什么是交换机的POE 功能.doc

NTWI7525-01 第 25 页交换机和路由器的几点区别：计算机网络往往由许多种不同类型的网络互连连接而成。如果几个计算机网络只是在物理上连接在一起，它们之间并不能进行通信，那么这种“互连”并没有什么实际意义。因此通常在谈到“互连”时，就已经暗示这些相互连接的计算机是可以进行通信的，也就是说，从功能上和逻辑上看，这些计算机网络已经组成了一个大型的计算机网络，或称为互联网络，也可简称为互联网、互连网。 将网络互相连接起来要使用一些中间设备（或中间系统），的术语称之为中继（relay）系统。根据中继系统所在的层次，可以有以下五种中继系统： 1.物理层（即常说的第一层、层1）中继系统，即转发器（repeater）。 2.数据链路层（即第二层，层2），即网桥或桥接器（bridge）。 3.网络层（第三层，层3）中继系统，即路由器（router）。 4.网桥和路由器的混合物桥路器（brouter）兼有网桥和路由器的功能。 5.在网络层以上的中继系统，即网关（gateway）. 当中继系统是转发器时，一般不称之为网络互联，因为这仅仅是把一个网络扩大了，而这仍然是一个网络。高层网关由于比较复杂，目前使用得较少。因此一般讨论网络互连时都是指用交换机和路由器进行互联的网络。本文主要阐述交换机和路由器及其区别。 交换机和路由器 “交换”是今天网络里出现频率最高的一个词，从桥接到路由到直至电话系统，无论何种场合都可将其套用，搞不清到底什么才是真正的交换。其实交换一词最早出现于电话系统，特指实现两个不同电话机之间话音信号的交换，完成该工作的设备就是电话交换机。所以从本意上来讲，交换只是一种技术概念，即完成信号由设备入口到出口的转发。因此，只要是和符合该定义的所有设备都可被称为交换设备。由此可见，“交换”是一个涵义广泛的词语，当它被用来描述数据网络第二层的设备时，实际指的是一个桥接设备；而当它被用来描述数据网络第三层的设备时，又指的是一个路由设备。 我们经常说到的以太网交换机实际是一个基于网桥技术的多端口第二层网络设备，它为数据帧从一个端口到另一个任意端口的转发提供了低时延、低开销的通路。 由此可见，交换机内部核心处应该有一个交换矩阵，为任意两端口间的通信提供通路，或是一个快速交换总线，以使由任意端口接收的数据帧从其他端口送出。在实际设备中，交换矩阵的功能往往由专门的芯片（）完成。另外，以太网交换机在设计思想上有一个重要的假设，即交换核心的速度非常之快，以致通常的大流量数据不会使其产生拥塞，换句话说，交换的能力相对于所传信息量而无穷大（与此相反，交换机在设计上的思路是，认为交换的能力相对所传信息量而言有限）。 虽然以太网第二层交换机是基于多端口网桥发展而来，但毕竟交换有其更丰富的特性，使之不但是获得更多带宽的最好途径，而且还使网络更易管理。 而路由器是协议模型的网络层中的分组交换设备（或网络层中继设备），路由器的基本功能是把数据（报文）传送到正确的网络，包括： 1.数据报的转发，包括数据报的寻径和传送； 2.子网隔离，抑制广播风暴； 3.维护路由表，并与其他路由器交换路由信息，这是报文转发的基础。 4.数据报的差错处理及简单的拥塞控制； 5.实现对数据报的过滤和记帐。 对于不同地规模的网络，路由器的作用的侧重点有所不同。 在主干网上，路由器的主要作用是路由选择。主干网上的路由器，必须知道到达所有下层网络的路径。这需要维护庞大的路由表，并对连接状态的变化作出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。 在地区网中，路由器的主要作用是网络连接和路由选择，即连接下层各个基层网络单位园区网，同时负责下层网络之间的数据转发。 在园区网内部，路由器的主要作用是分隔子网。早期的互连网基层单位是局域网（），其中所有主机处于同一逻辑网络中。随着网络规模的不断扩大，局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中，处个子网在逻辑上独立，而路由器就是唯一能够分隔它们的设备，它负责子网间的报文转发和广播隔离，在边界上的路由器则负责与上层网络的连接。 3第二层交换机和路由器的区别 传统交换机从网桥发展而来，属于第二层即数据链路层设备。它根据地址寻址，通过站表选择路由，站表的建立和维护由交换机自动进行。路由器属于第三层即网络层设备，它根据地址进行寻址，通过路由表路由协议产生。交换机最大的好处是快速，由于交换机只须识别帧中地址，直接根据地址产生选择转发端口算法简单，便于实现，因此转发速度极高。但交换机的工作机制也带来一些问题。 1.回路：根据交换机地址学习和站表建立算法，交换机之间不允许存在回路。一旦存在回路，必须启动生成树算法，阻塞掉产生回路的端口。而路由器的路由协议没有这个问题，路由器之间可以有多条通路来平衡负载，提高可靠性。 2.负载集中：交换机之间只能有一条通路，使得信息集中在一条通信链路上，不能进行动态分配，以平衡负载。而路由器的路由协议算法可以避免这一点，路由协议算法不但能产生多条路由，而且能为不同的网络应用选择各自不同的最佳路由。 3.广播控制：交换机只能缩小冲突域，而不能缩小广播域。整个交换式网络就是一个大的广播域，广播报文散到整个交换式网络。