下载文档原格式
数据中心交换机 buffer 需求分析白皮书目录1引言 (3)1.1DC 的网络性能要求 (3)1.2国内OTT 厂商对设备Buffer 的困惑 (4)1.3白皮书的目标 (4)2Buffer 需求的经典理论 (5)2.11BDP 理论 (5)2.2Nick Mckeown 理论 (6)2.3经典理论的适用性 (6)3基于尾丢弃的buffer 需求 (9)3.1丢包的影响 (9)3.1.2丢包对带宽利用率的影响 (9)3.1.3丢包对FCT 的影响 (12)3.2大buffer 的作用 (13)3.2.1吸收突发,减少丢包,保护吞吐 (13)3.2.2带宽分配均匀 (14)3.2.3优化FCT (15)3.3DC 内哪需要大buffer (15)3.4需要多大buffer (17)3.5带宽升级后,buffer 需求的变化 (19)3.6 小结 (19)4基于ECN 的buffer 需求 (21)4.1ECN 的作用 (21)4.2ECN 水线设置 (23)4.3基于ECN 的buffer 需要多大 (24)5基于大小流区分调度的buffer 需求 (27)5.1大小流差异化调度 (27)5.2大小流差异化调度如何实现大buffer 相当甚至更优的性能 (27)5.3基于大小流差异化调度的buffer 需要多大 (28)6 总结 (28)7 缩略语 (29)1 引言1.1DC 的网络性能要求近几年,大数据、云计算、社交网络、物联网等应用和服务高速发展,DC 已经成为承载这些服务的重要基础设施。
随着信息化水平的提高,移动互联网产业快速发展,尤其是视频、网络直播、游戏等行业的爆发式增长,用户对访问体验提出了更高的要求;云计算技术的广泛应用带动数据存储规模、计算能力以及网络流量的大幅增加;此外,物联网、智慧城市以及人工智能的发展也都对DC提出了更多的诉求。
为了满足不断增长的网络需求,DC 内的网络性能要求主要体现在:•低时延。
运维堡垒机产品白皮书启明星辰目录堡垒机•需求分析•产品简介•功能特点•技术优势•典型应用•用户价值需求分析随着企业信息化进程不断深入,企业的IT系统变得日益复杂,不同背景的运维人员违规操作导致的安全问题变得日益突出起来,主要表现在:内部人员操作的安全隐患、第三方维护人员安全隐患、高权限账号滥用风险、系统共享账号安全隐患、违规行为无法控制的风险。
运维操作过程是导致安全事件频发的主要环节,所以对运维操作过程的安全管控就显得极为重要。
而防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于运维人员的违规操作却无能为力。
如何转换运维安全管控模式,降低人为安全风险,满足企业要求,是当下所面临的迫切需求。
产品简介产品简介天玥运维安全网关,俗称堡垒机,能够对运维人员维护过程进行全面跟踪、控制、记录、回放;支持细粒度配置运维人员的访问权限,实时阻断违规、越权的访问行为,同时提供维护人员操作的全过程的记录与报告;系统支持对加密与图形协议进行审计,消除了传统行为审计系统中的审计盲点,是IT系统内部控制最有力的支撑平台。
运维过程三个阶段进行严格管控:事前预防:建立“自然人-资源-资源账号”关系,实现统一认证和授权事中控制:建立“自然人-操作-资源”关系,实现操作审计和控制事后审计:建立“自然人-资源-审计日志”关系,实现事后溯源和责任界定功能特点•部署方式灵活性:天玥运维安全网关支持单机、双机、分布式部署多种部署方式,并支持NAT和网口聚合方式,适应多变业务场景。
•操作使用便捷性:天玥运维安全网关提供多种运维方式、C/S运维客户端、资源批量登录、命令批量执行、设备自动改密等多种功能以保证运维过程的自动和快捷性。
•管控方式严格性:天玥运维安全网关提供命令限制与复核、应用发布防跳转、运维账号IP、MAC限制等。
严格的管控方式以保证运维过程的规范性。
•审计效果精细化:数据库协议深度解析、数据库返回行数记录、Oracle数据库变量绑定解析。
迪普防⽕墙技术⽩⽪书(1)迪普FW1000系列防⽕墙技术⽩⽪书1概述随着⽹络技术的普及,⽹络攻击⾏为出现得越来越频繁。
通过各种攻击软件,只要具有⼀般计算机常识的初学者也能完成对⽹络的攻击。
各种⽹络病毒的泛滥,也加剧了⽹络被攻击的危险。
⽬前,Internet⽹络上常见的安全威胁分为以下⼏类:⾮法使⽤:资源被未授权的⽤户(也可以称为⾮法⽤户)或以未授权⽅式(⾮法权限)使⽤。
例如,攻击者通过猜测帐号和密码的组合,从⽽进⼊计算机系统以⾮法使⽤资源。
