华为 sFlow技术白皮书

合集下载

华为 sFlow技术白皮书

节省资源、降低成本：由于不需要缓存区，对网络设备的资源占用少，实现成本低。
采集器灵活、随需的部署：由于网络流的分析和统计工作由采集器完成，采集器可以灵活的配置网络流特征进行统计分析，实现灵活、随需的部署。
1.2 参考标准和协议
本特性的参考资料清单如下：
文档 sFlow version 5 RFC 3176 RFC 1014
sFlow 采样
sFlow Agent 提供了两种采样方式供用户从不同的角度分析网络流量状况，分别为 Flow 采样以及 Counter 采样。
Flow 采样
Flow 采样是 sFlow Agent 设备在指定端口上按照特定的采样方向和采样比对报文进行采样分析，用于获取报文数据内容的相关信息，Flow 采样支持获取的采样信息如表 11 所示。该采样方式主要是关注流量的细节，这样就可以监控和分析网络上的流行为。
字段内容
说明
Generic Interface Counters
通用接口统计信息，包括接口的基本信息，通用的接口流量统计。
Ethernet Interface Counters
针对于 Ethernet 接口，用于统计 Ethernet 相关的流量统计信息。
Processor Information
Flow 采样是针对接口上报文的采样方式，目前仅支持报文随机采样模式。随机采样模式是指针对每一个接口处理的报文给一个随机值（假定随机数的取值范围为 0～N），设置一个阈值 n（n 属于 0～N，范围包含 0 和 N），当报文的随机值小于这个阈值时，报文采样，这样实际的采样比为 n/(N+1)。
IPv4 Data
针对 IPv4 报文，解析报文的 IPv4 头信息，将解析数据封装到 sFlow 报文中发送给 Collector。

Secoway USG5000 技术白皮书

华为Secoway USG5000防火墙技术白皮书华为技术有限公司Huawei Technologies Co., Ltd.目录目录 ........................................................ 错误!未定义书签。

1 概述.................................................... 错误!未定义书签。

网络中存在的问题........................................ 错误!未定义书签。

防火墙产品介绍.......................................... 错误!未定义书签。

防火墙的定义............................................ 错误!未定义书签。

防火墙设备的使用指南 .................................... 错误!未定义书签。

2 防火墙设备的技术原则 .................................... 错误!未定义书签。

防火墙的可靠性设计...................................... 错误!未定义书签。

防火墙的性能模型........................................ 错误!未定义书签。

网络隔离................................................ 错误!未定义书签。

访问控制................................................ 错误!未定义书签。

IP访问控制列表....................................... 错误!未定义书签。

二层访问控制列表..................................... 错误!未定义书签。

华为全系列数据通信产品白皮书

华为全系列数据通信产品白皮书第一部分：引言（200字）数据通信产品在现代社会中扮演着至关重要的角色，它们是连接世界的桥梁，促进了信息的传递和交流。

华为作为全球领先的通信技术解决方案提供商，为满足客户需求，推出了一系列高质量的数据通信产品。

本白皮书旨在介绍华为全系列数据通信产品的技术特点、应用场景和优势，帮助用户更好地了解和选择适合自己的产品。

第二部分：产品概述（200字）华为全系列数据通信产品包括路由器、交换机、光纤传输设备等多个种类。

这些产品具备高度的稳定性、可靠性和安全性，能够保证数据传输的质量和效率。

华为路由器是业界领先的产品之一，支持高速连接，稳定运行和智能优化。

交换机则提供灵活的网络管理和控制功能，适用于各种不同规模和需求的环境。

光纤传输设备则可以实现高容量和长距离的数据传送，特别适用于电信、金融和大型企业等行业。

第三部分：技术特点（300字）华为全系列数据通信产品具备一系列重要的技术特点。

首先，这些产品都采用了先进的硬件和软件技术，能够实现高效的数据处理和传输。

其次，华为产品支持灵活的网络配置和管理，可以根据实际需求进行定制和扩展。

同时，华为产品还具备高度的安全性，采用了先进的加密和认证技术，保障了数据的机密性和完整性。

此外，华为产品还支持智能化的运维和管理，通过数据分析和优化，提高了网络的性能和稳定性。

第四部分：应用场景（300字）华为全系列数据通信产品广泛应用于各个领域。

它们可以满足不同规模和需求的数据通信需求，适用于运营商、企业和个人用户等不同类型的客户。

在运营商领域，华为产品可以构建高速、稳定和安全的通信网络，支撑运营商的业务和服务。

在企业领域，华为产品可以实现灵活的网络管理和控制，提供高效的数据传输和存储解决方案。

对于个人用户来说，华为产品可以提供高速的网络连接和智能的家庭网络管理，满足各种娱乐和生活需求。

第五部分：产品优势（200字）华为全系列数据通信产品具备多个优势。

首先，它们拥有领先的技术和创新能力，能够满足不断变化的市场需求。

华为S6320系列万兆交换机产品介绍说明书

48×10GE SFP+端口， 2×40GE QSFP+端口
1个扩展插槽，支持 4×40GE QSFP+插卡
1个扩展插槽，支持 4×40GE QSFP+插卡
288K 支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤
支持4K个VLAN 支持Guest VLAN、Voice VLAN 支持基于MAC/协议/IP子网/策略/端口的VLAN 支持1:1和N:1 VLAN交换功能支持基本、灵活QinQ功能
• S6320支持GVRP，实现VLAN动态分发、注册和传播VLAN属性，减少手工配置量、保证VLAN配置正确性，减少因为配置不一致而导致的网络互通问题。
• S6320支持MUX VLAN功能。MUX VLAN提供了一种在VLAN的端口间进行二层流量隔离的机制。采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。MUX VLAN通常用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。例如在企业内部网，客户端口可以同服务器端口通讯，但客户端口之间不能通讯。
产品规格
S6320系列交换机规格如下：
项目
S6320-30C-EI-24S-AC S6320-30C-EI-24S-DC
S6320-54C-EI-48S-AC S6320-54C-EI-48S-DC S6320-54C-EI-48S
固定端口扩展插槽 MAC地址表 VLAN特性
IPv4路由
24×10GE SFP+端口， 2×40GE QSFP+端口
型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流流分类功能，支持双向 ACL。S6320支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、 WRR＋SP、DRR+SP多种队列调度算法和WRED拥塞避免机制，有效地保证了话音、视频和数据等网络业务不同的质量要求。

