第一章數據中心現狀分析 4第二章數據中心網絡技術分析 42.1路由與交換 42.2EOR與TOR 52.3網絡虛擬化 62.3.1網絡多虛一技術 62.3.2網絡一虛多技術 82.4VM互訪技術（VEPA） 82.5虛擬機遷移網絡技術 13第三章方案設計 163.1網絡總體規劃 163.2省級數據中心網絡設計 193.3市級數據中心網絡設計 203.4區縣級數據中心網絡設計 213.5省、市、區/縣數據中心互聯設計 223.5.1省、市數據中心互聯 223.5.2市、區/縣數據中心互聯 233.5.3數據中心安全解決方案 24第四章方案的新技術特點 264.1量身定制的數據中心網絡平臺 264.1.1最先進的萬兆以太網技術 264.1.2硬件全線速處理技術 274.1.3ExtremeDirectAttach技術 294.1.5幫助虛機無縫遷移的XNV技術 354.1.5環保節能的網絡建設 404.2最穩定可靠的網絡平臺 414.2.1獨有的模塊化操作系統設計 414.2.2超強的QOS服務質量保證 434.3先進的網絡安全設計 464.3.1設備安全特性 474.3.2用戶的安全接入 484.3.3智能化的安全防御措施 504.3.4常用安全策略建議 51附錄方案產品資料 561.核心交換機BD8800 562.SummitX670系列產品 603.三層千兆交換機SummitX460 684.核心路由器MP7500 765.匯聚路由器MP7200 826.接入路由器MP3840 887.接入路由器MP2824 938.MSG4000綜合安全網關 98第一章數據中心現狀分析3、擴容、災備和VM遷移要求數據中心多站點間大二層互通。5、iSCSI/FCoE是數據中心以網絡為核心演進的需求，也是不可或缺的一第二章數據中心網絡技術分析2.1路由與交換數據中心網絡從設計伊始，主要著眼點就是轉發性能，因此基于CPU/NP轉發的路由器自然會被基于ASIC轉發的三層交換機所淘汰。傳統的Ethernet交換技術中，只有MAC一張表要維護，地址學習靠廣播，沒有什么太復雜的網絡變化需要關注，所以速率可以很快。而在IP路由轉發時，路由表、FIB表、ARP表一個都不能少，效率自然也低了很多。二層網絡結構為主。層次越多，故障點越多、延遲越前在一些ISP（InternetSer傳統的STP需要阻塞鏈路浪費帶寬，而新的二層多路徑L2MP技術還不夠成熟，因此會采用全三層IP轉發來暫時作為過渡技術，如接入層與核心層之間跑OSPF動態路由協議的方式。這樣做的缺點顯而易見，組網勢必會被EthernetL2MP技術所取代。新的二層多路徑技術，不管是TRILL還是SPB都引入了二層ISIS控制平以往Ethernet般高效還有待觀察。MPLS就是一個的前車之鑒，本想著幫IP提高轉發效率，沒想到卻在VPN路由隔離方面獲得真正應用。2.2EOR與TOR云計算以大量X86架構服務器替代小型機和大型機，導致單獨機架Rack上的EOR（EndOfRow）結構已經逐步被TOR（TopOfRack）結構所取代。機架式交換機作為數據中云計算就是計算虛擬化，而存儲虛擬化已經在SAN上實現得很好了，剩下子進行多虛一統一規劃。而云計算一虛多的時候，物理服務器都變成了很VM，網絡層面則需要對一虛多對通路建立和管理更精細化。顧名思義，控制平面虛擬化是將所有設備的控控制平面虛擬化從一定意義上來說是真正的虛擬交數據平面的虛擬化，目前主要是TRILL和SPB，他們都是用L2ISIS作為裝，以不同的目的Tag在TRILL/SPB區域內部進行轉發。對外界來說，可以認為TRILL/SPB區域網絡就是一個大的虛擬交換機，Ethernet報文從入口進這種數據平面虛擬化多合一已經是廣泛意義上Ethernet轉發時可以有效的擴展規模范圍，作為網絡節點的N虛一來說，控制平面虛擬化目前N還在個位到十位數上晃悠，數據平面虛擬化的N已經可以輕的復雜度，同時由于轉發時對數據報文多了外層頭的封包解包Ethernet算數據中心勢必是屬于TRILL/SPB此類數據平面多虛一技術的天地。網絡一虛多技術，已經根源久遠，從Ethernet的VLAN到IP的VPN都是已經成熟技術，FC里面則有對應的VSAN技術。此類技術特點就是給轉發報文里面多插入一個Tag，供不同設備統一進行識別，然后對報文表如只能手工配置的VLANID和可以自協商的MPLSLabel。傳統技術都是基于轉發層面的，雖然在管理上也可以根據VPN進行區分，但是CPU/轉發芯片目前最新的一虛多技術是類似ExtremeNetworks在交換機系統中實現的VirtualRouter，和VM一樣可以建立多個虛擬交換機并將物理資源獨立分配，目前的實現是最多可建立64個VR，其中有一個用做管理。2.4VM互訪技術（VEPA）隨著虛擬化技術的成熟和x86CPU性能的發展，越來越多的數據中心開始提高物理服務器CPU利用率；然而一個問題的解決，往往伴隨著另一些問題的誕生，數據網絡便是其中之一。這種模式顯然是不合適的，多個虛擬機收發的數其次，目前的主流虛擬平臺上，都沒有獨立接入層的概念不再僅僅針對物理端口，而是延伸到服做為X86平臺虛擬化的領導廠商，VMWare早已經在其vsphere平臺內置了虛擬交換機vswitch，甚至更進一步，實現了分布式虛擬交互機VDS（vnetworkdistributedswitch為一個數據中心內提供一個統一的網絡接入平臺，當虛擬機發生vmotion時，所有端口上的策略都將隨著虛擬機移動。虛擬以太網端口匯聚器（VEPA）是最新IEEE802.1Qbg標準化工作的一一下使用虛擬交換機的傳統方法就會發現，它與VEPA方法存在很大的不同，VEPA使用戶可以深入了解虛擬化及聯網中的各項部署挑戰和需要考慮的因素。例如，傳統的網絡和服務器運營團隊是截然分開的，程、工具和控制范圍。由于虛擬交換機的原因，聯網進入了服務個服務器中的虛擬機目前已經達到8至12臺，并且會在不久的將來達到32至64臺，因此，保護虛擬機彼此不受干擾，以及不受外界威脅的侵害都變成了一從防火墻到IDS/IPS，基于網絡的傳統設備和工具都需要針對這些高度虛擬VEPA的方法VEPA是一種虛擬交換機替代產品；它不僅進入了標準化進程，而且成為業界眾事實上，VEPA會將服務器上虛擬機生成的所有流量轉移到外部的網絡交換發送至同一臺服務器上的目的地或目標虛擬機。對于廣播或組播流量，VEPA能傳統上，多數網絡交換機都不支持這種“原路返IEEE的802.1Qbg工作組還努力將這種行為變成了標準。VEPA能夠以軟實施，在后一種情況下還可以與SR-IOV等PCIeI/O虛擬化技術結合使用。其中一個典型的例子就是LinuxKVM監視程序中提供的基于軟件的VEPA實施。事實上，VEPA將交換功能移出了服務器，并且將其放回物理網絡中，而且基于VEPA的方法使現有的網絡工具和流程可以在虛擬化和非虛擬化環境以及防火墻和IDS/IPS等基于網絡的設備，以及訪問控制列表（ACL）、服務質量（QoS）和端口監視等成熟的網絡交換機功能都可以直接用于虛擬機流量和此外，VEPA將網絡管理控制層重新交給了網絡管理員，為所有與虛擬機相將網絡功能從服務器卸載至網絡交換機能夠帶來諸多的換；從1Gbps至10Gbps，甚至可以達到40Gbps和更高的100Gbps。因此，基于VEPA的方法有助于擴大虛擬化部署，降低復雜性和成本，并且盡管基于VEPA的方法能夠帶來許多好處，但在某些環境下，虛擬機間流量在此類場景中，可能的方法之一是繞過基于監視程序的軟件用新型網卡提供的交換硬件能力，即SR-IOV等基于入向I/O虛擬化的能力。