MPLS
ISO位于二层和三册之间,可认定为是2.5层
VPN/虚拟私有网络的分类:
- 传统的VPN:
- 站点之间的基于互联网的IPSec
- MPLS VPN
传统IP的缺陷
- 路由器逐跳转发,最长匹配查找
- 传统IP流量工程切换,备份,转发的问题
术语定义
-
LER/Label Edge Router:处于MPLS域边缘的路由器,用于打标签和删除标签
-
LSR/Label Switch Router:处于MPLS域内,用于标签交换的路由器
-
LSP/Label Switch Path: MPLS生成的路径,是单向的
-
LDP/Label Distribution Protocol/标签分发协议: MPLS 体系中的一种主要协议。在 MPLS 网络中,两个标签交换路由器(LSR)必须用在它们之间或通过它们转发流量的标签上达成一致。[用UDP去发现邻居,TCP去建立邻居,目的端口号都为646]
-
ISP/Internet Service Provider/互联网服务提供商:指的是面向公众提供下列信息服务的经营者:
- 一是接入服务,即帮助用户接入Internet
- 二是导航服务,即帮助用户在Internet上找到所需要的信息
- 三是信息服务,即建立数据服务系统,收集、加工、存储信息,定期维护更新,并通过网络向用户提供信息内容服务。
-
PE/Provider Edge:服务提供商骨干网的边缘路由器,它相当于标签边缘路由器(LER)。
-
CE/Customer Edge/用户边缘设备:是服务提供商所连接的用户端路由器。CE路由器通过连接一个或多个PE路由器,为用户提供服务接入。CE路由器通常是一台IP路由器,它与连接的PE路由器建立邻接关系。
-
P/Provider
标签的空间范围
- 0-15:特殊标签
- 16-1023:静态LSP和静态CR-LSP/Constraint-based Router Label Switch Path的共享的标签空间
- 1024即以上:LSP,RSVP-TE,MP-BGP等动态信令协议的标签空间
MPLS 结构
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第1张图片](http://img.e-com-net.com/image/info8/40f514a1c5ea4ec2b6278368d4836fa9.jpg)
MPLS帧模式封装
MPLS Header包含(总长度4byte):
- 标签长度20bit
- EXP/Expermental Use:3 bit,用于QoS
- S/Bottom Of Stack:1 bit,用于区分标签嵌套的结束
- TTL: 8bit,防止环路和数据无限转发
MPLS环路检测
- IGP的环路检测机制
- TTL环路检测
- 帧模式的MPLS中使用TTL
- 信源模式的MPLS中不使用TTL
- LDP环路检测机制
- 距离向量法
- 最大跳数法
基本MPLS配置
- 必须有IGP或静态路由
- mpls lsr-id x.x.x.x–配置标签交换路由器的ID,该地址必须在全局路由可达,否则无法发现、建立邻居或邻居不稳定
- mpls–全局开启mpls
- mpls ldp–全局开启mpls的ldp/标签分发协议
- 接口上配置:mpls和mpls ldp
- tracert lsp ip 44.1.1.1 32----用该命令测试LDP的配置
MPLS标签的转发/标签的行为
- PUSH Label:存在于入口的PE;会根据FEC/转发等价类(一般意义上是一个前缀)压入一个标签
- SWAP:存在于P;进行标签的交换
- POP:移除/弹出一层标签
MPLS 对TTL的处理/TTL的繁衍
- 在进入MPLS域内的时候复制IP的TTL,即既有IP的TTL又有MPLS的TTL
- 在MPLS域内只对MPLS 的TTL进行计算
- 出MPLS域的时候,将MPLS的TTL复制到IP的TTL,并删除MPLS的TTL
- 有时候需要关闭MPLS的TTL复制功能,如不希望边缘用户/CE知道PE内的具体信息
- 建议在配置MPLS的时候也配置关闭TTL
- 命令:在mpls视图下配置undo ppl propagate public
LDP
用来在LSR之间建立LDP Session 并交换Label/FEC映射信息的协议
用UDP去发现邻居,TCP去建立邻居,目的端口号都为646
LDP发现机制–hello
- 基本发现机制:发现直接连接在同一链路上的LSR邻居,目的地址224.0.0.2(224网段的组播地址的TTL值都为1)
- 扩展发现机制:发现非直连的LSR邻居,单播形式
LDP Session建立和维护----Initiation+KeepAlive
LDP的邻居状态:
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第2张图片](http://img.e-com-net.com/image/info8/624a32ebb76b42fdb2c53a1ca9147b43.jpg)
基于平台的标签空间:
- 如LDP ID 的11.1.1.1:0中的:0代表基于平台
- 对一个前缀向所有的邻居发送相同的标签
- 两个设备之间有多个运行LDP的链路,但是会话依旧只有一个
- 只有出接口没有入接口
LDP的标签发布方式/Label Advertisement Mode:
- 下游自主方式/DU/Downstream Unsolicited:默认情况下的标签分发方式,对于一个特定的FEC,LSR无需从上游获得标签请求消息即进行标签分配与分发;华为设备默认情况下只针对32位的路由来分发标签(因此在配置接口IP时应该配置成32位的后缀)(思科设备是对所有的静态和igp路由分发标签);下游分配的标签供上游使用的
- 下游按需方式/DoD/Downstream on Demand:需要上游请求,下游设备才会进行标签的分配与分发
LDP的标签分配方式/Label Distribution Control Mode:
- 定义:在LSP的建立过程中,LSR分配标签时采用的处理方式。
- Independent/独立标签分配控制方式:本地LSR可以自主地分配一个标签绑定到某个FEC,并通告上游LSR,而无需等待下游的标签
- Ordered/有序标签分配控制方式:默认的标签分配方式,对于LSR上某个FEC的标签映射,只有当该LSR已经具有此FEC下一跳的标签映射消息、或者该LSR就是此FEC的出节点时,该LSR才可以向上游发送此FEC的标签映射
LDP标签的保持方式/Label Retention Mode:
- 定义:对LSR收到的、但目前暂时不需要的标签映射的处理方式
- Conservative/保守:对于从邻居LSR收到的标签映射,只有当邻居LSR是自己的下一跳才保留
- Liberal/自由标签保持方式:默认的方式;对于从邻居LSR收到的标签映射,无论邻居LSR是不是自己的下一跳都保留,可以更快速地切换
LDP的一些调整:
- local:默认的用mpls lsr-id 的地址来建立邻居
- 用直连接口来作为transport地址:接口视图下配置 mpls ldp transport-address interface
- 建立远端LDP会话:
- mpls ldp remote-peer name
- remote-ip x.x.x.x
- 需要两端对指
PHP/次末跳弹出:
LDP与IGP同步:
- 产生背景:由于LDP的收敛速度依赖于IGP路由的收敛,即LDP的收敛速度比IGP的收敛速度慢,因此可能导致:
- 当主链路发生故障时,IGP路由和LSP均切换到备份链路上。但当主链路从故障中恢复时,由于LDP的收敛速度低于IGP,IGP会先切换回主链路,因此会造成LSP流量损失
- 当主链路IGP正常但主链路的LDP会话发生故障时,由于IGP仍在使用主链路而备份链路不存在IGP,导致LSP链路无法建立,造成LSP流量丢失
- 当某节点发生主备倒置时,LDP会话的建立可能晚于IGP的GR/Graceful Restart结束,从而发布链路的最大开销值,造成路由震荡
- 三个定时器:
- Hold-down timer:用于抑制IGP邻居建立的时长
- Hold-max-cost timer:用于控制通告接口链路的最大cost值的时长
- Delay timer:用于控制等待LSP建立的时间
静态LSP
MPLS VPN
典型的具有两层标签:
- 其中外层标签/公网标签是LDP分发的
- 内层标签/VPN的标签/私网标签是MP-BGP协议(VPNV4)来自动分发的(每个VPNV4分配一条标签,仅出口PE了解内层标签,中间设备不关心内层标签)。
VRF/Virtual Route Forwarding/虚拟路由器转发:相当于把一个路由器划分成多个子虚拟路由器,不同的虚拟子路由器之间相互隔离(VRP,FIB等都隔离)
VPN实例/VPN Instance:即VPN路由转发表/VRF
- 不同的VPN之间的路由表通过VRF实现
- PE上存在多个路由转发表,包括一个公网/全局路由转发表,以及一个或多个VPN路由转发表
- 一个VPN实例/Site可以拥有多个接口,但一个接口只能属于一个VPN实例
MP-BGP:
- 多个PE之间需要全互联或者需要有RR
- 采用不同的地址族来区分不同的网络层协议,以便正确处理VPN-IPv4路由
- IPv4的单播
- IPv4的VPNv4地址族
- IPv4的-instance的地址族
- …
- 在PE设备间更新什么内容:
- 96位的VPNv4
- 对应的内层标签
- 其他属性(metric,ext-community等)
- PE和CE的交互:
- PE必会运行MP-BGP
- 如果客户端是IDG协议则需要双向重分布
- 如果客户端是静态路由,需要手工书写静态路由指向客户站点,然后重发布到BGP的实例中
- 如果客户也是BGP协议,需要在BGP的实例中激活邻居
基本配置–PE端:
- 1.配置SP内的IGP(OSPF,ISIS等),以确定路由可达
- 2.配置LDP(具体命令见上),以为BGP配置更新源,确保外层的LSP是连续的
- 3.ip -instance Name —为每个客户配置实例
- router-distinguisher 100:1 --配置RD
- -target 100:14 export-extcommunity —配置RT的出方向
- -target 100:14 import-extcommunity —配置RT的入方向
- 4.isis 1 -instance Name --配置与CE相关的IGP,此处注意要绑定实例,否则该ISIS为全局协议
