VRP通用路由平台（下） .ppt

《VRP通用路由平台（下） .ppt》由会员分享，可在线阅读，更多相关《VRP通用路由平台（下） .ppt（82页珍藏版）》请在三一办公上搜索。

1、,82,信令协议是MPLS体系结构中的执行机构，负责为某个FEC建立、拆除和检测LSP，在相邻的LSR之间传递标记同FEC的绑定关系 LDP是标准的标记分发协议，以DoD（下游按需分配）或DU（下,游自主）以及有序或独立的方式分发标记,CR-LDP在LDP的基础上扩展，支持建立具有约束路由信息的,LSP(CR-LSP),RSVP-TE在传统RSVP协议的基础上扩展，在实现基本的LSP建立、,拆除功能外，支持建立显式路由的LSP,BGP-MPLS是MP-BGP(多协议BGP)的一个实例，在传送路由的同,时承载标记信息，实际上是以DU的方式来分发标记，在MPLS/BGP VPN中被使用,CR-LD

2、P和RSVP支持流量工程,信令协议,83,静态LSP通过在每个LSR上手工配置上行控制块、下行控制块以及交叉联结的方式分段建立LSP,建立LSP的最基本也是最后的手段,在不支持信令协议或信令协议不能互通的情况,下使用,静态LSP,84,TE控制模块是LSP管理的子模块，负责实现流量工程特性：,备份LSP,快速重路由,重新优化(Re-Optimization)优先级和抢占显式路由,失败重试等,TE控制模块,85,负责实现MPLS/BGP VPN和VR-VPN的功能,从路由平面截获各种事件，分发给属于某个VPN的,路由协议的实例，获得VPN路由,驱动LSP管理模块建立LSP 维护VPN的各种配置信

3、息 建立和删除VPN站点,与MP-BGP模块共同实现MPLS/BGP VPN特性,MP-BGP协议属于路由平面，MPLS/BGP VPN利用,它来传递携带标签的VPN路由,VPN控制模块,86,负责管理带宽资源，为LSP管理模块分配、,回收带宽资源,接受带宽查询，告诉LSP管理模块是否有,足够的资源建立LSP,支持按照不同优先级的带宽资源管理 支持连续和离散的资源管理,资源管理模块,87,从RM获得路由作为拓扑驱动，查询最佳路由或者受约束的最佳路由以计算LSP，为LSP生成主机路由并添加到路由表等,在MPLS TE中，通过ISIS-TE、OSPF-TE扩展来获取,链路资源信息,在MPLS/BG

4、P VPN中，通过MP-BGP传递VPN路由，使用多实例化的IGP协议/BGP协议在PE和CE之间传递路由信息,MPLS体系与路由平面的关系,88,VRP MPLS体系不实现具体的标记转发，而是规范一个标准的转发平面接口（FEF），产品实现某种形式的硬件/软件转发时，遵循此标准接口即可。LSP管理模块提供这个接口,CoS根据报文的五元组等信息进行分类，为不同的分类绑定不同的标签，导向到某个LSP进行转发。CoS机制主要由转发平面实现，VRP MPLS体系只为其提供接口，接口由LSP管理模块提供。,VRP MPLS体系从网络接口层获得链路状态、链路带,宽等信息,与其它模块的关系,89,VRP M

5、PLS体系结构的特点,模块化,MPLS体系的模块化设计,作为VRP系统中的一个大模块与其它模块的关系清晰明确与转发平面的接口清晰、明确、简单、高效，完全实现控制平面与转发平面的分离,可扩展性,可以接收任何形式的应用建立/拆除LSP的请求,支持任何形式的标记分配协议，包括LDP/CR-LDP，RSVP-TE，BGP-MPLS,通过标准化的FEF接口支持任何形式的软件/硬件标记转发,90,事件驱动,接受路由、接口、报文、LSP、CLI、SNMP、TIMER等数据源/控制源的驱动，输出LSP、主机路由、资源信息表等事件驱动的焦点是LSP管理模块,事件驱动要求进程间通信量小而有效，同步机制准确，在非抢

