第二周学习总结
day7 ACL、HDLC和PPP、PPPoE
华为把Qos跟ACL混在一起的,ACL是简单的流策略
还有种acl:命名acl(就是取个名字)
如果不与任一语句匹配,则它必与最后隐含的规则匹配
思科acl有个默认拒绝的内置命令,华为是默认允许
acl匹配成功不代表能转发,还得看具体条目
接口的同一个方向最多一个列表
列表调用时候要分清出入口:以数据流向为参照,进入接口是“inbound”出口是“outbound”(华为)
出:已经过路由器处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理
acl对路由器本身产生的数据包不起作用,只对转发的起作用
写规则应该按照具体到普通的次序来排列条目,条目从小到大(rule2000-xxxx)匹配
经常发生的放在不经常发生的前面(这两个都是效率提高的)
traffic-filter 流策略过滤的应用
https://blog.csdn.net/m0_37806112/article/details/82787426 ICMP类型字段(Type)以及代码字段(Code)对应表
HDLC和PPP原理及配置
异步传输是以字节为单位来传输数据,并且需要采用额外的起始位和停止位来标记每个字节的开始和结束。起始位为二进制值0,停止位为二进制值1。在这种传输方式下,开始和停止位占据发送数据的相当大的比例,每个字节的发送都需要额外的开销。
同步异步是串行的概念里面的
同步传输是以帧为单位来传输数据,在通信时需要使用时钟来同步本端和对端的设备通信。
DCE即数据通信设备,它提供了一个用于同步DCE设备和DTE设备之间数据传输的时钟信号。
DTE即数据终端设备,它通常使用DCE产生的时钟信号。
HDLC特点 同步传输协议 透明传输 全双工通信 传输可靠性 高数据传输 较灵活
PPP协议
帧结构中control是HDLC的帧是固定的
PPP协议是一种点到点链路层协议,主要用于在全双工的同异步链路上进行点到点的数据传输。
同异步链路:PPP既支持同步传输又支持异步传输
扩展性:例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE:PPPoE是一种把PPP帧封装到以太网帧中的链路层协议;经济的以太网+快捷的PPP=PPPoE;具有使用范围广、安全性高、计费方便的特点;
PPP链路建立五个阶段:(1)PPP链路建立准备阶段Dead(2)链路建立阶段Establish(3)认证阶段Authenticate(4)网络层协议阶段Terminate(5)链路终止阶段Network
PAP是明文认证,可以通过抓包分析用户密码
IPCP:IP控制协议
day8 PPPoE、IPEsc、GRE
处理最后一公里的问题
数字用户线路DSL是以电话线为传输介质的传输技术
DSLAM:数字用户接入复用器
BRAS:宽带远程接入服务器,BRAS是面向宽带网络应用的接入网关,位于骨干网的边缘层
人们通常把所有的DSL技术统称为xDSL,x代表不同种类的数字用户线路技术。目前比较流行的宽带接入方式为ADSL,ADSL是非对称DSL技术,使用的是PPPoE(PPP over Ethernet)协议。
PPPoE协议通过在以太网上提供点到点的连接,建立PPP会话,使得以太网中的主机能够连接到远端的宽带接入服务器上。PPPoE具有适用范围广、安全性高、计费方便等特点。
PPPoE是网络层协议
PPPoE报文是使用Ethernet格式进行封装的,Ethernet中各字段解释如下
Type:表示协议类型字段,当值为0x8863时表示承载的是PPPoE发现阶段的报文。当值为0x8864时表示承载的是PPPoE会话阶段的报文
PPPoE:会话阶段相当于PPP,我们主要配置发现阶段
PPPoE中客户机不需要配置ip用bras服务器分配(类似IPCP动态分配)
PPPoE会话建立过程:
发现阶段 获取对方以太网地址,以及确定唯一的PPPoE会话。
会话阶段 包含两部分:PPP协商阶段和PPP报文传输阶段。
会话终结阶段 会话建立以后的任意时刻,发送报文结束PPPoE会话。
PPPoE五种类型报文来建立和终结PPPoE会话
PADI:用户主机发起的发现初始报文
PADO:PPPoE服务器发起的发现提供报文
PADR:用户主机发起的发现请求报文;在接收到的所有PADO报文中PPPoE客户端选择最先收到的PADO报文对应的PPPoE服务器,并发送一个PADR报文给这个服务器。
PADS:PPPoE服务器发起的发现会话确认报文;PPPoE服务器收到PADR报文后,会生成一个唯一的Session ID来标识和PPPoE客户端的会话,并通过一个PADS报文把Session ID发送给PPPoE客户端。
PADT:两端都可发起的会话终止报文
PPPoE会话阶段可分为两个部分:PPP协商和PPP报文传输阶段
PPP协商和普通的PPP协商方式一致,分为LCP、认证、NCP三个阶段
PPP报文传输的数据包中必须包含在发现阶段确定的Session ID并保持不变
企业对网络安全性的需求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。
机密性(Confidentiality)指对数据进行加密保护,用密文的形式传送数据。
完整性(Data integrity)指对接收的数据进行认证,以判定报文是否被篡改。
防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
企业远程分支机构可以通过使用IPSec VPN建立安全传输通道,接入到企业总部网络
IPSec是网络层加密
SSL是应用层加密(web服务器)SSL更安全、容易实现、控制更精细,但是对C/S结构支持度不高,通常在B/S结构使用.
