《2022年2022年华为中低端交换机控标主要技术点解析-》由会员分享,可在线阅读,更多相关《2022年2022年华为中低端交换机控标主要技术点解析-(17页珍藏版)》请在金锄头文库上搜索。
1、交换路由竞争,常用技术目录背板带宽和包转发率. 2OAM 的定义 . . 2SFP+和 XFP接口区别 . . 4MFF . . 4Smart Link . . 4RRPP . . 6G.8032 ERPS 和 SEP等环网技术 . 6VCT(Virtual Cable Test) . 7Netstream和 Sflow 、IPFIX . 8IEEE802.3az的概念 -EEE . 10 黑洞 MAC . 10 策略 vlan . 10 uRPF . . 13 可控组播IPTV CAC . 14 DLDP . . 14 NQA . . 15 APSD . . 15 Jumbo 巨型帧作用.
2、16 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 17 页 - - - - - - - - - 背板带宽和包转发率完全无阻塞交换条件:所有端口容量X 端口数量之和的2 倍应该小于背板带宽可实现全双工无阻塞交换证明交换机具有发挥最大数据交换性能的条件。满配置吞吐量(Mpps)= 满配置 GE端口数 1.488Mpps (其中 1 个千兆端口在包长为64 字节时的理论吞吐量为1.488Mpps,pps 是每秒 64 字节包的个数, 如果包长更长, 同样 1 个千兆口,那么
3、 PPS还不到 1.488Mpps ) 。例如一台最多可以提供64 个千兆端口的交换机,其满配置吞吐量应达到641.488Mpps = 95.2Mpps ,才能够确保在所有端口均线速工作时,提供无阻塞的包交换。如果一台交换机最多能够提供176 个千兆端口而宣称的吞吐量为不到261.8Mpps(176 x 1.488Mpps = 261.8),那么用户有理由认为该交换机采用的是有阻塞的结构设计。一般是两者都满足的交换机才是合格的交换机。比如 Cisco 2950G-48 背板 210002+481002(Mbps)13.6(Gbps) 相当于 13.6/2=6.8个千兆口包转发率 / 吞吐量 =
4、6.81.488=10.1184Mpps Cisco4506 背板 64G 满配置千兆口43065+2(引擎)32 包转发率 / 吞吐量 321.488=47.616 Mpps一般是两者都满足的交换机才是合格的交换机。我司应对:对虚高不合理的参数,可以提出质疑。对于交换机包转发率,24 口千兆交换机,华为目前算法,1.5M PPS*24*1.5(冗余 )=54 MPPS OAM 的定义OAM(Operations, Administration, and Maintenance) 即操作、管理和维护。该机制在传统电信网中已应用很久了,主要是通过故障检测、告警、定位和隔离等手段提高网络的运维水平
5、。目前,各标准化组织正在完成和已经完成的以太网OAM 相关标准有:IEEE 802.3-2005 第 57 章(原 IEEE 802.3ah 第 57 章)城域以太网论坛制定的E-LMI(Ethernet Local Management Interface)Connectivity Fault Management (CFM)即 IEEE 802.1ag ITU-T 和城域以太网论坛制定的Y.1731 ,可兼容802.1ag 一, OAM的用途连通检测: 即检测链路是否能正常传输报文,一般各种OAM 协议都采用周期性发送特定报文的方式完成,当一定数量的报文丢失,便判断为链路不可用。例如:在8
6、02.3 OAM 中,每秒发送一个 Information报文,当连续5 个报文丢失时,认为链路断开;在802.1ag 中,周期性地(周期可配置)发送CCM 报文,连续3 个报文丢失则认为对方已不可达;在MPLS OAM 中,则周期性地发送 CV报文和 FFD报文。环回: 主要目的是检测链路的双向连通性。方法是将报文发送到目标实体,并由目标实体应答报文,发送者根据返回报文的情况判断连通性。在发送和返回的报文中可以携带各种信息。例如:IP 协议中的ping ;802.3 OAM 中的远端环回;802.1ag 中的 loopback ;MPLS OAM 中的 LSP Ping 。链路跟踪:方法是将
7、报文发送到目标实体,处于发送路径上、能识别该报文的设备向源实体名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 17 页 - - - - - - - - - 回应报文。源实体通过收到的回应报文确定到达目标实体所经过的路径。例如:IP协议中的traceroute ;在 802.1ag 协议中使用的linktrace。错误指示: 可分为前向错误指示和反向错误指示。在一个路径上,当某个节点发现源节点发送的报文有错误时, 它可以通知其他节点,它可以沿着这个路径向下游发送通知,起到预
8、防的作用,这就是前向错误指示;它也可以沿着路径逆向传递,告诉发送者,它发出的报文有错误。二、协议说明2.1 802.3ah 802.3 OAM 协议属于慢速协议(slow protocol) ,另一个著名的慢速协议是链路聚合控制协议(LACP) 。慢速协议具有如下共同特点: 每秒钟传输的报文不超过10 帧。 协议报文( PDU )不带 VLAN Tag。 协议报文目的地址为01-80-C2-00-00-02。 协议报文的 Type 域为 88-09 。 协议报文不能被转发。 (802.3 OAM 监控一段链路,从一个以太网口到另外一个以太网口,中间不能经过其他设备。)2.2 802.1ag 8
9、02.1ag 针对 MAC 地址,它判断相应的MAC 地址是否可达,从而获得二层网络的相应工作状态和路径。2.3 重要概念:域:在逻辑上将网络从内到外划分为不同的层次,称作维护域(Maintenance Domain) ,维护域可以嵌套,不能交叉,这样,在出现问题时,可以通过问题所在的域的范围判断问题的归属。这个想法的目的是将运营商网络同用户网络隔离开,或者说将网络在逻辑上同实际使用者对应起来,从而产生清晰的界面。当出现问题时,通过在不同域中的判断确定问题的具体位置。级别:协议中区分不同层次的域的方法是为每个域定义一个级别(level) ,高级别的域可以嵌套低级别的域。高低级别的域之间是不通信