- is-level level-2
- cost-style wide
- network-entity 49.2525.0000.0000.0001.00
- import-route bgp —bgp重分布到isis
- 5.int g0/0/1 —用户祥光的接口绑定实例
- ip binding -instance Name —在接口上绑定VPN实例
- ip add 15.1.1.1 24 --配置IP地址,此时的IP地址不是全局范围的单播地址(若在绑定实例之前配置了IP地址,可能会被删除)
- isis enable —需要先绑定实例后再绑定isis,否则会报错
- 6.bgp 100 ----配置mp-bgp
- peer 11.1.1.1 as-number 100
- peer 11.1.1.1 connect-interface loopback0
- ipv4-family unicast
- undo synchronization
- undo peer 11.1.1.1 enable --关闭默认的单播邻居,该设备不需要承载默认的IPv4单播路由
- ipv4-family v4
- policy-target —对收到的VPN路由或者标签进行VPN-Target过滤,是系统的默认命令
- peer 11.1.1.1 enable --配置使能v4邻居
- ipv4-family -instance Name
- network 15.1.1.0 24 --宣告网段
- import-route isis 1 —isis重分布到bgp
- 7.测试
- ping --instance Name 15.1.1.5 ----若要ping测试,需要加“--instance”内容
- tracert lsp ip 44.1.1.1 32----用该命令测试LDP的配置
- display bgp v4 -instance Name routing-table
- display ip routing-table -instance Name
MPLS VPN和OSPF:
- 存在的问题:在MPLS VPN的场景下的OSPF,改变了框架,PE设备成为ABR。MPLS区域被认为是超级区域0,所以得到了区域间的路由/inter-area[会造成问题,如若两个CE之间存在直连的低速备份链路,那么路由就不会走MPLS域而是走直连的备份链路]
- 解决方法:还原MPLS环境下的OSPF的LSA的技术:sham-link
- 在PE设备上运行
- 1.int loop 10 —新建一个虚拟接口
- ip binding -instance Name --绑定实例
- ip address 10.10.10.10 32 --必须是32位的
- 2.bgp 100
- ipv4-family -instance Name
- network 10.10.10.10 32 --宣告loop 10
- 3.ospf 1 —在ospf中建立sham-link.默认的cost为1,不要没事干修改cost否则可能被备份低速链路抢先
- area 0
- shame link 10.10.10.10 destin-ip/40.40.40.40
MPLS VPN和BGP:
- 问题:因为同一个CE/实例若运行的是BGP协议,那么他们的AS号就会配置成相同,在CE1通过MPLS传递给CE2的时候,因为AS_Path的放环机制,会丢弃传递过来的路由
- 解决方法1:PE设备改写AS_Path
- bgp 100
- ipv4-family -instance Name
- peer 15.1.1.5 substitute-as --核心命令,配置CE的AS号为自己的AS号(即若原来是 100 64241该命令后AS会被改为100 100)
- 解决方法2:配置SoO/Set of Origin:不常见
QinQ/dot1Q in dot1Q
描述:类似于MPLS VPN(L3 VPN),该为L2 VPN,也存在两层标签(私网+公网),封装双层VLAN Tag
优点:
- 解决日益紧缺的公网VLAN ID资源问题(原本只有4096个Vlan可供使用,该技术将可使用的Vlan扩展到4096*4096个)
- 用户可以规划自己的私网VLAN ID
- 提供一种较为简单的二层VPN解决方法
- 使用户网络具有较高的独立性
数据转发流程:
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第3张图片](http://img.e-com-net.com/image/info8/a28bf169f85240b29e50bb9197a796cc.jpg)
QinQ的类型:
- 基于端口的QinQ
- 灵活QinQ:相对于基于端口的QinQ,灵活QinQ可以根据如报文的外层Vlan及802.1P来选择加入或不加入S-Vlan tag,并且S-Vlan tag可配置
基本配置:
- 基于端口的QinQ:
- 在PE的与CE相连接的接口视图下配置
- port link-type dot1q-tunnel —开启QinQ
- port default vlan 3 —配置外层tag
DHCP/Dynamic Host Configuration Protocol
使用了UDP的67和68的端口号
三种地址分配方式:
- 自动分配:DHCP给主机指定一个永久的IP地址
- 手动分配:对某几台指定的mac的电脑给他固定的IP地址
- 动态分配:DHCP给主机指定一个有时间限制的IP地址,到时间或主机表明放弃该地址时,这个IP地址可以给其他主机使用
DHCP的报文类型:
- DHCP DISCOVER:客户端发出广播来寻找可用的服务器
- DHCP OFFER:服务器用于相应DHCP DISCOVER报文,并指定相应的配置参数(可以是广播报文也可以是单播报文,根据Discovery报文的Flag字段选择)(IP,网关,租期,DNS等)
- DHCP REQUEST:客户端发送给服务器来请求配置参数或者请求配置确认或续租(有广播报文,因为DHCP服务器可能有多个,用以通知某个服务器同意,其他服务器拒绝)(也有单播报文,在DHCP续87.5%租期的时候发送的Request就是单播报文)
- DHCP ACK:服务器到客户端,含有配置参数包括IP地址(单播报文)
- DHCP DELINE:当客户端发现地址已被使用时,用来通知服务器
- DHCP INFORM:客户端已有IP地址时用它来向服务器请求其他的配置参数
- DHCP NAK:由服务器发送给客户端来表明客户端的地址请求不正确或租赁已过期
- DHCP RELAEASE:客户端要释放地址时用来通知服务器
基本配置—接口:
- 全局视图下配置:dhcp enable --使能DHCP
- 进入vlanif视图:
- ip add 10.1.1.254 24 --配置ip地址,推荐为该网段可用的最大ip地址
- dhcp select interface —配置基于接口的DHCP,还有基于server和relay的
- dhcp server exclude-ip-address 10.1.1.100 10.1.1.152 —配置10.1.1.100~10.1.1.152的地址将不被DHCP分配,该地址可用于重要设备
- dhcp server lease day 1 hour 10 minute 0 —配置租期为1天10小时0分钟
- dhcp server dns-list … ----配置DNS列表
- dhcp server domain-name … ----配置域名
- …
- dhcp server static-bind ip-address 10.1.1.11 mac-address 5489-989c-074d —配置静态绑定,把10.1.1.11的ip地址绑定到mac地址为5489-989c-074d 的主机上[若配置报错的话,可能需要“reset ip pool interface Name all”命令来清空已经分配的ip地址]
基本配置—全局
- 系统视图下:
- dhcp enable --使能dhcp
- ip pool Name
- gatewat-list 10.1.1.254
- network 10.1.1.0 mask 255.255.255.0
- dns-list/domain-name/lease等
- interface Vlanif 10
- ip address 10.1.1.254 255.255.255.0
- dhcp select global —使能DHCP功能,指定DHCP服务器从全局地址池分配
基本配置—中继
- 最重要的是单播路由可达
- 在DHCP服务器上需要配置全局的DHCP配置,并配置单播路由可达
- 中继设备的配置:
- 全局视图下:
- dhcp enable
- [dhcp server group group-name] —配置dhcp组
- [dhcp-server 20.1.1.254 0] —指明DHCP服务器的地址
- interface vlanif 10
- ip add 10.1.1.254 24
- dhcp select relay —配置中继模式
- dhcp relay server-ip 20.1.1.254 ----接口绑定服务器的地址或服务器组
DHCP中继:
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第4张图片](http://img.e-com-net.com/image/info8/81f9de7898eb49608358bdce7edffae9.jpg)
DHCP Snooping
- DHCP snooping是一种DHCP安全特性,通过截获DHCP Client和DHCP Relay之间的DHCP报文进行分析处理,可以过滤不信任的DHCP报文并建立一个DHCP snooping绑定表
- 绑定表包括mac地址,IP地址,租期时间, VLAN ID,接口信息
- DHCP snooping通过对这个绑定表的维护,建立一道在DHCP Client和DHCP Server之间的防火墙
- DHCP snooping可以解决设备应用DHCP 时遭到DHCP Dos攻击,DHCP Server仿冒攻击,DHCP 仿冒租赁报文攻击等问题
- 关键技术:
- 信任/非信任端口:一般通向DHCP服务器(运营商网络内部)的端口设置为信任,其他端口(连接运营商网络外部的端口)都设置为不信任
- 绑定表:建立mac+ip+VLAN+port的绑定关系
