接入层
汇聚层
核心层
路由协议按照是否可以自动学习分成两类:动态路由和静态路由
动态路由根据算法不同分为:基于链路状态 基于距离矢量
IGP(内部网关协议)OSPF ISIS RIP
EGP(外部网关协议)BGP
ISP 网络运营商
MTU最大传输单元 1500 单个数据超过了会分片
OSPF 开放式最短路径
LS:链路状态
LSA:链路状态通告
LSDB:链路数据库
路由信息传递与路由计算分离
基于SPF算法。 (生成树)
以“累计链路开销”作为选路参考值
每台路由器都有唯一的Router ID
ospf支持的网络类型 P2P点到点 广播(Broadcast) NBMA(非广播多路访问) P2MP
会发送组播地址 224.0.0.5 224.0.0.6
cost开销值计算的是到目的地的每个出接口总和
内部优先级10
引入外部路由优先级150
rip的优先级100
isis优先级15
OSPF router ID 选举: 在OSPF进程下配置的router-id > 系统视图下的router-id > loopback > ip地址最大的 > 接口IP地址最大的
advertising router 是LSA的一个属性,里面应该填的是路由器的id,表示该LSA是由谁生成的
OPTION字段
LSA(链路状态广播)
DR:选举出的指定路由器
ABR:在骨干区域和其他区域相连的路由器
ASBR:拥有除了ospf的其他协议的路由器
AS:(自制系统)只有一个协议所在的网络
域内路由
1类LSA : Router-LSA 生产者:每一台运行ofps
的路由器 泛洪范围:区域内部 比如只会在area0进行泛洪
P2P会有路由信息和拓扑信息 广播网络只有拓扑信息
2类LSA : Network-LSA 生产者:DR 泛洪范围:区域内部 比如只会在area0进行泛洪
通过1类LSA和2类LSA进行获得最短路径树
域间路由
3类LSA : Network-Summary-LSA 生产者:ABR区域边界路由器(需要与骨干区域相连) 泛洪范围:区域内部 比如只会在area0进行泛洪 从非骨干区域传递的数据不会传递
域外路由
4类LSA : ASBR-Summary-LSA 生产者:ABR 泛洪范围:除去ASBR外的有OSPF的区域 作用:描述ASBR的位置
5类LSA :AS-External-LSA 生产者:ASBR 连接包含ospf和其他路由协议的路由器 泛洪范围:所有允许ospf的路由器
(开销值计算 External Type-1 AS内部开销值+AS外部开销值 External Type-2 AS外部开销值 默认2 1优先于2 )
特殊路由
7类LSA :NSSA-LSA 生产者:连接外部路由的非骨干路由器 经过相邻的ABR后会变成5类LSA
stub区域 (不能有ASBR 虚连接不能穿越)
为了减少非骨干区域服务器负担 划分了stub区域
该区域只泛洪1、2、3类LSA和一条3类缺省LSA
Totally Stub区域
该区域只泛洪1、2类LSA和一条3类缺省LSA
NSSA区域
该区域只泛洪1、2、3、7类LSA 当有外部路由传入会转成7类LSA 和一条3类缺省LSA
Totally NSSA区域
该区域只泛洪1、2、7类LSA 当有外部路由传入会转成7类LSA 会有一条3类缺省LSA
LSA更新机制
每隔1800s更新一次,3600s后失效
