本篇文章说明:
本篇主要记录华为HCIP知识的笔记、华为HCIP R&S认证笔记,版本是V2.5,按照知识点分类进行总结,也包含题库中一些内容整合,用于加深理解和记忆,查看也更快捷。
1.与IGP进行交互,即BGP路由表和IGP路由表相互引入
关于相互引入有问题,不一定都需要相互引入,如在ospf中只引入bgp路由,而bgp只发布、传输路由都行。
2. IP-Prefix工具不能被route-policy的apply子句直接引用
Apply子句用来为路由策略指定动作,用来设置匹配成功的路由的属性。
在一个节点中,如果没有配置apply子句,则该节点仅起过滤路由的作用。如果配置一个或多个apply子句,则通过节点匹配的路由将执行所有apply子句。
3.MUX VLAN不可以减少企业VLAN ID消耗
MUX VLAN提供的是二层流量隔离的机制,它可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。(pdf376)
4.15. 在配置BPDU报文的格式上,除了保证和STP格式基本一致之外,RSTP作了一些小变化,(其中:在flag字段中,Bit0是TCA是错误的选项)
flag字段,位于tcp层,有几个标识,syn,fin,ack,psh,rts,urg。
5. Peer命令可用于在OSPF的 NBMA网络中
NBMA网络是:非广播多路访问,是ospf通信协议中定义的四种网络类型之一。attempt (尝试)是只有NBMA网络才会出现的状态。
6.在OSPF中,LSDB超载通常是因为存储了太多AS外部路由信息(第五类LSA)引起的。
ospf有四种不同的网络类型,OSPF每种网络类型产生的一类LSA都会不同。
ospf四种网络类型
点到点
广播多路访问
NBMA 非广播多路访问
点到多点
四种网络类型要选举DR的
广播(Broadcast)、非广播NBMA,而点到点与点到多点不需要选举DR
ospf五类LSA(LS1为一类LSA…)
LSA1主要用来描述拓扑信息和路由信息。
LSA2(network)可以获知网络的路由信息以及拓扑信息
LS3(summary LSA)传播整个ospf域,通告者是ABR,它是一类二类汇总而成。
LSA4来告知域内其他路由器怎么到ASBR,四类LSA由ABR产生
LSA5由重发布进来的路由产生
ospf支持的缺省下发方式:
abr、asbr、非强制下发
7.BGP公认必遵属性
ORIGIN属性(起源属性):定义路由信息的来源,标记一条路是怎么成为成为BGP路由的
AS-PATH属性:到达一个目的地所经过的自治系统号码的有序列表
NEXT-HOP属性:为BGP发言者指示去往目的地的下一跳
8. BGP协议有一种消息在BGP邻居之间周期性的发送,用以维护连接关系
Keepalive
8.在Established状态下,BGP可以和对等体交换Update、Keepalive、Route-refresh报文和Notification报文。
Notification报文直接导致邻居down,不会交换
9.什么是路由策略?
路由策略主要是控制路由的策略,如路由信息的引入、发布和接收等
9.什么是策略路由?
策略路由pbr(policy-based-route),主要是控制报文的转发,即可以不按照路由表进行报文的转发。
10.ACL(访问控制列表)的概述
ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行步同的处理。
ACL根据不同规则进行不同的分类。常见的三种分类是基本ACL、高级ACL和二层ACL。
基本ACL可以使用报文的源IP地址、分片标记和时间段信息来匹配报文,其编号取值范围是2000-2999
高级ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,其编号取值范围是3000-3999
二层ACL可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文,其编号取值范围是4000-4999
ACL用来描述报文的属性:
源地址、目的地址、端口号、ICMP报文类型和消息码
11.ospf stub特性
虚连接不能跨越stub area
12.rpf检查的作用
防止组播路由发生环路、防止转发冗余的组
13.ISIS的Hello报文类型
·Level-1 LAN IIH、Level-2 LAN IIH、P2P LAN IIH
14.IGMPv1两种报文类型
成员查询报告、成员关系报告
15.端口安全技术中的安全MAC
安全动态MAC地址、安全静态MAC地址、Sticky MAC地址
16.router-policy中,能用于apply子句的BGP属性有:
local-preference、med、as-path
17.igp与egp
igp着重于发现路由与计算路由
egp着重于控制路由传播与选择最优路由
18.静态LACP模式下
优先级越优的主动端
19.IGMP snooping
概述:运行在链路层,是二层以太网交换机上的组播约束机制,用于管理和控制组播组,它通过侦听主机发出的IGMP报文,建立MAC组播地址表。
