华为HCIP Route&Switch认证学习笔记总结
本篇文章说明:
本篇主要记录华为HCIP知识的笔记、华为HCIP R&S认证笔记,版本是V2.5,按照知识点分类进行总结,也包含题库中一些内容整合,用于加深理解和记忆,查看也更快捷。
文章目录
- HCIP-(H12-221) V2.5
- STP、RSTP、MSTP
- OSPF协议
- ISIS协议
- BGP协议
- HCIP(H12-222) V2.5
- MPLS(多标签协议交换)
- LDP(标签分发协议)
- DU(标签分发方式)
- DHCP(动态主机配置协议)
- WRR(加权循环)
- 报文分类、标记、拥塞避免机制
- ASPF(应用层报文过滤)
- 防火墙
- Security
- VRRP(虚拟路由冗余协议)
- BFD
- Agile Controller(业务编排)
- RADIUS
- NFV(网络功能虚拟化)
- SDN(软件定义网络)
- TCP全局同步、NAT、FTP、H.323
- 镜像
- eSight平台
- VXLAN
- QOS(服务质量)
- DiffServ
- IntServ
- 快速检测技术
- DSCP
- IP流分类、监管、整形
- NAT
- 网络故障
- 网络故障排除法
- 网络设计
- 网络维护
- 网络优化
- 网络割接
- 交换机
- 路由器
- 其它
HCIP-(H12-221) V2.5
1.与IGP进行交互,即BGP路由表和IGP路由表相互引入
关于相互引入有问题,不一定都需要相互引入,如在ospf中只引入bgp路由,而bgp只发布、传输路由都行。
2. IP-Prefix工具不能被route-policy的apply子句直接引用
Apply子句用来为路由策略指定动作,用来设置匹配成功的路由的属性。
在一个节点中,如果没有配置apply子句,则该节点仅起过滤路由的作用。如果配置一个或多个apply子句,则通过节点匹配的路由将执行所有apply子句。
3.MUX VLAN不可以减少企业VLAN ID消耗
MUX VLAN提供的是二层流量隔离的机制,它可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。(pdf376)
4.15. 在配置BPDU报文的格式上,除了保证和STP格式基本一致之外,RSTP作了一些小变化,(其中:在flag字段中,Bit0是TCA是错误的选项)
flag字段,位于tcp层,有几个标识,syn,fin,ack,psh,rts,urg。
5. Peer命令可用于在OSPF的 NBMA网络中
NBMA网络是:非广播多路访问,是ospf通信协议中定义的四种网络类型之一。attempt (尝试)是只有NBMA网络才会出现的状态。
6.在OSPF中,LSDB超载通常是因为存储了太多AS外部路由信息(第五类LSA)引起的。
ospf有四种不同的网络类型,OSPF每种网络类型产生的一类LSA都会不同。
ospf四种网络类型
点到点
广播多路访问
NBMA 非广播多路访问
点到多点
四种网络类型要选举DR的
广播(Broadcast)、非广播NBMA,而点到点与点到多点不需要选举DR
ospf五类LSA(LS1为一类LSA…)
LSA1主要用来描述拓扑信息和路由信息。
LSA2(network)可以获知网络的路由信息以及拓扑信息
LS3(summary LSA)传播整个ospf域,通告者是ABR,它是一类二类汇总而成。
LSA4来告知域内其他路由器怎么到ASBR,四类LSA由ABR产生
LSA5由重发布进来的路由产生
ospf支持的缺省下发方式:
abr、asbr、非强制下发
7.BGP公认必遵属性
ORIGIN属性(起源属性):定义路由信息的来源,标记一条路是怎么成为成为BGP路由的
AS-PATH属性:到达一个目的地所经过的自治系统号码的有序列表
NEXT-HOP属性:为BGP发言者指示去往目的地的下一跳
8. BGP协议有一种消息在BGP邻居之间周期性的发送,用以维护连接关系
Keepalive
8.在Established状态下,BGP可以和对等体交换Update、Keepalive、Route-refresh报文和Notification报文。
Notification报文直接导致邻居down,不会交换
9.什么是路由策略?
路由策略主要是控制路由的策略,如路由信息的引入、发布和接收等
9.什么是策略路由?
策略路由pbr(policy-based-route),主要是控制报文的转发,即可以不按照路由表进行报文的转发。
10.ACL(访问控制列表)的概述
ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行步同的处理。
ACL根据不同规则进行不同的分类。常见的三种分类是基本ACL、高级ACL和二层ACL。
基本ACL可以使用报文的源IP地址、分片标记和时间段信息来匹配报文,其编号取值范围是2000-2999
高级ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,其编号取值范围是3000-3999
二层ACL可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文,其编号取值范围是4000-4999
ACL用来描述报文的属性:
源地址、目的地址、端口号、ICMP报文类型和消息码
11.ospf stub特性
虚连接不能跨越stub area
12.rpf检查的作用
防止组播路由发生环路、防止转发冗余的组
13.ISIS的Hello报文类型
·Level-1 LAN IIH、Level-2 LAN IIH、P2P LAN IIH
14.IGMPv1两种报文类型
成员查询报告、成员关系报告
15.端口安全技术中的安全MAC
安全动态MAC地址、安全静态MAC地址、Sticky MAC地址
16.router-policy中,能用于apply子句的BGP属性有:
local-preference、med、as-path
17.igp与egp
igp着重于发现路由与计算路由
egp着重于控制路由传播与选择最优路由
18.静态LACP模式下
优先级越优的主动端
19.IGMP snooping
概述:运行在链路层,是二层以太网交换机上的组播约束机制,用于管理和控制组播组,它通过侦听主机发出的IGMP报文,建立MAC组播地址表。
优势:减少二层网络广播报文,节约带宽、增强组播信息安全、便捷给用户单独计费。
解决的问题:解决组播数据报文在二层设备上广播问题,用于管理和控制组播数据报文的转发。
20.PIM-SM
断言机制名称: Assert
21.bgp中open报文包含的信息:
version、as编号、hold time消息
22.前缀列表:
可以过滤IP前缀、可匹配前缀号和前缀长度、对于路由前缀的匹配功能比访问控制列表更强。
23.AS path
它是bgp中一个非常重要的公认必遵属性,它是指在bgp路由在传输的路径中所经历的AS的列表。
24.关于虚链路的描述
网络中存在虚链路,说明网络设计存在问题,需要优化。
虚链路增加了网络的复杂度,还可能带来环路。
25.永久组播地址的描述
224.0.0.1被网段内的所有主机及路由器侦听
224.0.0.2 被所有路由器侦听
224.0.0.5所有运行OSPF的路由器侦听
25.OSPF路由器从初始到邻居,形成邻接的关系过程
Down、 Init、2-way、 Exstart、 Exchange、 Loading、 Full
26.OSPF特殊区域
Totally stub Area 作用是允许ABR发布的LSA3缺省路由,不允许自治系统外部路由和区域间的路由。Stub Area区域与它不同处在于该区域允许域间路由。NSSA区域与它不同处在于该区域不允许域间路由。
27.ISIS协议具备的特点:
报文结构简单、适用于大容量的路由传递、扩展性较好
28.ospf dr-priority命令默认值为1,取值范围为0~255
29.静态LACP模式中的抢占机制概述
当一条高优先级的接口因故障切换为非活动状态而后又恢复时,如果使能了抢占,则恢复的高优先级接口将在延时一定时间后,重新成为活动接口,如果未使能抢占,该接口不能自动成为活动接口。
为了避免由于某些链路状态频繁变化而导致整条链路传输不稳定,可以设置抢占延时。
30.Route-policy概述
一个Router-policy由多个节点构成,可包含多个if-match、apply字句,if-match字句用来定义节点的匹配条件,字句过滤规则关系是“与”,即必须全部匹配、apply子句用来定义通过过滤的路由行为,节点间的过滤关系“或”,即只要通过了一个节点的过滤,就可通过该route-policy。
route-policy能给预先定义的条件过滤设置BGP属性,所以它经常被用来针对BGPpeer的策略,也经常在路由生成时期被使用,缺省情况下所有未匹配的路由都拒绝通过route-policy。
31.BGP可选属性概述
分为可选过渡和非可选过渡两种。
可选过渡属性是BGP路由器可以选择是否在Update消息中携带这些消息,接收的路由器如果不识别此属性,可以转发给邻居,邻居可能识别并使用。
非可选过渡属性是BGP路由器可以选择是否在Update消息中携带这种属性,接收的路由如果不识别 这种属性,将丢弃,不转发给邻居。
32.BGP公认团体属性有:No-export、No-advertise、Internet。
33.BGP-Open消息携带那些信息:
本地自治系统(AS号)、BGPID、Hold Time、BGP版本
34.BGP的Origin属性:
通过import 命令注入BGP的路由,Origin属性都为Incomplete,通过network命令注入BGP的路由,Origin属性都为IGP。
35.ISIS协议路由计算包括那些步骤
邻居关系建立、链路信息交换、路由计算
STP、RSTP、MSTP
- 在生成树网络中,关于TC报文?
