m0_73258133的博客

双向转发检测BFD（Bidirectional Forwarding Detection）是一种全网统一的检测机制，用于快速检测、监控网络中链路或者IP路由的转发连通状况。BFD在两台网络设备上建立会话，用来检测网络设备间的双向转发路径，为上层应用服务。BFD本身并没有邻居发现机制，而是靠被服务的上层应用通知其邻居信息以建立会话。会话建立后会周期性地快速发送BFD报文，如果在检测时间内没有收到BFD报文则认为该双向转发路径发生了故障，通知被服务的上层应用进行相应的处理。

攻击防范是一种重要的网络安全特性。它通过分析上送CPU处理的报文的内容和行为，判断报文是否具有攻击特性，并配置对具有攻击特性的报文执行一定的防范措施。攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。

如果R1与R2之间的链路也断掉了，S2去往公司分部的报文会继续发 给R1，而此时R1要去往分部只有经过S2-R2-R4-R5或S3-R2-R4-R5，这样一来，就会 有部分报文在Rl和S2之间来回转发，形成环路。实现这一需求的方法有很多，如，在R1和R2上将IS-IS路由引入BGP时，可以设定MED的值。在Rl和R2上查看带有团体属性的路由条目，这里仅以R1为例，可以看到，R1上关于20.0.5.5/32这条路由携带了团体属性No-Export，因此，它的 传递范围将被限制在AS100中。

Origin属性Origin属性用来定义路径信息的来源，标记一条路由是怎么成为BGP路由的。它有以下3种类型：IGP：具有最高的优先级。通过network命令注入到BGP路由表的路由，其Origin属性为IGP。EGP：优先级次之。通过EGP得到的路由信息，其Origin属性为EGP。Incomplete：优先级最低。通过其他方式学习到的路由信息。比如BGP通过命令引入的路由，其Origin属性为Incomplete。AS_Path属性。

此方式下，由于地址转换的同时还进行端口的转换，可以实现多个私网用户共同使用一个公网IP地址上网，FW根据端口区分不同用户，所以可以支持同时上网的用户数量更多。此外，NAPT方式不会生成Server-map表，这一点也与NAT No-PAT方式不同。NAPT是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少，需要上网的私网用户数量大的场景。可以看到NAT转换地址后PC端有共用一个转换IP地址。

NAT No-PAT是一种NAT转换时只转换地址，不转换端口，实现私网地址到公网地址一对一的地址转换方式。适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。此方式下，公网地址和私网地址属于一对一转换。如果地址池中的地址已经全部分配出去，则剩余内网主机访问外网时不会进行NAT转换，直到地址池中有空闲地址时才会进行NAT转换。FW上生成的Server-map表中存放Host的私网IP地址与公网IP地址的映射关系。NAT NO-PAT有两种：本地（Local）NO-PAT。

客户端ftp服务登录成功。客户端web服务登录成功。

Smart NAT是No-PAT方式的一种补充。Smart NAT是一种可以在No-PAT的NAT模式下，指定某个IP地址预留做NAPT方式的地址转换方式。适用于平时上网的用户数量少，公网IP地址数量与同时上网用户数基本相同，但个别时段上网用户数激增的场景。使用No-PAT方式时，进行地址池的一对一转换。随着内部用户数量的不断增加，地址池中的地址数可能不再能满足用户上网需求，部分用户将得不到转换地址而无法访问Internet。此时，用户可以利用预留的IP地址进行NAPT地址转换，然后访问Internet。

端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC和Sticky MAC），阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信，从而增强设备的安全性。

DHCP Snooping是DHCP（Dynamic Host Configuration Protocol）的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。

Origin属性Origin属性用来定义路径信息的来源，标记一条路由是怎么成为BGP路由的。它有以下3种类型：IGP：具有最高的优先级。通过network命令注入到BGP路由表的路由，其Origin属性为IGP。EGP：优先级次之。通过EGP得到的路由信息，其Origin属性为EGP。Incomplete：优先级最低。通过其他方式学习到的路由信息。比如BGP通过命令引入的路由，其Origin属性为Incomplete。AS_Path属性。

