华三做为核心交换机的,至少在S5500以上,三层功能全部具备。
推荐一下:
H3C S5500-EI系列以太网交换机目前包含如下型号:
• S5500-28C-EI:24 个10/100/1000Base-T以太网端口,4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
• S5500-52C-EI:48 个10/100/1000Base-T以太网端口,4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
• S5500-28C-PWR-EI:24 个10/100/1000Base-T以太网(PoE),4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
• S5500-52C-PWR-EI:48 个10/100/1000Base-T以太网(PoE),4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
• S5500-28F-EI:24 个SFP千兆端口,8 个复用的10/100/1000Base-T以太网端口(Combo),两个扩展槽位;
高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群10GE链路将是我们的未来发展方向。H3C S5500-EI系列交换机支持两个扩展槽位,每个槽位支持最大两端口的10GE扩展模块及两端口的CX4扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
IPv4到IPv6的演变是以太网发展的大势所趋,网络设备对于IPv6的支持不仅是简单的可用就行,而是需要达到商用的标准,S5500-EI已经通过了国际最权威的IPv6 Ready第二阶段认证,而且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台,支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制,实现IPv4到IPv6的平滑升级。
智能d性架构
H3C S5500-EI系列交换机支持IRF2(第二代智能d性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处:
• 简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能d性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
• 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
• d性扩展 可以按照用户需求实现d性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。
• 高可靠 IRF的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。
• 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
完备的安全控制策略
H3C S5500-EI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3C S5500-EI交换机支持集中式MAC地址认证、8021x认证、PORTAL认证,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发;支持配合H3C公司的CAMS系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。
H3C S5500-EI系列交换机提供增强的ACL控制逻辑,支持超大容量的入端口和出端口ACL,并且支持基于VLAN的ACL下发,在简化用户配置过程的同时,避免了ACL资源的浪费。另外,S5500-EI系列还将支持单播反向路径查找技术(uRPF),原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。
H3C S5500-EI交换机支持端口隔离功能,即便是在同一VLAN内,也可以实现端口之间的隔离,从而避免广播风暴和病毒在VLAN内地扩散从而影响所有端口。支持MAC地址学习限制和安全MAC地址功能,可以保证只有真正的业务主机才能够接入网络,而其他新接入主机即使连接到交换机上也无法获取地址并连通网络。
多重可靠性保护
S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持冗余电源,其中S5500-28F-EI支持可插拔的冗余电源模块,也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块,此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。
