華為中低端交換機(jī)控標(biāo)主要技術(shù)點(diǎn)解析-20150325

1、交換路由競爭，常用技術(shù)目錄背板帶寬和包轉(zhuǎn)發(fā)率OAM 的定義 SFP+和XFP接口區(qū)另ij .MFF.Smart LinkRRPP.G.8032 ERPS和R SEP等環(huán)網(wǎng)技術(shù)VCT(Virtual Cable Test)Netstream 和 Sflow 、IPFIXIEEE802.3az 的概念 -EEE黑洞 MAC策略 vlan 101010uRPF.13可控組播 IPTV CAC14DLDP.14NQA.15APSD.15Jumbo 巨型幀作用16背板帶寬和包轉(zhuǎn)發(fā)率完全無阻塞交換條件：所有端口容量 X端口數(shù)量之和的 2倍應(yīng)該小于背板帶寬可實(shí)現(xiàn)全雙工無阻塞交換證明交換機(jī)具有發(fā)揮最大數(shù)據(jù)交換

2、性能的條件。滿配置吞吐量（Mpps）=滿配置GE端口數(shù)X 1.488Mpps （其中1個千兆端口在包長為64字節(jié)時的理論吞吐量為1.488Mpps,pps 是每秒64字節(jié)包的個數(shù)，如果包長更長，同樣1個千兆口，那么PPS還不到1.488Mpps）。64 X 1.488M pps =提供無阻塞的包交換。如果一臺交換機(jī)最多能261.8M PP s（176 x 1.488M pps = 261.8） ，那么一般是兩者都滿足的交換機(jī)才是合格的交例如一臺最多可以提供64個千兆端口的交換機(jī)，其滿配置吞吐量應(yīng)達(dá)到95.2Mpps，才能夠確保在所有端口均線速工作時， 夠提供176個千兆端口而宣稱的吞吐量為不到

3、用戶有理由認(rèn)為該交換機(jī)采用的是有阻塞的結(jié)構(gòu)設(shè)計(jì)。 換機(jī)。比如 Cisco 2950G-48背板=2X 1000X 2+48X 100X 2(Mbps) =13.6(Gbps)相當(dāng)于13.6/2=6.8 個千兆口包轉(zhuǎn)發(fā)率 / 吞吐量=6.8 X 1.488=10.1184MppsCisco4506 背板64G滿配置千兆口4306X 5+2 （引擎）=32包轉(zhuǎn)發(fā)率/吞吐量=32X 1.488=47.616 Mpps一般是兩者都滿足的交換機(jī)才是合格的交換機(jī)。24 口千兆交換機(jī),我司應(yīng)對：對虛高不合理的參數(shù)，可以提岀質(zhì)疑。對于交換機(jī)包轉(zhuǎn)發(fā)率, 華為目前算法，1.5M PPS*24*1.5（ 冗余）=5

4、4 MPPSOAM的定義即操作、管理和維護(hù)。該機(jī)制在傳告警、定位和隔離等手段提高網(wǎng)絡(luò)的運(yùn)維水平。OAM相關(guān)標(biāo)準(zhǔn)有：第57章）OAM （Op erati ons, Admini strati on, and Maintenan ce）統(tǒng)電信網(wǎng)中已應(yīng)用很久了，主要是通過故障檢測、目前，各標(biāo)準(zhǔn)化組織正在完成和已經(jīng)完成的以太網(wǎng)IEEE 802.3-2005 第 57 章（原 IEEE 802.3ah城域以太網(wǎng)論壇制定的 E-LMI （ Ether net Local Man ageme nt In terface Connectivity Fault Management （CFM）即 IEEE 80

5、2.1agITU-T和城域以太網(wǎng)論壇制定的Y.1731，可兼容802.1ag一, OAM的用途一般各種OAM協(xié)議都采用周期性發(fā)送特定報(bào)文的802.3 OAM中，每秒發(fā)送一802.1ag中，周期性地（周期MP LS OAM中，則周期性地連通檢測：即檢測鏈路是否能正常傳輸報(bào)文，方式完成，當(dāng)一定數(shù)量的報(bào)文丟失，便判斷為鏈路不可用。例如：在個In formation報(bào)文，當(dāng)連續(xù)5個報(bào)文丟失時，認(rèn)為鏈路斷開；在可配置）發(fā)送 CCM報(bào)文，連續(xù)3個報(bào)文丟失則認(rèn)為對方已不可達(dá)；在 發(fā)送CV報(bào)文和FFD報(bào)文。方法是將報(bào)文發(fā)送到目標(biāo)實(shí)體， 并由目標(biāo)實(shí)體應(yīng)答 在發(fā)送和返回的報(bào)文中可以攜帶各種信息。 例如： 802.

6、1ag 中的 loopback ； MPLSOAM中的 LSP Ping。處于發(fā)送路徑上、能識別該報(bào)文的設(shè)備向源實(shí)體環(huán)回：主要目的是檢測鏈路的雙向連通性。報(bào)文，發(fā)送者根據(jù)返回報(bào)文的情況判斷連通性。IP協(xié)議中的ping ； 802.3 OAM中的遠(yuǎn)端環(huán)回；鏈路跟蹤：方法是將報(bào)文發(fā)送到目標(biāo)實(shí)體，IP 協(xié)議中的回應(yīng)報(bào)文。源實(shí)體通過收到的回應(yīng)報(bào)文確定到達(dá)目標(biāo)實(shí)體所經(jīng)過的路徑。例如：traceroute ；在 802.1ag 協(xié)議中使用的 linktrace 。錯誤指示： 可分為前向錯誤指示和反向錯誤指示。 在一個路徑上， 當(dāng)某個節(jié)點(diǎn)發(fā)現(xiàn)源節(jié)點(diǎn)發(fā)送 的報(bào)文有錯誤時， 它可以通知其他節(jié)點(diǎn)， 它可以沿著這個

7、路徑向下游發(fā)送通知， 起到預(yù)防的作用， 這就是前向錯誤指示；它也可以沿著路徑逆向傳遞，告訴發(fā)送者，它發(fā)出的報(bào)文有錯誤。二、協(xié)議說明2.1 802.3ah802.3 OAM 協(xié)議屬于慢速協(xié)議( slow protocol )，另一個著名的慢速協(xié)議是鏈路聚合控制協(xié)議(LACP)。慢速協(xié)議具有如下共同特點(diǎn)：每秒鐘傳輸?shù)膱?bào)文不超過 10 幀。協(xié)議報(bào)文(PDU不帶VLAN Tag。協(xié)議報(bào)文目的地址為 01-80-C2-00-00-02 。協(xié)議報(bào)文的 Type 域?yàn)?88-09 。協(xié)議報(bào)文不能被轉(zhuǎn)發(fā)。 ( 802.3 OAM 監(jiān)控一段鏈路，從一個以太網(wǎng)口到另外一個以太網(wǎng)口， 中間不能經(jīng)過其他設(shè)備。 )2.

