一. 交换机转发:
交换机收到数据帧,会存在三种行为:
① 泛洪
② 转发
③ 丢弃
1. 泛洪:
交换机会在以下情况泛洪数据帧:
(1)当交换机收到广播帧、组播帧会泛洪
(2)当交换机收到一个单播帧,但是交换机的MAC地址表中没有对应的接口标识,此时会泛洪数据帧,称为“未知单播帧的泛洪”
注:交换机不会查看广播数据帧,而是直接将他泛洪到当前除接收接口外的所有的接口,所以针对而成协议数据报文,报文的目标MAC地址只能为组播。
2. 转发:
(1)从一个接口收到一个单播帧,并且MAC地址表中有其对应的接口,会进行转发
3. 丢弃:
(1)从一个接口收到一个单播帧,单播帧的目的MAC对应的接口正是接收到此单播帧的接口,此时会丢弃数据帧
二. ARP
Address Resolution Protocol,地址解析协议,网络设备有数据要发送给另一台网络设备时,必须要知道对方的网络层地址(即IP地址)。IP地址由网络层来提供,但是仅有IP地址是不够的,IP数据报文必须封装成帧才能通过数据链路层进行发送,数据帧必须要包含目的MAC地址,因此发送端还必须获取目的MAC地址。通过目的IP地址而获取目的MAC地址的过程是由ARP协议来实现的。ARP缓存表用来记录ARP信息,默认老化时间为1200S。
ARP直接封装在数据链路层之上,Type标识为0x0806,我们有时称ARP为2.5层协议。
<Huawei>reset arp all---清空ARP表(MAC与IP映射)
1. ARP报文:
① Hardware Type:网络类型(以太网)
② Protocol Type:协议类型(IP/IPX)
③ Hardware Length:网络长度
④ Protocol Length:协议长度
⑤ Operation Code:可选code值(Response或Request)
⑥ Source Hardware Address:发送者Mac地址
⑦ Source Protocol Address:发送者IP地址
⑧ Destination Hardware Address:目标MAC地址
⑨ Destination Protocol Address:目标IP地址
(1)Request:
请求报文,广播地址,用于请求目标IP地址对应的MAC地址。
Request-ARP报文(广播报文)
(2)Response:
回复报文,用于被请求端将自己的MAC地址通知到请求端的单播报文。
Replay-ARP报文(单播报文)
2. ARP原理:
(1)同网段内获取目标终端MAC地址:
CLIENT1想要访问目标CLIENT2,根据自己的IP和子网掩码与运算得出192.168.1.3与自己为同一网段,直接发送ARP广播请求,CLENT2收到ARP请求后,回复自己的MAC地址给CLENT1。
(2)不同网段请求网关MAC地址:
CLIENT1想要访问目标CLIENT2,根据自己的IP和子网掩码与运算得出192.168.2.2与自己处于不同网段,此时发送ARP请求直接请求网关192.168.1.1的MAC地址,R1收到ARP请求后,将192.168.1.1端口的MAC地址回复给CLENT1。
3. ARP表项的创建与更新:
依据ARP协议描述,几乎所有的以太网通信都以ARP开始,所以任何以太网主机设备都支持这个协议,而且IP地址到以太网MAC地址的解析主要也是动态生成,无须网络管理员手工处理。
一般实现中,如果收到的ARP报文满足以下条件中的任何一条,系统将创建或更新ARP表项。
条件为:
① ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,目的IP地址是本接口IP地址。
② ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,目的IP地址是本接口的VRRP(Virtual Router Redundancy Protocol)虚拟IP地址。
③ ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,入接口是IPoEoA应用的Virtual-Ethernet接口。
④ ARP报文的目的IP地址是入接口上配置的NAT地址池中的地址。
⑤ 如果收到的ARP报文的源IP地址在入接口的ARP表中已经存在对应表项,也将对ARP表项进行更新。
4. 免费ARP:
IP为唯一标识,在同一网段内,每台设备的IP都是唯一的,所以如果两台设置配置了相同的IP地址会出现问题,在配置静态IP时候或从DHCP获取IP地址成功时,主机都会发送基于此IP的免费ARP的MAC地址请求,如果有设备回应,表明IP地址冲突。
5. 静态ARP:
ARP攻击:
如果攻击者发送伪造的ARP报文,而且报文里面所通告的IP地址和MAC地址的映射是错误的,则主机或网关会把错误的映射更笑道ARP表中。当主机要发送数据到指定的目标IP地址时,从ARP表里得到了不正确的硬件MAC地址,并使用封装数据帧,导致数据帧无法正确发送。
如果当前网络中的主机较少,可以使用静态ARP手工绑定IP与MAC地址。
[R1]arp static 10.1.1.1 5489-0001-0001
6. Proxy ARP:
Proxy ARP,即代理ARP,在开启了Proxy ARP功能后(华为设备默认不开启),当路由器接口收到一个ARP请求后,路由器会查找自己的路由表,如果路由表中存在去往ARP请求的MAC地址(IP),路由器会将与其同网段(相当于网关)的接口MAC作为相应回复ARP请求。
注1:只有路由器上存在路由条目明确指出了去往目的地的路由时,才会发送自己的网关MAC地址进行回复,如果PC所请求的目的地址没有响应的路由条目,则路由器不会回复ARP代理信息。
Proxy ARP分为三种类型:
① 路由式Proxy ARP
② vlan内代理ARP
③ vlan间代理ARP
(1)路由式Proxy ARP:
① PC1没有配置网关,想要访问目标PC2:
① R1的G0/0/0端口开启Proxy ARP功能:[Huawei-GigabitEthernet0/0/1]arp-proxy enable
② CLENT1访问192.168.2./24的网段,此时由于没有配置网关,于是直接发送AP请求请求192.168.2.2的MAC地址
③ 路由器R1在收到ARP请求后,查找路由表,192.168.2.2存在于路由表192.168.2.0/24的路由条目中,于是发送ARP回复将端口192.168.1.1的MAC作为回应应答CLENT1的请求。
配置命令:[Huawei-GigabitEthernet0/0/0]arp-proxy enable
②特殊部署网段问题:
① CLIENT1访问192.168.2.2,使用与运算发现192.168.2.2与自己为同网段,直接发送ARP请求请求192.168.2.2的MAC地址
② 在没有开启ARP代理的R1路由器上收到请求192.168.2.2的ARP请求,路由器默认会将此广播包丢弃
③ 在端口G0/0/0上开启arp代理功能之后,路由器R1收到广播包后,会将自己的G0/0/1端口的MAC地址回复给CLENT1
在没有开启arp代理之前默认丢弃arp广播报文:
开启ARP代理:
(2)VLAN内Proxy ARP:
在接口下使用命令[Huawei-Vlanif10]arp-proxy inner-sub-vlan-proxy enable启用
Vlan内的ARP代理功能
VLAN内代理ARP主要解决:
① 同vlan中pc互通问题,当实行了端口隔离的设备,隔离二层广播后,将导致arp无法正常解析,发送端无法正常封装数据包的目标MAC地址,此时使用vlan内Proxy ARP便可以解决此问题。
② Mux-Vlan中从Vlan之间互通问题(详见Mux-Vlan)
(3)VLAN间Proxy ARP:
解决不同Vlan之间对应计算机的三层互通问题,用于Super VLAN间解决子vlan无法互通问题。
三. ICMP:
Internet控制报文协议ICMP(Internet Control Message Protocol)是网络层一个重要协议,ICMP协议号为1,ICMP协议用来在网络设备间传递各种差错和控制信息,它对手机各种网络信息、诊断和排除各种网络故障具有至关重的作用。ICMP直接在三层上携带信息,没有四层协议端口号。
1. ICMP重定向:
ICMP重定向,由路由器产生,主机处理,当一个数据从端口接收到数据,查看路由表,如果再将数据从接收端口发送出去,会触发ICMP重定向。只针对某些网络去重定向,为控制信息,用来控制主机访问方向。
如图所示:主机A想要访问服务器A,他的默认网关为RTB,于是发送ICMP报文给RTB,但是服务器A位于RTA上(路由协议获取服务器A的位置),于是RTB发送ICMP重定向给主机A,告诉主机A访问服务器A将数据包送往RTA。
2. ICMP差错检测:
用来检测网络连通性,命令为 PING
差错信息分为两种:①ICMP Echo Request
②ICMP Echo Reply
(1)ICMP差错报文:
① Type:7bit,用来标示此ICMP的协议类型,例如为Request、Reply
② Code:7bit,编码,与Type相对应,同一种Type可能有多种描述信息
③ Checksum:16bit,校验和,用来校验ICMP数据包的完整性
|
类型 |
编码 |
描述 |
|
0 |
0 |
Echo Reply |
|
3 |
0 |
网络不可达 |
|
3 |
1 |
主机不可达 |
|
3 |
2 |
协议不可达 |
|
3 |
3 |
端口不可达 |
|
5 |
0 |
重定向 |
|
8 |
0 |
Echo Request |
(2)Ping原理:
主机A想要检测与服务器A是否连通,发送ICMP Echo Request报文给服务器A,如果服务器A收到主机A发送过来的ICMP Echo Request请求报文,会回复ICMP Echo Reply报文回复给主机A。
Ping命令选项:
-a 将目标的机器标识转换为ip地址
-t 若使用者不人为中断会不断的ping下去
-n 要求ping命令连续发送数据包,直到发出并接收到count个请求
在ping后加-l 和你行为的包的大小,例如: ping 127.0.0.1 -l 6400(ping包最大不能超出65500Byte,)
(3)ICMP错误报告:
当网络设备无法访问目标时,会自动发送ICMP目的不可达报文到发送端设备。
3.Tracert:
探测命令,用来查看去往目的地所走的路径。
Tracert是Windows下常用的命令行工具(基于ICMP协议),UNIX下与之对应的是traceroute(基于UDP协议)。
Tracert-UDP原理:
① 主机A发送一个UDP报文(端口号非常大),TTl值为1(默认发送三次),传递到RTA时TTL为0,RTA丢弃UDP报文,回复给主机A一个ICMP timer的超时报文,此时主机A得到了第一跳RTA的IP地址
② 主机A继续发送UDP报文(端口号非常大),TTl值为2(默认发送三次),传递到RTB时TTL为0,RTB丢弃UDP报文,回复给主机A一个ICMP timer的超时报文,此时主机A得到了第二跳RTA的IP地址
③ 以此类推,直到主机A发送UDP报文(端口号非常大),TTL值为4(默认发送三次),传递到主机B时,此时主机B发送目的地址为自己,查找端口号,由于端口号非常之大,此时主机B并没有使用该端口号,于是回复一个端口号不可达信息该主机A,主机A收到此报文表示已经到达目的地。
Tracert-ICMP协议原理:
这种探测方式与基于UDP协议的路由探测的实现步骤一样,但发送端送出的不是一个UDP数据包,而发送的是一个ICMP类型为8的Echo Request(回显请求)数据报文。与基于UDP协议的路由探测技术一样,每次发送端都会把TTL值加1,每个中转路由器都对TTL值减1,如果为0,便丢弃后给发送端发送一个超时报文,若不为0,则继续转发给下一跳。唯一不同的是,当这个数据报到达最终目的节点时,由于发送端发送的是Echo Request报文,所以接收端就会相应一个ICMP类型为0的数据报文。这样,当发送端收到ICMP类型为0的数据报文时,就知道了全部路由已经查询完毕,终止继续探测。
四. 系统访问:
1. 本地访问:
(1)端口直接访问:
本地访问可以使用console线连接设备的console端口进行访问,默认不需要输入密码(none)。
(2)认证模式访问:
Console分为两种认证模式:
① AAA认证配置:
[Huawei]aaa------------配置aaa认证
[Huawei-aaa]local-user huawei password cipher Huawei------创建用户名和密码
[Huawei-aaa]local-user huawei service-type terminal—设置服务类型为terminal
[Huawei-aaa]local-user huawei privilege level 3-----设置用户级别为3
[Huawei-aaa]local-user huawei idle-timeout 10----设置超时时间
[Huawei]user-interface console 0---------进入终端端口
[Huawei-ui-vty0-4]authentication-mode aaa--------认证方式为aaa认证
② password认证配置:
[Huawei]user-interface console 0---------进入虚拟端口
[Huawei-ui-vty0-4]authentication-mode password------认证模式为password
[Huawei-ui-vty0-4]user privilege level 3---配置级别为3
[Huawei-ui-vty0-4]set authentication password cipher huawei---配置密码
2. 远程登录
(1)Telnet:
Telnet(Telecommunication Network Protocol),远程网络协议。通常用在远程登录应用中,以便对本地或远端运行的网络设备进行配置、监控和维护。如网络中有多台设备需要配置和和管理,用户无需为每一台设备都连接一个用户终端进行本地配置,可以通过Telnet方式在一台设备上对多台设备进行管理或配置。如果网络中需要管理或配置的设备不在本地时,也可以通过Telnet方式实现对网络中设备的远端维护,极大地提高了用户操作的灵活性。telnet在传输用户名和密码时为明文传输。
Telnet客户端和服务器基于TCP连接来传输命令。
Telnet以客户端/服务器模式运行。Telnet基于TCP协议,服务器端口号默认为23,服务器通过该端口与客户端建立Telnet连接。
① 认证模式:
Telnet分为两种认证模式:
a) AAA认证配置:
[Huawei]telnet server enable---------开启telnet功能
[Huawei]aaa------------配置aaa认证
[Huawei-aaa]local-user huawei password cipher Huawei------创建用户名和密码
[Huawei-aaa]local-user huawei service-type telnet—设置服务类型为telnet
[Huawei-aaa]local-user huawei privilege level 3-----设置用户级别为3
[Huawei-aaa]local-user huawei idle-timeout 10----设置超时时间
[Huawei]user-interface vty 0 4---------进入虚拟端口
[Huawei-ui-vty0-4]authentication-mode aaa--------认证方式为aaa认证
[Huawei-ui-vty0-4]protocol inbound telnet------接入协议为telnet
b) password认证配置:
[Huawei]telnet server enable---------开启telnet功能
[Huawei]user-interface vty 0 4---------进入虚拟端口
[Huawei-ui-vty0-4]authentication-mode password------认证模式为password
[Huawei-ui-vty0-4]user privilege level 3---配置级别为3
[Huawei-ui-vty0-4]set authentication password cipher huawei---配置密码
② 认证级别:
在定义用户时,使用命令privilege level用来定义用户级别,分为两个级别:
① level 1:此级别的用户只能处于用户模式,无法进入系统视图。
② Level 2:此级别的用户可以进入系统视图,但无法配置命令。
③ Level 3-15:此级别的用户为最高用户,为管理员级别。
③ super-password:当只有level 1和level2的用户需要进入系统视图,配置命令,如果对端telnet服务器配有super-password,可以使用super-password提升自己的临时权限。
配置视图下: [R2]super password cipher huawei。
用户登录时: 输入super,输入super-password密码。
(2)SSH:
Telnet在传输用户名和密码基于明文传输,存在安全隐患,所以出现了基于加密的传输控制协议SSH,SSH的原理与Telnet基本一致,SSH使用TCP传输,服务器端口为22端口。最大的区别在于SSH传输过程为加密传输。
① 传输过程:
a) 使用命令[Huawei]rsa local-key-pair create生成本地密钥对(公钥和私钥)
b) 当有用户连接过来时,发送公钥给用户,用户使用公钥将用户名和密码加密
c) 用户将加密的用户名和密码发送给服务器,服务器使用私钥将数据解密
② SSH配置:
注:SSH默认只支持AAA认证
[Huawei]stelnet
server enable----开启ssh服务
[Huawei]rsa
local-key-pair create------生成密钥对
[Huawei]ssh user huawei authentication-type password---配置ssh登录用户huawei为密码认证
[Huawei]user-interface vty 0 4-----------进入虚拟端口
[Huawei-ui-vty0-4]authentication-mode aaa------配置认证方式为aaa
[Huawei-ui-vty0-4]protocol inbound ssh-------接入协议为ssh
[Huawei-ui-vty0-4]user privilege level 3—配置权限为level3
[Huawei-ui-vty0-4]idle-timeout 10------配置超出时间
注:由于路由设备的默认安全配置,当自己数据库中不存在验证公钥,为不合法公钥,默认会拒绝认证,所有在首次登陆时客户端需要使用命令:ssh clent fist-time enable命令。
五. FTP:
FTP全称为File Transfer Protocol(文件传输协议),用来传送文件的协议。使用FTP实现远程文件传输的同时,还可以保证数据传输的可靠性和高效性。
FTP基于TCP的服务,存在两个端口,分别是:
① 数据端口(20)
② 传输端口(21)
在传输方式中,FTP存在两种传输方式,分别是:
① 主动传输
② 被动传输
ftp使用TCP建立连接(21端口)。在建立端口连接后,使用20号端口进行数据传输。
1. FTP传输模式:
(1)ASCII模式:
ASCII模式用于传输文本。发送端的字符在发送前被转换成ASCII码格式之后进行传输,接收端收到之后再将其转换成字符。
(2)二进制模式:
二进制模式常用于发送图片和程序文件。发送端在发送这些文件时无需转换格式,即可传输。
2. FTP传输的两种方式:
FTP传输数据时分为两种模式,分别为“主动模式”和“被动模式”,都是以服务器为中心,区别在于建立连接后,服务器主动给客户端发送数据(PORT),还是被动发送数据(PASV)。
(1)主动模式(PORT):
主动模式下,FTP客户端从任意的非特殊的端口(N > 1023)连入到FTP服务器的命令(端口21)端口。然后客户端在N+1(N+1 >= 1024)端口监听,并且通过N+1(N+1 >= 1024)端口发送命令给FTP服务器。服务器会反过来连接用户本地指定的数据端口,比如20端口。
(2)被动模式(PASV):
为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模式时才启用。
在被动方式FTP中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >; 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P >; 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据
注:主动与被动FTP优缺点:
主动FTP对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。
(3)SFTP配置:
FTP默认明文传输数据,为了提高安全,可以使用SFTP进行数据加密传输,基于SSH的RSA验证(ensp无法验证):
[Huawei]sftp server enable----------开启sftp服务
[Huawei]rsa local-key-pair create—生成密钥对
[Huawei-aaa]local-user huawei password cipher huawei ftp-directory flash: ----------配置用户名与密码,以及ftp登录路径
[Huawei-aaa]local-user huawei privilege level 3----配置权限
[Huawei-aaa]local-user huawei service-type ssh---配置服务类型
[Huawei]ssh user huawei authentication-type password—配置ssh用户huawei基于密码认证
(4)FTP搭建:
WIN7搭建FTP实现资源共享:
在本地win7系统上搭建FTP可以实现ftp文件共享功能,方便快捷。
① 在本地win7上开启FTP服务:
开始→控制面板(类别图示)→程序→打开或关闭windows功能→开启FTP服务组件
② 开始→控制面板(大图标)→管理工具→Internet信息服务(IIS)管理器
③ 点击网站→增加FTP站点
④ 配置FTP
⑤ 访问FTP服务器
用户想要访问FTP站点,输入ftp://IP地址 便可以访问资源
六. DHCP:
在大型企业网络中,会有大量的主机或设备需要获取IP地址灯网络参数。如果采用手工配置,工作量大且不好管理,如果有用户擅自修改网络参数,还有可能会造成IP地址冲突等问题。使用动态主机配置协议DHCP(Dynamic Host Configuration Protocol)来分配IP地址等网络参数,可以减少管理员的工作量,避免用户手工配置网络参数时造成的地址冲突。
1. DHCP报文:
DHCP报文基于UDP传送,客户端端口为68,服务器端口为67。
DHCP报文主要有以下几类:
① DHCP DISCOVER
② DHCP OFFER
③ DHCP REQUEST
④ DHCP ACK
⑤ DHCP NCK
(1)DHCP DISCOVER:
客户端用来寻找DHCP服务器(广播)。
(2)DHCP OFFER:
DHCP服务器用来响应DHCP DISCOVER报文,此报文携带了各种配置信息(IP/DNS/租约等)(单播MAC地址回复)。
(3)DHCP REQUEST:
客户端请求配置确认(请求DHCP服务器确认),或者续借租期(广播)。
注:为什么要给DHCP服务器回复DHCP REQUEST报文?
