1、交換路由競爭，常用技術目錄背板帶寬和包轉發率2OAM 的定義2SFP+和XFP接口區別6MFF6Smart Link6RRPP8G.8032 ERPS和SEP等環網技術8VCT(Virtual Cable Test)9Netstream和Sflow、IPFIX10IEEE802.3az的概念-EEE12黑洞MAC12策略vlan12uRPF15可控組播IPTV CAC15DLDP16NQA17APSD17Jumbo巨型幀作用18背板帶寬和包轉發率完全無阻塞交換條件：所有端口容量X端口數量之和的2倍應該小于背板帶寬可實現全雙工無阻塞交換證明交換機具有發揮最大數據交換性能的條件。 滿配置吞吐量(M

2、pps)=滿配置GE端口數×1.488Mpps(其中1個千兆端口在包長為64字節時的理論吞吐量為1.488Mpps,pps 是每秒64字節包的個數，如果包長更長，同樣1個千兆口，那么PPS還不到1.488Mpps)。例如一臺最多可以提供64個千兆端口的交換機，其滿配置吞吐量應達到 64×1.488Mpps = 95.2Mpps，才能夠確保在所有端口均線速工作時，提供無阻塞的包交換。如果一臺交換機最多能夠提供176個千兆端口而宣稱的吞吐量為不到261.8Mpps(176 x 1.488Mpps = 261.8)，那么用戶有理由認為該交換機采用的是有阻塞的結構設計。一般是兩者都

3、滿足的交換機才是合格的交換機。 比如Cisco 2950G-48 背板2×1000×2+48×100×2(Mbps)13.6(Gbps) 相當于13.6/2=6.8個千兆口 包轉發率/吞吐量=6.8×1.488=10.1184Mpps Cisco4506 背板64G 滿配置千兆口 4306×5+2（引擎）32 包轉發率/吞吐量32×1.488=47.616 Mpps 一般是兩者都滿足的交換機才是合格的交換機。我司應對：對虛高不合理的參數，可以提出質疑。對于交換機包轉發率，24口千兆交換機，華為目前算法，1.5M PPS*24

4、*1.5(冗余)=54 MPPSOAM 的定義 OAM(Operations, Administration, and Maintenance) 即操作、管理和維護。該機制在傳統電信網中已應用很久了，主要是通過故障檢測、告警、定位和隔離等手段提高網絡的運維水平。目前，各標準化組織正在完成和已經完成的以太網OAM相關標準有：IEEE 802.3-2005 第57章（原IEEE 802.3ah 第57章）城域以太網論壇制定的E-LMI（Ethernet Local Management Interface）Connectivity Fault Management (CFM)即IEEE

5、802.1agITU-T和城域以太網論壇制定的Y.1731，可兼容802.1ag一， OAM的用途連通檢測：即檢測鏈路是否能正常傳輸報文，一般各種OAM協議都采用周期性發送特定報文的方式完成，當一定數量的報文丟失，便判斷為鏈路不可用。例如：在802.3 OAM中，每秒發送一個Information報文，當連續5個報文丟失時，認為鏈路斷開；在802.1ag中，周期性地（周期可配置）發送CCM報文，連續3個報文丟失則認為對方已不可達；在MPLS OAM中，則周期性地發送CV報文和FFD報文。環回：主要目的是檢測鏈路的雙向連通性。方法是將報文發送到目標實體，并由目標實體應答報文，發送者根據返回報文的

6、情況判斷連通性。在發送和返回的報文中可以攜帶各種信息。例如：IP協議中的ping；802.3 OAM中的遠端環回；802.1ag中的loopback；MPLS OAM中的LSP Ping。鏈路跟蹤 ：方法是將報文發送到目標實體，處于發送路徑上、能識別該報文的設備向源實體回應報文。源實體通過收到的回應報文確定到達目標實體所經過的路徑。例如：IP協議中的traceroute ；在802.1ag協議中使用的linktrace。錯誤指示：可分為前向錯誤指示和反向錯誤指示。在一個路徑上，當某個節點發現源節點發送的報文有錯誤時，它可以通知其他節點，它可以沿著這個路徑向下游發送通知，起到預防的作用，這就是前

7、向錯誤指示；它也可以沿著路徑逆向傳遞，告訴發送者，它發出的報文有錯誤。二、協議說明2.1 802.3ah802.3 OAM協議屬于慢速協議（slow protocol），另一個著名的慢速協議是鏈路聚合控制協議（LACP）。慢速協議具有如下共同特點：ü 每秒鐘傳輸的報文不超過10幀。ü 協議報文（PDU）不帶VLAN Tag。ü 協議報文目的地址為01-80-C2-00-00-02。ü 協議報文的Type域為88-09。ü 協議報文不能被轉發。（802.3 OAM監控一段鏈路，從一個以太網口到另外一個以太網口，中間不能經過其他設備。）2.2 80

8、2.1ag 802.1ag針對MAC地址，它判斷相應的MAC地址是否可達，從而獲得二層網絡的相應工作狀態和路徑。2.3 重要概念：域：在邏輯上將網絡從內到外劃分為不同的層次，稱作維護域（Maintenance Domain），維護域可以嵌套，不能交叉，這樣，在出現問題時，可以通過問題所在的域的范圍判斷問題的歸屬。這個想法的目的是將運營商網絡同用戶網絡隔離開，或者說將網絡在邏輯上同實際使用者對應起來，從而產生清晰的界面。當出現問題時，通過在不同域中的判斷確定問題的具體位置。 級別：協議中區分不同層次的域的方法是為每個域定義一個級別（level），高級別的域可以嵌套低級別的域。高低級別的域之間是不