8、2 802.1ag802.1ag針對MAC地址，它判斷相應(yīng)的 MAC地址是否可達(dá)，從而獲得二層網(wǎng)絡(luò)的相應(yīng)工作狀態(tài) 和路徑。2.3 重要概念：域：在邏輯上將網(wǎng)絡(luò)從內(nèi)到外劃分為不同的層次，稱作維護(hù)域(Maintenance Domain )，維護(hù)域可以嵌套，不能交叉，這樣，在出現(xiàn)問題時，可以通過問題所在的域的范圍判斷問題的歸屬。 這個想法的目的是將運(yùn)營商網(wǎng)絡(luò)同用戶網(wǎng)絡(luò)隔離開，或者說將網(wǎng)絡(luò)在邏輯上同實(shí)際使用者對應(yīng)起來，從而產(chǎn)生清晰的界面。當(dāng)出現(xiàn)問題時，通過在不同域中的判斷確定問題的具體位置。級別：協(xié)議中區(qū)分不同層次的域的方法是為每個域定義一個級別(level )，高級別的域可以嵌套低級別的域。 高低

9、級別的域之間是不通信息的， 它們各自通報(bào)本域內(nèi)的錯誤， 范圍較大的域 的 802.1ag 報(bào)文可以穿過較小的域，范圍較小的域的報(bào)文不可以發(fā)送到域的外面。維護(hù)域(Maintenance Doma in)：是進(jìn)行錯誤管理的一部分網(wǎng)絡(luò)，維護(hù)域的邊界由維護(hù)端點(diǎn) (MEP圍成。它由維護(hù)域名稱(一個字符串)唯一標(biāo)識。它具有的另外一個屬性是維護(hù)域級別。維護(hù)集( Maintenance Association )：維護(hù)集屬于某個維護(hù)域，由維護(hù)域內(nèi)唯一的名稱(一個 字符串)標(biāo)識。它具有的另外一個屬性是VLAN。維護(hù)集是指 MD中的一個集合，包含一些MP用“ MD名+short MA名”來標(biāo)識。MA屬于一個VLA

10、N, MA中的MP所發(fā)送的報(bào)文在該 VLAN內(nèi)被轉(zhuǎn)發(fā)，同時也接收MA內(nèi)其它MP發(fā)送的報(bào)文，因此，MA也被稱為服務(wù)實(shí)例(Service Instanee， SI)。MEP(維護(hù)端點(diǎn))：維護(hù)域是有邊界的，它的邊界就是一個個的端口，因此，只要在邊界端口上 配置一個實(shí)體就可以了， 這個實(shí)體叫做維護(hù)端點(diǎn) ( Maintenance association End Point 或 MEP)。 當(dāng)所有的邊界端口都配置了維護(hù)端點(diǎn)，域的邊界就確定了，域的范圍也確定了。MEP屬于某個維護(hù)集，從維護(hù)域和維護(hù)集中繼承了它們的屬性：級別和VLAM維護(hù)端點(diǎn)用一個整數(shù)唯一標(biāo)識，稱為MEPID該整數(shù)在維護(hù)集內(nèi)是唯一的。維護(hù)端

11、點(diǎn)可發(fā)岀802.1ag報(bào)文。MIP (維護(hù)中間點(diǎn))：在維護(hù)域內(nèi)的端口上也可以配置實(shí)體，叫做維護(hù)中間點(diǎn)(Maintenancedomai n In termediate Poi nt或 MIP)。MEP和 MIP 統(tǒng)稱為維護(hù)點(diǎn)( Mai nte nance Poi nt )。維護(hù)點(diǎn)是本協(xié)議功能實(shí)現(xiàn)的主體，所有的功能均通過維護(hù)點(diǎn)的處理得以體現(xiàn)。MIP 屬于某個維護(hù)集，從維護(hù)域和維護(hù)集中繼承了它們的屬性：級別和VLAN。維護(hù)中間點(diǎn)僅回應(yīng)收到的802.1ag報(bào)文，不會自己主動發(fā)岀。2.3 重要參數(shù)：級別和 VLANlevel ）和它所服務(wù)802.1ag的報(bào)文內(nèi)有兩個基本的參數(shù)貫串了802.1ag協(xié)議的

12、處理，它們就是維護(hù)域的級別（的VLAN這兩個參數(shù)將網(wǎng)絡(luò)進(jìn)行了劃分，它們影響到維護(hù)點(diǎn)的歸屬，影響到 容、MAC地址，影響到報(bào)文的處理等。級別較小的域中的1ag如果在級別較大的域 維護(hù)域中的維護(hù)點(diǎn)就會報(bào)告錯誤。錯誤的處理則是也有時候可能就是系統(tǒng)管理員配置錯誤。VLAN802.1ag協(xié)議報(bào)文是帶有 VLAN Tag的，且要實(shí)現(xiàn)這個功能，網(wǎng)絡(luò)內(nèi)所有設(shè)備要同步支持，維護(hù)域共分為8個級別，從07,數(shù)字越大，代表的維護(hù)域范圍越大。 報(bào)文不能穿過域的邊界進(jìn)入到較大的域中。由于各級別的維護(hù)域是嵌套的，中發(fā)現(xiàn)了較小級別的報(bào)文，就屬于一種錯誤，系統(tǒng)管理員的工作，有時候可能是網(wǎng)絡(luò)的錯誤， 當(dāng)然是很重要的，這是目前二層

13、網(wǎng)絡(luò)的基礎(chǔ)，我司應(yīng)對：這是運(yùn)營商網(wǎng)絡(luò)里的特殊需求， H3C也不能完全支持。SFP+和XFP接口區(qū)別XFP的速率是10G，并且是串行光收發(fā)模塊的一種標(biāo)準(zhǔn)化封裝。它符合以下標(biāo)準(zhǔn)：10G光纖通道、10G以太網(wǎng)、SONET/OC-192和SDH/STM-64 XFP光模塊主要用于數(shù)據(jù)通訊和電信傳輸網(wǎng)的光纖傳輸SFP+金手指有20個，XFP金手指有30個SFP+、XFP用的都是LC接口的尾纖10G模塊可以互通；XFP和SFP+的區(qū)別：兩種不同的接口定義，最明顯的是 金手指，具體參數(shù)可以查看兩種模塊的MSAI際協(xié)議。1）SFP+和XFP都是10G的光纖模塊，且與其它類型的2）SFP+比XFP外觀尺寸更??；

14、3） 因?yàn)轶w積更小SFP+將信號調(diào)制功能，串行/解串器、MAG時鐘和數(shù)據(jù)恢復(fù)（CDR）,以及電子 色散補(bǔ)償（EDC）功能從模塊移到主板卡上；4）XFP遵從的協(xié)議： XFP MSA協(xié)議；IEEE 802.3ae、SFF-8431、SFF-8432 ;5）SFP+遵從的協(xié)議：總結(jié)，SFP+是更主流的設(shè)計(jì)。我司應(yīng)對：一邊是 SFP+的, 邊是XFP,而且參數(shù)一樣（傳輸距離相同，波長一樣，比如都是10km或是40km 80km，波長1310nm,1550nm等），可以直接連接通信， 不存在兼容性問題。SFP+、XFP用的都是LC接口的尾纖MFF即Mac Force Forwardi ng ，其核心思想

15、：二層隔離、三層轉(zhuǎn)發(fā)、ARF代理，這個功能通常部署在二層交換機(jī)上，用于減輕網(wǎng)關(guān)ARF處理負(fù)擔(dān)，降低網(wǎng)關(guān)受ARP攻擊的風(fēng)險(xiǎn)，實(shí)現(xiàn)用戶間的二層隔 離。我司應(yīng)對：可以明了，支持此功能即可，我司也支持。Smart Li nkSMART-LINK針對雙上行組網(wǎng)，實(shí)現(xiàn)主備鏈路冗余備份及故障快速遷移。用于在以太網(wǎng)交換機(jī)上實(shí)現(xiàn)鏈路備份功能，通過手工配置指定鏈路間的相互備份關(guān)系，備份關(guān)系一旦指定，即刻生效。SMART-LINK技術(shù)應(yīng)用的典型組網(wǎng)圖如下：B2LiiikJT iiiklinA1和A2,其中一個接口進(jìn)行流量轉(zhuǎn)發(fā)A1轉(zhuǎn)發(fā)流量時，A2被阻塞。此時的流量為圖中的紅色箭在A設(shè)備上建立兩個互為備份的二層接口（或

