【功能模块】API网关功能【操作步骤&问题现象】1、API网管进行接口测试，多次访问接口，存在接口返回为空的场景，但是在live data中测试不存在；PS：确认接口返回是有数据的2、【截图信息】【日志信息】（可选，上传日志内容或者附件）

基于模拟退火算法和改进灰狼优化器的异构无线传感器网络路由协议赵小强1,2, 任少亚1,2, 翟永智1,2, 权恒1,2, 杨婷1,21 西安邮电大学通信与信息工程学院，陕西 西安 7101212 陕西省信息通信网络及安全重点实验室，陕西 西安 710121摘要合理利用节点的能量异构特性延长网络生命周期是异构无线传感器网络（HWSN, heterogeneous wireless sensor network）的主要目标之一。因此，根据节点能量的异构性提出了一种基于模拟退火（SA, simulated annealing）算法和改进灰狼优化器（GWO, grey wolf optimizer）的HWSN路由协议SA-MGWO（SA-modified grey wolf optimizer）。首先，该协议通过为能量异构的节点定义不同的适应度函数进行初始簇的选取；然后计算节点的适应值，并将其视为灰狼优化器中的初始权重；同时，根据狼群与猎物的距离以及系数向量对权重进行动态更新，提高灰狼优化器的寻优能力；最后，利用模拟退火算法保证异构网络中最优簇集的选取。仿真结果表明，相比于SEP（stable election protocol）、分布式能量有效成簇（DEEC, distribute energy efficient clustering）、M-SEP及FIGWO（fitness value based improved grey wolf optimizer）协议，SA-MGWO协议的网络生命周期分别提高了53.1%、31.9%、46.5%和27.0%。关键词： 异构无线传感器网络 ; 模拟退火算法 ; 灰狼优化器 ; 网络生命周期1 引言近年来，随着低功耗数字电路和无线通信技术的发展，无线传感器网络（WSN, wireless sensor network）在侦察、医疗救助、城市管理、智能家居、目标跟踪等诸多领域得到了广泛应用[1]。无线传感器网络由成百上千个小型廉价传感器节点构成，它们被随机部署于目标区域内的不同位置，监测物理信息或环境信息，如温度、声音、振动、压力、运动或污染物等[2]。WSN的寿命主要依赖于节点的电池电量，节点对目标区域信息的感知、处理、传输都将消耗电量，而在许多 WSN 应用中，传感器节点通常部署在恶劣的环境中，使得节点电池充电或更换变得困难。因此，在WSN路由协议的设计中，节点的能量效率是延长网络生命周期的关键[3]。在 WSN 路由协议中，设计一个基于分簇算法的 WSN 路由协议是节约节点能量和延长网络生命周期的有效方法之一[4-5]。分簇算法的主要原理是将网络中全部节点划分为若干个簇域，每个簇域分别有一个簇首节点和多个成员节点，其成员节点主要执行数据的采集任务，簇首节点负责融合接收的数据，并转发至基站。为了延长网络生命周期，国内外学者已经提出了许多基于分簇思想的WSN路由协议。WSN中最经典的分簇路由协议是低功耗自适应集簇分层型（LEACH, low energy adaptive clustering hierarchy）协议[6]。在 LEACH 协议中，簇首根据阈值计算式被随机选取，全部节点周期性地轮询为簇首，将网络能耗平均划分给各个节点，从而延长网络生命周期，提高网络吞吐量。Zhao等[7]提出了一种基于改进灰狼优化器的WSN节能路由协议——FIGWO协议。FIGWO 协议利用中位数算法和改进的灰狼优化器（MGWO, modified grey wolf optimizer）选取簇首，使得簇首在网络中分布更均匀，并保证选取簇首更加合理。然而，大多数 WSN 分簇路由协议基于同构网络设计[8]，由于节点资源和网络拓扑结构的变化，HWSN在实际中的应用越来越广泛。SEP （stable election protocol）[9]是著名的HWSN分簇路由协议之一，SEP在两级HWSN环境下被提出，即节点被划分为高级节点和普通节点。在SEP中，因初始能量差异，不同的加权选取概率被设计为高级节点和普通节点，使得高级节点成为簇首的概率更大，均衡网络中高级节点与普通节点的能耗。一种适用于 HWSN 的改进稳定选举协议（M-SEP, modified stable election protocol）于2015年被提出[10]。M-SEP 利用整个网络的平均能量和当前节点的剩余能量修改高级节点与普通节点选取簇首的概率阈值计算式，增加了网络的稳定周期和数据包的传输速率。2006年，HWSN的DEEC算法[11]被提出。DEEC算法考虑了两种WSN，即二级HWSN和多级HWSN。节点剩余能量和网络中节点平均能量比率是簇首选取因素，以便初始能量和剩余能量较高的节点相对于能量低的节点有更大的概率成为簇首，降低节点之间的剩余能量差，达到延长网络生命周期的目的。然而，如何更加合理地利用节点能量的异构性来延长网络生命周期并增加网络吞吐量，是HWSN路由协议的主要问题之一[12-13]。本文针对 HWSN 分簇路由协议，提出一种基于模拟退火算法和改进灰狼优化器的 HWSN 路由协议。首先利用质心法选取初始簇首，并形成初始簇；然后，采用动态更新猎物权重的改进灰狼优化器选取初始簇内的最优簇首；最后，结合模拟退火算法找出网络中的最优簇首集合，完成数据传输。2 结束语在本文中，提出了一种基于模拟退火算法和改进灰狼优化器的 HWSN 路由协议。该算法通过对高级节点和普通节点定义不同的适应度函数，对GWO算法中猎物权重进行动态改进，采用模拟退火算法选取最优簇首集合，保证了每轮簇首数目的均衡性以及网络中簇首分布的均匀性。仿真结果表明，与传统的SEP、DEEC、M-SEP 和FIGWO协议相比，本文方案的网络能耗、生命周期以及吞吐量都有了显著提高。本文主要以节点能量异构作为研究对象，并未考虑节点其他性能上的异构，后续将同时考虑能量异构和节点其他性能异构，研究在异构特性更复杂的环境下，WSN路由协议延长网络生命周期问题。The authors have declared that no competing interests exist.作者已声明无竞争性利益关系。3 原文链接http://www.infocomm-journal.com/wlw/article/2021/2096-3750/2096-3750-5-2-00097.shtml

　　开源物联网数据基础设施软件领导者 EMQ 映云科技(以下简称 EMQ)今日正式宣布，旗下物联网边缘工业协议网关软件 Neuron ，自 2022 年 4 月 22 日发布的 2.0 版本起，正式基于 GNU LGPL 许可开源。　　Neuron 为工业物联网的「连接」而生，支持同时为多个不同通讯协议设备、数十种工业协议进行一站式接入及MQTT 协议转换，仅占用超低资源，即以原生或容器的方式部署在 X86、ARM 等架构的各类边缘硬件中，助力构建工业物联网平台与应用。　　Neuron 的产品雏形，始于工业物联网IIoT尚在起步阶段的 2018 年，聚焦于未来工业物联网平台的数据采集、聚合与转发，解决海量异构工业设备的连接问题。2020 年 9 月，Neuron 的GA版本正式发布并为各行业客户广泛应用。　　EMQ自2017年创立以来，一直秉承着拥抱开源、贡献开源的信念。正式成为开源项目的Neuron将充分满足用户灵活定制开发的需求，与开源社区用户一起拓宽产品与产业边界，加速工业物联网的发展进程。　　解锁物联网数据潜能，工业 4.0 转型关键　　随着工业 4.0 概念的普及和在行业中的实践深入，传统工业改造和工业物联网的部署需求也越来越强烈。工业 4.0 的成功关键之一，就是为工业设备赋予物联网的连接能力。　　然而这一过程面临着设备种类繁多、涉及总线与协议复杂多样等问题。同时，随着 IT 和 OT 结合的架构愈发成熟，工业物联网需要将数据接入、数据存储、数据消费与业务应用解耦，细粒度模块化的工业数据采集方案在市场上需求愈发明显。　　Neuron 的设计初衷即是为了解决这些问题。　　其通过一站式接入数十种工业协议并转换成 MQTT 协议，将数据统一上传到云端工业物联网平台，实现对工业设备的数据采集、远程控制、配置更新、设备资产管理等。　　2020 年 9 月，Neuron 正式发布。　　配合 EMQ 边缘和云端的其他基础设施软件产品，至今已为工业物联网、新能源发电、石油勘探开采等多个行业应用场景提供了包含边缘侧设备接入的完善数据采集与处理方案。　　Neuron 1.x 版本最初为闭源形态，随着用户规模的增长，对于驱动开发与北向对接等定制化需求日益增多。为了让更多用户能够基于高性能的工业数据采集接入框架实现更灵活的协议和插件开发，本着 EMQ 拥抱开源的初心，自 2.0 版本起，Neuron 将正式成为开源项目，源代码仓库托管在 GitHub中。 　　