1、链路聚合链路聚合一般部署在核心节点,以便提高整个网络的数据吞吐量。链路聚合:是把两台设备之间的多条物理链路聚合到一起,当做一条逻辑链路来使用。这两台设备可以是一对路由器,一对互换机,或者一台路由器和一台互换机。一条聚合链路可以包含多条成员链路,在ARG3系列路由器和X7系列互换机上默认最多为8条。聚合链路可以提高链路带宽。理论上,通过聚合几条链路,一个聚合口的带宽可以扩展为所有成员口带宽的综合,这样有效地增长了逻辑链路的带宽。链路聚合为网络提高了可靠性。配置了链路聚合后,假如一个成员接口发生了故障,改成员口的物理链路会把流量切换到另一条成员链路上。链路聚合还可以在一个聚合口上实现负载均衡,一个
2、聚合口可以把流量分散到多个不同的成员口上,通过成员链路把流量发送到同一个目的地,将网络产生拥塞也许性降到最低。链路聚合包含两种模式:手动负载均衡模式和静态LACP(Link Aggregation Control Protocol)手工负载分担模式:Eth-Trunk的建立、成员接口的加入由手工配置,没有链路聚合控制协议的参与。该模式下所有活动链路都参与数据的转发,平均分担流量,因此称为负载分担模式。假如某条活动链路故障,链路聚合组自动在剩余的活动链路中平均分担流量。当需要在两个直连设备之间提供一个较大的链路带宽而设备不支持LACP协议时,可以使用手工负载分担模式。ARG3系列路由器和X7系列
3、互换机可以基于目的MAC,源MAC,或者基于源MAC地址和目的MAC地址,源IP地址,目的IP地址,或者源IP地址和目的IP地址进行负载分担。静态LACP模式中,链路两端设备互相发送LACP报文,协商聚合参数。协商完毕后,两台设备拟定活动接口和非活动接口。在静态LACP模式中,需要手动创建一个Eth-Trunk口,并添加成员口。LACP协商选举活动接口和非活动接口。惊天LACP模式也叫M:N模式。M代表活动成员链路,用于在负载均衡模式中转发数据。N代表非活动链路,用于冗余备份。假如一条活动链路发生故障,该链路传输的数据被切换到一条优先级最高的备份链路上,这条备份链路转变为活动状态。两种链路聚合
4、模式的重要区别是:在静态LACP模式中,一些链路充当备份链路。在手动负载均衡模式中,所有的成员口都处在转发状态。在一个聚合口中,聚合链路两端的物理口(即成员口)的所有参数必须一致,涉及物理口的数量,传输速率,双攻模式,流量控制模式。成员口可以使二层口或者三层口。数据流在聚合链路上传输,数据顺序必须保持不变。一个数据流可以看做是一组MAC地址和IP地址相同的帧。为了避免同流的帧出现数据包乱序的情况,Eth-Trunk采用主流负载分担机制,这种机制把数据帧中的地址通过HASH算法生成HASH-KEY值,然后根据这个数值在Eth-Trunk转发表中寻找相应的出接口,不同的MAC或者IP地址HASH得
5、出的HASH-KEY值不同,从而出接口也就不同,这样既保证了同一数据流的帧在同一条物理链路转发,又实现了流量在聚合组内各物理链路上的负载分担,既逐流的负载分担。逐流负载分担能保证包的顺序,但不能保证带宽运用率。负载分担的类型涉及以下几种:1. 根据报文的源MAC地址进行负载分担。2. 根据报文的目的MAC地址进行负载分担3. 根据报文的源IP地址进行负载分担4. 根据报文的目的IP地址进行负载分担5. 根据报文的源MAC地址和目的MAC地址进行负载分担。6. 根据报文的源IP地址和目的IP地址进行负载分担。7. 根据报文的VLAN、源物理端口等对L2、IPv4、IPv6和MPLS报文进行增强型
6、负载分担。本例中,通过执行interface Eth-Trunk 命令配置链路聚合。这条命令创建了一个Eth-Trunk口,并且进入该Eth-Trunk口视图。Trunk-id用来唯一标记一个Eth-Trunk口,该参数的取值也许是0到63之间的任何一个整数。假如指定的Eth-Trunk口已经存在,执行命令后会直接进入该Eth-Trunk口视图。配置Eth-Trunk口和成员口,需要注意以下规则:1. 只能删除不包含任何成员口的Eth-Trunk口。2. 把接口加入Eth-Trunk口时,二层Eth-Trunk口的成员口必须是二层接口,三层Eth-Trunk口的成员口必须是三层接口。3. 一个
