思科网络工程师

思科培训是针对思科网络工程师的认证体系，由思科公司推出的培训科目，由思科认证讲师面对面亲临授课，全面掌握知识结构， 有强大的网络实验环境，学习过程中师生广泛交流，享受**新的产品资料，获得全球专家认证。

【教学师资】

夏老师

从事IT教育行业7年，具备深厚的网络理 论知识。在互联网实施规划领域拥有专家级经验知识。擅长解决复杂的网络连接问题及灾难恢复，利用主流技术规划解决方案。主要负责思科 路由交换、安全，虚拟化等方向课程。有多年的教学经验，教学具有深入浅 出，教学方式多样化的特色，尤其在理论知识点在实际项目的应用思路，组合方式等，让学员真正达到“学以致用”。

CCNA-数据中心

对于想要从事数据中心设计、设备安装及维护的数据中心网络管理员，思科 CCNA数据中心认证是一项基于工作角色设定的培训及认证项目，能够帮助你节省时间和费用，获得**高的学习回报，提升你的数据中心网络领域的技能 。

出于我们现有培训体系以及在数据中心解决方案领域的**性，思科能够提 供一项完善的培训项目来解决数据中心网络核心领域的设计、部署以及维护的技能需求。

广电城域网实施方案（下篇）

---

4.3组播业务

 

当IPTV业务发展到一定阶段，建议采用组播技术。当组播复制点选择在汇聚交换机上时，需要汇聚交换机上开启IGMP Proxy，负责向上层网络传递用户的组播请求信息。以节省带宽，同时降低对核心设备IGMP协议处理压力。

在用户需要观看一个频道时，用户侧的STB发起IGMP 的加入报文，连接用户的汇聚交换机运行IGMP Snooping 或IGMP Proxy协议，把IGMP的报文传递到城域网业务网关，业务网关设备根据收到的IGMP报文向城域网内的RP发出 PIM的加入报文，从RP接收组播流量然后**IGMP的**路径下发到用户端。

组播业务流程主要分为四个步骤：

1、开机，用户管理认证过程，**PPPoE/IPoE接入，与Radius交互认证**后获取IP地址；

2、用户组播业务申请，发起IGMP加入请求；

3、 L3组播流分发，一般而言，区域CDN中心发送直播媒体流，在城域网内部署PIM组播协议，**L3方式分发组播流至业务控制层BMSG；

4、在城域网BMSG至用户网络，由于组播复制点选择的不同，组播流的下发方式也有所不同，组播复制点可以选择在：BMSG、汇聚交换机、OLT三种方式，在BMSG至直播复制点一般采用静态组播组方式，将组播流推送到组播复制点上，在组播复制点至用户侧，根据IGMP Snooping功能将组播流复制到用户VLAN中；

在L3组播分发网络中，通常部署的协议有：PIM-SM、MSDP/MBGP、IGMP协议等；在L2组播分发网络中通常采用的协议有：静态组播协议、IGMP Snooping。

4.4 QOS方案

IPTV业务传输语音、视频数据，实时性很强，要求承载网络有较高的QOS保证。当然，不同的IPTV业务对承载网络的QOS要求有所区别。

IPTV的业务定位是用户提供一种全新的交互式电视体验以及丰富多彩的多媒体增值服务。基本业务是主要提供的是普通的视频业务，如电视直播，视频点播等，同时，提供各种交互式的多媒体增值业务，如游戏，视频会议等。

1、音视频直播

音视频直播虽然是单向式流媒体传送，但实时性要求也比较强，对数据包时延抖动的敏感度比视频点播业务要高。数据包的时延抖动取决于视频编码技术和内存缓存区的大小，一般要求端到端时延不超过200ms，抖动不超过50ms。

2、音视频点播

音视频点播是交互式的流媒体应用，对实时性的要求不是很高，可以**在机顶盒设置更长的缓存空间来降低对时延的敏感度，一定程度的时间延迟是可以接受的，用户也不会有明显的感觉。

3、游戏

游戏是一种双向交换式的数据业务，传输的数据量虽然没有视频点播大（视频游戏除外），但游戏本身的业务特性（如操作命令的灵敏度）决定了对数据包的传输时延要求特别高，一般不能高于200ms。

4.5 IP地址规划

IP地址的规划，要保证现在和将来的地址的可聚合性，虽然动态路由协议和路由设备比较大的路由容量支持降低了对路由聚合的要求，但是地址不仅仅具有路由的意义，还具有设备、业务标识的意义，相同属性的业务设备地址可聚合对流量管理、QoS、安全、等策略的部署非常重要。

