选择区域语言: EN CN HK
docurl=/cn/Products___Technology/Products/Switches/Data_Center_Switch/S12500/S12500/Tecnology_Subject/200906/636920_30003_0.htm

H3C S12500产品方案剖析

【发布时间:2009-06-08】

一、引言

网络规模的不断扩大、业务种类的日益丰富、流量的快速增长以及Data、HPC、SAN网络逐步融合的要求,对IDC级核心交换机提出了新的需求:Tbps级以上超大交换容量、电信级高可靠性、精细化业务调度能力、高扩展性和高安全性,除此以外还要满足易维护、绿色节能等要求用以进一步降低用户TCO。面对这些高要求的挑战,下一代100G平台核心交换机并不能简单的扩充10G平台的交换容量,而需要采用更多高端的先进技术才能满足不断发展的应用要求。

二、产品方案介绍

立足于满足当前及今后几年的高端应用,考虑不断提升的应用需求,H3C S12500核心交换机在方案设计上综合了传统核心交换机的应用经验,并充分吸收了业界高端先进技术,打造成先进的统一交换架构。下文将对S12500方案亮点做简要介绍。

CLOS架构实现超大容量及高可扩展性

采用Crossbar交换架构的第五代万兆核心交换机为10G端口的普及发挥了巨大作用,但同样受限于单颗Crossbar芯片的交换容量,对于设计超大容量且兼具高扩展性的下一代100G核心交换机而言,如果再依赖Crossbar芯片容量的进一步扩展或者简单累加就变的比较困难。

基于100G平台的H3C S12500系列核心交换机,采用CLOS交换架构将多个交换网模块互联为多级多平面交换体系,完美解决了交换容量扩展受限于单颗交换网片能力的问题。S12500当前即可提供高达6.66Tbps的系统交换能力,单向180Gbps的槽位带宽可以轻松支持40G和100G端口,后续单台设备交换容量更可扩展至13.32Tbps,槽位带宽增加至360Gbps。同时多级多平面交换架构的采用,便于通过多框集群技术突破单台设备交换容量的限制,满足未来对交换能力的进一步需求,从而深度保护用户投资。

更合理的分布式缓存机制

通过CLOS架构提供超大交换容量的同时,S12500得益于分布式的调度机制,可以实现精确的一次调度,从而充分利用入口缓存,将报文分布式缓存在入端口,这对于解决典型拥塞模型下的突发丢包具有极大的意义。

拥塞常见于多端口向单端口转发模型以及高速端口向低速端口转发模型,这两种转发模型下即使持续业务流量低于目的端口带宽,也会因为流量的瞬间突发极易导致丢包的产生。入方向的分布式缓存完美消除了拥塞模型的影响:多对一转发模型下报文被缓存在入方向多个端口的多个缓存中,高对低转发模型下报文被缓存在入方向高速端口的更大缓存中,均能最有效的利用端口缓存能力,最大限度的吸收突发流量。

S12500提供每线速10G端口256M bytes大缓存,结合分布式的缓存模型,充分保障了200ms的缓存能力,消除了突发丢包对业务连续性的影响。

全流量模型下的交换网无阻塞动态路由

交换网提供大容量交换能力的同时,还必须保证对交换路径的充分利用,从而真正做到交换网业务调度的无阻塞性。交换网业务调度无阻塞性的一种重要因素就是报文能否在所有交换网转发路径上均匀分担。报文跨交换网转发时的路径选择方案也称交换网路由方案,通常有两类路由方式:基于报文关键参数进行指定路径或者HASH选路的静态路由方式,和基于交换网路径状态实时检测的动态路由方式。

静态路由方式实现较简单经济,能解决普通情况下的交换网不同路径报文分担问题,但当个别交换网片故障或者报文特征离散性不够时分担效果较差,导致报文集中于个别转发路径,从而出现假阻塞现象:即交换网络仍存在空闲路径时,由于报文集中于个别固定路径进行交换导致的阻塞。

