5G笔记| 概述：5G网络架构（NSA/SA组网）无线资源控制RRC语音通话

Posted 2023-04-11 Insomnia_X

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了5G笔记| 概述：5G网络架构（NSA/SA组网）无线资源控制RRC语音通话相关的知识，希望对你有一定的参考价值。

名词解释

新空口NR（New Radio）：指5G的无线网
空口即空中接口，对应无线网络的概念，泛指手机和基站之间一系列传输规范，因为无线网是5G速率突破的关键，故也把5G直接叫做NR
ps. 3G无线网为UTRAN，4G无线网为E-UTRAN
5GC（5G Core）：5G的核心网
4G的核心网叫EPC（Evolved Packet Core），而5G核心网的不同在于引入大量网络功能虚拟化NFV设备。

5G完整网络就是NR+5GC，4G完整网络就是E-UTRAN+EPC（或LTE+EPC）

gNB（gNodeB）：5G基站
3G基站叫NodeB，4G基站叫eNodeB
独立组网SA（Standalone）：gNB直连5GC，5G最终的网络架构
非独立组网NSA：过渡的架构，由于gNB无法直接与EPC进行控制信息的交互，需要借助4G基站/锚点的帮助，帮助gNB提供控制信息（锚点与gNB可以一对多）
NSA的组网模式有Option3/3a/3x等，下文介绍
n78、n79、n41：5G中的频带代码，其中n是NR中的n，移动分的是n41和n79（基本不用），联通电信分的是n78

关于5G的频率

频率范围FR（Frequency Range）：FR1和FR2是5G频率划分的两个大类
FR1：6GHz以下的频段，所以也可以被叫做Sub6G频段
FR1的后半段3-6GHz是5G的主力频段，这段频率较低，带宽大，拿出来100MHz频段给5G用，叫做C-band
FR1在3GHz以下的前半段称为Sub3G，虽然频段更低，覆盖更好，但是连续带宽少，拿不出大带宽，所以用作5G的覆盖层（实现连续覆盖），热点区域再用C-Band或者毫米波
FR2：20GHz左右以上的频段，就是毫米波mmWave（严格说毫米波是30GHz以上的频段）

关于5G的网络架构

主小区组MCG（Master Cell group）：4G基站eNodeB/锚点下的小区就是MCG
辅小区组SCG（Secondary Cell group）：5G基站gNodeB的小区就是SCG
主节点Masternode：充当MCG的节点，即4G基站
辅节点Secondarynode：充当SCG的节点，即5G基站

为什么要说“小区组”，而不是“小区”？小区可能通过载波聚合技术聚合了好多小区，形成小区组

主小区PCell（PrimaryCell）：MCG下面载波聚合的那些小区中，总指挥的4G小区
主辅小区PSCell（PrimarySecondary Cell）：SCG下面载波聚合的那些小区中，总指挥的5G小区
辅小区SCell（Secondary Cell）：MCG/SCG中剩下的所有4G和5G小区
LTE和5G双连接EN-DC（E-UTRAN NR-Dual Connection）：NSA架构的一种，即：MCG是4G且SCG是5G的NSA
Option 3/3a/3x都是EN-DC（和分流节点无关）
其余NSA双连接架构还有MR-DC（Multi-RAT Dual Connectivity）：Multi-RAT 理解为各种无线网

关于5G的核心网

注意，由于5G中核心网的网络功能虚拟化NFV，见到各种XXF，都是指功能Function
也就是说5G里所有的核心网网元，都仅仅是实现一个功能而已

用户平面功能UPF（User Plane Function）：5G核心网里唯一的处理数据模块，主要负责数据从基站到网络的路由转发
ps. 5G核心网彻底分离控制面与用户面，用户面模块仅处理数据，控制面模块仅负责实现网络管控（除了UPF外所有模块都是网络控制模块，负责处理信令）
接入和移动管理功能AMF（Access and Mobility Management Function）：是核心网的“CPU”，负责控制手机接入网络、认证身份、移动性管理
会话管理功能SMF（Session Management Function）：连接UPF，负责给手机分配IP地址、在上网中管理手机与核心网间的各个通道

如图，其中UE就是手机，DN是移动通信网外部的网络
灰色虚线框里全是核心网的控制功能
手机上网的数据通过基站转发至UPF，再通过UPF转发后，发送到外部网络，

5G网络架构

对于移动通信，无论4G还是5G，都遵循 无线接入网–承载网–核心网的三级网络架构
其中，承载网类似于接入网和核心网之前的高速通道，常常被忽略，于是 5G 网络可以简化成手机终端–无线接入网–核心网–外部网络的模型