IP地址的规划，要考虑到以后网络的可维护性，尽量减少以后工作的维护量。在以后的维护工作中，从用户的IP地址，就可以清晰的分辨出用户的地域、单位、业务等，这样将使我们的维护复杂性大大减少，对于网络的良好运行，有非常重要的作用。地址规划主要从地域、业务、设备/终端等方面考虑IP地址分配。

 

IP地址的划分，基本上有两种划分方法：以业务进行划分 以地域进行划分

采用横向和纵向以业务和地域进行综合划分

从宁海广电的情况来看，可以采用按地域进行划分，兼顾业务的划分的方法。

对于每一个乡镇分配一段连续的IP地址段，这样根据地址段就可以判断出每个乡镇的IP。另外在此连续地址的基础上，再针对每种业务进行不同的地址划分。

这种地址规划的优点是地域概念清晰，从IP地址上就可以直接分辨出IP地址所属的地域，迅速定位出IP地址单位和业务属性，并且有利于IP地址的链路聚合。

在进行IP地址规划时，还要考虑到以后的业务发展，能够满足未来发展的需要。即要满足（短期）规划期对IP地址的需求，同时要充分考虑未来发展，预留相应的地址段。

4.6 网络安全策略

中兴通讯IP网络产品线一直致力于安**络设备的研发，陆续推出了多款具有安全特性的网络设备，产品覆盖了网络的各个节点。中兴ZXROS平台软件系统中已经增加了全面的网络安全处理系统，我们的目标是——创造一个高度安全的网络体系。

中兴通讯一体化网络安全策略从网络安全、设备安全、用户安全几方面全方位布防，不仅能够满足现阶段网络安全环境的需求，同时也为今后可能发生的安全威胁做出了准备。

 

安全的设备

冗余硬件支持

专用操作系统

多种安全自防护措施

安全的网络

设备冗余

DDoS抵御能力

病毒的预警、隔离机制

网络的监控能力

STP/RSTP/MSTP

一体化安全防御体系

设备联动

主动防御

层层设防

 自动隔离

4.6.1、链路安全

ZXR 8900系列支持ZESR（ZTE Ethernet Switch Ring）、ZESS（ZTE Ethernet Smart Switch）和双上行链路故障保护。

1、ZESR

ZESR是基于EAPS（RFC3619）协议的以太环网技术。ZESR技术允许网络管理员创建以太网环，其方式类似于光纤分布式数据接口（FDDI）或SONET/SDH环。ZESR可以在不到50毫秒时间内，从任何链路或节点故障中恢复过来。

ZESR利用断路告警、环监测、环恢复三种机制来对协议进行维护。

2、断路告警

当ZESR环上的一台从设备检测到自己连接到环上的主端口或从端口出现线缆级故障时，它立即从另外一个端口发送断路告警帧到主设备。当主设备收到这个告警帧时，便知道环上出了毛病，将其从端口解阻塞，刷新二层转发表(下文称为L2表)，并发送一个通告帧通知环上的其它设备刷新各自的L2表，见图。

 

3、环监测

正常工作时，主设备从主端口周期地发送诊断帧。如果环是完好的并正常工作，主设备的从端口将会周期性地收到诊断帧，并在从端口重设它的超时定时器继续正常工作。如果在超时定时器超时时它的从端口还没有接收到诊断帧，主设备就认为环上出了毛病，将从端口解阻塞以保证环的连通性。同时主设备刷新其L2表并发送一个通告帧到环上的其它设备，通知它们刷新L2表。环监测机制是断路告警机制的备份方案，一旦断路告警帧由于不明原因丢失时，该方案可以提供可靠的后备支持。

 

4、环恢复

当环上有链路断开时，主设备仍然从主端口继续周期地发送诊断帧，但从端口收不到。环恢复后，下一个诊断帧将会被主设备的从端口收到，主设备收到诊断帧时便知道环已经恢复，于是将从端口继续置为阻塞状态，刷新L2表并且发送一个通告帧通知从设备刷新L2表。在从设备检测到它的连接已经恢复时，由于诊断帧是周期发送的，因而主设备并不会立即收到诊断帧(因而也没有阻塞从端口)，这时如果不采取任何措施，就会导致在一段时间内主设备的从端口仍然为非阻塞状态，从而在拓扑中形成临时环路，导致广播风暴的发生。为避免这种情况，在端口刚恢复连接时，从设备立即将该端口置于临时阻塞状态。此后当从设备收到主设备通知它刷新L2表的通告帧时，从设备便知道主设备已阻塞其从端口，于是从设备刷新L2表，解阻塞刚恢复的端口。到此为止，环又恢复正常的工作状态。