在生成树网络中,拓扑发生改变时,设备会发出TC报文通知拓扑改变信息, 并刷新ARP表项,当ARP刷新没有得到及时回应时,就可能引起丢包现象。
OSPF协议
- 哪种情况会导致OSPF建立了邻接关系,但互相收不到对方的路由?
网络类型一边为P2P,一边为广播
- OSPF中,发现其中部分路由不断震荡,造成该现象原因有可能?
有设备的物理端口在震荡、有些设备的OSPF Router-id冲突、有些设备的认证不匹配导致邻居建立不起来
ISIS协议
ISIS是一种链路状态路由协议,它被广泛使用于大中型网络中
ISIS通过扩展TLV兼容其它网络层协议,它支持L2和L1的区域,更适合扁平化网络部署,ISIS报文封装在二层数据帧中,提高了路由报文交互的安全性。
BGP协议
- 当网络中配置BGP协议,在路由器上使用命令查看BGP路由表能看到一条路由条目,但是在路由器的全局路由表中却找不到BGP路由,原因:
该BGP路由的AS-PATH中包含了自己的AS ID、使用了bgp-nb-only、在全局路由表中有其它优先级更高的路由条目、该BGP路由下一跳不可达。
HCIP(H12-222) V2.5
MPLS(多标签协议交换)
-
MPLS-多标签协议交换技术,是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。多协议的含义是指MPLS不但可以支持多种网络层层面上的协议,还可以兼容第二层的多种数据链路层技术。
-
MPLS中有转发等价类的概念,MPLS将具有相同转发处理方式的分组归为一类,称为FEC,FEC划分很灵活,可基于源、目标地址、源、目的端口、协议类型、服务类别或VPN等划分依据的任意组合。
-
MPLS技术的核心是标签交换。
-
MPLS Header长度为32bits,包括长度为20bit的标签,该标签用于转发;长度为3bits的EXP通常用来承载IP报文中的优先级,长度为1bit的栈底标志,用来表明是否是最后一个标签,作用类似IP头部的TTL,用来防止报文环路。
-
MPLS体系中,标签的发布方式有两种,分别是独立方式与有序方式。
-
MPLS是一种标签转发技术,对MPLS描述:
<1>控制平面实现路由信息的传递和标签的分发,数据平面实现报文在建立的标签转发路径上传送
<2>MPLS域内交换机只需要根据封装在IP头外面的标签进行转发即可
<3>对于传统的IP转发,MPLS标签转发大大提高了数据转发的效率
-
MPLS依据标签对数据进行转发,如果没有标签,对于通过MPLS域的IP报文通过普通IP转发。
-
MPLS称为多协议标签交换,关于MPLS中标签描述:
<1>标签是一个长度固定、只具有本地意义的短标识符,用于唯一标识一个分组所属FEC
<2>标签与ATM/VCI以及Frame Relay的DLCI类似,是一种连接标识符
<3>MPLS支持单层标签同时也支持多层标签
<4>MPLS体系有多种标签发布协议,如LDP就是一种标签发布协议 -
IFTF定义的多协议标签交换技术(MPLS)是一种第三层交换技术,用于向IP层提供此连接服务,MPLS网络由:标签交换路由器、标签边缘路由器组成。
负责为网络流添加/删除标记的设备是:标签边缘路由器 -
运行MPLS设备的标签转发表中,对于不同的路由(下一跳相同),出标签一定不同,对于相同的路由(下一跳相同),出标签一定相同。
-
根据IP Precedentcd、MPLS EXP、802.1P信息,可将报文分为8种业务。
-
MPLS标签描述:
标签是一个长度固定、只具有本地意义的短标识符,用于唯一标识一个分组所属FEC
标签与ATM的VPI/VCI以及Frame Relay的DLCI类似,是一种连接标识符。
MPLS支持单层标签同时也支持多层标签
MPLS体系有多种标签发布协议,如LDP就是一种标签发布协议
标签栈按后进先出方式组织标签,从栈顶开始处理标签,标签封装在链路层与网络层之间,标签上固定长度4字节。
- MPLS的标签空间描述:
16~1023是静态LSP和静态CR-LSP共享的标签空间
1024以上是LDP、RSVP-TE、MP-BGP等动态信令协议共享的标签空间。
倒数第二跳LSR进行标签交换时,如果发现交换后的标签值为3,则将标签弹出,并将报文发给最后一跳。
- 关于MPLS中标签的封装格式的描述:
MPLS单个标签总长度为4个字节(32bit)
标签中TTL字段和IP分组中的TTL的意义相同,也具有防止环路的作用。
- MPLS封装方式说法:
MPLS封装有帧模式和信元模式
Ethernet和PPP使用帧模式封装
ATM使用信元模式封装
以太网使用帧模式
16.MPLS支持多层标签和转发平面的特性,在很多方面得到广泛应用,部署MPLS原因有:
流量工程能力、在基于软件的路由器上简化路由查找、VPN技术
- MPLS转发流程中,Ingress(进入)节点转发描述:
查看Nhlfe表项,可以得到出接口、下一跳、出标签和标签操作类型,标签操作类型为Push
在IP分组报文中压入获得的标签,并根据QOS策略处理EXP,同时处理TTL,然后将封装好的MPLS分组报文发送给下一跳。
- 关于MPLS转发过程描述:
MPLS的转发平面的主要功能是对IP包进行标签添加和删除,同时依据标签转发,对收到的分组进行转发,是面向连接的
IP进入MPLS网络时,MPLS入口的LER会分析IP包的内容并为IP包添加合适标签
MPLS依然可以使用ping或traceroute来发现LSP错误,并及时定位失效节点。
LDP(标签分发协议)
标签分发协议LDP(Label Distribution Protocol)是 MPLS 体系中的一种主要协议。在 MPLS 网络中,两个标签交换路由器(LSR)必须用在它们之间或通过它们转发流量的标签上达成一致。
- LDF是场景为标签分发而制定的协议,它的消息类型很多种,用来宣告和维护网络中一个LSR存在的消息是:Discovery message(发现消息)。
- LDP是专门为标签分发而制定的 协议,它的消息类型有多种,其中用来生成、改变和删除FEC的标签映射的消息是:Advertisement Message(广告消息),用来宣告和维护网络中一个LSR存在的消息是:Descovery message(发现消息)
- Descovery message使用VDP报文,Session message、Advertisment message、Notification message都使用TCP报文。
