你知道组播路由协议和组播转发机制吗?✔️

文章目录

  • 接入控制和安全
    • 接入控制
      • 注意事项
      • 802.1X
      • MAC地址验证
    • 端口安全
      • MAC地址学习类型
      • NeedToKnow特性
      • 入侵检测
  • AAA
    • AAA架构
    • 验证模式
    • 相关协议
      • RADIUS
      • TACACS+
  • 组播路由协议
    • 概述
    • 常见组播路由协议
    • PIM-DM
      • 定义
      • 邻居发现机制
      • 运行机制
    • PIM-SM
      • 定义
      • 邻居发现机制
      • 运行机制
    • PIM-SSM
    • 相关命令
  • 组播转发机制
    • 组播分发树
      • 定义
      • 分类
    • RPF机制
      • 定义
      • 工作机制

接入控制和安全

接入控制

注意事项

  • 受控端口/非受控端口

    受控端口:
    	用于传输数据的逻辑子接口,身份认证未通过时,该端口不会转发数据;身份认证通过后,可以传输数据
    
    非受控端口:
    	用于传输802.1X认证报文,无论身份认证是否通过,该端口都可以转发802.1X报文
    
  • 授权/非授权

    强制授权模式:端口始终处于被授权可以连通的状态
    强制非授权:端口始终处于不可认证的状态
    自动识别:身份认证未通过时,端口处于非授权状态;当身份认证通过时,端口自动切换到授权状态
    
  • 单向/双向受控

    单向受控:只允许用户接收帧,不允许用户发送帧
    双向受控:用户可以同时接收和发送帧
    

802.1X

  • 基于端口验证

    该端口下只要一台客户端通过验证,则该端口下连接的所有客户端都能访问网络;只要一台客户端中断连接,该端口下所有连接的客户端都会中断
    
  • 基于MAC地址验证

    一个端口下的所有客户端都保留独立的连接,彼此互不影响
    
  • 客户端触发

    由客户端直接主动发起身份认证请求
    
  • 设备端触发

    某些特殊情况下,客户端无法主动发起认证请求;设备端会以30秒为周期发起询问,客户端感知到设备端后,在向设备端发起认证请求
    
  • EAP中继

    客户端通过EAP协议和设备端交互,设备端把该报文以EAP协议中继转发给Radius服务器;客户端和设备端,设备端和服务端都是使用EAP协议来封装报文
    
  • EAP终结

    客户端通过EAP协议和设备端交互,设备端把客户端的报文的内容提取出来,重新封装为CHAP/MD5/PAP认证的方式转交给服务端;客户端和设备端使用EAP协议来封装报文,设备端和服务端使用CHAP/MD5/PAP验证来进行报文传输
    
  • Guest VLAN

    用户未验证或未通过验证,可访问Guest VLAN中的资源
    
  • Dynamic VLAN

    用户通过验证后,客户端所属的VLAN
    

MAC地址验证

  • 客户端无需专用拨号客户端,使用方便
  • 用户名格式:MAC地址作为用户名,创建普通用户名
  • 支持Guest VALN和Dynamic VLAN

端口安全

MAC地址学习类型

  • NoRestrictions:端口关闭,学习MAC地址没有限制

  • autolearn:

    1.通过了身份验证的MAC地址会学习到安全MAC地址列表中
    2.如果端口学习到的MAC地址达到了允许学习的MAC地址数量上限;就不再添加新的安全MAC地址
    3.只有源MAC为安全MAC地址或静态MAC地址的帧才允许通过该端口
    
  • secure:不在学习新的安全MAC地址,只有源MAC为安全MAC地址或静态MAC地址的帧才允许通过该端口

配置端口可学习的MAC地址最大数量

NeedToKnow特性

  • 检查数据帧的目的MAC地址,目的MAC地址未通过验证,则丢弃数据帧

入侵检测

  • 检查数据帧的源MAC地址,源MAC地址未通过验证则做出相应惩罚措施

AAA

AAA架构

  • Authentication:用户验证
  • Authorization:授权
  • Accounting:计费

验证模式

  • 本地验证:用户身份验证过程发生在接入设备上
  • 远程验证:用户身份验证过程发生在指定的AAA服务器上,可以实现对网络中所有接入点进行集中统一身份验证

相关协议

RADIUS

  • 使用UDP1812和1813端口传输数据
  • 验证和授权发生在同一台服务器上,不可分离

TACACS+

  • 使用TCP传输
  • 比RADIUS的安全级别更高:Radius只对报文头部加密,TACACS+对报文整体加密
  • TACACS+可以对用户命令行的级别进行授权,而Radius不行
  • 验证、授权、计费可独立运行在不同服务器上

组播路由协议

概述

  • 用于建立和维护组播路由

常见组播路由协议

  • DVMRP:RIP组播版本,要求单播使用RIP
  • MOSPF:OSPF组播版本,要求单播使用OSPFv2
  • PIM:协议无关组播,对单播路由来源无要求

PIM-DM

定义

  • PIM密集模式
  • 假定网络中组播接收者较多,且分部于大部分设备上,采用推的方式分发组播数据
  • 适用于小规模组播网络

邻居发现机制

  • PIM路由器之间周期性发送Hello报文来发现、建立和维护邻居关系
  • 如网段中IGMP版本是v1,则Hello报文可以选举查询器

运行机制

  • 扩散

    1.组播源发起组播,沿途路由器以广播方式,把组播包进行扩散
    2.沿途路由器创建(S,G)表项:S为组播源,G为组播组地址
    一个(S,G)表项包含一个入接口和若干出接口:
    	入接口是通过RPF检测的接收组播的接口,路由器会把组播向所有出接口转发
    3.路由器把(S,G)表项中的入接口设置为接收组播的接口,其他所有连接了PIM接口都设置为出接口
    
