admin管理员组文章数量:1630189
一、OSI
应用层:直接与用户和应用程序打交道,负责对软件提供接口
表示层:关注传输信息的语法和语义,还负责数据加密和压缩
会话层:建立会话关系,并保持会话过程和畅通,还提供差错恢复
传输层:数据分段,创建端到端的连接,差错校验和重传
网络层:编址、路由选择、拥塞控制、异种网络连接、数据分片和重组
数据链路层:帧同步,数据链路建立、维持和释放、传输资源控制、流量控制、差错控制、
寻址、标识上层数据
物理层:机械特性、电气特性、功能特性、规程特性、比特流的传输
二、PPP
2.1、会话过程:
(1)当物理层不可用时, PPP 链路处于Dead 阶段,链路必须从这个阶段开始和结束。
(2)当物理层可用时进入Establish 阶段。PPP 链路在Establish 阶段进行LCP 协商,协商的
内容包括是否采用链路捆绑、使用何种验证方式、最大传输单元等。协商成功后LCP 进入
Opened 状态,表示底层链路已经建立。
(3)如果配置了验证,则进入Authenticate 阶段,开始CHAP 或PAP 验证。
(4)如果验证失败则进入Terminate 阶段,拆除链路, LCP 状态转为Down;如果验证成功则
进入Network 阶段,由NCP 协商网络层协议参数,此时LCP 状态仍为Opened,而NCP 状
态从Initial 转到Request。
(5)NCP 协商支持IPCP 协商, IPCP 协商主要包括双方的IP 地址。通过NCP 协商来选择和
配置一个网络层协议。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条
PPP 链路发送报文。
(6)PPP 链路将一直保持通信,直至有明确的LCP 或NCP 帧来关闭这条链路,或发送了某
些外部事件(例如线路被切断)。
2.2、PAP 验证过程:
PAP 验证为两次握手验证,验证过程仅在链路初始建立阶段进行
(1)被验证方以明文发送用户名和密码到主验证方。
(2)主验证核实用户名和密码。如果此用户名合法且密码正确,则会给对端发送ACK 消息,
通告对端验证通过,允许进入下一阶段;
如果用户名或密码不正确,则发送NAK 消息,通告对端验证失败。
(3)PAP 验证失败后并不会直接将链路关闭。只有验证失败次数达到一定值时,链路才会被
关闭,这样可以防止因误传,线路干扰等造成不必要的LCP 重新协商过程。
2.3、CHAP 验证过程:
CHAP 验证为三次握手验证,CHAP 协议是在链路建立的开始就完成的。在链路建立完成后
的任何时间都可以重复发送进行再验证。
(1)Challenge:主验证方主动发送验证请求,主验证方向被验证方发送一个随机产生的数值,
并同时将本端的用户名一起发送给验证方。
(2)Response:被验证方接收到主验证方的验证请求后,检查本地密码。如果本地接口上配置
了默认的CHAP 密码,则被验证方选用此密码;
如果没有配置默认的CHAP 密码,则被验证方根据报文中主验证当的用户名在本端的用户
表中查找该用户对应的密码,并选用找到的密码。随后,
被验证方利用MD5 算法对报文ID、密码和随机数生成一个摘要,并将摘要和自己的用户名
发回主验证方。
(3)Acknowlede or Not Acknowlege:主验证方用MD5 算法对报文ID、本地保存的被验证方
密码和原随机数生成一个摘要;并与收到的摘要值进行比较。
如果相同,则向被验证方发送Acknowledge 消息声明验证通过;如果不同,则验证不通过,
向被验证方发送NotAcknowledge。
2.4、PAP 和CHAP 的区别:
(1)PAP 通过两次握手的方式来完成校验,而CHAP 通过三次握手验证远端节点,PAP 验证
由被验证方首先发起验证请求,而CHAP 验证由主验证方首先发起验证请求。
(2)PAP 密码以明文方式在链路上发送,并且当PPP 链路建立后,被验证方会不停的在链路
上反复发送用户名和密码,直到身份验证过程结束,所有不能防止***。
CHAP 在网络上传输用户名,而并不传输用户密码,因此它的安全性要比PAP 高。
三、VLAN 的划分方式:
1.基于端口
2.基于MAC 地址
3.基于协议
4.基于IP 子网
缺省情况下,VLAN 将按照MAC VLAN > IP 子网> 协议VLAN > 端口VLAN 顺序匹配
四、GVRP (GARP VLAN 注册协议)
4.1、GARP 简介:
GARP 提供了一种机制,用于协助同一个局域网内的交换成员之间分发、传播和注册某种信
息(如VLAN、组播地址等)。
GARP 本身不作为一个实体存在于设备中,遵循GARP 协议的应用实体称为GARP 应用,
GVRP 就是GARP 的一种应用。当GARP 应用实体存在于设备的某个端口上时,该端口对
应于一个GARP 应用实体。
目的MAC 地址为0180-C200-0021
4.2、GARP 消息和定时器:
GARP 成员之间的信息交换借助于消息的传递来完成,主要有三类消息起作用,分别为Join
消息、Leave 消息和LeaveAll 消息。
(1)当一个GARP 应用实体希望其它设备注册自己的属性信息时,它将对外发送Join 消息;
当收到其它实体的Join 消息或本设备静态配置了某些属性,需要其它GARP 应用实体进行
注册时,它也会向外发送Join 消息。
(2)当一个GARP 应用实体希望其它设备注销自己的属性信息时,它将对外发送Leave 消息;
当收到其它实体的Leave 消息注销某些属性或静态注销了某些属性后,它也会向外发送
Leave 消息。
(3)每个GARP 应用实体启动后,将同时启动LeaveAll 定时器,当该定时器超时后GARP
应用实体将对外发送LeaveAll 消息,LeaveAll 消息用来注销所有的属性,以使其它GARP
应用实体重新注册本实体上所有的属性信息。
Join 消息、Leave 消息与LeaveAll 消息配合确保信息的重新注册或注销。
通过消息交互,所有待注册的属性信息可以传播到同一局域网配置了GARP 的所有设备上。
4.4、5 类消息:
Empty
JoinIn
JoinEmpty
Leave
LeaveAll
4.5、4 种定时器:
Hold 当GARP 应用实体接收到其它设备发送的注册信息时,不会立即将该注册信息
作为一条Join 消息对外发送,而是启动Hold 定时器,当该定时器超时后,GARP 应用实体
将此时段内收到的所有注册信息放在同一个Join 消息中向外发送,从而节省带宽资源。
Join GARP 应用实体可以通过将每个Join 消息向外发送两次来保证消息的可靠传输,
在第一次发送的Join 消息没有得到回复的时候,GARP 应用实体会第二次发送Join 消息。
两次Join 消息发送之间的时间间隔用Join 定时器来控制
Leave 当一个GARP 应用实体希望注销某属性信息时,将对外发送Leave 消息,接收
到该消息的GARP 应用实体启动Leave 定时器,如果在该定时器超时之前没有收到Join 消
息,则注销该属性信息
LeaveAll 每个GARP 应用实体启动后,将同时启动LeaveAll 定时器,当该定时器超时后,
GARP 应用实体将对外发送LeaveAll 消息,以使其它GARP 应用实体重新注册本实体上所
有的属性信息。随后再启动LeaveAll 定时器,开始新的一轮循环。
取值:
Hold 小于等于1/2 Join (100ms)
Join 小于1/2 Leave 大于等于2 倍Hold (200ms)
Leave 小于LeaveAll 大于2 倍Join (600ms)
LeaveAll 上限327650ms 下限大于Leave
4.6、3 种注册模式:
Normal 允许该端口动态注册、注销VLAN,传播动态VLAN 以及静态VLAN 信息。
Fixed 禁止该端口动态注册、注销VLAN,只传播静态VLAN 信息,不传播动态VLAN
信息。也就是说被设置为Fixed 模式的Trunk 口,即使允许所有VLAN 通过,实际通过的
VLAN 也只能是手动配置的那部分。
Forbidden 禁止该端口动态注册、注销VLAN,不传播除VLAN1 以外的任何的VLAN 信
息。也就是说被配置为Forbidden 模式的Trunk 端口,即使允许所有VLAN 通过,实际通过
的VLAN 也只能是VLAN 1。
GVRP 配置命令:首先全局GVRP,才能开启端口GVRP
五、Isolate-user-vlan
Isolate-user-vlan(用户隔离VLAN 二层) 降低VLAN 数量,三层网关共享
Isolate-user-vlan 用于上行连接(本地代理ARP 实现三层互通)
Secondary vlan 之间二层帧互相隔离
建立Isolate-user-vlan 和Secondary vlan 映射后,禁止向Secondary 添加删除端口已经删除
VLAN
六、Super VLAN (VLAN 聚合三层)
Supervlan 只建立三层VLAN 端口,不包含物理端口(subvlan 集合,提供三层转发)
Subvlan 只包含物理端口,不建立三层VLAN 接口与Supervlan 建立映射
ISOlate-user-vlan 网关位于远端设备
Supervlan 网关位于本设备
Proxy ARP (代理ARP) (接口视图开启)
普通代理:互通设备分别连接到设备不同三层接口且不在同一MA
本地代理:互通设备分别连接到设备同一三层接口且不在同一MA
-----------------------------------------------------------
七、QinQ 的产生背景
IEEE802.1Q 中定义的VLAN Tag 域中只有12 个比特位用于表示VLAN ID,所以设备最多
可以支持4094 个VLAN。在实际应用中,尤其是在城域网中,需要大量的VLAN 来隔离用
户,4094 个VLAN 远远不能满足需求。
QinQ 特性使网络最多可以提供4094X4094 个VLAN,满足城域网对VLAN 数量的需求,它
主要解决了如下几个问题:
(1)缓解日益紧缺的公网VLAN ID 资源问题。
(2)用户可以规划自己的私网VLAN ID,不会导致和公网VLAN ID 冲突。
(3)为小型城域网或企业网提供一种较为简单的二层××× 解决方案。
QinQ 报文在公网传输时带有双层VLAN Tag,内层VLAN Tag 为用户私网VLAN Tag,外层
VLAN Tag 为运营商分配给用户的VLAN Tag(接口视图qinq enable)
如果收到带有VLAN 标签,再封装一次
如果收到未携带VLAN 标签,封装默认标签
-----------------------------------------------------------
八、STP
STP(802.1D):消除链路层环路基本思想是将网络拓扑修建为树形
8.1、STP 原理
通过阻塞冗余链路来消除数据链路层的环路,在活动链路故障时,激活冗余链路来恢复网络
连通性,保证网络正常通信,
8.2|选举大致过程
在网络中选举一个树根节点,其他为非树根节点。
每个非树根节点选择最优路径与根节点相连,非树根节点位于最优路径的端口为根端口。
为每个物理段选举一个指定端口
阻塞非指定端口
根桥在Hell Time (2s)周期发送配置BPDU 01-80-C2-00-00-0021
老化时间为MAX Age(20s)
Forward Delay: 15s
配置BPDU 仅从根桥指定端口周期发出,TCN BPDU 仅从除根桥以外的根端口发出
BrigeID:16 位优先级+48 位MAC 地址桥ID 比小
PortID:桥优先级+端口号
桥优先级<0-61440>步长4096 默认32768
端口优先级<>默认128
优先级向量:桥ID/根路径代价/指定桥ID/指定端口ID/接收端口ID(只存在本地)
配置BPDU/TCNBPDU
STP 计算先确定根桥和确定端口角色:
1.初始交换机会发送以自己为根桥的配置BPDU
2.离根桥最近的端口为根端口,在物理网段上发送的BPDU 优于收到的BPDU,为指定端口
配置BPDU 比较:(可抢占)
1、最小根桥ID
2、最短根路径代价
3、最小指定桥ID
4、最小指定端口ID
8.3、STP 端口状态:
Disable
Blocking
Listening (发送配置BPDU,不学习MAC) (中间状态)
Learning (中间状态)
Forwarding
8.4、STP 拓扑改变处理流程:
(1)网桥感知到拓扑变化,(除网桥)都可以产生TCN BPDU 从跟端口发送
(2)若收到TCN BPDU 网桥不是根桥,则会发送TCA 位置的BPDU 作为确认
(3)上游网桥从根端口继续发送TCN BPDU 发送到网桥
(4)根桥收到TCN BPDU 后,会将下一个要发送的配置BPDU 中的TCA 位置位,并将该配置BPDU 中的TC 位置位
STP 使用TCN BPDU 从中断到恢复之间的等待时间最长为MAX Age +2xForward Delay
如果非根桥从根端口收到低优先级的BPDU,不会将立即更新BPDU,而是等待自身BPDU
老化
如果非根桥从根端口收到高优先级的BPDU,立即更新自身BPDU
如果非根桥从指定端口收到低优先级的BPDU,会立即一个配置BPDU,这样可以保证新加
入的桥立即确认根桥和端口角色
如果非根桥从指定端口收到高优先级的BPDU,会立即将指定端口改为根端口,拓扑重新收
敛
8.5、TCN BPDU 产生有两个条件:
(1)网桥有端口转变为Forwarding,且包含一个指定端口
(2)网桥有端口从Forwarding 或Learning 转变为Blocking
STP 协议不足:STP 为了避免临时环路产生,每个端口在确认为根端口或指定端口后扔需要
等待30s 才能进入转发