16、聚合組）的同時，另一個處于阻塞狀態(tài)。如圖，頭表示。那么A2立刻切換為非阻塞狀態(tài)，開始轉(zhuǎn)發(fā)流量。此時的流量如果A1鏈接的Linki鏈路故障，為圖中的藍(lán)色箭頭表示。VLAN內(nèi)組播發(fā)送FLUSHB文，網(wǎng)絡(luò)中各臺設(shè)備收到該VLAN列表的地址轉(zhuǎn)發(fā)表。VLAN列表將會在FLUSH報(bào)A2在從阻塞狀態(tài)切換為非阻塞狀態(tài)時，報(bào)文后，根據(jù)端口的設(shè)置確定是否更新指定 文中攜帶，地址轉(zhuǎn)發(fā)表包括MAC表、ARP（ ND表等。Smart-li nk 作為輕量級的保護(hù)技術(shù)，Smart-li nk 的技術(shù)特色：1）相比STP,可以提供最快可達(dá) 50毫秒的收斂性能2）相比RRRP提供了更簡捷的配置方式；3）支持基于VLAN的負(fù)載

17、分擔(dān)，充分利用上行帶寬。Smart-li nk 的局限性和應(yīng)用限制1）缺少自己的心跳報(bào)文檢測機(jī)制，無法保護(hù)跨傳輸?shù)逆溌罚?）輕量級協(xié)議，只對上行鏈路做相互的保護(hù)，上面網(wǎng)絡(luò)的冗余保護(hù)需要上面網(wǎng)絡(luò)自己解決。術(shù)語3）SMART-LINK術(shù)為雙上行組網(wǎng)量身定制，組網(wǎng)比較固定，有一定的局限性術(shù)語1）SMART-LINK 組譯為靈活鏈路組，包括兩條鏈路，其中一條進(jìn)行轉(zhuǎn)發(fā)，另一條鏈路阻塞，作冗余備份。2）主用鏈路和備用鏈路SMART-LINK組中處于轉(zhuǎn)發(fā)狀態(tài)的鏈路稱為主用鏈路，處于阻塞狀態(tài)的鏈路稱為備用鏈路。3）主端口和從端口SMART-LINK組的主用和備用鏈路在特定的設(shè)備上體現(xiàn)為端口或者聚合組端口，此處

18、統(tǒng)稱為端口。為了區(qū)分SMART-LINK組中的兩個端口， 將兩個端口分別命名為主端口和從端口，也叫MASTER端口和SLAVE端口。目前 SMART-LINK不支持按角色搶占的方式，因而兩個端口對應(yīng)的鏈路哪個 處于轉(zhuǎn)發(fā)狀態(tài)并不固定，即主從端口和主用備用鏈路并無固定的對應(yīng)關(guān)系。4）FLUSH 報(bào)文類似于STP協(xié)議中的TC報(bào)文，為了能夠使網(wǎng)絡(luò)中的設(shè)備及時感知網(wǎng)絡(luò)拓?fù)渥兓?，SMART-LINK發(fā)送一個FLUSH報(bào)文通知其他設(shè)備進(jìn)行地址刷新。但是，由于該技術(shù)為私有技術(shù)，目前只限于只能通華為和H3C等少部分廠商的一些設(shè)備能夠識別該報(bào)文。對于不識別FLUSH報(bào)文的設(shè)備，過流量觸發(fā)MAC地址的更新。LACP

19、/我司應(yīng)對：SMART LINK為私有協(xié)議，此技術(shù)效果，我司有相應(yīng)業(yè)內(nèi)標(biāo)準(zhǔn)對應(yīng)支持，例如RRPP是一個專門應(yīng)用于以太網(wǎng)環(huán)的二層協(xié)議，由,fc3619 ）發(fā)展而來，由華為3Com開發(fā)的私有協(xié)EAPS 協(xié)RRPP（Rapid Ring Protection Protocol）議（Ether net Automati P rotect Switch ing 議（是針對STP的缺陷推岀的技術(shù)）RST P/MSTP應(yīng)用比較成熟，但收斂時間在秒級。RR PP是一個專門應(yīng)用于以太網(wǎng)環(huán)的鏈路層協(xié)議。 它在以太網(wǎng)環(huán)完整時能夠防止數(shù)據(jù)環(huán)路引起的廣播風(fēng)暴， 而當(dāng)以太網(wǎng)環(huán)上一條鏈路斷開時能迅速 啟用備份鏈路以保證環(huán)網(wǎng)

20、的最大連通性。與STP協(xié)議相比，RRPP協(xié)議有如下優(yōu)點(diǎn)：拓?fù)涫諗克俣瓤欤ǖ陀?0ms）收斂時間與環(huán)網(wǎng)上節(jié)點(diǎn)數(shù)無關(guān)（不受網(wǎng)絡(luò)規(guī)模影響）RRPP技術(shù)不足點(diǎn)是：不能和xSTP網(wǎng)絡(luò)兼容組網(wǎng)。RR PP多實(shí)例在RRPP組網(wǎng)中，一個環(huán)上只能有一個主節(jié)點(diǎn)。當(dāng)主節(jié)點(diǎn)處于Complete狀態(tài)時，被阻塞的副端口會阻止所有用戶報(bào)文通過。這樣，所有用戶報(bào)文在 RRP環(huán)上通過一條路徑傳輸。主節(jié)點(diǎn)副端口側(cè)的鏈路空閑，造成帶寬浪費(fèi)。 RRPP 多實(shí)例基于域?qū)崿F(xiàn)。在一個域中，所有端口、節(jié)點(diǎn)角色、拓 撲都遵循基本的RRP原則。與RRP不同的是，RRP多實(shí)例在一個RRPP環(huán)上可以存在多個域。VLAN，VLAN。阻塞屬一個域內(nèi)可以

21、包含一個或多個實(shí)例，每個實(shí)例代表一個VLAN范圍。這些包含在域中的稱為RRPF域的保護(hù)VLAN保護(hù)VLAN包括屬于該域的數(shù)據(jù) VLAN.主環(huán)控制VLAN和子環(huán)控制 在RRPP多實(shí)例組網(wǎng)中，在同一個環(huán)路上存在多個主節(jié)點(diǎn)。根據(jù)主節(jié)點(diǎn)的Secondary Port性即可實(shí)現(xiàn)業(yè)務(wù)流量的負(fù)載分擔(dān)和鏈路備份。我司我司應(yīng)對：目前，解決二層網(wǎng)絡(luò)環(huán)路問題的技術(shù)有RSTP/MSTP和ERPS等多種標(biāo)準(zhǔn)協(xié)議，都支持G.8032 ERPS和R SEP等環(huán)網(wǎng)技術(shù)ERPS（ Ethernet Ring Protection Switching）：以太網(wǎng)多環(huán)保護(hù)技術(shù)，是業(yè)內(nèi)標(biāo)準(zhǔn)。在2008年12月舉行的ITU-TSG15的