拒绝服务:服务器拒绝合法⽤户正常访问信息或资源的请求。
例如,攻击者短时间内使⽤⼤量数据包或畸形报⽂向服务器不断发起连接或请求回应,致使服务器负荷过重⽽不能处理合法任务。
信息盗窃:攻击者并不直接⼊侵⽬标系统,⽽是通过窃听⽹络来获取重要数据或信息。
数据篡改:攻击者对系统数据或消息流进⾏有选择的修改、删除、延误、重排序及插⼊虚假消息等操作,⽽使数据的⼀致性被破坏。
基于⽹络协议的防⽕墙不能阻⽌各种攻击⼯具更加⾼层的攻击⽹络中⼤量的低安全性家庭主机成为攻击者或者蠕⾍病毒的被控攻击主机被攻克的服务器也成为辅助攻击者Internet⽌⽕灾蔓延的隔断墙,Internet防⽕墙是⼀个或⼀组实施访问控制策略的系统,它监控可信任⽹络(相当于内部⽹络)和不可信任⽹络(相当于外部⽹络)之间的访问通道,以防⽌外部⽹络的危险蔓延到内部⽹络上。
防⽕墙作⽤于被保护区域的⼊⼝处,基于访问控制策略提供安全防护。
例如:当防⽕墙位于内部⽹络和外部⽹络的连接处时,可以保护组织内的⽹络和数据免遭来⾃外部⽹络的⾮法访问(未授权或未验证的访问)或恶意攻击;当防⽕墙位于组织内部相对开放的⽹段或⽐较敏感的⽹段(如保存敏感或专有数据的⽹络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来⾃组织内部)。
防⽕墙技术经历了包过滤防⽕墙、代理防⽕墙、状态防⽕墙的技术演变,但是随着各种基于不安全应⽤的攻击增多以及⽹络蠕⾍病毒的泛滥,传统防⽕墙⾯临更加艰巨的任务,不但需要防护传统的基于⽹络层的协议攻击,⽽且需要处理更加⾼层的应⽤数据,对应⽤层的攻击进⾏防护。
BFD技术白皮书本文档介绍了双向转发检测(BFD)技术的原理及应用,BFD是一套用来快速检测的国际标准协议,提供了一种轻负荷,短周期的故障检测。
迈普公司已在高端网络产品上实现了BFD技术,可以为用户提供完整的解决方案,从而能够大幅提高网络的服务质量。
目录1概述 (3)2 技术简介 (3)2.1BFD技术原理 (3)2.2 术语 (4)3 关键技术 (4)3.1 报文格式 (4)3.2 协议状态机 (6)3.3工作模式 (7)3.4会话的建立 (8)4 典型应用 (11)4.1 BFD加快路由协议收敛 (11)4.2 BFD加快VRRP协议收敛 (12)1概述众所周知,IP网络并不具备秒级以下的间歇性故障修复功能,而传统路由架构在对实时应用(如语音)进行准确故障检测方面能力有限。
随着VoIP应用的激增,实现快速网络故障检测和修复越发显得必要。
网络设备的一个日益重要的特色就是可以迅速的检测到临近系统之间的通信故障,以便更快的建立或切换到备用路径。
在某些环境中由于数据链路硬件的作用可以使故障检测相当的迅速(例如SDH)。
但是很多媒介并没有提供这种能力(例如以太),还有一些无法实现端到端的路径检测。
如果硬件不能够对故障检测提供帮助时,网络中将使用缓慢的Hello机制来进行故障检测,这一般是由路由协议来提供。
而目前存在的路由协议所能够提供的可以检测到网络故障的最快时间基本都是秒级的,这对于某些应用来说实在是太长了,并且当网络业务达到吉比特时,秒级的故障检测速度将会导致大量数据的丢失。
此外,路由协议所提供的Hello机制只有当该路由协议被使用时才有效,并且路由协议所提供的检测含义略有不同——它们检测的是两个路由协议引擎之间路径上的故障。
双向转发检测(Bidirectional Forwarding Detection ,BFD)能大大提高网络的故障检测速度。
IETF草案标准BFD提供了一种简单、轻量和抽象的方法,对网络链接能力和系统通信转发功能进行检测。
华为USG6000系列防⽕墙产品技术⽩⽪书(总体)华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。
保留⼀切权利。
⾮经本公司书⾯许可,任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本⽂档提及的其他所有商标或注册商标,由各⾃的所有⼈拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。
除⾮合同另有约定,华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。
由于产品版本升级或其他原因,本⽂档内容会不定期进⾏更新。