华为智慧水务行业白皮书-2020

华为使能水务行业数字化智慧水务之旅智慧水务持续建设与发展01数字经济正在强势崛起，已成为未来经济发展的主要动力，如何在未来10年最大化收获数字化溢出带来的经济增长硕果，成为各行各业都非常关心的话题。

如何利用新一代ICT 信息技术，实现以创新为核心的数字化转型是水务未来发展的重要途径。

水务行业目前迎来数字化转型的快速发展期，国家不断出台新政策，促进水务行业信息化技术应用整体水平稳步提高，从2019年水利部鄂竟平部长提出水利发展改革总基调“补短板、强监管”，到2020年水利网信工作要点提出实施网络安全能力提升，完善水利信息化基础设施，积极推进5G 技术在水利工程安全监测预警等工作中的应用，信息化已经成为国家水利部重点工作之一，智慧水务建设逐步成为时代发展新模式。

智慧水务发展背景1.1 趋势：技术驱动，行业转型，势在必行近年来水利信息化建设虽然取得了较大成绩，但和补短板，强监管的要求相比还存在各种差距。

首先是底层透彻感知不够，感知覆盖范围和要素内容不全面，在绝大部分中小河流监测和水库等场景均缺乏相关监控措施，业务工作基本是巡护靠走，识别靠瞅。

现存水利信息化系统多为分散构建模式，众多信息孤岛，内外部信息共享不足，对互联网数据利用深度不够。

业务应用覆盖面不全，应用智能化水平不够，部分业务流程未能固化，还处于线下办理，体外循环。

同时，水务系统整体支撑演进能力不足，无法发挥高新技术的潜能，急需利用大数据、人工智能、遥感等技术支持水务业务的创新，让更多业务应用能够基于人工智能识别等技术实现分析型应用。

水务建设还面临信息系统安全防护及保障问题。

据统计，全国省级以上水利部门的众多应用系统中仅不足30%通过等级保护测评，大型水利工程控制系统核心设备和软件大多存在安全隐患，尚未实现以国产化为主。

相关装备、网络安全、应用支撑、系统运维等技术和管理标准还有待完善，改善目前重建设、轻运维的现状，实现对信息化建设成果的继承性，提升应用效果。

认证技术白皮书

认证技术白皮书华为技术有限公司目录1前言 (2)2为什么使用认证 (3)3认证相关技术 (3)3.1PPP O E接入认证原理 (4)3.2WEB接入认证原理 (8)3.3802.1X接入认证原理 (14)3.4绑定认证原理 (18)3.5各种认证方式比较 (19)4华为认证方案特点 (20)4.1华为公司认证解决方案特点 (20)5华为认证技术解决方案 (22)5.1PPP O E接入认证典型组网方式 (23)5.2WEB接入认证典型组网方式 (24)5.3802.1X接入认证典型组网方式 (27)5.4绑定认证典型组网方式 (29)5.5多种认证自由组合 (29)2003-06-30 内部资料，请勿扩散第1页, 共31页1 前言在数据网络中，包括企业网、INTERNET网络等等，追求的是网络简单、开放，所有人可以自由接入和使用。

而在电信数据网络中，运营商(比如网络服务提供商NSP、业务提供商ISP等)关心的是网络可运营和可管理，要管理每个用户的接入、业务使用、费用等等。

在可运营、可管理网络中，引入了针对用户管理的AAA技术，包括认证（Authentication）、授权（Authorization）、计费（Accounting）三个技术：认证．．，是在用户开始使用系统时对其身份进行的确认动作。

授权，是在网络安全中，授权某用户以特定的方式与某网络系统通信。

计费，是记录并提供关于经济活动的确切清单或数据。

认证是识别用户身份的过程，而授权是根据认证识别后的用户情况授予对应的网络使用权限（QoS、带宽限制、访问权限、用户策略），而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息（时长、流量、位置等等），三个技术紧密联系但又相互独立的。

认证．．技术是用户管理最基本的技术。

目前网络中，有许多设备不支持认证，有许多设备只支持某一种认证，同时认证技术种类繁多、认证要求各不相同，造成网络中认证方案的混淆和混乱。

NETFLOW技术介绍汇总

1. 流量流向监测技术1.1 概述传统的网络流量监测技术的局限性SNMP采集端口的数据主要是在网元层用来监控网络流量和设备的性能，而且SNMP 采集的数据是基于端口的，无法提供端到端的准确的流量信息，因此对流向的统计手段不明确。

利用RMON探针对运营商网络进行流量和流向管理可以部分弥补SNMP的技术局限性，其业务分析和协议分析功能较强。

但是，采用RMON探针建设的流量监测系统也有处理性能不足和难以在大型网络普遍部署的局限性。

提出新的流量监测技术为克服现有网管系统对网络流量和流向分析功能的技术局限性，运营商迫切需要寻找一种功能丰富、成熟稳定的新技术，对现有管理系统中流量信息的采集和分析方式进行改造和升级。

新的流量信息采集和分析技术应具备对运营商的运行网络影响小、无需对网络拓扑进行改变就能平滑升级的技术特征，既可以对网络中各个链路的带宽使用率进行统计，又可以对每条链路上不同类型业务的流量和流向进行分析和统计。

本文主要介绍应用广泛的Cisco NetFlow技术、华为Netstream技术、Sflow 、Cflowd 和IPFIX 以及支持上述流监测技术的厂家和设备情况。

1.2 相关厂家及设备2Netflow2.1 流原理netflow 的信息单元是flow。

flow是一个单向的带有唯一标识字节组的传输流。

基本的标识为：source-IP-address, source-port, destination-IP-address, destination-port, IP-protocol, TOS, input interface ID。