6、占操作系统中主动释放CPU等,数据对象为核心,MPLS体系中的各模块、各处理流程的最终结果是维护LIB(包括FTN、ILM、NHLFE等子表)、资源信息表这两个数据对象两个数据对象的变化被各个模块所感知，进行相应的处理这种机制是标记分发协议间互操作的基础,以数据对象为核心要求快速、安全、可大批量地访问这些数据,控制和数据分离,某个模块集中处理控制流或维护数据对象，进程间数据流和控制流可使用不同IPC机制,VRP MPLS体系结构的特点,91,作为MPLS的基本信令协议，LDP的功能是生成、拆除、,检测LSP,LDP协议是一个LSR将它所做的标记与FEC的绑定通知另一个LSR的过程集，包括一组用

7、于在LSR之间建立LSP的消息和处理过程，以及LDP Peer为了获知彼此的MPLS能力而进行的任何协商,LDP协议将网络层的路由信息直接映射到建立在数据,链路层的交换式通道（LSP）上,LDP模块,92,CR-LDP模块,继承LDP的发现机制、消息类型和事件状,态机,支持建立具有约束路由信息的CR-LSP，包括显式路由信息、流量参数信息，支持路由锁定、资源抢占和资源分类，支持标准网管MIB等,93,LSP管理模块,LSP管理模块处于MPLS基本能力的核心位置，负责接受各模块建立、拆除LSP的请求，维护LIB表，实现MPLS基本能力的必需功能,实现对流量工程的支持,支持LDP/CR-LDP、R

8、SVP-TE和BGP-MPLS,等信令协议,94,资源管理模块,资源管理模块实现对链路的带宽、着色资源进行管理，支持按照不同优先级管理资源接受带宽查询，告诉LSP管理模块是否有足够的资源建立LSP分配资源回收资源,支持可裁剪性：支持使用裁剪宏，对整个资源管理模块的可裁剪性,95,MPLS VPN模块,MPLS/BGP VPN目标是向运营商提供VPN的端到端解决方案，使VPN作为运营商的一种新的增值服务 MPLS/BGP VPN 是一种基于网络、易于管理、扩充性好、具有与ATM/FR虚电路VPN具有相同安全级别、有QoS保障的端到端VPN,用户网络（Intranet、Extranet）的CE以专

9、线接入方式连接到运营商网络的PE上，VPN的配置维护“外包”给运营商，VPN的实现完全由骨干网络完成,96,骨干网络中只有PE才“感知”VPN，核心层PR不关心VPN，只负责标签转发，因此MPLS VPN配置简单、便于扩展、能够大规模地提供VPN服务,MPLS VPN用户可连接同一VPN中的其它任何用户，能非常简单地实现用户间星型、全网状等网络拓扑 MPLS VPN为不同用户维护分离的路由表和转发表，转发时给不同用户的报文打上不同的标签，可在相当程度上保证用户数据的私有性和安全性,由于MPLS网络特有的CoS、流量工程等机制，MPLS/BGP VPN能够为用户实现有QoS保证的VPN,MPLS

10、 VPN模块,97,网络操作系统NOS简介,华为3Com统一的IP NOSVRP,VRP概述,VRP系统服务平面,VRP IP Stack及开放接口VRP路由平面,VRP MPLS体系VRP系统应用,VRP配置管理平面,98,VRP 可靠性功能,接口板热插拔和主控板热备份是电信级高端产品必须具备的特性，实现这两个功能是VRP平台在电信级高端产品中应用的前提条件。,无论VRP平台如何发展，对热插拔、热备份这两个功能（特性）的支持始终是放在首位的。,99,VRP主要可靠性功能构成,备份中心,实现接口级和PVC级的备份,热插拔,支持接口板的热拔和热插,热备份,支持主控板的备份,VRRP,支持设备级的

