華為中低端交換機(jī)控標(biāo)主要技術(shù)點(diǎn)-20150325

1、交換路由競爭，常用技術(shù)目錄背板帶寬和包轉(zhuǎn)發(fā)率2OAM 的定義2SFP+和XFP接口區(qū)別6MFF6Smart Link6RRPP8G.8032 ERPS和SEP等環(huán)網(wǎng)技術(shù)8VCT(Virtual Cable Test)9Netstream和Sflow、IPFIX10IEEE802.3az的概念-EEE12黑洞MAC12策略vlan12uRPF15可控組播IPTV CAC15DLDP16NQA17APSD17Jumbo巨型幀作用18背板帶寬和包轉(zhuǎn)發(fā)率完全無阻塞交換條件：所有端口容量X端口數(shù)量之和的2倍應(yīng)該小于背板帶寬可實現(xiàn)全雙工無阻塞交換證明交換機(jī)具有發(fā)揮最大數(shù)據(jù)交換性能的條件。 滿配置吞吐量(M

2、pps)=滿配置GE端口數(shù)×1.488Mpps(其中1個千兆端口在包長為64字節(jié)時的理論吞吐量為1.488Mpps,pps 是每秒64字節(jié)包的個數(shù)，如果包長更長，同樣1個千兆口，那么PPS還不到1.488Mpps)。例如一臺最多可以提供64個千兆端口的交換機(jī)，其滿配置吞吐量應(yīng)達(dá)到 64×1.488Mpps = 95.2Mpps，才能夠確保在所有端口均線速工作時，提供無阻塞的包交換。如果一臺交換機(jī)最多能夠提供176個千兆端口而宣稱的吞吐量為不到261.8Mpps(176 x 1.488Mpps = 261.8)，那么用戶有理由認(rèn)為該交換機(jī)采用的是有阻塞的結(jié)構(gòu)設(shè)計。一般是兩者都

3、滿足的交換機(jī)才是合格的交換機(jī)。 比如Cisco 2950G-48 背板2×1000×2+48×100×2(Mbps)13.6(Gbps) 相當(dāng)于13.6/2=6.8個千兆口 包轉(zhuǎn)發(fā)率/吞吐量=6.8×1.488=10.1184Mpps Cisco4506 背板64G 滿配置千兆口 4306×5+2（引擎）32 包轉(zhuǎn)發(fā)率/吞吐量32×1.488=47.616 Mpps 一般是兩者都滿足的交換機(jī)才是合格的交換機(jī)。我司應(yīng)對：對虛高不合理的參數(shù)，可以提出質(zhì)疑。對于交換機(jī)包轉(zhuǎn)發(fā)率，24口千兆交換機(jī)，華為目前算法，1.5M PPS*24

4、*1.5(冗余)=54 MPPSOAM 的定義 OAM(Operations, Administration, and Maintenance) 即操作、管理和維護(hù)。該機(jī)制在傳統(tǒng)電信網(wǎng)中已應(yīng)用很久了，主要是通過故障檢測、告警、定位和隔離等手段提高網(wǎng)絡(luò)的運(yùn)維水平。目前，各標(biāo)準(zhǔn)化組織正在完成和已經(jīng)完成的以太網(wǎng)OAM相關(guān)標(biāo)準(zhǔn)有：IEEE 802.3-2005 第57章（原IEEE 802.3ah 第57章）城域以太網(wǎng)論壇制定的E-LMI（Ethernet Local Management Interface）Connectivity Fault Management (CFM)即IEEE

5、802.1agITU-T和城域以太網(wǎng)論壇制定的Y.1731，可兼容802.1ag一， OAM的用途連通檢測：即檢測鏈路是否能正常傳輸報文，一般各種OAM協(xié)議都采用周期性發(fā)送特定報文的方式完成，當(dāng)一定數(shù)量的報文丟失，便判斷為鏈路不可用。例如：在802.3 OAM中，每秒發(fā)送一個Information報文，當(dāng)連續(xù)5個報文丟失時，認(rèn)為鏈路斷開；在802.1ag中，周期性地（周期可配置）發(fā)送CCM報文，連續(xù)3個報文丟失則認(rèn)為對方已不可達(dá)；在MPLS OAM中，則周期性地發(fā)送CV報文和FFD報文。環(huán)回：主要目的是檢測鏈路的雙向連通性。方法是將報文發(fā)送到目標(biāo)實體，并由目標(biāo)實體應(yīng)答報文，發(fā)送者根據(jù)返回報文的

6、情況判斷連通性。在發(fā)送和返回的報文中可以攜帶各種信息。例如：IP協(xié)議中的ping；802.3 OAM中的遠(yuǎn)端環(huán)回；802.1ag中的loopback；MPLS OAM中的LSP Ping。鏈路跟蹤 ：方法是將報文發(fā)送到目標(biāo)實體，處于發(fā)送路徑上、能識別該報文的設(shè)備向源實體回應(yīng)報文。源實體通過收到的回應(yīng)報文確定到達(dá)目標(biāo)實體所經(jīng)過的路徑。例如：IP協(xié)議中的traceroute ；在802.1ag協(xié)議中使用的linktrace。錯誤指示：可分為前向錯誤指示和反向錯誤指示。在一個路徑上，當(dāng)某個節(jié)點(diǎn)發(fā)現(xiàn)源節(jié)點(diǎn)發(fā)送的報文有錯誤時，它可以通知其他節(jié)點(diǎn)，它可以沿著這個路徑向下游發(fā)送通知，起到預(yù)防的作用，這就是前

7、向錯誤指示；它也可以沿著路徑逆向傳遞，告訴發(fā)送者，它發(fā)出的報文有錯誤。二、協(xié)議說明2.1 802.3ah802.3 OAM協(xié)議屬于慢速協(xié)議（slow protocol），另一個著名的慢速協(xié)議是鏈路聚合控制協(xié)議（LACP）。慢速協(xié)議具有如下共同特點(diǎn)：ü 每秒鐘傳輸?shù)膱笪牟怀^10幀。ü 協(xié)議報文（PDU）不帶VLAN Tag。ü 協(xié)議報文目的地址為01-80-C2-00-00-02。ü 協(xié)議報文的Type域為88-09。ü 協(xié)議報文不能被轉(zhuǎn)發(fā)。（802.3 OAM監(jiān)控一段鏈路，從一個以太網(wǎng)口到另外一個以太網(wǎng)口，中間不能經(jīng)過其他設(shè)備。）2.2 80

8、2.1ag 802.1ag針對MAC地址，它判斷相應(yīng)的MAC地址是否可達(dá)，從而獲得二層網(wǎng)絡(luò)的相應(yīng)工作狀態(tài)和路徑。2.3 重要概念：域：在邏輯上將網(wǎng)絡(luò)從內(nèi)到外劃分為不同的層次，稱作維護(hù)域（Maintenance Domain），維護(hù)域可以嵌套，不能交叉，這樣，在出現(xiàn)問題時，可以通過問題所在的域的范圍判斷問題的歸屬。這個想法的目的是將運(yùn)營商網(wǎng)絡(luò)同用戶網(wǎng)絡(luò)隔離開，或者說將網(wǎng)絡(luò)在邏輯上同實際使用者對應(yīng)起來，從而產(chǎn)生清晰的界面。當(dāng)出現(xiàn)問題時，通過在不同域中的判斷確定問題的具體位置。 級別：協(xié)議中區(qū)分不同層次的域的方法是為每個域定義一個級別（level），高級別的域可以嵌套低級別的域。高低級別的域之間是不

