华为中低端交换机控标主要技术点解析-20150325.doc

交换路由竞争，常用技术目录背板带宽和包转发率2OAM 的定义2SFP+和XFP接口区别6MFF6Smart Link6RRPP8G.8032 ERPS和SEP等环网技术8VCT(Virtual Cable Test)9Netstream和Sflow、IPFIX10IEEE802.3az的概念-EEE12黑洞MAC12策略vlan12uRPF15可控组播IPTV CAC15DLDP16NQA17APSD17Jumbo巨型帧作用18背板带宽和包转发率完全无阻塞交换条件：所有端口容量X端口数量之和的2倍应该小于背板带宽可实现全双工无阻塞交换证明交换机具有发挥最大数据交换性能的条件。 满配置吞吐量(Mpps)=满配置GE端口数1.488Mpps(其中1个千兆端口在包长为64字节时的理论吞吐量为1.488Mpps,pps 是每秒64字节包的个数，如果包长更长，同样1个千兆口，那么PPS还不到1.488Mpps)。例如一台最多可以提供64个千兆端口的交换机，其满配置吞吐量应达到 641.488Mpps = 95.2Mpps，才能够确保在所有端口均线速工作时，提供无阻塞的包交换。如果一台交换机最多能够提供176个千兆端口而宣称的吞吐量为不到261.8Mpps(176 x 1.488Mpps = 261.8)，那么用户有理由认为该交换机采用的是有阻塞的结构设计。一般是两者都满足的交换机才是合格的交换机。 比如Cisco 2950G-48 背板210002+481002(Mbps)13.6(Gbps) 相当于13.6/2=6.8个千兆口 包转发率/吞吐量=6.81.488=10.1184Mpps Cisco4506 背板64G 满配置千兆口 43065+2（引擎）32 包转发率/吞吐量321.488=47.616 Mpps 一般是两者都满足的交换机才是合格的交换机。我司应对：对虚高不合理的参数，可以提出质疑。对于交换机包转发率，24口千兆交换机，华为目前算法，1.5M PPS*24*1.5(冗余)=54 MPPSOAM 的定义OAM(Operations, Administration, and Maintenance) 即操作、管理和维护。该机制在传统电信网中已应用很久了，主要是通过故障检测、告警、定位和隔离等手段提高网络的运维水平。目前，各标准化组织正在完成和已经完成的以太网OAM相关标准有：IEEE 802.3-2005 第57章（原IEEE 802.3ah 第57章）城域以太网论坛制定的E-LMI（Ethernet Local Management Interface）Connectivity Fault Management (CFM)即IEEE 802.1agITU-T和城域以太网论坛制定的Y.1731，可兼容802.1ag一， OAM的用途连通检测：即检测链路是否能正常传输报文，一般各种OAM协议都采用周期性发送特定报文的方式完成，当一定数量的报文丢失，便判断为链路不可用。例如：在802.3 OAM中，每秒发送一个Information报文，当连续5个报文丢失时，认为链路断开；在802.1ag中，周期性地（周期可配置）发送CCM报文，连续3个报文丢失则认为对方已不可达；在MPLS OAM中，则周期性地发送CV报文和FFD报文。环回：主要目的是检测链路的双向连通性。方法是将报文发送到目标实体，并由目标实体应答报文，发送者根据返回报文的情况判断连通性。在发送和返回的报文中可以携带各种信息。例如：IP协议中的ping；802.3 OAM中的远端环回；802.1ag中的loopback；MPLS OAM中的LSP Ping。链路跟踪 ：方法是将报文发送到目标实体，处于发送路径上、能识别该报文的设备向源实体回应报文。源实体通过收到的回应报文确定到达目标实体所经过的路径。例如：IP协议中的traceroute ；在802.1ag协议中使用的linktrace。错误指示：可分为前向错误指示和反向错误指示。在一个路径上，当某个节点发现源节点发送的报文有错误时，它可以通知其他节点，它可以沿着这个路径向下游发送通知，起到预防的作用，这就是前向错误指示；它也可以沿着路径逆向传递，告诉发送者，它发出的报文有错误。二、协议说明2.1 802.3ah802.3 OAM协议属于慢速协议（slow protocol），另一个著名的慢速协议是链路聚合控制协议（LACP）。慢速协议具有如下共同特点： 每秒钟传输的报文不超过10帧。 协议报文（PDU）不带VLAN Tag。 协议报文目的地址为01-80-C2-00-00-02。 协议报文的Type域为88-09。 协议报文不能被转发。（802.3 OAM监控一段链路，从一个以太网口到另外一个以太网口，中间不能经过其他设备。）2.2 802.1ag 802.1ag针对MAC地址，它判断相应的MAC地址是否可达，从而获得二层网络的相应工作状态和路径。2.3 重要概念：域：在逻辑上将网络从内到外划分为不同的层次，称作维护域（Maintenance Domain），维护域可以嵌套，不能交叉，这样，在出现问题时，可以通过问题所在的域的范围判断问题的归属。