你知道组播路由协议和组播转发机制吗？✔️

接入控制和安全

接入控制

注意事项

• 受控端口/非受控端口

  受控端口：
  	用于传输数据的逻辑子接口，身份认证未通过时，该端口不会转发数据；身份认证通过后，可以传输数据
  
  非受控端口：
  	用于传输802.1X认证报文，无论身份认证是否通过，该端口都可以转发802.1X报文
  

• 授权/非授权

  强制授权模式：端口始终处于被授权可以连通的状态
  强制非授权：端口始终处于不可认证的状态
  自动识别：身份认证未通过时，端口处于非授权状态；当身份认证通过时，端口自动切换到授权状态
  

• 单向/双向受控

  单向受控：只允许用户接收帧，不允许用户发送帧
  双向受控：用户可以同时接收和发送帧
  

802.1X

• 基于端口验证

  该端口下只要一台客户端通过验证，则该端口下连接的所有客户端都能访问网络；只要一台客户端中断连接，该端口下所有连接的客户端都会中断
  

• 基于MAC地址验证

  一个端口下的所有客户端都保留独立的连接，彼此互不影响
  

• 客户端触发

  由客户端直接主动发起身份认证请求
  

• 设备端触发

  某些特殊情况下，客户端无法主动发起认证请求；设备端会以30秒为周期发起询问，客户端感知到设备端后，在向设备端发起认证请求
  

• EAP中继

  客户端通过EAP协议和设备端交互，设备端把该报文以EAP协议中继转发给Radius服务器；客户端和设备端，设备端和服务端都是使用EAP协议来封装报文
  

• EAP终结

  客户端通过EAP协议和设备端交互，设备端把客户端的报文的内容提取出来，重新封装为CHAP/MD5/PAP认证的方式转交给服务端；客户端和设备端使用EAP协议来封装报文，设备端和服务端使用CHAP/MD5/PAP验证来进行报文传输
  

• Guest VLAN

  用户未验证或未通过验证，可访问Guest VLAN中的资源
  

• Dynamic VLAN

  用户通过验证后，客户端所属的VLAN
  

MAC地址验证

• 客户端无需专用拨号客户端，使用方便
• 用户名格式：MAC地址作为用户名，创建普通用户名
• 支持Guest VALN和Dynamic VLAN

端口安全

MAC地址学习类型

• NoRestrictions：端口关闭，学习MAC地址没有限制

• autolearn：

  1.通过了身份验证的MAC地址会学习到安全MAC地址列表中
  2.如果端口学习到的MAC地址达到了允许学习的MAC地址数量上限；就不再添加新的安全MAC地址
  3.只有源MAC为安全MAC地址或静态MAC地址的帧才允许通过该端口
  

• secure：不在学习新的安全MAC地址，只有源MAC为安全MAC地址或静态MAC地址的帧才允许通过该端口

配置端口可学习的MAC地址最大数量

NeedToKnow特性

• 检查数据帧的目的MAC地址，目的MAC地址未通过验证，则丢弃数据帧

入侵检测

• 检查数据帧的源MAC地址，源MAC地址未通过验证则做出相应惩罚措施

AAA

AAA架构

• Authentication：用户验证
• Authorization：授权
• Accounting：计费

验证模式

• 本地验证：用户身份验证过程发生在接入设备上
• 远程验证：用户身份验证过程发生在指定的AAA服务器上，可以实现对网络中所有接入点进行集中统一身份验证

相关协议

RADIUS

• 使用UDP1812和1813端口传输数据
• 验证和授权发生在同一台服务器上，不可分离

TACACS+

• 使用TCP传输
• 比RADIUS的安全级别更高：Radius只对报文头部加密，TACACS+对报文整体加密
• TACACS+可以对用户命令行的级别进行授权，而Radius不行
• 验证、授权、计费可独立运行在不同服务器上

组播路由协议

概述

• 用于建立和维护组播路由

常见组播路由协议

• DVMRP：RIP组播版本，要求单播使用RIP
• MOSPF：OSPF组播版本，要求单播使用OSPFv2
• PIM：协议无关组播，对单播路由来源无要求

PIM-DM

定义

• PIM密集模式
• 假定网络中组播接收者较多，且分部于大部分设备上，采用推的方式分发组播数据
• 适用于小规模组播网络

邻居发现机制

• PIM路由器之间周期性发送Hello报文来发现、建立和维护邻居关系
• 如网段中IGMP版本是v1，则Hello报文可以选举查询器

运行机制

• 扩散

  1.组播源发起组播，沿途路由器以广播方式，把组播包进行扩散
  2.沿途路由器创建（S，G）表项：S为组播源，G为组播组地址
  一个（S，G）表项包含一个入接口和若干出接口：
  	入接口是通过RPF检测的接收组播的接口，路由器会把组播向所有出接口转发
  3.路由器把（S，G）表项中的入接口设置为接收组播的接口，其他所有连接了PIM接口都设置为出接口
  

• 剪枝

  1.如果网段内部没有组播接收者，则DR向入接口发起Prune报文
  2.上游路由器收到Prune报文后，把收到报文的接口从（S，G）表项中的出接口删除
  3.如剪枝后本路由器的（S，G）表项中没有出接口了，将继续向上游接口发送Prune报文进行剪枝
  

