DPtech NAT技术白皮书

迪普防⽕墙技术⽩⽪书（1）迪普FW1000系列防⽕墙技术⽩⽪书1概述随着⽹络技术的普及，⽹络攻击⾏为出现得越来越频繁。

通过各种攻击软件，只要具有⼀般计算机常识的初学者也能完成对⽹络的攻击。

各种⽹络病毒的泛滥，也加剧了⽹络被攻击的危险。

⽬前，Internet⽹络上常见的安全威胁分为以下⼏类：⾮法使⽤：资源被未授权的⽤户（也可以称为⾮法⽤户）或以未授权⽅式（⾮法权限）使⽤。

例如，攻击者通过猜测帐号和密码的组合，从⽽进⼊计算机系统以⾮法使⽤资源。

拒绝服务：服务器拒绝合法⽤户正常访问信息或资源的请求。

例如，攻击者短时间内使⽤⼤量数据包或畸形报⽂向服务器不断发起连接或请求回应，致使服务器负荷过重⽽不能处理合法任务。

信息盗窃：攻击者并不直接⼊侵⽬标系统，⽽是通过窃听⽹络来获取重要数据或信息。

数据篡改：攻击者对系统数据或消息流进⾏有选择的修改、删除、延误、重排序及插⼊虚假消息等操作，⽽使数据的⼀致性被破坏。

基于⽹络协议的防⽕墙不能阻⽌各种攻击⼯具更加⾼层的攻击⽹络中⼤量的低安全性家庭主机成为攻击者或者蠕⾍病毒的被控攻击主机被攻克的服务器也成为辅助攻击者Internet⽌⽕灾蔓延的隔断墙，Internet防⽕墙是⼀个或⼀组实施访问控制策略的系统，它监控可信任⽹络（相当于内部⽹络）和不可信任⽹络（相当于外部⽹络）之间的访问通道，以防⽌外部⽹络的危险蔓延到内部⽹络上。

防⽕墙作⽤于被保护区域的⼊⼝处，基于访问控制策略提供安全防护。

例如：当防⽕墙位于内部⽹络和外部⽹络的连接处时，可以保护组织内的⽹络和数据免遭来⾃外部⽹络的⾮法访问（未授权或未验证的访问）或恶意攻击；当防⽕墙位于组织内部相对开放的⽹段或⽐较敏感的⽹段（如保存敏感或专有数据的⽹络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来⾃组织内部）。

防⽕墙技术经历了包过滤防⽕墙、代理防⽕墙、状态防⽕墙的技术演变，但是随着各种基于不安全应⽤的攻击增多以及⽹络蠕⾍病毒的泛滥，传统防⽕墙⾯临更加艰巨的任务，不但需要防护传统的基于⽹络层的协议攻击，⽽且需要处理更加⾼层的应⽤数据，对应⽤层的攻击进⾏防护。

ADX产品DNS负载均衡功能杭州迪普科技有限公司Hangzhou DPtech Technologies Co., Ltd目录1 前言： (3)2 概述 (3)3 功能分析 (3)3.1 DNS解析实现流程： (3)3.2 多链路环境下的负载均衡应用： (4)3.2.1 Inbound（源负载均衡）： (4)3.2.2 就近性（RTT算法）： (4)3.2.3 目的负载均衡： (5)3.3 多服务器环境下的负载均衡应用： (5)3.3.1 DNS重定向： (6)3.3.2 地理分布算法： (6)3.3.3 全局负载均衡： (7)1前言：随着服务器负载均衡和链路负载均衡技术的日益发展，人们的关注点大多集中在了链路和服务器存在瓶颈和冗余性的问题，而DNS负载均衡技术为解决这一问题提供了更多、更灵活的解决思路。

2概述DNS 是域名系统(Domain Name System) 的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。