9、通信息的，它們各自通報本域內的錯誤，范圍較大的域的802.1ag報文可以穿過較小的域，范圍較小的域的報文不可以發送到域的外面。維護域（Maintenance Domain）：是進行錯誤管理的一部分網絡，維護域的邊界由維護端點（MEP）圍成。它由維護域名稱（一個字符串）唯一標識。它具有的另外一個屬性是維護域級別。維護集（Maintenance Association）：維護集屬于某個維護域，由維護域內唯一的名稱（一個字符串）標識。它具有的另外一個屬性是VLAN。維護集是指MD中的一個集合，包含一些MP。用“MD名+short MA名”來標識。MA屬于一個VLAN，MA中的MP所發送的報文在該VL

10、AN內被轉發，同時也接收MA內其它MP發送的報文，因此，MA也被稱為服務實例（Service Instance，SI）。MEP(維護端點)：維護域是有邊界的，它的邊界就是一個個的端口，因此，只要在邊界端口上配置一個實體就可以了，這個實體叫做維護端點（Maintenance association End Point或MEP）。當所有的邊界端口都配置了維護端點，域的邊界就確定了，域的范圍也確定了。MEP屬于某個維護集，從維護域和維護集中繼承了它們的屬性：級別和VLAN。維護端點用一個整數唯一標識，稱為MEPID。該整數在維護集內是唯一的。維護端點可發出802.1ag報文。MIP（維護中間點）：在

11、維護域內的端口上也可以配置實體，叫做維護中間點（Maintenance domain Intermediate Point或MIP）。MEP和MIP統稱為維護點（Maintenance Point）。維護點是本協議功能實現的主體，所有的功能均通過維護點的處理得以體現。MIP屬于某個維護集，從維護域和維護集中繼承了它們的屬性：級別和VLAN。維護中間點僅回應收到的802.1ag報文，不會自己主動發出。2.3 重要參數：級別和VLAN有兩個基本的參數貫串了802.1ag協議的處理，它們就是維護域的級別（level）和它所服務的VLAN。這兩個參數將網絡進行了劃分，它們影響到維護點的歸屬，影響到80

12、2.1ag的報文內容、MAC地址，影響到報文的處理等。維護域共分為8個級別，從07，數字越大，代表的維護域范圍越大。級別較小的域中的1ag報文不能穿過域的邊界進入到較大的域中。由于各級別的維護域是嵌套的，如果在級別較大的域中發現了較小級別的報文，就屬于一種錯誤，維護域中的維護點就會報告錯誤。錯誤的處理則是系統管理員的工作，有時候可能是網絡的錯誤，也有時候可能就是系統管理員配置錯誤。VLAN當然是很重要的，這是目前二層網絡的基礎，802.1ag協議報文是帶有VLAN Tag的，我司應對：這是運營商網絡里的特殊需求，且要實現這個功能，網絡內所有設備要同步支持，H3C也不能完全支持。SFP+和XFP

13、接口區別XFP的速率是10G，并且是串行光收發模塊的一種標準化封裝。它符合以下標準：10G光纖通道、10G以太網、SONET/OC-192和SDH/STM-64。XFP光模塊主要用于數據通訊和電信傳輸網的光纖傳輸XFP和SFP+ 的區別：兩種不同的接口定義，最明顯的是SFP+金手指有20個，XFP金手指有30個金手指，具體參數可以查看兩種模塊的MSA國際協議。SFP+、XFP用的都是LC接口的尾纖1）SFP+和XFP 都是10G 的光纖模塊，且與其它類型的10G模塊可以互通；2）SFP+比XFP 外觀尺寸更小；3）因為體積更小SFP+將信號調制功能，串行/解串器、MAC、時鐘和數據恢復(CDR

14、)，以及電子色散補償(EDC)功能從模塊移到主板卡上；4）XFP 遵從的協議：XFP MSA協議；5）SFP+遵從的協議：IEEE 802.3ae、SFF-8431、SFF-8432；總結，SFP+是更主流的設計。我司應對：一邊是SFP+的，一邊是XFP，而且參數一樣（傳輸距離相同，波長一樣，比如都是10km或是40km、80km，波長1310nm,1550nm等），可以直接連接通信，不存在兼容性問題。SFP+、XFP用的都是LC接口的尾纖MFF即Mac Force Forwarding，其核心思想：二層隔離、三層轉發、ARP代理，這個功能通常部署在二層交換機上，用于減輕網關ARP處理負擔，降

15、低網關受ARP攻擊的風險，實現用戶間的二層隔離。我司應對：可以明了，支持此功能即可，我司也支持。Smart LinkSMART-LINK針對雙上行組網，實現主備鏈路冗余備份及故障快速遷移。用于在以太網交換機上實現鏈路備份功能，通過手工配置指定鏈路間的相互備份關系，備份關系一旦指定，即刻生效。SMART-LINK技術應用的典型組網圖如下：在A設備上建立兩個互為備份的二層接口（或聚合組）A1和A2，其中一個接口進行流量轉發的同時，另一個處于阻塞狀態。如圖，A1轉發流量時，A2被阻塞。此時的流量為圖中的紅色箭頭表示。如果A1鏈接的Link1鏈路故障，那么A2立刻切換為非阻塞狀態，開始轉發流量。此時的

