华为FusionSphere 3.1
分布式虚拟交换机技术白皮书
文档版本01
发布日期2014-02-215
版权所有? 华为技术有限公司2013。保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:深圳市龙岗区坂田华为总部办公楼邮编:518129
网址:https://www.doczj.com/doc/bf15969129.html,
目录
1 分布式虚拟交换机概述 (5)
1.1 产生背景 (5)
1.2 虚拟交换现状 (5)
1.2.1 基于服务器CPU实现虚拟交换 (6)
1.2.2 物理网卡实现虚拟交换 (6)
1.2.3 .交换机实现虚拟交换 (7)
2 华为方案简介 (9)
2.1 方案是什么 (9)
2.2 方案架构 (11)
2.3 方案特点 (11)
3 虚拟交换管理 (12)
3.1 主机 (12)
3.2 分布式虚拟交换机 (12)
3.3 端口组 (12)
4 虚拟交换特性 (13)
4.1 物理端口/聚合 (13)
4.2 虚拟交换 (13)
4.3 流量整形 (13)
4.3.1 基于网络平面的流量整形 (14)
4.3.2 基于虚拟网卡的流量整形 (14)
4.4 安全 (15)
4.4.1 二层网络安全策略 (15)
4.4.2 广播报文抑制 (15)
4.4.3 安全组 (16)
4.5 虚拟机网络直通 (16)
4.6 Trunk端口 (17)
4.7 端口镜像 (17)
4.8 VxLAN (17)
4.9 端口管理 (17)
5 虚拟交换应用场景 (19)
5.1 集中虚拟网络管理 (19)
5.2 虚拟网络流量统计功能 (19)
5.3 分布式虚拟端口组 (19)
5.4 分布式虚拟上行链路 (19)
5.5 网络隔离 (19)
5.6 网络迁移 (20)
5.7 网络安全 (20)
5.8 端口镜像 (20)
缩略语清单:
1 分布式虚拟交换机概述1.1 产生背景
图表1网络虚拟化的发展
计算虚拟化驱动网络虚拟化的发展。传统数据中心,一台服务器运行一个操作系统,通
过物理网线与交换机相连,由交换机实现不同的主机的交换、流量控制、安全控制等功
能。在计算虚拟化后,一台服务器虚拟化成多台的虚拟的主机,每个虚拟主机有自己的
CPU、内存和网卡。同一服务器上的不同主机之间既需要维持原有的通信,同时由于共
享物理设备,引出了新的安全隔离、以及对流控的更高的需求。
1.2 虚拟交换现状
虚拟交换分为基于服务器来实现虚拟二层交换的功能和基于交换机实现虚拟交换功能
两类实现方式。
其中服务器实现虚拟交换又分为服务器CPU实现虚拟交换和在服务器网卡上实现虚拟
交换的两种方式。
总结来说,虚拟交换的实现形式一般分为三种:1)在服务器CPU上实现虚拟交换;2)
在服务器网卡上实现虚拟交换;3)在物理交换机上实现虚拟交换。
1.2.1 基于服务器CPU实现虚拟交换
在服务器CPU中实现虚拟交换是目前较为成熟且产品化较好的技术方案。在服务器的
CPU中实现完整的虚拟交换的功能,虚拟机的虚拟网卡对应虚拟交换的一个虚拟端口,
服务器的物理网卡作为虚拟交换的上行链路端口。
虚拟机的报文接收流程如下:虚拟交换机首先从虚拟端口/物理端口接收以太网报文,之
后根据虚拟机MAC、VLAN,查找二层转发表,找到对应的虚拟端口/物理端口,然后
按照具体的端口,转发报文。
该方案的特点:
1.服务器内部的通信性能:同一服务器上的虚拟机间报文转发性能好,时延低。虚拟
交换机实现虚拟机之间报文的二层软件转发,报文不出服务器,转发路径短,性
能高;
2.跨服务器通信性能:跨服务器,需要经物理交换机进行转发,相比物理交换机实现
虚拟交换,由于虚拟交换模块的消耗,性能稍低于物理交换机实现虚拟交换;
3.扩展灵活:服务器实现虚拟交换,由于采用纯软件实现,相比采用L3芯片的物理
交换机,功能扩展灵活、快速,可以更好的满足云计算的网络需求扩展;
4.规格容量大:服务器内存大,相比物理交换机,在L2交换容量、ACL容量等,远
大于物理交换机。
1.2.2 物理网卡实现虚拟交换
物理网卡实现虚拟交换设计思想是将虚拟交换功能从服务器的CPU移植到服务器物理
网卡,通过网卡硬件改善虚拟交换机占用CPU资源而影响虚拟机性能的问题,同时借
助物理网卡的直通的能力,加速虚拟交换的性能。
传统的SR-IOV商业网卡,可以支持简单的虚拟交换的功能,但是由于自身设计以及缺
乏与Hypervisor的配合,传统的商业网卡难以支持热迁移等虚拟化的特性,同时由于功
能简单,不具备直接作为虚拟交换的商用条件。
图表2基于SR-IOV的虚拟交换
基于物理网卡实现虚拟交换的特点:
1.相对于虚拟交换机(软件VEB),减少了CPU占用率,采用网卡实现交换的功能,
不再需要CPU参与虚拟交换处理;
2.对于物理网卡实现虚拟直通功能时,由于实现了虚拟机对PCIe设备的直接访问和
操作,显著降低了从虚拟机到物理网卡的报文处理延时;
3.传统商业网卡无法支持热迁移、同时功能简单,无法支持灵活的安全隔离等特性,
且功能扩展困难。
华为自研iNIC智能网卡硬件,实现了虚拟机虚拟网卡与iNIC智能网卡虚拟的虚拟队列
直接相连,同时支持热迁移、安全隔离功能。
1.2.3 ·交换机实现虚拟交换
802.1Qbg VEPA
VEPA的实现是基于现在的IEEE标准,不必为报文增加新的二层标签,只要对VMM
软件和交换机的软件升级就可支持VEPA的“发卡弯”转发。
与VEB方案类似,VEPA方案可以采用纯软件方式实现,也能够通过支持SR-IOV的网
卡实现硬件VEPA。其实,只要是VEB能安装和部署的地方,就都能用VEPA来实现,
但VEB与VEPA各有所长,并不存在替代关系。VEP A的优点在于,完全基于IEEE标
准,没有专用的报文格式。而且容易实现,通常只需要对网卡驱动、VMM桥模块和外
部交换机的软件做很小的改动,从而实现低成本方案目标。
802.1Qbh Bridge Port Extension
端口扩展设备是一种功能有限的物理交换机,通常作为一个上行物理交换机的线卡使用。
端口扩展技术需要为以太网报文增加TAG,而端口扩展设备借助报文TAG中的信息,
将端口扩展设备上的物理端口映射成上行物理交换机上的一个虚拟端口,并且使用TAG
中的信息来实现报文转发和策略控制。
VN-TAG为报文定义了虚拟机源和目的端口,并且标明了报文的广播域。借助支持
VN-TAG技术的VSwitch和网卡,也能够实现类似EVB多通道的方案,但是VN-TAG 技术有一些缺点:
VN-TAG是一种新提出的标签格式,没有沿用现有的标准(如IEEE 802.1Q、IEEE 802.1ad、IEEE 802.1X tags )。