常见缩写：gNB表示5G基站节点，ng-eNB表示可接入5GC的4G基站节点

5G网络架构主要分为5G核心网5GC和无线网NG-RAN两大部分

无线网主要有gNB和ng-eNB两种网元
核心网的功能主要有AMF、SMF和UPF三个功能性逻辑网元或虚拟网元承接

NG和Xn是两大主要接口

NG：无线网和核心网的接口
Xn：无线网节点之间的接口

基站与MIMO天线

4G基站

基站是一个完整的系统，由BBU、RRU和天线（天馈）组成

基站处理单元BBU：真正意义上的基站设备，位于机房中，一般看不到，调制/编码/OFDM处理/Massive MIMO处理，大部分都在BBU完成，少量由RRU完成
远程射频单元RRU：能将 BBU 处理完的基带信号转化成一定频段上的频带无线电信号，并给无线电加上足够大的功率（从而信号才能传播的足够远）并经过馈线，将信号拉远传输到天线，因此RRU消耗大部分功耗
天线：发射信号

BBU和RRU之间用光纤连接，传输基带信号，并且损耗小
RRU和天线之间用馈线连接，传输高频信号，损耗较大，因此RRU一般要和天线放在一起
注意，天线之间并行收发数据，则每一根天线与 RRU 之间都要通过一根独立的馈线连接

5G基站

应用MassiveMIMO后，基站的天线配置达到64T64R，相当于基站机房需要拉64根馈线到天线，这样则只能将RRU和天线合并，这就是5G的有源天线单元AAU(Active Antenna Unit)，正是由于RRU需要电源供电，故称“有源”

ps. 上图的 BBU 变成 CU 与 DU 暂未实现，目前5G基站仍然用BBU

基站如何获取下行信道的质量

基站可以通过获取上行数据，来实时判断上行信道质量；然而却无法直接获取下行信道的质量
两种解决方法：

手机上报信道状态指示CSI（hannel Status Indication），报告下行信道质量
利用信道的互易性，基站评估上行信道的质量，认为下行信道具有同样的质量，做法是手机额外上行传输一个信道探测参考信号SRS（Sounding Reference Signal），专门供基站评估信道质量，这种方法对下行信道质量的评估更加准确

但是注意，第二种方法更准确，但需要保证信道有互易性，例如：

对于TDD制式（如TD-LTE），上下行的传输频带一样，信道质量也就一样
对于FDD制式（如FDD-LTE），上下行的传输频带不同，信道没有互易性

因此，5G网络中，大多使用TDD双工
然而，这导致的问题是，不同小区的用户会采用同样的导频，导致基站无法区分，这成为“导频污染”，是Massive MIMO的主要性能瓶颈

5G NSA与SA组网

5G的无线接入网和核心网与4G完全不同，因为目前制约移动通信网络速度、时延的主要瓶颈就在无线网络中
5G的承载网可以认为没有很大的变化，因为承载网作为无线网到核心网的“高速公路”，技术没有巨大更新

在5G商业前期，若仅需要实现高速率业务，那么仅需要将基站和手机终端换为5G设备（更新无线接入网部分），承载网和核心网可沿用4G网络，因此产生了作为过渡的非独立组网NSA（Non-Standalone）和独立组网SA

非独立组网NSA下，手机需要双连接，即同时与 4G 基站和 5G 基站连接，同时接收两者的数据

实际上， SA、NSA还要细分为多种核心网与基站的组网方式，称为option 1/2/3…
目前各大运营商使用的是option 3，对应一种5G 基站连接 4G 核心网的NSA组网

option 3的特点：5G 基站时必须配置一个 4G 基站作为“锚点”（从而将 5G 基站固定在 4G 核心网）。具体而言，核心网下发的主要的控制信令由4G 基站传递给 5G 基站/手机，从而控制5G基站的工作。

option 3还要再细分 3 种架构：option 3、option 3a、option 3x

3、3a、3x 的区别在于分流控制点的位置不同：option 3 下，分流节点在 4G 基站；option 3a 下，分流节点在 4G 核心网； option 3x 下（而目前所有运营商实际商用的模式），分流节点则在 5G 基站
分流节点，就是决定数据如何下发给用户的网元（多少数据走 4G 基站下发给用户，多少数据走 5G 基站下发给用户）