10、息的,它们各自通报本域内的错误,范围较大的域的 802.1ag 报文可以穿过较小的域,范围较小的域的报文不可以发送到域的外面。维护域(Maintenance Domain) : 是进行错误管理的一部分网络,维护域的边界由维护端点(MEP )围成。它由维护域名称(一个字符串)唯一标识。它具有的另外一个属性是维护域级别。维护集( Maintenance Association) :维护集属于某个维护域,由维护域内唯一的名称(一个字符串)标识。它具有的另外一个属性是VLAN 。维护集是指MD中的一个集合,包含一些MP 。用“ MD 名+short MA名”来标识。MA属于一个VLAN ,MA中的 M
11、P所发送的报文在该VLAN内被转发,同时也接收MA内其它 MP发送的报文,因此, MA也被称为服务实例(Service Instance, SI) 。MEP(维护端点 ) :维护域是有边界的,它的边界就是一个个的端口,因此,只要在边界端口上配置一个实体就可以了,这个实体叫做维护端点( Maintenance association End Point或 MEP ) 。当所有的边界端口都配置了维护端点,域的边界就确定了,域的范围也确定了。MEP属于某个维护集,从维护域和维护集中继承了它们的属性:级别和VLAN 。维护端点用一个整数唯一标识,称为 MEPID 。该整数在维护集内是唯一的。维护端点可
12、发出802.1ag 报文。MIP(维护中间点) :在维护域内的端口上也可以配置实体,叫做维护中间点(Maintenance domain Intermediate Point或 MIP) 。MEP和 MIP 统称为维护点(Maintenance Point) 。维护点是本协议功能实现的主体,所有的功能均通过维护点的处理得以体现。MIP 属于某个维护集,从维护域和维护集中继承了它们的属性:级别和VLAN。维护中间点仅回应收到的802.1ag报文,不会自己主动发出。2.3 重要参数:级别和VLAN 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -
13、 - - - 名师精心整理 - - - - - - - 第 3 页,共 17 页 - - - - - - - - - 有两个基本的参数贯串了802.1ag 协议的处理,它们就是维护域的级别(level)和它所服务的 VLAN 。这两个参数将网络进行了划分,它们影响到维护点的归属,影响到802.1ag的报文内容、 MAC地址,影响到报文的处理等。维护域共分为8 个级别,从07,数字越大, 代表的维护域范围越大。级别较小的域中的1ag报文不能穿过域的边界进入到较大的域中。由于各级别的维护域是嵌套的,如果在级别较大的域中发现了较小级别的报文,就属于一种错误,维护域中的维护点就会报告错误。错误的处理则
14、是系统管理员的工作,有时候可能是网络的错误,也有时候可能就是系统管理员配置错误。VLAN当然是很重要的,这是目前二层网络的基础,802.1ag 协议报文是带有VLAN Tag 的,我司应对: 这是运营商网络里的特殊需求,且要实现这个功能,网络内所有设备要同步支持,H3C也不能完全支持。SFP+和 XFP接口区别XFP的速率是 10G, 并且是串行光收发模块的一种标准化封装。它符合以下标准:10G光纤通道、10G以太网、 SONET/OC-192 和SDH/STM-64 。XFP光模块主要用于数据通讯和电信传输网的光纤传输XFP和SFP+ 的区别: 两种不同的接口定义,最明显的是SFP+ 金手指
15、有 20个, XFP金手指有 30个金手指,具体参数可以查看两种模块的MSA 国际协议。 SFP+ 、XFP用的都是 LC接口的尾纤1)SFP+ 和XFP 都是 10G 的光纤模块,且与其它类型的10G模块可以互通;2)SFP+ 比XFP 外观尺寸更小;3)因为体积更小SFP+将信号调制功能,串行/ 解串器、 MAC 、时钟和数据恢复(CDR),以及电子色散补偿 (EDC)功能从模块移到主板卡上;4)XFP 遵从的协议:XFP MSA 协议;5)SFP+ 遵从的协议:IEEE 802.3ae 、SFF-8431、SFF-8432;总结, SFP+是更主流的设计。我司应对:一边是SFP+ 的,一
16、边是 XFP ,而且参数一样(传输距离相同,波长一样,比如都是10km或是 40km、80km,波长 1310nm,1550nm等), 可以直接连接通信,不存在兼容性问题。SFP+、XFP 用的都是 LC 接口的尾纤MFF 即Mac Force Forwarding,其核心思想:二层隔离、三层转发、ARP 代理,这个功能通常部署在二层交换机上,用于减轻网关ARP 处理负担, 降低网关受 ARP 攻击的风险, 实现用户间的二层隔离。我司应对:可以明了,支持此功能即可,我司也支持。Smart Link SMART-LINK 针对双上行组网,实现主备链路冗余备份及故障快速迁移。用于在以太网交换机上实
17、现链路备份功能,通过手工配置指定链路间的相互备份关系,备份关系一旦指定, 即刻生效。SMART-LINK技术应用的典型组网图如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 17 页 - - - - - - - - - 在 A 设备上建立两个互为备份的二层接口(或聚合组)A1 和 A2,其中一个接口进行流量转发的同时,另一个处于阻塞状态。如图,A1 转发流量时,A2 被阻塞。此时的流量为图中的红色箭头表示。如果 A1 链接的 Link1 链路故障, 那么 A2 立刻切
18、换为非阻塞状态,开始转发流量。此时的流量为图中的蓝色箭头表示。A2 在从阻塞状态切换为非阻塞状态时,在VLAN内组播发送FLUSH报文,网络中各台设备收到该报文后,根据端口的设置确定是否更新指定VLAN列表的地址转发表。VLAN列表将会在FLUSH报文中携带,地址转发表包括MAC表、 ARP (ND )表等。Smart-link作为轻量级的保护技术,Smart-link的技术特色:1)相比 STP,可以提供最快可达50毫秒的收敛性能2)相比 RRRP ,提供了更简捷的配置方式;3)支持基于 VLAN 的负载分担,充分利用上行带宽。Smart-link的局限性和应用限制1) 缺少自己的心跳报文检
19、测机制,无法保护跨传输的链路;2) 轻量级协议,只对上行链路做相互的保护,上面网络的冗余保护需要上面网络自己解决。术语3)SMART-LINK 技术为双上行组网量身定制,组网比较固定,有一定的局限性术语1) SMART-LINK组译为灵活链路组,包括两条链路,其中一条进行转发,另一条链路阻塞,作冗余备份。2) 主用链路和备用链路SMART-LINK组中处于转发状态的链路称为主用链路,处于阻塞状态的链路称为备用链路。3) 主端口和从端口SMART-LINK 组的主用和备用链路在特定的设备上体现为端口或者聚合组端口,此处统称为端口。 为了区分SMART-LINK组中的两个端口, 将两个端口分别命名
