MPLS技术白皮书
前言
摘要
本文主要介绍了MPLS(Multiprotocol Label Switching)的技术体系,包括MPLS的一些基本
概念、组网模式、MPLS 的信令协议LDP(Label Distribution Protocol)以及锐捷网络MPLS
技术的实现。
关键词
MPLS、LDP、FEC、LER
缩略语清单
缩略语英文全名中文解释
FEC Frowarding Equavalence Class 转发等价类
LER Label Edge Router 边缘标签交换机
LSP Label-Switch Path 标签交换路径
MPLS Multiprotocol Label Switching 多协议标签交换
VPN Virtual Private Network 虚拟私有网
目录
1 MPLS技术背景 (1)
2 MPLS基本原理 (2)
2.1 术语 (2)
2.2 MPLS数据结构 (3)
3 MPLS数据转发原理 (6)
3.2 传统IP分组转发 (6)
3.3 MPLS分组转发 (6)
4 标签分发协议 (9)
4.1 LDP的消息类型 (10)
4.2 LDP会话建立过程 (10)
4.3 标签的分配和管理 (11)
4.3.1 标签分发方式 (12)
4.3.2 标签控制方式 (12)
4.3.3 标签保留方式 (13)
4.3.4 标签拆除方式 (14)
4.4 倒数第二跳弹出 (15)
5 锐捷网络MPLS典型配置 (16)
5.1 组网需求 (16)
5.2 组网拓扑 (16)
5.3 配置步骤 (16)
6 MPLS体系发展 (18)
1 MPLS技术背景MPLS(Multiprotocol Label Switching)是多协议标签交换的简称
l所谓多协议是指MPLS 支持多种网络层协议,例如IP、IPv6、IPX等;而且兼容包括
A TM 、帧中继、以太网、PPP 等在内的多种链路层技术
l所谓标签交换就是对报文附上标签,根据标签进行转发。
随着Internet的迅速发展,为Internet服务提供商(ISP)提供了巨大的商业机会,同时也对其骨干网络提出了更高的要求,人们希望IP网络不仅能够提供电子邮件、上网等服务,还能够提供宽带、实时性业务。A TM曾经是被普遍看好的能够提供多种业务的交换技术,但是由于实际的网络中已经普遍采用IP技术,纯A TM网络已经不可能,现有A TM的使用也一般都是用来用来承载IP。因此就希望IP也能提供一些如A TM一样多种类型的服务。MPLS就是在这种背景下产生的一种技术,它吸收了A TM的VPI/VCI交换一些思想,集成了IP路由技术的灵活性和二层交换的简捷性,在面向无连接的IP网络中增加了MPLS这种面向连接的属性。通过采用MPLS建立“虚连接”的方法,为IP网增加了一些管理和运营的手段。随着网络技术的迅速发展,MPLS应用也逐步转向MPLS流量工程和MPLS VPN等。在IP网中,MPLS 流量工程技术成为一种主要的管理网络流量、减少拥塞、一定程度上保证IP网络的QoS的重要工具。在解决企业互连,提供各种新业务方面,MPLS VPN也越来越被运营商看好,成为在IP网络运营商提供增值业务的重要手段。
MPLS是从90 年代中期起新兴的多层交换技术,由IETF(Internet Engineering Task Force,因特网工程任务组)所提出,由Cisco、Juniper等网络设备大厂商所主导。最初MPLS技术是为了提高路由交换设备的转发速度,随着硬件技术和网络处理器的发展,这一优势已经不明显了。但是该技术本身和靠硬件推动提高转发速度是有本质区别的。MPLS是三层路由和二层交换的集合模型],可以在多种第二层媒介上进行标签交换的网络技术。这一技术结合了第二层的交换和第三层路由的特点,第三层的路由在网络的边缘实施,而在MPLS的网络核心采用第二层交换(无需分析IP报文头),即MPLS技术将报文的三层选路和报文的转发分开了。这一点和我们传统的路由器有很大区别,传统的路由器将选路和转发集于一身,在报文路径上的每跳路由器都要先分析IP报文头然后选路然后再转发。这也是为什么采用MPLS技术能够提高转发速度的原因之一。目前出现的“三层交换机“其采用硬件实现了三层的线速转发,但是仍然没有脱离”逐跳选路转发“的思想(只是由硬件完成)。
虽然MPLS 提高转发速率这一优势已经不存在但由于MPLS 将2 层交换和3 层路由技术结合起来的固有优势在解决VPN(虚拟专用网)、CoS(服务分类)和TE(流量工程)这些IP 网络的重大问题时具有其它技术无可比拟的地方,因此MPLS 技术获得了越来越多的关注。MPLS的应用也逐步转向MPLS VPN和MPLS 流量工程等。
2 MPLS基本原理2.1 术语
标签(Label)
是一个比较短的,定长的,通常只具有局部意义的标识,这些标签通常位于数据链路层的数
据链路层封装头和三层数据包之间,标签通过绑定过程同FEC相映射,用来识别一个FEC。转发等价类(FEC)
FEC(Forwarding Equivalence Class)是MPLS中的一个重要概念。MPLS实际上是一种分类
转发技术,它将具有相同转发处理方式(目的地相同、使用转发路径相同、具有相同的服务
等级等)的分组归为一类,称为转发等价类。一般来说,划分分组的FEC是根据他的网络层
目的地址。属于相同转发等价类的分组在MPLS网络中将获得完全相同的处理。
LSR(Label Switching Router)
LSR是MPLS的网络的核心交换机,它提供标签交换和标签分发功能。在MPLS体系文档
RFC3031讲到LSR同时是一个有能力转发原始的三层报文(如IP报文或者IPv6报文等)的
MPLS节点,对于MPLS在IP的应用,意味着LSR同时有能力执行正常的IP报文转发。LER(Label Switching Edge Router)
在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请
求相应的标签;离开MPLS网络的流量由LER弹出标签还原为原始的报文。因此LER提供了
流量分类、标签的映射和标签的移除功能。LER一定是LSR,但是LSR不一定是LER。LSP(Label Switched Path)
标签交换路径。一个FEC的数据流,在不同的节点被赋予确定的标签,数据转发按照这些标
签进行。数据流所走的路径就是LSP,是一系列LSR的集合,可以将LSP看做类似穿越MPLS
核心网络的一个隧道
Label PUSH
Label PUSH是标签转发的基本动作之一,是组成标签转发信息表的一部分。作用:在于给报
文压入一个new label。
PUSH动作,一般用于MPLS域的边缘设备将IP报文转发进入MPLS隧道时,需要压入一个
Label进行转发。但在MPLS核心网,MPLS报文转发时,若存在跨域或跨ISP操作时,也需
要压入一个Inner label。
Label SWAP
Label Swap是标签转发的基本动作之一,是组成标签转发信息表的一部分。作用:在于给
Incoming的MPLS报文替换下一跳标签。
具体操作是将欲转发的MPLS报文的外层标签删除,然后压入一层新获得的下一跳标签。Label POP
Label POP是标签转发的基本动作之一,是组成标签转发信息表的一部分。作用:在于将一个
MPLS报文去除标签,以下一层协议转发。
POP动作一般用于MPLS域的边缘设备,当MPLS报文出MPLS域,进入IP转发域时,需要
将标签弹出。
2.2 MPLS数据结构
MPLS协议在OSI中的位置
如下图
图2-1
MPLS是一种能承载任意协议数据(IPv4/v6、IPX、ATM、AppleTalk等),能工作在任何链路
协议之上(Ethernet、ATM,FR、PPP等),能提供优质QoS保证,能支撑更大规模的网络应用,
可以替代IP寻址转发的协议载体。
MPLS是一种比A TM更简单,灵活,更易于扩展的标签交换技术。有人称之为2.5层协议,
因为它通常工作在链路层协议之上,网络层IP协议之下。
MPLS标签结构
图2-2
MPLS标签结构总长度为32Bit,其中分为以下几个域段:
l Label:一个固定20bit长度的值,用于标识一组报文的转发行为。类似于IP地址,但功能不像IP地址那么单一,标签只是局部有效。
l Exp:一个3bit长度的值,用于实现MPLS的QoS,这里可以实现8种优先级,支持语音、视频、数据的不同服务类型,类似于IP的TOS域段。
l S:本域段只有1bit长度,用于表示当前标签是否属于标签栈底。1:表示是,0:不是。
l TTL:Time-To-Live,8个bit长度的值,用于防止报文传输时的环路,和IP协议中的TTL相同。
标签嵌套格式
图2-3
理论上,标记栈可以无限嵌套,从而提供无限的业务支持能力。一般是2到3层。这是MPLS 技术最大的魅力所在。
3 MPLS数据转发原理
图3-1
基本的MPLS网络,如上图所示。MPLS域的数据以标签进行高速交换。从LER到LER,为
不同的IPv4域和IPv6域提供快速优质的LSP转发通道。LER负责将IP或ATM报文压入标
签,封装称MPLS报文,然后将其投入MPLS隧道。同时LER还负责将MPLS报文的标签弹
出,让其转发入IP或A TM域。
3.2 传统IP分组转发
是逐跳查表,然后选路转发。每跳将接收到的IP分组报文,去除链路封装信息,接着使用目
的IP地址查选路表,得到输出端口、下一跳和链路封装信息,然后进行链路封装,最后将分
组报文发出给下一跳。缺点是在经过的每一跳处,必须进行路由表的最长匹配查找,可能存
在多次查找,效率较低。
MPLS最基本功能就是代替IP分组转发,运送IP所要运送的报文达到其目的地。
3.3 MPLS分组转发
标签分配与分发
标签的分配,是根据输出端口和下一跳相同的IP路由的选路信息,划分为一个转发等价类。
然后从MPLS标签资源池中,取一个标签(邮票标记),分配给这个转发等价类。同时,节点
主机应记录下此个标签和这个IP转发等价类的对应关系。最后将这个对应关系封装成消息报
文,通告身边的节点主机。这个通告过程称之为标签的分发。
MPLS标签分组
MPLS标签分组,是将IP分组报文(或其它),封装上定长而具有特定意义的标签,以标签标
识此报文为MPLS分组报文。封装标签的方式按照协议栈结构的层次进行,封装的标签应置
于分组报文协议栈的栈头。封装了标签的分组报文,就好像贴了邮票的信件一样,它能邮到
它的目的地。
MPLS分组转发方式
MPLS分组转发分为三个过程:进入LSP,在LSP中传输,脱离LSP。
1. 进入LSP
进入LSP,是根据IP分组报文的目的IP地址查IP选路表(FIB),此时查到的IP选路表已经
和下一跳标签转发表关联。接着从下一跳标签转发表中可以得到,这个IP分组所分配的标签
和下一跳地址等,一般输出端口信息是在IP选路表(FIB)中得到。然后将得到的标签封装IP
分组报文为MPLS标签分组报文,再根据Qos策略处理EXP,同时处理TTL,最后将封装好
的报文送给下一跳。这样IP分组报文就进入了LSP隧道。
2. 在LSP中传输
在LSP中传输,是逐跳使用MPLS分组报文中的协议栈顶的标签(入标签),直接以标签Index
方式,查询入标签映射表,得到输出端口信息和下一跳标签转发表的索引,使用其索引查询
下一跳标签转发表,可以从中得到标签操作的动作,欲交换的标签和下一跳地址等。如果MPLS
分组报文未到达LSP终点,查表得到的标签操作动作一定为SWAP。接着使用查表得到的新
标签,替换MPLS分组报文中的旧标签,同时处理TTL和EXP等。最后将替换完标签的MPLS
分组报文发送给下一跳。
3. 脱离LSP
脱离LSP,是MPLS分组转发的最后一站。使用MPLS分组报文中的协议栈顶的标签(即入
标签),以标签Index方式,直接查询入标签映射表,得到输出端口信息和下一条标签转发表
的索引。接着用查到的索引继续查询下一跳标签转发表,从中可以得到标签操作动作PHP或
POP和下一跳地址等。具体是PHP,还是POP,主要决定于下一跳标签分发协议是否使能PHP
功能。PHP和POP动作,在实现上流程差不多。两个动作都应该删除MPLS分组报文中的标
签,同时处理TTL和EXP,接着封装下一跳链路协议,最后将封装好的IP分组报文发给下一
跳。
优点:
MPLS分组转发优点,在整个穿越LSP隧道过程中,每一跳的查表使用的是标签,而标签是
定长20Bit的值。标签查表是以标签为索引,直接Index线性的标签映射表。在同等算法模型
上,使用标签查表比使用IP地址最长比配查表速度要快得多。虽然现在硬件技术先进,ASIC
的IP地址最长匹配查表可以和标签查表相媲美,但是要实现同等的数据转发,需要付出更大
的硬件成本代价。然而MPLS分组转发的优点,并不仅仅局限于这点。
MPLS并不是一种业务或者应用,它实际上是一种隧道技术,也是一种将标签交换转发和网络
层路由技术集于一身的路由与交换技术平台。这个平台不仅支持多种高层协议与业务,而且,
在一定程度上可以保证信息传输的安全性。
4 标签分发协议
MPLS作为一个新的网络体系,同样也有其自身的信令协议或者说“路由协议”。MPLS中一个基础的概念就是两个LSR必须对用来在它们之间传输流量的标签的意义达成共识,共识通过一系列过程达到,叫做标签分发协议(Label Distribution Protocol,LDP),通过LDP,一个LSR 通知另一个LSR它做出的标签绑定。MPLS体系结构[RFC3031]把一个标签分发协议定义为一系列过程,通过这些过程一个LSR通知另一个LSR用来在它们之间转发流量的标签的意义。
支持MPLS标签分发的协议
l LDP (Label Distribution Protocol)
LDP是MPLS的标签分发协议之一,主要用于建立普通的LSP隧道,提供普通的标签交换业务。
l RSVP(Resource Reservation Protocol)
RSVP是MPLS的标签分发协议之一,但它注意用于建立TE的LSP隧道,它拥有普通LDP 没有的功能。如发布带宽预留请求、带宽约束、链路颜色和显式路径等。
l CR-LDP(Constraint-Based Routing using LDP)
CR-LDP是MPLS的标签分发协议之一,是在LDP基础上扩展的协议,通过引入新的TLV同样支持MPLS TE的相关属性,如显式路径、带宽、亲和属性、优先级与抢占等。
l MP-BGP(Border Gateway Protocol)
MP-BGP是在BGP的基础上扩展的协议,引入Community属性,支持VPN路由和标签的分发,用于实现MPLS L3 VPN业务。
l PIM
PIM是实现MPLS多播的标签分发协议。
本章所要介绍的标签分发协议是IETF在RFC3036所定义的独立标签分发协议LDP。该LDP 协议主要应用于IP的单播转发。利用LDP,LSR们通过把网络层的路由信息直接映射到链路层交换路径,在网络中建立标签交换路径LSP(Label Switch Path)。LDP将FEC(Forwarding Equivalence Class)与它创建的每条LSP联系在一起。LSP相关的FEC决定了哪个分组被映射到该LSP上。LSP在网络中的扩展(或者说延伸)通过每个LSR把一个FEC的入标签和该FEC对应的下一跳的出标签“接合”完成。
4.1 LDP的消息类型
1. 发现(Discovery)消息:用于通告和维护网络中LSR的存在。
2. 会话(Session)消息:用于建立,维护和结束LDP对等实体之间的会话连接。
3. 通告(Advertisement)消息:用于创建、改变和删除特定FEC-标签绑定。
4. 通知(Notification)消息:用于提供消息通告和差错通知。
4.2 LDP会话建立过程
1. 邻居发现
2. 会话发起
3. 会话协商
4. 协商失败处理
5. 会话维持
具体流程见下图:
图4-1
4.3 标签的分配和管理
1. 标签分发方式
l下游按需分发标签DOD(Downstream On Demand)
l下游自主分发标签DU(Downstream Unsolicited)
2. 标签控制方式
l有序方式(Odered)
l独立方式(Independent)
3. 标签保留方式
l保守方式(Conservative retention mode)
l自由方式(Liberal retention mode)