16、流量為圖中的藍色箭頭表示。A2在從阻塞狀態切換為非阻塞狀態時，在VLAN內組播發送FLUSH報文，網絡中各臺設備收到該報文后，根據端口的設置確定是否更新指定VLAN列表的地址轉發表。VLAN列表將會在FLUSH報文中攜帶，地址轉發表包括MAC表、ARP（ND）表等。Smart-link作為輕量級的保護技術，Smart-link的技術特色： 1）相比STP，可以提供最快可達50毫秒的收斂性能2）相比RRRP，提供了更簡捷的配置方式；3）支持基于VLAN的負載分擔，充分利用上行帶寬。Smart-link的局限性和應用限制1)缺少自己的心跳報文檢測機制，無法保護跨傳輸的鏈路；2)輕量級協議，只對上行

17、鏈路做相互的保護，上面網絡的冗余保護需要上面網絡自己解決。術語3）SMART-LINK技術為雙上行組網量身定制，組網比較固定，有一定的局限性術語1） SMART-LINK組譯為靈活鏈路組，包括兩條鏈路，其中一條進行轉發，另一條鏈路阻塞，作冗余備份。2） 主用鏈路和備用鏈路SMART-LINK組中處于轉發狀態的鏈路稱為主用鏈路，處于阻塞狀態的鏈路稱為備用鏈路。3） 主端口和從端口SMART-LINK組的主用和備用鏈路在特定的設備上體現為端口或者聚合組端口，此處統稱為端口。為了區分SMART-LINK組中的兩個端口，將兩個端口分別命名為主端口和從端口，也叫MASTER端口和SLAVE端口。目前SM

18、ART-LINK不支持按角色搶占的方式，因而兩個端口對應的鏈路哪個處于轉發狀態并不固定，即主從端口和主用備用鏈路并無固定的對應關系。4） FLUSH報文類似于STP協議中的TC報文，為了能夠使網絡中的設備及時感知網絡拓撲變化，SMART-LINK發送一個FLUSH報文通知其他設備進行地址刷新。但是，由于該技術為私有技術，目前只限于華為和H3C等少部分廠商的一些設備能夠識別該報文。對于不識別FLUSH報文的設備，只能通過流量觸發MAC地址的更新。我司應對：SMART LINK為私有協議，此技術效果，我司有相應業內標準對應支持，例如LACP/RRPPRRPP(Rapid Ring Protecti

19、on Protocol)是一個專門應用于以太網環的二層協議，由EAPS協議（Ethernet Automati Protect Switching，rfc3619）發展而來，由華為3Com開發的私有協議（是針對STP的缺陷推出的技術）。RSTP/MSTP應用比較成熟，但收斂時間在秒級。RRPP是一個專門應用于以太網環的鏈路層協議。它在以太網環完整時能夠防止數據環路引起的廣播風暴，而當以太網環上一條鏈路斷開時能迅速啟用備份鏈路以保證環網的最大連通性。與STP協議相比，RRPP協議有如下優點：拓撲收斂速度快（低于50ms）收斂時間與環網上節點數無關（不受網絡規模影響）RRPP技術不足點是：不能和x

20、STP網絡兼容組網。  RRPP多實例在RRPP組網中，一個環上只能有一個主節點。當主節點處于Complete狀態時，被阻塞的副端口會阻止所有用戶報文通過。這樣，所有用戶報文在RRPP環上通過一條路徑傳輸。主節點副端口側的鏈路空閑，造成帶寬浪費。 RRPP多實例基于域實現。在一個域中，所有端口、節點角色、拓撲都遵循基本的RRPP原則。與RRPP不同的是，RRPP多實例在一個RRPP環上可以存在多個域。一個域內可以包含一個或多個實例，每個實例代表一個VLAN范圍。這些包含在域中的VLAN，稱為RRPP域的保護VLAN。保護VLAN包括屬于該域的數據VLAN、主環控制VLAN和

21、子環控制VLAN。 在RRPP多實例組網中，在同一個環路上存在多個主節點。根據主節點的Secondary Port阻塞屬性即可實現業務流量的負載分擔和鏈路備份。我司應對：目前，解決二層網絡環路問題的技術有RSTP/MSTP和ERPS等多種標準協議，我司都支持G.8032 ERPS和SEP等環網技術ERPS（Ethernet Ring Protection Switching）：以太網多環保護技術，是業內標準。在2008年12月舉行的ITU-TSG15的全會上，要對以太網環網保護標準G.8032的V1版本的修訂版（Amendment1)進行討論和表決，這個修訂版主要增加以太網多環的保護方案。多環

22、保護模型是G.8032標準中多環保護的技術核心，在實際網絡中有較大的應用價值，技術實現難度大，也是各個廠商技術競爭的熱點。會上，中興通訊、諾基亞西門子、阿爾卡特朗訊、華為等主流設備廠商針對多環保護模型展開了激烈的技術辯論，最終中興通訊提出的“Sub-ring子環劃分模型”脫穎而出，被大會采納。ITU-TG.8032多環標準的發布，標志著以太環網保護技術ERPS真正具備了成熟商用的條件，各廠家基于標準的互通也成為可能。已經成為ITU-TG.8032 國際標準，與2008年12月修訂完成并表決通過。ITU-TG.8032ERPS以太環網標準吸取了EAPS、RPR、SDH、STP等眾多環網保護技術的