一个网络环境中,如果为了做冗余负载可能会存在多个DHCP服务器,客户端发送DHCP DISCOVE请求报文(广播)给DHCP服务器,由于是广播,两台DHCP服务器都会收到,同时两台DHCP服务器都会向客户端回复DHCP OFFER报文,客户端会选择其中一份DHCP OFFER报文中的ip信息作为自身IP,并回复DHCP REQUEST报文(广播)告诉两台DHCP服务器。
(4)DHCP ACK:
服务器对REQUEST报文的确认响应(单播)。
(5)DHCP NAK:
服务器对REQUEST报文的拒绝响应。(服务器没有找到租约记录)(单播)。
(6)DHCP RELEASE:
客户端要释放地址时用来通知服务器(单播)
2. DHCP分配地址过程:
(1)DHCP IP地址分发工作过程:
DHCP客户端首次登录网络时,主要通过四个阶段与DHCP服务器建立联系。
① 发现阶段,即DHCP客户端寻找DHCP服务器的阶段。
在发现阶段,DHCP客户端通过发送DHCP DISCOVER报文来寻找DHCP服务器。由于DHCP服务器的IP地址对于客户端来说是未知的,所以DHCP客户端以广播方式发送DHCP DISCOVER报文。所有收到DHCP DISCOVER报文的DHCP服务器都会发送回应报文,DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。
② 提供阶段,即DHCP服务器提供IP地址的阶段。
网络中接收到DHCP DISCOVER报文的DHCP服务器,会从地址池选择一个合适的IP地址,连同IP地址租约期限和其他配置信息(如网关地址、域名服务器地址等)通过DHCP OFFER 报文发送给DHCP客户端。
③ 选择阶段,即DHCP客户端选择IP地址的阶段。
如果有多台DHCP服务器向DHCP客户端回应DHCP OFFER报文,则DHCP客户端只接收第一个收到的DHCP OFFER报文。然后以广播方式发送DHCP REQUEST请求报文,该报文中包含服务器标识选项(Option54),即它选择的DHCP服务器的IP地址信息。
以广播方式发送DHCP REQUEST请求报文,是为了通知所有的DHCP服务器,它将选择Option54中标识的DHCP服务器提供的IP地址,其他DHCP服务器可以重新使用曾提供的IP地址。
④ 确认阶段,即DHCP服务器确认所提供IP地址的阶段。
当DHCP服务器收到DHCP客户端回答的DHCP REQUEST报文后,DHCP服务器会根据DHCP REQUEST报文中携带的MAC地址来查找有没有相应的租约记录。如果有,则向客户端发送包含它所提供的IP地址和其它设置的DHCP ACK确认报文。DHCP客户端收到该确认报文后,会以广播的方式发送免费ARP报文,探测是否有主机使用服务器分配的IP地址,如果在规定的时间内没有收到回应,客户端才使用此地址。
如果DHCP服务器收到DHCP REQUEST报文后,没有找到相应的租约记录,或者由于某些原因无法正常分配IP地址,则发送DHCP NAK报文作为应答,通知DHCP客户端无法分配合适IP地址。DHCP客户端需要重新发送DHCP DISCOVER报文来申请新的IP地址。
DHCP Client获得IP地址后,上线之前会检测正在使用的网关的状态,如果网关地址错误或网关设备故障,DHCP客户端将重新使用四步交互方式请求新的IP地址。
DHCP客户端重用曾经分配的IP地址
(2)DHCP客户端重用曾经分配的IP地址:
DHCP客户端重新登录网络时,主要通过以下几个步骤与DHCP服务器建立联系:
① 重新登录网络是指客户端曾经分配到可用的IP地址,再次登录网络时IP地址还在相应的租期之内。客户端不需要再发送DHCP DISCOVER报文,而是直接发送包含前一次分配的IP地址的DHCP REQUEST请求报文,即报文中的Option50(请求的IP地址选项)字段填入曾经使用过的IP地址。
② DHCP服务器收到DHCP REQUEST报文后,如果客户端申请的地址没有被分配,则返回DHCP ACK确认报文,通知该DHCP客户端继续使用原来的IP地址。
③ 如果此IP地址无法再分配给该DHCP客户端使用(例如已分配给其它客户端),DHCP服务器将返回DHCP NAK报文。客户端收到后,重新发送DHCP DISCOVER报文请求新的IP地址。
④ DHCP客户端更新租约
- DHCP客户端向服务器申请地址时可以携带期望租期,服务器在分配租约时把客户端期望租期和地址池中租期配置比较,分配其中一个较短的租期给客户端。
- DHCP服务器分配给客户端的动态IP地址通常有一定的租借期限,期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址,需要更新IP地址的租约(如延长IP地址租约)。
- 当DHCP客户端获得IP地址时,会进入到绑定状态,客户端会设置3个定时器,分别用来控制租期更新、重绑定和判断是否已经到达租期。DHCP服务器为客户分配IP地址时,可以为定时器指定确定的值。若服务器没有设置定时器的值,客户端就使用缺省值。定时器的缺省值如下图所示。
|
定时器 |
默认值 |
|
租期更新 |
总租期的50% |
|
重绑定 |
总租期的87.5% |
|
到达租期 |
总租期 |
(3)DHCP客户端更新租约过程
DHCP客户端更新租约,主要通过以下几个步骤与DHCP服务器建立联系:
① IP租约期限达到50%(T1)时,DHCP客户端会自动以单播的方式,向DHCP服务器发送DHCP REQUEST报文,请求更新IP地址租约。如果收到DHCP ACK报文,则租约更新成功;如果收到DHCP NAK报文,则重新发起申请过程。
② IP租约期限达到87.5%(T2)时,如果仍未收到DHCP服务器的应答,DHCP客户端会自动向DHCP服务器发送更新其IP租约的广播报文。如果收到DHCP ACK报文,则租约更新成功;如果收到DHCP NAK报文,则重新发起申请过程。
③ 如果IP租约到期前都没有收到服务器响应,客户端停止使用此IP地址,重新发送DHCP DISCOVER报文请求新的IP地址。
④ DHCP客户端主动释放IP地址
DHCP客户端不再使用分配的IP地址时,会主动向DHCP服务器发送DHCP RELEASE报文,通知DHCP服务器释放IP地址的租约。DHCP服务器会保留这个DHCP客户端的配置信息, 以便该客户端重新申请地址时,重用这些参数。
3. DHCP分配的两种方式:
在路由器上,DHCP可以基于接口进行端口分配IP,也可以基于全局进行端口分配。
(1)基于接口:
[Huawei]dhcp enable-------------------------开启dhcp
[Huawei]inter G0/0/0-------进入接口(如果为三层交换机,进入vlanif)
[Huawei-GigabitEthernet0/0/0]dhcp server excluded ip-address 192.168.1.1 192.168.1.3---------设置不进行分配的地址段
[Huawei-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8------配置dns
[Huawei-GigabitEthernet0/0/0]dhcp select interface-----配置DHCP类型为基于接口
注:基于接口的DHCP,默认不需要配置网关,会自动将接口ip放入报文中作为网关。不需要配置所要分配的IP,会根据接口ip和子网掩码计算出当前的可用dhcp分配的ip地址段。
(2)基于地址池:
[Huawei]dhcp enable-------------------------开启dhcp
[Huawei]ip pool huawei-------定义地址池
[Huawei-ip-pool-huawei]network 192.168.2.0 mask 255.255.255.0----配置地址池ip地址段
[Huawei-ip-pool-huawei]gateway-list 192.168.2.1--------配置网关地址
[Huawei-ip-pool-huawei]dns-list 8.8.8.8----配置DNS
[Huawei-ip-pool-huawei]lease day 2----------租约为两天
[Huawei-ip-pool-huawei]excluded-ip-address 192.168.2.253
192.168.2.254----配置不参与分配的地址段
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]dhcp select global----在接口上配置基于全
局的地址分配
注:基于全局的地址分配,当路由器从端口上收到dhcp discover报文请求,会查看接口的ip(也就是请求主机网关的接口),根据地址池中的配置网关匹配,相同后分配地址池的地址。
4. DHCP中继:
由于在IP地址动态获取中,客户端采用广播方式发送DHCP DISCOVER请求报文,而广播报文不能跨网段传递,因此DHCP只适用于DHCP客户端和服务器处于同一个网段内的情况。
(1)DHCP中继报文:
① op:dhcp报文的操作类型,分为请求报文和响应报文,1为请求报文;2为响应报文。
② htype、hlen:dhcp客户端的硬件地址类型及长度。
③ hops:dhcp报文经过的dhcp中继的数目。dhcp请求报文每经过一个dhcp中继,该字段就会增加1。
④ xid:客户端发起一次请求时选择的随机数,用来标识一次地址请求过程。
⑤ ecs:dhcp客户端开始dhcp请求后的时间。
⑥ flags:第一个比特为广播响应标识位,用来标识dhcp服务器响应报文是采用单播还是广播发送。其余比特保留不用。
⑦ ciaddr:dhcp客户端的ip地址。 yiaddr:dhcp服务器分配给客户端的ip地址。
⑧ siaddr:dhcp客户端获取ip地址等信息的服务器ip地址。
⑨ giaddr:dhcp客户端发出请求报文后经过的第一个dhcp中继的ip地址。
⑩ chaddr:dhcp客户端的硬件地址。 sname:dhcp客户端获取ip地址等信息的服务器名称。
⑪file:dhcp服务器为dhcp客户端指定的启动配置文件名称。
⑫option:可选变长选项字段,包含报文的类型、有效租期、dns(domain name system,域名系统)服务器的ip地址、wins服务器的ip地址等配置信息。
广播报文 单播报文
(2)DHCP中继原理详解:
DHCP中继接收到客户端发送的DHCP DISCOVER或DHCP REQUEST报文后,将进行如下处理:
① 为防止DHCP报文形成环路,抛弃报文头中hops字段的值大于限定跳数的DHCP请求报文(默认不配置)。否则,继续进行下面的操作。将hops字段增加1,表明又经过一次DHCP中继。
② 检查giaddr字段。如果是0,需要将giaddr字段设置为接收请求报文的接口IP地址。如果接口有多个IP地址,可选择其一。以后从该接口接收的所有请求报文都使用该IP地址。如果giaddr字段不是0,则不修改该字段。
③ 将请求报文的TTL设置为DHCP中继设备的TTL缺省值,而不是原来请求报文的TTL减1。对中继报文的环路问题和跳数限制问题都可以通过hops字段来解决。
④ DHCP请求报文的目的地址修改为DHCP服务器或下一个DHCP中继的IP地址,从而将DHCP请求报文转发给DHCP服务器或下一个DHCP中继。
DHCP服务器收到请求报文后,根据Relay Agent IP Address字段为客户端分配IP地址等参数,并将DHCP应答报文发送给Relay Agent IP Address字段标识的DHCP中继。DHCP中继接收到DHCP应答报文后,会进行如下处理:
① DHCP中继假设所有的应答报文都是发给直连的DHCP客户端。Relay Agent IP Address字段用来识别与客户端直连的接口。如果Relay Agent IP Address字段不是本地接口的地址,DHCP中继将丢弃应答报文。
② DHCP中继检查报文的广播标志位。如果广播标志位为1,则将DHCP应答报文广播发送给DHCP客户端;否则将DHCP应答报文单播发送给DHCP客户端,其目的地址为Your (Client) IP Address字段内容,链路层地址为Client Hardware Address字段内容。
(3)Option 82:
用户通过DHCP方式获取IP地址。在管理员组建该网络时需要控制接口interface1下用户对网络资源的访问以提高网络的安全性。
在传统的DHCP动态分配IP地址过程中,DHCP Server是无法区分同一VLAN内的不同用户的,以致同一VLAN内的用户得到的IP地址所拥有的权限是完全相同的。
为实现上述目的,管理员在使能RouterA的DHCP Snooping功能之后可使能其Option82功能。之后RouterA在接收到用户申请IP地址发送的DHCP请求报文时,将会在报文中插入Option82选项,以标注用户的精确位置信息,譬如MAC地址、所属VLAN、所连接的接口号等参数。DHCP Server在接收到携带有Option82选项的DHCP请求报文后,即可通过Opion82选项的内容获悉到用户的精确物理位置进而根据其上已部署的IP地址分配策略或其他安全策略为用户分配合适的IP地址和其他配置信息。
5. DHCP中继配置:
(1)配置基于IP寻址DHCP服务器:
配置简单,适用于端口配置数量不多的中继接口
[Huawei]dhcp enable--------开启DHCP服务
[Huawei]inter g0/0/2-------进入端口(此端口为接收DHCP DISCOVER广播的接口,如果启用了vlan,进入vlanif)
[Huawei-GigabitEthernet0/0/2]dhcp select relay-----将端口设置为中继模式
[Huawei-GigabitEthernet0/0/2]dhcp relay server-ip 10.10.10.1—配置DHCP服务器地址为10.10.10.1
注:此时当配置中继的接口收到了DHCP DISCOVER报文,将giaddr字段变为此接口IP,flags位置为1,广播报文变为单播报文,并根据路由发送给DHCP服务器。
(2)配置基于服务器组的DHCP中继:
[Huawei]dhcp server group huawei----定义一个dhcp的组
[Huawei-dhcp-server-group-huawei]dhcp-server 10.10.10.1---配置dhcp服务器为10.10.10.1
[Huawei-dhcp-server-group-huawei]inter g0/0/1---进入接口(接收DISCOVER的接口)
[Huawei-GigabitEthernet0/0/1]dhcp select relay—设为中继模式
[Huawei-GigabitEthernet0/0/1]dhcp relay server-select huawei---配置dhcp的服务器组
5. DHCP snooping:
管理员在部署网络时,一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
[Huawei]dhcp snooping enable 开启DHCP-snooping功能
[Huawei-Vlanif1]vlan 1
[Huawei-vlan1]dhcp snooping enable--------在vlan1开启dhcp-snooping
[Huawei-vlan1]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]dhcp snooping trusted----将G0/0/3设置为信任端口(默认为untrust端口)
七. NAT:
随着Internet的发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈,网络地址转换技术NAT(Network Address Translation)用于解决内部网络的采用私有地址编址的主机访问外部网络的问题。当局域网的主机需要访问外部网络时,通过NAT技术可以将其私有地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可以保证网络互通,又节约了公网地址。
NAT一般都部署在连接在内网和外网的网关设备上。
企业或家庭使用的网络为私有网络,使用的是私有网络,运营商维护的网络为公共网络,使用的是公有地址。采用私有地址的数据包不能再公网中被理由。
NAT根据部署情况的原因,分为多种类型:
① 静态NAT
② 动态PAT
③ 动态NO-PAT
④ EASY—IP
⑤ NAT Server
1. 静态NAT:
静态NAT实现了私有地址和公有地址的一对一映射,一个公网IP只会分配给唯一且固定的内网主机,通常用于公网用户访问私网服务器。
(1)原理:
(2)静态NAT配置:
边界路由器公网端口下:nat static global 200.10.10.1 inside 192.168.1.1
2.动态NAPT:
静态NAT采用一对一方式进行转换,没有解决IPv4紧缺的问题,此时便出现了动态PAT。
(1)原理
动态PAT采用端口复用的方式,通常内网请求外网时,使用的端口都是随机端口。一个IP可以使用的端口为65535个端口,当内网IP携带端口号到达边界路由器时,边界路由器将内网IP转换为配置的公网IP,内网端口号转为另外的随机端口N(端口不重复使用),并生成映射表。当另外一个内网IP携带端口号到达边界路由器时,边界路由器将内网IP转换为配置的公网IP,内网端口号转为另外的随机端口N+1,生成映射表。
表项:
内网192.168.1.1:1028==外网222.102.1.1: 1025
内网192.168.1.1:1029==外网222.102.1.1 : 1026
内网192.168.1.2: 1233==外网222.102.1.1 : 1027
当数据包返回的时候,只要根据数据包中的端口号查看映射表,便可以知道数据包所去往的内网IP和源端口号。
(2)配置动态NAPT:
[Huawei]nat address-group 1 202.1.1.2 202.1.1.3—--设置nat地址池
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255-配置acl
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2001 address-group 1---在出接口上调用nat组1并绑定acl2001
3.动态NO-NAPT:
相对于动态PAT,针对转换端口标识源与目标的转换,在一些特殊的网络环境中,对源端口的转换可能会带来问题,此时,便产生NO-PAT。
(1)原理:
同一时刻内,内网中的三台主机同时访问互联网服务器,此时地址池中只有两个公网地址,默认两台机器占用了地址池中的公网地址,此时另外一台会等待两台机器传输服务结束后,使用公网地址。
(2)配置动态NO-NAPT:
[Huawei]nat address-group 1 202.1.1.2 202.1.1.3—--设置nat地址池
