IPv6地址表示

　　我们知道，IPv4地址长度为32位(4个字节)。书写IPv4的地址是用一个字节来代表一个无符号十进制整数，四个字节写成由3个点分开的四个十进制数，例如：

　　10.1.123.56

　　对于128位的IPv6地址，定义相似的表示方法是必要的。 考虑到IPv6地址的长度是原来的四倍，RFC1884规定的标准语法建议把IPv6地址的128位(16个字节)写成8个16位的无符号整数，每个整数用四个十六进制位表示，这些数之间用冒号(：)分开，例如：

　　3ffe:3201:1401:1:280:c8ff:fe4d:db39

　　从上面的例子我们看到了手工管理IPv6地址的难度，也看到了DHCP和DNS的必要性。为了进一步简化IPv6的地址表示，可以用0来表示0000，用1来表示0001，用20来表示0020， 用300来表示0300，只要保证数值不便，就可以将前面的0省略。比如：

　　1080:0000:0000:0000:0008:0800:200C:417A

　　0000:0000:0000:0000:0000:0000:0A00:0001

　　可以简写为：

　　1080:0:0:0:8:800:200C:417A

　　0:0:0:0:0:0:A00:1

　　另外，还规定可以用符号::表示一系列的0。那么上面的地址又可以简化为：

　　1080::0:8:800:200C:417A

　　A00:1

和IPv4一样，IPv6也分公网和内网，开头只要不是F开头，都是公网IP。

国内三大运营商的IPv6地址分配情况分别是：

电信为240e开头的（240e::/20）；移动为2409开头的（2409:8000::/20）；联通为2408开头的（2408:8000::/20）。 如果外网获取到的是fe80开头的地址，是不能拿来上网的。

fe80::/10，做内网地址，本地链路地址，用于单一链路，适用于自动配置、邻机发现等，路由器不转发以fe80开头的地址，私网地址是fd00::/8，这相当于IPv4的10.0.0.0/8、172.16.0.0/12、192.168.0.0/16

　　IPv6地址的前缀(FP, Format Prefix)的表示和IPv4地址前缀在CIDR中的表示方法类似。比如 0020:0250:f002::/48表示一个前缀为48位的网络地址空间。

IPv6：前缀ID+接口ID/前缀长度，如2001:0000:0000:0000:0011:0000:0000:0010/64

IPv6的数字太多，多到地球上每粒沙子都能分配一个，这么多的ip怎么来划分一块一块的呢、如何区分呢？所以就有了前缀这个概念。

IPv6的前缀就是把IPv6的地址，转换为二进制，从左向右的个数。

例如：fe80::/10

这个/10就是fe80的前缀，我们把fe80转换为二进制，就是：1111 1110 1000 0000，我们从左向右数，十位二进制分别为1111 1110 10，这十位是不能动的，就意味着，前缀是不能动的，固定的，只有后面的118位是可以变动的。那么这个二进制后面就可以写为： 1111 1110 1011 1111 11111 11111 1111 1111………….

综上，fe80::/10的ip范围就是：fe80::—-febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff

比如电信给我家里分配的地址为：240e:fc:b841:700::/56 ，其实就是240e:00fc:b841:0700::，前面不能变动，后面的都属于我，想一想，这得有多少个IPv6，多的数不完。

运营商提供的IPv6线路主要分为支持前缀授权和不支持前缀授权两种,支持前缀授权就是把一整个网段直接给你自己去用，可在路由器设置中开启前缀授权功能，在外部网络/WAN配置里面，连接类型选择Native DHCP即可，有些路由器会是自动获取这个选项，需要注意的是获取到外网IPv6的IP后，可能还需要手动开启内网的DHCP v6用于给该路由器下联的设备分配IP，无特殊需求用默认的stateless即可，设置好路由器的相关参数后，终端（电脑、手机等）勾选IPv6协议，并开启自动获取IPv6地址和DNS服务器即可，

对于不支持前缀授权的运营商线路，无法由路由器给终端分配IPv6地址，终端IPv6地址统一由运营商进行分配，因此需要路由器支持IPV6桥模式，打开桥模式，再把wan和lan的V6功能禁用就可以了

设置好后打开浏览器输入www.test-ipv6.com，就可以看到线路是否支持IPv6了。

::1/128，即0:0:0:0:0:0:0:1，回环地址，就是IPv4中的localhost（127.0.0.1）

RFC1884中指出了三种类型的IPv6地址，他们分别占用不同的地址空间：

　　单点传送：这种类型的地址是单个接口的地址。发送到一个单点传送地址的信息包只会送到地址为这个地址的接口。

　　任意点传送：这种类型的地址是一组接口的地址，发送到一个任意点传送地址的信息包只会发送到这组地址中的一个(根据路由距离的远近来选择)

　　多点传送：这种类型的地址是一组接口的地址，发送到一个多点传送地址的信息包会发送到属于这个组的全部接口。 和IPv4不同的是，IPv6中出现了任意点传送地址，并以多点传送地址代替了IPv4中的广播地址。

　　

IPV6地址在线ping

远距离组网一般的解决方案是向ISP购买服务、申请专网、专线,通过对方协助来完成对私有WAN的搭建，

SD-WAN，Software Defined Wide Area Network，即软件定义广域网，是将SDN技术应用到广域网场景中所形成的一种服务，这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。这种服务的典型特征是将网络控制能力通过软件方式‘云化’，支持应用可感知的网络能力开放。

SD-WAN的具体原理与云计算有点相像,将控制机制进行分离,并使网络硬件虚拟化,具有灵活、可靠等优势。

在实际运用方面,SD-WAN不仅可在物理硬件上实现,在软件上也能轻松实现。也就是说,基于SD-WAN的应用不受底层硬件和协议的约束,对公网IP没有要求,甚至可基于Internet之类的公共网络搭建私有WAN。得益于软件层面的特殊性,用户可以对网络进行控制,提升数据传输安全性。