Neuron v2.0 将更加聚焦于工业协议的数据采集、聚合和转发的基础能力，为工业物联网平台建设提供高性能数据接入基础通讯框架。　　高性能工业数据接入基础通讯框架　　全新开源的 Neuron v2.0 为开发者与使用者提供了开源的工业数据采集与协议转换所需要的高性能基础框架。Neuron v2.0 采用NNG异步 I/O 框架与多线程模型实现了轻量级高性能的消息总线。相比 v1.0 架构，Neuron v2.0 不仅支持多实例进程同时保持多设备连接，且内存占用更低，提高了 CPU 多核利用率。同时，框架仅依赖原生 PosixAPI，具有极高的系统兼容性与可移植性，方便用户适配更多低成本的硬件，可应用于更广泛的使用场景。　　开源后，开发者可以基于 Neuron 提供的针对工业设备协议、总线协议接入的插件式可扩展底层框架，专注于各类设备驱动的开发，快速实现工业物联网平台的数据接入。 　　此外，Neuron v2.0 采用 Web 界面实现对软件的可视化配置操作，同时支持各类云边协同边缘管理框架(如 KubeEdge、OpenYurt 等)，可实现云端对边缘 Neuron 软件的远程管理，提高配置与管理效率。　　在以上开源功能基础上，EMQ 还将为企业客户提供 Neuron 的商业模块支持。如商业的驱动插件、管理模块等，以满足企业更加专业深入的业务需求。Neuron v2.0 将与 v1.x 分别独立管理。EMQ 对现有的商业版 Neuron v1.x 仍提供缺陷修复与维护，但后续将不再基于 1.x 版本提供功能更新。　　开源版Neuron v2.0：激发工业物联网更多可能　　作为一款独立的、具有完整数据收集与转发能力的开源边缘工业协议网关软件，基于 Neuron v2.0 开源的可扩展插件架构，用户不仅可以非常方便地扩展南向标准驱动或者定制驱动，还可以通过北向的应用接口对接各类开源软件，实现工业大数据或者边缘计算。　　这无疑将为企业工业互联网平台带来更多创新可能，可以广泛应用于工业生产、市政供水供气等场景，实现工业设备远程监控、设备能耗自动检测、产线现场信息远程推送等智能化业务，加速企业的数字化转型升级。

每次码豆要攒够的时候这款路由就下架了，是缘分不够吗。。

物联网网关是将物联网系统连接在一起的关键。随着物联网的发展和数十亿的连接设备进入世界，未来物联网系统最关键的组件之一可能是被称为物联网网关的设备。物联网网关聚合传感器数据，在传感器协议之间进行转换，在发送之前处理传感器数据等等。由于有大量协议、连接模型和能源配置文件以及物联网系统的高度分散性，因此需要网关来管理和控制这些复杂的环境。举例说明，比如连接物联网的办公楼环境的用例。传感器相当于我们的五种感官的物联网。但不是五种感官，可能有成百上千个传感器，具有数十种不同的功能，测量温度、光线、噪音、人和设备的位置、空气中的颗粒、建筑系统操作、安全系统、工厂机器等等。但物联网不仅仅是传感作用；它还与控制系统有关。打开和关闭灯、暖通空调、网络等都可以通过连接的系统完成。这些物联网设备中的每一个都可能使用不同的协议进行连接——例如 Wi-Fi；蓝牙; 串行端口（例如，RS-232）；以太网；MQ 遥测传输，或MQTT；紫蜂等。并且它们中的每一个都可能连接到不同的控制环境并且具有不同的管理和安全模型。随着连接设备、协议和需求的激增，将组件单独连接回需要其数据的系统通常是不可能的。一些传感器和控制器使用非常低的能量，不支持Wi-Fi 或蓝牙等能量密集型协议，因此无法直接连接。一些边缘设备生成了如此多的数据，总的来说，这些数据是压倒性的，而且原始形式的数据并不那么有价值。进入物联网边缘网关物联网网关执行多项关键功能，例如设备连接、协议转换、数据过滤和处理、安全、更新、管理等。较新的物联网网关还可作为应用程序代码的平台运行，用于处理数据并成为支持边缘设备的系统的智能部分。物联网网关位于边缘系统（连接设备、控制器和传感器）与云的交汇处。网关在物联网生态系统中的地位传统的网络网关大多执行协议转换和设备管理功能。它们可以对物联网数据进行深入和复杂处理的智能、可编程设备。今天的“智能”物联网网关是运行现代操作系统（例如 Linux 或 Windows）的成熟计算平台。这些系统有时也称为智能网关或边缘网关，但界限正在模糊，未来几年非智能网关市场可能会变得无关紧要。下一代物联网网关开辟了巨大的机会，可以将处理推向边缘，提高响应能力并支持新的运营模式。考虑上面的楼宇系统用例：楼宇管理公司可以使用通过云连接的传感器和控制器的分布式物联网网络从远程位置控制数百万平方英尺的办公室和工业空间。然而，传输来自数十个设施的传感器生成的每一个常规信息包，很快就会淹没管理公司的总部系统。他们关心严重的问题、越界的环境条件和其他值得额外关注的因素。添加具有完整板载处理功能的新物联网边缘网关将允许网关过滤掉常规信息并传递值得关注的警报。更进一步，这些网关可以对数据执行自己的分析和操作——例如确定建筑物部分温度过高——然后可以使用该洞察力采取独立行动，例如打开空调或打开通风口。

一直没看到有货，这次有它吗

园区基线预集成的设备IO包含：基线设备IO、连接实验室认证扩展IO。当对应设备接入园区时无需开发任何代码，可直接接入使用。基线设备IO：随基线版本一起安装，订购园区基线后默认安装好，如表1所示。连接实验室认证扩展IO：IO扩展包随基线版本发布，但默认不安装，项目可根据需要选装，如表2所示。扩展IO详情见连接实验室认证扩展IO。基线设备IO这部分设备IO随基线版本一起安装，订购园区基线后默认安装好。表1 基线设备IO条数分类设备IO“统一设备服务”端对应的设备规格1保安系统设备门禁设备IOAccessControl2泄露电缆设备IOLeakyCable3人行闸机设备IOTurnstile4消防系统设备消防烟感设备IOSmokeDetector5消防温感设备IOTemperatureSensor6消防手报设备IOManualFireAlarmActivation7声光报警设备IOAcoustoOpticAlarm8消防栓按钮设备IOFireHydrantButton9可燃气体探测器设备IOCombustibleGasDetector10能耗系统设备水表设备IOWaterMeter11电表设备IOElectricMeter12燃气表设备IOGasMeter13资产管理设备新基点IoT射频识别标签设备IORFID14新基点IoT射频识别读卡器设备IORFIDReader15环境监测设备户外环境监测设备IOOutdoorEnvSensor16室内环境监测设备IOIndoorEnvSensor17建筑BA设备空调机组设备IOAirHandleUnit18新风机组设备IOPreCoolingAirHandlingUnit19送风机设备IOSupplyAirFan20排风机设备IOExhaustAirFan21冷机设备IOChiller22冷冻水泵设备IOChillerWaterPump23冷却水泵设备IOCoolDownWaterPump24冷却塔设备IOCoolingTower25冷源补水箱设备IOColdSourceSupplyTank26冷源补水泵设备IOColdSourceSupplyPump27冷冻水总管设备IOChilledWaterMainPipe28冷却水总管设备IOCoolDownWaterMainPipe29管道设备IOMainPipe30膨胀水箱设备IOExpansionTank31蓄冷罐设备IOColdStorageTank32电热锅炉设备IOElectricBoiler33锅炉热水泵设备IOBoilerHotWaterPump34供热水泵设备IOHeatingWaterPump35排水泵设备IODrainagePump36生活水泵设备IODomesticWaterPump37集水井设备IOSumpPit38生活水箱设备IODomesticWaterTank39减压阀设备IOPressureReliefValve40室内照明控制器设备室内照明控制器设备IOIndoorLightingController41厕位检测设备厕位检测设备IOToiletPositionDetector42工位检测设备工位检测设备IOWorkStationDetector43升降电梯设备升降电梯设备IOElevator44电梯群控器设备电梯群控器设备IOElevatorClusterController连接实验室认证扩展IO这部分设备IO扩展包随基线版本发布，但默认不安装，项目可根据需要选装。