当前位置：文档库 › 华为中低端交换机控标主要技术点解析-20150325

华为中低端交换机控标主要技术点解析-20150325

交换路由竞争，常用技术

背板带宽和包转发率 (2)

OAM 的定义 (2)

SFP+和XFP接口区别 (4)

MFF (4)

Smart Link (4)

RRPP (6)

G.8032 ERPS和SEP等环网技术 (6)

VCT(Virtual Cable Test) (7)

Netstream和Sflow、IPFIX (8)

IEEE802.3az的概念-EEE (10)

黑洞MAC (10)

策略vlan (10)

uRPF (13)

可控组播IPTV CAC (14)

DLDP (14)

NQA (15)

APSD (15)

Jumbo巨型帧作用 (16)

背板带宽和包转发率

完全无阻塞交换条件：所有端口容量X端口数量之和的2倍应该小于背板带宽可实现全双工无阻塞交换证明交换机具有发挥最大数据交换性能的条件。

满配置吞吐量(Mpps)=满配置GE端口数×1.488Mpps(其中1个千兆端口在包长为64字

节时的理论吞吐量为1.488Mpps,pps 是每秒64字节包的个数，如果包长更长，同样1个千兆口，那么PPS还不到1.488Mpps)。

例如一台最多可以提供64个千兆端口的交换机，其满配置吞吐量应达到64×1.488Mpps = 95.2Mpps，才能够确保在所有端口均线速工作时，提供无阻塞的包交换。如果一台交换机最多能够提供176个千兆端口而宣称的吞吐量为不到261.8Mpps(176 x 1.488Mpps = 261.8)，那么用户有理由认为该交换机采用的是有阻塞的结构设计。一般是两者都满足的交换机才是合格的交换机。

比如Cisco 2950G-48

背板＝2×1000×2+48×100×2(Mbps)＝13.6(Gbps)

相当于13.6/2=6.8个千兆口

包转发率/吞吐量=6.8×1.488=10.1184Mpps

Cisco4506

背板64G

满配置千兆口

4306×5+2（引擎）＝32

包转发率/吞吐量＝32×1.488=47.616 Mpps

一般是两者都满足的交换机才是合格的交换机。

我司应对：对虚高不合理的参数，可以提出质疑。对于交换机包转发率，24口千兆交换机，华为目前算法，1.5M PPS*24*1.5(冗余)=54 MPPS

OAM 的定义

OAM(Operations, Administration, and Maintenance) 即操作、管理和维护。该机制在传统电信网中已应用很久了，主要是通过故障检测、告警、定位和隔离等手段提高网络的运维水平。目前，各标准化组织正在完成和已经完成的以太网OAM相关标准有：

IEEE 802.3-2005 第57章（原IEEE 802.3ah 第57章）

城域以太网论坛制定的E-LMI（Ethernet Local Management Interface）

Connectivity Fault Management (CFM)即IEEE 802.1ag

ITU-T和城域以太网论坛制定的Y.1731，可兼容802.1ag

一， OAM的用途

连通检测：即检测链路是否能正常传输报文，一般各种OAM协议都采用周期性发送特定报文的方式完成，当一定数量的报文丢失，便判断为链路不可用。例如：在802.3 OAM中，每秒发送一个Information报文，当连续5个报文丢失时，认为链路断开；在802.1ag中，周期性地（周期可配置）发送CCM报文，连续3个报文丢失则认为对方已不可达；在MPLS OAM中，则周期性地发送CV报文和FFD报文。

环回：主要目的是检测链路的双向连通性。方法是将报文发送到目标实体，并由目标实体应答报文，发送者根据返回报文的情况判断连通性。在发送和返回的报文中可以携带各种信息。例如：IP协议中的ping；802.3 OAM中的远端环回；802.1ag中的loopback；MPLS OAM中的LSP Ping。

链路跟踪：方法是将报文发送到目标实体，处于发送路径上、能识别该报文的设备向源实体

回应报文。源实体通过收到的回应报文确定到达目标实体所经过的路径。例如：IP协议中的traceroute ；在802.1ag协议中使用的linktrace。

错误指示：可分为前向错误指示和反向错误指示。在一个路径上，当某个节点发现源节点发送的报文有错误时，它可以通知其他节点，它可以沿着这个路径向下游发送通知，起到预防的作用，这就是前向错误指示；它也可以沿着路径逆向传递，告诉发送者，它发出的报文有错误。

二、协议说明

2.1 802.3ah

802.3 OAM协议属于慢速协议（slow protocol），另一个著名的慢速协议是链路聚合控制协议（LACP）。慢速协议具有如下共同特点：

ü 每秒钟传输的报文不超过10帧。

ü 协议报文（PDU）不带VLAN Tag。

ü 协议报文目的地址为01-80-C2-00-00-02。

ü 协议报文的Type域为88-09。

ü 协议报文不能被转发。（802.3 OAM监控一段链路，从一个以太网口到另外一个以太网口，中间不能经过其他设备。）

2.2 802.1ag

802.1ag针对MAC地址，它判断相应的MAC地址是否可达，从而获得二层网络的相应工作状态和路径。

2.3 重要概念：

域：在逻辑上将网络从内到外划分为不同的层次，称作维护域（Maintenance Domain），维护域可以嵌套，不能交叉，这样，在出现问题时，可以通过问题所在的域的范围判断问题的归属。这个想法的目的是将运营商网络同用户网络隔离开，或者说将网络在逻辑上同实际使用者对应起来，从而产生清晰的界面。当出现问题时，通过在不同域中的判断确定问题的具体位置。

级别：协议中区分不同层次的域的方法是为每个域定义一个级别（level），高级别的域可以嵌套低级别的域。高低级别的域之间是不通信息的，它们各自通报本域内的错误，范围较大的域的802.1ag报文可以穿过较小的域，范围较小的域的报文不可以发送到域的外面。

维护域（Maintenance Domain）：是进行错误管理的一部分网络，维护域的边界由维护端点（MEP）围成。它由维护域名称（一个字符串）唯一标识。它具有的另外一个属性是维护域级别。

维护集（Maintenance Association）：维护集属于某个维护域，由维护域内唯一的名称（一个字符串）标识。它具有的另外一个属性是VLAN。

维护集是指MD中的一个集合，包含一些MP。用“MD名+short MA名”来标识。MA属于一个VLAN，MA中的MP所发送的报文在该VLAN内被转发，同时也接收MA内其它MP发送的报文，因此，MA也被称为服务实例（Service Instance，SI）。

MEP(维护端点)：维护域是有边界的，它的边界就是一个个的端口，因此，只要在边界端口上配置一个实体就可以了，这个实体叫做维护端点（Maintenance association End Point或MEP）。当所有的边界端口都配置了维护端点，域的边界就确定了，域的范围也确定了。MEP属于某个维护集，从维护域和维护集中继承了它们的属性：级别和VLAN。维护端点用一个整数唯一标识，称为MEPID。该整数在维护集内是唯一的。维护端点可发出802.1ag报文。

MIP（维护中间点）：在维护域内的端口上也可以配置实体，叫做维护中间点（Maintenance domain Intermediate Point或MIP）。MEP和MIP统称为维护点（Maintenance Point）。维护点是本协议功能实现的主体，所有的功能均通过维护点的处理得以体现。MIP属于某个维护集，从维护域和维护集中继承了它们的属性：级别和VLAN。维护中间点仅回应收到的802.1ag报文，不会自己主动发出。

2.3 重要参数：级别和VLAN

有两个基本的参数贯串了802.1ag协议的处理，它们就是维护域的级别（level）和它所服务的VLAN。这两个参数将网络进行了划分，它们影响到维护点的归属，影响到802.1ag的报文内容、MAC地址，影响到报文的处理等。

维护域共分为8个级别，从0～7，数字越大，代表的维护域范围越大。级别较小的域中的1ag 报文不能穿过域的边界进入到较大的域中。由于各级别的维护域是嵌套的，如果在级别较大的域中发现了较小级别的报文，就属于一种错误，维护域中的维护点就会报告错误。错误的处理则是系统管理员的工作，有时候可能是网络的错误，也有时候可能就是系统管理员配置错误。VLAN 当然是很重要的，这是目前二层网络的基础，802.1ag协议报文是带有VLAN Tag的，我司应对：这是运营商网络里的特殊需求，且要实现这个功能，网络内所有设备要同步支持，H3C也不能完全支持。