优势:减少二层网络广播报文,节约带宽、增强组播信息安全、便捷给用户单独计费。
解决的问题:解决组播数据报文在二层设备上广播问题,用于管理和控制组播数据报文的转发。
20.PIM-SM
断言机制名称: Assert
21.bgp中open报文包含的信息:
version、as编号、hold time消息
22.前缀列表:
可以过滤IP前缀、可匹配前缀号和前缀长度、对于路由前缀的匹配功能比访问控制列表更强。
23.AS path
它是bgp中一个非常重要的公认必遵属性,它是指在bgp路由在传输的路径中所经历的AS的列表。
24.关于虚链路的描述
网络中存在虚链路,说明网络设计存在问题,需要优化。
虚链路增加了网络的复杂度,还可能带来环路。
25.永久组播地址的描述
224.0.0.1被网段内的所有主机及路由器侦听
224.0.0.2 被所有路由器侦听
224.0.0.5所有运行OSPF的路由器侦听
25.OSPF路由器从初始到邻居,形成邻接的关系过程
Down、 Init、2-way、 Exstart、 Exchange、 Loading、 Full
26.OSPF特殊区域
Totally stub Area 作用是允许ABR发布的LSA3缺省路由,不允许自治系统外部路由和区域间的路由。Stub Area区域与它不同处在于该区域允许域间路由。NSSA区域与它不同处在于该区域不允许域间路由。
27.ISIS协议具备的特点:
报文结构简单、适用于大容量的路由传递、扩展性较好
28.ospf dr-priority命令默认值为1,取值范围为0~255
29.静态LACP模式中的抢占机制概述
当一条高优先级的接口因故障切换为非活动状态而后又恢复时,如果使能了抢占,则恢复的高优先级接口将在延时一定时间后,重新成为活动接口,如果未使能抢占,该接口不能自动成为活动接口。
为了避免由于某些链路状态频繁变化而导致整条链路传输不稳定,可以设置抢占延时。
30.Route-policy概述
一个Router-policy由多个节点构成,可包含多个if-match、apply字句,if-match字句用来定义节点的匹配条件,字句过滤规则关系是“与”,即必须全部匹配、apply子句用来定义通过过滤的路由行为,节点间的过滤关系“或”,即只要通过了一个节点的过滤,就可通过该route-policy。
route-policy能给预先定义的条件过滤设置BGP属性,所以它经常被用来针对BGPpeer的策略,也经常在路由生成时期被使用,缺省情况下所有未匹配的路由都拒绝通过route-policy。
31.BGP可选属性概述
分为可选过渡和非可选过渡两种。
可选过渡属性是BGP路由器可以选择是否在Update消息中携带这些消息,接收的路由器如果不识别此属性,可以转发给邻居,邻居可能识别并使用。
非可选过渡属性是BGP路由器可以选择是否在Update消息中携带这种属性,接收的路由如果不识别 这种属性,将丢弃,不转发给邻居。
32.BGP公认团体属性有:No-export、No-advertise、Internet。
33.BGP-Open消息携带那些信息:
本地自治系统(AS号)、BGPID、Hold Time、BGP版本
34.BGP的Origin属性:
通过import 命令注入BGP的路由,Origin属性都为Incomplete,通过network命令注入BGP的路由,Origin属性都为IGP。
35.ISIS协议路由计算包括那些步骤
邻居关系建立、链路信息交换、路由计算
网络类型一边为P2P,一边为广播
有设备的物理端口在震荡、有些设备的OSPF Router-id冲突、有些设备的认证不匹配导致邻居建立不起来
ISIS是一种链路状态路由协议,它被广泛使用于大中型网络中
ISIS通过扩展TLV兼容其它网络层协议,它支持L2和L1的区域,更适合扁平化网络部署,ISIS报文封装在二层数据帧中,提高了路由报文交互的安全性。
该BGP路由的AS-PATH中包含了自己的AS ID、使用了bgp-nb-only、在全局路由表中有其它优先级更高的路由条目、该BGP路由下一跳不可达。
MPLS-多标签协议交换技术,是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。多协议的含义是指MPLS不但可以支持多种网络层层面上的协议,还可以兼容第二层的多种数据链路层技术。
MPLS中有转发等价类的概念,MPLS将具有相同转发处理方式的分组归为一类,称为FEC,FEC划分很灵活,可基于源、目标地址、源、目的端口、协议类型、服务类别或VPN等划分依据的任意组合。
MPLS技术的核心是标签交换。
MPLS Header长度为32bits,包括长度为20bit的标签,该标签用于转发;长度为3bits的EXP通常用来承载IP报文中的优先级,长度为1bit的栈底标志,用来表明是否是最后一个标签,作用类似IP头部的TTL,用来防止报文环路。
MPLS体系中,标签的发布方式有两种,分别是独立方式与有序方式。
MPLS是一种标签转发技术,对MPLS描述:
<1>控制平面实现路由信息的传递和标签的分发,数据平面实现报文在建立的标签转发路径上传送
<2>MPLS域内交换机只需要根据封装在IP头外面的标签进行转发即可
<3>对于传统的IP转发,MPLS标签转发大大提高了数据转发的效率
MPLS依据标签对数据进行转发,如果没有标签,对于通过MPLS域的IP报文通过普通IP转发。
MPLS称为多协议标签交换,关于MPLS中标签描述:
<1>标签是一个长度固定、只具有本地意义的短标识符,用于唯一标识一个分组所属FEC
<2>标签与ATM/VCI以及Frame Relay的DLCI类似,是一种连接标识符
<3>MPLS支持单层标签同时也支持多层标签
<4>MPLS体系有多种标签发布协议,如LDP就是一种标签发布协议
IFTF定义的多协议标签交换技术(MPLS)是一种第三层交换技术,用于向IP层提供此连接服务,MPLS网络由:标签交换路由器、标签边缘路由器组成。
负责为网络流添加/删除标记的设备是:标签边缘路由器
运行MPLS设备的标签转发表中,对于不同的路由(下一跳相同),出标签一定不同,对于相同的路由(下一跳相同),出标签一定相同。
根据IP Precedentcd、MPLS EXP、802.1P信息,可将报文分为8种业务。
MPLS标签描述:
标签是一个长度固定、只具有本地意义的短标识符,用于唯一标识一个分组所属FEC
标签与ATM的VPI/VCI以及Frame Relay的DLCI类似,是一种连接标识符。
MPLS支持单层标签同时也支持多层标签
MPLS体系有多种标签发布协议,如LDP就是一种标签发布协议
标签栈按后进先出方式组织标签,从栈顶开始处理标签,标签封装在链路层与网络层之间,标签上固定长度4字节。
16~1023是静态LSP和静态CR-LSP共享的标签空间
1024以上是LDP、RSVP-TE、MP-BGP等动态信令协议共享的标签空间。
倒数第二跳LSR进行标签交换时,如果发现交换后的标签值为3,则将标签弹出,并将报文发给最后一跳。
MPLS单个标签总长度为4个字节(32bit)
标签中TTL字段和IP分组中的TTL的意义相同,也具有防止环路的作用。
MPLS封装有帧模式和信元模式
Ethernet和PPP使用帧模式封装
ATM使用信元模式封装
以太网使用帧模式
16.MPLS支持多层标签和转发平面的特性,在很多方面得到广泛应用,部署MPLS原因有:
流量工程能力、在基于软件的路由器上简化路由查找、VPN技术
查看Nhlfe表项,可以得到出接口、下一跳、出标签和标签操作类型,标签操作类型为Push
在IP分组报文中压入获得的标签,并根据QOS策略处理EXP,同时处理TTL,然后将封装好的MPLS分组报文发送给下一跳。
MPLS的转发平面的主要功能是对IP包进行标签添加和删除,同时依据标签转发,对收到的分组进行转发,是面向连接的
IP进入MPLS网络时,MPLS入口的LER会分析IP包的内容并为IP包添加合适标签
MPLS依然可以使用ping或traceroute来发现LSP错误,并及时定位失效节点。
标签分发协议LDP(Label Distribution Protocol)是 MPLS 体系中的一种主要协议。在 MPLS 网络中,两个标签交换路由器(LSR)必须用在它们之间或通过它们转发流量的标签上达成一致。
1.两台LSR之间通过交换hello消息来触发LDP session的建立
2.Initializtion Message用来在LDP session建立过程中协商参数
3.keepalive Message用来监控LDP Session的TCP连接的完整性
1.标签分配控制方式分为:独立标签分配控制和有序标签分配控制
2.如果标签发布方式为DU,且标签分配方式为Indpendent,则LSR无需等待下游的标签,就会直接向上游分发标签。如果分配方式为Ordered,则LSR(transit)只有收到下游(Egress)的标签映射消息,才会向上游(Ingress)分发标签。
LSR对收到的标签进行保留,且保留方式有多种,关于LDP标签保留–自由方式描述:
保留邻居发送来的所有标签
需要更多的内存和标签空间
当IP路由收敛、下一跳改变时减少了LSP收敛时间
DHCP协议多采用广播报文,如果出现多个子网则无法穿越,所以需要DHCP Relay设备,DHCP Relay设备可以是一台主机。
配置DHCP Relay步骤:配置DHCP服务器组的组名、配置DHCP服务器组中DHCP服务器IP地址、配置启动DHCP Relay功能的接口编号及接口IP。
可以是DHCP服务器的数据库中与客户端MAC地址静态绑定的IP地址
可以是客户端曾经使用过的IP地址,即客户端发送的DHCP_Discover报文中请求IP地址选项的地址。
在DHCP地址池中,按顺序找可供分配的IP地址,即最先找到的IP地址。
关于DHCP服务器查询到的超过租期、发生冲突的IP地址,如果找到可用的IP地址,则可进行分配。
全局使能DHCP功能
采用全局地址池的DHCP服务器模式时,配置全局地址池
采用端口地址池的DHCP服务器模式时,配置端口地址池
启用DHCP服务
配置vlanif10接口下的客户端都从全局地址池获取IP