除了设备级可靠性以外,还支持丰富的链路可靠性以外,还支持丰富的链路可靠性技术,比如华三通信独创的RRPP快速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。
多业务支持能力
支持PoE(Power over Ethernet)技术,通过以太网对所连接的设备(如IP Phone, Wireless AP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN技术,交换机通过识别端口的语音流,将对应的接入端口加入Voice VLAN(专用语音VLAN)中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性,只允许语音流量通过,可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。
H3C S5500-EI系列交换机支持MCE功能,可以有效解决多网络带来的用户数据安全与网络成本之间的矛盾,它使用CE设备本身的VLAN接口编号与网络内的进行绑定,并为每个创建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同的报文转发路径,而且通过与PE间的配合,也能够将每个的路由正确发布至对端PE,保证报文在公网内的传输。
丰富的QoS策略
H3C S5500-EI系列交换机支持支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR三种模式。支持CAR(Committed Access Rate)功能。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。
出色的管理性
H3C S5500-EI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMP,使设备管理更方便,并且支持SSH20等加密方式,使得管理更加安全。
H3C S5500-EI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。该系列交换机还支持sFlow功能,可以对出入方向的报文按比例随机抽样,灵活实现报文采集。
S5800交换机:
H3C S5800系列交换机
S5800系列机箱式交换机支持H3C创新的IRF2(Intelligent Resilient Framework 2,第二代智能d性架构)技术,用户可以将多台S5800交换机连接,形成一个逻辑上的独立实体,从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。包括以下型号:
• S5800-60C-PWR:48个10/100/1000Base-T以太网端口(中功率PoE),4个100/1000 M SFP端口,3个业务插槽;
• S5800-56C-PWR:48个10/100/1000Base-T以太网端口(中功率PoE),4个1/10G SFP+端口,1个业务插槽;
• S5800-56C:48个10/100/1000Base-T以太网端口,4个1/10G SFP+端口,1个业务插槽;
• S5800-32C-PWR:24个10/100/1000Base-T以太网端口(中功率PoE),4个1/10G SFP+端口,1个业务插槽;
• S5800-32C:24个10/100/1000Base-T以太网端口,4个1/10G SFP+端口,1个业务插槽;
• S5800-32F:24个100/1000M SFP端口,4个1/10G SFP+端口,1个业务插槽。
其实我推荐最好用S7503E-S,有三个业务插槽,可以先上一块24口业务板,价格跟S5800差不多。如果能用机框式设备最好不要考虑盒式设备。
H3C S7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5 *** 作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能d性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLS 、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。H3C S7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
H3C S7500E系列包括S7510E(12槽)、S7506E(8槽)、S7506E-V(垂直8槽)、H3C S7506E-S(8槽)、S7503E(5槽)、7503E-S(3槽)和S7502E(4槽)7款产品,除了7503E-S所有产品均支持冗余主控。H3C S7500E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。
丰富的业务,适应融合业务网络发展趋势
基于IRF2(第二代智能d性架构)技术的虚拟化架构
H3C S7500E面向数据中心技术的演进,推出了IRF2为代表的软件虚拟化技术,提供多台主机的协同工作、统一管理和不间断维护功能;IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2所提供的高可靠性和无缝升级、扩展能力,也成为H3C用户增值服务的重要组成部分。