-----------------------------------------------------------
九、RSTP(802.1W)
RSTP 具备STP 的所有功能,但其仅使用了一种类型的BPDU
RSTP 与STP 的改进之处:
(1)增加了端口状态,
(2)减少了端口角色
(3)RSTP BPDU 格式与发送方式有所改变
(4)增加了边缘端口,根端口,指定端口(P/A 机制)等快速收敛机制
当阻塞端口收到的更优的配置BPDU 来自于其他网桥,该端口为Alternate
当阻塞端口收到的根由的配置BPDU 来自于本网桥是,该端口为Backup
RSTP 对BPDU 的发送方式做了改进,RSTP 中网桥可以自行从指定端口发送RST BPDU,
周期为Hello-time
RSTP 保活机制:在3 个连续的Hello time 时间内网桥没有收到对端指定桥发送的RSTP
BPDU,则网桥端口保存的RST BPDU 老化,认为与对端网桥连接中断
在STP 中只有在指定端口收到低优先级的配置BPDU 时,才会立即回应,处于阻塞状态的
端口不会对低优先级的配置BPDU 做出响应
在RSTP 中,如果阻塞状态的端口收到低优先级的RST BPDU,也可以立即对其做出回应
边缘端口:边缘端口一旦收到BPDU,则立即丢失边缘端口的特征,变成一个普通的
spanning-tree 接口
根端口快速切换:
当旧的根端口进入阻塞状态是,网桥会选择优先级
P/A 机制:(在点到点链路握手机制):指定端口可以通过与对端网桥进行一次握手,一颗快
速进入转发状态,期间不需要任何定时器
收到Proposal 置位的RST BPDU 后,网桥会判断接收端口是否为根端口,如果是,网桥会
启动同步过程,阻塞除边缘端口和根端口外的指定端口,根端口将进入转发状态并回复
Agreement 置位的RST BPDU(复制Proposal RST BPDU)
如果指定端口发送的Proposal BPDU 后没有收到Agreement BPDU,则该端口将切换到STP
方式,需要等待30s 才能进入转发状态
RSTP 拓扑改变触发条件:非边缘端口转变为Forwrding
发现拓扑变化的网桥:1.为所有非边缘端口的其他端口启动一个计时器TC while timer
(2xhello)
2.清空这些端口上的MAC 地址
3.在TC while timer 有效期内,这些端口向外发送TC 置1 的BPDU
其它网桥收到TC RST BPDU:1:清空除收到TC 端口以外所有端口MAC
2:在所有端口和根端口上启动TC while Timer 并发送TC
RSTP 和STP 兼容:当RSTP 网桥的端口连续3 次接收配置BPDU 时,网桥认为该端口和
STP 网桥相连,仅将该端口将切换到STP 协议运行。当运行STP 的网桥移除后,有RSTP
模式切换到STP 模式的端口仍将运行在STP 模式。
选用合适的Hello Time、Forward Delay 与Max Age 可加快生成树收敛速度
[H3C]stp bridge-diameter <2-7> (网络直径)
[H3C-Ethernet0/1] stp edged-port {enable|disable} (边缘端口)
[H3C-Ethernet0/1] stp mcheck (自动迁移到RSTP/MSTP)
配置Hello Time 时间应注意:
1.配置较长的Hello Time 时间可以降低生成树计算消耗。但是过长的Hello Time 时间会导致
对链路故障的反应延迟。
2.配置较短的Hello Time 可以增强生成树的壮健性,但是果断的Hello Time 时间会导致频繁
的发送配置消息。增加CPU 的负担。
配置BPDU 的生存期。
1.配置过长的Max Age 会导致链路不能被及时的发现。
2.配置较短的Max Age 会在网络拥塞的情况下是交换机错误的以为链路故障,造成频繁的生
成树计算。
配置Forward Delay
配置过长的Forward delay 会导致生成树的收敛慢。
配置较短的Forward delay 会在拓扑改变时,引起临时环路问题。
-----------------------------------------------------------
MSTP (802.1s)
MSTP 的特点如下:
MSTP 设置VLAN 映射表(即VLAN 和生成树的对应关系表),把VLAN 和生成树联系起
来。通过增加“实例”(将多个VLAN 整合到一个集合中)这个概念,将多个VLAN 捆绑到
一个实例中,以节省通信开销和资源占用率。
MSTP 把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
MSTP 兼容STP 和RSTP。
MST 域(Multiple Spanning Tree Regions,多生成树域)
都启动了MSTP;
具有相同的域名;
具有相同的VLAN 到生成树实例映射配置;
具有相同的MSTP 修订级别配置;
这些设备之间在物理上有链路连通。
IST(Internal Spanning Tree,内部生成树)是MST 域内的一棵生成树。
CST(Common Spanning Tree,公共生成树)是连接交换网络内所有MST 域的单生成树。
CIST(Common and Internal Spanning Tree,公共和内部生成树) ,由IST 和CST 共同构成。
MST 域内IST 和MSTI 的根桥就是域根。MST 域内各棵生成树的拓扑不同,域根也可能不
同。
总根(Common Root Bridge)是指CIST 的根桥。
域边界端口是指位于MST 域的边缘,用于连接不同MST 域、MST 域和运行STP 的区域、
MST 域和运行RSTP 的区域的端口。
Master 端口:连接MST 域到总根的端口,位于整个域到总根的最短路径上。从CST 上看,
Master 端口就是域的“根端口”
Alternate 端口:根端口和Master 端口的备份端口。当根端口或Master 端口被阻塞后,Alternate
端口将成为新的根端口或Master 端口。
Backup 端口:指定端口的备份端口。当指定端口被阻塞后,Backup 端口就会快速转换为新
的指定端口,并无时延的转发数据。
MSTP 的基本原理:
MSTP 将整个二层网络划分为多个MST 域,各个域之间通过计算生成CST;域内则通过计
算生成多棵生成树,每棵生成树都被称为是一个多生成树实例。其中实例0 被称为IST,其
它的多生成树实例为MSTI。MSTP 同STP 一样,使用配置消息进行生成树的计算,只是配
置消息中携带的是设备上MSTP 的配置信息。
(1)CIST 生成树的计算:
通过比较配置消息后,在整个网络中选择一个优先级最高的设备作为CIST 的根桥。在每个
MST 域内MSTP 通过计算生成IST;同时MSTP 将每个MST 域作为单台设备对待,通过计
算在域间生成CST。CST 和IST 构成了整个网络的CIST。
(2)MSTI 的计算:
在MST 域内,MSTP 根据VLAN 和生成树实例的映射关系,针对不同的VLAN 生成不同的
生成树实例。每棵生成树独立进行计算,计算过程与STP 计算生成树的过程类似,请参见
“STP 的基本原理”。
MSTP 中,一个VLAN 报文将沿着如下路径进行转发:
在MST 域内,沿着其对应的MSTI 转发;
在MST 域间,沿着CST 转发。
衡量路由协议性能指标:
1.协议计算的正确性
2.协议收敛速度
3.协议所占系统开销
4.协议自身的安全性
5.协议适用的网络规模
可路由协议是指可以被路由器在不同逻辑网段间路由的协议。如IP IPX 协议。
路由协议是指维护计算路由信息的协议。
无类、有类路由查找,指的是路由器在进行路由表查找的方式
无类的路由查找方式:是当路由器收到一个数据包的时候,不会关心数据包目的地址的类别,
会将这个数据包的目的地址和路由表中的每个条项目进行逐位匹配,最长的一条被用来数据
转发
有类路由的查找方式:是当路由器收到一个数据包的时候,会查看数据包目的地址所属的
主类网络号在本路由的路由表是否存在,若有主类网络,再查看有没有属于这个主类网络的
子网网络
如果存在子网网络,进一步再查看这个数据包目的IP 地址是否存在于这个子网网络范围内,
若存在于这个范围,则转发,否则丢弃。(即使存在缺省路由)
OSPF
1.OSPF 协议优点/特点
引入Router-id,区域内的每台路由器行为能很好的被跟踪、
使用组播发送协议报文,节省资源。
路由收敛速度较快
以开销(Cost)作为度量值
采用的SPF 算法可以有效的避免环路
OSPF 采用分层设计可适用于大中小规模网络
OSPF 定义多种手段确保信息的可靠准确。
2.OSPF 三张表
邻居表
LSDB
路由表
3.划分区域优势
减少区域内LSA 数量
便于管理
减少路由震荡的影响
4.OSPF 路由类型
区域内路由器(Internal Router)
区域边界路由器(ABR,Area Border Router)
骨干路由器(Backbone Router)
自治系统边界路由器(ASBR, Autonomous System Border Router )
5.Router-id 如何选
一台路由器如果要运行OSPF 协议,则必须存在Router ID(RID)。RID 是一个32 比特无符
号整数,可以在一个自治系统中唯一的标识一台路由器。
RID 可以手工配置,也可以自动生成。
如果没有通过命令指定RID,将按照如下顺序自动生成一个RID:
如果当前设备配置了Loopback 接口,将选取所有Loopback 接口上数值最大的IP 地址作为
RID;
如果当前设备没有配置Loopback 接口,将选取它所有已经配置IP 地址且链路有效的接口上
数值最大的IP 地址作为RID。
6.OSPF 网络类型
Broadcast
NBMA
P2MP
P2P
7.OSPF 协议包
Hello
DD
LSR
LSU
LSACK
8.DR/BDR 选举
首先比较Hello 报文中携带的优先级
优先级最高的被选举为DR,优先级次高的被选举为BDR
优先级为0 的不参与选举
优先级一致的情况下,比较Router ID
Router ID 越大越优先
保持稳定原则
当DR/BDR 已经选举完毕,就算一台具有更高优先级的路由器变为有效,也不会替换该网
段中已经选举的DR/BDR 成为新的DR/BDR。
9.各类LSA 产生,传播范围,描述链路状态
Type1 LSA(Router LSA)每个路由器都会产生,仅在区域内传播,描述区域内内部与路由
器直连的信息。
Type2 LSA(Network LSA)由DR 生成只在区域内传播
Type3 LSA(Summary LSA)由ABR 生成,将所连接区域内部的type1 type2 LSA 收集起来以
子网的形式传播到相邻区域
Type4 LSA(ASBR Summary LSA) 由ABR 生成,描述的目标网络是ASBR 的Router ID,生
成的前提是ABR 收到了5 类LSA 的触发。
Type5 LSA(AS External LSA)由ASBR 产生,描述到AS 外部的路由信息。一旦生成将在OSPF
系统内传递,除配置了特殊区域以外。
携带的外部路由信息可以分为两种:
第一类外部路由
第二类外部路由
Type7 LSA NSSA 区域ASBR 产生,只在NSSA 区域内传播,描述到AS 外部的路由信息
10.OSPF 选路原则
(1)按照路由类型的优先级选择
区域内路由(Intra Area)
区域间路由(Inter Area)
第一类外部路由(Type1 External)
第二类外部路由(Type2 External)
(2)在类型相同的情况下,选择路由开销(Cost)较小的路由。
OSPF 协议引入外部路由时导致的问题及解决方法:
当OSPF 协议同时引入多条前缀相同,但是掩码不同的外部路由时,需要将掩码较长的LSA
主机位全部置1,以子网广播地址作为他的LS ID
11.OSPF 特殊区域及其各特点
(1)Stub 区域
Stub 区域是一些特定的区域,目的是为了减少区域中路由器的路由表规模以及路由信息
传递的数量
Stub 区域内不能存在ASBR
Stub 区域不允许注入type4、5 类LSA
Stub ABR 会产生一条0.0.0.0/0 type3 LSA
配置Stub 区域应注意:
骨干区域不能配置为Stub
Stub 区域不允许存在ASBR
虚连接不能穿越Stub 区域
Stub 区域存在多个ABR,可能会产生次优路由
(2)Totally Stub 区域
为了进一步减少Stub 区域中路由器的路由表规模以及路由信息传递的数量,可以将该区
域配置为Totally Stub(完全Stub)区域
Totally Stub 不仅不允许注入type4、5 类LSA,同时不允许注入type3 LSA
Stub 区域不允许注入type3、4、5 类LSA
Stub ABR 会产生一条0.0.0.0/0 type3 LSA
(3)NSSA 区域
不允许Type4、5 LSA 注入,但可以允许Type7 LSA 注入
来源于外部路由的Type7 LSA 有NSSA 的ASBR 产生,在NSSA 区域传播,由ABR 将
Type7 LSA 转换成Type5 LSA,同时生成一条Type7 0.0.0.0/0 LSA
虚链接不允许穿越NSSA
*nssa default-route-advertise
在ABR 上不论是否本地存在默认路由,(NSSA 必须与骨干区域)才会生成一条Type7
0.0.0.0/0
在ASBR 上上只有本地存在默认路由时,(并且下一跳正确),才会生成Type7 0.0.0.0/0
(4)nssa no-summary (Totally NSSA)
