本帖最后由 清茶一杯 于 2016-4-3 22:10 编辑
OSI
应用层:直接与用户和应用程序打交道,负责对软件提供接口
表示层:关注传输信息的语法和语义,还负责数据加密和压缩
会话层:建立会话关系,并保持会话过程和畅通,还提供差错恢复
传输层:数据分段,创建端到端的连接,差错校验和重传
网络层:编址、路由选择、拥塞控制、异种网络连接、数据分片和重组
数据链路层:帧同步,数据链路建立、维持和释放、传输资源控制、流量控制、差错控制、
寻址、标识上层数据
物理层:机械特性、电气特性、功能特性、规程特性、比特流的传输
PPP
会话过程:
(1)当物理层不可用时, PPP 链路处于Dead 阶段,链路必须从这个阶段开始和结束。
(2)当物理层可用时进入Establish 阶段。PPP 链路在Establish 阶段进行LCP 协商,协商的
内容包括是否采用链路捆绑、使用何种验证方式、最大传输单元等。协商成功后LCP 进入
Opened 状态,表示底层链路已经建立。
(3)如果配置了验证,则进入Authenticate 阶段,开始CHAP 或PAP 验证。
(4)如果验证失败则进入Terminate 阶段,拆除链路, LCP 状态转为Down;如果验证成功则
进入Network 阶段,由NCP 协商网络层协议参数,此时LCP 状态仍为Opened,而NCP 状
态从Initial 转到Request。
(5)NCP 协商支持IPCP 协商, IPCP 协商主要包括双方的IP 地址。通过NCP 协商来选择和
配置一个网络层协议。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条
PPP 链路发送报文。
(6)PPP 链路将一直保持通信,直至有明确的LCP 或NCP 帧来关闭这条链路,或发送了某
些外部事件(例如线路被切断)。
PAP 验证过程:
PAP 验证为两次握手验证,验证过程仅在链路初始建立阶段进行
(1)被验证方以明文发送用户名和密码到主验证方。
(2)主验证核实用户名和密码。如果此用户名合法且密码正确,则会给对端发送ACK 消息,
通告对端验证通过,允许进入下一阶段;
如果用户名或密码不正确,则发送NAK 消息,通告对端验证失败。
(3)PAP 验证失败后并不会直接将链路关闭。只有验证失败次数达到一定值时,链路才会被
关闭,这样可以防止因误传,线路干扰等造成不必要的LCP 重新协商过程。
CHAP 验证过程:
CHAP 验证为三次握手验证,CHAP 协议是在链路建立的开始就完成的。在链路建立完成后
的任何时间都可以重复发送进行再验证。
(1)Challenge:主验证方主动发送验证请求,主验证方向被验证方发送一个随机产生的数值,
并同时将本端的用户名一起发送给验证方。
(2)Response:被验证方接收到主验证方的验证请求后,检查本地密码。如果本地接口上配置
了默认的CHAP 密码,则被验证方选用此密码;
如果没有配置默认的CHAP 密码,则被验证方根据报文中主验证当的用户名在本端的用户
表中查找该用户对应的密码,并选用找到的密码。随后,
被验证方利用MD5 算法对报文ID、密码和随机数生成一个摘要,并将摘要和自己的用户名
发回主验证方。
(3)Acknowlede or Not Acknowlege:主验证方用MD5 算法对报文ID、本地保存的被验证方
密码和原随机数生成一个摘要;并与收到的摘要值进行比较。
如果相同,则向被验证方发送Acknowledge 消息声明验证通过;如果不同,则验证不通过,
向被验证方发送NotAcknowledge。
PAP 和CHAP 的区别:
(1)PAP 通过两次握手的方式来完成校验,而CHAP 通过三次握手验证远端节点,PAP 验证
由被验证方首先发起验证请求,而CHAP 验证由主验证方首先发起验证请求。
(2)PAP 密码以明文方式在链路上发送,并且当PPP 链路建立后,被验证方会不停的在链路
上反复发送用户名和密码,直到身份验证过程结束,所有不能防止攻击。
CHAP 在网络上传输用户名,而并不传输用户密码,因此它的安全性要比PAP 高。
VLAN 的划分方式:
1.基于端口
2.基于MAC 地址
3.基于协议
4.基于IP 子网
缺省情况下,VLAN 将按照MAC VLAN > IP 子网> 协议VLAN > 端口VLAN 顺序匹配
-----------------------------------------------------------
GVRP (GARP VLAN 注册协议)
GARP 简介:
GARP 提供了一种机制,用于协助同一个局域网内的交换成员之间分发、传播和注册某种信
息(如VLAN、组播地址等)。
GARP 本身不作为一个实体存在于设备中,遵循GARP 协议的应用实体称为GARP 应用,
GVRP 就是GARP 的一种应用。当GARP 应用实体存在于设备的某个端口上时,该端口对
应于一个GARP 应用实体。
目的MAC 地址为0180-C200-0021
GARP 消息和定时器:
GARP 成员之间的信息交换借助于消息的传递来完成,主要有三类消息起作用,分别为Join
消息、Leave 消息和LeaveAll 消息。
(1)当一个GARP 应用实体希望其它设备注册自己的属性信息时,它将对外发送Join 消息;
当收到其它实体的Join 消息或本设备静态配置了某些属性,需要其它GARP 应用实体进行
注册时,它也会向外发送Join 消息。
(2)当一个GARP 应用实体希望其它设备注销自己的属性信息时,它将对外发送Leave 消息;
当收到其它实体的Leave 消息注销某些属性或静态注销了某些属性后,它也会向外发送
Leave 消息。
(3)每个GARP 应用实体启动后,将同时启动LeaveAll 定时器,当该定时器超时后GARP
应用实体将对外发送LeaveAll 消息,LeaveAll 消息用来注销所有的属性,以使其它GARP
应用实体重新注册本实体上所有的属性信息。
Join 消息、Leave 消息与LeaveAll 消息配合确保信息的重新注册或注销。
通过消息交互,所有待注册的属性信息可以传播到同一局域网配置了GARP 的所有设备上。
5 类消息:
Empty
JoinIn
JoinEmpty
Leave
LeaveAll
4 种定时器:
Hold 当GARP 应用实体接收到其它设备发送的注册信息时,不会立即将该注册信息
作为一条Join 消息对外发送,而是启动Hold 定时器,当该定时器超时后,GARP 应用实体
将此时段内收到的所有注册信息放在同一个Join 消息中向外发送,从而节省带宽资源。
Join GARP 应用实体可以通过将每个Join 消息向外发送两次来保证消息的可靠传输,
在第一次发送的Join 消息没有得到回复的时候,GARP 应用实体会第二次发送Join 消息。
两次Join 消息发送之间的时间间隔用Join 定时器来控制
Leave 当一个GARP 应用实体希望注销某属性信息时,将对外发送Leave 消息,接收
到该消息的GARP 应用实体启动Leave 定时器,如果在该定时器超时之前没有收到Join 消
息,则注销该属性信息
LeaveAll 每个GARP 应用实体启动后,将同时启动LeaveAll 定时器,当该定时器超时后,
GARP 应用实体将对外发送LeaveAll 消息,以使其它GARP 应用实体重新注册本实体上所
有的属性信息。随后再启动LeaveAll 定时器,开始新的一轮循环。
取值:
Hold 小于等于1/2 Join (100ms)
Join 小于1/2 Leave 大于等于2 倍Hold (200ms)
Leave 小于LeaveAll 大于2 倍Join (600ms)
LeaveAll 上限327650ms 下限大于Leave
3 种注册模式:
Normal 允许该端口动态注册、注销VLAN,传播动态VLAN 以及静态VLAN 信息。
Fixed 禁止该端口动态注册、注销VLAN,只传播静态VLAN 信息,不传播动态VLAN
信息。也就是说被设置为Fixed 模式的Trunk 口,即使允许所有VLAN 通过,实际通过的
VLAN 也只能是手动配置的那部分。
Forbidden 禁止该端口动态注册、注销VLAN,不传播除VLAN1 以外的任何的VLAN 信
息。也就是说被配置为Forbidden 模式的Trunk 端口,即使允许所有VLAN 通过,实际通过
的VLAN 也只能是VLAN 1。
GVRP 配置命令:首先全局GVRP,才能开启端口GVRP
-----------------------------------------------------------
Isolate-user-vlan(用户隔离VLAN 二层) 降低VLAN 数量,三层网关共享
Isolate-user-vlan 用于上行连接(本地代理ARP 实现三层互通)
Secondary vlan 之间二层帧互相隔离
建立Isolate-user-vlan 和Secondary vlan 映射后,禁止向Secondary 添加删除端口已经删除
VLAN
Super VLAN (VLAN 聚合三层)
Supervlan 只建立三层VLAN 端口,不包含物理端口(subvlan 集合,提供三层转发)
Subvlan 只包含物理端口,不建立三层VLAN 接口与Supervlan 建立映射
ISOlate-user-vlan 网关位于远端设备
Supervlan 网关位于本设备
Proxy ARP (代理ARP) (接口视图开启)
普通代理:互通设备分别连接到设备不同三层接口且不在同一MA
本地代理:互通设备分别连接到设备同一三层接口且不在同一MA
-----------------------------------------------------------
QinQ 的产生背景
IEEE802.1Q 中定义的VLAN Tag 域中只有12 个比特位用于表示VLAN ID,所以设备最多
可以支持4094 个VLAN。在实际应用中,尤其是在城域网中,需要大量的VLAN 来隔离用
户,4094 个VLAN 远远不能满足需求。
QinQ 特性使网络最多可以提供4094X4094 个VLAN,满足城域网对VLAN 数量的需求,它
主要解决了如下几个问题:
(1)缓解日益紧缺的公网VLAN ID 资源问题。
(2)用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID 冲突。
(3)为小型城域网或企业网提供一种较为简单的二层VPN 解决方案。
QinQ 报文在公网传输时带有双层VLAN Tag,内层VLAN Tag 为用户私网VLAN Tag,外层
VLAN Tag 为运营商分配给用户的VLAN Tag(接口视图qinq enable)
如果收到带有VLAN 标签,再封装一次
如果收到未携带VLAN 标签,封装默认标签
-----------------------------------------------------------
STP(802.1D):消除链路层环路基本思想是将网络拓扑修建为树形
STP 原理
通过阻塞冗余链路来消除数据链路层的环路,在活动链路故障时,激活冗余链路来恢复网络
连通性,保证网络正常通信,
选举大致过程
在网络中选举一个树根节点,其他为非树根节点。
每个非树根节点选择最优路径与根节点相连,非树根节点位于最优路径的端口为根端口。
为每个物理段选举一个指定端口
阻塞非指定端口
根桥在Hell Time (2s)周期发送配置BPDU 01-80-C2-00-00-0021
老化时间为MAX Age(20s)
Forward Delay: 15s
配置BPDU 仅从根桥指定端口周期发出,TCN BPDU 仅从除根桥以外的根端口发出
BrigeID:16 位优先级+48 位MAC 地址桥ID 比小
PortID:桥优先级+端口号
桥优先级<0-61440>步长4096 默认32768
端口优先级<>默认128
优先级向量:桥ID/根路径代价/指定桥ID/指定端口ID/接收端口ID(只存在本地)
配置BPDU/TCNBPDU
STP 计算先确定根桥和确定端口角色:
1.初始交换机会发送以自己为根桥的配置BPDU
2.离根桥最近的端口为根端口,在物理网段上发送的BPDU 优于收到的BPDU,为指定端口
配置BPDU 比较:(可抢占)
1、最小根桥ID
2、最短根路径代价
3、最小指定桥ID
4、最小指定端口ID
STP 端口状态:
Disable
Blocking
Listening (发送配置BPDU,不学习MAC) (中间状态)
Learning (中间状态)
Forwarding
STP 拓扑改变处理流程:
(1)网桥感知到拓扑变化,(除网桥)都可以产生TCN BPDU 从跟端口发送
(2)若收到TCN BPDU 网桥不是根桥,则会发送TCA 位置的BPDU 作为确认
(3)上游网桥从根端口继续发送TCN BPDU 发送到网桥
(4)根桥收到TCN BPDU 后,会将下一个要发送的配置BPDU 中的TCA 位置位,并将该
配置BPDU 中的TC 位置位
STP 使用TCN BPDU 从中断到恢复之间的等待时间最长为MAX Age +2xForward Delay
如果非根桥从根端口收到低优先级的BPDU,不会将立即更新BPDU,而是等待自身BPDU
老化
如果非根桥从根端口收到高优先级的BPDU,立即更新自身BPDU
如果非根桥从指定端口收到低优先级的BPDU,会立即一个配置BPDU,这样可以保证新加
入的桥立即确认根桥和端口角色
如果非根桥从指定端口收到高优先级的BPDU,会立即将指定端口改为根端口,拓扑重新收
敛
TCN BPDU 产生有两个条件:
(1)网桥有端口转变为Forwarding,且包含一个指定端口
(2)网桥有端口从Forwarding 或Learning 转变为Blocking
STP 协议不足:STP 为了避免临时环路产生,每个端口在确认为根端口或指定端口后扔需要
等待30s 才能进入转发
-----------------------------------------------------------
RSTP(802.1W)
RSTP 具备STP 的所有功能,但其仅使用了一种类型的BPDU
RSTP 与STP 的改进之处:
(1)增加了端口状态,
(2)减少了端口角色
(3)RSTP BPDU 格式与发送方式有所改变
(4)增加了边缘端口,根端口,指定端口(P/A 机制)等快速收敛机制
当阻塞端口收到的更优的配置BPDU 来自于其他网桥,该端口为Alternate
当阻塞端口收到的根由的配置BPDU 来自于本网桥是,该端口为Backup
RSTP 对BPDU 的发送方式做了改进,RSTP 中网桥可以自行从指定端口发送RST BPDU,
周期为Hello-time
RSTP 保活机制:在3 个连续的Hello time 时间内网桥没有收到对端指定桥发送的RSTP
BPDU,则网桥端口保存的RST BPDU 老化,认为与对端网桥连接中断
在STP 中只有在指定端口收到低优先级的配置BPDU 时,才会立即回应,处于阻塞状态的
端口不会对低优先级的配置BPDU 做出响应
在RSTP 中,如果阻塞状态的端口收到低优先级的RST BPDU,也可以立即对其做出回应
边缘端口:边缘端口一旦收到BPDU,则立即丢失边缘端口的特征,变成一个普通的
spanning-tree 接口
根端口快速切换:
当旧的根端口进入阻塞状态是,网桥会选择优先级
P/A 机制:(在点到点链路握手机制):指定端口可以通过与对端网桥进行一次握手,一颗快
速进入转发状态,期间不需要任何定时器
收到Proposal 置位的RST BPDU 后,网桥会判断接收端口是否为根端口,如果是,网桥会
启动同步过程,阻塞除边缘端口和根端口外的指定端口,根端口将进入转发状态并回复
Agreement 置位的RST BPDU(复制Proposal RST BPDU)
如果指定端口发送的Proposal BPDU 后没有收到Agreement BPDU,则该端口将切换到STP
方式,需要等待30s 才能进入转发状态
RSTP 拓扑改变触发条件:非边缘端口转变为Forwrding
发现拓扑变化的网桥:1.为所有非边缘端口的其他端口启动一个计时器TC while timer
(2xhello)
2.清空这些端口上的MAC 地址
3.在TC while timer 有效期内,这些端口向外发送TC 置1 的BPDU
其它网桥收到TC RST BPDU:1:清空除收到TC 端口以外所有端口MAC
2:在所有端口和根端口上启动TC while Timer 并发送TC
