传统二层网络技术(精选6篇)
传统二层网络技术 篇1
摘要:文章分析了河北联合大学冀唐学院的实际网络需求。在原有网络基础上,采用VLan透传技术,将宿舍区域VLan连接至联通BAS,将学院的传统三层网络结构与ISP的大二层城域网有机结合,形成了一种新型网络结构。实现了丰富学生课余生活和补充知识的需求。
关键词:传统三层,大二层,VLan透传
在信息化飞速发展的今天,网络已经成为高校学生日常生活中必不可少的一部分,发挥着丰富学生课余生活、补充学生知识的重要作用。但是受到建设资金、技术手段的限制,高校一般都需与ISP合作对学生宿舍网络进行建设。高校与ISP合作建设网络的过程中,存在着诸多问题。
1 存在的问题
1.1用户数量多,原有网络出口带宽明显不足。河北联合大学冀唐学院校园网络始建于2008年,原有网络出口带宽100M,主要供计算机机房教学以及日常办公用,共有学生1000多人,课余时间上网需求通过开放计算机机房即可解决。学院经过了近几年的发展,学生人数激增到了8000多人,课余时间开放计算机机房已经不能满足学生对于网络的需求。通过有条件的开放宿舍网络可缓解这一问题,但由于出口带宽不足,对宿舍网络的下载、视频等P2P应用做了硬性限制,导致学生上网体验差 ;
1.2如果完全由ISP运营宿舍网络。由于访问权限等问题,很多校内资源(例如数字图书馆、校内公告、选课系统等)只对校园私有IP开放,导致使用运营商账号的学生对很多资源无法访问。如何解决这一问题,是校方与运营商合作时必须要考虑的问题。
针对以上问题,笔者进行了研究,并通过与唐山网通丰南分公司合作,完成了网络部署。
2 主要网络结构和技术
2.1 传统三层网络
传统三层网络采用层次化设计,分为核心层、汇聚层、接入层。此种网络结构具有以下优点 :
(1)网络结构清晰,如果出现故障能快速定位,及时维修。并且便于日后扩容 ;
(2)网络安全性高。传统三层网络通信的特点是二层隔离,三层联通。如果发生网络故障(如广播风暴等),可将问题控制在一个VLan内,不影响其他用户 ;
(3)链路震荡时间短。汇聚层与核心层之间采用OSPF协议互联,相对STP协议收敛速度快,震荡时间短 ;
(4)负载分担性强。汇聚层交换机承担了大部分策略应用,核心层交换机只做交换用,降低了核心层交换机的负担,提高了交换速率。
2.2 大二层网络
大二层网络即符合扁平化架构、支持大规模虚拟化的二层网络结构。本文的大二层网络是指高校宿舍与ISP机房之间的扁平化网络架构,是针对一般高校的传统三层结构而言的。与ISP直接互联的大二层网络具有以下优点 :
(1)网络结构 简单。与ISP的bas(Broadband Access Server,宽带接入服务器)互联,直接接入城域网,不必受学校网络拓扑的限制 ;
(2)带宽资源充足。使用单独出口,不会其他用户(如机房、办公室等)抢占带宽资源 ;
2.3、主要技术
本方案采用VLan透传作为核心技术,并对网络拓扑结构做出了相应调整。
下面举例说明 :如果一个ip数据S,要通过一个入口为A,出口为B的二层网络。当S到达A时,A按照二层格式在S的包头前在封装一个二层标签,在整个网络中按照二层方式传输。到达B时,将封装拆除,还原S成原本的ip结构。对于S来说,整个A到B的网络是透明的,这就是VLan透传。
3 网络需求
3.1 实现方案
为了满足上述网络需求,笔者与唐山联通公司技术人员设计了以下方案 :
1、将上网行为管理设备作为网络出口 ;
2、在核心层交换机与上网行为管理设备之间增加一台汇聚设备,此设备与核心交换机之间采用OSPF方式连接,与宿舍楼的汇聚层交换机之间采用干道方式连接,将广播区域控制在此汇聚交换机内,连接方式如图1所示,虚线为测试线路。
3、设备选型 :(1)目前宿舍楼汇聚交换机共使用13台,以4000用户、每人2M带宽为例,拟增加汇聚交换机的吞吐量为16G。考虑到用户量的不断增加,新增的交换设备采用锐捷M7600-24SFP/8GT。
此设备拥有24个SFP千兆通用接口和8个复用10/100/1000M自适应电口线卡。(2)上网行为管理采用网康ICG设备。
4 测试过程 :选用网络情况较好的304A 宿舍楼进行测试
(1)将核心交换机(RG8606)的6口改为电口、干道模式,通过AC接入网通光纤。
(2)将核心交换机(RG8606)的20口和304A汇聚1(C3560G)的25口设为干道端口 (switchport mode trunk)。
