什么是交换机的POE 功能

什么是交换机的POE 功能 NTWI7525-01 第 1 页 交换机和路由器的几点区别: 计算机网络往往由许多种不同类型的网络互连连接而成。如果几个计算机网络只是在物理上连接在一起，它们之间并不能进行通信，那么这种“互连”并没有什么实际意义。因此通常在谈到“互连”时，就已经暗示这些相互连接的计算机是可以进行通信的，也就是说，从功能上和逻辑上看，这些计算机网络已经组成了一个大型的计算机网络，或称为互联网络，也可简称为互联网、互连网。 将网络互相连接起来要使用一些中间设备(或中间系统)，，,,的术语称之为中继(relay)系统。根据中继系统所在的层次，可以有以下五种中继系统: 1.物理层(即常说的第一层、层,1)中继系统，即转发器(repeater)。 2.数据链路层(即第二层，层,2)，即网桥或桥接器(bridge)。 3.网络层(第三层，层,3)中继系统，即路由器(router)。 4.网桥和路由器的混合物桥路器(brouter)兼有网桥和路由器的功能。 5.在网络层以上的中继系统，即网关(gateway). 当中继系统是转发器时，一般不称之为网络互联，因为这仅仅是把一个网络扩大了，而这仍然是一个网络。高层网关由于比较复杂，目前使用得较少。因此一般讨论网络互连时都是指用交换机和路由器进行互联的网络。本文主要阐述交换机和路由器及其区别。 交换机和路由器 “交换”是今天网络里出现频率最高的一个词，从桥接到路由到,,,直至电话系统，无论何种场合都可将其套用，搞不清到底什么才是真正的交换。其实交换一词最早出现于电话系统，特指实现两个不同电话机之间话音信号的交换，完成该工作的设备就是电话交换机。所以从本意上来讲，交换只是一种技术概念，即完成信号由设备入口到出口的转发。因此，只要是和符合该定义的所有设备都可被称为交换设备。由此可见，“交换”是一个涵义广泛的词语，当它被用来描述数据网络第二层的设备时，实际指的是一个桥接设备;而当它被用来描述数据网络第三层的设备时，又指的是一个路由设备。 我们经常说到的以太网交换机实际是一个基于网桥技术的多端口第二层网络设备，它为数据帧从一个端口到另一个任意端口的转发提供了低时延、低开销的通路。 由此可见，交换机内部核心处应该有一个交换矩阵，为任意两端口间的通信提供通路，或是一个快速交换总线，以使由任意端口接收的数据帧从其他端口送出。在实际设备中，交换矩阵的功能往往由专门的芯片(,,，,)完成。另外，以太网交换机在设计思想上有一个重要的假设，即交换核心的速度非常之快，以致通常的大流量数据不会使其产生拥塞，换句话说，交换的能力相对于所传信息量而无穷大(与此相反，,,,交换机在设计上的思路是，认为交换的能力相对所传信息量而言有限)。 虽然以太网第二层交换机是基于多端口网桥发展而来，但毕竟交换有其更丰富的特性，使之不但是获得更多带宽的最好途径，而且还使网络更易管理。 而路由器是,,，协议模型的网络层中的分组交换设备(或网络层中继设备)，路由器的基本功能是把数据(，,报文)传送到正确的网络，包括: 1.，,数据报的转发，包括数据报的寻径和传送; 2.子网隔离，抑制广播风暴; 3.维护路由表，并与其他路由器交换路由信息，这是，,报文转发的基础。 4.，,数据报的差错处理及简单的拥塞控制; 5.实现对，,数据报的过滤和记帐。 对于不同地规模的网络，路由器的作用的侧重点有所不同。 在主干网上，路由器的主要作用是路由选择。主干网上的路由器，必须知道到达所有下层网络的路径。这需要维护庞大的路由表，并对连接状态的变化作出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。 在地区网中，路由器的主要作用是网络连接和路由选择，即连接下层各个基层网络单位,,园区网， NTWI7525-01 第 2 页 同时负责下层网络之间的数据转发。 在园区网内部，路由器的主要作用是分隔子网。早期的互连网基层单位是局域网(,,,)，其中所有主机处于同一逻辑网络中。随着网络规模的不断扩大，局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中，处个子网在逻辑上独立，而路由器就是唯一能够分隔它们的设备，它负责子网间的报文转发和广播隔离，在边界上的路由器则负责与上层网络的连接。 3 第二层交换机和路由器的区别 传统交换机从网桥发展而来，属于,,，第二层即数据链路层设备。它根据,,,地址寻址，通过站表选择路由，站表的建立和维护由交换机自动进行。路由器属于,,，第三层即网络层设备，它根据，,地址进行寻址，通过路由表路由协议产生。交换机最大的好处是快速，由于交换机只须识别帧中,,,地址，直接根据,,,地址产生选择转发端口算法简单，便于,,，,实现，因此转发速度极高。但交换机的工作机制也带来一些问题。 1.回路:根据交换机地址学习和站表建立算法，交换机之间不允许存在回路。一旦存在回路，必须启动生成树算法，阻塞掉产生回路的端口。而路由器的路由协议没有这个问题，路由器之间可以有多条通路来平衡负载，提高可靠性。 2.负载集中:交换机之间只能有一条通路，使得信息集中在一条通信链路上，不能进行动态分配，以平衡负载。而路由器的路由协议算法可以避免这一点，,,,,路由协议算法不但能产生多条路由，而且能为不同的网络应用选择各自不同的最佳路由。 3.广播控制:交换机只能缩小冲突域，而不能缩小广播域。整个交换式网络就是一个大的广播域，广播报文散到整个交换式网络。而路由器可以隔离广播域，广播报文不能通过路由器继续进行广播。 4.子网划分:交换机只能识别,,,地址。,,,地址是物理地址，而且采用平坦的地址结构，因此不能根据,,,地址来划分子网。而路由器识别，,地址，，,地址由网络管理员分配，是逻辑地址且，,地址具有层次结构，被划分成网络号和主机号，可以非常方便地用于划分子网，路由器的主要功能就是用于连接不同的网络。 5.保密问题:虽说交换机也可以根据帧的源,,,地址、目的,,,地址和其他帧中内容对帧实施过滤，但路由器根据报文的源，,地址、目的，,地址、,,,端口地址等内容对报文实施过滤，更加直观方便。 6.介质相关:交换机作为桥接设备也能完成不同链路层和物理层之间的转换，但这种转换过程比较复杂，不适合,,，,实现，势必降低交换机的转发速度。因此目前交换机主要完成相同或相似物理介质和链路协议的网络互连，而不会用来在物理介质和链路层协议相差甚元的网络之间进行互连。而路由器则不同，它主要用于不同网络之间互连，因此能连接不同物理介质、链路层协议和网络层协议的网络。路由器在功能上虽然占据了优势，但价格昂贵，报文转发速度低。 近几年，交换机为提高性能做了许多改进，其中最突出的改进是虚拟网络和三层交换。 划分子网可以缩小广播域，减少广播风暴对网络的影响。路由器每一接口连接一个子网，广播报文不能经过路由器广播出去，连接在路由器不同接口的子网属于不同子网，子网范围由路由器物理划分。对交换机而言，每一个端口对应一个网段，由于子网由若干网段构成，通过对交换机端口的组合，可以逻辑划分子网。广播报文只能在子网内广播，不能扩散到别的子网内，通过合理划分逻辑子网，达到控制广播的 NTWI7525-01 第 3 页 目的。由于逻辑子网由交换机端口任意组合，没有物理上的相关性，因此称为虚拟子网，或叫虚拟网。虚拟网技术不用路由器就解决了广播报文的隔离问题，且虚拟网内网段与其物理位置无关，即相邻网段可以属于不同虚拟网，而相隔甚远的两个网段可能属于不同虚拟网，而相隔甚远的两个网段可能属于同一个虚拟网。不同虚拟网内的终端之间不能相互通信，增强了对网络内数据的访问控制。 交换机和路由器是性能和功能的矛盾体，交换机交换速度快，但控制功能弱，路由器控制性能强，但报文转发速度慢。解决这个矛盾的最新技术是三层交换，既有交换机线速转发报文能力，又有路由器良好的控制功能。 4 第三层交换机和路由器的区别 在第三层交换技术出现之前，几乎没有必要将路由功能器件和路由器区别开来，他们完全是相同的:提供路由功能正在路由器的工作，然而，现在第三层交换机完全能够执行传统路由器的大多数功能。作为网络互连的设备，第三层交换机具有以下特征: 1.转发基于第三层地址的业务流; 2.完全交换功能; 3.可以完成特殊服务，如报文过滤或认证; 4.执行或不执行路由处理。 第三层交换机与传统路由器相比有如下优点: 1.子网间传输带宽可任意分配:传统路由器每个接口连接一个子网，子网通过路由器进行传输的速率被接口的带宽所限制。而三层交换机则不同，它可以把多个端口定义成一个虚拟网，把多个端口组成的虚拟网作为虚拟网接口，该虚拟网内信息可通过组成虚拟网的端口送给三层交换机，由于端口数可任意指定，子网间传输带宽没有限制。 2.合理配置信息资源:由于访问子网内资源速率和访问全局网中资源速率没有区别，子网设置单独服务器的意义不大，通过在全局网中设置服务器群不仅节省费用，更可以合理配置信息资源。 3.降低成本:通常的网络设计用交换机构成子网，用路由器进行子网间互连。目前采用三层交换机进行网络设计，既可以进行任意虚拟子网划分，又可以通过交换机三层路由功能完成子网间通信，为此节省了价格昂贵的路由器。 4.交换机之间连接灵活:作为交换机，它们之间不允许存在回路，作为路由器，又可有多条通路来提高可靠性、平衡负载。三层交换机用生成树算法阻塞造成回路的端口，但进行路由选择时，依然把阻塞掉的通路作为可选路径参与路由选择。 5 结论 综上所述，交换机一般用于,,,,,,,的连接，交换机归于网桥，是数据链路层的设备，有些交换机也可实现第三层的交换。路由器用于,,,,,,,之间的连接，可以解决异性网络之间转发分组，作用于网络层。他们只是从一条线路上接受输入分组，然后向另一条线路转发。这两条线路可能分属于不 NTWI7525-01 第 4 页 同的网络，并采用不同协议。