智简园区交换机1588技术白皮书
智慧园区网络智能运维技术白皮书
智慧园区网络智能运维技术白皮书摘要网络是数字化的基座,数字化转型带来终端和网络规模的增加、业务模型的多样和复杂,但网络运维的资源和人力,却没有得到同比例的增长。
传统“以设备为中心”的网络运维,无法感知用户和业务体验,被动响应“故障”发生,难以满足数字化转型时代的用户和业务体验保障需求。
这份白皮书描述了“以体验为中心”的园区网络运维理念,以及华为基于大数据和AI 实现园区网络智能运维的解决方案。
华为CampusInsight 园区网络智能分析器,颠覆传统聚焦网络和设备资源状态的监控方式,通过Streaming Telemetry 实时采集网络数据和指标,利用大数据分析、人工智能算法学习网络模型并识别故障模式,帮助运维人员主动发现85%的潜在网络问题,并识别根因和主动修复,打造高品质的园区网络业务体验。
目录摘要 (ii)1背景和挑战 (1)1.1 数字化转型时代 (1)1.2 以设备为中心的“救火式”运维,难以满足数字化空间需求 (1)1.3 “以体验为中心”的网络运维理念 (2)2华为基于AI 的园区网络智能运维解决方案 (4)2.1 相比传统运维方案,网络架构有什么变化 (4)2.2 流程是怎样的 (4)3关键技术 (6)3.1 指标采集/边缘分析——音视频业务指标采集和分析 (6)3.2 秒级的海量数据汇集 (7)3.3 体验可视化管理 (8)3.3.1质量评估体系 (8)3.3.2用户旅程回放 (8)3.4 数据分析——基于大数据分析和机器学习识别故障和根因定位 (9)3.4.1基于故障知识库,对汇集的数据进行关联比对,发现异常 (9)3.4.2基于机器学习构建动态基线,识别潜在故障 (11)3.4.3相关性分析/关联指标分析,寻找根因 (12)4智能运维应用举例 (15)4.1 通过“用户旅程回放”定位历史频繁掉线问题 (15)4.2 “主动运维”及时发现弱信号覆盖问题 (16)4.3 智能运维快速识别“无线网络拥塞”的根因 (18)华为园区网络智能运维技术白皮书目录4.4 “主动运维”发现无线网络干扰源 (20)4.5 “主动运维”发现“高信道利用率”问题,并诊断根因 (21)4.6 智能运维快速检测“AP离线”故障根因 (23)4.7 实时检测IP 电话视频会议质量,并诊断故障原因 (24)4.8 通过KPI 关联分析,检测某用户差体验的问题根因 (26)4.9 通过“协议回放”,诊断某用户的接入失败故障根因 (27)A 缩略语 (30)1 背景和挑战1.1 数字化转型时代我们处在快速的数字化转型时代,包括教育机构、制造工厂、办公大楼、政府机构、医疗机构等行业都在构建数字化空间,从而提升研发、生产和市场效率,并且更好地满足客户期望、提升客户体验。
1588V2技术白皮书
1588v2技术白皮书Prepared by拟制Date 日期Reviewed by审核Date 日期Reviewed by审核Date 日期Approved by批准Date日期Huawei Technologies Co., Ltd.华为技术有限公司All rights reserved版权所有侵权必究目录1背景介绍 (5)1.1同步概述 (5)1.1.1频率同步 (5)1.1.2时间同步 (5)1.1.3时间同步与频率同步的区别 (6)1.2移动承载网络的同步需求 (6)1.2.1不同无线制式对同步的要求 (6)1.2.2现有的时间同步解决方案 (7)1.2.31588v2同步传送方案 (8)21588v2技术介绍 (9)2.11588V2标准介绍 (9)2.21588V2版本新增的特性 (9)2.31588v2协议简介 (9)2.3.1网络节点模型 (9)2.3.21588V2时戳 (14)2.3.31588报文 (15)2.3.4同步实现过程 (23)2.3.5建立主从层次 (23)2.3.6频率同步 (26)2.3.7时间同步 (27)31588v2典型应用场景 (29)3.1全网同步(BC模式) (29)3.2时间透传(TC模式) (30)3.3网络保护 (31)41588v2部署考虑 (32)4.11588V2网络规划 (32)4.2物理拓扑对同步精度的影响 (32)4.3准确度问题 (32)4.4系统实现问题 (33)4.5性能考虑 (33)图1 时间同步与频率同步示意图 (6)图2 现有时间同步解决方案 (7)图3 1588v2同步传送方案 (8)图4 BMC算法示意图 (24)图5 简单主从时钟体系 (25)图6 修剪后的MESH网络拓扑 (25)图7 1588V2频率同步原理 (26)图8 Delay-Req机制测量平均路径延时原理 (27)图9 Pdelay机制测量平均路径延时原理 (28)图10 时间校正 (29)图11 1588v2全网同步应用场景 (29)图12 1588v2时间透传应用场景 (30)图13 1588v2网络保护应用场景 (31)图14 1588v2同步网络架构 (32)表1 不同无线制式对时钟精度的要求 (6)1 背景介绍1.1 同步概述现代通信网络对于同步的需求主要包括频率同步和时间同步两类需求。
智简园区交换机节能技术白皮书
华为智简园区交换机节能技术白皮书摘要本文档针对S 系列交换机设备的节能技术进行说明,通过设置设备进入休眠状态,配置电接口的能效以太网功能和光接口节能来实现节能的目的。
本文档提供了S 系列交换机设备的几种节能方式工作原理和设置节能的方法。