这个想法的目的是将运营商网络同用户网络隔离开，或者说将网络在逻辑上同实际使用者对应起来，从而产生清晰的界面。当出现问题时，通过在不同域中的判断确定问题的具体位置。 级别：协议中区分不同层次的域的方法是为每个域定义一个级别（level），高级别的域可以嵌套低级别的域。高低级别的域之间是不通信息的，它们各自通报本域内的错误，范围较大的域的802.1ag报文可以穿过较小的域，范围较小的域的报文不可以发送到域的外面。维护域（Maintenance Domain）：是进行错误管理的一部分网络，维护域的边界由维护端点（MEP）围成。它由维护域名称（一个字符串）唯一标识。它具有的另外一个属性是维护域级别。维护集（Maintenance Association）：维护集属于某个维护域，由维护域内唯一的名称（一个字符串）标识。它具有的另外一个属性是VLAN。维护集是指MD中的一个集合，包含一些MP。用“MD名+short MA名”来标识。MA属于一个VLAN，MA中的MP所发送的报文在该VLAN内被转发，同时也接收MA内其它MP发送的报文，因此，MA也被称为服务实例（Service Instance，SI）。MEP(维护端点)：维护域是有边界的，它的边界就是一个个的端口，因此，只要在边界端口上配置一个实体就可以了，这个实体叫做维护端点（Maintenance association End Point或MEP）。当所有的边界端口都配置了维护端点，域的边界就确定了，域的范围也确定了。MEP属于某个维护集，从维护域和维护集中继承了它们的属性：级别和VLAN。维护端点用一个整数唯一标识，称为MEPID。该整数在维护集内是唯一的。维护端点可发出802.1ag报文。MIP（维护中间点）：在维护域内的端口上也可以配置实体，叫做维护中间点（Maintenance domain Intermediate Point或MIP）。MEP和MIP统称为维护点（Maintenance Point）。维护点是本协议功能实现的主体，所有的功能均通过维护点的处理得以体现。MIP属于某个维护集，从维护域和维护集中继承了它们的属性：级别和VLAN。维护中间点仅回应收到的802.1ag报文，不会自己主动发出。2.3 重要参数：级别和VLAN有两个基本的参数贯串了802.1ag协议的处理，它们就是维护域的级别（level）和它所服务的VLAN。这两个参数将网络进行了划分，它们影响到维护点的归属，影响到802.1ag的报文内容、MAC地址，影响到报文的处理等。维护域共分为8个级别，从07，数字越大，代表的维护域范围越大。级别较小的域中的1ag报文不能穿过域的边界进入到较大的域中。由于各级别的维护域是嵌套的，如果在级别较大的域中发现了较小级别的报文，就属于一种错误，维护域中的维护点就会报告错误。错误的处理则是系统管理员的工作，有时候可能是网络的错误，也有时候可能就是系统管理员配置错误。VLAN当然是很重要的，这是目前二层网络的基础，802.1ag协议报文是带有VLAN Tag的，我司应对：这是运营商网络里的特殊需求，且要实现这个功能，网络内所有设备要同步支持，H3C也不能完全支持。SFP+和XFP接口区别XFP的速率是10G，并且是串行光收发模块的一种标准化封装。它符合以下标准：10G光纤通道、10G以太网、SONET/OC-192和SDH/STM-64。XFP光模块主要用于数据通讯和电信传输网的光纤传输XFP和SFP+ 的区别：两种不同的接口定义，最明显的是SFP+金手指有20个，XFP金手指有30个金手指，具体参数可以查看两种模块的MSA国际协议。SFP+、XFP用的都是LC接口的尾纤1）SFP+和XFP 都是10G 的光纤模块，且与其它类型的10G模块可以互通；2）SFP+比XFP 外观尺寸更小；3）因为体积更小SFP+将信号调制功能，串行/解串器、MAC、时钟和数据恢复(CDR)，以及电子色散补偿(EDC)功能从模块移到主板卡上；4）XFP 遵从的协议：XFP MSA协议；5）SFP+遵从的协议：IEEE 802.3ae、SFF-8431、SFF-8432；总结，SFP+是更主流的设计。我司应对：一边是SFP+的，一边是XFP，而且参数一样（传输距离相同，波长一样，比如都是10km或是40km、80km，波长1310nm,1550nm等），可以直接连接通信，不存在兼容性问题。SFP+、XFP用的都是LC接口的尾纤MFF即Mac Force Forwarding，其核心思想：二层隔离、三层转发、ARP代理，这个功能通常部署在二层交换机上，用于减轻网关ARP处理负担，降低网关受ARP攻击的风险，实现用户间的二层隔离。我司应对：可以明了，支持此功能即可，我司也支持。Smart LinkSMART-LINK针对双上行组网，实现主备链路冗余备份及故障快速迁移。用于在以太网交换机上实现链路备份功能，通过手工配置指定链路间的相互备份关系，备份关系一旦指定，即刻生效。