必须要改变交换机和网卡的硬件,而不能只是简单的对现有的网络设备软件进行升级。也就是说,VN-TAG的使用需要部署支持VN-TAG的新网络产品(网卡、交换机、软件)。
最初IEEE 802.1工作组曾考虑将“端口扩展”作为EVB标准的一部分,但是最终决定将端口扩展发展成一个独立的标准,即802.1 Bridge Port Extension。Cisco曾向IEEE 802.1Q 工作组建议,将其私有的VN-TAG技术作为实现EVB的一种可选方案,但工作组最终没有接纳这个提案。Cisco最近修改了VN-TAG技术草案,修改后的草案称为M-TAG,该方案的主要目标仍是为了实现端口扩展设备与上行交换机之间的通信标准化。
2 华为方案简介
2.1 方案是什么
华为虚拟交换提供集中的虚拟交换的管理功能。集中的管理提供统一的Portal,进行配
置管理,简化用户的管理。
图表 3 虚拟交换场景
通过分布在各物理服务器的虚拟交换,提供虚拟机的二层通信、隔离、QoS的能力。
分布式交换机模型基本特征:
1.虚拟化管理员可以配置多个分布式交换机,每个分布式交换机可以覆盖集群中的多
个CNA节点;
2.虚拟化管理员或业务系统(例如VDI/IDC),可选择管理/存储/业务使用的不同物理
接口;
3.每个分布式交换机具有多个分布式的虚拟端口VSP,每个VSP具有各自的属性(速
率,统计,ACL),为了管理方便采用Port Group组管理相同属性的一组端口,相
同端口组的VLAN相同;
4.每个分布式交换机可以配置一个UpLink端口或者一个Uplink端口聚合组,用于
VM对外的通信。Uplink端口聚合组可以包含多个物理端口,端口聚合组的可以配置负载均衡策略;
5.每个VM可以具有多个vNIC接口,vNIC可以和交换机的VSP一一对接;
6.虚拟化管理员或业务系统可根据业务需求,选择在一个集群中允许进行2层迁移的
服务器创建虚拟二层网络,设置该网络使用的Subnet或VLAN信息;
图表 4 虚拟交换模型
虚拟化管理员可通过定义PortGroup 属性(安全/QoS)简化对虚拟机端口属性的设置;设置PortGroup属性,不影响虚拟机正常工作;
QOS端口组:端口组是网络属性相同的一组端口的属性集合。管理员可以通过配置端口组属性(带宽QOSQOS、2层安全属性、VLAN等)简化对虚拟机端口属性的设置。设置端口组属性,不影响虚拟机正常工作;
上行链路: 分布式交换机关联的服务器物理网口;管理员可以查询上行链路的名称、速率、模式、状态等信息;
上行链路聚合: 分布式交换机关联的服务器绑定网口,绑定网口可以包含多个物理网口,这些物理网口可以配置主备或负载均衡策略。
2.2 方案架构
图表 5 虚拟交换架构
如上图所示,华为的分布式虚拟交换支持基于开源Open vSwitch的纯软件的虚拟交换的
功能,同时提供支持完整虚拟交换卸载的智能网卡的虚拟交换。开源Open vSwitch与智
能网卡的虚拟交换提供的功能完全一致,虚拟交换管理通过不同的插件管理Open
vSwitch和智能网卡。
2.3 方案特点
1.集中的管理:统一Portal和集中的管理,简化用户的管理和配置;
2.开源Open vSwitch:集成开源Open vSwitch,充分利用和继承了开源社区虚拟交换
的能力;
3.智能网卡:采用智能网卡提供虚拟交换能力的同时,提供虚拟机网络直通的能力,
提升虚拟机网络性能和降低CPU消耗。同时通过虚拟化软件和自研智能网卡的配
合,提供了直通和虚拟机热迁移以及虚拟交换完整特性的兼容;
4.提供丰富的虚拟交换的二层特性,包括交换、QoSQoS、安全隔离等。
3 虚拟交换管理
3.1 主机
主机是使用虚拟化软件(FusionCompute)运行虚拟机的计算机。
主机是一台真正的物理服务器。
主机提供虚拟机使用的CPU和内存资源,并使虚拟机能够访问网络。
3.2 分布式虚拟交换机
分布式虚拟交换机是管理多台主机上的虚拟交换机(基于软件的虚拟交换机或智能网卡
虚拟交换机)的虚拟网络管理方式,包括对主机的物理端口和虚拟机虚拟端口的管理。
分布式虚拟机交换机可以保证虚拟机在主机之间迁移时网络配置的一致性。
3.3 端口组
端口组是分布式虚拟交换机(DVS)中虚拟端口的集合。端口组主要是为了方便用户同时
对端口组中的多个端口进行配置,以减少重复配置工作。连接在同一端口组的虚拟机网
卡,具有相同的网络属性。如:带宽限速、优先级、VLAN、DHCP隔离、IP和MAC
绑定等。
4 虚拟交换特性
4.1 物理端口/聚合
物理端口是指主机的物理网口。
物理端口聚合是指将多个同类属性的物理端口进行聚合操作,通过聚合策略提高端口的
可靠性或者端口的带宽。
当前华为支持的普通网卡聚合策略有:主备模式、基于源目的MAC地址的负荷分担和
轮询模式。支持的智能网卡(iNIC) 聚合策略有:主备模式、基于源MAC地址的负荷分
担、基于目的MAC地址的负荷分担、基于源IP地址的负荷分担和基于目的IP地址的
负荷分担。
4.2 虚拟交换
华为虚拟交换机提供两种虚拟交换模式:1)前后端模式,2)VMDq直通模式。
前后端口模式下,虚拟机有前后端两个虚拟网卡设备,其中,前端网卡连接在虚拟交换
机的虚端口上。虚拟机网络数据包通过环形缓冲区和事件通道在前后端网卡之间传输,
并最终通过前端网卡连接的虚拟交换机实现转发。
VMDq:Virtual Machine Device Queue,虚拟机设备队列,Intel的虚拟化技术。通过网
卡对虚拟交换进行硬件加速,提升网络I/O性能。
VMDq直通模式的使用依赖华为自研iNIC智能网卡硬件。该模式下,虚拟机虚拟网卡
与iNIC智能网卡虚拟的虚拟队列直接相连,网络数据包的收发直接穿越Hypervisor,免
除报文绕行Domain0带来的性能开销和瓶颈。该模式与内存超分配中的内存交换机制冲
突,和内存超分配不能同时使用。
4.3 流量整形
流量整形提供发送方向的带宽流量整形能力,包含二个部分:1.基于网络平面的流量整
形;2.基于虚拟网卡的流量整形。
4.3.1 基于网络平面的流量整形
Mgr: Management,管理平面
VM: Virtual Machine, 虚拟机
iSCSI:Internet Small Computer System Interface,存储平面
图表 6 流量整形
提供基于网络平面的带宽控制功能,管理平面、存储平面和业务平面基于物理的带宽能
力,分配一定配额的带宽,保证各个平面的流量拥塞不影响到其它平面。可配的参数有:
平均带宽、峰值带宽、突发流量。
4.3.2 基于虚拟网卡的流量整形
提供基于虚拟网卡的平均带宽、峰值带宽、突发流量,带宽优先级控制能力,保证虚拟
机的网络通信质量,同时,避免不同虚拟机之间的拥塞互相影响。当管理员需要限制某
一虚拟机可占用的带宽的上限时,可通过设置虚拟机网卡的上限带宽来实现。当管理员