除⾮另有约定,本⽂档仅作为使⽤指导,本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。
华为技术有限公司地址:深圳市龙岗区坂⽥华为总部办公楼邮编:518129⽹址:/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱:ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话:4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词:NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等,并提供了防⽕墙选择过程的⼀些需要关注的技术问题。
目录3 BFD配置3.1 BFD简介3.1.1 BFD概述3.1.2 AR1200支持的BFD特性3.2 配置BFD单跳检测3.2.1 建立配置任务3.2.2 使能全局BFD功能3.2.3 建立BFD会话3.2.4 检查配置结果3.3 配置BFD修改端口状态表3.3.1 建立配置任务3.3.2 使能BFD修改端口状态表3.3.3 检查配置结果3.4 配置BFD多跳检测3.4.1 建立配置任务3.4.2 使能全局BFD功能3.4.3 建立BFD会话3.4.4 检查配置结果3.5 配置静态标识符自协商BFD3.5.1 建立配置任务3.5.2 使能全局BFD功能3.5.3 建立BFD会话3.5.4 检查配置结果3.6 配置BFD延迟UP功能3.6.1 建立配置任务3.6.2 配置BFD会话延迟UP功能3.6.3 检查配置结果3.7 配置单臂ECHO功能3.7.1 建立配置任务3.7.2 使能全局BFD功能3.7.3 建立BFD会话3.7.4 检查配置结果3.8 调整BFD检测参数3.8.1 建立配置任务3.8.2 调整BFD检测时间3.8.3 配置BFD等待恢复时间3.8.4 配置BFD会话的描述信息3.8.5 检查配置结果3.9 配置全局多跳端口号功能3.9.1 建立配置任务3.9.2 配置全局多跳端口号3.9.3 检查配置结果3.10 配置BFD状态与接口状态联动3.11 配置BFD状态与子接口状态联动3.12 配置全局TTL功能3.12.1 建立配置任务3.12.2 配置全局TTL3.12.3 检查配置结果3.13 维护BFD3.13.1 清除BFD的统计数据3.13.2 监控BFD运行状况3.14 配置举例3.14.1 配置三层物理链路单跳检测示例3.14.2 配置VLANIF接口单跳检测示例3.14.3 配置BFD多跳检测示例3.14.4 配置Dot1q终结子接口支持BFD示例3.14.5 配置单臂ECHO功能示例3 BFD配置通过创建BFD会话,可以实现快速检测网络中链路故障。
电力手拉手保护技术白皮书目录Catalog1 总体概述 (4)1.1 概况 (4)1.2 本方案应用的技术条件 (5)1.3 本方案的应用限制 (6)2 手拉手保护实现原理 (6)2.1 不带路由器的组网场景 (6)2.1.1 物理拓扑图 (6)2.1.2 业务配置 (7)2.2 带路由器的组网场景 (7)2.2.1 物理拓扑图 (7)2.2.2 业务配置 (8)2.3 Goose通信组网场景 (9)2.3.1 物理拓扑图 (9)2.3.2 业务配置说明 (10)2.3.3 物理接口分析 (10)2.4 手拉手规格和性能 (10)2.4.1 性能 (10)2.4.2 规格 (10)电力手拉手保护技术白皮书关键词:EPON,手拉手保护,TYPE D, GOOSE摘要:本文基于华为电力EPON解决方案,全面系统描述电力手拉手保护相关的技术,包括基本原理,关键技术。
通过对本文的阅读,读者可以了解电力手拉手保护的基本概念,实现原理和配置注意事项。
本文档基于OLT版本V8R10,ONU版本R310,U2000版本V1R6.缩略语清单:1总体概述1.1概况电力应用场景中,核心的诉求是可靠性,因此电力配网的PON解决方案中,要求双配OLT,ONU 两个上行口通过TYPE D双归到两台OLT的组网称为”手拉手”保护。
本文档详细解释了TYPE D双归保护和”手拉手”保护的原理,以及ONU的自动倒回机制,描述单点故障的场景下,如何提高系统的可靠性。
对于EPON线路TYPE D保护倒换,在CTC2.1(中国电信标准2.1版)中给出了明确的规范:1)类型d(如图1):OLT双PON口,ONU双PON口,主干光纤、光分路器和配线光纤均双路冗余)。
