H3CSE路由学习笔记Word文档格式.docx
《H3CSE路由学习笔记Word文档格式.docx》由会员分享,可在线阅读,更多相关《H3CSE路由学习笔记Word文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
每个路由器产生,在本area内传播
2.type2:
DR产生,在本area内传播
3.type3:
ABR产生,通告给其他的area
4.type4:
ABR产生,通告给相关area(到ASBR的路由)
5.type5:
ASBR产生,通告给除了STUBarea(到AS外部的路由)
.type7:
NSSA的ASBR产生,仅在NSSAarea传播(到AS外部的路由)
六、邻居和邻接
1.在OSPF中路由器与路由器之间有两种关系分别是邻居和邻接。
2.收到hello报文的路由器检查报文中的参数,如果双方一致就形成邻居关系。
3.当双方成功交换DD报文,交换LSA达到LSDB同步后,建立邻接关系。
七、OSPF的area概念
1.area产生原因:
①路由器数量多导致每台LSDB变大,使路由器需要很到内存和很强CPU运算能力②大规模网络中网络容易震荡且收敛很慢。
2.引入area后OSPF网络中的路由器有4种:
①area内路由器②区域边界路由器ABR③骨干路由器④自治系统边界路由器ASBR。
3.area划分原则:
常规area和骨干area物理直连,否则用vlink解决。
4.vlink的另一作用:
提供冗余链路(物理直连down,逻辑连接可使用)
5.STUBarea:
该area不允许注入type5LSA,故路由表大大减小。
6.NSSAarea:
是STUBarea的改进。
7.OSPF网络中路由的类型:
intra---inter---type1external---type2external
八、OSPF支持的网络类型
1.broadcast:
用组播224.0.0.5224.0.0.6发送协议报文,选举DR/BDR。
2.NBMA:
用单播发送协议报文,选举DR/BDR,手工指定邻居
3.P2P:
组播224.0.0.5发送协议报文
4.P2MP:
组播224.0.0.6发送协议报文
九、OSPF中DR/BDR的概念
1.DRother只与DR/BDR建立邻接关系
2.broadcast和NBMA类型接口才会选举DR/BDR。
3.路由器优先级大于0才可被选举为DR/BDR,优先级相同时,routerID大的选为DR/BDR.
4.DR是针对网段而言的,故以接口来区分。
第二部分BGP
一、BGP概述:
1.是唯一的EGP
2.现在使用的是version4
3.广泛应用于ISP或大型企业网。
二、BGP的7个特点
1.BGP的作用:
控制路由传播和选择最佳路由(IGP是发现和计算路由)
2.BGP的协议报文用TCP封装,端口号是179
3.支持CIDR(ClasslessInterDomainRouting)无类别域间路由选择
4.增量更新路由
5.无环路(通告路由时携带ASN)
6.具有丰富路由策略
7.易于扩展
三、BGP的4个小概念
1.BGPSpeaker
2.peer
3.group
4.IBGP和EBGP
四、BGP的协议报文总结
1.BGP有5中协议报文,它们有相同报文头。
2.open报文:
TCP连接建立后发送的第一个报文,用于建立BGPpeer间的邻居关系
3.update报文:
用于在peer间交换路由信息。
4.notification报文:
BGP检测到错误状态时,向peer发送该报文,之后BGP连接中断
5.keepalive报文:
周期性向peer发送,保持连接有效性(该报文只有报文头)
6.route-refresh报文:
用来要求peer重新发送指定地址的路由信息。
五、BGP路由属性总结(这是BGP最具特色的地方,也是最重要的地方)
1.路由属性是一组参数,对特定路由进行描述,让BGP对路由过滤和选择
2.BGP的路由属性分为4类:
①必遵②可选③过渡④非过渡
3.最常用的几个BGP路由属性列举:
①origin属性:
该属性定义了路由信息的来源,共3个属性值IGP>
BGP>
INCOMPLETE
②as-path属性:
该属性按次序记录了某条路由从本地到目的地址所经过的所有AS编号,BGP将一条路由通告到其它AS时,便把本地ASN加在as-path列表的最前面。
