深通协华为网络技术公益培训-2022.12.06-2022.12.24
培训事项通知
为进一步提升信息通信行业人员技术素质和能力,深人社联合深圳职业鉴定中心将于2022年10月份组织华为网络技术公益培训。现将培训事项通知如下:
1、培训形式:知鸟app , 泰克网络实验室
2、培训周期:8天,共72个课时,线上培训
注:本次培训不收取任何费用。
完成全部学时后,通过结业考试可获得结业合格证书。
学习计划
注:列表中星号表示复习, 复习时间间隔为1,2,4,7,15天
注:列表中没有星号表示要新学
一、培训对象
深圳地区从事基础电信业务、互联网信息服务、互联网接入服务等的企业单位和组织;
负责或从事网络工程师、售前工程师、网络管理员、售后工程师、运维工程师、IT 运维主
管、解决方案工程师、网络安全工程师等相关工作的人员
二、课程介绍
《华为网络技术》旨在提升技术人员的网络规划设计能力、部署实施能力、运维和优化能力。课程安排 72 学时,大部分课程为实操实训课程,贴近日常工作内容。
手机电脑屏幕投影
ANLINK
幕享
手机加速视频播放 -
就是手机越狱或者root之类,安装cydia全局加速,或者xposed全局控制,可以加速
实验模拟器
1.ensp
華為路由本來就是閹割版
2.busy+openwrt
完美體驗使用
技术模块
TCP IP体系
网络基础
网络参考模型
物理层
数据链路层
网络层
数据转发的原理
传输层
应用层
VRP
作用/概念
命令视图
基本语法
二层技术
基础
以太网交换安全
高级VLAN
STP
RSTP
MSTP
交换技术
交换基础
STP
RSTP
eth-trunk
堆叠
VLAN
路由技术
基础
静态路由
OSPF
OSPF
基础
LSA
广域网技术
NAT
ACL
PPP
AAA
PPPOE
ISIS
WLAN
IPv6技术
BFD NQA VRRP
01.数据通信网络基础
前言
在人类社会的起源和发展过程中,通信就一直伴随着我们。从20世纪七、八十年代开始,人类社会已进入到信息时代,对于生活在信息时代的我们,通信的必要性更是不言而喻的。
本节课所说的通信,是指借助数据通信网络进行连接的通信。本课程主要介绍通信及数据通信网络的概念,信息传递的过程,网络设备及其作用,网络类型及典型组网,最后还会简要介绍网络工程和网络工程师的相关概念。
课程水平
学完本课程后,您将能够:
区分网络通信和数据通信网络的概念
描述信息传递的过程
区分不同的网络设备并了解其基本作用
认识不同的网络类型及拓扑类型
了解网络工程与网络工程师的相关概念
华为设备图标简介
1.通信与网络
通信,是指人与人、人与物、物与物之间通过某种媒介和行为进行的信息传递与交流。
网络通信,是指终端设备之间通过计算机网络进行的通信。
常见术语 -- 数据载荷、报文、头部、尾部、封装、解封装、网关、路由器、终端设备
数据通信网络
由路由器、交换机、防火墙、无线控制器、无线接入点,以及个人电脑、网络打印机、服务器等设备构成的通信网络。
-- 功能:数据通信网络最基本的功能是实现数据互通。
交换机
距离终端用户最近的设备,用于终端用户接入网络、对数据帧进行交换等。
---
路由器
网络层设备,可以在因特网中进行数据报文转发。路由器根据所收到的报文的目的地址选择一条合适的路径,将报文传送到下一个路由器或目的地,路径中最后的路由器负责将报文送交目的主机。
--实现同类型网络或异种网络之间的通信
--隔离广播域
--维护路由表(Routing Table)、运行路由协议
--路径(路由信息)选择、IP报文转发
--广域网接入、网络地址转换
--连接通过交换机组建的二层网络
---
防火墙
网络安全设备,用于控制两个网络之间的安全通信。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现对网络的安全保护。
--隔离不同安全级别的网络
--实现不同安全级别的网络之间的访问控制(安全策略)
--用户身份认证
--实现远程接入功能
--实现数据加密及虚拟专用网业务
--执行网络地址转换
--其他安全功能
2.网络类型与网络拓扑
按照地理覆盖范围来划分,网络可以分为局域网 (Local Area Network)、城域网 (Metropolitan Area Network) 和广域网 (Wide Area Network)。
网络拓扑(Network Topology)是指用传输介质(例如双绞线、光纤等)互连各种设备(例如计算机终端、路由器、交换机等)所呈现的结构化布局。
网络的拓扑形态
按照网络的拓扑形态来划分,网络可分为星型网络、总线型网络、环形网络、树形网络、全网状网络和部分网状网络。
3.网络工程与网络工程师
网络工程
在信息系统工程方法和完善的组织机构指导下,根据网络应用的需求,按照计算机网络系统的标准、规范和技术,规划设计可行性方案,将计算机网络硬件设备、软件和技术系统地集成在一起,以成为满足用户需求、高性价比的网络系统的组建工作。
技术模块
网络工程所涵盖的技术模块:应用、存储、安全、计算、无线、路由、交换、机房、介质
网络工程师
是在网络工程领域,掌握专业的网络技术,具备一定的职业技能及职业素养,具有一定项目实施经验,能够在项目现场与客户或者其他项目干系人充分沟通,根据客户的需求及环境因素制定实施方案及项目计划(得到项目干系人认可),并充分调动各方资源保证项目按时、保质保量落地,以及在项目实施后对干系人进行培训及工程文档交付的职业。
网络工程师综合能力模型
网络工程师的技术成长之路
华为认证体系
02.网络参考模型
前言
数字化时代,各种信息以数据的形式充斥着我们的生活。什么是数据?数据又是如何传递的?
本章我们将通过网络参考模型去简单了解数据的“一生”。
课程能力
学完本课程后,您将能够:
理解数据的定义及传递过程
理解网络参考模型概念及优势
了解常见的标准协议
掌握数据封装与解封装过程
1.应用和数据
应用的存在,是为了满足人们的各种需求,比如访问网页,在线游戏,在线视频等。
伴随着应用会有信息的产生。比如文本,图片,视频等都是信息的不同呈现方式。
数据的产生
--在计算机领域,数据是各种信息的载体。
数据传输
--大部分应用程序所产生的数据需要在不同的设备之间传递
2.网络参考模型与标准协议
OSI参考模型
TCP/IP参考模型
TCP/IP常见协议
常见协议标准化组织
IETF(Internet Engineering Task Force)
--负责开发和推广互联网协议(特别是构成TCP/IP协议族的协议)的志愿组织,通过RFC发布新的或者取代老的协议标准。
IEEE(Institute of Electrical and Electronics Engineers)
--IEEE制定了全世界电子、电气和计算机科学领域30%左右的标准,比较知名的有IEEE802.3(Ethernet)、IEEE802.11(WiFi)等。
ISO(International Organization for Standardization)
--在制定计算机网络标准方面,ISO是起着重大作用的国际组织,如OSI模型,定义于ISO/IEC 7498-1。
应用层
应用层为应用软件提供接口,使应用程序能够使用网络服务。应用层协议会指定使用相应的传输层协议,以及传输层所使用的端口等。
应用层的PDU被称为Data(数据)。
HTTP 80 (TCP)
超文本传输协议,提供浏览网页服务
Telnet 23 (TCP)
远程登陆协议,提供远程管理服务
FTP 20、21 (TCP)
文件传输协议,提供互联网文件资源共享服务
SMTP 25 (TCP)
简单邮件传输协议,提供互联网电子邮件服务
TFTP 69 (UDP)
简单文件传输协议,提供简单的文件传输服务
传输层
传输层协议接收来自应用层协议的数据,封装上相应的传输层头部,帮助其建立“端到端”(Port to Port)的连接。
传输层的PDU被称为Segment(段)。
传输层协议
TCP:一种面向连接的、可靠的传输层通信协议,由IETF的RFC 793定义。
UDP:一种简单的无连接的传输层协议,由IETF的RFC 768定义。
网络层
传输层负责建立主机之间进程与进程之间的连接,而网络层则负责数据从一台主机到另外一台主机之间的传递。
网络层的PDU被称为Packet(包)。
网络层也叫Internet层
负责将分组报文从源主机发送到目的主机 。
网络层作用
为网络中的设备提供逻辑地址。
负责数据包的寻径和转发。
常见协议如IPv4,IPv6、ICMP,IGMP等。
数据链路层
数据链路层位于网络层和物理层之间,可以向网络层的IP、IPv6等协议提供服务。数据链路层的PDU被称为Frame(帧)。
以太网(Ethernet)是最常见的数据链路层协议。
数据链路层位于网络层和物理层之间:
数据链路层向网络层提供“段内通信”。
负责组帧、物理编址、差错控制等功能。
常见的数据链路层协议有:以太网、PPPoE、PPP等。
物理层
数据到达物理层之后,物理层会根据物理介质的不同,将数字信号转换成光信号、电信号或者是电磁波信号。
物理层的PDU被称为比特流(Bitstream)。
TCP和UDP–报文格式
源端口号一般为系统中未使用的,且大于1023;
TCP的建立-三次握手
--任何基于TCP的应用,在发送数据之前,都需要由TCP进行“三次握手”建立连接。
TCP的序列号与确认序列号
--TCP使用序列号和确认序列号字段实现数据的可靠和有序传输。
TCP的窗口滑动机制
--TCP通过滑动窗口机制来控制数据的传输速率。
TCP的关闭-四次挥手
--当数据传输完成,TCP需要通过“四次挥手”机制断开TCP连接,释放系统资源。
3.数据通信过程
总结
不论是OSI参考模型还是TCP/IP参考模型,都采用了分层的设计理念。
--各个层次之间分工、界限明确,有助于各个部件的开发、设计和故障排除
--通过定义在模型的每一层实现什么功能,鼓励产业的标准化
--通过提供接口的方式,使得各种类型的网络硬件和软件能够相互通信,提高兼容性
--数据的产生与传递,需要各模块之间相互协作,同时每个模块又需要“各司其职”。
网络参考模型-课堂笔记
03.以太网交换基础
前言
在网络中传输数据时需要遵循一些标准,以太网协议定义了数据帧在以太网上的传输标准,了解以太网协议是充分理解数据链路层通信的基础。以太网交换机是实现数据链路层通信的主要设备,了解以太网交换机的工作原理也是十分必要的。
在本课程中,将介绍以太网协议的相关概念、MAC地址的类型、二层交换机的工作流程以及二层交换机的工作原理。
课程能力
学完本课程后,您将能够:
描述以太网的基本概念
区分MAC地址的类型
描述二层交换机的工作流程
描述MAC地址表的构成与形成过程
1.以太网协议介绍
以太网
以太网是当今现有局域网(Local Area Network, LAN)采用的最通用的通信协议标准,该标准定义了在局域网中采用的电缆类型和信号处理方法。
以太网是建立在CSMA/CD (Carrier Sense Multiple Access/Collision Detection,载波监听多路访问/冲突检测)机制上的广播型网络。
冲突域
冲突域指连接在同一共享介质上的所有节点的集合,冲突域内所有节点竞争同一带宽,一个节点发出的报文(无论是单播、组播、广播),其余节点都可以收到。
--在传统的以太网中,同一介质上的多个节点共享链路带宽,争用链路的使用权,这样就会发生冲突。同一介质上的节点越多,冲突发生的概率越大。
--交换机不同的接口发送和接收数据独立,各接口属于不同的冲突域,因此有效地隔离了网络中物理层冲突域,使得通过它互连的主机(或网络)之间不必再担心流量大小对于数据发送冲突的影响。
广播域
广播报文所能到达的整个访问范围称为二层广播域,简称广播域,同一广播域内的主机都能收到广播报文。
--在传统的以太网中,同一介质上的多个节点共享链路,一台设备发出的广播报文,所有设备均会收到。
--交换机对广播报文会向所有的接口都转发,所以交换机的所有接口连接的节点属于一个广播域。
网络接口卡
网络接口卡 (Network Interface Card, NIC)也称为“网卡”,是计算机、交换机、路由器等网络设备与外部网络世界相连的关键部件。
2.以太网帧介绍
以太网技术所使用的帧称为以太网帧 (Ethernet Frame),或简称以太帧。
以太帧的格式有两个标准:Ethernet_II格式和IEEE 802.3格式。
在以太网中,数据通信的基本单位是以太网帧 ( Frame )。以太帧的格式有两个标准:Ethernet_II格式和IEEE 802.3格式,因此协议规定以太网帧的数据格式如图所示。
Ethernet Ⅱ以太帧:
DMAC:6字节,目的MAC地址,IPV4为6字节,该字段标识帧的接收者。
SMAC:6字节,源MAC地址,IPV4为6字节,该字段标识帧的发送者。
Type:2字节,协议类型。常见值:
0x0800:Internet Protocol Version 4 (IPv4) ;
0x0806:Address Resolution Protocol (ARP) 。
IEEE 802.3 LLC以太帧:
逻辑链路控制LLC(Logical Link Control)由目的服务访问点DSAP(Destination Service Access Point)、源服务访问点SSAP(Source Service Access Point)和Control字段组成。
DSAP:1字节,目的服务访问点,若后面类型为IP值设为0x06。服务访问点的功能类似于Ethernet II帧中的Type字段或TCP/UDP传输协议中的端口号。
SSAP:1字节,源服务访问点,若后面类型为IP值设为0x06。
Ctrl:1字节,该字段值通常设为0x03,表示无连接服务的IEEE 802.2无编号数据格式。
MAC
MAC (Medium Access Control)地址在网络中唯一标识一个网卡,每个网卡都需要并拥有有唯一的一个MAC地址。
一块网卡的MAC地址是具有全球唯一性的。
一个MAC地址有48 bit,6 Byte。
MAC地址通常采用“十六进制”+“-”表示。
厂商代码,由IEEE分配,3 Byte,24 bit。制造商分配:3 Byte,24 bit
一个制造商在生产制造网卡之前,必须先向IEEE注册,以获取一个长度为24bit (3字节)的厂商代码,也称为OUI。
后24bit由厂商自行分派,是各个厂商制造的所有网卡的唯一编号。
MAC地址可以分为3种类型:
单播MAC地址:也称物理MAC地址,这种类型的MAC地址唯一的标识了以太网上的一个终端,该地址为全球唯一的硬件地址。
单播MAC地址用于标识链路上的一个单一节点。
目的MAC地址为单播MAC地址的帧发往一个单一的节点。
单播MAC地址可以作为源或目的地址。
注意:单播MAC地址具有全球唯一性,当一个二层网络中接入了两台具有相同MAC地址的终端时(例如误操作等),将会引发通信故障(例如这两台终端无法相互通信),且其他设备与它们之间的通信也会存在问题。
广播MAC地址:全1的MAC地址(FF-FF-FF-FF-FF-FF),用来表示局域网上的所有终端设备。
广播MAC地址可以理解为一种特殊的组播MAC地址。
其具体格式为:FFFF-FFFF-FFFF。
目的MAC地址为广播MAC地址的帧发往链路上的所有节点。
组播MAC地址:除广播地址外,第7bit为1的MAC地址为组播MAC地址(例如01-00-00-00-00-00),用来代表局域网上的一组终端。
组播MAC地址用于标识链路上的一组节点。
目的MAC地址为组播MAC地址的帧发往一组节点。
组播MAC地址不能作为源地址,只能作为目的地址。
3.以太网交换机介绍
以太网二层交换机
以太网二层交换机转发数据的端口都是以太网口,并且只能够针对数据的二层头部 (以太网数据帧头) 中的MAC地址进行寻址并转发数据。
以太网二层交换机:
在园区网络中,交换机一般来说是距离终端用户最近的设备,用于终端接入园区网,接入层的交换机一般为二层交换机。
二层交换设备工作在TCP/IP对等模型的第二层,即数据链路层,它对数据包的转发是建立在MAC(Media Access Control )地址基础之上的。
以太网三层交换机:
不同局域网之间的网络互通由需要由路由器来完成。随着数据通信网络范围的不断扩大,网络业务的不断丰富,网络间互访的需求越来越大,而路由器由于自身成本高、转发性能低、接口数量少等特点无法很好的满足网络发展的需求。因此出现了三层交换机这样一种能实现高速三层转发的设备。
注意:本课程中所涉及的交换机,均指以太网二层交换机。
MAC地址表
记录了交换机学习到的其他设备的MAC地址与接口的对应关系。交换机在转发数据帧时,根据数据帧的目的MAC地址查询MAC地址表。如果MAC地址表中包含与该帧目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含该帧目的MAC地址对应的表项时,交换机将采取泛洪方式在除接收接口外的所有接口发送该报文。
交换机的3种数据帧处理行为
交换机的3种数据帧处理行为:泛洪(Flooding) 、 转发(Forwarding) 、丢弃(Discarding)
泛洪:
如果从传输介质进入交换机的某个端口的帧是一个单播帧,交换机会去MAC表查这个帧的目的MAC地址。如果查不到这个MAC地址,则交换机将对该单播帧执行泛洪操作。
如果从传输介质进入交换机的某个端口的帧是一个广播帧,交换机不会去查MAC地址表,而是直接对该广播帧执行泛洪操作。
转发:
如果从传输介质进入交换机的某个端口的帧是一个单播帧,则交换机会去MAC表查这个帧的目的MAC地址。如果查到了这个MAC地址表,则比较这个MAC地址在MAC地址表中对应的端口编号是不是这个帧从传输介质进入交换机的那个端口的端口编号。如果不是,则交换机执行转发操作(将该帧送至该帧目的MAC地址在MAC地址表中对应的那个端口,并从那个端口发送出去)。
丢弃:
如果从传输介质进入交换机的某个端口的帧是一个单播帧,则交换机会去MAC表查这个帧的目的MAC地址。如果查到了这个MAC地址表,则比较这个MAC地址在MAC地址表中对应的端口编号是不是这个帧从传输介质进入交换机的那个端口的端口编号。如果是,则交换机将对该帧执行丢弃操作。
4.同网段数据通信全过程
主机1的ARP缓存表
> arp -a
交换机的MAC地址表
> display mac-address verbose
总结
在本章节中,介绍了以太网协议的基本概况,并介绍了以太网帧格式和MAC地址,还介绍了二层交换机的工作原理:在收到数据帧后,交换机学习帧的源MAC地址,然后在MAC地址表中查询该帧的目的MAC地址,并将帧从对应的端口转发出去。
最后,基于交换机的工作原理,回顾了同网段数据通信全过程。
以太网交换基础-课堂笔记
04.华为VRP系统
前言
通用路由平台VRP(Versatile Routing Platform)是华为公司数据通信产品的通用操作系统平台。它以IP业务为核心,采用组件化的体系结构,在实现丰富功能特性的同时,还提供了基于应用的可裁剪和可扩展的功能,使得路由器和交换机的运行效率大大增加。熟悉VRP操作系统并且熟练掌握VRP配置是高效管理华为网络设备的必备基础。
本课程主要介绍VRP的基本概念、常用命令和CLI界面的使用。
课程能力
学完本课程后,您将能够:
了解VRP的基础知识
掌握CLI界面的使用
掌握命令行的基本命令
1.华为VRP系统概述
VRP是华为公司数据通信产品的通用操作系统平台,作为华为公司从低端到核心的全系列路由器、以太网交换机、业务网关等产品的软件核心引擎。
文件系统
系统软件是设备启动、运行的必备软件,为整个设备提供支撑、管理、业务等功能。常见文件后缀名为:(.cc)。
配置文件是用户将配置命令保存的文件,作用是允许设备以指定的配置启动生效。常见文件后缀名为:(.cfg, .zip , .dat)。
补丁是一种与设备系统软件兼容的软件,用于解决设备系统软件少量且急需解决的问题。常见文件后缀名为:(.pat)。
PAF文件是根据用户对产品需要提供了一个简单有效的方式来裁剪产品的资源占用和功能特性。常见文件后缀名为:(.bin)。
存储设备
存储设备包括:SDRAM、Flash、NVRAM 、SD Card、USB。
SDRAM:同步动态随机存储器是系统运行内存,相当于电脑的内存。
Flash:属于非易失存储器,断电后,不会丢失数据。主要存放系统软件,配置文件等;补丁文件和PAF文件由维护人员上传,一般存储于flash或SD Card中。
NVRAM:非易失随机读写存储器,用于存储日志缓存文件,定时器超时或缓存满后再写入Flash。
SD Card:断电后,不会丢失数据。存储容量较大,一般出现在主控板上,可以存放系统文件,配置文件,日志等。
USB:USB是接口,用于外接大容量存储设备,主要用于设备升级,传输数据。
设备初始化过程
设备上电后,首先运行BootROM软件,初始化硬件并显示设备的硬件参数,然后运行系统软件,最后从默认存储路径中读取配置文件进行设备的初始化操作。
VRP用户级别
VRP用户级别: 参观级、监控级、配置级、管理级
2.命令行基础
命令视图与使用
display ip interface GE0/0/0,查看接口信息的命令
命令字:display
关键字:ip
参数名:interface
参数值:GE0/0/0
Reboot,重启设备的命令
命令字:reboot,操作命令都要用命令字,并且必须从规范的命令字集合中选取。
命令行视图
用户视图:用户可以完成查看运行状态和统计信息等功能。
系统视图:用户可以配置系统参数以及通过该视图进入其他的功能配置视图。
其他视图:比如接口视图,协议视图,用户可以进行接口参数和协议参数配置。
<Huawei>system-view #用户首先进入用户视图,通过命令进入系统视图
[Huawei]interface GigabitEthernet 0/0/1 #在系统视图进入接口视图
[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.1 24 #配置IP地址
[Huawei-GigabitEthernet0/0/1]quit #退回到上一个视图
[Huawei]ospf 1 #在系统视图进入协议视图
[Huawei-ospf-1]area 0 #在协议视图进入OSPF区域视图
[Huawei-ospf-1-area-0.0.0.0]return #返回用户视图
<Huawei> ?
> sys
[Huawei] info-center loglog
undo命令行一般用来恢复缺省情况、禁用某个功能或者删除某项配置
<Huawei> system-view
[Huawei] sysname Server
[Server] undo sysname
[Huawei]
命令行的快捷键
自定义快捷键:共有4个,<Ctrl+G>、<Ctrl+L>、<Ctrl+O>和<Ctrl+U>。
用户可以根据自己的需要将这4个快捷键与任意命令进行关联,当使用快捷键时,系统自动执行它所对应的命令。
<Huawei> system-view
[Huawei] hotkey ctrl_l "display tcp status"
系统快捷键:
CTRL_A:将光标移动到当前行的开头
CTRL_B:将光标向左移动一个字符
CTRL_C:停止当前命令的运行
CTRL_E:将光标移动到当前行的末尾
CTRL_X:删除光标左侧所有的字符
CTRL_Y:删除光标所在位置及其右侧所有的字符
CTRL_Z:返回到用户视图
CTRL+] :终止当前连接或切换连接
使用正则表达式过滤命令行显示信息
S600-E V200R020C00 配置指南-基础配置
https://support.huawei.com/enterprise/zh/doc/EDOC1100176382/f0a31a7b
基本配置命令1
文件系统操作命令--
1.查看当前目录
<Huawei>pwd
2.显示当前目录下的文件信息
<Huawei>dir
3.查看文本文件的具体内容
<Huawei>more
4.修改用户当前界面的工作目录
<Huawei>cd
5.创建新的目录
<Huawei>mkdir
6.删除目录
<Huawei>rmdir
7.复制文件
<Huawei>copy
8.移动文件
<Huawei>move
9.重命名文件
<Huawei>rename
10.删除文件
<Huawei>delete
VRP基于文件系统来管理设备上的文件和目录。在管理文件和目录时,经常会使用一些基本命令来查询文件或者目录的信息,常用的命令包括pwd,dir [ /all ] [ filename | directory ]和more [ /binary ] filename [ offset ] [ all ]。
pwd命令用来显示当前工作目录。
dir [ /all ] [ filename | directory ]命令用来查看当前目录下的文件信息。
more [ /binary ] filename [ offset ] [ all ]命令用来查看文本文件的具体内容。
本例中,在用户视图中使用dir命令,可以查看flash中的文件信息。
目录操作常用的命令包括:cd directory,mkdir directory和rmdir directory。
cd directory命令用来修改用户当前的工作目录。
mkdir directory命令能够创建一个新的目录。目录名称可以包含1-64个字符。
rmdir directory命令能够删除文件系统中的目录,此处需要注意的是,只有空目录才能被删除。
copy source-filename destination-filename命令可以复制文件。如果目标文件已存在,系统会提示此文件将被替换。目标文件名不能与系统启动文件同名,否则系统将会出现错误提示。
move source-filename destination-filename命令可以用来将文件移动到其他目录下。move命令只适用于在同一储存设备中移动文件。
rename old-name new-name命令可以用来对目录或文件进行重命名。
delete [ /unreserved ] [ /force ] { filename | devicename }命令可以用来删除文件。不带unreserved参数的情况下,被删除的文件将直接被移动到回收站。回收站中的文件也可以通过执行undelete命令进行恢复,但是如果执行delete命令时指定了unreserved参数,则文件将被永久删除。在删除文件时,系统会提示“是否确定删除文件”,但如果命令中指定了/force 参数,系统将不会给出任何提示信息。filename参数指的是需要删除的文件的名称,devicename参数指定了储存设备的名称。
基本配置命令2
1.配置设备名称
[Huawei] sysname name
2.设置系统时钟
<Huawei> clock timezone time-zone-name { add | minus } offset
--用来对本地时区信息进行设置。
<Huawei> clock datetime [ utc ] HH:MM:SS YYYY-MM-DD
--用来设置设备当前或UTC日期和时间。
<Huawei> clock daylight-saving-time
--用来设置夏令时
3.配置命令等级
[Huawei] command-privilege level level view view-name command-key
用来设置指定视图内的命令的级别。命令级别分为参观、监控、配置、管理4个级别,分别对应标识0、1、2、3。
4.配置用户通过Password方式登录设备
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]set authentication password cipher information
--用来进入指定的用户视图并配置用户认证方式为password。系统支持的用户界面包括Console用户界面和VTY用户界面,Console界面用于本地登录,VTY界面用于远程登录。默认情况下,设备一般最多支持15个用户同时通过VTY方式访问
5.配置用户界面参数
[Huawei] idle-timeout minutes [ seconds ]
用来设置用户界面断开连接的超时时间。如果用户在一段时间内没有输入命令,系统将断开连接。缺省情况下,超时时间是10分钟。
6.配置接口IP地址
[Huawei]interface interface-number
[Huawei-interface-number]ip address ip address
用来给设备上的物理或逻辑接口配置IP地址。
7.查看当前运行的配置文件
<Huawei>display current-configuration
8.配置文件保存
<Huawei>save
9.查看保存的配置
<Huawei>display saved-configuration
10.清除已保存的配置
<Huawei>reset saved-configuration
11.查看系统启动配置参数
<Huawei> display startup
用来查看设备本次及下次启动相关的系统软件、备份系统软件、配置文件、License文件、补丁文件以及语音文件。
12.配置系统下次启动时使用的配置文件
<Huawei>startup saved-configuration configuration-file
设备升级时,可以通过此命令让设备下次启动时加载指定的配置文件
13.配置设备重启
<Huawei>reboot
<Huawei>system-view
[Huawei]sysname AR1
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.1.1 24
[AR1-GigabitEthernet0/0/1]quit
[AR1]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei123
[AR1-ui-vty0-4]user privilege level 1
[AR1-ui-vty0-4]quit
<HUAWEI>save huawei.zip
Are you sure to save the configuration to huawei.zip? (y/n)[n]:y
It will take several minutes to save configuration file, please wait.........
Configuration file had been saved successfully
Note: The configuration file will take effect after being activated
<HUAWEI>startup saved-configuration huawei.zip
<AR1>display startup
MainBoard:
Startup system software: null
Next startup system software: null
Backup system software for next startup: null
Startup saved-configuration file: flash:/vrpcfg.zip
Next startup saved-configuration file: flash:/huawei.zip
Startup license file: null
Next startup license file: null
Startup patch package: null
Next startup patch package: null
Startup voice-files: null
Next startup voice-files: null
候选配置库
<Huawei>display configuration candidate
命令用来显示设备当前未提交的命令行信息。
--当用户完成一系列配置后还未提交时,这些命令会放置在候选配置库。
运行配置库
<Huawei>display current-configuration
命令用来查看路由器当前生效的配置参数。
--当用户将配置命令提交后,这些命令会放置在运行配置库。
启动配置库
<Huawei>display startup
命令用来显示与本次及下次启动相关的系统软件、配置文件名、PAF文件名和补丁文件名。
--当用户将配置保存后,这些命令会放置在启动配置库。
基本配置命令3
命令符
从用户视图切换到系统视图 system–view 从系统视图切换到用户视图 quit
连入接口命令 interface IP地址、子网掩码配置命令 ip address
接口IP信息查看命令 display ip interface brief
IPv4路由表信息查询命令 display ip routing–table
配置完成退回视图界面命令 return 命令自动补全快捷键【Tab】
快捷键查看命令 display
hotkey
路由名称修改命令 sysname (参数)
设置路由器时钟命令 clock
datetime设置路由器时区命令 clock timezone(时区){add|minus}(偏移时间)[正向偏移add ;负向偏移minus]
登录标题修改命令 header login header login information “ ”
登录成功后标题设置命令 header shell
header shell information “ ” 路由信息查看命令display version
路由当前配置查看命令 display current–configuration
接口状态查询命令 display interface gigabitethernet0/0/0
退格键BavkSpace
删除光标位置的前一个字符,光标左移;若已经到达命令起始位置,则停止左光标键或<Ctrl+B>
光标向左移动一个字符位置;若已经到达命令起始位置,则停止 。右光标键或<Ctrl+F>
光标向右移动一个字符位置;若已经到达命令起始位置,则停止。
删除键Delete
删除光标所在位置的一个字符,光标位置保持不动,光标后方字符向左移动一个字符位置;若已经到达命令尾部,则停止
上光标键【Ctrl+P】显示上一条历史命令。如果需显示更早的历史命令,可以重复使用该功能键。
下光标键【Ctrl+N】
显示下一条历史命令,课重复使用该功能键设备当前配置情况查看命令:display current-configuration
快捷键
Ctrl+A 将光标移动到当前行的开始
Ctrl+E 将光标移动到当前行的末尾
Ctrl+N 将光标向下移动一行
Ctrl+P 将光标向上移动一行
Ctrl+C 停止当前正在执行的功能
Ctrl+ F 返回到用户视图,相当于return命令
{Tab}键 部分帮助的功能,输入不完整的关键字后按下Tab键,系统自动补全关键字
设备当前支持用户界面信息查看命令: display user-interface
用户界面切换命令:user-interface(用户界面相对编号)(用户界面可选参数)
在对应的用户视图下对用户权限配置命令: user privilege level (用户级别)
配置用户界面验证方式的命令:authentication-mode{aaa|none|password}
配置VTY为aaa验证方式的用户名和密码命令:aaa
命令:local-user (用户名) password cipher (密码)
命令:local-user (用户名) service-type telnet(代指接入类型)
配置用户权限命令:local-user (用户名) password cipher (密码) privilege level(权限) ; local-user(用户名) privilege level(权限)
配置Console用户界面为Password验证命令:set authentication password cipher (密码)
查看命令:display current-configuration
手动保存当前配置命令:save【configuration-file】参数configuration-file为指定的配置文件名,格式必须是”.cfg"或”.zip"
周期性自动保存的设置
用户视图命令:
开启周期性自动保存命令:autosave interval on
设置自动保存周期命令:autosave intervaltime 参数time为指定周期的时间周期(参数:time取值应大于10 min)
开启定时自动保存命令: autosave time on
设置定时保存命令:autosave time time-value参数time-value为自动保存的时间点
下次启动的配置文件夹设置命令:startup saved-configurationconfiguration-file 参数
configuration-file为指定配置文件当前配置与下次启动配置文件差异
查看命令:compare configuration
查看当前文件下命令:dir[/all][filename|directory] all表示查看当前命令下的文件和目录,参数filename表示待查看文件的名称;
directory表示待查看目录的路径所在目录查询命令:pwd
新建目录的命令:mkdirdirectory 参数directory表示需要创建的目录(创建文件夹)
复制并重命名文件:
copy source-fliename destinction-filename
参数source-fliename表示被复制文件的路径及源文件名:
destinction-filename表示目标文件的路径及其目标文件名
修改当前工作路径命令:cd director
删除文件命令:
delete 【/unreserved】[/force]
filename
/unerserved表示彻底删除指定文件,删除的文件将不可恢复
/force 表示无需确认直接删除文件
参数filename表示删除的文件名
注解:如果不适用/unreserved,则delete命令删除的文件将被保存到回收站中。
恢复回收站中的文件命令:undelete
彻底删除回收站中的所有文件命令:reset recycle-bin
TFTP文件传输命令:tftptftp-server{get|put}source-filename[destination-filename]
参数tftp-server表示TFTP服务器的IP地址;get表示从TFTP服务器下载文件到TFTP客户端;Put表示TFTP客户端上传文件到TFTP服务器。source-filename表示源文件名;destination-filename表示目标文件名 。
TELNET
配置Telnet的验证方式为密码验证方式: authentication-mode password ste
authentication password cipher (密码)
远程登录设备命令:Telnet ip-address 参数ip-address为登录设备IP地址
FTP
建立FTP连接命令:ftp host-ip 【port-nuber】 参数host-ip表示FTP服务器的IP地址;port-number表示FTP服务器的端口号。
从FTP服务器下载文件到FTP客户端命令:get source-filename【destination-filename】
从FTP客户端上传文件到FTP服务器命令:put source-filename【destination-filename】
查看FTP服务器文件夹状态查询命令:ls
查看设备当前设置的下次启动时所用的启动文件情况命令:display
startup
设置下次启动使用的系统软件文件的命令:startup system-software system-file 参数system-file表示指定的系统软件文件名
Telnet登录方式:tnlnet ip-address 参数ip-address表示ip地址
查看已经登录信息命令:display users
SSH
生成本地RSA主机秘钥命令:rsa
local-key-pair create
新建SSH用户命令:ssh user (用户名) authentication-type password(代指类型)
在ssh服务端查看ssh用户配置命令:display ssh user-information (用户名)
开启ssh服务命令:stelnet server enable (服务开启命令)
首次启用认证命令:ssh client first-time enable 客户端命令
指定用户只支持ssh协议:protocol inbound ssh
指定用户的服务类型:local-user (用户名)service-type ssh
查看SSH服务器端的当前回话连接信息:display ssh server session
查看ssh服务全局配置信息命令:display ssh server status
查看本地秘钥对中的公钥部分命令: display
rsa local-key-pair public
SFTP
需配置本地用户为SSH接入类型
指定FTP用户可访问目录的命令:local-user (用户名) ftp-directory
flash: (默认为空,不可不配)
配置交换机双工模式
关掉自协议商双工:undo negotiation auto
手工指定双工模式为全双工:duplex full
以太网接口速率配置 :speed (大小)【单位Mbit/s】
ARP及proxy
ARP
在PC机下查看主机ARP表:arp -a
查看ARPb表:display arp all
添加静态IP和MAC地址:arp static (IP地址)(MAC地址)
开启代理ARP(Proxy ARP):arp-proxy enable 接口视图下
VLAN基本配置及Access接口
创建单个VLAN:vlan (参数)
创建多个VLAN:vlan batch (参数1)(参数2)
配置接口为Access类型接口:port link-type access
配置接口的默认VLAN同时加入VLAN中 :port default vlan (参数)
查看VLAN相关信息(接口和所属vlna的对应关系):display vlan
vlan基本配置 trunk
标记命令:description (参数)
查看vlan的简单信息:display vlan summary
查看vlan和接口配置情况:display port vlan
设置接口为trunk接口:port link-type trunk
设置trunk接口允许通过的vlan:port trunk allow-pass
vlan (参数) 【可是同时设置允许多个通过 (all为全部)】
Hybrid接口
恢复接口默认VLAN: undo port default vlan 删除VLAN:undo
VLAN (参数)
修改接口类型为默认的Hybrid类型:port link-type hybrid
配置交换机在该接口转发指定VLAN的帧:port hybrid untagged vlan(参数/all)
设置Hybrid接口的默认VLAN ID :port hybrid pvid vlan (参数)
配置接口接收的VLAN tag帧:port hybrid tagged vlan (参数/all)
单臂路由实VLAN间路由
配置路由端口子接口(逻辑接口):interface gigabitethernet0/0/0。x
配置子接口对一层tag报文的终极功能:dot1q termination vid (参数)
开启子接口ARP广播功能:ARP broadcast enable
注解:不开启此功能,将导致子接口无法主动发送ARP广播报文,以及向外转发IP报文
Ping跟踪查看命令:tracert (ip)
使用三层交换实现VLAN间路由
创建VLANif接口命令:interface VLANif (参数)
GVRP配置:
开启gvrp服务:gvrp
查看gvrp的使用情况:display gvrp status
查看端口的gvrp统计信息:display gvrp statistics
配置模式为fixed:gvrp registration fixed (接口)()
配置模式为forbidden:gvrp registration forbidden (接口)
删除配置命令:undo(参数) 参数:为配置项
STP基本配置命令:
配置设备STP的工作模式:stp mode {mstp|rstp|stp}
开启stp服务:stp enable
配置桥的优先级:stp
priority priority
参数:取值范围0——61440 步长4096 缺省值32768 参数越小,设备被选举为根桥的可能性越大
配置设备为根桥:stp
root primary
配置设备为备份根桥:stp
root secondary 桥有限级默认为4096 不可修改优先级
生成树的状态信息与统计信息查询:display stp [interface interface-type interface-number][brief]
配置接口的开销值:stp
cost (参数)
查看设备的接口信息:display (interface-type
interface-number)
stp定时器
ping (ip) -t
定时配置:stp
timer (参数)(时间单位 cs)
关闭命令:shutdown
配置网络直径:stp
bridge-diameter(参数)
边缘接口配置:stp
edged-port enable
MSTP基础配置
进入mst域视窗:stp region-configuration
配置MST域名:region-name(参数)
配置mstp的修订级别:revision-level(参数)
制定VLAN的映射到mstp实例生成树 :instance (参数) VLAN (参数)
激活mst:active region-configuration
查看mst域配置信息:display stp region-configuration
查看实例中的生成树信息:display
stp instance (参数) brief
配置交换机为实例中的根:stp
instance (参数)priority(参数)
Smart Link 与Monitor
Link配置
创建smart link组并接入窗口:smart-link group (参数)
开启smart link组功能:smart-link enable
关闭生成树:stp
disable 【接口命令】
配置主接口:port(nterface-type
interface-number)master
配置备份接口:port(nterface-type
interface-number) slave
开启回切功能:restore
enable
设置回切时间:timer
wtr (参数)
查看smart link组状态:display smart-link group (参数)
启用monitor link组:monitor-link group(参数)
配置monitor link上行接口:port(nterface-type interface-number)uplink
配置monitor link下行接口:port(nterface-type interface-number)downlink
配置monitor link回切时间:timer recover-time (参数)
配置Eth-trunk链路聚合
创建Eth-trunk接口:interface Eth-trunk(参数)
指定Eth-trunk为手工负载分担模式:mode manual load-balance
查看Eth-trunk的接口状态:display Eth-trunk(参数)
查看Eth-trunk的接口信息:display interface Eth-trunk(参数)
查看Eth-trunk的详细信息:disp trunkmembership eth-trunk(参数)
指定Eth-trunk为静态lacp模式:mode lacp-static
指定接口加入指定Eth-trunk接口:Eth-trunk (参数)
配置活动接口上线阙值:max
active-linknumber (参数)
修改优先级:lacp priority (参数) 参数:可取值范围0~32768
静态路由
配置下一跳路由ip:IP route-static(目的地址IP段)(子网掩码)(目的IP)
IP route-static
(参数1)(参数2)(nterface-type
interface-number)
配置静态IP :IP route-static 0.0.0.0 0(参数3)
配置路由表优先级:IP
route-static (参数1 )(参数2)(参数3)preference(参数)
查看静态路由信息:display
ip routing-table protocol static
查看路由表手动添加信息:display
ip routing-table protocol static
RIP配置
rip协议基本配置
环回地址接口:Loopback (参数)
开启并创建rip协议:rip
默认情况下是ripv1
网段接口rip功能制定(开启)命令:network (参数)
参数:ip段
查看rip协议更更新情况并开启rip调试功能;debugging rip (参数)
<>命令
开启debug信息屏幕显示功能:terminal
debugging
terminal monitor
关闭debug命令:undo
debugging rip (参数)
undo
debugging all
某类型调试信息查看:debugging rip (参数)(?)
参数“?”:表示获取帮助,查看相关命令
ripv2搭建(开启ripv2):version
2
RIPV2认证
简单密码认证:rip authentication-mode simple (密码)
MD5密文验证:rip
authentication-mode md5 (usual/nonstandard)(密码)
usual:表示使用通用报文格式;nonstandard:表示使用非标准报文格式(IETF标准)
RIp路由协议的汇总
查看rip默认配置信息:display default-parameter rip
ripv2自动汇总:summary
always (自动开启)
ripv2汇总关闭:undo
summary
关闭相应接口下水平分割功能:undo
rip split-horizon
相应接口下配置ripv2手动汇总:rip summary-address( 网络地址 )(子网掩码)
配置rip的版本兼容,定时器及协议优先级
配置以广播形式发送ripv2报文命令:rip version 2 broadcast
配置以组播形式发送ripv2报文命令:rip version 2 multicast
停止发送rip路由更新(撤销rip报文更新)命令:undo rip output(端口视图下命令)
rip发布数据库中所有激活路由查看命令:display
rip (域)database
rip定时器修改命令:timers
rip
(更行定时器)(超市计时器)(垃圾收集定时器)
rip路由优先级需改命令:preference(参数)
rip配置全局信息查看命令:display
rip
配置rip抑制接口及单播更新
配置rip接口为抑制接口(静默接口)命令:silent-interface(接口号)
配置rip单播更新命令:peer(ip地址)
undo rip output 命令来抑制接口,即使配置了单播更新也是无法再以单播的形式发送路由更新的。禁止接口接收rip报文命令:undo rip input
优先级:
silent-interface >rip output
silent-interface >rip output
RIP与不连续子网
ripv1中解决不连续子网问题的方法给接口配置第二个ip地址
命令:ip address (ip地址) sub
ripv2
中解决不连续子网问题的方式关闭vipv2自动汇总v
rip的水平分割及触发更新
打开debug(调试)功能:debugging rip 1 send (接口号)
查看外发的路由条目:terminal
monitor
terminal debugging 关闭debug功能:undo debugging all
接口视图下关闭水平分割功能:undo
rip split-horizon
接口视图下开启毒性逆转:rip
poison-reverse
配置rip路由附加度量值
接口视图命令: 配置rip Metricin(增加接受度量):rip
metricin 2 配置rip Metricout(增加发送度量): rip metricout 2
检测源地址到达目标地址所经过网管:tracert
#.#.#.#
rip故障处理
查看接口配置信息命令:display
current-configuration interface (接口号)
”对应“信息查询命令:display this
接口水平分割信息查询命令:display
rip 1 interface (接口号) verbose
查看链路认证信息命令:display
rip1 statistics interface(接口号)
检测是否可以正常收发rip路由(查看rip路由表):display ip routing-table protocol rip
检查路由路由度量值命令:display
rip 1 route
查看所有与字符串rip相关的配置命令:display current-configuration |{ include(包含所有) rip参
数}
rip路由引进
引入源路由~路由引入命令:import-route direct(直接)
学习引入~路由引入命令:import-route {static(静态的)参数}
查看rip邻居:display
rip 1 neighbor
OSPF区域配置
创建ospf命令:ospf 0(0默认为主干区域)
创建ospf区域命令:area (区域ID)
指定ospf协议接口和接口所属区域:network (iP地址段)(ip所属网管对应子网位)
检查ospf接口通告: display ospf interface
查看ospf邻居状态:display ospf peer (brief:简短的)
查看ospf路由表:display ip routing-table protocol ospf
查看ospf链路状态数据库信息:display ospf lsdb
ospf认证与被动接口配置
区域明文认证:authentication-mode simple plain(密码) {plain:表示明文显示}
区域密文认证:authentication-mode md5 1 (密码) {1:为验证字标识符}
链路认证:ospf
authentication-mode md5 1 (密码)
配置被动接口,禁止接口接收和发送ospf报文:silent-interface (接口号){all}
Router-ID DR与BDR
查看当前设备Router-ID:display router id
配置router-id:router id #.#.#.#
重置ospf协议进程:reset ospf process
配置ospf协议私有router-id:ospf 1 routef-id(IP地址)
ospf网络类型点到多点配置:ospf
network-type p2mp
还原默认广播类型:ospf
network-type broadcast
配置接口DR优先级:ospf dr-priority (参数)
ospf开销值,协议优先级及计时器的修改
修改ospf协议优先级:prefernece (参数)
配置运行ospf协议所需开销值:ospf cost (参数)
修改hello计时器命令:ospf timer hello (参数)
修改dead计时器命令:ospf timer dead(参数)
rip与ospf的配置
双向引入路由命令:import-route (参数rip/ospf)
手工配置引入时的开销:imoprt-toute (参数rip/ospf) cost 参数)
rip默认路由发布:default-route
originate
ospf默认路由发布:default-route-advertise
always
IPV6
开启ipv6全局功能:ipv6
在端口下开启ipv6功能:ipv6 enable
配置自动生成的链路本地地址:ipv6
address auto link-local
查看自动生成的链路本地地址:display
ipv6 interface
配置ipv6命令:ipv6 address (地址)
查看配置的全局地址:display
ipv6 interface (接口号)
配置结果查看命令:display
ipv6 interface brief
配置ripng进程:ripng (参数)
启用接口ripng:ripng (参数)enable查看ripng (参数)路由信息:display ripng 1 route 创建ospfv3进程(参数):opsfv3 (参数)
配置router-ID:router id (#.#.#.#)
在接口下配置ospfv3进程区域:ospfv3 (参数) area (参数)
DHCP
开启dhcp功能:dhcp enable
开启接口dhcp服务功能:dhcp select interface
配置租期:dhcp
servse lease [day ] (参数)
配置地址池中不参与分配的地址范围:dhcp
server excluded -ip-address (ip段始)(ip段尾)
指定接口下dns服务器:dhcp server dns-list (ip 地址)
查看dhcp地址池中地址分布情况:display ip pool
创建一个全局地址池:ip
pool (名称)
配置全局地址池分配网段范围:network(ip地址)
配置dncp客户端网关地址:gateway-list (ip地址)
开启接口的dncp功能使用全局地址池为客户端分配地址:dhcp select global
开启接口dhcp中继gon功能:dhcp select relay
指定dhcp服务器地址:dhcp reley server-ip (ip地址)创建dhcp服务器组:dhcp server group (名称)
添加远端dhcp服务器组:dhcp-server (ip地址)
配置端口到指定的服务器组:dhcp relay server-select (名称)
基本ACL
基本acl规则的命令结构:
rule [rule-id] {deny
| permit} [source {source-address source-wildcard | any } |
fragment |logging | time-range time-
name]
参数说明:
rule:表示这是一条规则
rele-id:表示这条规则的编号
deny | permit:表示这是一个二选一选项,表明这条规则的相关处理动作。deny表示“拒绝”;permit表示“允许”。
source:表示源ip地址信息
source-address: 表示具体的源ip地址
source-wildcard:表示与source-address相对应得匹配符
any:表示源ip地址可以是任何地址
fragment:表示该规则只对分区非首片分区报文有效
logging:表示需要将匹配上该规则的ip报文进行日志记录
time-range time-name :表示该规则的生效时间段为time-name
编号区分:
2000~2999基本acl 3000~3999高级acl
4000~4999二层acl 5000~5999自定义acl
创建ACL:acl (编号)
拒接源ip地址规报文则:rule deny source (ip地址)(匹配符)
拒接目的ip地址报文规则:rule deny destination (ip地址)(匹配符)
使用报文过滤技术将acl规则应用到接口上:traffic-filter [utbound/inbound] acl (编号)(utbound表示出站,inbound表示入站)
允许源地址的规则:rule(规则id) permit source (ip地址)(子网掩码)[any]
拒接源地址的规则:rule (规则id)deny
source (ip地址)(子网掩码)[any]
查看acl(编号)的配置:display acl (编号)
基础过滤工具
数据方向调用acl:acl(编号)
[inbound//utbound] 查看设备控制访问列表:display acl all
高级acl股则格式:rule (规则id) permit / deny (协议) source (ip地址)(子网掩码) [any]
配置(filter-policy)过滤策略调用acl:filter-policy (acl编号) impory 配置前缀列表过滤路由: ip ip-prefix 1 deny (ip地址) (子网掩码) greater-equal (网络位)
less-equal(网络位)
注解:
greater-equal:表示大于等于less-equal:表示小于等于
配置放行所有其它路由:ip
ip-prefix 1 permit 0.0.0.0 0 less-equal 32
配置(filter-policy)过滤策略调前缀列表:filter-policy ip-prefix 1 import
SNMP协议基础配置
开启agent命令:snmp-agent
查看系统信息:display
SNMP-agent sys-info
配置snmp版本:snmp-agent sys-info [v1/v2c/v3]
查看agent信息:display snmp-agent sys-info version
配置nms管理权限:
acl (编号)
限制管理设备:rule (规则编号 ) permit source (ip地址)(子网掩码)
不允许管理设备:rule (规则编号)deny source (ip地址) (子网掩码)
配置用户组,用户名,并指定使用acl: snmp-agent
usm-user v3 (用户名)
(用户组)acl (编号)
查看SNMPv3的用户信息:display snmp-agent sum-user
配置Agent发送trap消息:snmp-agent
target-host trap-hostname (网管名) address (目标地址池) udp-port (端口号) trap-paramsname (网管名)
开启设备告警开关:snmp-agent
trap enable
设置告警消息列队长度:snmp-agent
trap queue-size (参数值)
设置报文消息保存时间:snmp-agent
trap life (参数值)
配置管理员联系方式:snmp-agent
sys-info contact call admin (电话号码)
查看snmp Agent输出网管:display snmp-agent target-host
GRE协议基本配置(tunnel隧道创建)
创建隧道接口:interface tunnel (接口号)指定隧道模式为gre:tunnel-protocol gre
配置接口源地址:source (ip地址)
配置 接口目标地址:destination (ip地址)
注解:一条隧道链路两端接口ip地址必须在同一个网站注解:trunnel接口信息显示:Line protocol
current state : DOWN 不知道如何启用
配置动态路由协议省略
NTP
静态nat内部地址池到外部地址池一对一转换:nat static global (外部地址) inside (内部地址)
查看静态ntp配置信息:display nat static
配置nat outbound 外网地址池:nat
addres-group 1 (头ip地址)(尾ip地址) acl (编号)
rule (规则编号)permit source (ip地址)(子网掩码)
在接口下将acl与地址池相关联:nat outbounb (acl编号) address-group 1 no-pat
注解:只有acl规定的地址才可以使用地址池进行地址转换
查看NAT outbound信息:display nat outbound
在接口上配置Easy-ip特性,使用接口地址为转化后的地址:nat
outbound (acl编号)
查看NAT Session的详细信息:display nat session protocol udp verbose
在接口指定内网服务器映射之外网,外网访问内网服务器,指定服务器通信协议类型为tcp:
命令:nat server protocol [tcp(协议类型)] global (服务器公网地址)[fcp(服务协议)] inside (服务器私网地址) [ftp(协议端口号,ftp协议默认端口号为21)]
启用nat alc功能:nat alg ftp enable
查看nat server信息:display nat server
VRRP
在接口穿件vrrp备份组:vrrp vrid (id号) virtual-ip (ip地址)
配置接口vrrp优先级:vrrp vrid (id 号) priority (参数)
查看vrrp信息:display vrrp / brief(简要状态) /interface (详细状态)
修改虚拟组为非抢占模式:vrrp
vrid (id号) preempt-mode disable
配置上行接口监控:vrrp
vrid (id号) track interface (上行接口号) reduced (参数)
vrrp接口md5认证:vrrp vrid (id号) authentication-mode md5(密码)
ppp认证
设置本端的ppp协议对对端设备的认证方式为pap:ppp authentication-mode pap domain (域名)进入aaa视图,创建认证方案:authentication-scheme (域名-id)
配置认证模式为本地认证:authentication-mode
local
创建域,并进入域视图:domain (域名)
配置域的认证方式:authentication-scheme (域名-id)
在aaa视图下,配置储存在本地,对对端口认证所使用的用户名和密码
local-user
(用户名) passwork cipher (密码) local-user (用户名)
service-type ppp
配置本端被对端以pap认证时本地发送的pap用户和密码
ppp pap local-user (用户名)
password cipher (密码)在接口下配置认证方式为chap:ppp
authentication-mode chap
在对端接口下配置chcp认证的用户名和密码:ppp chap (用户名)
ppp chap password (密码)在接口下配置链路层协议HDLC:link-protocol
hdlc
帧中继
接口配置链路层协议为FR:link-protocol fr
允许帧中继逆向解析地址生产地址映射表:fr
inarp
接口下手动配置ip地址与DLCI的静态映射:fr map ip (ip地址) (DLCI)[broadcast]
查看pvc的建立情况:display fr pvc-info
手工配置ospf邻居:peer (ip地址)
05.网络层协议及IP编址
前言
IPv4 (Internet Protocol Version 4)协议族是TCP/IP协议族中最为核心的协议族。它工作在TCP/IP协议栈的网络层,该层与OSI参考模型的网络层相对应。
网络层提供了无连接数据传输服务,即网络在发送数据报文时不需要先建立连接,每一个IP数据报文独立发送。
在本章节中,将介绍IPv4地址的基本概念,介绍如何进行子网划分,并且会介绍网络IP地址规划和IP地址的基本配置。
课程能力
描述网络层的主要协议
描述IPv4地址的概念、分类及特殊IP地址
计算IP网络以及IP子网
掌握IP网络地址规划方式
1.网络层协议
网络层
网络层 经常被称为IP层。但网络层协议并不只是IP协议,还包括ICMP(Internet Control Message Protocol)协议、IPX(Internet Packet Exchange)协议等。
IP协议
IP是Internet Protocol的缩写。 Internet Protocol本身是一个协议文件的名称,该协议文件的内容非常少,主要是定义并阐述了IP报文的格式。
经常被提及的IP,一般不是特指Internet Protocol这个协议文件本身,而是泛指直接或间接与IP协议相关的任何内容。
作用:
为网络层的设备提供逻辑地址
负责数据包的寻址和转发
版本:
IPv4 (IP Version 4)
IPv6 (IP Version 6)
数据封装
IPv4报文格式
IP Packet(IP数据包),其包头主要内容如下:
Version:4 bit,4:表示为IPv4;6:表示为IPv6。
Header Length:4 bit,首部长度,如果不带Option字段,则为20,最长为60。
Type of Service:8 bit,服务类型。只有在有QoS差分服务要求时,这个字段才起作用。
Total Length:16 bit,总长度,整个IP数据包的长度。
Identification:16 bit,标识,分片重组时会用到该字段。
Flags:3 bit,标志位。
Fragment Offset:12 bit,片偏移,分片重组时会用到该字段。
Time to Live:8 bit,生存时间。
Protocol:8 bit,协议:下一层协议。指出此数据包携带的数据使用何种协议,以便目的主机的IP层将数据部分上交给哪个进程处理。
常见值:
1: ICMP, Internet Control Message;
2: IGMP, Internet Group Management;
6: TCP , Transmission Control Protocol;
17: UDP, User Datagram Protocol。
Header Checksum:16 bit,首部检验和。
Source IP Address:32 bit,源IP地址。
Destination IP Address:32 bit,目的IP地址。
Options:可变,选项字段。
Padding:可变,填充字段,全填0。
数据包分片
将报文分割成多个片段的过程叫做分片。
网络中转发的IP报文的长度可以不同,但如果报文长度超过了数据链路所支持的最大长度,则报文就需要分割成若干个较小的片段才能够在链路上传输。
生存时间 (Time to Live, TTL)
TTL字段设置了数据包可以经过的路由器数目。
一旦经过一个路由器,TTL值就会减1,当该字段值为0时,数据包将被丢弃。
Time to Live:8 bit,生存时间。可经过的最多路由数,即数据包在网络中可通过的路由器数的最大值。
报文在网段间转发时,如果网络设备上的路由规划不合理,就可能会出现环路,导致报文在网络中无限循环,无法到达目的端。环路发生后,所有发往这个目的地的报文都会被循环转发,随着这种报文逐渐增多,网络将会发生拥塞。
为避免环路导致的网络拥塞,IP报文头中包含一个生存时间TTL(Time To Live)字段。报文每经过一台三层设备,TTL值减1。初始TTL值由源端设备设置。当报文中的TTL降为0时,报文会被丢弃。同时,丢弃报文的设备会根据报文头中的
源IP地址向源端发送ICMP错误消息。(注意:网络设备也可被配置为不向源端发送ICMP错误消息。)
协议号 (Protocol)
IP报文头中的协议号字段标识了将会继续处理该报文的协议。
即指出此数据包携带的数据使用何种协议,以便目的主机的IP层将数据部分上报给哪个进程处理。
目的端的网络层在接收并处理报文以后,需要决定下一步对报文如何处理。IP报文头中的协议字段标识了将会继续处理报文的协议。
该字段可以标识网络层协议,如ICMP(Internet Control Message Protocol,因特网控制报文协议,对应值0x01);也可以标识上层协议,如TCP(Transmission Control Protocol,传输控制协议,对应值0x06)、UDP(User Datagram Protocol,用户数据包协议,对应值0x11)。
2.IPv4地址介绍
IP地址在网络中用于标识一个节点(或者网络设备的接口)。
IP地址用于IP报文在网络中的寻址。
一个IPv4地址有32 bit。
IPv4地址通常采用“点分十进制”表示。
IPv4地址范围:0.0.0.0~255.255.255.255
网络部分:用来标识一个网络。
主机部分:用来区分一个网络内的不同主机。
网络掩码:区分一个IP地址中的网络部分及主机部分。
IPv4地址由如下两部分组成:
网络部分 (网络号):用来标识一个网络。
IP地址不能反映任何有关主机位置的地理信息,只能通过网络号码字段判断出主机属于哪个网络。
对于网络号相同的设备,无论实际所处的物理位置如何,它们都是处在同一个网络中。
主机部分 (主机号):用来区分一个网络内的不同主机。
网络掩码 (Netmask),又称子网掩码 (Subnet Mask):
网络掩码为32 bit,与IP地址的位数一样,通常也以点分十进制数来表示。
网络掩码不是一个IP地址,在二进制的表示上是一堆连续的1、后面接一堆连续的0。
通常将网络掩码中1的个数称为这个网络掩码的长度。如:掩码0.0.0.0的长度是0,掩码252.0.0.0的长度是6。
网络掩码一般与IP地址结合使用,其中值为1的比特对应IP地址中的网络位;值为0的比特对应IP地址中的主机位,以此来辅助 我们识别一个IP地址中的网络位与主机位。即网络掩码中1的个数就是IP地址的网络号的位数,0的个数就是IP地址的主机号的位数。
IP地址分类
A/B/C类默认网络掩码
A类:8 bit, 0.0.0.0~127.255.255.255/8
B类:16 bit,128.0.0.0~191.255.255.255/16
C类:24 bit,192.0.0.0~191.223.255.255/24
D类:224.0.0.0~239.255.255.255
E类: 240.0.0.0~255.255.255.255
网络地址
网络号为X,主机号的每个比特都为0。
不能分配给具体的主机接口使用。
广播地址
网络号为X,主机号的每个比特都为1。
不能分配给具体的主机接口使用。
可用地址
又称主机地址,可用分配给具体的主机接口使用。
一个网段可用地址数量计算:
一个网段的主机位为n位,则IP地址数为:2ⁿ,可用IP地址数为:2ⁿ-2 (减去网络地址和广播地址)。
IP地址计算
【8】 255
【7】 254
【6】 252
【5】 248
【4】 240
【3】 224
【2】 192
【1】 128
30 24+6
255.255.255.252
/27 =/24 +/3
255.255.255.224
/3 224
256-224= 32
0-31 1
32-63 2
64-95 3
96-127 4
128-159 5
160-191 6
192-223 7
224-255 8
0-(N-1)
块计算
1. /27 255.255.255.224
2. 256-224=32 主机数
3.主机、可用主机、网络、广播
192.168.1.1.(0-31)
网络 = N/32 = 整数
广播 = 块下一个网络 - 1
可用主机 192.168.1.1-30
195. 16 . 15. 14
255. 255. 255. 254
主机=网络 +可用主机+广播
子网掩码怎么口算?-【块计算方法】
https://blog.51cto.com/u_8852184/2409773
例:172.16.10.1/16这个B类地址的网络地址、广播地址以及可用地址数分别是?
(单选)201.222.5.64是第几类IP地址。( )
A类
B类
C类
D类
(多选)某公司被分到了一个C类网络地址段192.168.20.0/24,现有一个部门有40台主机,请问以下哪些子网可被分配( )?
192.168.20.64/26
192.168.20.64/27
192.168.20.128/26
192.168.20.190/26
256-128=128
256-192=64 /24+/2=/26
256-224=32
256/64=4
64*0=0
64*1=64
64*2=128
64*3=192
A C
私网IP地址
公网IP地址:IP地址是由IANA统一分配的,以保证任何一个IP地址在Internet上的唯一性。这里的IP地址是指公网IP地址。
私网IP地址:实际上一些网络不需要连接到Internet,比如一个大学的封闭实验室内的网络,只要同一网络中的网络设备的IP地址不冲突即可。在IP地址空间里,A、B、C三类地址中各预留了一些地址专门用于上述情况,称为私网IP地址。
A类:10.0.0.0~10.255.255.255
B类:172.10.0.0~172.31.255.255
C类:192.168.0.0~192.168.255.255
特殊IP地址
255.255.255
这个地址称为有限广播地址,它可以作为一个IP报文的目的IP地址使用。
路由器接收到目的IP地址为有限广播地址的IP报文后,会停止对该IP报文的转发。
0.0.0.0
如果把这个地址作为网络地址,它的意思就是“任何网络”的网络地址;如果把这个地址作为主机接口地址,它的意思就是“这个网络上主机接口”的IP地址。
例如:当一个主机接口在启动过程中尚未获得自己的IP地址时,就可以向网络发送目的IP地址为有限广播地址、源IP地址为0.0.0.0的DHCP请求报文,希望DHCP服务器在收到自己的请求后,能够给自己分配一个可用的IP地址。
127.0.0.0/8
这个地址为环回地址,它可以作为一个IP报文的目的IP地址使用。其作用是测试设备自身的软件系统。
一个设备产生的、目的IP地址为环回地址的IP报文是不可能离开这个设备本身的。
169.254.0.0/16
如果一个网络设备获取IP地址的方式被设置成了自动获取方式,但是该设备在网络上又没有找到可用的DHCP服务器,那么该设备就会使用169.254.0.0/16网段的某个地址来进行临时通信。
注:DHCP (Dynamic Host Configuration Protocol),动态主机配置协议,用于动态分配网络配置参数,如IP地址。
IPv4 vs IPv6
由全球IP地址分配机构,IANA (Internet Assigned Numbers Authority)管理的IPv4地址,于2011年完全用尽。随着最后一个IPv4公网地址分配完毕,加上接入公网的用户及设备越来越多,IPv4地址枯竭的问题日益严重,这是当前IPv6替代IPv4的最大源动力
ipv4
地址长度:32 bit
地址分类:单播地址、广播地址、组播地址
特点:
地址枯竭
包头设计不合理
对ARP的依赖,导致广播泛滥
……
IPv6
地址长度:128 bit
地址分类:单播地址、广播地址、任播地址
特点:
无限地址
简化的报文头部
IPv6地址自动部署
……
3.子网划分
为什么要划分子网?
一个B类地址用于一个广播域,地址浪费。
广播域太庞大,一旦发生广播,内网不堪重负。
将一个网络号划分成多个子网,每个子网分配给一个独立的广播域。
如此一来广播域的规模更小、网络规划更加合理。IP地址得到了合理利用。
练习:计算子网
问题:现有一个C类网络地址段192.168.1.0/24,请使用可变长子网掩码给三个子网分别分配IP地址。
4.ICMP协议
ICMP协议
Internet控制消息协议ICMP (Internet Control Message Protocol)是IP协议的辅助协议。
ICMP协议用来在网络设备间传递各种差错和控制信息,对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。
为了更有效地转发IP数据报文和提高数据报文交互成功的机会,在网络层使用ICMP协议。ICMP允许主机或设备报告差错情况和提供有关异常情况的报告。
ICMP消息:
ICMP消息封装在IP报文中,IP报文头部Protocol值为1时表示ICMP协议。
字段解释:
ICMP消息的格式取决于Type和Code字段,其中Type字段为消息类型,Code字段包含该消息类型的具体参数。
校验和字段用于检查消息是否完整。
消息中包含32 bit的可变参数,这个字段一般不使用,通常设置为0。
在ICMP重定向消息中,这个字段用来指定网关IP地址,主机根据这个地址将报文重定向到指定网关。
在Echo请求消息中,这个字段包含标识符和序号,源端根据这两个参数将收到的回复消息与本端发送的Echo请求消息进行关联。尤其是当源端向目的端发送了多个Echo请求消息时,需要根据标识符和序号将Echo请求和回复消息进行一一对应。
5.IPv4地址配置及基本应用
IP地址的基础配置命令
1.进入接口视图
[Huawei] interface interface-type interface-number
>通过此命令可以进入指定的接口视图,配置接口的相关属性。
> interface-type interface-number:指定接口类型和接口编号。接口类型和接口编号之间可以输入空格也可以不输入空格
2.配置接口的IP地址
[Huawei-GigabitEthernet0/0/1] ip address ip-address { mask | mask-length }
>在接口视图下,通过此命令来给网络设备上的接口配置IP地址,实现网络的互连。
> ip-address:指定接口的IP地址,点分十进制形式。
> mask:指定子网掩码,点分十进制形式。
> mask-length:指定掩码长度,整数形式,取值范围是0~32。
案例:配置接口IP地址
配置物理接口地址:
[RTA] interface gigabitethernet 0/0/1
[RTA-GigabitEthernet0/0/1] ip address 192.168.1.1 255.255.255.0
或
[RTA-GigabitEthernet0/0/1] ip address 192.168.1.1 24
配置逻辑接口地址:
[RTA] interface LoopBack 0
[RTA-LoopBack0] ip address 1.1.1.1 255.255.255.255
或
[RTA-LoopBack0] ip address 1.1.1.1 32
网络IP地址规划
IP地址规划要和网络结构、路由协议、流量规划、业务规则等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。
总得来说: IP地址规划的目标是:易管理、易扩展、利用率高。
参考规划原则:
唯一性、连续性、扩展性
结构化、业务相关性
6.总结
在IP网络上,如果用户要将一台计算机连接到Internet上,就需要向因特网服务提供方ISP(Internet Service Provider)申请一个IP地址。
在本章节中,我们介绍了IP协议的基本概况,并介绍了IPv4地址的相关概念以及如何进行子网划分。
在本章节中,我们还介绍了网络IP地址规划以及IP地址的基本配置。
06.网络服务与应用
前言
网络已经成为当今人们生活中的一部分:传输文件、发送邮件、在线视频、浏览网页、联网游戏。因为网络分层模型的存在,普通用户无需关注通信实现原理等技术细节就可以直接使用由应用层提供的各种服务。
之前的课程中我们已经学习了数据链路层、网络层、传输层相关的技术,本章让我们一起了解FTP、DHCP、HTTP等常见的网络服务与应用。
课程能力
学完本课程后,您将能够:
掌握FTP的工作原理
掌握TFTP的工作原理
掌握DHCP的工作原理
掌握Telnet的工作原理
掌握HTTP的工作原理
掌握DNS的基本概念
掌握NTP的基本概念
1.FTP
配置命令介绍 - 设备作为服务器端
用户通过FTP访问设备
1.开启FTP服务器端功能
[Huawei]ftp [ ipv6 ] server enable
> 缺省情况下,设备的FTP服务器端功能是关闭的。
2.配置FTP本地用户
[Huawei]aaa
[Huawei]local-user user-name password irreversible-cipher password
[Huawei]local-user user-name privilege level level
[Huawei]local-user user-name service-type ftp
[Huawei]local-user user-name ftp-directory directory
> 必须将用户级别配置在3级或者3级以上,否则FTP连接将无法成功。
配置命令介绍 - 设备作为客户端
1.VRP作为FTP客户端访问FTP服务器端
<FTP Client>ftp 10.1.1.1
Trying 10.1.1.1 ...
Press CTRL+K to abort
Connected to 10.1.1.1.
220 FTP service ready.
User(10.1.1.1:(none)):ftp
331 Password required for ftp.
Enter password:
230 User logged in.
2.VRP作为FTP客户端的常用命令
ascii Set the file transfer type to ASCII, and it is the default type
binary Set the file transfer type to support the binary image
ls List the contents of the current or remote directory
passive Set the toggle passive mode, the default is on
get Download the remote file to the local host
put Upload a local file to the remote host
配置示例
上述两台路由器,一台作为FTP服务器端,一台作为FTP客户端。
首先通过配置,在FTP服务器端上开启FTP服务,创建一个账号作为FTP登录使用账号。然后FTP客户端登录FTP服务器端并使用get命令下载一个文件。
FTP服务器端配置如下:
<Huawei> system-view
[Huawei] sysname FTP_Server
[FTP_Server] ftp server enable
[FTP_Server] aaa
[FTP_Server-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789
[FTP_Server-aaa] local-user admin1234 privilege level 15
[FTP_Server-aaa] local-user admin1234 service-type ftp
[FTP_Server-aaa] local-user admin1234 ftp-directory flash:
FTP客户端操作示例:
<FTP Client>ftp 10.1.1.1
[FTP Client-ftp]get sslvpn.zip
200 Port command okay.
FTP: 828482 byte(s) received in 2.990 second(s) 277.08Kbyte(s)/sec.
2.TFTP
配置命令介绍 - 设备作为客户端
1.VRP作为TFTP客户端下载文件
<Huawei> tftp TFTP_Server-IP-address get filename
> TFTP无需登录,直接输入服务器端IP地址以及操作命令即可。
2.VRP作为TFTP客户端上传文件
<Huawei> tftp TFTP_Server-IP-address put filename
> TFTP无需登录,直接输入服务器端IP地址以及操作命令即可。
> 目前VRP设备只支持作为TFTP客户端。
3.Telnet
Telnet应用场景
为方便通过命令行管理设备,可以使用Telnet协议对设备进行管理。
Telnet协议与使用Console接口管理设备不同,无需专用线缆直连设备的Console接口,只要IP地址可达、能够和设备的TCP 23端口通信即可。
支持通过Telnet协议进行管理的设备被称为Telnet服务器端,而对应的终端则被称为Telnet客户端。很多网络设备同时支持作为Telnet服务器端、Telnet客户端。
虚拟用户界面
当用户使用Console接口、Telnet等方式登录设备的时候,系统会分配一个用户界面(user-interface)来管理、监控设备与用户间的当前会话,每个用户界面视图可以配置一系列参数用于指定用户的认证方式、登录后的权限级别,当用户登录设备后将会受这些参数限制。
Telnet所对应的用户界面类型为VTY(Virtual Type Terminal,虚拟类型终端)
1.开启Telnet服务器端功能
[Huawei] telnet server enable
> 使能设备的Telnet服务器端功能。缺省情况下,设备的Telnet服务器端功能处于去使能状态,undo telnet server enable即可重新关闭Telnet服务器端功能。
2.进入用户视图
[Huawei] user-interface vty first-ui-number [ last-ui-number ]
> 进入VTY用户界面视图。 不同设备型号的VTY接口可能并不一致。
3.配置VTY用户界面支持的协议
[Huawei-ui-vty0-4]] protocol inbound { all | telnet }
> 缺省情况下,VTY用户界面支持的协议是SSH(Secure Shell Protocol ,安全外壳协议)和Telnet。
4.配置认证方式以及密码认证方式下的认证密码
[Huawei-ui-vty0-4] authentication-mode {aaa | none | password}
[Huawei-ui-vty0-4] set authentication password cipher
> 缺省情况下,无默认认证方式,需要进行手动配置。
不同VRP版本执行set authentication password cipher命令有差异:某些版本需要回车后输入密码,某些版本可直接在命令后输入密码。
Telnet配置示例
配置10.1.1.2作为Telnet服务器端,认证方式为AAA本地认证。在本地创建名为huawei的账号,密码为Huawei@123,权限为15级。
用户通过Telnet客户端软件登录并管理Telnet服务器端。
Telnet服务器端配置如下:
<Huawei> system-view
[Huawei] telnet server enable
[Huawei] aaa
[Huawei-aaa] local-user huawei password irreversible-cipher Huawei@123
[Huawei-aaa] local-user huawei privilege level 15
[Huawei-aaa] local-user huawei service-type telnet
[Huawei-aaa] quit
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
Telnet 客户端操作:
<Host>telnet 10.1.1.2
Login authentication
Username:huawei
Password:
Info: The max number of VTY users is 5, and the number
of current VTY users on line is 1.
The current login time is 2020-01-08 15:37:25.
<Huawei>
4.DHCP
DHCP基本概念
为解决传统的静态手工配置方式的不足,DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)应运而生,其可以实现网络动态合理地分配IP地址给主机使用。
DHCP采用C/S构架,主机无需配置,从服务器端获取地址,可实现接入网络后即插即用。
DHCP优点
IP地址由从服务器端的地址池中获取,服务器端会记录维护IP地址的使用状态,做到IP地址统一分配、管理。
DHCP提出了租期的概念,可有效提高地址利用率。
DHCP工作原理
DHCP执行流程详解
https://blog.csdn.net/qq_53578500/article/details/126666506
DHCP租期更新
如果在50%租期时客户端未得到原服务器端的回应,则客户端在87.5%租期时会广播发送DHCP Request,任意一台DHCP服务器端都可回应,该过程称为重绑定。
DHCP配置命令介绍
1.开启DHCP功能
[Huawei] dhcp enable
2.开启接口采用接口地址池的DHCP服务器端功能
[Huawei-Gigabitthernet0/0/0]dhcp select interface
3.指定接口地址池下的DNS服务器地址
[Huawei-Gigabitthernet0/0/0]dhcp server dns-list ip-address
4.配置接口地址池中不参与自动分配的IP地址范围
[Huawei-Gigabitthernet0/0/0]dhcp server excluded-ip-address start-ip-address [ end-ip-address ]
5.配置DHCP服务器接口地址池中IP地址的租用有效期限功能
[Huawei-Gigabitthernet0/0/0]dhcp server lease { day day [ hour hour [ minute minute ] ] | unlimited }
> 缺省情况下,IP地址的租期为1天。
6.创建全局地址池
[Huawei]ip pool ip-pool-name
7.配置全局地址池可动态分配的IP地址范围
[Huawei-ip-pool-2]network ip-address [ mask { mask | mask-length } ]
8.配置DHCP客户端的网关地址
[Huawei-ip-pool-2]gateway-list ip-address
9.配置DHCP客户端使用的DNS服务器的IP地址
[Huawei-ip-pool-2]dns-list ip-address
10.配置IP地址租期
[Huawei-ip-pool-2] lease { day day [ hour hour [ minute minute ] ] | unlimited }
11.使能接口的DHCP服务器功能
[Huawei-Gigabitthernet0/0/0]dhcp select global
DHCP接口地址池配置
需求描述:
配置一台路由器作为DHCP服务器端,使用接口GE0/0/0所属的网段作为DHCP客户端的地址池,同时将接口地址设为DNS Server地址,租期设置为3天。
>全局使能DHCP服务,进入接口视图下,关联当前接口到DHCP地址池,在接口视图下配置DNS地址、排除地址(将接口自身地址排除在外),同时配置给客户端分配IP地址的租期。
DHCP服务器端配置如下:
[Huawei]dhcp enable
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]dhcp select interface
[Huawei-GigabitEthernet0/0/0]dhcp server dns-list 10.1.1.2
[Huawei-GigabitEthernet0/0/0]dhcp server excluded-ip-address 10.1.1.2
[Huawei-GigabitEthernet0/0/0]dhcp server lease day 3
需求描述:
配置一台路由器作为DHCP服务器端,配置全局地址池ip pool为DHCP客户端分配IP地址;分配地址为1.1.1.0/24网段,网关地址1.1.1.1,DNS地址同样也是1.1.1.1,租期10天,在GE0/0/0接口下调用全局地址池。
<R1>system-view
Enter system view, return user view with Ctrl+Z.
[R1]inter g0/0/0
[R1-GigabitEthernet0/0/0]ip addr 1.1.1.1 24
[R1-GigabitEthernet0/0/0]dhcp select global
[R1-GigabitEthernet0/0/0]disp this
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 1.1.1.1 255.255.255.0
dhcp select global
#
return
[R1]dhcp enable
[R1]ip pool 1-1-1-1-24
Info: It's successful to create an IP address pool.
[R1-ip-pool-1-1-1-1-24]network 1.1.1.0 mask 24
[R1-ip-pool-1-1-1-1-24]gateway-list 1.1.1.1
[R1-ip-pool-1-1-1-1-24]lease day 10
[R1-ip-pool-1-1-1-1-24]dns-list 1.1.1.1
[R1-ip-pool-1-1-1-1-24]display this
[V200R003C00]
#
ip pool 1-1-1-1-24
gateway-list 1.1.1.1
network 1.1.1.0 mask 255.255.255.0
lease day 10 hour 0 minute 0
dns-list 1.1.1.1
#
return
[R1-ip-pool-1-1-1-1-24]return
<R1>save
The current configuration will be written to the device.
Are you sure to continue? (y/n)[n]:y
It will take several minutes to save configuration file, please wait.......
Configuration file had been saved successfully
Note: The configuration file will take effect after being activated
PC>ipconfig /renew
IP Configuration
Link local IPv6 address...........: fe80::5689:98ff:fe2f:433b
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 1.1.1.254
Subnet mask.......................: 255.255.255.0
Gateway...........................: 1.1.1.1
Physical address..................: 54-89-98-2F-43-3B
DNS server........................: 1.1.1.1
配置一台路由器作为DHCP服务器端,配置接口地址池 为DHCP客户端分配IP地址;分配地址为10.1.1.0/24网段,网关地址接口g0/0/0的地址,g0/0/0的ip为10.1.1.254,DNS地址同样也是114.114.114,租期1天,在GE0/0/0接口下调用接口地址池,同时关闭loggin日志。
<Huawei>undo terminal logging
Info: Current terminal logging is off.
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]
[R1]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]dhcp select interface
[R1-GigabitEthernet0/0/0]dhcp server dns-list 114.114.114.114
[R1-GigabitEthernet0/0/0]dhcp server excluded-ip-address 10.1.1.251
[R1-GigabitEthernet0/0/0]dhcp server excluded-ip-address 10.1.1.252
[R1-GigabitEthernet0/0/0]dhcp server lease day 1 hour 0 minute 0
[R1-GigabitEthernet0/0/0]dhcp server excluded-ip-address 10.1.1.242 10.1.1.249
[R1-GigabitEthernet0/0/0]display this
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 10.1.1.254 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 10.1.1.242 10.1.1.249
dhcp server excluded-ip-address 10.1.1.251 10.1.1.252
dhcp server dns-list 114.114.114.114
#
return
[R1-GigabitEthernet0/0/0]display interface brief
PHY: Physical
*down: administratively down
(l): loopback
(s): spoofing
(b): BFD down
^down: standby
(e): ETHOAM down
(d): Dampening Suppressed
InUti/OutUti: input utility/output utility
Interface PHY Protocol InUti OutUti inErrors outErrors
Ethernet0/0/0 down down 0% 0% 0 0
Ethernet0/0/1 down down 0% 0% 0 0
Ethernet0/0/2 down down 0% 0% 0 0
Ethernet0/0/3 down down 0% 0% 0 0
Ethernet0/0/4 down down 0% 0% 0 0
Ethernet0/0/5 down down 0% 0% 0 0
Ethernet0/0/6 down down 0% 0% 0 0
Ethernet0/0/7 down down 0% 0% 0 0
GigabitEthernet0/0/0 up up 0% 0% 0 0
GigabitEthernet0/0/1 down down 0% 0% 0 0
NULL0 up up(s) 0% 0% 0 0
[R1-GigabitEthernet0/0/0]display ip interface brief
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 2
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 2
The number of interface that is DOWN in Protocol is 1
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 10.1.1.254/24 up up
GigabitEthernet0/0/1 unassigned down down
NULL0 unassigned up up(s
[R1-GigabitEthernet0/0/0]return
<R1>save
The current configuration will be written to the device.
Are you sure to continue? (y/n)[n]:y
It will take several minutes to save configuration file, please wait.........
Configuration file had been saved successfully
Note: The configuration file will take effect after being activated
5.HTTP
6.DNS
7.NTP
总结
FTP用于文件传输,传输不同的文件推荐使用不同的模式;由于其基于TCP,因此使用FTP传输文件可以保障传输的可靠性、高效性。
为解决手动分配IP地址产生的问题,使用DHCP进行动态IP地址分配可以有效减少管理员的工作量,避免用户手动配置网络参数造成的IP地址冲突。
作为WWW的文档传输协议,HTTP在当今的网络中有着广泛的应用。
07.IP路由基础
前言
在一个典型的数据通信网络中,往往存在多个不同的IP网段,数据在不同的IP网段之间交互是需要借助三层设备的,这些设备具备路由能力,能够实现数据的跨网段转发。
路由是数据通信网络中最基本的要素。路由信息是指导报文转发的路径信息,路由过程就是报文转发的过程。
本课程将会向读者介绍路由的基本概念。
课程能力
了解路由器的基本工作原理
掌握路由器选择最优路由的方法
了解路由表的具体内容
掌握路由转发高级特性
1.路由概述
路由基本概念
IP地址唯一标识了网络中的一个节点,每个IP地址都拥有自己的网段,各个网段可能分布在网络的不同区域。
为实现IP寻址,分布在不同区域的网段之间要能够相互通信。
路由是指导报文转发的路径信息,通过路由可以确认转发IP报文的路径。
路由设备是依据路由转发报文到目的网段的网络设备,最常见的路由设备:路由器。
路由设备维护着一张路由表,保存着路由信息。
路由中包含以下信息:
目的网络:标识目的网段
掩码:与目的地址共同标识一个网段
出接口:数据包被路由后离开本路由器的接口
下一跳:路由器转发到达目的网段的数据包所使用的下一跳地址
这些信息标识了目的网段、明确了转发IP报文的路径。
路由器通过各种方式发现路由
路由器选择最优的路由条目放入路由表中
路由表指导设备对IP报文的转发
路由器通过对路由表的管理实现对路径信息的管理
路由条目生成
路由器依据路由表进行路由转发,为实现路由转发,路由器需要发现路由,以下为常见的路由获取方式。
直连路由: 由设备自动生成指向本地直连网络
静态路由: 由网络管理员手工配置的路由条目
动态路由:路由器运行动态路由协议学习到的路由
直连路由 指向本地直连网络的路由,由设备自动生成。
当路由器为路由转发的最后一跳路由器时,IP报文匹配直连路由,路由器转发IP报文到目的主机。
使用直连路由进行路由转发时,报文的目的IP和路由器接口IP在一个网段之中。
并不是所有接口生成的直连路由都会出现在路由表中,直连路由出现在路由表中的前提是该接口的物理状态、协议状态都为UP。
最优路由条目优选
查看IP路由表
路由表中各个内容的含义
Destination/Mask:表示此路由的目的网络地址与网络掩码。将目的地址和子网掩码“逻辑与”后可得到目的主机或路由器所在网段的地址。例如:目的地址为1.1.1.1,掩码为255.255.255.0的主机或路由器所在网段的地址为1.1.1.0。
Proto(Protocol):该路由的协议类型,也即路由器是通过什么协议获知该路由的。
Pre(Preference):表示此路由的路由协议优先级。针对同一目的地,可能存在不同下一跳、出接口等多条路由,这些不同的路由可能是由不同的路由协议发现的,也可以是手工配置的静态路由。优先级最高(数值最小)者将成为当前的最优路由。
Cost:路由开销。当到达同一目的地的多条路由具有相同的路由优先级时,路由开销最小的将成为当前的最优路由。
NextHop:表示对于本路由器而言,到达该路由指向的目的网络的下一跳地址。该字段指明了数据转发的下一个设备。
Interface:表示此路由的出接口。指明数据将从本路由器的哪个接口转发出去。
路由优先级-基本概念
当路由器从多种不同的途径获知到达同一个目的网段的路由(这些路由的目的网络地址及网络掩码均相同)时,路由器会比较这些路由的优先级,优选优先级值最小的路由。
路由来源的优先级值(Preference)越小代表加入路由表的优先级越高。
拥有最高优先级的路由将被添加进路由表。
路由优先级–比较过程
RTA通过动态路由协议OSPF和手动配置的方式都发现了到达10.0.0.0/30的路由,此时会比较这两条路由的优先级,优选优先级值最小的路由。
每一种路由协议都有相应的优先级。
OSPF拥有更优的优先级,因此通过OSPF学习到的路由被添加到路由表中。
路由优先级–常见默认数值
IS-IS 15
RIP 100
度量值–基本概念
当路由器通过某种路由协议发现了多条到达同一个目的网络的路由时(拥有相同的路由优先级),度量值将作为路由优选的依据之一。
路由度量值表示到达这条路由所指目的地址的代价。
一些常用的度量值有:跳数、带宽、时延、代价、负载、可靠性等。
度量值数值越小越优先,度量值最小路由将会被添加到路由表中。
度量值很多时候被称为开销(Cost)。
度量值–比较过程
RTA通过动态路由协议OSPF学习到了两条目的地为10.0.0.0/30的路由,学习自同一路由协议、优先级相同,因此需要继续比较度量值。
两条路由拥有不同的度量值,下一跳为30.1.1.2的OSPF的路由条目拥有更小的度量值,因此被加入到路由表中。
最长匹配原则
当路由器收到一个IP数据包时,会将数据包的目的IP地址与自己本地路由表中的所有路由表项进行逐位(Bit-By-Bit)比对,直到找到匹配度最长的条目,这就是最长前缀匹配机制。
路由转发
IP路由表小结
当路由器从多种不同的途径获知到达同一个目的网段的路由(这些路由的目的网络地址及网络掩码均相同)时,会选择路由优先级值最小的路由;如果这些路由学习自相同的路由协议,则优选度量值最优的。总之,最优的路由加入路由表。
当路由器收到一个数据包时,会在自己的路由表中查询数据包的目的IP地址。如果能够找到匹配的路由表项,则依据表项所指示的出接口及下一跳来转发数据;如果没有匹配的表项,则丢弃该数据包。
路由器的行为是逐跳的,数据包从源到目的地沿路径每个路由器都必须有关于目标网段的路由,否则就会造成丢包。
数据通信往往是双向的,因此要关注流量的往返(往返路由)。
2.静态路由
静态路由由网络管理员手动配置,配置方便,对系统要求低,适用于拓扑结构简单并且稳定的小型网络。
缺点是不能自动适应网络拓扑的变化,需要人工干预。
RTA上转发目的地址属于20.1.1.0/24的报文,在只有直连路由的情况下没有路由匹配。此时可以通过手动配置静态路由,使RTA发送前往20.1.1.0/24网段的报文交给下一跳10.0.0.2转发。
静态路由配置
1.关联下一跳IP的方式
[Huawei] ip route-static ip-address { mask | mask-length } nexthop-address
2.关联出接口的方式
[Huawei] ip route-static ip-address { mask | mask-length } interface-type interface-number
3.关联出接口和下一跳IP方式
[Huawei] ip route-static ip-address { mask | mask-length } interface-type interface-number [ nexthop-address ]
在创建静态路由时,可以同时指定出接口和下一跳。对于不同的出接口类型,也可以只指定出接口或只指定下一跳。
对于点到点接口(如串口),必须指定出接口。
对于广播接口(如以太网接口)和VT(Virtual-template)接口,必须指定下一跳。
AR1200路由器e网口配置接口ip
路由器的e0/0/1配置不了ip
华为交换机模拟器为什么不能配置IP(或反)?如何在华为设备上配置远程管理设备?如何保存ENSP的配置 https://blog.51cto.com/enderjoe/2044140
[Huawei-Vlanif1]disp vlan brief
U:Up;D:Down;TG:Tagged;UT:Untagged;
VID Name Status Ports
--------------------------------------------------------------------------------
1 enable UT: Eth0/0/0(U) Eth0/0/1(D) Eth0/0/2(D)
Eth0/0/3(D) Eth0/0/4(D) Eth0/0/5(D)
Eth0/0/6(D) Eth0/0/7(D)
[Huawei]display interface e0/0/0
Ethernet0/0/0 current state : UP
Line protocol current state : UP
Description:HUAWEI, AR Series, Ethernet0/0/0 Interface
Switch Port, PVID : 1, TPID : 8100(Hex), The Maximum Frame Length is 1628
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fca3-3ff2
Last physical up time : 2022-12-09 19:10:06 UTC-08:00
Last physical down time : 2022-12-09 19:09:55 UTC-08:00
Current system time: 2022-12-09 20:51:22-08:00
Port Mode: COMMON COPPER
Speed : 100, Loopback: NONE
Duplex: FULL, Negotiation: ENABLE
Mdi : AUTO
Last 300 seconds input rate 0 bits/sec, 0 packets/sec
Last 300 seconds output rate 464 bits/sec, 0 packets/sec
Input peak rate 0 bits/sec,Record time: -
Output peak rate 472 bits/sec,Record time: 2022-12-09 19:10:30
[Huawei]interface Vlanif 1
[Huawei-Vlanif1]display this
[V200R003C00]
#
interface Vlanif1
ip address 10.1.123.1 255.255.255.0
#
return
路由表的各种状态查看
display ip routing-table verbose
display ip routing-table statistics
display ip routing-table protocol static
display ip routing-table
缺省路由
缺省路由是一种特殊的路由,当报文没有在路由表中找到匹配的具体路由表项时才使用的路由。如果报文的目的地址不能与路由表的任何目的地址相匹配,那么该报文将选取缺省路由进行转发。
缺省路由在路由表中的形式为0.0.0.0/0,缺省路由也被叫做默认路由。
缺省路由一般用于企业网络出口,配置一条缺省路由让出口设备能够转发前往Internet上任意地址的IP报文。
3.动态路由
当网络规模越来越大时,使用手动配置静态路由的方式获取路由条目将变得越发复杂,同时在拓扑发生变化时不能及时、灵活响应。
动态路由协议能够自动发现和生成路由,并在拓扑变化时及时更新路由,可以有效减少管理人员工作量,更适用于大规模网络。
动态路由分类
4.路由高级特性
路由递归
路由必须有直连的下一跳才能够指导转发,但是路由生成时下一跳可能不是直连的,因此需要计算出一个直连的下一跳和对应的出接口,这个过程就叫做路由递归。
路由递归也被称为路由迭代。
等价路由
路由表中存在等价路由之后,前往该目的网段的IP报文路由器会通过所有有效的接口、下一跳转发,这种转发行为被称为负载分担。
负载分担的方式:
逐包负载--收发数据包顺序不一样
逐流负载--同一种流量只走一条路径(通过五元组判断:源ip、目的ip、源端口、目的端口、协议号)
影响:流量不均衡
浮动路由
主备路由
静态路由支持配置时手动指定优先级,可以通过配置目的地址/掩码相同、优先级不同、下一跳不同的静态路由,实现转发路径的备份。
浮动路由是主用路由的备份,保证链路故障时提供备份路由。主用路由下一跳可达时该备份路由不会出现在路由表。
CIDR(汇总路由)
CIDR(classless inter-domain routing,无类别域间路由)采用IP地址加掩码长度来标识网络和子网,而不是按照传统A、B、C等类型对网络地址进行划分。
CIDR容许任意长度的掩码长度,将IP地址看成连续的地址空间,可以使用任意长度的前缀分配,多个连续的前缀可以聚合成一个网络,该特性可以有效减少路由表条目数量。
子网划分、VLSM解决了地址空间浪费的问题,但同时也带了新的问题:路由表中的路由条目数量增加。
为减少路由条目数量可以使用路由汇总。
路由汇总
路由汇总将一组具有相同前缀的路由汇聚成一条路由,从而达到减小路由表规模以及优化设备资源利用率的目的。
路由汇总采用了CIDR的思想:将相同前缀的地址聚合成一个。
我们把汇聚之前的这组路由称为精细路由或明细路由,把汇聚之后的这条路由称为汇总路由或聚合路由。
引发的问题 - 路由汇总带来的环路问题
总结
本章节学习了路由的基本概念,了解了路由如何指导路由器对IP报文进行转发,同时还了解了常见的路由属性。
特殊的静态路由:缺省路由,此外本章节展现了一些路由转发的高级特性,包括路由递归、浮动路由、等价路由,这些都在现网中有着广泛地应用。
08.OSPF基础
前言
由于静态路由由网络管理员手工配置,因此当网络发生变化时,静态路由需要手动调整,这制约了静态路由在现网大规模的应用。
动态路由协议因其灵活性高、可靠性好、易于扩展等特点被广泛应用于现网。在动态路由协议之中,OSPF(Open Shortest Path First,开放式最短路径优先)协议是使用场景非常广泛的动态路由协议之一。
OSPF在RFC2328中定义,是一种基于链路状态算法的路由协议。
本课程将初步介绍OSPF基本概念、工作原理和基础配置。
课程能力
学完本课程后,您将能够:
描述动态路由协议的优势和它的分类
描述OSPF的基本概念和适用的组网场景
阐明OSPF协议的工作原理
了解OSPF协议的基础配置
1.OSPF协议概述
为什么需要动态路由协议?