4. 标签拆除方式
l标签释放
l标签撤销
4.3.1 标签分发方式
DOD(Downstream On Demand)下游按需分发标签:
图4-2
上游向下游发标签映射请求消息,下游收到消息后,根据请求的FEC,从标签资源池中分配
标签资源,然后将分得的标签和对应的FEC回应给请求的上游。同时自己记录下这种对应的
关系。目前这种分发方式很少使用。
DU(Downstream Unsolicited)下游自主分发标签:
图4-3
上游不需要向下游发标签请求,而是下游主动向上游通过标签映射关系,上游收到后记录标
签和FEC的映射关系,同时下游也记录这种映射。DU方式是目前使用最多的。
4.3.2 标签控制方式
有序方式:
有序方式,是指除LER 以外,LSR必须等收到下游的标签映射,才能向上游发布标签映射。
LER是路由的起发点,标签映射最先由它发起。有序控制方式如上图所示。有序控制方式是
目前使用最多的方式。
独立方式:
独立方式,是指LSR不需要等到下游的标签映射关系到达,而能独自的向上游分发标签映射。
独立方式如上图所示。
4.3.3 标签保留方式
保守方式:
图4-4
保守方式,是指同一条路由存在多个下一跳时,在所有邻居对这条路由的标签映射中,只选
择最优的一跳做为标签转发的出口映射,其他的全部丢弃。
优点:节省内存和标签空间。
缺点:当IP路由收敛、下一跳改变时LSP收敛慢。
自由方式:
图4-5
自由方式,是指同一条路由存在多个下一跳时,保留所有邻居对这条路由的标签映射,只选
择最优的一跳做为标签转发的出口映射。
优点:当IP路由收敛、下一跳改变时减少了LSP收敛时间。
缺点:需要更多的内存和标签空间。
4.3.4 标签拆除方式
标签释放:
图4-6
上游主动发送标签释放消息通知下游释放某一标签,以后不再使用该标签发送数据,标签释
放消息不需要确认消息。
标签撤销:
图4-7
下游向上游发送标签撤消消息通知上游停止使用某个标签时,需要上游路由器发送标签释放
消息确认。
4.4 倒数第二跳弹出
PHP是Penultimate Hop Popping的缩写,PHP的意思是下一跳就是MPLS域的边缘设备LER
了,LER往下的路由设备可能是IP域,标签转发必须终止于LER设备。但标签终止可以在
LER上弹出,也可以在LER的上一跳弹出。如果标签在LER的上一跳弹出,我们称之为PHP。
PHP是一种优化MPLS转发的思想,从报文的整个转发路径和路径节点处理的代价花费来看,
对于每一个报文的转发使用PHP,将比使用最后一跳弹出少查询一次ILM表,这就意味着硬
件对报文少操作一次,报文处理的延时就更小(不过微乎其微),PHP值得提倡。
PHP的实现是,MPLS分组报文在LER的上一跳,使用入标签查ILM表,得到输出端口信息
和NHLFE索引,接着用NHLFE索引查询NHLFE表,得到PHP动作和下一条地址,然后将
标签从MPLS分组报文中删除,以IP报文方式发送给LER。LER收到后,再以IP方式查表
转发报文。
当收到标签值为3的标签映射信息,就表明自己是倒数第二跳了,转发方式必须以PHP方式
进行,标签转发必须终结于自己。
5 锐捷网络MPLS典型配置5.1 组网需求
要用三台MPLS设备构成的MPLS 网络,任意设备之间都可以建立LSP,运行的路由协议为
OSPF。LDP利用OSPF的路由信息建立LSP。
5.2 组网拓扑
图5-1
5.3 配置步骤
LER_A 的配置:
Ruijie(config)# mpls router ldp 激活LDP 协议,进入LDP 模式
Ruijie(config-mpls-router)# ldp router-id 192.168.0.1 设置lsr id
Ruijie (config-mpls-router)# exit
Ruijie(config)# interface gigabitEthernet 2/2进入接口GigabitEthernet 2/2
Ruijie (config-if)# mpls ip 在该接口使能LDP
Ruijie (config-if)# label-switching 接口启用MPLS标签交换
Ruijie (config-if)# exit
Ruijie (config)# router ospf 10 激活OSPF 协议
Ruijie(config-router)# network 192.168.100.0 255.255.255.0 area 0
Ruijie(config-router)# network 192.168.0.1 255.255.255.255 area 0
Ruijie(config-router)# network 192.168.1.0 255.255.255.0 area 0
Ruijie (config-router)# end
LER_B 的配置:
Ruijie(config)# mpls router ldp 激活LDP 协议,进入LDP 模式Ruijie(config-mpls-router)# ldp router-id 192.168.0.2设置lsr id
Ruijie(config-mpls-router)# exit
Ruijie(config)# interface gigabitEthernet 2/1进入接口GigabitEthernet 2/1 Ruijie(config-if)# mpls ip 在该接口使能LDP
Ruijie(config-if)# label-switching 接口启用MPLS标签交换
Ruijie(config-if)# exit
Ruijie(config)# interface gigabitEthernet 2/2进入接口GigabitEthernet 2/2 Ruijie(config-if)# mpls ip 在该接口使能LDP
Ruijie(config-if)# label-switching 接口启用MPLS标签交换
Ruijie(config-if)# exit
Ruijie(config)# router ospf 10 激活OSPF协议
Ruijie(config-router)# network 192.168.1.0 255.255.255.0 area 0
Ruijie(config-router)# network 192.168.2 .0255.255.255.0 area 0
Ruijie(config-router)# network 192.168.0.2 255.255.255.255 area 0
Ruijie(config-router)# end
LER_C的配置:
Ruijie(config)# mpls router ldp 激活LDP 协议,进入LDP 模式Ruijie(config-mpls-router)# ldp router-id 192.168.0.3设置lsr id
Ruijie(config-mpls-router)# exit
Ruijie(config)# interface gigabitEthernet 2/1进入接口GigabitEthernet 2/1 Ruijie(config-if)# mpls ip 在该接口使能LDP
Ruijie(config-if)# label-switching 接口启用标签MPLS标签交换Ruijie(config-if)# exit
Ruijie(config)# router ospf 10 激活OSPF 协议
Ruijie(config-router)# network 192.168.200.0 255.255.255.0 area 0
Ruijie(config-router)# network 192.168.0.3 255.255.255.255 area 0
Ruijie(config-router)# network 192.168.2.0 255.255.255.0 area 0
Ruijie(config-router)# end
广电网络EPON产品应用 技术白皮书