20、为主端口和从端口,也叫 MASTER端口和 SLAVE端口。目前SMART-LINK不支持按角色抢占的方式,因而两个端口对应的链路哪个处于转发状态并不固定,即主从端口和主用备用链路并无固定的对应关系。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 17 页 - - - - - - - - - 4) FLUSH 报文类似于 STP协议中的 TC报文,为了能够使网络中的设备及时感知网络拓扑变化,SMART-LINK发送一个FLUSH报文通知其他设备进行地址刷新。但是,由于该技
21、术为私有技术,目前只限于华为和H3C等少部分厂商的一些设备能够识别该报文。对于不识别FLUSH报文的设备,只能通过流量触发MAC地址的更新。我司应对: SMART LINK为私有协议,此技术效果,我司有相应业内标准对应支持,例如LACP/ RRPP RRPP(Rapid Ring Protection Protocol)是一个专门应用于以太网环的二层协议,由EAPS协议( Ethernet Automati Protect Switching,rfc3619 )发展而来,由华为 3Com开发的私有协议(是针对STP的缺陷推出的技术)。RSTP/MSTP应用比较成熟, 但收敛时间在秒级。 RRP
22、P 是一个专门应用于以太网环的链路层协议。它在以太网环完整时能够防止数据环路引起的广播风暴,而当以太网环上一条链路断开时能迅速启用备份链路以保证环网的最大连通性。与 STP协议相比, RRPP协议有如下优点:拓扑收敛速度快(低于50ms)收敛时间与环网上节点数无关(不受网络规模影响)RRPP技术不足点是:不能和xSTP网络兼容组网。RRPP 多实例在RRPP 组网中, 一个环上只能有一个主节点。当主节点处于Complete 状态时, 被阻塞的副端口会阻止所有用户报文通过。这样, 所有用户报文在RRPP 环上通过一条路径传输。主节点副端口侧的链路空闲,造成带宽浪费。 RRPP 多实例基于域实现。
23、在一个域中,所有端口、节点角色、拓扑都遵循基本的RRPP 原则。与 RRPP 不同的是, RRPP 多实例在一个RRPP 环上可以存在多个域。一个域内可以包含一个或多个实例,每个实例代表一个VLAN范围。这些包含在域中的VLAN ,称为 RRPP 域的保护 VLAN 。 保护 VLAN包括属于该域的数据VLAN 、 主环控制 VLAN和子环控制VLAN。在 RRPP 多实例组网中,在同一个环路上存在多个主节点。根据主节点的Secondary Port 阻塞属性即可实现业务流量的负载分担和链路备份。我司应对: 目前, 解决二层网络环路问题的技术有RSTP/MSTP和 ERPS等多种标准协议,我司
24、都支持G.8032 ERPS 和 SEP等环网技术ERPS (Ethernet Ring Protection Switching):以太网多环保护技术,是业内标准。在2008 年12月举行的 ITU-TSG15的全会上,要对以太网环网保护标准G.8032的V1版本的修订版(Amendment1)进行讨论和表决,这个修订版主要增加以太网多环的保护方案。多环保护模型是G.8032 标准中多环保护的技术核心,在实际网络中有较大的应用价值,技术实现难度大,也是各个厂商技术竞争的热点。会上,中兴通讯、诺基亚西门子、阿尔卡特朗讯、华为等主流设备厂商针对多环保护模型展开了激烈的技术辩论,最终中兴通讯提出的
25、“ Sub -ring子环划分模型”脱颖而出,被大会采纳。ITU-TG.8032 多环标准的发布,标志着以太环网保护技术ERPS 真正具备了成熟商用的条件,各厂家基于标准的互通也成为可能。已经成为 ITU-TG.8032 国际标准, 与2008年12月修订完成并表决通过。ITU-TG.8032ERPS以太环网标准吸取了EAPS 、RPR 、SDH 、STP 等众多环网保护技术的优点,优化了检测机制,可以检测双向故障,支持多环、多域的结构,在实现50ms倒换的同时,支持主备、负荷分担多种工作方式,成为了以太环网技术最新的成熟标准。名师资料总结 - - -精品资料欢迎下载 - - - - - -
26、- - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 17 页 - - - - - - - - - 智能以太保护SEP(Smart Ethernet Protection)技术华为公司于 2010年推出了 SEP 协议,华为以太环网技术SEP 技术, 比RRPP RPR 适应性更强,支持拓扑更广泛, 可和 STP 融合使用的以太网环网技术。SEP 是一种专用于以太网链路层的环路保护机制, 它通过有选择性地阻塞网络环路冗余链路,来达到消除网络二层环路的目的,有效防止形成网络风暴。SEP 协议的收敛性能和RRPP 协议相当, 在IEEE802.1
27、 中的位置和 STP 相同。 SEP 协议支持半环和全环两种基本拓扑,保证其基本拓扑在任何时刻都有一个断点。SEP 是华为的私有协议,不能和其他公司设备直接对接SEP 技术优势SEP 以网络段为单位。 在SEP 段完好的情况下,一个 SEP 段阻塞一个端口,从而避免了环路产生。当环网发生链路故障时,可以迅速地放开阻塞端口,进行链路倒换, 恢复环网上各节点通信通路。SEP 组网协议简单,是通过软件来实现的,无需专门的硬件即可支持SEP ,不会额外增加客户投资。SEP 能和现网 xSTP兼容组网 ,很好保护现网投资。SEP 技术能给客户带来其他更多应用价值:SEP 收敛时间远小于xSTP,并且和网
28、络规模无关,最快达到50ms,很好支撑语音和视频业务保护倒换。SEP 组网灵活,既支持封闭环,也支持开放环。SEP 可以支持更复杂的多环组网拓扑,环换任意相连,各环独立存在,增加子环非常方便。在SEP 网段上, 在任意节点都可以查看该网段拓扑信息,方便状态查看和维护。根据流量状态,灵活修改指定断点来优化网络流量,达到网段两边的流量均衡; 其他环网技术不能做到灵活指定断点,很难做到断点两边流量均衡。VCT(Virtual Cable Test) 虚拟电缆检测功能VCT,是利用 TDR(Time Domain Reflectometry-时域反射测试 ) 来检测网络线缆的物理状态。TDR 检测原理