而路由器可以隔离广播域，广播报文不能通过路由器继续进行广播。 4.子网划分：交换机只能识别地址。地址是物理地址，而且采用平坦的地址结构，因此不能根据地址来划分子网。而路由器识别地址，地址由网络管理员分配，是逻辑地址且地址具有层次结构，被划分成网络号和主机号，可以非常方便地用于划分子网，路由器的主要功能就是用于连接不同的网络。 5.保密问题：虽说交换机也可以根据帧的源地址、目的地址和其他帧中内容对帧实施过滤，但路由器根据报文的源地址、目的地址、端口地址等内容对报文实施过滤，更加直观方便。 6.介质相关：交换机作为桥接设备也能完成不同链路层和物理层之间的转换，但这种转换过程比较复杂，不适合实现，势必降低交换机的转发速度。因此目前交换机主要完成相同或相似物理介质和链路协议的网络互连，而不会用来在物理介质和链路层协议相差甚元的网络之间进行互连。而路由器则不同，它主要用于不同网络之间互连，因此能连接不同物理介质、链路层协议和网络层协议的网络。路由器在功能上虽然占据了优势，但价格昂贵，报文转发速度低。 近几年，交换机为提高性能做了许多改进，其中最突出的改进是虚拟网络和三层交换。 划分子网可以缩小广播域，减少广播风暴对网络的影响。路由器每一接口连接一个子网，广播报文不能经过路由器广播出去，连接在路由器不同接口的子网属于不同子网，子网范围由路由器物理划分。对交换机而言，每一个端口对应一个网段，由于子网由若干网段构成，通过对交换机端口的组合，可以逻辑划分子网。广播报文只能在子网内广播，不能扩散到别的子网内，通过合理划分逻辑子网，达到控制广播的目的。由于逻辑子网由交换机端口任意组合，没有物理上的相关性，因此称为虚拟子网，或叫虚拟网。虚拟网技术不用路由器就解决了广播报文的隔离问题，且虚拟网内网段与其物理位置无关，即相邻网段可以属于不同虚拟网，而相隔甚远的两个网段可能属于不同虚拟网，而相隔甚远的两个网段可能属于同一个虚拟网。不同虚拟网内的终端之间不能相互通信，增强了对网络内数据的访问控制。 交换机和路由器是性能和功能的矛盾体，交换机交换速度快，但控制功能弱，路由器控制性能强，但报文转发速度慢。解决这个矛盾的最新技术是三层交换，既有交换机线速转发报文能力，又有路由器良好的控制功能。 4第三层交换机和路由器的区别 在第三层交换技术出现之前，几乎没有必要将路由功能器件和路由器区别开来，他们完全是相同的：提供路由功能正在路由器的工作，然而，现在第三层交换机完全能够执行传统路由器的大多数功能。作为网络互连的设备，第三层交换机具有以下特征： 1.转发基于第三层地址的业务流； 2.完全交换功能； 3.可以完成特殊服务，如报文过滤或认证； 4.执行或不执行路由处理。 第三层交换机与传统路由器相比有如下优点： 1.子网间传输带宽可任意分配：传统路由器每个接口连接一个子网，子网通过路由器进行传输的速率被接口的带宽所限制。而三层交换机则不同，它可以把多个端口定义成一个虚拟网，把多个端口组成的虚拟网作为虚拟网接口，该虚拟网内信息可通过组成虚拟网的端口送给三层交换机，由于端口数可任意指定，子网间传输带宽没有限制。 2.合理配置信息资源：由于访问子网内资源速率和访问全局网中资源速率没有区别，子网设置单独服务器的意义不大，通过在全局网中设置服务器群不仅节省费用，更可以合理配置信息资源。 3.降低成本：通常的网络设计用交换机构成子网，用路由器进行子网间互连。目前采用三层交换机进行网络设计，既可以进行任意虚拟子网划分，又可以通过交换机三层路由功能完成子网间通信，为此节省了价格昂贵的路由器。 4.交换机之间连接灵活：作为交换机，它们之间不允许存在回路，作为路由器，又可有多条通路来提高可靠性、平衡负载。三层交换机用生成树算法阻塞造成回路的端口，但进行路由选择时，依然把阻塞掉的通路作为可选路径参与路由选择。 5结论 综上所述，交换机一般用于的连接，交换机归于网桥，是数据链路层的设备，有些交换机也可实现第三层的交换。路由器用于之间的连接，可以解决异性网络之间转发分组，作用于网络层。他们只是从一条线路上接受输入分组，然后向另一条线路转发。这两条线路可能分属于不同的网络，并采用不同协议。相比较而言，路由器的功能较交换机要强大，但速度相对也慢，价格昂贵，第三层交换机既有交换机线速转发报文能力，又有路由器良好的控制功能，因此得以广播应用。WAN： 广域网（Wide Area Network），简称WAN，是一种跨越大的、地域性的计算机网络的集合。通常跨越省、市，甚至一个国家。广域网包括大大小小不同的子网，子网可以是局域网，也可以是小型的广域网。 作用：WAN 接口为宽带广域网接口。用来连接宽带或者广域网的网线。 LAN，ADSL：LAN = Local Area Network ,中文翻译是“局域网” ADSL = Asymmetric Digital Subscriber Line 非对称数字用户线路，简单的说，2M的ADSL，你下载的速度可达到2048k/s的理论最大值，但是上传速度一般只有512k/s，再高的下行其上行也只有512k！这是很多人不清楚的地方！ LAN是一种网络名字，而ADSL是一种接入方式，严格字面意义上去讲两者没有比较的意义！ 而电信营业厅所指的“LAN”应该是Ethernet（以太网）接入方式，就是常说的小区宽带。 