目录 1、前言 (3) 2、EPON技术简介 (4) 3、ACE公司EPON产品简介 (15) 3.1 ACE公司EPON产品 (15) 3.2 ACE公司EPON产品功能表 (23) 4、 EPON方式双向改选的业务能力分析 (25) 5、 ACE公司EPON产品与EOC技术的无缝对接 (26) 6、附件1:HFC双向改造成本核算与方案选择 (35)
1、前言 广电网络行业主要负责有线广播电视网络建设、开发、经营和管理及有线电视节目的收转和传送。 近年来广电行业的迅猛发展,建设投入的增加,其业务也逐渐扩大,逐渐形成了现有的以光纤为主的有线电视光纤、电缆混合网络。有线电视用户可通过有线广播电视光缆网收看到多套稳定、清晰的电视节目和收听多套广播电台高保真立体广播。 随着用户对新业务需求的增加,使得广电网络迫切的需求在开展广播电视基本业务的同时,利用有线广播电视网的宽带网络优势,开发广播电视网络的增值业务,例如宽带IP、数字电视、广播系统等。由于EPON系统在光纤网络传输方面的天然优势,使得它在广电网络应用中存在非常大的潜力。
2. 无源光纤网络(PON)技术简介 2.1 PON的演化与分类 业界多年来一直认为,PON是接入网未来的方向,它在解决宽频接入问题上普遍被看好,无论在设备或维运网管方面,它的成本相对便宜,提供的频宽足以应付未来的各种宽频业务需求。 PON自从在20世纪80年代被采用至今为止已经历经几个发展阶段,电信运营商和设备制造商开发了多种协议和技术以便使PON解决方案能更好的满足接入网市场要求。 最初PON标准是基于ATM的,即APON。APON是由FSAN/ITU定义了相应G..983建议,以ATM协议为载体,下行以155.52Mb/s或622.08Mb/s的速率发送连续的ATM信元,同时将物理层OAM信元插入数据流中。上行以突发的ATM的信元方式发送数据流,并在每个53字节长的ATM信元头增加3字节的物理层开销,用以支持突发发射和接收。 目前则有两个颇为引人注目的新的PON标准
迪普防火墙技术白皮书
————————————————————————————————作者:————————————————————————————————日期:
迪普FW1000系列防火墙 技术白皮书 1 概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
?基于网络协议的防火墙不能阻止各种攻 击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为攻 击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止 火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任 网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部 网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供 安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和 数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组 织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时, 可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种 基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不 但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的 攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网 络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。
防火墙攻击防范技术白皮书
关键词:攻击防范,拒绝服务 摘要:本文主要分析了常见的网络攻击行为和对应的防范措施,并且介绍了H3C防火墙攻击防范的主要特色和典型组网应用。
目录 1 概述 (3) 1.1 产生背景 (3) 1.2 技术优点 (4) 2 攻击防范技术实现 (4) 2.1 ICMP 重定向攻击 (4) 2.2 ICMP 不可达攻击 (4) 2.3 地址扫描攻击 (5) 2.4 端口扫描攻击 (5) 2.5 IP 源站选路选项攻击 (6) 2.6 路由记录选项攻击 (6) 2.7 Tracert 探测 (7) 2.8 Land 攻击 (7) 2.9 Smurf 攻击 (8) 2.10 Fraggle 攻击 (8) 2.11 WinNuke 攻击 (8) 2.12 SYN Flood 攻击 (9) 2.13 ICMP Flood 攻击. (9) 2.14 UDP Flood 攻击 (10) 3 H3C 实现的技术特色 (10) 4 典型组网应用 (11) 4.1 SYN Flood 攻击防范组网应用. (11)
1 概述 攻击防范功能是防火墙的重要特性之一,通过分析报文的内容特征和行为特征判断报文是否具有攻 击特性,并且对攻击行为采取措施以保护网络主机或者网络设备。 防火墙的攻击防范功能能够检测拒绝服务型( Denial of Service ,DoS )、扫描窥探型、畸形报 文型等多种类型的攻击,并对攻击采取合理的防范措施。攻击防范的具体功能包括黑名单过滤、报 文攻击特征识别、流量异常检测和入侵检测统计。 1.1 产生背景 随着网络技术的普及,网络攻击行为出现得越来越频繁。另外,由于网络应用的多样性和复杂性, 使得各种网络病毒泛滥,更加剧了网络被攻击的危险。 目前,Internet 上常见的网络安全威胁分为以下三类: DoS 攻击 DoS 攻击是使用大量的数据包攻击目标系统,使目标系统无法接受正常用户的请求,或者使目标 主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。 DoS攻击和其它类型的攻击不同之处在于,攻击者并不是去寻找进入目标网络的入口,而是通过 扰乱目标网络的正常工作来阻止合法用户访问网络资源。 扫描窥探攻击 扫描窥探攻击利用ping扫描(包括ICMP和TCP )标识网络上存在的活动主机,从而可以准确地 定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击 者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入目标系统 做好准备。 畸形报文攻击 畸形报文攻击是通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP 标志位非法的报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损 失。主要的畸形报文攻击有Ping of Death 、Teardrop 等。 在多种网络攻击类型中,DOS攻击是最常见的一种,因为这种攻击方式对攻击技能 要求不高,攻击者可以利用各种开放的攻击软件实施攻击行为,所以DoS 攻击的威 胁逐步增大。成功的DoS攻击会导致服务器性能急剧下降,造成正常客户访问失败;同时,提供 服务的企业的信誉也会蒙受损失,而且这种危害是长期性的。 防火墙必须能够利用有效的攻击防范技术主动防御各种常见的网络攻击,保证网络在遭受越来越频
