在本示例中,各工业以太网交换机之间使用混合端口进行互连。这些网络端口在所有PVLAN(主 PVLAN 和所有次 PVLAN)中均为带标记的成员。用于连接 PC 的端口是主机端口。主机端口在主 PVLAN及PVLAN 中均为无标记的成员。用于连接服务器的端口是混合端口。该混合端口在所有 PVLAN(主 PVLAN和所有次PVLAN)中均为带标记的成员。在本示例中,所有 PC 均可与服务器通信,亦然。PC1 不能与任何其它 PC 通信。公共次PVLAN 内的设备之间可以相互通信,但不能与其它次 PVLAN 内的 PC 通信。5.4.4 VLAN 通道使用 Q-in-QVLAN 隧道功能,可通过提供商网络转发具有 VLAN 隧道的各种客户网络的数据通信。每个客户网络均有完备的可用 VLAN。VLAN隧道在提供商网络边界组态的交换机之间建立。一个提供商交换机具有以下端口类型:● 访问端口提供商交换机通过访问端口连接到客户网络。–传入数据通信访问端口处的传入数据通信视为无标记 ①。所有的传入帧均由具有访问端口端口 VID的标签扩展②。所有帧均已标记,这意味着它们已由第二个 802.1Q 标签(外部VLAN 标签)③扩展。传出数据通信使用访问端口的传出数据通信,将外部标签删除。●核心端口提供商交换机通过核心端口连接到提供商网络。核心端口为访问端口的端口 VLAN 的成员,或者使用端口类型“Switch-PortVLAN Trunk”组态。在本示例中,来自客户网络 A、B 和 C 的数据通信使用 VLAN 通道通过提供商网络转发。来自客户网络A 的帧带有 VLAN ID 标记。来自客户网络 B 的帧带有优先级标记。来自客户网络 C的帧没有标记。帧在到达相关访问端口时,即由具有访问端口端口 VID的标签扩展,并通过提供商网络隧道化。帧离开提供商网络时,将立即删除外部 VLAN 标签(PVID)。帧以其原始格式转发。保留帧的优先级。
镜像设备提供了引导入站或出站数据流经过其它接口以进行分析或监视的选项。这对受监视的数据流没有影响。此过程称为镜像。在此菜单部分,可启用或禁用镜像并设置参数。镜像端口镜像端口是指将工业以太网交换机的某个端口(镜像端口)上的数据通信复制到另一个端口(监视端口)。可以将一个或多个端口镜像到监视端口。如果协议分析器与监视端口相连接,则可在不中断连接的情况下记录镜像端口的数据通信。这意味着可在不影响数据通信的情况下对数据通信进行研究。只有设备有空闲端口可用作监视端口时,才能实现此功能。技术基础5.5镜像SCALANCE XB-200/XC-200/XF-200BA/XP-200/XR-300WG WebBasedManagement配置手册, 10/2021, C79000-G8952-C360-12 835.6 SNMP简介借助(Simple Network Management Protocol ,SNMP),可以监视和控制中央站中的网络元件,例如路由器或交换机。SNMP 控制被监视设备与监视站之间的通信。SNMP 的任务:●监视网络组件● 远程控制网络组件,以及远程为网络组件分配参数● 错误检测和错误通知版本 v1 和 v2c 的 SNMP没有安全机制。网络中的所有用户都可以访问数据,还可使用适当的软件来更改参数分配。如果只需对访问权限进行简单控制而无需考虑安全性,则可使用团体字符串。团体字符串与查询一起传送。如果团体字符串正确,SNMP代理将做出响应并发送所请求的数据。如果团体字符串不正确,SNMP代理将放弃查询。可以为读取和写入权限定义不同的团体字符串。团体字符串以明文形式传送。团体字符串的标准值:● public具有只读权限●private具有读写权限说明由于 SNMP团体字符串用于访问保护,请勿使用标准值“public”或“private”。请在初始调试之后更改这些值。设备级的更多简单保护机制:●Allowed Host被监视系统知道监视系统的 IP 地址。● Read Only如果为被监视设备指定“ReadOnly”,则监视站只能读取数据,但无法更改。SNMP 数据包未加密,其他用户可轻松读取。中央站也称为管理站。SNMP代理安装在与管理站交换数据的被监视设备上。技术基础5.6 SNMP84SCALANCEXB-200/XC-200/XF-200BA/XP-200/XR-300WG Web BasedManagement配置手册,10/2021, C79000-G8952-C360-12管理站发送以下类型的数据包:● GET向 SNMP 代理请求数据记录●GETNEXT调用下一条数据记录。● GETBULK (自 SNMPv2c 起可用)每次请求多条数据记录,例如,表中的多行。●SET包含相关设备的参数分配数据。SNMP 代理发送以下类型的数据包:● RESPONSESNMP 代理返回管理器请求的数据。●TRAP如果发生特定事件,SNMP 代理将发送陷阱。SNMPv1/v2c/v3 使用 UDP(User DatagramProtocol,用户数据包协议)并使用 UDP 端口161 和 162。管理信息库 (Management InformationBase, MIB) 对该数据进行了介绍。SNMPv3与先前版本 SNMPv1 和 SNMPv2c 比较,SNMPv3引入了广义的安全概念。SNMPv3 支持:● 完全加密的用户验证● 对全部数据通信进行加密● 在用户/组级别对 MIB对象进行访问控制技术基础5.6 SNMPSCALANCE XB-200/XC-200/XF-200BA/XP-200/XR-300WGWeb BasedManagement配置手册, 10/2021, C79000-G8952-C360-12 855.7服务质量Quality of Service (QoS) 是一种有助于高效利用网络中现有带宽的方法。QoS通过排定数据传输的优先级来实现。