(通常BGP不会接受as-path列表中包含本地ASN的路由,从而避免了环路)
③next-hop属性:
BGP把产生的路由发送给所有邻居时,将路由信息的下一跳属性设置为自己与对端连接的接口地址;
BGP把接收到的路由发送给EBGP邻居时,将该路由信息的下一跳属性设置为本地与对端连接的接口地址;
BGP把从EBGP邻居得到的路由发送给IBGP邻居时,不改变下一跳属性,如果配置了负载分担,路由被发给IBGP邻居时则会修改。
④MED属性:
BGP路由器通过不同EBGP邻居得到相同目的地的路由时,其它条件相同时,有限选择MED值小的作为最佳路由。
⑤local-pref属性:
该属性仅在IBGP邻居间交换,不通告给其他AS;
当BGP路由器通过不同IBGP邻居得到相同目的地但下一跳不同的多条路由时,优先选择local-pref值较高的路由。
⑥community属性:
该属性简化路由策略的应用和降低维护管理的难度。
六、BGP的选路策略,共3中情况
情况1:
接收路由的策略(首先丢弃下一跳(NEXT_HOP)不可达的路由;
优选Preferred-value值最大的路由;
优选本地优先级(LOCAL_PREF)最高的路由;
优选聚合路由;
优选AS路径(AS_PATH)最短的路由;
依次选择ORIGIN类型为IGP、EGP、Incomplete的路由;
优选MED值最低的路由;
依次选择从EBGP、联盟、IBGP学来的路由;
优选下一跳Cost值最低的路由;
优选CLUSTER_LIST长度最短的路由;
优选ORIGINATOR_ID最小的路由;
优选RouterID最小的路由器发布的路由;
优选地址最小的对等体发布的路由。
情况2:
发布路由的策略(存在多条有效路由时,BGP发言者只将最优路由发布给对等体;
BGP发言者只把自己使用的路由发布给对等体;
BGP发言者从EBGP获得的路由会向它所有BGP对等体发布(包括EBGP对等体和IBGP对等体);
BGP发言者从IBGP获得的路由不向它的IBGP对等体发布;
BGP发言者从IBGP获得的路由发布给它的EBGP对等体(关闭BGP与IGP同步的情况下,IBGP路由被直接发布;
开启BGP与IGP同步的情况下,该IBGP路由只有在IGP也发布了这条路由时才会被同步并发布给EBGP对等体);
连接一旦建立,BGP发言者将把自己所有的BGP路由发布给新对等体。
情况3:
应用了负载分担后时的选路
七、BGP和IGP的同步问题
1.IBGP路由加入路由表前并发布给EBGP邻居前,会先检查IGP路由表,只有IGP叶有改目的路由是,认为是同步的,才会发布路由给EBGP邻居。
否则是不同步,不加入不发布。
八、大规模BGP网络面临的问题
1.路由聚合:
支持自动聚合和手动聚合,手动聚合可以控制聚合路由属性,以及决定是否发布具体路由。
2.路由衰减
3.路由反射器
4.联盟
第三部分路由策略
一、路由策略概述,共3点
1.作用:
为了改变流量的路径而修改路由信息
2.应用场合:
①路由发布时②路由接收时③路由引入时
3.实现方法:
step①定义匹配规则step②将匹配规则应用到需要的场合
二、路由策略实现用到的过滤器(1.2.6是通用的,3.4.5是BGP专用的)
1.ACL
2.地址前缀
3.as-path访问列表
4.团体属性列表
5.扩展团体属性列表
6.route-policy
第四部分AAA和radius
一、AAA知识点,4点
1.AAA=authentication、authorization、accounting(认证、授权、计费):
①认证是确认远端访问用户的身份是否合法②授权是对不同用户赋予不同权限,限制用户可以使用的服务③计费是记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,不仅是计费手段,也对网络安全起监视作用。
2.AAA是C/S架构,一般radius或hwtacacs规定NAS与server如何传递用户信息。
3.3个A可以搭配使用。
二、radius概述
1.radius=remoteauthenticationdial-inuserservice(远程认证拨号用户服务)
2.radius是分布式、C/S架构的信息交互协议
3.radius基于UDP,1812为认证端口、1813为计费端口
4.radius最早用于拨号接入,后来用于以太网接入、ADSL接入