目录摘要.................................................................................................................................................. i i 1节能技术介绍. (1)1.1定义 (1)1.2目的 (1)1.3受益 (1)2原理描述 (2)2.1概述 (2)2.2能效以太网 (3)2.3端口自动休眠 (4)2.4风扇智能调速 (4)2.5激光器自动关断ALS (4)2.6CPU 动态调频技术 (5)2.7AMH (5)3应用 (7)3.1设备休眠节能的典型组网应用 (7)A 缩略语 (9)1 节能技术介绍1.1定义节能技术通过自动检测设备的使用状况,动态控制设备风扇、激光器、接口的功率,从而动态控制设备功率,并且在设备未使用的空闲时间段,设置设备进入休眠状态来达到节能减排的目的。
华为S 系列交换机支持的节能技术包括:风扇智能调速、激光器自动关断ALS、能效以太网EEE、端口自动休眠、设备休眠。
1.2目的目前网络技术迅猛发展,高带宽入户、企业云服务等需求与相关业务不断增长;作为高带宽接入的最便利的接入方式,LAN 接入应用比例越来越多,而且是未来企业网络与楼宇接入网络的主流方式。
当前面临着迫切的节能问题,一方面,网络设备功耗大,24 小时运行,耗电量多,节能成为新的世界性主题。
因此网络设备的节能技术应运而生。
华为多年来一直贯彻节能思想,注重减小对环境的负荷。
在产品开发中,提供多方位的,全面的节能技术,有效降低设备能耗,并延长设备寿命。
智简园区自动化技术白皮书
华为智简园区自动化技术白皮书摘要本文主要介绍华为园区解决方案的自动化技术。
目录摘要 (ii)1概述 (1)1.1 产生背景 (1)1.2 传统部署流程 (1)2解决方案 (4)2.1 基于VXLAN 架构的智简园区自动化方案 (4)2.1.1 VXLAN 架构智简园区自动化部署方案 (4)2.1.1.1 Underlay 网络原理 (4)2.1.1.2 Overlay 网络原理--数据平面 (4)2.1.1.2.1 VXLAN 简介 (4)2.1.1.2.2 VXLAN 关键概念 (5)2.1.1.2.3 数据报文入VXLAN (7)2.1.1.2.4 VXLAN 三层网关部署 (7)2.1.1.2.5 无线漫游 (9)2.1.1.2.6 风暴抑制 (10)2.1.1.3 Overlay 网络原理--控制平面 (10)2.1.1.3.1 BGP-EVPN (10)2.1.1.4 Overlay 网络原理--业务平面 (11)2.1.1.4.1 业务随行 (11)2.1.1.4.2 策略联动 (12)2.1.2 VXLAN 架构智简园区自动化原理 (14)2.1.2.1 Underlay 自动化 (14)2.1.2.2 Overlay 自动化 (14)2.1.2.3 策略自动化 (15)2.2 MSP 自建云部署场景 (16)2.2.1 方案简介 (16)2.2.2 方案原理 (18)华为智简园区自动化技术白皮书目录2.2.2.1 组件说明 (18)2.2.2.2 华为公有云部署场景或MSP 自建云部署场景中组件角色介绍 (18)2.2.2.3 企业自建私有云场景中组件角色介绍 (19)2.2.2.4 工作流程 (20)2.2.2.4.1 自动部署方案的工作流程 (20)2.2.2.4.2 无法访问注册查询中心的工作流程 (22)2.2.2.4.3 设备替换的工作流程 (23)2.2.2.4.4 协议报文说明 (24)2.3 WAN 侧自动化: (24)2.3.1 方案简介 (24)2.3.2 WAN 出口设备的开局自动化: (24)2.3.3 WAN 侧overlay 自动化 (25)2.3.3.1 站点互访业务拓扑设计: (25)2.3.3.2 VPN 设计 (30)3方案优势 (32)3.1 华为智简园区自动化解决方案优势 (32)3.1.1 VXLAN 架构智简园区自动化解决方案 (32)3.2 MSP 自建云解决方案优势 (33)3.3 WAN 侧自动化方案优势 (33)1 概述1.1 产生背景随着网络技术的飞速发展,企业网络规模也在不断扩大,大中企业客户需要管理和维护少则几百台多则上千台的设备,消耗在前期规划和部署阶段的工作,如设备初始安装与配置、设备升级的时间占到整个网络管理运维周期的三分之一甚至更长的时间,而且,这些工作中很大部分都是简单且重复的劳动。
CloudEngine S系列园区交换机介绍
S6730S-S 标准型万兆交换机
搭载可编程芯片,业务随行,iPCA,Netstream,Telemetry,SVF,应用识别,ECA,威胁诱捕,IPv6,NAC,业务口堆叠,上行 40GE端口
CloudEngine S6730-H 产品介绍
Console接口
内置可编程芯片
CPU:4核*1.4GHz
网络层
CloudEngine S系列园区交换机 AirEngine Wi-Fi 6
改变办公
Wi-Fi 6改变企业
Wi-Fi 6时代的自动驾驶管控析平台,iMaster NCE-Campus
建网全自动,使能Wi-Fi 6的业务 规划自动化 · 建网自动化 · 策略自动化
Wi-Fi 6时代的高品质承载网络
上行端口数量
T:千兆电;F:百兆电 P:
D:400G C:100G Q:40G Y:25G X:万兆光 S:千兆光 T:千兆电 TP:Combo口
空:不支持插卡;
C:支持上行插卡
默认无,专用系列 如 M表示 监控,I表示 宽温一体机 A:AC电源 D:-48V电源 ; 可插卡电源此位为空