22、全會上，要對以太網(wǎng)環(huán)網(wǎng)保護(hù)標(biāo)準(zhǔn)G.8032的V1版本的修訂版（Amen dme nt1）進(jìn)行討論和表決，這個修訂版主要增加以太網(wǎng)多環(huán)的保護(hù)方案。多環(huán)保護(hù)模型是 G.8032標(biāo)準(zhǔn)中多環(huán)保護(hù)的技術(shù)核心，在實(shí)際網(wǎng)絡(luò)中有較大的應(yīng)用價(jià)值，技術(shù)實(shí)現(xiàn)難度大，也是各個廠商技術(shù)競爭的熱點(diǎn)。會上，中興通訊、諾基亞西門子、阿爾卡特朗訊、華為等主流設(shè)備廠商 針對多環(huán)保護(hù)模型展開了激烈的技術(shù)辯論，最終 中興通訊提岀的“ Sub -ring 子環(huán)劃分模型”脫 穎而岀，被大會采納。ITU-TG.8032多環(huán)標(biāo)準(zhǔn)的發(fā)布，標(biāo)志著以太環(huán)網(wǎng)保護(hù)技術(shù)ERPSK正具備了。已經(jīng)成為 ITU-TG.8032 國際標(biāo)準(zhǔn)， 與 2008成熟商

23、用的條件， 各廠家基于標(biāo)準(zhǔn)的互通也成為可能 年12月修訂完成并表決通過。SDH STF等眾多環(huán)網(wǎng)保護(hù)技術(shù)的優(yōu)點(diǎn)，優(yōu)化在實(shí)現(xiàn)50ms倒換的同時，支持主備、ITU-TG.8032ERPS以太環(huán)網(wǎng)標(biāo)準(zhǔn)吸取了 EAPS RPR 了檢測機(jī)制，可以檢測雙向故障，支持多環(huán)、多域的結(jié)構(gòu)， 負(fù)荷分擔(dān)多種工作方式，成為了以太環(huán)網(wǎng)技術(shù)最新的成熟標(biāo)準(zhǔn)。智能以太保護(hù) SEP(Smart Ethernet Protection) 技術(shù)華為公司于2010年推岀了 SEP協(xié)議，華為以太環(huán)網(wǎng)技術(shù)SEP技術(shù)，比RRPP RP適應(yīng)性更強(qiáng)，支持拓?fù)涓鼜V泛，可和STP融合使用的以太網(wǎng)環(huán)網(wǎng)技術(shù)。SEP是一種專用于以太網(wǎng)鏈路層的環(huán)路保護(hù)機(jī)

24、制， 它通過有選擇性地阻塞網(wǎng)絡(luò)環(huán)路冗余鏈路， 來達(dá)到消除網(wǎng)絡(luò)二層環(huán)路的目的， 有效防止形 成網(wǎng)絡(luò)風(fēng)暴。SEP協(xié)議的收斂性能和 RRP協(xié)議相當(dāng)，在IEEE802.1中的位置和STP相同。SEP協(xié)議支持半環(huán)和 全環(huán)兩種基本拓?fù)洌ＷC其基本拓?fù)湓谌魏螘r刻都有一個斷點(diǎn)。SEP是華為的私有協(xié)議，不能和其他公司設(shè)備直接對接SEP技術(shù)優(yōu)勢SEP以網(wǎng)絡(luò)段為單位。在SEP段完好的情況下，一個SEf段阻塞一個端口，從而避免了環(huán)路產(chǎn)生。 當(dāng)環(huán)網(wǎng)發(fā)生鏈路故障時， 可以迅速地放開阻塞端口， 進(jìn)行鏈路倒換， 恢復(fù)環(huán)網(wǎng)上各節(jié)點(diǎn)通信通路。 SEP組網(wǎng)協(xié)議簡單，是通過軟件來實(shí)現(xiàn)的，無需專門的硬件即可支持SEP,不會額外增加客戶

25、投資。SEP能和現(xiàn)網(wǎng)xSTP兼容組網(wǎng)，很好保護(hù)現(xiàn)網(wǎng)投資。SEP技術(shù)能給客戶帶來其他更多應(yīng)用價(jià)值：SEF收斂時間遠(yuǎn)小于xSTP,并且和網(wǎng)絡(luò)規(guī)模無關(guān)，最快達(dá)到50ms,很好支撐語音和視頻業(yè)務(wù)保護(hù)倒換。SEP可以支持更復(fù)雜的多環(huán)組網(wǎng)拓?fù)?，環(huán)換任意SEP組網(wǎng)靈活，既支持封閉環(huán)，也支持開放環(huán)。 相連，各環(huán)獨(dú)立存在，增加子環(huán)非常方便。在SEP網(wǎng)段上，在任意節(jié)點(diǎn)都可以查看該網(wǎng)段拓?fù)湫畔ⅲ奖銧顟B(tài)查看和維護(hù)。根據(jù)流量狀態(tài)，靈活修改指定斷點(diǎn)來優(yōu)化網(wǎng)絡(luò)流量，達(dá)到網(wǎng)段兩邊的流量均衡; 其他環(huán)網(wǎng)技術(shù)不能做到靈活指定斷點(diǎn)，很難做到斷點(diǎn)兩邊流量均衡。VCT(Virtual Cable Test)虛擬電纜檢測功能 VCT,

26、是利用TDR(Time Domain Reflectometry-時域反射測試)來檢測網(wǎng)絡(luò)線纜的物理狀態(tài)。TDF檢測原理類似于雷達(dá)，它工作方式是通過主動向?qū)Ь€發(fā)射一個脈沖信號并檢 測所發(fā)送的脈沖信號的反射結(jié)果來檢測電纜故障。 當(dāng)發(fā)送的脈沖信號通過電纜的末端或電纜的故 障點(diǎn)時，就會引起部分或全部的脈沖能量被反射回來到達(dá)原來的發(fā)送源，VCT技術(shù)根據(jù)測量脈沖信號在導(dǎo)線中的傳輸獲得信號到達(dá)故障點(diǎn)或返回的時間，然后根據(jù)公式將相應(yīng)時間換算為距離值。通過VCT可以檢測電纜狀態(tài)、故障距離是否極性交換、插入信號衰減、返回信號衰減等。用戶可以使能VCT特性對以太網(wǎng)電口連接電纜進(jìn)行檢測，開啟系統(tǒng)對以太網(wǎng)電口連接電纜

27、的檢 測功能。 檢測內(nèi)容包括電纜的接收方向和發(fā)送方向是否存在短路、開路現(xiàn)象， 同時可以檢測岀故障線纜的位置。使用VCT可以檢測到一下幾種線纜狀態(tài)故障：SHORT表示短路，即2根或更多的導(dǎo)線短接在一起。OPEN表示開路，表示網(wǎng)線中可能有線斷掉了。NORMA：L 表示網(wǎng)線連接正常。NOT USED網(wǎng)線沒有使用。IM MIS :表示阻抗不匹配，因?yàn)?5類線的阻抗為100歐，為了防止波形反射和數(shù)據(jù)錯誤，線纜兩 端的終止器阻抗也必需是 100歐。2米。如果狀態(tài)ERROR LOCATE明問題點(diǎn)距離交換機(jī)端口的大概距離，單位是米，誤差大約是是NORMAL那么該值為0。PHYTYP表明使用的是10M/100M