需要拥塞情况下,对于不同的虚拟机有不同的带宽抢占能力时,可通过配置其带宽优先
级来实现,使优先级高的虚拟机抢到更多的带宽。
4.4 安全
4.4.1 二层网络安全策略
图表7 二层网络安全
二层网络安全策略主要包括:防止用户虚拟机IP和MAC地址仿冒,防止用户虚拟机
DHCP Server仿冒。
防止IP地址和MAC仿冒(IP和MAC绑定):防止虚拟机用户通过修改虚拟网卡的IP、
MAC地址发起IP、MAC仿冒攻击,增强用户虚拟机的网络安全。具体技术能力包括通
过DHCP snooping生成IP-MAC的绑定关系,然后通过IP源侧防护(IP Source Guard)与
动态ARP检测(DAI)对非绑定关系的报文进行过滤。
防止DHCP Server仿冒(DHCP Server隔离):禁止用户虚拟机启动DHCP Server服务,
防止用户无意识或恶意启动DHCP Server服务,影响正常的虚拟机IP地址分配过程。
4.4.2 广播报文抑制
在服务器整合、桌面云等企业应用场景,如果发生网络攻击或病毒发作等引起的广播报
文攻击,可能造成网络通信异常,此时可以开启虚拟交换机的广播报文抑制功能。
虚拟交换机提供虚拟机虚端口发送方向ARP广播报文和IP广播报文的抑制开关,以及
抑制阈值设置功能。可以通过开启虚拟机网卡所在端口组的广播包抑制开关设置阈值,
减少过量广播报文对二层网络带宽的消耗。
管理员可以通过系统Portal,基于虚拟交换机端口组对象,配置广播报文抑制开关、ARP
广播报文抑制阈值、IP广播报文抑制阈值。
4.4.3 安全组
图表8 安全组
用户根据虚拟机安全需求创建安全组,每个安全组可以设定一组访问规则。当虚拟机加
入安全组后,即受到该访问规则组的保护。用户通过在创建虚拟机时选定要加入的安全
组来对自身的虚拟机进行安全隔离和访问控制。
4.5 虚拟机网络直通
华为自研开发了支持虚拟交换完整功能的智能网卡,通过智能网卡的提供虚拟机网络直
通的能力。
智能网卡在网卡上完整实现了虚拟交换的所有功能,包括物理端口聚合、二层交换、基
于虚拟网卡的流量控制,DHCP Snooping、DAI等二层安全控制,支持ACL以及Stateful
ACL。
智能网卡硬件与虚拟化软件相结合,在提供虚拟机直通高性能的同时,能完整地支持所
有的虚拟交换的功能,以及虚拟机的热迁移。详见下表:
图表9 智能网卡功能列表
4.6 Trunk端口
虚拟机网卡通过虚端口接入虚拟交换机进行网络数据包的收发。虚拟交换机虚端口支持
配置为Trunk类型,并允许设置Trunk的VLAN ID范围,之后虚端口便具备了同时收
发携带不同VLAN标签的网络数据包的功能,从而满足了虚拟网卡支持Trunk类型端口
的需求。
4.7 端口镜像
端口镜像功能将镜像会话中源端口的流量复制转发到目的端口,用户可以在目的端口上
启动分析程序。
FusionShpere 3.1版本支持本地端口镜像,其原理是:虚拟交换机在原来基于流或MAC
的转发机制之外记录镜像会话的配置,镜像会话基于指定的虚拟交换机端口选择被镜像
的流量,当源端口有符合配置要求的流量经过时,虚拟交换机会将流量复制,根据会话
的配置做相应处理,并转发至会话的目的端口。
4.8 VxLAN
VxLAN的英文全称是Virtual eXtensible Local Area Network,是一种将二层报文用三层
协议进行封装的技术,可以对二层网络在三层范围进行扩展。它应用于数据中心内部,
使虚拟机可以在互相连通的三层网络范围内迁移,而不需要改变IP地址和MAC地址,
保证业务的连续性。VxLAN采用24bit的网络标识,使用户可以创建16M相互隔离的
虚拟网络,突破了目前广泛采用的VLAN所能表示的4K个隔离网络的限制,这个特性
可应用于大规模的多租户环境。
参见《华为FusionSphere 3.1 VxLAN技术白皮书》。
4.9 端口管理
华为虚拟机交换机的端口管理包括物理端口管理和虚拟端口的管理。
物理端口管理信息包括物理网口的发送和接收报文数,发送和接收报文流量,网卡状态,
网卡速率,网卡双工模式。
虚拟端口管理信息包括虚拟端口的发送和接收报文数,发送和接收报文流量。
并且基于流量信息统计主机和虚拟机的流速信息。
5 虚拟交换应用场景
分布式虚拟交换机(DVS) 可在如下多个场景应用。
5.1 集中虚拟网络管理
通过集中式界面简化虚拟网络连接的部署和管理。创建并管理具有多个分布式虚拟端口
组的单个分布式交换机,简化虚拟网络连接的配置和管理。
5.2 虚拟网络流量统计功能
通过对UplinkPort/UplinkPortAggr以及虚拟端口的流量统计可以有效提供系统的可维护
性。
5.3 分布式虚拟端口组
分布式虚拟端口组是分布式虚拟交换机虚拟端口的集合。连接在同一端口组的虚拟机网
卡,具有相同的网络属性(如:带宽限速、VLAN/subnet、DHCP隔离、IP和MAC绑
定等)。
管理员可以通过对端口组的集中管理和配置,简化对虚拟机端口属性的设置。
5.4 分布式虚拟上行链路
分布式上行链路是分布式虚拟交换机关联的服务器物理网口,分布式交换机可关联多个
不同服务器的端口或绑定端口。
通过绑定端口可提高端口的可靠性或者端口的带宽。
5.5 网络隔离
支持虚拟局域网(VLAN)和VxLAN两种隔离方式,便于对虚拟机进行安全隔离。
虚拟局域网与标准IEEE 802.1Q 虚拟局域网实现方式兼容。
华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接
华为交换机型号参数详解 华为中低端交换机一般为1U至2U的盒式并无需插端口板卡的设备。由于属于中低端交换机,所以交换机支持的硬件版本和端口类型有很大的差异。在组网中交换机设备选型的时候需要充分考虑到这点。华为中低端交换机的命名都很有规律,交换机设备名称中的参数将可以提供给我们需要的东西。91华为网收集整理了部分类型参数说明,希望对大家有所帮助。 1、表示硬件版本参数 LI(Lite software Image)表示设备为弱特性版本。 SI (Standard software Image)表示设备为标准版本,包含基础特性。 EI(Enhanced software Image)表示设备为增强版本,包含某些高级特性。 HI(Hyper software Image)表示设备为高级版本,包含某些更高级特性。 对于三层交换机且是SI版本的可能不支持动态路由协议,例如:华为Quidway S3300-SI 系列交换机包括S3328-SI、S3352-SI并不支持动态路由协议OSPF,只支持静态路由和RIP,如果组网中需要用到OSPF,那么必须选用S3328-EI或是S3352-EI版本的。 