该BGP路由的AS-PATH中包含了自己的AS ID、使用了bgp-nb-only、在全局路由表中有其它优先级更高的路由条目、该BGP路由下一跳不可达。

HCIP(H12-222) V2.5

MPLS(多标签协议交换)
  1. MPLS-多标签协议交换技术,是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。多协议的含义是指MPLS不但可以支持多种网络层层面上的协议,还可以兼容第二层的多种数据链路层技术。
  2. MPLS中有转发等价类的概念,MPLS将具有相同转发处理方式的分组归为一类,称为FEC,FEC划分很灵活,可基于源、目标地址、源、目的端口、协议类型、服务类别或VPN等划分依据的任意组合。
  3. MPLS技术的核心是标签交换。
  4. MPLS Header长度为32bits,包括长度为20bit的标签,该标签用于转发;长度为3bits的EXP通常用来承载IP报文中的优先级,长度为1bit的栈底标志,用来表明是否是最后一个标签,作用类似IP头部的TTL,用来防止报文环路。
  5. MPLS体系中,标签的发布方式有两种,分别是独立方式与有序方式。
  6. MPLS是一种标签转发技术,对MPLS描述:

<1>控制平面实现路由信息的传递和标签的分发,数据平面实现报文在建立的标签转发路径上传送
<2>MPLS域内交换机只需要根据封装在IP头外面的标签进行转发即可
<3>对于传统的IP转发,MPLS标签转发大大提高了数据转发的效率

  1. MPLS依据标签对数据进行转发,如果没有标签,对于通过MPLS域的IP报文通过普通IP转发。
  2. MPLS称为多协议标签交换,关于MPLS中标签描述:
    <1>标签是一个长度固定、只具有本地意义的短标识符,用于唯一标识一个分组所属FEC
    <2>标签与ATM/VCI以及Frame Relay的DLCI类似,是一种连接标识符
    <3>MPLS支持单层标签同时也支持多层标签
    <4>MPLS体系有多种标签发布协议,如LDP就是一种标签发布协议
  3. IFTF定义的多协议标签交换技术(MPLS)是一种第三层交换技术,用于向IP层提供此连接服务,MPLS网络由:标签交换路由器、标签边缘路由器组成。
    负责为网络流添加/删除标记的设备是:标签边缘路由器
  4. 运行MPLS设备的标签转发表中,对于不同的路由(下一跳相同),出标签一定不同,对于相同的路由(下一跳相同),出标签一定相同。
  5. 根据IP Precedentcd、MPLS EXP、802.1P信息,可将报文分为8种业务。
  6. MPLS标签描述:

标签是一个长度固定、只具有本地意义的短标识符,用于唯一标识一个分组所属FEC
标签与ATM的VPI/VCI以及Frame Relay的DLCI类似,是一种连接标识符。
MPLS支持单层标签同时也支持多层标签
MPLS体系有多种标签发布协议,如LDP就是一种标签发布协议
标签栈按后进先出方式组织标签,从栈顶开始处理标签,标签封装在链路层与网络层之间,标签上固定长度4字节。

  1. MPLS的标签空间描述:

16~1023是静态LSP和静态CR-LSP共享的标签空间
1024以上是LDP、RSVP-TE、MP-BGP等动态信令协议共享的标签空间。
倒数第二跳LSR进行标签交换时,如果发现交换后的标签值为3,则将标签弹出,并将报文发给最后一跳。

  1. 关于MPLS中标签的封装格式的描述:

MPLS单个标签总长度为4个字节(32bit)
标签中TTL字段和IP分组中的TTL的意义相同,也具有防止环路的作用。

  1. MPLS封装方式说法:

MPLS封装有帧模式和信元模式
Ethernet和PPP使用帧模式封装
ATM使用信元模式封装
以太网使用帧模式

16.MPLS支持多层标签和转发平面的特性,在很多方面得到广泛应用,部署MPLS原因有:

流量工程能力、在基于软件的路由器上简化路由查找、VPN技术

  1. MPLS转发流程中,Ingress(进入)节点转发描述:

查看Nhlfe表项,可以得到出接口、下一跳、出标签和标签操作类型,标签操作类型为Push
在IP分组报文中压入获得的标签,并根据QOS策略处理EXP,同时处理TTL,然后将封装好的MPLS分组报文发送给下一跳。

  1. 关于MPLS转发过程描述:

MPLS的转发平面的主要功能是对IP包进行标签添加和删除,同时依据标签转发,对收到的分组进行转发,是面向连接的
IP进入MPLS网络时,MPLS入口的LER会分析IP包的内容并为IP包添加合适标签
MPLS依然可以使用ping或traceroute来发现LSP错误,并及时定位失效节点。

LDP(标签分发协议)

标签分发协议LDP(Label Distribution Protocol)是 MPLS 体系中的一种主要协议。在 MPLS 网络中,两个标签交换路由器(LSR)必须用在它们之间或通过它们转发流量的标签上达成一致。