传入帧根据特定优先级分类到 Queue 中,进行处理。这为帧分配了特定的优先级。各种不同的QoS 方法相互影响,并按下列顺序加以考虑:1. 交换机检查传入帧是广播帧还是代理帧。→ 第一个条件满足时,交换机将考虑“常规(页 268)”页上设置的优先级。交换机将根据“CoS 映射 (CoS Map) (页 269)”页面上的分配将帧分类到队列中。2.如果第一个条件不满足,交换机将检查帧是否包含 VLAN 标记。→ 如果第二个条件满足,交换机将检查“常规 (页268)”页面上的优先级设置。交换机将检查是否为优先级设置了“非强制”(Do not force)以外的值。如果设置了优先级,交换机将根据“CoS 映射 (CoS Map) (页 269)”页面上的分配将帧分类到队列中。3.如果第二个条件也不满足,则将根据信任模式对帧进行处理。信任模式在“QoS 信任(QoS Trust) (页272)”页面上组态。NAT/NAPT说明NAT/NAPT 仅在ISO/OSI 参考模型的第3 层可用。要使用 NAT功能,网络必须使用 IP 协议。使用运行在第 2 层的 ISO 协议时,不能使用 NAT。在网络地址转换 (NAT) 中,IP子网分为“Inside”和“Outside”。此划分是从 NAT 接口角度来看的。可通过自身的 NAT接口进行访问的所有网络均被视为该接口的“Outside”。可通过同一设备的其它 IP 接口进行访问的所有网络均被视为 NAT接口的“Inside”。如果存在通过 NAT接口进行的路由过程,则在“Inside”与“Outside”之间进行切换时,所传送数据包的源或目标 IP 地址会发生改变。源或目标IP 地址是否发生改变取决于通信方向。做出调整的 IP 地址总是为位于“Inside”的通信节点的 IP地址。根据角度的不同,通信节点的 IP地址总是会被标识为“Local”或“Global”。角度Local Global位置Inside 分配给内部网络中某个设备的实际 IP 地址。外部网络无法访问该地址。可供外部网络访问内部设备的IP 地址。Outside分配给外部网络中某个设备的实际 IP 地址。由于仅转换了“内部”地址,外部局部和外部全局没有任何区别。技术基础5.8NAT/NAPTSCALANCE XB-200/XC-200/XF-200BA/XP-200/XR-300WG WebBasedManagement配置手册, 10/2021, C79000-G8952-C360-12 87示例本示例中,两个 IP子网通过工业以太网交换机连接。此划分是从 NAT 接口 10.0.0.155 角度来看的。通过 NAT/NAPT 执行 PC2 和PC1 之间的通信。*HU¦W VLAN X: 192.168.16.0/24 VLAN Y: 10.0.0.0/243& 3& 䜘 ཆ䜘ㅜቲPC1 的实际 IP 地址(内部局部)通过 NAT 进行静态分配。对于 PC2,可以通过内部全局地址访问PC1。角度Local Global位置 Inside 192.168.16.150 10.0.0.7Outside10.0.0.10PC1 的实际 IP 地址(内部局部)通过 NAPT (Network Address and PortTranslation) 进行分配。对于 PC2,可以通过内部全局地址访问 PC1。角度Local Global位置 Inside192.168.16.150:80 10.0.0.7:80Outside 10.0.0.10:1660计算容量由于 CPU存在负载限制,设备每秒钟可接收的数据包数目Zui多为 300 个。这意味着,Zui大数据吞吐量为 1.7Mbps。该负载限制的对象并非每个接口,而是针对发往 CPU 的全部数据包。整个 NAT 通信通过 CPU 进行,会与发往 CPU的 IP 通信,例如 WBM 和 Telnet。技术基础5.8 NAT/NAPT88SCALANCEXB-200/XC-200/XF-200BA/XP-200/XR-300WG Web BasedManagement配置手册,10/2021, C79000-G8952-C360-12请注意,使用 NAT 时会占用很大一部分计算容量。这可以减缓通过Telnet 或 WBM 的访问。NAT利用网络地址转换 (NAT),可将数据包中的 IP 地址替换为另一个。NAT通常用在内部网络和外部网络之间的网关上。对于源 NAT,NAT 设备会将内部网络中设备的 IP数据包的内部局部源地址重写到网关处的内部全局地址中。对于目标 NAT,NAT 设备会将外部网络中设备的 IP数据包的内部全局源地址重写到网关处的内部局部地址中。NAT 设备会维护转换列表,以将内部 IP 地址转换为外部 IP地址以及反向转换。地址既可以动态分配,也可以静态分配。NAT 在“第 3 层 (IPv4) > NAT”(Layer 3(IPv4) > NAT)(页 372) 中组态。NAPT在“网络地址端口转换”(NAPT) 中,多个内部源 IP地址被转换为同一个外部 IP 地址。为了识别各个节点,内部设备的端口也会存储在 NAT设备的转换列表中并针对外部地址进行转换。如果多个内部设备通过 NAT 设备向同一外部目标 IP 地址发送查询,NAT设备会在这些转发帧的帧头中输入其自身的外部源 IP 地址。由于转发的帧具有同一个外部源 IP地址,NAT设备会通过不同的端口号将帧分配各个设备。如果外部网络中的设备要使用内部网络中的服务,则需组态静态地址分配的转换列表。NAPT在“第3 层 (IPv4) > NAT > NAPT”(Layer 3 (IPv4) > NAT > NAPT)(页 377) 中组态。NAT/NAPT 和 IP 路由可以启用 NAT/NAPT 和 IP 路由。在这种情况下,需要使用 ACL规则来控制外部网络对内部地址的访问。