产品概述

    S5720-HI系列交换机可以作为企业分支和中小园区的核心设备，大型园区网络的汇聚设备，或 者数据中心网络的接入设备，帮助客户组建业务易扩展、易管理、高可靠的企业园区网络。

    S5720-HI系列交换机是华为公司推出的首款盒式敏捷交换机，基于华为公司统一的VRP（Versatile Routing Platform）软件平 台，具备IDN-Ready 功能：具备随板 AC能力，可管理1K AP；具备业务随行能力，提供一致的用户体验；具备VXLAN能力， 支持网络虚拟化功能；内置安全探针，支持异常流量检测、加密流量的威胁分析，以及全网威胁诱捕等功能，是大中型高端品质 园区网分支、小型园区网核心以及数据中心接入的最佳选择。 

产品特性和优势

1、让网络更敏捷地为业务服务

①、该系列交换机内置高速灵活的处理器芯片，针对以太网专属设计，凭借其灵活的报文处理及流量控制能力，深入贴近业务， 满足现在及未来的各种挑战，助力客户构建弹性扩展的网络。

②、该系列交换机支持完全自定义流量的转发模式、转发行为和查找算法。通过微码编程实现新业务，客户无需更换新的硬件， 快速灵活，6个月即可上线。

③、该系列交换机在完全覆盖传统交换机能力基础上，通过开放接口和自定义转发流程，满足企业定制化业务诉求。企业既可以 直接利用多层次的开放接口自主开发新的协议、功能，也可以将诉求交由厂商，与厂商共同开发完成，打造企业专属园区网络。

2、更敏捷地实现丰富业务特性

①、该系列交换机具备融合AC的功能，支持管理1K AP，可节省用户额外购买 AC硬件的费用；该系列交换机的无线转发能力 最大可达260Gbps，突破了外置AC转发性能的瓶颈，从容面向高速无线时代。 

②、该系列交换机支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异，支持802.1X/MAC/Portal等多种认证方 式，支持对用户进行分组/分域/分时的管理，用户、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的 飞跃。

③、该系列交换机提供高品质的QoS（Quality of Service）能力，具备完善的队列调度算法、拥塞控制算法，创新的优先级调 度算法和多级队列调度机制，能够对数据流实现多级的精确调度，从而满足企业不同用户终端、不同业务种类的服务质量要求。

3、更敏捷地实现网络精准管理

①、该系列交换机支持iPCA网络包守恒算法，改变了传统利用模拟流量做故障定位的检测模型，可对任意业务流随时随地逐点 检测网络质量，无需额外开销；可在短时间内立刻检测业务闪断性故障，检测直接精准到故障端口，实现从“粗放式运维”到 “精准化运维”的大转变。

②、该系列交换机支持TWAMP 双向主动测量协议，精确测量任意 IP链路的性能，轻松获取整网IP性能，无须专用探针器或专 有协议。

③、该系列交换机支持SVF超级虚拟交换网功能，作为Parent 交换机，使得原来“小型核心/汇聚+接入交换机+AP”的网络架 构，虚拟化为一台设备进行管理，提供业界最简化网络管理方案。

④、该系列交换机把WLAN领域中“AC管理AP”的优秀实践应用到“交换机管理接入交换机”上，实现了智能化的“Easy Deploy”方案，开局时接入交换机和 AP“零配置”。Easy Deploy方案中Commander交换机收集下挂Client的拓扑信息，并 基于拓扑保存Client对应的启动信息；支持 Client免配置更换。支持对 Client批量下发配置和脚本，并支持对配置下发结果进 行查询。Commander交换机支持收集并显示整网能耗信息。 

4、灵活的以太组网

①、该系列交换机不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP智能以太保护技术和业界最新的 以太环网标准ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护 方便，并提供50ms 的快速业务倒换。ERPS 是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现以 太环网的毫秒级快速保护倒换。

②、该系列交换机支持SmartLink 和VRRP功能，通过多条链路接入到多台汇聚交换机上，SmartLink/VRRP实现了上行链路 的备份，极大地提升了接入侧设备的可靠性。

③、该系列交换机具备大表项、大缓存特色，轻松应对广电、教育城域网等对大表项、大缓存的需求，并支持海量终端接入，是 满足云时代的大数据需求的最佳盒式产品。

5、完善的VPN隧道 

①、该系列交换机支持MPLS 功能，可作为高质量企业专线接入设备。

②、该系列交换机支持下接不同的VPN用户，通过路由多实例，实现了不同用户的隔离；上行通过一个共用的物理接口连接到 PE设备，减少单个VPN用户对网络部署的投资。

6、成熟的IPv6特性

①、该系列交换机基于成熟稳定的VRP平台，支持IPv4/IPv6双协议栈、IPv6路由协议（RIPng/OSPFv3/BGP4＋/ISIS for IPv6）。

②、该系列交换机支持部署在纯 IPv4或IPv6网络，也可以部署在IPv4与IPv6共存的网络，充分满足网络从IPv4 向IPv6过渡 的需求。

7、智能iStack堆叠

①、该系列交换机支持iStack堆叠，将多台支持堆叠特性的交换机组合在一起，从逻辑上组合成一台虚拟交换机。

②、iStack堆叠系统通过多台成员设备之间冗余备份，提高了设备级的可靠性；通过跨设备的链路聚合功能，提高了链路级的可 靠性。

③、iStack提供了强大的网络扩展能力，通过增加成员设备，可以轻松地扩展堆叠系统的端口数、带宽和处理能力。

④、iStack简化了配置和管理，堆叠形成后，多台物理设备虚拟成为一台设备，用户可以通过任何一台成员设备登录堆叠系统， 对堆叠系统所有成员设备进行统一配置和管理。 