由于SD-WAN对底层硬件的虚拟化,可使流量具备较高的可见性,并将数据进行针对性分流,期间通过多手段进行加速。

SD-WAN优势总结:

1、无需公网IP支持多种连接类型,可利用Internet或4G、5G网络搭建私有WAN,

2、拥有线路选择能力,能够实现负载均衡或分流

3、具备简单、快速的部署过程及管理界面

4、能够支持防火墙、流量控制、虚拟私人网络等服务和应用

SASE将 SD-WAN和网络安全解决方案（FWaaS、CASB、SWG 和ZTNA）融合到统一的云原生服务中。

相比传统VPN的用户名密码的安全接入方案，SASE更强调最小化的安全控制策略，即除了用户认证之外，还对用户所使用的设备、所在的网络环境进行安全认证，解决了传统VPN方案的固有安全隐患。SASE平台上的所有通信都是加密的。

1. 概述

本文以淘宝作为例子，介绍从一百个到千万级并发情况下服务端的架构的演进过程，同时列举出每个演进阶段会遇到的相关技术，让大家对架构的演进有一个整体的认知，文章最后汇总了一些架构设计的原则。

特别说明：本文以淘宝为例仅仅是为了便于说明演进过程可能遇到的问题，并非是淘宝真正的技术演进路径

2. 基本概念

在介绍架构之前，为了避免部分读者对架构设计中的一些概念不了解，下面对几个最基础的概念进行介绍：

• 分布式系统中的多个模块在不同服务器上部署，即可称为分布式系统，如Tomcat和数据库分别部署在不同的服务器上，或两个相同功能的Tomcat分别部署在不同服务器上
• 高可用系统中部分节点失效时，其他节点能够接替它继续提供服务，则可认为系统具有高可用性
• 集群一个特定领域的软件部署在多台服务器上并作为一个整体提供一类服务，这个整体称为集群。如Zookeeper中的Master和Slave分别部署在多台服务器上，共同组成一个整体提供集中配置服务。在常见的集群中，客户端往往能够连接任意一个节点获得服务，并且当集群中一个节点掉线时，其他节点往往能够自动的接替它继续提供服务，这时候说明集群具有高可用性
• 负载均衡请求发送到系统时，通过某些方式把请求均匀分发到多个节点上，使系统中每个节点能够均匀的处理请求负载，则可认为系统是负载均衡的
• 正向代理和反向代理系统内部要访问外部网络时，统一通过一个代理服务器把请求转发出去，在外部网络看来就是代理服务器发起的访问，此时代理服务器实现的是正向代理；当外部请求进入系统时，代理服务器把该请求转发到系统中的某台服务器上，对外部请求来说，与之交互的只有代理服务器，此时代理服务器实现的是反向代理。简单来说，正向代理是代理服务器代替系统内部来访问外部网络的过程，反向代理是外部请求访问系统时通过代理服务器转发到内部服务器的过程。

3. 架构演进

3.1 单机架构

以淘宝作为例子。在网站最初时，应用数量与用户数都较少，可以把Tomcat和数据库部署在同一台服务器上。浏览器往www.taobao.com发起请求时，首先经过DNS服务器（域名系统）把域名转换为实际IP地址10.102.4.1，浏览器转而访问该IP对应的Tomcat。

随着用户数的增长，Tomcat和数据库之间竞争资源，单机性能不足以支撑业务

3.2 第一次演进：Tomcat与数据库分开部署

Tomcat和数据库分别独占服务器资源，显著提高两者各自性能。

随着用户数的增长，并发读写数据库成为瓶颈

3.3 第二次演进：引入本地缓存和分布式缓存

在Tomcat同服务器上或同JVM中增加本地缓存，并在外部增加分布式缓存，缓存热门商品信息或热门商品的html页面等。通过缓存能把绝大多数请求在读写数据库前拦截掉，大大降低数据库压力。

其中涉及的技术包括：使用memcached作为本地缓存，使用Redis作为分布式缓存，还会涉及缓存一致性、缓存穿透/击穿、缓存雪崩、热点数据集中失效等问题。

缓存抗住了大部分的访问请求，随着用户数的增长，并发压力主要落在单机的Tomcat上，响应逐渐变慢

3.4 第三次演进：引入反向代理实现负载均衡

在多台服务器上分别部署Tomcat，使用反向代理软件（Nginx）把请求均匀分发到每个Tomcat中。此处假设Tomcat最多支持100个并发，Nginx最多支持50000个并发，那么理论上Nginx把请求分发到500个Tomcat上，就能抗住50000个并发。

其中涉及的技术包括：Nginx、HAProxy，两者都是工作在网络第七层的反向代理软件，主要支持http协议，还会涉及session共享、文件上传下载的问题。

反向代理使应用服务器可支持的并发量大大增加，但并发量的增长也意味着更多请求穿透到数据库，单机的数据库最终成为瓶颈

3.5 第四次演进：数据库读写分离

把数据库划分为读库和写库，读库可以有多个，通过同步机制把写库的数据同步到读库，对于需要查询最新写入数据场景，可通过在缓存中多写一份，通过缓存获得最新数据。

其中涉及的技术包括：Mycat，它是数据库中间件，可通过它来组织数据库的分离读写和分库分表，客户端通过它来访问下层数据库，还会涉及数据同步，数据一致性的问题。

业务逐渐变多，不同业务之间的访问量差距较大，不同业务直接竞争数据库，相互影响性能

3.6 第五次演进：数据库按业务分库

把不同业务的数据保存到不同的数据库中，使业务之间的资源竞争降低，对于访问量大的业务，可以部署更多的服务器来支撑。这样同时导致跨业务的表无法直接做关联分析，需要通过其他途径来解决，但这不是本文讨论的重点，有兴趣的可以自行搜索解决方案。

