NAT
NAT:对IP数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备,例如路由器或防火墙
典型应用场景:在私有网络内部(园区,家庭)使用私有地址,出口设备部署NAT,对于“从内往外”的流量,网络设备通过NAT将数据包的源地址进行转换(转换成特定的公有地址),对于“从外往内”的流量,对数据包的目的地址进行转换
根据应用场景分为三类:
①源NAT(source NAT):对报文中的源地址进行转换,适用于用户通过私网地址访问Internet的场景
②目的NAT(Destination NAT):对报文中的目的地址进行转换,适用于用户通过公网地址访问私网服务器的场景
③双向NAT(Bidirection NAT):在转换过程中同时转换报文的源信息和目的信息,适用于通信双方访问对方的时候目的地址都不是真实的地址,而是NAT转换后的地址的场景
优点:①实现IP地址复用,节约宝贵的地址资源(通过私有地址的使用结合NAT技术,可以有效节约公网IPv4地址)②有效避免来自外网的攻击,对内网用户提供隐私保护,可以很大程度上提高网络安全性③实现服务器负载均衡
缺点:①网络监控难度加大②限制某些具体应用
动态NAT:静态NAT严格地一对一进行地址映射,在内网主机长时间离线或者不发送数据时,与之对应的公有地址仍处于使用状态,为避免地址浪费,动态NAT提出地址池的概念,所有可用的公有地址组成地址池
当内部主机访问外部网络时,临时分配一个地址池中未使用的地址,并将该地址标记为“In Use”,当该主机不再访问外部网络时,回收分配的地址,重新标记为“Not Use”。
动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即No-PAT(No-Port Address Translation,非端口地址转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率
NAPT(Network Address and Port Translation,网络地址端口转换):从地址池中选择地址转换时,不仅转换IP地址,同时也转换端口号,从而实现公有地址与私有地址的1:n映射,有效提高公有地址利用率
Easy IP:原理同NAPT,同时转换IP地址,传输层端口,但不使用地址池,而是使用接口地址作为NAT转换的公有地址。适用于不具备固定公网IP地址的场景,如通过DHCP,PPPoE拨号获取地址的私有网络出口,可以直接使用获取到的动态地址进行转换
NAT Server:指定【公有地址:端口】与【私有地址:端口】的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网提供服务时使用。外网主机通过主动访问【公有地址:端口】实现对内网服务器的访问
双向NAT:双向NAT在转换过程中同时转换报文的源/目的IP地址,是源NAT与目的NAT的组合。针对同一条流,在经过防火墙时同时转换报文的源地址和目的地址
域间双向NAT:在NAT Server基础上,增加源NAT配置,可简化配置服务器至公网的路由
域内双向NAT:防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址;FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址
黑洞路由:静态路由,出口接口为Null0,用于数据过滤和环路避免
| 场景 | 要求 |
|---|---|
| NAT地址池地址与公网接口地址不在同一网段 | 必须配置黑洞路由 |
| 配置指定协议和端口的NAT Server的global地址与公网接口地址不在同一网段 | 必须 |
| NAT地址池地址或NAT Server的global地址与公网接口地址在同一网段 | 建议 |
| NAT地址池地址或NAT Server的global地址与公网接口地址地址一致 | 不需要 |
BFD
BFD会话建立:通过控制报文中的本地标识符和远端标识符区分不同的会话,静态和动态建立BFD会话主要区别在于LocalDiscriminator和Remote Discriminate的配置方式不同
BFD会话有四种状态,Down,Initiate,Up和AdminDown,状态变化通过State字段传递,建立和拆除都采用三次握手机制
Echo功能(回声功能):是由本地发送BFD Echo报文,远端系统将报文环回的一种检测机制
联动功能:由检测模块(BFD检测模块),Track和应用模块(VRRP,静态路由,策略路由,接口备份)三部分组成。
静态路由xBFD:如果静态路由存在冗余路径,通过静态路由与BFD联动,当主用路径故障时,实现静态路由的快速切换
OSPFxBFD:链路故障检测时间基于协议Hello机制,为秒级,绑定BFD后,故障检测提升至毫秒级。
网络质量分析NQA(Network Quality Analysis)是一种实时的网络性能探测和统计技术,可以对响应时间,网络抖动,丢包率等网络信息 进行统计,能够实时监视网络QoS,在网络发生故障时进行有效的故障诊断和定位。
