1、交换路由竞争,常用技术目录背板带宽和包转发率 .2OAM 的定义 .2SFP+和 XFP接口区别 .6MFF 6Smart Link .6RRPP .8G.8032 ERPS和 SEP等环网技术 8VCT(Virtual Cable Test) 9Netstream和 Sflow、IPFIX 10IEEE802.3az的概念-EEE .12黑洞 MAC.12策略 vlan12uRPF 15可控组播 IPTV CAC15DLDP 16NQA .17APSD 17Jumbo巨型帧作用 .18背板带宽和包转发率完全无阻塞交换条件:所有端口容量 X端口数量之和的 2倍应该小于背板带宽 可实现全双工无阻
2、塞交换 证明交换机具有发挥最大数据交换性能的条件。 满配置吞吐量(Mpps)=满配置 GE端口数1.488Mpps(其中 1个千兆端口在包长为 64字节时的理论吞吐量为 1.488Mpps,pps 是每秒 64字节包的个数,如果包长更长,同样 1个千兆口,那么 PPS还不到 1.488Mpps)。例如 一台最多可以提供 64个千兆端口的交换机,其满配置吞吐量应达到 641.488Mpps = 95.2Mpps,才能够确保在所有端口均线速工作时,提供无阻塞的包交换。如果一台交换机最多能够提供 176个千兆端口 而宣称的吞吐量为不到 261.8Mpps(176 x 1.488Mpps = 261.
3、8),那么用户有理由认为该交换机采用的是有阻塞的结构设计。一般是两者都满足的交换机才是合格的交换机。 比如 Cisco 2950G-48 背板210002+481002(Mbps)13.6(Gbps) 相当于 13.6/2=6.8个千兆口 包转发率/吞吐量=6.81.488=10.1184Mpps Cisco4506 背板 64G 满配置千兆口 43065+2(引擎)32 包转发率/吞吐量321.488=47.616 Mpps一般是两者都满足的交换机才是合格的交换机。我司应对:对虚高不合理的参数,可以提出质疑。对于交换机包转发率,24 口千兆交换机,华为目前算法,1.5M PPS*24*1.5
4、(冗余)=54 MPPSOAM 的定义OAM(Operations, Administration, and Maintenance) 即操作、管理和维护。该机制在传统电信网中已应用很久了,主要是通过故障检测、告警、定位和隔离等手段提高网络的运维水平。目前,各标准化组织正在完成和已经完成的以太网 OAM相关标准有:IEEE 802.3-2005 第 57章(原 IEEE 802.3ah 第 57章)城域以太网论坛制定的 E-LMI(Ethernet Local Management Interface)Connectivity Fault Management (CFM)即 IEEE 802.
5、1agITU-T和城域以太网论坛制定的 Y.1731,可兼容 802.1ag一, OAM 的用途连通检测:即检测链路是否能正常传输报文,一般各种 OAM协议都采用周期性发送特定报文的方式完成,当一定数量的报文丢失,便判断为链路不可用。例如:在 802.3 OAM中,每秒发送一个 Information报文,当连续 5个报文丢失时,认为链路断开;在 802.1ag中,周期性地(周期可配置)发送 CCM报文,连续 3个报文丢失则认为对方已不可达;在 MPLS OAM中,则周期性地发送 CV报文和 FFD报文。环回:主要目的是检测链路的双向连通性。方法是将报文发送到目标实体,并由目标实体应答报文,发
6、送者根据返回报文的情况判断连通性。在发送和返回的报文中可以携带各种信息。例如:IP 协议中的 ping;802.3 OAM中的远端环回;802.1ag 中的 loopback;MPLS OAM中的LSP Ping。链路跟踪 :方法是将报文发送到目标实体,处于发送路径上、能识别该报文的设备向源实体回应报文。源实体通过收到的回应报文确定到达目标实体所经过的路径。例如:IP 协议中的traceroute ;在 802.1ag协议中使用的 linktrace。错误指示:可分为前向错误指示和反向错误指示。在一个路径上,当某个节点发现源节点发送的报文有错误时,它可以通知其他节点,它可以沿着这个路径向下游发