CloudEngine S6730系列交换机 产品概览
高突发丢包智简园区打造wifi6时代的高品质园区网络wifi6改变企业wifi6时代的自动驾驶管控析平台imasterncecampus源自华为5g的airenginewifi6打造全无线园区开放的行业应用开发平台sdkapi管理控制分析telemetrynetconfyangcloudengines系列园区交换机airenginewifi客流分析电子书包健康管理智慧办公网络层wifi6时代的高品质承载网络一根光电混合缆接入全万兆释放wifi6的速度multige交换机高密25ge盒式交换机100g核心构建wifi6超宽通道全无线融合策略管理高达10kap50k用户并发满足wifi6时代海量用户并发接入万人无线园区百g核心cloudengine12700e吞吐576tbps管理5万无线用户6倍性能建网全自动使能wifi6的业务规划自动化建网自动化策略自动化极速业界独家双频16天线1075gbps是业界的2倍覆盖稳智能天线波随人动覆盖远20未来园区网络典型架构满足不同场景需求tobe
智简园区交换机MACsec技术白皮书
华为智简园区交换机 MACsec技术白皮书前言摘要MACsec(802.1AE)提供同一个局域网内,设备端口MAC 层之间的安全通信服务,主要包含以下方面:数据机密性、数据完整性、数据来源真实性以及重放保护。
关键词MACsec 802.1AE目录前言 (ii)1概述 (4)2MACsec 技术原理 (5)2.1 MACsec 典型组网模式 (5)2.1.1面向主机点到点模式 (5)2.1.2面向设备点到点模式 (6)2.2 MACsec 基本概念 (6)2.3 MACsec 运行机制 (8)2.4 MACsec 密钥体系 (10)2.4.1密钥体系结构 (10)2.4.2密钥派生关系 (11)2.5 MKA 密钥协商交互流程 (12)2.6 MACsec 数据加解密转发 (13)3典型组网应用 (15)3.1 局域网MACsec 典型组网 (15)3.2 中间有传输设备MACsec 典型组网 (15)4 附录 (17)1 概述MACsec(Media Access Control Security)定义了基于IEEE 802 局域网络的数据安全通信的方法。
MACsec 可为用户提供安全的MAC 层数据发送和接收服务,包括用户数据加密(C o n fid e n tia l ity)、数据帧完整性检查(D a ta in te g rit y)、数据源真实性校验(D a t a o rigin a u th e n tic it y)及重放保护(Re p l ay p r o te c tio n)。
MACsec 主要涉及IEEE802.1AE 和802.1X 两个协议规范:IEEE802.1AE-2006 定义了数据封装、加密和认证的帧格式;802.1X-2010 中的MKA(MACsec Key Agreement)定义了密钥管理协议,提供了Peer-to-Peer 方式或Group 方式的密钥建立机制,使用MKA 协议协商生成的密钥对已认证的用户数据进行加密和完整性检查,可以避免端口处理未认证设备的报文或者未认证设备篡改的报文。
智简园区网络解决方案技术白皮书
HiSec@智简园区网络解决方案技术白皮书目录1概述 (1)1.1产生背景 (1)1.2解决思路 (1)1.3客户价值 (2)2方案概述 (4)2.1方案架构 (4)3ECA 检测方案 (6)3.1方案架构 (6)3.2方案原理 (7)3.2.1TLS 协商过程 (7)3.2.2网络行为特征分析 (8)3.2.2.1TLS 流特征 (8)3.2.2.2上下文流量信息关联 (11)3.2.3ECA 检测分类模型 (11)4网络诱捕方案 (13)4.1方案架构 (13)4.2方案原理 (15)4.2.1诱捕原理 (15)4.2.2关键技术 (16)4.2.2.1网络混淆技术 (16)4.2.2.2仿真交互技术 (16)5园区安全联动闭环方案 (17)5.1AC-Campus 1.0 联动场景 (17)5.1.1方案架构 (17)5.1.2方案原理 (18)6安全业务云管理增强 (20)6.1方案架构 (20)6.2方案原理 (21)7典型部署场景/典型组网 (23)7.1ECA 检测方案部署 (23)7.2网络诱捕方案部署 (24)7.3园区安全联动闭环方案部署 (25)7.3.1AC-Campus 1.0 联动场景 (25)7.4安全业务云管理增强 (26)1 概述1.1产生背景1.2解决思路1.3客户价值1.1产生背景随着网络技术的发展,网络安全的攻防态势也在悄然发生着变化。
零日攻击、APT 攻击等新型的网络攻击技术已经给不少的企业造成了严重的经济损失,而传统的安全防御手段在新型的网络攻击技术面前已然失去优势。
与此同时,伴随着逐渐实现数字化转型的脚步,企业为了保护数据和应用服务的安全,开始大量采用加密技术。
例如,使用HTTPS 服务代替传统的HTTP。
Gartner 预测,到2019 年,80%的Web 流量将实现加密。
与此同时,黑客们同样可以利用加密技术将其推送的恶意软件、欲传达的恶意命令都藏匿于加密流量当中,规避检测,确保恶意活动能够正常实施。
智简园区交换机流量采样技术白皮书