- LDP消息类型有多种,其中Session message可实现 监控LDP session 的TCP连接的完整性,在LDP Session建立过程中协商参数。
- 简述LDP Session建立过程:
两个LSR之间互相发送hello消息,Hello消息携带IP地址,双方使用IP地址建立LDP会话,较大的一方作为主动方,发起TCP连接,如果被动方能够接受相关参数,则发送初始化消息(Intialization Message),同时发送Keepalive消息给主动方。状态会迁移到Openrec。 - LDP会话用于LSR间交换标签映射、释放等消息,关于LDP会话建立过程中报文的作用:
1.两台LSR之间通过交换hello消息来触发LDP session的建立
2.Initializtion Message用来在LDP session建立过程中协商参数
3.keepalive Message用来监控LDP Session的TCP连接的完整性
- 在LSP建立过程中,LSR分配标签采用的标签分配控制方式:
1.标签分配控制方式分为:独立标签分配控制和有序标签分配控制
2.如果标签发布方式为DU,且标签分配方式为Indpendent,则LSR无需等待下游的标签,就会直接向上游分发标签。如果分配方式为Ordered,则LSR(transit)只有收到下游(Egress)的标签映射消息,才会向上游(Ingress)分发标签。
LSR对收到的标签进行保留,且保留方式有多种,关于LDP标签保留–自由方式描述:
保留邻居发送来的所有标签
需要更多的内存和标签空间
当IP路由收敛、下一跳改变时减少了LSP收敛时间
DU(标签分发方式)
- DU标签分发方式下,如采用Liberal保持方式,则设备都会保留所有LDP Peer发来标签,无论该LDP Peer是否为到达目的网段的下一跳。
DHCP(动态主机配置协议)
- DHCP减少了对网络进行管理的工作量。
- 客户端收到DHCP NAK报文,客户端就会立即停止使用此IP地址,并返回到初始化状态,重新申请新的IP地址。
- DHCP服务器支持多种类型的地址分配策略,如:自动分配、动态分配、手工分配。
- DHCP在定义报文时,采用UDP进行封装。
- DHCP在PC上使用ipconfig/renew命令申请新IP,PC向服务器发送DHCP Renew报文,使用ipconfig/release命令来主动释放IP地址,发送DHCP Release报文。
- DHCP绑定表包含MAC地址、IP地址、相约时间
- DHCP Relay又称为DHCP中继,关于DHCP Relay说法:
DHCP协议多采用广播报文,如果出现多个子网则无法穿越,所以需要DHCP Relay设备,DHCP Relay设备可以是一台主机。
配置DHCP Relay步骤:配置DHCP服务器组的组名、配置DHCP服务器组中DHCP服务器IP地址、配置启动DHCP Relay功能的接口编号及接口IP。
- DHCP Server负责为客户端IP地址的分配,在配置DHCP Server时,需要:全局使能DHCP功能、采用全局地址池的DHCP服务器模式时,配置全局地址池、采取端口地址池的DHCP服务器模式时,配置端口地址池。
- 在DHCP客户端申请IP,DHCP server分配IP过程中,DHCP Offer、 DHCP ACK以单播方式发送。
- DHCP客户端发送DHCP Request报文对将过期IP进行续约。
- DHCP协议中设置了Options字段启用Opentions 82字段作用是记录dhcp客户端和dhcp中继设备的地址信息。
- DHCP服务器可以采用不同的地址范围为客户机进行分配,关于分配地址描述:
可以是DHCP服务器的数据库中与客户端MAC地址静态绑定的IP地址
可以是客户端曾经使用过的IP地址,即客户端发送的DHCP_Discover报文中请求IP地址选项的地址。
在DHCP地址池中,按顺序找可供分配的IP地址,即最先找到的IP地址。
关于DHCP服务器查询到的超过租期、发生冲突的IP地址,如果找到可用的IP地址,则可进行分配。
- 在配置DHCP Server的步骤:
全局使能DHCP功能
采用全局地址池的DHCP服务器模式时,配置全局地址池
采用端口地址池的DHCP服务器模式时,配置端口地址池
启用DHCP服务
配置vlanif10接口下的客户端都从全局地址池获取IP
接口地址池优先于全局地址池,若接口存在接口地址池,即使全局地址池存在,客户端也会优先从接口地址池获取IP
DHCP服务器发送ping报文最大数目为10
- 当DHCP客户端和DHCP服务器之间存在中继设备时,如果DHCP服务器全局地址池中的IP地址与中继设备上连接客户端的VLANIF接口的IP地址不在同一网段,会引起DHCP故障。
WRR(加权循环)
- 加权循环调度算法WRR(Weighted Round Robin)是一种较强的队列调度算法,它能够有效地区分队列中所有的业务。
- 加权循环(WRR)所有业务队列服务,并且将优先权分配给较高优先级队列。在大多数情况下,相对低优先级,WRR将首先处理高优先级,但是当高优先级业务很多时,较低优先级的业务并没有被完全阻塞。
- WRR在循环调度的基础上演变而来,在队列之间进行轮流调度,根据每个队列的权重来调度各队列中的报文流。
报文分类、标记、拥塞避免机制
- 可以根据源、目的MAC、协议类型、源、目的IP、报文长度进行复杂流分类。
- 可以用MAC地址、源IP、目标IP、EXP信息、IP DSCP、IP Precedence、802.1p对报文信息进行标记或重标记。
- 网络管理主要目标
确保网络用户收到期望的网络服务质量和技术服务信息,帮助网络工程师面对复杂的网络数据,并确保数据能够快速全面的呈现给使用者。
- 拥塞避免机制中的丢弃策略有RED、WRED。
ASPF(应用层报文过滤)
ASPF:应用层报文过滤(application specific packet filter): 是针对应用层的包过滤,即基于状态检测的报文过滤。也称为状态防火墙,它维护每一个连接的状态,并且检查应用层协议的数据,以此决定数据包是否被允许通过 。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。
-
ASPF是一种基于应用层的包过滤,它会检查应用层协议信息并且监控链接的应用层协议状态,并通过了Server map 表实现了特殊的安全机制。
-
关于ASPF和Server map 表的说法:
ASPF监控通信过程中的报文,ASPF动态创建和删除过滤规则,ASPF通过servermap表实现动态允许多通道协议数据通过。 -