随着用户数的增长，单机的写库会逐渐会达到性能瓶颈

3.7 第六次演进：把大表拆分为小表

比如针对评论数据，可按照商品ID进行hash，路由到对应的表中存储；针对支付记录，可按照小时创建表，每个小时表继续拆分为小表，使用用户ID或记录编号来路由数据。只要实时操作的表数据量足够小，请求能够足够均匀的分发到多台服务器上的小表，那数据库就能通过水平扩展的方式来提高性能。其中前面提到的Mycat也支持在大表拆分为小表情况下的访问控制。

这种做法显著的增加了数据库运维的难度，对DBA的要求较高。数据库设计到这种结构时，已经可以称为分布式数据库，但是这只是一个逻辑的数据库整体，数据库里不同的组成部分是由不同的组件单独来实现的，如分库分表的管理和请求分发，由Mycat实现，SQL的解析由单机的数据库实现，读写分离可能由网关和消息队列来实现，查询结果的汇总可能由数据库接口层来实现等等，这种架构其实是MPP（大规模并行处理）架构的一类实现。

目前开源和商用都已经有不少MPP数据库，开源中比较流行的有Greenplum、TiDB、Postgresql XC、HAWQ等，商用的如南大通用的GBase、睿帆科技的雪球DB、华为的LibrA等等，

不同的MPP数据库的侧重点也不一样，如TiDB更侧重于分布式OLTP场景，Greenplum更侧重于分布式OLAP场景，这些MPP数据库基本都提供了类似Postgresql、Oracle、MySQL那样的SQL标准支持能力，能把一个查询解析为分布式的执行计划分发到每台机器上并行执行，最终由数据库本身汇总数据进行返回，也提供了诸如权限管理、分库分表、事务、数据副本等能力，并且大多能够支持100个节点以上的集群，大大降低了数据库运维的成本，并且使数据库也能够实现水平扩展。

数据库和Tomcat都能够水平扩展，可支撑的并发大幅提高，随着用户数的增长，最终单机的Nginx会成为瓶颈

3.8 第七次演进：使用LVS或F5来使多个Nginx负载均衡

由于瓶颈在Nginx，因此无法通过两层的Nginx来实现多个Nginx的负载均衡。图中的LVS和F5是工作在网络第四层的负载均衡解决方案，其中LVS是软件，运行在操作系统内核态，可对TCP请求或更高层级的网络协议进行转发，因此支持的协议更丰富，并且性能也远高于Nginx，可假设单机的LVS可支持几十万个并发的请求转发；F5是一种负载均衡硬件，与LVS提供的能力类似，性能比LVS更高，但价格昂贵。

由于LVS是单机版的软件，若LVS所在服务器宕机则会导致整个后端系统都无法访问，因此需要有备用节点。

可使用keepalived软件模拟出虚拟IP，然后把虚拟IP绑定到多台LVS服务器上，浏览器访问虚拟IP时，会被路由器重定向到真实的LVS服务器，当主LVS服务器宕机时，keepalived软件会自动更新路由器中的路由表，把虚拟IP重定向到另外一台正常的LVS服务器，从而达到LVS服务器高可用的效果。

此处需要注意的是，上图中从Nginx层到Tomcat层这样画并不代表全部Nginx都转发请求到全部的Tomcat，在实际使用时，可能会是几个Nginx下面接一部分的Tomcat，这些Nginx之间通过keepalived实现高可用，其他的Nginx接另外的Tomcat，这样可接入的Tomcat数量就能成倍的增加。

由于LVS也是单机的，随着并发数增长到几十万时，LVS服务器最终会达到瓶颈，此时用户数达到千万甚至上亿级别，用户分布在不同的地区，与服务器机房距离不同，导致了访问的延迟会明显不同

3.9 第八次演进：通过DNS轮询实现机房间的负载均衡

在DNS服务器中可配置一个域名对应多个IP地址，每个IP地址对应到不同的机房里的虚拟IP。当用户访问www.taobao.com时，DNS服务器会使用轮询策略或其他策略，来选择某个IP供用户访问。

此方式能实现机房间的负载均衡，至此，系统可做到机房级别的水平扩展，千万级到亿级的并发量都可通过增加机房来解决，系统入口处的请求并发量不再是问题。

随着数据的丰富程度和业务的发展，检索、分析等需求越来越丰富，单单依靠数据库无法解决如此丰富的需求

3.10 第九次演进：引入NoSQL数据库和搜索引擎等技术

当数据库中的数据多到一定规模时，数据库就不适用于复杂的查询了，往往只能满足普通查询的场景。对于统计报表场景，在数据量大时不一定能跑出结果，而且在跑复杂查询时会导致其他查询变慢，对于全文检索、可变数据结构等场景，数据库天生不适用。因此需要针对特定的场景，引入合适的解决方案。

如对于海量文件存储，可通过分布式文件系统HDFS解决，对于key value类型的数据，可通过HBase和Redis等方案解决，对于全文检索场景，可通过搜索引擎如ElasticSearch解决，对于多维分析场景，可通过Kylin或Druid等方案解决。

当然，引入更多组件同时会提高系统的复杂度，不同的组件保存的数据需要同步，需要考虑一致性的问题，需要有更多的运维手段来管理这些组件等。

引入更多组件解决了丰富的需求，业务维度能够极大扩充，随之而来的是一个应用中包含了太多的业务代码，业务的升级迭代变得困难

3.11 第十次演进：大应用拆分为小应用

按照业务板块来划分应用代码，使单个应用的职责更清晰，相互之间可以做到独立升级迭代。这时候应用之间可能会涉及到一些公共配置，可以通过分布式配置中心Zookeeper来解决。