相比较而言，路由器的功能较交换机要强大，但速度相对也慢，价格昂贵，第三层交换机既有交换机线速转发报文能力，又有路由器良好的控制功能，因此得以广播应用。 WAN: 广域网(Wide Area Network)，简称WAN，是一种跨越大的、地域性的计算机网络的集合。通常跨越省、市，甚至一个国家。广域网包括大大小小不同的子网，子网可以是局域网，也可以是小型的广域网。 作用:WAN 接口为宽带广域网接口。。。用来连接宽带或者广域网的网线。。 LAN，ADSL: LAN = Local Area Network ,中文翻译是“局域网” ADSL = Asymmetric Digital Subscriber Line 非对称数字用户线路，简单的说，2M的ADSL，你下载的速度可达到2048k/s的理论最大值，但是上传速度一般只有512k/s，再高的下行其上行也只有512k～这是很多人不清楚的地方～ LAN是一种网络名字，而ADSL是一种接入方式，严格字面意义上去讲两者没有比较的意义～ 而电信营业厅所指的“LAN”应该是Ethernet(以太网)接入方式，就是常说的小区宽带。 而他说的LAN的淘汰产品我可以负责任的说，那是骗人鬼扯的～ ADSL才是要淘汰的产品～ADSL技术是很老的技术了，上行只有0.5M-1M，下行0.5M-8M，而且上下不对称，ADSL最大的好处就是可以用调制解调器直接走电话座机线路，就目前中国民用来说，还有很多小区是没有LAN线路的，如果要架设LAN线路需要很大的资金和投入，但是现在中国居民家家都有电话座机，所以ADSL才有现在的市场～ 而就形式而言，ADSL迟早是要被LAN取代的～ 现在的新楼盘都事先接入了LAN，很多电梯公寓甚至光纤到户，而Ethernet技术课题提供100M-1000M的带宽，而且上下线对称，以后的写字间，都是网络+数字电视+可视电话三合一的，只有LAN才能打到这样的数据量，而ADSL只是过渡而已～ 现在社区宽带的介入所谓端口就是多加一台交换机，仅此而已，只不过光纤带宽是否足够那就不是端口的问题，那是数据流量的问题了。 就目前而言，LAN接入的Ethernet技术还未普及，但是在未来，ADSL肯定是要被淘汰的～取而代之的就是LAN接入的Ethernet技术。 那个工作人员说的LAN是淘汰的我只能表示鄙视～ DHCP: DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写，它的前身是 BOOTP。 作用:所谓DHCP就有做个DHCP服务器，给其它的机子自动分配IP的方法。不用人工手动配置的。 POE POE (Power Over Ethernet)指的是在现有的以太网Cat.5布线基础架构不作做何改动的情况下，在为一些基于IP的终端(如IP电话机、无线局域网接入点AP、网络摄像机等)传输数据信号的同时，还能为此类设备提供直流供电的技术。POE技术能在确保现有结构化布线安全的同时保证现有网络的正常运作，最大限度地降低成本。 POE也被称为基于局域网的供电系统(POL, Power over LAN )或有源以太网( Active Ethernet)，有时也被简称为以太网供电，这是利用现存以太网传输电缆的同时传送数据和电功率的最新标准，并保持了与现存以太网系统和用户的兼容性。IEEE 802.3af标准是基于以太网供电系统POE的新标准，它在IEEE 802.3的基础上增加了通过网线直接供电的相关标准，是现有以太网标准的扩展，也是第一个关于电源分配的国际标准。 IEEE在1999年开始制定该标准，最早参与的厂商有3Com, Intel, PowerDsine, Nortel, Mitel和National Semiconductor。但是，该标准的缺点一直制约着市场的扩大。直到2003年6月，IEEE批准了802. 3af标准，它明确规定了远程系统中的电力检测和控制事项，并对路由器、交换机和集线器通过以太网电缆向IP电话、安全系统以及无线LAN接入点等设备供电的方式进行了规定。IEEE 802.3af的发展包含了许多公司 NTWI7525-01 第 5 页 专家的努力，这也使得该标准可以在各方面得到检验。 一个典型的以太网供电系统。在配线柜里保留以太网交换机设备，用一个带电源供电集线器(Midspan HUB)给局域网的双绞线提供电源。在双绞线的末端，该电源用来驱动电话、无线接入点、相机和其他设备。为避免断电，可以选用一个UPS。 QoS QoS的英文全称为"Quality of Service"，中文名为"服务质量"。QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。 一些QoS还支持业务控制、流量限速等等 IP网络正在逐渐成为基础的通讯平台，越来越多的增值业务，特别是多媒体业务将运行在IP网络上，因此如何在IP网络上保证业务的QoS正在成为新业务开展的关键问题。本文介绍了目前在IP网络上实现QoS的主要架构，并着重阐述了DiffServ这种主流架构的原理以及以Alcatel 7750 SR业务路由器为代表的新一代面向业务设计的网络设备对于QoS的支持能力。 关键词:IP;QoS;DiffServ;7750 SR 随着Internet的在全球的高速增长，IP技术渐渐地已成为一种广泛、通用的网络平台。它的经济性、灵活性和支持多业务的能力是原来的电路交换网络所无法比拟的。但是传统的IP技术只能采用尽力而为的(Best Effort)的方式进行包的转发，它只在能力范围内尽可能快地传送，但对吞吐量、延迟、延迟抖动和丢包率没有任何保障，而把传输损失都留给终端系统来处理。 这种采用尽力而为的发送模式曾经是合适的，因为大多数基于IP的传统应用(如Telnet, FTP等)可忍受较大的延迟和延迟抖动。但是，情况正在迅速改变。电话、视频、WEB等新型业务正在大量普及;新型多媒体业务需要大量的带宽和严格的时限;而且，因特网用户呈指数级的增加，也会导致更加严重地网络延迟和阻塞。 虽然扩大网络节点和链路的容量确实是解决的一部分，然而，简单地在发生问题的地方投入带宽是远远不够的，因为因特网上暂时性和突发性的网络阻塞并不能被消除。新一代因特网必须能够向某些应用和用户提供不同级别的保障，实现IP网络的服务质量(QoS);同时结合SLA(服务等级协议)的执行，向他们提供差分化的服务，IP服务提供商才能真正盈利。 IP QoS 模型 目前，IETF为了实现IP上的QoS而定义了许多模型和机制，主要的模型如下: 一( 相对优先级标记模型(Relative Priority Marking)[1] 相对标记模型是最早的QoS模型，它的机制是通过终端应用或代理对其数据流设置一个相对的优先级，并对相应的包头进行标记，然后网络节点就会根据包头的标记进行相应的转发处理。这种模型实现起来非常简单，但是颗粒度较粗并且缺少高级QoS处理流程(如Remarking，Policy和Shaping等)，无法实现细致多样的QoS保证。目前采用这种模型的技术有IPv4 Precedence(RFC791)。另外还有令牌环优先级(IEEE 802.5)和以太网流量等级(802.1p)也是采用这种架构。 NTWI7525-01 第 6 页 二( 集成业务模型(Inter-Serv)[2] 其设计思想是在Best Effort服务模式的基础上定义了一系列的扩展特性，可以为每一个的网络连接提供基于应用的QoS，并且使用信令协议在网络中的每个路由器中创建和维护特定流的状态，以满足相应网络服务的需求。 这种体系能够明确区分并保证每一个业务流的服务质量，为网络提供最细粒度化的服务质量区分。但是在IP核心网络中的实施存在问题，因为Inter-Serv的实施要求在每个网络节点为每个流提供相当的计算处理量。这包括端到端的信令和相关信息来区分每个流，跟踪、统计资源占用，策略控制，调度业务流量。随着Inter-Serv流数量的增加，Inter-Serv信令的处理和存储对路由器的资源消耗也在飞速地增加，而且也极大地增加网络管理地复杂性，所以这种模型的可扩展性较差。目前采用这种模型的技术有:MPLS-TE(RSVP)，另外较为典型的还有ATM和帧中继。 三( 差分业务模型(Diff-Serv)[3] 与作用于每个流的IntServ相比，在DiffServ体系结构中，业务流被划分成不同的差分服务类(最多64种)。 DSCP)来标示。在实一个业务流的差分服务类由其IP包头中的差分服务标记字段(DiffServ CodePoint， 施DiffServ的网络中，每一个路由器都会根据数据包的DSCP字段进行相应的转发处理，也就是PHB(Per Hop Behavior)。 虽然DiffServ不能对每一个业务流都进行不同服务质量保证。但由于采用了业务流分类技术，也就不需要采用信令协议来在每个路由器上建立和维护流的状态，节省了路由器的资源，因此网络的可扩展性要高的多。另外DiffServ技术不仅能够在纯IP的网络中使用，也能通过DSCP和MPLS标签以及标签头部的EXP字段的映射应用在多协议标签交换技术MPLS的网络中。 DiffServ的主要架构分为两层:边缘层与核心层。 边缘层完成如下工作: - 流量识别和过滤:当用户流量进入网络的时候，边缘层设备会先对流量进行识别，根据预先定义的规则过滤掉非法的流量，然后再根据数据包中所包含的信息，如源/目的地址、端口号、DSCP等，将流量映射到不同的服务等级。 - 流量策略和整形:当用户的业务流量被映射到不同的服务等级之后，边缘层设备会根据和用户所签订的SLA中的QoS参数，如CIR(Commit Information Rate)、PIR(Peak Information Rate)，来对流量进行整形，以确保进入网络的流量不会超过SLA中所设定的范围。 - 流量的重新标记:经过整形后的流量会由边缘层设备根据其服务等级来设定其数据包中服务等级标记，如IP包头中的DSCP字段或是MPLS包头中的EXP字段等，以便核心层设备进行识别和处理。 相对于边缘层，核心层所要完成的工作就简单地多，核心层设备主要是根据预先设定的QoS策略对数据包中的相关的QoS字段进行识别并进行相应的QoS处理。通过这种分层次的结构形成了“智能化边缘，简单核心”的QoS网络架构，这种架构不但提高了网络的可扩展性，而且大大提高了QoS处理的灵活性。 NTWI7525-01 第 7 页 IP网络设备对DiffServ的实现 由于DiffServ的灵活性和可扩展性，目前几乎所有的IP网络设备都支持DiffServ架构。 而在网络设备上支持DiffServ架构一般需要实现如下功能: - 多条件流量区分 多条件流量区分是指根据所接受到的客户流量中包含的不同条件信息和预先定义的区分规则来划分流量的转发等级。区分规则的格式类似于访问控制列表(ACL)，每条规则包含不同的匹配条件和相应的转发等级，当客户流量符合某条区分规则的匹配条件时，此流量就被划分为相应的转发等级。这里所指匹配条件可以是物理端口、VLAN、各种IP字段或是各种MAC字段等。 - 流量标记和转发等级映射(Forwarding Class) 经过区分规则区分后的流量会被映射到不同的转发等级，DiffServ定义了几种标准的转发等级: - 加速转发等级(Expedited Forwarding Class) 加速转发等级拥有最高的转发优先级，设备必须保证其他转发等级的流量无法影响加速转发等级流量的延时和抖动，因此加速转发等级往往用于网络控制流量和对于抖动敏感的流量如VOIP。 - 保证转发等级(Assured Forwarding Class) 保证转发等级非常类似于帧中继的QoS，为业务流量提供了PIR(Peak Information Rate)和CIR(Commit Information Rate)的参数设置。当客户流量小于CIR时，被标示为“in-profile”，而当客户流量超过了CIR，则被标示为“out-profile”。通过这样的区分当网络中发生拥塞的时候，“out-profile”的流量会比“in-profile”的流量先丢弃。 - 尽力而为转发等级(Best-Effort Forwarding Class) 尽力而为是最低优先级的转发等级，只有当加速转发等级和保证转发等级的流量转发完之后，才处理尽力而为转发等级流量。 当流量的转发等级确定之后，设备会对流量进行相应的标记，以便下游网络设备进行同样的识别和处理，实现统一的QoS策略。DiffServ标准中定义的标记字段分别为IP包头中的DSCP字段和MPLS包头中的EXP字段。 - 队列和调度 各个DiffServ等级的转发处理都是通过队列和调度实现的。队列是一个逻辑概念，它实际上是设备高速内存中的一段缓存，遵循“先进先出”的规则。系统中往往有多个队列，以对于多个转发等级，当数据包被确定为某个转发等级之后，就会存储在相应的队列中，然后系统根据不同转发等级和不同的参数设置(PIR、CIR)进行调度。不同的转发等级往往采用不同的调度算法，比如对于加速转发等级采用的是“严格优先级”调度，也就是说加速转发等级队列中的数据包永远都是获得最先调度以保证其最高优先级。而对于保证转发等级则采用权重轮回调度算法，先轮回调度所有“in-profile”的流量，再调度所有“out-profile”的 NTWI7525-01 第 8 页 流量，以保证每个保证转发等级队列都能够根据其CIR、PIR来进行调度。 - 拥塞控制 当某个队列缓存被占满之后，系统会发生拥塞，这时开始大量丢弃新收到的数据包，直到数据源通过TCP的流量控制机制(滑动窗口协议)，监测到丢包，降低发送速率，才能消除拥塞，重新开始转发。但是随着数据源的速率不断增加，系统又会发生拥塞和丢弃，这样周而复始，对于整体网络性能影响很大。因此DiffServ架构中往往会引入拥塞控制机制，常用的算法有RED和WRED，所谓RED是指随机早期检测算法(Random Early Detection)，它通过在拥塞发生之前随机丢弃一些数据包使得TCP发送源来降低其发送速率，数据包的丢弃可能性随着队列缓存的占有率而不断增加，这样就可以避免大量丢弃数据包现象的发生。 - MPLS DiffServ 随着MPLS技术的广泛应用，IETF的MPLS工作组定义了两种将IP的DiffServ等级映射到MPLS LSP上的方法: - E-LSP 使用MPLS包头中的EXP字段来映射IP的DiffServ等级，这种方式较为简单，但是由于EXP字段只有3比特长，因此能够表达的等级只有8种。 - L-LSP 这种方法不但使用EXP字段，还使用MPLS标签来映射，这样就大大扩展了能够表达的等级数量，但缺点是要消耗大量有限的MPLS标签资源。 值得一提的是在MPLS技术中还有一种支持QoS方式就是采用流量工程技术，也就是RSVP-TE。RSVP-TE可以在建立LSP的过程中在沿途的节点上预留带宽，这种技术是作为InterServ架构的一种，通常会和DiffServ架构结合使用，提供业务的中继链路带宽。 随着越来越多的多媒体业务运行在IP网络上，对IP网络提出了更高的QoS要求，而传统的IP路由器或交换机只能提供简单的连通性服务，虽然大部分也支持DiffServ架构，但是受到传统的硬件架构和技术所限，无法提供完善的区分化业务等级的支持。比如许多传统设备每个物理端口上只支持几个队列，无法满足大规模业务开展的需求;有些设备在开启DiffServ功能之后会极大地影响系统的转发性能;还有一些设备只支持简单的流量限制，不支持转发等级或是即使支持转发等级，也无法灵活地将可用带宽在不同的转发等级之间进行分配等等。这些设备上的局限性大大限制了各种IP新业务的开展。 因此上海贝尔阿尔卡特公司推出了新一代IP产品系列，包括IP业务路由器7750 SR和以太网业务交换机7450 ESS。和传统设备有着根本区别的是，Alcatel 7750 SR和7450 ESS是完全面向新型IP/MPLS业务而设计的，这两个产品线都具备强大且完善的基于业务的Qos体系。以7750 SR为例: 7750 SR支持基于业务的QoS策略，对于7750 SR上每一个业务实例(如每一个VPN业务)，都可以定义专门的Qos策略。在业务接入端口上(多个用户/业务接入到同一个物理端口)能够针对每个用户的每一种应用流量进行独立的输入和输出整形，每个应用流量都可获得属于自己的独立的Buffer队列空间，每一个独立的队列都可以设置独立的CIR,PIR,MBS,CBS等流量整形参数，并且支持业界领先的层次化Qos调度技 NTWI7525-01 第 9 页 术。7750 SR上的每块线卡可以支持32000个队列， 这个数量远远大于传统设备，Unicast数据包和Multicast/Broadcast数据包都可使用不同的队列进行处理，这样可以防止广播或组播数据挤占单播数据的资源。而且对于客户数据流不仅可以在入口处进行Qos处理，还可以在出口处进行Qos处理，从而极大提高了Qos策略的灵活性。 7750 SR的Qos体系主要由三个部份组成:流量分类、缓存管理和流量调度。 1. 用户流量根据预先定义的分类策略分成不同的服务等级，7750 SR支持强大且灵活的分类策略，可以根据下列信息对用户流量进行分类: IP ACL:Src/Dest IP Address/range，Src/Dest Port/range，IP Fragment，Protocol type，IP Precedence，DSCP MAC ACL:802.1p，Src/Dest MAC address/mask，EtherType value，802.2 LLC SSAP/DSAP/SNAP value/mask MPLS:E-LSP(EXP) 2. 每个服务等级分配有专门的队列，每个队列都有相应可配置的Qos参数。 ? CIR(Commit Information Rate):当某个队列的出队速率小于CIR的时候，此队列的流量被标示为“in-profile”，如果出队的速率超过CIR的时候将被标示为“out-of-profile”。in-profile的流量会比同等级out-of-profile的流量先得到调度。 ? PIR(Peak Information Rate):当某个队列的出队速度超过PIR的时候，系统将停止调度这个队列的包。 3. 队列都是由每块线卡上的缓存池中分配，每一个队列都有两个关于缓存分配的可配置参数。 ? CBS:能够保证的队列长度，队列的长度一旦超出了CBS，系统就不能保证再进队的数据报能够分到缓存。 ? MBS: MBS的值是队列最大能达到的长度，当队列的长度超过MBS后，新进队列的数据包将会被丢弃。这个值是为了防止某个队列的出队速度长期超过PIR，无法得到调度，从而队列长度不断增长，最终消耗光其他数据包的缓存资源。 4. 调度器控制着队列之间的出队调度。 7750 SR支持目前业界最先进的层次化队列调度技术，不但能够控制单个业务或多个业务的总带宽，而且可以在控制总带宽的基础上进一步细分化地保证每一个业务的Qos，真正实现强大而灵活的SLA保证。层次化调度通过设置多级逻辑调度器，由上级调度器控制一组下级调度器的总带宽，并且上级调度器能够根据下级调度器的级别和权重合理分配下级调度器的CIR和PIR，实际应用如下图: 用户和运营商签订了一份总带宽为10M的SLA，其中包括三种业务流量，分别是语音Voice:CIR=PIR=2M，视频Video PIR=CIR=2M，Internet访问 CIR=0，PIR=10M。