Totally NSSA 区域不允许注入type3、4、5 类LSA
NSSA ARB 只会通过Type3 向区域内发布0.0.0.0/0
OSPF 不能成功建立邻居的要素:
Hello、Dead、Area ID、Router ID、Authentication、Stub tag
OSPF 的防环特性:
(1)区域内SPF 算法保证无环
(2)区域间,必须和骨干区域互联。只有在引入系统外部路由或者使用虚链接的情况下会引
起环路
(3)LSA-3 区域间传递时带有逻辑水平分割特性
(4)在MPLS××× 环境中,当从superbackbone 重分布进OSPF 的路由为LSA-3 的时候,会
将DN 置位。有这么一种防环方法,
当从一个VRF 接口收到了带有DOWN-BIT 位的LSA-3 的时候不能将其计算成路由。
(5)LSA-4 这个主要用于帮助其他区域的路由器,找到本区域路由器ASBR 的位置,如果找
不到ASBR。LSA-5 将不能放入路由表,
防止黑洞(用在FA=0 的时候);当FA=0 的时候,使用LSA-3 来帮助计算到FA 的距离,
也用于防止黑洞。
而且LSA-3 的路由在路由表中还必须以OSPF 的方式出现。
(6)LSA-5 通过domain-tag 来进行防环。
(7)路由聚合时本地自动产生一条指向null0 的路由防环
(8)Router ID 些许防环特性
BGP :
1.BGP 协议特点
BGP 是一种外部网关协议,与IGP 不同之处在于BGP 工作重点不在于发现和计算路由。而
是在AS 之间传递路由信息以及相应的控制优化路由信息。
BGP 是一种路径矢量协议,使用TCP 协议承载,端口号179 来保证BGP 协议消息的可靠性。
支持CIDR 和路由聚合,采用增量更新来降低路由器CPU 与内存的消耗。
BGP 拥有丰富的路由属性以及强大的路由过滤和路由策略,从而使BGP 可以灵活地对路由
进行选路和控制。
2.BGP 对等体有几种?连接特点,发布BGP 信息特点
BGP 对等体种类:IBGP 和EBGP
连接特点:IBGP 对等体不一定要物理直连,但是一定要TCP 可达。EBGP 通常使用物
理直连。
路由发布特点:BGP 路由器从EBGP 对等体获得路由后,会向所有BGP(IBGP,EBGP)对等
体通告。
为了防止环路,BGP 规定BGP 路由器从IBGP 路由器获得的路由不能再向
IBGP 对等体发布。
为了防止路由黑洞,BGP 从IBGP 路由器获得路由器是否发布给它的EBGP
对等体与是否同步相关。
3.什么是BGP 同步
BGP 同步是指IBGP 和IGP 之间的同步。
开启BGP 同步后:只有当IGP 路由表中有这条路由时,BGP 路由表才会将这条路由置为有
效并发布。
4.BGP 消息种类
Open:用于建立BGP 对等体之间的连接关系并进行参数协商。
keepalive:BGP 路由器会周期发出keepalive 消息,用来保持邻居邻居关系,另一个用途是
用来对Open 报文进行回应。
update:用于在对等体之间交换路由信息。发布可达或不可达路由信息。
Notification:作用于为通知错误。检测到对方发送过来的消息有错误或其他事件,都会发出
Notfication 消息通知邻居,关闭连接,回到idle 状态。
route-refresh:用来要求邻居发送指定地址族的路由信息。
5.BGP 属性分类
公认必遵:所有路由必须识别的属性,必须存在于Update 消息中。主要包括Origin
AS-PATH NEXT-HOP 如果缺少这些属性路由信息就会出错。
公认可选:所有路由器都可以识别,不要求必须存在于Update 消息中,主要包括Loacl-pref
Atomic-aggregate
可选传递:在AS 间具有传递性,BGP 路由器可以不支持此属性,但仍接收此属性路由,并
通告给其他对等体,包括Community Aggregate 属性。
可选非传递:如果BGP 不支持该属性,则忽略属性,不传递给其他对等体,主要包括MED,
CLuster-list Originator-ID
6.BGP 内部防环,外部防环
BGP 内部防环机制:
水平分割:从IBGP 学到的路由不会向IBGP 邻居宣告。
ORIGINATOR ID 属性用于反射器集群内防环
CLUSTER LIST 属性用于反射器集群间防环
联盟中使用扩展AS-PATH 来防止环路。
BGP 外部防环机制:
自治系统之间使用AS-PATH 属性来防止环路
BGP 选路顺序:
1.丢弃下一跳不可达路由。
2.优选首选值最大的路由
3.优选本地优先级最高的路由
4.优选聚合路由/优选本地始发路由
5.优选AS-PATH 最短的路由
6.优选Origin 属性IGP EGP Incomplete 路由
7.优选MED 值较小的路由。
8.EBGP 优于联盟EBGP,联盟EBGP 优于IBGP
9.优选度量值最低的路由
10.优选Cluster list 最短的路由
11.优选Originator id 小的路由
12.优选Router-id 最小对对等体发布的路由。
13.优选地址最小的对等体发布的路由。
BGP 发布路由策略:
1.存在多条路由时,BGP 将最优的发布给对等体
2.BGP 发言者只将自己使用的路由发布给对等体
3.BGP 发言者从EBGP 得到的路由发布给EBGP IBGP 对等体
4.BGP 发言者从IBGP 得到的路由不发布给IBGP
5.BGP 发言者从IBGP 得到的路由发布给EBGP,在关闭同步的同时,IBGP 路由直接被发
布。在开启同步的情况下,该IBGP 路由只有在IGP 路由表中存在才向EBGP 对等体发布,
6.BGP 连接建立后,会向BGP 对等体发送全部BGP 路由。
7.AS-path,NEXT-Hop,Origin,Local-Pref,MED,Preferred-Value
As-path:主要目的是用来防止AS 外部防止环路。用来记录路由经过了哪些AS 路径。选路
优选AS-PATH 短的路由。
Next-hop:用来指示BGP 发言者去往目的下一跳。
(1)BGP 路由器将自己的路由发送给邻居时,下一跳设置为与对端连接的接口IP 地址。
(2)BGP 路由器从EBGP 邻居得到的路由发给IBGP 时,不改变下一跳。下一跳为从EBGP
得到的路由NEXP-HoP 直接传送给IBGP。
(3)BGP 路由器将收到的路由发送给BGP 对等体时,下一跳为本地与对端连接的接口地
址。
(4)在MA 网络,通告路由器和源路由器处在同一个网段。则BGP 会向邻居通告路由的
实际来源。
Origin:指示该条路由是通过何种方式注入BGP 中的。
IGP>EGP>Incomplete
(1)通过Network 命令方式注入BGP 中的路由Origin 属性为IGP
(2)通过EGP 注入BGP 中的路由Origin 属性为EGP
(3)通过引入的方式将路由引入BGP 中,origin 属性为Incomplete
Local-pref:用于在AS 内有多个出口的情况下,判断流量离开时的最佳路径。
通过不同的IBGP 对等体得到的目的地址相同下一跳不同的多条路由时,优选Local-pref 值
高的路由。
Local-pref 属性值影响离开AS 的流量
MED:
BGP 路由器通过不同的EBGP 邻居得到目的地址相同下一跳不同时,在其他条件相同的条
件下,将优选MED 值较小的最为最佳路由。
MED 属性仅在相邻两个AS 之间传递,不会传送给第三方AS。默认情况下BGP 只比较来
自同一个AS 路由的MED 值,不比较来自不同AS MED 值。如果需要比较则要进行特别
配置。
preferred-Value:
为从不同对等体接受到的路由分配不同的preferred-Value 值。拥有最高Preferred-Value 作为
到达目的网络路由。
8.大规模网络问题
大规模BGP 面临的问题: 解决方法:
1.BGP 对等体数目多。可以配置对等体组和团体。BGP 对等体组是
一种简化大量对等体配置的方法,团体可以简化路由策略配置工作。
2.BGP 路由表庞大配置路由聚合,子网路由信息被屏蔽,减少路
由更新流量,在一定程度上避免了路由震荡问题,增加路由稳定性。
3.IBGP 全连接配置BGP 反射器和联邦。反射器通过在内部
建立一个反射器解决IBGP 路由传递问题。联邦是将一个大的自治系统分成若干个小自治系
统来解决AS 内部IBGP 路由传递,
4.路由频繁发生变动。可以配置路由聚合,开启route flag damping
9.BGP 公认团体属性
Internet: 默认情况,所有路由都属于Internet 团体,具有此属性的路由可以被通告给所有的
BGP 对等体
No-Export:具有此属性的路由被接受后,不能被发布到本地AS 之外,如果使用了联盟则
不能被发不到联盟之外。可以通告到联盟及联盟子AS 内。
No-advertise:具有此属性的路由被接受后,不能通告给任何其他的BGP 对等体
No-Export-subconfed:带有此属性的路由不能被发布到本地AS 之外,也不能发布到联盟的
其他子AS
10.BGP 聚合方式各特点
自动聚合和手工聚合
自动聚合:按类聚合,只能对引入的IGP 子网路由进行聚合。不能对从BGP 邻居学习来的
路由和通过network 发布的路由不能进行自动聚合。
11.解决IBGP 全互联技术有哪些?路由反射规则
BGP 反射器和BGP 联盟
反射规则:
从EBGP 收到的路由,反射给所有客户端与非客户端
从客户端收到的路由,发送给所有EBGP 邻居,及客户端,非客户端
从非客户端收到的路由,发送给所有EBGP 邻居,以及客户端,不反射给非客户端。
12.多出口BGP 部署方式有哪些
(1)仅发布缺省路由
(2)发布部分明细路由和缺省路由
(3)发布全部明细路由
IPV6 技术:
ND 协议原理:
IPV6 的ND 协议实现了IPV4 中的一些协议功能,同时提供许多重要功能,ND 包括地址解
析,邻居不可达检测,重复地址检测,无状态地址配置,路由重定向。
1.地址解析:已知目的节点的网络层地址,确定链路层地址的方法,
2.邻居不可达检测:获取邻居链路层地址后,发送消息验证邻居节点是否可达
3.重复地址检测:根据前缀生成或者手工配置IPV6 地址后,主机在使用此地址之前需要验
证此地址是否已经被链路上其他节点所使用。
4.无状态地址配置:主机根据路由发现/前缀发现所获得的信息,自动配置IPV6 地址。
5.路由器重定向:主机只有一条到默认网关的默认路由,当本地链路存在一个到达目的网络
更好的路由器时。默认网关会向主机发送ICMPV6 重定向消息。
RS/RA 用于无状态地址自动配置。ICMPV6 类型
报文名称
NS/NA 用于地址解析。Type133
RS
Tpye134
RA
Type135
NS
Tpye136
NA
Type137
Redirct
IPV6 地址解析工作于网络层相对于IPV4 的ARP 优点、
1.加强了地址解析协议与底层链路的独立性。
2.增加了安全性
3.减少了报文传播范围
邻居不可达状态机:
1.Incomplete(未完成):节点第一次发送NS 报文到邻节点,状态为此。
2.Reachable(可达):邻节点返回应答,表示地址解析成功,将状态置为Reachable
3.Stale(失效):如果长时间不发报文,Reachable 定时器超时,邻居状态进入Stale
4.Delay(延迟):在Stale 发送过报文,且在规定时间内没有可达性消息确认。
5.Probe(探测):每隔一段时间重传邻居请求可达性确认,知道收到确认消息。
IPV6 路由协议:
根据作用范围分2 种:
1.在一个自治系统内部运行的内部网关协议,RIPNG OSPFV3 和IPV6+ISIS
2.运行在不同自治之间的外部网关协议,BGP4+
根据算法分:
1.距离矢量
RIPNG 和BGP4+ BGP 也称为路径矢量协议。
2.链路状态
OSPFV3 IPV6-IS-IS
RIPNG 协议:
1.UDP 端口号521 发送和接收路由信息
2.组播地址:FF02::9
3.前缀长度128 比特IPV6 地址
4.下一跳地址,128 比特的IPV6 地址
5.源地址:使用本地地址FE80::/10 作为源地址发送RIPNG 路由信息更新报文。
OSPV3 协议:
OSPFV3 协议号89 OSPFV3 除了虚连接外,一律使用链路本地地址,虚连接使用全球单
播地址或站点本地地址作为协议报文的源地址。
OSPV3 相对于OSPFV2 改进:
1.运行机制发生变化。
2.功能有所扩展。增加单链路运行多OSPF 实例能力。增加了对不识别的LSA 的处理能力。
协议具备更好的适用性。
3.报文格式变化,取消了验证字段,增加了实例ID 字段。
4.LSA 格式变化。新增两种LSA,对3 4 类LSA 名称进行了修改。
运行机制相同的地方:
1.使用相同的SPF 算法。
2.区域和实例ID 没有变化,OSPFV3 中router-id 仍然是32 位,与ospfv2 相同。
3.相同的邻居发现机制和邻接形成机制
4.相同的LSA 扩散机制和老化机制。
不同之处:
1.ospfv3 基于链路运行,ospfv2 基于网段运行。
2.ospfv3 在同一链路上可运行多个实例。
3.ospfv3 通过router-id 来标识邻接。ospfv2 通过IP 地址标识邻接关系
4.ospfv3 取消了报文中的验证,使用IPV6 中的扩展报头AH 和ESP 来保证报文的完整性和
机密性。
增加了LSA————link-LSA
组播:
1.组播的优缺点
优点:增强效率,控制网络流量,减少服务器和CPU 的负载。
优化性能,消除流量冗余
分布式应用,使多点传输成为可能
缺点:尽最大努力交付
无拥塞控制
数据包重复
数据包的无序交付
2.组播技术需求
1、如何加入/离开组?
