1、h3cse合集对应园区网概述VLAN技术缺省vlan删除变化情况:当执行undo vlan删除vlan是某个端口的缺省vlan时对ACCESS端口,端口的缺省vlan恢复到vlan1对trunk或hybrid端口,端口缺省vlan配置不变802.1QIEEE802.1定义的新字段在以太网帧源MAC之后802.1Q标签头包括两个字节的TPID标签协议标识和2个字节的TCI帧控制信息TPID:0X8100TCI-tag control information :priority、CFI、VLAN IDGARPGARP应用GVRPGMRP五种消息empty、joinln、joinempty、leav
2、e、leavelAll端口注册模式normalFixedforbidden四个定时器hold(10-100)join(20-600)levave(60-3000)leaveAll(1000-12000)基于配置基于端口基于mac基于协议(hybrid)基于ip三类端口access接受 收到一个二层帧 判断是否有vlan标签 没有则打上端口pvid,转发 有则匹配vlan标签和pvid,转发lan,匹配不成功丢弃转发 二层帧vlan标签剥离,直接发送trunk匹配只针对进入帧接收 收到一个二层帧 判断是否有vlan标签 没有则打上端口pvid,转发 有则判断端口是否允许该vlan帧进入,允许转发
3、,不允许则丢弃转发 比较端口pvid和将要发送二层帧vlan标签 如果两者相等则剥离vlan标签,转发 不等则直接发送hybrid接收 收到二层帧 判断vlan标签 没有打上端口pvid,转发 有则判断端口是否允许该vlan帧进入,允许转发,不允许则丢弃转发 属于untag vlan,剥离vlan标签,在发送 属于tag vlan ,直接发送isolate-user-vlan 二层vlan技术所有端口为hybrid上行端口允许所有vlan下行端口允许isolote-user-vlan、secondary valnmAC同步:secondary vlan-isolatinge-user-vlan
4、 之间mac地址同步super vlan只建立三层接口但不包含物理接口若干sub vlan集合为sub vlan提供三层转发服务sub vlan只映射若干物理接口不能建立三层vlan接口与外部三层交换依靠super vlanSTPstp-802.1D端口角色:根端口root port、指定端口designate port、候补端口alternate端口桥角色:根桥boot bridge、指定桥 designate bridge桥ID:8字节 桥优先级高16位+MAC地址低48位优先级向量消除环路思想:选择树根节点、确定最短路径、阻塞冗余链路端口的五种状态:disable blocking li
5、stening learning forwarding配置bpdu 配置bpdu基于二层组播方式发送,目标地址01-80-c2-00-00-00 配置bdpu由根桥周期发出,发送周期为hello time 配置bdpu老化时间为 max age两类BDPU 配置BPDU:用来进行生成树计算和维护生成树拓扑的报文-根桥从指定端口周期发出 TCN BPDU:当拓扑结构改变时,用来通知相关设备网络拓扑结构发生变化的报文-根桥外其他网桥发出计算任务 选举根桥 确定端口角色rstp改进之处: 减少端口状态 增加端口角色 配置bpdu格式和发送方式 网络拓扑改变,处理方式变化rstp端口状态:discar
6、ding learning foewardingrstp端口角色:根端口 指定端口 alternate端口 backup端口rstp机制快速收敛机制 边缘端口机制 根端口快速切换机制 指定端口快速切换机制P/A机制RSTP STP 兼容运行 rstp端口连续三次接受到版本为stp的BPDU,则端口协议将切换为stp协议 切换到stp协议的rstp端口将丧失快速收敛特性 出现混用,stp放在网络边缘MSTPMST域:mst region 拥有相同MST配置标识网桥构成的集合 域名:本域的名称 修订级别:保留,默认0 VLAN映射关系:由网桥的vlan和实例映射关系生成的长度为16字节的HMAC-
7、MD5签名,两个网桥生产单不通的配置摘要,便是两个网桥为不同域CIST 公共和内部生成树,总根是整个网络中优先级最高的桥,是CIST的根桥CST 公共生成树,总根所在域为CST的根桥IST 内部生成树,IST的根桥是CIST的域根,也就是master桥MTSI 多生成树实例,一个mst域内可以通告mstp生成多颗生成树master 端口:IST根桥在CIST上的根端口四种保护机制BPDU保护表现:边缘端口接受到配置消息,将边缘端口转换成非边缘端口,导致生成树重新计算机制:启动BPDU保护功能后,将边缘端口受到了配置消息,MSTP就将这些端口关闭配置全局模式下开启功能:stp bpdu-prot
