33 LLDP技术

局域网协议目录目录LLDP (1)LLDP简介 (1)LLDP产生背景 (1)LLDP基本概念 (1)LLDP工作机制 (4)LLDPLLDP简介LLDP产生背景目前，网络设备的种类日益繁多且各自的配置错综复杂，为了使不同厂商的设备能够在网络中相互发现并交互各自的系统及配置信息，需要有一个标准的信息交流平台。

LLDP（Link Layer Discovery Protocol，链路层发现协议）就是在这样的背景下产生的，它提供了一种标准的链路层发现方式，可以将本端设备的的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV（Type/Length/Value，类型/长度/值），并封装在LLDPDU（Link Layer Discovery Protocol Data Unit，链路层发现协议数据单元）中发布给与自己直连的邻居，邻居收到这些信息后将其以标准MIB（Management Information Base，管理信息库）的形式保存起来，以供网络管理系统查询及判断链路的通信状况。

LLDP基本概念1. LLDP报文封装有LLDPDU的报文称为LLDP报文，其封装格式有两种：Ethernet II和SNAP（Subnetwork Access Protocol，子网访问协议）。

(1) Ethernet II格式封装的LLDP报文图 1Ethernet II格式封装的LLDP报文如图 1所示，是以Ethernet II格式封装的LLDP报文，其中各字段的含义如下：z Destination MAC address：目的MAC地址，为固定的组播MAC地址0x0180-C200-000E。

z Source MAC address：源MAC地址，为端口MAC地址或设备桥MAC地址（如果有端口地址则使用端口MAC地址，否则使用设备桥MAC地址）。

z Type：报文类型，为0x88CC。

z Data：数据，为LLDPDU。

lldp 技术参数
LLDP（Link Layer Discovery Protocol）是一种链路层发现协议，
用于在局域网（LAN）中获取邻居设备的信息，包括设备类型、名称、端
口号、VLAN ID、IP地址等。

以下是LLDP协议的一些技术参数：
1. LLDP的类型长度值（TLV）：LLDP消息以TLV格式进行传输，具
体包括：Chassis ID、Port ID、Time To Live（TTL）、Port Description、System Name、System Description、System Capabilities、Management Address等。

2.TTL值：TTL是LLDP消息的生存时间，用于限制消息在网络中传输
的距离，并避免网络中出现循环。

3. LLDP-MED（Media Endpoint Discovery）：LLDP-MED是LLDP的
扩展版本，用于支持VoIP、视频会议等媒体终端设备的自动发现和配置。

4. LLDP的增强特性：例如，802.1AB协议支持LLDP消息的加密和验证，以保证信息的安全性；LLDP与LLDP-MED支持标签协商（tag negotiation），以支持不同VLAN ID的网络设备互通。

5.LLDP与其他协议的关系：LLDP可以与SNMP、CDP、EDP等其他链路
层发现协议协同工作，以提高设备的自动发现和管理效率。

Lldp 简介以下内容来自于网络文章，技术细节请仔细阅读802.1AB相关章节。

IEEE标准——802.1AB链接层发现协议（Link Layer Discovery Protocol），将能够使企业网络的故障查找变得更加容易，并加强网络管理工具在多厂商环境中发现和保持精确网络拓扑结构的能力。

网络用户是否真正地了解他们的网络呢？假如对网络的物理链路拓扑细节不是非常清楚，那么这个答案就是否定的。

虽然这是个属于第二层的网络信息，但它对信息统计、诊断和设计都至关重要。

遗憾的是，对网络的变化进行实追踪和记录却是非常困难的。

许多网络管理软件都使用“自动发现”功能（Automated Discovery）来跟踪拓扑的变化和条件，但绝大多数软件最多也只是到达第三层，将设备分组到各个IP子网而已。