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255-配置acl
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2001 address-group 1 no-pat---在出接口上调用nat组1并绑定acl2001,不启动端口复用
4.EASY IP:
大多数家庭用户使用ADSL拨号入网,但当存在NAT转换的时候,在没有拨号入网之前,并不知道所转换的公网地址。
(1)原理:
当用户使用ADSL拨号上网后,端口分配了公网地址,此时EASY NAT会自动将端口公网地址作为NAT公网转换地址,采用端口转换技术将内网IP和端口号转换为此接口的IP和端口号。
(2)ESAY IP配置:
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255-配置acl
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2001 address-group 1 no-pat---在出接口上开EASY IP并绑定acl2001
5.NAT Server:
在配置私网服务器的时候,通常会设置端口号对应,此时需要使用NAT Server技术。
(1)原理:
NAT SERVER技术不仅可以进行私网和公网的一对一转换,还可以对协议端口号进行转换。
(2)NAT SERVER配置:
在边界路由器出接口上:[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 202.1.1.3 www inside 192.168.1.1 8080---将公网202.1.1.3的www协议映射到内网192.168.1.1的8080端口
八. VRRP:
通常情况下,内部网络中的所有主机都设置一条相同的缺省路由,指向出口网关(即图1中的路由器RouterA),实现主机与外部网络的通信。当出口网关发生故障时,主机与外部网络的通信就会中断。配置多个出口网关是提高系统可靠性的常见方法,但局域网内的主机设备通常不支持动态路由协议,如何在多个出口网关之间进行选路是个问题。
VRRP(Virtual Router Redundancy Protocol)虚拟路由冗余协议,来解决局域网主机访问外部网络的可靠性问题。
VRRP是一种容错协议,它通过把几台路由设备联合组成一台虚拟的路由设备,并通过一定的机制来保证当主机的下一跳设备出现故障时,可以及时将业务切换到其它设备,从而保持通讯的连续性和可靠性。使用VRRP的优势在于:既不需要改变组网情况,也不需要在主机上配置任何动态路由或者路由发现协议,就可以获得更高可靠性的缺省路由。
1. VRRP的工作原理:
VRRP将局域网的一组路由器构成一个备份组,相当于一台虚拟路由器。局域网内的主机只需要知道这个虚拟路由器的IP地址,并不需知道具体某台设备的IP地址,将网络内主机的缺省网关设置为该虚拟路由器的IP地址,主机就可以利用该虚拟网关与外部网络进行通信。
VRRP将该虚拟路由器动态关联到承担传输业务的物理路由器上,当该物理路由器出现故障时,再次选择新路由器来接替业务传输工作,整个过程对用户完全透明,实现了内部网络和外部网络不间断通信。
① RouterA、RouterB和RouterC属于同一个VRRP组,组成一个虚拟路由器,这个虚拟路由器有自己的IP地址10.110.10.1。虚拟IP地址可以直接指定,也可以借用该VRRP组所包含的路由器上某接口地址。
② 物理路由器RouterA、RouterB和RouterC的实际IP地址分别是10.110.10.5、10.110.10.6和10.110.10.7。
③ 局域网内的主机只需要将缺省路由设为10.110.10.1即可,无需知道具体路由器上的接口地址。
VRRP切换导致mac地址表错误问题:
当Mast发生切换后,交换机的mac地址表会出现问题,当slave成为mast之后,会主动
送一个ARP回复,虚拟网关地址的arp回复,交换机收到此回复,将端口与mac重新绑定。
2. MAST选举:
在VRRP组中,会选举一台路由器作为虚拟网关的实际设备,一保证流量的正常转发。Mast可以根据以下进行比较选举:
① 比较优先级的大小,优先级值高者当选为Master,默认优先级值为100。
② 当优先级相同的路由器同时竞争Master时,比较接口IP地址大小。接口地址大者当选为Master。
注:默认VRRP的Mast为抢占模式。
3. VRRP的报文结构:
VRRP协议只有一种报文,即VRRP报文,报文每秒 发送一次,用于维护Mast状态。VRRP报文用来将Master设备的优先级和状态通告给同一虚拟路由器的所有VRRP路由器。
VRRP报文封装在IP报文中,发送到分配给VRRP的IPv4组播地址。在IP报文头中,源地址为发送报文的主接口地址(不是虚拟地址或辅助地址),目的地址是224.0.0.18,TTL是255,协议号是112。VRRP报文的结构如图1所示。
图1 VRRP报文结构
① Version:协议版本号,现在的VRRP为版本2。
② Type:报文类型,只有一种取值,1,表示Advertisement。
③ Virtual Rtr ID(VRID):虚拟路由器ID,取值范围是1~255。
④ Priority:发送报文的VRRP路由器在虚拟路由器中的优先级。取值范围是0~255,其中可用的范围是1~254。0表示设备停止参与VRRP,用来使备份路由器尽快成为主路由器,而不必等到计时器超时;255则保留给IP地址拥有者。缺省值是100。
⑤ Count IP Addrs:VRRP广播中包含的虚拟IP地址个数。
⑥ Authentication Type:验证类型,协议中指定了3种类型:
⑦ Advertisement Interval:发送通告报文的时间间隔,缺省为1秒。
⑧ IP Address:虚拟路由器IP地址,地址个数是Count IP Addrs的值。
⑨ Authentication Data:验证字,目前只有明文认证才用到该部分,对于其它认证方式,一律填0。
4. VRRP的端口状态:
VRRP协议中定义了三种状态机:
① Initialize初始状态
② Master活动状态
③ Backup备份状态
(1)Initialize:
初始状态,设备启动时进入此状态。当收到接口Startup的消息,将转入Backup或Master状态(IP地址拥有者的接口优先级为255,直接转为Master)。在此状态时,不会对VRRP报文做任何处理。
(2)Master:
主设备,Master用于转发数据,当路由器处于Master状态时,它将会做下列工作:
① 定期发送VRRP报文。
② 以虚拟MAC地址响应对虚拟IP地址的ARP请求。
③ 转发目的MAC地址为虚拟MAC地址的IP报文。
④ 如果它是这个虚拟IP地址的拥有者,则接收目的IP地址为这个虚拟IP地址的IP报文。否则,丢弃这个IP报文。
(3)Backup:
当路由器处于Backup状态时,它将会做下列工作:
① 接收Master发送的VRRP组播报文,判断Master的状态是否正常。
② 对虚拟IP地址的ARP请求,不做响应。
③ 丢弃目的MAC地址为虚拟MAC地址的IP报文。
④ 丢弃目的IP地址为虚拟IP地址的IP报文。
5. VRRP模式:
在部署VRRP时,可以分为两种模式,分别为:
① 主备备份
② 负载分担
(1)主备备份:
这是VRRP提供IP地址备份功能的基本方式。主备备份方式需要建立一个虚拟路由器,该虚拟路由器包括一个Master和若干Backup设备。正常情况下,业务全部由Master承担,Master出现故障时,Backup设备接替工作。
(2)负载分担:
现在允许一台路由器为多个作备份。通过多虚拟路由器设置可以实现负载分担。负载分担方式是指多台路由器同时承担业务,因此需要建立两个或更多的备份组。
负载分担方式具有以下特点:
① 每个备份组都包括一个Master设备和若干Backup设备。
② 各备份组的Master可以不同。
③ 同一台路由器可以加入多个备份组,在不同备份组中有不同的优先级。
6. VRRP配置:
1.主备备份:
R1:
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]vrrp vrid 1 virtual-ip 192.168.1.1
[Huawei-GigabitEthernet0/0/2]vrrp vrid 1 priority 120
[Huawei-GigabitEthernet0/0/2]vrrp vrid 1 track interface g0/0/0 reduced 50
R2:
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]vrrp vrid 1 virtual-ip 192.168.1.1
[Huawei-GigabitEthernet0/0/3]vrrp vrid 1 priority 100
2.负载分担:
在主备模式基础上创建新的VRRP组,并将主备模式中的MAST和SLAVE进行对调。
注:vrrp虚拟接口的网段必须要与接口同网段,负载均衡基于同网段分段PC实现。
R1:
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 192.168.1.2
[Huawei-GigabitEthernet0/0/2]vrrp vrid 2 priority 100
[Huawei-GigabitEthernet0/0/2]vrrp vrid 1 track interface g0/0/0 reduced 50
R2:
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]vrrp vrid 2 virtual-ip 192.168.1.2
[Huawei-GigabitEthernet0/0/3]vrrp vrid 2 priority 120
3.VRRP认证:
VRRP认证支持MD5和明文认证:
[Huawei-GigabitEthernet0/0/2]vrrp vrid 1 authentication-mode simple Huawei
九. 链路聚合:
随着网络规模不断过大,用户对骨干链路的带宽和可靠性提出了越来越多的要求。采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,来达到增加链路带宽的目的,在实现增大带宽的同时,链路聚合采用备份链路的机制,可以有效的提高设备之间链路的可靠性。
1.链路聚合模式:
链路聚合支持两种模式:
① 手工负载分担
② LACP模式
注:Eth-Trunk链路两端相连的物理接口的数量、速率、双工模式、流控模式必须一致。
(1)手工分担模式:
手工负载分担模式下所有活动接口都参与数据的转发,分担负载流量(默认模式)。
(2)LACP模式:
Link Aggregation Control Protocol,链路汇聚控制协议,LACP模式既可以支持现有链路同时转发数据,也可以支持其中一条链路作为Backup链路,用于备份链路(不转发流量,当其余链路出现问题时,Backup链路进行流量转发)。
注:LACP模式两端接口ID必须一致。
①系统优先级:
两台设备配置在配置LACP时必须配置LACP系统优先级,两端建立连接时,设备会根据优先级值进行主设备选举(默认为32768,数值越小越优先)。当选举出主设备后,后续的配置要求将按照主设备的要求进行选举。
②端口优先级:
进行链路聚合的端口需要配置LACP端口优先级。在进行负载分担数据转发接口和Backup端口的选举时,根据端口优先级进行选举。优先级数值越低越优先。
③接口阀值:
进行链路聚合的端口需要配置接口阀值,即要求几条链路进行负载分担数据转发,根据主设备的端口优先级选举出来后,超出接口阀值的端口都将作为Backup端口。
2.链路聚合方式:
链路聚合分为:
① 二层链路聚合
② 三层链路聚合
(1)二层链路聚合:
①手工负载分担模式:
配置命令:
[Huawei]inter Eth-Trunk 1-----创建Eth-trunk聚合组1
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]eth-trunk 1—---将端口G0/0/1加入Eth-Trunk1
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1—---将端口G0/0/2加入Eth-Trunk1
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]eth-trunk 1—---将端口G0/0/3加入Eth-Trunk1
② LACP模式:
配置命令:
[Huawei]inter Eth-Trunk 1------创建Eth-Trunk聚合组1
[Huawei-Eth-Trunk1]mode lacp-static -----将聚合组1设置为LACP模式
[Huawei-Eth-Trunk1]max active-linknumber 2---设置端口阀值为2
[Huawei-Eth-Trunk1]trunkport g0/0/1---将端口G0/0/1放入聚合组1
[Huawei-Eth-Trunk1]trunkport g0/0/2---将端口G0/0/2放入聚合组1
[Huawei-Eth-Trunk1]trunkport g0/0/3---将端口G0/0/3放入聚合组1
[Huawei]lacp priority 100---全局模式下配置LACP优先级值
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/3]eth-trunk 0
[Huawei-GigabitEthernet0/0/1]lacp priority 10—设置LACP G0/0/1优先级值10
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/3]eth-trunk 0
[Huawei-GigabitEthernet0/0/2]lacp priority 20—设置LACP G0/0/优先级值20
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]eth-trunk 0
[Huawei-GigabitEthernet0/0/3]lacp priority 30—设置LACP G0/0/1优先级值30
(2)三层链路聚合:
① 手工负载分担模式:
配置命令:
[Huawei]inter Eth-Trunk 1-----创建Eth-trunk聚合组1
[Huawei-Eth-Trunk0]undo portswitch--------设置为三层聚合口
[Huawei-Eth-Trunk1]ip add 192.168.1.1 24---配置聚合组1口IP地址
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]eth-trunk 1—---将端口G0/0/1加入Eth-Trunk1
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1—---将端口G0/0/2加入Eth-Trunk1
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]eth-trunk 1—---将端口G0/0/3加入Eth-Trunk1
② LACP模式:
配置命令:
[Huawei]inter Eth-Trunk 1------创建Eth-Trunk聚合组1
[Huawei-Eth-Trunk0]undo portswitch---设置为三层聚合口
[Huawei-Eth-Trunk1]mode lacp-static -----将聚合组1设置为LACP模式
[Huawei-Eth-Trunk1]max active-linknumber 2---设置端口阀值为2
[Huawei-Eth-Trunk1]trunkport g0/0/1---将端口G0/0/1放入聚合组1
[Huawei-Eth-Trunk1]trunkport g0/0/2---将端口G0/0/2放入聚合组1
[Huawei-Eth-Trunk1]trunkport g0/0/3---将端口G0/0/3放入聚合组1
[Huawei]lacp priority 100---全局模式下配置LACP优先级值
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]lacp priority 10—设置LACP G0/0/1优先级值10
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]lacp priority 20—设置LACP G0/0/优先级值20
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]lacp priority 30—设置LACP G0/0/1优先级值30
十. 端口隔离:
端口隔离可以实现端口之间无法数据通信,端口隔离默认隔离二层广播,三层互通,属于同隔离组中的设备无法实现数据通信,但是可以与其他隔离组中的设备进行通信。
端口隔离配置:
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]port-isolate enable group 10
[Huawei-GigabitEthernet0/0/1]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]port-isolate enable group 10
[Huawei]inter g0/0/3
[Huawei-GigabitEthernet0/0/3]port-isolate enable group 20
由于端口隔离为隔离二层广播,三层实现互通,此时可以使用域内代理arp进行arp回复,,实行端口隔离内的pc互通。
[Huawei]inter vlan 10
[Huawei-Vlanif10]ip add 192.168.1.1 24
[Huawei-Vlanif10]
十一. Smart Link:
在以太网络中,为了提高网络的可靠性,通常采用双归属上行方式进行组网,即以太交换机同时连接两台上行交换机,但是在二层网络中可能会存在环路问题。为了达到毫秒级的收敛速度和解决环路问题,此时可以使用Smart Link。
下行链路设置主与辅端口,当主端口断掉之后,辅端口会立刻接替主端口转发流量。并且当链路进行切换会导致MAC地址表项错误,此时需要Smart Link端发送报文给上游设备刷新MAC映射表,huawei设备在发送报文时绑定一个Vlan Tag,用来表明此报文时刷新MAC映射表的标识Vlan,当上层交换机收到对应的标识Vlan时会直接刷新Mac映射表,但Flush报文时huaiwe私有报文,所以在于不支持Flush的设备对接时,对方设备是无法识别Flush报文的,此时Flush报文的作用失效,上游设备只有等待西游设备触发流量刷新自己的错误MAC映射表,或等待老化时间
配置命令:
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]stp disable------关闭接口stp
[Huawei]inter g0/0/2
[Huawei-GigabitEthernet0/0/2]stp disable-------关闭接口stp
[Huawei]smart-link group 1-----------创建smart聚合组1
[Huawei-smlk-group1]port g0/0/2 master ----将g0/0/2设置为master
[Huawei-smlk-group1]port g0/0/1 slave------将g0/0/1设置为slave
- 当主接口恢复后,默认不会抢占,使用以下命令设置回切功能:
[Huawei-smlk-group1]restore enable----开启回切
[Huawei-smlk-group1]timer wtr 30------回切延迟为30S
Smart Link端设置发送刷新MAC映射表时携带的control Vlan ID
- [Huawei-smlk-group1]flush send control-vlan 11
上层交换机设置收到对应Vlan的数据包时刷新MAC映射表
- [Huawei-GigabitEthernet0/0/1]smart-link flush receive control-vlan
11
十二. Monitor Link:
Smart Link虽然能够保证端口在本设备上行链路发送故障后快速进行倒换,但对于跨设备的链路故障不能提供有效保护,为此可以采用Monitor Link。Monitor Link用于扩展Smart Link的链路备份的范围,通过监控上游设备的上行链路,达到上行链路故障迅速传达给下游设备,从而触发Smart Link的主备链路切换,防止长时间因上行链路故障而出现网络终端,使Smart Link备份更为完善。
Smart Link缺陷:
Monitor Link原理:
Monitor Link配置:
在中间设备交换机上配置:
[Huawei]monitor-link group 1-----------配置Monitor组1
[Huawei-mtlk-group1]port g0/0/1 uplink -----设置G0/0/1为上行端口
[Huawei-mtlk-group1]port g0/0/2 downlink---设置G0/0/2为下行端口
十三. 端口镜像技术:
AR1:
- 观察端口(Sniffer软件):
[Huawei]observe-port interface g0/0/2
- 镜像端口(实际数据流量):
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]mirror to observe-port inbound
注:交换机mirror命令前加port
十四. Keychain:
在企业中,对路由协议进行认证时,为了保证安全,会每隔一段时间进行密码的重新认证,如果采用人工的方式配置,当网络中存在大量的路由器,会增加配置的繁琐度,两端配置时间不统一,会导致网络临时中断,对敏感数据业务存在致命危险,此时可以使用Keychain技术进行解决。
Key分为两种模式,一种为absolute,一种为periodic
1. absolute:
绝对时间,不以周期形式生效
2. periodic:
周期时间循环,可以是年、月、天……
配置:
① absolute
[Huawei]keychain huawei mode absolute---配置keychain的名称为huawei模式为absolute
[Huawei-keychain]key-id 1----------配置第一个key-id
[Huawei-keychain-keyid-1]key-string plain huawei----配置密码
[Huawei-keychain-keyid-1]receive-time utc 00:00 2014-01-01 to 00:00 2015-01-01—配置收到密码的有效时间
[Huawei-keychain-keyid-1]send-time utc 00:00 2014-01-01 to 00:00 2015-01-01-配置发送密码的有效时间
[Huawei-keychain]key-id 2----------配置第二个key-id
[Huawei-keychain-keyid-1]key-string plain cisco----配置密码
[Huawei-keychain-keyid-1]receive-time utc 00:00 2015-01-02 to 00:00 2016-01-02—配置收到密码的有效时间
[Huawei-keychain-keyid-1]send-time utc 00:00 2014-01-02 to 00:00 2015-01-02-配置发送密码的有效时间
[Huawei-ospf-1-area-0.0.0.1]authentication-mode keychain Huawei—OSPF认证调用keychain
②periodic:
[Huawei]keychain huawei mode periodic daily---配置Keychain模式为prtiodic,以天轮询
[Huawei-keychain]key-id 1
[Huawei-keychain-keyid-1]send-time daily 00:00 to 12:00------发送时间
[Huawei-keychain-keyid-1]receive-time daily 00:00 to 12:00---接收时间
[Huawei-keychain]key-id 2
[Huawei-keychain-keyid-1]send-time daily 13:00 to 24:00-----发送时间
[Huawei-keychain-keyid-1]receive-time daily 13:00 to 24:00---接收时间
十五. PPPoE:
1. PPPoE拨号:
PPP over Ethernet,数字用户线路DSL(Digital Subscriber Line)是以电话线为传输介质的传输数字信号的技术,人们通常把所有的DSL技术统称为xDSL,x代表不同种类的数字用户线路技术。目前比较流行的宽带接入技术为ADSL,ADSL时非对称DSL技术,使用的时PPPoE协议。
PPPoE协议通过在以太网上提供点到点的连接,建立PPP会话,使的以太网中的主机能够连接到远端的宽带接入服务器上。PPPoE具有使用范围广、安全新高、计费方便等特点。
PPP为二层协议,Ethernet为二层协议,PPPoE为将Ethernet跑在PPP的协议之上,PPP报文具有认证功能,所以将PPP封装以太网包中,让PPP协议在以太网环境中对设备进行认证、计费等功能,而PPP不支持广播发送的能力,所以不能完成PPOE认证的过程,所以将PPP跑在Enternet之上,使用PPP进行认证和IP地址的分发,使用Enternet技术实现广播的发送。
(1)PPPoE应用场景:
① 主机A和主机B使用PPPoE客户端输入用户和密码进行认证
② PPPoE将用户名和密码传递到Modem上,Modem将其转换为模拟信号
③ Modem将模拟信号传输到电话线上到达DSLAN上。
④ DSLAM将模拟信号分离出数据数字信号传送到BRAS(PPPoE服务器)上进行用户和密码的认证。
2. PPPoE报文:
- 外层(Etnernet):
① DMAC:目标MAC地址
② SMAC:源MAC地址
③ Type:类型
③ PPPoE:增加的内层PPPoE报文
⑤ FCS:校验位
- 内层(PPPoE):
① Version:版本
② Type:类型
③ Code:选项值
④ Session ID:协商成功后,会一直使用该值,成功之前为0
⑤ Length:PayLoad长度
⑥ PPP:PPP报头
⑦ PayLoad:负载
报文类型分为:
① PADI—PPPoE发现初始报文
② PADO—PPPoE发现提供报文
③ PADR—PPPoE发现请求报文
④ PADS—PPPoE发现会话确认报文
⑤ PADT—PPPoE发现终止报文
(1)PADI:
PPPOE Active Discovery Initiation,PPPoE发现报文,由Clint发出,目标地址为广播地址,用于寻找当前网络中的Server服务器。
(2)PADO:
PPPOE Active Discovery Offer,PPPoE回复的单播报文,由Server回复Clint的PADI报文。
(3)PADR:
PPPOE Active Discovery Request,PPPoE请求报文,由Clint发送给Server的单播报文,用于请求Session ID
(4)PADS:
PPPOE Active Discovery Session-confirmation,Server收到Clint的PADR请求报文,会使用PADS报文分配给Clint一个Session ID
(5)PPP报文:
当PPPOE发现阶段的报文传送完毕后,会进行传统PPP的协商过程,包括LCP、认证报文和NCP报文
① LCP报文:
② LCP确认报文:
③ PPP认证报文:
④ IPCP报文:
(6)数据流量:
物理层、二层ethnet、PPPOE报文、PPP报文、IP报文、应用层报文
3. PPPoE会话建立:
PPPOE会话分为三个阶段:
① 发现阶段:
获取对方以太网地址,以及确定唯一的PPPoE会话
② 会话阶段:
- 第一部分:PPP协商阶段
- 第二部分:PPP报文传输阶段
③ 会话终结阶段:
会话建立以后的任意时刻,发送报文结束PPPoE会话
(1)发现阶段:
PPPOE发现阶段的第一步,Clint客户端寻找Server服务器,获取服务器的IP地址,建立一条PPPoE会话,并生成Session ID值,用于唯一标识一条PPPoE会话。
① 第一阶段:
Clint使用PADI报文,也就是由用户侧首先发送这样一个报文。Clint是以广播的方式发送这个报文,所以该报文所对应的以太网帧的目的地址域应填充为全1,而源地址域填充Clint的MAC地址。广播包可能会被多个Server接收到。
② 第二阶段:
PPPOE发现阶段的第二步,也即是由Server回应各Clint发送的PADI报文,此时该报文所对应的以太网帧的源地址填充Server的MAC地址,而目的地址则填充从PADI中所获取的Clint的MAC地址。此阶段为Server使用PADO报文响应Clint。
③ 第三阶段:
PPPOE发现阶段的第三步,也即是由Clint向访问服务器发送单播的请求报文。当Clint收到PADO报文后,会使用PADR进行请求Session ID。
④ 第四阶段:
PPPOE发现阶段的第四步,由Server发送PADS报文用于回复Clint的PADR,报文中包含Session ID,用于标识Clint和Server之间的一条点到点回话。
(2)会话阶段:
- LCP阶段:
a) 工作方式是SP(Single-Link PPP,单链路连接)还是MP(Multilink PPP,多链路连接)
b) 最大接收单元MRU(Maxnum Receive Unit,最大的接收数据包大小)
c) 验证方式(PAP或CHAP必须一致)和魔术字(magic number)等字段
- 认证阶段:
开始CHAP或PAP验证,用于验证用户名和密码是否合法
- NCP阶段:
PPP阶段进行NCP协商。通过NCP协商来选择和配置一个网络层协议进行网络层参数协商。只有相应的网络层协议协商成功后,该网络层协议才可以通过这条PPP链路发送报文,NCP协商包括LPCP(IP Control Protocol,IP地址的获取)、MPLSCP(MPLS Control Protocol)等协商。
(3)会话终结阶段:
会话建立以后的任意时刻,发送PADT报文用于结束PPPoE的会话。
4. PPPoE配置:
(1)PPPoE客户端:
AR1:
[Huawei]inter Dialer 1-------创建拨号口1
[Huawei-Dialer1]dialer user Huawei-------配置接口名称(与数据库用户名中一致)
[Huawei-Dialer1]dialer-group 1--------配置为组1
[Huawei-Dialer1]dialer bundle 1----配置序号为1
[Huawei-Dialer1]ppp chap user wfgm11--------------配置认证用户名
[Huawei-Dialer1]ppp chap password cipher wfgm11—配置认证密码
[Huawei-Dialer1]ip address ppp-negotiate-------接口获取方式为PPP获取
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 1 on-demand-------接口调用PPPoE组1
注:on-demand为按时连接,当存在按时计费时,如果没有流量,将自动断开连
接
[Huawei]dialer-rule---拨号上网功能
[Huawei-dialer-rule]dialer-rule 1 ip permit-----允许组1的流量触发拨号上网(on-demand模式,如果没有on-demand则不需要配置)
[Huawei]ip route-static 0.0.0.0 0.0.0.0 Dialer 1---配置默认路由,全部走PPPoE接口
(2)PPPoE服务器:
①配置认证用户名和密码:
[Huawei]aaa
[Huawei-aaa]local-user wfgm11 password cipher wfgm11
[Huawei-aaa]local-user wfgm11 privilege level 10
[Huawei-aaa]local-user wfgm11 service-type ppp
② 配置AAA认证模式:
[Huawei-aaa]authentication-scheme 1------配置认证方案1
[Huawei-aaa-authen-1]authentication-mode local---认证方案为本地认证
[Huawei-aaa]authorization-scheme 1------配置授权方1
[Huawei-aaa-author-1]authorization-mode local---授权方案为本地授权
[Huawei-aaa]accounting-scheme 1---------配置计费方案1
[Huawei-aaa-accounting-1]accounting-mode none---计费模式为不计费
注:认证和授权英文相似,注意不要配置错误
③ 配置域名参数:
[Huawei-aaa]domain Huawei-------配置域名为huawei
[Huawei-aaa-domain-huawei]authentication-scheme----认证方案为1
[Huawei-aaa-domain-huawei]authorization-scheme 1---授权方案为1
[Huawei-aaa-domain-huawei]accounting-scheme 1-----计费方案为1
④ 配置Clint的地址池:
[Huawei]ip pool huawei
[Huawei-ip-pool-huawei]network 10.10.2.0 mask 24
[Huawei-ip-pool-huawei]gateway-list 10.10.2.1
[Huawei-ip-pool-huawei]dns-list 8.8.8.8
⑤ 配置虚接口参数:
[Huawei]inter Virtual-Template 1---配置虚接口1
[Huawei-Virtual-Template1]ip address 10.10.2.1 24—配置接口IP地址
[Huawei-Virtual-Template1]remote address pool Huawei—配置地址池为huawei
[Huawei-Virtual-Template1]ppp authentication-mode chap domain Huawei—认证模式为chap,AAA认证为domain
⑥ 接口下调用:
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]pppoe-server bind virtual-template 1—绑定PPPoE服务认证虚拟接口1
注:如果使用专门的Radius服务器进行远程AAA,需要配置以下命令:
① 配置认证用户名和密码
② 配置AAA认证模式:
[Huawei]aaa
[Huawei-aaa]authentication-scheme 1---配置认证方案1
[Huawei-aaa-authen-1]authentication-mode radius-------认证模式为radius认证
[Huawei-aaa]accounting-scheme 1-----配置计费方案1
[Huawei-aaa-accounting-1]accounting-mode radius------计费模式为radius
计费
注:此处缺少授权方案
③ 配置radius模板:
[Huawei]radius-server template Huawei-----配置radius模板为huawei
[Huawei-radius-huawei]radius-server authentication 10.1.1.1 1812—配置认证服务器地址和端口
[Huawei-radius-huawei]radius-server accounting 10.1.1.1 1813—配置计费地址和端口
④ 配置域名参数:
[Huawei]aaa
[Huawei-aaa]domain Huawei
[Huawei-aaa-domain-huawei]authorization-scheme 1
[Huawei-aaa-domain-huawei]authentication-scheme 1
[Huawei-aaa-domain-huawei]radius-server Huawei-------radius服务器为
huawei
注:此处缺少绑定授权绑定
⑤ 配置地址池
⑥ 配置虚接口参数
⑦ 接口上调用虚接口
十六. SNMP:
随着网络技术的飞速发展,企业中网络设备的数量成几何级数增长,网络设备的种类也越来越多,这使得企业网络的管理变得十分复杂。
简单网络管理协议SNMP(Simple Network Management Protocol)可以实现对不同种类和不同厂商的网络设备进行统一管理,大大提升了网络管理的效率。
SNMP使用UDP协议进行传输,使用端口为161或162。
1.SNMP架构:
SNMP包括:
① NMS
② Agent
③ MIB
④ Management object
(1)NMS:
NMS,网络管理系统,SNMP用来在网络管理系统NMS和被管理设备之间传输信息,华为NMS系统为eSight。
作用:
① 管理员可以使用NMS发送配置给设备
② 管理员可以使用NMS通过SNMP协议查看设备状态