三、radius服务器通常维护3个数据库
1.users:
用户名、口令、协议、ip地址
2.clients:
共享密钥、ip地址
3.dictionary:
属性和属性值
四、radius客户端和服务器端交互机制,共3点
1.radius客户端和服务器之间认证消息的交互通过共享密钥保证安全,网络不传输共享密钥。
用户密码在网络上加密传输。
2.radius服务器支持多种方法认证用户(如基于PPP的PAP\CHAP)
3.radius服务器可以为其它类型认证服务器提供代理
五、radius消息交互流程,共9步
Step①用户发起连接请求,向RADIUS客户端发送用户名和密码。
Step②RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下由MD5算法进行加密处理。
Step③RADIUS服务器对用户名和密码进行认证。
如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept);
如果认证失败,则返回认证拒绝包(Access-Reject)。
由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。
Step④RADIUS客户端根据接收到的认证结果接入/拒绝用户。
如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。
Step⑤RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。
Step⑥用户开始访问网络资源。
Step⑦用户请求断开连接,RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。
Step⑧RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费。
Step⑨用户结束访问网络资源。
第五部分VPN
一、VPN特点,共3点
1.VPN是利用现有公共网络,通过资源配置形成的逻辑上的网络。
2.VPN为特定企业或用户群专用。
3.VPN不是简单的高层业务。
二、VPN的优势,共5点
1.为用户建立可靠的安全连接
2.提高网络资源利用率
3.VPN应用灵活
4.满足移动业务需求
5.MPLS-VPN能构建具有QoS的VPN
三、VPN网络结构描述,共3点
1.若干site组成VPN
2.所有site属于一个企业是intranetVPN
3.所有site分属不同企业是ExtranetVPN
四、VPN如何来组建逻辑网络,共2点
1.呼叫连接过程由ISP得NAS与VPN服务器共同完成。
2.POP=pointofpresence服务器(位于ISP得边缘,直接接用户)
五、VPN的本质,共4点
1.VPN=隧道+加密
2.隧道分为二层隧道和三层隧道
3.二层隧道一般终止在用户侧设备,三层隧道一般终止在ISP网关;
三层隧道比二层隧道更安全更容易扩展更可靠
4.二层隧道和三层隧道可独立使用,也可配置使用,这样更更全更佳的性能
六、VPDN总结,共2点
1.VPDN=virtualprivatedialnetwork虚拟私有拨号网:
指利用公共网络(ISDN或PSTN)的拨号功能及接入网来实现VPN
2.VPDN有两种实现方式:
①NAS通过隧道协议,与VPDN网关建立通道②客户机直接与VPDN网关建立隧道
七、L2TP总结
1.协议背景:
PPP协议定义了一种封装技术,可在二层点到点链路传输多种协议数据包,用户与NAS间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上;
L2TP提供了对PPP链路层数据包的通道(tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上,且采用包交换进行信息交互,扩展了PPP模型。
2.术语:
LAC=L2TPaccessconnectrator(具有PPP端系统和L2TP协议处理能力的设备)
LNS=L2TPnetworkserver(PPP端系统处理L2TP协议服务器端的设备)
3.PPP帧和控制通道及数据通道间的关系:
PPP帧在不可靠的L2TP数据通道上传输,控制消息在可靠的L2TP控制通道内传输。