7、送通知,起到预防的作用,这就是前向错误指示;它也可以沿着路径逆向传递,告诉发送者,它发出的报文有错误。二、协议说明2.1 802.3ah802.3 OAM协议属于慢速协议(slow protocol) ,另一个著名的慢速协议是链路聚合控制协议(LACP) 。慢速协议具有如下共同特点: 每秒钟传输的报文不超过 10帧。 协议报文(PDU)不带 VLAN Tag。 协议报文目的地址为 01-80-C2-00-00-02。 协议报文的 Type域为 88-09。 协议报文不能被转发。 (802.3 OAM监控一段链路,从一个以太网口到另外一个以太网口,中间不能经过其他设备。 )2.2 802.1ag
8、 802.1ag针对 MAC地址,它判断相应的 MAC地址是否可达,从而获得二层网络的相应工作状态和路径。2.3 重要概念:域:在逻辑上将网络从内到外划分为不同的层次,称作维护域(Maintenance Domain) ,维护域可以嵌套,不能交叉,这样,在出现问题时,可以通过问题所在的域的范围判断问题的归属。这个想法的目的是将运营商网络同用户网络隔离开,或者说将网络在逻辑上同实际使用者对应起来,从而产生清晰的界面。当出现问题时,通过在不同域中的判断确定问题的具体位置。级别:协议中区分不同层次的域的方法是为每个域定义一个级别(level) ,高级别的域可以嵌套低级别的域。高低级别的域之间是不通信
9、息的,它们各自通报本域内的错误,范围较大的域的 802.1ag报文可以穿过较小的域,范围较小的域的报文不可以发送到域的外面。维护域(Maintenance Domain):是进行错误管理的一部分网络,维护域的边界由维护端点(MEP)围成。它由维护域名称(一个字符串)唯一标识。它具有的另外一个属性是维护域级别。维护集(Maintenance Association):维护集属于某个维护域,由维护域内唯一的名称(一个字符串)标识。它具有的另外一个属性是 VLAN。维护集是指 MD中的一个集合,包含一些 MP。用“MD 名+short MA名”来标识。MA 属于一个VLAN,MA 中的 MP所发送的
10、报文在该 VLAN内被转发,同时也接收 MA内其它 MP发送的报文,因此,MA 也被称为服务实例(Service Instance,SI) 。MEP(维护端点):维护域是有边界的,它的边界就是一个个的端口,因此,只要在边界端口上配置一个实体就可以了,这个实体叫做维护端点(Maintenance association End Point或MEP) 。当所有的边界端口都配置了维护端点,域的边界就确定了,域的范围也确定了。MEP 属于某个维护集,从维护域和维护集中继承了它们的属性:级别和 VLAN。维护端点用一个整数唯一标识,称为 MEPID。该整数在维护集内是唯一的。维护端点可发出 802.1a
11、g报文。MIP(维护中间点):在维护域内的端口上也可以配置实体,叫做维护中间点(Maintenance domain Intermediate Point或 MIP) 。MEP 和 MIP统称为维护点(Maintenance Point) 。维护点是本协议功能实现的主体,所有的功能均通过维护点的处理得以体现。MIP 属于某个维护集,从维护域和维护集中继承了它们的属性:级别和 VLAN。维护中间点仅回应收到的 802.1ag报文,不会自己主动发出。2.3 重要参数:级别和 VLAN有两个基本的参数贯串了 802.1ag协议的处理,它们就是维护域的级别(level)和它所服务的 VLAN。这两个参
12、数将网络进行了划分,它们影响到维护点的归属,影响到 802.1ag的报文内容、MAC 地址,影响到报文的处理等。维护域共分为 8个级别,从 07,数字越大,代表的维护域范围越大。级别较小的域中的1ag报文不能穿过域的边界进入到较大的域中。由于各级别的维护域是嵌套的,如果在级别较大的域中发现了较小级别的报文,就属于一种错误,维护域中的维护点就会报告错误。错误的处理则是系统管理员的工作,有时候可能是网络的错误,也有时候可能就是系统管理员配置错误。VLAN 当然是很重要的,这是目前二层网络的基础,802.1ag 协议报文是带有 VLAN Tag的,我司应对:这是运营商网络里的特殊需求,且要实现这个功
