午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、山東電力信通公司臨沂供電公司家庭網匯聚、接入層安全加固及出口優化方案2013.12目錄第一章 項目概述31.1 項目目標3 項目背景3 現網問題4 項目目標4第二章 匯聚、接入安全加固方案52.1 QinQ技術介紹52.1.1 QinQ簡介52.1.2 QinQ實現原理52.1.3 QinQ的實現方式52.2 QinQ方案部署62.3 VLAN規劃62.4 QinQ部署圖解62.5 QinQ配置舉例8第三章 出口優化方案103.1 LB部署方案10第四章 割接方案114.1 匯聚、接入層割接方案114.2 LB部署割接方案11第五章 優化方案增加設備清單12第一章 項目概述1.1 項目目標1.2、1.1 項目背景山東電力臨沂供電公司家庭網各用戶通過二層交換機接入網絡，二層vlan在BRAS設備上終接，用戶通過PPPOE進行撥號獲取地址，然后通過BRAS設備連接的出口服務器進行互聯網訪問。出口采用一臺服務器，連接4條運營商線路，總帶寬400mbps。目前網絡中有2臺BRAS設備，1臺為H3C CR16004，與出口服務器直接互聯，另1臺為港灣的6802，與H3C CR16004通過靜態路由連接，到互聯網的數據流經H3C CR16004。全網拓撲如下：1.1.2 現網問題1.1.2.1 用戶安全風險問題多個用戶接入交換機的同1VLAN,VLAN范圍較廣，往往會跨越多個交換機，這樣就會形成一3、個大的廣播域。并用同1VLAN的用戶能夠相互訪問，對用戶的個人計算機存在一定的安全風險。1.1.2.2 出口問題目前出口鏈路直接接在1臺服務器上，互聯網流量完全靠服務器處理。目前在高峰時期，服務器性能已經成為網絡瓶頸，從H3C CR16004上直接ping服務器的內連口延遲達200ms左右，并且有10%左右的丟包率。并且按照現在用戶數計算，出口帶寬也不足。1.1.3 項目目標改造出口，把原來的服務器通過負載均衡設備替換掉，排除出口設備瓶頸；在匯聚交換機上部署QinQ,接入交換機每個端口1個VLAN,真正實現各用戶的二層完全隔離。第二章 匯聚、接入安全加固方案2.1 QinQ技術介紹2.1.1 4、QinQ簡介QinQ 是802.1Q in 802.1Q 的簡稱，它是基于IEEE 802.1Q 技術的一種二層隧道協議，通過將用戶的私網報文封裝上外層VLAN Tag，使其攜帶兩層VLAN Tag 穿越運營商的骨干網絡（又稱公網），從而為用戶提供了一種比較簡單的二層VPN 隧道技術，也使運營商能夠利用一個VLAN 為包含多個VLAN 的用戶網絡提供服務成為了可能。2.1.2 QinQ實現原理在公網的傳輸過程中，設備只根據外層 VLAN Tag 轉發報文，并將報文的源MAC 地址表項學習到外層VLAN Tag 所在VLAN 的MAC 地址表中，而用戶的私網VLAN Tag 將被當作報文的數據部5、分進行傳輸。2.1.3 QinQ的實現方式QinQ 的實現方式可分為以下兩種：1. 基本QinQ基本QinQ 是基于端口方式實現的。當端口上配置了基本QinQ 功能后，不論從該端口收到報文是否帶有VLAN Tag，設備都會為該報文打上本端口缺省VLAN 的Tag： 如果收到的是帶有 VLAN Tag 的報文，該報文就成為帶雙Tag 的報文； 如果收到的是不帶 VLAN Tag 的報文，該報文就成為帶有本端口缺省VLAN Tag 的報文。2. 靈活QinQ靈活QinQ 是基于端口與VLAN 相結合的方式實現的，它對QinQ 的功能進行了擴展，是對QinQ的一種更靈活的實現。靈活QinQ 除了能實6、現所有基本QinQ 的功能外，對于從同一個端口收到的報文，還可以根據VLAN 的不同進行不同的操作，包括： 為具有不同內層 VLAN ID 的報文添加不同的外層VLAN Tag。 根據報文內層 VLAN 的802.1p 優先級標記外層VLAN 的802.1p 優先級。 在添加外層 VLAN Tag 的同時，還可修改內層的VLAN ID。通過使用靈活QinQ 技術，在能夠隔離運營商網絡和用戶網絡的同時，又能夠提供豐富的業務特性和更加靈活的組網能力2.2 QinQ方案部署接入交換機上劃分多個業務VLAN,每個端口1個VLAN，另外每臺接入交換機還需要配置1個管理VLAN,在管理VLAN虛接口上配置7、管理地址。為了實現為業務VLAN添加外部標簽，而管理VLAN不添加外部標簽，實現VLAN的二層透傳，我們在匯聚交換機連接接入交換機的端口上配置靈活QinQ。