2、组播数据如何转发?
3、如何维护组信息?
4、组播转发路径如何建立?
5、如何标识接收者?
这些技术需求实现的机制:组播地址、组播组管理协议、组播分发树模型、组播转发机制、
组播路由协议
3.组播分发树模型
组播分发树是组播数据的转发路径,根据树根位置的不同,组播分发树模型分为:最短路径
树模型(SPT)、共享树模型(RPT)
SPT 是从组播源到达每一个接收者路径都是最优的。
RPT 从组播源到达接收者路由不一定是最优的,因为所有组播流量都需要从RP 中转。
4.组播转发和单播不同点
单播转发关心报文到哪里去
组播转发关心报文从哪里来
组播采用的转发机制-----逆向路径转发
5.组播分类
按域分:域内组播路由协议DVMRP、MOSPF 和PIM
域间组播路由协议MSDP、MBGP
按分发树分:基于SPT 的:PIM-DM、DVMRP、MOSSPF
基于RPT 的:PIM-SM
按模型分:根据接收者对组播源处理方式的不同
ASM(任意信源模型)接收者不能指定组播源加入某组播组。任意组播源发送同一
个组播组数据都会接收。
SSM(指定信源模型)接收者可以指定组播源加入某组播组。
6.组播协议
路由器与路由器之间的协议:PIM
主机与路由器之间的协议:IGMP
组播域与组播域之间的协议:MSDP MBGP
7.组播组管理协议工作机制
1、组播加入和离开组播组
2、路由器维护组播组
3、查询器选举机制
4、成员报告抑制机制
8.IGMPv2 普遍组查询如何进行?特定组查询触发条件?如何进行?
普遍组IGMP 查询周期性的以组播方式向本地网段内的所有主机发送目的地址是224.0.0.1,
TTL 为1.
特定组查询的触发条件:当IGMP 查询器收到成员主机发送的leave-group 报文(目的地址
224.0.0.2)
9.IGMPv3 三种查询如何进行?后两种触发条件?
3 种查询:普遍组查询(General Query) IGMP 查询器周期发送
特定源组查询(Group-and-Source-Specific Query)当收到一个Block(S,G)表项
时,IGMPV3 查询器会发送特定源组查询。
特定组查询(Group-Specific Query)当收到一个TO_IN(S,G)表项时,IGMPV3
会发送特定组查询。
10.PIM 的两种模式?
密集模式和稀疏模式
11.PIM DM PIM SM 的工作模式,应用场景优缺点
工作模式:PIMDM 采用推的方式从组播源泛洪发送到网络中的每个角落。
PIMSM 采用拉的方式从组播源发送到接收者,组播报文只会发送到真正需要
接受组播报文的接收者。
应用场景:PIMDM 使用于接收者较多的场合,如网上教学
PIMSM 使用于接收者较少的场合。
优缺点: PIMDM 优点:实现简单适用于网络环境成员多的场合
缺点:泛洪机制浪费大量的网络带宽
PIMSM 优点:节省网络带宽。
PIMSM 缺点:实现较为复杂。
12.PIM 报文基于什么协议?
IP 协议协议号103 组播地址:224.0.0.13
13.断言机制如何确定唯一的组播转发设备?
1.首先比较到达组播源的单播路由优先级,优先级高的获胜。
2.如果单播路由优先级相同,则比较到达组播源的metric 值,metric 值较小者获胜。
3.如果以上都相同,则本地接口IP 地址大的获胜。
14.触发Prune 消息的条件是?
1.路由器维护的(S.G)表现出接口为空。表示路由器下游没有组播接受者。则路由器会上上游
RPF 邻居发送Prune 消息。
2.当路由器从非RPF 邻居收到组播报文时,会触发断言过程,断言失败的一方会向获胜的一
方发送Prune 消息。
DM 的IGMPv1 查询器选举。
IGMPv1 没有定义查询器选举机制,IGMPv1 中的查询器由上层路由协议选举的DR 来充当
IGMPv1 的查询器。DM 中DR 选举,先比较Hello 消息优先级,相同则比较IP 地址大的路
由器为DR。
15.PIM DM 状态刷新机制?
状态刷新机制为了避免重复扩散剪枝占用大量带宽。
组播源相连的路由器发出状态刷新消息,其他路由器收到State Refresh 消息后会重置剪枝
超时定时器,同时向所有连接的PIM 邻居接口发送。
状态刷新机制使用周期性的协议报文代替了周期性组播报文数据扩散,减少了网络消耗,优
化网络资源。
16.PIM-SM 根、DR 选举原则。
PIM-SM 根分为两段。1.是RP 与组播源,RP-Source 以Source 为根建立(S,G) 2.接
收者与RP 之间接收者以RP 为根建立(*,G)
DR 选举原则:首先比较Hello 包中的优先级,优先级大为DR,优先级相同比较IP 地址IP
地址大为DR。
PIM-SM DR 作用:源端DR:向RP 发送注册消息。接收端DR:向RP 发送JOIN 消息。
17.组播源注册过程:
组播源侧DR 收到组播报文将报文封装在注册消息中,单播发送给RP,RP 收到后判断本地
是否存在(*。G)表项,如果有则将注册消息中的组播报文取出,从(*,G)表项出接口
转发出去。
RP 会为组播源创建(S,G)表项,入接口为收到单播注册报文的接口,RP 向组播源发送
特定源和组加入消息。加入消息沿着RP 指向组播源的单播路由逐跳发送。沿途建立(S,G)
表项。
组播注册停止过程:
组播源发出的报文通过两种方式到达RP,一种由源侧DR 注册封装并单播发给RP,另外一
种是通过源侧DR 本地(S,G)表项组播发给RP。当单播、组播同时到达RP 时,RP 丢弃
单播报文,同时向
源侧DR 淡泊发送注册停止消息,此后,组播报文将沿SPT 发给RP,再由RP 发往RPT。
源侧DR 维护注册抑制定时器,在定时器时间范围内,DR 都以组播发送数据。快超时时,
源侧DR 发送若干空注
册消息,提醒RP 发送注册停止消息,否则DR 会重新单播发送注册封装报文。DR 收到空
注册消息,会立即发送注册停止消息,同时更新本地(S,G)表项,DR 收到注册停止消息
会更新注册抑制定
时器,并继续发送组播报文!
加解密简介
明文: 需要被隐蔽的消息
密文: 明文经变换形成的隐蔽形式
加密:把明文信息转化为密文的过程
解密:把密文信息还原成明文的过程
密钥:在明文转换为密文或将密文转换为明文的算法中输入的参数
加密算法分为两类:对称密钥加密算法和非对称密钥加密算法
2.加密算法分类
对称加密:DES(56bit)、3DES(3*56bit)、AES(数据分组长度为128 比特、密钥长度为
128/192/256 比特。)
非对称加密(密钥长度可变):RSA(加密、数字签名、密钥交换)、DSA(数字签名)、DH
(密钥交换)
对称优点:对称加密速度快,对大量数据进行加密
对称缺点:安全性不高
非对称优点:安全性高、密钥的保密功能强
非对称缺点:数据加密速度慢、吞吐量低
3.数据完整性
摘要算法
摘要算法可以验证数据的完整性
HASH 函数计算结果称为摘要,同一种算法,不管输入长度是多少,结果定长
无法从摘要的值反推回原始内容,具有单向性、不可逆性
不同的内容其摘要也不同
HMAC 算法
HMAC(Hash Message Authentication Code)对单输入hash 算法进行了改进
收发双方共享一个MAC 密钥,计算摘要时不仅输入数据报文,还输入MAC 密钥
4.数字签名
数字签名是用签名方的私钥对信息摘要进行加密的一个过程(签名过程所得到的密文即称为
签名信息)
数字签名主要功能:
保证信息传输的完整性
发送者的身份认证
防止交易中的抵赖发生
5.数字证书是什么?为什么要有数字证书?
数字证书就是:将公钥和身份绑定在一起(类似于×××实名制),由一个可信的第三方(类
似于公安局)对绑定的数据进行签名,以证明数据的可靠性
为了解决公钥的传播、管理以及不可否认
6.什么事PKI?
PKI 是一个签发证书、传播证书、管理证书、使用证书的环境
PKI 保证了公钥的可获得性、真实性、完整性
7.PKI 的5 大系统、4 类实体?
5 大系统:权威认证机构(ca)、数字证书库、密钥备份及恢复系统、证书作废系统、应用
接口(API)
4 类实体:终端实体(DN)、证书机构(CA)、注册机构(RA)、PKI 储存库
8.实体数字证书申请发放到作废过程?
答:1.实体向RA 提出证书申请
2.RA 审核实体身份,将实体身份信息和公开密钥以数字签名的方式发送给CA
3.CA 验证数字签名,同意实体的申请,颁发证书
4.RA 接收CA 返回的证书,发送到LDAP 服务器已提供目录浏览服务,并通知实体证
书发行成功
5.实体获取证书,利用该证书可以与其他实体使用加密、数字签名进行安全通信
6.实体希望撤销自己的证书时,向CA 提交申请。CA 批准实体撤销证书,并更新CRL,
发布到LDAP 服务器
3.××× 分类
按照业务用途
Access ×××、Intranet ×××、Extranet ×××
按照运营模式
CPE-Based ×××,Network-Based ×××
按照组网模型
VPDN,VPRN,VLL,VPLS
按照网络层次
Layer 2 ×××, Layer 3 ×××
4.IPsec 功能
实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能
5.IPsec 体系结构,安全协议区分,工作模式各特点,IKE 作用
安全协议
负责保护数据
AH/ESP
工作模式
传输模式:实现端到端保护
隧道模式:实现站点到站点保护
密钥管理
手工配置密钥
通过IKE 协商密钥
6.IPsec 保护对象?安全提议作用?什么是安全策略?什么是SA
保护对象:数据流
安全提议的作用:提供安全服务准备使用的一组特定参数。包括安全协议。加密/验证、工
作模式、便于IPsec 双方协商。
安全策略:规定了什么样的数据流采用什么样的安全提议。
SA 是通信双方如何保证通信安全达成的一个协定。
7.IPsec 出入站流程分析,IKE 与ipsec 关系
IKE 为IPSEC 通信双方协商并获得一致的参数。建立共享密钥,建立IPSEC SA。IPSEC 根
据SA 适当的安全协议,对数据包提供相应的安全服务。
出栈数据:
先看SPD,得到的结果为三种。1.丢弃2.不需要ipsec 保护直接转发,3.需要IPSEC 保护。
查找ipsec SA
从SPD 中查找ipsec SA,找到SA 用该SA 提供安全服务转发。找不到SA 就为其创建一个
IPSEC SA
IKE 会为其寻找一个合适的IKE SA,为IPSEC 协商SA,找到就利用该SA 协商IPSEC SA,
否则需要启动IKE 协商进程,创建一个IKE SA 为IPSEC 协商SA
入栈数据:
对一个入站并且目的地址为本地的ipsec 数据包来说,系统会提取其spi、ip 地址和协议类型
等信息,查找相应的入站ipsec sa,然后根据
sa 的协议标识符选择合适的协议(ah 或esp)解封装,获得原始ip 包,再进一步根据原始
ip 包的信息进行处理
8.IKE 协商阶段?主模式与野蛮模式划分(几阶段,几消息)
两个阶段:
阶段1.使用DH 交换建立共享密钥。建立IKE SA 为阶段2 协商提供保护。
阶段2.在阶段1 建立的IKE SA 的保护下完成IPSEC SA 协商。
阶段1 的交换模式为——主模式——和野蛮模式
阶段2 的交换模式为——快速模式。
主模式:3 阶段6 个消息。
野蛮模式:2 个阶段,3 个消息。
野蛮模式与主模式的优缺点:
野蛮模式:用于不确定对方IP 地址情况下。
IKE 野蛮模式使用3 条消息,协商速度快,消息中无法检查cookie,安全性不高。
无法防止DOS ***。
主模式: 用于双方知晓IP 地址情况下。
协商使用6 条消息,其中5.6 是加密的,主模式比野蛮模式安全性高。
传输安全:
在一个不安全的网络环境中传输重要数据时!应确保数据的机密性!