13、能,网络内所有设备要同步支持,H3C也不能完全支持。SFP+和 XFP接口区别XFP的速率是10G,并且是串行光收发模块的一种标准化封装。它符合以下标准:10G光纤通道、10G以太网、SONET/OC-192和SDH/STM-64。XFP光模块主要用于数据通讯和电信传输网的光纤传输XFP和SFP+ 的区别:两种不同的接口定义,最明显的是SFP+金手指有20个,XFP金手指有30个金手指,具体参数可以查看两种模块的MSA国际协议。SFP+、XFP用的都是LC接口的尾纤1)SFP+和XFP 都是10G 的光纤模块,且与其它类型的10G模块可以互通;2)SFP+比XFP 外观尺寸更小;3)因为体积更
14、小SFP+将信号调制功能,串行/解串器、MAC、时钟和数据恢复(CDR),以及电子色散补偿(EDC)功能从模块移到主板卡上;4)XFP 遵从的协议:XFP MSA协议;5)SFP+遵从的协议:IEEE 802.3ae、SFF-8431、SFF-8432;总结,SFP+是更主流的设计。我司应对:一边是SFP+的,一边是XFP,而且参数一样(传输距离相同,波长一样,比如都是10km或是40km、80km,波长1310nm,1550nm等),可以直接连接通信,不存在兼容性问题。SFP+、XFP用的都是LC 接口的尾纤MFF即Mac Force Forwarding,其核心思想:二层隔离、三层转发、A
15、RP代理,这个功能通常部署在二层交换机上,用于减轻网关ARP处理负担,降低网关受ARP攻击的风险,实现用户间的二层隔离。我司应对:可以明了,支持此功能即可,我司也支持。Smart LinkSMART-LINK针对双上行组网,实现主备链路冗余备份及故障快速迁移。用于在以太网交换机上实现链路备份功能,通过手工配置指定链路间的相互备份关系,备份关系一旦指定,即刻生效。SMART-LINK 技术应用的典型组网图如下:在 A设备上建立两个互为备份的二层接口(或聚合组)A1 和 A2,其中一个接口进行流量转发的同时,另一个处于阻塞状态。如图,A1 转发流量时,A2 被阻塞。此时的流量为图中的红色箭头表示。
16、如果 A1链接的 Link1链路故障,那么 A2立刻切换为非阻塞状态,开始转发流量。此时的流量为图中的蓝色箭头表示。A2在从阻塞状态切换为非阻塞状态时,在 VLAN内组播发送 FLUSH报文,网络中各台设备收到该报文后,根据端口的设置确定是否更新指定 VLAN列表的地址转发表。VLAN 列表将会在 FLUSH报文中携带,地址转发表包括 MAC表、ARP(ND)表等。Smart-link作为轻量级的保护技术,Smart-link的技术特色: 1)相比STP,可以提供最快可达50毫秒的收敛性能2)相比RRRP,提供了更简捷的配置方式;3)支持基于VLAN的负载分担,充分利用上行带宽。Smart-l
17、ink的局限性和应用限制1)缺少自己的心跳报文检测机制,无法保护跨传输的链路;2)轻量级协议,只对上行链路做相互的保护,上面网络的冗余保护需要上面网络自己解决。术语3)SMART-LINK技术为双上行组网量身定制,组网比较固定,有一定的局限性术语1) SMART-LINK组译为灵活链路组,包括两条链路,其中一条进行转发,另一条链路阻塞,作冗余备份。2) 主用链路和备用链路SMART-LINK组中处于转发状态的链路称为主用链路,处于阻塞状态的链路称为备用链路。3) 主端口和从端口SMART-LINK组的主用和备用链路在特定的设备上体现为端口或者聚合组端口,此处统称为端口。为了区分 SMART-L
18、INK组中的两个端口,将两个端口分别命名为主端口和从端口,也叫MASTER端口和 SLAVE端口。目前 SMART-LINK不支持按角色抢占的方式,因而两个端口对应的链路哪个处于转发状态并不固定,即主从端口和主用备用链路并无固定的对应关系。4) FLUSH 报文类似于 STP协议中的 TC报文,为了能够使网络中的设备及时感知网络拓扑变化,SMART-LINK发送一个 FLUSH报文通知其他设备进行地址刷新。但是,由于该技术为私有技术,目前只限于华为和 H3C等少部分厂商的一些设备能够识别该报文。对于不识别 FLUSH报文的设备,只能通过流量触发 MAC地址的更新。我司应对:SMART LINK
19、 为私有协议,此技术效果,我司有相应业内标准对应支持,例如 LACP/RRPPRRPP(Rapid Ring Protection Protocol)是一个专门应用于以太网环的二层协议,由 EAPS协议(Ethernet Automati Protect Switching,rfc3619)发展而来,由华为 3Com开发的私有协议(是针对 STP的缺陷推出的技术)。RSTP/MSTP应用比较成熟,但收敛时间在秒级。RRPP 是一个专门应用于以太网环的链路层协议。它在以太网环完整时能够防止数据环路引起的广播风暴,而当以太网环上一条链路断开时能迅速启用备份链路以保证环网的最大连通性。与 STP协议