29、类似于雷达,它工作方式是通过主动向导线发射一个脉冲信号并检测所发送的脉冲信号的反射结果来检测电缆故障。当发送的脉冲信号通过电缆的末端或电缆的故障点时,就会引起部分或全部的脉冲能量被反射回来到达原来的发送源,VCT 技术根据测量脉冲信号在导线中的传输获得信号到达故障点或返回的时间,然后根据公式将相应时间换算为距离值。通过 VCT 可以检测电缆状态、故障距离是否极性交换、插入信号衰减、返回信号衰减等。用户可以使能VCT 特性对以太网电口连接电缆进行检测,开启系统对以太网电口连接电缆的检测功能。 检测内容包括电缆的接收方向和发送方向是否存在短路、开路现象, 同时可以检测出故障线缆的位置。使用 VCT
30、 可以检测到一下几种线缆状态故障:SHORT :表示短路,即2根或更多的导线短接在一起。OPEN :表示开路,表示网线中可能有线断掉了。NORMAL :表示网线连接正常。NOT USED :网线没有使用。IM MIS:表示阻抗不匹配,因为5类线的阻抗为 100欧,为了防止波形反射和数据错误,线缆两端的终止器阻抗也必需是100欧。ERROR LOCATE说明问题点距离交换机端口的大概距离,单位是米,误差大约是2米。如果状态是NORMAL ,那么该值为 0。PHYTYPE 表明使用的是10M/100M/1000M三种物理接口中的哪一种。我司应对: VCT技术效果,我司交换机有链路检测功能(line
31、-detect),等同于此效果名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 17 页 - - - - - - - - - SNMP 和 RMON 大部分网管系统还只是采用一些通用型的网络链路使用率监视软件,如MRTG ,利用 SNMP 协议对网络的重点链路和互联点进行简单的端口级流量监视和统计;或采用在网络中部分重点POP 点加装RMON 探针的方式,利用RMON I/II 协议对网络中部分端口进行网络流量和上层业务流量的监视和采集。上述两种被普遍采用的网络流量分析系统
32、都有其显著的技术局限性。利用 SNMP 协议能够对被监视的各个网络端口进出的数据包数和字节数进行采集,但采集到的流量信息较为粗糙,不但包括网络层的客户业务流量信息,还包括链路层的数据帧包头,Hello 数据包,出错后重新传送的数据包等流量信息。而且 SNMP 协议还无法区分网络层数据流量中各种不同类型客户业务在总流量中的分布状况,也无法对进出的流量进行流向分析。利用 RMON 协议对运营商网络进行流量和流向管理可以部分弥补SNMP 协议的技术局限性, 如可以对业务流量进行统计,但同时也暴露出新的技术局限性。首先, 由于 RMON 协议需要对网络上传送的每个数据帧进行采集和分析,会耗用大量的CP
33、U 资源因而不可能由网络设备本身实现,需要额外购买和安装内置式或外置式的RMON 探针。市场上现有的RMON 探针处理能力也有限制,还不能支持监控端口速率超过1Gbps的网络端口。其次,因为RMON 探针为的硬件设备,价格较贵,所以不可能为每台网络设备都配备,且由于RMON 探针,特别是内置式RMON 探针接入网络后不易变更,所以必然会造成出现异常事件时无法及时对特定的网络链路进行监控。最后,由于 RMON 探针采集到的管理数据是由分析每个数据包后得到的,数据量非常大且分散,协议缺乏内建的数据汇总机制,而且还不包括每个数据包的BGP AS号或路由 Next Hop信息,所以不易对数据进行高层次
34、的流向分析。这些因素都会阻碍利用RMON 协议对大型网络进行流量和流向分析的有效性。Netstream和 Sflow 、IPFIX netstream 是网络数据监控技术的一种(属于华为公司的私有协议) ,提供报文统计功能,它根据报文的目的ip 地址、目的端口号、源ip 地址、源端口号、协议号和tos 来区分 流信息,并针对不同的流信息进行独立的数据统计。netstream 数据采集和分析过程如下:(1) 交换机把采集到的流的详细信息定期发送给nsc(netstream collector,网络流数据收集器);(2) 信息由 nsc 初步处理后,发送给nda(netstream data an
35、alyzer,网络流数据分析器);(3)nda 对数据进行分析,分析结果用于计费和网络规划等。一个典型的 NetStream 系统由 NDE 、NSC 和 NDA 三部分组成:1、NDE(NetStream Data Exporter,网络流量采样) 。 NDE 负责对网络流进行采集和发送,提取符合条件的流进行统计,并将统计信息输出给NSC 设备。输出前也可对数据进行一些处理,比如聚合。配置了NetStream 功能的设备在NetStream 系统中担当 NDE 角色。2、NSC(NetStream Collector,网络流量采集) 。NSC 通常为运行于 Unix 或者 Windows 上
36、的一个应用程序,负责手机和存储来自NDE 的报文,把统计数据收集到数据库中,可供NDA 进行解析。NSC 可以采集多个NDE 设备输出的数据,对数据进行进一步的过滤和聚合。(3)NDA(NetStream Data Analyzer ,网络流量分析) 。 NDA 是一个网络流量分析工具,它从数据库中提取统计数据,进行进一步的加工处理,生成报表,为各种业务提供依据( 比如流量计费、网络规划,攻击监测) 。通常, NDA 具有图形化用户界面,使用户可以方便地获取、显示和分析收集到的数据。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - -
37、 名师精心整理 - - - - - - - 第 8 页,共 17 页 - - - - - - - - - Netflow 网络流量分析协议NetFlow 为Cisco 之专属协议(Netflow 技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins 发明的,并于同年5月注册为美国专利,专利号为6,243,667 ),提供 IP 中第三层之信息,可用来了解网络设备所传输之封包表头内容,依据此内容将所获得之资料加以统计,便可为网络流量统计、网络使用量计价、网络规划、网络监测等应用提供计数根据。同时,NetFlow 也提供针对 QoS(Quality of Servic
38、e)的测量基准,能够捕捉到每笔数据流的流量分类或优先性特性,而能够进一步根据QoS 进行分级收费。Netflow 支持同时向两个管理服务器地址输出采集到的网络流量和流向统计信息,输出数据的方式有三种:简单高效 UDP 传输协议方式(传统方式)。但由于采用了UDP 协议, 数据传输的可靠性是不保证的。SNMP MIB方式。管理服务器可以通过SNMP 协议访问网络设备Netflow MIB库中存储的数据流Top N统计结果。可靠的 SCTP 传输协议方式。 利用 SCTP 传输协议, 支持拥塞识别, 重传和排队机制,确保 Netflow统计结果数据正确发送给上层管理服务器。Netflow V9的优