性都在不斷提高。基于VEPA的虛擬機間流量交換方法能夠為基于虛擬交換機礎設施提供支持VEPA的能力，此類技術的標準化工作正在緊鑼密鼓地進行當2.5虛擬機遷移網絡技術虛擬服務器能夠大幅度提升服務器計算資源利須隨之漂移。這些策略控制著安全、服務質量(QoS)等因素，并因用戶和應用的(VMM)是虛擬化軟件的重要組成之一，它能夠使多種操作系統在單一主機平臺中運行。目前可支持Citrix、微軟、VMwareXen，Oracle等虛擬化平臺。針對虛擬化網絡的解決方案已成為現實。ExtremeNetworks公司的XNV使用管理員擁有粒度標準來監測每臺虛擬機及其相關的虛擬端口。XNV還可監的穩定性、可擴展性、系統的維護成本、應網絡整體設計采用國際通行的TCP／IP協議，并達到以下目標：），小時，每年365*24小時的正常工作。術發展的潮流，保證系統的先進性，也要兼顧技術的成熟們通過這個統一的管理平臺的控制，監控主機系統、網絡系統、管理工具，監控網絡故障，優化網絡性能，實現一體化的網絡管于SNMP，支持RMON和RMON2。基于協議、基于MAC地址、基于IP地址的包過濾控制功能，不同的業務，劃標準協議，具有良好的互操作性，減少設備互連的問題3.2省級數據中心網絡設計如上圖所示，一般情況下，大型數據中心采用2-3層網絡結構，以3層結構為例，采用2臺高性能ExtremeNetworksBD8800核心交換機，提供48個四萬兆（40G接口通過40G通道下聯到匯聚層SummitX670系列交換機。每臺ExtremeNetworksSummitX670交換機提供48-60個萬兆萬兆接口，并提供四萬兆接口上聯，萬兆下聯SummitX460交換機，通過X460交換機但是對于新型的大型數據中心，萬兆網絡連接已經成為主流據網絡平臺的功能，并考慮網絡在性能、容量、擴展面的要求，經過對交換以太網、快速以太網、千兆以架構在VLAN（虛擬局域網）技術、第三層或多層交換技術、QoS、ACL等方通過將萬兆以太網、千兆以太網、VLAN技術、三層路由交換、局域網中的QoS、ACL技術與投資經濟性實現完美的有機結合，建立一個在省級網絡設計中，我們最終推薦核心到接入交換機40G連接，接入到服務器10G連接。3.3市級數據中心網絡設計們同樣使用萬兆進行連接，這里采用一臺SummitX670系列交換機。每臺ExtremeNetworksSummitX670交換機提供64個萬兆萬兆接口，或者采用X670交換機堆疊，提供112個萬兆端口，如下圖所示：以一般只適用千兆進行接入，所以采用兩臺千兆交換機ExtremeNetworksSummitX4603.5省、市、區/縣數據中心互聯設計對于大多數行業客戶如醫療、教育或政府等，其數據中心省數據中心由于數據量較大，需要同時匯聚地市一級數據中心推薦配置兩臺MP7508作為核心匯聚路由器，并互為備份。MP7508匯聚路由器通過1000M光接口連接省數據中心核心交換機BD8800，再通過1000MMSTP或155MSDH/ATM器MP7204，地市上聯路由器MP7204通過1000MX670。由于MP7508和MP7204的高速互聯，其軟/硬件高可靠性設計以及每個節點采用雙機備份的方式，實現了數據傳輸的高可靠性和穩定性；另外我們可采用MPLS等安全技術，進一步數據流量較大的應用中，市數據中心采用MP7204中心匯聚路由器通過100M或1000MMSTP線路連接各個區/縣數據中心MP3840匯聚路由器；對于數據流量較小的行業或應用，市數據中心MP7204可采用155MSDH線路，采用2M復用的方式連接各個區/縣數據中心MP2824，區/縣數據中心可根據實際帶寬需求采用2M或N*2M鏈路捆綁方式接入市數據中心。同樣為了提高互聯的可靠性，地市匯聚路由器和區/縣上聯路由器均采用雙機雙線路冗余備份方力，實現對異常流量、惡意代碼、有目標的滲透等情況的鑒別和為其提供用戶安全接入、抗攻擊、入侵檢測、防病毒、高性能VPN、帶寬管理在省、市、區/縣數據中心邊界，我們采用MSG4000部移動用戶、遠程管理以及第三方平臺等用戶和平臺的接入。MSG4000作為一區/縣數據中心可根據實際需要選用不同性能層次的MSG4000；同時MSG4000流量管理、WEB訪問控制、上網行為管理以及IPSEC/SSLVPN等功能，滿第四章方案的新技術特點4.1量身定制的數據中心網絡平臺Extreme公司作為以太網技術的先驅，一直致力于生產嚴格遵循業界標準的以及可與其他廠商兼容的產品，ExtremeNetworks是由100家國際知名網絡公司組成的千兆以太網聯盟和萬兆以太網聯盟的領導者。Extreme交換機的10GB以太網模塊在世界上第一個實現單跳網絡傳輸1TB數據流量。Extreme公司一直走在10GB以太網交換技術開發的前沿，公司的發起人及首席技術官SteveHaddock現任IEEE802.3ae任務小組副主席，該小組已經為10-GB以太網開發了行業標準。ExtremeNetworks的TonyLee自2000年3月起，在兩年任期內擔任萬兆以太網聯盟主席，另一名ExtremeNetworks技術專家AmeetDhillon目前則擔任萬兆以太網聯盟理事。Extreme交換機的擴充能力Extreme在萬兆網絡應用從初期就一直保持著市場領先地位況下，保證網絡暢通。這也是Extreme公司的強大技術優勢所在。Extreme的智能網方案采用先進的組播技術和Qos保證機制，實現全線速交換處理能力，以避免擁塞和延遲。Extreme采用無阻塞交換結構，基于先進Extreme的全線三層產品交換產品均可實現滿載情況下的二層線速幀交換QoS處理、ACL、策略路由等，此時需要交換機耗費更多的資源以實現相應的網絡控制處理功能。Extreme產品能夠保證性能和功能的一致實現，即在打開Extreme的共享內存式的交換背板結構大大提高了組播轉發的效率，節省了交換矩陣的帶寬。其他網絡廠家的交換機支持的組播、ACL、Qos等都是基于軟件技術和CPU運算的，由于占用大量處理器和內存資源，經常會導致丟失為代價。Extreme主推的真正的線速網絡是性能和功能的全面線速，包括線速路由、線速ACL、線速Qos、線速組播，Extreme的網絡設備的Qos、組播、ACL都是通過專門的集成芯片來完成，不占運行用系統資源，這也是目前業界組播結構傳統的組播結構4.1.3ExtremeDirectAttach技術今天的虛擬機管理程序利用一個內部的“虛擬交換機”為在一個服務器內部的虛擬機（VM）之間以及它們與外部網路之間提供網絡連接。這個虛擬交換機給數據中心網絡增加今天的許多刀片服務器利用一個內部的“刀片交換機”來匯聚刀片服務器機箱內的每個物理服務器的數據流量。這些交換機給網絡增加了第五個層級。虛擬交換機和刀片交換機的組合把交換層級從3層提高到5五層，顯著提高了網絡延遲并增加了數據中心內的網絡元素，這也增加了數據中心管理的復雜性。ExtremeNetworks的DirectAttached技術消除了虛擬交換機層，簡化網絡并提高網絡性能。ExtremeNetworks的BlackDiamond?8800交換機中的8900系列交換模塊通過利用高密度板卡和布線系統，消除刀片交換機并使數據中心得到簡化，從而使數據中心的層級數量從5層簡化為3層。它是所有數據中心設備的中心連接點。這是數據中心網絡的“第一層級”。