию Ethernet OAM и механизм автоматического защитного переключения кольца (R-APS) для выполнения защитного переключения в течение миллисекунд. ERPS поддерживает различные услуги и гибкую организацию сети, позволяя создавать сети с низкими операционными и капитальными затратами.
S5700-EI поддерживает резервирование источников электропитания, и может одновременно использовать источники питания переменного и постоянного тока.
Может быть установлен один источник питания или два источника с целью обеспечения надежности устройства.
S5700-EI поддерживает протокол VRRP и может образовывать группы VRRP с другими коммутаторами третьего уровня. Протокол VRRP обеспечивает резервные маршруты для обеспечения стабильной и надежной связи. На S5700-EI можно сконфигурировать несколько равноценных маршрутов в направлении центрального устройства с целью резервирования путей передачи данных. Если активный маршрут недоступен, трафик переключается на резервный маршрут.
Коммутатор S5700-EI поддерживает технологию BFD (Bidirectional Fast Detection), распознающую обнаружение неисправностей в течение миллисекунд для таких протоколов, как OSPF, IS-IS, VRRP и PIM, что повышает надежность работы сети. S5700- EI удовлетворяет требованиям IEEE 802.3ah и 802.1ag. Стандарт IEEE 802.3ah определяет механизм распознавания сбоев в сетях Ethernet для «последней мили». Стандарт IEEE 802.1ag определяет механизм для сквозного обнаружения отказов услуг. S5700-EI поддерживает Y.1731 и может использовать средства измерения производительности в соответствии с Y.1731 для мониторинга производительности сети, обеспечивая точные данные о качестве работы сети.
Хорошо спроектированные механизмы политик качества обслуживания (QoS) и безопасности
S5700-EI осуществляет сложную классификацию трафика на основе информации пакетов, такой как «5-tuple», !Р-приоритет, тип сервиса (ToS), поле DSCP, тип IP-протокола, тип ICMP, порт источника TCP, идентификатор VLAN ID, тип Ethernet-протокола, класс обслуживания CoS. Списки управления доступом ACL могут быть применены для входящего и исходящего трафика на интерфейсе. S5700-EI поддерживает функцию CAR на основе потоков с двумя граничными значениями и трехцветной маркировкой. Каждый порт поддерживает 8 очередей и широкий набор алгоритмов диспетчеризации, таких как WRR, DRR, PQ, WRR+PQ и DRR+PQ. Благодаря данным возможностям гарантируется качество голосовых услуг, видео услуг и услуг передачи данных.
S5700-EI обеспечивает защиту от атак «отказ в обслуживании» (DoS), а также атак на сеть или против пользователей. DoS-атаки включают в себя атаки SYN Flood, Land, Smurf и ICMP Flood. К атакам на сеть относятся атаки STP BPDU/ Root. Атаки против пользователей включают в себя атаки поддельного сервера DHCP, атаки с участием человека (man-in-the-middle), атаки имитации IP/MAC и атаки потока запросов DHCP. Атаки типа отказа от обслуживания, изменяющие поле CHADDR в пакетах DHCP, также относятся к атакам против пользователей.
Коммутаторы S5700-EI поддерживают функцию отслеживания адресов (DHCP-snooping), генерирующую записи связующей таблицы на основе MAC-адресов, IP-адресов, времени аренды IP-адресов, идентификаторов VLAN ID и интерфейсов доступа пользователей. DHCP-snooping отбрасывает недействительные пакеты, не соответствующие какой-либо записи в связующей таблице, такие как пакеты ARP-спуфинга и пакеты IP-спуфинга.
S5700-EI поддерживает точное запоминание ARP, что позволяет предотвратить атаки имитации ARP-запросов (ARP-спуфинг), способные привести к нехватке ресурсов в ARP- таблицах. Он также выполняет проверку IP-адреса источника для обеспечения защиты от DoS атак с использованием поддельных МАС-адресов, IP-адресов, либо их комбинаций.