表2 连接实验室认证扩展IO条数分类设备IO“统一设备服务”端对应的设备规格1电气火灾监测系统设备故障电弧探测器设备ArcFaultDetectionDevice2电气火灾检测系统探测器设备ElectrFireMonitorSysDetector3消防电源监控系统设备FirePowerMonitorSys4照明系统路灯设备StreetLight5室外景观照明设备OutdoorLandscapeLighting6室内多回路照明控制器设备IndoorMultLoopLightingController7环境空间监测系统震动传感器设备Vibrating8GPS定位器设备GPSLocator9智能手环设备SmartBand10垃圾桶设备Trashcans11擦手纸余量检测设备TissuePaper12厕纸余量检测设备ToiletPaper13客流统计设备PassengerFlow14多媒体点评器设备Evaluator15洗手液余量检测设备SoapDispenser16井盖检测器设备ManholeCoverDetector17路灯显示屏设备StreetLightDisplayScreen18激光探测器设备LaserDetector19应急指示灯设备EmergencyLamp20水文监测系统水位水质监测设备WaterQualityMonitoring21水文监测设备HydrologicalTelemetery22能耗管理系统能耗管理系统设备EnergyConsumption23智能水表设备SmartWaterMeter24热量表设备HeatMeter25冷量表设备CoolCapacityMeter26火灾自动报警系统报警主机设备AlarmHost27入侵报警系统电子围栏设备ElectronicFence28门磁探测器设备ElecLockDetector29报警主机防区设备AlarmHostDefenceArea30环境空间告警系统管线甲烷气体探测器设备PipelineCH4Detector31管线硫化氢气体探测器设备PipelineH2SDetector32管线温湿度探测器设备PipelineTempAndHumidityDetector33管线压力探测器设备PipelinePressureDetector34管线氧气气体探测器设备PipelineO2Detector35紧急按钮设备EmergencyButton36温湿度监测设备TemperatureHumidity37管道流量监测设备PipelineTrafficMonitoring38液压检测设备HydraulicPressureDetector39水浸检测设备WaterImmersion40液位检测设备LiquidLevelDetector41CH探测器设备CH4Detector42红外探测器设备InfraredDetector43一氧化碳探测器设备CODetector44氨气探测器设备AmmoniaDetector45空气质量探测器设备AirAualityDetector46地埋侧循环泵设备BuriedSideCirculatingPump47定压水泵设备ConstantPressurePump48水处理仪设备WaterTreatmentInstrument49地源热泵机组设备GroundSourceHeatPumpUnit50锅炉补水箱设备BoilerSupplyTank51二次水循环泵设备SecondaryCirculationPump52消防监测系统消防栓监测设备HydrantDetector53消防管道监测设备FireControlPipeDetector54BA400V进线设备InLine400V5510kV进线设备InLine10kV56400V出线设备OutLine400V57电力变压器温控器设备TransformerTempController58交流电通断检测器设备ACDetector59空气断路器设备AirCircuitBreaker60电箱温度传感器设备TempDetector61母联设备BusTieSwitch62电容器设备Capacitance6335kV出线设备Capacitance64主变压器设备MainTransformer6510kV出线设备OutLine10kV66站变设备StationTransformer67110kV分段设备Subsection110kV68直流屏设备DirectCurrentPanel69110kV进线间隔设备IncomingLineInterval110kV70双电源转换开关DualPowerSwitch71TV监控设备TVMonitoringDevice72母线保护设备BusbarProtection73光伏发电设备PhotovoltaicGenerator74柴油发电设备DieselGenerator75电动天窗电动天窗设备PowerSunroof76电梯及扶梯扶梯设备Escalator

图1 设备通过IoT接入南向设备接入的整个业务流程可以分为2部分：数据上报和指令下发，各模块的处理流程如下。数据上报IoT平台能力：南向设备通过IoT网关和IoT平台，将原始数据上报到ROMA MQS的原始topic中。基线预置能力：IoT Adapter IO依据消息类型将消息拆分，并根据设备类型和消息类型转发给对应设备IO的中间层topic。例如人行闸机上报的消息，会转发给“人行闸机设备IO”；门禁上报的消息会转发给“门禁设备IO”。设备IO能力：设备IO将消息转换成标准格式，并发送到“设备标准消息MQS Topic”。基线预置能力：统一设备服务消费标准topic中的消息，转换成事件供业务应用做逻辑判断。指令下发基线预置能力：统一设备服务提供标准化的设备模型和控制命令，无论是对哪种设备下发指令，业务应用都只需调用标准化的指令接口即可。基线预置能力：统一设备服务根据业务侧下发的指令，在设备的标准模型中查询到该设备的指令服务后回调ROMA侧的“设备标准IoT接口”。基线预置能力：ROMA侧的“设备标准IoT接口”依据指令中的“channel”和“deviceType”参数，将指令路由到设备IO。“channel”参数用于多IoT平台的场景，确定指令要下发给哪个IoT平台，例如新基点IoT平台的channel值为“basepoint.connectionmax.iot”。“deviceType”参数确定指令路由到哪个设备IO，deviceType的值来自统一设备服务中定义的标准模型。例如人行闸机的指令会路由到“人行闸机设备IO”，门禁的指令会路由到“门禁设备IO”。设备IO能力：设备IO将业务侧下发的指令转换为实际物理设备可以执行的指令，并回调南向IoT平台的指令下发接口。IoT平台能力：南向IoT平台向实际物理设备下发指令，控制设备的运行。在整个业务流程中，每种类型的设备，都需要有一个对应的设备IO，用于标准化实际设备上报的消息，以及转换业务下发给设备的指令，消息上报和指令下发通过IoT平台来实现。针对园区常见的一部分设备，基线已经预集成了对应的设备IO，无需开发任何代码，可直接接入使用，详细清单参见基线已集成设备。对于不在基线预置内的设备，只需开发对应的设备IO即可，其它部分不需要开发，整个上行/下行流程和业务侧都无需变动，开发流程详见基线未集成设备接入指导。

路由器啊，路由器，给个机会吧。这个月再换不到，估计就没戏了

1月15日，新华三（H3C）正式发布其全新Wi－Fi 6路由器——H3C BX54鲸路由。作为首批采用高通216沉浸式家庭联网平台的家用路由器产品，H3C BX54鲸路由集成众多先进连接技术特性，可实现高达5．4 Gbps的无线连接速率，为用户带来前所未有的Wi－Fi连接体验。对于新华三全新路由器的发布，高通技术公司副总裁兼无线基础设施与联网业务总经理Nick Kucharewski表示：“新华三和高通拥有特殊的合作关系，它建立在双方共同推动连接技术创新的合作之上。很高兴通过我们最先进的产品和技术组合，支持新华三打造极致的联网终端。全新发布的H3C BX54鲸路由采用高通216沉浸式家庭联网平台，为更多终端带来更广的覆盖范围和更快的速度，满足用户对当今家庭网络联网体验的期待。”当前，用户的办公、教育、观影等活动正在向家庭迁移，家庭环境中智能终端的数量持续增长，高性能Wi－Fi已经从过去的“奢侈品”变为如今不可或缺的“必备品”。高通沉浸式家庭联网平台的推出，可帮助包括新华三在内的众多终端厂商进一步利用高通技术公司的端到端差异化技术优势，为家庭用户打造支持Mesh网络且兼具显著性能提升与成本优势的终端。作为一款家用路由产品，H3C BX54鲸路由搭载高通216沉浸式家庭联网平台，采用双核1GHz CPU，配合专用的网络处理器NPU，让系统及连接功能运行更稳定、流畅，并拥有更快的数据转发处理速度，以应对当前复杂的家庭网络环境。此外，该路由器内置UU加速器，可为各类PC、主机、移动游戏提供一系列的相关加速功能，方便玩家享受畅快的游戏体验。性能方面，通过在2．4GHz和5GHz频段的6路数据流Wi－Fi 6配置，以及在5GHz频段支持160MHz信道及4x4 MU－MIMO等领先技术，高通216沉浸式家庭联网平台可为H3C BX54鲸路由带来最高5．4 Gbps的可用物理层速率、支持多达640台终端接入和更广的覆盖范围，助力该路由器为家庭用户提供面向全屋覆盖的千兆级无线连接，并让家中每台终端都能保持联网，帮助用户在家中获得高效的线上会议、极具互动性的远程教育等沉浸式的Wi－Fi 6连接体验。