20、相比,RRPP 协议有如下优点:拓扑收敛速度快(低于 50ms)收敛时间与环网上节点数无关(不受网络规模影响)RRPP 技术不足点是:不能和 xSTP 网络兼容组网。RRPP多实例在RRPP组网中,一个环上只能有一个主节点。当主节点处于Complete状态时,被阻塞的副端口会阻止所有用户报文通过。这样,所有用户报文在RRPP环上通过一条路径传输。主节点副端口侧的链路空闲,造成带宽浪费。 RRPP多实例基于域实现。在一个域中,所有端口、节点角色、拓扑都遵循基本的RRPP原则。与RRPP不同的是,RRPP多实例在一个RRPP环上可以存在多个域。一个域内可以包含一个或多个实例,每个实例代表一个 VL
21、AN范围。这些包含在域中的VLAN,称为 RRPP域的保护 VLAN。保护 VLAN包括属于该域的数据 VLAN、主环控制 VLAN和子环控制 VLAN。 在 RRPP多实例组网中,在同一个环路上存在多个主节点。根据主节点的Secondary Port阻塞属性即可实现业务流量的负载分担和链路备份。我司应对:目前,解决二层网络环路问题的技术有 RSTP/MSTP 和 ERPS 等多种标准协议,我司都支持G.8032 ERPS和 SEP等环网技术ERPS(Ethernet Ring Protection Switching):以太网多环保护技术,是业内标准。在2008年12月举行的ITU-TSG1
22、5的全会上,要对以太网环网保护标准G.8032的V1版本的修订版(Amendment1)进行讨论和表决,这个修订版主要增加以太网多环的保护方案。多环保护模型是G.8032标准中多环保护的技术核心,在实际网络中有较大的应用价值,技术实现难度大,也是各个厂商技术竞争的热点。会上,中兴通讯、诺基亚西门子、阿尔卡特朗讯、华为等主流设备厂商针对多环保护模型展开了激烈的技术辩论,最终中兴通讯提出的“Sub-ring子环划分模型”脱颖而出,被大会采纳。ITU-TG.8032多环标准的发布,标志着以太环网保护技术ERPS真正具备了成熟商用的条件,各厂家基于标准的互通也成为可能。已经成为ITU-TG.8032
23、国际标准,与2008年12月修订完成并表决通过。ITU-TG.8032ERPS以太环网标准吸取了EAPS、RPR、SDH、STP等众多环网保护技术的优点,优化了检测机制,可以检测双向故障,支持多环、多域的结构,在实现50ms倒换的同时,支持主备、负荷分担多种工作方式,成为了以太环网技术最新的成熟标准。智能以太保护 SEP(Smart Ethernet Protection)技术华为公司于2010年推出了SEP协议,华为以太环网技术SEP技术,比RRPP RPR适应性更强,支持拓扑更广泛,可和STP融合使用的以太网环网技术。SEP是一种专用于以太网链路层的环路保护机制,它通过有选择性地阻塞网络环
24、路冗余链路,来达到消除网络二层环路的目的,有效防止形成网络风暴。SEP协议的收敛性能和RRPP协议相当,在IEEE802.1中的位置和STP相同。 SEP协议支持半环和全环两种基本拓扑,保证其基本拓扑在任何时刻都有一个断点。SEP是华为的私有协议,不能和其他公司设备直接对接SEP技术优势SEP以网络段为单位。在SEP段完好的情况下,一个SEP段阻塞一个端口,从而避免了环路产生。当环网发生链路故障时,可以迅速地放开阻塞端口,进行链路倒换,恢复环网上各节点通信通路。SEP组网协议简单,是通过软件来实现的,无需专门的硬件即可支持SEP,不会额外增加客户投资。SEP能和现网xSTP兼容组网,很好保护现
25、网投资。SEP技术能给客户带来其他更多应用价值:SEP收敛时间远小于xSTP,并且和网络规模无关,最快达到50ms,很好支撑语音和视频业务保护倒换。SEP组网灵活,既支持封闭环,也支持开放环。SEP可以支持更复杂的多环组网拓扑,环换任意相连,各环独立存在,增加子环非常方便。在SEP网段上,在任意节点都可以查看该网段拓扑信息,方便状态查看和维护。根据流量状态,灵活修改指定断点来优化网络流量,达到网段两边的流量均衡;其他环网技术不能做到灵活指定断点,很难做到断点两边流量均衡。VCT(Virtual Cable Test)虚拟电缆检测功能VCT,是利用TDR(Time Domain Reflecto