9、通信息的，它們各自通報本域內(nèi)的錯誤，范圍較大的域的802.1ag報文可以穿過較小的域，范圍較小的域的報文不可以發(fā)送到域的外面。維護(hù)域（Maintenance Domain）：是進(jìn)行錯誤管理的一部分網(wǎng)絡(luò)，維護(hù)域的邊界由維護(hù)端點(diǎn)（MEP）圍成。它由維護(hù)域名稱（一個字符串）唯一標(biāo)識。它具有的另外一個屬性是維護(hù)域級別。維護(hù)集（Maintenance Association）：維護(hù)集屬于某個維護(hù)域，由維護(hù)域內(nèi)唯一的名稱（一個字符串）標(biāo)識。它具有的另外一個屬性是VLAN。維護(hù)集是指MD中的一個集合，包含一些MP。用“MD名+short MA名”來標(biāo)識。MA屬于一個VLAN，MA中的MP所發(fā)送的報文在該VL

10、AN內(nèi)被轉(zhuǎn)發(fā)，同時也接收MA內(nèi)其它MP發(fā)送的報文，因此，MA也被稱為服務(wù)實例（Service Instance，SI）。MEP(維護(hù)端點(diǎn))：維護(hù)域是有邊界的，它的邊界就是一個個的端口，因此，只要在邊界端口上配置一個實體就可以了，這個實體叫做維護(hù)端點(diǎn)（Maintenance association End Point或MEP）。當(dāng)所有的邊界端口都配置了維護(hù)端點(diǎn)，域的邊界就確定了，域的范圍也確定了。MEP屬于某個維護(hù)集，從維護(hù)域和維護(hù)集中繼承了它們的屬性：級別和VLAN。維護(hù)端點(diǎn)用一個整數(shù)唯一標(biāo)識，稱為MEPID。該整數(shù)在維護(hù)集內(nèi)是唯一的。維護(hù)端點(diǎn)可發(fā)出802.1ag報文。MIP（維護(hù)中間點(diǎn)）：在

11、維護(hù)域內(nèi)的端口上也可以配置實體，叫做維護(hù)中間點(diǎn)（Maintenance domain Intermediate Point或MIP）。MEP和MIP統(tǒng)稱為維護(hù)點(diǎn)（Maintenance Point）。維護(hù)點(diǎn)是本協(xié)議功能實現(xiàn)的主體，所有的功能均通過維護(hù)點(diǎn)的處理得以體現(xiàn)。MIP屬于某個維護(hù)集，從維護(hù)域和維護(hù)集中繼承了它們的屬性：級別和VLAN。維護(hù)中間點(diǎn)僅回應(yīng)收到的802.1ag報文，不會自己主動發(fā)出。2.3 重要參數(shù)：級別和VLAN有兩個基本的參數(shù)貫串了802.1ag協(xié)議的處理，它們就是維護(hù)域的級別（level）和它所服務(wù)的VLAN。這兩個參數(shù)將網(wǎng)絡(luò)進(jìn)行了劃分，它們影響到維護(hù)點(diǎn)的歸屬，影響到80

12、2.1ag的報文內(nèi)容、MAC地址，影響到報文的處理等。維護(hù)域共分為8個級別，從07，數(shù)字越大，代表的維護(hù)域范圍越大。級別較小的域中的1ag報文不能穿過域的邊界進(jìn)入到較大的域中。由于各級別的維護(hù)域是嵌套的，如果在級別較大的域中發(fā)現(xiàn)了較小級別的報文，就屬于一種錯誤，維護(hù)域中的維護(hù)點(diǎn)就會報告錯誤。錯誤的處理則是系統(tǒng)管理員的工作，有時候可能是網(wǎng)絡(luò)的錯誤，也有時候可能就是系統(tǒng)管理員配置錯誤。VLAN當(dāng)然是很重要的，這是目前二層網(wǎng)絡(luò)的基礎(chǔ)，802.1ag協(xié)議報文是帶有VLAN Tag的，我司應(yīng)對：這是運(yùn)營商網(wǎng)絡(luò)里的特殊需求，且要實現(xiàn)這個功能，網(wǎng)絡(luò)內(nèi)所有設(shè)備要同步支持，H3C也不能完全支持。SFP+和XFP

13、接口區(qū)別XFP的速率是10G，并且是串行光收發(fā)模塊的一種標(biāo)準(zhǔn)化封裝。它符合以下標(biāo)準(zhǔn)：10G光纖通道、10G以太網(wǎng)、SONET/OC-192和SDH/STM-64。XFP光模塊主要用于數(shù)據(jù)通訊和電信傳輸網(wǎng)的光纖傳輸XFP和SFP+ 的區(qū)別：兩種不同的接口定義，最明顯的是SFP+金手指有20個，XFP金手指有30個金手指，具體參數(shù)可以查看兩種模塊的MSA國際協(xié)議。SFP+、XFP用的都是LC接口的尾纖1）SFP+和XFP 都是10G 的光纖模塊，且與其它類型的10G模塊可以互通；2）SFP+比XFP 外觀尺寸更?。?）因為體積更小SFP+將信號調(diào)制功能，串行/解串器、MAC、時鐘和數(shù)據(jù)恢復(fù)(CDR

14、)，以及電子色散補(bǔ)償(EDC)功能從模塊移到主板卡上；4）XFP 遵從的協(xié)議：XFP MSA協(xié)議；5）SFP+遵從的協(xié)議：IEEE 802.3ae、SFF-8431、SFF-8432；總結(jié)，SFP+是更主流的設(shè)計。我司應(yīng)對：一邊是SFP+的，一邊是XFP，而且參數(shù)一樣（傳輸距離相同，波長一樣，比如都是10km或是40km、80km，波長1310nm,1550nm等），可以直接連接通信，不存在兼容性問題。SFP+、XFP用的都是LC接口的尾纖MFF即Mac Force Forwarding，其核心思想：二層隔離、三層轉(zhuǎn)發(fā)、ARP代理，這個功能通常部署在二層交換機(jī)上，用于減輕網(wǎng)關(guān)ARP處理負(fù)擔(dān)，降

15、低網(wǎng)關(guān)受ARP攻擊的風(fēng)險，實現(xiàn)用戶間的二層隔離。我司應(yīng)對：可以明了，支持此功能即可，我司也支持。Smart LinkSMART-LINK針對雙上行組網(wǎng)，實現(xiàn)主備鏈路冗余備份及故障快速遷移。用于在以太網(wǎng)交換機(jī)上實現(xiàn)鏈路備份功能，通過手工配置指定鏈路間的相互備份關(guān)系，備份關(guān)系一旦指定，即刻生效。SMART-LINK技術(shù)應(yīng)用的典型組網(wǎng)圖如下：在A設(shè)備上建立兩個互為備份的二層接口（或聚合組）A1和A2，其中一個接口進(jìn)行流量轉(zhuǎn)發(fā)的同時，另一個處于阻塞狀態(tài)。如圖，A1轉(zhuǎn)發(fā)流量時，A2被阻塞。此時的流量為圖中的紅色箭頭表示。如果A1鏈接的Link1鏈路故障，那么A2立刻切換為非阻塞狀態(tài)，開始轉(zhuǎn)發(fā)流量。此時的