(3)将Vlan 633(原属304A汇聚1交换机)加入网通BAS设备。
(4)在304A一层弱电间用笔记本接入接入交换机1进行测试。
(5)从所有宿舍楼的13台汇聚设备中分别选出1到2个Vlan,将这些Vlan按上述测试方法接入PPPo E后,为每个Vlan分配2到3个账号,让用户进行2到3周的分时段的不同情况的测试。
测试结果 :用户拨号前(连接PPPo E前),可访问校内资源,所获取IP地址为校园私有IP地址 ;拨号后所获取IP地址为联通分配IP地址,可访问互联网也可访问校内资源。
5 结束语
此种方案达到了预期目标,目前已正式运行,运行情况良好。但是也有缺点,例如一旦发生广播风暴,虽然能可控制在宿舍区域,但影响范围依然较大。在应用过程中还需要做进一步的调整和改进。
二层网络与三层网络的对比 篇2
互联网技术在中国的起步较晚, 但是中国政府正是意识到这一缺点, 才下大力气推动国内计算机网络技术的研发工作, 今年来, 我国的互联网技术取得了突飞猛进的发展, 迄今为止, 我国的网络技术已位居世界的前列。当今社会, 我们的生活方式已经被互联网所改变, 这一技术甚至已经改变了整个社会的发展的进程。据科学统计, 截止到2011年底, 我国的网民数量已经突破了五亿大关, 平均三个人中就有一人使用互联网。
在这期间, 网络结构也有了重大变化。
按照物理拓扑结构分类, 网络结构经历了[1]总线型、环型、星型、树型、混合型等结构。
按照逻辑拓扑结构分类, 网络结构经历了二层网络架构、三层网络架构以及最近兴起的大二层网络架构。
传统的数据交换都是在OSI参考模型的数据链路层发生的, 也就是按照MAC地址进行寻址并进行数据转发, 并建立和维护一个MAC地址表, 用来记录接收到的数据包中的MAC地址及其所对应的端口。此种类型的网络均为小范围的二层网络。
二层网络的工作流程:
(1) 数据包接收:首先交换机接收某端口中传输过来的数据包, 并对该数据包的源文件进行解析, 获取其源MAC地址, 确定发放源数据包主机的接入端口;
(2) 传输数据包到目的MAC地址:首先判断目的MAC地址是否存在, 如果交换机所存储的MAC地址表中有此MAC地址所对应的端口, 那么直接将数据包发送给这个端口;如果在交换机存储列表中找不到对应的目的MAC地址, 交换机则会对数据包进行全端口广播, 直至收到目的设备的回应, 交换机通过此次广播学习、记忆并建立目的MAC地址和目的端口的对应关系, 以备以后快速建立与该目的设备的联系;
(3) 如果交换机所存储的MAC地址表中没有此地址, 就会将数据包广播发送到所有端口上, 当目的终端给出回应时, 交换机又学习到了一个新的MAC地址与端口的对应关系, 并存储在自身的MAC地址表中。当下次发送数据的时候就可以直接发送到这个端口而非广播发送了。
以上就是交换机将一个MAC地址添加到列表的流程, 该过程循环往复, 交换机就能够对整个网络中存在的MAC地址进行记忆并添加到地址列表, 这就是二层 (OSI二层) 交换机对MAC地址进行建立、维护的全过程。
从上述过程不难看出, 传统的二层网络结构模式虽然运行简便但在很大程度上限制了网络规模的扩大, 由于传统网络结构中采用的是广播的方式来实现数据的传输, 极易形成广播风暴, 进而造成网络的瘫痪[2]。这就是各个计算机研究机构所面临的“二层网络存在的天然瓶颈”, 由于该瓶颈的存在, 使得大规模的数据传输和资源共享难以实现, 基于传统的二层网络结构也很难实现局域网络规模化。
为了适应大规模网络的产生于发展, 基于分层、简化的思想, 三层网络模式被成功设计推出。三层网络架构的基本思想就是将大规模、较复杂的网络进行分层次分模块处理, 为每个模块指定对应的功能, 各司其职, 互不干扰, 大大提高了数据传输的速率。
三层网络结构的设计, 顾名思义, 具有三个层次:核心层、汇聚层、接入层。下面将对三个层次的作用分别进行说明。
核心层:在互联网中承载着网络服务器与各应用端口间的传输功能, 是整个网络的支撑脊梁和数据传输通道, 重要性不言而喻。因此, 网络对于核心层要求极高, 核心层必须具备数据存储的高安全性, 数据传输的高效性和可靠性, 对数据错误的高容错性, 以及数据管理方面的便捷性和高适应性等性能。在核心层搭建中, 设备的采购必须严格按需采购, 满足上述功能需求, 这就对交换机的带宽以及数据承载能力提出了更高的要求, 因为核心层一旦堵塞将造成大面积网络瘫痪, 因此必须配备高性能的数据冗余转接设备和防止负载过剩的均衡过剩负载的设备, 以降低各核心层交换机所需承载的数据量, 以保障网络高速、安全的运转。
