Bootstrap

华为hcip笔记

一、IP路由基础

1.1 认识网络设备

1、主控板:负责整个系统的控制平面和管理平面

控制平面:完成系统的协议处理、业务处理、路由运算、转发控制等

管理平面:状态监控、环境监控、日志和告警信息的处理等

2、交换网板:提供了系统的数据平面

进行数据的转发,当接口板和主控板想要实现通信时,需要经过交换网板

3、接口板:用于提供数据转发功能的模块

1.2 网络设备对于报文的处理

1、业务报文

上行接口板接收到数据进行处理之后,会将数据发送给交换网板,交换网板发送给下行接口板进行转发

2、协议报文

如果是设备自己产生的协议报文,会有主控板进行处理,交由接口板外进行转发

1.3 IP路由基础

1、路由表与fib表

路由表:全局路由表和协议路由表(控制平面)

全局路由表:可以看到通过不同方式学习到的路由

协议路由表:通过路由协议所学习到的路由

FIB表:存在与数据平面上的转发表项

路由查找规则:最长匹配原则进行路由查找

2、路由迭代:静态路由的下一跳可能不是直连路由,计算出去往该路由下一跳的直连路由,

3、路由引入:将路由信息从一种路由协议发布到另一种路由协议中

注意:路由优先级

路由回灌

路由度量值

引入的场景:静态路由引入到动态路由

直连路由引入到动态路由

动态路由相互引入

二、OSPF核心知识

2.1 OSPF基础

1、动态路由协议的划分

按照工作区域进行划分

IGP(内部网关协议):RIP、OSPF、ISIS

EGP(外部网关协议):BGP

按照工作机制进行划分

距离矢量路由协议:RIP

运行了举例矢量路由协议的设备周期性的泛洪自己的路由表

链路状态路由协议:OSPF、isis

传递的是链路状态信息,而不是路由信息

进行链路状态信息的同步

(1)建立邻居关系(通过HELLO报文建立)

DOWN:初始状态,没有收到任何报文

init:接收到对方发送的hello报文,但是邻居关系为空

2-way:稳定状态,表示建立了邻居关系,发现自己的router id处于对方的邻居列表中

(2)LSDB同步完成(建立邻接关系)

exstart:开始发送第一个DD报文,协商主从关系(router id大的为主)

exchange:开始发送DD报文(携带LSDB摘要信息)

loading:开始交互LSA信息(开始发送LSR、LSU、lsack进行确认)

FULL:已经建立了邻接关系

(3)SPF算法计算出最优路由            

(4)将计算出来的路由加入到路由表当中

2、专业术语

router id:标识一个ospf路由器,32bit

router id选举:

区域:防止区域中LSDB规模过大

度量值:开销

三大表项

邻居表:

LSDB表:

ospf路由表:

3、ospf五种报文

hello:发现和维护邻居关系

DD报文:协商主从关系,交互链路状态数据库摘要信息

LSR报文:请求特定的LSA

LSU报文:发送完整的LSA

LSACK:确认LSA

4、DR和BDR

-作用:减小邻接关系

-DR与BDR选举:基于接口,非抢占式

接口的优先级,优先级越大越优先(优先级为0的时候,不参与DR和BDR的选举)

接口的优先级相同,router id越大越优先

-P2P和P2MP的网络类型不需要选举DR和BDR

broadcast和NBMA的网络类型需要选举DR和BDR

2.2 OSPF路由计算

1、OSPF中涉及到的LSA类型(LSA头部当中 LS TYPE、LS ID(在不同的LSA当中的作用不同)、advertising router)

1类LSA(router LSA):(link-type、link-ID、link-data)

产生:每台设备都会产生:

作用:携带设备的链路状态以及开销

泛洪范围:只在接口所属的区域内泛洪

2类LSA(network LSA):(LS ID:DR的接口IP地址,network mask:MA网络的子网掩码,attached router:显示与DR建立邻接关系的所有设备的router id)

产生:DR产生

作用:描述该DR连接的所有路由器

泛洪范围:只在接口所属的区域内泛洪

3类LSA(network summary LSA):(LS ID:路由的目的地址、network mask:路由的子网掩码)(在同一区域内不会发生任何改变)

产生:ABR产生

作用:描述区域内某个网段的路由

泛洪范围:可以在区域之间进行传递

4类LSA(ASBR summary LSA):

产生:ABR产生

作用:描述到达ASBR的位置

泛洪范围:除ASBR所在区域的其他相关区域

5类LSA(AS external LSA)

产生:由ASBR产生

作用:描述到达ospf外部路由

泛洪范围:泛洪到整个OSPF区域

2、SPF计算:在区域内部如何通过1类、2类LSA进行路由计算

3、虚连接:ospf要求骨干区域必须是连续的,但是不要求物理上连续,可以使用虚连接的方式实现逻辑上连接

前提:必须在两台ABR上配置

这两个ABR上必须由端口处于同一个非骨干区域当中

4、引入外部路由的度量值类型(import-route [想要引入的路由类型] type [type类型])

type 1:可靠性比较高,计算开销时会计算外部开销和内部开销

type 2 :(缺省)可靠性比较低,计算开销时只计算外部开销,内部开销忽略不计

2.3 OSPF特殊区域及其他特性

1.特殊区域

(1)stub区域:无法传播接收到的外部路由(存在1类、2类、3类、缺省3类LSA,无四类和五类LSA存在)

配置stub的注意事项:

(1)骨干区域无法配置为stub区域

(2)本区域中的所有路由器上配置stub区域

(3)stub无法引入和接收外部路由

(4)虚连接无法跨越stub区域

(2)totally stub区域:既不允许外部路由在本区域传播,也不允许区域间路由在本区域传播(存在1类、2类、缺省3类LSA)

(3)NSSA区域:可以引入外部路由,不会学习来自ospf其他区域引入的外部路由(存在1类、2类、3类、7类LSA、缺省的7类LSA(实现Nssa区域去往其他区域外部路由的通信))

(4)totally NSSA区域:不允许区域间路由进行传递(1类、2类,缺省3类LSA,缺省7类LSA,7类LSA)

2.区域间路由汇总和外部路由汇总

(1)区域间路由汇总(对3类LSA进行汇总):在ABR上进行配置,需要考虑在那个区域中进行汇总???