SFP+和XFP接口区别

XFP的速率是10G，并且是串行光收发模块的一种标准化封装。它符合以下标准：10G光纤通道、10G以太网、SONET/OC-192和SDH/STM-64。XFP光模块主要用于数据通讯和电信传输网的光纤传输XFP和SFP+ 的区别：两种不同的接口定义，最明显的是SFP+金手指有20个，XFP金手指有30个金手指，具体参数可以查看两种模块的MSA国际协议。SFP+、XFP用的都是LC接口的尾纤1）SFP+和XFP 都是10G 的光纤模块，且与其它类型的10G模块可以互通；

2）SFP+比XFP 外观尺寸更小；

3）因为体积更小SFP+将信号调制功能，串行/解串器、MAC、时钟和数据恢复(CDR)，以及电子色散补偿(EDC)功能从模块移到主板卡上；

4）XFP 遵从的协议：XFP MSA协议；

5）SFP+遵从的协议：IEEE 802.3ae、SFF-8431、SFF-8432；

总结，SFP+是更主流的设计。

我司应对：一边是SFP+的，一边是XFP，而且参数一样（传输距离相同，波长一样，比如都是10km或是40km、80km，波长1310nm,1550nm等），可以直接连接通信，不存在兼容性问题。SFP+、XFP用的都是LC接口的尾纤

MFF

即Mac Force Forwarding，其核心思想：二层隔离、三层转发、ARP代理，这个功能通常部署在二层交换机上，用于减轻网关ARP处理负担，降低网关受ARP攻击的风险，实现用户间的二层隔离。

我司应对：可以明了，支持此功能即可，我司也支持。

Smart Link

SMART-LINK针对双上行组网，实现主备链路冗余备份及故障快速迁移。用于在以太网交换机上实现链路备份功能，通过手工配置指定链路间的相互备份关系，备份关系一旦指定，即刻生效。SMART-LINK技术应用的典型组网图如下：

在A设备上建立两个互为备份的二层接口（或聚合组）A1和A2，其中一个接口进行流量转发的同时，另一个处于阻塞状态。如图，A1转发流量时，A2被阻塞。此时的流量为图中的红色箭头表示。

如果A1链接的Link1链路故障，那么A2立刻切换为非阻塞状态，开始转发流量。此时的流量为图中的蓝色箭头表示。

A2在从阻塞状态切换为非阻塞状态时，在VLAN内组播发送FLUSH报文，网络中各台设备收到该报文后，根据端口的设置确定是否更新指定VLAN列表的地址转发表。VLAN列表将会在FLUSH报文中携带，地址转发表包括MAC表、ARP（ND）表等。

Smart-link作为轻量级的保护技术，Smart-link的技术特色：

1）相比STP，可以提供最快可达50毫秒的收敛性能

2）相比RRRP，提供了更简捷的配置方式；

3）支持基于VLAN的负载分担，充分利用上行带宽。

Smart-link的局限性和应用限制

1)缺少自己的心跳报文检测机制，无法保护跨传输的链路；

2)轻量级协议，只对上行链路做相互的保护，上面网络的冗余保护需要上面网络自己解决。

术语

3）SMART-LINK技术为双上行组网量身定制，组网比较固定，有一定的局限性

术语

1） SMART-LINK组

译为灵活链路组，包括两条链路，其中一条进行转发，另一条链路阻塞，作冗余备份。

2）主用链路和备用链路

SMART-LINK组中处于转发状态的链路称为主用链路，处于阻塞状态的链路称为备用链路。3）主端口和从端口

SMART-LINK组的主用和备用链路在特定的设备上体现为端口或者聚合组端口，此处统称为端口。为了区分SMART-LINK组中的两个端口，将两个端口分别命名为主端口和从端口，也叫MASTER 端口和SLAVE端口。目前SMART-LINK不支持按角色抢占的方式，因而两个端口对应的链路哪个处于转发状态并不固定，即主从端口和主用备用链路并无固定的对应关系。

4） FLUSH报文

类似于STP协议中的TC报文，为了能够使网络中的设备及时感知网络拓扑变化，SMART-LINK 发送一个FLUSH报文通知其他设备进行地址刷新。但是，由于该技术为私有技术，目前只限于华为和H3C等少部分厂商的一些设备能够识别该报文。对于不识别FLUSH报文的设备，只能通过流量触发MAC地址的更新。

我司应对：SMART LINK为私有协议，此技术效果，我司有相应业内标准对应支持，例如LACP/

RRPP

RRPP(Rapid Ring Protection Protocol)是一个专门应用于以太网环的二层协议，由EAPS协议（Ethernet Automati Protect Switching，rfc3619）发展而来，由华为3Com开发的私有协议（是针对STP的缺陷推出的技术）。

RSTP/MSTP应用比较成熟，但收敛时间在秒级。RRPP是一个专门应用于以太网环的链路层协议。它在以太网环完整时能够防止数据环路引起的广播风暴，而当以太网环上一条链路断开时能迅速启用备份链路以保证环网的最大连通性。

与STP协议相比，RRPP协议有如下优点：

拓扑收敛速度快（低于50ms）

收敛时间与环网上节点数无关（不受网络规模影响）

RRPP技术不足点是：不能和xSTP网络兼容组网。

RRPP多实例

在RRPP组网中，一个环上只能有一个主节点。当主节点处于Complete状态时，被阻塞的副端口会阻止所有用户报文通过。这样，所有用户报文在RRPP环上通过一条路径传输。主节点副端口侧的链路空闲，造成带宽浪费。 RRPP多实例基于域实现。在一个域中，所有端口、节点角色、拓扑都遵循基本的RRPP原则。与RRPP不同的是，RRPP多实例在一个RRPP环上可以存在多个域。

一个域内可以包含一个或多个实例，每个实例代表一个VLAN范围。这些包含在域中的VLAN，称为RRPP域的保护VLAN。保护VLAN包括属于该域的数据VLAN、主环控制VLAN和子环控制VLAN。在RRPP多实例组网中，在同一个环路上存在多个主节点。根据主节点的Secondary Port阻塞属性即可实现业务流量的负载分担和链路备份。

我司应对：目前，解决二层网络环路问题的技术有RSTP/MSTP和ERPS等多种标准协议，我司都支持

G.8032 ERPS和SEP等环网技术

ERPS（Ethernet Ring Protection Switching）：以太网多环保护技术，是业内标准。

在2008年12月举行的ITU-TSG15的全会上，要对以太网环网保护标准G.8032的V1版本的修订版（Amendment1)进行讨论和表决，这个修订版主要增加以太网多环的保护方案。多环保护模型是G.8032标准中多环保护的技术核心，在实际网络中有较大的应用价值，技术实现难度大，也是各个厂商技术竞争的热点。会上，中兴通讯、诺基亚西门子、阿尔卡特朗讯、华为等主流设备厂商针对多环保护模型展开了激烈的技术辩论，最终中兴通讯提出的“Sub-ring子环划分模型”脱颖而出，被大会采纳。ITU-TG.8032多环标准的发布，标志着以太环网保护技术ERPS真正具备了成熟商用的条件，各厂家基于标准的互通也成为可能。已经成为ITU-TG.8032 国际标准，与2008年12月修订完成并表决通过。

ITU-TG.8032ERPS以太环网标准吸取了EAPS、RPR、SDH、STP等众多环网保护技术的优点，优化了检测机制，可以检测双向故障，支持多环、多域的结构，在实现50ms倒换的同时，支持主备、负荷分担多种工作方式，成为了以太环网技术最新的成熟标准。

智能以太保护SEP(Smart Ethernet Protection)技术

华为公司于2010年推出了SEP协议，华为以太环网技术SEP技术，比RRPP RPR适应性更强，支

持拓扑更广泛，可和STP融合使用的以太网环网技术。SEP是一种专用于以太网链路层的环路保护机制，它通过有选择性地阻塞网络环路冗余链路，来达到消除网络二层环路的目的，有效防止形成网络风暴。

SEP协议的收敛性能和RRPP协议相当，在IEEE802.1中的位置和STP相同。 SEP协议支持半环和全环两种基本拓扑，保证其基本拓扑在任何时刻都有一个断点。SEP是华为的私有协议，不能和其他公司设备直接对接

