深信服AF下一代防火墙
技术白皮书
广州广升电子科技有限公司
2015年7月编辑整理
目录
1.概述 (4)
2.为什么需要下一代防火墙 (4)
网络发展的趋势使防火墙以及传统方案失效 (4)
现有方案缺陷分析 (5)
2.2.1单一的应用层设备是否能满足? (5)
2.2.2“串糖葫芦式的组合方案” (5)
2.2.3UTM统一威胁管理 (5)
3.下一代防火墙标准 (6)
3.1G ARTNER定义下一代防火墙 (6)
3.2适合国内用户的下一代防火墙标准 (6)
4.深信服下一代应用防火墙—NGAF (7)
4.1产品设计理念 (7)
4.2产品功能特色 (8)
■更精细的应用层安全控制 (8)
■全面的应用安全防护能力 (11)
■独特的双向内容检测技术 (16)
■涵盖传统安全功能 (17)
■智能的网络安全防御体系 (17)
■更高效的应用层处理能力 (18)
4.3产品优势技术 (18)
4.3.1深度内容解析 (18)
4.3.2双向内容检测 (19)
4.3.3分离平面设计 (19)
4.3.4单次解析架构 (20)
4.3.5多核并行处理 (20)
4.3.6智能联动技术 (21)
5.解决方案与部属 (22)
5.1互联网出口-内网终端上网 (22)
5.2互联网出口-服务器对外发布 (22)
5.3广域网边界安全隔离 (23)
5.4数据中心 (24)
1.概述
防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员,通过有限的防御方式对风险进行防护,成本高,效率低,安全防范手段有限。而下一代防火墙则形如机场的整体安检系统,除了包括原有的安检人员/传统防火墙功能外,还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代应用防火墙”——NGAF。
2.为什么需要下一代防火墙
网络发展的趋势使防火墙以及传统方案失效
防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用:合理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题:
1、应用安全防护的问题:
传统防火墙基于IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。
2、安全管理的问题:
传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。
3.安全可视化的问题
传统防火墙无法抵御来自应用层的威胁,自然就无法提供给用户有效的安全策略制定依据。传统防火墙的防御能力有限导致了用户对内网服务器和终端的安全状态没有直观的体现和把握,缺乏安全信息的可视化。
现有方案缺陷分析
2.2.1单一的应用层设备是否能满足?
1、入侵防御设备
应用安全防护体系不完善,只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。
2、Web应用防火墙
传统Web防火墙面对当前复杂的业务流量类型处理性能有限,且只针对来自Web的攻击防护,缺乏针对来自应用系统底层漏洞的攻击特征,缺乏基于敏感业务内容的保护机制,只能提供简单的关键字过滤功能,无法对Web业务提供L2-L7层的整体安全防护。
2.2.2“串糖葫芦式的组合方案”
由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+……的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中,管理人员通常会遇到如下的困难:
效率低:同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率变得低下,运行速度变得十分缓慢。
维护成本高:众多设备需要提供足够的空间和环境支持,大大提高了维护成本。
管理复杂:独立设备、管理复杂,需要培养熟悉各类设备、各厂商设备的高级管理人员。安全日志分散:各厂商设备的日志记录内容不同,格式风格不同,甚至可能出现语言也不同,各自侧重关注的重点不一,无法进行统一的安全风险分析。
2.2.3UTM统一威胁管理
2004年IDC推出统一威胁管理UTM的概念。这种设备的理念是将多个功能模块集中如:FW、IPS、A V,联合起来达到统一防护,集中管理的目的。这无疑给安全建设者们提供了更新的思路。
事实证明国内市场UTM产品确实得到用户认可,据IDC统计数据09年UTM市场增长迅速,但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、A V进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对WEB服务器的有效防护等;另外,UTM开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分
析,性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用,而NGFW才适合员工大于1000人以上规模的大型企业使用。”
3.下一代防火墙标准
3.1G artner定义下一代防火墙
针对上述安全风险、网络环境、应用系统的变化,传统网络安全设备的无能为力,市场咨询分析机构Gartner 在2009年发布了一份名为《Defining the Next-GenerationFirewall》的文章,给出了真正能够满足用户当前安全需求的下一代防火墙(NGFW)定义。
在Gartner 看来,NGFW 应该是一个线速(wire-speed)网络安全处理平台,在功能上至少应当具备以下几个属性:
1、联机“bump-in-the-wire”配置,不中断网络运行。
2、发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:
(1)标准的第一代防火墙能力:包过滤、网络地址转换(NA T)、状态性协议检测、VPN等等。
(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS 与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。
(3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC。
(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。
Gartner认为,随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加和随着成功的攻击,促使更新防火墙,大企业将用NGFW替换已有的防火墙。不断变化的威胁环境,以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。
Gartner预计到2014年底,用户采购防火墙的比例将增加到占安装量的35%,60%新购买的防火墙将是NGFW。
3.2适合国内用户的下一代防火墙标准
深信服做为国内安全厂商的领导者,早在2011年就在国内率先提出了下一代应用防火墙的理念,依照国际上定义的下一代防火墙标准,我们认为基于应用层的下一代网络安全产品,除了满足Gartner定义的要求之外,面对国内软件Web应用环境复杂多样,应能够提供从L2-L7层的一体化安全防护方案,不让任何一层协议存在
的安全隐患成为整个安全体系的短板,深信服通过多年的安全技术积累以及多行业客户使用情况的调研,认为适合国内用户的下一代防火墙还应该具备如下的安全功能:
Web攻击防护能力
Web2.0时代,终端客户同互联网业务交互越来越紧密,75%的攻击来自于应用层,如何保障网站服务器,互联网增值服务等应用的正常运营是安全建设关注的重点,所以针对Web的攻击防护能力成为关键。
服务器双向内容检测
互联网没有百分之百的安全,假使服务器不幸被攻陷,对于事后的安全补救措施也能把损失控制到最低,双向内容检测技术即是在攻击发起方开始防护,对于服务器对的请求响应内容也同时进行检测,及时阻断黑客的攻击行为。
终端木马恶意流量识别/隔离
客户端安全受关注程度日益提高,很多攻击行为并不是针对服务器进行的,而是通过内网终端用户做为攻击跳板,攻陷了终端用户后再利用终端用户的信任信息对内网服务器发起进攻。所以对于终端的安全检测以及能够对发现风险后进行隔离都是下一代防火墙应具备的功能。
数据防泄密
近今年,国内互联网安全事件,导致个人账号,信息泄漏的案例层出不穷,数据泄密已经在OW ASP 2013年最新发布的网络威胁TOP10中版上有名,针对敏感数据内容防泄漏的安全产品需求日益增长。
网页防篡改
黑客出于获取某种利益或者炫耀技能的目的,针对代表客户形象的门户网站进行篡改替换,设置外链,黑链等恶意行为,对客户的对外形象产生极其不良的影响。对此类型攻击的防护,降低正常网页的误判也是国内客户经常遇到的难题。
4.深信服下一代应用防火墙—NGAF
4.1产品设计理念