ASPF技术使得防火墙能够支持如FTP等多通道协议,同时还可以对复杂的应用制定相应的安全策略
防火墙
- USG防火墙的servermap表的三要素:目的IP、目的端口号、协议号
- USG防火墙默认安全区域有四个:
Trust:该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
Untrust:该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
DMZ(Demilitarized非军事区):该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。
Local:防火墙上提供了Local 区域,代表防火墙本身。比如防火墙主动发起的报文(我们在防火墙执行ping测试)以及抵达防火墙自身的报文(我们要网管防火墙telnet、ssh、http、https)
- 安全级别(Security Level),在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1-100 的字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:
Local 区域的安全级别是100,Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全级别是5。
- 防火墙的工作模式:路由、透明、混合
路由模式
防火墙在路由模式下工作,需要连接网络的接口配置IP地址,这个时候华为防火墙就相当于一台路由器,同时也提供防火墙的其他服务。大多数情况下,防火墙都是处于这个模式下,介于公司的内网和外网之间。
透明模式
在这个模式下,它的作用又比较像交换机,接口没有配置IP,但是因为这种模式太过奢侈,除非特殊的情况,才会把华为防火墙当作交换机使用。
混合模式
混合模式就是将以上两种模式进行结合使用,如果华为防火墙即存在路由模式的接口(接口配置了IP),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。 - 包过滤防火墙
提供了对分片报文进行检测过滤的支持,它可以过滤:后续分片报文、非分片报文
包过滤防火墙对网络层的数据报文进行检查
包过滤防火墙的主要特点:能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。
- 状态检测防火墙
<1>状态检测防火墙对报文进行检查时,只需要对该链接的第一个数据包进行访问规则的匹配,该链接的后续报文直接在状态表中进行匹配。
<2>状态检测防火墙处理非首包的数据流时,比包过滤、代理、软件防火墙效率高,它的特点:后续包处理性能优异。
<3>状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话,由防火墙安全策略决定建立哪些会话,数据包只有与会话相关联的时候才会被转发。
- 如果防护墙没有配置安全策略,或查找安全策略,所有的安全策略都没有命中,则默认执行域间的缺省包过滤动作:拒绝通过。
- 在防火墙ping防火墙某接口IP时,这些报文将交给防火墙内部模块处理,并不被转发出去。
- 同一安全区域的主机与服务器互访时同样需要NAT进行地址转换。
- 域间安全策略按照排列顺序匹配,排列在前的优先匹配。
- 包过滤防火墙只对网络层的数据报文进行检查,包过滤防火墙能够完全控制网络信息的交换机,控制会话过程,具有较高的安全性。
- 关于USG防火墙两接口被划分到同一区域,那么两目的端口数据包流动也必须经过域间包过滤处理过程。
- 在vAR应用场景,可将AR路由器的防火墙、VOIP、NAT、VPN功能虚拟化到server上。
- 关于配置防护墙安全区域的安全级别的描述:
只能为自定义的安全区域设定安全级别
安全级别一旦设定,不允许更改
同一系统中,两个安全区域不允许配置相同的安全级别,但不同接口可以配置属于同一安全区域
- 在防火墙查询NAT转换结果的命令是:disp nat translation
Security
- 单包攻击分为三类
扫描窥探攻击、畸形报文攻击、特殊报文攻击。
- 中间人攻击或IP/MAC Spoofing
中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害,且在内网中比较觉,为了防止中间人或IP/MAC Spoofing攻击,可以在交换机上配置DHCP Snooping域DAI或IPSG进行联动。
- MAC地址欺骗攻击描述
<1>利用了交换机MAC地址学习机制
<2>攻击者可以通过伪造的源MAC地址数据帧发送给交换机来实施MAC地址欺骗攻击
<3>会导致交换机要发送到正确目的地的数据被发送给攻击者
- ARP欺骗
ARP欺骗会导致:设备ARP缓存表资源被耗尽、用户发送的数据被攻击者窃取、过多的ARP报文造成设备的cpu负荷过重、用户无法访问外网或反复掉线。
- DHCP Snooping
DHCP Snooping是一种DHCP安全特性,可以用于防御多种攻击
<1>用来防止DHCP Server仿冒者攻击
<2>用来防止ARP欺骗攻击
<3>防御改变Chaddr值的饿死攻击
<4>防御中间人攻击和IP/MAC Snooping攻击
<5>防止对DHCP服务器的DOS攻击、结合IPSG功能对数据包的源IP地址进行检查(解决源IP欺骗攻击)。
- 网络层攻击(缺乏每种攻击的补充,后续补上)
IP攻击
ICMP攻击
Smurf攻击:攻击者通过发送ICMP应答请求,并将请求包的目的地址设为受害网络的广播地址,以实现攻击目的。
- 关于DHCP Server仿冒者攻击
仿冒者通过仿冒DHCP服务器向终端下发错误的IP地址和网络参数,导致用户无法上网,在华为二层交换机上使用DHCP Snooping功能并开启信任接口能够有效保障客户端从合法DHCP Server上获取IP地址和网络参数。
- 关于DHCP Server拒绝服务攻击?
DHCP拒绝服务攻击通过不断修改DHCP request报文中CHADDR字段来消耗地址资源,会将DHCP地址池中的IP地址资源快速耗尽,DHCP服务器地址资源被耗尽后将不会再处理和响应DHCP请求报文。
- Web服务器中勒索病毒?
企业内网有一对外的网站服务,由于未及时修复服务器补丁,该网站服务器感染了勒索病毒,服务器主机中的文件被加密,IT经理批准立即使用备机恢复网站正常运营,作为IT管理员,你应该如何处理?
