(完整word版)H3C大数据产品技术白皮书

H3C S12500 IRF2技术白皮书关键词：IRF2、HA、冗余备份、高性能摘要：IRF2将两台设备互联起来，形成分布式交换架构，并作为一个逻辑交换实体运行，提高网络的扩展性和可用性。

本文介绍H3C S12500系列数据中心级核心交换机上IRF2的实现和组网应用技术。

缩略语：缩略语英文全名中文解释BFD Bidirectional Forwarding Detection 双向转发检测IRF2 Intelligent Resilient Framework 2 第二代智能弹性架构Availability 高可靠性HA HighLACP Link Aggregation Control Protocol 链路聚合控制协议LACPDU Link Aggregation Control Protocol Data Unit 链路聚合控制协议数据单元MAD Multi Active Detection 多Active检测MPLS Multiprotocol Label Switching 多协议标记交换MSTP Multiple Spanning Tree Protocol 多生成树协议Service 服务质量ofQoS QualityVRRP Virtual Router Redundancy Protocol 虚拟路由器冗余协议目录1 概述 (3)2 S12500 IRF2的技术实现 (3)2.1 S12500 IRF2基本概念 (3)2.2 S12500 IRF2的形成 (4)2.3 S12500 IRF2数据转发 (5)3 S12500 IRF2的组网优点 (7)3.1 简化管理 (7)3.2 高性能 (7)3.3 高可靠性 (8)3.4 简化组网 (8)4 S12500 IRF2分裂和多Active检测 (9)4.1 设备故障 (9)4.2 多Active检测 (9)4.2.1 基于LACP的多Active检测 (9)4.2.2 基于BFD的多Active检测 (10)4.3 故障恢复 (10)5 典型组网应用 (11)5.1 扩展网络处理能力 (11)5.2 提供高可靠性 (12)1 概述IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）是H3C自主研发的软件虚拟化技术，它的核心思想是将多台设备通过IRF物理端口连接在一起，进行必要的配置后，虚拟化成一台“虚拟设备”，通过该“虚拟设备”来实现多台设备的协同工作、统一管理和不间断维护。