全面的MPLS、VPLS业务能力
H3C S7500E所有产品均支持Multi-VRF特性,可以作为MCE设备使用;支持三层的MPLS 和二层的MPLS (Martini、Kompella);支持MPLS OAM特性,方便用户的管理和维护;与H3C MPLS Manager配合,实现图形化的MPLS部署与维护。
全面支持VPLS,VLL,支持1K VPLS实例,4K VLL,还支持分层VPLS以及QINQ+VPLS接入方式,提供端到端2层接入方案,支持MPLS/VPLS全线速转发,满足VPLS规模部署要求。
高性能IPv4/IPv6业务能力
H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证,是成熟商用的IPv6产品。
有线无线一体化,有源无源一体化
H3C S7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3C S7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;H3C S7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
EAD端点准入防护技术
H3C S7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
全方位的安全保障,抵御多种网络安全威胁
三平面安全保障机制
H3C S7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSH V2,基于8021x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。
有线无线全面支持EAD
H3C S7500E是EAD端点准入防御解决方案的重要组成部分,S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。
增强的ACL特性
H3C S7500E系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,满足金融等行业访问权限严格控制的需求。
电信级的高可靠性,保障用户业务长期稳定运行
电信级高可靠性设计
H3C S7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E系列可以在恶劣的环境下长时间稳定运行,达到99999%的电信级可靠性。
多业务高可靠性运行
H3C S7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E可以在承载多业务的情况下不间断运行,实现业务的永续。
基于IRF2架构的HA
IRF2技术可以把多台S7500E虚拟成一个“联合设备”,使用和配置都如同一台机器,而且扩展端口数量和交换能力,同时也通过多台设备之间的互相备份增强了设备的可靠性,提供毫秒级的链路收敛能力。简化了管理过程,降低管理成本,并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制,实现毫秒级链路故障检测。
你那问题应该是属于一个城域网的问题了。我给你找了一篇资料,你看有没有用。城域网多业务承载的优化探讨
随着骨干网层面多业务承载的讨论尘埃落定,各大运营商采用了单独建网或者单,/多业务网承载方案解决了多业务在骨干网层面的承载问题。城域网作为骨干网络的延伸,是业务的接入和汇聚的平台,是下一代网络落地的关键点,是运营商业务收入的主要来源,因此城域网的多业务承载将成为下一阶段各运营商网络优化和改造工作的重点。
城域网多业务承载也可以采用和骨干网多业务承载类似的策略,即单独建网业务或者单一的多业务网。但是相比骨干网,城域网建设有其独特的特点:城域网的投入大,变化快、技术多,设备杂,而且城域网的运维能力受限,基于以上考虑,城域网单独组网进行多业务的承载不会成为主流的城域网建设方式。
当前尸城域网按照组网的设备可分为以高速路由器为主的路由型城域网和以高速3层交换机为主的交换型城域网两类。现网中普遍存在问题有以下三点:
(1)二层交换网络大,网络结构复杂,层次过多,QOS支持能力较弱,网络故障恢复慢,不能满足将来的业务在QoS和可靠性方面的要求。
(2)城域网核心没有设置QoS策略,无法提供差异化服务,目前的城域网还是一个不可控制、不可管理、不能保障服务质量的网络。带宽的增长永远无法满足用户需求和业务的要求,而且由于不具备对用户和业务的智能,往往不能提高用户和业务的服务质量差分,和精细化的控制,造成网络价值难以体现,带宽和收入不成比例。
(3)旁挂式BRAs带来的网络可靠性低、效率低、端口浪费、制约带宽等种种问题。
为了解决现在JP城域网的问题,必须对现有城域网络进行合理的规划和优化,制定合适多业务承载能力的下一代IP城域网。
城域网优化思路
总体思路
城域网优化改造应以业务为导向,充分满足未来语音、视频、数据和企业互联业务的发展需要,做好网络长远规划。在实施中,应结合网络实际情况,分布实施,平滑演进,做好远期和近期的结合,充分保护现有投资,提高投资效益。