16、流量為圖中的藍(lán)色箭頭表示。A2在從阻塞狀態(tài)切換為非阻塞狀態(tài)時，在VLAN內(nèi)組播發(fā)送FLUSH報文，網(wǎng)絡(luò)中各臺設(shè)備收到該報文后，根據(jù)端口的設(shè)置確定是否更新指定VLAN列表的地址轉(zhuǎn)發(fā)表。VLAN列表將會在FLUSH報文中攜帶，地址轉(zhuǎn)發(fā)表包括MAC表、ARP（ND）表等。Smart-link作為輕量級的保護(hù)技術(shù)，Smart-link的技術(shù)特色： 1）相比STP，可以提供最快可達(dá)50毫秒的收斂性能2）相比RRRP，提供了更簡捷的配置方式；3）支持基于VLAN的負(fù)載分擔(dān)，充分利用上行帶寬。Smart-link的局限性和應(yīng)用限制1)缺少自己的心跳報文檢測機(jī)制，無法保護(hù)跨傳輸?shù)逆溌罚?)輕量級協(xié)議，只對上行

17、鏈路做相互的保護(hù)，上面網(wǎng)絡(luò)的冗余保護(hù)需要上面網(wǎng)絡(luò)自己解決。術(shù)語3）SMART-LINK技術(shù)為雙上行組網(wǎng)量身定制，組網(wǎng)比較固定，有一定的局限性術(shù)語1） SMART-LINK組譯為靈活鏈路組，包括兩條鏈路，其中一條進(jìn)行轉(zhuǎn)發(fā)，另一條鏈路阻塞，作冗余備份。2） 主用鏈路和備用鏈路SMART-LINK組中處于轉(zhuǎn)發(fā)狀態(tài)的鏈路稱為主用鏈路，處于阻塞狀態(tài)的鏈路稱為備用鏈路。3） 主端口和從端口SMART-LINK組的主用和備用鏈路在特定的設(shè)備上體現(xiàn)為端口或者聚合組端口，此處統(tǒng)稱為端口。為了區(qū)分SMART-LINK組中的兩個端口，將兩個端口分別命名為主端口和從端口，也叫MASTER端口和SLAVE端口。目前SM

18、ART-LINK不支持按角色搶占的方式，因而兩個端口對應(yīng)的鏈路哪個處于轉(zhuǎn)發(fā)狀態(tài)并不固定，即主從端口和主用備用鏈路并無固定的對應(yīng)關(guān)系。4） FLUSH報文類似于STP協(xié)議中的TC報文，為了能夠使網(wǎng)絡(luò)中的設(shè)備及時感知網(wǎng)絡(luò)拓?fù)渥兓琒MART-LINK發(fā)送一個FLUSH報文通知其他設(shè)備進(jìn)行地址刷新。但是，由于該技術(shù)為私有技術(shù)，目前只限于華為和H3C等少部分廠商的一些設(shè)備能夠識別該報文。對于不識別FLUSH報文的設(shè)備，只能通過流量觸發(fā)MAC地址的更新。我司應(yīng)對：SMART LINK為私有協(xié)議，此技術(shù)效果，我司有相應(yīng)業(yè)內(nèi)標(biāo)準(zhǔn)對應(yīng)支持，例如LACP/RRPPRRPP(Rapid Ring Protecti

19、on Protocol)是一個專門應(yīng)用于以太網(wǎng)環(huán)的二層協(xié)議，由EAPS協(xié)議（Ethernet Automati Protect Switching，rfc3619）發(fā)展而來，由華為3Com開發(fā)的私有協(xié)議（是針對STP的缺陷推出的技術(shù)）。RSTP/MSTP應(yīng)用比較成熟，但收斂時間在秒級。RRPP是一個專門應(yīng)用于以太網(wǎng)環(huán)的鏈路層協(xié)議。它在以太網(wǎng)環(huán)完整時能夠防止數(shù)據(jù)環(huán)路引起的廣播風(fēng)暴，而當(dāng)以太網(wǎng)環(huán)上一條鏈路斷開時能迅速啟用備份鏈路以保證環(huán)網(wǎng)的最大連通性。與STP協(xié)議相比，RRPP協(xié)議有如下優(yōu)點(diǎn)：拓?fù)涫諗克俣瓤欤ǖ陀?0ms）收斂時間與環(huán)網(wǎng)上節(jié)點(diǎn)數(shù)無關(guān)（不受網(wǎng)絡(luò)規(guī)模影響）RRPP技術(shù)不足點(diǎn)是：不能和x

20、STP網(wǎng)絡(luò)兼容組網(wǎng)。  RRPP多實例在RRPP組網(wǎng)中，一個環(huán)上只能有一個主節(jié)點(diǎn)。當(dāng)主節(jié)點(diǎn)處于Complete狀態(tài)時，被阻塞的副端口會阻止所有用戶報文通過。這樣，所有用戶報文在RRPP環(huán)上通過一條路徑傳輸。主節(jié)點(diǎn)副端口側(cè)的鏈路空閑，造成帶寬浪費(fèi)。 RRPP多實例基于域?qū)崿F(xiàn)。在一個域中，所有端口、節(jié)點(diǎn)角色、拓?fù)涠甲裱镜腞RPP原則。與RRPP不同的是，RRPP多實例在一個RRPP環(huán)上可以存在多個域。一個域內(nèi)可以包含一個或多個實例，每個實例代表一個VLAN范圍。這些包含在域中的VLAN，稱為RRPP域的保護(hù)VLAN。保護(hù)VLAN包括屬于該域的數(shù)據(jù)VLAN、主環(huán)控制VLAN和

21、子環(huán)控制VLAN。 在RRPP多實例組網(wǎng)中，在同一個環(huán)路上存在多個主節(jié)點(diǎn)。根據(jù)主節(jié)點(diǎn)的Secondary Port阻塞屬性即可實現(xiàn)業(yè)務(wù)流量的負(fù)載分擔(dān)和鏈路備份。我司應(yīng)對：目前，解決二層網(wǎng)絡(luò)環(huán)路問題的技術(shù)有RSTP/MSTP和ERPS等多種標(biāo)準(zhǔn)協(xié)議，我司都支持G.8032 ERPS和SEP等環(huán)網(wǎng)技術(shù)ERPS（Ethernet Ring Protection Switching）：以太網(wǎng)多環(huán)保護(hù)技術(shù)，是業(yè)內(nèi)標(biāo)準(zhǔn)。在2008年12月舉行的ITU-TSG15的全會上，要對以太網(wǎng)環(huán)網(wǎng)保護(hù)標(biāo)準(zhǔn)G.8032的V1版本的修訂版（Amendment1)進(jìn)行討論和表決，這個修訂版主要增加以太網(wǎng)多環(huán)的保護(hù)方案。多環(huán)

22、保護(hù)模型是G.8032標(biāo)準(zhǔn)中多環(huán)保護(hù)的技術(shù)核心，在實際網(wǎng)絡(luò)中有較大的應(yīng)用價值，技術(shù)實現(xiàn)難度大，也是各個廠商技術(shù)競爭的熱點(diǎn)。會上，中興通訊、諾基亞西門子、阿爾卡特朗訊、華為等主流設(shè)備廠商針對多環(huán)保護(hù)模型展開了激烈的技術(shù)辯論，最終中興通訊提出的“Sub-ring子環(huán)劃分模型”脫穎而出，被大會采納。ITU-TG.8032多環(huán)標(biāo)準(zhǔn)的發(fā)布，標(biāo)志著以太環(huán)網(wǎng)保護(hù)技術(shù)ERPS真正具備了成熟商用的條件，各廠家基于標(biāo)準(zhǔn)的互通也成為可能。已經(jīng)成為ITU-TG.8032 國際標(biāo)準(zhǔn)，與2008年12月修訂完成并表決通過。ITU-TG.8032ERPS以太環(huán)網(wǎng)標(biāo)準(zhǔn)吸取了EAPS、RPR、SDH、STP等眾多環(huán)網(wǎng)保護(hù)技術(shù)的