(2)外部路由汇总(5类LSA进行汇总):在ASBR上进行配置,直接在ospf进程中配置汇总

3.协议特性

(1)slient-interface(静默接口):该接口不会发送ospf报文,但是该接口的直连路由(也要进行宣告)仍可以发布到OSPF区域当中

(2)报文认证(会在所有的OSPF头部携带认证信息):

区域认证方式:一个区域内所有的设备都要使用相同的认证模式和口令

接口认证方式:和配置了接口认证直连的接口需要配置相同的认证模式和口令

三、IS-IS核心知识

3.1 ISIS原理与配置

1、专业术语

(1)NSAP地址和NET地址

NSAP地址:作用:用于定位资源的地址,一般配置在服务器上(SEL)(类似于IPV4中IPv4地址+端口)

NET地址:作用:进行路由计算,一般配置在网络设备上

组成:Area ID(1byte~13byte)+system ID(6byte)+SEL(固定为00)(1byte)

system ID:建议使用router ID生成

(2)ISIS当中路由器类型

level1路由器:表示非骨干区域

会与哪些设备建立邻接关系?

(1)同一区域(area ID相同)

(2)只与LEVEL1和level1-2路由器建立邻接关系(层次相同)

level2路由器:表示骨干区域

(1)区域不同也可以建立邻接关系

(2)只与level2和level1-2路由器建立邻接关系(层次相同)

level1-2路由器:表示骨干区域(类似于ospf中的ABR设备)

(3)网络类型:广播、P2P

(4)开销值:缺省情况下,和接口带宽无关,开销值为10(开销类型:(1)narrow(缺省):最大配置开销为63(2)wide:可以将接口开销拓展到16777215)

更改开销值的方式

(1)接口开销值:为单个接口配置开销

(2)为全局开销:为所有的接口配置开销值

(3)自动计算开销:根据接口带宽自动计算开销

2、建立邻接关系(在ISIS中,先建立邻接关系,在交互链路状态信息)

2.1 使用报文

(1)IIH(ISIS hello):建立和维护邻接关系。类型level1 IIH、level2 IIH和P2P IIH报文(类似于OSPF中hello)

(2)LSP:用于交互链路状态信息,类型level1 LSP和level2 LSP(类似于OSPF中的LSU)

(3)CSNP:和OSPF中的DD报文类似,用于携带全部的链路状态摘要信息

(4)PSNP:和ospf中的LSR报文和LSACK报文类似,用于请求LSP信息,进行确认

2.2 DIS(指定中间系统,类似于ospf中的DR)(减少链路中LSP的数量)

(1)作用:创建和更新伪节点,并且会生成伪节点的LSP(携带去往ISIS设备的开销值)

(2)DIS选举原则

比较优先级越大越优先

优先级相同,比较MAC地址越大越优先

(3)ISIS中DIS和OSPF中DR的区别???

2.3 建立邻接关系

使用IIH报文

广播网络(建立邻接过程和OSPF中建立邻居关系类似)

点到点网络中(三次握手(缺省情况)、两步交互的方式)

3、进行链路状态数据库的同步

3.1涉及到的报文

(1)LSP:(了解LSP当中所携带的信息)交互链路状态信息,两种LSP类型,level1 LSP和level2 LSP

(2)会查询LSDB,了解当中每一个字段的含义

(3)CSNP:携带了所有的LSP摘要信息

(4)PSNP:(1)用来进行请求LSP

(2)在点到点的网络上,当收到LSP时,会发送PSNP报文进行确认

(5)在广播网络中如何去进行LSDB的同步

(6)在点到点网络中如何进行LSDB同步

4、路由计算

(1)level 1路由器的计算:只计算level1区域中的拓扑

(2)level 2路由器的计算:计算level2区域的拓扑,但是具有去往全网的路由信息

(3)level1/2路由器的计算(即是level 1 也是level 2):会将level 1 区域的路由以level 2 LSP发送到level2 区域中

(4)在缺省情况下,level2区域的路由不会发送到level1区域,而level1/2设备会生成ATT=1的LSP信息,当level1接收到ATT=1的数据时,就会生成一条缺省路由,下一跳地址为level1/2接口的IP地址

(5)路由渗透:将level2的路由引入到level1区域当中

解决问题是什么?解决了次优路径的问题

5、ISIS认证

(1)接口认证:在接口视图下进行配置,只会对网络当中level 1和level 2的hello报文进行认证,影响设备建立邻接关系

(2)区域认证:在进程当中进行配置,对LEVEL 1的CSNP、PSNP和LSP报文进行认证,无法进行level 1LSDB数据库的同步

(3)路由域认证:在进程当中进行配置,对LEVEL 2的CSNP、PSNP和LSP报文进行认证,无法进行level 2LSDB数据库的同步

四、BGP核心知识

4.1 BGP原理与配置

1、专业术语

(1)AS(自治系统):在同一个组织管理下,使用统一选路策略的设备集合

(2)BGP特征:

1.BGP协议基于TCP,使用的端口号为179

2.BGP可以承载大批量的路由信息(触发式更新)

3.BGP提供了丰富的路由策略和路由属性,可以灵活的实现路由选路,以及防止环路

4.BGP支持MPLS VPN的应用

(3)BGP对等体关系(EBGP和IBGP)(在BGP中,可以跨设备建立对等体关系)

1.EBGP对等体关系:两台设备处于不同的AS,路由可达(如果在建立EBGP对等体时,使用loopback接口建立对等体关系)

2.IBGP对等体关系(建议使用loopback接口建立对等体关系):两台设备处于相同的AS,路由可达

2、对等体关系建立

三次握手建立TCP连接

OPEN报文(协商相关参数)

keepalive报文:标识对等体建立完成,并维护对等体关系(周期性发送一分钟一次)

如果有路由信息信息需要传递时,则会发送update报文

3、BGP报文类型

OPEN:协商相关参数

keepalive:标识对等体建立完成,并维护对等体关系

update:发送路由更新(发布路由、撤销路由)

notification:报告错误信息,中止对等体关系

route-refresh:当路由策略发生改变时,重新请求发送路由信息

4、BGP状态机

idle:初始状态,为了进行tcp连接做准备

connect:正在进行TCP连接

(1)TCP建立成功 opensent:发送open报文用来协商参数

(2)TCP建立不成功 active:tcp连接建立失败,重新尝试建立TCP连接

openconfim:参数协商完成,发送了自己的keepalive。等待对方的keepalive

established:稳定状态,收到对方发送的keepalive报文时(BGP会话建立完成)