当链路状态发生变化,会立即更新
SPF算法
路由器以自己为根 计算出到达每一个节点的自由路径
路由聚合
OSPF有两类聚合:
(1) ABR聚合
ABR向其它区域发送路由信息时,以网段为单位生成Type3 LSA。如果该区域中存在一些连续的网段,则可以将这些连续的网段聚合成一个网段。这样ABR只发送一条聚合后的LSA,所有属于聚合网段范围的LSA将不再会被单独发送出去,这样可减少其它区域中LSDB的规模。
(2) ASBR聚合
配置引入路由聚合后,如果本地路由器是自治系统边界路由器ASBR,将对引入的聚合地址范围内的Type5 LSA进行聚合。当配置了NSSA区域时,还要对引入的聚合地址范围内的Type7 LSA进行聚合。
如果本地路由器是ABR,则对由Type7 LSA转化成的Type5 LSA进行聚合处理。
ISIS(链路状态路由协议)中间系统到中间系统
传递的报文名为LSP相当于OSPF的LSA
默认优先级15
比较接口优先级(默认64),与OSPF不同,ISIS中接口优先级为0也参与选举。 越大越优先然后比MAC地址越大越优 最后比系统ID越大越优
发送周期报文时间 10/3s 故障链路检测10s
可以使用智能定时器可以快速收敛 但是会使机器功耗变大 t1 最大时间 t2 初始值 t3 增长值
路由器类型
Level-1路由器 (只能创建level-1的LSDB)Mac:0180-c200-0014 组播
Level-2路由器 (只能创建level-2的LSDB)Mac:0180-c200-0015 组播
Level-1-2路由器 (路由器默认类型 能同时创建level-1的LSDB和level-2的LSDB)
支持的网络类型
点对点
广播
报文类型
CSNP :用于同步LSP
PSNP :用于请求和确认LSP
为了适配IPv6扩展了TLV
Reachability TLV type 236
Address TLV type 232
Area ID AA.BBBB.CCCC.DDDD.SSSS.SSSS.SSSS.00
AA:49 地址格式标识符AFI
BBBB:国家编码 中国 0086
CCCC:省编码 比如辽宁 0003
DDDD:设备所在站点编码
SSSS.SSSS.SSSS 最好通过环回口编译
LSP分片扩展:当IS-IS要发布的链路状态协议数据报文PDU(Protocol Data Unit)中的信息量太大时,IS-IS路由器将会生成多个LSP分片,用来携带更多的IS-IS信息。
在IS-IS中,每个系统ID都标识一个系统,每个系统都最多可生成256个LSP分片。通过增加附加系统ID,可以最多配置50个虚拟系统,从而使得IS-IS进程最多可生成13056个LSP分片。
只有当L1-2路由器跟L2路由器成功的建立了邻居,且有LSP的交互,生成了对应的路由条目后,L1-2路由器才会产生一条ATT置位的 L1 LSP,给L1的路由器。让他产生默认路由,指向L1-2
ISIS只能对自身产生的LSP进行聚合。
BGP
使用TCP协议进行确定连接
之后会发送Open报文
keepalive报文 周期性确定是否还连接
update报文 保持更新
端口号为179
bgp 路由表中 *代表是否可用 >代表路由是否最优 i标识是内部路由(network)学习到的
路由表中Origin属性i标识从IBGP中获得 e标识从EBPG获得 ?则是未知(imput) i>e>?