這個核心可能是和服務器。而網絡的“第二層級”是匯聚交換機，它連接接入交換機和核心。這層常用于大型數據中心，一般沒有必要用在中型數據中心。“第三層級”的交換機，通常被稱為接入層交換機，它直接連接服務器。這些接入交換機通常被稱為“架頂式交換機”或“行末式交換機”。這種無論是兩個或三個層級的模式是已經被多年使用，且廣為熟悉的。目前數據中心有兩個重要的趨勢，它們正在改變數據中心網絡的實現方式，一個在物理方面，而另一個在虛擬化方面。這些趨勢給數據中心網絡增加了額外的層級。趨勢一：虛擬化在過去幾年的數據中心最重要的發展趨勢是虛擬化的應用。虛擬化是一種技術，使一臺物理服務器允許安裝多個虛擬服務器/虛擬機。這樣可以提高服務器利用率和有助于服務器的整合，對于災難恢復和容量管理等有諸多好處。虛擬化在企業數據中心和主機托管數據中應用在這些領域。虛擬交換機虛擬化引入了“虛擬交換機”的概念。在非虛擬化數據中心，每個服務器運行一個操作系統，該操作系統管理的物理網絡連接到與其它用戶和服務器。在虛擬化環境中，有多個虛擬機運行在物理服務器上。這些虛擬機必須共享一個物理網絡連接，并且需要互相通信。這給虛擬交換機或“vSwitch的”概念帶來了用武之地。虛擬交換機是一個運行在服務器上的模擬2層網絡設備的軟件。虛擬交換機的功能是使一個服務器內的虛擬機可以互相通訊并且可以與外界通訊。虛擬交換機仿造了二/三層交換機的一部分功能以實現上述通訊功能。虛擬機運行在虛擬化管理軟件中，所以它不是通用的。目前VMware、Microsoft和Citrix在自己的虛擬化管理軟件中都含有虛擬交換機。另外其它一些網絡廠商也推出了額外收費的虛擬交換機，例如Cisco的Nexus1000。一個需要注意的關鍵點是每個物理服務器都需要一個虛擬交換機。例如一個有40臺服務器的機柜需要40個虛擬交換機，一個有16個刀片的刀片服務器需要16個虛擬交換機。網絡中虛擬交換機的數量與網絡中運行虛擬化的服務器的數量是一一對應的。這些虛擬機每一臺都需要管理和配置。虛擬交換機還是虛擬機之間，虛擬機與其它服務器和用戶之間通訊的唯一手段。虛擬交換機帶來的問題：安全性：虛擬交換機的主要功能是滿足同一服務器內部的虛擬機之間的通訊。因為虛擬交換機存在于服務器內部，虛擬機和虛擬機之間的數據流量對于外界網絡是不可見的。這樣一些由非法虛擬機引發的安全問題很難被發現。網絡與系統管理軟件的可見性：同樣由于虛擬機和虛擬機之間的數據流量對于外界網絡是不可見的，對于虛擬機和虛擬機之間的流量的管理和監控非常困難。傳統的基于端口鏡像的網絡工具無法在這樣的環境中使用。性能的不可預見性：虛擬交換機使用軟件而非線速的交換機硬件來進行數據的轉發。虛擬交換機的轉發性能，以至于服務器的網絡性能都取決于CPU的可用資源，而該資源又取服務器的網絡性能實際會下降，這與使用虛擬化優化服務器的設想是相違背的。額外的網絡層級：虛擬交換機為傳統的網絡增加了第四個層級。這樣增加了網絡的跳數從而增加了端到端的網絡延遲。虛擬交換機與服務器一一對應引起的擴展性問題：每個服務器都需要一個虛擬交換機，整個數據中心的網絡設備數量大大增加。一個有40個服務器的機柜需要40個虛擬交換機，而只要一臺網絡交換機。這樣大大增加了數據中心內需要管理和配置的網絡元素，增加了數據中心的運維成本。管理的復雜性：每一個虛擬化管理軟件廠家都有一個和自己軟件配合的虛擬交換機。在一個使用多種虛擬化軟件的數據中心，需要對多種虛擬機管理進行人員培訓和制定管理流程，增加了數據中心管理成本。問責的沖突：到底由哪個部門來管理虛擬交換機呢？是因為虛擬交換機運行在服務器內部而由服務器部門負責呢？還是因為它是網絡元素而由網絡部門負責呢？這些問題會帶來潛在的沖突，增加管理和實施解決方案的復雜度。趨勢二：刀片服務器刀片服務器為機架內容納高密度服務器提供了解決方案。一個刀片服務器機箱可以容納16個服務器，一個標準機柜可以容納3個或4個刀片服務器機箱。這樣一個機柜可以容納48或64個高密度服務器，并且可以簡化管理。刀片服務器帶來的挑戰是它在一個機柜內制造了很高的布線密度，使為每臺服務器提供片交換機”。刀片交換機的主要優點是簡化了布線。刀片交換機連接所有的服務器，并上連到網絡的第三個層級。如果沒有刀片交換機，每個服務器需要一個以太網連接到第三級網絡，這樣每個刀片服務器機箱就需要16根跳線。有了刀片交換機跳線數量減少為1到8根。刀片交換機給網絡帶來高復用比，這樣可能造成網絡擁塞并限制服務器的性能。一個典型的刀片交換機包含24個以上的端口或連接。其中16個端口用來連接服務器，另外8個端口用來連接接入層網絡設備。這樣造成2:1復用，使網絡最高性能減少50％。從物理網絡的角度看，刀片交換機給網絡增加了“第五層級”。如我們前面討論的，每而增加了成本，包括刀片交換機本身的成本和配置管理刀片交換機的時間成本。因為刀片交換機是一個根據刀片服務器機箱定做的產品，它與數據中心匯聚和接入層級員需要學習和管理不同的交換機系統和管理軟件。刀片交換機同樣帶來組織管理上的問題。它是應該由管理核心/匯聚/接入交換機的網絡部門管理？還是因為它在服務器內部而由服務器部門管理？這個職責的混淆會在配置不兼容以及涉及多個部門在數據中心排錯時帶來問題。虛擬化和刀片服務器趨勢的疊加效果是把網絡層級從3層增加到5層。當虛擬交換機引入時增加了1層，刀片交換機引入時又增加了1層。由于顯著地增加了網絡復用比以及端到端的延時，5層網絡的性能低于3層網絡。另外這樣還需要更多電力和冷卻能力并大大增加管理成本。DirectAttach減少網絡層級什么是ExtremeNetworks的DirectAttach？DirectAttach是ExtremeNetworks實現虛擬機在網絡中進行交換的技術。一些廠家通過在服務器中的虛擬交換機實現虛擬機數據交換。而ExtremeNetworks的DirectAttach技術把虛擬機之間的數據交換功能從服務器中遷移回網絡設備中。這樣使管理員可以在享受服務器虛擬化帶來的好處的同時利用成熟的、線速的網絡交換機處理虛擬機數據交從本質上講，DirectAttach允許虛擬機無需通過服務器內的軟交換機直接連接到網絡。DirectAttach通過去掉虛擬交換機減少了網絡層級，從而節約成本，降低延時，減少網絡復用并且簡化了管理。最后它使管理員在無需考慮虛擬機管理軟件的情況下實施一致的網絡策略，保證網絡的安全且符合規定。另外，高扇出的交換機模塊以及專用的布線方案可以使刀片服務器機箱中的服務器直接連接到數據中心網絡，從而使數據中心網絡簡化。DirectAttach如何工作DirectAttach軟件包是ExtremeXOS的一個可加載模塊。它可以被安裝在基于ExtremeXOS的ExtremeNetworks的Summit系列堆疊交換機（包括SummitX450、SummitX480、SummitX650）和帶有8900系列模塊的BlackDiamond8800交換DirectAttach軟件把端口上的數據根據虛擬機進行分類，然后根據交換機中二/三層轉發協議進行轉發。雖然所有的數據包都從一臺物理服務器發送和接收，所有交換機策略仍然會針對每個虛擬機的數據流發生作用。使用DirectAttach技術去掉虛擬交換機的好處更高的可預見的性能：使用DirectAttach技術不需要服務器內的軟件轉發數據包，所更廣泛的網絡功能：當今的以太網支持非常廣泛的功能，包括服務質量、ACL安全等多年來開發的功能。