城域网的优化可以从一下几个关键点入手:
1、城域网核心优化
2、城域网宽带优化
3、城域网安全优化
4、用户管理优化
5、认证/计费优化
优化目标
优化后的目标城域网,在功能上应达到:具备差异化服务能力,能够提供不同的服务等级;具备承载下一代语音网络(IMs或者软交换)的能力,具备商用规模的组播能力,支持组播类IPTV业务的开展;具备多种接入方式的二、三层业务能力,能够实现物理或虚拟企业互联;具备网络层防攻击能力,实现城域网安全防护;具备业务的智能,实现对城域网业务的精细控制。
多业务城域网改造思路
城域网二三层网络分离后,网络层次划分为城域骨干网与宽带接入网两个层面。
城域骨干网是多业务网关及以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务层两层。核心层由核心路由器组成,负责进行多业务网关汇接和城域网出口汇聚。业务层主要由BF~AS与多业务路由器(MSR)两种多业务网关组成。
宽带接入网是城域骨干网多业务网关以下、用户CPE以上的二层接入网络,结构上划分为汇聚层和接入层。汇聚层网络由以太汇聚交换机和MSTP/BPB设备组成,并可级联组网。接入层包含xDSL接入点(DSLAM)和LAN接入点(园区交换机),以及接入点到用户CPE之间的设备和线缆,包括楼道交换机、五类线等。
城域核心优化
城域骨干网核心层由核心路由器组成。大型以上城域网允许存在两级核心:出口核心和普通核心,并在两级核心重合处,由出口核心路由器兼做普通核心路由器,实现多业务网关的汇接功能。中、小型城域网可仅设单级核心,出口核心路由器同时兼做普通核心路由器。
多业务网关的布放应以综合成本最低为原则,综合考虑光纤、传输资源条件和宽带用户数量,相对集中布放BPAS和MSR,覆盖至有足够业务需求的端局。
城域宽带接入优化
宽带接入网建设应综合考虑业务需求、所采用技术的成熟度和设备价格等方面的因素,采用以太网和MSTP/RPR作为宽带接入网汇聚层基本组网技术。
以太汇聚网由汇聚交换机或多级汇聚交换机级联组成,随着业务发展,交换机级联数应尽量减少。网络拓扑采用树形物理结构,原则上不启用生成树协议(sTP),可采用多链路绑定技术实现链路保护和容量扩容。
MSTP/RPR主要用于提供2M及2M以上大客户接入、高安全等级和独占带宽的业务,以及在光纤资源缺乏,带宽需求不大的区域和节点,用于实现DSLAM或以太交换机FE链路的透传和汇聚。MSTP的建设应充分利用现有资源,优先考虑在现有SDH设备上增加MSTP板卡实现。新建MSTP网络建议优先采用数据功能较强的设备。如有需要,可采用环形保护技术为重要的大客户提供保护。待技术成熟后,RPR可由MSTP设备内置实现,也可采用纯RPR设备组网。
DSLAM的布放应考虑到未来业务发展需求,综合考虑地理结构、线缆情况等因素,尽量靠近用户设置,原则上不允许级联。新增DSLAM优先选择支持GE端口的设备;802,1p和组播IGMP snoopmg功能。ATM内核DSLAM原则上不再扩容。同时,加快ADSL2-t-等能提供更高带宽的xDSL接入技术的应用。
新增园区交换机必须实现基于VLAN的QoS控制功能。在园区交换机采用双链路上行的条件下,优先采用多链路绑定技术实现链路保护和容量扩容。
在具备光纤资源的地区,允许重要的大客户通过光纤直接接入MSR。
网络安全优化
在多业务网关上采用uRPF、ACL、SESSION数量控制等技术构筑网络安全边界,抵御各种攻击进入城域骨干网。
在多业务网关和接入点上针对用户的双向流量做上下行限速;多业务网关应具备支持基于标准五元组,接入点应具备支持MAC地址(包括目的和源地址)的访问控制策略手段。
用户管理优化
城域网的用户管理由多业务网关(BBAS和MSR)配合Radius完成。管理系统应具备:
(1)用户名、地址等属性的绑定;
(2)限制用户恶意申请,P地址;
(3)通过限制一个用户拨号的次数和拨号速度,防止用户恶意发起PPP扫描方式的拨号攻击;
(4)通过限制TCP连接Sessions数,防止用户作非法代理等功能。
认证/计费优化
多业务网关结合Radius Server、Portal Server、各种后台数据库共同实现拨号用户的集中认证。
两种认证方式并存—PPPoE、DHCP+WEB
(1)具备根据时长、流量(区分QoS等级)计费能力。
(2)具备通过用户预付费方式或与用户宽带上网账号绑定方式进行互联网应用计费。
(3)具备针对业务网计费能力一业务网是指用户在互联网连接之外的业务,如NGN、视频会议。
(4)具备与用户签订SLA能力。
QOS基本QoS
城域网应通过合理规划网络结构、配置网络带宽,保持网络稳定性,提供基本的QoS保证。
城域骨干网以基于Diffserv为主的QoS技术(业务分类、标记、流量控制等机制)提供突发拥塞时qoS保证。由城域网多业务网关根据物理端口、逻辑子端口(VLANID等)或CoS位完成对城域网接入用户的分类和三层QoS标记(DSCP或EX),及上行流量的速率限制和下行流量的限速、整形。BRAS、 MSR多业务路由器和路由器采用带有优先队列的加权轮循,配合WRED丢弃机制实现基于QoS等级的JP包转发。