通过将中国用户的安全需求与Garnter定义的“NGFW”功能特性相结合,深信服推出了下一代应用防火墙NGAF产品。
NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所有功能后性能不会大幅下降。
NGAF 不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、
非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。
更精细的应用层安全控制:
贴近国内应用、持续更新的应用识别规则库
识别内外网超过1200多种应用、2700多种动作(截止2013年4月30日)
支持包括AD域、Radius等8种用户身份识别方式
面向用户与应用策略配置,减少错误配置的风险
更全面的内容级安全防护:
基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲
强化的WEB应用安全,支持多种SQL注入防范、XSS攻击、CSRF、权限控制等
完整的终端安全保护,支持漏洞、病毒防护等
双向内容检测,功能防御策略智能联动
更高性能的应用层处理能力:
单次解析架构实现报文一次拆解和匹配
多核并行处理技术提升应用层分析速度
全新技术架构实现应用层万兆处理能力
更完整的安全防护方案
可替代传统防火墙/VPN、IPS所有功能,实现内核级联动
4.2产品功能特色
■更精细的应用层安全控制
NGAF独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。目前,NGAF的应用可视化引擎不但可以识别1200多种的内外网应用及其2700多种应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP 等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。
因此,通过应用可视化引擎制定的L4-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面,
在一个界面下完成多套设备的运维工作,提升工作效率。
4.2.1.1可视化的应用识别
随着网络攻击不断向应用层转移,传统的网络层防火墙已经不能有效实施防护。因此,作为企业网络中最重要的屏障,如何帮助用户实现针对所有应用的可视化变得十分重要。NGAF以精确的应用识别为基础,可以帮助用户恢复对网络中各类流量的掌控,阻断或控制不当操作,根据企业自身状况合理分配带宽资源等。
NGAF的应用识别有以下几种方式:
第一,基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的协议,其端口通常是相对稳定,可以根据端口快速识别应用。
第二,基于应用特征码的识别,深入读取IP包载荷的内容中的OSI七层协议中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。
第三,基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于P2P 下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;NGAF基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。
4.2.1.2智能用户身份识别
网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许某些IP段访问网络及网络资源。NGAF 提供基于用户与用户组的访问控制策略,它使管理员能够基于各个用户和用户组(而不是仅仅基于IP 地址)来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。
1、映射组织架构
NGAF可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,NGAF能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。
此外,NGAF支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP 地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。
2、建立身份认证体系
?本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定
第三方认证:AD、LDAP、Radius、POP3、PROXY等;
单点登录:AD、POP3、Proxy、HTTP POST等;
强制认证:强制指定IP段的用户必须使用单点登录(如必须登录AD域等)
丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。
NGAF支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。
4.2.1.3面向用户与应用的访问控制策略
当前的网络环境,IP不等于用户,端口不等于应用。而传统防火墙的基于IP/端口的控制策略就会失效,用户可以轻易绕过这些策略,不受控制的访问互联网资源及数据中心内容,带来巨大的安全隐患。
NGAF不仅具备了精确的用户和应用的识别能力,还可以针对每个数据包找出相对应的用户角色和应用的访问权限。通过将用户信息、应用识别有机结合,提供角色为应用和用户的可视化界面,真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制,制定出L4-L7层一体化基于用户应用的访问控制策略,而不是仅仅看到IP地址和端口信息。在这样的信息帮助下,管理员可以真正把握安全态势,实现有效防御,恢复了对网络资源的有效管控。
4.2.1.4基于应用的流量管理
传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的QOS便失去意义。NGAF提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务
的可视化流量管理价值。
NGAF采用了队列流量处理机制:
首先,将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类,像skype、emule 属于P2P类)
然后,分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度。
最后,在数据包的出口处,每个分类具备一个优先级别,优先级高的队列先发送,当优先级高的队列中的数据包全部发送完毕后,再发送优先级低的。也可以为分队列设置其它排队方法,防止优先级高的队列长期占用网络接口。
第1章基于应用/网站/文件类型的智能流量管理
NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用,又提升带宽使用效率。
第2章P2P的智能识别与灵活控制
封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。NGAF不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难,NGAF的P2P流控技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
■全面的应用安全防护能力
只提供基于应用层安全防护功能的方案,并不是一个完整的安全方案,对于服务器的保护传统解决方案通常是通过防火墙、IPS、AV、WAF等设备的叠加来达到多个方面的安全防护效果。这种方式功能模块的分散,虽然能防护主流的攻击手段,但并不是真正意义上的统一防护。这既增加了成本,也增加了组网复杂度、提升了运维难度。从技术角度来说,一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法,如果将这些威胁割裂开处理进行防护,各种防护设备之间缺乏智能的联动,很容易出现“三不管”的灰色地带,出现防护真空。比如当年盛极一时的蠕虫“SQL Slammer”,在发送应用层攻击报文之前会发送大量的“正常报文”进行探测,即使IPS有效阻断了攻击报文,但是这些大量的“正常报文”造成了网络拥塞,反而意外的形成了DOS攻击,防火墙无法有效防护。
因此,“具备完整的L2-L7完整的安全防护功能”就是Gartner定义的“额外的防火墙智能”实现前提,才能做到真正的内核级联动,为用户的业务系统提供一个真正的“铜墙铁壁”。
4.2.2.1基于应用的深度入侵防御
NGAF的灰度威胁关联分析引擎具备3000+条漏洞特征库、2500+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域6年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。
下图为灰度威胁关联分析引擎的工作原理:
第一,威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、P2P行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性我们初始化一个行为权重,如异常流量0.32、病毒蠕虫0.36等等,同时拟定一个威胁阀值,如阀值=1。
第二,用户行为经过单次解析引擎后,发现攻击行为,立即将相关信息,如IP、用户、攻击行为等反馈给灰度威胁样本库。
第三,在灰度威胁样本库中,针对单次解析引擎的反馈结果,如攻击行为、IP、用户等信息,不断归并和整理,形成了基于IP、用户的攻击行为的表单。
第四,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,例如某用户的行为组权重之和为1.24,超过了预设的阀值1,我们会认定此类事件为威胁事件。
由此可见,威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的要求,NGAF在两方面得以增强:
第一,通过NGAF抓包,客户可以记录未知流量并提交给深信服的威胁探针云,在云中心,深信服专家会对威胁反复测试,加快灰度威胁的更新速度,不断丰富灰度威胁样本库。
第二,深信服不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。
4.2.2.2强化的WEB攻击防护
NGAF能够有效防护OW ASP组织提出的10大web安全威胁的主要攻击,并于2013年1月获得了OW ASP 组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服NGAF为国内同类产品评分最高)主要功能如:
防SQL注入攻击
SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。NGAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。
防XSS跨站脚本攻击
跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目的。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服
务器安全。
防CSRF攻击
CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。
主动防御技术
主动防御可以针对受保护主机接受的URL请求中带的参数变量类型,以及变量长度按照设定的阈值进行自动学习,学习完成后可以抵御各种变形攻击。另外还可以通过自定义参数规则来更精确的匹配合法URL参数,提高攻击识别能力。
应用信息隐藏
NGAF对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:
HTTP出错页面隐藏:用于屏蔽Web服务器出错的页面,防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。
HTTP(S)响应报文头隐藏:用于屏蔽HTTP(S)响应报文头中特定的字段信息。
FTP信息隐藏:用于隐藏通过正常FTP命令反馈出的FTP服务器信息,防止黑客利用FTP软件版本信息采取有针对性的漏洞攻击。
URL防护
Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统,但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的受限URL防护功能,帮助用户选择特定URL的开放对象,防止由于过多的信息暴露于公网产生的威胁。
弱口令防护
弱口令被视为众多认证类web应用程序的普遍风险问题,NGAF通过对弱口令的检查,制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。HTTP异常检测
通过对HTTP协议内容的单次解析,分析其内容字段中的异常,用户可以根据自身的Web业务系统来量身定造允许的HTTP头部请求方法,有效过滤其他非法请求信息。
文件上传过滤
由于web应用系统在开发时并没有完善的安全控制,对上传至web服务器的信息进行检查,从而导致web 服务器被植入病毒、木马成为黑客利用的工具。NGAF通过严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性,以达到保护web服务器安全的目的。
用户登录权限防护
针对某些特定的敏感页面或者应用系统,如管理员登陆页面等,为了防止黑客访问并不断的进行登录密码尝试,NGAF可以提供访问URL登录进行短信认证的方式,提高访问的安全性。
缓冲区溢出检测
缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。NGAF通过对URL长度,POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。
4.2.2.3完整的终端安全保护
传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒,很多用户在部署过防病毒软件之后,终端的安全事件依然频发,如何完整的保护终端成为众多用户关注的焦点。NGAF提供完整的终端安全保护,全方位的保护终端不受威胁困扰。
1、病毒防护
NGAF提供基于终端的病毒防护功能,从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,7z等)中的病毒。
2、基于终端的漏洞防护
内网终端仍然存在漏洞被利用的问题,多数传统安全设备仅仅提供基于服务器的漏洞防护,对于终端漏洞的利用视而不见。NGAF同时提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。
4.2.2.4智能DOS/DDOS攻击防护
NGAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。
4.2.2.5专业攻防研究团队确保持续更新
NGAF的统一威胁识别具备3000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、2000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞
库CVE严格的兼容性标准评审,获得CVE兼容性认证(CVE Compatible)。
深信服凭借在应用层领域6年以上的技术积累组建了专业的安全攻防团队,作为微软的MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软发布安全更新前获得漏洞信息,为客户提供更及时有效的保护,以确保防御的及时性。
■独特的双向内容检测技术
4.2.3.1网关型网页防篡改
网页防篡改是NGAF服务器防护中的一个子模块,其设计目的在于提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。
NGAF通过网关型的网页防篡改(对服务器“0”影响),第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重定向功能,提供正常界面、友好界面、web备份服务器的重定向,保证用户仍可正常访问网站。NGAF网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言,客户无需在服务器上安装第三方软件,易于使用和维护,在防篡改部分基于网络字节流的检测与恢复,对服务器性能没有影响。
4.2.3.2可定义的敏感信息防泄漏
NGAF提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息
内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。(如:用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码……)
4.2.3.3应用协议内容隐藏
NGAF可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。■涵盖传统安全功能
下一代应用防火墙除了关注来自应用层的威胁以外,也涵盖了传统防火墙的所有基础功能,使得客户在使用原有传统防火墙的基础上可以实现无缝切换到下一代防火墙。
包含完整的传统防火墙功能
NGAF涵盖了完整的传统防火墙功能包括基于IP协议,端口的5元组访问控制策略、针对源和目的地址转换以及双向地址转换,NAT地址池,基于端口的PA T等所有NAT功能、支持静态路由,动态路由协议(OSPFv2,RIPv2)、基于服务和应用的策略路由,VLAN接口
,子接口属性,Access/Trunk二层VLAN端口支持等功能,以便于用户替换传统防火墙后,将原有的策略完全迁移至下一代防火墙中,实现简化组网、方便运维的效果。
融合领先的IPSecVPN