路由表中的AS_Path属性标记了该路由所经过的as区域 起到防环、选路、记录的效果
路由表中的Local_Preference属性 用于判断流量离开AS的最佳路由 越大越优先 (仅在相邻的2个AS)
路由表中的MED属性 用于判断流量进入AS的最佳路由 越小越优先 (仅在相邻的2个AS)
路由表中的Community属性 用于限定路由的传播范围 打上标记
BGP通告原则
1.仅将自己最优的路由表发送给邻居 (在路由表中>表示最优 *表示可用)
2.通过EBGP获得的最优路由发布给所有BGP邻居
3.通过IBGP 获得的最优路由不会发布给其他的IBGP邻居
4.BGP与IGP同步
aggregator:通告汇总路由的汇聚路由器BGP-ID ,寻找汇总者方便
IGMP(英特网组管理协议)
是TCP/IP协议族中负责IP组播成员管理的协议,它用来在接收者和与其直接相邻的组播路由器(最后一条路由器)之间建立、维护组播组成员关系。
IGMPv1与IGMPv2的区别在于,用户想加入某个组,都向路由器发送report报文,v2在用户离开的时候会发送leave报文,v1不发送;
版本1 路由器每隔60秒发送普遍组查询信息 主机发送IGMP成员关系报告
主机如果知道路由器有相同的组则不发
有成员加入 都会发送想加入组播组
如果有组成员离开 是不会发送离开报文的 当130s后还没有回复则会去除
当有多个最后一条路由器 选举不出来查询器(选举依赖于组播路由协议)
版本2(默认) 有主机离开向查询器发送离开组消息
查询器向离开组地址发送特定组查询
若发送2次特定组查询之后仍没有收到成员报告,则认为组播组不存在该组播成员
IGMPv2基于普遍组查询报文进行查询器选举 ip越小
版本3 只接收特定源发送的组播数据。
接收端发送成员报告,指出希望加入或拒绝某些组播源发送的数据。
相比V2:
为主机增加了指定不加入特定组播源的组播组的功能
为主机增加了指定加入特定组播源的组播组的功能
为成员关系报告删除了 Report-suppression 功能
Snooping 机制 响应被抑制机制就不会触发
PIM
直接利用单播路由表的路由信息进行组播报文RPF检查,创建组播路由表项,转发组播报文
RPF逆向路径转发
PIM-DM 使用推push 网络密集
在igmp版本1里 使用Hellow报文发现邻居 选出DR 通过优先级高或者ip越大选举出查询器
收到组播流就会进行RPF检查 如果通过生成S.G表 标识 源和组 失败则丢弃(为了防环)
如果下游没有组播成员(就是没主机发送成员关系报告)就会发送剪枝 路由器会生成剪枝倒计时
如果被剪枝的路由器底下有主机发送成员关系报告 ,则会给上层发送Graft信息 (嫁接)
当有三个路由器都发送向一个路由器发送组播数据流的时候会进行Assert 通过单播ip地址表 优先级越小和cost开销越小 和ip越大 选出Assert Winner,将负责后续对该网段组播报文的转发。 失败的则会变成Assert Loser,后续不会对该网段转发组播报文,PIM路由器也会将其从(S,G)表项下游接口列表中删除。
PIM-SM 使用拉pull 网络稀疏
RP 汇聚点 手工指定
组播源会发送给源端DR组播流 DR会封装成Register发给RP之间会创建SPT树
RP会和用户端DR之间建立RPT
因为Switchover机制
1.用户端DR收到组播报文的速率超过阈值时,会向组播源发送(S,G)Join消息 60 秒发送一次。
2.形成新的SPT。
3.剪掉共享树上的数据流。
有手动配置和自动配置
手动配置需要在每台配置了PIM的路由器上宣告DR
自动配置会设置一台BSR(自举路由器 Bootstrap Router) BSR优先级越大越优先 地址越大月优先 选举 由它来收集全网选举的DR信息 由PIM网络中所有的路由器选举DR
如果连接用户的路由器有多个则都要配置PIM
RP选举 服务范围越广越优先 优先级越小越优先 哈希函数比大 自身IP地址比大
有时组播报文扩散到一个连着多台PIM路由器的共享网段时,这些PIM路由器上进行的RPF检查都能通过,从而有多份相同报文转发到这个网段。此时,需要执行“断言”机制,保证只有一个PIM路由器向该网段转发组播报文。