5、BGP路由如何生成(BGP只进行路由的传递,不会主动学习并发现路由)

(1)network:注入的是精确的路由信息

(2)import-route:可以批量将路由(路由学习到的方式是相同的)进行注入

(3)BGP聚合路由(手工聚合):

6、BGP通告原则

(1)只发布最优且有效的路由。*代表有效,>代表最优

(2)从EBGP对等体获取的路由,会发送给所有对等体

(3)IBGP水平分割(用于避免AS内部环路):从IBGP对等体所获取的路由,不会发送给其他IBGP对等体

(4)BGP同步原则(防止出现路由黑洞):当一台路由器从自己的IBGP对等体信息到一条BGP路由时,不会将该路由发布给自己的EBGP对等体,除非从IGP协议当中学习到该条路由

4.2 BGP路径属性与路由反射器

1、路径属性

公认必遵属性:必须存在update消息

origin:起源,标识路由来源,进行优选的原则 :i>e>?

AS_PATH:记录去往目标网络经过的AS列表,作用:实现避免AS间环路,实现路径优选(根据AS_PATH个数多少)

next_hop(下一跳):(1)缺省情况下,当发送给EBGP对等体时,会将下一跳地址更新成TCP源连接地址

(2)缺省情况下,BGP路由在传递给IBGP对等体时不会进行next_hop的更改(可以添加next-hop-local参数)

公认任意属性:可能会存在于update消息中,但是如果携带必须识别

local_preference(注意事项):用于告诉AS内的路由器,那条路径时离开本AS的最优路径(在AS内部进行应用)

atomic_aggregate:标明该路由是聚合路由

可选过渡属性:BGP设备不识别此类属性,接收并通告给其他设备

aggregate:记录了聚合设备的AS和router ID

community(4种公认community属性):团体,用来进行路由标记,简化路由策略的执行

可选非过渡属性:bgp不识别此属性忽略掉该属性,并不会通告给其他对等体

MED:缺省情况下,只比较来自相邻AS的BGP路由器的MED值,越小越优先(跟路由表中的度量值相同)

c

2、华为特有的属性

preferred-value:仅在本地有效,越大越优先,只能在路由器本地配置,并且只影响本设备的路由优选

3、BGP反射器

(1)存在哪些路由器角色

RR:路由反射器(进行配置)

client:客户端

(2)反射规则

a.如果路由反射器从自己的非客户对等体学习到一条IBGP路由,则它会将该路由反射给所有客户

b.如果路由反射器从自己的客户学习到一条IBGP路由,则它会将该路由反射给所有非客户,以及除了该客户之外的其他所有客户

c.如果路由学习自EBGP对等体,则发送给所有客户、非客户IBGP对等体

(3)如何通过cluster_list

originator_id实现避免环路

4.3 BGP路由优选

当到达同一个目的网段存在多条路由时,BGP通过如下的次序进行路由优选:

丢弃下一跳不可达的路由。

(1)优选Preferred-Value属性值最大的路由。

(2)优选Local_Preference属性值最大的路由。

(3)本地始发的BGP路由优于从其他对等体学习到的路由,本地始发的路由优先级:优选手动聚合>自动聚合>network>import>从对等体学到的。

(4)优选AS_Path属性值最短的路由。(AS的个数而不是AS的大小)

(5)优选Origin属性最优的路由。Origin属性值按优先级从高到低的排列是:IGP(network方式学习到的)、EGP(通过EGP的形式学习到)及Incomplete(import-route)。

(6)优选MED属性值最小的路由。

(7)优选从EBGP对等体学来的路由(EBGP路由优先级高于IBGP路由)。

(8)优选到Next_Hop的IGP度量值最小的路由。

前八条原则如果还未选举出最优路由,则可以配置负载分担

(9)优选Cluster_List最短的路由。

(10)优选Router ID(Orginator_ID)最小的设备通告的路由。(Orginator_ID优于ROUTER id)

(11)优选具有最小IP地址的对等体通告的路由

五、路由和流量控制

5.1 路由策略与路由控制

1.路由匹配工具

(1)访问控制列表(ACL):

ACL分类:

ACL匹配顺序:

配置顺序:系统按照acl规则编号从小到大的顺序进行报文匹配,

(2)IP前缀列表(IP-prefix list):同时匹配IP地址前缀长度和掩码长度

配置顺序:系统按照序号从小到大的顺序进行报文匹配

A.ip ip-prefix list index 10 permit/deny 192.168.1.1 24 匹配的IP地址192.168.1.0/24

B.ip ip-prefix list index 10 permit/deny 192.168.1.1 24 greater-equal(下限) 26 less-equal 30 匹配的IP地址192.168.1.0掩码处于26-30之间的路由都可以被匹配

C.ip ip-prefix list index 10 permit/deny 192.168.1.1 24 less-equal 30 匹配的IP地址192.168.1.0掩码范围为24-30

2.路由策略工具

(1)filter-policy(过滤-策略)对于接收、发布、引入的路由的路由进行过滤

在距离矢量路由协议中的应用(路由信息):

import:接收路由时进行路由过滤

export:向外发布时进行路由过滤

在链路状态路由协议中的应用(LSA信息)

import:在计算出最优路由之后添加到路由表时进行过滤

export:过滤掉其他协议引入的路由

(2)route-policy:用于过滤路由信息,为过滤后的路由信息设置路由属性

一个route-policy由一个或多个节点组成,节点包含if-math(条件语句)和apply(执行语句)组成

(每个节点之间都是或的关系,节点中的条件语句,条件语句中的关系是与的关系)

3.双点双向路由重分布

解决次优路由

(1)过滤路由

(2)通过更改优先级

环路问题

(1)过滤路由

(2)给路由打上tag标签

六、交换技术核心知识

6.1 流量过滤与转发路径控制

1.策略路由(PBR):使网络设备不仅能够基于报文的目的IP地址进行转发,还可以根据源IP地址、源MAC地址、目的MAC地址等进行数据转发

2.策略路由的组成结构

策略路由的构成和router-policy是类似的

多个节点组成,在每个节点当中都会存在多个条件语句(if-match)和执行语句(apply)