2.3 VLAN規劃外層VLAN標簽范圍：2001-3000內層VLAN標簽范圍：301-350交換機管理VLAN范圍：1001-1050(如接入部分現場無人配合，管理VLAN和地址可以保持不變)業務數據進入接入交換機端口，分配內層標簽，由接入交換機進入匯聚交換機的QinQ接口分配外部VLAN標簽；交換機的管理地址在匯聚交換機上不重新分配外部VLAN標簽，攜帶一層標簽，直接在BRAS設備上實現VLAN終接。2.4 QinQ部署圖解 接入交換8、機配置用戶VLAN，每接口1個VLAN,根據交換機數量，每臺或24個或48個，外加管理VLAN。交換機上連端口,如圖端口1和端口2,端口配置trunk模式，允許通過所有用戶VLAN和設備管理VLAN。 匯聚交換機下連端口，如圖端口3和4,配置靈活QinQ，把用戶數據VLAN添加外部VLAN標簽，管理VLAN不添加外部VLAN標簽，直接轉發;匯聚交換機下連端口配置hybrid方式，外部vlan采取untagged方式轉發；上連端口，如圖端口5,配置trunk,允許外部VLAN2001to 2020和管理VLAN1001通過。 在BRAS設備的下連接口如圖端口6,配置子接口，進行內、外兩層VLAN9、終接。2.5 QinQ配置舉例 端口3和5配置QinQ，配置如下：H3C interface gigabitethernet 1/0/1H3C-GigabitEthernet1/0/1 qinq enableH3C-GigabitEthernet1/0/1 qinq vid 2001H3C-GigabitEthernet1/0/1-vid-2001 raw-vlan-id inbound 101 to 150H3C-GigabitEthernet1/0/1port link-type hybridH3C-GigabitEthernet1/0/1port hybrid vlan 2001 to 10、2020 untagged H3C-GigabitEthernet1/0/1port hybrid vlan 1001 tagged CR16004接口6配置如下：H3C interface GigabitEthernet3/1/1.1H3C-GigabitEthernet3/1/1.7 vlan-type dot1q vid 2001 to 2020 second-dot1q 101 to 150 /終接用戶VLANH3C-GigabitEthernet3/1/1.7 vlan-termination broadcast enable/vlan-termination broadcast e11、nable命令用來配置允許當前接口發送廣播和組播報文，即允許當前接口遍歷模糊終結的范圍發送報文，具體為當前接口遍歷模糊終結范圍內的VLAN ID，給報文分別添加這些VLAN ID對應的VLAN Tag后發送（比如，對于配置了模糊的QinQ終結的接口，報文添加VLAN Tag后，最外兩層VLAN ID分別對應各自模糊終結范圍內的VLAN ID）。H3C interface GigabitEthernet3/1/1.2H3C-GigabitEthernet3/1/1.7 vlan-type dot1q vid 1001 /終接管理VLAN第三章 出口優化方案3.1 LB部署方案LB與CR1600412、之間通過2個端口進行鏈路捆綁，即提高帶寬，又提高鏈路可靠性。把運營商線路接入LB端口，在LB上配置策略進行動態智能選路，在接口上啟用NAT功能。第四章 割接方案4.1 匯聚、接入層割接方案為減小割接對業務的影響，割接遵須自上而上的順序進行配置，選配置BRAS設備，再配置匯聚設備，最終配置接入設備。以CR16004上的每個物理接口為單位進行割接，可以先找個用戶少的接口進行試點，運行正常后，再進行其他接口下業務的割接。步驟如下：1、 在CR16004的相應物理接口下，增加子接口，配置相應的2層VLAN標簽模糊終接，地址暫時不配；2、 在匯聚交換機上配置相應的外部VLAN；3、 在匯聚交換機的上連端口上，配置允許通過的外部VLAN；4、 在匯聚交換機的下連接入交換機的端口啟用靈活QinQ,把接口模式配置為hybrid,把外部vlan配置為untagged方式。5、 在接入交換機上配置新的用戶vlan,在上連接口上允許新的用戶vlan通過，把每個交換機端口劃入新的用戶vlan,可以把端口號與新vlan id的尾數對應；6、 接入交換機配置完畢后，再在CR16004上把原來子接口下的地址刪除，配到新子接口上；7、 測試此接口下的業務正常后，把原來的子接口刪除。4.2 LB部署割接方案LB割接比較簡單，把LB先配置后，然后接入網絡中，網絡測試即可。第五章 優化方案增加設備清單