注意，SA 组网下，用户同时只能连接一个网络（4G / 5G），不存在分流节点的概念

用户在5G NSA网络中的体验

前面说过，当前option 3的NSA组网，要求5G 基站时必须配置一个 4G 基站作为“锚点”，且手机同时与 4G 基站和 5G 基站连接，即双连接

然而，当前大量的4G基站不满足锚点频段（目前只有 F 频段和FDD1800 频段），大量小区是非锚点小区（无法使用5G）；

此时，对于5G用户，有一种技术称为定向切换，可将5G用户从非锚点小区定向切换到信号强度（参考信号接收功率RSRP）最好的一个锚点小区（这对应A4切换事件）
5G用户处于锚点小区内，手机上就会显示“5G”标识；然而此时用户不一定能真正与5G基站连接，这是由于5G频段更小，基站覆盖范围更小，故此时大概率用户仅仅连接到了NSA中的4G基站
（注：事实上，NSA组网下，“5G”标识如何显示有ABCD四种config，有些只要连入4G锚点就显示5G信号，有些与5G基站连接后并传输业务才显示5G信号）

如果5G用户处于 5G 基站覆盖范围内（ 5G 小区的RSRP 大于一定门限值），手机将其到含有 5G 小区 RSRP 的测量报告MR（Measurement Report）上传到4G锚点，4G 基站就会开始添加辅小区（主小区即锚点 4G 小区，辅小区即5G 小区），对应B1切换事件，从而实现 NSA 网络下的双连接

在双连接下：

4G 锚点小区负责接收核心网的控制信令，向 5G 手机与 5G 小区转发；
5G 小区负责将从核心网接收来的数据向 4G 小区进行分流（option 3x下，分流节点位于5G基站，控制数据向用户的的下发过程）
最后，4G和5G 小区同时给 5G 手机传输数据

5G移动通信的无线资源控制RRC

无线资源控制RRC（Radio Resource Control）是指移动通信中基站与手机直接交互各种控制信息，从而手机才知道何时收发信息

小区切换

测量报告MR（Measurement Report）就是一种重要的RRC信令，手机通过MR上报自己测量的参考信号强度RSRP，从而基站获取手机的位置信息，最终完成小区切换（由信号强度更好的小区来提供服务）

LTE和5G定义的七种切换事件：

A1：基站得知手机在当前服务小区内信号很强，告诉手机无须耗电别的小区的信号强度
A2：服务小区告诉手机你测量别的小区的信号强度，尝试切换小区
A3：服务小区得知手机逐渐进入另一小区，这是最主要的切换事件
A4：不再是当前小区和邻区比较信号强度，只要邻区质量高于门限就让手机切换（即使邻区质量不如服务小区）着主要用于邻区级别更高（比如是一个更好的频段，即：从非锚点小区切换到锚点小区）的情况
A5：相较于A4事件，限制条件更多，这主要用于服务小区的级别更高，邻区级别比较低（不希望手机切换到邻区）
B1/B2：B1 类似 A1，B2 类似 A5，区别仅在于此时邻区和服务小区不是一个系统的，比如服务小区是 4G，邻区是 5G（例如上面的B1，就是由于5G小区的信号强度足够好，4G锚点把5G小区拉入，一同为用户提供服务）

举例分析：下图中，5G基站覆盖范围更小，标为黄色；4G锚点覆盖范围为蓝色；在NSA下，5G用户必须借助锚点才能接入5G网络，因此4G锚点称为主站，5G基站为辅站

在1处：纯粹使用4G
在2处：进入5G覆盖范围，B1切换事件，4G主站添加5辅站一同服务
在3处：锚点小区 2 的信号更强，A3切换事件，锚点切换为4G基站2
在4处： 5G 小区 1 的强度低于门限，A2切换事件，锚点小区进行了辅站删除，纯粹使用4G
在5处：进入5G覆盖范围，B1切换事件
在6处：5G 小区 3 的强度大于5G 小区 2，A3切换事件，辅站变更

RRC状态

4G中的RRC，手机和基站之间有两种状态：

RRC 连接态(RRC CONNECTED)：只要手机和基站有 RRC 信令的传递，就是连接态（一般还伴随数据的传输）
RRC空闲态(RRC IDLE)：手机一段时间没有数据收发，就自动给断开无线通道，进入“睡眠模式”，有利于手机省电，此时基站不知道手机的位置，有电话业务时，需要在跟踪区TA（Tracking Area）的一批基站下，寻呼定位手机

手机即使在空闲态，只要移动出 TA，就会主动与基站连接，向核心网报备新的所属TA，从而基站不会和手机“失联”

5G新增了一种状态：

RRC非激活态(RRC INACTIVE)：使得手机从空闲态到连接态的转换更快，即“半睡半醒”，这样兼顾省电和快速唤醒
该技术的问题是手机后台程序会给服务器回传一些小包数据，从而难以进入INACTIVE态，由此R17则开发了INACTIVE态下传输小包数据的场景