如果不采用层次化调度的话，这样的话，当三种流量都突发到最大的时候，实际消耗的带宽为2+2+10=14M，这样就过度消耗了运营商的网络资源。而如果采用了层次化调度的话，我们可以在路由器上设置2层调度器，第一层负责各个业务流量单独的QoS保证，第二层调度器控制三种业务流量在任意时刻都不超过10M，而且当没有语音流量的时候和只有2M video流量的时候，Internet访问流量可以突发到8M。这样既单独保证了每种业务的服务质量，又保证了 NTWI7525-01 第 10 页 总带宽为10M。 结束语 在因特网网络规模不断扩大，增值业务种类不断丰富的发展趋势下，新型IP互联网对QoS的保证会越来越多地显示其重要的战略和经济意义;我们相信，上海贝尔阿尔卡特公司面向业务设计的7750 SR和7450 ESS能够帮助运营商构建新一代可盈利IP网络。 参考文献 [1] Almquist, P., "Type of Service in the Internet Protocol Suite", RFC 1349, July 1992. [2] Braden, R., Clark, D. and S. Shenker, "Integrated Services in the Internet Architecture: An Overview", RFC 1633, July 1994. [3] S. Blake, D. Black, M. Carlson, E. Davies, Z. Wang,An Architecture for Differentiated Services, RFC2475, December 1998 VLAN VLAN，是英文Virtual Local Area Network的缩写，中文名为"虚拟局域网"， VLAN是 一种将局域网(LAN)设备从逻辑上划分(注意，不是从物理上划分)成一个个网段(或者 说是更小的局域网LAN)，从而实现虚拟工作组(单元)的数据交换技术。 VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在交换机之中 。不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能，这一点可以查 看相应交换机的说明书即可得知。VLAN的好处主要有三个: (1)端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这 样一个物理的交换机可以当作多个逻辑的交换机使用。 (2)网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。 (3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。 VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻 辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理 上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段 。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有 助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划 分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活 的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN在交换机上的实现方法，可以大致划分为六类: 1. 基于端口的VLAN 这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协 议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端 口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口 分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。 对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某 站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通 过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能 。 从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简 NTWI7525-01 第 11 页 单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是 如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。 2. 基于MAC地址的VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配 置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属 于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置 时，自动保留其所属VLAN的成员身份。 由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移 动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而 不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果 有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域 网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都 可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外， 对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。 3. 基于网络层协议的VLAN VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络 。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具 体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络 内部自由移动，但其VLAN成员身份仍然保留不变。 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根 据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标 签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个 数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都 可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术， 同时也更费时。当然，这与各个厂商的实现方法有关。 4. 根据IP组播的VLAN IP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的 方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器 进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主 要是效率不高。 5. 按策略划分的VLAN 基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、 网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型 的VLAN 。 6. 按用户定义、非用户授权划分的VLAN 基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的 网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要 提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。 SNMP简介 SNMP(Simple Network Management Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP)，用来对通信线路进行管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI和MIB:体系结构，改进后的协议就是著名的SNMP。SNMP的目标是管理 NTWI7525-01 第 12 页 互联网Internet上众多厂家生产的软硬件平台，因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP已经出到第三个版本的协议，其功能较以前已经大大地加强和改进了。 