3.策略路由(PBR)和路由策略的区别

(1)路由策略:匹配的对象路由信息,

(2)策略路由:匹配的对象数据报文,执行丢弃或者强制转发路径的操作

4.PBR的分类

(1)接口PBR:只对转发的数据报文起作用

(2)全局PBR:只对本地始发的流量生效

5.MQC(模块化qos命令行):指通过将具有某类共同特征的数据流划分为一类,并为同一类数据类提供相同的服务

(1)MQC存在的要素

A.流分类:定义一组匹配规则的(匹配)

B.流行为:定义执行的动作是什么(执行动作)

C.流策略:将流分类和流行为进行绑定

(2)MQC应用的地点(接口上进行调用)

inbound

outbound

6.流量过滤

traffic-filter:接口中进行调用

MQC:为匹配的报文指定报文过滤动作时,

acl规则permit,执行动作根据流行为当中配置的动作执行

acl规则deny,则无论执行动作中配置了deny还是permit,报文都会被丢弃

七、生成树技术/网络堆叠

7.1 RSTP协议原理与配置

1.RSTP对于STP的改进

(1)端口角色

新增端口:替代端口(AP)(最终处于阻塞状态):作为根端口的备份,学习到其他设备发送过来的BPDU时,把自己选举为替代端口

备份端口(BP)(最终处于阻塞状态):作为指定端口的备份,学习到自己发送出去的配置BPDU

(2)端口状态

discarding:不转发用户流量也不学习mac地址

learning:不转发用户流量但是会学习mac地址

forwarding:即转发用户流量也会学习mac地址

(3)配置BPDU---RST BPDU(将报文当中FLAG字段进行了充分应用)

(4)在RSTP中,每一台设备(无论是根桥还是非根桥2)都会周期性的发送RST BPDU(hello time=2s)

(5)(STP中超时时间为20S)更短的BPDU超时如果在超时时间内(三个周期6s)未收到上游设备发送过来的配置BPDU,则认为上层设备出现故障

(6)处理次优BPDU方式的改变(只要接收到配置BPDU就会直接进行响应)

(7)快速收敛机制

A.替代端口和根端口的快速切换,备份端口和指定端口的快速切换

B.边缘端口:用于网络的边缘,直接与终端设备相连接,不会参与生成树计算,可以由discarding变为forwarding(当边缘端口收到了配置BPDU时,会丧失边缘端口的特性,变为普通的stp端口,进行stp计算)

C.P/A机制

(8)RSTP保护功能

A.BPDU保护:正常情况下边缘端口(用来连接终端设备)不会接收到BPDU,启动BPDU保护,如果边缘端口接收到了RST BPDU,边缘端口变为down(设备收到BPDU时,自动将端口shutdown)

B.根保护:对于启动根端口的保护功能,端口角色为指定端口(当指定接收到优先级更高的RST BPDU时,端口状态变为discarding,经过一段时间(通常30s),如果未收到更优的BPDU,接口状态会恢复为forwarding

C.环路保护:在启动环路保护功能后,如果根端口或者Ap端口长时间收不到上游设备发送的BPDU报文时,根端口角色变为指定端口(状态处于discarding)AP端口也是处于discarding状态

D.防TC-BPDU攻击:在单位时间内处理TC BPDU报文的数量

7.2 MSTP协议原理与配置

1、基本概念

(1)MSTP域:判断两台设备是否处于同一个MST域,拥有相同的域名、相同的映射关系(VLAN映射关系)、相同的修订级别

(2)CST(公共生成树):在MST域之间使用的生成树

(3)IST(内部生成树):在MST域内生成的生成树(使用实例0所计算的生成树)

(4)CIST(公共和内部生成树):将CST和IST进行结合

(5)SST(单生成树):在一个MST域只会存在一台设备,并且属于一个实例

(6)IST域根:在每一个MST域内距离总根最近的一台设备

(7)MSTl域根:在MST域内不同实例计算出的根桥都是MSTI域根

(8)总根:在整个交换网络中最优的一台设备

(9)主桥:距离总根最近的交换设备,包括:总根和IST域根

2、端口角色

MSTP中定义的所有端口角色包括:

(1.根端口:在非根桥上,离根桥最近的端口是本交换设备的根端口

(2.指定端口:对一台交换设备而言,它的指定端口是向下游交换设备转发BPDU报文的端口

(3.Alternate端口:Alternate端口就是由于学习到其它网桥发送的配置BPDU报文而阻塞的端口

(4.Backup端口:Backup端口就是由于学习到自己发送的配置BPDU报文而阻塞的端口

(5.Master端口:Master端口是特殊域边缘端口,Master端口在CIST上的角色是Root Port,在其它各实例上的角色都是Master端口,在一个MST域内距离总根最近的一台设备,

(6.域边缘端口:域边缘端口是指位于MST域的边缘并连接其它MST域或SST的端口

(7.边缘端口:如果指定端口位于整个域的边缘,不再与任何交换设备连接,这种端口叫做边缘端口

3、端口状态

discarding:不转发用户流量也不学习mac地址

learning:不转发用户流量但是会学习mac地址

forwarding:即转发用户流量也会学习mac地址

7.3 交换机堆叠与集群

1、堆叠和集群的优点

(1)提高资源的利用率,获得更高的转发性能

(2)降低网络规划的复杂度,易于对于网络进行管理

(3)降低业务的中断时间

2、堆叠当中的基本概念

(1)交换机角色

主交换机:负责管理整个堆叠系统

备交换机:作为主交换机的备份

从交换机:用于进行业务转发

(2)堆叠优先级:选举主交换机和备交换机,优先级越大成为主交换机的可能性越高

(3)堆叠ID:标识和管理成员交换机,在整个堆叠系统当中属于唯一的(华为设备缺省为0)

(4)堆叠逻辑接口(交叉使用):每一台设备上都会存在两个逻辑接口(在每一个逻辑接口当中可能会包含多个物理成员端口)

3、堆叠系统组建

(1)物理连接

A.堆叠连接方式

链形连接:进行堆叠的设备距离距离较远时

环形连接:进行堆叠的设备距离距离较近时

(2)主交换机选举

A.运行状态(如果其余设备在20s内还未开启,则不参与主交换机的选举)

B.优先级越高越优先

C.优先级相同,mac地址越小越优先

(3)收集拓扑信息并选举备交换机(和主交换机类似)(如果产生的堆叠ID冲突,主交换机会

进行分配)

(4)软件和配置同步(所有的成员交换机会自动同步主交换机的系统软件以及配置,备交换机会将主交换机的配置进行备份)

4、堆叠成员加入、退出等

(1)堆叠退出(不同角色再退出时会有不同的操作)

(2)堆叠加入(新加入的设备会进行哪些操作,并成为那种角色?)