5、ZESS

ZESS（ZTE Ethernet Smart Switch）是ZTE以太网智能切换技术。ZESS的基本工作原理如下：

节点支持ZESS功能，其中端口1为主端口，端口2为从端口。当节点检测到主端口、从端口都为UP时，阻塞从端口的保护业务VLAN转发功能；当节点检测到主端口发生DOWN时，阻塞主端口的保护业务VLAN转发功能，打开从端口的保护业务VLAN转发功能；当节点检测到主端口恢复为UP时，有反转和非反转模式，在反转模式时，打开主端口，重新阻塞从端口，在非反转模式时，保持主端口为阻塞，保持从端口为放开状态。另外，ZESS在切换时，要更新被阻塞端口的FDB。

6、双上行链路故障保护

在城域网的核心网与骨干网连接的上行链路中，一般一台交换机有两个上行端口连接至两台BRAS或者SR，这样可以通

过ZESS来实现双上行保护。这种连接方式实现了上行链路、SR或者BRAS的保护，但存在上行到BRAS或者SR的交换机单点故障风险。在实际组网中出于安全的考虑，2个连接到相同SR或BRAS设备的上行的出口分别分布到2个的交换机上，这样即实现双上行链路保护功能。

 

 

5.6.2、用户安全

用户接入侧设备直接面对用户，是网络的大门，所谓“防微杜渐”，在这一层次上的安全功能尤其重要。中兴通讯以太网交换机设备支持4KVLAN实现、端口＋VLAN绑定、MAC数限制、静态ARP表的设置、基于端口的ACL、802.1x、 VLAN用户认证、安**管等特性。将危险屏蔽与网络之外。

用户标识的**性是实现用户的可追溯性的前提，其次是用户的认证和管理。在采用VLAN ID实现用户**性标识和定位的宽带接入网，VLAN堆叠技术（QinQ）用于实现二层以太交换网络VLAN资源的扩展。QinQ即多层VLAN标签堆叠，是对基于802.1 Q封装的隧道协议的一种形象化的称呼，其核心思想是将用户私网VLAN tag封装到公网VLAN tag上，报文带着两层tag穿越网络，汇聚层交换机**对QinQ（双标签）技术的支持，可有效扩展城域网中VLAN的数量。

另网管系统的日志、告警、审计功能**实现网络时钟协议的安全、提供访问列表的日志、提供关键事件日志、提供路由协议事件和错误记录、提供Debug信息，用以发现安全问题、提供多种信息的输出方式，为用户的可追溯性提供了技术支持。

4.6.3、设备安全

设备的物理安全可以**高品质的硬件设计来保障，对关键部件和网络结构的冗余设计也会大大降低网络风险。包括电源备份，核心交换/控制部件备份。

中兴通讯在语音交换机的开发和商用过程中积累了丰富的防雷击经验，这些经验也用于以太网交换机的防雷击设计中。雷击在技术面上称为浪涌，使之在断时间内高电压加到线路上，线路将高电压传递到设备上，导致设备顺间功能失效或永久损坏。由于现在的电子设备大都是低压设备，如果防护不当，遭遇雷击时很可能造成设备随坏。以太网交换机主要是室内运行的设备，一般很少遭受雷击的影响。不过近期有很多小区以太网接入将以太网线走到了户外，在有雷电天气的情况下可能会将雷电引入交换机设备。中兴的以太网交换机针对雷击有严格的设计，可以抵御4KV以下中强度的雷击，部分端口可抵御15KV以下的高强度雷击。使用的时候也要做到机壳良好接地。为了防护更高强度的雷击，中兴通讯专门开发了1、4、8端口独立高强度雷击保护设备，串接在设备端口外，为设备提供万无一失的防雷击保护。

中兴的交换机设备**了严格的电磁兼容检测，可抵御外界的电磁干扰，对外的电磁辐射满足国家和欧洲环保标准。

同时，限制端口和VLAN的MAC地址数、对交换机的每个端口设置广播包流量门限、支持802.1X认证、支持RSPT/MSTP、支持LACP物理链路备份等。

另中兴通讯数据设备采用专用的操作系统ZXROS（ZHONGXING Router Operate System），ZXROS是中兴通讯自主研发的通用路由软件平台。这个平台系统充分考虑了用户对安全的迫切需求，为用户网络提供了额外的设备安全保障。

支持SSHv2，SNMPV3；

EXEC进程访问安全；(命令行用户权限设置)

线路访问安全：访问认证、限制尝试次数、空闲超时断开、口令加密；

实现分级管理，管理用户可以定制特权级；

抵御控制包的恶意攻击。

相关推荐：

---

苏州思科认证培训   苏州思科认证培训班   苏州思科认证培训学校

上一篇：张家港eurovent认证_张家港思科认证培训 下一篇：苏州思科认证辅导多少钱_苏州思科认证培训