【文章內(nèi)容簡介】 在一個(gè)虛擬路由器中的其它路由器（除主虛擬路由器之外）作為備份虛擬路由器，隨時(shí)監(jiān)測(cè)主虛擬路由器的狀態(tài)。當(dāng)主路由器正常工作時(shí)，它會(huì)每隔一段時(shí)間發(fā)送一個(gè) VRRP 組播報(bào)文，以通知其它的備份路由器，主虛擬路由器處于正常工作狀態(tài)。如果備份虛擬路由器長時(shí)間沒有接收到來自主虛擬路由器的報(bào)文，則將自己狀態(tài)轉(zhuǎn)為 Master。當(dāng)在一個(gè)虛擬路由器中有多個(gè)備份虛擬路由器時(shí)，將有可能產(chǎn)生多個(gè)主虛擬路由器。這時(shí)每一個(gè)主虛擬路由器就會(huì)比較 VRRP 報(bào)文中的優(yōu)先級(jí)和自己本地的優(yōu)先級(jí)，如果本地的優(yōu)先級(jí)小于VRRP 報(bào)文中的優(yōu)先級(jí)，則將自己的狀態(tài)轉(zhuǎn)為 Backup，否則保持自己的狀態(tài)不變。通過這樣一個(gè)過程,就會(huì)將優(yōu)先級(jí)最大的路由器選成新的主虛擬路由器。 虛擬路由器的狀態(tài) VRRP 協(xié)議定義了虛擬路由器可以處于三種狀態(tài)的其中一種，這三種狀態(tài)Initialize、 Master 和 Backup。 1. Initialize 初始狀態(tài) :NETGEAR 高速交換網(wǎng)解決方案系統(tǒng)啟動(dòng)后進(jìn)入此狀態(tài)，當(dāng)收路由器到端口 startup 的消息，將轉(zhuǎn)入Backup（優(yōu)先級(jí)不為 255 時(shí)）或 Master 狀態(tài)（優(yōu)先級(jí)為 255 時(shí)）。在此狀態(tài)時(shí)，路由器不會(huì)對(duì) VRRP 報(bào)文做任何處理。 2．Master 主控狀態(tài):當(dāng)主虛擬路由器處于 Master 狀態(tài)時(shí)，它可以做以下工作： 1) 定期發(fā)送 VRRP 報(bào)文給其它備份虛擬路由器； 2) 發(fā)送免費(fèi)（gratuitous）ARP 報(bào)文，以使網(wǎng)絡(luò)內(nèi)各主機(jī)知道虛擬 IP 地址所對(duì)應(yīng)的虛擬 MAC 地址； 3) 響應(yīng)對(duì)虛擬 IP 地址的 ARP 請(qǐng)求，并且響應(yīng)的是虛擬 MAC 地址，而不是路由器端口的真實(shí) MAC 地址； 4) 轉(zhuǎn)發(fā)目的 MAC 地址為虛擬 MAC 地址的 IP 報(bào)文；同樣轉(zhuǎn)發(fā)目的 IP 地址為虛擬 IP 地址的 IP 報(bào)文。 5) 在 Master 狀態(tài)中只有接收到比自己的優(yōu)先級(jí)大的 VRRP 報(bào)文時(shí)，才會(huì)轉(zhuǎn)為 Backup，只有當(dāng)接收到端口的 Shutdown 事件時(shí)才會(huì)轉(zhuǎn)為Initialize。 3．Backup 備份狀態(tài) 備份虛擬路由器就是處于 Backup 狀態(tài)，它可以做以下工作： 1) 接受主虛擬路由器（在 Master 狀態(tài)下）的 VRRP 報(bào)文，從而了解主虛擬路由器的狀態(tài)；2) 不會(huì)響應(yīng)虛擬 IP 地址的 ARP 請(qǐng)求； 3) 丟棄以虛擬 IP 地址和虛擬 MAC 為目的地址的 IP 報(bào)文。 4) 只有當(dāng)備份虛擬路由器接收到 MASTER_DOWN 這個(gè)定時(shí)器到時(shí)的事件時(shí)，才會(huì)轉(zhuǎn)為 Master 狀態(tài)，成為主虛擬路由器；而當(dāng)接收到比自己的優(yōu)先級(jí)小的 VRRP 報(bào)文時(shí)，它只是做丟棄這個(gè)報(bào)文的處理，從而就不對(duì)定時(shí)器做重置處理。只有當(dāng)接收到接口的 Shutdown 事件時(shí)才會(huì)轉(zhuǎn)為 Initialize。