在这科技时代，家庭中的联接设备数在近几年激增。消费者比以往任何时候都更关注（IoT）设备，如家庭自动化、4K ／高清视频流和在线游戏，这进而使通过互联网传输的数据量增加了三倍。因此，在选择您的下一个路由器时，需要充分考量。Wi－ Fi®技术：IEEE 802．11是定义国际Wi－Fi标准的技术代。例如，“ 802．11 n／ac／ax”表示802．11ac的特定标准，于2013年底发布，然后于2016年更新，也称为Wi－Fi 5。随着802．11ax的出现，通常称为Wi －Fi 6，吞吐量明显更高。Wi－Fi 5（11ac – 160MHz）可以达到的理论最大速度为6．9 Gbps，而Wi－Fi 6（11ax－160MHz）可以达到9．6 Gbps。另一个不容忽视的关键方面是工作频段，因为Wi－Fi 5工作在5GHz频段，而Wi－Fi 6支持2．4 GHz、5 GHz和6 GHz频段。“频段”代表什么？单频路由器已成为历史。当下是关于双／三频路由器。双频意味着路由器使用频谱的两个频带来传输数据包，即2．4 GHz和5 GHz。三频路由器使用2．4 GHz、5 GHz和6Ghz频段，支持设备使用频段控制算法选择网络，通过平衡三个频段中每个频段的负载，减轻网络的拥塞。2．4 GHz频段比5 GHz和6 GHz频段更拥挤；蓝牙增加了另一个干扰瓶颈，因其在相同的2．4 GHz频段运行，但技术不同。另外，某些其他非Wi－Fi设备如无绳电话可能会影响性能。但是，使用2．4 GHz频率的优势之一是，它比5 GHz ／ 6 GHz穿墙的效率更高，因为较低的频率表示较高的波长并确保更好的覆盖范围。在后一种情况下，8x8 多输入多输出（MIMO）将大大有助于范围扩展。天线和空间流的解释：MIMO规范在4x4、1x1等天线配置方面起着重要作用。数字表示发射（Tx）／接收（Rx）天线的数量。选择合适路由器的另一个方面是空间流（SS），通常将其表示为4x4：4，表示它们使用4 SS通过空间复用在同一信道上发送独特数据。Wi－Fi 5／6最多支持8SS，这意味着更高的吞吐量。天线越多，用于多个同时数据流的能力就越强，并且波束成形得到改善，以便利用补偿的相移来引导各个流，从而可以实现更高的吞吐量。以后，请务必查看互联网服务提供商（ISP）的速度包（以Mbps为单位），以确保达到所需的覆盖范围。一些ISP提供了一个集成单元（调制解调器／路由器在一个单元中）供出租。对于更多精通技术的用户，值得研究功能可用性并购买自己的设备。选择路由器时要考虑的其他事项包括多核处理器和出于安全考虑的WPA3加密。网状网络：鉴于今年我们有很多人适应远程工作和虚拟学习，并发用户和设备的数量有所增加。以前，家用路由器的原始吞吐量是一个关键值，而如今，边缘的网络弹性和覆盖范围同样重要。根据家庭拓扑的不同，可能会有一些死点。为了在可以提高速度的区域最大化Wi－Fi覆盖范围，应使用网状网络。节点或商业用语称为pods的是Wi－Fi扩展器，其策略性地放置并联接到主中枢，该中枢通过以太网电缆连接到宽带网关形成网络以实现更好的覆盖范围。这种拓扑结构通过重新广播数据包使切换变得完美无缺，并使pods成为虚拟访问点，从而使死点“不死”。典型的路由器可以覆盖2500平方英尺的面积。但是，网状网络可以将覆盖面积增加一倍，最大达到5000平方英尺，这取决于pod的数量（通常为2至3个）。借助的支柱，pods可以选择网络中最快的路由，并根据设备的需求优化带宽来提供帮助。例如，IoT设备将比笔记本电脑使用更少的带宽。如果节点已同步，则可以通过智能手机上的应用程序轻松管理它们。这些小pods的卖点是易于使用和即插即用安装，提供无缝的Wi－Fi覆盖。过渡到Wi－Fi 6 ／ 6E： Wi－Fi 6利用8x8 MU－MIMO、OFDMA、扩展范围和基本服务集（BSS）着色等关键功能，以实现更好的空间复用。在Wi－Fi 6中，网络拥塞得以减少，从而提高容量、性能并降低功耗。其他一些考虑因素是目标唤醒时间（TWT），以实现更好的电源管理。WPA3增强了安全性；1024 QAM提高吞吐量。图1． 6 GHz免授权频段进一步扩展了Wi－Fi网络接下来将是Wi－Fi 6E，它是指6 GHz频带上的Wi－Fi 6，最近获美国联邦通信委员会（FCC）批准，将开放1200 MHz的频谱供Wi－Fi使用。预计6 GHz频段的引入将为Wi－Fi 6设备带来新的性能和可用性。下一个Wi－Fi标准IEEE 802．11be被设置为在基础设施设备上使用高达16x16 MIMO架构在6 GHz频带中建立320 MHz信道。这些发展的结合可以将速度提高到40 Gbps以上，提供前所未见的范围性能，并迈向先进Wi－Fi应用的新时代。图2． 采用Wi－Fi 6和6E的总体时间表安森美半导体的Wi－Fi 6E方案旨在适应向Wi－Fi 6E的过渡，同时满足主流6 GHz应用的需求。随着Wi－Fi 6E基础设施的激增，将为6GHz生态系统注入种子。客户端设备还将得益于更高的能效、更少的干扰以及更低的延迟和抖动，从而在多个应用和环境中提供更好的用户体验。（作者系安森美半导体无线联接和信号处理业务产品高级经理Anubhava Jain）

为了方便一些熟悉命令行但不熟悉netconf报文的工程师能快速理解netconf报文，并与对应的命令行联系起来，下面给出一套分析方法。本次我们以下发L3VPN业务到NE8000M8设备为例说明~相关配置的命令行可以在华为support网站上查看NE8000M8产品文档。那不多说，我们先来直观感受一下cli命令行和Netconf报文的区别吧。CLI命令行ip vpn-instance 5G-RAN ipv4-family route-distinguisher 100:1 vpn-target 100:11 export-extcommunity vpn-target 100:11 import-extcommunity bgp yang-mode enable bgp 100 ipv4-family vpn-instance 5G-RAN import-route direct import-route static peer 2.2.2.2 as-number 100 interface GigabitEthernet 0/5/0.1 ip binding vpn-instance 5G-RAN ip address 20.1.2.9 255.255.255.0Netconf报文<bgp xmlns="urn:huawei:yang:huawei-bgp"> <global> <yang-enable>true</yang-enable> </global> </bgp> <network-instance xmlns="urn:huawei:yang:huawei-network-instance"> <instances> <instance xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge"> <name>5G-RAN</name> <bgp xmlns="urn:huawei:yang:huawei-bgp"> <base-process> <afs> <af> <type>ipv4uni</type> <ipv4-unicast> <import-routes> <import-route> <protocol>direct</protocol> <process-id>0</process-id> </import-route> <import-route> <protocol>static</protocol> <process-id>0</process-id> </import-route> </import-routes> </ipv4-unicast> </af> </afs> <peers> <peer> <address>2.2.2.2</address> <remote-as>100</remote-as> </peer> </peers> </base-process> </bgp> <afs xmlns="urn:huawei:yang:huawei-l3vpn"> <af> <type>ipv4-unicast</type> <route-distinguisher>100:1</route-distinguisher> <tunnel-policy>LDP</tunnel-policy> <vpn-targets> <vpn-target> <value>100:11</value> <type>export-extcommunity</type> </vpn-target> <vpn-target> <value>100:11</value> <type>import-extcommunity</type> </vpn-target> </vpn-targets> </af> </afs> </instance> </instances> </network-instance> <ifm