但这些都是非常原始的数据，只是有关设备增加和移除的基本事件，而不是这些设备在哪里或怎样与网络服务进行操作等详情。

第二层发现（Layer 2 Discovery）则深度触及了诸如哪些设备附带有哪些端口，以及哪些交换机与其他设备相互连接等信息，并显示出了客户端、交换机、路由器和应用服务器以及网络服务器之间的路径。

如此详细的信息对计划和查询网络失败的根源将很有意义。

如今一些网络管理厂商都已将第二层发现功能集成进其软件中，并已取得了初步成效。

在很大程度上，这些应用软件系统的准确率都能达到90%，而将剩下的10%的缺口基本留给第二层的连接。

而这10%对网络管理员而言也是不小的工作量，他们必须手工统计大多数的网络，以查询出那些尚未被发现的元素。

至于难于管理第二层网络这种状况，其原因是多方面的，主要是建立这些网络十分容易。

因为交换机可以透明地连接，甚至于插上线缆就可以建立一个局域网。

而这种连接的简便性使得局域网对网络管理软件都是透明的。

但这并不意味着第二层发现功能将无所作为。

关键基础设施的厂商们已经开发出了自有的发现协议，可将数据存储于SNMP企业版，例如Cisco公司的CDP协议（Cisco Discovery Protocol）、Extreme Networks的EDP协议（Extreme Discovery Protocol）、Enterasys Networks的CDP协议（Cabletron Discovery Protocol）以及Nortel Networks的NDP协议（Nortel Discovery Protocol）等。