(3)堆叠合并:两个正在运行的堆叠系统想要进行合并时,也是会选举出一个主交换机

(4)堆叠分裂:指正在稳定运行的堆叠系统产生线路故障,或者设备带电移出堆叠交换机(问

题:可能会造成vlanif接口IP地址冲突的问题)

(5)MAD检测(多主检测)

两种检测方式

直连检测:堆叠成员交换机之间直接相连进行多主检测

堆叠运行正常时,不会发送MAD报文,如果产生堆叠分裂之后,每秒发送一次MAD检测报

代理检测:在堆叠系统当中使用eth-trunk上启用代理检测,在代理设备上开启mad检测

堆叠运行正常时,30秒发送MAD报文,由于堆叠系统未发生故障,则设备直接直接丢弃mad报文,如果产生堆叠分裂之后,每秒发送一次MAD检测报文

(6)堆叠主备倒换:第一种可以通过命令的方式将主交换机和备交换机角色切换,第二种主交换机发生故障

(7)堆叠升级

智能升级

传统升级

平滑升级:划为为两个区域active和backup

(8)跨设备链路聚合

(9)开启流量本地优先转发

八、组播基础

8.1 IP组播技术

1、组播地址分类

224.0.0.0~224.0.0.255:为路由协议分配的组播IP地址

224.0.1.0~231.255.255.255

233.0.0.0~238.255.255.255:any-source临时组播组地址

232.0.0.0~232.255.255.255:特定源使用(SSM)

239.0.0.0~239.255.255.255:本地管理的any-source临时组播组地址

2、组播mac地址(组播IP地址映射而来)

前25bit固定不变01005e0

后23bit直接由组播IP地址后23位映射而来

一个组播mac地址会对应32个组播IP地址

3、组播当中基本架构

(1)源端网络:组播源发送出的数据到达第一跳路由器

(2)组播交换网络:会形成一颗组播分发树(使用组播路由协议进行计算)

(3)成员端网络:用来感知组播组成员的位置以及加入的组播组(IGMP)(与组播组成员之间连接的路由器)

4、组播服务模型

ASM(任意源组播):组成员可以接收到任意源发送给该组的流量

SSM(指定源组播):组成员只能接收到指定服务器发送给该组的数据

5、RPF检查(反向路径转发):可以检查设备上唯一的一个组播流量的入接口(基于单播路由表中的出接口)

8.2 IGMP

1、igmp版本:用于在成员端网络感知组成员位置以及加组信息

(1)IGMPv1

A.两个报文:

普遍组查询报文(General query):查询器用来查询组成员的位置以及加入那个组播组

成员关系报告报文(report):主机向查询器发送的报文,作用申请加入哪一个组播组当中或进行应答查询报文·

B.查询器的选举:IGMPV1不存在查询器的选举规则,需要依靠组播协议进行查询器的选举

C.如果组成员离开时,静默离开(查询器需要等待130s的时间才可以感知组成员已经离开)

(2)IGMPv2(和igmpv1基本相同)(缺省)

A.增加了两种报文

成员关系离开报文:成员离组时会主动向查询器进行发送

特定组查询报文:查询器向特定的某个组播组进行组成员的查询

B.增加了查询器的选举机制:IP地址越小变为成为查询器

(3)IGMPv3(可以指定接收哪些组播源发送过来的组播流量)

A.特定源组查询报文:查询该组成员是否愿意接收特定源发送的组播数据

无成员离开报文,如果离开时,发送改变源组关系的成员关系报告报文

2、IGMP特性

(1)IGMP snooping

A.作用:防止在交换机上出现组播数据泛洪,导致不同组播组的流量会被其他组成员接收

B.防范:在二层设备上形成一个二层组播转发表,用来指导组播数据在链路层的转发

C.存在的接口类型

路由器接口:距离查询器最近的一个接口叫做路由器接口(收到普遍组查询的接口)

成员接口:距离组播组成员最近的端口都叫做成员接口(收到成员关系报告报文或者leave报文)

D.转发表项如何生成?

(2)IGMP SSM mapping(组播组的地址使用232.0.0.0-232.255.255.255)

A.作用:在现网中部分终端只支持IGMPV1和IGMPv2,如果使用SSM组播,则无法携带组播源信息

B.使用:通过静态建立组播源和组播组之间的映射关系

(3)IGMP proxy(三层设备)

A.作用:减小查询器接收到的成员关系报告报文和离开报文,用来减轻查询器的压力

B.实现:IGMP proxy设备可以代理查询器发送查询报文,维护组成员关系

C.成员加入时:1.新成员加入一个新的组播组时,如何操作 2.新成员如果加入的是已有的组播组时,如何进行

D.成员离开时:

九、IPv6核心知识

9.1 PIM原理

1、PIM基础概念

(1)PIM中分为两种模式

PIM-DM(密集模式):主要应用与组成员较少且组成员相对密集的场景中采用的是“推”的模式(扩散-剪枝)

PIM-SM(稀疏模式):主要应用于组成员较多且相对稀疏的场景当中,采用的是“拉"的模式(先收集全网信息,再形成组播分发树)

PIM-SM(ASM)

PIM-SM(SSM)

(2)PIM当中存在的组播分发树

以组播源为根,组播组成员为叶子的组播分发树成为SPT(PIM-DM当中和PIM-SM中进行应用)

以RP为根,组播组成员为叶子的组播分发树承认RPT(PIM-SM中进行应用)

(3)组播路由表项

最后一跳路由器基于pim路由表、IGMP组表项和IGMP路由表项生成

其余路由器的组播表项基于PIM路由表生成

2、PIM-DM工作模式

(1)邻居发现:通过发送HELLO报文进行实现(30s为周期,老化时间为105s)

(2)构建组播分发树

A.扩散机制:会将组播源发送的组播数据全网扩散(180s)(会在设备上构建(S, G)老化时间为210s)