23、優點，優化了檢測機制，可以檢測雙向故障，支持多環、多域的結構，在實現50ms倒換的同時，支持主備、負荷分擔多種工作方式，成為了以太環網技術最新的成熟標準。智能以太保護SEP(Smart Ethernet Protection)技術華為公司于2010年推出了SEP協議，華為以太環網技術SEP技術，比RRPP RPR適應性更強，支持拓撲更廣泛，可和STP融合使用的以太網環網技術。SEP是一種專用于以太網鏈路層的環路保護機制，它通過有選擇性地阻塞網絡環路冗余鏈路，來達到消除網絡二層環路的目的，有效防止形成網絡風暴。SEP協議的收斂性能和RRPP協議相當，在IEEE802.1中的位置和STP相同。 S

24、EP協議支持半環和全環兩種基本拓撲，保證其基本拓撲在任何時刻都有一個斷點。SEP是華為的私有協議，不能和其他公司設備直接對接SEP技術優勢SEP以網絡段為單位。在SEP段完好的情況下，一個SEP段阻塞一個端口，從而避免了環路產生。當環網發生鏈路故障時，可以迅速地放開阻塞端口，進行鏈路倒換，恢復環網上各節點通信通路。SEP組網協議簡單，是通過軟件來實現的，無需專門的硬件即可支持SEP，不會額外增加客戶投資。SEP能和現網xSTP兼容組網，很好保護現網投資。SEP技術能給客戶帶來其他更多應用價值：SEP收斂時間遠小于xSTP，并且和網絡規模無關，最快達到50ms，很好支撐語音和視頻業務保護倒換。S

25、EP組網靈活，既支持封閉環，也支持開放環。SEP可以支持更復雜的多環組網拓撲，環換任意相連，各環獨立存在，增加子環非常方便。在SEP網段上，在任意節點都可以查看該網段拓撲信息，方便狀態查看和維護。根據流量狀態，靈活修改指定斷點來優化網絡流量，達到網段兩邊的流量均衡;其他環網技術不能做到靈活指定斷點，很難做到斷點兩邊流量均衡。VCT(Virtual Cable Test)虛擬電纜檢測功能VCT,是利用TDR(Time Domain Reflectometry-時域反射測試)來檢測網絡線纜的物理狀態。TDR檢測原理類似于雷達，它工作方式是通過主動向導線發射一個脈沖信號并檢測所發送的脈沖信號的反射結

26、果來檢測電纜故障。當發送的脈沖信號通過電纜的末端或電纜的故障點時，就會引起部分或全部的脈沖能量被反射回來到達原來的發送源，VCT技術根據測量脈沖信號在導線中的傳輸獲得信號到達故障點或返回的時間，然后根據公式將相應時間換算為距離值。通過VCT可以檢測電纜狀態、故障距離是否極性交換、插入信號衰減、返回信號衰減等。用戶可以使能VCT特性對以太網電口連接電纜進行檢測，開啟系統對以太網電口連接電纜的檢測功能。檢測內容包括電纜的接收方向和發送方向是否存在短路、開路現象，同時可以檢測出故障線纜的位置。使用VCT可以檢測到一下幾種線纜狀態故障：SHORT：表示短路，即2根或更多的導線短接在一起。OPEN：表示

27、開路，表示網線中可能有線斷掉了。NORMAL：表示網線連接正常。NOT USED：網線沒有使用。IM MIS：表示阻抗不匹配，因為5類線的阻抗為100歐，為了防止波形反射和數據錯誤，線纜兩端的終止器阻抗也必需是100歐。ERROR LOCATE說明問題點距離交換機端口的大概距離，單位是米，誤差大約是2米。如果狀態是NORMAL，那么該值為0。PHYTYPE表明使用的是10M/100M/1000M三種物理接口中的哪一種。我司應對：VCT技術效果，我司交換機有鏈路檢測功能（line-detect），等同于此效果SNMP和RMON大部分網管系統還只是采用一些通用型的網絡鏈路使用率監視軟件，如MRTG

28、，利用SNMP協議對網絡的重點鏈路和互聯點進行簡單的端口級流量監視和統計；或采用在網絡中部分重點POP點加裝RMON探針的方式，利用RMON I/II協議對網絡中部分端口進行網絡流量和上層業務流量的監視和采集。上述兩種被普遍采用的網絡流量分析系統都有其顯著的技術局限性。利用SNMP協議能夠對被監視的各個網絡端口進出的數據包數和字節數進行采集，但采集到的流量信息較為粗糙，不但包括網絡層的客戶業務流量信息，還包括鏈路層的數據幀包頭，Hello數據包，出錯后重新傳送的數據包等流量信息。而且SNMP協議還無法區分網絡層數據流量中各種不同類型客戶業務在總流量中的分布狀況，也無法對進出的流量進行流向分析。

29、利用RMON協議對運營商網絡進行流量和流向管理可以部分彌補SNMP協議的技術局限性，如可以對業務流量進行統計，但同時也暴露出新的技術局限性。首先，由于RMON協議需要對網絡上傳送的每個數據幀進行采集和分析，會耗用大量的CPU資源因而不可能由網絡設備本身實現，需要額外購買和安裝內置式或外置式的RMON探針。市場上現有的RMON探針處理能力也有限制，還不能支持監控端口速率超過1Gbps的網絡端口。其次，因為RMON探針為的硬件設備，價格較貴，所以不可能為每臺網絡設備都配備，且由于RMON探針，特別是內置式RMON探針接入網絡后不易變更，所以必然會造成出現異常事件時無法及時對特定的網絡鏈路進行監控。