一、AP点位WLAN特性•兼容IEEE 802.11a/b/g/n/ac标准•最高速率达1.9Gbps•支持最大合并比（MRC）•支持最大似然解码（MLD）•支持数据包聚合: A-MPDU(Tx/Rx)，A-MSDU(Rx only)•支持802.11 动态频率选择(DFS)•支持20M、40M和80M模式下的ShortGI•基于WMM（Wi-Fi multimedia）即Wi-Fi多媒体标准的映射及优先级调度规则，实现基于优先级的数据处理和转发•支持自动和手动两种速率调节方式，默认方式为自动速率调节方式•支持WLAN信道管理和信道速率调整•支持信道自动扫描功能，自动规避干扰•支持AP中每个SSID可独立配置隐藏功能•支持SST（signal sustain technology）•支持U-APSD节电模式•Fit AP工作模式下支持CAPWAP（control and provisioning of wireless access points）即无线接入点控制协议隧道数据转发•Fit AP工作模式下支持AP自动上线功能•Fit AP工作模式下支持WDS•Fit AP工作模式下支持Mesh••网络特性•符合IEEE 802.3u标准•支持速率和双工模式的自协商，自动MDI/MDI-X•支持根据用户接入的SSID划分VLAN•上行以太网口支持VLAN trunk功能•支持VLAN ID (1-4094)，每射频可设置16个VAP•支持AP上联口管理通道以tag和untag两种模式组网•支持DHCP Client，通过DHCP方式获取IP地址•支持业务数据的隧道转发和直接转发两种方式•支持同一VLAN中不同的无线终端之间的访问隔离•支持用户访问控制（ACL）•支持LLDP链路发现•Fit AP工作模式下支持直接转发模式下的CAPWAP中断业务保持•Fit AP工作模式下支持AC统一认证•Fit AP工作模式下支持AC双链路备份、VRRP热备份•支持Native IPv6•支持IPv4/IPv6双协议栈•支持IPv6 Portal•支持IPv6 SAVI•支持IPv4/IPv6 ACL等QoS特性•基于WMM（Wi-Fi multimedia）即Wi-Fi多媒体标准的映射及优先级调度规则，实现基于优先级的数据处理和转发•支持按射频管理WMM参数•支持WMM节电模式•支持上行报文优先级映射和下行流量映射•支持队列映射和调度•支持基于每用户的带宽限制•支持自适应带宽管理，自动根据用户数量、环境等因素动态调整用户带宽分配，改善用户体验•支持Airtime空口时间调度•支持Multi-line虚拟管道化调度安全特性•支持Open-System认证方式•支持WEP认证/加密方式•支持WPA/WPA2–PSK认证/加密方式•支持WPA/WPA2–802.1X认证/加密方式•支持WAPI认证/加密方式•支持WIDS和WIPS，包括非法设备检测和反制，攻击检测和动态黑，STA/AP 的黑白功能•支持DHCP Snooping•支持DAI（Dynamic ARP Inspection）•支持IPSG（IP Source Guard）维护特性•Fit AP工作模式下支持通过AC对AP进行的集中管理和维护•Fit AP工作模式下支持AP自动上线功能，并自动加载配置，可即插即用•Fit AP工作模式下支持WDS零配置部署•Fit AP工作模式下支持Mesh零配置部署•支持批量自动升级•AP支持Telnet和串口两种本地管理方式•支持网管实时监控用户配置信息和快速故障定位•支持AP系统状态告警•BYOD•支持基于MAC OUI识别设备类型•支持基于HTTP User-Agent信息识别设备类型•支持基于DHCP Option信息识别设备类型•支持Raduis服务器根据Raduis认证/计费报文中携带的设备类型，下发报文的转发/安全/QoS策略•定位服务•支持对WiFi终端的定位频谱分析•对蓝牙、微波炉、无绳、Zigbee、Game Controller、2.4G/5G无线影音、婴儿监护器等8种以上干扰源进行识别电源•支持PoE 802.3at/af兼容供电二、交换机技术规格项目Web网管型设备安全特性•支持基于端口的MAC过滤•支持基于端口的802.1X认证•支持RADIUS认证•支持端口隔离VLAN •支持256 VLAN •支持Access端口•支持Trunk端口项目Web网管型设备•支持Hybrid端口•支持管理VLAN•支持Voice VLANQOS •支持绝对优先级、WRR两种调度方式•支持每端口4个队列•支持根据802.1p/DSCP队列调度STP支持STP(IEEE 802.1d)，RSTP(IEEE 802.1w)组播支持IGMP Snooping（Internet Group Management ProtocolSnooping），最多支持256个组播组路由特性NA端口汇聚•支持12组汇聚组，每组最多8个端口•支持静态LACP端口镜像支持基于端口的双向流量镜像端口带宽控制支持对出入端口的报文流量进行限速，粒度最小为64Kbps项目Web网管型设备广播风暴抑制•基于端口速率的风暴抑制•端口流量达到风暴抑制门限时发送告警设备管理•支持WEB网管•支持DHCP-client •支持一键还原设备维护•支持Syslog（系统日志）•支持Ping检测•支持VCT(Virtual Cable Test)•支持链路层发现协议LLDP（Link Layer Discovery Protocol）电源•支持PoE 802.3at/af兼容供电•三、AC控制器交换转发功能维护提供电子标签支持用户操作日志支持详尽的调试信息，帮助诊断网络故障提供网络测试工具，如Traceroute、Ping命令等提供接口镜像、流镜像版本升级支持整机软件加载、在线加载支持BootROM在线升级支持在线补丁安全和管理系统安全命令行分级保护、未授权用户无法侵入设备支持SSHv2.0支持RADIUS和HWTACACS用户登录认证支持ACL过滤支持DHCP报文过滤（插入Option82选项）支持预防控制报文攻击支持防Source Address spoofing、LAND、SYN Flood (TCPSYN)、Smurf、Ping Flood (ICMP Echo)、Teardrop、Ping of Death多种攻击支持IPSecAP设备管理特性指标AP设备的接入控制支持基于MAC或SN的AP白功能的设置和查询支持以单个和批量（MAC地址段或SN段）方式手动设置白支持半自动上线（手工确认）接入方式支持全自动（无需认证）AP接入AP域管理支持设置AP域的布放类型：离散布放：AP布放非常独立，AP间无任何干扰，此时一个AP相当与一个域，工作在最大功率，不调优普通布放：AP之间分布比较稀疏，每个射频的发送功率要求小于其最大发送功率的50%密集布放：AP之间分布比较密集，每个射频的发送功率小于最大发送功率的25%支持指定域设置为默认域，用于配置AP自动上线AP配置模板管理支持指定某AP配置模板为默认模板，用于配置AP自动上线AP设备类型特性管理通过AP设备类型特性管理AP设备固有属性，包括：AP上的接口数量、类型，射频数量、类型，最大支持的VAP数，最大关联用户数，以及射频增益（针对部分室放装式AP）置已知类型的AP设备类型特性用户可自行扩展AP设备类型特性网络拓扑管理支持AP LLDP拓扑感知射频管理特性指标射频模板管理通过模板可设置射频的工作模式、速率自动或手动的信道、功率模式管理射频调优的检测间隔支持按射频设置802.11b、802.11bg、802.11bgn、802.11g、802.11n、802.11gn、802.11a、802.11an、802.11ac模式支持手动为单个射频绑定射频模板统一静态配置整网射频参数的集中配置与管理：经过网规部署，在AC 上进行集中配置，将射频参数（工作信道、发射功率等）批量下发给各AP集中动态管理 AP 上线时自动选择信道和功率支持动态调优：在AP 重叠区域，信号冲突时自动调整功率或信道局部调优：调整指定AP 最优工作信道和功率全局调优：调整指定域所有AP 的最优工作信道和功率支持补盲功能：支持删除AP 或AP 下线时调大周围邻居的功率补盲 基于域的集中控制式射频参数自动选择和调优业务增强多模式组合接入：a/b/g/n/ac 独立部署及组合（an 、bg 、bgn 、gn ）部署优先接入5G 终端：无线终端优先启用5G 频段 2.4G/5G 频段负载均衡WLAN 业务管理支持基于ESS关联安全、QoS等业务模板支持基于ESS控制AP组播开关基于VAP的业务管理支持VAP的批量创建及绑定射频ESS支持按多种方式查询VAP：单个查询、按ESS查询、批量查询支持业务离线配置AP全自动上线方式下，根据业务批量发放规则，自动创建VAP配置的自动发放管理支持基于“AP类型+射频ID”定义业务配置的自动发放规则支持自动上线AP加入缺省域（缺省域可事先制定）自动发放规则与域配合使用，实现针对某区域AP的批量上线组播业务管理支持AP IGMP Snooping模式支持AP IGMP Proxy模式负载均衡支持通过负载均衡组对一组射频进行负载均衡支持两种负载均衡策略：基于STA数的负载均衡基于流量的负载均衡BYOD（Bring Your Own Device）支持基于MAC OUI识别设备类型支持基于HTTP User-Agent信息识别设备类型支持基于DHCP Option信息识别设备类型支持基于RADIUS认证/计费报文中携带设备类型，用于决策定位服务支持对AeroScout、Ekahau的tag定位支持对Wi-Fi终端的定位频谱分析对蓝牙、微波炉、无绳、Zigbee、Game Controller、2.4G/5G 无线影音、婴儿监护器等8种以上干扰源进行识别与eSight网管配合，对干扰源进行定位和频谱显示WLAN QOS特性WLAN安全特性支持WPA/WPA2认证加密WPA/WPA2-PSK+TKIPWPA/WPA2-PSK+CCMPWPA/WPA2-802.1x+TKIPWPA/WPA2-802.1x+CCMP支持WAPI认证加密支持AC集中式WAPI认证支持WAPI多信任证书方式（3证书），兼容传统双证书方式支持证书和私钥合一的发放方式支持MAC认证将用户MAC地址做账号，送认证服务器（Radius Server）认证支持Portal认证支持AC做Portal网关，不支持AP做Portal网关仅支持L2 Portal方式支持组合认证支持MAC组合认证PSK&MAC认证支持MAC与Portal组合认证先MAC认证，后Portal认证仅针对集中转发场景AAA 支持本地认证、本地账户（MAC、账号）支持Radius认证支持多认证服务器支持备份认证服务器基于账号域指定认证服务器基于账号域配置认证服务器支持用户账号域与SSID绑定安全隔离支持基于端口的隔离支持基于用户组的隔离WIDS支持非法设备的监测、识别、防、反制，包括非法AP和STA检测、攻击检测以及动态黑权限控制支持基于端口的ACL权限控制支持基于用户组的ACL权限控制支持基于用户的ACL权限控制其他安全防护支持SSID隐藏支持终端IP Source Guard防护支持静态绑定终端IP地址支持动态绑定终端IP地址（DHCP）WLAN用户管理特性指标无线用户地址分配集成DHCP服务器，为无线用户分配地址WLAN用户管理支持用户黑白支持用户接入数量限制按AP限制用户接入数量按SSID限制用户接入数量支持多种方式强制用户下线Radius DM强制用户下线命令行强制用户下线支持多种查询方式支持基于用户MAC、AP、射频、WLAN ID方式查询用户状态信息支持按ESS、AP、射频查询在线用户数支持基于用户的空口信息统计WLAN用户漫游支持AC的二层漫游支持AC的跨VLAN的三层漫游系统维护管理特性四、商业公司要求1.AP信号强度不小于-70db，餐饮区信号强度不小于-60db2.唯一SSID配置，公共区域wifi名称统一且唯一3.AP频率为双频4.AP符合802.11bgn，带宽可选，发射功率可调，多工作模式，RJ45支持自动翻转，支持PoE 802.3at/af兼容供电，支持无线安全机制5.AP实际并发数（非参数指标）不低于60，餐饮区域要求高于1006.AC控制器的AP Licenses支持不少于20%扩展预留7.wifi起始出口带宽不小于300Mbps8.具有短信认证及微信认证获取密码功能，一次密码终生有效9.具有终端用户数据分析统计和图形报表功能10.与电信、联通、移动等ISP信号能进行屏蔽，避免信号冲突。