SMART-LINK技术应用的典型组网图如下：在A设备上建立两个互为备份的二层接口（或聚合组）A1和A2，其中一个接口进行流量转发的同时，另一个处于阻塞状态。如图，A1转发流量时，A2被阻塞。此时的流量为图中的红色箭头表示。如果A1链接的Link1链路故障，那么A2立刻切换为非阻塞状态，开始转发流量。此时的流量为图中的蓝色箭头表示。A2在从阻塞状态切换为非阻塞状态时，在VLAN内组播发送FLUSH报文，网络中各台设备收到该报文后，根据端口的设置确定是否更新指定VLAN列表的地址转发表。VLAN列表将会在FLUSH报文中携带，地址转发表包括MAC表、ARP（ND）表等。Smart-link作为轻量级的保护技术，Smart-link的技术特色： 1）相比STP，可以提供最快可达50毫秒的收敛性能2）相比RRRP，提供了更简捷的配置方式；3）支持基于VLAN的负载分担，充分利用上行带宽。Smart-link的局限性和应用限制1)缺少自己的心跳报文检测机制，无法保护跨传输的链路；2)轻量级协议，只对上行链路做相互的保护，上面网络的冗余保护需要上面网络自己解决。术语3）SMART-LINK技术为双上行组网量身定制，组网比较固定，有一定的局限性术语1） SMART-LINK组译为灵活链路组，包括两条链路，其中一条进行转发，另一条链路阻塞，作冗余备份。2） 主用链路和备用链路SMART-LINK组中处于转发状态的链路称为主用链路，处于阻塞状态的链路称为备用链路。3） 主端口和从端口SMART-LINK组的主用和备用链路在特定的设备上体现为端口或者聚合组端口，此处统称为端口。为了区分SMART-LINK组中的两个端口，将两个端口分别命名为主端口和从端口，也叫MASTER端口和SLAVE端口。目前SMART-LINK不支持按角色抢占的方式，因而两个端口对应的链路哪个处于转发状态并不固定，即主从端口和主用备用链路并无固定的对应关系。4） FLUSH报文类似于STP协议中的TC报文，为了能够使网络中的设备及时感知网络拓扑变化，SMART-LINK发送一个FLUSH报文通知其他设备进行地址刷新。但是，由于该技术为私有技术，目前只限于华为和H3C等少部分厂商的一些设备能够识别该报文。对于不识别FLUSH报文的设备，只能通过流量触发MAC地址的更新。我司应对：SMART LINK为私有协议，此技术效果，我司有相应业内标准对应支持，例如LACP/RRPPRRPP(Rapid Ring Protection Protocol)是一个专门应用于以太网环的二层协议，由EAPS协议（Ethernet Automati Protect Switching，rfc3619）发展而来，由华为3Com开发的私有协议（是针对STP的缺陷推出的技术）。RSTP/MSTP应用比较成熟，但收敛时间在秒级。RRPP是一个专门应用于以太网环的链路层协议。它在以太网环完整时能够防止数据环路引起的广播风暴，而当以太网环上一条链路断开时能迅速启用备份链路以保证环网的最大连通性。与STP协议相比，RRPP协议有如下优点：拓扑收敛速度快（低于50ms）收敛时间与环网上节点数无关（不受网络规模影响）RRPP技术不足点是：不能和xSTP网络兼容组网。RRPP多实例在RRPP组网中，一个环上只能有一个主节点。当主节点处于Complete状态时，被阻塞的副端口会阻止所有用户报文通过。这样，所有用户报文在RRPP环上通过一条路径传输。主节点副端口侧的链路空闲，造成带宽浪费。 RRPP多实例基于域实现。在一个域中，所有端口、节点角色、拓扑都遵循基本的RRPP原则。与RRPP不同的是，RRPP多实例在一个RRPP环上可以存在多个域。一个域内可以包含一个或多个实例，每个实例代表一个VLAN范围。这些包含在域中的VLAN，称为RRPP域的保护VLAN。保护VLAN包括属于该域的数据VLAN、主环控制VLAN和子环控制VLAN。 在RRPP多实例组网中，在同一个环路上存在多个主节点。根据主节点的Secondary Port阻塞属性即可实现业务流量的负载分担和链路备份。我司应对：目前，解决二层网络环路问题的技术有RSTP/MSTP和ERPS等多种标准协议，我司都支持G.8032 ERPS和SEP等环网技术ERPS（Ethernet Ring Protection Switching）：以太网多环保护技术，是业内标准。在2008年12月举行的ITU-TSG15的全会上，要对以太网环网保护标准G.8032的V1版本的修订版（Amendment1)进行讨论和表决，这个修订版主要增加以太网多环的保护方案。多环保护模型是G.8032标准中多环保护的技术核心，在实际网络中有较大的应用价值，技术实现难度大，也是各个厂商技术竞争的热点。会上，中兴通讯、诺基亚西门子、阿尔卡特朗讯、华为等主流设备厂商针对多环保护模型展开了激烈的技术辩论，最终中兴通讯提出的“Sub-ring子环划分模型”脱颖而出，被大会采纳。ITU-TG.8032多环标准的发布，标志着以太环网保护技术ERPS真正具备了成熟商用的条件，各厂家基于标准的互通也成为可能。已经成为ITU-TG.8032 国际标准，与2008年12月修订完成并表决通过。