根据以上情况，需要将FW作为PPPoE Client，向PPPoE Server（运营商设备）拨号获得IP地址、DNS地址后，实现接入Internet。如图，FW作为出口网关，为局域网内PC提供接入Internet出口。

边界网关协议BGP（Border Gateway Protocol）是一种实现自治系统AS（Autonomous System）之间的路由可达，并选择优选路由的距离矢量路由协议。

解决AS内部的IBGP网络连接激增问题，除了使用路由反射器之外，还可以使用联盟（Confederation）。联盟将一个AS划分为若干个子AS。每个子AS内部建立IBGP全连接关系，子AS之间建立联盟EBGP连接关系，但联盟外部AS仍认为联盟是一个AS。配置联盟后，原AS号将作为每个路由器的联盟ID。这样有两个好处：一是可以保留原有的IBGP属性，包括Local Preference属性、MED属性和NEXT_HOP属性等；

Easy IP是一种利用出接口的公网IP地址作为NAT转后的地址，同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景，Easy IP也一样支持。当FW的公网接口通过拨号方式动态获取公网地址时，如果只想使用这一个公网IP地址进行地址转换，此时不能在NAT地址池中配置固定的地址，因为公网IP地址是动态变化的。此时，可以使用Easy IP方式，即使出接口上获取的公网IP地址发生变化，FW也会按照新的公网IP地址来进行地址转换。

NAT Server会生成Server-map表，并通过Server-map保存地址转换前后的映射关系。但如果转换前的地址没有变化,转换后的目的地址也不会改变，转换前后的目的依然会存在固定的映射关系。FW在进行地址转换的过程中还可以选择是否多个地址转换为同一个目的地址，是否选择端口转换，以满足不同场景的需求。例如，公司需要将内部网络中的资源提供给外部网络中的客户和出差员工访问。是一种转换报文目的IP地址的方式，且转换前后的地址存在一种固定的映射关系。web服务以80端口登录。ftp服务以81端口登录。

堆叠是指将多台支持堆叠特性的交换机通过堆叠线缆连接在一起，从逻辑上变成一台交换设备，作为一个整体参与数据转发。如图1所示，SwitchA与SwitchB通过堆叠线缆连接后组成堆叠系统。图1 堆叠示意图。

Origin属性Origin属性用来定义路径信息的来源，标记一条路由是怎么成为BGP路由的。它有以下3种类型：IGP：具有最高的优先级。通过network命令注入到BGP路由表的路由，其Origin属性为IGP。EGP：优先级次之。通过EGP得到的路由信息，其Origin属性为EGP。Incomplete：优先级最低。通过其他方式学习到的路由信息。比如BGP通过命令引入的路由，其Origin属性为Incomplete。AS_Path属性。

这时，该集群中的所有RR必须使用相同的Cluster ID，以避免RR之间的路由环路。当一条路由第一次被RR反射的时候，RR将Originator_ID属性加入这条路由，标识这条路由的发起设备。同一集群内的客户机只需要与该集群的RR直接交换路由信息，因此客户机只需要与RR之间建立IBGP连接，不需要与其他客户机建立IBGP连接，从而减少了IBGP连接数量。当设备接收到这条路由的时候，将比较收到的Originator ID和本地的Router ID，如果两个ID相同，则不接收此路由。

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备。双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。

Origin属性Origin属性用来定义路径信息的来源，标记一条路由是怎么成为BGP路由的。它有以下3种类型：IGP：具有最高的优先级。通过network命令注入到BGP路由表的路由，其Origin属性为IGP。EGP：优先级次之。通过EGP得到的路由信息，其Origin属性为EGP。Incomplete：优先级最低。通过其他方式学习到的路由信息。比如BGP通过命令引入的路由，其Origin属性为Incomplete。AS_Path属性。

防火墙（Firewall）是一种隔离技术，使内网和外网分开，可以防止外部网络用户以非法手段通过外部网络进入内部网络，保护内网免受外部非法用户的侵入。

病毒是一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽，有些病毒会控制主机权限、窃取数据，有些病毒甚至会对主机硬件造成破坏。反病毒是一种安全机制，它可以通过识别和处理病毒文件来保证网络安全，避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。