39、势:1)rfc3954 总共定义了 65个数据流信息的属性类型,而Cisco 在此之上将属性类型扩展到82个,后续还能进行扩展。这表明Netflow V9能够根据技术的发展对未来数据局流实现更加细致的统计和分析。2)无论是针对 Netflow 本身的配置还是针对流量统计的配置,均以模板的方式实现,可以通过对模板的各个records 进行调整来适应具体的网络环境和监控需求,具有高度的灵活性。3)数据流的统计通过模板和data 记录来实现,这使得每一次扩展升级对exporter和collector的影响非常小, 只需要更新相应的模板就可以了,不需要每次都对设备硬件进行升级。Netflow V9的不
40、足:开放性不够:Cisco 的Netflow v9虽然提交了相关RFC ,但是在 RFC 主要介绍了 v9的数据包格式和一些关键概念的定义说明。对数据流的检测、输出、分类等并未进行较细致的规定(根本未提及),这些内容Cisco 内部有机制,但是未公开安全性不够:Netflow v9的设计初衷是将输出器和收集器定义在一个独立的私有的网络中,但现在很多时候Netflow v9被用来在公共网络中传输数据流记录,这导致一定程度的安全风险。在RFC 和Cisco 提供的白皮书中未找到其他任何相关的机制和说明。Cisco 可能通过其他独有的上层手段来保障安全性,但是Netflow v9本身的安全完整性还是
41、有所不足。sFlow 网络流量分析协议sFlow 是一种基于标准的最新网络导出协议(RFC 3176) ,能够解决当前网络管理人员面临的很多问题。 通过将 sFlow 技术嵌入到网络路由器和交换机的ASIC芯片中, sFlow 已经成为一项线速运行的“永远在线”技术。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比,sFlow 能够大大降低实施费用,采用它可实现面向每一个端口的全企业网络监视解决方案。IPFIX 网络流量分析协议IPFIX 是ietf基于 Netflow v9而开发的最新的数据流输出标准。IPFIX 不但继承了 Netflow v9基于模板的流信息输出格式,而且在此
42、基础上对数据流输出的典型应用进行了输出规范的建议,另外 Netflow 中未涉及到的安全性问题在IPFIX 中也进行了说明。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 17 页 - - - - - - - - - IPFIX 的优势:1)继承了 Netflow v9的灵活性和扩展性;2) 定义了 4个组件, 增加了监测进程 (Netflow 只有 3个组件) , 将组件的功能划分得更加细致;3)就流量监控的功能引入了应用相关,针对不同的应用在监控内容上进行了明确的区分
43、;4)在 RFC 中对安全性和可靠性作出了明确的要求,对可能出现的隐患进行了说明;5)详细规范了输出和监测进程的细节;IPFIX 的不足:1)在对 flow 的描述上仅提供了30多个属性,远低于netflow v9的85个属性;2)对安全性方面的保障机制仅提出要求,需要依赖于第三方技术和协议来实现;3)对flow 信息的加密技术和机制没有任何说明,缺乏标准本身的整体完整性;常见的网络流量协议包括:Flow 名称代表厂商主要版本备注NetFlow Cisco V1、V5、V7、V8、 V9 应用最广CFlowd Juniper V5、V8 厂商跟进力度不高sFlow Foundry 、HP 、A
44、lcatel、NEC 、Extreme 等V4、V5 实时性较强,具备突出的第二 七层信息描述能力NetStream 华为、 H3C V5、V8、V9 与 NetFlow 较为类似IPFIX IETF 标准规范RFC 3917 以 NetFlow V9为蓝本IEEE802.3az的概念 -EEE IEEE802.3az 是经过电子电气工程师协会(IEEE) 正式批准的标准节能规范,其中 EEE 三个字母是Energy Efficient Ethernet的缩写,意思是高效节能以太网。如果硬件设备支持该标准,就可以在互联网使用或者以太网活动处于空闲状态的时候降低网络连接两端的能耗,开始正常传输数
45、据的时候则恢复正常供电。EEE标准为以太网设备规定的降低能耗方式是定义低功耗模式。一个没有可发送帧的收发器就可以进入低功耗模式,当有新帧到达时,收发器会在数微秒内返回活动模式,从而实现了对协议上层几乎透明的节能。黑洞 MAC 黑洞 MAC地址表项: 由用户手工配置的一类特殊的MAC地址,当交换机接收到源地址或目的地址为黑洞MAC地址的报文时,会将该报文丢弃, 不会被转发到网络中。一般在检测到某个病毒源之后,把该PC的 mac 地址配置为黑洞mac(black-mac),就可以保证网络的安全了。该pc 就被孤立了。意思就是你给他发的信息他收到了, 但是不会转发, 也不会告诉你. 靠这个原理来解决
46、环路的. 华 3 的, 思科 的设备都支持这个无需手动配置,用命令配置好,自动检测策略 vlan 当前 VLAN划分的的主要策略1. 基于端口的 VLAN 基于端口的 VLAN 的划分是最简单、最有效的 VLAN 划分方法。 该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 17 页 - - - - - - - - - 什么。2. 基于 MAC 地址的 VLA
47、N MAC 地址其实就是指网卡的标识符,每一块网卡的MAC 地址都是唯一的。基于MAC 地址的 VLAN 划分其实就是基于工作站、服务器的 VLAN 的组合。 在网络规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。3. 基于路由的 VLAN 路由协议工作在七层协议的第三层:网络层,即基于IP 和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN 跨越多个交换机,或一个端口位于多个VLAN中。4. 基于策略的 VLAN 基于策略的 VLAN 的划分是一种比较有效而直接的方式。这主要取决于在VLAN 的划分中
48、所采用的策略。就目前来说,对于VLAN的划分主要采用1、 3 两种模式,对于方案2 则为辅助性的方案。90% 以上的网络设计,其VLAN的划分依然基于交换机端口来完成,这种传统的VLAN进入方式其局限性和安全隐患是显而易见:1)用户终端位置的变更需要网络管理人员对交换机端口进行重新配置。2)入侵者接入任何一个端口,通过简单的扫描软件将可以获得相应VLAN 的所有信息,包括IP子网信息,网关地址,用户IP/MAC信息,甚至用户安全认证信息。3)对于访客,如果我们没有专门为其预留端口,其接入将会给我们网络带来安全隐患;如果专门为其预留网络端口,在网络的什么位置预留,预留端口数量也将是困扰网络管理员