断言(Assert)
(1)单播路由协议优先级较高者获胜。
(2)如果优先级相同,则到组播源的路径开销较小者获胜。
(3)如果以上都相同,则下游接口IP地址最大者获胜。
根据Assert竞选结果,路由器将执行不同的操作:
(1)获胜一方的下游接口称为AssertWinner,将负责后续对该网段组播报文的转发。
(2)失败一方的下游接口称为AssertLoser,后续不会对该网段转发组播报文,PIM路由器也会将其从(S,G)表项下游接口列表中删除。
Assert竞选结束后,该网段上只存在一个下游接口,只传输一份组播报文。所有Asser Loser可以周期性地恢复组播报文转发,从而引发周期性的Assert竞选。
嵌入式RP FF7X::/12 X要么是0 要么是3到F
RP地址转换 :
提取“plen”字段,转换为十进制数
将“Network Prefix”字段的前“plen” bits提取出来作为RP地址的地址前缀
将“RIID”字段提取出来作为RP地址的Interface ID的最后4bits,Interface ID其余部分用0补齐
组播地址FF70:140:2001:DB8:BEEF:FEED::/96,则从组播地址中获取的RP地址为2001:DB8:BEEF:FEED::1/64
路由控制(通过流量控制和路由工程)
路由工程 Filter-Policy Route-Policy
使用ACL或IP-Prefix List工具来匹配目标流量(设置规则)
在协议视图下,利用Filter-Policy向目标流量发布策略
流量过滤 traffic-filter traffic-policy
控制通过的流量
路由表中还是有ip的
Eth-Trunk( 链路聚合技术 )
把多个独立的物理接口绑定在一起作为一个大带宽的逻辑接口使用,这样既不用替换接口板也不会浪费IP地址资源。
**手工负载分担模式。 **
(优点:效率高 缺点:没有备用线路,失效一条效率降低一条,不支持LACP协议)
LACP模式。 优先级越小越能成主链路
(优点:支持链路备份,支持LACP协议 缺点:会有备用链路停止工作 也称M:N模式)
LACP是有抢占机制的 能进行双向链路检测
两端相连的物理接口数量、速率、双工方式、流控方式要一致
MUX VLAN(Multiplex VLAN)通过VLAN进行网络资源控制
为了实现相同vlan的用户不能相互通讯
设置隔离组 相同隔离组的组员不能相互通信
端口安全 可以设置接入用户的最大数量
当达到规定的数量后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict。
RSTP 快速生成树
由于stp的缺陷所以升级成为了RSTP stp缺点:
STP从初始状态到完全收敛至少需经过30s 采用被动等待计时器超时
如果交换机的一条非阻塞端口down掉 需要30s才能从另外的端口发送数据
交换机连接终端的链路进入转发需要经过30s
RP端口down掉后,还需要从其他三个端口中重新选举且需等待计时器超时后才能进入转发
所以RSTP新创建了两种新端口角色 备份端口(Backup Port)和预备端口(Alternate Port)
Alternate Port提供了从指定桥到根桥的另一条无环可达路径,作为根端口的代替端口
Backup Port作为指定端口的备份,提供了另外一条从根节点到叶子节点的无环备份路径
P/A机制 Proposal/Agreement机制,其目的是使一个指定端口尽快进入Forwarding状态。
在选举过程中加入了 发起请求-回复同意 为了防环路 和不需要被动等待计时器超时 进行状态改变
为了加快收敛 当RP端口down掉后AP端口马上变成转发状态
交换机上连接终端设备的接口设置成为边缘端口后,会立即进入转发,当该端口收到BPDU后,就丧失了边缘端口属性,成为普通STP端口,并重新进行生成树计算
由于拓扑变化引起的mac地址表动荡
一旦检测到拓扑发生变化
清空状态发生变化的端口上学习到的MAC地址。