另外,VRRP 協(xié)議比 CISCO 的 HSRP 的一個(gè)優(yōu)勢(shì)就是支持對(duì) VRRP 報(bào)文的認(rèn)證方式。在一個(gè)安全性要求不高的網(wǎng)絡(luò)環(huán)境中，我們可以不考慮認(rèn)證方式的配置，路由器不會(huì)對(duì)發(fā)送的 VRRP 報(bào)文做認(rèn)證處理，而接受 VRRP 報(bào)文的路由器也不會(huì)對(duì) VRRP 做認(rèn)證比較，就認(rèn)為是一個(gè)合法的 VRRP 報(bào)文。但是，在一個(gè)有安全性要求的網(wǎng)絡(luò)環(huán)境中，可以對(duì) VRRP 報(bào)文增加認(rèn)證方式，路由器對(duì)發(fā)送 VRRP 報(bào)文增加認(rèn)證字，而接受NETGEAR 高速交換網(wǎng)解決方案VRRP 報(bào)文的路由器會(huì)將收到的 VRRP 報(bào)文的認(rèn)證字與本地配置的認(rèn)證字進(jìn)行比較，若相同，就認(rèn)為是一個(gè)合法的 VRRP 報(bào)文，進(jìn)行處理；若不相同，則認(rèn)為是一個(gè)不合法 VRRP 報(bào)文，就會(huì)丟棄. QoS 策略和控制機(jī)制 QoS 服務(wù)質(zhì)量—隊(duì)列技術(shù)Qos 技術(shù)是能為網(wǎng)絡(luò)中不同類型業(yè)務(wù)的數(shù)據(jù)流提供服務(wù)的能力,主要目的是提供資源帶寬的控制,更有效的使用網(wǎng)絡(luò)資源,控制抖動(dòng)和傳輸延遲及丟包率((如實(shí)時(shí)多媒體應(yīng)用，IP 電話、VOD 視頻點(diǎn)播等),定制可控的服務(wù)和保證關(guān)鍵應(yīng)用的傳輸. 如果僅是 IP 技術(shù)本身是只能提供“盡力(besteffort)”服務(wù)模式的，所以缺乏完善的 QoS 機(jī)制，就無法適應(yīng)計(jì)算機(jī)及應(yīng)用系統(tǒng)多樣化的要求。如果僅靠增加網(wǎng)絡(luò)帶寬不能徹底解決問題，因?yàn)橐环矫鎺捠遣豢赡軣o限制增加的，另一方面帶寬的增加是無法趕上應(yīng)用系統(tǒng)的變化、用戶的增加所給網(wǎng)絡(luò)帶來的巨大流量壓力。解決 IP 網(wǎng)絡(luò) QoS 問題的關(guān)鍵在于網(wǎng)絡(luò)如何通過各種智能手段參予對(duì)不同數(shù)據(jù)流、應(yīng)用系統(tǒng)乃至用戶對(duì)網(wǎng)絡(luò)使用的管理，充分發(fā)揮網(wǎng)絡(luò)的利用率，使有限的帶寬發(fā)揮最大的作用。服務(wù)質(zhì)量(QoS)基于端到端的服務(wù)級(jí)別可提供三個(gè)基本的級(jí)別:盡力的服務(wù)， 區(qū) 旨在針對(duì)各種應(yīng)用的不同需求，為其提供不同的服務(wù)質(zhì)量，例如：提供專用帶寬、減少報(bào)文丟失率、降低報(bào)文傳送時(shí)延及時(shí)延抖動(dòng)等。為實(shí)現(xiàn)上述目的，QoS 提供了下述功能：報(bào)文分類。 網(wǎng)絡(luò)擁塞管理 。 網(wǎng)絡(luò)擁塞避免。 流量控制和流量整形。 QoS 信令協(xié)議等等.NETGEAR 高速交換網(wǎng)解決方案服務(wù)質(zhì)量可以通過采用多種隊(duì)列的管理工具來解決不同數(shù)據(jù)流的問題,比如:先進(jìn)先出(FIFO)對(duì)列:網(wǎng)絡(luò)擁塞是存儲(chǔ)數(shù)據(jù)包,擁塞解除后,按數(shù)據(jù)包到達(dá)次序轉(zhuǎn)發(fā)數(shù)據(jù)包優(yōu)先級(jí)別隊(duì)列(PQ):確保重要數(shù)據(jù)流得到最快處理,優(yōu)先級(jí)別越高的數(shù)據(jù)有限處理.優(yōu)先級(jí)隊(duì)列可以根據(jù)網(wǎng)絡(luò)協(xié)議,接口,數(shù)據(jù)包大小以及源/目的地址來賦予數(shù)據(jù)包的級(jí)別高低. 