接口地址池优先于全局地址池,若接口存在接口地址池,即使全局地址池存在,客户端也会优先从接口地址池获取IP
DHCP服务器发送ping报文最大数目为10
确保网络用户收到期望的网络服务质量和技术服务信息,帮助网络工程师面对复杂的网络数据,并确保数据能够快速全面的呈现给使用者。
ASPF:应用层报文过滤(application specific packet filter): 是针对应用层的包过滤,即基于状态检测的报文过滤。也称为状态防火墙,它维护每一个连接的状态,并且检查应用层协议的数据,以此决定数据包是否被允许通过 。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。
ASPF是一种基于应用层的包过滤,它会检查应用层协议信息并且监控链接的应用层协议状态,并通过了Server map 表实现了特殊的安全机制。
关于ASPF和Server map 表的说法:
ASPF监控通信过程中的报文,ASPF动态创建和删除过滤规则,ASPF通过servermap表实现动态允许多通道协议数据通过。
ASPF技术使得防火墙能够支持如FTP等多通道协议,同时还可以对复杂的应用制定相应的安全策略
Trust:该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
Untrust:该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
DMZ(Demilitarized非军事区):该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。
Local:防火墙上提供了Local 区域,代表防火墙本身。比如防火墙主动发起的报文(我们在防火墙执行ping测试)以及抵达防火墙自身的报文(我们要网管防火墙telnet、ssh、http、https)
Local 区域的安全级别是100,Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全级别是5。
提供了对分片报文进行检测过滤的支持,它可以过滤:后续分片报文、非分片报文
包过滤防火墙对网络层的数据报文进行检查
包过滤防火墙的主要特点:能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。
<1>状态检测防火墙对报文进行检查时,只需要对该链接的第一个数据包进行访问规则的匹配,该链接的后续报文直接在状态表中进行匹配。
<2>状态检测防火墙处理非首包的数据流时,比包过滤、代理、软件防火墙效率高,它的特点:后续包处理性能优异。
<3>状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话,由防火墙安全策略决定建立哪些会话,数据包只有与会话相关联的时候才会被转发。
只能为自定义的安全区域设定安全级别
安全级别一旦设定,不允许更改
同一系统中,两个安全区域不允许配置相同的安全级别,但不同接口可以配置属于同一安全区域
扫描窥探攻击、畸形报文攻击、特殊报文攻击。
中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害,且在内网中比较觉,为了防止中间人或IP/MAC Spoofing攻击,可以在交换机上配置DHCP Snooping域DAI或IPSG进行联动。
<1>利用了交换机MAC地址学习机制
<2>攻击者可以通过伪造的源MAC地址数据帧发送给交换机来实施MAC地址欺骗攻击
<3>会导致交换机要发送到正确目的地的数据被发送给攻击者
ARP欺骗会导致:设备ARP缓存表资源被耗尽、用户发送的数据被攻击者窃取、过多的ARP报文造成设备的cpu负荷过重、用户无法访问外网或反复掉线。
DHCP Snooping是一种DHCP安全特性,可以用于防御多种攻击
<1>用来防止DHCP Server仿冒者攻击
<2>用来防止ARP欺骗攻击
<3>防御改变Chaddr值的饿死攻击
<4>防御中间人攻击和IP/MAC Snooping攻击
<5>防止对DHCP服务器的DOS攻击、结合IPSG功能对数据包的源IP地址进行检查(解决源IP欺骗攻击)。
IP攻击
ICMP攻击
Smurf攻击:攻击者通过发送ICMP应答请求,并将请求包的目的地址设为受害网络的广播地址,以实现攻击目的。
仿冒者通过仿冒DHCP服务器向终端下发错误的IP地址和网络参数,导致用户无法上网,在华为二层交换机上使用DHCP Snooping功能并开启信任接口能够有效保障客户端从合法DHCP Server上获取IP地址和网络参数。
DHCP拒绝服务攻击通过不断修改DHCP request报文中CHADDR字段来消耗地址资源,会将DHCP地址池中的IP地址资源快速耗尽,DHCP服务器地址资源被耗尽后将不会再处理和响应DHCP请求报文。
企业内网有一对外的网站服务,由于未及时修复服务器补丁,该网站服务器感染了勒索病毒,服务器主机中的文件被加密,IT经理批准立即使用备机恢复网站正常运营,作为IT管理员,你应该如何处理?