SEP技术优势

SEP以网络段为单位。在SEP段完好的情况下，一个SEP段阻塞一个端口，从而避免了环路产生。当环网发生链路故障时，可以迅速地放开阻塞端口，进行链路倒换，恢复环网上各节点通信通路。SEP组网协议简单，是通过软件来实现的，无需专门的硬件即可支持SEP，不会额外增加客户投资。SEP能和现网xSTP兼容组网，很好保护现网投资。SEP技术能给客户带来其他更多应用价值：SEP收敛时间远小于xSTP，并且和网络规模无关，最快达到50ms，很好支撑语音和视频业务保护倒换。

SEP组网灵活，既支持封闭环，也支持开放环。SEP可以支持更复杂的多环组网拓扑，环换任意相连，各环独立存在，增加子环非常方便。

在SEP网段上，在任意节点都可以查看该网段拓扑信息，方便状态查看和维护。根据流量状态，灵活修改指定断点来优化网络流量，达到网段两边的流量均衡;其他环网技术不能做到灵活指定断点，很难做到断点两边流量均衡。

VCT(Virtual Cable Test)

虚拟电缆检测功能VCT,是利用TDR(Time Domain Reflectometry-时域反射测试)来检测网络线缆的物理状态。TDR检测原理类似于雷达，它工作方式是通过主动向导线发射一个脉冲信号并检测所发送的脉冲信号的反射结果来检测电缆故障。当发送的脉冲信号通过电缆的末端或电缆的故障点时，就会引起部分或全部的脉冲能量被反射回来到达原来的发送源，VCT技术根据测量脉冲信号在导线中的传输获得信号到达故障点或返回的时间，然后根据公式将相应时间换算为距离值。通过VCT可以检测电缆状态、故障距离是否极性交换、插入信号衰减、返回信号衰减等。

用户可以使能VCT特性对以太网电口连接电缆进行检测，开启系统对以太网电口连接电缆的检测功能。检测内容包括电缆的接收方向和发送方向是否存在短路、开路现象，同时可以检测出故障线缆的位置。

使用VCT可以检测到一下几种线缆状态故障：

SHORT：表示短路，即2根或更多的导线短接在一起。

OPEN：表示开路，表示网线中可能有线断掉了。

NORMAL：表示网线连接正常。

NOT USED：网线没有使用。

IM MIS：表示阻抗不匹配，因为5类线的阻抗为100欧，为了防止波形反射和数据错误，线缆两端的终止器阻抗也必需是100欧。

ERROR LOCATE说明问题点距离交换机端口的大概距离，单位是米，误差大约是2米。如果状态是NORMAL，那么该值为0。

PHYTYPE表明使用的是10M/100M/1000M三种物理接口中的哪一种。

我司应对：VCT技术效果，我司交换机有链路检测功能（line-detect），等同于此效果

SNMP和RMON

大部分网管系统还只是采用一些通用型的网络链路使用率监视软件，如MRTG，利用SNMP协议对网络的重点链路和互联点进行简单的端口级流量监视和统计；或采用在网络中部分重点POP点加装RMON探针的方式，利用RMON I/II协议对网络中部分端口进行网络流量和上层业务流量的监视和采集。

上述两种被普遍采用的网络流量分析系统都有其显著的技术局限性。

利用SNMP协议能够对被监视的各个网络端口进出的数据包数和字节数进行采集，但采集到的流量信息较为粗糙，不但包括网络层的客户业务流量信息，还包括链路层的数据帧包头，Hello数据包，出错后重新传送的数据包等流量信息。而且SNMP协议还无法区分网络层数据流量中各种不同类型客户业务在总流量中的分布状况，也无法对进出的流量进行流向分析。

利用RMON协议对运营商网络进行流量和流向管理可以部分弥补SNMP协议的技术局限性，如可以对业务流量进行统计，但同时也暴露出新的技术局限性。首先，由于RMON协议需要对网络上传送的每个数据帧进行采集和分析，会耗用大量的CPU资源因而不可能由网络设备本身实现，需要额外购买和安装内置式或外置式的RMON探针。市场上现有的RMON探针处理能力也有限制，还不能支持监控端口速率超过1Gbps的网络端口。其次，因为RMON探针为的硬件设备，价格较贵，所以不可能为每台网络设备都配备，且由于RMON探针，特别是内置式RMON探针接入网络后不易变更，所以必然会造成出现异常事件时无法及时对特定的网络链路进行监控。最后，由于RMON探针采集到的管理数据是由分析每个数据包后得到的，数据量非常大且分散，协议缺乏内建的数据汇总机制，而且还不包括每个数据包的BGP AS号或路由Next Hop信息，所以不易对数据进行高层次的流向分析。这些因素都会阻碍利用RMON协议对大型网络进行流量和流向分析的有效性。

Netstream和Sflow、IPFIX

netstream是网络数据监控技术的一种（属于华为公司的私有协议），提供报文统计功能，它根据报文的目的ip地址、目的端口号、源ip地址、源端口号、协议号和tos来区分流信息，并针对不同的流信息进行独立的数据统计。

netstream数据采集和分析过程如下：

(1)交换机把采集到的流的详细信息定期发送给nsc（netstream collector，网络流数据收集器）；

(2)信息由nsc初步处理后，发送给nda（netstream data analyzer，网络流数据分析器）；

(3)nda对数据进行分析，分析结果用于计费和网络规划等。

一个典型的NetStream 系统由NDE、NSC 和NDA 三部分组成：

1、NDE(NetStream Data Exporter，网络流量采样)。NDE负责对网络流进行采集和发送，提取符合条件的流进行统计，并将统计信息输出给NSC设备。输出前也可对数据进行一些处理，比如聚合。配置了NetStream 功能的设备在NetStream 系统中担当NDE 角色。

2、NSC(NetStream Collector，网络流量采集)。NSC通常为运行于Unix 或者Windows 上的一个应用程序，负责手机和存储来自NDE的报文，把统计数据收集到数据库中，可供NDA进行解析。NSC可以采集多个NDE设备输出的数据，对数据进行进一步的过滤和聚合。

(3)NDA(NetStream Data Analyzer，网络流量分析)。NDA是一个网络流量分析工具，它从数据库中提取统计数据，进行进一步的加工处理，生成报表，为各种业务提供依据(比如流量计费、网络规划，攻击监测)。通常，NDA具有图形化用户界面，使用户可以方便地获取、显示和分析收集到的数据。

Netflow网络流量分析协议

NetFlow为Cisco之专属协议（Netflow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的，并于同年5月注册为美国专利，专利号为6,243,667），提供IP中第三层之信息，可用来了解网络设备所传输之封包表头内容，依据此内容将所获得之资料加以统计，便可为网络流量统计、网络使用量计价、网络规划、网络监测等应用提供计数根据。同时，NetFlow也提供针对QoS(Quality of Service)的测量基准，能够捕捉到每笔数据流的流量分类或优先性特性，而能够进一步根据QoS进行分级收费。

Netflow支持同时向两个管理服务器地址输出采集到的网络流量和流向统计信息，输出数据的方式有三种：

简单高效UDP传输协议方式（传统方式）。但由于采用了UDP协议，数据传输的可靠性是不保证的。

SNMP MIB方式。管理服务器可以通过SNMP协议访问网络设备Netflow MIB库中存储的数据流Top N统计结果。

可靠的SCTP传输协议方式。利用SCTP传输协议，支持拥塞识别，重传和排队机制，确保Netflow 统计结果数据正确发送给上层管理服务器。

Netflow V9的优势：

1）rfc3954总共定义了65个数据流信息的属性类型，而Cisco在此之上将属性类型扩展到82个，后续还能进行扩展。这表明Netflow V9能够根据技术的发展对未来数据局流实现更加细致的统计和分析。

2）无论是针对Netflow本身的配置还是针对流量统计的配置，均以模板的方式实现，可以通过对模板的各个records进行调整来适应具体的网络环境和监控需求，具有高度的灵活性。

3）数据流的统计通过模板和data记录来实现，这使得每一次扩展升级对exporter和collector的影响非常小，只需要更新相应的模板就可以了，不需要每次都对设备硬件进行升级。