同时,由这些端口向外发送RST BPDU,其中TC置位。一旦TC While Timer超时,则停止发送RST BPDU。
交换设备接收到TC置位的BPDU后,会清空除了收到报文外的其他所有非边缘端口学习到的MAC地址
边缘端口连接的主机down掉或者up都不会引起拓扑变化
BPDU保护
由于边缘端口收到BPDU会变换成STP端口 为了防止黑客 边缘端口在接收到BPDU的时候会被关闭
根保护
问题:接入一台新的交换机 收到更优的RST BPDU,重新进行生成树计算,并失去根的地位,引起网络拓扑结构的错误变动
解决办法:一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间,如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。 Root保护功能只能在指定端口上配置生效
TC-BPDU保护
问题:交换机在接收到TC-BPDU报文后,会执行MAC地址表项的删除操作。如果有人伪造TC-BPDU报文恶意攻击交换机时,交换机短时间内会收到很多TC-BPDU报文,频繁的删除操作会给设备造成很大的负担,给网络的稳定带来很大隐患。
解决办法:启用防TC-BPDU报文攻击功能后,在单位时间内,RSTP进程处理TC类型BPDU报文的次数可配置(缺省的单位时间是2秒,缺省的处理次数是3次)。如果在单位时间内,RSTP进程在收到TC类型BPDU报文数量大于配置的阈值,那么RSTP进程只会处理阈值指定的次数;对于其他超出阈值的TC类型BPDU报文,定时器到期后,RSTP进程只对其统一处理一次。这样可以避免频繁的删除MAC地址表项,从而达到保护交换机的目的。
MSTP 多生成树域
由于RSTP的缺陷所以升级成为了MSTP RSTP缺点:
部分VLAN路径不通
无法实现流量分担
次优二层路径
一个MST域内可以生成多棵生成树,每棵生成树都称为一个MSTI,每个MSTI都使用单独的RSTP算法,计算单独的生成树。
VLAN映射表是MST域的属性,它描述了VLAN和MSTI之间的映射关系,MSTI可以与一个或多个VLAN对应,但一个VLAN只能与一个MSTI对应。
MSTP兼容STP和RSTP,既可以快速收敛,又提供了数据转发的各个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。
MPLS 多协议标签交换
LSP(Label Switched Path):标签交换路径,即到达同一目的地址的报文在MPLS网络中经过的路径。
FEC(Forwarding Equivalent Class):一般指具有相同转发处理方式的报文。在MPLS网络中,到达同一目的地址的所有报文就是一个FEC。
LER(Label Edge Router): 在MPLS网络中,用于标签的压入或弹出
LSR(Label Switched Router):标签交换路由器 在MPLS网络中,用于标签的交换
接口认证:是指使能IS-IS协议的接口以指定方式和密码对Level-1和Level-2的Hello报文进行认证。
区域认证:是指运行IS-IS的区域以指定方式和密码对Level-1的SNP和LSP报文进行认证。
路由域认证:是指运行IS-IS的路由域以指定方式和密码对Level-2的SNP和LSP报文进行认证。
路由信息表RIB(Routing Information Base):由IP路由协议(IP Routing Protocol)生成,用于选择路由。
标签分发协议LDP(Label Distribution Protocol):负责标签的分配、标签转发信息表的建立、标签交换路径的建立、拆除等工作 5秒一周期发送组播Hello报文224.0.0.2 有组网、配置简单、支持基于路由动态建立LSP、支持大容量LSP等优点。
本地邻接体(Local Adjacency):以组播形式发送Hello消息(即链路Hello消息)发现的邻接体叫做本地邻接体。
远端邻接体(Remote Adjacency):以单播形式发送Hello消息(即目标Hello消息)发现的邻接体叫做远端邻接体。