26、metry-时域反射测试)来检测网络线缆的物理状态。TDR检测原理类似于雷达,它工作方式是通过主动向导线发射一个脉冲信号并检测所发送的脉冲信号的反射结果来检测电缆故障。当发送的脉冲信号通过电缆的末端或电缆的故障点时,就会引起部分或全部的脉冲能量被反射回来到达原来的发送源,VCT技术根据测量脉冲信号在导线中的传输获得信号到达故障点或返回的时间,然后根据公式将相应时间换算为距离值。通过VCT可以检测电缆状态、故障距离是否极性交换、插入信号衰减、返回信号衰减等。用户可以使能VCT特性对以太网电口连接电缆进行检测,开启系统对以太网电口连接电缆的检测功能。检测内容包括电缆的接收方向和发送方向是否存在短路
27、、开路现象,同时可以检测出故障线缆的位置。使用VCT可以检测到一下几种线缆状态故障:SHORT:表示短路,即2根或更多的导线短接在一起。OPEN:表示开路,表示网线中可能有线断掉了。NORMAL:表示网线连接正常。NOT USED:网线没有使用。IM MIS:表示阻抗不匹配,因为5类线的阻抗为100欧,为了防止波形反射和数据错误,线缆两端的终止器阻抗也必需是100欧。ERROR LOCATE说明问题点距离交换机端口的大概距离,单位是米,误差大约是2米。如果状态是NORMAL,那么该值为0。PHYTYPE表明使用的是10M/100M/1000M三种物理接口中的哪一种。我司应对:VCT 技术效果,
28、我司交换机有链路检测功能(line-detect),等同于此效果SNMP 和 RMON大部分网管系统还只是采用一些通用型的网络链路使用率监视软件,如MRTG,利用SNMP协议对网络的重点链路和互联点进行简单的端口级流量监视和统计;或采用在网络中部分重点POP点加装RMON探针的方式,利用RMON I/II协议对网络中部分端口进行网络流量和上层业务流量的监视和采集。上述两种被普遍采用的网络流量分析系统都有其显著的技术局限性。利用SNMP协议能够对被监视的各个网络端口进出的数据包数和字节数进行采集,但采集到的流量信息较为粗糙,不但包括网络层的客户业务流量信息,还包括链路层的数据帧包头,Hello数
29、据包,出错后重新传送的数据包等流量信息。而且SNMP协议还无法区分网络层数据流量中各种不同类型客户业务在总流量中的分布状况,也无法对进出的流量进行流向分析。利用RMON协议对运营商网络进行流量和流向管理可以部分弥补SNMP协议的技术局限性,如可以对业务流量进行统计,但同时也暴露出新的技术局限性。首先,由于RMON协议需要对网络上传送的每个数据帧进行采集和分析,会耗用大量的CPU资源因而不可能由网络设备本身实现,需要额外购买和安装内置式或外置式的RMON探针。市场上现有的RMON探针处理能力也有限制,还不能支持监控端口速率超过1Gbps的网络端口。其次,因为RMON探针为的硬件设备,价格较贵,所
30、以不可能为每台网络设备都配备,且由于RMON探针,特别是内置式RMON探针接入网络后不易变更,所以必然会造成出现异常事件时无法及时对特定的网络链路进行监控。最后,由于RMON探针采集到的管理数据是由分析每个数据包后得到的,数据量非常大且分散,协议缺乏内建的数据汇总机制,而且还不包括每个数据包的BGP AS号或路由Next Hop信息,所以不易对数据进行高层次的流向分析。这些因素都会阻碍利用RMON协议对大型网络进行流量和流向分析的有效性。Netstream和 Sflow、IPFIXnetstream是网络数据监控技术的一种(属于华为公司的私有协议) ,提供报文统计功能,它根据报文的目的ip地址
31、、目的端口号、源ip地址、源端口号、协议号和tos来区分流信息,并针对不同的流信息进行独立的数据统计。netstream数据采集和分析过程如下:(1)交换机把采集到的流的详细信息定期发送给nsc(netstream collector,网络流数据收集器);(2)信息由nsc初步处理后,发送给nda(netstream data analyzer,网络流数据分析器);(3)nda对数据进行分析,分析结果用于计费和网络规划等。一个典型的NetStream 系统由NDE、NSC 和NDA 三部分组成:1、NDE(NetStream Data Exporter,网络流量采样)。NDE负责对网络流进行采