- Option82选项:DHCP协议报文的选项部分的一项,用于记录报文如端口类型,端口号,VLAN信息及其桥mac信息,是生成绑定表的重要部分
- 基本配置:
- 一般都在交换机上配置,因为DHCP服务器一般都是连接交换机的
- dhcp enable —全局使能dhcp
- dhcp snooping enable —全局使能dhcp snooping
- dhcp snooping enable vlan 10 —对vlan 10 使能dhcp snooping
- int e0/0/3
- dhcp snooping trusted ----将接口设置为信任接口,一旦在vlan开启dhcp snooping后,该vlan的所有接口都是非信任接口,如果该接口接受到了dhcp的offer报文就会被过滤掉
端口镜像
用途:
- 相当于复制数据包到另外一个端口,以便于镜像端口的设备进行监视等操作
- 用来方便管理员维护查看网络流量
- 用来配合IDS/Intrusion Detection System/入侵检测系统、堡垒机等安全设备使用
配置:
- 全局视图下:
- observe-port 1 interface g0/0/2 —将g0/0/2口设置为观察组1的成员
- int g0/0/1
- port-mirroring to observe-port 1 both/inbound/outbound ----配置该接口的端口镜像到观察组1(both表示进入和出去的流量都进行观察,inbound和outbound之设定了一个方向)
eSight
软件特点:
- 轻量级系统,向导式安装;免客户端,通过浏览器随时地管理网络
- 面向不同客户提供相应的解决方案
- 多厂商统一管理,采用被广泛使用的标准网络协议SNMP
- 版本:精简版、标准版–主流应用、专业版
eSight可管理的设备:
- 预适配华为H3C、CISCO、中兴等厂商的网络设备,以及IBM、HP、SUN等厂商的IT设备
- 对于支持标准MIB的第三方设备,通过自定义设置就能达到与预置的第三方设备相同的管理能力
- 对于不支持标准MIB的第三方设备,可通过打网元补丁的方式进行适配
SNMP/Simple Network Management Protocol/简单网络管理协议:
-
使用UDP的161端口
-
SNMP网络架构由三部分组成:NMS、Agent和MIB
- NMS/Network Management System/网络管理系统:是SNMP网络的管理者,能够提供友好的人机交互界面,方便网络管理员完成大多数的网络管理工作
- Agent:是SNMP网络的被管理者,负责接收、处理来自NMS的SNMP报文。在某些情况下,如接口状态发生改变时,Agent也会主动向NMS发送告警信息
-
MIB/Management Information Base/管理信息库:是被管理对象的集合。NMS管理设备的时候,通常会关注设备的一些参数,比如接口状态、CPU利用率等,这些参数就是被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。被管理设备都有自己的MIB文件,在NMS上编译这些MIB文件,就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理
-
SNMP版本:设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。只有NMS和Agent使用的SNMP版本相同时,NMS才能和Agent建立连接
- SNMPv1采用团体名(Community Name)认证机制。团体名类似于密码,用来限制NMS和Agent之间的通信。如果NMS配置的团体名和被管理设备上配置的团体名不同,则NMS和Agent不能建立SNMP连接,从而导致NMS无法访问Agent,Agent发送的告警信息也会被NMS丢弃
- SNMPv2c也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展:提供了更多的操作类型;支持更多的数据类型;提供了更丰富的错误代码,能够更细致地区分错误 —多数使用
- SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制。网络管理员可以配置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性
-
SNMP的四种基本操作:
- Get操作:NMS使用该操作查询Agent MIB中节点的值
- Set操作:NMS使用该操作配置Agent MIB中节点的值
- 告警操作:SNMP告警包括Trap和Inform两种
- Trap操作:Agent使用该操作向NMS发送Trap报文。Agent不要求NMS发送回应报文,NMS也不会对Trap报文进行回应。SNMPv1、SNMPv2c和SNMPv3均支持Trap操作
- Inform操作:Agent使用该操作向NMS发送Inform报文。Agent要求NMS发送回应报文,因此,Inform报文比Trap报文更可靠,但消耗的系统资源更多。如果Agent在一定时间内没有收到NMS的回应报文,则会启动重发机制。只有SNMPv2c和SNMPv3支持Inform操作
-
SNMP的配置流程
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第5张图片](http://img.e-com-net.com/image/info8/c710f6ba354645b09d8d0680f3a0105e.jpg)
-
SNMP的基本配置:
- snmp-agent --开启snmp
- snmp-agent sys-info version v2c --配置SNMP版本号
- snmp-agent community read password1 [mib-view iso-view] —配置读权限的密码为password1[并且只能读取iso-view指定的内容]
- snmp-agent community write password2 —配置写权限的密码为password2
- [snmp-agent mib-view iso-view include iso] --配置iso-view视图所能访问的内容
- snmp-agent target-host trap-paramsname trapms v1 securityname admin —配置发送的Trap报文的参数信息列表[列表名trapms,列表参数:版本是v1,发送的主机名是admin]
- snmp-agent traget-host trap-hostname nms address 192.168.80.2 trap-paramsname trapms --配置Trap报文的发送对象,发送的信息使用列表trapms
- snmp-agent trap enable --使能trap
eSight的部署模式:
- 单服务器模式:B/S模式,支持多个浏览器同时接入
- 分级部署模式:在该模式下,上级网管可以把下级网管加入到系统中并提供打开下级网管的链接。当用户点击下级网管连接时,将会弹出一个新的浏览器窗口,在新的浏览器窗口将会打开下级网管的主页
eSight添加设备的方式:
- 添加单台设备
- 自动发现
- 批量添加:通过导入提供的excle表格来实现批量添加
Agil Controller
传统网络面临哪些挑战:
-
移动化加剧,要求一致的业务体验
-
人工维护效率低,要求策略能灵活调整
-
接入方式丰富,传统单点防御失效
Agil Controller产品的架构:
- 服务器侧:业务管理器/SM(准入控制,用户管理,业务随行),业务控制器/SC(与网络接入设备进行联动来进行策略的下发等),管理中心/MC(管理SM和SC,安全接入管理,终端管理,补丁管理,license管理)
- 网络接入设备:防火墙,AR,交换机,AP
- 用户侧:客户端,Web Portal,系统自带的802.1X的客户端
Agil Controller的功能实现:
- 准入控制:通过认证控制用户的接入
- 访客管理:对访客的账号的申请、权限的分发等
- 业务随行:在移动化办公时为接入用户提供一致化的策略、体验
- 业务编排:对数据流进行区分、管控
- 安全协防:通过关联分析网络中的日志,识别潜在的安全问题,并将发现的网络安全问题直观的展现给网络管理员
- 终端安全:要求用户终端符合企业的安全规则(软件版本、补丁等)
Agil Controller-准入控制
- mac认证:主要用于IP电话、打印机等没有认证界面的哑终端设备
- 802.1X认证:可与华为全系列交换机、路由器及WLAN设备以及第三方标准802.1X交换机联动
- Protal认证/Web认证:用户可以通过Web认证界面来实行认证,可与华为全系列交换机、路由器以及WLAN设备联动
- SACG/Security Access Control Gatewa 认证:采用USG防火墙旁挂在路由器或交换机上,通过策略路由控制终端访问
Agil Controller-业务随行
- 安全组:用户安全组(定义能够访问网络资源的用户),资源安全组(定义哪些资源能够被访问,如vlan,ip网段等)
- 策略矩阵:即用户安全组到资源安全组的映射
- 用户优先级:区分普通用户,vip用户等
- IP-Group查询:方便管理员查询
- 5W1H授权
Agil Controller-业务编排
- 编排设备:负责业务流量的识别和分流重定向
- 业务设备:负责将引导过来的流量进行业务处理
- GRE隧道故障处理:
- 出方向故障即交换机\编排设备转发给业务设备时故障:
- 直接丢弃数据
- 交换机直接转发,不转发给业务设备进行处理
- 进入交换机方向的GRE隧道故障:当发现从业务设备到编排设备的链路故障时,编排设备会自动断开与该业务设备的链路连接,并对原本要流经该业务设备的流量进行直接转发或丢弃处理
Agil Controller-终端安全
基本配置:
-
交换机上的配置:
-
Agil Controller配置:
- 登陆
- 增加交换机组
- 在不同的交换机组中添加设备
- 配置隔离域(如防病毒服务器,补丁服务器等)(策略>准入控制>认证授权>授权结果中>增加)
- 配置认证后域(如各个部分的服务器等)(策略>准入控制>认证授权>授权结果中>增加)
- 配置认证规则:策略>准入控制>认证授权>认证规则>增加
- 配置授权规则:如安全检查不通过后分配到隔离域;安全检查通过后分配到认证后域(策略>准入控制>认证授权>授权规则中>增加)
- 配置mac地址旁路认证、授权、计费等:为哑终端进行认证配置(资源>终端>终端列表)
- 基本配置完成,可使用客户端的登陆软件/AnyOffice来验证检查
QoS技术
传统的IP网络无区别地对待所有数据包,采用的策略是FIFO/先进先出,对报文的延迟、抖动、丢包率和可靠性需求不提供任何承诺和保障。
要提高通信质量,就是要提高带宽、减少时延和抖动、降低丢包率
度量指标
-
带宽
-
时延
-
时延是指一个报文或分组从网络的发送端到接收端所需要的延迟时间,一般由传输延迟及处理延迟组成。
-
单个网络设备的时延包括传输时延、串行化时延、处理时延、以及队列时延
-
以语音传输为例,时延是指从说话者开始说话到对方听到所说内容的时间。一般人们察觉不到小于100毫秒的延迟。当延迟在100毫秒和300毫秒之间时,说话者可以察觉到对方回复的轻微停顿,这种停顿可能会使通话双方都感觉到不舒服。超过300毫秒,延迟就会很明显,用户开始互相等待对方的回复。当通话的一方不能及时接收到期望的回复时,说话者可能会重复所说的话,这样会与远端延迟的回复碰撞,导致重复。
-
抖动
-
网络拥塞会导致通过同一连接传输的分组延迟各不相同。抖动用来描述延迟变化的程度,也就是最大延迟与最小延迟的时间差。
-
抖动对于实时性的传输是一个重要参数。例如,语音和视像等实时业务极不容忍抖动,因为抖动会造成语音或视像的断续。
-
抖动也会影响一些网络协议的处理。有些协议是按固定的时间间隔发送交互性报文,抖动过大会导致协议震荡。
-
所有传输系统都有抖动,只要抖动在规定容差之内就不会影响服务质量。利用缓存可以克服过量的抖动,但这将增加时延。
-
丢包率
-
丢包率是指在网络传输过程中丢失报文的数量占传输报文总数的百分比。少量的丢包对业务的影响并不大,例如,在语音传输中,丢失一个比特或一个分组的信息,通话双方往往注意不到。在视频的传输中,丢失一个比特或一个分组可能造成在屏幕上瞬间的波形干扰,但能很快恢复正常。
-
使用TCP传送数据可以处理少量的丢包,因为TCP允许丢失的信息重发,但大量的丢包会影响传输效率。在QoS中,我们关注的是丢包的统计数据,也就是丢包率。所以正常传输时,将网络丢包率控制在一定范围内即可。
服务模型
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第6张图片](http://img.e-com-net.com/image/info8/5012d8b6792048cda5e6f6f5a03b70ef.jpg)
基于DiffServ模型的QoS业务
业务分类
交换机、路由器、防火墙、WLAN等产品均支持配置基于DiffServ服务模型的QoS业务。基于DiffServ模型的QoS业务主要分为以下几大类:
-
报文分类和标记
要实现差分服务,需要首先将数据包分为不同的类别或者设置为不同的优先级。报文分类即把数据包分为不同的类别,可以通过MQC配置中的流分类实现;报文标记即为数据包设置不同的优先级,可以通过优先级映射和重标记优先级实现。
-
流量监管、流量整形和接口限速
流量监管和流量整形可以将业务流量限制在特定的带宽内,当业务流量超过额定带宽时,超过的流量将被丢弃或缓存。其中,将超过的流量丢弃的技术称为流量监管,将超过的流量缓存的技术称为流量整形。接口限速分为基于接口的流量监管和基于接口的流量整形。
-
拥塞管理和拥塞避免
拥塞管理在网络发生拥塞时,将报文放入队列中缓存,并采取某种调度算法安排报文的转发次序。而拥塞避免可以监督网络资源的使用情况,当发现拥塞有加剧的趋势时采取主动丢弃报文的策略,通过调整流量来解除网络的过载。
其中,报文分类和标记是实现差分服务的前提和基础;流量监管、流量整形、接口限速、拥塞管理和拥塞避免从不同方面对网络流量及其分配的资源实施控制,是提供差分服务的具体体现。
报文分类和标记
-
在MPLS中根据数据包的EXP字段来标识QoS服务等级
-
在VLAN Tag中,根据PRI字段来标识QoS服务等级
-
在IPv4报文中,根据ToS字段的IP-Precedence内容标识QoS优先级
-
IPv6报文中,根据TC/Traffic Class字段来标识QoS优先级
简单流分类:使用上述的MPLS,Vlan Tag,IPv4,IPv6的优先级字段进行分类。但是针对某些特殊需求,简单流分类则无法实现
复杂流分类:![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第9张图片](http://img.e-com-net.com/image/info8/3c6bb9419bcf4a989884bd1e6ebb2382.jpg)
基本配置:
- traffic classifier xxx1 —创建一个分类xxx1
- if-match acl.source-mac/… —定义匹配条件
- traffic behavior xxx2 —创建一个动作xxx2
- traffic policy xxx3 —创建一个策略xxx3
- classifier xxx1 behavior xxx2 —绑定分类xxx1和行为xxx2
- int g0/0/1
- traffic-policy xxx3 inbound --绑定策略
流量监管、流量整形和接口限速
流量监管:将超过的流量丢弃
- 优点:可实现对不同报文的限速即重标记
- 缺点:较高的丢包率;链路空闲时带宽得不到充分利用
流量整形:将超过的流量缓存
- 优点:可实现对不同报文分别进行限速;缓冲机制可减少带宽浪费,减少流量重传
- 缺点:可能增加延迟,需要较多的设备缓冲资源
拥塞管理和拥塞避免
拥塞发生的主要场景:
- 速率不匹配
- 汇聚问题
- 增加了报文传输的时延和抖动
- 过高的延迟会引起报文重传
- 使网络的有效吞吐量降低,造成网络资源的损害
- 加剧耗费大量的网络资源(特别是存储资源),不合理的资源分配甚至可能导致系统陷入资源死锁而崩溃
拥塞的管理:
- 有些数据包本身携带优先级,根据其携带的优先级分类不同的队列
- 选择队列的调度算法。队列的调度机制:FIFO、PQ、WRR、WFQ、CBQ等
- FIFO/先进先出:默认的方式
- 优点:实现机制简单且处理速度快
- 缺点:不能有差别地对待优先级不同的报文
- PQ/Priority Queuing/优先级队列
- 优点:对高优先级的报文提供了优先转发
- 缺点:低优先级报文可能出现“饿死”情况
- WRR/Weighted Round Robin/加权循环调度:根据权重发送,一轮发送一个数据包,一轮权重减1,权重为0则不能发送数据包。当所有队列的权重都为0时重置初始的权重
- 优点:避免了PQ的“饿死”现象
- 缺点:基于报文个数来调度,容易出现包长尺寸不同的报文出现不平等调度;低延迟业务得不到及时调整
- WFQ/Weighted Fair Queuing/加权公平队列:
- 优点:可完全按照权重分配带框;自动分类,配置简单
- 缺点:低时延业务得不到及时调度;无法实现用户自定义分类规则
- CBQ/Class-Based Queuing:WFQ队列的扩展,分为EF,AF和BF队列
- WFQ对报文按流进行分类(相同源IP地址,目的IP地址,源端口号,目的端口号,协议号,Precedence的报文属于同一个流),每一个流被分配到一个队列,该过程称为散列。WFQ入队过程采用HASH算法来自动完成,尽量将不同的流分入不同的队列。在出队的时候,WFQ按流的优先级(precedence)来分配每个流应占有出口的带宽。优先级的数值越小,所得的带宽越少。优先级的数值越大,所得的带宽越多。这样就保证了相同优先级业务之间的公平,体现了不同优先级业务之间的权值。
- 优点:提供了自定义类的支持;可为不同的业务定义不同的调度策略
- 缺点:由于涉及到复杂的流分类,故启用CBQ会消耗一定的系统资源
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第10张图片](http://img.e-com-net.com/image/info8/6c6012683708405e958fd9bab9d0f0f3.jpg)
拥塞避免:
- 尾丢弃:传统的方式,丢弃后面的超出的内容
-
缺点1:会引发TCP全局同步
-
解决办法:RED/早期随机检测/Random Early Detection:在队列未装满时先随机丢弃一部分报文,通过预先降低一部分TCP连接的传输速率来尽可能延缓TCP全局同步的到来
-
缺点2:引起TCP饿死现象
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第12张图片](http://img.e-com-net.com/image/info8/1a58910395e04e77966612dfe009f760.jpg)
-
缺点3:无差别丢包----不区分普通业务和关键业务
-
解决办法:WRED/Weighed Random Early Detection/带权早期检测:能解决上述的尾丢弃的三个缺点,且大大提高了链路带宽利用率
VRRP/Virtual Router Redundancy Protocol/虚拟路由冗余协议
路由器、三层交换机、防火墙等都可以配置该协议
VRRPv2基于IPv4,VRRPv3基于IPv6
IP协议号112,组播地址224.0.0.18
若怀疑存在虚拟网关,可在cmd下使用tracert命令验证
备份组
- 将局域网内的一组物理网关设备划分在一起,称为一个备份组
- 将多个物理网关加入到备份组中,形成一个虚拟网关,承担物理网关功能
- 只要备份组中有一个物理网关正常工作,虚拟网关就仍然正常工作
- 由一个主(Master)和多个备份(Backup)组成,功能上相当于一个虚拟网关
- 虚拟网关具有一个虚拟IP地址,作为终端的网关IP地址
- Master:负责应答虚拟IP地址的ARP请求,转发发往虚拟网关的数据包
- Backup:负责Master故障后,接替Master的工作
- 优先级:0~255,默认是100,越大越优先
- 个人能配置的优先级:0~254
- 优先级255:保留给IP地址拥有者使用(当本地的ip地址与vrrp配置的虚拟ip地址一样时,忽略之前配置的优先级,直接从Initiate状态到Master状态,优先级被置为255,直接成为Master)
- 优先级0:用于触发Backup立即成为Master(如Master主动退出时)
- 如果优先级一样则IP地址越大越优先
- 抢占机制默认开启(只针对优先级的抢占,若优先级相同但是IP地址不同且此时已经选举好了Master和Backup则不能抢占)
- 虚拟mac地址规则:00-00-5e(代表权威机构IANA)+00-01(代表是VRRP)+备份组的组编号的16进制数
定时器
- 通告间隔定时器:
- Master默认1s发送一次VRRP通告报文,通告自己工作正常
- 如果Backup等待了3个时间间隔后。仍然没有收到通告报文(或受到了优先级为0的报文–master主动退出),则认为自己是Master,并对外发送VRRP通告报文,重新进行Master的选举
- 抢占延迟定时器:
- 默认0s
- 为了避免地主备转换,让Backup有足够的时间收集必要的信息(如路由信息),Backup接收到优先级较低的VRRP报文后,不会立即抢占成为Master,而是等待一定时间后,才会对外发送VRRP通告报文取代原来的Master
状态机制
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第14张图片](http://img.e-com-net.com/image/info8/1d643c45728046f38457f89c31310c05.jpg)
VRRP应用
工作流程
- 备份组的所有路由器默认先置为Backup,一定时间后若没有接收到优先级等参数优于自己的报文则变为Master,否则仍然保持Backup状态
- 由Master设备生成虚拟mac
VRRP跟踪
作用:当Master上行链路故障时,自动修改优先级,重新选举Master
基本配置
- 在vlanif下:
- vrrp vrid 1 virtual-ip 1.0.0.254 —配置生成备份组1并设置虚拟ip地址为1.0.0.254
- vrrp vrid 1 priority 200 —配置优先级为200
- vrrp vrid 1 preempt-mode disable —关闭抢占模式
- vrrp vrid 1 preempt-mode timer delay 3 ----配置抢占延迟,默认为0s
- vrrp vrid 1 advertise 1 ----配置通告延迟
- vrrp vrid 1 authentication-mode simple/md5 wakin ----配置认证
- vrrp vrid 1 track interface vlanif 2 [reduced/increased number ] ----跟踪接口vlanif10,若不配置则当该接口故障时优先级减10,若配置了则按照reduced/increased的来
- display vrrp brief
- display vrrp interface vlanif 1
▲注意STP协议的影响,因此VRRP的Master应该和STP/RSTP/MSTP的根桥应该保持一致,否则可能引起次优路径
▲注意对DHCP的影响,不能配置为接口模式因为可能造成得到的网关不是虚拟的ip地址,因配置成全局模式
▲DHCP还需要注意:因为设置了多个DHCP服务器,默认情况下多个服务器分配的IP地址范围是一样的,若一个交换机故障(如sw1之前已经分发出了如1.0.0.250地址),另一个交换机可能还会分发故障交换机分发出的ip地址(如sw2之前没有分配1.0.0.250地址,因此会分配给新的请求主机),会造成ip地址冲突。------------------->因此配置DHCP服务器时,最好确保各个服务器分配的ip地址范围不冲突
BFD/Bidirectional Forwarding Detection/双向转发检测
目的:为了减小设备故障对业务的影响、提高网路的可用性,设备要能够尽快检测到与相邻设备的通信故障,以便能够及时采取措施,从而保证业务继续进行
现有的故障检测方法:
- 硬件检测:例如通过SDH/Synchronous Digital Hierarchy/同步数字体系告警检测链路故障。硬件检测的优点是可以很快发现故障,但并不是所有介质都能提供硬件检测。
- 慢Hello机制:通常采用路由协议中的Hello报文机制。这种机制检测到故障所需时间为秒级。对于高速数据传输,例如吉比特速率级,超过1秒的检测时间将导致大量数据丢失;对于时延敏感的业务,例如语音业务,超过1秒的延迟也是不能接受的。并且,这种机制依赖于路由协议。
- 其他检测机制:不同的协议有时会提供专用的检测机制,但在系统间互联互通时,这样的专用检测机制通常难以部署。
BFD特点
- 解决了上述检测机制的不足
- 通用、标准化、介质无关、协议无关、为上层协议服务
- 全网统一的检测机制,用于快速检测,监控网路中链路或路由的转发联通状况
- 保证邻居间能够快速检测到通信故障,从而快速建立起备用的通道恢复通信
工作机制
- 本身没有发现机制,靠上层协议通知
- 建立BFD会话,周期性地发送BFD控制报文进行检测
- 检测到故障后,再通知上层协议
状态机制
- Down:会话处于Down状态或刚刚建立
- Init:已经能够与对端系统通信,本端希望使会话进入Up状态。收到对端的Down状态的报文时从Down到Init
- Up:会话已经建立成功。收到对端的Init状态的报文时,从Init到Up
- AdminDown:会话处于管理性Down状态
BFD会话工作方式
- 控制报文方式:链路两端会话通过控制报文交互检测链路状态
- Echo报文方式:链路某一端通过发送Echo报文由另一端转发回来,实现对链路的双向检测(适用于某一端不能配置BFD的场景)
BFD报文格式
- 采用组播地址224.0.0.184
- 控制报文:
- 单跳检测(绑定的是接口,即直连的)用UDP的3784端口
- 多跳检测(绑定的是IP,可以是非直连的)用UDP的4784端口
- Echo报文:用UDP的3785端口(用于某段不能配置BFD的场景)
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第15张图片](http://img.e-com-net.com/image/info8/f9ce5f022ea54f9093aa5e9c05ef7347.jpg)
BFD运行模式
会话建立前模式:
- 主动模式:主动发送BFD报文,不管是否收到对端发来的BFD控制报文,默认为该模式
- 被动模式:不主动发送BFD报文,只有接受到对端发来的BFD报文才会发送
- 至少需要有一个主动模式的设备才能正常建立会话
会话建立后模式:
- 异步模式:周期性地发送BFD控制报文,如果在检测时间内没有收到BFD控制报文则将会话Down,默认的模式
- 查询模式:一旦BFD回话建立,不再周期性地发送BFD报文,而是通过其他机制检测连通性,减少大量BFD会话带来的开销
BFD应用场景
- 检测IP链路
- BFD单臂回声功能
- 与接口状态联动
- 与静态路由联动:静态路由本身没有任何检测机制,需要管理员手动发现,BFD很好地解决了该问题
- 与RIP联动
- 与OSPF联动
- 与ISIS联动
- 与BGP联动
- 与MPLS联动
- 与IPv6联动
- 与Smart Link联动
- 与VRRP联动
基本配置
- bfd ----全局开启BFD
- bfd 1 bind peer-ip default-ip int g0/0/0 || bfd 1 bind peer-ip 12.0.0.2 [int vlanif 1] —绑定对端,若按照接口绑定则是单跳使用组播地址224.0.0.184,后者使用的是多跳,目的地址是单播
- discriminator local 10 —配置本地标识符 ,需要与对端的远端标识符对应,不能与remote一致
- discriminator remote 20 ----配置远端标识符号,需要与对端的本地标识符对应,不能与local一致
- 以下的可以选择性配置:
- min-tx-interval 100 —配置最小发送间隔,默认为1000ms
- min-rx-interval 100 —配置最小接受间隔,默认为1000ms
- detect-multiplier 3 ----配置本地检测倍数,默认为3
- commit —提交命令,否则之前的配置不生效
- display bfd session all [verbose]
- [BFDsession视图下]process-interface-status ----配置与接口关联
- vrrp vrid 1 track bfd-session 10/local-discriminator-number reduced/increased x —配置bfd与vrrp联动,一般推荐在Backup配置增优先级
- ip route-static x.x.x.x x.x.x.x track bfd-session 1 --配置与静态路由关联
- [OSPF视图下]bfd all-interface enable —与OSPF联动
- peer x.x.x.x bfd enable —与BFD联动
最终检测间隔公式:对端检测倍数*max{最小本地接受间隔,对端发送间隔}
防火墙基础概念
发展历史
默认的安全区域
- Trust:一般连接内网
- Untrust:一般连接外网
- DMZ/Demilitarized Zone/非军事区域/隔离区:一般连接服务器
- Loacl:代表防火墙本身
- 默认安全级别:Loacl(100)>Trust(85)>DMZ(50)>Untrust(5)
- 安全级别用于定义数据的流向:高优先级到低优先级为Outbound,繁殖为Inbound。对应安全策略的配置
- 默认策略:任何区域之间都不能互访(华为默认,其他厂家可能是高优先级能访问低优先级),需要配置安全策略
安全区域是逻辑上的概念,实际上是将接口分配至不同的安全区域
安全策略
-
包过滤技术:所有的报文都根据ACL匹配是否通过,较消耗内存和CPU
-
基于状态检测技术:开始的第一个报文根据ACL匹配是否通过,若ACL匹配通过后建立一个基于五元组的会话(协议号,源和目的的IP和Port),之后的报文则不检查ACL,而是匹配会话表(若是其他五元组的报文,则重新ACL匹配)
- 会话表有老化时间:华为设备的老化时间也和协议有关
- 多个会话项的集合会话表
-
NGFW/Next generation firewall和传统UTM/Unified Threat Management安全监测的比较:(串行检测和并行检测)
-![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第16张图片](http://img.e-com-net.com/image/info8/9f95c55923c94decb28aa0044e13071b.jpg)
-
NGFW安全策略构成:
-
针对多通道协议(如FTP有20和21端口,若全部端口都配置安全策略可能不能保障安全性),会产生Server-map表(该功能称为ASPF,需要手动配置打开)(可理解为动态产生的安全策略)来协助
- e.g. firewall interzone trust dmz
- display firewall server-map
- display firewall session table
VPN/Virtual Private Network/虚拟专用网
产生背景
- 在Internet传输中,绝大部分数据的内容都是明文传输的,存在很多安全隐患(如窃听、篡改、冒充)
- 总部、分公司、办事处、出差人员、合作单位需要访问总部网络资源的问题
核心技术
-
VPN=隧道+安全
-
隧道技术:隧道两端封装、解封装,用以建立数据通道
-
安全技术:
- 密钥管理技术:在不安全的网络中安全地传递密钥
- 身份认证:保证接入VPN的操作人员的合法性,有效性
- 加解密技术:保证数据在网络中传输时不被非法获取
- 数据认证:保证数据在网络传输过程中不被非法篡改
VPN优点
VPN分类-根据建设单位划分
- 租用运营商专线搭建VPN网络:MPLS VPN
- 用户自建企业VPN网络:GRE,PPTP,L2TP,IPSec,SSL VPN
VPN分类-根据组网方式划分
- Remote-Access VPN/远程访问VPN:适合出差员工、移动办公等VPN拨号接入的场景,员工可在任何能够接入公网的地方,通过远程拨号接入企业内网,从而访问内网资源。通常拨号方的IP地址不固定
- Site-to-Site VPN/站点到站点VPN:适合各分支机构、合作伙伴、客户、供应商间的互联,双方都有固定的IP地址
VPN分类-根据实现层、协议划分
- L7VPN/应用层:SSL\SSTP
- L3VPN/网络层:GRE,IPSec
- L2VPN/数据链路层:
- PPTP/Point-to-Point Tunnal Protocol–微软早期开发
- L2F/Layer 2 Forwarding Protocol—思科开发,是PPTP的一种改善升级版
- L2TP–PPTP和L2F的结合版
各类VPN比较
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第18张图片](http://img.e-com-net.com/image/info8/4e045afba4164016b493a20343f2d993.jpg)
L2TP端口号:UDP的1701
PPTP端口号:TCP的1723
GRE(VPN)/Generic Routing Encapsulation/通用路由封装协议
提供了将一种协议的报文封装在另一种协议报文中的机制;是一种隧道封装技术。GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全
概述
- L3VPN技术
- Site-to-Site VPN
- IPv4协议号47
- 在任意一种网络协议上传送任意一种其他网络协议的封装方法
- 解决了跨越异种网络的报文传输问题,异种报文传输的通道称为Tunnel/隧道
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第19张图片](http://img.e-com-net.com/image/info8/cd16155491ae4e01873d65723a04cb0d.jpg)
优缺点
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第20张图片](http://img.e-com-net.com/image/info8/4579882d13d94718941223ecc50fd46a.jpg)
基本配置
- intface tunnel 0/0/1 —创建隧道
- tunnel-protocol gre --设置协议为GRE
- source 12.0.0.1 --配置源地址
- destination 23.0.0.3 —配置目标地址
- ip add 192.168.13.1 —配置隧道的IP地址[隧道可以认定为直连,两端配置的IP地址可以不是同一网段—但配置路由时需要指定intface t0/0/1为下一跳或配置额外的路由]
- ip route-static 0.0.0.0 0.0.0.0 t0/0/1 || 192.168.13.1 —配置路由,主要制定的是隧道口或是隧道的IP地址(不能是公网的IP地址),用以告知路由器该路由要进行封装
- keepalive period 5 retry -times 3 —开启KeepAlive检测避免数据黑洞,5s发送一次最多重传3次(一端开启即可,两端都开启也ok)
注意事项
1.动态路由协议误宣告公网接口
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第21张图片](http://img.e-com-net.com/image/info8/1aae523b35364eae8a770302abe456e1.jpg)
----否则可能造成无限制封装GRE的场景,OSPF的表现为邻居关系down有full,full又down
2.虚假状态
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第22张图片](http://img.e-com-net.com/image/info8/27ddb3853c8e4849a759f94559ec1256.jpg)
----虚假状态:当Tunnel一端因故障或其他原因Shutdown时,另一端检测不到故障仍然处于Up状态(只要有到Tunnel目标地址的路由即为Up状态)(Tunnel被认为是虚拟的点到点,前述状态不合理),此即为虚假状态
----解决办法:开启KeepAlive功能
PKI/Public Key Infrastructure/公钥基础架构
概述
- 通过公钥技术与数字证书技术确保信息安全的体系
- PKI体系能够实现的功能
- 机密性/confidentiality
- 完整性/integrity
- 身份验证
- 不可否认性
机密性技术
完整性技术
Hash:
-
给予任意大小的数据,得出一个固定长度的值,类似指纹、DNA
-
不可逆(不能反推)、雪崩效应(文件的一个小改动,得出的Hash值就会出现很大的变化)
-
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第25张图片](http://img.e-com-net.com/image/info8/1b475cf39a9f48fe88ffa4e0d943733b.jpg)
----MD5和SHA1目前已经能被破解(王小云破解),不推荐使用
身份验证和不可否认性技术
数字签名:对数据进行Hash算法后,对Hash算法的结果用私钥加密
数字证书:
- 用于保证密钥的合法性
- 证书的主体可以是用户、计算机、服务等
- 证书遵循X.509标准
- 数字证书包含:
- 使用者的公钥值
- 使用者标识信息(如名称和电子邮件地址)
- 证书的有效期
- 颁发者标识信息
- 颁发者的数字签名
- 数字证书由第三方权威机构即CA/Certificate Authority/证书颁发机构签发
CA/Certificate Authority/证书颁发机构:
- 核心功能是颁发和管理数字证书
- 作用:
- 处理证书申请
- 发放证书
- 更新证书
- 接受最终用户数字证书的查询、撤销
- 产生和发布证书吊销列表(CRL)
- 数字证书归档
- 类比:证书~身份证; CA~公安局
RA/Registration Authority /注册审批机构:
-
RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。
-
RA系统直接面向用户,负责用户身份申请审核,并向CA申请为用户转发证书;一般设置在商业银行的总行、证券公司、保险公司总部及其它应用证书的机构总部,受理点(LRA)设置在商业银行的分/支行、证券、保险营业部及其它应用证书机构的分支机构,RA系统可方便集成到其业务应用系统。
IPSec VPN/Internet Protocol Security VPN
概述
- 源于IPv6
- 建立在网络层的安全保障机制
- 引入多种加密算法‘验证算法和密钥管理机制
- 缺点:配置复杂、消耗运算资源多、增加延迟、不支持组播等
- IPSec VPN是利用IPSec隧道建立的VPN技术
- 不是一个单独的协议,它通过AH(不支持加密算法,所以一般不使用)和ESP这两个安全协议来实现IP数据报的安全传送
- DES和3DES加密算法存在安全隐患,建议优先使用AES,SM1或SM4算法
- MD5和SHA-1算法存在安全隐患,建议优先使用SHA-2或SM3算法
- IKE协议提供密钥协商,建立和维护安全联盟SA等服务
核心功能
- 机密性
- 完整性
- 真实性:验证数据源,以保证数据来自真实的发送者
- 防重放:防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包
封装模式–针对IPSec SA
AH/Authentication Header/报文头验证协议
- 主要提供完整性、真实性、防重放功能,并不对数据进行加密
- IP协议号=51
ESP/Encapsulating Security Payload/封装安全载荷协议
- 除了AH提供的功能外(其完整性校验不包括IP头部)还提供机密性/数据加密功能
- IP协议号=50
SA,IKE,SPI
- IKE/Internet Key Exchange/因特网密钥交换:用于动态协商,SA协商的方法和标准
- SA/Security Associates/安全联盟/安全联盟:协商的结果,类似于合约书
- 是单向的,两个对等体之间的双向通讯,至少需要两个SA
- 建立方法:
- 手工配置:所有参数都需要手工配置也需要手动刷新,不适用于中大型网络(密钥管理成本高);一旦建立永久存在(不安全)
- IKE自动协商:建立SA所需要的加密、验证密钥是通过DH(一个专门用于密钥交换的非对称加密算法)生成的,可以动态刷新,因而密钥管理成本低,且安全性较高;生存周期可以配置;适用于大中型网络
- 如果使用该模式就会有两个SA:IKE SA(用于密钥协商的,确保传输通道安全)+IPSec SA(用于数据封装的,确保数据安全)
- 阶段1:建立一个IKE SA为阶段2协商提供保护,分为主模式/Main Mode和野蛮模式/Aggressive Mode
- [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pcEUEFps-1600923801413)(27.png)]
- 阶段2:在阶段1建立的IKE SA的保护下完成IPSec SA的协商,只有快速模式/Quick Mode
- [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ywUjfqeo-1600923801415)(28.png)]
- 参数:
- 本地地址:需要与对端的远端地址对应
- 远端地址:需要与对端的本地地址对应
- SPI inbound:若是IKE自动协商则可以不配置
- SPI outbound:若是IKE自动协商则可以不配置
- Key
- Transform/Proposal/提议:内含加密参数,验证参数等
- SPI/Security Parameter Index/安全参数索引:SA内包含,用于区分多个SA
基本配置—手动/Manual
配置步骤:
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第29张图片](http://img.e-com-net.com/image/info8/13c3e757be624763b346a4662fce5671.jpg)
-
ipsec proposal shanghai —配置安全提议
- encapsulation-mode tunnel/transport —配置传输模式,默认为隧道模式
- transform esp/ah/ah-esp —配置协议
- esp encryption-algorithm aes-128/… ----配置机密性算法
- esp authentication-algorithm sha2-256/… ----配置完整性算法
-
display ipsec proposal ----验证
-
ipsec policy P1 10 manual —配置安全策略
- security acl 3000 --关联acl
- proposal shanghai --关联安全提议
- tunnel loacl 12.0.0.2 --配置隧道源地址,注意与对端呼应
- tunnel remote 13.0.0.3 —配置隧道远端地址。注意与对端呼应
- sa spi inbound esp 12345 --配置入接口的sa的spi
- sa spi outbound esp 12345 —配置出接口的sa的spi
- sa string-key inbound esp cipher wakin --配置入方向的key
- sa string-key outbound esp cipher wakin --配置出方向的key
-
display ipsec policy —验证
-
int g0/0/1
- ipsec policy P1 —在公网出接口上绑定安全策略
-
display ike/ipsec sa —验证
▲现实情况中:若设备同时也配置了NAT和IPSec VPN,可能造成上网流量或VPN不可用的现象(可能是NAT的ACL与VPN的ACL冲突,造成不该走VPN时走VPN,不该NAT时NAT)--------->可通过修改NAT的ACL为deny特定地址解决
基本配置—IKE自动配置
-
ike proposal 10 ----配置ike提案
- authentication-method pre-share —配置认证方法为域共享密钥
- authentication-algorithm sha2-256 —配置完整性算法(默认为sha1)
- encryption-algorithm aes-cbc-256 ----配置加密算法(默认为des-cbc)
- dh group 14 —配置dh组(默认为dh组1-768bit)
- sa duration 3600 ----配置sa生命周期(默认为86400s)
-
display ike proposal 10
-
ike peer shanghai v1 —创建ike对等体,选择版本为version 1(默认为v1+v2)
- exchange-mode main/aggressive —配置ike模式[主模式/野蛮模式] (默认为主模式)
- pre-shared-key cipher huawei ----配置域共享密钥
- ike proposal 10 ----配置对应的ike提案
- local-address 12.0.0.1 ----配置本地地址,可以配置为loopback地址但必须保证路由可达[对端的远端地址需对应]
- remote-address 23.0.0.3 ----配置远端地址,,可以配置为loopback地址但必须保证路由可达[对端的本地地址需要对应]
- loacl-id-type ip/name ----配置本端id类型[id是用于标识设备身份,供对端认证的,可以不配置]
- peer-id-type ip/name ----配置对端id类型[id是用于标识设备身份,供对端认证的,可以不配置]
-
display ike peer shanghai
-
ipsec proposal shanghai —配置安全提议
- encapsulation-mode tunnel/transport —配置传输模式,默认为隧道模式
- transform esp/ah/ah-esp —配置协议
- esp encryption-algorithm aes-128/… ----配置机密性算法
- esp authentication-algorithm sha2-256/… ----配置完整性算法
-
display ipsec proposal ----验证
-
ipsec policy P2 10 isakmp 配置IPSec安全策略
- security acl 3000 ----配置感兴趣流
- proposal 10 —配置IPSec提案
- ike-peer shanghai —配置ike对等体
-
int g0/0/1 —在对应的出接口上引用
-
display ike/ipsec sa
Windows间的IPSec
步骤:本地安全策略–>IP安全策略–>右键,创建IP安全策略–>…–>完成–>选择创建完成的安全策略–>右键–>属性–>记得选择IP筛选器列表(acl),筛选器操作(当acl匹配时的动作,类似proposal),身份验证方式(域共享密钥过CA证书),隧道模式(是否配置模式为隧道模式),连接类型(局域网,WLAN等)–>选择创建完成的安全策略–>右键–>调用–>完成~
配置完成后可以在防火墙的高级模式下查看
MAC安全
基于MAC地址的攻击
- 泛洪攻击:攻击者不断发送伪造的MAC,使交换机的CAM表爆满,这样旧的条目就会被新的条目替代,而因为没有旧机器的mac地址,交换机就会泛洪(泛洪本身就不安全,而且占用网络带宽)
- Kali:cmd下直接输入“macof”命令即可[支持cmd窗口多开攻击]
- MAC欺骗:中间人攻击
MAC地址表项分类
- 动态表项:通过对帧内的源MAC学习而来,有老化时间(默认300s)
- 静态表项:由管理员手工配置,不会老化
- 黑洞表项:丢弃特定源MAC或目的MAC,不会老化
▲静态和黑洞表项不会被动态表项覆盖,而动态表项可以被静态和黑洞表项覆盖
MAC地址表默认参数
特性 |
默认值 |
动态MAC地址表老化时间 |
300s |
MAC地址学习 |
开启 |
端口MAC地址优先级 |
0 |
端口安全功能 |
关闭 |
端口安全MAC地址学习限制数量 |
1 |
端口安全的保护动作 |
Restrict |
MAC地址漂移表项老化时间 |
300s |
丢弃全0非法MAC地址报文 |
关闭 |
收到全0非法MAC地址报文告警 |
关闭 |
MAC刷新ARP功能 |
关闭 |
防御手段/MAC地址表安全功能
- 禁止MAC地址学习功能:可以限制非信任用户接入
- 限制MAC地址学习数量:可以防止变化MAC地址攻击
- 端口安全:可阻止其他非信任的主机通过本端与设备通信
- MAC-SPoofing-Defend:一个端口学习到的MAC不会在其他端口上学习
- MAC地址防漂移:对于固定的上行设备,通过提高端口优先级,可防止伪造MAC地址攻击
- MAC地址漂移检测功能(mac地址漂移指在mac地址表上同一个mac地址频繁变更接口):减少网络环路对设备的影响
- 丢弃全0非法MAC地址报文:网络中一些主机或设备发生故障时,会发送源或目的MAC全0的报文
- MAC地址刷新ARP功能:MAC地址表项的端口发生变化,及时更新ARP表项
基本配置
- mac-address static 0000-1111-2222 g0/0/1 vlan 10 -----添加mac静态表项
- mac-address blackhole 0666-6666-6666 [vlan 10] ----添加mac黑洞表项
- mac-address aging-time 60 —配置老化时间为60s
- mac-address learning disable action x -----禁止mac地址学习功能,可在端口或vlan下配置,vlan下只有forward
- x=discard:若交换机有该接口相应的mac信息则转发(事先配置了静态或动态学习到了),否则丢弃
- x=forward:直接转发,默认行为
- mac-limit maximum 50: 限制端口mac学习数量,可在端口或vlan下配置[超出限制的新的mac地址不会覆盖旧的mac地址,但是交换机会有告警信息] [配置端口安全的话就可以设置相应的保护动作–shutdown/restrict/protect]
- mac-limit alarm enable/disable ----配置是否告警(默认告警)
- drop illegal-mac enable —开启丢弃全0非法mac地址报文功能 (默认配置)
- drop illegal-mac alarm ----配置告警
- mac-address update arp ----配置mac刷新arp,用于同步arp表和mac地址表(mac地址表默认超时时间为300s,arp表默认超时时间为20min,有时候mac地址表更新了但是arp表没有更新,就会导致其他主机通过该交换机ping其他主机能通,但是该交换机自己发出ping指令不通的现象)
- display mac-address summary ----查看mac地址表汇总功能
端口安全/Port Security
端口安全–基本配置
- port-security enable ----开启端口安全
- port-security protect-action protect/shutdown/restrict —配置保护动作(默认为restrict,思科默认为shutdown)
- port-security max-mac-num 10 ----配置最大mac学习数量
- port-security aging-time 10 ----配置老化时间
- port-secutiry mac-address sticky ----配置sticky,即将动态学习到的mac变为静态的mac
- port-secutiry mac-address sticky 1111-2222-3333 vlan 1 ----配置安全静态mac
- display mac-address security -------显示/验证配置
MAC-Spoofing-Defend–基本配置
- mac-spoofing-defend enable —全局模式下,开启该功能
- mac-spoofing-defend enable —端口模式下,配置为信任端口,该接口学习到的mac就不会出现在其他接口
MAC地址防漂移-基本配置
- 描述:一个接口学习到的MAC在同VLAN内的其他接口上也学习到
- 主要原因:环路或欺骗
- 配置:
- 方法1:mac-learning priority 2 ----配置接口优先级,高优先级覆盖低优先级(默认接口优先级都为0,因此不同接口的同一个mac都会被学习到,引起漂移)
- 方法2:undo mac -learing priority 2 allow-flapping --不允许相同优先级(=2)发生漂移
- mac-address flapping trigger/action x
- x=quit-vlan —发现漂移后退出当前vlan
- x=error-down ----发现漂移后会被shutdown
- 可以配置error-down auto-recovery cause mac-address-flapping interval 30s 来设置error-down后的自动恢复时间
- display mac-address flapping record —显示漂移记录
IP安全
背景:攻击者通过伪造源IP地址实施的网络攻击(IP地址欺骗攻击)逐渐增多。攻击者伪造合法用户的IP地址获取访问网络的权限,非法访问网络,甚至造成合法用户无法访问网络,或信息泄露
IPSG/IP Source Guard/IP源防御攻击
-
基于二层接口的IP地址过滤技术
-
防止恶意主机伪造合法主机的IP地址来仿冒合法主机
-
确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络
-
工作原理:利用绑定表(源IP地址、源mac地址、所属vlan、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才被允许通过,其他报文将被丢弃。绑定表包括静态和动态两种:
-
工作原理-续:绑定表生成后,IPSG基于绑定表向指定的接口或指定的VLAN下发ACL,由该ACL来匹配检查所有IP报文; 对非信任口进行检查(信任口不进行检查),仅支持在二层物理接口或VLAN上应用
IPSG基本配置
- user-bind static ip-address 10.0.0.1 mac-address 1111-2223-2222 vlan 1 ----配置静态绑定(可以只绑定ip或只绑定mac)
- ip source check user-bind enable ----开启IPSG (在有dhcp或静态或其他绑定表的前提下)
- ip source check user-bind check item ip-address/mac-address/vlan -----配置检查绑定表时检查哪些条目
- ip source check user-bind alarm enable -----开启检查告警功能
- ip source check user-bind threshold 200 ----配置检查告警阈值
- display dhcp static user-bind all —验证绑定信息
ARP安全
ARP攻击类型和危害
攻击类型 |
描述 |
仿冒攻击 |
仿冒网关或其他主机 |
欺骗攻击 |
欺骗网关或其他主机 |
泛洪攻击 |
使设备ARP表项溢出、CPU负荷过重 |
ARP Miss
网络中有用户向设备发送大量目的IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。这种触发ARP Miss消息的IP报文会被上报到CPU进行处理,设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求,这就增加了CPU负担,同时严重消耗目的网络的带宽资源
配置命令
-
arp anti-attack gateway-duplicate enable ----开启arp防网关冲突
- 当设备收到的ARP报文存在下列情况之一:
- ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同
- ARP报文的源IP地址是入接口的虚拟IP地址,但ARP报文源MAC地址不是VRRP虚MAC
-
arp garp/gratuitous-arp send enable ----开启主动发送免费arp ,一般配合防网关冲突使用(一定程度上可以覆盖被欺骗的arp表项)
arp gratuitous-arp send interval 30 ----配置免费arp的发送间隔(默认为60s)
-
arp speed-limit source-mac [0000-1111-2222] maximum 50 -----基于mac(若不定义特定mac则对所有mac)限制arp一秒的报文
-
arp speed-limit source-ip [1.0.0.1] maximum 40 ----基于ip(若不指定ip则针对所有ip)限制arp一秒的报文
-
arp-miss speed-limit source-ip [1.0.0.1] maximum 20 -----基于源ip(若不指定ip则针对所有ip)对arp-miss限制
-
display arp packet statistics
DAI/Dynamic ARP Inspection/动态ARP检测
- 可防止中间人攻击
- 当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。
- 需要设备使能DHCP Snooping功能
基本配置
在开启DHCP Snooping的前提下
- arp anti-attack check user-bind enable --开启DAI
- user-bind static ip-address 10.0.0.2 mac-address 0000-1111-2222 interface g0/0/1 vlan 1 ----配置绑定表静态表项
- display dhcp snooping user-bind all ----查看绑定表
- display arp anti-attack statistics check user-bind interface g0/0/1 --查看接口下DAI的ARP报文丢弃计数
SDN/Software Defined Network/软件定义网络
传统网络的结构体系
- 管理平面:设备管理/SNMP
- 控制平面:路由协议(IGP,BGP)
- 转发平面:转发表/FIB
传统网络的局限性
- 流量路径的灵活调整能力不足
- 网络协议实现复杂,运维难度大
- 网络新业务升级速度较慢
SDN的三种特性
- 转控分离
- 集中控制
- 开放接口
SDN网络体系结构
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第32张图片](http://img.e-com-net.com/image/info8/d408ac849214461683b7ab7bc1b82b0d.jpg)
- 北向接口:用于向上级应用程序(可根据自身需求在虚拟化平台上定义编程)相连
- 南向接口:用于和下层的转发器/FP/Forwarding Plane/转发平面相连接,通过OpenFlow协议相互连通
- 东西向接口:用于和非SDN网络或其他SDN网络想连接
- SDN控制器:相当于集成了所有转发器的原控制平面(通俗来讲就是路由协议如OSPF,BGP等和路由表),所有转发器会将数据先发送到SDN控制器,SDN控制器会根据相应的策略(可以是APP上编写的协议)向相应的转发器下发转发表项
VLAN/Virtual Extensible Local Area Network/虚拟扩展局域网
传统数据中心面临的挑战
- 计算节点低延迟需求
- 虚拟化应用(网络虚拟化、服务器虚拟化、存储虚拟化)大量部署
- 虚拟技术的应用加剧了如mac地址表象,ARP表项的内容(原本一个接口就一个设备,虚拟化后可能有一个物理设备加上其他虚拟设备的流量)
- 传统三层网络架构下虚拟机动态迁移带来的问题(迁移范围受限制)
- 虚拟机迁移要求二层可达
- 变更虚拟机IP地址造成业务中断
- 而且相关的服务器也要进行相应的配置变更
- 网络和业务维护自动化需求
VXLAN描述
-
是由IETF定义的NVO3/Network Virtualization over Layer 3 标准技术之一,是对传统VLAN协议的一种扩展。VXLAN的特点是将L2的以太帧封装到UDP报文(即L2 over L4)中,并在L3网络中传输。
-
如下图所示,VXLAN本质上是一种隧道技术,在源网络设备与目的网络设备之间的IP网络上,建立一条逻辑隧道,将用户侧报文经过特定的封装后通过这条隧道转发。从用户的角度来看,接入网络的服务器就像是连接到了一个虚拟的二层交换机的不同端口上(可把蓝色虚框表示的数据中心VXLAN网络看成一个二层虚拟交换机),可以方便地通信。
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第33张图片](http://img.e-com-net.com/image/info8/5c51f0a76be24a70a72f72e8d3661dc3.jpg)
![[个人笔记]HCIP-Routing & Switching-IENP/H12-222_第34张图片](http://img.e-com-net.com/image/info8/2ce55440329c454fb3310299ea7b1177.jpg)