  1. LDF是场景为标签分发而制定的协议,它的消息类型很多种,用来宣告和维护网络中一个LSR存在的消息是:Discovery message(发现消息)。
  2. LDP是专门为标签分发而制定的 协议,它的消息类型有多种,其中用来生成、改变和删除FEC的标签映射的消息是:Advertisement Message(广告消息),用来宣告和维护网络中一个LSR存在的消息是:Descovery message(发现消息)
  3. Descovery message使用VDP报文,Session message、Advertisment message、Notification message都使用TCP报文。
  4. LDP消息类型有多种,其中Session message可实现 监控LDP session 的TCP连接的完整性,在LDP Session建立过程中协商参数。
  5. 简述LDP Session建立过程:
    两个LSR之间互相发送hello消息,Hello消息携带IP地址,双方使用IP地址建立LDP会话,较大的一方作为主动方,发起TCP连接,如果被动方能够接受相关参数,则发送初始化消息(Intialization Message),同时发送Keepalive消息给主动方。状态会迁移到Openrec。
  6. LDP会话用于LSR间交换标签映射、释放等消息,关于LDP会话建立过程中报文的作用:

1.两台LSR之间通过交换hello消息来触发LDP session的建立
2.Initializtion Message用来在LDP session建立过程中协商参数
3.keepalive Message用来监控LDP Session的TCP连接的完整性

  1. 在LSP建立过程中,LSR分配标签采用的标签分配控制方式:

1.标签分配控制方式分为:独立标签分配控制和有序标签分配控制
2.如果标签发布方式为DU,且标签分配方式为Indpendent,则LSR无需等待下游的标签,就会直接向上游分发标签。如果分配方式为Ordered,则LSR(transit)只有收到下游(Egress)的标签映射消息,才会向上游(Ingress)分发标签。

LSR对收到的标签进行保留,且保留方式有多种,关于LDP标签保留–自由方式描述:

保留邻居发送来的所有标签
需要更多的内存和标签空间
当IP路由收敛、下一跳改变时减少了LSP收敛时间

DU(标签分发方式)
  1. DU标签分发方式下,如采用Liberal保持方式,则设备都会保留所有LDP Peer发来标签,无论该LDP Peer是否为到达目的网段的下一跳。
DHCP(动态主机配置协议)
  1. DHCP减少了对网络进行管理的工作量。
  2. 客户端收到DHCP NAK报文,客户端就会立即停止使用此IP地址,并返回到初始化状态,重新申请新的IP地址。
  3. DHCP服务器支持多种类型的地址分配策略,如:自动分配、动态分配、手工分配。
  4. DHCP在定义报文时,采用UDP进行封装。
  5. DHCP在PC上使用ipconfig/renew命令申请新IP,PC向服务器发送DHCP Renew报文,使用ipconfig/release命令来主动释放IP地址,发送DHCP Release报文。
  6. DHCP绑定表包含MAC地址、IP地址、相约时间
  7. DHCP Relay又称为DHCP中继,关于DHCP Relay说法:

DHCP协议多采用广播报文,如果出现多个子网则无法穿越,所以需要DHCP Relay设备,DHCP Relay设备可以是一台主机。
配置DHCP Relay步骤:配置DHCP服务器组的组名、配置DHCP服务器组中DHCP服务器IP地址、配置启动DHCP Relay功能的接口编号及接口IP。

  1. DHCP Server负责为客户端IP地址的分配,在配置DHCP Server时,需要:全局使能DHCP功能、采用全局地址池的DHCP服务器模式时,配置全局地址池、采取端口地址池的DHCP服务器模式时,配置端口地址池。
  2. 在DHCP客户端申请IP,DHCP server分配IP过程中,DHCP Offer、 DHCP ACK以单播方式发送。
  3. DHCP客户端发送DHCP Request报文对将过期IP进行续约。
  4. DHCP协议中设置了Options字段启用Opentions 82字段作用是记录dhcp客户端和dhcp中继设备的地址信息。
  5. DHCP服务器可以采用不同的地址范围为客户机进行分配,关于分配地址描述:

可以是DHCP服务器的数据库中与客户端MAC地址静态绑定的IP地址
可以是客户端曾经使用过的IP地址,即客户端发送的DHCP_Discover报文中请求IP地址选项的地址。
在DHCP地址池中,按顺序找可供分配的IP地址,即最先找到的IP地址。
关于DHCP服务器查询到的超过租期、发生冲突的IP地址,如果找到可用的IP地址,则可进行分配。

  1. 在配置DHCP Server的步骤:

全局使能DHCP功能
采用全局地址池的DHCP服务器模式时,配置全局地址池
采用端口地址池的DHCP服务器模式时,配置端口地址池



简述VLAN的划分方法与特点_学习

启用DHCP服务
配置vlanif10接口下的客户端都从全局地址池获取IP
接口地址池优先于全局地址池,若接口存在接口地址池,即使全局地址池存在,客户端也会优先从接口地址池获取IP
DHCP服务器发送ping报文最大数目为10