Netflow V9的不足：

开放性不够：Cisco的Netflow v9虽然提交了相关RFC，但是在RFC主要介绍了v9的数据包格式和一些关键概念的定义说明。对数据流的检测、输出、分类等并未进行较细致的规定（根本未提及），这些内容Cisco内部有机制，但是未公开

安全性不够：Netflow v9的设计初衷是将输出器和收集器定义在一个独立的私有的网络中，但现在很多时候Netflow v9被用来在公共网络中传输数据流记录，这导致一定程度的安全风险。在RFC和Cisco提供的白皮书中未找到其他任何相关的机制和说明。Cisco可能通过其他独有的上层手段来保障安全性，但是Netflow v9本身的安全完整性还是有所不足。

sFlow网络流量分析协议

sFlow是一种基于标准的最新网络导出协议(RFC 3176)，能够解决当前网络管理人员面临的很多问题。通过将sFlow技术嵌入到网络路由器和交换机的ASIC芯片中，sFlow已经成为一项线速运行的“永远在线”技术。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够大大降低实施费用，采用它可实现面向每一个端口的全企业网络监视解决方案。

IPFIX网络流量分析协议

IPFIX是ietf基于Netflow v9而开发的最新的数据流输出标准。IPFIX不但继承了Netflow v9基于模板的流信息输出格式，而且在此基础上对数据流输出的典型应用进行了输出规范的建议，另外Netflow中未涉及到的安全性问题在IPFIX中也进行了说明。

IPFIX的优势：

1）继承了Netflow v9的灵活性和扩展性；

2）定义了4个组件，增加了监测进程（Netflow只有3个组件），将组件的功能划分得更加细致；

3）就流量监控的功能引入了应用相关，针对不同的应用在监控内容上进行了明确的区分；

4）在RFC中对安全性和可靠性作出了明确的要求，对可能出现的隐患进行了说明；

5）详细规范了输出和监测进程的细节；

IPFIX的不足：

1）在对flow的描述上仅提供了30多个属性，远低于netflow v9的85个属性；

2）对安全性方面的保障机制仅提出要求，需要依赖于第三方技术和协议来实现；

3）对flow信息的加密技术和机制没有任何说明，缺乏标准本身的整体完整性；

常见的网络流量协议包括：

IEEE802.3az的概念-EEE

IEEE802.3az是经过电子电气工程师协会(IEEE)正式批准的标准节能规范，其中EEE三个字母是Energy Efficient Ethernet的缩写，意思是高效节能以太网。如果硬件设备支持该标准，就可以在互联网使用或者以太网活动处于空闲状态的时候降低网络连接两端的能耗，开始正常传输数据的时候则恢复正常供电。

EEE标准为以太网设备规定的降低能耗方式是定义低功耗模式。一个没有可发送帧的收发器就可以进入低功耗模式，当有新帧到达时，收发器会在数微秒内返回活动模式，从而实现了对协议上层几乎透明的节能。

黑洞MAC

黑洞MAC地址表项：由用户手工配置的一类特殊的MAC地址，当交换机接收到源地址或目的地址为黑洞MAC地址的报文时，会将该报文丢弃,不会被转发到网络中。

。一般在检测到某个病毒源之后，把该PC的mac地址配置为黑洞mac(black-mac),就可以保证网络的安全了。该pc就被孤立了。

意思就是你给他发的信息他收到了,但是不会转发,也不会告诉你.靠这个原理来解决环路的. 华3的,思科的设备都支持这个

无需手动配置，用命令配置好，自动检测

策略vlan

当前VLAN划分的的主要策略

1. 基于端口的VLAN

基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是

2. 基于MAC地址的VLAN

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时，该方案亦不失为一个好的方法，但随着网络规模的扩大，网络设备、用户的增加，则会在很大程度上加大管理的难度。

3. 基于路由的VLAN

路由协议工作在七层协议的第三层：网络层，即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

4. 基于策略的VLAN

基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。

就目前来说，对于VLAN的划分主要采用1、3两种模式，对于方案2则为辅助性的方案。

90%以上的网络设计，其VLAN的划分依然基于交换机端口来完成，这种传统的VLAN进入方式其局限性和安全隐患是显而易见：

1）用户终端位置的变更需要网络管理人员对交换机端口进行重新配置。

2）入侵者接入任何一个端口，通过简单的扫描软件将可以获得相应VLAN的所有信息，包括IP 子网信息，网关地址，用户IP/MAC信息，甚至用户安全认证信息。

3）对于访客，如果我们没有专门为其预留端口，其接入将会给我们网络带来安全隐患；如果专门为其预留网络端口，在网络的什么位置预留，预留端口数量也将是困扰网络管理员的重要问题；同时，端口的预留也是对网络资源的一种浪费。

以Alcatel OmniSwitch为例，以其策略VLAN为基础来进一步分析网络的接入安全控制。

Alcatel的策略VLAN:

Alcatel策略VLAN打破了这种以固定端口划分VLAN的传统模式，将每一个VLAN赋予一定的策略，用户终端最终进入哪一个VLAN与其接入的交换机端口无直接联系，而与终端的特性是否与VLAN策略的匹配相关；Alcatel策略VLAN实现了用户终端真正的即插即用，同时为用户、终端提供安全的数据隔离。Alcatel的VLAN策略包括：

IP子网策略

MAC地址策略

IP/IPX协议策略

IP/MAC绑定策略

IP/MAC/PORT绑定策略

用户认证策略

802.1X认证

MAC认证

WEB认证

DHCP策略

举例所示：交换机中VLAN10,11,13分别通过不同的策略进行定义

当PC A接入交换机时，交换机将对PC A的MAC, IP,等特性进行自动检测，根据检测的结果将PC A的MAC放入匹配策略的VLAN，VLAN的定义与交换机的端口无关，当PC A移动到另一个端口时，由于PC A本身的属性并为发生改变，PC A依然自动进入相同的VLAN。

当外来PC接入网络时，由于无法匹配任何VLAN策略，入侵者将无法进入工作（有效）VLAN，被交换机有效地隔离。我们称入侵者目前所在的VLAN为隔离VLAN，重要的是，由于隔离VLAN是一个单独封闭的区域，使得入侵者即使使用网络扫描软件也无法得到位于工作（有效）VLAN用户的任

总结：

Alcatel 策略VLAN解决了以下两个问题：

用户移动性：用户进入相应VLAN与接入端口无关，真正实现移动接入；

安全接入：对于非法用户，无论从交换机的哪一个端口接入都将被屏蔽在工作（有效）VLAN

之外。

下面我们从接入安全的角度来介绍一下常用的各种策略VLAN的适用场合：

IP子网策略：由于我们在网络设计时通常将不同的业务部门划分到不同的VLAN，同时将VLAN

对应不同的IP子网；因此，IP子网策略适用于对安全需求不高，对移动性和简易管理需求较高的的网络设计中。通常采用以下一条命令就完成了一个IP子网策略VLAN的设定：vlan 10 ip

192.168.10.0 255.255.255.0；当用户终端的IP地址设为192.168.10.x时，该终端将自动进入VLAN 10.

安全性：进入IP子网VLAN的先决条件是必须知道交换机中定义了哪些IP子网（通过网络扫描是无法得到的，参看上面对隔离VLAN的介绍）

MAC地址策略：MAC地址策略需要我们事先将归属该VLAN的终端MAC地址配置到交换机上（MAC

地址可以通过交换机自动学到），只有符合我们预设的MAC地址的终端才可以进入该VLAN。MAC

地址VLAN相比IP子网VLAN安全性要高，但配置工作量相对较大；策略适用于对安全和移动性需求较高的网络设计中。MAC地址VLAN通常采用以下命令就完成设定：vlan 11 mac 01:01:01:02:02:02；当用户终端的MAC地址设为01:01:01:02:02:02时，该终端将自动进入VLAN 11.

安全性：进入MAC子网VLAN的先决条件是必须知道交换机中是否定义的MAC VLAN策略，同时需知道至少一个已定义的MAC地址。（通过网络扫描是无法得到的，参看上面对隔离VLAN的介绍）

IP/MAC绑定策略：IP/MAC绑定策略需要我们事先将归属该VLAN的终端IP/MAC配置到交换机上（IP/MAC可以通过交换机自动学到），只有符合我们预设的IP/MAC地址的终端才可以进入该VLAN。IP/MAC绑定地址VLAN相比MAC VLAN安全性更高，适用于对安全和移动性需求非常高且VLAN用户较少的网络设计中。IP/MAC绑定VLAN的另一个作用是禁止符合策略的用户对IP或MAC进行改动，

IP/MAC的改动将失去VLAN策略的匹配，该终端从而被放入隔离VLAN。IP/MAC绑定VLAN通常采用以下命令完成设定：vlan 11 binding mac-ip 00:00:39:59:0a:0c 21.0.0.10；当用户终端的IP

地址设为21.0.0.10，MAC为00:00:39:59:0a:0c 时，该终端将自动进入VLAN 11.