NGAF融合了国内市场占有率第一的IPSec VPN模块,实现高安全防护、高投资回报的分支机构安全建设目标,并支持对加密隧道数据进行安全攻击检测,对通道内存在的IPS攻击威胁进行流量清洗,全面提升广域网隔离的安全性。
统一集中管理平台
NGAF提供统一集中管理平台实现对分支各设备的集中监管,可实现各分支设备的硬件资源情况实时上报以及安全日志汇总,集中管理配置下发与远程独立配置,提高管理效率,简化运维成本。
灵活的应用部署方式
NGAF支持多种部署模式,包括可以在互联网出口做代理网关,或在不改变客户原有拓扑的情况下可做透明桥接或数据转发更高效的虚拟网线模式,同时也支持在交换机上做镜像把数据映射一份到设备做旁路部署以及支持二、三层接口混合使用的混合部署等,另外还提供了端口链路聚合功能,提高链路带宽和可靠性。对于数据请求和回复包走不同路由或者数据包两次通过不同接口穿过设备的的非对称路由部署环境,NGAF也能灵活支持。■智能的网络安全防御体系
安全风险评估与策略联动
NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。
智能的防护模块联动
智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。
■更高效的应用层处理能力
为了实现强劲的应用层处理能力,NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,NGAF也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,从而提升了工作效率,实现了万兆级的应用安全防护能力。
4.3产品优势技术
4.3.1深度内容解析
深信服NGAF的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测,而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备防御威胁种类单一,威胁检测经常出现漏报、误报的问题,可以帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。
4.3.2双向内容检测
深信服的双向内容检测技术,主要是针对攻击事件发生前的预防以及攻击事件发生后的检测补救措施,通过对服务器发起的请求以及服务器的回复包进行双向内容检测,使得敏感数据信息不被外发,黑客达不到攻击的最终目的。
4.3.3分离平面设计
深信服NGAF通过软件设计将网络层和应用层的数据处理分离,在底层通过应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层,如若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发。实现数据报文的高效,可靠处理。
4.3.4单次解析架构
要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会极大地消耗内存和CPU,因而UTM的多引擎,多次解析架构工作效率低下。因此,NGAF所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-80%。但这种技术的一个关键要素就是统一特征库,这项技术的难度在于需要找到一种全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述,这就好比是八个不同国家语言的人要想彼此无障碍交流,最笨的办法是学会7种语言,但明显不可行;因此,需要一种全新的国际语言来完成,从而提高可行性,又降低了工程的复杂度。
4.3.5多核并行处理
广电网络EPON产品应用 技术白皮书
目录 1、前言 (3) 2、EPON技术简介 (4) 3、ACE公司EPON产品简介 (15) 3.1 ACE公司EPON产品 (15) 3.2 ACE公司EPON产品功能表 (23) 4、 EPON方式双向改选的业务能力分析 (25) 5、 ACE公司EPON产品与EOC技术的无缝对接 (26) 6、附件1:HFC双向改造成本核算与方案选择 (35)
1、前言 广电网络行业主要负责有线广播电视网络建设、开发、经营和管理及有线电视节目的收转和传送。 近年来广电行业的迅猛发展,建设投入的增加,其业务也逐渐扩大,逐渐形成了现有的以光纤为主的有线电视光纤、电缆混合网络。有线电视用户可通过有线广播电视光缆网收看到多套稳定、清晰的电视节目和收听多套广播电台高保真立体广播。 随着用户对新业务需求的增加,使得广电网络迫切的需求在开展广播电视基本业务的同时,利用有线广播电视网的宽带网络优势,开发广播电视网络的增值业务,例如宽带IP、数字电视、广播系统等。由于EPON系统在光纤网络传输方面的天然优势,使得它在广电网络应用中存在非常大的潜力。
2. 无源光纤网络(PON)技术简介 2.1 PON的演化与分类 业界多年来一直认为,PON是接入网未来的方向,它在解决宽频接入问题上普遍被看好,无论在设备或维运网管方面,它的成本相对便宜,提供的频宽足以应付未来的各种宽频业务需求。 PON自从在20世纪80年代被采用至今为止已经历经几个发展阶段,电信运营商和设备制造商开发了多种协议和技术以便使PON解决方案能更好的满足接入网市场要求。 最初PON标准是基于ATM的,即APON。APON是由FSAN/ITU定义了相应G..983建议,以ATM协议为载体,下行以155.52Mb/s或622.08Mb/s的速率发送连续的ATM信元,同时将物理层OAM信元插入数据流中。上行以突发的ATM的信元方式发送数据流,并在每个53字节长的ATM信元头增加3字节的物理层开销,用以支持突发发射和接收。 目前则有两个颇为引人注目的新的PON标准
H3C EPON技术白皮书 H3C EPON技术白皮书 关键词: FTTH FTTB FTTx EPON 技术白皮书 摘要:本文献是关于EPON技术的介绍说明型文档,目的在于说明EPON 是一个什么技术、解决了什么问题。对EPON中的技术细节进行简单描述, 可以帮助你了解EPON这种接入技术的特点。 缩略语:
目录 1 EPON技术介绍 1.1 PON技术发展 1.2 EPON的基本原理 1.3 EPON的技术优点 1.4 EPON的传输原理 2 EPON协议和关键技术介绍 2.1 EPON协议栈介绍 2.1.1 EPON的层次模型 2.1.2 MPCP子层 2.1.3 EPON的物理层(RS子层、PCS子层、PMA子层、PDM子层)2.2 EPON关键技术 2.2.1 EPON数据链路层的关键技术 2.2.2 EPON的QoS问题
1 EPON技术介绍 1.1 PON技术发展 光纤接入从技术上可分为两大类:有源光网络(AON,Active Optical Network)和无源光网络(PON,Passive Optical Network)。1983年,BT实验室首先发明了PON技术;PON是一种纯介质网络,由于消除了局端与客户端之间的有源设备,它能避免外部设备的电磁干扰和雷电影响,减少线路和外部设备的故障率,提高系统可靠性,同时可节省维护成本,是电信维护部门长期期待的技术。PON的业务透明性较好,原则上可适用于任何制式和速率的信号。目前基于PON 的实用技术主要有APON/BPON、GPON、EPON/GEPON等几种,其主要差异在于采用了不同的二层技术。 图1 PON的两个主要标准体系 APON是上世纪90年代中期就被ITU和全业务接入网论坛(FSAN)标准化的PON 技术,FSAN在2001年底又将APON更名为BPON,APON的最高速率为622Mbps,二层采用的是ATM封装和传送技术,因此存在带宽不足、技术复杂、价格高、承载IP业务效率低等问题,未能取得市场上的成功。 为更好适应IP业务,第一英里以太网联盟(EFMA)在2001年初提出了在二层用以太网取代ATM的EPON技术,IEEE 802.3ah工作小组对其进行了标准化,EPON 可以支持1.25Gbps对称速率,随着光器件的进一步成熟,将来速率还能升级到10Gbps。由于其将以太网技术与PON技术完美结合,因此成为了非常适合IP业务的宽带接入技术。对于Gbps速率的EPON系统也常被称为GEPON。100M的EPON 与1G的EPON的不同在速率上的差异,在其中所包含的原理和技术,是一致的,目前业界主要推广的是GEPON,百兆位的EPON也有不多的一些应用。在后面文档中提到的EPON,如果没有特别说明,都是指千兆位的GEPON。 EPON是几种最佳的技术和网络结构的结合。EPON采用点到多点结构,无源光纤传输方式,在以太网上提供多种业务。目前,IP/Ethernet应用占到整个局域网通信的
2018上海区块链技术与应用白皮书 2018年9月6日