以太环网解决方案技术白皮书 关键词:RRPP 摘要:以太环网解决方案主要以RRPP为核心的成本低高可靠性的解决方案。 缩略语清单: 1介绍 在数据通信的二层网络中,一般采用生成树(STP)协议来对网络的拓扑进行保护。STP协议族是由IEEE实现了标准化,主要包括STP、RSTP和MSTP等几种协议。STP最初发明的是目的是为了避免网络中形成环路,出现广播风暴而导致网络不可用,并没有对网络出现拓扑变化时候的业务收敛时间做出很高的要求。实践经验表明,采用STP协议作为拓扑保护的网络,业务收敛时间在几十秒的数量级;后来的RSTP对STP机制进行了改进,业务收敛时间在理想情况下可以控制在秒级左右;MSTP主要是RSTP的多实例化,网络收敛时间与RSTP基本相同。 近几年,随着以太网技术在企业LAN网络里面得到广泛应用的同时,以太网技术开始在运营商城域网络发展;特别是在数据,语音,视频等业务向IP融合的趋势下,增强以太网本身的可靠性,缩短网络的故障收敛时间,对语音业务,视频等业务提供满意的用户体验,无论对运营商客户,还是对于广大的企业用户,都是一个根本的需求。 为了缩短网络故障收敛时间,H3C推出了革新性的以太环网技术——RRPP(Rapid Ring Protection Protocol,快速环网保护协议)。RRPP技术是一种专门应用于以太网环的链路层协议,它在以太网环中能够防止数据环路引起的广播风暴,当以太网环上链路或设备故障时,能迅速切换到备份链路,保证业务快速恢复。与STP协议相比,RRPP协议具有算法简单、拓扑收敛速度快和收敛时间与环网上节点数无关等显著优势。 H3C基于RRPP的以太环网解决方案可对数据,语音,视频等业务做出快速的保护倒换,协同高中低端交换机推出整体的环网解决方案,为不同的应用场景提供不同的解决方案。 2技术应用背景 当前多数现有网络中采用星形或双归属组网模型,多会存在缺乏有效保护和浪费网络资源等诸多问题,如下图所示:
迪普FW1000系列防火墙 技术白皮书 1概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
?基于网络协议的防火墙不能阻止各种 攻击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为 攻击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的
VLAN技术白皮书 华为技术有限公司 北京市上地信息产业基地信息中路3号华为大厦 100085 二OO三年三月
摘要 本文基于华为技术有限公司Quidway 系列以太网交换产品详细介绍了目前以太网平台上的主流VLAN技术以及华为公司在VLAN技术方面的扩展,其中包括基于端口的VLAN划分、PVLAN,动态VLAN注册协议,如GVRP和VTP等等。本文全面地总结了当前的VLAN技术发展,并逐步探讨了Quidway 系列以太网交换产品在VLAN技术方面的通用特性和部分独有特性,并结合每个主题,简要的介绍了系列VLAN技术在实际组网中的应用方式。 关键词 VLAN,PVLAN, GVRP,VTP
1 VLAN概述 VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 VLAN在交换机上的实现方法,可以大致划分为4类: 1、基于端口划分的VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分,比如Quidway S3526的1~4端口为VLAN 10,5~17为VLAN 20,18~24为VLAN 30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。 这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。 2、基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。尤其是用户的MAC地址用变换的时候就要重新配置。基于MAC地址划分VLAN所付出的管理成本比较高。 3、基于网络层划分VLAN
华为技术有限公司 FTTH技术白皮书 1 FTTH技术简介 1.1 光纤接入网(OAN)的发展 接入网作为连接电信网和用户网络的部分,主要提供将电信网络的多种业务传送到用户的接入手段。接入网是整个电信网的重要组成部分,作为电信网的"最后一公里",是整个电信网中技术种类最多、最为复杂的部分。电信业务发展的目标是实现各种业务的综合接入能力,接入网也必须向着宽带化、数字化、智能化和综合化的方向发展。 由于传统语音业务逐渐被移动、VOIP蚕食,宽带业务成为给固网运营商带来收入的主攻方向,运营商希望通过提供丰富多彩的业务体验来吸引用户。业务的发展尤其是视频类业务的逐渐推广,使用户对网络带宽和稳定性要求越来越高。随着光纤成本的下降,网络的光纤化成为发展趋势,原来主要用于长途网和城域网的光纤也开始逐步引入到接入网馈线段、配线段和引入线,向最终用户不断推进。 通常的OAN是指采用光纤传输技术的接入网,泛指端局或远端模块与用户之间采用光纤或部分采用光纤做为传输媒体的系统,采用基带数字传输技术传输双向交互式业务。它由一个光线路终端OLT(optical line terminal)、至少一个光配线网ODN(optical distribution network)、至少一个光网络单元ONU(optical network unit)组成。如图1所示。
图1. 光接入网参考配置 OLT的作用是为光接入网提供网络侧接口并经一个或多个ODN与用户侧的ONU通信,OLT 与ONU的关系为主从通信关系。 ODN为OLT与ONU之间提供光传输手段,其主要功能是完成光信号功率的分配任务。ODN 是由无源光元件(诸如光纤光缆、光连接器和光分路器等)组成的纯无源的光配线网。 ONU的作用是为光接入网提供远端的用户侧接口,处于ODN的用户侧。 1.2 光接入网的几种应用类型 光纤接入网(OAN)是采用光纤传输技术的接入网,即本地交换局和用户之间全部或部分采用光纤传输的通信系统。光纤接入网又可划分为无源光网络(PON)和有源光网络(AON),相比这两种光网络,从成本上看,无源光网络发展将会更快些。按照ONU在光接入网中所处的具体位置不同,可以将OAN划分为几种基本不同的应用类型:FTTCab,FTTCub,FTTB,FTTH和FTTO。 (1)光纤到交接箱(FTTCab) 光纤到交接箱(fiber to the cabinet,FTTCab)是宽带光接入网的典型应用类型之一,其特征是以光纤替换传统馈线电缆,光网络单元(ONU)部署在交接箱(FP)处,ONU下采用其他介质接入到用户。例如采用现有的铜缆或者无线,每个ONU支持数百到1 000左右用户数。 国内外与FTTCab概念相当的其他术语有:光纤到节点或光纤到邻里(fiber to the node 或neighborhood,FTTN),光纤到小区(fiber to the zone,FTTZ)。 (2)光纤到路边(FTTCub)
华为USG6000系列下一代防火墙技术白皮书 文档版本V1.1 发布日期2014-03-12
版权所有? 华为技术有限公司2014。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.doczj.com/doc/8318750141.html, 客户服务邮箱:ask_FW_MKT@https://www.doczj.com/doc/8318750141.html, 客户服务电话:4008229999
目录 1 概述 (1) 1.1 网络威胁的变化及下一代防火墙产生 (1) 1.2 下一代防火墙的定义 (1) 1.3 防火墙设备的使用指南 (2) 2 下一代防火墙设备的技术原则 (1) 2.1 防火墙的可靠性设计 (1) 2.2 防火墙的性能模型 (2) 2.3 网络隔离 (3) 2.4 访问控制 (3) 2.5 基于流的状态检测技术 (3) 2.6 基于用户的管控能力 (4) 2.7 基于应用的管控能力 (4) 2.8 应用层的威胁防护 (4) 2.9 业务支撑能力 (4) 2.10 地址转换能力 (5) 2.11 攻击防范能力 (5) 2.12 防火墙的组网适应能力 (6) 2.13 VPN业务 (6) 2.14 防火墙管理系统 (6) 2.15 防火墙的日志系统 (7) 3 Secospace USG6000系列防火墙技术特点 (1) 3.1 高可靠性设计 (1) 3.2 灵活的安全区域管理 (6) 3.3 安全策略控制 (7) 3.4 基于流会话的状态检测技术 (9) 3.5 ACTUAL感知 (10) 3.6 智能策略 (16) 3.7 先进的虚拟防火墙技术 (16) 3.8 业务支撑能力 (17) 3.9 网络地址转换 (18)