当路由器接收到一个没有flow入口的数据包时，一个flow的结构将被初始化以保存其状态信息如：交换的字节数、IP地址、端口、自治区域等。

随后所有满足这个flow结构的数据包都将增加flow结构的字节计数和包计数，直至这个flow中止并输出。

Netflow功能是在一个路由器内独立完成，它不涉及路由器之间的任何连接设置协议，也不要求对数据包本身或其它任何网络设备进行任何外部修改。

华为下一代数据中心白皮书说明书

下一代数据中心白皮书01下一代数据中心白皮书前言前言人类社会正在加速迈向智能化，比如智能手机、智能家居、智能制造、自动驾驶等正在重塑人们的工作和生活。

作为智能世界和数字经济的坚实底座，数据中心迎来了蓬勃发展。

同时，碳中和已经成为全球的共识和使命，绿色低碳变成世界新的主题，也是数据中心建设、运营必须考虑的重要因素。

面对ICT技术快速演进、建设需求激增以及绿色低碳要求，数据中心产业正在发生深刻变革，将进入新的时代。

什么是符合新时代需求的“下一代数据中心”？华为携手全球数据中心行业领袖和技术专家，举办了系列“松湖论道”下一代数据中心研讨会，深入探讨了行业和技术发展趋势，并就下一代数据中心定义达成重要共识。

未来已来，相信集业界专家智慧共同定义的下一代数据中心，将为产业可持续发展发挥重要作用！目录前言 01智能化与低碳化推动数据中心快速、高质量发展 031.1 数字经济促进数据中心快速增长 04 1.2 碳中和对数据中心可持续发展提出新的要求 04下一代数据中心052.1 低碳共生 062.1.1 全绿色：源头绿色化，与自然共生 062.1.2 全高效：PUE→xUE，评价体系从单指标到多指标 072.1.3 全回收：全生命周期，资源回收利用最大化 082.2 融合极简 092.2.1 架构极简，孕育建筑与机房新形态 092.2.2 供电极简，部件重定义，链路重塑 112.2.3 温控极简，冷热交换效率最大化 122.3 自动驾驶 132.3.1 运维自动，实现无人值守 142.3.2 能效自优，从制冷到“智”冷 142.3.3 运营自治，资源价值最大化 152.4 安全可靠 162.4.1 主动安全，事后到事前，故障快速闭环 172.4.2 架构安全，从器件到DC，全方位构筑安全防线 17总结语1804下一代数据中心白皮书智能化与低碳化推动数据中心快速、高质量发展当前，世界正在经历以人工智能、云计算、大数据、物联网、5G等为代表的数字技术变革，在加速创新的数字技术驱动下，数字经济已成为全球GDP增长的主引擎。

华为白皮书

IMSI Attach/Detach – Indicates G.O.S(Grade of Service) of the Network – Key performance of Accessibility – SDCCH attempts congestion & Time congestion –Formulas and Counters
• Reasons of RA Failure
– Large coverage or bad coverage
– Poor BSIC/BCCH/DCH plan – Software congestion, check relevant size (SAE 500, BLOCK MRR)
Ericsson (China) Company Ltd. Region North, Customer Service Center
Ericsson (China) Company Ltd. Region North, Customer Service Center
S_DR=
ETC/NM/T
SDCCH Drop call
• Reasons for SDCCH Drop Call
– Low Signal Strength – Bad Quality – Excessive TA – Other Reasons
Ericsson (China) Company Ltd. Region North, Customer Service Center
ETC/NM/T
SDCCH Drop Call
• Description
– Key Performance of Accessibility and Retainability – High SDCCH Drop call rate will deteriorate: • SDCCH congestion • Location updating success rate • Paging success rate • call connection rate •… –Formula and Counters

