www.h3c.com 7
产品定位
Layer 2 Layer 3- Layer 3 Metro
10G
EG
EF
E
H3C S9500
H3C S7500
H3C S5600H3C S5100-26C
H3C S5600-PWR
Quidway S3552I
Quidway S3528
H3C S3600-EI-PWR
H3C S3600-EIH3C S3600-SI
H3C S5100-50C
H3C S5100-SI
Quidway S3000-EI
Quidway S3050C
H3C S3100-SI
Quidway S2000-EI
H3C S9500
H3C S7502M
S5500-SI
H3C S5600
H3C S5120-SI
Upgrade
www.h3c.com 8
S5120-SI与S5100-SI比较
S5120-SI S5100-SI S5100-EI
GE端口数 20/28/52 8/16/24/48 8/16/24/48
10GE端口数 NA NA 2
IRF NA NA NA
PoE NA NA 支持
MAC地址 8K 8K 16K
虚接口 8 1 8
ARP表 256 256 256
路由表 32 16 32
RIP NA NA NA
ACL 64 32 1024
软件平台 ComwareV5 ComwareV3 ComwareV3
www.h3c.com 9
友商产品对比
H3C S5120-SI HP 2810 HP 2800
固定端口 16 GE + 4 SFP
24 GE + 4 SFP
48 GE + 4 SFP
24 GE + 4 SFP(Combo)
48 GE + 4 SFP(Combo)
24 GE + 4 SFP(Combo)
48 GE + 4 SFP(Combo)
MAC 8K 8K 16K
VLAN 4K 256 256
VLAN interface 8 1 8?
静态路由 32 ? 16
Jumbo 10K 9K 9K
Tacacs+ NA 支持 支持
Queue per port 4 4 4
sFlow NA 支持 支持
LLDP 支持 支持 支持
802.1X 支持 支持 支持
MAC 认证 NA 支持 支持
Web 认证 NA 支持 支持
对于纯软件的特性,后续根据需求情况会考虑增加
www.h3c.com 10
产品型号及形态
H3C S5120-SI系列产品型号及形态
H3C S5120-20P-SI
16千兆电口+4 SFP端口
H3C S5120-28P-SI
24千兆电口+4 SFP端口
H3C S5120-52P-SI
48千兆电口+4 SFP端口
www.h3c.com 11
面板指示灯
指示灯面板标示
状态 含义
电源指示灯 Power
绿色常亮 交换机已经正常启动
绿色闪烁(1HZ) 系统正在上电自检或者下载软件
绿色闪烁(3HZ)系统上电自检失败或检测到其他严重故障
灭 交换机断电
指示灯状态 含义
绿色
亮 端口1000Mbps连接
闪烁(每个数据包闪烁30ms)端口以1000Mbps速率接收或者发送数据
黄色
亮 端口10/100Mbps连接
闪烁(每个数据包闪烁30ms)端口以10/100Mbps速率接收或者发送数据
指示灯状态 含义
绿色亮 端口1000Mbps连接
闪烁(每个数据包闪烁30ms) 端口以1000Mbps速率接收数据
1000Base-T端口指示灯:
SFP端口指示灯:
www.h3c.com 14
硬件体系结构特点
硬件设计特点
超级紧凑,高千兆端口密度
提供最多48千兆电接口和4 千兆SFP光口
20P和28P宽度仅为160mm
52P宽度仅为260mm
高性能设计,极速体验
所有端口全线速
52P跨芯片线速转发
低功耗设计,绿色节能
65nm ASIC,业界领先,超低功耗
1000Base-T端口Link Down时自动切换至低功耗状态
根据网线长度自动调整输出功率
优化设计,性价比突出
采用多项技术(单板设计,器件选择),提升性价比
为用户节省成本,引领千兆到桌面新潮流
www.h3c.com 16
软件特性概述
软件设计特点
基于Comware5全新平台,合力智慧,混血优势 VRP 八年研发心血
3Com 技术再上层楼
App,bootrom,web三合一,减少配套问题
业务多样,满足桌面接入需求 路由协议:静态路由
组播能力:支持IGMP SnoopingV3
基于Radius的用户认证:802.1x
Voice VLAN
改进的web界面,提升用户体验
www.h3c.com 17
端口特性介绍
基本特性
Port Types: 1000Base-T, SFP
Speed/Duplex auto-negotiation
Auto MDI/MDIX
Storm constrain (BC, MC, UC)
端口聚合
支持端口总数/2个聚合组
Each group supports max to 8 ports
Support Manual & LACP 聚合模式
端口隔离
Port isolation (Protected Port)
绿色节能
省电模式:端口不link时进入省电模式;用户可配特定时间段关
闭端口;
www.h3c.com 18
端口特性注意事项
广播风暴抑制
端口模式下的广播、组播、未知单播的抑制值虽然可以分别配置,但是在芯片中三种报
文抑制是共享同一个报文计数器,因此同时配置抑制多于一种报文,则最后配置的抑制
值生效,且所有报文的抑制总量为所配置的抑制值;
芯片支持PPS和BPS两种限速模式,因此不需要在设置时按照某一个报文长度进行转换,
也避免了由此带来的误差;
广播、组播、未知单播的抑制并没有改变端口的瞬时速率,仅仅是利用某个时间片不转
发报文的原理来实现抑制;
当端口起广播、组播、未知单播的抑制,同时起了端口流量限速, 则风暴抑制先于端口限
速生效。
端口聚合
对IP单播报文:根据源、目的ip和源、目的mac计算负载分担;
对非IP单播报文:根据源、目的mac计算负载分担;
对组播、广播和未知单播报文除了上述字段外,还使用报文的VLAN ID来计算。
www.h3c.com 19
L2特性介绍
Mac address management
8K Mac addresses /1K static Mac addresses
Mac black hole
Mac learnt limitation
VLAN
4094 802.1q VLANs
Auto VLAN assignment via 802.1x
Voice VLAN
Spanning Tree
STP/RSTP/MSTP
BPDU/Root/Loop/TC-BPDU Protection
www.h3c.com 20
L2+特性介绍
L3 interface:
8 VLAN interfaces
ARP:
256 ARP entries/ 64 static ARP entries
Static Routing
32 static routing
路由实现机制
通过ACL来实现路由
与S5100-EI类似
www.h3c.com 21
组播使用注意事项
IGMP Snooping
支持IGMP Snooping V3
当一个VLAN使能IGMP SNOOPING,如果没有成
员加入任何组播组,上行的组播数据将在该VLAN内
泛滥,解决的办法就是开启VLAN的未知组播丢弃;
www.h3c.com 22
安全特性介绍
HTTPs
Encryption
AES/DES/3DES
DSA/RSA
PKI Certificate
SSHv2:
SSHv2 Server/Client
SFTP Server/Client
User authentication
802.1x
Local Database
Radius
Packet Filtering
L2L3/L4
Time-based
64 user configured ACL entries
Port based ACL
Others
DoS protection
Password Recovery
DHCP Snooping Trust
Port Mirroring
www.h3c.com 23
QoS特性介绍
Egress Queue:
4 queues
Scheduler : SP, WRR, SP + WRR
Priority mapping/remarking
802.1p
DSCP
Traffic classification
L2(Link)/ L3/L4(Advanced)
Time-based
Rate limiting
Port Rate Limitation
Ingress/Egress
64Kbps granularity
L4 port range check
www.h3c.com 24
管理特性介绍
HGMP V2
Web management:
Support multiple browser: IE/Firefox
Rich management function
Basic port management (enable/disable, speed, flow control, etc)
Layer 2
— VLAN Configuration
— Voice VLAN Configuration
— Spanning Tree Configuration
— Link Aggregation Configuration
— IGMP Snooping
— Port Mirroring
Management Configuration
— Software Agent Upgrade
— Network Login Configuration
— User management (passwords, etc)
— Device Configuration Save & Recovery
— Administration: Initialize/Reboot/Save Configuration
www.h3c.com 30
芯片处理流程
Port MAC Rx
Header Decode Engine
Ingress Policy Engine
Bridge Engine
Ingress Policing Engine
Pre-Egress Engine
Router Engine
Ingress PipelineEgress Pipeline
Egress Filtering &
L2 MC Replication
Congestion Avoidance &
Resolution
Queue & Port
Shaping/Scheduling
Header Alteration
Ports MAC Tx
1)ACL 查找在Bridge处理之前;2)路由查找在Ingress Policy阶段进行,但是否路由要在Router阶段才做出决定
www.h3c.com 31
单播路由机制
在Bridge之前进行路由查找,将下一跳信息保存起来,由后面的Router
Engine使用。
如果报文的DMAC是路由MAC,则进行标识。只有这样的报文才可能进入Router Engine。
•进入Router Engine的报文还需要满足路由触发条件,例如是IPv4报文,报文所属VLAN使能了IPv4路由等。•对满足触发条件的报文作异常检查,例如TTL超时等。•命令解析(到本机虚接口还是转发下一跳)及获取转发需要的目的MAC信息。
www.h3c.com 32
ACL查找机制
报文进入端口后,要进行两次查找(search slot 0/1)
路由ACL
Slot 0 Slot 1
防攻击ACL
Packet-filter
MQC
各类协议下发ACL
•Slot 1存放路由专用ACL,路由按照目的IP
的掩码长度顺序排列。•目前Slot1中给路由ACL预留了资源,即使
路由很少,这些资源也不能用于普通ACL。
•Slot 0存放通常所指的ACL。防攻击ACL在最前
面,之后是用户配置的packet-filter,MQC规则,
再往后是系统下发的各类协议ACL。•用户ACL包括packet-
filter,MQC及802.1X/EAD下发的ACL,
用户ACL最多下发64条。两个slot的搜索顺序都是从上到下,匹配一次即停止。
www.h3c.com 33
Buffer管理简介
•单芯片4Mbit包缓存,分为2K个buffer。•Buffer相关的resource limit:
•(1)全局入队列buffer总数:若报文被转发到多个端口(多播或广播),会计算多次,因此这个全局入队列buffer总数要比2K大。•(2)每端口入队列buffer总数:为该端口所有队列中报文buffer的总和。•(3)共享入队列buffer总数:在所有端口之间共享。
•报文转发至出端口时上述三个resource limit的作用如下:•如果当前所有端口的入队列buffer之和大于 (1),则丢弃报文;•如果目的端口当前所有队列内待转发报文占用的buffer之和小于为该端口设置的(2);则将报文入队列。否则转下;•如果此时(3)还有剩余,则占用共享buffer,将报文入队列,否则丢弃。
www.h3c.com 34
1000M SFP端口注意事项
不支持100M SFP模块
只支持强制方式,不支持自协商:由于5120/2900
的光口是工作在10EG的GE模式,光口实际工作模
式为强制千兆全双工,因此对端也必须强制
由于芯片原因,目前仅实现了千兆光口接收报文时
的指示灯闪烁功能,因此当千兆光口只有发送而无
接收报文时,端口指示灯无闪烁。
www.h3c.com 35
队列调度注意事项
硬件支持4个端口出队列,软件在队列调度部分考虑了产品差异,允许定制,
但在优先级映射部分均按照8个本地优先级(队列)设置。因此在本地优先级
和出队列之间有下列映射关系:
LP 0,1映射到队列0;
LP 2,3映射到队列1;
LP 4,5映射到队列2;
LP 6,7映射到队列3。
[3Com Baseline Switch-GigabitEthernet1/0/1]qos wrr ?
INTEGER<0-3> Queue sequence-number
[3Com Baseline Switch-GigabitEthernet1/0/20]dis qos map-table dot1p-lp
MAP-TABLE NAME: dot1p-lp TYPE: pre-define
IMPORT : EXPORT
0 : 2
1 : 0
2 : 1
3 : 3
4 : 4
5 : 5
6 : 6
7 : 7
www.h3c.com 36
常见故障定位——收发报文(1)
<H3C>debugging ni display ? //根据需要,更改打印报文的具体内容
all All packet
broadcast Broadcast packet
chip Dev
cos COS
dest_mac Dest packet mac
dip Dest IP
etype Packet ethernet type
iptype Packet IP type
multicast Multicast packet
port Port
reason Receive packet reason
receive Receive packet
send Send packet
sip Source IP
source_mac Source packet mac
switchflag display switch flag
unicast Unicast packet
vlan VLAN
<H3C>[undo]debugging ni pkt //打开/关闭CPU收发报文打印输出
www.h3c.com 37
常见故障定位——收发报文(2)
<H3C>deb ni disp switchflag //显示当前的报文输出设置
The switchflag of the packet printing
Broadcast : Yes
Multicast : Yes
Unicast : Yes
Receive : Yes
Send : No
Vp : No
Dest mac : All
Source mac : All
VlanID : All
DevID : All
PortNumber : All
EtherType : All
DestIP : All
SourceIP : 1.1.1.2(I)
IPType : 0x80(E)
Reason : All
Cos : All
ALL:No limitation (I):Include {E}:Exclude
www.h3c.com 38
常见故障定位——QACL实现
QACL的实现-硬件资源 S5120-SI仅支持入方向ACL,硬件上通过TCAM实现。ACL处理模
块(习惯上称为Policy Engine)位于Bridge engine之前,因此被
ACL过滤或者重定向的报文(不经过Bridge处理)不会学习MAC。
报文在Policy engine中要进行两次查找(lookup),每次查找特定
的一组ACL规则。
两次查找中的一个预留给路由ACL使用,另外一个为协议,用户配
置的ACL。
对于用户配置的ACL, packet-filter排在最前面,然后是MQC下发
的ACL,系统下发的协议ACL在最后。
对于用户下发的同一类规则,例如都是MQC,则先下发先生效。
www.h3c.com 39
常见故障定位——查看底层QACL配置
[52P-hidecmd]_disp drv qacl ?
global-info QACL global info
//显示全局ACL资源信息,包括全局及VLAN ACL
pceinfo display QACL policy information
pcl-info display QACL pcl information
port-info display QACL port information
//显示端口的QACL信息,包括:Ingress,Egress信息,各协议下发的规则,
端口相关Car规则,绑定TC信息,端口ACL资源分类统计
summary-info QACL summary info
//显示设备ACL资源使用情况,包括全局&VLAN及端口ACL资源
tcam display TCAM debugging information
tcinfo display QACL TC information
templateinfo template information
蓝色的选项比较常用,且比通用的disp acl resource查看的信息更多