1.备机上线前完成补丁修复工作
2.联系安全服务工程师应急响应,协助割接
3.已感染的服务器拔掉网线隔离处理
修改备用服务器地址作为主服务器地址
ARP Miss描述:设备在转发时因匹配不到对应的ARP表项而上报的消息,首先这个Arp miss不是一种报文,而是一种“流程”
一个192.168.0.0/24的网段,如果192.168.0.1和192.168.0.2通信,那么正常的情况下192.168.0.1会发送一条Arp请求,目的是为了获取192.168.0.2的mac地址,这是正常的arp,
但192.168.0.1所在的网段是192.168.0.0/24网段,如果192.168.0.1要和10.1.1.1通信,正常情况下,192.168.0.1依旧会发送一条Arp请求,但很明显,在该网段是请求不到10.1.1.1的mac地址的,那么这个网段的“网关”收到这条Arp请求后,会向192.168.0.1发送一条代理Arp(我不知道楼主知不知道代理Arp,意思是说网关会告诉192.168.0.1我就是10.1.1.1),但是网关毕竟不是真正的10.1.1.1,网关会使用cpu向“去往10.1.1.0/24网段的下一跳”发送一条arp请求,询问谁是10.1.1.1这个过程就是Arp-miss的过程。
说起这个Arp miss,可以谈起一种网段扫描的攻击方式就是耗尽arp缓存,从而实现拒绝服务。
(ARP Miss消息处理需要发送ARP请求出去,会消耗CPU资源,然而资源有限)
如果一台电脑,在不停的询问某个非本地网段里的所有ip地址时(比如地址扫描)
此时会产生大量的arp 请求,说不定就耗尽了资源,从而实现了攻击
对此华为有Arp miss的抑制手段
“对于同一个源IP发送的触发ARP-MISS流程的报文,一秒钟内如果超过门限值(默认为5个),系统会认为这是一种非法的攻击报文,就会针对该ip地址下发一条ACL规则,丢弃该源IP发送的所有需要上送CPU处理的报文;如果50s之内系统没有再次检测到该源ip发送的报文有arp-miss超过门限的情况,该ACL规则会自动删除,触发arp-miss流程的报文可以继续上送CPU处理。”(转至百度)
五元组:源IP地址、目的IP地址、协议号、源端口、目的端口
1.VRRP组中的路由器根据优先级选举出Master
2.Master路由器通过发送免费ARP报文,将自己的虚拟MAC地址通知给与它连接的设备或主机
3.如果Master路由器出现故障,虚拟路由器中的Backup路由器将根据优先级重新选举新的Master。
Vrrp vrid 1 preempt-mode timer delay 20
定期发送VRRP报文
以虚拟MAC地址响应对虚拟IP地址的ARP请求
转发目的MAC地址为虚拟MAC地址的IP报文
当slave收到master发送的vrrp报文时,可判断master状态是否正常,
当收到优先级为0的vrrp报文时,slave会直接切换到master,
slave会丢弃目的mac为虚拟mac地址的ip报文。
8.在VRRP中,当设备状态变成Master后,会立刻发送免费ARP来刷新下游设备的MAC表项,从而把用户的流量引到此台设备上来。
静态配置BFD会话是指通过命令行,手工配置BFD会话参数,包括本地标识符和远端标识符。
动态建立BFD会话时,动态分配本地标识符。
系统通过划分标识符区域的方式,来区分静态BFD会话和动态BFD会话。
业务编排模块可以实现在网络接入设备上对特定组流量指定策略,按照指定的编排顺序进行流量调度,规定流量需要被哪些安全设备处理,以及处理的先后顺序。对于访客、不安全区域的用户流量往往需要进行业务流调度至安全资源中心进行检测;
业务编排将原来物理设备的能力,抽象成虚拟服务概念,对用户屏蔽具体的物理形态,针对具体的业务,将业务流量引流至相应的处理服务结点;
Agile Controller服务器的角色有:业务控制器、业务管理器、安全态势管理器。
Aglie Controller功能组件:业务随行、业务编排、准入控制、安全协防
关于Agile Controller 的访客账号申请方式可以由接待员工创建
Agile Controller支持802.1x、portal、MAC旁路、SACG准入方式
业务编排亮点:
<1>灵活组网:基于三层GRE隧道进行编排,业务设备的组网方式,部署位置更加灵活
<2>可视化编排,简化管理:通过拓扑可视化进行业务编排,配置简单,管理便捷
<3>方便扩展:业务设备的增删不改变现网转发路由不改变现网物理拓扑
业务编排的访客接入管理的场景:
<1>客户访问企业公共资源或Internet