SNMP的体系结构是围绕着以下四个概念和目标进行设计的:保持管理代理(agent)的软件成本尽可能低;最大限度地保持远程管理的功能，以便充分利用Internet的网络资源;体系结构必须有扩充的余地;保持SNMP的独立性，不依赖于具体的计算机、网关和网络传输协议。在最近的改进中，又加入了保证SNMP体系本身安全性的目标。 [编辑本段] 【SNMP风险】 接入Internet的网络面临许多风险，Web服务器可能面临攻击，邮件服务器的安全也令人担忧。但除 此之外，网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务，许多时候这些SNMP服务是不必要的，但却没有引起网络管理员的重视。 根据SANS协会的报告，对于接入Internet的主机，SNMP是威胁安全的十大首要因素之一;同时，SNMP还是Internet主机上最常见的服务之一。特别地，SNMP服务通常在位于网络边缘的设备(防火墙保护圈之外的设备)上运行，进一步加剧了SNMP带来的风险。这一切听起来出人意料，但其实事情不应该是这样的。 〖一、背景知识〗 SNMP开发于九十年代早期，其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包，如HP的OpenView和Nortel Networks的Optivity Network Management System，还有Multi Router Traffic Grapher(MRTG)之类的免费软件，都用SNMP服务来简化网络的管理和维护。 由于SNMP的效果实在太好了，所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天，各种网络设备上都可以看到默认启用的SNMP服务，从交换机到路由器，从防火墙到网络打印机，无一例外。 仅仅是分布广泛还不足以造成威胁，问题是许多厂商安装的SNMP都采用了默认的通信字符串(例如密码)，这些通信字符串是程序获取设备信息和修改配置必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备，无需经过复杂的配置。 通信字符串主要包含两类命令:GET命令，SET命令。GET命令从设备读取数据，这些数据通常是操作参数，例如连接状态、接口名称等。SET命令允许设置设备的某些参数，这类功能一般有限制，例如关闭某个网络接口、修改路由器参数等功能。但很显然，GET、SET命令都可能被用于拒绝服务攻击(DoS)和恶意修改网络参数。 最常见的默认通信字符串是public(只读)和private(读/写)，除此之外还有许多厂商私有的默认通信字符串。几乎所有运行SNMP的网络设备上，都可以找到某种形式的默认通信字符串。 SNMP 2.0和SNMP 1.0的安全机制比较脆弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信，就可以利用各种嗅探工具直接获取通信字符串，即使用户改变了通信字符串的默认值也无济于事。 近几年才出现的SNMP 3.0解决了一部分问题。为保护通信字符串，SNMP 3.0使用DES(Data Encryption Standard)算法加密数据通信;另外，SNMP 3.0还能够用MD5和SHA(Secure Hash Algorithm)技术验证节点的标识符，从而防止攻击者冒充管理节点的身份操作网络。 NTWI7525-01 第 13 页 虽然SNMP 3.0出现已经有一段时间了，但目前还没有广泛应用。如果设备是2、3年前的产品，很可能根本不支持SNMP 3.0;甚至有些较新的设备也只有SNMP 2.0或SNMP 1.0。 即使设备已经支持SNMP 3.0，许多厂商使用的还是标准的通信字符串，这些字符串对黑客组织来说根本不是秘密。因此，虽然SNMP 3.0比以前的版本提供了更多的安全特性，如果配置不当，其实际效果仍旧有限。 〖二、禁用SNMP〗 要避免SNMP服务带来的安全风险，最彻底的办法是禁用SNMP。如果你没有用SNMP来管理网络，那就没有必要运行它;如果你不清楚是否有必要运行SNMP，很可能实际上不需要。即使你打算以后使用SNMP，只要现在没有用，也应该先禁用SNMP，直到确实需要使用SNMP时才启用它。 下面列出了如何在常见的平台上禁用SNMP服务。 ? Windows XP和Windows 2000 在XP和Win 2K中，右击“我的电脑”，选择“管理”。展开“服务和应用程序”、“服务”，从服务的清单中选择SNMP服务，停止该服务。然后打开服务的“属性”对话框，将启动类型该为“禁用”(按照微软的默认设置，Win 2K/XP默认不安装SNMP服务，但许多软件会自动安装该服务)。 ? Windows NT 4.0 选择“开始”?“设置”，打开服务设置程序，在服务清单中选择SNMP服务，停止该服务，然后将它的启动类型该为禁用。 ? Windows 9x 打开控制面板的网络设置程序，在“配置”页中，从已安装的组件清单中选择“Microsoft SNMP代理”，点击“删除”。检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册键，确认不存在snmp.exe。 ? Cisco Systems硬件 对于Cisco的网络硬件，执行“no SNMP-server”命令禁用SNMP服务。如果要检查SNMP是否关闭，可执行“show SNMP”命令。这些命令只适用于运行Cisco IOS的平台;对于非IOS的Cisco设备，请参考随机文档。 ? HP硬件 对于所有使用JetDirect卡(绝大部分HP网络打印机都使用它)的HP网络设备，用telnet连接到JetDirect卡的IP地址，然后执行下面的命令: SNMP-config: 0 quit 这些命令将关闭设备的SNMP服务。但必须注意的是，禁用SNMP服务会影响服务的发现操作以及利用SNMP获取设备状态的端口监视机制。 ? Red Hat Linux 对于Red Hat Linux，可以用Linuxconf工具从自动启动的服务清单中删除SNMP，或者直接从/etc/services文件删除启动SNMP的行。对于其他Linux系统，操作方法应该也相似。 〖三、保障SNMP的安全〗 如果某些设备确实有必要运行SNMP，则必须保障这些设备的安全。首先要做的是确定哪些设 NTWI7525-01 第 14 页 备正在运行SNMP服务。除非定期对整个网络进行端口扫描，全面掌握各台机器、设备上运行的服务，否则的话，很有可能遗漏一、二个SNMP服务。特别需要注意的是，网络交换机、打印机之类的设备同样也会运行SNMP服务。确定SNMP服务的运行情况后，再采取下面的措施保障服务安全。 ? 加载SNMP服务的补丁 安装SNMP服务的补丁，将SNMP服务升级到2.0或更高的版本。联系设备的制造商，了解有关安全漏洞和升级补丁的情况。 ? 保护SNMP通信字符串 一个很重要的保护措施是修改所有默认的通信字符串。根据设备文档的说明，逐一检查、修改各个标准的、非标准的通信字符串，不要遗漏任何一项，必要时可以联系制造商获取详细的说明。 ? 过滤SNMP 另一个可以采用的保护措施是在网络边界上过滤SNMP通信和请求，即在防火墙或边界路由器上，阻塞SNMP请求使用的端口。标准的SNMP服务使用161和162端口，厂商私有的实现一般使用199、391、705和1993端口。禁用这些端口通信后，外部网络访问内部网络的能力就受到了限制;另外，在内部网络的路由器上，应该编写一个ACL，只允许某个特定的可信任的SNMP管理系统操作SNMP。例如，下面的ACL只允许来自(或者走向)SNMP管理系统的SNMP通信，限制网络上的所有其他SNMP通信: access-list 100 permit ip host w.x.y any access-list 100 deny udp any any eq snmp access-list 100 deny udp any any eq snmptrap access-list 100 permit ip any any 这个ACL的第一行定义了可信任管理系统(w.x.y)。利用下面的命令可以将上述ACL应用到所有网络接口: interface serial 0 ip access-group 100 in 总之，SNMP的发明代表着网络管理的一大进步，现在它仍是高效管理大型网络的有力工具。然而，SNMP的早期版本天生缺乏安全性，即使最新的版本同样也存在问题。就象网络上运行的其他服务一样，SNMP服务的安全性也是不可忽视的。不要盲目地肯定网络上没有运行SNMP服务，也许它就躲藏在某个设备上。那些必不可少的网络服务已经有太多让人担忧的安全问题，所以最好关闭SNMP之类并非必需的服务——至少尽量设法保障其安全。 [编辑本段] 【SNMP数据】 SNMP规定了5种协议数据单元PDU(也就是SNMP报文)，用来在管理进程和代理之间的交换。get-request操作:从代理进程处提取一个或多个参数值get-next-request操作:从代理进程处提取紧跟当前参数值的下一个参数值set-request操作:设置代理进程的一个或多个参数值get-response操作:返回的一个或多个参数值。这个操作是由代理进程发出的，它是前面三种操作的响应操作。trap操作:代理进程主动发出的报文，通知管理进程有某些事情发生。 