前言 区块链技术在全球各行业的深入应用,推动了传统的生产关系与商业模式的重塑。国务院、工业和信息化部先后在出台的《国务院关于印发“十三五”国家信息化规划的通知》、《软件和信息技术服务业发展规划(2016-2020年)》等文件中明确提出了区块链作为战略性前沿技术,区块链等领域创新达到国际先进水平的要求。上海市发布的《中共上海市委关于面向全球面向未来提升上海城市能级和核心竞争力的意见》中也明确指出加快区块链等新技术的应用。区块链技术与应用是全球产业变革的关键抓手,同时也是新一轮技术变革的重要驱动力量之一。它为我国加速经济发展、为上海市快速推进全球金融中心的建设提供了宝贵的契机。 区块链技术从诞生至今经历了多个阶段的发展。如今在金融、企业服务、社交、文娱传媒、物流、医疗健康、汽车交通、旅游、人工智能、电商、房产家居、消费生活、教育、农业等诸多领域得到了深度应用。特别是近一年来,区块链技术蓬勃发展,其应用项目数量达到历史最高峰。同时也成为全球各个发达国家、城市,领军企业和顶尖学术机构研究讨论的热点,备受关注和积极投入。在我国,各个城市也积极探索区块链技术的创新和应用,生态的构建和发展。上海市由于起步较早,并拥有良好的政策、人才、技术和资金基础,在区块链公司数量、融资规模等都位居全国第二。在世界城市范围内,上海市在区块链项目数量、论文
数量等也位居前列。但是从长远来看,上海市的区块链技术与应用依然存在核心技术、产业生态建设、配套政策、人才培养力度的不足。为此,加强薄弱环节的研究,构筑符合上海市发展战略的区块链技术路线、创新应用方向、产业服务布局,提出科学的发展建议,推进区块链技术和应用在上海市的健康发展,是在这场重大技术创新和产业变革中的努力方向,并促进上海市的区块链技术与应用在全国,乃至世界范围内拥有更大的影响力。 为进一步理清上海区块链发展现状、研究制定发展建议,在上海市科学技术委员会、上海市经济和信息化委员会的指导下,上海产业技术研究院联合中国计算机学会区块链专委会、上海计算机软件技术开发中心等企事业单位,经过现场调研、专家研讨、报告编制等阶段,重点研究梳理了上海区块链产业发展现状、梳理总结典型应用场景与案例、分析了上海区块链技术与应用发展思路并撰写了《2018上海区块链技术与应用白皮书》。白皮书内容详实、分析透彻,对各地产业主管部门推动区块链技术和应用,开展相关工作都有良好的参考价值。本书在编写过程中得到了上海市各高校、行业机构、领军企业以及行业主管部门的指导与帮助。感谢社会各界对本书编写和调研工作的参与和支持。
1.1保护倒换技术原理 1.1.1故障检测机制 保护倒换机制能够在发生故障时迅速切换到备份路径上,首先 能够及时发现故障,亦即故障检测机制。 目前常用的故障检测机制有以下几种: a)物理层检测方法,直接检测物理端口的状态、接收光功率等; b)链路层OAM检测方法,如802.3ah,可以通过link event 等来检测; c)业务层OAM,如Y.1731等,可以通过检测业务存活状态来检测,关于业务层OAM,请参阅瑞斯康达《CFM技 术白皮书》 1.1.2源宿协商机制 对于1+1单向保护倒换来说,源宿不存在协商问题,源端永久将流量发送到主备链路上。 对于其他保护倒换类型来说,存在源宿协商的问题,源端需要切换流量至备用链路,并将这个切换通知宿端,宿端需要 选择在哪条链路上接收,并把这个信息也通知到源端。目前一 般采用APS(Auto Protection Switch 自动保护倒换)协议,APS 协议可以承载在多种PDU上。APS协议定义了正常状态消息,故障状态消息,故障恢复消息,定时器超时消息、管理员指令 等多种消息类型,这些消息有优先级高低的区分。APS通过自
身算法来计算应该采取的动作。下文提到的多种具体保护倒换技术都采用了APS协议。 源宿协商机制一般有一步法,两步法,三步法等三种工作模式,这里的一步两步三步指的是协议报文的交互次数 a)一步法,宿端通知源端故障,然后源宿同时切换, 该模式仅适用于1+1或1:1 b)两步法,宿端通知源端故障,源端再通知宿端其所 选择路径,然后源宿完成切换 c)三步法,宿端通知源端故障,源端通知宿端其所选 择路径,宿端再通知源端其所选择路径,适用于所 有场景,但也最复杂 1.1.3返回机制 当流量倒换到备用路径之后,主用链路如果从故障中恢复了,那么保护倒换机制面临两种选择,是将流量再切换至原主用链路,还是保持不变,这称之为返回机制。切换回原主用链路的,称之为返回模式,保持不变的,称之为非返回模式。返回模式的优点是一般主用链路往往有更好的网络质量,或者备用链路有其他的流量。而非返回模式的优点在于实现简单。 1.1.4定时机制 保护倒换机制需要各种定时器来维护源宿两端及链路的状态,主要的定时器有:
公有链技术白皮书
前言 区块链技术源自2008 年诞生的比特币系统,它通过点对点网络和分布式的 时间戳服务器,集体维护和审计数据,解决困扰电子现金系统的“双花”难题。在 之后的发展过程中,区块链技术的应用逐渐从电子现金领域向其他领域扩展,经历 了新的分化与发展,出现了公有链(Public blockchain)和联盟链(Consortium Blockchain)两个发展方向。 公有链是指任何人都可以参与、无访问限制(Permissionless)的区块链。每 个互联网用户都可以在公有链上发布、验证、接收交易,都有机会参与记账。公有 链不仅是一个单纯的技术产品,其“共有、共建、共治、共享”的核心特征,使其 具有在全球范围提供一般信任服务的潜力。公有链虽由技术驱动,但可能对经济、金融、社会的组织形态及治理产生深刻影响,受到全球各界高度关注。 目前,公有链的发展还处于早期阶段,总体上呈现技术热、应用冷的态势。全球公有链的应用高度集中在加密数字资产领域,而且呈现明显的头部效应,由 于合规的链上身份系统缺乏、合约隐私性保护不足、与现有法律制度不协调等问题,与实体经济的对接还在探索中,“杀手级”应用尚未出现。但与此同时,公有链为区块链的技术创新发展提供了全球化的试验场,各种技术路线百花齐放,提升区块链 可扩展性、互操作性、隐私性及安全性的技术方案不断涌现。 本白皮书旨在厘清公有链的起源、概念、特性及其创新价值,分析当前全球公有链的技术、应用、治理等方面的现状及趋势,探讨公有链发展面临的挑战。
目录 版权声明 (1) 免责声明 (1) 前言 (1) 一、公有链起源与概念 (1) 二、公有链的价值和特征 (3) (一) 公有链的核心价值——提供基于机器的公共信任服务 (3) (二) 公有链的四大特征——共建、共有、共治、共享 (6) (三) 公有链的价值载体——Token (7) 三、公有链的产业发展 (8) (一) 全球公有链发展头部效应集中 (8) (二) 全球公有链学术研究活跃 (10) (三) 公有链产业应用仍在探索中,“杀手级”应用尚未出现 (11) (四) 公有链与实体经济结合面临诸多挑战 (12) 四、公有链的技术发展 (13) (一) 多样态共识模式不断出现 (15) (二) 并行分片方案稳步发展 (17) (三) 二层网络成为重点探索方向 (17) (四) 隐私性保护日趋全面 (19) (五) 可信计算方案崭露头角 (23) (六) 跨链互通需求日益凸显 (25) (七) 智能合约安全问题尤为严重 (26) 五、公有链的治理 (28) (一) 公有链治理是参与者对决策达成一致的过程 (28) (二) 公有链治理的架构与特征 (29) (三) 公有链治理的模式 (31) 六、公有链的监管 (34) (一) 公有链监管总体论述 (35)
以太网 OAM
1 以太网 OAM
为了推动城域网应用的拓展,IEEE 和 ITU-T 等标准化组织正在大力推动相关技术的标 准化工作。简单的说,城域网所应用的技术主要有两种,一种是 MPLS,一种是以太网。目 前这两种技术都存在缺乏 OAM 机制的问题。 MPLS OAM 由 IETF 主导完成, 本文不做描述。 除了 OAM 机制外,以太网还缺乏应用于核心网的能力,因此,IEEE 也正在完善这部分标 准,主要包括 QinQ 和 MacinMac。 OAM(Operations, Administration, and Maintenance) 即操作、管理和维护机制在传统电信 网中已应用很久了,主要是通过故障检测、告警、定位和隔离等手段提高网络的运维水平。 OAM 技术在 SDH 和 ATM 中已取得成功的应用,实践证明它能有效地降低运行维护成本, 最大限度地有效利用投资。随着电信管制政策的开放、电信竞争的引入与加剧,OAM 技术 受到工业界(尤其是运营商)的空前重视。 长期以来,以太网的运行、维护和管理大多由使用者(例如公司的网管人员)承担。过 去,由于局域网很少作为服务出售,因此,尽管以太网在运行维护方面远远达不到电信级的 水平(与 SDH、ATM 等技术相比) ,尽管耗费人力且效率低下,却也能够接受。但是,若 以太网进入需要付费的电信运营领域,这样的维护方式和水平不能满足运营商的服务模式。 目前,各标准化组织正在完成和已经完成的以太网 OAM 相关标准有: ü IEEE 802.3-2005 第 57 章(原 IEEE 802.3ah 第 57 章) ü 城域以太网论坛制定的 E-LMI(Ethernet Local Management Interface) ü Connectivity Fault Management (CFM)即 IEEE 802.1ag ü ITU-T 和城域以太网论坛制定的 Y.1731,可兼容 802.1ag 本文将介绍 802.3 第 57 章和 CFM。 1.1 关于“以太网 OAM”名称