28、/1000M三種物理接口中的哪一種。我司應(yīng)對：VCT技術(shù)效果，我司交換機(jī)有鏈路檢測功能(lin e-detect )，等同于此效果SNMP 和 RMON大部分網(wǎng)管系統(tǒng)還只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如MRTG利用SNM協(xié)議對網(wǎng)絡(luò)的重點(diǎn)鏈路和互聯(lián)點(diǎn)進(jìn)行簡單的端口級流量監(jiān)視和統(tǒng)計(jì)；或采用在網(wǎng)絡(luò)中部分重點(diǎn)PO點(diǎn)加裝RMO探針的方式，利用RMON I/II協(xié)議對網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視 和采集。上述兩種被普遍采用的網(wǎng)絡(luò)流量分析系統(tǒng)都有其顯著的技術(shù)局限性。但采集到的流Hello 數(shù)利用SNM協(xié)議能夠?qū)Ρ槐O(jiān)視的各個網(wǎng)絡(luò)端口進(jìn)岀的數(shù)據(jù)包數(shù)和字節(jié)數(shù)進(jìn)行采集， 量信息較為粗糙

29、，不但包括網(wǎng)絡(luò)層的客戶業(yè)務(wù)流量信息，還包括鏈路層的數(shù)據(jù)幀包頭，據(jù)包，岀錯后重新傳送的數(shù)據(jù)包等流量信息。而且SNM協(xié)議還無法區(qū)分網(wǎng)絡(luò)層數(shù)據(jù)流量中各種不同類型客戶業(yè)務(wù)在總流量中的分布狀況，也無法對進(jìn)岀的流量進(jìn)行流向分析。利用RMO協(xié)議對運(yùn)營商網(wǎng)絡(luò)進(jìn)行流量和流向管理可以部分彌補(bǔ)SNM協(xié)議的技術(shù)局限性，如可以對業(yè)務(wù)流量進(jìn)行統(tǒng)計(jì)， 但同時也暴露岀新的技術(shù)局限性。首先，由于RMO協(xié)議需要對網(wǎng)絡(luò)上傳送的每個數(shù)據(jù)幀進(jìn)行采集和分析，會耗用大量的CPL資源因而不可能由網(wǎng)絡(luò)設(shè)備本身實(shí)現(xiàn)，需要額外購買和安裝內(nèi)置式或外置式的RMO探針。市場上現(xiàn)有的RMO探針處理能力也有限制，還不能支持監(jiān)控端口速率超過 1Gb ps的網(wǎng)

30、絡(luò)端口。其次，因?yàn)?RMO探針為的硬件設(shè)備，價(jià)格較貴，所以 不可能為每臺網(wǎng)絡(luò)設(shè)備都配備，且由于RMO探針，特別是內(nèi)置式 RMO探針接入網(wǎng)絡(luò)后不易變更，所以必然會造成岀現(xiàn)異常事件時無法及時對特定的網(wǎng)絡(luò)鏈路進(jìn)行監(jiān)控。最后，由于RMO探針采集到的管理數(shù)據(jù)是由分析每個數(shù)據(jù)包后得到的， 數(shù)據(jù)量非常大且分散， 協(xié)議缺乏內(nèi)建的數(shù)據(jù)匯總機(jī) 制，而且還不包括每個數(shù)據(jù)包的BGPAS號或路由Next Hop信息，所以不易對數(shù)據(jù)進(jìn)行高層次的流向分析。這些因素都會阻礙利用RMO協(xié)議對大型網(wǎng)絡(luò)進(jìn)行流量和流向分析的有效性。Netstream 和 Sflow 、IPFIXnetstream 是網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控技術(shù)的一種（ 屬于華

31、為公司的私有協(xié)議 ），提供報(bào)文統(tǒng)計(jì)功能，它 根據(jù)報(bào)文的目的 ip 地址、目的端口號、源 ip 地址、源端口號、協(xié)議號和 tos 來區(qū)分 流信息，并針 對不同的流信息進(jìn)行獨(dú)立的數(shù)據(jù)統(tǒng)計(jì)。netstream 數(shù)據(jù)采集和分析過程如下：（1）交換機(jī)把采集到的流的詳細(xì)信息定期發(fā)送給nsc（netstream collector，網(wǎng)絡(luò)流數(shù)據(jù)收集器）；（2）信息由nsc初步處理后，發(fā)送給 nda （netstream data analyzer，網(wǎng)絡(luò)流數(shù)據(jù)分析器）；（3）nda 對數(shù)據(jù)進(jìn)行分析，分析結(jié)果用于計(jì)費(fèi)和網(wǎng)絡(luò)規(guī)劃等。一個典型的NetStream系統(tǒng)由NDE NSC和NDA三部分組成：1、 NDE（N

32、etStream Data Exporter，網(wǎng)絡(luò)流量采樣）。ND殞責(zé)對網(wǎng)絡(luò)流進(jìn)行采集和發(fā)送，提取 符合條件的流進(jìn)行統(tǒng)計(jì)，并將統(tǒng)計(jì)信息輸岀給NS®備。輸岀前也可對數(shù)據(jù)進(jìn)行一些處理，比如 聚合。配置了 NetStream 功能的設(shè)備在 NetStream 系統(tǒng)中擔(dān)當(dāng) NDE 角色。2、 NSC（NetStream Collector ，網(wǎng)絡(luò)流量采集）。NSC1常為運(yùn)行于 Unix 或者Windows上的一 個應(yīng)用程序，負(fù)責(zé)手機(jī)和存儲來自 NDE勺報(bào)文，把統(tǒng)計(jì)數(shù)據(jù)收集到數(shù)據(jù)庫中，可供NDA進(jìn)行解析。 NS（可以采集多個NDE設(shè)備輸岀的數(shù)據(jù)，對數(shù)據(jù)進(jìn)行進(jìn)一步的過濾和聚合。（3）NDA（Ne

33、tStream Data Analyzer，網(wǎng)絡(luò)流量分析）。NDA!個網(wǎng)絡(luò)流量分析工具，它從數(shù)據(jù) 庫中提取統(tǒng)計(jì)數(shù)據(jù)，進(jìn)行進(jìn)一步的加工處理，生成報(bào)表，為各種業(yè)務(wù)提供依據(jù)（ 比如流量計(jì)費(fèi)、網(wǎng)絡(luò)規(guī)劃，攻擊監(jiān)測）。通常，NDAI有圖形化用戶界面，使用戶可以方便地獲取、顯示和分析收 集到的數(shù)據(jù)。Netflow 網(wǎng)絡(luò)流量分析協(xié)議NetFlow為Cisco之專屬協(xié)議（Netflow 技術(shù)最早是于1996年由思科公司的 Darren Kerr 和Barry Bruins發(fā)明的，并于同年5月注冊為美國專利，專利號為6,243,667 ），提供IP中第三層之信息，可用來了解網(wǎng)絡(luò)設(shè)備所傳輸之封包表頭內(nèi)容， 依據(jù)此內(nèi)

34、容將所獲得之資料加以統(tǒng)計(jì)， 便可為網(wǎng)絡(luò) 流量統(tǒng)計(jì)、網(wǎng)絡(luò)使用量計(jì)價(jià)、網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)監(jiān)測等應(yīng)用提供計(jì)數(shù)根據(jù)。同時，NetFlow 也提供針對QoS（Quality of Service）的測量基準(zhǔn)，能夠捕捉到每筆數(shù)據(jù)流的流量分類或優(yōu)先性特性，而能夠進(jìn)一步根據(jù)QoS進(jìn)行分級收費(fèi)。Netflow 支持同時向兩個管理服務(wù)器地址輸岀采集到的網(wǎng)絡(luò)流量和流向統(tǒng)計(jì)信息，輸岀數(shù)據(jù)的 方式有三種：簡單高效UD傳輸協(xié)議方式（傳統(tǒng)方式）。但由于采用了UD協(xié)、議，數(shù)據(jù)傳輸?shù)目煽啃允遣槐ＷC的。SNMPMIB方式。管理服務(wù)器可以通過SNM協(xié)議訪問網(wǎng)絡(luò)設(shè)備 Netflow MIB庫中存儲的數(shù)據(jù)流 TopN統(tǒng)計(jì)結(jié)果?？煽康腟CT