华为智简园区交换机流量采样技术白皮书前言摘要Internet 网络的高速发展为用户提供了更高的带宽,支持的业务和应用日渐增多,同时企业级网络具有规模相对较小、组网灵活、易受攻击等特点,传统流量统计如SNMP、端口镜像等,由于统计流量方式不灵活或是需要投资专用服务器成本高等原因,无法满足对网络进行更细致的管理,需要一种新技术来更好的支持网络流量统计,NetStream 是一种基于网络流信息的统计技术,采样流sFlow(Sampled Flow)是一种基于报文采样的网络流量监控技术,两种技术均可以对网络中的业务流量情况进行统计和分析。
关键词NetSteam、sFlow、精细管控目录前言 (i)1概述 (1)1.1产生背景 (1)1.2技术实现 (1)1.3客户价值 (1)2方案原理 (3)2.1NetStream 原理描述 (3)2.1.1基本原理 (3)2.1.2NetStream 采样 (5)2.1.3NetStream 流 (5)2.1.4NetStream 流老化 (5)2.1.5NetStream 流输出 (6)2.1.5.1流输出方式 (7)2.1.5.2输出报文的版本格式 (8)2.1.5.3流输出方式与报文版本格式对应关系 (8)2.2sFlow 原理描述 (9)2.2.1sFlow 系统组成 (9)2.2.2sFlow 报文 (10)2.2.3sFlow 采样 (10)3典型组网应用 (12)3.1NetStream 的典型应用 (12)3.2sFlow 的典型应用 (13)A 缩略语 (14)1 概述1.1产生背景Internet 网络的高速发展为用户提供了更高的带宽,支持的业务和应用日渐增多,同时企业级网络具有规模相对较小、组网灵活、易受攻击等特点,因此企业级网络更容易出现由组网或者攻击导致的流量业务异常,于是企业用户更需要一种以设备接口为基本采样单元的流量监控技术来实时监控流量状况,及时发现异常流量以及攻击流量的源头,从而保证企业网络的正常稳定运行。
智简园区SVF技术白皮书
华为智简园区 SVF 技术白皮书前言摘要SVF 是一种纵向虚拟化技术,在纵向纬度把多台设备虚拟化成一台逻辑设备,屏蔽网络内部连线的复杂度,实现统一管理和控制目的。
关键词SVF、纵向堆叠、有线无线融合、冗余备份目录前言 (i)1概述 (1)1.1产生背景 (1)1.2技术实现 (2)1.3客户价值 (4)2方案原理 (7)2.1基本概念 (7)2.2拓扑及连接规则 (8)2.3统一设备管理 (10)2.4统一配置 (13)2.5统一用户管理 (14)2.6报文转发原理 (15)2.7组合接入场景建议 (17)3典型组网应用 (19)3.1中小型有线园区网 (19)3.2大型有线无线园区网 (20)3.3特大型有线无线园区网 (21)3.4跨区域大型园区网 (22)3.5SVF 网络穿透二层网络 (23)A 缩略语 (24)1 概述1.1产生背景如图1-1 所示,CSS/CSS2 和iStack 作为一种网络设备虚拟化技术,具有很强的横向整合作用,即在不改变网络物理拓扑连接条件下,将网络同一层的多台设备横向整合虚拟化为一台设备,不仅摒弃了复杂的二层双上行链路加环网协议的组网,提高了网络故障的收敛时间(将环网协议收敛时间转换为T r un k收敛时间),从逻辑上简化了网络架构同时也简化了网络的管理成本。
图1-1 网络架构演进在规模较大的企业园区网中,通常交换机位置分布较广,接入层业务简单,配置归一化程度高,整个网络存在大量的接入设备,虽然可以通过iStack 技术进行一部分简化,但是整个网络仍然有大量的接入点,此时这个网络系统的管理点数量仍相当可观,网络部署及管理仍然比较困难,需要进一步的优化。
如图1-2 所示,华为公司推出的SVF 是一种纵向虚拟化技术,将控制设备(SVF-Parent)以下的接入设备(SVF-Client)进行虚拟化,把众多接入交换机AS 视为有线端口的集合,无线AP 视为无线接口的集合,在垂直方向将SVF 管理区域内的汇聚层设备和接入层设备虚拟化成一台逻辑设备,减少网络管理节点,实现网络集中统一控制和管理。
智简园区WLAN无线网桥技术白皮书
华为智简园区WLAN无线网桥技术白皮书HUAWEI本文档针对华为无线接入设备的WDS/MESH技术进行说明。
通过WDS/MESH技术,可以实现不同网络之间的远距离无线连接,扩大网络覆盖范围,降低网络部署成本。
本文档提供了WDS/MESH的工作原理和WDS/MESH的几种组网场景和配置注意事项,另外提供了WDS/MESH的应用配置摘要................................................................................ iL1概述............................................................................... .1 1.1无线网桥技术介绍.. (1)1.1.1WDS (1)1.1.2 MESH 介绍 (1)1.2 WDS原理描述 (2)1.2.1 WDS 简介 (2)1.2.2 WDS建立过程 (4)1.3WDS组网模式 (6)1.3.1点对点组网 (6)1.3.2点对多点组网 (8)1.4 MESH原理描述 (9)1.4.1 MESH基本概念 (9)1.4.2 MESH 连接建立 (10)1.4.3 MP 配置上线 (12)1.4.4 MESH路由建立 (14)1.4.5 数据报文转发 (15)1.4.6 MESH网络破环 (16)1.5MESH组网模式 (16)1.5.1链状组网 (16)1.5.2星状组网 (16)1.5.3网状组网 (17)1.5.4 多MPP 组网 (17)2无线网桥应用...................................................................... 