静态路由是由工程师手动配置和维护的路由条目,命令行简单明确,适用于小型或稳定的网络。
静态路由有以下问题:
无法适应规模较大的网络:随着设备数量增加,配置量急剧增加。
无法动态响应网络变化:网络发生变化,无法自动收敛网络,需要工程师手动修改。
动态路由协议
按工作区域分类
IGP(Interior Gateway Protocols,内部网关协议)
RIP、OSPF、IS-IS
EGP(Exterior Gateway Protocols,外部网关协议)
BGP
---
按工作机制及算法分类
(Distance Vector Routing Protocols,距离矢量路由协议)
RIP
(Link-State Routing Protocols,链路状态路由协议)
OSPF、IS-IS
BGP使用一种基于距离矢量算法修改后的算法,该算法被称为路径适量(Path Vector)算法。因此在某些场合下,BGP也被称为路径矢量路由协议。
距离矢量路由协议
运行距离矢量路由协议的路由器周期性的泛洪自己的路由表。通过路由的交互,每台路由器都从相邻的路由器学习到路由,并且加载进自己的路由表中。
对于网络中的所有路由器而言,路由器并不清楚网络的拓扑,只是简单的知道要去往某个目的方向在哪里,距离有多远。这即是距离矢量算法的本质。
链路状态路由协议 - LSA泛洪
与距离矢量路由协议不同,链路状态路由协议通告的的是链路状态而不是路由表。
运行链路状态路由协议的路由器之间首先会建立一个协议的邻居关系,然后彼此之间开始交互LSA(Link State Advertisement,链路状态通告)。
链路状态路由协议 - LSDB组建
每台路由器都会产生LSAs,路由器将接收到的LSAs放入自己的LSDB(Link State DataBase,链路状态数据库)。
路由器通过LSDB,掌握了全网的拓扑。
链路状态路由协议 - SPF计算
每台路由器基于LSDB,使用SPF(Shortest Path First,最短路径优先)算法进行计算。
每台路由器都计算出一棵以自己为根的、无环的、拥有最短路径的“树”。
有了这棵“树”,路由器就已经知道了到达网络各个角落的优选路径。
链路状态路由协议 - 路由表生成
最后,路由器将计算出来的优选路径,加载进自己的路由表(Routing Table)。
链路状态路由协议总结
1.建立邻居关系
2.链路状态信息
3.路径计算
4.生成路由表项
OSPF简介
OSPF是典型的链路状态路由协议,是目前业内使用非常广泛的IGP协议之一。
目前针对IPv4协议使用的是OSPF Version 2(RFC2328);针对IPv6协议使用OSPF Version 3(RFC2740)。如无特殊说明本章后续所指的OSPF均为OSPF Version 2。
运行OSPF路由器之间交互的是LS(Link State,链路状态)信息,而不是直接交互路由。LS信息是OSPF能够正常进行拓扑及路由计算的关键信息。
OSPF路由器将网络中的LS信息收集起来,存储在LSDB中。路由器都清楚区域内的网络拓扑结构,这有助于路由器计算无环路径。
每台OSPF路由器都采用SPF算法计算达到目的地的最短路径。路由器依据这些路径形成路由加载到路由表中。
OSPF支持VLSM(Variable Length Subnet Mask,可变长子网掩码),支持手工路由汇总。
多区域的设计使得OSPF能够支持更大规模的网络。
OSPF在园区网络中的应用
OSPF基础术语:区域
OSPF Area用于标识一个OSPF的区域。
区域是从逻辑上将设备划分为不同的组,每个组用区域号(Area ID)来标识。
OSPF基础术语:Router-ID
Router-ID(Router Identifier,路由器标识符),用于在一个OSPF域中唯一地标识一台路由器。
Router-ID的设定可以通过手工配置(Lookback接口)的方式,或使用系统自动配置的方式。
注意:
1.存在Lookback接口,则自动采用lookback接口地址作为Router-ID,否则采用最大的物理接口ip作为Router-ID,实际工作过程中选第一次配置的ip
2.Lookback接口不易改动,比较稳定
3.格式0.0.0.0-255.255.255.255
4.更改Router-ID,需要回到用户视图刷新ospf进程,【 <r1>reset ospf process 】
OSPF的基础术语:度量值
OSPF使用Cost(开销)作为路由的度量值。
每一个激活了OSPF的接口都会维护一个接口Cost值,缺省时接口Cost值="(100Mbit/s) / "接口带宽" 。
其中100 "Mbit/s"为OSPF指定的缺省参考值,该值是可配置的。
笼统地说,一条OSPF路由的Cost值可以理解为是从目的网段到本路由器沿途所有入接口的Cost值累加。
OSPF协议报文类型
OSPF有五种类型的协议报文。这些报文在OSPF路由器之间交互中起不同的作用。
> 协议号89
hello包作用
1.建立邻居关系
2.维持邻居状态信息
DD包作用:
1.维护DR/BDR中的LSDB
OSPF三大表项 - 邻居表、LSDB表、路由表
OSPF有五种类型的协议报文。这些报文在OSPF路由器之间交互中起不同的作用。
OSPF有三张重要的表项,OSPF邻居表、LSDB表和OSPF路由表。对于OSPF的邻居表,需要了解:
OSPF在传递链路状态信息之前,需先建立OSPF邻居关系。
OSPF的邻居关系通过交互Hello报文建立。
OSPF邻居表显示了OSPF路由器之间的邻居状态,使用display ospf peer查看。
邻居表
LSDB表
对于OSPF的LSDB表,需要了解:
LSDB会保存自己产生的及从邻居收到的LSA信息,本例中R1的LSDB包含了三条LSA。
Type标识LSA的类型,AdvRouter标识发送LSA的路由器。
使用命令行display ospf lsdb查看LSDB表。
路由表
对于OSPF的路由表,需要了解:
OSPF路由表和路由器路由表是两张不同的表项。本例中OSPF路由表有三条路由。
OSPF路由表包含Destination、Cost和NextHop等指导转发的信息。
使用命令display ospf routing查看OSPF路由表。
2.OSPF协议工作原理
OSPF路由器之间的关系
关于OSPF路由器之间的关系有两个重要的概念,邻居关系和邻接关系。
考虑一种简单的拓扑,两台路由器直连。在双方互联接口上激活OSPF,路由器开始发送及侦听Hello报文。在通过Hello报文发现彼此后,这两台路由器便形成了邻居关系。
邻居关系的建立只是一个开始,后续会进行一系列的报文交互,例如前文提到的DD、LSR、LSU和LS ACK等。当两台路由器LSDB同步完成,并开始独立计算路由时,这两台路由器形成了邻接关系。
初识OSPF邻接关系建立过程
OSPF完成邻接关系的建立有四个步骤,建立邻居关系、协商主/从、交互LSDB信息,同步LSDB。
OSPF邻接关系建立流程 - 2&3&4
OSPF工作过程-课堂笔记
OSPF配置-课堂笔记
OSPF邻居表回顾
OSPF网络类型简介
OSPF网络类型
在学习DR和BDR的概念之前,需要首先了解OSPF的网络类型。
OSPF网络类型是一个非常重要的接口变量,这个变量将影响OSPF在接口上的操作,例如采用什么方式发送OSPF协议报文,以及是否需要选举DR、BDR等。
接口默认的OSPF网络类型取决于接口所使用的数据链路层封装。
如图所示,OSPF的有四种网络类型,Broadcast、NBMA、P2MP和P2P。
P2P指的是在一段链路上只能连接两台网络设备的环境。
典型的例子是PPP链路。当接口采用PPP封装时,OSPF在该接口上采用的缺省网络类型为P2P 。
BMA也被称为Broadcast,指的是一个允许多台设备接入的、支持广播的环境。
典型的例子是Ethernet(以太网)。当接口采用Ethernet封装时,OSPF在该接口上采用的缺省网络类型为BMA。
NBMA指的是一个允许多台网络设备接入且不支持广播的环境。
典型的例子是帧中继(Frame-Relay)网络。
P2MP相当于将多条P2P链路的一端进行捆绑得到的网络。
没有一种链路层协议会被缺省的认为是P2MP网络类型。该类型必须由其他网络类型手动更改。
常用做法是将非全连通的NBMA改为点到多点的网络。
[R1-GigabitEthernet1/0/0] ospf network-type ?
broadcast Specify OSPF broadcast network
nbma Specify OSPF NBMA network
p2mp Specify OSPF point-to-multipoint network
p2p Specify OSPF point-to-point network
一般情况下,链路两端的OSPF接口网络类型必须一致,否则双方无法建立邻居关系。
OSPF网络类型可以在接口下通过命令手动修改以适应不同网络场景,例如可以将BMA网络类型修改为P2P。
DR与BDR的背景
MA(Multi-Access)多路访问网络有两种类型:广播型多路访问网络(BMA)及非广播型多路访问网络(NBMA)。
以太网(Ethernet)是一种典型的广播型多路访问网络。
在MA网络中,如果每台OSPF路由器都与其他的所有路由器建立OSPF邻接关系,便会导致网络中存在过多的OSPF邻接关系,增加设备负担,也增加了网络中泛洪的OSPF报文数量。
当拓扑出现变更,网络中的LSA泛洪可能会造成带宽的浪费和设备资源的损耗。
DR与BDR
为优化MA网络中OSPF邻接关系,OSPF指定了三种OSPF路由器身份,DR(Designated Router,指定路由器)、BDR(Backup Designated Router,备用指定路由器)和 DRother路由器。
只允许DR、BDR与其他OSPF路由器建立邻接关系。DRother之间不会建立全毗邻的OSPF邻接关系,双方停滞在2-way状态。
BDR会监控DR的状态,并在当前DR发生故障时接替其角色。
选举DR-BDR规则
作用:减少LSDB的交换次数
规则:
1.优先级: 默认为1,越大越优,为0则放弃选举
2.Route-ID 越大越小
3.不能抢占
OSPF域与单区域
OSPF域(Domain):一系列使用相同策略的连续OSPF网络设备所构成的网络。
OSPF路由器在同一个区域(Area)内网络中泛洪LSA。为了确保每台路由器都拥有对网络拓扑的一致认知,LSDB需要在区域内进行同步。
如果OSPF域仅有一个区域,随着网络规模越来越大,OSPF路由器的数量越来越多,这将导致诸多问题:
LSDB越来越庞大,同时导致OSPF路由表规模增加。路由器资源消耗多,设备性能下降,影响数据转发。
基于庞大的LSDB进行路由计算变得困难。
当网络拓扑变更时,LSA全域泛洪和全网SPF重计算带来巨大负担。
OSPF多区域
OSPF引入区域(Area)的概念,将一个OSPF域划分成多个区域,可以使OSPF支撑更大规模组网。
OSPF多区域的设计减小了LSA泛洪的范围,有效的把拓扑变化的影响控制在区域内,达到网络优化的目的。
在区域边界可以做路由汇总,减小了路由表规模。
多区域提高了网络扩展性,有利于组建大规模的网络。
OSPF路由器类型
OSPF路由器根据其位置或功能不同,有这样几种类型:
区域内路由器(Internal Router)
区域边界路由器ABR(Area Border Router)
骨干路由器(Backbone Router)
自治系统边界路由器ASBR(AS Boundary Router)
OSPF单区域&多区域典型组网
3.OSPF协议典型配置
OSPF基础配置命令
1.(系统视图)创建并运行OSPF进程
[Huawei] ospf [ process-id | router-id router-id ]
> porcess-id用于标识OSPF进程,默认进程号为1。
> OSPF支持多进程,在同一台设备上可以运行多个不同的OSPF进程,它们之间互不影响,彼此独立。router-id用于手工指定设备的ID号。
> 如果没有通过命令指定ID号,系统会从当前接口的IP地址中自动选取一个作为设备的ID号。
2.(OSPF视图)创建并进入OSPF区域
[Huawei] area area-id
> area命令用来创建OSPF区域,并进入OSPF区域视图。
> area-id可以是十进制整数或点分十进制格式。
> 采取整数形式时,取值范围是0~4294967295。
3. (OSPF区域视图)指定运行OSPF的接口
[Huawei-ospf-1-area-0.0.0.0] network network-address wildcard-mask
> network命令用来指定运行OSPF协议的接口和接口所属的区域。network-address为接口所在的网段地址。
> wildcard-mask为IP地址的反码,相当于将IP地址的掩码反转(0变1,1变0),例如0.0.0.255表示掩码长度24 bit。
4. (接口视图)配置OSPF接口开销
[Huawei-GE1/0/1] ospf cost cost
> ospf cost命令用来配置接口上运行OSPF协议所需的开销。
> 缺省情况下,OSPF会根据该接口的带宽自动计算其开销值cost取值范围是1~65535。
5. (OSPF视图)设置OSPF带宽参考值
[Huawei-ospf-1] bandwidth-reference value
> bandwidth-reference命令用来设置通过公式计算接口开销所依据的带宽参考值。
> value取值范围是1~2147483648,单位是Mbit/s,缺省值是100Mbit/s。
6. (接口视图)设置接口在选举DR时的优先级
[Huawei-GigabitEthernet0/0/0] ospf dr-priority priority
> ospf dr-priority命令用来设置接口在选举DR时的优先级。
> priority值越大,优先级越高,取值范围是0~255。
OSPF配置案例
案例描述:
有三台路由器R1、R2和R3,其中R1和R2分别连接网络1.1.1.1/32和3.3.3.3/32(LoopBack 0模拟),现需要使用OSPF实现这两个网络的互通。具体拓扑如下:
OSPF配置案例 - 配置接口、配置OSPF、结果验证
配置设备接口
根据规划配置R1、R2和R3接口IP地址。
#配置R1的接口
[R1] interface LoopBack 0
[R1-LoopBack0] ip address 1.1.1.1 32
[R1-LoopBack0] interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0] ip address 10.1.12.1 30
#配置R3的接口
[R3] interface LoopBack 0
[R3-LoopBack0] ip address 3.3.3.3 32
[R3-LoopBack0] interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1] ip address 10.1.23.2 30
配置OSPF
OSPF参数规划:OSPF进程号为1。R1、R2和R3的Router ID分别为1.1.1.1、2.2.2.2和3.3.3.3。
配置步骤:
创建并运行OSPF进程
创建并进入OSPF区域
运行指定的OSPF接口
注意反掩码
#配置R1 OSPF协议
[R1] ospf 1 router-id 1.1.1.1
[R1-ospf-1] area 0
[R1-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0] network 10.1.12.0 0.0.0.3
OSPF多区域的配置请注意在指定区域下通知相应的网段
#配置R2 OSPF协议
[R2] ospf 1 router-id 2.2.2.2
[R2-ospf-1] area 0
[R2-ospf-1-area-0.0.0.0] network 10.1.12.0 0.0.0.3
[R2-ospf-1-area-0.0.0.0] area 1
[R2-ospf-1-area-0.0.0.1] network 10.1.23.0 0.0.0.3
#配置R3 OSPF协议
[R3] ospf 1 router-id 3.3.3.3
[R3-ospf-1] area 1
[R3-ospf-1-area-0.0.0.1] network 3.3.3.3 0.0.0.0
[R3-ospf-1-area-0.0.0.1] network 10.1.23.0 0.0.0.3
结果验证
在路由器R2上查看OSPF邻居表:
结果验证邻居状态为Full,即成功建立邻接关系。
<R2> display ospf peer brief
OSPF Process 1 with Router ID 2.2.2.2
Peer Statistic Information
----------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 1.1.1.1 Full
0.0.0.1 GigabitEthernet0/0/1 3.3.3.3 Full
----------------------------------------------------------------------------
在路由器R1上查看路由表,并执行从源1.1.1.1 ping 3.3.3.3。
<R1>display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost Flags NextHop Interface
1.1.1.1/32 Direct 0 0 D 127.0.0.1 LoopBack0
3.3.3.3/32 OSPF 10 2 D 10.1.12.2 GigabitEthernet 0/0/0
10.1.12.0/30 Direct 0 0 D 10.1.12.1 GigabitEthernet 0/0/0
…
<R1>ping -a 1.1.1.1 3.3.3.3
PING 3.3.3.3: 56 data bytes, press CTRL_C to break
Reply from 3.3.3.3: bytes=56 Sequence=1 ttl=254 time=50 ms
ospf配置案例-课堂案例1
路由器 验证:
1、查看OSPF邻居关系表display ospf peer brief;
2、查看路由表,通过ospf学习到非直连的路由信息 display ip routing-table:
3、R1能访问PC2
样例
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
#
interface GigabitEthernet0/0/0
ip acdress 10.1.123.1 255.255.255.0
ospf enable 1 area 0.0.0.0
#
interface GigabitEthernet0/0/1
ip dress 10.1.1.254 255.255.255.0
ospf enable 1 area 0.0.0.0
实现-接口宣告
R1:
#
interface GigabitEthernet0/0/0
ip address 10.1.123.1 255.255.255.0
ospf enable 1 area 0.0.0.0
#
interface GigabitEthernet0/0/1
ip address 10.1.1.254 255.255.255.0
ospf enable 1 area 0.0.0.0
dhcp select interface
dhcp server lease day 0 hour 12 minute 0
dhcp server dns-list 114.114.114.114
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
R2:
#
interface GigabitEthernet0/0/0
ip address 10.1.123.2 255.255.255.0
ospf enable 1 area 0.0.0.0
#
interface GigabitEthernet0/0/1
ip address 10.1.24.2 255.255.255.0
ospf enable 1 area 0.0.0.0
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
R3:
#
interface GigabitEthernet0/0/0
ip address 10.1.123.3 255.255.255.0
ospf enable 1 area 0.0.0.0
#
interface GigabitEthernet0/0/1
ip address 10.1.34.3 255.255.255.0
ospf enable 1 area 0.0.0.0
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
R4:
#
interface GigabitEthernet0/0/0
ip address 10.1.24.4 255.255.255.0
ospf enable 1 area 0.0.0.0
#
interface GigabitEthernet0/0/1
ip address 10.1.34.4 255.255.255.0
ospf enable 1 area 0.0.0.0
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
[r1]display ospf inter g0/0/0
OSPF Process 1 with Router ID 1.1.1.1
Interfaces
Interface: 10.1.123.1 (GigabitEthernet0/0/0)
Cost: 1 State: DROther Type: Broadcast MTU: 1500
Priority: 1
Designated Router: 10.1.123.2
Backup Designated Router: 10.1.123.3
Timers: Hello 10 , Dead 40 , Poll 120 , Retransmit 5 , Transmit Delay 1
[r1]display ip routing-table protocol ospf
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
Destinations : 3 Routes : 4
OSPF routing table status : <Active>
Destinations : 3 Routes : 4
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.4.0/24 OSPF 10 3 D 10.1.123.2 GigabitEthernet0/0/0
OSPF 10 3 D 10.1.123.3 GigabitEthernet0/0/0
10.1.24.0/24 OSPF 10 2 D 10.1.123.2 GigabitEthernet0/0/0
10.1.34.0/24 OSPF 10 2 D 10.1.123.3 GigabitEthernet0/0/0
OSPF routing table status : <Inactive>
Destinations : 0 Routes : 0
[r1]display ospf routing
OSPF Process 1 with Router ID 1.1.1.1
Routing Tables
Routing for Network
Destination Cost Type NextHop AdvRouter Area
10.1.1.0/24 1 Stub 10.1.1.254 1.1.1.1 0.0.0.0
10.1.123.0/24 1 Transit 10.1.123.1 1.1.1.1 0.0.0.0
10.1.4.0/24 3 Stub 10.1.123.2 4.4.4.4 0.0.0.0
10.1.4.0/24 3 Stub 10.1.123.3 4.4.4.4 0.0.0.0
10.1.24.0/24 2 Transit 10.1.123.2 2.2.2.2 0.0.0.0
10.1.34.0/24 2 Transit 10.1.123.3 3.3.3.3 0.0.0.0
Total Nets: 6
Intra Area: 6 Inter Area: 0 ASE: 0 NSSA: 0
[r1]display ospf interface
OSPF Process 1 with Router ID 1.1.1.1
Interfaces
Area: 0.0.0.0 (MPLS TE not enabled)
IP Address Type State Cost Pri DR BDR
10.1.123.1 Broadcast DROther 1 1 10.1.123.2 10.1.123.3
10.1.1.254 Broadcast DR 1 1 10.1.1.254 0.0.0.0
清空路由器:
<Huawei>reset saved-configuration
This will delete the configuration in the flash memory.
The device configuratio
ns will be erased to reconfigure.
Are you sure? (y/n)[n]:y
Clear the configuration in the device successfully.
ospf配置案例-课堂案例2
ospf配置案例-课堂案例3
思考
(多选)在建立OSPF邻居和邻接关系的过程中,稳定的状态是( )
A. Exstart
B. Two-way
C. Exchange
D. Full
(多选)以下哪种情况下路由器之间会建立邻接关系( )
A. 点到点链路上的两台路由器
B. 广播型网络中的DR和BDR
C. NBMA网络中的DRother和DRother
D. 广播型网络中的BDR和DRother
总结
OSPF是现网中使用广泛的路由协议之一,本章节帮助您初步了解OSPF的基本概念、应用场景和基础配置。
Router ID、区域、OSPF邻居表、LSDB表和OSPF路由表是OSPF的基本概念。能够阐述OSPF的邻居和邻接关系建立过程,可以帮助您更好的理解链路状态路由协议。
OSPF有更多有趣的细节,例如LSA的类型、SPF的计算过程和OSPF的特殊区域等。如
生成树-STP-课堂笔记
09.生成树
前言
以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路。但是使用冗余链路会在交换网络上产生环路,引发广播风暴以及MAC地址表不稳定等故障现象,从而导致用户通信质量较差,甚至通信中断。为解决交换网络中的环路问题,提出了生成树协议STP(Spanning Tree Protocol)。
运行STP协议的设备通过彼此交互信息发现网络中的环路,并有选择的对某个接口进行阻塞,最终将环形网络结构修剪成无环路的树形网络结构,从而防止报文在环形网络中不断循环,避免设备由于重复接收相同的报文造成处理能力下降。
RSTP(Rapid Spanning Tree Protocol)协议基于STP协议,对原有的STP协议进行了更加细致的修改和补充,实现了网络拓扑快速收敛。
课程能力
学完本课程后,您将能够:
描述园区交换网络中的二层环路产生原因及引发的问题。
描述STP的基本概念与工作原理。
区分STP与RSTP,并能够描述RSTP对STP的改进。
完成STP的基础配置。
了解除了生成树之外的其他消除交换网络二层环路的方法。
1.生成树技术概述
技术背景:二层交换机网络的冗余性与环路
随着局域网规模的不断扩大,越来越多的交换机被用来实现主机之间的互连。如图,接入层交换机单链路上联,则存在单链路故障,也就是如果这根上联链路发生故障,交换机下联用户就断网了。另一个问题的单点故障,也就是交换机如果宕机,交换机下联用户也就断网了。
为了解决此类问题,交换机在互连时一般都会使用冗余链路来实现备份。冗余链路虽然增强了网络的可靠性,但是也会产生环路,而环路会带来一系列的问题,继而导致通信质量下降和通信业务中断等问题。
技术背景:人为错误导致的二层环路
二层环路带来的问题
问题一:广播风暴
根据交换机的转发原则,如果交换机从一个端口上接收到的是一个广播帧,或者是一个目的MAC地址未知的单播帧,则会将这个帧向除源端口之外的所有其他端口转发。如果交换网络中有环路,则这个帧会被无限转发,此时便会形成广播风暴,网络中也会充斥着重复的数据帧。
本例中,SW3收到了一个广播帧将其进行泛洪,SW1和SW2也会将此帧转发到除了接收此帧的其他所有端口,结果此帧又会被再次转发给SW3,这种循环会一直持续,于是便产生了广播风暴。交换机性能会因此急速下降,并会导致业务中断。
问题二:MAC地址表漂移
交换机是根据所接收到的数据帧的源地址和接收端口生成MAC地址表项的。
本例中,SW3收到一个广播帧泛洪,SW1从GE0/0/1接口接收到广播帧后学习且泛洪,形成MAC地址5489-98EE-788A与GE0/0/1的映射;SW2收到广播帧后学习且泛洪,SW1再次从GE0/0/2收到源MAC地址为5489-98EE-788A的广播帧并进行学习,5489-98EE-788A会不断地在GE0/0/1与GE0/0/2接口之间来回切换,这被称为MAC地址漂移现象。
初识生成树协议
在以太网中,二层网络的环路会带来广播风暴,MAC地址表震荡,重复数据帧等问题,为解决交换网络中的环路问题,提出了STP。
STP通过构造一棵树来消除交换网络中的环路。
运行STP算法,判断网络中存在环路的地方并阻断冗余链路,将环路网络修剪成无环路的树型网络,从而避免了数据帧在环路网络中的增生和无穷循环。
在网络中部署生成树后,交换机之间会进行生成树协议报文的交互并进行无环拓扑计算,最终将网络中的某个(或某些)接口进行阻塞(Block),从而打破环路。
生成树能够动态响应网络拓扑变化调整阻塞接口
如图,交换机上运行STP协议,会通过报文监控网络的拓扑结构,正常情况下是将SW3上的一个接口进行阻塞(Block),从而打破环路,当监控到SW1与SW3之间出现链路故障,则恢复阻塞端口进入转发状态。
交换机上运行的生成树协议会持续监控网络的拓扑结构,当网络拓扑结构发生变化时,生成树能感知到这些变化,并且自动做出调整。
因此,生成树既能解决二层环路问题,也能为网络的冗余性提供一种方案。
问答:二层及三层环路
常见环路主要分为二层环路和三层环路。
二层环路主要因为网络中部署了二层冗余环境,或人为的误接线缆导致,可以通过借助特定的协议或机制实现二层防环;
三层环路主要因为路由环路,可以通过动态路由协议防环和IP报文头部中的TTL字段用于防止报文被无止尽地转发。
生成树协议在园区网络中的应用位置
生成树协议应用于园区网络的二层网络中,进行链路备份和消除环路。
STP概述
STP是一个用于局域网中消除环路的协议。
运行该协议的设备通过彼此交互信息而发现网络中的环路,并对某些接口进行阻塞以消除环路。
STP在网络中运行后会持续监控网络的状态,当网络出现拓扑变更时,STP能够感知并且进行自动响应,从而使得网络状态适应新的拓扑结构,保证网络可靠性。
由于局域网规模的不断增长,生成树协议已经成为了当前最重要的局域网协议之一。
2.STP的基本概念及工作原理
STP的基本概念:桥ID
在STP中,每一台交换机都有一个标示符,叫做Bridge ID或者桥ID,桥ID由16位的桥优先级(Bridge Priority)和48位的MAC地址构成。在STP网络中,桥优先级是可以配置的,取值范围是0~65535,默认值为32768,可以修改但是修改值必须为1024的倍数。优先级最高的设备(数值越小越优先)会被选举为根桥。如果优先级相同,则会比较MAC地址,MAC地址越小则越优先。
如图,需要在该网络中选举根桥,首先比较三台交换机的桥优先级,桥优先级都为4096,再比较三台交换机的MAC地址,谁小谁优先,最终选择SW1为根桥。
桥ID(Bridge ID,BID)
IEEE 802.1D标准中规定BID由16位的桥优先级(Bridge Priority)与桥MAC地址构成。
每一台运行STP的交换机都拥有一个唯一的BID。
BID桥优先级占据高16bit,其余的低48bit是桥MAC地址。
在STP网络中,BID最小的设备会被选举为根桥。
备注:此处网桥(Bridge ),或者桥也就是交换机。
STP的基本概念:根桥
树形的网络结构必须有树根,于是STP引入了根桥(Root Bridge)概念。
对于一个STP网络,根桥在全网中只有一个,它是整个网络的逻辑中心,但不一定是物理中心。根桥会根据网络拓扑的变化而动态变化。
网络收敛后,根桥会按照一定的时间间隔产生并向外发送配置BPDU,其他设备仅对该报文进行处理,传达拓扑变化记录,从而保证拓扑的稳定。
根桥(Root Bridge)
STP的主要作用之一是在整个交换网络中计算出一棵无环的“树”(STP树)。
根桥是一个STP交换网络中的“树根”。
STP开始工作后,会在交换网络中选举一个根桥,根桥是生成树进行拓扑计算的重要“参考点”,是STP计算得出的无环拓扑的“树根”。
在STP网络中,桥ID最小的设备会被选举为根桥。
在BID的比较过程中,首先比较桥优先级,优先级的值越小,则越优先,拥有最小优先级值的交换机会成为根桥;如果优先级相等,那么再比较MAC地址,拥有最小MAC地址的交换机会成为根桥。
STP的基本概念:Cost
交换机的每个端口都有一个端口开销(Port Cost)参数,此参数表示该端口在STP中的开销值。默认情况下端口的开销和端口的带宽有关,带宽越高,开销越小。
华为交换机支持多种STP的路径开销计算标准,提供多厂商场景下最大程度的兼容性。缺省情况下,华为交换机使用IEEE 802.1t标准来计算路径开销。
开销(Cost)
每一个激活了STP的接口都维护着一个Cost值,接口的Cost主要用于计算根路径开销,也就是到达根的开销。
接口的缺省Cost除了与其速率、工作模式有关,还与交换机使用的STP Cost计算方法有关。
接口带宽越大,则Cost值越小。
用户也可以根据需要通过命令调整接口的Cost。
STP的基本概念:Cost计算方法
STP的基本概念:RPC-根路径开销
从一个非根桥到达根桥的路径可能有多条,每一条路径都有一个总的开销值,此开销值是该路径上所有接收BPDU端口的端口开销总和(即BPDU的入方向端口),称为路径开销。非根桥通过对比多条路径的路径开销,选出到达根桥的最短路径,这条最短路径的路径开销被称为RPC,并生成无环树状网络。根桥的根路径开销是0。
根路径开销(Root Path Cost)
在STP的拓扑计算过程中,一个非常重要的环节就是“丈量”交换机某个接口到根桥的“成本”,也即RPC。
一台设备从某个接口到达根桥的RPC等于从根桥到该设备沿途所有入方向接口的Cost累加。
在本例中,SW3从GE0/0/1接口到达根桥的RPC等于接口1的Cost加上接口2的Cost。
STP的基本概念:Port ID-接口ID
运行STP交换机的每个端口都有一个端口ID,端口ID由端口优先级和端口号构成。端口优先级取值范围是0到240,步长为16,即取值必须为16的整数倍。缺省情况下,端口优先级是128。端口ID可以用来确定端口角色。
接口ID(Port ID,PID)
运行STP的交换机使用接口ID来标识每个接口,接口ID主要用于在特定场景下选举指定接口。
接口ID由两部分构成的,高4 bit是接口优先级,低12 bit是接口编号。
激活STP的接口会维护一个缺省的接口优先级,在华为交换机上,该值为128。用户可以根据实际需要,通过命令修改该优先级。
STP的基本概念:BPDU
为了计算生成树,交换机之间需要交换相关的信息和参数,这些信息和参数被封装在BPDU中。
BPDU有两种类型:配置BPDU和TCN BPDU。
配置BPDU包含了桥ID、路径开销和端口ID等参数。STP协议通过在交换机之间传递配置BPDU来选举根交换机,以及确定每个交换机端口的角色和状态。在初始化过程中,每个桥都主动发送配置BPDU。在网络拓扑稳定以后,只有根桥主动发送配置BPDU,其他交换机在收到上游传来的配置BPDU后,才会发送自己的配置BPDU。
TCN BPDU是指下游交换机感知到拓扑发生变化时向上游发送的拓扑变化通知。
BPDU(Bridge Protocol Data Unit,网桥协议数据单元)
BPDU是STP能够正常工作的根本。BPDU是STP的协议报文。
STP交换机之间会交互BPDU报文,这些BPDU报文携带着一些重要信息,正是基于这些信息,STP才能够顺利工作。
BPDU分为两种类型:
配置BPDU(Configuration BPDU)
TCN BPDU(Topology Change Notification BPDU)
配置BPDU是STP进行拓扑计算的关键;TCN BPDU只在网络拓扑发生变更时才会被触发。
配置BPDU的报文格式
PID: 协议ID ,对于STP而言,该字段的值总为0
PVI: 协议版本ID,对于STP而言,该字段的值总为0
BPDU Type: 指示本BPDU的类型,若值为0x00,则表示本报文为配置BPDU; 若值为0x80,则为TCN BPDU
Flags: 标志,STP只使用了该字段的最高及最低两个比特位,最低位是IC (Topology Change,拓扑变更)标志,最高位是TCA (Topology Change Acknowledgment,拓扑变更确认)标志
Root ID: 根网桥的桥ID
RPC: 根路径开销,到达根桥的STP Cost
Bridge ID: BPDU发送桥的ID
Port ID: BPDU发送网桥的接口ID (优先级+接口号)
Message Age: 消息寿命,从根网桥发出BPDU之后的秘数每经过一个网桥都减1,所以它本质上是到达根桥的跳数
Max Age: 最大寿命,当一段时间未收到任何BPDU,生存期到达最大寿命时,网桥认为该接口连接的链路发生故障。默认20s
Hello Time: 根网桥连续发送的BPDU之间的时间间隔,默认2s
Forward Delay: 转发延迟,在侦听和学习状态所停留的时间间隔,默认15s
配置BPDU的比较原则
对于STP而言,最重要的工作就是在交换网络中计算出一个无环拓扑。在拓扑计算的过程中,一个非常重要的内容就是配置BPDU的比较。在配置BPDU中,有四个字段非常关键,它们是“根桥ID”、“根路径开销”、“网桥ID”以及“接口ID”,这四个字段便是交换机进行配置BPDU比较的关键内容。
STP按照如下顺序选择最优的配置BPDU:
最小的根桥ID
最小的RPC
最小的网桥ID
最小的接口ID
在这四条原则中(每条原则都对应配置BPDU中的相应字段),第一条原则主要用于在网络中选举根桥,后面的原则主要用于选举根接口及指定接口。
配置BPDU的转发过程
交换机在刚启动时都认为自己是根桥,互相发送配置BPDU进行STP运算。
STP的计算过程
什么是根桥?
根桥是STP树的根节点。
要生成一棵STP树,首先要确定出一个根桥。
根桥是整个交换网络的逻辑中心,但不一定是它的物理中心。
当网络的拓扑发生变化时,根桥也可能发生变化。(抢占)
选举过程:
STP交换机初始启动之后,都会认为自己是根桥,并在发送给其他交换机的BPDU中宣告自己为根桥。因此,此时BPDU中的根桥ID为各自设备的网桥ID。
当交换机收到网络中其他设备发送来的BPDU后,会比较BPDU中的根桥ID和自己的BID。
交换机不断交互BPDU,同时对BID进行比较,最终选举一台BID最小的交换机作为根桥,其他的则为非根桥。
如图:根桥的选举先比较优先级,交换机SW1、2、3的优先级相等,则比较MAC地址,也优选最小的,所以SW1的BID最小,因此SW1为根桥,SW2和SW3为非根桥。
注意:
根桥的角色可抢占。当有更优的BID的交换机加入网络时,网络会重新进行STP计算,选出新的根桥。
在交换网络中选举一个根桥:
STP在交换网络中开始工作后,每个交换机都会向网络中发送配置BPDU。配置BPDU中包含交换机自己的桥ID。
网络中拥有最小桥ID的交换机成为根桥。
在一个连续的STP交换网络中只会存在一个根桥。
根桥的角色是可抢占的。
为了确保交换网络的稳定,建议提前规划STP组网,并将规划为根桥的交换机的桥优先级设置为最小值0。
什么是根端口?
一个非根桥设备上会有多个端口与网络相连,为了保证从某台非根桥设备到根桥设备的工作路径是最优且唯一的,就必须从该非根桥设备的端口中确定出一个被称为“根端口”的端口,由根端口来作为该非根桥设备与根桥设备之间进行报文交互的端口。
在选举出根桥后,根桥仍然持续发送BPDU,而非根桥将持续不断的收到根桥发送的BPDU。因此,在所有非根桥上选举一个距离根桥“最近”的端口(根端口),在网络收敛后,根端口将不断的收到来自根桥的BPDU。
即:根端口保证了交换机与根桥之间工作路径的唯一性和最优性。
注意:一个非根桥设备上,最多只能有一个根端口。
选举过程:
1.交换机有多个端口接入网络,各个端口都会收到BPDU报文,报文中会携带“RootID、RPC、BID、PID”等关键字段,端口会针对这些字段进行PK。
2.首先比较根路径开销(RPC),STP协议把根路径开销作为确定根端口的重要依据。RPC值越小,越优选,因此交换机会选RPC最小的端口作为根端口。
3.当RPC相同时,比较上行交换机的BID,即比较交换机各个端口收到的BPDU中的BID,值越小,越优选,因此交换机会选上行设备BID最小的端口作为根端口。
4.当上行交换机BID相同时,比较上行交换机的PID,即比较交换机各个端口收到的BPDU中的PID,值越小,越优先,因此交换机会选上行设备PID最小的端口作为根端口。
5.当上行交换机的PID相同时,则比较本地交换机的PID,即比较本端交换机各个端口各自的PID,值越小,越优先,因此交换机会选端口PID最小的端口作为根端口。
在每台非根桥上选举一个根接口:
每一台非根桥交换机都会在自己的接口中选举出一个接口。
非根桥交换机上有且只会有一个根接口。
当非根桥交换机有多个接口接入网络中时,根接口是其收到最优配置BPDU的接口。
可以形象地理解为,根接口是每台非根桥上“朝向”根桥的接口。
什么是指定端口?
网络中的每个链路与根桥之间的工作路径必须是唯一的且最优的。当一个链路有两条及以上的路径通往根桥时(该链路连接了不同的交换机,或者该链路连接了同一台交换机的不同端口),与该链路相连的交换机(可能不止一台)就必须确定出一个唯一的指定端口。
因此,每个链路(Link)选举一个指定端口,用于向这个链路发送BPDU。
注意:一般情况下,根桥上不存在任何根端口,只存在指定端口。
选举过程:
指定端口也是通过比较RPC来确定的,选择RPC最小的作为指定端口,如果RPC相同,则比较BID和PID。
2.首先比较根路径开销(RPC),值越小,越优选,因此交换机会选RPC最小的端口作为指定端口。
3.若RPC相等,则比较链路两端交换机的BID,值越小,越优选,因此交换机会选BID最小的交换机的端口作为指定端口。
4.若BID相等,则比较链路两端端口的PID,值越小,越优选,因此交换机会选PID最小的交换机的端口作为指定端口。
在每条链路上选举一个指定接口:
根接口选举出来后,非根桥会使用其在该接口上收到的最优BPDU进行计算,然后将计算得到的配置BPDU与除了根接口之外的其他所有接口所收到的配置BPDU进行比较:
如果前者更优,则该接口为指定接口;
如果后者更优,则该接口为非指定接口。
一般情况下,根桥的所有接口都是指定接口。
什么是非指定端口(预备端口)?
在确定了根端口和指定端口之后,交换机上所有剩余的非根端口和非指定端口统称为预备端口。
阻塞非指定端口
STP会对这些非指定端口进行逻辑阻塞,即这些端口不能转发由终端计算机产生并发送的帧(用户数据帧)。
一旦非指定端口被逻辑阻塞后,STP树(无环路工作拓扑)就生成了。
注意:
非指定端口可以接收并处理BPDU。
根端口和指定端口既可以接收和发送BPDU,也可以转发用户数据帧。
非指定接口被阻塞:
一台交换机上,既不是根接口,又不是指定接口的接口被称为非指定接口。
STP操作的最后一步是阻塞网络中的非指定接口。这一步完成后,网络中的二层环路就此消除。
思考题1:识别以下拓扑中的根桥及各种接口角色
如图,首先选举根桥,三台交换机的桥优先级相同,则比较桥MAC地址,谁小谁优先,最终选举SW1为根桥;
其次选举根端口,SW2上GE0/0/1距离根桥最近,RPC最小,所以SW2的GE0/0/1为根端口,同理SW3的GE0/0/1也为根端口;
然后选举指定端口,SW1为根桥,所以SW1上的GE0/0/0和GE0/0/1端口为指定端口,SW2的GE0/0/2端口接收到SW3的配置BPDU,比较BID,SW2比SW3的BID更优,所以SW2的GE0/0/2端口为指定端口;
最终非根端口,非指定端口的SW3的GE0/0/2端口为预备端口。
思考题2:识别以下拓扑中的根桥及各种接口角色
如图,首先选举根桥,三台交换机的桥优先级相同,则比较桥MAC地址,谁小谁优先,最终选举SW1为根桥;
其次选举根端口,SW2上GE0/0/1距离根桥的总带宽为1000M,SW2上GE0/0/2到根桥的总带宽为1000M,带宽越小cost越小,所以SW2的GE0/0/1为根端口,同理SW3的GE0/0/1也为根端口;
然后选举指定端口,SW1为根桥,所以SW1上的GE0/0/0和GE0/0/1端口为指定端口,SW2的GE0/0/2端口接收到SW3的配置BPDU,比较BID,SW2比SW3的BID更优,所以SW2的GE0/0/2端口为指定端口;
最终非根端口,非指定端口的SW3的GE0/0/2端口为预备端口。
思考题3:识别以下拓扑中的根桥及各种接口角色
如图,首先选举根桥,四台交换机的桥优先级相同,则比较桥MAC地址,谁小谁优先,最终选举SW1为根桥;
其次选举根端口,SW2上GE0/0/1距离根桥最近,RPC最小,所以SW2的GE0/0/1为根端口,同理SW3的GE0/0/2也为根端口,SW4的两个端口RPC相同,然后比较SW4的G0/0/1对应的交换机SW2的BID与G0/0/2对应的交换机SW3的BID,谁小谁优先,最终选举出SW4的GE0/0/1端口为根端口;
然后选举指定端口,SW1为根桥,所以SW1上的GE0/0/0和GE0/0/1端口为指定端口,SW2的GE0/0/2端口接收到SW4的配置BPDU,比较BID,SW2比SW4的BID更优,所以SW2的GE0/0/2端口为指定端口,同理可得SW3的GE0/0/1端口为指定端口;
最终非根端口,非指定端口的SW4的GE0/0/2端口为预备端口。
思考题4:识别以下拓扑中的根桥及各种接口角色
如图,首先选举根桥,两台交换机的桥优先级相同,则比较桥MAC地址,谁小谁优先,最终选举SW1为根桥;
其次选举根端口,SW2上两个端口RPC相同,再比较两个接口对端的BID也相同,然后比较两个端口对端的PID,SW2的G0/0/1的对端PID:128.1,SW2的G0/0/2的对端PID:128.2,越小越优先,所以SW2的G0/0/1为根端口;
然后选举指定端口,SW1为根桥,所以SW1上的GE0/0/1和GE0/0/2端口为指定端口;
最终非根端口,非指定端口的SW2的GE0/0/2端口为预备端口。
STP的接口状态
禁用(Disable): 该接口不能收发BPDU,也不能收发业务数据帧,例如接口为down
阻塞(Blocking):该接口被STP阻塞。处于阻塞状态的接口不能发送BPDU,但是会持续侦听BPDU,而且不能收发业务数据帧,也不会进行MAC地址学习
侦听(Listening): 当接口处于该状态时,表明STP初步认定该接口为根接口或指定接口,但接口依然处于STP计算的过程中,此时接口可以收发BPDU,但是不能收发业务数据帧,也不会进行MAC地址学习
学习(Learning): 当接口处于该状态时,会侦听业务数据帧(但是不能转发业务数据帧),并且在收到业务数据帧后进行MAC地址学习
转发(Forwarding): 处于该状态的接口可以正常地收发业务数据帧,也会进行BPDU处理。接口的角色需是根接口或指定接口才能进入转发状态
STP的接口状态迁移
图中所示为STP的端口状态迁移机制,运行STP协议的设备上端口状态有5种:
Forwarding:转发状态。端口既可转发用户流量也可转发BPDU报文,只有根端口或指定端口才能进入Forwarding状态。
Learning:学习状态。端口可根据收到的用户流量构建MAC地址表,但不转发用户流量。增加Learning状态是为了防止临时环路。
Listening:侦听状态。端口可以转发BPDU报文,但不能转发用户流量。
Blocking:阻塞状态。端口仅仅能接收并处理BPDU,不能转发BPDU,也不能转发用户流量。此状态是预备端口的最终状态。
Disabled:禁用状态。端口既不处理和转发BPDU报文,也不转发用户流量。
拓扑变化 - 根桥故障
根桥故障:
在稳定的STP网络,非根桥会定期收到来自根桥的BPDU报文。
如果根桥发生了故障,停止发送BPDU,下游交换机就无法收到来自根桥的BPDU报文。
如果下游交换机一直收不到BPDU报文,Max Age计时器(缺省: 20s)就会超时,从而导致已经收到的BPDU报文失效,此时,非根桥会互相发送配置BPDU,重新选举新的根桥。
端口状态:
SW3的预备端口,20s后会从Blocking状态进入到Listening状态,再进入Learning状态,最终进入到Forwarding状态,进行用户流量的转发。
收敛时间:
根桥故障会导致50s左右的恢复时间,等于Max Age加上2倍的Forward Delay收敛时间。
拓扑变化 - 直连链路故障
直连链路故障:
当两台交换机间用两条链路互连时,其中一条是主用链路,另一条为备用链路。
当网络稳定时,交换机SWB检测到根端口的链路发生故障,则其备用端口会进入用户流量转发状态。
端口状态:
备用端口会从Blocking状态,迁移到Listening-Learning-Forwarding状态。
收敛时间:
直连链路故障,备用端口会经过30s后恢复转发状态。
拓扑变化 – 非直连链路故障
非直连故障
在稳定的STP网络,非根桥会定期收到来自根桥的BPDU报文。
若SW1与SW2之间的链路发生了某种故障(非物理故障),因此SW2一直收不到来自根桥SW1的BPDU报文,Max Age计时器(缺省: 20 s)就会超时,从而导致已经收到的BPDU报文失效。
此时,非根桥SW2会认为根桥失效,并且认为自己是根桥,从而发送自己的配置BPDU给SW3,通知SW3自己是新的根桥。
在此期间,SW3的预备端口一直收不到包含根桥ID的BPDU,Max Age计时器超时后,端口进入到Listening状态,开始向SW2“转发”从上游发来的包含根桥ID的BPDU。
因此,Max Age定时器超时后,SW2和SW3几乎同时收到对方发来的BPDU,再进行STP重新计算,SW2发现SW3发来的BPDU更优,就放弃宣称自己是根桥并重新确定端口角色。
端口状态:
SW3预备端口20s后会从Blocking状态进入到Listening状态,再进入Learning状态,最终进入到Forwarding状态,进行用户流量的转发。
收敛时间:
非直连故障会导致50s左右的恢复时间,等于Max Age加上2倍的Forward Delay收敛时间。
拓扑改变导致MAC地址表错误
在交换网络中,交换机依赖MAC地址表转发数据帧。缺省情况下,MAC地址表项的老化时间是300秒。如果生成树拓扑发生变化,交换机转发数据的路径也会随着发生改变,此时MAC地址表中未及时老化掉的表项会导致数据转发错误,因此在拓扑发生变化后需要及时更新MAC地址表项。
本例中,SW2中的MAC地址表项定义了通过端口GigabitEthernet 0/0/3可以到达主机A,通过端口GigabitEthernet 0/0/3可以到达主机B。由于SW3的根端口产生故障,导致生成树拓扑重新收敛,在生成树拓扑完成收敛之后,从主机A到主机B的帧仍然不能到达目的地。这是因为MAC地址表项老化时间是300秒,主机A发往主机B的帧到达SW2后,SW3会继续通过端口GigabitEthernet 0/0/3转发该数据帧。
拓扑改变导致MAC地址表错误
拓扑变化过程中,根桥通过TCN BPDU报文获知生成树拓扑里发生了故障。根桥生成TC用来通知其他交换机加速老化现有的MAC地址表项。
拓扑变更以及MAC地址表项更新的具体过程如下:
SW3感知到网络拓扑发生变化后,会不间断地向SWB发送TCN BPDU报文。
SW2收到SW3发来的TCN BPDU报文后,会把配置BPDU报文中的Flags的TCA位设置1,然后发送给SW3,告知SW3停止发送TCN BPDU报文。
SW2向根桥转发TCN BPDU报文。
SW1把配置BPDU报文中的Flags的TC位设置为1后发送,通知下游设备把MAC地址表项的老化时间由默认的300 s修改为Forward Delay的时间(默认为15 s)。
最多等待15 s之后,SW2中的错误MAC地址表项会被自动清除。此后,SW2就能重新开始MAC表项的学习及转发操作。
3.STP的基础配置
STP的基础配置命令
1.配置生成树工作模式
[Huawei] stp mode { stp | rstp | mstp }
交换机支持STP、RSTP和MSTP(Multiple Spanning Tree Protocol)三种生成树工作模式,默认情况工作在MSTP模式。
2.(可选)配置根桥
[Huawei] stp root primary
配置当前设备为根桥。缺省情况下,交换机不作为任何生成树的根桥。配置后该设备优先级数值自动为0,并且不能更改设备优先级。
3.(可选)备份根桥
[Huawei] stp root secondary
配置当前交换机为备份根桥。缺省情况下,交换机不作为任何生成树的备份根桥。配置后该设备优先级数值为4096,并且不能更改设备优先级。
1.(可选)配置交换机的STP优先级
[Huawei] stp priority priority
缺省情况下,交换机的优先级取值是32768。
2.(可选)配置接口路径开销
[Huawei] stp pathcost-standard { dot1d-1998 | dot1t | legacy }
配置接口路径开销计算方法。缺省情况下,路径开销值的计算方法为IEEE 802.1t(dot1t)标准方法。
同一网络内所有交换机的接口路径开销应使用相同的计算方法。
[Huawei-GigabitEthernet0/0/1] stp cost cost
设置当前接口的路径开销值。
1.(可选)配置接口优先级
[Huawei-intf] stp priority priority
配置接口的优先级。缺省情况下,交换机接口的优先级取值是128。
2.启用STP/RSTP/MSTP
[Huawei] stp enable
使能交换机的STP/RSTP/MSTP功能。缺省情况下,设备的STP/RSTP/MSTP功能处于启用状态。
案例1:STP的基础配置
在上述三台交换机上部署STP,以便消除网络中的二层环路。
通过配置,将SW1指定为根桥,并使SW3的GE0/0/22接口被STP阻塞。
SW1的配置如下:
[SW1] stp mode stp
[SW1] stp enable
[SW1] stp priority 0
SW2的配置如下:
[SW2] stp mode stp
[SW2] stp enable
[SW2] stp priority 4096
SW3的配置如下:
[SW3] stp mode stp
[SW3] stp enable
[SW3] stp priority 0
在SW3上查看STP接口状态摘要:
<SW3> display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/21 ROOT FORWARDING NONE
0 GigabitEthernet0/0/22 ALTE DISCARDING NONE
4.RSTP对STP的改进
STP的不足之处
STP协议虽然能够解决环路问题,但是由于网络拓扑收敛慢,影响了用户通信质量。如果网络中的拓扑结构频繁变化,网络也会随之频繁失去连通性,从而导致用户通信频繁中断,这是用户无法忍受的。
STP没有细致区分接口状态和接口角色,不利于初学者学习及部署。
网络协议的优劣往往取决于协议是否对各种情况加以细致区分。
从用户角度来讲,Listening、Learning和Blocking状态并没有区别,都同样不转发用户流量。
从使用和配置角度来讲,接口之间最本质的区别并不在于接口状态,而是在于接口扮演的角色。
根接口和指定接口可以都处于Listening状态,也可能都处于Forwarding状态。
STP算法是被动的算法,依赖定时器等待的方式判断拓扑变化,收敛速度慢。
STP算法要求在稳定的拓扑中,根桥主动发出配置BPDU报文,而其他设备进行处理,传遍整个STP网络。这也是导致拓扑收敛慢的主要原因之一。
RSTP概述
IEEE 802.1w中定义的RSTP可以视为STP的改进版本,RSTP在许多方面对STP进行了优化,它的收敛速度更快,而且能够兼容STP。
RSTP引入了新的接口角色,其中替代接口的引入使得交换机在根接口失效时,能够立即获得新的路径到达根桥。备份端口作为指定端口的备份,帮助链路上的网桥快速获得到根桥的备份路径。RSTP的状态规范根据端口是否转发用户流量和学习MAC地址把原来的5种状态缩减为3种。 另外,RSTP还引入了边缘接口的概念,这使得交换机连接终端设备的接口在初始化之后能够立即进入转发状态,提高了工作效率。
IEEE于2001年发布的802.1w标准定义了快速生成树协议RSTP(Rapid Spanning-Tree Protocol),RSTP在STP基础上进行了改进,实现了网络拓扑快速收敛。
RSTP(快速生成树)是从STP演化而来的,基本思想一样;当交换网络拓扑结构发生变化时, RSTP可以通过Proposal/Agreement机制更快地恢复网络的连通性。
根据STP的不足,RSTP删除了3种端口状态,新增加了2种端口角色,并且把端口属性充分的按照状态和角色解耦;此外,RSTP还增加了相应的一些增强特性和保护措施,实现网络的稳定和快速收敛。
RSTP是可以与STP实现后向兼容的,但在实际中,并不推荐这样的做法,原因是RSTP会失去其快速收敛的优势,而STP慢速收敛的缺点会暴露出来。
RSTP对STP的其他改进:
配置BPDU的处理发生变化:
拓扑稳定后,配置BPDU报文的发送方式进行了优化;
使用更短的BPDU超时计时;
对处理次等BPDU的方式进行了优化;
配置BPDU格式的改变,充分利用了STP协议报文中的Flag字段,明确了接口角色。
RSTP拓扑变化处理:相比于STP进行了优化,加速针对拓扑变更的反应速度。
RSTP对STP的其他改进
配置BPDU的处理发生变化:
拓扑稳定后,配置BPDU报文的发送方式进行了优化
使用更短的BPDU超时计时
对处理次等BPDU的方式进行了优化
配置BPDU格式的改变,充分利用了STP协议报文中的Flag字段,明确了接口角色
RSTP拓扑变化处理:相比于STP进行了优化,加速针对拓扑变更的反应速度
端口角色不同
通过接口角色的增补,简化了生成树协议的理解及部署
RSTP的接口角色共有4种:根接口、指定接口、预备接口和备份接口
边缘端口
如果指定端口位于整个域的边缘,不再与任何交换设备连接,这种端口叫做边缘端口。
边缘端口一般与用户终端设备直接连接,可以由Disabled状态直接转到Forwarding状态。
端口状态不同
RSTP的状态规范把原来的5种状态缩减为3种。
如果不转发用户流量也不学习MAC地址,那么接口状态就是Discarding状态。
如果不转发用户流量但是学习MAC地址,那么接口状态就是Learning状态。
如果既转发用户流量又学习MAC地址,那么接口状态就是Forwarding状态。
RSTP把原来STP的5种端口状态简化成了3种。
Discarding状态,端口既不转发用户流量也不学习MAC地址。
Learning状态,端口不转发用户流量但是学习MAC地址。
Forwarding状态,端口既转发用户流量又学习MAC地址。
5.生成树技术进阶
STP/RSTP的缺陷:所有的VLAN共享一棵生成树
RSTP在STP基础上进行了改进,实现了网络拓扑快速收敛。
但RSTP和STP还存在同一个缺陷:由于局域网内所有的VLAN共享一棵生成树,因此无法在VLAN间实现数据流量的负载均衡,链路被阻塞后将不承载任何流量,还有可能造成部分VLAN的报文无法转发。
VBST:基于VLAN的生成树
华为公司提出了VBST(VLAN-Based Spanning Tree)生成树解决方案。该解决方案中,生成树的形成是基于VLAN的,不同VLAN间可形成相互独立的生成树,不同VLAN内的流量沿着各自的生成树转发,进而可实现流量的负载分担。
MSTP:多生成树
为了弥补STP和RSTP的缺陷,IEEE于2002年发布的802.1s标准定义了MSTP。
MSTP兼容STP和RSTP,既可以快速收敛,又提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。
MSTP概述
MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
每棵生成树叫做一个多生成树实例MSTI(Multiple Spanning Tree Instance)。
所谓生成树实例就是多个VLAN的一个集合。
通过将多个VLAN捆绑到一个实例,可以节省通信开销和资源占用率。
MSTP各个实例拓扑的计算相互独立,在这些实例上可以实现负载均衡。
可以把多个相同拓扑结构的VLAN映射到一个实例里,这些VLAN在接口上的转发状态取决于接口在对应实例的状态。
堆叠与园区网络树形结构组网形态
堆叠iStack(Intelligent Stack),是指将多台支持堆叠特性的交换机设备组合在一起,从逻辑上组合成一台整体交换设备。
堆叠系统建立之前,每台交换机都是单独的实体,有自己独立的IP地址和MAC地址,对外体现为多台交换机,用户需要独立的管理所有的交换机;
堆叠建立后堆叠成员对外体现为一个统一的逻辑实体,用户使用一个IP地址对堆叠中的所有交换机进行管理和维护,如图所示。通过交换机堆叠,可以实现网络大数据量转发和网络高可靠性,同时简化网络管理。
Smart Link
如图所示Switch3采用双上行方式分别连接到FW1和FW2,这样Switch3到达上行的链路就可以有两条。
在Switch3上配置Smart Link,正常情况下,可实现Port2所在链路作为Port1所在链路的备份。
若Port1所在的链路发生故障,Smart Link会自动将数据流量切换到Port2所在链路,保证业务不中断。
Smart Link是一种为双上行组网量身定做的解决方案:
在双向行的设备上部署,当网络正常时,两条上行链路中,一条处于活跃状态,而另一条则处于备份状态(不承载业务流量)。如此一来二层环路就此打破。
当主用链路发生故障后,流量会在毫秒级的时间内迅速切换到备用链路上,保证了数据的正常转发。
Smart Link配置简单,便于用户操作。
无需协议报文交互,收敛速度及可靠性大大提升。
思考题
(单选)以下关于STP接口状态的说法,错误的是( )。
A.被阻塞的接口不会侦听,也不发送BPDU。 (答案)
B.处于Learning状态的接口会学习MAC地址,但是不会转发数据。
C.处于Listening状态的接口会持续侦听BPDU。
D.被阻塞的接口如果一定时间内收不到BPDU,则会自动切换到Listening状态。
总结
生成树是一个用于局域网中消除环路的协议。运行该协议的设备通过彼此交互信息而发现网络中的环路,并对某些接口进行阻塞以消除环路。由于局域网规模的不断增长,生成树协议已经成为了当前最重要的局域网协议之一。
在以太网交换网中部署生成树协议后,如果网络中出现环路,生成树协议通过拓扑计算,可实现:
消除环路:通过阻塞冗余链路消除网络中可能存在的网络通信环路。
链路备份:当前活动的路径发生故障时,激活冗余备份链路,恢复网络连通性。
RSTP(Rapid Spanning-Tree Protocol)作为一种存在已久的协议,已经无法满足现代园区网络的需求,但是了解STP的工作原理,有助于为进一步熟悉并掌握RSTP及MSTP的原理与部署做好铺垫。
10.RSTP原理与配置
前言
以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路,但是这也带来了网络环路的问题。网络环路会引发广播风暴和MAC地址表震荡等问题,导致用户通信质量差,甚至通信中断。为了解决交换网络中的环路问题,IEEE提出了基于802.1D标准的STP(Spanning Tree Protocol,生成树协议)。
随着局域网规模的不断增长,STP拓扑收敛速度慢的问题逐渐凸显,因此,IEEE在2001年发布了802.1W标准,定义了RSTP(Rapid Spanning Tree Protocol,快速生成树协议),RSTP在STP的基础上进行了改进,可实现网络拓扑的快速收敛。
在本章节中,主要介绍RSTP对于STP的改进之处,RSTP的基本工作原理以及RSTP的相关配置。
课程能力
学完本课程后,您将能够:
描述STP技术的缺陷
描述RSTP对STP技术的改进
描述RSTP的基本工作原理
完成RSTP的基本配置
1.快速生成树协议概述
STP回顾与STP不足
回顾:STP的工作原理
STP的配置BPDU:
STP通过在交换机之间传递配置BPDU来选举根交换机 (或根桥),以及确定每个交换机端口的角色和状态。
在初始化过程中,每个交换机都主动发送配置BPDU。
在网络拓扑稳定以后,只有根桥周期性发送配置BPDU,其他交换机在收到上游传来的配置BPDU后,才会发送自己的配置BPDU。
配置BPDU包含了桥ID、路径开销和端口ID等参数。
回顾:STP树的生成过程
STP的计算四步骤:
主要通过比较4个参数进行角色选举:
根桥ID、根路径开销、网桥ID和端口ID。
1.选举根桥 (Root Bridge)
在一个交换网络中选举一个根桥。
2.选举根端口 (Root Port)
在每个非根桥上选举一个根端口。
3.选举指定端口 (Designated Port)
为每个网段选举一个指定端口。
4.阻塞非指定端口
阻塞交换机上所有剩余的非根、非指定端口。
STP的不足
STP虽然能够解决环路问题,但是由于网络拓扑收敛慢,影响了用户通信质量。如果网络中的拓扑结构频繁变化,网络也会随之频繁失去连通性,从而导致用户通信频繁中断,这是用户无法忍受的。
STP的不足:
STP没有细致区分端口状态和端口角色,不利于初学者学习及部署。
从用户角度来讲,Listening、Learning和Blocking状态并没有区别,都同样不转发用户流量。
从使用和配置角度来讲,端口之间最本质的区别并不在于端口状态,而是在于端口扮演的角色。
STP算法是被动的算法,依赖定时器等待的方式判断拓扑变化,收敛速度慢。
STP算法要求在稳定的拓扑中,根桥主动发出配置BPDU报文,而其他设备再进行处理,最终传遍整个STP网络。
STP对计时器的依赖
初始化场景:
STP采用计时器防止临时环路,当STP选举出端口角色后,即便角色为指定端口和根端口,仍然需要等待两个Forward Delay时间(30s)才能进入转发。
终端接入场景:
在运行STP的环境下,终端或服务器接入后,由于端口需要从Disabled状态依次切换到Blocking、Listening、Learning及Forwarding状态,此时主机A在接入后,需要等待两个Forward Delay时间才能访问网络服务。
STP重收敛过程慢
直连故障:
被阻塞的端口会从Blocking状态,依次切换到Listening及Learning状态,最终进入Forwarding状态。
直连链路故障,端口状态转换,延时30s后进入Forwarding状态。
非直连故障:
由于被阻塞端口上不再收到更优的BPDU,因此20s后端口开始从Blocking状态依次切换到Listening、Learning及Forwarding状态。
非直连故障会导致50s左右的恢复时间,等于Max Age加上2倍的Forward Delay时间。
STP拓扑变更机制
STP的拓扑变更机制,需要先将拓扑变化信息传递给根桥,再由根桥向下游泛洪拓扑变化信息。
RSTP概述
IEEE 802.1W中定义的RSTP可以视为STP的改进版本,RSTP在许多方面对STP进行了优化,它的收敛速度更快,而且能够兼容STP。
RSTP对STP的改进:
通过端口角色的增补,简化了生成树协议的理解及部署;
端口状态的重新划分;
配置BPDU格式的改变,充分利用了STP协议报文中的Flag字段,明确了端口角色;
配置BPDU的处理发生变化;
快速收敛;
增加保护功能。
RSTP在园区网络中的应用位置
2.RSTP对STP的改进
改进点1:端口角色
通过端口角色的增补,简化了生成树协议的理解与部署。
替代端口 (Alternate):
Alternate端口就是由于学习到其它网桥发送的配置BPDU报文而阻塞的端口,它提供了从指定桥到根的另一条可切换路径,作为根端口的备份端口。
备份端口 (Backup):
Backup端口就是由于学习到自己发送的配置BPDU报文而阻塞的端口,它作为指定端口的备份,提供了另一条从根桥到相应网段的备份通路。
改进点2:端口状态
RSTP的状态规范缩减为3种,根据端口是否转发用户流量和学习MAC地址来划分:
Discarding状态:不转发用户流量也不学习MAC地址;
Learning状态:不转发用户流量但是学习MAC地址;
Forwarding状:既转发用户流量又学习MAC地址。
改进点3:配置BPDU - RST BPDU
RSTP的配置BPDU充分利用了STP报文中的Flag字段,明确了端口角色。
除了保证和STP格式基本一致之外,RSTP作了如下变化:
Type字段:配置BPDU类型不再是0而是2,所以运行STP的设备收到RSTP的配置BPDU时会丢弃。
Flag字段:使用了原来保留的中间6位,这样改变的配置BPDU叫做RST BPDU。
改进点4:配置BPDU的处理
拓扑稳定后,配置BPDU报文的发送方式
RSTP对配置BPDU的发送方式进行了改进。
在拓扑稳定后,无论非根桥设备是否接收到根桥传来的配置BPDU报文,非根桥设备仍然按照Hello Time规定的时间间隔发送配置BPDU,该行为完全由每台设备自主进行。
STP拓扑稳定后,根桥按照Hello Time规定的时间间隔发送配置BPDU。其他非根桥设备在收到上游设备发送过来的配置BPDU后,才会触发发出配置BPDU,此方式使得STP计算复杂且缓慢。
更短的BPDU超时时间
如果一个端口在超时时间(即三个周期,超时时间=Hello Time×3)内没有收到上游设备发送过来的配置BPDU,那么该设备认为与此邻居之间的协商失败。
STP需要先等待一个Max Age。
处理次优BPDU
当一个端口收到上游的指定桥发来的RST BPDU报文时,该端口会将自身缓存的RST BPDU与收到的RST BPDU进行比较。
如果该端口缓存的RST BPDU优于收到的RST BPDU,那么该端口会直接丢弃收到的RST BPDU,立即回应自身缓存的RST BPDU,从而加快收敛速度。
STP协议只有指定端口会立即处理次优BPDU。
改进点5:快速收敛机制
根端口快速切换:
如果网络中一个根端口失效,那么网络中最优的Alternate端口将成为根端口,进入Forwarding状态。因为通过这个Alternate端口连接的网段上必然有个指定端口可以通往根桥。
指定端口快速切换:
如果网络中一指定端口失效,那么网络中最优的Backup端口将成为指定端口,进入Forwarding状态。因为Backup端口作为指定端口的备份,提供了另一条从根桥到相应网段的备份通路。
边缘端口 (Edge Port):
在RSTP里面,如果某一个端口位于整个网络的边缘,即不再与其他交换设备连接,而是直接与终端设备直连,这种端口可以设置为边缘端口。
边缘端口不参与RSTP计算,可以由Discarding直接进入Forwarding状态。
但是一旦边缘端口收到配置BPDU,就丧失了边缘端口属性,成为普通STP端口,并重新进行生成树计算,从而引起网络震荡。
Proposal/Agreement机制:
简称P/A机制。
RSTP通过P/A机制加快了上游端口进入Forwarding状态的速度。
在RSTP中,当一个端口被选举成为指定端口之后,会先进入Discarding状态,再通过P/A机制快速进入Forwarding状态。
在STP中,该端口至少要等待一个Forward Delay(Learning)时间才会进入到Forwarding状态。
P/A机制详解
改进点6:拓扑变更机制
在RSTP中检测拓扑是否发生变化只有一个标准:一个非边缘端口迁移到Forwarding状态。
拓扑变更机制:
一旦检测到拓扑发生变化,将进行如下处理:
为本交换设备的所有非边缘指定端口和根端口启动一个TC While Timer,该计时器值是Hello Time的两倍。在这个时间内,清空所有端口上学习到的MAC地址。
同时,由非边缘指定端口和根端口向外发送RST BPDU,其中TC置位。一旦TC While Timer超时,则停止发送RST BPDU。
其他交换设备接收到RST BPDU后,清空所有端口(除了收到RST BPDU的端口和边缘端口)学习到MAC地址,然后也为自己所有的非边缘指定端口和根端口启动TC While Timer,重复上述过程。
如此,网络中就会产生RST BPDU的泛洪。
改进点7:保护功能
BPDU保护:
正常情况下,边缘端口不会收到RST BPDU。如果有人伪造RST BPDU恶意攻击交换设备,当边缘端口接收到RST BPDU时,交换设备会自动将边缘端口设置为非边缘端口,并重新进行生成树计算,从而引起网络震荡。
交换设备上启动了BPDU保护功能后,如果边缘端口收到RST BPDU,边缘端口将被error-down,但是边缘端口属性不变,同时通知网管系统。
根保护(Root保护):
对于启用根保护功能的指定端口,其端口角色只能保持为指定端口。
一旦启用根保护功能的指定端口收到优先级更高的RST BPDU时,端口将进入Discarding状态,不再转发报文。经过一段时间(通常为两倍的Forward Delay),如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。
根保护功能确保了根桥的角色不会因为一些网络问题而改变。
环路保护:
在启动了环路保护功能后,如果根端口或Alternate端口长时间收不到来自上游设备的BPDU报文时,则向网管发出通知信息(此时根端口会进入Discarding状态,角色切换为指定端口),而Alternate端口则会一直保持在Discarding状态(角色也会切换为指定端口),不转发报文,从而不会在网络中形成环路。
直到链路不再拥塞或单向链路故障恢复,端口重新收到BPDU报文进行协商,并恢复到链路拥塞或者单向链路故障前的角色和状态。
防TC-BPDU攻击:
启用防TC-BPDU报文攻击功能后,在单位时间内,交换设备处理TC BPDU报文的次数可配置。
如果在单位时间内,交换设备在收到TC BPDU报文数量大于配置的阈值,那么设备只会处理阈值指定的次数。
对于其他超出阈值的TC BPDU报文,定时器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项,从而达到保护设备的目的。
3.RSTP的工作过程
4.RSTP的基本配置
RSTP拓扑收敛过程
每一台交换机启动RSTP后,都认为自己是“根桥”,并且发送RST BPDU。
所有端口都为指定端口,处于Discarding状态。
RSTP的基础配置命令
1.配置生成树工作模式
[Huawei] stp mode { stp | rstp | mstp }
交换机支持STP、RSTP和MSTP三种生成树工作模式。默认情况工作在MSTP模式。
2.(可选)配置当前设备为根桥
[Huawei] stp root primary
缺省情况下,交换机不作为任何生成树的根桥。配置后该设备优先级数值自动为0,并且不能更改设备优先级。
3.(可选)配置当前设备为备份根桥
[Huawei] stp root Secondary
缺省情况下,交换设备不作为任何生成树的备份根桥。配置后该设备优先级数值为4096,并且不能更改设备优先级。
1.(可选)配置交换机的STP优先级
[Huawei] stp priority priority
取值范围是0~61440,步长为4096。缺省情况下,交换机的优先级取值是32768。
2.(可选)配置接口路径开销
[Huawei] stp pathcost-standard { dot1d-1998 | dot1t | legacy }
配置接口路径开销计算方法。缺省情况下,路径开销值的计算方法为IEEE 802.1t(dot1t)标准方法。
同一网络内所有交换机的接口路径开销应使用相同的计算方法。
[Huawei-GigabitEthernet0/0/1] stp cost cost
设置当前接口的路径开销值。
1.(可选)配置接口优先级
[Huawei-GigabitEthernet0/0/1] stp priority priority
整数形式,取值范围是0~240,步长为16。缺省情况下,交换机接口的优先级取值是128。
2.启用STP/RSTP
[Huawei] stp enable
使能交换机的STP/RSTP功能。缺省情况下,设备的STP/RSTP功能处于启用状态。
3.配置当前接口为边缘端口
[Huawei-GigabitEthernet0/0/1] stp edged-port enable
缺省情况下,交换设备的所有端口都是非边缘端口。
RSTP的保护功能配置命令
1.配置BPDU保护功能
[Huawei] stp bpdu-protection
配置交换设备边缘端口的BPDU保护功能。缺省情况下,交换设备的BPDU保护功能处于禁用状态。
2.配置根保护功能
[Huawei-GigabitEthernet0/0/1] stp root-protection
配置交换设备的根保护功能。缺省情况下,端口的根保护功能处于去使能状态。当端口的角色是指定端口时,配置的根保护功能才生效。配置了根保护的端口,不可以配置环路保护。
3.配置环路保护功能
[Huawei-GigabitEthernet0/0/1] stp loop-protection
配置交换设备根端口或Alternate端口的环路保护功能。缺省情况下,端口的环路保护功能处于关闭状态。
4.配置TC保护功能
[Huawei] stp tc-protection interval interval-value
配置设备处理阈值指定数量的拓扑变化报文所需的时间。缺省情况下,设备处理最大数量的拓扑变化报文所需的时间是Hello Time。
[Huawei] stp tc-protection threshold threshold
配置交换设备在收到TC类型BPDU报文后,单位时间内,处理TC类型BPDU报文并立即刷新转发表项的阈值。省情况下,设备在指定时间内处理拓扑变化报文的最大数量是1。
案例:RSTP的基础配置
在上述三台交换机上部署RSTP,以便消除网络中的二层环路。
通过配置实现:
将SW1指定为根桥,SW2为备份根桥。
与PC相连的端口不参与RSTP计算,将其设置为边缘端口。
配置根保护和BPDU保护功能,实现对设备或链路的保护。
SW1开启RSTP功能:
[SW1] stp mode rstp
[SW1] stp enable
[SW1] stp root primary
SW2开启RSTP功能:
[SW2] stp mode rstp
[SW2] stp enable
[SW2] stp root secondary
SW3开启RSTP功能:
[SW3] stp mode rstp
[SW3] stp enable
SW3开启边缘端口:
[SW3-Ethernet0/0/1] stp edged-port enable
SW1开启根保护功能:
[SW1-GigabitEthernet0/0/1] stp root-protection
[SW1-GigabitEthernet0/0/2] stp root-protection
SW3开启BPDU保护功能:
[SW3] stp bpdu-protection
RSTP原理与配置-课堂笔记
思考题
(多选题)以下哪些是RSTP的端口状态?( )
Idle
Discarding (答案)
Forwarding (答案)
Learning (答案)
(单选题)RSTP的根保护必须配置在设备的根端口上。( )
对
错
总结
生成树是一个用于局域网中消除环路的协议。运行该协议的设备通过彼此交互信息而发现网络中的环路,并对某些接口进行阻塞以消除环路。由于局域网规模的不断增长,生成树协议已经成为重要的局域网协议之一。
RSTP是生成树协议中的其中一个版本,它在STP的基础上,做了很多的改进,大大加快了网络收敛的速度。
本章节,主要介绍了RSTP对STP的七个改进点,包括:端口角色、端口状态、配置BPDU格式、配置BPDU的处理方式、快速收敛机制、拓扑变更机制和4种保护特性。
10.以太网链路聚合与交换机堆叠、集群
前言
随着业务的发展和园区网络规模的不断扩大,用户对于网络的带宽、可靠性要求越来越高。传统解决方案通过升级设备方式提高网络带宽,同时通过部署冗余链路并辅以STP(Spanning Tree Protocol,生成树协议)协议实现高可靠。传统解决方案存在灵活度低、故障恢复时间长、配置复杂等缺点。
本章节将介绍通过链路聚合技术与堆叠、集群技术实现网络带宽提升与高可靠性保障。
课程能力
学完本课程后,您将能够:
了解链路聚合的作用
了解链路聚合的分类
理解LACP模式的链路聚合协商过程
了解iStack和CSS的优点与原理
了解链路聚合与堆叠技术常见应用与组网
1.网络可靠性需求
网络的可靠性
网络的可靠性指当设备或者链路出现单点或者多点故障时保证网络服务不间断的能力。
网络的可靠性可以从单板、设备、链路多个层面实现。
随着网络的快速普及和应用的日益深入,各种增值业务得到了广泛部署,网络中断可能导致大量业务异常、造成重大经济损失。因此,作为承载业务主体的基础网络,其可靠性成为备受关注的焦点。
单板可靠性
框式交换机由机框、电源模块、风扇模块、主控板、交换网板(SFU)、线路板(LPU)构成。
机框:为各种板卡、模块提供插槽,实现板卡间的通信。
电源模块:设备的供电系统
风扇模块:设备的散热系统
主控板(MPU,Main Processing Unit):负责整个系统的控制平面和管理平面。
交换网板(SFU,Switch Fabric Unit):负责整个系统的数据平面。数据平面提供高速无阻塞数据通道,实现各个业务模块之间的业务交换功能。
线路板(LPU,Line Processing Unit):线路处理单元是物理设备上用于提供数据转发功能的模块,提供不同速率的光口、电口。
设备可靠性
链路可靠性
为保证设备间链路可靠性,在设备间部署多条物理线路,为防止环路STP只保留一条链路转发流量,其余链路成为备份链路。
2.链路聚合技术原理与配置
一个Eth-Trunk口最多可以加入8个成员口
[Huawei-Eth-Trunk1]max active-linknumber ?
INTEGER<1-8> Value of max active linknumber
基本原理-提升链路带宽
基本原理-以太网链路聚合
基本原理-链路聚合基本术语/概念
以太网链路聚合Eth-Trunk:
简称链路聚合,通过将多个物理接口捆绑成为一个逻辑接口,可以在不进行硬件升级的条件下,达到增加链路带宽的目的
聚合组(Link Aggregation Group,LAG):若干条链路捆绑在一起所形成的的逻辑链路。每个聚合组唯一对应着一个逻辑接口,这个逻辑接口又被称为链路聚合接口或Eth-Trunk接口。
成员接口和成员链路:组成Eth-Trunk接口的各个物理接口称为成员接口。成员接口对应的链路称为成员链路。
活动接口和活动链路:活动接口又叫选中(Selected)接口,是参与数据转发的成员接口。活动接口对应的链路被称为活动链路(Active link)
非活动接口和非活动链路:又叫非选中(Unselected)接口,是不参与转发数据的成员接口。非活动接口对应的链路被称为非活动链路(Inactive link)。
聚合模式 :根据是否开启LACP(Link Aggregation Control Protocol,链路聚合控制协议),链路聚合可以分为手工模式和LACP模式。
其他概念:活动接口上限阈值和活动接口下限阈值。
链路聚合接口可以作为普通的以太网接口来使用,与普通以太网接口的差别在于:转发的时候链路聚合组需要从成员接口中选择一个或多个接口来进行数据转发。
一个聚合组内要求成员接口以下参数相同:
接口速率
双工模式
VLAN配置:接口类型都是Trunk或者Access,如果为Access接口的default VLAN需要一致,如果为Trunk接口,接口放通的VLAN、缺省VLAN需要一致。
手工模式
手工模式: Eth-Trunk的建立、成员接口的加入均由手动配置,双方系统之间不使用LACP进行协商。
正常情况下所有链路都是活动链路,该模式下所有活动链路都参与数据的转发,平均分担流量,如果某条活动链路故障,链路聚合组自动在剩余的活动链路中平均分担流量。
当聚合的两端设备中存在一个不支持LACP协议时,可以使用手工模式。
手工模式-手工模式缺陷
为了使链路聚合接口正常工作,必须保证本端链路聚合接口中所有成员接口的对端接口:
属于同一设备
加入同一链路聚合接口
手工模式下,设备间没有报文交互,因此只能通过管理员人工确认。
在上图示例中SW1将四个接口加入到同一个聚合接口,但是其中一个接口的对端为SW3,而不是SW2,导致部分流量被负载分担到SW3,从而导致通信异常。
手动模式下,设备只能通过物理层状态判断对端接口是否正常工作。
LACP模式-LACPDU
LACP模式:采用LACP协议的一种链路聚合模式。设备间通过链路聚合控制协议数据单元(Link Aggregation Control Protocol Data Unit,LACPDU)进行交互,通过协议协商确保对端是同一台设备、同一个聚合接口的成员接口。
LACPDU报文中包含设备优先级、MAC地址、接口优先级、接口号等。
LACP模式-系统优先级
LACP模式下,两端设备所选择的活动接口数目必须保持一致,否则链路聚合组就无法建立。此时可以使其中一端成为主动端,另一端(被动端)根据主动端选择活动接口。
通过系统LACP优先级确定主动端,值越小优先级越高。
LACP模式-接口优先级
选出主动端后,两端都会以主动端的接口优先级来选择活动接口,优先级高的接口将优先被选为活动接口。接口LACP优先级值越小,优先级越高。
LACP模式-最大活动接口数
LACP模式支持配置最大活动接口数目,当成员接口数目超过最大活动接口数目时会通过比较接口优先级、接口号选举出较优的接口成为活动接口,其余的则成为备份端口(非活动接口),同时对应的链路分别成为活动链路、非活动链路。交换机只会从活动接口中发送、接收报文。
当活动链路中出现链路故障时,可以从非活动链路中找出一条优先级最高(接口优先级、接口编号比较)的链路替换故障链路,实现总体带宽不发生变化、业务的不间断转发。
LACP模式-活动链路选举
SW1、SW2配置LACP模式的链路聚合,将四个接口加入Eth-Trunk中,接口编号分别为1、2、3、4。SW1、SW2配置Eth-Trunk最大活动接口数目为2,其余配置保持默认(系统优先级、接口优先级)。
SW1、SW2分别从成员接口1、2、3、4对外发送LACPDU。
SW1、SW2收到对端发送的LACPDU,比较系统优先级,都为默认的32768,继续比较MAC地址,SW1 MAC:4c1f-cc58-6d64,SW2 MAC:4c1f-cc58-6d65,SW1拥有更小的MAC地址,优选成为LACP选举的主动端。
LACP通过LACPDU中的三个flags来标识该端口的状态,如果是活跃端口如下三个flags的值将会是1:
Synchronization
Collecting
Distributing
如果是非活跃端口,该三个flags字段的值将为0。
LACP模式-负载分担
基于包的负载分担:
在使用Eth-Trunk转发数据时,由于聚合组两端设备之间有多条物理链路,如果每个数据帧在不同的链路上转发,则有可能导致数据帧到达对端时间不一致,从而引起数据乱序。
基于流的负载分担: 推荐
Eth-Trunk推荐采用逐流负载分担的方式,即一条相同的流负载到一条链路,这样既保证了同一数据流的数据帧在同一条物理链路转发,又实现了流量在聚合组内各物理链路上的负载分担。
LACP模式-负载分担模式
Eth-trunk支持基于报文的IP地址或MAC地址来进行负载分担,可以配置不同的模式(本地有效,对出方向报文生效)将数据流分担到不同的成员接口上。
常见的模式有:源IP、源MAC、目的IP、目的MAC、源目IP、源目MAC。
实际业务中用户需要根据业务流量特征选择配置合适的负载分担方式。业务流量中某种参数变化越频繁,选择与此参数相关的负载分担方式就越容易实现负载均衡。
如果报文的IP地址变化较频繁,那么选择基于源IP、目的IP或者源目IP的负载分担模式更有利于流量在各物理链路间合理的负载分担;
如果报文的MAC地址变化较频繁,IP地址比较固定,那么选择基于源MAC、目的MAC或源目MAC的负载分担模式更有利于流量在各物理链路间合理的负载分担。
如果负载分担模式选择的和实际业务特征不相符,可能会导致流量分担不均,部分成员链路负载很高,其余的成员链路却很空闲,如在报文源目IP变化频繁但是源目MAC固定的场景下选择源目MAC模式,那将会导致所有流量都分担在一条成员链路上。
典型使用场景-典型使用场景
交换机之间:
为保证交换机之间的链路带宽以及可靠性,可以在交换机之间部署多条物理链路并使用Eth-Trunk。
交换机与服务器之间:
为了提高服务器的接入带宽和可靠性,将两个或者更多的物理网卡聚合成一个网卡组,与交换机建立链路聚合。
交换机与堆叠系统:
堆叠系统使得两台交换机成为一台逻辑上的设备,交换机与堆叠系统通过链路聚合互联可以组建高可靠、无环的网络。
防火墙双机热备心跳线:
防火墙双机热备组网中使用心跳线来检测对端设备的状态,为防止单端口、单链路故障导致的状态监测错误可以部署Eth-Trunk,使用Eth-Trunk作为检测状态的心跳线。
配置举例-配置命令介绍
1.创建链路聚合组
[Huawei] interface eth-trunk trunk-id
创建Eth-Trunk接口,并进入Eth-Trunk接口视图。
2.配置链路聚合模式
[Huawei-Eth-Trunk1] mode {lacp | manual load-balance }
Mode lacp配置链路聚合模式为lacp模式,mode manual load-balance配置链路聚合模式为手工模式。
注意:需要保持两端链路聚合模式一致。
3.将接口加入链路聚合组中(以太网接口视图)
[Huawei-GigabitEthernet0/0/1] eth-trunk trunk-id
在接口视图下,把接口加入到Eth-Trunk中。
4.将接口加入链路聚合组中(Eth-Trunk视图)
[Huawei-Eth-Trunk1] trunkport interface-type { interface-number}
在Eth-Trunk视图中将接口加入到链路聚合组中。3、4两种方式都可以将接口加入到链路聚合组中。
5.使能允许不同速率端口加入同一Eth-Trunk接口的功能
[Huawei-Eth-Trunk1] mixed-rate link enable
缺省情况下,设备未使能允许不同速率端口加入同一Eth-Trunk接口的功能,只能相同速率的接口加入到同一个Eth-Trunk接口中。
6.配置系统LACP优先级
[Huawei] lacp priority priority
系统LACP优先级值越小优先级越高,缺省情况下,系统LACP优先级为32768。
7.配置接口LACP优先级
[Huawei-GigabitEthernet0/0/1] lacp priority priority
在接口视图下配置接口LACP优先级。缺省情况下,接口的LACP优先级是32768。接口优先级取值越小,接口的LACP优先级越高。
只有在接口已经加入到链路聚合中才可以配置该命令。
8.配置最大活动接口数
[Huawei-Eth-Trunk1] max active-linknumber {number}
配置时需注意保持本端和对端的最大活动接口数一致,只有LACP模式支持配置最大活动接口数。
9.配置最小活动接口数
[Huawei-Eth-Trunk1] least active-linknumber {number}
本端和对端设备的活动接口数下限阈值可以不同,手动模式、LACP模式都支持配置最小活动接口数。
配置最小活动接口数目的是为了保证最小带宽,当前活动链路数目小于下限阈值时,Eth-Trunk接口的状态转为Down。
不同型号交换机的可设置的最大活动接口数并不一致,如S6720HI、S6730H、S6730S和S6730S-S链路聚合组活动接口数的上限阈值是32,而S6720LI、S6720S-LI、S6720SI和S6720S-SI链路聚合组活动接口数的上限阈值是16。具体数值查阅产品手册确定。
设置最小活动接口数目是为了保证最小带宽,当带宽过小时一些对链路带宽有要求的业务将会出现异常,此时切断Eth-Trunk通过网络自身的高可靠性将业务切换到其他路径,从而保证业务的正常运行。
配置举例-手工模式链路聚合配置举例
案例需求描述:
SW1、SW2都连接着VLAN10、VLAN20的网络。
SW1和SW2之间通过两根以太网链路互联,为了提供链路冗余以及保证传输可靠性,在SW1、SW2之间配置手工模式的链路聚合。
SW1的配置如下:
[SW1] interface eth-trunk 1
[SW1-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/2
[SW1-Eth-Trunk1] port link-type trunk
[SW1-Eth-Trunk1] port trunk allow-pass vlan 10 20
SW2的配置如下:
[SW2] interface eth-trunk 1
[SW2-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/2
[SW2-Eth-Trunk1] port link-type trunk
[SW2-Eth-Trunk1] port trunk allow-pass vlan 10 20
配置举例-LACP模式链路聚合配置举例
案例需求描述:
SW1、SW2都连接着VLAN10、VLAN20的网络。
SW1和SW2之间通过三根以太网链路互联,为了提供链路冗余以及保证传输可靠性,在SW1、SW2之间配置LACP模式的链路聚合,并且手动调整优先级让SW1成为主动端,并配置最大活跃端口为2,另外一条链路作为备份。
SW1的配置如下:
[SW1] interface eth-trunk 1
[SW1-Eth-Trunk1] mode lacp
[SW1-Eth-Trunk1] max active-linknumber 2
[SW1-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/3
[SW1-Eth-Trunk1] port link-type trunk
[SW1-Eth-Trunk1] port trunk allow-pass vlan 10 20
[SW1-Eth-Trunk1] quit
[SW1] lacp priority 30000
SW2的配置如下:
[SW2] interface eth-trunk 1
[SW2-Eth-Trunk1] mode lacp
[SW2-Eth-Trunk1] max active-linknumber 2
[SW2-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/3
[SW2-Eth-Trunk1] port link-type trunk
[SW2-Eth-Trunk1] port trunk allow-pass vlan 10 20
[SW2-Eth-Trunk1] quit
[Huawei-GigabitEthernet0/0/1]display interface Eth-Trunk
Eth-Trunk1 current state : UP
Line protocol current state : UP
Description:
Switch Port, PVID : 1, Hash arithmetic : According to SIP-XOR-DIP,Maximal BW:
2G, Current BW: 2G, The Maximum Frame Length is 9216
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 4c1f-cc65-5d53
Current system time: 2022-12-12 11:36:21-08:00
Input bandwidth utilization : 0%
Output bandwidth utilization : 0%
-----------------------------------------------------
PortName Status Weight
-----------------------------------------------------
GigabitEthernet0/0/1 UP 1
GigabitEthernet0/0/2 UP 1
-----------------------------------------------------
The Number of Ports in Trunk : 2
The Number of UP Ports in Trunk : 2
[Huawei-Eth-Trunk1]display eth-trunk 1
Eth-Trunk1's state information is:
Local:
LAG ID: 1 WorkingMode: STATIC
Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP
System Priority: 32768 System ID: 4c1f-cc65-5d53
Least Active-linknumber: 1 Max Active-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 2
--------------------------------------------------------------------------------
ActorPortName Status PortType PortPri PortNo PortKey PortState Weight
GigabitEthernet0/0/1 Selected 1GE 32768 2 305 10111100 1
GigabitEthernet0/0/2 Selected 1GE 32768 3 305 10111100 1
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo PortKey PortState
GigabitEthernet0/0/1 32768 4c1f-ccf7-1d27 32768 2 305 10111100
GigabitEthernet0/0/2 32768 4c1f-ccf7-1d27 32768 3 305 10111100
[Huawei-Eth-Trunk1]
[Huawei-Eth-Trunk1]
[Huawei-Eth-Trunk1]
[Huawei-Eth-Trunk1]display eth-trunk 1
Eth-Trunk1's state information is:
Local:
LAG ID: 1 WorkingMode: STATIC
Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP
System Priority: 32768 System ID: 4c1f-cc65-5d53
Least Active-linknumber: 1 Max Active-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 2
--------------------------------------------------------------------------------
ActorPortName Status PortType PortPri PortNo PortKey PortState Weight
GigabitEthernet0/0/1 Selected 1GE 32768 2 305 10111100 1
GigabitEthernet0/0/2 Selected 1GE 32768 3 305 10111100 1
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo PortKey PortState
GigabitEthernet0/0/1 32768 4c1f-ccf7-1d27 32768 2 305 10111100
GigabitEthernet0/0/2 32768 4c1f-ccf7-1d27 32768 3 305 10111100
3.堆叠/集群概述
什么是堆叠、集群
堆叠(iStack):多台支持堆叠特性的交换机通过堆叠线缆连接在一起,从逻辑上变成一台交换设备,作为一个整体参与数据转发。
集群(Cluster Switch System,CSS ):将两台支持集群特性的交换机设备组合在一起,从逻辑上组合成一台交换设备。
集群只支持两台设备,一般框式交换机支持CSS,盒式设备支持iStack。
堆叠、集群的优势
交换机多虚一:堆叠交换机对外表现为一台逻辑交换机,控制平面合一,统一管理。
转发平面合一:堆叠内物理设备转发平面合一,转发信息共享并实时同步。
跨设备链路聚合:跨物理设备的链路被聚合成一个Eth-Trunk端口,和下游设备实现互联。
实际应用
两台设备组成集群,虚拟成单一的逻辑设备。简化后的组网不再需要使用MSTP、VRRP等协议,简化了网络配置,同时依靠跨设备的链路聚合,实现快速收敛,提高了可靠性。
推荐架构
思考
基于包和基于流的负载分担有何区别?
LACP模式如何选举主动端?
CSS、iStack有何优势?