ITU-TG.8032ERPS以太环网标准吸取了EAPS、RPR、SDH、STP等众多环网保护技术的优点，优化了检测机制，可以检测双向故障，支持多环、多域的结构，在实现50ms倒换的同时，支持主备、负荷分担多种工作方式，成为了以太环网技术最新的成熟标准。智能以太保护SEP(Smart Ethernet Protection)技术华为公司于2010年推出了SEP协议，华为以太环网技术SEP技术，比RRPP RPR适应性更强，支持拓扑更广泛，可和STP融合使用的以太网环网技术。SEP是一种专用于以太网链路层的环路保护机制，它通过有选择性地阻塞网络环路冗余链路，来达到消除网络二层环路的目的，有效防止形成网络风暴。SEP协议的收敛性能和RRPP协议相当，在IEEE802.1中的位置和STP相同。 SEP协议支持半环和全环两种基本拓扑，保证其基本拓扑在任何时刻都有一个断点。SEP是华为的私有协议，不能和其他公司设备直接对接SEP技术优势SEP以网络段为单位。在SEP段完好的情况下，一个SEP段阻塞一个端口，从而避免了环路产生。当环网发生链路故障时，可以迅速地放开阻塞端口，进行链路倒换，恢复环网上各节点通信通路。SEP组网协议简单，是通过软件来实现的，无需专门的硬件即可支持SEP，不会额外增加客户投资。SEP能和现网xSTP兼容组网，很好保护现网投资。SEP技术能给客户带来其他更多应用价值：SEP收敛时间远小于xSTP，并且和网络规模无关，最快达到50ms，很好支撑语音和视频业务保护倒换。SEP组网灵活，既支持封闭环，也支持开放环。SEP可以支持更复杂的多环组网拓扑，环换任意相连，各环独立存在，增加子环非常方便。在SEP网段上，在任意节点都可以查看该网段拓扑信息，方便状态查看和维护。根据流量状态，灵活修改指定断点来优化网络流量，达到网段两边的流量均衡;其他环网技术不能做到灵活指定断点，很难做到断点两边流量均衡。VCT(Virtual Cable Test)虚拟电缆检测功能VCT,是利用TDR(Time Domain Reflectometry-时域反射测试)来检测网络线缆的物理状态。TDR检测原理类似于雷达，它工作方式是通过主动向导线发射一个脉冲信号并检测所发送的脉冲信号的反射结果来检测电缆故障。当发送的脉冲信号通过电缆的末端或电缆的故障点时，就会引起部分或全部的脉冲能量被反射回来到达原来的发送源，VCT技术根据测量脉冲信号在导线中的传输获得信号到达故障点或返回的时间，然后根据公式将相应时间换算为距离值。通过VCT可以检测电缆状态、故障距离是否极性交换、插入信号衰减、返回信号衰减等。用户可以使能VCT特性对以太网电口连接电缆进行检测，开启系统对以太网电口连接电缆的检测功能。检测内容包括电缆的接收方向和发送方向是否存在短路、开路现象，同时可以检测出故障线缆的位置。使用VCT可以检测到一下几种线缆状态故障：SHORT：表示短路，即2根或更多的导线短接在一起。OPEN：表示开路，表示网线中可能有线断掉了。NORMAL：表示网线连接正常。NOT USED：网线没有使用。IM MIS：表示阻抗不匹配，因为5类线的阻抗为100欧，为了防止波形反射和数据错误，线缆两端的终止器阻抗也必需是100欧。ERROR LOCATE说明问题点距离交换机端口的大概距离，单位是米，误差大约是2米。如果状态是NORMAL，那么该值为0。PHYTYPE表明使用的是10M/100M/1000M三种物理接口中的哪一种。我司应对：VCT技术效果，我司交换机有链路检测功能（line-detect），等同于此效果SNMP和RMON大部分网管系统还只是采用一些通用型的网络链路使用率监视软件，如MRTG，利用SNMP协议对网络的重点链路和互联点进行简单的端口级流量监视和统计；或采用在网络中部分重点POP点加装RMON探针的方式，利用RMON I/II协议对网络中部分端口进行网络流量和上层业务流量的监视和采集。上述两种被普遍采用的网络流量分析系统都有其显著的技术局限性。利用SNMP协议能够对被监视的各个网络端口进出的数据包数和字节数进行采集，但采集到的流量信息较为粗糙，不但包括网络层的客户业务流量信息，还包括链路层的数据帧包头，Hello数据包，出错后重新传送的数据包等流量信息。而且SNMP协议还无法区分网络层数据流量中各种不同类型客户业务在总流量中的分布状况，也无法对进出的流量进行流向分析。利用RMON协议对运营商网络进行流量和流向管理可以部分弥补SNMP协议的技术局限性，如可以对业务流量进行统计，但同时也暴露出新的技术局限性。首先，由于RMON协议需要对网络上传送的每个数据帧进行采集和分析，会耗用大量的CPU资源因而不可能由网络设备本身实现，需要额外购买和安装内置式或外置式的RMON探针。市场上现有的RMON探针处理能力也有限制，还不能支持监控端口速率超过1Gbps的网络端口。其次，因为RMON探针为的硬件设备，价格较贵，所以不可能为每台网络设备都配备，且由于RMON探针，特别是内置式RMON探针接入网络后不易变更，所以必然会造成出现异常事件时无法及时对特定的网络链路进行监控。