華為中低端交換機(jī)控標(biāo)主要技術(shù)點(diǎn)解析-20150325

交換路由競(jìng)爭(zhēng)，常用技術(shù)目錄背板帶寬和包轉(zhuǎn)發(fā)率 2OAM的定義 2SFP+和XFP接口區(qū)別 4MFF 4SmartLink 4RRPP 6G.8032ERPS和SEP等環(huán)網(wǎng)技術(shù) 6VCT(VirtualCableTest) 7Netstream和Sflow、IPFIX 8IEEE802.3az的概念-EEE 10黑洞MAC 10策略vlan 10uRPF 13可控組播IPTVCAC 14DLDP 14NQA 15APSD 15Jumbo巨型幀作用 16背板帶寬和包轉(zhuǎn)發(fā)率完全無阻塞交換條件：所有端口容量X端口數(shù)量之和的2倍應(yīng)該小于背板帶寬可實(shí)現(xiàn)全雙工無阻塞交換證明交換機(jī)具有發(fā)揮最大數(shù)據(jù)交換性能的條件。

滿配置吞吐量(Mpps)=滿配置GE端口數(shù)×1.488Mpps(其中1個(gè)千兆端口在包長為64字

節(jié)時(shí)的理論吞吐量為1.488Mpps,pps是每秒64字節(jié)包的個(gè)數(shù)，如果包長更長，同樣1個(gè)千兆口，那么PPS還不到1.488Mpps)。例如一臺(tái)最多可以提供64個(gè)千兆端口的交換機(jī)，其滿配置吞吐量應(yīng)達(dá)到64×1.488Mpps=95.2Mpps，才能夠確保在所有端口均線速工作時(shí)，提供無阻塞的包交換。如果一臺(tái)交換機(jī)最多能夠提供176個(gè)千兆端口而宣稱的吞吐量為不到261.8Mpps(176x1.488Mpps=261.8)，那么用戶有理由認(rèn)為該交換機(jī)采用的是有阻塞的結(jié)構(gòu)設(shè)計(jì)。一般是兩者都滿足的交換機(jī)才是合格的交換機(jī)。

比如Cisco2950G-48

背板＝2×1000×2+48×100×2(Mbps)＝13.6(Gbps)

相當(dāng)于13.6/2=6.8個(gè)千兆口

包轉(zhuǎn)發(fā)率/吞吐量=6.8×1.488=10.1184Mpps

Cisco4506

背板64G

滿配置千兆口

4306×5+2（引擎）＝32

包轉(zhuǎn)發(fā)率/吞吐量＝32×1.488=47.616Mpps

一般是兩者都滿足的交換機(jī)才是合格的交換機(jī)。我司應(yīng)對(duì)：對(duì)虛高不合理的參數(shù)，可以提出質(zhì)疑。對(duì)于交換機(jī)包轉(zhuǎn)發(fā)率，24口千兆交換機(jī)，華為目前算法，1.5MPPS*24*1.5(冗余)=54MPPSOAM的定義

OAM(Operations,Administration,andMaintenance)即操作、管理和維護(hù)。該機(jī)制在傳統(tǒng)電信網(wǎng)中已應(yīng)用很久了，主要是通過故障檢測(cè)、告警、定位和隔離等手段提高網(wǎng)絡(luò)的運(yùn)維水平。目前，各標(biāo)準(zhǔn)化組織正在完成和已經(jīng)完成的以太網(wǎng)OAM相關(guān)標(biāo)準(zhǔn)有：IEEE802.3-2005第57章（原IEEE802.3ah第57章）城域以太網(wǎng)論壇制定的E-LMI（EthernetLocalManagementInterface）ConnectivityFaultManagement(CFM)即IEEE802.1agITU-T和城域以太網(wǎng)論壇制定的Y.1731，可兼容802.1ag一，OAM的用途連通檢測(cè)：即檢測(cè)鏈路是否能正常傳輸報(bào)文，一般各種OAM協(xié)議都采用周期性發(fā)送特定報(bào)文的方式完成，當(dāng)一定數(shù)量的報(bào)文丟失，便判斷為鏈路不可用。例如：在802.3OAM中，每秒發(fā)送一個(gè)Information報(bào)文，當(dāng)連續(xù)5個(gè)報(bào)文丟失時(shí)，認(rèn)為鏈路斷開；在802.1ag中，周期性地（周期可配置）發(fā)送CCM報(bào)文，連續(xù)3個(gè)報(bào)文丟失則認(rèn)為對(duì)方已不可達(dá)；在MPLSOAM中，則周期性地發(fā)送CV報(bào)文和FFD報(bào)文。環(huán)回：主要目的是檢測(cè)鏈路的雙向連通性。方法是將報(bào)文發(fā)送到目標(biāo)實(shí)體，并由目標(biāo)實(shí)體應(yīng)答報(bào)文，發(fā)送者根據(jù)返回報(bào)文的情況判斷連通性。在發(fā)送和返回的報(bào)文中可以攜帶各種信息。例如：IP協(xié)議中的ping；802.3OAM中的遠(yuǎn)端環(huán)回；802.1ag中的loopback；MPLSOAM中的LSPPing。鏈路跟蹤：方法是將報(bào)文發(fā)送到目標(biāo)實(shí)體，處于發(fā)送路徑上、能識(shí)別該報(bào)文的設(shè)備向源實(shí)體4）FLUSH報(bào)文類似于STP協(xié)議中的TC報(bào)文，為了能夠使網(wǎng)絡(luò)中的設(shè)備及時(shí)感知網(wǎng)絡(luò)拓?fù)渥兓琒MART-LINK發(fā)送一個(gè)FLUSH報(bào)文通知其他設(shè)備進(jìn)行地址刷新。但是，由于該技術(shù)為私有技術(shù)，目前只限于華為和H3C等少部分廠商的一些設(shè)備能夠識(shí)別該報(bào)文。對(duì)于不識(shí)別FLUSH報(bào)文的設(shè)備，只能通過流量觸發(fā)MAC地址的更新。我司應(yīng)對(duì)：SMARTLINK為私有協(xié)議，此技術(shù)效果，我司有相應(yīng)業(yè)內(nèi)標(biāo)準(zhǔn)對(duì)應(yīng)支持，例如LACP/RRPPRRPP(RapidRingProtectionProtocol)是一個(gè)專門應(yīng)用于以太網(wǎng)環(huán)的二層協(xié)議，由EAPS協(xié)議（EthernetAutomatiProtectSwitching，rfc3619）發(fā)展而來，由華為3Com開發(fā)的私有協(xié)議（是針對(duì)STP的缺陷推出的技術(shù)）。RSTP/MSTP應(yīng)用比較成熟，但收斂時(shí)間在秒級(jí)。RRPP是一個(gè)專門應(yīng)用于以太網(wǎng)環(huán)的鏈路層協(xié)議。它在以太網(wǎng)環(huán)完整時(shí)能夠防止數(shù)據(jù)環(huán)路引起的廣播風(fēng)暴，而當(dāng)以太網(wǎng)環(huán)上一條鏈路斷開時(shí)能迅速啟用備份鏈路以保證環(huán)網(wǎng)的最大連通性。與STP協(xié)議相比，RRPP協(xié)議有如下優(yōu)點(diǎn)：拓?fù)涫諗克俣瓤欤ǖ陀?0ms）收斂時(shí)間與環(huán)網(wǎng)上節(jié)點(diǎn)數(shù)無關(guān)（不受網(wǎng)絡(luò)規(guī)模影響）RRPP技術(shù)不足點(diǎn)是：不能和xSTP網(wǎng)絡(luò)兼容組網(wǎng)。