使用DirectAttach技術，這些功能可以針對數據中心內的所有虛擬機管理更少的網絡元素：在一個有10個機柜，每個機柜有40個1U服務器的數據中心，使用DirectAttach技術只需要第三級的10個網絡元素而不需要第四級的網絡元素。如果不使用DirectAttach技術，需要管理410個網絡元素，除了第三級的10的10個還有第增強的安全性：在使用虛擬交換機的情況下，虛擬機之間的數據流量永遠不會流出服務技術，所有虛擬機和虛擬機之間的通信對交換機而言都是可見的，可以被安全策略如ACL、端口鏡像等進行處理。易于管理：DirectAttach技術使數據中心內的所有數據交換機的管理回歸到網絡管理員手中，消除了與服務器團隊的潛在沖突。不同虛擬化管理軟件環境下的輕松管理：DirectAttach技術不依賴于虛擬化管理軟件，可以兼容絕大多數虛擬化管理軟件。這樣它可以在混合有多廠家虛擬化系統的數據中心良好交換機與布線系統設計除了可以通過DirectAttach技術去掉虛擬交換機，這個ExtremeNetworks的解決方案還有另外的好處。BlackDiamond8800交換機通過MRJ21技術提供高密度千兆接口解決方案。MRJ21技術把6個全帶寬的千兆接口集成到1根線纜中。使用這種技術制造的96口千兆模塊使1個機箱可以容納768個千兆接口，使刀片服務器可以輕松接入8800DirectAttach布線系統可以把刀片服務器機箱內的所有服務器直接連接到模塊化交換機的端口，而無需使用刀片交換機。一個有4個刀片服務器機箱，每個刀片服務器機箱有16個服務器的機柜內的所有服務器都可以直接連接到1個BlackDiamond8800交換機的8900系列模塊上。這個高密度端口和高密度布線解決方案消除了使用刀片交換機的需求，從而消除了這個ExtremeNetworks的DirectAttach技術和高扇出的服務器模塊可以被一起使用，也可以被單獨使用。如果一起使用您可以去掉虛擬交換機和刀片交換機，從而使網絡層級從5層減少到3層，進而建立一個更易于擴展、易于管理和降低成本的網絡架構。DirectAttach技術如何減少網絡層級4.1.5幫助虛機無縫遷移的XNV技術極進網絡的XNV提供了服務器虛擬環境在網絡層面的可見性和控制，并且服務器虛擬化允許一個操作系統和其上所有1.傳統上，網絡策略，如訪問控制列表（ACL），服務質量（QoS）和流特征。然而，由于有了虛擬化，多個虛擬主機會和同一個物理網樣，這些策略必須和一個物理端口下的多個虛擬端口和虛擬主機（SLA）。完成（如負載均衡工具）。但是，網絡的配置——例如網絡端口上和合規性的挑戰。這反過來導致SLA不能得到滿足，增加了人力的介入（服務），通過工具來完成。而網絡管理員并不了解虛擬主機的生命周期情況。這意味著，用宕機時間，也無法滿足SLA。量，最終降低應用的宕機時間提供更好的SLA響應。2.在虛機層面配置網絡策略：網絡的業務能力如ACL、QoS、流量限制、的CPU（進行網絡流量處理的部分以將CPU資源釋放來用于應用和更多的這些要求必須是自動化的，才能降低配置的錯誤，減少服環境。一旦網絡上提供某種了網絡功能，就相當于在多個虛今天的網絡缺乏上述相應的工具和能力，因此對數據中XNV：將虛機生命周期管理引入網絡XNV是基于ExtremeXOS的交換機產品和EPICenter管理軟件中的一套需要授權使用的軟件功能。包括極進網絡的網絡實施和管理工具。XNV將高度虛擬化的數據中心的可視化、控制和自動化引入網絡。XNV帶來如下功能：1.XNV提供了集中化的基于網絡的虛機清單、虛機位置歷史信息和虛機網絡策略配置功能。XNV通過EPICenter來實現這一點——EPICenter通過標準API接口與虛機管理平臺，如VMWarevCenter或其他，進行通信。2.XNV提供集中化的網絡配置和針對于各個虛機的分布式的網絡策略。XNV通過在EPICenter集中管理的虛擬端口策略（VirtualPortProfile，與各個虛機關聯）的框架來實現這一點。VPP用于為每一個單獨的虛機配置ACL，QoS，流量限制和其他策略。VPP的執行則是在運行ExtremeOS、并使用了XNV的網絡交換機上。3.XNV可以在虛機從一臺服務器遷移到另一臺服務器時自動跟蹤它，并實時自動遷移相應這個虛機的VPP到目標交換機上去——VPP將在這臺交換機上XNV不需要對服務器的運行環境做任何更改，并可以同時與多種服務器虛擬化帶來一系列網絡的挑戰。為了應XNV為極進網絡的數據中心產品提供了一個軟件的升級包，使得網絡可以有效的應對虛擬化，無論采取的是何種hypervisor方案都無需改變服務器的操XNV還為網絡管理員提供了一條從現有的網絡基礎設施升級到虛擬化的道路，構建數據中心網絡，不僅僅考慮初期的采購成本方案的必備要素。對于國防大學，作為IT基礎設施的網絡建設，Extreme為用下圖表數據來源于全球專業的第三方評測機構TollyGroup2008年的測試報告）4.2最穩定可靠的網絡平臺本方案中的所有的交換機均采用新一代模塊化多線程操作系統XOS。XOS支持動態內核加載（KLM采用獨立進程內存保護運行模式，支持對稱多處理（SMP）和標準POSIXAPI及XML技術。通過使用模塊化多線程操作系統XOS，核心網絡設備可以提供更多的可靠性、拓展性和安全性能力，如：無中斷軟件升級（HitlessSoftwareUpgarde）。無須重新啟動設備及動態停止/重啟模塊。在某個模塊出現的故障的情況下，設備將自動進行故障模塊的單獨重新啟動。進程和線程的自動重程或線程出現故障時不會影響到其他進程和線程的廠家設備各個模塊和進程之間互相影響，某一個模DoS攻擊的自動檢測和預防POSIXAPI和XML技術保證了用戶的個性化功能擴展可由用戶配置的CLI命令接口(TCL)。用戶可以根據自己的習慣定制多平臺的運行能力。用戶可以將XOS運行在任何其他的Linux設備平對SMP（對稱多處理）的支持，為高優先級應用（如：視頻會議、實4.2.2超強的QOS服務質量保證端到端的Qos保證必不可少。Extreme的方案具有強大的Qos保證技術：特點，在保證帶寬和性能的基礎上，網絡平臺好要具有良好的QoS保層還是接入層接入交換機均具有基于物理端口、MAC地址、IP地址、TCP端口等實施帶寬控制策略和流量分類管理的能力。Extreme產品設計的追求目標之一就是為在以太網和IP技術上提供穩定的QoS能力，其核心層和匯聚層產品的個，便管理人員對各種網絡服務方式進行更加設備采用了基于16個粒度的帶寬管理方式，可以將帶寬細分成總的1/16，從而提供了出色的網絡傳輸控制解決方案。通過Extreme公司的IP-TDM技術，可以在網絡中定義類似專線的數非常高的物理QOS隊列。交換機支持每端口8個隊列。更多的隊列意優先級優先級應用方式2VoIP對延遲敏感的語音技術，小型數據包3數據存儲對延遲敏感的語音技術，大型數據包4http或者網上網站之間的傳輸6E-MAIL收發郵件7視頻傳輸網絡培訓或者視頻會議8預留優先級為將來可能的應用或者網絡管理員制定的具有特殊性的應用預留業務最強的分組分類能力。Extreme8810能夠根據IP數據包前80字全Diff-Serv標準的分組分類能力。交換機均能支持Diffserv分類、重寫(remark)標準及8個802.1p分類重寫(remark)標準。保證QOS的全網實施且與其它廠家兼容。業界唯一的最小帶寬保證，最高帶寬限速能力。每個QOS隊列均能保證最小的保證帶寬，及最高的允許帶寬，及最高的基于雙向速率協商機制的區分服務以及雙向帶自動QOS映射能力，簡化QOS的全網部署。