23、優(yōu)點(diǎn)，優(yōu)化了檢測機(jī)制，可以檢測雙向故障，支持多環(huán)、多域的結(jié)構(gòu)，在實現(xiàn)50ms倒換的同時，支持主備、負(fù)荷分擔(dān)多種工作方式，成為了以太環(huán)網(wǎng)技術(shù)最新的成熟標(biāo)準(zhǔn)。智能以太保護(hù)SEP(Smart Ethernet Protection)技術(shù)華為公司于2010年推出了SEP協(xié)議，華為以太環(huán)網(wǎng)技術(shù)SEP技術(shù)，比RRPP RPR適應(yīng)性更強(qiáng)，支持拓?fù)涓鼜V泛，可和STP融合使用的以太網(wǎng)環(huán)網(wǎng)技術(shù)。SEP是一種專用于以太網(wǎng)鏈路層的環(huán)路保護(hù)機(jī)制，它通過有選擇性地阻塞網(wǎng)絡(luò)環(huán)路冗余鏈路，來達(dá)到消除網(wǎng)絡(luò)二層環(huán)路的目的，有效防止形成網(wǎng)絡(luò)風(fēng)暴。SEP協(xié)議的收斂性能和RRPP協(xié)議相當(dāng)，在IEEE802.1中的位置和STP相同。 S

24、EP協(xié)議支持半環(huán)和全環(huán)兩種基本拓?fù)洌ＷC其基本拓?fù)湓谌魏螘r刻都有一個斷點(diǎn)。SEP是華為的私有協(xié)議，不能和其他公司設(shè)備直接對接SEP技術(shù)優(yōu)勢SEP以網(wǎng)絡(luò)段為單位。在SEP段完好的情況下，一個SEP段阻塞一個端口，從而避免了環(huán)路產(chǎn)生。當(dāng)環(huán)網(wǎng)發(fā)生鏈路故障時，可以迅速地放開阻塞端口，進(jìn)行鏈路倒換，恢復(fù)環(huán)網(wǎng)上各節(jié)點(diǎn)通信通路。SEP組網(wǎng)協(xié)議簡單，是通過軟件來實現(xiàn)的，無需專門的硬件即可支持SEP，不會額外增加客戶投資。SEP能和現(xiàn)網(wǎng)xSTP兼容組網(wǎng)，很好保護(hù)現(xiàn)網(wǎng)投資。SEP技術(shù)能給客戶帶來其他更多應(yīng)用價值：SEP收斂時間遠(yuǎn)小于xSTP，并且和網(wǎng)絡(luò)規(guī)模無關(guān)，最快達(dá)到50ms，很好支撐語音和視頻業(yè)務(wù)保護(hù)倒換。S

25、EP組網(wǎng)靈活，既支持封閉環(huán)，也支持開放環(huán)。SEP可以支持更復(fù)雜的多環(huán)組網(wǎng)拓?fù)洌h(huán)換任意相連，各環(huán)獨(dú)立存在，增加子環(huán)非常方便。在SEP網(wǎng)段上，在任意節(jié)點(diǎn)都可以查看該網(wǎng)段拓?fù)湫畔?，方便狀態(tài)查看和維護(hù)。根據(jù)流量狀態(tài)，靈活修改指定斷點(diǎn)來優(yōu)化網(wǎng)絡(luò)流量，達(dá)到網(wǎng)段兩邊的流量均衡;其他環(huán)網(wǎng)技術(shù)不能做到靈活指定斷點(diǎn)，很難做到斷點(diǎn)兩邊流量均衡。VCT(Virtual Cable Test)虛擬電纜檢測功能VCT,是利用TDR(Time Domain Reflectometry-時域反射測試)來檢測網(wǎng)絡(luò)線纜的物理狀態(tài)。TDR檢測原理類似于雷達(dá)，它工作方式是通過主動向?qū)Ь€發(fā)射一個脈沖信號并檢測所發(fā)送的脈沖信號的反射結(jié)

26、果來檢測電纜故障。當(dāng)發(fā)送的脈沖信號通過電纜的末端或電纜的故障點(diǎn)時，就會引起部分或全部的脈沖能量被反射回來到達(dá)原來的發(fā)送源，VCT技術(shù)根據(jù)測量脈沖信號在導(dǎo)線中的傳輸獲得信號到達(dá)故障點(diǎn)或返回的時間，然后根據(jù)公式將相應(yīng)時間換算為距離值。通過VCT可以檢測電纜狀態(tài)、故障距離是否極性交換、插入信號衰減、返回信號衰減等。用戶可以使能VCT特性對以太網(wǎng)電口連接電纜進(jìn)行檢測，開啟系統(tǒng)對以太網(wǎng)電口連接電纜的檢測功能。檢測內(nèi)容包括電纜的接收方向和發(fā)送方向是否存在短路、開路現(xiàn)象，同時可以檢測出故障線纜的位置。使用VCT可以檢測到一下幾種線纜狀態(tài)故障：SHORT：表示短路，即2根或更多的導(dǎo)線短接在一起。OPEN：表示

27、開路，表示網(wǎng)線中可能有線斷掉了。NORMAL：表示網(wǎng)線連接正常。NOT USED：網(wǎng)線沒有使用。IM MIS：表示阻抗不匹配，因為5類線的阻抗為100歐，為了防止波形反射和數(shù)據(jù)錯誤，線纜兩端的終止器阻抗也必需是100歐。ERROR LOCATE說明問題點(diǎn)距離交換機(jī)端口的大概距離，單位是米，誤差大約是2米。如果狀態(tài)是NORMAL，那么該值為0。PHYTYPE表明使用的是10M/100M/1000M三種物理接口中的哪一種。我司應(yīng)對：VCT技術(shù)效果，我司交換機(jī)有鏈路檢測功能（line-detect），等同于此效果SNMP和RMON大部分網(wǎng)管系統(tǒng)還只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如MRTG

28、，利用SNMP協(xié)議對網(wǎng)絡(luò)的重點(diǎn)鏈路和互聯(lián)點(diǎn)進(jìn)行簡單的端口級流量監(jiān)視和統(tǒng)計；或采用在網(wǎng)絡(luò)中部分重點(diǎn)POP點(diǎn)加裝RMON探針的方式，利用RMON I/II協(xié)議對網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集。上述兩種被普遍采用的網(wǎng)絡(luò)流量分析系統(tǒng)都有其顯著的技術(shù)局限性。利用SNMP協(xié)議能夠?qū)Ρ槐O(jiān)視的各個網(wǎng)絡(luò)端口進(jìn)出的數(shù)據(jù)包數(shù)和字節(jié)數(shù)進(jìn)行采集，但采集到的流量信息較為粗糙，不但包括網(wǎng)絡(luò)層的客戶業(yè)務(wù)流量信息，還包括鏈路層的數(shù)據(jù)幀包頭，Hello數(shù)據(jù)包，出錯后重新傳送的數(shù)據(jù)包等流量信息。而且SNMP協(xié)議還無法區(qū)分網(wǎng)絡(luò)層數(shù)據(jù)流量中各種不同類型客戶業(yè)務(wù)在總流量中的分布狀況，也無法對進(jìn)出的流量進(jìn)行流向分析。