汇聚层:连接网络的核心层和各个接入的应用层, 在两层之间承担“媒介传输”的作用。每个应用接入都经过汇聚层进行数据处理, 再与核心层进行有效的连接, 通过汇聚层的有效整合对核心层的荷载量进行降低。根据汇聚层的作用要求, 汇聚层应该具备以下功能:实施安全功能、工作组整体接入功能、虚拟网络过滤功能等。因此, 汇聚层中设备的采购必须具备三层网络的接入交换功能, 同时支持虚拟网络的创建功能, 从而实现不同网络间的数据隔离安全, 能够将大型网络进行分段划分, 化繁为简。
接入层:接入层的面向对象主要是终端客户, 为终端客户提供接入功能, 区别于核心层和汇聚层提供各种策略的功能。接入层的主要功能是规划同一网段中的工作站个数, 提高各接入终端的带宽。在搭建网络架构时, 既要考虑网络的综合实用性, 也要考虑经济效益, 因此在接入层设备采购时可以选择数据链路层中较低端的交换机, 而不是越高端越昂贵越好。
随着近年来互联网的应用规模急剧扩张, 对数据传输的要求也越来越高, 基于数据整合的云计算技术逐渐受到人们的关注。计算机网络作为当今社会各种信息的传输媒介, 其组成架构也即将发生重大变革。鉴于传统三层网络VLan隔离以及STP收敛上的缺陷, 传统网络结构急需打破。现有研究机构开始致力于新型高效网络架构的研发与探索, 结合早期的扁平化架构的原有二层网络与现有三层网络的优缺点提出了大二层网络架构。
参考文献
[1]何汉军.运营商WLAN宽带接入方案设计与工程实践[D].北京邮电大学, 2012.
二层MPLS VPN技术与部署 篇3
由IETF提出的基于IP网络的MPLS (Multiprotocol Label Switching,多协议标签交换)是一种在开放的通信网上利用标签引导数据高速、高效传输的技术。传统的IP数据转发是基于逐跳式的,即每个转发数据的路由设备都要根据IP包头的目的地址查找路由表来获得下一跳转发路径。在网络无限膨胀的时代,这显然是繁琐又低效率的工作步骤,且无法实现数据分组端到端的QoS (服务质量)保证能力;而面向连接的协议,如帧中继等,则预先建立一条固定的虚电路连接路径上的各个节点,同时在干线网络上可以先为其预留资源,从而提供QoS保证。对照ATM、帧中继等面向连接协议所提供良好QoS保证的能力,非面向连接的IP网络存在明显不足。
在无连接的网络中引入面向连接的QoS保证机制促使了MPLS的产生,与面向连接协议的结合对IP网络发展具有重要意义。MPLS使用标签交换技术,网络路由器只需要判别标签后即可进行转发处理,这降低了网络对于数据分组转发的复杂性,提高了IP业务流转发效率,MPLS很好的兼容现有各种主流网络技术,可在提供IP业务的同时确保QoS和安全性。因此MPLS的重要优势是能够在一个无连接的网络中引入连接模式的特性,服务提供商应用MPLS技术,能够提供传统IP路由技术所难以支持的要求保证QoS的业务,包括各种新兴的增值业务,可有效的实施流量工程,进而实现扩展和完善更高等级的基础服务。
MPLS技术具有以下主要特点:
(1)基于单一的转发机制,可在同一网内同时支持多种业务类型的转发。
(2)通过固定字长的标签,采用精确匹配寻径方式取代传统路由设备的最长匹配寻径方式。
(3)通过集成链路层厂(ATM、帧中继等)与网络层路由技术,较好的解决了Internet扩展、保证IP QoS等问题。
(4)利用显式路由PTCR功能同时通过带有QoS参数的信令协议建立受限标签交换路径(CR-LSP),因而能够有效的实施流量工程。
MPLS VPN是指基于MPLS技术开通的VPN,主要组成如图1所示,其中的设备主要包括用户侧和服务商侧两类。用户侧设备主要有用户网络边缘设备CE,服务商侧主要有服务商核心P设备与服务商边缘PE设备。MPLS VPN部署包括PE设备和P设备,其中在网络边缘连接客户端的是PE设备,支持MPLS VPN的路由传递和数据封装等功能;而数据分组在网络之间穿越的是P设备,其只需支持MPLS数据包的转发即可。