H3C UniServer R4900 G5技术白皮书目录1 概述 (1)1.1 产品特点 (2)1.1.1 更高的性能和安全特性 (2)1.1.2 更灵活的存储和更高的I/O性能 (2)1.1.3 直观、可配置的管理系统 (3)1.1.4 卓越的服务器体验 (3)1.1.5 更加的低碳环保 (3)1.1.6 定制化服务 (4)1.2 拓扑图 (4)2 机型介绍 (5)2.1 机箱外观介绍部件 (6)2.2 前面板 (8)2.2.1 前面板组件 (8)2.2.2 指示灯和按钮 (11)2.2.3 接口 (12)2.3 后面板 (12)2.3.1 后面板组件 (12)2.3.2 后面板指示灯 (13)2.3.3 接口 (14)2.4 主板 (14)2.4.1 主板布局 (15)2.4.2 系统维护开关 (16)2.4.3 DIMM插槽 (17)2.5 硬盘 (18)2.5.1 硬盘编号 (18)2.5.2 硬盘指示灯 (20)2.6 硬盘背板 (21)2.6.1 前置8SFF SAS/SATA硬盘背板 (21)2.6.2 前置8SFF UniBay硬盘背板 (22)2.6.3 前置8LFF SAS/SATA硬盘背板 (23)2.6.4 前置12LFF SAS/SATA硬盘背板 (23)2.6.5 前置12LFF UniBay硬盘背板（8SAS/SATA+4UniBay） (24)i2.6.6 前置12LFF UniBay硬盘背板（4SAS/SATA+8UniBay） (25)2.6.7 前置12LFF UniBay硬盘背板 (26)2.6.8 前置25SFF UniBay硬盘背板 (26)2.6.9 中置4LFF SAS/SATA硬盘背板 (27)2.6.10 中置4SFF UniBay硬盘背板 (28)2.6.11 后置2LFF SAS/SATA硬盘背板 (29)2.6.12 后置4LFF SAS/SATA硬盘背板 (29)2.6.13 后置2SFF SAS/SATA硬盘背板 (30)2.6.14 后置2SFF UniBay硬盘背板 (30)2.6.15 后置4SFF SAS/SATA硬盘背板 (31)2.6.16 后置4SFF UniBay硬盘背板 (32)2.6.17 后置2UniBay硬盘背板（适配OCP3.0转接模块） (32)2.7 Riser卡 (33)2.7.1 RC-1FHFL-R3-2U-G5 (33)2.7.2 RC-2FHFL-R3-2U-G5 (34)2.7.3 RC-2HHHL-R3-2U-G5 (35)2.7.4 RC-2HHHL-R4-2U-G5 (35)2.7.5 RC-3FHFL-2U-G5 (36)2.7.6 RC-3FHFL-2U-MH-G5 (37)2.7.7 RC-3FHFL-2U-SW-G5 (37)2.7.8 RC-5HHHL-R5-2U-G5 (39)2.7.9 RC-Redriver-2U-G5 (40)2.7.10 RC-Redriver-R3-2U-G5 (41)2.7.11 PCA-R4900-4GPU-G5（0231AFT5） (42)2.8 OCP转接模块 (43)2.9 LCD可触摸智能管理模块 (43)2.10 风扇 (44)2.11 PCIe slot (45)2.12 服务器B/D/F信息 (46)2.13 部件安装准则及相关信息 (46)2.13.1 CPU (46)2.13.2 内存 (47)2.13.3 SAS/SATA硬盘 (47)2.13.4 NVMe硬盘 (47)2.13.5 SATA M.2 SSD卡 (48)2.13.6 SD卡 (48)ii2.13.7 Riser卡与PCIe卡 (48)2.13.8 存储控制卡及掉电保护模块 (52)2.13.9 NVMe VROC模块 (54)2.13.10 网卡 (55)2.13.11 GPU卡 (55)2.13.12 电源模块 (55)2.13.13 风扇 (56)3 产品规格 (57)3.1 技术规格 (57)3.2 服务器工作温度宣称 (57)4 部件兼容性 (59)4.1 CPU (59)4.2 内存 (59)4.3 存储 (66)4.4 I/O扩展 (74)4.5 支持的操作系统和软件 (74)5 智能管理规格 (75)6 维保 (78)7 通过的认证 (79)iii1 概述H3C UniServer R4900 G5（下文简称R4900 G5）是新华三技术有限公司（下文简称H3C）基于Intel新一代Whitley平台所开发的新一代2U2路机架式服务器。

H3C SDN DFW技术白皮书Copyright © 2016 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 概述 (1)1.1 产生背景 (1)1.2 技术优点 (1)2 技术实现 (1)2.1 概念介绍 (1)2.1.1 状态 (1)2.1.2 分布式防火墙 (2)2.1.3 分布式防火墙策略 (2)2.1.4 规则 (2)2.1.5 分布式防火墙子策略 (2)2.1.6 IP地址集 (2)2.2 运行机制 (2)2.3 应用限制 (6)3 典型组网应用 (7)3.1 云数据中心部署DFW的典型应用 (7)1 概述1.1 产生背景传统的集中式防火墙一般用来做边界防护，但是云数据中心不仅仅要求边界保护，还要求对内网虚机之间的流量进行安全防护，如果这些流量全部绕行到集中式防火墙，随着网络的升级和扩容，这种方式就难以满足大容量、高性能、可扩展的要求和挑战，容易形成性能瓶颈。

因此，把安全功能嵌入数据中心内主机节点的分布式防火墙应运而生。

当前业界SDN控制器提供的嵌入式安全主要通过安全组的ACL功能实现。

ACL功能是通过在虚拟交换机上下发ACL规则来控制虚拟机的流量。

在企业的网络规划日渐复杂的情况下，这种方式已经不能满足企业的需求，主要表现为：∙仅检查当前报文的信息，不关心连接状态，安全性低。

∙部署方式复杂，不容易维护。

DFW（Distributed Firewall，分布式防火墙）是一种分布式状态监测防火墙，可记录并跟踪各种网络连接（如TCP连接等），并对各种类型的报文进行检查和处理。

1.2 技术优点DFW具有以下技术优点：∙为整个数据中心提供了无所不在的安全防护，让安全机制既具有广泛性，又具有精确度；虚机之间的流量无须因为安全防护绕行，可扩展性好。