NTWI7525-01 第 15 页 图1 SNMP的5种报文操作 前面的3种操作是由管理进程向代理进程发出的，后面的2个操作是代理进程发给管理进程的，为了简化起见，前面3个操作今后叫做get、get-next和set操作。图1描述了SNMP的这5种 图2 SNMP报文格式 报文操作。请注意，在代理进程端是用熟知端口161俩接收get或set报文，而在管理进程端是用熟知端口162来接收trap报文。 图2是封装成UDP数据报的5种操作的SNMP报文格式。可见一个SNMP报文共有三个部分组成，即公共SNMP首部、get/set首部trap首部、变量绑定。 〖公共SNMP首部〗 ? 版本 写入版本字段的是版本号减1，对于SNMP(即SNMPV1)则应写入0。 , ?共同体(community) 共同体就是一个字符串，作为管理进程和代理进程之间的明文口令，常用的是6个字符“public”。 表1 PDU类型 , 〖PDU类型〗 根据PDU的类型，填入0,4中的一个数字，其对应关系如表1所示意图。 〖get/set首部〗 , NTWI7525-01 第 16 页 ?请求标识符(request ID) 这是由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文，这些报文都使用UDP传送，先发送的有可能后到达。设置了请求标识符可使管理进程能够识别返回的响应报文对于哪一个请求报文 表2 差错状态描述 ?差错状态(error, status) 由代理进程回答时填入0,5中的一个数字，见表2的描述。 ? 差错索引(error index), 当出现noSuchName、badValue或readOnly的差错时，由代理进程在回答时设置的一个整数，它指明有差错的变量在变量列表中的偏移。 〖trap首部〗 , ?企业(enterprise) 填入trap报文的网络设备的对象标识符。此对象标识符肯定是在图3的对象命名树上的enterprise结点{1.3.6.1.4.1}下面的一棵子 表3 trap类型 树上。 〖trap类型〗, 此字段正式的名称是generic-trap，共分为表3中的7种。 类型2、3、5时，在报文后面变量部分的第一个变量应标识响应的接口。 , ?特定代码(specific-code) 指明代理自定义的时间(若trap类型为6)，否则为0。 , ? 时间戳(timestamp) 指明自代理进程初始化到trap报告的事件发生所经历的时间，单位为10ms。例如时间戳为1908表明在代理初始化后1908ms发生了该时间。 ?变量绑定(variable-bindings) 指明一个或多个变量的名和对应的值。在get或get-next报文中，变量的值应忽略。 [编辑本段] 【SNMP发展】 NTWI7525-01 第 17 页 简单网络管理协议(SNMP)是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年5月，RFC1157定义了SNMP(simplenetworkmanagementprotocol)的第一个版本SNMPv1。RFC1157和另一个关于管理信息的文件RFC1155一起，提供了一种监控和管理计算机网络的系统方法。因此，SNMP得到了广泛应用，并成为网络管理的事实上的标准。 SNMP在90年代初得到了迅猛发展，同时也暴露出了明显的不足，如，难以实现大量的数据传输，缺少身份验证(Authentication)和加密(Privacy)机制。因此，1993年发布了SNMPv2，具有以下特点: 支持分布式网络管理, 扩展了数据类型, 可以实现大量数据的同时传输，提高了效率和性能, 丰富了故障处理能力, 增加了集合处理功能, 加强了数据定义语言, [编辑本段] 【管理信息库】 图3 管理信息库的对象命名举例 管理信息库MIB指明了网络元素所维持的变量(即能够被管理进程查询和设置的信息)。MIB给出了一个网络中所有可能的被管理对象的集合的数据结构。SNMP的管理信息库采用和域名系统DNS相似的树型结构，它的根在最上面，根没有名字。图3画的是管理信息库的一部分，它又称为对象命名(objectnamingtree)。 对象命名树的顶级对象有三个，即ISO、ITU-T和这两个组织的联合体。在ISO的下面有4个结点，其中的饿一个(标号3)是被标识的组织。在其下面有一个美国国防部(Department of Defense)的子树(标号是6)，再下面就是Internet(标号是1)。在只讨论Internet中的对象时，可只画出Internet以下的子树(图中带阴影的虚线方框)，并在Internet结点旁边标注上{1.3.6.1}即可。 表4 最初的结点mib管理的信息类别 NTWI7525-01 第 18 页 在Internet结点下面的第二个结点是mgmt(管理)，标号是2。再下面是管理信息库，原先的结点名是mib。1991年定义了新的版本MIB-II，故结点名现改为mib-2，其标识为{1.3.6.1.2.1}，或{Internet(1) .2.1}。这种标识为对象标识符。 最初的结点mib将其所管理的信息分为8个类别，见表4。现在de mib-2所包含的信息类别已超过40个。 应当指出，MIB的定义与具体的网络管理协议无关，这对于厂商和用户都有利。厂商可以在产品(如路由器)中包含SNMP代理软件，并保证在定义新的MIB项目后该软件仍遵守标准。用户可以使用同一网络管理客户软件来管理具有不同版本的MIB的多个路由器。当然，一个没有新的MIB项目的路由器不能提供这些项目的信息。 这里要提一下MIB中的对象{1.3.6.1.4.1}，即enterprises(企业)，其所属结点数已超过3000。例如IBM为11.3.6.1.4.1.2}，Cisco为{1.3.6.1.4.1.9}，Novell为{1.3.6.1.4.1.23}等。 RMON RMON MIB:远程监控 管理信息库 RMON:Remote Monitoring MIBs (RMON1 and RMON2) 远程监控(RMON)是一个标准监控规范，它可以使各种网络监控器和控制台系统之间交换网络监控数据。 RMON 为网络管理员选择符合特殊网络需求的控制台和网络监控探测器提供了更多的自由。 RMON 最初的设计是用来解决从一个中心点管理各局域分网和远程站点的问题。RMON 规范是由 SNMP MIB 扩展而来。 RMON 中，网络监视数据包含了一组统计数据和性能指标，它们在不同的监视器(或称探测器)和控制台系统之间相互交换。结果数据可用来监控网络利用率，以用于网络规划，性能优化和协助网络错误诊断。 当前 RMON 有两种版本: RMON v1 和 RMONv2 。 RMON v1 在目前使用较为广泛的网络硬件中都能发现，它定义了 9 个 MIB 组服务于基本网络监控; RMON v2 是 RMON 的扩展，专注于 MAC 层以上更高的流量层，它主要强调 IP 流量和应用程序层流量。 RMON v2 允许网络管理应用程序监控所有网络层的信息包，这与 RMONv1 不同，后者只允许监控 MAC 及其以下层的信息包。 RMON 监视系统有两部分构成:探测器(代理或监视器)和管理站。 RMON 代理在 RMON MIB 中存储网络信息，它们被直接植入网络设备(如路由器、交换机等)，代理也可以是 PC 机上运行的一个程序。代理只能看到流经它们的流量，所以在每个被监控的 LAN 段或 WAN 链接点都要设置 RMON 代理，网管工作站用 SNMP 获取 RMON 数据信息。 RMON MIB 有不少变种。例如，令牌网 RMON MIB 提供了针对令牌网网络管理的对象。 SMON MIB 是由 RMON 扩展而来，主要用来为交换网络提供 RMON 分析。 MIB Management Information Base MIB是Management Information Base的缩写，中文名字叫“管理信息库”，它是网络管理数据的标准，在这个标准里规定了网络代理设备必须保存的数据项目，数据类型，以及允许在每个数据项目中的操作。通过对这些数据项目的存取访问，就可以得到该网关的所有统计内容。再通过对多个网关统计内容的综合分析即可实现基本的网络管理。管理信息库详细介绍: 管理信息库MIB指明了网络元素所维持的变量(即能够被管理进程查询和设置的信息)。MIB NTWI7525-01 第 19 页 给出了一个网络中所有可能的被管理对象的集合的数据结构。SNMP的管理信息库采用和域名系统DNS相似的树型结构，它的根在最上面，根没有名字。图3画的是管理信息库的一部分，它又称为对象命名(objectnamingtree)。 对象命名树的顶级对象有三个，即ISO、ITU-T和这两个组织的联合体。在ISO的下面有4个结点，其中的饿一个(标号3)是被标识的组织。在其下面有一个美国国防部(Department of Defense)的子树(标号是6)，再下面就是Internet(标号是1)。在只讨论Internet中的对象时，可只画出Internet以下的子树(图中带阴影的虚线方框)，并在Internet结点旁边标注上{1.3.6.1}即可。 在Internet结点下面的第二个结点是mgmt(管理)，标号是2。再下面是管理信息库，原先的结点名是mib。1991年定义了新的版本MIB-II，故结点名现改为mib-2，其标识为{1.3.6.1.2.1}，或{Internet(1) .2.1}。这种标识为对象标识符。 最初的结点mib将其所管理的信息分为8个类别。现在de mib-2所包含的信息类别已超过40个。 应当指出，MIB的定义与具体的网络管理协议无关，这对于厂商和用户都有利。厂商可以在产品(如路由器)中包含SNMP代理软件，并保证在定义新的MIB项目后该软件仍遵守标准。