产品简述

语音级的高可用性

• 冗余的硬件设计
• 模块化的XOS操作系统
• 高可用的以太网弹性协议.

高性能的连接

• 每槽位350Mpps的转发容量 (三代引擎）
• 2840Mpps的整体转发能力，每一端口都可实现线速转发（三代引擎）
• 单机箱可拥有高达864个千兆以太网端口，或216个万兆以太网端口

全面的安全特征

• 加强用户策略和主机的完整性
• 网络入侵检测及响应功能
• 坚固的攻击防御体系

语音级的高可用性

      高性能的网络连接，不论是PC与IP电话的接入层连接，或是集群服务的互连，都必须建立在高可用性的基础上。iSpirit8800系列模块化交换机将硬件的全方位冗余和模块化的操作系统实现了有机的统一。iSpirit8800的操作系统可实现不停机的系统恢复与应用升级，提供具有网络恢复功能的网络协议。

1) 冗余的硬件设计

• 冗余管理模块

      iSpirit8800模块化交换机系列提供故障条件下的自动切换机制，当一个管理模块失效时，第二个管理模块自动接管对整个交换机的管理功能。这一特征对语音及其余关键进程应用非常重要。

• 高可用性机箱设计

      iSpirit8800系列交换机采用具有高可用性组件的无源背板，包括隔离的控制及数据背板，冗余的电源分配控制、风扇控制及环境监测，使在影响整个网络可用性之前就可判断出现的异常状况。

• 冗余的负载均衡电源系统

     iSpirit8800系列的机箱支持多达6个电源同时供电的负载共享冗余电源，3个电源即可为满载的千兆或万兆以太网端口模块提供了2+1的电源冗余。其余的3个电源提供大功率的PoE电源输出。支持负载均衡的电源工作模式，可实现1+1，1:1，2+2，2:2，3+3，3:3的工作方式。

• 冗余的可热插拨的冷却风扇

     可配置9个风扇，用于iSpirit8810机箱的冷却，只有在3个风扇同时处于故障状态时才需要更换。风扇架本身也可热插拨，风扇架的更换不影响iSpirit8810交换机的持续运行。

• 单独的硬件设备监控功能

      通过详细的独立硬件设备监控管理，可有效的对系统状态、进程运行情况、CPU处理情况、电源供电、风扇转速、板卡工作情况等进行实时监控，当出现任何硬件故障时，第一时间发出报警信息，增强了核心交换机的可靠性能。

2) 模块化的操作系统确保不间断运行

• 真正的抢占式多进程，使用受保护内存

      iSpirit8800系列交换机允许众多的任务，如OSPF、STP等作为操作系统独立的任务来运行，避免相互之间的干扰和影响，如下图所示：

图一 XOS模块化的操作系统

• 进程监测与重启

      iSpirit8800系列交换机的XOS操作系统独立地实时监测各个正在运行的操作系统进程，极大地提高了网络的可用性。任何一个不响应或停止运行都可以自动地重启。

• 可手动加载的操作系统模块

      模块化设计可方便地在运行中的操作系统中增加新的模块，而不需要重载整个新的操作系统，也不需要重新启动交换机，即可扩展交换机的功能。

3) 高可用性的网络协议

• EAPS

      EAPS允许IP网络提供传统的语音网络所具有的自愈弹性和稳定。EAPS超越了生成树或快速生成树提供的恢复速率（低于50ms），提供与Vlan个数、网络节点数或网络拓扑类型无关的稳定的故障切换。在出现链路故障的大多数情况下，EAPS可使网络在极短时间内恢复，避免明显的VoIP的呼叫丢失或数字视频流停顿或出现马赛克

• 生成树/快速生成树协议

     iSpirit8800系列交换机支持生成树、基于Vlan的生成树、快速生成树协议，提供2层的稳定性。

• 通过软件增强可用性

      软件加强的可用性使用户即使在某些网络底层架构完全停止继续保持与网络的连通性。iSpirit8800系列交换机使用高级的三层协议，如OSPF、VRRP、ESRP、以及动态路由协议来持续地检查上连链路的连通性。

• 等开销多路径

      等开销多路径功能实现多个上连端口之间负载均衡，节省费用，提高性能，故障冗余切换等功能。一旦某一上连端口失效，其流量将自动路由到剩余的上连链路，保持稳定的连接

• 链路聚合 (802.3ad)

      跨模块的链路聚合可实现单一逻辑链路多达8条物理端口，因此可构建高达80Gbps带宽的的冗余连接。

高密度的核心/汇聚交换机

      iSpirit8800系列交换机提供高性能，低成本的连接，顺应了网络边缘设备如IP电话、无线AP、以及其余设备等等大幅度增加的发展趋势。这些发展趋势需要大量的千兆以太网需口提供桌面接入，以及需要万兆端口来完成上连。

1) 海量交换能力

• 3.8 Tbps总交换机容量  (三代引擎）
• 256Gbps每个I/O槽位  (三代引擎）
• 2840Mpps的2层/3层硬件转发能力  (三代引擎）
• 每一个I/O模块都可实现本地交换

2) 高千兆及万兆端口密度

• 10/100/1000BASE-T: 768 个（8810，2个管理模块），或864个（8810，1个管理模块）
• 1000BASE-X: 400（8810，2个管理模块），440个（8810，1个管理模块）
• 10 Gigabit: 192个（8810，2个管理模块），216（8810，1个管理模块）
• 当使用两个管理模块时，所有端口可同时达到线速

3) 高千兆PoE端口密度

iSpirit 8810

• 432个Class 1 or 2的端口(线内功率4瓦及7瓦)，802.3af标准
• 333个Class 3端口 (线内功率15.4)，802.3af标准

iSpirit 8806

• 192个Class 3端口 (2个管理模块，线内功率15.4瓦)，802.3af标准
• 240个 Class 3端口(1个管理模块，线内功率15.4瓦)

4) 语音级的连接

      iSpirit8800支持每端口8个QoS队列，支持数据包的优先级分类，和对高优先级的预处理，如在端口入口应用策略或限速、802.1q标记、Diffserv标记等，在出口实施流量整形等. 