最后，由于RMON探针采集到的管理数据是由分析每个数据包后得到的，数据量非常大且分散，协议缺乏内建的数据汇总机制，而且还不包括每个数据包的BGP AS号或路由Next Hop信息，所以不易对数据进行高层次的流向分析。这些因素都会阻碍利用RMON协议对大型网络进行流量和流向分析的有效性。Netstream和Sflow、IPFIXnetstream是网络数据监控技术的一种（属于华为公司的私有协议），提供报文统计功能，它根据报文的目的ip地址、目的端口号、源ip地址、源端口号、协议号和tos来区分流信息，并针对不同的流信息进行独立的数据统计。netstream数据采集和分析过程如下：(1)交换机把采集到的流的详细信息定期发送给nsc（netstream collector，网络流数据收集器）；(2)信息由nsc初步处理后，发送给nda（netstream data analyzer，网络流数据分析器）；(3)nda对数据进行分析，分析结果用于计费和网络规划等。一个典型的NetStream 系统由NDE、NSC 和NDA 三部分组成：1、NDE(NetStream Data Exporter，网络流量采样)。NDE负责对网络流进行采集和发送，提取符合条件的流进行统计，并将统计信息输出给NSC设备。输出前也可对数据进行一些处理，比如聚合。配置了NetStream 功能的设备在NetStream 系统中担当NDE 角色。2、NSC(NetStream Collector，网络流量采集)。NSC通常为运行于Unix 或者Windows 上的一个应用程序，负责手机和存储来自NDE的报文，把统计数据收集到数据库中，可供NDA进行解析。NSC可以采集多个NDE设备输出的数据，对数据进行进一步的过滤和聚合。(3)NDA(NetStream Data Analyzer，网络流量分析)。NDA是一个网络流量分析工具，它从数据库中提取统计数据，进行进一步的加工处理，生成报表，为各种业务提供依据(比如流量计费、网络规划，攻击监测)。通常，NDA具有图形化用户界面，使用户可以方便地获取、显示和分析收集到的数据。Netflow网络流量分析协议NetFlow为Cisco之专属协议（Netflow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的，并于同年5月注册为美国专利，专利号为6,243,667），提供IP中第三层之信息，可用来了解网络设备所传输之封包表头内容，依据此内容将所获得之资料加以统计，便可为网络流量统计、网络使用量计价、网络规划、网络监测等应用提供计数根据。同时，NetFlow也提供针对QoS(Quality of Service)的测量基准，能够捕捉到每笔数据流的流量分类或优先性特性，而能够进一步根据QoS进行分级收费。Netflow支持同时向两个管理服务器地址输出采集到的网络流量和流向统计信息，输出数据的方式有三种：简单高效UDP传输协议方式（传统方式）。但由于采用了UDP协议，数据传输的可靠性是不保证的。SNMP MIB方式。管理服务器可以通过SNMP协议访问网络设备Netflow MIB库中存储的数据流Top N统计结果。可靠的SCTP传输协议方式。利用SCTP传输协议，支持拥塞识别，重传和排队机制，确保Netflow统计结果数据正确发送给上层管理服务器。Netflow V9的优势：1） rfc3954总共定义了65个数据流信息的属性类型，而Cisco在此之上将属性类型扩展到82个，后续还能进行扩展。这表明Netflow V9能够根据技术的发展对未来数据局流实现更加细致的统计和分析。2） 无论是针对Netflow本身的配置还是针对流量统计的配置，均以模板的方式实现，可以通过对模板的各个records进行调整来适应具体的网络环境和监控需求，具有高度的灵活性。3） 数据流的统计通过模板和data记录来实现，这使得每一次扩展升级对exporter和collector的影响非常小，只需要更新相应的模板就可以了，不需要每次都对设备硬件进行升级。Netflow V9的不足：开放性不够：Cisco的Netflow v9虽然提交了相关RFC，但是在RFC主要介绍了v9的数据包格式和一些关键概念的定义说明。对数据流的检测、输出、分类等并未进行较细致的规定（根本未提及），这些内容Cisco内部有机制，但是未公开安全性不够：Netflow v9的设计初衷是将输出器和收集器定义在一个独立的私有的网络中，但现在很多时候Netflow v9被用来在公共网络中传输数据流记录，这导致一定程度的安全风险。在RFC和Cisco提供的白皮书中未找到其他任何相关的机制和说明。Cisco可能通过其他独有的上层手段来保障安全性，但是Netflow v9本身的安全完整性还是有所不足。sFlow网络流量分析协议sFlow是一种基于标准的最新网络导出协议(RFC 3176)，能够解决当前网络管理人员面临的很多问题。通过将sFlow技术嵌入到网络路由器和交换机的ASIC芯片中，sFlow已经成为一项线速运行的“永远在线”技术。