动态路由方式通过实时检测所有交换网转发路径,并根据各转发路径的健康状况和负荷情况动态调节报文转发路径,从而使得任何情况下报文都能均匀分布于交换网各转发路径,充分利用交换带宽,彻底避免假阻塞现象。交换网动态路由的实现方式适应性最强,但同时对技术要求更高,芯片成本也相对较高。

考虑核心交换机所处网络位置的重要性,S12500通过硬件实现交换网动态路由方案,可以做到全流量模型下的交换网无阻塞动态路由,最大程度保护业务的永续性转发。

业务与性能并重

当前的网络核心设备早已过了只拥有出色转发能力就能胜任的时期,因此业务与性能并重的设计理念贯穿S12500的开发过程。S12500对核心处理芯片提出了全业务处理能力的要求,正是基于这一理念,S12500在拥有卓越转发性能的同时,对业务特性的支持也得到极大的增强。S12500硬件上支持L2/IPv4/IPv6/MPLS/组播等业务的分布式全线速转发,软件上实现了丰富的二、三层协议特性。得益于这一设计,使得S12500除了大型IDC核心、汇聚的典型应用外,更可根据需要将DC及园区的核心进行合置,降低用户的投资成本。

针对日益丰富的业务应用,为充分保证不同业务的QoS要求及用户体验,S12500除支持传统的QoS业务特性外,还引入了以往核心路由器才配置的TM(traffic manager,流量管理)芯片,支持每板最高达48K的硬件队列,用以进行精细化的业务调度和流量管理:能准确的按照SLA给不同用户、不同业务流分配不同的优先级和队列,满足不同的带宽、业务延迟、抖动等差异化QoS要求,并能针对关键业务提供如带宽预留等更高要求的QoS服务。

先进的交换架构、出色的交换性能和精细化的业务调度能力,为把S12500打造成统一交换架构平台奠定了坚实的技术基础。

零业务中断为目标的高可靠性

高可靠性是核心交换机重要特性,零业务中断是S12500高可靠性设计目标,为此设备关键模块如主控板、交换网板、电源、散热系统均进行了冗余设计。

主控板1+1冗余备份,并通过NSF/GR、在线升级机制避免控制平面倒换对业务转发产生影响。S12500将交换网板独立设置,使得控制平面和转发平面物理上完全分离,从而彻底避免相对高故障率的控制平面问题对极低故障率的转发平面产生影响,进一步增强了业务永续性保证。冗余配置时网板故障对业务无影响,非冗余配置时,则随着损坏的网板数目系统转发性能成比例下降(Graceful Degrade)。

对于保证系统稳定运行至关重要的散热系统,S12500通过系统风道的优化设计实现了风扇框的1+1冗余备份,不但风扇框内的风扇实现冗余备份,必要时刻通过自动调速单个风扇框即能满足系统的正常散热要求,极大增强了散热系统的可靠性。S12500电源模块支持N+M冗余备份,确保设备供电无忧。

除关键模块的冗余设计外,为保证业务的高可靠性,S12500控制平面采用三CPU系统进行业务处理:主控CPU系统、FFDR(Fast Fault Detection and Restoration,快速故障检测及恢复)CPU系统、EMS(Embedded Maintenance Subsystem,嵌入式维护子系统)CPU系统。主要协议处理由主控CPU系统完成。FFDR CPU专门用于BFD、OAM等快速故障检测处理,避免业务协议处理对快速故障检测带来影响。EMS CPU支持电源智能管理,通过控制设备上电过程,使得系统各模块分批顺序上电,从而平滑系统上电时的浪涌电流冲击,增加系统可靠性。

丰富易用的维护诊断手段

丰富易用的维护手段有助于运维人员及早发现网络和设备运行中的隐患,从而避免故障的发生,确保网络的可靠运行。S12500设计上充分考虑了维护性需求,提供了丰富的维护手段供运维人员进行日常维护,同时集成了强大的自动检测和诊断功能确保第一时间发现设备健康问题。