DNS 命名用于TCP/IP 网络，如Internet，用来通过用户友好的名称定位计算机和服务。

当用户在应用程序中输入DNS 名称时，DNS 服务可以将此名称解析为与此名称相关的其他信息，如IP 地址。

在链路方面，为解决单一链路所带了的网络单点故障以及脆弱性和国内所存在跨运营商的问题的，目前大部分的企业都部署了多条互联网链路，来提升网络链路的可靠性。

传统的多链路接入依靠复杂的设计，解决了一些接入链路存在单点故障的问题。

但是，它远远没有把多链路接入的巨大优势发挥出来。

链路负载均衡技术即通过对这些链路的管理，以使其达到最大利用率。

在服务器方面，由于用户访问量的增大，使得单一的网络服务设备已经不能满足需要了，由此需要引入服务器的负载平衡，实现客户端同时访问多台同时工作的服务器，实现动态分配每一个应用请求到后台的服务器，并即时按需动态检查各个服务器的状态，根据预设的规则将请求分配给最有效率的服务器。

中国5G通信行业专网技术白皮书中国移动5G行业专网技术白皮书目录1.5G行业专网能力需求 (5)1.1组网需求 (5)1.1.1业务加速 (5)1.1.2业务隔离 (5)1.1.3本地业务保障 (5)1.1.4业务数据不出场 (5)1.1.5边缘计算 (5)1.1.6无线上行带宽增强 (6)1.1.7无线专用 (6)1.1.8接入控制 (6)1.1.9能力开放 (6)1.2运营及运维类需求 (6)1.2.1业务运营 (6)1.2.2网络运维 (7)1.2.3安全 (7)1.2.4计费 (7)1.3业务能力与网络技术能力的映射 (7)2.技术架构及技术要求 (9)2.1技术网络架构 (9)2.2技术要求 (10)2.2.1端到端QoS优先调度 (10)2.2.2专用DNN (11)2.2.3网络切片 (12)2.2.4边缘计算 (14)2.2.5无线专网定制 (15)2.2.6无线专网增强 (16)2.2.7核心网定制 (16)2.2.8能力开放 (16)2.2.9开通 (20)2.2.10计费 (21)2.2.11安全 (21)3.产业及商用发展建议 (23)4.结束语 (24)缩略语列表 (25)1.5G行业专网能力需求1.1组网需求行业客户基于不同的应用场景，业务需求众多且差异巨大，各类行业应用的差异化组网需求主要包括：业务质量保障、业务隔离、超低时延需求、数据不出场、边缘计算、超级上行、接入控制和能力开放。

1.1.1业务加速行业用户要求增强的数据业务质量保障，根据业务质量要求在带宽和时延方面提供差异性的服务质量保障，保证高优先级用户获得更好的业务加速体验。

1.1.2业务隔离行业客户要求专用网络资源与公众网隔离，通过专用的业务数据通道实现业务流量的定向汇聚传输和隔离，保证数据专用和安全。

1.1.3本地业务保障行业客户要求对时延敏感的业务（20-40ms）在靠近用户的位置进行卸载，就近处理。

1.1.4业务数据不出场行业客户要求超低时延保障（≤20ms），企业内部相关业务数据要在园区内分流卸载，不出园区，满足数据安全和本地数据快速处理的需求。

宁盾终端及网络准入技术白皮书V3 EUNSOL°目录概述 (3)NDACE准入引擎介绍 (3)产品简介 (3)设计原理 (3)信息收集处理分析 (3)准入防护策略 (4)集中管理 (4)工作原理 (4)TCP Reset (4)终端识别 (4)HTTP Notification/HTTP Redirect (5)Switch VLAN (5)无客户端检查 (5)客户端检查 (5)技术原理 (5)产品架构 (6)准入控制平台 (6)客户端/无客户端 (7)产品优势 (7)部署模式 (7)端点精准识别定位 (7)面向业务的自动化 (7)无代理 (7)基于场景化（应用）的身份认证 (8)可定制化报表信息 (8)主要功能介绍 (8)网络发现，全网扫描 (8)终端安全检查 (8)认证管理 (9)动态的访问控制策略 (9)持续透明的安全检查 (9)与第三方整合 (9)终端报表信息 (9)终端准入场景及技术实现 (10)PC准入场景 (10)IOT设备准入场景 (10)摄像头准入 (10)其他智能终端准入 (10)产品应用部署 (10)网络组网拓扑示例 (10)产品价值 (12)注意事项 (12)总结 (12)概述在互联网技术日新月异发展的今天，随之也为企业内网管理带来了新的问题以及挑战。