29、利用RMON協(xié)議對運(yùn)營商網(wǎng)絡(luò)進(jìn)行流量和流向管理可以部分彌補(bǔ)SNMP協(xié)議的技術(shù)局限性，如可以對業(yè)務(wù)流量進(jìn)行統(tǒng)計，但同時也暴露出新的技術(shù)局限性。首先，由于RMON協(xié)議需要對網(wǎng)絡(luò)上傳送的每個數(shù)據(jù)幀進(jìn)行采集和分析，會耗用大量的CPU資源因而不可能由網(wǎng)絡(luò)設(shè)備本身實現(xiàn)，需要額外購買和安裝內(nèi)置式或外置式的RMON探針。市場上現(xiàn)有的RMON探針處理能力也有限制，還不能支持監(jiān)控端口速率超過1Gbps的網(wǎng)絡(luò)端口。其次，因為RMON探針為的硬件設(shè)備，價格較貴，所以不可能為每臺網(wǎng)絡(luò)設(shè)備都配備，且由于RMON探針，特別是內(nèi)置式RMON探針接入網(wǎng)絡(luò)后不易變更，所以必然會造成出現(xiàn)異常事件時無法及時對特定的網(wǎng)絡(luò)鏈路進(jìn)行監(jiān)控。

30、最后，由于RMON探針采集到的管理數(shù)據(jù)是由分析每個數(shù)據(jù)包后得到的，數(shù)據(jù)量非常大且分散，協(xié)議缺乏內(nèi)建的數(shù)據(jù)匯總機(jī)制，而且還不包括每個數(shù)據(jù)包的BGP AS號或路由Next Hop信息，所以不易對數(shù)據(jù)進(jìn)行高層次的流向分析。這些因素都會阻礙利用RMON協(xié)議對大型網(wǎng)絡(luò)進(jìn)行流量和流向分析的有效性。Netstream和Sflow、IPFIXnetstream是網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控技術(shù)的一種（屬于華為公司的私有協(xié)議），提供報文統(tǒng)計功能，它根據(jù)報文的目的ip地址、目的端口號、源ip地址、源端口號、協(xié)議號和tos來區(qū)分流信息，并針對不同的流信息進(jìn)行獨(dú)立的數(shù)據(jù)統(tǒng)計。netstream數(shù)據(jù)采集和分析過程如下：(1)交換機(jī)把采

31、集到的流的詳細(xì)信息定期發(fā)送給nsc（netstream collector，網(wǎng)絡(luò)流數(shù)據(jù)收集器）；(2)信息由nsc初步處理后，發(fā)送給nda（netstream data analyzer，網(wǎng)絡(luò)流數(shù)據(jù)分析器）；(3)nda對數(shù)據(jù)進(jìn)行分析，分析結(jié)果用于計費(fèi)和網(wǎng)絡(luò)規(guī)劃等。一個典型的NetStream 系統(tǒng)由NDE、NSC 和NDA 三部分組成：1、NDE(NetStream Data Exporter，網(wǎng)絡(luò)流量采樣)。NDE負(fù)責(zé)對網(wǎng)絡(luò)流進(jìn)行采集和發(fā)送，提取符合條件的流進(jìn)行統(tǒng)計，并將統(tǒng)計信息輸出給NSC設(shè)備。輸出前也可對數(shù)據(jù)進(jìn)行一些處理，比如聚合。配置了NetStream 功能的設(shè)備在NetStrea

32、m 系統(tǒng)中擔(dān)當(dāng)NDE 角色。2、NSC(NetStream Collector，網(wǎng)絡(luò)流量采集)。NSC通常為運(yùn)行于Unix 或者Windows 上的一個應(yīng)用程序，負(fù)責(zé)手機(jī)和存儲來自NDE的報文，把統(tǒng)計數(shù)據(jù)收集到數(shù)據(jù)庫中，可供NDA進(jìn)行解析。NSC可以采集多個NDE設(shè)備輸出的數(shù)據(jù)，對數(shù)據(jù)進(jìn)行進(jìn)一步的過濾和聚合。(3)NDA(NetStream Data Analyzer，網(wǎng)絡(luò)流量分析)。NDA是一個網(wǎng)絡(luò)流量分析工具，它從數(shù)據(jù)庫中提取統(tǒng)計數(shù)據(jù)，進(jìn)行進(jìn)一步的加工處理，生成報表，為各種業(yè)務(wù)提供依據(jù)(比如流量計費(fèi)、網(wǎng)絡(luò)規(guī)劃，攻擊監(jiān)測)。通常，NDA具有圖形化用戶界面，使用戶可以方便地獲取、顯示和分析收集

33、到的數(shù)據(jù)。Netflow網(wǎng)絡(luò)流量分析協(xié)議NetFlow為Cisco之專屬協(xié)議（Netflow技術(shù)最早是于1996年由思科公司的Darren Kerr和Barry Bruins發(fā)明的，并于同年5月注冊為美國專利，專利號為6,243,667），提供IP中第三層之信息，可用來了解網(wǎng)絡(luò)設(shè)備所傳輸之封包表頭內(nèi)容，依據(jù)此內(nèi)容將所獲得之資料加以統(tǒng)計，便可為網(wǎng)絡(luò)流量統(tǒng)計、網(wǎng)絡(luò)使用量計價、網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)監(jiān)測等應(yīng)用提供計數(shù)根據(jù)。同時，NetFlow也提供針對QoS(Quality of Service)的測量基準(zhǔn)，能夠捕捉到每筆數(shù)據(jù)流的流量分類或優(yōu)先性特性，而能夠進(jìn)一步根據(jù)QoS進(jìn)行分級收費(fèi)。Netflow支持同

34、時向兩個管理服務(wù)器地址輸出采集到的網(wǎng)絡(luò)流量和流向統(tǒng)計信息，輸出數(shù)據(jù)的方式有三種：簡單高效UDP傳輸協(xié)議方式（傳統(tǒng)方式）。但由于采用了UDP協(xié)議，數(shù)據(jù)傳輸?shù)目煽啃允遣槐ＷC的。SNMP MIB方式。管理服務(wù)器可以通過SNMP協(xié)議訪問網(wǎng)絡(luò)設(shè)備Netflow MIB庫中存儲的數(shù)據(jù)流Top N統(tǒng)計結(jié)果。可靠的SCTP傳輸協(xié)議方式。利用SCTP傳輸協(xié)議，支持擁塞識別，重傳和排隊機(jī)制，確保Netflow統(tǒng)計結(jié)果數(shù)據(jù)正確發(fā)送給上層管理服務(wù)器。Netflow V9的優(yōu)勢：1） rfc3954總共定義了65個數(shù)據(jù)流信息的屬性類型，而Cisco在此之上將屬性類型擴(kuò)展到82個，后續(xù)還能進(jìn)行擴(kuò)展。這表明Netflow

35、V9能夠根據(jù)技術(shù)的發(fā)展對未來數(shù)據(jù)局流實現(xiàn)更加細(xì)致的統(tǒng)計和分析。2） 無論是針對Netflow本身的配置還是針對流量統(tǒng)計的配置，均以模板的方式實現(xiàn)，可以通過對模板的各個records進(jìn)行調(diào)整來適應(yīng)具體的網(wǎng)絡(luò)環(huán)境和監(jiān)控需求，具有高度的靈活性。3） 數(shù)據(jù)流的統(tǒng)計通過模板和data記錄來實現(xiàn)，這使得每一次擴(kuò)展升級對exporter和collector的影響非常小，只需要更新相應(yīng)的模板就可以了，不需要每次都對設(shè)備硬件進(jìn)行升級。Netflow V9的不足：開放性不夠：Cisco的Netflow v9雖然提交了相關(guān)RFC，但是在RFC主要介紹了v9的數(shù)據(jù)包格式和一些關(guān)鍵概念的定義說明。對數(shù)據(jù)流的檢測、輸出、

