神州数码DCRS设备学习总结心得

DCRS总结：

1. 端口的配置
   常用的：环回测试，广播风暴，扫描端口方式，端口的报文最大收包速率。

2. 端口隔离
   实现VLAN内部的隔离
   创建隔离组，将端口加入隔离组，指定需要隔离的流量。

3. 单向链路ULDP
   面对的问题：
   一端可以收到另一端的数据链路层报文，另一端不能收到这段的数据链路层报文。
   此时可以开启ULDP。

4. 链路层发现协议LLDP
   可使邻近设备向其他设备发出其状态信息的通知，是一种邻近发现协议。

5. Port Channel
   Port group是配置层面的一个物理端口组，其中的物理端口满足某种条件时进行端口汇聚形成一个port channel。

6. Jumbo
   超大帧的网络实现可以将整个网络的速度提高2%到5%。

7. EFM OAM
   提供链路监控、远端故障指示和远端环路控制。

8. Dot1.q-tunnel
   将用户私网VLAN标签封装到公网VLAN标签。

9. VLAN-translation
   根据用户的需求将原有的VLAN　ID转换为新的VLAN　ID。

10. 动态VLAN
    基于MAC，基于IP子网，基于协议的VLAN。
    作用：？

11. Voice VLAN
    为用户的语音数据流而专门划分的vlan

12. MAC地址表
    标识目的MAC地址与交换机端口之间的映射关系。

13. MAC地址绑定
    将MAC地址与端口绑定，端口只允许已绑定MAC的数据流的转发。即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，其他没有与端口绑定的MAC地址的数据流不可以从该端口进入。

14. Qos
    是服务品质保证，提供文鼎，可预测的数据传送服务，来满足使用程序的需求，Qos不能产生新的带宽，而是根据应用的需求以及网络管理的设置来有效的管理网络带宽。

15. 基于流的重定向
    交换机把端口接收到的，符合特定条件的（ACL特定）的数据帧转发到另一个指定的端口。
    应用：①重定向目的端口处连接一个协议分析仪或检测仪，可以监视和管理网络，并且能诊断网络故障。
    ②为特定类型的数据帧指定转发策略。

16. 单播逆向路径转发URPF
    可防止基于源地址欺骗的网络攻击行为。
    交换机接收报文，同时获取报文的源地址和入接口，然后把该源地址作为目的地址在路由表中查找路由，如果查到的路由出接口和接收该报文的入接口不匹配，交换机则认为该报文的源地址是伪装的，并丢弃该报文。

17. 隧道硬件容量
    是本机硬件能够转发的最大隧道，MPLS的数量。
    可通过命令调整该容量，增大该容量会减少本机支持的硬件路由数。

18. 防ARP扫描
    若发现具有ARP扫描特征的主机或端口，将切断攻击源头，保障网络的安全。
    基于IP：从此IP收到ARP数量，是否超过阈值。
    基于端口：从此端口收到的ARP数量，是否超过阈值。
    Anti-arpscan enable 打开防ARP扫描功能。

19. 防止基于ARP的攻击和绑定交换机的方法
    ①关闭交换机的自动更新
    收到ARP报文后，如果是新的，则接收，正常学习。如果是已经存在的，则判断是否与
    ARP表中的相同。如果不同，则认为是欺骗。如果是相同的，则接收，并重置相应的老
    化时间。
    ②关闭交换机的自动学习
    不再接收ARP报文，适合静态配置ARP表项的场合。

20. Arp local proxy
    为了防止ARP欺骗，要求汇聚层的交换机实现local arp proxy功能，限制arp报文在同一vlan内的转发，从而引导数据流量通过交换机进行L3转发。

21. ARP Guard
    保护网管不被攻击。

22. 免费ARP（gratuitous arp）
    发送以自己IP地址目标IP地址的ARP请求。
    作用：①减少局域网内主机向交换机网关发送ARP请求的次数。

23. keepalive gateway
    该功能主要用在网关使用以太端口上连上一级网关形成点到点的网络拓扑的情况，希望可以检测到上一级网关的连通性。
    使用ARP机制来检测网关的连通性，通过定时的给网关发送ARP请求来检测网关的连通性，如果ARP解析失败，则网关已经down，这时down掉三层接口；继续定时的发送ARP请求，如果ARP解析成功，则UP接口。