具体实现方式包括OLT内同一PON板内不同PON口和不同PON板间的PON口保护等两种。
●OLT:主、备用的OLT PON端口均处于工作状态。
OLT应保证主用PON端口的业务信息能够同步备份到备用PON端口,使得保护倒换过程中,备用PON端口能维持ONU的业务属性不变;●光分路器:使用2个1:N光分路器;●ONU:ONU采用双光模块。
工信部物联网白皮书2011《工信部物联网白皮书 2011》在当今科技飞速发展的时代,物联网已经成为了一个备受瞩目的领域。
2011 年,工信部发布的物联网白皮书,为我们描绘了这个新兴领域的发展蓝图和前景。
物联网,简单来说,就是让各种物品通过网络相互连接、交流和协同工作。
它不仅仅是把物品连上网络那么简单,更是一种能够改变我们生活和工作方式的创新技术。
这份白皮书首先对物联网的概念和特点进行了清晰的阐述。
物联网的特点之一就是能够实现智能化的感知。
通过各种传感器和识别技术,物品可以自动获取周围环境的信息,比如温度、湿度、位置等等。
这就好像给物品装上了“眼睛”和“耳朵”,让它们能够“看”到和“听”到周围的情况。
另一个特点是广泛的互联互通。
不同类型的物品、设备和系统能够通过网络连接在一起,打破了以往的信息孤岛,实现了信息的共享和交流。
这种互联互通让我们能够更加全面、准确地了解各种情况,从而做出更加明智的决策。
在应用领域方面,物联网的影响可谓是无处不在。
在工业领域,它可以实现智能化的生产管理,提高生产效率和产品质量。
工厂里的设备能够自动监测自身的运行状态,及时发现故障并进行预警,从而减少停机时间和维修成本。
同时,通过对生产过程中的数据进行分析,企业还可以优化生产流程,提高资源利用率。
在农业领域,物联网也发挥着重要作用。
通过在农田中部署传感器,农民可以实时了解土壤的湿度、肥力、酸碱度等信息,从而精准地进行灌溉、施肥和病虫害防治。
这不仅提高了农作物的产量和质量,还减少了资源的浪费和环境污染。
在交通领域,物联网让交通管理变得更加智能和高效。
车辆可以通过与道路设施的通信,获取实时的路况信息,选择最优的行驶路线。
同时,交通管理部门也可以通过对车辆的监控,及时发现拥堵和事故,进行有效的疏导和处理。
在智能家居领域,物联网让我们的家变得更加舒适和便捷。
我们可以通过手机远程控制家里的电器、灯光、窗帘等设备,还可以实现家庭安防的智能化监控。
BFD技术白皮书BFD技术白皮书华为技术有限公司Huawei Technologies Co., Ltd.目录1前言 (2)2技术介绍 (4)2.1协议概述 (4)2.2报文格式 (4)2.3检测模式 (7)2.4发送周期及检测时间 (9)2.5参数修改 (10)2.6会话建立 (11)2.6.1会话初始化过程 (11)2.6.2会话建立过程 (13)3BFD的标准化 (16)4典型应用 (17)4.1应用于快速重路由 (17)4.2应用于媒体网关与核心网的可靠连接 (19)5结束语 (20)附录A 参考资料 (21)附录B 缩略语 (21)BFD技术白皮书摘要:BFD(双向转发检测)是一套用来实现快速检测的国际标准协议,提供一种轻负荷、持续时间短的检测。
与以往的其他”HELLO”检测机制相比,具有许多独到的优势。
华为公司已经在数通产品上实现了BFD技术,并提供整套解决方案。
关键词:BFD、快速检测1 前言网络设备一个越来越重要的特征是,要求对相邻系统之间通信故障进行快速检测,这样在出现故障时可以更快的建立起替代通道或倒换到其他链路。
目前,一些硬件如SDH等可以提供这个功能,但是对于很多硬件或者软件无法提供这个功能,比如以太网,还有一些无法实现路径检测,比如转发引擎或者接口等,无法实现端到端的检测,在目前的网络一般采用慢Hello机制,尤其在路由协议中,在没有硬件帮助下,检测时间会很长(例如:OSPF需要2秒的检测时间,ISIS需要1秒的检测时间),这对一些电信级业务来说时间太长了,当数据速率到吉比特时,缺陷感应时间长代表着大量数据的丢失,并且对于不允许路由协议的节点没有办法检测到链路的状态。
同时,在现有的IP网络中不具备秒以下的间歇性故障修复功能,而传统路由架构在对实时应用(如语音)进行准确故障检测方面能力有限,伴随着VoIP应用的激增,实现快速网络故障检测和修复越发显得必要。
BFD协议的出现,为上述问题提出了一种解决方案,BFD能够在系统之间的任何类型通道上进行故障检测,这些通道包括直接的物理链路,虚电路,隧道,MPLS LSP,多跳路由通道,以及非直接的通道。