语音通话

语音压缩编码算法AMR

2G/3G/4G中采用的语音压缩编码算法为自适应多速率AMR（Adaptive Multi Rate），它可以根据用户无线环境的好坏，自适应采用不同的编码速率

AMR分为窄带的AMR-NB和宽带的AMR-WB，AMR-WB的采样频率更高，压缩算法更好，支持的最高编码速率也更高，因此AMR-WB语音编码质量更好

在 2G 下的语音，由于硬件限制，只能使用AMR-NB或低阶AMR-WB
4G 下的语音 VoLTE（Voice over LTE），采用23.85bps 的 AMR-WB 的语音编码速率，语音质量明显提升

2G、4G、5G下的语音通话

2G网络主要就是为实现语音通话，使用电路交换 CS（Circuit Switched）的网络，通话期间始终占用资源（2G网络下打电话，无法同时上网）

4G网络使用分组交换 PS（Packet Switch），然而如果仅依靠IP数据包传输语音业务，无法没法保证业务质量（IP网络尽力而为），因此当前仍然保留2G网络，而不是直接废除（在 4G 网络覆盖不足/4G 手机不支持 VoLTE时，就会切换到2G网络，保障基础的话音业务）

要真正用 4G 网络承载语音业务，必须将语音包区别于一般的数据包，实现更高的质量保障，这需要对整个核心网和基站进行改造，新建一套 IP多媒体子系统 IMS（IP Multimedia Subsystem）核心网
对于初期没有建IMS的运营商，其4G 网络不能实现语言业务，通话时手机的4G 网络都会变成 2G，并且不能上网，这种回落到 2G 的 CS 网络的 4G 语音方式，就是电路域回落CSFB（CS Fallback），并且这种方式需要手机从 4G 网络主动掉线，再重新接入 2G 网络，接通时间长

实际上， 5G NSA下的语音通话时，也有类似的“回落”，即NSA 下并没有 5G 语音，语音是要走 4G 网络（ VoLTE）

后来4G建成IMS，实现了真正的4G话音，称为VoLTE，支持前述的高码率的 AMR-WB 编码，并且由于话音也走IP包，与数据包无差异，故支持通话同时上网

问题：VoLTE用IP包传输语言，如何提供比普通数据包更高的质量保证？VoLTE 与微信语音通话有什么区别？

QoS等级标识，即QCI（QoS Class Identifier），不同的QCI决定了：传输时延/丢包率/最低速率不同
QCI分为1~9级，但QCI数字与优先级无关，因为不同 QCI 对应的优先级（priority）也不同，priority越小优先级越高

用户终端UE经过4G 基站(eNB)到PGW（把数据传递至互联网的设备，运营商移动网络基本管到PGW 就停止了）的这段逻辑数据通道，称为EPS承载（EPS Bearer，其中EPS指演进的分组系统），EPS 承载的等级，就是 QCI

VoLTE的语言，使用QCI=1，这对应低时延和较高的丢包（语音对丢包不敏感），从而VoLTE 电话质量比微信语音更好，因为微信语音和其他网络数据一同在 QCI=9 等级下传输

防火墙基础之中型企业网络架构VPN组网服务器解决方案

中型企业网络架构VPN组网服务器解决方案

原理概述：

防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。

防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，而计算机系统的内部中具有的日志功能，其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。

防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

网络安全的屏障

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务性的企业内部网络技术体系VPN（虚拟专用网）。

日志记录与事件通知

进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。

交换机端口有三种工作模式，分别是Access，Hybrid，Trunk。

Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口;

Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口;

Hybrid类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid端口和Trunk端口在接收数据时，处理方法是一样的，唯一不同之处在于发送数据时：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

Acess端口收报文：

收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则直接丢弃（缺省）

trunk端口收报文：

收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有判断该trunk端口是否允许该 VLAN的数据进入：如果允许则报文携带原有VLAN标记进行转发，否则丢弃该报文。

hybrid端口收报文：

收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃。

备注：PVID为Port-base Vlan ID，也就是端口的虚拟局域网ID号，关系到端口收发数据帧时的VLAN TAG 标记。

Acess端口发报文：

将报文的VLAN信息剥离，直接发送出去

trunk端口发报文：

比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，否则报文将携带原有的VLAN标记进行转发。

hybrid端口发报文：

判断该VLAN在本端口的属性

如果是untag则剥离VLAN信息，再发送，如果是tag则比较端口的PVID和将要发送报文的VLAN信息，如果两者相等则剥离VLAN信息，再发送，否则报文将携带原有的VLAN标记进行转发。