对于仅运行IP协议、同时希望将路由交给服务提供商来管理的企业客户来说,基于MPLS的三层VPN是非常受欢迎的一种业务,但它并不适用于所有的客户和应用;当客户需要传输非IP协议,或是客户希望能够在网络中控制他们自己的IP路由,客户就会要求服务提供商能够提供类似二层专线或类似ATM/帧中继的服务,此时二层MPLS VPN即为运营商提供了很好的解决方案。二层MPLS VPN解决方案,使运营商网络和客户的VPN网络之间完全独立。也即是说,运营商边缘的PE设备和用户边缘CE设备之间不进行路由交换,运营商只是简单向客户提供一些基于二层的网络功能,运营商的网络和客户的VPN网络完全架构在层叠的网络模型上,从客户的角度看运营商只是提供了一个简单的二层连接。这种透明模式简化了运营商网络的结构和配置管理难度,同时也提供了对客户的多业务支持能力,运营商除了传统的IP业务之外,还可以向客户提供IPv4,IPv6,IPX,DECNet,SNA等业务支持,以及一些传统基于电路业务的仿真,例如帧中继、ATM等,如图2所示。
基于MPLS的二层VPN解决方案在具有传统二层VPN的优势的同时,还继承了当前IP路由技术所具有的速度、灵活性及易于实施等方面的优势。这使服务商在提供基于尽力转发的传统IP业务的同时,可提供基于MPLS的二层VPN,即在同一网络基础设施上对多种服务进行实施,满足多种类业务承载需求。
目前二层MPLS VPN在功能上实现主要包括Martini、Kompella、VPLS.CCC等四种方式,其中前三种在IETF组织内有相关的建议或草案,最后一种则是厂商的私有解决方案。
(1)基于Martini的二层MPLS VPN
Martini草案是基于MPLS的二层VPN,是一种点对点的解决方案。可以支持的二层技术主要有:帧中继、ATM透明信元模式、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务。
由于Martini草案实现简单,VPN的信令用LDP来承载,VPN的站点发现是手工配置的,目前大部分厂商都支持该协议。
(2)基于Kompella的二层MPLS VPN
Kompella草案基于MPLS的二层VPN也是一种点对点的解决方案。Kompella引入了VPN的自动发现机制,在网络初始化时需要对VPN的所有站点进行配置,一旦初始化完成后,只需对新添加的站点进行配置,而不必触及已配置的站点。Kompella的自动发现机制使用BGP作为VC标签分配的信令,整个VPN建立的过程充分地借鉴了L3 MPLS VPN实现的思想,PE之间建立全网状的IBGP会话,相互交换VPN成员信息和VPN能力的协商。
在数据层面上Kompella采用与Martini一样的封装格式,可以支持包括:帧中继、ATM AAL5 CPCS模式、ATM透明信元模式、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务等二层技术。目前包括Juniper、HuaWei等厂商支持该协议。
(3)VPLS (Virtual Private LAN Service,虚拟专用LAN服务)
VPLS有效的结合了以太网技术和MPLS技术的优势,使服务提供商基于IP/MPLS网络可连接地域上隔离的多个由以太网构成的用户LAN,实现了对标准LAN全部功能的仿真,可在IP/MPLS网络拓扑上实现点到点、点到多点、多点到多点的以太网业务。VPLS的优点包括用户网侧使用以太网接口,这简化了LAN/WAN边界,可以支持快速和灵活的服务部署,用户网络的路由策略控制由用户自行管理,简化了服务商网络管理难度等。
VPLS在信令控制层面,使用的信令协议有LDP和BGP/MP-BGP两种.基于LDP协议的信令机制实现较简单,但由于其先天的点到点特性,在大型网络中的业务扩展性较差。基于BGP/MP-BGP协议的信令机制较为复杂,但BGP/MP-BGP协议灵活、功能强大、扩展性好,支持跨越多个自治域网络结构,利用BGP路由反射器即可实现PE自动发现功能。在数据转发层面,VPLS技术通过学习MAC地址形成针对不同VPLS域的FIB表项,并基于MAC地址通过PSN隧道转发数据。一个VPLS域对应于一个企业用户,PE为每一个不同的VPLS域维护一个FIB表项,在维护的FIB表项中,关键是MAC与LSP的严格对应关系,以保证正确的转发数据。
(4) CCC (Circuit Cross Connect,电路交叉连接)
CCC是服务商通过静态配置LSP实现Layer2 VPN的一种方式。CCC只采用一层标记(隧道标记)来传送用户数据,其对LSP为独占式使用,服务商要为用户的每个CCC (两个方向各一条)手动配置两条LSP,这两条LSP只能实现对应配置的CCC连接的数据,不能用于其它L2 VPN的连接。电路交叉连接是可实现在IP网上仿真ATM、帧中继或PPP在IP网中点到点透传的技术,最主要的特点是不需要任何标签信令传递二层VPN信息,只要网络设备能支持MPLS转发即可,具体的业务实现策略配置也较简单。