RSTP 和STP 兼容:当RSTP 网桥的端口连续3 次接收配置BPDU 时,网桥认为该端口和
STP 网桥相连,仅将该端口将切换到STP 协议运行。当运行STP 的网桥移除后,有RSTP
模式切换到STP 模式的端口仍将运行在STP 模式。
选用合适的Hello Time、Forward Delay 与Max Age 可加快生成树收敛速度
[H3C]stp bridge-diameter <2-7> (网络直径)
[H3C-Ethernet0/1] stp edged-port {enable|disable} (边缘端口)
[H3C-Ethernet0/1] stp mcheck (自动迁移到RSTP/MSTP)
配置Hello Time 时间应注意:
1.配置较长的Hello Time 时间可以降低生成树计算消耗。但是过长的Hello Time 时间会导致
对链路故障的反应延迟。
2.配置较短的Hello Time 可以增强生成树的壮健性,但是果断的Hello Time 时间会导致频繁
的发送配置消息。增加CPU 的负担。
配置BPDU 的生存期。
1.配置过长的Max Age 会导致链路不能被及时的发现。
2.配置较短的Max Age 会在网络拥塞的情况下是交换机错误的以为链路故障,造成频繁的生
成树计算。
配置Forward Delay
配置过长的Forward delay 会导致生成树的收敛慢。
配置较短的Forward delay 会在拓扑改变时,引起临时环路问题。
-----------------------------------------------------------
MSTP (802.1s)
MSTP 的特点如下:
MSTP 设置VLAN 映射表(即VLAN 和生成树的对应关系表),把VLAN 和生成树联系起
来。通过增加“实例”(将多个VLAN 整合到一个集合中)这个概念,将多个VLAN 捆绑到
一个实例中,以节省通信开销和资源占用率。
MSTP 把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
MSTP 兼容STP 和RSTP。
MST 域(Multiple Spanning Tree Regions,多生成树域)
都启动了MSTP;
具有相同的域名;
具有相同的VLAN 到生成树实例映射配置;
具有相同的MSTP 修订级别配置;
这些设备之间在物理上有链路连通。
IST(Internal Spanning Tree,内部生成树)是MST 域内的一棵生成树。
CST(Common Spanning Tree,公共生成树)是连接交换网络内所有MST 域的单生成树。
CIST(Common and Internal Spanning Tree,公共和内部生成树) ,由IST 和CST 共同构成。
MST 域内IST 和MSTI 的根桥就是域根。MST 域内各棵生成树的拓扑不同,域根也可能不
同。
总根(Common Root Bridge)是指CIST 的根桥。
域边界端口是指位于MST 域的边缘,用于连接不同MST 域、MST 域和运行STP 的区域、
MST 域和运行RSTP 的区域的端口。
Master 端口:连接MST 域到总根的端口,位于整个域到总根的最短路径上。从CST 上看,
Master 端口就是域的“根端口”
Alternate 端口:根端口和Master 端口的备份端口。当根端口或Master 端口被阻塞后,Alternate
端口将成为新的根端口或Master 端口。
Backup 端口:指定端口的备份端口。当指定端口被阻塞后,Backup 端口就会快速转换为新
的指定端口,并无时延的转发数据。
MSTP 的基本原理:
MSTP 将整个二层网络划分为多个MST 域,各个域之间通过计算生成CST;域内则通过计
算生成多棵生成树,每棵生成树都被称为是一个多生成树实例。其中实例0 被称为IST,其
它的多生成树实例为MSTI。MSTP 同STP 一样,使用配置消息进行生成树的计算,只是配
置消息中携带的是设备上MSTP 的配置信息。
(1)CIST 生成树的计算:
通过比较配置消息后,在整个网络中选择一个优先级最高的设备作为CIST 的根桥。在每个
MST 域内MSTP 通过计算生成IST;同时MSTP 将每个MST 域作为单台设备对待,通过计
算在域间生成CST。CST 和IST 构成了整个网络的CIST。
(2)MSTI 的计算:
在MST 域内,MSTP 根据VLAN 和生成树实例的映射关系,针对不同的VLAN 生成不同的
生成树实例。每棵生成树独立进行计算,计算过程与STP 计算生成树的过程类似,请参见
“STP 的基本原理”。
MSTP 中,一个VLAN 报文将沿着如下路径进行转发:
在MST 域内,沿着其对应的MSTI 转发;
在MST 域间,沿着CST 转发。
衡量路由协议性能指标:
1.协议计算的正确性
2.协议收敛速度
3.协议所占系统开销
4.协议自身的安全性
5.协议适用的网络规模
可路由协议是指可以被路由器在不同逻辑网段间路由的协议。如IP IPX 协议。
路由协议是指维护计算路由信息的协议。
无类、有类路由查找,指的是路由器在进行路由表查找的方式
无类的路由查找方式:是当路由器收到一个数据包的时候,不会关心数据包目的地址的类别,
会将这个数据包的目的地址和路由表中的每个条项目进行逐位匹配,最长的一条被用来数据
转发
有类路由的查找方式:是当路由器收到一个数据包的时候,会查看数据包目的地址所属的
主类网络号在本路由的路由表是否存在,若有主类网络,再查看有没有属于这个主类网络的
子网网络
如果存在子网网络,进一步再查看这个数据包目的IP 地址是否存在于这个子网网络范围内,
若存在于这个范围,则转发,否则丢弃。(即使存在缺省路由)
OSPF
1.OSPF 协议优点/特点
引入Router-id,区域内的每台路由器行为能很好的被跟踪、
使用组播发送协议报文,节省资源。
路由收敛速度较快
以开销(Cost)作为度量值
采用的SPF 算法可以有效的避免环路
OSPF 采用分层设计可适用于大中小规模网络
OSPF 定义多种手段确保信息的可靠准确。
2.OSPF 三张表
邻居表
LSDB
路由表
3.划分区域优势
减少区域内LSA 数量
便于管理
减少路由震荡的影响
4.OSPF 路由类型
区域内路由器(Internal Router)
区域边界路由器(ABR,Area Border Router)
骨干路由器(Backbone Router)
自治系统边界路由器(ASBR, Autonomous System Border Router )
5.Router-id 如何选
一台路由器如果要运行OSPF 协议,则必须存在Router ID(RID)。RID 是一个32 比特无符
号整数,可以在一个自治系统中唯一的标识一台路由器。
RID 可以手工配置,也可以自动生成。
如果没有通过命令指定RID,将按照如下顺序自动生成一个RID:
如果当前设备配置了Loopback 接口,将选取所有Loopback 接口上数值最大的IP 地址作为
RID;
如果当前设备没有配置Loopback 接口,将选取它所有已经配置IP 地址且链路有效的接口上
数值最大的IP 地址作为RID。
6.OSPF 网络类型
Broadcast
NBMA
P2MP
P2P
7.OSPF 协议包
Hello
DD
LSR
LSU
LSACK
8.DR/BDR 选举
首先比较Hello 报文中携带的优先级
优先级最高的被选举为DR,优先级次高的被选举为BDR
优先级为0 的不参与选举
优先级一致的情况下,比较Router ID
Router ID 越大越优先
保持稳定原则
当DR/BDR 已经选举完毕,就算一台具有更高优先级的路由器变为有效,也不会替换该网
段中已经选举的DR/BDR 成为新的DR/BDR。
9.各类LSA 产生,传播范围,描述链路状态
Type1 LSA(Router LSA)每个路由器都会产生,仅在区域内传播,描述区域内内部与路由
器直连的信息。
Type2 LSA(Network LSA)由DR 生成只在区域内传播
Type3 LSA(Summary LSA)由ABR 生成,将所连接区域内部的type1 type2 LSA 收集起来以
子网的形式传播到相邻区域
Type4 LSA(ASBR Summary LSA) 由ABR 生成,描述的目标网络是ASBR 的Router ID,生
成的前提是ABR 收到了5 类LSA 的触发。
Type5 LSA(AS External LSA)由ASBR 产生,描述到AS 外部的路由信息。一旦生成将在OSPF
系统内传递,除配置了特殊区域以外。
携带的外部路由信息可以分为两种:
第一类外部路由
第二类外部路由
Type7 LSA NSSA 区域ASBR 产生,只在NSSA 区域内传播,描述到AS 外部的路由信息
10.OSPF 选路原则
(1)按照路由类型的优先级选择
区域内路由(Intra Area)
区域间路由(Inter Area)
第一类外部路由(Type1 External)
第二类外部路由(Type2 External)
(2)在类型相同的情况下,选择路由开销(Cost)较小的路由。
OSPF 协议引入外部路由时导致的问题及解决方法:
当OSPF 协议同时引入多条前缀相同,但是掩码不同的外部路由时,需要将掩码较长的LSA
主机位全部置1,以子网广播地址作为他的LS ID
11.OSPF 特殊区域及其各特点
(1)Stub 区域
Stub 区域是一些特定的区域,目的是为了减少区域中路由器的路由表规模以及路由信息
传递的数量
Stub 区域内不能存在ASBR
Stub 区域不允许注入type4、5 类LSA
Stub ABR 会产生一条0.0.0.0/0 type3 LSA
配置Stub 区域应注意:
骨干区域不能配置为Stub
Stub 区域不允许存在ASBR
虚连接不能穿越Stub 区域
Stub 区域存在多个ABR,可能会产生次优路由
(2)Totally Stub 区域
为了进一步减少Stub 区域中路由器的路由表规模以及路由信息传递的数量,可以将该区
域配置为Totally Stub(完全Stub)区域
Totally Stub 不仅不允许注入type4、5 类LSA,同时不允许注入type3 LSA
Stub 区域不允许注入type3、4、5 类LSA
Stub ABR 会产生一条0.0.0.0/0 type3 LSA
(3)NSSA 区域
不允许Type4、5 LSA 注入,但可以允许Type7 LSA 注入
来源于外部路由的Type7 LSA 有NSSA 的ASBR 产生,在NSSA 区域传播,由ABR 将
Type7 LSA 转换成Type5 LSA,同时生成一条Type7 0.0.0.0/0 LSA
虚链接不允许穿越NSSA
*nssa default-route-advertise
在ABR 上不论是否本地存在默认路由,(NSSA 必须与骨干区域)才会生成一条Type7
0.0.0.0/0
在ASBR 上上只有本地存在默认路由时,(并且下一跳正确),才会生成Type7 0.0.0.0/0
(4)nssa no-summary (Totally NSSA)
Totally NSSA 区域不允许注入type3、4、5 类LSA
NSSA ARB 只会通过Type3 向区域内发布0.0.0.0/0
OSPF 不能成功建立邻居的要素:
Hello、Dead、Area ID、Router ID、Authentication、Stub tag
OSPF 的防环特性:
(1)区域内SPF 算法保证无环
(2)区域间,必须和骨干区域互联。只有在引入系统外部路由或者使用虚链接的情况下会引
起环路
(3)LSA-3 区域间传递时带有逻辑水平分割特性
(4)在MPLSVPN 环境中,当从superbackbone 重分布进OSPF 的路由为LSA-3 的时候,会
将DN 置位。有这么一种防环方法,
当从一个VRF 接口收到了带有DOWN-BIT 位的LSA-3 的时候不能将其计算成路由。
(5)LSA-4 这个主要用于帮助其他区域的路由器,找到本区域路由器ASBR 的位置,如果找
不到ASBR。LSA-5 将不能放入路由表,
防止黑洞(用在FA=0 的时候);当FA=0 的时候,使用LSA-3 来帮助计算到FA 的距离,
也用于防止黑洞。
而且LSA-3 的路由在路由表中还必须以OSPF 的方式出现。
(6)LSA-5 通过domain-tag 来进行防环。
(7)路由聚合时本地自动产生一条指向null0 的路由防环
(8)Router ID 些许防环特性
BGP :
1.BGP 协议特点
BGP 是一种外部网关协议,与IGP 不同之处在于BGP 工作重点不在于发现和计算路由。而
是在AS 之间传递路由信息以及相应的控制优化路由信息。
BGP 是一种路径矢量协议,使用TCP 协议承载,端口号179 来保证BGP 协议消息的可靠性。
支持CIDR 和路由聚合,采用增量更新来降低路由器CPU 与内存的消耗。
BGP 拥有丰富的路由属性以及强大的路由过滤和路由策略,从而使BGP 可以灵活地对路由
进行选路和控制。
2.BGP 对等体有几种?连接特点,发布BGP 信息特点
BGP 对等体种类:IBGP 和EBGP
连接特点:IBGP 对等体不一定要物理直连,但是一定要TCP 可达。EBGP 通常使用物
理直连。
路由发布特点:BGP 路由器从EBGP 对等体获得路由后,会向所有BGP(IBGP,EBGP)对等
体通告。
为了防止环路,BGP 规定BGP 路由器从IBGP 路由器获得的路由不能再向
IBGP 对等体发布。
为了防止路由黑洞,BGP 从IBGP 路由器获得路由器是否发布给它的EBGP
对等体与是否同步相关。
3.什么是BGP 同步
BGP 同步是指IBGP 和IGP 之间的同步。
开启BGP 同步后:只有当IGP 路由表中有这条路由时,BGP 路由表才会将这条路由置为有
效并发布。
4.BGP 消息种类
Open:用于建立BGP 对等体之间的连接关系并进行参数协商。
keepalive:BGP 路由器会周期发出keepalive 消息,用来保持邻居邻居关系,另一个用途是
用来对Open 报文进行回应。
update:用于在对等体之间交换路由信息。发布可达或不可达路由信息。
Notification:作用于为通知错误。检测到对方发送过来的消息有错误或其他事件,都会发出
Notfication 消息通知邻居,关闭连接,回到idle 状态。
route-refresh:用来要求邻居发送指定地址族的路由信息。
5.BGP 属性分类
公认必遵:所有路由必须识别的属性,必须存在于Update 消息中。主要包括Origin
AS-PATH NEXT-HOP 如果缺少这些属性路由信息就会出错。
公认可选:所有路由器都可以识别,不要求必须存在于Update 消息中,主要包括Loacl-pref
Atomic-aggregate
可选传递:在AS 间具有传递性,BGP 路由器可以不支持此属性,但仍接收此属性路由,并
通告给其他对等体,包括Community Aggregate 属性。
可选非传递:如果BGP 不支持该属性,则忽略属性,不传递给其他对等体,主要包括MED,
CLuster-list Originator-ID
6.BGP 内部防环,外部防环
BGP 内部防环机制:
水平分割:从IBGP 学到的路由不会向IBGP 邻居宣告。
ORIGINATOR ID 属性用于反射器集群内防环
CLUSTER LIST 属性用于反射器集群间防环
联盟中使用扩展AS-PATH 来防止环路。
BGP 外部防环机制:
自治系统之间使用AS-PATH 属性来防止环路
BGP 选路顺序:
1.丢弃下一跳不可达路由。
2.优选首选值最大的路由
3.优选本地优先级最高的路由
4.优选聚合路由/优选本地始发路由
5.优选AS-PATH 最短的路由
6.优选Origin 属性IGP EGP Incomplete 路由
7.优选MED 值较小的路由。
8.EBGP 优于联盟EBGP,联盟EBGP 优于IBGP
9.优选度量值最低的路由
10.优选Cluster list 最短的路由
11.优选Originator id 小的路由
12.优选Router-id 最小对对等体发布的路由。
13.优选地址最小的对等体发布的路由。
BGP 发布路由策略:
1.存在多条路由时,BGP 将最优的发布给对等体
2.BGP 发言者只将自己使用的路由发布给对等体
3.BGP 发言者从EBGP 得到的路由发布给EBGP IBGP 对等体
4.BGP 发言者从IBGP 得到的路由不发布给IBGP