二层交换机和三层交换机的区别

二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。

三层交换机的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。

三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。

一般来说，在内网数据流量大，要求快速转发响应的网络中，如全部由三层交换机来做这个工作，会造成三层交换机负担过重，响应速度受影响，将网间的路由交由路由器去完成，充分发挥不同设备的优点，不失为一种好的组网策略，当然，前提是客户的腰包很鼓，不然就退而求其次，让三层交换机也兼为网际互连。

三层交换机和路由器的区别

1. 主要功能不同

虽然三层交换机与路由器都具有路由功能，但我们不能因此而把它们等同起来，正如现在许多网络设备同时具备多种传统网络设备功能一样，就如现在有许多宽带路由器不仅具有路由功能，还提供了交换机端口、硬件防火墙功能，但不能把它与交换机或者防火墙等同起来一样。因为这些路由器的主要功能还是路由功能，其它功能只不过是其附加功能，其目的是使设备适用面更广、使其更加实用。这里的三层交换机也一样，它仍是交换机产品，只不过它是具备了一些基本的路由功能的交换机，它的主要功能仍是数据交换。也就是说它同时具备了数据交换和路由由发两种功能，但其主要功能还是数据交换；而路由器仅具有路由转发这一种主要功能。

2. 主要适用的环境不一样

三层交换机的路由功能通常比较简单，因为它所面对的主要是简单的局域网连接。正因如此，三层交换机的路由功能通常比较简单，路由路径远没有路由器那么复杂。它用在局域网中的主要用途还是提供快速数据交换功能，满足局域网数据交换频繁的应用特点。

而路由器则不同，它的设计初哀就是为了满足不同类型的网络连接，虽然也适用于局域网之间的连接，但它的路由功能更多的体现在不同类型网络之间的互联上，如局域网与广域网之间的连接、不同协议的网络之间的连接等，所以路由器主要是用于不同类型的网络之间。它最主要的功能就是路由转发，解决好各种复杂路由路径网络的连接就是它的最终目的，所以路由器的路由功能通常非常强大，不仅适用于同种协议的局域网间，更适用于不同协议的局域网与广域网间。它的优势在于选择最佳路由、负荷分担、链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。为了与各种类型的网络连接，路由器的接口类型非常丰富，而三层交换机则一般仅同类型的局域网接口，非常简单。

3. 性能体现不一样

从技术上讲，路由器和三层交换机在数据包交换操作上存在着明显区别。路由器一般由基于微处理器的软件路由引擎执行数据包交换，而三层交换机通过硬件执行数据包交换。三层交换机在对第一个数据流进行路由后，它将会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率。同时，三层交换机的路由查找是针对数据流的，它利用缓存技术，很容易利用ASIC技术来实现，因此，可以大大节约成本，并实现快速转发。而路由器的转发采用最长匹配的方式，实现复杂，通常使用软件来实现，转发效率较低。

正因如此，从整体性能上比较的话，三层交换机的性能要远优于路由器，非常适用于数据交换频繁的局域网中；而路由器虽然路由功能非常强大，但它的数据包转发效率远低于三层交换机，更适合于数据交换不是很频繁的不同类型网络的互联，如局域网与互联网的互联。如果把路由器，特别是高档路由器用于局域网中，则在相当大程度上是一种浪费（就其强大的路由功能而言），而且还不能很好地满足局域网通信性能需求，影响子网间的正常通信。

综上所述，三层交换机与路由器之间还是存在着非常大的本质区别的。无论从哪方面来说，在局域网中进行多子网连接，最好还选用三层交换机，特别是在不同子网数据交换频繁的环境中。一方面可以确保子网间的通信性能需求，另一方面省去了另外购买交换机的投资。当然，如果子网间的通信不是很频繁，采用路由器也无可厚非，也可达到子网安全隔离相互通信的目的。具体要根据实际需求来定。

区别：二层、路由、三层、四层

二层交换技术

二层交换技术是发展比较成熟，二层交换机属数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下：

(1)当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的;

(2)再去读取包头中的目的MAC地址，并在地址表中查找相应的端口;

(3)如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上;

(4)如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。

路由技术

路由器工作在OSI模型的第三层——网络层操作，其工作模式与二层交换相似，但路由器工作在第三层，这个区别决定了路由和交换在传递包时使用不同的控制信息，实现功能的方式就不同。工作原理是在路由器的内部也有一个表，这个表所标示的是如果要去某一个地方，下一步应该向那里走，如果能从路由表中找到数据包下一步往那里走，把链路层信息加上转发出去;如果不能知道下一步走向那里，则将此包丢弃，然后返回一个信息交给源地址。