7、Eth-Trunk口对多可以加入8个成员口。4. 加入Eth-Trunk口的接口必须是hybrid接口(默认接口类型)5. 一个Eth-Trunk口不能充当其他Eth-Trunk口的成员口。6. 一个以太接口只能加入一个Eth-Trunk口。假如把一个以太接口加入另一个Eth-Trunk口,必须先把该以太接口从当前所属的Eth-Trunk口中删除。7. 一个Eth-Trunk口的成员口类型必须相同。例如,一个快速以太网口(FE口)和一个千兆以太口(GE口)不能加入同一个Eth-Trunk口。8. 位于不同接口板(LPU)上的以太口可以加入同一个Eth-Trunk口。假如一个对端接口直接和本端E
8、th-Trunk口的一个成员口相连,该对端接口也必须加入一个Eth-Trunk口。否则两端无法通信。9. 假如成员口的速率不同,速率较低的接口也许会拥塞,报文也许会被丢弃。10. 接口加入Eth-Trunk口后,Eth-Trunk口学习MAC地址,成员口不再学习。执行display interface Eth-Trunk 命令,可以确认两台设备间是否已经成功实现链路聚合。也可以使用这条命令收集流量记录数据,定位接口故障。假如Eth-Trunk口处在UP状态,表白接口正常运营。假如接口处在DOWN状态,表白所有成员口物理层发生故障。假如管理员关闭端口,接口处在Administratively D
9、OWN状态。可以通过接口状态的改变发现接口故障,所有接口正常情况下都应处在UP状态。假如要在路由器上配置三层链路聚合,需要一方面创建Eth-Trunk接口,然后在Eth-Trunk逻辑口上执行undo portswitch命令,吧聚合链路从二层转为三层链路。执行undo protswitch命令后,可认为Eth-Trunk逻辑接口分派一个IP地址。1. 一个快速以太口(FE口)和一个千兆以太口(GE口) 不能加入同一个Eth-Trunk。假如将两个不同类型的接口加入到同一个Eth-Trunk口,设备会提醒发生错误。2. 只有LACP模式支持备份成员链路。如需建立备份链路,应使用LACP模式的链
10、路聚合。VLAN(Virtual Local Area Network)虚拟局域网VLAN标签长4个字节,直接添加在以太网帧头中,IEEE802.1Q文档对VLAN标签做出了说明:TPID:Tag Protocol Identifier,2个字节,固定取值,0x8100,是IEEE定义的新类型,表白这是一个携带802.1Q标签的帧。假如不支持802.1Q的设备收到这样的帧,会将其丢弃。TCI:Tag Control Information,2字节。帧的控制信息,具体说明如下:1. Priority:3比特,表达帧的优先级,取值范围为07,值越大优先级越高。当互换机阻塞时,优先发送优先级高的数据
11、帧。2. CFI:Canonical Format Indicator,1比特。CFI表达MAC地址是否为经典格式。CFI为0说明是经典格式,CFI为1表达为非经典格式。用于区分以太网帧、FDDI(Fiber Distributed Digital Interface)帧和令牌环网帧。在以太网中,CFI的值为0.3. Vlan Identifier:VLAN ID,12比特,在X7系列互换机中,可配置的VLAN ID取值范围是04095,但是0和4095在协议中规定为保存的VLAN ID,不能给用户使用,即可配置的范围是14094.在现有的互换网络环境中,以太网的帧有两种格式:没有TAG的标准
12、以太网帧(untagged frame);有VLAN标记的以太网帧(tagged frame)VLAN的划分涉及如下5种方法:1. 基于端口划分:根据互换机的端口编号来划分VLAN。通过为互换机的每个端口配置不同的PVID,来将不同端口划分到VLAN中。初始情况下,X7系列互换机的端口处在VLAN1中。此方法配置简朴,但是当主机移动位置时,需要重新配置VLAN。2. 基于MAC地址划分:根据主机网卡的MAC地址划分VLAN。次划分方法需要网络管理员提前配置网络中的主机MAC地址和VLAN ID的映射关系。假如互换机收到不带标签的数据帧,会查找之前配置的MAC地址和VLAN映射表,根据数据帧中携
13、带的MAC地址来添加相应的VLAN标签。次使用方法配置VLAN时,即使主机移动位置也不需要重新配置VLAN。3. 基于IP子网划分:互换机在收到不带标签的数据帧时,根据报文携带的IP地址给数据帧添加VLAN标签。4. 基于协议划分:根据数据帧的协议类型(或协议族类型)、封装格式来分派VLAN ID。网络管理员需要一方面配置协议类型和VLAN ID之间的映射关系。5. 基于策略划分:使用几个条件的组合来分派VLAN标签。这些条件涉及IP子网、端口和IP地址等。只有当所有条件都匹配时,互换机才为数据帧添加VLAN标签。此外,针对每一条策略都是需要手工配置的。创建VLAN后,可以执行display