35、F傳輸協(xié)議方式。禾U用SCTF傳輸協(xié)議，支持擁塞識別，重傳和排隊(duì)機(jī)制， 確保Netflow 統(tǒng)計(jì)結(jié)果數(shù)據(jù)正確發(fā)送給上層管理服務(wù)器。Netflow V9 的優(yōu)勢：1 ）rfc3954 總共定義了 65個數(shù)據(jù)流信息的屬性類型，而Cisco 在此之上將屬性類型擴(kuò)展到82個，后續(xù)還能進(jìn)行擴(kuò)展。這表明Netflow V9能夠根據(jù)技術(shù)的發(fā)展對未來數(shù)據(jù)局流實(shí)現(xiàn)更加細(xì)致的統(tǒng)計(jì)和分析。2）無論是針對 Netflow 本身的配置還是針對流量統(tǒng)計(jì)的配置，均以模板的方式實(shí)現(xiàn)，可以 通過對模板的各個 records 進(jìn)行調(diào)整來適應(yīng)具體的網(wǎng)絡(luò)環(huán)境和監(jiān)控需求，具有高度的靈活性。3）數(shù)據(jù)流的統(tǒng)計(jì)通過模板和 data 記錄來實(shí)

36、現(xiàn)，這使得每一次擴(kuò)展升級對 exporter 和 collector 的影響非常小， 只需要更新相應(yīng)的模板就可以了， 不需要每次都對設(shè)備硬件進(jìn)行升級。Netflow V9 的不足：開放性不夠：Cisco的Netflow v9雖然提交了相關(guān) RFC,但是在RFC主要介紹了 v9的數(shù)據(jù)包格式 和一些關(guān)鍵概念的定義說明。對數(shù)據(jù)流的檢測、輸出、分類等并未進(jìn)行較細(xì)致的規(guī)定（根本未提及），這些內(nèi)容 Cisco 內(nèi)部有機(jī)制，但是未公開安全性不夠：Netflow v9的設(shè)計(jì)初衷是將輸岀器和收集器定義在一個獨(dú)立的私有的網(wǎng)絡(luò)中，但 現(xiàn)在很多時候Netflow v9被用來在公共網(wǎng)絡(luò)中傳輸數(shù)據(jù)流記錄，這導(dǎo)致一定程度的

37、安全風(fēng)險(xiǎn)。在 RFC和Cisco提供的白皮書中未找到其他任何相關(guān)的機(jī)制和說明。Cisco可能通過其他獨(dú)有的上層手段來保障安全性，但是 Netflow v9 本身的安全完整性還是有所不足。sFlow 網(wǎng)絡(luò)流量分析協(xié)議sFlow是一種基于標(biāo)準(zhǔn)的最新網(wǎng)絡(luò)導(dǎo)岀協(xié)議（RFC 3176），能夠解決當(dāng)前網(wǎng)絡(luò)管理人員面臨的很多問題。通過將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī)的ASIC芯片中，sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)。與使用鏡像端口、探針和旁路監(jiān)測技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比， sFlow能夠大大降低實(shí)施費(fèi)用，采用它可實(shí)現(xiàn)面向每一個端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案。IPFIX 網(wǎng)絡(luò)流量分

38、析協(xié)議IP FIX是ietf基于Netflow v9而開發(fā)的最新的數(shù)據(jù)流輸岀標(biāo)準(zhǔn)。IP FIX不但繼承了 Netflow v9基于模板的流信息輸岀格式，而且在此基礎(chǔ)上對數(shù)據(jù)流輸岀的典型應(yīng)用進(jìn)行了輸岀規(guī)范的建議， 另外Netflow中未涉及到的安全性問題在IP FIX中也進(jìn)行了說明。IP FIX的優(yōu)勢：1) 繼承了 Netflow v9 的靈活性和擴(kuò)展性；2) 定義了 4個組件，增加了監(jiān)測進(jìn)程(Netflow只有3個組件)，將組件的功能劃分得更加細(xì)致;3) 就流量監(jiān)控的功能引入了應(yīng)用相關(guān)，針對不同的應(yīng)用在監(jiān)控內(nèi)容上進(jìn)行了明確的區(qū)分；4) 在RFC中對安全性和可靠性作岀了明確的要求，對可能岀現(xiàn)的隱

39、患進(jìn)行了說明；的不足：在對flow的描述上僅提供了 30多個屬性，遠(yuǎn)低于 netflow v9 的85個屬性; 對安全性方面的保障機(jī)制僅提岀要求，需要依賴于第三方技術(shù)和協(xié)議來實(shí)現(xiàn)； 對flow信息的加密技術(shù)和機(jī)制沒有任何說明，缺乏標(biāo)準(zhǔn)本身的整體完整性；5 )詳細(xì)規(guī)范了輸岀和監(jiān)測進(jìn)程的細(xì)節(jié)；IP FIX1)2)3)常見的網(wǎng)絡(luò)流量協(xié)議包括:Flow名稱代表廠商主要版本備注NetFlowCiscoV1、V5、V7、V8、V9應(yīng)用最廣CFlowdJu niperV5、V8廠商跟進(jìn)力度不高sFlowFoundry、HP Alcatel 、NECExtreme 等V4、V5實(shí)時性較強(qiáng)，具備突岀 的第二七層

40、信息描述能 力NetStream華為、H3CV5、V8、V9與NetFlow較為類似IP FIXIETF標(biāo)準(zhǔn)規(guī)范RFC 3917以NetFlow V9為藍(lán)本IEEE802.3az 的概念-EEEIEEE802.3az是經(jīng)過電子電氣工程師協(xié)會(IEEE)正式批準(zhǔn)的標(biāo)準(zhǔn)節(jié)能規(guī)范，其中EEEE個字母是Energy Efficie nt Ethernet的縮寫，意思是高效節(jié)能以太網(wǎng)。如果硬件設(shè)備支持該標(biāo)準(zhǔn)，就可以在互聯(lián)網(wǎng)使用或者以太網(wǎng)活動處于空閑狀態(tài)的時候降低網(wǎng)絡(luò)連接兩端的能耗，開始正常傳輸數(shù)據(jù)的時候則恢復(fù)正常供電。EEE標(biāo)準(zhǔn)為以太網(wǎng)設(shè)備規(guī)定的降低能耗方式是定義低功耗模式。一個沒有可發(fā)送幀的收發(fā)器就可

41、以進(jìn)入低功耗模式，當(dāng)有新幀到達(dá)時，收發(fā)器會在數(shù)微秒內(nèi)返回活動模式，從而實(shí)現(xiàn)了對協(xié)議上層幾乎透明的節(jié)能。黑洞MAC黑洞MAC地址表項(xiàng)：由用戶手工配置的一類特殊的MAC地址，當(dāng)交換機(jī)接收到源地址或目的地址為黑洞MAC地址的報(bào)文時，會將該報(bào)文丟棄，不會被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中。一般在檢測到某個病毒源之后，把該P(yáng)C的mac地址配置為黑洞 mac(black-mac),就可以保證網(wǎng)絡(luò)的安全了。該 pc就被孤立了。意思就是你給他發(fā)的信息他收到了，但是不會轉(zhuǎn)發(fā)，也不會告訴你.靠這個原理來解決環(huán)路的華3的，思科的設(shè)備都支持這個無需手動配置，用命令配置好，自動檢測策略vlan當(dāng)前VLAN劃分的的主要策略1. 基于端口的