32、集和发送,提取符合条件的流进行统计,并将统计信息输出给NSC设备。输出前也可对数据进行一些处理,比如聚合。配置了NetStream 功能的设备在NetStream 系统中担当NDE 角色。2、NSC(NetStream Collector,网络流量采集)。NSC通常为运行于Unix 或者Windows 上的一个应用程序,负责手机和存储来自NDE的报文,把统计数据收集到数据库中,可供NDA进行解析。NSC可以采集多个NDE设备输出的数据,对数据进行进一步的过滤和聚合。(3)NDA(NetStream Data Analyzer,网络流量分析)。NDA是一个网络流量分析工具,它从数据库中提取统计数
33、据,进行进一步的加工处理,生成报表,为各种业务提供依据(比如流量计费、网络规划,攻击监测)。通常,NDA具有图形化用户界面,使用户可以方便地获取、显示和分析收集到的数据。Netflow网络流量分析协议NetFlow为Cisco之专属协议(Netflow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的,并于同年5月注册为美国专利,专利号为6,243,667),提供IP中第三层之信息,可用来了解网络设备所传输之封包表头内容,依据此内容将所获得之资料加以统计,便可为网络流量统计、网络使用量计价、网络规划、网络监测等应用提供计数根据。同时,NetFlow也提供针
34、对QoS(Quality of Service)的测量基准,能够捕捉到每笔数据流的流量分类或优先性特性,而能够进一步根据QoS进行分级收费。Netflow支持同时向两个管理服务器地址输出采集到的网络流量和流向统计信息,输出数据的方式有三种:简单高效UDP传输协议方式(传统方式)。但由于采用了UDP协议,数据传输的可靠性是不保证的。SNMP MIB方式。管理服务器可以通过SNMP协议访问网络设备Netflow MIB库中存储的数据流Top N统计结果。可靠的SCTP传输协议方式。利用SCTP传输协议,支持拥塞识别,重传和排队机制,确保Netflow统计结果数据正确发送给上层管理服务器。Netfl
35、ow V9的优势:1) rfc3954总共定义了65个数据流信息的属性类型,而Cisco在此之上将属性类型扩展到82个,后续还能进行扩展。这表明Netflow V9能够根据技术的发展对未来数据局流实现更加细致的统计和分析。2) 无论是针对Netflow本身的配置还是针对流量统计的配置,均以模板的方式实现,可以通过对模板的各个records进行调整来适应具体的网络环境和监控需求,具有高度的灵活性。3) 数据流的统计通过模板和data记录来实现,这使得每一次扩展升级对exporter和collector的影响非常小,只需要更新相应的模板就可以了,不需要每次都对设备硬件进行升级。Netflow V9
36、的不足:开放性不够:Cisco的Netflow v9虽然提交了相关RFC,但是在RFC主要介绍了v9的数据包格式和一些关键概念的定义说明。对数据流的检测、输出、分类等并未进行较细致的规定(根本未提及),这些内容Cisco内部有机制,但是未公开安全性不够:Netflow v9的设计初衷是将输出器和收集器定义在一个独立的私有的网络中,但现在很多时候Netflow v9被用来在公共网络中传输数据流记录,这导致一定程度的安全风险。在RFC和Cisco提供的白皮书中未找到其他任何相关的机制和说明。Cisco可能通过其他独有的上层手段来保障安全性,但是Netflow v9本身的安全完整性还是有所不足。sF
37、low网络流量分析协议sFlow是一种基于标准的最新网络导出协议(RFC 3176),能够解决当前网络管理人员面临的很多问题。通过将sFlow技术嵌入到网络路由器和交换机的ASIC芯片中,sFlow已经成为一项线速运行的“永远在线”技术。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比,sFlow能够大大降低实施费用,采用它可实现面向每一个端口的全企业网络监视解决方案。IPFIX网络流量分析协议IPFIX是ietf基于Netflow v9而开发的最新的数据流输出标准。IPFIX不但继承了Netflow v9基于模板的流信息输出格式,而且在此基础上对数据流输出的典型应用进行了输出规范