8、VXLAN特性

①、该系列交换机支持VXLAN特性，支持集中式网关和分布式网关部署方式，支持 BGP-EVPN协议实现VXLAN隧道动态建 立，并且可以通过Netconf/YANG 进行配置。

②、该系列交换机支持通过VXLAN，构建统一虚拟交换网（UVF），实现在同一张物理网络上进行多套业务网络或租户网络的融 合部署，业务/租户网络彼此安全隔离，真正实现了“一网多用”。在满足不同业务/客户的数据承载需求的同时，节省网络重复建 设成本，提升网络资源使用效率。

9、多样的安全控制

①、该系列交换机支持802.1x认证、MAC认证、Portal 认证、混合认证，实现 VLAN、QoS、ACL等用户策略的动态下发， 支持对用户分组管理。

②、该系列交换机支持完善的DoS类防攻击、用户类防攻击。其中，DoS 类防攻击主要针对交换机本身的攻击，包括 SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及 DHCP 服务器仿冒攻击、IP/MAC欺骗、DHCP Request Flood、改变 DHCP CHADDR值等。

③、通过建立和维护DHCP Snooping绑定表，该系列交换机支持对不符合绑定表项的非法报文直接丢弃。利用DHCP Snooping的信任端口特性，还可以保证DHCP服务器的合法性。

④、该系列交换机支持ARP表项严格学习功能，可以防止因ARP欺骗攻击导致正常用户无法上网。

10、PoE供电能力 该系列交换机中的PoE 款型支持如下能力

①、快速PoE：交换机电源上电时，支持10s 以内实现对 PD设备的供电，不同于一般交换机插入电源后1到3分钟左右才能实 现对PD设备的供电。当 PoE 交换机掉电重启时，不需要等待交换机重启完成才继续为PD供电，只要交换机上电就可以继续为 PD设备供电，极大缩短PD设备掉电的时间。

②、永久PoE：交换机重启时（如软件版本升级时重启），对下挂PD设备供电不会中断，保证交换机重启过程中PD不掉电，实 现PoE 供电零中断。 

11 、OPS开放可编程系统

①、OPS（Open Programmability System）是基于Python语言的开放可编程系统，IT管理员可以通过Python脚本对交换 机进行运维功能的编程，快速实现功能创新，实现智能化运维。

12、智能运维

①、该系列交换机支持Telemetry技术，实时采集设备数据并上送至华为园区网络分析器 CampusInsight，CampusInsight 通 过智能故障识别算法对网络数据进行分析，精准展现网络实时状态，并能及时有效地定界故障以及定位故障发生原因，发现影响 用户体验的网络问题，精准保障用户体验。

②、该系列交换机支持音视频业务的智能运维，基于增强型媒体传输质量指标（Enhanced Media Delivery Index, eMDI）特 性，将设备作为监控节点周期统计并上报音视频业务类指标参数至CampusInsight平台，由平台结合多个节点的监控结果，对音 视频业务质量类故障进行快速定界。

13、大数据安全协防

①、该系列交换机通过Netstream采集园区网络数据，上报给华为 CIS（Cybersecurity Intelligence System）大数据安全分析 系统，进行网络的安全威胁事件信息检测和全网的安全态势展示，进一步地可自动或手动对安全威胁事件做出相应处理。CIS 将 此策略联动给Agile Controller，自动下发给敏捷交换机进行安全事件处理，保障园区网络安全。

②、该系列交换机支持加密通信分析（Encrypted Communication Analytics）功能，设备内置ECA探针，结合 Netstream采 样和SA（Service awareness）提取加密流的特征，形成Metadata上报给华为 CIS（Cybersecurity Intelligence System）大 数据安全分析系统，利用AI算法训练流量模型，对提取的加密流量特征进行比对，从而识别恶意流量。CIS对检测结果进行可视 化展示，并给出威胁处理意见，结合敏捷控制器自动隔离威胁，保障园区网络安全。

③、该系列交换机支持安全诱捕（Deception）功能，交换机作为传感器，感知网络中存在的 IP地址扫描和端口扫描等威胁行 为，将威胁流量引流至诱捕系统中的蜜罐进行下一步检查。蜜罐通过跟威胁流量的发起方进行深度交互，记录发起方的各种应用 层攻击手段，上报安全日志给CIS。CIS分析安全日志，认定可疑流量为攻击行为，给出告警和处理建议。管理员确认后，CIS把 联动策略下发给Agile Controller，由Agile Controller把联动命令下发给交换机进行安全事件处理，保障园区网络的安全。