30、最后，由于RMON探針采集到的管理數據是由分析每個數據包后得到的，數據量非常大且分散，協議缺乏內建的數據匯總機制，而且還不包括每個數據包的BGP AS號或路由Next Hop信息，所以不易對數據進行高層次的流向分析。這些因素都會阻礙利用RMON協議對大型網絡進行流量和流向分析的有效性。Netstream和Sflow、IPFIXnetstream是網絡數據監控技術的一種（屬于華為公司的私有協議），提供報文統計功能，它根據報文的目的ip地址、目的端口號、源ip地址、源端口號、協議號和tos來區分流信息，并針對不同的流信息進行獨立的數據統計。netstream數據采集和分析過程如下：(1)交換機把采

31、集到的流的詳細信息定期發送給nsc（netstream collector，網絡流數據收集器）；(2)信息由nsc初步處理后，發送給nda（netstream data analyzer，網絡流數據分析器）；(3)nda對數據進行分析，分析結果用于計費和網絡規劃等。一個典型的NetStream 系統由NDE、NSC 和NDA 三部分組成：1、NDE(NetStream Data Exporter，網絡流量采樣)。NDE負責對網絡流進行采集和發送，提取符合條件的流進行統計，并將統計信息輸出給NSC設備。輸出前也可對數據進行一些處理，比如聚合。配置了NetStream 功能的設備在NetStrea

32、m 系統中擔當NDE 角色。2、NSC(NetStream Collector，網絡流量采集)。NSC通常為運行于Unix 或者Windows 上的一個應用程序，負責手機和存儲來自NDE的報文，把統計數據收集到數據庫中，可供NDA進行解析。NSC可以采集多個NDE設備輸出的數據，對數據進行進一步的過濾和聚合。(3)NDA(NetStream Data Analyzer，網絡流量分析)。NDA是一個網絡流量分析工具，它從數據庫中提取統計數據，進行進一步的加工處理，生成報表，為各種業務提供依據(比如流量計費、網絡規劃，攻擊監測)。通常，NDA具有圖形化用戶界面，使用戶可以方便地獲取、顯示和分析收集

33、到的數據。Netflow網絡流量分析協議NetFlow為Cisco之專屬協議（Netflow技術最早是于1996年由思科公司的Darren Kerr和Barry Bruins發明的，并于同年5月注冊為美國專利，專利號為6,243,667），提供IP中第三層之信息，可用來了解網絡設備所傳輸之封包表頭內容，依據此內容將所獲得之資料加以統計，便可為網絡流量統計、網絡使用量計價、網絡規劃、網絡監測等應用提供計數根據。同時，NetFlow也提供針對QoS(Quality of Service)的測量基準，能夠捕捉到每筆數據流的流量分類或優先性特性，而能夠進一步根據QoS進行分級收費。Netflow支持同

34、時向兩個管理服務器地址輸出采集到的網絡流量和流向統計信息，輸出數據的方式有三種：簡單高效UDP傳輸協議方式（傳統方式）。但由于采用了UDP協議，數據傳輸的可靠性是不保證的。SNMP MIB方式。管理服務器可以通過SNMP協議訪問網絡設備Netflow MIB庫中存儲的數據流Top N統計結果。可靠的SCTP傳輸協議方式。利用SCTP傳輸協議，支持擁塞識別，重傳和排隊機制，確保Netflow統計結果數據正確發送給上層管理服務器。Netflow V9的優勢：1） rfc3954總共定義了65個數據流信息的屬性類型，而Cisco在此之上將屬性類型擴展到82個，后續還能進行擴展。這表明Netflow

35、V9能夠根據技術的發展對未來數據局流實現更加細致的統計和分析。2） 無論是針對Netflow本身的配置還是針對流量統計的配置，均以模板的方式實現，可以通過對模板的各個records進行調整來適應具體的網絡環境和監控需求，具有高度的靈活性。3） 數據流的統計通過模板和data記錄來實現，這使得每一次擴展升級對exporter和collector的影響非常小，只需要更新相應的模板就可以了，不需要每次都對設備硬件進行升級。Netflow V9的不足：開放性不夠：Cisco的Netflow v9雖然提交了相關RFC，但是在RFC主要介紹了v9的數據包格式和一些關鍵概念的定義說明。對數據流的檢測、輸出、

36、分類等并未進行較細致的規定（根本未提及），這些內容Cisco內部有機制，但是未公開安全性不夠：Netflow v9的設計初衷是將輸出器和收集器定義在一個獨立的私有的網絡中，但現在很多時候Netflow v9被用來在公共網絡中傳輸數據流記錄，這導致一定程度的安全風險。在RFC和Cisco提供的白皮書中未找到其他任何相關的機制和說明。Cisco可能通過其他獨有的上層手段來保障安全性，但是Netflow v9本身的安全完整性還是有所不足。sFlow網絡流量分析協議sFlow是一種基于標準的最新網絡導出協議(RFC 3176)，能夠解決當前網絡管理人員面臨的很多問題。通過將sFlow技術嵌入到網絡路由

37、器和交換機的ASIC芯片中，sFlow已經成為一項線速運行的“永遠在線”技術。與使用鏡像端口、探針和旁路監測技術的傳統網絡監視解決方案相比，sFlow能夠大大降低實施費用，采用它可實現面向每一個端口的全企業網絡監視解決方案。IPFIX網絡流量分析協議IPFIX是ietf基于Netflow v9而開發的最新的數據流輸出標準。IPFIX不但繼承了Netflow v9基于模板的流信息輸出格式，而且在此基礎上對數據流輸出的典型應用進行了輸出規范的建議，另外Netflow中未涉及到的安全性問題在IPFIX中也進行了說明。IPFIX的優勢：1）繼承了Netflow v9的靈活性和擴展性；2）定義了4個組件