38、的建议,另外Netflow中未涉及到的安全性问题在IPFIX中也进行了说明。IPFIX的优势:1)继承了Netflow v9的灵活性和扩展性;2)定义了4个组件,增加了监测进程(Netflow只有3个组件),将组件的功能划分得更加细致;3)就流量监控的功能引入了应用相关,针对不同的应用在监控内容上进行了明确的区分;4)在RFC中对安全性和可靠性作出了明确的要求,对可能出现的隐患进行了说明;5)详细规范了输出和监测进程的细节;IPFIX的不足:1) 在对flow的描述上仅提供了30多个属性,远低于netflow v9的85个属性;2) 对安全性方面的保障机制仅提出要求,需要依赖于第三方技术和协议
39、来实现;3) 对flow信息的加密技术和机制没有任何说明,缺乏标准本身的整体完整性;常见的网络流量协议包括:Flow名称 代表厂商 主要版本 备注NetFlow Cisco V1、V5、V7、V8、V9 应用最广CFlowd Juniper V5、V8 厂商跟进力度不高sFlowFoundry、HP、Alcatel、NEC、Extreme 等 V4、V5实时性较强,具备突出的第二七层信息描述能力NetStream 华为、H3C V5、V8、V9 与 NetFlow较为类似IPFIX IETF标准规范 RFC 3917 以 NetFlow V9为蓝本IEEE802.3az的概念-EEEIEEE8
40、02.3az是经过电子电气工程师协会(IEEE)正式批准的标准节能规范,其中EEE三个字母是Energy Efficient Ethernet的缩写,意思是高效节能以太网。如果硬件设备支持该标准,就可以在互联网使用或者以太网活动处于空闲状态的时候降低网络连接两端的能耗,开始正常传输数据的时候则恢复正常供电。EEE标准为以太网设备规定的降低能耗方式是定义低功耗模式。一个没有可发送帧的收发器就可以进入低功耗模式,当有新帧到达时,收发器会在数微秒内返回活动模式,从而实现了对协议上层几乎透明的节能。黑洞 MAC黑洞 MAC地址表项:由用户手工配置的一类特殊的 MAC地址,当交换机接收到源地址或目的地址
41、为黑洞 MAC地址的报文时,会将该报文丢弃,不会被转发到网络中。一般在检测到某个病毒源之后,把该 PC的 mac地址配置为黑洞 mac(black-mac),就可以保证网络的安全了。该 pc就被孤立了。意思就是你给他发的信息他收到了,但是不会转发,也不会告诉你.靠这个原理来解决环路的. 华 3的,思科的设备都支持这个无需手动配置,用命令配置好,自动检测策略 vlan当前 VLAN划分的的主要策略1. 基于端口的VLAN 基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什
42、么。 2. 基于MAC地址的VLAN MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。 3. 基于路由的VLAN 路由协议工作在七层协议的第三层:网络层,即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。 4. 基于策略的VLAN 基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN
43、的划分中所采用的策略。 就目前来说,对于 VLAN的划分主要采用 1、3 两种模式,对于方案 2则为辅助性的方案。90%以上的网络设计,其 VLAN的划分依然基于交换机端口来完成,这种传统的 VLAN进入方式其局限性和安全隐患是显而易见:1)用户终端位置的变更需要网络管理人员对交换机端口进行重新配置。2)入侵者接入任何一个端口,通过简单的扫描软件将可以获得相应VLAN的所有信息,包括IP子网信息,网关地址,用户IP/MAC信息,甚至用户安全认证信息。 3)对于访客,如果我们没有专门为其预留端口,其接入将会给我们网络带来安全隐患;如果专门为其预留网络端口,在网络的什么位置预留,预留端口数量也将是
44、困扰网络管理员的重要问题;同时,端口的预留也是对网络资源的一种浪费。以Alcatel OmniSwitch为例,以其策略VLAN为基础来进一步分析网络的接入安全控制。Alcatel的策略VLAN: Alcatel策略VLAN打破了这种以固定端口划分VLAN的传统模式,将每一个VLAN赋予一定的策略,用户终端最终进入哪一个VLAN与其接入的交换机端口无直接联系,而与终端 的特性是否与VLAN策略的匹配相关;Alcatel策略VLAN实现了用户终端真正的即插即用,同时为用户、终端提供安全的数据隔离。Alcatel的VLAN策略包括: IP子网策略 MAC地址策略 IP/IPX协议策略 IP/MAC
