原标题：博通万兆交换机BCM53346

应用领域:通信广电

方案类型:成品

主要芯片:博通BCM56160

方案概述

1.产品功能描述

24个千兆电口+4个万兆SFP光口

全管理型交换机

2.产品应用范围:运营商、企业、电力行业、校园网、楼宇、安防

3.产品特点优势总结

强大的业务处理能力

支持IEEE 802.1Q VLAN,用户可以按需求灵活划分VLAN。

支持语音VLAN,为语音数据流配置QoS参数,提高语音数据流的传输优先级、保证通话质量。

支持QoS,支持基于端口、基于802.1P和基于DSCP的三种优先级模式和Equ、SP、WRR、SP+WRR四种队列调度算法。

支持ACL,通过配置匹配规则、处理操作以及时间权限来实现对数据包的过滤,提供灵活的安全访问控制策略。

支持IGMP V1/V2组播协议,支持IGMP Snooping,满足多终端高清视频监控和视频会议接入需求。

支持组播VLAN、组播过滤,高效传输数据,节省网络带宽,降低网络负载。

支持端口监控,将被监控端口的数据包复制一份到监控端口,实现网络监控。

完备的安全防护机制

支持IP地址、MAC地址、VLAN和端口四元绑定,对数据包进行过滤。

支持ARP防护,针对局域网中常见的网关欺骗和中间人攻击等ARP欺骗、ARP泛洪攻击等进行防护。

支持IP源防护,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒。

支持DoS防护,支持防护Land Attack、Scan SYNFIN、Xmascan、Ping Flooding等攻击。

支持802.1X认证,为局域网计算机提供认证功能,并根据认证结果对受控端口的授权状态进行控制。

支持端口安全,当端口学习MAC地址数达到最大数目时停止学习,防范MAC地址攻击和控制端口网络流量。

多样的可靠性保护

支持STP/RSTP/MSTP生产树协议,消除二层环路、实现链路备份。

支持生成树安全功能,防止生成树网络中的设备遭受各种形式的恶意攻击。

支持静态汇聚和动态汇聚,有效增加链路带宽,实现负载均衡、链路备份,提高链路可靠性。

PoE供电功能

PoE机型支持IEEE 802.3af/at PoE供电标准,满足安防监控、无线覆盖等场景PoE供电的需求。

支持在Web网管界面设置基于用户自定义的时间段控制PoE端口供电。

支持在Web网管界面配置PoE端口优先级,当剩余功率不足时,优先保障高优先级端口的供电。

PoE机型每端口PoE输出功率最大可达30W,用户可以在Web网管界面设置端口可提供的最大功率。

轻松的运行维护

支持Web网管、CLI命令行(Console,Telnet)、SNMP(V1/V2/V3)等多样化的管理和维护方式。

支持HTTPS、SSL V3、TLSV1、SSHV1/V2等加密方式,管理更安全。

支持RMON、系统日志、端口流量统计,便于网络优化和改造。

支持LLDP,方便网络管理系统查询及判断链路的通信状况。

三、产品规格

4.产品实物图片

BCM5334X SERIES

24-Port WebSmart GbE Switch with Four 1G/10G Uplinks, Integrated CPU and 16 Copper PHYs

The BCM53344 and BCM53346 System-on-a-Chip (SoC) switch family offers industry-leading integration and performance in a small footprint.

The device offers up to 24 multilayer Gigabit Ethernet (GbE) ports and a maximum of four integrated 1G and 10G SerDes transceivers, respectively, in a small package. Offering the industry's highest level of integration, the BCM53344 and 53346 have embedded 16 GbE (Physical Layers) PHYs and a powerful 400 MHz ARM® Cortex™-A9 processor. The BCM53344 and BCM53346 are ideal for cost-sensitive edge connectivity applications, such as WebSmart switches for small to medium businesses (SMB).

The BCM53344 and 53346 device family offers I/O configurations that address key segments of edge connectivity. To reduce the overall system cost, the device is engineered for low-power operation to enable up to 48x GbE + 4x 10GbE (or 13G stacking) designs. Furthermore, the device I/O is optimized for simplified board layout. When used with the Broadcom QSGMII PHY, both the BCM53344 and 53346 devices can be connected to the PHYs without any trace crossovers.