36、分類等并未進(jìn)行較細(xì)致的規(guī)定（根本未提及），這些內(nèi)容Cisco內(nèi)部有機(jī)制，但是未公開安全性不夠：Netflow v9的設(shè)計初衷是將輸出器和收集器定義在一個獨(dú)立的私有的網(wǎng)絡(luò)中，但現(xiàn)在很多時候Netflow v9被用來在公共網(wǎng)絡(luò)中傳輸數(shù)據(jù)流記錄，這導(dǎo)致一定程度的安全風(fēng)險。在RFC和Cisco提供的白皮書中未找到其他任何相關(guān)的機(jī)制和說明。Cisco可能通過其他獨(dú)有的上層手段來保障安全性，但是Netflow v9本身的安全完整性還是有所不足。sFlow網(wǎng)絡(luò)流量分析協(xié)議sFlow是一種基于標(biāo)準(zhǔn)的最新網(wǎng)絡(luò)導(dǎo)出協(xié)議(RFC 3176)，能夠解決當(dāng)前網(wǎng)絡(luò)管理人員面臨的很多問題。通過將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由

37、器和交換機(jī)的ASIC芯片中，sFlow已經(jīng)成為一項線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)。與使用鏡像端口、探針和旁路監(jiān)測技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠大大降低實施費(fèi)用，采用它可實現(xiàn)面向每一個端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案。IPFIX網(wǎng)絡(luò)流量分析協(xié)議IPFIX是ietf基于Netflow v9而開發(fā)的最新的數(shù)據(jù)流輸出標(biāo)準(zhǔn)。IPFIX不但繼承了Netflow v9基于模板的流信息輸出格式，而且在此基礎(chǔ)上對數(shù)據(jù)流輸出的典型應(yīng)用進(jìn)行了輸出規(guī)范的建議，另外Netflow中未涉及到的安全性問題在IPFIX中也進(jìn)行了說明。IPFIX的優(yōu)勢：1）繼承了Netflow v9的靈活性和擴(kuò)展性；2）定義了4個組件

38、，增加了監(jiān)測進(jìn)程（Netflow只有3個組件），將組件的功能劃分得更加細(xì)致；3）就流量監(jiān)控的功能引入了應(yīng)用相關(guān)，針對不同的應(yīng)用在監(jiān)控內(nèi)容上進(jìn)行了明確的區(qū)分；4）在RFC中對安全性和可靠性作出了明確的要求，對可能出現(xiàn)的隱患進(jìn)行了說明；5）詳細(xì)規(guī)范了輸出和監(jiān)測進(jìn)程的細(xì)節(jié)；IPFIX的不足：1） 在對flow的描述上僅提供了30多個屬性，遠(yuǎn)低于netflow v9的85個屬性；2） 對安全性方面的保障機(jī)制僅提出要求，需要依賴于第三方技術(shù)和協(xié)議來實現(xiàn)；3） 對flow信息的加密技術(shù)和機(jī)制沒有任何說明，缺乏標(biāo)準(zhǔn)本身的整體完整性；常見的網(wǎng)絡(luò)流量協(xié)議包括：Flow名稱代表廠商主要版本備注NetFlowCis

39、coV1、V5、V7、V8、V9應(yīng)用最廣CFlowdJuniperV5、V8廠商跟進(jìn)力度不高sFlowFoundry、HP、Alcatel、NEC、Extreme等V4、V5實時性較強(qiáng)，具備突出的第二七層信息描述能力NetStream華為、H3CV5、V8、V9與NetFlow較為類似IPFIXIETF標(biāo)準(zhǔn)規(guī)范RFC 3917以NetFlow V9為藍(lán)本IEEE802.3az的概念-EEEIEEE802.3az是經(jīng)過電子電氣工程師協(xié)會(IEEE)正式批準(zhǔn)的標(biāo)準(zhǔn)節(jié)能規(guī)范，其中EEE三個字母是Energy Efficient Ethernet的縮寫，意思是高效節(jié)能以太網(wǎng)。如果硬件設(shè)備支持該標(biāo)準(zhǔn)，就

40、可以在互聯(lián)網(wǎng)使用或者以太網(wǎng)活動處于空閑狀態(tài)的時候降低網(wǎng)絡(luò)連接兩端的能耗，開始正常傳輸數(shù)據(jù)的時候則恢復(fù)正常供電。EEE標(biāo)準(zhǔn)為以太網(wǎng)設(shè)備規(guī)定的降低能耗方式是定義低功耗模式。一個沒有可發(fā)送幀的收發(fā)器就可以進(jìn)入低功耗模式，當(dāng)有新幀到達(dá)時，收發(fā)器會在數(shù)微秒內(nèi)返回活動模式，從而實現(xiàn)了對協(xié)議上層幾乎透明的節(jié)能。黑洞MAC黑洞MAC地址表項：由用戶手工配置的一類特殊的MAC地址，當(dāng)交換機(jī)接收到源地址或目的地址為黑洞MAC地址的報文時，會將該報文丟棄,不會被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中。一般在檢測到某個病毒源之后，把該P(yáng)C的mac地址配置為黑洞mac(black-mac),就可以保證網(wǎng)絡(luò)的安全了。該pc就被孤立了。意思就是你給

41、他發(fā)的信息他收到了,但是不會轉(zhuǎn)發(fā),也不會告訴你.靠這個原理來解決環(huán)路的. 華3的,思科的設(shè)備都支持這個無需手動配置，用命令配置好，自動檢測策略vlan當(dāng)前VLAN劃分的的主要策略1. 基于端口的VLAN 基于端口的VLAN的劃分是最簡單、最有效的VLAN劃分方法。該方法只需網(wǎng)絡(luò)管理員針對于網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配組合在不同的邏輯網(wǎng)段中即可。而不用考慮該端口所連接的設(shè)備是什么。 2. 基于MAC地址的VLAN MAC地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是唯一的?；贛AC地址的VLAN劃分其實就是基于工作站、服務(wù)器的VLAN的組合。在網(wǎng)絡(luò)規(guī)模較小時，該方案亦不失為一個好的方

42、法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備、用戶的增加，則會在很大程度上加大管理的難度。 3. 基于路由的VLAN 路由協(xié)議工作在七層協(xié)議的第三層：網(wǎng)絡(luò)層，即基于IP和IPX協(xié)議的轉(zhuǎn)發(fā)。這類設(shè)備包括路由器和路由交換機(jī)。該方式允許一個VLAN跨越多個交換機(jī)，或一個端口位于多個VLAN中。 4. 基于策略的VLAN 基于策略的VLAN的劃分是一種比較有效而直接的方式。這主要取決于在VLAN的劃分中所采用的策略。 就目前來說，對于VLAN的劃分主要采用1、3兩種模式，對于方案2則為輔助性的方案。90%以上的網(wǎng)絡(luò)設(shè)計，其VLAN的劃分依然基于交換機(jī)端口來完成，這種傳統(tǒng)的VLAN進(jìn)入方式其局限性和安全隱患是顯而

43、易見：1）用戶終端位置的變更需要網(wǎng)絡(luò)管理人員對交換機(jī)端口進(jìn)行重新配置。2）入侵者接入任何一個端口，通過簡單的掃描軟件將可以獲得相應(yīng)VLAN的所有信息，包括IP子網(wǎng)信息，網(wǎng)關(guān)地址，用戶IP/MAC信息，甚至用戶安全認(rèn)證信息。 3）對于訪客，如果我們沒有專門為其預(yù)留端口，其接入將會給我們網(wǎng)絡(luò)帶來安全隱患；如果專門為其預(yù)留網(wǎng)絡(luò)端口，在網(wǎng)絡(luò)的什么位置預(yù)留，預(yù)留端口數(shù)量也將是困擾網(wǎng)絡(luò)管理員的重要問題；同時，端口的預(yù)留也是對網(wǎng)絡(luò)資源的一種浪費(fèi)。以Alcatel OmniSwitch為例，以其策略VLAN為基礎(chǔ)來進(jìn)一步分析網(wǎng)絡(luò)的接入安全控制。Alcatel的策略VLAN: Alcatel策略VLAN打破了這