42、VLAN基于端口的VLAN的劃分是最簡單、最有效的VLAN劃分方法。該方法只需網(wǎng)絡(luò)管理員針對于網(wǎng)絡(luò) 設(shè)備的交換端口進(jìn)行重新分配組合在不同的邏輯網(wǎng)段中即可。而不用考慮該端口所連接的設(shè)備是什么。2. 基于MACfe址的VLANMAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MA地址都是唯一的?；?MAC地址的VLAN劃分其實(shí)就是基于工作站、服務(wù)器的VLAN的組合。在網(wǎng)絡(luò)規(guī)模較小時，該方案亦不失為一個好的方 法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備、用戶的增加，則會在很大程度上加大管理的難度。IP和IPX協(xié)議的轉(zhuǎn)發(fā)。這類設(shè)備包括路由 或一個端口位于多個3. 基于路由的 VLAN 路由協(xié)議工作在七層協(xié)議的第

43、三層：網(wǎng)絡(luò)層，即基于VLAN 中。器和路由交換機(jī)。該方式允許一個VLAN跨越多個交換機(jī)，4. 基于策略的 VLAN這主要取決于在VLAN的劃分中所采用的基于策略的VLAN的劃分是一種比較有效而直接的方式。策略。就目前來說，對于 VLAN的劃分主要采用1、3兩種模式，對于方案 2則為輔助性的方案。VLAN進(jìn)入方式90%以上的網(wǎng)絡(luò)設(shè)計(jì)，其 VLAN的劃分依然基于交換機(jī)端口來完成，這種傳統(tǒng)的 其局限性和安全隱患是顯而易見：1）用戶終端位置的變更需要網(wǎng)絡(luò)管理人員對交換機(jī)端口進(jìn)行重新配置。VLAN的所有信息，包括IP2）入侵者接入任何一個端口，通過簡單的掃描軟件將可以獲得相應(yīng)子網(wǎng)信息，網(wǎng)關(guān)地址，用戶IP

44、/MAC信息，甚至用戶安全認(rèn)證信息。3）對于訪客，如果我們沒有專門為其預(yù)留端口，其接入將會給我們網(wǎng)絡(luò)帶來安全隱患；如果 專門為其預(yù)留網(wǎng)絡(luò)端口， 在網(wǎng)絡(luò)的什么位置預(yù)留， 預(yù)留端口數(shù)量也將是困擾網(wǎng)絡(luò)管理員的重要問 題；同時，端口的預(yù)留也是對網(wǎng)絡(luò)資源的一種浪費(fèi)。以Alcatel OmniSwitch為例，以其策略 VLAN為基礎(chǔ)來進(jìn)一步分析網(wǎng)絡(luò)的接入安全控制。Alcatel 的策略 VLAN:Alcatel策略VLAN打破了這種以固定端口劃分VLAN的傳統(tǒng)模式，將每一個VLAN賦予一定的策略，用戶終端最終進(jìn)入哪一個 VLAN與其接入的交換機(jī)端口無直接聯(lián)系，而與終端的特性是否與VLAN策略的匹配相關(guān)；

45、Alcatel策略VLAN實(shí)現(xiàn)了用戶終端真正的即插即用，同時 為用戶、終端提供安全的數(shù)據(jù)隔離。Alcatel的VLAN策略包括：IP 子網(wǎng)策略MAC地址策略IP/IPX 協(xié)議策略IP/MAC綁定策略IP/MAC/PORTfb 定策略用戶認(rèn)證策略802.1X 認(rèn)證MA（認(rèn)證WE認(rèn)證DHCP策略舉例所示： 交換機(jī)中 VLAN10,11,13 分別通過不同的策略進(jìn)行定義當(dāng)PC A接入交換機(jī)時，交換機(jī)將對PCA的MAC, IP,等特性進(jìn)行自動檢測，根據(jù)檢測的結(jié)果將PCA的 MAC放入匹配策略的VLAN, VLAN的定義與交換機(jī)的端口無關(guān)，當(dāng)PCA移動到另一個端口時，由于PC A本身的 屬性并為發(fā)生改變

46、，PC A依然自動進(jìn)入相同的 VLAN當(dāng)外來PC接入網(wǎng)絡(luò)時，由于無法匹配任何 VLAN策略，入侵者將無法進(jìn)入工作（有效）VLAN,被交換機(jī)有效地隔離。我們稱入侵者目前所在的 VLAN為隔離VLAN,重要的是，由于隔離VLAN是一個 單獨(dú)封閉的區(qū)域， 使得入侵者即使使用網(wǎng)絡(luò)掃描軟件也無法得到位于工作（有效）VLAN用戶的任何信息。總結(jié)：Alcatel 策略VLAN解決了以下兩個問題：用戶移動性：用戶進(jìn)入相應(yīng)VLAh與接入端口無關(guān)，真正實(shí)現(xiàn)移動接入；VLAN安全接入：對于非法用戶，無論從交換機(jī)的哪一個端口接入都將被屏蔽在工作（有效） 之外。下面我們從接入安全的角度來介紹一下常用的各種策略VLAN勺

47、適用場合：IP子網(wǎng)策略：由于我們在網(wǎng)絡(luò)設(shè)計(jì)時通常將不同的業(yè)務(wù)部門劃分到不同的VLAN,同時將VLAN對應(yīng)不同的IP子網(wǎng)；因此，IP子網(wǎng)策略適用于對安全需求不高，對移動性和簡易管理需求較高的的網(wǎng)絡(luò)設(shè)計(jì)中。通常采用以下一條命令就完成了一個IP子網(wǎng)策略VLAN的設(shè)定：vlan 10 ip192.168.10.0 255.255.255.0;當(dāng)用戶終端的IP地址設(shè)為192.168.10.X 時，該終端將自動進(jìn)入VLAN 10.IP 子網(wǎng)（通過網(wǎng)絡(luò)掃描是安全性：進(jìn)入IP子網(wǎng)VLAN勺先決條件是必須知道交換機(jī)中定義了哪些 無法得到的，參看上面對隔離VLAN勺介紹）VLAN的終端MAC地址配置到交換機(jī)上（M

48、ACMA地址的終端才可以進(jìn)入該 VLAN MACMAC地址策略：MAC地址策略需要我們事先將歸屬該 地址可以通過交換機(jī)自動學(xué)到），只有符合我們預(yù)設(shè)的 地址VLAN相比IP子網(wǎng)VLAN安全性要高，但配置工作量相對較大；策略適用于對安全和移動性需求較高的網(wǎng)絡(luò)設(shè)計(jì)中。MACfe址VLAN!常采用以下命令就完成設(shè)定：vlan 11 mac 01:01:01:02:02:02當(dāng)用戶終端的 MACfe址設(shè)為01:01:01:02:02:02時，該終端將自動進(jìn)入 VLAN 11.安全性：進(jìn)入 MAC子網(wǎng)VLAN勺先決條件是必須知道交換機(jī)中是否定義的MAC VLAN策略，同時需知道至少一個已定義的 MAC地址