2、表示上行端口参数 Z,表示没有上行接口;(新产品不允许此位) G,表示上行光口,且是GBIC接口; P,表示上行光口,且是SFP接口; T,表示上行电口,为RJ45接口; TP,表示上行为光电Combo,上行接口为多种接口类型复合 V,表示上行VDSL接口; W,表示上行可配置WAN接口; C,表示上行接口可选配; M,表示上行接口为多模光口; S,表示上行接口为单模光口; 3、表示端口数量和其它属性参数 F,表示下行接口为模板板,可插光接口板或电接口板。主要为兼容3526F,3526EF,3552F 等老产品的命名; PWR,表示端口支持POE属性 SXXYY,其中XX表示型号,YY表示端口数量;例如:S3328、S3352分别是24个下行口+4个上行口以及48个下行口+4个上行口。(责任编辑:admin) 华为S系列交换机类型全集 华为Quidway S系列交换机产品众多,在市场上已经广泛的使用,各种型号与型号参数详解如下:: 1、S9300系列 S9300系列有三种型号,S9303、S9306、S9312;S9300系列型号的交换机是以业务槽位来区分的,S9303具有4个插槽:1个主控板槽位、3个业务板槽位;S9306具有8个插槽:
华为交换机常用命令 1年。进入管理界面:系统视图 2。设置用户登录时需要的密码认证,认证密码为华为[魁伟]用户界面0 [魁伟-ui0]认证模式密码 [魁伟-ui0]设置认证密码简单华为 3。设置从用户界面登录后可访问的命令级别:用户权限级别将从用户界面登录后可访问的命令级别恢复为默认级别:撤消用户权限级别4。系统IP配置: a。创建并进入管理vlan接口视图:接口vlan-接口vlan-id删除管理VLAN:撤消接口VLAN-接口vlan-id b .配置管理VLAN接口ip地址:IP地址IP-地址网络掩码删除除管理VLAN接口IP地址:撤消IP 地址[IP-地址网络掩码] 5。进入以太网0/1以太网端口视图 [静音]接口以太网0/1 6。将以太网0/1配置为中继端口,并允许VLAN(如2、6到50和100)通过[静音-以太网0/1]端口链接型中继 [静音-以太网0/1]端口中继允许VLAN 26到50 100创建VLAN 100[魁伟] vlan 100
配置端口以太网0/1默认VLAN ID为100[安静-以太网0/1]端口中继pvid VLAN 100 7。创建VLAN并进入VLAN视图:VLAN _ id 删除创建的VLAN:撤消VLAN { VLAN _ id[到VLAN _ id] |全部} 8。为指定的VLAN添加以太网端口:端口接口列表 删除指定的VLAN的一些以太网端口:撤消端口接口列表 创建虚拟局域网2并进入其视图[魁伟] vlan 2 向vlan 2添加端口以太网0/1和以太网0/2[魁伟-VLAN 2]端口以太网0/1以太网0/2创建虚拟局域网3并进入其视图[魁伟-vlan2] vlan 3 向vlan 3添加端口以太网0/3和以太网0/4[魁伟-VLAN 3]端口以太网0/3以太网0/4 9。在以太网端口视图下打开/关闭以太网端口:关闭:关闭打开:撤消关闭 10。端口描述:描述文本 删除端口描述:撤消描述文本 11。设置端口双工状态: 双工{自动/全/半}恢复默认值:撤消双工默认为自协商 注意:当华为交换机连接到思科交换机时,应指定端口的双工状态和速度。两个对接端口设置为一致的 12。设置端口广播风暴抑制比:广播-抑制PCT 返回默认值:撤消广播-抑制PCT
在华为S系列园区交换机中,每个系列中都有许多种不同机型,特别是像S1700、S2700、S3700、S5700这样应用范围比较广、机型比较多的中低端产品系列,每个系列中的每款机型的硬件配置或多或少有所不同,所以在正式介绍这些交换机系列前先介绍它们的命名规则,以便能快速地进行华为S系列交换机选型。但因为不同系列的主要应用环境和所包括的机各不相同,所以它们在命名规则上也存在许多不同。下面分别予以介绍。 1.S1700系列机型的命名规则 S1700系列比较特殊,它是专门为个人和小型企业用户量身打造的SOHO级交换机。由于应用、功能比较简单,一般不需要配置或者通过简单的Web配置即可使用。目前S1700系列中,网管型和非网管型交换机各有5款机型,具体将在本章后面介绍。下面以S1700-8-AC、S1700-28GFR-4P-AC和S1700-52FR-2T2P-AC 3款机型为例介绍S1700系列交换机的命名规则,如图1-2所示。各部分含义说明如表1-1所示。 表1-1 S1700系列命名规则中各部分的含义 2.S2700系列机型的命名规则
为了满足不同用户的需求,S2700系列提供了多款机型。下面以S2700-26TP-PWR-EI、S2710-52P-SI-AC、S2700-52P-EI-AC和S2700-9TP-SI为例介绍S2700系列交换机的命名规则,如图1-3所示。各部分的具体含义如表1-2所示。 表1-2 S2700系列交换机命名规则中各部分的含义 3.S3700系列交换机的命名规则 同样,为了满足不同用户的需求,S3700系列提供了多款机型,用户可以根据不同的网络需求进行灵活的选择。下面以S3700-28TP-PWR-EI、S3700-52P-EI-24S-DC、S3700-28TP-EI-MC-AC和S3700-28TP-SI-AC为例介绍S3700系列交换机的命名规则,如图1-4所示。各部分的具体含义如表1-3所示。 表1-3 S3700系列交换机命名规则中各部分的含义
华为交换机虚拟化(CSS) 解决方案 陕西西华科创软件技术有限公司 2016年4月1
目录 一、概述 (3) 二、当前网络架构的问题 (3) 三、虚拟化的优点 (4) 四、组建方式 (5) 三、集群卡方式集群线缆的连接 (5) 四、业务口方式的线缆连接 (6) 五、集群建立 (7) 1. 集群的管理和维护 (8) 2. 配置文件的备份与恢复 (8) 3. 单框配置继承的说明 (8) 4. 集群分裂 (8) 5. 双主检测 (9) 六、产品介绍 (10) 1.产品型号和外观: (14) 2.解决方案应用 (20)
一、概述 介绍 虚拟化技术是当前企业IT技术领域的关注焦点,采用虚拟化来优化IT架构,提升IT 系统运行效率是当前技术发展的方向。 对于服务器或应用的虚拟化架构,IT行业相对比较熟悉:在服务器上采用虚拟化软件运行多台虚拟机(VM---Virtual Machine),以提升物理资源利用效率,可视为1:N的虚拟化;另一方面,将多台物理服务器整合起来,对外提供更为强大的处理性能(如负载均衡集群),可视为N:1的虚拟化。 对于基础网络来说,虚拟化技术也有相同的体现:在一套物理网络上采用VPN或VRF 技术划分出多个相互隔离的逻辑网络,是1:N的虚拟化;将多个物理网络设备整合成一台逻辑设备,简化网络架构,是N:1虚拟化。华为虚拟化技术CSS属于N:1整合型虚拟化技术范畴。CSS是Cluster Switch System的简称,又被称为集群交换机系统(简称为CSS),是将2台交换机通过特定的集群线缆链接起来,对外呈现为一台逻辑交换机,用以提升网络的可靠性及转发能力。 二、当前网络架构的问题 网络是支撑企业IT正常运营和发展的基础动脉,因此网络的正常运行对企业提供上层业务持续性访问至关重要。在传统网络规划与设计中,为保证网络的可靠性、故障自愈性,均需要考虑各种冗余设计,如网络冗余节点、冗余链路等。 图1 传统冗余网络架构 为解决冗余网络设计中的环路问题,在网络规划与部署中需提供复杂的协议组合设计,如生成树协议STP(Spanning Tree Protocol)与第一跳冗余网关协议(FHGR: First Hop Redundant Gateway ,VRRP)的配合,图1所示。 此种网络方案基于标准化技术实现,应用非常广泛,但是由于网络发生故障时环路状态难以控制和定位,同时如果配置不当易引起广播风暴影响整个网络业务。而且,随着IT规模扩展,网络架构越来越复杂,不仅难于支撑上层应用的长远发展,同时带来网络运维过程中更多的问题,导致基础网络难以持续升级的尴尬局面。
华为交换机常用命令: 1、display current-configuration 显示当前配置 2、display interface GigabitEthernet 1/1/4 显示接口信息 3、display packet-filter interface GigabitEthernet 1/1/4 显示接口acl应用信息 4、display acl all 显示所有acl设置3900系列交换机 5、display acl config all 显示所有acl设置6500系列交换机 6、display arp 10.78.4.1 显示该ip地址的mac地址,所接交换机的端口位置 7、display cpu显示cpu信息 8、system-view 进入系统图(配置交换机),等于config t 命令 9、acl number 5000 在system-view命令后使用,进入acl配置状态 10、rule 0 deny 0806 ffff 24 0a4e0401 f 40 在上面的命令后使用,,acl 配置例子 11、rule 1 permit 0806 ffff 24 000fe218ded7 f 34 //在上面的命令后使用,acl配置例子 12、interface GigabitEthernet 1/0/9 //在system-view命令后使用,进入接口配置状态 13、[86ZX-S6503-GigabitEthernet1/0/9]qos //在上面的命令后使用,进入接口qos配置 14、[86ZX-S6503-qosb-GigabitEthernet1/0/9]packet-filter inbound user-group 5000 //在上面的命令后使用,在接口上应用进站的acl 15、[Build4-2_S3928TP-GigabitEthernet1/1/4]packet-filter outbound user-group 5001 //在接口上应用出站的acl 16、undo acl number 5000 //取消acl number 5000 的设置 17、ip route-static 0.0.0.0 0.0.0.0 10.78.1.1 preference 60 //设置路由 18、reset counters interface Ethernet 1/0/14 //重置接口信息 19、save //保存设置 20、quit //退出(此信息仅为分享之用,我们不排除对您并不适用的可能。另,如此信息侵犯您的权益,请告知我们,我们会及时删除) 华为路由器交换机配置命令:交换机命令 [Quidway]discur;显示当前配置 [Quidway]displaycurrent-configuration;显示当前配置 [Quidway]displayinterfaces;显示接口信息 [Quidway]displayvlanall;显示路由信息 [Quidway]displayversion;显示版本信息 [Quidway]superpassword;修改特权用户密码 [Quidway]sysname;交换机命名
航天电子SAP系统华为虚拟化技术建议书
航天电子虚拟化整体设计架构 设计组网 方案概述 针对本次航天电子SAP系统建设需求,建议采用华为Fusion Sphere虚拟化整体解决方案。利用虚拟化技术,部署CAMS、ERP、MII 等应用系统环境,实现节能环保,简化管理,业务快速上线及灵活扩容的建设要求。同时结合业务需求,利用现有存储设备对虚拟化环境进行备份。
解决方案设计 本次采用2台高性能物理服务器,通过部署华为Fusion Sphere 虚拟化构建生产系统群集,互为热备。同时可利用虚拟化平台本身HA环境,确保业务的高可用。 存储通过FC组网,通过2台SAN光纤交换机与前端物理服务器链接,SAN交换机备份,服务器及存储各通过4条光纤组成冗余链路,确保链路冗余性。 架构逻辑图 服务器选型设计 根据航天电子SAP系统建设需求,推荐采用华为RH5885 v3高性能服务器。RH5885 V3是新一代4U 4路机架服务器。它支持Intel??Xeon??E7 v2系列处理器,可提供60个计算核心,通过处理器、内存、I/O、硬盘的灵活配置,以最优的性价比,满足数据库、ERP、商业智能分析、大数据、虚拟化等业务需求。
本次配置2台高性能RH5885 v3服务器,每台服务配置4颗E7-4820 v2 8核处理器,6根16G内存,共96G容量,最大可支持3T 的内存容量扩容,本地配置4块300G 15K高速热插拔硬盘,板载提供6个千兆网口及2块双通道8G HBA卡,冗余插拔电源。 存储选型设计 本次建议采用华为OceanStor 5300 v3系列存储设备,其具备面向云架构的操作系统、新一代硬件平台和丰富的智能管理软件。可扩展到8控、1TB缓存、5PB存储容量,支持16Gbps FC、56Gbps IB、PCI-E 、12Gbps SAS、智能IO卡。满足大型数据库OLTP/OLAP、文件共享、云计算等数据存储需求,广泛用于政府、金融、电信、能源、媒资等行业。 OceanStor 5300 v3采用全冗余架构,配置32G缓存,提供8个8G FC及8个GE千兆前端主机接口,15块600G 15K SAS高速硬盘,及多路径软件。可为前端虚拟化环境提供高效稳定的存储环境。 虚拟化群集HA设计 当物理服务器宕机或者重启,系统可以将具有HA属性的虚拟机故障迁移到其他计算服务器,保证虚拟机能够快速恢复。 当计算服务器宕机后,由于单个集群内可以运行上千个虚拟机,为避免大量虚拟机迁移造成网络拥塞和目的服务器过载,系统会根据网络流量、目的服务器负荷选择将虚拟机迁移到不同的目的服务器。
华为交换机各种配置实例 交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate 3 3. 配置acl,定义符合速率限制的数据流
华为交换机常用指令 一、交换机设备登陆及配置: 1、设备登陆配置 我中心维护汇聚和热点交换机,交换机类型为5300、2300和GPON,交换机使用secure CRT软件登录。交换机使用之前需要刷机,使用secureCRT配置:协议是serial,端口com12,波特流9600,流控制不配置。刷交换机所需要的信息:在3a模式下用户名和密码;snmp 为网络管理协议,配置网管所需的指令,固定不变; telnet配置——远程登陆配置信息。 登陆汇聚和热点交换机首先93-5交换机(核心交换机),登录协议选择ssh登录,登陆其它交换机在93-5上使用telnet(远程登陆)命令跳转,只能单向。 核心交换机登陆用户名:hanxu69309,密码:Hx#9309。华为汇聚和热点交换机的登陆用户名和密码都为huaweitest。 其他核心交换机的登录地址: 93-5 211.137.192.8 (交换机型号为9312) 65-1 120.192.23.36 (交换机型号为6500) 65-2 120.192.23.37 (交换机型号为6500) 85-1 120.192.22.129 (交换机型号为8500) 85-2 120.192.22.130 (交换机型号为8500) 93-1 211.137.192.1 (交换机型号为9306) 2、交换机配置思路: 配置设备名称。 管理AP所需要配置的信息 管理交换机配置的信息 在3a模式下配置,配置以下用户名和密码。(配置固定) snmp为网络管理协议,下面为加入网管所配置的指令,固定不变。 telnet配置——远程登陆配置信息 3、数据准备: 管理VLAN的ID。 交换机的管理IP。
华为交换机产品系列 在交换机领域,华为历经多年的耕耘和发展,积累了大量业界领先的知识产权和专利,可提供从核心到接入十多个系列上百款交换机产品。 根据所需交换机的用途,可大致分为数据中心交换机,园区交换机,个人和中小企业交换机三大类。 数据中心交换机 CloudEngine 12800数据中心交换机 CloudEngine 12800(简称CE12800)系列交换机是华为公司面向数据中心和高端园区网络推出的新一代高性能核心交换机。在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,实现弹性、虚拟、敏捷和高品质的网络。 CE12800系列支持工业级可靠性,以及严格前后风道设计,并支持全面的虚拟化能力和丰富的数据中心特性。此外,CE12800系列采用了多种绿色节能创新技术,大幅降低设备能源消耗。 关键特性 弹性、虚拟、敏捷、高品质数据中心核心交换机 弹性:64Tbps交换容量,可平滑升级到320Tbps;单设备支持192 个100GE,384个40GE,或1536个10GE; 虚拟:1:16核心虚拟化,512节点TRILL组网,EVN支持跨数据中心资源共享;
敏捷:作为Overlay虚拟化网络(VXLAN/NVGRE)的高性能硬件网关,支撑高达16M多租户的数据中心运营,OPS和ENP实现双平面可编程,网络按需定制; 品质:专利的严格前后风道设计,线卡网板风道独立,提高散热效率;多种绿色节能创新技术,降低机房能耗。 技术规格
CloudEngine 7800数据中心交换机 CloudEngine 7800数据中心交换机关键特性 40GE汇聚交换机 全40GE交换机,1U高设备支持32个40GE接口,可灵活拆分为10GE 接口; 支持iStack堆叠技术,实现机架内、机架间以及跨区域超长距的高性能堆叠,构建可扩展、易管理的数据中心网络平台; 支持IETF标准协议TRILL,构建512节点的大二层网络,实现虚拟机大范围在线迁移。支持nCenter虚拟机感知,通过高速Radius接口快速下发网络策略,实现策略随行; 作为Overlay虚拟化网络(VXLAN/NVGRE)的高性能硬件网关,支撑
最新华为交换机常用配置实例 2016最新华为交换机常用配置实例 华为交换机常用配置实例 sys进入到系统视图 Entersystemview,returntouserviewwithCtrl+Z. [Quidway]user-interfaceaux0 [Quidway-ui-aux0]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-aux0]qu [Quidway]local-userhuawei增加用户名 Newlocaluseradded. [Quidway-luser-huawei]passwordsimplehuawei配置密码,且密码不加密 [Quidway-luser-huawei]service-typetelnetsshlevel3 服务类型为SSH和telnet,且用户登陆后权限为管理员权限 [Quidway-luser-huawei]qu [Quidway]user-interfacevty04 [Quidway-ui-vty0-4]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-vty0-4]
save 华为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如)。 键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入"?" 2、命令视图 (1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入 (2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view (3)以太网端口视图(配置以太网端口参数)[Quidway- Ethernet0/1]:在系统视图下键入interfaceethernet0/1 (4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan1 (5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参 数)[Quidway-Vlan-interface1]:在系统视图下键入 interfacevlan-interface1 (6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入local-useruser1
Quidway? S9300系列T比特核心路由交换机 产品概述: Quidway? S9300系列是华为公司面向以业务为核心的网络架构推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。 Quidway? S9300系列广泛适用于广域网、城域网,园区网络和数据中心核心、汇聚节点,帮助企业构建面向应用的网络平台,提供交换路由一体化的端到端融合网络。 Quidway? S9300系列提供S9303、S9306、S9312三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多种绿色节能创新技术,在不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染,为网络绿色可持续发展提供领先的解决方案。 产品特点: 先进交换架构提升网络扩展性 S9300采用先进的分布式交换技术,提供业界最大整机交换容量和槽位带宽。 创新的交换速率自适应技术,支持单端口速率40G、100G平滑升级,同时完美兼容现网板卡,保护初始投资。
背板通流能力充分考虑未来带宽升级对整机电源功率和散热需求,数据总线预留升级高速交换网能力。 超高万兆端口密度,单台设备支持576个万兆端口,助力企业园区和数据中心迎来全万兆核心时代。 创新的三平面架构设计 S9300在传统交换机数据转发、管理控制双平面基础上创新地增加了独立的环境监控平面,实现对单板、风扇和电源配电模块的监控、管理和维护。 业界首创的环境监控板,采用华为自主知识产权的高集成度中控芯片,实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术,在提升系统性能的同时大大降低整机功耗。 支持独立环境监控与网管联动,实现全面可视化管理。 运营级高可靠性设计,保障企业应用永续运行 9300具备超越5个9的运营级高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。基于分布式的硬件转发架构,路由平面和数据交换平面严格分离,保证业务流永续畅通。 独立的故障检测定位硬件,提供3.3ms高精度硬件级以太OAM功能,实现快速故障检测与定位,与其他倒换技术联动可有效保证毫秒级网络保护。 能够在冗余控制引擎间实现无缝切换,设备优雅重启无中断转发。支持ISSU业务无缝升级,减少关键业务和服务中断。 支持Enhanced-Trunk(E-Trunk)功能,实现跨设备链路聚合,二层组网环境中跨设备链路聚合无须运行破环协议,提高设备链路利用效率的同时避免单点故障。 支持IEEE 802.3ad链路汇聚、IEEE 802.1s/w和虚拟路由器冗余协议(VRRP),同时支持丰富的毫秒级倒换技术如RRPP、Smart Link、IP FRR、TE FRR、VPN FRR等,实现运营级级高可靠性。 多维集群CSS(集群交换系统)
1项目技术方案 对于XXX项目中众多应用系统,采用华为FusionSphere虚拟化技术,将上述部分应用服务部署到虚拟化化的高性能物理服务器上,达到高可靠、自动化运维的目标。众多物理服务器虚拟化成计算资源池(集群),保障虚拟化平台的业务在出现计划外和计划内停机的情况下能够持续运行。本项目采用华为FusionSphere虚拟化计算技术实现, 通过云平台HA、热迁移功能,能够有效减少设备故障时间,确保核心业务的连续性,避免传统IT,单点故障导致的业务不可用。 易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。 便于业务的快速发放, 缩短业务上线周期,高度灵活性与可扩充性、提高管理维护效率。 利用云计算技术可自动化并简化资源调配,实现分布式动态资源优化,智能地根据应用负载进行资源的弹性伸缩,从而大大提升系统的运作效率,使IT 资源与业务 优先事务能够更好地协调。 在数据存储方面,通过共享的SAN存储架构,可以最大化的发挥虚拟架构的优势; 提供虚拟机的HA、虚拟机热迁移、存储热迁移技术提高系统的可靠性;提供虚拟 机快照备份技术(HyperDP)等,而且为以后的数据备份容灾提供扩展性和打下基础。 云平台:采用华为FusionSphere云平台,提供高可用性的弹性虚拟机,保障业务系统的连续性与虚拟机的安全隔离。 备份系统:采用华为FusionSphere HyperDP备份节点建立完整的数据保护系统。整个备份云可实现集中管理,负载均衡。 数据中心包含云管理、计算资源池、存储资源池,备份系统为可选。 Figure图1 单数据中心方案拓扑
XXX 应用系统集群 Exchange Sharepoint 终端终端 业务网络 管理网络 存储网络 网络连线防火墙 防火墙 XXX 项目数据中心架构分为: 接入控制:用于对终端的接入访问进行有效控制,包括接入网关,防火墙等设备。接入控制设备不是解决方案所必须的组成部分,可以根据客户的实际需求进行裁减。 虚拟化资源池:通过在计算服务器上安装虚拟化平台软件,然后在其上创建虚拟机。存储用于向虚拟机提供系统盘、数据盘等存储资源。 资源管理:云资源管理及调度,主要是对各种云物理资源和虚拟资源进行管理。创建虚拟机时,为虚拟机分配相应的虚拟资源。包括云管理服务器、集群管理服务器、安装服务器
华为交换机配置命令:
华为S5700-24TP-SI(AC): 产品类型:千兆以太网交换机 应用层级:三层 传输速率:10/100/1000Mbps 端口数量:28个 背板带宽:256Gbps VLAN:支持4K个VLAN 支持 网络管理:支持堆叠支持MFF 包转发率:36Mpps MAC地址表:16K 网络标准:IEEE 802.3,IEEE 8 端口结构:非模块化 交换方式:存储-转发 华为S2700-26TP-SI(AC) ?产品类型:智能交换机 ?应用层级:二层 ?传输速率:10/100Mbps ?端口数量:26个 ?背板带宽:32Gbps ?VLAN:支持IEEE 802.1Q(V ?网络管理:支持堆叠支持自动 ?包转发率:6.6Mpps ?MAC地址表:8K ?网络标准:IEEE 802.3,IEEE 8 ?端口结构:非模块化 ?交换方式:存储-转发 华为Quidway S2326TP-EI(AC) ?产品类型:运营级接入交换机 ?应用层级:二层 ?传输速率:10/100Mbps ?端口数量:26个 ?背板带宽:32Gbps ?VLAN:支持基于MAC地址的V ?网络管理:支持堆叠支持自动 ?包转发率:6.6Mpps ?MAC地址表:8K