总结
为提高链路可靠性、链路利用率、链路带宽可以使用链路聚合技术,按照聚合方式不同可以分为静态聚合和LACP模式聚合。
LACP模式采用报文协商,可以实现活动链路的备份,在链路出现故障时将备份链路选举为活动链路继续参与转发。
为保证报文到达的顺序,链路聚合的负载分担采用基于流的形式。
使用iStack、CSS技术可以简化网络管理、简化网络结构、提高网络可靠性。
ETH-TRUNK-课堂笔记
11.MSTP原理与配置
前言
RSTP在STP基础上进行了改进,实现了网络拓扑快速收敛。但在划分VLAN的网络中运行RSTP/STP,局域网内所有的VLAN共享一棵生成树,被阻塞后的链路将不承载任何流量,无法在VLAN间实现数据流量的负载均衡,导致链路带宽利用率、设备资源利用率较低。
为了弥补RSTP/STP的缺陷,IEEE于2002年发布的802.1S标准定义了MSTP(Multiple Spanning Tree Protocol,多生成树协议)。MSTP兼容STP和RSTP,通过建立多棵无环路的树,解决广播风暴并实现冗余备份。
在本章节中,将介绍MSTP相较于RSTP/STP的改进之处,MSTP的基本概念和基本工作原理,以及MSTP的相关配置。
课程能力
学完本课程后,您将能够:
描述RSTP/STP技术的缺陷
描述MSTP对RSTP/STP技术的改进
描述MSTP的各种概念
描述MSTP的工作过程
实现MSTP的基本配置
1.MSTP概述
RSTP/STP的不足-不足1:流量无法负载分担
RSTP/STP的不足-不足2:二层次优路径
多生成树协议概述
MSTP是IEEE 802.1S中定义的生成树协议,MSTP兼容STP和RSTP,既可以快速收敛,又提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。
MSTP可以将一个或多个VLAN映射到一个Instance(实例),再基于Instance计算生成树,映射到同一个Instance的VLAN共享同一棵生成树。
2.MSTP的基本概念
MST Region-多生成树域
MSTP网络层次:
MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
MST Region(Multiple Spanning Tree Region,多生成树域),也可简称MST域:
由交换网络中的多台交换设备以及它们之间的网段所构成。
一个局域网可以存在多个MST域,各MST域之间在物理上直接或间接相连。用户可以通过MSTP配置命令把多台交换设备划分在同一个MST域内。
MSTP网络中包含1个或多个MST域,每个MST域中包含一个或多个多生成树实例。
MSTI-多生成树实例
MSTI(Multiple Spanning Tree Instance,多生成树实例):
一个MST域内可以生成多棵生成树,每棵生成树都称为一个MSTI。
MSTI使用Instance ID标识,华为设备取值为0~4094。
VLAN映射表
MST域的属性,描述了VLAN和MSTI之间的映射关系。
如图所示的MST Region 4的VLAN映射有:
VLAN1映射到MSTI 1
VLAN2映射到MSTI 2
其余VLAN映射到MSTI 3
CST-公共生成树
CST(Common Spanning Tree,公共生成树)
是连接交换网络内所有MST域的一棵生成树。
如果把每个MST域看作是一个节点,CST就是这些节点通过生成树协议计算生成的一棵生成树。
IST-内部生成树
IST(Internal Spanning Tree,内部生成树)
是各MST域内的一棵生成树。
IST是一个特殊的MSTI,MSTI的Instance ID为0
CIST-公共和内部生成树
CIST(Common and Internal Spanning Tree,公共和内部生成树)
通过生成树协议计算生成的,连接一个交换网络内所有交换设备的单生成树。
如图所示,所有MST域的IST加上CST就构成一棵完整的生成树,即CIST。
SST-单生成树
SST(Single Spanning Tree,单生成树)
运行生成树协议的交换设备只能属于一个生成树。
MST域中只有一个交换设备,这个交换设备构成单生成树。
如图所示的MST Region 3,该域中的唯一的交换设备构成SST。
总根,域根和主桥
总根(CIST Root)
是CIST的根桥,如图中SW1。
域根(Regional Root)
分为IST域根和MSTI域根。
IST域根,在MST域中IST生成树中距离总根最近的交换设备是IST域根,如图中SW2、SW3、SW4。
MSTI域根是每个多生成树实例的树根。
主桥(Master Bridge)
是IST Master,它是域内距离总根最近的交换设备,如图中SW1、SW2、SW3、SW4 。
如果总根在MST域中,则总根为该域的主桥。
小结
MST域、MSTI、VLAN映射表、CST、IST、CIST、SST、总根、TST域根、MSTI域根、主桥
MSTP的端口角色
SST(Single Spanning Tree,单生成树)
运行生成树协议的交换设备只能属于一个生成树。
MST域中只有一个交换设备,这个交换设备构成单生成树。
如图所示的MST Region 3,该域中的唯一的交换设备构成SST。
MSTP的端口状态
MSTP定义的端口状态与RSTP协议中定义相同:
Forwarding状态:端口既转发用户流量,学习MAC地址,又接收/发送BPDU报文。
Learning状态:过渡状态,端口接收/发送BPDU报文,不转发用户流量但是学习MAC地址。
Discarding状态:端口只接收BPDU报文,不转发用户流量也不学习MAC地址。
MSTP报文
MSTP使用MST BPDU(Multiple Spanning Tree Bridge Protocol Data Unit,多生成树桥协议数据单元)作为生成树计算的依据。
MST BPDU报文用来计算生成树的拓扑、维护网络拓扑以及传达拓扑变化记录。
3.MSTP的工作原理
MSTP拓扑计算
MSTP拓扑计算:
MSTP可以将整个二层网络划分为多个MST域,各个域之间通过计算生成CST,域内生成IST,CST和IST构成了整个交换设备网络的CIST。
域内还可以基于实例计算生成多棵生成树,每棵生成树都被称为是一个MSTI。
CIST和MSTI都是根据优先级向量来计算的,这些优先级向量信息都包含在MST BPDU中。各交换设备互相交换MST BPDU来生成CIST和MSTI 。
参与CIST计算的优先级向量为:
{ 根交换设备ID,外部路径开销,域根ID,内部路径开销,指定交换设备ID,指定端口ID,接收端口ID }
参与MSTI计算的优先级向量为:
{ 域根ID,内部路径开销,指定交换设备ID,指定端口ID,接收端口ID }
注意:括号中的向量的优先级从左到右依次递减。
--
CIST计算
经过比较MST BPDU消息后,在整个网络中选择一个优先级最高的交换设备作为CIST的树根,即总根。
在每个MST域内,MSTP通过计算生成IST;同时MSTP将每个MST域作为单台交换设备对待,通过计算在MST域间生成CST。CST和IST构成了整个交换设备网络的CIST。
--
MSTI计算
在MST域内,MSTP根据VLAN和生成树实例的映射关系,针对不同的VLAN生成不同的生成树实例。
每棵生成树独立进行计算,计算过程与STP计算生成树的过程类似。
--
MSTP网络数据转发
在运行MSTP协议的网络中,一个VLAN报文将沿着如下路径进行转发:
在MST域内,沿着其对应的MSTI转发。
在MST域间,沿着CST转发。
--
4.MSTP的基本配置
MSTP的基础配置命令
1.配置生成树工作模式
[Huawei] stp mode mstp
交换机支持STP、RSTP和MSTP三种生成树工作模式。默认情况工作在MSTP模式。
2.启用MSTP
[Huawei] stp enable
使能交换设备或端口上的STP/RSTP/MSTP功能。缺省情况下,全局和端口的STP/RSTP/MSTP均使能。
注意:为了保证生成树计算过程快速而且稳定,必须在启用STP/RSTP/MSTP之前,完成对交换设备及其端口必要的基本配置。
配置MST域并激活
1.进入MST域视图
[Huawei] stp region-configuration
[Huawei-mst-region]
2.配置MST域的域名
[Huawei-mst-region] region-name name
缺省情况下,MST域名等于交换设备的桥MAC地址。
3.配置多生成树实例与VLAN的映射关系
[Huawei-mst-region] instance instance-id vlan { vlan-id1 [ to vlan-id2 ] }
将指定VLAN映射到指定的生成树实例上。缺省情况下,所有VLAN均映射到CIST,即实例0上。
4.(可选)配置MST域的MSTP修订级别
[Huawei-mst-region] revision-level level
配置交换设备的MSTP修订级别。缺省情况下,交换设备MST域的修订级别是0。
5.激活MST域的配置
[Huawei-mst-region] active region-configuration
使域名、VLAN映射表和MSTP修订级别生效。
MSTP的可选配置命令
1.配置根桥和备份根桥
[Huawei] stp [ instance instance-id ] root { primary | secondary }
配置当前交换设备为指定生成树的根桥或备份根桥。
2.配置交换设备在指定生成树实例中的优先级
[Huawei] stp [ instance instance-id ] priority priority
配置交换设备在指定生成树中的优先级。缺省情况下,交换设备在指定生成树中的优先级是32768。
3.配置端口在指定生成树实例中的路径开销
[Huawei] stp pathcost-standard { dot1d-1998 | dot1t | legacy }
配置路径开销值的计算方法。缺省情况下,路径开销值的计算方法为IEEE 802.1T标准。
[Huawei-GigabitEthernet0/0/1] stp [ instance instance-id ] cost cost
配置当前端口在指定生成树上的端口路径开销。缺省情况下,端口在各个生成树上的路径开销为端口速率对应的路径开销。
4.配置端口在指定生成树实例中的优先级
[Huawei-GigabitEthernet0/0/1] stp [ instance instance-id ] port priority priority
配置当前端口在生成树计算时的优先级。缺省情况下,交换设备端口的优先级取值是128。
案例:单域多实例场景配置
场景描述:
在一个复杂的网络中,由于冗余备份的需要,网络规划者一般都倾向于在设备之间部署多条物理链路,其中一条作为主用链路,其他作为备份链路,这样就可能形成环路。为此,可以在网络中部署MSTP避免环路。
MSTP可阻塞二层网络中的冗余链路,将网络修剪成树状,达到消除环路的目的。与此同时,通过部署MSTP可以实现不同VLAN流量的负载分担。
通过配置实现:
SW1、SW2、SW3和SW4都运行MSTP。
为实现VLAN2和VLAN3的流量负载分担,MSTP引入了多实例。
MSTP可设置VLAN映射表,把VLAN和生成树实例相关联。
与PC相连的端口不用参与MSTP计算,将其设置为边缘端口。
1、配置基于接口划分VLAN,实现数据二层互通
SW1配置:
[SW1] vlan batch 2 to 3
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type trunk
[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3
[SW1-GigabitEthernet0/0/1] quit
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type trunk
[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 to 3
[SW1-GigabitEthernet0/0/2] quit
SW3配置:
[SW3] vlan batch 2 to 3
[SW3] interface GigabitEthernet 0/0/1
[SW3-GigabitEthernet0/0/1] port link-type trunk
[SW3-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3
[SW3-GigabitEthernet0/0/1] quit
[SW3] interface GigabitEthernet 0/0/2
[SW3-GigabitEthernet0/0/2] port link-type trunk
[SW3-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 to 3
[SW3-GigabitEthernet0/0/2] quit
[SW3] interface Ethernet 0/0/1
[SW3-Ethernet0/0/1] port link-type access
[SW3-Ethernet0/0/1] port default vlan 2
[SW3-Ethernet0/0/1] quit
2、配置MSTP基本功能
配置SW1的MST域及VLAN映射:
[SW1] stp region-configuration
[SW1-mst-region] region-name 1
[SW1-mst-region] instance 1 vlan 2
[SW1-mst-region] instance 2 vlan 3
[SW1-mst-region] active region-configuration
[SW1-mst-region] quit
3、配置MSTI1与MSTI2的根桥和备份根桥
配置MSTI1的根桥为SW1,备份根桥为SW2:
[SW1] stp instance 1 root primary
[SW2] stp instance 1 root secondary
配置MSTI2的根桥为SW2,备份根桥为SW1:
[SW1] stp instance 2 root secondary
[SW2] stp instance 2 root primary
4、将与终端相连的端口设置为边缘端口
配置SW3的Ethernet0/0/1口为边缘端口:
[SW3] interface Ethernet 0/0/1
[SW3-Ethernet0/0/1] stp edged-port enable
[SW3-Ethernet0/0/1] quit
注:SW4与SW3的边缘端口配置类似,不再赘述。
验证配置结果
[SW1] display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/2 ROOT FORWARDING NONE
1 GigabitEthernet0/0/1 DESI FORWARDING NONE
1 GigabitEthernet0/0/2 DESI FORWARDING NONE
2 GigabitEthernet0/0/1 ROOT FORWARDING NONE
2 GigabitEthernet0/0/2 DESI FORWARDING NONE
[SW2] display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
0 GigabitEthernet0/0/2 ALTE DISCARDING NONE
1 GigabitEthernet0/0/1 ROOT FORWARDING NONE
1 GigabitEthernet0/0/2 DESI FORWARDING NONE
2 GigabitEthernet0/0/1 DESI FORWARDING NONE
2 GigabitEthernet0/0/2 DESI FORWARDING NONE
[SW3] display stp brief
MSTID Port Role STP State Protection
0 Ethernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE
1 Ethernet0/0/1 DESI FORWARDING NONE
1 GigabitEthernet0/0/1 DESI FORWARDING NONE
1 GigabitEthernet0/0/2 ROOT FORWARDING NONE
2 GigabitEthernet0/0/1 ALTE DISCARDING NONE
2 GigabitEthernet0/0/2 ROOT FORWARDING NONE
[SW4] display stp brief
MSTID Port Role STP State Protection
0 Ethernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE
1 GigabitEthernet0/0/1 ALTE DISCARDING NONE
1 GigabitEthernet0/0/2 ROOT FORWARDING NONE
2 Ethernet0/0/1 DESI FORWARDING NONE
2 GigabitEthernet0/0/1 DESI FORWARDING NONE
2 GigabitEthernet0/0/2 ROOT FORWARDING NONE
思考
(单选题) 某运行MSTP协议的交换机的端口角色如右下图所示,请问GigabitEthernet0/0/1端口在Instance1中的端口状态应该是?( )
Blocking
Discarding
Forwarding
Learning
(判断题) CIST是由内部生成树和公共生成树构成的一棵树。( )
正确
错误
总结
在MSTP网络中,可以将一个或多个VLAN映射到一个Instance,然后MSTP基于该Instance计算生成树。基于Instance的生成树被称为MSTI,MSTP为每个Instance维护独立的MSTI,映射到同一个Instance的VLAN将共享同一棵生成树。
在以太网中部署MSTP协议后可实现如下功能:
形成多棵无环路的树,解决广播风暴并实现冗余备份。
多棵生成树在VLAN间实现负载均衡,不同VLAN的流量按照不同的路径转发。
11.VLAN原理与配置
前言
以太网是一种基于CSMA/CD的数据网络通信技术,其特征是共享通信介质。当主机数目较多时会导致安全隐患、广播泛滥、性能显著下降甚至造成网络不可用。
在这种情况下出现了VLAN (Virtual Local Area Network)技术解决以上问题。
在本课程中,将介绍VLAN技术的相关概念,介绍不同二层接口的工作原理,并且会介绍VLAN的应用及其数据转发原理和相关配置。
课程能力
学完本课程后,您将能够:
了解VLAN技术的产生背景
识别数据所属的VLAN
掌握不同的VLAN划分方式
描述网络中VLAN数据的通信过程
掌握VLAN的基本配置
1.什么是VLAN
传统以太网的问题
广播域:
如图是一个典型的交换网络,网络中只有终端计算机和交换机。在这样的网络中,如果某一台计算机发送了一个广播帧,由于交换机对广播帧执行泛洪操作,结果所有其他的计算机都会收到这个广播帧。
把广播帧所能到达的整个访问范围称为二层广播域,简称广播域 (Broadcast Domain)。显然,一个交换网络其实就是一个广播域。
网络安全问题和垃圾流量问题:
如图:如果PC1向PC2发送了一个单播帧。此时SW1、SW3、SW7的MAC地址表中存在关于PC2的MAC地址表项,但SW2和SW5不存在关于PC2的MAC地址表项。那么,SW1和SW3将对该单播帧执行点对点的转发操作,SW7将对该单播帧执行丢弃操作,SW2和SW5将对该单播帧执行泛洪操作。最后的结果是,PC2虽然收到了该单播帧,但网络中的很多其他非目的主机,同样收到了不该接收的数据帧。
显然,广播域越大,网络安全问题和垃圾流量问题就越严重。
在典型交换网络中,当某台主机发送一个广播帧或未知单播帧时,该数据帧会被泛洪,甚至传递到整个广播域。
广播域越大,产生的网络安全问题、垃圾流量问题,就越严重。
虚拟局域网 (VLAN, Virtual LAN)
为了解决广播域带来的问题,人们引入了VLAN (Virtual Local Area Network),即虚拟局域网技术:
通过在交换机上部署VLAN,可以将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域,由此可以有效地提升网络的安全性,同时减少垃圾流量,节约网络资源。
VLAN的特点:
一个VLAN就是一个广播域,所以在同一个VLAN内部,计算机可以直接进行二层通信;而不同VLAN内的计算机,无法直接进行二层通信,只能进行三层通信来传递信息,即广播报文被限制在一个VLAN内。
VLAN的划分不受地域的限制。
VLAN的好处:
灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
限制广播域:广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
提高了网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
注:二层,即数据链路层。
虚拟局域网VLAN可以隔离广播域。
特点:
不受地域限制。
同一VLAN内的设备才能直接进行二层通信。
2.VLAN的基本概念
如何实现VLAN
VLAN标签 (VLAN Tag)
如图所示,SW1识别出某个帧是属于哪个VLAN后,会在这个帧的特定位置上添加一个标签。这个标签明确地标明了这个帧是属于哪个VLAN的。其他交换机(如SW2)收到这个带标签的数据帧后,就能轻而易举地直接根据标签信息识别出这个帧属于哪个VLAN。
IEEE 802.1Q定义了这种带标签的数据帧的格式。满足这种格式的数据帧称为IEEE 802.1Q数据帧,也称VLAN数据帧。
要使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN信息的字段。
IEEE 802.1Q协议规定,在以太网数据帧中加入4个字节的VLAN标签,又称VLAN Tag,简称Tag。
VLAN数据帧
在一个VLAN交换网络中,以太网帧主要有以下两种形式:
有标记帧(Tagged帧):IEEE 802.1Q协议规定,在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签(又称VLAN Tag,简称Tag)的数据帧。
无标记帧(Untagged帧):原始的、未加入4字节VLAN标签的数据帧。
VLAN数据帧中的主要字段:
TPID:2字节,Tag Protocol Identifier(标签协议标识符),表示数据帧类型。
取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时,为了能够识别这样的报文,实现互通,必须在本设备上修改TPID值,确保和邻居设备的TPID值配置一致。
PRI:3 bit,Priority,表示数据帧的优先级,用于QoS。
取值范围为0~7,值越大优先级越高。当网络阻塞时,交换机优先发送优先级高的数据帧。
VLAN的实现
IEEE 802.1Q标准(也被称为Dot1Q)定义了该“标记”方法。该标准对传统的以太网数据帧进行修改,在帧头中插入802.1Q Tag,而在该Tag中,便可以写入VLAN信息。
VLAN的划分方式
计算机发出的数据帧不带任何标签。对已支持VLAN特性的交换机来说,当计算机发出的Untagged帧一旦进入交换机后,交换机必须通过某种划分原则把这个帧划分到某个特定的VLAN中去。
VLAN的划分包括如下5种方法:
基于接口划分:根据交换机的接口来划分VLAN。
网络管理员预先给交换机的每个接口配置不同的PVID,当一个数据帧进入交换机时,如果没有带VLAN标签,该数据帧就会被打上接口指定PVID的标签,然后数据帧将在指定VLAN中传输。
基于MAC地址划分:根据数据帧的源MAC地址来划分VLAN。
网络管理员预先配置MAC地址和VLAN ID映射关系表,当交换机收到的是Untagged帧时,就依据该表给数据帧添加指定VLAN的标签,然后数据帧将在指定VLAN中传输。
基于IP子网划分:根据数据帧中的源IP地址和子网掩码来划分VLAN。
网络管理员预先配置IP地址和VLAN ID映射关系表,当交换机收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的标签,然后数据帧将在指定VLAN中传输。
基于协议划分:根据数据帧所属的协议(族)类型及封装格式来划分VLAN。
网络管理员预先配置以太网帧中的协议域和VLAN ID的映射关系表,如果收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的标签,然后数据帧将在指定VLAN中传输。
基于策略划分:根据配置的策略划分VLAN,能实现多种组合的划分方式,包括接口、MAC地址、IP地址等。
网络管理员预先配置策略,如果收到的是Untagged帧,且匹配配置的策略时,给数据帧添加指定VLAN的标签,然后数据帧将在指定VLAN中传输。
基于接口的VLAN划分
基于接口的VLAN划分
原理:
根据交换机的接口来划分VLAN。
网络管理员预先给交换机的每个接口配置不同的PVID,将该接口划入PVID对应的VLAN。
当一个数据帧进入交换机时,如果没有带VLAN标签,该数据帧就会被打上接口指定PVID的Tag,然后数据帧将在指定PVID中传输。
缺省VLAN,PVID
Port VLAN ID,是接口上的缺省VLAN。
取值:1~4094。
划分原则:
将VLAN ID配置到交换机的物理接口上,从某一个物理接口进入交换机的、由终端计算机发送的Untagged数据帧都被划分到该接口的VLAN ID所表明的那个VLAN。
特点:
这种划分原则简单而直观,实现容易,是目前实际的网络应用中最为广泛的划分VLAN的方式。
当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归属可能会发生变化。
缺省VLAN,PVID (Port VLAN ID)
每个交换机的接口都应该配置一个PVID,到达这个端口的Untagged帧将一律被交换机划分到PVID所指代的VLAN。
默认情况下,PVID的值为1。
基于MAC地址的VLAN划分
基于MAC地址的VLAN划分
原理
根据数据帧的源MAC地址来划分VLAN。
网络管理员预先配置MAC地址和VLAN ID映射关系表。
当交换机收到的是Untagged帧时,就依据该表给数据帧添加指定VLAN的Tag,然后数据帧将在指定VLAN中传输。
映射表
记录了MAC地址和VLAN ID的关联情况。
划分原则:
交换机内部建立并维护了一个MAC地址与VLAN ID的对应表。当交换机接收到计算机发送的Untagged帧时,交换机将分析帧中的源MAC地址,然后查询MAC地址与VLAN ID的对应表,并根据对应关系把这个帧划分到相应的VLAN中。
特点:
这种划分实现稍微复杂,但灵活性得到了提高。
当计算机接入交换机的端口发生了变化时,该计算机发送的帧的VLAN归属不会发生变化(因为计算机的MAC地址没有变)。
但这种类型的VLAN划分安全性不是很高,因为恶意计算机很容易伪造MAC地址。
以太网二层接口类型
接口类型--
Access接口
交换机上常用来连接用户PC、服务器等终端设备的接口。Access接口所连接的这些设备的网卡往往只收发无标记帧。Access接口只能加入一个VLAN。
Trunk接口
Trunk接口允许多个VLAN的数据帧通过,这些数据帧通过802.1Q Tag实现区分。Trunk接口常用于交换机之间的互联,也用于连接路由器、防火墙等设备的子接口。
Hybrid接口
Hybrid接口与Trunk接口类似,也允许多个VLAN的数据帧通过,这些数据帧通过802.1Q Tag实现区分。用户可以灵活指定Hybrid接口在发送某个(或某些)VLAN的数据帧时是否携带Tag。
基于接口的VLAN划分依赖于交换机的接口类型。
Access接口
Access接口一般用于和不能识别Tag的用户终端(如用户主机、服务器等)相连,或者不需要区分不同VLAN成员时使用。
Trunk接口
Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。
Hybrid接口
Hybrid接口既可以用于连接不能识别Tag的用户终端(如用户主机、服务器等),也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。
华为设备默认的接口类型是Hybrid。
Access接口
上文已经介绍了交换机如何识别数据帧属于哪个VLAN以及VLAN的划分方式,那交换机对于Untagged帧和Tagged帧又是如何处理的呢?
Access接口特点:
仅允许VLAN ID与接口PVID相同的数据帧通过。
Access接口接收数据帧:
当Access接口从链路上收到一个Untagged帧,交换机会在这个帧中添加上VID为PVID的Tag,然后对得到的Tagged帧进行转发操作(泛洪、转发、丢弃)。
当Access接口从链路上收到一个Tagged帧,交换机会检查这个帧的Tag中的VID是否与PVID相同。如果相同,则对这个Tagged帧进行转发操作;如果不同,则直接丢弃这个Tagged帧。
Access接口发送数据帧:
当一个Tagged帧从本交换机的其他接口到达一个Access接口后,交换机会检查这个帧的Tag中的VID是否与PVID相同:
如果相同,则将这个Tagged帧的Tag进行剥离,然后将得到的Untagged帧从链路上发送出去;
如果不同,则直接丢弃这个Tagged帧。
Trunk接口
对于Trunk接口,除了要配置PVID外,还必须配置允许通过的VLAN ID列表,其中VLAN 1是默认存在的。
Trunk接口特点:
Trunk接口仅允许VLAN ID在允许通过列表中的数据帧通过。
Trunk接口可以允许多个VLAN的帧带Tag通过,但只允许一个VLAN的帧从该类接口上发出时不带Tag(即剥除Tag)。
Trunk接口接收数据帧:
当Trunk接口从链路上收到一个Untagged帧,交换机会在这个帧中添加上VID为PVID的Tag,然后查看PVID是否在允许通过的VLAN ID列表中。如果在,则对得到的Tagged帧进行转发操作;如果不在,则直接丢弃得到的Tagged帧。
当Trunk接口从链路上收到一个Tagged帧,交换机会检查这个帧的Tag中的VID是否在允许通过的VLAN ID列表中。如果在,则对这个Tagged帧进行转发操作;如果不在,则直接丢弃这个Tagged帧。
Trunk接口发送数据帧:
当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后,如果这个帧的Tag中的VID不在允许通过的VLAN ID列表中,则该Tagged帧会被直接丢弃。
当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后,如果这个帧的Tag中的VID在允许通过的VLAN ID列表中,则会比较该Tag中的VID是否与接口的PVID相同:
如果相同,则交换机会对这个Tagged帧的Tag进行剥离,然后将得到的Untagged帧从链路上发送出去;
如果不同,则交换机不会对这个Tagged帧的Tag进行剥离,而是直接将它从链路上发送出去。
Access接口与Trunk接口举例
在本例中,SW1和SW2连接主机的接口为Access接口,PVID如图所示。SW1和SW2互连的接口为Trunk接口,PVID都为1,此Trunk接口的允许通过的VLAN ID列表也如图所示。
请描述主机之间数据互访的全流程。
Hybrid接口
对于Hybrid接口,除了要配置PVID外,还存在两个允许通过的VLAN ID列表,一个是Untagged VLAN ID列表,另一个是Tagged VLAN ID列表,其中VLAN 1默认在Untagged VLAN列表中。这两个允许通过列表中的所有VLAN的帧都是允许通过这个Hybrid接口的。
Hybrid接口特点:
Hybrid接口仅允许VLAN ID在允许通过列表中的数据帧通过。
Hybrid接口可以允许多个VLAN的帧带Tag通过,且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag、某些VLAN的帧不带Tag。
与Trunk最主要的区别就是,能够支持多个VLAN的数据帧,不带标签通过。
Hybrid接口接收数据帧:
当Hybrid接口从链路上收到一个Untagged帧,交换机会在这个帧中添加上VID为PVID的Tag,然后查看PVID是否在Untagged或Tagged VLAN ID列表中。如果在,则对得到的Tagged帧进行转发操作;如果不在,则直接丢弃得到的Tagged帧。
当Hybrid接口从链路上收到一个Tagged帧,交换机会检查这个帧的Tag中的VID是否在Untagged或Tagged VLAN ID列表中。如果在,则对这个Tagged帧进行转发操作;如果不在,则直接丢弃这个Tagged帧。
Hybrid接口发送数据帧:
当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后,如果这个帧的Tag中的VID既不在Untagged VLAN ID列表中,也不在Tagged VLAN ID列表中,则该Tagged帧会被直接丢弃。
当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后,如果这个帧的Tag中的VID在Untagged VLAN ID列表中,则交换机会对这个Tagged帧的Tag进行剥离,然后将得到的Untagged帧从链路上发送出去。
当一个Tagged帧从本交换机的其他接口到达一个Hybrid接口后,如果这个帧的Tag中的VID在Tagged VLAN ID列表中,则交换机不会对这个Tagged帧的Tag进行剥离,而是直接将它从链路上发送出去。
Hybrid接口举例
在本例中,SW1和SW2连接主机的接口以及互连的接口均为Hybrid接口,PVID如图所示,Hybrid接口的允许通过的VLAN ID列表也如图所示。
请描述两个主机互访服务器的全流程。
小结-Access接口-Trunk接口-Hybrid接口
各类接口添加或剥除VLAN标签的处理过程总结如下:
当接收数据帧时:
当接收到不带VLAN标签的数据帧时,Access接口、Trunk接口、Hybrid接口都会给数据帧打上VLAN标签,但Trunk接口、Hybrid接口会根据数据帧的VID是否为其允许通过的VLAN来判断是否接收,而Access接口则无条件接收。
当接收到带VLAN标签的数据帧时,Access接口、Trunk接口、Hybrid接口都会根据数据帧的VID是否为其允许通过的VLAN(Access接口允许通过的VLAN就是缺省VLAN)来判断是否接收。
当发送数据帧时:
Access接口直接剥离数据帧中的VLAN标签。
Trunk接口只有在数据帧中的VID与接口的PVID相等时才会剥离数据帧中的VLAN标签。
Hybrid接口会根据接口上的配置判断是否剥离数据帧中的VLAN标签。
因此,Access接口发出的数据帧肯定不带Tag;Trunk接口发出的数据帧只有一个VLAN的数据帧不带Tag,其他都带VLAN标签;Hybrid接口发出的数据帧可根据需要设置某些VLAN的数据帧带Tag,某些VLAN的数据帧不带Tag。
3.VLAN的应用
VLAN的规划
VLAN编号建议连续分配,以保证VLAN资源合理利用。最常用的划分方式是基于接口的方式。
应用场景 - 基于接口的VLAN划分
应用场景 - 基于MAC的VLAN划分
4.VLAN的配置示例
VLAN的基础配置命令
1.创建VLAN
[Huawei] vlan vlan-id
通过此命令创建VLAN并进入VLAN视图,如果VLAN已存在,直接进入该VLAN的视图。
vlan-id是整数形式,取值范围是1~4094。
[Huawei] vlan batch { vlan-id1 [ to vlan-id2 ] }
通过此命令批量创建VLAN。其中:
batch:指定批量创建的VLAN ID。
vlan-id1:表示第一个VLAN的编号。
vlan-id2:表示最后一个VLAN的编号。
vlan命令用来创建VLAN并进入VLAN视图,如果VLAN已存在,直接进入该VLAN的视图。
undo vlan用来删除指定VLAN。
缺省情况下,将所有接口都加入到一个缺省的VLAN中,该VLAN标识为1。
命令:
vlan vlan-id
vlan-id:指定VLAN ID。整数形式,取值范围是1~4094。
vlan batch { vlan-id1 [ to vlan-id2 ] }
batch:指定批量创建VLAN。
vlan-id1 to vlan-id2:指定批量创建的VLAN ID,其中:
vlan-id1表示第一个VLAN的编号。
vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1,它与vlan-id1共同确定一个VLAN范围。
如果不指定to vlan-id2参数,则只创建vlan-id1所指定的VLAN。
vlan-id1和vlan-id2是整数形式,取值范围是1~4094。
Access接口的基础配置命令
1.配置接口类型
[Huawei-GigabitEthernet0/0/1] port link-type access
在接口视图下,配置接口的链路类型为Access。
2.配置Access接口的缺省VLAN
[Huawei-GigabitEthernet0/0/1] port default vlan vlan-id
在接口视图下,配置接口的缺省VLAN并同时加入这个VLAN。
vlan-id:配置缺省VLAN的编号。整数形式,取值范围是1~4094。
Trunk接口的基础配置命令
1.配置接口类型
[Huawei-GigabitEthernet0/0/1] port link-type trunk
在接口视图下,配置接口的链路类型为Trunk。
2.配置Trunk接口加入指定VLAN
[Huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } | all }
在接口视图下,配置Trunk类型接口加入的VLAN。
3.(可选) 配置Trunk接口的缺省VLAN
[Huawei-GigabitEthernet0/0/1] port trunk pvid vlan vlan-id
在接口视图下,配置Trunk类型接口的缺省VLAN。
命令:port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] | all }
vlan-id1 [ to vlan-id2 ]:指定Trunk类型接口加入的VLAN,其中:
vlan-id1表示第一个VLAN的编号。
to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1的取值。
vlan-id1和vlan-id 2为整数形式,取值范围是1~4094。
all:指定Trunk接口加入所有VLAN。
命令:port trunk pvid vlan vlan-id,设置Trunk类型接口的缺省VLAN。
vlan-id:指定Trunk类型接口的缺省VLAN编号。整数形式,取值范围是1~4094。
Hybrid接口的基础配置命令
1.配置接口类型
[Huawei-GigabitEthernet0/0/1] port link-type hybrid
在接口视图下,配置接口的链路类型为Hybrid。
2.配置Hybrid接口加入指定VLAN
[Huawei-GigabitEthernet0/0/1] port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }
在接口视图下,配置Hybrid类型接口加入的VLAN,这些VLAN的帧以Untagged方式通过接口。
[Huawei-GigabitEthernet0/0/1] port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }
在接口视图下,配置Hybrid类型接口加入的VLAN,这些VLAN的帧以Tagged方式通过接口。
3.(可选) 配置Hybrid接口的缺省VLAN
[Huawei-GigabitEthernet0/0/1] port hybrid pvid vlan vlan-id
在接口视图下,配置Hybrid类型接口的缺省VLAN。
案例1:基于接口划分VLAN
组网需求:
某企业的交换机连接有很多用户,且相同业务用户通过不同的设备接入企业网络。为了通信的安全性,企业希望业务相同用户之间可以互相访问,业务不同用户不能直接访问。
可以在交换机上配置基于接口划分VLAN,把业务相同的用户连接的接口划分到同一VLAN。这样属于不同VLAN的用户不能直接进行二层通信,同一VLAN内的用户可以直接互相通信。
配置思路:
创建VLAN并将连接用户的接口加入VLAN,实现不同业务用户之间的二层流量隔离。
配置SW1和SW2的各接口类型以及通过的VLAN,实现相同业务用户通过SW1和SW2通信。
创建VLAN
创建VLAN:
[SW1] vlan 10
[SW1-vlan10] quit
[SW1] vlan 20
[SW1-vlan20] quit
[SW2] vlan batch 10 20
配置Access接口和Trunk接口
配置Access接口,并加入对应的VLAN:
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1] vlan 20
[SW1-vlan20] port GigabitEthernet0/0/2
[SW1-vlan20] quit
配置Trunk接口,并创建对应的允许通过列表:
[SW1] interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3] port link-type trunk
[SW1-GigabitEthernet0/0/3] port trunk pvid vlan 1
[SW1-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
验证配置
[SW1]display vlan
The total number of vlans is : 3
-------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
-------------------------------------------------------------------------------
VID Type Ports
-------------------------------------------------------------------------------
1 common UT:GE0/0/3(U) ……
10 common UT:GE0/0/1(U)
TG:GE0/0/3(U)
20 common UT:GE0/0/2(U)
TG:GE0/0/3(U)
……
案例2:基于接口划分VLAN
组网需求:
某企业的交换机连接有很多用户,且不同部门的用户都需要访问公司服务器。但是为了通信的安全性,企业希望不同部门的用户不能直接访问。
可以在交换机上配置基于接口划分VLAN,并配置Hybrid接口,使得不同部门的用户不能直接进行二层通信,但都可以直接访问公司服务器。
配置思路:
创建VLAN并将连接用户的接口加入VLAN,实现不同业务用户之间的二层流量隔离。
配置SW1和SW2的各接口类型以及通过的VLAN,实现主机和服务器之间通过SW1和SW2通信。
Hybrid接口的基础配置
SW1的配置如下:
[SW1] vlan batch 10 20 100
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type hybrid
[SW1-GigabitEthernet0/0/1] port hybrid pvid vlan 10
[SW1-GigabitEthernet0/0/1] port hybrid untagged vlan 10 100
[SW1-GigabitEthernet0/0/1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type hybrid
[SW1-GigabitEthernet0/0/2] port hybrid pvid vlan 20
[SW1-GigabitEthernet0/0/2] port hybrid untagged vlan 30 100
[SW1-GigabitEthernet0/0/2] interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3] port link-type hybrid
[SW1-GigabitEthernet0/0/3] port hybrid tagged vlan 10 20 100
SW2的配置如下:
[SW2] vlan batch 10 20 100
[SW2] interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1] port link-type hybrid
[SW2-GigabitEthernet0/0/1] port hybrid pvid vlan 100
[SW2-GigabitEthernet0/0/1] port hybrid untagged vlan 10 20 100
[SW2-GigabitEthernet0/0/1] interface GigabitEthernet 0/0/3
[SW2-GigabitEthernet0/0/3] port link-type hybrid
[SW2-GigabitEthernet0/0/3] port hybrid tagged vlan 10 20 100
验证配置
[SW1]display vlan
The total number of vlans is : 4
-----------------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
-----------------------------------------------------------------------------------------
VID Type Ports
-----------------------------------------------------------------------------------------
1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(U) ……
10 common UT:GE0/0/1(U)
TG:GE0/0/3(U)
20 common UT:GE0/0/2(U)
TG:GE0/0/3(U)
100 common UT:GE0/0/1(U) GE0/0/2(U)
TG:GE0/0/3(U)
……
VLAN的基础配置命令
1.关联MAC地址与VLAN
[Huawei-vlan10] mac-vlan mac-address mac-address [ mac-address-mask | mac-address-mask-length ]
通过此命令配置MAC地址与VLAN关联。
mac-address:指定与VLAN关联的MAC地址。格式为H-H-H。其中H为4位的十六进制数,可以输入1~4位,如00e0、fc01。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。MAC地址不可设置为0000-0000-0000、FFFF-FFFF-FFFF和组播地址。
mac-address-mask:指定MAC地址掩码。格式为H-H-H,其中H为1至4位的十六进制数。
mac-address-mask-length:指定MAC地址掩码长度。整数形式,取值范围是1~48。
2.使能MAC地址与VLAN
[Huawei-GigabitEthernet0/0/1] mac-vlan enable
通过此命令使能接口的MAC VLAN功能。
命令:mac-vlan mac-address mac-address [ mac-address-mask | mac-address-mask-length ]
mac-address:指定与VLAN关联的MAC地址。
格式为H-H-H。其中H为4位的十六进制数,可以输入1~4位,如00e0、fc01。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。
MAC地址不可设置为0000-0000-0000、FFFF-FFFF-FFFF和组播地址。
mac-address-mask:指定MAC地址掩码。
格式为H-H-H,其中H为1至4位的十六进制数。
mac-address-mask-length:指定MAC地址掩码长度。
整数形式,取值范围是1~48。
命令:mac-vlan enable,用来使能接口的MAC VLAN功能。
案例:基于MAC地址划分VLAN
组网需求:
某个公司的网络中,网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全,要求只有本部门员工的主机才可以访问公司网络。
主机1、主机2、主机3为本部门员工的主机,要求这几台主机可以通过SW1访问公司网络,如换成其他主机则不能访问。
可以配置基于MAC地址划分VLAN,将本部门员工主机的MAC地址与VLAN绑定,从而实现该需求。
配置思路:
创建VLAN。
配置各以太网接口以正确的方式加入VLAN。
配置主机1、主机2、主机3的MAC地址与VLAN关联,实现根据报文中的源MAC地址确定VLAN。
创建VLAN,并关联MAC地址和VLAN
创建VLAN:
[SW1] vlan 10
[SW1-vlan10] quit
关联MAC地址和VLAN:
[SW1] vlan 10
[SW1-vlan10] mac-vlan mac-address 001e-10dd-dd01 [SW1-vlan10] mac-vlan mac-address 001e-10dd-dd02 [SW1-vlan10] mac-vlan mac-address 001e-10dd-dd03 [SW1-vlan10] quit
加入VLAN,并使能MAC VLAN功能
加入VLAN:
[SW1] interface gigabitethernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type hybrid
[SW1-GigabitEthernet0/0/1] port hybrid tagged vlan 10
[SW1] interface gigabitethernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type hybrid
[SW1-GigabitEthernet0/0/2] port hybrid untagged vlan 10
使能接口的基于MAC地址划分VLAN功能:
[SW1] interface gigabitethernet 0/0/2
[SW1-GigabitEthernet0/0/2] mac-vlan enable
[SW1-GigabitEthernet0/0/2] quit
配置接口为Hybrid接口:在Access接口和Trunk接口上,只有基于MAC划分的VLAN和PVID相同时,才能使用MAC VLAN功能。所以基于MAC地址划分VLAN推荐在Hybrid口上配置。
验证配置
[SW1]display vlan
The total number of vlans is : 2
-----------------------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
-----------------------------------------------------------------------------------------------
VID Type Ports
-----------------------------------------------------------------------------------------------
1 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(U) ……
10 common UT:GE0/0/2(U) GE0/0/3(U) GE0/0/4(U)
TG:GE0/0/1(U)
……
[SW1]display mac-vlan mac-address all
----------------------------------------------------------------------
MAC Address MASK VLAN Priority
----------------------------------------------------------------------
001e-10dd-dd01 ffff-ffff-ffff 10 0
001e-10dd-dd02 ffff-ffff-ffff 10 0
001e-10dd-dd03 ffff-ffff-ffff 10 0
Total MAC VLAN address count: 3
命令:display mac-vlan { mac-address { all | mac-address [ mac-address-mask | mac-address-mask-length ] } | vlan vlan-id },用来查看基于MAC地址划分VLAN的配置信息。
all:显示所有MAC地址VLAN划分信息。
mac-address mac-address:显示指定MAC地址的VLAN划分信息。
格式为H-H-H,其中H为1至4位的十六进制数。
mac-address-mask:MAC地址掩码。
格式为H-H-H,其中H为1至4位的十六进制数。
mac-address-mask-length:MAC地址掩码长度。
整数形式,取值范围是1~48。
vlan vlan-id:显示指定MAC-VLAN的配置信息。
整数形式,取值范围是1~4094。
输出信息:
MAC Address:MAC地址。
MASK:MAC地址的掩码。
VLAN:基于MAC地址划分的VLAN。
Priority:指定MAC地址对应VLAN的802.1P优先级。
思考
(多选) 下列关于VLAN的描述中,错误的是?( )
VLAN技术可以将一个规模较大的冲突域隔离成若干个规模较小的冲突域
VLAN技术可以将一个规模较大的二层广播域隔离成若干个规模较小的二层广播域
位于不同VLAN的计算机之间无法进行通信
位于同一VLAN中的计算机之间可以进行二层通信
如果一个Trunk接口的PVID是5,且端口下配置port trunk allow-pass vlan 2 3,那么哪些VLAN的流量可以通过该Trunk接口进行传输?
AC
执行了port trunk allow-pass vlan 2 3命令后,VLAN 5的数据帧不能在此接口上进行传输。VLAN 1的数据默认可以通过Trunk接口进行传输。所以VLAN 1,VLAN 2和VLAN 3的数据帧可以在Trunk接口上传输。
总结
本章节主要介绍了虚拟局域网 (VLAN)的相关技术知识,包括:VLAN的作用,VLAN的标识及划分,VLAN的数据交互,VLAN的实际规划和应用,以及VLAN的相关基本配置。
通过VLAN技术,可以将物理的局域网划分成多个广播域,实现同一VLAN内的网络设备可以直接进行二层通信,不同VLAN内的设备不可以直接进行二层通信。
VLAN原理与配置-课堂笔记
12.实现VLAN间通信
前言
传统交换二层组网中,默认所有网络都处于同一个广播域,这带了诸多问题。VLAN(Virtual Local Area Network,虚拟局域网)技术的提出,满足了二层组网隔离广播域需求,使得属于不同VLAN的网络无法互访,但不同VLAN之间又存在着相互访问的需求。
本章主要描述如何实现不同VLAN之间的相互通信。
课程能力
学完本课程后,您将能够:
了解如何实现VLAN间通信
掌握如何使用路由器(物理接口、子接口)实现VLAN间通信
掌握如何使用三层交换机实现VLAN间通信
掌握报文三层转发过程
1.技术背景
VLAN间通信
实际网络部署中一般会将不同IP地址段划分到不同的VLAN。
同VLAN且同网段的PC之间可直接进行通信,无需借助三层转发设备,该通信方式被称为二层通信。
VLAN之间需要通过三层通信实现互访,三层通信需借助三层设备。
常见的三层设备:路由器、三层交换机、防火墙等。
将二层交换机与路由器的三层接口互联,由三层设备进行路由转发来实现通信。
2.使用路由器(物理接口、子接口)实现VLAN间通信
2.VLAN的基本概念
使用路由器物理接口
在二层交换机上配置VLAN,每个VLAN单独使用一个交换机接口与路由器互联。
路由器使用两个物理接口,分别作为VLAN 10及VLAN 20内PC的默认网关,使用路由器的物理接口实现VLAN之间的通信。
路由器三层接口作为网关,转发本网段前往其它网段的流量。
路由器三层接口无法处理携带VLAN Tag的数据帧,因此交换机上联路由器的接口需配置为Access。
路由器的一个物理接口作为一个VLAN的网关,因此存在一个VLAN就需要占用一个路由器物理接口。
路由器作为三层转发设备其接口数量较少,方案的可扩展性太差。
使用路由器子接口
R1使用一个物理接口(GE0/0/1)与交换机SW1对接,并基于该物理接口创建两个子接口:GE0/0/1.10及GE0/0/1.20,分别使用这两个子接口作为VLAN 10及VLAN 20的默认网关。
由于三层子接口不支持VLAN报文,当它收到VLAN报文时,会将VLAN报文当成是非法报文而丢弃。因此,需要在子接口上将VLAN Tag剥掉,也就是需要VLAN终结(VLAN Termination)。
子接口(Sub-Interface)是基于路由器以太网接口所创建的逻辑接口,以物理接口ID+子接口ID进行标识,子接口同物理接口一样可进行三层转发。
子接口不同于物理接口,可以终结携带VLAN Tag的数据帧。
基于一个物理接口创建多个子接口,将该物理接口对接到交换机的Trunk接口,即可实现使用一个物理接口为多个VLAN提供三层转发服务。
子接口处理流程
子接口终结VLAN的实质包含两个方面:
对接口接收到报文,剥除VLAN标签后进行三层转发或其他处理。
对接口发出的报文,又将相应的VLAN标签添加到报文中后再发送。
交换机连接路由器的接口类型配置为Trunk,根据报文的VLAN Tag不同,路由器将收到的报文交由对应的子接口处理。
子接口配置示例
interface interface-type interface-number.sub-interface number命令用来创建子接口。sub-interface number代表物理接口内的逻辑接口通道。一般情况下,为了方便记忆,子接口ID与所要终结的VLAN ID相同。
dot1q termination vid命令用来配置子接口Dot1q终结的单层VLAN ID。缺省情况,子接口没有配置dot1q终结的单层VLAN ID。arp broadcast enable命令用来使能终结子接口的ARP广播功能。缺省情况下,终结子接口没有使能ARP广播功能。终结子接口不能转发广播报文,在收到广播报文后它们直接把该报文丢弃。为了允许终结子接口能转发广播报文,可以通过在子接口上执行此命令。
[R1]interface GigabitEthernet0/0/1.10
[R1-GigabitEthernet0/0/1.10]dot1q termination vid 10
[R1-GigabitEthernet0/0/1.10]ip address 192.168.10.254 24
[R1-GigabitEthernet0/0/1.10]arp broadcast enable
[R1]interface GigabitEthernet0/0/1.20
[R1-GigabitEthernet0/0/1.20]dot1q termination vid 20
[R1-GigabitEthernet0/0/1.20]ip address 192.168.20.254 24
[R1-GigabitEthernet0/0/1.20]arp broadcast enable
3.使用VLANIF技术实现VLAN间通信
三层交换机和VLANIF接口
二层交换机(Layer 2 Switch)指的是只具备二层交换功能的交换机。
三层交换机(Layer 3 Switch)除了具备二层交换机的功能,还支持通过三层接口(如VLANIF接口)实现路由转发功能。
VLANIF接口是一种三层的逻辑接口,支持VLAN Tag的剥离和添加,因此可以通过VLANIF接口实现VLAN之间的通信。
VLANIF接口编号与所对应的VLAN ID相同,如VLAN 10对应VLANIF 10。
VLANIF配置示例
interface vlanif vlan-id命令用来创建VLANIF接口并进入到VLANIF接口视图。vlan-id表示与VLANIF接口相关联的VLAN编号。VLANIF接口的IP地址作为主机的网关IP地址,和主机的IP地址必须位于同一网段。
配置需求:
两台PC分别属于VLAN 10、VLAN 20。通过三层交换机完成两台PC之间的相互通信。
基础配置:
[SW1]vlan batch 10 20
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 20
配置Vlanif:
[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 192.168.10.254 24
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.20.254 24
VLANIF转发流程
假设PC、三层交换机上都已存在相应的ARP或MAC表项。
PC1与PC2之间通信过程如下:
PC1通过本地IP地址、本地掩码、对端IP地址进行计算,发现目的设备PC2与自身不在同一个网段,判断该通信为三层通信,将去往PC2的流量发给网关。PC1发送的数据帧:源MAC = MAC1,目的MAC = MAC2。
interface Vlanif10
ip address 192.168.10.254 24
(MAC:MAC2)
interface Vlanif20
ip address 192.168.20.254 24
(MAC:MAC2)
4.三层通信过程解析
网络拓扑
连接逻辑图
NAPT(Network Address Port Translation,网络地址端口转换):将IP数据报文头中的IP地址、端口号转换为另一个IP地址、端口号的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能,NAPT支持多个内部地址映射到同一个公有地址上,可以实现使用一个公有地址支持内网多个内部地址同时访问外部网络。
通信过程
思考
将接口配置为Trunk或者Hybrid,放通终端对应的VLAN(携带VLAN-Tag)。
源目IP在转发过程中保持不变(无NAT场景),但是源目MAC会改变,三层转发时每经过一个三层设备进行三层转发,源目MAC都会发生变化。
通过子接口实现VLAN间通信时,交换机连接路由器的接口需要做哪些配置?
报文经过三层转发时,报文内容有哪些变化?
总结
本章介绍了三种实现VLAN间通信的方式:通过路由器实现、通过子接口实现、通过VLANIF实现。
本章还详细介绍了三层交换机的通信过程,在通信过程中的设备处理机制、报文头部的变化。
二、三层接口对比
实现VLAN间通信-课堂实验1
实现VLAN间通信-课堂笔记
13.网络地址转换
前言
随着Internet的发展和网络应用的增多,有限的IPv4公有地址已经成为制约网络发展的瓶颈。为解决这个问题,NAT(Network Address Translation,网络地址转换)技术应需而生。
NAT技术主要用于实现内部网络的主机访问外部网络。一方面NAT缓解了IPv4地址短缺的问题,另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信,提升了内网的安全性。
本章节我们将了解NAT的技术背景, 学习不同类型NAT的技术原理、使用场景。
课程能力
学完本课程后,您将能够:
了解NAT的技术背景
掌握NAT的分类和技术原理
掌握不同场景下如何选用不同类型的NAT技术
1.NAT概述
1.1 NAT产生背景
随着互联网用户的增多,IPv4的公有地址资源显得越发短缺。
同时IPv4公有地址资源存在地址分配不均的问题,这导致部分地区的IPv4可用公有地址严重不足。
为解决该问题,使用过渡技术解决IPv4公有地址短缺就显得尤为必要。
1.2 私网IP地址
公有地址:由专门的机构管理、分配,可以在Internet上直接通信的IP地址。
私有地址:组织和个人可以任意使用,无法在Internet上直接通信,只能在内网使用的IP地址。
A、B、C类地址中各预留了一些地址专门作为私有IP地址:
A类:10.0.0.0 ~ 10.255.255.255
B类:172.16.0.0 ~ 172.31.255.255
C类:192.168.0.0 ~ 192.168.255.255
1.3 NAT技术原理
NAT:对IP数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备,例如路由器或防火墙上。
NAT的典型应用场景:在私有网络内部(园区、家庭)使用私有地址,出口设备部署NAT,对于“从内到外”的流量,网络设备通过NAT将数据包的源地址进行转换(转换成特定的公有地址),而对于“从外到内的”流量,则对数据包的目的地址进行转换。
通过私有地址的使用结合NAT技术,可以有效节约公网IPv4地址。
2.静态NAT
2.1 静态NAT原理
静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。
支持双向互访:私有地址访问Internet经过出口设备NAT转换时,会被转换成对应的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址。
2.2 静态NAT转换示例
2.3 静态NAT配置介绍
1.方式一:接口视图下配置静态NAT
[Huawei-GigabitEthernet0/0/0] nat static global { global-address} inside {host-address }
global参数用于配置外部公有地址,inside参数用于配置内部私有地址。
2.方式二:系统视图下配置静态NAT
[Huawei] nat static global { global-address} inside {host-address }
配置命令相同,视图为系统视图,之后在具体的接口下开启静态NAT。
[Huawei-GigabitEthernet0/0/0] nat static enable
在接口下使能nat static功能。
2.4 静态NAT配置示例
在R1上配置静态NAT将内网主机的私有地址一对一映射到公有地址。
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24
[R1-GigabitEthernet0/0/1]nat static global 122.1.2.1 inside 192.168.1.1
[R1-GigabitEthernet0/0/1]nat static global 122.1.2.2 inside 192.168.1.2
[R1-GigabitEthernet0/0/1]nat static global 122.1.2.3 inside 192.168.1.3
3.动态NAT
3.1 动态NAT原理
动态NAT:静态NAT严格地一对一进行地址映射,这就导致即便内网主机长时间离线或者不发送数据时,与之对应的公有地址也处于使用状态。为了避免地址浪费,动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。
当内部主机访问外部网络时临时分配一个地址池中未使用的地址,并将该地址标记为“In Use”。当该主机不再访问外部网络时回收分配的地址,重新标记为“Not Use”。
3.2 动态NAT转换示例
3.3 动态NAT配置介绍
1.创建地址池
[Huawei] nat address-group group-index start-address end-address
配置公有地址范围,其中group-index为地址池编号,start-address、end-address分别为地址池起始地址、结束地址。
2.配置地址转换的ACL规则
[Huawei] acl number
[Huawei-acl-basic-number ] rule permit source source-address source-wildcard
配置基础ACL,匹配需要进行动态转换的源地址范围。
3.接口视图下配置带地址池的NAT Outbound
[Huawei-GigabitEthernet0/0/0] nat outbound acl-number address-group group-index [ no-pat ]
接口下关联ACL与地址池进行动态地址转换,no-pat参数指定不进行端口转换。
3.4 动态NAT配置示例
在R1上配置动态NAT将内网主机的私有地址动态映射到公有地址。
[R1]nat address-group 1 122.1.2.1 122.1.2.3
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
4.NAPT、Easy-IP
4.1 NAPT原理
动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即No-PAT(No-Port Address Translation,非端口地址转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率。
NAPT(Network Address and Port Translation,网络地址端口转换):从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率。
4.2 NAPT转换示例
4.3 NAPT配置示例
在R1上配置NAPT让内网所有私有地址通过122.1.2.1访问公网。
[R1]nat address-group 1 122.1.2.1 122.1.2.3
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
4.4 Easy IP
Easy IP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为NAT转换的公有地址。
Easy IP适用于不具备固定公网IP地址的场景:如通过DHCP、PPPoE拨号获取地址的私有网络出口,可以直接使用获取到的动态地址进行转换。
4.5 Easy IP配置示例
在R1上配置Easy-IP让内网所有私有地址通过122.1.2.1访问公网。
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
5.NAT Server
5.1 NAT Server使用场景
NAT Server:指定[公有地址:端口]与[私有地址:端口]的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网提供服务时使用。
外网主机主动访问[公有地址:端口]实现对内网服务器的访问。
5.2 NAT Server转换示例
5.3 NAT Server配置示例
在R1上配置NAT Server将内网服务器192.168.1.10的80端口映射到公有地址122.1.2.1的8080端口。
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
思考
何种NAT转换可以让外部网络主动访问内网服务器?
NAPT相比较于No-PAT有哪些优点?
总结
在私有网络内使用私有地址,并在网络出口使用NAT技术,可以有效减少网络所需的IPv4公有地址数目,NAT技术有效地缓解了IPv4公有地址短缺的问题。
动态NAT、NAPT、Easy IP为私网主机访问公网提供源地址转换。
NAT Server实现了内网主机对公网提供服务。
静态NAT提供了一对一映射,支持双向互访。
网络地址转换- 课堂笔记
14.ACL原理与配置
前言
随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
在本章节中,将介绍ACL的基本原理和基本作用,ACL的不同种类及特点,ACL的基本组成和匹配顺序,通配符的使用方法和ACL的相关配置。
课程能力
学完本课程后,您将能够:
描述ACL的基本原理和基本作用
区分ACL的不同种类及特点
描述ACL规则的基本组成结构和匹配顺序
掌握ACL中通配符的使用方法
完成ACL的基本组网配置
1.ACL技术概述
1.1 技术背景:需要一个工具,实现流量过滤
1.2 ACL概述
ACL是由一系列permit或deny语句组成的、有序规则的列表。
ACL是一个匹配工具,能够对报文进行匹配和区分。
ACL应用:
匹配IP流量
在Traffic-filter中被调用
在NAT(Network Address Translation)中被调用
在路由策略中被调用
在防火墙的策略部署中被调用
在QoS中被调用
其他……
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL是由permit或deny语句组成的一系列有顺序的规则的集合;它通过匹配报文的相关字段实现对报文的分类。
ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能够用于匹配路由条目。
在本章课程中主要通过流量过滤来介绍ACL。
2.ACL的基本概念及其工作原理
2.1 ACL的组成
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。
ACL的组成:
ACL编号:在网络设备上配置ACL时,每个ACL都需要分配一个编号,称为ACL编号,用来标识ACL。不同分类的ACL编号范围不同,这个后面具体讲。
规则:前面提到了,一个ACL通常由若干条“permit/deny”语句组成,每条语句就是该ACL的一条规则。
规则编号:每条规则都有一个相应的编号,称为规则编号,用来标识ACL规则。可以自定义,也可以系统自动分配。ACL规则的编号范围是0~4294967294,所有规则均按照规则编号从小到大进行排序。
动作:每条规则中的permit或deny,就是与这条规则相对应的处理动作。permit指“允许”,deny指“拒绝”,但是ACL一般是结合其他技术使用,不同的场景,处理动作的含义也有所不同。
比如:ACL如果与流量过滤技术结合使用(即流量过滤中调用ACL),permit就是“允许通行”的意思,deny就是“拒绝通行”的意思。
匹配项:ACL定义了极其丰富的匹配项。例子中体现的源地址,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如TCP/UDP端口号)等。
提问:rule 5 permit source 1.1.1.0 0.0.0.255 是什么意思?这个在后续课程中会介绍。
2.2 规则编号
规则编号与步长:
规则编号(Rule ID):
一个ACL中的每一条规则都有一个相应的编号。
步长(Step):
步长是系统自动为ACL规则分配编号时,每个相邻规则编号之间的差值,缺省值为5。步长的作用是为了方便后续在旧规则之间,插入新的规则。
Rule ID分配规则:
系统为ACL中首条未手工指定编号的规则分配编号时,使用步长值(例如步长=5,首条规则编号为5)作为该规则的起始编号;为后续规则分配编号时,则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。
规则编号和步长的概念:
规则编号:每条规则都有一个相应的编号,称为规则编号,用来标识ACL规则。可以自定义,也可以系统自动分配。
步长:系统自动为ACL规则分配编号时,每个相邻规则编号之间会有一个差值,这个差值称为“步长”。缺省步长为5,所以规则编号就是5/10/15…以此类推。
如果手工指定了一条规则,但未指定规则编号,系统就会使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。
步长可以调整,如果将步长改为2,系统则会自动从当前步长值开始重新排列规则编号,规则编号就变成2、4、6…。
那步长的作用是什么?直接rule 1/2/3/4…为什么不可以?
先来看一个小题目:如果希望增加一条规则,该如何处理?
可以在rule 10和rule 15之间,手工加入一条rule 11。
因此,设置一定长度的步长的作用,是方便后续在旧规则之间插入新的规则。
2.3 通配符
通配符 (Wildcard):
通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配。
通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络掩码完全不同。
当进行IP地址匹配的时候,后面会跟着32位掩码位,这32位称为通配符。
通配符,也是点分十进制格式,换算成二进制后,“0”表示“匹配”,“1”表示“不关心”。
具体看下这2条规则:
rule 5: 拒绝源IP地址为10.1.1.1报文通过——因为通配符为全0,所以每一位都要严格匹配,因此匹配的是主机IP地址10.1.1.1;
rule 15:允许源IP地址为10.1.1.0/24网段地址的报文通过——因为通配符:0.0.0.11111111,后8位为1,表示不关心,因此10.1.1.xxxxxxxx 的后8位可以为任意值,所以匹配的是10.1.1.0/24网段。
例子:如果要精确匹配192.168.1.1/24这个IP地址对应的网段地址,通配符是多少?
可以得出:网络位需要严格匹配,主机位无所谓,因此通配符为“0.0.0.255”。
如果想匹配192.168.1.0/24网段中的奇数IP地址,通配符该怎么写呢?
我们先来看一看,奇数IP地址都有哪些:192.168.1.1、192.168.1.5、192.168.1.11……
后八位写成二进制:192.168.1.00000001、192.168.1.00000101、192.168.1.00001011……
可以看出共同点:最后8位的高7位是任意值,最低位固定为1,因此答案是:192.168.1.1 0.0.0.254(0.0.0.11111110)
这就得出了通配符的一个特点:通配符中的1或者0是可以不连续的。
还有两个特殊的通配符:
当通配符全为0来匹配IP地址时,表示精确匹配某个IP地址;
当通配符全为1来匹配0.0.0.0地址时,表示匹配了所有IP地址。
2.4 ACL的分类与标识
基于ACL规则定义方式的划分,可分为:
基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL。
基于ACL标识方法的划分,则可分为:
数字型ACL和命名型ACL。
注意:用户在创建ACL时可以为其指定编号,不同的编号对应不同类型的ACL。同时,为了便于记忆和识别,用户还可以创建命名型ACL,即在创建ACL时为其设置名称。命名型ACL,也可以是“名称 数字”的形式,即在定义命名型ACL时,同时指定ACL编号。如果不指定编号,系统则会自动为其分配一个数字型ACL的编号。
2.5 基本ACL&高级ACL
基本ACL:
主要针对IP报文的源IP地址进行匹配,基本ACL的编号范围是2000-2999。
比如这个例子,创建的是acl 2000,就意味着创建的是基本ACL。
高级ACL:
可以根据IP报文中的源IP地址、目的IP地址、协议类型,TCP或UDP的源目端口号等元素进行匹配,可以理解为:基本ACL是高级ACL的一个子集,高级ACL可以比基本ACL定义出更精确、更复杂、更灵活的规则。
2.6 ACL的匹配机制
ACL的匹配机制概括来说就是:
配置ACL的设备接收报文后,会将该报文与ACL中的规则逐条进行匹配,如果不能匹配上,就会继续尝试去匹配下一条规则。
一旦匹配上,则设备会对该报文执行这条规则中定义的处理动作,并且不再继续尝试与后续规则匹配。
匹配流程:首先系统会查找设备上是否配置了ACL。
如果ACL不存在,则返回ACL匹配结果为:不匹配。
如果ACL存在,则查找设备是否配置了ACL规则。
-如果规则不存在,则返回ACL匹配结果为:不匹配。
-如果规则存在,则系统会从ACL中编号最小的规则开始查找。
~如果匹配上了permit规则,则停止查找规则,并返回ACL匹配结果为:匹配(允许)。
~如果匹配上了deny规则,则停止查找规则,并返回ACL匹配结果为:匹配(拒绝)。
~如果未匹配上规则,则继续查找下一条规则,以此循环。如果一直查到最后一条规则,报文仍未匹配上,则返回ACL匹配结果为:不匹配。
从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。以上三种情况,都叫做“不匹配”。
匹配原则:一旦命中即停止匹配。
2.7 ACL的匹配顺序及匹配结果
一条ACL可以由多条“deny或permit”语句组成,每一条语句描述一条规则,这些规则可能存在包含关系,也可能有重复或矛盾的地方,因此ACL的匹配顺序是十分重要的。
华为设备支持两种匹配顺序:自动排序(auto模式)和配置顺序(config模式)。缺省的ACL匹配顺序是config模式。
自动排序,是指系统使用“深度优先”的原则,将规则按照精确度从高到低进行排序,并按照精确度从高到低的顺序进行报文匹配。——这个比较复杂,这里就不具体展开了,感兴趣的同学可以课后查看资料。
配置顺序,系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。——这个就是我们前面提到的匹配顺序。
如果后面又添加了一条规则,则这条规则会被加入到相应的位置,报文仍然会按照从小到大的顺序进行匹配。
匹配结果:(如图所示,以192.168.1.3/24为例)
首先理解ACL 2000的含义:
rule 1:允许源IP地址为192.168.1.1的报文
rule 2:允许源IP地址为192.168.1.2的报文
rule 3:允许源IP地址为192.168.1.2的报文
rule 4:拒绝其他所有IP地址的报文
2.8 ACL的匹配位置
2.9 入站 (Inbound)及出站 (Outbound)方向
3.ACL的基础配置及应用
3.1 基本ACL的基础配置命令
1.创建基本ACL
[Huawei] acl [ number ] acl-number [ match-order config ]
使用编号(2000~2999)创建一个数字型的基本ACL,并进入基本ACL视图。
[Huawei] acl name acl-name { basic | acl-number } [ match-order config ]
使用名称创建一个命名型的基本ACL,并进入基本ACL视图。
2.配置基本ACL的规则
[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-name ]
在基本ACL视图下,通过此命令来配置基本ACL的规则。
创建基本ACL
[Huawei] acl [ number ] acl-number [ match-order config ]
acl-number:指定访问控制列表的编号。
match-order config:指定ACL规则的匹配顺序,config表示配置顺序。
[Huawei] acl name acl-name { basic | acl-number } [ match-order config ]
acl-name:指定创建的ACL的名称。
basic:指定ACL的类型为基本ACL。
配置基本ACL规则
[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-name ]
rule-id:指定ACL的规则ID。
deny:指定拒绝符合条件的报文。
permit:指定允许符合条件的报文。
source { source-address source-wildcard | any }:指定ACL规则匹配报文的源地址信息。如果不配置,表示报文的任何源地址都匹配。其中:
source-address:指定报文的源地址。
source-wildcard:指定源地址通配符。
any:表示报文的任意源地址。相当于source-address为0.0.0.0或者source-wildcard为255.255.255.255。
time-range time-name:指定ACL规则生效的时间段。其中,time-name表示ACL规则生效时间段名称。如果不指定时间段,表示任何时间都生效。
3.2 案例:使用基本ACL过滤数据流量
配置需求:
在Router上部署基本ACL后,ACL将试图穿越Router的源地址为192.168.1.0/24网段的数据包过滤掉,并放行其他流量,从而禁止192.168.1.0/24网段的用户访问Router右侧的服务器网络。
1、Router已完成IP地址和路由的相关配置
2、在Router上创建基本ACL,禁止192.168.1.0/24网段访问服务器网络:
[Router] acl 2000
[Router-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] rule permit source any
3、由于从接口GE0/0/1进入Router,所以在接口GE0/0/1的入方向配置流量过滤:
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
[Router-GigabitEthernet0/0/1] quit
配置思路:
配置基本ACL和流量过滤,使设备可以对特定网段的报文进行过滤。
配置步骤:
1.如图完成路由器的IP地址和路由相关配置。
2.创建基本ACL 2000并配置ACL规则,拒绝192.168.1.0/24网段的报文通过,允许其他网段的报文通过。
3.配置流量过滤。
注:
traffic-filter命令,用来在接口上配置基于ACL对报文进行过滤。
命令格式:traffic-filter { inbound | outbound } acl { acl-number | name acl-name }
inbound:指定在接口入方向上配置报文过滤。
outbound:指定在接口出方向上配置报文过滤。
acl:指定基于IPv4 ACL对报文进行过滤。
3.3 高级ACL的基础配置命令
1.创建高级ACL
[Huawei] acl [ number ] acl-number [ match-order config ]
使用编号(3000~3999)创建一个数字型的高级ACL,并进入高级ACL视图。
[Huawei] acl name acl-name { advance | acl-number } [ match-order config ]
使用名称创建一个命名型的高级ACL,进入高级ACL视图。
创建高级ACL
[Huawei] acl [ number ] acl-number [ match-order config ]
acl-number:指定访问控制列表的编号。
match-order config:指定ACL规则的匹配顺序,config表示配置顺序。
[Huawei] acl name acl-name { advance | acl-number } [ match-order config ]
acl-name:指定创建的ACL的名称。
advance:指定ACL的类型为高级ACL。
2.配置基本ACL的规则
根据IP承载的协议类型不同,在设备上配置不同的高级ACL规则。对于不同的协议类型,有不同的参数组合。
当参数protocol为IP时,高级ACL的命令格式为
rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard | any } | source { source-address source-wildcard | any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ]
在高级ACL视图下,通过此命令来配置高级ACL的规则。
当参数protocol为TCP时,高级ACL的命令格式为
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | fin | syn } * | time-range time-name ] *
在高级ACL视图下,通过此命令来配置高级ACL的规则。
配置高级ACL的规则
当参数protocol为IP时:
rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard | any } | source { source-address source-wildcard | any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ]
ip :指定ACL规则匹配报文的协议类型为IP。
destination { destination-address destination-wildcard | any }:指定ACL规则匹配报文的目的地址信息。如果不配置,表示报文的任何目的地址都匹配。
dscp dscp:指定ACL规则匹配报文时,区分服务代码点(Differentiated Services Code Point),取值为:0~63。
tos tos:指定ACL规则匹配报文时,依据服务类型字段进行过滤,取值为:0~15。
precedence precedence:指定ACL规则匹配报文时,依据优先级字段进行过滤。precedence表示优先级字段值,取值为:0~7。
3.4 案例:使用高级ACL限制不同网段的用户互访
配置需求:
某公司通过Router实现各部门之间的互连。为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。
现要求Router能够限制两个网段之间互访,防止公司机密泄露。
配置思路:
配置高级ACL和流量过滤,使设备可以对研发部与市场部互访的报文进行过滤。
配置步骤:
1.如图完成路由器的IP地址和路由的相关配置。
2.创建高级ACL 3001并配置ACL规则,拒绝研发部访问市场部的报文通过。
3.创建高级ACL 3002并配置ACL规则,拒绝市场部访问研发部的报文通过。
1、Router已完成IP地址和路由的相关配置。
2、创建高级ACL 3001并配置ACL规则,拒绝研发部访问市场部的报文:
[Router] acl 3001
[Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Router-acl-adv-3001] quit
3、创建高级ACL 3002并配置ACL规则,拒绝市场部访问研发部的报文:
[Router] acl 3002
[Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Router-acl-adv-3002] quit
4、由于研发部和市场部互访的流量分别从接口GE0/0/1和GE0/0/2进入Router,所以在接口GE0/0/1和GE0/0/2的入方向配置流量过滤:
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 3001
[Router-GigabitEthernet0/0/1] quit
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] traffic-filter inbound acl 3002
[Router-GigabitEthernet0/0/2] quit
配置步骤:
4.由于研发部和市场部互访的流量分别从接口GE0/0/1和GE0/0/2进入Router,所以在接口GE0/0/1和GE0/0/2的入方向配置流量过滤。
注:
traffic-filter命令,用来在接口上配置基于ACL对报文进行过滤。
命令格式:traffic-filter { inbound | outbound } acl { acl-number | name acl-name }
inbound:指定在接口入方向上配置报文过滤。
outbound:指定在接口出方向上配置报文过滤。
acl:指定基于IPv4 ACL对报文进行过滤。
思考
(单选)下列选项中,哪一项才是一条合法的基本ACL的规则?( )
rule permit ip
rule deny ip
rule permit source any
rule deny tcp source any
高级ACL可以基于哪些条件来定义规则?
总结
ACL是一种应用非常广泛的网络技术。它的基本原理是:配置了ACL的网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对匹配上的报文执行事先设定好的处理动作。这些匹配规则及相应的处理动作是根据具体的网络需求而设定的。处理动作的不同以及匹配规则的多样性,使得ACL可以发挥出各种各样的功效。
ACL技术总是与防火墙、路由策略、QoS、流量过滤等其他技术结合使用。
在本章节中,主要介绍了ACL的相关技术知识,包括:ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置及应用。
ACL原理与配置-课堂笔记
15.广域网技术
前言
随着经济全球化与数字化变革加速,企业规模不断扩大,越来越多的分支机构出现在不同的地域。每个分支的网络被认为一个LAN(Local Area Network,局域网),总部和各分支机构之间通信需要跨越地理位置。因此,企业需要通过WAN(Wide Area Network,广域网)将这些分散在不同地理位置的分支机构连接起来,以便更好地开展业务。
广域网技术的发展,伴随着带宽不断的升级:早期出现的X.25只能提供64 kbit/s的带宽,其后DDN(Digital Data Network,数字数据网)和FR(Frame Relay,帧中继)提供的带宽提高到2 Mbit/s,SDH(Synchronous Digital Hierachy,同步数字结构)和ATM(Asynchronous Transfer Mode,异步传输模式)进一步把带宽提升到10 Gbit/s,最后发展到当前以IP为基础的10 Gbit/s甚至更高带宽的广域网络。
本课程主要讲解广域网技术基础概述以及PPP(Point-to-Point Protocol ,点对点协议)原理与相关应用。
课程能力
学完本课程后,您将能够:
了解广域网基本概念和发展历史
掌握PPP和PPPoE的工作原理
掌握PPP和PPPoE的基本配置
了解MPLS/SR相关技术的基本概念
1.早期广域网技术概述
1.1 什么是广域网
广域网是连接不同地区局域网的网络,通常所覆盖的范围从几十公里到几千公里。它能连接多个地区、城市和国家,或横跨几个洲提供远距离通信,形成国际性的远程网络。
1.2 广域网与局域网区别
广域网与局域网的区别主要体现在以下几个方面:
局域网带宽高但是传输距离短,无法满足广域网长距离传输;
局域网设备通常都是交换机,广域网设备大多都是路由器;
局域网属于某一个单位或者组织,广域网服务大多由ISP提供;
广域网与局域网一般仅在物理层和数据链路层采用不同的协议或技术,其他层次基本没有差异;
银行、政府、军队、大型公司的专用网络也属于广域网,且与Internet实现物理隔离;
Internet只是广域网的一种,小企业借用Internet作为广域网连接。
1.3 早期广域网技术介绍
早期广域网与局域网的区别在于数据链路层和物理层的差异性,在TCP/IP参考模型中,其他各层无差异。
初期广域网常用的物理层标准有EIA(Electronic Industries Alliance,电子工业协会)和TIA(Telecommunications Industry Association,电信工业协会)制定的公共物理层接口标准EIA/TIA-232(即RS-232)、 ITU(International Telecommunication Union,国际电信联盟)制定的串行线路接口标准V.24和V.35,以及有关各种数字接口的物理和电气特性的G.703标准等。
广域网常见的数据链路层标准有:HDLC(High-level Data Link Control,高级数据链路控制)、PPP(Point-to-Point Protocol,点到点协议)、FR(Frame Relay,帧中继)、ATM异步传输模式等,其中:
HDLC协议是一种通用的协议,工作在数据链路层。数据报文加上头开销和尾开销后封装成HDLC帧,只支持在点到点的同步链路上的数据传输,不支持IP地址协商与认证,过于追求高可靠性,导致数据帧开销较大,传输效率较低。
PPP协议工作在数据链路层,主要用在支持全双工的同、异步链路上,进行点到点之间的数据传输。由于它能够提供用户认证,易于扩充,并且支持同、异步通信,因而获得广泛应用。
帧中继是一种工业标准的、交换式的数据链路协议,通过使用无差错校验机制,加快了数据转发速度。
ATM是建立在电路交换和分组交换基础上的一种面向连接的交换技术,ATM传送信息的基本载体是53 Byte固定长度ATM信元。
1.4 广域网络设备角色介绍
广域网络设备基本角色有三种,CE(Customer Edge,用户边缘设备) 、PE (Provider Edge,服务提供商边缘设备) 和P(Provider ,服务提供商设备) 。
具体定义是:
CE:用户端连接服务提供商的边缘设备。CE连接一个或多个PE,实现用户接入。
PE:服务提供商连接CE的边缘设备。PE同时连接CE和P设备,是重要的网络节点。
P:服务提供商不连接任何CE的设备。
1.5 早期广域网技术的应用
早期的广域网技术主要是针对不同的物理链路类型,在数据链路层进行不同的二层封装。在CE与PE之间常用的广域网封装协议有PPP/HDLC/FR等,用于解决用户接入广域网的长距离传输问题。在ISP内部常用的广域网协议主要是ATM,它用于解决骨干网高速转发的问题。
2.PPP协议原理与配置
2.1 PPP协议概述
PPP(Point-to-Point Protocol,点到点协议)是一种常见的广域网数据链路层协议,主要用于在全双工的链路上进行点到点的数据传输封装。
PPP提供了安全认证协议族PAP(Password Authentication Protocol,密码验证协议)和CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)。
PPP协议具有良好的扩展性,例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE。
PPP协议提供LCP(Link Control Protocol,链路控制协议),用于各种链路层参数的协商,例如最大接收单元,认证模式等。
PPP协议提供各种NCP(Network Control Protocol,网络控制协议),如IPCP(IP Control Protocol ,IP控制协议),用于各网络层参数的协商,更好地支持了网络层协议。
2.2 PPP链路建立流程
PPP链路的建立有三个阶段的协商过程,链路层协商、认证协商(可选)和网络层协商。
链路层协商:通过LCP报文进行链路参数协商,建立链路层连接。
认证协商(可选):通过链路建立阶段协商的认证方式进行链路认证。
网络层协商 :通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。
2.3 PPP链路接口状态机
正常PPP链路建立需要经历链路建立阶段、认证阶段和网络层协商阶段,详细过程如下:
1.通信双方开始建立PPP链路时,先进入到Establish阶段。
2.在Establish阶段,进行LCP协商:协商通信双方的MRU(Maximum Receive Unit,最大接收单元)、认证方式和魔术字(Magic Number)等选项。协商成功后进入Opened状态,表示底层链路已建立。
3.如果配置了认证,将进入Authenticate阶段。否则直接进入Network阶段。
4.在Authenticate阶段,会根据连接建立阶段协商的认证方式进行链路认证。认证方式有两种:PAP和CHAP。如果认证成功,进入Network阶段,否则进入Terminate阶段,拆除链路,LCP状态转为Down。
5.在Network阶段,PPP链路进行NCP协商。通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。最常见的NCP协议是IPCP,用来协商IP参数。
6.在Terminate阶段,如果所有的资源都被释放,通信双方将回到Dead阶段。
PPP运行过程中,可以随时中断连接,物理链路断开、认证失败、超时定时器时间到、管理员通过配置关闭连接等动作都可能导致链路进入Terminate阶段。
2.4 LCP报文格式
PPP报文可由Protocol字段标识不同类型的PPP报文。例如,当Protocol字段为0xC021时,代表是LCP报文。此时又由Code字段标识不同类型LCP报文
PPP帧格式:
Flag字段标识一个物理帧的起始和结束,该字节为二进制序列01111110(0X7E)。
PPP帧的Address字段字节固定为11111111 (0XFF),是一个广播地址。
PPP数据帧的Control字段默认为00000011(0X03),表明为无序号帧。
帧校验序列(FCS)字段是个16 bit的校验和,用于检查PPP帧的完整性。
Protocol字段用来说明PPP所封装的协议报文类型,0XC021代表LCP报文,0XC023代表PAP报文,0XC223代表CHAP报文。
Information字段包含Protocol字段中指定协议的内容,该字段的最大长度被称为最大接收单元MRU,缺省值为1500。
当Protocol字段为0XC021时,Information结构如下:
Identifier字段为1个字节,用来匹配请求和响应。
Length域的值就是该LCP报文的总字节数据。
Data字段则承载各种TLV(Type/Length/Value)参数用于协商配置选项,包括最大接收单元,认证协议等等。
LCP报文携带的一些常见的配置参数有MRU、认证协议和魔术字。
在VRP(Versatile Routing Platform,通用路由平台)平台上,MRU参数使用接口上配置的MTU(Maximum Transmission Unit,最大传输单元)值来表示。
常用的PPP认证协议有PAP和CHAP,一条PPP链路的两端可以使用不同的认证协议认证对端,但是被认证方必须支持认证方要求使用的认证协议并正确配置用户名和密码等认证信息。
LCP使用魔术字来检测链路环路和其他异常情况。魔术字是随机产生的一个数字,随机机制需要保证两端产生相同魔术字的可能性几乎为0。
Configure-Request 配置请求报文
Configure-Ack 配置成功报文
Configure-Nak 配置参数需协商
Configure-reject 配置参数不识别
2.5 LCP协商过程 - 正常协商
LCP协商由不同的LCP报文交互完成。协商由任意一方发送Configure-Request报文发起。如果对端接收此报文且参数匹配,则通过回复Configure-Ack响应协商成功。
R1和R2使用串行链路相连,运行PPP协议。当物理层链路变为可用状态之后,R1和R2使用LCP协商链路参数。
本例中,R1首先发送一个Configure-Request报文,此报文中包含R1上配置的链路层参数。当R2收到此Configure-Request报文之后,如果R2能识别并接受此报文中的所有参数,则向R1回应一个Configure-Ack报文。同样的,R2也需要向R1发送Configure-Request报文,使R1检测R2上的参数是不是可接受的。
R1在没有收到Configure-Ack报文的情况下,会每隔3秒重传一次Configure-Request报文,如果连续10次发送Configure-Request报文仍然没有收到Configure-Ack报文,则认为对端不可用,停止发送Configure-Request报文。
2.6 LCP协商过程 - 参数不匹配
在LCP报文交互中出现LCP参数不匹配时,接收方回复Configure-Nak响应告知对端修改参数然后重新协商。
当R2收到R1发送的Configure-Request报文之后,如果R2能识别此报文中携带的所有链路层参数,但是认为部分或全部参数的取值不能接受,即参数的取值协商不成功,则R2需要向R1回应一个Configure-Nak报文。
在这个Configure-Nak报文中,只包含不能接受的链路层参数,并且此报文所包含的链路层参数将被修改为R2上可以接受的取值(或取值范围)。
在收到Configure-Nak报文之后,R1需要根据此报文中的链路层参数重新选择本地配置的其他参数,并重新发送一个Configure-Request。
2.7 LCP协商过程 - 参数不识别
在LCP报文交互中出现LCP参数不识别时,接收方回复Configure-Reject响应告知对端删除不识别的参数然后重新协商。
当R2收到R1发送的Configure-Request报文之后,如果R2不能识别此报文中携带的部分或全部链路层参数,则R2需要向R1回应一个Configure-Reject报文。在此Configure-Reject报文中,只包含不能被识别的链路层参数。
在收到Configure-Reject报文之后,R1需要向R2重新发送一个Configure-Request报文,在新的Configure-Request报文中,不再包含不被对端(R2)识别的参数。
2.8 PPP认证模式 - PAP
链路协商成功后,进行认证协商(此过程可选)。认证协商有两种模式,PAP和CHAP。
PAP认证双方有两次握手。协商报文以明文的形式在链路上传输。
LCP协商完成后,认证方要求被认证方使用PAP进行认证。
PAP认证协议为两次握手认证协议,密码以明文方式在链路上发送,过程如下:
被认证方将配置的用户名和密码信息使用Authenticate-Request报文以明文方式发送给认证方。
认证方收到被认证方发送的用户名和密码信息之后,根据本地配置的用户名和密码数据库检查用户名和密码信息是否匹配;如果匹配,则返回Authenticate-Ack报文,表示认证成功。否则,返回Authenticate-Nak报文,表示认证失败。
2.9 PPP认证模式 - CHAP
CHAP认证双方有三次握手。协商报文被加密后再在链路上传输。
LCP协商完成后,认证方要求被认证方使用CHAP进行认证。
CHAP认证过程需要三次报文的交互。过程如下:
认证方主动发起认证请求,认证方向被认证方发送Challenge报文,报文内包含随机数(Random)和ID。
被认证方收到此Challenge报文之后,进行一次加密运算,运算公式为MD5{ ID+随机数+密码},意思是将Identifier、随机数和密码三部分连成一个字符串,然后对此字符串做MD5运算,得到一个16 Byte长的摘要信息,然后将此摘要信息和端口上配置的CHAP用户名一起封装在Response报文中发回认证方。
认证方接收到被认证方发送的Response报文之后,按照其中的用户名在本地查找相应的密码信息,得到密码信息之后,进行一次加密运算,运算方式和被认证方的加密运算方式相同;然后将加密运算得到的摘要信息和Response报文中封装的摘要信息做比较,相同则认证成功,不相同则认证失败。
使用CHAP认证方式时,被认证方的密码是被加密后才进行传输的,这样就极大的提高了安全性。
加密算法声明
使用加密算法时,MD5(数字签名场景和口令加密)加密算法安全性低,存在安全风险,在协议支持的加密算法选择范围内,建议使用更安全的加密算法,例如AES/RSA(2048位以上)/SHA2/HMAC-SHA2。
2.10 NCP协商 - 静态IP地址协商
PPP认证协商后,双方进入NCP协商阶段,协商在数据链路上所传输的数据包的格式与类型。以常见的IPCP协议为例,它分为静态IP地址协商和动态IP地址协商。
静态IP地址协商需要手动在链路两端配置IP地址。
NCP主要用来建立和配置不同的网络层协议,协商在该数据链路上所传输的数据包的格式与类型。常见的有IPCP等。
静态IP地址商过程如下:
每一端都要发送Configure-Request报文,在此报文中包含本地配置的IP地址;
每一端接收到此Configure-Request报文之后,检查其中的IP地址,如果IP地址是一个合法的单播IP地址,而且和本地配置的IP地址不同(没有IP冲突),则认为对端可以使用该地址,回应一个Configure-Ack报文。
2.11 NCP协商 - 动态IP地址协商
动态IP地址协商支持PPP链路一端为对端配置IP地址。
动态协商IP地址的过程如下:
R1向R2发送一个Configure-Request报文,此报文中会包含一个IP地址0.0.0.0,表示向对端请求IP地址;
R2收到上述Configure-Request报文后,认为其中包含的地址(0.0.0.0)不合法,使用Configure-Nak回应一个新的IP地址10.1.1.1;
R1收到此Configure-Nak报文之后,更新本地IP地址,并重新发送一个Configure-Request报文,包含新的IP地址10.1.1.1;
R2收到Configure-Request报文后,认为其中包含的IP地址为合法地址,回应一个Configure-Ack报文;
同时,R2也要向R1发送Configure-Request报文请求使用地址10.1.1.2,R1认为此地址合法,回应Configure-Ack报文。
2.12 PPP基础配置命令
1.配置接口封装PPP协议
[Huawei-Serial0/0/0] link-protocol ppp
在接口视图下,将接口封装协议改为ppp,华为串行接口默认封装协议为ppp。
2.配置协商超时时间间隔
[Huawei-Serial0/0/0] ppp timer negotiate seconds
在PPP LCP协商过程中,本端设备会向对端设备发送LCP协商报文,如果在指定协商时间间隔内没有收到对端的应答报文,则重新发送。
2.13 PAP认证配置命令
1.配置验证方以PAP方式认证对端
[Huawei-aaa] local-user user-name password { cipher | irreversible-cipher } password
[Huawei-aaa] local-user user-name service-type ppp
[Huawei-Serial0/0/0] ppp authentication-mode pap
配置验证方以PAP方式认证对端,首先需要通过AAA将被验证方的用户名和密码加入本地用户列表,然后选择认证模式。
2.配置被验证方以PAP方式被对端认证
[Huawei-Serial0/0/0] ppp pap local-user user-name password { cipher | simple } password
配置本地被对端以PAP方式验证时,本地发送PAP用户名和口令。
2.14 CHAP认证配置命令
1.配置验证方以CHAP方式认证对端
[Huawei-aaa] local-user user-name password { cipher | irreversible-cipher } password
[Huawei-aaa] local-user user-name service-type ppp
[Huawei-Serial0/0/0] ppp authentication-mode chap
2.配置被验证方以CHAP方式被对端认证
[Huawei-Serial0/0/0] ppp chap user user-name
[Huawei-Serial0/0/0] ppp chap password { cipher | simple } password
配置本地用户名,配置本地被对端以CHAP方式验证时的口令。
2.15 配置举例 - PAP认证
实验要求:
在R1与R2之间的PPP链路上启用PAP认证功能;
将R1配置为认证方;
将R2配置为被认证方。
R1的配置如下:
[R1]aaa #添加待认证用户信息
[R1-aaa]local-user huawei password cipher huawei123
[R1-aaa]local-user huawei service-type ppp
#指定认证用户业务类型
[R2]interface Serial 1/0/0
[R1-Serial1/0/0]link-protocol ppp
[R1-Serial1/0/0]ppp authentication-mode pap
#指定认证模式为PAP
[R1-Serial1/0/0]ip address 10.1.1.1 30
R2的配置如下:
[R2]interface Serial 1/0/0
[R2-Serial1/0/0]link-protocol ppp
[R2-Serial1/0/0]ppp pap local-user huawei password cipher huawei123 #添加PPP认证的用户信息
[R2-Serial1/0/0]ip address 10.1.1.2 30
2.16 配置举例 - CHAP认证
实验要求:
在R1与R2之间的PPP链路上启用CHAP认证功能;
将R1配置为认证方;
将R2配置为被认证方。
R1的配置如下:
[R1]aaa #添加待认证用户信息
[R1-aaa]local-user huawei password cipher huawei123
[R1-aaa]local-user huawei service-type ppp
#指定认证用户业务类型
[R1]interface Serial 1/0/0
[R1-Serial1/0/0]link-protocol ppp
[R1-Serial1/0/0]ppp authentication-mode chap
#指定认证模式为CHAP
R2的配置如下:
[R2]interface Serial 1/0/0
[R2-Serial1/0/0]link-protocol ppp
[R2-Serial1/0/0]ppp chap user huawei
[R2-Serial1/0/0]ppp chap password cipher huawei123
#添加PPP认证的用户信息
PPP协议原理与配置-课堂笔记
3.PPPoE原理与配置
3.1 什么是PPPoE
PPPoE(PPP over Ethernet,以太网承载PPP协议)是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。
PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势,又可以利用PPP协议实现认证、计费等功能。
运营商希望把一个站点上的多台主机连接到同一台远程接入设备,同时接入设备能够提供与拨号上网类似的访问控制和计费功能。在众多的接入技术中,把多个主机连接到接入设备的比较经济的方法就是以太网,而PPP协议可以提供良好的访问控制和计费功能,于是产生了在以太网上传输PPP报文的技术,即PPPoE。
PPPoE利用以太网将大量主机组成网络,通过一个远端接入设备接入因特网,并运用PPP协议对接入的每个主机进行控制,具有适用范围广、安全性高、计费方便的特点。
3.2 PPPoE应用场景
PPPoE实现了在以太网上提供点到点的连接。PPPoE客户端与PPPoE服务器端之间建立PPP会话,封装PPP数据报文,为以太网上的主机提供接入服务,实现用户控制和计费,在企业网络与运营商网络中应用广泛。
PPPoE的常见应用场景有家庭用户拨号上网、企业用户拨号上网等。
3.3 PPPoE会话建立
PPPoE的会话建立有三个阶段,PPPoE发现阶段、PPPoE会话阶段和PPPoE终结阶段。
3.4 PPPoE报文
PPPoE报文封装在Ethernet帧中,Ethernet中各字段解释如下:
DMAC:表示目的设备的MAC地址,通常为以太网单播目的地址或者以太网广播地址(0xFFFFFFFF)。
SMAC:表示源设备的以太网MAC地址。
Eth-Type:表示协议类型字段,当值为0x8863时表示承载的是PPPoE发现阶段的报文。当值为0x8864时表示承载的是PPPoE会话阶段的报文。
PPPoE字段中的各个字段解释如下:
VER:表示PPPoE版本号,值为0x01。
Type:表示类型,值为0x01。
Code:表示PPPoE报文类型,不同取值标识不同的PPPoE报文类型。
PPPoE会话ID,与以太网SMAC和DMAC一起定义了一个PPPoE会话。
Length:表示PPPoE报文的长度。
3.5 PPPoE发现阶段
PPPoE协议发现有四个步骤:客户端发送请求、服务端响应请求、客户端确认响应和建立会话。
1.PPPoE客户端在本地以太网中广播一个PADI报文,此PADI报文中包含了客户端需要的服务信息。
PADI报文的目的MAC地址是一个广播地址,Code字段为0x09,Session ID字段为0x0000。
所有PPPoE服务器端收到PADI报文之后,会将报文中所请求的服务与自己能够提供的服务进行比较。
2.如果服务器端可以提供客户端请求的服务,就会回复一个PADO报文。
PADO报文的目的地址是发送PADI报文的客户端MAC地址,Code字段为0x07,Session ID字段为0x0000。
3.客户端可能会收到多个PADO报文,此时将选择最先收到的PADO报文对应的PPPoE服务器端,并发送一个PADR报文给这个服务器端。
PADR报文的目的地址是选中的服务器端的MAC地址,Code字段为0x19,Session ID字段为0x0000。
4.PPPoE服务器端收到PADR报文后,会生成一个唯一的Session ID来标识和PPPoE客户端的会话,并发送PADS报文。
PADS报文的目的地址是PPPoE客户端的MAC地址,Code字段为0x65,Session ID字段是PPPoE服务器端为本PPPoE会话产生的Session ID。
会话建立成功后,PPPoE客户端和服务器端进入PPPoE会话阶段。
3.6 PPPoE会话阶段
PPPoE会话阶段会进行PPP协商,分为LCP协商、认证协商、NCP协商三个阶段。
PPPoE会话阶段可分为两部分:PPP协商阶段和PPP报文传输阶段。
PPPoE Session上的PPP协商和普通的PPP协商方式一致,分为LCP、认证、NCP三个阶段。
LCP阶段主要完成建立、配置和检测数据链路连接。
LCP协商成功后,开始进行认证,认证协议类型由LCP协商结果决定。
认证成功后,PPP进入NCP阶段,NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP地址和DNS服务器地址等。
PPPoE Session的PPP协商成功后,就可以承载PPP数据报文。在这一阶段传输的数据包中必须包含在发现阶段确定的Session ID并保持不变。
3.7 PPPoE会话终结阶段
当PPPoE客户端希望关闭连接时,会向PPPoE服务器端发送一个PADT报文,用于关闭连接。
同样,如果PPPoE服务器端希望关闭连接时,也会向PPPoE客户端发送一个PADT报文。
3.8 PPPoE基础配置
1.通过拨号规则来配置发起PPPoE会话的条件
[Huawei] dialer-rule
2.配置拨号接口用户名,此用户名必须与对端服务器用户名相同
[Huawei-Dialer1]dialer user username
3.将接口置于一个拨号访问组
[Huawei-Dialer1]dialer-group group-number
4.指定当前拨号接口使用的拨号绑定
[Huawei-Dialer1]dialer-bundle number
5.将物理端口与dialer-bundle进行绑定
[Huawei-Ethernet0/0/0]pppoe-client dial-bundle-number number
3.9 配置实例 - PPPoE客户端
实验要求:
将R1设置为PPPoE客户端,R2为PPPoE服务器端;
在R1上配置PPPoE客户端拨号接口;
在R1上配置PPPoE客户端拨号接口的认证功能;
R1上的拨号接口获取PPPoE服务器端分配的IP地址;
R1通过拨号接口可以访问服务器端。
1.创建拨号接口并配置被认证方用户名和密码:
[R1]dialer-rule
[R1-dialer-rule]dialer-rule 1 ip permit
[R1-dialer-rule]quit
[R1]interface dialer 1
[R1-Dialer1] dialer user enterprise
[R1-Dialer1] dialer-group 1
[R1-Dialer1] dialer bundle 1
[R1-Dialer1] ppp chap user enterprise@huawei
[R1-Dialer1] ppp chap password cipher huawei123
[R1-Dialer1] ip address ppp-negotiate
2.将拨号接口绑定出接口:
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]pppoe-client dial-bundle-number 1
[R1-GigabitEthernet0/0/1]quit
3.配置本端到达服务器端的缺省路由:
[R1]ip route-static 0.0.0.0 0.0.0.0 dialer 1
PPPoE客户端配置包括三个步骤。
第一步配置一个拨号接口。
dialer-rule命令用于进入Dialer-rule视图,在该视图下,可以通过拨号规则来配置发起PPPoE会话的条件。
interface dialer number命令用来创建并进入Dialer接口。
dialer user user-name命令用于配置对端用户名,这个用户名必须与对端服务器上的PPP用户名相同。
dialer-group group-number命令用来将接口置于一个拨号访问组。
dialer bundle number命令用来指定Dialer接口使用的Dialer bundle。设备通过Dialer bundle将物理接口与拨号接口关联起来。
第二步是在接口上将Dialer Bundle和接口绑定:
pppoe-client dial-bundle-number number命令来实现Dialer Bundle和物理接口的绑定,用来指定PPPoE会话对应的Dialer Bundle,其中number是与PPPoE会话相对应的Dialer Bundle编号。
第三步配置一条缺省静态路由,该路由允许在路由表中没有相应匹配表项的流量都能通过拨号接口发起PPPoE会话。
3.10 配置实例 - PPPoE服务器端
实验要求:
在PPPoE服务器端上创建为客户端分配IP的地址池;
PPPoE服务器端完成PPPoE客户端认证并分配合法的IP地址。
1.创建地址池与虚拟模板:
[R2]ip pool pool1 #创建地址池,指定分配的IP地址和网关
[R2-ip-pool-pool1]network 192.168.1.0 mask 255.255.255.0
[R2-ip-pool-pool1]gateway-list 192.168.1.254
[R2]interface Virtual-Template 1 #创建虚拟模板接口
[R2-Virtual-Template1]ppp authentication-mode chap
[R2-Virtual-Template1]ip address 192.168.1.254 255.255.255.0
[R2-Virtual-Template1]remote address pool pool1
2.将物理接口与虚拟模板绑定:
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]pppoe-server bind virtual-template 1
[R2-GigabitEthernet0/0/0]quit
3.创建访问用户:
[R2]aaa #添加认证用户信息
[R2-aaa]local-user huawei1 password cipher huawei123
[R2-aaa]local-user huawei1 service-type ppp
验证:
1.查看拨号接口详细信息
<R1>display interface Dialer 1
Dialer1 current state: UP
Line protocol current state: UP (spoofing)
Description: HUAWEI, AR Series, Dialer1 Interface
Route Port, The Maximum Transmit Unit is 1500, Hold timer is 10(sec)
Internet Address is negotiated, 192.168.10.254/32
Link layer protocol is PPP
LCP initial
Physical is Dialer
Bound to Dialer1:0:
Dialer1:0 current state : UP
Line protocol current state : UP
Link layer protocol is PPP
LCP opened, IPCP opened
2.查看PPPoE-client会话初始状态信息
[R1]display pppoe-client session summary
PPPoE Client Session:
ID Bundle Dialer Intf Client-MAC Server-MAC State
0 1 1 GE0/0/1 54899876830c 000000000000 IDLE
3.查看PPPoE-client会话建立状态信息
[R1]display pppoe-client session summary
PPPoE Client Session:
ID Bundle Dialer Intf Client-MAC Server-MAC State
1 1 1 GE0/0/1 00e0fc0308f6 00e0fc036781 UP
PPPoE服务器端配置
interface virtual-template命令用来创建虚拟模板接口,或者进入一个已经创建的虚拟模板接口视图。
pppoe-server bind命令用来配置PPPoE接入用户上线绑定的虚拟模板接口。
display interface dialer[ number ]命令用于查看拨号接口的配置,便于定位拨号接口的故障。
LCP opened, IPCP opened表示链路的状态完全正常。
display pppoe-client session summary命令用于查看PPPoE客户端的PPPoE会话状态和统计信息。
ID表示PPPoE会话ID,Bundle ID和Dialer ID的值与拨号参数配置有关。
Intf表示客户端侧协商时的物理接口。
State表示PPPoE会话的状态,包括以下四种:
1.IDLE表示当前会话状态为空闲。
2.PADI表示PPPoE会话处于发现阶段,并已经发送PADI报文。
3.PADR表示PPPoE会话处于发现阶段,并已经发送PADR报文。
4.UP表示PPPoE会话建立成功。
PPPoE原理与配置-课堂实验1
PPPoE原理与配置-课堂实验2
PPPoE原理与配置-课堂笔记
4.广域网技术的发展
4.1 广域网技术的历史演进
早期广域网常用的数据链路层协议包括PPP、HDLC和ATM等。后期随着全网IP化的演进,基于IP技术的Internet快速普及,但基于最长匹配算法的IP技术必须使用软件查找路由,转发性能低下,因此IP技术的转发性能成为当时限制网络发展的瓶颈。
MPLS(Multiprotocol Label Switching,多协议标记交换)最初是为了提高路由器的转发速度而提出的。与传统IP路由方式相比,它在数据转发时,只在网络边缘解析IP报文头,后续节点只基于标签转发,而不用在每一跳都解析IP报文头,减少软件处理流程节约了处理时间。
随着路由器性能的提升,路由查找速度已经不是阻碍网络发展的瓶颈。这使得MPLS在提高转发速度方面不再具备明显的优势。但是MPLS支持多层标签和转发平面面向连接的特性,使其在VPN(Virtual Private Network,虚拟专用网)、TE(Traffic Engineering,流量工程)、QoS(Quality of Service,服务质量)等方面得到广泛应用。
4.2 传统IP路由转发
传统的IP转发采用的是逐跳转发。数据报文经过每一台路由器,都要被解封装查看报文网络层信息,然后根据路由最长匹配原则查找路由表指导报文转发。各路由器重复进行解封装查找路由表和再封装的过程,所以转发性能低。
4.3 MPLS标签转发
MPLS是一种IP骨干网技术。
MPLS是一种隧道技术,在IP路由和控制协议的基础上,向网络层提供面向连接的交换。能够提供较好的QoS保证。
MPLS标签指导报文转发的过程中,使用本地标签查找替代传统IP转发的路由查找,大大提高转发效率。
MPLS转发过程中使用的标签,既可以通过手工静态配置,又可以通过动态标签分发协议分配。
4.4 MPLS转发存在的问题
MPLS的标签分发有静态和动态两种方式,均面临着不同的问题:
静态标签分发为手工配置。随着网络规模不断的扩大,网络拓扑易变化,静态手工配置标签不适应大型网络需求。
动态标签分发的问题,一方面在于部分动态标签协议本身并无算路能力,需依赖IGP进行路径计算,同时控制面协议复杂,设备之间需要发送大量的消息来维持邻居及路径状态,浪费了链路带宽及设备资源。另一方面部分标签分发协议虽然支持流量工程,但是配置复杂,不支持负载分担,需要大量协议报文维护路径正常工作;同时每台设备都是独立存在,只知道自己的状态,设备之间需要交互信令报文,也会浪费链路带宽及设备资源。
4.5 Segment Routing简介
为解决传统IP转发和MPLS转发的问题,业界提出了SR (Segment Routing,分段路由)。SR的转发机制有很大改进,主要体现在以下几个方面:
1.基于现有协议进行扩展:
扩展后的IGP/BGP具有标签分发能力,因此网络中无需其他任何标签分发协议,实现协议简化。
2.引入源路由机制:
基于源路由机制,支持通过控制器进行集中算路。
3.由业务来定义网络:
业务驱动网络,由应用提出需求(时延、带宽、丢包率等),控制器收集网络拓扑、带宽利用率、时延等信息,根据业务需求计算显式路径。
4.6 Segment Routing转发原理
SR将网络路径分成一个个的段(Segment),并且为这些段分配SID(Segment ID)。
SID的分配对象有两种,转发节点或者链路。本例中转发节点SID 1600X,X为路由器编号;链路SID 160XX,XX表示链路两端的节点编号。
链路和网络节点的SID有序排列形成段序列(Segment List),它代表一条转发路径。SR由源节点将段序列编码在数据包头部,随数据包传输。SR的本质是指令,指引报文去哪里和怎么去。
4.7 SR的部署方式
SR的部署方式分可以以有无控制器配合区分。控制器配合方式由控制器收集信息,预留路径资源和计算路径,最后将结果下发到头结点,是更为推荐的部署方式。
4.8 Segment Routing的应用
SR可以简易的指定的报文转发路径,在现网中可以为不同业务定义不同的路径。例如本例定义了数据下载、视频和语音三条显式路径,实现了业务驱动网络。设备由控制器纳管,支持路径实时快速发放。
思考
(多选)下面关于PPP描述正确的是 ( )。
A. PPP支持将多条物理链路捆绑为逻辑链路以增大带宽。
B. PPP支持明文和密文认证。
C. PPP扩展性不好,不可以部署在以太网链路上。
D. 对物理层而言, PPP支持异步链路和同步链路。
E. PPP支持多种网络层协议,如IPCP等。
(单选)PPPoE客户端向服务器端发送PADI报文,服务器端回复PADO报文。其中, PADO报文是一个什么帧 ? ( )
A. 组播 B. 广播 C. 单播 D. 任播
(单选)以太网数据帧的Length/Type字段取以下哪个值时,表示承载的是PPPoE发现阶段的报文 ? ( )
A. 0x0800 B. 0x8864 C. 0x8863 D. 0x0806
总结
通过回顾早期广域网技术的类型和应用,介绍了广域网发展演进的历程,从开始的电路交换网络到后期IP化网络,再到MPLS标签交换网,最后引出SR网络,随着网络技术的不断的发展,网络也变得越来高效智能。
介绍PPP协议的工作原理,包括PPP链路建立的参数协商,认证协商以及网络层协商的过程。重点分析了PPP的两个认证协议PAP和CHAP,描述了它们的工作过程以及不同之处。
PPP协议在当前最主要的应用是PPPoE,通过分析PPPoE会话的发现、协商、建立及拆除的过程,全面了解PPPoE的工作机制及配置。
SRv6技术与产业白皮书
https://e.huawei.com/cn/material/networking/ne-router/c1e6ffbba36147a1aab69f16a7cf0499
(多媒体)Segment Routing IPv6进阶系列-01 产生背景
https://support.huawei.com/enterprise/zh/doc/EDOC1100086272?idPath=24030814%7C9856750%7C22715517%7C9858933%7C21134118
(多媒体)Segment Routing IPv6进阶系列-02 基本原理
https://support.huawei.com/enterprise/zh/doc/EDOC1100086273?idPath=24030814%7C9856750%7C22715517%7C9858933%7C21134118
16.AAA原理与配置
前言
对于任何网络,用户管理都是最基本的安全管理要求之一。
AAA(Authentication, Authorization, and Accounting)是一种管理框架,它提供了授权部分用户访问指定资源和记录这些用户操作行为的安全机制。因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS (Remote Authentication Dial-In User Service)协议。
本章将介绍AAA基本概念、AAA的实现方式、AAA的基本配置以及常见AAA应用场景。
课程能力
学完本课程后,您将能够:
掌握AAA的基本原理
描述AAA的应用场景
描述RADIUS的基本原理
掌握AAA的基本配置
1.AAA概述
1.1 AAA基本概念
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。
授权(Authorization):授权用户可以使用哪些服务。
计费(Accounting):记录用户使用网络资源的情况。
网络运营商(ISP)需要验证家庭宽带用户的账号密码之后才允许其上网,并记录用户的上网时长或上网流量等内容,这就是AAA技术最常见的应用场景。
1.2 AAA常见架构
AAA常见网络架构中包括用户、NAS(Network Access Server)、AAA服务器(AAA Server)。
NAS基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于对该域下的用户进行认证、授权和计费。
每个用户都属于某一个域。用户属于哪个域是由用户名中的域名分隔符@后的字符串决定。例如,如果用户名是user1@domain1,则用户属于domain1域。如果用户名后不带有@,则用户属于系统缺省域。
1.3 认证(Authentication)
AAA支持的认证方式有:不认证,本地认证,远端认证。
AAA支持三种认证方式:
不认证:完全信任用户,不对用户身份进行合法性检查。鉴于安全考虑,这种认证方式很少被采用。
本地认证:将本地用户信息(包括用户名、密码和各种属性)配置在NAS上,此时NAS就是AAA Server。本地认证的优点是处理速度快、运营成本低;缺点是存储信息量受设备硬件条件限制。这种认证方式常用于对用户登录设备进行管理,如Telnet,FTP用户等。
远端认证:将用户信息(包括用户名、密码和各种属性)配置在认证服务器上。支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端,与RADIUS服务器或HWTACACS服务器进行通信。
1.4 授权(Authorization)
AAA支持的授权方式有:不授权,本地授权,远端授权。
授权信息包括:所属用户组、所属VLAN、ACL编号等。
AAA授权功能赋予用户访问的特定网络或设备的权限。AAA支持以下授权方式:
不授权:不对用户进行授权处理。
本地授权:根据NAS上对应域下的配置进行授权。
远端授权:支持由RADIUS服务器授权或HWTACAS服务器授权。
HWTACACS授权,使用HWTACACS服务器对所有用户授权。
RADIUS授权,只支持对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
当采用远端授权时,用户可以同时从授权服务器和NAS获取授权信息。NAS配置的授权信息优先级比授权服务器下发的授权信息低。
1.5 计费(Accouting)
计费功能用于监控授权用户的网络行为和网络资源的使用情况。
AAA支持的计费方式有:不计费,远端计费。
AAA支持以下两种计费方式:
不计费:为用户提供免费上网服务,不产生相关活动日志。
远端计费:支持通过RADIUS服务器或HWTACACS服务器进行远端计费。
1.6 AAA实现协议 - RADIUS
AAA可以用多种协议来实现,最常用的是RADIUS协议。
AAA可以用多种协议来实现,最常用的是RADIUS协议。RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,可以实现对用户的认证、计费和授权功能。
通常由NAS作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
RADIUS服务器一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。RADIUS使用UDP(User Datagram Protocol)作为传输协议,并规定UDP端口1812、1813分别作为认证、计费端口,具有良好的实时性;同时也支持重传机制和备用服务器机制,从而具有较好的可靠性。
RADIUS客户端与服务器间的消息流程如下:
1.当用户接入网络时,用户发起连接请求,向RADIUS客户端(即NAS)发送用户名和密码。
2.RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文。
3.RADIUS服务器接收到合法的请求后,完成认证,并把所需的用户授权信息返回给客户端;对于非法的请求,RADIUS服务器返回认证失败的信息给客户端。
4.RADIUS客户端通知用户认证是否成功。
5.RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求报文。
6.RADIUS服务器返回计费开始响应报文,并开始计费。
7.用户开始访问网络资源。
8.当用户不再想要访问网络资源时,用户发起下线请求,请求停止访问网络资源。
9.RADIUS客户端向RADIUS服务器提交计费结束请求报文。
10.RADIUS服务器返回计费结束响应报文,并停止计费。
11.RADIUS客户端通知用户访问结束,用户结束访问网络资源。
1.7 AAA常见应用场景
2.AAA配置实现
2.1 AAA配置
1.进入AAA视图
[Huawei] aaa
从系统视图进入AAA视图进行配置
2.创建认证方案
[Huawei-aaa] authentication-scheme authentication-scheme-name
创建认证方案并进入相应的认证方案视图
[Huawei-aaa-authentication-scheme-name] authentication-mode { hwtacacs | local | radius }
配置认证方式,local指定认证方式为本地认证。缺省情况下,认证方式为本地认证。
3.创建domain并绑定认证方案
[Huawei-aaa] domain domain-name
创建domain并进入相应的domain视图
[Huawei-aaa-domain-name] authentication-scheme authentication-scheme-name
在相应的domain视图下绑定认证方案
4.创建用户
[Huawei-aaa] local-user user-name password cipher password
创建本地用户,并配置本地用户的密码:
如果用户名中带域名分隔符,如@,则认为@前面的部分是用户名,后面部分是域名
如果没有@,则整个字符串为用户名,域为默认域
5.配置用户接入类型
[Huawei-aaa] local-user user-name service-type { { terminal | telnet | ftp | ssh | snmp | http } | ppp | none }
设置本地用户的接入类型。缺省情况下,本地用户关闭所有的接入类型。
6.配置用户级别
[Huawei-aaa] local-user user-name privilege level level
指定本地用户的权限级别。
authorization-scheme authorization-scheme-name命令用来配置域的授权方案。缺省情况下,域下没有绑定授权方案。
authentication-mode { hwtacacs | local | radius }命令用来配置当前授权方案使用的授权方式。缺省情况下,授权模式为本地授权方式。
2.2 AAA配置案例
在设备R1上配置用户密码和级别,使主机A可以通过配置的用户名和密码远程登录到设备。
[R1]aaa
[R1-aaa]local-user huawei password cipher huawei123
[R1-aaa]local-user huawei service-type telnet
[R1-aaa]local-user huawei privilege level 0
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
AAA中,每个域都会与相应的认证授权和计费方案相关联,当前为默认域。
[R1]display domain name default_admin
Domain-name: default_admin
Domain-state: Active
Authentication-scheme-name: default
Accounting-scheme-name: default
Authorization-scheme-name: -
Service-scheme-name: -
RADIUS-server-template: -
HWTACACS-server-template: -
User-group: -
display domain [ name domain-name ]命令用来查看域的配置信息。
Domain-state为Active表示激活状态。
如果用户名后不带有@,则用户属于系统缺省域,华为设备支持两种缺省域:
default域为普通用户的缺省域。
default_admin域为管理用户的缺省域。
思考
AAA支持的认证、授权和计费方式分别有哪几种?