下面结合北京至广州的具体业务详细分析采用Kompella方式的二层MPLS VPN在部署和实施时需要注意的事项。首先用户业务的具体要求是北京ISP(a)与广州ISP(b)需要实现跨地域IP城域网互联,采用GE接口与服务商互联,建立北京至广州千兆数据业务通道,要求业务承载方式具有较强保障能力,业务总可用度不小于99.99%且网络抖动时延最大范围小于1秒,要能够根据实际业务规模随时调整通道可用带宽。
考虑类似具体业务需求,两地用户实质上就是要求服务商提供一条带宽满足业务需要且可灵活调整,总可用度要求较高但对承载网波动并不十分敏感,适合城域网以太化接口等要求。传统上提供通道传输服务都采用SDH或WDM,在部署有效业务保护机制条件下的SDH具有很强的电信级通道保护能力,小于50ms的环路快速切换保护性能可保障各类敏感业务的持续高可用度,但SDH的结构特性要求使一个SDH环网不能具有无限跨距,横跨广阔地域的大颗粒度业务使SDH的业务实现过于复杂且通道资源开销过大。具有大带宽传输能力的WDM系统本质上是提供点到点传输通道的物理层设备,在实现端到端大颗粒业务时具有优势,但WDM没有自愈能力,缺乏业务保护机制,只能提供有限的接口类型,业务接入灵活度不够,同SDH一样不能对承载的用户业务带宽进行按需调整。
对照SDH、WDM对具体业务适应能力的不足,基于IP/MPLS网络的二层VPN可很好的满足此类业务需求。IP网络的IGP/BG P动态协议机制保障了网络波动时具有快速收敛能力,基于同一的IP基础网络运用MPLS技术对多种VPN业务的承载能力,MPLS/VPN可保证用户业务的有效隔离,可严格区分用户业务及按照约定实施不同的QoS保证。
对比几种二层VPN实现方式,考虑对业务规模扩展的管理便捷要求,结合BGP/MP-BGP灵活、适应性广等特点,在IP网络层采用Kompella模式实现北京一广州端到端GE业务通道。两地PE—CE采用光纤直驱静态互联,两端PE启用MP-BGP协议建立L2 MPLS VPN信令通道,定义路由分辨器值并将用户业务接口关联,将两端PE用户接口配置为本地环路以察看VPN状态是否正常(Up/Down)。
在开通过程中需要注意以下事项:
(1)以太接口下的数据封装有多种选择,要针对业务类型应用,对一般通道型电路业务,通常封装为Ethernet-ccc (以太网电路交叉连接),对应此用户业务的数据封装配置必须严格统一,其他封装类型可视实际情况选择。
(2)PE—CE互联接口的双工匹配参数两端必须严格统一,避免非同一厂家设备互联出现匹配问题造成业务波动。
(3)在IP/MPLS网络中实现用户业务通道的所有物理转发接口MTU值要保证在弹出MPLS标签后不小于1500字节,避免用户应用受到MPLS标签封装及解封装的有关影响。
在此案例中应用Kompella二层MPLS VPN实现策略可完全满足用户业务需求,在业务可用度、IP网络收敛速度、业务隔离度及弹性调整带宽等均可达到设计要求,IP网络的灵活接入与管理便捷更具优势。
从上述案例分析中可以看出,MPLS VPN部署的基本原则首先是满足用户业务需求,同时适应服务提供商IP/MPLS网络对于业务易于配置与管理,适合在单一IP基础设施上具有规模业务扩展能力,可基于每个用户区分业务并提供QoS保障能力,提供高可靠性业务保障能力的同时亦满足增值服务等要求。
综上所述,与传统电信服务所提供的全封闭业务网络不同,无连接的网络与面向连接特性的有效结合,使具备MPLS VPN能力的IP网络可以在封闭与开放之间灵活取舍;封闭可以提高可管理、可运营的能力,开放可以带来更丰富的应用、更广泛的用户群和更廉价的业务。MPLS VPN在服务商网络中的规模部署有效的证明了其在业务承载能力、业务安全保证、极佳的灵活性、IP承载网共享所带来的成本优势等诸多方面都较SDH、WDM等架构的专网具有突出优势,多种类网络业务的承载方式向IP网承载快速迁移是业务扩展的必由之路。
参考文献
[1]MarkLewis.Comparing,Designing, and Deploying VPN.Apr.2006,Cisco Press.
[2]何宝宏田辉.IP虚拟专用网技术(第2版).人民邮电出版社.2008年7月.