以太网 OAM 相关的标准有若干, 每个标准的内容也不同, 当交流中碰到“以太网 OAM” 这个名称的时候,指的是哪个呢? 802.3 的名称是“以太网 MAC 层和物理层规范”,它的第 57 章标题为“Operations, Administration, and Maintenance (OAM)”,因此,IEEE 802.3-2005 第 57 章是可以称作“以太 网 OAM”的。 ITU-T 和城域以太网论坛制定的 Y.1731 的标题为“OAM functions and mechanisms for Ethernet based networks”,将它简单地称作“以太网 OAM”也无不可。 IEEE 802.1ag 的标题为“Connectivity Fault Management”,在该标准中, 没有提到 “Ethernet”的字样,也没有提到“OAM”。作者选用了 CFM 做为协议名称,避开“OAM”字眼, 也是为了不与其他协议混淆。这同 IEEE 的一贯逻辑是一致的,作为 802.1Q 协议(Virtual Bridged Local Area Networks)的修订,802.1ag 并非必须基于以太网,在理论上它也可以用 在令牌环网等其他介质上。而 IEEE 标准中所指的以太网,是非常严谨的,仅局限于 802.3 协议中。但是,802.1ag 同 Y.1731 是兼容的,它实际上是 Y.1731 的一个子集,两个协议具
芯片/硬件支持MPLS-TP OAM方案 MPLS-TP OAM标准发展现状 传送多协议标签交换(MPLS-TP)作为一种面向连接的分组传送技术,具有高效的多业务适配能力和灵活的标签转发机制,并且和IP/MPLS兼容,能满足分组业务的简单高效传送需求。在IETF和ITU-T 成立MPLS-TP标准联合工作组后,MPLS-TP的相关标准逐渐完善,成为全球各大运营商构建分组传送网络(PTN)的事实标准。 MPLS-TP 的相关RFC 和草案可以按照总体需求和框架、数据平面、管理平面、OAM、保护、控制平面、应用和互通等进行分类。总体来说,MPLS-TP 的数据平面和管理平面相对成熟稳定,OAM、保护和控制平面等方面的草案还处于研究开发之中,尤其是在OAM 和保护方面的分歧最大,这严重影响了MPLS-TP 的国际标准化和产业化进程。 OAM是MPLS-TP最核心的问题,IETF已启动保护架构的讨论,最大的争议就是OAM 具体技术规范,目前主要的方案包括GACH+Y.1731 PDU和BFD(Bi-direction Fault Detection) 扩展两种。 BFD扩展方式主要由Cisco,Juniper等数据通信领域的设备厂商提出,并得到了美国AT&T,Verizon等运营商支持,是IP/MPLS网络中BFD + LSP Ping的扩展。其问题是无法后向兼容IP/MPLS BFD协议,同时其标准化过程至少还需要2年,严重影响了运营商分组网络的部署。 GACH + Y.1731是由华为,阿尔卡特朗讯等传输领域的设备厂商提出,并得到了包括中国移动通信,中国电信,中国移动,意大利电信在内的运营商支持,是T-MPLS OAM(G.8114) 的自然升级。采用了在以太网已经成熟应用的Y.1731 OAM 标准,用MPLS-TP协议来封装Y.1731 PDUs。该方案已经由华为和阿尔卡特朗讯公司提出,成为IETF的草案(draft-bhh-mpls-tp-oam-y1731)。
H3C VCF控制器服务链技术白皮书 Copyright ? 2016 杭州华三通信技术有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
目录 1 概述 (1) 1.1 传统网络中的业务功能 (1) 1.2 SDN服务链 (1) 2 SDN服务链技术 (1) 2.1 报文中服务链特征的封装格式 (1) 2.1.1 扩展VXLAN头中保留字段的方式 (2) 2.1.2 NSH方式 (2) 2.2 H3C SDN服务链 (3) 2.2.1 概念介绍 (3) 2.2.2 转发流程 (4) 2.2.3 服务链流分类节点的类型 (5) 2.2.4 服务链服务节点的类型 (5) 3 H3C SDN服务链部署模式 (6) 3.1 虚拟路由器VSR做网关的服务链应用 (6) 3.1.1 灵活服务链模型 (6) 3.1.2 OpenStack服务链模型 (6) 3.2 物理网络设备做VXLAN网关的服务链应用 (7) 3.2.1 灵活服务链模型 (7) 3.2.2 OpenStack模型 (8) 3.3 第三方安全设备服务链代理应用 (9) 4 H3C SDN服务链编排 (10) 4.1 OpenStack自动编排 (10) 4.2 SDN控制器自动编排 (11) 5 H3C SDN服务链的特点 (12) 6 附录 (13) 6.1 GBP (13)
1 概述 1.1 传统网络中的业务功能 数据报文在网络中传递时,往往需要经过各种各样的业务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。这些业务节点(Service Node)包括熟知的防火墙(FireWalls)、入侵检测(Intrusion Prevention System)、负载均衡(Load Balancing)等。通常,网络流量需要按照业务逻辑所要求的既定顺序穿过这些业务点,才能实现所需要的安全业务。 但是,传统安全业务的部署,通常都是基于物理拓扑,通过手工配置多种策略,将安全设备串行到业务流量路径当中。这种部署和运维的模式存在诸多问题: ?网络设备之间的耦合性大,拓扑依赖严重。新业务上线、扩容或业务发生变更时,需要手工调整整个转发路径下设备的策略,无法满足业务快速迭代、变更的需求; ?数据包在业务路径中转发时,往往要经过多次分类,即多次解包、封包的过程,效率低下; ?在逐渐普及的Overlay虚拟化组网中,网络设备需要越过新增的Overlay报文头对内层报文进行检测,检测方法匮乏,性能损耗也更加严重; ?安全设备无法池化,扩展性差,一旦出现性能不足,通常只能更换更高端的设备; ?安全设备的能力无法在多业务间共享。 在新的网络架构下,如何利用新的技术将安全业务更好的融合进来,从而提供便捷、安全的网络架构,是各方面临的难题。 1.2 SDN服务链 随着Overlay网络的发展,虚拟网络和物理网络得以分离,虚拟网络承载于物理网络之上,更加抽象;而SDN技术和NFV(Network Functions Virtualization,网络功能虚拟化)技术的不断发展,也让数据中心的网络控制变得更加灵活,更具有扩展性。 在SDN Overlay数据中心中,同样需要网络服务节点提供必要的安全业务处理能力。SDN以其控制转发分离的特性,通过对基础网络的虚拟化和逻辑抽象,通过网络的集中控制部件——SDN控制器的控制,可以引导转发流量自动穿过服务节点,从而实现拓扑无关的、灵活、便捷、高效、安全地调配转发流量到服务节点上进行安全业务的处理,从而形成SDN定义的Overlay虚拟网络中的服务链(Service Function Chaining)。 在SDN Overlay网络中,服务链可以理解为一种基于应用的业务形式。 2 SDN服务链技术 2.1 报文中服务链特征的封装格式 基于SDN Overlay的服务链,需要有对应的字段来标识数据报文中服务链的特征,每条Chain都有自己的标识,数据包需要携带这些特征,例如:数据包应该走哪一条服务链,服务链有几跳等等。 目前,对于数据报文中这些特征的标识,有如下两种方式。
MPLS网络实现OAM和故障检测 随着大量传统的基于电路交换技术的应用逐渐由基于分组技术的IP/MPLS网络或以太网承载,分组交换网和电路交换网之间的边界正在消失。然而,在这一网络演进过程中,许多传统电路交换网能够支持的运行、管理和维护(OAM,Operation,Administration and Maintenance)功能,在基于分组的网络 中却难以实现。 MPLS最初是为了提高路由器的转发速度而提出的一个协议。近年来,由于MPLS很好地在流量工程(TE,Traffic Engineering)和VPN服务中得到了应用,该协议已经日益成为扩大数据网络规模、提高网络可运营能力的重要标准。本文将重点讨论MPLS网络中 OAM的相关问题,以及故障检测这一最基本 的MPLS OAM功能的实现方法。 MPLS网络中OAM功能的基本内容 MPLS层网络的OAM功能主要包括以下内容: (1)控制平面和数据平面OAM功能的分离:OAM分组应经由数据路径传送。 (2)失效LSP的检测:包括相同代价多径缺陷的检测,以及独立于用户流量,并在用户投诉前完成的 缺陷检测。 (3)缺陷检测和恢复:这里的缺陷包括LSP连通性丢失、具有并发LSP重路由功能的LSP服务降级、 交换LSP缺陷、某一LSP流量复制到另一个LSP的缺陷检测,以及成环缺陷等。 (4)失效LSP的缺陷定位。 (5)LSP的描述和分层:由于LSP可能会嵌套使用,因而需要对嵌套LSP进行相应的管理。 (6)LSP缺陷通告:在多层网络应用中,告警抑制功能需要在LSP端点与其他类型的缺陷通告技术(如 ATM和SDH/SONET中的缺陷通告技术)进行必要的互操作。 (7)SLA的度量和测量:特别是业务的可用性、流量传送的时延和抖动,以及流量丢失等的度量和测 量。 (8)恢复:对于某些业务来说,通常要求网络具有从失效中自动恢复的能力。 (9)对拒绝服务(DOS,Denial of Service)攻击的检测。 此外,为了使MPLS网络具有较强的可扩展能力,OAM功能应当简单且易于配置、能够前向兼容网络中 已有的LSR,并能够在劣化的网络和链路条件下实现。最终,MPLS OAM功能将在不同的管理域(如用户和 运营商的管理域)中运行。 MPLS故障检测概述 控制平面和数据平面的分离 控制平面和数据平面的分离直接与OAM分组的格式及分组处理方式相关。为了区分MPLS OAM分组和数 据分组,ITU-T Y.1711规范使用了一个具有两层标签的标签栈。栈顶标签的数值与用户分组的标签(即数 据传送所使用的标签)相同,以确保在大多数情况下OAM分组的传送路径与用户数据分组的传送路径相同。 第二标签采用了一个特殊的数值14,以将OAM分组与用户数据分组区分开来。然而,第二标签的引入可能 会使相应的处理机制无法与现有的负载均衡算法完全兼容,因而使采用ECMP(Equal Cost Multipath)协 议的网络无法正常工作。 混合模式是另一种分离控制平面和数据平面的方法。在混合模式中,可以通过使用一个特定的标记来 识别OAM分组,或使用分组中某一特定的字段,以使相应分组的识别更容易。虚电路连接确认(VCCV)就 是采用混合模式的一个例子。 失效LSP的检测 除了采用网络失效/定位机制外,还需要使用特定的分组流来对LSP失效事件进行测试。这是因为在许 多情况下,即使网络(链路或节点)并没有失效,分组流也可能被中断。造成这种状况的原因可能是路由/ 转发表出现问题、标记绑定被破坏或网络拥塞等。连通性确认、Ping/追踪路由等类型的OAM功能适用于这 种类型的故障检测。由于依赖的分组技术不同,上述协议的实现也不一样。但无论采用何种分组技术,最 重要的是OAM分组应采用与正常数据分组相同的传送路径。
(产品管理)广电网络EPON 产品技术白皮书
广电网络EPON产品应用 技术白皮书
目录 1、前言 (3) 2、EPON技术简介 (4) 3、ACE公司EPON产品简介 (15) 3.1ACE公司EPON产品 (15) 3.2ACE公司EPON产品功能表 (23) 4、EPON方式双向改选的业务能力分析 (25) 5、ACE公司EPON产品与EOC技术的无缝对接 (26) 6、附件1:HFC双向改造成本核算与方案选择 (35)
1、前言 广电网络行业主要负责有线广播电视网络建设、开发、经营和管理及有线电视节目的收转和传送。 近年来广电行业的迅猛发展,建设投入的增加,其业务也逐渐扩大,逐渐形成了现
有的以光纤为主的有线电视光纤、电缆混合网络。有线电视用户可通过有线广播电视光缆网收看到多套稳定、清晰的电视节目和收听多套广播电台高保真立体广播。 随着用户对新业务需求的增加,使得广电网络迫切的需求在开展广播电视基本业务的同时,利用有线广播电视网的宽带网络优势,开发广播电视网络的增值业务,例如宽带IP、数字电视、广播系统等。由于EPON系统在光纤网络传输方面的天然优势,使得它在广电网络应用中存在非常大的潜力。 2.无源光纤网络(PON)技术简介 2.1PON的演化与分类 业界多年来一直认为,PON是接入网未来的方向,它在解决宽频接入问题上普遍被看好,无论在设备或维运网管方面,它的成本相对便宜,提供的频宽足以应付未来的各
种宽频业务需求。 PON自从在20世纪80年代被采用至今为止已经历经几个发展阶段,电信运营商和设备制造商开发了多种协议和技术以便使PON解决方案能更好的满足接入网市场要求。 最初PON标准是基于ATM的,即APON。APON是由FSAN/ITU定义了相应G..983建议,以ATM协议为载体,下行以155.52Mb/s或622.08Mb/s的速率发送连续的ATM 信元,同时将物理层OAM信元插入数据流中。上行以突发的ATM的信元方式发送数据流,并在每个53字节长的ATM信元头增加3字节的物理层开销,用以支持突发发射和接收。 目前则有两个颇为引人注目的新的PON标准 GPON标准——是由ITU/FSAN负责制定的用来替换APON标准的GigabitPON (GPON)标准。FSAN与ITU已对其进行了标准化,其技术特色是在二层采用ITU-T 定义的GFP(通用成帧规程)对Ethernet、TDM、ATM等多种业务进行封装映射,能提供1.25和2.5Gb/s下行速率和所有标准的上行速率。在高速率和支持多业务方面,GPON有优势,但成本目前要高于EPON,产品的成熟性也逊于EPON。 EPON标准——是由IEEE802.3ah工作组负责制定的EthernetPON(EPON)标准。 IEEE1998年发布完千兆以太网标准后,于2000年12月,IEEE802.3成立了第1英里以太网—EFM特别工作组,致力于研究如何支持三种接入网拓扑以及相应的物理层。此外,该工作组还将定义以太网的运行、管理、维护(OAM),使它具有远端故障
众链之母 (MOAC) 技术白皮书 June 2017 [目标] MOAC项目旨在提供一种可扩展且有弹性的区块链,通过分层化的结构来支持数字资产交易,数据访问,和流程控制。它创建了一个框架以允许用户用高效的方式执行智能合约。它还提供了开发的体系结构,采用底层基础设施来快速简便地产生子区块链。它是一个区块链平台,可以为子区块链的架设提供必要的部件,同时为新想法的测试,私有链的部署,复杂任务的处理和智能合约的应用提供解决方案。 [当前的问题] 自从2008年中本聪的比特币项目引入了区块链技术以来,这项技术的发展非常迅猛。在 过去近十年的时间里,开发者们以极大的热情来探索区块链技术这个新领域,试图拓展区 块链的应用,提高区块链的效率和促进区块链的商业化。 区块链系统中的原生数字货币在区块链推广中起到了至关重要的作用,比如比特币系统的 比特币,以太坊系统的以太币等。这些原生数字货币不仅推动了更多的参与者来进入区块 链生态系统,也为当前存在的支付系统提供了更有效的方案。 当然,目前区块链技术还处于发展的早期阶段,现有区块链系统都有以下一个或多个问题。 1.难以尝试新的想法 新的想法意味着要建立一个新的区块链系统。这意味着有大量的额外开销和精力要用来设置服务器,培训开发团队,建立社区,吸引新用户等。 2.难以升级 一旦区块链被部署和进入生产模式,很难在功能上进行添加/修改/删除。区块链修改的结果就是会造成区块链系统的软分叉或者硬分叉。而每个分叉都需要大量的精力来处理,也必须承受由此带来的经济后果。 3.区块链系统之间不相容 不同的区块链有不同的模式,如共识协议,货币特征和适用要求。模式的差异阻止了多个链之间的互连或互换。 4.分裂的用户群 对于每个区块链,用户群是不同的。一个区块链系统的矿机和验证节点仅能用于该区块链。没有两个区块链可以共享它们。
MPLS OAM技术白皮书 华为技术有限公司Huawei Technologies Co., Ltd.
目录 1前言 (1) 2技术简介 (1) 3关键技术 (4) 4典型应用 (6) 4.1终端网络故障 (6) 4.2分层OAM (6) 5结束语 (7) 附录A 参考资料 (8) 附录B 缩略语 (8) Copyright ?2007 华为技术有限公司版权所有,侵权必究i
MPLS OAM技术白皮书 摘要:OAM功能在公众电信网中十分重要,尤其是对需要提供服务质量保障的网络,OAM可以简化网络操作,检验网络性能和降低网络运行成本。MPLS作为可扩展的下一代网 络的关键承载技术,提供具有QoS保障的多业务能力,因此MPLS网络迫切需要具备 OAM能力。本文档介绍了MPLS OAM的技术原理和实现,以及典型应用。 关键词:MPLS, OAM, PS, CV, FFD, FDI, BDI 1 前言 MPLS OAM技术为MPLS网络提供了一套缺陷检测的工具及缺陷纠正机制,通过MPLS OAM及保护倒换构件可以完成CR-LSP转发平面的检测功能,并在缺陷发生后的50ms内完成保护倒换,从而将缺陷所产生的影响减小到最低。本篇文档介绍了MPLS OAM产生背景及工作原理,读者应具有基本的MPLS知识,并对MPLS OAM草案有所了解。 承载MPLS的各种服务层,比如SDH都具有完善的OAM机制,问题在于MPLS可以在多种不同的服务层上传送(甚至LSP可以跨越由不同服务层组成的网络),而且它的用户层也是多种多样,如IP、FR、ATM、Ethernet等等,为了在MPLS的用户平面能确定LSP的连通性,并且可以衡量网络的利用率以及度量网络的性能,以便能根据与用户签订的SLA协议提供业务,MPLS层需要提供一种完全不依赖于任何用户层或物理层的OAM机制。 MPLS OAM实际上为MPLS用户层单独提供了一套检测机制,独立于其他网络层并为用户提供LSP的状态信息,为网络管理以及维护人员提供丰富的LSP诊断接口,为网络性能测量以及用户计费提供依据;MPLS OAM在提供检测工具的同时,还具备完善的保护倒换机制,能够在MPLS 层发生缺陷后50ms内完成用户数据的倒换动作,使用户数据的损失减小的最低。 2 技术简介 MPLS OAM技术简介:
以太网OAM技术白皮书 关键词:以太网OAM,EFM OAM,CFD,CFM,802.3ah,802.1ag 摘要:以太网OAM技术用于对以太网进行运行、维护和管理,本文主要介绍EFM OAM和CFD这两种以太网OAM技术的基本概念、运行机制和典型组网应用。 缩略语: 缩略语英文全名中文解释 Check 连续性检测 CC Continuity Edge 用户网边缘 CE Customer CCM Continuity Check Message 连续性检测消息 CFD Connectivity Fault Detection 连通错误检测 CFM Connectivity Fault Management 连通错误管理 CPU Central Processing Unit 中央处理器 EFM OAM Ethernet in the First Mile OAM 最后一公里以太网OAM FNG Fault Notification Generator 错误通知生成器 ISP Internet Service Provider 互连网服务提供商 LB Loopback 环回 Message 环回消息 LBM Loopback Reply 环回应答 LBR Loopback LT Linktrace 链路跟踪 Message 链路跟踪消息 LTM Linktrace Reply 链路跟踪应答 LTR Linktrace Association 维护集 MA Maintenance Domain 维护域 MD Maintenance MEP Maintenance association End Point 维护端点 MIP Maintenance association Intermediate Point 维护中间点 Point 维护点 MP Maintenance OAM Operation, Administration and Maintenance 操作、管理和维护 OAMPDU OAM Protocol Data Units OAM协议数据单元 PE Provider Edge 运营商边缘 Value 类型,长度,值 TLV Type, Length,
京东区块链技术实践白皮书2020 日前,在区块链“1024讲话”一周年之际,京东数科发布《京东区块链技 术实践白皮书2020》(以下简称“白皮书”),集中体现了京东数科区块链依托自身具备的丰富应用场景资源禀赋和技术先发优势。 白皮书涵盖了京东数科区块链在品质溯源、数字存证、数字金融、政务协同、信用网络、保险科技等6大领域30余分类场景中的丰富应用案例;区块链技术架构体系上的领先布局;区块链技术与云计算、人工智能、大数据、物联网等多种技术结合的广泛探索;以及与各行业携手搭建多个开放联盟链网络的产业生态。 白皮书中的区块链技术与应用实践,通过为企业级客户提供易用、普惠、开放的区块链平台和产品服务,进而惠及广大用户的日常生活场景,是京东数科以数字科技B2B2C模式打造可信世界的具体呈现,也充分体现了“科技(Technology)+产业(Industry)+生态(Ecosystem)”的产业数字化“联结(TIE)”模式。 在产业应用案例方面,厦门国贸集团股份有限公司通过京东数科智臻链云签电子合同平台,能便捷与其产业链上下游数十万家企业签订合同,化解传统方式的冗长流程,且实现全流程存证固化,保真保安全。 值得一提的是,京东数科在此次白皮书中还同步发布了其区块链品牌“智臻链”的新形象。智臻链新Logo形象与京东数科的科技蓝一脉相承,Logo中的三链紧密依存,象征着区块链将与人工智能、大数据、物联网、云计算等智能技术将在产业数字化转型中深度融合,推动集成创新和融合应用;也代表着区块链产业生态的建立和规模化应用,将依靠各机构、企业等主体组织共同合作才能达成,最终共同服务于人们美好生活的愿景。 区块链的下一个十年必将与生产、生活紧密相关,融为一体。京东数科区块链也将继续以客户为中心,充分发挥京东生态体系内外的丰富应用场景以及技术先发优势,研发易用、普惠、开放的区块链平台和产品,构建服务于产业数字化的连接器,促进跨多主体间高效协作的企业级可信协作网络建设。 报告如下
CFM技术白皮书 武汉邮电科学研究院 武汉烽火网络有限责任公司 2008年7月 OAM测试方案 模块名称:CFM 编写人:张瀚之 文件编号: 版本号: 1.0 时间:2009-1-16
CFM技术白皮书 摘要:CFM是一个建立服务以太网OAM功能的标准,用以提供电信级以太网的运营、维护、管理能力。本文档主要介绍了CFM的基本实现方法、特点以及一些CFM的基本应用。关键词:CFM、OAM、电信级以太网。
1.前言 电信级以太网(CE,Carrier Ethernet)。按照MEF定义,它包括5个方面的内容:标准化的业务(以太网透明专线、虚拟专线、虚拟局域网);可扩展性(各种以太网业务、10万条以上的业务规模、从1M到10GE);可靠性(用户无感知的故障恢复、低于50ms的保护倒换);QoS(端到端有保障的业务性能);电信级网络管理(快速业务建立、OAM、用户网络管理)。从运营商角度看,CE技术是指以太网技术由企业网应用到电信网的技术;从网络层次角度看,是以太网由局域网应用到城域网、广域网的技术。传统的电信网络具有较强的可扩展性、层次性、安全性、容错性、可区分服务、可操作维护性、可管理性和可控制性,比如ATM网络、SDH网络。近年来Internet网络技术的发展,更是给电信网络引入了流量工程机制,并从MPLS和ASON引入了控制平面的概念 [16]。 IEEE 802.1和IEEE 802.3是与以太网密切相关的工作组,其中802.1是进行桥功能研究的,而802.3则是进行物理层和MAC层研究的工作组。传统以太网一般用于局域网,目前想用以太网技术改造传统城域网,主要是因为传统城域网面临:全网的带宽瓶颈、高初始成本、高运行成本、二层扩展性受限制于VLAN的数量(4096)、不必要的三层环节、企业用户从简单连接要求转向个性化的业务应用质量不适合V oIP、IPTV等新业务的需求等因素的制约 [16]。 而在寻找解决方案的时候,对比现有的几种可行技术(VPLS业务平台、SDH 多业务平台、城域以太网多业务平台)的时候发现以太网有其他方案所不具有的优点。目前城域网中IP技术成为主导技术,同时用户对带宽的要求不断提高。对应的,以太网的帧格式和IP数据帧的格式一致,可以实现无缝传输;而且已经出现成熟的千兆以太网和万兆以太网,可以很好的满足以上两点。同时以太网是廉价、灵活的,可以方便的实现LAN、MAN和WAN的无缝对接。 2.技术介绍 2.1.技术需求 电信级以太网的技术发展研究主要有两大方向:一是以IETF为代表的,希望
灵活以太网技术白皮书(2018版)
灵活以太网(FlexE)技术是基于高速Ethernet 接口,通过Ethernet MAC 层 与PHY 层解耦而实现的低成本、高可靠、可动态配置的电信级接口技术。 该技术利用了业界最广泛、最强大的Ethernet 生态系统,并且契合了视 频、云计算以及5G 等业务的发展需求,自2015年提出以来,受到业界广 泛关注。 1 概述灵活以太网技术白皮书 01
灵活以太网技术白皮书02 2 灵活以太网(FlexE)技术的产生 灵活以太网技术是在E t h e r n e t技术基础 上,为满足高速传送、带宽配置灵活等需求而 发展的技术。 以太网概念由施乐公司于1972年首次提 出,并基于载波侦听和冲突检测(CSMA/CD)技 术逐步完善。自1980年代开始,Ethernet技术 的发展完全遵循IEEE 802.3/1所制定的标准体系 架构,并在产业技术与业务需求的共同驱动下 快速发展,成为目前IT业界应用最为广泛、生 态系统最为完善的L2互联技术。 Ethernet技术在接口层面遵循IEEE 802.3定 义的MAC/PHY层标准,在2010年之前,基本按 照“X10”倍速率发展,从10M-100M-1G-10G -40/100G发展。但是最近几年,随着业务需求 与Serdes等技术的发展,Ethernet新增了25G- 50G-200G-400G-800G的演进路径。而原有 10M…100G路径也开始向100G-400G-800G方 向发展。以太网接口的发展路径如图1所示(参 考文献[1])。 随着E t h e r n e t接口技术的广泛应用,自 2000年代开始,运营商城域网与广域网的 Carrier Ethernet(电信以太网)技术得以发展与完 善。Carrier Ethernet主要针对运营商网络的高可 靠、可运行、可维护等需求,在MEF/IEEE/BBF等 组织进行标准制定,从而使Ethernet技术具备了 OAM、保护倒换、高性能时钟与QoS/QoE保障 等电信级功能,广泛应用于城域网、广域网、 移动承载网以及专线接入等场景。 近年来,随着云计算、视频以及移动通信 等业务的兴起,人们对IP网络的诉求从以带宽 为主逐渐转移到业务体验、服务质量和组网效 率上。为满足上述需求,作为底层连接技术的 Ethernet在保持既有低成本、高可靠、可运维 等优势之外,还需要具备以下能力: 图1 以太网联盟发布以太网接口发展路径