不同应用之间存在共用的模块，由应用单独管理会导致相同代码存在多份，导致公共功能升级时全部应用代码都要跟着升级

3.12 第十一次演进：复用的功能抽离成微服务

如用户管理、订单、支付、鉴权等功能在多个应用中都存在，那么可以把这些功能的代码单独抽取出来形成一个单独的服务来管理，这样的服务就是所谓的微服务，应用和服务之间通过HTTP、TCP或RPC请求等多种方式来访问公共服务，每个单独的服务都可以由单独的团队来管理。

此外，可以通过Dubbo、SpringCloud等框架实现服务治理、限流、熔断、降级等功能，提高服务的稳定性和可用性。

不同服务的接口访问方式不同，应用代码需要适配多种访问方式才能使用服务，此外，应用访问服务，服务之间也可能相互访问，调用链将会变得非常复杂，逻辑变得混乱

3.13 第十二次演进：引入企业服务总线ESB屏蔽服务接口的访问差异

通过ESB统一进行访问协议转换，应用统一通过ESB来访问后端服务，服务与服务之间也通过ESB来相互调用，以此降低系统的耦合程度。这种单个应用拆分为多个应用，公共服务单独抽取出来来管理，并使用企业消息总线来解除服务之间耦合问题的架构，就是所谓的SOA（面向服务）架构，这种架构与微服务架构容易混淆，因为表现形式十分相似。

个人理解，微服务架构更多是指把系统里的公共服务抽取出来单独运维管理的思想，而SOA架构则是指一种拆分服务并使服务接口访问变得统一的架构思想，SOA架构中包含了微服务的思想。

业务不断发展，应用和服务都会不断变多，应用和服务的部署变得复杂，同一台服务器上部署多个服务还要解决运行环境冲突的问题，此外，对于如大促这类需要动态扩缩容的场景，需要水平扩展服务的性能，就需要在新增的服务上准备运行环境，部署服务等，运维将变得十分困难

3.14 第十三次演进：引入容器化技术实现运行环境隔离与动态服务管理

目前最流行的容器化技术是Docker，最流行的容器管理服务是Kubernetes(K8S)，应用/服务可以打包为Docker镜像，通过K8S来动态分发和部署镜像。Docker镜像可理解为一个能运行你的应用/服务的最小的操作系统，里面放着应用/服务的运行代码，运行环境根据实际的需要设置好。

把整个“操作系统”打包为一个镜像后，就可以分发到需要部署相关服务的机器上，直接启动Docker镜像就可以把服务起起来，使服务的部署和运维变得简单。

在大促的之前，可以在现有的机器集群上划分出服务器来启动Docker镜像，增强服务的性能，大促过后就可以关闭镜像，对机器上的其他服务不造成影响（在3.14节之前，服务运行在新增机器上需要修改系统配置来适配服务，这会导致机器上其他服务需要的运行环境被破坏）。

使用容器化技术后服务动态扩缩容问题得以解决，但是机器还是需要公司自身来管理，在非大促的时候，还是需要闲置着大量的机器资源来应对大促，机器自身成本和运维成本都极高，资源利用率低

3.15 第十四次演进：以云平台承载系统

系统可部署到公有云上，利用公有云的海量机器资源，解决动态硬件资源的问题，在大促的时间段里，在云平台中临时申请更多的资源，结合Docker和K8S来快速部署服务，在大促结束后释放资源，真正做到按需付费，资源利用率大大提高，同时大大降低了运维成本。

所谓的云平台，就是把海量机器资源，通过统一的资源管理，抽象为一个资源整体，在之上可按需动态申请硬件资源（如CPU、内存、网络等），并且之上提供通用的操作系统，提供常用的技术组件（如Hadoop技术栈，MPP数据库等）供用户使用，甚至提供开发好的应用，用户不需要关系应用内部使用了什么技术，就能够解决需求（如音视频转码服务、邮件服务、个人博客等）。

在云平台中会涉及如下几个概念：

• IaaS：基础设施即服务。对应于上面所说的机器资源统一为资源整体，可动态申请硬件资源的层面；
• PaaS：平台即服务。对应于上面所说的提供常用的技术组件方便系统的开发和维护；
• SaaS：软件即服务。对应于上面所说的提供开发好的应用或服务，按功能或性能要求付费。

至此，以上所提到的从高并发访问问题，到服务的架构和系统实施的层面都有了各自的解决方案，但同时也应该意识到，在上面的介绍中，其实是有意忽略了诸如跨机房数据同步、分布式事务实现等等的实际问题，这些问题以后有机会再拿出来单独讨论