5.BGP 发言者从IBGP 得到的路由发布给EBGP,在关闭同步的同时,IBGP 路由直接被发
布。在开启同步的情况下,该IBGP 路由只有在IGP 路由表中存在才向EBGP 对等体发布,
6.BGP 连接建立后,会向BGP 对等体发送全部BGP 路由。
7.AS-path,NEXT-Hop,Origin,Local-Pref,MED,Preferred-Value
As-path:主要目的是用来防止AS 外部防止环路。用来记录路由经过了哪些AS 路径。选路
优选AS-PATH 短的路由。
Next-hop:用来指示BGP 发言者去往目的下一跳。
(1)BGP 路由器将自己的路由发送给邻居时,下一跳设置为与对端连接的接口IP 地址。
(2)BGP 路由器从EBGP 邻居得到的路由发给IBGP 时,不改变下一跳。下一跳为从EBGP
得到的路由NEXP-HoP 直接传送给IBGP。
(3)BGP 路由器将收到的路由发送给BGP 对等体时,下一跳为本地与对端连接的接口地
址。
(4)在MA 网络,通告路由器和源路由器处在同一个网段。则BGP 会向邻居通告路由的
实际来源。
Origin:指示该条路由是通过何种方式注入BGP 中的。
IGP>EGP>Incomplete
(1)通过Network 命令方式注入BGP 中的路由Origin 属性为IGP
(2)通过EGP 注入BGP 中的路由Origin 属性为EGP
(3)通过引入的方式将路由引入BGP 中,origin 属性为Incomplete
Local-pref:用于在AS 内有多个出口的情况下,判断流量离开时的最佳路径。
通过不同的IBGP 对等体得到的目的地址相同下一跳不同的多条路由时,优选Local-pref 值
高的路由。
Local-pref 属性值影响离开AS 的流量
MED:
BGP 路由器通过不同的EBGP 邻居得到目的地址相同下一跳不同时,在其他条件相同的条
件下,将优选MED 值较小的最为最佳路由。
MED 属性仅在相邻两个AS 之间传递,不会传送给第三方AS。默认情况下BGP 只比较来
自同一个AS 路由的MED 值,不比较来自不同AS MED 值。如果需要比较则要进行特别
配置。
preferred-Value:
为从不同对等体接受到的路由分配不同的preferred-Value 值。拥有最高Preferred-Value 作为
到达目的网络路由。
8.大规模网络问题
大规模BGP 面临的问题: 解决方法:
1.BGP 对等体数目多。可以配置对等体组和团体。BGP 对等体组是
一种简化大量对等体配置的方法,团体可以简化路由策略配置工作。
2.BGP 路由表庞大配置路由聚合,子网路由信息被屏蔽,减少路
由更新流量,在一定程度上避免了路由震荡问题,增加路由稳定性。
3.IBGP 全连接配置BGP 反射器和联邦。反射器通过在内部
建立一个反射器解决IBGP 路由传递问题。联邦是将一个大的自治系统分成若干个小自治系
统来解决AS 内部IBGP 路由传递,
4.路由频繁发生变动。可以配置路由聚合,开启route flag damping
9.BGP 公认团体属性
Internet: 默认情况,所有路由都属于Internet 团体,具有此属性的路由可以被通告给所有的
BGP 对等体
No-Export:具有此属性的路由被接受后,不能被发布到本地AS 之外,如果使用了联盟则
不能被发不到联盟之外。可以通告到联盟及联盟子AS 内。
No-advertise:具有此属性的路由被接受后,不能通告给任何其他的BGP 对等体
No-Export-subconfed:带有此属性的路由不能被发布到本地AS 之外,也不能发布到联盟的
其他子AS
10.BGP 聚合方式各特点
自动聚合和手工聚合
自动聚合:按类聚合,只能对引入的IGP 子网路由进行聚合。不能对从BGP 邻居学习来的
路由和通过network 发布的路由不能进行自动聚合。
11.解决IBGP 全互联技术有哪些?路由反射规则
BGP 反射器和BGP 联盟
反射规则:
从EBGP 收到的路由,反射给所有客户端与非客户端
从客户端收到的路由,发送给所有EBGP 邻居,及客户端,非客户端
从非客户端收到的路由,发送给所有EBGP 邻居,以及客户端,不反射给非客户端。
12.多出口BGP 部署方式有哪些
(1)仅发布缺省路由
(2)发布部分明细路由和缺省路由
(3)发布全部明细路由
IPV6 技术:
ND 协议原理:
IPV6 的ND 协议实现了IPV4 中的一些协议功能,同时提供许多重要功能,ND 包括地址解
析,邻居不可达检测,重复地址检测,无状态地址配置,路由重定向。
1.地址解析:已知目的节点的网络层地址,确定链路层地址的方法,
2.邻居不可达检测:获取邻居链路层地址后,发送消息验证邻居节点是否可达
3.重复地址检测:根据前缀生成或者手工配置IPV6 地址后,主机在使用此地址之前需要验
证此地址是否已经被链路上其他节点所使用。
4.无状态地址配置:主机根据路由发现/前缀发现所获得的信息,自动配置IPV6 地址。
5.路由器重定向:主机只有一条到默认网关的默认路由,当本地链路存在一个到达目的网络
更好的路由器时。默认网关会向主机发送ICMPV6 重定向消息。
RS/RA 用于无状态地址自动配置。ICMPV6 类型
报文名称
NS/NA 用于地址解析。Type133
RS
Tpye134
RA
Type135
NS
Tpye136
NA
Type137
Redirct
IPV6 地址解析工作于网络层相对于IPV4 的ARP 优点、
1.加强了地址解析协议与底层链路的独立性。
2.增加了安全性
3.减少了报文传播范围
邻居不可达状态机:
1.Incomplete(未完成):节点第一次发送NS 报文到邻节点,状态为此。
2.Reachable(可达):邻节点返回应答,表示地址解析成功,将状态置为Reachable
3.Stale(失效):如果长时间不发报文,Reachable 定时器超时,邻居状态进入Stale
4.Delay(延迟):在Stale 发送过报文,且在规定时间内没有可达性消息确认。
5.Probe(探测):每隔一段时间重传邻居请求可达性确认,知道收到确认消息。
IPV6 路由协议:
根据作用范围分2 种:
1.在一个自治系统内部运行的内部网关协议,RIPNG OSPFV3 和IPV6+ISIS
2.运行在不同自治之间的外部网关协议,BGP4+
根据算法分:
1.距离矢量
RIPNG 和BGP4+ BGP 也称为路径矢量协议。
2.链路状态
OSPFV3 IPV6-IS-IS
RIPNG 协议:
1.UDP 端口号521 发送和接收路由信息
2.组播地址:FF02::9
3.前缀长度128 比特IPV6 地址
4.下一跳地址,128 比特的IPV6 地址
5.源地址:使用本地地址FE80::/10 作为源地址发送RIPNG 路由信息更新报文。
OSPV3 协议:
OSPFV3 协议号89 OSPFV3 除了虚连接外,一律使用链路本地地址,虚连接使用全球单
播地址或站点本地地址作为协议报文的源地址。
OSPV3 相对于OSPFV2 改进:
1.运行机制发生变化。
2.功能有所扩展。增加单链路运行多OSPF 实例能力。增加了对不识别的LSA 的处理能力。
协议具备更好的适用性。
3.报文格式变化,取消了验证字段,增加了实例ID 字段。
4.LSA 格式变化。新增两种LSA,对3 4 类LSA 名称进行了修改。
运行机制相同的地方:
1.使用相同的SPF 算法。
2.区域和实例ID 没有变化,OSPFV3 中router-id 仍然是32 位,与ospfv2 相同。
3.相同的邻居发现机制和邻接形成机制
4.相同的LSA 扩散机制和老化机制。
不同之处:
1.ospfv3 基于链路运行,ospfv2 基于网段运行。
2.ospfv3 在同一链路上可运行多个实例。
3.ospfv3 通过router-id 来标识邻接。ospfv2 通过IP 地址标识邻接关系
4.ospfv3 取消了报文中的验证,使用IPV6 中的扩展报头AH 和ESP 来保证报文的完整性和
机密性。
增加了LSA————link-LSA
组播:
1.组播的优缺点
优点:增强效率,控制网络流量,减少服务器和CPU 的负载。
优化性能,消除流量冗余
分布式应用,使多点传输成为可能
缺点:尽最大努力交付
无拥塞控制
数据包重复
数据包的无序交付
2.组播技术需求
1、如何加入/离开组?
2、组播数据如何转发?
3、如何维护组信息?
4、组播转发路径如何建立?
5、如何标识接收者?
这些技术需求实现的机制:组播地址、组播组管理协议、组播分发树模型、组播转发机制、
组播路由协议
3.组播分发树模型
组播分发树是组播数据的转发路径,根据树根位置的不同,组播分发树模型分为:最短路径
树模型(SPT)、共享树模型(RPT)
SPT 是从组播源到达每一个接收者路径都是最优的。
RPT 从组播源到达接收者路由不一定是最优的,因为所有组播流量都需要从RP 中转。
4.组播转发和单播不同点
单播转发关心报文到哪里去
组播转发关心报文从哪里来
组播采用的转发机制-----逆向路径转发
5.组播分类
按域分:域内组播路由协议DVMRP、MOSPF 和PIM
域间组播路由协议MSDP、MBGP
按分发树分:基于SPT 的:PIM-DM、DVMRP、MOSSPF
基于RPT 的:PIM-SM
按模型分:根据接收者对组播源处理方式的不同
ASM(任意信源模型)接收者不能指定组播源加入某组播组。任意组播源发送同一
个组播组数据都会接收。
SSM(指定信源模型)接收者可以指定组播源加入某组播组。
6.组播协议
路由器与路由器之间的协议:PIM
主机与路由器之间的协议:IGMP
组播域与组播域之间的协议:MSDP MBGP
7.组播组管理协议工作机制
1、组播加入和离开组播组
2、路由器维护组播组
3、查询器选举机制
4、成员报告抑制机制
8.IGMPv2 普遍组查询如何进行?特定组查询触发条件?如何进行?
普遍组IGMP 查询周期性的以组播方式向本地网段内的所有主机发送目的地址是224.0.0.1,
TTL 为1.
特定组查询的触发条件:当IGMP 查询器收到成员主机发送的leave-group 报文(目的地址
224.0.0.2)
9.IGMPv3 三种查询如何进行?后两种触发条件?
3 种查询:普遍组查询(General Query) IGMP 查询器周期发送
特定源组查询(Group-and-Source-Specific Query)当收到一个Block(S,G)表项
时,IGMPV3 查询器会发送特定源组查询。
特定组查询(Group-Specific Query)当收到一个TO_IN(S,G)表项时,IGMPV3
会发送特定组查询。
10.PIM 的两种模式?
密集模式和稀疏模式
11.PIM DM PIM SM 的工作模式,应用场景优缺点
工作模式:PIMDM 采用推的方式从组播源泛洪发送到网络中的每个角落。
PIMSM 采用拉的方式从组播源发送到接收者,组播报文只会发送到真正需要
接受组播报文的接收者。
应用场景:PIMDM 使用于接收者较多的场合,如网上教学
PIMSM 使用于接收者较少的场合。
优缺点: PIMDM 优点:实现简单适用于网络环境成员多的场合
缺点:泛洪机制浪费大量的网络带宽
PIMSM 优点:节省网络带宽。
PIMSM 缺点:实现较为复杂。
12.PIM 报文基于什么协议?
IP 协议协议号103 组播地址:224.0.0.13
13.断言机制如何确定唯一的组播转发设备?
1.首先比较到达组播源的单播路由优先级,优先级高的获胜。
2.如果单播路由优先级相同,则比较到达组播源的metric 值,metric 值较小者获胜。
3.如果以上都相同,则本地接口IP 地址大的获胜。
14.触发Prune 消息的条件是?
1.路由器维护的(S.G)表现出接口为空。表示路由器下游没有组播接受者。则路由器会上上游
RPF 邻居发送Prune 消息。
2.当路由器从非RPF 邻居收到组播报文时,会触发断言过程,断言失败的一方会向获胜的一
方发送Prune 消息。
DM 的IGMPv1 查询器选举。
IGMPv1 没有定义查询器选举机制,IGMPv1 中的查询器由上层路由协议选举的DR 来充当
IGMPv1 的查询器。DM 中DR 选举,先比较Hello 消息优先级,相同则比较IP 地址大的路
由器为DR。
15.PIM DM 状态刷新机制?
状态刷新机制为了避免重复扩散剪枝占用大量带宽。
组播源相连的路由器发出状态刷新消息,其他路由器收到State Refresh 消息后会重置剪枝
超时定时器,同时向所有连接的PIM 邻居接口发送。
状态刷新机制使用周期性的协议报文代替了周期性组播报文数据扩散,减少了网络消耗,优
化网络资源。
16.PIM-SM 根、DR 选举原则。
PIM-SM 根分为两段。1.是RP 与组播源,RP-Source 以Source 为根建立(S,G) 2.接
收者与RP 之间接收者以RP 为根建立(*,G)
DR 选举原则:首先比较Hello 包中的优先级,优先级大为DR,优先级相同比较IP 地址IP
地址大为DR。
PIM-SM DR 作用:源端DR:向RP 发送注册消息。接收端DR:向RP 发送JOIN 消息。
17.组播源注册过程:
组播源侧DR 收到组播报文将报文封装在注册消息中,单播发送给RP,RP 收到后判断本地
是否存在(*。G)表项,如果有则将注册消息中的组播报文取出,从(*,G)表项出接口
转发出去。
RP 会为组播源创建(S,G)表项,入接口为收到单播注册报文的接口,RP 向组播源发送
特定源和组加入消息。加入消息沿着RP 指向组播源的单播路由逐跳发送。沿途建立(S,G)
表项。
组播注册停止过程:
组播源发出的报文通过两种方式到达RP,一种由源侧DR 注册封装并单播发给RP,另外一
种是通过源侧DR 本地(S,G)表项组播发给RP。当单播、组播同时到达RP 时,RP 丢弃
单播报文,同时向
源侧DR 淡泊发送注册停止消息,此后,组播报文将沿SPT 发给RP,再由RP 发往RPT。
源侧DR 维护注册抑制定时器,在定时器时间范围内,DR 都以组播发送数据。快超时时,
源侧DR 发送若干空注
册消息,提醒RP 发送注册停止消息,否则DR 会重新单播发送注册封装报文。DR 收到空
注册消息,会立即发送注册停止消息,同时更新本地(S,G)表项,DR 收到注册停止消息
会更新注册抑制定
时器,并继续发送组播报文!
1.加解密简介
明文: 需要被隐蔽的消息
密文: 明文经变换形成的隐蔽形式
加密:把明文信息转化为密文的过程
解密:把密文信息还原成明文的过程
密钥:在明文转换为密文或将密文转换为明文的算法中输入的参数
加密算法分为两类:对称密钥加密算法和非对称密钥加密算法
2.加密算法分类
对称加密:DES(56bit)、3DES(3*56bit)、AES(数据分组长度为128 比特、密钥长度为
128/192/256 比特。)
非对称加密(密钥长度可变):RSA(加密、数字签名、密钥交换)、DSA(数字签名)、DH
(密钥交换)
对称优点:对称加密速度快,对大量数据进行加密
对称缺点:安全性不高
非对称优点:安全性高、密钥的保密功能强
非对称缺点:数据加密速度慢、吞吐量低
3.数据完整性
摘要算法
摘要算法可以验证数据的完整性
HASH 函数计算结果称为摘要,同一种算法,不管输入长度是多少,结果定长
无法从摘要的值反推回原始内容,具有单向性、不可逆性
不同的内容其摘要也不同
HMAC 算法
HMAC(Hash Message Authentication Code)对单输入hash 算法进行了改进
收发双方共享一个MAC 密钥,计算摘要时不仅输入数据报文,还输入MAC 密钥
4.数字签名
数字签名是用签名方的私钥对信息摘要进行加密的一个过程(签名过程所得到的密文即称为
签名信息)
数字签名主要功能:
保证信息传输的完整性
发送者的身份认证
防止交易中的抵赖发生
5.数字证书是什么?为什么要有数字证书?
数字证书就是:将公钥和身份绑定在一起(类似于身份证实名制),由一个可信的第三方(类
似于公安局)对绑定的数据进行签名,以证明数据的可靠性
为了解决公钥的传播、管理以及不可否认
6.什么事PKI?
PKI 是一个签发证书、传播证书、管理证书、使用证书的环境
PKI 保证了公钥的可获得性、真实性、完整性
7.PKI 的5 大系统、4 类实体?
5 大系统:权威认证机构(ca)、数字证书库、密钥备份及恢复系统、证书作废系统、应用
接口(API)
4 类实体:终端实体(DN)、证书机构(CA)、注册机构(RA)、PKI 储存库
8.实体数字证书申请发放到作废过程?