对称加密算法中!通信双方共享一个秘密,作为加密/解密的密钥!这个密码可以是直接获
得,也可以是通过某种共享密钥方法推算出来的!
对称加密算法有:
3DES DES RC4 AES
非对称加密称为公开密钥算法!此算法为每个用户分配一对密钥,一个私有密钥和一个公开
密钥。私有密钥由用户自己管理!这两个密钥产生没有相互的关系!
非对称密钥弱点在于速度非常慢!吞吐量低!不适合对大量数据的加密!
非对称加密算法中著名和最流行的是RAS 和DH!!!
为保证数据的完整性,通常使用摘要算法!(HASH)
HASH 函数对一段长度可变的数据进行HASH 计算会得到一段固定长度的结果!
HASH 函数具有单向性!!!
使用NAT 进行安全防御!!!
NAT 是将数IP 数据报文头中的IP 地址转换为另一个IP 地址过程!网络地址转换即对internet
隐藏内部地址!防止内部地址公开!!!
使用NAT 的好处:
(1)内部用户依然能够透明的访问外部网络!
(2)发送到外部网络数据信息都经过了转换,内网地址被屏蔽掉了!外部人员无法获取内
部往来信息!
(3)内网地址信息路由被隔断!外网主动***无法到达内网
网络***与防御!!
IPS/UTM 设备具备大容量特征库!通常采用IPS/UTM 设备来防御应用层***!
IPS 开启防***的特征库,对匹配的报文根据情况采取阻断、告警、记录,并实时更新特征
库,保证检测出最新的应用层***手段!
畸形报文***通过向目标系统发送有缺陷的报文,使得目标系统在处理这样的IP 包时出现
崩贵!给目标带来损失!
畸形报文***方式:
1.Ping of Death:Ping of Death ***就是利用一些超大尺寸的ping 请求报文对系统进行的一种
***!通过发送大于65536 字节的ICMP 包使系统操作系统崩溃!
通常网络中不会出现大于65536 字节的ICMP 包!***者可以使用分片机制分割成片段,在
接收端进行重组!最终导致被***目标缓冲区溢出!
2.Teardrop:Teardrop ***利用UDP 包重组时,重叠偏移的漏洞来对目标系统进行***!Linux
和WindownsNT 及windowns 95/98 更容易遭受这些***!这种***会导致蓝屏死机,并显
示STOP 0x000000a 错误!
3.畸形TCP 报文***:TCP 报文含有6 个标志位,即URG,ACK,PSH,RST,SYS、FIN。典
型构造标志位的手段有设置6 个标志位全为1,设置6 个标志为全为0,设置SYS 和FIN 位
同时为1 等!
畸形报文主要通过构造特殊的IP 报文发送给目标系统来进行***的,***报文属于异常报
文,较为容易半段!
对每种报文进行特征库进行针对性报文过滤:
1.对于Ping of Death ***:可以通过检测ping 请求报文长度是否超过65535 字节来辨别是
否为***报文,如果超过65535 字节。则直接丢弃报文。
2.针对Teardrop 报文***,可通过缓存分片信息,每一个源IP,目的IP,报文ID 相同成一
组,最大为1000 组,缓存达到最大时!直接丢弃后续分片!
同时根据缓存分析IP 报文分段合法性,直接丢弃不合法的IP 报文的方式来抵御***!
3.针对畸形报文***:可以通过判断TCP 报文标志来判断报文是否为***报文!防火墙、IPS
和部分路由器以太网交换机都可以对畸形报文进行抵御。
拒绝服务***! 通过大量的数据包***系统!使系统无法正常用户请求,主机挂机不能
提供正常的工作!主要有SYS Flood Fraggle 等。
Dos ***并不是去寻找进入网络的入口,而是间接影响合法用户对服务的请求。
SYN Flood ***特点:
利用合法的报文对目标系统进行***!
拒绝服务类***大多类似于SYN Flood ***!
为了保证目标主机不会瘫痪!采取限制此类报文的接受速率或不处理此类报文的方式进行传
输!
如:限制每秒建立的TCP/UDP 半连接数量,拒绝处理ICMP 地址不可达报文!
SYN Flood ***,由于TCP 三次握手!有着更好的防御手段
防止SYN Flood ***的一个有效的办法就是采用TCP 代理(运行于防火墙上)
客户端发起连接时,TCP 代理并不将SYN 包直接发给服务器,而是自己伪装成服务器返回
SYSN-ACK 报文,收到客户的ACK 后在以当初客户端发起连接时的信息向真正的服务器发
起连接!
当客户端与服务器传递数据通过防火墙时,防火墙只需要对他们的序列号进行调整就可以
了!
病毒的防范
病毒具有:传播性隐蔽性破坏性
对于病毒的防御要内外兼顾:在内网和外网相连的位置需要通过部署IPS 来阻止病毒进入网
络内部,堵住病毒从外部进入内部的网络通道
在网络内部,对接入的计算机需要进行安全检查,检查计算机上的杀毒软件和病毒库。确保
网络中的计算机都不带病毒。
设备的加固:
网络设备的安全是整个网络安全稳定的前提条件
1.网络设备的安全
非法用户通过各种方式远程登录到设备上,
2.对于设备管理权限的安全威胁
合法用户获取到非法权限
3.对于设备本身的***
利用设备开启各类服务:FTP IP 重定向对设备CPU 进行***。
4.对于网络资源的安全威胁
非法用户通过大规模消耗设备的相应资源,导致正常用户无法享受服务。
保护设备安全性,就要对于远程接入的用户进行分级管理,对于不同级别登录用户的口令加
强管理,采用密文管理!定期更改!对console 用户也进行认证。
安全加固
进行MAC 地址绑定
部署防ARP ***。
路由协议增加认证
VRRP 增加认证
网络安全威胁存在的位置有:
来自内网的安全威胁
来自外网的安全威胁
来自传输过程中的安全威胁
网络安全的分类不是唯一的!从网络,业务层次来分
来自设备物理上
来自网络层
来自应用层
来自病毒
来自安全制度漏洞带来的威胁等方面:
网络安全有效范围:
1.有效的访问控制!
主要基于数据流和基于用户的访问控制!
2.有效识别合法的非法用户!
(1)对接入网络用户认证
(2)对登录网络设备用户认证
3.有效的防伪手段!重要的数据重点保护!
数据传输过程中应该采取防伪措施!防止数据被截取和恶意篡改!
数据加密和防伪主要用于internet 数据传输时的安全保护。
4.内部网络的隐蔽性与外网***的防护!
面对外部网络!尽量屏蔽内部网络信息!断绝从外部主动向内部网络发生***!
对于一个网络来说!大部分的***都是来自于外网的!!!
5.内外网病毒防范!
病毒既可能来自内网也可能来自外网!因此病毒的防御要双管齐下!需对内网中出现的病毒
能及时察觉到!同时将病毒发作的危害降低到最小!抑制病毒蔓延!
6.行之有效的安全管理手段!
网络安全三分靠技术七分靠管理!安全管理涉及方方面面!
安全网络构成!
网络内部
1.接入用户认证!
2.对内网病毒***的抑制!
3.严格的访问控制!
对外的安全防御!
1.网络出口启用安全防护手段
2.NAT 访问internet
3.端口映射服务端口!
传输过程中的安全
采用××× 技术利用加密和防伪技术对业务数据进行处理!!!
完善的管理制度!
局域网业务隔离手段!大多采用VLAN
VLAN 的扩展技术也用于局域网业务隔离!PVLAN SUPER VLAN Hybrid 端口!
广域网业务隔离!
专线隔离!
安全性高!物理隔离!费用最高!
逻辑隔离!
可采用××× 技术来实现!这些技术可以实现在公有的网络平台上建立虚拟私有的私有×××
隧道!L2TP GRE IPSEC SSL 都是点到点隧道!自能连接两个节点!
MPLS ××× 能在一个公有网络平台上建立全网状的隧道!
由于所有××× 技术都在物理通道上虚拟出逻辑通道!和其他业务都是共享物理带宽!如果
要保证相应带宽可采取QOS 技术来保障!隧道技术本身无法保证其隧道带宽!
安全性!
所有××× 技术安全性低于专线!
L2TP GRE 本身没有对数据报文加密!IPSEC SSL 本身具有完善的封装的数据报文加密功
能!
MPLS 网络前提是对整个公有网络平台的绝对控制!在安全性上高于不加密的L2TP GRE
技术!!
访问控制!
对数据流的区分!使用不同的控制策略来对待!
通过对数据流的区分通常用ACL 来实现!根据需要可以使用2 层3/4 层流的分类规则来对
数据流进行区分!
访问控制一般在
用户接入入口使用!
对没个用户精确细化控制!配置量大,对接入设备要求高!
在业余区域交汇处使用!
在访问区域内进行严格访问资源!有点事配置量小!能对关键业务区域进行有效的保护!缺
点是失去了对用户的控制!
防火墙技术
包过滤防火墙是最常见的防火墙技术!
包过滤防火墙技术的实现是通过ACL 实现对IP 数据包的过滤!
包过滤防火墙技术为静态防火墙,主要根据设备配置的ACL 来静态地过滤各个报文!并不
能分析各个报文之间的关系!
静态防火墙存在的问题!
1.对于多通道的应用层协议!部分安全策略无法预知
2.无法检测某些来自于传输层和应用层协议的***行为!TCP SYN JAVA
状态防火墙ASPF 基于应用层包过滤
能够实现应用层检测FTP HTTP SMTP RTSP H.323,能实现传输层协议检测TCP/UDP 检测
SSL ×××
1.SSL 协议简介:
SSL 安全套接层是一个安全协议,为基于TCP 的应用层协议提供安全连接,如SSL 可以为
HTTP 协议提供安全连接。
2.SSL 安全实现:
(1)连接的私密性:在SSL 握手阶段生成密钥后,用对称加密算法对传输数据进行加密。
(2)身份认证:对服务器和客户端进行基于证书的身份认证(其中客户端认证是可选的)
(3)连接的可靠性:消息传输过程中使用基于密钥的MAC 消息验证码来检验消息的完整性。
3.SSL 的通信分层:
(1)握手层:用于协商会话参数,建立SSL 连接。
(2)记录层:用于加密传输数据,封装传输报文。
4.握手层:
(1)握手协议:负责建立SSL 连接,维护SSL 会话。通信双方可以协商出一致认可的最高级
别的加密处理能力,以及加密所需的各种密钥参数。
(2)告警协议:SSL 通信期间,如果握手协议模块或者上层应用程序发现了某种异常,可以通
过“告警协议”模块发送“告警消息”给另一方。其中有一条消息“关闭通知"消息,用于
通知对方本端将关闭SSL 连接。
(3)密钥改变协议:协商出密钥后,握手协议模块通过“密钥改变协议”模块向对方发送一个
“密钥改变”报文,通知对方的记录层:本方后续发送的报文将要启用刚才协商好的密钥参
数。
5.记录层:
(1)保护传输数据的私密性,对数据进行加密和解密。
(2)验证传输数据的完整性,计算报文的摘要。
(3)提高数据的传输效率,对数据进行压缩。
(4)保证数据传输的有序性和可靠性。
5.可取的SSL 版本:
3.1(TLS1.0)、3.0(SSL3.0)、2.0(SSL2.0)
6.握手过程:
(1)无客户端认证的全握手过程。
(2)有客户端认证的全握手过程。
(3)会话恢复过程。
7.SSL ××× 的接入方式:
(1)IP 接入
(2)TCP 接入
(3)WEB 接入
8.SSL 访问控制:
可以提供高细粒度的访问控制,控制的粒度可以达到URL、文件、目录、服务器端口和IP
网段等
9.SSL ××× 的两种授权管理方式:
(1)静态授权:身份验证是静态授权的核心内容,用户的权限只和账号有关。可以使用本地
认证、Radius 或LDAP 认证。
(2)动态授权:静态认证、安全策略、安全状态和安全级别的集合。
10.SSL ××× 的组网部署方式:
(1)单臂模式:设备不处在网络流量的关键路径上,设备的单点故障不会造成全网通信中断,
SSL 网关的处理性能不会影响整个网络的性能,不足之处在于其不能全面的流量控制。
(2)双臂模式:SSL-××× 网关跨越在内网和外网之间。所有访问流量都经过SSL 网关,达到
流量的全面控制,不足之处在于其单点故障造成的通信终端,通常与防火墙集成时,采用此
模式组网。
WLAN
802.11 802.11a 802.11b 802.11g 802.11n
2Mbps 54Mbps 11Mbps 54Mbps 600Mbps
802.11b/g 非重叠频道:1、6、11 2、7、12 3、8、13 4、9、14
WLAN
1.主要的无线技术
IrDA
利用红外线进行点到点的无线通讯,速率可达4Mbps
BlueTooth
工作在2.4GHz 频段,采用跳频技术,速率为1Mbps
3G
包括WCDMA、CDMA2000、TD-SCDMA,速率可达10Mbps
802.11a/b/g/n
主流的IEEE 802.11 无线标准,工作在2.4GHz 或5GHz 频段,最大速率为11Mbps、54Mbps
或300Mbps
2.为什么使用WLAN 网络?