8、ection接口模式下 stp edged-port enable根桥保护表现:合法根收到优先级更高的配置消息,失去根桥的地位,引起网络拓扑结构的变动机制:设置根保护的端口,一旦该端口收到某实例优先级更高的配置消息,立即将端口设置为侦听状态,不再转发配置接口模式下 stp root-protection环路保护表现:由于链路拥塞或单向链路故障,端口收不到上游BPDU,下游重新选举,导致环路机制:配置环路保护的端口,收不到上游信息时,环路保护生效,如果端口参与stp计算。该端口在所有实例处于discarding状态配置接口模式下 stp loop-protectionTc保护表现: 伪造的TC-
9、BPDU报文,频繁的删除造成设备负担机制:设置地址表项删除操作最多次数配置全局模式开启stp-protrction enable设置门限值stp tc-protection threshold number高可用技术链路聚合802.3ad标准 mac client 、mac之间LACP协议 链路聚合协议 link aggregation control protocol SMRT LINK 专门用于双上行组网,实现高效可靠的链路冗余备份故障后的快速收敛 收敛速度快,可达到亚秒级MAC地址转发表及ARP表更新: 自动通过流量刷新,但刷新期间,流量会中断 有smart link组从新的链路上发送F
10、LUSH报文进行刷新,流量不会中断FLUSH报文:当smart 琳琳组发生链路切换时,通过发送flush报文进行mac地址转发表项和arp/nd表项的刷新操作smart link 运作机制 链路备份机制和角色抢占机制 smart link组的保护vlan是通过引用MSTP实例来实现的 负载分担机制 把一个端口配置为多个smart link组的成员,实现不同vlan的数据流量的转发路径不通Monitor linkRRPP rapid ring protrction protocol 快速环网保护协议Polling机制:RRPP环的主节点主动检测换网健康状态的机制链路状态变化通知机制:提供比pol
11、ling机制更快的拓扑改变的处理机制,发起者是传输节点子网对主网备份VRRP virtual router redundancy protocol 虚拟路由器冗余协议组播地址:224.0.0.18 TTL=255IP协议号 112 0X70VRRP 协议状态机 Initialize、master、backupvrrp 源mac 00-00-5e-00-01-xxvrrp 目的 mac 01-00-5e-00-00-12VRID:虚拟路由器标识 1-255Priority:1-254 缺省100 master 0IP_addreses:虚拟路由器地址 一个或多个计时器 advertisement
12、_Interval 主路由器发送vrrp组播报文时间间隔 1s master-down-interval 间隔时间为adver-interval 3倍+skew_ime preempt_delay 抢占时间延迟,默认0:立即抢占 Skew-time 优先级/256协议报文格式 version:版本协议号,vrrp2 2 type virtual Rtr 0-255 priority :路由器备份组中优先级 0-255 值越大越优先 count ip addr 备份组虚拟ip地址个数 auth type :认证类型 0 不认证 1 简单字符认证 2 md5认证 adver int:发送通告报文时
13、间间隔 checksum 16位校验和 IP address :备份组虚拟ip地址表项 authentication data 验证字Initializw 初始状态系统启动后进入此状态,收到startup消息,进入backuo或master状态,不对vrrp报文做任何处理Master 活动状态 定期发送vrrp通告消息 响应对虚拟ip地址的arp请求,虚拟mac响应 转发目的mac地址为虚拟mac地址的报文 mater状态下只接收到比自己优先级大的报文才会转为backup,接受到shutdown事件时,转为initialize 备份状态 backup 接受master发送的vrrp广播报文 对
14、虚拟ip地址的arp请求,不做响应 丢弃目的mac地址为虚拟mac地址的ip报文 丢弃目的ip地址为虚拟地址ip报文接受到vrrp报文后 收到报文优先级为0,状态设置为master开始发送报文 收到的报文小于本地优先级,本地设置了抢占方式,一段时间后转为master选举主交换机 默认状态下选择优先级最大的为主交换机,其他交换机作为备份交换机 主交换机定期发送vrrp报文 如果备份交换机长时间没有收到主交换机报文,则将自己状态改为master 如有多台备份交换机,则根据接收到了vrrp报文,选举优先级最大的交换机成为新的主交换机VRRP-STPIRFDDM分布式设备管理DRR分布式弹性路由DLA
15、分布式链路聚合UNIT ID相当于irf fabric内的身份标识 master slaveIP组播组播地址 范围:224.0.0.0 - 239.255.255.255 保留组播地址 224.0.0.0-224.255.255.255 协议使用 239.0.0.0-239.255.255.255 管理地址 用户组播地址224.0.0.0-238.255.255.255本地协议预留组播地址 224.0.0.0-224.0.1.255尽量避免组播MAC地址冲突 1110-5bit-23bit 最后23bit决定组播mac地址动态地址分配 madcap,类似dhcp分配方式 masc,分级的动态地