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够大大降低实施费用，采用它可实现面向每一个端口的全企业网络监视解决方案。IPFIX网络流量分析协议IPFIX是ietf基于Netflow v9而开发的最新的数据流输出标准。IPFIX不但继承了Netflow v9基于模板的流信息输出格式，而且在此基础上对数据流输出的典型应用进行了输出规范的建议，另外Netflow中未涉及到的安全性问题在IPFIX中也进行了说明。IPFIX的优势：1）继承了Netflow v9的灵活性和扩展性；2）定义了4个组件，增加了监测进程（Netflow只有3个组件），将组件的功能划分得更加细致；3）就流量监控的功能引入了应用相关，针对不同的应用在监控内容上进行了明确的区分；4）在RFC中对安全性和可靠性作出了明确的要求，对可能出现的隐患进行了说明；5）详细规范了输出和监测进程的细节；IPFIX的不足：1） 在对flow的描述上仅提供了30多个属性，远低于netflow v9的85个属性；2） 对安全性方面的保障机制仅提出要求，需要依赖于第三方技术和协议来实现；3） 对flow信息的加密技术和机制没有任何说明，缺乏标准本身的整体完整性；常见的网络流量协议包括：Flow名称代表厂商主要版本备注NetFlowCiscoV1、V5、V7、V8、V9应用最广CFlowdJuniperV5、V8厂商跟进力度不高sFlowFoundry、HP、Alcatel、NEC、Extreme等V4、V5实时性较强，具备突出的第二七层信息描述能力NetStream华为、H3CV5、V8、V9与NetFlow较为类似IPFIXIETF标准规范RFC 3917以NetFlow V9为蓝本IEEE802.3az的概念-EEEIEEE802.3az是经过电子电气工程师协会(IEEE)正式批准的标准节能规范，其中EEE三个字母是Energy Efficient Ethernet的缩写，意思是高效节能以太网。如果硬件设备支持该标准，就可以在互联网使用或者以太网活动处于空闲状态的时候降低网络连接两端的能耗，开始正常传输数据的时候则恢复正常供电。EEE标准为以太网设备规定的降低能耗方式是定义低功耗模式。一个没有可发送帧的收发器就可以进入低功耗模式，当有新帧到达时，收发器会在数微秒内返回活动模式，从而实现了对协议上层几乎透明的节能。黑洞MAC黑洞MAC地址表项：由用户手工配置的一类特殊的MAC地址，当交换机接收到源地址或目的地址为黑洞MAC地址的报文时，会将该报文丢弃,不会被转发到网络中。一般在检测到某个病毒源之后，把该PC的mac地址配置为黑洞mac(black-mac),就可以保证网络的安全了。该pc就被孤立了。意思就是你给他发的信息他收到了,但是不会转发,也不会告诉你.靠这个原理来解决环路的. 华3的,思科的设备都支持这个无需手动配置，用命令配置好，自动检测策略vlan当前VLAN划分的的主要策略1. 基于端口的VLAN 基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。 2. 基于MAC地址的VLAN MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时，该方案亦不失为一个好的方法，但随着网络规模的扩大，网络设备、用户的增加，则会在很大程度上加大管理的难度。 3. 基于路由的VLAN 路由协议工作在七层协议的第三层：网络层，即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。 4. 基于策略的VLAN 基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。 就目前来说，对于VLAN的划分主要采用1、3两种模式，对于方案2则为辅助性的方案。90%以上的网络设计，其VLAN的划分依然基于交换机端口来完成，这种传统的VLAN进入方式其局限性和安全隐患是显而易见：1）用户终端位置的变更需要网络管理人员对交换机端口进行重新配置。2）入侵者接入任何一个端口，通过简单的扫描软件将可以获得相应VLAN的所有信息，包括IP子网信息，网关地址，用户IP/MAC信息，甚至用户安全认证信息。 3）对于访客，如果我们没有专门为其预留端口，其接入将会给我们网络带来安全隐患；如果专门为其预留网络端口，在网络的什么位置预留，预留端口数量也将是困扰网络管理员的重要问题；同时，端口的预留也是对网络资源的一种浪费。以Alcatel OmniSwitch为例，以其策略VLAN为基础来进一步分析网络的接入安全控制。Alcatel的策略VLAN: Alcatel策略VLAN打破了这种以固定端口划分VLAN的传统模式，将每一个VLAN赋予一定的策略，用户终端最终进入哪一个VLAN与其接入的交换机端口无直接联系，而与终端 的特性是否与VLAN策略的匹配相关；Alcatel策略VLAN实现了用户终端真正的即插即用，同时为用户、终端提供安全的数据隔离。