  1. 当DHCP客户端和DHCP服务器之间存在中继设备时,如果DHCP服务器全局地址池中的IP地址与中继设备上连接客户端的VLANIF接口的IP地址不在同一网段,会引起DHCP故障。
WRR(加权循环)
  1. 加权循环调度算法WRR(Weighted Round Robin)是一种较强的队列调度算法,它能够有效地区分队列中所有的业务。
  2. 加权循环(WRR)所有业务队列服务,并且将优先权分配给较高优先级队列。在大多数情况下,相对低优先级,WRR将首先处理高优先级,但是当高优先级业务很多时,较低优先级的业务并没有被完全阻塞。
  3. WRR在循环调度的基础上演变而来,在队列之间进行轮流调度,根据每个队列的权重来调度各队列中的报文流。
报文分类、标记、拥塞避免机制
  1. 可以根据源、目的MAC、协议类型、源、目的IP、报文长度进行复杂流分类。
  2. 可以用MAC地址、源IP、目标IP、EXP信息、IP DSCP、IP Precedence、802.1p对报文信息进行标记或重标记。
  3. 网络管理主要目标

确保网络用户收到期望的网络服务质量和技术服务信息,帮助网络工程师面对复杂的网络数据,并确保数据能够快速全面的呈现给使用者。

  1. 拥塞避免机制中的丢弃策略有RED、WRED。
ASPF(应用层报文过滤)

ASPF:应用层报文过滤(application specific packet filter): 是针对应用层的包过滤,即基于状态检测的报文过滤。也称为状态防火墙,它维护每一个连接的状态,并且检查应用层协议的数据,以此决定数据包是否被允许通过 。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。

  1. ASPF是一种基于应用层的包过滤,它会检查应用层协议信息并且监控链接的应用层协议状态,并通过了Server map 表实现了特殊的安全机制。
  2. 关于ASPF和Server map 表的说法:
    ASPF监控通信过程中的报文,ASPF动态创建和删除过滤规则,ASPF通过servermap表实现动态允许多通道协议数据通过。
  3. ASPF技术使得防火墙能够支持如FTP等多通道协议,同时还可以对复杂的应用制定相应的安全策略
防火墙
  1. USG防火墙的servermap表的三要素:目的IP、目的端口号、协议号
  2. USG防火墙默认安全区域有四个:

Trust:该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
Untrust:该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
DMZ(Demilitarized非军事区):该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。
Local:防火墙上提供了Local 区域,代表防火墙本身。比如防火墙主动发起的报文(我们在防火墙执行ping测试)以及抵达防火墙自身的报文(我们要网管防火墙telnet、ssh、http、https)

  1. 安全级别(Security Level),在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1-100 的字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:

Local 区域的安全级别是100,Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全级别是5。

  1. 防火墙的工作模式:路由、透明、混合
    路由模式
    防火墙在路由模式下工作,需要连接网络的接口配置IP地址,这个时候华为防火墙就相当于一台路由器,同时也提供防火墙的其他服务。大多数情况下,防火墙都是处于这个模式下,介于公司的内网和外网之间。
    透明模式
    在这个模式下,它的作用又比较像交换机,接口没有配置IP,但是因为这种模式太过奢侈,除非特殊的情况,才会把华为防火墙当作交换机使用。
    混合模式
    混合模式就是将以上两种模式进行结合使用,如果华为防火墙即存在路由模式的接口(接口配置了IP),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。
  2. 包过滤防火墙

提供了对分片报文进行检测过滤的支持,它可以过滤:后续分片报文、非分片报文
包过滤防火墙对网络层的数据报文进行检查
包过滤防火墙的主要特点:能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。

  1. 状态检测防火墙

<1>状态检测防火墙对报文进行检查时,只需要对该链接的第一个数据包进行访问规则的匹配,该链接的后续报文直接在状态表中进行匹配。
<2>状态检测防火墙处理非首包的数据流时,比包过滤、代理、软件防火墙效率高,它的特点:后续包处理性能优异。
<3>状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话,由防火墙安全策略决定建立哪些会话,数据包只有与会话相关联的时候才会被转发。

  1. 如果防护墙没有配置安全策略,或查找安全策略,所有的安全策略都没有命中,则默认执行域间的缺省包过滤动作:拒绝通过。
  2. 在防火墙ping防火墙某接口IP时,这些报文将交给防火墙内部模块处理,并不被转发出去。
  3. 同一安全区域的主机与服务器互访时同样需要NAT进行地址转换。
  4. 域间安全策略按照排列顺序匹配,排列在前的优先匹配。
  5. 包过滤防火墙只对网络层的数据报文进行检查,包过滤防火墙能够完全控制网络信息的交换机,控制会话过程,具有较高的安全性。
  6. 关于USG防火墙两接口被划分到同一区域,那么两目的端口数据包流动也必须经过域间包过滤处理过程。
  7. 在vAR应用场景,可将AR路由器的防火墙、VOIP、NAT、VPN功能虚拟化到server上。
  8. 关于配置防护墙安全区域的安全级别的描述:

只能为自定义的安全区域设定安全级别
安全级别一旦设定,不允许更改
同一系统中,两个安全区域不允许配置相同的安全级别,但不同接口可以配置属于同一安全区域

  1. 在防火墙查询NAT转换结果的命令是:disp nat translation
Security
  1. 单包攻击分为三类

扫描窥探攻击、畸形报文攻击、特殊报文攻击。

  1. 中间人攻击或IP/MAC Spoofing

中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害,且在内网中比较觉,为了防止中间人或IP/MAC Spoofing攻击,可以在交换机上配置DHCP Snooping域DAI或IPSG进行联动。

  1. MAC地址欺骗攻击描述

<1>利用了交换机MAC地址学习机制
<2>攻击者可以通过伪造的源MAC地址数据帧发送给交换机来实施MAC地址欺骗攻击
<3>会导致交换机要发送到正确目的地的数据被发送给攻击者

  1. ARP欺骗

ARP欺骗会导致:设备ARP缓存表资源被耗尽、用户发送的数据被攻击者窃取、过多的ARP报文造成设备的cpu负荷过重、用户无法访问外网或反复掉线。

  1. DHCP Snooping

DHCP Snooping是一种DHCP安全特性,可以用于防御多种攻击
<1>用来防止DHCP Server仿冒者攻击
<2>用来防止ARP欺骗攻击
<3>防御改变Chaddr值的饿死攻击
<4>防御中间人攻击和IP/MAC Snooping攻击 <5>防止对DHCP服务器的、结合IPSG功能对数据包的源IP地址进行检查(解决源IP欺骗攻击)。

  1. 网络层攻击(缺乏每种攻击的补充,后续补上)

IP攻击
ICMP攻击
Smurf攻击:攻击者通过发送ICMP应答请求,并将请求包的目的地址设为受害网络的广播地址,以实现攻击目的。

  1. 关于DHCP Server仿冒者攻击

仿冒者通过仿冒DHCP服务器向终端下发错误的IP地址和网络参数,导致用户无法上网,在华为二层交换机上使用DHCP Snooping功能并开启信任接口能够有效保障客户端从合法DHCP Server上获取IP地址和网络参数。

  1. 关于DHCP Server拒绝服务攻击?

DHCP拒绝服务攻击通过不断修改DHCP request报文中CHADDR字段来消耗地址资源,会将DHCP地址池中的IP地址资源快速耗尽,DHCP服务器地址资源被耗尽后将不会再处理和响应DHCP请求报文。

  1. Web服务器中勒索病毒?

企业内网有一对外的网站服务,由于未及时修复服务器补丁,该网站服务器感染了勒索病毒,服务器主机中的文件被加密,IT经理批准立即使用备机恢复网站正常运营,作为IT管理员,你应该如何处理?
1.备机上线前完成补丁修复工作
2.联系安全服务工程师应急响应,协助割接
3.已感染的服务器拔掉网线隔离处理
修改备用服务器地址作为主服务器地址

  1. ARP Miss与ARP Miss攻击

ARP Miss描述:设备在转发时因匹配不到对应的ARP表项而上报的消息,首先这个Arp miss不是一种报文,而是一种“流程”
一个192.168.0.0/24的网段,如果192.168.0.1和192.168.0.2通信,那么正常的情况下192.168.0.1会发送一条Arp请求,目的是为了获取192.168.0.2的mac地址,这是正常的arp,
但192.168.0.1所在的网段是192.168.0.0/24网段,如果192.168.0.1要和10.1.1.1通信,正常情况下,192.168.0.1依旧会发送一条Arp请求,但很明显,在该网段是请求不到10.1.1.1的mac地址的,那么这个网段的“网关”收到这条Arp请求后,会向192.168.0.1发送一条代理Arp(我不知道楼主知不知道代理Arp,意思是说网关会告诉192.168.0.1我就是10.1.1.1),但是网关毕竟不是真正的10.1.1.1,网关会使用cpu向“去往10.1.1.0/24网段的下一跳”发送一条arp请求,询问谁是10.1.1.1这个过程就是Arp-miss的过程。
说起这个Arp miss,可以谈起一种网段扫描的攻击方式就是耗尽arp缓存,从而实现拒绝服务。
(ARP Miss消息处理需要发送ARP请求出去,会消耗CPU资源,然而资源有限)
如果一台电脑,在不停的询问某个非本地网段里的所有ip地址时(比如地址扫描)
此时会产生大量的arp 请求,说不定就耗尽了资源,从而实现了攻击
对此华为有Arp miss的抑制手段
“对于同一个源IP发送的触发ARP-MISS流程的报文,一秒钟内如果超过门限值(默认为5个),系统会认为这是一种非法的攻击报文,就会针对该ip地址下发一条ACL规则,丢弃该源IP发送的所有需要上送CPU处理的报文;如果50s之内系统没有再次检测到该源ip发送的报文有arp-miss超过门限的情况,该ACL规则会自动删除,触发arp-miss流程的报文可以继续上送CPU处理。”(转至百度)