QOS部署要求全網內實施，也就是說QOS起自客戶PC，終于服務器，因此接入層交換機還需識別來自PC的QOS標識，然后自動映射到相應的隊列，Extreme8810具備QOS自動映射能力。這樣，所有的QOS配置僅需在網絡邊緣通過網管實施QOS策略。Extreme的QOS限速在內，均為ASIC處理，保證不引入額外的時延。通過組合QOS及web/802.1x的QOS及帶寬等級。下圖是8810和同類產品在不同數據吞吐量情況下高優先級業務的優先級保證，無論流量大小，Extreme的產品高優先級的業務不受影響。務層面、用戶接入層面來分別實現。Extreme從如下幾個方面著手來保證網絡的免疫能力。本方案中采用的Extreme網絡設備，使用LPM轉發技術。區別于和其他廠家的傳統三層交換機使用基于流表的方式（IPHostForwarding）進行處理，當網絡上出現掃描攻擊的時候，會導致流表的快速溢出，引起CPU據包傳輸。通過使用LPM轉發技術，可以大大縮減快速轉發表的大小，提高每全防范的重要功能之一。ACL可以根據數據流的MAC地址、IP地址、端口號、ICMP信息、TCP/UDP略（QOS）的實施。有效增強了網絡傳輸的可控性，是網絡安全規劃的一項主然而訪問控制列表對數據包的過濾如果通過交換機的CPU來實現，則會造實際意義，轉發根本無法達到線速的數據包轉發。只有采用基于硬件的ASCI芯備的選擇中，有些廠商甚至連基本的VLAN間訪問控制都無法實現，而宣傳功Extreme的最新內網安全設備SentriantAG200能夠滿足這個需求。它能提供完整的網絡訪問控制平臺(NetworkAccessControlplatform,NAC)。這個平臺使用在多種不同的網絡基礎建設上，不分任何訪問方式（有線虛擬專用網–VPN并與多種端點設備兼容。SentriantAG200會自動測試有了上述專用的安全接入設備，配合交換機的安全功能，Extreme能夠提供未授權用戶私自接入網絡，我們可以通過在交換機上實施諸如MAC、IP、VLAN、WEBIEEE802.1X+EAP標準。通過該功能，網絡系統可以控制用戶是否能夠接入備的用戶擁有合法的用戶帳號才能接入網絡，否絡系統的。這樣就可以將非法用戶屏蔽在網絡之用戶接入認證技術可以將通過認證的用戶動態分配到特定的VLAN中，通過對VLAN的控制，最終實現對用戶可使用網絡資源的控制。WEB雜性，用戶的終端設備上無需安裝特定的客戶端軟件入認證。通過單端口上多用戶接入認證技術，可以保支持終端設備的接入控制。通過Extreme網絡設備上的MAC地址鎖定和MAC地址限制功能，網絡系統可以控制非法設備的接入，進一步強制使用DHCP的能力。在現代企業網絡覆蓋范圍日益擴大和網絡結DHCP方式來實現企業DHCP網絡的優化與管理，降低網絡管理的復雜度IP地址沖突而帶來的網絡不可用的問題。利用設備獨有的的ARPLearningDisable功能，系統管理員可以針對性地強制網絡設備上的DHCP獲得的IP地址，否則終端設興的網絡病毒與攻擊軟件與日俱增，對網絡造成的危害SQL蠕蟲病毒產生，造成了無法大型網絡癱瘓，寬帶互聯網發生前所未有的阻絡系統。網絡攻擊軟件如典型的DOS（拒絕服務攻擊）和DDOS（分布式DOS攻擊）攻擊類型，會造成包括如服務器、網絡設備、Extreme具備完善的智能化安全防御解決方案，不但可以從用戶的安全接入防患于未然。核心交換機采用獨特的CLEAR-Flow技術，CLEAR-Flow不僅具備當前RMON，sFlow，NetFlow從圖中的安全防御過程可以看出，該方案具備ExtremeXOS?CLEAR-FlowACL是每個安全策略的組成部份，控制和監視什么數據包進入和離開網絡?IngressFiltering(RFC2827/BCP38)?PrivateAddressSpaceFiltering(RFC1918)?BogonandMartianFiltering(draft-manning-dsua-07.txt)最近頻繁出現的各種DoS攻擊，使用偽裝的源IP地址給內網帶來了很多的麻2827/BCP入口過濾在RFC2827/BCP38(BestCurrentPractice)中指定。它高度IP的地址空間由InternetAssignedNumbersAuthority機構指派給各個地區的internet注冊者（RIRs）.頂級的RIRs總共有3個ARIN.AmericanRegistryforInternetNumbers()RIPE.Re.seauxIPEurope.ens()APNIC.亞太網絡信息中心()不應該有流量的。基于這個考慮。我們應該將這些未分配的地址通過ACL來過濾/assignments/ipv4-address-space.通過實現這個ACL，也可以使IPFDB的空間得到更有效的利用。2、打開CPUDOSPROTECT一個拒絕服務攻擊（Denial-of-Service:DOS）攻擊發生于一個危急的網絡同的，這就是有一類型的數據流必須要由CPU經過軟件來處理：這類數據包（由CPU軟件處理）包括：1)一個新發起的數據流（TCPSYN）2)路由和控制協議包括：ICMP,BGP,OSPFTelnet,SSH,HTTP,SNMP…）4)其他一些直接發往交換機并且必須由CPU丟棄如果任何一種類型流量被范洪，CPU都有可能變得非常繁忙并且交換機的性能將極劇下降。即便使用更快的CPU，也同樣會被無盡的洪流數據包所淹沒。某些先進的網絡核心設備所具有DOS保護的設計就是幫助交換機將這類攻服務功能。當一個泛洪數數據被交換機收到時，DOS保護將通計這類數據包。當這類數據接近報擎閥值時（4000包每秒包頭信息將會被記尋。如果閥值被達到，這種類型數據包頭將會被分析，并且一個自動基于硬件處理的ACL會被創建以限制這類數據包流向CPU。ACL將會被保留以減輕CPU負載。一定周期后，ACL將會過期，如果這種攻擊仍然發生，ACL也將再次被創建。CPUDOSPROTECT能夠抵御大多數的DdoS攻擊如，Jolt",一些病毒性攻擊會通過端口1434和1483兩個端口進行，可以通過加入相應ACL進行過濾。createaccess-listdenyudp1434udpdestinationanysourceanydenyports1434precedence360createaccess-listdenyudp1483udpdestinationanysourceanydenyports1434precedence3804、過濾ICMP包ICMP數據包是另一種我們需要關心的數據包。大量的攻擊和病毒使用ICMP數據包作為攻擊手段。但實際上internet是使用的ICMP絕大部分是ping和traceroute。大量的其它icmp類型并不使用。因此，實際上我們可以僅允許ICMP的pingecho和pingreply及traceroute所需要的TTL開放。其它的均可以關閉。createaccess-listpechoicmpdestinationanysourceanytype8code255permitportsanyprecedence30createaccess-listpreplyicmpdestinationanysourceanytype0code0permitportsanyprecedence40createaccess-listptracerouteicmpdestinationanysourceanytype11code255permitportsanyprecedence20createaccess-listdenyicmpanyicmpdestinationanysourceanytype255code255denyportsanyprecedence50務，而啟用SSH代替。