14、vlan命令验证配置结果。假如丌指定任何参数,则该命令将显示所有VLAN的简要信息。执行display vlan vlan-id verbose 命令,可以查看指定VLAN的详细信息,涉及VLAN ID、类型、描述、VLAN的状态、VLAN中的端口、以及VLAN中端口的模式等。执行display vlan vlan-id statistics命令,可以查看指定VLAN中的流量记录信息。执行display vlan summary命令,可以查看系统中所有VLAN的汇总信息。可以使用两种方法把端口加入到VLAN。1. 第一种方法是进入到VLAN视图,执行port 命令,把端口加入VLAN。2. 第
15、二种方法是进入到接口视图,执行port default 命令,把端口加入VLAN。vlan-id是指端口要加入的VLAN。执行display vlan命令,可以确认端口是否已经加入到VLAN中。在本示例中,端口GigabitEthernet0/0/5和GigabitEthernet0/0/7分别加入了VLAN 3和VLAN 2。UT表白该端口发送数据帧时,会剥离VLAN标签,即此端口是一个Access端口或丌带标签的Hybrid端口。U或D分别表达链路当前是Up状态或Down状态。配置Trunk时,应先使用port link-type trunk命令修改端口的类型为Trunk,然后再配置Tru
16、nk端口允许哪些VLAN的数据帧通过。执行porttrunk allow-pass vlan vlan-id1 to vlan-id2 | all 命令,可以配置端口允许的VLAN,all表达允许所有VLAN的数据帧通过。执行port trunk pvid vlan vlan-id命令,可以修改Trunk端口的PVID。修改Trunk端口的PVID之后,需要注意:缺省VLAN不一定是端口允许通过的VLAN。只有使用命令port trunk allow-pass vlan vlan-id1 to vlan-id2 | all 允许缺省VLAN数据通过,才干转发缺省VLAN的数据帧。互换机的所有端
17、口默认允许VLAN1的数据通过。在本示例中,将SWA的G0/0/1端口配置为Trunk端口,该端口PVID默认为1。配置port trunk allow-pass vlan 2 3命令之后,该Trunk允许VLAN 2和VLAN 3的数据流量通过。执行display vlan命令可以查看修改后的配置。TG表白该端口在转发相应VLAN的数据帧时,不会剥离标签,直接进行转发,该端口可以是Trunk端口或带标签的Hybrid端口。本示例中,GigabitEthernet0/0/1在转发VLAN 2和VLAN3的流量时,不剥离标签,直接转发。随着IP网络的融合,TCP/IP网络可认为高速上网HSI(H
18、igh Speed Internet)业务、VoIP(Voice over IP)业务、IPTV(Internet Protocol Television)业务提供服务。语音数据在传输时需要具有比其他业务数据更高的优先级,以减少传输过程中也许产生的时延和丢包现象。为了区分语音音数据流,可在互换机上部署Voice VLAN功能,把VoIP的电话流量进行VLAN隔离,并配置更高的优先级,从而可以保证通话质量。执行voice-vlan enable命令,可以把VLAN 2到VLAN 4094之间的任一VLAN配置成诧音VLAN。执行voice-vlan mode 命令,可以配置端口加入诧音VLAN的
19、模式。端口加入Voice VLAN的模式有两种:1. 自劢模式:使能Voice VLAN功能的端口根据进入端口的数据流中的源MAC地址字段来判断该数据流是否为诧音数据流。源MAC地址符合系统设立的诧音设备OUI(Organizationally Unique Identifier)地址的报文认为是诧音数据流。接受到诧音数据流的端口将自劢加入Voice VLAN中传输,并通过老化机制维护Voice VLAN内的端口数量。2. 手劢模式:当接口使能Voice VLAN功能后,必须通过手工将连接诧音设备的端口加入或退出Voice VLAN中,这样才干保证VoiceVLAN功能生效。执 行 voice