11、备份,100,安全组件,身份认证：AAA&RADIUS访问控制：ACL、包过滤防火墙、ASPF应用层防火墙网络地址转换NAT安全加密：IPSEC&IKEVPN：支持VPDN的L2TP、GRE、IPSEC&IKE101,VRP安全组件模块,102,身份认证：对用户进行用户名、口令验证或PPP的chap验证，实现PPP的主叫号码验证。验证通过RADIUS完成，对少量用户也可以进行本地验证。,授权：授权用户允许使用的服务、会话限时，计费级别、回呼号码、EXEC用户的优先级及FTP用户的授权文件目录。授权通过RADIUS完成，对少量用户的简单授权也可以进行本地授权。计费：通过RADIUS服务器对用户进

12、行时间计费及流量计费，同时实现实时计费。对未成功完成计费的用户在本地暂时保存计费信息。对字节流量提供2个长整数保存。,标准RADIUS客户端协议：实现最新标准RADIUS协议的客户,端部分。实现在本系统AAA中用到的属性。,AAA&RADIUS模块关键特性,103,提供隧道属性：为每个用户设定隧道特性。,RADUIS的重传机制和服务器恢复机制：重传机制保证传输的可,靠。对发现不可用的服务器定时恢复使用。,RADIUS服务器群组：提供RADIUS服务器群组功能，在每个组,中可以分别设定RADIUS的各项参数。,灵活的RADIUS服务器使用方法：可以按照接口、域名、被叫号码指定使用的RADIUS服

13、务器。支持备份服务器，支持主服务器，支持用户登录时自己指定使用的服务器。,地址分配：可以为用户分配规定地址或地址池地址，实现地址,池地址的统一管理。,AAA&RADIUS模块关键特性,104,多ISP支持：支持用户名为useridisp-name形式的ISP域名用户，系统将把userid作为用于验证的用户名，按照域名对应的ISP的AAA方法对用户进行AAA。可以对不同ISP分别设定验证、计费方法、服务器组、私有地址池、及一些ISP特性。,RADIUS客户端的MIB：RADIUS客户端的标准MIB 热插拔：接口板被拔出，自动处理此板的用户。热备份：系统板切换不影响AAA功能,支持可裁剪性：支持使

14、用裁剪宏，实现AAA和RADIUS协议,的可裁剪性。,AAA&RADIUS模块关键特性,105,ACL模块,ACL模块提供了对ACL规则的一种组织和引用的方,法,ACL规则是用户出于安全和其他方面的考虑而配置,的一些规则,一条ACL规则由若干条“permit/deny”语句组成，共,同构成一种判断标准。,路由器检查接口上每一个到来的数据包（当前仅支持IP包），和该接口配置的ACL规则相比较，从而决定对该数据包的处理：转发或丢弃,106,维护ACL规则,按照定义形式来分：,数字表示，用1到199和1000到1199之间的数字；名字表示，以英文字母开头的字符串,按照内容分类：,标准的ACL规则：仅

15、包括源地址，序号为1到99，名,字任意；,扩展的ACL规则：可包括源/目的地址、源/目的端口,号等，序号为100到199，名字任意；,基于接口过滤的ACL规则：仅规定数据包进入时经过的接口名，序号为1000到1199，不能用名字表示,ACL模块,107,一般把防火墙分为两类：网络层防火墙、应用层防,火墙。,网络层的防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等或者直接获取包头的一段数据，最常见的是包过滤防火墙。,应用层的防火墙则对整个信息流（过程、状态、数,据）进行分析。,防火墙,108,防火墙的最基本的功能就是监控并过滤流过自身的数,据包，即“包过滤”,包过滤防火墙对

16、每个数据包按照定义的规则进行过滤。它不管会话的状态，也不分析数据。在配置的规则比较符合实际应用的情况下，包过滤防火墙一般能过滤掉大部分存在安全隐患的数据包。,路由器实现的防火墙主要就是包过滤技术，而实现包,过滤的核心技术就是访问控制列表。,包过滤防火墙模块,109,包过滤防火墙模块,允许在接口的入口和出口出分别配置防火墙。防火墙提供了默认处理命令，在没有规则匹配的,情况下，可以采用不同的处理方式。,可以使用“接口访问控制列表”配置防火墙。防火墙支持日志功能。,包过滤防火墙继承了访问控制列表的所有优点。,110,ASPF,ASPF（Application Specific Packet Filt