一般中大型的企业网络中均会部署防火墙、VPN、IDS/IPS、上网行为管理等安全设备，但这些安全设备只对接入网络后的终端或者流量数据进行处理，对终端接入网络准入控制及安全审查没有要求。

对此，我们可以引入宁盾NDACE准入控制引擎，借助它，我们可以仅允许合法并且受信任的终端接入网络，对不合法、不受信任的终端不予接入。

NDACE可以自动发现、识别接入网络的设备，并对其进行诸如杀毒软件、补丁更新等安全检查，然后根据制定好的条件策略下发相应的准入策略：允许接入、受限接入、拒绝接入、重定向登录认证等。

NDACE准入引擎介绍产品简介NDACE是上海宁盾信息技术有限公司面向政府、金融、互联网、制造业、医疗、教育等中大型企业单位推出的以终端安全准入为核心的解决方案。

城域网技术概述Cisco Metro IP解决方案正在帮助服务供应商突破传统SONET/SDH 基础架构的限制——利用IP的强大功能，满足新一代节点内（Intra——POP）和交换点（Exchange Point）应用不断增长的带宽和业务需求。

ISP系统——ISP SystemsCisco Metro IP解决方案正在帮助Internet服务供应商突破传统SONET/SDH 基础架构的限制——利用IP的强大功能，满足新一代节点内（Intra——POP）、交换点（Exchange Point）和服务器库/存储应用不断增长的带宽和业务需求。

目前，Cisco 7200/7500和Cisco 12000系列以及Cisco ONS 15194 IP传输集中器均可提供ISP解决方案，适用于622Mbps/2.5Gbps环境。

这些解决方案可随时扩展到10Gbps甚至更高。

地区城域系统——Regional Metro Systems利用OC—48/STM—16和OC——12/STM——4速度的Cisco 12000互联网路由器及动态分组传输(DPT) 技术，Cisco 可提供旨在将互联网和IP的强大功能应用到城域中的地区城域系统。

地区城域解决方案可用于支持IP传输(通过裸光纤、WDM及SONET/SDH)、有线MSO及企业/园区MAN 网络系统。

城域接入系统——Metro Access SystemsCisco 公司通过Cisco 10722系列产品提供独特的Metro IP接入解决方案，帮助服务供应商利用互联网边缘的强大功能、通过直接以太网连接为多住户用户提供城域接入网IP业务，同时为他们提供边缘可编程性。

Cisco 城域IP解决方案的经济性∙概述∙简介∙城域分级体系∙联网方案∙结果∙关于SONET/SDH和RPR/DPT的结论∙结论∙附件A：启用光纤∙附件B：对比RPR与传统SONET/SDH技术∙参考文献概述传统的城域网基础设施在支持IP业务方面效率低下。

【产品彩页互联网时代，信息系统已成为企业最重要的基础设施，并在企业的运营中扮演着日益重要的角色。

互联网、云计算等新技术帮助企业大幅提高效率，同时也带来了新的问题，核心业务系统和重要数据通过网络承载和传输，必然面临网络和信息安全问题，如何实现效率与安全并举是所有企业关注的问题，网络安全也将成为企业信息化建设的下一个热点。

传统建网理念中，企业内网与互联网相互独立，不会存在安全风险，因此在信息安全建设的过程中，企业长期关注来自于互联网和网络边界的威胁，忽视了内网安全建设。

而实际上，企业信息安全的首要威胁往往来自于内网攻击和病毒，内网安全则成为了整网的薄弱环节。

2017年5月22日，WannaCry勒索病毒在全球爆发，在内网迅速传播，致使大量企业的内网服务器感染停摆，这些企业虽然采购和部署了大量的信息安全设备，但面对层出不穷的内网攻击时仍然捉襟见肘。