1.备机上线前完成补丁修复工作
2.联系安全服务工程师应急响应,协助割接
3.已感染的服务器拔掉网线隔离处理
修改备用服务器地址作为主服务器地址
- ARP Miss与ARP Miss攻击
ARP Miss描述:设备在转发时因匹配不到对应的ARP表项而上报的消息,首先这个Arp miss不是一种报文,而是一种“流程”
一个192.168.0.0/24的网段,如果192.168.0.1和192.168.0.2通信,那么正常的情况下192.168.0.1会发送一条Arp请求,目的是为了获取192.168.0.2的mac地址,这是正常的arp,
但192.168.0.1所在的网段是192.168.0.0/24网段,如果192.168.0.1要和10.1.1.1通信,正常情况下,192.168.0.1依旧会发送一条Arp请求,但很明显,在该网段是请求不到10.1.1.1的mac地址的,那么这个网段的“网关”收到这条Arp请求后,会向192.168.0.1发送一条代理Arp(我不知道楼主知不知道代理Arp,意思是说网关会告诉192.168.0.1我就是10.1.1.1),但是网关毕竟不是真正的10.1.1.1,网关会使用cpu向“去往10.1.1.0/24网段的下一跳”发送一条arp请求,询问谁是10.1.1.1这个过程就是Arp-miss的过程。
说起这个Arp miss,可以谈起一种网段扫描的攻击方式就是耗尽arp缓存,从而实现拒绝服务。
(ARP Miss消息处理需要发送ARP请求出去,会消耗CPU资源,然而资源有限)
如果一台电脑,在不停的询问某个非本地网段里的所有ip地址时(比如地址扫描)
此时会产生大量的arp 请求,说不定就耗尽了资源,从而实现了攻击
对此华为有Arp miss的抑制手段
“对于同一个源IP发送的触发ARP-MISS流程的报文,一秒钟内如果超过门限值(默认为5个),系统会认为这是一种非法的攻击报文,就会针对该ip地址下发一条ACL规则,丢弃该源IP发送的所有需要上送CPU处理的报文;如果50s之内系统没有再次检测到该源ip发送的报文有arp-miss超过门限的情况,该ACL规则会自动删除,触发arp-miss流程的报文可以继续上送CPU处理。”(转至百度)
五元组:源IP地址、目的IP地址、协议号、源端口、目的端口
VRRP(虚拟路由冗余协议)
- VRRP的IP地址和虚拟IP可以相同,报文支持认证,VRRP报文的IP协议号是112。
- VRRP可以同接口track、BFD、NQA、ip-link机制结合来监视上行链路的连通性。
- VRRP设备在备份组中的默认优先级为:100,
- 关于VRRP描述:
1.VRRP组中的路由器根据优先级选举出Master
2.Master路由器通过发送免费ARP报文,将自己的虚拟MAC地址通知给与它连接的设备或主机
3.如果Master路由器出现故障,虚拟路由器中的Backup路由器将根据优先级重新选举新的Master。
- 配置VRRP抢占时延的命令
Vrrp vrid 1 preempt-mode timer delay 20 - 关于VRRP master设备的描述:
定期发送VRRP报文
以虚拟MAC地址响应对虚拟IP地址的ARP请求
转发目的MAC地址为虚拟MAC地址的IP报文
- 关于VRRP slave设备描述:
当slave收到master发送的vrrp报文时,可判断master状态是否正常,
当收到优先级为0的vrrp报文时,slave会直接切换到master,
slave会丢弃目的mac为虚拟mac地址的ip报文。
8.在VRRP中,当设备状态变成Master后,会立刻发送免费ARP来刷新下游设备的MAC表项,从而把用户的流量引到此台设备上来。
BFD
- BFD概述
BFD是一种双向转发检测机制,可以提供毫秒级的检测,可以实现链路的快速检测,BFD通过与上层路由协议联动,可以实现路由的快速收敛,确保业务的永续性。 - BFD Echo报文采用UDP封装,目的端口号为3784,源端口号在49152到65535的范围内。
- BFD控制报文封装在UDP报文中进行传输,那么多跳BFD控制报文的目的端口号是4784。
- 设备所有接口都开启BFD和OSPF联动使用命令:bfd all-interface enable
- BFD控制报文封装在UDP报文中进行传送,多跳BFD控制报文的目的端口号为:4784,VRP版本支持的BFD 版本号是version1。
- 在不使用BFD检测机制的情况下,通过以太网链路建立邻居关系的OSPF路由器,在链路故障后,最长需要40S才会中断邻居关系。
- 如果两台设备相连,一台支持BFD检测,另一台不支持,这种情况支持BFD的设备可以使用单壁回声特性来实现。
- 设备间建立BFD会话过程中,会经历Down、Init、UP
- 关于BFD会话建立方式:
静态配置BFD会话是指通过命令行,手工配置BFD会话参数,包括本地标识符和远端标识符。
动态建立BFD会话时,动态分配本地标识符。
系统通过划分标识符区域的方式,来区分静态BFD会话和动态BFD会话。
- BFD检测可以同哪些协议模块联动:VRRP、OSPF、BGP、静态路由
Agile Controller(业务编排)
业务编排模块可以实现在网络接入设备上对特定组流量指定策略,按照指定的编排顺序进行流量调度,规定流量需要被哪些安全设备处理,以及处理的先后顺序。对于访客、不安全区域的用户流量往往需要进行业务流调度至安全资源中心进行检测;
业务编排将原来物理设备的能力,抽象成虚拟服务概念,对用户屏蔽具体的物理形态,针对具体的业务,将业务流量引流至相应的处理服务结点;
-
Agile Controller服务器的角色有:业务控制器、业务管理器、安全态势管理器。
-
Aglie Controller功能组件:业务随行、业务编排、准入控制、安全协防
-
关于Agile Controller 的访客账号申请方式可以由接待员工创建
-
Agile Controller支持802.1x、portal、MAC旁路、SACG准入方式
-
业务编排亮点:
<1>灵活组网:基于三层GRE隧道进行编排,业务设备的组网方式,部署位置更加灵活
<2>可视化编排,简化管理:通过拓扑可视化进行业务编排,配置简单,管理便捷
<3>方便扩展:业务设备的增删不改变现网转发路由不改变现网物理拓扑 -
业务编排的访客接入管理的场景:
<1>客户访问企业公共资源或Internet
<2>民众通过公共单位提供的网络访问Internet -
关于Agile Controller业务随行描述:
1.管理员在配置业务随行时,应该选择合适的用户认证点和策略执行点
2.在业务随行中,通过矩阵关系来描述一个安全组到另一个安全组的访问权限关系
3.在业务随行中,通过指定某些VIP用户所属安全组的转发优先级,来保证这部分人员的网络使用体验 -
关于Agile Controller的业务编排概念:
<1>业务编排中,用户控制列表是针对用户级别的ACL控制,使用数据包的源安全组、目的安全组、端口号等内容定义的规则。
<2>编排设备是指对业务流进行有序引导的设备,一般指交换机
<3>业务设备是指对编排设备引入的业务流进行安全业务处理的设备,主要包括防火墙、防病毒设备和上网行为控制设备。 -
对Agile Controller的准入控制技术的应用场景描述:
<1>MAC认证中,用户终端以MAC地址作为身份凭据认证服务器上进行认证,MAC地址认证主要用于IP电话、打印机等终端设备的认证。
<2>802.1x认证使用EAP认证协议,实现客户端、设备端和认证服务器之间认证信息交换。
<3>portal认证也称为web认证,用户通过web认证页面,输入用户账号信息,实现对终端用户身份的认证。
- 对Agile Controller的业务随行应用场景的描述:
<1>各部门人员访问服务器资源时,权限策略都由 Agile Controller统一部署,而管理员只需要关注部门间互访关系的设定,并选取园区中关键位置设备作为策略执行点,部署完成后,无论用户在何位置,以何种方式接入,都可以获得访问权限。
<2>可实现外包人员与内部员工协作办公,并基于策略与IP,结合策略自动部署功能,可以快速实现多团队一起办公,同时保证每个用户都能够拥有正确的网络访问权限,还可以根据需要控制团队成员间的数据共享行为,保障企业数据安全。
<3>当网关资源有限时,可结合自动优选网管和VIP优先上线,实现保证VIP用户可享有优质网络的体验。
- 在Agile Controller的无线准入控制场景中:
推荐为内部员工和设置不同的SSID控制接入来控制内部员工和访客接入网络。
RADIUS
- 什么是RADIUS?
radius 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。 - Radius服务器作用?