17、er）增强VRP平台的防火墙功能，提供针对应用层的报文过滤功能，即基于状态的报文过滤。,ASPF检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。,ASPF不仅能根据连接的状态对报文进行过滤，还,能够对应用层的一部分攻击加以检测和防范,111,地址转换NAT,NAT是在IP地址日益短缺的情况下提出的,NAT是针对一个“连接”而言，在内部网络向外连接的时候，转换源地址。外部网络向内部网络的回应的时候，转换目的地址。,NAT可利用TCP/UDP协议的端口号标识不同的连接，因此NAT可支持内部网络的

18、许多台主机共享一个IP地址访问外部网络。,NAT屏蔽了内部网络，但也可提供“内部服务器应用”，也称“反相地址转换”。使外部网络的主机也可访问内部网络的某些主机，如FTP、WWW Server。,NAT技术可有效隐藏内部网络的主机，也是一种有效的,网络安全保护技术,112,IPSEC,IPSEC（IP Security）是IETF制定的一个IP层安全框架协,议,IPSEC为网络通信提供端对端、增强的身份验证、完整,性、防重放和保密性,IPSec的安全协议,AH(Authentication Header),MD5,SHA1,ESP(Encapsulation Security Payload),

19、DES,3DES,IPSec的信令协议,IKE(Internet Key Exchange),113,GRE GRE(Generic Routing Encapsulation)通用路由封装协议，是实现三层隧道的一种封装协议 对某些网络层协议（如IP、IPX、AppleTalk等）的数据报进行封装，使这些被封装的协议能在IP网中传送 GRE协议栈：,IP/IPXGREIP链路应协协,乘客协议运载协议或封装协议运输协议,114,L2TP（Layer 2 Tunnel Protocol）是为在用户和企业的,服务器之间透明传输PPP报文而设置的隧道协议,L2TP特点:,支持私有地址分配,不占用公有I

20、P地址,与PPP配合支持AAA功能,与Radius配合支持灵活,的本地和远端的AAA,与IPSEC结合,支持对报文的加密 客户端软件易用,接入灵活,L2TP,L2TP,PPP,IP,client,ISP,Internet,PSTN,networkLNS,LAC RADIUS,LNS RADIUS,LAC:L2TP Access Concentrator L2TP的接入集中器LNS:L2TP Network Server L2TP的网络服务器LAC/LNS Radius:LAC/LNS的远端验证服务器115,L2TP应用架构Coporate,A8010LAC,QuidwayRouter/iSS,

21、116,QoS组件,117,VRP支持的QoS服务模型,尽力传送（Best Effort）模型,对所有报文先来先服务，平等利用系统资源,集成服务（IntServ）模型,通过资源预留等手段提供端到端的服务质量保证,区分服务（DiffServ）模型,定义一组数量较小的服务类型和优先级在网络边缘对所有分组进行分类、标记核心网络设备依据此标记可快速转发,118,Best-Effort服务模型,Best-Effort是一个单一的服务模型，也是最简单的服,务模型。,应用程序可在任何时候，发出任意数量的报文，且不,需事先获得许可，也不需通知网络。,网络尽最大的可能来发送报文，对时延、可靠性等性,能不提供任何

22、保证。,Best-Effort服务是IP网络的缺省服务模型，适用于绝大多数网络应用，它通过先入先出（FIFO）队列来实现。,119,DiffServ服务模型,DiffServ(Differentiated Service)是一个多服务模型，可,满足不同的QoS需求。,与IntServ(Integrated Service)不同，它不需要信令，即,应用程序在发出报文前，不需要通知网络。,对DiffServ，网络不需要为每个流维护状态，它根据每,个报文指定的QoS，来提供特定的服务。,可用不同的方法来区分报文的服务等级，如IP包的优先级位（IP Precedence)，报文的源地址和目的地址等。网