?网络标准:IEEE 802.3,IEEE 8 ?端口结构:非模块化 ?交换方式:存储-转发 华为S3700-28TP-SI(AC) ?产品类型:快速以太网交换机 ?应用层级:三层 ?传输速率:10/100Mbps ?端口数量:28 ?背板带宽:64Gbps ?VLAN:支持4K个VLAN 支持 ?网络管理:支持MFF 支持Telne ?包转发率:9.6Mpps ?MAC地址表:16K ?网络标准:IEEE 802.3,IEEE 8 ?端口结构:非模块化 ?交换方式:存储-转发 型号识别 LI(Lite software Image)表示设备为弱特性版本。 SI (Standard software Image)表示设备为标准版本,包含基础特性。 EI(Enhanced software Image)表示设备为增强版本,包含某些高级特性。 HI(Hyper software Image)表示设备为高级版本,包含某些更高级特性Z,表示没有上行接口;(新产品不允许此位) G,表示上行GBIC接口; P,表示上行SFP接口; T,表示上行RJ45接口; 华为交换机 V,表示上行VDSL接口; W,表示上行可配置WAN接口; C,表示上行接口可选配;
1项目概述 1.1竹溪县民政局现状 竹溪县民政局机房现有设备运行年限较长,各业务系统相对独立,造成管理难度大,基于这种现状我司推荐竹溪县民政局信息化启动平台化建设。 竹溪县民政局信息化平台是提高健康水平、提高政府服务质量和效率的有力推手,是规范医疗政府服务,方便群众办事,缓解群众看病难问题的主要手段,不仅对推动竹溪县政务整改工作有重要意义,也是当前竹溪县民政局信息化平台工作迫切的需求。 1.2竹溪县民政局信息化平台建设的基本原则 1)顶层设计,统筹协调原则:竹溪县民政局信息化平台建设要按照国家有 关信息化建设的总体部署和要求,结合竹溪县民政局实际,做好顶层设 计,进行信息资源统筹规划,统一建设规范、标准和管理制度,构建竹 溪县民政局信息化平台为建设目标和任务。运用不同机制和措施,因地 制宜、分类指导、分步推进,促进竹溪县民政局信息化平台工作协调发 展。 2)标准化原则:竹溪县民政局信息化平台建设要在统一标准、统一规范指 导原则下开展,相关技术、标准、协议和接口也须遵循国际、国家、部 颁有关标准,没有上述标准要分析研究,制定出适合竹溪县民政局信息 化平台的标准、规范。 3)开放和兼容性原则:竹溪县民政局信息化平台建设不是一个独立系统, 而是搭建一下通用平台,基于平台承载各类应用系统运行,因此,系统 设计应充分考虑其开放性,同时因发展需要,应具有较好的伸缩性,满 足发展需要。 4)先进性原则:采取业界先进系统架构理念和技术,为系统的升级与拓展 打下扎实基础,如在技术上采用业界先进、成熟的软件和开发技术,面
向对象的设计方法,可视化的面向对象的开发工具,支持 Internet/Ineternet网络环境下的分布式应用;客户/应用服务器/数据 服务器体系结构与浏览器/服务器(B/S)体系相结合的先进的网络计算 模式。 5)安全与可靠的原则:作为竹溪县民政局信息化平台,关乎到民生及医疗 数据安全,其数据库硬件平台必须具备最高的安全性及可靠性,可接近 连续可用。平台一旦出现故障可能会导致群体性事件,因此竹溪县民政 局信息化平台需要建立在一个科学稳定的硬件平台上,并达到系统要求 的安全性和可靠性。二是网络安全。在系统架构和网络结构设计上首先 考虑安全性,必须加强领导、落实责任,综合适用技术、经济、制度、 法律等手段强化网络的安全管理。三是信息安全。主要是数据安全即保 证数据的原始性和完整性,运行数据不可被他人修改或访问,记录者的 记录不容抵赖,访问和修改可追踪性等。在系统设计时既考虑系统级的 安全,又考虑应用级的安全。应用系统采用多级认证(系统级认证、模 块认证、数据库认证和表级认证)等措施,采用用户密码的加密技术以 防止用户口令被破解。同时需制定不断完善的信息系统应急处理预案和 合理的数据库备份策略,在灾难时也能快速从灾难中恢复。四是信息化 平台应具有较强数据I/O处理能力,同时系统在设计时必须考虑在大规 模并发,长期运行条件下的系统可靠性,满足竹溪县民政局信息化7× 24小时的服务要求,保证各机构单位数据交换和资源共享的需要。 6)协调合作原则:要求各有关方将以往的行为方式从独立行事向合作共事 转变,从独立决策向共同决策方式转变。各方在合作基础上,应在人力 资源和设备实体方面全力建立更加稳定的信息技术设施。 1.3平台需求 1.3.1硬件需求 竹溪县民政局信息化平台是支撑整个系统安全、稳定运行的硬件设备和网络设施建设,是系统平台的基础设施。主要包括支撑整个系统安全、稳定运行所需
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1 to e1/0/5 把端口1-5放入VLAN 20 中 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 port access vlan 20 把当前端口放入vlan 20 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 二、配置交换机支持TELNET system 进入系统视图 sysname 交换机命名 int vlan 1 进入VLAN 1 ip address 192.168.3.100 255.255.255.0 配置IP地址 user-int vty 0 4 进入虚拟终端 authentication-mode password (aut password) 设置口令模式 set authentication password simple 222 (set aut pass sim 222) 设置口令user privilege level 3(use priv lev 3) 配置用户级别 disp current-configuration (disp cur) 查看当前配置 disp ip int 查看交换机VLAN IP配置 删除配置必须退到用户模式 reset saved-configuration(reset saved) 删除配置 reboot 重启交换机 三、跨交换机VLAN的通讯 在sw1上: vlan 10 建立VLAN 10 int e1/0/5 进入端口5 port access vlan 10 把端口5加入vlan 10 vlan 20 建立VLAN 20 int e1/0/15 进入端口15 port access vlan 20 把端口15加入VLAN 20 int e1/0/24 进入端口24 port link-type trunk 把24端口设为TRUNK端口 port trunk permit vlan all 同上 在SW2上: vlan 10 建立VLAN 10 int e1/0/20 进入端口20