NETGEAR高速交换网解决方案.doc

netgearnetgear 高速交换网高速交换网 解决方案解决方案 陕西陕西 xxxx 科技发展有限公司科技发展有限公司 20112011 年年 3 3 月月 目目 录录 第一章第一章 概述概述.3 第二章第二章 用户需求用户需求.3 2.12.1、用户概述、用户概述3 2.22.2、用户网络建设需求分析、用户网络建设需求分析.3 2.32.3、网络建设设计依据、网络建设设计依据3 netgearnetgear 高速以太网网络方案设计高速以太网网络方案设计5 3.13.1、netgearnetgear 网络连接拓扑图网络连接拓扑图5 3.23.2 netgearnetgear 网络解决方案网络解决方案6 3.23.2、netgearnetgear 网络解决方案的优势网络解决方案的优势.9 3.33.3、netgearnetgear 网络关键技术介绍网络关键技术介绍.12 3.3.1 802.3ad 链路聚合控制(lacp)技术.13 3.3.2 vrrp 虚拟路由冗余技术.14 3.3.3 qos 策略和控制机制.17 3.3.4 访问控制安全机制21 3.3.5 万兆(10g)以太网技术27 3.3.6 ipv6 技术.31 3.43.4、netgearnetgear 网络方案的主要特点网络方案的主要特点.32 第四章第四章 技术支持和售后服务保证技术支持和售后服务保证.33 第五章第五章 相关产品介绍相关产品介绍.35 5.15.1 p proros safeafe gsm7328fsgsm7328fs 2424 光纤端口光纤端口分布式万兆中心交换机分布式万兆中心交换机35 5.25.2 p proros safeafe 4848 端口端口 10/100m10/100m4 4 千兆端口增强型智能交换机千兆端口增强型智能交换机41 5.35.3 p proros safeafe 2424 端口端口 10/100m10/100m4 4 千兆端口增强型智能交换机千兆端口增强型智能交换机45 5.45.4 p proros safeafe 网管软件网管软件-nms100-nms10050 第一章第一章 概述概述 第二章第二章 用户需求用户需求 2.12.1、用户概述、用户概述 2.22.2、用户网络建设需求分析、用户网络建设需求分析 2.32.3、网络建设设计依据、网络建设设计依据 随着网络新技术的不断出现,企业信息化建设的进程也呈现了日新月异的飞速发 展,基于网络的各类应用也越来越多,网络的高速传输,高带宽,稳定性和安全性的已 被企业所关注.为此,建设一个能满足企业业务的要求,并能切合实际适应企业业务 和用户群的需求特点,是我们此次网络方案设计和建设的主要目的. 根据用户网络工程具体的技术要求，参照典型企业大楼网的设计模式及原则， 以采用先进成熟性技术手段为设计思路，充分发挥 netgear 公司产品技术优势，结 合最新网络技术发展，我们将设计以千兆位以太网交换技术为骨干，百兆到桌面的 网络工程解决方案。在总体设计理念上,网络建设的设计应以下要求: （1）、设备的先进性与成熟性 当今世界，通信技术和计算机技术的发展日新月异。本方案适应新技术发展的潮 流，既兼顾了技术上的成熟性，同时也保证了系统的先进性。 （2）、系统的开放性 系统在设计时均采用国际标准协议。网络管理基于 snmpv1,snmpv2c 以及 snmpv3， 并支持 rmon 和 rmon2。 （3）、性能可扩展性 所有设备均可满足用户的目前大数据量和性能需求，又能轻易扩展以保障用户将来 直接的平滑升级至 10g10g 主干和支持主干和支持 ipv6ipv6。 (4)、高性能 采用高性能的 layer2 和 layer3 交换机以及高性能路由器，提供线速交换和路由。 采用线路捆绑和高帶寬骨干链路以及负载分担技术，保证整个网络负载均衡，不存 在瓶颈。 （5）、能满足多业务处理 针对企业多样性和复杂性的网络应用,方案能满足目前和若干年后的应用需求.针对 这些需求可实现网络的流量控制、带宽分配、安全控制、语音和视频的应用支持等 等，可进行深层次的全局管理和控制。实现线速网络多层交换，特别是对 acl 等处 理后保持较高转发速率。将来随着业务的发展，可轻易的将网络升级支持至万兆主将来随着业务的发展，可轻易的将网络升级支持至万兆主 干和干和 ipv6ipv6。 （6）、安全性、可靠性 设计方案不但要保证理论上可行，更重要的是实际上可用。要充分考虑具体情况， 充分满足网络需求。为了使网络可靠地运行，本方案选用了高品质、高性能价格比 的产品，把故障率降到最低。同时，我们采用了系统堆叠容错技术，当网络系统内 某一点出现故障时，整个系统仍然能够继续运行而不会造成停机，从而把损失降到 最小。 （7）、一体化的网络管理 随着网络规模的扩大和系统复杂程度的增加，网络管理和故障排除就变得越来越困 难。本方案将提供先进而完善的网络管理工具，包括设备级的管理和应用级的管理。 （8）、从实际出发 本着从实际情况出发，采用先进的网络技术，建立一个高速、宽带、扩充性能良好 的计算机网络系统。 netgearnetgear 高速以太网网络方案设计高速以太网网络方案设计 3.13.1、netgearnetgear 网络连接拓扑图网络连接拓扑图 如下图示,本方案总体的网络设计，将采用三级层次结构：核心交换机、汇聚层 交换机和工作组接入交换。