45、绑定策略 IP/MAC/PORT绑定策略 用户认证策略 802.1X认证 MAC认证 WEB认证 DHCP策略 举例所示: 交换机中VLAN10,11,13分别通过不同的策略进行定义 当PC A接入交换机时,交换机将对PC A的MAC, IP,等特性进行自动检测,根据检测的结果将PC A的MAC放入匹配策略的VLAN,VLAN的定义与交换机的端口无关,当PC A移动到另一个端口时,由于PC A本身的 属性并为发生改变,PC A依然自动进入相同的VLAN。 当外来PC接入网络时,由于无法匹配任何VLAN策略,入侵者将无法进入工作(有效)VLAN,被交换机有效地隔离。我们称入侵者目前所在的VLAN
46、为隔离VLAN,重要的是,由于隔离VLAN是一个单独封闭的区域,使得入侵者即使使用网络扫描软件也无法得到位于工作(有效)VLAN用户的任何信息。 总结: Alcatel 策略VLAN解决了以下两个问题: 用户移动性:用户进入相应VLAN与接入端口无关,真正实现移动接入; 安全接入:对于非法用户,无论从交换机的哪一个端口接入都将被屏蔽在工作(有效)VLAN之外。 下面我们从接入安全的角度来介绍一下常用的各种策略VLAN的适用场合: IP子网策略:由于我们在网络设计时通常将不同的业务部门划分到不同的VLAN,同时将VLAN对应不同的IP子网;因此,IP子网策略适用于对安全需求不高,对移动性和简易管
47、理需求较高的的网络设计中。通常采用以下一条命令就完成了一个IP子网策略VLAN的设定:vlan 10 ip 192.168.10.0 255.255.255.0;当用户终端的IP地址设为192.168.10.x时,该终端将自动进入VLAN 10. 安全性:进入IP子网VLAN的先决条件是必须知道交换机中定义了哪些IP子网(通过网络扫描是无法得到的,参看上面对隔离VLAN的介绍) MAC地址策略:MAC地址策略需要我们事先将归属该VLAN的终端MAC地址配置到交换机上(MAC地址可以通过交换机自动学到),只有符合我们预设的MAC地址的终端才可以进入该VLAN。MAC地址VLAN相比IP子网VLA
48、N安全性要高,但配置工作量相对较大;策略适用于对安全和移动性需求较高的网络设计中。MAC地址VLAN通常采用以下命令就完成设定:vlan 11 mac 01:01:01:02:02:02;当用户终端的MAC地址设为01:01:01:02:02:02时,该终端将自动进入VLAN 11. 安全性:进入MAC子网VLAN的先决条件是必须知道交换机中是否定义的MAC VLAN策略,同时需知道至少一个已定义的MAC地址。(通过网络扫描是无法得到的,参看上面对隔离VLAN的介绍) IP/MAC绑定策略:IP/MAC绑定策略需要我们事先将归属该VLAN的终端IP/MAC配置到交换机上(IP/MAC可以通过交
49、换机自动学到),只有符合我们预设的IP/MAC地址的终端才可以进入该VLAN。IP/MAC绑定地址VLAN相比MAC VLAN安全性更高,适用于对安全和移动性需求非常高且VLAN用户较少的网络设计中。IP/MAC绑定VLAN的另一个作用是禁止符合策略的用户对IP或MAC进行改动,IP/MAC的改动将失去VLAN策略的匹配,该终端从而被放入隔离VLAN。IP/MAC绑定VLAN通常采用以下命令完成设定:vlan 11 binding mac-ip 00:00:39:59:0a:0c 21.0.0.10;当用户终端的IP地址设为21.0.0.10,MAC为00:00:39:59:0a:0c 时,该终端将自动进入VLAN 11. 安全性:进入IP/MAC子网VLAN的先决条件是必须知道交换机中是否定义了IP/MAC VLAN策略,同时需知道至少一个已定义的IP/MAC地址。(通过网络扫描是无法得到的,参看上面对隔离VLAN的介绍) 用户认证策略:用户认证VLAN与上述策略VLAN的最大不同是检测终端使用者的合法性而非终端本身的合法性,更适用于多人共用终端的场合。我们为终端用户提供合法账号,不同的账号对应不同的VLAN或决定交换机端口的开、闭(802.1x),终端进入哪一个VLAN由用户账号决定。由于是对用户的认证,所以该策略的实施必须引入