RADIUS 服务器负责接收用户的连接请求、认证用户,然后返回客户机所有必要的配置信息以将服务发送到用户。 - 802.1x和Radius关系:802.1x和Radius是不同的技术,但经常配合在一起使用,共同完成对终端用户的准入控制。
NFV(网络功能虚拟化)
- 什么是NFV?
网络功能虚拟化( NFV),一种对于网络架构的概念,利用虚拟化技术,将网络节点阶层的功能,分割成几个功能区块,分别以软件方式实作,不再局限于硬件架构。 - NFV框架内的功能组件:VIM、VNF、VNFM
- NFV中的VIM管理模块主要功能包括资源发现、资源分配、资源管理及故障处理。
- NVF常常部署在数据中心、网络节点、用户接入侧。
- NFV的定义是网络功能虚拟化。
- NFV优点:减少设备成本、缩短网络运营业务创新周期、单一平台为不同应用、租户提供服务。
- 在NFV架构中具体底层物理设备主要包括:存储设备、网络设备、服务器
SDN(软件定义网络)
软件定义网络(Software Defined Network,SDN)是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。
- SDN采用分层的开放架构,定义集中式架构和Openflow的是ONF。
- SDN基本工作过程包括哪些步骤:拓扑信息搜集、网元资源信息收集、生成内部交换路由。
- SDN控制器可以根据网络状态智能调整流量路径,以达到提升整网吞吐的目的。
- SDN网络体系架构主要分为协同应用层、控制层与转发层。
TCP全局同步、NAT、FTP、H.323
TCP同步指的是收发两方的同步。本来收发双方是异步的,发端不知道网络的容量,不知道收端的实时接收速度,发端不知道收端的情况。但是通过滑动拥塞窗口,通知接收窗口和ACK clocking等机制,实现了拥塞控制和流量控制
- 为避免TCP全局同步,可使用RED和WRED这两种拥塞避免机制。
- 多通道协议:FTP、H.323
在传统电话系统中,一次通话从建立系统连接到拆除连接都需要一定的信令来配合完成。同样,在IP电话中,如何寻找被叫方、如何建立应答、如何按照彼此的数据处理能力发送数据,也需要相应的信令系统,一般称为协议。在国际上,比较有影响的IP电话方面的协议包括ITU-T提出的H.323协议和IETF提出的SIP协议
- 在网络层中,报文长度、源、目标IP、TOS字段都可以对报文进行分类。
- 地址转换技术优点:
使内部网络用户更便捷访问Internet
使内部局域网的主机共享一个IP地址上网
可以屏蔽内部网络的用户,提高内部网络安全性
- Round Robin
Round Robin(中文翻译为轮询调度)是一种以轮询的方式依次将一个域名解析到多个IP地址的调度不同服务器的计算方法。
Round Robin调度方式是按每个队列定义的字节数轮询发送的,而且每个队列的带宽比例等于本队列定义的字节数与所有队列字节数之和的比值。
镜像
镜像简介:
镜像是指将经过指定端口(源端口或者镜像端口)的报文复制一份到另一个指定端口(目的端口或者观察端口)。
镜像目的:
在网络运营与维护的过程中,为了便于业务监测和故障定位,网络管理员时常要获取设备上的业务报文进行分析。
镜像可以在不影响设备对报文进行正常处理的情况下,将镜像端口的报文复制一份到观察端口。网络管理员通过网络监控设备就可以分析从观察端口复制过来的报文,判断网络中运行的业务是否正常。
端口镜像是指设备复制从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控。端口镜像根据监控设备在网络中位置的不同,分为本地端口镜像和远程端口镜像。
流镜像是对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。有二层流镜像和三层流镜像,针对出口流的镜像,入口流的镜像。端口镜像就是指定特定端口的数据流量映射到监控端口,以便集中使用数据捕获软件进行分析。流镜像是指按照一定的数据流分类规则对数据进行分流,然后将属于指定流的所有数据映射到监控端口,以便进行数据分析。端口镜像顾名思义就是针对端口所做的镜像操作。流镜像可以通过acl匹配合适的流,所以功能更加强大.
流镜像可以通过ACL做也可以通过MQC做
- 镜像分为两种,分别是流镜像、端口镜像
- 流镜像也分为两种,分别是本地流镜像、远程流镜像
- 在华为路由器上配置远程端口镜像功能,实现将远程端口镜像出去的报文,可以通过三层IP网络传送到监控设备,命令是:
Observe-server destination-ip 10.1.1.1 source-ip 192.168.1.1
- 在华为路由器上,将接口配置为本地观察端口的命令是:
Observe-port interface ethernet 2/0/1
- 数据采集的方法:分光器物理采集、通过端口镜像采集、NMS集中采集
- 镜像要求所采集的数据实时、真实、可靠
- 镜像端口的主要角色分为镜像端口、本地观察端口、远程镜像端口
eSight平台
提供存储、服务器、应用、交换机、路由器、防火墙、WLAN、PON网络、无线宽带集群设备、视频监控、IP话机、视讯设备等多种设备的统一管理
-
华为的企业网管产品是esight,有精简、标准、专业三个版本,专业比标准版多了支持分层的管理模型。
-
在eSight中可以根据生效时间、生效时段、告警源及告警条件来设置告警屏蔽规。
-
eSight网管支持的远程告警通知方式是邮件和短信。
-
使用eSight对历史告警进行查询时,可以按照下列条件进行告警:告警级别、首次发生时间、告警源、告警名称。
-
在eSight中,网元发现方式支持的协议:SNMP、ICMP协议
-
使用eSight初始添加设备后,拓扑元素的排列都是随机的,不能体现实际网络结构,所以还需要根据实际的网络组网进行位置调整或选择拓扑提供的自动布局功能。
-
eSight缺省角色有administrator、monitor、operator
-
传统网络的局限性:
网络协议实现复杂,运维难度较大
流量路径的调整能力不够灵活
网络新业务升级的速度较慢
- 华为eSight支持如指定某IP、指定某网段或通过excel表格(指定IP)进行导入。
10.华为eSight描述:向导式安装,轻量级系统、面对不同的客户提供相应的解决方案、支持对多厂商设备进行同一管理。
11.eSight物理拓扑监控的功能描述:
图形化的展示网元、子网、链路的布局及状态
精确可视化的监控全网网络运行状态
系统的展现全网网络结构及网络实体在业务上的关系
整个网络监控的入口,实现高效运维
- 在eSight网管侧,需要配置的参数有模板名称、SNMP版本、读写团体字、网元端口、超过时间以及重发次数。其中:SNMP版本、网元端口、读写团体字必须与设备上配置信息所吻合。
- eSight系统日志
主要记录eSight发生的事件,如eSight运行异常、网络故障、eSight受到攻击等,有利于分析eSight运行状态,排除故障。
- 华为eSight创建的缺省角色:Administrator、Monitor、Operator
VXLAN
VXLAN是一种网络虚似化技术,可以改进大型云计算在部署时的扩展问题,是对VLAN的一种扩展。VXLAN是一种功能强大的工具,可以穿透三层网络对二层进行扩展。它可通过封装流量并将其扩展到第三层网关,以此来解决VMS(虚拟内存系统)的可移植性限制,使其可以访问在外部IP子网上的服务器。
VMware ESXi、Open vSwitch、当前主流的网络芯片均已支持VXLAN:它备受业界关注,未来有可能成为网络虚拟化技术当中的主流技术之一
- VXLAN支持的常用配置方式:虚拟化软件配置、SDN控制器配置