整个网络采用路由热备技术，主干链路采用双链路设计,是 企业网络最具投资保护的下一代网络基础架构，是充分支持下一代网络数据，话音 以及视频集成的多业务网络。 网络中心：网络中心：网络交换核心共配置二台 netgear 公司 gsm7328fs 分布式万兆以太 网中心交换机，二台万兆核心交换机采用 vrrp 路由热备方式工作。向汇聚层交换 机提供连接，其也负责连接网络的中心服务器以及对外出口听防火墙设备，总体负 责整个网络中所有客户端与应用服务器或互联网之间的数据交换。 汇聚层接入交换局机汇聚层接入交换局机：在配线间配置 netgear 公司千兆全网管交换机 gs7212，向接入层交换机提供 1000mbps 二层数据连接 、 ,向上通过双链路千兆连接 2 台中心交换机。 接入层接入交换机：接入层接入交换机：接入层交换机采用 fs752ts 智能堆叠交换机，接入层交换 机采用千兆连接到汇聚层交换机，向最终客户提供 10/100m 以太网连接。 3.23.2 netgearnetgear 网络解决方案网络解决方案 1 1）核心交换机）核心交换机 根据网络中心的设计原则，以提高核心设备的高速、可靠性、可用性为目标， 结合用户的具体要求，中心设计采用二台 netgear 公司的企业级 gsm7328fs 分布式 万兆中心交换机，向下通过千兆光纤连接汇聚/接入层交换机。 本方案中，网络中心采用二台堆叠的 gsm7352fs 交换机形成高性能高可靠的千 兆网络中心。 2 2）汇聚层交换机）汇聚层交换机 对于汇聚层的设计，我们以整体网络高速性能、可靠、可扩展、高密度接入为 设计目标.我们将采用支持灵活物理连接的设计理念,即同时支持多个光纤及 utp 接 口的设备gsm7212,同时为了有效的提供网络冗余特性，我们采用双链路上联方式 接入到网络核心。有效的提供网络健壮性，提高网络设备利用效率。 3 3）接入层交换机）接入层交换机 接入层交换机直接连接用户，所以接入层交换机应该能支持丰富的安全特性。 应该支持 mac 地址端口绑定，端口限速，广播风暴控制等功能。在本方案中我们 推荐采用 netgear 增强型智能交换机 fs752ts。 4)4) 链路主干连接说明：链路主干连接说明： 网络核心的二台企业级 gsm7328fs 分布式万兆交换机,通过双链路千兆光纤和 汇聚层交换机 gsm7212 连接,形成冗标准星型拓扑网络。 在网络中心的分布式万兆交换机与汇聚层交换机之间的连接,可以采用双链路 聚合的方式。汇聚交换机可以采用 2 条 1000m 链路并行上联到核心万兆交换机。采 用 netgear 称为路由热备(vrrp)技术，逻辑上交换机视 2 个万兆核心交换机为一台 交换机，2 条物理链路分别连接到网络核心，正常工作时候，两个核心交换机各负 责网络一半的流量，在任何一台核心交换机出现故障后，另外一台交换机会自动接 管全部网络流量。这样就实现了正常工作时，核心交换机负载均衡，在核心交换机 出现故障时，能起到备份作用。如下图所示： vrrp 将局域网的一组路由器，如图中的 sw-1 和 sw-2 组织成一个虚拟的路 由器。这个虚拟的路由器拥有自己的 ip 地址 ，称为路由器的虚拟 ip 地址。同时，物理路由器 sw-1 ,sw-2 也有自己的 ip 地址（如 sw-1 的 ip 地址为 ，sw-2 的 ip 地址为 ）。局域网内的主机仅仅知道这个虚 拟路由器的 ip 地址 ，而并不知道备份组内具体路由器的 ip 地址。在 配置时，将局域网主机的默认网关设置为该虚拟路由器的 ip 地址 。于 是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信，实际的数据处 理由备份组内 master 路由器执行。如果备份组内的 master 路由器出现故障时，备 份组内的其它 backup 路由器将会接替成为新的 master，继续向网络内的主机提供 路由服务。从而实现网络内的主机不间断地与外部网络进行通信。 vrrp 通过多台路由器实现冗余，任何时候只有一台路由器为主路由器，其他的 为备份路由器。路由器间的切换对用户是完全透明的，用户不必关心具体过程，只 要把缺省路由器设为虚拟路由器的 ip 地址即可。 通过 vrrp 技术还可以实现核心网络设备负载均衡，例如 sw-1 在 vlan 1，3，5 中为主路由，在 vlan2，4，6 中为备份路由。而 sw-2 在 vlan2，4，6 中为 主路由，在 vlan1，3，5 中为备份路由。这样就可以实现正常工作时候 sw-1 转发 vlan1，3，5 的数据流量，sw-2 转发 vlan2，4，6 的数据流量。如果任意一台核心 交换机发生故障，另外一台交换机会接管它，并继续提供网络服务。这种不间断的 网络服务对于大中型网络是至关重要的。 5)5) 网络管理网络管理 nms100nms100 为了更好的便于集中管理，我们在方案中配置了一套 netgear prosafe nms100 网管平台进行管理.netgear nms100 可管理 netgear 所有的可网管以太网交换机,无 线 ap 和防火墙产品,基于标准的网络管理平台可兼容和管理包括第三方网络设备. netgear nms100 可提供基于 snmp v1、v2 和 v3 的网管接口，最大支持 1000 个网络 设备，同时也为整个企业的网络设备提供了统一的支持，支持 802.11 标准的 mib 库。 