华为 802.1X 技术白皮书
华为802.1X技术 白皮书
华为 802.1X 技术白皮书
目录
1 2 概述...........................................................................................................................................1 802.1X 的基本原理..................................................................................................................1 2.1 体系结构...........................................................................................................................1 2.1.1 端口 PAE...................................................................................................................2 2.1.2 受控端口 ...................................................................................................................2 2.1.3 受控方向 ...................................................................................................................2 2.2 工作机制...........................................................................................................................2 2.3 认证流程...........................................................................................................................3 3 华为 802.1X 的特点.................................................................................................................3 3.1 基于 MAC 的用户特征识别............................................................................................3 3.2 用户特征绑定...................................................................................................................4 3.3 认证触发方式...................................................................................................................4 3.3.1 标准 EAP 触发方式 .................................................................................................4 3.3.2 DHCP 触发方式 .......................................................................................................4 3.3.3 华为专有触发方式 ...................................................................................................4 3.4 TRUNK 端口认证 ..............................................................................................................4 3.5 用户业务下发...................................................................................................................5 3.5.1 VLAN 业务 ................................................................................................................5 3.5.2 CAR 业务 ..................................................................................................................5 3.6 PROXY 检测 ......................................................................................................................5 3.6.1 Proxy 典型应用方式 ................................................................................................5 3.6.2 Proxy 检测机制 ........................................................................................................5 3.6.3 Proxy 检测结果处理 ................................................................................................6 3.7 IP 地址管理 ......................................................................................................................6 3.7.1 IP 获取 ......................................................................................................................6 3.7.2 IP 释放 ......................................................................................................................6 3.7.3 IP 上传 ......................................................................................................................7 