<2>民众通过公共单位提供的网络访问Internet
关于Agile Controller业务随行描述:
1.管理员在配置业务随行时,应该选择合适的用户认证点和策略执行点
2.在业务随行中,通过矩阵关系来描述一个安全组到另一个安全组的访问权限关系
3.在业务随行中,通过指定某些VIP用户所属安全组的转发优先级,来保证这部分人员的网络使用体验
关于Agile Controller的业务编排概念:
<1>业务编排中,用户控制列表是针对用户级别的ACL控制,使用数据包的源安全组、目的安全组、端口号等内容定义的规则。
<2>编排设备是指对业务流进行有序引导的设备,一般指交换机
<3>业务设备是指对编排设备引入的业务流进行安全业务处理的设备,主要包括防火墙、防病毒设备和上网行为控制设备。
对Agile Controller的准入控制技术的应用场景描述:
<1>MAC认证中,用户终端以MAC地址作为身份凭据认证服务器上进行认证,MAC地址认证主要用于IP电话、打印机等终端设备的认证。
<2>802.1x认证使用EAP认证协议,实现客户端、设备端和认证服务器之间认证信息交换。
<3>portal认证也称为web认证,用户通过web认证页面,输入用户账号信息,实现对终端用户身份的认证。
<1>各部门人员访问服务器资源时,权限策略都由 Agile Controller统一部署,而管理员只需要关注部门间互访关系的设定,并选取园区中关键位置设备作为策略执行点,部署完成后,无论用户在何位置,以何种方式接入,都可以获得访问权限。
<2>可实现外包人员与内部员工协作办公,并基于策略与IP,结合策略自动部署功能,可以快速实现多团队一起办公,同时保证每个用户都能够拥有正确的网络访问权限,还可以根据需要控制团队成员间的数据共享行为,保障企业数据安全。
<3>当网关资源有限时,可结合自动优选网管和VIP优先上线,实现保证VIP用户可享有优质网络的体验。
推荐为内部员工和设置不同的SSID控制接入来控制内部员工和访客接入网络。
软件定义网络(Software Defined Network,SDN)是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。
TCP同步指的是收发两方的同步。本来收发双方是异步的,发端不知道网络的容量,不知道收端的实时接收速度,发端不知道收端的情况。但是通过滑动拥塞窗口,通知接收窗口和ACK clocking等机制,实现了拥塞控制和流量控制
在传统电话系统中,一次通话从建立系统连接到拆除连接都需要一定的信令来配合完成。同样,在IP电话中,如何寻找被叫方、如何建立应答、如何按照彼此的数据处理能力发送数据,也需要相应的信令系统,一般称为协议。在国际上,比较有影响的IP电话方面的协议包括ITU-T提出的H.323协议和IETF提出的SIP协议
使内部网络用户更便捷访问Internet
使内部局域网的主机共享一个IP地址上网
可以屏蔽内部网络的用户,提高内部网络安全性
Round Robin(中文翻译为轮询调度)是一种以轮询的方式依次将一个域名解析到多个IP地址的调度不同服务器的计算方法。
Round Robin调度方式是按每个队列定义的字节数轮询发送的,而且每个队列的带宽比例等于本队列定义的字节数与所有队列字节数之和的比值。
镜像简介:
镜像是指将经过指定端口(源端口或者镜像端口)的报文复制一份到另一个指定端口(目的端口或者观察端口)。
镜像目的:
在网络运营与维护的过程中,为了便于业务监测和故障定位,网络管理员时常要获取设备上的业务报文进行分析。
镜像可以在不影响设备对报文进行正常处理的情况下,将镜像端口的报文复制一份到观察端口。网络管理员通过网络监控设备就可以分析从观察端口复制过来的报文,判断网络中运行的业务是否正常。
端口镜像是指设备复制从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控。端口镜像根据监控设备在网络中位置的不同,分为本地端口镜像和远程端口镜像。
流镜像是对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。有二层流镜像和三层流镜像,针对出口流的镜像,入口流的镜像。端口镜像就是指定特定端口的数据流量映射到监控端口,以便集中使用数据捕获软件进行分析。流镜像是指按照一定的数据流分类规则对数据进行分流,然后将属于指定流的所有数据映射到监控端口,以便进行数据分析。端口镜像顾名思义就是针对端口所做的镜像操作。流镜像可以通过acl匹配合适的流,所以功能更加强大.