16、址分配组播组管理协议 端主机系统 IGMP V1 V2 V3 v1 不支持退出报告消息,退出时延大 v2 支持特定组查询,为主流版本 v3 支持基于源组加入配合pim ssm使用IGMP一般为IGMP v2 部署 pim ssm 使用IGMP v3 三层:IGMP-规定了主机与三层组播设备之间建立和维护组播组成员关系的机制 交换机二层:IGMP snooping-解决组播报文在链路层广播问题组播vlan-降低三层设备负担组播组管理协议工作机制 主机加入和离开组播组 路由器维护组播组 查询器选举机制 成员报告抑制机制组播转发机制 IGMP V2 查询器选举 网段上具有最小接口ip地址的路由器为该
17、网段的查询器IGMP V3 过滤模式:包含include和exclude两种类型 include模式表示只接收来自于在源列表中列出的组播源发送的组播数据包 exclude模式表示只接受来自于不在源列表中列出的组播源发送的组播数据包组播分发树模型 最短路径树SPT shortest path tree:树根为组播源所连接的指定路由器 共享树RPT rendezvous point tree:树根为汇聚点RPF 逆向路径转发 reverse path dorwarding 检查机制 确保组播数据沿正确路径传输 避免组播路径环路的产生检查过程 如果数据包是在到达组播源的最优路径上达到,则RPF检查成
18、功,数据包被转发 如果RPF检查失败,丢弃数据包RPF基于单播路由表IGMP snooping:组播数据在二层按照转发表项发送给组播接受者组播vlan:路由器只在组播vlan内复制数据,减轻路由器负担,并节省网络带宽组播路由协议基于SSM组播路由协议-指定信源模型ASM组播模型-任意信源模型 域内组播路由协议:用于AS内部发现组播源并构建组播分发树 域间组播路由协议:用于实现组播信息在AS之间的传递组播路由协议模式 密级模式:实现简单,泛洪机制浪费资源 稀疏模式:实现复杂,节省带宽域内组播路由协议 DVMRP 距离矢量组播路由协议 distance vector multicast routi
19、ng protocol(RIP模式) MOSPF 组播ospf协议 multicast extensions to ospf PIM 协议无关组播 protocol lendependent multicast UDP 103端口 组播地址:2240.0.0.13 PIM-DM 密集模式的组播路由协议,用于小型组播网络SPT形成 经过扩散-剪枝过程,形成组播源到组播接受者之间的SPT 扩散-剪枝 过程周期进行,由定时器控制 PIM-SM 稀疏模式的组播路由协议,用于任何形式的网络RPBSR:PIM-SM域的管理核心,只能一个BSR,可以多个C-BSRRP-BSR可以是一台机器RP 选举机制 首
20、先比较C-RP优先级,优先级较高获胜 再比较hash函数计算值,值大获胜 最后比较C-RP地址,值大获胜RP负载分担 手工方式 hash方式 PIM-SSM 采用pim-sm的一部分技术可以实现pim的ssm模型即pim-ssm pim-ssm依靠igmp v3 知道组播源的位置建立的表项都是(S,G)配置multicast routing-enable 全局启动组播应用igmp 进入igmp视图display pin routing-table 可以查看的内容,包括超时时间IP PhonevoiceOUI地址:识别语音流的依据,是一个地址范围,是mac地址和地址掩码的组合voice vlan
21、:ip语音终端、DHCP服务器、以太网交换机、语音服务器工作模式poepse:大功率供电设备 power sourcing equipmentpd:小功率终端 powered device供电方式 中间桥接法 midspan pse 未端桥接法 endpoint pse供电线缆对 空闲线供电 信号线供电POE供电过程 检测 detection:pse检测pd是否存在,只有检测到pd才对外供电 分类 classification:pse对检测到的pd设备的功耗进行分类,确定设备的level 供电 powerUp:开始对pd供电 电源管理 operation:实时检测和电源管理,对短路和过载的异常
22、情况进行检测,保证供电正常 停止供电 disconnection:pse检测pd是否断开,如果pd断开,pse将关闭端口输出电压,端口状态返回detection园区网安全技术保护信息 网络设备 运行信息:路由表、MAC地址表 带宽资源:带宽、速率 网络终端:服务器、桌面主机 网络数据:ip包 用户信息:用户密码常见威胁 非法接入网络 非法访问网络资源 MAC地址欺骗和泛洪 远程连接攻击AAA 验证、授权、计费RADIUS 远程认证拨号用户服务 remote authentication dial In user serviceUDP 1812认证1813计费端口通过定时器管理机制报文重传机制T