高密度PoE端口

      PoE使iSpirit8800系列交换机支持大量的IP电话设备及无线AP设备。iSpirit8800在单个14U的机箱高度内支持多达333个Class 3的端口，或支持多达432个Class 1或Class 2的端口。  

一体化的接入架构

      iSpirit8800支持一体化接入架构，企业可以在一个网络中实施有线、无线接入的安全无缝连接，而不需要并行投入两个分离的或平行网络。

5) 集群计算连接

高密度线速连接

      iSpirit 8800系列交换机在单个7英尺机架内可支持1200个无阻塞千兆端口，或将近100个无阻塞万兆端口，使iSpirit8800可以提供非常经济的集群互接。

本地交换 

      连接到同一个I/O模块的各服务器间的通讯不需要越过交换机背板，减少了服务器间的延迟。

超大帧

      对超大帧的支持使集群计算应用可以极大地提高网络的性能。 

全面的安全特性

      构建一个安全网络要求具有全面安全特征的交换机。iSpirit8800交换机的安全特性包括三个方面：用户及主机的完整性、安全威胁检测及响应、强化的网络架构。

1) 用户与主机的完整性 

智能化的网络接入

      智能网络接入增强了用户许可和使用策略。iSpirit8800系列交换机支持全面的网络登录选择，如802.1X认证、Web登录、基于MAC地址的设备认证等等，通过这些认证方式，只有被授权用户或设备才能接入至网络成为某个Vlan的成员，使用相应的网络资源。 

多种接入请求支持

     多种接入应用支持确保了IP电话、无线接入的安全性。收敛的网络设计常常涉及端口的共享，例如:

• PC通过IP电话接入至网络，从而共用同一个端口
• 多个用户接入至无线AP，共享同一个物理PoE端口

      这些共享的端口隐含了对网络的潜在威胁。交换机可分别支持多种接入请求可对共享端口上的每一个用户或设备进行独立的识别并赋予相应的策略权限。 

基于MAC的接入控制

      MAC锁定功能保证了IP电话、无线AP以及服务器的安全。iSpirit8800可通过MAC地址安全/锁定功能阻止与预先配置的MAC地址不相同的工作站接入至以太网端口。这一特征常用于在特定端口只允许某一个设备，如IP电话，无线AP或服务器等的网络接入。 

主机完整性检查

      主机完整性检查有助于将被感染的或不匹配主机排除在网络之外。iSpirit8800系列交换机可建立可信计算组模型，解决主机或终端接入点的完整性问题。

2) 安全威胁检测与响应

sFlow

       sFlow是一种采样技术，可同时提供对所有端口应用层流量的持续监视。sFlow代理是一个运行于iSpirit8800的软件进程，它将数据打包成sFlow数据报文，通过网络送至sFlow收集器。收集器对这些数据报文进行详细的分析，以助于排除网络故障、控制壅塞、检查安全威胁的出现。

端口镜像

      iSpirit8800系列交换机可实现多对一，以及跨模块的端口镜像，提供入侵检测及防御功能。可用于将流量镜像至外部的网络设备，如入侵检测设备，以进一步分析其安全状况，或者可被管理者用作抵御网络攻击的一种诊断工具。

线速ACL

        ACL是控制网络资源使用、保证网络安全、保护网络的最为强大的工具之一。iSpirit8800系列交换机支持多达48,000条基于2至4层的ACL。

采用iSpirit8800可降低网络设计的成本

       利用iSpirit8800，可将传统的网络汇聚层和网络边缘层合并为一个接入层，同时iSpirit8800又充当核心角色。一个包含核心层和接入层的两层网络结构可以减少交换机的数量，减少网络拥有成本，降低网络管理费用。在一定的规模和地理跨度下，一个两层的网络可以成为社区网络的最经济方案。iSpirit8800系列交换机在网络投资方面有以下特征：

• MSM上的上连端口减少了系统投资项目。
• 所有的iSpirit8800交换机可共用相同的管理模块和I/O模块，可减少备件数量。
• 所有的iSpirit8800系列交换机与iSpirit10808核心交换机使用相同的电源模块，有效减少备件数量。
• 所有的iSpirit8800系列交换机与iSpirit10808核心交换机采用相同的操作系统和管理软件，可简化对整个网络的管理

3) 坚固的网络架构

DoS攻击保护

      iSpirit8800系列交换机在处理DoS攻击方面表面尤其优异。如果交换机在CPU进入队列中检测到异乎寻常的大量数据包，它将自动形成一条ACL，以阻止这些数据包到达CPU。一段时间后，ACL被移除。如果攻击继续存在，那么就重复建立ACL的过程来阻止这些数据包。

基于ASIC的最长匹配路由

      最长匹配路由使控制板软件不需要不断地学习并添加来自新流量中的路由信息，使网络在DoS攻击情况下保持抵御和自我恢复的能力

安全的设备管理

       SSH2, SCP和SNMPv3等协议的采用，防止设备管理会话进程被截获并实施拦截式攻击。

       支持使用802.1ag,802.3ah的OMA模型，可根据运营商网络运营的实际需要，将网络的管理工划分为3大类：操作（Operation）、管理（Administration）、维护（Maintenance），使以太网到城域网、广域网的技术引入变得更容易，而管理成本却没有改变。

MD5认证

        路由协议的MD5认证防止了对有用信息的篡改和对路由信息交换会话的攻击。