4. 架构设计总结

• 架构的调整是否必须按照上述演变路径进行？不是的，以上所说的架构演变顺序只是针对某个侧面进行单独的改进，在实际场景中，可能同一时间会有几个问题需要解决，或者可能先达到瓶颈的是另外的方面，这时候就应该按照实际问题实际解决。如在政府类的并发量可能不大，但业务可能很丰富的场景，高并发就不是重点解决的问题，此时优先需要的可能会是丰富需求的解决方案。
• 对于将要实施的系统，架构应该设计到什么程度？对于单次实施并且性能指标明确的系统，架构设计到能够支持系统的性能指标要求就足够了，但要留有扩展架构的接口以便不备之需。对于不断发展的系统，如电商平台，应设计到能满足下一阶段用户量和性能指标要求的程度，并根据业务的增长不断的迭代升级架构，以支持更高的并发和更丰富的业务。
• 服务端架构和大数据架构有什么区别？所谓的“大数据”其实是海量数据采集清洗转换、数据存储、数据分析、数据服务等场景解决方案的一个统称，在每一个场景都包含了多种可选的技术，如数据采集有Flume、Sqoop、Kettle等，数据存储有分布式文件系统HDFS、FastDFS，NoSQL数据库HBase、MongoDB等，数据分析有Spark技术栈、机器学习算法等。总的来说大数据架构就是根据业务的需求，整合各种大数据组件组合而成的架构，一般会提供分布式存储、分布式计算、多维分析、数据仓库、机器学习算法等能力。而服务端架构更多指的是应用组织层面的架构，底层能力往往是由大数据架构来提供。
• 有没有一些架构设计的原则？
  • N+1设计。系统中的每个组件都应做到没有单点故障；
  • 回滚设计。确保系统可以向前兼容，在系统升级时应能有办法回滚版本；
  • 禁用设计。应该提供控制具体功能是否可用的配置，在系统出现故障时能够快速下线功能；
  • 监控设计。在设计阶段就要考虑监控的手段；
  • 多活数据中心设计。若系统需要极高的高可用，应考虑在多地实施数据中心进行多活，至少在一个机房断电的情况下系统依然可用；
  • 采用成熟的技术。刚开发的或开源的技术往往存在很多隐藏的bug，出了问题没有商业支持可能会是一个灾难；
  • 资源隔离设计。应避免单一业务占用全部资源；
  • 架构应能水平扩展。系统只有做到能水平扩展，才能有效避免瓶颈问题；
  • 非核心则购买。非核心功能若需要占用大量的研发资源才能解决，则考虑购买成熟的产品；
  • 使用商用硬件。商用硬件能有效降低硬件故障的机率；
  • 快速迭代。系统应该快速开发小功能模块，尽快上线进行验证，早日发现问题大大降低系统交付的风险；
  • 无状态设计。服务接口应该做成无状态的，当前接口的访问不依赖于接口上次访问的状态。

国内OLT现在主要用华为MA5680T，MA5800，中兴C300 烽火AN5516

一般来说华为的比如5800可以直接通过运营商办公内网telnet到olt的管理IP（一般为134.181网段）

另外如果在给光猫做数据的时候，虚连接可以把一个口的vlan做成管理vlan的话，再把这个口连出来的电脑IP设为管理IP同网段，也可以直接连到olt,

运营商一般用华为的U2000来统一管理使用的华为的接入，IP，传输等设备的统一管理

SVLAN,CVLAN,PVLAN是属于SVLAN(Stack VLAN)的观念

应该要从Q-in-Q工作原理来看：QinQ采用的是层次化VLAN技术区分用户和运营商的 VLAN：C-VLAN和P-VLAN(S-VLAN)，数据在私网中传输时带一个私网的tag，定义为C－VLAN Tag (Customer VLAN tag=用户VLAN)，数据进入到服务商的骨干网后，在打上一层公网的VLAN tag，定义为P－VLAN Tag(Service Provider VLAN tag=S-VLAN=SPVLAN=服务商VLAN)。到目的私网后再把P－VLAN Tag剥除，为用户提供了一种较为简单的二层VPN隧道。

SVLAN=Stack VLAN(就是所谓的QinQ)
CVLAN=Customer VLAN =用户VLAN
PVLAN =SVLAN=Service Provider VLAN =SPVLAN=服务商VLAN

CLAN是一个802.q包头的以太网帧

SVLAN技术通过在以太帧中堆叠两个802.1Q包头，有效地扩展了VLAN数目，使VLAN的数目最多可达 4096×4096个。

QINQ华为交换机配置案例

vlan batch 100 200
#
interface GigabitEthernet0/0/1
 port link-type dot1q-tunnel
 port default vlan 100
#
interface GigabitEthernet0/0/2
 port link-type dot1q-tunnel
 port default vlan 200
#
interface GigabitEthernet0/0/3
 qinq protocol 9100
 port link-type trunk
 port trunk allow-pass vlan 100 200

详细参考https://support.huawei.com/enterprise/zh/doc/EDOC1100197875/dc04a145

1. AP放置距离以及如何放置？

在空旷环境下AP与AP之间应间隔20-35米放置。AP安装周围应尽量避免放置蓝牙设备、微波炉等会发出电磁波的设备。房间内有隔墙情况下可缩短AP与AP之间的放置距离，跳转AP信号强度。如果是玻璃墙可以安装正常环境AP放置距离进行放置。在工作室环境下，尽量购买工作室专用AP（X3、H17等AP），AP尽量避免摆放在一起，建议工作室环境使用5G信号，并且根据工作室大小调整AP信号强度。

2. 手动设置的信道会自动切换？

在设置信道时应避免设置雷达信道52、56、60和64，如果AP检测到当前信道中存在雷达信号，AP会按照802.11a规范协议的要求将工作信道切换到其他非雷达信道，为雷达使用清除障碍，会重启无线导致无线中断。

3. 无线干扰比较严重如何处理？

2.4G中互不干扰信道为1、6、11信道。5G互不干扰信道：20HZ：36、40、44、48、52、56、60、64、149、153、157、161。40HZ：36、44、52、60、149、157。80HZ：36、52、149。虽然是互不干扰但是会受到无线电信号影响和一些其他使用相同信道的AP的干扰。解决此类问题可以在手机上下载安装爱快e云APP，连接上无线，登录爱快e云，点击工具–信道检测，可切换频段进行查看，选择无线使用较少的信道进行切换。

 按各地的ISP如各大运营商是要把流量发到TXGLJ进行JK的，具体手段就是运营商的交换机上配置netflow把监控的流量采集发送到TXGLJ要求的IP上，然后TXGLJ就可以进行流量分析了。