4.tunnel和session:
tunnel连接定义了一个LNS和LAC对;
session连接复用在tunnel之上,用于表示承载在tunnel连接中的每个PPPsession过程;
同一对LAC和LNS间可建立多个L2TPtunnel,tunnel由一个控制连接和一个或多个session组成;
session连接必须在tunnel建立成功后进行,每个session对应于LAC和LNS间的一个PPP数据流;
控制消息和PPP数据报文都在tunnel上传输。
5.控制消息和数据消息:
控制消息用于隧道和会话的建立、维护、传输控制;
数据消息用于封装PPP帧在隧道上传输;
控制消息和数据消息共享相同的报文头。
6.L2TP的两种tunnel模式:
①远程拨号用户发起②直接由LAC客户发起。
7.L2TP隧道和会话建立过程:
(①用户端PC发起呼叫连接请求②PC和LAC进行PPPLCP协商③LAC对PC提供的用户信息进行PAP或CHAP认证④LAC将热证信息(用户名、密码)发送给radius服务器进行认证⑤radius服务器认证该用户;
如果认证通过则返回该用户对应的LNS地址等相关信息且LAC准备发起tunnel连接请求⑥LAC向指定LNS发起tunnel连接请求⑦LAC向指定LNS发送CHAPchallenge信息,LNS会送该challenge响应消息CHAPresponse并发送LNS侧的CHAPchallenge,LAC返回该challenge的响应消息CHAPresponse⑧隧道验证通过⑨LAC将用户CHAPresponse、responseidentifier和PPP协商参数传送给LNS⑩LNS将介入请求信息发送给radius服务器进行认证(11)radius服务器认证该请求信息,如果认证通过则返回响应信息(12)若用户在LNS配置强制本端CHAP认证,则LNS对用户进行认证,发送CHAPchallenge,用户侧回应CHAPresponse(13)LNS再次将接入请求信息发送给radius服务器进行认证(14)radius服务器认证该请求信息,如果认证通过则返回响应信息;
验证通过,用户访问企业内部资源。
八、GRE总结,共6点。
1.GRE=genericroutingencapsulation(通用路由封装):
是对某些网络层协议(如ip和IPX)的数据报文进行封装,使被封装的数据报文能在另一网络层协议(如ip)中传输。
2.GRE是VPN的三层隧道协议。
3.tunnel是一个虚拟点到点连接,可以看成仅支持点到点连接的虚拟接口。
4.报文在tunnel中传输,必须经历2个处理过程:
①encapsulation②de-encapsulation
5.GRE的使用:
①多协议的本地网通过单一协议骨干网传输②扩大步跳数受限协议(如IPX)的网络工作范围③将不连续子网连接用于组建VPN④与IPsec结合使用。
6.GRE的配置:
①必须先创建tunnel虚拟接口,然后在tunnel接口上配置其它功能特性(删除tunnel接口同时接口所有配置也被删除)②目前comware不支持GRE对IPX的封装。
九、IPsec总结
1.IPsec概述:
①由IETF制定②IPsec是特定通信方在ip层通过加密与数据源验证等来保证数据传输的私有性、完整性、真实性和放重放③IPsec通过AH和ESP实现安全,通过IKE自动协商交换密钥、建立和维护SA④AH提供数据源验证、数据完整性校验、报文放重放功能⑤ESP提供AH所有功能外,还提供对ip报文加密。
⑥AH和ESP可单独使用也可搭配使用更安全。
2.安全联盟SA:
①IPsec在对等体间提供安全通信②通过SA,IPsec能对不同数据流提供不同安全级别,专业说法叫“控制对等体间安全服务的粒度”③SA是IPsec对等体间对某些要素的约定④SA是单向的(两个对等体间双向通信,至少需要两个SA)⑤SA由三元组来标识(SPI\目的ip地址\安全协议号AH或ESP)⑥SA有生存周期,计算方式有两种(时间和流量)。
3.IPsec的操作模式有2种:
①传输模式(AH或ESP被插入到ip头之后所有传输层协议之前或所有其他IPsec协议之前)②隧道模式(AH或ESP插入在原始ip头之前,另外生成一个新头放在AH或ESP之前)③隧道模式的安全性优于传输模式但性能不及传输模式。
4.验证算法和加密算法:
①验证算法(有两种MD5和SHA-1;
