[個人筆記]HCIP-Routing & Switching-IENP/H12-222
MPLS
ISO位於二層和三冊之間,可認定為是2.5層
VPN/虛擬私有網路的分類:
- 傳統的VPN:
- PPPoE
- PPTP
- L2TP
- 站點之間的基於網際網路的IPSec
- MPLS VPN
傳統IP的缺陷
- 路由器逐跳轉發,最長匹配查詢
- 傳統IP流量工程切換,備份,轉發的問題
術語定義
-
LER/Label Edge Router:處於MPLS域邊緣的路由器,用於打標籤和刪除標籤
-
LSR/Label Switch Router:處於MPLS域內,用於標籤交換的路由器
-
LSP/Label Switch Path: MPLS生成的路徑,是單向的
-
LDP/Label Distribution Protocol/標籤分發協議: MPLS 體系中的一種主要協議。在 MPLS 網路中,兩個標籤交換路由器(LSR)必須用在它們之間或通過它們轉發流量的標籤上達成一致。[用UDP去發現鄰居,TCP去建立鄰居,目的埠號都為646]
-
ISP/Internet Service Provider/網際網路服務提供商:指的是面向公眾提供下列資訊服務的經營者:
- 一是接入服務,即幫助使用者接入Internet
- 二是導航服務,即幫助使用者在Internet上找到所需要的資訊
- 三是資訊服務,即建立資料服務系統,收集、加工、儲存資訊,定期維護更新,並通過網路向使用者提供資訊內容服務。
-
PE/Provider Edge:服務提供商骨幹網的邊緣路由器,它相當於標籤邊緣路由器(LER)。
-
CE/Customer Edge/使用者邊緣裝置:是服務提供商所連線的使用者端路由器。CE路由器通過連線一個或多個PE路由器,為使用者提供服務接入。CE路由器通常是一臺IP路由器,它與連線的PE路由器建立鄰接關係。
-
P/Provider
標籤的空間範圍
- 0-15:特殊標籤
- 16-1023:靜態LSP和靜態CR-LSP/Constraint-based Router Label Switch Path的共享的標籤空間
- 1024即以上:LSP,RSVP-TE,MP-BGP等動態信令協議的標籤空間
MPLS 結構
-
控制平面:負責產生和維護路由資訊以及標籤資訊
- 路由資訊表/RIB/Routing Information Base:由IP路由協議(IP Routing Protocol)生成,用於選擇路由
- 標籤分發協議/LDP/Label Distribution Protocol:負責標籤的分配、標籤轉發資訊表的建立、標籤交換路徑的建立、拆除等工作
- 標籤資訊表/LIB/Label Information Base:由標籤分發協議生成,用於管理標籤資訊
-
轉發平面:即資料平面(Data Plane),負責普通IP報文的轉發以及帶MPLS標籤報文的轉發
- 轉發資訊表/FIB/Forwarding Information Base:從RIB提取必要的路由資訊生成,負責普通IP報文的轉發
- 標籤轉發資訊表/LFIB/Label Forwarding Information Base:簡稱標籤轉發表,由標籤分發協議在LSR上建立LFIB,負責帶MPLS標籤報文的轉發
MPLS幀模式封裝
MPLS Header包含(總長度4byte):
- 標籤長度20bit
- EXP/Expermental Use:3 bit,用於QoS
- S/Bottom Of Stack:1 bit,用於區分標籤巢狀的結束
- TTL: 8bit,防止環路和資料無限轉發
MPLS環路檢測
- IGP的環路檢測機制
- TTL環路檢測
- 幀模式的MPLS中使用TTL
- 信源模式的MPLS中不使用TTL
- LDP環路檢測機制
- 距離向量法
- 最大跳數法
基本MPLS配置
- 必須有IGP或靜態路由
- mpls lsr-id x.x.x.x–配置標籤交換路由器的ID,該地址必須在全域性路由可達,否則無法發現、建立鄰居或鄰居不穩定
- mpls–全域性開啟mpls
- mpls ldp–全域性開啟mpls的ldp/標籤分發協議
- 介面上配置:mpls和mpls ldp
- tracert lsp ip 44.1.1.1 32----用該命令測試LDP的配置
MPLS標籤的轉發/標籤的行為
- PUSH Label:存在於入口的PE;會根據FEC/轉發等價類(一般意義上是一個字首)壓入一個標籤
- SWAP:存在於P;進行標籤的交換
- POP:移除/彈出一層標籤
MPLS 對TTL的處理/TTL的繁衍
- 在進入MPLS域內的時候複製IP的TTL,即既有IP的TTL又有MPLS的TTL
- 在MPLS域內只對MPLS 的TTL進行計算
- 出MPLS域的時候,將MPLS的TTL複製到IP的TTL,並刪除MPLS的TTL
- 有時候需要關閉MPLS的TTL複製功能,如不希望邊緣使用者/CE知道PE內的具體資訊
- 建議在配置MPLS的時候也配置關閉TTL
- 命令:在mpls檢視下配置undo ppl propagate public
LDP
用來在LSR之間建立LDP Session 並交換Label/FEC對映資訊的協議
用UDP去發現鄰居,TCP去建立鄰居,目的埠號都為646
LDP發現機制–hello
- 基本發現機制:發現直接連線在同一鏈路上的LSR鄰居,目的地址224.0.0.2(224網段的組播地址的TTL值都為1)
- 擴充套件發現機制:發現非直連的LSR鄰居,單播形式
LDP Session建立和維護----Initiation+KeepAlive
LDP的鄰居狀態:
基於平臺的標籤空間:
- 如LDP ID 的11.1.1.1:0中的:0代表基於平臺
- 對一個字首向所有的鄰居傳送相同的標籤
- 兩個裝置之間有多個執行LDP的鏈路,但是會話依舊只有一個
- 只有出介面沒有入介面
LDP的標籤釋出方式/Label Advertisement Mode:
- 下游自主方式/DU/Downstream Unsolicited:預設情況下的標籤分發方式,對於一個特定的FEC,LSR無需從上游獲得標籤請求訊息即進行標籤分配與分發;華為裝置預設情況下只針對32位的路由來分發標籤(因此在配置介面IP時應該配置成32位的字尾)(思科裝置是對所有的靜態和igp路由分發標籤);下游分配的標籤供上游使用的
- 下游按需方式/DoD/Downstream on Demand:需要上游請求,下游裝置才會進行標籤的分配與分發
LDP的標籤分配方式/Label Distribution Control Mode:
- 定義:在LSP的建立過程中,LSR分配標籤時採用的處理方式。
- Independent/獨立標籤分配控制方式:本地LSR可以自主地分配一個標籤繫結到某個FEC,並通告上游LSR,而無需等待下游的標籤
- Ordered/有序標籤分配控制方式:預設的標籤分配方式,對於LSR上某個FEC的標籤對映,只有當該LSR已經具有此FEC下一跳的標籤對映訊息、或者該LSR就是此FEC的出節點時,該LSR才可以向上遊傳送此FEC的標籤對映
LDP標籤的保持方式/Label Retention Mode:
- 定義:對LSR收到的、但目前暫時不需要的標籤對映的處理方式
- Conservative/保守:對於從鄰居LSR收到的標籤對映,只有當鄰居LSR是自己的下一跳才保留
- Liberal/自由標籤保持方式:預設的方式;對於從鄰居LSR收到的標籤對映,無論鄰居LSR是不是自己的下一跳都保留,可以更快速地切換
LDP的一些調整:
- local:預設的用mpls lsr-id 的地址來建立鄰居
- 用直連線口來作為transport地址:介面檢視下配置 mpls ldp transport-address interface
- 建立遠端LDP會話:
- mpls ldp remote-peer name
- remote-ip x.x.x.x
- 需要兩端對指
PHP/次末跳彈出:
-
原本在MPLS的最後一跳需要查詢FIB和LFIB,而MPLS域內PE又多,會造成效率低,因此有了PHP
-
PHP:在倒數第二跳收到了來自末跳裝置的特殊標籤(3,即隱式空標籤,預設行為;0,即顯示空標籤~用於QoS)
- 顯示空標籤配置:mpls下配置label advertise explicit-null
- 隱式空標籤配置:mpls下配置label advertise implicit-null
-
嚴格意義上不是隻有最後一跳才做,任何裝置都會做
LDP與IGP同步:
- 產生背景:由於LDP的收斂速度依賴於IGP路由的收斂,即LDP的收斂速度比IGP的收斂速度慢,因此可能導致:
- 當主鏈路發生故障時,IGP路由和LSP均切換到備份鏈路上。但當主鏈路從故障中恢復時,由於LDP的收斂速度低於IGP,IGP會先切換回主鏈路,因此會造成LSP流量損失
- 當主鏈路IGP正常但主鏈路的LDP會話發生故障時,由於IGP仍在使用主鏈路而備份鏈路不存在IGP,導致LSP鏈路無法建立,造成LSP流量丟失
- 當某節點發生主備倒置時,LDP會話的建立可能晚於IGP的GR/Graceful Restart結束,從而釋出鏈路的最大開銷值,造成路由震盪
- 三個定時器:
- Hold-down timer:用於抑制IGP鄰居建立的時長
- Hold-max-cost timer:用於控制通告介面鏈路的最大cost值的時長
- Delay timer:用於控制等待LSP建立的時間
靜態LSP
-
產生背景:LDP是動態方式通告標籤,一般情況下都使用LDP建立LSP,但若LDP協議出現問題,可能導致MPLS流量的丟失,因此對於某些關鍵資料或重要業務,通過配置靜態LSP來確定傳輸路徑
-
特點:靜態LSP需要通過手工配置來實現,不需要互動控制報文,資源消耗比較小,但通過靜態方式建立的LSP不能根據網路topo變化動態調整,需要管理員預干涉,所以適用於topo簡單且穩定的網路
-
配置原則:
- 上一節點的出標籤等於下一節點的入標籤
- 範圍是16~1023
- 需要在Ingress/入口PE、Transit/傳輸P裝置和Egress/出口PE上配置(因為LSP是單向的而資料包有來有回,因此在每個需要配置的裝置上都需要配置雙向)
-
基本配置程式碼:
-
Ingress/入口PE的配置:
- system-view檢視下:
- static-lsp ingress name destination IP-address mask nexthop IP-address out-label number
-
Transit/傳輸P裝置的配置
- system-view檢視下:
- static-lsp transit name incoming-interface g0/0/1 in-label number1 nexthop IP-address out-balel number2
-
Egress/出口PE的配置:
- system-view檢視下:
- static-lsp egress 14 incoming-interface g0/0/2 in-label number
▲因為LSP是單向的,所以不要忘記建立雙向的LSP
-
MPLS VPN
典型的具有兩層標籤:
- 其中外層標籤/公網標籤是LDP分發的
- 內層標籤/VPN的標籤/私網標籤是MP-BGP協議(VPNV4)來自動分發的(每個VPNV4分配一條標籤,僅出口PE瞭解內層標籤,中間裝置不關心內層標籤)。
VRF/Virtual Route Forwarding/虛擬路由器轉發:相當於把一個路由器劃分成多個子虛擬路由器,不同的虛擬子路由器之間相互隔離(VRP,FIB等都隔離)
-
VPNv4的路由:96位的=64位的RD+32位的IP
-
關鍵引數:
- RD/route-distinguisher/路由區分符:64位長,必須擁有,建議RD是惟一的;目的是解決在PE和PE之間更新VPNv4路由的時候解決潛在的路由重疊問題
-
RT/route-target/路由目標:用來控制收發VPNv4的路由
-
通常只在PE上配置
VPN例項/VPN Instance:即VPN路由轉發表/VRF
- 不同的VPN之間的路由表通過VRF實現
- PE上存在多個路由轉發表,包括一個公網/全域性路由轉發表,以及一個或多個VPN路由轉發表
- 一個VPN例項/Site可以擁有多個介面,但一個介面只能屬於一個VPN例項
MP-BGP:
- 多個PE之間需要全互聯或者需要有RR
- 採用不同的地址族來區分不同的網路層協議,以便正確處理VPN-IPv4路由
- IPv4的單播
- IPv4的VPNv4地址族
- IPv4的vpn-instance的地址族
- …
- 在PE裝置間更新什麼內容:
- 96位的VPNv4
- 對應的內層標籤
- 其他屬性(metric,ext-community等)
- PE和CE的互動:
- PE必會執行MP-BGP
- 如果客戶端是IDG協議則需要雙向重分佈
- 如果客戶端是靜態路由,需要手工書寫靜態路由指向客戶站點,然後重發布到BGP的vpn例項中
- 如果客戶也是BGP協議,需要在BGP的vpn例項中啟用鄰居
基本配置–PE端:
- 1.配置SP內的IGP(OSPF,ISIS等),以確定路由可達
- 2.配置LDP(具體命令見上),以為BGP配置更新源,確保外層的LSP是連續的
- 3.ip vpn-instance Name —為每個客戶配置vpn例項
- router-distinguisher 100:1 --配置RD
- vpn-target 100:14 export-extcommunity —配置RT的出方向
- vpn-target 100:14 import-extcommunity —配置RT的入方向
- 4.isis 1 vpn-instance Name --配置與CE相關的IGP,此處注意要繫結vpn例項,否則該ISIS為全域性協議
- is-level level-2
- cost-style wide
- network-entity 49.2525.0000.0000.0001.00
- import-route bgp —bgp重分佈到isis
- 5.int g0/0/1 —使用者祥光的介面繫結vpn例項
- ip binding vpn-instance Name —在介面上繫結VPN例項
- ip add 15.1.1.1 24 --配置IP地址,此時的IP地址不是全域性範圍的單播地址(若在繫結vpn例項之前配置了IP地址,可能會被刪除)
- isis enable —需要先繫結vpn例項後再繫結isis,否則會報錯
- 6.bgp 100 ----配置mp-bgp
- peer 11.1.1.1 as-number 100
- peer 11.1.1.1 connect-interface loopback0
- ipv4-family unicast
- undo synchronization
- undo peer 11.1.1.1 enable --關閉預設的單播鄰居,該裝置不需要承載預設的IPv4單播路由
- ipv4-family vpnv4
- policy-target —對收到的VPN路由或者標籤進行VPN-Target過濾,是系統的預設命令
- peer 11.1.1.1 enable --配置使能vpnv4鄰居
- ipv4-family vpn-instance Name
- network 15.1.1.0 24 --宣告網段
- import-route isis 1 —isis重分佈到bgp
- 7.測試
- ping -vpn-instance Name 15.1.1.5 ----若要ping測試,需要加“-vpn-instance”內容
- tracert lsp ip 44.1.1.1 32----用該命令測試LDP的配置
- display bgp vpnv4 vpn-instance Name routing-table
- display ip routing-table vpn-instance Name
MPLS VPN和OSPF:
- 存在的問題:在MPLS VPN的場景下的OSPF,改變了框架,PE裝置成為ABR。MPLS區域被認為是超級區域0,所以得到了區域間的路由/inter-area[會造成問題,如若兩個CE之間存在直連的低速備份鏈路,那麼路由就不會走MPLS域而是走直連的備份鏈路]
- 解決方法:還原MPLS環境下的OSPF的LSA的技術:sham-link
- 在PE裝置上執行
- 1.int loop 10 —新建一個虛擬介面
- ip binding vpn-instance Name --繫結vpn例項
- ip address 10.10.10.10 32 --必須是32位的
- 2.bgp 100
- ipv4-family vpn-instance Name
- network 10.10.10.10 32 --宣告loop 10
- ipv4-family vpn-instance Name
- 3.ospf 1 —在ospf中建立sham-link.預設的cost為1,不要沒事幹修改cost否則可能被備份低速鏈路搶先
- area 0
- shame link 10.10.10.10 destin-ip/40.40.40.40
- area 0
MPLS VPN和BGP:
- 問題:因為同一個CE/vpn例項若執行的是BGP協議,那麼他們的AS號就會配置成相同,在CE1通過MPLS傳遞給CE2的時候,因為AS_Path的放環機制,會丟棄傳遞過來的路由
- 解決方法1:PE裝置改寫AS_Path
- bgp 100
- ipv4-family vpn-instance Name
- peer 15.1.1.5 substitute-as --核心命令,配置CE的AS號為自己的AS號(即若原來是 100 64241該命令後AS會被改為100 100)
- ipv4-family vpn-instance Name
- bgp 100
- 解決方法2:配置SoO/Set of Origin:不常見
QinQ/dot1Q in dot1Q
描述:類似於MPLS VPN(L3 VPN),該為L2 VPN,也存在兩層標籤(私網+公網),封裝雙層VLAN Tag
優點:
- 解決日益緊缺的公網VLAN ID資源問題(原本只有4096個Vlan可供使用,該技術將可使用的Vlan擴充套件到4096*4096個)
- 使用者可以規劃自己的私網VLAN ID
- 提供一種較為簡單的二層VPN解決方法
- 使使用者網路具有較高的獨立性
資料轉發流程:
QinQ的型別:
- 基於埠的QinQ
- 靈活QinQ:相對於基於埠的QinQ,靈活QinQ可以根據如報文的外層Vlan及802.1P來選擇加入或不加入S-Vlan tag,並且S-Vlan tag可配置
基本配置:
- 基於埠的QinQ:
- 在PE的與CE相連線的介面檢視下配置
- port link-type dot1q-tunnel —開啟QinQ
- port default vlan 3 —配置外層tag
- 在PE的與CE相連線的介面檢視下配置
DHCP/Dynamic Host Configuration Protocol
使用了UDP的67和68的埠號
三種地址分配方式:
- 自動分配:DHCP給主機指定一個永久的IP地址
- 手動分配:對某幾臺指定的mac的電腦給他固定的IP地址
- 動態分配:DHCP給主機指定一個有時間限制的IP地址,到時間或主機表明放棄該地址時,這個IP地址可以給其他主機使用
DHCP的報文型別:
- DHCP DISCOVER:客戶端發出廣播來尋找可用的伺服器
- DHCP OFFER:伺服器用於相應DHCP DISCOVER報文,並指定相應的配置引數(可以是廣播報文也可以是單播報文,根據Discovery報文的Flag欄位選擇)(IP,閘道器,租期,DNS等)
- DHCP REQUEST:客戶端傳送給伺服器來請求配置引數或者請求配置確認或續租(有廣播報文,因為DHCP伺服器可能有多個,用以通知某個伺服器同意,其他伺服器拒絕)(也有單播報文,在DHCP續87.5%租期的時候傳送的Request就是單播報文)
- DHCP ACK:伺服器到客戶端,含有配置引數包括IP地址(單播報文)
- DHCP DELINE:當客戶端發現地址已被使用時,用來通知伺服器
- DHCP INFORM:客戶端已有IP地址時用它來向伺服器請求其他的配置引數
- DHCP NAK:由伺服器傳送給客戶端來表明客戶端的地址請求不正確或租賃已過期
- DHCP RELAEASE:客戶端要釋放地址時用來通知伺服器
基本配置—介面:
- 全域性檢視下配置:dhcp enable --使能DHCP
- 進入vlanif檢視:
- ip add 10.1.1.254 24 --配置ip地址,推薦為該網段可用的最大ip地址
- dhcp select interface —配置基於介面的DHCP,還有基於server和relay的
- dhcp server exclude-ip-address 10.1.1.100 10.1.1.152 —配置10.1.1.100~10.1.1.152的地址將不被DHCP分配,該地址可用於重要裝置
- dhcp server lease day 1 hour 10 minute 0 —配置租期為1天10小時0分鐘
- dhcp server dns-list … ----配置DNS列表
- dhcp server domain-name … ----配置域名
- …
- dhcp server static-bind ip-address 10.1.1.11 mac-address 5489-989c-074d —配置靜態繫結,把10.1.1.11的ip地址繫結到mac地址為5489-989c-074d 的主機上[若配置報錯的話,可能需要“reset ip pool interface Name all”命令來清空已經分配的ip地址]
基本配置—全域性
- 系統檢視下:
- dhcp enable --使能dhcp
- ip pool Name
- gatewat-list 10.1.1.254
- network 10.1.1.0 mask 255.255.255.0
- dns-list/domain-name/lease等
- interface Vlanif 10
- ip address 10.1.1.254 255.255.255.0
- dhcp select global —使能DHCP功能,指定DHCP伺服器從全域性地址池分配
基本配置—中繼
- 最重要的是單播路由可達
- 在DHCP伺服器上需要配置全域性的DHCP配置,並配置單播路由可達
- 中繼裝置的配置:
- 全域性檢視下:
- dhcp enable
- [dhcp server group group-name] —配置dhcp組
- [dhcp-server 20.1.1.254 0] —指明DHCP伺服器的地址
- interface vlanif 10
- ip add 10.1.1.254 24
- dhcp select relay —配置中繼模式
- dhcp relay server-ip 20.1.1.254 ----介面繫結伺服器的地址或伺服器組
DHCP中繼:
- 為了更好的網路設計和擴充性
DHCP Snooping
- DHCP snooping是一種DHCP安全特性,通過截獲DHCP Client和DHCP Relay之間的DHCP報文進行分析處理,可以過濾不信任的DHCP報文並建立一個DHCP snooping繫結表
- 繫結表包括mac地址,IP地址,租期時間, VLAN ID,介面資訊
- DHCP snooping通過對這個繫結表的維護,建立一道在DHCP Client和DHCP Server之間的防火牆
- DHCP snooping可以解決裝置應用DHCP 時遭到DHCP Dos攻擊,DHCP Server仿冒攻擊,DHCP 仿冒租賃報文攻擊等問題
- 關鍵技術:
- 信任/非信任埠:一般通向DHCP伺服器(運營商網路內部)的埠設定為信任,其他埠(連線運營商網路外部的埠)都設定為不信任
- 繫結表:建立mac+ip+VLAN+port的繫結關係
- Option82選項:DHCP協議報文的選項部分的一項,用於記錄報文如埠型別,埠號,VLAN資訊及其橋mac資訊,是生成繫結表的重要部分
- 基本配置:
- 一般都在交換機上配置,因為DHCP伺服器一般都是連線交換機的
- dhcp enable —全域性使能dhcp
- dhcp snooping enable —全域性使能dhcp snooping
- dhcp snooping enable vlan 10 —對vlan 10 使能dhcp snooping
- int e0/0/3
- dhcp snooping trusted ----將介面設定為信任介面,一旦在vlan開啟dhcp snooping後,該vlan的所有介面都是非信任介面,如果該介面接受到了dhcp的offer報文就會被過濾掉
埠映象
用途:
- 相當於複製資料包到另外一個埠,以便於映象埠的裝置進行監視等操作
- 用來方便管理員維護檢視網路流量
- 用來配合IDS/Intrusion Detection System/入侵檢測系統、堡壘機等安全裝置使用
配置:
- 全域性檢視下:
- observe-port 1 interface g0/0/2 —將g0/0/2口設定為觀察組1的成員
- int g0/0/1
- port-mirroring to observe-port 1 both/inbound/outbound ----配置該介面的埠映象到觀察組1(both表示進入和出去的流量都進行觀察,inbound和outbound之設定了一個方向)
eSight
軟體特點:
- 輕量級系統,嚮導式安裝;免客戶端,通過瀏覽器隨時地管理網路
- 面向不同客戶提供相應的解決方案
- 多廠商統一管理,採用被廣泛使用的標準網路協議SNMP
- 版本:精簡版、標準版–主流應用、專業版
eSight可管理的裝置:
- 預適配華為H3C、CISCO、中興等廠商的網路裝置,以及IBM、HP、SUN等廠商的IT裝置
- 對於支援標準MIB的第三方裝置,通過自定義設定就能達到與預置的第三方裝置相同的管理能力
- 對於不支援標準MIB的第三方裝置,可通過打網元補丁的方式進行適配
SNMP/Simple Network Management Protocol/簡單網路管理協議:
-
使用UDP的161埠
-
SNMP網路架構由三部分組成:NMS、Agent和MIB
- NMS/Network Management System/網路管理系統:是SNMP網路的管理者,能夠提供友好的人機互動介面,方便網路管理員完成大多數的網路管理工作
- Agent:是SNMP網路的被管理者,負責接收、處理來自NMS的SNMP報文。在某些情況下,如介面狀態發生改變時,Agent也會主動向NMS傳送告警資訊
-
MIB/Management Information Base/管理資訊庫:是被管理物件的集合。NMS管理裝置的時候,通常會關注裝置的一些引數,比如介面狀態、CPU利用率等,這些引數就是被管理物件,在MIB中稱為節點。每個Agent都有自己的MIB。MIB定義了節點之間的層次關係以及物件的一系列屬性,比如物件的名稱、訪問許可權和資料型別等。被管理裝置都有自己的MIB檔案,在NMS上編譯這些MIB檔案,就能生成該裝置的MIB。NMS根據訪問許可權對MIB節點進行讀/寫操作,從而實現對Agent的管理
-
SNMP版本:裝置支援SNMPv1、SNMPv2c和SNMPv3三種版本。只有NMS和Agent使用的SNMP版本相同時,NMS才能和Agent建立連線
- SNMPv1採用團體名(Community Name)認證機制。團體名類似於密碼,用來限制NMS和Agent之間的通訊。如果NMS配置的團體名和被管理裝置上配置的團體名不同,則NMS和Agent不能建立SNMP連線,從而導致NMS無法訪問Agent,Agent傳送的告警資訊也會被NMS丟棄
- SNMPv2c也採用團體名認證機制。SNMPv2c對SNMPv1的功能進行了擴充套件:提供了更多的操作型別;支援更多的資料型別;提供了更豐富的錯誤程式碼,能夠更細緻地區分錯誤 —多數使用
- SNMPv3採用USM(User-Based Security Model,基於使用者的安全模型)認證機制。網路管理員可以配置認證和加密功能。認證用於驗證報文傳送方的合法性,避免非法使用者的訪問;加密則是對NMS和Agent之間的傳輸報文進行加密,以免被竊聽。採用認證和加密功能可以為NMS和Agent之間的通訊提供更高的安全性
-
SNMP的四種基本操作:
- Get操作:NMS使用該操作查詢Agent MIB中節點的值
- Set操作:NMS使用該操作配置Agent MIB中節點的值
- 告警操作:SNMP告警包括Trap和Inform兩種
- Trap操作:Agent使用該操作向NMS傳送Trap報文。Agent不要求NMS傳送回應報文,NMS也不會對Trap報文進行回應。SNMPv1、SNMPv2c和SNMPv3均支援Trap操作
- Inform操作:Agent使用該操作向NMS傳送Inform報文。Agent要求NMS傳送回應報文,因此,Inform報文比Trap報文更可靠,但消耗的系統資源更多。如果Agent在一定時間內沒有收到NMS的回應報文,則會啟動重發機制。只有SNMPv2c和SNMPv3支援Inform操作
-
SNMP的配置流程
-
SNMP的基本配置:
- snmp-agent --開啟snmp
- snmp-agent sys-info version v2c --配置SNMP版本號
- snmp-agent community read password1 [mib-view iso-view] —配置讀許可權的密碼為password1[並且只能讀取iso-view指定的內容]
- snmp-agent community write password2 —配置寫許可權的密碼為password2
- [snmp-agent mib-view iso-view include iso] --配置iso-view檢視所能訪問的內容
- snmp-agent target-host trap-paramsname trapms v1 securityname admin —配置傳送的Trap報文的引數資訊列表[列表名trapms,列表引數:版本是v1,傳送的主機名是admin]
- snmp-agent traget-host trap-hostname nms address 192.168.80.2 trap-paramsname trapms --配置Trap報文的傳送物件,傳送的資訊使用列表trapms
- snmp-agent trap enable --使能trap
eSight的部署模式:
- 單伺服器模式:B/S模式,支援多個瀏覽器同時接入
- 分級部署模式:在該模式下,上級網管可以把下級網管加入到系統中並提供開啟下級網管的連結。當使用者點選下級網管連線時,將會彈出一個新的瀏覽器視窗,在新的瀏覽器視窗將會開啟下級網管的主頁
eSight新增裝置的方式:
- 新增單臺裝置
- 自動發現
- 批量新增:通過匯入提供的excle表格來實現批量新增
Agil Controller
傳統網路面臨哪些挑戰:
-
移動化加劇,要求一致的業務體驗
-
人工維護效率低,要求策略能靈活調整
-
接入方式豐富,傳統單點防禦失效
Agil Controller產品的架構:
- 伺服器側:業務管理器/SM(准入控制,使用者管理,業務隨行),業務控制器/SC(與網路接入裝置進行聯動來進行策略的下發等),管理中心/MC(管理SM和SC,安全接入管理,終端管理,補丁管理,license管理)
- 網路接入裝置:防火牆,AR,交換機,AP
- 使用者側:客戶端,Web Portal,系統自帶的802.1X的客戶端
Agil Controller的功能實現:
- 准入控制:通過認證控制使用者的接入
- 訪客管理:對訪客的賬號的申請、許可權的分發等
- 業務隨行:在移動化辦公時為接入使用者提供一致化的策略、體驗
- 業務編排:對資料流進行區分、管控
- 安全協防:通過關聯分析網路中的日誌,識別潛在的安全問題,並將發現的網路安全問題直觀的展現給網路管理員
- 終端安全:要求使用者終端符合企業的安全規則(軟體版本、補丁等)
Agil Controller-准入控制
- mac認證:主要用於IP電話、印表機等沒有認證介面的啞終端裝置
- 802.1X認證:可與華為全系列交換機、路由器及WLAN裝置以及第三方標準802.1X交換機聯動
- Protal認證/Web認證:使用者可以通過Web認證介面來實行認證,可與華為全系列交換機、路由器以及WLAN裝置聯動
- SACG/Security Access Control Gatewa 認證:採用USG防火牆旁掛在路由器或交換機上,通過策略路由控制終端訪問
Agil Controller-業務隨行
- 安全組:使用者安全組(定義能夠訪問網路資源的使用者),資源安全組(定義哪些資源能夠被訪問,如vlan,ip網段等)
- 策略矩陣:即使用者安全組到資源安全組的對映
- 使用者優先順序:區分普通使用者,vip使用者等
- IP-Group查詢:方便管理員查詢
- 5W1H授權
Agil Controller-業務編排
- 編排裝置:負責業務流量的識別和分流重定向
- 業務裝置:負責將引導過來的流量進行業務處理
- GRE隧道故障處理:
- 出方向故障即交換機\編排裝置轉發給業務裝置時故障:
- 直接丟棄資料
- 交換機直接轉發,不轉發給業務裝置進行處理
- 進入交換機方向的GRE隧道故障:當發現從業務裝置到編排裝置的鏈路故障時,編排裝置會自動斷開與該業務裝置的鏈路連線,並對原本要流經該業務裝置的流量進行直接轉發或丟棄處理
- 出方向故障即交換機\編排裝置轉發給業務裝置時故障:
Agil Controller-終端安全
-
終端安全管理的4大趨勢:
-
泛終端
- 各類終端型別統一管理
- 物理+虛擬統一管理
-
全功能
- 准入控制+安全管理
- 被動防禦+主動防禦
-
平臺化
- 全網聯動協同
- 開放整合功能
-
個性化
- 桌面管家應用
- 桌面使用者服務
-
基本配置:
-
交換機上的配置:
-
system-view
-
radius-server templete templete1 —新建radius模板
- radius-server authentication 172.16.4.253 1812 —配置認證伺服器的地址和埠
- radius-server accounting 172.16.4.253 1813 —配置計費伺服器的地址和埠
- radius-server shared-key cipher adimin@123 —配置共享金鑰
-
[dis radius-server confirguration templete templete] —對radius模板進行檢視
-
aaa
- authentication-scheme auth —建立認證方案並設定模式為radius
- authentication-mode radius
- accounting-scheme acco —配置計費方案並設定模式為radius
- accounting-mode radius
- [display accounting -scheme/authentication-scheme]
- domain default —配置預設的域並關聯之前配置的server,認證和計費模板
- radisu-server templete1
- authentication-scheme auth
- accounting-scheme acco
- [display domain name default]
- radius-server authorization 172.16.4.253 shared-key ciper Adimn@123 —配置授權伺服器資訊
- authentication-scheme auth —建立認證方案並設定模式為radius
-
-
開啟配置dhcp
-
開啟配置802.1x
-
建立配置vlan
Agil Controller配置:
- 登陸
- 增加交換機組
- 在不同的交換機組中新增裝置
- 配置隔離域(如防病毒伺服器,補丁伺服器等)(策略>准入控制>認證授權>授權結果中>增加)
- 配置認證後域(如各個部分的伺服器等)(策略>准入控制>認證授權>授權結果中>增加)
- 配置認證規則:策略>准入控制>認證授權>認證規則>增加
- 配置授權規則:如安全檢查不通過後分配到隔離域;安全檢查通過後分配到認證後域(策略>准入控制>認證授權>授權規則中>增加)
- 配置mac地址旁路認證、授權、計費等:為啞終端進行認證配置(資源>終端>終端列表)
- 基本配置完成,可使用客戶端的登陸軟體/AnyOffice來驗證檢查
QoS技術
傳統的IP網路無區別地對待所有資料包,採用的策略是FIFO/先進先出,對報文的延遲、抖動、丟包率和可靠性需求不提供任何承諾和保障。
要提高通訊質量,就是要提高頻寬、減少時延和抖動、降低丟包率
度量指標
-
頻寬
-
頻寬也稱為吞吐量,是指在固定的時間內,從網路一端傳輸到另一端的最大資料位數,也可以理解為網路的兩個節點之間特定資料流的平均速率。頻寬的單位是位元/秒(bit/s)。
-
通常情況下,頻寬越大,資料通行能力就越強,網路服務質量就越好。這就好比高速公路,車道越多,車輛通行能力就越強,發生堵車的概率就越低。對於網路使用者而言,都希望頻寬越大越好,但是相應的網路運營和維護成本也就越高。
-
-
時延
-
時延是指一個報文或分組從網路的傳送端到接收端所需要的延遲時間,一般由傳輸延遲及處理延遲組成。
-
單個網路裝置的時延包括傳輸時延、序列化時延、處理時延、以及佇列時延
-
以語音傳輸為例,時延是指從說話者開始說話到對方聽到所說內容的時間。一般人們察覺不到小於100毫秒的延遲。當延遲在100毫秒和300毫秒之間時,說話者可以察覺到對方回覆的輕微停頓,這種停頓可能會使通話雙方都感覺到不舒服。超過300毫秒,延遲就會很明顯,使用者開始互相等待對方的回覆。當通話的一方不能及時接收到期望的回覆時,說話者可能會重複所說的話,這樣會與遠端延遲的回覆碰撞,導致重複。
-
-
抖動
-
網路擁塞會導致通過同一連線傳輸的分組延遲各不相同。抖動用來描述延遲變化的程度,也就是最大延遲與最小延遲的時間差。
-
抖動對於實時性的傳輸是一個重要引數。例如,語音和視像等實時業務極不容忍抖動,因為抖動會造成語音或視像的斷續。
-
抖動也會影響一些網路協議的處理。有些協議是按固定的時間間隔傳送互動性報文,抖動過大會導致協議震盪。
-
所有傳輸系統都有抖動,只要抖動在規定容差之內就不會影響服務質量。利用快取可以克服過量的抖動,但這將增加時延。
-
-
丟包率
-
丟包率是指在網路傳輸過程中丟失報文的數量佔傳輸報文總數的百分比。少量的丟包對業務的影響並不大,例如,在語音傳輸中,丟失一個位元或一個分組的資訊,通話雙方往往注意不到。在視訊的傳輸中,丟失一個位元或一個分組可能造成在螢幕上瞬間的波形干擾,但能很快恢復正常。
-
使用TCP傳送資料可以處理少量的丟包,因為TCP允許丟失的資訊重發,但大量的丟包會影響傳輸效率。在QoS中,我們關注的是丟包的統計資料,也就是丟包率。所以正常傳輸時,將網路丟包率控制在一定範圍內即可。
-
服務模型
-
Best-Effort服務模型:盡力而為
- Best-Effort是最簡單的QoS服務模型,使用者可以在任何時候,發出任意數量的報文,而且不需要通知網路。提供Best-Effort服務時,網路盡最大的可能來傳送報文,但對時延、丟包率等效能不提供任何保證。
- Best-Effort服務模型適用於對時延、丟包率等效能要求不高的業務,是現在Internet的預設服務模型,它適用於絕大多數網路應用,如FTP、E-Mail等。
- 只能通過提升外在的鏈路、裝置效能來解決網路的問題
-
Integrate Service服務模型:預留資源
-
IntServ模型是指使用者在傳送報文前,需要通過信令(Signaling)向網路描述自己的流量引數,申請特定的QoS服務。網路根據流量引數,預留資源以承諾滿足該請求。在收到確認資訊,確定網路已經為這個應用程式的報文預留了資源後,應用程式才開始傳送報文。應用程式傳送的報文應該控制在流量引數描述的範圍內。網路節點需要為每個流維護一個狀態,並基於這個狀態執行相應的QoS動作,來滿足對應用程式的承諾。
-
IntServ模型使用了RSVP(Resource Reservation Protocol)協議作為信令,在一條已知路徑的網路拓撲上預留頻寬、優先順序等資源,路徑沿途的各網元必須為每個要求服務質量保證的資料流預留想要的資源,通過RSVP資訊的預留,各網元可以判斷是否有足夠的資源可以使用。只有所有的網元都給RSVP提供了足夠的資源,“路徑”方可建立。
-
-
Different Service服務模型:差分服務
-
DiffServ模型的基本原理是將網路中的流量分成多個類,每個類享受不同的處理,尤其是網路出現擁塞時不同的類會享受不同級別的處理。同一類的業務在網路中會被聚合起來統一傳送,保證相同的時延、抖動、丟包率等QoS指標。
-
與Intserv模型相比,DiffServ模型不需要信令。在DiffServ模型中,應用程式發出報文前,不需要預先向網路提出資源申請,而是通過設定報文的QoS引數資訊,來告知網路節點它的QoS需求。網路不需要為每個流維護狀態,而是根據每個報文流指定的QoS引數資訊來提供差分服務,即對報文的服務等級劃分,有差別地進行流量控制和轉發,提供端到端的QoS保證。DiffServ模型充分考慮了IP網路本身靈活性、可擴充套件性強的特點,將複雜的服務質量保證通過報文自身攜帶的資訊轉換為單跳行為,從而大大減少了信令的工作,是當前網路中的主流服務模型。
-
-
三種服務模型的對比:
基於DiffServ模型的QoS業務
業務分類
交換機、路由器、防火牆、WLAN等產品均支援配置基於DiffServ服務模型的QoS業務。基於DiffServ模型的QoS業務主要分為以下幾大類:
-
報文分類和標記
要實現差分服務,需要首先將資料包分為不同的類別或者設定為不同的優先順序。報文分類即把資料包分為不同的類別,可以通過MQC配置中的流分類實現;報文標記即為資料包設定不同的優先順序,可以通過優先順序對映和重標記優先順序實現。
-
流量監管、流量整形和介面限速
流量監管和流量整形可以將業務流量限制在特定的頻寬內,當業務流量超過額定頻寬時,超過的流量將被丟棄或快取。其中,將超過的流量丟棄的技術稱為流量監管,將超過的流量快取的技術稱為流量整形。介面限速分為基於介面的流量監管和基於介面的流量整形。
-
擁塞管理和擁塞避免
擁塞管理在網路發生擁塞時,將報文放入佇列中快取,並採取某種排程演算法安排報文的轉發次序。而擁塞避免可以監督網路資源的使用情況,當發現擁塞有加劇的趨勢時採取主動丟棄報文的策略,通過調整流量來解除網路的過載。
其中,報文分類和標記是實現差分服務的前提和基礎;流量監管、流量整形、介面限速、擁塞管理和擁塞避免從不同方面對網路流量及其分配的資源實施控制,是提供差分服務的具體體現。
報文分類和標記
-
在MPLS中根據資料包的EXP欄位來標識QoS服務等級
-
在VLAN Tag中,根據PRI欄位來標識QoS服務等級
-
在IPv4報文中,根據ToS欄位的IP-Precedence內容標識QoS優先順序
-
而對於IP報文的IP-Precedence,只能由23=8的區分度,顯然太少了,因此就對其進行了擴充套件,借用了ToS欄位的原Delay/Throughput/Reliability的內容,稱為DSCP/Differentiated Services Code Point/差分服務程式碼點
-
DSCP的兩種表達方式:
- 數字表達方式:0`63
- 關鍵字表達方式
-
CS:對應路由器的協議
-
EF:對應承載語音的流量,因為其要求低延遲、低抖動、低丟包率
-
AF4:對應語音的信令流量,其優先順序低於語音流量是因為相對於語音流量而言其允許一定的丟包和延遲
-
AF3:對應電視的直播流量
-
AF2:對應電視的點播流量–VOD/Video on Demand
-
AF1:對應普通上網業務
-
BE4:對應盡力而為
-
-
IPv6報文中,根據TC/Traffic Class欄位來標識QoS優先順序
簡單流分類:使用上述的MPLS,Vlan Tag,IPv4,IPv6的優先順序欄位進行分類。但是針對某些特殊需求,簡單流分類則無法實現
複雜流分類:
基本配置:
- traffic classifier xxx1 —建立一個分類xxx1
- if-match acl.source-mac/… —定義匹配條件
- traffic behavior xxx2 —建立一個動作xxx2
- …
- traffic policy xxx3 —建立一個策略xxx3
- classifier xxx1 behavior xxx2 —繫結分類xxx1和行為xxx2
- int g0/0/1
- traffic-policy xxx3 inbound --繫結策略
流量監管、流量整形和介面限速
流量監管:將超過的流量丟棄
- 優點:可實現對不同報文的限速即重標記
- 缺點:較高的丟包率;鏈路空閒時頻寬得不到充分利用
流量整形:將超過的流量快取
- 優點:可實現對不同報文分別進行限速;緩衝機制可減少頻寬浪費,減少流量重傳
- 缺點:可能增加延遲,需要較多的裝置緩衝資源
擁塞管理和擁塞避免
擁塞發生的主要場景:
- 速率不匹配
- 匯聚問題
- 增加了報文傳輸的時延和抖動
- 過高的延遲會引起報文重傳
- 使網路的有效吞吐量降低,造成網路資源的損害
- 加劇耗費大量的網路資源(特別是儲存資源),不合理的資源分配甚至可能導致系統陷入資源死鎖而崩潰
擁塞的管理:
- 有些資料包本身攜帶優先順序,根據其攜帶的優先順序分類不同的佇列
- 選擇佇列的排程演算法。佇列的排程機制:FIFO、PQ、WRR、WFQ、CBQ等
- FIFO/先進先出:預設的方式
- 優點:實現機制簡單且處理速度快
- 缺點:不能有差別地對待優先順序不同的報文
- PQ/Priority Queuing/優先順序佇列
- 優點:對高優先順序的報文提供了優先轉發
- 缺點:低優先順序報文可能出現“餓死”情況
- WRR/Weighted Round Robin/加權迴圈排程:根據權重傳送,一輪傳送一個資料包,一輪權重減1,權重為0則不能傳送資料包。當所有佇列的權重都為0時重置初始的權重
- 優點:避免了PQ的“餓死”現象
- 缺點:基於報文個數來排程,容易出現包長尺寸不同的報文出現不平等排程;低延遲業務得不到及時調整
- WFQ/Weighted Fair Queuing/加權公平佇列:
- 優點:可完全按照權重分配帶框;自動分類,配置簡單
- 缺點:低時延業務得不到及時排程;無法實現使用者自定義分類規則
- CBQ/Class-Based Queuing:WFQ佇列的擴充套件,分為EF,AF和BF佇列
- WFQ對報文按流進行分類(相同源IP地址,目的IP地址,源埠號,目的埠號,協議號,Precedence的報文屬於同一個流),每一個流被分配到一個佇列,該過程稱為雜湊。WFQ入隊過程採用HASH演算法來自動完成,儘量將不同的流分入不同的佇列。在出隊的時候,WFQ按流的優先順序(precedence)來分配每個流應占有出口的頻寬。優先順序的數值越小,所得的頻寬越少。優先順序的數值越大,所得的頻寬越多。這樣就保證了相同優先順序業務之間的公平,體現了不同優先順序業務之間的權值。
- 優點:提供了自定義類的支援;可為不同的業務定義不同的排程策略
- 缺點:由於涉及到複雜的流分類,故啟用CBQ會消耗一定的系統資源
- FIFO/先進先出:預設的方式
擁塞避免:
- 尾丟棄:傳統的方式,丟棄後面的超出的內容
-
缺點1:會引發TCP全域性同步
-
解決辦法:RED/早期隨機檢測/Random Early Detection:在佇列未裝滿時先隨機丟棄一部分報文,通過預先降低一部分TCP連線的傳輸速率來儘可能延緩TCP全域性同步的到來
-
缺點2:引起TCP餓死現象
-
缺點3:無差別丟包----不區分普通業務和關鍵業務
-
解決辦法:WRED/Weighed Random Early Detection/帶權早期檢測:能解決上述的尾丟棄的三個缺點,且大大提高了鏈路頻寬利用率
-
VRRP/Virtual Router Redundancy Protocol/虛擬路由冗餘協議
路由器、三層交換機、防火牆等都可以配置該協議
VRRPv2基於IPv4,VRRPv3基於IPv6
IP協議號112,組播地址224.0.0.18
若懷疑存在虛擬閘道器,可在cmd下使用tracert命令驗證
備份組
- 將區域網內的一組物理閘道器裝置劃分在一起,稱為一個備份組
- 將多個物理閘道器加入到備份組中,形成一個虛擬閘道器,承擔物理閘道器功能
- 只要備份組中有一個物理閘道器正常工作,虛擬閘道器就仍然正常工作
- 由一個主(Master)和多個備份(Backup)組成,功能上相當於一個虛擬閘道器
- 虛擬閘道器具有一個虛擬IP地址,作為終端的閘道器IP地址
- Master:負責應答虛擬IP地址的ARP請求,轉發發往虛擬閘道器的資料包
- Backup:負責Master故障後,接替Master的工作
- 優先順序:0~255,預設是100,越大越優先
- 個人能配置的優先順序:0~254
- 優先順序255:保留給IP地址擁有者使用(當本地的ip地址與vrrp配置的虛擬ip地址一樣時,忽略之前配置的優先順序,直接從Initiate狀態到Master狀態,優先順序被置為255,直接成為Master)
- 優先順序0:用於觸發Backup立即成為Master(如Master主動退出時)
- 如果優先順序一樣則IP地址越大越優先
- 搶佔機制預設開啟(只針對優先順序的搶佔,若優先順序相同但是IP地址不同且此時已經選舉好了Master和Backup則不能搶佔)
- 虛擬mac地址規則:00-00-5e(代表權威機構IANA)+00-01(代表是VRRP)+備份組的組編號的16進位制數
定時器
- 通告間隔定時器:
- Master預設1s傳送一次VRRP通告報文,通告自己工作正常
- 如果Backup等待了3個時間間隔後。仍然沒有收到通告報文(或受到了優先順序為0的報文–master主動退出),則認為自己是Master,並對外傳送VRRP通告報文,重新進行Master的選舉
- 搶佔延遲定時器:
- 預設0s
- 為了避免地主備轉換,讓Backup有足夠的時間收集必要的資訊(如路由資訊),Backup接收到優先順序較低的VRRP報文後,不會立即搶佔成為Master,而是等待一定時間後,才會對外傳送VRRP通告報文取代原來的Master
狀態機制
VRRP應用
- 主備備份
- 負載分擔
工作流程
- 備份組的所有路由器預設先置為Backup,一定時間後若沒有接收到優先順序等引數優於自己的報文則變為Master,否則仍然保持Backup狀態
- 由Master裝置生成虛擬mac
VRRP跟蹤
作用:當Master上行鏈路故障時,自動修改優先順序,重新選舉Master
基本配置
- 在vlanif下:
- vrrp vrid 1 virtual-ip 1.0.0.254 —配置生成備份組1並設定虛擬ip地址為1.0.0.254
- vrrp vrid 1 priority 200 —配置優先順序為200
- vrrp vrid 1 preempt-mode disable —關閉搶佔模式
- vrrp vrid 1 preempt-mode timer delay 3 ----配置搶佔延遲,預設為0s
- vrrp vrid 1 advertise 1 ----配置通告延遲
- vrrp vrid 1 authentication-mode simple/md5 wakin ----配置認證
- vrrp vrid 1 track interface vlanif 2 [reduced/increased number ] ----跟蹤介面vlanif10,若不配置則當該介面故障時優先順序減10,若配置了則按照reduced/increased的來
- display vrrp brief
- display vrrp interface vlanif 1
▲注意STP協議的影響,因此VRRP的Master應該和STP/RSTP/MSTP的根橋應該保持一致,否則可能引起次優路徑
▲注意對DHCP的影響,不能配置為介面模式因為可能造成得到的閘道器不是虛擬的ip地址,因配置成全域性模式
▲DHCP還需要注意:因為設定了多個DHCP伺服器,預設情況下多個伺服器分配的IP地址範圍是一樣的,若一個交換機故障(如sw1之前已經分發出了如1.0.0.250地址),另一個交換機可能還會分發故障交換機分發出的ip地址(如sw2之前沒有分配1.0.0.250地址,因此會分配給新的請求主機),會造成ip地址衝突。------------------->因此配置DHCP伺服器時,最好確保各個伺服器分配的ip地址範圍不衝突
BFD/Bidirectional Forwarding Detection/雙向轉發檢測
目的:為了減小裝置故障對業務的影響、提高網路的可用性,裝置要能夠儘快檢測到與相鄰裝置的通訊故障,以便能夠及時採取措施,從而保證業務繼續進行
現有的故障檢測方法:
- 硬體檢測:例如通過SDH/Synchronous Digital Hierarchy/同步數字體系告警檢測鏈路故障。硬體檢測的優點是可以很快發現故障,但並不是所有介質都能提供硬體檢測。
- 慢Hello機制:通常採用路由協議中的Hello報文機制。這種機制檢測到故障所需時間為秒級。對於高速資料傳輸,例如吉位元速率級,超過1秒的檢測時間將導致大量資料丟失;對於時延敏感的業務,例如語音業務,超過1秒的延遲也是不能接受的。並且,這種機制依賴於路由協議。
- 其他檢測機制:不同的協議有時會提供專用的檢測機制,但在系統間互聯互通時,這樣的專用檢測機制通常難以部署。
BFD特點
- 解決了上述檢測機制的不足
- 通用、標準化、介質無關、協議無關、為上層協議服務
- 全網統一的檢測機制,用於快速檢測,監控網路中鏈路或路由的轉發聯通狀況
- 保證鄰居間能夠快速檢測到通訊故障,從而快速建立起備用的通道恢復通訊
工作機制
- 本身沒有發現機制,靠上層協議通知
- 建立BFD會話,週期性地傳送BFD控制報文進行檢測
- 檢測到故障後,再通知上層協議
狀態機制
- Down:會話處於Down狀態或剛剛建立
- Init:已經能夠與對端系統通訊,本端希望使會話進入Up狀態。收到對端的Down狀態的報文時從Down到Init
- Up:會話已經建立成功。收到對端的Init狀態的報文時,從Init到Up
- AdminDown:會話處於管理性Down狀態
BFD會話工作方式
- 控制報文方式:鏈路兩端會話通過控制報文互動檢測鏈路狀態
- Echo報文方式:鏈路某一端通過傳送Echo報文由另一端轉發回來,實現對鏈路的雙向檢測(適用於某一端不能配置BFD的場景)
BFD報文格式
- 採用組播地址224.0.0.184
- 控制報文:
- 單跳檢測(繫結的是介面,即直連的)用UDP的3784埠
- 多跳檢測(繫結的是IP,可以是非直連的)用UDP的4784埠
- Echo報文:用UDP的3785埠(用於某段不能配置BFD的場景)
BFD執行模式
會話建立前模式:
- 主動模式:主動傳送BFD報文,不管是否收到對端發來的BFD控制報文,預設為該模式
- 被動模式:不主動傳送BFD報文,只有接受到對端發來的BFD報文才會傳送
- 至少需要有一個主動模式的裝置才能正常建立會話
會話建立後模式:
- 非同步模式:週期性地傳送BFD控制報文,如果在檢測時間內沒有收到BFD控制報文則將會話Down,預設的模式
- 查詢模式:一旦BFD回話建立,不再週期性地傳送BFD報文,而是通過其他機制檢測連通性,減少大量BFD會話帶來的開銷
BFD應用場景
- 檢測IP鏈路
- BFD單臂回聲功能
- 與介面狀態聯動
- 與靜態路由聯動:靜態路由本身沒有任何檢測機制,需要管理員手動發現,BFD很好地解決了該問題
- 與RIP聯動
- 與OSPF聯動
- 與ISIS聯動
- 與BGP聯動
- 與MPLS聯動
- 與IPv6聯動
- 與Smart Link聯動
- 與VRRP聯動
基本配置
- bfd ----全域性開啟BFD
- bfd 1 bind peer-ip default-ip int g0/0/0 || bfd 1 bind peer-ip 12.0.0.2 [int vlanif 1] —繫結對端,若按照介面繫結則是單跳使用組播地址224.0.0.184,後者使用的是多跳,目的地址是單播
- discriminator local 10 —配置本地識別符號 ,需要與對端的遠端識別符號對應,不能與remote一致
- discriminator remote 20 ----配置遠端識別符號號,需要與對端的本地識別符號對應,不能與local一致
- 以下的可以選擇性配置:
- min-tx-interval 100 —配置最小傳送間隔,預設為1000ms
- min-rx-interval 100 —配置最小接受間隔,預設為1000ms
- detect-multiplier 3 ----配置本地檢測倍數,預設為3
- commit —提交命令,否則之前的配置不生效
- display bfd session all [verbose]
- [BFDsession檢視下]process-interface-status ----配置與介面關聯
- vrrp vrid 1 track bfd-session 10/local-discriminator-number reduced/increased x —配置bfd與vrrp聯動,一般推薦在Backup配置增優先順序
- ip route-static x.x.x.x x.x.x.x track bfd-session 1 --配置與靜態路由關聯
- [OSPF檢視下]bfd all-interface enable —與OSPF聯動
- peer x.x.x.x bfd enable —與BFD聯動
最終檢測間隔公式:對端檢測倍數*max{最小本地接受間隔,對端傳送間隔}
防火牆基礎概念
發展歷史
預設的安全區域
- Trust:一般連線內網
- Untrust:一般連線外網
- DMZ/Demilitarized Zone/非軍事區域/隔離區:一般連線伺服器
- Loacl:代表防火牆本身
- 預設安全級別:Loacl(100)>Trust(85)>DMZ(50)>Untrust(5)
- 安全級別用於定義資料的流向:高優先順序到低優先順序為Outbound,繁殖為Inbound。對應安全策略的配置
- 預設策略:任何區域之間都不能互訪(華為預設,其他廠家可能是高優先順序能訪問低優先順序),需要配置安全策略
安全區域是邏輯上的概念,實際上是將介面分配至不同的安全區域
安全策略
-
包過濾技術:所有的報文都根據ACL匹配是否通過,較消耗記憶體和CPU
-
基於狀態檢測技術:開始的第一個報文根據ACL匹配是否通過,若ACL匹配通過後建立一個基於五元組的會話(協議號,源和目的的IP和Port),之後的報文則不檢查ACL,而是匹配會話表(若是其他五元組的報文,則重新ACL匹配)
- 會話表有老化時間:華為裝置的老化時間也和協議有關
- 多個會話項的集合會話表
-
NGFW/Next generation firewall和傳統UTM/Unified Threat Management安全監測的比較:(序列檢測和並行檢測)
- -
NGFW安全策略構成:
-
若所有的策略都沒有匹配到,則執行預設動作—禁止所有報文通過
-
針對多通道協議(如FTP有20和21埠,若全部埠都配置安全策略可能不能保障安全性),會產生Server-map表(該功能稱為ASPF,需要手動配置開啟)(可理解為動態產生的安全策略)來協助
- e.g. firewall interzone trust dmz
- detect ftp
- display firewall server-map
- display firewall session table
- e.g. firewall interzone trust dmz
VPN/Virtual Private Network/虛擬專用網
產生背景
- 在Internet傳輸中,絕大部分資料的內容都是明文傳輸的,存在很多安全隱患(如竊聽、篡改、冒充)
- 總部、分公司、辦事處、出差人員、合作單位需要訪問總部網路資源的問題
核心技術
-
VPN=隧道+安全
-
隧道技術:隧道兩端封裝、解封裝,用以建立資料通道
-
安全技術:
- 金鑰管理技術:在不安全的網路中安全地傳遞金鑰
- 身份認證:保證接入VPN的操作人員的合法性,有效性
- 加解密技術:保證資料在網路中傳輸時不被非法獲取
- 資料認證:保證資料在網路傳輸過程中不被非法篡改
VPN優點
- 節約成本
- 提高安全性
- 擴充套件性強
VPN分類-根據建設單位劃分
- 租用運營商專線搭建VPN網路:MPLS VPN
- 使用者自建企業VPN網路:GRE,PPTP,L2TP,IPSec,SSL VPN
VPN分類-根據組網方式劃分
- Remote-Access VPN/遠端訪問VPN:適合出差員工、移動辦公等VPN撥號接入的場景,員工可在任何能夠接入公網的地方,通過遠端撥號接入企業內網,從而訪問內網資源。通常撥號方的IP地址不固定
- Site-to-Site VPN/站點到站點VPN:適合各分支機構、合作伙伴、客戶、供應商間的互聯,雙方都有固定的IP地址
VPN分類-根據實現層、協議劃分
- L7VPN/應用層:SSL\SSTP
- L3VPN/網路層:GRE,IPSec
- L2VPN/資料鏈路層:
- PPTP/Point-to-Point Tunnal Protocol–微軟早期開發
- L2F/Layer 2 Forwarding Protocol—思科開發,是PPTP的一種改善升級版
- L2TP–PPTP和L2F的結合版
各類VPN比較
L2TP埠號:UDP的1701
PPTP埠號:TCP的1723
GRE(VPN)/Generic Routing Encapsulation/通用路由封裝協議
提供了將一種協議的報文封裝在另一種協議報文中的機制;是一種隧道封裝技術。GRE可以封裝組播資料,並可以和IPSec結合使用,從而保證語音、視訊等組播業務的安全
概述
- L3VPN技術
- Site-to-Site VPN
- IPv4協議號47
- 在任意一種網路協議上傳送任意一種其他網路協議的封裝方法
- 解決了跨越異種網路的報文傳輸問題,異種報文傳輸的通道稱為Tunnel/隧道
優缺點
基本配置
- intface tunnel 0/0/1 —建立隧道
- tunnel-protocol gre --設定協議為GRE
- source 12.0.0.1 --配置源地址
- destination 23.0.0.3 —配置目標地址
- ip add 192.168.13.1 —配置隧道的IP地址[隧道可以認定為直連,兩端配置的IP地址可以不是同一網段—但配置路由時需要指定intface t0/0/1為下一跳或配置額外的路由]
- ip route-static 0.0.0.0 0.0.0.0 t0/0/1 || 192.168.13.1 —配置路由,主要制定的是隧道口或是隧道的IP地址(不能是公網的IP地址),用以告知路由器該路由要進行封裝
- keepalive period 5 retry -times 3 —開啟KeepAlive檢測避免資料黑洞,5s傳送一次最多重傳3次(一端開啟即可,兩端都開啟也ok)
注意事項
1.動態路由協議誤宣告公網介面
----否則可能造成無限制封裝GRE的場景,OSPF的表現為鄰居關係down有full,full又down
2.虛假狀態
----虛假狀態:當Tunnel一端因故障或其他原因Shutdown時,另一端檢測不到故障仍然處於Up狀態(只要有到Tunnel目標地址的路由即為Up狀態)(Tunnel被認為是虛擬的點到點,前述狀態不合理),此即為虛假狀態
----解決辦法:開啟KeepAlive功能
PKI/Public Key Infrastructure/公鑰基礎架構
概述
- 通過公鑰技術與數字證照技術確保資訊保安的體系
- 由公鑰加密技術、數字證照、CA、RA等共同組成
- PKI體系能夠實現的功能
- 機密性/confidentiality
- 完整性/integrity
- 身份驗證
- 不可否認性
機密性技術
-
加密演算法分為對稱加密和非對稱加密
-
對稱加密:
- 優點:速度快、密文緊湊(加密後大小不會變化很大)
- 缺點:金鑰管理複雜
- 應用:用於大量資料的傳輸
-
–推薦使用AES/Advanced Encryption Standard/高階加密標準
-
非對稱加密:
-
優點:金鑰管理簡單
-
缺點:速度慢,密文不緊湊(加密後檔案會變得很大)
-
應用:通常只用於數字簽名和交換金鑰
-
資料加密:公鑰加密,私鑰解密
-
數字簽名:私鑰加密Hash。私鑰加密,公鑰解密
-
-
兩種加密演算法的結合:使用公鑰密碼學來交換金鑰素材,雙方最終計算出金鑰。而用對稱密碼學來加密實際的資料,兩者配合使用,保證了加密速度和安全性
完整性技術
Hash:
-
給予任意大小的資料,得出一個固定長度的值,類似指紋、DNA
-
不可逆(不能反推)、雪崩效應(檔案的一個小改動,得出的Hash值就會出現很大的變化)
-
----MD5和SHA1目前已經能被破解(王小云破解),不推薦使用
身份驗證和不可否認性技術
數字簽名:對資料進行Hash演算法後,對Hash演算法的結果用私鑰加密
數字證照:
- 用於保證金鑰的合法性
- 證照的主體可以是使用者、計算機、服務等
- 證照遵循X.509標準
- 數字證照包含:
- 使用者的公鑰值
- 使用者標識資訊(如名稱和電子郵件地址)
- 證照的有效期
- 頒發者標識資訊
- 頒發者的數字簽名
- 數字證照由第三方權威機構即CA/Certificate Authority/證照頒發機構簽發
CA/Certificate Authority/證照頒發機構:
- 核心功能是頒發和管理數字證照
- 作用:
- 處理證照申請
- 發放證照
- 更新證照
- 接受終端使用者數字證照的查詢、撤銷
- 產生和釋出證照吊銷列表(CRL)
- 數字證照歸檔
- 類比:證照~身份證; CA~公安局
RA/Registration Authority /註冊審批機構:
-
RA系統是CA的證照發放、管理的延伸。它負責證照申請者的資訊錄入、稽核以及證照發放等工作;同時,對發放的證照完成相應的管理功能。發放的數字證照可以存放於IC卡、硬碟或軟盤等介質中。RA系統是整個CA中心得以正常運營不可缺少的一部分。
-
RA系統直接面向使用者,負責使用者身份申請稽核,並向CA申請為使用者轉發證照;一般設定在商業銀行的總行、證券公司、保險公司總部及其它應用證照的機構總部,受理點(LRA)設定在商業銀行的分/支行、證券、保險營業部及其它應用證照機構的分支機構,RA系統可方便整合到其業務應用系統。
IPSec VPN/Internet Protocol Security VPN
概述
- 源於IPv6
- 建立在網路層的安全保障機制
- 引入多種加密演算法‘驗證演算法和金鑰管理機制
- 缺點:配置複雜、消耗運算資源多、增加延遲、不支援組播等
- IPSec VPN是利用IPSec隧道建立的VPN技術
- 不是一個單獨的協議,它通過AH(不支援加密演算法,所以一般不使用)和ESP這兩個安全協議來實現IP資料包的安全傳送
- DES和3DES加密演算法存在安全隱患,建議優先使用AES,SM1或SM4演算法
- MD5和SHA-1演算法存在安全隱患,建議優先使用SHA-2或SM3演算法
- IKE協議提供金鑰協商,建立和維護安全聯盟SA等服務
核心功能
- 機密性
- 完整性
- 真實性:驗證資料來源,以保證資料來自真實的傳送者
- 防重放:防止惡意使用者通過重複傳送捕獲到的資料包所進行的攻擊,即接收方會拒絕舊的或重複的資料包
封裝模式–針對IPSec SA
-
傳輸模式/Transport Mode:IPSec頭部被插入到IP頭之後但在所有傳輸層協議之前,或所有其他IPSec協議之前
-
隧道模式/Tunnal Mode:IPSec頭插在原始IP頭之前,另外生成一個新的報文放在AH或ESP之前(類似GRE)(對於不同的網路型別,如公網和私網就只能選擇該模式)
- 隱藏了原IP頭資訊,因此安全性更好
- 但是因為有一個額外的IP頭,會佔用更多的頻寬
AH/Authentication Header/報文頭驗證協議
- 主要提供完整性、真實性、防重放功能,並不對資料進行加密
- IP協議號=51
ESP/Encapsulating Security Payload/封裝安全載荷協議
- 除了AH提供的功能外(其完整性校驗不包括IP頭部)還提供機密性/資料加密功能
- IP協議號=50
SA,IKE,SPI
- IKE/Internet Key Exchange/因特網金鑰交換:用於動態協商,SA協商的方法和標準
- UDP的500埠
- SA/Security Associates/安全聯盟/安全聯盟:協商的結果,類似於合約書
- 是單向的,兩個對等體之間的雙向通訊,至少需要兩個SA
- 建立方法:
- 手工配置:所有引數都需要手工配置也需要手動重新整理,不適用於中大型網路(金鑰管理成本高);一旦建立永久存在(不安全)
- IKE自動協商:建立SA所需要的加密、驗證金鑰是通過DH(一個專門用於金鑰交換的非對稱加密演算法)生成的,可以動態重新整理,因而金鑰管理成本低,且安全性較高;生存週期可以配置;適用於大中型網路
- 如果使用該模式就會有兩個SA:IKE SA(用於金鑰協商的,確保傳輸通道安全)+IPSec SA(用於資料封裝的,確保資料安全)
- 階段1:建立一個IKE SA為階段2協商提供保護,分為主模式/Main Mode和野蠻模式/Aggressive Mode
- [外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片儲存下來直接上傳(img-pcEUEFps-1600923801413)(27.png)]
- 階段2:在階段1建立的IKE SA的保護下完成IPSec SA的協商,只有快速模式/Quick Mode
- [外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片儲存下來直接上傳(img-ywUjfqeo-1600923801415)(28.png)]
- 引數:
- 本地地址:需要與對端的遠端地址對應
- 遠端地址:需要與對端的本地地址對應
- SPI inbound:若是IKE自動協商則可以不配置
- SPI outbound:若是IKE自動協商則可以不配置
- Key
- Transform/Proposal/提議:內含加密引數,驗證引數等
- SPI/Security Parameter Index/安全引數索引:SA內包含,用於區分多個SA
基本配置—手動/Manual
配置步驟:
-
ipsec proposal shanghai —配置安全提議
- encapsulation-mode tunnel/transport —配置傳輸模式,預設為隧道模式
- transform esp/ah/ah-esp —配置協議
- esp encryption-algorithm aes-128/… ----配置機密性演算法
- esp authentication-algorithm sha2-256/… ----配置完整性演算法
-
display ipsec proposal ----驗證
-
ipsec policy P1 10 manual —配置安全策略
- security acl 3000 --關聯acl
- proposal shanghai --關聯安全提議
- tunnel loacl 12.0.0.2 --配置隧道源地址,注意與對端呼應
- tunnel remote 13.0.0.3 —配置隧道遠端地址。注意與對端呼應
- sa spi inbound esp 12345 --配置入介面的sa的spi
- sa spi outbound esp 12345 —配置出介面的sa的spi
- sa string-key inbound esp cipher wakin --配置入方向的key
- sa string-key outbound esp cipher wakin --配置出方向的key
-
display ipsec policy —驗證
-
int g0/0/1
- ipsec policy P1 —在公網出介面上繫結安全策略
-
display ike/ipsec sa —驗證
▲現實情況中:若裝置同時也配置了NAT和IPSec VPN,可能造成上網流量或VPN不可用的現象(可能是NAT的ACL與VPN的ACL衝突,造成不該走VPN時走VPN,不該NAT時NAT)--------->可通過修改NAT的ACL為deny特定地址解決
基本配置—IKE自動配置
-
ike proposal 10 ----配置ike提案
- authentication-method pre-share —配置認證方法為域共享金鑰
- authentication-algorithm sha2-256 —配置完整性演算法(預設為sha1)
- encryption-algorithm aes-cbc-256 ----配置加密演算法(預設為des-cbc)
- dh group 14 —配置dh組(預設為dh組1-768bit)
- sa duration 3600 ----配置sa生命週期(預設為86400s)
-
display ike proposal 10
-
ike peer shanghai v1 —建立ike對等體,選擇版本為version 1(預設為v1+v2)
- exchange-mode main/aggressive —配置ike模式[主模式/野蠻模式] (預設為主模式)
- pre-shared-key cipher huawei ----配置域共享金鑰
- ike proposal 10 ----配置對應的ike提案
- local-address 12.0.0.1 ----配置本地地址,可以配置為loopback地址但必須保證路由可達[對端的遠端地址需對應]
- remote-address 23.0.0.3 ----配置遠端地址,,可以配置為loopback地址但必須保證路由可達[對端的本地地址需要對應]
- loacl-id-type ip/name ----配置本端id型別[id是用於標識裝置身份,供對端認證的,可以不配置]
- peer-id-type ip/name ----配置對端id型別[id是用於標識裝置身份,供對端認證的,可以不配置]
-
display ike peer shanghai
-
ipsec proposal shanghai —配置安全提議
- encapsulation-mode tunnel/transport —配置傳輸模式,預設為隧道模式
- transform esp/ah/ah-esp —配置協議
- esp encryption-algorithm aes-128/… ----配置機密性演算法
- esp authentication-algorithm sha2-256/… ----配置完整性演算法
-
display ipsec proposal ----驗證
-
ipsec policy P2 10 isakmp 配置IPSec安全策略
- security acl 3000 ----配置感興趣流
- proposal 10 —配置IPSec提案
- ike-peer shanghai —配置ike對等體
-
int g0/0/1 —在對應的出介面上引用
- ipsec policy P2
-
display ike/ipsec sa
Windows間的IPSec
步驟:本地安全策略–>IP安全策略–>右鍵,建立IP安全策略–>…–>完成–>選擇建立完成的安全策略–>右鍵–>屬性–>記得選擇IP篩選器列表(acl),篩選器操作(當acl匹配時的動作,類似proposal),身份驗證方式(域共享金鑰過CA證照),隧道模式(是否配置模式為隧道模式),連線型別(區域網,WLAN等)–>選擇建立完成的安全策略–>右鍵–>呼叫–>完成~
配置完成後可以在防火牆的高階模式下檢視
MAC安全
基於MAC地址的攻擊
- 泛洪攻擊:攻擊者不斷髮送偽造的MAC,使交換機的CAM表爆滿,這樣舊的條目就會被新的條目替代,而因為沒有舊機器的mac地址,交換機就會泛洪(泛洪本身就不安全,而且佔用網路頻寬)
- Kali:cmd下直接輸入“macof”命令即可[支援cmd視窗多開攻擊]
- MAC欺騙:中間人攻擊
MAC地址表項分類
- 動態表項:通過對幀內的源MAC學習而來,有老化時間(預設300s)
- 靜態表項:由管理員手工配置,不會老化
- 黑洞表項:丟棄特定源MAC或目的MAC,不會老化
▲靜態和黑洞表項不會被動態表項覆蓋,而動態表項可以被靜態和黑洞表項覆蓋
MAC地址表預設引數
特性 | 預設值 |
---|---|
動態MAC地址表老化時間 | 300s |
MAC地址學習 | 開啟 |
埠MAC地址優先順序 | 0 |
埠安全功能 | 關閉 |
埠安全MAC地址學習限制數量 | 1 |
埠安全的保護動作 | Restrict |
MAC地址漂移表項老化時間 | 300s |
丟棄全0非法MAC地址報文 | 關閉 |
收到全0非法MAC地址報文告警 | 關閉 |
MAC重新整理ARP功能 | 關閉 |
防禦手段/MAC地址表安全功能
- 禁止MAC地址學習功能:可以限制非信任使用者接入
- 限制MAC地址學習數量:可以防止變化MAC地址攻擊
- 埠安全:可阻止其他非信任的主機通過本端與裝置通訊
- MAC-SPoofing-Defend:一個埠學習到的MAC不會在其他埠上學習
- MAC地址防漂移:對於固定的上行裝置,通過提高階口優先順序,可防止偽造MAC地址攻擊
- MAC地址漂移檢測功能(mac地址漂移指在mac地址表上同一個mac地址頻繁變更介面):減少網路環路對裝置的影響
- 丟棄全0非法MAC地址報文:網路中一些主機或裝置發生故障時,會傳送源或目的MAC全0的報文
- MAC地址重新整理ARP功能:MAC地址表項的埠發生變化,及時更新ARP表項
基本配置
- mac-address static 0000-1111-2222 g0/0/1 vlan 10 -----新增mac靜態表項
- mac-address blackhole 0666-6666-6666 [vlan 10] ----新增mac黑洞表項
- mac-address aging-time 60 —配置老化時間為60s
- mac-address learning disable action x -----禁止mac地址學習功能,可在埠或vlan下配置,vlan下只有forward
- x=discard:若交換機有該介面相應的mac資訊則轉發(事先配置了靜態或動態學習到了),否則丟棄
- x=forward:直接轉發,預設行為
- mac-limit maximum 50: 限制埠mac學習數量,可在埠或vlan下配置[超出限制的新的mac地址不會覆蓋舊的mac地址,但是交換機會有告警資訊] [配置埠安全的話就可以設定相應的保護動作–shutdown/restrict/protect]
- mac-limit alarm enable/disable ----配置是否告警(預設告警)
- drop illegal-mac enable —開啟丟棄全0非法mac地址報文功能 (預設配置)
- drop illegal-mac alarm ----配置告警
- mac-address update arp ----配置mac重新整理arp,用於同步arp表和mac地址表(mac地址表預設超時時間為300s,arp表預設超時時間為20min,有時候mac地址表更新了但是arp表沒有更新,就會導致其他主機通過該交換機ping其他主機能通,但是該交換機自己發出ping指令不通的現象)
- display mac-address summary ----檢視mac地址表彙總功能
埠安全/Port Security
-
限制mac的數量
-
限制mac的內容
-
將學習到的動態mac地址轉換為安全MAC地址(包括安全動態MAC,安全靜態MAC和Sticky MAC),阻止非法使用者通過本介面和交換機通訊,從而增強裝置的安全性
-
型別 備註 安全動態MAC地址 裝置重啟後表項會丟失,需要重新學習。預設不會被老化,只有配置老化時間後才可以被老化 安全靜態MAC地址 不會被老化,手動儲存配置後重啟裝置不會丟失 Sticky MAC地址 不會被老化,手動儲存配置後重啟裝置不會丟失
埠安全–基本配置
- port-security enable ----開啟埠安全
- port-security protect-action protect/shutdown/restrict —配置保護動作(預設為restrict,思科預設為shutdown)
- port-security max-mac-num 10 ----配置最大mac學習數量
- port-security aging-time 10 ----配置老化時間
- port-secutiry mac-address sticky ----配置sticky,即將動態學習到的mac變為靜態的mac
- port-secutiry mac-address sticky 1111-2222-3333 vlan 1 ----配置安全靜態mac
- display mac-address security -------顯示/驗證配置
MAC-Spoofing-Defend–基本配置
- mac-spoofing-defend enable —全域性模式下,開啟該功能
- mac-spoofing-defend enable —埠模式下,配置為信任埠,該介面學習到的mac就不會出現在其他介面
MAC地址防漂移-基本配置
- 描述:一個介面學習到的MAC在同VLAN內的其他介面上也學習到
- 主要原因:環路或欺騙
- 配置:
- 方法1:mac-learning priority 2 ----配置介面優先順序,高優先順序覆蓋低優先順序(預設介面優先順序都為0,因此不同介面的同一個mac都會被學習到,引起漂移)
- 方法2:undo mac -learing priority 2 allow-flapping --不允許相同優先順序(=2)發生漂移
- mac-address flapping trigger/action x
- x=quit-vlan —發現漂移後退出當前vlan
- x=error-down ----發現漂移後會被shutdown
- 可以配置error-down auto-recovery cause mac-address-flapping interval 30s 來設定error-down後的自動恢復時間
- display mac-address flapping record —顯示漂移記錄
IP安全
背景:攻擊者通過偽造源IP地址實施的網路攻擊(IP地址欺騙攻擊)逐漸增多。攻擊者偽造合法使用者的IP地址獲取訪問網路的許可權,非法訪問網路,甚至造成合法使用者無法訪問網路,或資訊洩露
IPSG/IP Source Guard/IP源防禦攻擊
-
基於二層介面的IP地址過濾技術
-
防止惡意主機偽造合法主機的IP地址來仿冒合法主機
-
確保非授權主機不能通過自己指定IP地址的方式來訪問網路或攻擊網路
-
工作原理:利用繫結表(源IP地址、源mac地址、所屬vlan、入介面的繫結關係)去匹配檢查二層介面上收到的IP報文,只有匹配繫結表的報文才被允許通過,其他報文將被丟棄。繫結表包括靜態和動態兩種:
-
工作原理-續:繫結表生成後,IPSG基於繫結表向指定的介面或指定的VLAN下發ACL,由該ACL來匹配檢查所有IP報文; 對非信任口進行檢查(信任口不進行檢查),僅支援在二層物理介面或VLAN上應用
IPSG基本配置
- user-bind static ip-address 10.0.0.1 mac-address 1111-2223-2222 vlan 1 ----配置靜態繫結(可以只繫結ip或只繫結mac)
- ip source check user-bind enable ----開啟IPSG (在有dhcp或靜態或其他繫結表的前提下)
- ip source check user-bind check item ip-address/mac-address/vlan -----配置檢查繫結表時檢查哪些條目
- ip source check user-bind alarm enable -----開啟檢查告警功能
- ip source check user-bind threshold 200 ----配置檢查告警閾值
- display dhcp static user-bind all —驗證繫結資訊
ARP安全
ARP攻擊型別和危害
攻擊型別 | 描述 |
---|---|
仿冒攻擊 | 仿冒閘道器或其他主機 |
欺騙攻擊 | 欺騙閘道器或其他主機 |
泛洪攻擊 | 使裝置ARP表項溢位、CPU負荷過重 |
ARP Miss
網路中有使用者向裝置傳送大量目的IP地址不能解析的IP報文(即路由表中存在該IP報文的目的IP對應的路由表項,但裝置上沒有該路由表項下一跳對應的ARP表項),將導致裝置觸發大量的ARP Miss訊息。這種觸發ARP Miss訊息的IP報文會被上報到CPU進行處理,裝置會根據ARP Miss訊息生成和下發大量臨時ARP表項並向目的網路傳送大量ARP請求,這就增加了CPU負擔,同時嚴重消耗目的網路的頻寬資源
配置命令
-
arp anti-attack gateway-duplicate enable ----開啟arp防閘道器衝突
- 當裝置收到的ARP報文存在下列情況之一:
- ARP報文的源IP地址與報文入介面對應的VLANIF介面的IP地址相同
- ARP報文的源IP地址是入介面的虛擬IP地址,但ARP報文源MAC地址不是VRRP虛MAC
- 當裝置收到的ARP報文存在下列情況之一:
-
arp garp/gratuitous-arp send enable ----開啟主動傳送免費arp ,一般配合防閘道器衝突使用(一定程度上可以覆蓋被欺騙的arp表項)
arp gratuitous-arp send interval 30 ----配置免費arp的傳送間隔(預設為60s)
-
arp speed-limit source-mac [0000-1111-2222] maximum 50 -----基於mac(若不定義特定mac則對所有mac)限制arp一秒的報文
-
arp speed-limit source-ip [1.0.0.1] maximum 40 ----基於ip(若不指定ip則針對所有ip)限制arp一秒的報文
-
arp-miss speed-limit source-ip [1.0.0.1] maximum 20 -----基於源ip(若不指定ip則針對所有ip)對arp-miss限制
-
display arp packet statistics
DAI/Dynamic ARP Inspection/動態ARP檢測
- 可防止中間人攻擊
- 當裝置收到ARP報文時,將此ARP報文對應的源IP、源MAC、VLAN以及介面資訊和繫結表的資訊進行比較,如果資訊匹配,說明傳送該ARP報文的使用者是合法使用者,允許此使用者的ARP報文通過,否則就認為是攻擊,丟棄該ARP報文。
- 需要裝置使能DHCP Snooping功能
基本配置
在開啟DHCP Snooping的前提下
- arp anti-attack check user-bind enable --開啟DAI
- user-bind static ip-address 10.0.0.2 mac-address 0000-1111-2222 interface g0/0/1 vlan 1 ----配置繫結表靜態表項
- display dhcp snooping user-bind all ----檢視繫結表
- display arp anti-attack statistics check user-bind interface g0/0/1 --檢視介面下DAI的ARP報文丟棄計數
SDN/Software Defined Network/軟體定義網路
傳統網路的結構體系
- 管理平面:裝置管理/SNMP
- 控制平面:路由協議(IGP,BGP)
- 轉發平面:轉發表/FIB
傳統網路的侷限性
- 流量路徑的靈活調整能力不足
- 網路協議實現複雜,運維難度大
- 網路新業務升級速度較慢
SDN的三種特性
- 轉控分離
- 集中控制
- 開放介面
SDN網路體系結構
- 北向介面:用於向上級應用程式(可根據自身需求在虛擬化平臺上定義程式設計)相連
- 南向介面:用於和下層的轉發器/FP/Forwarding Plane/轉發平面相連線,通過OpenFlow協議相互連通
- 東西向介面:用於和非SDN網路或其他SDN網路想連線
- SDN控制器:相當於整合了所有轉發器的原控制平面(通俗來講就是路由協議如OSPF,BGP等和路由表),所有轉發器會將資料先傳送到SDN控制器,SDN控制器會根據相應的策略(可以是APP上編寫的協議)向相應的轉發器下發轉發表項
VLAN/Virtual Extensible Local Area Network/虛擬擴充套件區域網
傳統資料中心面臨的挑戰
- 計算節點低延遲需求
- 虛擬化應用(網路虛擬化、伺服器虛擬化、儲存虛擬化)大量部署
- 虛擬技術的應用加劇瞭如mac地址表象,ARP表項的內容(原本一個介面就一個裝置,虛擬化後可能有一個物理裝置加上其他虛擬裝置的流量)
- 傳統三層網路架構下虛擬機器動態遷移帶來的問題(遷移範圍受限制)
- 虛擬機器遷移要求二層可達
- 變更虛擬機器IP地址造成業務中斷
- 而且相關的伺服器也要進行相應的配置變更
- 網路和業務維護自動化需求
VXLAN描述
-
是由IETF定義的NVO3/Network Virtualization over Layer 3 標準技術之一,是對傳統VLAN協議的一種擴充套件。VXLAN的特點是將L2的以太幀封裝到UDP報文(即L2 over L4)中,並在L3網路中傳輸。
-
如下圖所示,VXLAN本質上是一種隧道技術,在源網路裝置與目的網路裝置之間的IP網路上,建立一條邏輯隧道,將使用者側報文經過特定的封裝後通過這條隧道轉發。從使用者的角度來看,接入網路的伺服器就像是連線到了一個虛擬的二層交換機的不同埠上(可把藍色虛框表示的資料中心VXLAN網路看成一個二層虛擬交換機),可以方便地通訊。
-
為什麼需要VXLAN:這和資料中心伺服器側的虛擬化趨勢緊密相關
- 一方面伺服器虛擬化後出現了虛擬機器動態遷移(保證虛擬機器上服務正常執行的同時,將一個虛擬機器系統從一個物理伺服器移動到另一個物理伺服器的過程),要求提供一個無障礙接入的網路
- 另一方面,資料中心規模越發龐大,租戶數量激增,需要網路提供隔離海量租戶的能力(用VXLAN網路標識/VNI/VXLAN Network ID來區分不同租戶)。
相關文章
- 個人筆記筆記
- 個人筆記-vuex筆記Vue
- 前端安全——個人筆記前端筆記
- JavaFx基礎操作【個人筆記】Java筆記
- 《搭建個人Leanote雲筆記本》筆記
- 中國剩餘定理(個人筆記)筆記
- 《聯邦學習》——個人筆記(二)聯邦學習筆記
- php反序列化個人筆記PHP筆記
- 計算機網路個人筆記計算機網路筆記
- Vue生命週期函式.個人筆記Vue函式筆記
- Electron+GithubAPI打造個人筆記應用GithubAPI筆記
- @Cacheable關於快取的個人筆記快取筆記
- GOT & PLT 易於理解的個人筆記Go筆記
- 《每個人的戰爭》讀書筆記筆記
- 開通個人學習隨筆記錄筆記
- 前端進階-個人筆記-小知識前端筆記
- vant upload 圖片壓縮(個人筆記)筆記
- WWDC18 What’s New in LLVM 個人筆記LVM筆記
- 個人React / Koa 專案上線——健身筆記React筆記
- 【機器學習】支援向量機(個人筆記)機器學習筆記
- js字串與陣列常用方法速查.個人筆記JS字串陣列筆記
- 《深入理解Java虛擬機器》個人筆記Java虛擬機筆記
- 《人類簡史》筆記筆記
- [個人筆記] 關於linux的常見問題合集筆記Linux
- Linux 學習筆記(二):搭建個人Git伺服器Linux筆記Git伺服器
- 微信支付 WEB APP 配置資訊流程(個人筆記)WebAPP筆記
- 個人記錄
- django rest framework個人學習筆記(三)————Tutorial1.SerializationDjangoRESTFramework筆記
- 《資料庫系統概論》 (第4版) 個人筆記資料庫筆記
- koa2實戰個人筆記(二)——模板渲染引擎ejs筆記JS
- 簡讀composer自動載入原始碼(個人筆記向)原始碼筆記
- 計組筆記第一章個人整理未完善筆記
- 個人常用記錄
- 個人BUG記錄
- django rest framework個人學習筆記(四)————Tutorial2.Request and ResponseDjangoRESTFramework筆記
- redis個人原始碼分析筆記4--hash物件的儲存Redis原始碼筆記物件
- 王道資料結構第一章個人向筆記資料結構筆記
- 機器學習個人筆記(三)之無監督學習機器學習筆記