SecCenter解决方案技术白皮书Hangzhou H3C Technology Co., Ltd.杭州华三通信技术有限公司All rights reserved版权所有侵权必究目录1 商业用户网络对于安全管理的需求 (5)2 安全管理技术方案比较 (6)3 H3C安全管理中心解决方案 (7)3.1 安全管理中心基本思路 (7)3.2 解决方案特点 (8)3.3 典型组网图 (9)4 系统主要技术特性分析 (10)4.1 不同种类的安全设备支持 (10)4.2 企业安全分析 (11)4.3 网络架构 (12)4.4 安全拓扑和可视化威胁 (12)4.5 监控&事件关联 (13)4.6 安全管理报告 (15)4.7 可升级日志管理 (15)4.8 搜索分析 (15)5 总结和展望 (16)6 参考文献 (16)7 附录 (16)Figure List 图目录图1 典型组网图 (10)图2 安全管理添加到网络和应用管理 (11)图3 SecCenter支持单独配置和分布式配置 (12)图4 基于拓扑的实时威胁可视化下拉菜单 (13)图5 监控仪表盘展示了一个实时的全部安全状态的一部分 (14)SecCenter解决方案技术白皮书关键词：SecCenter、安全管理、事件、日志、搜索摘要：本文档对于SecCenter安全管理中心的解决方案进行了介绍。

描述了用户对于安全管理中心的需求，各种方案的比较。

介绍了H3C推出解决方案的技术特点、组网图、主要技术分析等。

缩略语清单：1 商业用户网络对于安全管理的需求一个公司只是注重在物理上对网络安全的投资是远远不够的，即使安全防范再严密的网络，也会有可能有破坏性漏洞的产生。

据估计在世界范围内由攻击造成的经济损失已经由1997 年的33 亿美元上升到2003 年的120亿美元。

这个数字还在快速上升。

另外，为了满足政府规范要求，需要执行安全审计流程。

如果不能满足政府的规范要求，除了有可能被高额的罚款以外，还有可能触犯法律，面临刑事诉讼。

网吧行业技术白皮书随着Internet在全球的广泛推广，用户数量的迅速增加，Internet成为全球通信的热点。

我国作为信息产业的后起之秀，网络发展更是迅速。

基于国内网络的接入现状，利用网吧等公众场所上网者占着不小的比例，以一个网络普及场所身份出现的网吧或网络咖啡屋，凭借舒适宽松的上网环境和高速便捷的上网服务，吸引了越来越多网民的光顾，使得网民的数量呈现出高速增长的态势，网吧这种经营模式早已被广大用户所接受，各大城市的网吧得到了迅猛的发展，从最初的几台计算机，到现在几百台，甚至上千台计算机。

大大小小的网吧已遍及全国，无论是大中城市还是小城市直到很小的县城。

但同时，随着网吧的增多，行业之间的竞争也越来越激烈，为了在激烈的竞争中立足，网吧的成本控制、运行性能、管理维护都成为极其重要的因素，因此，如何设计和实现一个低成本、高性能、易管理的网吧网络解决方案显得尤为重要。

网吧常见问题1．频繁掉线导致客户流失：以下是某网吧老板赵先生的抱怨：“自从买了**厂家的设备，我的网吧就变得不太平了，每天都在提心吊胆中度过。

不忙的时候还好一点，电脑掉线了，跟大家打个招呼就过去了。

可一忙起来，如果电脑突然掉线，就骂声一片！我是开门做生意的，总希望客户越多越好，可现在老客户都走得差不多了！”相信网吧老板赵先生的情况很多网吧业主都经历过。

在早期，偶尔出现的延迟、掉线等现象，对于用户来说影响并不是十分显著。

但是随着实时在线网络游戏的流行，每一次掉线，对于玩家来说都是直接经济利益的损失（掉线，对于网络游戏来说，损失的是经验值、等级、装备等），有些损失甚至是不可弥补的，将导致直接的客户流失。

2．上网速度慢引起网民抱怨山西某网吧的业主张小姐最近非常烦恼“网吧内上网人数一旦超过80人，电脑就很难登陆QQ，即使上了速度也很慢，而且多台电脑打开网页都需要10秒钟！上不了网、没法聊QQ，还叫网吧吗？眼看以前的老顾客越来越少了，急死人了！”张小姐的遭遇也是非常的普遍。