特点

Integrated high-performance Cortex-A9 processor

Highly integrated 24-port 10/100/1000 Mb/s Ethernet switch SoC

Embedded 16 integrated copper 10/100/1000 EEE PHYs

Two integrated QSGMII/1GbE interfaces

Non-blocking architecture, full wirespeed performance for 24x GbE and 48x GbE systems

Fully integrated 1.5-MB packet buffer

BCM53344 includes up to four GbE or two GbE + two HiGig-Duo™ cascade ports for non-blocking 48-port design

BCM53346 includes up to four XFI/SFI uplink/stacking ports or two XFI + two HiGig-Duo™ cascade ports

Applications

Home and Small Business Servers (switching)

【万兆交换机】

万兆交换机的出现彻底实现了私有网络到大众网络的融合,并且其能够提供在一秒钟超过10个G的吞吐量,这是传统的交换机所不能做到的。作为兼容于以往的最新以太网技术,万兆以太网不仅仅是以太网的“高速翻版”,万兆以太网第一次提出了万兆广域以太网技术,第一次实现了私有网络到公众网络的融合。

特点

万兆端口

万兆端口有两种:最初出现的为端口拓展型,此类型需要在交换机扩展口插拓展板,此类型增加了交换机的成本,根据需要可选择2端口或4端口的类型。由于技术的更新,最新型万兆端口为交换机本身带有24个、44个、42个、48个独立的万兆端口。

强大的转发性能针对于骨干和核心网络大流量数据无阻塞的要求,RHS6226ST/TS提供高达128Gbps交换容量,全线速过滤转发96Mpps;RHS6252TS/ST提供高达176Gbps交换容量,全线速过滤转发131Mpps,保证核心骨干网络的数据无阻塞转发。

强大完善的安全控制策略

系列支持基于端口的用户IP+MAC地址认证、支持MAC地址过滤、支持ARP过滤、支持CPU保护、基于端口的802.1X认证、远程RADIUS,TACACS+认证、端口最大主机数限制,支持基于端口的用户IP+MAC+VLAN ID +用户账号的多元绑定,同时硬件支持IP ACL、MAC ACL、Vlan ACL、支持基于三、四层的ACL功能,有效防御ARP攻击和病毒,提供安全控制效率,保证网络安全策略实时有效。

多种路由协议

支持多种路由协议,如支持静态路由;支持RIP v1/v2、OSPF v2、BGP v4等多种动态路由协议;支持PIM-SM、PIM-DM、DVMRP等多种组播路由协议。充分满足大型网络利用不同路由协议构建网络的需求。

多样化管理性

系列支持丰富的网络管理方式,例如支持Console口管理、支持WEB管理、支持TELNET远程管理,使设备管理更方便,并且支持SSH加密,使得管理更加安全。

全面支持IPv6

基于硬件的IPv6线速处理性能;全面支持各种IPv6协议技术,包括IPv6静态路由,BGP4+、RIPng、OSPFv3等动态路由协议,以及IPv4/IPv6双协议栈、手工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6过渡的技术标准,并通过全球IPv6论坛组织的“IPv6 Ready”金牌认证。

全新节能设计,引领低碳通信

遵循IEEE 802.3az(Energy Efficient Ethernet 能效以太网),提供端口低耗电闲置模式,根据线缆长度进行相应输出功率调整,并且支持无连接时端口休眠,大幅度降低功耗。

交换体系

用户投资购买万兆以太网交换机,是因为需要能够在任何情况下线速处理数据包的转发,需要能够处理新一代的互联网应用,如组播应用、流媒体应用、IP语音、下一代互联网IPv6应用;同时也需要交换机能够提供最好的投资保护、能够占用最少的机架空间、能够尽量地节省电量、能够看得见用户的流量等。

显然,千兆交换机不能容纳大容量万兆端口的线速转发,目前的千兆交换机只能够提供几十到几百个G的吞吐量,而新一代的万兆交换机能够提供每秒处理一千个G以上的吞吐。由于如此大的数据吞吐用最高的CPU也不能实现线速转发,所以我们需要专用的网络集成电路芯片(ASIC),同时需要将数据转发的任务分布到各个模块上实现。分布式系统有不同的实现方式,一种是在传统的交换机技术上将常用的任务转移到本地模块上实现,它可以利用本地的交换矩阵,也可以利用整个交换机的交换矩阵,但是这样的做法显然不是最佳的;另一种做法是彻底地将所有数据转发的任务分布到各个模块并利用本地的大容量交换矩阵实现。所以说,大容量的分布式交换结构最为有效,万兆交换机不仅应该提供大容量的背板交换矩阵,还应该提供大容量的本地交换矩阵,无阻塞的并行交换矩阵是目前最为先进的技术。

区别

同时, ASIC提供的是在转发数据时利用专用芯片而不是由CPU来处理。ASIC的衡量标准就是尽可能在芯片级上处理所有的流量转发,但是问题在于 ASIC一旦设计之后交换机就不能进行修改。所以我们会选择处理尽可能多的数据转发设计产品,我们会考虑到 IPv4 的数据包交换和路由、IP组播的数据包,是否能够实现芯片级的数据分流和服务质量保证(QoS),是否能够实现芯片级的数据限速,数据限速是否可以实现多种方式以及采用信用制而非门票制的方式,是否可以实现策略路由,是否可以实现访问列表控制(ACL),是否可以实现新一代 IPv6 的交换和路由,甚至是否可以芯片级采集数据流量等一系列问题。优秀的ASIC设计体现了交换机设计的最高技术。