3.8 基于端口的用户容量限制...............................................................................................7 3.9 支持多种认证方法...........................................................................................................7 3.9.1 PAP 方法 ...................................................................................................................7 3.9.2 CHAP 方法 ...............................................................................................................8 3.9.3 EAP 方法 ..................................................................................................................8 3.10 独特的握手机制...............................................................................................................8 3.11 对认证服务器的兼容.......................................................................................................8 3.11.1 EAP 终结方式 ..........................................................................................................8 3.11.2 EAP 中继方式 ..........................................................................................................9 3.12 内置认证服务器...............................................................................................................9 3.13 基于 802.1X 的受控组播.................................................................................................9 3.14 完善的整体解决方案.....................................................................................................10 4 典型组网.................................................................................................................................10
1
目录 1产品概述 (1) 2产品特色 (2) 2.1灵活的管理接口 (2) 2.2管理员权限分权分立 (2) 2.3安全隔离的虚拟系统 (3) 2.3.1一机多用,节省投资 (3) 2.3.2灵活配置,方便管理 (3) 2.3.3业务隔离,互不影响 (3) 2.4全面的IPv6Ready能力 (4) 2.4.1IPv4/IPv6双栈 (4) 2.4.2跨栈隧道方案 (5) 2.5多层次可靠性保证,整机可靠性高 (7) 2.5.1硬件可靠性 (7) 2.5.2整机可靠性 (10) 2.5.3系统可靠性 (16) 2.5.4链路可靠性 (16) 2.6智能DNS解析 (22) 2.7地理位置识别(国内+国际) (22) 2.8全面、智能的路由功能 (22) 2.8.1全面的路由功能 (22) 2.8.2精确的多出口ISP路由智能选路 (22) 2.8.3对称路由保证来回路径一致 (23) 2.8.4高适应性的路由负载均衡算法 (23) 2.9一体化的安全策略 (23) 2.10全面的SSL解密防护 (23) 2.10.1SSL解密防护 (23) 2.10.2SSL入站检查 (24) 2.11丰富的VPN隧道类型 (24) 2.12强大的动态QoS功能 (24)
2.13持续关注重点应用/URL (24) 2.14深度安全检测及DLP,保护网络安全 (25) 2.14.1概述 (25) 2.14.2全面的应用层攻击防护能力 (25) 2.14.3先进的多维动态特征异常检测引擎 (26) 2.14.4灵活的自定义漏洞/间谍软件特征功能 (26) 2.14.5多维度的DLP数据防泄漏 (26) 2.14.6强大的威胁情报渗透 (27) 2.15多系统联动防护,构建立体式防护体系 (27) 2.15.1防火墙和终端系统联动 (28) 2.15.2防火墙和天眼系统联动 (29) 2.15.3防火墙和NGSOC系统联动 (29) 2.15.4防火墙和天御云系统联动 (30) 2.15.5防火墙和ITS系统联动 (30) 2.16应用及流量可视化,网络行为无所遁形 (32) 2.16.1概述 (32) 2.16.2大容量、多维度日志 (33) 2.16.3多样化的日志检索方式 (33) 2.16.4全方位风险信息展示及分析 (33) 2.16.5强大的内容审计策略 (34) 2.17自动化应急响应功能 (34) 3技术优势 (35) 3.1采用第四代SecOS系统 (35) 3.2整体框架采用AMP+并行处理架构 (35) 3.3优化的AMP+架构突破传统SMP架构瓶颈 (36) 3.4更优化的网口数据收发处理 (38) 3.5单引擎一次性数据处理技术 (39) 3.6多级冗余架构提高防火墙可靠性 (39) 3.7云端协同扩展精确定位威胁 (40) 3.8基于NDR安全体系的未知威胁闭环防御 (40) 4应用场景 (42) 4.1企业互联网边界安全应用场景 (42) 4.1.1典型场景 (42) 4.1.2痛点和优势 (43) 4.2行业专网网络安全应用场景 (44) 4.2.1典型场景 (44) 4.2.2痛点和优势 (45) 4.3数据中心出口安全应用场景 (46) 4.3.1典型场景 (46)