RRPP多實(shí)例在RRPP組網(wǎng)中，一個(gè)環(huán)上只能有一個(gè)主節(jié)點(diǎn)。當(dāng)主節(jié)點(diǎn)處于Complete狀態(tài)時(shí)，被阻塞的副端口會(huì)阻止所有用戶報(bào)文通過。這樣，所有用戶報(bào)文在RRPP環(huán)上通過一條路徑傳輸。主節(jié)點(diǎn)副端口側(cè)的鏈路空閑，造成帶寬浪費(fèi)。RRPP多實(shí)例基于域?qū)崿F(xiàn)。在一個(gè)域中，所有端口、節(jié)點(diǎn)角色、拓?fù)涠甲裱镜腞RPP原則。與RRPP不同的是，RRPP多實(shí)例在一個(gè)RRPP環(huán)上可以存在多個(gè)域。一個(gè)域內(nèi)可以包含一個(gè)或多個(gè)實(shí)例，每個(gè)實(shí)例代表一個(gè)VLAN范圍。這些包含在域中的VLAN，稱為RRPP域的保護(hù)VLAN。保護(hù)VLAN包括屬于該域的數(shù)據(jù)VLAN、主環(huán)控制VLAN和子環(huán)控制VLAN。在RRPP多實(shí)例組網(wǎng)中，在同一個(gè)環(huán)路上存在多個(gè)主節(jié)點(diǎn)。根據(jù)主節(jié)點(diǎn)的SecondaryPort阻塞屬性即可實(shí)現(xiàn)業(yè)務(wù)流量的負(fù)載分擔(dān)和鏈路備份。我司應(yīng)對(duì)：目前，解決二層網(wǎng)絡(luò)環(huán)路問題的技術(shù)有RSTP/MSTP和ERPS等多種標(biāo)準(zhǔn)協(xié)議，我司都支持G.8032ERPS和SEP等環(huán)網(wǎng)技術(shù)ERPS（EthernetRingProtectionSwitching）：以太網(wǎng)多環(huán)保護(hù)技術(shù)，是業(yè)內(nèi)標(biāo)準(zhǔn)。在2008年12月舉行的ITU-TSG15的全會(huì)上，要對(duì)以太網(wǎng)環(huán)網(wǎng)保護(hù)標(biāo)準(zhǔn)G.8032的V1版本的修訂版（Amendment1)進(jìn)行討論和表決，這個(gè)修訂版主要增加以太網(wǎng)多環(huán)的保護(hù)方案。多環(huán)保護(hù)模型是G.8032標(biāo)準(zhǔn)中多環(huán)保護(hù)的技術(shù)核心，在實(shí)際網(wǎng)絡(luò)中有較大的應(yīng)用價(jià)值，技術(shù)實(shí)現(xiàn)難度大，也是各個(gè)廠商技術(shù)競(jìng)爭(zhēng)的熱點(diǎn)。會(huì)上，中興通訊、諾基亞西門子、阿爾卡特朗訊、華為等主流設(shè)備廠商針對(duì)多環(huán)保護(hù)模型展開了激烈的技術(shù)辯論，最終中興通訊提出的“Sub-ring子環(huán)劃分模型”脫穎而出，被大會(huì)采納。ITU-TG.8032多環(huán)標(biāo)準(zhǔn)的發(fā)布，標(biāo)志著以太環(huán)網(wǎng)保護(hù)技術(shù)ERPS真正具備了成熟商用的條件，各廠家基于標(biāo)準(zhǔn)的互通也成為可能。已經(jīng)成為ITU-TG.8032國際標(biāo)準(zhǔn)，與2008年12月修訂完成并表決通過。ITU-TG.8032ERPS以太環(huán)網(wǎng)標(biāo)準(zhǔn)吸取了EAPS、RPR、SDH、STP等眾多環(huán)網(wǎng)保護(hù)技術(shù)的優(yōu)點(diǎn)，優(yōu)化了檢測(cè)機(jī)制，可以檢測(cè)雙向故障，支持多環(huán)、多域的結(jié)構(gòu)，在實(shí)現(xiàn)50ms倒換的同時(shí)，支持主備、負(fù)荷分擔(dān)多種工作方式，成為了以太環(huán)網(wǎng)技術(shù)最新的成熟標(biāo)準(zhǔn)。智能以太保護(hù)SEP(SmartEthernetProtection)技術(shù)華為公司于2010年推出了SEP協(xié)議，華為以太環(huán)網(wǎng)技術(shù)SEP技術(shù)，比RRPPRPR適應(yīng)性更強(qiáng)，支持拓?fù)涓鼜V泛，可和STP融合使用的以太網(wǎng)環(huán)網(wǎng)技術(shù)。SEP是一種專用于以太網(wǎng)鏈路層的環(huán)路保護(hù)機(jī)制，它通過有選擇性地阻塞網(wǎng)絡(luò)環(huán)路冗余鏈路，來達(dá)到消除網(wǎng)絡(luò)二層環(huán)路的目的，有效防止形成網(wǎng)絡(luò)風(fēng)暴。SEP協(xié)議的收斂性能和RRPP協(xié)議相當(dāng)，在IEEE802.1中的位置和STP相同。SEP協(xié)議支持半環(huán)和全環(huán)兩種基本拓?fù)?，保證其基本拓?fù)湓谌魏螘r(shí)刻都有一個(gè)斷點(diǎn)。SEP是華為的私有協(xié)議，不能和其他公司設(shè)備直接對(duì)接SEP技術(shù)優(yōu)勢(shì)SEP以網(wǎng)絡(luò)段為單位。在SEP段完好的情況下，一個(gè)SEP段阻塞一個(gè)端口，從而避免了環(huán)路產(chǎn)生。當(dāng)環(huán)網(wǎng)發(fā)生鏈路故障時(shí)，可以迅速地放開阻塞端口，進(jìn)行鏈路倒換，恢復(fù)環(huán)網(wǎng)上各節(jié)點(diǎn)通信通路。SEP組網(wǎng)協(xié)議簡單，是通過軟件來實(shí)現(xiàn)的，無需專門的硬件即可支持SEP，不會(huì)額外增加客戶投資。SEP能和現(xiàn)網(wǎng)xSTP兼容組網(wǎng)，很好保護(hù)現(xiàn)網(wǎng)投資。SEP技術(shù)能給客戶帶來其他更多應(yīng)用價(jià)值：SEP收斂時(shí)間遠(yuǎn)小于xSTP，并且和網(wǎng)絡(luò)規(guī)模無關(guān)，最快達(dá)到50ms，很好支撐語音和視頻業(yè)務(wù)保護(hù)倒換。SEP組網(wǎng)靈活，既支持封閉環(huán)，也支持開放環(huán)。SEP可以支持更復(fù)雜的多環(huán)組網(wǎng)拓?fù)?，環(huán)換任意相連，各環(huán)獨(dú)立存在，增加子環(huán)非常方便。在SEP網(wǎng)段上，在任意節(jié)點(diǎn)都可以查看該網(wǎng)段拓?fù)湫畔?，方便狀態(tài)查看和維護(hù)。根據(jù)流量狀態(tài)，靈活修改指定斷點(diǎn)來優(yōu)化網(wǎng)絡(luò)流量，達(dá)到網(wǎng)段兩邊的流量均衡;其他環(huán)網(wǎng)技術(shù)不能做到靈活指定斷點(diǎn)，很難做到斷點(diǎn)兩邊流量均衡。VCT(VirtualCableTest)虛擬電纜檢測(cè)功能VCT,是利用TDR(TimeDomainReflectometry-時(shí)域反射測(cè)試)來檢測(cè)網(wǎng)絡(luò)線纜的物理狀態(tài)。TDR檢測(cè)原理類似于雷達(dá)，它工作方式是通過主動(dòng)向?qū)Ь€發(fā)射一個(gè)脈沖信號(hào)并檢測(cè)所發(fā)送的脈沖信號(hào)的反射結(jié)果來檢測(cè)電纜故障。當(dāng)發(fā)送的脈沖信號(hào)通過電纜的末端或電纜的故障點(diǎn)時(shí)，就會(huì)引起部分或全部的脈沖能量被反射回來到達(dá)原來的發(fā)送源，VCT技術(shù)根據(jù)測(cè)量脈沖信號(hào)在導(dǎo)線中的傳輸獲得信號(hào)到達(dá)故障點(diǎn)或返回的時(shí)間，然后根據(jù)公式將相應(yīng)時(shí)間換算為距離值。通過VCT可以檢測(cè)電纜狀態(tài)、故障距離是否極性交換、插入信號(hào)衰減、返回信號(hào)衰減等。用戶可以使能VCT特性對(duì)以太網(wǎng)電口連接電纜進(jìn)行檢測(cè)，開啟系統(tǒng)對(duì)以太網(wǎng)電口連接電纜的檢測(cè)功能。檢測(cè)內(nèi)容包括電纜的接收方向和發(fā)送方向是否存在短路、開路現(xiàn)象，同時(shí)可以檢測(cè)出故障線纜的位置。使用VCT可以檢測(cè)到一下幾種線纜狀態(tài)故障：SHORT：表示短路，即2根或更多的導(dǎo)線短接在一起。OPEN：表示開路，表示網(wǎng)線中可能有線斷掉了。NORMAL：表示網(wǎng)線連接正常。NOTUSED：網(wǎng)線沒有使用。IMMIS：表示阻抗不匹配，因?yàn)?類線的阻抗為100歐，為了防止波形反射和數(shù)據(jù)錯(cuò)誤，線纜兩端的終止器阻抗也必需是100歐。ERRORLOCATE說明問題點(diǎn)距離交換機(jī)端口的大概距離，單位是米，誤差大約是2米。如果狀態(tài)是NORMAL，那么該值為0。PHYTYPE表明使用的是10M/100M/1000M三種物理接口中的哪一種。我司應(yīng)對(duì)：VCT技術(shù)效果，我司交換機(jī)有鏈路檢測(cè)功能（line-detect），等同于此效果SNMP和RMON大部分網(wǎng)管系統(tǒng)還只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如MRTG，利用SNMP協(xié)議對(duì)網(wǎng)絡(luò)的重點(diǎn)鏈路和互聯(lián)點(diǎn)進(jìn)行簡單的端口級(jí)流量監(jiān)視和統(tǒng)計(jì)；或采用在網(wǎng)絡(luò)中部分重點(diǎn)POP點(diǎn)加裝RMON探針的方式，利用RMONI/II協(xié)議對(duì)網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量和上層業(yè)務(wù)流量的監(jiān)視和采集。上述兩種被普遍采用的網(wǎng)絡(luò)流量分析系統(tǒng)都有其顯著的技術(shù)局限性。利用SNMP協(xié)議能夠?qū)Ρ槐O(jiān)視的各個(gè)網(wǎng)絡(luò)端口進(jìn)出的數(shù)據(jù)包數(shù)和字節(jié)數(shù)進(jìn)行采集，但采集到的流量信息較為粗糙，不但包括網(wǎng)絡(luò)層的客戶業(yè)務(wù)流量信息，還包括鏈路層的數(shù)據(jù)幀包頭，Hello數(shù)據(jù)包，出錯(cuò)后重新傳送的數(shù)據(jù)包等流量信息。而且SNMP協(xié)議還無法區(qū)分網(wǎng)絡(luò)層數(shù)據(jù)流量中各種不同類型客戶業(yè)務(wù)在總流量中的分布狀況，也無法對(duì)進(jìn)出的流量進(jìn)行流向分析。