xmlns="urn:huawei:yang:huawei-ifm"> <interfaces> <interface> <name>GigabitEthernet0/5/0.1</name> <ipv4 xmlns="urn:huawei:yang:huawei-ip"> <addresses> <address xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge"> <ip>20.1.2.9</ip> <mask>255.255.255.0</mask> <type>main</type> </address> </addresses> </ipv4> </interface> </interfaces> </ifm> <ifm xmlns="urn:huawei:yang:huawei-ifm"> <interfaces> <interface xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge"> <name>GigabitEthernet0/5/0.1</name> <type>GigabitEthernet</type> <description>connect to pe2</description> <vrf-name>5G-RAN</vrf-name> </interface> </interfaces> </ifm>是不是觉得Netconf报文太长了，没关系，下面我们来分段解析我们的报文，并推导出我们报文对应的命令行。1. 模块一（使能使用YANG接口下发BGP配置）<bgp xmlns="urn:huawei:yang:huawei-bgp"> <global> <yang-enable>true</yang-enable> </global> </bgp>Netconf报文报文解析对应命令行<bgp xmlns="urn:huawei:yang:huawei-bgp">…</bgp>这一层报文表示此模块配置是依据huawei-bgp.yang模型的结构内容，是对bgp的配置。bgp yang-mode enable<global>  <yang-enable>true</yang-enable></global> <global>表示对全局的配置。<yang-enable>表示是否使用yang接口下发配置。2. 模块二（创建VPN实例5G-RAN，并配置VPN路由引入，引入静态路由和直连路由，配置BGP对等体。）<network-instance xmlns="urn:huawei:yang:huawei-network-instance"> <instances> <instance xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge"> <name>5G-RAN</name> <bgp xmlns="urn:huawei:yang:huawei-bgp"> <base-process> <afs> <af> <type>ipv4uni</type> <ipv4-unicast> <import-routes> <import-route> <protocol>direct</protocol> <process-id>0</process-id> </import-route> <import-route> <protocol>static</protocol> <process-id>0</process-id> </import-route> </import-routes> </ipv4-unicast> </af> </afs> <peers> <peer> <address>2.2.2.2</address> <remote-as>100</remote-as> </peer> </peers> </base-process> </bgp> ……（模块三配置） </instance> </instances> </network-instance>Netconf报文报文解析对应命令行<network-instance xmlns="…: huawei-bgp"><instances><instance xmlns:… >      <name>5G-RAN</name>      ……    </instance></instances></network-instance>这几层报文表示创建一个名为5G-RAN的L3VPN实例（instance），并开始配置。bgp 100  ipv4-family vpn-instance 5G-RAN<bgp xmlns=…><base-process>    <afs>      <af>        <type>ipv4uni</type>        ……      </af>    </afs>  </base-process></bgp>这几层报文是对bgp的相关配置：1.       <af>（address family）表示开始bgp地址族配置。2.       <type>表示配置bgp实例的地址族类型。由于这几层报文在instance的下一层，所以这一段配置的是5G-RAN的bgp路由引入。<ipv4-unicast><import-routes><import-route>      <protocol>direct</protocol><process-id>0</process-id></import-route>    <import-route>      <protocol>static</protocol>      <process-id>0</process-id>    </import-route>  </import-routes></ipv4-unicast><af>的内层报文，由于之前type类型为ipv4地址族，所以继续配置ipv4单播选项，引入静态路由和直连路由。1.       <import-routes>可引入多个路由。2.       <import-route>引入一条路由。3.       <protocol>引入的路由协议类型。4.       <process-id>引入路由协议的id。bgp 100  ipv4-family vpn-instance 5G-RAN  import-route direct  import-route static<peers><peer><address>2.2.2.2</address><remote-as>100</remote-as></peer></peers><peer>配置bgp对等体。<address>配置对等体连接地址，<remote-as>配置对等体AS号。bgp 100  ipv4-family vpn-instance 5G-RAN    import-route direct    import-route static    peer 2.2.2.2 as-number 1003. 模块三（配置VPN实例5G-RAN的 RT和RD值）<network-instance xmlns="urn:huawei:yang:huawei-network-instance"> <instances> <instance xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge"> <name>5G-RAN</name> ……（模块二配置） <afs xmlns="urn:huawei:yang:huawei-l3vpn"> <af> <type>ipv4-unicast</type> <route-distinguisher>100:1</route-distinguisher> <tunnel-policy>LDP</tunnel-policy> <vpn-targets> <vpn-target> <value>100:11</value> <type>export-extcommunity</type> </vpn-target> <vpn-target> <value>100:11</value> <type>import-extcommunity</type> </vpn-target> </vpn-targets> </af> </afs> </instance> </instances> </network-instance>Netconf报文报文解析对应命令行<afs xmlns="…: huawei-l3vpn">  <af>    <type>ipv4-unicast</type>    ……  </af></afs>这几层报文是对地址族相关配置：1.       <af>（address family）表示开始配置VPN实例的地址族。2.       <type>表示配置VPN实例的地址族类型。由于这几层报文在instance的下一层，所以这一段配置的是5G-RAN的地址族。ip vpn-instance 5G-RAN  ipv4-family<route-distinguisher>100:1</route-distinguisher><tunnel-policy>LDP</tunnel-policy><vpn-targets>  <vpn-target><value>100:11</value><type>export-extcommunity</type>  </vpn-target>  <vpn-target><value>100:11</value><type>import-extcommunity</type>  </vpn-target></vpn-targets><af>的内层报文，开始配置RD和RT（vpn-target）值。ip vpn-instance 5G-RAN  ipv4-family    route-distinguisher 100:1    vpn-target 100:11 export-extcommunity    vpn-target 100:11 import-extcommunity 4. 模块四（创建子接口，配置接口地址并绑定VPN实例）<ifm xmlns="urn:huawei:yang:huawei-ifm"> <interfaces> <interface> <name>GigabitEthernet0/5/0.1</name> <ipv4 xmlns="urn:huawei:yang:huawei-ip"> <addresses> <address xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge"> <ip>20.1.2.9</ip> <mask>255.255.255.0</mask> <type>main</type> </address> </addresses> </ipv4> </interface> </interfaces> </ifm> <ifm xmlns="urn:huawei:yang:huawei-ifm"> <interfaces> <interface xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge"> <name>GigabitEthernet0/5/0.1</name> <type>GigabitEthernet</type> <description>connect to pe2</description> <vrf-name>5G-RAN</vrf-name> </interface> </interfaces> </ifm>Netconf报文报文解析对应命令行<ifm xmlns="urn:huawei:yang:huawei-ifm">  <interfaces>　　<interface>　　　<name>GigabitEthernet0/5/0.1</name>　　　……　　</interface>  </interfaces></ifm>这几层报文是对子接口的相关配置：1.       <ifm>表示接口配置。2.       <interface>表示进入接口视图。3.       <name>表示接口的名称。总的来看本段报文表示开始进入某个接口下的配置。interface GigabitEthernet 0/5/0.1<ipv4 xmlns="urn:huawei:yang:huawei-ip"><addresses><address xmlns:… >      <ip>20.1.2.9</ip><mask>255.255.255.0</mask>      <type>main</type>    </address>  </addresses></ipv4>这几层报文是配置接口下的ip地址：1.       由<ipv4>可以看出，下面的配置都是关于ipv4的。2.       <address>联合上一层的<ipv4>表明是对ip地址的配置。3.       具体到配置<ip>ip地址；<mask>掩码地址。interface GigabitEthernet 0/5/0.1  ip address 20.1.2.9 255.255.255.0<ifm xmlns="urn:huawei:yang:huawei-ifm">  <interfaces>    <interface xmlns:......><name>GigabitEthernet0/5/0.1</name>      <type>GigabitEthernet</type>      <description>connect to pe2</description>      <vrf-name>5G-RAN</vrf-name>    </interface>  </interfaces></ifm>由<ifm>可看出这一部分是对接口的配置：1.       <interface>和<name>表示开始配置GigabitEthernet0/5/0.1的接口。2.       <vrf-name>表示在此接口下绑定vpn。interface GigabitEthernet 0/5/0.1  ip address 20.1.2.9 255.255.255.0  ip binding vpn-instance 5G-RAN那最后让我们来总结一下怎么分析Netconf转CLI命令行的吧首先要明确，不论是Netconf报文还是CLI命令行，最终目的都是实现业务的配置。Netconf报文内容是基于下发业务的基础之上的；Netconf报文的结构也与命令行相似。所以我们要聚焦在两种下发配置的形式与业务之间的联系，理解每一句命令行或每一层报文与业务之间的相关性之后，就不难将两者之间进行转化。（命令行查询请查看相应设备的产品手册。）1. 从结构上分析比如下面这个表格的情况：配置业务CLI命令结构Netconf报文结构配置某接口下的IP地址interface XXX  ip address XXX<ifm>  <interfaces>　　<interface>           <name>XXX</name>           <ipv4>               <addresses>                   <address>                        <ip>XXX</ip>                        <mask>XXX</mask>                   </address>               </addresses>           </ipv4>       </interface>   </interfaces></ifm> 配置接口下的IP地址，大概的业务层次就是：先进入某接口视图，然后配置ip地址、掩码等。不难发现，CLI命令结构的层次和Netconf报文的xml层次也都是按照业务逻辑层次来配置实现的。 2. 从内容上分析Netconf报文的每一层都是按照“<参数名称>参数值or内层内容</参数名称>”这个形式去构建内容的。那么从内容上去理解具体怎么从Netconf报文转化到CLI命令行，实际上也就是从内容上理解，Netconf报文的某些层次具体在配置什么样的内容。下面提供两种方法思路。请注意，这两种方法不是非A即B，而是相辅相成的。 方法一：从<参数名称>的角度理解业务。（推荐先用方法一）我们通过上文中给出的L3VPN的例子，发现很多时候，netconf报文中<>内的参数名称其实与业务配置含义或者说命令行的指令名称是十分相近或者说基本一致的。下面给出几个例子： Netconf报文配置业务类型/具体配置<ifm>……</ifm>接口配置<instance>……</instance>实例配置<interface>……</interface>进入视图<ipv4>  <address>……</address><ipv4>配置ipv4地址 但例如“<af>……</af>”这种报文，从参数名称就很难看出在配置什么业务，这种情况，就需要用到方法二了。 