当创建本地认证的普通用户时,没有关联自定义的域,则该用户属于哪个域?
总结
AAA技术为了提高企业网络的安全性,防止非法用户登录,需要对企业内部员工,外部客户等进行身份的认证,可访问资源的授权和上网为行为的监控。
认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。
授权(Authorization):授权用户可以使用哪些服务。
计费(Accounting):记录用户使用网络资源的情况。
AAA技术可以本地实现,也可以通过远端服务器实现。
AAA可以用多种协议来实现,最常用的是RADIUS协议。
AAA原理与配置-课堂笔记
AAA原理与配置-课堂作业
17.WLAN概述
前言
以有线电缆或光纤作为传输介质的有线局域网应用广泛,但有线传输介质的铺设成本高,位置固定,移动性差。随着人们对网络的便携性和移动性的要求日益增强,传统的有线网络已经无法满足需求,WLAN (Wireless Local Area Network,无线局域网)技术应运而生。
目前,WLAN已经成为一种经济、高效的网络接入方式。
本课程介绍了WLAN在不同阶段的发展历程,其次介绍了WLAN技术相关的概念以及常见组网架构的工作原理,最后介绍WLAN常见组网架构的基本配置和WLAN技术的未来发展趋势。
课程能力
学完本课程后,您将能够:
了解WLAN的基本概念和802.11协议族的发展历史
区分WLAN的不同设备
区分WLAN的不同组网方式
掌握WLAN工作流程
完成WLAN的基本配置
1.WLAN概述
1.1 什么是WLAN
WLAN即Wireless LAN(无线局域网),是指通过无线技术构建的无线局域网络。WLAN广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络。
通过WLAN技术,用户可以方便地接入到无线网络,并在无线网络覆盖区域内自由移动,彻底摆脱有线网络的束缚。
WLAN即Wireless LAN(无线局域网),是指通过无线技术构建的无线局域网络。
这里指的无线技术不仅仅包含Wi-Fi,还有红外、蓝牙、ZigBee等等。
通过WLAN技术,用户可以方便地接入到无线网络,并在无线网络覆盖区域内自由移动,摆脱有线网络的束缚。
无线网络根据应用范围可分为WPAN、WLAN、WMAN、WWAN。
WPAN (Wireless Personal Area Network):个人无线网络,常用技术有:Bluetooth、Zigbee、NFC、HomeRF、UWB。
WLAN (Wireless Local Area Network):无线局域网,常用技术有:Wi-Fi。(WLAN中也会使用WPAN的相关技术。)
WMAN (Wireless Metropolitan Area Network):无线城域网,常用技术有:WiMax。
WWAN (Wireless Wide Area Network):无线广域网,常用技术有:GSM、CDMA、WCDMA、TD-SCDMA、LTE、5G。
WLAN的优点:
网络使用自由:凡是自由空间均可连接网络,不受限于线缆和端口位置。在办公大楼、机场候机厅、度假村、商务酒店、体育场馆、咖啡店等场所尤为适用。
网络部署灵活:对于地铁、公路交通监控等难于布线的场所,采用WLAN进行无线网络覆盖,免去或减少了繁杂的网络布线,实施简单,成本低,扩展性好。
1.2 WLAN与Wi-Fi
WLAN:
WLAN是计算机网络和无线通信技术 (Wi-Fi)相结合的产物,是有线网络的无线化延伸。
Wi-Fi:
Wi-Fi是一种基于IEEE 802.11标准的无线局域网技术。
在日常生活中,常会将Wi-Fi当做802.11的同义词。
Wi-Fi也是Wi-Fi联盟制造商的商标,并做为Wi-Fi产品的品牌认证。
Wi-Fi联盟成立于1999年,当时的名称叫做Wireless Ethernet Compatibility Alliance(WECA)。在2002年10月,正式改名为Wi-Fi Alliance。
WLAN广义上是指以无线电波、激光、红外线等来代替有线局域网中的部分或全部传输介质所构成的网络。
本课程介绍的WLAN特指通过Wi-Fi技术基于802.11标准系列,利用高频信号(例如2.4GHz或5GHz)作为传输介质的无线局域网。
1.3 Wi-Fi的起源及发展历程
1.4 Wi-Fi在办公场景的发展趋势
第一阶段:初级移动办公时代,无线作为有线的补充
WaveLAN技术的应用可以被认为是最早的企业WLAN雏形。早期的Wi-Fi技术主要应用在类似“无线收音机”这样的物联设备上,但是随着802.11a/b/g标准的推出,无线连接的优势越来越明显。企业和消费者开始认识到Wi-Fi技术的应用潜力,无线热点开始出现在咖啡店、机场和酒店。
Wi-Fi也在这一时期诞生,它是Wi-Fi联盟的商标,该联盟最初的目的是为了推动802.11b标准的制定,并在全球范围内推行Wi-Fi产品的兼容认证。随着标准的演进和遵从标准产品的普及,人们往往将Wi-Fi等同于802.11标准。
802.11标准是众多WLAN技术中的一种,只是802.11标准已成为业界的主流技术,所以人们提到WLAN时,通常是指使用Wi-Fi技术的WLAN。
这是WLAN应用的第一阶段,主要是解决“无线接入”的问题,核心价值是摆脱有线的束缚,设备在一定范围内可以自用移动,用无线网络延伸了有线网络。但是这一阶段的WLAN对安全、容量和漫游等方面没有明确的诉求,接入点(Access Point,AP)的形态还是单个接入点,用于单点组网覆盖。通常称单个接入点架构的AP为FAT AP。
1.5 IEEE 802与TCP/IP对等模型
WLAN是一种基于IEEE 802.11标准的无线局域网技术。
802.11标准聚焦在TCP/IP对等模型的下两层:
数据链路层:主要负责信道接入、寻址、数据帧校验、错误检测、安全机制等内容。
物理层:主要负责在空口(空中接口)中传输比特流,例如规定所使用的频段等。
1.6 IEEE 802.11标准与Wi-Fi的世代
IEEE 802.11第一个版本发表于1997年,其中定义了介质访问接入控制层和物理层。
此后,更多的基于802.11的补充标准逐渐被定义,最为熟知的是影响Wi-Fi代际演进的标准:802.11b、802.11a、802.11g、802.11n、802.11ac等。
在IEEE 802.11ax标准推出之际,Wi-Fi联盟将新Wi-Fi规格的名字简化为Wi-Fi 6,主流的IEEE 802.11ac改称Wi-Fi 5、IEEE 802.11n改称Wi-Fi 4,其他世代以此类推。
2.WLAN的基本概念
2.1 基本的WLAN组网架构
WLAN网络架构分有线侧和无线侧两部分,有线侧是指AP上行到Internet的网络使用以太网协议,无线侧是指STA到AP之间的网络使用802.11协议。
无线侧接入的WLAN网络架构为集中式架构。从最初的FAT AP架构,演进为AC+FIT AP架构。
FAT AP (胖AP)架构
这种架构不需要专门的设备集中控制就可以完成无线用户的接入、业务数据的加密和业务数据报文的转发等功能,因此又称为自治式网络架构。
适用范围:家庭
特点:AP独立工作,需要单独配置,功能较为单一,成本低。
缺点:随着WLAN覆盖面积增大,接入用户增多,需要部署的FAT AP数量也会增多,但FAT AP是独立工作的,缺少统一的控制设备,因此管理维护这些FAT AP就十分麻烦。
AC+FIT AP (瘦AP)架构
这种架构中,AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的物理层功能、接受AC的管理等简单功能。
适用范围:大中型企业
特点:AP需要配合AC使用,由AC统一管理和配置,功能丰富,对网络运维人员的技能要求高。
注:在本课程中,我们主要以AC+FIT AP架构为例进行课程的讲解。
2.2 WLAN在家庭网络中的应用
家用无线局域网主要采用FAT AP架构
1.华为无线局域网产品形态丰富,覆盖室内室外、家庭企业等各种应用场景,提供高速、安全和可靠的无线网络连接。
2.家庭Wi-Fi路由器:
通过把有线网络信号转换成无线信号,供家庭电脑、手机等设备接收,实现无线上网功能。
主要为FAT AP。
2.3 WLAN在园区网络中的应用
企业无线局域网主要采用FIT AP架构
1.华为的企业AP,以AirEngine 5760-10为例支持FAT AP、FIT AP和云AP三种工作模式,根据网络规划的需求,可以灵活地在多种模式下切换。
2.在本组网中AP工作在FIT AP模式,用户接入、AP上线、认证、路由、AP管理、安全协议、QoS等功能需要同AC配合完成。
企业WLAN产品:
无线接入点 (AP, Access Point)
一般支持FAT AP(胖AP)、FIT AP(瘦AP)和云管理AP三种工作模式,根据网络规划的需求,可以灵活地在多种模式下切换。
FAT AP:适用于家庭,独立工作,需单独配置,功能较为单一,成本低。独立完成用户接入、认证、数据安全、业务转发和QoS等功能。
FIT AP:适用于大中型企业,需要配合AC使用,由AC统一管理和配置,功能丰富,对网络维护人员的技能要求高。用户接入、AP上线、认证、路由、AP管理、安全协议、QoS等功能需要同AC配合完成。
云管理:适用于中小型企业,需要配合云管理平台使用,由云管理平台统一管理和配置,功能丰富,即插即用,对网络维护人员的技能要求低。
无线接入控制器 (AC, Access Controller)
一般位于整个网络的汇聚层,提供高速、安全、可靠的WLAN业务。
提供大容量、高性能、高可靠性、易安装、易维护的无线数据控制业务,具有组网灵活、绿色节能等优势。
PoE与PoE交换机
1.PoE(Power over Ethernet,以太网供电)是指通过以太网网络进行供电,也被称为基于局域网的供电系统PoL(Power over LAN)或有源以太网(Active Ethernet)。
2.PoE允许电功率通过传输数据的线路或空闲线路传输到终端设备。
3.在WLAN网络中,可以通过PoE交换机对AP设备进行供电。
通过PoE供电方式,可以有效的解决IP电话、AP、便携设备充电器、刷卡机、摄像头、数据采集等终端的集中式电源供电问题。对于这些终端而言,有了PoE后不再需要考虑其室内电源系统布线的问题,在接入网络的同时就可以实现对设备的供电。
2.4 有线侧组网概念:AP-AC组网方式
AP和AC间的组网分为:二层组网和三层组网。
AP-AC组网:二层是指AP和AC之间是二层组网,三层是指AC和AP之间是三层组网;二层组网AP可以通过二层广播,或者DHCP过程,即插即用上线;三层网络下,AP无法直接发现AC,需要通过DHCP或DNS方式动态发现,或者配置静态IP。
在实际组网中,一台AC可以连接几十甚至几百台AP,组网一般比较复杂。比如在企业网络中,AP可以布放在办公室,会议室,会客间等场所,而AC可以安放在公司机房。这样,AP和AC之间的网络就是比较复杂的三层网络。因此,在大型组网中一般采用三层组网。
2.5 有线侧组网概念:AC连接方式
AC的连接方式分为:直连式组网和旁挂式组网。
AC连接方式:直连模式下AC部署在用户的转发路径上,旁挂则相反;直连模式用户流量要经过AC,会消耗AC转发能力,旁挂一般流量不会经过AC。
直连式组网:
采用这种组网方式,对AC的吞吐量以及处理数据能力比较高,否则AC会是整个无线网络带宽的瓶颈。
但用此种组网,组网架构清晰,组网实施起来简单。
旁挂式组网:
由于实际组网中,大部分不是早期就规划好无线网络,无线网络的覆盖架设大部分是后期在现有网络中扩展而来。而采用旁挂式组网就比较容易进行扩展,只需将AC旁挂在现有网络中,比如旁挂在汇聚交换机上,就可以对终端AP进行管理。所以此种组网方式使用率比较高。
在旁挂式组网中,AC只承载对AP的管理功能,管理流封装在CAPWAP隧道中传输。数据业务流可以通过CAPWAP数据隧道经AC转发,也可以不经过AC转发直接转发,后者无线用户业务流经汇聚交换机由汇聚交换机传输至上层网络。
2.6 有线侧组网概念:CAPWAP协议
什么是CAPWAP隧道
CAPWAP(Control And Provisioning of Wireless Access Points Protocol Specification,无线接入点控制和配置协议):该协议定义了如何对AP进行管理、业务配置,即AC通过CAPWAP隧道来实现对AP的集中管理和控制。
CAPWAP隧道的功能
AP与AC间的状态维护。
AC通过CAPWAP隧道对AP进行管理、业务配置下发。
当采用隧道转发模式时,AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互。
为满足大规模组网的要求,需要对网络中的多个AP进行统一管理,IETF成立了CAPWAP工作组,最终制定CAPWAP协议。该协议定义了AC如何对AP进行管理、业务配置,即AC与AP间首先会建立CAPWAP隧道,然后AC通过CAPWAP隧道来实现对AP的集中管理和控制。
CAPWAP是基于UDP进行传输的应用层协议。
CAPWAP协议在传输层运输两种类型的消息:
业务数据流量,封装转发无线数据帧 。——通过CAPWAP数据隧道。
管理流量,管理AP和AC之间交换的管理消息 。——通过CAPWAP控制隧道。
CAPWAP数据和控制报文基于不同的UDP端口发送:
管理流量端口为UDP端口5246。
业务数据流量端口为UDP端口5247。
注:国际互联网工程任务组(The Internet Engineering Task Force,简称 IETF)。
总体流程
CAPWAP协议介绍
http://www.wjhsh.net/dier-gaohe-p-14828467.html
2.7 无线侧组网概念:无线通信系统
无线通信系统中,信息可以是图像、文字、声音等。信息需要先经过信源编码转换为方便于电路计算和处理的数字信号,再经过信道编码和调制,转换为无线电波发射出去。
信源编码:将最原始的信息,经过对应的编码,转换为数字信号的过程。
信道编码:是一种对信息纠错、检错的技术,可以提升信道传输的可靠性。信息在无线传输过程中容易受到噪声的干扰,导致接收信息出错,引入信道编码能够在接收设备上最大程度地回复信息,降低误码率。
调制:将数字信号叠加到高频振荡电路产生的高频信号上,才能通过天线转换成无线电波发射出去。叠加动作就是调制的过程。
信道:传输信息的通道,无线信道就是空间中的无线电波。
空中接口:简称空口,无线信道使用的接口。发送设备和接收设备使用接口和信道连接,对于无线通信,接口是不可见的,连接着不可见的空间。
2.8 无线侧组网概念:无线电磁波
无线电磁波是频率介于3赫兹和约300G赫兹之间的电磁波,也叫作射频电波,或简称射频、射电。无线电技术将声音讯号或其他信号经过转换,利用无线电磁波传播。
WLAN技术就是通过无线电磁波在空间中传输信息。当前我们使用的频段是:
2.4GHz频段 (2.4GHz~2.4835GHz);
5GHz频段(5.15GHz~5.35GHz,5.725GHz~5.85GHz)。
极低频 (3Hz–30Hz):潜艇通讯或直接转换成声音。
超低频 (30Hz–300Hz) :直接转换成声音或交流输电系统(50-60赫兹)。
特低频 (300Hz–3KHz) :矿场通讯或直接转换成声音。
甚低频 (3KHz–30KHz) :直接转换成声音、超声、地球物理学研究。
低频 (30KHz–300KHz) :国际广播。
中频 (300KHz–3MHz) :调幅(AM)广播、海事及航空通讯。
高频 (3MHz–30MHz) :短波、民用电台。
甚高频 (30MHz–300MHz) :调频(FM)广播、电视广播、航空通讯。
特高频 (300MHz–3GHz) :电视广播、无线电话通讯、无线网络、微波炉。
超高频 (3GHz–30GHz) :无线网络、雷达、人造卫星接收。
极高频 (30GHz–300GHz) :射电天文学、遥感、人体扫描安检仪。
300GHz以上:红外线、可见光、紫外线、射线等。
2.9 无线侧组网概念:无线信道
信道是传输信息的通道,无线信道就是空间中的无线电磁波。无线电磁波无处不在,如果随意使用频谱资源,那将带来无穷无尽的干扰问题,所以无线通信协议除了要定义出允许使用的频段,还要精确划分出频率范围,每个频率范围就是信道。
WLAN中,AP的工作状态会受到周围环境的影响。例如,当相邻AP的工作信道存在重叠频段时,某个AP的功率过大会对相邻AP造成信号干扰。
通过射频调优功能,动态调整AP的信道和功率,可以使同一AC管理的各AP的信道和功率保持相对平衡,保证AP工作在最佳状态。
着色机制
BSS Color着色机制, 在PHY报文头中添加BSS color字段对来自不同BSS的数据进行“ 染色”,为每个通道分配一种颜色, 该颜色标识一组不应干扰的基本服务集( BSS) ,接收端可以及早识别同频传输干扰信号并停止接收,避免浪费收发机时间。如果颜色相同,则认为是同一BSS内的干扰信号,发送将推迟;如果颜色不同,则认为两者之间无干扰,两个Wi-Fi设备可同信道同频并行传输。
2.10 无线侧组网概念:BSS/SSID/BSSID
基本服务集BSS (Basic Service Set):
一个AP所覆盖的范围。
在一个BSS的服务区域内,STA可以相互通信。
基本服务集标识符BSSID (Basic Service SetIdentifier):
是无线网络的一个身份标识,用AP的MAC地址表示。
服务集标识符SSID (Service Set Identifier):
是无线网络的一个身份标识,用字符串表示。
为了便于用户辨识不同的无线网络,用SSID代替BSSID。
BSS (Basic Service Set):
无线网络的基本服务单元,通常由一个AP和若干STA组成,BSS是802.11网络的基本结构。由于无线介质共享性,BSS中报文收发需携带BSSID(MAC地址)。
基本服务集标识符BSSID(Basic Service Set Identifier):
AP上的数据链路层MAC地址。
终端要发现和找到AP,需要通过AP的一个身份标识,这个身份标识就是BSSID。
为了区分BSS,要求每个BSS都有唯一的BSSID,因此使用AP的MAC地址来保证其唯一性。
服务集标识符SSID(Service Set Identifier):
表示无线网络的标识,用来区分不同的无线网络。例如,当我们在笔记本电脑上搜索可接入无线网络时,显示出来的网络名称就是SSID。
如果一个空间部署了多个BSS,终端就会发现多个BSSID,只要选择加入的BSSID就行。但是做选择的是用户,为了使得AP的身份更容易辨识,则用一个字符串来作为AP的名字。这个字符串就是SSID。
2.11 无线侧组网概念:VAP
早期的AP只支持1个BSS,如果要在同一空间内部署多个BSS,则需要安放多个AP,这不但增加了成本,还占用了信道资源。为了改善这种状况,现在的AP通常支持创建出多个虚拟AP (Virtual Access Point, VAP)。
虚拟接入点VAP:
VAP就是在一个物理实体AP上虚拟出的多个AP。每一个被虚拟出的AP就是一个VAP。每个VAP提供和物理实体AP一样的功能。
每个VAP对应1个BSS。这样1个AP,就可以提供多个BSS,可以再为这些BSS,设置不同的SSID。
虚拟接入点VAP(Virtual Access Point):
是AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。
VAP简化了WLAN的部署,但不意味VAP越多越好,要根据实际需求进行规划。一味增加VAP的数量,不仅要让用户花费更多的时间找到SSID,还会增加AP配置的复杂度。而且VAP并不等同于真正的AP,所有的VAP都共享这个AP的软件和硬件资源,所有VAP的用户都共享相同的信道资源,所以AP的容量是不变的,并不会随着VAP数目的增加而成倍的增加。
2.12 无线侧组网概念:ESS
为了满足实际业务的需求,需要对BSS的覆盖范围进行扩展。同时用户从一个BSS移动到另一个BSS时,不能感知到SSID的变化,则可以通过扩展服务集ESS实现。
扩展服务集ESS (Extend Service Set):
由多个使用相同SSID的BSS组成,是采用相同的SSID的多个BSS组成的更大规模的虚拟BSS。
ESS (Extend Service Set):
采用相同的SSID的多个BSS组成的更大规模的虚拟BSS。
用户可以带着终端在ESS内自由移动和漫游,不管用户移动到哪里,都可以认为使用的同一个WLAN。
WLAN漫游:
指STA在同属一个ESS的不同AP的覆盖范围之间移动且保持用户业务不中断的行为。
WLAN网络的最大优势就是STA不受物理介质的影响,可以在WLAN覆盖范围内四处移动并且能够保持业务不中断。同一个ESS内包含多个AP设备,当STA从一个AP覆盖区域移动到另外一个AP覆盖区域时,利用WLAN漫游技术可以实现STA用户业务的平滑切换。
3.WLAN的组网架构
3.1 FAT AP架构
基本概念:
AP (Access Point,接入点):为STA(Station,无线终端)提供基于802.11标准的无线接入服务,起到有线网络和无线网络的连接作用。
FAT AP(胖AP):能够独立自治、自我管理的AP。FAT AP架构又称为自治式网络架构。
架构特点:
当部署单个AP时,FAT AP具备较好的独立性,不需要另外部署集中控制设备,部署起来很方便,成本较低廉。
但是,在企业中,随着WLAN覆盖面积增大,接入用户增多,需要部署的FAT AP数量也会增多。而每个FAT AP又是独立工作的,缺少统一的控制设备,因此管理、维护这些FAT AP就变得十分麻烦。
所以对于企业而言,不推荐FAT AP架构,更合适的选择是诸如下面要介绍的AC+FIT AP等架构。
3.2 AC+FIT AP架构
基本概念:
AC (Access Controller,接入控制器):在AC+FIT AP网络架构中,AC对无线局域网中的所有FIT AP进行控制和管理。
AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制。
FIT AP(瘦AP)负责802.11报文的加解密、802.11的物理层功能、接受AC的管理、空口的统计等简单功能。
AC和AP之间使用的通信协议是CAPWAP。
相比于FAT AP架构,AC+FIT AP架构的优点如下:
配置与部署更容易
安全性更高
更新与扩展容易
AC和AP之间使用的通信协议是CAPWAP协议,CAPWAP协议定义的主要内容有:
AP自动发现AC,AC对AP进行安全认证,AP从AC获取软件,AP从AC获得初始和动态配置等。通过该协议,AP和AC之间建立起CAPWAP隧道。CAPWAP隧道有两种:控制隧道和数据隧道。控制隧道主要传输控制报文(也称管理报文,是AC管理控制AP的报文);数据隧道主要传输数据报文。CAPWAP隧道可以进行数据传输层安全(Datagram Transport Layer Security,DTLS)加密,因此传输的报文更加安全。
相比于FAT AP架构,AC+FIT AP架构的优点如下。
配置与部署:通过AC进行集中地网络配置和管理,不再需要对每个AP进行单独配置操作,同时对整网AP进行信道、功率的自动调整,免去了烦琐的人工调整过程。
安全性:由于FAT AP无法进行统一的升级操作,无法保证所有AP版本都有最新的安全补丁,而AC+FIT AP架构主要的安全能力是在AC上的,软件更新和安全配置仅需在AC上进行,从而可以快速进行全局安全设置;同时,为了防止加载恶意代码,设备会对软件进行数字签名认证,增强了更新过程的安全性。AC也实现了FAT AP架构无法支持的一些安全功能,包括病毒检测、统一资源定位地址(Uniform Resource Locater,URL)过滤、状态检测防火墙等高级安全特性。
更新与扩展:架构的集中管理模式使得同一AC下的AP有着相同的软件版本。当需要更新时,先由AC获取更新包或补丁,然后由AC统一更新AP版本。AP和AC的功能拆分也减少了对AP版本的频繁更新,有关用户认证、网管和安全等功能的更新只需在AC上进行。
3.3 敏捷分布式AP
架构特点:
AP的一种特殊架构,将AP拆分为中心AP和敏分AP两部分,中心AP可管理多台敏分AP,在适用的场景下,成本低,覆盖好。敏捷分布式AP可以用于FAT AP、AC+FIT AP、云管理架构。
适用范围:房间分布密集的场景。
3.4 下一代园区网络:智简园区(中小型园区网络)
基本概念:
通过云管理平台,可以实现任意地点对设备进行集中的管理和维护,大大降低网络部署运维成本。
适用范围:中小型企业。
优势 (对比AC+FIT AP架构):
即插即用,自动开局,减少网络部署成本。
统一运维:所有云管理网元统一在云管理平台上进行监控和管理。
工具化:通常情况下,云解决方案会在云端提供各类工具,有效降低各类开支。
传统方案的弊端:
在部署网络时,传统网络解决方案会存在部署成本高、后期运维困难等问题,尤其是对于分支站点数量多、站点地域分散的企业,这些问题尤为明显。
云管理架构:
云管理架构可以很好的解决以上问题,通过云管理平台,实现任意地点对设备进行集中的管理和维护,大大降低网络部署运维成本。
当云AP布放完成后,无须网络管理员到安装现场对云AP进行软件调试,云AP上电后即可自动连接到指定的云管理平台加载指定的配置文件、软件包和补丁文件等系统文件,实现云AP零配置上线。网络管理员可以随时随地通过云管理平台统一给AP下发配置,使业务批量配置更快捷。
3.5 下一代园区网络:智简园区(大中型园区网络)
架构特点:
AP需要配合iMaster NCE使用,由iMaster NCE统一管理和配置,功能丰富,进一步和有线网络融合,结合大数据和AI技术实现园区网络的极简、智慧和安全。
适用范围:大中型企业。
4.WLAN的工作原理
4.1 WLAN工作流程概述
1. AP上线
2. 配置下发
3. STA接入
4. 数据转发
4.2 WLAN工作流程:步骤1-AP上线
FIT AP需完成上线过程,AC才能实现对AP的集中管理和控制,以及业务下发。AP的上线过程包括如下步骤:
1.AP获取IP地址;
2.AP发现AC并与之建立CAPWAP隧道;
3.AP接入控制;
4.AP版本升级;
5.CAPWAP隧道维持。
AP上线--AP获取IP地址
AP必须获得IP地址才能够与AC通信,WLAN网络才能够正常工作。
AP获取IP地址的方式包括以下:
静态方式:登录到AP设备上手工配置IP地址。
DHCP方式:通过配置DHCP服务器,使AP作为DHCP客户端向DHCP服务器请求IP地址。
典型方案:
部署专门的DHCP Server为AP分配IP地址。
使用AC的DHCP服务为AP分配IP地址。
使用网络中的设备,例如核心交换机为AP分配IP地址。
AP上线--AP获取IP地址:DHCP方式
AP上线--CAPWAP隧道建立
Step1:AP动态发现ACCAPWAP隧道可以实现:
AP与AC间的状态维护;
AC对AP进行管理和业务配置下发;
业务数据经过CAPWAP隧道集中到AC上转发。
AP发现AC阶段:
静态方式:AP上预先配置了AC的静态IP地址列表。AP上线时,AP分别发送Discovery Request单播报文到所有预配置列表对应IP地址的AC。然后AP通过接收到AC返回的Discovery Response报文,选择一个AC开始建立CAPWAP隧道。
动态方式:分为DHCP方式、DNS方式和广播方式,其中本章主要介绍DHCP方式和广播方式。
AP上线--Step1:AP动态发现AC
DHCP方式:
通过DHCP的四步交互过程,获取AC的IP地址:
在没有预配置AC的IP列表时,则启动AP动态AC发现机制。通过DHCP获取IP地址,并通过DHCP协议中的Option返回AC地址列表(在DHCP服务器上配置DHCP响应报文中携带Option 43,且Option 43携带AC的IP地址列表)。
首先是AP发送DHCP Discover广播报文,请求DHCP Server响应,在DHCP服务器侦听到DHCP Discover报文后,它会从没有租约的地址范围中,选择最前面的闲置IP,连同其他TCP/IP设定,响应AP一个DHCP Offer报文,该报文中会包含一个租约期限的信息。
由于DHCP Offer报文既可以是单播报文,也可以是广播报文,当AP端收到多台DHCP Server的响应时,只会挑选其中一个Offer(通常是最先抵达的那个),然后向网络中发送一个DHCP Request广播报文,告诉所有的Offer,并重新发送DHCP,将指定接收哪一台服务器提供的IP地址。
当DHCP Server接收到AP的Request报文之后,会向AP发送一个DHCP Ack响应,该报文中携带的信息包括了AP的IP地址,租约期限,网关信息,以及DNS Server IP等,以此确定租约的正式生效,就此完成DHCP的四步交互工作。
AP上线--Step2:建立CAPWAP隧道
AP与AC关联,完成CAPWAP隧道建立。包括数据隧道和控制隧道:
数据隧道:AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。同时还可以选择对数据隧道进行数据传输层安全DTLS(Datagram Transport Layer Security)加密,使能DTLS加密功能后,CAPWAP数据报文都会经过DTLS加解密。
控制隧道:通过CAPWAP控制隧道实现AP与AC之间的管理报文的交互。同时还可以选择对控制隧道进行数据传输层安全DTLS加密,使能DTLS加密功能后,CAPWAP控制报文都会经过DTLS加解密。
AP上线--AP接入控制
在收到AP发送的Join Request报文之后,AC会进行AP合法性的认证,认证通过则添加相应的AP设备。
AC上支持三种对AP的认证方式:
MAC认证
序列号(SN)认证
不认证
AC上添加AP的方式有三种:
离线导入AP:预先配置AP的MAC地址和SN,当AP与AC连接时,如果AC发现AP和预先增加的AP的MAC地址和SN匹配,则AC开始与AP建立连接。
自动发现AP:当配置AP的认证模式为不认证或配置AP的认证模式为MAC或SN认证且将AP加入AP白名单中,则当AP与AC连接时,AP将被AC自动发现并正常上线。
手工确认未认证列表中的AP:当配置AP的认证模式为MAC或SN认证,但AP没有离线导入且不在已设置的AP白名单中,则该AP会被记录到未授权的AP列表中。需要用户手工确认后,此AP才能正常上线。
AP上线--AP的版本升级
AP的版本升级
在AC上给AP升级方式:
自动升级:主要用于AP还未在AC中上线的场景。通常先配置好AP上线时的自动升级参数,然后再配置AP接入。AP在之后的上线过程中会自动完成升级。如果AP已经上线,配置完自动升级参数后,任意方式触发AP重启,AP也会进行自动升级。但相比于自动升级,使用在线升级方式升级能够减少业务中断的时间。
AC模式:AP升级时从AC上下载升级版本,适用于AP数量较少时的场景。
FTP模式:AP升级时从FTP服务器上下载升级版本,适用于网络安全性要求不是很高的文件传输场景中,采用明文传输数据,存在安全隐患。
SFTP模式:AP升级时从SFTP服务器上下载升级版本,适用于网络安全性要求高的场景,对传输数据进行了严格加密和完整性保护。
在线升级:主要用于AP已经在AC中上线并已承载了WLAN业务的场景。
定时升级:主要用于AP已经在AC中上线并已承载了WLAN业务的场景。通常指定在网络访问量少的时间段升级。
AP上线--CAPWAP隧道维持
数据隧道维持:
AP与AC之间交互Keepalive (UDP端口号为5247)报文来检测数据隧道的连通状态。
控制隧道维持:
AP与AC交互Echo (UDP端口号为5246)报文来检测控制隧道的连通状态。
AP上线--为确保AP能够上线,AC需预先配置如下内容
域管理模板:
域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。
国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。
配置AC的源接口或源地址:
每台AC都必须唯一指定一个IP地址、VLANIF接口或者Loopback接口,该AC设备下挂接的AP学习到此IP地址或者此接口下配置的IP地址,用于AC和AP间的通信。此IP地址或者接口称为源地址或源接口。
只有为每台AC指定唯一一个源接口或源地址,AP才能与AC建立CAPWAP隧道。
设备支持使用VLANIF接口或Loopback接口作为源接口,支持使用VLANIF接口或Loopback接口下的IP地址作为源地址。
添加AP设备:即配置AP认证模式,AP上线。
添加AP有三种方式:离线导入AP、自动发现AP以及手工确认未认证列表中的AP。
4.4 WLAN工作流程:步骤2-配置下发
AP上线后,会主动向AC发送Configuration Status Request报文,该信息中包含了现有AP的配置,为了做AP的现有配置和AC设定配置的匹配检查。当AP的当前配置与AC要求不符合时,AC会通过Configuration Status Response通知AP。
说明:AP上线后,首先会主动向AC获取当前配置,而后统一由AC对AP进行集中管理和业务配置下发。
配置下发--WLAN业务相关配置 - 配置射频
配置基本射频参数:
AP射频需要根据实际的WLAN网络环境来配置不同的基本射频参数,以使AP射频的性能达到更优。
WLAN网络中,相邻AP的工作信道存在重叠频段时,容易产生信号干扰,对AP的工作状态产生影响。为避免信号干扰,使AP工作在更佳状态,提高WLAN网络质量,可以手动配置相邻AP工作在非重叠信道上。
根据实际网络环境的需求,配置射频的发射功率和天线增益,使射频信号强度满足实际网络需求,提高WLAN网络的信号质量。
实际应用场景中,两个AP之间的距离可能为几十米到几十公里,因为AP间的距离不同,所以AP之间传输数据时等待ACK报文的时间也不相同。通过调整合适的超时时间参数,可以提高AP间的数据传输效率。
基本射频参数可以在AP组射频和AP射频下配置。AP组射频下配置的参数对AP组内所有的AP指定射频生效,AP射频下配置的参数只对单个AP指定的射频生效,且AP射频下配置的参数优先级高于AP组射频下配置的参数。
射频模板:
根据实际的网络环境对射频的各项参数进行调整和优化,使AP具备满足实际需求的射频能力,提高WLAN网络的信号质量。射频模板中各项参数下发到AP后,只有AP支持的参数才会在AP上生效。
可配置的参数包括:射频的类型、射频的速率、射频的无线报文组播发送速率、AP发送Beacon帧的周期等。
配置下发--WLAN业务相关配置 - 配置VAP
数据转发方式:
控制报文是通过CAPWAP的控制隧道转发的,用户的数据报文分为隧道转发(又称为“集中转发”)方式、直接转发(又称为“本地转发”)方式。这部分内容在后面的课程中会详细介绍。
业务VLAN:
由于WLAN无线网络灵活的接入方式,STA可能会在某个地点(例如办公区入口或体育场馆入口)集中接入到同一个WLAN无线网络中,然后漫游到其它AP覆盖的无线网络环境下。
业务VLAN配置为单个VLAN时,在接入STA数众多的区域容易出现IP地址资源不足、而其它区域IP地址资源浪费的情况。
业务VLAN配置为VLAN pool时,可以在VLAN pool中加入多个VLAN,然后通过将VLAN pool配置为VAP的业务VLAN,实现一个SSID能够同时支持多个业务VLAN。新接入的STA会被动态的分配到VLAN pool中的各个VLAN中,减少了单个VLAN下的STA数目,缩小了广播域;同时每个VLAN尽量均匀的分配IP地址,减少了IP地址的浪费。
SSID模板:主要用于配置WLAN网络的SSID名称,还可以配置其他功能,主要包括如下功能:
隐藏SSID功能:用户在创建无线网络时,为了保护无线网络的安全,可以对无线网络名称进行隐藏设置。这样,只有知道网络名称的无线用户才能连接到这个无线网络中。
单个VAP下能够关联成功的最大用户数:单个VAP下接入的用户数越多,每个用户能够使用的平均网络资源就越少,为了保证用户的上网体验,可以根据实际的网络状况配置合理的最大用户接入数。
用户数达到最大时自动隐藏SSID的功能:使能用户数达到最大时自动隐藏SSID的功能后,当WLAN网络下接入的用户数达到最大时,SSID会被隐藏,新用户将无法搜索到SSID。
安全模板:配置WLAN安全策略,可以对无线终端进行身份验证,对用户的报文进行加密,保护WLAN网络和用户的安全。
WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X等,在安全模板中选择其中一种进行配置。
VAP模板:通过配置VAP模板下的参数,使AP实现为STA提供不同无线业务服务的能力。
VAP模板能够引用:SSID模板和安全模板。
4.7 WLAN工作流程:步骤3-STA接入
STA接入--扫描
主动扫描:
携带有指定SSID的主动扫描方式:适用于STA通过主动扫描接入指定的无线网络。
携带空SSID的主动扫描方式:适用于STA通过主动扫描可以获知是否存在可使用的无线服务。
被动扫描:
STA也支持被动扫描搜索无线网络。
被动扫描是指客户端通过侦听AP定期发送的Beacon帧(信标帧,包含:SSID、支持速率等信息)发现周围的无线网络,缺省状态下AP发送Beacon帧的周期为100TUs(1TU=1024us)。
STA接入--链路认证
为了保证无线链路的安全,接入过程中AP需要完成对STA的认证。
802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
开放系统认证:即不认证,任意STA都可以认证成功。
共享密钥认证:STA和AP预先配置相同的共享密钥,验证两边的密钥配置是否相同。如果一致,则认证成功;否则,认证失败。
WLAN需要保障用户接入安全,即保障用户接入无线网络的合法性和安全性,STA接入WLAN网络前需要进行终端身份验证,即链路认证。链路认证通常被认为是终端连接AP并访问WLAN的起点。
共享密钥认证:
STA和AP预先配置相同的共享密钥,AP在链路认证过程验证两边的密钥配置是否相同。如果一致,则认证成功;否则,认证失败。
认证过程:
1.STA向AP发送认证请求(Authentication Request)。
2.AP随即生成一个“挑战短语(Challenge)”发给STA。
3.STA使用预先设置好的密钥加密“挑战短语”(EncryptedChallenge)并发给AP。
4.AP接收到经过加密的“挑战短语”,用预先设置好的密钥解密该消息,然后将解密后的“挑战短语”与之前发送给STA的进行比较。如果相同,认证成功;否则,认证失败。
STA接入--关联
完成链路认证后,STA会继续发起链路服务协商,具体的协商通过Association报文实现。
终端关联过程实质上就是链路服务协商的过程,协商内容包括:支持的速率、信道等。
瘦接入点(FIT AP)架构中关联阶段处理过程:
1.STA向AP发送Association Request请求,请求帧中会携带STA自身的各种参数以及根据服务配置选择的各种参数(主要包括支持的速率、支持的信道、支持的QoS的能力等)。
2.AP收到Association Request请求帧后将其进行CAPWAP封装,并上报AC。
3.AC收到关联请求后判断是否需要进行用户的接入认证,并回应Association Response。
4.AP收到Association Response后将其进行CAPWAP解封装,并发给STA。
STA接入--接入认证
接入认证即对用户进行区分,并在用户访问网络之前限制其访问权限。相对于链路认证,接入认证安全性更高。
主要包含:PSK认证和802.1X认证。
数据加密:
除了用户接入认证外,对数据报文还需要使用加密的方式来保证数据安全,也是在接入认证阶段完成的。数据报文经过加密后,只有持有密钥的特定设备才可以对收到的报文进行解密,其他设备即使收到了报文,也因没有对应的密钥,无法对数据报文进行解密。
STA接入--无线接入安全协议
WLAN安全提供了WEP、WPA、WPA2等安全策略机制。每种安全策略体现了一整套安全机制,包括无线链路建立时的链路认证方式,无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。
WEP(Wired Equivalent Privacy)
有线等效加密WEP协议是由802.11标准定义的,用来保护无线局域网中的授权用户所传输的数据的安全性,防止这些数据被窃听。WEP的核心是采用RC4算法,加密密钥长度有64位、128位和152位,其中有24bit的IV(初始向量)是由系统产生的,所以WLAN服务端和WLAN客户端上配置的密钥长度是40位、104位或128位。WEP加密采用静态的密钥,接入同一SSID下的所有STA使用相同的密钥访问无线网络。
WPA/WPA2 (Wi-Fi Protected Access)
由于WEP共享密钥认证采用的是基于RC4对称流的加密算法,需要预先配置相同的静态密钥,无论从加密机制还是从加密算法本身,都很容易受到安全威胁。为了解决这个问题,在802.11i标准没有正式推出安全性更高的安全策略之前,Wi-Fi联盟推出了针对WEP改良的WPA。WPA的核心加密算法还是采用RC4,在WEP基础上提出了临时密钥完整性协议TKIP(Temporal Key Integrity Protocol)加密算法,采用了802.1X的身份验证框架,支持EAP-PEAP、EAP-TLS等认证方式。随后802.11i安全标准组织又推出WPA2,区别于WPA,WPA2采用安全性更高的区块密码锁链-信息真实性检查码协议CCMP(Counter Mode with CBC-MAC Protocol)加密算法。
为了实现更好的兼容性,在目前的实现中,WPA和WPA2都可以使用802.1X的接入认证、TKIP或CCMP的加密算法,他们之间的不同主要表现在协议报文格式上,在安全性上几乎没有差别。
综上所述,WPA/WPA2安全策略涉及了链路认证阶段、接入认证阶段、密钥协商和数据加密阶段。
STA接入--DHCP
STA获取到自身的IP地址,是STA正常上线的前提条件。
如果STA是通过DHCP方式获取IP地址,可以用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址。一般情况下使用汇聚交换机作为DHCP服务器。
STA接入--用户认证
随着企业网络的应用和发展,病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的企业网络建设思路中,一般认为企业内网是安全的,安全威胁主要来自外界。但是研究证明,80%的网络安全漏洞都存在于网络内部。它们对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪。另外,内部员工在浏览某些网站时,一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中,并且在企业内网传播,产生严重的安全隐患。
因此,随着安全挑战的不断升级,仅通过传统的安全措施已经远远不够。安全模型需要由被动模式向主动模式转变。从根源(终端)彻底解决网络安全问题,提高整个企业的信息安全水平。
4.8 WLAN工作流程:步骤4-数据转发
数据转发--数据转发方式
隧道转发方式:
优点:AC集中转发数据报文,安全性好,方便集中管理和控制。
缺点:业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。
直接转发方式:
优点:数据报文不需要经过AC转发,报文转发效率高,AC所受压力小。
缺点:业务数据不便于集中管理和控制。
5.WLAN的配置实现
5.1 WLAN的基础配置命令 - 配置AP上线
1.配置AC作为DHCP服务器,配置Option 43字段
[AC-ip-pool-pool1] option code [ sub-option sub-code ] { ascii ascii-string | hex hex-string | cipher cipher-string | ip-address ip-address
配置DHCP服务器分配给DHCP客户端的自定义选项。
2.创建域管理模板,并配置国家码
[AC] wlan
[AC-wlan-view]
进入WLAN视图。
[AC-wlan-view] regulatory-domain-profile name profile-name
[AC-wlan-regulate-domain-profile-name]
创建域管理模板,并进入模板视图,若模板已存在则直接进入模板视图。
[AC-wlan-regulate-domain-profile-name] country-code country-code
配置设备的国家码标识。
[AC-wlan-view] ap-group name group-name
[AC-wlan-ap-group-group-name]
创建AP组,并进入AP组视图,若AP组已存在则直接进入AP组视图。
[AC-wlan-ap-group-group-name] regulatory-domain-profile profile-name
将指定的域管理模板引用到AP或AP组。
3.配置源接口或源地址
[AC] capwap source interface { loopback loopback-number | vlanif vlan-id }
配置AC与AP建立CAPWAP隧道的源接口。
[AC] capwap source ip-address ip-address
配置AC的源IP地址。
4.添加AP设备 – 离线导入AP
[AC-wlan-view] ap auth-mode { mac-auth | sn-auth }
配置AP认证模式为MAC地址认证,或SN认证,缺省为MAC地址认证。
[AC-wlan-view] ap-id ap-id [ [ type-id type-id | ap-type ap-type ] { ap-mac ap-mac | ap-sn ap-sn | ap-mac ap-mac ap-sn ap-sn } ]
[AC-wlan-ap-ap-id] ap-name ap-name
离线增加AP设备或进入AP视图,并配置单个AP的名称。
[AC-wlan-view] ap-id 0
[AC-wlan-ap-0] ap-group ap-group
配置AP所加入的组。
6.检查AP上线结果
[AC] display ap { all | ap-group ap-group }}
命令:ap-group name group-name
name group-name:指定AP组的名称。字符串类型,可输入的字符串长度为1~35个字符。可见字符,不能包含“?”、“/”和空格,双引号不能出现在字符串的首尾。
命令:ap-id ap-id [ [ type-id type-id | ap-type ap-type ] { ap-mac ap-mac | ap-sn ap-sn | ap-mac ap-mac ap-sn ap-sn } ]
ap-id:AP设备索引。整数类型,取值范围:0~8191。
type-id type-id:AP设备类型索引。整数类型,取值范围:0~255。
ap-type ap-type:AP设备类型。字符串类型,取值范围为1~31个字符。
ap-mac ap-mac:AP的MAC地址。格式为H-H-H,其中H为4位的十六进制数。
ap-sn ap-sn:AP的序列号。字符串类型,取值范围为1~31个字符,只能包括字母和数字。
5.2 WLAN的基础配置命令 - 配置射频
1.进入射频视图
[AC-wlan-view] ap-id 0
[AC-wlan-ap-0] radio radio-id
[AC-wlan-radio-0]
2.配置指定射频的工作带宽和信道
[AC-wlan-radio-0/0] channel { 20mhz | 40mhz-minus | 40mhz-plus | 80mhz | 160mhz } channel
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-radio-0/0] channel 80+80mhz channel1 channel2
Warning: This action may cause service interruption. Continue?[Y/N]y
配置AP组中所有AP或单个AP指定射频的工作带宽和信道。
3.配置天线的增益
[AC-wlan-radio-0/0] antenna-gain antenna-gain
配置AP组中所有AP或单个AP指定射频的天线增益。
4.配置射频的发射功率
[AC-wlan-radio-0/0] eirp eirp
配置AP组中所有AP或单个AP指定射频的发射功率。
5.配置射频覆盖距离参数
[AC-wlan-radio-0/0] coverage distance distance
配置AP组中所有AP或单个AP指定射频的射频覆盖距离参数。
6.配置射频工作的频段
[AC-wlan-radio-0/0] frequency { 2.4g | 5g }
7.创建射频模板
[AC-wlan-view] radio-2g-profile name profile-name
创建2G射频模板,并进入模板视图,若模板已存在则直接进入模板视图。
8.引用射频模板
[AC-wlan-view] ap-group name group-name
[AC-wlan-ap-group-group-name] radio-2g-profile profile-name radio { radio-id | all }
在AP组中,将指定的2G射频模板引用到2G射频。
命令:radio radio-id
radio-id:射频ID。必须是已存在的射频ID。
命令:
channel { 20mhz | 40mhz-minus | 40mhz-plus | 80mhz | 160mhz } channel
channel 80+80mhz channel1 channel2
20mhz:指定射频的工作带宽为20MHz。
40mhz-minus:指定射频的工作带宽为40MHz Minus。
40mhz-plus:指定射频的工作带宽为40MHz Plus。
80mhz:指定射频的工作带宽为80MHz。
160mhz:指定射频的工作带宽为160MHz。
80+80mhz:指定射频的工作带宽为80+80MHz。
channel/channel1/channel2:指定射频的工作信道,信道基于国家代码和射频模式来进行选择。枚举值类型,取值范围根据国家代码和射频模式来进行选择。
命令:antenna-gain antenna-gain
antenna-gain:天线增益。整数类型,取值范围:0~30,单位:dB。
命令:eirp eirp
eirp:发射功率值。整数形式,取值范围是1~127,单位:dBm。
命令:coverage distance distance
distance:射频覆盖距离参数。每个射频覆盖距离参数对应一组slottime、acktimeout和ctstimeout数值。根据AP间的实际距离配置射频覆盖距离参数后,AP设备根据此参数值调整对应的slottime、acktimeout和ctstimeout数值。整数类型,取值范围:1~400,单位为100m。
命令:frequency { 2.4g | 5g }
缺省情况下,射频0工作在2.4GHz频段,射频2工作在5GHz频段。
命令:radio-2g-profile name profile-name
name profile-name:指定2G射频模板的名称。字符串类型,不区分大小写,可输入的字符串长度为1~35个字符。可见字符,不能包含“?”和空格,双引号不能出现在字符串的首尾。
缺省情况下,系统上存在名为default的2G射频模板。
命令:radio-2g-profile profile-name radio { radio-id | all }
profile-name:指定2G射频模板的名称。必须是已存在的2G射频模板名称。
radio radio-id:指定射频的ID。整数类型,取值范围:0和2。
radio all:指定所有的射频。
5.3 WLAN的基础配置命令 - 配置VAP
1.创建VAP模板
[AC-wlan-view] vap-profile name profile-name
[AC-wlan-vap-prof-profile-name]
创建VAP模板,并进入模板视图,若模板已存在则直接进入模板视图。
2.配置数据转发方式
[AC-wlan-vap-prof-profile-name] forward-mode { direct-forward | tunnel }
配置VAP模板下的数据转发方式,可以是直接转发或隧道转发。
3.配置业务VLAN
[AC] vlan pool pool-name
[AC-vlan-pool-pool-name]
创建VLAN pool并进入VLAN pool视图,如果VLAN pool已存在,直接进入该VLAN pool视图。
[AC-wlan-vap-prof-profile-name] service-vlan { vlan-id vlan-id | vlan-pool pool-name }
配置VAP的业务VLAN。
4.配置安全模板
[AC-wlan-view] security-profile name profile-name
[AC-wlan-sec-prof-profile-name]
创建安全模板或者进入安全模板视图。
缺省情况下,系统已经创建名称为default、default-wds和default-mesh的安全模板。
[AC-wlan-view] vap-profile name profile-name
[AC-wlan-vap-prof-profile-name] security-profile profile-name
在指定VAP模板中引用安全模板。
5.配置SSID模板
[AC-wlan-view] ssid-profile name profile-name
[AC-wlan-ssid-prof-profile-name]
创建SSID模板,并进入模板视图,若模板已存在则直接进入模板视图。
缺省情况下,系统上存在名为default的SSID模板。
[AC-wlan-ssid-prof-profile-name] ssid ssid
配置当前SSID模板中的服务组合识别码SSID(Service Set Identifier)。
缺省情况下,SSID模板中的SSID为HUAWEI-WLAN。
[AC-wlan-view] vap-profile name profile-name
[AC-wlan-vap-prof-profile-name] ssid-profile profile-name
在指定VAP模板中引用SSID模板。
6.引用VAP模板
[AC-wlan-view] ap-group name group-name
[AC-wlan-ap-group-group-name] vap-profile rofile-name wlan wlan-id radio { radio-id | all } [ service-vlan { vlan-id vlan-id | vlan-pool pool-name } ]
在AP组中,将指定的VAP模板引用到射频。
7.查看VAP信息
[AC] display vap { ap-group ap-group-name | { ap-name ap-name | ap-id ap-id } [ radio radio-id ] } [ ssid ssid ]
[AC] display vap { all | ssid ssid }
查看业务型VAP的相关信息。
命令:ssid ssid
ssid:指定SSID的名称。文本类型,区分大小写,可输入的字符串长度为1~32字符,支持中文字符,也支持中英文字符混合,不支持制表符。
如果想设置SSID首字符为空格,则输入的SSID内容应该以“"”开头以“"”结束,如" hello",其中前后的“"”占用两个字符。如果想设置SSID首字符为“"”,则需要在“"”前输入转义字符“\”,如\"hello,其中“\”占用一个字符。
命令:ssid ssid
ssid:指定SSID的名称。文本类型,区分大小写,可输入的字符串长度为1~32字符,支持中文字符,也支持中英文字符混合,不支持制表符。
如果想设置SSID首字符为空格,则输入的SSID内容应该以“"”开头以“"”结束,如" hello",其中前后的“"”占用两个字符。如果想设置SSID首字符为“"”,则需要在“"”前输入转义字符“\”,如\"hello,其中“\”占用一个字符。
命令:display vap { ap-group ap-group-name | { ap-name ap-name | ap-id ap-id } [ radio radio-id ] } [ ssid ssid ]
ap-group ap-group-name:查看指定AP组下的所有业务型VAP的相关信息。必须是已存在的AP组名称。
ap-name ap-name:查看指定名称的AP的业务型VAP的相关信息。必须是已存在的AP名称。
ap-id ap-id:查看指定ID的AP的业务型VAP的相关信息。必须是已存在的AP ID。
radio radio-id:查看指定射频的业务型VAP的相关信息。整数类型,取值范围:0~2。
ssid ssid:查看指定SSID的业务型VAP的相关信息。必须是已存在的SSID。
命令:display vap { all | ssid ssid }
all:查看所有业务型VAP的相关信息。
5.4 案例:旁挂二层组网隧道转发
业务需求
企业用户通过WLAN接入网络,以满足移动办公的最基本需求。
组网需求
AC组网方式:旁挂二层组网。
DHCP部署方式:
AC作为DHCP服务器为AP分配IP地址。
汇聚交换机S2作为DHCP服务器为STA分配IP地址。
业务数据转发方式:隧道转发。
配置思路:
配置AP、AC和周边网络设备之间实现网络互通。
配置AP上线。
创建AP组,用于将需要进行相同配置的AP都加入到AP组,实现统一配置。
配置AC的系统参数,包括国家码、AC与AP之间通信的源接口。
配置AP上线的认证方式并离线导入AP,实现AP正常上线。
配置WLAN业务参数,实现STA访问WLAN网络功能。
配置网络互通:
1、S1、S2、AC创建对应VLAN及接口。
S1配置:
[S1] vlan batch 100
[S1] interface gigabitethernet 0/0/1
[S1-GigabitEthernet0/0/1] port link-type trunk
[S1-GigabitEthernet0/0/1] port trunk pvid vlan 100
[S1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[S1-GigabitEthernet0/0/1] quit
[S1] interface gigabitethernet 0/0/2
[S1-GigabitEthernet0/0/2] port link-type trunk
[S1-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
[S1-GigabitEthernet0/0/2] quit
2、配置DHCP服务器为STA和AP分配IP地址。
# 在AC上配置VLANIF100接口为AP提供IP地址。
[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.100.1 24
[AC-Vlanif100] dhcp select interface
# 在S2上配置VLANIF101接口为STA提供IP地址,并指定10.23.101.1作为STA的默认网关地址。
[S2] dhcp enable
[S2] interface vlanif 101
[S2-Vlanif101] ip address 10.23.101.1 24
[S2-Vlanif101] dhcp select interface
配置AP上线:
1、创建AP组。
[AC] wlan
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] quit
2、创建域管理模板,并配置AC的国家码。
AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code cn
[AC-wlan-regulate-domain-default] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit
3、配置AC的源接口。
[AC] capwap source interface vlanif 100
4、在AC上离线导入AP。
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
Warning: This operation may cause AP reset. Continue? [Y/N]:y
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-0] quit
在AC上离线导入AP
将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360,并且根据AP的部署位置为AP配置名称,便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域,命名此AP为area_1。
查看AP上线:
将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。
[AC-wlan-view] display ap all
Total AP information:
nor : normal [1]
Extra information:
P : insufficient power supply
-------------------------------------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime ExtraInfo
-------------------------------------------------------------------------------------------------------------------------
0 60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN nor 0 10S -
-------------------------------------------------------------------------------------------------------------------------
Total: 1
display ap命令输出信息描述:
ID:AP ID。
MAC:AP MAC地址。
Name:AP名称。
Group:AP所属的AP组名称。
IP:AP的IP地址。在NAT场景下,AP在私网侧,AC在公网侧,该值为AP私网侧的IP地址。可通过命令display ap run-info查看AP公网侧IP地址。
Type:AP类型。
State:AP状态。
normal:AP正常状态,指AP在AC上成功上线。
commit-failed:AP上线后WLAN业务配置下发失败状态。
download:AP正在升级状态。
fault:AP上线失败状态。
idle:AP和AC建链前的初始状态。
STA:AP上接入的终端用户数。
Uptime:AP已上线时长。
ExtraInfo:额外的信息。P表示设备供电不足。
配置WLAN业务参数:
1、创建名为“wlan-net”的安全模板,并配置安全策略。
[AC-wlan-view] security-profile name wlan-net
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase a1234567 aes
[AC-wlan-sec-prof-wlan-net] quit
2、创建名为“wlan-net”的SSID模板,并配置SSID名称为“wlan-net”。
[AC-wlan-view] ssid-profile name wlan-net
[AC-wlan-ssid-prof-wlan-net] ssid wlan-net
[AC-wlan-ssid-prof-wlan-net] quit
3、创建名为“wlan-net”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板。
[AC-wlan-view] vap-profile name wlan-net
[AC-wlan-vap-prof-wlan-net] forward-mode tunnel
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
[AC-wlan-vap-prof-wlan-net] security-profile wlan-net
[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
[AC-wlan-vap-prof-wlan-net] quit
4、配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-net”的配置。
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quit
WLAN业务配置会自动下发给AP,配置完成后,通过执行命令display vap ssid wlan-net查看如下信息,当“Status”项显示为“ON”时,表示AP对应的射频上的VAP已创建成功。
[AC-wlan-view] display vap ssid wlan-net
WID : WLAN ID
-----------------------------------------------------------------------------------------------------------------
AP ID AP name RfID WID BSSID Status Auth type STA SSID
-----------------------------------------------------------------------------------------------------------------
0 area_1 0 1 60DE-4476-E360 ON WPA/WPA2-PSK 0 wlan-net
0 area_1 1 1 60DE-4476-E370 ON WPA/WPA2-PSK 0 wlan-net
-----------------------------------------------------------------------------------------------------------------
Total: 2
display vap命令输出信息描述:
AP ID:AP ID。
AP name:AP名称。
RfID:射频ID。
WID:VAP的ID。
SSID:SSID的名称。
BSSID:VAP的MAC地址。
Status:VAP当前状态:
ON:VAP服务开启
OFF:VAP服务关闭
Auth type:VAP认证方式。
STA:当前VAP接入的终端数。
6.新一代WLAN解决方案
6.1 华为WLAN方案满足未来无线建网需求
6.2 双轮驱动:技术与应用发展助推Wi-Fi 6时代到来
6.3 Wi-Fi 6相比Wi-Fi 5,带宽提升4倍,并发提升4倍,时延降低30%
6.4 Wi-Fi 6技术增强场景适应性,为客户带来新的应用体验
思考
直连式组网和旁挂式组网各有什么优势?
(多选)FIT AP发现AC的方式有哪些?( )
静态发现
DCHP动态发现
FTP动态发现
DNS动态发现
总结
通过WLAN技术,用户可以方便地接入到无线网络,并在无线网络覆盖区域内自由移动,彻底摆脱有线网络的束缚。
本章主要介绍了企业网络WLAN技术,包括:WLAN的基本概念、WLAN的工作原理、WLAN的组网架构、WLAN的配置实现和WLAN技术发展趋势。
WLAN概述-课堂笔记
18.大型WLAN组网部署
前言
目前,大多数企业办公环境同时使用有线和无线网络来支撑业务。办公区在提供有线网口的同时,也采用全Wi-Fi覆盖,办公环境更为开放和智能。未来,企业云桌面办公、智真会议、4K视频等大带宽业务将从有线网络迁移至无线网络,而VR/AR、虚拟助手、自动化工厂等新技术将直接基于无线网络部署。新的应用场景对企业WLAN的设计与规划提出更高的要求。
本课程介绍大型WLAN组网的典型应用、关键技术原理以及大型WLAN组网的配置。
云桌面又称桌面虚拟化、云电脑,是替代传统电脑的一种新模式;采用云桌面后,用户无需再购买电脑主机,用户安装客户端后通过特有的通信协议访问后端服务器上的虚拟机主机来实现交互式操作,达到与电脑一致的体验效果;同时,云桌面不仅支持用于替换传统电脑,还支持手机、平板等其他智能设备在互联网上访问,也是移动办公的最新解决方案。
智真会议是通过高分辨率摄像头和语音设备,提供真人大小面对面、眼对眼的视频会议。
VR:Virtual Reality,虚拟现实,指用计算机模拟三维环境,用户常常借助手套和眼镜就能直接交互操作。
AR:Augmented Reality,增强现实,在虚拟现实的基础上发展起来的新技术,也被称为混合现实。是通过计算机系统提供的信息增加用户对现实世界感知的技术,将虚拟的信息应用到真实世界,并将计算机生成的虚拟物体、场景或系统提示信息叠加到真实场景中,从而实现对现实的增强。AR通常是以透过式头盔显示系统和注册(AR系统中用户观察点和计算机生成的虚拟物体的定位)系统相结合的形式来实现的。
课程能力
学完本课程后,您将能够:
阐述大型WLAN典型组网架构与特点
阐述大型WLAN的关键技术
实现大型WLAN的组网配置
1.大型WLAN组网概述
1.1 大型WLAN组网的应用
1.2 大型WLAN组网特点
1.3 华为大型WLAN方案功能
1.4 WLAN网络解决方案
1.5 大型WLAN网络关键技术
2.VLAN Pool
2.1 VLAN Pool 概念
现有网络面临的挑战
无线网络终端的移动性导致特定区域IP地址请求较多。
通过情况下,一个SSID只能对应一个业务VLAN,如果通过扩大子网增加IP地址则会导致广播域扩大,大量的广播报文造成网络拥塞。
VLAN Pool是一种把多个VLAN放在一个池中并提供分配算法的VLAN分配技术,又称为VLAN池。
通过VLAN Pool把接入的用户分配到不同的VLAN,可以减少广播域,减少网络中的广播报文,提升网络性能。
由于无线终端的移动性,在无线网络中经常有大量用户从某个区域接入后,随着用的移动,再漫游到其他区域,导致该区域的用户接入多,对IP地址数目要求大。比如:场馆入口、酒店的大堂等。目前一个SSID只能对应一个VLAN,一个VLAN对应一个子网,如果大量用户从某一区域接入,只能扩大VLAN的子网,保证用户能够获取到IP地址。这样带来的问题就是广播域扩大,导致大量的广播报文(如:ARP、DHCP等)带来严重的网络拥塞。
基于此问题考虑,一个SSID需要能够对应多个VLAN,把大量用户分散到不同的VLAN减少广播域。VLAN Pool提供多个VLAN的管理和分配算法,实现SSID对应多个VLAN的方案。
2.2 VLAN Pool分配VLAN的算法
顺序分配算法:把用户按上线顺序依次划分到不同的VLAN中。
HASH分配算法:根据用户MAC地址HASH值分配VLAN。
2.3 分配VLAN流程
用户终端从某个VAP接入,判断VAP是否有判断VLAN Pool。
如果该VAP对应的模板绑定了VLAN Pool,使用VLAN Pool的分配算法分配一个VLAN, VLAN Pool有顺序分配和hash分配两种分配算法。
给终端分配一个VLAN。
终端从VLAN Pool分配的VLAN上线。
2.4 VLAN Pool应用示例
2.5 配置介绍
1.创建VLAN Pool并进入VLAN Pool视图。
[AC] vlan pool pool-name
将指定VLAN添加到VLAN Pool中。
[AC-vlan-pool-pool-name] vlan { start-vlan [ to end-vlan ] } &<1-10>
2.将指定VLAN添加到VLAN Pool中。
[AC-vlan-pool-pool-name] vlan { start-vlan [ to end-vlan ] } &<1-10>
3.配置VLAN Pool中的VLAN分配算法。
[AC-vlan-pool-pool-name] assignment { even | hash }
4.配置VAP的业务VLAN。
[AC] wlan
[AC-wlan-view] vap-profile name profile-name
[AC-wlan-vap-prof-profile-name] service-vlan vlan-pool pool-name
VLAN pool中可以配置VLAN分配算法。assignment { even | hash }
VLAN分配算法为even时,VLAN pool根据STA的上线顺序为STA分配业务VLAN,VLAN pool尽量保证所有VLAN分配给STA的IP地址数目相近。但同一个STA如果多次上线,每次获取的地址通常都不相同。
VLAN分配算法为hash时,VLAN pool根据STA的MAC地址进行哈希运算后的结果为STA分配业务VLAN,只要VLAN pool里面的VLAN不发生变化,通常STA都会获取到固定的业务VLAN,STA重新上线时也会被尽量优先分配到之前使用过的IP地址。
2.6 VLAN pool配置案例
AC是STA的DHCP服务器,已开启DHCP功能;
DHCP服务器地址包含两个网段,分别为10.1.2.0/24以及10.1.3.0/24;
DHCP客户机能够动态获取服务器分配的IP地址,IP地址池地址范围为10.1.2.0以及10.1.3.0网段地址,且网关地址为10.1.2.254, 10.1.3.254。
AC的VLAN Pool配置如下:
[AC] vlan pool STA
[AC-vlan-pool-STA] vlan 20 30
[AC-vlan-pool-STA] assignment hash
[AC-vlan-pool-STA] quit
[AC] wlan
[AC-wlan-view] vap-profile name huawei
[AC-wlan-vap-prof-huawei] service-vlan vlan-pool STA
Info: This operation may take a few seconds, please wait. Done.
在AC上查看所有VLAN pool下的简要配置信息:
<AC> display vlan pool all
--------------------------------------------------------------------------------
Name Assignment VLAN total
--------------------------------------------------------------------------------
STA hash 2
--------------------------------------------------------------------------------
Total: 2
在AC上查看STA VLAN Pool下的详细配置信息:
<AC> display vlan pool name STA
--------------------------------------------------------------------------------
Name : STA
Total : 2
Assignment : hash
VLAN ID : 20 30
3.DHCP技术
3.1 DHCP中继
DHCP客户端使用IP广播来寻找同一网段上的DHCP服务器。当服务器和客户段处在不同网段,即被路由器分割开来时,路由器是不会转发这样的广播包。
DHCP中继能够跨网段“透传”DHCP报文,使得一个DHCP服务器同时为多个网段服务成为可能。
随着网络规模的不断扩大,网络设备不断增多,企业内不同的用户可能分布在不同的网段,一台DHCP服务器在正常情况下无法满足多个网段的地址分配需求。企业内网各个网段通常都没有与DHCP Server在同一个二层广播域内,如果还需要通过DHCP服务器分配IP地址,则需要跨网段发送DHCP协议报文。
3.2 DHCP配置介绍
1.使能接口的DHCP中继功能
[Huawei-GigabitEthernet0/0/0]dhcp select relay
2.在接口视图下配置DHCP服务器的IP地址
[Huawei-GigabitEthernet0/0/0]dhcp relay server-ip ip-address
3.创建DHCP服务器组
[Huawei]dhcp server group group-name
4.在DHCP服务器组中配置DHCP服务器成员
[Huawei-dhcp-server-group-HW]dhcp-server ip-address [ ip-address-index ]
5.配置接口应用的DHCP服务器组
[Huawei-GigabitEthernet0/0/0]dhcp relay server-select group-name
6.开启接口下的DHCP Client功能
[Huawei-GigabitEthernet0/0/0]ip address dhcp-alloc
3.3 DHCP配置案例
WLAN的管理VLAN是VLAN 10,AP通过DHCP获取IP地址。
在SW、AC和AR上配置基础互通参数。
将AP、AC和AR分别配置为DHCP的客户端、DHCP中继以及DHCP服务器,开启DHCP功能。
AC上开启DHCP Relay功能,并且指定DHCP Server的IP地址为172.21.1.2。
在AR上创建地址池“AP”,地址范围为10.1.1.0/24,网关为10.1.1.2。
SW和AC的配置如下:
[SW] vlan 10
[SW-vlan10] quit
[SW] interface GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1] port link-type access
[SW-GigabitEthernet0/0/1] port default vlan 10
[SW-GigabitEthernet0/0/1] quit
[SW] interface GigabitEthernet 0/0/2
[SW-GigabitEthernet0/0/2] port link-type trunk
[SW-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
[SW-GigabitEthernet0/0/2] quit
[SW] interface Vlanif 10
[SW-Vlanif10] ip address 10.1.1.1 24
[AC] vlan batch 10 20
[AC] interface GigabitEthernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[AC-GigabitEthernet0/0/1] quit
[AC] interface GigabitEthernet 0/0/2
[AC-GigabitEthernet0/0/1] port link-type access
[AC-GigabitEthernet0/0/1] port default vlan 20
AC和AR的配置如下:
[AC] interface Vlanif 10
[AC-Vlanif10] ip address 10.1.1.2 24
[AC-Vlanif10] quit
[AC] interface Vlanif 20
[AC-Vlanif20] ip address 172.21.1.1 24
[AC-Vlanif20] quit
[AR] interface GigabitEthernet 0/0/1
[AR-GigabitEthernet0/0/1] ip address 172.21.1.2 24
[AR-GigabitEthernet0/0/1] quit
[AC] dhcp server group AP
[AC-dhcp-server-group-AP] dhcp-server 172.21.1.2
[AC-dhcp-server-group-AP] quit
[AC] interface Vlanif 10
[AC-Vlanif10] dhcp select relay
[AC-Vlanif10] dhcp relay server-select AP
[AC-Vlanif10] quit
AR的配置如下:
[AR] ip pool AP
[AR-ip-pool-AP] network 10.1.1.0 mask 24
[AR-ip-pool-AP] gateway-list 10.1.1.2
[AR-ip-pool-AP] excluded-ip-address 10.1.1.1
[AR-ip-pool-AP] quit
[AR] interface GigabitEthernet 0/0/1
[AR-GigabitEthernet0/0/1] dhcp select global
[AR-GigabitEthernet0/0/1] quit
[AR] ip route-static 10.1.1.0 255.255.255.0 172.21.1.1
在AR上查看DHCP地址池分配情况:
[AR] display ip pool name AP used
……
Network section :
----------------------------------------------------------------------
Index IP MAC Lease Status
----------------------------------------------------------------------
253 10.1.1.254 00e0-fcca-1150 2181 Used
----------------------------------------------------------------------
[AR]
从上图可以看到DHCP服务器已分配IP地址给AP。
在AC上查看DHCP Relay信息:
<AC> display dhcp relay all
DHCP relay agent running information of interface Vlanif10 :
Server group name : AP
Gateway address in use : 10.1.1.2
3.4 WLAN三层组网AC发现机制
当AC和AP间是三层组网时,AP通过发送广播请求报文的方式无法发现AC,这时需要通过DHCP服务器回应给AP的报文中携带的Option43字段(IPv4)或Option52(IPv6)来通告AC的IP地址。
在AC和AP间是二层组网的情况下,也可以配置Option43,AP会根据Option43的内容先向指定IP地址的AC发送单播请求报文,如果发送十次报文,AP都没有收到回应,则AP会继续以广播的方式来发现同一网段的AC。所以在二层组网的情况下Option 43不是必配的参数,但在三层组网的情况下则是必配的。
Option 43即为Type值为43(0x2B)的Option字段,又称为厂商特定信息选项,DHCP服务器和DHCP客户端通过Option43交换厂商特定的信息。当DHCP服务器接收到请求Option43信息的DHCP请求报文后,将在回复报文中携带Option43,为DHCP客户端分配厂商指定的信息(本文中特指AC的IP地址)。
3.5 WLAN三层组网AC配置介绍
1.通过AC地址的16进制格式配置AC地址。
[AC-ip-pool-AP] option 43 sub-option 1 hex hex-string
2.通过AC的IP地址直接配置。
[AC-ip-pool-AP] option 43 sub-option 2 ip-address ip-address
3.通过AC地址的ASCII格式配置。
[AC-ip-pool-AP] option 43 sub-option 3 ascii ascii-string
以AC或交换机配置DHCP服务器为例。大型组网中,通常都是使用独立的DHCP服务器,实际上AC或交换机也可以作为DHCP服务器。然后选择下面的一条命令配置Option43就可以了。
option 43 sub-option 1 hex C0A80001C0A80002配置设备为AP指定AC的IP地址为192.168.0.1和192.168.0.2。其中,“C0A80001”表示IP地址192.168.0.1的十六进制格式,“C0A80002”表示IP地址192.168.0.2的十六进制格式。
option 43 sub-option 2 ip-address 192.168.0.1 192.168.0.2配置设备为AP指定AC的IP地址为192.168.0.1和192.168.0.2。
option 43 sub-option 3 ascii 192.168.0.1,192.168.0.2配置设备为AP指定AC的IP地址为192.168.0.1和192.168.0.2,选项使用ASCII字符串类型时,如果要配置多个IP地址,IP地址之间要使用“,”隔开。
3.6 WLAN三层组网AC配置案例
WLAN的管理VLAN是VLAN 10,AP通过DHCP获取IP地址。
SW、AC以及AR的基础配置及DHCP Relay配置均已完成,AP能够正常获取到IP地址10.1.1.254,AC的IP地址为100.100.100.100。
在AR上创建地址池“AP”,地址范围为10.1.1.0/24,网关为10.1.1.2,并添加静态路由,确保AR能够访问到10.1.1.0网段。
AR和AC配置如下:
[AR] ip pool AP
[AR-ip-pool-ap] option 43 sub-option 3 ascii 100.100.100.100
[AR-ip-pool-ap] quit
[AC] interface LoopBack 0
[AC-LoopBack0] ip address 100.100.100.100 32
[AC-LoopBack0] quit
[AC] capwap source interface LoopBack 0
在AR上查看DHCP地址池的配置情况:
[AR] display ip pool name AP
Pool-name : AP
Pool-No : 0
Lease : 1 Days 0 Hours 0 Minutes
Option-code : 43
Option-subcode : 3
Option-type : ascii
Option-value : 100.100.100.100
……
Position : Local Status : Unlocked
Gateway-0 : 10.1.1.2
Mask : 255.255.255.0
……
从上图可以看到option字段已经成功配置。
在AC上查看AP能否正常发现AP。
[AC] display ap unauthorized record
Unauthorized AP record:
Total number: 1
-----------------------------------------------------------------------------
AP type: AP4030TN
AP SN: 210235448310C92A877C
AP MAC address: 00e0-fcca-1150
AP IP address: 10.1.1.254
Record time: 2020-06-18 11:51:34
------------------------------------------------------------------------------
[AC]
从上图可以看到AP已经成功发现AC,在AC上可以随时将AP添加到AC上。
4.漫游技术
4.1 WLAN漫游概述
WLAN漫游是指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为。
实现WLAN漫游的两个AP必须使用相同的SSID和安全模板(安全模板名称可以不同,但是安全模板下的配置必须相同),认证模板的认证方式和认证参数也要配置相同。
WLAN漫游策略主要解决以下问题:
避免漫游过程中的认证时间过长导致丢包甚至业务中断。
保证用户授权信息不变。
保证用户IP地址不变。
终端在移动过程中,终端在移动过程中, 如果逐渐远离接入AP,则链路的信号质量也会逐步下降。当终端感知到信号质量降低一定程度(漫游门限)时,终端会主动漫游到附近AP来提高信号质量。
如图所示,漫游一般包括如下动作:
终端已经与AP1建链,终端在各种信道中发送Probe Request。AP2在信道6(AP2使用的信道)中收到请求后,通过在信道6中发送应答来进行响应。终端收到应答后,对其进行评估,确定同哪个AP关联最合适。此时通过评估,终端与AP2关联最合适。
终端通过信道6向AP2发送关联请求,AP2使用关联响应做出应答,建立用户与AP2间的关联,至此,用户与AP1的关联一直保持。
删除用户与AP1现有的关联。终端通过信道1(AP1使用的信道)向AP1发送802.11解除关联信息,解除用户与AP1间的关联。
4.2 WLAN漫游的相关术语
AC内漫游:如果漫游过程中关联的是同一个AC,这次漫游就是AC内漫游。
AC间漫游:如果漫游过程中关联的不是同一个AC,这次漫游就是AC间漫游。
AC间隧道:为了支持AC间漫游,漫游组内的所有AC需要同步每个AC管理的STA和AP设备的信息,因此在AC间建立一条隧道作为数据同步和报文转发的通道。AC间隧道也是利用CAPWAP协议创建的。如图所示,AC1和AC2间建立AC间隧道进行数据同步和报文转发。
漫游组服务器
STA在AC间进行漫游,通过选定一个AC作为漫游组服务器,在该AC上维护漫游组的成员表,并下发到漫游组内的各AC,使漫游组内的各AC间相互识别并建立AC间隧道。
漫游组服务器既可以是漫游组外的AC,也可以是漫游组内选择的一个AC。
一个AC可以同时作为多个漫游组的漫游组服务器,但是自身只能加入一个漫游组。
漫游组服务器管理其他AC的同时不能被其他的漫游组服务器管理。也就是说如果一个AC是作为漫游组服务器角色负责向其他AC同步漫游配置的,则它无法再作为被管理者接受其他AC向其同步漫游配置(即配置了漫游组就不能再配置漫游组服务器)。
漫游组服务器作为一个集中配置点,不需要有特别强的数据转发能力,只需要能够和各个AC互通即可。
家乡代理
能够和STA家乡网络的网关二层互通的一台设备。为了支持STA漫游后仍能正常访问家乡网络,需要将STA的业务报文通过隧道转发到家乡代理,再由家乡代理中转。STA的家乡代理由HAC或HAP兼任,如图所示,用户可以选取AC1或AP1作为STA的家乡代理。
4.3 WLAN漫游类型
二层漫游:1个无线客户端在2个AP(或多个AP)之间来回切换连接无线,前提是这些AP都绑定的是同1个SSID并且业务VLAN都在同1个VLAN内(在同一个IP地址段),漫游切换的过程中,无线客户端的接入属性(比如无线客户端所属的业务VLAN、获取的IP地址等属性)不会有任何变化,直接平滑过渡,在漫游的过程中不会有丢包和断线重连的现象。
三层漫游:漫游前后SSID的业务VLAN不同,AP所提供的业务网络为不同的三层网络,对应不同的网关。此时,为保持漫游用户IP地址不变的特性,需要将用户流量迂回到初始接入网段的AP,实现跨VLAN漫游。
网络中有时候会出现以下情况:两个业务VLAN的VLAN ID相同,但是这两个子网又属于不同的子网。此时为了避免系统仅仅依据VLAN ID将用户在两个子网间的漫游误判为二层漫游,需要通过漫游域来确定设备是否在同一个子网内,只有当VLAN相同且漫游域也相同的时候才是二层漫游,否则是三层漫游。
4.4 WLAN漫游流量转发模型
4.5 AC间二层漫游 - 直接转发
AC间二层漫游隧道转发与直接转发流量走向一致,不再赘述。
4.6 AC间三层漫游 - 隧道转发
三层漫游时,用户漫游前后不在同一个子网中,为了使用户漫游后仍能正常访问漫游前的网络,需要将用户流量通过隧道中转到原来的子网。
隧道转发模式下,HAP和HAC之间的业务报文通过CAPWAP隧道封装,此时可以将HAP和HAC看作在同一个子网内,报文无需返回到HAP, 直接通过HAC进行中转到上层网络。
4.7 AC间三层漫游 - 直接转发(HAP为家乡代理)
直接转发模式下,HAP和HAC之间的业务报文不通过CAPWAP隧道封装,无法判定HAP和HAC是否在同一个子网内,此时设备默认报文需要返回到HAP进行中转。如果HAP和HAC在同一个子网时,可以将家乡代理设置为性能更强的HAC,减少HAP的负荷并提高转发效率。
4.8 AC间三层漫游 - 直接转发(HAC为家乡代理)
直接转发模式下,HAP和HAC之间的业务报文不通过CAPWAP隧道封装,无法判定HAP和HAC是否在同一个子网内,此时设备默认报文需要返回到HAP进行中转。如果HAP和HAC在同一个子网时,可以将家乡代理设置为性能更强的HAC,减少HAP的负荷并提高转发效率。
4.9 AC间漫游配置介绍
1.创建漫游组
[AC-wlan-view] mobility-group name group-name
2.向漫游组中添加成员,此处添加的AC的IP地址为AC的源IP地址。
[AC-mc-mg-group-name] member { ip-address ipv4-address | ipv6-address ipv6-address } [ description description ]
配置漫游组。
如果指定了漫游组服务器,则需要在漫游组服务器上配置漫游组。
如果没有指定漫游组服务器,则各成员AC均需配置漫游组。
4.10 AC间漫游配置案例
HAP与HAC,FAP与FAC之间的组网方式为三层组网。
配置HAC和FAC形成漫游组,保证STA的业务流量正常。
配置AC1和AC2的WLAN漫游功能:
[AC1-wlan-view] mobility-group name mobility
[AC1-mc-mg-mobility] member ip-address 10.1.201.100
[AC1-mc-mg-mobility] member ip-address 10.1.201.200
[AC1-mc-mg-mobility] quit
[AC2-wlan-view] mobility-group name mobility
[AC2-mc-mg-mobility] member ip-address 10.1.201.100
[AC2-mc-mg-mobility] member ip-address 10.1.201.200
[AC2-mc-mg-mobility] quit
STA漫游后在AC上查看STA的漫游轨迹:
<AC> display station roam-track sta-mac 28b2-bd35-4af3
Access SSID:huawei-guest1
Rx/Tx: Rx-Rate/Tx-Rate Mbps
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
L2/L3 AC IP AP name Radio ID BSSID TIME In Rx/Tx RSSI Out Rx/Tx RSSI
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
-- 10.1.201.100 ap1 1 cccc-8110-2250 2020/06/18 14:09:06 130/130 -44 130/130 -44
L3 10.1.201.200 ap2 1 cccc-8110-22b0 2020/06/18 14:12:24 130/6 -42 -/-
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Number of roam track: 1
5.高可靠性技术
5.1 AC高可靠性概述
在WLAN组网中,为保证组网可靠性,常见的备份技术有:
VRRP双机热备份(主备)
双链路冷备份
双链路热备份(主备&负载分担)
N+1备份
为了保证WLAN业务的稳定运行,热备份(Hot-Standby Backup)机制可以保证在主设备故障时业务能够不中断的顺利切换到备份设备。
热备份是指,当两台设备在确定主用(Master)设备和备用(Backup)设备后,由主用设备进行业务的转发,而备用设备处于监控状态,同时主用设备实时向备用设备发送状态信息和需要备份的信息,当主用设备出现故障后,备用设备及时接替主用设备的业务运行。
VRRP双机热备份
主备AC两个独立的IP地址,通过VRRP对外虚拟为同一个IP地址,单个AP和虚拟IP建立一条CAPWAP链路。
主AC备份AP信息、STA信息和CAPWAP链路信息,并通过HSB主备服务将信息同步给备AC。主AC故障后,备AC直接接替工作。
双链路热备份
单个AP分别和主备AC建立CAPWAP链路,一条主链路,一条备链路。
主AC仅备份STA信息,并通过HSB主备服务将信息同步给备AC。主AC故障后,AP切换到备链路上,备AC接替工作。
双链路冷备份
单个AP分别和主备AC建立CAPWAP链路,一条主链路,一条备链路。
AC不备份同步信息。主AC故障后,AP切换到备链路上,备AC接替工作。
N+1备份
单个AP只和一个AC建立CAPWAP链路。
AC不备份同步信息。主AC故障后,AP重新与备AC建链CAPWAP链路,备AC接替工作。
5.2 VRRP双机热备
两台AC组成一个VRRP组,主、备AC对AP始终显示为同一个虚拟IP地址,主AC通过Hot Standby(HSB)主备通道同步业务信息到备AC上。
两台AC通过VRRP协议产生一台“虚拟AC”,缺省情况下,主AC担任虚拟AC的具体工作,当主AC故障时,备AC接替其工作。所有AP与“虚拟AC”建立CAPWAP隧道。
AP只看到一个AC的存在,AC间的切换由VRRP决定。
这种方式一般将主备AC部署在同一地理位置,和其他备份方式比较,其业务切换速度非常快。
AC目前支持VRRP单实例整机热备,不支持负载均衡。整机热备具有以下特点:
上行链路可以互为备份,主备VRRP可以track上行口状态,AC整机主备状态可能与各下行链路通断状态不一致。
下行多条链路(包括有线、无线) 采用MSTP破环,MSTP状态变更时会自动清除链路上的MAC/ARP表。
5.3 HSB相关概念
HSB(Hot Standby,热备份)是华为主备公共机制。
主备服务(HSB service):建立和维护主备通道,为各个主备业务模块提供通道通断事件和报文发送/接收接口。
主备备份组(HSB group):HSB备份组内部绑定HSB service,为各个主备业务模块提供数据备份通道。HSB备份组与一个VRRP实例绑定,借用VRRP机制协商出主备实例。同时,HSB备份组还负责通知各个业务模块处理批量备份、实时备份、主备切换等事件。
基于VRRP 的双机热备,热备相关的业务都注册到同一个HSB备份组,HSB备份组内部绑定HSB服务,同时HSB备份组与一个VRRP实例绑定,从而业务通过HSB备份组获知当前用户的主备状态、以及主备切换等事件,并通过HSB组的接口进行备份数据的接收和发送。
5.4 HSB主备服务
HSB主备服务负责在两个互为备份的设备间建立主备备份通道,维护主备通道的链路状态,为其他业务提供报文的收发服务,并在备份链路发生故障时通知主备业务备份组进行相应的处理。
HSB主备服务主要包括两个方面:
建立主备备份通道
维护主备通道的链路状态
HSB主备服务主要包括两个方面: 建立主备备份通道:通过配置主备服务本端和对端的IP地址和端口号,从而建立主备机制报文发送的TCP通道,为其他业务提供报文的收发以及链路状态变化通知服务。
维护主备通道的链路状态:通过发送主备服务报文和重传等机制来防止TCP较长时间中断但协议栈没有检测到该连接中断。如果在主备服务报文时间间隔与重传次数乘积的时间内还未收到对端发送的主备服务报文,设备则会收到异常通知,并且准备重建主备备份通道。
5.5 数据同步
基于VRRP双机热备备份信息包括用户表项、CAPWAP链路信息以及AP表项等信息,备份的方式有实时备份,批量备份,定时备份。
批量备份:主用设备会将已有的会话表项一次性同步到新加入的备份设备上,使主备AC信息对齐,这个过程称为批量备份。批量备份会在AC主备确立时进行触发。
实时备份:主用设备在产生新表项或表项变化后会及时备份到备份设备上。
定时同步:备用设备会每隔30分钟检查其已有的会话表项与主用设备是否一致,若不一致则将主用设备上的会话表项同步到备用设备。
当主用设备出现故障,流量切换到备份设备时,要求主用设备和备份设备的会话表项完全一致,否则有可能导致会话中断。因此,需要一种机制在主用设备上会话建立或表项变化时将相关信息同步保存到备份设备上。HSB主备服务处理模块可以提供数据的备份功能,它负责在两个互为备份的设备间建立主备通道,并维护主备通道的链路状态,提供报文的收发服务。
HSB业务实时备份:
用户数据信息备份
CAPWAP隧道信息备份
AP表项备份
DHCP地址信息备份
HSB主备通道,可通过两台AC之间的直连物理链路承载,也可通过交换机承载,例如复用VRRP报文交互所处的物理通道。
5.6 VRRP双机热备配置流程
1.创建VRRP备份组并配置虚拟IP地址。
2.创建HSB主备服务,建立HSB主备备份通道的IP地址和端口号。
3.创建HSB备份组,配置HSB备份组绑定HSB主备服务、VRRP备份组、WLAN业务以及DHCP。
4.使能HSB备份组,HSB备份组使能后,对HSB备份组的相关配置才会生效。
5.检查VRRP热备份配置结果。
5.6 VRRP双机热备配置介绍
1.在对应的接口视图下,创建VRRP备份组并配置虚拟IP地址。
[AC-GigabitEthernet0/0/1] vrrp vrid virtual-router-id virtual-ip virtual-address
2.配置设备在VRRP备份组中的优先级,默认为100,主设备的优先级要大于备设备。
[AC-GigabitEthernet0/0/1] vrrp vrid virtual-router-id priority priority-value
3.创建HSB主备服务并进入HSB主备服务视图。
[AC] hsb-service service-index
4.配置建立HSB主备备份通道的IP地址和端口号。
[AC-hsb-service-0] service-ip-port local-ip { local-ipv4-address | local-ipv6-address } peer-ip { peer-ipv4-address | peer-ipv6-address } local-data-port local-port peer-data-port peer-port
1.创建HSB备份组并进入HSB备份组视图。
[AC] hsb-group group-index
2.配置HSB备份组绑定的HSB主备服务。
[AC-hsb-group-0] bind-service service-index
3.配置HSB备份组绑定的VRRP备份组。
[AC-hsb-group-0] track vrrp vrid virtual-router-id interface interface-type interface-number
4.配置WLAN业务绑定HSB备份组。
[AC] hsb-service-type ap hsb-group group-index
5.配置DHCP业务绑定HSB备份组。
[AC] hsb-service-type dhcp hsb-group group-index
6.配置准入控制用户绑定HSB备份组。
[AC] hsb-service-type access-user hsb-group group-index
1.使能HSB备份组。
[AC-hsb-group-0] hsb enable
2.查看HSB备份组的信息。
[AC] display hsb-group group-index
3.查看HSB主备服务的信息。
[AC] display hsb-service service-index
5.7 VRRP双机热备配置案例
AC1和AC2通过VLANIF10建立VRRP主备关系,VRRP的虚拟IP为10.1.10.1,AC1为主设备,且优先级为120;
使用HSB技术实现双机热备。
AC的VRRP配置如下:
[AC1]interface Vlanif10
[AC1-Vlanif10]ip address 10.1.10.100 255.255.255.0
[AC1-Vlanif10]vrrp vrid 1 virtual-ip 10.1.10.1
[AC1-Vlanif10]vrrp vrid 1 priority 120
[AC2]interface Vlanif10
[AC2-Vlanif10]ip address 10.1.10.200 255.255.255.0
[AC2-Vlanif10]vrrp vrid 1 virtual-ip 10.1.10.1
AC的HSB配置如下:
[AC1]hsb-service 0
[AC1-hsb-service-0]service-ip-port local-ip 10.1.10.100 peer-ip 10.1.10.200 local-data-port 10241 peer-data-port 10241
[AC1-hsb-service-0]quit
[AC1]hsb-group 0
[AC1-hsb-group-0]bind-service 0
[AC1-hsb-group-0]track vrrp vrid 1 interface Vlanif10
[AC1-hsb-group-0]quit
[AC1]hsb-service-type access-user hsb-group 0
[AC1]hsb-service-type dhcp hsb-group 0
[AC1]hsb-service-type ap hsb-group 0
[AC1]hsb-group 0
[AC1-hsb-group-0]hsb enable
在AC上查看主备服务的建立情况。
[AC1] display hsb-service 0
Hot Standby Service Information:
----------------------------------------------------------
Local IP Address : 10.1.10.100
Peer IP Address : 10.1.10.200
Source Port : 10241
Destination Port : 10241
Keep Alive Times : 2
Keep Alive Interval : 1
Service State : Connected
Service Batch Modules :
Shared-key : -
----------------------------------------------------------
在AC上查看HSB备份组的运行情况。
[AC1] display hsb-group 0
Hot Standby Group Information:
----------------------------------------------------------
HSB-group ID : 0
Vrrp Group ID : 1
Vrrp Interface : Vlanif10
Service Index : 0
Group Vrrp Status : Master
Group Status : Active
Group Backup Process : Realtime
Peer Group Device Name : AirEngine 9700-M
Peer Group Software Version : V200R019C00
Group Backup Modules : Access-user
DHCP
AP
5.8 双链路双机热备
双链路双机热备场景下,业务直接绑定HSB备份服务,这样HSB对业务仅提供备份数据收发的功能,用户的主备状态由双链路机制进行维护。
AP同时与主备AC之间分别建立CAPWAP隧道,AC间的业务信息通过HSB主备通道同步。
当AP和主AC间链路断开,AP会通知备AC切换成主AC。
该方案除了支持主备备份之外,还支持负载分担模式。负载分担模式下可以指定一部分AP的主AC为AC1,与其建立CAPWAP主链路,一部分AP的主AC为AC2,与其建立CAPWAP主链路。
双链路双机热备的主备AC不受地理位置限制,部署灵活,可进行负载分担,有效利用资源,但业务切换速度较慢。
图中,AC1 和 AC2 经过部署为双链路双机热备,只绑定HSB主备服务,提供双机热备份HSB隧道。AP需依次与两台AC建立CAPWAP隧道,通过AC下发的CAPWAP报文中的优先级判断主用AC与备用AC。
主备协商&建立主链路
建立主链路时,除了Discovery阶段要优选出主AC,其他过程跟正常情况下的CAPWAP隧道建立过程一致。
在Discovery阶段,使能双链路备份功能后,AP开始发送Discovery Request报文,分为单播方式和广播方式:
如果预先通过静态方式、DHCP服务器方式或DNS方式指定了主备AC的IP地址,AP向AC发送单播Discovery Request报文请求与主备AC关联。
如果没有配置AC的静态IP地址或者单播没有回应时,AP将发送广播Discovery Request报文请求同网段内可关联的AC。
不管是单播发现还是广播发现,如果主备AC都正常,都会回应Discovery Response报文,并在该报文中携带双链路特性开关、优先级、负载情况以及IP地址。
AP收集到主备AC回应的Discovery Response报文后,根据AC的优先级、设备的负载情况以及AC IP地址来选择主AC并开始与其建立CAPWAP主链路,优选顺序如下:
比较AC的优先级,优先级值小的为主AC,默认优先级为0,最大值为7,优先级取值越小,优先级越高。;
优先级相同情况下,比较AC设备的负载情况,即AP个数和STA个数,负载轻的为主AC。优先选择当前可接入AP数大的AC为主AC,如果当前可接入AP数相同,则选择当前可接入STA数大的AC为主AC;
负载相同情况下,比较IP地址,IP地址小的为主AC。
说明:当前可接入AP数=可接入的最大AP数-当前已接入的AP数,当前可接入STA数=可接入的最大STA数-当前已接入的STA数。
建立备链路
说明:如果该AC的优先级修改为比步骤1已经建立好CAPWAP链路的AC优先级高,也不进行主备倒换,待建立隧道完成后再进行倒换。
AP发送的Join Request中,会携带一个自定义消息类型,告诉备AC配置已经下发过了,不需要再下发。AC收到Join Request,获取到该自定义消息时,在配置下发阶段,会跳过配置下发流程,避免对AP重复下发配置。
备链路建立完成后,AP重新根据两个链路的优先级决策出主备AC。
缺省情况下,CAPWAP心跳检测的间隔时间为25秒,心跳检测报文次数为6。如果开启了双链路备份功能,则CAPWAP心跳检测的间隔时间为25秒,心跳检测报文次数为3。
说明:
如果在配置双链路备份时需要使用WDS或Mesh,建议配置CAPWAP心跳检测的间隔时间为25秒,心跳检测报文次数至少为6次。否则由于双链路备份时缺省的心跳报文间隔时间为25秒,心跳检测报文次数为3次,会导致WDS或Mesh链路不稳定,无法保证用户正常接入。
配置CAPWAP心跳检测间隔时间和次数低于默认值会影响CAPWAP链路可靠性,请谨慎修改,建议使用默认值。
5.9 双链路双机热备配置介绍
1.配置备AC的IP地址。
[AC-wlan-view] ac protect protect-ac { ip-address ip-address}
2.配置本AC的优先级,默认为0。
[AC-wlan-view] ac protect priority priority
3.使能全局回切功能。
[AC-wlan-view] undo ac protect restore disable
4.使能双链路备份功能。
[AC-wlan-view] ac protect enable
5.重启AP,使双链路备份功能生效。
[AC-wlan-view] ap-reset { all | ap-name ap-name | ap-mac ap-mac | ap-id ap-id | ap-group ap-group | ap-type { type type-name | type-id type-id } }
1.创建HSB主备服务并进入HSB主备服务视图。
[AC] hsb-service service-index
2.配置建立HSB主备备份通道的IP地址和端口号。
[AC] service-ip-port local-ip { local-ipv4-address | local-ipv6-address } peer-ip { peer-ipv4-address | peer-ipv6-address } local-data-port local-port peer-data-port peer-port
3.配置WLAN业务绑定HSB备份组。
[AC] hsb-service-type ap hsb-group group-index
4.配置DHCP业务绑定HSB备份组。
[AC] hsb-service-type dhcp hsb-group group-index
5.配置准入控制用户绑定HSB备份组。
[AC] hsb-service-type access-user hsb-service service-index
5.10 双链路双机热备配置案例
AC1和AC2配置双链路双机热备,AC1为主设备,优先级为1,AC2为备设备,优先级为2;
使用HSB技术实现双机热备。
AC1的配置如下:
[AC1] wlan
[AC1-wlan-view] ac protect enable
[AC1-wlan-view] ac protect protect-ac 10.1.10.200 priority 1
[AC1] hsb-service 0
[AC1-hsb-service-0] service-ip-port local-ip 10.1.10.100 peer-ip 10.1.10.200 local-data-port 10241 peer-data-port 10241
[AC1-hsb-service-0] quit
[AC1] hsb-service-type access-user hsb-group 0
[AC1] hsb-service-type dhcp hsb-group 0
[AC1] hsb-service-type ap hsb-group 0
AC2的配置如下:
[AC2] wlan
[AC2-wlan-view] ac protect enable
[AC2-wlan-view] ac protect protect-ac 10.1.10.100 priority 2
[AC2] hsb-service 0
[AC2-hsb-service-0] service-ip-port local-ip 10.1.10.200 peer-ip 10.1.10.100 local-data-port 10241 peer-data-port 10241
[AC2-hsb-service-0] quit
[AC2] hsb-service-type access-user hsb-group 0
[AC2] hsb-service-type dhcp hsb-group 0
[AC2] hsb-service-type ap hsb-group 0
在AC上查看双链路备份的配置信息。
[AC1] display ac protect
------------------------------------------------------------
Protect state : enable
Protect AC IPv4 : 10.1.10.200
Protect AC IPv6 : -
Priority : 0
Protect restore : enable
...
在AC上查看主备服务的建立情况。
[AC1] display hsb-service 0
Hot Standby Service Information:
----------------------------------------------------------
Local IP Address : 10.1.10.100
Peer IP Address : 10.1.10.200
Source Port : 10241
Destination Port : 10241
Keep Alive Times : 5
Keep Alive Interval : 3
Service State : Connected
Service Batch Modules : AP
Access-user
DHCP
……
5.11 AC可靠性:N+1
当AP与主用AC之间的CAPWAP隧道中断时,将触发AP与备用AC建立CAPWAP隧道,此时AP会重新与该AC建链、重启并获取配置,在该过程中,业务将会受影响。
5.12 N+1 备份—主备选择
在Discovery阶段,AP发现AC后,要选择出最高优先级的AC作为主AC接入。
AC上存在两种优先级:
全局优先级:针对所有AP配置的AC优先级,默认为0,最大值为7,优先级取值越小,优先级越高。
个性优先级:针对指定的单个AP或指定AP组中的AP配置的AC优先级,没有默认值。
AC全局优先级<AP在AC上优先级。
当AC收到AP发送的Discovery Request报文时,如果AC没有为该AP配置个性优先级,则在回应的Discovery Response报文中携带全局优先级;
如果AC已为该AP配置了个性优先级,则在回应的Discovery Response报文中携带个性优先级。
正确配置主AC和备AC的不同优先级,可以控制AP能够在指定的主AC或备AC上线
优选顺序如下:
AP查看优选AC,如果只有一个优选AC,则此AC作为主AC。如果存在多个优选AC,则选择负载最轻的AC作为主AC,如果负载相同选择IP地址最小的作为主AC;
负载的比较方式:比较AC设备的负载情况,即AP个数和STA个数,负载轻的为主AC。优先选择当前可接入AP数大的AC为主AC,如果当前可接入AP数相同,则选择当前可接入STA数大的AC为主AC;
如果没有优选AC,查看备选AC,如果只有一个备选AC,则此AC作为主AC,如果存在多个备选AC,则选择负载最轻的AC作为主AC,如果负载相同选择IP地址最小的作为主AC;
如果没有备选AC,比较AC的优先级,优先级最高的作为主AC。优先级取值越小,优先级越高。优先级的具体判断方式参考主备优先级;
优先级相同情况下,则选择负载最轻的AC作为主AC;
负载相同情况下,继续比较IP地址,IP地址小的为主AC。
5.13 双链路备份配置介绍
1.创建AP系统模板,并进入模板视图。
[AC-wlan-view] ap-system-profile name profile-name
2.配置优选AC的IP地址。
[AC-wlan-ap-system-prof-huawei] primary-access { ip-address ip-address | ipv6-address ipv6-address }
3.配置备选AC的IP地址。
[AC-wlan-ap-system-prof-huawei] backup-access { ip-address ip-address | ipv6-address ipv6-address }
4.在AP组中引用AP系统模板。
[AC-wlan-ap-group-huawei] ap-system-profile profile-name
5.在AP中引用AP系统模板。
[AC-wlan-ap-0] ap-system-profile profile-name
6.重启AP,使双链路备份功能生效。
[AC-wlan-view] ap-reset { all | ap-name ap-name | ap-mac ap-mac | ap-id ap-id | ap-group ap-group | ap-type { type type-name | type-id type-id } }
1.使能全局回切功能
[AC-wlan-view] undo ac protect restore disable
2.配置CAPWAP心跳检测的间隔时间以及次数。
[AC] capwap echo { interval interval-value | times times-value }
3.使能N+1备份功能。
[AC-wlan-view] undo ac protect enable
ac protect enable命令用来使能全局双链路备份功能并去使能N+1备份功能。
undo ac protect enable命令用来去使能全局双链路备份功能并使能N+1备份功能。
缺省情况下,全局双链路备份功能未使能,N+1备份功能使能。
5.14 双链路备份配置案例
已经完成各个AC和其它网络设备实现网络互通的配置。
AC1作为AP1的主AC,AC2作为AP2的主AC,在主AC上配置主备AC信息。
AC3作为AP1和AP2的备AC,在备AC上配置两个AP组,保持WLAN基本业务,业务配置和主AC保持一致。
先后在主备AC上配置N+1备份功能。配置完成后需要重启所有AP。
AC1的配置如下:
[AC1-wlan-view] ap-system-profile name ap-system1
[AC1-wlan-ap-system-prof-ap-system1] primary-access ip-address 10.23.201.1
[AC1-wlan-ap-system-prof-ap-system1] backup-access ip-address 10.23.203.1
[AC1-wlan-ap-system-prof-ap-system1] quit
[AC1-wlan-view] ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1] ap-system-profile ap-system
[AC1-wlan-ap-group-ap-group1] quit
AC2的配置如下:
[AC2-wlan-view] ap-system-profile name ap-system2
[AC2-wlan-ap-system-prof-ap-system2] primary-access ip-address 10.23.202.1
[AC2-wlan-ap-system-prof-ap-system2] backup-access ip-address 10.23.203.1
[AC2-wlan-ap-system-prof-ap-system2] quit
[AC2-wlan-view] ap-group name ap-group2
[AC2-wlan-ap-group-ap-group2] ap-system-profile ap-system2
[AC2-wlan-ap-group-ap-group2] quit
AC3的配置如下:
[AC3-wlan-view] ap-system-profile name ap-system1
[AC3-wlan-ap-system-prof-ap-system1] primary-access ip-address 10.23.201.1
[AC3-wlan-ap-system-prof-ap-system1] backup-access ip-address 10.23.203.1
[AC3-wlan-ap-system-prof-ap-system1] quit
[AC3-wlan-view] ap-system-profile name ap-system2
[AC3-wlan-ap-system-prof-ap-system2] primary-access ip-address 10.23.202.1
[AC3-wlan-ap-system-prof-ap-system2] backup-access ip-address 10.23.203.1
[AC3-wlan-ap-system-prof-ap-system2] quit
[AC3-wlan-view] ap-group name ap-group1
[AC3-wlan-ap-group-ap-group1] ap-system-profile ap-system1
[AC3-wlan-ap-group-ap-group1] quit
[AC3-wlan-view] ap-group name ap-group2
[AC3-wlan-ap-group-ap-group2] ap-system-profile ap-system2
[AC3-wlan-ap-group-ap-group2] quit
AC的配置如下:
[AC1-wlan-view] undo ac protect enable
Info: Backup function has already disabled.
[AC1-wlan-view] ap-reset all
Warning: Reset AP(s), continue?[Y/N]: y
[AC2-wlan-view] undo ac protect enable
Info: Backup function has already disabled.
[AC2-wlan-view] ap-reset all
Warning: Reset AP(s), continue?[Y/N]: y
[AC3-wlan-view] undo ac protect restore disable
Info: Protect restore has already enabled.
[AC3-wlan-view] undo ac protect enable
Info: Backup function has already disabled.
[AC3-wlan-view] ap-reset all
Warning: Reset AP(s), continue?[Y/N]: y
缺省情况下,全局回切功能处于使能状态,执行命令undo ac protect restore disable会提示Info。
缺省情况下,N+1备份功能开启,执行命令undo ac protect enable会提示Info。需要在主AC上继续执行命令ap-reset all重启所有AP,AP重启后,N+1备份功能开始生效。
在主AC1上查看AC上N+1备份信息。
[AC1] display ac protect
------------------------------------------------------------
Protect state : disable
Protect AC IPv4 : -
Protect AC IPv6 : -
Priority : 0
Protect restore : enable
[AC1] display ap-system-profile name ap-system
---------------------------------------------------------------------------
AC priority : -
Protect AC IP address : -
Primary AC : 10.23.201.1
Backup AC : 10.23.203.1
在主AC2上查看AC上N+1备份信息。
[AC2] display ac protect
------------------------------------------------------------
Protect state : disable
Protect AC IPv4 : -
Protect AC IPv6 : -
Priority : 0
Protect restore : enable
[AC2] display ap-system-profile name ap-system
---------------------------------------------------------------------------
AC priority : -
Protect AC IP address : -
Primary AC : 10.23.202.1
Backup AC : 10.23.203.1
在备AC3上,查看AC上N+1备份信息。
[AC3] display ac protect
------------------------------------------------------------
Protect state : disable
Protect AC IPv4 : -
Protect AC IPv6 : -
Priority : 0
Protect restore : enable
...
[AC3-wlan-view] display ap-system-profile name ap-system1
---------------------------------------------------------------------------
AC priority : -
Protect AC IP address : -
Primary AC : 10.23.201.1
Backup AC : 10.23.203.1
...
[AC3-wlan-view] display ap-system-profile name ap-system2
---------------------------------------------------------------------------
AC priority : -
Protect AC IP address : -
Primary AC : 10.23.202.1
Backup AC : 10.23.203.1
...
5.15 AC可靠性:小结
6.准入控制技术
6.1 NAC概述
NAC(Network Admission Control)称为网络接入控制,通过对接入网络的客户端和用户的认证保证网络的安全,是一种“端到端”的安全技术。
NAC:
用于用户和接入设备之间的交互。
NAC负责控制用户的接入方式(802.1X,MAC或Portal认证),接入过程中的各类参数和定时器。
确保合法用户和接入设备建立安全稳定的连接。
6.2 RADIUS概述、
AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议。
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。
该协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定UDP端口1812、1813分别作为默认的认证、计费端口。
RADIUS协议的主要特征如下:
客户端/服务器模式
安全的消息交互机制
良好的扩展性
6.3 802.1X认证
802.1X是IEEE制定的关于用户接入网络的认证标准,主要解决以太网内认证和安全方面的问题。
802.1X认证系统为典型的Client/Server结构,包括3个实体:请求方、认证方和认证服务器。
认证服务器通常是RADIUS服务器,用于对申请者进行认证、授权和计费。
对于大中型企业的员工,推荐使用802.1X认证。
802.1X认证系统使用可扩展认证协议(Extensible Authentication Protocol,EAP)来实现申请者、认证者和认证服务器之间的信息交互。常用的802.1X认证协议有防护扩展验证协议(Protected Extensible Authentication Protocol,PEAP)和传输层安全性协议(Transport Layer Security,TLS),其区别如下:
PEAP:管理员给用户分配用户名、密码。用户在接入WLAN时输入用户名、密码进行认证。
TLS:用户使用证书进行认证,此认证方式一般结合企业App使用,如华为的EasyAccess。
对于大中型企业的员工,推荐使用802.1X认证。
6.4 MAC认证
MAC认证是一种基于MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。
接入设备在启动了MAC认证的接口上首次检测到用户的MAC地址后,即启动对该用户的认证操作。
认证过程中,不需要用户手动输入用户名或者密码。
MAC认证常用于哑终端(如打印机)的接入认证,或者结合认证服务器完成MAC优先的Portal认证,用户首次认证通过后,一定时间内免认证再次接入。
6.5 Portal认证
Portal认证通常也称为Web认证,将浏览器作为认证客户端,不需要安装单独的认证客户端。
用户上网时,必须在Portal页面进行认证,只有认证通过后才可以使用网络资源,同时服务提供商可以在Portal页面上开展业务拓展,如展示商家广告等。
对于大中型企业的访客、商业会展和公共场所,推荐使用Portal认证。
常用的Portal认证方式如下:
用户名和密码方式:由前台管理员给访客申请一个临时账号,访客使用临时账号认证。
短信认证:访客通过手机验证码方式认证。
定义
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。
优点
一般情况下,客户端不需要安装额外的软件,直接在Web页面上认证,简单方便。
便于运营,可以在Portal页面上进行业务拓展,如广告推送、企业宣传等。
技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络。
部署位置灵活,可以在接入层或关键数据的入口作访问控制。
用户管理灵活,可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证。
6.6 MAC优先的Portal认证
技术背景:
用户进行Portal认证成功后,如果断开网络,重新连接时需要再次输入用户名、密码,体验差。
MAC优先的Portal认证:
用户进行Portal认证成功后,在一定时间内断开网络重新连接,能够直接通过MAC认证接入,无需输入用户名密码重新进行Portal认证。
该功能需要在设备配置MAC+Portal的混合认证,同时在认证服务器上开启MAC优先的Portal认证功能并配置MAC地址有效时间。
6.7 三种认证方式比较
NAC包括三种认证方式:802.1X认证、MAC认证和Portal认证。由于三种认证方式认证原理不同,各自适合的场景也有所差异,实际应用中,可以根据场景部署某一种合适的认证方式,也可以部署几种认证方式组成的混合认证,混合认证的组合方式以设备实际支持为准。
思考
(简答题)在部署WLAN三层组网的时候,需要配置DHCP Option43,那么Option43的作用是什么?
(简答题)二层漫游和三层漫游的最大的区别是什么?
(简答题)WLAN双机热备份数据同步的方式有几种,分别应用在什么场景下?
AP发送的DHCP广播请求报文是二层报文,不能在三层组网中传输,所以广播发现不了三层组网中AC,必须通过Option43来通告AC的IP地址,否则AP获取不到AC的IP地址,后续AP无法上线。
二层漫游和三层漫游的最大的区别是什么?
区别在于漫游前后关联的AP的服务集上的VLAN不同。
二层漫游是指客户端在同一子网内漫游。
三层漫游是指客户端在不同子网间漫游。
数据同步的方式有批量备份、实时备份和定时同步:
批量备份:在配置双机热备份功能后,先运行的主用设备会将已有的会话表项一次性同步到新加入的备份设备上。
实时备份:主用设备在产生新表项或表项变化后会及时备份到备份设备上。
定时同步:备用设备会每隔30分钟检查其已有的会话表项与主用设备是否一致,若不一致则将主用设备上的会话表项同步到备用设备。
总结
通过大型WLAN组网技术,用户可以更方便、更安全地接入到无线网络,并在无线网络覆盖区域内自由移动,彻底摆脱有线网络的束缚。
本章主要介绍了企业大型WLAN组网技术,包括:WLAN大型组网架构、WLAN大型组网关键技术、漫游技术、高可靠性技术以及准入控制技术等。
19.华为防火墙技术
前言
“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。这种隔离是选择性的,隔离“火”的蔓延,而又保证“人”可以穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
本课程将介绍在通信领域中什么是防火墙,为什么需要防火墙,以及防火墙的基本工作原理和配置。
课程能力
学完本课程,您将能够:
描述防火墙的定义、类型和发展历史
区分防火墙与路由器和交换机
阐明防火墙的基本概念,例如安全区域、安全策略、会话表和Server-map等
实现防火墙的基本配置
1.防火墙概述
1.1 为什么需要防火墙?
安全无处不在。路由器和交换机构建了互联互通的网络,带来便利的同时也带来了安全隐患。
例如在网络边界,企业有了如下安全诉求:
外部网络安全隔离
内部网络安全管控
内容安全过滤
入侵防御
防病毒
1.2 什么是防火墙?
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。
防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。
严格意义上,防火墙还有更多的部署形态,例如桌面型防火墙(盒式防火墙的一种)。桌面型防火墙适用于小型企业、行业分支、连锁商业机构等场景。华为盒式防火墙同时支持传统模式和云管理模式。云管理模式由云端统一管理分支机构的安全接入,支持设备即插即用、业务配置自动化、运维可视化和网络大数据分析。
本课程不过多介绍桌面型防火墙和软件防火墙,后续内容聚焦的框式/盒式硬件防火墙。
1.3 防火墙与交换机、路由器功能对比
以园区网为例,交换机作用是接入终端和汇聚内部路由,组建内部互联互通的局域网。
路由器作用是路由的分发、寻址和转发,构建外部连接网络。
防火墙作用是流量控制和安全防护,区分和隔离不同安全区域。
1.4 防火墙与路由器转发流程对比
防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有SPU(Service Processing Unit),用于实现防火墙的安全功能。
1.5 防火墙的典型应用场景
DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。在企业中一般用于服务器的放置。
数据中心网络一般采用Spine-Leaf架构。Spine为骨干节点负责流量高速转发,Leaf为叶子节点负责服务器、防火墙或其他设备接入。Spine-Leaf之间全三层互联。
1.6 防火墙的发展历程
纵观防火墙的发展历史,防火墙经历了从低级到高级、从功能简单到功能复杂的过程。网络技术的不断发展和新需求的不断提出,推动着防火墙的发展。
防火墙从包过滤防火墙发展起经历了状态检测、统一威胁管理、NGFW等到AI防火墙,有以下特点:
访问控制越来越精细
防护能力越来越强
性能越来越高
更多防火墙发展历史,请参考《强叔侃墙》
1.7 包过滤防火墙
包过滤是指基于五元组对每个数据包进行检测,根据配置的安全策略转发或丢弃数据包。
包过滤防火墙的基本原理是:通过配置访问控制列表(Access Control List,ACL)实施数据包的过滤。
本例中通过配置防火墙安全策略,实现仅允许办公区IP访问互联网。
包过滤防火墙的问题:
逐包检测,性能较低。
ACL规则难以适应动态需求。
通常不检查应用层数据。
无报文关联分析,容易被欺骗。
包过滤防火墙主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。
包过滤防火墙的设计简单,非常易于实现,而且价格便宜。
包过滤防火墙的缺点主要表现以下几点:
随着ACL复杂度和长度的增加,其过滤性能呈指数下降;
静态的ACL规则难以适应动态的安全要求;
包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
1.8 状态检测防火墙
状态检测是包过滤技术的发展,它考虑报文前后的关联性,检测的是连接状态而非单个报文。
状态检测防火墙就是支持状态检测功能的防火墙。
NGFW也是状态检测防火墙的一种。NGFW在内容安全和处理性能有极大的提升。
1.9 AI防火墙
AI防火墙是结合AI技术的新一代防火墙。它通过结合AI算法或AI芯片等多种方式,进一步提高了防火墙的安全防护能力和性能。
华为AI防火墙,内置的恶意文件检测引擎CDE、诱捕Sensor、APT检测引擎和探针,支持与沙箱和华为大数据分析平台CIS联动检测,打造智能防御体系。
华为HiSecEngine USG6000E系列是业界首批推出的AI防火墙。AI防火墙没有统一的标准,例如通过用大量数据和算法“训练”防火墙,让其学会自主识别威胁;通过内置AI芯片,提高应用识别和转发性能,都可以被称为AI防火墙。
APT(Advanced Persistent Threat,高级持续性威胁)是指用先进的攻击手段对特定目标进行长期持续性攻击的攻击形式。
沙箱(Sandbox)是一个用于检测病毒的安全设备,它为疑似病毒构建虚拟环境,通过观察其后续行为检测病毒。沙箱是APT检测的重要设备。华为的沙箱产品为Firehunter。
CIS(Cybersecurity Intelligence System)能够对网络中的流量及各类设备的网络、安全日志等海量网络基础数据执行有效采集,通过大数据实时及离线分析,结合机器学习技术、专家信誉、情报驱动,有效的发现网络中的潜在威胁和高级威胁,实现企业内部的全网安全态势感知,同时可以结合华为HiSec解决方案高效地完成威胁的处置闭环,防患未然。
自研恶意文件检测引擎(CDE)引入PE Class 2.0 AI算法,对全文件进行还原,对文件内容进行深度检测。(业界主流基于流检测。流检测的检测速度快,但只还原文件头,不对文件内容进行检查。
华为独创的AIE APT检测引擎,引入AI算法,持续防御最新威胁。
更多AI防火墙相关内容请参考https://e.huawei.com/cn/products/enterprise-networking/security和https://e.huawei.com/cn/material/networking/e1869bfff9ca42c1b4f6a83f69118215。
1.10 小结
本章节主要介绍防火墙的基本概念、应用场景和发展历史:
防火墙是一种安全设备,有灵活的设备形态包括框式、盒式、桌面型和软件防火墙。
防火墙可被用于但不仅限于企业边界防护、内网管控与安全隔离、数据中心边界防护和数据中心安全联动。
防火墙技术不断的发展,从早期的包过滤防火墙发展到当前的AI防火墙。
2.防火墙的基本概念
2.1 防火墙基本概念:安全区域
安全区域(Security Zone),简称为区域(Zone),是防火墙的重要概念。防火墙大部分的安全策略都基于安全区域实施。
一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性。
2.2 默认安全区域
华为防火墙确认已创建四个区域,untrust、dmz、trust和local区域。安全区域有以下特性:
默认的安全区域不能删除,也不允许修改安全优先级。
每个Zone都必须设置一个安全优先级(Priority),值越大,则Zone的安全优先级越高。
用户可根据自己的需求创建自定义的Zone。
防火墙默认安全区域均为小写字母,且大小写敏感,包括:
非受信区域(untrust):通常用于定义Internet等不安全的网络。
非军事化区域(dmz):通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。
DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。
DMZ安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备,如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络;如果放置于外部网络,则无法保障它们的安全。
受信区域(trust):通常用于定义内网终端用户所在区域。
本地区域(local):local区域定义的是设备本身,包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置,包括向其中添加接口。
由于local区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与local区域之间的安全策略。
2.3 区域间(Interzone)示例
流量的源、目的地址决定了互访的区域。本例1中PC访问防火墙的接口的流量实际上是从trust zone到达local zone;本例2中PC访问Internet的流量实际上是从trust zone到达untrust zone。
2.4 防火墙基本概念:安全策略
安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。
当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。如果条件匹配,则此流量被执行对应的动作。
2.5 安全策略组成
安全策略的组成有匹配条件、动作和安全配置文件(可选)。安全配置文件实现内容安全。
安全策略动作如果为“允许”则可配置安全配置文件,如果为“禁止”则可配置反馈报文。
动作说明:
允许:如果动作为“允许”,则对流量进行如下处理:
如果没有配置内容安全检测,则允许流量通过。
如果配置内容安全检测,最终根据内容安全检测的结论来判断是否对流量进行放行。内容安全检测包括反病毒、入侵防御等,它是通过在安全策略中引用安全配置文件实现的。如果其中一个安全配置文件阻断该流量,则防火墙阻断该流量。如果所有的安全配置文件都允许该流量转发,则防火墙允许该流量转发。
禁止:表示拒绝符合条件的流量通过。
如果动作为“禁止”,防火墙不仅可以将报文丢弃,还可以针对不同的报文类型选择发送对应的反馈报文。发起连接请求的客户端/服务器收到防火墙发送的阻断报文后,可以快速结束会话并让用户感知到请求被阻断。
- Reset客户端:防火墙向TCP客户端发送TCP reset报文。
- Reset服务器:防火墙向TCP服务器发送TCP reset报文。
- ICMP不可达:FW向报文客户端发送ICMP不可达报文。
更多详细信息,可以参考文档,“安全策略”章节,https://support.huawei.com/hedex/hdx.do?docid=EDOC1100084128&lang=zh&idPath=24030814%7C9856724%7C21430823%7C22984765%7C23176238。
2.6 安全策略的匹配过程
当配置多条安全策略规则时,安全策略的匹配按照策略列表的顺序执行,即从策略列表顶端开始逐条向下匹配。如果流量匹配了某个安全策略,将不再进行下一个策略的匹配。
安全策略的配置顺序很重要,需要先配置条件精确的策略,再配置宽泛的策略。
系统默认存在一条缺省安全策略default。缺省安全策略位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作默认为禁止。如果所有配置的策略都未匹配,则将匹配缺省安全策略default。
2.7 防火墙基本概念:会话表
会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是防火墙转发报文的重要依据。
防火墙采用了基于“状态”的报文控制机制:只对首包或者少量报文进行检测就确定一条连接的状态,大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表,来判断该报文所属的连接并采取相应的处理措施。
本例中PC1向PC2发起HTTP连接,所以在防火墙会话表中标示出“http”协议和连接信息,并识别出此流量在公共路由表中被转发(图中VPN:public)。
2.8 会话表的创建和包处理过程
防火墙状态检测开启情况下,流量的首包会创建会话表项,后续包即可直接匹配会话表项。
2.9 会话表的老化时间与长连接
防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。
但是对于某些特殊业务中,一条会话的两个连续报文可能间隔时间很长。例如:
用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文。
用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间。
此时如果其会话表项被删除,则该业务会中断。长连接(Long Link)机制可以给部分连接设定超长的老化时间,有效解决这个问题。
2.10 多通道协议在防火墙上的问题
如果在防火墙上配置严格的单向安全策略,那么防火墙将只允许业务单方向发起访问。这会导致一些特殊的协议无法工作,例如FTP。
FTP主动模式传输文件时,首先需要客户端主动向服务器端发起控制连接,然后需要服务器端向客户端发起数据连接。如果设备上配置的安全策略仅允许客户端报文单方向通过,则FTP文件传输不能成功。
同FTP,通信过程中需占用两个或两个以上端口的协议被称为多通道协议。多通道协议都需要考虑此类问题。
单通道协议:通信过程中只需占用一个端口的协议。如:WWW只需占用80端口。
多通道协议:通信过程中需占用两个或两个以上端口的协议。
FTP协议是一个典型的多通道协议,在其工作过程中,FTP Client和FTP Server之间将会建立两条连接:控制连接和数据连接。控制连接用来传输FTP指令和参数,其中就包括建立数据连接所需要的信息。数据连接用来获取服务器目录及传输数据。数据连接使用的端口号是在控制连接中临时协商的。根据数据连接的发起方式FTP协议分为两种工作模式:主动模式(PORT模式)和被动模式(PASV模式)。主动模式中,FTP Server 20号端口主动向FTP Client随机端口发起数据连接;被动模式中,FTP Server被动接收FTP Client发起的数据连接。模式在一般的FTP客户端中都是可以设置的,这里我们以主动模式为例。
多通道协议存在时,防火墙配置较为宽泛的安全策略也可以解决协议不可用问题,但是存在安全隐患。
2.11 多通道协议 – FTP过程详解
大部分多媒体应用协议(如H.323、SIP)、FTP、netmeeting等协议使用约定的固定端口来初始化一个控制连接,再动态的协商出端口用于数据传输。端口的选择是不可预测的。其中的某些应用甚至可能要同时用到多个端口。传统的包过滤防火墙可以通过配置ACL过滤规则匹配单通道协议的应用传输,保障内部网络不受攻击,但只能阻止一些使用固定端口的应用,无法匹配使用协商出随机端口传输数据的多通道协议应用,留下了许多安全隐患。
2.12 ASPF与Server-map
为了解决多通道协议的问题,防火墙需要识别协议在应用层协商的地址和端口。这需要开启ASPF (Application Specific Packet Filter,针对应用层的包过滤)功能。
ASPF也称作基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,即生成Server-map表。
Server-map表也记录了类似会话表中连接的状态。Server-map表中的信息相对简单,是简化的会话表,在真实流量到达前生成。在流量真实到达防火墙时,防火墙会基于Server-map表生成会话表,然后执行转发。
开启ASPF解决多通道协议问题,是生成Server-map表的一种方式。
2.13 ASPF与Server-map示例
防火墙上配置了ASPF功能后,会检测FTP控制连接中协商的数据连接端口信息,然后生成Server-map表项。Server-map表项包含了FTP控制通道中协商的数据通道的信息。防火墙为命中Server-map表的数据创建会话表。
1. 防火墙创建Server-map:
[FW] display firewall server-map
Type: ASPF, 10.1.1.2 -> 192.168.1.2:2097, Zone:---
Protocol: tcp(Appro: ftp-data), Left-Time:00:00:10
Vpn: public --> public
2. 防火墙创建会话表:
[FW] display firewall session table
ftp VPN: public --> public 192.168.1.2:2095 +-> 10.1.1.2:21
ftp-data VPN: public --> public 10.1.1.2:20 --> 192.168.1.2:2097
Server-map表与会话表的关系如下:
Server-map表记录了应用层数据中的关键信息,报文命中该表后,不再受安全策略的控制;
会话表是通信双方连接状态的具体体现;
Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;
防火墙收到报文先检查是否命中会话表;
如果没有命中则检查是否命中Server-map表;
命中Server-map表的报文不受安全策略控制;
防火墙最后为命中Server-map表的数据创建会话表。
2.14 Server-map表与简化的包转发过程
当防火墙接收到一个报文且没有命中会话表时,防火墙进入首包处理流程,查询是否有命中的Server-map表。如果有,则会生成会话表转发报文;如果没有,则执行其他包处理过程。
2.15 小结
本章节主要介绍防火墙的基本概念和基础特性,它们有:
安全区域
安全策略
防火墙的会话表
防火墙的Server-map
3.防火墙的基础配置
3.1 防火墙基础配置 - 接口
1.创建接口/进入接口视图
[Huawei] interface interface-type interface-number
和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。
2.(接口视图)配置接口允许通过的协议
[Huawei-GigabitEthernet0/0/1] service-manage { http | https | ping | ssh | snmp | netconf | telnet | all } { permit | deny }
service-manage命令用来允许或拒绝管理员通过HTTP、HTTPS、Ping、SSH、SNMP、NETCONF以及Telnet访问设备。
缺省情况下,接口开启了访问控制管理功能。仅有管理接口下 HTTP、HTTPS、Ping权限放开。非管理口所有权限都关闭。此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。
3.2 防火墙基础配置 - 安全区域
1.创建安全区域
[Huawei] firewall zone name zone-name [ id id ]
firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。
firewall zone命令用来并进入安全区域视图。防火墙默认的四个区域无需创建也不能删除。
2.(安全区域视图)设置安全区域优先级
[Huawei-zone-name] set priority security-priority
优先级取值范围为1~100,全局唯一,值越大优先级越高。系统默认的安全区域不能被删除,优先级也无法被重新配置或者删除。
3.(安全区域视图)添加接口到安全区域
[Huawei-zone-name] add interface interface-type { interface-number | interface-number.subinterface-number }
安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。该接口既可以是物理接口,也可以是逻辑接口。
3.3 防火墙基础配置 - 安全策略
1.进入安全策略视图
[Huawei] security-policy
安全策略规则的创建、复制、移动和重命名都在此视图下完成。
2.(安全策略视图)创建规则
[Huawei-policy-security] rule name rule-name
rule name命令用来创建安全策略规则,并进入安全策略规则视图。
3.(安全策略规则视图)配置安全策略规则的源安全区域
[Huawei-policy-security-rule-name] source-zone { zone-name &<1-6> | any }
命令中zone-name必须为系统已经存在的安全区域名称。安全策略规则一次最多添加或删除6个安全区域。
4.(安全策略规则视图)配置安全策略规则的目的安全区域
[Huawei-policy-security-rule-name] destination-zone { zone-name &<1-6> | any }
5.(安全策略规则视图)配置安全策略规则的源IP地址
[Huawei-policy-security-rule-name] source-address ipv4-address { ipv4-mask-length | mask mask-address}
命令中mask-address使用反掩码。
6.(安全策略规则视图)配置安全策略规则的目的IP地址
[Huawei-policy-security-rule-name] destination-address ipv4-address { ipv4-mask-length | mask mask-address}
命令中mask-address使用反掩码。
7.(安全策略规则视图)配置服务
[Huawei] service { service-name &<1-6> | any }
service命令用来配置服务,例如service protocol命令用来在安全策略中直接引用TCP/UDP/SCTP端口或IP层协议。
8.(安全策略规则视图)配置安全策略规则的动作
[Huawei] action { permit | deny }
防火墙默认的动作为deny。
3.4 防火墙配置案例
案例描述:
防火墙将网络隔离为三个安全区域,trust、untrust和OM,其中OM区域优先级为95。现有需求如下:
允许防火墙接口GE1/0/1响应Ping请求。
允许OM区域ICMP流量访问untrust区域。
配置过程分为四个步骤:
配置防火墙接口。
配置防火墙安全区域。
配置防火墙安全策略。
结果验证。
配置案例 - 接口
任务列表:
根据规划,配置防火墙接口IP地址。
允许GE1/0/1响应Ping服务。
#配置接口IP地址并允许GE1/0/1的ping业务
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/1] service-manage ping permit
[FW-GigabitEthernet1/0/1] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 2.2.2.1 24
[FW-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 3.3.3.1 24
配置安全区域
任务列表:
防火墙新建安全区域“OM”,其优先级为95。
将接口划分入规划的安全区域。
#创建安全区域
[FW] firewall zone name OM
[FW-zone-OM] set priority 95
[FW-zone-OM] quit
#将接口添加到安全区域:
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/1
[FW] firewall zone OM
[FW-zone-OM] add interface GigabitEthernet 1/0/2
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/3
配置安全策略
任务列表:
创建安全策略R1
配置安全策略规则,配置源目的区域、业务类型和行为。
#创建安全策略
[FW-policy-security] rule name R1
[FW-policy-security-rule-R1] source-zone OM
[FW-policy-security-rule-R1] destination-zone untrust
[FW-policy-security-rule-R1] service icmp
[FW-policy-security-rule-R1] action permit
结果验证
1. Trust区域内PC向防火墙GE1/0/1接口发起ping测试。
#查看防火墙会话表
[FW]display firewall session table
2020-03-11 10:31:21.010
Current Total Sessions : 4
icmp VPN: public --> public 1.1.1.2:14265 --> 1.1.1.1:2048
icmp VPN: public --> public 1.1.1.2:15289 --> 1.1.1.1:2048
icmp VPN: public --> public 1.1.1.2:14777 --> 1.1.1.1:2048
icmp VPN: public --> public 1.1.1.2:15033 --> 1.1.1.1:2048
2. OM区域2.2.2.2向untrust区域3.3.3.2发起ping测试。
#查看防火墙会话表
[FW]display firewall session table
2020-03-11 10:30:15.150
Current Total Sessions : 4
icmp VPN: public --> public 2.2.2.2:63928 --> 3.3.3.2:2048
icmp VPN: public --> public 2.2.2.2:63672 --> 3.3.3.2:2048
icmp VPN: public --> public 2.2.2.2:63416 --> 3.3.3.2:2048
icmp VPN: public --> public 2.2.2.2:62904 --> 3.3.3.2:2048
思考:ICMP没有端口,这里防火墙会话表中的端口号是?
3.5 小结
本小结主要介绍防火墙的基础配置命令。通过学习你已实现使用命令行:
配置防火墙接口
划分防火墙安全区域
配置安全策略
查看防火墙会话信息
思考
(单选题)缺省情况下,防火墙有几个安全区域?( )
A. 1 B. 2 C. 3 D. 4
(判断题)防火墙在生产会话表之前,都需要先生成Server-map。 ( )
(多选题)以下对于华为AI防火墙说法正确的是? ( )
A. 内置恶意文件检测引擎(CDE)
B. 内置探针
C. 内置APT检测引擎(AIE)
D. 内置独创诱捕Sensor
D
F
ABCD
总结
防火墙是通信领域极为重要的安全设备之一,本章帮助您初步学习防火墙的基本概念、发展历史和基础配置。
安全区域、安全策略、会话表和Server-map是防火墙基础的、重要的概念,是进一步学习防火墙技术的必要前提。
防火墙有更多的安全功能,例如内容安全过滤、反病毒和入侵防御等。更多防火墙技术学习请参考华为安全认证。
20.IPv6概念
前言
IPv4协议是目前广泛部署的因特网协议。在因特网发展初期,IPv4以其协议简单、易于实现、互操作性好的优势而得到快速发展。但随着因特网的迅猛发展,IPv4设计的不足也日益明显,IPv6的出现,解决了IPv4的一些弊端。
IPv6(Internet Protocol Version 6)也被称为IPng(IP Next Generation)。它是Internet工程任务组IETF(Internet Engineering Task Force)设计的一套规范,是IPv4(Internet Protocol Version 4)的升级版本。
本课程将介绍IPv6的基本概念、IPv6地址分类、IPv6报文格式等。
课程能力
学完本课程后,您将能够:
描述IPv6的发展现状
阐明IPv6相较于IPv4的优势
描述IPv6的基本概念
描述IPv6报文头部的格式
描述IPv6地址格式和地址类型
实现IPv6地址以及IPv6路由的简单配置
1.IPv6概述
1.1 IPv4现状
2011年2月3日,IANA(Internet Assigned Numbers Authority,因特网地址分配组织)宣布将其最后的468万个IPv4地址平均分配到全球5个RIR(Regional Internet Registry,区域互联网注册管理机构),此后IANA再没有可分配的IPv4地址。
IANA,是负责全球互联网IP地址编号分配的机构。IANA将部分IPv4地址分配给大洲级的RIR,再由各RIR进行所辖区域内地址分配,五大RIR包括:
RIPE:Reseaux IP Europeans,欧洲IP地址注册中心,服务于欧洲、中东地区和中亚地区;
LACNIC:Latin American and Caribbean Internet Address Registry,拉丁美洲和加勒比海Internet地址注册中心,服务于中美、南美以及加勒比海地区;
ARIN:American Registry for Internet Numbers,美国Internet编号注册中心,服务于北美地区和部分加勒比海地区;
AFRINIC:Africa Network Information Centre,非洲网络信息中心,服务于非洲地区;
APNIC:Asia Pacific Network Information Centre,亚太互联网络信息中心,服务于亚洲和太平洋地区。
实践证明IPv4是一个非常成功的协议,它本身也经受住了Internet从少量计算机组网发展到目前上亿台计算机互联的考验。但该协议是几十年前基于当时的网络规模而设计的。在今天看来,IPv4的设计者们对于Internet的估计和预想显得很不充分。随着Internet的扩张和新应用的不断推出,IPv4越来越显示出它的局限性。
Internet规模的快速扩张是当时完全没有预料到的,特别是近十年来,更是爆炸式增长,已经走进了千家万户,人们的日常生活已经离不开它。但正因为发展太快,IP地址空间耗尽的问题迫在眉睫。
20世纪90年代,IETF推出NAT(Network Address Translation,网络地址转换)与CIDR(Classless Inter Domain Routing,无类别域间路由)等技术来推迟IPv4地址耗尽发生的时间点。但是这些过渡方案只能减缓地址枯竭的速度,并不能从根本上解决问题。
1.2 全球IPv6发展现状
数据来源:《2019 IPv6支持度报告》——下一代互联网国家工程中心
综合IPv6部署率是根据各个国家地区的网络(IPv6 Prefix/Transit IPv6 AS),IPv6网站及IPv6用户等数据按照一定权值并计算得出的IPv6部署综合情况。
1.3 Why IPv6 ?
IPv4:
公网地址枯竭
包头设计不合理
路由表过大,查表效率低
对ARP的依赖,导致广播泛滥
……
ipv6:
“无限”地址
地址层次化分配
即插即用
简化的报文头部
IPv6安全特性
保证端到端通信完整性
对移动性的支持
增强的QoS特性
……
1.4 IPv6优势
“无限”地址:地址长度为128bit,海量的地址空间,满足物联网等新兴业务、有利于业务演进及扩展。
地址层次化分配: 相较于IPv4地址,IPv6地址的分配更加规范,利于路由聚合(缩减IPv6路由表规模)、路由快速查询。
即插即用: IPv6支持无状态地址自动配置(SLAAC),终端接入更简单。
简化的报文头部: 简化报文头,提高效率;通过扩展包头支持新应用,利于路由器等网络设备的转发处理,降低投资成本。
IPv6安全特性: IPsec、真实源地址认证等保证端到端安全;避免NAT破坏端到端通信的完整性。
对移动性的支持: 对移动网络实时通信有较大改进,整个移动网络性能有比较大的提升。
增强的QoS特性: 额外定义了流标签字段,可为应用程序或者终端所用,针对特殊的服务和数据流,分配特定的资源。
近乎无限的地址空间:与IPv4相比,这是最明显的好处。IPv6地址是由128 bit构成,单从数量级来说,IPv6所拥有的地址容量是IPv4的约8×1028倍,号称可以为全世界的每一粒沙分配一个网络地址。这使得海量终端同时在线,统一编址管理,变为可能,为万物互连提供了强有力的支撑。
层次化的地址结构:正因为有了近乎无限的地址空间,IPv6在地址规划时就根据使用场景划分了各种地址段。同时严格要求单播IPv6地址段的连续性,便于IPv6路由聚合,缩小IPv6地址表规模。
即插即用:任何主机或者终端要获取网络资源,传输数据,都必须有明确的IP地址。传统的分配IP地址方式是手工或者DHCP自动获取,除了上述两个方式外,IPv6还支持SLAAC(Stateless Address Autoconfiguration,无状态地址自动配置)。
端到端网络的完整性:大面积使用NAT技术的IPv4网络,从根本上破坏了端到端连接的完整性。使用IPv6之后,将不再需要NAT网络设备,上网行为管理、网络监管等将变得简单,与此同时,应用程序也不需要开发复杂的NAT适配代码。
安全性得到增强:IPsec( Internet Protocol Security,因特网协议安全协议)最初是为IPv6设计的,所以基于IPv6的各种协议报文(路由协议、邻居发现等),都可以端到端地加密,当然该功能目前应用并不多。而IPv6的数据面报文安全性,跟IPv4+IPsec的能力,基本相同。
可扩展性强:IPv6的扩展属性报文头部,并不是主数据包的一部分,但是在必要的时候,这些扩展头部会插在IPv6基本头部和有效载荷之间,能够协助IPv6完成加密功能、移动功能、最优路径选路、QoS等,并可提高报文转发效率。
移动性改善:当一个用户从一个网段移动到另外一个网段,传统的网络会产生经典式“三角式路由”,IPv6网络中,这种移动设备的通信,可不再经过原“三角式路由”,而做直接路由转发,降低了流量转发的成本,提升了网络性能和可靠性。
QoS可得到进一步增强:IPv6保留了IPv4所有的QoS属性,额外定义了20Byte 的流标签字段,可为应用程序或者终端所用,针对特殊的服务和数据流,分配特定的资源,目前该机制并没有得到充分的开发和应用。
1.5 IPv6过渡技术简介
由于NAT技术的应用,缓解了IPv4地址不足产生的问题,但是部署IPv6是解决IPv4地址不足的最终方案。当前世界上不同地区对部署IPv6的需求强烈程度不一,且当前IPv4网络仍然占主流地位,因此短时间内IPv6和IPv4将会共存。
IPv4网络演变为IPv6网络主要有以下三种技术:
双栈技术:在一台设备上同时启用IPv4协议栈和IPv6协议栈的技术。
隧道技术:将一种协议的数据封装在另一种协议中的技术。
转换技术:将IPv6地址和IPv4地址进行转换的一种技术。
没有最好的过渡技术方案,没有任何一种技术方案能够解决所有问题,通常是多种技术组合成不同的过渡方案,满足不同的网络访问场景。
IPv4/IPv6双栈:
设备支持IPv4/IPv6,IPv4及IPv6在网络中独立部署,在一段时间内并存。对现有IPv4业务影响较小。
演进方案相对简单、易理解。网络规划设计工作量相对更少。
现有软硬件(网络设备、终端、操作系统等)已经有很大一部分支持双栈,甚至默认使能IPv6,可直接使用。
对设备的硬件/软件有要求,设备需支持双栈。
隧道技术:
将IPv4流量封装在IPv6隧道中,或者将IPv6流量封装在IPv4隧道中。
适用于在IPv4传输网络中实现IPv6孤岛之间的互通,或者在IPv6传输网络中实现IPv4孤岛之间的互通。
部署隧道技术的设备(一般是隧道端点)需支持双栈及相应的隧道技术。
仅适用于实现孤岛互通的临时状态,并不适用于长期、稳定的业务形态。
转换技术:
将IPv4流量转换成IPv6(主要是IP头部的改写),反之亦然。
适用于纯IPv4网络与纯IPv6网络之间的通信,反之亦然。
破坏了端到端连接的完整性。需针对特殊应用提供ALG功能。
网络管理/审计变得复杂。
需在网络中部署网络层协议转换(NAT)设备、DNS设备。
1.6 IPv6路由协议简介
OSPFv3:
基于链路运行,单链路支持多实例。
取消LSA头部IP地址信息,实现与网络层协议解耦。
LSA内新定义泛洪范围字段,支持未知LSA的处理。
新增LSA支持IPv6路由发布。
IS-IS for IPv6:
不是新协议或新版本,仅 是原有协议上做了简单扩展,IS-IS路由器和IS-IS路由器可以实现互通。
新增1种NLPID(网络层协议标识)宣告自身支持IPv6。
新增2种TLV,支持宣告IPv6网络可达性和接口IPv6地址信息。
BGP4+:
不是新协议或新版本,只需在MP-BGP(BGP多协议)架构上支持IPv6地址族,BGP4+路由器和BGP4路由器可以实现互通。
新添2种NLRI(网络层可达信息),支持发布IPv6可达路由及下一跳信息,支持撤销不可达路由。
PIM:
PIM协议本义即为协议无关组播,PIM真正版本号仍为PIMv2。
唯一区别在于协议报文地址及组播数据报文地址均使用IPv6地址。
2.IPv6地址介绍
2.1 IPv6地址
IPv6地址的长度为128bit。一般用冒号分割为8段,每一段16bit,每一段内用十六进制表示。
2.2 地址空间
为什么IPv6协议的地址长度是128bit?
CPU处理字长发展至今分别经历了4bit、8bit、16bit、32bit、64bit等,当数据能用2的指数幂字长的二进制数表示时,CPU对数值的处理效率最高。
IPv4地址长度为32bit,原因之一就是当时互联网上的主机CPU字长为32bit。从处理效率和未来网络扩展性上考虑,将IPv6的地址长度定为128bit是十分合适的。
IPv6的128bit地址是一个什么概念?
IPv4有(232)= 4,294,967,296个地址。
IPv6有(2128 = 296x232 )= 340,282,366,920,938,463,463,374,607,431,768,211,456个地址(340万亿万亿万亿个地址),相当于地球表面每平方米可以分配到67万亿个地址。
夸张的说,地球上每一粒沙子都可以分配到一个IPv6地址。
2.3 IPv6地址格式
IPv4地址使用点隔开的4段十进制数加上掩码来表示,例如192.168.1.1/24。IPv6的地址有128位,沿用IPv4的十进制表示方法就显得太笨拙了,所以在RFC2373中定义了不同于IPv4的格式。
2.4 IPv6地址结构
一个IPv6地址可以分为如下两部分:
网络前缀:nbit,相当于IPv4地址中的网络ID。
接口标识:(128-n)bit,相当于IPv4地址中的主机ID。
IPv6单播地址示例:2001:0DB8:6101:0001:5ED9:98FF:FECA:A298/64。
2.5 IPv6地址前缀
鉴于IPv4地址在规划和分配上的局限性,IETF对IPv6地址类型进行了精细划分,不同类型的IPv6地址被赋予了不同的前缀,且受地址分配机构的严格管理。
目前有三种方式可以产生IPv6接口ID:
IEEE EUI-64规范
接口ID的典型长度是64位,IEEE EUI-64规范给出了一个由48位MAC地址自动生成64位Interface ID的方法。
具体的转换算法为:将上述的第7bit0转换为1,在MAC地址的中间(24bit处)插入两个字节:FFFE。
这种由MAC地址产生IPv6地址接口ID的方法可以减少配置的工作量,只需要获取一个IPv6前缀就可以与接口ID形成IPv6地址。
使用这种方式最大的缺点就是某些恶意者可以通过二层MAC推算出三层IPv6地址。
设备随机生成
设备采用随机生成的方法产生一个接口ID,目前Windows操作系统使用该方式。
手动配置
顾名思义,手动配置就是人为指定接口ID来实现。
2.7 IPv6地址类型
单播地址(Unicast Address):标识一个接口,目的地址为单播地址的报文会被送到被标识的接口。在IPv6中,一个接口拥有多个IPv6地址是非常常见的现象。
组播地址(Multicast Address):标识多个接口,目的地址为组播地址的报文会被送到被标识的所有接口。只有加入相应组播组的设备接口才会侦听发往该组播地址的报文。
任播地址(Anycast Address):任播地址标识一组网络接口(通常属于不同的节点)。目标地址是任播地址的数据包将发送给其中路由意义上最近的一个网络接口。
IPv6没有定义广播地址(Broadcast Address)
2.8 IPv6常见单播地址 - GUA
GUA(Global Unicast Address,全球单播地址),也被称为可聚合全球单播地址。该类地址全球唯一,用于需要有互联网访问需求的主机,相当于IPv4的公网地址。
全局路由前缀:由提供商指定给一个组织机构,一般至少为48bit。
子网ID:组织机构根据自身网络需求划分子网。
接口标识:用来标识一个设备的接口。
可以向运营商申请GUA或者直接向所在地区的IPv6地址管理机构申请。
2.9 IPv6常见单播地址 - ULA
ULA(Unique Local Address,唯一本地地址)是IPv6私网地址,只能够在内网中使用。该地址空间在IPv6公网中不可被路由,因此不能直接访问公网。
唯一本地地址使用FC00::/7地址块,目前仅使用了FD00::/8地址段。FC00::/8预留为以后拓展用。
ULA虽然只在有限范围内有效,但也具有全球唯一的前缀(虽然随机方式产生,但是冲突概率很低)。
2.10 IPv6常见单播地址 - LLA
LLA(Link-Local Address,链路本地地址)是IPv6中另一种应用范围受限制的地址类型。LLA的有效范围是本地链路,前缀为FE80::/10。
LLA用于一条单一链路层面的通信,例如IPv6地址无状态自动配置、IPv6邻居发现等。
源或目的IPv6地址为链路本地地址的数据包将不会被转发到始发的链路之外,换句话说,链路本地地址的有效范围为本地链路。
每一个IPv6接口都必须具备一个链路本地地址。华为设备支持自动生成和手工指定两种配置方式。
2.11 IPv6组播地址
IPv6组播地址标识某个组,目的为组播地址的报文会被送到该组播组内的成员。组播地址由前缀(FF::/8),标志(Flag)字段、范围(Scope)字段以及组播组ID(Group ID)4个部分组成。
2.12 IPv6组播MAC
组播IPv6报文的目的IP为组播IPv6地址,同样,目的MAC为组播MAC地址。
组播MAC的前16bit为“33:33”,是专门为IPv6组播预留的MAC地址前缀。后32bit从组播IPv6地址的后32bit直接映射而来。
以太网传输单播IP报文的时候,目的MAC地址是下一跳的MAC地址。但是在传输组播数据包时,其目的地不再是一个具体的接收者,而是一个成员不确定的组,所以要使用组播MAC地址。
IPv4组播MAC地址
IANA规定,IPv4组播MAC地址的高24bit为0x01005E,第25bit为0,低23bit为IPv4组播地址的低23bit映射。
由于IPv4组播地址的高4bit是1110,代表组播标识,而低28bit中只有23bit被映射到IPv4组播MAC地址,这样IPv4组播地址中就有5bit信息丢失。于是,就有32个IPv4组播地址映射到了同一个IPv4组播MAC地址上,因此在二层处理过程中,设备可能要接收一些本IPv4组播组以外的组播数据,而这些多余的组播数据就需要上层进行过滤了。
IPv6组播MAC地址
在以太网链路上发送IPv6组播数据包时,对应的MAC地址是0x3333-A-A-A-A,其中A-A-A-A是组播IP地址的后32bit的直接映射。
2.13 被请求节点组播地址
当一个节点具有了单播或任播地址,就会对应生成一个被请求节点组播地址,并且加入这个组播组。该地址主要用于邻居发现机制和地址重复检测功能。被请求节点组播地址的有效范围为本地链路范围。
被请求节点组播地址的应用场景举例:在IPv6中,ARP及广播都被取消,当设备需要请求某个IPv6地址对应的MAC地址时,设备依然需要发送请求报文,但是该报文是一个组播报文,其目的IPv6地址是目标IPv6单播地址对应的被请求节点组播地址,由于只有目标节点才会侦听这个被请求节点组播地址,所以该组播报文可以被目标节点所接收,同时不会占用其他非目标节点的网络性能。
2.14 被请求节点组播地址 - 示例
PC1发送数据至PC2前,首先需要获取其MAC地址。PC1将发起类似IPv4中ARP的解析流程,IPv6使用ICMPv6的NS及NA报文来实现地址解析过程,NS报文的目的IPv6地址为目标IPv6单播地址对应的被请求节点组播地址。
2.15 IPv6任播地址
任播地址标识一组网络接口(通常属于不同的节点)。任播地址可以作为IPv6报文的源地址,也可以作为目的地址。
任播过程涉及一个任播报文发起方和一个或多个响应方。
任播报文的发起方通常为请求某一服务(例如,Web服务)的主机。
任播地址与单播地址在格式上无任何差异,唯一的区别是一台设备可以给多台具有相同地址的设备发送报文。
网络中运用任播地址有很多优势:
业务冗余。比如,用户可以通过多台使用相同地址的服务器获取同一个服务(例如,Web服务)。这些服务器都是任播报文的响应方。如果不是采用任播地址通信,当其中一台服务器发生故障时,用户需要获取另一台服务器的地址才能重新建立通信。如果采用的是任播地址,当一台服务器发生故障时,任播报文的发起方能够自动与使用相同地址的另一台服务器通信,从而实现业务冗余。
提供更优质的服务。比如,某公司在A省和B省各部署了一台提供相同Web服务的服务器。基于路由优选规则,A省的用户在访问该公司提供的Web服务时,会优先访问部署在A省的服务器,提高访问速度,降低访问时延,大大提升了用户体验。
2.16 IPv6地址和IPv4地址比较
2.17 IPv6地址规划举例
地址规划设计建议:
根据获取到的地址前缀,首先确定子网地址划分为几个功能块(如图中的3+3+6+N),明确各功能块的含义、占用多少bit,避免地址浪费。
2.18 IPv6地址使用建议
地址规划要点:
一般而言,ISP从地址分配机构获取的IPv6地址至少为/32前缀长度。企业用户获得的前缀长度往往为/48。
虽然IPv6地址空间巨大,但是在规划网络时,依然需要对地址进行合理规划。
确保IPv6地址的全网唯一性(除某些特殊的应用外,如anycast)。
确保IPv6地址规划的连续性、可聚合性、可扩展性。
业务地址:可在IPv6地址中规划适当bit用于承载业务信息、VLAN信息或位置信息,利于路由规划、QoS部署。
用户地址:考虑为不同业务类型的用户预留连续的地址段。通过特定bit确定用户类型、分布区域等。
建议为终端网段(用户主机、服务器等)分配/64的前缀长度。
建议为P2P链路分配/127的前缀长度。
建议为Loopback接口分配/128的前缀长度。
3.IPv6报文结构
3.1 IPv6报文构成
IPv6报文一般由三个部分组成:
基本报头:提供报文转发的基本信息,路由器通过解析基本报头就能完成绝大多数的报文转发任务。
扩展报头:提供一些扩展的报文转发信息,如分段、加密等,该部分不是必需的,也不是每个路由器都需要处理,仅当需要路由器或目的节点做某些特殊处理时,才由发送方添加一个或多个扩展头。
上层协议数据单元:一般由上层协议报头和它的有效载荷构成,该部分与IPv4的上层协议数据单元相似。
从图中可以看出IPv6数据报文由以下几个部分组成:
IPv6基本报头(IPv6 Header)
每一个IPv6数据报文都必须包含报头,其长度固定为40字节。
基本报头提供报文转发的基本信息,会被转发路径上的所有路由器解析。
扩展报头(Extension Headers)
IPv6扩展报头是可能跟在基本IPv6报头后面的可选报头。IPv6数据包中可以包含一个或多个扩展报头,当然也可以没有扩展头,这些扩展报头可以具有不同的长度。IPv6报头和扩展报头代替了IPv4报头及其选项。新的扩展报头格式增强了IPv6的功能,使其具有极大的扩展性。与IPv4报头中的选项不同,IPv6扩展报头没有最大长度的限制,因此可以容纳IPv6通信所需要的所有扩展数据。扩展报头提供报文转发的扩展信息,并不会被路径上所有的路由器解析,一般只会被目的路由器解析处理。
上层协议数据单元(Upper Layer Protocol Data Unit)
上层协议数据单元一般由上层协议报头和它的有效载荷构成,有效载荷可以是一个ICMPv6报文、一个TCP报文或一个UDP报文。
3.2 IPv6基本报头
IPv6头部相较于IPv4的改进:
取消三层校验:协议栈中二层和四层的已提供校验,因此IPv6直接取消了IP的三层校验,节省路由器处理资源。
取消中间节点的分片功能:中间路由器不再处理分片,只在产生数据的源节点处理,省却中间路由器为处理分片而耗费的大量CPU资源。
定义定长的IPv6报头:有利于硬件的快速处理,提高路由器转发效率。
安全选项的支持:IPv6提供了对IPSec的完美支持,如此上层协议可以省去许多安全选项。
增加流标签:提高QoS效率。
IPv6基本报头也称之为固定报头。固定报头包含8个字段,总长度为40Byte。这8个字段分别为:版本(Version)、流量类型(Traffic Class)、流标签(Flow Label)、净荷长度(Payload Length)、下一个报头(Next Header)、跳数限制(Hop Limit)、源IPv6地址、目的IPv6地址。
版本(Version)
该字段规定了IP协议的版本,其值为6。长度为4bit。
流类别(Traffic Class)
该字段功能和IPv4中的服务类型功能类似,表示IPv6数据报文的类或优先级。长度为8bit。
流标签(Flow Label)
与IPv4相比,该字段是新增的。它用来标识这个数据报属于源节点和目标节点之间的一个特定数据报序列,它需要由中间IPv6路由器进行特殊处理。该字段长度为20bit。一般来说一个流可以通过源/目的IPv6地址和流标签来确定。
有效载荷长度(Payload Length)
该字段表示IPv6数据报有效载荷的长度。有效载荷是指紧跟IPv6报头的数据报的其它部分(即扩展报头和上层协议数据单元)。该字段长度为16bit,能表示最大长度为65535Byte的有效载荷。如果有效载荷的长度超过这个值,该字段会置0,而有效载荷的长度用逐跳选项扩展报头中的超大有效载荷选项来表示。
3.3 IPv6扩展报头
Next Header:下一报头,长度为8bit。与基本报头的Next Header的作用相同。指明下一个扩展报头(如果存在)或上层协议的类型。
Extension Header Length:报头扩展长度,长度为8bit。表示扩展报头的长度(不包含Next Header字段)。
Extension Header Data:扩展报头数据,长度可变。扩展报头的内容,为一系列选项字段和填充字段的组合。
IPv6报头设计中对原IPv4报头所做的一项重要改进就是将所有可选字段移出IPv6报头,置于扩展头中。IPv6扩展报头是可能跟在基本IPv6报头后面的可选报头。为什么在IPv6中要设计扩展报头呢?因为在IPv4的报头中包含了所有的选项,每个中间路由器都必须检查这些选项是否存在,如果存在,就必须处理它们。这种设计方法会降低路由器转发IPv4数据包的效率。为了解决转发效率问题,在IPv6中,相关选项被移到了扩展报头中。中间路由器就不需要处理每一个可能出现的选项,这种处理方式提高了路由器处理数据包的速度,也提高了其转发性能。
通常,一个典型的IPv6包,没有扩展头。仅当需要路由器或目的节点做某些特殊处理时,才由发送方添加一个或多个扩展头。与IPv4不同,IPv6扩展头长度任意,不受40Byte限制,以便于日后扩充新增选项,这一特征加上选项的处理方式使得IPv6选项能得以真正的利用。但是为了提高处理选项头和传输层协议的性能,扩展头总是8Byte长度的整数倍。
目前,RFC 2460中定义了以下6个IPv6扩展头:
逐跳选项报头:该扩展头被每一跳处理,可包含多种选项,如路由器告警选项。
目的选项报头:目的地处理, 可包含多种选项,如Mobile IPv6的家乡地址选项。
路由报头:指定源路由,类似IPv4源路由选项,IPv6源节点用来指定信息报到达目的地的路径上所必须经过的中间节点。IPv6基本报头的目的地址不是分组的最终目的地址,而是路由扩展头中所列的第一个地址。
分段报头:IP报文分片信息,只由目的地处理。
认证报头:IPSec用扩展头, 只由目的地处理。
封装安全净载报头:IPSec用扩展头,只由目的地处理。
逐跳选项扩展头和目的地选项扩展头内部提供选项功能,支持扩展性(如对移动性支持)。选项采用TLV方式。
如果数据报中没有扩展报头,也就是说数据包只包含基本报头和上层协议单元,基本报头的下一个报头(Next Header)字段值指明上层协议类型。在上例中,基本报头的下一个报头字段值为6,说明上层协议为TCP;如果报文有一个扩展报头,则基本报头的下一个报头(Next Header)字段值为扩展报头类型(在上例中,指明紧跟在基本报头后面的扩展报头为43,也就是路由报头),扩展报头的下一个报头字段指明上层协议类型;以此类推,如果数据报中报括多个扩展报头,则每一个扩展报头的下一个报头指明紧跟着自己的扩展报头的类型,最后一个扩展报头的下一个报头字段指明上层协议。
4.IPv6基础配置
4.1 配置介绍
1.使能设备的IPv6报文转发功能。
[<Huawei> system-view
[Huawei] ipv6
2.使能接口的IPv6功能。
[Huawei] interface interface-type interface-number
[Huawei-GigabitEthernet1/0/0] ipv6 enable
3.配置IPv6全球单播地址。
[Huawei-GigabitEthernet1/0/0] ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }
每个接口下最多可配置10个全球单播地址。
1.使能设备OSPFv3功能。
[<Huawei> system-view
[Huawei] ospfv3 [ process-id ]
OSPFv3支持多进程,一台路由器上启动的多个OSPFv3进程之间由不同的进程号区分。OSPFv3进程号在启动OSPFv3时进行设置,它只在本地有效,不影响与其它路由器之间的报文交换。
2.OSPFv3支持多进程,一台路由器上启动的多个OSPFv3进程之间由不同的进程号区分。OSPFv3进程号在启动OSPFv3时进行设置,它只在本地有效,不影响与其它路由器之间的报文交换。
[Huawei-ospfv3-1] router-id router-id
OSPFv3的Router ID必须手工配置,如果没有配置ID号,OSPFv3无法正常运行。
3.在接口上使能OSPFv3的进程,并指定所属区域。
[Huawei] interface interface-type interface-number
[Huawei-GigabitEthernet1/0/0] ospfv3 process-id area area-id
4.2 案例:配置一个双栈网络
配置需求:
配置R1、R2的接口IP地址。
R1和R2分别配置OSPFv2和OSPFv3,实现PC1和PC2的双栈互访。
1.在R1、R2全局和相关接口使能IPv6功能(以R1为例)。
[R1]ipv6
[R1]interface GigabitEthernet 1/0/0
[R1-GigabitEthernet1/0/0]ipv6 enable
[R1]interface GigabitEthernet 2/0/0
[R1-GigabitEthernet2/0/0]ipv6 enable
2.在PC、R1、R2相应接口配置IPv4和IPv6全球单播地址(以R1为例)。
[R1]interface GigabitEthernet 1/0/0
[R1-GigabitEthernet1/0/0]ip address 10.0.12.1 24
[R1-GigabitEthernet1/0/0]ipv6 address 2001:DB8:1::1 64
[R1]interface GigabitEthernet 2/0/0
[R1-GigabitEthernet2/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet2/0/0]ipv6 address 2001:DB8:2::1 64
3.在R1、R2配置OSPFv2使得PC1和PC2可以通过IPv4网络通信。
[R1]ospf 1 router-id 10.0.1.1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]quit
[R1-ospf-1]
[R2]ospf 1 router-id 10.0.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]quit
[R2-ospf-1]
在R1、R2配置OSPFv3使得PC1和PC2可以通过IPv6网络通信。
[R1]ospfv3
[R1-ospfv3-1]router-id 10.0.1.1
[R1-ospfv3-1]quit
[R1]interface gigabitethernet1/0/0
[R1-gigabitethernet1/0/0]ospfv3 1 area 0
[R1]interface gigabitethernet2/0/0
[R1-gigabitethernet2/0/0]ospfv3 1 area 0
[R2]ospfv3
[R2-ospfv3-1]router-id 10.0.2.2
[R2-ospfv3-1]quit
[R2]interface gigabitethernet1/0/0
[R2-gigabitethernet1/0/0]ospfv3 1 area 0
[R2]interface gigabitethernet2/0/0
[R2-gigabitethernet2/0/0]ospfv3 1 area 0
配置验证:
在R1上Ping PC1的IPv6地址(IPv4略)。
<R1>ping ipv6 2001:db88:2::2
PING 2001:db88:2::2 : 56 data bytes, press CTRL_C to break
Reply from 2001:DB88:2::2
bytes=56 Sequence=1 hop limit=255 time = 40 ms
Reply from 2001:DB88:2::2
bytes=56 Sequence=2 hop limit=255 time = 10 ms
在PC1上Ping PC2的IPv6地址(IPv4略)。
PC1>ping 2001:db88:3::2
Ping 2001:db88:3::2: 32 data bytes, Press Ctrl_C to break
From 2001:db88:3::2: bytes=32 seq=1 hop limit=64 time<1 ms
From 2001:db88:3::2: bytes=32 seq=2 hop limit=64 time=16 ms
From 2001:db88:3::2: bytes=32 seq=3 hop limit=64 time=16 ms
From 2001:db88:3::2: bytes=32 seq=4 hop limit=64 time<1 ms
思考
(简答题)简述IPv6相比于IPv4的优点。
(简答题)简述IPv6报文头相比于IPv4的不同之处。
1.“无限”地址空间,层次化的地址结构,即插即用,简化的报文头部,安全特性,移动性,增强的QoS特性。
2.IPv6与IPv4的不同之处:
采用了基本报头+扩展报头的报文形式。
取消了IP的校验:第二层和第四层的校验已经足够健壮了,因此IPv6直接取消了IP的三层校验,节省路由器处理资源。
取消中间节点的分片功能:中间路由器不再处理分片,只在产生数据的源节点处理,省却中间路由器为处理分片而耗费的大量CPU资源。
定义定长的IPv6报头:有利于硬件的快速处理,提高路由器转发效率。
安全选项的支持:IPv6提供了对IPSec的完美支持,如此上层协议可以省去许多安全选项。
增加流标签:提高QoS效率。
总结
IPv6作为下一代互联网协议,具备了IPv4无法比拟的诸多优点,可以完美解决现阶段IPv4无法满足的业务发展的问题。
IPv6不仅仅具有庞大的地址空间,除此以外,IPv6还简化了报文头,提升了路由器报文转发效率;IPv6地址易于划分与规划,便于路由聚合;IPv6可以实现即插即用,增强了QoS等等……
通过版本升级(OSPFv3)或者协议扩展(IS-IS、BGP4+),使得在IPv4网络中常用的动态路由协议在IPv6网络中仍然可以使用。
20.IPv6基础
https://www.cnblogs.com/linuxshare/p/16986998.html
21.IPv6地址配置
前言
IPv6是下一代互联网的核心协议,它解决了IPv4所暴露的诸多缺陷,如地址稀缺、路由表庞大、对移动设备支持不足等。
IPv6的一个突出特点是支持网络节点的地址自动配置,真正实现即插即用,极大地简化网络管理者的工作。
本课程将介绍IPv6地址自动配置的工作原理与配置实现。
课程能力
学完本课程后,您将能够:
描述IPv6无状态地址自动配置的工作原理
描述DHCPv6地址自动配置的工作原理
实现IPv6地址自动配置
1.IPv6地址配置方式
1.1 IPv6地址配置方式
IPv6地址配置的方式可以分为静态配置和动态配置。其中,动态地址配置又可以分为无状态地址自动配置(Stateless Address Autoconfiguration, SLAAC)和有状态地址自动配置(Stateful Address Autoconfiguration)。
1.2 IPv6地址自动配置的分类
无状态地址自动配置:
不需要IPv6地址分配服务器保存和管理每个节点的状态信息的一种IPv6地址自动配置方式,称之为IPv6无状态地址自动配置。
无状态地址自动配置方式基于NDP来实现。
有状态地址自动配置:
IPv6地址分配服务器必须保存每个节点的状态信息,并管理这些保存的信息,这种方式称之为IPv6有状态地址自动配置。
有状态地址自动配置基于DHCPv6(Dynamic Host Configuration Protocol for IPv6)来实现。
2.IPv6地址无状态自动配置
1.PC1根据本地的接口ID自动生成链路本地地址。
2.PC1对该链路本地地址进行DAD检测,如果该地址无冲突则可启用,此时PC1具备IPv6连接能力。
3.PC1发送RS报文,尝试在链路上发现IPv6路由器。
4.R1发送RA报文(携带可用于无状态地址自动配置的IPv6地址前缀。路由器在没有收到RS报文时也能够主动发出RA报文)。
5.PC1解析路由器发送的RA报文,获得IPv6地址前缀,使用该前缀加上本地的接口ID生成IPv6单播地址。
6.PC1对生成的IPv6单播地址进行DAD检测,如果没有检测到冲突,则启用该地址。
2.1 IPv6地址无状态自动配置过程
2.2 IPv6地址无状态自动配置示例
IPv6无状态地址配置通过交互RS和RA报文完成。
基于NDP的IPv6地址无状态自动配置具体过程如下(DAD略):
1.PC1首先生成链路本地地址FE80::1002,然后向本地链接中所有路由器发送路由器请求(RS)。
2.R1发送RA携带着用于无状态地址自动配置的前缀信息,本例中,该前缀为2001:DB8::/64。
3.PC1收到RA报文后,根据RA报文中携带的前缀信息加上接口ID生成IPv6地址2001:DB8::1002。
2.3 RA报文中的Flags字段
2.4 RA报文中的可选信息:地址前缀信息
A-bit,用于指示终端设备是否能使用该前缀进行无状态地址自动配置。
A-bit被设置为0时,此时终端不能使用该前缀进行无状态地址自动配置。
A-bit被设置为1时,终端可以使用该前缀进行无状态自动配置。
使用如下命令将该比特位设置为0: ipv6 nd ra prefix 2001:DB8:: 64 2592000 604800 no-autoconfig
2.5 RA报文中的可选信息:生存周期
当终端获取到前缀并生成IPv6单播地址后,首先进入Tentative状态,在通过DAD后,该地址将进入Preferred状态,并在Preferred lifetime内保持该状态。
在Preferred状态,终端可以正常收发报文。Preferred lifetime超时后,地址进入Deprecated状态,并在Valid lifetime内保持该状态。
在Deprecated状态,该地址仍然有效,现有的连接可以继续使用该地址,但是无法使用该地址建立新的连接。
当Valid lifetime超时后,地址进入Invalid状态,表示该地址无法继续使用。
3.DHCPv6
3.1 DHCPv6概述
DHCPv6针对IPv6编址方案设计,支持对客户端分配IPv6前缀、IPv6地址和其他网络配置参数,并记录这些信息,便于网络管理。
DHCPv6又分为如下三种:
DHCPv6有状态自动配置:DHCPv6服务器自动配置IPv6地址/前缀及其他网络配置参数(DNS、NIS、SNTP服务器地址等参数)。
DHCPv6无状态自动配置:主机IPv6地址仍然通过路由通告方式自动生成,DHCPv6服务器只分配除IPv6地址以外的配置参数,包括DNS服务器等参数。
DHCPv6 PD(Prefix Delegation,前缀代理)自动配置:下层网络路由器不需要再手工指定用户侧链路的IPv6地址前缀,它只需要向上层网络路由器提出前缀分配申请,上层网络路由器便可以分配合适的地址前缀给下层路由器,下层路由器把获得的前缀(前缀一般长度小于64)进一步自动细分成64位前缀长度的子网网段,把细分的地址前缀再通过路由通告(RA)至与IPv6主机直连的用户链路上,实现主机的地址自动配置,从而完成整个IPv6网络的层次化布局。
3.2 DHCPv6网络构成
DHCPv6基本协议架构中,主要包括以下三种角色:
DHCPv6 Client:DHCPv6客户端,通过与DHCPv6服务器进行报文交互,获取IPv6地址/前缀和其他网络配置参数,完成自身的网络配置。
DHCPv6 Server:DHCPv6服务器,负责处理来自客户端或中继的地址分配、地址续租、地址释放等请求,为客户端分配IPv6地址/前缀和其他网络配置参数。
DHCPv6 Relay:DHCPv6中继,负责转发来自客户端或服务器的DHCPv6报文,协助DHCPv6客户端和DHCPv6服务器完成地址配置功能。
3.3 DHCPv6中的常用概念
有效时间: Valid Lifetime,地址/前缀的生命周期。
优选时间: Preferred Lifetime,用于计算续租时间和重绑定时间。
T1: IPv6地址的续租(Renew)时间,默认是Preferred Lifetime的0.5倍。
T2: IPv6地址的重绑定(Rebind)时间,默认是Preferred Lifetime的0.8倍。
IA: Identity association,即身份联盟,是使得服务器和客户端能够识别、分组和管理一系列相关IPv6地址的结构,又分为IA_NA(非临时地址身份联盟)和IA_PD(代理前缀身份联盟)。
DUID: DHCP Unique Identifier,即DHCP设备唯一标识符。用来唯一标志一台设备,每个客户端、服务器、中继都有自己的DUID。
报文类型: Solicit、Advertise、Request、Reply、Information-Request、Renew、Rebind、Release、Confirm、Decline、Reconfigure、Relay-Forward、Relay-Reply等。
有效时间(Valid Lifetime):地址/前缀的生命周期。用于指定地址/前缀的过期时间,过期后所有使用该地址/前缀的用户下线。此时间必须配置为不小于3小时,且不得小于优先级时间。
优选时间(Preferred Lifetime):用于计算续租时间和重绑定时间。此时间必须配置为不小于2小时。
3.4 DHCPv6有状态自动配置 - 四步交互
四步交互是指DHCPv6客户端与服务器交互四次来完成前缀/地址等参数获取的过程。
DHCPv6客户端发送Solicit消息,请求DHCPv6服务器为其分配IPv6地址/前缀和网络配置参数。
DHCPv6服务器回复Advertise消息,通知客户端可以为其分配的地址/前缀和网络配置参数。
如果DHCPv6客户端接收到多个服务器回复的Advertise消息,则根据消息接收的先后顺序、服务器优先级等,选择其中一台服务器,并向该服务器发送Request消息,请求服务器确认为其分配地址/前缀和网络配置参数。
DHCPv6服务器回复Reply消息,确认将地址/前缀和网络配置参数分配给客户端使用。
3.5 DHCPv6有状态自动配置 - 两步交互
DHCPv6客户端可以在发送的Solicit消息中携带Rapid Commit选项,标识客户端希望服务器能够快速为其分配地址/前缀和网络配置参数。
DHCPv6客户端发送Solicit报文,携带Rapid Commit选项。
DHCPv6服务器接收到Solicit报文后,将会判断,如果DHCPv6服务器支持快速分配,则直接返回Reply报文,为客户端分配IPv6地址/前缀和其他网络配置参数。如果DHCPv6服务器不支持快速分配,则将采用四步交互方式。
两步交换可以提高DHCPv6分配过程的效率,但适用在网络中只存在一台DHCPv6服务器的情况下。在有多个DHCPv6服务器的网络中,多个DHCPv6服务器都可以为DHCPv6客户端分配IPv6地址/前缀和其他配置参数,但是客户端实际只能使用其中一个服务器为其分配的IPv6地址/前缀和配置参数。
3.6 地址/前缀租约更新
DHCPv6服务器分配的IPv6地址/前缀具有有效时间。地址/前缀的租借时间超过有效时间后,DHCPv6客户端不能再使用该地址/前缀。因此,在有效时间超时之前,如果DHCPv6客户端希望继续使用该地址/前缀,则需要更新地址/前缀的租约。
DHCPv6客户端在T1时刻(默认为Preferred Lifetime的1/2)发送Renew报文进行地址/前缀租约更新请求。
如果DHCPv6客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约。否则,DHCPv6服务器回应续约失败的Reply报文,通知DHCPv6客户端不能获得新的租约。
如果DHCPv6服务器未响应T1时刻DHCPv6客户端发出的Renew请求,则客户端会在T2(默认为Preferred Lifetime的0.8倍)向所有DHCPv6服务器组播发送Rebind请求更新租约。
DHCPv6客户端在T1时刻发送Renew请求更新租约,但是没有收到DHCPv6服务器的回应报文。
DHCPv6客户端在T2时刻,向所有DHCPv6服务器组播发送Rebind报文请求更新租约。
如果DHCPv6客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约。否则DHCPv6服务器回应续约失败的Reply报文,通知DHCPv6客户端不能获得新的租约。
3.7 DHCPv6无状态自动配置
DHCPv6服务器为已经具有IPv6地址/前缀的客户端分配除地址/前缀以外的其他网络配置参数,该过程称为DHCPv6无状态自动配置。
DHCPv6客户端以组播的方式向DHCPv6服务器发送Information-request报文,该报文中携带Option Request选项,指定客户端需要从服务器获取的配置参数。
服务器收到该报文后,为客户端分配网络配置参数,并单播发送Reply报文将网络配置参数返回给客户端。客户端检查Reply报文中提供的信息,如果与Information-request报文中请求的配置参数相符,则按照Reply报文中提供的参数进行网络配置;否则,忽略该参数。
在主机生成链路本地地址并检测无地址冲突后,会首先发起路由器发现过程,即主机发送RS报文,路由器回应RA报文。如果RA报文中M-bit为0,O-bit为1,则表示主机将通过DHCPv6无状态自动配置来获取除地址/前缀外的其他配置参数,如DNS、SIP、SNTP等服务器配置信息等。
3.8 DHCPv6 PD自动配置
在一个层次化的网络结构中,不同层次的IPv6地址配置一般是手工指定的。手工配置IPv6地址扩展性不佳,不利于IPv6地址的统一规划管理。DHCPv6 PD可以解决这个问题。
DHCPv6客户端发送Solicit报文,请求DHCPv6服务器为其分配IA_NA地址和IA_PD前缀。
DHCPv6服务器回复Advertise报文,通知客户端可以为其分配的IPv6地址和前缀。
如果客户端接收到多个服务器回复的Advertise报文,则根据Advertise报文中的服务器优先级等参数,选择优先级最高的一台服务器(若服务器优先级一样,则选择带有该客户端需要的配置参数的Advertise报文) ,并向其发送Request报文,请求为其分配地址/前缀。
DHCPv6服务器回复Reply报文,确认将IPv6地址/前缀分配给DHCPv6客户端。
DHCPv6客户端在收到PD前缀后,与终端进行RS/RA报文交互,在RA报文中将携带获取到的PD前缀下发至终端。
DHCPv6 PD一般用于网络中存在路由器(如本例中的DHCPv6客户端)需要继续为下连的IPv6主机分配前缀的场景,实现主机的地址自动配置,从而完成整个IPv6网络的层次化布局。
第1步中,DHCPv6客户端请求DHCPv6服务器为其分配IA_NA地址和IA_PD前缀,IA_NA可以理解为服务器为客户端WAN口分配的地址,IA_PD可以理解为服务器为客户端的LAN侧分配的前缀。
3.9 DHCPv6中继工作过程
当服务器和客户端不在一个网段时,需要使用到DHCPv6中继来完成IPv6地址/前缀和其他网络配置参数的获取。
DHCPv6客户端向所有DHCPv6服务器和DHCPv6中继的组播地址FF02::1:2发送请求报文。
DHCPv6中继收到客户端的报文后,将其封装在Relay-Forward报文的中继消息选项中,并将Relay-Forward报文发送给DHCPv6服务器或下一跳中继。
DHCPv6服务器从Relay-Forward报文中解析出DHCPv6客户端的请求,为DHCPv6客户端选取IPv6地址和其他配置参数,并将Relay-Reply报文发送给DHCPv6中继。
DHCPv6中继从Relay-Reply报文中解析出DHCPv6服务器的应答,转发给DHCPv6客户端。
3.10 DHCPv6地址确认过程
当客户端有断电、掉线、漫游等情况发生时,客户端会发送Confirm报文确认自己的IPv6地址是否可用。如果客户端确认的地址是合法的,则服务器回应;如果没有回应,则客户端需要重新启动地址申请流程。
3.11 DHCPv6地址冲突检测过程
客户端完成地址申请后,会在开始使用该地址前发起DAD探测。如果DAD检测到地址存在冲突,则客户端发送Decline消息通知服务器,并不再使用该地址。
3.12 DHCPv6地址释放过程
当客户端不需要再使用某地址时,将发送Release消息至服务器,发起释放地址的交互流程。
3.13 DHCPv6报文总结
Solicit:DHCPv6客户端发送该消息,请求DHCPv6服务器为其分配IPv6地址/前缀和网络配置参数
Advertise:DHCPv6服务器发送Advertise消息,通知客户端可以为其分配的地址/前缀和网络配置参数
Request: 如果DHCPv6客户端接收到多个服务器回复的Advertise消息,则根据消息接收的先后顺序、服务器优先级等,选择其中一台服务器,并向该服务器发送Request消息,请求服务器确认为其分配地址/前缀和网络配置参数
Reply: DHCPv6服务器发送Reply消息,确认将地址/前缀和网络配置参数分配给客户端使用
Information-Request: 客户端向DHCPv6服务器发送Information-request报文,该报文中携带Option Request选项,指定客户端需要从服务器获取的配置参数
Renew: 地址/前缀租借时间到达时间T1时,DHCPv6客户端会向为它分配地址/前缀的DHCPv6服务器单播发送Renew报文,以进行地址/前缀租约的更新
Rebind: 如果在T1时发送Renew请求更新租约,但是没有收到DHCPv6服务器的回应报文,则DHCPv6客户端会在T2时,向所有DHCPv6服务器组播发送Rebind报文请求更新租约
Confirm: 当有断电、掉线、漫游等情况发生时,客户端会发送Confirm报文确认自己的IP地址是否可用
Decline: 当客户端发现地址冲突时,发送Decline通知服务器
3.14 地址自动配置比较
4.IPv6地址自动配置实现
4.1 IPv6基本配置
1.使能设备转发IPv6单播报文的能力
[Huawei] ipv6
2.使能接口转发IPv6单播报文的能力
[Huawei-GigabitEthernet0/0/0] ipv6 enable
3.手工配置接口的链路本地地址
[Huawei-GigabitEthernet0/0/0] ipv6 address ipv6-address link-local
4.自动配置接口的链路本地地址。
[Huawei-GigabitEthernet0/0/0] ipv6 address auto link-local
5.手工配置接口的全球单播地址
[Huawei-GigabitEthernet0/0/0] ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }
6.自动配置接口的全球单播地址
[Huawei-GigabitEthernet0/0/0] ipv6 address auto { global | dhcp }
7.查看接口的IPv6信息
[Huawei] display ipv6 interface [ interface-type interface-number | brief ]
8.查看邻居表项信息
[Huawei] display ipv6 neighbors
9.使能接口发布RA报文功能
[Huawei-GigabitEthernet0/0/0] undo ipv6 nd ra halt
默认情况下,华为路由器接口抑制ICMPv6 RA报文的发送。此时,本网络的主机将不会定期收到更新IPv6地址前缀的信息。若需要周期性的向主机发布RA报文中的IPv6地址前缀和有状态自动配置标志位的信息时,使用undo ipv6 nd ra halt命令使能系统发布RA报文的功能。
4.2 IPv6地址配置举例 – 静态配置
配置需求:
R1的GE0/0/0和GE0/0/1接口采用手工方式配置IPv6地址。
R2的GE0/0/0接口通过无状态地址自动配置的方式获取IPv6地址。
R3的GE0/0/0接口通过DHCPv6的方式获取IPv6地址。
R1的GE0/0/0和GE0/0/1接口采用手工方式配置IPv6地址。
在R1、R2、R3使能IPv6,并且让接口自动生成链路本地地址(以R1为例)。
[R1]ipv6
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ipv6 enable
[R1-GigabitEthernet0/0/0]ipv6 address auto link-local
在R1的接口上配置IPv6全球单播地址
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ipv6 address 2001:DB8:13::1 64 [R1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ipv6 address 2001:DB8:12::1 64
R2的GE0/0/0接口通过无状态地址自动配置的方式获取IPv6地址。
在R1使能发布RA报文的功能。
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]undo ipv6 nd ra halt
配置R2的GE0/0/0接口自动获取IPv6地址。
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ipv6 address auto global
R3的GE0/0/0接口通过DHCPv6的方式获取IPv6地址
在R1上配置DHCPv6服务器功能。
[R1]dhcp enable
[R1]dhcpv6 pool pool1
[R1-dhcpv6-pool-pool1]address prefix 2001:DB8:13::/64
[R1-dhcpv6-pool-pool1]excluded-address 2001:DB8:13::1 [R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]dhcpv6 server pool1
配置R3的GE0/0/0接口通过DHCPv6的方式获取IPv6地址。
[R3]dhcp enable
[R3]interface GigabitEthernet 0/0/0
[R3-GigabitEthernet0/0/0]ipv6 address auto dhcp
验证R2自动配置的IPv6地址:
[R2]display ipv6 interface GigabitEthernet 0/0/0
GigabitEthernet0/0/0 current state : UP
IPv6 protocol current state : UP
IPv6 is enabled, link-local address is FE80::2E0:FCFF:FEAD:675F
Global unicast address(es):
2001:DB8:12::2E0:FCFF:FEAD:675F,
subnet is 2001:DB8:12::/64 [SLAAC]
Joined group address(es):
FF02::1:FFAD:675F
FF02::2
FF02::1
MTU is 1500 bytes
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND retransmit interval is 1000 milliseconds
Hosts use stateless autoconfig for addresses
在R3上使用display dhcpv6 client命令查看地址分配信息:
[R3]display dhcpv6 client
GigabitEthernet0/0/0 is in stateful DHCPv6 client mode.
State is BOUND.
Preferred server DUID : 0003000100E0FC401312
Reachable via address : FE80::2E0:FCFF:FE40:1312
IA NA IA ID 0x00000031 T1 43200 T2 69120
Obtained : 2020-06-17 09:49:58
Renews : 2020-06-17 21:49:58
Rebinds : 2020-06-18 05:01:58
Address : 2001:DB8:13::3
Lifetime valid 172800 seconds, preferred 86400 seconds
Expires at 2020-06-19 09:49:58(172159 seconds left)
思考
(单选题)基于NDP的无状态地址自动配置,以下说法正确的是( )。
基于NDP的无状态地址自动配置可以为主机分配128位的IPv6地址
基于NDP的无状态地址自动配置可以为主机分配IPv6前缀或IPv6地址
基于NDP的无状态地址自动配置只能为主机分配IPv6前缀
基于NDP的无状态地址自动配置可以为主机分配DNS
(多选题)在DHCPv6的工作过程中,以下哪些过程用到了Reply报文( )。
DHCPv6信息获取过程
DHCPv6前缀分配两步交互过程
DHCPv6地址分配四步交互过程
DHCPv6地址释放过程
DHCPv6地址续约过程
总结
IPv6地址配置可以分为静态配置和动态配置。网络设备互联IPv6地址、环回接口IPv6地址等往往采用静态配置的方式,而终端通常采用动态自动配置方式。
本课程重点介绍了IPv6地址动态自动配置的两种方式:基于NDP的无状态地址自动配置和基于DHCPv6的有状态地址自动配置。无状态地址自动配置只支持分配64bit的前缀,扩展性较差,对地址的管控较弱。有状态地址自动配置可以实现更加丰富的功能,如PD前缀分配等。
客户端采用何种IPv6地址自动配置方式是由路由器RA报文中的M-bit和O-bit的配置决定的,实际网络中,需要结合实际场景决定合理的地址配置方式。
22.ICMPv6和NDP
前言
在IPv4中,ICMP允许主机或设备报告差错情况。ICMP报文作为IP报文的数据部分,再封装上IP报文首部,组成完整的IP报文发送出去。常用的Ping、Tracert等命令都是基于ICMP实现的。
IPv6定义了ICMPv6(Internet Control Message Protocol for IPv6),除了提供类似ICMP的功能外,还有诸多扩展。邻居发现协议(Neighbor Discovery Protocol,以下简称NDP)便是基于ICMPv6实现的,作为IPv6的关键协议,NDP提供了如前缀发现、重复地址检测、地址解析、重定向等功能。
本课程详细介绍ICMPv6和NDP。
课程能力
学完本课程后,您将能够:
描述ICMPv6的功能
描述ICMPv6的报文格式
描述ICMPv6的报文类型
描述NDP的功能
1.ICMPv6介绍
1.1 ICMPv6概述-ICMP
Internet控制消息协议ICMP (Internet Control Message Protocol)是IP协议的辅助协议。
ICMP协议用来在网络设备间传递各种差错和控制信息,对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。
为了更有效地转发IP数据报文和提高数据报文交互成功的机会,在网络层使用ICMP协议。ICMP允许主机或设备报告差错情况和提供有关异常情况的报告。
ICMP消息:
ICMP消息封装在IP报文中,IP报文头部Protocol值为1时表示ICMP协议。
字段解释:
ICMP消息的格式取决于Type和Code字段,其中Type字段为消息类型,Code字段包含该消息类型的具体参数。
校验和字段用于检查消息是否完整。
1.1 ICMPv6概述-ICMP差错检测
ICMP Echo消息常用于诊断源和目的地之间的网络连通性,同时还可以提供其他信息,如报文往返时间等。
功能:Ping
Ping是网络设备、Windows、Unix和Linux平台上的一个命令,其实是一个小巧而实用的应用程序,该应用基于ICMP协议。
Ping常用于探测到达目的节点的网络可达性。
ICMP的一个典型应用是Ping。Ping是检测网络连通性的常用工具,同时也能够收集其他相关信息。用户可以在Ping命令中指定不同参数,如ICMP报文长度、发送的ICMP报文个数、等待回复响应的超时时间等,设备根据配置的参数来构造并发送ICMP报文,进行Ping测试。
1.1 ICMPv6概述-ICMP错误报告
ICMP定义了各种错误消息,用于诊断网络连接性问题;根据这些错误消息,源设备可以判断出数据传输失败的原因。
功能:Tracert
Tracert基于报文头中的TTL值来逐跳跟踪报文的转发路径。Tracert是检测网络丢包和时延的有效手段,同时可以帮助管理员发现网络中的路由环路。```
1.1 ICMPv6概述-ICMPv6概述
ICMPv6是IPv6的基础协议之一。
在IPv6报文头部中,Next Header字段值为58则对应为ICMPv6报文。
ICMPv6报文用于通告相关信息或错误。
ICMPv6报文被广泛应用于其它协议中,包括NDP、Path MTU发现机制等。
ICMPv6控制着IPv6中的地址自动配置、地址解析、地址冲突检测、路由选择、以及差错控制等关键环节。
1.2 ICMPv6报文格式
ICMPv6报文载荷由ICMPv6报文类型决定,因报文类型的不同而不同。
Type:表明消息的类型。
Code:表示消息类型的细分。
Checksum:表示ICMPv6报文的校验和。
1.3 ICMPv6报文类型及作用-ICMPv6报文类型
ICMPv6报文分为两类:差错报文和信息报文。
差错报文:
差错报文(Error Messages),也称为差错消息,Type字段最高bit为0,也就是ICMPv6 Type=[0,127]
差错消息用于报告在转发IPv6数据包过程中出现的错误,如常见的目的不可达、超时等等。
信息报文:
信息报文(Information Messages) ,也称为信息消息,Type字段最高bit为1,也就是ICMPv6 Type=[128,255]
信息报文可以用来实现同一链路上节点间的通信和子网内的组播成员管理等。
1.3 ICMPv6报文类型及作用-ICMPv6差错报文应用 - Path MTU发现
在IPv6中,中间转发设备不对IPv6报文进行分片,报文的分片将在源节点进行。
PMTU(Path MTU)就是路径上的最小接口MTU。
PMTUD(Path MTU发现机制)的主要目的是发现路径上的MTU,当数据包被从源转发到目的地的过程中避免分段。
依赖PMTUD,数据的发送方可以使用所发现到的最优PMTU与目的地节点进行通信,这样可以避免数据包在从源传输到目的的过程之中,被中途的路由器分片而导致性能的下降。
1.首先PC1用1500字节作为MTU向PC2发送IPv6数据包。
2.R1意识到数据包过大,出站接口MTU为1400字节,于是回复一个ICMPv6(Type=2)报文给PC1,指定MTU值为1400字节。
3.然后,PC1开始使用1400作为MTU发送IPv6数据。
4.数据包到达R2后,R2意识到出站接口MTU为1300字节,于是发送一个ICMPv6(Type=2)报文给PC1,指定MTU值为1300字节。
5.PC1开始使用1300作为MTU发送IPv6数据。
1.3 ICMPv6报文类型及作用-ICMPv6信息报文应用 - Ping
Ping基于ICMPv6信息报文实现
Echo Request:用于发送到目标节点,以使目标节点立即发回一个Echo Reply应答报文。Echo Request报文的Type字段值为128,Code字段的值为0。
Echo Reply:当收到一个Echo Request报文时,ICMPv6会用Echo Reply报文响应。Echo Reply报文的Type字段的值为129,Code字段的值为0。
1.3 ICMPv6报文类型及作用-ICMPv6其它常用的报文
邻居发现(RFC2461和RFC4861)
Type=133 路由器请求(Router Solicitation)
Type=134 路由器公告(Router Advertisement)
Type=135 邻居请求(Neighbor Solicitation)
Type=136 邻居公告(Neighbor Advertisement)
Type=137 重定向 (Redirect)
组播侦听者发现协议(RFC2710和RFC3810)
Type=130 查询消息
Type=131 报告消息
Type=132 离开消息
Type=143 MLDv2报告消息
2.NDP介绍
2.1 NDP概述
RFC2461定义了IPv6邻居发现协议NDP。NDP是IPv6中非常核心的组件。其主要功能如下:
路由器发现: 发现链路上的路由器,获得路由器通告的信息。
无状态自动配置: 通过路由器通告的地址前缀,终端自动生成IPv6地址。
重复地址检测: 获得地址后,进行地址重复检测,确保地址不存在冲突。
地址解析: 请求目的网络地址对应的数据链路层地址,类似IPv4的ARP。
邻居状态跟踪: 通过NDP发现链路上的邻居并跟踪邻居状态。
前缀重编址: 路由器对所通告的地址前缀进行灵活设置,实现网络重编址。
重定向: 告知其他设备,到达目标网络的更优下一跳。
2.1 NDP概述-NDP报文类型及功能
NDP使用以下几种ICMPv6报文:
RS(Router Solicitation):路由器请求报文
RA(Router Advertisement):路由器通告报文
NS(Neighbor Solicitation):邻居请求报文
NA(Neighbor Advertisement):邻居通告报文
2.2 路由器发现
路由器发现是指主机发现本地链路上路由器和确定其配置信息的过程。
路由器发现可以同时实现以下三个功能:
路由器发现 (Router Discovery):主机定位邻居路由器以及选择哪一个路由器作为缺省网关的过程。
前缀发现 (Prefix Discovery):主机发现本地链路上的一组IPv6前缀的过程,用于主机的地址自动配置。
参数发现 (Parameter Discovery):主机发现相关操作参数的过程,如输出报文的缺省跳数限制、地址配置方式等信息。
使用报文:
RS 路由器请求
RA 路由器通告
协议交互主要有两种情况:
主机发送RS触发路由器回应RA
路由器周期发送RA
路由器发现流程 - 主机请求触发
当主机启动时,主机会向本地链路范围内所有的路由器发送RS报文,触发路由器响应RA报文。主机发现本地链路上的路由器后,自动配置缺省路由器,建立缺省路由表、前缀列表和设置其它的配置参数。
路由器发现流程 - 路由器周期性发送
路由器周期性的发送RA报文,RA发送间隔是一个有范围的随机值,缺省的最大时间间隔是600秒,最小时间间隔是200秒。
对于定期发送的RA报文,其地址有如下要求:
Source Address:必须是发送接口的链路本地地址。
Destination Address :FF02::1。
2.3 地址解析
IPv6地址解析通过ICMPv6(NS和NA报文)来实现。
在三层完成地址解析,主要带来以下几个好处:
地址解析在三层完成,不同的二层介质可以采用相同的地址解析协议。
可以使用三层的安全机制避免地址解析攻击。
使用组播方式发送请求报文,减少了二层网络的性能压力。
本例中,当PC1要传送数据包到PC2时,如果不知道PC2的链路层地址,则需要完成以下协议交互过程:
PC1发送一个NS报文到网络上,目的地址为PC2对应的被请求节点组播地址(FF02::1:FF84:EFDC),选项字段中带上PC1的链路层地址000D-88F8-03B0。
PC2侦听到该NS报文后,由于报文的目的地址FF02::1:FF84:EFDC,自己在该组播组,处理该报文;同时,根据NS报文的源地址和源链路层地址选项更新自己的邻居缓存表项。
PC2发送一个NA报文应答NS,同时在消息的目标链路层地址选项中带上自己的链路层地址0013-7284-EFDC。
PC1接收到NA报文后,获悉了PC2的链路层地址,创建一个目标节点的邻居缓存表项。
这样通过交互后,PC1和PC2就知道了对方的链路层地址,建立其对方的邻居缓存表项(类似于IPv4的ARP表),就可以相互通信了。
2.4 邻居状态跟踪-IPv6邻居状态
IPv6邻居状态表中缓存了IPv6地址与MAC地址的映射,可以通过display ipv6 neighbors命令来查看IPv6邻居状态表。
IPv6节点需要维护一张邻居表,每个邻居都有相应的状态,状态之间可以迁移。5种邻居状态分别是:未完成(Incomplete)、可达(Reachable)、陈旧(Stale)、延迟(Delay)、探查(Probe)。
Incomplete:邻居不可达。正在进行地址解析,邻居的链路层地址未探测到,如果解析成功,则进入Reachable状态。
Reachable: 邻居可达。表示在规定时间(邻居可达时间,缺省情况下是30秒)内邻居可达。如果超过规定时间,该表项没有被使用,则表项进入Stale状态。
Stale: 邻居是否可达未知。表明该表项在规定时间(邻居可达时间,缺省情况下是30秒)内没有被使用。此时除非有发送到邻居的报文,否则不对邻居是否可达进行探测。
Delay: 邻居是否可达未知。已向邻居发送报文,如果在指定时间内没有收到响应,则进入Probe状态。
Probe: 邻居是否可达未知。已向邻居发送NS报文,探测邻居是否可达。在规定时间内收到NA报文回复,则进入Reachable状态;否则进入Incomplete状态。
2.4 邻居状态跟踪-邻居状态迁移
R1先发送NS报文,并生成缓存条目,此时,邻居状态为Incomplete。
若收到R2回复的NA报文,则邻居状态由Incomplete变为Reachable,否则固定时间后邻居状态由Incomplete变为Empty。
经过邻居可达时间(默认30s),邻居状态由Reachable变为Stale,即未知是否可达。
如果在Reachable状态,R1收到R2的非请求NA报文,且其中携带的R2的链路层地址和表项中不同,则邻居状态马上变为Stale。
在Stale状态若R1要向R2发送数据,则邻居状态由Stale变为Delay,并发送NS请求。
在经过一段固定时间后,邻居状态由Delay变为Probe,其间若有NA应答,则邻居状态由Delay变为Reachable。
在Probe状态,R1每隔一定时间间隔(默认1s)发送单播NS,发送固定次数后,有应答则邻居状态变为Reachable,否则邻居状态变为Empty。
2.5 重复地址检测
重复地址检测(Duplicate Address Detect,DAD)是指接口在使用某个IPv6地址之前,需要先探测是否有其它的节点使用了该地址,从而确保网络中没有两个相同的单播地址。
接口在启用任何一个单播IPv6地址前都需要先进行DAD,包括Link-Local地址。
重复地址检测是节点确定即将使用的地址是否被另一节点使用的过程。在节点自动配置某个接口的IPv6单播地址之前,必须在本地链路范围内验证要使用的地址是唯一的,并且未被其他节点使用过。只要NS报文发送到本地链路上(缺省发送一次NS报文),如果在规定时间内没有NA报文进行应答,则认为这个临时单播地址在本地链路上是唯一的,可以分配给接口;反之,这个临时地址是重复的,不能配置到接口。
一个地址在通过重复地址检测之前称为“tentative地址”,即“试验地址”。此时该接口不能使用这个试验地址进行单播通讯。
若2个节点配置相同地址,同时作重复地址检测时,当一方收到对方发出的DAD NS报文,则接收方将不启用该地址。
特殊情况:有两台主机同时分配到同一个IP地址。假设PC1和PC2都想使用2000::1这个地址,那么进一步假设PC1先发送NS,PC2收到以后将不会发送NS了(当然也不会发送NA),直接停止使用2000::1这个地址,等待其他方式生成新的地址。如果同时收到NS报文,则都会放弃使用2000::1地址。
2.6 重定向
重定向是指网关设备发现报文从其它网关设备转发更优,它就会发送重定向报文告知报文的发送者,让报文发送者选择另一个网关设备。
思考题
(多选题)ICMPv6报文类型分为哪几大类?
差错报文
信息报文
其他报文
参数报文
(多选题) IPv6地址解析通过以下哪种报文实现?
RS
RA
NS
NA
总结
ICMPv6是IPv6的基础协议之一,具有差错报文和信息报文两种,用于IPv6节点报告报文处理过程中的错误和信息。其中,差错报文用于报告在转发IPv6数据包过程中出现的错误,如常见的目的不可达、超时等等;信息报文则可以实现路由器发现,重复地址检测,组播成员管理等等。
NDP是5个ICMPv6信息报文的“打包”,Type133、134为RS、RA报文,可以实现路由器发现,实现主机的网关发现,地址的自动配置;Type135、136为NS、NA报文,可以实现邻居链路层地址解析,重复地址检测;Type137为重定向报文,可以实现重定向。
23.以太网交换安全
前言
目前网络中以太网技术的应用非常广泛。然而,各种网络攻击的存在(例如针对ARP、DHCP等协议的攻击),不仅造成了网络合法用户无法正常访问网络资源,而且对网络信息安全构成严重威胁,因此以太网交换的安全性越来越重要。
本章节主要介绍常见的以太网交换安全技术,包括端口隔离、端口安全、MAC地址漂移检测、风暴控制、端口限速、MAC地址表安全、DHCP Snooping及IP Source Guard等常见技术,以提高对以太网交换安全的理解和认识。
课程能力
学完本课程后,您将能够:
阐明端口隔离的类型及配置
阐明端口安全的技术原理
实现MAC地址漂移检测
阐明交换机流量抑制与风暴控制功能
阐明DHCP Snooping技术应用场景
阐明IP Source Guard工作原理
1.端口隔离
1.1 端口隔离技术背景
以太交换网络中为了实现报文之间的二层隔离,用户通常将不同的端口加入不同的VLAN,实现二层广播域的隔离。
大型网络中,业务需求种类繁多,只通过VLAN实现报文二层隔离,会浪费有限的VLAN资源。
如下图所示,由于某种业务需求,PC1与PC2虽然属于同一个VLAN ,但是要求它们在二层不能互通(但允许三层互通),PC1与PC3在任何情况下都不能互通,但是VLAN 3里的主机可以访问VLAN 2里的主机。 那么该如何解决这个问题呢?
1.2 端口隔离技术概述
采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
1.3 端口隔离技术原理
双向隔离:同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。端口隔离只是针对同一设备上的端口隔离组成员,对于不同设备上的接口而言,无法实现该功能。
单向隔离: 为了实现不同端口隔离组的接口之间的隔离,可以通过配置接口之间的单向隔离来实现。缺省情况下,未配置端口单向隔离。
L2(二层隔离三层互通): 隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信。缺省情况下,端口隔离模式为二层隔离三层互通。
ALL(二层三层都隔离):同一VLAN的不同端口下用户二三层彻底隔离无法通信。
采用二层隔离三层互通的隔离模式时,在VLANIF接口上使能VLAN内Proxy ARP功能,配置arp-proxy inner-sub-vlan-proxy enable,可以实现同一VLAN内主机通信。
1.4 端口隔离配置命令
1.使能端口隔离功能
[Huawei-GigabitEthernet0/0/1] port-isolate enable [ group group-id ]
缺省情况下,未使能端口隔离功能。如果不指定group-id参数时,默认加入的端口隔离组为1。
2.(可选)配置端口隔离模式
[Huawei] port-isolate mode { l2 | all }
缺省情况下,端口隔离模式为L2。
L2 端口隔离模式为二层隔离三层互通。
all 端口隔离模式为二层三层都隔离。
3.配置端口单向隔离
[Huawei-GigabitEthernet0/0/1] am isolate {interface-type interface-number }&<1-8>
am isolate命令用来配置当前接口与指定接口的单向隔离。在接口A上配置与接口B之间单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。缺省情况下,未配置端口单向隔离。
1.5 端口隔离配置举例
如图所示:PC1、PC2和PC3属于VLAN 2,通过配置端口隔离,使PC3可以与PC1、PC2通信,但是PC1和PC2之间无法通信。
Switch配置如下:
[Switch] vlan 2
[Switch] port-isolate mode all
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2
[Switch-GigabitEthernet0/0/1] port-isolate enable group 2
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 2
[Switch-GigabitEthernet0/0/2] port-isolate enable group 2
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 2
端口隔离配置验证
1.通过display port-isolate group group-number查看端口隔离组中的端口。
[SW]display port-isolate group 2
The ports in isolate group 2:
GigabitEthernet0/0/1 GigabitEthernet0/0/2
2. 验证同一端口隔离组下主机网络不能互通。
PC1>ping 10.1.1.2
Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
From 10.1.1.1: Destination host unreachable
--- 10.1.1.2 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
display port-isolate group { group-id | all },查看端口隔离组的配置。
clear configuration port-isolate命令一键式清除设备上所有的端口隔离配置。
port-isolate exclude vlan命令配置端口隔离功能生效时排除的VLAN。
2.MAC地址表安全
2.1 MAC地址表项类型
MAC地址表项类型包括:
动态MAC地址表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。
静态MAC地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。
黑洞MAC地址表项:由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。
MAC地址表记录了交换机学习到的MAC地址与接口的对应关系,以及接口所属VLAN等信息。
设备在执行二层交换操作时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,并且收到该报文的接口与对应的表项的接口不相同时,则直接通过该表项中的出接口转发该报文;如果相同,则丢弃该报文。
如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播方式在所属VLAN内除接收接口外的所有接口转发该报文。
2.2 MAC地址表安全功能
实现MAC地址表安全
静态MAC地址表项:将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项,可以保证其安全通信。
黑洞MAC地址表项:防止黑客通过MAC地址攻击网络,交换机对来自黑洞MAC或者去往黑洞MAC的报文采取丢弃处理。
动态MAC地址老化时间: 合理配置动态MAC地址表项的老化时间,可以防止MAC地址爆炸式增长。
禁止MAC地址学习功能: 对于网络环境固定的场景或者已经明确转发路径的场景,通过配置禁止MAC地址学习功能,可以限制非信任用户接入,防止MAC地址攻击,提高网络安全性。
限制MAC地址学习数量:在安全性较差的网路环境中,通过限制MAC地址学习数量,可以防止攻击者通过变换MAC地址进行攻击。
为了防止一些关键设备(如各种服务器或上行设备)被非法用户恶意修改其MAC地址表项,可将这些设备的MAC地址配置为静态MAC地址表项,因为静态MAC地址表项优先于动态MAC地址表项,不易被非法修改。
为了防止无用MAC地址表项占用MAC地址表,同时为了防止黑客通过MAC地址攻击用户设备或网络,可将那些有着恶意历史的非信任MAC地址配置为黑洞MAC地址,使设备在收到目的MAC或源MAC地址为这些黑洞MAC地址的报文时,直接予以丢弃,不修改原有的MAC地址表项,也不增加新的MAC地址表项。
为了减轻手工配置静态MAC地址表项,华为S系列交换机缺省已使能了动态MAC地址表项学习功能。但为了避免MAC地址表项爆炸式增长,可合理配置动态MAC表项的老化时间,以便及时删除MAC地址表中的废弃MAC地址表项。
为了提高网络的安全性,防止设备学习到非法的MAC地址,错误地修改MAC地址表中的原MAC地址表项,可以选择关闭设备上指定接口或指定VLAN中所有接口的MAC地址学习功能,这样设备将不再从这些接口上学习新的MAC地址。
配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
2.3 MAC地址表项配置
1.配置静态MAC表项
[Huawei] mac-address static mac-address interface-type interface-number vlan vlan-id
指定的VLAN必须已经创建并且已经加入绑定的端口;指定的MAC地址,必须是单播MAC地址,不能是组播和广播MAC地址。
2.配置黑洞MAC表项
[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]
当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
3.配置动态MAC表项的老化时间
[Huawei] mac-address aging-time aging-time
2.4 禁止MAC地址学习功能和数量
禁止MAC地址学习功能
1.关闭基于接口的MAC地址学习功能
[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward } ]
缺省情况下,接口的MAC地址学习功能是使能的:
关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发。
当配置动作为discard时,会对报文的源MAC地址进行匹配,当接口和MAC地址与MAC地址表项匹配时,则对该报文进行转发。当接口和MAC地址与MAC地址表项不匹配时,则丢弃该报文。
2.关闭基于VLAN的MAC地址学习功能
[Huawei-vlan2] mac-address learning disable
缺省情况下,VLAN的MAC地址学习功能是使能的。
当同时配置基于接口和基于VLAN的禁止MAC地址学习功能时,基于VLAN的优先级要高于基于接口的优先级配置。
限制MAC地址学习数量
1.配置基于接口限制MAC地址学习数
[Huawei-GigabitEthernet0/0/1] mac-limit maximum max-num
缺省情况下,不限制MAC地址学习数。
2.配置当MAC地址数达到限制后,对报文应采取的动作
[Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }
缺省情况下,对超过MAC地址学习数限制的报文采取丢弃动作。
3.配置当MAC地址数达到限制后是否进行告警
[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }
缺省情况下,对超过MAC地址学习数限制的报文进行告警。
4.配置基于VLAN限制MAC地址学习数
[Huawei-vlan2] mac-limit maximum max-num
缺省情况下,不限制MAC地址学习数。
2.5 MAC地址表安全配置举例
实验要求:
网络拓扑基本配置已完成,用户网络1属于VLAN 10,用户网络2属于VLAN 20。
在Switch3上配置禁止学习来自用户网络1的MAC地址。
在Switch3上配置限制用户网络2的MAC地址学习数量。
Switch3的配置如下:
配置方式一:在接口视图下配置
# 在接口GE0/0/1上配置禁止MAC地址学习
[Switch3-GigabitEthernet0/0/1] mac-address learning disable action discard
#在接口GE0/0/2上配置限制MAC地址学习数量,超过阈值策略及告警
[Switch3-GigabitEthernet0/0/2] mac-limit maximum 100
[Switch3-GigabitEthernet0/0/2] mac-limit alarm enable
[Switch3-GigabitEthernet0/0/2] mac-limit action discard
配置方式二:在VLAN视图下配置
# 在VLAN 10上配置禁止MAC地址学习
[Switch3-vlan10] mac-address learning disable
#在VLAN 20上配置限制MAC地址学习数量与告警
[Switch3-vlan20] mac-limit maximum 100 alarm enable
配置验证:
执行display mac-limit命令,查看MAC地址学习限制规则是否配置成功。
[Switch3]display mac-limit
MAC Limit is enabled
Total MAC Limit rule count : 2
PORT VLAN/VSI/SI SLOT Maximum Rate(ms) Action Alarm
----------------------------------------------------------------------------
GE0/0/2 - - 100 - forward enable
- 20 - 100 - forward enable
3.端口安全
3.1 端口安全技术背景
企业要求接入层交换机上每个连接终端设备的接口均只允许一台PC接入网络(限制MAC地址接入数量)。如果有员工试图在某个接口下级联一台小交换机或集线器从而扩展上网接口,那么这种行为应该被发现或被禁止,如左图所示。
另一些企业还可能会要求只有MAC地址为可信任的终端发送的数据帧才允许被交换机转发到上层网络,员工不能私自更换位置(变更交换机的接入端口),如右图所示。
通过交换机的端口安全(port security)特性可以解决这些问题。
3.2 端口安全概述
通过在交换机的特定接口上部署端口安全,可以限制接口的MAC地址学习数量,并且配置出现越限时的惩罚措施。
端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC,安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
3.3 端口安全技术原理
安全动态MAC地址的老化类型分为:绝对时间老化和相对时间老化。
如设置绝对老化时间为5分钟:系统每隔1分钟计算一次每个MAC的存在时间,若大于等于5分钟,则立即将该安全动态MAC地址老化。否则,等待下1分钟再检测计算。
如设置相对老化时间为5分钟:系统每隔1分钟检测一次是否有该MAC的流量。若没有流量,则经过5分钟后将该安全动态MAC地址老化。
默认情况下,接口关闭(error-down)后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。
如果用户希望被关闭的接口可以自动恢复,则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause port-security interval interval-value命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,使被关闭的接口经过延时时间后能够自动恢复。
当端口安全功能或者Sticky MAC功能使能/去使能时,接口上的MAC地址变化如下:
端口安全功能
使能之后,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。
去使能之后,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址。
Sticky MAC功能
使能之后,接口上的安全动态MAC地址表项将转化为Sticky MAC地址,之后学习到的MAC地址也变为Sticky MAC地址。
去使能之后,接口上的Sticky MAC地址,会转换为安全动态MAC地址。
3.4 端口安全技术应用
在对接入用户的安全性要求较高的网络中,可以配置端口安全功能及端口安全动态MAC学习的限制数量。此时接口学习到的MAC地址会被转换为安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,仅允许这些MAC地址和交换机通信。而且接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,无论目的MAC地址是否存在,交换机即认为有非法用户攻击,就会根据配置的动作对接口做保护处理。这样可以阻止其他非信任用户通过本接口和交换机通信,提高交换机与网络的安全性。
配置端口安全功能后,接口学习到的MAC地址会转换为安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,仅允许这些MAC地址和交换机通信。如果接入用户发生变动,可以通过设备重启或者配置安全MAC老化时间刷新MAC地址表项。对于相对比较稳定的接入用户,如果不希望后续发生变化,可以进一步使能接口Sticky MAC功能,这样在保存配置之后,MAC地址表项不会刷新或者丢失。
3.5 端口安全配置命令
1.使能端口安全功能
[Huawei-GigabitEthernet0/0/1] port-security enable
缺省情况下,未使能端口安全功能。
2.配置端口安全动态MAC学习限制数量
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number
缺省情况下,接口学习的安全MAC地址限制数量为1。
3.(可选)手工配置安全静态MAC地址表项
[Huawei-GigabitEthernet0/0/1] port-security mac-address mac-address vlan vlan-id
4.(可选)配置端口安全保护动作
[Huawei-GigabitEthernet0/0/1] port-security protect-action { protect | restrict | shutdown }
缺省情况下,端口安全保护动作为restrict。
5.(可选)配置接口学习到的安全动态MAC地址的老化时间
[Huawei-GigabitEthernet0/0/1] port-security aging-time time [ type { absolute | inactivity } ]
缺省情况下,接口学习的安全动态MAC地址不老化。
6.使能接口Sticky MAC功能
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
缺省情况下,接口未使能Sticky MAC功能。
7.配置接口Sticky MAC学习限制数量。
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number
使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1。
8.(可选)手动配置一条sticky-mac表项
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky mac-address vlan vlan-id
port-security protect-action命令用来配置端口安全功能中接口学习到的MAC地址数超过限制或出现静态MAC地址漂移时的保护动作。
protect
当学习到的MAC地址数超过接口限制数时,接口将丢弃源地址在MAC表以外的报文。
当出现静态MAC地址漂移时,接口将丢弃带有该MAC地址的报文。
restrict
当学习到的MAC地址数超过接口限制数时,接口将丢弃源地址在MAC表以外的报文,同时发出告警。
当出现静态MAC地址漂移时,接口将丢弃带有该MAC地址的报文,同时发出告警。
shutdown
当学习到的MAC地址数超过接口限制数时,接口将执行error down操作,同时发出告警。
当出现静态MAC地址漂移时,接口将执行error down操作,同时发出告警。
查看安全MAC地址:
执行命令display mac-address security [ vlan vlan-id | interface-type interface-number ] * [ verbose ],查看安全动态MAC表项。
执行命令display mac-address sec-config [ vlan vlan-id | interface-type interface-number ] * [ verbose ],查看配置的安全静态MAC表项。
执行命令display mac-address sticky [ vlan vlan-id | interface-type interface-number ] * [ verbose ],查看Sticky MAC表项。
3.6 端口安全配置举例 - 安全动态MAC
配置要求:
在Switch1上部署端口安全。
GE0/0/1及GE0/0/2接口将学习MAC地址的数量限制为1。当该接口连接多台PC时,Switch1需发出告警,且要求此时接口依然能正常转发合法PC的数据帧。
GE0/0/3接口将学习MAC地址的数量限制为2,并且当学习到的MAC地址数超出接口限制数时,交换机需发出告警,并且将接口关闭。
Switch1配置如下:
[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] port-security enable
[Switch1-GigabitEthernet 0/0/1] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/1] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/2
[Switch1-GigabitEthernet 0/0/2] port-security enable
[Switch1-GigabitEthernet 0/0/2] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/2] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/3
[Switch1-GigabitEthernet 0/0/3] port-security enable
[Switch1-GigabitEthernet 0/0/3] port-security max-mac-num 2
[Switch1-GigabitEthernet 0/0/3] port-security protect-action shutdown
配置验证
执行命令display mac-address security ,查看动态安全MAC表项。
[Switch1]display mac-address security
MAC address table of slot 0:
----------------------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
----------------------------------------------------------------------------------------------------------------
5489-98ac-71a9 1 - - GE0/0/3 security -
5489-98b1-7b30 1 - - GE0/0/1 security -
5489-9815-662b 1 - - GE0/0/2 security -
----------------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
3.7 端口安全配置举例 - Sticky MAC
配置要求:
在Switch上部署端口安全。将GE0/0/1~G0/0/3都激活端口安全。
GE0/0/1及GE0/0/2接口都将学习MAC地址的数量限制为1,并将在这两个接口上学习到的动态安全MAC地址转换为Sticky MAC地址。
对于GE0/0/3将学习MAC地址的数量限制为1,但是通过手工的方式为该接口创建一个sticky MAC地址表项,将该接口与MAC地址5489-98ac-71a9绑定。各接口违例惩罚保持缺省。
Switch配置如下:
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet 0/0/1] port-security enable
[Switch-GigabitEthernet 0/0/1] port-security max-mac-num 1
[Switch-GigabitEthernet 0/0/1] port-security mac-address sticky
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet 0/0/2] port-security enable
[Switch-GigabitEthernet 0/0/2] port-security max-mac-num 1
[Switch-GigabitEthernet 0/0/2] port-security mac-address sticky
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet 0/0/3] port-security enable
[Switch-GigabitEthernet 0/0/3] port-security max-mac-num 1
[Switch-GigabitEthernet 0/0/3] port-security mac-address sticky
[Switch-GigabitEthernet 0/0/3] port-security mac-address sticky 5489-98ac-71a9 vlan 1
配置验证:
执行命令display mac-address sticky,查看Sticky MAC表项。
[Switch1]display mac-address sticky
MAC address table of slot 0:
-------------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------------------------------
5489-98ac-71a9 1 - - GE0/0/3 sticky -
5489-98b1-7b30 1 - - GE0/0/1 sticky -
5489-9815-662b 1 - - GE0/0/2 sticky -
-------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
4.MAC地址漂移防止与检测
4.1 MAC地址漂移概述
MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。
当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象。
正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为。
4.2 防止MAC地址漂移
如果是环路引发MAC地址漂移,治本的方法是部署防环技术,例如STP,消除二层环路。如果由于网络攻击等其他原因引起,则可使用如下MAC地址防漂移特性:
配置接口MAC地址学习优先级--
当MAC地址在交换机的两个接口之间发生漂移时,可以将其中一个接口的MAC地址学习优先级提高。高优先级的接口学习到的MAC地址表项将覆盖低优先级接口学习到的MAC地址表项。
配置不允许相同优先级接口MAC地址漂移--
当伪造网络设备所连接口的MAC地址优先级与安全的网络设备相同时,后学习到的伪造网络设备MAC地址表项不会覆盖之前正确的表项。
缺省时接口MAC地址学习的优先级均为0,数值越大优先级越高。当同一个MAC地址被两个个接口学习到后,接口MAC地址学习优先级高的会被保留,MAC地址学习优先级低的被覆盖。
在配置不允许相同优先级接口MAC地址漂移时,如果安全网络设备下电,则交换机仍会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。因此该特性需谨慎使用,如果交换机的接口连接的网络设备是服务器,当服务器下电后,另外的接口学习到与服务器相同的MAC地址,当服务器再次上电后就不能学习到正确的MAC地址。
4.3 MAC地址漂移检测
交换机支持MAC地址漂移检测机制,分为以下两种方式:
基于VLAN的MAC地址漂移检测
配置VLAN的MAC地址漂移检测功能可以检测指定VLAN下的所有的MAC地址是否发生漂移。
当MAC地址发生漂移后,可以配置指定的动作,例如告警、阻断接口或阻断MAC地址。
全局MAC地址漂移检测
该功能可以检测设备上的所有的MAC地址是否发生了漂移。
若发生漂移,设备会上报告警到网管系统。
用户也可以指定发生漂移后的处理动作,例如将接口关闭或退出VLAN。
4.4 基于VLAN的MAC地址漂移检测
在配置基于VLAN的MAC地址漂移检测功能后,如果MAC地址发生漂移时,则可根据需求配置接口做出的动作有以下三种:
1.发送告警,当检测到MAC地址发生漂移时只给网管发送告警。
2.接口阻断,当检测到MAC地址发生漂移时,根据设置的阻塞时间对接口进行阻塞,并关闭接口收发报文的能力。
3.MAC地址阻断,当检测到MAC地址发生漂移时,只阻塞当前MAC地址,而不对物理接口进行阻塞,当前接口下的其他MAC的通信不受影响。
MAC地址发生漂移后的三种动作在上图中分别表示为:1.产生并上报告警;2.阻断SW1上的GE0/0/2接口的收发报文的能力;3.阻断SW1上的GE0/0/2接口上针对指定MAC地址报文的收发能力。
当配置接口阻塞时:
检测到VLAN2内产生MAC地址漂移时,将产生漂移后的接口直接阻塞。
接口将被阻塞10秒(该时长使用block-time关键字指定),接口被阻塞时是无法正常收发数据的。
10秒之后接口会被放开并重新进行检测,此时该接口可以正常收发数据,如果20秒内没有再检测到MAC地址漂移,则接口的阻塞将被彻底解除;而如果20秒内再次检测到MAC地址漂移,则再次将该接口阻塞,如此重复2次(该次数使用retry-times关键字指定),如果交换机依然能检测到该接口发生MAC地址漂移,则永久阻塞该接口。
4.5 全局MAC地址漂移检测
当交换机检测到MAC地址漂移,在缺省情况下,它只是简单地上报告警,并不会采取其他动作。在实际网络部署中,可以根据网络需求,对检测到MAC地址漂移之后定义以下动作:
error-down
当配置了MAC地址漂移检测的端口检测到有MAC地址漂移时,将对应接口状态置为error-down,不再转发数据。
quit-vlan
当配置了MAC地址漂移检测的端口检测到有MAC地址漂移时,将退出当前接口所属的VLAN。
华为交换机默认开启全局MAC地址漂移检测功能,因此缺省时交换机便会对设备上的所有VLAN进行MAC地址漂移检测。
在某些场景下,需要对某些VLAN不进行MAC地址漂移检测,可以通过配置MAC地址漂移检测的VLAN白名单来实现。
如果接口由于发生了MAC地址漂移从而被设置为Error-Down,默认情况下是不会自动恢复的。
如果希望Error-Down的接口能够自动恢复,在系统视图下配置如下命令:
error-down auto-recovery cause mac-address-flapping interval time-value
如果接口由于发生了MAC地址漂移,被设置为离开VLAN,如要实现接口自动恢复,可以在系统视图下配置如下命令:
mac-address flapping quit-vlan recover-time time-value
4.6 MAC地址漂移配置命令介绍
1.配置接口学习MAC地址的优先级
[Huawei-GigabitEthernet0/0/1] mac-learning priority priority-id
缺省情况下,接口学习MAC地址的优先级为0,数值越大优先级越高。
2.配置禁止MAC地址漂移时报文的处理动作为丢弃
[Huawei-GigabitEthernet0/0/1] mac-learning priority flapping-defend action discard
缺省情况下,禁止MAC地址漂移时报文的处理动作是转发。
3.配置不允许相同优先级的接口发生MAC地址漂移
[Huawei] undo mac-learning priority priority-id allow-flapping
缺省情况下,允许相同优先级的接口发生MAC地址漂移。
4.配置MAC地址漂移检测功能。
[Huawei-vlan2] mac-address flapping detection
缺省情况下,已经配置了对交换机上所有VLAN进行MAC地址漂移检测的功能。
5.(可选)配置MAC地址漂移检测的VLAN白名单
[Huawei] mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
缺省情况下,没有配置MAC地址漂移检测的VLAN白名单。
6.(可选)配置发生漂移后接口的处理动作
[Huawei-GigabitEthernet0/0/1] mac-address flapping action { quit-vlan | error-down }
缺省情况下,对超过MAC地址学习数限制的报文采取丢弃动作。
7.(可选)配置MAC地址漂移表项的老化时间
[Huawei] mac-address flapping aging-time aging-time
缺省情况下,MAC地址漂移表项的老化时间为300秒。
8.配置MAC地址漂移检测功能
[Huawei-vlan2] loop-detect eth-loop { [ block-mac ] block-time block-time retry-times retry-times | alarm-only }
一些安全性较差的网络容易受到黑客的MAC地址攻击,由于MAC地址表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送给交换机后,交换机的MAC表项资源就可能被耗尽。当MAC表被填满后,即使它再收到正常的报文,也无法学习到报文中的源MAC地址。
配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
4.7 MAC地址漂移配置举例
实验介绍:
网络基础配置已完成,Switch3与Switch4之间误接网线导致网络出现环路;
在Switch1的接口GE0/0/1上配置MAC地址防漂移功能,防止被非法用户攻击;
在Switch2上配置MAC地址漂移检测功能,判断网络中存在的环路,排除故障。
1.在Switch1与Server相连的接口GE0/0/1上配置MAC地址学习优先级高于其他接口,此优先级默认值为0。
[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] mac-leaning priority 3
2.在Switch2上配置MAC地址漂移检测功能,并配置接口MAC地址漂移后的处理动作。
[Switch2] mac-address flapping detection
[Switch2] mac-address flapping aging-time 500
[Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down
[Switch2-GigabitEthernet0/0/2] mac-address flapping action error-down
[Switch2] error-down auto-recovery cause mac-address-flapping interval 500
配置验证
配置完成后,当Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后,接口GE0/0/2关闭;使用display mac-address flapping record可查看到漂移记录。
[Switch2] display mac-address flapping record
S : start time
E : end time
(Q) : quit vlan
(D) : error down
---------------------------------------------------------------------------------------------------
Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum
---------------------------------------------------------------------------------------------------
S:2020-06-22 17:22:36 1 5489-9815-662b GE0/0/1 GE0/0/2(D) 83
E:2020-06-22 17:22:44
---------------------------------------------------------------------------------------------------
Total items on slot 0: 1
当Switch3与Switch4之间误连接之后,Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后,触发接口error-down,接口GE0/0/2关闭。
使用display mac-address flapping record可查看到漂移记录。
5.MACsec-概述
5.1 MACsec-概述
背景:
绝大部分数据在局域网链路中都是以明文形式传输的,在某些安全性要求较高的场景下存在安全隐患。
MACsec概述:
MACsec定义了基于以太网的数据安全通信的方法,通过逐跳设备之间数据加密,保证数据传输安全性,对应的标准为802.1AE。
典型应用场景:
在交换机之间部署MACsec保护数据安全,例如在接入交换机与上联的汇聚或核心交换机之间部署 。
当交换机之间存在传输设备时可部署MACsec保护数据安全。
5.2 MACsec工作机制
在设备运行点到点MACsec时,网络管理员在两台设备上通过命令行预配置相同的CAK,两台设备会通过MKA协议选举出一个Key Server,Key Server决定加密方案,Key Server会根据CAK等参数使用某种加密算法生成SAK数据密钥,由Key Server将SAK分发给对端设备,这样两台设备拥有相同的SAK数据密钥,可以进行后续MACsec数据报文加解密收发。
CAK(Secure Connectivity Association Key,安全连接关联密钥)不直接用于数据报文的加密,由它和其他参数派生出数据报文的加密密钥。CAK可以在802.1X认证过程中下发,也可以由用户直接静态配置。
MKA(MACsec Key Agreement protocol)用于MACsec 数据加密密钥的协商协议。
SAK(Secure Association Key,安全关联密钥)由CAK根据算法推导产生,用于加密安全通道间传输的数据。MKA对每一个SAK可加密的报文数目有所限制,当使用某SAK加密的PN耗尽,该SAK会被刷新。例如,在10Gbps 的链路上,SAK最快4.8分钟刷新一次。
Key Server决定加密方案和进行密钥分发的MKA实体。
会话协商
两端设备的接口开启MACsec功能后,根据优先级选举出密钥服务器(Key Server)。用户可以配置接口的优先级数值,数值越小优先级越高,优先级高的设备接口将被选举为密钥服务器。当双方优先级相同时,则比较接口的SCI(Secure Channel Identifier)值,SCI由接口MAC地址和Port ID组成,SCI值小的接口将被选举为密钥服务器。
两端设备静态配置相同的CAK,密钥服务器根据静态配置的CAK生成用于加密数据报文的SAK,分发给对端设备。
安全通信
发送方使用SAK加密数据报文,接收方使用SAK解密数据报文。两端设备既可以作为发送方,也可以作为接收方,通信过程都受到MACsec保护。
为确保数据报文的安全性,当使用同一个SAK加密的报文超过一定数量或者同一个SAK使用超过一定时间,需要更换SAK。
会话保活
MKA协议定义了一个MKA会话保活定时器,用来规定MKA会话的超时时间。
MKA会话协商成功后,两端设备会通过交互MKA协议报文确认连接的存在。设备收到对端MKA协议报文后,启动定时器。
如果在该超时时间内收到对端的MKA协议报文,则重启定时器。
如果在该超时时间内未收到对端的MKA协议报文,则认为该连接已不安全,删除对端设备,重新进行MKA协商。
6.交换机流量控制
6.1 流量抑制概述
网络中存在的问题:
正常情况下,当设备某个二层以太接口收到广播、未知组播或未知单播报文时,会向同一VLAN内的其他二层以太接口转发这些报文,从而导致流量泛洪,降低设备转发性能。
当设备某个以太接口收到已知组播或已知单播报文时,如果某种报文流量过大则可能会对设备造成冲击,影响其他业务的正常处理。
可用的解决方案:
流量抑制可以通过配置阈值来限制广播、未知组播、未知单播、已知组播和已知单播报文的速率,防止广播、未知组播报文和未知单播报文产生流量泛洪,阻止已知组播报文和已知单播报文的大流量冲击。
6.2 流量抑制工作原理
在接口入方向上,设备支持对广播、未知组播、未知单播、已知组播和已知单播报文按百分比、包速率和比特速率进行流量抑制。设备监控接口下的各类报文速率并和配置的阈值相比较,当入口流量超过配置的阈值时,设备会丢弃超额的流量。
在接口出方向上,设备支持对广播、未知组播和未知单播报文的阻塞(Block)。
在VLAN视图下,设备支持对广播报文按比特速率进行流量抑制。设备监控同一VLAN内广播报文的速率并和配置的阈值相比较,当VLAN内流量超过配置的阈值时,设备会丢弃超额的流量。
6.3 流量抑制的应用
流量抑制通过对不同类型的报文采取不同的限制措施,达到限制报文发送速率的目的。具体实施可分为以下三种情况:
1.在交换机接口的入方向,例如下图中SW1的GE0/0/1入方向,通过流量抑制功能可以限制任意报文的发送速率。
2.在交换机接口出方向,例如下图中SW1的GE0/0/1出方向,通过流量抑制功能可以阻塞广播,未知组播和未知单播报文。
3.在交换机的VLAN视图下,通过配置VLAN 内流量抑制限制VLAN内广播报文。```
流量抑制中,可以为接口入方向的报文流量配置阈值,当流量超过阈值时,系统将丢弃多余的流量,阈值范围内的报文可以正常通过,从而将流量限制在合理的范围内。
此外,流量抑制还支持对接口出方向的流量进行阻塞。
风暴控制中,只可以为接口入方向的报文流量配置阈值。当流量超过阈值时,系统会阻塞该接口收到的该类型报文流量或者直接将该接口关闭。
6.4 流量抑制配置命令介绍
1.(可选)配置流量抑制模式
[Huawei] suppression mode { by-packets | by-bits }
缺省情况下,缺省的抑制模式为packets,在bits模式下,流量抑制的粒度更小、抑制更精确。
2.配置流量抑制
[Huawei-GigabitEthernet0/0/1] { broadcast-suppression | multicast-suppression | unicast-suppression} { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }
接口下配置流量抑制时,抑制模式需与全局的流量抑制模式保持一致。
3.配置在接口出方向上阻塞报文
[Huawei-GigabitEthernet0/0/1] { broadcast-suppression | multicast-suppression | unicast-suppression } block outbound
4.配置VLAN的广播抑制速率
[Huawei-vlan2] broadcast-suppression threshold-value
display flow-suppression interface interface-type interface-number查看流量抑制配置信息。
当在接口视图下的入方向和VLAN视图下同时配置流量抑制功能时,接口视图的配置优先于VLAN视图下的配置。
6.5 流量抑制配置举例
配置要求:
在GE0/0/1接口视图下配置流量抑制功能,限制二层网络转发的广播、未知组播和未知单播报文的能力。
配置广播流量抑制,按百分比抑制,百分比值为60%。
配置未知组播流量抑制,按百分比抑制,百分比值为70%。
配置未知单播流量抑制,按百分比抑制,百分比值为80%。
Switch配置如下:
[Switch]suppression mode by-packets
[Switch-GigabitEthernet0/0/1] unicast-suppression 80
[Switch-GigabitEthernet0/0/1] multicast-suppression 70
[Switch-GigabitEthernet0/0/1] broadcast-suppression 60
配置验证:
使用命令display flow-suppression interface 查看流量抑制配置信息。
[Switch]dis flow-suppression interface GigabitEthernet 0/0/1
storm type rate mode set rate value
-------------------------------------------------------------------------------
unknown-unicast percent percent: 80%
multicast percent percent: 70%
broadcast percent percent: 60%
-------------------------------------------------------------------------------
6.6 风暴控制概述
网络中存在的问题:
正常情况下,当设备某个二层以太接口收到广播、未知组播或未知单播报文时,会向同一VLAN内的其他二层以太接口转发这些报文,如果网络存在环路,则会导致广播风暴,严重降低设备转发性能。
可用的解决方案:
风暴控制可以通过阻塞报文或关闭端口来阻断广播、未知组播和未知单播报文的流量。
6.7 风暴控制工作原理
风暴控制可以用来防止广播、未知组播以及未知单播报文产生广播风暴。在风暴控制检测时间间隔内,设备监控接口下接收的三类报文的包平均速率与配置的最大阈值相比较。当报文速率大于配置的最大阈值时,风暴控制将根据配置的动作来对接口进行阻塞报文或关闭接口的处理。
流量抑制与风暴控制的主要区别是:风暴控制功能可以对端口下发惩罚动作(block和shutdown),而流量抑制功能只是对端口流量进行限制。
6.8 风暴控制的应用
风暴控制与流量抑制相比的优势是可以同时监控接口下的广播报文、未知组播报文和未知单播报文各自的包平均速率,并根据阈值对接口采取阻塞相关报文或者关闭物理接口的惩罚动作。
本例中,Switch作为二层网络到路由器的衔接点,当需要限制二层网络转发过来的用户广播、未知组播和未知单播报文时,可以通过在Switch的GE0/0/1上配置风暴控制功能来实现。
流量抑制中,可以为接口入方向的报文流量配置阈值。当流量超过阈值时,系统将丢弃多余的流量,阈值范围内的报文可以正常通过,从而将流量限制在合理的范围内。此外,流量抑制还支持对接口出方向的流量进行阻塞。
风暴控制中,只可以为接口入方向的报文流量配置阈值。当流量超过阈值时,系统会阻塞该接口收到的该类型报文流量或者直接将该接口关闭。
6.9 风暴控制配置命令介绍
1.配置接口对报文的风暴控制
[Huawei-GigabitEthernet0/0/1] storm-control { broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value
对接口上的广播、未知组播或未知单播报文进行风暴控制。
2.配置风暴控制的动作
[Huawei-GigabitEthernet0/0/1] storm-control action { block | error-down }
3.配置风暴控制的检测时间间隔
[Huawei-GigabitEthernet0/0/1] storm-control interval interval-value
4.配置使能接口状态自动恢复
[Huawei-GigabitEthernet0/0/1] error-down auto-recovery cause storm-control interval interval-value
使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。
5.(可选)配置流量抑制及风暴控制白名单
[Huawei] storm-control whitelist protocol { arp-request | bpdu | dhcp | igmp | ospf }*
display storm-control [ interface interface-type interface-number ],查看接口的风暴控制信息。
min-rate min-rate-value
指定包模式低阈值。如果指定了min-rate-value参数(单位pps),在风暴控制检测时间间隔内,当接口接收报文的平均速率小于该值时,则将该接口的报文恢复到正常转发状态。
min-rate cir min-rate-value-cir
指定字节模式低阈值。如果指定了min-rate-value-cir参数(单位kbps),在风暴控制检测时间间隔内,当接口接收报文的平均速率小于该值时,则将该接口的报文恢复到正常转发状态。
min-rate percent min-rate-value-percent
指定百分比模式低阈值。如果指定了min-rate-value-percent参数(百分比),在风暴控制检测时间间隔内,当接口接收报文的平均速率小于该值时,则将该接口的报文恢复到正常转发状态。
max-rate max-rate-value
指定包模式高阈值。如果指定了max-rate-value参数(单位pps),在风暴控制检测时间间隔内,当接口接收报文的平均速率大于该值时,则对该接口进行风暴控制。
max-rate cir max-rate-value-cir
指定字节模式高阈值。如果指定了max-rate-value-cir参数(单位kbps),在风暴控制检测时间间隔内,当接口接收报文的平均速率大于该值时,则对该接口进行风暴控制。
max-rate percent max-rate-value-percent
指定百分比模式高阈值。如果指定了max-rate-value-percent参数,在风暴控制检测时间间隔内,当接口接收报文的平均速率大于该值时,则对该接口进行风暴控制。
6.10 风暴控制配置举例
配置需求
在交换机Switch上需要配置防止二层网络转发的广播、未知组播和未知单播报文产生的广播风暴。
配置思路:
通过在接口GE0/0/1上配置风暴控制限制二层网络的广播风暴的产生。
Switch配置如下:
[Switch] storm-control whitelist protocol arp-request
[Switch] interface gigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control multicast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control unicast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control interval 90
[Switch-GigabitEthernet0/0/1] storm-control action block
[Switch-GigabitEthernet0/0/1] storm-control enable trap
#使能风暴控制上报告警
配置验证
执行命令display storm-control interface查看GE0/0/1接口下的风暴控制配置情况。
[Switch]display storm-control interface GigabitEthernet 0/0/1
PortName Type Rate Mode Action Punish- Trap Log Int Last-
(Min/Max) Status Punish-Time
----------------------------------------------------------------------------------------------------------
GE0/0/1 Multicast 1000 Pps Block Normal On Off 90
/2000
GE0/0/1 Broadcast 1000 Pps Block Normal On Off 90
/2000
GE0/0/1 Unicast 1000 Pps Block Normal On Off 90
/2000
7.DHCP Snooping
7.1 DHCP工作原理概述
DHCP无中继工作原理:
1.发现阶段,DHCP客户端发送DHCP DISCOVER报文(广播)来发现DHCP服务器。DHCP DISCOVER报文中携带了客户端的MAC地址(DHCP DISCOVER报文中的chaddr字段)、需要请求的参数列表选项(Option55)、广播标志位(DHCP DISCOVER报文中的flags字段,表示客户端请求服务器以单播或广播形式发送响应报文)等信息。
2.提供阶段,服务器接收到DHCP DISCOVER报文后,选择跟接收DHCP DISCOVER报文接口的IP地址处于同一网段的地址池,并且从中选择一个可用的IP地址,然后通过DHCP OFFER报文发送给DHCP客户端。
3.请求阶段,如果有多个DHCP服务器向DHCP客户端回应DHCP OFFER报文,则DHCP客户端一般只接收第一个收到的DHCP OFFER报文,然后以广播方式发送DHCP REQUEST报文,该报文中包含客户端想选择的DHCP服务器标识符(即Option54)和客户端IP地址(即Option50,填充了接收的DHCP OFFER报文中yiaddr字段的IP地址)。以广播方式发送DHCP REQUEST报文,是为了通知所有的DHCP服务器,它将选择某个DHCP服务器提供的IP地址,其他DHCP服务器可以重新将曾经分配给客户端的IP地址分配给其他客户端。
4.确认阶段,DHCP客户端收到DHCP ACK报文,会广播发送免费ARP报文,探测本网段是否有其他终端使用服务器分配的IP地址。
DHCP有中继工作原理:
DHCP中继接收到DHCP客户端广播发送的DHCP DISCOVER报文后,主要动作含:检查DHCP报文中的giaddr字段。DHCP报文中的giaddr字段标识客户端网关的IP地址。如果服务器和客户端不在同一个网段且中间存在多个DHCP中继,当客户端发出DHCP请求时,第一个DHCP中继会把自己的IP地址填入此字段,后面的DHCP中继不修改此字段内容。DHCP服务器会根据此字段来判断出客户端所在的网段地址,从而为客户端分配该网段的IP地址。
将DHCP报文的目的IP地址改为DHCP服务器或下一跳中继的IP地址,源地址改为中继连接客户端的接口地址,通过路由转发将DHCP报文单播发送到DHCP服务器或下一跳中继。
DHCP详细原理请参考《HCIP-Datacom-Core Technology》。
7.2 DHCP Snooping概述
为了保证网络通信业务的安全性,引入了DHCP Snooping技术,在DHCP Client和DHCP Server之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击。
DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址。DHCP 服务器记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
目前DHCP协议在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
DHCP Snooping主要是通过DHCP Snooping信任功能和DHCP Snooping绑定表实现DHCP网络安全。
7.3 DHCP Snooping信任功能
DHCP Snooping的信任功能,能够保证DHCP客户端从合法的DHCP服务器获取IP地址。
DHCP Snooping信任功能将接口分为信任接口和非信任接口:
信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
设备只将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器,不会向非信任接口转发。
非信任接口收到的DHCP Server发送的DHCP OFFER、DHCP ACK、DHCP NAK报文会被直接丢弃。
配置dhcp snooping enable命令的接口,收到DHCP请求报文后,转发给所有的信任接口;收到DHCP响应报文后丢弃。
配置dhcp snooping trusted命令的接口,收到DHCP请求报文后,转发给所有的信任接口,如果没有其他信任接口,则丢弃该DHCP请求报文;收到DHCP响应报文后,只转发给连接对应客户端的并且配置命令dhcp snooping enable的接口,如果查不到上述接口,则丢弃该DHCP响应报文。
7.4 DHCP Snooping绑定表
二层接入设备使能了DHCP Snooping功能后,从收到DHCP ACK报文中提取关键信息(包括PC的MAC地址以及获取到的IP地址、地址租期),并获取与PC连接的使能了DHCP Snooping功能的接口信息(包括接口编号及该接口所属的VLAN),根据这些信息生成DHCP Snooping绑定表。
由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系,故通过对报文与DHCP Snooping绑定表进行匹配检查,能够有效防范非法用户的攻击。
DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。
7.5 DHCP饿死攻击
攻击原理:攻击者持续大量地向DHCP Server申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。
漏洞分析:DHCP Server向申请者分配IP地址时,无法区分正常的申请者与恶意的申请者。
7.6 DHCP Snooping防饿死攻击
解决方法:对于饿死攻击,可以通过DHCP Snooping的MAC地址限制功能来防止。该功能通过限制交换机接口上允许学习到的最多MAC地址数目,防止通过变换MAC地址,大量发送DHCP请求。
7.7 改变CHADDR值的DoS攻击
攻击原理:攻击者持续大量地向DHCP Server申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。
漏洞分析:DHCP Server向申请者分配IP地址时,无法区分正常的申请者与恶意的申请者。
DHCP饿死攻击是攻击者通过持续大量地向DHCP Server申请IP地址来实现的,其目的是耗尽DHCP Server地址池中的IP地址,导致DHCP Server没有IP地址分配给正常的用户。DHCP消息中有一个名叫CHADDR(Client Hardware Address)的字段,该字段是由DHCP客户端填写的,表示的是客户端的硬件地址(也就是客户端的MAC地址)。DHCP Server是针对CHADDR来分配IP地址的,对于不同的CHADDR,DHCP Server会分配不同的IP地址;DHCP Server无法区分什么样的CHADDR是合法的,什么样的CHADDR是非法的。利用这个漏洞,攻击者每申请一个IP地址时,就在DHCP消息的CHADDR字段中填写一个不同的值,以此来冒充是不同的用户在申请IP地址。
7.8 DHCP Snooping防改变CHADDR值的DoS攻击
解决方法:为了避免受到攻击者改变CHADDR值的攻击,可以在设备上配置DHCP Snooping功能,检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配,转发报文;否则,丢弃报文。从而保证合法用户可以正常使用网络服务。
DHCP饿死攻击是攻击者通过持续大量地向DHCP Server申请IP地址来实现的,其目的是耗尽DHCP Server地址池中的IP地址,导致DHCP Server没有IP地址分配给正常的用户。DHCP消息中有一个名叫CHADDR(Client Hardware Address)的字段,该字段是由DHCP客户端填写的,表示的是客户端的硬件地址(也就是客户端的MAC地址)。DHCP Server是针对CHADDR来分配IP地址的,对于不同的CHADDR,DHCP Server会分配不同的IP地址;DHCP Server无法区分什么样的CHADDR是合法的,什么样的CHADDR是非法的。利用这个漏洞,攻击者每申请一个IP地址时,就在DHCP消息的CHADDR字段中填写一个不同的值,以此来冒充是不同的用户在申请IP地址。
为了弥补上述漏洞,从而阻止饿死攻击,DHCP Snooping技术支持在端口下对DHCP Request报文的源MAC地址与CHADDR进行一致性检查:如果二者相同,则转发报文;如果二者不相同,则丢弃。如果要在某端口下实施源MAC地址与CHADDR的一致性检查,可以在该端口下使用命令dhcp snooping check dhcp-chaddr enable。
还可能存在这样一种饿死攻击,就是攻击者不断同时变换MAC地址和CHADDR,并且每一次变换时,都让CHADDR与MAC地址相同,如此一来,便可以躲过上述源MAC地址与CHADDR的一致性检查!
7.9 DHCP中间人攻击
攻击原理:攻击者利用ARP机制,让Client学习到DHCP Server IP与Attacker MAC的映射关系,又让Server学习到Client IP与Attacker Mac的映射关系。如此一来,Client与Server之间交互的IP报文都会经过攻击者中转。
漏洞分析:从本质上讲,中间人攻击是一种Spoofing IP/MAC攻击,中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器。
如图所示,攻击者利用ARP机制,让PC1学习到IP-S与MAC2的映射关系,又让Server学习到IP1与MAC2的映射关系。当PC1向DHCP Server发送IP报文时,目的IP地址为IP-S,源IP地址为IP1,而封装这个IP报文的帧的目的MAC地址为MAC2,源MAC地址为MAC1,所以这个帧会首先到达攻击者PC2。攻击者收到这个帧后,将这个帧的目的MAC地址更换为MAC-S,源MAC地址更换为MAC2,然后将这个帧发往Server。如此“偷梁换柱”,Server是看不出任何破绽的。另一方面,当DHCP Server向PC1发送IP报文时,目的IP地址为IP1,源IP地址为IP-S,而封装这个IP报文的帧的目的MAC地址为MAC2,源MAC地址为MAC-S,所以这个帧也会首先到达攻击者PC2。攻击者收到这个帧后,将这个帧的目的MAC地址更换为MAC1,源MAC地址更换为MAC2,然后将这个帧发往PC1。同样,PC1也是看不出任何破绽的。
由于往来于PC1与DHCP Server之间的IP报文都会经过攻击者(中间人)进行中转,攻击者便很容易窃取这些IP报文中的某些信息,并利用这些信息来进行其他的破坏行为。攻击者也可以很容易对往来于PC1与DHCP Server之间的DHCP消息(这些消息是封装在UDP报文中的,而UDP报文又是封装在IP报文中的)进行篡改,达到直接攻击DHCP的目的。
7.10 DHCP Snooping防DHCP中间人攻击
解决方法:为防御中间人攻击与IP/MAC Spoofing攻击,可使用DHCP Snooping的绑定表工作模式,当接口接收到ARP或者IP报文,使用ARP或者IP报文中的“源IP+源MAC”匹配DHCP Snooping绑定表。如果匹配就进行转发,如果不匹配就丢弃。
DHCP中间人攻击本质上是一种Spoofing IP/MAC攻击。要想防止DHCP中间人攻击,其实就是要防止Spoofing IP/MAC攻击。
运行了DHCP Snooping的交换机会“侦听(Snooping)”往来于用户与DHCP Server之间的DHCP消息,并从中收集用户的MAC地址(这里的MAC地址是指DHCP消息中CHADDR字段的值)、用户的IP地址(这里的IP地址是指DHCP Server分配给相应CHADDR的IP地址)等信息,这些信息会集中存放在一个数据库中,该数据库也被称为DHCP Snooping绑定表。运行了DHCP Snooping的交换机会建立并动态维护DHCP Snooping绑定表,绑定表中除了包含了用户的MAC地址、用户的IP地址外,还包括IP地址租用期、VLAN ID等等信息。
如图所示,假设DHCP Server给PC1分配了IP地址IP1,给PC2分配了IP地址IP2,那么IP1与MAC1就形成了绑定关系,IP2与MAC2也形成了绑定关系,这种绑定关系都存放于DHCP Snooping绑定表中。攻击者为了让Server学习到IP1与MAC2的映射关系,会发送ARP请求报文(将ARP报文中的源IP地址填为IP1,源MAC地址填为MAC2)。交换机接收到ARP请求报文后,会检查该ARP请求报文中的源IP地址和源MAC地址,发现该IP/MAC(IP1/MAC2)映射关系不能匹配DHCP Snooping绑定表中的条目,于是会丢弃该ARP请求报文,这样就有效地防止了Spoofing IP/MAC攻击。
如果需要使用上面所描述的防止Spoofing IP/MAC攻击(进而防止中间人)的方法,就必须在交换机的系统视图下执行配置命令arp dhcp-snooping-detect enable。
7.11 DHCP Snooping配置命令介绍
1.全局使能DHCP Snooping功能
[Huawei] dhcp snooping enable [ ipv4 | ipv6 ]
2.VLAN视图下使能DHCP Snooping功能
[Huawei-vlan2] dhcp snooping enable
在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效。
3.VLAN视图下配置接口为“信任”状态
[Huawei-vlan2] dhcp snooping trusted interface interface-type interface-number
在VLAN视图下执行此命令,则命令功能仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文生效。
4.接口视图下使能DHCP Snooping功能
[Huawei-GigabitEthernet0/0/1] dhcp snooping enable
5..接口视图下配置接口为“信任”状态
[Huawei-GigabitEthernet0/0/1] dhcp snooping trusted
缺省情况下,设备接口为非信任状态。
6.(可选)配置丢弃GIADDR字段非零的DHCP报文
[Huawei] dhcp snooping check dhcp-giaddr enable vlan { vlan-id1 [ to vlan-id2 ] }
使能检测DHCP Request报文中GIADDR字段是否非零的功能。此命令同时可以在VLAN视图或接口视图下进行配置。
在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则对该接口下的所有DHCP报文命令功能生效。
7.12 DHCP Snooping配置举例
如图所示,DHCP和VLAN基础配置已完成,在Switch配置DHCP Snooping功能。
配置方式一:接口视图
[Switch] dhcp snooping enable ipv4
[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] dhcp snooping enable
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2] dhcp snooping enable
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] dhcp snooping enable
[Switch-GigabitEthernet0/0/3] dhcp snooping trusted
配置方式二:VLAN视图
[Switch] dhcp snooping enable ipv4
[Switch] vlan 2
[Switch-vlan2] dhcp snooping enable
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3] dhcp snooping trusted
配置验证
执行命令display dhcp snooping interface,查看接口下的DHCP Snooping运行信息。
[Switch]display dhcp snooping interface GigabitEthernet 0/0/3
DHCP snooping running information for interface GigabitEthernet0/0/3 :
DHCP snooping : Enable
Trusted interface : Yes
Dhcp user max number : 1024 (default)
Current dhcp user number : 0
Check dhcp-giaddr : Disable (default)
Check dhcp-chaddr : Disable (default)
Alarm dhcp-chaddr : Disable (default)
Check dhcp-request : Disable (default)
Alarm dhcp-request : Disable (default)
----- more ------
8.IP Source Guard
8.1 IPSG技术概述
IP地址欺骗攻击中,攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制,可以有效阻止此类网络攻击行为。
IP源防攻击(IPSG,IP Source Guard)是一种基于二层接口的源IP地址过滤技术。它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
非法主机伪造合法主机的IP地址获取上网权限时,通过在Switch的接入用户侧的接口或VLAN上部署IPSG功能,Switch可以对进入接口的IP报文进行检查,丢弃非法主机的报文,从而阻止此类攻击。
IPSG一般应用在与用户直连的接入设备上,可以基于接口或者基于VLAN应用。
8.2 IPSG工作原理
IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。常见的绑定表有静态绑定表和DHCP Snooping动态绑定表。
绑定表生成后,IPSG基于绑定表向指定的接口或者指定的VLAN下发ACL,由该ACL来匹配检查所有IP报文。主机发送的报文,只有匹配绑定表才会允许通过,不匹配绑定表的报文都将被丢弃。当绑定表信息变化时,设备会重新下发ACL。
缺省情况下,如果在没有绑定表的情况下使能了IPSG,设备将拒绝除DHCP请求报文外的所有IP报文。
静态绑定表项包含:MAC地址、IP地址、VLAN ID、入接口。静态绑定表项中指定的信息均用于IPSG过滤接口收到的报文。
动态绑定表项包含:MAC地址、IP地址、VLAN ID、入接口。IPSG依据该表项中的哪些信息过滤接口收到的报文,由用户设置的检查项决定,缺省是四项都进行匹配检查。常用的检查项有基于源IP地址过滤,基于源MAC地址过滤,基于源IP地址+源MAC地址过滤,基于源IP地址+源MAC地址+接口过滤,基于源IP地址+源MAC地址+接口+VLAN过滤等。
8.3 IPSG应用场景
通过IPSG防止PC私自更改IP地址。
PC只能使用DHCP Server分配的IP地址或者管理员配置的静态地址,随意更改IP地址后无法访问网络,防止PC非法取得上网权限。
小型网络IP地址是静态分配时,通过IPSG限制非法PC接入。
外来人员自带电脑不能随意接入内网,防止内网资源泄露。
8.4 IPSG配置命令介绍
1.配置静态用户绑定表项
[Huawei] user-bind static { { { ip-address | ipv6-address } { start-ip [ to end-ip ] } &<1-10> | ipv6-prefix prefix/prefix-length } | mac-address mac-address } * [ interface interface-type interface-number ] [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]
IPSG按照静态绑定表项进行完全匹配。
2.使能IPSG功能
[Huawei-GigabitEthernet0/0/1] ip source check user-bind enable
使能接口或者VLAN的IP报文检查功能,VLAN视图配置与接口视图一致。
3.使能IP报文检查告警功能
[Huawei-GigabitEthernet0/0/1] ip source check user-bind alarm enable
4.配置IP报文检查告警阈值
[Huawei-GigabitEthernet0/0/1] ip source check user-bind alarm threshold threshold
配置了IP报文检查告警功能后,当丢弃的IP报文超过告警阈值时,会产生告警提醒用户。
8.5 IPSG配置举例
如图所示:网络终端设备通过手工方式配置静态IP地址统一管理,通过在接入交换机上配置IPSG,防止主机私自更改IP地址非法获取访问网络权限。
配置静态绑定表
使能IPSG及告警上报功能
Switch1配置如下:
#在接入交换机上配置静态绑定表
[Switch1] user-bind static ip-address 10.1.1.1 mac-address 5489-98C2-1486
[Switch1] user-bind static ip-address 10.1.1.10 mac-address 5489-98AB-22A7
#使能GE0/0/1接口IPSG和IP报文检查告警功能
[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet0/0/1] ip source check user-bind enable
[Switch1-GigabitEthernet0/0/1] ip source check user-bind alarm enable
[Switch1-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100
#接口GE0/0/2配置与GE0/0/1类似,此处省略
配置验证
在Switch上执行display dhcp static user-bind all命令,可以查看静态绑定表信息。
PC1和PC2使用管理员分配的固定IP地址可以正常访问网络,更改IP地址后无法访问网络。
[Switch1] display dhcp static user-bind all
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface
-------------------------------------------------------------------------------------------------
10.1.1.1 5489-98C2-1486 -- /-- /-- --
10.1.1.10 5489-98AB-22A7 -- /-- /-- --
-------------------------------------------------------------------------------------------------
Print count: 2 Total count: 2
思考
(多选题)DHCP Snooping是一种DHCP安全特性,可以用于防御多种攻击,其中包括 ( )
防御改变CHADDR值的饿死攻击
防御DHCP仿冒者攻击
防御TCP flag攻击
防御中间人攻击和IP/MAC Spoofing攻击
总结
端口隔离实现同一VLAN内端口之间的隔离。端口隔离模式分别为二层隔离三层互通、二层三层都隔离。
交换机MAC地址表可以分为静态MAC地址表、黑洞MAC地址表、动态MAC地址表。
端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址,安全MAC地址通常与安全保护动作结合使用。
交换机开启MAC地址漂移检测有助于工程师快速处理交换机环路故障。
MACsec定义了基于以太网的数据安全通信的方法,通过逐跳设备之间数据加密,保证数据传输安全性。
流量抑制与风暴控制主要区别在于流量控制仅仅是对各种报文进行限速处理,超过阈值之后就丢弃,而风暴控制能够根据报文速率的大小采取不同的惩罚动作,包括关闭端口或者阻塞报文。
DHCP Snooping技术对于防御以太网中关于终端设备自动获取IP的网络攻击有很大的作用,通过配置DHCP Snooping信任端口功能和DHCP Snooping绑定表,可以很好的防范针对DHCP的网络攻击。
IPSG通过查看交换机绑定表,阻止IP地址欺骗攻击,杜绝非法用户盗用合法IP地址对网络发起攻击。
24.BFD原理与应用
前言
随着网络应用的广泛部署,网络发生故障极大可能导致业务异常。为了减小链路、设备故障对业务的影响,提高网络的可靠性,网络设备需要尽快检测到与相邻设备间的通信故障,以便及时采取措施,保证业务正常进行。
BFD(Bidirectional Forwarding Detection,双向转发检测)提供了一个通用的、标准化的、介质无关和协议无关的快速故障检测机制,用于快速检测、监控网络中链路或者IP路由的转发连通状态。
本章节主要介绍BFD工作原理以及常见的应用场景。
课程能力
学完本课程后,您将能够:
阐明BFD的作用
描述BFD工作原理
实现BFD配置与应用
1.BFD概述
1.1 网络故障检测遇到的问题
在无法通过硬件信号检测故障的系统中,应用通常采用上层协议本身的Hello报文机制检测网络故障。
常用路由协议的Hello报文机制检测时间较长,检测时间超过1秒钟。当应用在网络中传输的数据超过GB/s时,秒级的检测时间将会导致应用传输的数据大量丢失。
在三层网络中,静态路由本身没有故障检查机制。
1.2 BFD概述
BFD提供了一个通用的、标准化的、介质无关的、协议无关的快速故障检测机制,有以下两大优点:
对相邻转发引擎之间的通道提供轻负荷、快速故障检测。
用单一的机制对任何介质、任何协议层进行实时检测。
BFD是一个简单的“Hello”协议。两个系统之间建立BFD会话通道,并周期性发送BFD检测报文,如果某个系统在规定的时间内没有收到对端的检测报文,则认为该通道的某个部分发生了故障。
由于同一个数据路径上只建立一个BFD会话,如果不同的应用使用的BFD参数不一致,则应该配置一个能满足所有应用要求的BFD参数。
2.BFD工作原理
2.1 BFD报文结构
BFD检测是通过维护在两个系统之间建立的BFD会话来实现的,系统通过发送BFD报文建立会话。
BFD控制报文根据场景不同封装不同,报文结构由强制部分和可选的认证字段组成。
Sta:BFD本地状态。
Detect Mult:检测超时倍数,用于检测方计算检测超时时间。
My Discriminator:BFD会话连接本地标识符(Local Discriminator) 。发送系统产生的一个唯一的、非0鉴别值,用来区分一个系统的多个BFD会话。
Your Discriminator:BFD会话连接远端标识符(Remote Discriminator) 。从远端系统接收到的鉴别值,这个域直接返回接收到的“My Discriminator”,如果不知道这个值就返回0。
Desired Min TX Interval:本地支持的最小BFD报文发送间隔。
Required Min RX Interval:本地支持的最小BFD报文接收间隔。
Required Min Echo RX Interval:本地支持的最小Echo报文接收间隔,单位为微秒(如果本地不支持Echo功能,则设置0)。
Ver:BFD协议版本号,目前为1。
Diag:诊断字,标明本地BFD系统最近一次会话状态发生变化的原因。
P:参数发生改变时,发送方在BFD报文中置该标志,接收方必须立即响应该报文。
F:响应P标志置位的回应报文中必须将F标志置位。
C:转发/控制分离标志,一旦置位,控制平面的变化不影响BFD检测。
A:认证标识,置1代表会话需要进行验证。
D:查询请求,置位代表发送方期望采用查询模式对链路进行监测。
M:为BFD将来支持点对多点扩展而设的预留位。
Length:报文长度,单位为字节。
2.2 BFD会话建立
BFD会话的建立有两种方式,即静态建立BFD会话和动态建立BFD会话。BFD通过控制报文中的本地标识符和远端标识符区分不同的会话。静态和动态创建BFD会话的主要区别在于Local Discriminator和Remote Discriminator的配置方式不同。
静态建立BFD会话:
静态建立BFD会话是指通过命令行手工配置BFD会话参数,包括配置本地标识符和远端标识符等,然后手工下发BFD会话建立请求。
动态建立BFD会话:
动态建立BFD会话的本地标识符由触发创建BFD会话的系统动态分配,远端标识符从收到对端BFD消息的Local Discriminator的值学习而来。
动态建立BFD会话时,系统对本地标识符和远端标识符的处理方式如下:
动态分配本地标识符,当应用程序触发动态创建BFD会话时,系统分配属于动态会话标识符区域的值作为BFD会话的本地标识符。然后向对端发送Remote Discriminator的值为0的BFD控制报文,进行会话协商。
自学习远端标识符,当BFD会话的一端收到Remote Discriminator的值为0的BFD控制报文时,判断该报文是否与本地BFD会话匹配,如果匹配,则学习接收到的BFD报文中Local Discriminator的值,获取远端标识符。
2.3 BFD会话状态
BFD会话有四种状态:Down、Init、Up和AdminDown。会话状态变化通过BFD报文的State字段传递,系统根据自己本地的会话状态和接收到的对端BFD报文驱动状态改变,如左下图所示。BFD状态机的建立和拆除都采用三次握手机制,如右下图所示,以确保两端系统都能知道状态的变化。
BFD会话过程中包含有三个状态:init和up两个用来建立会话,down用来断开会话。建立和断开会话都需要三次握手确保两端系统都感知到。另外还有一个特殊状态:管理down,使会话可以通过管理手段down,在状态机中管理down也是down状态。每个系统通过报文中的sta域发送本端状态,接收报文中的sta域了解对端状态,综合起来决定状态机的跳转。
Down状态说明会话down。一个会话会维持在down状态直到收到对端的报文并且该报文的sta字段标志着对端状态不是up。如果收到的是down包,状态机将从down状态跳转到init状态,如果收到的是init包,状态机将从down状态跳转到up状态,如果收到的是up包,状态机维持down状态。
Init状态说明与远端正在通信,并且本地会话期望进入up状态,但是远端还没回应。一个init状态的会话会维持init状态直到收到对端的init包或者up包,就会跳转到up状态,否则等到检测时间超时以后,便会跳转到down状态,意味着与远端的通信丢失。
Up状态说明BFD会话成功建立,并且正在确认链路的联通性,会话会一直保持在up状态直到链路故障或者管理down操作。如果收到远端的down包或者检测时间超时会话就会从up状态跳转到down状态。
管理down意味着会话是被管理操作down的,这会导致远端系统会话进入down状态,并且一直保持down状态直到本端退出管理down。管理down并不意味着转发路径的连通性问题。
2.4 BFD检测模式
BFD的检测机制:两个系统建立BFD会话,并沿它们之间的路径周期性发送BFD控制报文,如果一方在既定的时间内没有收到BFD控制报文,则认为路径上发生了故障。BFD的检测模式有异步模式和查询模式两种。
异步模式:
系统之间相互周期性地发送BFD控制包,如果某个系统在检测时间内没有收到对端发来的BFD控制报文,就宣布会话为Down。
查询模式:
在需要验证连接性的情况下,系统连续发送多个BFD控制包,如果在检测时间内没有收到返回的报文就宣布会话为Down。
异步模式和查询模式的本质区别:检测的位置不同,异步模式下本端按一定的发送周期发送BFD控制报文,检测位置为远端,远端检测本端是否周期性发送BFD控制报文;查询模式下本端检测自身发送的BFD控制报文是否得到了回应。
2.5 BFD检测时间
BFD会话检测时长由TX(Desired Min TX Interval),RX(Required Min RX Interval),DM(Detect Multi)三个参数决定。BFD报文的实际发送时间间隔,实际接受时间间隔由BFD会话协商决定。
本地BFD报文实际发送时间间隔=MAX { 本地配置的发送时间间隔,对端配置的接收时间间隔 }
本地BFD报文实际接收时间间隔=MAX { 对端配置的发送时间间隔,本地配置的接收时间间隔 }
本地BFD报文实际检测时间:
异步模式:本地BFD报文实际检测时间=本地BFD报文实际接收时间间隔×对端配置的BFD检测倍数
查询模式:本地BFD报文实际检测时间 = 本地BFD报文实际接收时间间隔×本端配置的BFD检测倍数
BFD缺省时间参数
BFD报文发送间隔默认1000毫秒,接受间隔默认1000毫秒,本地检测倍数3次。
BFD会话等待恢复时间0秒,会话延迟Up时间0秒。
检测超时倍数,用于检测方计算检测超时时间。
查询模式:采用本地检测倍数。
异步模式:采用对端检测倍数。
2.6 BFD Echo功能
BFD Echo功能也称为BFD回声功能,是由本地发送BFD Echo报文,远端系统将报文环回的一种检测机制。
在两台直接相连的设备中,其中一台设备支持BFD功能(R1);另一台设备不支持BFD功能(R2),只支持基本的网络层转发。为了能够快速的检测这两台设备之间的故障,可以在支持BFD功能的设备上创建单臂回声功能的BFD会话。支持BFD功能的设备主动发起回声请求功能,不支持BFD功能的设备接收到该报文后直接将其环回,从而实现转发链路的连通性检测功能。
3.BFD应用场景
3.1 联动功能简介
联动功能由检测模块、Track和应用模块三部分组成。
监测模块负责对链路状态、网络性能等进行监测,并将探测结果通知给Track模块 。
Track模块收到监测模块的探测结果后,及时改变Track项的状态,并通知应用模块。
应用模块根据Track项的状态,进行相应的处理,从而实现联动。
3.2 静态路由与BFD联动
静态路由自身没有检测机制,如果静态路由存在冗余路径,通过静态路由与BFD联动,当主用路径故障时,实现静态路由的快速切换 。
静态路由与BFD联动应用广泛,如下图中R1是园区网的出口路由器,R1通过两条链路分别连接ISP1和ISP2,正常情况下默认路由经过的链路为指向ISP1的链路,当通往ISP1的链路出现故障的时候,BFD会话能够快速感知,并通知路由器将流量切换到指向ISP2的链路。
3.3 OSPF与BFD联动
OSPF在未绑定BFD的情况下,链路故障检测时间由协议Hello机制决定,通常是秒级。通过绑定BFD,可以实现毫秒级故障检测。
BFD与OSPF联动就是将BFD和OSPF协议关联起来, BFD将链路故障的快速检测结果告知OSPF协议。
1.OSPF通过自己的Hello机制发现邻居并建立连接。
2.OSPF在建立了新的邻居关系后,将邻居信息(包括目的地址和源地址等)通告给BFD。
3.BFD根据收到的邻居信息建立会话,会话建立以后,BFD开始检测链路故障。
4.正常情况下,R1根据OSPF路径开销大小选择经过R2到达R4。
BFD会话建立后会周期性地快速发送BFD报文,如果在检测时间内没有收到BFD报文则认为该双向转发路径发生了故障,通知被服务的上层应用进行相应的处理。
4.BFD基本配置
4.1 BFD配置命令介绍
1.创建BFD会话绑定信息,并进入BFD会话视图。
[Huawei] bfd session-name bind peer-ip ip-address [ vpn-instance vpn-name ] interface interface-type interface-number [ source-ip ip-address ]
缺省情况下,未创建BFD会话。在第一次创建单跳BFD会话时,必须绑定对端IP地址和本端相应接口,且创建后不可修改。如果需要修改,则只能删除后重新创建。
2.创建使用组播地址作为对端地址的BFD会话,并进入BFD会话视图。
[Huawei] bfd session-name bind peer-ip default-ip interface interface-type interface-number [ source-ip ip-address ]
3.创建BFD for IPv6的绑定信息,并进入BFD会话视图。
[Huawei] bfd session-name bind peer-ipv6 ip-address [ vpn-instance vpn-name ] interface interface-type interface-number [ source-ipv6 ip-address ]
在第一次创建单跳BFD6会话时,必须绑定对端IPv6地址和本端相应接口,且创建后不可修改。
4.创建静态标识符自协商BFD会话
[Huawei] bfd session-name bind peer-ip ip-address [ vpn-instance vpn-name ] interface interface-type interface-number [ source-ip ip-address ] auto
5.创建单臂Echo功能的BFD会话
[Huawei] bfd session-name bind peer-ip ip-address [ vpn-instance vpn-name ] interface interface-type interface-number [ source-ip ip-address ] one-arm-echo
6.配置BFD会话的本地标识符
[Huawei-bfd-session-test] discriminator local discr-value
此处假设BFD Session名称是test。
7.配置BFD会话的远端标识符
[Huawei-bfd-session-test] discriminator remote discr-value
配置标识符时,本端的本地标识符与对端的远端标识符必需相同,否则BFD会话无法正确建立。并且,本地标识符和远端标识符配置成功后不可修改。
配置编辑完成后,用户可以执行commit提交配置,使新的配置数据在当前的系统运行配置中生效。
4.2 静态路由与BFD联动配置
实验要求:
如上图组网所示,在R1上配置到达R4的Loopback0: 4.4.4.4/32网段的浮动静态路由,正常情况下通过R2访问R4,当R2故障时,自动选路通过R3访问R4的Loopback0;
在R1与R2之间建立BFD会话,并与静态路由绑定,实现故障快速检测和路径快速收敛。
在R1与R2之间建立静态BFD会话:
[R1]bfd
[R1]bfd 12 bind peer 10.0.12.2 interface GigabitEthernet 0/0/1
[R1-bfd-session-12]discriminator local 10
[R1-bfd-session-12]discriminator remote 20
[R1-bfd-session-12]commit
[R2]bfd
[R2]bfd 21 bind peer 10.0.12.1 interface GigabitEthernet 0/0/1
[R2-bfd-session-21]discriminator local 20
[R2-bfd-session-21]discriminator remote 10
[R2-bfd-session-21]commit
在R1上配置静态路由并绑定BFD会话:
[R1] ip route-static 4.4.4.4 32 10.0.12.2 track bfd-session 12
[R1] ip route-static 4.4.4.4 32 10.0.13.2 preference 100
此实验其它配置此处省略
BFD会话配置验证:
[R1]display bfd session all verbose
Session MIndex : 256 (One Hop) State : Up Name : 12
Local Discriminator : 1 Remote Discriminator : 2
Session Detect Mode : Asynchronous Mode Without Echo Function
BFD Bind Type : Interface(Vlanif10)
Bind Session Type : Static
Bind Peer IP Address : 10.0.12.2
NextHop Ip Address : 10.0.12.2
Bind Interface : GigabitEthernet0/0/1
FSM Board Id : 0 TOS-EXP : 7
Min Tx Interval (ms) : 1000 Min Rx Interval (ms) : 1000
Actual Tx Interval (ms): 1000 Actual Rx Interval (ms): 1000
Local Detect Multi : 3 Detect Interval (ms) : 3000
Echo Passive : Disable Acl Number : -
Destination Port : 3784 TTL : 255
----more----
4.3 OSPF与BFD联动配置
实验要求:
R1、R2、R3运行OSPF协议,且都属于Area 0;
配置OSPF与BFD联动,通过设置所有OSPF接口的BFD会话参数进一步提高链路状态变化时OSPF的收敛速度;
将BFD会话的最大发送间隔和最大接受间隔都设置为100ms,检测次数默认不变。
R1配置如下:
[R1]bfd
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.0.12.1 30
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.3
[R1-ospf-1-area-0.0.0.0]quit
[R1-ospf-1]bfd all-interfaces enable
[R1-ospf-1]bfd all-interfaces min-tx-interval 100 min-rx-interval 100 detect-multiplier 3
R2和R3的配置与R1类似,此处省略。
BFD检测配置验证:
[R1]display bfd session all verbose
Session Mince : 256 (One Hop) State : Up Name : dyn_8192
Local Discriminator : 8192 Remote Discriminator : 8192
Session Detect Mode : Asynchronous Mode Without Echo Function
BFD Bind Type : Interface(GigabitEthernet0/0/0)
Bind Session Type : Dynamic
Bind Peer IP Address : 10.0.12.2
NextHop Ip Address : 10.0.12.2
Bind Interface : GigabitEthernet0/0/0
FSM Board Id : 0 TOS-EXP : 7
Min Tx Interval (ms) : 100 Min Rx Interval (ms) : 100
Actual Tx Interval (ms): 100 Actual Rx Interval (ms): 100
Local Detect Multi : 3 Detect Interval (ms) : 300
Echo Passive : Disable Acl Number : -
[R1]display ospf 1 bfd session all
OSPF Process 1 with Router ID 10.0.12.1
Area 0.0.0.0 interface 10.0.12.1(GigabitEthernet0/0/0)'s BFD Sessions
NeighborId:10.0.12.2
AreaId:0.0.0.0
Interface:GigabitEthernet0/0/0
BFDState:up rx :100 tx :100
Multiplier:3
BFD Local Dis:8192
LocalIpAdd: 10.0.12.1
RemoteIpAdd:10.0.12.2
Diagnostic Info:No diagnostic information
思考
(多选题)BFD会话建立过程中有以下哪几种状态?
Down
Init
Up
Establish
(多选题)BFD检测模式有哪些?
异步模式
同步模式
查询模式
回声模式
1.ABC
2.ACD
总结
本章详细介绍了BFD工作原理,内容包括会话建立的过程、检测模式、检测时间以及检测流程。
BFD会话建立中经过三个不同的状态,包括down、init和up,会话状态建立根据收到报文中的sta字段进行转换。BFD检测模式分为异步检测和查询模式,它们的主要区别不仅是发送检测报文的方式和检测的位置不同,同时检测时间与检测流程也不同。
BFD能够快速检测链路故障,但是只有被应用模块调用,例如OSPF、静态路由,才能够实现流量路径的快速切换,因此BFD在线网当中应用非常广泛。
24.VLAN高级技术
前言
VLAN技术在园区网络中应用非常广泛,通常利用VLAN进行广播域的隔离,每个VLAN属于一个广播域。网络规划时需要为每个广播域分配一个网关,如果VLAN数量过多,会导致IP地址规划难度加大,甚至会出现大量IP地址的浪费。
另外,在大型企业中,不仅仅有企业内部员工,还有很多合作伙伴同时在企业园区办公。对于不同合作伙伴来说,他们之间是不能直接访问的,需要给每个合作伙伴分配一个VLAN进行隔离,这样又会给网络带来管理维护上的难度。面临以上这些情况,是否有更好的技术能够解决这个问题呢?
本课程主要介绍几种VLAN的高级技术,包括VLAN聚合、MUX VLAN、QinQ,进一步加深对VLAN高级技术的理解与应用。
课程能力
学完本课程后,您将能够:
描述VLAN聚合工作原理
描述MUX VLAN的应用场景
描述QinQ实现的方式
实现VLAN聚合、MUX VLAN、QinQ的配置
1.VLAN聚合
VLAN聚合产生的技术背景
在一般的三层交换机中,通常是采用一个VLAN对应一个VLANIF接口的方式实现广播域之间的互通,这在某些情况下导致了IP地址的浪费。
因为一个VLAN对应的子网中,子网号、子网广播地址、子网网关地址不能用作VLAN内的主机IP地址,且子网中实际接入的主机可能少于可用IP地址数量,空闲的IP地址也会因不能再被其他VLAN使用而被浪费掉。
VLAN聚合概述
VLAN聚合(VLAN Aggregation,也称Super-VLAN): 指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关,进而达到节约IP地址资源的目的。
Sub-VLAN:只包含物理接口,不能建立三层VLANIF接口,用于隔离广播域。每个Sub-VLAN内的主机与外部的三层通信是靠Super-VLAN的三层VLANIF接口来实现的。
Super-VLAN:只建立三层VLANIF接口,不包含物理接口,与子网网关对应。与普通VLAN不同,Super-VLAN的VLANIF接口状态取决于所包含Sub-VLAN的物理接口状态。
VLAN聚合的原理
每个Sub-VLAN对应一个广播域,多个Sub-VLAN和一个Super-VLAN关联,只给Super-VLAN分配一个IP子网,所有Sub-VLAN都使用Super-VLAN的IP子网和缺省网关进行三层通信。
多个Sub-VLAN共享一个网关地址,节约了子网网络地址、子网定向广播地址、子网缺省网关地址,且各Sub-VLAN间的界线也不再是从前的子网界线了,可以根据每个Sub-VLAN内所需的IP地址数量进行灵活的地址规划,从而既保证了各个Sub-VLAN作为一个独立广播域实现广播隔离,又节省了IP地址资源,提高了编址的灵活性。
VLAN聚合的应用
传统VLAN方式每一个VLAN需要划分不同的IP地址网段,在本例中需要耗费4个IP网段和产生4条路由条目;Super-VLAN方式只需要分配一个IP地址网段,下属二层VLAN共用同一个IP地址网段,共用同一个三层网关,同时VLAN之间保持二层隔离。
相同Sub-VLAN内部通信
同一个Sub-VLAN之间属于同一个广播域,因此相同Sub-VLAN之间可以通过二层直接通信。
不同Sub-VLAN之间通信举例
不同Sub-VLAN之间进行通信,IP地址属于相同网段,因此主机会发送ARP请求,但是实际不同Sub-VLAN之间属于不同的广播域,因而ARP报文无法传递到其他Sub-VLAN,ARP请求得不到响应,设备无法学习到对端MAC地址,从而无法完成Sub-VLAN之间通信。
要实现Sub-VLAN之间的通信,需要在Super-VLAN 的VLANIF中开启ARP代理功能。
Sub-VLAN与其他设备的二层通信
当Sub-VLAN与其他设备进行二层通信时,与普通的VLAN内二层通信无区别。
由于Super-VLAN不属于任何物理接口,即不会处理任何携带Super-VLAN标签的报文。
Sub-VLAN二层通信过程举例:
从PC1进入SW1的报文会被打上VLAN10的Tag。在SW1中这个Tag不会因为VLAN10是VLAN100的Sub-VLAN而变为VLAN100的Tag。
当报文从SW1的GE0/0/0出去时,依然携带VLAN10的Tag。也就是说,SW1本身不会发出VLAN100的报文。就算其他设备有VLAN100的报文发送到该设备上,这些报文也会因为SW1上没有VLAN100应的物理接口而被丢弃。
对于其他设备而言,有效的VLAN只有Sub-VLAN10,20和30, 所有的报文都是在这些VLAN中交互的。因此,SW1上虽然配置了VLAN聚合,但与其他设备的二层通信,不会涉及到Super-VLAN,与正常的二层通信流程一样。
当Sub-VLAN内的PC需要与其他网络进行三层通信时,首先将数据发往默认网关,即Super-VLAN对应的VLANIF,再进行路由。
VLAN聚合关键配置命令
1.创建Super-VLAN
[Huawei-vlan100] aggregate-vlan
Super-VLAN中不能包含任何物理接口,VLAN1不能配置为Super-VLAN。
Super-VLAN中的VLAN ID与Sub-VLAN中的VLAN ID 必须使用不同的 VLAN ID。
2.将Sub-VLAN加入Super-VLAN
[Huawei-vlan100] access-vlan { vlan-id1 [ to vlan-id2 ] }
将Sub-VLAN加入到Super-VLAN中时,必须保证Sub-VLAN没有创建对应的VLANIF接口。
3.(可选)使能Super-VLAN对应的VLANIF接口的Proxy ARP
[Huawei-vlanif100] arp-proxy inter-sub-vlan-proxy enable
使能Sub-VLAN间的Proxy ARP功能。
VLAN聚合配置
要求:如上图所示完成SW1上VLAN聚合的配置
SW1的配置如下:
[SW1] vlan batch 10 20 #创建Sub-VLAN
[SW1] interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1] port link-type trunk
[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[SW1] interface GigabitEthernet0/0/2
[SW1-GigabitEthernet0/0/2] port link-type trunk
[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[SW1] vlan 100 #创建Super-VLAN
[SW1-vlan100] aggregate-vlan
[SW1-vlan100] access-vlan 10 20 #将VLAN10,20作为VLAN100的Sub-VLAN
[SW1] interface vlanif 100
[SW1-vlanif100] ip address 192.168.1.254 24
[SW1-vlanif100] arp-proxy inter-sub-vlan-proxy enable
#使能Sub-VLAN间的Proxy ARP功能
SW1的配置如下:
[SW1] vlan 200
[SW1] interface GigabitEthernet0/0/3
[SW1-GigabitEthernet0/0/3] port link-type access
[SW1-GigabitEthernet0/0/3] port default vlan 200
[SW1] interface vlanif 200
[SW1-VLANIF200] ip address 192.168.200.254 24
SW2的配置如下:
[SW2] vlan 10
[SW2] interface GigabitEthernet0/0/2
[SW2-GigabitEthernet0/0/2] port link-type access
[SW2-GigabitEthernet0/0/2] port default vlan 10
[SW2] interface GigabitEthernet0/0/1
[SW2-GigabitEthernet0/0/1] port link-type trunk
[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
SW3的配置与SW2类似,此处省略
2.MUX VLAN
MUX VLAN产生背景
在企业网络中,各个部门之间网络需要相互独立,通常用VLAN技术可以实现这一要求。如果企业规模很大,且拥有大量的合作伙伴,要求各个合作伙伴能够访问公司服务器,但是不能相互访问,这时如果使用传统的VLAN技术,不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
MUX VLAN的基本概念
MUX VLAN分为Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN),Subordinate VLAN又分为Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)。
MUX VLAN的应用
MUX VLAN配置命令
1.配置MUX VLAN中的Principal VLAN
[Huawei-vlan100] mux-vlan
配置该VLAN为MUX VLAN,即Principal VLAN。如果指定VLAN已经用于Principal VLAN,那么该VLAN不能在Super-VLAN、Sub-VLAN的配置中使用。
2.配置Subordinate VLAN中的Group VLAN
[Huawei-vlan100] subordinate group { vlan-id1 [ to vlan-id2 ] }
一个Principal VLAN下最多配置128个Group VLAN。
3.配置Subordinate VLAN中的Separate VLAN
[Huawei-vlan100] subordinate separate vlan-id
一个Principal VLAN下只能配置一个Separate VLAN,同一MUX VLAN中Group VLAN和Separate VLAN的VLAN ID不能相同。
4.使能接口MUX VLAN功能
[Huawei-GigabitEthernet0/0/1] port mux-vlan enable vlan-id
使能接口的MUX VLAN功能,协商类型negotiation-auto和negotiation-desirable接口不支持配置port mux-vlan enable。
MUX VLAN配置举例
实验要求:
Server能与所有主机二层互通
部门A、部门B、访客区相互间二层不互通
部门A与部门B内部二层互通
访客区内部二层不互通
SW1配置如下:
[SW1] vlan batch 10 20 30 100 #创建所有VLAN
[SW1] vlan 100
[SW1-vlan100] mux-vlan
#指定VLAN100为主VLAN
[SW1-vlan100] subordinate group 10 20
#指定VLAN10, 20为互通型从VLAN
[SW1-vlan100] subordinate separate 30
#指定VLAN30为隔离型从VLAN
[SW1] interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1-GigabitEthernet0/0/1] port mux-vlan enable vlan 10
#接口加入相关VLAN,并且激活MUX VLAN功能
#其他接口与GE0/0/1配置类似,此处省略
查看VLAN配置结果,通过ping命令检测PC5(192.168.1.5/24)与PC6(192.168.1.6/24)之间的网络连通性。
[SW1]display vlan
The total number of vlans is : 5
------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
------------------------------------------------------------------------------
VID Type Ports
------------------------------------------------------------------------------
10 mux-sub UT:GE0/0/1(U) GE0/0/2(U)
20 mux-sub UT:GE0/0/3(U) GE0/0/4(U)
30 mux-sub UT:GE0/0/5(U) GE0/0/6(U)
100 mux UT:GE0/0/24(U)
PC5>ping 192.168.1.6
Ping 192.168.1.6: 32 data bytes, Press Ctrl_C to break
From 192.168.1.5: Destination host unreachable
From 192.168.1.5: Destination host unreachable
From 192.168.1.5: Destination host unreachable
From 192.168.1.5: Destination host unreachable
From 192.168.1.5: Destination host unreachable
--- 192.168.1.6 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
3.QinQ
QinQ概述
随着以太网技术在网络中的大量部署,利用VLAN对用户进行隔离和标识受到很大限制。因为IEEE802.1Q中定义的VLAN Tag域只有12个比特,仅能表示4096个VLAN,无法满足城域以太网中标识大量用户的需求,于是QinQ技术应运而生。
QinQ(802.1Q in 802.1Q)技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能。
QinQ封装结构
QinQ工作原理
在公网的传输过程中,设备只根据外层VLAN Tag转发报文,并根据报文的外层VLAN Tag进行MAC地址学习,而用户的私网VLAN Tag将被当作报文的数据部分进行传输。即使私网VLAN Tag相同,也能通过公网VLAN Tag区分不同用户。
企业A和企业B的私网VLAN分别为VLAN 1~10和VLAN 1~20。公网为企业A和企业B分配的公网VLAN分别为VLAN 3和VLAN 4。当企业A和企业B中带VLAN Tag的报文进入公网时,报文外面就会被分别封装上VLAN 3和VLAN 4的VLAN标签。这样,来自不同企业网络的报文在公网中传输时被完全分开,即使这些企业网络各自的VLAN范围存在重叠,在公网中传输时也不会产生冲突。当报文穿过公网,到达公网另一侧PE设备后,报文会被剥离公网为其添加的公网VLAN标签,然后再传送给用户网络的CE设备。
QinQ实现方式 - 基本QinQ
基本QinQ是基于端口方式实现的。开启端口的基本QinQ功能后,当该端口接收到报文,设备会为该报文打上本端口缺省VLAN 的VLAN Tag。如果接收到的是已经带有VLAN Tag的报文,该报文就成为双Tag的报文;如果接收到的是不带VLAN Tag的报文,该报文就成为带有端口缺省VLAN Tag的报文。
基于端口的QinQ的缺点是外层VLAN Tag封装方式固定,不能根据业务种类选择外层VLAN Tag封装的方式,从而很难有效支持多业务的灵活运营。
QinQ实现方式 - 灵活QinQ
灵活QinQ(Selective QinQ)可根据流分类的结果选择是否打外层VLAN Tag,打上何种外层VLAN Tag。灵活QinQ可根据用户的VLAN标签、优先级、MAC地址、IP协议、IP源地址、IP目的地址、或应用程序的端口号进行流分类。
基于VLAN ID的灵活QinQ:为具有不同内层VLAN ID的报文添加不同的外层VLAN Tag。
基于802.1p优先级的灵活QinQ:根据报文的原有内层VLAN的802.1p优先级添加不同的外层VLAN Tag。
基于流策略的灵活QinQ:根据QoS策略添加不同的外层VLAN Tag。基于流策略的灵活QinQ能够针对业务类型提供差别服务。
灵活QinQ功能是对基本QinQ功能的扩展,它比基本QinQ的功能更灵活。二者之间的主要区别是:
基本QinQ:对进入二层QinQ接口的所有帧都加上相同的外层Tag。
灵活QinQ:对进入二层QinQ接口的帧,可以根据不同的内层Tag而加上不同的外层Tag,对于用户VLAN的划分更加细致
QinQ在园区网络中的应用
BRAS:Broadband Remote Access Server,宽带远程接入服务器。BRAS提供宽带接入服务、实现多种业务的汇聚与转发,能满足不同用户对传输容量和带宽利用率的要求,因此RRAS是宽带用户接入的核心设备。
BUM:Broadcast、Unknown unicast、Multicast,广播,未知单播、组播。交换机以泛洪的方式处理以上类型的数据帧。
QinQ配置命令介绍
1.配置接口类型为dot1q-tunnel
[Huawei-GigabitEthernet0/0/1] port link-type dot1q-tunnel
配置接口类型为dot1q-tunnel,该接口可以是物理接口,也可以是Eth-Trunk接口。
2.使能接口VLAN转换功能
[Huawei-GigabitEthernet0/0/1] qinq vlan-translation enable
3.配置配置灵活QinQ
[Huawei-GigabitEthernet0/0/1] port vlan-stacking vlan vlan-id1 [ to vlan-id2 ] stack-vlan vlan-id3 [ remark-8021p 8021p-value ]
配置不同的内层VLAN叠加不同的外层VLAN,缺省情况下,外层VLAN优先级与内层VLAN优先级保持一致。
配置灵活QinQ的当前接口类型建议为Hybrid,并且必须先通过命令qinq vlan-translation enable先使能VLAN转换功能。灵活QinQ功能只在当前接口的入方向生效。
接口配置VLAN Stacking功能后在发送帧时,若需要剥掉外层Tag,该接口要以Untagged方式加入叠加后的stack-vlan;若不需要剥掉外层Tag,该接口要以Tagged方式加入叠加后的stack-vlan。
QinQ配置举例 - 基本QinQ
实验要求:
企业1与企业2接入同一个ISP网络,并使用了重叠的VLAN空间。
ISP通过QinQ技术,实现同一个企业的不同站点之间的数据交互。
为企业1规划的VLAN ID为100,为企业2规划的VLAN ID为200。
SW1配置如下:
[SW1] vlan batch 100 200
[SW1] interface GigabitEthernet 0/0/1
#配置GE0/0/1外层TAG为100
[SW1-GigabitEthernet0/0/1] port link-type dot1q-tunnel
[SW1 -GigabitEthernet0/0/1] port default vlan 100
[SW1] interface GigabitEthernet 0/0/2
#配置GE0/0/2外层TAG为200
[SW1-GigabitEthernet0/0/2] port link-type dot1q-tunnel
[SW1-GigabitEthernet0/0/2] port default vlan 200
[SW1] interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3] port link-type trunk
[SW1-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 200
#配置外层VLAN tag的TPID值
[SW1-GigabitEthernet0/0/3] qinq protocol 9100
SW2配置与SW1类似,此处省略
QinQ配置举例 - 灵活QinQ
实验要求:
上网用户和VoIP用户通过SW1和SW2接入ISP网络,通过ISP的网络互相通信;企业为PC分配的内部VLAN为100,为VoIP电话分配的内部VLAN为300。
上网用户和VoIP用户分别以VLAN2和VLAN3通过ISP网络。
SW1配置如下:
[SW1] vlan batch 2 3
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type hybrid
[SW1-GigabitEthernet0/0/1] port hybrid untagged vlan 2 3
[SW1-GigabitEthernet0/0/1] qinq vlan-translation enable
[SW1-GigabitEthernet0/0/1] port vlan-stacking vlan 100 stack-vlan 2
[SW1-GigabitEthernet0/0/1] port vlan-stacking vlan 300 stack-vlan 3
[SW1-GigabitEthernet0/0/1] quit
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type trunk
[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 3
[SW1-GigabitEthernet0/0/2] quit
SW2配置与SW1类似,此处省略
思考
(单选题)当Sub-VLAN与外部进行二层通信时,在出接口打上的VLAN标记为?
Sub-VLAN
Secondary VLAN
Super-VLAN
Isolate VLAN
(单选题)下面关于QinQ描述错误的是?
QinQ报文在公网中报文根据外层VLAN Tag转发。
QinQ报文在公网中报文根据内层VLAN Tag转发。
QinQ为用户提供了一种更为简单的二层VPN隧道。
QinQ不需要信令协议的支持,可以通过纯静态配置实现。
总结
VLAN聚合通过配置Super-VLAN和Sub-VLAN,不同Sub-VLAN之间进行通信,需要Super-VLAN开启ARP代理。VLAN聚合既避免了由于子网划分带来的网络地址规划复杂的问题,又能够实现通过VLAN隔离不同广播域的目的。
MUX VLAN包括Principal VLAN和Subordinate VLAN,同时Subordinate VLAN又分为Separate VLAN和Group VLAN。Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。
QinQ技术不仅扩展了标识VLAN的数量,而且可以实现用户报文携带私网VLAN标签在公网内的透传。
26.VRRP原理与配置
27.DHCP原理与配置
28.IP路由基础
29.OSPF基础
30.OSPF路由计算
前言
同一区域内的OSPF路由器拥有完全一致的LSDB,在区域内部,OSPF采用SPF算法完成路由计算。
随着网络规模不断扩大,路由器为了完成路由计算所消耗的内存、CPU资源也越来越多。通过区域划分可以在一定程度上缓解路由器的压力。
在大规模网络中除了OSPF之外,还可能存在其它路由协议,OSPF支持外部路由引入,从而使得OSPF路由器知晓到达域外的路由。
本课程主要介绍OSPF路由计算原理,包括区域内部路由、区域间路由及外部路由的计算过程。
课程能力
学完本课程后,您将能够:
解释LSA关键字段的作用;
描述常见的LSA类型及其功能;
阐明SPF算法;
描述OSPF区域内路由、区域间路由计算原理;
描述OSPF区域间路由的防环机制;
描述OSPF外部路由计算原理。
1.区域内路由计算
1.1 LSA概述--课程回顾
1.1 LSA概述--LSA的基本概念
LSA是OSPF进行路由计算的关键依据。
OSPF的LSU报文可以携带多种不同类型的LSA。
各种类型的LSA拥有相同的报文头部。
重要字段解释
LS Age(链路状态老化时间):此字段表示LSA已经生存的时间,单位是秒。
Options(可选项):每一个bit都对应了OSPF所支持的某种特性。
LS Type(链路状态类型):指示本LSA的类型。
Link State ID(链路状态ID):不同的LSA,对该字段的定义不同。
Advertising Router(通告路由器):产生该LSA的路由器的Router ID。
LS Sequence Number(链路状态序列号):当LSA每次有新的实例产生时,序列号就会增加。
LS Checksum(校验和):用于保证数据的完整性和准确性。
Length:是一个包含LSA头部在内的LSA的总长度值。
链路状态类型、链路状态ID、通告路由器三元组唯一地标识了一个LSA。
链路状态老化时间 、链路状态序列号 、校验和用于判断LSA的新旧
1.1 LSA概述--常见LSA的类型
路由器LSA(Router LSA): 每个设备都会产生,描述了设备的链路状态和开销,该LSA只能在接口所属的区域内泛洪
网络LSA(Network LSA): 由DR产生,描述该DR所接入的MA网络中所有与之形成邻接关系的路由器,以及DR自己。该LSA只能在接口所属区域内泛洪
网络汇总LSA(Network Summary LSA): 由ABR产生,描述区域内某个网段的路由,该类LSA主要用于区域间路由的传递
ASBR汇总LSA(ASBR Summary LSA): 由ABR产生,描述到ASBR的路由,通告给除ASBR所在区域的其他相关区域。
AS外部LSA(AS External LSA): 由ASBR产生,用于描述到达OSPF域外的路由
非完全末梢区域LSA(NSSA LSA): 由ASBR产生,用于描述到达OSPF域外的路由。NSSA LSA与AS外部LSA功能类似,但是泛洪范围不同。NSSA LSA只能在始发的NSSA内泛洪,并且不能直接进入Area0。NSSA的ABR会将7类LSA转换成5类LSA注入到Area0
1.2 Router-LSA--Router LSA详解
Router LSA(1类LSA):每台OSPF路由器都会产生。它描述了该路由器直连接口的信息。
Router LSA只能在所属的区域内泛洪。
V (Virtual Link ) :如果产生此LSA的路由器是虚连接的端点,则置为1。
E (External ): 如果产生此LSA的路由器是ASBR,则置为1。
B (Border ):如果产生此LSA的路由器是ABR,则置为1。
links :LSA中的Link(链路)数量。Router LSA使用Link来承载路由器直连接口的信息。
Router LSA使用Link来承载路由器直连接口的信息。
每条Link均包含“链路类型”、“链路ID”、“链路数据”以及“度量值”这几个关键信息。
路由器可能会采用一个或者多个Link来描述某个接口。
1.2 Router-LSA--Router LSA描述P2P网络
<R1>display ospf lsdb router self-originate
1.2 Router-LSA--Router LSA描述TransNet
<R2>display ospf lsdb router self-originate
1.3 Network-LSA--Network LSA详解
Network LSA(2类LSA) :由DR产生,描述本网段的链路状态,在所属的区域内传播。
Network LSA 记录了该网段内所有与DR建立了邻接关系的OSPF路由器,同时携带了该网段的网络掩码。
Link State ID :DR的接口IP地址。
Network Mask:MA网络的子网掩码。
Attached Router:连接到该MA网络的路由器的Router-ID(与该DR建立了邻接关系的邻居的Router-ID,以及DR自己的Router-ID),如果有多台路由器接入该MA网络,则使用多个字段描述。
1.3 Network-LSA--Network LSA描述MA网络
1.4 SPF计算过程--SPF算法
Phase 1:构建SPF树。
路由器将自己作为最短路径树的树根,根据Router-LSA和Network-LSA中的拓扑信息,依次将Cost值最小的路由器添加到SPF树中。路由器以Router ID或者DR标识。
广播网络中DR和其所连接路由器的Cost值为0。
SPF树中只有单向的最短路径,保证了OSPF区域内路由计算不会出现环路。
Phase 2:计算最优路由。
将Router-LSA、Network-LSA中的路由信息以叶子节点形式附加在对应的OSPF路由器上,计算最优路由。
已经出现的路由信息不会再添加到SPF树干上。
1.4 SPF计算过程--SPF算法举例
1.4 SPF计算过程--构建SPF树
1.4 SPF计算过程--计算最优路由
小结
(多选题)Router-LSA中主要包含哪几种链路类型?( )
P2P
TransNet
StubNet
Vlink
(判断题)经过SPF算法计算后,被认为是最优的OSPF路由一定会被放入路由器的路由表。( )
小结
OSPF根据LSDB计算路由表,LSDB中可能存在多种类型的LSA,并且所有的LSA有相同的报文头部格式。
同一区域的OSPF路由器拥有完全一致的LSDB。在只有一个区域的情况下,区域内部主要存在两种类型的LSA,即Router-LSA和Network-LSA。
每台路由器都会产生Router-LSA,描述了路由器的直连接口信息。
在MA网络中,DR会产生Network-LSA来描述接入该MA网络的所有路由器的Router-ID(其中包括DR自身),以及这个网络的掩码。
2.区域间路由计算
2.1 区域间路由计算过程--单区域OSPF存在的问题
一系列连续的OSPF路由器构成的网络称为OSPF域(Domain)。
OSPF要求网络内的路由器同步LSDB,实现对于网络的一致认知。
当网络规模越来越大时,LSDB将变得非常臃肿,设备基于该LSDB进行路由计算,其负担也极大地增加了,此外路由器的路由表规模也变大了,这些无疑都将加大路由器的性能损耗。
当网络拓扑发生变更时,这些变更需要被扩散到整个网络,并可能引发整网的路由重计算。
单区域的设计,使得OSPF无法部署路由汇总。
2.1 区域间路由计算过程--区域划分
Router LSA和Network LSA只在区域内泛洪,因此通过区域划分在一定程度上降低网络设备的内存及CPU的消耗。
划分区域后,路由器可以分为两种角色:
区域内部路由器(Internal Router):该类设备的所有接口都属于同一个OSPF区域。如R1、R4、R5。
区域边界路由器(Area Border Router):该类设备接口分别连接两个及两个以上的不同区域。如R2、R3。
2.1 区域间路由计算过程--区域间路由信息传递
OSPF区域间路由信息传递是通过ABR产生的Network Summary LSA(3类LSA)实现的。
以192.168.1.0/24路由信息为例:
R2依据Area 1内所泛洪的Router LSA及Network LSA计算得出192.168.1.0/24路由(区域内路由),并将该路由通过Network Summary LSA通告到Area 0。R3根据该LSA可计算出到达192.168.1.0/24的区域间路由。
R3重新生成一份Network Summary LSA通告到Area 2中,至此所有OSPF区域都能学习到去往192.168.1.0/24的路由。
2.1 区域间路由计算过程--Network Summary LSA详解
Network Summary LSA(3类LSA)由ABR产生,用于向一个区域通告到达另一个区域的路由。
重要字段解释
LS Type:取值3,代表Network Summary LSA。
Link State ID:路由的目的网络地址。
Advertising Router:生成LSA的Router ID。
Network Mask:路由的网络掩码。
metric:到目的地址的路由开销。
2.1 区域间路由计算过程--Network Summary LSA示例
R1和R3的路由计算
R5的路由计算
区域间路由计算结果验证
2.2 区域间路由防环机制--域间路由环路的产生
OSPF区域间路由的传播过程与距离矢量路由协议的路由传播过程非常相似。
对于区域间路由的传递,OSPF也需要一定的防环机制。
2.2 区域间路由防环机制--区域间路由的防环机制
2.3 虚连接的作用及配置--虚连接的作用及配置
OSPF要求骨干区域必须是连续的,但是并不要求物理上连续,可以使用虚连接使骨干区域在逻辑上连续。
虚连接可以在任意两个ABR上建立,但是要求这两个ABR都有端口连接到一个相同的非骨干区域。
2.3 虚连接的作用及配置--思考
(判断题)一条Network Summary LSA只能描述一条路由信息。
(简答题)OSPF如何避免区域间的路由环路?
2.3 虚连接的作用及配置--小结
1.OSPF引入了多区域的概念,使得该协议能够支持更大规模的组网。
2.OSPF使用3类LSA来描述区域间的路由信息。
3.为了避免出现区域间路由环路,OSPF设计了多个规则。
4.OSPF Virtual Link是一种虚拟的、逻辑的链路,被部署在两台OSPF路由器之间,它穿越某个非骨干区域,用于实现另一个非骨干区域与Area0的连接。Virtual Link应该始终作为一种临时的技术手段来解决非骨干区域没有与Area0直接相连的情况。
3.外部路由计算
3.1 OSPF外部路由引入背景
网络中存在部分链路未开启OSPF协议如:
路由器连接外部网络使用静态路由或者BGP协议;
服务器直连的链路未开启OSPF协议。
3.2 外部路由引入的基本概念
ASBR(AS Boundary Router):自治系统边界路由器。只要一台OSPF设备引入了外部路由,它就成为了ASBR。如图中的R1。
ASBR将外部路由信息以AS-external LSA(5类LSA)的形式在OSPF网络内泛洪。
3.2 AS-external LSA详解
AS-external LSA(5类LSA):由ASBR产生,描述到达AS外部的路由,该LSA会被通告到所有的区域(除了Stub区域和NSSA区域)。
重要字段解释
LS Type:取值5,代表AS-external-LSA。
Link State ID:外部路由的目的网络地址。
Advertising Router:生成该LSA的Router ID。
Network Mask:网络掩码。
E :该外部路由所使用的度量值类型
0:度量值类型为Metric-Type-1
1:度量值类型为Metric-Type-2
metric:到目的网络的路由开销。
Forwarding Address(FA):到所通告的目的地址的报文将被转发到这个地址。
3.3 AS-external LSA示例
R3的路由计算过程
3.4 ASBR-Summary LSA
ASBR-Summary LSA(4类LSA):由ABR产生,描述到ASBR的路由,通告给除ASBR所在区域的其他相关区域。
重要字段解释
LS Type:取值4,代表ASBR-Summary LSA。
Link State ID :ASBR的Router ID。
Advertising Router:生成LSA的Router ID。
Network Mask:仅保留,无意义。
metric:到目的地址的路由开销。
ASBR-Summary LSA示例
R5的路由计算过程
3.5 区分OSPF外部路由的2种度量值类型
Metric-Type-1
当外部路由的开销与自治系统内部的路由开销相当,并且和OSPF自身路由的开销具有可比性时,可以认为这类路由的可信程度较高,将其配置成Metric-Type-1。
Metric-Type-1外部路由的开销为AS内部开销(路由器到ASBR的开销)与AS外部开销之和。
Metric-Type-2
当ASBR到AS之外的开销远远大于在AS之内到达ASBR的开销时,可以认为这类路由的可信程度较低,将其配置成Metric-Type-2。
Metric-Type-2外部路由的开销等于AS外部开销。
思考
(多选题)ABR可能会产生以下哪些类型的LSA?( )
ASBR-Summary LSA
AS-external-LSA
Router-LSA
Network Summary LSA
(单选题)对于同一个路由前缀,以下哪种优先级最高?( )
区域内路由
区域间路由
第一类外部路由
第二类外部路由
小结
在一个大规模网络中,可能存在多种不同的路由协议,OSPF支持将AS外部路由引入本AS,使得AS内的路由器能够获知到达AS外部的路由。
ASBR将外部路由引入OSPF后,使用5类LSA描述它们,与ASBR同属一个区域的路由器能够根据5类LSA以及区域内的1类、2类LSA完成外部路由计算;与ASBR不在同一个区域的路由器还需借助4类LSA才能完成外部路由计算。
OSPF将外部路由引入OSPF后,可以设置路由的度量值类型:Metric-Type-1或Metric-Type-2,不同度量值类型的外部路由,其开销的计算方式不同,其路由的优先级也不相同,Metric-Type-1路由的优先级高于Metric-Type-2路由。
总结
1.本章知识点包括OSPF区域内路由计算、区域间路由计算、外部路由计算等。
2.OSPF路由遵循以下优先级顺序,区域内路由>区域间路由>Metric-Type-1外部路由>Metric-Type-2外部路由。
3.LSA是OSPF链路状态信息的载体,随着网络规模逐渐变大,网络业务逐渐变得复杂,通过OSPF区域的划分以及大量外部路由的引入,路由器的LSDB中可能存在大量的1类、2类、3类、4类、5类LSA,容易造成设备性能的浪费。
4.OSPF存在什么技术手段可以在保证网络可达性的前提下,减少设备性能损耗么?
31.OSPF特殊区域及其他特性
前言
在一个大型网络中,OSPF路由器通常需要同时维护由域内路由、域间路由、外部路由构成的数据库。当网络规模不断扩大时,LSDB规模也不断增长。如果某区域不需要为其他区域提供流量中转服务,那么该区域内的路由器就没有必要维护本区域外的链路状态信息。
OSPF通过划分区域可以减小区域内路由器LSDB的规模,对于那些位于自治系统(AS)边界的非骨干区域的低端路由器来说仍然无法承受,通过OSPF的特殊区域特性可以进一步减少LSA数量和路由表规模。
本课程主要介绍OSPF特殊区域,以及OSPF协议相关特性。
课程能力
1.Stub区域和Totally Stub区域
学完本课程后,您将能够:
描述OSPF特殊区域类型及相关特征
阐明OSPF路由汇总的应用场景及功能优势
实现OSPF报文认证的配置
1.1 网络规模变大引发的问题
OSPF路由器计算区域内、区域间、外部路由都需要依靠网络中的LSA,当网络规模变大时,设备的LSDB规模也变大,设备的路由计算变得更加吃力,造成设备性能浪费。
1.2 传输区域和末端区域
OSPF的区域可分为两种类型:
传输区域(Transit Area):除了承载本区域发起的流量和访问本区域的流量外,还承载了源IP和目的IP都不属于本区域的流量,即“穿越型流量”,如本例中的Area 0。
末端区域(Stub Area):只承载本区域发起的流量和访问本区域的流量,如本例中的Area 1和Area 2。
1.3 Stub区域
Stub区域的ABR不向Stub区域内传播它接收到的AS外部路由,Stub区域中路由器的LSDB、路由表规模都会大大减小。
为保证Stub区域能够到达AS外部,Stub区域的ABR将生成一条缺省路由(使用3类LSA描述)。
配置Stub区域时需要注意下列几点:
骨干区域不能被配置为Stub区域。
Stub区域中的所有路由器都必须将该区域配置为Stub。
Stub区域内不能引入也不接收AS外部路由。
虚连接不能穿越Stub区域。
1.4 Stub区域的路由表及3类LSA
1.5 Totally Stub区域
Totally Stub区域既不允许AS外部路由在本区域内传播,也不允许区域间路由在本区域内传播。
Totally Stub区域内的路由器通过本区域ABR下发的缺省路由(使用3类LSA描述)到达其他区域,以及AS外部。
配置Totally Stub区域时需要注意:
与Stub区域配置的区别在于,在ABR上需要追加no-summary关键字。
Totally Stub区域访问其他区域及AS外部是通过默认路由实现的。
AS外部、其他OSPF区域的拓扑及路由变化不会导致Totally Stub区域内的路由器进行路由重计算,减少了设备性能浪费。
2.NSSA区域和Totally NSSA区域
2.1 Stub区域与Totally Stub区域存在的问题
OSPF规定Stub区域是不能引入外部路由的,这样可以避免大量外部路由引入造成设备资源消耗。
对于既需要引入外部路由又要避免外部路由带来的资源消耗的场景,Stub和Totally Stub区域就不能满足需求了。
2.2 NSSA区域与Totally NSSA区域
NSSA区域能够引入外部路由,同时又不会学习来自OSPF网络其它区域引入的外部路由。
Totally NSSA与NSSA区域的配置区别在于前者在ABR上需要追加no-summary关键字。
2.3 NSSA区域与Totally NSSA区域的LSDB
2.4 OSPF LSA回顾
路由器LSA(Router LSA)
网络LSA(Network LSA)
网络汇总LSA(Network Summary LSA)
ASBR汇总LSA(ASBR Summary LSA)
AS外部LSA(AS External LSA
非完全末梢区域LSA(NSSA LSA)
2.5 路由器对LSA的处理原则
OSPF通过交互LSA实现链路状态数据库同步,路由器收到LSA后,按照以下原则处理:
如果收到的LSA本地没有,则更新LSDB并泛洪该LSA。
如果本地LSDB已存在该LSA,但是收到的更新,则更新LSDB并泛洪该LSA。
如果收到的LSA和LSDB中相同,则忽略,并终止泛洪。
如果收到的LSA损坏,例如Checksum错误,则不接收该LSA。
3.区域间路由汇总和外部路由汇总
3.1 在ABR执行路由汇总
路由汇总又被称为路由聚合,即是将一组前缀相同的路由汇聚成一条路由,从而达到减小路由表规模以及优化设备资源利用率的目的,我们把汇聚之前的这组路由称为精细路由或明细路由,把汇聚之后的这条路由称为汇总路由或聚合路由。
OSPF路由汇总的类型:
在ABR执行路由汇总:对区域间的路由执行路由汇总。
在ASBR执行路由汇总:对引入的外部路由执行路由汇总。
3.2 在ASBR执行路由汇总
在ASBR配置路由汇总后,ASBR将对自己所引入的外部路由进行汇总。
NSSA区域的ASBR也可以对引入NSSA区域的外部路由进行汇总。
在NSSA区域中,ABR执行7类LSA转化成5类LSA动作,此时它也是ASBR。若配置路由汇总,则对由7类LSA转化成的5类LSA进行汇总。
4.OSPF协议特性
4.1 Silent-Interface
通过Silent-Interface的配置,增强OSPF的组网适应能力,减少系统资源的消耗。
Silent-Interface有以下特性:
Silent-Interface不会接收和发送OSPF报文。
Silent-Interface的直连路由仍可以发布出去。
4.2 OSPF报文认证
OSPF支持报文认证功能,只有通过认证的OSPF报文才能被接收。
路由器支持两种OSPF报文认证方式,当两种认证方式都存在时,优先使用接口认证方式:
区域认证方式:一个OSPF区域中所有的路由器在该区域下的认证模式和口令必须一致。
接口认证方式:相邻路由器直连接口下的认证模式和口令必须一致。
思考
(多选题)OSPF定义了以下哪几种特殊区域?( )
Stub Area
Totally Stub Area
Not-So-Stubby Area(NSSA)
Totally NSSA
(简答题)Stub区域与Totally Stub区域的主要差别是什么?
(简答题)区域间路由汇总功能在什么路由器上配置?
总结
本章详细介绍了OSPF特殊区域,Stub区域内的路由器通过缺省路由到达外部网络、Totally Stub区域内的路由器通过缺省路由到达外部网络和OSPF区域间网络;NSSA、Totally NSSA区域内的路由器可引入外部路由。
在本章还介绍了OSPF协议的特性。包括Silent-Interface、认证、以及OSPF路由器收到LSA时的处理方式。
32.IS-IS原理与配置
前言
IS-IS(Intermediate System to Intermediate System,中间系统到中间系统)是ISO (International Organization for Standardization,国际标准化组织)为它的CLNP(ConnectionLessNetwork Protocol,无连接网络协议)设计的一种动态路由协议。
随着TCP/IP协议的流行,为了提供对IP路由的支持,IETF在RFC1195中对IS-IS进行了扩充和修改,使它能够同时应用在TCP/IP和OSI(Open System Interconnect,开放式系统互联)环境中,我们将扩展后的IS-IS称为集成IS-IS。
本课程主要介绍集成IS-IS的基本概念、工作原理以及配置方法。
课程能力
学完本课程后,您将能够:
描述IS-IS的基本概念
描述IS-IS的工作原理
描述IS-IS与OSPF的差异
实现IS-IS的常用配置
1.IS-IS的基本概念
1.1 IS-IS概述
IS-IS是ISO定义的OSI协议栈中的CLNS(ConnectionLess Network Service,无连接网络服务)的一部分。
IS-IS是一种链路状态路由协议,IS-IS与OSPF在许多方面非常相似,例如运行IS-IS协议的直连设备之间通过发送Hello报文发现彼此,然后建立邻接关系,并交互链路状态信息。
CLNS由以下三个部分组成:
CLNP:类似于TCP/IP中的IP协议。
IS-IS:类似于TCP/IP中的OSPF。
ES-IS:类似于TCP/IP中的ARP,ICMP等。
ES:End System,终端系统,类似于IP网络环境中的主机。
ES-IS:End System to Intermediate System,终端系统到中间系统。
IP网络环境中不涉及CLNP以及ES-IS,因此本课程不做详细介绍。
1.2 NSAP
NSAP(Network Service Access Point,网络服务访问点)是OSI协议栈中用于定位资源的地址,主要用于提供网络层和上层应用之间的接口。NSAP包括IDP及DSP,如下图所示:
IDP(Initial Domian Part)相当于IP地址中的主网络号。它是由ISO规定,并由AFI(Authority and Format Identifier)与IDI(Initial Domain Identifier)两部分组成。AFI表示地址分配机构和地址格式,IDI用来标识域。
DSP(Domian Specific Part)相当于IP地址中的子网号和主机地址。它由High Order DSP、System ID和SEL三个部分组成。High Order DSP用来分割区域,System ID用来区分主机,SEL(NSAP Selector)用来指示服务类型。
1.3 NET
NET(Network Entity Title,网络实体名称)是OSI协议栈中设备的网络层信息,主要用于路由计算,由区域地址(Area ID)和System ID组成,可以看作是特殊的NSAP(SEL为00的NSAP)。
NET的长度与NSAP的相同,最长为20Byte,最短为8Byte。
在IP网络中运行IS-IS时,只需配置NET,根据NET地址设备可以获取到Area ID以及System ID。
Area ID由IDP和DSP中的High Order DSP组成,既能够标识路由域,也能够标识路由域中的区域。因此,它们一起被称为区域地址,相当于OSPF中的区域编号。
一般情况下,一个路由器只需要配置一个区域地址,且同一区域中所有节点的区域地址都要相同。为了支持区域的平滑合并、分割及转换,缺省情况下,一个IS-IS进程下最多可配置3个区域地址。
System ID用来在区域内唯一标识主机或路由器。在设备的实现中,它的长度固定为6Byte。
1.4 NET的配置举例
每台运行IS-IS的网络设备至少需拥有一个NET,当然,一台设备也可以同时配置多个NET,但是这些NET的System ID必须相同。
在华为的网络设备上,System ID的长度总是固定的6Byte。在一个IS-IS路由域中,设备的System ID必须唯一,为了便于管理,一般根据Router ID配置System ID。
1.5 IS-IS和OSPF区域划分的区别
IS-IS在自治系统内采用骨干区域与非骨干区域两级的分层结构:
Level-1路由器部署在非骨干区域。
Level-2路由器和Level-1-2路由器部署在骨干区域。
每一个非骨干区域都通过Level-1-2路由器与骨干区域相连。
在学习OSPF过程中,我们已经体会到了多区域、层次化网络设计的好处。对于链路状态路由协议而言,运行了该协议的设备会向网络中通告链路状态信息,同时也收集网络中所泛洪的链路状态信息后加以存储,并最终以这些信息为基础进行计算,从而得到路由信息。如果不采用多区域部署的方式,那么随着网络的规模逐渐增大,网络中泛洪的链路状态信息势必会越来越多,所有设备都将承受更重的负担,路由计算机收敛将逐渐变得更加缓慢,这也使得网络的扩展性变差。
以上拓扑结构图可以体现IS-IS与OSPF的不同点:
在IS-IS中,每个路由器都只属于一个区域;而在OSPF中,一个路由器的不同接口可以属于不同的区域。
在IS-IS中,单个区域没有骨干与非骨干区域的概念;而在OSPF中,Area0被定义为骨干区域。
在IS-IS中,Level-1和Level-2级别的路由都采用SPF算法,分别生成最短路径树SPT(Shortest Path Tree);而在OSPF中,只有在同一个区域内才使用SPF算法,区域之间的路由需要通过骨干区域来转发。
1.6 IS-IS路由器的分类
Level-1路由器
Level-1路由器
Level-1路由器(例如图中的R1)是一种IS-IS区域内部路由器,它只与属于同一区域的Level-1和Level-1-2路由器形成邻接关系,这种邻接关系称为Level-1邻接关系。Level-1路由器无法与Level-2路由器建立邻接关系。
Level-1路由器只负责维护Level-1的链路状态数据库LSDB,该LSDB只包含本区域的路由信息。值得一提的是,Level-1路由器必须通过Level-1-2路由器接入IS-IS骨干区域从而访问其他区域。
Level-2路由器
Level-2路由器
Level-2路由器(例如图中的R4、R5、R6、R7)是IS-IS骨干路由器,它可以与同一或者不同区域的Level-2路由器或者Level-1-2路由器形成邻接关系。Level-2路由器维护一个Level-2的LSDB,该LSDB包含整个IS-IS域的所有路由信息。
所有Level-2级别(即形成Level-2邻接关系)的路由器组成路由域的骨干网,负责在不同区域间通信。路由域中Level-2级别的路由器必须是物理连续的,以保证骨干网的连续性。
Level-1-2路由器
Level-1-2路由器
Level-1-2路由器与OSPF中的ABR非常相似,它也是IS-IS骨干网络的组成部分。
Level-1-2路由器维护两个LSDB,Level-1的LSDB用于区域内路由,Level-2的LSDB用于区域间路由。
同时属于Level-1和Level-2的路由器称为Level-1-2路由器(例如图中的R2和R3),它可以与同一区域的Level-1和Level-1-2路由器形成Level-1邻接关系,也可以与其他区域的Level-2和Level-1-2路由器形成Level-2的邻接关系。
在华为路由器上配置IS-IS时,缺省时,路由器全局Level为Level-1-2,当然,可以通过命令修改该设备的类型。
1.7 IS-IS支持的网络类型
IS-IS会自动根据接口的数据链路层封装决定该接口的缺省网络类型, IS-IS支持两种类型的网络:
广播(Broadcast): 如Ethernet。
点到点(P2P): 如PPP、 HDLC等。
对于NBMA网络,需对其配置子接口,并注意子接口类型应配置为P2P。
1.8 IS-IS开销值
IS-IS使用Cost(开销)作为路由度量值,Cost值越小,则路径越优。IS-IS链路的Cost与设备的接口有关,与OSPF类似,每一个激活了IS-IS的接口都会维护接口Cost。然而与OSPF不同的是,IS-IS接口的Cost在缺省情况下并不与接口带宽相关(在实际部署时,IS-IS也支持根据带宽调整Cost值),无论接口带宽多大,缺省时Cost为10。
一条IS-IS路径的Cost等于本路由器到达目标网段沿途的所有链路的Cost总和。
IS-IS有三种方式来确定接口的开销,按照优先级由高到低分别是:
接口开销:为单个接口设置开销。
全局开销:为所有接口设置开销。
自动计算开销:根据接口带宽自动计算开销。
在早期的ISO10589中,使能IS-IS的接口下最大只能配置值为63的开销值,此时IS-IS的开销类型为narrow。但是在大型网络设计中,较小的度量范围不能满足实际需求。RFC3784中规定,使能IS-IS的接口开销值可以扩展到16777215,此时IS-IS的开销类型为wide。
缺省时,华为路由器采用的开销类型是narrow。
narrow类型下使用的TLV:
128号TLV(IP Internal Reachability TLV):用来携带路由域内的IS-IS路由信息。
130号TLV(IP External Reachability TLV):用来携带路由域外的IS-IS路由信息。
2号TLV(IS Neighbors TLV):用来携带邻居信息。
wide类型下使用的TLV:
135号TLV(Extended IP Reachability TLV):用来替换原有的IP reachability TLV,携带IS-IS路由信息,它扩展了路由开销值的范围,并可以携带sub TLV。
22号TLV(IS Extended Neighbors TLV):用来携带邻居信息。
1.9 IS-IS报文格式
IS-IS报文是直接封装在数据链路层的帧结构中的。
PDU(Protocol Data Unit,协议数据单元)可以分为两个部分,报文头(IS-IS Header)和变长字段部分(Variable Length Fields )。
其中IS-IS Header又可分为通用头部(PDU Common Header)和专用头部(PDU Specific Header)。对于所有PDU来说,通用报头都是相同的,但专用报头根据PDU类型不同而有所差别。
1.10 IS-IS通用头部详解
重要字段解释:
Intradomain Routing Protocol Discriminator:域内路由选择协议鉴别符,固定为0x83。
Length Indicator:IS-IS头部的长度(包括通用头部和专用头部),以Byte为单位。
Version/Protocol ID Extension:版本/协议标识扩展,固定为0x01。
System ID Length:NSAP地址或NET中System ID区域的长度。值为0时,表示System ID区域的长度为6Byte。
R(Reserved):保留,固定为0。
Version:固定为0x01。
Max.Areas:支持的最大区域个数。设置为1~254的整数,表示该IS-IS进程实际所允许的最大区域地址数;设置为0,表示该IS-IS进程最大只支持3个区域地址数。
1.11 IS-IS报文类型概述
IS-IS的PDU有4种类型:IIH(IS-IS Hello),LSP( Link State PDU,链路状态报文),CSNP(Complete Sequence Number PDU,全序列号报文),PSNP(Partial Sequence Number PDU,部分序列号报文)。
IIH:用于建立和维持邻接关系, 广播网络中的Level-1 IS-IS路由器使用Level-1 LAN IIH; 广播网络中的Level-2 IS-IS路由器使用Level-2 LAN IIH; 点到点网络中则使用P2P IIH。
LSP:用于交换链路状态信息。LSP分为两种,Level-1 LSP、Level-2 LSP。
SNP:通过描述全部或部分链路数据库中的LSP来同步各LSDB,从而维护LSDB的完整与同步。SNP包括CSNP和PSNP,进一步又可分为Level-1 CSNP、 Level-2 CSNP、 Level-1 PSNP和Level-2 PSNP。
1.12 IS-IS常见的TLV
TLV的含义是:类型(TYPE),长度(LENGTH),值(VALUE)。实际上是一个数据结构,这个结构包含了这三个字段。
使用TLV结构构建报文的好处是灵活性和扩展性好。采用TLV使得报文的整体结构固定,增加新特性只需要增加新TLV即可,不需要改变整个报文的整体结构。
2.IS-IS工作原理
2.1邻接关系建立--IS-IS邻接关系建立原则
IS-IS按如下原则建立邻接关系:
只有同一层次的相邻路由器才有可能成为邻接。
对于Level-1路由器来说,Area ID必须一致。
链路两端IS-IS接口的网络类型必须一致。
链路两端IS-IS接口的地址必须处于同一网段(默认情况下)。
由于IS-IS是直接运行在数据链路层上的协议,并且最早设计是给CLNP使用的,IS-IS邻接关系的形成与IP地址无关。但在实际的部署中,在IP网络上运行IS-IS时,需要检查对方的IP地址的。如果接口配置了从IP,那么只要双方有某个IP(主IP或者从IP)在同一网段,就能建立邻接,不一定要主IP相同。
通过将以太网接口模拟成点到点接口,可以建立点到点链路邻接关系。
当链路两端IS-IS接口的地址不在同一网段时,如果配置接口对接收的Hello报文不作IP地址检查,也可以建立邻接关系。
对于点到点接口,可以配置接口忽略IP地址检查。
对于以太网接口,需要将以太网接口模拟成点到点接口,然后才可以配置接口忽略IP地址检查。
一般情况下,一个接口只需配置一个主IP地址,但在有些特殊情况下需要配置从IP地址。比如,一台路由器通过一个接口连接了一个物理网络,但该物理网络的计算机分别属于2个不同的网络,为了使路由器与物理网络中的所有计算机通信,就需要在该接口上配置一个主IP地址和一个从IP地址。路由器的每个三层接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址,每个三层接口最多可配置31个从IP地址。
2.1邻接关系建立--IIH
IIH报文用于建立和维持邻接关系,广播网络中的Level-1 IS-IS路由器使用Level-1 LAN IIH;广播网络中的Level-2 IS-IS路由器使用Level-2 LAN IIH;点到点网络中则使用P2P IIH。
Reserved/Circuit Type:表示路由器的类型(01表示L1,10表示L2,11表示L1/L2)。
Source ID :发出Hello报文的路由器的System ID。
Holding Time : 保持时间。在此时间内如果没有收到邻接发来的Hello报文,则中止已建立的邻接关系。
Priority :选举DIS的优先级,取值范围为0~127。数值越大,优先级越高。该字段只在广播网中的Hello消息(LAN IIH消息)携带;点到点网络的Hello消息(P2P IIH消息)没有此字段,也没有此字段之前的R保留位。
LAN ID : 包括DIS的System ID和伪节点ID。该字段只在广播网中的Hello消息(LAN IIH消息)携带;点到点网络的Hello消息(P2P IIH消息)没有此字段。
Local Circuit ID :本地链路ID。该字段只在点到点网络的Hello消息(P2P IIH消息)携带;广播网中的Hello消息(LAN IIH消息)没有此字段。
2.1邻接关系建立--广播网络中的邻接关系建立过程
两台运行IS-IS的路由器在交互协议报文实现路由功能之前必须首先建立邻接关系。在不同类型的网络上,IS-IS的邻接建立方式并不相同。在广播网络中,使用三次握手建立邻接关系。
Level-1 IIH和Level-2 IIH发送的组播地址分别为01-80-C2-00-00-14、01-80-C2-00-00-15。
Down:邻接关系的初始状态。
Initial:收到IIH,但是报文中的邻接列表未包含路由器自身的System ID。
UP:收到IIS,且邻接列表中包含路由器自身的System ID。
2.1邻接关系建立--DIS与伪节点
在广播网络中,IS-IS需要在所有的路由器中选举一个路由器作为DIS(Designated Intermediate System)。
DIS用来创建和更新伪节点(Pseudonodes),并负责生成伪节点的LSP,用来描述这个网络上有哪些网络设备。伪节点是用来模拟广播网络的一个虚拟节点,并非真实的路由器。在IS-IS中,伪节点用DIS的System ID和Circuit ID(非0值)标识。
2.1邻接关系建立--IS-IS中的DIS与OSPF中的DR
Level-1和Level-2的DIS是分别选举的,用户可以为不同级别的DIS选举设置不同的优先级。
DIS的选举规则如下:
DIS优先级数值最大的被选为DIS。
如果优先级数值最大的路由器有多台,则其中MAC地址最大的路由器会成为DIS。
DIS发送Hello PDU的时间间隔是普通路由器的1/3,这样可以确保DIS出现故障时能够被更快速地被发现。
IS-IS中DIS与OSPF协议中DR(Designated Router)的区别:
在IS-IS广播网中,优先级为0的路由器也参与DIS的选举,而在OSPF中优先级为0的路由器则不参与DR的选举。
在IS-IS广播网中,当有新的路由器加入,并符合成为DIS的条件时,这个路由器会被选中成为新的DIS,原有的伪节点被删除。此更改会引起一组新的LSP泛洪。而在OSPF中,当一台新路由器加入后,即使它的DR优先级值最大,也不会立即成为该网段中的DR。
在IS-IS广播网中,同一网段上的同一级别的路由器之间都会形成邻接关系,包括所有的非DIS路由器之间也会形成邻接关系。而在OSPF中,路由器只与DR和BDR建立邻接关系。
2.1邻接关系建立--点到点网络中的邻接关系建立过程
点到点网络中,邻接关系的建立使用两次握手方式:只要路由器收到对端发来的Hello报文,就单方面宣布邻接为Up状态,建立邻接关系。
两次握手机制存在明显的缺陷,华为设备在点到点网络中使用IS-IS时,默认使用三次握手建立邻接关系。此方式通过三次发送P2P IIH最终建立起邻接关系。
2.2 链路状态数据库同步--LSP
IS-IS链路状态报文LSP用于交换链路状态信息。LSP分为两种:Level–1 LSP和Level–2 LSP。Level–1 LSP由Level-1路由器传送,Level–2 LSP由Level-2路由器传送,Level-1-2路由器则可传送以上两种LSP。
两类LSP有相同的报文格式。
Remaining Lifetime : LSP的生存时间,以秒为单位。
LSP ID:由三部分组成,System ID、伪节点ID和LSP分片后的编号。
Sequence Number: LSP的序列号。在路由器启动时所发送的第一个LSP报文中的序列号为1,以后当需要生成新的LSP时,新LSP的序列号在前一个LSP序列号的基础上加1。更高的序列号意味着更新的LSP。
Checksum : LSP的校验和。
ATT(Attachment):由Level-1-2路由器产生,用来指明始发路由器是否与其它区域相连。虽然此标志位也存在于Level-1和Level-2的LSP中,但实际上此字段只和Level-1-2路由器始发的L1 LSP有关。
OL(LSDB Overload,1bit):过载标志位。设置了过载标志位的LSP虽然还会在网络中扩散,但是在计算通过超载路由器的路由时不会被采用。即对路由器设置过载位后,其它路由器在进行SPF计算时不会考虑这台路由器。当路由器内存不足时,系统自动在发送的LSP报文中设置过载标志位。
IS Type(2bit):生成LSP的路由器的类型。用来指明是Level-1还是Level-2路由器(01表示Level-1,11表示Level-2)。
2.2 链路状态数据库同步--IS-IS的LSDB
伪节点ID:当该参数不为零时,表示该LSP为伪节点生成。
分片号:当IS-IS要发布的链路状态协议数据报文PDU(Protocol Data Unit)中的信息量太大时,IS-IS路由器将会生成多个LSP分片,用来携带更多的IS-IS信息。分片号用来区分不同的LSP分片。
2.2 链路状态数据库同步--查看非伪节点的LSP
AREA ADDR:该LSP来源的区域号
INTF ADDR:该LSP中描述的接口地址
NBR ID:该LSP中描述的邻接信息
IP-Internal:该LSP中描述的网段信息
2.2 链路状态数据库同步--查看伪节点LSP
在伪节点LSP中,只包含邻接信息而不包含路由信息。
2.2 链路状态数据库同步--CSNP
CSNP包含该设备LSDB中所有的LSP摘要,路由器通过交互 CSNP来判断是否需要同步LSDB。
在广播网络上,CSNP由DIS定期发送(缺省的发送周期为10秒)。
在点到点网络上,CSNP只在第一次建立邻接关系时发送。
Source ID:发出CSNP报文的路由器的System ID。
Start LSP:CSNP报文中第一个LSP的ID值。
End LSP ID:CSNP报文中最后一个LSP的ID值。
2.2 链路状态数据库同步--PSNP
PSNP只包含部分LSP的摘要信息(与CSNP不同):
当发现LSDB不同步时,PSNP来请求邻居发送新的LSP。
在点到的网络中,当收到LSP时,使用PSNP对收到的LSP进行确认。
Source ID:发出PSNP报文的路由器的System ID。
2.2 链路状态数据库同步--广播网络中LSP的同步过程
2.2 链路状态数据库同步--点到点网络中LSP的同步过程
2.2 链路状态数据库同步--LSP的处理机制
IS-IS通过交互LSP实现链路状态数据库同步,路由器收到LSP后,按照以下原则处理:
若收到的LSP比本地LSP的更优,或者本地没有收到的LSP:
在广播网络中:将其加入数据库,并组播发送新的LSP。
在点到点网络中:将其加入数据库,并发送PSNP报文来确认收到此LSP,之后将这新的LSP发送给除了发送该LSP的邻居以外的邻居。
若收到的LSP和本地LSP无法比较出优劣,则不处理该LSP。
LSP产生的原因,IS-IS路由域内的所有路由器都会产生LSP,以下事件会触发一个新的LSP:
邻接Up或Down
IS-IS相关接口Up或Down
引入的IP路由发生变化
区域间的IP路由发生变化
接口被赋了新的metric值
周期性更新(刷新间隔15min)
2.3 路由计算--Level-1路由器的路由计算
2.3 路由计算--Level-1路由器的次优路径的问题
2.3 路由计算--路由渗透
缺省情况下,Level-1-2路由器不会将到达其他区域的路由通告本Level-1区域中。
通过路由渗透,可以将区域间路由通过Leve-1-2路由器传递到Level-1区域,此时Leve-1路由器可以学习到其他区域的详细路由,从而计算出最优路径。
2.3 路由计算--Level-1-2路由器的路由计算
2.3 路由计算--Level-2路由器的路由计算
3.IS-IS的基本配置
3.1 IS-IS协议的基本配置
1.创建IS-IS进程,进入IS-IS进程
[Huawei] isis [process-id ]
参数process-id用来指定一个IS-IS进程。如果不指定参数process-id,则系统默认的进程为1。
2.配置网络实体名称(NET)
[Huawei-isis-1] network-entity net
通常情况下,一个IS-IS进程下配置一个NET即可。当区域需要重新划分时,例如将多个区域合并,或者将一个区域划分为多个区域,这种情况下配置多个NET可以在重新配置时仍然能够保证路由的正确性。由于一个IS-IS进程中区域地址最多可配置3个,所以NET最多也只能配3个。在配置多个NET时,必须保证它们的System ID都相同。
3.配置全局Level级别
[Huawei-isis-1] is-level { level-1 | level-1-2 | level-2 }
缺省情况下,设备的Level级别为level-1-2。
在网络运行过程中,改变IS-IS设备的级别可能会导致IS-IS进程重启并可能会造成IS-IS邻居断连,建议用户在配置IS-IS时即完成设备级别的配置。
4.进入接口视图
[Huawei]interface interface-type interface-number
参数interface-type为接口类型,参数interface-number为接口编号。
5.在接口上使能IS-IS协议
[Huawei-GigabitEthernet0/0/1] isis enable [ process-id ]
配置该命令后,IS-IS将通过该接口建立邻居、扩散LSP报文。
6.配置接口Level级别
[Huawei-GigabitEthernet0/0/1] isis circuit-level [ level-1 | level-1-2 | level-2 ]
缺省情况下,接口的Level级别为level-1-2。
两台Level-1-2设备建立邻居关系时,缺省情况下,会分别建立Level-1和Level-2邻居关系。如果只希望建立Level-1或者Level-2的邻居关系,可以通过修改接口的Level级别实现。
7.设置接口的网络类型为P2P
[Huawei-GigabitEthernet0/0/1]isis circuit-type p2p
缺省情况下,接口网络类型根据物理接口决定。
使用该命令将广播网接口模拟成P2P接口时,接口发送Hello报文的间隔时间、宣告邻居失效前IS-IS没有收到的邻居Hello报文数目、点到点链路上LSP报文的重传间隔时间以及IS-IS各种认证均恢复为缺省配置,而DIS优先级、DIS名称、广播网络上发送CSNP报文的间隔时间等配置均失效。
8.恢复接口的缺省网络类型
[Huawei-GigabitEthernet0/0/1] undo isis circuit-type
使用该命令恢复接口的缺省网络类型时,接口发送Hello报文的间隔时间、宣告邻居失效前IS-IS没有收到的邻居Hello报文数目、点到点链路上LSP报文的重传间隔时间、IS-IS各种认证、DIS优先级和广播网络上发送CSNP报文的间隔时间均恢复为缺省配置。
9.修改接口的DIS优先级
[Huawei-GigabitEthernet0/0/1] isis dis-priority priority [ level-1 | level-2 ]
缺省情况下,IS-IS接口DIS优先级为64。
该命令用来指定挑选对应层次DIS(Designated Intermediate System)时接口的优先级。
3.2 案例:IS-IS配置
组网需求
如图所示,现网中有5台路由器。用户希望在这5台路由器实现网络互联,并且因为R1性能相对较低,所以还要使这台路由器处理相对较少的数据信息。同时用户希望R1可以选择最优路径访问192.168.10.0/24和192.168.20.0/24网段。
配置思路
在各路由器上配置IS-IS基本功能,实现网络互联。其中,配置R1为Level-1路由器,可以使这台路由器维护相对少量的数据信息。同时,配置R2和R3为Level-1/2路由器与R4和R5这两台Level-2路由器互联。
R1、R2及R3的配置--
R1的配置如下:
[R1] isis 1
[R1-isis-1] is-level level-1
[R1-isis-1] network-entity 49.0010.0100.1001.00
[R1-isis-1] quit
[R1] interface gigabitethernet 0/0/0
[R1-GigabitEthernet0/0/0] isis enable 1
[R1-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R1-GigabitEthernet0/0/1] isis enable 1
R2的配置如下:
[R2] isis 1
[R2-isis-1] is-level level-1-2
[R2-isis-1] network-entity 49.0020.0200.2002.00
[R2-isis-1] quit
[R2] interface gigabitethernet 0/0/0
[R2-GigabitEthernet0/0/0] isis enable 1
[R2-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R2-GigabitEthernet0/0/1] isis enable 1
R1的路由器等级需要设置为Level1,R2、R3的路由器等级需要设置为Level1/2。
R3的配置与R2相似,故不再重复展示。
R4的配置如下:
[R4] isis 1
[R4-isis-1] is-level level-2
[R4-isis-1] network-entity 49.0040.0400.4004.00
[R4-isis-1] quit
[R4] interface gigabitethernet 0/0/0
[R4-GigabitEthernet0/0/0] isis enable 1
[R4-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R4-GigabitEthernet0/0/1] isis enable 1
[R4-GigabitEthernet0/0/1] interface gigabitethernet 0/0/2
[R4-GigabitEthernet0/0/2] isis enable 1
R4、R5的路由器等级需要设置为Level2。
R5的配置与R4相似,故不再重复展示。
查看设备的IS-IS邻接表:
System Id字段:描述邻接的系统ID
Interface字段:描述通过该路由器哪个端口与邻接建立邻接关系
Type:描述与该邻接的邻接关系类型
PRI:描述该邻接对应端口的DIS优先级
路由渗透配置--
R2的配置如下:
[R2] ip ip-prefix 1 permit 192.168.10.0 24
[R2] isis 1
[R2-isis-1] import-route isis level-2 into level-1 filter-policy ip-prefix 1
R3的配置如下:
[R3] ip ip-prefix 1 permit 192.168.20.0 24
[R3] isis 1
[R3-isis-1] import-route isis level-2 into level-1 filter-policy ip-prefix 1
路由渗透验证:
通过查看R1的路由表,我们可以看到新增了两条明细路由192.168.10.0/24以及192.168.20.0/24,两条路由的开销值均为30,当有数据包经由R1到达这两个网段时,不会产生次优路径。
3.3 IS-IS认证的分类
IS-IS认证是基于网络安全性的要求而实现的一种认证手段,通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。
根据报文的种类,认证可以分为以下三类:
接口认证:在接口视图下配置,对Level-1和Level-2的Hello报文进行认证。
区域认证:在IS-IS进程视图下配置,对Level-1的CSNP、PSNP和LSP报文进行认证。
路由域认证:在IS-IS进程视图下配置,对Level-2的CSNP、PSNP和LSP报文进行认证。
根据报文的认证方式,可以分为以下四类:
简单认证:将配置的密码直接加入报文中,这种加密方式安全性较其他两种方式低。
MD5认证:通过将配置的密码进行MD5算法加密之后再加入报文中,提高密码的安全性。
Keychian认证:通过配置随时间变化的密码链表来进一步提升网络的安全性。
HMAC-SHA256认证:通过将配置的密码进行HMAC-SHA256算法加密之后再加入报文中,提高密码的安全性。
3.4 IS-IS认证详解
接口认证
Hello报文使用的认证密码保存在接口下,发送带认证TLV的认证报文,互相连接的路由器接口必须配置相同的口令。
区域认证
区域内的每一台L1路由器都必须使用相同的认证模式和具有共同的钥匙串。
路由域认证
IS-IS域内的每一台L2和L1/L2类型的路由器都必须使用相同模式的认证,并使用共同的钥匙串。
对于区域和路由域认证,可以设置为SNP和LSP分开认证。
本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。
本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但不对收到的SNP报文进行检查。
本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,也不对收到的SNP报文进行认证检查。
本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查。
3.5 IS-IS认证的配置
1.配置IS-IS区域认证
[Huawei-isis-1] area-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | all-send-only ]
simple 指定密码以纯文本方式参与认证;keychain 指定随时间变化的密钥链表;md5 指定密码通过HMAC-MD5算法加密后参与认证。
snp-packet 指定配置SNP报文相关的验证;authentication-avoid 指定不对产生的SNP封装认证信息,也不检查收到的SNP,只对产生的LSP封装认证信息,并检查收到的LSP;send-only 指定对产生的LSP和SNP封装认证信息,只检查收到的LSP,不检查收到的SNP;all-send-only 指定对产生的LSP和SNP封装认证信息,不检查收到的LSP和SNP。
2.配置IS-IS路由域认证
[Huawei-isis-1] domain-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | all-send-only ]
参数含义与区域认证一致。
3.配置IS-IS接口认证
[Huawei-GigabitEthernet0/0/0] isis authentication-mode [keychain | md5 | simple ] [ level-1 | level-2 ] [ ip | osi ] [ send-only ]
level-1 指定设置Level-1级别的认证;level-2 指定设置Level-2级别的认证;send-only 指定只对发送的Hello报文加载认证信息,不对接收的Hello报文进行认证。
在R1的接口GE0/0/0上配置接口认证:
[R1] interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0] isis authentication-mode simple cipher huawei
由于R2未配置接口认证,因此在查看IS-IS的错误信息时提示认证错误。
[R1] display isis error
Hello packet errors:
Mismatched Max Area Addr : 0 Bad Authentication : 6
思考
(多选题)关于OSPF与IS-IS,说法正确的有? ( )
OSPF及IS-IS都是链路状态路由协议。
OSPF仅仅支持IP网络,而集成IS-IS支持CLNP及IP网络。
OSPF使用区域号0标识骨干区域。
IS-IS骨干区域由Level-2及Level-1-2路由器组成。
(多选题)关于Level-1路由器说法正确的有?( )
Level-1路由器只能和相同区域的IS-IS路由器建立邻接关系。
Level-1路由器可以和同区域的Level-2路由器建立邻接关系。
缺省情况下,Level-1路由器只能通过缺省路由到达区域外部。
Level-1路由器的LSDB中只存在Level-1 LSP。
ABCD
ACD
总结
本课程介绍了IS-IS的基本概念。每一台运行IS-IS的路由器都至少有一个NET地址。IS-IS采用分层架构,所有Level-2和Level-1-2路由器共同构成了骨干区域,同一区域的Level-1路由器构成了普通区域。IS-IS协议有四种报文类型,分别是IIH、CSNP、PSNP、LSP。
Level-1路由器只维护区域内的LSDB,Level-1路由通过离自己最近的Level-1-2路由器到达区域外部,为了避免次优路径,可以在Level-1-2路由器上部署路由渗透的特性。
IS-IS支持三种认证类型,分别是接口认证、区域认证、路由域认证。
IS-IS协议与OSPF协议都是链路路由状态协议,两者都需要维护LSDB,随着网络规模的不断扩大,巨大的LSDB会导致路由器整体性能下降,因此对于这两种路由协议而言,面对更大规模的组网时,需要进行多区域的网络设计。
理论练习题
物理层 帧结构
- 网络管理员在网络中捕获到了一个数据帧,其目的MAC地址是01-00-5E-A0-B1-C3。关于该MAC地址的说法正确的是() [单选题] *
它是一个组播MAC(正确答案)
它是一个单播MAC
它是一个广播MAC
它是一个非法MAC
- 以下哪项不是CSMA/CD的工作原理? [单选题] *
边发边听
延迟固定时间后重发(正确答案)
冲突停发
随机延迟后重发
先听后发
- 如图所示,关于此网络拓扑图描述正确的是()
[单选题] *
此网络中有6个冲突域
此网络中有6个广播域
此网络中有12个冲突域
此网络中有2个广播域(正确答案)
- 如图所示的网络中,下列描述正确的是()。*
RTA与SWC之间的网络为同一个冲突域
SWA与SWC之间的网络为同一个广播域(正确答案)
SWA与SWC之间的网络为同一个冲突域(正确答案)
SWA与SWB之间的网络为同一个广播域
- 以太网光接口只能工作在()模式。 [单选题] *
全双工(正确答案)
半双工
单工
自协商
- TCP/IP模型不包括哪些层次? *
会话层(正确答案)
表示层(正确答案)
网络层
传输层
应用层
- TCP/IP模型不包括哪些层次? *
会话层(正确答案)
表示层(正确答案)
网络层
传输层
应用层
- 应用数据经过数据链路层处理后称为? [单选题] *
Segmen
PDU
Frame(正确答案)
Packet
- OSI参考模型从高层到低层分别是? [单选题] *
应用层、会话层、表示层、传输层、网络层、数据链路层、物理层
应用层、传输层、网络层、数据链路层、物理层
应用层、表示层、会话层、传输层、网络层、数据链路层、物理层(正确答案)
应用层、表示层、会话层、网络层、传输层、数据链路层、物理层
- 通过抓包工具捕获到一个以太网帧,发现该帧的Type/Length字段的值为0x0800,下面对该帧的描述,正确的是()。 *
该帧承载的是一个IPX报文
该帧承载的是一个IP报文(正确答案)
该帧的帧结构是Ethernet_II格式(正确答案)
该帧的帧结构是802.3格式
传输层、应用层
- 如果DHCP客户端申请的IP地址已经被占用时,DHCP服务器会使用哪种报文作为应答? [单选题] *
DHCP ACK
DHCP RELEASE
DHCP NAK(正确答案)
DHCP DISCOVER
- DHCP客户端想要离开网络时发送哪种DHCP报文? [单选题] *
DHCP DISCOVER
DHCP RELEASE(正确答案)
DHCP REQUEST
DHCP ACK
- 某公司网络管理员希望能够远程管理分支机构的网络设备,则下面哪个协议会被用到? [单选题] *
VLSM
Telnet(正确答案)
RSTP
CIDR
- DHCP包含以下哪些报文类型? *
DHCP ROLLOVER
DHCP DISCOVER(正确答案)
DHCP REQUEST(正确答案)
DHCP OFFER(正确答案)
- Telnet基于TCP协议。 [判断题] *
对(正确答案)
错
- 管理员在Router上进行了如上配置,那么连接在该路由器的G1/0/0接口下的一台主机,能够通过DHCP获取到什么样的IP地址
[单选题] *
该主机获取的IP地址属于10.10.10.0/24网络(正确答案)
该主机获取不到IP地址
该主机获取的IP地址属于10.20.20.0/24网络
该主机获取的IP地址可能属于10.10.10.0/24网络,也可能属于10.20.20.0/24网络
- 关于传输层协议说法正确的有? *
UDP使用SYN和ACK标志位来请求建立连接和确认建立连接
知名端口号范围为0-1023(正确答案)
UDP适合传输对时延敏感的流量,并且可以依据报文首部中的序列号字段进行重组
TCP连接的建立是一个三次握手的过程,而TCP连接的终止则要经过四次握手(正确答案)
- DHCP OFFER报文可以携带DNS地址,但是只能携带一个DNS地址。 [判断题] *
对
错(正确答案)
- 某台路由器DHCP地址池配置信息如下,下列说法正确有?
该地址池有199个可用的IP地址(正确答案)
IP地址的租期为12h(正确答案)
该地址池有55个可用的IP地址
DHCP客户端可能获取的IP地址为192.168.1.2(正确答案)
- 如果传输层协议为UDP,则网络层Protocol字段取值为6。 [判断题] *
对
错(正确答案)
- Telnet协议默认使用的服务器端口号是? [单选题] *
21
22
23(正确答案)
24
- 动态主机配置协议DHCP可以分配以下哪些网络参数? *
操作系统
DNS地址(正确答案)
IP地址(正确答案)
网关地址(正确答案)
- 一台windows主机初次启动,如果无法从DHCP服务器处获取地址,那么此主机可能会使用下列哪一个IP地址? [单选题] *
127.0.0.1
169.254.2.33(正确答案)
255.255.255.255
0.0.0.0
- DHCP DISCOVER报文的主要作用是? [单选题] *
客户端用来寻找DHCP服务器(正确答案)
DHCP服务器用来响应DFHCP DISCOVER报文,此报文携带了各种配置信息
服务器对REQUEST报文的确认响应
客户端请求配置确认,或者续借租期
- DHCP DISCOVER报文的目的IP地址为? [单选题] *
224.0.0.2
127.0.0.1
224.0.0.1
255.255.255.255(正确答案)
- UDP是面向无连接的,必须使用()来提供传输的可靠性。 [单选题] *
网络层协议
应用层协议(正确答案)
传输控制协议
网际协议
- 由于TCP协议在建立连接和关闭连接时都采用三次握手机制,所以TCP支持可靠传输。 [判断题] *
对
错(正确答案)
- DHCP服务器使用哪种报文确认主机可以使用IP地址? [单选题] *
DHCP ACK(正确答案)
DHCP DISCOVER
DHCP REQUEST
DHCP OFFER
- 一台windows主机初次启动,如果采用DHCP的方式获取IP地址,那么此主机发送的第一个数据包的源IP地址是? [单选题] *
127.0.0.1
255.255.255.255
0.0.0.0(正确答案)
169.254.2.33
- [Huawei]user-interface vty 0 14
[Huawei-ui-vty0-14]ac1 2000 inbound
[Huawei-ui-vty0-14]user privilege level 3
[Huawei-ui-vty0-14]authentication-mode password
Please configure the login password (maximum length 16):huawei
vty的配置如上所示,用户权限等级被设置为3级 [判断题] *
对(正确答案)
错
- 缺省情况下,DHCP服务器分配IP地址的租期为? [单选题] *
1h
24h(正确答案)
12h
18h
- 路由器某接口开启DHCP服务器功能,DHCP客户端可能获取到以下哪个IP地址?
interface GigabitEthernet0/0/1
ip address 11.0.1.1 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 11.0.1.2 11.0.1.127
# [单选题] *
11.0.1.1
11.0.1.100
11.0.1.254(正确答案)
11.0.1.255
- 管理员通过Telnet成功登录路由器后,发现无法配置路由器的接口IP地址。那么可能的原因有()。 [单选题] *
SNMP参数配置错误
管理员使用的Telnet终端软件禁止相应操作
Telnet用户的级别配置错误(正确答案)
Telnet用户的认证方式配置错误
- UDP不能保证数据传输的可靠性,不提供报文排序和流量控制等功能,适合传输可靠性要求不高,但是对传输速度和延迟要求较高的流量。 [判断题] *
对(正确答案)
错
- 如果应用层协议为Telnet,那么IPv4首部中Protocol字段取值为? [单选题] *
17
67
53
6(正确答案)
二层
- ARP属于( )层的协议 *
数据链路 (正确答案)
网络
物理
二 (正确答案)
三
四
- ARP表的作用是( ) *
把IP解析成MAC地址 (正确答案)
把MAC地址解析成IP地址
没啥作用
转发二层数据
- 三层指的是网络层,即MAC层,二层指的是数据链路层,即IP层 [判断题] *
对
错(正确答案)
- 交换机的处理数据帧的行为有( ) *
转发(正确答案)
泛洪(正确答案)
丢弃(正确答案)
保存
- 交换机根据ARP表转发数据帧 [判断题] *
对
错 (正确答案)
- 交换机学习MAC地址,是根据数据帧的目的MAC学习的 [判断题] *
对
错(正确答案)
- 如图,两主机之间可以正常通信
[判断题] *
对(正确答案)
错
- 如图,两台主机之间能正常通信
[判断题] *
对
错(正确答案)
- 如图,两条主机不能正常通信
[判断题] *
对
错(正确答案)
- 如图,两主机之间不能正常通信
[判断题] *
对(正确答案)
错
- 如图,两主机能正常通信
[判断题] *
对
错(正确答案)
- 如图,三台主机之间能正常通信
[判断题] *
对
错(正确答案)
- 如图,两台设备之间能正常通信
[判断题] *
对
错(正确答案)
- 链路聚合的优势有() *
增加带宽(正确答案)
防止环路(正确答案)
提高可靠性(正确答案)
提供负载(正确答案)
- 链路聚合模式分为手工模式和LACP模式两种 [判断题] *
对(正确答案)
错
- 如图,两交换机之间的三条链路做了捆绑,配置如图,交换机2的G0/0/1接口能正常转发数据报文。
[判断题] *
对(正确答案)
错
- 每一组MUX VLAN只能有一个Separate VLAN,多个group VLAN,并且group vlan之间的主机能正常通信。 [判断题] *
对
错(正确答案)
- supper VLAN的目的是为了减少局域网内网段的使用,使用supper VLAN之后所有主机依然能正常通信。 [判断题] *
对
错(正确答案)
- 使用supper VLAN之后,其主VLAN(即supper vlan)能绑定()个物理接口。 [单选题] *
0(正确答案)
1
2
128
- 使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址不会被老化,手动保存配置后重启设备不会丢。 [判断题] *
对(正确答案)
错
- RSTP的端口状态有以下() *
disable
learning(正确答案)
forwarding(正确答案)
discarding(正确答案)
listening
blocking
- STP的端口角色进入forwarding状态至少需要30S [判断题] *
对(正确答案)
错
- STP有的端口角色有() *
DP(正确答案)
RP(正确答案)
EP
AP
- RSTP的保护机制有() *
BPDU保护(正确答案)
防TC-BPDU攻击保护(正确答案)
环路保护(正确答案)
根保护(正确答案)
- 如图,改图中链路未做链路聚合,共有3个指定端口。
[判断题] *
对
错(正确答案)
- 启用RSTP后,配置边缘端口,两主机之间最快30S即可通信。
[判断题] *
对
错(正确答案)
- 如图,交换机3为主根,交换机4为次根,则交换机5、6、7所有接口都不会被阻塞。
[判断题] *
对(正确答案)
错
- 根桥的所有端口都不会被阻塞 [判断题] *
对
错(正确答案)
路由基础
- 如下图所示的网络,当OSPF协议稳定后,Router A和Router B的邻居状态为
[单选题] *
2-way
Down
Full(正确答案)
Attempt
- ip route-static 10.0.2.2 255.255.255.25510.0.12.2 preference 20,关于此命令说法正确的是? *
该路由可以指导目的IP地址为10.0.2.2的数据包转发(正确答案)
该路由可以指导目的IP地址为10.0.12.2的数据包转发
该路由优先级为20(正确答案)
该路由的NextHop为10.0.12.2(正确答案)
- 如下图所示的网络,所有路由器运行OSPF协议,链路上方为Cost值的大小,则RA到达网络10.0.0.0/8的路径为?
[单选题] *
A-B-D
RA无法到达10.0.0.0/8
A-D
A-C-D(正确答案)
- 下列关于OSPF邻居状态说法正确的有? *
Exchange状态下路由器相互发送包含链路状态信息摘要的DD报文,描述本地L SDB的内容(正确答案)
OSPF主从关系是在ExStart状态下完成的(正确答案)
路由器LSDB同步后,转化为Full状态(正确答案)
DD报文的序列号是在Exchange状态下决定的
- ip route-static 10.0.12.0 255.255.255.0 192.168.1.1
关于此命令描述正确的是()。 [单选题] *
该路由的优先级为100
此命令配置了一条到达192.168.1.1网络的路由
此命令配置了一条到达10.0.12.0网络的路由(正确答案)
如果路由器通过其他协议学习到和此路由相同目的网络的路由,路由器将会优先选择此路由
- 以下关于直连路由说法正确的是? [单选题] *
直连路由优先级低于动态路由
直连路由需要管理员手工配置目的网络和下一跳地址
直连路由优先级最高(正确答案)
直连路由优先级低于静态路由
- 如下图所示的网络,所有链路均是以太网链路,并且所有路由器运行OSPF协议,则整个网络中选举几个DR
[单选题] *
1
2
3
4(正确答案)
- 某台路由器路由表的输出信息如下,下列说法正确的是?
本路由器到达10.0.0.1的NextlHop为10.0.21.2
本路由器到达10.0.0.1的NextlHop为10.0.12.2(正确答案)
本路由器到达10.0.2.2的NextlHop为10.0.12.2
本路由器到达10.0.2.2的NextlHop为10.0.21.2(正确答案)
- 路由器建立路由的方式有哪几种? *
动态(正确答案)
静态(正确答案)
直连(正确答案)
聚合
- VRP操作平台,以下那条命令可以查看路由表? [单选题] *
display ip routing-table(正确答案)
display current-configuration
display ip interface brief
display ip forwarding-table
- VRP支持OSPF多进程,如果在启用OSPF时不指定进程号,则默认使用的进程号码是()。 [单选题] *
0
10
1(正确答案)
100
- OSPF协议使用哪种状态表示邻居关系已经建立? [单选题] *
Down
2-way(正确答案)
Attempt
Full
- 如下图所示的网络,主机存在ARP缓存,主机A发送数据包给主机B,则此数据包的目的MAC和目的IP分别为?
[单选题] *
MAC-C,10.1.12.2
MAC-A,11.1.12.1
MAC-C,11.1.12.1(正确答案)
MAC-B,11.1.12.1
- OSPF报文类型有多少种? [单选题] *
3
4
5(正确答案)
2
- 如下所示路由表,下列说法正确的是? *
目的网络10.0.3.3/32的NextHop非直连,所以路由器不会转发目的IP地址为10.0.3.3的数据包
路由器从Ethernet0/0/0转发目的IP地址为10.0.2.2的数据包(正确答案)
路由器从Ethernet0/0/0转发目的IP地址为10.0.12.1的数据包
路由器从Ethernet0/0/0转发目的IP地址为10.0.3.3的数据包(正确答案)
- 下列哪项是路由表中所不包含的? [单选题] *
下一跳
路由代价
源地址(正确答案)
目标网络
- 关于OSPF骨干区域说法正确的是? [单选题] *
Area 0是骨干区域(正确答案)
所有区域都可以是骨干区域
当运行OSPF协议的路由器数量超过2台以上时必须部署骨干区域
骨干区域所有路由器都是ABR
- 如下图所示的网络,这个网络的BDR是哪一台路由器? [单选题] *
Router B
Router A
无BDR(正确答案)
Router C
- 以下是路由器R1的路由表,如果R1发送一 个目的IP地址为10.0.2.2的数据包,那么需要从哪个接口发出?
[单选题] *
Ethernet0/0/2
Ethernet0/0/1(正确答案)
Ethernet0/0/0
GigabitEthernet0/0/0
- 路由表中包含以下哪些要素? *
Interface(正确答案)
Protocol(正确答案)
Destination/Mask(正确答案)
Cost(正确答案)
NextHop(正确答案)
- VRP操作平台,以下哪条命令可以只查看静态路由? [单选题] *
display ip routing-table verbose
display ip routing-table statistics
display ip routing-table protocol static(正确答案)
display ip routing-table
- 运行OSPF协议的路由器先达到FULL状态,然后进行LSDB同步。 [判断题] *
对
错(正确答案)
- 如下图所示的网络,所有路由器运行OSPF协议,链路上方为Cost值的大小,则RA到达网络10.0.0.0/8的开销为?
[单选题] *
70
100
60(正确答案)
20
- OSPF协议使用哪种报文对接收到的LSU报文进行确认? [单选题] *
LSA
LSU
LSR
LSACK(正确答案)
- 路由表中某条路由信息的Proto为OSPF,则此路由的优先级一定为10。 [判断题] *
对
错(正确答案)
- 路由器进行数据包转发时需要修改数据包中的目的IP地址。
[判断题] *
对
错(正确答案)
- 路由器在查找路由表时存在最长匹配原则,这里的长度指的是以下哪个参数?
[单选题] *
NextHop地址的大小
路由协议的优先级
Cost
掩码的长度(正确答案)
- OSPF协议使用哪种报文来描述自己的LSDB? [单选题] *
LSR
HELLO
DD(正确答案)
LSU
- 下列哪些报文属于OPSF协议的报文? *
LSU(正确答案)
LSA (正确答案)
LSR(正确答案)
HELLO(正确答案)
- 在广播型的接口.上配置静态路由时,必须要指定下- -跳地址。
[判断题] *
对(正确答案)
错
- 在OSPF广播网络中,一台DRother路由器会与哪些路由器交换链路状态信息?
DR(正确答案)
BDR(正确答案)
所有OSPF邻居
DR other
- 路由器在转发某个数据包时,如果未匹配到对应的明细路由且无默认路由时,将直接丢弃该数据包。
[判断题] *
对(正确答案)
错
- 在VRP平台上,直连路由、静态路由、RIP、 OSPF的默认协议优先级从高到低的排序是()。
[单选题] *
直连、OSPF、静态路由、RIP(正确答案)
直连、OSPF、RIP、静态路由
直连、RIP、静态路由、OSPF
直连、静态路由、RIP、OSPF
- 如下图所示的网络,假设所有路由器同时运行OSPF协议,这个网络中的DR是哪一台路由器?
[单选题] *
Router A
Router B(正确答案)
Router C
Router D
- OSPF的Router ID必须和路由器的某个接口IP地址相同。
[判断题] *
对
错(正确答案)
- 当两台OSPF路由器形成TWO-WAY邻居关系时,LSDB已完成同步,但是SPF算法尚未运行。
[判断题] *
对
错(正确答案)
- 动态路由协议能够自动适应网络拓扑的变化。
[判断题] *
对(正确答案)
错
- 路由器所有的接口属于同一个广播域。
[判断题] *
对
错(正确答案)
- 下列配置默认路由的命令中,正确的是()。 [单选题] *
[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1(正确答案)
[Huawei-Serial0]ip route-static 0.0.0.0 0.0.0.0 0.0.0.0
[Huawei]ip route-static 0.0.0.0 255.255.255.255 192.168.1.1
[Huawei]ip route-static 0.0.0.0 0.0.0.00.0.0.0
- 如下图所示的网络,通过静态路由的方式使Router A和Router B的loopback 0通信,则需要在Router A输入如下哪 条命令?
[单选题] *
ip route-static 10.0.2.2 32 GigabitEthernet 0/0/0
ip route-static 10.0.2.2 0 GigabitEthernet 0/0/0
ip route-static 10.0.2.2 255.255.255255 10.0.12.2(正确答案)
ip route-static 10.0.2.2 255.255.255255 10.0.12.1
- 如下图所示的网络,在Router A设备里面存在如下配置,则下列说法正确的是?
ip route-static 10.0.2.2 255.255.255.25510.0.12.2
ip route-static 10.0.2.2 255.255.255.255 10.0.21.2 preference 40 *
果G0/0/1端C IDown, RouterA路由表中到达10.0.2.2的Interface更改为G0/0/2
果G0/0/2端C IDown, RouterA路由表中到达10.0.2.2的Interface更改为G0/0/1(正确答案)
Router A路由表中到达10.0.2.2的Interface为G0/0/1
Router A路由表中到达10.0.2.2的Interface为G0/0/2(正确答案)
- 某台路由器输出信息如下,下列说法正确的有?
本路由器是DR(正确答案)
本路由器Router ID为10.1.1.1
本路由器Router ID为10.0.2.2(正确答案)
本路由器接口地址为10.0.12.2(正确答案)
- 以下路由协议中优先级最高的是? [单选题] *
Direct(正确答案)
RIP
OSPF
Static
- 参考如图所示的输出结果,可以判断该路由器的路由表是由直连路由和静态路由组成。
[判断题] *
对(正确答案)
错
- 运行OSPF协议的路由器在完成LSDB同步后才能达到FULL状态。
[判断题] *
对(正确答案)
错
- 在路由表中不包含以下哪些信息? [单选题] *
MAC(正确答案)
Destination/Mask
Cost
NextHop
- 路由器的主要功能,以下说法错误的是? *
通过多种协议建立路由表
根据路由表指导数据转发
根据收到数据包的源IP地址进行转发(正确答案)
实现相同网段设备之间相互通信(正确答案)
- 关于ARP协议的作用和报文封装,描述正确的是()。 [单选题] *
通过ARP协议可以获取目的端的MAC地址和UUID的地址
ARP协议支持在PPP链路与HDLC链路上部署
ARP协议基于Ethernet封装(正确答案)
ARP中的Inverse ARP用来解析设备名
- 以下说法正确的是? [单选题] *
交换机工作在网络层
路由器工作在物理层
交换机工作在物理层
路由器工作在网络层(正确答案)
- 一台路由器通过RIP、OSPF和静态路由都学习到了到达同一目的地址的路由。默认情况下,VRP将最终选择通过哪种协议学习到的路由?
[单选题] *
三种协议学习到的路由都选择
静态路由
OSPF(正确答案)
RIP
- 如果网络管理员没有配置骨干区域,则路由器会自动创建骨干区域。
[判断题] *
对(正确答案)
错
vlan eth-trunk
- 如图所示的拓扑以及交换机互联端口上的配置,可以判断标签为VLAN10的数据帧可以在两台交换机之间正常转发。 [判断题] *
对
错(正确答案)
- 交换机某个端口输出信息如下,下列说法错误的是? *
如果数据帧携带的VLAN TAG为200,则交换机剥离VLAN TAG发出(正确答案)
如果该端口收到不带VLAN TAG的数据帧则,则交换机需要添加VLAN TAG100
该端口的链路类型为Hybrid类型(正确答案)
如果数据帧携带的VLAN TAG为100,则交换机剥离VLAN TAG发出
- 两台路由器之间转发的数据包一定不携带VLAN TAG。 [判断题] *
对
错(正确答案)
- 如下图所示,所有主机之间都可以正常通行,则SWBMAC地址和端口的对应关系正确的是? [单选题] *
MAC-A G0/0/3 MAC-B G0/0/3 MAC-C G0/0/1(正确答案)
MAC-A G0/0/1 MAC-B G0/0/2 MAC-C G0/0/3
MAC-A G0/0/2 MAC-B G0/0/2 MAC-C G0/0/3
MAC-A G0/0/1 MAC-B G0/0/1 MAC-C G0/0/3
- Access端口发送数据帧时如何处理? [单选题] *
替换VLAN TAG转发
剥离TAG转发(正确答案)
打上PVID转发
发送带TAG的报文
- 交换机某个端口配置信息如下,则此端口在发送携带哪些VLAN的数据帧时剥离VLAN TAG? [单选题] *
4,5,6
4,6
1,4,6(正确答案)
1,4,5,6
- 交换机某个端口配置信息如下,则此端口发送携带哪个VLAN TAG的数据帧时,剥离VLAN TAG? [单选题] *
10(正确答案)
20
30
40
- 交换机的端口在发送携带VLAN TAG和PVID一致的数据帧时,一定剥离VLAN TAG转发。 [判断题] *
对
错(正确答案)
- 如下图所示的网络,路由器A使用手工模式的链路聚合,并且把G0/0/1和G0/0/2端口均加入聚合组1,关于RouterA聚合端口1的状态说法错误的是? [单选题] *
同时关闭Router B的G0/0/1和G0/0/2端口,Eth-Trunk 1 protocol up(正确答案)
只关闭Router B的G0/0/2端口,Eth-Trunk 1 protocol up
只关闭RouterB的G0/0/1端口,Eth-Trunk 1protocol up
同时关闭Router B的G0/0/1和G0/0/2端口,Eth-Trunk 1 protocol down
- 关于静态MAC地址表说法正确的是? [单选题] *
由用户手工配置,并下发到各接口板,表项不可老化(正确答案)
通过查看静态MAC地址表项,可以判断两台相连设备之间是否有数据转发
在系统复位、接口板热插拔或接口板复位后,静态MAC地址表项会丢失
通过查看指定静态MAC地址表项的个数,可以获取接口下通信的用户数
- 命令port trunk allow-pass vlan all有什么作用? [单选题] *
相连的对端设备可以动态确定允许哪些VLAN ID通过
如果为相连的远端设备配置了port default vlan3命令,则两台设备间的VLAN 3无法互通
与该端口相连的对端端口必须同时配置port trunk permit vlan all
该端口上允许所有VLAN的数据帧通过(正确答案)
- Hybrid端口既可以连接用户主机,又可以连接其他交换机。 [判断题] *
对(正确答案)
错
- 同一台交换机VLANIF接口的IP地址不能相同。 [判断题] *
对(正确答案)
错
- 如图所示,网络管理员在SWA与SWB上创建VLAN2,并将两台交换机上连接主机的端口配置为Access端口,划入VLAN2。将SA的G0/0/1与SWB的G0/0/2配置为Trunk端口,允许所有VLAN通过。则要实现两台主机间能够正常通信,还需要() [单选题] *
配置SWC上的G0/0/1为trunk端口且允许VLAN 2通过即可
在SWC上创建VLAN 2即可
配置SWC上的G0/0/1和G0/0/2为trunk端口且允许VLAN 2通过即可
在SWC上创建VLAN2,配置G0/0/1和G0/0/2为trunk端口,且允许VLAN2通过(正确答案)
- ARG3系列路由器和X7系列交换机上一个Eth-Trunk接口最多能加入多少个成员端口? [单选题] *
6
8(正确答案)
12
16
- Trunk端口既能发送带标签的数据帧,也能发送不带标签的数据帧。 [判断题] *
对(正确答案)
错
- 如图所示,如果主机A有主机B的ARP缓存,则主机A可以Ping通主机B。 [判断题] *
对
错(正确答案)
- 下列关于单臂路由的说法正确的有? *
每个VLAN一个物理连接
交换机上,把连接到路由器的端口配置成Trunk类型的端口,并允许相关VLAN的帧通过(正确答案)
在路由器上需要创建子接口(正确答案)
交换机和路由器之间仅使用一条物理链路连接(正确答案)
- 下列关于链路聚合说法正确的有? *
Eth-Truk接口不能嵌套(正确答案)
两台设备对接时需要保证两端设备上链路聚合的模式一致(正确答案)
GE接口和FE接口不能加入同一个Eth-Trunk接口(正确答案)
GE电接口和GE光接口不能加入同一个Eth-Trunk接口
- 如Display信息所示,当此交换机需要转发目的IAC地址为5489-98ec-f011的帧时,下面描述正确的是()。 [单选题] *
交换机将会在除了收到该帧的端口之外的所有端口泛洪该帧(正确答案)
交换机将会发送目标不可达的消息给源设备
交换机在MAC地址表中没有找到匹配的条目,所以将会丢弃该帧
交换机需要通过发送请求来发现MAC地址为5489-98ec-f011的设备
- 交换机收到一个单播数据帧,如果该数据帧目的MAC在MAC地表中能够找到,这此数据帧一定会从此MAC对应端口转发出去。 [判断题] *
对
错(正确答案)
- 如图所示,两台主机通过单臂路由实现VLAN间通信,当可的G0/0/1.2子接口收到主机B发送给主机A的数据帧时,RTA将执行下面哪项操作? [单选题] *
RTA将丢弃该数据帧
RTA将数据帧通过G0/0/1.1子接口直接转发出去
RTA删除VLAN标签20后,由G0/0/1.1接口发送出去
RTA先要删除VLAN标签20,然后添加VLAN标签10,再由G0/0/1.1接口发送出去(正确答案)
- 链路聚合有什么作用? *
实现负载分担(正确答案)
便于对数据进行分析
增加带宽(正确答案)
提升网络可靠性(正确答案)
- 以下关于LACP模式的链路聚合说法正确的是? *
LACP模式下不能设置活动端口的数量
LACP模式下最多只能有4个活动端口
LACP模式下所有活动接口都参与数据的转发,分担负载流量(正确答案)
LACP模式下链路两端的设备相互发送LACP报文(正确答案)
- 以下关于Hybrid端口说法正确的有? [单选题] *
Hybrid端口不需要PVID
Hybrid端口只接收带VLAN TAG的数据帧
Hybrid端口发送数据帧时,一定携带VLAN TAG
Hybrid端口可以在出端口方向将某些VLAN帧的Tag剥掉(正确答案)
- Trunk端口发送数据帧时如何处理? [单选题] *
当VLAN ID与端口的PVID不同,丢弃数据帧
当VLAN ID与端囗的PVID不同,替换为PVID转发
当VLAN ID与端口的PVID不同,剥离TAG转发
当VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时,去掉Tag,发送该报文(正确答案)
- 用户可以使用的VLAN ID的范围是? [单选题] *
0-4096
1-4096
1-4094(正确答案)
0-4095
- 在交换机上,哪些VLAN可以通过使用undo命令来对其进行删除? *
vlan 4094(正确答案)
vlan 1
vlan 2(正确答案)
vlan 1024(正确答案)
- 手工链路聚合模式下的Eth-Truk端口,其传输速率与()有关。 *
成员端口的带宽(正确答案)
成员端口处于公网还是私网
成员端口上是否配置了IP地址
成员端口的数量(正确答案)
- HhaweiGigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 10
[Huawei-GigabitEthernet0/0/2] port link-type trunk
[Huawei-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
根据如上所示的命令,则下列描述中正确的是() *
GigabitEthernet0/0/2端口的PVID是10
GigabitEthernet0/0/2端口的PVID是1(正确答案)
GigabitEthernet0/0/1端口的PVID是1
GigabitEthernet0/0/1端口的PVID是10(正确答案)
- Truk端口可以允许多个VLAN通过,包括VLAN4096。 [判断题] *
对
错(正确答案)
- 交换机G0/0/1端口配置信息如下,交换机在转发哪个VLAN数据帧时不携带VLAN TAG?
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 20 30 40 [单选题] *
10(正确答案)
30
40
20
- 以下关于VLANIF接口说法正确的是? [单选题] *
VLANIF接口不需要学习MAC地址
不同的VLANIF接口可以使用相同的IP地址
VLANIF接口没有MAC地址
VLANIF接口是三层接口(正确答案)
- 华为交换机上创建VLAN的规则是不能创建VLAN4095,且不可以删除VLAN1。 [判断题] *
对(正确答案)
错
- 交换机的端口在收到不携带VLAN TAG数据帧时,一定添加PVID。 [判断题] *
对(正确答案)
错
- 下面关于二层以太网交换机的描述,说法不正确的是() [单选题] *
二层以太网交换机工作在数据链路层
能够学习MAC地址
按照以太网帧二层头部信息进行转发
需要对所转发的报文三层头部做一定的修改,然后再转发(正确答案)
- 某交换机收到一个带有VLAN标签的数据帧,但发现在其MAC地址表中查询不到该数据帧的目的MAC地址,则交换机对该数据帧的处理行为是()。 [单选题] *
交换机会丢弃此数据帧
交换机会向所有Access端口广播此数据帧
交换机会向属于该数据帧所在VLAN中的所有端口(除接收端口)广播此数据帧(正确答案)
交换机会向所有端口广播该数据帧
- 交换机的MAC地址表不包含以下哪种信息? [单选题] *
MAC地址
端口号
IP地址(正确答案)
VLAN
- 如图所示,网络管理员希望将SWA与SWB之间的两条物理链路手工聚合成一条Eth-trunk链路;下列描述正确的是()。 [单选题] *
不能被聚合(正确答案)
聚合后可以正常工作
可以聚合,聚合后只有GE端口能收发数据
可以聚合,聚合后只有Ethernet端口能收发数据
- 以太网帧在交换机内部都是以带VLAN TAG的形式来被处理和转发的。 [判断题] *
对(正确答案)
错
- 设备链路聚合支持哪些模式? *
混合模式
手工负载分担模式(正确答案)
手工主备模式
LACP模式(正确答案)
OSPF
- 三层设备收到数据包时依据()转发报文 [单选题] *
ARP表
MAC地址表
IP路由表(正确答案)
不会转发
- 路由表的生成方式有() *
直连自动生成(正确答案)
静态(正确答案)
RIP协议(正确答案)
OSPF协议(正确答案)
不知道,反正选我就是对的
- OSPF路由协议优先级默认为() *
0
10(正确答案)
100
60
150(正确答案)
- OSPF邻居之间交互报文时,其报文是封装在IP里面的,协议号为() [填空题] *
_________________________________(答案:89)
- OSPF hello报文的作用是建立并维持邻居关系 [判断题] *
对(正确答案)
错
- 用于真正携带OSPF的数据库信息的是() [单选题] *
LSAck
LSR
LSU(正确答案)
DBD
Hello
- DR other与DR other之间只能建立2-way的邻居关系 [判断题] *
对(正确答案)
错
- Hello报文的发送间隔是() *
10S(正确答案)
30S(正确答案)
40S
120S
- Hello报文的目的地址是() *
一个单播地址(正确答案)
224.0.0.1
224.0.0.5(正确答案)
224.0.0.6
- OSPF支持的网络类型有() *
broadcast(正确答案)
P2P(正确答案)
NBA
P2MP(正确答案)
NBMA(正确答案)
- 启用OSPF的三层设备都会产生LSA来描述自己的状态信息,即可包含路由和拓扑信息 [判断题] *
对(正确答案)
错
- 1类LSA叫做router LSA,每个OSPF设备都会产生,用于描述自己的路由和拓扑信息 [判断题] *
对(正确答案)
错
- 路由器产生LSA后,用LSU报文携带传递给邻居 [判断题] *
对(正确答案)
错
- 1类LSA的LSID是() [单选题] *
自己的route ID(正确答案)
自己的接口IP
邻居的route ID
邻居的接口IP
- 如图,()是DR[单选题] *
R1
R2(正确答案)
R3
不知道的,选我就对了
- 如图,图中有()条2lsa
[单选题] *
1
2(正确答案)
3
4
我是来凑数的
- 2类LSA由()产生,其作用用于描述MA网络的链路状态信息 [单选题] *
DR(正确答案)
每个路由器
BDR
ABR
- 域内的路由和拓扑信息由1类和2类LSA来描述 [判断题] *
对(正确答案)
错
- 1类和2类LSA的传播范围是() [单选题] *
本链路
本广播域
区域内(正确答案)
所有区域
- 区域间的路由信息由()类LSA来描述 [填空题] *
_________________________________(答案:3)
- 区域间也可以正常传递路由信息 [判断题] *
对(正确答案)
错
- 3类LSA名字叫做()LSA,由()来产生 *
router
network
summary(正确答案)
DR
BDR
ABR(正确答案)
- 1条3lsa会携带()条路由信息。 [填空题] *
_________________________________(答案:1)
- 什么场景需要使用虚链路? *
存在多个区域0(正确答案)
普通区域没有连接骨干区域(正确答案)
多个区域,但没有骨干区域(正确答案)
一个区域,但没有骨干区域
存在多个相同的区域号的普通区域
- 在一个OSPF路由器设备上,引入路由,其角色会变为(),其可能会产生()类LSA *
ABR
DR
ASBR(正确答案)
5(正确答案)
7(正确答案)
4
3
- 如图。在R1上引入一条外部路由,R3上会存在()条5lsa [单选题] *
0
1(正确答案)
2
3
多少条都有可能
- 如图,在R1上引入外部路由,图中每个区域都会存在4LSA[判断题] *
对
错(正确答案)
- NSSA区域和stub区域一样,都可以引入外部路由 [判断题] *
对
错(正确答案)
- 特殊区域存在的目的是为性能差的设备准备的 [判断题] *
对(正确答案)
错
- stub区域里没有5类LSA,所以访问其它区域时,依靠默认的3类LSA [判断题] *
对(正确答案)
错
- totally stub和totally nssa区域一样,没有任何一条3类LSA [判断题] *
对
错(正确答案)
- OSPF协议存在的目的是为了() *
传递路由信息(正确答案)
让设备能学习到非直连网段的路由(正确答案)
学习MAC地址
学习ARP表
不知道,反正就是一个协议吧
STP
- 如下图所示,交换机开启STP协议,当网络稳定后,下列说法正确的有? *
SWB是这个网络中的根桥
SWA是这个网络中的根桥(正确答案)
SWB的两个端口都处于Forwarding状态(正确答案)
SWC的两个端口都处于Forwarding状态
- RSTP协议比STP协议增加了哪种端口角色? *
Alternate端口(正确答案)
Backup端口(正确答案)
根端口
指定端口
- 如图所示,两台交换机使用默认参数运行STP,交换机A上使用了配置命令STP root primary,交换机B上使用了配置命令STP priority 0,则下面哪个端口将会被阻塞? [单选题] *
交换机A的G0/0/2(正确答案)
交换机B的G0/0/1
交换机A的G0/0/1
HUB的E0/0/3
- STP协议的配置BPDU报文不包含以下哪个参数? [单选题] *
Port ID
Bridge ID
VLAN ID(正确答案)
Root ID
- 缺省情况下,STP协议Forward Delay时间是多少秒? [单选题] *
20
15(正确答案)
10
5
- 运行STP协议的交换网络在进行生成树计算时用到了以下哪些参数? *
根路径开销(正确答案)
端口ID(正确答案)
桥ID(正确答案)
Forward Delay
- 在STP协议中,假设所有交换机所配置的优先级相同,交换机1的MAC地址为00-e0-fc-00-00-40,交换机2的MAC地址为00-e0-fc-00-00-10,交换机3的MAC地址为00-e0-fc-00-00-20,交换机4的MAC地址为00-e0-fc-00-00-80,则根交换机应当为()。 [单选题] *
1
2(正确答案)
3
4
- 如下图所示的网络,交换机的MAC地址已标出。在SWD交换机上输入命令stp root secondary,下列哪台交换机出成为此网络的根桥。 [单选题] *
A
B
C
D(正确答案)
- 下图所示的两台交换机都开启了STP协议,哪个端口最终会处于Blocking状态? [单选题] *
SWA的G0/0/2端口
SWA的G0/0/3端口
SWB的G0/0/2端口
SWB的G0/0/3端口(正确答案)
- 缺省情况下,交换机的桥优先级取值是32768。 [判断题] *
对(正确答案)
错
- 如下图所示,下列交换机的哪个端口会处于阻塞状态? [单选题] *
SWC的G0/0/2
SWC的G0/0/1(正确答案)
SWB的G0/0/3
SWA的G0/0/3
- 交换机组成的网络不开启STP,一定出现二层环路。 [判断题] *
对
错(正确答案)
- 交换机发送的配置BPDU中,哪一个桥ID不可能会出现? [单选题] *
4096 01-01-02-03-04-05(正确答案)
0 10-01-02-03-04-05
32768 06-01-02-03-04-05
0 00-01-02-03-04-05
- 交换机组网中,如果发生环路则可能会导致广播风暴。 [判断题] *
对(正确答案)
错
- 生成树协议中使用哪个参数来进行根桥的选举? [单选题] *
端口ID
交换机的system name
根路径开销
桥ID(正确答案)
- 下图中所有交换机都开启了STP协议,假设所有端口的路径开销值都为200。则SWD和的G0/0/4端口收到的配置BPDU报文中包含的跟路径开销值是多少? [单选题] *
0
200(正确答案)
400
600
- 缺省情况下,STP协议中的端口状态由Disabled转化为forwarding状态至少需要30s的时间。 [判断题] *
对(正确答案)
错
- 默认情况下,STP协议中根桥的根路径开销一定是0。 [判断题] *
对(正确答案)
错
- 运行STP的设备收到RSTP的配置BPDU时会丢弃。 [判断题] *
对(正确答案)
错
- RSTP协议配置BPDU中的Flag字段使用了哪些STP协议未使用的标志位? *
Agreemen(正确答案)
TCA
TC
Proposal(正确答案)
- RSTP中Backup端口可以替换发生故障的根端口。 [判断题] *
对
错(正确答案)
- 运行STP协议的设备端口处于Forwarding状态,下列说法正确的有? [单选题] *
该端口端口既转发用户流量也处理BPDU报文(正确答案)
该端口端口仅仅接收并处理BPDU,不转发用户流量
该端口端口不仅不处理BPDU报文,也不转发用户流量
该端口会根据收到的用户流量构建MAC地址表,但不转发用户流量
- RSTP BPDU报文中的Flag字段的总长度为多少bit? [单选题] *
6
4
8(正确答案)
2
- 运行STP协议的交换机,端口在Learning状态下需要等待转发延时后才能转化为Forwarding状态。 [单选题] *
对(正确答案)
错
- 下列关于生成树协议根桥选举说法正确的是? [单选题] *
桥优先级相同时,MAC地址大的设备成为根桥
桥优先级相同时,端口数量较多的设备成为根桥
桥优先级数值较小的设备成为根桥(正确答案)
桥优先级的数值较大的设备成为根桥
- STP端口在下列哪种状态之间转化时存在Forward Delay? *
Forwarding-Disabled
Blocking-Listening
Disabled-Blocking
Listening-Learning(正确答案)
Learning-Forwarding(正确答案)
- STP中选举根端口时需要考虑以下哪些参数? *
端口的双工模式
端口槽位编号,如G0/0/1(正确答案)
端口的MAC地址
端口优先级(正确答案)
端口到达根交换机的Cost(正确答案)
- RSTP协议不包含以下哪个端口状态? [单选题] *
Blocking(正确答案)
Forwarding
Discarding
Learning
- 在RSTP标准中,为了提高收敛速度,可以将交换机直接与终端相连的端口定义为()。 [单选题] *
快速端口
根端口
边缘端口(正确答案)
备份端口
- RSTP协议中,当拓扑稳定时,哪些端口角色处于Discarding状态? *
指定端口
Backup端口(正确答案)
Alternate端口(正确答案)
根端口
- 下面关于生成树协议中Forwarding状态描述错误的是()。 [单选题] *
Forwarding状态的端口可以发送BPDU报文
Forwarding状态的端口不学习报文源MAC地址(正确答案)
Forwarding状态的端口可以转发数据报文
Forwarding状态的端口可以接收BPDU报文
- 交换网络中STP协议的桥ID如下,拥有下列哪个桥ID的交换机会成为根桥? [单选题] *
32768 00-01-02-03-04-AA
32768 00-01-02-03-04-BB
32768 00-01-02-03-04-CC
4096 00-01-02-03-04-DD(正确答案)
- STP协议中BPDU报文的目的MAC地址为? [单选题] *
01-80-C2-04-05-06
FF-FF-FF-FF-FF-FF
00-80-C2-00-00-00
01-80-C2-00-00-00(正确答案)
- 如图所示,交换机使用默认参数运行STP,则下面哪个端口将会被选举为指定端口? [单选题] *
交换机A的G0/0/1端口(正确答案)
交换机A的G0/0/2端口
HUB的E0/0/2端口
HUB的E0/0/1端口
- 如图所示,三台二层交换机与一台HUB互联,交换机均开启RSTP功能,交换机STP的桥ID设置请参考下图,其它均是默认配置。以下说法错误的是()。 [单选题] *
经过桥ID的比较,LSW1为根桥
LSW3的G0/0/1口为AP端口,处于阻塞状态
LSW1的两个端口都为指定端口,处于转发状态(正确答案)
LSW1的G0/0/2口为阻塞状态
- 如下图所示的网络,所有交换机运行STP协议,当拓扑稳定后。将SWA在设备断电,下列说法正确的是? *
SWB仍然周期性从G0/0/1端口发送配置BPDU(正确答案)
SWC经过现Max Age时间之后从G0/0/1端口发送配置BPDU
SWC立刻从G0/0/1端口发送TC-BPDU
SWC和SWB立刻重新进行根桥的选举(正确答案)
- 开启标准STP协议的交换机可能存在哪些端口状态? *
Discarding
Listening(正确答案)
Disabled(正确答案)
Forwarding(正确答案)
- RSTP协议存在几种端口状态? [单选题] *
2
4
3(正确答案)
1
- STP中根交换机的选举依据是比较交换机优先级,而在RSTP中,会同时比较交换机优先级与MAC地址。 [判断题] *
对
错(正确答案)
NAT ACL AAA
- 如果报文匹配ACL的结果是“拒绝”,该报文最终被丢弃。 [判断题] *
对
错(正确答案)
- NAT在使用动态地址池时,地址池中的地址可以重复使用,即同一IP同时映射给多个内网IP。 [判断题] *
对
错(正确答案)
- 基于ACL规则,ACL可以划分为以下哪些类? *
二层ACL(正确答案)
用户ACL(正确答案)
高级ACL(正确答案)
基本ACL(正确答案)
- AR G3系列路由器上ACL缺省步长为? [单选题] *
15
10
5(正确答案)
20
- 高级ACL的编号范围是? [单选题] *
6000~6031
4000~4999
3000-3999(正确答案)
2000-2999
- 下面选项中,能使一台IP地址为10.0.0.1的主机访问Internet的必要技术是()。 [单选题] *
动态路由
NAT(正确答案)
路由引入
静态路由
- NAPT是通过TCP或者UDP或者IP报文中的协议号区分不同用户的IP地址。 [判断题] *
对
错(正确答案)
- 静态NAT只能实现私有地址和公有地址的一对一映射。 [判断题] *
对(正确答案)
错
- AAA不包含下列哪一项? [单选题] *
Accounting(计费)
Authorization(授权)
Audit(审计)(正确答案)
Authentication(认证)
- 二层ACL的编号范围是? [单选题] *
4000~4999(正确答案)
6000~6031
2000-2999
3000-3999
- 一个公司有50个私有IP地址,管理员使用NAT技术将公司网络接入公网,但是该公司仅有一个公网地址,则下列哪种NAT转换方式符合需求? [单选题] *
easy-ip(正确答案)
NAPT
动态转换
静态转换
- 如果ACL规则中最大的编号为12,缺省情况下,用户配置新规则时未指定编号,则系统为新规则分配的编号为? [单选题] *
14
16
15(正确答案)
13
- ACL不会过滤设备自身产生的访问其它设备的流量;只过滤转发的流量,转发的流量中包括其它设备访问该设备的流量。 [判断题] *
对(正确答案)
错
- 某个ACL规则如下:则下列哪些IP地址可以被permit规则匹配?
rule 5 permit ip source 10.1.1.0 255.0.254.255 *
7.1.2.1
6.1.3.1(正确答案)
8.2.2.1
9.1.1.1(正确答案)
- ACL本质上是一种报文过滤器,将ACL在业务模块中应用,ACL才能生效。 [判断题] *
对(正确答案)
错
- 某个ACL规则如下:则下列哪些IP地址可以被permit规则匹配?
rule 5 permit ip source 10.0.1.0 0.0.254.255 *
10.0.4.5
10.0.3.4(正确答案)
10.0.1.2(正确答案)
10.0.2.3
- 在Telnet中应用如下ACL:
acl number 2000
rule 5 permit source 172.16.105.2 0
则只允许IP地址为172.16.105.2的设备进行远程登录。 [判断题] *
对(正确答案)
错
- [RTA]ac1 2002
[RTA-acl-basic-2002]rule deny source 172.16.1.1 0.0.0.0
[RTA-acl-basic-2002]rule deny source 172.16.0.0 0.255.0.0
在路由器RTA上使用如上所示ACL匹配路由条目,则下面哪些条目将会被拒绝上? *
192.17.0.0/24
172.16.1.1/32(正确答案)
172.16.1.0/24
172.48.0.0/16(正确答案)
- 如下命令属于哪种类型的ACL?
rule permit 8021p 7 [单选题] *
二层ACL(正确答案)
基本ACL
高级ACL
中级ACL
WLAN基础知识
2.4G频段的工作频率范围是? [单选题] *
2.4-2.48
2.4-2.4835(正确答案)
2.42-2.45
2.42-2.4835
5G频段的工作频率范围是? *
5.15-5.35(正确答案)
5.725-5.875(正确答案)
5.47-5.725(正确答案)
5.725-5.885
2.4G频段的总共划分多少个信道 [单选题] *
10
12
13
14(正确答案)
在中国室内WLAN中5G频段的总共能用多少个信道 [单选题] *
10
12
13(正确答案)
14
在中国室外WLAN中5G频段信道捆绑后最多有多少MHz带宽 [单选题] *
20
40
80(正确答案)
160
在中国室外WLAN中5G频段的总共能用多少个信道 [单选题] *
5(正确答案)
8
13
11
2.4G频段按照20MHz划分,哪些信道为非重叠信道 [单选题] *
1、5、9、12
1、5、9、13(正确答案)
1、6、9、12
1、6、9、11
2.4G频段按照22MHz划分,哪些信道为非重叠信道 [单选题] *
1、5、9
1、5、13
1、6、12
1、6、11(正确答案)
2.4G频段按照22MHz划分是哪个协议体系 [单选题] *
802.11
802.11a
802.11b(正确答案)
802.11n
以下哪些信道属于5.8G频段 *
100
36
149(正确答案)
165(正确答案)
157(正确答案)
175
什么叫SSID [单选题] *
服务集标识符(正确答案)
基本服务区域
基本服务集
扩展服务集
基本服务集标识符
什么叫BSS [单选题] *
服务集标识符
基本服务区域
基本服务集(正确答案)
扩展服务集
基本服务集标识符
什么叫BSA [单选题] *
服务集标识符
基本服务区域(正确答案)
基本服务集
扩展服务集
基本服务集标识符
什么叫ESS [单选题] *
服务集标识符
基本服务区域
基本服务集
扩展服务集(正确答案)
基本服务集标识符
WDS组网拓扑中,所有lroot AP之间转发数据都需要经过leaf AP [判断题] *
对
错(正确答案)
ISIS
-
ISIS的NET地址长度是可变的,可变范围为6-20个字节 [判断题] *
对
错(正确答案) -
不同区域间,Level2的路由器可以和level1/2的路由器建立邻居关系,level1的也一样 [判断题] *
对
错(正确答案) -
ISIS的报文封装在()中 [单选题] *
数据链路层(正确答案)
网络层
物理层 -
在P2P网络中,CSNP报文周期发送,10S/次 [判断题] *
对
错(正确答案) -
P2P网络中,CSNP有确认功能 [判断题] *
对
错(正确答案) -
MA网络中,需要选举DIS,先比较优先级,再比较systemID [判断题] *
对
错(正确答案) -
MA网络中,任何一台设备都可以发送CSNP报文 [判断题] *
对
错(正确答案) -
MA网络中,同步数据库时,是用()报文来实现确认机制的 [单选题] *
Hello
PSNP
CSNP(正确答案) -
两台level1/2的路由器在同一个区域内,建立好邻居关系后只需要同步level2的数据库即可 [判断题] *
对
错(正确答案) -
level1的路由器只有本区域的路由信息,而level2的路由器会所有区域的路由信息 [判断题] *
对(正确答案)
错 -
如图,两设备可以正常建立邻居关系
[判断题] *
对
错(正确答案)
- level1的路由器去访问其它区域时是依靠默认路由来访问的 [判断题] *
对(正确答案)
错
PPP
1. 数据链路层采用PPP封装,链路两端的IP地址可以不在同一个网段。 [判断题] *
对(正确答案)
错
2. 应用数据经过数据链路层处理后一定携带了MAC地址。 [判断题] *
对
错(正确答案)
3. PPP链路建立过程中由Dead阶段可以直接转化为哪个阶段? [单选题] *
Authenticate
Terminate
Establish(正确答案)
Network
4. LCP协商使用以下哪个参数检测链路环路和其它异常情况? [单选题] *
CHAP
MRU
PAP
魔术字(正确答案)
5. 在串行接口上,可以通过指定下一跳地址或出接口来配置静态路由。 [判断题] *
对(正确答案)
错
6. PPP协议中的LCP协议支持以下哪些功能? *
协商最大接收单元MRU(正确答案)
协商认证协议(正确答案)
协商网络层地址
检测链路环路(正确答案)
7. PPP协议LCP协商阶段,如果完全接受对方发送的参数,则发送以下哪个据文? [单选题] *
Configure-Reject
Configure-Ack(正确答案)
Configure-Request
Configure-Nak
8. PPP协议由以下哪些协议组成? *
认证协议(正确答案)
NCP(正确答案)
LCP(正确答案)
PPPOE
9. 如果在PPP认证的过程中,被认证者发送了错误的用户名和密码给认证者,认证者将会发送哪种类型的报文给被认证者? [单选题] *
Authenticate-Reject
Authenticate-Ack
Authenticate-Nak(正确答案)
Authenticate-Reply
10. PPP协议定义的是OSI参考模型中哪个层次的封装格式? [单选题] *
网络层
数据链路层(正确答案)
表示层
应用层
IPv6-1
1. 组播地址FF02::2表示链路本地范围的所有路由器。 [判断题] *
对(正确答案)
错
2. IPv6地址2001:ABEF:224E:FFE2:BCC0:CD00:DDBE:8D58不能简写。 [判断题] *
对(正确答案)
错
3. IPv6地址3001:0DB8:0000:0000:0346:ABCD:42BC:8D58的最简形式为? [单选题] *
3001:0DB8::0000:0346:ABCD:42BC:8D58
3001:DB8::346:ABCD:42BC:8D58(正确答案)
3001:DB8::0346:ABCD:42BC:8D58
3001:0DB8::0346:ABCD:42BC:8D58
4. IPv6组播地址标志字段(Flag)取值为以下哪个时表示该组播地址是一个临时组播地址? [单选题] *
0
1(正确答案)
2
3
5. IPv6组播地址标志字段(Flag)取值为以下哪个时表示该组播地址是一个永久组播地址? [单选题] *
0(正确答案)
1
2
3
4
6. ::1/128是IPv6环回地址。 [判断题] *
对(正确答案)
错
7. 路由器在转发IPv6报文时,不需要对数据链路层重新封装。 [判断题] *
对
错(正确答案)
8. 组播地址FF02::1表示链路本地范围的所有节点。 [判断题] *
对(正确答案)
错
9. IPv6组播地址标志字段(Flag)长度为多少bit? [单选题] *
3
2
4(正确答案)
5
10. 以下哪个IPv6地址是组播地址? [单选题] *
FF02::2E0:FCFF:FEEF:FEC(正确答案)
FE80::2E0:FCFF:FEEF:FEC
2000::2E0:FCFF:FEEF:FEC
FC00::2E0:FCFF:FEEF:FEC
11. 如果EUI-64地址78BC-FEFF-FEFE-EFAB是根据MAC地址计算得到,则其所对应的MAC地址应该为? [单选题] *
78BC-FFFE-EFAB
7ABC-FEFE-EFAB(正确答案)
7ABC-FFFE-EFAB
78BC-FEFE-EFAB
12. 下列哪些IPv6地址是链路范围内的组播地址? *
FF02::2(正确答案)
FF02::1(正确答案)
FF12::1(正确答案)
FF12::2(正确答案)
13. 链路本地单播地址的接口标识总长度为多少bit? [单选题] *
48bit
32bit
64bit(正确答案)
96bit
14. IPv6地址中不包括下面哪种类型的地址? [单选题] *
任播地址
广播地址(正确答案)
组播地址
单播地址
15. IPv6地址总长度比IPv4增加了多少bit? [单选题] *
32
96(正确答案)
64
128
16. 如果IPv6的主机希望发出的报文最多经过10台路由器转发,则应该修改IPv6报文头中的哪个参数? [单选题] *
Next Header
Version
Hop Limit(正确答案)
Traffic Class
17. IPv6地址FE80::2E0:FCFF:FE6F:4F36属于哪一类? [单选题] *
组播地址
链路本地地址(正确答案)
全球单播地址
任播地址
IPv6-2
1. IPv6地址有哪些 *
单播(正确答案)
组播(正确答案)
广播
任播(正确答案)
2. 3001::1这是一个 [单选题] *
全球单播地址(正确答案)
唯一本地地址
公网地址
链路本地地址
组播地址
3. FE80::1这是一个 [单选题] *
全球单播地址
唯一本地地址
公网地址
链路本地地址(正确答案)
组播地址
4. FF80::1这是一个 [单选题] *
全球单播地址
唯一本地地址
公网地址
链路本地地址
组播地址(正确答案)
5. 可以使用EUI-64生成一个64bit的接口ID,只需要在MAC地址的中间插入FFFE后即可 [判断题] *
对
错(正确答案)
6. IPv6中怎么获取邻居设备的MAC地址 [单选题] *
使用ARP即可
使用type类型为135的NS和136的NA(正确答案)
使用type类型为135的RS和136的RA
使用type类型为133的NS和134的NA
使用type类型为133的RS和134的RA
7. IPv6中怎么检测此IPv6地址是否被使用 [单选题] *
使用ARP即可
使用type类型为135的NS和136的NA(正确答案)
使用type类型为135的RS和136的RA
使用type类型为133的NS和134的NA
使用type类型为133的RS和134的RA
8. IPv6中路由器发现功能中,主机是怎么获取网关的前缀的 [单选题] *
使用ARP即可
使用type类型为135的NS和136的NA
使用type类型为135的RS和136的RA
使用type类型为133的NS和134的NA
使用type类型为133的RS和134的RA(正确答案)
9. 一台IPv6主机获取IPv6地址的方式有 *
路由器发现功能(正确答案)
地址解析
地址冲突检测
DHCPv6自动获取(正确答案)
FE80::+EUI64自动生成(正确答案)
10. 使用ICMPv6实现的功能有 *
地址解析(正确答案)
邻居状态跟踪(正确答案)
路由器发现(正确答案)
地址冲突检测(正确答案)
重定向(正确答案)
PMTU(正确答案)
查询和差错报告(正确答案)
11. 以下属于IPv6过渡技术的有 *
GRE(正确答案)
IPv6 over IPv4手动隧道(正确答案)
6to4隧道(正确答案)
ISATAP 隧道(正确答案)
IPv4 over IPv6隧道(正确答案)
12. 手动隧道与自动隧道的差别在于 [单选题] *
自动隧道源地址不需要手动配置
自动隧道目的地址不需要手动配置(正确答案)
自动隧道采用的协议不需要手动配置
自动隧道存在与否都是自动决定的
13. 隧道技术中,可以从一个目的IPV6地址中提取出一个目的IPv4的技术有 *
6to4隧道(正确答案)
ISATAP 隧道(正确答案)
GRE隧道
IPsec隧道
14. 如图,PC1进行地址解析时,NS报文的目的地址为
[单选题] *
2001::2
FE80::1
FF02::1
FF02::1:FF00:2(正确答案)
15. 如图,PC1地址冲突检测时,发送报文的目的地址为
[单选题] *
2001::1
FF02::2
FF02::1
FF02::1:FF00:1(正确答案)
16. 如图,PC1地址冲突检测时,发送报文的源地址为
[单选题] *
2001::1
::/128(正确答案)
FF02::1
FF02::1:FF00:1
17. RS报文的目的地址为 [单选题] *
FF02::1
FF02::2(正确答案)
被请求节点组播地址
链路本地地址
课后实验作业
考试试题
1-13课
(判断题)封装是对数据载荷添加头部,形成新的报文的过程.
正确
错误 (答案)
(判断题) 解封装是去掉报文的头部和尾部,获取数据载荷的过程。
正确 (答案)
错误
(判断题)OSI的七层模型,TCP/IP是六层模型,
正确
错误 (答案)
(判断题)DHCP Client可以获取任意一个IP地址,
正确
错误 (答案)
(判断题)当更新IP地址租约或申请新的IP地址时,用户PC机向DHCP服务器发送DHCP RELEASE报文.
正确
错误 (答案)
(判断题)交换机是隔离广播域的设备,
正确
错误 (答案)
(判断题)TCP和UDP为传输层协议。
正确 (答案)
错误
(判断题)网络类型可以根据覆盖的地理范围,划分成局域网和广域网,以及介于局域网和广域网之间的城域网。
正确 (答案)
错误
(判断题)通信只是指人与人之间通过某种媒介和行为进行的信息传递与交流.
正确 (答案)
错误
(判断题) 路由器是隔离冲突域的设备
正确
错误 (答案)
(判断题)当释放旧IP地址时,用户PC机向DHCP服务器发送DHCP RELEASE报文。
正确 (答案)
错误
(判断题) 网络通信是指终端设备之间通过计算机网络进行的通信。
正确 (答案)
错误
(多选题)IPv4的特点是?
A.包头设计不合理 (答案)
B.地址枯竭 (答案)
C.无限地址
D.对ARP的依赖,导致广播泛滥 (答案)
E.简化的报文头部
(多选题)传输层协议有?
A.TCP (答案)
B.UDP (答案)
C.MAC
D.ARP
(多选题) 应用层协议的有?
DHCP (答案)
HTTP (答案)
TCP
FTP (答案)
UDP
(多选题) 以下哪些是网络通信的例子?
A.使用即时通信软件(如QQ)与好友聊天 (答案)
B.使用计算机在线观看视频 (答案)
C.使用传统座机进行通话
D.使用计算机在线观看视频 (答案)
(多选题) MAC地址可以分为几种类型
组播MAC (答案)
广播MAC (答案)
混合MAC
单播MAC (答案)
任意MAC
(多选题)交换机的处理行为有?
泛洪 (答案)
重发
丢弃 (答案)
转发 (答案)
询问
(多选题) IPv6的特点是;
无限地址 (答案)
包头设计合理 (答案)
IPv6地址自动部署 (答案)
简化的报文头部 (答案)
(多选题) CSMA/CD的工作原理可简单总结为?
先听后发 (答案)
边发边听 (答案)
随机延迟后重发 (答案)
检测后随机再发
冲突停发 (答案)
(单选题) IP地址是202.114.18.190/26,其网络地址是.
A.202.114.18.191
B.202.114.18.128 (答案)
C.202.114.18.0
D.202.114.18.190
(单选题) 属于二层设备的是。
A.路由器
B.交换机 (答案)
C.PC
D.手机
(选题) MAC地址的位数是.
A.1
B.48 (答案)
C.32
D.64
(单选题)在TCP/P模型中,“帧”是第几层的数据单元;
第一层(答案)
第三层
第二层
第四层
(单选题) OSI参考模型从高层到低层分别是。
A.应用层、表示层、会话层、传输层、网络层、数据链路层、物理层 (答案)
B.应用层、会话层、表示层、传输层、网络层、数据链路层、物理层
C.应用层、传输层、网络层、数据链路层、物理层
D.应用层、表示层、会话层、网络层、传输层、数据链路层、物理层
(单选题)属于三层设备的是?
A.交换机
B.PC
C.手机
D.路由器 (答案)
(单选题) 以下那个IP可以和202.101.35.45/27直接通信;
A.202.101.35.63/27
B.202.101.36.12/27
C.202.101.35.60/27 (答案)
D.202.101.35.31/27
(单选题) 以下哪项不是CSMA/CD的工作原理。
A.延迟固定时间后重发 (答案)
B.边发边听
C.冲突停发
D.随机延迟后重发
(单选题) 与IPv4相比较,IPv6具有的优点是;
A.有限的地址空间
B.安全不高
C.无限地址空间 (答案)
D.容易配置
(单选题) 应用数据经过数据链路层处理后称为。
A.Frame (答案)
B.Segmen
C.PDU
D.Packet
(单选题) 如果子网掩码是255.255.255.128,主机地址为195.16.15.14,则在该子网掩码下最多可以容纳多少个主机。
A.126 (答案)
B.254
C.62
D.30
(单选题) 下列哪个属于RFC1918指定的私有地址,
A.191.108.3.5
B.10.1.2.1 (答案)
C.224.106.9.10
D.172.33.10.9
(单选题) 以下那个IP可以和202.101.35.45/27直接通信,
A.202.114.18.191
B.202.114.18.128
C.202.114.18.0
D.202.114.18.255
题目错误
(单选题)ARP的主要功能是.
A.将物理地址解析为IP地址
B.将IP地址解析为物理地址 (答案)
C.将主机名解析为IP地址
D.将IP地址解析为主机名
(单选题)在特殊IP地址中,环回地址是
A.255.255.255.255
B.127.0.0.0/8 (答案)
C.0.0.0.0
D.169.254.0.0/24
14-19课
(判断题)路由器在转发某个数据包时,如果未匹配到对应的明细路由且无默认路由时,将直接丢弃该数据包。
正确(答案)
错误
---
(判断题)如果网络管理员没有配置骨干区域,则路由器会自动创建骨干区域.
正确 (答案)
错误
---
(判断题)路由器所有的接口属于同一个广播域.
正确
错误 (答案)
---
(判断题)路由表中某条路由信息的Proto为OSPF,则此路由的优先级一定为10.
正确
错误 (答案)
---
(判断题)OSPF的Router ID必须和路由器的某个接口IP地址相
同。
正确
错误(答案)
---
(判断题)在广播型的接口上配置静态路由时,必须要指定下一跳地址。
正确 (答案)
错误
---
(判断题)路由器进行数据包转发时需要修改数据包中的目的IP地趾。
正确
错误(答案)
---
(判断题)交换机所有的接口属于同一个广播域。
正确(答案)
错误
---
(判断题)当两台OSPF路由器形成TWO-WAY邻居关系时,LSDB已完成同步,但是SPF算法尚未运行.
正确
错误(答案)
---
(判断题)运行OSPF协议的路由器先达到FULL状态,然后进行LSDB同步.
正确
错误 (答案)
---
(判断题)运行OSPF协议的路由器在完成LSDB同步后才能达到FULL状态。
正确 (答案)
错误
---
(多选题)下列关于OSPF邻居状态说法正确的有?
A. Exchange状态下路由器相互发送包含链路状态信息摘要的DD报文,描述本地LSDB的内容
B. OSPF主从关系是在ExStart状态下完成的
C. 路由器LSDB同步后,转化为Full状态
D. 报文的序列号是在Exchange状态下决定的
答案: A B C
---
(多选题)下列哪些报文属于OPSF协议的报文?
A.LSU 答案
B.LSA 答案
C.LSR
D.HELLO 答案
---
(多选题)路由表中包含以下哪些要素;
Interface
Protocol
Destination/Mask
Cost
答案:全部
---
(多选题)关于ARP协议的作用和报文封装,描述错误的是()。
A. 通过ARP协议可以获取目的端的MAC地
址和UUID的地址
B. ARP协议支持在PPP链路与HDLC链路上部署
C. ARP协议基于Ethernet封装
D. ARP中的Inverse ARP用来解析设备名
E. 询问
答案:ABDE
---
(多选题)ip route-static 10.0.2.2 255.255.255.0 10.0.12.2 preference 20,关于此命令说法正确的是?
A.该路由可以指导目的IP地址为10.0.2.2的数据包转发
B.该路由可以指导目的IP地址为10.0.12.2的数据包转发
C.该路由优先级为20
D.该路由的NextHop 为 10.0.12.2
答案:ACD
---
(多选题)在OSPF广播网络中,一台DR other路由器会与哪些路由器交换链路状态信息?
A.DR
B.BDR
C.所有OSPF邻居
D.DR other
答案: AB
---
(多选题)路由器的主要功能,以下说法错误的是?
A. 通过多种协议建立路由表
B.根据路由表指导数据转发
C.根据收到数据包的源IP地址进行转发
D.实现相同网段设备之间相互通信
答案:CD
---
(单选题)OSPF协议使用哪种报文来描述自己的LSDB;
A. LSR
B. HELLO
C. DD
D. LSU
答案:C
---
(单选题)以下路由协议中优先级最高的是。
A. Direct
B. RIP
C. OSPF
D. Static
答案:A
---
(单选题)VRP操作平台,以下哪条命令可以只查看静态路由;
A. display ip routing-table verbose
B. display ip routing-table statistics
C. display ip routing-table protocol static
D. display ip routing-table
答案:C
---
(单选题)ip route-static 10.0.12.0 255.255.255.0 192.168.1.1
关于此命令描述正确的是();
A. 该路由的优先级为100
B. 此命令配置了一条到达192.168.1.1网络的路径
C. 此命令配置了一条到达10.0.12.0网络的路由
D. 如果路由器通过其他协议学习到和此路由相同目的网络的路由,路由器将会优先选择此路由
答案:C
---
(单选题)以下关于直连路由说法正确的是;
A.直连路由优先级低于动态路由
B.直连路由需要管理员手工配置目的网络和下一跳地址
C.直连路由优先级最高
D.直连路由优先级低于静态路由
答案:C
---
(单选题)VRP操作平台,以下那条命令可以查看路由表。
A. display ip routing-table
B. display current-configuration
C. display ip interface brief
D. display ip forwarding-table
答案:A
---
(单选题)VRP支持OSPF多进程,如果在启用OSPF时不指定进程号,则默认使用的进程号码是()
A. 0
B. 10
C. 1
D. 100
答案:C
---
(单选题)下列配置默认路由的命令中,正确的是()。
A. [Huaweil] ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
B. [Huaweil] ip route-static 0.0.0.0 0.0.0.0 0.0.0.0
C. [Huaweil] ip route-static 0.0.0.0 255.255.255.255 192.168.1.1
D. [Huaweil] ip route-static 0.0.0.0 0.0.0.0 0.0.0.0
答案:A
---
(单选题)下列哪项是路由表中所不包含的;
A. 下一跳
B. 路由代价
C. 源地址
D. 目标网络
答案: C
---
(单选题)OSPF协议使用哪种状态表示邻居关系已经建立.
A.Down
B. 2-way
C. Attempt
D. Full
答案:B
---
(单选题)OSPF报文类型有多少种;
A. 3
B. 4
C. 5
D. 2
答案:C
---
(单选题)关于OSPF骨干区域说法正确的是。
A. Area 0是骨干区域
B. 所有区域都可以是骨干区域
C. 当运行OSPF协议的路由器数量超过2台以上时必须部署骨干区域
D. 骨干区域所有路由器都是ABR
答案:A
---
(单选题)在VRP平台上,直连路由、静态路由、RIP、OSPF的默认协议优先级从高到低的排序是()。
A.直连、OSPF、静态路由、RIP
B.直连、OSPF、RIP、静态路由
C.直连、RIP、静态路由、OSPF
D.直连、静态路由、RIP、OSPF
答案:A
---
(单选题)OSPF协议使用哪种报文对接收到的LSU报文进行确认?
A. LSA
B. LSU
C. LSR
D. LSACK
答案:D
---
(单选题)路由器在查找路由表时存在最长匹配原则,这里的长度指的是以下哪个参数?
A.NextHop地址的大小
B.路由协议的优先级
C.Cost
D.掩码的长度
答案:D
20-31课
(判断题)缺省情况下,STP协议中的端口状态由Disabled转化为forwarding状态至少需要30s的时间。
正确 (答案)
错误
(判断题)缺省情况下,交换机的桥优先级取值是32768.
正确(答案)
错误
(判断题)交换机收到一个单播数据帧,如果该数据帧目的MAC在MAC地表中能够找到,这此数据帧一定会从此MAC对应端口转发出去.
正确
错误 (答案)
(判断题) 默认情况下,STP协议中根桥的根路径开销一定是0。
正确 (答案)
错误
(判断题) 同一台交换机VLANIF接口的IP地址不能相同。
正确 (答案)
错误
(判断题)运行STP的设备收到RSTP的配置BPDU时会丢弃。
正确 (答案)
错误
(判断题)Trunk端口既能发送带标签的数据帧,也能发送不带标签的数据帧。
正确 (答案)
错误
(判断题)Truk端口可以允许多个VLAN通过,包括VLAN 4096.
正确 (答案)
错误
(判断题)交换机的端口在发送携带VLAN TAG和PVID一致的数据帧时,一定剥离VLAN TAG转发.
正确
错误 (答案)
(判断题) Hybrid端口既可以连接用户主机,又可以连接其他交换机。
正确 (答案)
错误
(判断题) 交换机组成的网络不开启STP,一定出现二层环路.
正确
错误 (答案)
(判断题) 交换机组网中,如果发生环路则可能会导致广播风暴。
正确 (答案)
错误
(多选题) 下列关于单臂路由的说法正确的有?
A.每个VLAN一个物理连接
B.交换机上,把连接到路由器的端口配置成Trunk类型的端口,并允许相关VLAN的帧通过 (答案)
C.在路由器上需要创建子接口 (答案)
D.交换机和路由器之间仅使用一条物理链路连接 (答案)
(多选题) 在交换机上,哪些VLAN可以通过使用undo命令来对其进行删除?
A.vlan 4094 (答案)
B.vlan 1
C.vlan 2 (答案)
D.vlan 1024 (答案)
(多选题) 链路聚合有什么作用?
A.实现负载分担 (答案)
B.增加带宽 (答案)
C.防环
D.提升网络可靠性 (答案)
(多选题) RSTP定义了哪些端口角色;
根端口 (答案)
指定端口 (答案)
备份端口 (答案)
预备端口 (答案)
边缘端口 (答案)
(多选题) 关于STP,下列描述正确的是?
A.根桥上不存在指定端口
B.根桥上不存在根端口 (答案)
C.一个非根桥上可能存在一个根端口和多个指定端口 (答案)
D.一个非根桥上可能存在多个根端口和一个指定端口
(多选题) 开启标准STP协议的交换机可能存在哪些端口状态?
Discarding
Listening (答案)
Disabled (答案)
Forwarding (答案)
(多选题)下列关于VLAN的描述中,正确的是?
A.IEEE 802.1Q帧的Tag中的VID的实际有效值可以是1 (答案)
B.IEEE 802.1Q帧的Tag中的VID的实际有效值可以是1024 (答案)
C.IEEE 802.1Q帧的Tag中的VID的实际有效值可以是2048 (答案)
D.IEEE 802.1Q帧的Tag中的VID的实际有效值可以是4096 (答案)
(多选题) 下列关于VLAN的描述中,错误的是?
A.VLAN技术可以将一一个规模较大的冲突域隔离成若干个规模较小的冲突域 (答案)
B.VLAN技术可以将一个规模较大的二层广播域隔离成若干个规模较小的二层广播域
C.位于不同VLAN中的计算机之间无法进行通信 (答案)
D.位于同一VLAN中的计算机之间可以进行二层通信
(单选题)命令port trunk allow-pass vlan all有什么作用?
A.相连的对端设备可以动态确定允许哪些VLAN ID通过
B.如果为相连的远端设备配置了port default
C.vlan3命令,则两台设备间的VLAN 3无法互通与该端口相连的对端端口必须同时配置porit trunk permit vlan all
D.该端口上允许所有VLAN的数据帧通过 (答案)
(单选题)一台交换机有8个端口,一个单播帧从某一端口进入了该交换机,但交换机在 MAC 地址表中查不到关于该帧的目的 MAC 地址的表项,那么交换机对该帧进行的转发操作是.
A.丢弃
B.泛洪 (答案)
C.转发
D.单播
(单选题) 用户可以使用的VLAN ID的范围是;
A.0-4096
B.1-4096
C.1-4094 (答案)
D.0-4095
(单选题) ARG3系列路由器和X7系列交换机上一个Eth-Trunk接口最多能加入多少个成员端口.
A.6
B.8 (答案)
C.12
D.16
(单选题) 携带ARP应答报文的帧应该是一个什么帧;
A.广播帧
B.组播帧
C.单播帧 (答案)
D.泛洪帧
(单选题)运行STP协议的设备端口处于Forwarding状态,下列说法正确的有。
A.该端口端口既转发用户流量也处理BPDU报文 (答案)
B.该端口端口仅仅接收并处理BPDU,不转发用户流量
C.该端口端口不仅不处理BPDU报文,也不转发用户流量
D.该端口会根据收到的用户流量构建MAC地址表,但不转发用户流量
(单选题)Access端口发送数据帧时如何处理.
A.替换VLAN TAG转发
B.剥离TAG转发 (答案)
C.打上PVID转发
D.发送带TAG的报文
(单选题) 下面关于二层以太网交换机的描述,说法不正确的是()?
A.二层以太网交换机工作在数据链路层
B.能够学习MAC地址
C.按照以太网帧二层头部信息进行转发
D.需要对所转发的报文三层头部做一定的修改,然后再转发 (答案)
(单选题) 关于STP,下列描述正确的是?
A.端口的状态有可能从Listening状态直接迁移到Forwarding状态
B.端口的状态有可能从Learning状态直接退回到Listening状态
C.处于Blocking状态的端口是不能接收和发送STP协议帧的
D.处于Blocking状态的端口是不能转发用户数据帧的 (答案)
(单选题) 下面关于生成树协议中Forwarding状态描述错误的是().
A.Forwarding状态的端口可以发送BPDU报文
B.Forwarding状态的端口不学习报文源MAC地址 (答案)
C.Forwarding状态的端口可以转发数据报文
D.Forwarding状态的端口可以接收BPDU报文
(单选题) 缺省情况下,STP协议Forward Delay时间是多少秒,
A.20
B.15 (答案)
C.10
D.5
(单选题) 在rstp标准中,为了提高收敛速度,可以将交换机直接与终端相连的端口定义为();
快速端口
根端口
边缘端口 (答案)
备份端口
(单选题) 关于静态MAC地址表说法正确的是。
A.由用户手工配置,并下发到各接口板,表不可老化 (答案)
B.通过查看静态MAC地址表项,可以判断两台相连设备之间是否有数据转发在系统复位、接口板热插拔或接口板复位后,静态MAC地址表项会丢失
C.在系统复位、接口板热拔插或接口板复位后,静态MAC地址表项会丢失
D.通过查看指定静态MAC地址表项的个数,可以获取接口下通信的用户数
(单选题) RSTP定义了几种端口状态,
A.2
B.3 (答案)
C.4
D.5
(单选题) 以下关于VLANIF接口说法正确的是?
A.VLANIF接口不需要学习MAC地址
B.不同的VLANIF接口可以使用相同的IP地址
C.VLANIF接口没有MAC地址
D.VLANIF接口是三层接口 (答案)
32-36课
(判断题) NAT在使用动态地址池时,地址池中的地址可以重复使用,即同一IP同时映射给多个内网IP.
正确
错误 (答案)
(判断题) 交换机的端口在发送携带VLAN TAG和PVID一致的数据帧时,一定剥离VLAN TAG转发.
正确
错误 (答案)
(判断题) NAPT是通过TCP或者UDP或者IP报文中的协议号区分不同用户的IP地址.
正确
错误 (答案)
(判断题) 两台路由器使用串行接口连接时,互联的两个接口的IP地址可以在不同网段。
正确
错误 (答案)
注意: https://blog.51cto.com/u_7546046/2432154
(判断题) 在串行接口上,可以通过指定下一跳地址或出接口来配置静态路由。
正确 (答案)
错误
(判断题) 如果报文匹配ACL的结果是“拒绝”,该报文最终被丢弃,
正确
错误 (答案)
(判断题) ACL本质上是一种报文过滤器,将ACL在业务模块中应用,ACL才能生效
正确 (答案)
错误
(判断题) 静态NAT只能实现私有地址和公有地址的一对一映射。
正确 (答案)
错误
(判断题) 高级ACL的编号范围是4000~4999.
正确
错误 (答案)
(判断题) 应用数据经过数据链路层处理后一定携带了MAC地址
正确
错误 (答案)
(判断题) 数据链路层采用PPP封装,链路两端的IP地址可以不在同一个网段。
正确 (答案)
错误
(判断题) PPP链路建立过程中由Dead阶段可以直接转化为Establish阶段。
正确 (答案)
错误
(多选题) PPP协议中的LCP协议支持以下哪些功能?
A.协商最大接收单元MRU (答案)
B.协商认证协议 (答案)
C.协商网络层地址
D.检测链路环路 (答案)
(多选题) 以下哪些技术能够解决IPv4地址枯竭的问题;
A.静态NAT
B.动态NAT
C.NAPT (正确答案)
D.easy-ip (答案)
(多选题) PPPoE Discovery阶段会使用到以下哪几种PPPOE报文;
A.PADI报文 (答案)
B.PADO报文 (答案)
C.PADR报文 (答案)
D.PADR报文 (答案)
(多选题) 以下属于广域网数据链路层的协议为?
A.PPPoE (答案)
B.IEEE802.3
C.HDLC (答案)
D.PPP (答案)
(多选题) 某个ACL规则如下:则下列哪些IP地址可以被permit规则匹配?
rule 5 permit ip source 10.0.1.0 0.0.254.255
A.10.0.4.5
B.10.0.3.4 (答案)
C.10.0.1.2
D.10.0.2.3 (答案)
(多选题) PPP协议由以下哪些协议组成?
A.认证协议 (答案)
B.NCP (答案)
C.LCP (答案)
D.PPPOE
(多选题) AAA包含下列哪一项?
A.Accounting(计费) (答案)
B.Authorization (授权) (答案)
C.Audit(审计)
D.Authentication (认证) (答案)
注意:AAA是验证、授权和记账(Authentication、Authorization、Accounting )
(多选题) 基于ACL规则,ACL可以划分为以下哪些类;
A.二层ACL (答案)
B.用户自定义ACL (正确答案)
C.高级ACL (答案)
D.基本ACL (答案)
(单选题)高级ACL的编号范围是;
A.6000~6999
B.4000~4999
C.3000-3999 (答案)
D.2000-2999
(单选题) LCP协商使用以下哪个参数检测链路环路和其它异常情况?
A.CHAP
B.MRU
C.PAP
D.魔术字 (答案)
(单选题) PPPOE会话建立和终结过程中不包含以下哪个阶段;
A.发现阶段
B.会话阶段
C.数据转发阶段 (答案)
D.会话终结阶段
(单选题) 当ACL规则配置为rule permit 8021p 7,那么该属于哪种类型的ACL。
A.二层ACL (答案)
B.基本ACL
C.高级ACL
D.中级ACL
(单选题) 下面选项中,能使一台IP地址为10.0.0.1的主机访问Internet的必要技术是().
A.动态路由
B.NAT (答案)
C.路由引入
D.静态路由
(单选题) PPP协议建立链接是在哪个阶段。
A.Establish
B.Authenticate
C.Network-Layer Protocol (答案)
D.Link Terminate
(单选题) PPP协议LCP协商阶段,如果完全接受对方发送的参数,则发送以下哪个据文.
A.Configure-Reject
B.Configure-Ack (答案)
C.Configure-Request
D.Configure-Nak
(单选题) 二层ACL的编号范围是。
A.4000~4999 (答案)
B.6000~6999
C.2000-2999
D.3000-3999
(单选题) 如果在PPP认证的过程中,被认证者发送了错误的用户名和密码给认证者,认证者将会发送哪种类型的报文给被认证者;
A.Authenticate-Reject
B.Authenticate-Ack
C.Authenticate-Nak (答案)
D.Authenticate-Reply
(单选题)一个公司有50个私有IP地址,管理员使用NAT技术将公司网络接入公网,但是该公司仅有一个公网地址,则下列哪种NAT转换方式符合需求。
A.静态转换
B.动态转换
C.NAPT
D.easy-ip (答案)
(单选题) 如果ACL规则中最大的编号为12,缺省情况下,用户配置新规则时未指定编号,则系统为新规则分配的编号为;
A.14
B.16
C.15 (答案)
D.13
(单选题) PPP链路建立过程中由Dead阶段可以直接转化为哪个阶段;
A.Authenticate
B.Terminate
C.Establish (答案)
D.Network
(单选题)AR G3系列路由器上ACL缺省步长为;
A.15
B.10
C.5 (答案)
D.20
(单选题)AAA不包含下列哪一项;
A.Accounting(计费)
B.Authorization(授权)
C.Audit(审计) (答案)
D.Authentication (认证)
(单选题) PPP协议定义的是OSI参考模型中哪个层次的封装格式
A.网络层
B.数据链路层 (答案)
C.表示层
D.应用层
37-42课
(判断题 ) AP所属的VLAN叫做管理VLAN,STA所属的VLAN叫做业务VLAN。
正确 (答案)
错误
(判断题 ) 广播发现AC的方式,无论二层组网还是三层组网都可以使用.
正确
错误 (答案)
(判断题) WLAN使用的频段属于ISM频段,ISM频段属于全球公认的工业、科学和医学频段,各个国家和地区需使用一致的ISM频段.
正确
错误 (答案)
(判断题) 802.11 ac中,在20MHz的信道频宽时,OFDM技术可以将信道划分为52个子信道,所以当使用信道绑定技术时,在40MHz频宽时,将有104个子信道可用.
正确
错误 (答案)
(判断题) WLAN技术是通过无线电磁波在空间中传输信息的,使用的频段是2.4GHz频段和5GHz频段,5CHz频段的WLAN技术就是闻名于世的5G(5th-Generation)技术,
正确 (答案)
错误
(判断题) SSID隐藏,可将无线网络的逻辑名隐藏起来。
正确 (答案)
错误
(判断题) 一个AP可以发送多个SSID射频信息。
正确 (答案)
错误
(判断题) 黑名单中的用户能通过
正确
错误 (答案)
(判断题) 控制消息一定需要用capwap隧道封装,数据消息则不一定。
正确
错误 (答案)
(判断题) 默认情况下,radio 0代表2.4G射频信号,radio 1或者2代表5G射频信号。
正确 (答案)
错误
::频 radio 0代表2.4G,radio 1代表5G,有些三射频AP里的radio 2代表第2个5G。radio 3是预留的,暂时没有AP有四个射频功能。
(判断题) BSS Color着色机制为Wi-Fi6技术,如果来自两个BSS的数据颜色不同,则认为两者之间无干扰,两个WiFi设备可同信道同频并行传输。
正确 (答案)
错误
(多选题) 以下选项中,哪些行为可能会对WLAN网络造成干扰?
A.在AP旁边新部署一个信道相同的AP (答案)
B.在AP附近使用手机拨打电话。 (答案)
C.在AP附近使用微波炉加热食物 (答案)
D.在AP附近使用蓝牙功能传输文件 (答案)
WLAN有哪些干扰源--
WLAN 工作频段包括2.4GHz 和5GHz。
2.4GHz ISM(Industry Science Medicine)是全世界公开通用使用的无线频段,开发的产品具有全球通用性,各种无线产品均可使用此频段,微波炉、无绳电话、蓝牙设备等均会对WLAN 网络产生频率干扰。
其中对WLAN 干扰最为严重的设备是2.4GHz 的无绳电话,其次为3 米内的微波炉,再次是蓝牙设备如笔记本和PDA。相对 2.4GHz 频段,5GHz 频段干扰较少,目前使用此频段的设备主要为雷达、无线传感器、数字卫星、无线ATM、软件无线电等。
5G干扰源比较少,有条件时,建议尽量使用5G频段。
(多选题) 业务数据的转发模式有哪些;
A.本地转发 (答案)
B.隧道转发 (答案)
C.直接转发 (答案)
D.集中转发 (答案)
(多选题)CAPWAP隧道建立成功后,会周期发送保活消息,保活消息有哪些?
A.keepalive (答案)
B.echo request (答案)
C.echo response (答案)
D.hello
(多选题)WLAN业务配置的时候,我们需要配置的内容有哪些;
A.SSID (答案)
B.安全策略 (答案)
C.数据转发模式 (答案)
D.业务VLAN (答案)
(多选题) 关于旁挂式组网的描述,以下哪些是正确的?
A.采用直接转发的业务流量一定会经过AC (答案)
B.旁挂式组网属于现网叠加方式,对现网改造少 (答案)
C.不管是隧道转发还是直接转发,AP的管理流量都会经过AC
D.采用隧道转发的业务流量一定会经过AC (答案)
(多选题)给AP部署DHCP server时,可以把DHCP server放到什么位;
AC (答案)
汇聚交换机 (答案)
核心交换机 (答案)
路由器 (答案)
(多选题) AP发现AC的方式有哪些;
静态 (答案)
DHCP (答案)
DNS (答案)
广播发现 (答案)
(多选题) 给STA部署DHCP server时,可以把DHCP server放到什么位置;
A.AC (答案)
B.汇聚交换机 (答案)
C.核心交换机 (答案)
D.路由器 (答案)
(单选题) 关于旁挂式组网的描述,以下哪个是错误的。
A.采用直接转发的业务流量—定会经过AC
B.旁挂式组网属于现网叠加方式,对现网改造
C.不管是隧道转发还是直接转发,AP的管理流量都会经过AC (答案)
D.采用隧道转发的业务流量一定会经过AC
(单选题) 在无线局域网中,AP的作用是。
A.无线接入 (答案)
B.用户认证
C.路由选择
D.业务管理
(单选题) capwap隧道保活消息默认多久发送一次?
A.10S
B.20S
C.30S
D.25S (答案)
(单选题) 下列命令中()可以查看当前版本信息?
A.display interface
B.display current-configuration
C.display ap all
D.display version (答案)
(单选题) 2.4G频段的工作频率范围是,
A.2.4-2.48
B.2.4-2.4835 (答案)
C.2.42-2.45
D.2.42-2.4835
(单选题) 中国室内WLAN中5G频段的总共能用多少个信道;
A.10
B.12
C.13 (答案)
D.14
(单选题) 2.4G频段按照20MHz划分,哪些信道为非重叠信道,
A.1、5、9、12
B.1、5、9、13 (答案)
C.1、6、9、12
D.1、6、9、11
(单选题) 关于AC+FIT AP的组网架构,以下描述哪个是错误的,
A.AP正常情况下不单独工作,需要由AC集中代理维护管理
B.必须通过网管系统实现对AP和用户的管理 (答案)
C.AP零配置部署,适合大规模组网
D.可以通过AC增强业务QoS、安全等功能
(单选题)capwap隧道封装数据消息时UDP端口号为,
A,5247 (答案)
B.5246
C.5245
D.5248
(单选题) 以下选项中,()不是漫游的主要目的?
A.避免漫游过程中的认证时间过长导致丢包甚至业务中断
B.保证用户授权信息不变
C.保证用户IP 地址不变
D.保证用户网络速率不变 (答案)
(单选题) 什么叫SSID。
A.服务集标识符 (答案)
B.基本服务区域
C.基本服务集
D.扩展服务集
(单选题) 无线客户端主动扫描是通过发送什么帧获取到周围的无线网络信息的.
A.Beacon 帧
B.Probe request 帧 (答案)
C.authentication request帧
D.association request 帧
(单选题) 无线局域网(WLAN)标准 IEEE802.11g 规定的最大数据速率是?
A.1Mb/s
B.11Mb/s
C.5Mb/s
D.54Mb/s (答案)
(单选题) 2.4G频段的总共划分多少个信道?
A.10
B.12
C.13 (答案)
D.14
(单选题) 2.4GHz频段的各信道的中心频率之间的距离多大( );
A.20MHz
B.22MHz (答案)
C.5MHz
D.10MHz
43-56课
(判断题) VRRP报文不支持认证.
正确
错误 答案
(判断题) VRRP的报文的组播目的地址是224.0.0.18.
正确 答案
错误
(判断题) BFD可以实现毫秒(ms)级的状态检测。
正确 答案
错误
(判断题) 当载荷为ICMPv6报文时,若不考虑存在拓展头部,则IPv6头部中的Next Header字段的数值为。
正确 ??
错误
(判断题)路由器在转发IPv6报文时,需要根据IP6报文的源IP地址查找路由表.
正确
错误 答案
(判断题)状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话,并且由防火墙安全策略决定建立哪些会话,而且数据包只有与会话相关联时才会被传发。
正确
错误 答案
(判断题)组播地址FF02::2表示链路本地范围的所有路由器。
正确 答案
错误
(判断题)为了加快IS-IS网络中线路故障的感知速度,可以将IS-1S网络与BFD联动。
正确 答案
错误
(判断题)以太网中部署端口隔离技术可以实现二层互通三层隔离,使组网更加灵活.
正确
错误 答案
(判断题)被请求节点组播地址由前缀FF02::1:FF00:0/104和单播地址的最后24位组成。
正确 答案
错误
[https://forum.huawei.com/enterprise/zh/thread/580939148829802497]
(判断题)IPv6地址2001:ABEF:224E:FFE2:BCCO:CD00:DDBE:8D58不能简写。
正确 答案
错误
(多选题)在防火墙域间安全策略中,请间以下哪些数据流是出方向的?
A.从信任区域到DMZ区域的数据流。 答案
B.从信任区域到本地区域的数据流。
C.从信任区域到不信任区域的数据流。 答案
D.从信任区域到本地区域的数据流。
(多选题)防火墙默认已经创建了一些安全区域,以下哪个安全区域是防火墙上默认存在的;
A.DMZ 答案
B.Trust 答案
C.Local 答案
D.Untrust 答案
[https://forum.huawei.com/enterprise/zh/thread/580934475309793280]
(多选题)关于DHCP Snooping说法正确的是?
A.全局使能DHCP Snooping功能,不带任何后置参数的情况下设备默认只处理DHCPv4报文
B.DHCP Snooping可以通过设置信任端C防止非法攻击(默认所有接口为非信任接口) 答案
C.在VLAN视图下使能DHCP Snooping功能,则对设备所有接口收到的属于该VLAN的DHCP报文命令功能生效 答案
D.在接口视图下使能DHCP Snooping功能,则对该接口下的所有DHCP报文命令功能生效0 答案
(多选题) VRRP可以同哪些机制结合来监视上行链路的连通性;
A.接口track 答案
B.BFD 答案
C.NQA 答案
D.IP-link 答案
(多选题) BFD检测可以同哪些协议模块联动;
A.VRRP 答案
B.OSPF 答案
C.BGP 答案
D.静态路由 答案
(多选题)下列哪些IPv6地址的Solicited-node组播地址为FF02:1:FFAB:FECA?
A.2020::FFBA:FECA
B.2030::BBAB:FECA 答案
C.2020::EEAB:FECA 答案
D.2020::FFAB:FECA
(多选题)关于VRRP backup设备的描述,正确的是?
A.当backup收到Master发送的VRRP报文时,可判断Master的状态是否正常
B.当收到优先级为O的VRRP报文时,backup会直接切换到Master
C.backup会响应目的IP地址为虚拟IP地址的IP报文
D.backup会丢弃目的MAC为虚拟MAC地址的IP报文
(ABD)
(多选题) IPv6地址有哪些?
单播 答案
广播
组播
任播 答案
(单选题) DHCP服务器用来响应DHCP DISCOVER报文,此报文携带了各种配置信息的报文是。
A.DHCP OFFER 答案
B.DHCP RELEASE
C.DHCP NAK
D.DHCP ACK
(单选题)下面哪一项是VRRP手动设置优先级的范围;
A.1~127
B.1~254 答案
C.0~127
D.0~254
(单选题) 在解决VRRP备份组主故障时,以下哪一项是错误的,
A.需要检查接口.上的VRRP组ID是否相同
B.不需要检查传送VRRP通知报文的端口,是否在同一个VLAN 答案
C.需要检查接口IP地址是否在同一网段
D.需要检查VRRP组的虚拟IP地址是否相同
(单选题) 客户端要释放地址时用来通知服务器的报文是,
A.DHCP NAK
B.DHCP RELEASE 答案
C.DHCP ACK
D.DHCP DISCOVER
(单选题) 服务器对REQUEST报文的拒绝响应的报文是?
A.DHCP RELEASE
B.DHCP ACK
C.DHCP DISCOVER
D.DHCP NAK 答案
(单选题) IPv6地址2019::8:AB对应的Solicited-node组播地址为。
A.FF02::1:FFO8:AB
B.FF02::1:FF20:19
C.FF02::1:FEO8:AB 答案
D.FF02::FFO8:AB
(单选题)不属于DHCP报文发送采用的形式的是,
单播
组播 答案
广播
广播和单播
(单选题) 不属于DHCP的三个角色的是,
A.DHCP Client
B.DHCP Ack 答案
C.DHCP Relay
D.DHCP Server
(单选题) IPv6地址3001:0DB8:0000:0000:0346:ABCD:42BC:8D58的最简形式为;
A.3001:0DB8::0000:0346:ABCD:42BC:8D
B.3001:DB8::346:ABCD:42BC:8D58 答案
C.3001:DB8::0346:ABCD:42BC:8D58
D.3001:0DB8::0346:ABCD:42BC:8D58
(单选题)客户端用来寻找DHCP服务器的报文是;
A.DHCP OFFER
B.DHCP NAK
C.DHCP DISCOVER 答案
D.DHCP REQUEST
(单选题) 服务器对REQUEST报文的确认响应的报文是。
A.DHCP ACK 答案
B.DHCP DISCOVER
C.DHCP RELEASE
D.DHCP NAK
(单选题)如果一个接口的MAC地址为00EO-FFFE-OFEC,则其对应的EUI-64地址为.
A.02EO-FCFF-FEEF-OFEC 答案
B.00EO-FCEF-FFFE-OFEC
C.00EO-FCFF-FFFE-OFEC
D.00EO-FCFF-FEEF-OFEC
IPv6组播地址标志字段(Flag)取值为以下哪个时表示该组播地址是一个临时组播地址? [单选题] *
0
1(答案)
2
3
(单选题) 3001:1这是一个什么地址,
A.唯一本地地址
B.全球单播地址 答案
C.公网地址
D.链路本地地址
IPv6组播地址标志字段(Flag)取值为以下哪个时表示该组播地址是一个永久组播地址? [单选题] *
0(答案)
1
2
3
4
https://so.kaoshibao.com/search/question
57-xx课
(判断题)对于到达同一个目的网络的多条路径,路由器需要通过比较Cost值的大小进行选择,如果Cost取值相同,则依据Preference值的大小进行选择.
正确
错误
(判断题) NSSA区域和stub区域一样,都可以引入外部路由.
正确
错误
(判断题)stub区域里没有5类LSA,所以访问其它区域时,依靠默认的3类LSA。
正确
错误
(判断题) totally stub和totally nssa区域一样,没有任何一条3类LSA.
正确
错误
(判断题)如果网络管理员没有配置骨干区域,则路由器会自动创建骨干区域.
正确
错误
(判断题)区域间可以正常的传递路由信息和拓扑信息.
正确
错误
(判断题) 路由器产生LSA后,用LSU报文携带传递给邻居。
正确
错误
(判断题)1类LSA叫做router LSA,每个OSPF设备都会产生,用于描述自己的路由和拓扑信息。
正确
错误
(判断题) 启用OSPF的三层设备都会产生LSA来描述自己的状态信息,即可包含路由和拓扑信息。
正确
错误
(判断题) 运行OSPF协议的路由器在完成LSDB同步后才能达到FULL状态。
正确
错误
(判断题) OSPF邻居之间交互报文时,其报文是封装在IP里面的,协议号为89。
正确
错误
(多选题) 关于OSPF中的DD报文和LSA描述正确的是()?
A.LSA的头部可以唯一标识一个LSA 答案
B.DD报文中仅包含LSA的头部信息 答案
C.DD报文中包含LSA的详细信息
D.LSA头部只是LSA的一小部分 答案
(多选题)什么场景需要使用虚链路?
A.存在多个区域0
B.普通区域没有连接骨干区 答案
C.多个区域,但没有骨干区域 答案
D.一个区域,但没有骨干区域
(多选题) 在一个OSPF路由器设备上,引入路由,其角色会变为ASBR,其可能会产生()类LSA?
A.5 答案
B.7 答案
C.4
D.3
(多选题) OSPF协议存在的目的是为了()?
A.传递路由信息 答案
B.让设备能学习到非直连网段的路由 答案
C.学习MAC地址
D.学习ARP表
(多选题) OSPF支持的网络类型有();
broadcast 答案
P2P 答案
P2MP 答案
NBMA 答案
(多选题) Hello报文的发送间隔是()?
10S 答案
30S 答案
40S
120S
(多选题) OSPF路由协议优先级默认为()?
A.0
B.10 答案
C.60
D.150 答案
(多选题) 路由表的生成方式有();
A.直连自动生成 答案
B.静态 答案
C.RIP协议 答案
D.OSPF协议 答案
(单选题) 管理员发现两台路由器在建立OSPF邻居时,停留在TWO-WAY状态,则下面描述正确的是().
A.路由器配置了相同的区域ID
B.这两台路由器是广播型网络中的DR Other路由器 答案
C.路由器配置了错误的Router ID
D.路由器配置了相同的进程ID
(单选题) OSPF协议封装在以下哪种数据包内。
A.IP
B.HTTP
C.UDP
D.TCP
(单选题) OSPF协议在哪种状态下确定DD报文的主从关系;
A.2-way
B.Exchange
C.ExStart
D.Full
(单选题) 两台路由器通过PPP链路互连,管理员在两台路由器上配置了OSPF,且运行在同一个区域中,如果它们的Router ID相同,则下面描述正确的()?
A.两台路由器将会建立正常的完全邻居关系
B.两台路由器将不会互相发送hello信息
C.两台路由器将会建立正常的完全邻接关系
D.VRP会提示两台路由器的Router ID冲突
(单选题) 关于OSPF骨干区域说法正确的是。
A.Area0是骨干区域
B.所有区域都可以是骨干区域
C.当运行OSPF协议的路由器数量超过2台以上时必须部署骨干区域
D.骨干区域所有路由器都是ABR
(单选题) OSPF协议存在以下哪种特点;
A.易产生路由环路
B.以跳数计算最短路径
C.支持区域的划分
D.可扩展性差
(单选题) OSPF协议用哪种报文来描述自己的LSDB;
A.LSR
B.HELLO
C.DD
D.LSU
(单选题)下列路由协议中优先级最高的是。
A.Direct
B.RIP
C.OSPF
D.Static
(单选题) 高级ACL的编号范围是;
A.6000~6999
B.4000~4999
C.3000-3999
D.2000-2999
(单选题) 下列哪个OSPF协议的报文可以确保LSA更新的可靠性。
A.LSACK
B.LSR
C.DD
D.LSU
(单选题) 1类和2类LSA的传播范围是();
A.本链路
B.本广播域
C.区域内
D.所有区域
(单选题) 2类LSA由()产生,其作用用于描述MA网络的链路状态信息。
A.DR
B.每个路由器
C.BDR
D.ABR
(单选题) 1类LSA的LSID是()。
A.自己的route ID
B.自己的接口IP
C.邻居的route ID
D.邻居的接口IP
(单选题)用于真正携带OSPF的数据库信息的是()报文;
A.LSAck
B.LSR
C.LSU
D.DBD
(单选题) 三层设备收到数据包时依据()转发报文;
A.ARP表
B.MAC地址表
C.IP路由表
D.不会转发,直接丢弃