软件定义网络:网络新规范 内容表 2摘要 3新的网络架构的需求 4当前网络技术的局限性 7引入软件定义网络 8 OpenFlow内部 10基于OpenFlow的软件定义网络的好处 12结论 摘要 传统的网络体系结构已经不适应当今企业、运营商和终端用户的需求。由于行业的广泛努力,开放网络基金会(ONF)带头,软件网络(SDN)正在改变网络架构。在SDN架构中,控制平面和数据平面解耦,网络智能和状态逻辑上集中,底层网络基础设施从应用中抽象出来。因此,企业和运营商获得前所未有的可编程性,自动化和网络控制,使他们能够建立高度可扩展的、灵活的网络,迅速适应不断变化的业务需求。 ONF是一个非营利性的行业协会,引领SDN的发展和规范SDN架构的关键要素如OpenFlow?协议,它支持的网络设备的控制和数据层之间结构通信。OpenFlow是专为SDN 设计的第一标准接口,提供高性能、颗粒流量控制通过多个厂商的网络设备。 基于OpenFlow的SDN目前正在推出各种网络设备和软件,为企业和运营商提供大量的好处,包括: ●集中管理和控制多个供应商的网络设备; ●改进的自动化和管理,通过使用通用的API,从业务流程和配置系统和应用程序中抽象 基本网络细节; ●通过提供新的网络功能和服务,而不需要配置单个设备或等待供应商发布的能力快速创 新; ●可编程性通过运营商、企业,独立软件供应商,和用户(不只是设备制造商)使用常见 的编程环境,为各方提供推动收入和分化的新机会; ●由于网络设备的集中和自动化管理,统一的政策执行,以及较少的配置错误,增加了网 络的可靠性和安全性; ●在会话、用户、设备和应用程序级别上应用全面和广泛的政策的能力实现更细粒度的网 络控制; ●有更好的终端用户体验,作为应用程序利用集中的网络状态信息无缝地适应网络行为满 足用户需求。 SDN是一个动态的、灵活的网络结构,保护现有投资,未来的网络。使用SDN,今天的静态网络可以演变成一个能够快速响应不断变化的业务,最终用户,与市场需求的可扩展的服务交付平台。 一个新的网络体系结构的必要性 移动设备和内容的爆炸,服务器虚拟化,云服务出现的趋势推动了网络产业重新审视传统的网络架构中。许多传统的网络是分层的,以太网交换机以树结构布置。这种设计是有意义的,当客户端-服务器计算是占主导地位,但这样的静态架构是不适合今天的企业数据中心,校园,和运营商的环境的动态计算和存储需求的。一些关键的计算趋势推动了对一个新的网络模式的需要,包括:
SecPath 虚拟防火墙技术白皮书
关键词:虚拟防火墙MPLS VPN 摘要:本文介绍了H3C 公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色,并介绍了H3C 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。 缩略语清单:
目录 1 概述 (3) 1.1 新业务模型产生新需求 (3) 1.2 新业务模型下的防火墙部署 (3) 1.2.1 传统防火墙的部署缺陷 (3) 1.2.2 虚拟防火墙应运而生 (4) 2 虚拟防火墙技术 (5) 2.1 技术特点 (5) 2.2 相关术语 (6) 2.3 设备处理流程 (7) 2.3.1 根据入接口数据流 (7) 2.3.2 根据Vlan ID数据流 (7) 2.3.3 根据目的地址数据流 (8) 3 典型组网部署方案 (8) 3.1 虚拟防火墙在行业专网中的应用 (8) 3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 (9) 3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 (10) 3.1.3 虚拟防火墙提供对VPE的安全保护 (10) 3.2 企业园区网应用 (11) 4 总结 (12)
1 概述 1.1 新业务模型产生新需求 目前,跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增 加,传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业 务发展的关键,得到了各企业和机构的相当重视。现今,国内一些超大企业在信息 化建设中投入不断增加,部分已经建立了跨地域的企业专网。有的企业已经达到甚 至超过了IT-CMM3 的级别,开始向IT-CMM4 迈进。 另一方面,随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越 清晰。各业务部门也初步形成了的相应不同安全级别的安全区域,比如,OA 和数据中 心等。由于SOX 等法案或行政规定的颁布应用,各企业或机构对网络安全的重视程 度也在不断增加。对企业重点安全区域的防护要求越来越迫切。 因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域 划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利 器”――防火墙提出了更高的要求。 1.2 新业务模型下的防火墙部署 目前许多企业已经建设起自己的MPLS VPN 专网,例如电力和政务网。下面我们以 MPLS VPN 组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务 部门进行各自独立的安全策略部署呢? 1.2.1 传统防火墙的部署缺陷 面对上述需求,业界通行的做法是在园区各业务VPN 前部署防火墙来完成对各部门 的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示:
IEEE Std 802.3an?-2006 1摘要 本文档描述了10GBASE-T基本原理,并且介绍10GBASE-T PMA层与PCS层的相关技术及10GBASE-T自动协商原理,详细描述了10GBASE-T物理层电气一致性测试原理,方法及步骤。 2关键词 10GBASE-T,PMA层,PCS层,自动协商,物理层电气一致性测试
3概述 3.110GBASE-T技术目标 支持自动协商,以全双工基带的传输方式在至少100m长度的4对线缆上传输满足IEEE 802.3标准的帧,要求BER<=10e-12,同时满足CISPR/FCC Class A EMC要求(商业或工业使用); 3.2OSI参考模型与IEEE 802.3 CSMA/CD局域网模型 说明: ●10GBASE-T PHY组件由10GBASE-T PCS, 10GBASE-T PMA, 10GBASE-T AN和10GBASE-T MDI组成; ●PCS子层使用了LDPC前向纠错和多位PAM16编码; ●PMA子层在8芯4线对的Cat6A双绞线上实现4路捆绑的同时收发功能; ●AN功能将自动协商延伸到万兆; ●MDI接口使用扩展6类RJ45连接器,在高性能扩展6类线上可以传输100m距离; Transmitter
Receiver Self-synchronizing scrambler - Provides clock transitions, and a statistically random power spectrum for EMI control, equalizer convergence, etc. DSQ 128 coding - The 10GBASE-T standard uses a synthetic 2-dimensional 128 DSQ (Double SQuare) constellation, which conveys 7 bits per symbol. LDPC (Low Density Parity Check) block codes – Block codes are one of two kinds of error correcting codes that can be used to approach the Shannon capacity of a channel. Tomlinson-Harashima Precoding (THP) - The 10GBASE-T standard calls for the use of THP, which is a scheme in which the equalizer for the channel is placed in the transmitter theoretically allowing the receiver to see “perfect”symbols. Training is accomplished during the initialization phase of the link. 3.3操作概述 10GBASE-T PHY实现的技术方案非常复杂,IEEE 802.3an标准将10GBASE-T的运行概述如下: ●10GBASE-T PHY组件在四线对平衡型布缆上采用全双工基带传输; ●每个线对上双向同时以2500Mb/s传输,4线对捆绑达到10Gb/s的速率; ●每个线对的调制速率为800MBd(波特,或symb/s),调制方式为PAM16(基带16电平脉冲幅度 调制); ●两个连续传输的PAM16信号作为一个二维(2D)符号,选自一个极大化2D符号分离的特点128