路由技术实质上来说不过两种功能：决定最优路由和转发数据包。路由表中写入各种信息，由路由算法计算出到达目的地址的最佳路径，然后由相对简单直接的转发机制发送数据包。接受数据的下一台路由器依照相同的工作方式继续转发，依次类推，直到数据包到达目的路由器。而路由表的维护，也有两种不同的方式。一种是路由信息的更新，将部分或者全部的路由信息公布出去，路由器通过互相学习路由信息，就掌握了全网的拓扑结构，这一类的路由协议称为距离矢量路由协议;另一种是路由器将自己的链路状态信息进行广播，通过互相学习掌握全网的路由信息，进而计算出最佳的转发路径，这类路由协议称为链路状态路由协议。

由于路由器需要做大量的路径计算工作，一般处理器的工作能力直接决定其性能的优劣。当然这一判断还是对中低端路由器而言，因为高端路由器往往采用分布式处理系统体系设计。

三层交换技术

使用IP的设备A------------------------三层交换机------------------------使用IP的设备B比如A要给B发送数据，已知目的IP，那么A就用子网掩码取得网络地址，判断目的IP是否与自己在同一网段。

如果在同一网段，但不知道转发数据所需的MAC地址，A就发送一个ARP请求，B返回其MAC地址，A用此MAC封装数据包并发送给交换机，交换机起用二层交换模块，查找MAC地址表，将数据包转发到相应的端口。

如果目的IP地址显示不是同一网段的，那么A要实现和B的通讯，在流缓存条目中没有对应MAC地址条目，就将第一个正常数据包发送向一个缺省网关，这个缺省网关一般在操作系统中已经设好，对应第三层路由模块，所以可见对于不是同一子网的数据，最先在MAC表中放的是缺省网关的MAC地址;然后就由三层模块接收到此数据包，查询路由表以确定到达B的路由，将构造一个新的帧头，其中以缺省网关的MAC地址为源MAC地址，以主机B的MAC地址为目的MAC地址。通过一定的识别触发机制，确立主机A与B的MAC地址及转发端口的对应关系，并记录进流缓存条目表，以后的A到B的数据，就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。

路由器的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。

三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访;如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。

四层交换技术

第四层交换的一个简单定义是：它是一种功能，它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层)应用端口号。第四层交换功能就象是虚IP，指向物理服务器。它传输的业务服从的协议多种多样，有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上，需要复杂的载量平衡算法。在IP世界，业务类型由终端TCP或UDP端口地址来决定，在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址(VIP)，每组服务器支持某种应用。在域名服务器(DNS)中存储的每个应用服务器地址是VIP，而不是真实的服务器地址。当某用户申请应用时，一个带有目标服务器组的VIP连接请求(例如一个TCP SYN包)发给服务器交换机。服务器交换机在组中选取最好的服务器，将终端地址中的VIP用实际服务器的IP取代，并将连接请求传给服务器。这样，同一区间所有的包由服务器交换机进行映射，在用户和同一服务器间进行传输。第四层交换的原理OSI模型的第四层是传输层。传输层负责端对端通信，即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP(一种传输协议)和UDP(用户数据包协议)所在的协议层。

在第四层中，TCP和UDP标题包含端口号(portnumber)，它们可以唯一区分每个数据包包含哪些应用协议(例如HTTP、FTP等)。端点系统利用这种信息来区分包中的数据，尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型，并把它交给合适的高层软件。端口号和设备IP地址的组合通常称作"插口(socket)"。1和255之间的端口号被保留，他们称为"熟知"端口，也就是说，在所有主机TCP/I P协议栈实现中，这些端口号是相同的。除了"熟知"端口外，标准UNIX服务分配在256到1024端口范围，定制的应用一般在1024以上分配端口号。分配端口号的最近清单可以在RFc1700"Assigned Numbers"上找到。TCP/UDP端口号提供的附加信息可以为网络交换机所利用，这是第4层交换的基础。

具有第四层功能的交换机能够起到与服务器相连接的"虚拟IP"(VIP)前端的作用。每台服务器和支持单一或通用应用的服务器组都配置一个VIP地址。这个VIP地址被发送出去并在域名系统上注册。在发出一个服务请求时，第四层交换机通过判定TCP开始，来识别一次会话的开始。然后它利用复杂的算法来确定处理这个请求的最佳服务器。一旦做出这种决定，交换机就将会话与一个具体的IP地址联系在一起，并用该服务器真正的IP地址来代替服务器上的VIP地址。