自由、经济、高效
凡是自由空间均可连接网络,不受限于线缆和端口位置。
终端与交换设备之间省去布线,有效降低布线成本。
适用于特殊地理环境下的网络架设,如隧道、港口码头、高速公路
不受限于时间和地点的无线网络,满足各行各业对于网络应用的需求。
3.WLAN 相关组织和标准
IEEE Wi-Fi 联盟IETF CAPWAP WAPI 联盟
4.802.11 协议的发展进程
频率2.4 2.4、5 2.4 2.4&5 (GHz)
速率2 11 54 54 300 (Mbit/s)
协议802.11 802.11b、802.11a 802.11g 802.11n
时间1997 1999 2003 2009
5.WLAN 面临的挑战与问题?
干扰
工作在相同频段的其他设备会对WLAN 设备的正常工作产生影响
2.4GHz 为ISM 频段,不需授权即可使用
同一区域内WLAN 设备之间的互相干扰
其他工业设备的干扰,如:
微波炉
蓝牙
无绳电话
双向寻呼系统
电磁辐射
无线设备的发射功率应满足安全标准,以减少对人体的伤害
常见的无线设备输出功率
室内型WLAN 设备<100mW
无线网卡10mW~50mW
手机>1W(通话时)
无线对讲机>5W
政府有相关的法令对发射功率进行严格的限制,因此通过政府相关部门认证过
的无线设备对人体是无害的
数据安全性
无线网络中,数据在空中传输,因此安全性显得尤为重要
无线网络中,数据在空中传输,需充分考虑业务数据的安全性,选择相应的加密方式
开放式,不加密
采用弱加密算法
采用强加密算法
6.电磁波的相关属性
能量方向极化相位
7.常见的电磁波的频率分布
极低甚低低中高甚高超高极高红外线可见光
紫外线X 射线
2.4-2.4835GHz 5GHz
调幅广播83.5MHz (802.11a) irDA
调频广播(802.11b/g)
蜂窝电话
音频电视信号
短波无线电
7.功率计算单位
功率计算单位包括:dB、dBm、dBw
dB 是用来衡量被测量功率与某一基准功率的比值
计算公式:被测量功率(dB)= 10×lg(测量功率/ 基准功率)
当基准功率取为1mW 时,此dB 值以dBm 表示
当基准功率取为1W 时,此dB 值以dBw 表示
8. 什么是信号?
信号---含有所传送信息的可检测到的发射能量
随时间变化的信号
通过示波器可查看信号在时域中的变化
随频率变化的信号
通过频谱分析可查看信号的频域的变化
噪音
常见噪音为白噪音(高斯噪音)和窄带干扰
9.带宽分类
数字带宽
单位时间内发送的信息量,单位为比特每秒(bps)
模拟带宽
模拟电子系统中的频率范围,单位为赫兹(Hz)
两者之间的关系:C=B X log2(1+S/N)
10.wlan 的调制技术有哪些?
BPSK
利用载波的两个不同相位表示二进制的0 或1
QPSK
利用载波的4 种相位变化表示2 个二进制位
CCK
使用一个补码函数来发送更多数据
16QAM
规定了16 种载波振幅和相位的组合,每个子信道可承载4 位
64QAM
规定了64 种载波振幅和相位的组合,每个子信道可承载6 位
11.wlan 的传输技术有哪些?
FHSS
利用跳频技术将频谱进行扩展的扩频通讯技术
DSSS
利用复合码序列而获取直接序列扩频信号的扩频通讯技术
OFDM
将一个高速的数据载波分成若干个低速的子载波,然后并行地发送这些子载波
12.无线电波的传播
反射、折射
多径
路径损耗
下面是常见的信号穿透损耗估测
障碍物衰减程度举例
开阔地极少自助餐厅、庭院
木制品少内墙、办公室隔断、门、地板
石膏少内墙(新的石膏比老的石膏对无线信号的影响大)
合成材料少办公室隔断
煤渣砖块少内墙、外墙
石棉少天花板
玻璃少没有色彩的窗户
人体中等大群的人
水中等潮湿的木头、玻璃缸、有机体
砖块中等内墙、外墙、地面
大理石中等内墙、外墙、地面
陶瓷制品高陶瓷瓦片、天花板、地面
纸高一卷或者一堆纸
混凝土高地面、外墙、承重梁
防弹玻璃高安全棚
镀银非常高镜子
金属非常高办公桌、办公隔断、混凝土、电梯、文件柜、通风设备
13.802.11 协议族成员
物理层:802.11(1/2Mbps)、802.11b(5.5/11Mbps)、802.11g(54Mbps)、802.11a(54Mbps)、
802.11n(300Mbps)
MAC 层:802.11/11a/11b/11g MAC 802.11e — QoS、802.11h —动态调整、802.11i —安
全增强、802.11f — 漫游和切换、802.11s — mesh
14.802.11 协议标准
802.11 802.11b 802.11a 802.11g
标准发布时间July 1997Sept 1999 Sept 1999 June 2003
合法频宽83.5MHz 83.5MHz 325MHz 83.5MHz
频率范围2.400-2.483GHz 2.400-2.483GHz 5.150-5.350GHz
2.400-2.483GHz
5.725-5.850GHz
非重叠信道3 3 12 3
调制传输技术BPSK/QPSK CCK DSSS OFDM 64QAM
CCK/64QAM OFDM
FHSS
物理发送速率1, 2 1,2,5.5, 11 6, 9, 12, 18,24, 6, 9, 12, 18,24,
36, 48, 54 36, 48, 54
理论上的最大
UDP 吞吐量1.7 Mbps 7.1 Mbps 30.9 Mbps 30.9 Mbps
(1500 Byte)
理论上的
TCP/IP 吞吐量1.6 Mbps 5.9 Mbps 24.2 Mbps 24.2 Mbps
(1500 Byte)
兼容性N/A 与11g 产品可互通与11b/g 不能互通与11b 产品
可互通
15.802.11n 技术
802.11n 是IEEE 802.11 协议中继802.11b/a/g 后又一个无线传输标准协议, 802.11n 将
802.11a/g 的54Mbps 最高发送速率提高到了300Mbps,
其中的关键技术为:
MIMO-OFDM
40MHz 频宽模式
帧聚合
Short GI
MIMO-OFDM 技术:
MIMO-OFDM 是OFDM 和MIMO 相结合的技术,由于支持更多的子载波,可以实现20MHz
下单个流达到65 Mbps。
基于MIMO 技术, 实现了在多条路径上并发通信,称之为Spatial Multiplexing。
MIMO 的天线配置通常表示成”Y*X”,其中Y 于X 均为整数,分别代表传输天线于接收天线
的数量.
40MHz 频宽模式:
802.11n 同时定义了2.4GHz 频段和5GHz 频段的WLAN 标准,与11a/b/g 每信道只用20MHz
频宽不同的是11n 定义了两种频带宽度:
20MHz 频宽
40MHz 频宽
40MHz 频宽将两个20MHz 频宽的信道进行捆绑,以获取高于2 倍的20MHz 频宽的吞吐量
帧聚合技术:
802.11MAC 层协议耗费了相当的效率用作链路的维护,从而大大降低了系统的吞吐量。
802.11n 引入帧聚合技术,提高MAC 层效率,报文帧聚合技术包括:
MSDU 聚合
MPDU 聚合
Short GI 技术:
Short Guard Interval (Short GI)
802.11a/b/g 标准要求在发送数据时,必须要保证在数据之间存在800 ns 的时间间隔,这个
间隔被称为Guard Interval (GI)。
11n 仍然缺省使用800 ns。当多径效应不严重时,可以将该间隔配置为400ns,可以将吞吐
提高近10%,此技术称为Short GI。
16.802.11 网络基本元素
SSID:Service Set ID 服务集识别码
STA(Station):任何的无线终端设备。
AP(Access Point):一种特殊的STA
BSS(Basic Service Set):基本服务集
DS(Distribution System):分布式系统
ESS(Extended Service Set):扩展服务集,采用相同的SSID 的多个BSS 形成的更大规模的
虚拟BSS。
Ad Hoc:Ad Hoc 构成一种特殊的无线网络应用模式,STA 间可直接互相连接,资源共享,
而无需通过AP。
17.MAC 层工作原理:
隐藏节点问题解决:网络中存在隐藏节点时,802.11 可以开启一组特别的无线报文交互程序
——RTS/CTS 机制来解决。
802.11 MAC 层负责客户端与AP 之间的通讯
主要功能包括:扫描、认证、接入、加密、漫游等
802.11 MAC 层报文类型
数据帧
控制帧
管理帧
18:网络安全与漫游
增强了STA 和AP 的认证机制
WPA 企业级(WPA):支持802.1x 认证方式
WPA 个人级(WPA-PSK):支持Pre-shared key 认证方式
增加了Key 的生成、管理以及传递的机制
每用户使用独立的Key
通过安全的传递方法传递用户数据加密使用的Key
增加了两类对称加密算法,加密强度大大增强
TKIP(临时密钥完整性协议):核心仍然是RC4 算法
CCMP(计数器模式CBC-MAC 协议):核心为AES 算法
STA 可以在属于同一个ESS 的AP 接入点接入;
STA 可以在Wireless 网络中任意移动;
保证已有的业务不中断,用户的标识(IP 地址)不改变。
二层漫游:STA 在同一子网内的AP 间漫游
三层漫游:STA 在不同子网间的AP 间漫游
19:网络的介质访问控制与QOS
802.11e 针对DCF 模式进行了改进,支持EDCA(Enhanced Distribution Channel Access,增
强型分布式协调访问机制)的媒体访问机制
支持8 个业务优先级的报文标记(类似于有线网络中的802.1P)
业务优先级可被映射到4 个输出队列
高优先级的报文优先获取无线空口的访问能力
Beacon 帧中主要包含的是:支持的认证方式;
BSSID;
使用的信道;
支持的速率;
Beacon 帧发送间隔;
SSID;
加密算法。
H3C 系列AP 的两种射频接口类型:1)N 型母头;
2)SMA 反极性公头。
当AP 中配置SSID 加密类型为WEP 加密(密码为12345),MAC 层认证方式为open-system,
而客户端输入的密码为54321 会出现客户端可以成功连接AP,但无法正常通信;
当AP 中配置SSID 加密类型为WEP 加密(密码为12345),MAC 层认证方式为shared-key,
而客户端输入的密码为54321 会出现客户端无法成功连接AP。
天线的选择应符合覆盖场景要求,并非增益越大越好;
天线的增益越大代表对信号的汇聚程度越高;
天线的增益越大覆盖的角度就越小
IRF2 技术原理
高性能交换网络需求
高可靠性:链路冗余+设备冗余
快速收敛
充分利用链路和端口等资源
降低部署和维护难度
IRF2 支持的产品系列:
设备型号支持的IRF2 端口类型IRF 堆叠最大设
备数说明
S12500/9500 万兆XFP SFP+光口或SFP+电缆互联2
一个IRF 口最多绑定12 个10GE 端口GE 端口支持远程级联
E 系列支持千兆端口互联,不支持COMBO 口
S7500E 系列万兆XFP 端口互联,需要通过光纤直连4
一个IRF 口最多绑定8 个10GE 端口
S5800/S5820 系列万兆SFP+端口光模块或电缆互联9
S5500EI/S5120EI 系列支持万兆端口互联,可使用CX4 9
堆叠电缆或光纤互联
IRF2 Domain ID IRF2 成
员编号标识设备
IRF2 以Domain ID 来区分不同的IRF2 堆叠IRF 以成员
编号标识设备/各设备成员编号必须唯一
只有Domain ID 相同的设备才可能加入同一IRF2 堆叠成员编号存
储在设备的NVRAM 中,修改成员的编号需要重启设备。
修改设备成员
编号可能导致设备配置发生变化或丢失。Master ID 也称为Active ID
拓扑收集:类似于OSPF 收敛过程;IRF Hello 报文会携带拓扑信息,具体包括IRF 端口连
接关系、成员设备编号、成员设备优先级、成员设备的桥MAC 等内容。Hello 包周期为200ms,
100 个周期收不到包,表示设备脱离IRF。
角色选举:
(1) 当前Master 优先(IRF 系统形成时,没有Master 设备,所有加入的设备都认为自己是
Master,会跳转到第二条规则继续比较;
(2) 成员优先级大的优先;
(3) 系统运行时间长的优先(各设备的系统运行时间信息也是通过IRF Hello 报文来传递的,
精度为大于6 分钟,6 分钟以下该条不成立);
(4) 桥MAC 地址小的优先。
IRF2 MAD 检测
IRF2 采用MAD 解决分类后的冲突问题
使Master 成员编号最小的堆叠维持Active 状态
其他堆叠迁移到禁用状态并关闭除堆叠端口以外的所有物理端口
MAD 检测三种方法
基于LACP 的MAD 检测
基于BFD 的MAD 检测
基于弹性ARP 的MAD 检测
配置文件:SLAVE 将自动同步MASTER 配置,且只会同步全局配置及与自己相关的局部配
置(如端口配置)保证所有设备配置一致。
基于LACP 的MAD 检测
H3C 改进了LACP 让LACP 携带Active ID
Active ID 大的一方竞争失败,迁移到禁止状态
基于BFD 的MAD 检测
IRF2 堆叠内的成员设备通过三层接口连接,并分别配置一个BFD 检测地址开启BFD MAD
检测
正常工作时,BFD 主设备地址生效,备设备地址不会失效,BFD 会话DOWN。
IRF2 堆叠分裂时,两个地址同时生效,BFD 会话UP BFD MAD 检测生效后会话在次
DOWN
Actice ID 大的一方竞争失败,迁移到禁止状态BFD 检测单独占用一对端口和一个VLAN。
两种ACtive 检测方式对比
方式优点适用性要
求
LCAP 方式不需要占用专门检测端口IRF2 堆叠
和接入交换机均需支持该特性
BFD 方式可以独立检测本IRF2 堆叠分裂情况
对上下游设备无要求,检测速度快需要专用端
口和VLAN
IRF2 分裂后的桥MAC 变化
IRF2 堆叠作为单台逻辑设备,对外具有唯一的桥MAC 地址。
IRF2 堆叠失去Master 时,有三种MAC 地址变化的方式,
1.立即变化
2.保留6 分钟后变化
3.始终不变(默认)
桥MAC 变化会引起流量短暂的终端。
BFD:双向转发检测
BFD 会话的建立与拆除
BFD 本身并没有发现机制,而是靠被服务的上层协议通知来建立会话,具体过程如下:
(1)上层协议通过自己的Hello 机制发现邻居并建立连接;
(2)上层协议在建立新的邻居关系后,将邻居的参数及检测参数(包括目的地址和源地址等)
通告给BFD.