netgear 网管软件 nms100 提供了整个网络所有的节点的分布图（通过自动发现 功能）。从屏幕上，it 管理员可以直接对包括 netgear 可网管设备在内的网络设备 进行参数设置，比如基于整个网络范围，组或单独节点的安全性设置,设备升级,配 置保存等等。该屏幕同时提供了快速浏览细节的功能，比如网络设备的健康状态, 性能分析,日志记录等。it 管理员也可以点击任意节点并调整管理员模式，比如节 点的性能状态,参数设置等等。下图所示为借助 netgear 网络管理软件 nms100 形成 的网络结构图. 具体的 nms100 网管平台的技术特性参见后章节网络产品介绍 3.23.2、netgearnetgear 网络解决方案的优势网络解决方案的优势 1.1. 高速的万兆的三层交换架构高速的万兆的三层交换架构 高速的万兆三层交换赋予了你的成长型商业/企业网络所需要的最大的吞吐量 和灵活性-这全新及流行趋势的架构设计-有效的提高了网络数据的传输效率。 同时高速的万兆三层架构设计，使整个网络更具有管理的智能性，强劲的核心交换 机gsm73xxs支持多种由协议,如基于端口和vlan的路由,静态/动态/等价路由，丰富 的管理控制机制等。边缘智能fs752ts交换机具有极高的性能价格比，能够以低廉 的价格提供高效的网络服务。 另外,全新的基于lpm硬件的路由转发方式不仅适用于大型网络环境，也保障 所有数据包的从核心到边缘无阻塞的线速转发性能-分布式架构的第二/三层线速 交换； 2 2先进的堆叠技术，确保最强的网络性能先进的堆叠技术，确保最强的网络性能 gsm7328fs具有强劲的144gbps背板，支持双向堆叠，最大支持8台gsm73xxs的 交换机融为一体。仅与核心机箱式交换机不同的是，将那些机箱模块变为了固定端 口的交换机。堆叠后的交换机之间通过24gbps的背板堆叠总线进行传输，而具有冗 余连接的特性（注：市场上大多支持万兆的机箱式交换机，机箱里的插槽模块之间 传输的背板总线带宽为24gbps）。堆叠后最大可提供192个千兆端口，16个10g端口。 gsm73xxs交换机可以单独作为核心或作为万兆汇聚连接核心交换机，多台堆叠后的 交换机可通过单一的ip地址，在一个界面里就可以直接配置和升级整个堆叠组的交 换机。简单，容易的配置和管理。（gsm73xxs堆叠连接示意图） 另外,gsm73xxs系列交换机，堆叠后均可以支持跨堆叠的链路聚合（lacp）和 跨堆叠的端口镜象技术；此方案设计中的核心交换机gsm73xxs与汇聚层交换机 gsm7212智能交换机之间采用双链路互联，可提供高达4gbps的连接带宽，并且是冗 余备份连接和数据传输负载分担的。另外，从核心交换机到边缘交换机网络结构清 晰，简单、可靠、无阻塞和线速。 3 3全局的网络安全控制策略全局的网络安全控制策略 随着近年来局域网络所面临着日益增多的黑客攻击,非法接入,”蠕虫”病毒攻 击等等令人头疼的问题和安全隐患.特别是那些没有专门 it 网管的成长型的商业/ 企业网络,不安全的和不稳定的网络将会严重影响整个商业/企业的业务开展. 全新 设计的“下一代安全交换机”是迎合未来和现在商业/企业网络所需和所关注的 和所面临问题的最佳解决方案的理想产品. 那么目前商业/企业主要面临了几个方面安全相关的问题: 首先,设备管理安全性-般来讲,许多用户对于网络设备的安全最简单的印象和 概念是需要去修改设备的管理员帐号和口令,对于这些管理上的简单常识问题是容 易解决的.而现在,对于一些大/中/小型应用及网络结构复杂的网络中,由于在前期 网络建设过程中,从核心到边缘接入层的大多数设备本身就不具备实现安全保护的 功能特性.比如在大型企业,园区和校园网络里,这将会是非常的麻烦和辣手的,因为 你的网络将要随时面临着恶意/非恶意的人使用从互联网上免费下载的攻击和扫描 工具来干扰你的网络设备的正常使用,比如“中间人”攻击，非法进入交换机管理 界面，窃取交换机用户名/密码/管理 ip 地址等等，信息侦听探测，窃取修改管理 数据,出厂恢复你交换机的配置等等. 其次,设备抗攻击性我们还清晰的记得前两年”蠕虫”猖狂泛滥的季节, 比 如 code red worm, my-sql server worm, w32/blaster worm 等蠕虫病毒的攻击让 你的网络完全处于瘫痪状态,电脑就象被交换机完全屏蔽掉而无法工作.除此之外, 还有各种各样的拒绝式 dos 和 ddos 攻击，这些攻击都能大量消耗网络交换机的 cpu 资源，堵塞你数据传输的带宽. 第三,接入安全性对于大/中型企业/网络, it 网管人员是无法确定哪些是 合法使用网络的用户,哪些是非法的 pc 接入，对于那些没有任何控制能力的有线网 络设备,使的商业/企业网络能轻易的让非法享用或盗取网络资源. 因此我们在此次方案设计中所推荐的交换机,都是可为成长型的大、中、小型 商业/企业构建一套行之有效,而且可靠,实用的安全网络解决方案。