23、络通过这些信息来对报文分类、流量整形、流量监管和排队,120,IntServ服务模型,Integrated service是一个综合服务模型，可满足多种QoS,需求。,在发送报文前，需要通过信令（signaling）向网络申请特定的服务。传送QoS请求的信令是RSVP（资源预留协议）,应用程序首先通知网络它的流量参数和需要的特定QoS请求，在收到网络的确认信息，即网络已经为这个应用程序的报文预留了资源后，发送报文。,应用程序发出的报文应该控制在流量参数描述的范围内。,121,Integrated service可提供以下两种服务：,保证服务（Guaranteed service）：提供保证的带

24、宽和时延限制来满足应用程序（如VoIP）的要求。,负载控制服务（Controlled-Load service）：保证即使在网络过载（即网络拥塞）的情况下，能对报文提供近似于网络未过载时的服务(低时延、高通过),IntServ服务模型,122,RSVP模块,123,RSVP模块,RSVP在VRP中是一个非核心的模块,RSVP的作用是为报文流提供端到端的质量保证服务 RSVP是一个QoS信令协议,在一个报文流的报文发送前，为这个报文流在各,个节点请求资源预留,QoS机制对RSVP信令携带的资源请求进行接纳控制处理，在接纳了资源请求后，报文经过这个节点时，提供承诺的服务,报文流的个数有一定的限制,

25、124,由于以下原因，RSVP一直没有得到广泛的应,用：,协议处理复杂,每个节点需要保存每个报文流的“软状态”，需要,的系统资源很大,一般的链路层协议和物理接口不能提供GS（保证,服务）,RSVP模块,125,RSVP更为通常的应用是完成标签分发功能。同时它通过显示路由（ERO），可以很容易的支持流量工程,标签分发：各个节点之间通过交换RSVP报文，来,传递标签申请和标签分配结果。,通过ERO，支持流量工程,QoS提供资源预留请求的接纳控制,QoS为提供调度机制，提供报文发送需要的质量服,务,RSVP扩展（MPLS+TE）模块,126,Mobile IP模块,127,Mobile IP模块,M

26、obile IP模块提供基本的移动IP功能,Mobile IP需要解决的主要问题是“移动节点如何连接,到核心IP网络上”,Mobile IP就是允许移动节点在IP核心网上变换IP接入点漫游时，仅仅使用Home Address就可以保持通信 Mobile IP的应用范围是在因特网中提供移动节点的移动功能的网络层解决方案，移动节点可以改变其网络接入点，但并不改变其IP地址,128,Mobile IP关键技术,Mobile IP协议允许Internet上的主机在改变链路层的附着点后，也应,该能正常的使用。,移动用户无缝的移动在具有Mobile IP特性的设备中实现,当移动节点移动到外地网络时，通过外

27、地代理向家乡代理注册，数,据报文由外地代理通过隧道转交到家乡代理 移动代理需要维护注册信息和隧道机制 提供安全模块对注册进行验证,隧道部分可以通过协议开关表，实现Mobile IP隧道操作与IP转发流,程独立,Mobile IP模块实现核心功能，并提供对外编程接口，以便二次开发,129,VPN组件,130,VPN的类型,按运营模式：CPE-based VPN、Network-based VPN按业务用途：Access VPN、Intranet VPN、Extranet VPN,远程访问虚拟网（Access VPN，又称VPDN）,服务对象：出差流动员工、远程办公人员和远程小办公室特点：接入灵活

28、，费用低廉,Intranet VPN,服务对象：企业各个分布点,特点：组网灵活，相对传统企业间互联费用低廉,Extranet VPN,服务对象：企业的合作伙伴与客户,特点：可根据需要灵活采用各种接入方式,按实现层次：应用层VPN、网络层VPN、二层VPN按组网模型：VPDN、VPRN、VPLS、VLL,131,VPN的设计原则,VPN的安全性,确保企业在VPN上传送的数据不被攻击者窥视和篡改，,防止非法用户对企业网络资源或私有信息的访问,网络QoS特性,充分有效地利用有限的广域网资源，为重要数据提供可,靠的带宽,VPN的管理特性,企业需要将网络管理功能从局域网无缝地延伸到公用,网，甚至是客户和

29、合作伙伴,132,VRP的VPN实现技术,隧道技术:用于承载数据报文,二层隧道技术：L2TP(RFC2661),PPTP,L2F 三层隧道技术：GRE(RFC1701),安全技术：保证数据安全,IP包加密技术：IPSEC协议族 防火墙,QoS技术：保证数据的有效传输,DiffServ IntServ,MPLS,VRP多实例技术（VR虚拟路由技术）,133,其他,FTP FTP(File transfer protocol)文件传输协议允许用户以文件操作的方式与另外一主机相互通讯 FTP 是IP网络的标准应用，FTP 除了完成文件传输基本功能外，同时还提供了交互存取、格式规范和验证控制等功能 V

30、RP FTP C/S结构：,TCP/IP网络134,链数传传,主控时控,主控时控,链数传传,客户机,服务器,VFSVOS,VFSVOS,135,Telnet,TELNET：远程登录协议（Telecommunications network,protocol),Telnet是TCP/IP协议族中应用最广的一种协议，它提供一种以连机方式访问IP网资源的通用工具，允许用户与一个远程机器上的服务器进行通信,VRP 支持的Telnet应用,远程配置,Telnet Server 服务 Telnet Client 服务,反向终端服务 访问服务器,Telnet 应用远程配置 Telnet Server服务：用

31、户在微机上运行Telnet客户端程序登录到路由器上进行配置管理Quidway Series RouterTelnet Client Telnet Client服务：用户在微机上通过终端仿真程序或Telnet程序建立与路由器的连接后，输入Telnet命令再登录其它路由器进行配置管理Quidway Series Router,(Telnet Client)136,Telnet/Terminal,Quidway Series Router(Telnet Server),Telnet Client,Router,LanSwitch,Modem,AS,其他通信设备,特定的端口号登录到,路由器上，直接和与

32、路由器异步口相连的串口设备通信。Quidway R2509/2511Router 典型应用：Quidway,R2509/2511路由器的8/16异步口以直连方式外接多个设备，实,现这些设备的远程配,置和维护137,Telnet 应用反向终端服务Reverse Telnet 用户在微机上运行Telnet客户端程序以,138,哑终端,哑终端,哑终端,哑终端,Telnet 应用访问服务器ServerQuidway R2509/2511RouterAS,Ping Ping(Packet InterNet Groper)检测主机是否可达。它是ICMP协议的一种应用。Ping数据包格式：,类类（0，8）,

33、代代（0）,校校校,分各分分分,标标标(时控ID)可查链数(通通通通通定通)139,Ping工作原理,Ping客户程序,10.110.1.1,126.10.1.1,126.10.1.2,10.110.1.2Ping服务器,-R(记录路由选项)10.110.1.1 10.110.1.2 126.10.1.2 126.10.1.1140,TTL=1,TTL=2,TT,L=,3,TTL=1,141,TraceRoute TraceRoute利用IP数据报的TTL域，记录主机之间的路由,向向路向向主状转传报报T T L1,第第第主状第第报报T T LT T L-1,向向路向向主状转传报,报T T L2

34、向向路向向主状转传报报T T L3,第第第主状第第报报T T LT T L-1第第第主状第第报报T T LT T L-1,T T L=1,T,T,L=,2,142,TraceRoute工作原理,TraceRoute向目的结点发送UDP数据报，该数据报使用无效的端口号（大于30000），使得终点的应用程序无法使用该端口号。因而当数据报到达时，目的结点的UDP模块将产生一个指示“非法端口号”错误的ICMP报文。,TraceRoute程序区分收到的ICMP报文是超时或非法,端口号，从而决定是否完成了所有的工作。,143,网络操作系统NOS简介,华为3Com统一的IP NOSVRP,VRP概述,VRP

35、系统服务平面,VRP IP Stack及开放接口VRP路由平面,VRP MPLS体系VRP系统应用,VRP配置管理平面,144,VRP配置管理平面将所有配置管理的动作分别抽象为独立的配置项，然后以配置管理平面（CMP）为核心，提供对各种配置工具的支持（如SNMP,Agent和CLI），将配置和管理数据以相同的格式，采用既定的传递方式（函数调用或者发送消息）下达到指定处理模块，最终完成配置管理的目的,VRP中以信息处理中心为信息集散地，统一处理各,种调试、日志、告警等信息的屏蔽和分发,VRP配置管理平面,145,VRP配置管理平面架构,CMO，Configuration Management O

36、bject,TerminalsManagementCLI,WebSNMP Agent,Other FunctionModules,System Tools146,InformationCenterConfigure Management Plane,VRP配置管理平面的结构组织Structure Of VRP Configure Management Plane,147,终端管理模块：提供各种终端线的统一管理功能，统一管理各个终端线的终端属性和应用特性，并提供各种配置用户的安全策略,CLI和SNMP Agent：不同的两种配置工具，分别向配置,管理平面传递基于配置管理对象CMO的配置消息 系统

37、工具：提供系统基本的测试和网络诊断工具,信息处理中心：负责完成信息的接受、过滤和定向输出 终端管理模块、命令行模块、配置管理平面、信息中心,都支持设备的实例化,VRP配置管理平面的结构组织,148,终端管理主要包括终端线管理、终端服务器、EXEC会话,管理,模块负责向用户提供line（线路）配置模式，用来配置和管理各物理接口和虚接口，并向EXEC会话管理层提供来自各个不同接口的数据驱动，负责提供基于终端线的各种安全策略配置,VRP终端线管理模块支持资源线资源的动态管理，从而,支持设备的实例化,“终端线”（Terminal Line，简称Line）,指一系列特殊的终端虚拟设备，通过它们才能使用命

38、令行，如,控制台（CON）、异步串行口（ASYNC）、同异步串口(SERIAL)的异步模式、辅助口（AUX）、虚拟接口（VTY）,终端管理模块,149,EXEC概念,EXEC的原意是运行执行，在IP NOS中是指建立在某个终端线上的一次会话（Session），该会话完成一次配置工作。,VRP将配置用户称为EXEC用户，将管理所有配置用,户的模块称为EXEC用户管理模块,EXEC功能：,为每个LINE动态创建和删除EXEC配置任务和相应的EXEC,用户控制块，保存相关配置数据 进行每个配置用户的验证和授权,负责每个EXEC用户的CLI数据编辑处理，为CLI处理模块,提供CLI数据,为协议（功能）

39、模块提供CLI处理的信息输出和数据接收函数；为信息处理中心提供终端用户信息并提供EXEC配置用户的信息输出接口,150,LINE和EXEC关系,151,配置管理平面模块,配置平面层是配置管理的核心层次，它定义了配置工具层和配置数据层进行交互的一些规则和方法,配置平面层的主要功能包括：,提供配置管理对象CMO的定义规则,提供配置工具层到配置数据层的通信接口,152,命令行接口模块,提供一套完整的命令行表达语法，允许命,令的动态注册,完全解析，支持上下文解析，提供命令,帮助,提供命令的隐藏特性,提供命令的权限设置功能,153,配置文件管理模块,配置文件按序收集、配置文件动态更新。对于分布式产品，需

40、要接口板向主控板主动上报配置文件，调用配置文件模块提供的接口动态更新。,在接口管理模块的支持下，本模块可提供接口板的随机热插拔后配置恢复功能，可方便的支持产品在线故障排除。,应户路路,154,VRP信息处理中心模块,日日主状管管管管,日日日日日管管管管,告告日日日管管管管,EXEC应户户户户出管管,设设设设户出路路初初初初消路事管总主管管,协协功能管管,路路信信代管,路路事管信信,路路事管接接链链,路路信信/路路户出、单主单单消路,全全路路信信管管管管,初初消路事管管管,SNMP户出管管管管EXEC管管配配管管,路路信信消路、单主单单消路,配配消路,网主路路信信管管管管代管初初,路路网地户出设