利用RMON協(xié)議對(duì)運(yùn)營商網(wǎng)絡(luò)進(jìn)行流量和流向管理可以部分彌補(bǔ)SNMP協(xié)議的技術(shù)局限性，如可以對(duì)業(yè)務(wù)流量進(jìn)行統(tǒng)計(jì)，但同時(shí)也暴露出新的技術(shù)局限性。首先，由于RMON協(xié)議需要對(duì)網(wǎng)絡(luò)上傳送的每個(gè)數(shù)據(jù)幀進(jìn)行采集和分析，會(huì)耗用大量的CPU資源因而不可能由網(wǎng)絡(luò)設(shè)備本身實(shí)現(xiàn)，需要額外購買和安裝內(nèi)置式或外置式的RMON探針。市場(chǎng)上現(xiàn)有的RMON探針處理能力也有限制，還不能支持監(jiān)控端口速率超過1Gbps的網(wǎng)絡(luò)端口。其次，因?yàn)镽MON探針為的硬件設(shè)備，價(jià)格較貴，所以不可能為每臺(tái)網(wǎng)絡(luò)設(shè)備都配備，且由于RMON探針，特別是內(nèi)置式RMON探針接入網(wǎng)絡(luò)后不易變更，所以必然會(huì)造成出現(xiàn)異常事件時(shí)無法及時(shí)對(duì)特定的網(wǎng)絡(luò)鏈路進(jìn)行監(jiān)控。最后，由于RMON探針采集到的管理數(shù)據(jù)是由分析每個(gè)數(shù)據(jù)包后得到的，數(shù)據(jù)量非常大且分散，協(xié)議缺乏內(nèi)建的數(shù)據(jù)匯總機(jī)制，而且還不包括每個(gè)數(shù)據(jù)包的BGPAS號(hào)或路由NextHop信息，所以不易對(duì)數(shù)據(jù)進(jìn)行高層次的流向分析。這些因素都會(huì)阻礙利用RMON協(xié)議對(duì)大型網(wǎng)絡(luò)進(jìn)行流量和流向分析的有效性。Netstream和Sflow、IPFIXnetstream是網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控技術(shù)的一種（屬于華為公司的私有協(xié)議），提供報(bào)文統(tǒng)計(jì)功能，它根據(jù)報(bào)文的目的ip地址、目的端口號(hào)、源ip地址、源端口號(hào)、協(xié)議號(hào)和tos來區(qū)分流信息，并針對(duì)不同的流信息進(jìn)行獨(dú)立的數(shù)據(jù)統(tǒng)計(jì)。netstream數(shù)據(jù)采集和分析過程如下：(1)交換機(jī)把采集到的流的詳細(xì)信息定期發(fā)送給nsc（netstreamcollector，網(wǎng)絡(luò)流數(shù)據(jù)收集器）；(2)信息由nsc初步處理后，發(fā)送給nda（netstreamdataanalyzer，網(wǎng)絡(luò)流數(shù)據(jù)分析器）；(3)nda對(duì)數(shù)據(jù)進(jìn)行分析，分析結(jié)果用于計(jì)費(fèi)和網(wǎng)絡(luò)規(guī)劃等。一個(gè)典型的NetStream系統(tǒng)由NDE、NSC和NDA三部分組成：1、NDE(NetStreamDataExporter，網(wǎng)絡(luò)流量采樣)。NDE負(fù)責(zé)對(duì)網(wǎng)絡(luò)流進(jìn)行采集和發(fā)送，提取符合條件的流進(jìn)行統(tǒng)計(jì)，并將統(tǒng)計(jì)信息輸出給NSC設(shè)備。輸出前也可對(duì)數(shù)據(jù)進(jìn)行一些處理，比如聚合。配置了NetStream功能的設(shè)備在NetStream系統(tǒng)中擔(dān)當(dāng)NDE角色。2、NSC(NetStreamCollector，網(wǎng)絡(luò)流量采集)。NSC通常為運(yùn)行于Unix或者Windows上的一個(gè)應(yīng)用程序，負(fù)責(zé)手機(jī)和存儲(chǔ)來自NDE的報(bào)文，把統(tǒng)計(jì)數(shù)據(jù)收集到數(shù)據(jù)庫中，可供NDA進(jìn)行解析。NSC可以采集多個(gè)NDE設(shè)備輸出的數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行進(jìn)一步的過濾和聚合。(3)NDA(NetStreamDataAnalyzer，網(wǎng)絡(luò)流量分析)。NDA是一個(gè)網(wǎng)絡(luò)流量分析工具，它從數(shù)據(jù)庫中提取統(tǒng)計(jì)數(shù)據(jù)，進(jìn)行進(jìn)一步的加工處理，生成報(bào)表，為各種業(yè)務(wù)提供依據(jù)(比如流量計(jì)費(fèi)、網(wǎng)絡(luò)規(guī)劃，攻擊監(jiān)測(cè))。通常，NDA具有圖形化用戶界面，使用戶可以方便地獲取、顯示和分析收集到的數(shù)據(jù)。Netflow網(wǎng)絡(luò)流量分析協(xié)議NetFlow為Cisco之專屬協(xié)議（Netflow技術(shù)最早是于1996年由思科公司的DarrenKerr和BarryBruins發(fā)明的，并于同年5月注冊(cè)為美國專利，專利號(hào)為6,243,667），提供IP中第三層之信息，可用來了解網(wǎng)絡(luò)設(shè)備所傳輸之封包表頭內(nèi)容，依據(jù)此內(nèi)容將所獲得之資料加以統(tǒng)計(jì)，便可為網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)使用量計(jì)價(jià)、網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)監(jiān)測(cè)等應(yīng)用提供計(jì)數(shù)根據(jù)。同時(shí)，NetFlow也提供針對(duì)QoS(QualityofService)的測(cè)量基準(zhǔn)，能夠捕捉到每筆數(shù)據(jù)流的流量分類或優(yōu)先性特性，而能夠進(jìn)一步根據(jù)QoS進(jìn)行分級(jí)收費(fèi)。Netflow支持同時(shí)向兩個(gè)管理服務(wù)器地址輸出采集到的網(wǎng)絡(luò)流量和流向統(tǒng)計(jì)信息，輸出數(shù)據(jù)的方式有三種：