20、-vlan mac-address mac-address mask oui-mask description text 命令,用来配置Voice VLAN的OUI地址。OUI地址表达一个MAC地址段。互换机将48位的MAC地址和掩码的相应位做“不”运算可以拟定出OUI地址。接入设备的MAC地址和OUI地址匹配的位数,由掩码中全“1”的长度决定。例如,MAC地址为000100010001,掩码为FFFF-FF000000,那么将MAC地址不其相应掩码位执行“不”运算的结果就是OUI地址000100000000。只要接入设备的MAC地址前24位和OUI地址的前24位匹配,那么使能Voice VL
21、AN功能的端口将认为此数据流是诧音数据流,接入的设备是诧音设备。执行display voice-vlan status命令,可以查看诧音VLAN的信息,涉及状态、工作模式、老化时间、以及使能了诧音VLAN功能的端口信息。Add-Mode字段表白诧音VLAN的添加模式。自劢模式中,使能了诧音VLAN功能后,端口可以自劢加入到诧音VLAN。假如诧音设备发送的报文的MAC地址匹配了OUI,连接该诧音设备的端口也会加入诧音VLAN。假如在老化时间内,端口没有收到诧音设备的任何诧音数据报文,端口自劢会被删除。手劢模式中,在端口上使能了语音VLAN功能之后,必须手劢把端口添加到诧音VLAN中。Securi
22、ty-Mode字段表达Voice VLAN端口的工作模式,有两种:1. 正常模式:可以传输诧音数据和业务数据,但是容易受到恶意数据流量的袭击。2. 安全模式:只允许传输诧音数据流。安全模式可以防止Voice VLAN受到恶意数据流量的袭击,但是检查报文的工作会占用一定的系统资源。Legacy字段表白端口是否启动不其他厂商诧音设备互通的功能,Enable表达启动,Disable表达关闭。GARP和GVRPGARP(Generic Attribute Registration Protocol)全称是通用属性注册协议,它为处在同一个互换网内的互换机之间提供了一种分发、传播、注册某种信息(VLAN属
23、性、组播地址等)的手段。GVRP是GARP的一种具体应用或实现,重要用于维护设备动态VLAN属性。通过GVRP协议,一台互换机上的VLAN信息会迅速传播到整个互换网络。GVRP实现了LAN属性的动态分发、注册、传播,从而减少了网络管理员的工作量,也能保证VLAN配置的对的性。GVRP的实现必须满足三个条件:1. 链路类型必须是Trunk,并且允许所有vlan通过2. 在全局模式下使能gvrp3. 在接口下使能gvrp默认的注册模式为normal(其他两个是fixed、forbidden)HDLC和PPP原理和配置ISO指定的HDLC是一种PPP链路建立过程描述:1. Dead阶段称为物理层不可
24、用阶段。当通信双方的两端检测到物理线路激活时,就会从Dead阶段迁移至Establish阶段,及链路建立阶段。2. 在Establish阶段,PPP链路进行LCP参数协商。协商内容涉及最大接受单元(MRU)、认证方式、魔术字(Magic Number)等选项。LCP参数协商成功后,会进入Opened状态,表达底层链路已经建立。3. 多数情况下,链路两端的设备是需要通过认证阶段(Authenticate)后才可以进入到网络层协议阶段。PPP链路在缺省情况下是不规定进行认证的。假如规定认证,则在链路建立阶段必须制定认证协议。认证方式是在链路建立阶段双方进行协商的。假如在这个阶段再次受到了Confi
25、gure-request报文,则又会返回到链路建立阶段。4. 在Network阶段,PPP链路进行NCP协商。通过NCP协商来选择和配置一个网络层协议并进行网络层协商。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文。假如这个阶段收到了Configure-Request报文,也会返回到链路建立阶段。5. NCP协商成功后,PPP链路将保持通信状态。PPP运营过程中,可以随时中断链接,例如物理链路断开、认证失败、超时定期器时间、管理员通过配置关闭连接等动作都也许导致链路进入Terminate阶段。6. 在Terminate阶段,假如所有的资源都被释放,通信双方回到De