LDP用UDP(协议ID=17)发现邻居,用TCP(协议ID=6)建立邻接(LDP协议的目的端口号:646)
LDP的hello报文和keepalive发送间隔是5s,hold time是3倍的hello时间15s。
标签信息表LIB(Label Information Base):由标签分发协议生成,用于管理标签信息。
转发信息表FIB(Forwarding Information Base):从RIB提取必要的路由信息生成,负责普通IP报文的转发。
标签转发信息表LFIB(Label Forwarding Information Base):简称标签转发表,由标签分发协议建立LFIB,负责带MPLS标签报文的转发。
标签发布方式
IP报文传入MPLS网络会压入标签 通过LFIB转发数据 在弹出tag 发送给下一跳
DU(Downstream Unsolicited,下游自主方式):对于一个到达同一目地址报文的分组,LSR无需从上游获得标签请求消息即可进行标签分配与分发。
DoD(Downstream on Demand,下游按需方式):对于一个到达同一目的地址报文的分组,LSR获得标签请求消息之后才进行标签分配与分发。
标签的分配控制方式
Independent(独立标签分配控制方式):本地LSR可以自主地分配一个标签绑定到某个IP分组,并通告给上游LSR,而无需等待下游的标签。
Ordered(有序标签分配控制方式):只有当该LSR已经具有此IP分组的下一跳的标签,或者该LSR就是该IP分组的出节点时,该LSR才可以向上游发送此IP分组的标签。
当出现 隐式空标签3 在倒数第二跳弹出
MPLS V’P’N
CE(Customer Edge):用户网络边缘设备,有接口直接与服务提供商SP(Service Provider)网络相连。CE可以是SVN或交换机,也可以是一台主机。通常情况下,CE“感知”不到V·PN的存在,也不需要支持MPLS。
PE(Provider Edge):服务提供商边缘设备,是服务提供商网络的边缘设备,与CE直接相连。在MPLS网络中,对V·PN的所有处理都发生在PE上。
P(Provider):服务提供商网络中的骨干设备,不与CE直接相连。P设备只需要具备基本MPLS转发能力,不维护V·PN信息。
RD(Route Distinguisher)将VPN路由发布到全局路由表之前,使用一个全局唯一的标识和路由绑定,以区分冲突的私网路由。 为了让运营商对2个相同私网IP的区分
RT 用于将路由正确引入VPN,有两类VPN Targer属性 , 引入和导出 规范路由的传递
当IPv4路由配置了RD和RT的时候会变成 VPNv4 路由 由BGP传递
模式
1.Overlay
二层——帧中继;三层——GRE与IPSec;应用层——SSL V·PN
2.Peer-to-Peer
在CE设备与PE设备之间交换私网信息,由PE设备将私网信息在运营商网络中传播,实现了部署及路由发布的动态性。
解决了Overlay 的“静态”性质不太适合大规模应用和部署的问题。
当两个CE设备要经过2个AS的时候
VPN-OptionA 在两个AS交互的ASBR上只交互纯粹的IPv4报文:
优点:配置简单 不需要在ASBR直接运行MPLS 也不需要为跨域配置特殊配置
缺点:扩展性差 ASBR要转发IPv4需要使用不同的接口 提高了对PE设备的要求
VPN-OptionB 将不同AS的报文通过MP-EBGP传递
优点:不受ASBR之间互连链路数量的限制
缺点:VP·Nv4的路由消息是通过ASBR来保存和传递 ASBR负担增重
VPN-OptionC 分为方案一和方案二
方案一:将两个AS区域的PE设备建立VP·Nv4的通道 减轻ASBR的负担 但是会打上三层标签 (VP·N lable , BGP lable , Tunnel LSP)
方案二:将三层标签转换为两层标签 将BGP映射为Tunnel标签
分配标签有2种方式
通过路由进行分配标签(默认)
通过V·PN实例进行分配
DHCP (Dynamic Host Configuration Protocol)动态主机配置协议