安全性：进入IP/MAC子网VLAN的先决条件是必须知道交换机中是否定义了IP/MAC VLAN策略，同时需知道至少一个已定义的IP/MAC地址。（通过网络扫描是无法得到的，参看上面对隔离VLAN 的介绍）

用户认证策略：用户认证VLAN与上述策略VLAN的最大不同是检测终端使用者的合法性而非终端本身的合法性，更适用于多人共用终端的场合。我们为终端用户提供合法账号，不同的账号对应不同的VLAN或决定交换机端口的开、闭（802.1x），终端进入哪一个VLAN由用户账号决定。由于是对用户的认证，所以该策略的实施必须引入用户认证服务器来完成相应的认证、授权工作，相对增加了网络管理的复杂度。

安全性：进入用户认证VLAN的先决条件是必须获得合法的用户账号（当采用认证服务器回指VLAN属性的方式时，由于用户在认证过程中的通信是在隔离VLAN中完成的，只有认证通过后才会进入工作VLAN；因此，认证的加密就非常有必要）

DHCP策略：DHCP是终端自动获得IP地址的协议，对于访客非常方便。通过对VLAN定义DHCP，使得访客自动获得IP地址并进入相应的访客VLAN。通常采用以下命令完成一个DHCP策略VLAN的设定：vlan 10 dhcp port 3/1-24；当用户终端的IP地址设为自动获得时时，该终端将自动进入VLAN 10并获得相应的IP地址。

安全性：无特殊安全性，便于访客的灵活接入同时与保障企业内网的安全隔离。

Alcatel基于策略VLAN的安全接入解决方案:

对于一个企业，拥有众多的部门，包括工程、销售、财务、领导以及访客等，我们在作网络规划设计时根据不同部门对网络安全的要求不同，予以不同的VLAN策略，使整个网络在安全、灵活、易用和易管理几个方面达到最大的统一。下面就一个典型案例进行具体分析、设计。

在这个案例中我们将用户按安全级别分为4类：

安全级别高、且端口固定：如财务部

安全级别高、且有移动要求：如领导

安全级别一般、且有移动要求：业务部门，如工程、销售

安全级别低、访问受限制：如访客和临时部门

MUX VLAN

定义：MUX VLAN是一种包含上行端口和业务虚端口的VLAN。一个MUX VLAN可包含多个上行端口，但只包含一个业务虚端口。不同MUX VLAN间的业务流相互隔离。

原理：MUX VLAN分为Principal VLAN和Subordinate VLAN，Subordinate VLAN又分为Separate VLAN和Group VLAN，MUX VLAN与接入用户存在一对一的映射关系，因此可根据VLAN区分不同的接入用户。例如，当需要用VLAN区分用户时，可以使用MUX VLAN。

作用：MUX VLAN（Multiplex vlan ）提供了一种在VLAN内的端口间进行二层流量隔离的机制。

需求：在企业网络中，企业员工和企业客户可以访问企业的服务器。对于企业来说，希望企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间可以互相交流，而企业客户之间是隔离的。

应用场景：

如图所示，根据MUX VLAN特性，企业可以用Principal PORT连接企业服务器，Separate PORT 连接企业客户，Group PORT连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器，而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。

我司应对：这是华为和H3C的私有协议，可以通过acl或保护口来替代

uRPF

uRPF是一种单播逆向路由查找技术，用来预防伪造源地址攻击的手段。之所以称为逆向，是

针对正常的路由查找而言的。一般情况下路由器接收到报文，获取报文的目的地址，针对目的

地址查找路由。如果找到了进行正常的转发，否则丢弃该报文。

urpf通过获取报文的源地址和入接口，以源地址为目的地址，在转发表中查找源地址对应的接口是否与入接口匹配。如果不匹配认为源地址是伪装的，丢弃该报文。通过这种方式urpf就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。在s1 上伪造源地址为2.2.2.1 的报文向服务器s2 发起请求，s2 响应请求时将向真正的“2.2.2.1”即s3 发送报文。这种非法报文对s2 和s3 都造成了攻击。

攻击者使用随机改变源地址的方法发起攻击。在本例子中，源地址使用一些保留的非全局的ip 地址，因此不可达。其实即使是一个合法的ip 地址，只要是不可达的也可以用来发起攻击。

另一种情况：攻击者可以伪造一个源地址，该地址是另一个合法网络的地址并且在全局路由表中存在。例如，攻击者伪造一个源地址使得被攻击者认为攻击来自于伪造的源地址，但实际上该源地址是完全无辜的，并且有时候网络管理员会因此而关闭所有来自源地址的数据流，这样正好使得攻击者的拒绝服务攻击成功实现。

更复杂的情形是tcp syn 洪泛攻击将使得syn-ack数据包发送到完全与攻击无关的许多主机，而这些主机就成了牺牲者。这使得攻击者可以同时去欺骗一个或者多个系统。

同样也可以采用udp 和icmp 洪泛攻击。

所有这些攻击都会严重的降低系统性能，甚至使得系统崩溃。urpf 就是为了防范这种攻击而使用的一种技术。

可控组播IPTV CAC

IPTV中的BTV（电视直播）业务，是非常适合利用组播技术来进行传输的，因为对于观看同一频道的大量用户来说在同一时间收看的是同一内容。媒体服务器仅发送一份该直播电视频道的报文，网络在用户的分支点才进行复制，在分支点以上的网络只需传送一个数据流，大大减轻了网络的带宽及服务器资源。

如何将各个频道名翻译为网络设备、服务器能够识别和区分的语言，就需要为不同的频道名分配唯一的组播地址。比如为CCTV5分配225.0.0.5的组播地址。用户在选择观看CCTV5频道的时候，实际上是一个加入225.0.0.5组播组。

可控组播是华为公司提出的一整套可运营、可管理的组播技术解决方案。可控组播主要解决在IPTV宽带运营网络上提供对组播用户、组播源、组播组的控制，完备的、可扩展的计费手段和对组播网络的监控、管理手段。

可控组播的实现机制是用户在营业厅开户定购直播频道节目，其信息记录到SMS业务管理系统，SMS系统通过标准的TL1接口将用户的信息通知到网管NMS系统，NMS系统通过SNMP协议将对于用户的控制信息发送到组播控制点（BRAS/DSLAM/L2）等网络上，组播控制点根据该信息实现组播权限转发，仅向IPTV合法用户转发组播报文。

DLDP

光纤错接和链路单通可能会导致STP网络出现广播风暴，DLDP （Device Link Detection Protocol）是华为私有的二层协议，用于检测这类场景。

在网络施工和维护中，光纤错接是一种较为常见的问题，包括：

光纤交叉连接

链路单通，又包括如下情况：

强制模式直连单纤中断

非直连，经过传输的单纤中断

部分低端光模块不插光纤也UP

DLDP的技术特色

支持检测光纤错误连接

支持检测单通

支持和环网保护协议叠加应用，提高网络的容错性

DLDP的局限性和应用限制：合理部署时，DLDP本身不存在明显限制，但要注意互通性，因为为

非标准协议，和其他厂商对等协议的互操作性不好

DLDP的应用场景和注意点：适合用于错纤、链路单通的检测场景。

NQA

NQA(Network Quality Analyzer)网络质量分析是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA还提供了与Track和应用模块联动的功能，实时监控网络状态的变化。 NQA通过发送测试报文，对网络性能或服务质量进行分析，为用户提供网络性能参数，如时延抖动、HTTP的总时延、通过DHCP获取IP地址的时延、TCP连接时延、FTP连接时延和文件传输速率等。