以下命令關閉telnet服務2)SSHSSH2是一個更為安全的telnet替代手段。密碼并不是用明文傳送的，并且SSH2登陸客端未在Windows系統中集成，需要特殊的客戶端軟件，因此更SecureCRT(/)。在現今的網絡上，充斥著大量的網絡掃描。基于UDP137,138端口的UDP137和UDP138是netbios入到交換機的137和138包是廣播包。而交換機在默認情況下是不轉發這些廣播包的。但在某些情況下，一些掃描工具試圖UDP137和UDP138的端口，以圖找出主機上的共享文件夾。這種情況下，進入交換機的數據包會是unicast的137和138，而且通常目的地址不停變化。因此我們可以將這些UDP138和138的數據包通過ACL擋斷。保護用戶和網絡的安全。createaccess-listno-udp137-anyudpdestinationanyip-port137sourceanyip-portanydenyportsanyprecedence330createaccess-listno-udp138-anyudpdestinationanyip-port138sourceanyip-portanydenyportsanyprecedence3401.核心交換機BD8800BlackDiamond8800系列幫助您輕●全冗余系統設計●不間斷運行的模塊化操作系統-ExtremeXOS●EAPS以太網自動保護切換備份協議●最大包轉發能力－2840Mpps●面向融合應用，支持VoIP自動接入●靈活針對各種應用的連接方式●低功耗，節約能源和散熱成本BlackDiamond?8800系列BlackDiamond8800系列高性能交換機提供了高密度千兆以太網、高密度千兆以太網供電(PoE)和萬兆以太網端口。這一全能的BlackDiamond產品系列中的每個端口都支持2層-4層的全部交換功能。BlackDiamond8800系列產品按機箱的插槽數量分為10插槽的BlackDiamond8810和6插槽的BlackDiamond8806。每個企業的IT管理者都希望以有限的時間和資源管理極度復雜的專業網絡基礎。來自極進網絡的BlackDiamond8800系列交換機可幫助簡化網絡系統，同一機箱可容納針對核心、匯聚、接入和數據中心應用的各種接口板卡。它同時適用于高密度二層網絡架構，從而簡化網絡建設和運維成本。BlackDiamond8800系列交換機提供語音級可靠性，滿足語音、視頻、無線和數據傳輸的各種企業應用需要。BlackDiamond8800系列交換機的全線速端口可以互聯數以千計的服務器，組成HPCC(HighPerformanceClusterComputing)高性能計算集群。BlackDiamond8800系列交換機提供全面2—4層IPv4和IPv6交換路由功能，為企業將來應用升級作好準備。●低延遲、低能耗的數據中心或HPCC高性能計算集群服務器●目錄式鏈路安全實現更細致的安全策略控制●特有的ClearFlow威脅檢測和響應機制，應對網絡攻擊和入侵●高密度PoE在線供電邊緣接入；●針對中小型企業網絡的單交換機解決方案；●傳統的千兆和萬兆鏈路匯聚BlackDiamond8800系列交換機通過產品的前后兼容性，提供了極佳的投資保護。冗余管理模塊BlackDiamond8800交換機系果一個交換機管理模塊(MSM)管整個交換機的管理任務,該功能是交換機承載語音和其它關鍵高可靠機箱設計BlackDiamond8800交換機系負載均衡式備份電源BlackDiamond8800交換機系列支持一組（最多6個）負載分擔的冗余電源模塊。3個電源模塊即能提供2+1冗余的電源供或萬兆模塊。無需任何外置設備，內置的另外3個電源即可支持大量的POE接口供電需求。熱插拔風扇盤和冗余風扇含有9或6個風扇的托架，為BD8800系列機箱提供冗余的冷卻能力。風扇托架支持熱插拔。真正搶先式多任務和內存保護BlackDiamond8800交換機允軟件模塊動態加載ExtremeXOS的模塊化設計允許軟件模塊單獨升級并動態加載.EAPS－以太網自動保護切換EAPS允許普通IP網絡提供等同于傳統語音網絡的高級別可靠性和不間斷運行能力。EAPS優于生成樹或快速生成樹協議，提供亞秒級(50ms以內)的快速穩定切換。生成樹/快速生成樹BlackDiamond8800交換機支持802.1D生成樹、PVST+、802.1w快速生成樹和802.1s等二層冗余協快速路由備份BlackDiamond8800交換機支持高級3層協議，如OSPF、VRRP和ESRP（ESRP同時作用于網絡2層并動態引導流量的轉發和迂回。ECMP－等值多鏈路負載均衡等值多鏈路（ECMP）不僅提供負載均衡，而且支持網絡冗余恢復。大交換容量BlackDiamond8800系列交換機提供業界領先的交換性能：●3.8Tbps交換背板帶寬,2,840Mpps硬件包轉發●每塊接口卡均支持本地交換高密度線速連接BlackDiamond8800系列交換機支持更好的地址分配和地址聚合，提供更出色的端到端連接和服務。BlackDiamond8800系列交換機IPv6平滑升級。語音級連接BlackDiamond8800系列交換機每端口支持8個隊列。支持入口QoS優先級標定、控制，速率限制，支持出口802.1q標簽和BlackDiamond8800系列交換機使得建設端到端低延遲和抖動的網高密度PoE端口高密度PoE允許BlackDiamond8800交換機支持大型IP電話和無線AP部署。BlackDiamond8810在一個14RU機箱內可支持333個Class3PoE端口，或432個Class1、2PoE設備，而且無需配置外部電源。BlackDiamond8800交換機可輕松支持Class1,2或3PoE設備。鏈路層發現協議（LLDP）ExtremeXOS支持LLDP標準的發現協議，簡化了企業網絡的故障診斷并加強了網絡管理，可以精確地發現和維護網絡的拓撲結構。通用端口—VoIP自動接入BlackDiamond8800交換機具備了承載融合應用的良好基礎，企業網的設備可以實現即插即用，方便許許多單個協議進程－如OSPF、STP生成樹－獨立運行，這將提高系統完整性并幫助抵御拒絕服務式攻擊（DoS）。進程監控和重啟ExtremeXOS通過進程監控和重1,968個無阻塞千兆接口，或582個萬兆接口，為集群應用提供高性能、低成本的接入方案。IPv6支持IPv6令數以萬億記的IP地址成為可能，并支持更好的地址分配和地址聚合。BlackDiamond8800系列交換機支持硬件IPv6，保證未來企業網絡IPv6平滑升級。實現語音和無線服務的輕松部署而BlackDiamond8800的通用端口功能采用LLDP和事件觸發命令腳本實現VoIP的自動接入。該機制允許自動發現并動態配置交換機接入端口的VLAN和QoS，甚至可自動配置IP電話的參數：語音VLAN，呼叫服務器IP地址等等，從而極大地簡化了網絡的管理和操網絡認證可實現用戶接入認證和訪問控制。