- VXLAN的广播域被称为桥域,
- VXLAN用户可以通过VXLAN接口访问Internet
QOS(服务质量)
QoS(Quality of Service,服务质量)指一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力,是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。
- QOS服务模型:best-effort service(尽力服务)、integrated service(综合服务)、differentiated service(差异化服务)
- QOS中,integrated service(综合服务)与differentiated service(差异化服务)主要区别是:
在DS(differentiated service)无需为每个流维护状态信息,它适用于大型骨干网络。
- QOS针对各种不同的需求,提供不同的服务质量,以下属于QOS所提供的功能有:支持位用户提供专用宽带、可以减少报文的丢失率、避免和管理网络拥塞。
- 关于QOS丢包:
<1>路由器在收到数据包的时候,可能会因为CPU繁忙,没办法处理数据包,导致出现丢包现象。
<2>在把数据包调度到丢列的时候,可能会因为队列被装满而导致丢包
<3>数据包在链路上传输的时候,可能会因为链路故障等原因而导致丢包
- 网络进行管理的主要目标:确保网络用户收到期望的网络服务质量与技术服务信息,帮助网络工程师面对复杂的网络数据,并确保数据能够快速全面的呈现给使用者。
- 对于IPv4报文,可以根据报文的DSCP信息、IP Precedence 信息来进行简单流分类
- 关于时延和抖动:
抖动是由于属于同一个流的数据包的端到端时延不相等造成的。
抖动的大小跟时延的大小相关,时延小则抖动的范围小,时延大则可能抖动范围也大。
- 关于QOS中的Integrated Server服务模型:
传送QOS请求的信令是RSVP,它用来通知路由器应用程序的QOS需求
它可以用来提供保证带宽和时延来满足应用程序的要求
它可以提供负载控制服务,保证及时在网络过载的情况下,能对报文提供近似于网络未过载类似的服务,即在网络拥塞的情况下,保证某些应用程序的报文的低时延和高通过。
DiffServ
- 对DiffServ模型的描述:
<1>可以通过设置IP报文头部的QOS参数信息,来告知网络节点它的QOS需求
<2>报文传播路径上的各个设备,都可以通过IP报文头的分析来获知报文的服务需求类别
<3>Doffserv是一种基于报文流的QOS解决方案
- 通常在配置QOS中Diff-Serv时,边界路由器会通过报文的源地址和目的地址等对报文进行分类,对不同的报文设置不同的IP优先级,而其它路由器只需要根据IP优先级来对报文进行识别即可。
- 在Diff-Serv网络中,用DSCP最多可以定义的取值数目是64。
- 在diff-serv域的核心路由器通常只需要进行简单流分类。
- 在Diff-Serv网络中,定义EF类的业务类型的主要目的是:为要求低时延、低丢失、低抖动和确保带宽的业务优先提供业务保证。
IntServ
IntServ(Integrated Services)最初试图在因特网中将网络提供的服务划分为不同类别的是IETF提出的综合服务IntServ。IntServ可对单个的应用会话提供服务质量的保证。
IntServ是端到端的基于流的QoS技术。在发送流量前,网络设备需要通过RSVP信令协议向网络申请特定服务质量,包括带宽、时延等。在确认网络已经为该流量预留了资源后,网络设备才开始发送报文。
IntServ能很好地满足QoS的要求,但所有的网络节点必须支持RSVP信令协议,并且维护每个流的状态和交换信令信息,在大型网络内这可能会要求数量极大的带宽。
- IntServ模型在应用程序发送报文前,需要向网络申请预留资源。
快速检测技术
快速检测可以尽早地检测到与相邻设备间地通信故障,以便系统能够及时采取措施,保证业务不中断
DSCP
DSCP差分服务代码点(Differentiated Services Code Point),IETF于1998年12月发布了Diff-Serv(Differentiated Service)的QoS分类标准。它在每个数据包IP头部的服务类别TOS标识字节中,利用已使用的6比特和未使用的2比特,通过编码值来区分优先级。
- 16.关于QOS的DSCP描述:
1.用TOS字段的前6个比特(高6比特)来标识不同的业务类型
2.每隔DSCP值对应一个BA(begavior aggregate),然后可以对每个BA指定一种PHB
3.可以使用某些QOS机制来实现PHB
- 若使用DSCP(Tos域的前6位)最多可将报文分成64类。
IP流分类、监管、整形
- 复杂流分类是指采用复杂的规则,如由五元组(源地址、源端口号、协议号码、目的地址、目的端口号)对报文进行精细的分类。为了节省配置,方便批量修改配置,复杂流分类主要部署在网络的边缘节点。
- 对于IPv4报文,可以根据报文的DSCP信息和IP Precedence信息进行简单流分类。
- 代表Immediate的业务流量IP Precedence的取值是2。
- 流量临客功能描述:对报文进行着色处理、对超过流量限制的报文不能进行缓存。
- 相对于流量监管、流量整形引入了队列,用于缓存超过限制的流量。
- 关于流量整形的描述:
相对流量监管,流量整形具有更好的抗突发能力
流量整形可以使报文以比较均匀的速度向外发送
由于引入队列,当发生拥塞时,报文的时延相对增加。
- 在端口队列调度中,FIFO队列没有公平、且不同的流之间不能相互隔离。
- 对于标签可以根据报文的MPLS EXP信息来进行简单流分类。
- 流量分类是按照一定的规则来标识符合某类特征的报文,不同特征报文享受不同服务,由分类规则参考信息的不同,流量分类可以分为简单流分类和复杂流分类。
- 流量临客功能:对报文进行着色处理,对超过流量限制的报文不能进行缓存
- 相对于流量监管,流量整形引入了队列,用户缓存超过限制的流量,对于流量整形描述:
1.相对于流量监管,流量整形具有更好的抗突发能力
2.流量整形可以使报文比较均匀的速度向外发送
3.由于引入队列,当发生拥塞时,报文的时延相对增加。
- PQ的分类机制支持使用标准或扩展的IP访问列表。
- 在AR路由器上应用流策略的命令:
Traffic-policy p1 inbound
- Best-Effort-Server模型通过FIFO队列技术实现
- WFQ比PQ队列优先
NAT
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF标准,允许一个整体机构以一个公用IP地址出现在Internet上。
顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。NAT 可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上。NAT路由器在将内部网络的数据包发送到公用网络时,在IP包的报头把私有地址转换成合法的IP地址。
- NAT技术无法通过数据加密来实现数据安全传输。
- 关于NAT地址池配置中“no-pat”参数含义是:不转换源端口。
- 关于网络地址端口转换(NAPT)与仅转换网络地址(No-PAT),No-PAT支持网络层的协议地址转换
网络故障
- 根保护的作用?
在网络中,由于恶意攻击或管理员的误操作,合法交换设备收到了优先级更高的配置BPDU,使得原来的合法根桥失去根桥属性,网络拓扑发生变化,导致网络拥塞,要防止这种情况可以采用“根保护”这一保护机制。
- 网络故障后引起流量中断的因素有哪些?