49、的重要问题;同时,端口的预留也是对网络资源的一种浪费。以Alcatel OmniSwitch为例,以其策略VLAN 为基础来进一步分析网络的接入安全控制。Alcatel的策略 VLAN: Alcatel策略 VLAN 打破了这种以固定端口划分VLAN 的传统模式, 将每一个 VLAN 赋予一定的策略,用户终端最终进入哪一个VLAN与其接入的交换机端口无直接联系,而与终端的特性是否与VLAN 策略的匹配相关;Alcatel策略 VLAN 实现了用户终端真正的即插即用,同时为用户、终端提供安全的数据隔离。Alcatel的VLAN 策略包括:IP 子网策略MAC 地址策略IP/IPX 协议策略IP/
50、MAC绑定策略IP/MAC/PORT绑定策略用户认证策略802.1X 认证MAC 认证WEB 认证DHCP 策略举例所示:交换机中VLAN10,11,13 分别通过不同的策略进行定义当PC A接入交换机时,交换机将对PC A的MAC, IP, 等特性进行自动检测,根据检测的结果将PC A的MAC 放入匹配策略的VLAN ,VLAN的定义与交换机的端口无关,当PC A移动到另一个端口时,由于PC A本身的属性并为发生改变,PC A依然自动进入相同的VLAN 。当外来 PC 接入网络时,由于无法匹配任何VLAN 策略,入侵者将无法进入工作(有效)VLAN ,被交换机有效地隔离。我们称入侵者目前所在
51、的VLAN 为隔离 VLAN ,重要的是, 由于隔离 VLAN 是一个单独封闭的区域,使得入侵者即使使用网络扫描软件也无法得到位于工作(有效) VLAN 用户的任名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 17 页 - - - - - - - - - 何信息。总结:Alcatel 策略 VLAN 解决了以下两个问题:用户移动性:用户进入相应VLAN 与接入端口无关,真正实现移动接入;安全接入:对于非法用户,无论从交换机的哪一个端口接入都将被屏蔽在工作(有效)VLAN
52、之外。下面我们从接入安全的角度来介绍一下常用的各种策略VLAN 的适用场合:IP 子网策略:由于我们在网络设计时通常将不同的业务部门划分到不同的VLAN,同时将 VLAN对应不同的 IP 子网; 因此, IP子网策略适用于对安全需求不高,对移动性和简易管理需求较高的的网络设计中。通常采用以下一条命令就完成了一个IP 子网策略 VLAN 的设定: vlan 10 ip 192.168.10.0 255.255.255.0;当用户终端的IP 地址设为 192.168.10.x时,该终端将自动进入VLAN 10. 安全性: 进入 IP子网 VLAN 的先决条件是必须知道交换机中定义了哪些IP子网(通
53、过网络扫描是无法得到的,参看上面对隔离VLAN 的介绍)MAC 地址策略: MAC 地址策略需要我们事先将归属该VLAN的终端 MAC 地址配置到交换机上(MAC地址可以通过交换机自动学到),只有符合我们预设的MAC 地址的终端才可以进入该VLAN 。MAC地址 VLAN相比 IP子网 VLAN 安全性要高, 但配置工作量相对较大;策略适用于对安全和移动性需求较高的网络设计中。MAC 地址 VLAN 通常采用以下命令就完成设定:vlan 11 mac 01:01:01:02:02:02;当用户终端的MAC 地址设为 01:01:01:02:02:02时,该终端将自动进入VLAN 11. 安全性
54、:进入MAC 子网 VLAN 的先决条件是必须知道交换机中是否定义的MAC VLAN 策略,同时需知道至少一个已定义的MAC 地址。(通过网络扫描是无法得到的,参看上面对隔离VLAN 的介绍)IP/MAC绑定策略: IP/MAC绑定策略需要我们事先将归属该VLAN 的终端 IP/MAC配置到交换机上(IP/MAC可以通过交换机自动学到), 只有符合我们预设的IP/MAC地址的终端才可以进入该VLAN 。IP/MAC绑定地址 VLAN 相比 MAC VLAN 安全性更高, 适用于对安全和移动性需求非常高且VLAN 用户较少的网络设计中。IP/MAC绑定 VLAN 的另一个作用是禁止符合策略的用户
55、对IP 或MAC 进行改动,IP/MAC的改动将失去 VLAN 策略的匹配, 该终端从而被放入隔离VLAN 。IP/MAC绑定 VLAN 通常采用以下命令完成设定:vlan 11 binding mac-ip 00:00:39:59:0a:0c 21.0.0.10;当用户终端的IP地址设为 21.0.0.10,MAC 为00:00:39:59:0a:0c 时,该终端将自动进入VLAN 11. 安全性:进入IP/MAC子网 VLAN 的先决条件是必须知道交换机中是否定义了IP/MAC VLAN策略,同时需知道至少一个已定义的IP/MAC地址。(通过网络扫描是无法得到的,参看上面对隔离VLAN的介
56、绍)用户认证策略: 用户认证 VLAN 与上述策略 VLAN的最大不同是检测终端使用者的合法性而非终端本身的合法性,更适用于多人共用终端的场合。我们为终端用户提供合法账号,不同的账号对应不同的 VLAN 或决定交换机端口的开、闭(802.1x ),终端进入哪一个VLAN 由用户账号决定。由于是对用户的认证,所以该策略的实施必须引入用户认证服务器来完成相应的认证、授权工作, 相对增加了网络管理的复杂度。安全性:进入用户认证VLAN的先决条件是必须获得合法的用户账号(当采用认证服务器回指VLAN 属性的方式时, 由于用户在认证过程中的通信是在隔离VLAN 中完成的, 只有认证通过后才会进入工作 V
57、LAN ;因此,认证的加密就非常有必要)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 17 页 - - - - - - - - - DHCP 策略: DHCP 是终端自动获得IP地址的协议,对于访客非常方便。通过对VLAN 定义 DHCP ,使得访客自动获得IP地址并进入相应的访客VLAN 。 通常采用以下命令完成一个DHCP 策略 VLAN 的设定:vlan 10 dhcp port 3/1-24 ;当用户终端的IP地址设为自动获得时时,该终端将自动进入VLAN 1