  1. 五元组:源IP地址、目的IP地址、协议号、源端口、目的端口
VRRP(虚拟路由冗余协议)
  1. VRRP的IP地址和虚拟IP可以相同,报文支持认证,VRRP报文的IP协议号是112。
  2. VRRP可以同接口track、BFD、NQA、ip-link机制结合来监视上行链路的连通性。
  3. VRRP设备在备份组中的默认优先级为:100,
  4. 关于VRRP描述:

1.VRRP组中的路由器根据优先级选举出Master
2.Master路由器通过发送免费ARP报文,将自己的虚拟MAC地址通知给与它连接的设备或主机
3.如果Master路由器出现故障,虚拟路由器中的Backup路由器将根据优先级重新选举新的Master。

  1. 配置VRRP抢占时延的命令
    Vrrp vrid 1 preempt-mode timer delay 20
  2. 关于VRRP master设备的描述:

定期发送VRRP报文
以虚拟MAC地址响应对虚拟IP地址的ARP请求
转发目的MAC地址为虚拟MAC地址的IP报文

  1. 关于VRRP slave设备描述:

当slave收到master发送的vrrp报文时,可判断master状态是否正常,
当收到优先级为0的vrrp报文时,slave会直接切换到master,
slave会丢弃目的mac为虚拟mac地址的ip报文。

8.在VRRP中,当设备状态变成Master后,会立刻发送免费ARP来刷新下游设备的MAC表项,从而把用户的流量引到此台设备上来。

BFD
  1. BFD概述
    BFD是一种双向转发检测机制,可以提供毫秒级的检测,可以实现链路的快速检测,BFD通过与上层路由协议联动,可以实现路由的快速收敛,确保业务的永续性。
  2. BFD Echo报文采用UDP封装,目的端口号为3784,源端口号在49152到65535的范围内。
  3. BFD控制报文封装在UDP报文中进行传输,那么多跳BFD控制报文的目的端口号是4784。
  4. 设备所有接口都开启BFD和OSPF联动使用命令:bfd all-interface enable
  5. BFD控制报文封装在UDP报文中进行传送,多跳BFD控制报文的目的端口号为:4784,VRP版本支持的BFD 版本号是version1。
  6. 在不使用BFD检测机制的情况下,通过以太网链路建立邻居关系的OSPF路由器,在链路故障后,最长需要40S才会中断邻居关系。
  7. 如果两台设备相连,一台支持BFD检测,另一台不支持,这种情况支持BFD的设备可以使用单壁回声特性来实现。
  8. 设备间建立BFD会话过程中,会经历Down、Init、UP
  9. 关于BFD会话建立方式:

静态配置BFD会话是指通过命令行,手工配置BFD会话参数,包括本地标识符和远端标识符。
动态建立BFD会话时,动态分配本地标识符。
系统通过划分标识符区域的方式,来区分静态BFD会话和动态BFD会话。

  1. BFD检测可以同哪些协议模块联动:VRRP、OSPF、BGP、静态路由
Agile Controller(业务编排)

业务编排模块可以实现在网络接入设备上对特定组流量指定策略,按照指定的编排顺序进行流量调度,规定流量需要被哪些安全设备处理,以及处理的先后顺序。对于访客、不安全区域的用户流量往往需要进行业务流调度至安全资源中心进行检测;
业务编排将原来物理设备的能力,抽象成虚拟服务概念,对用户屏蔽具体的物理形态,针对具体的业务,将业务流量引流至相应的处理服务结点;

  1. Agile Controller服务器的角色有:业务控制器、业务管理器、安全态势管理器。
  2. Aglie Controller功能组件:业务随行、业务编排、准入控制、安全协防
  3. 关于Agile Controller 的访客账号申请方式可以由接待员工创建
  4. Agile Controller支持802.1x、portal、MAC旁路、SACG准入方式
  5. 业务编排亮点:
    <1>灵活组网:基于三层GRE隧道进行编排,业务设备的组网方式,部署位置更加灵活
    <2>可视化编排,简化管理:通过拓扑可视化进行业务编排,配置简单,管理便捷
    <3>方便扩展:业务设备的增删不改变现网转发路由不改变现网物理拓扑
  6. 业务编排的访客接入管理的场景:
    <1>客户访问企业公共资源或Internet
    <2>民众通过公共单位提供的网络访问Internet
  7. 关于Agile Controller业务随行描述:
    1.管理员在配置业务随行时,应该选择合适的用户认证点和策略执行点
    2.在业务随行中,通过矩阵关系来描述一个安全组到另一个安全组的访问权限关系
    3.在业务随行中,通过指定某些VIP用户所属安全组的转发优先级,来保证这部分人员的网络使用体验
  8. 关于Agile Controller的业务编排概念:
    <1>业务编排中,用户控制列表是针对用户级别的ACL控制,使用数据包的源安全组、目的安全组、端口号等内容定义的规则。
    <2>编排设备是指对业务流进行有序引导的设备,一般指交换机
    <3>业务设备是指对编排设备引入的业务流进行安全业务处理的设备,主要包括防火墙、防病毒设备和上网行为控制设备。
  9. 对Agile Controller的准入控制技术的应用场景描述:

<1>MAC认证中,用户终端以MAC地址作为身份凭据认证服务器上进行认证,MAC地址认证主要用于IP电话、打印机等终端设备的认证。
<2>802.1x认证使用EAP认证协议,实现客户端、设备端和认证服务器之间认证信息交换。
<3>portal认证也称为web认证,用户通过web认证页面,输入用户账号信息,实现对终端用户身份的认证。

  1. 对Agile Controller的业务随行应用场景的描述:

<1>各部门人员访问服务器资源时,权限策略都由 Agile Controller统一部署,而管理员只需要关注部门间互访关系的设定,并选取园区中关键位置设备作为策略执行点,部署完成后,无论用户在何位置,以何种方式接入,都可以获得访问权限。
<2>可实现外包人员与内部员工协作办公,并基于策略与IP,结合策略自动部署功能,可以快速实现多团队一起办公,同时保证每个用户都能够拥有正确的网络访问权限,还可以根据需要控制团队成员间的数据共享行为,保障企业数据安全。
<3>当网关资源有限时,可结合自动优选网管和VIP优先上线,实现保证VIP用户可享有优质网络的体验。

  1. 在Agile Controller的无线准入控制场景中:

推荐为内部员工和设置不同的SSID控制接入来控制内部员工和访客接入网络。

RADIUS
  1. 什么是RADIUS?
    radius 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
  2. Radius服务器作用?
    RADIUS 服务器负责接收用户的连接请求、认证用户,然后返回客户机所有必要的配置信息以将服务发送到用户。
  3. 802.1x和Radius关系:802.1x和Radius是不同的技术,但经常配合在一起使用,共同完成对终端用户的准入控制。
NFV(网络功能虚拟化)
  1. 什么是NFV?
    网络功能虚拟化( NFV),一种对于网络架构的概念,利用虚拟化技术,将网络节点阶层的功能,分割成几个功能区块,分别以软件方式实作,不再局限于硬件架构。
  2. NFV框架内的功能组件:VIM、VNF、VNFM
  3. NFV中的VIM管理模块主要功能包括资源发现、资源分配、资源管理及故障处理。
  4. NVF常常部署在数据中心、网络节点、用户接入侧。
  5. NFV的定义是网络功能虚拟化。
  6. NFV优点:减少设备成本、缩短网络运营业务创新周期、单一平台为不同应用、租户提供服务。
  7. 在NFV架构中具体底层物理设备主要包括:存储设备、网络设备、服务器
SDN(软件定义网络)

软件定义网络(Software Defined Network,SDN)是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。

  1. SDN采用分层的开放架构,定义集中式架构和Openflow的是ONF。
  2. SDN基本工作过程包括哪些步骤:拓扑信息搜集、网元资源信息收集、生成内部交换路由。
  3. SDN控制器可以根据网络状态智能调整流量路径,以达到提升整网吞吐的目的。
  4. SDN网络体系架构主要分为协同应用层、控制层与转发层。
TCP全局同步、NAT、FTP、H.323

TCP同步指的是收发两方的同步。本来收发双方是异步的,发端不知道网络的容量,不知道收端的实时接收速度,发端不知道收端的情况。但是通过滑动拥塞窗口,通知接收窗口和ACK clocking等机制,实现了拥塞控制和流量控制

  1. 为避免TCP全局同步,可使用RED和WRED这两种拥塞避免机制。
  2. 多通道协议:FTP、H.323

在传统电话系统中,一次通话从建立系统连接到拆除连接都需要一定的信令来配合完成。同样,在IP电话中,如何寻找被叫方、如何建立应答、如何按照彼此的数据处理能力发送数据,也需要相应的信令系统,一般称为协议。在国际上,比较有影响的IP电话方面的协议包括ITU-T提出的H.323协议和IETF提出的SIP协议

  1. 在网络层中,报文长度、源、目标IP、TOS字段都可以对报文进行分类。
  2. 地址转换技术优点:

使内部网络用户更便捷访问Internet
使内部局域网的主机共享一个IP地址上网
可以屏蔽内部网络的用户,提高内部网络安全性

  1. Round Robin

Round Robin(中文翻译为轮询调度)是一种以轮询的方式依次将一个域名解析到多个IP地址的调度不同服务器的计算方法。
Round Robin调度方式是按每个队列定义的字节数轮询发送的,而且每个队列的带宽比例等于本队列定义的字节数与所有队列字节数之和的比值。

镜像

镜像简介:
镜像是指将经过指定端口(源端口或者镜像端口)的报文复制一份到另一个指定端口(目的端口或者观察端口)。
镜像目的:
在网络运营与维护的过程中,为了便于业务监测和故障定位,网络管理员时常要获取设备上的业务报文进行分析。
镜像可以在不影响设备对报文进行正常处理的情况下,将镜像端口的报文复制一份到观察端口。网络管理员通过网络监控设备就可以分析从观察端口复制过来的报文,判断网络中运行的业务是否正常。
端口镜像是指设备复制从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控。端口镜像根据监控设备在网络中位置的不同,分为本地端口镜像和远程端口镜像。