③ 设备会主动发送状态信息表给NMS
(2)Agent:
Agent是被管理设备中的一个代理进程,用于维护被管理设备的信息数据并响应来自NMS的请求,把管理数据汇报给发送请求的NMS。
① Agent接收到NMS的请求信息后,通过MIB表完成相应指令后,并把操作结果响应给NMS。
② 当设备发生故障或者其它事件时,设备会通过Agent主动发送信息给NMS,向NMS报告设备当前的状态变化。
(3)MIB:
MIB是一个数据库,指明了被管理设备所维护的变量(即能够被Agent查询和设置的信息)。MIB在数据库中定义了被管理设备的一系列属性:对象的名称、对象的状态、对象的访问权限和对象的数据类型等。
通过MIB,可以完成以下功能:
① Agent通过查询MIB,可以获知设备当前的状态信息。
② Agent通过修改MIB,可以设置设备的状态参数。
常见S系列MIB节点代码:
|
类别 |
节点信息 |
对应节点的OID |
备注 |
|
设备状态监控 |
CPU利用率 |
1.3.6.1.4.1.2011.5.25.31.1.1.1.1.5 |
盒式设备获取CPU利用率和内存利用率的大小还可以使用另一个节点 HUAWEI-DEVICE-MIB 。 对于V100R003版本使用该节点前,请安装V100R003SPH009以上的补丁。 CPU利用率:1.3.6.1.4.1.2011.6.3.4.1.2 内存大小:1.3.6.1.4.1.2011.6.3.5.1.1.2 (这两个节点不推荐使用) 涉及的MIB表:HUAWEI-ENTITY-EXTENT-MIB |
|
内存利用率 |
1.3.6.1.4.1.2011.5.25.31.1.1.1.1.7 |
||
|
内存大小 |
1.3.6.1.4.1.2011.5.25.31.1.1.1.1.9 |
||
|
设备运行温度 |
1.3.6.1.4.1.2011.5.25.31.1.1.1.1.11 |
||
|
光模块温度 |
1.3.6.1.4.1.2011.5.25.31.1.1.3.1.5 |
||
|
光模块电压 |
1.3.6.1.4.1.2011.5.25.31.1.1.3.1.6 |
||
|
光模块偏置电流 |
1.3.6.1.4.1.2011.5.25.31.1.1.3.1.7 |
||
|
光模块收光功率 |
1.3.6.1.4.1.2011.5.25.31.1.1.3.1.8 |
||
|
光模块发光功率 |
1.3.6.1.4.1.2011.5.25.31.1.1.3.1.9 |
||
|
trap |
1 设备温度告警和告警恢复: 1.3.6.1.4.1.2011.5.25.129.2.2.1 1.3.6.1.4.1.2011.5.25.129.2.2.2 2 存储的容量满告警和恢复: 1.3.6.1.4.1.2011.5.25.129.2.6.1 1.3.6.1.4.1.2011.5.25.129.2.6.2 3 风扇告警与恢复: 1.3.6.1.4.1.2011.5.25.219.2.6.5 1.3.6.1.4.1.2011.5.25.219.2.6.6 4 电源的告警和恢复: 1.3.6.1.4.1.2011.5.25.219.2.5.5 1.3.6.1.4.1.2011.5.25.219.2.5.6 |
ENTITY-TRAP |
|
|
端口流量监控 |
端口流量统计 |
1.3.6.1.2.1.2.2.1 ,请参考MIB手册 |
该表包括端口的出入端口流量,单播、组播报文的统计计数信息等,请查看MIB参考手册的IF-MIB。 暂不支持VLANIF和TRUNK的流量统计。 |
|
端口的updown状态 |
1.3.6.1.2.1.2.2.1.8 |
- |
|
|
trap |
端口带宽利用率trap: 对应的MIB节点: hwIfMonitorInputRateThreshold 1.3.6.1.4.1.2011.5.25.41.1.7.1.1.9 hwIfMonitorOutputRateThreshold 1.3.6.1.4.1.2011.5.25.41.1.7.1.1.113 CRC 增长的告警trap: 1.3.6.1.4.1.2011.5.25.41.4.1 hwIfMonitorCRCErrorRising 在对应的端口下可以配置crc的参数 trap-threshold error-statistics *** |
对于S3300&5300或者S3700&S5700 V100R005及以后版本版本,S9300&S7700 V100R003及以后版本,支持端口利用率达到阈值的告警,默认带宽利用率为100%。可以通过设置阈值观察相关告警进行监控。 命令行设置方式:接口视图 trap-threshold { input-rate | output-rate } bandwidth-in-use [ resume-rate resume-threshold ] CRC 增长的告警trap,盒式V100R005C01SPC100及以后的版本支持。 涉及MIB表的名称:IF-MIB |
|
|
MAC VLAN ARP监控 |
MAC地址 |
1.3.6.1.2.1.17.4.3.1.1 |
涉及MIB表的名称为:BRIDEG-MIB,HUAWEI-ETHARP-MIB,HUAWEI-L2MAN-MIB |
|
动态MAC查询 |
1.3.6.1.4.1.2011.5.25.42.2.1.3.1 |
||
|
静态MAC查询 |
1.3.6.1.4.1.2011.5.25.42.2.1.2.1 |
||
|
动态arp查询 |
1.3.6.1.4.1.2011.5.25.123.1.17 |
||
|
静态arp查询 |
1.3.6.1.4.1.2011.5.25.123.1.18.1 |
||
|
业务相关监控 |
lldp的mib节点的访问 |
1.0.8802.1.1.2.1.4.1.1 |
lldp的mib节点的访问使用注意: 必须有这个命令行 snmp-agent mib-view included iso-view iso 相关解释: these two commands only allow to read the internet node by default, such as:iso(1).org(3).dod(6).internet(1).x others is not permitted to visit.but the lldp mib oid is :iso(1).std(0).iso8802(8802).ieee802dot1(1).ieee802dot1mibs(1).lldpMIB(2) it does not include the lldp mib oid, so we must use command to include lldp mib subtree. snmp-agent mib-view included iso-view iso |
|
stp端口的状态 |
1.3.6.1.2.1.17.2.15.1.3 |
||
|
RRPP环属性的表 |
1.3.6.1.4.1.2011.5.25.113.2.2.1.4 |
||
|
Vrrp本机的主备状态 |
1.3.6.1.2.1.68.1.3.1.3 |
||
|
配置保存,多节点打包处理举例 |
通过相关节点自动保存配置 |
相关步骤: 例如 创建一个实例 1,将下面两个节点进行打包处理: 1、 1.3.6.1.4.1.2011.6.10.1.2.4.1.2这个设置的值为1 (操作类型 1,保存配置文件为启动文件 )。 2、 1.3.6.1.4.1.2011.6.10.1.2.4.1.9这个值设置为 4 (4:create and go) 每次创建前先删除已经存在的实例 (6:destory)。打包这个两个节点,就可以通过网管完成文件的保存动作 |
涉及表的名称 |
(4)Management object:
Management object指被管理对象。每一个设备可能包含多个被管理对象,被管理对象可以是设备中的某个硬件(如一块接口板),也可以是在硬件、软件(如路由选择协议)上配置的参数集合。
2.SNMP版本:
SNMP分为三个版本:
(1)SNMPv1:
最初定义的版本,实现方便,但是存在安全性问题。
① SNMPv1报文:
① Get-Request:NMS发送请求报文,请求被管理设备发送哪些监视信息。
② Response:被管理设备回复信息,用于回复NMS所请求的监视信息。
③ Get-Next-Request:NMS发送的下一请求报文,请求被管理设备继续发送哪些监视信息。
④ Set-Request:NMS用于设置对被管理设备的信息。
⑤ Trap:被管理设备主动发送给NMS的信息(“告警”)。
(2)SNMPv2c:
目前最主流的SNMP版本,安全性较高。
① SNMPv2c报文:
a) Get-Bulk Request:使用此报文,管理员可以同时读取被管理设备所有的信息。
b) Response:被管理设备用于回复NMS请求的信息。
c) Inform Request:被管理设备使用此报文主动向NMS发送信息(和v1中的Trap功能相同,但可靠,收到此信息,会回复inform Request,但V1 Trap不可靠,不会回复)。
d) Inform Response:NMS收到被管理设备主动发送的信息后,使用此报文回复确认。
② SNMPv2c配置:
[Huawei]snmp-agent--------开启snmp协议代理
[Huawei]snmp-agent sys-info version v2c-------------设置代理SNMP版本号为v2c(默认为v2c)
[Huawei]snmp-agent trap enable-----开启SNMP的trap功能(主动发送信息)
[Huawei]snmp-agent community read huawei acl 2000----定义团体属性允许读权限的密码为huawei
[Huawei]snmp-agent community write huawei acl 2000----定义团体属性允许写权限的密码为huawei
[Huawei]snmp-agent target-host trap-hostname huawei address 10.1.1.2 udp-port 161 trap-paramsname AR1 ------定义NMS用户名为huawei,
NMS地址为10.1.1.2,UDP端口号为161,NMS显示名称为AR1(路由器命令)
[Huawei]acl 2000----------用于匹配策略
[Huawei-acl-basic-2000]rule 5 permit source 10.1.1.2 0
[Huawei-acl-basic-2000]rule 6 permit source 192.168.1.101 0
注:交换机配置命令不同于路由器:
[Huawei]snmp-agent target-host trap address udp-domain 10.1.1.3 udp-port 161 params securityname SW1 v2c----------定义主机地址为10.1.1.3,UDP端口
号为162(默认),NMS名称为SW1,定义配置版本为v2c(路由器命令)
(3)SNMPv3版本:
SNMPv3的报文类型和V2c是相同的,唯一不同之处在于发送Get-Request的时候,可以进行加密传输,或者认证,被管理设备回复的为加密的Response。
① SNMPv3配置:
AR路由器:
[Huawei]snmp-agent-----------开启SNMP-agent代理
[Huawei]snmp-agent trap enable---开启trap信息的发送
[Huawei]snmp-agent sys-info version v3----设置SNMP的版本为v3
[Huawei]snmp-agent target-host trap-hostname esight address 10.1.1.3 udp-port 161 trap-paramsname AR1----------定义NMS名称为eghist,NMS地址为10.1.1.3,端口为161,显示名称为AR1
[Huawei]snmp-agent target-host trap-paramsname AR1 v3 securityname test privacy ----在向NMS发送消息时,使用用户名test
[Huawei]snmp-agent usm-user v3 test test-group authentication-mode sha Free_123 privacy-mode aes128 huawei_123---定义登陆用户名为test,版本为v3,
存在组test-group中,用户名使用sha加密,加密密钥为Free_123,trap传送加密的长度为128位,密钥为huawei_123
[Huawei]snmp-agent group v3 test-group privacy----对组进行加密
十七. BFD:
Bidirectional Forwarding Detection,双向转发检测,解决现有的故障检测机制的不足而产生的,可以在相邻设备的转发引擎之间的通信通道上提供轻负荷的故障检测能力,并在发现故障时及时通知上层应用。BFD可以发现过的故障包括接口故障,链路故障,甚至可以是转发引擎本身的故障等。
注1:目前支持BFD的设备大多数提供的是毫秒级的检测
注2:由于BFD支持毫秒级的检测,所以在核心设备上使用BFD可以减少数据包的大量丢失,但在实际企业中,由于实际线路的影响和ISP的限流,可能会超出BFD的延迟,所以BFD的部署要根据实际情况
为了减小设备故障对业务的影响,提高网络的可靠性,网络设备需要能够尽快检测到与相邻设备间的通信故障,以便及时采取措施,保证业务继续进行。在现有网络中,有些链路通常通过硬件检测信号,如SDH告警,检测链路故障,但并不是所有的介质都能够提供硬件检测。此时,应用就要依靠上层协议自身的Hello报文机制来进行故障检测。上层协议的检测时间都在1秒以上,这样的故障检测时间对某些应用来说是不能容忍的。同时,在一些小型三层网络中,如果没有部署路由协议,则无法使用路由协议的Hello报文机制来检测故障。
BFD协议就是在这种背景下产生的,BFD提供了一个通用的标准化的介质无关和协议无关的快速故障检测机制。
常见的检测机制:
|
检测机制 |
缺点 |
|
硬件检测 |
快速检测;受限介质并非所有介质都能提供 |
|
慢Hello机制 |
检测速度为秒级,不适用于高速数据传输和时延敏感业务;依赖路由协议,例如OSPF需要2S、IS-IS需要1S |
|
其他 |
由各协议提供专用检测机制,无统一标准,难以部署 |
1. 优点:
① 对相邻转发引擎之间的通道提供轻负荷、快速故障检测。这些故障包括接口
数据链路,甚至有可能是转发引擎本身。
② 用单一的机制对任何介质、任何协议层进行实时检测。
③ 各个厂商相互兼容
④ 软件检测机制,对介质无要求
⑤ 基于毫秒级的检测,联动上层路由,告知故障,由路由协议进行故障的处理
2. 检测方式:
(1)单跳检测:
单挑检测指检测两台直连设备间转发链路的联通性。
单跳检测采用一种简单的方法来防止遭到欺骗(Spoofing)攻击。发送BFD控制报文时,携带的TTL或条数必须是255,如果收到TTL不是255的BFD报文,必须将这些报文丢弃。
注:双方发送基于UDP的BFD control报文进行检测
(2)多跳检测:
在多跳检测中,封装BFD控制报文的UDP报文的目的端口号位3784,源端口号取值范围时49152~65535,最新的BFD草案中,多跳检测的UDP目的端口号为4784。
多跳检测指检测两台非直连设备间任意路径的连通性,这些路径可以跨越多条,也可能在某部分重叠。
注:双方发送基于UDP的BFD control报文进行检测
3. 原理简介:
BFD在两台网络设备上建立会话,用来检测网络设备间的双向转发路径,为上层应用服务。BFD本身并没有邻居发现机制,而是靠被服务的上层应用通知其邻居信息以建立会话。会话建立后会周期性地快速发送BFD报文,如果在检测时间内没有收到BFD报文则认为该双向转发路径发生了故障,通知被服务的上层应用进行相应的处理。下面以OSPF与BFD联动为例,简单介绍会话工作流程。
(1)建立过程:
① OSPF通过自己的Hello机制发现邻居并建立连接
② OSPF在建立了新的邻居关系后,将邻居信息(包括目的地址和源地址等)通告给BFD
③ BFD根据收到的邻居信息建立会话。
④ 会话建立以后,BFD开始检测链路故障,并做出快速反应。
(2)检测过程:
① 被检测链路出现故障。
② BFD快速检测到链路故障,BFD会话状态变为Down。
③ BFD通知本地OSPF进程BFD邻居不可达。
④ 本地OSPF进程中断OSPF邻居关系。
4. BFD报文:
两端BFD使用BFD Control报文进行通告
① Protocol Version:协议版本
② Code:参数值
③ Flags:置位符
④ Detect Time Multiplier:死亡倍数
⑤ Message Length:报文长度
⑥ My Discriminator:LD值(本端标识)
⑦ Your Discriminator:RD值(对端标识)
⑧ Desired Min TX Interval:BFD发送间隔
⑨ Required Min RX Interval:BFD接收间隔
⑩ Required Min Echo Interval:恢复间隔
5. BFD状态:
BFD会话有四种状态:
① Down
② Init
③ Up
④ AdminDown:手动关闭
会话状态变化通过BFD报文的State字段传递,系统根据自己本地的会话状态和接收到的对端BFD报文驱动状态改变。BFD状态机的建立和拆除都采用三次握手机制,以确保两端系统都能知道状态的变化。
① Router A和Router B各自启动BFD状态机,初始状态为Down,发送状态为Down的BFD报文:
- 静态配置BFD会话,报文中的Remote Discriminator的值是用户指定的
- 动态创建BFD会话,Remote Discriminator的值是0。
② Router B收到状态为Down的BFD报文后,状态切换至Init,并发送状态为Init的BFD报文,Router B本地BFD状态为Init后,不会再处理接收到的状态为Down的报文。
③ Router A也同时接收到Router B的down报文,进入Init状态并发送Init报文
⑤ Router B收到状态为Init的BFD报文后,本地状态切换至Up。
⑥ Router A也会受到Router B的Init报文,进入UP状态
6. BFD会话建立方式:
BFD会话的建立有两种方式:
① 静态建立BFD会话
② 动态建立BFD会话
静态和动态创建BFD会话的主要区别在于本地标识符(Local Discriminator)和远端标识符(Remote Discriminator)的配置方式不同。BFD通过控制报文中的Local Discriminator和Remote Discriminator区分不同的会话。
① LD:本端标示符,表示本端BFD的名称
② RD:目标标示符,表示去往的目的地名称