58、0并获得相应的IP地址。安全性:无特殊安全性,便于访客的灵活接入同时与保障企业内网的安全隔离。Alcatel基于策略 VLAN 的安全接入解决方案: 对于一个企业,拥有众多的部门,包括工程、销售、财务、领导以及访客等,我们在作网络规划设计时根据不同部门对网络安全的要求不同,予以不同的 VLAN 策略,使整个网络在安全、 灵活、易用和易管理几个方面达到最大的统一。下面就一个典型案例进行具体分析、设计。在这个案例中我们将用户按安全级别分为4类:安全级别高、且端口固定:如财务部安全级别高、且有移动要求:如领导安全级别一般、且有移动要求:业务部门,如工程、销售安全级别低、访问受限制:如访客和临时部门M
59、UX VLAN 定义:MUX VLAN 是一种包含上行端口和业务虚端口的VLAN 。 一个 MUX VLAN 可包含多个上行端口,但只包含一个业务虚端口。不同MUX VLAN 间的业务流相互隔离。原理: MUX VLAN 分为 Principal VLAN和Subordinate VLAN ,Subordinate VLAN又分为 Separate VLAN 和Group VLAN ,MUX VLAN 与接入用户存在一对一的映射关系,因此可根据VLAN 区分不同的接入用户。例如,当需要用VLAN区分用户时,可以使用MUX VLAN 。作用: MUX VLAN ( Multiplex vlan
60、)提供了一种在VLAN 内的端口间进行二层流量隔离的机制。需求:在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。通过MUX VLAN 提供的二层流量隔离的机制可以实现企业内部员工之间可以互相交流,而企业客户之间是隔离的。应用场景:如图所示,根据MUX VLAN 特性,企业可以用Principal PORT连接企业服务器,Separate PORT连接企业客户,Group PORT 连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器, 而企业员工内部可以通信、企业客户间不能通信、企业客户
61、和企业员工之间不能互访的目的。我司应对:这是华为和H3C的私有协议,可以通过acl 或保护口来替代uRPF uRPF是一种单播逆向路由查找技术,用来预防伪造源地址攻击的手段。之所以称为逆向,是针对正常的路由查找而言的。一般情况下路由器接收到报文,获取报文的目的地址,针对目的地址查找路由。如果找到了进行正常的转发,否则丢弃该报文。urpf 通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与入接口匹配。如果不匹配认为源地址是伪装的,丢弃该报文。 通过这种方式urpf 就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。在s1 上伪造源地址为2.2.2.
62、1 的报文向服务器s2 发起请求, s2 响应请求时将向真正的“ 2.2.2.1 ”即s3 发送报文。 这种非法报文对 s2 和s3 都造成了攻击。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 17 页 - - - - - - - - - 攻击者使用随机改变源地址的方法发起攻击。在本例子中, 源地址使用一些保留的非全局的ip 地址,因此不可达。其实即使是一个合法的ip 地址,只要是不可达的也可以用来发起攻击。另一种情况: 攻击者可以伪造一个源地址,该地址是另一个合法网
63、络的地址并且在全局路由表中存在。 例如, 攻击者伪造一个源地址使得被攻击者认为攻击来自于伪造的源地址,但实际上该源地址是完全无辜的,并且有时候网络管理员会因此而关闭所有来自源地址的数据流,这样正好使得攻击者的拒绝服务攻击成功实现。更复杂的情形是tcp syn 洪泛攻击将使得syn-ack 数据包发送到完全与攻击无关的许多主机,而这些主机就成了牺牲者。这使得攻击者可以同时去欺骗一个或者多个系统。同样也可以采用udp 和icmp 洪泛攻击。所有这些攻击都会严重的降低系统性能,甚至使得系统崩溃。urpf 就是为了防范这种攻击而使用的一种技术。可控组播IPTV CAC IPTV 中的 BTV (电视直
64、播)业务,是非常适合利用组播技术来进行传输的,因为对于观看同一频道的大量用户来说在同一时间收看的是同一内容。媒体服务器仅发送一份该直播电视频道的报文,网络在用户的分支点才进行复制,在分支点以上的网络只需传送一个数据流,大大减轻了网络的带宽及服务器资源。如何将各个频道名翻译为网络设备、服务器能够识别和区分的语言,就需要为不同的频道名分配唯一的组播地址。 比如为 CCTV5 分配 225.0.0.5的组播地址。 用户在选择观看CCTV5 频道的时候,实际上是一个加入225.0.0.5组播组。可控组播是华为公司提出的一整套可运营、可管理的组播技术解决方案。可控组播主要解决在IPTV宽带运营网络上提供
65、对组播用户、组播源、组播组的控制,完备的、 可扩展的计费手段和对组播网络的监控、管理手段。可控组播的实现机制是用户在营业厅开户定购直播频道节目,其信息记录到SMS业务管理系统,SMS系统通过标准的TL1 接口将用户的信息通知到网管NMS 系统,NMS 系统通过SNMP 协议将对于用户的控制信息发送到组播控制点(BRAS/DSLAM/L2 )等网络上,组播控制点根据该信息实现组播权限转发,仅向IPTV 合法用户转发组播报文。DLDP 光 纤错 接 和 链 路 单 通可 能 会 导 致STP网 络 出 现广 播 风 暴 , DLDP(Device Link Detection Protocol)是
66、华为私有的二层协议,用于检测这类场景。在网络施工和维护中,光纤错接是一种较为常见的问题,包括:光纤交叉连接链路单通,又包括如下情况:强制模式直连单纤中断非直连,经过传输的单纤中断部分低端光模块不插光纤也UP DLDP 的技术特色支持检测光纤错误连接支持检测单通支持和环网保护协议叠加应用,提高网络的容错性DLDP 的局限性和应用限制:合理部署时,DLDP 本身不存在明显限制,但要注意互通性,因为为名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 17 页 - - - - -
67、 - - - - 非标准协议,和其他厂商对等协议的互操作性不好DLDP 的应用场景和注意点:适合用于错纤、链路单通的检测场景。NQA NQA(Network Quality Analyzer)网络质量分析是一种实时的网络性能探测和统计技术,可以对响应时间、 网络抖动、 丢包率等网络信息进行统计。NQA 还提供了与 Track 和应用模块联动的功能,实时监控网络状态的变化。 NQA通过发送测试报文,对网络性能或服务质量进行分析,为用户提供网络性能参数,如时延抖动、 HTTP 的总时延、 通过 DHCP 获取 IP地址的时延、 TCP 连接时延、FTP连接时延和文件传输速率等。利用 NQA 的测试