传统二层网络技术 篇4
关键词:大二层网络,核心交换机,TRILL域
1增加核心交换机并开启IS-IS路由协议
首先增加一台核心交换机, 并增设一个备用网络出口, 开启了IS-IS路由, 为进一步应用TRILL协议做好底层协议支持。
使用isis 1对isis路由协议进行配置, 进入到其配置终端下。使用Is-level level-1要求此设备只计算区域内路由, 维护level-1的LSDB (Link State Data Base, 链路状态数据库) 。network-entity的作用是在指定端口上使能IS-IS协议。使用interface gigabitethernet 1/0/1进入gigabitethernet 1/0/1接口的配置终端。使用isis enable 1在此端口上使能isis协议。
2规划TRILL域并进行相关配置
只有在全局中可以使用TRILL协议, 在端口上才可能可以使用。
在组建网络和设置中应该避免TRILL的端口被同一VLan的端口使用, 同时又有没有使用的TRILL的端口在这一VLan的端口中。同时也不能EVB和TRILL同时在同一端口上为使能, 而且这两种使能端口所允许通过的VLan列表不能有交集。
下面对TRILL的几种接口类型做出说明。
Access类型:又分为非Alone类型和Alone类型。非Alone类型的端口能够接收和处理本地的数据报文和Hello报文。Alone类型的端口不接收也不处理Hello报文。
Hybrid类型:这种类型的端口具有Access类型和Trunk类型的属性, 能够接受和处理此端口本身的数据报文和经过此端口的数据报文。
Trunk类型:此种类型的端口不能处理本端口的数据报文, 只能处理经过此端口的数据报文。
当网络类型为广播网时, TRILL需要选举DBR:DBR优先级较高的RB优先被选中为DBR;若两个RB的DBR优先级相同, 则MAC地址最大者会被选为DBR。
TRILL端口的链路开销可以有系统自动计算或用户手工配置, 其中手工配置优先, 即:只要进行了手工配置, 就手工配置值;如果没有进行手工配置, 若开启了自动计算功能则自动计算值, 若关闭了自动计算功能则取缺省值2000。
TRILL端口链路开销值自动计算的公式如下:链路开销值=20000000000000÷端口波特率。
配置完链路开销之后需要进行VLan的宣告, 其作用是为了在路由网桥 (RB) 之间传递Hello报文, 指定路由网桥 (Designated Routing Bridge, DRB) 使用已将宣告的所有VLan发送Hello报文。
指定VLan在路由网桥之间 (RB) 交换TRILL报文, 但是不交换Hello报文。如果链路上没有配置指定VLan, 在交换报文的时候, 将使用最小的使能VLan进行交换;如果链路上的指定路由网桥 (DRB) 存在指定VLan, 交换报文的时候将使用指定VLan进行交换。
经过上述配置, 实施了基于TRILL的高校大二层网络的基本配置。使网络具有更高的交换速率和容灾能力。
参考文献
[1]何汉军.运营商WLAN宽带接入方案设计与工程实践[D].北京邮电大学, 2012.
传统二层网络技术 篇5
近几年, 一种应用不确定性推理的方法被提了出来。贝叶斯网是目前不确定知识表达和推理领域最有效的理论模型之一, 适用于不确定性和概率性的知识表达和推理, 特别适用于有条件地依赖多种控制因素的决策。它是一种基于网络结构的有向图解描述, 具有多源信息一致表达与信息融合能力, 能进行双向并行推理, 并能综合先验信息和样本信息, 使推理结果更为准确可信。如果能把贝叶斯网应用在入侵检测中, 将是非常有意义的。
1 基于二层贝叶斯网的网络入侵检测方法
在分析了目前利用贝叶斯网络解决网络入侵问题的困难性基础上, 我们提出一种二层的贝叶斯网络方法来对网络入侵进行检测的方案。该方案首先通过构建一个二层贝叶斯网络来表示入侵检测模型网络的结构, 该二层贝叶斯网络分为网络数据包特征和网络入侵类型两层, 如图1所示。然后再利用入侵数据对该贝叶斯网络的节点发生概率和条件概率进行学习。最后利用学习后的模型对数据进行测试和检测。这样我们有效地简化了入侵检测中贝叶斯网络的构建问题。
二层贝叶斯网络与普通贝叶斯网络的区别是, 在二层贝叶斯网络中顶点集V被划分为两部分F和S, 其中:F是第一层的节点集;S是第二层的节点集。而有向边集E被界定为由顶点集F到S的边, E={e│∨e=f*s, f∈F, s∈S}, 即所有的边都是从第一层到第二层的。
图1中, F={特征1, 特征2, 特征3, 特征4, 特征5}, S={入侵1, 入侵2, 入侵3}。
我们的入侵检测算法流程图具体如图2所示, 首先我们需要对使用tcpdump工具从网络中获得的原始数据包进行预处理和特征提取, 把网络数据处理成连接记录, 然后将连接记录转化成适合贝叶斯网的格式, 以便用来训练和测试。对实际入侵的检测和测试数据相同。
2 基于二层贝叶斯网的网络入侵检测实验