但是,有了分布式的交换体系和优异的ASIC技术还远远不够,由于ASIC 的技术一旦实现则不能更改,那么新的技术标准、新的应用模式将完全利用 CPU来处理,而这样往往给用户带来性能上的损失和业务上的痛苦。解决的办法可以是购买新一代ASIC设计的模块,但是硬件升级可能带来的是昂贵的追加投资。最新的万兆交换机会利用现场可编程门阵列芯片(FPGA)来解决这一缺陷,将新的标准通过软件升级由硬件处理,提供了用户投资的最好保护。

解决冲突

这样一来,似乎所有的问题都解决了,其实不然。由于交换机的各个模块之间以及它们与中央管理模块之间是一个有机的整体,Internet路由信息的分发、维护需要各个模块的参与,并且总会存在这样的问题: 由于本地硬件芯片寻址不到而需要中央管理模块的参与,所以交换机的性能会有所损失。

最新的万兆交换机是如何解决这一问题的?主要是通过两个途径:一是将控制通道和数据转发通道进行分离,二是在各个接口模块上使用高性能的CPU参与。控制通道和数据转发通道的分离就是在交换机上实现两个不同的并行交叉矩阵。这样,我们所说的背板容量将完全用于数据通道的使用,同时也保障了万兆交换机硬件的安全性,而本地高性能的CPU参与使得中央管理模块永远不会处理涉及各个接口数据的转发,实现真正意义上的分布式体系结构。当然,万兆以太网的体系结构还有很多因素参与,比如大容量的SDRAM 和TCAM(能够在一秒钟实现10亿次以上搜索),比如本地路由方式是否采用基于拓扑结构驱动。

更重要的是,万兆交换机的软件是否采用多线程方式,软件是否提供最新一代的二/三层技术标准。这些二/三层技术包含了新一代网络的最新需求,比如基于万兆以太网端口的链路捆绑,是否提供快速链路冗余的各种技术、是否提供从端口安全性到各种用户认证的安全技术、是否提供完整的IPv4和IPv6的各项规范、是否提供快速BGP路由技术、是否提供冗余路由协议、是否提供各项二/三层安全特性、是否提供交换机的防攻击特性、是否提供交换机本身CPU智能保护、是否所有这些特性都由硬件实现等。

IPv6规范

IPv6 提供了各种设备上网而非仅仅是PC和服务器,同时克服了目前 IPv4 的一些缺陷,万兆以太网加上 IPv6 的组合,是构建未来高性能新一代网络的必由之路。通常 IPv6 有三种实现方法:在目前的交换机上用软件方式实现;或者采用新的硬件模块,插入现有的系统之中,从而增强IPv4/IPv6的转发性能; 或者是全新设计的IPv6万兆交换机。

安全管理

安全性和网络流量管理是目前用户最为关注的重点。作为骨干设备,不仅仅需要考虑设备本身的安全防范,同时还要提供用户的防范,就是说既要本身免疫能力强,又要提供强有力的阻击手段来保护网络的用户,并且所有的防范都应该是基于硬件来实现。但是所有的安全防范都是基于我们已知的攻击手段和安全漏洞上,如果我们不能监控整个网络,安全性就不会是完整特性。

考虑到万兆交换和路由的高速转发,以往通过CPU采集流量的方法将不可行,而融入ASIC之中的分布式流量采集系统带来了万兆交换机的一个创新。sFlow是目前较为先进的流量管理规范,它既能提供IPv4的数据,也能提供IPv6 的数据。如果我们能在不影响性能的前提下提供所有设备的所有流量,那么就可以非常容易地观察网络的流量,可以是某一个端口下一个特定用户的活动,也可以是当前网络上的异常流量。分布式的流量监控系统好比是黑夜里的道路监控系统,难以想像一台核心的骨干设备缺乏这样的流量管理系统将会出现什么样的后果。

测试

衡量一台万兆交换机,首先是测试它是否能够达到线速转发的吞吐量,同时观察端到端的传输延迟,一台优秀的万兆交换机应该能够在加载关键应用的前提下(如组播应用、IPv6 应用、大容量访问列表控制),线速无阻塞地转发数据包,并且保证端到端的数据延迟尽可能地小。其次,衡量万兆交换机还需通过测试关键协议,如BGP4的容量、路由收敛和路由震荡来检验,测试针对攻击的防范特性、测试流量管理的关键特性。冗余性的测试也非常重要,冗余性包含硬件系统的冗余性和软件特性的冗余性。可以说,选择万兆以太网交换机不仅仅是几个单项功能的选择,更是一项全面评估的系统选择