49、。（通過網(wǎng)絡(luò)掃描是無法得到的，參看上面對隔離VLAN勺介紹）IP/MAC綁定策略：IP/MAC綁定策略需要我們事先將歸屬該VLAN的終端IP/MAC配置到交換機(jī)上（IP/MAC可以通過交換機(jī)自動學(xué)到），只有符合我們預(yù)設(shè)的IP/MAC地址的終端才可以進(jìn)入該VLAN,IP/MAC綁定地址VLAN相比MAC/LAN安全性更高，適用于對安全和移動性需求非常高且VLAN用戶較少的網(wǎng)絡(luò)設(shè)計(jì)中。IP/MAC綁定VLAN勺另一個作用是禁止符合策略的用戶對IP或MA（進(jìn)行改動，；當(dāng)用戶終端的 IPVLAN 11.IP/MAC的改動將失去VLAN策略的匹配，該終端從而被放入隔離 VLAN IP/MAC綁定VLAN

50、®常采用以 下命令完成設(shè)定： vlan 11 binding mac-ip 00:00:39:59:0a:0c 21.0.0.10 地址設(shè)為21.0.0.10 ，MA旳00:00:39:59:0a:0c時，該終端將自動進(jìn)入IP/MAC VLAN 策略，參看上面對隔離 VLAN安全性：進(jìn)入IP/MAC子網(wǎng)VLAN的先決條件是必須知道交換機(jī)中是否定義了 同時需知道至少一個已定義的 IP/MAC地址。（通過網(wǎng)絡(luò)掃描是無法得到的， 的介紹）用戶認(rèn)證策略：用戶認(rèn)證VLAN與上述策略VLAN的最大不同是檢測終端使用者的合法性而非終端 本身的合法性， 更適用于多人共用終端的場合。 我們?yōu)榻K端用戶提

51、供合法賬號，不同的賬號對應(yīng)不同的VLAN或決定交換機(jī)端口的開、閉（802.1X ），終端進(jìn)入哪一個 VLAh由用戶賬號決定。由于 是對用戶的認(rèn)證， 所以該策略的實(shí)施必須引入用戶認(rèn)證服務(wù)器來完成相應(yīng)的認(rèn)證、授權(quán)工作， 相對增加了網(wǎng)絡(luò)管理的復(fù)雜度。安全性：進(jìn)入用戶認(rèn)證 VLAN的先決條件是必須獲得合法的用戶賬號（當(dāng)采用認(rèn)證服務(wù)器回指VLAN屬性的方式時，由于用戶在認(rèn)證過程中的通信是在隔離VLAN中完成的，只有認(rèn)證通過后才會進(jìn)入工作VLAN;因此，認(rèn)證的加密就非常有必要）DHC陳略：DHC是終端自動獲得IP地址的協(xié)議，對于訪客非常方便。通過對 VLANt義DHCP使 得訪客自動獲得IP地址并進(jìn)入相應(yīng)

52、的訪客 VLAN,通常采用以下命令完成一個 DHC策略VLAN勺設(shè)定: vian 10 dhcp port 3/1-24 ;當(dāng)用戶終端的IP地址設(shè)為自動獲得時時，該終端將自動進(jìn)入VLAN 10并獲得相應(yīng)的IP地址。安全性：無特殊安全性，便于訪客的靈活接入同時與保障企業(yè)內(nèi)網(wǎng)的安全隔離。Alcatel基于策略VLAN勺安全接入解決方案：對于一個企業(yè)，擁有眾多的部門，包括工程、銷售、財(cái)務(wù)、領(lǐng)導(dǎo)以及訪客等，我們在作網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)時根據(jù)不同部門對網(wǎng)絡(luò)安全的要求不同，予以不同的VLAN策略，使整個網(wǎng)絡(luò)在安全、靈活、易用和易管理幾個方面達(dá)到最大的統(tǒng)一。下面就一個典型案例進(jìn)行具體分析、設(shè)計(jì)。在這個案例中我們將用

53、戶按安全級別分為4類：安全級別高、且端口固定：如財(cái)務(wù)部 安全級別高、且有移動要求：如領(lǐng)導(dǎo) 安全級別一般、且有移動要求：業(yè)務(wù)部門，如工程、銷售 安全級別低、訪問受限制：如訪客和臨時部門MUX VLAN定義：MUXVLAN是一種包含上行端口和業(yè)務(wù)虛端口的VLAN, 一個MUXVLAt可包含多個上行端口，但只包含一個業(yè)務(wù)虛端口。不同MUX VLA間的業(yè)務(wù)流相互隔離。原理：MUX VLA分為 Principal VLAN 和 Subordinate VLAN ， Subordinate VLAN 又分為 Separate VLAN和Group VLAN MUXVLAh與接入用戶存在一對一的映射關(guān)系，因

54、此可根據(jù)VLAN區(qū)分不同的接入用戶。例如，當(dāng)需要用 VLAN區(qū)分用戶時，可以使用 MUX VLAN作用：MUX/LAN( Multiplex vlan )提供了一種在VLAN內(nèi)的端口間進(jìn)行二層流量隔離的機(jī)制。 需求：在企業(yè)網(wǎng)絡(luò)中，企業(yè)員工和企業(yè)客戶可以訪問企業(yè)的服務(wù)器,對于企業(yè)來說，希望企業(yè)內(nèi)部員工之間可以互相交流，而企業(yè)客戶之間是隔離的，不能夠互相訪問。通過MUXVLAN提供的二層流量隔離的機(jī)制可以實(shí)現(xiàn)企業(yè)內(nèi)部員工之間可以互相交流，而企業(yè)客戶之間是隔離的,應(yīng)用場景：如圖所示，根據(jù) MUX VLA特性，企業(yè)可以用 Pri ncipal P ORT 連接企業(yè)服務(wù)器，Sep arate P ORT

55、 連接企業(yè)客戶，Group P OR連接企業(yè)員工。這樣就能夠?qū)崿F(xiàn)企業(yè)客戶、企業(yè)員工都能夠訪問企業(yè) 服務(wù)器， 而企業(yè)員工內(nèi)部可以通信、 企業(yè)客戶間不能通信、 企業(yè)客戶和企業(yè)員工之間不能互訪的 目的,我司應(yīng)對：這是華為和H3C的私有協(xié)議，可以通過acl或保護(hù)口來替代uRPFuRPF是一種單播逆向路由查找技術(shù)，用來預(yù)防偽造源地址攻擊的手段。之所以稱為逆向，是 針對正常的路由查找而言的。一般情況下路由器接收到報(bào)文，獲取報(bào)文的目的地址，針對目的 地址查找路由。如果找到了進(jìn)行正常的轉(zhuǎn)發(fā)，否則丟棄該報(bào)文。通過這種方式 urpf 就能有 上偽造源地址為 2.2.2.1s3 發(fā)送報(bào)文。 這種非法urpf 通過獲

56、取報(bào)文的源地址和入接口， 以源地址為目的地址， 在轉(zhuǎn)發(fā)表中查找源地址對應(yīng)的接 口是否與入接口匹配。 如果不匹配認(rèn)為源地址是偽裝的， 丟棄該報(bào)文。 效地防范網(wǎng)絡(luò)中通過修改源地址而進(jìn)行的惡意攻擊行為的發(fā)生。在s1的報(bào)文向服務(wù)器 s2 發(fā)起請求， s2 響應(yīng)請求時將向真正的“ 2.2.2.1 ”即 報(bào)文對 s2 和 s3 都造成了攻擊。攻擊者使用隨機(jī)改變源地址勺方法發(fā)起攻擊。 在本例子中， 源地址使用一些保留勺非全局勺 ip 地址，因此不可達(dá)。其實(shí)即使是一個合法勺 ip 地址，只要是不可達(dá)勺也可以用來發(fā)起攻擊。另一種情況： 攻擊者可以偽造一個源地址， 該地址是另一個合法網(wǎng)絡(luò)勺地址并且在全局路由表 中存在。 例如， 攻擊者偽造一