方法二：针对无法从<参数名称>看出配置的业务是什么的情况，我们可以通过看“<参数名称>参数值or内层内容</参数名称>”中的“参数值”和整体结构来判断这几层报文在配置什么业务。看下面一个例子：Netconf报文配置业务类型/具体配置<afs> <af>   <type>ipv4uni</type>   …… </af></afs>通过<af></af>内层内容和参数值：<type>ipv4uni</type>，可以推测出是在配置ipv4地址族相关内容。 3. 看到Netconf报文之后，按照以上两种方式分析，基本上就可以梳理出下发的Netconf报文在配置什么业务，那么相应的命令行根据产品手册也就可以查出来了。  最后我们来看一下Netconf报文中一些前文未提到的部分。（对Netconf报文解释的补充）1. 关于urn:huawei:yang:XXX。例如：<ifm xmlns="urn:huawei:yang:huawei-ifm">表示本层报文其实是根据名为huawei-ifm.yang这个设备yang模型转化而来的。内层的所有配置报文都可以在此设备yang模型中追溯到。2. 关于operation=“XXX”。<instance xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">用来给配置数据指定操作类型。如果未携带“operation”属性，则默认为merge操作。Operation取值如下：merge：在数据库中修改存在或不存在的目标数据，如果目标数据不存在则创建，如果目标数据存在则修改。这是默认操作。create：当且仅当配置数据库中不存在待创建的配置数据时，才能成功添加到配置数据库。如果配置数据存在，则会返回，其中包含一个值“data-exists”。delete：删除配置数据库中指定的配置数据记录。如果数据存在，则删除该数据，如果数据不存在，则返回，其中包含一个值“data-missing”。

【AOC简介】NCE数通网络开放可编程平台，也叫做AOC。它的“开放可编程”能力由两部分组成：网络层，对应着业务包，SSP（Specific Service Plugin），目标是吸收业务意图网元层，对应着网元驱动包，SND（Specific NE Driver），目标是纳管对应的设备下面我们就来一起来全方位的了解体验一下SSP的能力【SSP简介】我们来看一下SSP包——开放可编程平台的业务定义能力，是怎么运作的吧。业务包SSP是NCE软件包的一种，它定义了完成一套网络级业务配置对应的数据模型。这个数据模型，由pkg.json签名文件、业务YANG模型文件、Python映射代码文件、和Jinja2模板文件组成。在iMaster NCE-Fabric纳管网络设备后，运维工程师可以自己编程，自定义网络业务，并生成北向接口。其中：YANG模型描述了业务的相关参数，按照业务输入，构建YANG模型。Python映射脚本描述了如何将用户提交的数据进行处理，并填充到Jinja2模板中。Jinja2模板描述了网元的数据结构，其中变量引用了业务 参数，或者Python函数处理的得出的新参数，并使用Jinja2语法完成了诸如插值、条件判断、循环等操作。【开发流程】【样例目录】我们可以通过如下10个例子，来感受一下SSP包定义业务的能力：AAAmini SSPSRTE业务还原 SSPL3VPN SSPEPVPN L3VPN SSPVPWS SSP接口查询RPC SSP跨POD L2L3互通（思科752）SSPBGP业务 SSPQOS业务 SSPVLAN业务还原 SSPAAA Mini SSP：自定义一个简单的aaa网络业务（配置用户名与密码）下发到 PE 设备，并在北向开放此网络业务。SRTE业务还原 SSP：自定义一个SRTE网络业务（下发到PE设备）。创建一个隧道接口，配置隧道参数与协议；将隧道接口与物理接口绑定，配置MTU；配置MPLS BFD配置；配置IGP配置；配置隧道路径；并在北向开放此网络业务。L3VPN SSP：自定义一个VPN网络业务（下发到PE设备）。创建VPN实例5G-RAN，配置RT和RD值；创建子接口，配置接口地址、vlan并绑定VPN实例；配置VPN路由引入，引入静态路由和直连路由，配置BGP对等体；使能使用YANG接口下发BGP配置；并在北向开放此网络业务。EVPN L3VPN SSP：自定义一个VPN网络业务（下发到PE设备）。配置VRF业务；创建接口与子接口，配置接口地址、vlan等并绑定VPN实例；配置BGP路由；配置静态路由；配置五级HQOS；隧道相关配置（预配置）；并在北向开放此网络业务。VPWS SSP：自定义一个VPN网络业务（下发到PE和CE设备）。接口相关配置，包括基础配置、profile-apply或qinq-termination；配置差分服务DiffServ模式，实现端到端的QoS保证；配置vpws-bgp实例；进行L2VPN业务配置，包括在PE上配置L2VPN实例、配置CE；并在北向开放此网络业务。查询接口RPC SSP：在PE上查询接口信息（接口名、mtu、描述信息）。最终呈现效果为用户只需要输入查询的设备名称，就可以获取对应设备下所有的接口信息。跨POD L2L3互通SSP：Traditional-DCN采用传统组网构建的7-5-2数据中心网络架构，没有SDN控制器参与实现网络自动化；Network Virtualization：采用Spine-Leaf架构加vxlan技术构建的数据中心网络，受SDN控制器控制实现网络自动化；在业务搬迁过渡期，新老网络长期共存。在此期间内，新老DC的业务存在互访关系，需新老网络的跨POD L3互通。具体的业务操作为：将对应互联链路分配到对应VDC (Virtual Device Contexts)；基于互联链路加入channel-group，将物理接口分配和配置到端口通道组；在接口视图下配置二层接口类型，在trunk接口上设置允许通过的vlan列表，将port-channel端口通道加入到vPC；将对接物理链路加入到某个空闲vlan；将当前对应的vlanif接口加入vrf配置IP地址，并阻止路由器向客户端发送重定向消息，接口视图下设置接口IP地址；在接口视图下创建一个VRRP组，以管理方式启动VRRP组端口，运行VRRP与新DC互通；为VRRP组配置虚拟IPv4地址，选择VRRP组中活动路由器的优先级，在VRRP下创建新的VRF并配置，配置VRF新网络互通子网的静态路由，下一跳指向新DC的分布式网关IP地址；并在北向开放此网络业务。 

• • 随着网络安全需求的日益提升，而传统的TCP/IP协议缺乏有效的安全认证和保密机制（不加密，明文），所以我们要保证数据的安全性，因此IPsec就是一种开放的安全框架，可以用来保证IP数据报文在网络上传输的机密性，完整性和防重放。   IPsec：Internet Protocol Security • 源于IPv6 • IETF制定的一套安全保密性能框架 • 建立在网络层的安全保障机制 • 引入多种加密算法，验证算法和密钥管理机制 • 也具有配置复杂，消耗运算资源较多且增加延迟，不支持组播等缺点 • IPsecVPN是利用IPsec隧道建立的VPN技术（IPsec也是有隧道技术的，没有隧道根本不能成为一种合格的VPN技术） •   IPsec核心功能： • • 术语 备注 机密性 对数据进行加密，确保在传输时不被泄露给非授权用户。 完整性 保障数据在传输时，不被非授权用户进行篡改。 真实性 验证数据源，以确保数据来自真实的发送者。（IP报文头部内的源地址）  在数通领域，并不牵扯到用证书来做验证，这里使用数据包的源地址就行。 防重放 防止恶意用户通过重复发送捕获到的数据包所进行攻击，即接收方会拒绝旧的或重复的数据包。 • IPsec在发送报文时会有哪些比较关键的步骤，以下图实例就是告诉我们是如何实现的 •    IPsec技术框架： •  • • DES和3DES加密算法存在安全隐患，建议优先使用AES,SM1或SM4算法。 • MD5和SHA1验证算法存在安全隐患，建议优先使用，SHA2或SM3算法。 • 还是要看两端设备支持那种算法，如果都支持，那么尽量使用更安全的算法。 • • 通过AH和ESP这两个安全协议来实现IP数据报文的安全传输。 • IKE协议提供密钥协商，建立和维护安全联盟SA等服务。 • IKE是一种协商的方法，或者标准，SA通俗的叫安全联盟，当协商完成就可以进行实际的封装和传递，这里使用的保护就是AH和ESP了。 这里推荐使用ESP，建议使用ESP，ESP有加密，AH没有加密但有其他特性。协商要保证安全有加密，传递数据要安全也有加密。 • • IKE协商：协商验证算法，加密算法。 • 密钥管理：算法要使用密钥，所以需要密钥管理技术，进行自动协商或者手动，然后分发。 • 数据包为什么要进行协商和加密验证，就是出于我们的安全策略。 • 策略包含了这些东西，最终这些都会关联到策略，然后再到接口进行调用，整套完成下来，会发现他是一个模块化的东西，如果要进行修改只需要修改对应的模块，至于实际的封装是AH和ESP。   IPsec安全协议： • • AH：报文头验证协议，提供完整性，真实性，防重放等特性，但是AH并不进行数据加密，协议号为51。 • ESP：封装安全载荷协议，提供完整性，真实性，防重放，且提供数据加密，但是校验不包括IP报头，协议号为50. • 安全特性 AH ESP 协议号 51 50 数据完整性校验 支持 支持 数据加密 不支持 支持 防报文重放攻击 支持 支持 NAT穿越 不支持 支持   IPsec封装模式：两种模式，四种数据报文格式。 • • 传输模式和隧道模式是对立的，隧道是加新报头，传输是不加。 • 传输模式：在原始IP报头后面加入IPsec报头（ESP或AH报头）。 • 隧道模式：在原始IP报头前面加入IPsec报头（ESP或AH报头），另外再生成一个新IP报头放到IPsec报头前面。 • 安全性：隧道模式隐藏原IP报头，安全性更高。 • 性能：隧道模式有一个新的IP报头，所以传输模式比隧道模式更占用带宽。 •  • 传输模式封装结构 • AH：整个IP层往后都会做验证。 • ESP：ESP头部和尾部做验证，加密除ESP字段外到ESP尾部数据。注：为什么不加密IP头部，加密了设备无法读取到数据。 •  • 隧道模式封装结构 •  • 两个设备直接做的数据协商和加密，没有新的IP报头，负责发送数据同时也负责加密和验证。 •  • 传输点不是加密点，也就是说出口设备进行协商和加密，实际传输数据是其他设备。 •    安全联盟：SA (Security Association) • 顾名思义，通信双方结成盟友，相互信任，即达成约定。 • SA由一个（SPI，IP目的地址，安全协议号（AH，ESP））三元组唯一标识。 • 决定了对报文进行何种处理：模式，协议，算法，密钥。生存周期等。 • 每个IPsec SA都是单向的。 • SA可以手工建立或者IKE协商生成。 • SPD（Security Policy Database）安全策略数据库 • SAD（Security Association Datebase）安全联盟数据库 • 术语 备注 Negotiate 协商，两个节点要开始安全发送数据之前，必须要做的事情。（动态协商） SA Security Association 安全联盟，协商的结果，类似合约书。 SPI Security Parameter index 安全参数索引，SA内包含，用于区分多个SA。 IKE Internet Key Exchange 因特网密钥交换，SA协商的方法和标准。 • 两端设备先进行协商， 协商完毕后会有SA，SA包含了SPI，IKE和IPsec参数，协商的方法是使用IKE或者手动。 •  • • • 对比项 手工建立 IKE协商 密钥生成 手工配置 DH算法 密钥刷新 手工配置 动态刷新 生成周期 永久 可配置 适用环境 小型网络环境 中大型网络环境    IKE：Intelnet Key Exchange，因特网密钥交换 • 建立在ISAKMP（Intelnet安全联盟和密钥管理协议）定义的框架上。 • 基于UDP（端口号500）的应用层协议，可为数据加密提供所需的密钥。 • 使用DH算法，在不安全的网络上安全的分发密钥，验证身份。 • 定时更新SA和密钥，实现完善的前向安全性（PFS）。 • 允许IPsec提供防重放服务（加入随机数）。 • 简化IPsec的使用和管理，大大简化了IPsec的配置和维护工作。 • • IPsec会有两次SA协商，IKE SA协商主要是保证数据通道，通道里面传输加密数据使用IPsecSA来进行协商。 • IKE有分版本v1和v2，模式分主模式和野蛮模式。 • 首先会有IKE的协商，先有IKE协商出来的SA，然后再协商IPsecSA出来。这个过程有两个阶段。 • 阶段 备注 阶段 1 Phase 1 在网络上建立一个IKE SA ,为阶段2协商通过保护 分主模式（Main mode）和野蛮模式（Affressive mode） 阶段2 Phase 2 在阶段1 IKE SA 的保护下完成IPsec SA的协商 快速模式（Quick mode） • 两端之间建立一个IKE SA完成身份验证和密钥信息交换后，在IKE SA的保护下， 根据配置的AH/ESP安全协议等参数协商出一对IPsecSA。  • IKE协商模式 • 主模式：6个数据包，3个阶段（安全提议，生成密钥，验证身份（加密）） • 野蛮模式：3个数据包，1个阶段（三个阶段合并为一个，然后验证） •  •  •   • IPsecSA协商： • 快速模式：3个数据包（全部加密）发送IPsec安全提议，身份和数据验证，互相交换，然后验证。 •   • 总结 • IKE SA和IPsec SA是两种不同的SA。 • IKE SA：认证算法，加密算法，认证方法（预共享密钥/证书），生命周期 • IPsec SA：安全协议(ESP/AH)，模式（传输/隧道），加密算法，生命周期 •    IPSecVPN配置： • • IPsec流程图 • 配置好以下拓扑，从a发送到b的感兴趣流，会从出口hq和branch进行协商sa，协商有两个阶段，IKE SA和IPsec SA，交换安全策略信息后，建立SA，完成IPsec隧道。 •  • 命令 备注 Ipsec proposal x 创建IPsec安全提议 x=提议名称 Encapsulation tunnel/transport 配置封装模式 隧道/传输 Transform esp/ah/esp-ah 配置隧道协议 esp/ah/esp-ah Esp encryption-algorithm x 配置esp协议使用加密算法 x=算法 Esp/an authentication-algorithm x 配置esp/ah协议使用认证算法 x=算法 Dis ipsec proposal / name x 查看IPsec安全提议状态配置  IPsec安全提议 Ipsec policy x id manual 创建IPsec策略 x=策略名称 id=序列号 manual=手动   Security acl x 配置引用的acl Proposal x 配置引用的安全提议 Tunnel local x 配置隧道口源地址 Tunnel remote x 配置隧道口目的地址 Sa spi inbound/outbound esp/ah x 配置SA的spi 出入双方都需要对应 x=spi Sa string-key inbound/outbound esp/ah cipher x 配置SA的key 出入双方都需要对应 x=密钥 Dis ipsec policy /name x 查看ipsec策略状态配置  IPsec手动安全策略 Ike proposal x 创建ike安全提议 x=序列号 authentication-method pre-share/rsa-signature/digital-envelope 配置认证方式 psk/证书/数字信封 authentication-algorithm x 配置认证算法 x=算法 encryption-algorithm x 配置加密算法 x算法 Dh group x 配置dh组  x=组 Sa duration x 配置sa超时时间 Dis ike proposal  /number x 查看ike安全提议信息 x=序列号  IKE安全提议 Ike peer x v1/v2 创建ike对等体  版本v1/v2 Exchange-mode main/aggressive 配置对等体模式 模式/主模式/野蛮 Pre-shared-key cipher x 配置psk密钥 Ike proposal x 配置引用ike安全提议 local-address x 配置对等体 源地址 Remote-address x 配置对等体 目的地址  IKE对等体 IPSec policy x id isakmp  创建IPSec策略 isakmp=自动  Proposal x 配置引用IPSec安全提议 Ike-peer x 配置引用ike对等体 Security x 配置引用acl  ike协商安全策略 Dis ipsec statistics esp/an 查看接口流量统计 Dis ike/ipsec sa /brief/duration 查看sa安全联盟 b=简明信息 dur=生存时间  查看IPSec/ike sa • 手动设置sa没有时间限制。 • sa两端之间生存时间不一致，按照小的计算。 • 需要走IPsecVPN隧道的流量需要在NAT中做排除，没有排除等同流量往公网走，那么就出问题了。   IPsec协商配置流程图： • •

之前兑换的路由器收到了感谢，买来备用的，就没有拆开