当然，也包括 那些已建设有内部网络，只需进行简单改造升级即可实现“全面安全”的网络。 这两个系列的”下一代安全”交换机都是可以提供全局的访问控制策略的配置,可 基于 ip 地址,源/目的地址,端口,协议等.acl 和 qos 的增强特性可以提供基于应用 流的流量限制. 基于硬件芯片设计的下一代接入层安全工作组交换机, 设计将服务质量 （qos）、速率限制（rating limiting）、多层访问控制列表（acl），防 dos 攻 击以及用户访问认证(802.1x)等功能都集成到硬件芯片上, 智能特性不会影响到基 本二层、三层的线速转发性能 .下一代全网管安全系列交换机强大的交换机硬件体 系结构的设计对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力，有效 保证了设备和网络系统的安全。 同时,下一代全网管安全交换机 gsm73xxs 和 fs7xxts 系列支持完整的 802.1x + radius network login 功能,配合 netgear 在中国的 802.1x 客户端软件及 radius server 软件,可实现用户名与 客户端 ip 地址,客户端 mac 地址,所接交换 机的管理 ip 地址(nas ip address),交换机端口及端口 vlan id 的灵活绑定.为接 入端提供了安全,灵活的身份验证和控制手段.我们在中国的 802.1x 客户端软件及 radius server 软件是具有完全的计费功能的.另外, 下一代全网管安全系列交换 机还具备交换机端口/mac 地址绑定和多种层次(l2/3/4)的 acl 安全访问控制功能. gsm73xxs 和 fs7xxts 系列交换机通过 secure sockets layer (sslv3)来安全 web gui 图形化界面的配置, 通过 secured shell (ssh )开安全远程的命令行配置,通 过 snmpv3 来安全网管系统的安全.这些手段可以防止来自于“中间人”攻击，非法 进入交换机管理，窃取交换机用户名/密码/管理 ip 地址等等，信息侦听探测，窃 取修改管理数据,以实现局域网络的安全管理. 4.4. 丰富的丰富的 qosqos 策略策略 方案中配置的交换机全都是具有功能强大的 differserv 服务质量控制功能, 可以支持基于源 mac 地址、目的 mac 地址、源 ip 地址、目的 ip 地址、端口、协议 的 l2l7 复杂流分类, 可以提供灵活的队列调度算法，可以同时基于端口和队列进 行设置，支持 sp（strict priority）、wrr（weighted round robin）模式，支持 8 个优先级队列，支持 wred 拥塞避免算法。另外,通过支持 car（committed access rate）功能，可以实现基于流的速率限制.通过基于物理端口的速率限制， 为网络带宽的精细化的管理提供了手段 5.5. 显著的价值显著的价值 具有非常诱惑的方案设计,强大的三层/二层交换机的功能。可靠,安全的预设 计,减少了维护和管理的需求,使用 netegar 交换机的解决方案可为你获得高的投资 回报,并且提供了理想的高可靠,安全的、集合语音,视频和数据传输的网络体系。 3.33.3、netgearnetgear 网络关键技术介绍网络关键技术介绍 .1 802.3ad802.3ad 链路聚合控制链路聚合控制(lacp)(lacp)技术技术 一般而言,链路聚合技术也称为主干链路捆绑技术（trunking），我们可将交换 机的几个端口通过设置让它们聚合在一起,就象虚拟成了一个端口一样。这样可以 使交换机之间或交换机和服务器之间形成可靠的连接,并且连接带宽 nx2 倍(全双工). 从逻辑链路上看,它是一个整体，内部的组成,并且传输的数据对上层服务透明. 聚合内部的几根物理链路可以共同完成数据传输并互为备份。单个传输链路中断不 会影响其他链路的传输 ieee 802.3ad 是执行链路聚合的标准方法.而 ieee 802.3ad 的使用需要交换机 或服务器网卡的支持。链路聚合的工作方式在不同厂商的技术中有多种实现方式, 包括了象比如常见的 trunking 协议,cisco fast ethernet channel(fec)协议等等,都 是可以让该交换机通过配置来哪些端口是属于同一个聚合内。 链路聚合控制协议链路聚合控制协议（link aggregation control protocol）是 ieee 802.3ad 标准的主要内容之一，它定义了一种标准的聚合控制方式。使用 ieee 802.3ad“链路聚合控制”(lacp)的优势在于它在交换机中自动创建链路聚合，而 且它允许您使用支持 ieee 802.3ad 标准的其他厂商的链路聚合技术. 在 ieee 802.3ad 标准中，“链路聚合控制协议”（lacp）自动通知交换机应该聚 集哪些端口。ieee 802.3ad 聚合配置之后，链路聚合控制协议数据单元 （lacpdu）就会在服务器和交换机或者是交换机与交换机之间进行交换。聚合的双 方设备通过协议交互聚合信息，根据双方的参数和状态，自动将匹配的链路聚合在 一起收发数据。聚合形成后，交换设备维护聚合链路状态，当双方配置变化时，自 动调整或解散聚合链路。 lacp 协议报文中的聚合信息包括本设备的配置参数和聚合状态等，报文发送方 式分为事件触发和周期发送。当聚合状态或配置变化事件发生时，本系统通过发送 协议报文通知对端自身的变化。聚合链路稳定工作时，系统定时交换当前状态以维 护链路。协议报文不携带序列号，因此双方不检测和重发丢失的协议报文。 需要指出的是，lacp 协议并不等于链路聚合技术，而是 ieee802.3ad 提供的一种 链路聚合控制方式，具体实现中也可采用其它的聚合控制方式。 另外值得关心的是,在做链路聚合的时候,建议聚合内的链路的线路速度最好相同 （例如，全都为 100 mbps 或 1 gbps），最好都是全双工的。我们建议本项目中 接入层交换机和汇聚层交换机采用双链路聚合技术，提供高带宽及链路冗余功能。 .2 vrrpvrrp 虚拟路由冗余虚拟路由冗余技术技术 在 tcp/ip 网络中，为了保证一个主机能与其他子网内的网络设备(比如服务 器)不间断的访问和传输，首先需要为该主机指定一个默认网关。而在网络中的路 由设备上会设置各自不同的 ip 子网,并通过广播路由表的方式交换路由信息,常用 的方式有两种:一种是使用最短路径优先（open shortest-path first，简称 ospf）协议和路由信息协议（routing information protocol，简称 rip）。动态 路由协议能够绕过任意网络中的故障点来选择到达目的子网网关的最佳路径，但动 态路由协议对于网络设备的处理开销较大，且路由表收敛工程慢。另外一种是采用 静态配置的默认网关来减少处理开销。但是，使用默认网关的风险是使用缺省网络 的路由器成了单一的故障点，即如果该路由器发生故障，所有使用该网关作为下一 跳主机的通信必然要中断。为此，internet 工程任务组（internet engineering task force，简称 ietf）制定了虚拟路由器冗余协议（vrrp， rfc2338），应用于 作为静态配置默认网关上的第三层交换机和路由器，为依赖于默认网关进行广域网 接入或访问其他局域网的终端系统提供更快、更有效的冗余容错能力。 vrrp 协议将系统中多台三层交换机或者路由器组成 vrrp 组，该组中拥有一 个虚拟默认网关地址。但在任何时刻，一个组内只有控制虚拟网关地址的路由器是 活动路由器（master），由它来转发数据包。如果活动路由器发生了故障，它将选 择一个优先权最高的冗余备份路由器（backup）来替代活动路由器。由于网络内的 主机配置了 vrrp 虚拟网关地址，发生故障时，虚拟路由器没有改变，主机仍然保 持连接，网络将不会受到单点故障的影响，这样就较好地解决了网络中路由器切换 的问题。 那么,对于一个虚拟路由器，我们还需要确定如何选举主虚拟路由器。 1根据路由器配置的优先级的大小，优先级最大的为主虚拟路由器，指定状态 为 master，若优先级相同，则比较路由器接口的 ip 地址，ip 地址大的就成 为主虚拟路由器，由主虚拟路由器为主机提供实际的路由转发服务。 2在一个虚拟路由器中的其它路由器（除主虚拟路由器之外）作为备份虚拟路 由器，随时监测主虚拟路由器的状态。当主路由器正常工作时，它会每隔一 段时间发送一个 vrrp 组播报文，以通知其它的备份路由器，主虚拟路由器 处于正常工作状态。如果备份虚拟路由器长时间没有接收到来自主虚拟路由 器的报文，则将自己状态转为 master。当在一个虚拟路由器中有多个备份虚 拟路由器时，将有可能产生多个主虚拟路由器。这时每一个主虚拟路由器就 会比较 vrrp 报文中的优先级和自己本地的优先级，如果本地的优先级小于 vrrp 报文中的优先级，则将自己的状态转为 backup，否则保持自己的状态 不变。通过这样一个过程,就会将优先级最大的路由器选成新的主虚拟路由 器。 虚拟路由器的状态虚拟路由器的状态 vrrp 协议定义了虚拟路由器可以处于三种状态的其中一种，这三种状态 initialize、 master 和 backup。 1. initialize 初始状态 : 系统启动后进入此状态，当收路由器到端口 startup 的消息，将转入 backup（优先级不为 255 时）或 master 状态（优先级为 255 时）。在此状 态时，路由器不会对 vrrp 报文做任何处理。 2master 主控状态: 当主虚拟路由器处于 master 状态时，它可以做以下工作： 1) 定期发送 vrrp 报文给其它备份虚拟路由器； 2) 发送免费（gratuitous）arp 报文，以使网络内各主机知道虚拟 ip 地址 所对应的虚拟 mac 地址； 3) 响应对虚拟 ip 地址的 arp 请求，并且响应的是虚拟 mac 地址，而不是路 由器端口的真实 mac 地址； 4) 转发目的 mac 地址为虚拟 mac 地址的 ip 报文；同样转发目的 ip 地址为 虚拟 ip 地址的 ip 报文。 5) 在 master 状态中只有接收到比自己的优先级大的 vrrp 报文时，才会转 为 backup，只有当接收到端口的 shutdown 事件时才会转为 initialize。 3backup 备份状态 备份虚拟路由器就是处于 backup 状态，它可以做以下工作： 1) 接受主虚拟路由器（在 master 状态下）的 vrrp 报文，从而了解主虚拟路 由器的状态； 2) 不会响应虚拟 ip 地址的 arp 请求； 3) 丢弃以虚拟 ip 地址和虚拟 mac 为目的地址的 ip 报文。 4) 只有当备份虚拟路由器接收到 master_down 这个定时器到时的事件时，才会转 为 master 状态，成为主虚拟路由器；而当接收到比自己的优先级小的 vrrp 报 文时，它只是做丢弃这个报文的处理，从而就不对定时器做重置处理。只有当 接收到接口的 shutdown 事件时才会转为 initialize。 另外,vrrp 协议比 cisco 的 hsrp 的一个优势就是支持对 vrrp 报文的认证方式。 在一个安全性要求不高的网络环境中，我们可以不考虑认证方式的配置，路由器不 会对发送的 vrrp 报文做认证处理，而接受 vrrp 报文的路由器也不会对 vrrp 做认 证比较，就认为是一个合法的 vrrp 报文。但是，在一个有安全性要求的网络环境 中，可以对 vrrp 报文增加认证方式，路由器对发送 vrrp 报文增加认证字，而接受 vrrp 报文的路由器会将收到的 vrrp 报文的认证字与本地配置的认证字进行比较， 若相同，就认为是一个合法的 vrrp 报文，进行处理；若不相同，则认为是一个不 合法 vrrp 报文，就会丢弃. .3 3 qosqos 策略和控制机制策略和控制机制 qosqos 服务质量服务质量队列技术队列技术 qos 技术是能为网络中不同类型业务的数据流提供服务的能力,主要目的是提供 资源带宽的控制,更有效的使用网络资源,控制抖动和传输延迟及丢包率(如实时多 媒体应用，ip 电话、vod 视频点播等),定制可控的服务和保证关键应用的传输. 如果仅是 ip 技术本身是只能提供“尽力(best-effort)”服务模式的，所以缺 乏完善的 qos 机制，就无法适应计算机及应用系统多样化的要求。如果仅靠增加网 络带宽不能彻底解决问题，因为一方面带宽是不可能无限制增加的，另一方面带宽 的增加是无法赶上应用系统的变化、用户的增加所给网络带来的巨大流量压力。解 决 ip 网络 qos 问题的关键在于网络如何通过各种智能手段参予对不同数据流、应 用系统乃至用户对网络使用的管理，充分发挥网络的利用率，使有限的带宽发挥最 大的作用。 服务质量(qos)基于端到端的服务级别可提供三个基本的级别:尽力的服务， 区 分服务和确保服务.qos 旨在针对各种应用的不同需求，为其提供不同的服务质量， 例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。为实现 上述目的，qos 提供了下述功能：报文分类; 网络拥塞管理 ; 网络拥塞避免; 流量 控制和流量整形; qos 信令协议等等. 服务质量可以通过采用多种队列的管理工具来解决不同数据流的问题,比如: 先进先出先进先出(fifo)(fifo)对列对列:网络拥塞是存储数据包,拥塞解除后,按数据包到达次序转发 数据包 优先级别队列优先级别队列(pq)(pq):确保重要数据流得到最快处理,优先级别越高的数据有限处理. 优先级队列可以根据网络协议,接口,数据包大小以及源/目的地 址来赋予数据包的级别高低. 一般的网络设备 pq 都可支持四个 优先级别，依次为：高优先级，中等优先级，一般优先级和低优 先级,而此方案中使用的交换机都是每端口都可支持 8 个优先队 列(0-7)的, ip 优先级值有 8 个(0-7)，0 优先级最低，7 优先级 最高。在默认情况下，ip 优先级 6 和 7 是用于网络控制通讯使 用，不推荐用户使用. 如果交换机使用 ipv6 增强版本软件的话,可支持 16 个优先级对 列. 16 种优先级别中的 9 种用于非实时传输业务，其余的 8 种 用于实时传输业务。但在 ipv6 协议中并没有严格规定 ipv6 路由 设备应如何使用这一优先级区域 定制队列定制队列(cq)(cq):用于确保一些重要应用的最小带宽或延迟需求.可对一些拥塞点 上提供一定固定比例的带宽,其他带宽给其他应用使用. 我们可 以设置各个轮选队列的发送的大小。例如：队列 1 发送 1500 字 节后由队列 2 发送；队列 2 发送 500 字节以后由队列 3 发送；队 列 3 发送 1000 字节后由队列 4 发送。cq 最大可以支持 16 个轮选队列。当线路带宽比较充裕的时候，通过 cq 可以实现动 态的带宽分配。 加权队列加权队列(wfq)(wfq):提供智能队列工具,可以确保队列得到带宽, 然后根据加权公平算 法对各种业务流量进行公平调度。防止出现某一突发性大数据流 将带宽全部占用的现象。这种队列机制配置方便。使数据流得到 指定的服务,特别是当在高优先级别的队列中没有数据传输时, wfq 可以将带宽分配给低优先级的数据流使用.wfq 算法使每个传 输中的数据流的吞吐量和响应时间变的可预知. qosqos 服务质量服务质量带宽控制带宽控制 基于端口的速率限制 基于 ip 的速率限制 基于数据流的速率限制 带宽控制技术提供了精确带宽使用策略，可向用户提供访问速度承诺 (committed access rate, car)。在输入端口，每个 ip 流都可以进行速度限制， 基于数据流进行带宽分配。如果某个流超过了带宽限制，到达的数据包将被丢弃或 赋予较低的优先级。流量控制可以基于第 2 层端口、数据流类以及单个第 4 层数据 流，可以应用于不同的环境，为接入提供不同级别的访问速度控制。保证实时多媒 体数据和关键任务数据的传输。 qosqos 服务质量服务质量-diffserv-diffserv 区分服务区分服务 diffserv 是 ietf 组织在 1998 年推出的基于 dscp 的 qos 解决方案，这是一 种基于类的 qos 技术，主要用于骨干网。使用 diffserv，在网络入口处根据服务 要求对业务进行分类、流量控制，同时设置报文的 dscp 域；在网络中根据实施好 的 qos 机制来区分每一类通信（依据分组的 dscp 值），并为之服务（包括资源分 配、队列调度、分组丢弃策略等，统称为 phb），diffserv 域中的所有节点都将 根据分组的 dscp 字段来遵守 phb。diffserv 通过将业务定义为有限的类，可以很 好地解决扩展性的问题，同时，由于 diffserv 很好地沿袭了 ip 本身的技术理念。 相对而言，很容易在现有的 ip 网络及产品中实现。因此，目前商用网络中的 qos 实现总体上基本都是基于 diffserv 模型的。 diffserv 是一个多服务模型，它可以满足不同的 qos 需求。与 intserv 不同， 它不需要使用 rsvp(带宽预留技术)，即应用程序在发出报文前，不需要通知路由 设备为其预留资源。对 diffserv 服务模型，网络不需要为每个流维护状态，它根 据每个报文指定的 qos，来提供特定的服务。可以用不同的方法来指定报文的 qos，如 ip 报文的优先级位（ip precedence)，报文的源地址和目的地址等。网 络通过这些信息来进行报文的分类、流量整形、流量监管和队列调度。 通常在配置 diffserv 时，在边界设备上通过报文的源地址和目的地址等对报 文进行分类，对不同的报文设置不同的 cos 值，而其他设备只需要用 cos 值来进 行报文的分类。 diffserv 一般用来为一些重要的应用提供端到端的 qos。它通过下列技术来现： car(car(允许的访问速率允许的访问速率) )：它根据报文的 tos 或 cos 值（对于 ip 报文是指 ip 优先级 或者 dscp，对于层 mpls 报文是指 exp 域等等）、ip 报文的五元组等信息进行报 文分类，完成报文的标记和流量监管。一般来讲,通过设置允许的访问速率(car) 可以用于扩展访问分类表的优先级,这样就可以给应用程序和用户或源/目的子网 赋予优先等级值,这一功能应尽可能的配置在网络的边缘接入交换机上,以便于后 续的网络设备按预定的策略提供服务. 队列技术队列技术：通过 wred、pq、cq、wfq、cbwfq 等队列技术对拥塞的报文进行缓存和 调度，实现拥塞管理; 在 diffserv 的服务中，有拥塞管理和拥塞避免两种策略。 拥塞管理策略一般应用于外出接口，根据需要将不同的业务流量按一定的顺序发 送出去，来保证某些业务的正常运行。典型的拥塞管理策略有：wfq（加权公平队 列）、pq（优先级队列）、cq（可定制队列）等等。 拥塞避免工具拥塞避免工具: : wred(wred(加权公平早期检测加权公平早期检测):):上谈到的几种队列调度机制都是对总数据队列中的数据 进行分类，然后再进行调度。但是，当出现网络拥塞的时候，入口带宽往往是高于 出口带宽的。在这样的情况下，总数据队列很快就会溢出。这个时候数据设备默认 会对进入的数据包实施尾部丢弃，丢弃所有入站数据包直至总数据队列不再溢出为 止。这样的尾部丢弃机制同样会对实时性业务产生影响。所以我们需要一种策略来 防止总数据队列的溢出，这就是拥塞避免策略拥塞避免策略。其中最常见的拥塞避免策略是 wredwred （加权公平早期检测）（加权公平早期检测）。wred 可以根据用户的需要，对不同的数据流设置不同的丢 弃阀值。例如：当总队列达到 50%时，开始丢弃级别最低的数据包；当总队列达到 70%时，开始丢弃第二级别的数据包；当总队列达到 90%时，开始丢弃第三级别的数 据包；以次类推。通过丢弃低级别的数据包来避免总数据队列的溢出，保证高优先 级的数据包始终能够进入数据总队列接受调度。从而保证高优先级业务的顺利展开 。拥塞避免策略一般用于入站接口，防止因为线路拥塞而使数据中继设备的队列溢 出。一般来说，根据实际情况，将拥塞避免策略和拥塞管理策略结合使用可以得到 比较好的效果。 .4 4 访问控制访问控制安全机制安全机制 netgear “下一代”安全系列交换机 gsm73xxs 和 fsm73xxs 提供了强劲的基于 硬件的 2/3/4 层的访问控制列表，其 acl 表项可自定义 100 条策略,每个策略可自 定义 22 条规则，完全满足整个应用网络的需求，全新设计的,基于硬件处理的 acl 功能启用后，不会对影响整个网络的交换的性能,保护路由处理。从已具有的 ip 包 过滤技术来看，完全可以作为局域网内部的防火墙的角色功能。