流镜像可以通过ACL做也可以通过MQC做
Observe-server destination-ip 10.1.1.1 source-ip 192.168.1.1
Observe-port interface ethernet 2/0/1
提供存储、服务器、应用、交换机、路由器、防火墙、WLAN、PON网络、无线宽带集群设备、视频监控、IP话机、视讯设备等多种设备的统一管理
华为的企业网管产品是esight,有精简、标准、专业三个版本,专业比标准版多了支持分层的管理模型。
在eSight中可以根据生效时间、生效时段、告警源及告警条件来设置告警屏蔽规。
eSight网管支持的远程告警通知方式是邮件和短信。
使用eSight对历史告警进行查询时,可以按照下列条件进行告警:告警级别、首次发生时间、告警源、告警名称。
在eSight中,网元发现方式支持的协议:SNMP、ICMP协议
使用eSight初始添加设备后,拓扑元素的排列都是随机的,不能体现实际网络结构,所以还需要根据实际的网络组网进行位置调整或选择拓扑提供的自动布局功能。
eSight缺省角色有administrator、monitor、operator
传统网络的局限性:
网络协议实现复杂,运维难度较大
流量路径的调整能力不够灵活
网络新业务升级的速度较慢
图形化的展示网元、子网、链路的布局及状态
精确可视化的监控全网网络运行状态
系统的展现全网网络结构及网络实体在业务上的关系
整个网络监控的入口,实现高效运维
主要记录eSight发生的事件,如eSight运行异常、网络故障、eSight受到攻击等,有利于分析eSight运行状态,排除故障。
VXLAN是一种网络虚似化技术,可以改进大型云计算在部署时的扩展问题,是对VLAN的一种扩展。VXLAN是一种功能强大的工具,可以穿透三层网络对二层进行扩展。它可通过封装流量并将其扩展到第三层网关,以此来解决VMS(虚拟内存系统)的可移植性限制,使其可以访问在外部IP子网上的服务器。
VMware ESXi、Open vSwitch、当前主流的网络芯片均已支持VXLAN:它备受业界关注,未来有可能成为网络虚拟化技术当中的主流技术之一
QoS(Quality of Service,服务质量)指一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力,是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。
在DS(differentiated service)无需为每个流维护状态信息,它适用于大型骨干网络。
<1>路由器在收到数据包的时候,可能会因为CPU繁忙,没办法处理数据包,导致出现丢包现象。
<2>在把数据包调度到丢列的时候,可能会因为队列被装满而导致丢包
<3>数据包在链路上传输的时候,可能会因为链路故障等原因而导致丢包
抖动是由于属于同一个流的数据包的端到端时延不相等造成的。
抖动的大小跟时延的大小相关,时延小则抖动的范围小,时延大则可能抖动范围也大。
传送QOS请求的信令是RSVP,它用来通知路由器应用程序的QOS需求
它可以用来提供保证带宽和时延来满足应用程序的要求
它可以提供负载控制服务,保证及时在网络过载的情况下,能对报文提供近似于网络未过载类似的服务,即在网络拥塞的情况下,保证某些应用程序的报文的低时延和高通过。
<1>可以通过设置IP报文头部的QOS参数信息,来告知网络节点它的QOS需求
<2>报文传播路径上的各个设备,都可以通过IP报文头的分析来获知报文的服务需求类别
<3>Doffserv是一种基于报文流的QOS解决方案
IntServ(Integrated Services)最初试图在因特网中将网络提供的服务划分为不同类别的是IETF提出的综合服务IntServ。IntServ可对单个的应用会话提供服务质量的保证。
IntServ是端到端的基于流的QoS技术。在发送流量前,网络设备需要通过RSVP信令协议向网络申请特定服务质量,包括带宽、时延等。在确认网络已经为该流量预留了资源后,网络设备才开始发送报文。
IntServ能很好地满足QoS的要求,但所有的网络节点必须支持RSVP信令协议,并且维护每个流的状态和交换信令信息,在大型网络内这可能会要求数量极大的带宽。
快速检测可以尽早地检测到与相邻设备间地通信故障,以便系统能够及时采取措施,保证业务不中断
DSCP差分服务代码点(Differentiated Services Code Point),IETF于1998年12月发布了Diff-Serv(Differentiated Service)的QoS分类标准。它在每个数据包IP头部的服务类别TOS标识字节中,利用已使用的6比特和未使用的2比特,通过编码值来区分优先级。
1.用TOS字段的前6个比特(高6比特)来标识不同的业务类型
2.每隔DSCP值对应一个BA(begavior aggregate),然后可以对每个BA指定一种PHB
3.可以使用某些QOS机制来实现PHB
相对流量监管,流量整形具有更好的抗突发能力
流量整形可以使报文以比较均匀的速度向外发送
由于引入队列,当发生拥塞时,报文的时延相对增加。
1.相对于流量监管,流量整形具有更好的抗突发能力
2.流量整形可以使报文比较均匀的速度向外发送
3.由于引入队列,当发生拥塞时,报文的时延相对增加。
Traffic-policy p1 inbound