数据中心解决方案技术白皮书Huawei-3Com Technologies Co., Ltd. 华为3Com技术有限公司All rights reserved 版权所有 侵权必究Catalog 目 录1 技术应用背景 ......................................................................................................................... 2 2 技术特色 ................................................................................................................................ 3 3 技术实现方案 ......................................................................................................................... 5 3.1 高性能.............................................................................................................................. 5 3.2 高可靠.............................................................................................................................. 5 3.2.1 设备的可靠 ................................................................................................................. 6 3.2.2 网络的可靠 ................................................................................................................. 6 3.3 高安全............................................................................................................................ 16 3.3.1 基于端口隔离方式的服务器接入实现服务器的二层隔离,保障数据安全..................... 17 3.3.2 基于Root/BPDU Guard方式的二层连接保护保证STP/RSTP稳定,防止攻击,保障可靠 的二层连接..................................................................................................................... 18 3.3.3 端口镜像将数据流进行端口的镜像，可以根据需要对报文分析、统计...................... 20 3.3.4 基于用户接入访问控制AAA，Tacacs+，SSH提高网络的安全性 ............................. 22 3.4 高扩充............................................................................................................................ 23 3.5 高管理............................................................................................................................ 23 4 典型应用组网 ....................................................................................................................... 24Figure List 图目录图1 网络模型决定数据中心成为网络核心 ..................................................................................... 2 图2 数据中心系统结构 ................................................................................................................. 3 图3 数据中心解决方案实现 .......................................................................................................... 5 图4 高性能的网络设计 ................................................................................................................. 5 图5 端口捆绑实现......................................................................................................................... 7 图6 聚合技术层次结构 ................................................................................................................. 7 图7 聚合子层模块......................................................................................................................... 8 图8 MSTP实现 ............................................................................................................................. 9 图9 VRRP实现 ........................................................................................................................... 12 图10 Load Balance实现四、七层负载均衡................................................................................. 13 图11 IRF实现 ............................................................................................................................. 15 图12 Isolated VLAN方式实现二层安全隔离 ............................................................................... 17 图13 Root Guard/BPDU Guard方式保护二层STP稳定 .............................................................. 18 图14 (远程)端口镜像实现 ........................................................................................................... 20 图15 远程端口镜像功能 ............................................................................................................. 21 图16 基于用户接入访问控制 ...................................................................................................... 22 图17 以太网数据中心典型组网................................................................................................... 24数据中心解决方案技术白皮书关键词：以太网，数据中心 摘 要：本文对以太网数据中心解决方案中的关键技术进行介绍，包括实现数据中心高性能、高 可靠、高安全、高可扩充以及高管理性的技术实现方案。

H3C云安全服务技术白皮书Copyright © 2016 杭州H3C技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 概述 (1)2 云安全架构与模型 (1)2.1 云数据中心安全访问控制需求 (1)2.2 云安全总体架构 (2)2.3 基于租户的安全隔离 (3)2.4 安全架构的两种模型 (4)3 嵌入式安全 (5)3.1 安全组ACL功能 (5)3.2 分布式状态防火墙功能 (6)4 云服务链 (6)5 基于SDN和服务链的云安全组网方案 (8)5.1 VSR做网关的服务链方案 (8)5.2 物理交换机做网关的服务链方案 (9)5.3 服务链和第三方安全设备对接 (10)5.4 服务链支持东西向和南北向安全的总结 (12)6 安全资源池化 (12)6.1 网络服务资源虚拟化和池化 (12)6.2 多资源池支持 (14)6.3 安全资源池之大规模租户技术 (15)6.3.1 硬件资源池支持大规模租户 (15)6.3.2 软件资源池支持大规模租户 (16)6.4 云安全微分段服务 (17)6.5 安全资源池之高可靠性技术 (17)7 多层次安全防护体系 (18)7.1 异构设备组成的统一安全资源池 (18)7.2 多层次的安全体系 (19)8 安全功能通过云服务部署 (19)9 H3C云安全优势总结 (21)1 概述云计算技术的发展，带来了新一轮的IT技术变革，但同时也给网络与业务带来巨大的挑战。