簡單高效UDP傳輸協(xié)議方式（傳統(tǒng)方式）。但由于采用了UDP協(xié)議，數(shù)據(jù)傳輸?shù)目煽啃允遣槐ＷC的。

SNMPMIB方式。管理服務(wù)器可以通過SNMP協(xié)議訪問網(wǎng)絡(luò)設(shè)備NetflowMIB庫中存儲(chǔ)的數(shù)據(jù)流TopN統(tǒng)計(jì)結(jié)果。

可靠的SCTP傳輸協(xié)議方式。利用SCTP傳輸協(xié)議，支持擁塞識(shí)別，重傳和排隊(duì)機(jī)制，確保Netflow統(tǒng)計(jì)結(jié)果數(shù)據(jù)正確發(fā)送給上層管理服務(wù)器。NetflowV9的優(yōu)勢(shì)：rfc3954總共定義了65個(gè)數(shù)據(jù)流信息的屬性類型，而Cisco在此之上將屬性類型擴(kuò)展到82個(gè)，后續(xù)還能進(jìn)行擴(kuò)展。這表明NetflowV9能夠根據(jù)技術(shù)的發(fā)展對(duì)未來數(shù)據(jù)局流實(shí)現(xiàn)更加細(xì)致的統(tǒng)計(jì)和分析。無論是針對(duì)Netflow本身的配置還是針對(duì)流量統(tǒng)計(jì)的配置，均以模板的方式實(shí)現(xiàn)，可以通過對(duì)模板的各個(gè)records進(jìn)行調(diào)整來適應(yīng)具體的網(wǎng)絡(luò)環(huán)境和監(jiān)控需求，具有高度的靈活性。數(shù)據(jù)流的統(tǒng)計(jì)通過模板和data記錄來實(shí)現(xiàn)，這使得每一次擴(kuò)展升級(jí)對(duì)exporter和collector的影響非常小，只需要更新相應(yīng)的模板就可以了，不需要每次都對(duì)設(shè)備硬件進(jìn)行升級(jí)。NetflowV9的不足：開放性不夠：Cisco的Netflowv9雖然提交了相關(guān)RFC，但是在RFC主要介紹了v9的數(shù)據(jù)包格式和一些關(guān)鍵概念的定義說明。對(duì)數(shù)據(jù)流的檢測(cè)、輸出、分類等并未進(jìn)行較細(xì)致的規(guī)定（根本未提及），這些內(nèi)容Cisco內(nèi)部有機(jī)制，但是未公開安全性不夠：Netflowv9的設(shè)計(jì)初衷是將輸出器和收集器定義在一個(gè)獨(dú)立的私有的網(wǎng)絡(luò)中，但現(xiàn)在很多時(shí)候Netflowv9被用來在公共網(wǎng)絡(luò)中傳輸數(shù)據(jù)流記錄，這導(dǎo)致一定程度的安全風(fēng)險(xiǎn)。在RFC和Cisco提供的白皮書中未找到其他任何相關(guān)的機(jī)制和說明。Cisco可能通過其他獨(dú)有的上層手段來保障安全性，但是Netflowv9本身的安全完整性還是有所不足。sFlow網(wǎng)絡(luò)流量分析協(xié)議sFlow是一種基于標(biāo)準(zhǔn)的最新網(wǎng)絡(luò)導(dǎo)出協(xié)議(RFC3176)，能夠解決當(dāng)前網(wǎng)絡(luò)管理人員面臨的很多問題。通過將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī)的ASIC芯片中，sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)。與使用鏡像端口、探針和旁路監(jiān)測(cè)技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠大大降低實(shí)施費(fèi)用，采用它可實(shí)現(xiàn)面向每一個(gè)端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案。IPFIX網(wǎng)絡(luò)流量分析協(xié)議IPFIX是ietf基于Netflowv9而開發(fā)的最新的數(shù)據(jù)流輸出標(biāo)準(zhǔn)。IPFIX不但繼承了Netflowv9基于模板的流信息輸出格式，而且在此基礎(chǔ)上對(duì)數(shù)據(jù)流輸出的典型應(yīng)用進(jìn)行了輸出規(guī)范的建議，另外Netflow中未涉及到的安全性問題在IPFIX中也進(jìn)行了說明。IPFIX的優(yōu)勢(shì)：1）繼承了Netflowv9的靈活性和擴(kuò)展性；2）定義了4個(gè)組件，增加了監(jiān)測(cè)進(jìn)程（Netflow只有3個(gè)組件），將組件的功能劃分得更加細(xì)致；3）就流量監(jiān)控的功能引入了應(yīng)用相關(guān)，針對(duì)不同的應(yīng)用在監(jiān)控內(nèi)容上進(jìn)行了明確的區(qū)分；4）在RFC中對(duì)安全性和可靠性作出了明確的要求，對(duì)可能出現(xiàn)的隱患進(jìn)行了說明；5）詳細(xì)規(guī)范了輸出和監(jiān)測(cè)進(jìn)程的細(xì)節(jié)；IPFIX的不足：在對(duì)flow的描述上僅提供了30多個(gè)屬性，遠(yuǎn)低于netflowv9的85個(gè)屬性；對(duì)安全性方面的保障機(jī)制僅提出要求，需要依賴于第三方技術(shù)和協(xié)議來實(shí)現(xiàn)；對(duì)flow信息的加密技術(shù)和機(jī)制沒有任何說明，缺乏標(biāo)準(zhǔn)本身的整體完整性；常見的網(wǎng)絡(luò)流量協(xié)議包括：Flow名稱代表廠商主要版本備注NetFlowCiscoV1、V5、V7、V8、V9應(yīng)用最廣CFlowdJuniperV5、V8廠商跟進(jìn)力度不高sFlowFoundry、HP、Alcatel、NEC、Extreme等V4、V5實(shí)時(shí)性較強(qiáng)，具備突出的第二~七層信息描述能力NetStream華為、H3CV5、V8、V9與NetFlow較為類似IPFIXIETF標(biāo)準(zhǔn)規(guī)范RFC3917以NetFlowV9為藍(lán)本IEEE802.3az的概念-EEEIEEE802.3az是經(jīng)過電子電氣工程師協(xié)會(huì)(IEEE)正式批準(zhǔn)的標(biāo)準(zhǔn)節(jié)能規(guī)范，其中EEE三個(gè)字母是EnergyEfficientEthernet的縮寫，意思是高效節(jié)能以太網(wǎng)。如果硬件設(shè)備支持該標(biāo)準(zhǔn)，就可以在互聯(lián)網(wǎng)使用或者以太網(wǎng)活動(dòng)處于空閑狀態(tài)的時(shí)候降低網(wǎng)絡(luò)連接兩端的能耗，開始正常傳輸數(shù)據(jù)的時(shí)候則恢復(fù)正常供電。EEE標(biāo)準(zhǔn)為以太網(wǎng)設(shè)備規(guī)定的降低能耗方式是定義低功耗模式。一個(gè)沒有可發(fā)送幀的收發(fā)器就可以進(jìn)入低功耗模式，當(dāng)有新幀到達(dá)時(shí)，收發(fā)器會(huì)在數(shù)微秒內(nèi)返回活動(dòng)模式，從而實(shí)現(xiàn)了對(duì)協(xié)議上層幾乎透明的節(jié)能。黑洞MAC黑洞MAC地址表項(xiàng)：由用戶手工配置的一類特殊的MAC地址，當(dāng)交換機(jī)接收到源地址或目的地址為黑洞MAC地址的報(bào)文時(shí)，會(huì)將該報(bào)文丟棄,不會(huì)被轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中。