答:1.实体向RA 提出证书申请
2.RA 审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA
3.CA 验证数字签名,同意实体的申请,颁发证书
4.RA 接收CA 返回的证书,发送到LDAP 服务器已提供目录浏览服务,并通知实体证
书发行成功
5.实体获取证书,利用该证书可以与其他实体使用加密、数字签名进行安全通信
6.实体希望撤销自己的证书时,向CA 提交申请。CA 批准实体撤销证书,并更新CRL,
发布到LDAP 服务器
3.VPN 分类
按照业务用途
Access VPN、Intranet VPN、Extranet VPN
按照运营模式
CPE-Based VPN,Network-Based VPN
按照组网模型
VPDN,VPRN,VLL,VPLS
按照网络层次
Layer 2 VPN, Layer 3 VPN
4.IPsec 功能
实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能
5.IPsec 体系结构,安全协议区分,工作模式各特点,IKE 作用
安全协议
负责保护数据
AH/ESP
工作模式
传输模式:实现端到端保护
隧道模式:实现站点到站点保护
密钥管理
手工配置密钥
通过IKE 协商密钥
6.IPsec 保护对象?安全提议作用?什么是安全策略?什么是SA
保护对象:数据流
安全提议的作用:提供安全服务准备使用的一组特定参数。包括安全协议。加密/验证、工
作模式、便于IPsec 双方协商。
安全策略:规定了什么样的数据流采用什么样的安全提议。
SA 是通信双方如何保证通信安全达成的一个协定。
7.IPsec 出入站流程分析,IKE 与ipsec 关系
IKE 为IPSEC 通信双方协商并获得一致的参数。建立共享密钥,建立IPSEC SA。IPSEC 根
据SA 适当的安全协议,对数据包提供相应的安全服务。
出栈数据:
先看SPD,得到的结果为三种。1.丢弃2.不需要ipsec 保护直接转发,3.需要IPSEC 保护。
查找ipsec SA
从SPD 中查找ipsec SA,找到SA 用该SA 提供安全服务转发。找不到SA 就为其创建一个
IPSEC SA
IKE 会为其寻找一个合适的IKE SA,为IPSEC 协商SA,找到就利用该SA 协商IPSEC SA,
否则需要启动IKE 协商进程,创建一个IKE SA 为IPSEC 协商SA
入栈数据:
对一个入站并且目的地址为本地的ipsec 数据包来说,系统会提取其spi、ip 地址和协议类型
等信息,查找相应的入站ipsec sa,然后根据
sa 的协议标识符选择合适的协议(ah 或esp)解封装,获得原始ip 包,再进一步根据原始
ip 包的信息进行处理
8.IKE 协商阶段?主模式与野蛮模式划分(几阶段,几消息)
两个阶段:
阶段1.使用DH 交换建立共享密钥。建立IKE SA 为阶段2 协商提供保护。
阶段2.在阶段1 建立的IKE SA 的保护下完成IPSEC SA 协商。
阶段1 的交换模式为——主模式——和野蛮模式
阶段2 的交换模式为——快速模式。
主模式:3 阶段6 个消息。
野蛮模式:2 个阶段,3 个消息。
野蛮模式与主模式的优缺点:
野蛮模式:用于不确定对方IP 地址情况下。
IKE 野蛮模式使用3 条消息,协商速度快,消息中无法检查cookie,安全性不高。
无法防止DOS 攻击。
主模式: 用于双方知晓IP 地址情况下。
协商使用6 条消息,其中5.6 是加密的,主模式比野蛮模式安全性高。
传输安全:
在一个不安全的网络环境中传输重要数据时!应确保数据的机密性!
对称加密算法中!通信双方共享一个秘密,作为加密/解密的密钥!这个密码可以是直接获
得,也可以是通过某种共享密钥方法推算出来的!
对称加密算法有:
3DES DES RC4 AES
非对称加密称为公开密钥算法!此算法为每个用户分配一对密钥,一个私有密钥和一个公开
密钥。私有密钥由用户自己管理!这两个密钥产生没有相互的关系!
非对称密钥弱点在于速度非常慢!吞吐量低!不适合对大量数据的加密!
非对称加密算法中著名和最流行的是RAS 和DH!!!
为保证数据的完整性,通常使用摘要算法!(HASH)
HASH 函数对一段长度可变的数据进行HASH 计算会得到一段固定长度的结果!
HASH 函数具有单向性!!!
使用NAT 进行安全防御!!!
NAT 是将数IP 数据报文头中的IP 地址转换为另一个IP 地址过程!网络地址转换即对internet
隐藏内部地址!防止内部地址公开!!!
使用NAT 的好处:
(1)内部用户依然能够透明的访问外部网络!
(2)发送到外部网络数据信息都经过了转换,内网地址被屏蔽掉了!外部人员无法获取内
部往来信息!
(3)内网地址信息路由被隔断!外网主动攻击无法到达内网
网络攻击与防御!!
IPS/UTM 设备具备大容量特征库!通常采用IPS/UTM 设备来防御应用层攻击!
IPS 开启防攻击的特征库,对匹配的报文根据情况采取阻断、告警、记录,并实时更新特征
库,保证检测出最新的应用层攻击手段!
畸形报文攻击通过向目标系统发送有缺陷的报文,使得目标系统在处理这样的IP 包时出现
崩贵!给目标带来损失!
畸形报文攻击方式:
1.Ping of Death:Ping of Death 攻击就是利用一些超大尺寸的ping 请求报文对系统进行的一种
攻击!通过发送大于65536 字节的ICMP 包使系统操作系统崩溃!
通常网络中不会出现大于65536 字节的ICMP 包!攻击者可以使用分片机制分割成片段,在
接收端进行重组!最终导致被攻击目标缓冲区溢出!
2.Teardrop:Teardrop 攻击利用UDP 包重组时,重叠偏移的漏洞来对目标系统进行攻击!Linux
和WindownsNT 及windowns 95/98 更容易遭受这些攻击!这种攻击会导致蓝屏死机,并显
示STOP 0x000000a 错误!
3.畸形TCP 报文攻击:TCP 报文含有6 个标志位,即URG,ACK,PSH,RST,SYS、FIN。典
型构造标志位的手段有设置6 个标志位全为1,设置6 个标志为全为0,设置SYS 和FIN 位
同时为1 等!
畸形报文主要通过构造特殊的IP 报文发送给目标系统来进行攻击的,攻击报文属于异常报
文,较为容易半段!
对每种报文进行特征库进行针对性报文过滤:
1.对于Ping of Death 攻击:可以通过检测ping 请求报文长度是否超过65535 字节来辨别是
否为攻击报文,如果超过65535 字节。则直接丢弃报文。
2.针对Teardrop 报文攻击,可通过缓存分片信息,每一个源IP,目的IP,报文ID 相同成一
组,最大为1000 组,缓存达到最大时!直接丢弃后续分片!
同时根据缓存分析IP 报文分段合法性,直接丢弃不合法的IP 报文的方式来抵御攻击!
3.针对畸形报文攻击:可以通过判断TCP 报文标志来判断报文是否为攻击报文!防火墙、IPS
和部分路由器以太网交换机都可以对畸形报文进行抵御。
拒绝服务攻击! 通过大量的数据包攻击系统!使系统无法正常用户请求,主机挂机不能
提供正常的工作!主要有SYS Flood Fraggle 等。
Dos 攻击并不是去寻找进入网络的入口,而是间接影响合法用户对服务的请求。
SYN Flood 攻击特点:
利用合法的报文对目标系统进行攻击!
拒绝服务类攻击大多类似于SYN Flood 攻击!
为了保证目标主机不会瘫痪!采取限制此类报文的接受速率或不处理此类报文的方式进行传
输!
如:限制每秒建立的TCP/UDP 半连接数量,拒绝处理ICMP 地址不可达报文!
SYN Flood 攻击,由于TCP 三次握手!有着更好的防御手段
防止SYN Flood 攻击的一个有效的办法就是采用TCP 代理(运行于防火墙上)
客户端发起连接时,TCP 代理并不将SYN 包直接发给服务器,而是自己伪装成服务器返回
SYSN-ACK 报文,收到客户的ACK 后在以当初客户端发起连接时的信息向真正的服务器发
起连接!
当客户端与服务器传递数据通过防火墙时,防火墙只需要对他们的序列号进行调整就可以
了!
病毒的防范
病毒具有:传播性隐蔽性破坏性
对于病毒的防御要内外兼顾:在内网和外网相连的位置需要通过部署IPS 来阻止病毒进入网
络内部,堵住病毒从外部进入内部的网络通道
在网络内部,对接入的计算机需要进行安全检查,检查计算机上的杀毒软件和病毒库。确保
网络中的计算机都不带病毒。
设备的加固:
网络设备的安全是整个网络安全稳定的前提条件
1.网络设备的安全
非法用户通过各种方式远程登录到设备上,
2.对于设备管理权限的安全威胁
合法用户获取到非法权限
3.对于设备本身的攻击
利用设备开启各类服务:FTP IP 重定向对设备CPU 进行攻击。
4.对于网络资源的安全威胁
非法用户通过大规模消耗设备的相应资源,导致正常用户无法享受服务。
保护设备安全性,就要对于远程接入的用户进行分级管理,对于不同级别登录用户的口令加
强管理,采用密文管理!定期更改!对console 用户也进行认证。
安全加固
进行MAC 地址绑定
部署防ARP 攻击。
路由协议增加认证
VRRP 增加认证
网络安全威胁存在的位置有:
来自内网的安全威胁
来自外网的安全威胁
来自传输过程中的安全威胁
网络安全的分类不是唯一的!从网络,业务层次来分
来自设备物理上
来自网络层
来自应用层
来自病毒
来自安全制度漏洞带来的威胁等方面:
网络安全有效范围:
1.有效的访问控制!
主要基于数据流和基于用户的访问控制!
2.有效识别合法的非法用户!
(1)对接入网络用户认证
(2)对登录网络设备用户认证
3.有效的防伪手段!重要的数据重点保护!
数据传输过程中应该采取防伪措施!防止数据被截取和恶意篡改!
数据加密和防伪主要用于internet 数据传输时的安全保护。
4.内部网络的隐蔽性与外网攻击的防护!
面对外部网络!尽量屏蔽内部网络信息!断绝从外部主动向内部网络发生攻击!
对于一个网络来说!大部分的攻击都是来自于外网的!!!
5.内外网病毒防范!
病毒既可能来自内网也可能来自外网!因此病毒的防御要双管齐下!需对内网中出现的病毒
能及时察觉到!同时将病毒发作的危害降低到最小!抑制病毒蔓延!
6.行之有效的安全管理手段!
网络安全三分靠技术七分靠管理!安全管理涉及方方面面!
安全网络构成!
网络内部
1.接入用户认证!
2.对内网病毒攻击的抑制!
3.严格的访问控制!
对外的安全防御!
1.网络出口启用安全防护手段
2.NAT 访问internet
3.端口映射服务端口!
传输过程中的安全
采用VPN 技术利用加密和防伪技术对业务数据进行处理!!!
完善的管理制度!
局域网业务隔离手段!大多采用VLAN
VLAN 的扩展技术也用于局域网业务隔离!PVLAN SUPER VLAN Hybrid 端口!
广域网业务隔离!
专线隔离!
安全性高!物理隔离!费用最高!
逻辑隔离!
可采用VPN 技术来实现!这些技术可以实现在公有的网络平台上建立虚拟私有的私有VPN
隧道!L2TP GRE IPSEC SSL 都是点到点隧道!自能连接两个节点!
MPLS VPN 能在一个公有网络平台上建立全网状的隧道!
由于所有VPN 技术都在物理通道上虚拟出逻辑通道!和其他业务都是共享物理带宽!如果
要保证相应带宽可采取QOS 技术来保障!隧道技术本身无法保证其隧道带宽!
安全性!
所有VPN 技术安全性低于专线!
L2TP GRE 本身没有对数据报文加密!IPSEC SSL 本身具有完善的封装的数据报文加密功
能!
MPLS 网络前提是对整个公有网络平台的绝对控制!在安全性上高于不加密的L2TP GRE
技术!!
访问控制!
对数据流的区分!使用不同的控制策略来对待!
通过对数据流的区分通常用ACL 来实现!根据需要可以使用2 层3/4 层流的分类规则来对
数据流进行区分!
访问控制一般在
用户接入入口使用!
对没个用户精确细化控制!配置量大,对接入设备要求高!
在业余区域交汇处使用!
在访问区域内进行严格访问资源!有点事配置量小!能对关键业务区域进行有效的保护!缺
点是失去了对用户的控制!
防火墙技术
包过滤防火墙是最常见的防火墙技术!
包过滤防火墙技术的实现是通过ACL 实现对IP 数据包的过滤!
包过滤防火墙技术为静态防火墙,主要根据设备配置的ACL 来静态地过滤各个报文!并不
能分析各个报文之间的关系!
静态防火墙存在的问题!
1.对于多通道的应用层协议!部分安全策略无法预知
2.无法检测某些来自于传输层和应用层协议的攻击行为!TCP SYN JAVA
状态防火墙ASPF 基于应用层包过滤
能够实现应用层检测FTP HTTP SMTP RTSP H.323,能实现传输层协议检测TCP/UDP 检测
SSL VPN
1.SSL 协议简介:
SSL 安全套接层是一个安全协议,为基于TCP 的应用层协议提供安全连接,如SSL 可以为
HTTP 协议提供安全连接。
2.SSL 安全实现:
(1)连接的私密性:在SSL 握手阶段生成密钥后,用对称加密算法对传输数据进行加密。
(2)身份认证:对服务器和客户端进行基于证书的身份认证(其中客户端认证是可选的)
(3)连接的可靠性:消息传输过程中使用基于密钥的MAC 消息验证码来检验消息的完整性。
3.SSL 的通信分层:
(1)握手层:用于协商会话参数,建立SSL 连接。
(2)记录层:用于加密传输数据,封装传输报文。
4.握手层:
(1)握手协议:负责建立SSL 连接,维护SSL 会话。通信双方可以协商出一致认可的最高级
别的加密处理能力,以及加密所需的各种密钥参数。
(2)告警协议:SSL 通信期间,如果握手协议模块或者上层应用程序发现了某种异常,可以通
过“告警协议”模块发送“告警消息”给另一方。其中有一条消息“关闭通知"消息,用于
通知对方本端将关闭SSL 连接。
(3)密钥改变协议:协商出密钥后,握手协议模块通过“密钥改变协议”模块向对方发送一个
“密钥改变”报文,通知对方的记录层:本方后续发送的报文将要启用刚才协商好的密钥参
数。
5.记录层:
(1)保护传输数据的私密性,对数据进行加密和解密。
(2)验证传输数据的完整性,计算报文的摘要。
(3)提高数据的传输效率,对数据进行压缩。
(4)保证数据传输的有序性和可靠性。
5.可取的SSL 版本:
3.1(TLS1.0)、3.0(SSL3.0)、2.0(SSL2.0)
6.握手过程:
(1)无客户端认证的全握手过程。
(2)有客户端认证的全握手过程。
(3)会话恢复过程。
7.SSL VPN 的接入方式:
(1)IP 接入
(2)TCP 接入
(3)WEB 接入
8.SSL 访问控制:
可以提供高细粒度的访问控制,控制的粒度可以达到URL、文件、目录、服务器端口和IP
网段等
9.SSL VPN 的两种授权管理方式:
(1)静态授权:身份验证是静态授权的核心内容,用户的权限只和账号有关。可以使用本地
认证、Radius 或LDAP 认证。
(2)动态授权:静态认证、安全策略、安全状态和安全级别的集合。
10.SSL VPN 的组网部署方式:
(1)单臂模式:设备不处在网络流量的关键路径上,设备的单点故障不会造成全网通信中断,
SSL 网关的处理性能不会影响整个网络的性能,不足之处在于其不能全面的流量控制。
(2)双臂模式:SSL-VPN 网关跨越在内网和外网之间。所有访问流量都经过SSL 网关,达到
流量的全面控制,不足之处在于其单点故障造成的通信终端,通常与防火墙集成时,采用此
模式组网。
WLAN
802.11 802.11a 802.11b 802.11g 802.11n
2Mbps 54Mbps 11Mbps 54Mbps 600Mbps
802.11b/g 非重叠频道:1、6、11 2、7、12 3、8、13 4、9、14
WLAN
1.主要的无线技术
IrDA
利用红外线进行点到点的无线通讯,速率可达4Mbps
BlueTooth
工作在2.4GHz 频段,采用跳频技术,速率为1Mbps
3G
包括WCDMA、CDMA2000、TD-SCDMA,速率可达10Mbps
802.11a/b/g/n
主流的IEEE 802.11 无线标准,工作在2.4GHz 或5GHz 频段,最大速率为11Mbps、54Mbps
或300Mbps
2.为什么使用WLAN 网络?
自由、经济、高效
凡是自由空间均可连接网络,不受限于线缆和端口位置。
终端与交换设备之间省去布线,有效降低布线成本。
适用于特殊地理环境下的网络架设,如隧道、港口码头、高速公路
不受限于时间和地点的无线网络,满足各行各业对于网络应用的需求。
3.WLAN 相关组织和标准
IEEE Wi-Fi 联盟IETF CAPWAP WAPI 联盟
4.802.11 协议的发展进程
频率2.4 2.4、5 2.4 2.4&5 (GHz)
速率2 11 54 54 300 (Mbit/s)
协议802.11 802.11b、802.11a 802.11g 802.11n
时间1997 1999 2003 2009
5.WLAN 面临的挑战与问题?