利用NQA的测试结果，用户可以：

1.及时了解网络的性能状况，针对不同的网络性能，进行相应的处理；

2.对网络故障进行诊断和定位。

NQA还提供了与Track和应用模块联动的功能，实时监控网络状态的变化，及时进行相应的处理，从而避免通信的中断或服务质量的降低。

NQA具有以下几个特点：

1.支持多种测试类型

传统的Ping功能是使用ICMP（Internet Control Message Protocol，互联网控制报文协议）测试数据包在本端和指定目的端之间的往返时间。NQA是对Ping功能的扩展和增强，它提供了更多的功能。

目前NQA支持11种测试类型：ICMP-echo、DHCP、DNS、FTP、HTTP、UDPjitter、SNMP、TCP、UDP-echo、Voice和DLSw测试。

2.支持多测试组并发

NQA模块支持多个测试组并发，用户可以根据需求手工配置并发个数。但对于DHCP测试，同一时刻只允许有一个测试组进行测试。

3. 支持联动功能

联动功能是指NQA提供探测功能，把探测结果通知其他模块，其他模块再根据探测结果进行相应处理的功能。目前实现了与VRRP、静态路由、备份中心和策略路由的联动。

APSD

APSD(Automatic Power Save Delivery) WiFi联盟的WMM省电认证协议，能够加长Wi-Fi设备的电池寿命。

在路由器中 APSD Capable：自动省电模式，一般默认为关闭。

另一拼法的缩写：Automatic Power ShutDown -- 自动功率关断

降低耗电量的方法，均必须尽可能让用户装置使用低功耗的睡眠模式，而802.11芯片必须以睡眠模式的最低可能耗电量支持此种作法。例如，Atheros 的AR6000移动型射频单芯片

(radio-on-a-chip mobile;ROCm)装置，实现了极低耗能量的睡眠模式，以及自动省电模式(Automatic Power-Save Delivery;APSD)技术。ROCm同时提供绝佳的性能，能启用高速传输以缩短发送/接收的时间，而芯片上的嵌入式处理器之自给式驱动程序，可分摊处理主机处理器上的经常性的网络维护操作。通过以上的做法与其他省电策略，ROCm芯片能改善WLAN操作的耗电效率，效果可比传统WLAN芯片的高达六倍，因此能改善电池寿命。现时可实现各种VoIP应用的新一代802.11装置，就包含这类的芯片。

另：U-APSD（Unscheduled-Automatic Power Save Delivery）。包含在WMM/IEEE 802.11E协议

Jumbo巨型帧

通常一个以太网的帧最大为1518字节。而一个典型的光纤通道帧最大为大约2112字节。因此在以太网上打包光纤帧时需要进行分段发送，然后在接收方进行重组。这会导致更多的处理开销，阻碍FCoE端到端传输的流畅性。FCoE也必须解决以太网和光纤通道各自所传输的帧之间的差异。因此需要一个更大的以太网帧来平衡光纤通道和以太网帧大小上的差异。有一个称为"巨型帧"（Jumbo Ethernet frames）的实质标准，尽管不是正式的IEEE标准，但它允许以太网帧在长度上达到9k字节。在使用巨型帧时需要注意，所有以太网交换机和终端设备必须支持一个公共的巨型帧格式。

最大的巨型帧（9K字节）可以实现在一个以太网帧下封装四个光纤通道帧。

FCoE帧是使用六字节MAC硬件目的地址和源地址的本地第二层以太网帧。但MAC地址是存储透明的，并且只能用于从源到目的地帧的交换。以FCoE帧中保留了存储事务中需要的光纤通道寻址，所以需要从FCID（Fibre Channel ID）到以太网MAC地址映射的方法。可以选择一个与地址解析协议（ARP）相类似的协议来实现FCID到MAC的地址映射。例如，在第三层IP环境下，地址解析协议用于从上层IP网络地址到第二层硬件MAC地址映射。此外，光纤通道使用一些较为熟知的地址来获得存储服务（例如通过SNS发现设备机制）。FCoE要求有相应的功能性来完成从熟知的地址到对应MAC地址的映射。

在传统光纤通道中，HBA或存储端口在连接到以太网交换机时会接收FCID。FCoE设备无法确保通用以太网交换机提供专门的存储服务，所以必须依靠可用于FCoE交换机内部的域控制器和存储服务引擎来提供光纤通道登陆、寻址和其它高级服务。

当我们拿FCoE与iSCSI做比较时会发现，实际上这两个协议解决是完全不同的问题。iSCSI 通过TCP/IP协议在可能产生损耗或阻塞的局域网和宽带网上传送数据存储块。相比之下，FCoE 则只是利用了以太网的拓展性，并保留了光纤通道在高可靠性和高效率方面的优势。届时这些优势还将在10g以太网上有更好的体现。我们目前暂且将其称为CEE（Converged Enhanced Ethernet）。

ITIL

ITIL是ITInfrastructure Library的简称；ITIL 不是硬件，也不是软件，不是一个可以直接使用的标准，而是英国商务办公部从20世纪80年代开始开发的一套IT管理方法；实际上是一系列由所谓“最佳实践”（Best Practice）形成的图书，任何单位和个人都可免费使用的“公共框架”；目前已成为事实上的行业标准，并以其为中心在全球形成了完整的产业；

HVRP

HVRP(Hierarchy VLAN Register Protocol，分层VLAN注册协议)主要通过动态VLAN注册、老化，将端口上那些不参与报文转发的VLAN老化掉，只保留必需的VLAN，达到节约MAC地址表项资源的目的。

应用场景：运营商组网环境，网络拓扑结构为单环网络或者树形结构，在二层网络中的交换

机要学习大量的MAC地址，为了减少交换机的MAC地址学习数量，可以配置HVRP功能。HVRP通过区分不同的vlan类型（用户vlan和非用户vlan），实现端口上vlan的动态注册和老化，达到节约mac地址的目的，从而提高整台设备的用户容量

华为终端耳机单体涂层可靠性测试技术规范

BOLUO COUNTY QUANCHENG ELECTRONIC CO.,LTD 华为终端耳机单体涂层可靠性测试技术规范核准审核制作发行李志雄工程

版本A/0 发行日期 2013-7-25页码 2 OF 14 WI-EN-002文件编号修订记录版本2013-7-25 无 A/0 修订日期修订内容

文件编号WI-EN-002版本A/0 发行日期2013-7-25页码 3 OF 14 规范目的为确保本公司的产品之质量满足客户要求，特设立检验制度并制订本规范，明确测试目的、测试参数、测试过程、合格判据等。适用范围本规范适用于华为终端公司所研发及生产阶段的需要进行耳机涂层可靠性测试的所有产品。

BOLUO COUNTY QUANCHENG ELECTRONIC CO.,LTD 6.2 试验条件 6.3 试验程序 6.4 合格判据 5.5 特别说明 6 UV测试 ---------------------------------------------------10 6.1 试验目的 5.1 试验目的 5.2 试验条件 5.3 试验程序 5.4 合格判据 4.4 合格判据 5 耐溶剂测试 ------------------------------------------------9 4.1 试验目的 4.2 试验条件 4.3 试验程序 3.1 试验目的 3.2 试验条件检验类别华为终端耳机单体涂层发行日期 2013-7-25WI-EN-002版本A/0 文件编号 2.3 试验程序 2.4 合格判据 3 橡皮摩擦测试 ----------------------------------------------8 3.3 试验程序 3. 4 合格判据 4 RCA纸带耐磨测试 -------------------------------------------9 2.2 试验条件 2.1 试验目的1 附着力测试 ------------------------------------------------6 1.1 试验目的2 酒精耐磨测试 ----------------------------------------------8 1.2 试验条件 1.3 试验程序目录 1.4 合格判据页码 4 OF 14

华为交换机基本配置命令详细讲解

华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件，即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由＝网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接

华为交换机基本配置

华为交换机基本配置 Hessen was revised in January 2021

1、华为设备配置基本命令用户名密码为 yayd yamobile system [HW]vlan 70 //新建vlan70 [HW-vlan70]description guanli //vlan70的描述为 guanli [HW-vlan70]quit [HW]interface vlanif 70 [HW-vlanif]ip address 172.17.202.21 255.255.255.0 //配置交换机管理地址 [HW-vlanif]quit [HW]ip route-static 0.0.0.0 0.0.0.0 172.17.202.1 //配置交换机管理路由 [HW]vlan batch 338 440 //新建vlan 338 440 [HW]interface ethernet 0/0/1 //进入网口1 [HW-Eth0/0/1]port link-type access //将网口1定义为access口 [HW-Eth0/0/1]port default vlan 338 //将vlan338加入网口1 [HW-Eth0/0/1]quit [HW]port-group group //新建端口组group [HW-group--group]group-m ethernet0/0/2 to eth 0/0/20 //将网口1到网口20加入端口组

