H3C S5590-EI系列交换机

完备的安全控制策略 H3C S5590-EI系列交换机支持EAD（终端准入控制）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接

入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 H3C S5590-EI系列交换机支持集中式MAC地址认证、802.1x认证、支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；支持配合H3C公司的iMC系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。 H3C S5590-EI系列交换机提供增强的ACL控制逻辑，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的浪费。另外，H3C S5590-EI系列交换机还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。 MACsec硬件加密 MACsec（Media Access Control Security，MAC安全）定义了基于IEEE 802局域网络的数据安全通信的方法。MACsec可为用户提供安全的MAC层数据发送和接收服务，包括用户数据加密、数据帧完整性检查及数据源真实性校验。 MACsec通常与802.1X认证框架配合使用，工作在802.1X认证过程成功之后，通过识别出已认证设备发送的报文，并使用MKA（MACsec Key Agreement，MACsec密钥协商）协议协商生成的密钥对已认证的用户数据进行加密和完整性检查，避免端口处理未认证设备的报文或者未认证设备篡改的报文。 H3C S5590-EI系列交换机支持升级的MACsec加密技术，采用256bit加密算法，进一步提高了数据的安全性；此外S5590-EI系列交换机基于特殊的硬件设计，具备全端口MACsec加密能力，可以为设备所有端口提供256bit MACsec加密，保障数据安全。多重可靠性保护 H3C S5590-EI系列交换机具备设备级和链路级的多重可靠性保护，采用过流保护、过压保护和过热保护技术。 H3C S5590-EI系列交换机，支持可插拔交、直流双电源模块，支持“1+1”电源冗余，以及可插拔双风扇可靠性设计，可以根据实际环境的需要灵活配置交流或直流电源模块、灵活配置前后风道通风或者后前风道通风，此外整机还支持电源和风扇的故障检测及告警，可以根据温度的变化自动调节风扇的转速，这些设计使设备具备了更高的可靠性。除了设备级可靠性以外，该产品还支持丰富的链路级可靠性技术，包括LACP/STP/RSTP/MSTP/Smart Link/RRPP/ERPS/PVST快速环网保护机制等保护协议，支持IRF2智能弹性架构，支持1：N冗余备份，支持环形堆叠，支持跨设备的链路聚合，极大提高网络可靠性，当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。支持硬件层级双boot，采用两个Flash芯片存储boot软件（系统引导程序），实现硬件级boot冗余备份，避免Flash芯片故障导致交换机无法启动。支持ISSU（不中断业务升级）、OAM（操作、管理和维护），充分满足了网络对设备高性能、易管理及绿色节能的需要。 VxLAN特性 H3C S5590-EI系列交换机支持VxLAN (Virtual Extensible LAN，虚拟扩展局域网)技术， VxLAN通过将虚拟机发出的数据包封装在UDP中，并使用物理网络的IP/MAC作为outer-header封装后在物理IP网上传输，到达目的地后由隧道终结点解封并将数据发送给目标虚拟机，解决了地理分散的数据中心之间远距离虚拟机迁移问题，可支持模式，实现自动建立隧道。 Telemetry可视化 H3C S5590-EI系列交换机支持Telemetry技术，可通过GRPC协议将交换机的实时资源信息与告警信息上送至运维平台，运维平台针对实时数据进行分析，可实现网络质量回溯，故障排查，风险预警，架构优化等功能，保障用户体验。 Netstream可视化 NetStream 是基于网络流信息的统计技术，定义了一种用于设备输出网络流量的统计数据的方法，设备对通过其转发的数据进行统计和分析，并上报给网络流量分析器，经合并处理后存入数据库，供后续进一步的分析处理。 H3C S5590-EI系列交换机支持Netstream网络流信息统计技术，可实现流量的分析和统计，并建立流表实现单向/双向NetStream功能。 MOD丢包镜像 MOD（Mirror On Drop，丢包镜像）是一种专门用来监控报文在设备内部转发过程中发生丢包的技术。一旦MOD监控到设备内部发生丢包，就会立即收集丢包发生的时间、丢包原因和丢弃报文特征，并上报给远端采集器，以便管理员及时了解设备内部发生的丢包情况。 H3C S5590-EI系列交换机支持MOD丢包镜像技术，可以监控特定流量在设备内部转发过程中、由特定原因引起的丢包事件，并在发生丢包时收集相关信息，上报给采集器。丰富的QoS策略 H3C S5590-EI系列交换机支持支持L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WFQ（Weighted Fair Queuing）、SP+WFQ三种模式。支持CAR（Committed Access Rate）功能。支持出、入两个方向的端口镜像，用于对端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。同时H3C S5590-EI系列交换机还支持sFlow功能，对网络上的数据包进行采样，在千兆/万兆高速的网络上地监控网络流量，用于对网络流量进行统计分析和控制。 PoE能力 H3C S5590-EI系列交换机可支持PoE+（802.3at）/PoE（802.3af）功能，单端口高可提供30W供电，能够为AP、摄像头等受电设备（PD）进行远程供电，此外H3C S5590-EI系列还将AI能力融入到PoE技术中，使得PoE交换机可以支持： Fast PoE：PoE交换机上电后，支持10S以内为PD设备供电，无需等待交换机启动完成 Perpetual PoE：交换机使用命令进行热重启时，保证受电设备的供电不会发生中断，维持受电设备的正常运行