1.92.1 WDS组网场景 (19)2.1.2室内场景WDS组网 (20)2.1.3室外场景WDS组网 (20)2.2 WDS组网规划 (23)2.2.1传输距离规划 (23)2. ~ (26)2.3 MESH组网场景 (28)2.3.1区域无线覆盖场景 (28)2.3.2道路监控回传场景 (29)2.3.3长距广覆盖场景 (30)2.3.4双链路可靠回传场景 (31)2.4 MESH组网规划 (31)2.4.1 MESH回传层规划 (31)2.4.2 MESH传输距离规划 (33)3无线网桥典型配置举例.............................................................. .3.7 3.1WDS配置举例 .. (37)3.1.1组网需求 (37)3.1.2配置分析 (38)3.2 MESH配置举例 (39)3.2.1组网需求 (39)3.2.2配置分析 (40)A缩略语 (42)1.1无线网桥技术介绍1.1.1WDSWDS (Wireless Distribution System 无线分布式系统):通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,组建一个互通的网络实现数据访问。
华为智简园区WLAN漫游技术白皮书
华为智简园区WLAN漫游技术白皮书摘要随着WLAN网络在各行各业的广泛应用,如何持续稳定的提供连接服务变得越来越重要。
而漫游技术对确保WLAN网络提供稳定服务起着重要作用,本文将介绍WLAN 网络中常见的几种漫游技术以及华为独家的无损漫游,帮助读者了解漫游的技术细节。
目录摘要 (ii)1 概述 (5)1.1 背景介绍 (5)1.2 传统漫游 (5)1.3 快速漫游 (6)1.4 智能漫游 (6)1.5 无损漫游@仓储AGV场景 (7)1.6 无损漫游@办公场景 (8)2 实现原理 (10)2.1 传统漫游技术介绍 (10)2.2 快速漫游技术介绍 (12)2.2.1 802.11i快速漫游 (12)2.2.2 802.11r快速漫游 (14)2.3 智能漫游技术介绍 (16)2.4 无损漫游@仓储AGV场景技术介绍 (18)2.4.1无损扫描 (18)2.4.2高效漫游 (19)2.4.3抗干扰增强 (20)2.5无损漫游@办公场景技术介绍 (20)2.5.1终端漫游扫描雷达信道优化 (21)2.5.2自适应11r模式用户接入与漫游 (21)2.5.3支持802.11r over ds及增强方案 (22)2.5.4漫游切换开销优化 (23)3 总结 (25)A 缩略语 (26)1 概述1.1 背景介绍在WLAN网络中,无线终端用户具有移动通信能力。
但由于单个AP设备的信号覆盖范围都是有限的,终端用户在移动过程中,往往会出现从一个AP服务区跨越到另一个AP服务区的情况。
为了避免移动用户在不同的AP之间切换时,网络通讯中断,我们引入了无线漫游的概念。
无线漫游就是指STA在移动到两个AP覆盖范围的临界区域时,STA与新的AP进行关联并与原有AP断开关联,且在此过程中保持不间断的网络连接。
简单来说,就如同手机的移动通话功能,手机从一个基站的覆盖范围移动到另一个基站的覆盖范围时,能提供不间断、无缝的通话能力。
中国智慧园区标准化白皮书
白皮书的发布,旨在与业界分享我们在智慧园区领域的思考和经验 标准 化工作是基础性工程,希望致力于智慧园区建设的合作伙伴们共同关注我国智 慧园区标准体系建设,切实促进我国智慧园区标准全面、健康、可持续发展。
中国智慧园区标准化白皮书
目录
第一章:智慧园区发展概况.................................................................................... 1 1.1 发展概况 ................................................................................................... 2 1.2 概念内涵 ................................................................................................... 7 1.3 建设目标 ................................................................................................... 8
交换机技术白皮书
交换机技术白皮书一.不同层次上的交换机首先我们对一个很普通的网络结构进行讲解,以大概描述在不同层次上的交换机应该具备的功能;1.接入型2层交换机接入型2层交换机直接接入用户的PC机,为了避免因为办公室内用户的增加而再添加2层交换机,办公室内的2层交换机最好具备16或者24个10/100M以太网接口,然后使用百兆或者千兆以太网接口与汇聚层的3层交换机进行连接;从安全上考虑,交换机、路由器并不会产生恶意的数据,为了最大限度的保护用户PC的安全,需要网络内的2层具备多种功能。