。一般在檢測(cè)到某個(gè)病毒源之后，把該P(yáng)C的mac地址配置為黑洞mac(black-mac),就可以保證網(wǎng)絡(luò)的安全了。該pc就被孤立了。意思就是你給他發(fā)的信息他收到了,但是不會(huì)轉(zhuǎn)發(fā),也不會(huì)告訴你.靠這個(gè)原理來解決環(huán)路的.華3的,思科的設(shè)備都支持這個(gè)無需手動(dòng)配置，用命令配置好，自動(dòng)檢測(cè)策略vlan當(dāng)前VLAN劃分的的主要策略1.基于端口的VLAN基于端口的VLAN的劃分是最簡單、最有效的VLAN劃分方法。該方法只需網(wǎng)絡(luò)管理員針對(duì)于網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配組合在不同的邏輯網(wǎng)段中即可。而不用考慮該端口所連接的設(shè)備是什么。2.基于MAC地址的VLANMAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是唯一的?；贛AC地址的VLAN劃分其實(shí)就是基于工作站、服務(wù)器的VLAN的組合。在網(wǎng)絡(luò)規(guī)模較小時(shí)，該方案亦不失為一個(gè)好的方法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備、用戶的增加，則會(huì)在很大程度上加大管理的難度。3.基于路由的VLAN路由協(xié)議工作在七層協(xié)議的第三層：網(wǎng)絡(luò)層，即基于IP和IPX協(xié)議的轉(zhuǎn)發(fā)。這類設(shè)備包括路由器和路由交換機(jī)。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。4.基于策略的VLAN基于策略的VLAN的劃分是一種比較有效而直接的方式。這主要取決于在VLAN的劃分中所采用的策略。就目前來說，對(duì)于VLAN的劃分主要采用1、3兩種模式，對(duì)于方案2則為輔助性的方案。90%以上的網(wǎng)絡(luò)設(shè)計(jì)，其VLAN的劃分依然基于交換機(jī)端口來完成，這種傳統(tǒng)的VLAN進(jìn)入方式其局限性和安全隱患是顯而易見：1）用戶終端位置的變更需要網(wǎng)絡(luò)管理人員對(duì)交換機(jī)端口進(jìn)行重新配置。2）入侵者接入任何一個(gè)端口，通過簡單的掃描軟件將可以獲得相應(yīng)VLAN的所有信息，包括IP子網(wǎng)信息，網(wǎng)關(guān)地址，用戶IP/MAC信息，甚至用戶安全認(rèn)證信息。3）對(duì)于訪客，如果我們沒有專門為其預(yù)留端口，其接入將會(huì)給我們網(wǎng)絡(luò)帶來安全隱患；如果專門為其預(yù)留網(wǎng)絡(luò)端口，在網(wǎng)絡(luò)的什么位置預(yù)留，預(yù)留端口數(shù)量也將是困擾網(wǎng)絡(luò)管理員的重要問題；同時(shí)，端口的預(yù)留也是對(duì)網(wǎng)絡(luò)資源的一種浪費(fèi)。以AlcatelOmniSwitch為例，以其策略VLAN為基礎(chǔ)來進(jìn)一步分析網(wǎng)絡(luò)的接入安全控制。Alcatel的策略VLAN:Alcatel策略VLAN打破了這種以固定端口劃分VLAN的傳統(tǒng)模式，將每一個(gè)VLAN賦予一定的策略，用戶終端最終進(jìn)入哪一個(gè)VLAN與其接入的交換機(jī)端口無直接聯(lián)系，而與終端的特性是否與VLAN策略的匹配相關(guān)；Alcatel策略VLAN實(shí)現(xiàn)了用戶終端真正的即插即用，同時(shí)為用戶、終端提供安全的數(shù)據(jù)隔離。Alcatel的VLAN策略包括：IP子網(wǎng)策略MAC地址策略IP/IPX協(xié)議策略IP/MAC綁定策略IP/MAC/PORT綁定策略用戶認(rèn)證策略802.1X認(rèn)證MAC認(rèn)證WEB認(rèn)證DHCP策略舉例所示：交換機(jī)中VLAN10,11,13分別通過不同的策略進(jìn)行定義當(dāng)PCA接入交換機(jī)時(shí)，交換機(jī)將對(duì)PCA的MAC,IP,等特性進(jìn)行自動(dòng)檢測(cè)，根據(jù)檢測(cè)的結(jié)果將PCA的MAC放入匹配策略的VLAN，VLAN的定義與交換機(jī)的端口無關(guān)，當(dāng)PCA移動(dòng)到另一個(gè)端口時(shí)，由于PCA本身的屬性并為發(fā)生改變，PCA依然自動(dòng)進(jìn)入相同的VLAN。當(dāng)外來PC接入網(wǎng)絡(luò)時(shí)，由于無法匹配任何VLAN策略，入侵者將無法進(jìn)入工作（有效）VLAN，被交換機(jī)有效地隔離。我們稱入侵者目前所在的VLAN為隔離VLAN，重要的是，由于隔離VLAN是一個(gè)單獨(dú)封閉的區(qū)域，使得入侵者即使使用網(wǎng)絡(luò)掃描軟件也無法得到位于工作（有效）VLAN用戶的任何信息?？偨Y(jié)：Alcatel策略VLAN解決了以下兩個(gè)問題：用戶移動(dòng)性：用戶進(jìn)入相應(yīng)VLAN與接入端口無關(guān)，真正實(shí)現(xiàn)移動(dòng)接入；安全接入：對(duì)于非法用戶，無論從交換機(jī)的哪一個(gè)端口接入都將被屏蔽在工作（有效）VLAN之外。下面我們從接入安全的角度來介紹一下常用的各種策略VLAN的適用場(chǎng)合：IP子網(wǎng)策略：由于我們?cè)诰W(wǎng)絡(luò)設(shè)計(jì)時(shí)通常將不同的業(yè)務(wù)部門劃分到不同的VLAN，同時(shí)將VLAN對(duì)應(yīng)不同的IP子網(wǎng)；因此，IP子網(wǎng)策略適用于對(duì)安全需求不高，對(duì)移動(dòng)性和簡易管理需求較高的的網(wǎng)絡(luò)設(shè)計(jì)中。