38、，增加了監測進程（Netflow只有3個組件），將組件的功能劃分得更加細致；3）就流量監控的功能引入了應用相關，針對不同的應用在監控內容上進行了明確的區分；4）在RFC中對安全性和可靠性作出了明確的要求，對可能出現的隱患進行了說明；5）詳細規范了輸出和監測進程的細節；IPFIX的不足：1） 在對flow的描述上僅提供了30多個屬性，遠低于netflow v9的85個屬性；2） 對安全性方面的保障機制僅提出要求，需要依賴于第三方技術和協議來實現；3） 對flow信息的加密技術和機制沒有任何說明，缺乏標準本身的整體完整性；常見的網絡流量協議包括：Flow名稱代表廠商主要版本備注NetFlowCis

39、coV1、V5、V7、V8、V9應用最廣CFlowdJuniperV5、V8廠商跟進力度不高sFlowFoundry、HP、Alcatel、NEC、Extreme等V4、V5實時性較強，具備突出的第二七層信息描述能力NetStream華為、H3CV5、V8、V9與NetFlow較為類似IPFIXIETF標準規范RFC 3917以NetFlow V9為藍本IEEE802.3az的概念-EEEIEEE802.3az是經過電子電氣工程師協會(IEEE)正式批準的標準節能規范，其中EEE三個字母是Energy Efficient Ethernet的縮寫，意思是高效節能以太網。如果硬件設備支持該標準，就

40、可以在互聯網使用或者以太網活動處于空閑狀態的時候降低網絡連接兩端的能耗，開始正常傳輸數據的時候則恢復正常供電。EEE標準為以太網設備規定的降低能耗方式是定義低功耗模式。一個沒有可發送幀的收發器就可以進入低功耗模式，當有新幀到達時，收發器會在數微秒內返回活動模式，從而實現了對協議上層幾乎透明的節能。黑洞MAC黑洞MAC地址表項：由用戶手工配置的一類特殊的MAC地址，當交換機接收到源地址或目的地址為黑洞MAC地址的報文時，會將該報文丟棄,不會被轉發到網絡中。一般在檢測到某個病毒源之后，把該PC的mac地址配置為黑洞mac(black-mac),就可以保證網絡的安全了。該pc就被孤立了。意思就是你給

41、他發的信息他收到了,但是不會轉發,也不會告訴你.靠這個原理來解決環路的. 華3的,思科的設備都支持這個無需手動配置，用命令配置好，自動檢測策略vlan當前VLAN劃分的的主要策略1. 基于端口的VLAN 基于端口的VLAN的劃分是最簡單、最有效的VLAN劃分方法。該方法只需網絡管理員針對于網絡設備的交換端口進行重新分配組合在不同的邏輯網段中即可。而不用考慮該端口所連接的設備是什么。 2. 基于MAC地址的VLAN MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是唯一的?；贛AC地址的VLAN劃分其實就是基于工作站、服務器的VLAN的組合。在網絡規模較小時，該方案亦不失為一個好的方

42、法，但隨著網絡規模的擴大，網絡設備、用戶的增加，則會在很大程度上加大管理的難度。 3. 基于路由的VLAN 路由協議工作在七層協議的第三層：網絡層，即基于IP和IPX協議的轉發。這類設備包括路由器和路由交換機。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。 4. 基于策略的VLAN 基于策略的VLAN的劃分是一種比較有效而直接的方式。這主要取決于在VLAN的劃分中所采用的策略。 就目前來說，對于VLAN的劃分主要采用1、3兩種模式，對于方案2則為輔助性的方案。90%以上的網絡設計，其VLAN的劃分依然基于交換機端口來完成，這種傳統的VLAN進入方式其局限性和安全隱患是顯而

43、易見：1）用戶終端位置的變更需要網絡管理人員對交換機端口進行重新配置。2）入侵者接入任何一個端口，通過簡單的掃描軟件將可以獲得相應VLAN的所有信息，包括IP子網信息，網關地址，用戶IP/MAC信息，甚至用戶安全認證信息。 3）對于訪客，如果我們沒有專門為其預留端口，其接入將會給我們網絡帶來安全隱患；如果專門為其預留網絡端口，在網絡的什么位置預留，預留端口數量也將是困擾網絡管理員的重要問題；同時，端口的預留也是對網絡資源的一種浪費。以Alcatel OmniSwitch為例，以其策略VLAN為基礎來進一步分析網絡的接入安全控制。Alcatel的策略VLAN: Alcatel策略VLAN打破了這

44、種以固定端口劃分VLAN的傳統模式，將每一個VLAN賦予一定的策略，用戶終端最終進入哪一個VLAN與其接入的交換機端口無直接聯系，而與終端 的特性是否與VLAN策略的匹配相關；Alcatel策略VLAN實現了用戶終端真正的即插即用，同時為用戶、終端提供安全的數據隔離。Alcatel的VLAN策略包括： IP子網策略 MAC地址策略 IP/IPX協議策略 IP/MAC綁定策略 IP/MAC/PORT綁定策略 用戶認證策略 802.1X認證 MAC認證 WEB認證 DHCP策略 舉例所示： 交換機中VLAN10,11,13分別通過不同的策略進行定義 當PC A接入交換機時，交換機將對PC A的MA