• 加入

  1.一个网段中有多个下游路由器，其中一个下游路由器向上游发起剪枝，该Prune报文会同时被另一个下游路由器接收
  2.如果另外一个下游路由器中存在接收者，感知到有其他下游路由器正在剪枝后，则向上游发起Join报文，请求上游继续发送组播
  3.上游路由器收到Join报文后，不会删除出接口
  

扩散-剪枝-加入周期性进行，形成组播源到接收者之间的SPT

• 嫁接

  1.当路由器中出现组播接收者时，向上游发送Graft报文
  2.上游收到Graft ACK报文，并把收到Graft报文的接口添加到（S，G）表项的出接口
  

• 断言

  1.一个网段中存在多台上游路由器，会导致相同组播报文重复发送
  2.通过断言机制选举唯一组播数据转发者
  3.选举机制：
  		到组播源的单播路由的优先级较高者获胜
  		到组播源的单播路由度量值较小者获胜
  		本地IP地址小的成为唯一组播数据转发者
  

• 状态新机制：如果组播路径没有变化，组播源会发送State Refresh报文，刷新重置扩散周期计时器，降低扩散频率

PIM-SM

定义

• PIM稀疏模式：适用于任何规模的网络
• 采取拉的方式，根据接收者的需求，在组播接收者和组播源之间建立组播分发树
• 无论网段中的IGMP协议是什么版本，都通过Hello报文选举查询器

邻居发现机制

• 与PIM-DM相同

运行机制

• 加入

  1.接收者一侧的DR中如果存在组播接收者，则根据单播路由表向RP发起Join报文：RP为汇聚点，自行配置路由器作为RP
  2.沿途路由器建立（*，G）表项：*代表任意组播源，G为组播组地址
  	一个（*，G）表项包含一个入接口和若干出接口：
  			入接口为发送Join报文的接口
  			出接口为收到Join报文的接口
  通过加入过程，形成RP到每个组播接收者的RPT
  

• 组播源注册

  1.组播源把第一个组播数据包封装为单播形式的Register报文发送至RP
  2.RP收到Register报文后，解封出原始组播报文，根据RPT转发组播
  3.RP向组播源一侧的DR发起Join报文
  4.沿途路由器建立（S，G）表项
  通过组播源注册，形成组播源到RP的SPT
  

• 组播源停止注册

  1.RP以单播形式向组播源发起Register Stop报文
  2.组播源一侧DR收到后，停止以单播封装组播数据包，按照SPT转发组播数据
  

• RPT向SPT切换

  1.接收者一侧DR接收到组播后，感知到了组播源，于是向组播源发起Join报文
  2.沿途路由器建立（S，G）表项
  3.此时，路由器中会同时存在（S，G）和（*，G）表项
  4.路由器对组播报文进行RPF检测，如SPT入接口优于RPT入接口，则向RPT入接口发起Prune报文
  5.最终形成组播源到接收者的SPT
  

• RP配置方式

  自动选举：
  		通过BSR选举：
  			1.优先级高的优先
  			2.计算Hash值大的优先
  			3.C-RP的IP地址大的优先
  			4.RP并不是由BSR选举，而是由BSR把所有C-RP的信息收集完整			后，发送给所有路由器，所有路由器自行选举出唯一的RP
  		
  		BSR的选举：
  			1.C-BSR优先级高的优先
  			2.C-BSR的IP地址大的优先
  一个组播组的RP的BSR可以使同一台路由器的同一个接口
  动态选举RP通过Boot  Strap协议
  静态指定
  

PIM-SSM

• 组播接收者通过IGMPv3感知到组播源地址
• 接收者一侧DR向组播源发起Join报文，建立SPT

相关命令

[h3c]multicast routing                   //全局开启组播路由功能
[h3c]pim                                 //创建PIM进程
[h3c-GigabitEthernet0/0]pim 'dm/sm'      //接口使能PIM，并指定PIM模式
[h3c-pim]static-rp 'ip-address'          //配置静态RP
[h3c-pim]c-rp 'ip-address'               //配置候选RP
[h3c-pim]c-bsr 'ip-address'              //配置候选BSR
[h3c]display multicast routing-table     //查看组播路由表

组播转发机制

组播分发树

定义

• 组播数据在网络中的转发路径
• 由组播路由协议建立

分类

• SPT：最短路径树，为每个组播源分别建立一条到达接收者的最短路径，可保证组播转发低延迟，需要维护的路径数量太多

• RPT：共享树，建立一条所有组播源到所有接收者的共享路径，只需要维护少量的组播路径，无法保证每个组播源到接收者是最优路径

RPF机制

定义

• 逆向路径转发

工作机制

• 组播数据包到达路由器后，执行RPF检查
• 如果数据包是在到达组播源的最优路径上到达，则RPF检查成功，数据包被转发
• 如果RPF检查失败，则丢弃数据包
• RPF检查基于单播路由表，如果单播路由存在等价路由，则RPF选择吓一跳IP地址大的