BlackDiamond8800系列交換機支持全面的網絡登錄方式，如：802.1x客戶端、web(無需客戶端)和基于MAC地址認證。通過這些認證方式，用戶將被分配至指定的VLAN，并啟用自動配置腳本，為該用戶動態分配ACL、QoS等策略。實現全網細致的安全控制。共享端口是網絡中潛在的安全盲區。交換機的多客戶端支持確保在同一共享端口下的每個用戶或設備單獨認證并分配其相應的策略和VLAN。融合網絡經常會使用共享端口，多客戶端支持使得IP電話和無線服務主機健康檢查主機健康檢查可隔離受感染或不符合安全政策的主機。極進網絡支持的主機健康檢查方案是基于TCG的安全模型。BlackDiamond8800結合極進網絡的SentriantTAG200終端安全設備－可確保每個終端滿足設定的安全策略，同時隔離那些不符規則的終端MAC地址安全MAC地址安全保證一個端口鎖定某個給定的MAC地址或限定端口的MAC地址數量。這個特性可保證只端口，從而防止端口濫用。同時，可定義鎖定超時時間，保護網絡免受快速變化的MAC影響。ExtremeXOSIP安全體系保護網絡服務(如DHCP、Clear-Flow安全機制Clear-Flow安全機制可檢測并防御快速攻擊，具備與SentriantNG300等安全設備聯動的能力。sFlow?sFlow是基于采樣的技術，它能夠同時監控所有端口的應用層數據流。交換機的sFlow進程將采樣數據打包并通過網絡發送給sFlow收集軟件，然后由該收集軟件生成最新的全網流量圖，方便網絡排障、擁塞控制和網絡安全威脅發現端口鏡像BlackDiamond8800支持多對一、跨模塊的端口鏡像和遠程鏡像，可將流量鏡像至外部安全設備，如:入侵檢測設備，用于流量分析或在網絡遭受攻擊時，管理員診斷網絡的工具。線速ACL包過濾BlackDiamond8800交換機支持硬件ACL，可識別L2/L3/L4包頭信息，如：MAC、IPv4和IPv6地址或TCP/UDP端口等信息。BlackDiamond8800系列接口模塊每24個端口支持全局的ACLs，提供良好的ACL靈活性。DOS拒絕服務式攻擊防護BlackDiamond8800可有效防御DoS攻擊。如果交換機發現異常多的數據包出現在CPU入口隊列，它能夠自動創建ACL防止其進入CPU。一段時間后，這些ACL會自動刪除。如果攻擊持續，這些ACL會重PBR策略路由策略路由提供更靈活的網絡流量管理機制。通過基于ACL的PBR策略路由，數據包可以匹配設定條件，如：DNS)和主機免受欺騙或中間人式攻擊。它同樣可建立一個可信的MAC/IP/端口對應關系數據庫，保護網絡不受靜態定義或假冒IP地址的影響。虛擬路由交換BlackDiamond8800支持虛擬路由交換功能，可將一個物理設備劃分為多個獨立的虛擬交換機。每個彼此隔開，非常接近最高安全級別的“物理隔離”要使用虛擬路由交換功能，管理員可建立單獨的管理網絡或單獨的客戶網絡，同時保證任何一個網絡不會給其它網絡帶來負面影響。QoS，VLAN，IP地址，協議，端口等，按照指定的路基于ASIC的LPM最長匹配包轉發ASIC硬件實現的LPM最長匹配路由轉發機制無需控制平面學習新數據流，抵御DoS攻擊能力更強。綠色環保節能BlackDiamond8800系列交換機配置432個千兆界領先的綠色節電水平，可幫助節省大量能耗和散熱BlackDiamond8810●3.872Tbps總交換容量（包含本地交換）●2.080Tbps交換容量●2,840Mpps2層硬件轉發速率●2,840Mpps3層硬件轉發速率BlackDiamond8806●1.952Tbps總交換容量（包含本地交換）●1.056Tbps交換容量●1,420Mpps2層硬件轉發速率●1,420Mpps3層硬件轉發速率BlackDiamond8810●217端口10GBASE-X(194端口，冗余MSM配置)●864端口10/100/1000BASE-T(768端口，冗余MSM●440端口1000BASE-XSFP(400端口，冗余MSM配置)BlackDiamond8806●121端口10GBASE-X(98端口,冗余MSM配置)●480端口10/100/1000BASE-T(384端口,冗余MSM●248端口1000BASE-XSFP(208端口,冗余MSM配●8900-G96T-c96端口10/100/1000BASE-T千兆以太●G48Te48端口10/100/1000BASE-T千兆以太網模塊●G48Pe48端口10/100/1000BASE-TPoE千兆以太網●G48T48端口10/100/1000BASE-T千兆以太網模塊●G48P48端口10/100/1000BASE-TPoE千兆以太網模塊●G48Te248端口10/100/1000BASE-T千兆以太網模塊●G24X24端口1000BASE-X千兆以太網模塊,需額外mini-GBIC●G48Xa48端口mini-GBIC●G24Xc24端口●G48Xc48端口1000BASE-X千兆以太網模塊,需額外1000BASE-X千兆以太網模塊1000BASE-X千兆以太網模塊●10G4X4端口10GBASE-X萬兆以太網模塊,需額外XENPAK●10G4Xa4端口XFP●10G4Ca4端口●10G4Xc4端口XFP●10G8Xc8端口XFP10GBASE-X萬兆以太網模塊,需額外10GBASE-CX4萬兆以太網模塊10GBASE-X萬兆以太網模塊,需額外10GBASE-X萬兆以太網模塊,需額外●8900-10G24X-c24端口10GBASE-SFP+萬兆以太網模塊,需額外SFP+支持交流或直流DC供電MSM管理模塊●該MSM管理模塊包含控制管理部件和交換引擎●MSM-G8X模塊BlackDiamond8800MSM,含有81000BASE-XMini-GBIC端口●MSM-48BlackDiamond8800MSM，無I/O端口●MSM-48cBlackDiamond8800MSM,可安裝I/O接口卡●8900-MSM128BlackDiamond8900MSM,可安裝I/O●S-G8Xc8端口1GSFP卡(可選附加在MSM-48c/8900-MSM128上)●S-10G1Xc1端口10GXFP卡(可選附加在MSM-48c/8900-MSM128上)●交流供電輸入電壓范圍:85-264V~功率700W，90V-100V~功率1200W，200V-220V●48V直流供電，功率1200W尺寸BlackDiamond8810機箱:●24.47”高x17.51”寬x18.23”BlackDiamond8806機箱:●17.5”高x17.51”寬x18.23”MSM模塊：●1.63”高x15.26”寬x15.25”●1.63”高x15.26”寬x15.25”●運行溫度范圍:0Cto40C(32Fto104F)●運行濕度:10%to93%相對濕度,非冷凝●運行震動(HalfSine):30m/s2(3g),11ms,60Shocks2.SummitX670●在1RU的標準機架空間，提供48個無阻塞的萬兆以太網口●可以選配4個40G以太網上連接口模塊●可以選配160Gbps堆疊模塊，可以最大堆臺X670提供384個萬兆以太網接口SummitX670作為專業定制的高性能交換機，特別適于新興的采用萬兆以太網的服務器在企業數據中心的部署。