[HW-group-group]port link-type-access //将端口组定义为access口 [HW-group-group]port default vlan 440 //将vlan440加入该端口组 [HW-group-group]quit [HW]interface ethernet 0/0/21 //进入网口21 [HW-Eth0/0/21]port link-type trunk //将网口21定义为trunk 口 [HW-Eth0/0/21]port trunk allow-pass vlan 338 440 //该端口仅允许vlan338 440通过 [HW-Eth0/0/21]quit [HW]interface gigabitethernet 0/0/1 //进入光口1 [HW-G0/0/1]port link-type trunk //将光口1定义为trunk端口 [HW-G0/0/1]port trunk allow-pass vlan 70 338 440 //该端口允许vlan70,338,440通过。 [HW-G0/0/1]quit [HW]save //保存 2、华为设备故障处理基本命令 1）查看交换机端口状态 2）查看交换机端口描述

华为三层交换机配置步骤解释

华为三层交换机配置步骤 1. 给交换机划分VLAN Vlan 是虚拟局域网的意思，它相当于一个局域网工作组。“ vlan 几”可以理解成编号为几的vlan ，比如vlan 2 就是编号为 2 的vlan ，只是一个编号而已，并不是说vlan 2 的网段一定要是 2 网段，vlan 2 的IP 地址是可以随便设置的。下面我将三层交换机的第20个端口添加到vlan 10 里，步骤如下： A. 在交换机里添加VLAN 10 system-view （一般用缩写：sys ） [Quidway] vlan 10 （添加编号为10 的vlan ） [Quidway-vlan10] quit （一般缩写：q） B. 设置vlan 10 的IP地址为192.168.66.66 网关为255.255.255.0 [Quidway] interface vlanif 10 （interface 一般可以缩写为：int ；vlanif 也可以只写vlan ） [Quidway-vlanif10] ip address 192.168.66.66 255.255.255.0 （address 缩写add） [Quidway-vlanif10]quit C. 设定交换机上第20个端口模式为access （默认为trunk ，需在将端口划入VLAN前转为ACCES）S [Quidway] int gigabitethernet 0/0/20 （gigabitethernet ：千兆以太网口） [Quidway-GigabitEthernet0/0/20] port link-type access （port ：端口） [Quidway-GigabitEthernet0/0/20]quit D. 将第20个端口加入到vlan 10 里 [Quidway] vlan 10 [Quidway-vlan10] port gigabitethernet 0/0/20 （如果是多个连续端口，用XX to XX ） [Quidway-Vlan10] quit 这样就是成功的将交换机上的第20 个端口添加到了编号为10 的Vlan 里，划分VLAN就是这 4 个步骤， 2 个步骤设置vlan ，2 个步骤设置端口。现在可以用网线把交换机的第20 个端口和电脑网卡连接起来，设置网卡地址为192.168.66.XX ，网关为192.168.66.66 ，在CMD里ping192.168.66.66 可以ping 通。 2. 删除vlan A.在系统视图下，用“ undo int vlan 2 ”命令删除vlan 2 的3层口，这样vlan 2 就没有了，但是划分给vlan 2 的那些端口依然还处于vlan 2 里，这时可以将那些端口释放出来，让他们不再属于任何vlan B.在系统视图下，用“ undo vlan 2 ”命令删除2层口，这个命令可以释放那些原先划分给了vlan 2 的端口，现在它们不属于任何vlan 了。当然，将交换机上的某个端口更换到某个vlan 里，是可以直接在vlan 视图里添加端口的。注意：交换机上的某个端口被设置成了access 模式，且加入了一个vlan ，要想将这个端口的模式更改为trunk ，直接在端口视图里打上“ port link-type trunk ”是不行的，会出现Error: Please renew the default configurations. 这时需要先从VLAN里删除这个端口，也就是前面说的让这个端口不属于任何vlan ，才能将这个端口设置为trunk 。 3. 通过端口进行限速现在要对交换机上的第 2 个端口进行限速操作，让通过这个端口的下载速度不超过128KB/S 配置命令说明： Inbound：对入端口报文进行限速 Outbound：对出端口报文进行限速 sys [Quidway] int gigabitethernet 0/0/2 [Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800 （1024代表1M的带宽，理论下载速度就是128KB/S,204800=1024*200 ，cbs 代表

华为客户可靠性测试标准

1测试标准框架 (15) 1.1整体框架 (15) 1.2测试样品数 (15) 1.3不同工艺测试项选择 (18) 2外观等级面划分 (18) 2.1外观等级面定义 (18) 3测量条件及环境的要求 (19) 3.1距离 (19) 3.2时间 (19) 3.3位置 (19) 3.4照明 (19) 3.5环境 (19) 4表面处理可靠性测试方法 (19) 4.1膜厚测试 (19) 4.1.1试验目的 (19) 4.1.2试验条件 (19) 4.1.3合格判据 (19) 4.2抗MEK(丁酮)测试 (19) 4.2.1试验目的 (19) 4.2.2试验条件 (20) 4.2.3程序 (20) 4.2.4合格判据 (20) 4.3附着力测试 (20) 4.3.1试验目的 (20) 4.3.2试验条件 (21) 4.3.3程序 (21) 4.3.4合格判据 (22) 4.3.5等级描述说明 (22) 4.3.6测试工具 (23) 4.4RCA纸带耐磨测试 (23)

4.4.2试验条件 (23) 4.4.3程序 (24) 4.4.4合格判据 (24) 4.5酒精摩擦测试 (24) 4.5.1试验目的 (24) 4.5.2试验条件 (24) 4.5.3程序 (24) 4.5.4合格判据 (25) 4.6橡皮摩擦测试 (25) 4.6.1试验目的 (25) 4.6.2试验条件 (25) 4.6.3程序 (25) 4.6.4合格判据 (25) 4.7振动摩擦测试 (26) 4.7.1试验目的 (26) 4.7.2试验条件 (26) 4.7.3程序 (26) 4.7.4合格判据 (27) 4.7.5说明 (28) 4.8铅笔硬度测试 (28) 4.8.1试验目的 (28) 4.8.2试验条件 (28) 4.8.3程序 (28) 4.8.4合格判据 (30) 4.8.5测试工具 (30) 4.9抗脏污测试 (30) 4.9.1试验目的 (30) 4.9.2试验条件 (30) 4.9.3程序 (31) 4.9.4合格判据 (31) 4.10牛顿笔测试 (31) 4.10.1试验目的 (31) 4.10.2试验条件 (31)

华为交换机基本配置命令29908

华为交换机基本配置命令一、单交换机VLAN划分命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1toe1/0/5 把端口1-5放入VLAN 20 中 5700系列单个端口放入VLAN [Huawei]intg0/0/1 [Huawei]port link-typeaccess（注：接口类型access，hybrid、trunk） [Huawei]port default vlan 10 批量端口放入VLAN [Huawei]port-group 1 [Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 [Huawei-port-group-1]port hybrid untagged vlan 3 删除group（组）vlan 200内的15端口 [Huawei]intg0/0/15 [Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200 通过group端口限速设置 [Huawei]Port-group 2 [Huawei]group-member g0/0/2 to g0/0/23 [Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 return 返回 Save 保存 info-center source DS channel 0 log state off trap state off通过关闭日志信息命令改变DS模块来实现（关闭配置后的确认信息显示） info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现（打开配置后的确认信息显示）