干扰
工作在相同频段的其他设备会对WLAN 设备的正常工作产生影响
2.4GHz 为ISM 频段,不需授权即可使
OSI
应用层:直接与用户和应用程序打交道,负责对软件提供接口
表示层:关注传输信息的语法和语义,还负责数据加密和压缩
会话层:建立会话关系,并保持会话过程和畅通,还提供差错恢复
传输层:数据分段,创建端到端的连接,差错校验和重传
网络层:编址、路由选择、拥塞控制、异种网络连接、数据分片和重组
数据链路层:帧同步,数据链路建立、维持和释放、传输资源控制、流量控制、差错控制、
寻址、标识上层数据
物理层:机械特性、电气特性、功能特性、规程特性、比特流的传输
PPP
会话过程:
(1)当物理层不可用时, PPP 链路处于Dead 阶段,链路必须从这个阶段开始和结束。
(2)当物理层可用时进入Establish 阶段。PPP 链路在Establish 阶段进行LCP 协商,协商的
内容包括是否采用链路捆绑、使用何种验证方式、最大传输单元等。协商成功后LCP 进入
Opened 状态,表示底层链路已经建立。
(3)如果配置了验证,则进入Authenticate 阶段,开始CHAP 或PAP 验证。
(4)如果验证失败则进入Terminate 阶段,拆除链路, LCP 状态转为Down;如果验证成功则
进入Network 阶段,由NCP 协商网络层协议参数,此时LCP 状态仍为Opened,而NCP 状
态从Initial 转到Request。
(5)NCP 协商支持IPCP 协商, IPCP 协商主要包括双方的IP 地址。通过NCP 协商来选择和
配置一个网络层协议。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条
PPP 链路发送报文。
(6)PPP 链路将一直保持通信,直至有明确的LCP 或NCP 帧来关闭这条链路,或发送了某
些外部事件(例如线路被切断)。
PAP 验证过程:
PAP 验证为两次握手验证,验证过程仅在链路初始建立阶段进行
(1)被验证方以明文发送用户名和密码到主验证方。
(2)主验证核实用户名和密码。如果此用户名合法且密码正确,则会给对端发送ACK 消息,
通告对端验证通过,允许进入下一阶段;
如果用户名或密码不正确,则发送NAK 消息,通告对端验证失败。
(3)PAP 验证失败后并不会直接将链路关闭。只有验证失败次数达到一定值时,链路才会被
关闭,这样可以防止因误传,线路干扰等造成不必要的LCP 重新协商过程。
CHAP 验证过程:
CHAP 验证为三次握手验证,CHAP 协议是在链路建立的开始就完成的。在链路建立完成后
的任何时间都可以重复发送进行再验证。
(1)Challenge:主验证方主动发送验证请求,主验证方向被验证方发送一个随机产生的数值,
并同时将本端的用户名一起发送给验证方。
(2)Response:被验证方接收到主验证方的验证请求后,检查本地密码。如果本地接口上配置
了默认的CHAP 密码,则被验证方选用此密码;
如果没有配置默认的CHAP 密码,则被验证方根据报文中主验证当的用户名在本端的用户
表中查找该用户对应的密码,并选用找到的密码。随后,
被验证方利用MD5 算法对报文ID、密码和随机数生成一个摘要,并将摘要和自己的用户名
发回主验证方。
(3)Acknowlede or Not Acknowlege:主验证方用MD5 算法对报文ID、本地保存的被验证方
密码和原随机数生成一个摘要;并与收到的摘要值进行比较。
如果相同,则向被验证方发送Acknowledge 消息声明验证通过;如果不同,则验证不通过,
向被验证方发送NotAcknowledge。
PAP 和CHAP 的区别:
(1)PAP 通过两次握手的方式来完成校验,而CHAP 通过三次握手验证远端节点,PAP 验证
由被验证方首先发起验证请求,而CHAP 验证由主验证方首先发起验证请求。
(2)PAP 密码以明文方式在链路上发送,并且当PPP 链路建立后,被验证方会不停的在链路
上反复发送用户名和密码,直到身份验证过程结束,所有不能防止攻击。
CHAP 在网络上传输用户名,而并不传输用户密码,因此它的安全性要比PAP 高。
VLAN 的划分方式:
1.基于端口
2.基于MAC 地址
3.基于协议
4.基于IP 子网
缺省情况下,VLAN 将按照MAC VLAN > IP 子网> 协议VLAN > 端口VLAN 顺序匹配
-----------------------------------------------------------
GVRP (GARP VLAN 注册协议)
GARP 简介:
GARP 提供了一种机制,用于协助同一个局域网内的交换成员之间分发、传播和注册某种信
息(如VLAN、组播地址等)。
GARP 本身不作为一个实体存在于设备中,遵循GARP 协议的应用实体称为GARP 应用,
GVRP 就是GARP 的一种应用。当GARP 应用实体存在于设备的某个端口上时,该端口对
应于一个GARP 应用实体。
目的MAC 地址为0180-C200-0021
GARP 消息和定时器:
GARP 成员之间的信息交换借助于消息的传递来完成,主要有三类消息起作用,分别为Join
消息、Leave 消息和LeaveAll 消息。
(1)当一个GARP 应用实体希望其它设备注册自己的属性信息时,它将对外发送Join 消息;
当收到其它实体的Join 消息或本设备静态配置了某些属性,需要其它GARP 应用实体进行
注册时,它也会向外发送Join 消息。
(2)当一个GARP 应用实体希望其它设备注销自己的属性信息时,它将对外发送Leave 消息;
当收到其它实体的Leave 消息注销某些属性或静态注销了某些属性后,它也会向外发送
Leave 消息。
(3)每个GARP 应用实体启动后,将同时启动LeaveAll 定时器,当该定时器超时后GARP
应用实体将对外发送LeaveAll 消息,LeaveAll 消息用来注销所有的属性,以使其它GARP
应用实体重新注册本实体上所有的属性信息。
Join 消息、Leave 消息与LeaveAll 消息配合确保信息的重新注册或注销。
通过消息交互,所有待注册的属性信息可以传播到同一局域网配置了GARP 的所有设备上。
5 类消息:
Empty
JoinIn
JoinEmpty
Leave
LeaveAll
4 种定时器:
Hold 当GARP 应用实体接收到其它设备发送的注册信息时,不会立即将该注册信息
作为一条Join 消息对外发送,而是启动Hold 定时器,当该定时器超时后,GARP 应用实体
将此时段内收到的所有注册信息放在同一个Join 消息中向外发送,从而节省带宽资源。
Join GARP 应用实体可以通过将每个Join 消息向外发送两次来保证消息的可靠传输,
在第一次发送的Join 消息没有得到回复的时候,GARP 应用实体会第二次发送Join 消息。
两次Join 消息发送之间的时间间隔用Join 定时器来控制
Leave 当一个GARP 应用实体希望注销某属性信息时,将对外发送Leave 消息,接收
到该消息的GARP 应用实体启动Leave 定时器,如果在该定时器超时之前没有收到Join 消
息,则注销该属性信息
LeaveAll 每个GARP 应用实体启动后,将同时启动LeaveAll 定时器,当该定时器超时后,
GARP 应用实体将对外发送LeaveAll 消息,以使其它GARP 应用实体重新注册本实体上所
有的属性信息。随后再启动LeaveAll 定时器,开始新的一轮循环。
取值:
Hold 小于等于1/2 Join (100ms)
Join 小于1/2 Leave 大于等于2 倍Hold (200ms)
Leave 小于LeaveAll 大于2 倍Join (600ms)
LeaveAll 上限327650ms 下限大于Leave
3 种注册模式:
Normal 允许该端口动态注册、注销VLAN,传播动态VLAN 以及静态VLAN 信息。
Fixed 禁止该端口动态注册、注销VLAN,只传播静态VLAN 信息,不传播动态VLAN
信息。也就是说被设置为Fixed 模式的Trunk 口,即使允许所有VLAN 通过,实际通过的
VLAN 也只能是手动配置的那部分。
Forbidden 禁止该端口动态注册、注销VLAN,不传播除VLAN1 以外的任何的VLAN 信
息。也就是说被配置为Forbidden 模式的Trunk 端口,即使允许所有VLAN 通过,实际通过
的VLAN 也只能是VLAN 1。
GVRP 配置命令:首先全局GVRP,才能开启端口GVRP
-----------------------------------------------------------
Isolate-user-vlan(用户隔离VLAN 二层) 降低VLAN 数量,三层网关共享
Isolate-user-vlan 用于上行连接(本地代理ARP 实现三层互通)
Secondary vlan 之间二层帧互相隔离
建立Isolate-user-vlan 和Secondary vlan 映射后,禁止向Secondary 添加删除端口已经删除
VLAN
Super VLAN (VLAN 聚合三层)
Supervlan 只建立三层VLAN 端口,不包含物理端口(subvlan 集合,提供三层转发)
Subvlan 只包含物理端口,不建立三层VLAN 接口与Supervlan 建立映射
ISOlate-user-vlan 网关位于远端设备
Supervlan 网关位于本设备
Proxy ARP (代理ARP) (接口视图开启)
普通代理:互通设备分别连接到设备不同三层接口且不在同一MA
本地代理:互通设备分别连接到设备同一三层接口且不在同一MA
-----------------------------------------------------------
QinQ 的产生背景
IEEE802.1Q 中定义的VLAN Tag 域中只有12 个比特位用于表示VLAN ID,所以设备最多
可以支持4094 个VLAN。在实际应用中,尤其是在城域网中,需要大量的VLAN 来隔离用
户,4094 个VLAN 远远不能满足需求。
QinQ 特性使网络最多可以提供4094X4094 个VLAN,满足城域网对VLAN 数量的需求,它
主要解决了如下几个问题:
(1)缓解日益紧缺的公网VLAN ID 资源问题。
(2)用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID 冲突。
(3)为小型城域网或企业网提供一种较为简单的二层VPN 解决方案。
QinQ 报文在公网传输时带有双层VLAN Tag,内层VLAN Tag 为用户私网VLAN Tag,外层
VLAN Tag 为运营商分配给用户的VLAN Tag(接口视图qinq enable)
如果收到带有VLAN 标签,再封装一次
如果收到未携带VLAN 标签,封装默认标签
-----------------------------------------------------------
STP(802.1D):消除链路层环路基本思想是将网络拓扑修建为树形
STP 原理
通过阻塞冗余链路来消除数据链路层的环路,在活动链路故障时,激活冗余链路来恢复网络
连通性,保证网络正常通信,
选举大致过程
在网络中选举一个树根节点,其他为非树根节点。
每个非树根节点选择最优路径与根节点相连,非树根节点位于最优路径的端口为根端口。
为每个物理段选举一个指定端口
阻塞非指定端口
根桥在Hell Time (2s)周期发送配置BPDU 01-80-C2-00-00-0021
老化时间为MAX Age(20s)
Forward Delay: 15s
配置BPDU 仅从根桥指定端口周期发出,TCN BPDU 仅从除根桥以外的根端口发出
BrigeID:16 位优先级+48 位MAC 地址桥ID 比小
PortID:桥优先级+端口号
桥优先级<0-61440>步长4096 默认32768
端口优先级<>默认128
优先级向量:桥ID/根路径代价/指定桥ID/指定端口ID/接收端口ID(只存在本地)
配置BPDU/TCNBPDU
STP 计算先确定根桥和确定端口角色:
1.初始交换机会发送以自己为根桥的配置BPDU
2.离根桥最近的端口为根端口,在物理网段上发送的BPDU 优于收到的BPDU,为指定端口
配置BPDU 比较:(可抢占)
1、最小根桥ID
2、最短根路径代价
3、最小指定桥ID
4、最小指定端口ID
STP 端口状态:
Disable
Blocking
Listening (发送配置BPDU,不学习MAC) (中间状态)
Learning (中间状态)
Forwarding
STP 拓扑改变处理流程:
(1)网桥感知到拓扑变化,(除网桥)都可以产生TCN BPDU 从跟端口发送
(2)若收到TCN BPDU 网桥不是根桥,则会发送TCA 位置的BPDU 作为确认
(3)上游网桥从根端口继续发送TCN BPDU 发送到网桥
(4)根桥收到TCN BPDU 后,会将下一个要发送的配置BPDU 中的TCA 位置位,并将该
配置BPDU 中的TC 位置位
STP 使用TCN BPDU 从中断到恢复之间的等待时间最长为MAX Age +2xForward Delay
如果非根桥从根端口收到低优先级的BPDU,不会将立即更新BPDU,而是等待自身BPDU
老化
如果非根桥从根端口收到高优先级的BPDU,立即更新自身BPDU
如果非根桥从指定端口收到低优先级的BPDU,会立即一个配置BPDU,这样可以保证新加
入的桥立即确认根桥和端口角色
如果非根桥从指定端口收到高优先级的BPDU,会立即将指定端口改为根端口,拓扑重新收
敛
TCN BPDU 产生有两个条件:
(1)网桥有端口转变为Forwarding,且包含一个指定端口
(2)网桥有端口从Forwarding 或Learning 转变为Blocking
STP 协议不足:STP 为了避免临时环路产生,每个端口在确认为根端口或指定端口后扔需要
等待30s 才能进入转发
-----------------------------------------------------------
RSTP(802.1W)
RSTP 具备STP 的所有功能,但其仅使用了一种类型的BPDU
RSTP 与STP 的改进之处:
(1)增加了端口状态,
(2)减少了端口角色
(3)RSTP BPDU 格式与发送方式有所改变
(4)增加了边缘端口,根端口,指定端口(P/A 机制)等快速收敛机制
当阻塞端口收到的更优的配置BPDU 来自于其他网桥,该端口为Alternate
当阻塞端口收到的根由的配置BPDU 来自于本网桥是,该端口为Backup
RSTP 对BPDU 的发送方式做了改进,RSTP 中网桥可以自行从指定端口发送RST BPDU,
周期为Hello-time
RSTP 保活机制:在3 个连续的Hello time 时间内网桥没有收到对端指定桥发送的RSTP
BPDU,则网桥端口保存的RST BPDU 老化,认为与对端网桥连接中断
在STP 中只有在指定端口收到低优先级的配置BPDU 时,才会立即回应,处于阻塞状态的
端口不会对低优先级的配置BPDU 做出响应
在RSTP 中,如果阻塞状态的端口收到低优先级的RST BPDU,也可以立即对其做出回应
边缘端口:边缘端口一旦收到BPDU,则立即丢失边缘端口的特征,变成一个普通的
spanning-tree 接口
根端口快速切换:
当旧的根端口进入阻塞状态是,网桥会选择优先级
P/A 机制:(在点到点链路握手机制):指定端口可以通过与对端网桥进行一次握手,一颗快
速进入转发状态,期间不需要任何定时器
收到Proposal 置位的RST BPDU 后,网桥会判断接收端口是否为根端口,如果是,网桥会
启动同步过程,阻塞除边缘端口和根端口外的指定端口,根端口将进入转发状态并回复
Agreement 置位的RST BPDU(复制Proposal RST BPDU)
如果指定端口发送的Proposal BPDU 后没有收到Agreement BPDU,则该端口将切换到STP
方式,需要等待30s 才能进入转发状态
RSTP 拓扑改变触发条件:非边缘端口转变为Forwrding
发现拓扑变化的网桥:1.为所有非边缘端口的其他端口启动一个计时器TC while timer
(2xhello)
2.清空这些端口上的MAC 地址
3.在TC while timer 有效期内,这些端口向外发送TC 置1 的BPDU
其它网桥收到TC RST BPDU:1:清空除收到TC 端口以外所有端口MAC
2:在所有端口和根端口上启动TC while Timer 并发送TC