故障传播时间、路由环路、单台设备故障响应时间(表项更新)、故障检测时间
- 在排除VRRP备份组双故障时,应该怎么做?
在配置VRRP备份组两端的VLANIF接口上,执行disp this命令,检查接口上 的备份组ID是否相同、检查VRRP组的虚拟IP地址是否相同、检查接口IP地址是否在同一网段、检查VRRP通告报文时间间隔是否相同。
- 两个主机接入同一交换机,并且同属一个VLAN,无法ping通?
主机配置了错误的静态ARP、交换机配置了端口隔离、接口被人shutdown或物理接口损坏、交换机配置了错误的端口和MAC地址绑定。
- 两台主机A和B通过Internet互联,A能ping通B,B无法主动ping通A,可能原因?
A主机开启了防火墙、B没有去往A的路由或没设置网关、也有可能A出口是状态检测防火墙,所以导致B无法主动访问A。
网络故障排除法
- 采用TCP/IP模型作为理论基础的故障排除法:
自顶向上法
自底向上法
替换法
- 测试物理线路是否中断的测试叫“打环”
网络设计
网络设计的概念:了解项目的行业背景可以掌握行业常规解决方案,项目规划阶段要完成的:了解项目背景、确定项目需求
- 项目范围的三个界定:功能边界、覆盖范围、工程边界
- 网络设计关键:设备线路等元素的选择
- 网络优化的主要工作内容包括:硬件优化、软件优化、网络扩容
- 项目实施主要包含哪些内容?
割接流程、风险控制措施、人员安排、时间规划
- 网络设备上电前,作为工程师应该要检查哪些问题?
信号线缆是否已经按照规范正确安装和捆绑
设备是否按照规划的拓扑进行连接
接地线是否按照规范正确安装
电源线是否已经按照规范正确安装
- 光纤布放过程注意事项?
光纤的曲率半径应大于光纤直径的20倍,一般情况下,曲率半径大于等于40mm
光纤套在波纹管内,波纹管两端的管口必须用胶带缠好
进行光纤安装、维护等各种操作时,严禁肉眼靠近或直视光纤出口。
- 项目TCO
建设投资、运行维护、优化改造
- 巨型帧的应用为通信带来什么优势?
在千兆以太网中,有效提高转发效率、保证数据通信过程中数据的完整性和可靠性、减少设备的CPU占用率,提升设备的转发性能、在视频通讯传输中减少时延、抖动对业务的影响。
- 关于IP地址规划?
在地址规划时选择连续地址块,方便后期进行路由汇总,地址分配在每一层次上都要留有余量,在网络规模扩展时,能够保证地址汇总所需的连续性,规划IP时,还可以设置特定功能位IP地址赋予一定的含义。
网络维护
- 关于设备软件升级的可行性评估?
如进行重大或较复杂的升级操作时,应预先在模拟环境中进行测试,并完成升级方案、应急预案的测试。
- 如何对设备的基本信息进行检查?
使用display patch-information来检查补丁信息
- 为什么二层环路经常造成设备宕机,而三层网络一般只是cpu负荷增加?
主要是因为三层环路可以通过TTL机制缓解。
- 为什么交换机中无法增加新MAC表项?
主机配置了静态ARP
MAC表项超过设备规模
设备端口配置了MAC地址学习使能
配置了MAC黑洞和MAC学习限制
网络优化
-
网络优化的需求来源:
经过长期的网络维护,把总结的一些问题和改进点,提出相关建议,进行集中的整改
网络中需要开展视频会议业务,需要增加支持二层组播功能的交换设备。
某弱电井因环境问题,信号线老化严重,需要集中更换
企业信息安全需要,增加新的安全设备 -
在园区网使用OSPF时?
在园区网使用OSPF路由协议时,工程师经常会将以太接口的OSPF网络类型由默认的广播多路网络改为点对点网络,这样配置可以简化链路状态数据库。
网络割接
-
割接的难点有哪些?
最大限度减少影响业务的范围
风险规避做到最好
制定完善的割接方案
顺利的执行割接 -
在一个割接项目中,需要客户签字的事项有?
定稿割接方案
变更申请单
割接竣工报告 -
割接的操作步骤?
割接前快照
割接中下发
割接后检查 -
小型企业由于更换出口防火墙需要进行网络割接,前期准备包括?
需求分析、方案编写、风险评估
完成网络割接后,应测试各网络设备和应用系统运行是否正常。
交换机
- 当前的交换机主流采用交换矩阵式架构
- 矩阵交换机采用分布式交换,可以同时在多个接口之间交换数据。
路由器
AR G3设备上的SYS指示灯?
绿色慢闪代表设备正常运行中,红色表示系统故障
其它
-
光功率用DBM表示
-
网桥是基于数据帧的MAC地址进行数据转发的
-
ISDN、PSTN可以运行PPP协议但是不能运行HDLC协议
-
发标是标志网络规划阶段的事件
-
TCP/IP版本中,存在的安全隐患:
缺乏数据源验证机制
缺乏对数据完整性的验证机制
缺乏机密性保障机制。
- 光纤入户主要采用GPON/EPON技术
- 在进行软件与配置备份时,备份的目的是为了在极端的情况下,恢复网络功能。
- 关于IP地址分配:
除非使用AnyCast,否则全网的IP地址必须保持唯一性,为了提高IP地址的使用效率,我们一般采用VLSM,按照需要确定掩码长度。 - 不同虚拟机如何通信?
不同虚拟机可以利用vswitch建立的vtep隧道来进行vxlan的通信,通信过程:
1.源VTEP将VM发送的ARP广播封装为组播报文发送到L3网络中
2.目的VTEP收到组播报文后,学习源VM与源VTEP映射关系,并将组播报文转发给本地VM
3.本地VM进行单播应答
4.目标VTEP封装Vxlan隧道,并建立映射表封装后单播发给源VTEP。
5.源VTEP收到隧道建立目标VM与目标VTE映射关系,去掉隧道转发给VM
6.源VM与目标VM通过隧道进行单播报文通信
数据中心架构:
ToR:(Top of Rack)接入方式就是在服务器机柜的最上面安装接入交换机。
EoR:(End of Row)接入交换机集中安装在一列机柜端部的机柜内,通过水平缆线以永久链路方式连接设备柜内的主机/服务器/小型机设备。EoR 对设备机柜需要敷设大量的水平缆线连接到交换机
哪些原因会引起IS-IS邻居关系故障:
链路两端设备的system ID相同、链路两端的IS-IS Level不匹配、
建立IS-IS Level-1邻居时,链路两端设备的区域地址不匹配
链路两端的接口的IP地址不在同一网段
使用ping和tracert进行网络故障测试属于网络故障排除方法的确定业务流量路径
四种接口类型:
BNC(基本网络卡)接口是一种用于同轴电缆的连接器。
SC(网络收发器)
FC(光端机)
LC(光模块)
IDS入侵检测系统是一个监听设备,没有跨越在任何链路上,无需网络流量流经它便可以工作,因此,对IDS的部署,唯一的要求是:IDS应当挂在所有所关注流量都必须流经的链路上。
IPS入侵防御系统是电脑网络安全设施,是对防病毒软件和防火墙的补充,入侵防御系统是一部能够监视网络和网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