通常采用以下一條命令就完成了一個(gè)IP子網(wǎng)策略VLAN的設(shè)定：vlan10ip；當(dāng)用戶終端的IP地址設(shè)為192.168.10.x時(shí)，該終端將自動(dòng)進(jìn)入VLAN10.安全性：進(jìn)入IP子網(wǎng)VLAN的先決條件是必須知道交換機(jī)中定義了哪些IP子網(wǎng)（通過網(wǎng)絡(luò)掃描是無法得到的，參看上面對(duì)隔離VLAN的介紹）MAC地址策略：MAC地址策略需要我們事先將歸屬該VLAN的終端MAC地址配置到交換機(jī)上（MAC地址可以通過交換機(jī)自動(dòng)學(xué)到），只有符合我們預(yù)設(shè)的MAC地址的終端才可以進(jìn)入該VLAN。MAC地址VLAN相比IP子網(wǎng)VLAN安全性要高，但配置工作量相對(duì)較大；策略適用于對(duì)安全和移動(dòng)性需求較高的網(wǎng)絡(luò)設(shè)計(jì)中。MAC地址VLAN通常采用以下命令就完成設(shè)定：vlan11mac01:01:01:02:02:02；當(dāng)用戶終端的MAC地址設(shè)為01:01:01:02:02:02時(shí)，該終端將自動(dòng)進(jìn)入VLAN11.安全性：進(jìn)入MAC子網(wǎng)VLAN的先決條件是必須知道交換機(jī)中是否定義的MACVLAN策略，同時(shí)需知道至少一個(gè)已定義的MAC地址。（通過網(wǎng)絡(luò)掃描是無法得到的，參看上面對(duì)隔離VLAN的介紹）IP/MAC綁定策略：IP/MAC綁定策略需要我們事先將歸屬該VLAN的終端IP/MAC配置到交換機(jī)上（IP/MAC可以通過交換機(jī)自動(dòng)學(xué)到），只有符合我們預(yù)設(shè)的IP/MAC地址的終端才可以進(jìn)入該VLAN。IP/MAC綁定地址VLAN相比MACVLAN安全性更高，適用于對(duì)安全和移動(dòng)性需求非常高且VLAN用戶較少的網(wǎng)絡(luò)設(shè)計(jì)中。IP/MAC綁定VLAN的另一個(gè)作用是禁止符合策略的用戶對(duì)IP或MAC進(jìn)行改動(dòng)，IP/MAC的改動(dòng)將失去VLAN策略的匹配，該終端從而被放入隔離VLAN。IP/MAC綁定VLAN通常采用以下命令完成設(shè)定：vlan11bindingmac-ip00:00:39:59:0a:0c0；當(dāng)用戶終端的IP地址設(shè)為0，MAC為00:00:39:59:0a:0c時(shí)，該終端將自動(dòng)進(jìn)入VLAN11.安全性：進(jìn)入IP/MAC子網(wǎng)VLAN的先決條件是必須知道交換機(jī)中是否定義了IP/MACVLAN策略，同時(shí)需知道至少一個(gè)已定義的IP/MAC地址。（通過網(wǎng)絡(luò)掃描是無法得到的，參看上面對(duì)隔離VLAN的介紹）用戶認(rèn)證策略：用戶認(rèn)證VLAN與上述策略VLAN的最大不同是檢測(cè)終端使用者的合法性而非終端本身的合法性，更適用于多人共用終端的場(chǎng)合。我們?yōu)榻K端用戶提供合法賬號(hào)，不同的賬號(hào)對(duì)應(yīng)不同的VLAN或決定交換機(jī)端口的開、閉（802.1x），終端進(jìn)入哪一個(gè)VLAN由用戶賬號(hào)決定。由于是對(duì)用戶的認(rèn)證，所以該策略的實(shí)施必須引入用戶認(rèn)證服務(wù)器來完成相應(yīng)的認(rèn)證、授權(quán)工作，相對(duì)增加了網(wǎng)絡(luò)管理的復(fù)雜度。安全性：進(jìn)入用戶認(rèn)證VLAN的先決條件是必須獲得合法的用戶賬號(hào)（當(dāng)采用認(rèn)證服務(wù)器回指VLAN屬性的方式時(shí)，由于用戶在認(rèn)證過程中的通信是在隔離VLAN中完成的，只有認(rèn)證通過后才會(huì)進(jìn)入工作VLAN；因此，認(rèn)證的加密就非常有必要）DHCP策略：DHCP是終端自動(dòng)獲得IP地址的協(xié)議，對(duì)于訪客非常方便。通過對(duì)VLAN定義DHCP，使得訪客自動(dòng)獲得IP地址并進(jìn)入相應(yīng)的訪客VLAN。通常采用以下命令完成一個(gè)DHCP策略VLAN的設(shè)定：vlan10dhcpport3/1-24；當(dāng)用戶終端的IP地址設(shè)為自動(dòng)獲得時(shí)時(shí)，該終端將自動(dòng)進(jìn)入VLAN10并獲得相應(yīng)的IP地址。安全性：無特殊安全性，便于訪客的靈活接入同時(shí)與保障企業(yè)內(nèi)網(wǎng)的安全隔離。Alcatel基于策略VLAN的安全接入解決方案:對(duì)于一個(gè)企業(yè)，擁有眾多的部門，包括工程、銷售、財(cái)務(wù)、領(lǐng)導(dǎo)以及訪客等，我們?cè)谧骶W(wǎng)絡(luò)規(guī)劃設(shè)計(jì)時(shí)根據(jù)不同部門對(duì)網(wǎng)絡(luò)安全的要求不同，予以不同的VLAN策略，使整個(gè)網(wǎng)絡(luò)在安全、靈活、易用和易管理幾個(gè)方面達(dá)到最大的統(tǒng)一。下面就一個(gè)典型案例進(jìn)行具體分析、設(shè)計(jì)。在這個(gè)案例中我們將用戶按安全級(jí)別分為4類：安全級(jí)別高、且端口固定：如財(cái)務(wù)部安全級(jí)別高、且有移動(dòng)要求：如領(lǐng)導(dǎo)安全級(jí)別一般、且有移動(dòng)要求：業(yè)務(wù)部門，如工程、銷售安全級(jí)別低、訪問受限制：如訪客和臨時(shí)部門MUXVLAN定義：MUXVLAN是一種包含上行端口和業(yè)務(wù)虛端口的VLAN。一個(gè)MUXVLAN可包含多個(gè)上行端口，但只包含一個(gè)業(yè)務(wù)虛端口。不同MUXVLAN間的業(yè)務(wù)流相互隔離。