而他说的LAN的淘汰产品我可以负责任的说，那是骗人鬼扯的！ ADSL才是要淘汰的产品！ADSL技术是很老的技术了，上行只有0.5M-1M，下行0.5M-8M，而且上下不对称，ADSL最大的好处就是可以用调制解调器直接走电话座机线路，就目前中国民用来说，还有很多小区是没有LAN线路的，如果要架设LAN线路需要很大的资金和投入，但是现在中国居民家家都有电话座机，所以ADSL才有现在的市场！ 而就形式而言，ADSL迟早是要被LAN取代的！ 现在的新楼盘都事先接入了LAN，很多电梯公寓甚至光纤到户，而Ethernet技术课题提供100M-1000M的带宽，而且上下线对称，以后的写字间，都是网络+数字电视+可视电话三合一的，只有LAN才能打到这样的数据量，而ADSL只是过渡而已！ 现在社区宽带的介入所谓端口就是多加一台交换机，仅此而已，只不过光纤带宽是否足够那就不是端口的问题，那是数据流量的问题了。 就目前而言，LAN接入的Ethernet技术还未普及，但是在未来，ADSL肯定是要被淘汰的！取而代之的就是LAN接入的Ethernet技术。 那个工作人员说的LAN是淘汰的我只能表示鄙视！DHCP： DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写，它的前身是 BOOTP。 作用：所谓DHCP就有做个DHCP服务器，给其它的机子自动分配IP的方法。不用人工手动配置的。POE POE (Power Over Ethernet)指的是在现有的以太网Cat.5布线基础架构不作做何改动的情况下，在为一些基于IP的终端（如IP电话机、无线局域网接入点AP、网络摄像机等）传输数据信号的同时，还能为此类设备提供直流供电的技术。POE技术能在确保现有结构化布线安全的同时保证现有网络的正常运作，最大限度地降低成本。 POE也被称为基于局域网的供电系统(POL, Power over LAN )或有源以太网( Active Ethernet)，有时也被简称为以太网供电，这是利用现存标准以太网传输电缆的同时传送数据和电功率的最新标准规范，并保持了与现存以太网系统和用户的兼容性。IEEE 802.3af标准是基于以太网供电系统POE的新标准，它在IEEE 802.3的基础上增加了通过网线直接供电的相关标准，是现有以太网标准的扩展，也是第一个关于电源分配的国际标准。 IEEE在1999年开始制定该标准，最早参与的厂商有3Com, Intel, PowerDsine, Nortel, Mitel和National Semiconductor。但是，该标准的缺点一直制约着市场的扩大。直到2003年6月，IEEE批准了802. 3af标准，它明确规定了远程系统中的电力检测和控制事项，并对路由器、交换机和集线器通过以太网电缆向IP电话、安全系统以及无线LAN接入点等设备供电的方式进行了规定。IEEE 802.3af的发展包含了许多公司专家的努力，这也使得该标准可以在各方面得到检验。 一个典型的以太网供电系统。在配线柜里保留以太网交换机设备，用一个带电源供电集线器(Midspan HUB)给局域网的双绞线提供电源。在双绞线的末端，该电源用来驱动电话、无线接入点、相机和其他设备。为避免断电，可以选用一个UPS。QoSQoS的英文全称为Quality of Service，中文名为服务质量。QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。 一些QoS还支持业务控制、流量限速等等IP网络正在逐渐成为基础的通讯平台，越来越多的增值业务，特别是多媒体业务将运行在IP网络上，因此如何在IP网络上保证业务的QoS正在成为新业务开展的关键问题。本文介绍了目前在IP网络上实现QoS的主要架构，并着重阐述了DiffServ这种主流架构的原理以及以Alcatel 7750 SR业务路由器为代表的新一代面向业务设计的网络设备对于QoS的支持能力。 关键词：IP；QoS；DiffServ；7750 SR 随着Internet的在全球的高速增长，IP技术渐渐地已成为一种广泛、通用的网络平台。它的经济性、灵活性和支持多业务的能力是原来的电路交换网络所无法比拟的。但是传统的IP技术只能采用尽力而为的(Best Effort)的方式进行包的转发，它只在能力范围内尽可能快地传送，但对吞吐量、延迟、延迟抖动和丢包率没有任何保障，而把传输损失都留给终端系统来处理。 这种采用尽力而为的发送模式曾经是合适的，因为大多数基于IP的传统应用(如Telnet, FTP等)可忍受较大的延迟和延迟抖动。但是，情况正在迅速改变。电话、视频、WEB等新型业务正在大量普及；新型多媒体业务需要大量的带宽和严格的时限；而且，因特网用户呈指数级的增加，也会导致更加严重地网络延迟和阻塞。 虽然扩大网络节点和链路的容量确实是解决方案的一部分，然而，简单地在发生问题的地方投入带宽是远远不够的，因为因特网上暂时性和突发性的网络阻塞并不能被消除。新一代因特网必须能够向某些应用和用户提供不同级别的保障，实现IP网络的服务质量（QoS）；同时结合SLA（服务等级协议）的执行，向他们提供差分化的服务，IP服务提供商才能真正盈利。 IP QoS 模型 目前，IETF为了实现IP上的QoS而定义了许多模型和机制，主要的模型如下： 一 相对优先级标记模型（Relative Priority Marking）1 相对标记模型是最早的QoS模型，它的机制是通过终端应用或代理对其数据流设置一个相对的优先级，并对相应的包头进行标记，然后网络节点就会根据包头的标记进行相应的转发处理。这种模型实现起来非常简单，但是颗粒度较粗并且缺少高级QoS处理流程（如Remarking，Policy和Shaping等），无法实现细致多样的QoS保证。目前采用这种模型的技术有IPv4 Precedence（RFC791）。另外还有令牌环优先级（IEEE 802.5）和以太网流量等级（802.1p）也是采用这种架构。 二 集成业务模型（Inter-Serv）2 其设计思想是在Best Effort服务模式的基础上定义了一系列的扩展特性，可以为每一个的网络连接提供基于应用的QoS，并且使用信令协议在网络中的每个路由器中创建和维护特定流的状态，以满足相应网络服务的需求。 这种体系能够明确区分并保证每一个业务流的服务质量，为网络提供最细粒度化的服务质量区分。但是在IP核心网络中的实施存在问题，因为Inter-Serv的实施要求在每个网络节点为每个流提供相当的计算处理量。这包括端到端的信令和相关信息来区分每个流，跟踪、统计资源占用，策略控制，调度业务流量。随着Inter-Serv流数量的增加，Inter-Serv信令的处理和存储对路由器的资源消耗也在飞速地增加，而且也极大地增加网络管理地复杂性，所以这种模型的可扩展性较差。目前采用这种模型的技术有：MPLS-TE（RSVP），另外较为典型的还有ATM和帧中继。 三 差分业务模型（Diff-Serv）3 与作用于每个流的IntServ相比，在DiffServ体系结构中，业务流被划分成不同的差分服务类（最多64种）。一个业务流的差分服务类由其IP包头中的差分服务标记字段（DiffServ CodePoint，DSCP）来标示。在实施DiffServ的网络中，每一个路由器都会根据数据包的DSCP字段进行相应的转发处理，也就是PHB(Per Hop Behavior)。 虽然DiffServ不能对每一个业务流都进行不同服务质量保证。但由于采用了业务流分类技术，也就不需要采用信令协议来在每个路由器上建立和维护流的状态，节省了路由器的资源，因此网络的可扩展性要高的多。另外DiffServ技术不仅能够在纯IP的网络中使用，也能通过DSCP和MPLS标签以及标签头部的EXP字段的映射应用在多协议标签交换技术MPLS的网络中。 DiffServ的主要架构分为两层：边缘层与核心层。 边缘层完成如下工作： - 流量识别和过滤：当用户流量进入网络的时候，边缘层设备会先对流量进行识别，根据预先定义的规则过滤掉非法的流量，然后再根据数据包中所包含的信息，如源/目的地址、端口号、DSCP等，将流量映射到不同的服务等级。 - 流量策略和整形：当用户的业务流量被映射到不同的服务等级之后，边缘层设备会根据和用户所签订的SLA中的QoS参数，如CIR(Commit Information Rate)、PIR（Peak Information Rate），来对流量进行整形，以确保进入网络的流量不会超过SLA中所设定的范围。 - 流量的重新标记：经过整形后的流量会由边缘层设备根据其服务等级来设定其数据包中服务等级标记，如IP包头中的DSCP字段或是MPLS包头中的EXP字段等，以便核心层设备进行识别和处理。 相对于边缘层，核心层所要完成的工作就简单地多，核心层设备主要是根据预先设定的QoS策略对数据包中的相关的QoS字段进行识别并进行相应的QoS处理。通过这种分层次的结构形成了“智能化边缘简单核心”的QoS网络架构，这种架构不但提高了网络的可扩展性，而且大大提高了QoS处理的灵活性。 IP网络设备对DiffServ的实现 由于DiffServ的灵活性和可扩展性，目前几乎所有的IP网络设备都支持DiffServ架构。 而在网络设备上支持DiffServ架构一般需要实现如下功能： - 多条件流量区分 多条件流量区分是指根据所接受到的客户流量中包含的不同条件信息和预先定义的区分规则来划分流量的转发等级。区分规则的格式类似于访问控制列表（ACL），每条规则包含不同的匹配条件和相应的转发等级，当客户流量符合某条区分规则的匹配条件时，此流量就被划分为相应的转发等级。这里所指匹配条件可以是物理端口、VLAN、各种IP字段或是各种MAC字段等。 - 流量标记和转发等级映射（Forwarding Class） 经过区分规则区分后的流量会被映射到不同的转发等级，DiffServ定义了几种标准的转发等级： - 加速转发等级（Expedited Forwarding Class） 加速转发等级拥有最高的转发优先级，设备必须保证其他转发等级的流量无法影响加速转发等级流量的延时和抖动，因此加速转发等级往往用于网络控制流量和对于抖动敏感的流量如VOIP。 - 保证转发等级（Assured Forwarding Class） 保证转发等级非常类似于帧中继的QoS，为业务流量提供了PIR（Peak Information Rate）和CIR（Commit Information Rate）的参数设置。当客户流量小于CIR时，被标示为“in-profile”，而当客户流量超过了CIR，则被标示为“out-profile”。通过这样的区分当网络中发生拥塞的时候，“out-profile”的流量会比“in-profile”的流量先丢弃。 - 尽力而为转发等级（Best-Effort Forwarding Class） 尽力而为是最低优先级的转发等级，只有当加速转发等级和保证转发等级的流量转发完之后，才处理尽力而为转发等级流量。 当流量的转发等级确定之后，设备会对流量进行相应的标记，以便下游网络设备进行同样的识别和处理，实现统一的QoS策略。DiffServ标准中定义的标记字段分别为IP包头中的DSCP字段和MPLS包头中的EXP字段。 - 队列和调度 各个DiffServ等级的转发处理都是通过队列和调度实现的。队列是一个逻辑概念，它实际上是设备高速内存中的一段缓存，遵循“先进先出”的规则。系统中往往有多个队列，以对于多个转发等级，当数据包被确定为某个转发等级之后，就会存储在相应的队列中，然后系统根据不同转发等级和不同的参数设置（PIR、CIR）进行调度。不同的转发等级往往采用不同的调度算法，比如对于加速转发等级采用的是“严格优先级”调度，也就是说加速转发等级队列中的数据包永远都是获得最先调度以保证其最高优先级。而对于保证转发等级则采用权重轮回调度算法，先轮回调度所有“in-profile”的流量，再调度所有“out-profile”的流量，以保证每个保证转发等级队列都能够根据其CIR、PIR来进行调度。 - 拥塞控制 当某个队列缓存被占满之后，系统会发生拥塞，这时开始大量丢弃新收到的数据包，直到数据源通过TCP的流量控制机制（滑动窗口协议），监测到丢包，降低发送速率，才能消除拥塞，重新开始转发。但是随着数据源的速率不断增加，系统又会发生拥塞和丢弃，这样周而复始，对于整体网络性能影响很大。因此DiffServ架构中往往会引入拥塞控制机制，常用的算法有RED和WRED，所谓RED是指随机早期检测算法（Random Early Detection），它通过在拥塞发生之前随机丢弃一些数据包使得TCP发送源来降低其发送速率，数据包的丢弃可能性随着队列缓存的占有率而不断增加，这样就可以避免大量丢弃数据包现象的发生。 - MPLS DiffServ 随着MPLS技术的广泛应用，IETF的MPLS工作组定义了两种将IP的DiffServ等级映射到MPLS LSP上的方法： - E-LSP 使用MPLS包头中的EXP字段来映射IP的DiffServ等级，这种方式较为简单，但是由于EXP字段只有3比特长，因此能够表达的等级只有8种。 - L-LSP 这种方法不但使用EXP字段，还使用MPLS标签来映射，这样就大大扩展了能够表达的等级数量，但缺点是要消耗大量有限的MPLS标签资源。 值得一提的是在MPLS技术中还有一种支持QoS方式就是采用流量工程技术，也就是RSVP-TE。RSVP-TE可以在建立LSP的过程中在沿途的节点上预留带宽，这种技术是作为InterServ架构的一种，通常会和DiffServ架构结合使用，提供业务的中继链路带宽。 随着越来越多的多媒体业务运行在IP网络上，对IP网络提出了更高的QoS要求，而传统的IP路由器或交换机只能提供简单的连通性服务，虽然大部分也支持DiffServ架构，但是受到传统的硬件架构和技术所限，无法提供完善的区分化业务等级的支持。比如许多传统设备每个物理端口上只支持几个队列，无法满足大规模业务开展的需求；有些设备在开启DiffServ功能之后会极大地影响系统的转发性能；还有一些设备只支持简单的流量限制，不支持转发等级或是即使支持转发等级，也无法灵活地将可用带宽在不同的转发等级之间进行分配等等。这些设备上的局限性大大限制了各种IP新业务的开展。 因此上海贝尔阿尔卡特公司推出了新一代IP产品系列，包括IP业务路由器7750 SR和以太网业务交换机7450 ESS。和传统设备有着根本区别的是，Alcatel 7750 SR和7450 ESS是完全面向新型IP/MPLS业务而设计的，这两个产品线都具备强大且完善的基于业务的Qos体系。以7750 SR为例： 7750 SR支持基于业务的QoS策略，对于7750 SR上每一个业务实例（如每一个VPN业务），都可以定义专门的Qos策略。在业务接入端口上(多个用户/业务接入到同一个物理端口)能够针对每个用户的每一种应用流量进行独立的输入和输出整形，每个应用流量都可获得属于自己的独立的Buffer队列空间，每一个独立的队列都可以设置独立的CIR,PIR,MBS,CBS等流量整形参数，并且支持业界领先的层次化Qos调度技术。7750 SR上的每块线卡可以支持32000个队列， 这个数量远远大于传统设备，Unicast数据包和Multicast/Broadcast数据包都可使用不同的队列进行处理，这样可以防止广播或组播数据挤占单播数据的资源。而且对于客户数据流不仅可以在入口处进行Qos处理，还可以在出口处进行Qos处理，从而极大提高了Qos策略的灵活性。 7750 SR的Qos体系主要由三个部份组成：流量分类、缓存管理和流量调度。 1. 用户流量根据预先定义的分类策略分成不同的服务等级，7750 SR支持强大且灵活的分类策略，可以根据下列信息对用户流量进行分类： IP ACL：Src/Dest IP Address/range，Src/Dest Port/range，IP Fragment，Protocol type，IP Precedence，DSCP MAC ACL：802.1p，Src/Dest MAC address/mask，EtherType value，802.2 LLC SSAP/DSAP/SNAP value/mask MPLS：E-LSP(EXP) 2. 每个服务等级分配有专门的队列，每个队列都有相应可配置的Qos参数。 CIR（Commit Information Rate）：当某个队列的出队速率小于CIR的时候，此队列的流量被标示为“in-profile”，如果出队的速率超过CIR的时候将被标示为“out-of-profile”。in-profile的流量会比同等级out-of-profile的流量先得到调度。 PIR（Peak Information Rate）：当某个队列的出队速度超过PIR的时候，系统将停止调度这个队列的包。 3. 队列都是由每块线卡上的缓存池中分配，每一个队列都有两个关于缓存分配的可配置参数。 CBS：能够保证的队列长度，队列的长度一旦超出了CBS，系统就不能保证再进队的数据报能够分到缓存。 MBS： MBS的值是队列最大能达到的长度，当队列的长度超过MBS后，新进队列的数据包将会被丢弃。这个值是为了防止某个队列的出队速度长期超过PIR，无法得到调度，从而队列长度不断增长，最终消耗光其他数据包的缓存资源。 4. 调度器控制着队列之间的出队调度。 7750 SR支持目前业界最先进的层次化队列调度技术，不但能够控制单个业务或多个业务的总带宽，而且可以在控制总带宽的基础上进一步细分化地保证每一个业务的Qos，真正实现强大而灵活的SLA保证。层次化调度通过设置多级逻辑调度器，由上级调度器控制一组下级调度器的总带宽，并且上级调度器能够根据下级调度器的级别和权重合理分配下级调度器的CIR和PIR，实际应用如下图： 用户和运营商签订了一份总带宽为10M的SLA，其中包括三种业务流量，分别是语音Voice：CIR=PIR=2M，视频Video PIR=CIR=2M，Internet访问 CIR=0，PIR=10M。如果不采用层次化调度的话，这样的话，当三种流量都突发到最大的时候，实际消耗的带宽为2+2+10=14M，这样就过度消耗了运营商的网络资源。而如果采用了层次化调度的话，我们可以在路由器上设置2层调度器，第一层负责各个业务流量单独的QoS保证，第二层调度器控制三种业务流量在任意时刻都不超过10M，而且当没有语音流量的时候和只有2M video流量的时候，Internet访问流量可以突发到8M。这样既单独保证了每种业务的服务质量，又保证了总带宽为10M。 结束语 在因特网网络规模不断扩大，增值业务种类不断丰富的发展趋势下，新型IP互联网对QoS的保证会越来越多地显示其重要的战略和经济意义；我们相信，上海贝尔阿尔卡特公司面向业务设计的7750 SR和7450 ESS能够帮助运营商构建新一代可盈利IP网络。 参考文献 1 Almquist, P., Type of Service in the Internet Protocol Suite, RFC 1349, July 1992. 2 Braden, R., Clark, D. and S. Shenker, Integrated Services in the Internet Architecture: An Overview, RFC 1633, July 1994. 3 S. Blake, D. Black, M. Carlson, E. Davies, Z. Wang,An Architecture for Differentiated Services, RFC2475, December 1998VLAN VLAN，是英文Virtual Local Area Network的缩写，中文名为虚拟局域网， VLAN是 一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者 说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。 VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在交换机之中 。不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能，这一点可以查 看相应交换机的说明书即可得知。VLAN的好处主要有三个： (1)端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这 样一个物理的交换机可以当作多个逻辑的交换机使用。 (2)网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。 (3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。 VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻 辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理 上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段 。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有 助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划 分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活 的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN在交换机上的实现方法，可以大致划分为六类: 1. 基于端口的VLAN 这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协 议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端 口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口 分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。 对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某 站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通 过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能 。 从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简 单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是 如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。 2. 基于MAC地址的VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配 置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属 于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置 时，自动保留其所属VLAN的成员身份。 由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移 动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而 不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果 有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域 网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都 可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外， 对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。 3. 基于网络层协议的VLAN VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络 。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具 体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络 内部自由移动，但其VLAN成员身份仍然保留不变。 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根 据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标 签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个 数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都 可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术， 同时也更费时。当然，这与各个厂商的实现方法有关。 4. 根据IP组播的VLAN IP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的 方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器 进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主 要是效率不高。 5. 按策略划分的VLAN 基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、 网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型 的VLAN 。 6. 按用户定义、非用户授权划分的VLAN 基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的 网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要 提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。SNMP简介 SNMP(Simple Network Management Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP)，用来对通信线路进行管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI和MIB：体系结构，改进后的协议就是著名的SNMP。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台，因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP已经出到第三个版本的协议，其功能较以前已经大大地加强和改进了。 SNMP的体系结构是围绕着以下四个概念和目标进行设计的：保持管理代理(agent)的软件成本尽可能低；最大限度地保持远程管理的功能，以便充分利用Internet的网络资源；体系结构必须有扩充的余地；保持SNMP的独立性，不依赖于具体的计算机、网关和网络传输协议。在最近的改进中，又加入了保证SNMP体系本身安全性的目标。 编辑本段【SNMP风险】接入Internet的网络面临许多风险，Web服务器可能面临攻击，邮件服务器的安全也令人担忧。但除 此之外，网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务，许多时候这些SNMP服务是不必要的，但却没有引起网络管理员的重视。 根据SANS协会的报告，对于接入Internet的主机，SNMP是威胁安全的十大首要因素之一；同时，SNMP还是Internet主机上最常见的服务之一。特别地，SNMP服务通常在位于网络边缘的设备（防火墙保护圈之外的设备）上运行，进一步加剧了SNMP带来的风险。这一切听起来出人意料，但其实事情不应该是这样的。一、背景知识SNMP开发于九十年代早期，其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包，如HP的OpenView和Nortel Networks的Optivity Network Management System，还有Multi Router Traffic Grapher（MRTG）之类的免费软件，都用SNMP服务来简化网络的管理和维护。 由于SNMP的效果实在太好了，所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天，各种网络设备上都可以看到默认启用的SNMP服务，从交换机到路由器，从防火墙到网络打印机，无一例外。 仅仅是分布广泛还不足以造成威胁，问题是许多厂商安装的SNMP都采用了默认的通信字符串（例如密码），这些通信字符串是程序获取设备信息和修改配置必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备，无需经过复杂的配置。 通信字符串主要包含两类命令：GET命令，SET命令。GET命令从设备读取数据，这些数据通常是操作参数，例如连接状态、接口名称等。SET命令允许设置设备的某些参数，这类功能一般有限制，例如关闭某个网络接口、修改路由器参数等功能。但很显然，GET、SET命令都可能被用于拒绝服务攻击（DoS）和恶意修改网络参数。 最常见的默认通信字符串是public（只读）和private（读/写），除此之外还有许多厂商私有的默认通信字符串。几乎所有运行SNMP的网络设备上，都可以找到某种形式的默认通信字符串。 SNMP 2.0和SNMP 1.0的安全机制比较脆弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信，就可以利用各种嗅探工具直接获取通信字符串，即使用户改变了通信字符串的默认值也无济于事。 近几年才出现的SNMP 3.0解决了一部分问题。为保护通信字符串，SNMP 3.0使用DES（Data Encryption Standard）算法加密数据通信；另外，SNMP 3.0还能够用MD5和SHA（Secure Hash Algorithm）技术验证节点的标识符，从而防止攻击者冒充管理节点的身份操作网络。虽然SNMP 3.0出现已经有一段时间了，但目前还没有广泛应用。如果设备是2、3年前的产品，很可能根本不支持SNMP 3.0；甚至有些较新的设备也只有SNMP 2.0或