41、配消路,155,提供底层统一的对外信息输出接口，而不用关心信息最终的输出目的地,提供对输出信息的动态控制功能。用户可以通过配置工具，如命令行、网管等动态改变信息的输出方向以及输出信息的内容,提供对debug all,no debug all,show debugging 命令的注册实现,提供比较强大的输出信息过滤功能。用户可以按照信息的级别、类别、来源等条件限制或允许其输出。,VRP信息处理中心模块,156,SNMPv3模块,一个SNMP实体包括一个SNMP引擎和若干个SNMP应,用,SNMP引擎是SNMP实体中的核心部分，包括调度器、消息处理子系统、安全子系统和访问控制子系统等四个部分，完成

42、SNMP消息的收发、验证、提取PDU、组装消息、与SNMP应用程序通信等功能,SNMP应用处理PDU，完成协议操作，存取MIB,SNMP manager：拥有命令生成器或指示接收器的,SNMP实体,SNMP agent：拥有命令响应器、指示生成器或代理转,发器的SNMP实体。,SNMP实体也可以具有双重功能。,UDP,IPX,other,v2MP消路分配,网基应户路其全管类(USM）,PDU 分 配命命响应管管,访访主控,v3MPotherMP告告告告管管,MIB访访管管157,SNMP agent,调度器传户应映射,消息处理子系统v1MP,安全子系统其其其全管类,SNMPv3 Agent的体

43、系结构网 网,USM:User-basedSecurity ModelVACM:View-basedAccess Control Model,158,调度器：SNMP引擎的核心，使用UDP接口从网络接收或向网络发送报文。它将消息交给消息处理子系统进行处理并接收它返回的结果，另外还将PDU传输给SNMP应用，或从SNMP应用接收PDU。.消息处理（MP）子系统：从消息中提取PDU，或将PDU封装成,SNMP消息，并调用安全子系统对消息进行安全性处理。,安全子系统：采用基于用户的安全模型（USM），消息验证采用,MD5和SHA算法，数据加密采用CBC-DES算法。,访问控制模块：为SNMP应用提供

44、服务，判断对一个管理变量的操作的合法性。本系统采用基于视图的访问控制模型（VACM），通过判断一个对象是否属于某个合法的MIB视图，来决定是否允许对此对象的实例的此次访问。,MIB访问工具模块：维护和查询MIB树，并访问管理变量。,SNMPv3 Agent的体系结构,159,安全性：SNMPv3提供消息级的安全性，包括：,数据完整性：数据没有被未授权方式修改，数据顺序的改动也没有超,出许可范围。,数据起始验证：确认所收到的数据来自哪个用户。V3定义的安全性是基于用户，它验证的是生成消息的用户，而不是具体生成消息的应用程序,数据保密,消息时序及受限重播的保护：生成消息的时间超出指定的时间窗口,时

45、，该消息不被接受。,访问控制：作用于协议操作的安全性检查，控制对管理对象的访问 一个SNMP 实体所能访问的MIB由环境（context）来定义。出于安全性考虑，在同一实体上可能需要定义不同的组(group)，给以不同的权限，这些权限由MIB视图来规定。MIB视图给出了环境内一个具体的管理对象类型的集合。由于MIB是树状结构，MIB视图采用了视图子树的形式来定义。如果要访问的对象的对象标志符属于此MIB子树，则操作可进行。,SNMPv3的重点改进,160,SNMP Agent基于VOS，通过VOS屏蔽WINDOWS，pSOS，VxWorks等操,作系统之间的差异,SNMPv3的体系结构定义了UDP、IPX等传输机制,SNMP Agent不直接和其他协议模块通信，如CLI，ospf,ppp等,SNMP模块与相关模块的关系,161,NTP 协议用于对网络内所有具有时钟系统的设备进行时钟同步，使网络内所有时钟的时间基本保持一致，从而使设备能够提供基于统一时间的多种应用,对运行 NTP 的本地系统，既可以接受来自其它时钟源的同步，又可以作为时钟源去同步别的时钟，并且通过彼此交换时间信息，互相同步，最终使得全网络内所有设备的系统时钟达到基本一致,NTP模块,162,问题,华为3Com技术有限公司,