原理：MUXVLAN分為PrincipalVLAN和SubordinateVLAN，SubordinateVLAN又分為SeparateVLAN和GroupVLAN，MUXVLAN與接入用戶存在一對(duì)一的映射關(guān)系，因此可根據(jù)VLAN區(qū)分不同的接入用戶。例如，當(dāng)需要用VLAN區(qū)分用戶時(shí)，可以使用MUXVLAN。作用：MUXVLAN（Multiplexvlan）提供了一種在VLAN內(nèi)的端口間進(jìn)行二層流量隔離的機(jī)制。需求：在企業(yè)網(wǎng)絡(luò)中，企業(yè)員工和企業(yè)客戶可以訪問企業(yè)的服務(wù)器。對(duì)于企業(yè)來說，希望企業(yè)內(nèi)部員工之間可以互相交流，而企業(yè)客戶之間是隔離的，不能夠互相訪問。通過MUXVLAN提供的二層流量隔離的機(jī)制可以實(shí)現(xiàn)企業(yè)內(nèi)部員工之間可以互相交流，而企業(yè)客戶之間是隔離的。應(yīng)用場(chǎng)景：如圖所示，根據(jù)MUXVLAN特性，企業(yè)可以用PrincipalPORT連接企業(yè)服務(wù)器，SeparatePORT連接企業(yè)客戶，GroupPORT連接企業(yè)員工。這樣就能夠?qū)崿F(xiàn)企業(yè)客戶、企業(yè)員工都能夠訪問企業(yè)服務(wù)器，而企業(yè)員工內(nèi)部可以通信、企業(yè)客戶間不能通信、企業(yè)客戶和企業(yè)員工之間不能互訪的目的。我司應(yīng)對(duì)：這是華為和H3C的私有協(xié)議，可以通過acl或保護(hù)口來替代uRPFuRPF是一種單播逆向路由查找技術(shù)，用來預(yù)防偽造源地址攻擊的手段。之所以稱為逆向，是針對(duì)正常的路由查找而言的。一般情況下路由器接收到報(bào)文，獲取報(bào)文的目的地址，針對(duì)目的地址查找路由。如果找到了進(jìn)行正常的轉(zhuǎn)發(fā)，否則丟棄該報(bào)文。urpf通過獲取報(bào)文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對(duì)應(yīng)的接口是否與入接口匹配。如果不匹配認(rèn)為源地址是偽裝的，丟棄該報(bào)文。通過這種方式urpf就能有效地防范網(wǎng)絡(luò)中通過修改源地址而進(jìn)行的惡意攻擊行為的發(fā)生。在s1上偽造源地址為的報(bào)文向服務(wù)器s2發(fā)起請(qǐng)求，s2響應(yīng)請(qǐng)求時(shí)將向真正的“”即s3發(fā)送報(bào)文。這種非法報(bào)文對(duì)s2和s3都造成了攻擊。攻擊者使用隨機(jī)改變?cè)吹刂返姆椒òl(fā)起攻擊。在本例子中，源地址使用一些保留的非全局的ip地址，因此不可達(dá)。其實(shí)即使是一個(gè)合法的ip地址，只要是不可達(dá)的也可以用來發(fā)起攻擊。另一種情況：攻擊者可以偽造一個(gè)源地址，該地址是另一個(gè)合法網(wǎng)絡(luò)的地址并且在全局路由表中存在。例如，攻擊者偽造一個(gè)源地址使得被攻擊者認(rèn)為攻擊來自于偽造的源地址，但實(shí)際上該源地址是完全無辜的，并且有時(shí)候網(wǎng)絡(luò)管理員會(huì)因此而關(guān)閉所有來自源地址的數(shù)據(jù)流，這樣正好使得攻擊者的拒絕服務(wù)攻擊成功實(shí)現(xiàn)。更復(fù)雜的情形是tcpsyn洪泛攻擊將使得syn-ack數(shù)據(jù)包發(fā)送到完全與攻擊無關(guān)的許多主機(jī)，而這些主機(jī)就成了犧牲者。這使得攻擊者可以同時(shí)去欺騙一個(gè)或者多個(gè)系統(tǒng)。同樣也可以采用udp和icmp洪泛攻擊。所有這些攻擊都會(huì)嚴(yán)重的降低系統(tǒng)性能，甚至使得系統(tǒng)崩潰。urpf就是為了防范這種攻擊而使用的一種技術(shù)?？煽亟M播IPTVCACIPTV中的BTV（電視直播）業(yè)務(wù)，是非常適合利用組播技術(shù)來進(jìn)行傳輸?shù)?，因?yàn)閷?duì)于觀看同一頻道的大量用戶來說在同一時(shí)間收看的是同一內(nèi)容。媒體服務(wù)器僅發(fā)送一份該直播電視頻道的報(bào)文，網(wǎng)絡(luò)在用戶的分支點(diǎn)才進(jìn)行復(fù)制，在分支點(diǎn)以上的網(wǎng)絡(luò)只需傳送一個(gè)數(shù)據(jù)流，大大減輕了網(wǎng)絡(luò)的帶寬及服務(wù)器資源。如何將各個(gè)頻道名翻譯為網(wǎng)絡(luò)設(shè)備、服務(wù)器能夠識(shí)別和區(qū)分的語言，就需要為不同的頻道名分配唯一的組播地址。比如為CCTV5分配的組播地址。用戶在選擇觀看CCTV5頻道的時(shí)候，實(shí)際上是一個(gè)加入組播組?？煽亟M播是華為公司提出的一整套可運(yùn)營、可管理的組播技術(shù)解決方案?？煽亟M播主要解決在IPTV寬帶運(yùn)營網(wǎng)絡(luò)上提供對(duì)組播用戶、組播源、組播組的控制，完備的、可擴(kuò)展的計(jì)費(fèi)手段和對(duì)組播網(wǎng)絡(luò)的監(jiān)控、管理手段?？煽亟M播的實(shí)現(xiàn)機(jī)制是用戶在營業(yè)廳開戶定購直播頻道節(jié)目，其信息記錄到SMS業(yè)務(wù)管理系統(tǒng)，SMS系統(tǒng)通過標(biāo)準(zhǔn)的TL1接口將用戶的信息通知到網(wǎng)管NMS系統(tǒng)，NMS系統(tǒng)通過SNMP協(xié)議將對(duì)于用戶的控制信息發(fā)送到組播控制點(diǎn)（BRAS/DSLAM/L2）等網(wǎng)絡(luò)上，組播控制點(diǎn)根據(jù)該信息實(shí)現(xiàn)組播權(quán)限轉(zhuǎn)發(fā)，僅向IPTV合法用戶轉(zhuǎn)發(fā)組播報(bào)文。DLDP光纖錯(cuò)接和鏈路單通可能會(huì)導(dǎo)致STP網(wǎng)絡(luò)出現(xiàn)廣播風(fēng)暴，DLDP（Device