Inspur NOS安全技术白皮书文档版本V1.0发布日期2022-12-16版权所有© 2022浪潮电子信息产业股份有限公司。

保留一切权利。

未经本公司事先书面许可，任何单位和个人不得以任何形式复制、传播本手册的部分或全部内容。

商标说明Inspur浪潮、Inspur、浪潮、Inspur NOS是浪潮集团有限公司的注册商标。

本手册中提及的其他所有商标或注册商标，由各自的所有人拥有。

技术支持技术服务电话：400-860-0011地址：中国济南市浪潮路1036号浪潮电子信息产业股份有限公司邮箱：***************邮编：250101前言文档用途本文档阐述了浪潮交换机产品Inspur NOS的安全能力及技术原理。

注意由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

读者对象本文档提供给以下相关人员使用：●产品经理●运维工程师●售前工程师●LMT及售后工程师变更记录目录1概述 (1)2缩写和术语 (2)3威胁与挑战 (3)4安全架构 (4)5安全设计 (5)5.1账号安全 (5)5.2权限控制 (5)5.3访问控制 (6)5.4安全协议 (6)5.5数据保护 (7)5.6安全加固 (7)5.7日志审计 (7)5.8转发面安全防护 (7)5.9控制面安全防护 (8)6安全准测和策略 (9)6.1版本安全维护 (9)6.2加强账号和权限管理 (10)6.3TACACS+服务授权 (10)6.4加固系统安全 (12)6.4.1关闭不使用的服务和端口 (12)6.4.2废弃不安全通道 (12)6.4.3善用安全配置 (12)6.5关注数据安全 (13)6.6保障网络隔离 (14)6.7基于安全域访问控制 (14)6.8攻击防护 (15)6.9可靠性保护 (16)7安全发布 (18)随着开放网络的快速发展，白盒交换机做为一种软硬件解耦的开放网络设备，应用越来越广泛。