(1)静态建立BFD会话:
静态建立BFD会话是指通过命令行手工配置BFD会话参数,包括配置本地标识符和远端标识符等,然后手工下发BFD会话建立请求。
(2)动态建立BFD会话:
动态建立BFD会话时,系统对本地标识符和远端标识符的处理方式如下:
① 动态分配本地标识符:
当应用程序触发动态创建BFD会话时,系统分配属于动态会话标识符区域的值作为BFD会话的本地标识符。然后向对端发送Remote Discriminator的值为0的BFD控制报文,进行会话协商。
② 自学习远端标识符:
当BFD会话的一端收到Remote Discriminator的值为0的BFD控制报文时,判断该报文是否与本地BFD会话匹配,如果匹配,则学习接收到的BFD报文中Local Discriminator的值,作为本地的Remote Discriminator,获取远端标识符。
7. BFD检测机制:
BFD的检测机制是两个系统建立BFD会话,并沿它们之间的路径周期性发送BFD控制报文,如果一方在既定的时间内没有收到BFD控制报文,则认为路径上发生了故障。
BFD检测机制分为以下两种:
① 异步模式
② 查询模式
(1)异步模式:
异步模式是BFD的主要操作模式,在这种模式下,BFD回话建立起来后,两个系统之间相互周期的发送BFD控制报文,如果某个系统在检测时间内乜有收到对端发来的报文,就认为此BFD回话状态是Down。
(2)查询模式:
查询模式是BFD的第二种操作模式,当一个系统存在大量BFD会话时,为防止周期性发送BFD控制报文开销影响到系统的正常运行,可以采用查询模式,在查询模式下,一旦BFD回话建立后,系统就不会再周期的发送BFD控制报文了,而是通过其他与BFD无关的机制检测联通性(比如路由协议的Hello机制、硬件检测机制等等),从而减少BFD会话带来的开销。
8. 单臂回声功能:
在两台直接相连的设备中,其中一台设备支持BFD功能。为了能够快速的检测这两台设备之间的故障,可以在支持BFD功能的设备上创建单臂回声功能的BFD回话。支持BFD功能的设备主动发起回声请求,不支持BFD功能的设备收到该报文后直接将其环回,从而实现转发链路的连通性检测。
9. BFD配置:
|
参数 |
缺省值 |
|
全局BFD功能 |
未使能 |
|
发送间隔 |
1000毫秒 |
|
接收间隔 |
1000毫秒 |
|
本地检测失效倍数 |
3 |
|
等待恢复时间 |
0min |
|
会话延迟UP时间 |
0S |
|
BFD报文优先级 |
7 |
(1)静态配置:
① 静态多跳配置:
注:地址为单播UDP报文,目标端口为3784
AR1:
[Huawei]bfd----------开启BFD
[Huawei]bfd AR1 bind peer-ip 192.168.2.2---配置本端ID名称为AR1,远端IP地址为192.168.2.2
[Huawei-bfd-session-ar1]discriminator local 10-----配置本端的LD为10
[Huawei-bfd-session-ar1]discriminator remote 20----配置对端RD为20
[Huawei-bfd-session-ar1]min-tx-interval 200-配置最小发送间隔为200毫秒
[Huawei-bfd-session-ar1]min-rx-interval 200-配置最最小接收时间为200毫秒
[Huawei-bfd-session-ar1]detect-multiplier 3---配置3倍最小接收时间超时
[Huawei-bfd-session-ar1]commit-------提交配置激活
AR3:
[Huawei]bfd----------开启BFD
[Huawei]bfd AR2 bind peer-ip 192.168.1.1---配置本端ID名称为AR2,远端IP地址为192.168.1.1
[Huawei-bfd-session-ar1]discriminator local 20-----配置本端的LD为20
[Huawei-bfd-session-ar1]discriminator remote 10----配置对端RD为10
[Huawei-bfd-session-ar1]min-tx-interval 200-配置最小发送间隔为200毫秒
[Huawei-bfd-session-ar1]min-rx-interval 200-配置最最小接收时间为200毫秒
[Huawei-bfd-session-ar1]detect-multiplier 3---配置3倍最小接收时间超时
[Huawei-bfd-session-ar1]commit-------提交配置激活
② 静态单跳配置:
注:地址为单播UDP报文,目标端口为3784
AR1:
[Huawei]bfd AR1 bind peer-ip 10.1.1.2 interface g0/0/0---基于接口的BFD
[Huawei-bfd-session-ar1]discriminator local 10-----配置本端的LD为10
[Huawei-bfd-session-ar1]discriminator remote 20----配置对端RD为20
[Huawei-bfd-session-ar1]min-tx-interval 200-配置最小发送间隔为200毫秒
[Huawei-bfd-session-ar1]min-rx-interval 200-配置最最小接收时间为200毫秒
[Huawei-bfd-session-ar1]detect-multiplier 3---配置3倍最小接收时间超时
[Huawei-bfd-session-ar1]commit-------提交配置激活
AR2:
[Huawei]bfd AR2 bind peer-ip 10.1.1.2 interface g0/0/0---基于接口的BFD
[Huawei-bfd-session-ar2]discriminator local 20-----配置本端的LD为20
[Huawei-bfd-session-ar2]discriminator remote 10----配置对端RD为10
[Huawei-bfd-session-ar2]min-tx-interval 200-配置最小发送间隔为200毫秒
[Huawei-bfd-session-ar2]min-rx-interval 200-配置最最小接收时间为200毫秒
[Huawei-bfd-session-ar2]detect-multiplier 3---配置3倍最小接收时间超时
[Huawei-bfd-session-ar2]commit-------提交配置激活
③ 静态二层链路检测配置:
根据组播地址直接检测二层链路
注:目标地址为组播地址(224.0.0.184),UDP端口为3784
LSW1:
[Huawei]bfd
[Huawei]bfd SW1 bind peer-ip default-ip interface g0/0/1
[Huawei-bfd-session-lsw1]discriminator local 10
[Huawei-bfd-session-lsw1]discriminator remote 20
[Huawei-bfd-session-lsw1]min-tx-interval 200
[Huawei-bfd-session-lsw1]min-rx-interval 200
[Huawei-bfd-session-lsw1]detect-multiplier 3
[Huawei-bfd-session-lsw1]commit
LSW2:
[Huawei]bfd
[Huawei]bfd SW2 bind peer-ip default-ip interface g0/0/1
[Huawei-bfd-session-lsw2]discriminator local 20
[Huawei-bfd-session-lsw2]discriminator remote 10
[Huawei-bfd-session-lsw2]min-tx-interval 200
[Huawei-bfd-session-lsw2]min-rx-interval 200
[Huawei-bfd-session-lsw2]detect-multiplier 3
[Huawei-bfd-session-lsw2]commit
④ 单臂回声配置:
注:单臂回声必须直连配置
AR1:
[Huawei]bfd
[Huawei]bfd AR1 bind peer-ip 192.168.1.2 interface g0/0/0 source-ip 192.168.1.1 one-arm-echo------配置单臂回声,对等体为
192.168.1.2,接口为G0/0/0,远端IP为192.168.1.1
[Huawei-bfd-session-ar1]discriminator local 10---配置本端LD为10,无需配置远端
[Huawei-bfd-session-ar1]min-echo-rx-interval 200----配置回声间隔时间为200毫秒
[Huawei-bfd-session-ar1]detect-multiplier 3---如果600毫秒(200*3=600)超时则失效
[Huawei-bfd-session-ar1]commit----提交激活配置
(2)联动配置:
① VRRP联动(静态):
第一步:配置静态BFD:
AR2:
[Huawei]bfd
[Huawei-bfd]delay-up 50------由于存在路由协议,所以配置延迟时间
[Huawei]bfd VRRP1 bind peer-ip 192.168.1.3 interface g0/0/1
[Huawei-bfd-session-vrrp1]discriminator local 10
[Huawei-bfd-session-vrrp1]discriminator remote 20
[Huawei-bfd-session-vrrp1]min-rx-interval 200
[Huawei-bfd-session-vrrp1]min-tx-interval 200
[Huawei-bfd-session-vrrp1]detect-multiplier 3
[Huawei-bfd-session-vrrp1]commit
AR3:
[Huawei]bfd
[Huawei-bfd]delay-up 50------由于存在路由协议,所以配置延迟时间
[Huawei]bfd VRRP2 bind peer-ip 192.168.1.3 interface g0/0/0
[Huawei-bfd-session-vrrp2]discriminator local 20
[Huawei-bfd-session-vrrp2]discriminator remote 10
[Huawei-bfd-session-vrrp2]min-rx-interval 200
[Huawei-bfd-session-vrrp2]min-tx-interval 200
[Huawei-bfd-session-vrrp2]detect-multiplier 3
[Huawei-bfd-session-vrrp2]commit
第二步:联动VRRP:
AR2:
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]vrrp vrid 1 track bfd-session 10 reduced 30—--------绑定静态组ID 10(为本地的LD)
AR3:
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]vrrp vrid 1 track bfd-session 10 increased 30—--------绑定静态组ID 10(为本地的LD)
② OSPF动态联动:
AR1:
[Huawei]bfd
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ospf bfd enable
[Huawei-GigabitEthernet0/0/0]ospf bfd min-rx-interval 200
[Huawei-GigabitEthernet0/0/0]ospf bfd min-tx-interval 200
[Huawei-GigabitEthernet0/0/0]ospf bfd detect-multiplier 3
AR3:
[Huawei]bfd
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ospf bfd enable
[Huawei-GigabitEthernet0/0/0]ospf bfd min-rx-interval 200
[Huawei-GigabitEthernet0/0/0]ospf bfd min-tx-interval 200
[Huawei-GigabitEthernet0/0/0]ospf bfd detect-multiplier 3
③ BGP动态联动:
AR1:
[Huawei]bfd
[Huawei]bgp 100
[Huawei-bgp]peer 192.168.1.2 bfd enable
[Huawei-bgp]peer 192.168.1.2 bfd min-rx-interval 200
[Huawei-bgp]peer 192.168.1.2 bfd min-tx-interval 200
[Huawei-bgp]peer 192.168.1.2 bfd detect-multiplier 3
AR2:
[Huawei]bfd
[Huawei]bgp 100
[Huawei-bgp]peer 192.168.1.1 bfd enable
[Huawei-bgp]peer 192.168.1.1 bfd min-rx-interval 200
[Huawei-bgp]peer 192.168.1.1 bfd min-tx-interval 200
[Huawei-bgp]peer 192.168.1.1 bfd detect-multiplier 3
十八. FRR:
Fast Reroute,快速重路由,是指当物理层或链路层检测到故障时将故障消息上报至上层路由系统,并立即启用一条备份链路转发报文。IP FRR是一种快速实现路由备份的方式。
在传统的IP网络上,转发链路出现底层故障后,最为直观的表现是路由器上的物理接口状态变为Down状态。路由器检 测到这种故障后,会通知上层路由系统进行相应更新,并重新计算路由。通常从链路故障发生到路由系统完成路由收敛(重新选择了一条可用的路由),要经历几秒钟的时间,但是对于网络上某些对延时、丢包等非常敏感的业务来说,秒级的收敛时间是不能忍受的,因为这将导致当前业务的中断。比如VoIP业务所能容忍的网络中断时间为毫秒级。
FRR特性能够保证转发系统快速应对出现的链路故障,直接启用备份路由进行数据转发,尽快让业务恢复正常。
1. FRR原理:
IP快速重路由针对被保护接口上的IP流量实时快速倒换,速度可达50ms之内。
注1:建议用于AR30系列或NE系列以上,负责低端设备无法承受
注2:链路之间是不等价的,否则会形成路由协议层面上的路由附载均衡
FRR原理是采用一个接口作为另外一个接口的备份,主链路和备份链路的路由都下发到FIB转发表象。主路径没有故障时,流量从主路径发送出去。当主路径接口失效时,或主用接口连接的邻居失效后,本路由器通过硬件技术或其他快速故障检测技术(如BFD)快速感知,如可通过BFD联动FRR,在路由收敛之前将通过这个接口转发的流量快速倒换到备份接口上。
① 网络中存在三条路径:主链路、本分链路、次优链路
② 流量会议主链路为主要路径进行转发,当主链路出现故障,BFD检测到后,立刻通知上层协议,根据FIB中的次优链路,进行链路的切换
③ 此时进行FRR链路的快速切换,由于50ms的时间会有数据的转发,所以在50ms内由备份链路进行代转发流量
④ 当主链路切换到备份次优链路后,会将备份链路的流量重新引入到次优链路上,实现数据的正常转发
注:如果实际网络中只有主链路和次优链路,此时不存在备份链路,则50ms的数据流量将丢失
2. OSPF IP-FRR:
OSPF IP FRR(Fast Reroute)利用LFA(Loop-Free Alternates)算法预先计算好备份链路,并与主链路一起加入转发表。当网络出现故障时,OSPF IP FRR可以在控制平面路由收敛前,将流量快速切换到备份链路上,保证流量不中断。从而达到保护流量的目的,因此极大的提高了OSPF网络的可靠性。
缺省情况下,在广播网络中,OSPF发送Hello报文的时间间隔为10秒钟;在NBMA网络中,发送Hello报文的时间间隔为30秒钟。并且,宣告邻居Down掉的时间即相邻路由器失效的时间一般配置为Hello报文间隔的4倍。若在相邻路由器失效时间内没有收到邻居发来的Hello报文,将会删除邻居。即路由器感知到邻居故障的时间最短也是秒级。在高速的网络环境中,这将导致报文大量丢失。
双向转发检测BFD(Bidirectional Forwarding Detection)就是为解决现有检测机制的不足而产生的。通过配置BFD可以设置毫秒级的时间检测间隔。使用BFD并不是代替OSPF协议本身的Hello机制,只是配合OSPF协议更快的发现邻接方面出现的故障,并及时通知OSPF重新计算相关路由以便正确指导报文的转发。
OSPF IP-FRR原理:
OSPF IP FRR利用LFA(Loop-Free Alternates)算法预先计算号备份链路,并与主链路一起加入转发表。当主链路出现故障时,OSPF IP FRR可以在控制平面路由收敛前将流量快速切换到备份链路上,保证流量不中断,从而达到保护流量的目的,因此极大的提高了OSPF的挽留过的可靠性。
LFA计算备份链路的基本思路是:以可提供备份链路的邻居为根节点,利用SPF算法计算出到目的节点的最短距离。然后,按照RFC6286规定的不等式计算出开销值最小且无环的备份链路。
OSPF IP FRR支持对需要加入IP路由表的备份路由进行过滤,通过过滤策略的备份路由才会加入到IP路由器中,因此,用户可以更加灵活的控制加入IP路由表的OSPF备份路由。将BFD回话和OSPF IP FRR进行绑定,当BFD检测到接口链路故障后,BFD会话状态会变为Down并触发接口进行快速重路由,将流量从故障链路切换到备份链路上,从而达到流量保护的目的。
实际案例分析:
OSPF IP FRR流量保护分为链路保护和节点链路双保护。其中,Distance_opt(X,Y)是指节点X到Y最短路径
链路保护:当需要保护的对象时讲过特定链路的流量时,流量保护类型为链路保护。链路开销必须满足不等式Distance_opt(N,D)< Distance_opt(N,S)+ Distance_opt(S,D)。其中,S是转发流量的源节点,N时备份链路的节点,D时流量转发的目的节点。
- OSPF IP FRR链路保护:
节点链路双保护(环路问题):
① 条件1:链路开销值必须满足不等式Distance_opt(N,D)< Distance_opt(N,S)+ Distance_opt(S,D)。其中,S是转发流量的源节点,