．交换机上配置下面归纳一下实施流量监控的步骤（以 Cisco 6000 系列交换机为例） : 1 ）在 Cisco 6509 上配置 NetFlow （或其他网络设备），并输出到指定到 ossim 采集器（ lp ）的固定 UDP 端口。 2 ）采集器软件为 ossim 系统的 F10W 一 tooll 具，该软件监听 UDP 端口，接收进入的 NetFlow 数据包并存储为特定格式。 3 ）使用 Nfsen 等软件包中的工具对 NetFlow 源文件进行读取，转换成可读的 AS 1 Cll 格式，再用 ossim 内的 Perl 程序对 NetFlow 进行分析和规范格式的操作，并将读取的 NetFlow 信息存储入 Ossim 数据库中。 4 ）依据蠕虫和。。 05 攻击等异常报文的流量特征，在分析程序中预设各种触发条件，定时运行，从中发现满足这些条件的「 low 。 5 ）将分析结果在 Web 客户端中展示，或者通过


如果设奋不支持 Nettlow ，怎么对流量进行检测呢？对于这样的环境也有相应的解决方法，那就是使用 Fprobe 。利用 Fprobe 来生成 Netflow 报文，其默认格式为 VS 版本。最初「 probe 是一款在 BSO 环境下运行的软件，目前在 UNIX / Linux 平台上均可运行。它可以将 NIC 接口收到的数据转化为 Netflow 数据，并发送至 Netflow 分析端。我们可以通过部署这样一台 Ossim 服务器，将网络流量镜像至 Ossim 服务器，实现网络流量分析。 Ossim 服务器中的 Netflow 分析器，由下列三个工具组成：1 Fprobe ：从远程主机发送数据流；2 Nfsen : NetFlow 的分析图形前端；3 Nfdump : NetFlow 采集模块；有关 Ossim 结构大家可以先参看本书第 14 章，这里介绍 Netflow 分析数据包的过程。首先，在网络接口接收网络数据，然后由「 probe 程序将收集的数据按照一定规则和格式进行转换 ( Netflow 格式），再发到系统的 555 端口（查看／ etc / d efa u It / fp 「 0 be 能得知详情），再由 Nfsen 系统中的 Nfdump 程序将转换后的数据统计

配置思路：1. 登录olt（console进去之后配地址）2.配置上联口（配vlan和起三层地址互联路由的lan口）3.epon接分光器，分光器下接光猫4.自动发现光猫、配置DBA数据和线路模板5.注册光猫6.提交保存。  在 MA5680T上配置：

 telnet到MA5680T

 >>User name:root

>>User password:admin

 MA5680T>enable

MA5680T#config    

MA5680T(config)#sysname Ueusiuee_MA5680T   //修改系统名，根据实际设备修改 

Ueusiuee_MA5680T(config)# time 2010-07-15 09:00:11  //修改系统时间

Ueusiuee_MA5680T(config)# switch language-mode   //切换中文模式

  当前语言模式已切换到本地语种

 Ueusiuee_MA5680T(config)#display board  0 //查看所有单板状态

Ueusiuee_MA5680T(config)#board confirm 0      //确认所有单板 

 BaiZiMen_MA5680T(config)#interface epon 0/1  

BaiZiMen_MA5680T(config-if-epon-0/1)#port 0 ont-auto-find enable   //开启0端口的自动发现

BaiZiMen_MA5680T(config-if-epon-0/1)#port 1 ont-auto-find enable   //开启1端口的自动发现

 BaiZiMen_MA5680T(config-if-epon-0/1)#display ont autofind  0        //查看0端口发现的onu

Ueusiuee_MA5680T(config)#vlan 39 smart          //创建网管vlan 39  类型为smart

Ueusiuee_MA5680T(config)#port vlan 39 0/18 0        //透传vlan 到上行口

Ueusiuee_MA5680T(config)# vlan 2064 to 2095 smart   //创建从vlan号2094到2095的smart类型的宽带业务vlan

Ueusiuee_MA5680T(config)# vlan 3304 smart    //创建窄带语音vlan

Ueusiuee_MA5680T(config)# port vlan 3304 0/18 0    //透传窄带语音vlan

Ueusiuee_MA5680T(config)# port vlan 2064 to 2095 0/18 0

Ueusiuee_MA5680T(config)#interface vlanif  39     

Ueusiuee_MA5680T(config-vlanif39)# ip address 192.18.33.125 255.255.255.0        //配置网管地址

Ueusiuee_MA5680T(config)#quit

Ueusiuee_MA5680T(config)#ip route-static 0.0.0.0 0.0.0.0 192.18.33.254          //配置默认路由，172.18.33.254为网关

配置DBA模板和线路模板：

BaiZiMen_MA5680T(config)#display DBA-profile all   //查看所有创建过的dba模板

BaiZiMen_MA5680T(config)#DBA-profile add profile-id 13 profile-name MA5616 type3 assure 102400  max  15360 // 创建模板id为13； 模板名为MA5616；

Assure: 保证带宽10M ；  max：最大带宽15M；

BaiZiMen_MA5680T(config)#display ont-lineprofile epon all    //查看所有创建过的线路模板

BaiZiMen_MA5680T(config)#ont-lineprofile epon profile-id 13 profile-name 5616  //创建线路模板 

BaiZiMen_MA5680T(config-epon-lineprofile-13)#llid dba-profile-id 13   //线路模板中绑定dba模板ID为13的dba模板