44、種以固定端口劃分VLAN的傳統(tǒng)模式，將每一個VLAN賦予一定的策略，用戶終端最終進(jìn)入哪一個VLAN與其接入的交換機(jī)端口無直接聯(lián)系，而與終端 的特性是否與VLAN策略的匹配相關(guān)；Alcatel策略VLAN實現(xiàn)了用戶終端真正的即插即用，同時為用戶、終端提供安全的數(shù)據(jù)隔離。Alcatel的VLAN策略包括： IP子網(wǎng)策略 MAC地址策略 IP/IPX協(xié)議策略 IP/MAC綁定策略 IP/MAC/PORT綁定策略 用戶認(rèn)證策略 802.1X認(rèn)證 MAC認(rèn)證 WEB認(rèn)證 DHCP策略 舉例所示： 交換機(jī)中VLAN10,11,13分別通過不同的策略進(jìn)行定義 當(dāng)PC A接入交換機(jī)時，交換機(jī)將對PC A的MA

45、C, IP,等特性進(jìn)行自動檢測，根據(jù)檢測的結(jié)果將PC A的MAC放入匹配策略的VLAN，VLAN的定義與交換機(jī)的端口無關(guān)，當(dāng)PC A移動到另一個端口時，由于PC A本身的 屬性并為發(fā)生改變，PC A依然自動進(jìn)入相同的VLAN。 當(dāng)外來PC接入網(wǎng)絡(luò)時，由于無法匹配任何VLAN策略，入侵者將無法進(jìn)入工作（有效）VLAN，被交換機(jī)有效地隔離。我們稱入侵者目前所在的VLAN為隔離VLAN，重要的是，由于隔離VLAN是一個單獨(dú)封閉的區(qū)域，使得入侵者即使使用網(wǎng)絡(luò)掃描軟件也無法得到位于工作（有效）VLAN用戶的任何信息。 總結(jié)： Alcatel 策略VLAN解決了以下兩個問題： 用戶移動性：用戶進(jìn)入相應(yīng)VL

46、AN與接入端口無關(guān)，真正實現(xiàn)移動接入； 安全接入：對于非法用戶，無論從交換機(jī)的哪一個端口接入都將被屏蔽在工作（有效）VLAN之外。 下面我們從接入安全的角度來介紹一下常用的各種策略VLAN的適用場合： IP子網(wǎng)策略：由于我們在網(wǎng)絡(luò)設(shè)計時通常將不同的業(yè)務(wù)部門劃分到不同的VLAN，同時將VLAN對應(yīng)不同的IP子網(wǎng)；因此，IP子網(wǎng)策略適用于對安全需求不高，對移動性和簡易管理需求較高的的網(wǎng)絡(luò)設(shè)計中。通常采用以下一條命令就完成了一個IP子網(wǎng)策略VLAN的設(shè)定：vlan 10 ip 192.168.10.0 255.255.255.0；當(dāng)用戶終端的IP地址設(shè)為192.168.10.x時，該終端將自動進(jìn)入V

47、LAN 10. 安全性：進(jìn)入IP子網(wǎng)VLAN的先決條件是必須知道交換機(jī)中定義了哪些IP子網(wǎng)（通過網(wǎng)絡(luò)掃描是無法得到的，參看上面對隔離VLAN的介紹） MAC地址策略：MAC地址策略需要我們事先將歸屬該VLAN的終端MAC地址配置到交換機(jī)上（MAC地址可以通過交換機(jī)自動學(xué)到），只有符合我們預(yù)設(shè)的MAC地址的終端才可以進(jìn)入該VLAN。MAC地址VLAN相比IP子網(wǎng)VLAN安全性要高，但配置工作量相對較大；策略適用于對安全和移動性需求較高的網(wǎng)絡(luò)設(shè)計中。MAC地址VLAN通常采用以下命令就完成設(shè)定：vlan 11 mac 01:01:01:02:02:02；當(dāng)用戶終端的MAC地址設(shè)為01:01:01:

48、02:02:02時，該終端將自動進(jìn)入VLAN 11. 安全性：進(jìn)入MAC子網(wǎng)VLAN的先決條件是必須知道交換機(jī)中是否定義的MAC VLAN策略，同時需知道至少一個已定義的MAC地址。（通過網(wǎng)絡(luò)掃描是無法得到的，參看上面對隔離VLAN的介紹） IP/MAC綁定策略：IP/MAC綁定策略需要我們事先將歸屬該VLAN的終端IP/MAC配置到交換機(jī)上（IP/MAC可以通過交換機(jī)自動學(xué)到），只有符合我們預(yù)設(shè)的IP/MAC地址的終端才可以進(jìn)入該VLAN。IP/MAC綁定地址VLAN相比MAC VLAN安全性更高，適用于對安全和移動性需求非常高且VLAN用戶較少的網(wǎng)絡(luò)設(shè)計中。IP/MAC綁定VLAN的另一個

49、作用是禁止符合策略的用戶對IP或MAC進(jìn)行改動，IP/MAC的改動將失去VLAN策略的匹配，該終端從而被放入隔離VLAN。IP/MAC綁定VLAN通常采用以下命令完成設(shè)定：vlan 11 binding mac-ip 00:00:39:59:0a:0c 21.0.0.10；當(dāng)用戶終端的IP地址設(shè)為21.0.0.10，MAC為00:00:39:59:0a:0c 時，該終端將自動進(jìn)入VLAN 11. 安全性：進(jìn)入IP/MAC子網(wǎng)VLAN的先決條件是必須知道交換機(jī)中是否定義了IP/MAC VLAN策略，同時需知道至少一個已定義的IP/MAC地址。（通過網(wǎng)絡(luò)掃描是無法得到的，參看上面對隔離VLAN的介

50、紹） 用戶認(rèn)證策略：用戶認(rèn)證VLAN與上述策略VLAN的最大不同是檢測終端使用者的合法性而非終端本身的合法性，更適用于多人共用終端的場合。我們?yōu)榻K端用戶提供合法賬號，不同的賬號對應(yīng)不同的VLAN或決定交換機(jī)端口的開、閉（802.1x），終端進(jìn)入哪一個VLAN由用戶賬號決定。由于是對用戶的認(rèn)證，所以該策略的實施必須引入用戶認(rèn)證服務(wù)器來完成相應(yīng)的認(rèn)證、授權(quán)工作，相對增加了網(wǎng)絡(luò)管理的復(fù)雜度。 安全性：進(jìn)入用戶認(rèn)證VLAN的先決條件是必須獲得合法的用戶賬號（當(dāng)采用認(rèn)證服務(wù)器回指VLAN屬性的方式時，由于用戶在認(rèn)證過程中的通信是在隔離VLAN中完成的，只有認(rèn)證通過后才會進(jìn)入工作VLAN；因此，認(rèn)證的加密

51、就非常有必要） DHCP策略：DHCP是終端自動獲得IP地址的協(xié)議，對于訪客非常方便。通過對VLAN定義DHCP，使得訪客自動獲得IP地址并進(jìn)入相應(yīng)的訪客VLAN。通常采用以下命令完成一個DHCP策略VLAN的設(shè)定：vlan 10 dhcp port 3/1-24；當(dāng)用戶終端的IP地址設(shè)為自動獲得時時，該終端將自動進(jìn)入VLAN 10并獲得相應(yīng)的IP地址。 安全性：無特殊安全性，便于訪客的靈活接入同時與保障企業(yè)內(nèi)網(wǎng)的安全隔離。 Alcatel基于策略VLAN的安全接入解決方案: 對于一個企業(yè)，擁有眾多的部門，包括工程、銷售、財務(wù)、領(lǐng)導(dǎo)以及訪客等，我們在作網(wǎng)絡(luò)規(guī)劃設(shè)計時根據(jù)不同部門對網(wǎng)絡(luò)安全的要求