RSTP 和STP 兼容:当RSTP 网桥的端口连续3 次接收配置BPDU 时,网桥认为该端口和
STP 网桥相连,仅将该端口将切换到STP 协议运行。当运行STP 的网桥移除后,有RSTP
模式切换到STP 模式的端口仍将运行在STP 模式。
选用合适的Hello Time、Forward Delay 与Max Age 可加快生成树收敛速度
[H3C]stp bridge-diameter <2-7> (网络直径)
[H3C-Ethernet0/1] stp edged-port {enable|disable} (边缘端口)
[H3C-Ethernet0/1] stp mcheck (自动迁移到RSTP/MSTP)
配置Hello Time 时间应注意:
1.配置较长的Hello Time 时间可以降低生成树计算消耗。但是过长的Hello Time 时间会导致
对链路故障的反应延迟。
2.配置较短的Hello Time 可以增强生成树的壮健性,但是果断的Hello Time 时间会导致频繁
的发送配置消息。增加CPU 的负担。
配置BPDU 的生存期。
1.配置过长的Max Age 会导致链路不能被及时的发现。
2.配置较短的Max Age 会在网络拥塞的情况下是交换机错误的以为链路故障,造成频繁的生
成树计算。
配置Forward Delay
配置过长的Forward delay 会导致生成树的收敛慢。
配置较短的Forward delay 会在拓扑改变时,引起临时环路问题。
-----------------------------------------------------------
MSTP (802.1s)
MSTP 的特点如下:
MSTP 设置VLAN 映射表(即VLAN 和生成树的对应关系表),把VLAN 和生成树联系起
来。通过增加“实例”(将多个VLAN 整合到一个集合中)这个概念,将多个VLAN 捆绑到
一个实例中,以节省通信开销和资源占用率。
MSTP 把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
MSTP 兼容STP 和RSTP。
MST 域(Multiple Spanning Tree Regions,多生成树域)
都启动了MSTP;
具有相同的域名;
具有相同的VLAN 到生成树实例映射配置;
具有相同的MSTP 修订级别配置;
这些设备之间在物理上有链路连通。
IST(Internal Spanning Tree,内部生成树)是MST 域内的一棵生成树。
CST(Common Spanning Tree,公共生成树)是连接交换网络内所有MST 域的单生成树。
CIST(Common and Internal Spanning Tree,公共和内部生成树) ,由IST 和CST 共同构成。
MST 域内IST 和MSTI 的根桥就是域根。MST 域内各棵生成树的拓扑不同,域根也可能不
同。
总根(Common Root Bridge)是指CIST 的根桥。
域边界端口是指位于MST 域的边缘,用于连接不同MST 域、MST 域和运行STP 的区域、
MST 域和运行RSTP 的区域的端口。
Master 端口:连接MST 域到总根的端口,位于整个域到总根的最短路径上。从CST 上看,
Master 端口就是域的“根端口”
Alternate 端口:根端口和Master 端口的备份端口。当根端口或Master 端口被阻塞后,Alternate
端口将成为新的根端口或Master 端口。
Backup 端口:指定端口的备份端口。当指定端口被阻塞后,Backup 端口就会快速转换为新
的指定端口,并无时延的转发数据。
MSTP 的基本原理:
MSTP 将整个二层网络划分为多个MST 域,各个域之间通过计算生成CST;域内则通过计
算生成多棵生成树,每棵生成树都被称为是一个多生成树实例。其中实例0 被称为IST,其
它的多生成树实例为MSTI。MSTP 同STP 一样,使用配置消息进行生成树的计算,只是配
置消息中携带的是设备上MSTP 的配置信息。
(1)CIST 生成树的计算:
通过比较配置消息后,在整个网络中选择一个优先级最高的设备作为CIST 的根桥。在每个
MST 域内MSTP 通过计算生成IST;同时MSTP 将每个MST 域作为单台设备对待,通过计
算在域间生成CST。CST 和IST 构成了整个网络的CIST。
(2)MSTI 的计算:
在MST 域内,MSTP 根据VLAN 和生成树实例的映射关系,针对不同的VLAN 生成不同的
生成树实例。每棵生成树独立进行计算,计算过程与STP 计算生成树的过程类似,请参见
“STP 的基本原理”。
MSTP 中,一个VLAN 报文将沿着如下路径进行转发:
在MST 域内,沿着其对应的MSTI 转发;
在MST 域间,沿着CST 转发。
衡量路由协议性能指标:
1.协议计算的正确性
2.协议收敛速度
3.协议所占系统开销
4.协议自身的安全性
5.协议适用的网络规模
可路由协议是指可以被路由器在不同逻辑网段间路由的协议。如IP IPX 协议。
路由协议是指维护计算路由信息的协议。
无类、有类路由查找,指的是路由器在进行路由表查找的方式
无类的路由查找方式:是当路由器收到一个数据包的时候,不会关心数据包目的地址的类别,
会将这个数据包的目的地址和路由表中的每个条项目进行逐位匹配,最长的一条被用来数据
转发
有类路由的查找方式:是当路由器收到一个数据包的时候,会查看数据包目的地址所属的
主类网络号在本路由的路由表是否存在,若有主类网络,再查看有没有属于这个主类网络的
子网网络
如果存在子网网络,进一步再查看这个数据包目的IP 地址是否存在于这个子网网络范围内,
若存在于这个范围,则转发,否则丢弃。(即使存在缺省路由)
OSPF
1.OSPF 协议优点/特点
引入Router-id,区域内的每台路由器行为能很好的被跟踪、
使用组播发送协议报文,节省资源。
路由收敛速度较快
以开销(Cost)作为度量值
采用的SPF 算法可以有效的避免环路
OSPF 采用分层设计可适用于大中小规模网络
OSPF 定义多种手段确保信息的可靠准确。
2.OSPF 三张表
邻居表
LSDB
路由表
3.划分区域优势
减少区域内LSA 数量
便于管理
减少路由震荡的影响
4.OSPF 路由类型
区域内路由器(Internal Router)
区域边界路由器(ABR,Area Border Router)
骨干路由器(Backbone Router)
自治系统边界路由器(ASBR, Autonomous System Border Router )
5.Router-id 如何选
一台路由器如果要运行OSPF 协议,则必须存在Router ID(RID)。RID 是一个32 比特无符
号整数,可以在一个自治系统中唯一的标识一台路由器。
RID 可以手工配置,也可以自动生成。
如果没有通过命令指定RID,将按照如下顺序自动生成一个RID:
如果当前设备配置了Loopback 接口,将选取所有Loopback 接口上数值最大的IP 地址作为
RID;
如果当前设备没有配置Loopback 接口,将选取它所有已经配置IP 地址且链路有效的接口上
数值最大的IP 地址作为RID。
6.OSPF 网络类型
Broadcast
NBMA
P2MP
P2P
7.OSPF 协议包
Hello
DD
LSR
LSU
LSACK
8.DR/BDR 选举
首先比较Hello 报文中携带的优先级
优先级最高的被选举为DR,优先级次高的被选举为BDR
优先级为0 的不参与选举
优先级一致的情况下,比较Router ID
Router ID 越大越优先
保持稳定原则
当DR/BDR 已经选举完毕,就算一台具有更高优先级的路由器变为有效,也不会替换该网
段中已经选举的DR/BDR 成为新的DR/BDR。
9.各类LSA 产生,传播范围,描述链路状态
Type1 LSA(Router LSA)每个路由器都会产生,仅在区域内传播,描述区域内内部与路由
器直连的信息。
Type2 LSA(Network LSA)由DR 生成只在区域内传播
Type3 LSA(Summary LSA)由ABR 生成,将所连接区域内部的type1 type2 LSA 收集起来以
子网的形式传播到相邻区域
Type4 LSA(ASBR Summary LSA) 由ABR 生成,描述的目标网络是ASBR 的Router ID,生
成的前提是ABR 收到了5 类LSA 的触发。
Type5 LSA(AS External LSA)由ASBR 产生,描述到AS 外部的路由信息。一旦生成将在OSPF
系统内传递,除配置了特殊区域以外。
携带的外部路由信息可以分为两种:
第一类外部路由
第二类外部路由
Type7 LSA NSSA 区域ASBR 产生,只在NSSA 区域内传播,描述到AS 外部的路由信息
10.OSPF 选路原则
(1)按照路由类型的优先级选择
区域内路由(Intra Area)
区域间路由(Inter Area)
第一类外部路由(Type1 External)
第二类外部路由(Type2 External)
(2)在类型相同的情况下,选择路由开销(Cost)较小的路由。
OSPF 协议引入外部路由时导致的问题及解决方法:
当OSPF 协议同时引入多条前缀相同,但是掩码不同的外部路由时,需要将掩码较长的LSA
主机位全部置1,以子网广播地址作为他的LS ID
11.OSPF 特殊区域及其各特点
(1)Stub 区域
Stub 区域是一些特定的区域,目的是为了减少区域中路由器的路由表规模以及路由信息
传递的数量
Stub 区域内不能存在ASBR
Stub 区域不允许注入type4、5 类LSA
Stub ABR 会产生一条0.0.0.0/0 type3 LSA
配置Stub 区域应注意:
骨干区域不能配置为Stub
Stub 区域不允许存在ASBR
虚连接不能穿越Stub 区域
Stub 区域存在多个ABR,可能会产生次优路由
(2)Totally Stub 区域
为了进一步减少Stub 区域中路由器的路由表规模以及路由信息传递的数量,可以将该区
域配置为Totally Stub(完全Stub)区域
Totally Stub 不仅不允许注入type4、5 类LSA,同时不允许注入type3 LSA
Stub 区域不允许注入type3、4、5 类LSA
Stub ABR 会产生一条0.0.0.0/0 type3 LSA
(3)NSSA 区域
不允许Type4、5 LSA 注入,但可以允许Type7 LSA 注入
来源于外部路由的Type7 LSA 有NSSA 的ASBR 产生,在NSSA 区域传播,由ABR 将
Type7 LSA 转换成Type5 LSA,同时生成一条Type7 0.0.0.0/0 LSA
虚链接不允许穿越NSSA
*nssa default-route-advertise
在ABR 上不论是否本地存在默认路由,(NSSA 必须与骨干区域)才会生成一条Type7
0.0.0.0/0
在ASBR 上上只有本地存在默认路由时,(并且下一跳正确),才会生成Type7 0.0.0.0/0
(4)nssa no-summary (Totally NSSA)
Totally NSSA 区域不允许注入type3、4、5 类LSA
NSSA ARB 只会通过Type3 向区域内发布0.0.0.0/0
OSPF 不能成功建立邻居的要素:
Hello、Dead、Area ID、Router ID、Authentication、Stub tag
OSPF 的防环特性:
(1)区域内SPF 算法保证无环
(2)区域间,必须和骨干区域互联。只有在引入系统外部路由或者使用虚链接的情况下会引
起环路
(3)LSA-3 区域间传递时带有逻辑水平分割特性
(4)在MPLSVPN 环境中,当从superbackbone 重分布进OSPF 的路由为LSA-3 的时候,会
将DN 置位。有这么一种防环方法,
当从一个VRF 接口收到了带有DOWN-BIT 位的LSA-3 的时候不能将其计算成路由。
(5)LSA-4 这个主要用于帮助其他区域的路由器,找到本区域路由器ASBR 的位置,如果找
不到ASBR。LSA-5 将不能放入路由表,
防止黑洞(用在FA=0 的时候);当FA=0 的时候,使用LSA-3 来帮助计算到FA 的距离,
也用于防止黑洞。
而且LSA-3 的路由在路由表中还必须以OSPF 的方式出现。
(6)LSA-5 通过domain-tag 来进行防环。
(7)路由聚合时本地自动产生一条指向null0 的路由防环
(8)Router ID 些许防环特性
BGP :
1.BGP 协议特点
BGP 是一种外部网关协议,与IGP 不同之处在于BGP 工作重点不在于发现和计算路由。而
是在AS 之间传递路由信息以及相应的控制优化路由信息。
BGP 是一种路径矢量协议,使用TCP 协议承载,端口号179 来保证BGP 协议消息的可靠性。
支持CIDR 和路由聚合,采用增量更新来降低路由器CPU 与内存的消耗。
BGP 拥有丰富的路由属性以及强大的路由过滤和路由策略,从而使BGP 可以灵活地对路由
进行选路和控制。
2.BGP 对等体有几种?连接特点,发布BGP 信息特点
BGP 对等体种类:IBGP 和EBGP
连接特点:IBGP 对等体不一定要物理直连,但是一定要TCP 可达。EBGP 通常使用物
理直连。
路由发布特点:BGP 路由器从EBGP 对等体获得路由后,会向所有BGP(IBGP,EBGP)对等
体通告。
为了防止环路,BGP 规定BGP 路由器从IBGP 路由器获得的路由不能再向
IBGP 对等体发布。
为了防止路由黑洞,BGP 从IBGP 路由器获得路由器是否发布给它的EBGP
对等体与是否同步相关。
3.什么是BGP 同步
BGP 同步是指IBGP 和IGP 之间的同步。
开启BGP 同步后:只有当IGP 路由表中有这条路由时,BGP 路由表才会将这条路由置为有
效并发布。
4.BGP 消息种类
Open:用于建立BGP 对等体之间的连接关系并进行参数协商。
keepalive:BGP 路由器会周期发出keepalive 消息,用来保持邻居邻居关系,另一个用途是
用来对Open 报文进行回应。
update:用于在对等体之间交换路由信息。发布可达或不可达路由信息。
Notification:作用于为通知错误。检测到对方发送过来的消息有错误或其他事件,都会发出
Notfication 消息通知邻居,关闭连接,回到idle 状态。
route-refresh:用来要求邻居发送指定地址族的路由信息。
5.BGP 属性分类
公认必遵:所有路由必须识别的属性,必须存在于Update 消息中。主要包括Origin
AS-PATH NEXT-HOP 如果缺少这些属性路由信息就会出错。
公认可选:所有路由器都可以识别,不要求必须存在于Update 消息中,主要包括Loacl-pref
Atomic-aggregate
可选传递:在AS 间具有传递性,BGP 路由器可以不支持此属性,但仍接收此属性路由,并
通告给其他对等体,包括Community Aggregate 属性。
可选非传递:如果BGP 不支持该属性,则忽略属性,不传递给其他对等体,主要包括MED,
CLuster-list Originator-ID
6.BGP 内部防环,外部防环
BGP 内部防环机制:
水平分割:从IBGP 学到的路由不会向IBGP 邻居宣告。
ORIGINATOR ID 属性用于反射器集群内防环
CLUSTER LIST 属性用于反射器集群间防环
联盟中使用扩展AS-PATH 来防止环路。
BGP 外部防环机制:
自治系统之间使用AS-PATH 属性来防止环路
BGP 选路顺序:
1.丢弃下一跳不可达路由。
2.优选首选值最大的路由
3.优选本地优先级最高的路由
4.优选聚合路由/优选本地始发路由
5.优选AS-PATH 最短的路由
6.优选Origin 属性IGP EGP Incomplete 路由
7.优选MED 值较小的路由。
8.EBGP 优于联盟EBGP,联盟EBGP 优于IBGP
9.优选度量值最低的路由
10.优选Cluster list 最短的路由
11.优选Originator id 小的路由
12.优选Router-id 最小对对等体发布的路由。
13.优选地址最小的对等体发布的路由。
BGP 发布路由策略:
1.存在多条路由时,BGP 将最优的发布给对等体
2.BGP 发言者只将自己使用的路由发布给对等体
3.BGP 发言者从EBGP 得到的路由发布给EBGP IBGP 对等体