一般的網(wǎng)絡(luò)設(shè)備 PQ 都可支持四個(gè)優(yōu)先級(jí)別，依次為：高優(yōu)先級(jí)，中等優(yōu)先級(jí)，一般優(yōu)先級(jí)和低優(yōu)先級(jí),而此方案中使用的交換機(jī)都是每端口都可支持 8 個(gè)優(yōu)先隊(duì)列(07)的, IP 優(yōu)先級(jí)值有 8 個(gè)(07)，0 優(yōu)先級(jí)最低，7 優(yōu)先級(jí)最高。在默認(rèn)情況下，IP 優(yōu)先級(jí) 6 和 7 是用于網(wǎng)絡(luò)控制通訊使用，不推薦用戶使用. 如果交換機(jī)使用 IPv6 增強(qiáng)版本軟件的話,可支持 16 個(gè)優(yōu)先級(jí)對(duì)列. 16 種優(yōu)先級(jí)別中的 9 種用于非實(shí)時(shí)傳輸業(yè)務(wù)，其余的 8 種用于實(shí)時(shí)傳輸業(yè)務(wù)。但在 IPv6 協(xié)議中并沒有嚴(yán)格規(guī)定 IPv6 路由設(shè)備應(yīng)如何使用這一優(yōu)先級(jí)區(qū)域 定制隊(duì)列(CQ):上提供一定固定比例的帶寬,其他帶寬給其他應(yīng)用使用. 我們可以設(shè)置各個(gè)輪選隊(duì)列的發(fā)送的大小。例如：隊(duì)列 1 發(fā)送 1500 字節(jié)后由隊(duì)列 2 發(fā)送；隊(duì)列 2 發(fā)送 500 字節(jié)以后由隊(duì)列 3 發(fā)送；隊(duì)列 3 發(fā)送 1000 字節(jié)后由隊(duì)列 4 發(fā)送……。CQ 最大可以支持 16NETGEAR 高速交換網(wǎng)解決方案?jìng)€(gè)輪選隊(duì)列。當(dāng)線路帶寬比較充裕的時(shí)候，通過 CQ 可以實(shí)現(xiàn)動(dòng)態(tài)的帶寬分配。加權(quán)隊(duì)列(WFQ):提供智能隊(duì)列工具,可以確保隊(duì)列得到帶寬, 然后根據(jù)加權(quán)公平算法對(duì)各種業(yè)務(wù)流量進(jìn)行公平調(diào)度。防止出現(xiàn)某一突發(fā)性大數(shù)據(jù)流將帶寬全部占用的現(xiàn)象。這種隊(duì)列機(jī)制配置方便。使數(shù)據(jù)流得到指定的服務(wù),特別是當(dāng)在高優(yōu)先級(jí)別的隊(duì)列中沒有數(shù)據(jù)傳輸時(shí),WFQ 算法使每個(gè)傳輸中的數(shù)據(jù)流的吞吐量和響應(yīng)時(shí)間變的可預(yù)知. Qos 服務(wù)質(zhì)量—帶寬控制? 基于端口的速率限制? 基于 IP 的速率限制? 基于數(shù)據(jù)流的速率限制 帶寬控制技術(shù)提供了精確帶寬使用策略，可向用戶提供訪問速度承諾(Committed Access Rate, CAR)。在輸入端口，每個(gè) IP 流都可以進(jìn)行速度限制，基于數(shù)據(jù)流進(jìn)行帶寬分配。如果某個(gè)流超過了帶寬限制，到達(dá)的數(shù)據(jù)包將被丟棄或賦予較低的優(yōu)先級(jí)。流量控制可以基于第 2 層端口、數(shù)據(jù)流類以及單個(gè)第 4 層數(shù)據(jù)流，可以應(yīng)用于不同的環(huán)境，為接入提供不同級(jí)別的訪問速度控制。保證實(shí)時(shí)多媒體數(shù)據(jù)和關(guān)鍵任務(wù)數(shù)據(jù)的傳輸。 QoS 服務(wù)質(zhì)量DiffServ 區(qū)分服務(wù) DiffServ 是 IETF 組織在 1998 年推出的基于 DSCP 的 QoS 解決方案，這是一種基于類的 QoS 技術(shù)，主要用于骨干網(wǎng)。