24. ARP绑定
    通过伪造合法的IP进入正常的网络环境，向交换机发送大量的伪造的ARP申请报文，交换在学习到这些报文后，可能会覆盖原来学习到正确的IP、MAC映射关系，将正确的改成攻击报文设置的对应的关系。
    ARP扫描攻击
    　为探测网段内所有活动的主机，攻击源将会产生大量的ARP报文在网段内广播。

25. option 82
    包含了客户端的接入物理端口和接入设备标识等信息。DHCP server根据预先配置策略和报文中的option 82信息分配IP地址和其他参数信息给客户端，也可以根据option 82识别可能的DHCP攻击报文。

26. DHCP Snoop ing
    检测DHCP client通过DHCP协议获取IP的过程设置trust和untrust端口来防止攻击和server私设。
    能够防止的攻击：
    防DHCP过载攻击 ip dhcp snoop ing limit-rate；记录DHCP绑定数据；添加绑定ARP；添加信任用户；自动恢复；Log功能；私有报文的加密；添加认证option　82功能。

27. 黑洞路由
    一种特殊的静态路由，指目的地址为该网段的数据报文到达设备后，将被丢弃。

28. GRE隧道
    用途：企业内部协议封装和私有地址封装。
    GRE：规定了用一种网络协议去封装另一种网络协议的方法。
    GRE隧道引用业务环回组
    业务换回组：
    若同一台设备存在多种业务单板混插的情况，需要通过业务环回功能来实现不同业务单板间的业务重定向。例如：
    支持GRE隧道和不支持GRE隧道单板混插，通过业务环回将不支持GRE隧道单板收到GRE隧道数据环回到支持GRE隧道的单板上进行处理。

29. ECMP（等价路由）
    可以在这样的网络环境下同时使用多条链路，不仅实现了流量分担，增加了传输带宽，并且可以无时延无丢包的备份失效链路的数据传输。

30. BFD（双向转发检测）
    　用于快速检测，监控网络中链路连通情况。

31. GR（优雅重启）
    减少路由震荡，减少控制平面资源消耗。保证数据平面正常的包处理和转发。

32. ACL
    配置包过滤，先打开防火墙firewall enable
    对IP，对MAC，时间，最后运用在接口上。

33. 端口，vlan中MAC，IP数量限制功能。
    ①动态MAC数量限制，大于等于允许学习的最大动态MAC的数量时，关闭该端口/或该vlan下的所有端口的MAC学习功能。
    　②动态IP数量限制，大于等于允许学习的最大动态ARP，ND数量时，关闭该端口/或该vlan下所有端口的ARP，ND学习功能。

34. Am
    交换机收到IP报文或ARP报文时，用收到的报文信息（源IP地址或源MAC－IP信息）与配置硬件地址相比较，两者相同匹配则转发该报文，否则丢弃。
    ①配置地址池
    ②在端口下做MAC－IP绑定。

35. SSL（安全通信协议）
    在两个通信程序之间提供一条在其间传递任意应用数据的安全通信。

36. MAB
    是一种基于MAB用户接入端口和MAC地址的网络接入认证方式。

37. SAVI
    提供节点源地址粒度级的安全验证方式，监听协议相关报文，提取节点可信任的信息（如端口，MAC地址等信息）。然后将节点源地址和锚信息进行绑定，下发绑定信息对应的过滤规则-----放行匹配过滤规则的报文-----丢弃不匹配过滤规则的报文。
    目的：达到对节点源地址合法性检测的目的。

38. Web Portal
    实现无客户端的基本设备认证，实现对终端的安全检测。

39. MRPP（多环路自动保护协议）
    在以太网环完整时能够防止数据环路引起的广播风暴。而当以太网换上一条链路断开时快速恢复环路上各个节点之间的通信通路。

40. ULPP（上行链路保护协议）
    满足用户对链路快速收敛的需求，实现了主备链路的冗余备份及流量的快速切换。

41. ULSM
    用来进行端口状态同步。
    上行端口：被监控的端口。
    下行端口：受控端口。

42. RSPAN（远程交换机分析）
    使镜像源端口和目的端口可以在不同的网路设备上。

43. SFlow
    用于监控网络流量信息的协议。
    主要操作：由被监视的交换机，路由器把被监控的数据通过采样，统计等操作发送到用于监控的用户端分析器，由分析器对收到的数据进行用户所要求的分析，从而达到监控网络的目的。

44. MPLS
    多协议标签交换。
    LDP协议是在MPLS标签交换环境中用于标签分配的协议。