(3)BFD 根据收到的参数建立BFD 会话。
当网络出现故障时:
(1)BFD 检测到链路故障后,拆除BFD 会话,通知上层协议邻居不可达;
(2)上层协议中止邻居关系.
(3)如果网络中存在备用路径,设备将选择备用路径进行通信。
BFD 会话的工作方式和检测模式:
(1)echo 报文:封装在UDP 报文中传递,其UDP 目的端口号为3785
(2)控制报文:封装在UDP 报文中传送,对于单跳其UDP 的目的端口号为3784,对于多跳
检测其UDP 目的端口号为4784.
1.echo 报文方式:
本端发送echo 报文建立BFD 会话,对链路进行检测。对端不建立BFD 会话,只需把收到
的echo 报文转发回本端。
当BFD 会话工作于echo 报文方式时,仅支持单跳检测,并且不受检测模式的控制。
2.控制报文方式:
链路两端通过周期性发送控制报文建立BFD 会话,对链路进行检测。
BFD 会话建立前有两种模式:主动模式和被动模式。
(1)主动模式:在建立会话前不管是否收到对端发来的BFD 控制报文,都会主动发送BFD
控制报文。
(2)被动模式:在建立会话前不会主动发送BFD 控制报文,直到收到对端发送来的控制报文。
(3)通信双方至少要有一方运行在主动模式才能成功建立起BFD 会话
BFD 会话建立后有两种模式:异步模式和查询模式。通信双方要求运行在相同的模式。
(1)异步模式:通信双方周期性地发送BFD 控制报文,如果在检测时间内没有收到对端发送
的BFD 控制报文,则认为会话down
(2)查询模式:BFD 会话建立后停止周期发送BFD 控制报文,当需要验证连接性的情况下,
设备以协商的周期连续发送几个P 比特位置1 的BFD 控制报文。
如果在检测时候内没有收到返回的报文,就认为会话down;如果收到对方回应F 比特位置
1 的报文,就认为连通,停止发送报文,等待下一次查询。
另外,也可以链路两端通过发送控制报文建立和保持BFD 会话,任意一端通过发送echo 报
文检测链路状态。
BFD 支持的应用:
? 静态路由与BFD 联动
? IPv6 静态路由与BFD 联动
? RIP 与BFD 联动
? OSPF 与BFD 联动
? OSPFv3 与BFD 联动
? IS-IS 与BFD 联动
? IPv6IS-IS 与BFD 联动
? BGP 与BFD 联动
? PIM 与BFD 联动
? IPv6PIM 与BFD 联动
? Track 与BFD 联动
? IP 快速重路由:目前支持快速重路由的有OSPF、RIP、IS-IS 和静态路由。
灾难备份中心的容灾层次:
数据级容灾:2-3 级要求
应用级容灾:5-6 级要求
业务级容灾:全要求
H3C 数据中心产品:
S12500、S10500、S9800、S7500E、S6800、S6300、S5800、S5500
云计算
1.什么是云计算:
1.云计算是通过网络将共享资源以服务的方式按需提供给用户的一种计算方式。
2.云计算的五大特征:自助服务、网络分发、资源池化、灵活调度、服务可衡量。
3.云计算的四种部署模型:公共云、私有云、混合云、社区云。
4.云计算的三种层次服务:(根据交付内容不同)
▲IaaS(Infrastructure as a Service)基础设施即服务:用户可以通过网络使用计算机(物理机或
虚拟机)、存储空间、网络连接等完善的计算机基础设施服务。
▲PaaS(Platformware as a Service)平台即服务:将软件研发的平台作为一种服务提交给用户,
意在加快SaaS 应用的开发速度。
▲SaaS(Software as a Service)软件即服务:通过Internet 提供软件的模式,用户无需购买软件,
而是向提供商租用基于Web 的软件,来管理企业经营活动。
5.云计算生态环境的四个技术基础:
▲虚拟化:将计算机物理资源(如:服务器、网络、内存等),加以抽象、转换后呈现出来,
使用户可以更好的应用这些资源。
特点:不受现有资源的架设方式、地域、物理形态的限制。
虚拟化的目的:对IT 基础设施进行简化。
▲自动化:
▲面向服务架构(SOA):
▲分布式并行计算:
6.虚拟化的分类:
▲服务器虚拟化:让一台服务器变成多台相互隔离的虚拟机。
服务器虚拟化又分为:1)一虚多(主要针对硬件和操作系统),IaaS 主要依赖于一虚多。
目前此类虚拟化产品主要有: vMware_ESXi 、Linux_KvM 、Citrix_XenServer 、
Microsoft_Hyper-v、H3C_CvK 等。
2)多虚一(主要针对应用程序),目前流行的hadoop 分布式软件架
构,就是多虚一的典型代表,多虚一应用广泛,如:Google、百度、腾讯、HDFS。
服务器虚拟化的要素:1)vM:虚拟机
2)vMM:现有的虚拟机系统是通过在现有平台(裸机或操作系统)
上增加一个虚拟化层vMM(virtual Machine Monitor,vM 监视器)或(Hypervisor,管理程序)
来实现的。
3)Guest OS:在虚拟机里运行的操作系统。
服务器虚拟化的两种技术架构:
1)寄居架构(Hosted Architecture):先安装宿主操作系统,然后在宿主操作系统上再安装
vMM,利用vMM 创建和管理虚拟机(如:vMware Workstation、Oracle/Sun virtualBox)。
2)裸金属架构(Bare Metal Architecture):将vMM 直接安装在物理服务器上,无需事先安
装操作系统,安装过vMM 之后,再在vMM 上安装其他操作系统(如:Windows、Linux)。
主流模式:vMware_ESXi、Citrix_XenServer、
Microsoft_Hyper-v、H3C_CAS。
服务器虚拟化的优点:1)提高硬件使用率、降低硬件投资成本、节能降耗。
2)应用快速,统一部署。
3)提高系统可用性。
▲CPU 虚拟化:
基本概念: CPU 的操作由它所执行的指令确定,这些指令称作机器指令。
CPU 技术的核心特点:指令分级运行。
X86 是一套通用的计算机指令集合,指令分为:Ring0-3 共4 个级别,0 为核心
级别,1-3 为用户级别。
在操作系统中涉及系统底层公共资源调用的一些指令,称为敏感指令。敏感指令
在虚拟化的结构中也需要进入Ring0 运行,否则会导致不同Guest_OS 之间的资源调用冲突。
但在X86 系统指令集中,部分(17 条)敏感指令属于非特权指令,这些指令无
法进入Ring0 级别,被Guest OS 在Ring1 级别直接执行完成。
虚拟化环境,存在两层操作系统:1)底层OS(vMM 或Hypervisor)负责vM
到硬件资源的调用和协调。
2)所有的业务应用运行在上层Guest OS 中。
CPU 虚拟化的解决方法:
X86 系统在CPU 虚拟化中遇到的问题主要涉及三个对象:1)Guest_OS
2)vMM
3)硬件CPU 指令集
CPU 虚拟化针对不同对象,也有3 种不同方法:1)修改vMM:全虚拟化
2)修改Guest OS:半虚拟化
3)修改CPU 指令集:硬件辅助虚拟化
全虚拟化(CPU Full-virtualization):修改vMM,使vMM 可以向vM 模拟出于真实硬件完
全相同的硬件环境。
优点:不需要修改OS 和CPU 指令集,兼容性最好。
缺点:vMM 给CPU 带来大量的额外消耗,效率最低。
半虚拟化(CPU Para-virtualization):修改OS,使Guest 能够支持X86 系统中的敏感指令在
虚拟化环境中进入Ring0 级别执行。
优点:效率高。
缺点:在Windows 无可行性;Linux 系统修改后,可能
在扩展性方面带来隐患。
硬件辅助虚拟化(Hardware-assisted virtualization Machine,HvM):修改CPU 指令集,使得
新的X86 系统指令集能适应虚拟化环境。
优点:兼容性好,同时
效率也高。
缺点:只有CPU 厂商,
如Intel/AMD 能够实现。
总结:随着云计算以及服务器虚拟化需求的广泛应用,Intel、AMD 等CPU 厂商已经纷纷开
始升级原有X86 系统指令集。因此,目前硬件辅助虚拟化已经成为当前虚拟化技术应用的
主流。
针对CPU 在虚拟化中遇到的问题,Intel 在其自身CPU 中增加了专门处理虚拟化的指令集
vT-X。
Interl 的vT-X 技术主要加入了2 个特性:1)增加vMCS(virtual-Manchine Control Structure)
数据结构和13 条专门针对vM 的处理指令,用于提升vM 切换时的效率。
2)引入Root/Non-Root 操作模式:vMM 工作在Root
模式,vM 工作在Non-Root 模式。两种模式间都各自拥有Ring0-Ring3 的所有级别,通过
vMCS 数据结构进行两者间切换,从而解决Guest OS 无法进入Ring0 操作的问题。
AMD 系列CPU 也有类似的虚拟化技术,称为AMD-v。
▲网络虚拟化:
1)在虚拟化服务器中,每个vM 都是一个独立的逻辑服务器,它们之间的通信,同样需要
通过网络进行。
2)每个vM 被分配了一个虚拟网卡,不同的虚拟网卡有不同的MAC 地址。为了实现vM 之
间以及vM 与外部网络的通信,必须存在一个“虚拟以太网交换机”以实现报文转发功能。
3)IEEE 标准化组织将“虚拟以太网网桥”的正式英文名称命名为“ virtual Ethernet Bridge”,
简称vEB。
4)vEB 的实现方式有2 种:软件vEB 和硬件vEB。
5)软件vEB:在服务器上采用纯软件方式实现vEB,即通常所说的“vSwitch”。在一个虚
拟化的服务器上,vMM 为每个vM 创建一个虚拟网卡,每个虚拟网卡映射到vSwitch 的一
个逻辑端口上,服务器的物理网卡对应到
vSwitch 与外部交换机相连的上行逻辑端口上。
6)硬件vEB:指将vEB 功能从vMM 移植到服务器物理网卡上,硬件vEB 必须采用支持
SR-IOv(Single-Root I/O virtualization)特性的PCI-E 网卡。SR-IOv 是由行业标准PCI-SIG 制
定的规范,其目标是为每个vM 提供独立
的内存空间、中断和DMA 流。
7)vEB 总结:软件vEB 技术的通用性好,vM 之间的转发性能好;
硬件vEB 技术基于网卡SR-IOv 技术,对CPU 资源占用小。
两种vEB 技术的共同缺陷:1)vM 间的流量监管问题。
2)服务器管理和网络管理的边界问题。
3)vM 网络策略的集中实施问题。
4)vM 迁移带来的网络策略同步问题。
8)EvB 标准:由于vEB 技术的局限性,IEEE802.1 工作组着手制定一个新的标准802.1Qbg,
Edge-virtual-Bridge(EvB)。
该标准主要是针对数据中心虚拟化制定的一组技术标准,包含了虚拟化服务器
与网络之间数据互通的格式与转发要求,以及针对vM、虚拟I/O 通道对接网络的一组控制
管理协议。
这种开发的标准技术,解决了当前服务器虚拟化后计算资源与网络资源之间产