68、结果,用户可以:1. 及时了解网络的性能状况,针对不同的网络性能,进行相应的处理;2. 对网络故障进行诊断和定位。NQA 还提供了与 Track 和应用模块联动的功能,实时监控网络状态的变化,及时进行相应的处理,从而避免通信的中断或服务质量的降低。NQA 具有以下几个特点:1. 支持多种测试类型传统的 Ping 功能是使用 ICMP(Internet Control Message Protocol,互联网控制报文协议)测试数据包在本端和指定目的端之间的往返时间。NQA 是对 Ping 功能的扩展和增强,它提供了更多的功能。目前 NQA 支持 11种测试类型: ICMP-echo、 DHCP
69、、 DNS 、 FTP、 HTTP 、 UDPjitter、 SNMP 、 TCP 、 UDP-echo、Voice 和DLSw 测试。2. 支持多测试组并发NQA 模块支持多个测试组并发,用户可以根据需求手工配置并发个数。但对于DHCP 测试,同一时刻只允许有一个测试组进行测试。3. 支持联动功能联动功能是指NQA 提供探测功能,把探测结果通知其他模块,其他模块再根据探测结果进行相应处理的功能。目前实现了与VRRP 、静态路由、备份中心和策略路由的联动。APSD APSD(Automatic Power Save Delivery) WiFi 联盟的 WMM省电认证协议,能够加长Wi-Fi
70、设备的电池寿命。在路由器中 APSD Capable :自动省电模式,一般默认为关闭。另一拼法的缩写:Automatic Power ShutDown - 自动功率关断降低耗电量的方法,均必须尽可能让用户装置使用低功耗的睡眠模式,而802.11 芯片必须以睡眠模式的最低可能耗电量支持此种作法。例如,Atheros 的AR6000移动型射频单芯片(radio-on-a-chip mobile;ROCm)装置,实现了极低耗能量的睡眠模式,以及自动省电模式(Automatic Power-Save Delivery;APSD)技术。 ROCm 同时提供绝佳的性能,能启用高速传输以缩短发送 / 接收的
71、时间,而芯片上的嵌入式处理器之自给式驱动程序,可分摊处理主机处理器上的经常性的网络维护操作。通过以上的做法与其他省电策略,ROCm 芯片能改善 WLAN 操作的耗电效率,效果可比传统WLAN 芯片的高达六倍,因此能改善电池寿命。现时可实现各种VoIP 应用的新一代802.11 装置,就包含这类的芯片。另: U-APSD (Unscheduled-Automatic Power Save Delivery)。包含在 WMM/IEEE 802.11E协议名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -
72、 - - 第 15 页,共 17 页 - - - - - - - - - Jumbo巨型帧通常一个以太网的帧最大为1518 字节。 而一个典型的光纤通道帧最大为大约2112 字节。因此在以太网上打包光纤帧时需要进行分段发送,然后在接收方进行重组。这会导致更多的处理开销,阻碍 FCoE端到端传输的流畅性。FCoE也必须解决以太网和光纤通道各自所传输的帧之间的差异。因此需要一个更大的以太网帧来平衡光纤通道和以太网帧大小上的差异。有一个称为 巨型帧 (Jumbo Ethernet frames )的实质标准,尽管不是正式的IEEE 标准,但它允许以太网帧在长度上达到 9k 字节。在使用巨型帧时需要注
73、意,所有以太网交换机和终端设备必须支持一个公共的巨型帧格式。最大的巨型帧(9K 字节)可以实现在一个以太网帧下封装四个光纤通道帧。FCoE帧是使用六字节MAC硬件目的地址和源地址的本地第二层以太网帧。但MAC地址是存储透明的,并且只能用于从源到目的地帧的交换。以FCoE帧中保留了存储事务中需要的光纤通道寻址,所以需要从FCID(Fibre Channel ID)到以太网MAC地址映射的方法。可以选择一个与地址解析协议 (ARP )相类似的协议来实现FCID 到 MAC 的地址映射。 例如, 在第三层IP 环境下,地址解析协议用于从上层IP 网络地址到第二层硬件MAC地址映射。此外,光纤通道使用
74、一些较为熟知的地址来获得存储服务(例如通过SNS发现设备机制) 。FCoE要求有相应的功能性来完成从熟知的地址到对应MAC地址的映射。在传统光纤通道中,HBA或存储端口在连接到以太网交换机时会接收FCID。FCoE设备无法确保通用以太网交换机提供专门的存储服务,所以必须依靠可用于FCoE交换机内部的域控制器和存储服务引擎来提供光纤通道登陆、寻址和其它高级服务。当我们拿FCoE 与 iSCSI 做比较时会发现,实际上这两个协议解决是完全不同的问题。iSCSI通过 TCP/IP 协议在可能产生损耗或阻塞的局域网和宽带网上传送数据存储块。相比之下,FCoE则只是利用了以太网的拓展性,并保留了光纤通道
75、在高可靠性和高效率方面的优势。届时这些优势还将在10g 以太网上有更好的体现。我们目前暂且将其称为CEE( Converged Enhanced Ethernet) 。ITIL ITIL是 ITInfrastructure Library的简称; ITIL 不是硬件,也不是软件,不是一个可以直接使用的标准,而是英国商务办公部从20 世纪 80 年代开始开发的一套IT 管理方法;实际上是一系列由所谓“最佳实践”(Best Practice)形成的图书,任何单位和个人都可免费使用的“公共框架”;目前已成为事实上的行业标准,并以其为中心在全球形成了完整的产业;HVRP HVRP(Hierarchy
76、VLAN Register Protocol , 分层 VLAN注册协议 )主要通过动态VLAN注册、老化,将端口上那些不参与报文转发的VLAN老化掉,只保留必需的VLAN,达到节约MAC地址表项资源的目的。应用场景: 运营商组网环境,网络拓扑结构为单环网络或者树形结构,在二层网络中的交换名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 17 页 - - - - - - - - - 机要学习大量的MAC 地址,为了减少交换机的MAC 地址学习数量,可以配置HVRP功能。HVRP通过区分不同的vlan 类型(用户vlan 和非用户vlan) ,实现端口上vlan 的动态注册和老化,达到节约mac 地址的目的,从而提高整台设备的用户容量名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 17 页 - - - - - - - - -