网络服务模式已经从传统的面向连接转向面向应用，传统的安全部署模式在管理性、伸缩性、业务快速升级等方面已经无法跟上步伐，需要考虑建设灵活可靠，自动化快速部署和资源弹性可扩展的新安全防护体系。

同时，按照云计算等保规范《信息系统安全等级保护第二分册云计算安全要求》草案7.1.2网络安全章节的描述，对云网络安全也有下述要求：•保证云平台管理流量与云租户业务流量分离；•根据云租户的业务需求自定义安全访问路径；•在虚拟网络边界部署访问控制设备，并设置访问控制规则；•依据安全策略控制虚拟机间的访问。

H3C IPS技术白皮书杭州华三通信技术有限公司目录1.概述 (4)1.1.相关术语 (4)1.1.1.段(segment) (4)1.2.网络安全现状 (4)1.3.基于网络的攻击与检测技术 (6)2.威胁的识别 (6)2.1.基于滥用误用的带宽管理技术 (6)2.2.在应用中识别入侵威胁 (8)2.3.协议异常检测 (8)2.4.拒绝服务检测技术 (9)2.5.基于流状态特征检测技术 (11)3.安全响应 (11)3.1.允许 (11)3.2.阻断 (11)3.3.通知 (12)3.4.流量控制 (12)4.IPS 安全策略 (12)5.安全更新 (13)6.安全审计 (13)6.1.日志内容 (13)6.1.1.操作日志 (13)6.1.2.系统日志 (14)6.1.3.攻击日志 (14)6.2.日志的查询 (14)6.3.日志的输出 (14)7.典型组网案例 (14)7.1.企业出口部署 (14)7.2.保护IDC (15)7.3.旁路模式部署 (16)8.总结和展望 (16)1. 概述1.1. 相关术语1.1.1. 段(segment)段是一个物理组网下对经过IPS设备数据的一个逻辑划分，通常是一对或者多对接口，或者包含VLAN ID的接口数据流。

IPS相关的业务都基于Segment进行配置。

1.2. 网络安全现状融入全球化的Internet是企业网络发展的必然趋势，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入Internet，提供远程接入服务供业务伙伴和出差员工访问等，企业网络边界的淡化，使得企业所面临的威胁的增多了，只要一个访问入口防护不完整，则“黑客”将可以入侵企业，获取或者破坏数据。

随着全球化网络步伐的加快，威胁的涌现和传播速度也越来越快，如著名的SQL Slammer，在爆发时，每8.5秒感染范围就扩展一倍，在10分钟内感染了全球90％有漏洞的机器；威胁和应用也越来越息息相关，如下图体现了这个趋势：图1-1 威胁与应用息息相关同时随着网络越来越普及，攻击工具也越来越成熟、自动化程度变高以及趋于平民化，使用者无需了解太多的知识就可以完成一次攻击，如下图显示了这个趋势：图1-2 攻击正变的越来越简单目前Internet面临的安全威胁从方法上有如下几种：►漏洞利用，比如针对软件操作系统对内存操作的缺陷，采用缓冲区溢出方法，以获得高操作权限运行攻击代码；如著名的微软MS05-047 Windows UMPNPMGR wsprintfW 栈溢出漏洞（即Windows即插即用服务的缓存区存在的溢出漏洞）；►欺骗攻击，如IP地址欺骗等，其利用TCP/IP协议建立的未认证连接的缺陷进行源IP地址的伪造，从而达到访问关键信息的目的；►蠕虫/病毒，蠕虫/病毒是目前网络上最为常见的威胁，其具有传播快覆盖广的特点，如红色代码病毒(Code Red)，曾经在12小时之内，覆盖全部的Internet网络，给全球带来了极大的危害；通常蠕虫/病毒通过利用现有系统软件的一些漏洞，从而达到传播的目的；►木马，通常在系统中会秘密打开一个访问程序，以绕过系统的安全策略，从而达到获取信息的目的；►拒绝服务攻击，通常称之为DoS/DDoS，其通过单台或者多台设备作为攻击的发起者，对一个特定的目标进行DoS攻击，占用大量目标机的资源，让目标机无法为外界提供服务，从而达到破坏的目的。