N时备份链路的节点,D时流量转发的目的节点。
注1:为Route N到Router D的开销<Router N到Router S + Router S到Router D的开销,当满足这个条件后,表示为无环,这条备份链路才会放入FIB表中。
注2:原因为当不满足上述公式,此时如果Router N走Router S去往Router D的路径小于Router S直接到Router D,此时主链路失效,Router S启用备份链路,走Router N,由于Router N发现走Router S去往Router D的路径由于走Router E的路径,会将数据包重新送回Router S,形成环路。
3. FFR+BFD联动OSPF配置:
① 配置OSPF
② 配置BFD:
AR1:
[Huawei]bfd
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ospf bfd enable
[Huawei-GigabitEthernet0/0/0]ospf bfd min-rx-interval 200
[Huawei-GigabitEthernet0/0/0]ospf bfd min-tx-interval 200
[Huawei-GigabitEthernet0/0/0]ospf bfd detect-multiplier 3
AR2:
[Huawei]bfd
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ospf bfd enable
[Huawei-GigabitEthernet0/0/0]ospf bfd min-rx-interval 200
[Huawei-GigabitEthernet0/0/0]ospf bfd min-tx-interval 200
[Huawei-GigabitEthernet0/0/0]ospf bfd detect-multiplier 3
③ 联动FRR:
[Huawei]ospf
[Huawei-ospf-1]frr-------OSPF下启用FRR
[Huawei-ospf-1-frr]loop-free-alternate------启用LFR(无环路径算法)
④ FRR联动BFD:
[Huawei-GigabitEthernet0/0/0]ospf bfd frr-binding
十九. Info-Center:
信息中心,也就是日志信息。
1. 日志分类:
设备中产生的信息分为三类:Log信息、Trap信息和Debug信息
|
信息类型 |
内容该描述 |
|
Log信息 |
Log信息主要记录用户操作、系统故障、系统安全等信息,包括用户日志、安全日志和诊断日志 a) 用户日志:记录用户操作和系统运行信息 b) 安全日志:记录包含账号管理、协议、防攻击和状态等内容的信息 c) 诊断信息:记录协助进行问题定位的信息 |
|
Trap信息 |
Trap信息是系统检测到故障而产生的通知,主要记录故障等系统状态信息。这类信息不同于Log信息,其最大特点是需要及时通知、提醒用户和对时间敏感 |
|
Debug信息 |
Debug信息是系统对设备内部运行的信息的输出,主要用于跟踪设备内部运行的轨迹。只有在设备上打开相模块的调试开关,设备才能产生Debug信息 |
2. 信息分级:
设备产生信息比较多时,用户较难区分哪些是正常运转的信息,哪些是出现故障需要处理的信息。对信息尽心分机,用户可以根据信息的级别进行粗略的判断,及时采取措施,屏蔽无需处理的信息,根据信息的严重等级或紧急程度,信息分为8个等级,显示值越小表示越严重。
注:在定义信息输入分级时,如果定义为5,表示0~5全部输出
|
显示值 |
验证等级 |
描述 |
|
0 |
Emergencies |
设备致命的异常,系统已经无法恢复正常,必须重启设备。如程序异常导致设备重启和内存的使用被检查出错误等 |
|
1 |
Alert |
设备重大的异常,需要立即采取措施。如设备内存占用率达到极限等 |
|
2 |
Critical |
设备的异常,需要采取措施进行处理或原因分析。如设备内存占用率低于下限阀值和BFD控制出设备不可达现象 |
|
3 |
Error |
错误的操作或设备的异常流程,不会影响后续业务,但是需要关注并分析原因。入用户的错误指令、用户密码错误和检测出错误协议报文等 |
|
4 |
Warning |
设备运转的异常点,可能引起业务故障,需要引起注意。如用户关闭路由进程、BFD探测的一次报文丢失和检测出错误协议报文、接口shut down等 |
|
5 |
Notification |
设备正常运转的关键操作信息。如邻居发现协议状态机的正常跳转等 |
|
6 |
Information |
设备正常运转的一般性操作信息,入用户使用display命令等 |
|
7 |
Debugging |
设备正常运转的一般性信息,用户无需关注 |
3. 信息输出:
设备产生的信息可以向远程终端、控制台、Log缓冲区、日志文件、SNMP代理等方向输出信息。为了便于各个方向信息的输出控制,信息中心定义了10条信息通道,通道之间独立输出,互不影响。用户可以根据自己的需要配置信息的输出规则,控制不同类别、不同等级的信息从不同的信息通道输出到不同的输出方向。
|
通道号 |
缺省通道名 |
输出方向 |
输出方向的描述 |
|
0 |
Console |
控制台 |
控制台,即通过Console口登陆设备的方式,可以接接受Log信息、Trap信息ebug信息 |
|
1 |
Monitor |
远程终端 |
远程终端,即通过VTY登陆设备的方式,可以接收Log信息、Trap信息、Debug信息、方便远程维护 |
|
2 |
Log Host |
日志主机 |
日志主机,可以接收Log信息、Trap信息、Debug信息。信息在日志主机上以文件形式保存,供随时查看 |
|
3 |
Trap buffer |
Trap缓冲区 |
Trap缓冲区,可以接受Trap信息 |
|
4 |
Log buffer |
Log缓冲区 |
Log缓冲区,可以接受Log信息 |
|
5 |
SNMP agent |
SNMP代理 |
SNMPdialing,可以接收Trap信息 |
|
6 |
Channel6 |
未指定 |
保留,可有用户指定输出方向 |
|
7 |
Channel7 |
未指定 |
保留,可有用户指定输出方向 |
|
8 |
Channel9 |
未指定 |
保留,可有用户指定输出方向 |
|
9 |
Channel9 |
日志文件 |
日志问价,可以接收Log信息、Trap信息、Debug信息 |
4. 日志格式:
(1)Log信息的输出格式:
(2)Trap信息的输出格式:
5. 输出配置:
注:华为设备默认不使用东八区,配置输出日之前需要首先配置时区和时间。
<Huawei>clock timezone BJ add 08:00:00
<Huawei>clock datetime 21:08:00 2015-10-12
[Huawei]info-center loghost 10.1.1.3 channel loghost-----定义log服务器地址为10.1.1.3,信息输出类型为loghost
[Huawei]info-center source OSPF channel loghost log level informational------定义输出源模块为ospf,输出类型为log,输出级别为inforational
[Huawei]info-center source VTY channel loghost log level informational
自定义输出:
[Huawei]info-center channel 6 name huawei
[Huawei]info-center source OSPF channel 6
二十. NetStream:
NetStream是一种基于网络流信息的统计技术,可以对网络中的业务流量情况进行统计和分析。
Internet网络的高速发展为用户提供了更高的带宽,支持的业务和应用日渐增多,企业客户需要对网络进行更加细致的管理和计费,这样就对流量统计分析提出了更高的要求。传统流量统计如SNMP、端口镜像等,由于统计流量方式不灵活存在局限性,无法满足对网络进行更细致的管理,因此需要一种新技术来更好的支持网络流量统计。
在这样的背景下,NetStream应运而生。通过NetStream,可以对网络中的业务流量和资源使用情况进行分类统计,并将统计信息发送至服务器(可以是专用的服务器,也可以是安装有NetStream网管软件的网管系统)进行更为详尽的统计分析。
传统流量统计:
|
流量统计方式 |
典型产品 |
缺陷 |
|
基于流统计方式: 网络设备在转发数据流量的同时,生成的流量信息,然后将流量信息通过UDP报文发送到指定IP机器的端口,网流分析软件实现对流量的分析 |
主要Flow协议 NetFlow NetStream sFlow IPFIX J-Flow |
通过设备本身的能力,支持 全网流量监控 |
|
SNMP协议: 网管通过SNMP协议获取设备MIb上的流量字节和包数信息,分析经过该设备的流量 |
MRTG HP OpenView NMS |
SNMP只能获得设备端口流量的字节数、包数,无法获得流量的发送和接收主机IP、端口、协议和DSCP信息,不 能深入分析基于应用和主机会话的流量 |
|
端口镜像: 通过设备上多个端口的流量copy到其中一个端口,将PC连接到该端口,通过PC上的抓包软件工具进行流量的分析 |
Sniffer Pro Wireshark等 |
浪费设备端口,分析的流量容易受镜像端口转发能力限制,超过转发能力就会产生丢包,对于无法镜像的端口 无能为力,且这种方式不方便分析整个网络的流量 |
|
物理层复制: 物理层通过分光器等硬件设备复制流量,发送至PC机,通过PC上的抓包工具进行流量分析 |
Sniffer Pro Wireshark等 |
原理与镜像类似,差别是不通过设备端口,需要单独购买价格昂贵的硬件设备;这种方式也不适合网络多点监控,无法分析整个网络的流量 |
1. 网络流量管理目标:
企业网路力量管理的目标为:
① 流量可视
② 异常可查
③ 规划可依
(1)流量可视:
- 哪个分支链路
- 哪个设备接口
- 哪个用户
- 什么应用
- 占用多少带宽
- 接口利用率告警的故障源是谁,什么应用?
- 谁正在使用未经授权的应用程序
- 现有的网络带宽,如何保证关键业务?
- 分支网络的应用带宽发展趋势如何?
- 被动扩容转为主动规划,运筹帷幄。
(2)异常可查:
(3)规划可依:
2. 流统计原理:
Flow是一个源IP地址、目的IP地址间传输的单项数据包流。
他们有如下共同属性:
① 源主机地址
② 源端口
③ 目的主机端口IP
④ 目的端口
⑤ IP协议
⑥ DSCP
⑦ 出入设备接口
当设备接收到第一个IP数据包时,一个Flow将被初始化,所有满足这个Flow的数据包都将增加该Flow的字节计数和包技数,通过UDP报文将该Flow的信息上传分析。
注:Flow默认不会全部将数据包上传,而是采用采样模式,华为设备默认为100个包中采样一次
3. NetStream报文:
NetStream由头和数据区构成,通过头部结构的version字段,可以区分数据区采用何种结构的数据,目前支持三种Version:5/8/9
|
版本 |
格式说明 |
优点比较 |
缺点比较 |
适用的统计方式 |
|
V5 |
报文格式固定,根据七原组产生的原始的统计记录 |
输出的字段丰富,可以把聚合前的流记录的所有字段都输出给NSC;NDE设备负责负荷较小;应用广泛,抑郁对接NSC |
格式固定且不扩展,数据量大,对NSC设备处理和数据存储性能要求高;NSC和NDA压力大 |
原始流统计输出 |
|
V8 |
报文格式固定,根据固定的聚合方式输出统计记录 |
数据量相对较小;承载内容略为简单,适合特定分析 |
格式固定且不可扩展;NDE设备完成聚合工作,负荷较重;增加新的聚合方式时,需要主机和网流收集器升级版本 |
聚合流统计输出 |
|
V9 |
报文格式基于模板,易扩展,可输出量中数据类型,一种是统计数据,第二种是选项数据 |
最灵活的输出格式,格式可以变化;基于RFC3954,可对接性号;可以用来输出聚合前的流记录,也可以输出聚合后的流记录 |
NA |
原始流、聚合流、灵活流统计输出 |
4. 华为设备NetStream支持:
① 实现方式:通过ASIC芯片完成1:1的采样、流量识别。CPU完成Flow的汇聚、上报,单个接口板可以独立完成报文的采集、流聚合和流输出的功能,支持完成的NetStream功能
② 默认采样比为100:1
③ 支持流格式:原始流、聚合流、灵活流
④ 统计性能:单个单板支持4K的flow流输出,约10G容量
⑤ 设备系列支持范围:S57、S77、S93、S97系列、E系列单板或等多
5. 网络流量分析方案:
① 流量经过NDE(流量输出器),NDE将流量进行采样(100:1),将采样的流量放入Cache(内存缓存)中
② 当Cache的老化时间超时后,流量会送入NTC(eSight中),NTC将流量汇聚送入NTC
③ NMC会对NTC中的流量进行分析并出图
6. NDE(流量输出器)采样模式:
|
采样模式 |
描述 |
|
随机报文采样 |
在此模式下,报文在配置数目间隔内被随机采样。即,如果报文间隔数配置为100,则每100个报文随机采样1个报 文。适用于有规律的流量(基于个数采样,采样第几个第几个包不一定) |
|
固定报文间隔采样 |
在此模式下,报文在配置数目间隔内被周期采样。即,如果报文间隔配置数为100,假设在第5个报文被采样后,则每隔100个报文都会再次采样,如第105个报文会再采集 一次,以此类推采样下去。适用于网络流量统计计费。(基于个数采样,固定采样第几个包) |
|
随机时间间隔采样 |
在此模式下,报文在配置时间间隔内被随机采样。即,如果报文间隔时间配置为100毫秒,则每100毫秒随机采样1 个报文。适用于有规律的流量。(基于时间采样,多少毫秒采样不一定) |
|
固定时间间隔采样 |
在此模式下,报文在配置时间间隔内被周期采样。即,如果报文间隔时间配置为100毫秒,假设在第5毫秒进行第一次采样后,则每隔100毫秒都会再次采样,如第105毫 秒时会再采集一次,以此类推采样下去。适用于网络流量较大的情况。(基于时间采样,固定时间采样) |
注:由于为100:1的比例,所以在送入eSight时会将采样数据包参数*100
7. NetSream流老化:
NetStream流老化是设备向NSC输出流统计信息的前提。设备启用NetStream功能后,流统计信息首先会被存储在设备的NetStream缓存区中。当存储在设备上的NetStream流信息老化后,设备会把缓存区中的流统计信息通过指定版本的NetStream输出报文发送给NSC。
|
老化分类 |
描述 |
|
按时老化:活跃流的老化 |
从第一个报文开始,一条流在指定的时间内一直能被采集到。流活跃时间超过设定的时长后,需要输出该流的统计信息,这种老化称为活跃流的老化。该种老化方式主要用于持续时间较长的流 量,定期输出统计信息。 注:华为推荐为1min |
|
按时老化:非活跃流 老化 |
从最后一个报文开始,一条流在指定的时间内没有被采集到(即在设定时长内统计到的报文数目没有增加),设备会向NetStream服务器输出该流的统计信息,这种老化称为非活跃的流老化。通过这种老化,可以清除设备上NetStream缓存区中的无用表项,充分利用统计表项资源。该种老化方式主用于短时流量,流量停 止则立即输出统计信息,节省内存空间。 |
|
由TCP连接的FIN和RST报文触发老化 |
对于TCP连接,当有标志为FIN或RST的报文发送时,表示一次会话结束。因此当一条已经存在的TCP协议NetStream流中流过一条标志为FIN或RST的报文时,可以立即把相应的NetStream 流老化掉。 |
|
统计字节超过限制时老化 |
NetStream缓存区中的流需要记录流过的报文字节数,当字节数量超过定义的变量上限时,该流就会溢出。所以系统在检测到某条流的字节统计超过限制(硬件的字节计数器是32比特,最大计数值为4294967295,约为3.9G字节)时,为了避免计数错误, 系统会立即自动把该流老化掉。 |
|
强制老化 |
用户可以通过执行命令强制将NetStream缓存区中所有流老化。 该功能主要用于老化条件尚未满足,但又需要最新的统计信息。或者NetStream业务发生异常,导致流缓存区中某些流始终不老 化。 |
8. NetStream配置:
NetStream如何对待数据流分为三种方式:
① 原始流统计信息输出
② 聚合流统计信息输出
③ 灵活流统计信息输出
(1)原始流统计信息输出:
原始流,表示根据数据流的七源组标识一条数据流,当七源组中有一项不匹配,将作为新的数据流进行采样。
① IPv4单播原始流统计:
AR2:
- 配置采样:
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ip netstream sampler fix-packets 50 inbound----配置采样模式为固定流采样,每50个数据包采样一次(入方向)
[Huawei-GigabitEthernet0/0/0]ip netstream sampler fix-packets 50 inbound----配置采样模式为固定流采样,每50个数据包采样一次(出方向)
- 配置流老化:
[Huawei]ip netstream timeout active 1---配置老化模式为活跃流老化,老化时间为1分钟(一直活跃1min则老化)
[Huawei]ip netstream timeout inactive 20---配置老化模式为非活跃遛流老化,时间为20min(当一段流结束传输并在20min后没有继续收到则被老化)
注:在网管工具上配置相应的采样比例为20
[Huawei]ip netstream tcp-flag enable----开启TCP的回话结束检测(当TCP回话结束后立刻将此TCP流老化)
- 配置原始报文统计信息输出:
[Huawei]ip netstream export source 10.1.1.1—配置流的输出地址(本路由器地址)
[Huawei]ip netstream export host 10.1.1.2 9996---配置接收流的地址和端口号(NTC、NMC地址)
- 配置报文版本格式:
[Huawei]ip netstream export version 9-----配置版本
- 使能接口NetStream统计共功能:
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ip netstream inbound
[Huawei-GigabitEthernet0/0/0]ip netstream outbound
(2)聚合流统计信息输出:
配置IPv4聚合流统计信息输出后,可以对IPv4业务流量根据聚合关键项完全相同的流统计信息进行汇总,从而得到对应的聚合流统计信息,并将统计信息发送至服务器进行更加详尽的分析。
① IPv4单播聚合流统计:
AR1:
注:基于目标地址相同的
[Huawei]ip netstream aggregation destination-prefix---—配置基于目标前