使用 DiffServ，在網(wǎng)絡(luò)入口處根據(jù)服務(wù)要求對(duì)業(yè)務(wù)進(jìn)行分類、流量控制，同時(shí)設(shè)置報(bào)文的 DSCP 域；在網(wǎng)絡(luò)中根據(jù)實(shí)施好的 QoS 機(jī)制來區(qū)分每一類通信（依據(jù)分組的 DSCP 值），并為之服務(wù)（包括資源分配、隊(duì)列調(diào)度、分組丟棄策略等，統(tǒng)稱為 PHB），DiffServ 域中的所有節(jié)點(diǎn)都將根據(jù)分組的 DSCP 字段來遵守 PHB。DiffServ 通過將業(yè)務(wù)定義為有限的類，可以很好地解決擴(kuò)展性的問題，同時(shí)，由于 DiffServ 很好地沿襲了 IP 本身的技術(shù)理念。NETGEAR 高速交換網(wǎng)解決方案相對(duì)而言，很容易在現(xiàn)有的 IP 網(wǎng)絡(luò)及產(chǎn)品中實(shí)現(xiàn)。因此，目前商用網(wǎng)絡(luò)中的 QoS實(shí)現(xiàn)總體上基本都是基于 DiffServ 模型的。DiffServ 是一個(gè)多服務(wù)模型，它可以滿足不同的 QoS 需求。與 IntServ 不同，它不需要使用 RSVP(帶寬預(yù)留技術(shù))，即應(yīng)用程序在發(fā)出報(bào)文前，不需要通知路由設(shè)備為其預(yù)留資源。對(duì) DiffServ 服務(wù)模型，網(wǎng)絡(luò)不需要為每個(gè)流維護(hù)狀態(tài)，它根據(jù)每個(gè)報(bào)文指定的 QoS，來提供特定的服務(wù)。可以用不同的方法來指定報(bào)文的QoS，如 IP 報(bào)文的優(yōu)先級(jí)位（IP Precedence)，報(bào)文的源地址和目的地址等。網(wǎng)絡(luò)通過這些信息來進(jìn)行報(bào)文的分類、流量整形、流量監(jiān)管和隊(duì)列調(diào)度。 通常在配置 DiffServ 時(shí)，在邊界設(shè)備上通過報(bào)文的源地址和目的地址等對(duì)報(bào)文進(jìn)行分類，對(duì)不同的報(bào)文設(shè)置不同的 CoS 值，而其他設(shè)備只需要用 CoS 值來進(jìn)行報(bào)文的分類。DiffServ 一般用來為一些重要的應(yīng)用提供端到端的 QoS。它通過下列技術(shù)來現(xiàn)：CAR(允許的訪問速率)：它根據(jù)報(bào)文的 ToS 或 CoS 值（對(duì)于 IP 報(bào)文是指 IP 優(yōu)先級(jí)或者 DSCP，對(duì)于層 MPLS 報(bào)文是指 EXP 域等等）、IP 報(bào)文的五元組等信息進(jìn)行報(bào)文分類，完成報(bào)文的標(biāo)記和流量監(jiān)管。一般來講,通過設(shè)置允許的訪問速率(CAR)可以用于擴(kuò)展訪問分類表的優(yōu)先級(jí),這樣就可以給應(yīng)用程序和用戶或源/目的子網(wǎng)賦予優(yōu)先等級(jí)值,這一功能應(yīng)盡可能的配置在網(wǎng)絡(luò)的邊緣接入交換機(jī)上,以便于后續(xù)的網(wǎng)絡(luò)設(shè)備按預(yù)定的策略提供服務(wù). 隊(duì)列技術(shù)：通過 WRED、PQ、CQ、WFQ、CBWFQ 等隊(duì)列技術(shù)對(duì)擁塞的報(bào)文進(jìn)行緩存和調(diào)度，實(shí)現(xiàn)擁塞管理。 在 DiffServ 的服務(wù)中，有擁塞管理和擁塞避免兩種策略。擁塞管理策略一般應(yīng)用于外出接口，根據(jù)需要將不同的業(yè)務(wù)流量按一定的順序發(fā)送出去，來保證某些業(yè)務(wù)的正常運(yùn)行。典型的擁塞管理策略有：WFQ（加權(quán)公平隊(duì)列）、PQ（優(yōu)先級(jí)隊(duì)列）、CQ（可定制隊(duì)列）等等。擁塞避免工具:WRED(加權(quán)公平早期檢測(cè)):上談到的幾種隊(duì)列調(diào)度機(jī)制都是對(duì)總數(shù)據(jù)隊(duì)列中的數(shù)據(jù)進(jìn)行分類，然后再進(jìn)行調(diào)度。但是，當(dāng)出現(xiàn)網(wǎng)絡(luò)擁塞的時(shí)候，入口帶寬往往是高于NETGEAR 高速交換網(wǎng)解決方案出口帶寬的。