BaiZiMen_MA5680T(config-epon-lineprofile-13)#commit //保存模板（此处必须保存否则将丢失模板配置）

BaiZiMen_MA5680T(config-epon-lineprofile-13)#quit

注册onu

BaiZiMen_MA5680T(config)#display  ont autofind  all                       

   ————————————————————————–  

   序列号          : 1                                                         

   框/槽/端口      : 0/1/0                                                     

   ONT MAC         : 286E-D487-3BB2                                            

   密码            : 00000000000000000000000000000000                          

   生产厂商ID      : HWTC                                                       

   ONT型号         : MDU                                                       

   ONT软件版本     : V8R306C01B053                                             

   ONT硬件版本     : MA5616                                                     

   ONT自动发现时间 : 2010-12-03 16:47:51

BaiZiMen_MA5680T(config-if-epon-0/1)#display ont autofind  0    //查看0端口发现的onu

BaiZiMen_MA5680T(config-if-epon-0/1)#ont add 0 0 mac-auth  286E-D487-3BB2   snmp ont-lineprofile-id 13 desc TO:JinHaiAnQingChuanLou_MA5616   // 注册端口为0 ;onu编号为0 ;  mac地址为0018-82B3-A4D7的onu ;   管理方式为snmp;    线路模板为13 ; desc:描述此onu所处位置以及设备型号

BAIZIMEN_MA5680T(config-if-gpon-0/1)#  ont ipconfig 0 0 ip-address 172.18.39.5 mask 255.255.255.0  gateway 192.18.39.1 manage-vlan 39  //给onu   0下发ip地址

BaiZiMen_MA5680T(config-if-gpon-0/1)# quit

配置业务虚接口：

service-port  vlan 39 epon 0/1/0 ont 0 multi-service user-vlan 39 tag-transform translate   //配置管理的业务虚接口

service-port  vlan 3304 epon 0/1/0 ont 0 multi-service user-vlan 3304 tag-transform translate  //配置语音的业务虚接口

service-port  vlan 2064 epon 0/1/0 ont 0 multi-service user-vlan 2064 tag-transform translate     //配置宽带的业务虚接口

……

service-port  vlan 2095 epon 0/1/0 ont 0 multi-service user-vlan 2095 tag-transform translate     //配置宽带业务虚接口

保存数据：

Ueusiuee_MA5680T(config)#save  （必须保存，否则设备重启后数据会丢失）

此为有管理的配置，如果私人的OLT不用snmp，那就

ont add 0 0 mac-auth  286E-D487-3BB2 oam ont- lineprofile-id 10 ont-

买了个H3C的万M交换机，先一直跑不上万M，进端口后强制 万M才能跑起来

speed 10000 强制万M，

undo speed 取消

然后，可以用qos命令对端口限速

qos apply polixcy 7400M outbound 限速下午

qos apply polixcy 7400M inbound 限速上行

undo qos apply polixcy 7400M inbound 取消限速上行

其它命令：

display cu 查看当前配置

sys 进入系统视图

shutsdown 关闭端口

undo shutsdown 开启端口

用PE，如老毛桃，可以直接在硬盘的不同分区安装不同的WIN11，

但在启动界面会有显示两个一样的win10 pro

如果找不到启动文件又想改变启动时显示的系统名字，可以

WIN+R，输入cmd，在窗口中输入cd /，目的在于打开根目录，然后再输入bcdedit

会显示所有的启动项目，

标识符<default>和<current>分别代表默认系统和当前系统

你可以根据标识符来修改显示的系统名字，如：

bcdedit /set {default} description “aaaa – WIN10”

bcdedit /set {current} description “aaaa – WIN7”

也可下载工具easybcd来修改

常用的 ping，tracert，nslookup 一般用来判断主机的网络连通性，其实 Linux 下有一个更好用的网络联通性判断工具，它可以结合ping nslookup tracert 来判断网络的相关特性，这个命令就是 mtr。mtr 全称 my traceroute，是一个把 ping 和 traceroute 合并到一个程序的网络诊断工具。

traceroute默认使用UDP数据包探测，而mtr默认使用ICMP报文探测，ICMP在某些路由节点的优先级要比其他数据包低，所以测试得到的数据可能低于实际情况, 参数 -U 使用UDP数据包探测 。

安装方法

1.Windows系统可以直接在https://cdn.ipip.net/17mon/besttrace.exe下载BestTrace工具并安装。也可以在https://github.com/oott123/WinMTR/releases GitHub上下载MTR专用工具，该工具为免安装，下载后可以直接使用。

2.Linux可以直接运行命令进行安装。

1.# Debian/Ubuntu 系统
2.apt install mtr
3.
4.# RedHat/CentOS 系统
5.yum install mtr

3.Apple客户端可以在App store搜索Best NetTools下载安装

4.Android客户端：可以在Google Play上下载TracePing，但是由于国内Google Play无法访问，笔者自行下载下来，可以直接访问 https://dwz.cn/KCdNPH4c 下载TracePing。

使用

MTR使用非常简单，查看本机到 http://qq.com 的路由以及连接情况直接运行如下命令：

1.mtr qq.com

MTR http://qq.com 测试界面

具体输出的参数含义为：

• 第一列是IP地址
• 丢包率：Loss
• 已发送的包数：Snt
• 最后一个包的延时：Last
• 平均延时：Avg
• 最低延时：Best
• 最差延时：Wrst
• 方差（稳定性）：StDev

参数说明

-r or –report

使用 mtr -r http://qq.com 来打印报告，如果不使用 -r or –report 参数 mtr 会不断动态运行。使用 report 选项， mtr 会向 http://qq.com 主机发送 10 个 ICMP 包，然后直接输出结果。通常情况下 mtr 需要几秒钟时间来输出报告。mtr 报告由一系列跳数组成，每一跳意味着数据包通过节点或者路由器来达到目的主机。