23、ACACS+ 终端访问控制器控制系统协议+TCPterminal access controller access control system plus端口接入控制 802.1X 基于端口的网络接入控制协议 触发方式:客户端主动触发、设备端主动触发 认证方式:EAP中继方式、EAP终结方式 MAC地址认证 基于端口和MAC地址对用户的网络访问权限进行控制的认证方法 认证方式:远程RADIUS认证、本地认证 认证用户名类型:mac地址用户名、固定用户名 端口安全 基于MAC地址对网络接入进行控制的安全机制 端口安全特性 NeedToKnow特性 入侵检测特性intrusion protecti
24、on Trop特性 端口安全模式 mac地址学习类型:noRestriction、autolearn、secure 802.1X认证类型:userLogin /userLoginSecure/userLoginSecureExt/userLoginWithOUI访问控制 访问控制列表acl 终端准入防御EAD-安全防御解决方案 检查-隔离-修复-管理监控 功能: 检查终端用户的安全状态和防御能力 隔离危险和易感终端 强制修复系统补丁、升级防病毒软件 管理与监控 技术特点 整合防病毒与网络接入控制,大幅度提高安全性 支持多种认证方式,使用范围广 全面隔离危险终端 灵活、方便的终端的部署与维护 详
25、细的安全时间日志与审计 专业防病毒厂家的合作 具有策略实施功能,方便企业实施组织积极安全策略 可扩展的安全解决方案,有效保护投资 PORTALweb认证 三层认证方式 客户端与接入设备间有三层设备 直接获得IP地址 非三层认证方式 客户端与接入设备间没有三层设备 直接获取IP地址进行认证 二层地址分配认证安全连接 SSH 特点 支持DES、3DES数据加密算法-完善的数据传输机密性 支持公钥验证方式、密码验证方式、不验证方式-多种认证方式 支持RSA认证,具有防篡改功能-RSA认证具有攻击防御功能SFTP ssh2.0配置 基本配置 生成DSA|RSA密钥对 public-key local
26、create dsa|rsa 开启功能 ssh server enable 用户配置 配置客户端登录用户界面 authentication-mode scheme 配置所在用户界面支持ssh protocol inbound all|ssh|telnet 配置用户指定服务类型认证方式园区网管理维护 园区网维护管理目标 定期监控设备和终端运行状态、保障其健康运行 快速准确定位网络故障,恢复网络运行 快速响应需求,调整业务或扩容网络SNMPversion 1-2c-3 简单网络管理协议 网络管理关键功能 故障管理、计费管理、配置管理、性能管理、安全管理基本架构 网络管理站NMS、代理器Agent、
27、SNMP协议、管理信息库MIBMIB结构 树形结构 每个节点有一个名字和一个编号 名字不能重复 同一层节点的编号不能相同 节点可以通过名字活着OID来标识 节点类型分为叶子节点和非叶子节点 OID:对象标识符 object indentifier 叶子节点 表型节点tabular 标量节点scalarSNMP团体,snmpv1使用团体来进行安全机制管理 团体是由agent和若干网络管理站应用程序组成 每个团体通过团体名字符串区别SNMP v3在继承v2c基础上提供给 认证 加密 访问控制v3 安全模型 USM 基于用户的安全模型 VACM 基于视图的访问控制模型HGMP 集群协议 NDP 邻居
28、发现协议:用于发现邻居设备 链路层 NTDP 邻居拓扑发现协议:用于收集集群拓扑信息 cluster 集群管理协议:实现集群的建立和管理LLDP 链路层发现协议 link layer discovery protocol 四种端口工作模式 TxRx Tx Rx disable 两种协议报文封装类型:SNAP:适用于FDDI和令牌环网,LLC字段为AAAA03,SNAP字段为0x00000088CCEthernet II:802.3 以太网 type:0x88ccTLY:TYPE|Length|value 类型 长度 值 必选tly:chassis ID TLY,port ID TLY、time
29、 to live TLY、End of LLDP TLYLLDPDU 链路层发现协议数据单元 link layer discover protocol data unit镜像技术 端口镜像:本地 端口镜像、远程端口镜像 流镜像 流镜像到端口 流镜像到CPU 流镜像到vlan 远程镜像端口:源头端口和目标端口跨越多个网络设备NTP 网络时间协议 UDP 123version : 0 -1-2-3报文:时钟同步报文、控制报文工作模式 客户端服务器模式 对等体模式 广播模式 组播模式在对等体模式中,主动对等体和被动对等体之间首先交换node字段为3(客户端模式)和4(服务器模式)的ntp报文,之后主动对等体向被动对等体发送时钟同步报文,报文中mode设为1(主动对等体),被动对等体收到报文后自动工作在被动对等体模式,发送应答报文,报文mode设置2