比如,如果2层交换机不支持广播速率限制功能,那么办公室内的某台PC因为出故障或者因为故意的破坏而向交换机发出大量的广播数据,那么这些数据就将会被其它PC接收到,从而会浪费其它PC大量的cpu资源而导致PC的速度严重变慢,并且会浪费2层交换机与3层交换机之间的带宽,导致其它PC机上网速度严重下降;再比如,现在网络病毒泛滥,为了保护其它PC不受感染,如果在2层交换机上使能各种ACL策略,也可以使其它PC受到保护、同时也节约了带宽;为了管理上的方便,2层交换机也应该支持可被远程管理;在有些场合,需要对接入的用户进行认证,如果接入交换机不支持认证功能,那么就需要将认证功能交给汇聚层的交换机或者更上层的设备进行,那么未被认证的用户就有可能对其它用户进行恶意的攻击;因此,2层交换机虽然性能不是很高,然而在网络中,对它的要求也是很高的,因为它可以在很大程度上保证网络的正常运行。
2.汇聚层3层以太网交换机根据网络的大小,汇聚层3层以太网交换机的数量上可能不一样,它的功能主要是完成多个子网之间数据的转发(不使用路由器而使用3层交换机的原因主要是价格以及转发性能的原因)。
需要3层交换机来进行子网间数据转发的原因是:一个LAN就是一个广播域,如果不划分多个LAN,就会导致LAN内的广播数据报过多而降低网络的性能,导致LAN内通信变得很缓慢。
从3层交换机在网络中的层次以及功能上看,3层交换机首要的任务是完成多个子网间数据的快速转发、以及3层交换机之间的数据转发。
华为智简园区安全技术白皮书
华为智简园区安全技术白皮书目录摘要 (i)1产生背景 (4)2威胁介绍 (5)2.1ARP 安全 (5)2.1.1ARP 功能介绍 (5)2.1.2ARP 场景举例 (7)2.1.3原理描述 (8)2.2IPSG 安全 (17)2.2.1IPSG 功能介绍 (17)2.2.2IPSG 场景举例 (17)2.2.3原理描述 (18)2.3DHCP Snooping (19)2.3.1DHCP Snooping 功能介绍 (19)2.3.2DHCP Snooping 场景举例 (20)2.3.3原理描述 (20)2.3.3.1DHCP Snooping 基本功能 (20)2.3.3.2DHCP Snooping 的攻击防范功能 (22)2.3.3.3DHCP Snooping 支持的Option82 功能 (23)3安全协防 (26)3.1CIS 系统基本原理 (26)3.1.1CIS 系统工作原理 (26)3.1.2大数据采集原理 (27)3.1.3大数据分析原理 (27)3.2诱捕原理 (29)3.2.1不存在的IP 的诱骗 (30)3.2.2不存在的PORT 的诱骗 (31)3.3安全联动原理 (31)4华为公有云部署安全 (33)4.1安全方案介绍 (33)4.2各维度安全加固技术 (34)4.2.1认证与权限控制 (34)4.2.2数据保护 (36)4.2.3安全检测与响应 (37)4.2.4隐私保护 (37)4.2.5安全管理 (38)4.2.6安全隔离 (39)4.2.7安全部署 (39)A 缩略语 (41)1 产生背景伴随着传统电信网和互联网融合,传统电信平台也继承了IP 网络的威胁和漏洞,用户数据、系统数据、软硬件系统等无不面临着来自安全方面的各种威胁,面对各种各样的网络入侵与攻击。
在给业务产品带来增值应用的,电信网互联网融合能力的同时,也需要关注安全威胁带来的压力与挑战,通过积极主动的措施保证企业的安全。
智简园区解决方案License技术白皮书
华为云管理园区 License技术白皮书前言摘要华为云管理园区网络解决方案是华为的新一代园区解决方案,通过引入大数据分析和AI技术,帮助企业构建一张智慧、极简、超宽、安全和开放的园区,加速企业数字化转型。
与该解决方案一并推出的,还有全新的License 设计,以满足新解决方案下用户对License 的需求。
本文即为介绍全新的License 设计而作。
文章围绕License 的分类、使用场景、销售方式、购买流程等方面进行介绍,帮助读者对华为云管理园区License 有一个比较全面的了解。
关键词云管理园区、License目录前言 (i)1概述 (4)1.1License 常见概念简介 (4)1.2独立软件商业模式简介 (5)1.3云管理园区License 分类 (6)1.3.1分类原则 (6)1.3.1.1根据适用场景分类 (6)1.3.1.2根据商业模式分类 (6)1.3.2License 控制项汇总 (7)2华为自建场景License 方案介绍 (9)2.1方案概览 (9)2.2License 的申购/销售/分发 (10)2.3租户试用License (11)2.4设备管理License 的使用 (11)2.4.1 激活 (12)2.4.2 查看 (12)2.4.3 消耗 (13)2.4.4 扩容 (13)2.4.5 超期 (14)2.4.6 统一到期时间 (15)2.5线上销售License 方案 (16)2.5.1电商模式首次购买流程 (16)2.5.2电商模式续费购买流程 (17)3MSP/企业自建场景License 方案介绍 (18)3.1方案概览 (18)3.2License 的申购/销售/分发 (19)3.3云管理平台License 的使用 (20)华为智简园区解决方案 License 技术白皮书目录3.3.2License 文件生成 (20)3.3.3License 文件加载 (20)3.3.4 查看 (21)3.3.5订阅License 使用 (21)3.3.6永久License 使用 (21)A FAQ 常见问题 (23)A.1当遇到License 相关问题时,如何处理? (23)A.2ESN 是什么,能否不使用ESN? (23)A.3如何处理ESN 