45、C, IP,等特性進行自動檢測，根據檢測的結果將PC A的MAC放入匹配策略的VLAN，VLAN的定義與交換機的端口無關，當PC A移動到另一個端口時，由于PC A本身的 屬性并為發生改變，PC A依然自動進入相同的VLAN。 當外來PC接入網絡時，由于無法匹配任何VLAN策略，入侵者將無法進入工作（有效）VLAN，被交換機有效地隔離。我們稱入侵者目前所在的VLAN為隔離VLAN，重要的是，由于隔離VLAN是一個單獨封閉的區域，使得入侵者即使使用網絡掃描軟件也無法得到位于工作（有效）VLAN用戶的任何信息。 總結： Alcatel 策略VLAN解決了以下兩個問題： 用戶移動性：用戶進入相應VL

46、AN與接入端口無關，真正實現移動接入； 安全接入：對于非法用戶，無論從交換機的哪一個端口接入都將被屏蔽在工作（有效）VLAN之外。 下面我們從接入安全的角度來介紹一下常用的各種策略VLAN的適用場合： IP子網策略：由于我們在網絡設計時通常將不同的業務部門劃分到不同的VLAN，同時將VLAN對應不同的IP子網；因此，IP子網策略適用于對安全需求不高，對移動性和簡易管理需求較高的的網絡設計中。通常采用以下一條命令就完成了一個IP子網策略VLAN的設定：vlan 10 ip 192.168.10.0 255.255.255.0；當用戶終端的IP地址設為192.168.10.x時，該終端將自動進入V

47、LAN 10. 安全性：進入IP子網VLAN的先決條件是必須知道交換機中定義了哪些IP子網（通過網絡掃描是無法得到的，參看上面對隔離VLAN的介紹） MAC地址策略：MAC地址策略需要我們事先將歸屬該VLAN的終端MAC地址配置到交換機上（MAC地址可以通過交換機自動學到），只有符合我們預設的MAC地址的終端才可以進入該VLAN。MAC地址VLAN相比IP子網VLAN安全性要高，但配置工作量相對較大；策略適用于對安全和移動性需求較高的網絡設計中。MAC地址VLAN通常采用以下命令就完成設定：vlan 11 mac 01:01:01:02:02:02；當用戶終端的MAC地址設為01:01:01:

48、02:02:02時，該終端將自動進入VLAN 11. 安全性：進入MAC子網VLAN的先決條件是必須知道交換機中是否定義的MAC VLAN策略，同時需知道至少一個已定義的MAC地址。（通過網絡掃描是無法得到的，參看上面對隔離VLAN的介紹） IP/MAC綁定策略：IP/MAC綁定策略需要我們事先將歸屬該VLAN的終端IP/MAC配置到交換機上（IP/MAC可以通過交換機自動學到），只有符合我們預設的IP/MAC地址的終端才可以進入該VLAN。IP/MAC綁定地址VLAN相比MAC VLAN安全性更高，適用于對安全和移動性需求非常高且VLAN用戶較少的網絡設計中。IP/MAC綁定VLAN的另一個

49、作用是禁止符合策略的用戶對IP或MAC進行改動，IP/MAC的改動將失去VLAN策略的匹配，該終端從而被放入隔離VLAN。IP/MAC綁定VLAN通常采用以下命令完成設定：vlan 11 binding mac-ip 00:00:39:59:0a:0c 21.0.0.10；當用戶終端的IP地址設為21.0.0.10，MAC為00:00:39:59:0a:0c 時，該終端將自動進入VLAN 11. 安全性：進入IP/MAC子網VLAN的先決條件是必須知道交換機中是否定義了IP/MAC VLAN策略，同時需知道至少一個已定義的IP/MAC地址。（通過網絡掃描是無法得到的，參看上面對隔離VLAN的介

50、紹） 用戶認證策略：用戶認證VLAN與上述策略VLAN的最大不同是檢測終端使用者的合法性而非終端本身的合法性，更適用于多人共用終端的場合。我們為終端用戶提供合法賬號，不同的賬號對應不同的VLAN或決定交換機端口的開、閉（802.1x），終端進入哪一個VLAN由用戶賬號決定。由于是對用戶的認證，所以該策略的實施必須引入用戶認證服務器來完成相應的認證、授權工作，相對增加了網絡管理的復雜度。 安全性：進入用戶認證VLAN的先決條件是必須獲得合法的用戶賬號（當采用認證服務器回指VLAN屬性的方式時，由于用戶在認證過程中的通信是在隔離VLAN中完成的，只有認證通過后才會進入工作VLAN；因此，認證的加密

51、就非常有必要） DHCP策略：DHCP是終端自動獲得IP地址的協議，對于訪客非常方便。通過對VLAN定義DHCP，使得訪客自動獲得IP地址并進入相應的訪客VLAN。通常采用以下命令完成一個DHCP策略VLAN的設定：vlan 10 dhcp port 3/1-24；當用戶終端的IP地址設為自動獲得時時，該終端將自動進入VLAN 10并獲得相應的IP地址。 安全性：無特殊安全性，便于訪客的靈活接入同時與保障企業內網的安全隔離。 Alcatel基于策略VLAN的安全接入解決方案: 對于一個企業，擁有眾多的部門，包括工程、銷售、財務、領導以及訪客等，我們在作網絡規劃設計時根據不同部門對網絡安全的要求