Alcatel的VLAN策略包括： IP子网策略 MAC地址策略 IP/IPX协议策略 IP/MAC绑定策略 IP/MAC/PORT绑定策略 用户认证策略 802.1X认证 MAC认证 WEB认证 DHCP策略 举例所示： 交换机中VLAN10,11,13分别通过不同的策略进行定义 当PC A接入交换机时，交换机将对PC A的MAC, IP,等特性进行自动检测，根据检测的结果将PC A的MAC放入匹配策略的VLAN，VLAN的定义与交换机的端口无关，当PC A移动到另一个端口时，由于PC A本身的 属性并为发生改变，PC A依然自动进入相同的VLAN。 当外来PC接入网络时，由于无法匹配任何VLAN策略，入侵者将无法进入工作（有效）VLAN，被交换机有效地隔离。我们称入侵者目前所在的VLAN为隔离VLAN，重要的是，由于隔离VLAN是一个单独封闭的区域，使得入侵者即使使用网络扫描软件也无法得到位于工作（有效）VLAN用户的任何信息。 总结： Alcatel 策略VLAN解决了以下两个问题： 用户移动性：用户进入相应VLAN与接入端口无关，真正实现移动接入； 安全接入：对于非法用户，无论从交换机的哪一个端口接入都将被屏蔽在工作（有效）VLAN之外。 下面我们从接入安全的角度来介绍一下常用的各种策略VLAN的适用场合： IP子网策略：由于我们在网络设计时通常将不同的业务部门划分到不同的VLAN，同时将VLAN对应不同的IP子网；因此，IP子网策略适用于对安全需求不高，对移动性和简易管理需求较高的的网络设计中。通常采用以下一条命令就完成了一个IP子网策略VLAN的设定：vlan 10 ip 192.168.10.0 255.255.255.0；当用户终端的IP地址设为192.168.10.x时，该终端将自动进入VLAN 10. 安全性：进入IP子网VLAN的先决条件是必须知道交换机中定义了哪些IP子网（通过网络扫描是无法得到的，参看上面对隔离VLAN的介绍） MAC地址策略：MAC地址策略需要我们事先将归属该VLAN的终端MAC地址配置到交换机上（MAC地址可以通过交换机自动学到），只有符合我们预设的MAC地址的终端才可以进入该VLAN。MAC地址VLAN相比IP子网VLAN安全性要高，但配置工作量相对较大；策略适用于对安全和移动性需求较高的网络设计中。MAC地址VLAN通常采用以下命令就完成设定：vlan 11 mac 01:01:01:02:02:02；当用户终端的MAC地址设为01:01:01:02:02:02时，该终端将自动进入VLAN 11. 安全性：进入MAC子网VLAN的先决条件是必须知道交换机中是否定义的MAC VLAN策略，同时需知道至少一个已定义的MAC地址。（通过网络扫描是无法得到的，参看上面对隔离VLAN的介绍） IP/MAC绑定策略：IP/MAC绑定策略需要我们事先将归属该VLAN的终端IP/MAC配置到交换机上（IP/MAC可以通过交换机自动学到），只有符合我们预设的IP/MAC地址的终端才可以进入该VLAN。IP/MAC绑定地址VLAN相比MAC VLAN安全性更高，适用于对安全和移动性需求非常高且VLAN用户较少的网络设计中。IP/MAC绑定VLAN的另一个作用是禁止符合策略的用户对IP或MAC进行改动，IP/MAC的改动将失去VLAN策略的匹配，该终端从而被放入隔离VLAN。IP/MAC绑定VLAN通常采用以下命令完成设定：vlan 11 binding mac-ip 00:00:39:59:0a:0c 21.0.0.10；当用户终端的IP地址设为21.0.0.10，MAC为00:00:39:59:0a:0c 时，该终端将自动进入VLAN 11. 安全性：进入IP/MAC子网VLAN的先决条件是必须知道交换机中是否定义了IP/MAC VLAN策略，同时需知道至少一个已定义的IP/MAC地址。（通过网络扫描是无法得到的，参看上面对隔离VLAN的介绍） 用户认证策略：用户认证VLAN与上述策略VLAN的最大不同是检测终端使用者的合法性而非终端本身的合法性，更适用于多人共用终端的场合。我们为终端用户提供合法账号，不同的账号对应不同的VLAN或决定交换机端口的开、闭（802.1x），终端进入哪一个VLAN由用户账号决定。由于是对用户的认证，所以该策略的实施必须引入用户认证服务器来完成相应的认证、授权工作，相对增加了网络管理的复杂度。 安全性：进入用户认证VLAN的先决条件是必须获得合法的用户账号（当采用认证服务器回指VLAN属性的方式时，由于用户在认证过程中的通信是在隔离VLAN中完成的，只有认证通过后才会进入工作VLAN；因此，认证的加密就非常有必要） DHCP策略：DHCP是终端自动获得IP地址的协议，对于访客非常方便。通过对VLAN定义DHCP，使得访客自动获得IP地址并进入相应的访客VLAN。通常采用以下命令完成一个DHCP策略VLAN的设定：vlan 10 dhcp port 3/1-24；当用户终端的IP地址设为自动获得时时，该终端将自动进入VLAN 10并获得相应的IP地址。 安全性：无特殊安全性，便于访客的灵活接入同时与保障企业内网的安全隔离。 