  • 剪枝

    1.如果网段内部没有组播接收者,则DR向入接口发起Prune报文
    2.上游路由器收到Prune报文后,把收到报文的接口从(S,G)表项中的出接口删除
    3.如剪枝后本路由器的(S,G)表项中没有出接口了,将继续向上游接口发送Prune报文进行剪枝
    
  • 加入

    1.一个网段中有多个下游路由器,其中一个下游路由器向上游发起剪枝,该Prune报文会同时被另一个下游路由器接收
    2.如果另外一个下游路由器中存在接收者,感知到有其他下游路由器正在剪枝后,则向上游发起Join报文,请求上游继续发送组播
    3.上游路由器收到Join报文后,不会删除出接口
    

扩散-剪枝-加入周期性进行,形成组播源到接收者之间的SPT

  • 嫁接

    1.当路由器中出现组播接收者时,向上游发送Graft报文
    2.上游收到Graft ACK报文,并把收到Graft报文的接口添加到(S,G)表项的出接口
    
  • 断言

    1.一个网段中存在多台上游路由器,会导致相同组播报文重复发送
    2.通过断言机制选举唯一组播数据转发者
    3.选举机制:
    		到组播源的单播路由的优先级较高者获胜
    		到组播源的单播路由度量值较小者获胜
    		本地IP地址小的成为唯一组播数据转发者
    
  • 状态新机制:如果组播路径没有变化,组播源会发送State Refresh报文,刷新重置扩散周期计时器,降低扩散频率

PIM-SM

定义

  • PIM稀疏模式:适用于任何规模的网络
  • 采取拉的方式,根据接收者的需求,在组播接收者和组播源之间建立组播分发树
  • 无论网段中的IGMP协议是什么版本,都通过Hello报文选举查询器

邻居发现机制

  • 与PIM-DM相同

运行机制

  • 加入

    1.接收者一侧的DR中如果存在组播接收者,则根据单播路由表向RP发起Join报文:RP为汇聚点,自行配置路由器作为RP
    2.沿途路由器建立(*,G)表项:*代表任意组播源,G为组播组地址
    	一个(*,G)表项包含一个入接口和若干出接口:
    			入接口为发送Join报文的接口
    			出接口为收到Join报文的接口
    通过加入过程,形成RP到每个组播接收者的RPT
    
  • 组播源注册

    1.组播源把第一个组播数据包封装为单播形式的Register报文发送至RP
    2.RP收到Register报文后,解封出原始组播报文,根据RPT转发组播
    3.RP向组播源一侧的DR发起Join报文
    4.沿途路由器建立(S,G)表项
    通过组播源注册,形成组播源到RP的SPT
    
  • 组播源停止注册

    1.RP以单播形式向组播源发起Register Stop报文
    2.组播源一侧DR收到后,停止以单播封装组播数据包,按照SPT转发组播数据
    
  • RPT向SPT切换

    1.接收者一侧DR接收到组播后,感知到了组播源,于是向组播源发起Join报文
    2.沿途路由器建立(S,G)表项
    3.此时,路由器中会同时存在(S,G)和(*,G)表项
    4.路由器对组播报文进行RPF检测,如SPT入接口优于RPT入接口,则向RPT入接口发起Prune报文
    5.最终形成组播源到接收者的SPT
    
  • RP配置方式

    自动选举:
    		通过BSR选举:
    			1.优先级高的优先
    			2.计算Hash值大的优先
    			3.C-RP的IP地址大的优先
    			4.RP并不是由BSR选举,而是由BSR把所有C-RP的信息收集完整			后,发送给所有路由器,所有路由器自行选举出唯一的RP
    		
    		BSR的选举:
    			1.C-BSR优先级高的优先
    			2.C-BSR的IP地址大的优先
    一个组播组的RP的BSR可以使同一台路由器的同一个接口
    动态选举RP通过Boot  Strap协议
    静态指定
    

PIM-SSM

  • 组播接收者通过IGMPv3感知到组播源地址
  • 接收者一侧DR向组播源发起Join报文,建立SPT

相关命令

[h3c]multicast routing                   //全局开启组播路由功能
[h3c]pim                                 //创建PIM进程
[h3c-GigabitEthernet0/0]pim 'dm/sm'      //接口使能PIM,并指定PIM模式
[h3c-pim]static-rp 'ip-address'          //配置静态RP
[h3c-pim]c-rp 'ip-address'               //配置候选RP
[h3c-pim]c-bsr 'ip-address'              //配置候选BSR
[h3c]display multicast routing-table     //查看组播路由表

组播转发机制

组播分发树

定义

  • 组播数据在网络中的转发路径
  • 由组播路由协议建立

分类

  • SPT:最短路径树,为每个组播源分别建立一条到达接收者的最短路径,可保证组播转发低延迟,需要维护的路径数量太多

  • RPT:共享树,建立一条所有组播源到所有接收者的共享路径,只需要维护少量的组播路径,无法保证每个组播源到接收者是最优路径

RPF机制

定义

  • 逆向路径转发

工作机制

  • 组播数据包到达路由器后,执行RPF检查
  • 如果数据包是在到达组播源的最优路径上到达,则RPF检查成功,数据包被转发
  • 如果RPF检查失败,则丢弃数据包
  • RPF检查基于单播路由表,如果单播路由存在等价路由,则RPF选择吓一跳IP地址大的

你可能感兴趣的:(华三杯,网络协议)