4.BGP 发言者从IBGP 得到的路由不发布给IBGP
5.BGP 发言者从IBGP 得到的路由发布给EBGP,在关闭同步的同时,IBGP 路由直接被发
布。在开启同步的情况下,该IBGP 路由只有在IGP 路由表中存在才向EBGP 对等体发布,
6.BGP 连接建立后,会向BGP 对等体发送全部BGP 路由。
7.AS-path,NEXT-Hop,Origin,Local-Pref,MED,Preferred-Value
As-path:主要目的是用来防止AS 外部防止环路。用来记录路由经过了哪些AS 路径。选路
优选AS-PATH 短的路由。
Next-hop:用来指示BGP 发言者去往目的下一跳。
(1)BGP 路由器将自己的路由发送给邻居时,下一跳设置为与对端连接的接口IP 地址。
(2)BGP 路由器从EBGP 邻居得到的路由发给IBGP 时,不改变下一跳。下一跳为从EBGP
得到的路由NEXP-HoP 直接传送给IBGP。
(3)BGP 路由器将收到的路由发送给BGP 对等体时,下一跳为本地与对端连接的接口地
址。
(4)在MA 网络,通告路由器和源路由器处在同一个网段。则BGP 会向邻居通告路由的
实际来源。
Origin:指示该条路由是通过何种方式注入BGP 中的。
IGP>EGP>Incomplete
(1)通过Network 命令方式注入BGP 中的路由Origin 属性为IGP
(2)通过EGP 注入BGP 中的路由Origin 属性为EGP
(3)通过引入的方式将路由引入BGP 中,origin 属性为Incomplete
Local-pref:用于在AS 内有多个出口的情况下,判断流量离开时的最佳路径。
通过不同的IBGP 对等体得到的目的地址相同下一跳不同的多条路由时,优选Local-pref 值
高的路由。
Local-pref 属性值影响离开AS 的流量
MED:
BGP 路由器通过不同的EBGP 邻居得到目的地址相同下一跳不同时,在其他条件相同的条
件下,将优选MED 值较小的最为最佳路由。
MED 属性仅在相邻两个AS 之间传递,不会传送给第三方AS。默认情况下BGP 只比较来
自同一个AS 路由的MED 值,不比较来自不同AS MED 值。如果需要比较则要进行特别
配置。
preferred-Value:
为从不同对等体接受到的路由分配不同的preferred-Value 值。拥有最高Preferred-Value 作为
到达目的网络路由。
8.大规模网络问题
大规模BGP 面临的问题: 解决方法:
1.BGP 对等体数目多。可以配置对等体组和团体。BGP 对等体组是
一种简化大量对等体配置的方法,团体可以简化路由策略配置工作。
2.BGP 路由表庞大配置路由聚合,子网路由信息被屏蔽,减少路
由更新流量,在一定程度上避免了路由震荡问题,增加路由稳定性。
3.IBGP 全连接配置BGP 反射器和联邦。反射器通过在内部
建立一个反射器解决IBGP 路由传递问题。联邦是将一个大的自治系统分成若干个小自治系
统来解决AS 内部IBGP 路由传递,
4.路由频繁发生变动。可以配置路由聚合,开启route flag damping
9.BGP 公认团体属性
Internet: 默认情况,所有路由都属于Internet 团体,具有此属性的路由可以被通告给所有的
BGP 对等体
No-Export:具有此属性的路由被接受后,不能被发布到本地AS 之外,如果使用了联盟则
不能被发不到联盟之外。可以通告到联盟及联盟子AS 内。
No-advertise:具有此属性的路由被接受后,不能通告给任何其他的BGP 对等体
No-Export-subconfed:带有此属性的路由不能被发布到本地AS 之外,也不能发布到联盟的
其他子AS
10.BGP 聚合方式各特点
自动聚合和手工聚合
自动聚合:按类聚合,只能对引入的IGP 子网路由进行聚合。不能对从BGP 邻居学习来的
路由和通过network 发布的路由不能进行自动聚合。
11.解决IBGP 全互联技术有哪些?路由反射规则
BGP 反射器和BGP 联盟
反射规则:
从EBGP 收到的路由,反射给所有客户端与非客户端
从客户端收到的路由,发送给所有EBGP 邻居,及客户端,非客户端
从非客户端收到的路由,发送给所有EBGP 邻居,以及客户端,不反射给非客户端。
12.多出口BGP 部署方式有哪些
(1)仅发布缺省路由
(2)发布部分明细路由和缺省路由
(3)发布全部明细路由
IPV6 技术:
ND 协议原理:
IPV6 的ND 协议实现了IPV4 中的一些协议功能,同时提供许多重要功能,ND 包括地址解
析,邻居不可达检测,重复地址检测,无状态地址配置,路由重定向。
1.地址解析:已知目的节点的网络层地址,确定链路层地址的方法,
2.邻居不可达检测:获取邻居链路层地址后,发送消息验证邻居节点是否可达
3.重复地址检测:根据前缀生成或者手工配置IPV6 地址后,主机在使用此地址之前需要验
证此地址是否已经被链路上其他节点所使用。
4.无状态地址配置:主机根据路由发现/前缀发现所获得的信息,自动配置IPV6 地址。
5.路由器重定向:主机只有一条到默认网关的默认路由,当本地链路存在一个到达目的网络
更好的路由器时。默认网关会向主机发送ICMPV6 重定向消息。
RS/RA 用于无状态地址自动配置。ICMPV6 类型
报文名称
NS/NA 用于地址解析。Type133
RS
Tpye134
RA
Type135
NS
Tpye136
NA
Type137
Redirct
IPV6 地址解析工作于网络层相对于IPV4 的ARP 优点、
1.加强了地址解析协议与底层链路的独立性。
2.增加了安全性
3.减少了报文传播范围
邻居不可达状态机:
1.Incomplete(未完成):节点第一次发送NS 报文到邻节点,状态为此。
2.Reachable(可达):邻节点返回应答,表示地址解析成功,将状态置为Reachable
3.Stale(失效):如果长时间不发报文,Reachable 定时器超时,邻居状态进入Stale
4.Delay(延迟):在Stale 发送过报文,且在规定时间内没有可达性消息确认。
5.Probe(探测):每隔一段时间重传邻居请求可达性确认,知道收到确认消息。
IPV6 路由协议:
根据作用范围分2 种:
1.在一个自治系统内部运行的内部网关协议,RIPNG OSPFV3 和IPV6+ISIS
2.运行在不同自治之间的外部网关协议,BGP4+
根据算法分:
1.距离矢量
RIPNG 和BGP4+ BGP 也称为路径矢量协议。
2.链路状态
OSPFV3 IPV6-IS-IS
RIPNG 协议:
1.UDP 端口号521 发送和接收路由信息
2.组播地址:FF02::9
3.前缀长度128 比特IPV6 地址
4.下一跳地址,128 比特的IPV6 地址
5.源地址:使用本地地址FE80::/10 作为源地址发送RIPNG 路由信息更新报文。
OSPV3 协议:
OSPFV3 协议号89 OSPFV3 除了虚连接外,一律使用链路本地地址,虚连接使用全球单
播地址或站点本地地址作为协议报文的源地址。
OSPV3 相对于OSPFV2 改进:
1.运行机制发生变化。
2.功能有所扩展。增加单链路运行多OSPF 实例能力。增加了对不识别的LSA 的处理能力。
协议具备更好的适用性。
3.报文格式变化,取消了验证字段,增加了实例ID 字段。
4.LSA 格式变化。新增两种LSA,对3 4 类LSA 名称进行了修改。
运行机制相同的地方:
1.使用相同的SPF 算法。
2.区域和实例ID 没有变化,OSPFV3 中router-id 仍然是32 位,与ospfv2 相同。
3.相同的邻居发现机制和邻接形成机制
4.相同的LSA 扩散机制和老化机制。
不同之处:
1.ospfv3 基于链路运行,ospfv2 基于网段运行。
2.ospfv3 在同一链路上可运行多个实例。
3.ospfv3 通过router-id 来标识邻接。ospfv2 通过IP 地址标识邻接关系
4.ospfv3 取消了报文中的验证,使用IPV6 中的扩展报头AH 和ESP 来保证报文的完整性和
机密性。
增加了LSA————link-LSA
组播:
1.组播的优缺点
优点:增强效率,控制网络流量,减少服务器和CPU 的负载。
优化性能,消除流量冗余
分布式应用,使多点传输成为可能
缺点:尽最大努力交付
无拥塞控制
数据包重复
数据包的无序交付
2.组播技术需求
1、如何加入/离开组?
2、组播数据如何转发?
3、如何维护组信息?
4、组播转发路径如何建立?
5、如何标识接收者?
这些技术需求实现的机制:组播地址、组播组管理协议、组播分发树模型、组播转发机制、
组播路由协议
3.组播分发树模型
组播分发树是组播数据的转发路径,根据树根位置的不同,组播分发树模型分为:最短路径
树模型(SPT)、共享树模型(RPT)
SPT 是从组播源到达每一个接收者路径都是最优的。
RPT 从组播源到达接收者路由不一定是最优的,因为所有组播流量都需要从RP 中转。
4.组播转发和单播不同点
单播转发关心报文到哪里去
组播转发关心报文从哪里来
组播采用的转发机制-----逆向路径转发
5.组播分类
按域分:域内组播路由协议DVMRP、MOSPF 和PIM
域间组播路由协议MSDP、MBGP
按分发树分:基于SPT 的:PIM-DM、DVMRP、MOSSPF
基于RPT 的:PIM-SM
按模型分:根据接收者对组播源处理方式的不同
ASM(任意信源模型)接收者不能指定组播源加入某组播组。任意组播源发送同一
个组播组数据都会接收。
SSM(指定信源模型)接收者可以指定组播源加入某组播组。
6.组播协议
路由器与路由器之间的协议:PIM
主机与路由器之间的协议:IGMP
组播域与组播域之间的协议:MSDP MBGP
7.组播组管理协议工作机制
1、组播加入和离开组播组
2、路由器维护组播组
3、查询器选举机制
4、成员报告抑制机制
8.IGMPv2 普遍组查询如何进行?特定组查询触发条件?如何进行?
普遍组IGMP 查询周期性的以组播方式向本地网段内的所有主机发送目的地址是224.0.0.1,
TTL 为1.
特定组查询的触发条件:当IGMP 查询器收到成员主机发送的leave-group 报文(目的地址
224.0.0.2)
9.IGMPv3 三种查询如何进行?后两种触发条件?
3 种查询:普遍组查询(General Query) IGMP 查询器周期发送
特定源组查询(Group-and-Source-Specific Query)当收到一个Block(S,G)表项
时,IGMPV3 查询器会发送特定源组查询。
特定组查询(Group-Specific Query)当收到一个TO_IN(S,G)表项时,IGMPV3
会发送特定组查询。
10.PIM 的两种模式?
密集模式和稀疏模式
11.PIM DM PIM SM 的工作模式,应用场景优缺点
工作模式:PIMDM 采用推的方式从组播源泛洪发送到网络中的每个角落。
PIMSM 采用拉的方式从组播源发送到接收者,组播报文只会发送到真正需要
接受组播报文的接收者。
应用场景:PIMDM 使用于接收者较多的场合,如网上教学
PIMSM 使用于接收者较少的场合。
优缺点: PIMDM 优点:实现简单适用于网络环境成员多的场合
缺点:泛洪机制浪费大量的网络带宽
PIMSM 优点:节省网络带宽。
PIMSM 缺点:实现较为复杂。
12.PIM 报文基于什么协议?
IP 协议协议号103 组播地址:224.0.0.13
13.断言机制如何确定唯一的组播转发设备?
1.首先比较到达组播源的单播路由优先级,优先级高的获胜。
2.如果单播路由优先级相同,则比较到达组播源的metric 值,metric 值较小者获胜。
3.如果以上都相同,则本地接口IP 地址大的获胜。
14.触发Prune 消息的条件是?
1.路由器维护的(S.G)表现出接口为空。表示路由器下游没有组播接受者。则路由器会上上游
RPF 邻居发送Prune 消息。
2.当路由器从非RPF 邻居收到组播报文时,会触发断言过程,断言失败的一方会向获胜的一
方发送Prune 消息。
DM 的IGMPv1 查询器选举。
IGMPv1 没有定义查询器选举机制,IGMPv1 中的查询器由上层路由协议选举的DR 来充当
IGMPv1 的查询器。DM 中DR 选举,先比较Hello 消息优先级,相同则比较IP 地址大的路
由器为DR。
15.PIM DM 状态刷新机制?
状态刷新机制为了避免重复扩散剪枝占用大量带宽。
组播源相连的路由器发出状态刷新消息,其他路由器收到State Refresh 消息后会重置剪枝
超时定时器,同时向所有连接的PIM 邻居接口发送。
状态刷新机制使用周期性的协议报文代替了周期性组播报文数据扩散,减少了网络消耗,优
化网络资源。
16.PIM-SM 根、DR 选举原则。
PIM-SM 根分为两段。1.是RP 与组播源,RP-Source 以Source 为根建立(S,G) 2.接
收者与RP 之间接收者以RP 为根建立(*,G)
DR 选举原则:首先比较Hello 包中的优先级,优先级大为DR,优先级相同比较IP 地址IP
地址大为DR。
PIM-SM DR 作用:源端DR:向RP 发送注册消息。接收端DR:向RP 发送JOIN 消息。
17.组播源注册过程:
组播源侧DR 收到组播报文将报文封装在注册消息中,单播发送给RP,RP 收到后判断本地
是否存在(*。G)表项,如果有则将注册消息中的组播报文取出,从(*,G)表项出接口
转发出去。
RP 会为组播源创建(S,G)表项,入接口为收到单播注册报文的接口,RP 向组播源发送
特定源和组加入消息。加入消息沿着RP 指向组播源的单播路由逐跳发送。沿途建立(S,G)
表项。
组播注册停止过程:
组播源发出的报文通过两种方式到达RP,一种由源侧DR 注册封装并单播发给RP,另外一
种是通过源侧DR 本地(S,G)表项组播发给RP。当单播、组播同时到达RP 时,RP 丢弃
单播报文,同时向
源侧DR 淡泊发送注册停止消息,此后,组播报文将沿SPT 发给RP,再由RP 发往RPT。
源侧DR 维护注册抑制定时器,在定时器时间范围内,DR 都以组播发送数据。快超时时,
源侧DR 发送若干空注
册消息,提醒RP 发送注册停止消息,否则DR 会重新单播发送注册封装报文。DR 收到空
注册消息,会立即发送注册停止消息,同时更新本地(S,G)表项,DR 收到注册停止消息
会更新注册抑制定
时器,并继续发送组播报文!
1.加解密简介
明文: 需要被隐蔽的消息
密文: 明文经变换形成的隐蔽形式
加密:把明文信息转化为密文的过程
解密:把密文信息还原成明文的过程
密钥:在明文转换为密文或将密文转换为明文的算法中输入的参数
加密算法分为两类:对称密钥加密算法和非对称密钥加密算法
2.加密算法分类
对称加密:DES(56bit)、3DES(3*56bit)、AES(数据分组长度为128 比特、密钥长度为
128/192/256 比特。)
非对称加密(密钥长度可变):RSA(加密、数字签名、密钥交换)、DSA(数字签名)、DH
(密钥交换)
对称优点:对称加密速度快,对大量数据进行加密
对称缺点:安全性不高
非对称优点:安全性高、密钥的保密功能强
非对称缺点:数据加密速度慢、吞吐量低
3.数据完整性
摘要算法
摘要算法可以验证数据的完整性
HASH 函数计算结果称为摘要,同一种算法,不管输入长度是多少,结果定长
无法从摘要的值反推回原始内容,具有单向性、不可逆性
不同的内容其摘要也不同
HMAC 算法
HMAC(Hash Message Authentication Code)对单输入hash 算法进行了改进
收发双方共享一个MAC 密钥,计算摘要时不仅输入数据报文,还输入MAC 密钥
4.数字签名
数字签名是用签名方的私钥对信息摘要进行加密的一个过程(签名过程所得到的密文即称为
签名信息)
数字签名主要功能:
保证信息传输的完整性
发送者的身份认证
防止交易中的抵赖发生
5.数字证书是什么?为什么要有数字证书?
数字证书就是:将公钥和身份绑定在一起(类似于身份证实名制),由一个可信的第三方(类
似于公安局)对绑定的数据进行签名,以证明数据的可靠性
为了解决公钥的传播、管理以及不可否认
6.什么事PKI?
PKI 是一个签发证书、传播证书、管理证书、使用证书的环境
PKI 保证了公钥的可获得性、真实性、完整性
7.PKI 的5 大系统、4 类实体?
5 大系统:权威认证机构(ca)、数字证书库、密钥备份及恢复系统、证书作废系统、应用
接口(API)
4 类实体:终端实体(DN)、证书机构(CA)、注册机构(RA)、PKI 储存库
8.实体数字证书申请发放到作废过程?