不一致的问题? (23)A.4没有License 文件,系统是否可以运行? (23)A.5如何处理系统提示License 已经过期的问题? (24)1 概述1.1License 常见概念简介License许可证,是供应商与客户对所销售/购买的产品(这里特指软件版本)使用范围、期限等进行授权/被授权的一种合约形式,通过License,客户获得供应商所承诺的相应服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为智简园区交换机 1588v2技术白皮书摘要1588v2 时钟是一种采用IEEE 1588V2 协议的高精度时钟,可以实现纳秒级精度的时间同步,精度与当前的GPS 实现方案类似,但是在成本、维护、安全等方面有一定的优势,成为业界最热门的时间传递协议。
目录摘要 (i)1概述 (3)1.1技术背景 (3)1.2技术优势 (5)2技术原理 (6)2.1同步概念 (6)2.1.1频率同步 (6)2.1.2相位同步 (7)2.1.3时间同步 (7)2.2 1588v2 的设备模型 (8)2.3 1588v2 报文 (10)2.3.1 1588v2 报文类型 (10)2.3.2 1588v2 报文封装 (11)2.4 1588v2 同步原理 (11)2.4.1 1588v2 频率同步 (11)2.4.2 1588v2 时间同步 (12)2.5 1588v2 时戳产生 (15)2.6建立主从关系 (16)2.6.1BMC 算法原理 (16)2.6.2主从建立过程 (17)2.7园区交换机能力 (17)3典型组网应用 (19)3.11588v2 频率+时间同步(BC 模式) (20)3.21588v2 频率+时间同步(TC 模式) (21)3.3SyncE 频率同步+1588v2 时间同步(BC 模式) (22)A 缩略语 (23)1 概述1.1技术背景为了满足无线接入网络用户正常接入的需要,不同基站之间的频率必须同步在一定精度之内,否则手机在进行基站切换时容易掉线,严重时会导致手机无法使用。
而某些无线制式,除了频率同步,还需要求时间同步。
表1-1 为一些常见的不同制式的无线系统对频率同步和时间同步的要求:表1-1 不同制式基站对频率/时间同步的要求总的来看,以WCDMA/LTE FDD 为代表的标准采用的是FDD 制式,只需要频率同步,精度要求0.05ppm。
而以TD-SCDMA/LTE TDD 代表的TDD 制式,同时需要频率同步和时间同步。
传统的无线网络系统通常采用每基站安装GPS,利用GPS 系统来解决频率同步和时间同步的需求,如图1-1 为GPS 同步方案示意图。
图1-1 GPS 同步方案随着全球无线网络从2G 向3G 和LTE 的快速演进,GPS 同步方案面临挑战:成本高:跟2G 网络相比,3G 和LTE 网络覆盖相同的区域,需要的基站个数成倍增加,如果仍旧使用每基站安装GPS 的方式,施工和维护的成本将非常高昂;安装选址难:尤其是室内覆盖,室内覆盖基站馈线长,馈线铺设困难,而且馈线较长时还需要加装放大器并考虑馈电;安全隐患高:由于方案依赖于GPS 系统,紧急情况下整网可能因失效而瘫痪,且GPS 系统目前存在失效的可能;针对无线网络系统高精度的同步需求以及现有GPS 解决方案的种种弊端,运营商迫切希望能够有一种高精度的地面传送同步方案。
目前IP 承载网络支持同步的方案主要有SyncE(同步以太),NTP 和PTP(1588v2)。
其属性如表1-2 所示。
SyncE 同步以太只支持频率同步,不支持时间同步,只能适用于只对频率同步有要求的无线制式。
NTP 支持时间同步,但精度为毫秒级别,达不到无线系统的精度要求。
PTP 同时支持频率同步和时间同步,精度也能满足各种无线制式的要求。
表1-2 时钟特性对比网络测控系统精确时钟同步协议PTP(Precision Time Protocol)是一种对标准以太网终端设备进行时间和频率同步的协议,也称为IEEE 1588,简称为1588。
1588 分为1588v1和1588v2 两个版本,1588v1 只能达到亚毫秒级的时间同步精度,而1588v2 可以达到亚微秒级同步精度。
1588v2 被定义为时间同步的协议,本来只是用于设备之间的高精度时间同步,随着技术的发展,1588v2 也具备频率同步的功能。
现在1588v1 基本已被1588v2 取代,以下非特殊说明,PTP 即表示1588v2。
图1-2 是一个典型的1588v2 同步传送方案,时间源通过GPS/北斗等多种方式注入,承载设备通过1588v2 协议传送时间信息,基站可通过1588v2 接口从承载设备获取时间信息,达到与时间源同步的目的,精度可达到亚微秒级,完全能够满足无线基站要求。
图1-2 1588v2 时间同步方案1.2技术优势1588v2 可以实现纳秒级精度的时间同步,精度与当前的GPS 实现方案类似,但是在成本、维护、安全等方面有一定的优势,成为业界最热门的时间传递协议,其主要优势有:低成本:无需为每个基站部署和维护GPS 接收设备,因而时间同步的建设和维护成本更低;高精度:基于硬件辅助处理的1588v2 能够提供亚微秒级的时间同步;符合网络转型趋势:IP 网络,承载未来的融合网络;安全性高:可以摆脱对GPS 的依赖,在国家安全方面具备特殊意义;2 技术原理2.1同步概念2.1.1频率同步频率同步是指不同的信号在相同的时间间隔内有相同的脉冲个数,和脉冲出现的顺序以及每个脉冲开始和结束的时间没有关系。