宽带接入网以基于8021P为主的QoS技术提供突发拥塞时的Q。s保证,提供至少两个等级的服务。由DSLAM与园区交换机根据VLAN完成不同用户与业务的CoS分类和标记;汇聚交换机和MSTP接入设备再根据内层VLAN的CoS标记直接映射成外层VLAN的CoS。由DSLAM和汇聚交换机分别对xDSL和LAN接入用户的上行流量进行速率限制。
网络智能
除了基本的QoS保证外,城域网也应该具备一定的业务智能,这种业务智能通过深层分组检测,结合基于特征的分析,可以感知网络中的各种应用(BT,skype等),并具备对这些业务进行总量或者每用户带宽精细控制的能力。初期,这种网络智能可以在城域网出口实现,随着流量规模的增加,这种控制功能也可以分散到城域网的各业务控制点实现。
技术成熟后,可采用基于COPS协议的Portal业务管理和QoS策略管理,实现和基本QoS机制以及网络智能的联动,保证业务的快速开展和精细有效的控制。
多业务承载实现
互联网接入业务实现
互联网接入业务分为公众用户互联网接入业务和大客户互联网专线接入业务。
公众用户互联网接入业务包括拨号接入和中小企业客户专线接入两种类型。其中,拨号接入业务采用动态JP地址分配方式,专线接入业务采用固定尸地址分配方式。
大客户互联网专线接入业务只有专线接入一种接入形式,用户接入采用直接接入MSTP/BPR、以太汇聚网或光纤直接接入MSR实现。
企业互联业务实现
城域网提供MPLS 与MSTP专线/专网两种技术实现企业互联业务。
由城域骨干网承载的基于MPLS技术的企业互联业务,为普通企业提供二三层虚拟连接。MPLS 可采用LAN、XDSL、MSTP等多种方式接入PE,FE由多业务网关实现。
IPTV业务实现
城域网应具备承载IPTV业务的能力,包括为IPTV业务提供组播支持、网络带宽和Qos保证的能力。IPTV业务的实现分为两阶段:
第一阶段为少量用户阶段。优先为IPTV独立终端分配公有地址,通过划分专用逻辑通道,在接入点进行QoS标记,通过8021P等技术提供接入层QoS保证。通过静态组加入配置将所有组播流量推送到BRAS,BRAS通过PPPoE对用户进行组播复制,BRAS必须支持IGMP快速离开机制(]GMP fast leave)和组播组访问控制功能。由于PPP是一个点对点的协议,组播流量会复制到每一个组播接收用户的PPP会话,因此对BRAS的下行端口以及用户PPP流量途径的汇接层交换机和DSLAM对会产生巨大的带宽压力。
第二阶段为密集用户阶段。IPTV可与其它业务共用一个逻辑通道,由用户CPE设备进行QoS标记,8021P技术提供接入层QoS保证;也可继续采用专用逻辑逻辑通道方式。用户采用DHCP进行认证,由MSR作为多业务网关,负责对IPTV接入进行控制。MSR需要具备DHCPServer、PIM、]GMP。BRAS/MSR和DSLAM/园区交换机之间的二层汇聚网络为组播业务提供专用VLAN,组播包由BRAS向接入点逐级复制,并最终由接入点实现面向用户的组播复制。沿途的交换机和DSLAM设备上需要开启IGMP Snooping功能。
软交换业务实现
城域网应具备承载软交换业务的能力,包括为各种软交换设备(包括33、AG等)提供接入,以及为软交换网络提供QoS保证和安全防护的能力。
3S、AG、TG和大客户lAD通过专线直接接入城域网接入设备,组成封闭的MPLS 专网/或者其它形式的封闭网络,并根据物理或逻辑接入端口实现QoS的分类和标记。
散户lAD与软终端用户通过公网接入,需通过申请成为训P用户得到QoS保证。
为防止黑客利用散户lAD与Pc软终端对运营商的ss、AG、下G的攻击,可在城域网内放置SBC(会话边界控制)设备,主要作为软交换业务的信令防火墙、私网用户的穿越代理,同时作为软交换网络与城域网的代理网关设备。考虑到SBC设备的处理能力,建议公网用户间的媒体流可以直接互通,SBC只承载软交换公网用户的所有信令流与公私网用户间互访的媒体流。
还有一篇文章,我给你个连接地址,你去看看。:>DoS(Denial of Service,拒绝服务)是一种利用大量的虚拟信息流耗尽目标主机的资源,目标主机被迫全力处理虚假信息流,从而使合法用户无法得到服务响应的网络攻击。
一般而言手工方式防护DDOS主要通过两种形式: 系统优化――主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDOS进行防护。 网络追查――遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是ISP、IDC等,目的就是为了弄清楚攻击源头。 322 退让策略 为了抵抗DDOS攻击,客户可能会通过购买硬件的方式来提高系统抗DDOS的能力。但是这种退让策略的效果并不好,一方面由于这种方式的性价比过低,另一方面,黑客提高供给流量之后,这种方法往往失效,所以不能从根本意义上防护DDoS攻击。 323 路由器 通过路由器,我们可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDOS攻击采用的是常用的一些合法协议,比如>
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)