26、ad阶段,直到通信双方重新建立PPP连接。PPP采用了与HDLC协议类似的帧格式:1. Flag与标记一个物理帧的起始和结束,该字节为二进制序列01111110(0X7E)。2. PPP帧的地址域跟HDLC的地址域有差异,PPP帧的地址域字节固定为11111111(0XFF),是一个广播地址。3. PPP数据帧的控制域默认为00000011(0X03),表白为无序号帧。4. 帧校验序列(FCS)是一个16位的校验和,用于检查PPP帧的完整性。5. 协议字段用来说明PPP所封装的协议报文类型,典型的字段值有:0XC021代表LCP报文,0XC023代表PAP报文,0XC223代表CHAP报文。6
27、. 信息字段包含协议字段中指定协议的数据包。数据字段的默认最大长度(不涉及协议字段)称为最大接受单元(MRU Maximum Receive Unit),MRU的缺省值为1500字节。假如协议字段被设立为0XC021,则说明通信双方正通过LCP报文进行PPP链路的协商和建立:1. Code字段,重要是用来表达LCP数据报文的类型。典型的报文类型有:配置信息报文(Configure Packets:0X01),配置成功信息报文(Configure-Ack:0X02),中止请求报文(Terminate-Request:0X05)2. Identifier域为1个字节,用来匹配请求和响应。3. Le
28、ngth域的值就是该LCP报文的总字节数据。4. 数据字段则承载各种TLV(Type/Length/Value)参数用于协商配置选项,涉及最大接受单元,认证协议等。此表格列出了LCP用于链路层参数协商所使用的四种报文类型:1. Configure-request:链路层协商过程中发送的第一个报文,该报文表白点到点双方开始进行链路层参数协商。2. Configure-ACK:收到对端发来的Configure-Request报文,假如参数取值完全接受,则以此报文响应。3. Configure-Nak:收到对端发来的Configure-Request报文,假如参数取值不被本端认可,则发送此报文并且携
29、带本段可接受的配置参数。4. Configure-Reject:收到对端发来的Configure-Request报文,假如本端不能辨认对端发送的Configure-Request中的某些参数,则发送此报文并且携带那些本端不能辨认的配置参数。LCP报文携带的一些常见的配置参数有MRU,认证协议,以及魔术字。1. 在VRP平台上,MRU参数使用接口上配置的最大传输单元(MTU)值来表达。2. 常用的PPP认证协议有PAP和CHAP,一条PPP链路的两端可以使用不同的认证协议认证对端。但是被认证方必须支持认证方规定使用的认证协议并对的配置用户名和密码等认证信息。3. LCP使用魔术字来检测链路环路和
30、其他异常情况。魔术字为随机产生的一个数字,随机机制需要保证两端产生相同魔术字的也许性几乎为0。4. 收到一个Configure-Request报文之后,其包含的魔术字需要和本地产生的魔术字进行比较,假如不同,表达链路无环路,则使用Configure-Ack报文确认(其他参数也协商成功),表达魔术字协商成功。在后续发送的报文中,假如报文具有魔术字字段,则该字段设立为协商成功的魔术字。如图所示,RTA和RTB使用串行链路相连,运营PPP。当物理层链路变为可用状态之后,RTA和RTB使用LCP协商链路参数。本例中,RTA一方面发送一个Configure-Request报文,此报文中包含RTA上配置的
31、链路层参数。当RTB收到此Configure-Request报文之后,假如RTB能辨认并接受此报文中的所有链路层参数,则向RTA回应一个Configure-Ack报文。RTA在没有收到Configure-Ack报文的情况下,会每隔3秒重传一次Configure-Request报文,假如连续10次发送Configure-Request报文仍然没有收到 Configure-Ack报文,则认为对端不可用,停止发送Configure-Request报文。注:完毕上述过程只是表白RTB认为RTA上的链路参数配置是可接受的。RTB也需要向RTA发送Configure-Request报文,使RTA检测RTB
32、上的链路参数是不是可接受的。当RTB收到RTA发送的Configure-Request报文之后,假如RTB能辨认此报文中携带的所有链路层参数,但是认为部分或所有参数的取值不能接受,即参数的取值协商不成功,则RTB需要向RTA回应一个Configure-Nak报文。在这个Configure-Nak报文中,只包含不能接受的链路层参数,并且此报文所包含的链路层参数均被修改为RTB上可以接受的取值(或取值范围)。在收到Configure-Nak报文之后,RTA需要根据此报文中的链路层参数重新选择本地配置的其它参数,并重新发送一个Configure-Request。当RTB收到RTA发送的Configu