实验数据采用KDD cup (国际知识发现和数据挖掘工具竞赛International Knowledge Discovery and Data Mining Tools Competition) 1999年的竞赛数据作为训练和检测数据, 该数据包含了一个在军用网环境中的多种模拟攻击。模拟攻击 (包括正常请求) 主要分为5大类, 具体描述如表1。
实验程序编写时使用PNL库里的函数。PNL (Probabilistic Network Library) 是用于图模型的工具, 它包含了一些针对贝叶斯网和马尔可夫网 (Markov Network) 的常用高效算法, 例如合树推理算法 (Junction tree inference) 、极大似然算法和期望最大化算法等, 可以广泛地在图模型的应用领域使用, 如计算机视觉、模式识别、数据挖掘等。PNL是Intel公司某小组制作的一个开源代码库, 它由C++实现, 可以用于Windows下的C++和MATLAB。将实验数据中的属性预先处理过以符合程序的输入要求, 实验经数据学习确定贝叶斯网参数, 最后形成的二层贝叶斯网结构如图3。
实验数据使用KDD‘99的10%训练数据实验的训练集, 该数据是从KDD’99的完整训练数据集合里随机抽取出来的。为防止训练过度, 笔者分别将该10%训练数据和KDD‘99提供的测试数据作为实验的两个测试集, 以便对比;为了验证实验对已学知识的检测效果, 又将KDD测试数据中与训练集包含的攻击手段相同的记录挑选出来作为第三个测试集。实际实验中, 训练集 (测试集1) 含494021条记录, 测试集2含311029条记录, 测试集3含292300条记录, 数据中攻击类型的具体分布如表2所示。其中测试集3含正常连接60593条, DoS攻击223298条, Probe攻击2377条, R2L攻击5993条, U2R攻击39条, 除R2L型攻击增长到约10倍外, 它所包含的攻击类型比例与训练集里的分布相近。
笔者用经过训练所得到的贝叶斯网对3个测试集进行测试, 所得到的混淆矩阵 (confusion matrix) 分别如表3、表4和表5所示。表6则表示了3个测试集的检测率、误报率对比。
(%)
3 算法对比分析
为了验证本实验采用的贝叶斯网方法的效果, 笔者根据KDD‘99竞赛的评分标准将实验对测试集2 (KDD’99测试数据) 得出的混淆矩阵进行评分。
KDD‘99竞赛使用基于消耗的评分方式 (cost-based scoring) , 根据一个消耗矩阵 (cost matrix) 来评分, 该矩阵如表7所示。
这个消耗矩阵表示的含义是, 对于某一条记录, 若其实际分类和预测分类符合该矩阵中的某一项, 则该条记录的消耗为该项对应的值。例如, 假设有一条R2L类型的攻击记录, 但是却被误检成了正常连接 (Normal) , 则该条记录的消耗为4。这样一来, 正确预测的记录消耗都为0, 而误检的记录则根据消耗矩阵对应有不同的消耗值, 相当于对不同误检形式的加权。根据这种评分方式, 计算得本实验结果的消耗值为80281, 除以测试集2中的记录数量311029, 得到的平均消耗 (average cost per test example) 为0.2581。笔者从其他文献[5]中找出了一些算法对于KDD‘99测试数据的检测结果, 与本实验结果对比制成表8。
根据表8我们可以看出, 本实验所得的检测率和平均消耗与KDD’99的冠亚军结果还是存在一些差距的, 但差距不是特别大, 而且本实验结果还具有相对其他算法来说非常高的U2R型攻击检测率, 对DoS和R2L型攻击的检测率也是属于偏高的。事实上, 文献中所提到的这些算法, 大多是采用KDD’99的完整训练数据作为训练集的, 而且用了的记录中的全部41个属性来做推断, 相比之下, 本实验只用了10%训练数据, 而且只选取了41个属性中的14个, 就能达到这样的检测效果 (与KDD’99竞赛冠军的平均消耗只差0.025, 在当时的竞赛结果中属于完成得较好的范围) , 说明本文提出的基于贝叶斯网的网络入侵检测方法还是非常有优越性的。
实验结果表明:该方法在只使用10%训练数据和部分记录属性的情况下, 仍然对DoS攻击具有很高的检测率和非常低的误报率, 并且对Probe、U2R和R2L攻击也有较好的检测率, 按照KDD cup 1999的得分测评标准, 属于检测效果比较好的范围。
4 结束语
二层贝叶斯网的检测效果与它所选取的属性节点、使用离散还是连续的变量、离散化标准、采用的拓扑结构、学习算法以及推理算法等是分不开的。通过实验, 笔者初步验证了基于二层贝叶斯网的网络入侵检测方法的有效性和优越性。
参考文献
[1]程胜利, 黄鹏.入侵检测系统研究及其展望[J].武汉理工大学学报 (信息与管理工程版) , 2005 (2) .
[2]唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社, 2002.
[3]彭钢.关于知识推理的几种常用不精确推理模型的探讨[J].广州师院学报 (自然科学版) , 1998 (7) .