Alcatel基于策略VLAN的安全接入解决方案: 对于一个企业，拥有众多的部门，包括工程、销售、财务、领导以及访客等，我们在作网络规划设计时根据不同部门对网络安全的要求不同，予以不同的VLAN策略，使整个网络在安全、灵活、易用和易管理几个方面达到最大的统一。下面就一个典型案例进行具体分析、设计。 在这个案例中我们将用户按安全级别分为4类： 安全级别高、且端口固定：如财务部 安全级别高、且有移动要求：如领导 安全级别一般、且有移动要求：业务部门，如工程、销售 安全级别低、访问受限制：如访客和临时部门MUX VLAN 定义：MUX VLAN是一种包含上行端口和业务虚端口的VLAN。一个MUX VLAN可包含多个上行端口，但只包含一个业务虚端口。不同MUX VLAN间的业务流相互隔离。原理：MUX VLAN分为Principal VLAN和Subordinate VLAN，Subordinate VLAN又分为Separate VLAN和Group VLAN，MUX VLAN与接入用户存在一对一的映射关系，因此可根据VLAN区分不同的接入用户。例如，当需要用VLAN区分用户时，可以使用MUX VLAN。作用：MUX VLAN（Multiplex vlan ）提供了一种在VLAN内的端口间进行二层流量隔离的机制。需求：在企业网络中，企业员工和企业客户可以访问企业的服务器。对于企业来说，希望企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间可以互相交流，而企业客户之间是隔离的。应用场景：如图所示，根据MUX VLAN特性，企业可以用Principal PORT连接企业服务器，Separate PORT连接企业客户，Group PORT连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器，而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。我司应对：这是华为和H3C的私有协议，可以通过acl或保护口来替代uRPFuRPF是一种单播逆向路由查找技术，用来预防伪造源地址攻击的手段。之所以称为逆向，是针对正常的路由查找而言的。一般情况下路由器接收到报文，获取报文的目的地址，针对目的地址查找路由。如果找到了进行正常的转发，否则丢弃该报文。urpf通过获取报文的源地址和入接口，以源地址为目的地址，在转发表中查找源地址对应的接口是否与入接口匹配。如果不匹配认为源地址是伪装的，丢弃该报文。通过这种方式urpf就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。在s1 上伪造源地址为2.2.2.1 的报文向服务器s2 发起请求，s2 响应请求时将向真正的“2.2.2.1”即s3 发送报文。这种非法报文对s2 和s3 都造成了攻击。攻击者使用随机改变源地址的方法发起攻击。在本例子中，源地址使用一些保留的非全局的ip 地址，因此不可达。其实即使是一个合法的ip 地址，只要是不可达的也可以用来发起攻击。另一种情况：攻击者可以伪造一个源地址，该地址是另一个合法网络的地址并且在全局路由表中存在。例如，攻击者伪造一个源地址使得被攻击者认为攻击来自于伪造的源地址，但实际上该源地址是完全无辜的，并且有时候网络管理员会因此而关闭所有来自源地址的数据流，这样正好使得攻击者的拒绝服务攻击成功实现。更复杂的情形是tcp syn 洪泛攻击将使得syn-ack数据包发送到完全与攻击无关的许多主机，而这些主机就成了牺牲者。这使得攻击者可以同时去欺骗一个或者多个系统。同样也可以采用udp 和icmp 洪泛攻击。所有这些攻击都会严重的降低系统性能，甚至使得系统崩溃。urpf 就是为了防范这种攻击而使用的一种技术。可控组播IPTV CACIPTV中的BTV（电视直播）业务，是非常适合利用组播技术来进行传输的，因为对于观看同一频道的大量用户来说在同一时间收看的是同一内容。媒体服务器仅发送一份该直播电视频道的报文，网络在用户的分支点才进行复制，在分支点以上的网络只需传送一个数据流，大大减轻了网络的带宽及服务器资源。 如何将各个频道名翻译为网络设备、服务器能够识别和区分的语言，就需要为不同的频道名分配唯一的组播地址。比如为CCTV5分配225.0.0.5的组播地址。用户在选择观看CCTV5频道的时候，实际上是一个加入225.0.0.5组播组。可控组播是华为公司提出的一整套可运营、可管理的组播技术解决方案。可控组播主要解决在IPTV宽带运营网络上提供对组播用户、组播源、组播组的控制，完备的、可扩展的计费手段和对组播网络的监控、管理手段。 可控组播的实现机制是用户在营业厅开户定购直播频道节目，其信息记录到SMS业务管理系统，SMS系统通过标准的TL1接口将用户的信息通知到网管NMS系统，NMS系统通过SNMP协议将对于用户的控制信息发送到组播控制点（BRAS/DSLAM/L2）等网络上，组播控制点根据该信息实现组播权限转发，仅向IPTV合法用户转发组播报文。DLDP 光纤错接和链路单通可