用户可以使用同一网络管理客户软件来管理具有不同版本的MIB的多个路由器。当然，一个没有新的MIB项目的路由器不能提供这些项目的信息。 {1.3.6.1.4.1}，即enterprises(企业)，其所属结点数已超过3000。这里要提一下MIB中的对象 例如IBM{11.3.6.1.4.1.2}，Cisco为{1.3.6.1.4.1.9}，Novell为{1.3.6.1.4.1.23}等。 IGMP: Internet组管理协议(Internet Group Management Protocol) Internet 组管理协议(IGMP)是因特网协议家族中的一个组播协议，用于 IP 主机向任一个直接相邻的路由器报告他们的组成员情况。IGMP 信息封装在 IP 报文中，其 IP 的协议号为 2。IGMP 具有三种版本，即 IGMP v1、v2 和 v3。 IGMPv1: 主机可以加入组播组。没有离开信息(leave messages)。路由器使用基于超时的机制去发现其成员不关注的组。 IGMPv2: 该协议包含了离开信息，允许迅速向路由协议报告组成员终止情况，这对高带宽组播组或易变型组播组成员而言是非常重要的。 IGMPv3: 与以上两种协议相比，该协议的主要改动为:允许主机指定它要接收通信流量的主机对象。来自网络中其它主机的流量是被隔离的。IGMPv3 也支持主机阻止那些来自于非要求的主机发送的网络数据包。 IGMP 协议变种有: 距离矢量组播路由选择协议(DVMRP: Distance Vector Multicast Routing Protocol) IGMP 用户认证协议 (IGAP: IGMP for user Authentication Protocol) 路由器端口组管理协议(RGMP: Router-port Group Management Protocol) 协议结构 IGMP v3 必须实现5种基本信息类型且与以前的版本相兼容: 0x11:会员查询 0x22:第3版本会员报告 0x12:第1版本会员报告 0x16:第2版本会员报告 0x17:第2版本离开组 它用来在ip主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。igmp不包括组播路由器之间的组成员关系信息的传播与维护，这部分工作由各组播路由协议完成。所有参与组播的主机必须实现igmp。 NTWI7525-01 第 20 页 参与ip组播的主机可以在任意位置、任意时间、成员总数不受限制地加入或退出组播组。组播路由器不需要也不可能保存所有主机的成员关系，它只是通过igmp协议了解每个接口连接的网段上是否存在某个组播组的接收者，即组成员。而主机方只需要保存自己加入了哪些组播组。 igmp在主机与路由器之间是不对称的:主机需要响应组播路由器的igmp查询报文，即以igmp membership report报文响应;路由器周期性发送成员资格查询报文，然后根据收到的响应报文确定某个特定组在自己所在子网上是否有主机加入，并且当收到主机的退出组的报告时，发出特定组的查询报文(igmp版本2)，以确定某个特定组是否已无成员存在。 到目前为止，igmp有三个版本:igmp版本1(由rfc1112定义)、igmp版本2(由rfc2236定 义)和igmp版本3。目前应用最多的是版本2。 igmp版本2对版本1所做的改进主要有: (1)共享网段上组播路由器的选举机制 共享网段表示一个网段上有多个组播路由器的情况。在这种情况下，由于此网段上运行igmp的路由器都能从主机那里收到成员资格报告消息，因此，只需要一个路由器发送成员资格查询消息，这就需要一个路由器选举机制来确定一个路由器作为查询器。 在igmp版本1中，查询器的选择由组播路由协议决定;igmp版本2对此做了改进，规定同一网段上有多个组播路由器时，具有最小ip地址的组播路由器被选举出来充当查询器。 (2)igmp版本2增加了离开组机制 在igmp版本1中，主机悄然离开组播组，不会给任何组播路由器发出任何通知。造成组播路由器只能依靠组播组响应超时来确定组播成员的离开。而在版本2中，当一个主机决定离开时，如果它是对最近一条成员资格查询消息作出响应的主机，那么它就会发送一条离开组的消息。 (3)igmp版本2增加了对特定组的查询 在igmp版本1中，组播路由器的一次查询，是针对该网段下的所有组播组。这种查询称为普 遍组查询。 在igmp版本2中，在普遍组查询之外增加了特定组的查询，这种查询报文的目的ip地址为该组播组的ip地址，报文中的组地址域部分也为该组播组的ip地址。这样就避免了属于其它组播组成员的主机发送响应报文。 (4)igmp版本2增加了最大响应时间字段 igmp版本2增加最大响应时间字段，以动态地调整主机对组查询报文的响应时间。 OPC: OPC是一个工业标准，它是由一些世界上著名的自动化系统和硬件、软件公司和Microsoft(微软)紧密合作而建立的。〔O代表OLE(对象链接和嵌入)，P (process过程)，C (control控制)。OLE已从面向对象重新定义为基于对象并更名为Active X〕。 管理OPC标准的组织是OPC基金会。其前身由一个Fisher-Rosemount、Rockwell Software、Siemens、Opto22、Intellution和Intuitive Technology等著名大公司组成专门的工作组，仅仅用了短短的一年时间便开发出一个基本的可运行的OPC技术规范。在1996年8月发布了简化的、一步到位的解决方案。 OPC基金会的工作比其他许多标准化集团能够更高速运转。原因十分简单，只是由于OPC是建立在已普遍使用的Mricrosoft标准基础上。而其他标准化集团必经完全从最基本开始定义标准，因此在其工作范围内达成一致的往往是费时费力，自然其工作效率是不能和OPC基金会比拟的。 Micosoft是OPC基金会的一个成员，已给予OPC基金会强有力的支持。但Microsoft在OPC中的作用主要在于其强大的后援支持，而让具有丰富的行业经验的成员公司指导OPC基金会的工作。 在控制领域中，系统往往由分散的各子系统构成;并且各子系统往往采用不同厂家的设备和方案。用户需要，将这些子系统集成，并架构统一的实时监控系统，这样的实时监控系统需要解决 NTWI7525-01 第 21 页 分散子系统间的数据共享，各子系统需要统一协调相应控制指令，再考虑到实时监控系统往往需要升级和调整就需要各子系统具备统一的开放接口。OPC(OLE for Process Control) 规范正是这一思维的产物。 OPC 基于Microsoft公司的 Distributed interNet Application (DNA) 构架和 Component Object Model (COM) 技术的，根据易于扩展性而设计的。OPC规范定义了一个工业标准接口。 OPC是以OLE/COM机制作为应用程序的通讯标准。OLE/COM是一种客户/服务器模式，具有语言无关性、代码重用性、易于集成性等优点。OPC规范了接口函数，不管现场设备以何种形式存在，客户都以统一的方式去访问，从而保证软件对客户的透明性，使得用户完全从低层的开发中脱离出来。 OPC定义了一个开放的接口，在这个接口上，基于PC的软件组件能交换数据。它是基于Windows的OLE——对象链接和嵌入、COM——部件对象模型(Component Object Model)和DCOM——分布式COM(Distributed COM)技术。因而，OPC为自动化层的典型现场设备连接工业应用程序和办公室程序提供了一个理想的方法。 OPC应用领域 1、工控解决方案用户 2、楼控解决方案用户 3、工控解决方案厂商 4、楼控解决方案厂商 5、工控解决方案集成商 6、楼控解决方案集成商 7、 All Automation Fields OPC是为了连接数据源(OPC服务器)和数据的使用者(OPC应用程序)之间的软件接口标准。数据源可以是PLC，DCS，条形码读取器等控制设备。随控制系统构成的不同，作为数据源的OPC服务器即可以是和OPC应用程序在同一台计算机上运行的本地OPC服务器，也可以是在另外的计算机上运行的远程OPC服务器。 OPC接口既可以适用于通过网络把最下层的控制设备的原始数据提供给作为数据的使用者(OPC应用程序)的HMI(硬件监督接口),SCADA(监督控制与数据采集)，批处理等自动化程序，以至更上层的历史数据库等应用程序，也可以适用于应用程序和物理设备的直接连接。所以OPC接口是适用于很多系统的具有高厚度柔软性的接口标准。 OPC解决了什么, OPC诞生以前，硬件的驱动器和与其连接的应用程序之间的接口并没有统一的标准。例如，在FA(FactoryAutomation)——工厂自动化领域，连接PLC(Programmable Logic Controller)等控制设备和SCADA,HMI软件，需要不同的FA网络系统构成。根据某调查结果，在控制系统软件开发的所需费用中，各种各样机器的应用程序设计占费用的7成，而开发机器设备间的连接接口则占了3成。此外，在PA(Process Automation)——过程自动化领域，当希望把分布式控制系统(DCS——Distributed Control System)中所有的过程数据传送到生产管理系统时，必须按照各个供应厂商的各个机种开发特定的接口，例如，利用C语言DLL(动态链路数据库)连接的DDE(动态数据交换)服务器或者利用FTP(文件传送协定)的文本等设计应用程序。如由4种控制设备和与其连接的监视、趋势图以及表报3种应用程序所构成的系统时，必须花费大量时间去开发分别对应设备A，B，C，D的监视，趋势图以及表报应用程序的接口软件共计要用12种驱动器。