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF标准,允许一个整体机构以一个公用IP地址出现在Internet上。
顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。NAT 可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上。NAT路由器在将内部网络的数据包发送到公用网络时,在IP包的报头把私有地址转换成合法的IP地址。
在网络中,由于恶意攻击或管理员的误操作,合法交换设备收到了优先级更高的配置BPDU,使得原来的合法根桥失去根桥属性,网络拓扑发生变化,导致网络拥塞,要防止这种情况可以采用“根保护”这一保护机制。
故障传播时间、路由环路、单台设备故障响应时间(表项更新)、故障检测时间
在配置VRRP备份组两端的VLANIF接口上,执行disp this命令,检查接口上 的备份组ID是否相同、检查VRRP组的虚拟IP地址是否相同、检查接口IP地址是否在同一网段、检查VRRP通告报文时间间隔是否相同。
主机配置了错误的静态ARP、交换机配置了端口隔离、接口被人shutdown或物理接口损坏、交换机配置了错误的端口和MAC地址绑定。
A主机开启了防火墙、B没有去往A的路由或没设置网关、也有可能A出口是状态检测防火墙,所以导致B无法主动访问A。
自顶向上法
自底向上法
替换法
网络设计的概念:了解项目的行业背景可以掌握行业常规解决方案,项目规划阶段要完成的:了解项目背景、确定项目需求
割接流程、风险控制措施、人员安排、时间规划
信号线缆是否已经按照规范正确安装和捆绑
设备是否按照规划的拓扑进行连接
接地线是否按照规范正确安装
电源线是否已经按照规范正确安装
光纤的曲率半径应大于光纤直径的20倍,一般情况下,曲率半径大于等于40mm
光纤套在波纹管内,波纹管两端的管口必须用胶带缠好
进行光纤安装、维护等各种操作时,严禁肉眼靠近或直视光纤出口。
建设投资、运行维护、优化改造
在千兆以太网中,有效提高转发效率、保证数据通信过程中数据的完整性和可靠性、减少设备的CPU占用率,提升设备的转发性能、在视频通讯传输中减少时延、抖动对业务的影响。
在地址规划时选择连续地址块,方便后期进行路由汇总,地址分配在每一层次上都要留有余量,在网络规模扩展时,能够保证地址汇总所需的连续性,规划IP时,还可以设置特定功能位IP地址赋予一定的含义。
如进行重大或较复杂的升级操作时,应预先在模拟环境中进行测试,并完成升级方案、应急预案的测试。
使用display patch-information来检查补丁信息
主要是因为三层环路可以通过TTL机制缓解。
主机配置了静态ARP
MAC表项超过设备规模
设备端口配置了MAC地址学习使能
配置了MAC黑洞和MAC学习限制
网络优化的需求来源:
经过长期的网络维护,把总结的一些问题和改进点,提出相关建议,进行集中的整改
网络中需要开展视频会议业务,需要增加支持二层组播功能的交换设备。
某弱电井因环境问题,信号线老化严重,需要集中更换
企业信息安全需要,增加新的安全设备
在园区网使用OSPF时?
在园区网使用OSPF路由协议时,工程师经常会将以太接口的OSPF网络类型由默认的广播多路网络改为点对点网络,这样配置可以简化链路状态数据库。
割接的难点有哪些?
最大限度减少影响业务的范围
风险规避做到最好
制定完善的割接方案
顺利的执行割接
在一个割接项目中,需要客户签字的事项有?
定稿割接方案
变更申请单
割接竣工报告
割接的操作步骤?
割接前快照
割接中下发
割接后检查
小型企业由于更换出口防火墙需要进行网络割接,前期准备包括?
需求分析、方案编写、风险评估
完成网络割接后,应测试各网络设备和应用系统运行是否正常。
AR G3设备上的SYS指示灯?
绿色慢闪代表设备正常运行中,红色表示系统故障
光功率用DBM表示
网桥是基于数据帧的MAC地址进行数据转发的
ISDN、PSTN可以运行PPP协议但是不能运行HDLC协议
发标是标志网络规划阶段的事件
TCP/IP版本中,存在的安全隐患:
缺乏数据源验证机制
缺乏对数据完整性的验证机制
缺乏机密性保障机制。
数据中心架构:
ToR:(Top of Rack)接入方式就是在服务器机柜的最上面安装接入交换机。
EoR:(End of Row)接入交换机集中安装在一列机柜端部的机柜内,通过水平缆线以永久链路方式连接设备柜内的主机/服务器/小型机设备。EoR 对设备机柜需要敷设大量的水平缆线连接到交换机
哪些原因会引起IS-IS邻居关系故障:
链路两端设备的system ID相同、链路两端的IS-IS Level不匹配、
建立IS-IS Level-1邻居时,链路两端设备的区域地址不匹配
链路两端的接口的IP地址不在同一网段
使用ping和tracert进行网络故障测试属于网络故障排除方法的确定业务流量路径
四种接口类型:
BNC(基本网络卡)接口是一种用于同轴电缆的连接器。
SC(网络收发器)
FC(光端机)
LC(光模块)
IDS入侵检测系统是一个监听设备,没有跨越在任何链路上,无需网络流量流经它便可以工作,因此,对IDS的部署,唯一的要求是:IDS应当挂在所有所关注流量都必须流经的链路上。
IPS入侵防御系统是电脑网络安全设施,是对防病毒软件和防火墙的补充,入侵防御系统是一部能够监视网络和网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。