Коммутатор S5700-EI поддерживает централизованную аутентификацию по МАС-адресам, аутентификацию 802.1x и NAC. Аутентификация пользователей проводится на основе пользовательских данных (имя пользователя, IP-адрес, MAC-адрес, идентификатор VLAN, интерфейс доступа и флаг проверки наличия антивирусного программного обеспечения), увязанных в статическом или динамическом режимах. Виртуальные сети VLAN, политики качества обслуживания QoS и списки контроля доступа ACL могут быть применены к пользователям динамически.
S5700-EI может ограничивать число MAC-адресов, запоминаемых на конкретном интерфейсе, что позволяет предотвратить нехватку ресурсов в таблице MAC-адресов в случае атак с применением ложных MAC-адресов источников. Данная функция минимизирует лавинную рассылку пакетов, возникающую в случае, когда MAC-адреса пользователей не могут быть найдены в таблице.
Высокоточное управление трафиком
S5710-EI поддерживает NetStream с форматом пакетов V5, V8 и V9 и предоставляет различные функции анализа трафика, включая дискретизацию трафика в реальном времени, динамическую генерацию отчетов, анализ атрибутов трафика и отчеты по ошибкам обработки. Модуль NetStream даёт возможность администраторам контролировать статус сети в режиме реального времени, поддерживает различные приложения и функции анализа, включая обнаружение возможных отказов, эффективное и своевременное устранение неисправностей, контроль безопасности, что позволяет заказчикам оптимизировать структуру сети и регулировать распределение ресурсов.
S5700-EI поддерживает функцию дискретизации потока sFlow (Sampled Flow), которая позволяет собирать статистику для передаваемого по сети трафика и отправлять её коллектору для анализа в режиме реального времени, что позволяет осуществлять эффективное управление сетью. S5700-EI содержит модуль агента sFlow и выполняет контроль трафика аппаратно. В отличие от механизма контроля трафика с помощью зеркалирования порта, sFlow не вызывает снижения производительности в процессе контроля трафика.
Легкое развертывание и обслуживание
S5700-EI поддерживает автоматическое конфигурирование, режим «plug-and-play» и удаленное групповое обновление. Данные возможности упрощают управление и техобслуживание устройства и снижают стоимость обслуживания. S5700-EI поддерживает SNMP v1/v2/v3 и предоставляет гибкие методы управления. Пользователи могут управлять S5700-EI с помощью командной строки (CLI), Web NMS, Telnet и HGMP. Функция NQA помогает пользователям в процессе планирования и обновления сети. Кроме того, S5700- EI поддерживает NTP, SSH v2, HWTACACS+, RMON, регистрацию системных сообщений и статистику трафика на портах.
S5700-EI поддерживает GARP VLAN Registration Protocol (GVRP), динамически регистрирующий и распространяющий атрибуты виртуальных сетей VLAN с целью уменьшения нагрузки сетевого администратора и обеспечения корректной конфигурации VLAN. В сетях со сложной топологией протокол GVRP упрощает настройку виртуальных сетей VLAN и снижает количество сбоев, вызванных ошибками конфигурирования VLAN.
S5700-EI поддерживает технологию MUX VLAN. Технология MUX VLAN изолирует трафик второго уровня между интерфейсами в виртуальной сети VLAN. Интерфейсы в подчиненных сетях VLAN могут взаимодействовать с портами основной сети VLAN, но не могут взаимодействовать друг с другом. MUX VLAN обычно используют во внутренней корпоративной сети для изоляции пользовательских интерфейсов друг от друга, но с возможностью их подключения к интерфейсам серверов. Эта функция предотвращает взаимодействие между сетевыми устройствами, подключенными к определенным интерфейсам или группам интерфейсов, но позволяет устройствам связываться со шлюзом по умолчанию.
Функция питания через Ethernet PoE
Коммутатор S5700-EI PWR может использовать различные по мощности источники питания РоЕ -48В для электропитания таких устройств, как IP-телефоны, точки доступа беспроводной сети и точки доступа Bluetooth. В качестве оборудования электропитания PSE (Power Sourcing Equipment) коммутатор S5700-EI PWR соответствует стандартам IEEE 802.3af и 802.3at (PoE+) и может обеспечивать питанием устройства PD (Powered Devices), которые не поддерживают указанные стандарты. Каждый порт предоставляет максимальную мощность 30 Вт в соответствии со стандартом IEEE 802.3at. Функция РоЕ+ увеличивает максимальную доступную мощность каждого порта и позволяет интеллектуально управлять мощностью энергоемких устройств. Благодаря этому упрощается использование устройств, получающих электропитание. Порты РоЕ могут работать в режиме экономии энергии. Пользователи могут самостоятельно сконфигурировать режим и время работы функции РоЕ для порта.
Высокая масштабируемость
Серия S5700-LI поддерживает функцию интеллектуального объединения в стек (iStack). Несколько коммутаторов S5700-EI могут быть соединены кабелями для формирования стека, который будет функционировать как один виртуальный коммутатор. Стек состоит из главного коммутатора, резервного коммутатора и нескольких подчиненных коммутаторов. Резервный коммутатор продолжает функционировать в случае выхода из строя главного коммутатора, что сокращает время прерывания обслуживания. Стеки поддерживают функцию интеллектуального обновления, таким образом, пользователям не требуется менять версию программного обеспечения коммутатора при его добавлении в стек. Функция iStack позволяет подключать множество коммутаторов для увеличения емкости. Данные коммутаторы управляются с помощью единого IP-адреса, что значительно уменьшает затраты на расширение системы и эксплуатацию. По сравнению с традиционными решениями iStack имеет значительные преимущества в плане расширения, надежности и архитектуры.
Различные характеристики IPv6
Коммутаторы S5700-EI поддерживают двойной стек IPv4/IPv6 с возможностью перехода от сети IPv4 к сети IPv6. Аппаратное обеспечение коммутаторов поддерживает двойной стек IPv4/IPv6, туннели IPv6 поверх IPv4 (включая конфигурируемые вручную туннели, туннели 6to4 и туннели ISATAP), а также коммутацию третьего уровня на скорости канала. S5700- EI могут быть развернуты в сетях IPv4, сетях IPv6 или комбинированных сетях IPv4 и IPv6. Благодаря этому организация сети становится гибкой и позволяет выполнить миграцию при переходе от IPv4 к IPv6.
Технические характеристики оборудования
Параметр | S5700-EI/ S5710-EI* | ||||
S5700-28C-
EI/ S5700-28C- PWR-EI |
S5700-28C-
EI-24S |
S5700-52C- EI/ S5700- 52C-PWR-EI | S5710-28C-EI | S5710-52C-EI | |
24 порта | 20 портов | 48 портов | 20 портов | 48 портов | |
10/100/1000Base-T | 100/1000Base-X, | 10/100/1000Base-T | 10/100/1000Base-I, | 10/100/1000Base-I, | |
Порт 1000M | 4 комбинированных | 4 комбинированных | 4 порта 10GE SFP+ | ||
порта GE | порта GE, | ||||
4 порта 10GE SFP+ |
Слот
расширения |
• S5700C предоставляет 2 слота расширения: один — для дополнительной платы восходящего подключения, другой — для стековой платы.
• S5710C предоставляет 2 слота расширения для дополнительных плат восходящего подключения |
Таблица MAC- адресов | • Соответствие IEEE 802.1d
• 32 000 MAC-адресов • Механизмы обучения и устаревания MAC-адресов • Статические и динамические адреса, а также MAC-адреса типа «черная дыра» • Фильтрация пакетов на основе MAC-адресов источника |
VLAN | • 4K для виртуальных ЛВС
• Виртуальные сети — гостевая (guest), голосовая (voice) • Назначение VLAN на основе MAC-адресов, протоколов, IP-подсетей, политик и портов Преобразование VLAN в режиме 1:1 и N:1 |
Надёжность | • Протокол защиты кольцевой топологии RRPP, в том числе множественные экземпляры RRPP
• Протокол защиты древовидной топологии Smart Link, в том числе множественные экземпляры Smart Link, обеспечивающие переключение в течение миллисекундных интервалов • SEP • ERPS (G.8032) • BFD для OSPF, BFD для IS-IS, BFD для VRRP и BFD для PIM • STP(IEEE 802.1d), RSTP(IEEE 802.1w) и MSTP(IEEE 802.1s) • Защита BPDU, корневого коммутатора STP, защита от петель (loop) • E-Trunk |
IP-
маршрутизац ия |
• Статическая маршрутизация, OSPF, OSPF v3, IS-IS, IS-ISv6, BGP, BGP 4+ и ECMP |
Функции IPv6 | • Обнаружение соседних узлов (ND)
• Path MTU (PMTU) • IPv6 ping, IPv6 tracert и IPv6 Telnet • Списки контроля доступа на основе адреса IPv6 источника, адреса IPv6 назначения, портов уровня 4, типа протокола • Протокол MLD v1/v2 snooping • Туннель 6to4, туннель ISATAP и вручную сконфигурированный туннель |
Параметр | S5700-28C- S5700-28C- S5700-52C- S5710-28C-EI S5710-52C-EI EI/ EI-24S EI/ S5700- S5700-28C- 52C-PWR-EI PWR-EI |
Многоадресная
передача |
• Функции IGMP v1/v2/v3 snooping и IGMP fast leave
• Многоадресная передача в виртуальной сети VLAN и репликация между сетями VLAN • Балансировка нагрузки многоадресной передачи между портами транкового соединения • Контролируемая многоадресная передача данных • Статистика трафика многоадресной передачи по портам • IGMP v1/v2/v3, PIM-SM, PIM-DM и PIM-SSM • Протокол MSDP |
Качество обслуживания (QoS) /
Списки контроля доступа (ACL) |
• Ограничения скорости передачи пакетов, отправленных и полученных интерфейсом
• Перенаправление пакетов • Политика трафика на основе порта и функция ограничения трафика CAR с двумя граничными значениями и трехцветной маркировкой • 8 очередей на каждый порт • Алгоритмы диспетчеризации WRR, DRR, PQ, WRR+PQ и DRR+PQ • WRED (поддерживается S5710-EI) • Перемаркировка приоритета 802.1p и приоритета DSCP • Фильтрация пакетов на уровнях 2 — 4, фильтрация некорректных кадров на основе MAC-адреса источника, MAC-адреса назначения, IP-адреса источника, IP-адреса назначения, номера порта, типа протокола и идентификатора VLAN • Ограничение скорости передачи по каждой очереди и профилирование трафика на портах |
Безопасность | • Управление уровнями привилегий пользователя и парольная защита
• Защита от DoS-атак, ARP-атак и ICMP-атак • Поддержка привязки IP-адреса, MAC-адреса, интерфейса и VLAN • Функция изоляции портов (port isolation), безопасность портов (port security) и закрепления адресов (sticky MAC) • МАС-адреса типа «черная дыра» (Blackhole) • Ограничение количества изученных МАС-адресов • Аутентификация 802.1x и ограничение количества пользователей на интерфейсе • Аутентификация AAA, аутентификация RADIUS, аутентификация HWTACACS+ и NAC • SSH v2.0 • Протокол защищенной передачи гипертекстов (HTTPS) • Защита центрального процессора (CPU) • «Черный» и «белый» списки |
Применение: Крупномасштабные корпоративные сети
S5700-EI может использоваться в качестве устройства доступа в крупномасштабных корпоративных сетях или в качестве устройства агрегации в кампусных сетях малого и среднего размера. Он поддерживает агрегацию каналов и двойные отказоустойчивые подключения для повышения надежности сети.
Применение: Центры обработки данных
S5700-EI может применяться в центрах обработки данных (ЦОД). Он подключает гигабитные сервера и агрегирует трафик от серверов к центральному узлу через магистральные соединения. В случае доступности множества серверов стек коммутатор S5700-EI может использоваться для упрощения технического обслуживания сети и повышения надежности сети.