传统的手工配置网络参数需要每个用户都手动配置IP地址、掩码、网关、DNS等多个参数。
DHCP Relay
通过与PC相连的路由器或者交换机 进行报文转发给DHCP服务器
DHCP会遭受三种攻击 有饿死攻击 仿冒DHCP Server DHCP中间人
通过 DHCP Snooping 进行防护 主要是绑定每个接口 vlan ip地址 mac地址等信息 防止用户更改信息
镜像技术
在网络维护的过程中会遇到需要对报文进行获取和分析的情况,比如怀疑有攻击报文,此时需要在不影响报文转发的情况下,对报文进行获取和分析。
作用: 业务实时监控 故障处理分析 网络流量优化
将镜像端口的报文复制到观察端口
QoS (Quality of Service)服务质量
传统的网络设备在处理报文转发时,会依据先到达的报文优先被转发的机制进行处理,所以这样就会导致当网络发生拥塞时,一些关键业务的通信质量就得不到保障(如语音延迟、视频卡顿、关键业务无法通信等),进而影响到客户体验。
要提高带宽、减少时延和抖动、降低丢包率
DSCP(报文分类与标记)
要实现差分服务,就需要对进入DiffServ域的流量按照一定的规则进行分类,然后根据不同类别的流量提供不同的服务
流量监管与流量整形
流量监管和流量整形就是一类通过对流量规格的监督来限制流量及其资源使用的流控策略。
流量监管技术:
优点:可实现对不同类别的报文分别进行限速。
缺点:当链路空闲时,造成带宽浪费;丢弃的流量可能要进行重传。
流量整形技术
优点:可实现对不同报文分别进行限速;缓冲机制可减少带宽浪费,减少流量重传。
缺点:可能会增加延迟。
VRRP (虚拟路由器冗余协议)
设置备用路由器 访问外部网络的默认网关如果断开了,将由备用负责转发数据
同时可以负载分担 通过设置优先级设置主路由传输的网关和 副路由传输的网关
(1) 虚拟路由器中的路由器根据优先级选举出Master。Master路由器通过发送免费ARP报文,将自己的虚拟MAC地址通知给与它连接的设备或者主机,从而承担报文转发任务;
(2) Master路由器周期性发送VRRP报文,以公布其配置信息(优先级等)和工作状况;
(3) 如果Master路由器出现故障,虚拟路由器中的Backup路由器将根据优先级重新选举新的Master;
(4) 虚拟路由器状态切换时,Master路由器由一台设备切换为另外一台设备,新的Master路由器只是简单地发送一个携带虚拟路由器的MAC地址和虚拟IP地址信息的免费ARP报文,这样就可以更新与它连接的主机或设备中的ARP相关信息。网络中的主机感知不到Master路由器已经切换为另外一台设备。
(5) Backup路由器的优先级高于Master路由器时,由Backup路由器的工作方式(抢占方式和非抢占方式)决定是否重新选举Master。
拥塞管理与拥塞避免
当网络中间歇性的出现拥塞,且关键报文要求被更优先地转发时,此时就需要进行拥塞管理。通过采用队列技术及不同的调度算法来发送队列中的报文流。
FIFO 按报文到达接口的先后顺序让报文进入队列,同时,FIFO在队列的出口让报文按进队的顺序出队
处理简单,开销小的优点。但FIFO不区分报文类型,采用尽力而为的服务模型,使得对时延敏感的实时应用的延迟得不到保证,关键业务的带宽也不能得到保证
PQ 拥塞发生时要求优先获得服务以减少响应的延迟
分为高优先队列、中优先队列、正常优先队列和低优先队列 高优先级先走
WRR 加权循环调度在RR 根据每个队列的权重来轮流调度各队列中的报文流
权重越高流量越小的先走 会组成队列 轮流走
WFQ 按流的优先级来分配每个流应占有的出口带宽。优先级的数值越小,所得的带宽越少。优先级的数值越大,所得的带宽越多
对于IP而言相同源IP地址、目的IP地址、源端口号、目的端口号、协议号、ToS的报文属于同一个流
而对于MPLS网络,具有相同的标签和EXP域值的报文属于同一个流
CBQ
为用户提供了自定义类的支持。CBQ首先根据IP优先级或者DSCP优先级、入接口、IP报文的五元组等规则来对报文进行分类,然后让不同类别的报文进入不同的队列。对于不匹配任何类别的报文,会送入系统定义的缺省类