勒索病毒是新形势下内网威胁的代表，它的大规模爆发恰恰说明了内网安全是现今企业信息化建设的盲点，构建一张安全内网已经势在必行。

传统的内网是一种共享型网络，终端互访不受控制，为病毒、攻击的传播提供了极大的便利，一旦发生内网安全事件，无法第一时间定位及控制攻击源，事后回溯也极其困难。

同时，传统内网终端往往采用客户端认证，而如今终端、操作系统类型不断丰富，客户端认证存在用户使用不便、管理员难维护及兼容性差的问题，实际上无法有效部署。

迪普科技针对内网安全现状，推出了DPtech自安全园区网解决方案，旨在通过轻量级的部署方式解决内网安全问题。

DPtech自安全系列交换机配合自安全控制器和自安全管理平台，可以提供无客户端认证、用户精确定位、病毒及攻击控制及用户行为回溯等特性，自安全交换机及自安全控制器和自安全管理平台联动，基于SDN架构实现用户整网策略跟随和自动化部署，实现用户轻松接入，网络管理员轻松运维。

DPtech自安全园区网解决方案专门面向园区网、办公网应用场景，可广泛应用于企业、政府、医疗卫生、教育等行业，在新形势的内网安全威胁下，采用轻量级的部署模型实现内网安全接入及安全运维。

中国移动技术白皮书BEA公司谨呈2022年3月23日BEA公司作为当今软件应用服务器市场的翘楚，公司技术和产品脱胎于电信业巨子AT&T，解决方案成功服务于世界500强中所有的电信公司，在电信行业积累了深厚的经验。

BEA中国公司则始终关注着中国移动的信息化建设，致力于将先进的行业经验和优秀的产品和解决方案服务于中国移动。

本方案详细阐述了对当今中国移动的竞争分析、NGOSS系统的建设分析、中国移动本土化的解决方案设计以及BEA公司的解决方案综述，本方案力图为中国移动提供一个先进的而又是可行的整体解决方案。

BEA中国系统有限公司中国移动技术白皮书1综述 (5)1.1规模竞争向业务竞争转变 (5)1.2新业务的诞生 (6)1.3移动业务竞争对软件平台的需求映射 (7)1.3.1EIS整体框架结构 (7)1.3.2企业应用集成平台 (9)1.3.3现有业务与Internet的嫁接 (11)1.3.4CRM系统的客户感知渠道的建设 (12)1.3.5建立新的商业价值链 (13)2NGOSS系统概述 (15)2.1NGOSS™的体系结构综述 (17)2.2NGOSS™系统实现 (19)2.2.1规划管理 (19)2.2.2企业级应用体系结构 (19)2.2.3技术实现 (23)3中国移动业务支撑系统的建设分析 (24)3.1中国移动业务支撑系统现状分析 (24)3.2NGOSS™与中国移动 (25)3.2.1综合接入门户 (26)3.2.2核心业务平台 (28)3.2.3系统互联平台 (29)4BEA TELCO-PLATFORM解决方案 (33)4.1解决方案综述 (33)4.2W EBLOGIC E NTERPRISE™构筑核心平台 (34)4.2.1核心业务平台描述 (34)4.2.2BEA WebLogic Server核心功能简介 (35)4.2.3BEA Tuxedo核心功能简介 (38)4.3W EBLOGIC P ORTAL™实现综合接入门户 (39)4.3.1接入门户方案描述 (39)4.3.2Weblogic Portal核心功能简介 (41)4.4W EBLOGIC I NTEGRATION™建立EAI平台 (44)4.4.1解决方案描述 (44)4.4.2BEA Weblogic Integration核心功能简述 (47)4.5BEA PS助力完整解决方案 (49)5结语 (50)1综述中国的电信市场无疑是当今全国、亚太乃至全球市场中最为炙手可热的市场之一。

交换机技术白皮书一．不同层次上的交换机首先我们对一个很普通的网络结构进行讲解，以大概描述在不同层次上的交换机应该具备的功能；1．接入型2层交换机接入型2层交换机直接接入用户的PC机，为了避免因为办公室内用户的增加而再添加2层交换机，办公室内的2层交换机最好具备16或者24个10/100M以太网接口，然后使用百兆或者千兆以太网接口与汇聚层的3层交换机进行连接；从安全上考虑，交换机、路由器并不会产生恶意的数据，为了最大限度的保护用户PC的安全，需要网络内的2层具备多种功能。