52、不同，予以不同的VLAN策略，使整個網(wǎng)絡(luò)在安全、靈活、易用和易管理幾個方面達(dá)到最大的統(tǒng)一。下面就一個典型案例進(jìn)行具體分析、設(shè)計。 在這個案例中我們將用戶按安全級別分為4類： 安全級別高、且端口固定：如財務(wù)部 安全級別高、且有移動要求：如領(lǐng)導(dǎo) 安全級別一般、且有移動要求：業(yè)務(wù)部門，如工程、銷售 安全級別低、訪問受限制：如訪客和臨時部門MUX VLAN 定義：MUX VLAN是一種包含上行端口和業(yè)務(wù)虛端口的VLAN。一個MUX VLAN可包含多個上行端口，但只包含一個業(yè)務(wù)虛端口。不同MUX VLAN間的業(yè)務(wù)流相互隔離。原理：MUX VLAN分為Principal VLAN和Subordinate

53、VLAN，Subordinate VLAN又分為Separate VLAN和Group VLAN，MUX VLAN與接入用戶存在一對一的映射關(guān)系，因此可根據(jù)VLAN區(qū)分不同的接入用戶。例如，當(dāng)需要用VLAN區(qū)分用戶時，可以使用MUX VLAN。作用：MUX VLAN（Multiplex vlan ）提供了一種在VLAN內(nèi)的端口間進(jìn)行二層流量隔離的機(jī)制。需求：在企業(yè)網(wǎng)絡(luò)中，企業(yè)員工和企業(yè)客戶可以訪問企業(yè)的服務(wù)器。對于企業(yè)來說，希望企業(yè)內(nèi)部員工之間可以互相交流，而企業(yè)客戶之間是隔離的，不能夠互相訪問。通過MUX VLAN提供的二層流量隔離的機(jī)制可以實現(xiàn)企業(yè)內(nèi)部員工之間可以互相交流，而企業(yè)客戶之間是

54、隔離的。應(yīng)用場景：如圖所示，根據(jù)MUX VLAN特性，企業(yè)可以用Principal PORT連接企業(yè)服務(wù)器，Separate PORT連接企業(yè)客戶，Group PORT連接企業(yè)員工。這樣就能夠?qū)崿F(xiàn)企業(yè)客戶、企業(yè)員工都能夠訪問企業(yè)服務(wù)器，而企業(yè)員工內(nèi)部可以通信、企業(yè)客戶間不能通信、企業(yè)客戶和企業(yè)員工之間不能互訪的目的。我司應(yīng)對：這是華為和H3C的私有協(xié)議，可以通過acl或保護(hù)口來替代uRPFuRPF是一種單播逆向路由查找技術(shù)，用來預(yù)防偽造源地址攻擊的手段。之所以稱為逆向，是針對正常的路由查找而言的。一般情況下路由器接收到報文，獲取報文的目的地址，針對目的地址查找路由。如果找到了進(jìn)行正常的轉(zhuǎn)發(fā)，否

55、則丟棄該報文。urpf通過獲取報文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對應(yīng)的接口是否與入接口匹配。如果不匹配認(rèn)為源地址是偽裝的，丟棄該報文。通過這種方式urpf就能有效地防范網(wǎng)絡(luò)中通過修改源地址而進(jìn)行的惡意攻擊行為的發(fā)生。在s1 上偽造源地址為2.2.2.1 的報文向服務(wù)器s2 發(fā)起請求，s2 響應(yīng)請求時將向真正的“2.2.2.1”即s3 發(fā)送報文。這種非法報文對s2 和s3 都造成了攻擊。攻擊者使用隨機(jī)改變源地址的方法發(fā)起攻擊。在本例子中，源地址使用一些保留的非全局的ip 地址，因此不可達(dá)。其實即使是一個合法的ip 地址，只要是不可達(dá)的也可以用來發(fā)起攻擊。另一種情況：攻

56、擊者可以偽造一個源地址，該地址是另一個合法網(wǎng)絡(luò)的地址并且在全局路由表中存在。例如，攻擊者偽造一個源地址使得被攻擊者認(rèn)為攻擊來自于偽造的源地址，但實際上該源地址是完全無辜的，并且有時候網(wǎng)絡(luò)管理員會因此而關(guān)閉所有來自源地址的數(shù)據(jù)流，這樣正好使得攻擊者的拒絕服務(wù)攻擊成功實現(xiàn)。更復(fù)雜的情形是tcp syn 洪泛攻擊將使得syn-ack數(shù)據(jù)包發(fā)送到完全與攻擊無關(guān)的許多主機(jī)，而這些主機(jī)就成了犧牲者。這使得攻擊者可以同時去欺騙一個或者多個系統(tǒng)。同樣也可以采用udp 和icmp 洪泛攻擊。所有這些攻擊都會嚴(yán)重的降低系統(tǒng)性能，甚至使得系統(tǒng)崩潰。urpf 就是為了防范這種攻擊而使用的一種技術(shù)?？煽亟M播IPTV C

57、ACIPTV中的BTV（電視直播）業(yè)務(wù)，是非常適合利用組播技術(shù)來進(jìn)行傳輸?shù)?，因為對于觀看同一頻道的大量用戶來說在同一時間收看的是同一內(nèi)容。媒體服務(wù)器僅發(fā)送一份該直播電視頻道的報文，網(wǎng)絡(luò)在用戶的分支點(diǎn)才進(jìn)行復(fù)制，在分支點(diǎn)以上的網(wǎng)絡(luò)只需傳送一個數(shù)據(jù)流，大大減輕了網(wǎng)絡(luò)的帶寬及服務(wù)器資源。 如何將各個頻道名翻譯為網(wǎng)絡(luò)設(shè)備、服務(wù)器能夠識別和區(qū)分的語言，就需要為不同的頻道名分配唯一的組播地址。比如為CCTV5分配225.0.0.5的組播地址。用戶在選擇觀看CCTV5頻道的時候，實際上是一個加入225.0.0.5組播組。可控組播是華為公司提出的一整套可運(yùn)營、可管理的組播技術(shù)解決方案?？煽亟M播主要解決在IPTV寬帶運(yùn)營網(wǎng)絡(luò)上提供對組播用戶、組播源、組播組的控制，完備的、可擴(kuò)展的計費(fèi)手段和對組播網(wǎng)絡(luò)的監(jiān)控、管理手段。 可控組播的實現(xiàn)機(jī)制是用戶在營業(yè)廳開戶定購直播頻道節(jié)目，其信息記錄到SMS業(yè)務(wù)管理系統(tǒng)，SMS系統(tǒng)通過標(biāo)準(zhǔn)的TL1接口將用戶的信息通知到網(wǎng)管NMS系統(tǒng)，NMS系統(tǒng)通過SNMP協(xié)議將對于用戶的控制信息發(fā)送到組播控制點(diǎn)（BRAS/DSLAM/L2）等網(wǎng)絡(luò)上，組播控制點(diǎn)根據(jù)該信息實現(xiàn)組播權(quán)限轉(zhuǎn)發(fā)，僅向IPTV合法用戶轉(zhuǎn)發(fā)組播報文。DLDP 光纖錯接和鏈路單通可能會導(dǎo)致STP網(wǎng)絡(luò)出現(xiàn)廣播風(fēng)暴，DLDP（Device&