以图2-1 为例,在每个1 秒钟的时间间隔周期内,如果两个信号的脉冲个数不一样,信号1 有4 个脉冲(脉冲1,2,3,4),信号2只有3 个脉冲(脉冲3,4,5),那么这两个信号之间的频率是不同步的,或者说同步很差。
但如果两个信号都有相同的脉冲个数,如图2-2 所示,信号1 有4 个脉冲(脉冲1,2,3,4),信号2 也有4 个脉冲(脉冲3,4,5,6),那么这两个信号之间的频率是同步的,或者说同步很好。
从这里我们也可以看到,频率同步只关心不同的信号在相同的时间间隔内是否有相同的脉冲个数,而不关心脉冲出现的顺序以及开始和结束的时间,即信号1 的脉冲是第1,2,3,4 个脉冲,信号2 的脉冲可以是第3,4,5,6 个脉冲,而且每个脉冲开始和结束的时间可以不一样。
图2-1 差的频率同步图2-2 好的频率同步2.1.2相位同步相位同步是指两个信号具有相同的频率,并且每个脉冲的开始和结束时间也相同,但是和脉冲出现的顺序没有关系。
以下图为例,两个信号具有相同的频率,在每个1 秒钟的时间间隔周期内,两个信号具有相同的脉冲个数。
如果脉冲开始和结束的时间不相同,如图2-3 中信号1 的第一个脉冲和信号2 的第3 个脉冲,他们开始和结束的时间是不一样的(上升沿、下降沿没有对齐),那么这两个信号的相位同步就比较差。
如果脉冲开始和结束的时间相同,如图2-4 中信号1 的第1 个脉冲和信号2 的第3 个脉冲,开始和结束的时间是一样的,那么这两个信号的相位同步就比较好。
图2-3 差的相位同步图2-4 好的相位同步2.1.3时间同步时间同步是指两个信号具有相同的频率,相同的相位,并且脉冲出现的顺序也相同。
以下图为例,两个信号具有相同的频率,而且脉冲出现的顺序也相同,即信号1 和信号2都是按照脉冲1,2,3,4 同时顺序出现的。
如果信号1 和信号2 脉冲的相位没有同步好,我们可以说这两个信号的时间没有同步好,如图2-5 所示。
而图2-6 所示,则是很好的时间同步。
图2-5 差的时间同步图2-6 好的时间同步2.21588v2 的设备模型IEEE 1588v2 定义了5 种网络节点模型:OC(普通时钟)、BC(边界时钟)、E2E TC(E2E 透明时钟)、P2P TC(P2P 透明时钟)、管理节点。
图2-7 描述了用于同步的4 种节点模型,管理节点仅用于同步节点的配置管理,本身不提供同步功能。
图2-7 1588v2 设备模型1)OC:Ordinary Clock,普通时钟,仅有一个物理接口同网络通信,OC 模型用于整个网络的时钟源或时钟宿,不能同时作为始端和终端。
OC 模型对应网络的纯粹时钟源或时钟宿,用于向下游节点发布时间,或者从上游节点同步时间。
OC 作为系统时钟源时,也被称作最优时钟GMC(Grandmaster Clock)。
GMC 作为整个系统的参考时钟,即最高层次的时钟,通过各时钟节点间1588v2 报文的交互,最优时钟的时间最终将被同步到整个系统中。
最优时钟可以通过手工配置静态指定,也可以通过最佳主时钟BMC(Best Master Clock)算法动态选举。
2)BC:Boundary Clock,边界时钟,有多个物理接口同网络通信,每个物理端口行为都类似于Ordinary Clock 的端口。
BC 模型相当于时间中继器,是OC 两种类型的混合体,既可以恢复时钟,又可以作为时钟源往下游传递时钟。
BC 模型对应处于中间位置的时钟节点,其中设备一个端口从上游设备同步时间,其余多个端口向下游设备发布时间。
3)TC:Transparent Clock,透明时钟,TC 模型自身不恢复时间和频率,除信令报文和管理报文外,TC 节点本身是不终结1588v2 报文的,只对1588v2 报文做延时修正。
TC 模型对应网络中仅需配合处理1588v2 报文,自身不需恢复时钟的设备,所以TC 模式不用支持BMC 算法。
TC 模式包含E2E TC 和P2P TC 两种。
E2E TC:End to End TC,端到端透明时钟,E2E TC 设备有多个接口,它转发所有1588v2消息,并测量PTP 事件消息经过该设备的驻留时间,并进行修正。
P2P TC:Peer to Peer TC, 点到点透明时钟,P2P TC 设备有多个接口,与E2E TC 设备相比,它还可以测量该设备每个端口相连链路的延迟,并进行修正。
驻留时间是通过设备本地时钟产生的报文出和入的时间差生成的。
P2P TC 用到链路延时是通过对端延时机制获得,具体请参看1588v2 时间同步章节。
4)管理设备:该设备具有多个接口,提供PTP 管理消息的管理接口。
此外,华为还有以下两种扩展的设备类型:1)TC+OC:具备多个1588v2 端口的设备,其中一个端口配置为OC,用来恢复频率(TC+OC 不恢复时间)。
此外的其他所有1588v2 端口都配置为纯TC(E2E 或者P2P)模式,只透传报文。
TC+OC 实现时需要给配置为OC 的端口配置其跟踪的时钟源,也就是说TC+OC 频率恢复的参考源只能从配置为OC 的端口中选择指定的时钟源。
与TC 时钟相比,TC+OC 时钟同步到主时钟;TC 时钟为自由震荡。
TC+OC 设备类型分E2E TC +OC 和P2P TC +OC 两种。
E2E TC+OC:E2E TC+OC 设备有多个接口,与E2E TC 设备相比,还可以配置设备哪个端口作为OC,完成频率同步;P2P TC+OC:P2P TC+OC 设备有多个接口,与P2P TC 设备相比,还可以配置设备哪个端口作为OC,完成频率同步;2)TCandBC:TCandBC 设备有多个接口,其中某些端口配置为BC,用来恢复频率和时间。