上电时的自动检测技术防止了将问题模块或者节点引入正常运行的网络,运行时的关键器件定时检测技术以及转发通道定时检测技术可以保证最快发现设备健康问题,并且这种健康状态的定时检测不会对业务带来任何影响。当有故障导致单板不能正常工作时,提供单板隔离命令,隔离后的单板可以进行离线业务诊断,用以收集单板的详细信息,加速故障排查。并且这些功能的提供都不需要加载额外的软件,单板隔离和诊断都仅仅需要执行单条命令即可实现,具有极大的易用性。如需进一步分析,S12500还可以在不影响业务的情况下通过单条命令收集整个系统的诊断信息。

对于设备和网络的日常维护,S12500提供了802.3ah OAM、NQA(Network Quality Analyzer)、sFlow以及丰富的查询命令等功能,供运维人员收集设备情况、网络流量、链路质量、连通性等方面的信息。

全方位的安全特性

面对网络中日益严重的安全威胁,考虑安全威胁的防护效率,S12500处理芯片上既集成了很多安全防护特性,软件实现上也充分考虑了安全特性需求,系统可以提供全方位的安全防护手段确保设备的稳定运行。

ACL一直是对病毒、攻击的有效防护手段,S12500支持对报文前128字节多达80Bytes的ACL规则,可以对各种业务报文及其字段组合进行精细的安全接入控制。端口、VLAN和全局三种不同的ACL下发方式,可以灵活的部署安全策略。典型如病毒防护的安全策略,就可以通过全局模式进行下发,既节省了硬件资源,又降低了维护工作量,同时避免了分别下发到各端口时可能产生的遗漏差错。

针对控制平面的攻击威胁,S12500支持多级保护及安全性:不仅可以通过ACL对送到控制CPU的各种协议报文流量进行识别、映射到不同队列并进行优先级调度和流量控制,处理芯片还集成了对常用协议报文的自动识别和智能带宽管理功能,从而有效防止各类DoS/DDoS攻击的同时,不会对其它正常业务报文上送CPU产生影响。对于控制信令的仿冒和攻击,S12500支持ARP深度检测、DHCP伪服务器屏蔽、STP协议保护、路由协议认证等特性,全方位的保护系统和网络安全。

针对转发平面的安全威胁,S12500支持端口接入控制、非法报文过滤技术、地址扫描攻击防护、广播/组播/未知单播报文速率限制、地址绑定、uRPF等安全特性,在保证合法业务正常转发的前提下,实现对各类攻击的过滤和防护。

针对管理平面的安全威胁,S12500通过命令行分级、SSH、Radius/HWTACACS本地和远程认证、Syslog、SFTP、合法源地址定义等特性进行安全防护和过程审计。

无处不在的绿色节能设计

在创建绿色数据中心呼声日益高涨的今天,S12500将绿色设计贯穿系统的每个环节:更高的芯片集成度加上转发引擎65nm芯片工艺进一步提升功能/能耗比;未连线状态的外部端口自动进入节能模式、槽位空闲时未使用的交换网端口自动关闭、通过EMS CPU进行管理的单板单独上下电、以及效率高于91.5%的电源方案均最大限度的避免了无效功率的浪费;同时优化的风道设计、分区智能调速风扇的运用进一步降低了散热系统自身的功耗。无处不在的绿色设计使得S12500每端口对应功耗仅为业界同类设备的50%左右,这一能耗水平对于以高性能、高密度端口和丰富业务特性著称的S12500来说尤其可贵。

三、典型应用

高起点的方案设计,使得S12500能够满足超大容量、高性能、高扩展性、高可靠性、高安全性、精细化QoS要求等高端应用场景,典型如IDC核心、汇聚等应用场合。高密度端口、低转发时延使得S12500同样适合HPC应用场景。高密度端口同时有助于压缩DC网络中的汇聚层设备,降低成本的同时随着组网层数的减少增强了网络可靠性。