SummitX670可以用于優化部署新型的服務器，同時提供從傳統的采用千兆以太網技術的傳統服務器的逐漸過渡升級，并進一步全面演化到虛擬數據中心的架SummitX670系列交換機在緊湊的1RU的機架高度提供了非常高密度的萬兆以太口，單臺可以提供到64個萬兆端口，整個堆疊系統可以●在網絡任意位置xtreme交換機都是使用一致的操作系統SummitX670在極低的轉發時延和高擴展的IPv4/IPv6單播和組播接口方式和無源銅纜方式路由能力基礎上，提供了高密度的●不論采用10Gbase-T還是SFP+的接口，都可以做到千兆二層和三層萬兆交換可，以使X670和萬兆的雙速率支持，使得網絡平滑地從千兆向萬兆遷移在企業交流或直流電源的環境中作●ExtremeXOS?模塊化操作系統支持高可靠的網絡運行SummitX670使用了模塊化的●包含了以太網自動保護切換技APS的運營商級的冗余●內置冗余AC/DC電源和可在線替換的風扇●豐富的MAC和IP地址安全架構●用CLEAR-Flow安全規則引擎進行網絡入侵檢測和防御ExtremeXOS?操作系統，這個操作系統使用在Extreme所有的交換機上，從而簡化了網絡的運維。ExtremeXOS操作系統讓網絡的任何部分都使用一個操作系統，使●在企業數據中心作為連接服務器的TopofRack架頂交換機●作為小型高性能計算系統的萬兆核心交換機●作為傳統三級網絡中的高性能萬兆匯聚交換機●作為HPCC高性能集群的低延時互連交換機SummitX670以模塊化操作系統ExtremeXOS驅動，采用卓越的高性能堆疊技術，以及專用的能力為數據中心和HPCC高性能計算環境提供了強健的支持。SummitX670提供基于IEEE802.3an標準的24個無阻塞10GBASE-T接口或者10GBASE-XSFP+接口。SummitX670具備了1RU空間里1.28Tbps的二層和三層包轉發能力使，得在數據中心部署高性能下一代服務器成為可能。通過多功能接口模塊VIM提供的靈活架構，使得所配置670可以最適合實際的網絡需求SummitStack堆疊支持SummitX670的缺省配置支持與目前常見的SummitX250e、SummitX450e、SummitX450a交換機進行混合堆疊的解決方。于SummitStack的支持提供了一條從千兆服務器到高個SummitStack40G堆疊端口來簡單管理千兆和萬兆的混合堆疊環境。缺省安裝在X670上的VIM1-SummitStack模塊提供了SummitStack的支持。最高達80Gbps的專用上連SummitX670通過安裝可選VIM-10G8X模塊，支持額外的8個萬兆以太端口，這個模塊提供了8個萬兆SFP+接口以及40G的SummitStack端口。選配了這個模塊后，可以在使用8個萬兆口上聯的同時，提供24個萬兆服務器連接端口這。個選配的VIM-10G8X模塊通過80G匯聚后提供了連接主干的理想帶寬。使用了這個8端口SFP+萬兆模塊后，X670在1RU的空間最多可以支持高性能計算機集群(HPCC)越多被采用。使用了SummitX670，集群可以通過低延時的萬兆來連接，這將大大有利于增加HPCC系統的計算能力。SummitX670設計用來部署需要高性能萬兆以太網交換和路由的多種應用。通過提供企業核心級別的擴展能力，SummitX670可以用在用戶需要萬兆以太網絡的任何地u。mmitX670和Extreme的其他以太網交換產品一樣，運行同一EtremeXOS模塊化操作系統。在企業園區網絡中，不論是小型核心骨干還是傳統的三級網絡結構，都存在高性價比的萬兆以太網交換機的需求。SummitX670不僅可以提供下一代服務器接入，還可以給萬兆以太園區網匯聚層的應用提供核心級別的路由交換擴展能u。mmitX670可以提供12000條IPv6LPM路由表、6000個IP/ARP表項、2000個IP組播組。Extreme網絡公司提供一個統一的操作系xtremeXOS貫穿整個產品線，從而簡化了網絡的運行維護。從10/100Mbps的交換機如SummitX150和SummitX250e到多萬兆核心骨干運行和維護整個網絡。SummitX670有2種機型。一種解決方案基于最新IEE標準802.3an10GBASE-T，通過UTP雙絞線來使用萬兆0GBASE-T符合行業標準在，使用Category5e或更高等級的線纜時，可以支持最大100米的傳送距離。10GBASE-T是跨銅線架構的第1個可以達到100米的標準。另一個解決方案是基于最新SA技術稱為SFP+。SFP+的機型可以支持最長到10米無源銅纜和SFP+光纖接口。10GBASE-T和SFP+都支持靈活的千兆和萬兆的雙接口速率10。GBASE-T通過自動協商可以降到1000BASE-T，通過UTP雙絞線提供統一的10GBASE-T和1000BASE-T的統一架構。根據用戶所選擇的可插拔光模塊S，FP+端口可以安裝10G的SFP+光模塊和1G的SFP光模塊，可以分別在這兩種模式下正常工作。具備了可以現場更換風扇的、高效的從前到后通風方式。采用ExtremeXOS操作系統，SummitX670支持進程恢復和應用升級時無需系統重u。mmitX670通過先進的模塊化操作系統、高可靠的硬件架構以及運營商級的網絡冗余協議，為關鍵業務服務和應用提供極高的網絡可用性。SummitX670交換機允許每個應用進程－SPF、STP生成樹－作為獨立的系統進程運行，從ExtremeXOS通過進程監控和重啟大大提高網絡可靠果某個進程沒有響應或停止運行，它可以被自動重啟。EAPS－以太網自動保護切換EAPS允許普通IP網絡提供等同于傳統語音網絡級別的高可靠性和不間斷運行A力P。S比STP或者RSTP協議具有更強的適應性并可以提0ms以內的快速穩定切換，不會lan數量、網電話將不會丟失連接，數字視頻不會有馬賽克或卡殼。SummitX670交換機支持802.1D生成樹、PVST+、802.1w快速生成樹和802.1s等二層冗余軟件增強的可靠性保證了即使部分網絡發生故障時，仍然可以保持網絡的連可以通過OSPF協議、VRRP和ESRP協議等，持續的檢查上聯鏈路的問題并，通過動態路由避開等價多路徑E（CMP）路由允許在多條鏈路之間將數據流量進行負載均衡，既提高了性能，節約了成本的同時還可以做到冗余故障保護。鏈路匯聚允許最多8個鏈路匯聚形成一個邏輯中繼鏈路，提供8bps冗余帶寬。語音級交換機堆疊SummitStackSummitX670缺省支持高速40Gbps堆疊，這些SummitStack堆疊架構設計用于支持關鍵業跨堆疊的鏈路匯聚能力和分布式的上連能u。mmitStack支持每堆疊組最多8個交換機，并支持構建混合的堆疊組，如在堆疊中加SmmitX67SummitX450SummitX450e和SummitX670使用SummitStack堆疊技術提供了類似插槽式交換機的管理性和可靠性。SummitX670支持雙冗余的AC或者DC電源來提高系統的高可靠性。電源模塊可以做熱插拔的在線更換。SummitX670還支持現場更換風扇。部署一個安全的網絡意味著需要在網絡的邊界到核心提供保護。通過xtreme網絡公司的Sentriant系列產品協同工作，SummitX670用深度防御策略保護您的網絡避免已知或潛在的威豐富的MAC和IP的安全功能MAC地址安全MAC地址安全保證一個端口鎖定某個指定M的AC地址或限定端口的MAC地址數量。這個特性可必需的特性。同時，可定義鎖AC地址老化時間，保護網絡免受快速變化M的AC影響。ExtremeXOSIP安全體系保護網絡服務(如DHCP、DNS)和主機免