一般情况下 mtr 前几跳都是本地 ISP，后几跳属于服务商比如 腾讯数据中心，中间跳数则是中间节点，如果发现前几跳异常，需要联系本地 ISP 服务提供上，相反如果后几跳出现问题，则需要联系服务提供商，中间几跳出现问题，则需要联系运营商进行处理

默认使用 -r 参数来生成报告，只会发送10个数据包，如果想要自定义数据包数量，可以使用 -c 参数

-s or –packetsize

使用 -s 来指定ping数据包的大小

1.mtr -s 100 qq.com

100 bytes 数据包会用来发送，测试，如果设置为负数，则每一次发送的数据包的大小都会是一个随机数。

-c

指定发送数量

1.mtr -c 100 qq.com

-n

不进行主机解释

使用 -n 选项来让 mtr 只输出 IP，而不对主机 host name 进行解释

1.mtr -n qq.com

MTR结果分析

当我们分析 MTR 报告时候，最好找出每一跳的任何问题。除了可以查看两个服务器之间的路径之外，MTR 在它的七列数据中提供了很多有价值的数据统计报告。Loss% 列展示了数据包在每一跳的丢失率。Snt 列记录的多少个数据包被送出。使用 –report 参数默认会送出10个数据包。如果使用 –report-cycles=[number-of-packets] 选项，MTR 就会按照 [number-of-packets] 指定的数量发出 ICMP 数据包。

Last, Avg, Best 和 Wrst 列都标识数据包往返的时间，使用的是毫秒（ ms ）单位表示。Last 表示最后一个数据包所用的时间， Avg 表示评价时间， Best 和 Wrst 表示最小和最大时间。在大多数情况下，平均时间（ Avg）列需要我们特别注意。

最后一列 StDev 提供了数据包在每个主机的标准偏差。如果标准偏差越高，说明数据包在这个节点的延时越不相同。标准偏差会让您了解到平均延时是否是真的延时时间的中心点，或者测量数据受到某些问题的干扰。

例如，如果标准偏差很大，说明数据包的延迟是不确定的。一些数据包延迟很小（例如：25ms），另一些数据包延迟很大（例如：350ms）。当10个数据包全部发出后，得到的平均延迟可能是正常的，但是平均延迟是不能很好的反应实际情况的。如果标准偏差很高，使用最好和最坏的延迟来确定平均延迟是一个较好的方案。

在大多数情况下，您可以把 MTR 的输出分成三大块。根据配置，第二或第三跳一般都是您的本地 ISP，倒数第二或第三跳一般为您目的主机的ISP。中间的节点是数据包经过的路由器。

当分析 MTR 的输出时，您需要注意两点：loss 和 latency。

网络丢包

如果在任何一跳上看到 loss 的百分比，这就说明这一跳上可能有问题了。当然，很多服务提供商人为限制 ICMP 发送的速率，这也会导致此问题。那么如何才能指定是人为的限制 ICMP 传输 还是确定有丢包的现象？此时需要查看下一跳。如果下一跳没有丢包现象，说明上一条是人为限制的。如下示例：

人为限制MTR丢包

在此例中，第4跳发生了丢包现象，但是接下来几条都没任何丢包现象，说明第二跳的丢包是人为限制的。如果在接下来的几条中都有丢包，那就可能是第二跳有问题了。请记住，ICMP 包的速率限制和丢失可能会同时发生。

MTR丢包截图

从上面的图中，您可以看从第13跳和第17跳都有 10% 的丢包率，从接下来的几跳都有丢包现象，但是最后15,16跳都是100%的丢包率，我们可以猜测到100%的丢包率除了网络糟糕的原因之前还有人为限制 ICMP。所以，当我们看到不同的丢包率时，通常要以最后几跳为准。

还有很多时候问题是在数据包返回途中发生的。数据包可以成功的到达目的主机，但是返回过程中遇到“困难”了。所以，当问题发生后，我们通常需要收集反方向的 MTR 报告。

此外，互联网设施的维护或短暂的网络拥挤可能会带来短暂的丢包率，当出现短暂的10%丢包率时候，不必担心，应用层的程序会弥补这点损失。

网络延迟

除了可以通过MTR报告查看丢包率，我们也还可以看到本地到目的之间的时延。因为是不通的位置，延迟通常会随着条数的增加而增加。所以，延迟通常取决于节点之间的物理距离和线路质量。

MTR查看网络延迟

从上面的MTR报告截图中，我们可以看到从第11跳到12跳的延迟猛增，直接导致了后面的延迟也很大，一般有可能是11跳到12跳属于不通地域，物理距离导致时延猛增，也有可能是第12条的路由器配置不当，或者是线路拥塞。需要具体问题进行具体的分析。

然而，高延迟并不一定意味着当前路由器有问题。延迟很大的原因也有可能是在返回过程中引发的。从这份报告的截图看不到返回的路径，返回的路径可能是完全不同的线路，所以一般需要进行双向MTR测试。

注：ICMP 速率限制也可能会增加延迟，但是一般可以查看最后一条的时间延迟来判断是否是上述情况。

根据MTR结果解决网络问题

MTR 报告显示的路由问题大都是暂时性的。很多问题在24小时内都被解决了。大多数情况下，如果您发现了路由问题，ISP 提供商已经监视到并且正在解决中了。当您经历网络问题后，可以选择提醒您的 ISP 提供商。当联系您的提供商时，需要发送一下 MTR 报告和相关的数据。没有有用的数据，提供商是没有办法去解决问题的。

然而大多数情况下，路由问题是比较少见的。比较常见的是因为物理距离太长，或者上网高峰，导致网络变的很慢。尤其是跨越大西洋和太平洋的时候，网络有时候会变的很慢。这种情况下，建议就近接入客户的节点。