另外,利用 acl 技 术和 qos 机制可有效控制和防止网络病毒的传播和非法的攻击. prosafe gsm73xxs 和 fsm73xxs 系列可以对用户进行基于用户的认证和授权， 可支持完整的 802.1x + radius network login 功能,配合 netgear 在中国的 802.1x 客户端软件及 radius server 软件,可实现用户名与 客户端 ip 地址,客户 端 mac 地址,所接交换机的管理 ip 地址(nas ip address),交换机端口及端口 vlan id 的灵活绑定.为接入端提供了安全,灵活的身份验证和控制手段.我们在中国的 802.1x 客户端软件及 radius server 软件是具有完全的计费功能的.另外, 下一代 全网管安全系列交换机还具备交换机端口/mac 地址绑定和多种层次(l2/3/4)的 acl 安全访问控制功能.。其安全访问策略可以有限地抵制多种网络工击，如 ddos、网 络扫描等。 用户端口隔离用户端口隔离 方法一：用 802.1q vlan 隔离。在边缘接入的以太网交换机上按端口划分 vlan，每个用户或用户组占用一个 vlan,802.1q 用于标记 vlan 公 共端口,公共端口上的二层 vlan 间相互不能直接通讯 o。 方法二：利用 port vlan 技术。在边缘接入的交换机上划分 port vlan，使 用户端口之间不能直接通信，用户端口只能和上连公共口通信.公 共端口可以直接连接 pc 或服务器,或连接其他交换机. macmac 地址与交换机端口绑定地址与交换机端口绑定 mac 地址与交换机端口绑定的功能大多数直接应用配置在网络边缘接入层交换机上. 此方案推荐的 netgear 的 prosafe 全网管交换机都支持此功能。mac 地址和端口绑 定的方式可分为静态绑定和动态绑定两种： 1）静态绑定可通过在交换机的端口上配置指定的 mac 地址列表来实现。交换机经 过这样的配置后，网络里面只有唯一合法主机可以使用网络，如果对该主机的 网卡进行了更换或者其他 pc 机想通过这个端口使用网络都是不可用的，除非删 除或修改该端口上绑定的 mac 地址，才能正常使用。该功能主要用户防止非法 用户使用网络，同时亦由于 mac 地址的唯一性，网络管理员可以通过查看数据 包的 mac 地址快速定位网络故障点。另外另外, ,在本方案中推荐的在本方案中推荐的 netgearnetgear 交换机均交换机均 可支持可支持 macmac 地址和端口的绑定地址和端口的绑定； 2）动态绑定通过交换机动态学习端口 mac，并可以配置端口的最大合法 mac 地址数 量，并以一定时间内所学习到的地址作为合法 mac 地址。一直到指定的 mac 地 址数量时，交换机端口关闭并清除 mac 地址，然后再重学习。通过这个功能可 安全有效的阻止mac 洪泛攻击。 aclacl 访问控制访问控制 acl 是应用到交换机接口的指令列表，这些指令列表用来告诉交换机哪些数据 包可以接收，哪些数据包要拒绝。接收或拒绝的条件可以是源地址、目的地址、端 口号、mac 地址和协议等等指示条件来决定。它常见的主要应用功能有： 限制网络流量、提高网络性能。例如：acl 可以根据数据包的协议，指定 这种类型的数据包的优先级，分配特定应用的流量带宽.同等情况下优先级高的先 被交换机处理。 提供网络访问的基本安全手段。例如，acl 允许某一主机访问您的资源，而禁止 另一主机访问同样的资源。 在交换机接口处，决定那种类型的通信流量被转发，那种通信类型的流量被阻塞。 例如，允许网络的 e-mail 被通过，而阻止 ftp 通信. 建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制 的手段，这也是对网络访问的基本安全手段。acl 的访问常见的规则主要有： . 标准访问控制列表，可限制某些 ip 的访问流量。 . 扩展访问控制列表，可控制某方面应用的访问。 . 基于端口和 mac 的访问控制列表,可对交换机具体对应端口进行访问控制。 802.1x802.1x 端口认证原理端口认证原理 ieee802.1x 协议具有完备的用户认证、管理功能，可以很好地支撑企业/校园/ 园区的网络的边缘用户接入安全接入和管理.更可为园区/企业网络的计费、安全、 运营和管理要求提供了极大的管理优势。ieee802.1x 协议对认证方式和认证体系结 构上进行了优化. ieee802.1x 是 ieee 在 2001 年 6 月通过的基于端口访问控制的接入管理协议。 ieee802 系列 lan 标准是目前居于主导地位的局域网络标准，传统的 ieee802 协议 定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如传统的局域网 交换机，用户就可以访问局域网中的设备或资源，这是一个安全隐患。对于移动办 公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还 存在支持计费的需求。 因此，802.1x 产生了。 ieee802.1x 是一种基于端口的网络接入控制技术，在 lan 设备的物理接入级 对接入设备进行认证和控制，此处的物理接入级指的是 局域网交换机设备的端口。 连接在该类端口上的用户设备如果能通过认证，就可以访问 lan 内的资源；如果 不能通过认证，则无法访问 lan 内的资源，相当于物理上断开连接。 下面首先让我们了解一下 ieee802.1x 端口访问控制协