IP-Link:指FW通过向指向的目的IP周期性地发送探测报文并等待应答,来判断链路是否发生故障。FW发送探测报文后,在三个探测周期(默认15s)内未收到响应报文,则认为当前链路发生故障,IP-Link的状态变为Down,随后,FW会进行IP-Link Down相关的后续操作,例如双机热备主备切换等。当链路从故障中恢复,FW能连续收到3个响应报文,则认为链路故障已消除,IP-Link状态变为Up。
IP-Link主要用于业务链路正常与否的自动侦测,可以检测到与FW不直接相连的链路状态,保证业务持续通畅
端口聚合与设备堆叠
Eth-Trunk:是一种将多个以太网接口捆绑成一个逻辑接口的捆绑技术,链路聚合模式有两种
手工负载分担模式:当两台设备中至少有一台不支持LACP协议时,可使用手工负载分担模式的Eth-Trunk来增加设备间的带宽及可靠性,在手工负载分担模式下,加入Eth-Trunk的链路都进行数据的转发
LACP模式(M:N模式):M条链路处于活动状态转发数据,N条链路处于非活跃状态作为备份链路,只有当活跃的链路出现故障时,备份链路才进行转发
LACP模式活动链路的选取:设备系统优先级值小确定主动端,主动端通过接口优先级确定活跃链路,缺省情况下,系统LACP优先级值为32768
Eth-Trunk接口负载分担,可选择IP地址或者包作为负载分担的散列依据,同时可设置成员接口的负载分担权重,某成员接口的权重值占所有成员接口负载分担权重之和的比例越大,该成员接口承担的负载就越大
| 接口负载分担 | 特点 |
|---|---|
| 逐流负载分担 | 当报文的源IP地址目的IP地址都相同或者报文的源MAC地址,目的MAC地址都相同时,这些报文从同一条成员链路上通过 |
| 逐包负载分担 | 以报文为单位分别从不同的成员链路上发送 |
Eth-Trunk接口配置流程:创建Eth-Trunk,选择链路聚合模式,加入成员接口
堆叠(iStack):盒式设备,将多台支持堆叠特性的交换机通过堆叠线缆连接在一起,从逻辑上虚拟成一台交换设备,作为一个整体参与数据转发。
集群(Cluster Switch System,CSS):高端式交换机,将两台支持集群特性的交换机设备组合在一起,从逻辑上虚拟成一台交换设备
通过使用堆叠,集群技术结合链路聚合技术可以简单构建高可靠,无环的园区网络。优势①有效提高资源利用率,获得更高的转发性能,链路带宽②降低网络规划的复杂度,便于对网络的管理③大大降低故障导致的业务中断时间
堆叠系统中所有的单台交换机都称为成员交换机,按照功能分为三种角色:
主交换机(Master):负责管理整个堆叠,堆叠系统中只有一台主交换机
备交换机(Standby):是主交换机的备份交换机,堆叠系统中只有一台备交换机,当主交换机故障时,备交换机会接替原主交换机的所有业务
从交换机(Slave):用于业务转发,堆叠系统中可以有多台从交换机,从交换机数量越多,堆叠系统的转发带宽越大,除主交换机和备交换机外,堆叠中所有的成员交换机都是从交换机,当备交换机不可用时,从交换机承担备交换机角色
堆叠优先级:优先级值越大表示优先级越高,当选为主交换机的可能性越大,用于角色选举过程中确定成员交换机的角色
堆叠逻辑接口:交换机之间用于建立堆叠的逻辑接口,每台交换机支持两个逻辑堆叠接口,分别为stack-port n/1和stack-port n/2,其中n为成员交换机的堆叠ID
一个逻辑堆叠端口可以绑定多个物理成员端口,用于提高堆叠的可靠性和堆叠带宽。堆叠成员设备之间,本端设备的逻辑堆叠端口stack-port n/1必须与对端设备的逻辑堆叠端口stack-port m/1相连
堆叠方式:①堆叠卡堆叠:使用专用的堆叠插卡或者交换机自身的堆叠插卡,使用专用的堆叠线缆进行堆叠;②交换机之间使用逻辑堆叠端口(stack-port)相连,可使用普通线缆网线,光纤或者专用堆叠线缆链接物理成员端口
堆叠链接拓扑
| 链形连接 | 环形连接 |
|---|---|
| 堆叠成员交换机距离较远,组件环形连接比较困难 | 堆叠成员交换机距离较近,考虑可靠性和堆叠利用率 |
| 可靠性低,其中一条链路出故障就会导致已形成的堆叠断开 | 可靠性高,其中一条堆叠链路出现故障,环形拓扑变成链形拓扑,不影响堆叠系统正常工作 |
主交换机的选举规则:
①运行状态比较,已经运行的交换机比处于启动状态的交换机优先竞争为主交换机(堆叠主交换机选举超时时间为20s,堆叠成员交换机上电或重启时,由于不同成员交换机所需的启动时间可能差异比较大,因此不是所有成员交换机都有机会参与主交换机的第一次选举)
②堆叠优先级高的交换机优先竞争为主交换机
③堆叠优先级相同时,MAC地址小的交换机优先竞争为主交换机
备交换机选举:完成设备启动>堆叠优先级高>MAC地址小
所有成员交换机(备+从)会自动同步主交换机的系统软件和配置文件
堆叠支持跨设备链路聚合技术,堆叠后成为逻辑上的一台交换机,支持将Eth-Trunk的成员接口分布在不同的成员交换机上。当其中一条聚合链路故障或堆叠中某台成员交换机故障时,Eth-Trunk接口通过堆叠线缆将流量重新分布到其它聚合链路上,实现了链路间和设备间的备份,保证了数据流量的可靠传输
9890
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