52、不同，予以不同的VLAN策略，使整個網絡在安全、靈活、易用和易管理幾個方面達到最大的統一。下面就一個典型案例進行具體分析、設計。 在這個案例中我們將用戶按安全級別分為4類： 安全級別高、且端口固定：如財務部 安全級別高、且有移動要求：如領導 安全級別一般、且有移動要求：業務部門，如工程、銷售 安全級別低、訪問受限制：如訪客和臨時部門MUX VLAN 定義：MUX VLAN是一種包含上行端口和業務虛端口的VLAN。一個MUX VLAN可包含多個上行端口，但只包含一個業務虛端口。不同MUX VLAN間的業務流相互隔離。原理：MUX VLAN分為Principal VLAN和Subordinate

53、VLAN，Subordinate VLAN又分為Separate VLAN和Group VLAN，MUX VLAN與接入用戶存在一對一的映射關系，因此可根據VLAN區分不同的接入用戶。例如，當需要用VLAN區分用戶時，可以使用MUX VLAN。作用：MUX VLAN（Multiplex vlan ）提供了一種在VLAN內的端口間進行二層流量隔離的機制。需求：在企業網絡中，企業員工和企業客戶可以訪問企業的服務器。對于企業來說，希望企業內部員工之間可以互相交流，而企業客戶之間是隔離的，不能夠互相訪問。通過MUX VLAN提供的二層流量隔離的機制可以實現企業內部員工之間可以互相交流，而企業客戶之間是

54、隔離的。應用場景：如圖所示，根據MUX VLAN特性，企業可以用Principal PORT連接企業服務器，Separate PORT連接企業客戶，Group PORT連接企業員工。這樣就能夠實現企業客戶、企業員工都能夠訪問企業服務器，而企業員工內部可以通信、企業客戶間不能通信、企業客戶和企業員工之間不能互訪的目的。我司應對：這是華為和H3C的私有協議，可以通過acl或保護口來替代uRPFuRPF是一種單播逆向路由查找技術，用來預防偽造源地址攻擊的手段。之所以稱為逆向，是針對正常的路由查找而言的。一般情況下路由器接收到報文，獲取報文的目的地址，針對目的地址查找路由。如果找到了進行正常的轉發，否

55、則丟棄該報文。urpf通過獲取報文的源地址和入接口，以源地址為目的地址，在轉發表中查找源地址對應的接口是否與入接口匹配。如果不匹配認為源地址是偽裝的，丟棄該報文。通過這種方式urpf就能有效地防范網絡中通過修改源地址而進行的惡意攻擊行為的發生。在s1 上偽造源地址為2.2.2.1 的報文向服務器s2 發起請求，s2 響應請求時將向真正的“2.2.2.1”即s3 發送報文。這種非法報文對s2 和s3 都造成了攻擊。攻擊者使用隨機改變源地址的方法發起攻擊。在本例子中，源地址使用一些保留的非全局的ip 地址，因此不可達。其實即使是一個合法的ip 地址，只要是不可達的也可以用來發起攻擊。另一種情況：攻

56、擊者可以偽造一個源地址，該地址是另一個合法網絡的地址并且在全局路由表中存在。例如，攻擊者偽造一個源地址使得被攻擊者認為攻擊來自于偽造的源地址，但實際上該源地址是完全無辜的，并且有時候網絡管理員會因此而關閉所有來自源地址的數據流，這樣正好使得攻擊者的拒絕服務攻擊成功實現。更復雜的情形是tcp syn 洪泛攻擊將使得syn-ack數據包發送到完全與攻擊無關的許多主機，而這些主機就成了犧牲者。這使得攻擊者可以同時去欺騙一個或者多個系統。同樣也可以采用udp 和icmp 洪泛攻擊。所有這些攻擊都會嚴重的降低系統性能，甚至使得系統崩潰。urpf 就是為了防范這種攻擊而使用的一種技術?？煽亟M播IPTV C

57、ACIPTV中的BTV（電視直播）業務，是非常適合利用組播技術來進行傳輸的，因為對于觀看同一頻道的大量用戶來說在同一時間收看的是同一內容。媒體服務器僅發送一份該直播電視頻道的報文，網絡在用戶的分支點才進行復制，在分支點以上的網絡只需傳送一個數據流，大大減輕了網絡的帶寬及服務器資源。 如何將各個頻道名翻譯為網絡設備、服務器能夠識別和區分的語言，就需要為不同的頻道名分配唯一的組播地址。比如為CCTV5分配225.0.0.5的組播地址。用戶在選擇觀看CCTV5頻道的時候，實際上是一個加入225.0.0.5組播組?？煽亟M播是華為公司提出的一整套可運營、可管理的組播技術解決方案?？煽亟M播主要解決在IPTV寬帶運營網絡上提供對組播用戶、組播源、組播組的控制，完備的、可擴展的計費手段和對組播網絡的監控、管理手段。 可控組播的實現機制是用戶在營業廳開戶定購直播頻道節目，其信息記錄到SMS業務管理系統，SMS系統通過標準的TL1接口將用戶的信息通知到網管NMS系統，NMS系統通過SNMP協議將對于用戶的控制信息發送到組播控制點（BRAS/DSLAM/L2）等網絡上，組播控制點根據該信息實現組播權限轉發，僅向IPTV合法用戶轉發組播報文。DLDP 光纖錯接和鏈路單通可能會導致STP網絡出現廣播風暴，DLDP（Device&