B.断言机制:当链路中出现重复的组播数据时,会发送断言(assert)报文保证在该链路只有一个pim路由器转发组播数据(180s)

(选举原则1.单播路由协议优先级越高越优先 2.优先级相同,比较开销,越小越优先 3.IP地址越大越优先)

C.剪枝机制:对于没有组播组成员的组播路由器,会触发剪枝机制(210s)

(3)维护组播分发树

状态刷新机制:为了防止剪枝定时器超时重新恢复转发(60s)离组播源最近的一台路由器会周期性的发送状态耍弄新报文

(4)新成员加组时

嫁接机制:使有组成员加入的网段可以快速接收到组播报文

3、PIM-SM(ASM)模式

(1)如何选举RP设备

静态配置

动态配置(c-BSR、c-rp)

(2)形成组播分发树

A.RP为根,构建出RPT(在RP设备与组播组成员之间构建RPT,并在中间经过的设备上产生(*,G))(用于RP设备与组播组成员之间进行组播数据转发)

B.组播源注册机制:源端DR在接收到组播数据时,会产生单播注册报文发送给RP设备,当RP设备接收到之后就会构建SPT(当SPT构建完成之后,会向源端DR发送注册停止报文)

C.如何避免重复组播报文存在

在组播网络中源端DR和成员端会存在PIM DR的选举,成为DR设备进行组播数据转发,成为非DR设备不会进行数据转发(在HELLO报文中会携带优先级和IP地址,先比较接口优先级越大越优先,优先级相同,比较IP地址,越大越优先)

D.产生次优路径的问题

SPT切换机制:成员端DR在接收到组播数据时,基于组播数据中的源IP地址,反向建立从成员端DR到达组播源的SPT(如果在210s,没有组播流量经过,则恢复到原先的RPT)

4、PIM-SM(SSM)模式(类似与ASM模式当中的SPT切换)

A.无需维护RP,无需构建RPT,无需注册组播源

B.可以直接在组播源与组播组成员之间构建SPT(不存在老化时间,不会因为组播流量消失而消失)

9.2 IPv6概述

1、ipv6过渡技术

(1)双栈技术(设备即ipv4/ipv6支持):在一台设备同时运行ipv4和ipv6协议

(2)隧道技术:将一种协议的数据封装到另一种协议当中

(3)转换技术:将ipv6数据转换为ipv4(主要ip头部改写)

2、ipv6中动态路由协议做出的改进(简单介绍)

(1)版本进行改变:ospfv3

(2)版本未改变,只是做出一些拓展:ISIS.BGP.PIM

3、IPV6地址组成(128bit,表现形式:冒号十六进制)

(1)地址组成:网络前缀+接口表示符/前缀长度

(2)常见的网络前缀

例:2001::/16:类似于IPv4公网地址

FE80::/10:链路本地地址

(3)接口标识符如何生成(手动进行配置、自动生成、EUI-64标准生成)

EUI-64标准生成(需要使用设备的MAC地址)

A.MAC地址的前24bit后加入FFFE

B.将第七bit取反(原本为0变为1,原本为1变为0)

4、IPv6地址类型(ipv6中未定义广播地址)

(1)单播地址

A.GUA(全球单播地址):类似于公网地址

B.ULA(唯一本地地址):类似于私网地址

C.LLA(链路本地地址):只能在本地链路进行泛洪

(2)组播地址

A.组播mac地址如何生成:固定长度为33:33,后32bit由组播IP地址映射而来

B.被请求节点组播地址(地址解析):一个节点拥有单播地址或任播地址时,就会产生被请求节点组播地址

固定的前缀长度(前104bit固定):FF02::1:FF,后24bit直接由组播地址映射而来

(3)任播地址:标识一组网络接口,某台设备想要访问任播地址时,会选择路由意义上距离最近的一台设备

5、IPV6报文构成

(1)基本头部

(2)拓展头部

(3)上层协议数据单元

9.3 ICMPV6和NDP

1、next header值为58的时候对应的是ICMPv6报文

2、在ICMPv6报文类型

A.差错报文:报告在转发ipv6数据包过程时出现的错误(type=[0,127])

B.信息报文:实现同一链路上节点之间之间的通信(type=[128,255])

3、PATH MTU发现

A.原因:是因为在IPv6中中间设备不会对ipv6报文进行分片

B.原理:当中间设备收到的ipv6报文长度超出自己的MTU值之后,丢弃报文,并发送差错报文给到 源设备(TYPE=2)(从源设备到达目的设备的路径中最小的MTU值)

所涉及到的报文类型

(1)type =133 路由器请求报文(RS)

(2)type=134 路由器公告报文(RA)

(3)type=135 邻居请求报文(NS)

(4)type=136 邻居公告报文(NA)

(5)type=137 重定向报文(redirect)

4、NDP协议

A.可以实现功能

(1)路由器发现(RS和RA)

(2)无状态自动配置

(3)重复地址检测

(4)地址解析

(5)邻居状态追踪

(6)重定向

B.报文类型有哪些?

(1)RS:路由器请求报文

(2)RA:路由器通告报文

(3)NS:邻居请求报文

(4)NA:邻居通告报文

(5)redirect:重定向报文

十、网络安全基础

10.1、IPv6地址配置

1、静态配置ipv6(和IPv4地址相同)

2、动态进行配置

A.无状态自动配置(SLAAC):基于NDP协议实现

FLAG位字段

(1)M-bit(ipv6地址):

M=0:此刻进行无状态自动配置生成IPV6地址(缺省情况下)

M=1:标识使用有状态自动配置进行IPv6地址的获取以及其他参数配置(DNS等)(忽略掉Obit)

(2)O-bit(其他参数的配置方式)

O=0:标识其他参数都是通过无状态地址自动配置生成(除IPV6地址)(缺省情况下)

O=1:通过DHCPv6的方式获取除IPV6地址以外其他参数

(3)RA报文中的可选信息

Abit

A=0:此时收到该RA报文的终端无法根据RA报文报文中携带的前缀生成IPv6地址

A=1:此时收到该RA报文的终端可以通过RA报文携带的前缀生成IPv6地址

B.有状态自动配置(DHCPv6)

(1)DHCPv6有状态自动配置:DHCPV6服务器自动分配IPV6地址/前缀,其他网络参数(DNS)