华为sFlow技术白皮书 issue 01说明书

sFlow Technology White PaperIssue 01Date 2012-10-30Copyright © Huawei Technologies Co., Ltd. 2012. All rights reserved.No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Huawei Technologies Co., Ltd.Trademarks and Permissionsand other Huawei trademarks are trademarks of Huawei Technologies Co., Ltd.All other trademarks and trade names mentioned in this document are the property of their respective holders.NoticeThe purchased products, services and features are stipulated by the contract made between Huawei and the customer. All or part of the products, services and features described in this document may not be within the purchase scope or the usage scope. Unless otherwise specified in the contract, all statements, information, and recommendations in this document are provided "AS IS" without warranties, guarantees or representations of any kind, either express or implied.The information in this document is subject to change without notice. Every effort has been made in the preparation of this document to ensure accuracy of the contents, but all statements, information, and recommendations in this document do not constitute a warranty of any kind, express or implied.Huawei Technologies Co., Ltd.Address: Huawei Industrial BaseBantian, LonggangShenzhen 518129People's Republic of ChinaWebsite: Email:******************Contents1.1 Introduction (2)1.2 References (3)1.3 Principles (3)1.3.1 Architecture of an sFlow System (3)1.3.2 sFlow Packet Format (4)1.3.3 sFlow Sampling (4)1.4 Applications (5)1.4.1 Network Monitoring (5)1.5 Troubleshooting (7)1.5.1 A Remote sFlow Collector Fails to Receive sFlow Packets (7)1.6 Terms and Abbreviations (9)sFlow About This Chapter1.1 Introduction1.2 References1.3 Principles1.4 Applications1.5 Troubleshooting1.6 Terms and Abbreviations1.1 IntroductionDefinitionSampled Flow (sFlow) is a traffic monitoring technology that collects and analyzes trafficstatistics.PurposeCompared with carrier networks, enterprise networks have a smaller scale, provide flexiblenetworking, and are prone to attacks. Due to these characteristics, enterprise networks oftenencounter service exceptions. Enterprises require a traffic monitoring technique on interfacesof devices to locate unexpected traffic and the source of attack traffic in a timely manner sothat they can quickly rectify faults to ensure stable running of the network.sFlow is developed to achieve the preceding purpose. sFlow is an interface-based trafficanalysis technology that collects packets on an interface based on the sampling ratio. In flowsampling, an sFlow agent analyzes the packets including the packet content and forwardingrule, and encapsulates the original packets and parsing result into sFlow packets. Then thesFlow agent sends the sFlow packets to an sFlow collector. In counter sampling, an sFlowagent periodically collects traffic statistics on an interface, CPU usage, and memory usage.sFlow focuses on traffic on an interface, traffic forwarding, and device operation, so it can beused to monitor and locate network exceptions. The sFlow collector displays the trafficstatistics in a report, which facilitates preventive maintenance especially on enterprisenetworks without specialized network administrators.NetStream is a technology that collects and analyzes statistics on network flows. Networkdevices need to preliminarily collect and analyze network flows, and store statistics in thecache. When the cache overflows or flow statistics expire, the statistics are exported.Compared with NetStream, sFlow does not require a cache, network devices only samplepackets, and a remote collector collects and analyzes traffic statistics. Therefore, sFlow hasthe following advantages over NetStream:● Saves resources and lowers costs. No cache is required, and a small number of networkdevices are used, which lower costs.● Flexible collector deployment. A collector collects and analyzes traffic statistics based onvarious traffic characteristics as required. The collector is deployed flexibly.1.2 ReferencesThe following table lists the references of this document.1.3 Principles 1.3.1 Architecture of an sFlow SystemAs shown in Figure 1-1, the sFlow system involves an sFlow agent embedded in the device and a remote sFlow collector. The sFlow agent obtains traffic statistics from an sFlow-enabledinterface using sFlow sampling and encapsulates them into sFlow packets. When an sFlowpacket buffer overflows or an sFlow packet expires, the sFlow agent sends the sFlow packetsto the sFlow collector. The sFlow collector analyzes the sFlow packets and displays the trafficstatistics in a report.Figure 1-1sFlow systemsFlow Collector Switch sFlow packetA switch often serves as an sFlow agent. Therefore, this section describes the sFlow agentimplementation and configuration.An sFlow collector is a PC or server. It is responsible for receiving sFlow packets sent from an sFlow agent, without having special requirements for the hardware and operating system. The client software needs to be installed on an sFlow collector to analyze sFlow packets. The sFlow Trend is a free software client that analyzes sFlow packets. You can visit the website to install the sFlow Trend or download the software usage guide.1.3.2 sFlow Packet FormatFigure 1-1 shows the sFlow packet format. sFlow packets are encapsulated in UDP packets. Bydefault, sFlow packets are transmitted by known port 6343. sFlow packets use the followingpacket header formats: Flow sample, Expanded Flow sample, Counter sample, and ExpandedCounter sample. Expanded Flow sample and Expanded Counter sample are added to sFlowversion5 and are extensions to Flow sample and Counter sample, but they are not compatible withearlier versions. All expanded sampling packets must be encapsulated with the expanded samplingpacket header.1.3.3 sFlow SamplingAn sFlow agent provides two sampling modes: flow sampling and counter sampling.Flow samplingIn flow sampling, an sFlow agent samples packets in one direction or both directions on aninterface based on the sampling ratio, and parses the packets to obtain information aboutpacket data content. Table 1-1 lists the main fields in flow sampling packets. Flow samplingfocuses on traffic details to monitor and parse traffic behaviors on the network.Flow sampling samples packets on an interface, and currently supports only random sampling.In random sampling mode, the sFlow agent allocates a random value to each packet processedby an interface. The random value ranges from 0 to N. The threshold is set to n ranging from0 to N. When the random value is smaller than the threshold, the sFlow agent samples packets.The actual sampling ratio is n/(N+1).Table 1-1Main fields in flow sampling packetsCounter samplingAn sFlow agent periodically obtains traffic statistics on an interface. Table 1-2 lists the mainfields in counter sampling packets. Compared with flow sampling, counter sampling focuseson traffic statistics on an interface rather than traffic details.Table 1-2Main fields in counter sampling packetsFlow sampling and counter sampling are independent of each other. Flow sampling obtainsinformation about flows of a specified service, whereas counter sampling obtains trafficstatistics on an interface. It is recommended that you use both the two sampling modes.1.4 Applications1.4.1 Network MonitoringNetwork maintenance personnel often use the traffic monitoring technique to monitornetworks.Enterprise network users often have requirements for traffic on an interface and devicerunning. They require a traffic monitoring technique on an interface to locate unexpectedtraffic and the source of attack traffic immediately so that they can rectify faults quickly toensure stable running of the network.As shown in Figure 1-2, traffic is exchanged between Network1 and Network2 throughSwitchA. The maintenance personnel need to monitor the traffic on interfaces and deviceoperation to locate unexpected traffic and ensure normal network operation. Before collectingtraffic statistics on an interface and analyzing the collected traffic statistics, configureSwitchA as an sFlow agent and connect the sFlow agent to an sFlow collector.Figure 1-2sFlow agent configurationsFlow CollectorConfiguration roadmap:Run the sFlow agent on SwitchA. Enable sFlow sampling functions on GE1/0/2 including flow sampling and counter sampling.After the previous configurations are complete, the sFlow agent sends sFlow packets containing traffic statistics from GE1/0/1 to the sFlow collector. The sFlow collector displays network traffic according to the received sFlow packets. In this way, traffic on GE1/0/2 is monitored.# Configuration file of SwitchA#sysname SwitchA#vlan batch 10 20 30#interface Vlanif10ip address 10.10.10.1 255.255.255.0#interface Vlanif20ip address 20.20.20.1 255.255.255.0#interface Vlanif30ip address 30.30.30.1 255.255.255.0#interface GigabitEthernet1/0/1port link-type accessport default vlan 10#interface GigabitEthernet1/0/2port hybrid pvid vlan 20port hybrid untagged vlan 20sflow counter-sampling collector 1sflow flow-sampling collector 1#interface GigabitEthernet1/0/3port hybrid pvid vlan 30port hybrid untagged vlan 30#sflow collector 1 ip 10.10.10.2 description netserver#sflow agent ip 10.10.10.1#return1.5 Troubleshooting1.5.1 A Remote sFlow Collector Fails to Receive sFlow Packets Fault SymptomA remote sFlow collector fails to receive sFlow packets.ProcedureStep 1Check whether an IP address is configured for the sFlow collector.Run the display sflow command to view the configuration. If the Collector Information isnull, run the sflow collector command in the system view to configure the IP address andother related attributes for the sFlow collector.<Quidway> display sflow slot 1sFlow Version 5 Information:--------------------------------------------------------------------------Agent Information:IP Address: 192.168.1.206Address family: IPV4Vpn-instance: N/A--------------------------------------------------------------------------Collector Information:Collector ID: 1IP Address: 192.168.1.194Address family: IPV4Vpn-instance: N/APort: 6343Datagram size: 1500Time out: N/ADescription: zjm-pc--------------------------------------------------------------------------Port on slot 1 Information:Interface: GE1/0/1Flow-sample collector: 1 Counter-sample collector : 1Flow-sample rate(1/x): 2048 Counter-sample interval(s): 10Flow-sample maxheader: 128Flow-sample direction: IN,OUT Step 2Check whether the configured IP address of the sFlow collector is the same as the IP address of the remote sFlow collector.If the IP addresses are different, the remote sFlow collector cannot receive sFlow packets.Run the display sflow command to view the configuration. If the IP address in the Collector Information is different from the IP address of the remote sFlow collector, run the sflowcollector command in the system view to configure a correct IP address for the sFlowcollector.<Quidway> display sflow slot 1sFlow Version 5 Information:--------------------------------------------------------------------------Agent Information:IP Address: 192.168.1.206Address family: IPV4Vpn-instance: N/A--------------------------------------------------------------------------Collector Information:Collector ID: 1IP Address: 192.168.1.194Address family: IPV4Vpn-instance: N/APort: 6343Datagram size: 1500Time out: N/ADescription: zjm-pc--------------------------------------------------------------------------Port on slot 1 Information:Interface: GE1/0/1Flow-sample collector: 1 Counter-sample collector : 1Flow-sample rate(1/x): 2048 Counter-sample interval(s): 10Flow-sample maxheader: 128Flow-sample direction: IN,OUTStep 3Check whether sFlow sampling is configured on the interface.If sFlow sampling is not configured on the interface, the interface does not provide sampling data.Run the display sflow command to view the configuration. If the Port on slot 1 Information is null, select flow sampling or counter sampling. It is recommended that you configure both flow sampling and counter sampling.<Quidway> display sflow slot 1sFlow Version 5 Information:--------------------------------------------------------------------------Agent Information:IP Address: 192.168.1.206Address family: IPV4Vpn-instance: N/A--------------------------------------------------------------------------Collector Information:Collector ID: 1IP Address: 192.168.1.194Address family: IPV4Vpn-instance: N/APort: 6343Datagram size: 1500Time out: N/ADescription: zjm-pcsFlow Technology White Paper sFlowIssue 01 (2012-10-30) Huawei Proprietary and ConfidentialCopyright © Huawei Technologies Co., Ltd. 9--------------------------------------------------------------------------Port on slot 1 Information:Interface: GE1/0/1Flow-sample collector: 1 Counter-sample collector : 1Flow-sample rate(1/x): 2048 Counter-sample interval(s): 10Flow-sample maxheader: 128Flow-sample direction: IN,OUT----End1.6 Terms and AbbreviationsTermsAbbreviations。