33、re-Request报文之后,假如RTB不能识别此报文中携带的部分或所有链路层参数,则RTB需要向RTA回应一个Configure-Reject报文。在此Configure-Reject报文中,只包含不能被识别的链路层参数。在收到Configure-Reject报文之后,RTA需要向RTB重新发送一个Configure-Request报文,在新的Configure-Request报文中,不再包含不被对端(RTB)辨认的参数。PAP认证的工作原理较为简朴。PAP认证协议为两次握手认证协议,密码以明文方式在链路上发送。LCP协商完毕后,认证方规定被认证方使用PAP进行认证。被认证方将配置的用户名和
34、密码信息使用Authenticate-Request报文以明文方式发送给认证方。认证方收到被认证方发送的用户名和密码信息之后,根据本地配置的用户名和密码数据库检查用户名和密码信息是否匹配,假如匹配,则返回Authenticate-Ack报文,表达认证成功。否则,返回Authenticate-Nak报文,表达认证失败。CHAP认证过程需要三次报文交互。为了匹配请求报文和回应报文,报文中具有Identifier字段,一次认证过程所使用的报文均使用相同的Identifier信息。1. LCP协商完毕后,认证方发送一个Challenge报文给被认证方,报文中具有Identifier信息和一个随机产生的
35、Challenge字符串,此Identifier即为后续报文所使用的Identifier。2. 被认证方收到此Challenge报文之后,进行一个加密运算,运算公式为MD5Identifier+密码+Challenge,意思是将Identifier、密码、challenge三部分连成一个字符串,然后对此字符串做MD5运算,得到一个16字节长的摘要信息,然后将次摘要信息和端口上配置的CHAP用户名一起封装在Response报文中发回认证方。3. 认证方收到被认证房发送的response报文之后,按照其中的用户名在本地查找相应的密码信息,得到密码信心之后,进行一次加密运算,运算方式和被认证房的加密
36、运算方式相同,然后将加密运算得到的摘要信息和response报文中的封装的摘要信息做比较,相同则认证成功,不同则认证失败。使用CHAP认证方式时,被认证方的密码是被加密后才进行传输的,这样就极大的提高了安全性。加密算法声明:目前设备采用的加密算法涉及DES、3DES、AES、RSA、SHA1、SHA2、MD5等,具体采用哪种加密算法请根据场景而定。请优先使用我们的建议,否自会导致无法满足您安全防御的规定。两端动态协商IP地址的过程如下:1. RTA向RTB发送一个Configure-Request报文,此报文中会包含一个IP地址0.0.0.0,表达向对端请求IP地址;2. RTB收到上述Con
37、figure-Request报文后,认为其中包含的地址(0.0.0.0)不合法,使用Configure-Nak回应一个新的IP地址10.1.1.1;3. RTA收到此Configure-Nak报文之后,更新本地IP地址,并重新发送一个Configure-Request报文,包含新的IP地址10.1.1.1;4. RTB收到Configure-Request报文后,认为其中包含的IP地址为合法地址,回应一个Configure-Ack报文。同时,RTB也要向RTA发送Configure-Request报文请求使用地址10.1.1.2,RTA认为此地址合法,回应Configure-Ack报文。PPO
38、E的原理与配置DSL是一种运用现有电话网络实现数据通信的宽带技术。在使用DSL接入网络时,用户侧会安装调制解调器,然后通过现有的电话线与数字用户接入复用器(DSLAM)相连。DSLAM是各种DSL系统的局端设备属于最后一公里设备。然后,DSLAM通过高速ATM网络或者以太网将用户的数据流量转发给宽带远程接入服务器(BRAS)。BRAS是面向宽带网络应用的接入网关,位于骨干网的边沿层。PPOE报文:网络端口地址转换网络端口地址转换NAPT(Network Address Pot Translation)允许多个内部地址映射到同一个共有地址的不同端口。Easy IP合用于小规模的局域网中的主机访问
39、Internet的场景。小规模局域网通常部署在小型的网吧或者办公室中,这些地方内部主机不多,出接口可以通过拨号的方式获取一个临时的公网IP地址。Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet。NAT在使用内网用户访问公网的同时,也屏蔽了公网用户访问私网主机的需求,当一个私网需要向公网用户提供WEB和SFTP服务时,私网中的服务器必须随时可供公网用户访问。NAT服务器可以实现这个需求,但是需要配置服务器私网IP地址和端标语转换为公网IP地址和端标语并发布出去。路由器在收到一个公网主机的请求报文后,根据报文的目的IP地址和端标语查询地址转换标项。路由器根据匹配的地址转换
40、表,将报文的目的IP地址和端标语转换成私网IP地址和端标语,并转发报文到私网中的服务器。设备基于域来对用户迚行管理,每个域都可以配置丌同的认证、授权和计费方案,用于对该域下的用户迚行认证、授权和计费。每个用户都属于某一个域。用户属于哪个域是由用户名中的域名分隔符后的字符串决定。例如,假如用户名是userhuawei,则用户属于huawei域。假如用户名后丌带有,则用户属于系统缺省域default。ARG3系列路由设备支持两种缺省域:1. default域为普通用户的缺省域。2. default_admin域为管理用户的缺省域。用户可以修改但丌能删除这两个缺省域。默认情况下,设备最多支持32个域
41、,涉及两个缺省域。IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。1. 机密性(Confidentiality)是指对数据进行加密保护,用密文的形式传送数据。2. 完整性(Data intergrity)是指对接受的数据进行认证,以判断报文是否被篡改。3. 防重放(Anti-replay)是指防止恶意用户通过重新发送捕获到的数据包进行的袭击,即接受方会拒绝旧的或者反复的数据包。IPSec VPN体系结构重要由AH(Authentication Header)、ESP(Encapsulating
42、 Security Payload)和IKE(Internet Key Exchange)1. AH协议:重要提供的功能有数据源验证、数据完整性校验和报文重放功能。然而,AH并不加密所保护的数据包。2. ESP协议:提供AH协议的所有功能外(但其数据完整性校验不涉及IP投),还可提供对IP报文的加密功能。3. IKE协议:用于自动协商AH和ESP所使用的密码算法。SA(Security Association)安全联盟定义了IPSec通信对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数。SA是单向的,两个对等体之间的双向通信,至少需要两个SA。假如两个对等体希望同时使用AH和ESP安全
43、协议来进行通信,则对等体针对每一种安全协议都需要协商一对SA。SA由一个三元组来唯一标记,这个三元组涉及安全参数索引SPI(Security Parameter Index)、目的IP地址、安全协议(AH或ESP)1. 手工方式:安全联盟所需要的所有信息都必须手工配置。手工方式建立安全联盟比较复杂,但优点是可以不依赖IKE而单独实现IPSec功能。当对等体设备数量较少时,或是在小型静态环境中,手工配置SA是可行的。2. IKE动态协商方式:只需要通信对等体间配置好IKE协商参数,有IKE自动协商来创建和维护SA。动态协商方式建立安全联盟相对简朴些。对于中,大型的动态网络环境中,推荐使用IKE协
44、商建立SA。1.12 为什么非直连EBGP邻居无法建立?假如是EBGP邻居,双方路由可达,且EBGP连接在物理上不是直连的,请检查是否配置了peer的ebgp-max-hop。默认情况下,EBGP邻居不配置这条命令,假如不是直连,必须配置peer X.X.X.X. ebgp-max-hop,该命令的默认值是64。使用环回口建立IBGP邻居关系时,要指定更新源【xxx-bgp】peer x.x.x.x connect-interface loopback 0使用EBGP建立邻居关系时,TTL值为1,当使用非直连接口创建EBGP对等体时,需要修改TTL【xxx-bgp】peer x.x.x.x ebgp-max-hop在边界设备上,针对其IBGP邻居,吓一跳指向自己【xxx-bgp】peer x.x.x.x next-hop-local
浙ICP备2021020529号-1 | 浙B2-20240490 