流镜像是对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。有二层流镜像和三层流镜像,针对出口流的镜像,入口流的镜像。端口镜像就是指定特定端口的数据流量映射到监控端口,以便集中使用数据捕获软件进行分析。流镜像是指按照一定的数据流分类规则对数据进行分流,然后将属于指定流的所有数据映射到监控端口,以便进行数据分析。端口镜像顾名思义就是针对端口所做的镜像操作。流镜像可以通过acl匹配合适的流,所以功能更加强大.
流镜像可以通过ACL做也可以通过MQC做

  1. 镜像分为两种,分别是流镜像、端口镜像
  2. 流镜像也分为两种,分别是本地流镜像、远程流镜像
  3. 在华为路由器上配置远程端口镜像功能,实现将远程端口镜像出去的报文,可以通过三层IP网络传送到监控设备,命令是:
Observe-server destination-ip 10.1.1.1 source-ip 192.168.1.1
  1. 在华为路由器上,将接口配置为本地观察端口的命令是:
Observe-port interface ethernet 2/0/1
  1. 数据采集的方法:分光器物理采集、通过端口镜像采集、NMS集中采集
  2. 镜像要求所采集的数据实时、真实、可靠
  3. 镜像端口的主要角色分为镜像端口、本地观察端口、远程镜像端口
eSight平台

提供存储、服务器、应用、交换机、路由器、防火墙、WLAN、PON网络、无线宽带集群设备、视频监控、IP话机、视讯设备等多种设备的统一管理

  1. 华为的企业网管产品是esight,有精简、标准、专业三个版本,专业比标准版多了支持分层的管理模型。
  2. 在eSight中可以根据生效时间、生效时段、告警源及告警条件来设置告警屏蔽规。
  3. eSight网管支持的远程告警通知方式是邮件和短信。
  4. 使用eSight对历史告警进行查询时,可以按照下列条件进行告警:告警级别、首次发生时间、告警源、告警名称。
  5. 在eSight中,网元发现方式支持的协议:SNMP、ICMP协议
  6. 使用eSight初始添加设备后,拓扑元素的排列都是随机的,不能体现实际网络结构,所以还需要根据实际的网络组网进行位置调整或选择拓扑提供的自动布局功能。
  7. eSight缺省角色有administrator、monitor、operator
  8. 传统网络的局限性:

网络协议实现复杂,运维难度较大
流量路径的调整能力不够灵活
网络新业务升级的速度较慢

  1. 华为eSight支持如指定某IP、指定某网段或通过excel表格(指定IP)进行导入。
    10.华为eSight描述:向导式安装,轻量级系统、面对不同的客户提供相应的解决方案、支持对多厂商设备进行同一管理。
    11.eSight物理拓扑监控的功能描述:

图形化的展示网元、子网、链路的布局及状态
精确可视化的监控全网网络运行状态
系统的展现全网网络结构及网络实体在业务上的关系
整个网络监控的入口,实现高效运维

  1. 在eSight网管侧,需要配置的参数有模板名称、SNMP版本、读写团体字、网元端口、超过时间以及重发次数。其中:SNMP版本、网元端口、读写团体字必须与设备上配置信息所吻合。
  2. eSight系统日志

主要记录eSight发生的事件,如eSight运行异常、网络故障、eSight受到攻击等,有利于分析eSight运行状态,排除故障。

  1. 华为eSight创建的缺省角色:Administrator、Monitor、Operator
VXLAN

VXLAN是一种网络虚似化技术,可以改进大型云计算在部署时的扩展问题,是对VLAN的一种扩展。VXLAN是一种功能强大的工具,可以穿透三层网络对二层进行扩展。它可通过封装流量并将其扩展到第三层网关,以此来解决VMS(虚拟内存系统)的可移植性限制,使其可以访问在外部IP子网上的服务器。
VMware ESXi、Open vSwitch、当前主流的网络芯片均已支持VXLAN:它备受业界关注,未来有可能成为网络虚拟化技术当中的主流技术之一

  1. VXLAN支持的常用配置方式:虚拟化软件配置、SDN控制器配置
  2. VXLAN的广播域被称为桥域,
  3. VXLAN用户可以通过VXLAN接口访问Internet
QOS(服务质量)

QoS(Quality of Service,服务质量)指一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力,是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。

  1. QOS服务模型:best-effort service(尽力服务)、integrated service(综合服务)、differentiated service(差异化服务)
  2. QOS中,integrated service(综合服务)与differentiated service(差异化服务)主要区别是:

在DS(differentiated service)无需为每个流维护状态信息,它适用于大型骨干网络。

  1. QOS针对各种不同的需求,提供不同的服务质量,以下属于QOS所提供的功能有:支持位用户提供专用宽带、可以减少报文的丢失率、避免和管理网络拥塞。
  2. 关于QOS丢包:

<1>路由器在收到数据包的时候,可能会因为CPU繁忙,没办法处理数据包,导致出现丢包现象。
<2>在把数据包调度到丢列的时候,可能会因为队列被装满而导致丢包
<3>数据包在链路上传输的时候,可能会因为链路故障等原因而导致丢包