华为s3928三层交换机配置

华为S3928 三层交换机配置 2008-08-04 11:06配置环境与配置文件如下:环境, 双wan口路由接入ADSL ,下接华为S3928p-SI 做核心交换机.交换机下接普通PC 和傻瓜式的TP-Link交换机, 现用可核心交换机e 1/0/24口(ip:)直接连接路由器. 划分5个vlan 并隔离 e 1/0/11 to e 1/0/14端口.dis cur # sysname Quidway # dhcp-server 1 ip # radius scheme system # domain system # vlan 1 # vlan 2 description comman # vlan 3 description finance # vlan 4 description ap # vlan 5 description server # vlan 6 description route # interface Vlan-interface2 ip address # interface Vlan-interface3 ip address # interface Vlan-interface4 ip address dhcp-server 1 # interface Vlan-interface5 ip address #

interface Vlan-interface6 ip address # interface Aux1/0/0 # interface Ethernet1/0/1 port access vlan 2 # interface Ethernet1/0/2 port access vlan 2 # interface Ethernet1/0/3 port access vlan 2 # interface Ethernet1/0/4 port access vlan 2 # interface Ethernet1/0/5 port access vlan 2 # interface Ethernet1/0/6 port access vlan 2 # interface Ethernet1/0/7 port access vlan 2 # interface Ethernet1/0/8 port access vlan 2 # interface Ethernet1/0/9 port access vlan 2 # interface Ethernet1/0/10 port access vlan 2 # interface Ethernet1/0/11 port access vlan 3 port isolate # interface Ethernet1/0/12 port access vlan 3 port isolate # interface Ethernet1/0/13

华为PCB设计规范

华为设计规范（)：印刷电路板。原理图：电路原理图，用原理图设计工具绘制的、表达硬件电路中各种器件之间的连接关系的图。网络表：由原理图设计工具自动生成的、表达元器件电气连接关系的文本文件，一般包含元器件封装、网络列表和属性定义等组成部分。布局：设计过程中，按照设计要求，把元器件放置到板上的过程。深圳市华为技术有限公司1999-07-30批准，1999-08-30实施。仿真：在器件的或支持下，利用设计工具对的布局、布线效果进行仿真分析，从而在单板的物理实现之前发现设计中存在的问题、时序问题和信号完整性问题，并找出适当的解决方案。深圳市华为技术有限公司1999-07-30批准，1999-08-30实施。 . 目的 . 本规范归定了我司设计的流程和设计原则，主要目的是为设计者提供必须遵循的规则和约定。 . 提高设计质量和设计效率。提高的可生产性、可测试、可维护性。 . 设计任务受理 . 设计申请流程当硬件项目人员需要进行设计时，须在《设计投板申请表》中提出投板申请，并经其项目经理和计划处批准后，流程状态到达指定的设计部门审批，此时硬件项目人员须准备好以下资料：

⒈经过评审的，完全正确的原理图，包括纸面文件和电子件； ⒉带有元件编码的正式的； ⒊结构图，应标明外形尺寸、安装孔大小及定位尺寸、接插件定位尺寸、禁止布线区等相关尺寸； ⒋对于新器件，即无编码的器件，需要提供封装资料；以上资料经指定的设计部门审批合格并指定设计者后方可开始设计。 . 理解设计要求并制定设计计划 . 仔细审读原理图，理解电路的工作条件。如模拟电路的工作频率，数字电路的工作速度等与布线要求相关的要素。理解电路的基本功能、在系统中的作用等相关问题。 . 在与原理图设计者充分交流的基础上，确认板上的关键网络，如电源、时钟、高速总线等，了解其布线要求。理解板上的高速器件及其布线要求。 . 根据《硬件原理图设计规范》的要求，对原理图进行规范性审查。 . 对于原理图中不符合硬件原理图设计规范的地方，要明确指出，并积极协助原理图设计者进行修改。 . 在与原理图设计者交流的基础上制定出单板的设计计划，填写设计记录表，计划要包含设计过程中原理图输入、布局完成、布线完成、信号完整性分析、光绘完成等关键检查点的时间要求。设计计划应由设计者和原理图设计者双方签字认可。 . 必要时，设计计划应征得上级主管的批准。 . 设计过程 . 创建网络表

华为的交换机基本配置命令

华为的交换机基本配置命令很多，在此，yjbys小编为大家带来的是最新交换机的配置命令，希望对同学们考试有帮助! 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件，即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件 reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123 设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接 [Quidway-Ethernet1/0/1]port link-type {trunk|access|hybrid} 设置端口工作模式 [Quidway-Ethernet1/0/1]undo shutdown 激活端口 [Quidway-Ethernet1/0/2]quit 退出系统视图 5、链路聚合配置

华为交换机参数

华为交换机参数基本参数产品型号Quidway S9306 产品类型路由交换机应用层级三层背板带宽 2.4Tbps 包转发率1080MPPS 传输方式存储转发方式硬件参数扩展插槽 6 网络与软件 VLAN支持支持VLAN功能网管功能支持网管功能其它参数外形尺寸442×476×442mm 电源电压DC:–38.4V-–72V;AC:90V-264V 最大功率800W 重量<30Kg

华为 S5700-52P-LI-AC 详细参数查看：更多信息 | 产品图片基本参数产品型号S5700-52P-LI-AC 产品类型千兆以太网应用层级二层包转发率78Mpps 硬件参数接口类型48个10/100/1000Base-TX，4个100/1000Base-X SFP 接口数目52口传输速率10M/100M/1000Mbps 端口结构非模块化堆叠支持可堆叠网络与软件 VLAN支持支持VLAN功能网管功能支持端口镜像和RSPAN(远程端口镜像) MAC地址表16K 其他性能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分类功能。S5700支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRR＋SP、DRR+SP多种队列调度算法，有效地保证话音、视频和数据业务质量。提供多种安全保护功能。支持DoS（Denial of Service）类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的BPDU/Root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。支持通过建立和维护DHCP Snooping 绑定表，侦听接入用户的MAC/IP 地址、租用期、VLAN-ID、接口等信息，解决 DHCP 用户的IP 和端口跟踪定位问题。同时，对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址等）直接丢弃。其它参数外形尺寸442×310×43.6mm

华为手机PVD工艺可靠性测试规范v2.1

手机PVD工艺可靠性测试规范
密级:秘密 DKBA 1924-2008.5
修订声明Revision declaration
本规范拟制与解释部门：无线终端测试与质量管理部本规范的相关系列规范或文件：手机导电漆及导电胶测试规范手机镜片测试规范手机键盘测试规范手机塑料件及喷漆件测试规范手机塑料水电镀件测试规范手机天线结构测试规范手机外表面印刷测试规范手机五金件测试规范相关国际规范或文件一致性：替代或作废的其它规范或文件：相关规范或文件的相互关系：本规范历次修订情况：规范号主要起草部门专家主要评审部门专家 Doc No. DKBA 可靠性测试组：可靠性测试组：刘春林刘吉平郑冬 1924-2008.5 刘春林、郑冬、刘吉测试与质量管理部：刘洋、李良才平（V2.1版）工业设计部：戴小军莫允宋旭春张斌 TQC：黄进元
修订情况试行稿正式发布
2008-11-24
华为机密，未经许可不得扩散
Huawei Confidential 第2页,共24页Page 2 , Total24

手机PVD工艺可靠性测试规范
密级:秘密 DKBA 1924-2008.5
目录Table of Contents
1 1.1 1.2 1.3 1.4 1.5 2 2.1 2.1.1 2.1.2 2.1.3 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.5 2.5.1 2.5.2 2.5.3 2.5.4 2.6 2.6.1 2.6.2 2.6.3 2.6.4 2.6.5 2.7 2.7.1 2.7.2 2.7.3 2.7.4 2.8 2.8.1 测量条件及环境的规则..................................................................................................... 3 距离 ................................................................................................................................. 3 时间 ................................................................................................................................. 3 位置 ................................................................................................................................. 3 照明 ................................................................................................................................. 3 实验室测试环境要求 ........................................................................................................ 3 测试项目 .......................................................................................................................... 3 膜厚测试 .......................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 合格判据 ...................................................................................................................... 3 抗化学试剂测试（建议安装在整机上测试）..................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 合格判据 ...................................................................................................................... 3 附着力测试....................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 合格判据 ...................................................................................................................... 3 说明 ............................................................................................................................. 3 耐磨性测试....................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 合格判据 ...................................................................................................................... 3 耐醇性测试....................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 结果判定 ...................................................................................................................... 3 铅笔硬度测试 ................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 合格判据 ...................................................................................................................... 3 说明 ............................................................................................................................. 3 低温存储 .......................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 合格判据 ...................................................................................................................... 3 高温存储 .......................................................................................................................... 3 试验目的 ...................................................................................................................... 3
华为机密，未经许可不得扩散 Huawei Confidential 第3页,共24页Page 3 , Total24
2008-11-24