EF队列:满足低时延业务。
EF队列拥有绝对优先级,仅当EF队列中的报文调度完毕后,才会调度其他队列中的报文。
AF队列:满足需要带宽保证的关键数据业务。
每个AF队列分别对应一类报文,用户可以设定每类报文占用的带宽。当系统调度报文出队的时候,会按用户为各类报文设定的带宽将报文进行出队发送,可实现各个类的队列的公平调度。
BE队列:满足不需要严格QoS保证的尽力发送业务。
当报文不匹配用户设定的所有类别时,报文会被送入系统定义的缺省BE(Best Effort,尽力传送)类。BE队列使用接口剩余带宽和WFQ调度方式进行发送。
当队列被装满后
由于每个队列长度有限,当某一队列已经被装满时,传统的处理方法会将后续向该队列发送的报文全部丢弃,直至拥塞解除,这种处理方式称为尾丢弃
尾丢弃的缺点一:引发TCP全局同步现象
解决办法:RED(随机早期检测)可以有效防止TCP全局同步 最小化数据包的抖动
为避免TCP全局同步,可在队列未装满时先随机丢弃一部分报文。通过预先降低一部分TCP连接的传输速率来尽可能延缓TCP全局同步的到来。这种预先随机丢弃报文的行为被称为早期随机检测
尾丢弃的缺点二:引起TCP饿死现象
尾丢弃的缺点三:无差别地丢弃
解决办法:WRED
WRED技术可以通过对不同优先级数据包或队列设置相应的丢弃策略,以实现对不同流量进行区分丢弃 低带宽的流量比高带宽的流量更容易丢弃。
防火墙
用于两个网络之间有针对性的、逻辑意义上的隔离
用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为
USG2100集防火墙、UTM、V·PN、路由、无线(WIFI/3G)等于一身,即插即用,配置方便,可以为为客户提供安全、灵活、便捷的一体化组网和接入解决方案。
USG6000作为华为面向下一代网络环境的防火墙产品,提供以应用层威胁防护为核心的下一代网络安全,让网络管理员重新掌控网络,看得更清、管得更细、用得更易。具有最精准的应用访问控制、6000+应用识别、多种用户认证技术、全面的未知威胁防护、最简单的安全管理、最高的全业务性能体验等优点。
USG9500是业界首款T级数据中心防火墙,成功通过了业界权威第三方安全测评机构美国NSS实验室的测试,获评为业界最快的防火墙。USG9500采用分布式软硬件设计,融合了多种行业领先的专业安全技术,将交换、路由、安全服务整合到统一的设备中,在大型数据中心、大型企业、教育、政府、广电等行业和典型场景得到广泛应用。
NAT No-PAT也可以称为“一对一地址转换”,只对报文的地址进行转换,不转换端口。
NAPT属于“多对一的地址转换”,在转换过程中同时转换报文的地址和端口。
NAT Server提供了公网地址和私网地址的静态映射关系。
在进行地址映射的过程中可以选择是否允许端口转换。
防火墙可以防范各种常见的DDoS攻击和传统的单包攻击
BFD(Bidirectional Forwarding Detection) 双向转发检测
用于快速检测、监控网络中链路或者IP路由的转发连通状况
用于判断链路是否保持正常
链路故障 》 BFD会话Down 》OSPF邻居关系中断。
SDN 软件定义网络
传统网络的管理平面、控制平面、数据平面:
管理平面:设备管理(SNMP)。
控制平面:路由协议(IGP、BGP)。
数据平面:转发表(FIB)。
局限性:
流量路径的灵活调整能力不足。 网络协议实现复杂,运维难度较大。 网络新业务升级速度较慢。
SDN的三个主要特征:
转控分离。 集中控制。 开放接口。
OpenFlow Controller:用于控制OpenFlow Switch,计算路径,维护状态和将流规则下发给交换机。
OpenFlow Switch:从OpenFlowController控制器接收命令或者流信息,以及返回状态信息。
三个阶段:
Openflow网络革新阶段
虚拟Overlay路线
综合控制器路线:实现网络自动化发放和转发效率提升
689
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