  1. 网络进行管理的主要目标:确保网络用户收到期望的网络服务质量与技术服务信息,帮助网络工程师面对复杂的网络数据,并确保数据能够快速全面的呈现给使用者。
  2. 对于IPv4报文,可以根据报文的DSCP信息、IP Precedence 信息来进行简单流分类
  3. 关于时延和抖动:

抖动是由于属于同一个流的数据包的端到端时延不相等造成的。
抖动的大小跟时延的大小相关,时延小则抖动的范围小,时延大则可能抖动范围也大。

  1. 关于QOS中的Integrated Server服务模型:

传送QOS请求的信令是RSVP,它用来通知路由器应用程序的QOS需求
它可以用来提供保证带宽和时延来满足应用程序的要求
它可以提供负载控制服务,保证及时在网络过载的情况下,能对报文提供近似于网络未过载类似的服务,即在网络拥塞的情况下,保证某些应用程序的报文的低时延和高通过。

DiffServ
  1. 对DiffServ模型的描述:

<1>可以通过设置IP报文头部的QOS参数信息,来告知网络节点它的QOS需求
<2>报文传播路径上的各个设备,都可以通过IP报文头的分析来获知报文的服务需求类别
<3>Doffserv是一种基于报文流的QOS解决方案

  1. 通常在配置QOS中Diff-Serv时,边界路由器会通过报文的源地址和目的地址等对报文进行分类,对不同的报文设置不同的IP优先级,而其它路由器只需要根据IP优先级来对报文进行识别即可。
  2. 在Diff-Serv网络中,用DSCP最多可以定义的取值数目是64。
  3. 在diff-serv域的核心路由器通常只需要进行简单流分类。
  4. 在Diff-Serv网络中,定义EF类的业务类型的主要目的是:为要求低时延、低丢失、低抖动和确保带宽的业务优先提供业务保证。
IntServ

IntServ(Integrated Services)最初试图在因特网中将网络提供的服务划分为不同类别的是IETF提出的综合服务IntServ。IntServ可对单个的应用会话提供服务质量的保证。
IntServ是端到端的基于流的QoS技术。在发送流量前,网络设备需要通过RSVP信令协议向网络申请特定服务质量,包括带宽、时延等。在确认网络已经为该流量预留了资源后,网络设备才开始发送报文。
IntServ能很好地满足QoS的要求,但所有的网络节点必须支持RSVP信令协议,并且维护每个流的状态和交换信令信息,在大型网络内这可能会要求数量极大的带宽。

  1. IntServ模型在应用程序发送报文前,需要向网络申请预留资源。

快速检测技术

快速检测可以尽早地检测到与相邻设备间地通信故障,以便系统能够及时采取措施,保证业务不中断

DSCP

DSCP差分服务代码点(Differentiated Services Code Point),IETF于1998年12月发布了Diff-Serv(Differentiated Service)的QoS分类标准。它在每个数据包IP头部的服务类别TOS标识字节中,利用已使用的6比特和未使用的2比特,通过编码值来区分优先级。

  1. 16.关于QOS的DSCP描述:

1.用TOS字段的前6个比特(高6比特)来标识不同的业务类型
2.每隔DSCP值对应一个BA(begavior aggregate),然后可以对每个BA指定一种PHB
3.可以使用某些QOS机制来实现PHB

  1. 若使用DSCP(Tos域的前6位)最多可将报文分成64类。
IP流分类、监管、整形
  1. 复杂流分类是指采用复杂的规则,如由五元组(源地址、源端口号、协议号码、目的地址、目的端口号)对报文进行精细的分类。为了节省配置,方便批量修改配置,复杂流分类主要部署在网络的边缘节点。
  2. 对于IPv4报文,可以根据报文的DSCP信息和IP Precedence信息进行简单流分类。
  3. 代表Immediate的业务流量IP Precedence的取值是2。
  4. 流量临客功能描述:对报文进行着色处理、对超过流量限制的报文不能进行缓存。
  5. 相对于流量监管、流量整形引入了队列,用于缓存超过限制的流量。
  6. 关于流量整形的描述:

相对流量监管,流量整形具有更好的抗突发能力
流量整形可以使报文以比较均匀的速度向外发送
由于引入队列,当发生拥塞时,报文的时延相对增加。

  1. 在端口队列调度中,FIFO队列没有公平、且不同的流之间不能相互隔离。
  2. 对于标签可以根据报文的MPLS EXP信息来进行简单流分类。
  3. 流量分类是按照一定的规则来标识符合某类特征的报文,不同特征报文享受不同服务,由分类规则参考信息的不同,流量分类可以分为简单流分类和复杂流分类。
  4. 流量临客功能:对报文进行着色处理,对超过流量限制的报文不能进行缓存
  5. 相对于流量监管,流量整形引入了队列,用户缓存超过限制的流量,对于流量整形描述: