MAC地址表漂移原因:(同一个mac地址所对应的端口发生变化)
1.产生环路
2.主备链路发生变化
3.MAC地址欺骗(MAC地址攻击)
MAC地址漂移检测
检测MAC地址出接口跳变的次数
high:3次
middle:10次 (默认)
low:50次
解决方案:
1.设置MAC地址表优先级学习 有4级 高优先级可以覆盖低优先级
2.严禁同级别覆盖
1.DAD检测 把自己的ip地址作为目的ip地址发送ARP请求 用来检测同一链路内是否有相同的ip
2.通告自己新的MAC地址 (为了加快链路收敛)
3.VRRP主备路由器交换的时候
端口角色:RP DP AP BP EP
端口状态:Discarding Learning Forwarding
CST 域间生成树 / 公共生成树
IST 域内实例为0生成树 / 内部生成树
SST 单生成树
CIST 整体生成树
域根 局部的根桥
总根 CIST的根桥
主桥 距离总根最近的交换机
RSTP判断拓扑发生变化的根据是有一个非边缘端口的状态变为转发状态
以自己为起点 在清除了状态发生变化的MAC地址后,向全网发送TC置位的BPDU报文,为了限制发送时间,设置了定时器,就是TC while timer ,2倍的 hellow 报文时间 ,定时器到期便停止发送,其余设备接收到TC置位的BPDU后 会清除除了接收端口的和其余边缘端口之外的所有端口对应的MAC地址条目,并开启计时器,再次泛洪
角色:
主交换机(1个Master)用于管控整个堆叠
备用交换机(1个Standby)用于主交换机备用
从交换机(多个Slave)进行转发
进行堆叠时要断电
堆叠竞争 谁先开机 谁的优先级大 谁的MAC地址小
适用于 框式交换机
用于2个交换机之间
集群中集群ID是唯一的
集群竞争 谁先开机 谁的优先级大 谁的MAC地址小
需要开启本地优先转发 因为集群线之间转发功能很差
集群创建后 - 角色选举 - 版本同步(备份向主同步) - 配置同步 - 配置备份
Cluster-list属性用于防止集群之间环路。
多主检测
通过中间设备的直连检测方式 当2个交换机距离比较远的时候
集群直连检测 中间接一条MAD Link
单机作为代理设备的代理检测 一台交换机用Eth-trunk连接2台需要检测的交换机
两套集群系统互为代理的检测方式
当相连的两个链路中主链路故障了 由E-Trunk进行主备协商 Eth-Trunk需要使用lacp模式
M-lag 跨设备的链路聚合
数据封装方式:定义封装多协议数据包的方法
链路控制协议(LCP):定义建立、协商和测试数据链路层连接的方法
网络层控制协议(NCP):包含一组协议,用于对不同的网络层协议进行连接建立和参数协商
Trunk接口分为Eth-Trunk和IP-Trunk两种
Eth-Trunk只能由以太网链路构成。
IP-Trunk一般由POS接口构成。
在一个IP-Trunk内,可以实现流量负载分担。负载分担分为逐流负载分担和逐包负载分担。
逐流负载分担:当报文的源IP地址和目的IP地址都相同时,这些报文从同一个成员链路上通过。
包发送的顺序能够保证 但是利用率不高
逐包负载分担:以报文为单位分别从不同的成员链路上发送。
包发送的利用率能够保证 但是顺序不能保证
IP-Trunk的成员接口只能使用HDLC封装形式
以太网合并了PPP的访问控制和计费
把以太网中的多台主机连接到远端的宽带接入服务器
适用范围广、安全性高、计费方便
DSL 数字用户线路
所有DSL技术统称xDSL
目前使用的网线为ADSL 使用的是PPPoE协议
56kb/s 以上为宽带 以下为窄带
确认会话是使用 Session ID 和 Mac(对端)地址
客户端广播PADI - 服务器单播PADO - 客户端单播PADR - 服务器单播PADS (和DHCP相似但是倒数第二步不同)
进行 PPP协商时 会LCP - 认证 NCP
分配方式:IANA(网际网络号码分配局) - RIR(区域网际网络注册管理机构) - ISP(运营商)
扩展报头 (可以连续)
Next Header:下一个报头,长度为8bit。与基本报头的Next Header的作用相同。指明下一个扩展报头(如果存在)或上层协议的类型。
Extension Header Length:报头扩展长度,长度为8bit。表示扩展报头的长度(不包含Next Header字段)。
Extension Head Data:扩展报头数据,长度可变。扩展报头的内容,为一系列选项字段和填充字段的组合。
IPv6没有广播地址
链路本地地址会自动生成 前缀 FE80::/10
接口ID的生成方式
1.手工
2.EUI-64(MAC地址第7位为0全局唯一 为1则是本地唯一)
3.系统自动生成
唯一本地地址固定前缀 FC00::/7
ipv6组播地址
flag前面3个是0最后一位为1时是永久0是临时
scope 组播组的范围
被请求节点组播地址
通过单播或任播地址生成 用于邻居发现和检测地址重复
FF02::1:FF00:0/104 + IPv6地址最后24bit
在 IPv6 报文中Next header 字段为58的时候 报文封装的是ICMPv6的报文 包含 :Type Code Checksum
ICMPv6 Date
功能: 提供ICMPv4 邻居发现 无状态地址配置 重复地址检测(DAD) PMTU发现
Type= 133 Code = 0 路由器请求 RS 主机主动发起请求前缀
Type = 134 Code = 0 路由器通告 RA 路由器200s会周期发送
Type= 135 Code = 0 邻居请求 NS 询问相同链路上的路由器的状态
Type = 136 Code = 0 邻居通告 NA 回应状态 R标志1是路由器 S标志1是响应邻居请求 O邻居通告1是覆盖已有条目
主要功能
1.路由器发现
2.无状态自动配置
3.DAD
4.地址解析
5.邻居状态跟踪
6.前缀重编址
7.路由重定向
IPV6邻居状态跟踪 邻居状态有5种:
INCOMPLETE 未完成,邻居请求已经发送到目标节点的请求组播地址,但没有收到邻居的通告;发了NS但是没收到NA
REACHABLE 可达,收到确认,不需再发包确认;
STALE 陈旧,从收到上一次可达性确认后过了超过30s;
DELAY 延迟,在stale状态后发送过一个报文,并且5s内没有可达性确认;
PROBE 探查,每隔1s重传邻居请求最多3次来主动请求可达性确认,直到收到确认。
EMPTY 空闲状态
发送RS给路由器 通过获得的RA包含的前缀来用EUI-64组成新的全局单播地址
主机会忽略前缀条件:
1.RA报文选项中的“auto”置位为1时可以使用 未置位则忽略
2.前缀与已有地址前缀重复
3.RA报文选项中的 preferred lifetime(发起新通讯的有效时间) 时间大于 valid lifetime (原有通讯的有效时间)
4.前缀长度与接口ID长度之和不等于128位
地址的生存时间:
Tentative :还没经过DAD重复地址检测
Preferred :当前会话时间
Deprecated : 当前会话已经结束但是原有会话的时间还没结束 所剩余的时间 只能被动接收不能主动发起
Invalid : 地址过期 无用地址
RA的flag字段:
Cur Hop Limit: 64 跳数限制为64
M位 默认为0 处于无状态地址自动配置 为1时 是有DHCPv6的 有状态
O位 默认为0 处于无状态地址自动配置 为1时 是有DHCPv6的 有状态
Router Lifetime 主机将路由器视为缺省路由器的时间 为0时会当路由器失效了
On-Link Flag : L比特位 默认1 认为目的地是本地链路可达
Autonomouns Addr-conf flag :A比特位 默认1 表示本地链路的主机可以使用该前缀进行无状态自动配置
双栈:每个节点都需要设置为支持双栈
隧道:为了连接孤岛网络
NAT:协议层转换技术
手动隧道:
6over4
把ipv6的数据在ipv4环境中传递
需要手工配置
在 ipv6 数据的前面再封装一层协议号为41的 ipv4 头部
6over4 GRE
手工指定隧道的端点地址
在 ipv6 数据的前面封装一层 GRE 头部 再封装一层 ipv4 头部
自动隧道
6to4
可以连接多个6to4网络
通过SLA ID区分
ISTAP 站内自动隧道寻址协议
支持pc到pc pc到路由器 路由器到pc 但是 不能路由器到路由器
NAT64
将IPv6数据包的每个字段与IPv4数据包中的字段建立起一一映射的关系
相同点
都是IGP协议,且应用广泛
都支持IP环境
均采用分层设计和分区域设计
都是链路状态路由协议 采用SPF算法来计算路由
有快速收敛(ISPF RPC 网络拓扑不变而路由信息发生改变的情)、无环路的特点 都支持大型网络
都采用Hello协议维护邻居关系
为了控制链路状态数据库的规模和复杂度,IS-IS和OSPF在广播网络上都选举DR或DIS来担任数据库同步的主要角色
统一形成LSDB
不同点
OSPF仅支持IP ISIS支持IP和CLNP
OSPF支持网络类型:点到点 点到多点 广播 非广播多路访问 ISIS支持网络类型:广播 非广播多路访问
OSPF支持虚连接(没有与骨干区域直连的区域虚连接主干区域) ISIS的很多厂商不支持
OSPF是用接口和网段划分,ISIS是路由器进行划分
OSPF DR 优先级0-255 0是不参与选举 默认1 比大 然后比router-id 比大 不支持抢占(所有LSA都经过DR) 需要备份(10发送报文周期时间) 有邻接关系和邻居关系
ISIS DIS 优先级0-127 0参与选举 默认64 比大 然后比MAC地址 比大 支持抢占(每隔10s发送CSNP)不需要备份(10/3发送报文周期时间) 只有邻接关系
OSPF LSA种类繁多 LSA生存时间从零递增(0-3600s 1800s刷新)不能改
ISIS LSP种类少(普通LSP 节点LSP)从最大值递减(1200-0 900s刷新) 能改
OSPF和ISIS同步数据库过程不同
OSPF 开销类型简单 ISIS 开销类型复杂(缺省 代价 时延 差错)
OSPF 支持按需拨号网络 ISIS 不支持
OSPF是通过area0 来确定骨干区域 ISIS 是通过连续的 level-2来确定骨干区域
router-id 必须手动配置 32位无符号整数
相比OSPFv3 不同点
LSA加长
使用Link-local(链路本地)地址进行报文发送
运行于每个Link进行通信(IPv6一个接口可以有多个全球单播地址 于是基于链路通信),不再基于subnet
使用拓展报头进行报文的认证和加密
链路支持多实例复用(Instance ID 在本地链路用来区分不同的实例)
Stub区域的支持(只有当未知类型的LSA的泛洪范围是区域或链路而且U比特没有置位时,未知LSA才可以向Stub区域泛洪)
报文和LSA的不同(多了8类和9类 带地址信息的LSA)
Option字段不同
报文中多了Reserved 保留字段 总是0
OOSPFv3 的LSA的头部 LS type 包含字段 U、S2、S1、LSA function code
U是只有当未知类型的LSA的泛洪范围是区域或链路而且U位为0,当做Link-locak范围的LSA处理,当为1时存储并泛洪该LSA
S2/S1通过组合标记报文怎么泛洪 0/0Link-Local 0/1Area 1/0AS 1/1保留
LSA function code 不同的LSA种类有不同的类型
Prefix Option 前缀
P:传播位 1当前环境要7转5 泛洪给整个AS
MC:组播位 1能支持组播环境
LA:本地地址位 1是路由器的接口地址
NU: 单播位 1非单播 是组播 0 单播地址
8类LSA Link-LSA
有链路泛洪范围 会为每个启动了OSPFv3的接口产生一个Link-LSA
作用:
1.向其他路由器通告本地链路地址,作为他们的下一跳地址
2.向其他路由器通告本地链路上的的所有IPv6前缀
3.在广播网络和NBMA网络上为DR提供Option取值
9类LSA Inter-Area-Prefix-LSA
由于在OSPFv3中一类和二类LSA不传递地址信息 所以由9类负责传递
包含:
1.依附于路由器的Prefix
2.依附于Stub网络的Prefix
3.依附于Transit网络的Prefix
扩展属性MP_REACH_NLRI
AFI = 1 :IPv4
AFI = 2 :IPv6
SAFI = 1 :单播
SAFI = 2 :组播
路由反射器 RR
客户机 Client
反射器反射规则
1.收到EBGP对等体条目会反射给所有客户机和非客户机
2.收到客户机的路由会反射给所有客户机和非客户机
3.收到非客户机的路由只会发送给客户机
反射器防环机制 Originator_ID(集群内防环) Cluster_List(集群间防环) 可选非过度属性
BGP联盟 将一个AS划分成若干个子AS 每个AS内部建立全连接的IBGP邻居,子AS之间建立EBGP连接
可以使用 AS_CONFED_SET 属性防止联盟内的环路
as-set :一般出现在汇总网段的后面,避免汇总后的网段出现环路,但是里面包含的AS编号是没有顺序的
as-seqence:一般的AS-PATH属性,用来在正常的BGP环境中放置EBGP邻居关系之间产生环路,AS编号是有顺序的,最先经过的在最右边
as-confered-set:在联盟中实现路由汇总的时候使用的,基本工作原理和之前的as-set一样
as-confered-senquence:在联盟中为了方式EBGP邻居关系之间的环路,原理和AS-seqence一样
BGP增强特性
BGP ORF (Outbound Route Filtering)
由入口路由器的前缀中设置需要的接收的报文
优点: 配置简化(不需要路由策略) 减少负担(减少带宽的利用率)
Active-Router-Advertise
只有当BGP路由被成功的安装进IP或IPv6路由表,该路由才能被发送给邻居
该路由只会存在在BGP路由表当在不会在全局的路由表当中
4字节的AS号
拓展了
AS4_Path .* (表示所有) _10$ (30,20,10) ^10_ (10,20,30) _10_ (必须有10)
^ 标志一个表达式的开始 $ 标志一个表达式的结束 *标志匹配前面的一个字符 .标志匹配任意一个字符 _ 表示两个AS之间的连接符
AS4_Aggregator
定义了AS_TRANS(当经过支持AS4的路由器 则在AS_Path上显示 23456)(AS4里可以包含AS但是AS里的AS4会变成23456)
用于IPv6 和IPv4的IGMP有相同效果 用于发现组播组的成员
将组播组的侦听者加入(S,G)表象
配置MLD的路由器使用IPv6单播链路本地地址作为源发送MLD报文
MLD使用ICMP来携带消息所有的MLD报文被限制在本地链路上,跳数为1
v1 ASM
v2 SSM 告知客户是否支持特定源的查询 没有特定的离组消息
MDL类型
组播侦听查询 130 (普遍查询 特定组播地址查询)
组播侦听报告 131
组播侦听离开 132
当有用户是v1版本 想要加入v2版本 需要使用SSM-mapping (手动配置表象)
预留组播地址范围 232.0.0.0-232.255.255.255
支持一对多
特殊组播地址FF3X::/32
需要配合MLDv2
不涉及RP BSR RPT
基于组播源的单播路由直接生成spt树,可以实现跨域组播
RPF逆向路径检测 基于IGP的链路进行 从目的地址到源地址的 路径检测
如果发现有多个接口都可达目的则选ip地址大的
用于闭环防次优
进行反向路径检测优先级:组播静态路由 > MBGP > IGP
单包攻击主要分为三类:
扫描窥探攻击
畸形报文攻击
特殊报文攻击
LAND单包攻击:源目地址都是目的地址或者发送源端地址为127.0.0.1 使服务器资源耗尽
防范手段: 使用 anti-attack abnormal enable(畸形报文攻击防范)
泛洪攻击DDos:控制大量肉鸡进行向客户端请求业务服务抢占资源或TCP SYN泛洪攻击(让服务器建立大量的半连接)
防范手段:anti-attack tcp-syn enable
anti-attack tcp-syn car cir cir
(设备对TCP SYN报文进行速率限制,保证收到攻击时目标主机资源不被耗尽)
源IP地址欺骗:利用其他人的IP地址进行获得他人的数据
防范手段:DHCP snooping 绑定IP地址、MAC地址、VLAN、端口 或 URPF技术 单播反向路径转发
中间人攻击:攻击者位于服务器和客户之间 对客户端冒充客户 对客户冒充客户端
防范手段:动态ARP检测DAI arp anti-attack check user-bind enable
当系统发生故障 主备切换的时候 转发平面(业务)不中断。
当系统恢复后,设备能够重新建立邻居关系,从邻居处获取路由信息并重建路由表。
需要满足条件
硬件要求:系统双主控RP冗余配置(框式 控制层面和转发层面分开)
软件要求:需要主备板卡同步
协议要求:需要网络协议支持GR(Graceful Restrat 优雅重启)
通过协议备份机制,实现主备倒换时控制平面和转发平面不中断
工作流程: 批量备份 实时备份 主备倒换
提供了一种通过运行网络管理软件的中心计算机(网络管理工作站)来管理设备的方法
有v1 v2 v3 三个版本
v1 v2 使用 161端口
v3 使用 162端口
用于在服务器和客户端之间同步时间的协议
通过UDP传输 端口号123
层数为1-16 1为主服务器
只有数据拿到令牌放到令牌桶中才能转发
速率会被放入令牌桶中的速度限制
单速单桶
双速双桶
单速双桶
QoS - CIR=Bc/Tc
TC:向令牌桶中添加的令牌的时间周期,默认125ms,即1s要向令牌中放8次令牌。
BC:承诺突发量,即一次性加进的令牌数量
LLQ(Low LatencyQueuing,低时延队列)
EF(ExpeditedForwaring,快速转发)
BQ队列(BandwidthQueuing,带宽保证队列)
AF(AssuredForwarding,确保转发)
BE(BestEffort,尽力传送)
CIR 承诺信息速率(令牌进入速率)
CBS 承诺突发尺寸(桶的大小)
EBS 超额突发尺寸 (在单速单桶中不存在 是第二个桶的大小)
PIR 标识峰值信息速率
PBS 标识峰值突发尺寸
假设传入数据大小为T 色盲模式:只会判断T是否小于CBS 端口4789 将数据线进行VXLAN(VNI)封装 再进行UDP封装 再进行IP封装 最后进行MAC封装 就可以在公网和私网对相同的VNI之间网段传递 VXLAN数据传递 如果在相同子网中通过封装的MAC头部查找 如果在不同子网会看IP头部 如果IP头部对应的目的路由VNI和当前的VNI不一致 会更改当前的VNI头部信息 二层网关:用于解决租户接入 VXLAN 虚拟网络的问题,也可用于同一 VXLAN 虚拟网络的子网通信 Ethenet V·PN 引入Ethernet Segment标识 标识Multihoming(连接多个厂商可能会有环路的问题) OSPF 如果想5类路由的 FA(转发地址)不为0.0.0.0 ISIS的收敛速度比BGP快当主备切换的时候ISIS 会优先转发但是下一条的BGP还没收敛 于是便产生了路由黑洞
T
色敏模式:还会判断T是否小于桶中令牌数VXLAN (Virtual eXtensible Local Area Network,虚拟扩展局域网)
可以跨越IP WAN构建大二层
对现有网络无要求,只要支持普通L3就行
比VLAN的最大连接数4096还多 由于支持 网络标识VNI 总共16M
VXLAN是隧道 隧道封装的端点叫NVE是连接VXLAN的两端机器 VTEP是节点标志(1.1.1.1.1)
基于LMAC in UDP
VXLAN为SDN提供转发层面
VNI相当于VLAN 不同的VNI不能互通 但是不同的VLAN 相同的VNI 可以互通
三层网关:用于 VXLAN 虚拟网络的侉子网通信以及外部网络的访问
XLAN 三层网关又可以分为集中式网关和分布式网关
WEB Portal 用户操作界面
REST API api接口
openstack 云开放平台
Nova 对计算资源的管控
Neutron 对网络管控
vCenter-Driver 驱动
Plugun/Agent 插件
TOR 顶部交换机
Nova computer 和Nova对接进行管理
EVS-Agent 网络代理
EVS/OVS 虚拟交换机
KVM/XEN 虚拟化层(资源管控 故障隔离 资源调动)BGP EV·PN
通过BGP作控制层面
通过MPLS作数据转发
引入ESI标签,转发识别多归接口,避免环路
引入DF选举机制,避免接收多分相同的广播报文
使用BGP作为通告MAC取代转发层面MAC学习,使得MAC能像IP路由一样形成ECMP负载分担Router Type 值为2
让邻居能够学习到主机路由 MAC信息
当虚拟机迁移的时候 与服务器直连的交换机会更新MAC地址表并将Sequence NO属性+1 并分享给其他设备
Router Type 值为3
用于隧道自动建立、VNI广播成员的自动加入
互相发送3类路由 交互隧道建立的信息 建立隧道连接
会生成隧道表和头端复制列表(用来处理Bum报文)
Router Type 值为5
将EVPN以外的子网网络引入到EVPN 用于主机发布路由故障排查
1.ASBR的下一跳接口路由可达
2.ASBR与外部网络相连的下一条接口不能为 P2P 或 P2MP 类型
3.ASBR与外部网络相连的下一条接口不能为静默接口(被动接口 不会建立邻接关系)
4.ASBR与外部网络相连的接口地址落在OSPF协议中发布的网络范围之内(必须为OSPF宣告过的地址)
1.将 ISIS设置为等待BGP收敛