在這樣的情況下，總數(shù)據(jù)隊(duì)列很快就會(huì)溢出。這個(gè)時(shí)候數(shù)據(jù)設(shè)備默認(rèn)會(huì)對(duì)進(jìn)入的數(shù)據(jù)包實(shí)施尾部丟棄，丟棄所有入站數(shù)據(jù)包直至總數(shù)據(jù)隊(duì)列不再溢出為止。這樣的尾部丟棄機(jī)制同樣會(huì)對(duì)實(shí)時(shí)性業(yè)務(wù)產(chǎn)生影響。所以我們需要一種策略來防止總數(shù)據(jù)隊(duì)列的溢出，這就是擁塞避免策略。其中最常見的擁塞避免策略是 WRED（加權(quán)公平早期檢測(cè)）。WRED 可以根據(jù)用戶的需要，對(duì)不同的數(shù)據(jù)流設(shè)置不同的丟棄閥值。例如：當(dāng)總隊(duì)列達(dá)到 50%時(shí)，開始丟棄級(jí)別最低的數(shù)據(jù)包；當(dāng)總隊(duì)列達(dá)到70%時(shí)，開始丟棄第二級(jí)別的數(shù)據(jù)包；當(dāng)總隊(duì)列達(dá)到 90%時(shí)，開始丟棄第三級(jí)別的數(shù)據(jù)包；以次類推。通過丟棄低級(jí)別的數(shù)據(jù)包來避免總數(shù)據(jù)隊(duì)列的溢出，保證高優(yōu)先級(jí)的數(shù)據(jù)包始終能夠進(jìn)入數(shù)據(jù)總隊(duì)列接受調(diào)度。從而保證高優(yōu)先級(jí)業(yè)務(wù)的順利展開。擁塞避免策略一般用于入站接口，防止因?yàn)榫€路擁塞而使數(shù)據(jù)中繼設(shè)備的隊(duì)列溢出。一般來說，根據(jù)實(shí)際情況，將擁塞避免策略和擁塞管理策略結(jié)合使用可以得到比較好的效果。 訪問控制安全機(jī)制NETGEAR “下一代”安全系列交換機(jī) GSM73xxS 和 FSM73xxS 提供了強(qiáng)勁的基于硬件的 2/3/4 層的訪問控制列表，其 ACL 表項(xiàng)可自定義 100 條策略,每個(gè)策略可自定義 22 條規(guī)則，完全滿足整個(gè)應(yīng)用網(wǎng)絡(luò)的需求，全新設(shè)計(jì)的,基于硬件處理的 ACL功能啟用后，不會(huì)對(duì)影響整個(gè)網(wǎng)絡(luò)的交換的性能,保護(hù)路由處理。從已具有的 IP 包過濾技術(shù)來看，完全可以作為局域網(wǎng)內(nèi)部的防火墻的角色功能。另外,利用 ACL 技術(shù)和 Qos 機(jī)制可有效控制和防止網(wǎng)絡(luò)病毒的傳播和非法的攻擊.ProSafe GSM73xxS 和 FSM73xxS 系列可以對(duì)用戶進(jìn)行基于用戶的認(rèn)證和授權(quán)，可支持完整的 + Radius work login 功能,配合 NETGEAR 在中國的 客戶端軟件及 Radius Server 軟件,可實(shí)現(xiàn)用戶名與 客戶端 IP 地址,客戶端 MAC 地址,所接交換機(jī)的管理 IP 地址(NAS IP Address),交換機(jī)端口及端口 VLAN ID , 客戶端軟件及 Radius Server , 下一代全網(wǎng)管安全系列交換機(jī)還具備交換機(jī)端口/MAC 地址綁定和多種層次(L2/3/4)的 ACL安全訪問控制功能.。其安全訪問策略可以有限地抵制多種網(wǎng)絡(luò)工擊，如 DDOS、網(wǎng)絡(luò)掃描等。NETGEAR 高速交換網(wǎng)解決方案 用戶端口隔離方法一：用 Vlan 隔離。在邊緣接入的以太網(wǎng)交換機(jī)上按端口劃分Vlan，每個(gè)用戶或用戶組占用一個(gè) Vlan, 用于標(biāo)記 VLAN 公共端口,公共端口上的二層 VLAN 間相互不能直接通訊 o。方法二：利用 Port Vlan 技術(shù)。在邊緣接入的交換機(jī)上劃分 Port Vlan，使用戶端口之間不能直接通信，共端口可以直接連接 PC 或服務(wù)器,或連接其他交換機(jī). MAC 地址與交換機(jī)端口綁定MAC 地址與交換機(jī)端口