每台第四层交换机都保存一个与被选择的服务器相配的源IP地址以及源TCP端口相关联的连接表。然后第四层交换机向这台服务器转发连接请求。所有后续包在客户机与服务器之间重新影射和转发，直到交换机发现会话为止。在使用第四层交换的情况下，接入可以与真正的服务器连接在一起来满足用户制定的规则，诸如使每台服务器上有相等数量的接入或根据不同服务器的容量来分配传输流。

如何选择第三层交换机

目前，第三层交换机呈现出较强的增长趋势，正在局域网中取代路由器，其巨大的市场潜力正在吸引着大批国内外厂商加入角逐。可喜的是国内厂商在关键技术方面已经开发出了自已的ASIC芯片和网管软件，从而为用户在品牌的选择上提供了广阔的空间。目前，国内市场主要厂商有Cisco、3Com、安奈特、Extreme、Fountry、Avaya、Nortel、Entersys、D-Link、SVA、神州数码网络、华为、同方网络、清华比威和TCL等。面对如此丰富多彩的品牌，用户在选择时要从哪些方面入手是必须解决的问题。

对于第三层交换机的选择，由于不同用户的网络结构和应用都会有所不同，所以在选择第三层交换机的侧重点也就有所不同。但对于用户而言，一般要注意如下几方面。

1．注重满配置时的吞吐量与任何电子产品一样，选择第三层交换机时，首先要分析各种产品的性能指标，然而面对诸如交换容量（Gbps）、背板带宽（Gbps）、处理能力（Mpps）、吞吐量（Mpps）等众多技术指标，您最好还是紧紧抓住“满配置时的吞吐量”这个指标，因为其他技术指标用户一般没有能力进行测量，惟有吞吐量是用户可以使用Smart Bits和IXIA等测试仪表直接测量和验证的指标。

2．分布式优于集中式不同品牌的交换机所采用的交换机技术也不同，主要可分为集中式和分布式两类。传统总线式交换结构模块是集中式，现代交换矩阵模块是分布式。由于企业内联网中运行的音频、视频及数据信息量越来越大，使之对交换机处理能力的要求也越来越高，为了实现在高端口密度条件下的高速无阻塞交换，采用分布式第三层交换机是明智的选择。因为总线式交换机模块在以太网环境下，仍然避免不了冲突，而矩阵式恰恰避免了端口交换时的冲突现象。

3．关注延时与延时抖动指标企业内联网几乎都是高速局域网，其目的之一就是为了音频和视频等大容量多媒体数据的传输，而这些大容量多媒体数据包最忌因延时较长和数据包丢失使信息传输产生抖动。有些传统集中式交换机的延时高达2ms，而某些现代分布式交换机的延时只有10ms左右，两者相差上百倍。而导致延时过高的原因通常包括阻塞设计的交换结构和过量使用缓冲等，所以，关注延时实际上需要关注产品的模块结构。

4．性能稳定第三层交换机多用于骨干和汇聚层，如果性能不稳定，则会波及网络系统的大部分主机，甚至整个网络系统。所以，只有性能稳定的第三层交换机才是网络系统连续、可靠、安全和正常运行的保证。当然，性能稳定看似抽象，似乎需要历史检测才能有说服力。其实不然，由于设备性能实际上是通过多项基本技术指标和市场声誉来实现的。所以，您可以通过吞吐量、延迟、丢帧率、地址表深度、线端阻塞和多对一功能等多项指标以及市场应用调查来确定。

5．安全可靠作为网络核心设备的第三层交换机，自然是黑客攻击的重要对象，这就要求必须将第三层交换机纳入网络安全防护的范围。当然，这里所说的“安全可靠”，应该包括第三层交换机的软件和硬件。所以，从“安全”上讲，配备支持性能优良、没有安全漏洞防火墙功能的第三层交换机是非常必要的。从“可靠”上看，因客观上任何产品都不能保证其不发生故障，而发生故障时能否迅速切换到一个好设备上是需要关心的问题。另外，在硬件上要考虑冗余能力，如电源、管理模块和端口等重要部件是否支持冗余，这对诸如电信、金融等对安全可靠性要求高的用户尤其重要。还有就是散热方式，如散热风扇等设置是否合理等。最后，对宽带运营商来说，认证功能也是考察的重要方面。以前交换机是给企业用的，上了网就直接连出去了，不需要认证。而宽带运营商则需要确认用户是否记录在案。用户访问Internet时出现了一个窗口，输入用户名和密码才能通过认证，所以宽带运营商的第三层交换机还应支持一些特殊的协议如802.1x等，以实现认证。

功能齐全产品不但要满足现有需求，还应满足未来一段时间内的需求，从而给用户一个增值空间。如当公司员工增加时，可以插上模块来扩充而不必淘汰原有设备。还有一些功能，如组播、QoS、端口干路（Port Trunking）、802.1d跨越树（Spanning Tree）以及是否支持RIP、OSPF等路由协议，对第三层交换机来说都是十分重要的。以组播为例，在VOD应用中，如果一组用户同时点播一个节目，用组播协议可以保证交换机在高密度视频流点播时非常顺畅地进行数据处理，反之，如果交换机不支持组播协议，则占用的带宽就相当大。再如QoS功能可以根据用户不同需求将其划分为不同等级，可以使宽带运营商按端口流量计费，从而为不同用户提供不同服务。另外，访问列表功能。如果在接入层划分VLAN，则不同VLAN用户间是不能通讯的，因为这是基于第二层的VLAN。若想通讯，必须通过第三层。如企业的财务部与市场部，一般都不来往，若有用户需要访问，则网管人员可以通过第三层交换机进行一个简单命令行设置，使VLAN间正常通讯，这就是访问列表功能。它是从路由器移植到第三层交换机上的一个功能，可以实现不同VLAN间的单向或双向通讯。如果发现外部某IP地址总发送无用数据包到自己网络上，则可以在访问列表中设置，禁止其发送数据包。

实验目的：

了解和掌握防火墙的基础配置
了解和掌握防火墙区域的原理
了解和掌握防火墙的安全策略
了解和掌握防火墙配置双出口

实验拓扑：

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器

基础配置：

FW1：

配置接口：

#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 10.1.1.1 255.255.255.0
 alias GE0/METH
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.10.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 200.1.1.1 255.255.255.0
 gateway 200.1.1.2
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 210.1.1.2 255.255.255.0
 gateway 210.1.1.1
 service-manage ping permit

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_02

配置安全策略：

#
security-policy
 rule name 放通
 action permit

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_03

配置NAT：

#
nat-policy
 rule name SNAT
 source-zone trust
 egress-interface GigabitEthernet1/0/1
 action source-nat easy-ip

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_04

FW2：

配置接口：

#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 10.1.1.2 255.255.255.0
 alias GE0/METH
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.20.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 200.1.1.2 255.255.255.0
 gateway 200.1.1.1
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 220.1.1.2 255.255.255.0
 gateway 220.1.1.1
 service-manage ping permit

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_05

配置安全策略：

#
security-policy
 rule name 放通
 action permit

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_06

配置NAT ：

#
nat-policy
 rule name SNAT
 source-zone trust
 egress-interface GigabitEthernet1/0/1
 action source-nat easy-ip

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_07

FW3：

配置接口：

#
interface GigabitEthernet0/0/0
 undo shutdown
 ip binding vpn-instance default
 ip address 10.1.1.3 255.255.255.0
 alias GE0/METH
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.30.254 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 210.1.1.1 255.255.255.0
 gateway 210.1.1.2
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 220.1.1.1 255.255.255.0
 gateway 220.1.1.2
 service-manage ping permit

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_08

配置安全策略：

#
security-policy
 rule name 放通
 action permit

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_09

配置NAT：

#
nat-policy
 rule name SNAT
 source-zone trust
 egress-interface GigabitEthernet1/0/1
 action source-nat easy-ip

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_10

验证实验：

在各个分支PC上访问公网：

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_11

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_12

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_13

IPSec VPN组网方案：

FW1:

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_14

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_15

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_16

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_17

FW1大屏可视：

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_18

FW2：

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_19

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_20

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_21

FW2大屏可视：

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_22

FW3：

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_23

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_24

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_25

FW3大屏可视：

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_26

测试VPN业务：

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_27

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_28

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_29

交换机配置：

SW1：

#
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
 dhcp select global
#
interface Vlanif40
 ip address 192.168.40.254 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 40
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 10

查看SW1的路由表：

防火墙基础之中型企业网络架构VPN组网服务器解决方案_服务器_30

SW2：

#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
 dhcp select global
#
interface Vlanif50
 ip address 192.168.50.254 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 50

查看SW2的路由表：

防火墙基础之中型企业网络架构VPN组网服务器解决方案_出口防护_31

SW3：

#
interface Vlanif30
 ip address 192.168.30.254 255.255.255.0
 dhcp select global
#
interface Vlanif60
 ip address 192.168.60.254 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 30
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 30
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 60