缀的模板
[Huawei-aggregation-dstpre]enable-----------------激活此模板
[Huawei-aggregation-dstpre]export version 9-------输出版本为9
[Huawei-aggregation-dstpre]ip netstream export source 10.1.1.1—从本端10.1.1.1地址接口输出报文
[Huawei-aggregation-dstpre]ip netstream export host 10.1.1.2 6000—配置目标地址和端口号
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ip netstream sampler fix-packets 200
Inbound---配置采样比为200(入接口)
[Huawei-GigabitEthernet0/0/0]ip netstream sampler fix-packets 200
Outbound---配置采样比为200(出接口)
[Huawei-GigabitEthernet0/0/0]ip netstream inbound
[Huawei-GigabitEthernet0/0/0]ip netstream outbound
二十一. NTP:
Network Time Protocol,网络时间协议,是TCP/IP协议族中的一个应用层协议。NTP用于在一系列分布式时间服务器与客户端之间同步时钟。NTP的实现基于IP和UDP。NTP报文通过UDP传输,端口号为123。
1. NTP原理:
NTP实现过程如下,Router A和Router B通过广域网WAN(Wide Area Network)相连,他们都有自己独立的系统时钟,通过NTP实现系统时钟的自动同步。
① Router A发送一个NTP报文给Router B,该报文中带有它离开Router A的时间戳10:00:00(T1)
② 此时NTP报文到达Router B时,Router B加上到达时间戳11:00:01(T2)
③ 此NTP报文离开 Router B时,Router B再加上离开时间戳11:00:02(T3)
④ Router A接收到该响应报文时,加上新的时间戳10:00:03(T4)
至此,Router A获得了足够信息来计算以下两个重要的参数:
NTP报文来回一个周期的时延:Delay=(T4-T1)-(T3-T2)
Router A相对Router B的时间差:Offset=(T2-T1)+(T3-T4)/2
Router A根据计算得到Delay为2S,Offset为1小时,Router A根据这些信息来设定自己的时钟,实现与Router B的时钟同步
2. 同步模式:
(1)单播服务器/单播客户端:
单播服务器/单播客户端运行在同步子网中层数较高层上,这种模式下,需要预先知道服务器的IP地址。
①客户端:运行在客户端模式的主机(简称客户端)定期向服务器端发送报文,报文中的Mode字段设置为3(客户端模式)。当客户端接收到应答报文时,客户端会进行时钟过滤和选择,并同步到时钟优先的服务器。客户端不管服务器端是否可达及服务器端的层数。运行这种模式的主机,通常是网络内的工作站,他们可以依照对方的时钟进行同步,但不会修改对方的时钟
②服务器:运行在服务器模式(简称服务器)的主机接收并回应报文,报文中的Mode字段设置为4(服务器模式)。运行在服务器模式的主机,通常是网络内部的网络服务器,他可以向客户端提供同步信息,但不会修改自己的时钟
注:只能同步时间,不能同步时区
AR1(服务器):
<Huawei>clock timezone BJ add 08:00:00---------修改时区
[Huawei]ntp-service enable
[Huawei]ntp-service refclock-master 3------------设置级别为3(越低越优先)
[Huawei]ntp-service authentication enable------开启NTP认证
[Huawei]ntp-service authentication-keyid 1 authentication-mode md5 huawei----配置密文认证为md5,密钥为huawei
[Huawei]ntp-service reliable authentication-keyid 1----该密钥为可信密钥
AR2(客户端):
<Huawei>clock timezone BJ add 08:00:00---------修改时区
[Huawei]ntp-service enable
[Huawei]ntp-service authentication enable------开启NTP认证
[Huawei]ntp-service authentication-keyid 1 authentication-mode md5 huawei----配置密文认证为md5,密钥为huawei
[Huawei]ntp-service reliable authentication-keyid 1------该密钥为可信密钥
[Huawei]ntp-service unicast-peer 192.168.1.2 authentication-keyid 1---配置NTP服务器为192.168.1.2,使用key ID1最为认证密钥
(2)对等体模式:
这种模式下,主动对等体和被动对等体可以相互同步,等级低(层数大)的对等
体向等级高(层数小)的对等体同步。
这种模式下,主动对等体会发起Mode字段为3(客户端模式)NTP报文,由被
动对等体相应4(服务器模式)的NTP报文。这一交互过程主要是为了获得网络
延迟,使两端设备进入对等体模式。
①主动对等体:运行在这一模式下的主机定期发送报文,报文中的Mode字段设置为1(主动对等体)。不考虑它的对等体是否可达以及对等体的层数。运行在这一模式下的主机可以向对方提供同步信息,也可以依照对方的时间信息通步本地时钟。
②被动对等体:运行在这一模式的主机接收并回应报文,报文中的Mode字段设置为2(被动对等体)。运行在被动对等体模式的主机可以向对方提供同步信息,也可以依照对方的时间信息同步本地时钟
(3)广播模式:
广播模式应用在有多台工作站、不需要很高的准确度的告诉网络。典型的情况是网络中的一台或多台时间服务器定期向工作站发送广播报文,广播报文在毫秒级的延迟基础上确定时间。
①广播服务器:运行在广播模式下,周期性向广播地址255.255.255.255发送时钟同步报文,报文中的Mode字段设置为5(广播模式)。不管他的对等体是否可达或层数是多少。运行在广播模式的主机通常是网络内运行高速广播介质的时间服务器,向所有对等体同步信息,但不会修改自己的时钟。
②广播客户端:客户端侦听来自服务器的时钟同步报文。当接收到第一个时钟同步报文,客户端与服务器交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文,即客户端先启用一个短暂的服务器/客户端模式与远程服务器交换消息,以获得客户端和服务器间的网络延迟。之后恢复广播模式,继续帧听时钟同步报文的到来,根据到来的时钟同步报文对本地时钟再次进行同步
AR1(服务器):
<Huawei>clock timezone BJ add 08:00:00---------修改时区
[Huawei]ntp-service enable
[Huawei]ntp-service refclock-master 3----设置级别为3
[Huawei]ntp-service authentication enable------开启NTP认证
[Huawei]ntp-service authentication-keyid 1 authentication-mode md5 huawei----配置密文认证为md5,密钥为huawei
[Huawei]ntp-service reliable authentication-keyid 1----该密钥为可信密钥
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ntp-service broadcast-server authentication-keyid 1—设置G0/0/0空位组播NTP报文发送口并使用认证密钥1
AR2、AR3(客户端):
<Huawei>clock timezone BJ add 08:00:00---------修改时区
[Huawei]ntp-service enable
[Huawei]ntp-service authentication enable------开启NTP认证
[Huawei]ntp-service authentication-keyid 1 authentication-mode md5 huawei----配置密文认证为md5,密钥为huawei
[Huawei]ntp-service reliable authentication-keyid 1----该密钥为可信密钥
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ntp-service broadcast-client---设置为客户端并从此接口接收广播NTP报文
(4)组播模式:
组播模式适用于有大量客户端分布在网络中的情况。通过在网络中使用NTP组播模式,NTP服务器发送的组播消息包可以到达网络中所有的客户端,从而降低由于NTP报文过多而给网络造成的压力。
①组播服务器:服务器端周期性向组播地址发送时钟同步报文,报文中的Mode字段设置为5(组播模式)。运行在组播模式的主机通常是网络内运行高速广播介质的时间服务器,向所有对等体提供同步信息,但不会修改自己的时钟。
②组播客户端:客户端侦听来自服务器的组播消息包。当客户端接收到第一个组播报文后,客户端与服务器交互Mode字段为3(客户端模式)和4(服务器模式)的NTP报文,即客户端先启用一个短暂的服务器/客户端模式与远程服务器交换消息,以获得客户端与服务器间的网络延迟。之后,客户端恢复组播模式,继续侦听组播消息包的到来,根据到来的组播消息包对本地时钟进行同步。
(5)多播模式:
多播模式适用于服务器分布分散的网络中。客户端可以发现与之最近的多播服务器,并进行同步。多播模式适用于服务器不稳定的组网环境中,服务器的变动不会导致整网中的客户端重新进行配置。
①多播服务器:多播服务器持续侦听报文。若某个服务器可以被同步,则服务器将使用客户端的单播地址返回报文(Mode字段设置为4)。
②多播客户端:多播模式下的客户端周期性地向IPv4/IPv6组播地址发送请求报文(Mode字段设置为3)。当客户端接收到应答报文时,客户端会进行时钟过滤和选择,并同步到时钟优选的服务器。
为了防止多播模式下,客户端不断的向多播服务器发送NTP请求报文增加设备的负担,协议规定了最小连接数的概念。多播模式下,客户端每次和服务器时钟同步后,都会记录下此次同步过程中建立的连接数,将调用最少连接的数量称为最小连接数。以后当客户端调动的连接数达到了最小连接数且完成了同步,客户端就认为同步完成;同步完成后每过一个超时周期,客户端都会传送一个报文,用于保持连接。同时,为了防止客户端无法同步到服务器,协议规定客户端每发送一个NTP报文,都会将报文的生存时间TTL(Time To Live)进行累加(初始为1),直到达到最小连接数,或者TTL值达到上限(上限值为255)。若TTL达到上限,或者达到最小连接数,而客户端调动的连接数仍不能完成同步过程,则客户端将停止一个超时周期的数据传输以清除所有连接,然后重复上述过程。
二十二. NQA:
Network Quality Analysis,网络质量分析,是设备上集成网络检测功能,不仅可以实现对网络运行情况的准确测试,输出统计信息,有效的节约成本。
NQA可以检测网络上运行的各种协议的性能,时运营商能够实时采集到各种网络运行指标,例如:HTTP的总时延、TCP连接时延、DNS解析时延、文件传输时延、FTP连接时延、DNS解析错误等等。
对于上述诸多类业务特性的检测,NQA时通过软件测试例来完成的。NQA把测试两端称为客户端和目的端,并在客户端发起测试,目的端接收报文后,返回给源端相应的回应信息。根据返回的回应信息,就可以了解相应的网络状况。
1. NQA原理:
(1)构造测试例:
NQA测试中,把测试两端称为客户端和服务器端(或者称为源端和目的端),NQA的测试是由客户端(源端)发起。在客户端通过命令行配置测试例或由网管端发送相应测试例操作后,NQA把相应的测试例放入到测试例队列中进行调度。
(2)启动测试例:
启动NQA测试例,可以选择立即启动、延迟启动、定时启动。在定时器的时间到达后,则根据测试例的测试类型,构造符合相应协议的报文。但配置的测试报文的大小如果无法满足发送本协议报文的最小尺寸,则按照本协议规定的最小报文尺寸来构造报文发送。
(3)测试例处理:
测试例启动后,根据返回的报文,可以对相关协议的运行状态提供数据信息。发送报文时的系统时间作为测试报文的发送时间,给报文打上时间戳,再发送给服务器端。服务器端接收报文后,返回给客户端相应的回应信息,客户端在接收到报文时,再一次读取系统时间,给报文打上时间戳。根据报文的发送和接收时间,计算出报文的往返时间。
2. NQA联动机制:
联动功能是指NQA提供探测功能,把探测结果通知其他模块,其他模块再根据探测结果进行相应处理的功能。目前实现了与VRRP、静态路由、备份接口、IGMP Proxy、IP地址池、DNS服务器和策略路由的联动。
以静态路由为例:
用户配置了一条静态路由,下一跳为192.168.0.88,如果192.168.0.88可达,该静态路由有效;如果192.168.0.88不可达,则该静态路由无效。通过在NQA和应用模块之间建立联动,可以实现静态路由有效性的实时判断。如果NQA发现192.168.0.88不可达,NQA将通知静态路由模块,静态路由模块可以据此判断该静态路由项无效。
注1:NQA和BFD的探测原理是一致的,唯一不同点时NQA发送的包为特定协议模拟的数据包,可以根据网络环境分析出当前某种协议数据包在传输时可
能出现的网路情况。
注2:NQA的联动性不如BFD,比如不能联动动态路由。
3. NQA配置:
NQA可以使用多种模拟协议数据包进行当前网络的测试,详见AR系列配置手册(“NQA原理→父路径→配置”)
(1)FTP测试配置:
AR1:
[RouterA] nqa test-instance admin ftp----配置NQA测试,管理员名字为admin,实例名为 FTP
[RouterA-nqa-admin-ftp] test-type ftp---测试类型为FTP
[RouterA-nqa-admin-ftp] destination-address ipv4 192.168.1.2—FTP地址
[RouterA-nqa-admin-ftp] source-address ipv4 192.168.1.1----测试源地址
[RouterA-nqa-admin-ftp] ftp-operation get-----测试动作为下载
[RouterA-nqa-admin-ftp] ftp-username huawei----用户名
[RouterA-nqa-admin-ftp] ftp-password Huawei----密码
[RouterA-nqa-admin-ftp] ftp-filename portalpage.zip----下载文件名称
[RouterA-nqa-admin-ftp] start now-------------启动测试
(2)联动静态路由:
如图:
AR1为企业边界路由器,配置默认路由优先走联通,如果联通链路失效,走电信,但是由于中间有交换机,所以如果1.2网段链路down掉,但是企业边界的路由器的G0/0/0依旧开启,此时默认路由就不会消失,数据包传递到LSW1,由于接口down掉,会直接将数据包丢弃,此时使用NQA联动静态路由探测链路状况,实现有效的路由修改。
① AR2----AR3使用路由协议实现ISP的互联:
② 配置NAQ检测联通线路:
- AR1联通探测:
[Huawei]nqa test-instance admin CNC—配置NQA检测实例,管理员为admin,实例名为CNC
[Huawei-nqa-admin-CNC]test-type icmp---检测类型为ICMP
[Huawei-nqa-admin-CNC]destination-address ipv4 192.168.1.2----探测地址
[Huawei-nqa-admin-CNC]frequency 7-----配置每7S探测一次对端
[Huawei-nqa-admin-CNC]probe-count 2---每次探测的包为2个
[Huawei-nqa-admin-CNC]interval seconds 3----探测包的间隔为3S
注:探测的频率>=包个数*探测时间间隔
[Huawei-nqa-admin-CNC]timeout 2----探测超时时间为2S
[Huawei-nqa-admin-CNC]start now-------立刻启动
- AR2移动测试:
[Huawei]nqa test-instance admin CTC—配置NQA检测实例,管理员为admin,实例名为CTC
[Huawei-nqa-admin-CNC]test-type icmp---检测类型为ICMP
[Huawei-nqa-admin-CNC]destination-address ipv4 192.168.2.2----探测地址
[Huawei-nqa-admin-CNC]frequency 7-----配置每7S探测一次对端
[Huawei-nqa-admin-CNC]probe-count 2---每次探测的包为2个
[Huawei-nqa-admin-CNC]interval seconds 3----探测包的间隔为3S
注:探测的频率>=包个数*探测时间间隔
[Huawei-nqa-admin-CNC]timeout 2----探测超时时间为2S
[Huawei-nqa-admin-CNC]start now---立刻启动
- 联动静态路由:
[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 preference 100 track nqa admin CNC----------配置默认路由去往联通(高优先级),联动
CNC
[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.2.2 preference 120 track nqa admin CTC----------配置默认路由去往电信(低优先级),联动
CTC
二十三. Track:
针对于非直连链路故障,下游设备时无法感知到的,所以当上行链路出现问题,下游设备依旧会把数据包送往这条链路上,导致数据丢包,针对此情况,使用Track进行联动可以实现非直连链路故障的检测。
1. 联动VRRP:
详见章节八
2. 联动NQA:
联动NQA可以实现非直连链路的探测,绑定静态路由可以实现自动切换,详见章节二十一
3. 联动BFD:
联动BFD可以实现协议的端到端快速探测,绑定VRRP、静态路由或IGP路由协议,实现快速收敛,详见十六