[4]STUART J.RUSSELL, PETER NORVIG.Artificial Intelligence:A Mod-ern Approach (Second edition) [M].US:Pearson Education, Prentice Hall, 1995.
传统二层网络技术 篇6
电信运营商信息服务的“基地模式”成为了国内各地区数据中心高速建设的主导引擎。在湖南, 中国移动八大业务基地中举足轻重的“电子商务创新产品基地”, 以云计算为支撑, 强调专业化、绿色、智能的湖南移动互联网数据中心已经建设完毕;而在成都, 作为中国电信在西部地区最大的数据灾备中心也已竣工投产, 面向企业提供新型的IDC服务。
面对这些不断落成的大型数据中心项目, 我们不难发现, 云计算作为其中重要的IT后发优势, 已经被许多地方运营商所采用。
通过“云”这种IT资源重新整合、分配、交付的新型模式, 运营商不但改变了传统IDC的“托管”业务方式, 同时也增加了对数据中心计算资源集群式发展的信心。
一位四川电信运营商技术人士告诉记者:“现阶段, 运营商IDC建设规模不断扩大, 从原来的几千台已经扩展到数万台, 这种计算资源的集群式发展规模的确迎合了许多企业, 尤其是互联网企业日益增长的业务需求, 但这种趋势也在引发数据中心一些新的变化, 比如运营商同一城市中的不同数据中心势必需要整合, 而原本仅限于同一数据中心内部的IT调配, 也将延伸到不同数据中心之间。”
互联网企业也在面临同样的问题, 比如淘宝、百度等国内互联网企业, 尽管其单个数据中心的服务器规模已经达到了数千台, 但依然无法赶上其自身业务的发展速度, 因此跨城域网或广域网的数据中心资源整合已是迫在眉睫。
IDC间互联需要“高速路”
这也就是说, 原本仅限于单一数据中心内部的网络技术将会延伸至IP骨干网领域, 比如浪涌缓存、虚拟局域网络等技术将拥有更加广泛的应用场景。
在以云计算为业务模式的IDC服务中, IP骨干网某种程度上也需要扮演云计算资源下虚拟网络交换的角色。
不过, 前述运营商人士对此也表示, 以目前运营商城域网和广域网的现实条件看, 数据中心互联还存在诸多瓶颈, 首当其冲就是带宽问题。
“IP骨干网在云时代将面临更加紧迫的带宽压力, 一方面是各地方运营商都在积极进行接入网建设, 其接入带宽将从原来的2M升级到最高20M级别, 这对于数据中心的核心路由器无疑是巨大挑战;另一方面, 各大企业的私有云互联、混合云互联也将需要更高级别的无阻塞专线宽带服务。”
据介绍, 目前大型互联网公司的数据中心专线带宽至少在10 G以上, 而一些政府、大型企业以及中小型互联网公司的专线服务也要在100M~1000M之间, 由此, IP骨干网的带宽压力可想而知。
虚拟城域构筑“大二层网络”
除了带宽压力, 数据中心互联也在考验整个城域网或广域网的承载能力。
当运营商作为云服务提供商提供统一化的云服务时, 其计算资源其实是分布在多个不同地理位置的数据中心中, 这必然将涉及不同数据中心的资源调配和数据迁移问题, 此时如何消除地区差异, 实现业务连续性和安全性就显得格外重要。
H3C运营商解决方案部首席分析师涂尧对此也表示, 数据中心互联的关键在于运营商需要充分发挥网络能力, 这其中包括许多关键技术, 比如高速云间互联、跨广域网络虚拟化, 以及云间安全网络防护等等。
从总体角度考虑, 实施这些关键技术的前提是, 运营商需要构建一个能够横跨多个数据中心的大型虚拟局域二层网络, 其目标是让企业客户在不同数据中心交互时就好像是在同一IDC中通信一样, 并对广域网无感知。同时, 这个大二层虚拟网络还要满足虚拟机迁移、计算实时性等高级别的性能要求。
多套技术方案尚未“定稿”
前述运营商技术人士告诉记者:“跨局域网的数据中心互联对于运营商而言, 将是实现云服务转型的关键技术瓶颈, 以目前情况看, 无论是对传输平台还是城域网容量都是巨大挑战, 总而言之, 运营商在这方面还没有形成系统的解决方案。”
这其中, 可靠性成为了运营商反复思量的主要技术指标——实现跨广域网的数据中心互联, 将牵扯到线路冗余问题, 而目前在二层多路径方面, 很多核心网络厂商还在提供一些非标准化的跨设备链路聚合技术, 这将成为后续规模化商用的障碍。而在诸多链路技术中, 以规模商用的以太网技术呼声最高。而对于如何搭建城域内的大二层网络环境, 目前也有VPLS、Mac-in-Mac、VLAN、VLL等多种技术供选择。