生的管理边界模糊问题以及计算资源调度与网络自动化感知之间无法关联的问题。
EvB 相关标准包括2 个:802.1Qbg 和802.1Qbh,分别由HP/H3C 和Cisco 主
导设计起草。当前802.1Qbh 已经在EvB 内取消,因此EvB 目前也就是802.1Qbg。
9)EvB 实现构成:
完整的EvB 技术实现方案,需要包含以下几部分:1)支持硬件辅助虚拟化的物理服务器。
如支持vT-X、AMD-v 技术的服务器。
2)支持EvB 特性的边缘接入交换机。
3)支持EvB 特性的vMM(virtual Machine
Manager),该vMM 指的是虚拟机管理系统,而不是Hypervisor。
4 ) 支持EvB 特性的NMS ( Network
Management System),即网络管理系统。
10)EvB 的基本概念:
支持EvB 功能的交换机和服务器分别称为EvB 交换机(EvB Bridge)和EvB 服务器(EvB
Station)。
支持EvB 功能的交换机和服务器分别称为EvB 交换机(EvB Bridge)和EvB 服务器(EvB
Station)。
ER(Edge Relay,边缘中继):位于服务器侧相当于vSwitch。一个ER 包含一个上行口和至
少一个下行口,统称为ER 端口。上行口与交换机相连,下行口与各vM 相连。
S 通道:服务器内部可能需要多个ER,为在同一物理端口上隔离各ER 的上行通道,EvB
采用了“端口映射的S-VLAN 组件”技术,在服务器与交换机之间通过S-VLAN 将物理端
口划分为一条或多条虚拟通道,称为S 通道。
vSI(virtual Station Interface,虚拟服务器端口):相当于vM 上虚拟网卡的接口,与ER 的下
行口直连。vSI 接口用于管理vSI 的流量、设置流量策略等,是S 通道接口的子接口。
RR(Reflective Relay,反射式转发)模式:又称发卡式转发模式,是一种将报文从其入端口
再转发出去的操作模式。交换机利用该模式可以转发同一服务器上各vM 之间的流量。
11)EvB 相关协议:
CDCP(S-Channel Discovery and Configuration Protocol,S 通道发现和配置协议):用于虚
拟交换机与物理交换机之间协商创建或删除S 通道。其报文作为CDCP TLv 封装在LLDP
报文中。
ECP(Edge Control Protocol,边缘控制协议):被定义为一个承载协议,用于为上层协议报
文提供一种带确认机制的可靠传输方式。
vDP(vSI Discovery and Configuration Protocol,vSI 发现和配置协议):用于实现vM_vSI 接
口与物理交换机端口之间的关联。服务器在创建、删除或迁移vM 时,通过该协议通知物理
交换机创建或删除相应
的vSI 接口。
12)CAS 虚拟化软件概述:
H3C_CAS 云计算管理平台是H3C 公司面向企业和行业数据中心推出的虚拟化和云计算管
理软件。
▲整合数据中心IT 基础设施资源。
▲建立完全的、可审核的数据中心环境。
▲对业务部门的需求做出快速的响应。
13)CAS 组件功能:
▲CIC(云业务管理中心):将基础架构资源及其他相关策略整合成虚拟数据中心资源池,
并允许用户按需消费这些资源,构建安全的多租户混合云。
▲CvM(云虚拟化管理系统):对数据中心内的计算、网络和存储等硬件资源的软件虚拟化
管理,向上层应用提供自动化服务。
▲CvK(云虚拟化内核):物理硬件之上的虚拟化内核,消除上层虚拟机对硬件和驱动的依
赖,提高兼容性。
15)H3Cloud 高可靠性技术(HA)
▲自动侦测物理服务器和虚拟机失效;
▲资源预留;
▲虚拟机自动重新启动;
▲智能选择物理服务器。
高可靠×××的实施:
增加或修改集群时,可以“启用HA”或者可以对集群关闭HA
虚拟机启动优先级有高级、中级、低级三种模式。在多个虚拟机同时发生故障或者主机发生
故障时,优先重启优先级高的虚拟机。
16)虚拟机:
虚拟机(virtual Machine):指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔
离环境中的完整计算机系统。
传统物理机缺点:难以复制、受制于一组特定的硬件组件、生命周期较短、需要人工操作来
升级硬件。
虚拟机优点:封装在文件中、易于移动和复制、不依赖于物理硬件、易于管理、与其他虚
拟机相互隔离
虚拟机相关文件:磁盘文件、配置文件、备份文件、快照文件、模板文件
管理虚拟机实现的功能有:批量操作虚拟机、修改虚拟机属性、建立虚拟机模板和用模板创
建虚拟机、克隆虚拟机等。
虚拟机模板使用说明:1)建立模板前确认光驱和软驱已断开连接。
2)虚拟机模板位置默认放在CvM 管理服务器,由于空间有限,建议
放在共享文件系统。
3)模板选择转换为模板则原虚拟机不再,选择时请注意。
虚拟机快照:虚拟机快照是虚拟机文件在某个时间点的复本。系统崩溃或系统异常,可以通
过使用恢复到快照来还原虚拟机磁盘文件系统和存储。
虚拟机文件备份方式:1)立即备份。
2)设置备份策略,定时进行,指定一定数量虚拟机的备份。
虚拟机文件备份主机位置可选:1)本地主机
2)远端主机
//
///
13.软件特性:
存储资源:
H3CCAS 云计算管理平台中的存储用于保存虚拟机的操作系统、应用程序文件、配置文件
以及与活动相关的其它数据,是虚拟机正常工作的基本前提条件。
根据存储池的种类不同,可以分为:1)LvM 逻辑存储卷
2)iSCSI 网络存储
3)本地文件目录
4)NFS 网络文件系统
5)共享文件系统
6)Windows 系统共享目录
共享存储往往比本地存储提供更好的I/O 性能(尤其在多虚拟机环境下)
H3C_CAS 云计算管理平台中的在线迁移和高可用×××需要共享存储作为先决条件,例如
HA 和动态资源调整等。
配置共享文件系统:1)服务器与存储通过iSCSI 方式连接,存储侧需划分SAN 资源并配置
Target 信息;服务器侧需要配置Initiator 信息。
2)Initiator 和Target 是服务器和存储的连接标志。服务器部署完成后,
存在默认的Initiator 信息,为了便于管理和后期维护,建议重新配置,需要保证唯一.
部署共享存储四步骤(IP_SAN 存储):1)增加连接存储的虚拟交换机
2)设置服务器的Initiator 信息
3)增加共享文件系统
4)增加共享文件系统类型存储池
▲如果存储设备为FC_SAN,则无需设置存储网的虚拟交换机和服务器initiator 信息。在安
装完FC_HBA 卡后添加共享文件系统和共享文件系统存储池。
资源管理:
云资源是H3C_CAS 云计算软件分层管理模型的核心节点之一,通过对云资源进行管理,可
以统一管理数据中心内所有的、复杂的硬件基础设施,不仅包括基本的IT 基础设施(如硬
件服务器系统),还包括其它与之配套的设备。
数据信息:物理服务器概要信息和TOP5 虚拟机CPU 和内存利用率
图形信息:物理服务器CPU、内存利用率和使用情况
虚拟机性能状况监视:虚拟机性能监控界面
提供虚拟机CPU、内存、磁盘I/O、网络I/O 等重要资源在内的关键元件进行全面的性能监
测。
虚拟交换机性能状况监视:主机虚拟交换机界面提供各个虚端口的流量统计与模拟面板图
形化显示。
虚拟网卡性能状况监视:主机虚拟交换机界面
虚拟交换机右键菜单提供端口详细信息和流量实时监控
DRS(Distributed Resource Scheduler,分布式资源调度)功能简介:
H3Cloud 管理台定期对CPU 和内存等关键计算资源的利用率进行检测,根据自定义的规则
迁移虚拟机,动态平衡资源。
DRS 运作方式:vMware_DRS 允许用户自已定义规则和方案来决定虚拟机共享资源的方式
及它们之间优先权的判断根据。
当一台虚拟机的工作负载增加时,vMware_DRS 会根据之前定义好的分配规
则对虚拟机的优先权进行评估。
如果该虚拟机通过评估,DRS 就为它分配额外资源,当主机资源不足时,DRS
会寻找集群中有多余可用资源的主机,并将这个虚机迁移到上面,以调用更多的资源进行重
负载业务。
EvB 技术概述:边缘虚拟桥接(Edge virtual Bridging)
将vM 的流量交换与处理全部交给边缘交换机
▲降低对虚拟交换机的要求
▲服务器内、外部网络统一部署和管理
vM 生命周期与网络自动化关联,网络属性灵活变更
▲虚拟机加入网络自动关联
▲虚拟机迁移自动去关联、自动关联新虚拟机
vEB、vEPA 与多通道:
vEPA 模式虚拟交换机具有部分网络功能,多通道下的vEPA 则完全失去,由边缘交换机处
理。
多通道模式在服务器边缘增加了S-channel 组件,为vEB 和vEPA 虚拟交换机建立多个逻辑
通道,也相应增加一层SvID 标签
S 通道建立及vSI 关联, vM 上线后策略下发
CDCP 协议: S 通道发现和配置协议,用于服务器与边缘交换机协商创建或者删除S 通道.
vSI:虚拟服务器接口,可视为vM 上的虚拟网卡的接口,与虚拟交换机的下行口直连.
vDP 协议: vSI 发现和配置协议,用于服务器与边缘交换机通知机制,以实现vM 的vSI
与边缘交换机上接口的关联。虚拟机上线, vDP 协议发起.
总结:
CAS 企业功能包括DRS 和EvB 技术
EvB 技术需要与支持RR 转发的边缘交换机以及IMC 智能管理平台配合使用。
云服务管理:
通过CvK 和CvM 完成硬件资源的虚拟化,形成虚拟资源池,但是不能对外提供服务。
CIC 为用户提供了一个安全的、多租户的、可自助服务的LaaS, 是一种全新的基础架构交付
和使用模式。
登录用户自助服务器门户:
URL:http://CvM 的IP 地址:8080/ssv
FlexServer_R390 系列服务器硬件配置:
CPU 槽位2 个,可安装2 颗Intel Xeon E5-2600 系列处理器
内存槽位24 个DDR3 RDIMM,ECC,最大768GB( 24DIMM*32G)
内部存储最大支持8 块2.5 英寸SATA/SAS/SSD 硬盘;智能阵列控制器
电源1+1 冗余, 460W/750W 可选
LOM 口集成4 端口千兆以太网网卡,可扩展配置10GE 以太网网卡、CNA 融
合网卡
PCI-e 扩展槽1 (1)个x16 全长/全高+(2)个x8 半长/全高
PCI-e 扩展槽2 (1)个x16 全长/全高+(2)个x8 半长/全高; 或(1)个x16 全长/全高+(1)个
x16 半长/全高
端口前端:(2 个) USB;后端:(4 个) USB、视频(1600x1200)、网络
外形2U 高机架式服务器
转载于:https://blog.51cto/szk5043/1760324
版权声明:本文标题:网络知识整理 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dongtai/1729028623a1183522.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论