比如，如果2层交换机不支持广播速率限制功能，那么办公室内的某台PC因为出故障或者因为故意的破坏而向交换机发出大量的广播数据，那么这些数据就将会被其它PC接收到，从而会浪费其它PC大量的cpu资源而导致PC的速度严重变慢，并且会浪费2层交换机与3层交换机之间的带宽，导致其它PC机上网速度严重下降；再比如，现在网络病毒泛滥，为了保护其它PC不受感染，如果在2层交换机上使能各种ACL策略，也可以使其它PC受到保护、同时也节约了带宽；为了管理上的方便，2层交换机也应该支持可被远程管理；在有些场合，需要对接入的用户进行认证，如果接入交换机不支持认证功能，那么就需要将认证功能交给汇聚层的交换机或者更上层的设备进行，那么未被认证的用户就有可能对其它用户进行恶意的攻击；因此，2层交换机虽然性能不是很高，然而在网络中，对它的要求也是很高的，因为它可以在很大程度上保证网络的正常运行。

2．汇聚层3层以太网交换机根据网络的大小，汇聚层3层以太网交换机的数量上可能不一样，它的功能主要是完成多个子网之间数据的转发（不使用路由器而使用3层交换机的原因主要是价格以及转发性能的原因）。

需要3层交换机来进行子网间数据转发的原因是：一个LAN就是一个广播域，如果不划分多个LAN，就会导致LAN内的广播数据报过多而降低网络的性能，导致LAN内通信变得很缓慢。

从3层交换机在网络中的层次以及功能上看，3层交换机首要的任务是完成多个子网间数据的快速转发、以及3层交换机之间的数据转发。

DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、可靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用，甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延？很显然，传统的基于串行设计思想的硬件和软件架构，无论是X86、ASIC或是NP，都无法承受成千上万条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库……。

DPX8000系列BRAS业务板用户手册手册版本：v2.0产品版本：BRAS1000BLADE-A-S211C008D013P01声明Copyright © 2008-2016杭州迪普科技有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

为杭州迪普科技有限公司的商标。

对于本手册中出现的其他所有商标或注册商标，由各自的所有人拥有。

由于产品版本升级或其他原因，本手册内容有可能变更。

杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

杭州迪普科技有限公司地址：杭州市滨江区通和路68号中财大厦6层邮编：310051网址：邮箱：support@7x24小时技术服务热线：400-6100-598约定图形界面格式约定格式意义【】带方括号“【】”表示各类界面控件名称、选项卡和数据表。

如“选择【网络管理】选项卡”。

=> 多级菜单用“=>”分隔。

如“选择【基本】=>【防火墙】=>【包过滤策略】菜单项”。

< > 带尖括号“< >”表示按钮名称，如“单击<确定>按钮”。

各类标志约定格式意义表示操作中必须注意的信息，如果忽视这类信息，可能导致数据丢失、功能失效、设备损坏或不可预知的结果。

表示对操作内容的描述进行强调和补充。

目录1产品概述................................................................................................................................................ 1-11.1概述.................................................................................................................................................... 1-11.2产品简介 ............................................................................................................................................ 1-11.3 Web管理系统介绍............................................................................................................................. 1-11.4登录WEB管理界面 ........................................................................................................................... 1-21.5常用操作介绍 ..................................................................................................................................... 1-3 2接入策略................................................................................................................................................ 2-12.1地址池配置......................................................................................................................................... 2-12.2认证服务器配置.................................................................................................................................. 2-42.3域配置................................................................................................................................................ 2-82.4免认证配置....................................................................................................................................... 2-112.5云业务配置....................................................................................................................................... 2-123 PPPoE .................................................................................................................................................. 3-13.1 PPPoE简介 ....................................................................................................................................... 3-13.2 PPPoE配置 ....................................................................................................................................... 3-13.3在线用户 ............................................................................................................................................ 3-43.4接口会话数限制.................................................................................................................................. 3-64 IPoE ...................................................................................................................................................... 4-14.1 IPoE简介........................................................................................................................................... 4-14.2 IPoE配置........................................................................................................................................... 4-24.3在线用户 ............................................................................................................................................ 4-44.4接口会话数限制.................................................................................................................................. 4-55 Portal ..................................................................................................................................................... 5-15.1 Portal简介 ......................................................................................................................................... 5-15.2 Portal配置 ......................................................................................................................................... 5-15.3在线用户 ............................................................................................................................................ 5-35.4接口会话数限制.................................................................................................................................. 5-46 802.1X ................................................................................................................................................... 6-16.1 802.1X简介 ....................................................................................................................................... 6-16.2 802.1X配置 ....................................................................................................................................... 6-16.3在线用户 ............................................................................................................................................ 6-3 Copyright © 杭州迪普科技有限公司 I7用户管理................................................................................................................................................ 7-17.1用户配置 ............................................................................................................................................ 7-18 NAT配置............................................................................................................................................... 8-18.1 NAT简介............................................................................................................................................ 8-18.2源NAT ............................................................................................................................................... 8-29 VPN配置............................................................................................................................................... 9-19.1 VPN简介 ........................................................................................................................................... 9-19.2 L2TP .................................................................................................................................................. 9-110 ALG配置 ........................................................................................................................................... 10-110.1 ALG配置........................................................................................................................................ 10-110.2 DNS ALG ....................................................................................................................................... 10-111 DDOS防护........................................................................................................................................ 11-111.1基本防护配置 ................................................................................................................................. 11-111.2 SYN Flood防护.............................................................................................................................. 11-211.3每IP新建限速防护......................................................................................................................... 11-311.4 DDoS日志配置 .............................................................................................................................. 11-4 12日志管理............................................................................................................................................ 12-112.1认证日志配置 ................................................................................................................................. 12-1 Copyright © 杭州迪普科技有限公司 II1产品概述1.1概述在当今信息化社会中，人们对网络的依赖程度越来越高。

DPtech VSM技术白皮书目录1 概述 (4)2 VSM技术介绍 (5)2.1 概念介绍 (5)2.1.1 VSM成员类别 (5)2.1.2 VSM标识 (5)2.1.3 VSM级联 (6)2.1.4 VSM通道 (6)2.2 VSM的形成 (7)2.2.1 VSM配置 (7)2.2.2 物理连接 (7)2.2.3 拓扑收集 (8)2.2.4 成员主备选举 (9)2.3 VSM管理和维护 (9)2.3.1 统一管理 (9)2.3.2 新成员设备加入 (10)2.3.3 已有成员设备离开 (11)2.3.4 分裂冲突检测 (11)2.3.5 VSM在线升级 (11)2.4 控制平面实现原理 (12)2.5 数据平面实现原理 (13)2.5.1 跨框聚合原理 (13)2.5.2 2~3层设备转发原理 (13)2.5.3 4~7层设备转发原理 (14)2.5.4 优先本框转发原理 (15)3 VSM 状态备份 (16)3.1 会话备份 (16)3.2 策略备份 (16)3.3 各种协议状态备份 (17)4 VSM组网应用 (17)1 概述随着网络规模的不断扩大，网络故障点越来越多，配置和维护的复杂度大幅增加。

为了提高网络及安全设备的可靠性，简化管理和组网，提高网络易用性，本白皮书提出了一种将多台L2~7层物理设备虚拟成一台逻辑设备来管理和使用的技术，也就是虚拟交换矩阵（Virtual Switching Matrix ，即VSM）技术。

通过VSM技术，可大大简化组网的复杂性和提高网络的可靠性，同时网络也更容易配置和维护。

本白皮书将介绍VSM实现原理及如何通过该技术实现交换机、路由器、防火墙、IPS、应用交付等L2~7层设备的虚拟化。

VSM虚拟交换矩阵相对于传统的堆叠方式具有如下几个优势：简化配置，提高带宽利用率。

VSM完全作为一台设备使用，无需使用STP等协议对链路进行阻塞，通过跨设备的链路聚合不仅能够提供链路冗余的功能，还能够支持链路负载分担，充分利用带宽。