答:1.实体向RA 提出证书申请
2.RA 审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA
3.CA 验证数字签名,同意实体的申请,颁发证书
4.RA 接收CA 返回的证书,发送到LDAP 服务器已提供目录浏览服务,并通知实体证
书发行成功
5.实体获取证书,利用该证书可以与其他实体使用加密、数字签名进行安全通信
6.实体希望撤销自己的证书时,向CA 提交申请。CA 批准实体撤销证书,并更新CRL,
发布到LDAP 服务器
3.VPN 分类
按照业务用途
Access VPN、Intranet VPN、Extranet VPN
按照运营模式
CPE-Based VPN,Network-Based VPN
按照组网模型
VPDN,VPRN,VLL,VPLS
按照网络层次
Layer 2 VPN, Layer 3 VPN
4.IPsec 功能
实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能
5.IPsec 体系结构,安全协议区分,工作模式各特点,IKE 作用
安全协议
负责保护数据
AH/ESP
工作模式
传输模式:实现端到端保护
隧道模式:实现站点到站点保护
密钥管理
手工配置密钥
通过IKE 协商密钥
6.IPsec 保护对象?安全提议作用?什么是安全策略?什么是SA
保护对象:数据流
安全提议的作用:提供安全服务准备使用的一组特定参数。包括安全协议。加密/验证、工
作模式、便于IPsec 双方协商。
安全策略:规定了什么样的数据流采用什么样的安全提议。
SA 是通信双方如何保证通信安全达成的一个协定。
7.IPsec 出入站流程分析,IKE 与ipsec 关系
IKE 为IPSEC 通信双方协商并获得一致的参数。建立共享密钥,建立IPSEC SA。IPSEC 根
据SA 适当的安全协议,对数据包提供相应的安全服务。
出栈数据:
先看SPD,得到的结果为三种。1.丢弃2.不需要ipsec 保护直接转发,3.需要IPSEC 保护。
查找ipsec SA
从SPD 中查找ipsec SA,找到SA 用该SA 提供安全服务转发。找不到SA 就为其创建一个
IPSEC SA
IKE 会为其寻找一个合适的IKE SA,为IPSEC 协商SA,找到就利用该SA 协商IPSEC SA,
否则需要启动IKE 协商进程,创建一个IKE SA 为IPSEC 协商SA
入栈数据:
对一个入站并且目的地址为本地的ipsec 数据包来说,系统会提取其spi、ip 地址和协议类型
等信息,查找相应的入站ipsec sa,然后根据
sa 的协议标识符选择合适的协议(ah 或esp)解封装,获得原始ip 包,再进一步根据原始
ip 包的信息进行处理
8.IKE 协商阶段?主模式与野蛮模式划分(几阶段,几消息)
两个阶段:
阶段1.使用DH 交换建立共享密钥。建立IKE SA 为阶段2 协商提供保护。
阶段2.在阶段1 建立的IKE SA 的保护下完成IPSEC SA 协商。
阶段1 的交换模式为——主模式——和野蛮模式
阶段2 的交换模式为——快速模式。
主模式:3 阶段6 个消息。
野蛮模式:2 个阶段,3 个消息。
野蛮模式与主模式的优缺点:
野蛮模式:用于不确定对方IP 地址情况下。
IKE 野蛮模式使用3 条消息,协商速度快,消息中无法检查cookie,安全性不高。
无法防止DOS 攻击。
主模式: 用于双方知晓IP 地址情况下。
协商使用6 条消息,其中5.6 是加密的,主模式比野蛮模式安全性高。
传输安全:
在一个不安全的网络环境中传输重要数据时!应确保数据的机密性!
对称加密算法中!通信双方共享一个秘密,作为加密/解密的密钥!这个密码可以是直接获
得,也可以是通过某种共享密钥方法推算出来的!
对称加密算法有:
3DES DES RC4 AES
非对称加密称为公开密钥算法!此算法为每个用户分配一对密钥,一个私有密钥和一个公开
密钥。私有密钥由用户自己管理!这两个密钥产生没有相互的关系!
非对称密钥弱点在于速度非常慢!吞吐量低!不适合对大量数据的加密!
非对称加密算法中著名和最流行的是RAS 和DH!!!
为保证数据的完整性,通常使用摘要算法!(HASH)
HASH 函数对一段长度可变的数据进行HASH 计算会得到一段固定长度的结果!
HASH 函数具有单向性!!!
使用NAT 进行安全防御!!!
NAT 是将数IP 数据报文头中的IP 地址转换为另一个IP 地址过程!网络地址转换即对internet
隐藏内部地址!防止内部地址公开!!!
使用NAT 的好处:
(1)内部用户依然能够透明的访问外部网络!
(2)发送到外部网络数据信息都经过了转换,内网地址被屏蔽掉了!外部人员无法获取内
部往来信息!
(3)内网地址信息路由被隔断!外网主动攻击无法到达内网
网络攻击与防御!!
IPS/UTM 设备具备大容量特征库!通常采用IPS/UTM 设备来防御应用层攻击!
IPS 开启防攻击的特征库,对匹配的报文根据情况采取阻断、告警、记录,并实时更新特征
库,保证检测出最新的应用层攻击手段!
畸形报文攻击通过向目标系统发送有缺陷的报文,使得目标系统在处理这样的IP 包时出现
崩贵!给目标带来损失!
畸形报文攻击方式:
1.Ping of Death:Ping of Death 攻击就是利用一些超大尺寸的ping 请求报文对系统进行的一种
攻击!通过发送大于65536 字节的ICMP 包使系统操作系统崩溃!
通常网络中不会出现大于65536 字节的ICMP 包!攻击者可以使用分片机制分割成片段,在
接收端进行重组!最终导致被攻击目标缓冲区溢出!
2.Teardrop:Teardrop 攻击利用UDP 包重组时,重叠偏移的漏洞来对目标系统进行攻击!Linux
和WindownsNT 及windowns 95/98 更容易遭受这些攻击!这种攻击会导致蓝屏死机,并显
示STOP 0x000000a 错误!
3.畸形TCP 报文攻击:TCP 报文含有6 个标志位,即URG,ACK,PSH,RST,SYS、FIN。典
型构造标志位的手段有设置6 个标志位全为1,设置6 个标志为全为0,设置SYS 和FIN 位
同时为1 等!
畸形报文主要通过构造特殊的IP 报文发送给目标系统来进行攻击的,攻击报文属于异常报
文,较为容易半段!
对每种报文进行特征库进行针对性报文过滤:
1.对于Ping of Death 攻击:可以通过检测ping 请求报文长度是否超过65535 字节来辨别是
否为攻击报文,如果超过65535 字节。则直接丢弃报文。
2.针对Teardrop 报文攻击,可通过缓存分片信息,每一个源IP,目的IP,报文ID 相同成一
组,最大为1000 组,缓存达到最大时!直接丢弃后续分片!
同时根据缓存分析IP 报文分段合法性,直接丢弃不合法的IP 报文的方式来抵御攻击!
3.针对畸形报文攻击:可以通过判断TCP 报文标志来判断报文是否为攻击报文!防火墙、IPS
和部分路由器以太网交换机都可以对畸形报文进行抵御。
拒绝服务攻击! 通过大量的数据包攻击系统!使系统无法正常用户请求,主机挂机不能
提供正常的工作!主要有SYS Flood Fraggle 等。
Dos 攻击并不是去寻找进入网络的入口,而是间接影响合法用户对服务的请求。
SYN Flood 攻击特点:
利用合法的报文对目标系统进行攻击!
拒绝服务类攻击大多类似于SYN Flood 攻击!
为了保证目标主机不会瘫痪!采取限制此类报文的接受速率或不处理此类报文的方式进行传
输!
如:限制每秒建立的TCP/UDP 半连接数量,拒绝处理ICMP 地址不可达报文!
SYN Flood 攻击,由于TCP 三次握手!有着更好的防御手段
防止SYN Flood 攻击的一个有效的办法就是采用TCP 代理(运行于防火墙上)
客户端发起连接时,TCP 代理并不将SYN 包直接发给服务器,而是自己伪装成服务器返回
SYSN-ACK 报文,收到客户的ACK 后在以当初客户端发起连接时的信息向真正的服务器发
起连接!
当客户端与服务器传递数据通过防火墙时,防火墙只需要对他们的序列号进行调整就可以
了!
病毒的防范
病毒具有:传播性隐蔽性破坏性
对于病毒的防御要内外兼顾:在内网和外网相连的位置需要通过部署IPS 来阻止病毒进入网
络内部,堵住病毒从外部进入内部的网络通道
在网络内部,对接入的计算机需要进行安全检查,检查计算机上的杀毒软件和病毒库。确保
网络中的计算机都不带病毒。
设备的加固:
网络设备的安全是整个网络安全稳定的前提条件
1.网络设备的安全
非法用户通过各种方式远程登录到设备上,
2.对于设备管理权限的安全威胁
合法用户获取到非法权限
3.对于设备本身的攻击
利用设备开启各类服务:FTP IP 重定向对设备CPU 进行攻击。
4.对于网络资源的安全威胁
非法用户通过大规模消耗设备的相应资源,导致正常用户无法享受服务。
保护设备安全性,就要对于远程接入的用户进行分级管理,对于不同级别登录用户的口令加
强管理,采用密文管理!定期更改!对console 用户也进行认证。
安全加固
进行MAC 地址绑定
部署防ARP 攻击。
路由协议增加认证
VRRP 增加认证
网络安全威胁存在的位置有:
来自内网的安全威胁
来自外网的安全威胁
来自传输过程中的安全威胁
网络安全的分类不是唯一的!从网络,业务层次来分
来自设备物理上
来自网络层
来自应用层
来自病毒
来自安全制度漏洞带来的威胁等方面:
网络安全有效范围:
1.有效的访问控制!
主要基于数据流和基于用户的访问控制!
2.有效识别合法的非法用户!
(1)对接入网络用户认证
(2)对登录网络设备用户认证
3.有效的防伪手段!重要的数据重点保护!
数据传输过程中应该采取防伪措施!防止数据被截取和恶意篡改!
数据加密和防伪主要用于internet 数据传输时的安全保护。
4.内部网络的隐蔽性与外网攻击的防护!
面对外部网络!尽量屏蔽内部网络信息!断绝从外部主动向内部网络发生攻击!
对于一个网络来说!大部分的攻击都是来自于外网的!!!
5.内外网病毒防范!
病毒既可能来自内网也可能来自外网!因此病毒的防御要双管齐下!需对内网中出现的病毒
能及时察觉到!同时将病毒发作的危害降低到最小!抑制病毒蔓延!
6.行之有效的安全管理手段!
网络安全三分靠技术七分靠管理!安全管理涉及方方面面!
安全网络构成!
网络内部
1.接入用户认证!
2.对内网病毒攻击的抑制!
3.严格的访问控制!
对外的安全防御!
1.网络出口启用安全防护手段
2.NAT 访问internet
3.端口映射服务端口!
传输过程中的安全
采用VPN 技术利用加密和防伪技术对业务数据进行处理!!!
完善的管理制度!
局域网业务隔离手段!大多采用VLAN
VLAN 的扩展技术也用于局域网业务隔离!PVLAN SUPER VLAN Hybrid 端口!
广域网业务隔离!
专线隔离!
安全性高!物理隔离!费用最高!
逻辑隔离!
可采用VPN 技术来实现!这些技术可以实现在公有的网络平台上建立虚拟私有的私有VPN
隧道!L2TP GRE IPSEC SSL 都是点到点隧道!自能连接两个节点!
MPLS VPN 能在一个公有网络平台上建立全网状的隧道!
由于所有VPN 技术都在物理通道上虚拟出逻辑通道!和其他业务都是共享物理带宽!如果
要保证相应带宽可采取QOS 技术来保障!隧道技术本身无法保证其隧道带宽!
安全性!
所有VPN 技术安全性低于专线!
L2TP GRE 本身没有对数据报文加密!IPSEC SSL 本身具有完善的封装的数据报文加密功
能!
MPLS 网络前提是对整个公有网络平台的绝对控制!在安全性上高于不加密的L2TP GRE
技术!!
访问控制!
对数据流的区分!使用不同的控制策略来对待!
通过对数据流的区分通常用ACL 来实现!根据需要可以使用2 层3/4 层流的分类规则来对
数据流进行区分!
访问控制一般在
用户接入入口使用!
对没个用户精确细化控制!配置量大,对接入设备要求高!
在业余区域交汇处使用!
在访问区域内进行严格访问资源!有点事配置量小!能对关键业务区域进行有效的保护!缺
点是失去了对用户的控制!
防火墙技术
包过滤防火墙是最常见的防火墙技术!
包过滤防火墙技术的实现是通过ACL 实现对IP 数据包的过滤!
包过滤防火墙技术为静态防火墙,主要根据设备配置的ACL 来静态地过滤各个报文!并不
能分析各个报文之间的关系!
静态防火墙存在的问题!
1.对于多通道的应用层协议!部分安全策略无法预知
2.无法检测某些来自于传输层和应用层协议的攻击行为!TCP SYN JAVA
状态防火墙ASPF 基于应用层包过滤
能够实现应用层检测FTP HTTP SMTP RTSP H.323,能实现传输层协议检测TCP/UDP 检测
SSL VPN
1.SSL 协议简介:
SSL 安全套接层是一个安全协议,为基于TCP 的应用层协议提供安全连接,如SSL 可以为
HTTP 协议提供安全连接。
2.SSL 安全实现:
(1)连接的私密性:在SSL 握手阶段生成密钥后,用对称加密算法对传输数据进行加密。
(2)身份认证:对服务器和客户端进行基于证书的身份认证(其中客户端认证是可选的)
(3)连接的可靠性:消息传输过程中使用基于密钥的MAC 消息验证码来检验消息的完整性。
3.SSL 的通信分层:
(1)握手层:用于协商会话参数,建立SSL 连接。
(2)记录层:用于加密传输数据,封装传输报文。
4.握手层:
(1)握手协议:负责建立SSL 连接,维护SSL 会话。通信双方可以协商出一致认可的最高级
别的加密处理能力,以及加密所需的各种密钥参数。
(2)告警协议:SSL 通信期间,如果握手协议模块或者上层应用程序发现了某种异常,可以通
过“告警协议”模块发送“告警消息”给另一方。其中有一条消息“关闭通知"消息,用于
通知对方本端将关闭SSL 连接。
(3)密钥改变协议:协商出密钥后,握手协议模块通过“密钥改变协议”模块向对方发送一个
“密钥改变”报文,通知对方的记录层:本方后续发送的报文将要启用刚才协商好的密钥参
数。
5.记录层:
(1)保护传输数据的私密性,对数据进行加密和解密。
(2)验证传输数据的完整性,计算报文的摘要。
(3)提高数据的传输效率,对数据进行压缩。
(4)保证数据传输的有序性和可靠性。
5.可取的SSL 版本:
3.1(TLS1.0)、3.0(SSL3.0)、2.0(SSL2.0)
6.握手过程:
(1)无客户端认证的全握手过程。
(2)有客户端认证的全握手过程。
(3)会话恢复过程。
7.SSL VPN 的接入方式:
(1)IP 接入
(2)TCP 接入
(3)WEB 接入
8.SSL 访问控制:
可以提供高细粒度的访问控制,控制的粒度可以达到URL、文件、目录、服务器端口和IP
网段等
9.SSL VPN 的两种授权管理方式:
(1)静态授权:身份验证是静态授权的核心内容,用户的权限只和账号有关。可以使用本地
认证、Radius 或LDAP 认证。
(2)动态授权:静态认证、安全策略、安全状态和安全级别的集合。
10.SSL VPN 的组网部署方式:
(1)单臂模式:设备不处在网络流量的关键路径上,设备的单点故障不会造成全网通信中断,
SSL 网关的处理性能不会影响整个网络的性能,不足之处在于其不能全面的流量控制。
(2)双臂模式:SSL-VPN 网关跨越在内网和外网之间。所有访问流量都经过SSL 网关,达到
流量的全面控制,不足之处在于其单点故障造成的通信终端,通常与防火墙集成时,采用此
模式组网。
WLAN
802.11 802.11a 802.11b 802.11g 802.11n
2Mbps 54Mbps 11Mbps 54Mbps 600Mbps
802.11b/g 非重叠频道:1、6、11 2、7、12 3、8、13 4、9、14
WLAN
1.主要的无线技术
IrDA
利用红外线进行点到点的无线通讯,速率可达4Mbps
BlueTooth
工作在2.4GHz 频段,采用跳频技术,速率为1Mbps
3G
包括WCDMA、CDMA2000、TD-SCDMA,速率可达10Mbps
802.11a/b/g/n
主流的IEEE 802.11 无线标准,工作在2.4GHz 或5GHz 频段,最大速率为11Mbps、54Mbps
或300Mbps
2.为什么使用WLAN 网络?
自由、经济、高效
凡是自由空间均可连接网络,不受限于线缆和端口位置。
终端与交换设备之间省去布线,有效降低布线成本。
适用于特殊地理环境下的网络架设,如隧道、港口码头、高速公路
不受限于时间和地点的无线网络,满足各行各业对于网络应用的需求。
3.WLAN 相关组织和标准
IEEE Wi-Fi 联盟IETF CAPWAP WAPI 联盟
4.802.11 协议的发展进程
频率2.4 2.4、5 2.4 2.4&5 (GHz)
速率2 11 54 54 300 (Mbit/s)
协议802.11 802.11b、802.11a 802.11g 802.11n
时间1997 1999 2003 2009
5.WLAN 面临的挑战与问题?
干扰
工作在相同频段的其他设备会对WLAN 设备的正常工作产生影响
2.4GHz 为ISM 频段,不需授权即可使
编辑回复