(2)DHCPv6无状态自动配置:主机IPV6地址通过无状态自动配置产生,其他网络参数则是通过DHCPv6的方式进行获取

(3)DHCPv6-PD(前缀代理)自动配置:可以实现一种层次化分配

(4)相关概念

有效时间、优选时间、T1、T2等

(5)相关报文(了解每个报文的含义)

10.2 防火墙技术

  1. 防火墙的发展历史

2、防火墙中基本概念

(1)安全区域:防火墙一个或多个接口所连网络的集合,一个网络内具有相同的安全属性

A.默认安全区域:trust(安全优先级85)、untrust(安全优先级5)、DMZ(安全优先级50)、local(安全优先级100)

B.安全级别的概念:值越高,表示越安全(可受信程度越高)

C.自定义安全区域,设置区域安全优先级

(2)安全策略:防火墙对于流量转发以及对流量内容(安全配置文件)进行安全一体化检测的策略

(3)安全策略匹配过程:当设置多条匹配规则时,会逐条向下进行匹配(进行规则设置时,优先将地址范围小的进行配置),如果流量被安全策略匹配,不会向下进行匹配(缺省命令,匹配所有,动作为deny)

(4)会话表:记录会话连接状态的表项,只对首包进行检测就可以确定一条会话连接状态,当后续报文发送时,可以直接匹配会话表中的会话状态

(5)防火墙上会存在老化时间,当存在一些特殊的会话之间报文时间间隔过长的问题,可以使用长连接的方式延长老化时间

(6)如果在多通道协议(FTP)进行数据传递时,采用的是FTP主动模式(服务器主动向客户端建立数据连接),当服务器主动向客户端发起建立数据连接时,由于防火墙上部署了单向安全策略,所以无法建立数据连接

(7)ASPF(针对应用层的包过滤):根据报文当中应用层协商的地址端口,并生成响应的访问规则(生成server-map表)(当接收到真实的物理流量时,server-map表会转换成为会话表)

防火墙配置:

(1)配置接口IP地址

(2)将接口加入到各自的区域当中

(3)配置安全策略

10.2 网络设备安全特性(路由器)

1、关闭不使用的协议或者物理端口

2、废弃不安全的访问通道:在同一访问需求(远程登陆)中,如果有多种方式可以实现(a.telnet(明文传递数据) b.stelnet(基于SSH协议)(密文的形式进行数据传递)),优先选择安全的访问通道。

(1)password认证(配置简单):

(2)RSA方式进行认证(配置复杂):

3、基于可信路径的访问控制:通过部署URPF协议,可以判断源地址是否合法(类似于在组播中的RPF检查)

4、本机防攻击:在网络当中,存在大量攻击报文,针对于CPU。当CPU处理过多的攻击报文时,可能会导致性能压力过大,并且无法处理正常的数据报文

(1)CPU防攻击:(自己整理,共有四级保护机制)

(2)攻击溯源:

10.3 VPN 概述

1、什么是VPN:VPN是虚拟专用网络,可以在公有网络上构建出虚拟专用网络,vpn用户在虚拟专用网络中传递私网流量,可以实现安全、可靠的连接

2、VPN分类:

(1)根据建筑单位的不同

A.租用运行商网络

B.自建VPN网络

(2)组网方式不同

A.远程访问VPN

B.局域网到局域网的VPN

(3)网络层次进行划分(不同的VPN技术工作在TCP/IP参考模型那个层次当中)

3、VPN使用到哪些技术

(1)隧道技术:用来进行封装和解封装的作用

(2)身份认证、数据加密以及验证(在VPN中如何实现对于数据的安全传输)(列举了一下不同的VPN用户是否支持身份认证以及数据加密)

4、列举了几种常见VPN技术

(1)IPSEC VPN

(2)GRE VPN

(3)L2TP VPN

(4)MPLS VPN

10.4 VRF技术

1.VRF技术又被成为VPN实例,是一个虚拟化技术,可以将一台物理的三层设备变为逻辑上的多台设备(在物理设备上创建多个VPN实例,并且每一个VPN实例都会存在单独的路由表项)

十一、网络可靠性/网络服务与管理

11.1 BFD技术

1、BFD作用:可以提供故障的快速检测(毫秒级)

2、BFD协议首先会在两台设备(系统)建立BFD会话,周期性的发送BFD检测报文(1000ms),如果在规定时间内(3000ms)未收到对方发送过来的BFD报文,则认为链路出现故障

3、建立BFD会话的方法

(1)本地标识符、远端标识符:标识唯一的BFD会话

(2)静态建立BFD会话:人为配置本地标识符和远端标识符

(3)动态建立BFD会话:只要触发创建BFD会话的条件,就会由系统自动分配

4、BFD涉及到状态

5、BFD涉及到的检测模式

(1)异步模式(缺省):双方会周期性的发送BFD检测报文,如果在规定时间内未收到对方发送过来的BFD报文,则宣布会话为down

(2)查询模式:需要验证连接性,那么会发送BFD检测报文,如果在检测时间内未收到报文则会话为down

6、BFD检测时间(系统两端会自行进行时间协商)

(1)本地BFD报文发送时间间隔=MAX(本地配置的发送时间间隔,对端配置的接收时间间隔)

(2)本地BFD报文接收时间间隔=MAX(本地配置的接收时间间隔,对端配置的发送时间间隔)

(3)本地BFD实际检测报文

A.异步模式情况=本地BFD报文实际接收时间间隔x对端的检测倍数

B.查询模式情况=本地BFD报文实际接收时间间隔x本端的检测倍数

7、BFD echo功能:BFD回声功能:在两台设备直连的场景中,一台设备支持BFD功能,另一台设备不支持BFD功能

可以使用BFD echo功能实现对于故障的快速检测

8、BFD可以与其他协议进行联动

11.2 VRRP

1、VRRP(虚拟路由器冗余协议):实现网关之间的备份

原理:通过把几台三层设备联合组成一台虚拟路由器,并且当某台设备发生故障时,可以保证网关的正常通信

2、基本概念

(1)VRRP路由器:运行了VRRP协议的路由器

(2)VRID:当成VRRP组的标识,只要处于相同的VRRP组就会使用相同的VRID,并且每一个VRRP组都会产生一个虚拟路由器

(3)虚拟路由器会使用虚拟的IP地址以及mac地址:虚拟IP地址由管理员认为配置(网关地址),虚拟mac地址:0000-5e00-01xx,xx为VRID

(4)master设备:虚拟路由器进行通信时,依靠master设备进行(会周期性的发送vrrp报文,周期为1s)