Link

Detection

Protocol）是華為私有的二層協(xié)議，用于檢測(cè)這類場(chǎng)景。

在網(wǎng)絡(luò)施工和維護(hù)中，光纖錯(cuò)接是一種較為常見的問題，包括：光纖交叉連接鏈路單通，又包括如下情況：強(qiáng)制模式直連單纖中斷非直連，經(jīng)過傳輸?shù)膯卫w中斷部分低端光模塊不插光纖也UPDLDP的技術(shù)特色支持檢測(cè)光纖錯(cuò)誤連接支持檢測(cè)單通支持和環(huán)網(wǎng)保護(hù)協(xié)議疊加應(yīng)用，提高網(wǎng)絡(luò)的容錯(cuò)性DLDP的局限性和應(yīng)用限制：合理部署時(shí)，DLDP本身不存在明顯限制，但要注意互通性，因?yàn)闉榉菢?biāo)準(zhǔn)協(xié)議，和其他廠商對(duì)等協(xié)議的互操作性不好DLDP的應(yīng)用場(chǎng)景和注意點(diǎn)：適合用于錯(cuò)纖、鏈路單通的檢測(cè)場(chǎng)景。NQANQA(NetworkQualityAnalyzer)網(wǎng)絡(luò)質(zhì)量分析是一種實(shí)時(shí)的網(wǎng)絡(luò)性能探測(cè)和統(tǒng)計(jì)技術(shù)，可以對(duì)響應(yīng)時(shí)間、網(wǎng)絡(luò)抖動(dòng)、丟包率等網(wǎng)絡(luò)信息進(jìn)行統(tǒng)計(jì)。NQA還提供了與Track和應(yīng)用模塊聯(lián)動(dòng)的功能，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)狀態(tài)的變化。NQA通過發(fā)送測(cè)試報(bào)文，對(duì)網(wǎng)絡(luò)性能或服務(wù)質(zhì)量進(jìn)行分析，為用戶提供網(wǎng)絡(luò)性能參數(shù)，如時(shí)延抖動(dòng)、HTTP的總時(shí)延、通過DHCP獲取IP地址的時(shí)延、TCP連接時(shí)延、FTP連接時(shí)延和文件傳輸速率等。利用NQA的測(cè)試結(jié)果，用戶可以：1.及時(shí)了解網(wǎng)絡(luò)的性能狀況，針對(duì)不同的網(wǎng)絡(luò)性能，進(jìn)行相應(yīng)的處理；2.對(duì)網(wǎng)絡(luò)故障進(jìn)行診斷和定位。NQA還提供了與Track和應(yīng)用模塊聯(lián)動(dòng)的功能，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)狀態(tài)的變化，及時(shí)進(jìn)行相應(yīng)的處理，從而避免通信的中斷或服務(wù)質(zhì)量的降低。NQA具有以下幾個(gè)特點(diǎn)：1.支持多種測(cè)試類型傳統(tǒng)的Ping功能是使用ICMP（InternetControlMessageProtocol，互聯(lián)網(wǎng)控制報(bào)文協(xié)議）測(cè)試數(shù)據(jù)包在本端和指定目的端之間的往返時(shí)間。NQA是對(duì)Ping功能的擴(kuò)展和增強(qiáng)，它提供了更多的功能。目前NQA支持11種測(cè)試類型：ICMP-echo、DHCP、DNS、FTP、HTTP、UDPjitter、SNMP、TCP、UDP-echo、Voice和DLSw測(cè)試。2.支持多測(cè)試組并發(fā)NQA模塊支持多個(gè)測(cè)試組并發(fā)，用戶可以根據(jù)需求手工配置并發(fā)個(gè)數(shù)。但對(duì)于DHCP測(cè)試，同一時(shí)刻只允許有一個(gè)測(cè)試組進(jìn)行測(cè)試。3.支持聯(lián)動(dòng)功能聯(lián)動(dòng)功能是指NQA提供探測(cè)功能，把探測(cè)結(jié)果通知其他模塊，其他模塊再根據(jù)探測(cè)結(jié)果進(jìn)行相應(yīng)處理的功能。目前實(shí)現(xiàn)了與VRRP、靜態(tài)路由、備份中心和策略路由的聯(lián)動(dòng)。APSDAPSD(AutomaticPowerSaveDelivery)WiFi聯(lián)盟的WMM省電認(rèn)證協(xié)議，能夠加長Wi-Fi設(shè)備的電池壽命。在路由器中APSDCapable：自動(dòng)省電模式，一般默認(rèn)為關(guān)閉。另一拼法的縮寫：AutomaticPowerShutDown--自動(dòng)功率關(guān)斷降低耗電量的方法，均必須盡可能讓用戶裝置使用低功耗的睡眠模式，而802.11芯片必須以睡眠模式的最低可能耗電量支持此種作法。例如，Atheros的AR6000移動(dòng)型射頻單芯片(radio-on-a-chipmobile;ROCm)裝置，實(shí)現(xiàn)了極低耗能量的睡眠模式，以及自動(dòng)省電模式