智简园区交换机流量采样技术白皮书

华为智简园区交换机流量采样技术白皮书前言摘要Internet 网络的高速发展为用户提供了更高的带宽，支持的业务和应用日渐增多，同时企业级网络具有规模相对较小、组网灵活、易受攻击等特点，传统流量统计如SNMP、端口镜像等，由于统计流量方式不灵活或是需要投资专用服务器成本高等原因，无法满足对网络进行更细致的管理，需要一种新技术来更好的支持网络流量统计，NetStream 是一种基于网络流信息的统计技术，采样流sFlow（Sampled Flow）是一种基于报文采样的网络流量监控技术，两种技术均可以对网络中的业务流量情况进行统计和分析。

关键词NetSteam、sFlow、精细管控目录前言 (i)1概述 (1)1.1产生背景 (1)1.2技术实现 (1)1.3客户价值 (1)2方案原理 (3)2.1NetStream 原理描述 (3)2.1.1基本原理 (3)2.1.2NetStream 采样 (5)2.1.3NetStream 流 (5)2.1.4NetStream 流老化 (5)2.1.5NetStream 流输出 (6)2.1.5.1流输出方式 (7)2.1.5.2输出报文的版本格式 (8)2.1.5.3流输出方式与报文版本格式对应关系 (8)2.2sFlow 原理描述 (9)2.2.1sFlow 系统组成 (9)2.2.2sFlow 报文 (10)2.2.3sFlow 采样 (10)3典型组网应用 (12)3.1NetStream 的典型应用 (12)3.2sFlow 的典型应用 (13)A 缩略语 (14)1 概述1.1产生背景Internet 网络的高速发展为用户提供了更高的带宽，支持的业务和应用日渐增多，同时企业级网络具有规模相对较小、组网灵活、易受攻击等特点，因此企业级网络更容易出现由组网或者攻击导致的流量业务异常，于是企业用户更需要一种以设备接口为基本采样单元的流量监控技术来实时监控流量状况，及时发现异常流量以及攻击流量的源头，从而保证企业网络的正常稳定运行。

智简园区SVF技术白皮书

华为智简园区 SVF 技术白皮书前言摘要SVF 是一种纵向虚拟化技术，在纵向纬度把多台设备虚拟化成一台逻辑设备，屏蔽网络内部连线的复杂度，实现统一管理和控制目的。

关键词SVF、纵向堆叠、有线无线融合、冗余备份目录前言 (i)1概述 (1)1.1产生背景 (1)1.2技术实现 (2)1.3客户价值 (4)2方案原理 (7)2.1基本概念 (7)2.2拓扑及连接规则 (8)2.3统一设备管理 (10)2.4统一配置 (13)2.5统一用户管理 (14)2.6报文转发原理 (15)2.7组合接入场景建议 (17)3典型组网应用 (19)3.1中小型有线园区网 (19)3.2大型有线无线园区网 (20)3.3特大型有线无线园区网 (21)3.4跨区域大型园区网 (22)3.5SVF 网络穿透二层网络 (23)A 缩略语 (24)1 概述1.1产生背景如图1-1 所示，CSS/CSS2 和iStack 作为一种网络设备虚拟化技术，具有很强的横向整合作用，即在不改变网络物理拓扑连接条件下，将网络同一层的多台设备横向整合虚拟化为一台设备，不仅摒弃了复杂的二层双上行链路加环网协议的组网，提高了网络故障的收敛时间（将环网协议收敛时间转换为T r un k收敛时间），从逻辑上简化了网络架构同时也简化了网络的管理成本。

图1-1 网络架构演进在规模较大的企业园区网中，通常交换机位置分布较广，接入层业务简单，配置归一化程度高，整个网络存在大量的接入设备，虽然可以通过iStack 技术进行一部分简化，但是整个网络仍然有大量的接入点，此时这个网络系统的管理点数量仍相当可观，网络部署及管理仍然比较困难，需要进一步的优化。

如图1-2 所示，华为公司推出的SVF 是一种纵向虚拟化技术，将控制设备（SVF-Parent）以下的接入设备（SVF-Client）进行虚拟化，把众多接入交换机AS 视为有线端口的集合，无线AP 视为无线接口的集合，在垂直方向将SVF 管理区域内的汇聚层设备和接入层设备虚拟化成一台逻辑设备，减少网络管理节点，实现网络集中统一控制和管理。

浪潮 Inspur NOS 安全技术白皮书说明书

保留一切权利。

未经本公司事先书面许可，任何单位和个人不得以任何形式复制、传播本手册的部分或全部内容。

商标说明Inspur浪潮、Inspur、浪潮、Inspur NOS是浪潮集团有限公司的注册商标。

本手册中提及的其他所有商标或注册商标，由各自的所有人拥有。

技术支持技术服务电话：400-860-0011地址：中国济南市浪潮路1036号浪潮电子信息产业股份有限公司邮箱：***************邮编：250101前言文档用途本文档阐述了浪潮交换机产品Inspur NOS的安全能力及技术原理。

注意由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

读者对象本文档提供给以下相关人员使用：●产品经理●运维工程师●售前工程师●LMT及售后工程师变更记录目录1概述 (1)2缩写和术语 (2)3威胁与挑战 (3)4安全架构 (4)5安全设计 (5)5.1账号安全 (5)5.2权限控制 (5)5.3访问控制 (6)5.4安全协议 (6)5.5数据保护 (7)5.6安全加固 (7)5.7日志审计 (7)5.8转发面安全防护 (7)5.9控制面安全防护 (8)6安全准测和策略 (9)6.1版本安全维护 (9)6.2加强账号和权限管理 (10)6.3TACACS+服务授权 (10)6.4加固系统安全 (12)6.4.1关闭不使用的服务和端口 (12)6.4.2废弃不安全通道 (12)6.4.3善用安全配置 (12)6.5关注数据安全 (13)6.6保障网络隔离 (14)6.7基于安全域访问控制 (14)6.8攻击防护 (15)6.9可靠性保护 (16)7安全发布 (18)随着开放网络的快速发展，白盒交换机做为一种软硬件解耦的开放网络设备，应用越来越广泛。

华为Sx700交换机SVF技术白皮书

华为机密，未经许可不得扩散
第 5 页, 共 22 页
SVF 技术白皮书
内部公开
图 2 SVF 网络虚拟化
1.2 技术优势
SVF 适用于接入设备分布广，设备/端口数量多，并且接入设备业务简单、配置归一化程度高的网络应用场景，它具有如下优点：
统一设备管理
集中控制。控制设备（SVF-Parent）和接入设备（SVF-Client）虚拟化为一台逻辑设备，统一设备的管理平面、控制平面、转发平面，减少设备的管理层级和节点数目。零配置接入。控制设备上集中配置，接入设备“0”配置，连上线自动加入 SVF 系统，自动获取配置、版本/补丁等文件，实现即插即用。简化维护。控制设备上统一执行版本/补丁升级；统一查询 AS 的端口状态、CPU 及内存占用率等信息；统一对有线/无线用户进行管理。
第 2 页, 共 22 页
SVF 技术白皮书
内部公开
SVF技术白皮书
关键词：SVF、纵向堆叠、有线无线融合、冗余备份摘要：SVF是一种纵向虚拟化技术，在纵向纬度把多台设备虚拟化成一台逻辑设备，屏蔽网络内部连线的复杂度，实现统一管理和控制目的。
缩略语：
缩略语 SVF SVF-Parent SVF-Client CAPWAP ENP AS AP AC CSS CSS2 iStack ASDP LBNT UCL 英文全名 Super Virtual Fabric SVF-Parent SVF-Client Controlling and Provisioning of Wireless Access Point Ethernet Network Processor Access switch Acess point Access Controller Cluster Switch System Cluster Switch System 2 Intelligent Stack AS Discover Protocol LLDP-Based Network Topology

华为 CloudEngine 系列 FCoE和DCB技术白皮书

1.1 介绍................................................................................................................................................................. 3 1.2 参考标准和协议 ............................................................................................................................................. 5 1.3 原理描述 ......................................................................................................................................................... 5 1.3.1 FCoE 基本概念 ...................................................................................................................................... 5 1.3.2 FCoE 封装 .............................................................................................................................................. 8 1.3.3 FIP 协议 .................................................................................................................................................. 9 1.3.4 FIP Snooping......................................................................................................................................... 12

NETFLOW技能技术总结介绍

精心整理1.流量流向监测技术1.1概述传统的网络流量监测技术的局限性SNMP采集端口的数据主要是在网元层用来监控网络流量和设备的性能，而且SNMP采集的数据是基于端口的，无法提供端到端的准确的流量信息，因此对流向的统计手段不明确。

成熟稳Netflow2.1流原理netflow的信息单元是flow。

flow是一个单向的带有唯一标识字节组的传输流。

基本的标识为：source-IP-address,source-port,destination-IP-address,destination-port,IP-protocol,TOS,inputinterfaceID。

当路由器接收到一个没有flow入口的数据包时，一个flow的结构将被初始化以保存其状态信息如：交换的字节数、IP地址、端口、自治区域等。

随后所有满足这个flow结构的数据包都将增加flow结构的字节计数和包计数，直至这个flow 中止并输出。

身或其它任何网络设备进行任何外部修改。

Netflow交换中要创建一个信息高速缓存，第一个数据包到来时，路由器利用标准的快速交换处理信息包，同时生成一个Netflow高速缓存，随后到来的数据包即可以依据高速缓存信息被交换，对于所有活动信息流，在Netflow高速缓存中保留相应的信息流信息。

当一定时间内没有相应的数据包通过，则结束这个数据流的交换和统计，并释放高速缓存，数据输出的条件在后续部分描述。

在netflow中到期的flow被绑在UDP数据报中发出。

在V5的版本中最多30个flow记录，V1中25个记录，V8中28个记录。

至少每秒钟发一次flow。

虽然netflow只提供单向的流量统计。

如果希望得到表现双向的统计数据，netflow提供了“canned”的SQL 程序来获得一个IP地址对的流量统计数据。

典型的路由器netflow的资源占用率为8％～30％。

一般情况下一个netflow收集器接收3－5个路由器的netflow输出。

华为云安全技术白皮书

华为云安全技术白皮书目录导读 ........................................................................ i v 1云安全战略 . (1)2责任共担模型 (4)2.1华为云的安全责任 (5)2.2租户的安全责任 (6)3安全组织和人员 (8)3.1安全组织 (8)3.2安全与隐私保护人员 (9)3.3内部审计人员 (9)3.4人力资源管理 (10)3.5安全违规问责 (12)4基础设施安全 (13)4.1安全合规与标准遵从 (13)4.2物理与环境安全 (15)4.3网络安全 (17)4.4平台安全 (20)4.5API 应用安全 (21)4.6数据安全 (23)5租户服务与租户安全 (28)5.1计算服务 (28)5.2网络服务 (32)5.3存储服务 (38)5.4数据库服务 (41)5.5数据分析服务 (43)5.6应用服务 (44)5.7管理服务 (47)5.8安全服务 (49)6工程安全 (57)6.1DevOps 和DevSecOps 流程 (57)6.2安全设计 (59)6.3安全编码和测试 (59)6.4第三方软件管理 (60)6.5配置与变更管理 (60)6.6上线安全审批 (60)7运维运营安全 (62)7.1O&M 账号运营安全 (62)7.2漏洞管理 (64)7.3安全日志和事件管理 (66)7.4业务连续与灾难恢复 (68)8安全生态 (70)致谢 (72)导读过去几年中，华为云与所有云服务供应商（CSP – Cloud Service Provider）和客户一样，面临着层出不穷的云安全挑战，不断探索，收获颇多。

2017 年初，华为云部（CloudBusiness Unit, aka Cloud BU）正式成立，重新启程，开启华为云新世代。

华为云迎难而上，视挑战为机遇，恪守业务边界，携手生态伙伴，共同打造安全、可信的云服务，为客户业务赋能增值、保驾护航。

校园网真实源地址验证管理系统(域内SAVA)技...

校园网真实源地址验证管理系统(域内SAVA)技术白皮书CERNET 网络中心2011年8月目录一、校园网真实源地址验证管理系统技术简介 (1)1. 概述 (1)2. 功能介绍 (2)3. 运行环境 (3)3.1 硬件设备 (3)3.2 支持软件 (3)二、CPF方法简介 (4)1. CPF的基本原理 (4)2. CPF体系结构的设计 (4)3. CPF核心模块及数据流 (6)4. 成果创新性 (7)三、CPF设计 (8)1. CPF主要的功能 (8)2. CPF系统总体结构分析与设计 (8)3. 网络动态问题应对方法 (10)4. 过滤表的下发 (10)四、XFLOW (12)1. NetFlow (12)2. sFlow (12)3. XFLOW在系统中的应用 (12)五、关联SA VI网管系统 (14)1. SA VI网管系统和五元组 (14)2. 关联SA VI网管系统的设计方案 (14)六、文档编者和参考文献 (16)1. 文档编者 (16)2. 参考文献 (16)一、校园网真实源地址验证管理系统技术简介1. 概述校园网真实源地址验证管理系统是源地址验证新体系结构中域内部分的产品实现，将实际应用到校园网中，主要用于实现校园网内的假冒包的验证和过滤，为网管人员提供网络基本信息的管理和监控功能，如图1.1所示。

图1.1 校园网真实地址验证管理系统应用环境真实源地址验证管理系统主要分为三个部分：系统的web展示层（用户界面）、业务控制层（信息储存和转发）、底层实现（假冒包验证过滤），如下图1.2 所示。

图1.2 校园网真实地址验证管理系统结构管理员通过浏览器登录到web上，管理数据库中的信息。

数据库中的信息包括从前台输入的系统初始化信息、路由器配置信息；以及后台计算出来的并写入到数据库中的信息，包括拓扑链路、过滤表、告警报文日志等；2. 功能介绍表1 功能介绍3. 运行环境3.1 硬件设备主机型号：DELL R710内存：36G硬盘：500G * 4 RAID5CPU：Intel Xeon E5645(6核12线程) * 23.2 支持软件本软件运行在CentOS 5.5操作系统下。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

图1-2 配置 sFlow 功能组网图
sFlow Collector 10.10.10.2/24
Network 1
GE1/0/1 VLANIF10 10.10.10.1/24 SwitchA
Network 2
GE1/0/2
GE1/0/3
VLANIF20
VLANIF30
20.20.20.1/24 30.30.30.1/24
针对二层转发的 Ethernet 报文，记录报文的 VLAN 转换以及 VLAN 优先级的转换，将转发信息封装到 sFlow 报文中发送给 Collector。VLAN ID 为 0 时表示无效 VLAN。
Extended Router Data
针对路由转发的报文，记录报文的路由转发信息，将转发信息封装到 sFlow 报文中发送给 Collector。
sFlow 技术白皮书
文档版本发布日期
01 2012-10-30
华为技术有限公司
版权所有 © 华为技术有限公司 2012。保留一切权利。
非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。
华为技术有限公司
地址：
深圳市龙岗区坂田华为总部办公楼
网址：

客户服务邮箱： support@
客户服务电话： 4008302118
邮编：518129
文档版本 ()
华为专有和保密信息版权所有 © 华为技术有限公司
i
1 sFlow
1 sFlow
sFlow 报文
sFlow 的报文格式如图 1-1 中 sFlow 报文所示，采用 UDP 封装，缺省目的端口号为知名端口 6343。sFlow 报文共有 4 种报文头格式，分别为 Flow sample、Expanded Flow sample、Counter sample、Expanded Counter sample。其中 Expanded Flow sample 和 E version 5 新增内容，是 Flow sample 和 Counter sample 的扩展，但不前向兼容。所有的 Extended 的采样内容必须使用 Expanded 采样报文头封装。
这样的背景下，sFlow 应运而生。sFlow 是基于端口的流量分析：按照一定的采样比从特定端口上采集报文，由 Agent 设备对报文进行分析（包括报文内容、报文转发规则信息等等），并将分析结果以及原始报文通告给 Collector 进行统一分析（Flow 采样）；并且支持周期性统计端口的流量计数以及设备 CPU、内存等信息（Counter 采样）。 sFlow 关注的是接口的流量情况、转发情况以及设备整体运行状况，因此适合于网络异常监控以及网络异常定位，通过 Collector 可以以报表的方式将情况反应出来，特别适
配置思路：
在 SwitchA 上运行 sFlow Agent，通过在 GE1/0/2 上开启 sFlow 采样功能（包括 Flow 采样和 Counter 采样），sFlow Agent 能够将采集到的流量统计信息通过 sFlow 报文从 GE1/0/1 发向 sFlow Collector，然后 sFlow Collector 根据收到的 sFlow 报文中携带的流量信息，将网络流量状况显示出来。从而实现对 GE1/0/2 接口流量信息的监控。
节省资源、降低成本：由于不需要缓存区，对网络设备的资源占用少，实现成本低。
采集器灵活、随需的部署：由于网络流的分析和统计工作由采集器完成，采集器可以灵活的配置网络流特征进行统计分析，实现灵活、随需的部署。
1.2 参考标准和协议
本特性的参考资料清单如下：
文档 sFlow version 5 RFC 3176 RFC 1014
sFlow Collector 可以是 PC 或者服务器，负责接收 sFlow Agent 发送的 sFlow 报文，对硬件和操作系统没有特殊要求。在 sFlow Collector 上需要安装针对 sFlow 报文进行分析的客户端软件。sFlow Trend 是一款免费的针对 sFlow 报文流量分析的客服端软件，可以登录网站进行在线安装以及下载软件使用指南。
IPv4 Data
针对 IPv4 报文，解析报文的 IPv4 头信息，将解析数据封装到 sFlow 报文中发送给 Collector。
IPv6 Data
针对 IPv6 报文，解析报文的 IPv6 头信息，将解析数据封装到 sFlow 报文中发送给 Collector。
Extended Switch Data
文档版本 ()
华为专有和保密信息
3
版权所有 © 华为技术有限公司
图1-1 sFlow 系统示意图
sFlow Agent Flow采样 Counter采样
sFlow报文 Ethernet头 IP头 UDP头 sFlow Datagram
1 sFlow
Switch
sFlow Collector
由于设备在 sFlow 功能中担任 sFlow Agent 的角色，所以本文档重点介绍 sFlow Agent 的实现以及配置。
# SwitchA 的配置文件：
# sysname SwitchA # vlan batch 10 20 30 # interface Vlanif10 ip address 10.10.10.1 255.255.255.0 # interface Vlanif20 ip address 20.20.20.1 255.255.255.0 # interface Vlanif30 ip address 30.30.30.1 255.255.255.0 # interface GigabitEthernet1/0/1
文档版本 ()
华为专有和保密信息
5
版权所有 © 华为技术有限公司
1.4 应用
1 sFlow
网络监管
网络监管是网络维护人员常见的场景，其中流量监管是网络监管的一个基础技术。
如图 1-2 所示，企业两个网络 Network1 与 Network2 之间通过 SwitchA 互发流量。网络维护人员需要监控接口的流量信息、转发情况以及设备的整体运行状况，及时发现异常流量，从而保证网络的正常稳定运行。此时，只需要在 SwitchA 设备上部署 sFow Agent 功能，远端连接一个 sFlow Collector，就可以对流量进行基于端口的搜集和详细的分析。
sFlow 采样
sFlow Agent 提供了两种采样方式供用户从不同的角度分析网络流量状况，分别为 Flow 采样以及 Counter 采样。
Flow 采样
Flow 采样是 sFlow Agent 设备在指定端口上按照特定的采样方向和采样比对报文进行采样分析，用于获取报文数据内容的相关信息，Flow 采样支持获取的采样信息如表 11 所示。该采样方式主要是关注流量的细节，这样就可以监控和分析网络上的流行为。
字段内容
说明
Generic Interface Counters
通用接口统计信息，包括接口的基本信息，通用的接口流量统计。
Ethernet Interface Counters
针对于 Ethernet 接口，用于统计 Ethernet 相关的流量统计信息。
Processor Information
Flow 采样是针对接口上报文的采样方式，目前仅支持报文随机采样模式。随机采样模式是指针对每一个接口处理的报文给一个随机值（假定随机数的取值范围为 0～N），设置一个阈值 n（n 属于 0～N，范围包含 0 和 N），当报文的随机值小于这个阈值时，报文采样，这样实际的采样比为 n/(N+1)。
文档版本 ()
华为专有和保密信息
6
版权所有 © 华为技术有限公司
port link-type access port default vlan 10 # interface GigabitEthernet1/0/2 port hybrid pvid vlan 20 port hybrid untagged vlan 20 sflow counter-sampling collector 1 sflow flow-sampling collector 1 # interface GigabitEthernet1/0/3 port hybrid pvid vlan 30 port hybrid untagged vlan 30 # sflow collector 1 ip 10.10.10.2 description netserver # sflow agent ip 10.10.10.1 # return
文档版本 ()
华为专有和保密信息
2
版权所有 © 华为技术有限公司
1 sFlow
合于企业网用户。为企业用户（特别是未设置专职网络管理员的企业用户）的日常巡检维护提供了极大的方便。
使用 NetStream 也可以对网络流量进行统计分析，而 NetStream 是一种基于网络流信息的统计技术，网络设备自身需要对网络流进行初步的统计分析，并把统计信息储存在缓存区，当缓存区满或者流统计信息老化后输出统计信息。与 NetStream 相比，sFlow 不需要缓存区，网络设备仅进行报文的采样工作，网络流的统计分析工作由远端的采集器完成。因此 sFlow 与 NetStream 比较具有以下优势：
文档版本 ()
华为专有和保密信息
4
版权所有 © 华为技术有限公司
1 sFlow
表1-1 Flow 采样报文中主要字段信息说明
字段内容
说明