用于完整性验证判断报文在传输过程中是否被篡改;
验证算法通过杂凑函数接受任意长的消息输入,产生固定长度输出的算法,输出信息称为消息摘要;
MD5输入任意长度产生128bits摘要,SHA-A输入小于2的64次方bits产生160bits摘要)②加密算法(DES=dataencryptionstandard使用56bits的密钥对64bits明文加密;
3DES=TripleDES使用3个56bits密钥对明文加密;
AES=advancedencryptionstandard-comware实现了128bits/192bits/256bits密钥长度的AES算法)。
5.IPsec的2种协商方式:
①手工方式(manual)②IKE自动协商③手工方式配置复杂且IPsec一些高级特性(如定时更新密钥)不被支持;
IKE只需配置好IKE协商安全策略信息由IKE自动协商来创建和维护SA④对等体设备数量少或小型静态环境使用手工配置SA;
大中型动态网络环境中使用IKE协商建立SA。
6.加密卡:
①加密/解密、认证算法一般比较复杂,占用大量CPU资源,影响路由器整体处理效率②模块化路由可以使用加密卡,以硬件方式完成IPsec运算;
提高了路由器工作效率也提高了IPsec处理效率。
第六部分QoS
一、QoS概述,共5点
1.QoS是网络转发分组的服务能力
2.传统ip网络QoS是FIFO(best-effort)
3.现今的ip网络要承载新业务(视频语音等业务),对带宽和延迟、抖动要求较高
4.延迟、抖动主要是拥塞引起的
5.流量管理的5种技术:
①流分类②流量监管③流量整形④拥塞管理⑤拥塞避免
二、流分类总结,共6点
1.流分类是对流量进行分类,是实现QoS的基础
2.流分类可使用TOS或根据源地址、目的地址、MAC地址、ip协议或端口号灯信息对流进行分类
3.一般的分类依据都局限在封装报文的头部信息,使用报文内容作为分类标准比较少见。
4.一般在网络边界对报文分类,同时设置报文ip头TOS字段的优先级位。
这样在网络内部直接使用ip优先级作为分类标准,队列技术也可使用这个优先级对报文进行不同的处理。
下游网络可选择接受上游网络的分类结果,也可按自己的标准重新进行分类。
5.当报文进入网络时依据承诺速率进行监管,流出结点前进行整形,拥塞时的队列调度管理,拥塞加剧时采取拥塞避免
6.TOS和DSCP:
①TOS有8bits,前3bits是ip优先级,取值范围是0-7;
后3-6bits是TOS优先级,取值范围是0-15。
②重新定义TOS域,称为DS域。
DSCP优先级使用前6bits,取值范围0-64,后2bits保留。
三、令牌桶
1.令牌桶是流量评估机制,或者说是评估流量是否超标的手段
2.令牌桶是存放一定数量令牌的容器。
系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。
3.通常一个令牌关联一个比特的转发权限。
4.简单评估(CIR\CBS):
CIR承诺信息速率;
CBS承诺突发尺寸,设置的突发尺寸必须大于最大报文长度。
5.复杂评估(c桶和e桶,CIR\CBS\PIR\EBS)IR峰值信息速率;
EBS超出突发尺寸。
四、流量监管总结,共4点
1.流量监管是监督进入网络某一流量规格,将流量限制在合理范围。
2.如果发现某个链接流量超标,流量监管可选择丢弃报文,或重新设置报文的优先级。
3.流量监管广泛用于监管进入InternetISP的网络流量。
4.监管动作:
①转发(比如对评估结果“符合”的报文继续转发)②丢弃(比如对评估结果为“不符合”的报文进行丢弃)③改变优先级并转发(比如对评估结果为“符合”的报文将之标记为其它的优先级后再进行转发)④改变优先级进入下一级监管(比如对评估结果为“符合”的报文将之标记为其它的优先级后在进入下一级监管)⑤进入下一级监管(流量监管可以逐级堆叠,每级关注和监管更具体的目标)
五、流量整形总结,共3点
1.流量整形是主动调整流量输出速率的措施。
典型应用时基于下游网络结点的TP指标来控制本地流量的输出。
2.整形和监管的区别是整形对监管中需要丢弃的报文进行缓存,当令牌桶中有足够令牌,均匀向外发送这些报文。
另外,整形会增加延迟,而监管几乎不引入额外的延迟。
3.举例:
RA向RB发送报文,RB要对RA发送来的报文进行监管,对超出的流量直接丢弃。
为了减少报文无谓丢失,可在RA的出口对
升级会员 