(5)backup设备:等待MASTER设备产生故障,自己变为master设备(对虚拟IP地址的ARP请求,不做响应。

丢弃目的MAC地址为虚拟MAC地址的IP报文。丢弃目的IP地址为虚拟IP地址的IP报文)

(6)VRRP定时器

master-down=3x1s+偏移时间

3、VRRP中存在的状态机 init 、master、BACKup

(1)如果存在优先级为255(当物理接口的IP地址与虚拟IP地址相同)的设备,直接变为master状态

(2)两台设备同时启动,优先级高的先成为master设备

(3)优先级低的设备先启动,成为master设备(周期性发送VRRP报文),在启动优先级高的设备,对于优先级高的设备来说,接收到的VRRP报文优先级小于自己,于是会进行master设备的抢占,最终,优先级高的设备抢占成功,成为master设备,优先级低的设备变为backup设备

4、VRRP进行主备选举(比较优先级,如果优先级相同,比较IP地址)

(1)VRRP优先级不相同的情况下选举主备

(2)VRRP优先级相同的情况下选举主备

(3)物理接口的IP地址与配置的虚拟IP地址相同的情况下,直接变为master

优先级为0和255的作用(人为无法更改优先级)

优先级为0:证明master设备想要退出vrrp组

优先级为255:当物理接口的IP地址与虚拟IP地址相同

5、VRRP的抢占模式

(1)抢占模式(缺省)

配置vrrp组的设备性能差异较大时,会开启抢占功能

(2)非抢占模式

配置vrrp组的设备性能差异较小或完全相同时,开启非抢占功能

6、VRRP应用

(1)负载分担

(2)监视上行接口:监视的是物理接口的状态

(3)可以与其他协议结合使用

11.3 DHCP原理

1、DHCP基本概念

(1)DHCP作用:集中对于用户IP地址进行动态管理和配置的协议

(2)DHCP使用C/S的架构,基于UDP实现交互,67(dhcp服务器)68(dhcp客户端)

(3)DHCP优点

2、DHCP工作原理

(1)首次接入网络的原理

discover(广播)

offer(单播/广播)

request(广播)

ack(单播)

注意:当DHCP client获取到IP地址时,会发送免费ARP报文防止地址冲突

(2)DHCP涉及到的报文

(3)DHCP地址续约

A.T1:当租期50%,client会主动的发送request,如果收到ACK报文,进行租约的更新

B.T2:当租期87.5%,client会再次发送request,如果收到ACK报文,进行租约的更新

C.当租期时间结束之后,client停止使用该IP地址,只能重新获取一个IP地址

(4)DHCP可以重新分配曾经使用的IP地址

(5)DHCP分配IP地址的顺序

A.MAC地址静态绑定的IP地址

B.已经使用过的IP地址(如果设备非首次接入时会进行应用)

C.空闲状态的IP地址:再地址池中进行选择,会使用第一个查询到的空闲IP地址

D.超过租期的IP地址:

E.产生冲突的IP地址

F.发送错误

3、DHCP relay

应用:使用于DHCP服务器与DHCP客户端不在同一个广播域的场景中提出的,DHCP中继设备可以提供对于DHCP报文的中继转发功能,使DHCP客户端所发送的广播报文进行透明的传递传递给DHCP服务器

11.4网络管理协议介绍

1、网络管理目标:对于网络中软硬件的监控,测试,配置等,确保网络正常运行

2、在网络管理中的四大模型

(1)组织结构模型:描述网络系统中的组件、组件的功能和基础框架

(2)信息模型:与存储有关,指定描述被管理对象及其关系的信息库

(3)通信模型:处理管理者与被管理者之间交换信息的方式

(4)功能模型:配置管理、性能管理、故障管理、安全管理、计费管理

3、网络管理时所使用的协议

十二、大型WLAN组网架构

12.1 大型wlan组网部署

1.大型wlan组网方案的功能

(1)设备统一管理

(2)漫游&业务随行

(3)接入终端安全

(4)高可靠性技术(备份的是AC)

2.大型WLAN组网当中涉及的到的一些技术

(1)VLAN POOL:为了防止广播域过大,可以使用vlan pool技术将不同的用户划分到不同的vlan当中

A.分配vlan的算法

顺序分配:会按照用户上线顺序依次从上向下划分到不同的vlan当中

优点:每一个vlan用户数量比较均匀,缺点:当用户重新上线可能会发生vlan的改变

hash分配:用户mac地址进行HASH计算的出的值进行划分

优点:用户多次上线时可以使用同一个vlan 缺点:可能会存在部分vlan用户数量多的问题

(2)option 43(ipv4)&52(ipv6)

A.dhcp中继

B.WLAN组网AC与AP属于三层组网时

(3)wlan漫游:sta设备在不同的ap覆盖范围之间进行移动

A.AC内漫游

B.ac间漫游

C.HAC

D.HAP

E.FAC

F.FAP

G.AC间隧道:capwap隧道建立

wlan漫游类型

(1)二层漫游

A.直接转发

B.隧道转发

(2)三层漫游:vlan id 漫游域

1.直接转发

(1)HAP作为家乡代理

(2)HAC作为家乡代理

2.隧道转发

(4)高可靠性技术

1.vrrp双机热备

2.HSB热备份

3.双链路双机热备:AP设备会与主AC与备AC都会建立CAPWAP隧道

(1)主备选举

A.AC的优先级,缺省值为0,范围为0~7,并且越小越优先

B.优先级相同.负载情况(可接入的AP数量和可接入的STA数量),负载轻的会成为主AC

C.负载也相同,IP地址越小越优先

(2)建立主链路

(3)建立备链路

4.N+1备份(N是指主AC,1是指备AC)AP设备只会于主AC建立CAPWAP隧道,当主AC出现故障时,才会与备AC创建capwap隧道

(1)主备选举(和双链路双机热备中选举类似)

A.优先级的种类

全局优先级:对于所有的AP配置的AC优先级,缺省值为0,范围为0~7,并且越小越优先

个性优先级:可以针对单个AP设备或者指定的AP组配置AC优先级

(5)准入控制

1.802.1X

2.MAC地址

3.portal认证

4.基于MAC地址优先的portal认证

;