同时由于系统中共存各种各样的驱动器，也使维护运转环境的稳定性和信赖性更加困难。 而OPC是为了不同供应厂商的设备和应用程序之间的软件接口标准化，使其间的数据交换更加简单化的目的而提出的。作为结果，从而可以向用户提供不依靠于特定开发语言和开发环境的可以自由组合使用的过程控制软件组件产品。 利用OPC的系统，是由按照应用程序(客户程序)的要求提供数据采集服务的OPC服务器，使用OPC服务器所必需的OPC接口，以及接受服务的OPC应用程序所构成。OPC服务器是按照 NTWI7525-01 第 22 页 各个供应厂商的硬件所开发的，使之可以吸收各个供应厂商硬件和系统的差异，从而实现不依存于硬件的系统构成。同时利用一种叫做Variant的数据类型，可以不依存于硬件中固有数据类型，按照应用程序的要求提供数据格式。 利用OPC使接口标准化可以构成如图5所示的系统。从图5可此看出，用户可以不依存于设备A，B，C，D的内部结构及它的供应厂商，来选用监视，趋势图以及表报应用程序。 为什么开发自主OPC Server和OPC Gateway, 1、国外原厂商的高价格 2、国外原厂商面对项目的不灵活性 3、国内项目中子系统的多样性难以提供DRIVER 4、自主OPC服务器追求的是稳定、实时、迅速。 5、众多子系统的不规范性 6、总包项目在投标前后可能出现的不一致性 7、价格昂贵的原厂平台服务器软件 8、总包商集成是否投入大量的人力开发 9、平台和子系统的兼容性 10、建立了OPC平台和子系统的互通 11、解决厂商和集成商在项目集成的烦恼 12、解决厂商和集成商分散资源进行二次开发 13、解决项目中子系统厂商的困扰 14、为上下位的数据通讯提供透明的通道 MAC 英文原义:Media Access Control 中文释义:媒体访问控制子层协议 注解:该协议位于OSI七层协议中数据链路层的下半部分，主要负责控制与连接物理层的物理介质。在发送数据的时候，MAC协议可以事先判断是否可以发送数据，如果可以发送将给数据加上一些控制信息，最终将数据以及控制信息以规定的格式发送到物理层;在接收数据的时候，MAC协议首先判断输入的信息并是否发生传输错误，如果没有错误，则去掉控制信息发送至LLC层。 应 用:不管是在传统的有线局域网(LAN)中还是在目前流行的无线局域网(WLAN)中，MAC协议都被广泛地应用。在传统局域网中，各种传输介质的物理层对应到相应的MAC层，目前普遍使用的网络采用的是IEEE 802.3的MAC层标准，采用CSMA/CD访问控制方式;而在无线局域网中，MAC所对应的标准为IEEE 802.11，其工作方式采用DCF(分布控制)和PCF(中心控制)。 对于mac，可以简单这样理解: 一块网卡就对应一个mac，这个mac全球任何一块网卡都不同。 既然每个以太网设备在出厂时都有一个唯一的MAC地址了，那为什么还需要为每台主机再分配一个IP地址呢,或者说为什么每台主机都分配唯一的IP地址了，为什么还要在网络设备(如网卡，集线器，路由器等)生产时内嵌一个唯一的MAC地址呢,主要原因有以下几点:(1)IP地址的分配是根据网络的拓朴结构，而不是根据谁制造了网络设置。若将高效的路由选择方案建立在设备制造商的基础上而不是网络所处的拓朴位置基础上，这种方案是不可行的。(2)当存在一个附加层的地址寻址时，设备更易于移动和维修。例如，如果一个以太网卡坏了，可以被更换，而无须取得一个新的IP地址。如果一个IP主机从一个网络移到另一个网络，可以给它一个新的IP地址，而无 NTWI7525-01 第 23 页 须换一个新的网卡。(3)无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将数据包从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。数据包在这些节点之间的移动都是由ARP(Address Resolution Protocol:地址解析协议)负责将IP地址映射到MAC地址上来完成的。下面我们来通过一个例子看看IP地址和MAC地址是怎样结合来传送数据包的。 假设网络上要将一个数据包(名为PAC)由北京的一台主机(名称为A，IP地址为IP_A，MAC地址为MAC_A)发送到华盛顿的一台主机(名称为B，IP地址为IP_B，MAC地址为MAC_B)。这两台主机之间不可能是直接连接起来的，因而数据包在传递时必然要经过许多中间节点(如路由器，服务器等等)，我们假定在传输过程中要经过C1、C2、C3(其MAC地址分别为M1，M2，M3)三个节点。A在将PAC发出之前，先发送一个ARP请求，找到其要到达IP_B所必须经历的第一个中间节点C1的MAC地址M1，然后在其数据包中封装(Encapsulation)这些地址:IP_A、IP_B，MAC_A和M1。当PAC传到C1后，再由ARP根据其目的IP地址IP_B，找到其要经历的第二个中间节点C2的MAC地址M2，然后再将带有M2的数据包传送到C2。如此类推，直到最后找到带有IP地址为IP_B的B主机的地址MAC_B，最终传送给主机B。在传输过程中，IP_A、IP_B和MAC_A不变，而中间节点的MAC地址通过ARP在不断改变(M1，M2，M3)，直至目的地址MAC_B。 什么是mac!!! 如果你是通过校园网或小区接入Internet，那么一定听说过MAC地址。什么是MAC地址，MAC地址在这种局域网环境中究竟起到什么作用,下面就来介绍一下MAC地址的知识，MAC地址和IP地址的区别以及MAC地址在实际应用中所涉及到的安全问题。 一、基础知识 如今的网络是分层来实现的，就像是搭积木一样，先设计某个特定功能的模块，然后把模块拼起来组成整个网络。局域网也不例外，一般来说，在组网上我们使用的是IEEE802参考模型，从下至上分为:物理层、媒体接入控制层(MAC)，逻辑链路控制层(LLC)。 标识网络中的一台计算机，一般至少有三种方法，最常用的是域名地址、IP地址和MAC地址，分别对应应用层、网络层、物理层。网络管理一般就是在网络层针对IP地址进行管理，但由于一台计算机的IP地址可以由用户自行设定，管理起来相对困难，MAC地址一般不可更改，所以把IP地址同MAC地址组合到一起管理就成为常见的管理方式。 二、什么是MAC地址 MAC地址就是在媒体接入层上使用的地址，也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。MAC地址与网络无关，也即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处，都有相同的MAC地址，它由厂商写在网卡的BIOS里。MAC地址可采用6字节(48比特)或2字节(16比特)这两种中的任意一种。但随着局域网规模越来越大，一般都采用6字节的MAC地址。这个48比特都有其规定的意义，前24位是由生产网卡的厂商向IEEE的厂商地址，目前的价格是1000美元买一个地址块，后24位由厂商自行分配，这样的分配使得世界上任意一个拥有48位MAC地址的网卡都有唯一的标识。另外，2字节的MAC地址不用网卡厂商申请。 MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如:08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的 NTWI7525-01 第 24 页 编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。 三、IP地址与MAC地址的区别 IP地址基于逻辑，比较灵活，不受硬件限制，也容易记忆。MAC地址在一定程度上与硬件一致，基于物理，能够标识具体。这两种地址各有好处，使用时也因条件而采取不同的地址。 MAC地址是固化在网卡上串行EEPROM中的物理地址，通常有48位长。以太网交换机根据某条信息包头中的MAC源地址和MAC目的地址实现包的交换和传递。要搭建局域网，必须学会绑定IP与MAC地址;换了新网卡，必须学会修改MAC地址以应对不能上网的尴尬。不要让MAC地址成为你网上生活的绊脚石呦～ 获取本机的MAC 对于数量不多的几台机器，我们可以这样获取MAC地址:在Windows 98/Me中，依次单击“开始”?“运行” ?输入“winipcfg”?回车。 在Windows 2000/XP中，依次单击“开始”?“运行”?输入“CMD”?回车?输入“ipconfig /all”?回车。对于如何批量获取MAC地址 IP与MAC的捆绑 MAC地址是网卡的惟一标识，这种惟一性恰好给网络管理带来了福音，因为通过捆绑IP和MAC地址，就可以轻松防止局域网中IP地址盗用现象，阻止非法入侵者。 对于动态IP，做一个DHCP服务器来绑定用户网卡MAC地址和IP地址，然后再根据不同IP设定权限;对于静态IP，如果用三层交换机的话，你可以在交换机的每个端口上做IP地址的限定，这样如果改变某台客户端的IP地址，这台PC也就不能连通网络了。 以静态IP地址的绑定为例，实现一下上面的高招吧:假设此时的网卡MAC地址为44-45-53-54-00-00。假设我们在Windows 98操作系统中，启动虚拟DOS后，键入“ARP空格-s空格192.168.0.66空格44-45-53-54-00-00”，回车。这样实现了静态IP地址192.168.0.66与网卡地址为44-45-53-54-00-00的计算机的捆绑，接下来我们看看ARP常用参数表。 特别提示:ARP命令仅在局域网中上网的代理服务器端有用，还要是静态IP地址。如果你是一名网络管理员，就必须对MAC地址和IP的绑定运用自如，这样才能杜绝很多隐患