IPSec由三个协议组成
AH ESP IKE
AH协议:主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而,AH并不加密所保护的数据报。
ESP协议:提供AH协议的所有功能外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。
IKE协议:用于自动协商AH和ESP所使用的密码算法。(不一定用到,可以手工指定)
SA安全联盟定义了IPSec通信对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数。SA是单向的,两个对等体之间的双向通信,至少需要两个SA。如果两个对等体希望同时使用AH和ESP安全协议来进行通信,则对等体针对每一种安全协议都需要协商一对SA。
SA由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址、安全协议(AH或ESP)。
IPSec协议有两种封装模式:传输模式和隧道模式
IPSec传输模式的IP头部是不加密的,数据是隐藏的
AH必定在高层协议前面,ESP头部在高层协议前,尾部及认证字段在数据后
传输模式中,在IP报文头和高层协议之间插入AH或ESP头。传输模式中的AH或ESP主要对上层协议数据提供保护。
传输模式中的AH:在IP头部之后插入AH头,对整个IP数据包进行完整性校验。
传输模式中的ESP:在IP头部之后插入ESP头,在数据字段后插入尾部以及认证字段。对高层数据和ESP尾部进行加密,对IP数据包中的ESP报文头,高层数据和ESP尾部进行完整性校验。
传输模式中的AH+ESP:在IP头部之后插入AH和ESP头,在数据字段后插入尾部以及认证字段。
IPSec岁的模式是生成一个新的IP头部
AH与ESP头部在原IP头部前面,ESP尾部及认证字段在数据后
隧道模式中,AH或ESP头封装在原始IP报文头之前,并另外生成一个新的IP头封装到AH或ESP之前。隧道模式可以完全地对原始IP数据报进行认证和加密,而且,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。
隧道模式中的AH:对整个原始IP报文提供完整性检查和认证,认证功能优于ESP。但AH不提供加密功能,所以通常和ESP联合使用。
隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。
隧道模式中的AH+ESP:对整个原始IP报文和ESP尾部进行加密,AH、ESP分别会对不同部分进行完整性校验。
上面这段建议看ppt的图
兴趣流:特定用户的数据流
配置的步骤
1、配置网络通畅
2、定义数据流 可以通过配置ACL来定义和区分不同的数据流
3、创建IPSec安全提议 IPSec提议定义了保护数据流所用的安全协议、认证算法、加密算法和封装模式
4、配置IPSec安全策略 IPSec策略中会应用IPSec提议中定义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全策略都使用唯一的名称和序号来标识。IPSec策略可分成两类:手工建立SA的策略和IKE协商建立SA的策略。
5、在接口上应用
IPSec VPN用于在两个端点之间提供安全的IP通信,但只能加密并传播单播数据,无法加密和传输语音、视频、动态路由协议信息等组播数据流量。
通用路由封装协议GRE(Generic Routing Encapsulation)提供了将一种协议的报文封装在另一种协议报文中的机制,是一种隧道封装技术。GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全。
GRE本身不能加密所以常常与IPSec一起使用
GRE支持将一种协议的报文封装在另一种协议报文中。GRE用来对某些网络层协议如IPX(Internet Packet Exchange)的报文进行封装,使这些被封装的报文能够在另一网络层协议(如IP)中传输。GRE可以解决异种网络的传输问题。
GRE可以解决异种网络的传输问题。IPSec VPN技术可以创建一条跨越共享公网的隧道,从而实现私网互联。IPSec VPN能够安全传输IP报文,但是无法在隧道的两个端点之间运行RIP和OSPF等路由协议。GRE可以将路由协议信息封装在另一种协议报文(例如IP)中进行传输。
GRE隧道扩展了受跳数限制的路由协议(最多十五个,第十六个就学不到了)的工作范围,支持企业灵活设计网络拓扑。使用GRE可以克服IGP协议的一些局限性。例如,RIP路由协议是一种距离矢量路由协议,最大跳数为15。如果网络直径超过15,设备将无法通信。这种情况下,可以使用GRE技术在两个网络节点之间搭建隧道,隐藏它们之间的跳数,扩大网络的工作范围。
报文结构:
净荷:封装前的报文称为净荷
乘客协议:封装前的报文协议称为乘客协议
GRE封装协议/运载协议:以上两者封装后会封装GRE头部,GRE成为封装协议,也叫运载协议
传输协议:最后负责对封装后的报文进行转发的协议称为传输协议。
封装和解封装过程:
设备从连接私网的接口接收到报文后,检查报文头中的目的IP地址字段,在路由表查找出接口,如果发现出接口是隧道接口,则将报文发送给隧道模块进行处理。
隧道模块接收到报文后首先根据乘客协议的类型和当前GRE隧道配置的校验和参数,对报文进行GRE封装,即添加GRE报文头。
然后,设备给报文添加传输协议报文头,即IP报文头。该IP报文头的源地址就是隧道源地址,目的地址就是隧道目的地址。(这里配完后就会自动去找目标IP地址,是直连网段然后直接传输)
最后,设备根据新添加的IP报文头目的地址,在路由表中查找相应的出接口,并发送报文。之后,封装后的报文将在公网中传输。
接收端设备从连接公网的接口收到报文后,首先分析IP报文头,如果发现协议类型字段的值为47,表示协议为GRE,于是出接口将报文交给GRE模块处理。GRE模块去掉IP报文头和GRE报文头,并根据GRE报文头的协议类型字段,发现此报文的乘客协议为私网中运行的协议,于是将报文交给该协议处理。
C:校验和验证,发送方用GRE头和payload进行校验计算,并把值发送给接收方,接收方同样进行计算并进行对比校验和。启用该功能则进行校验,不启动则不进行校验,不要求双方校验状态必须一致。
Recursion:记录对报文进行GRE封装次数,一个数据报文最多封装3次,3次以上则丢弃,防止报文被无限封装。
关键字(Key)验证是指对隧道接口进行校验,这种安全机制可以防止错误接收到来自其他设备的报文。关键字字段是一个四字节长的数值,若GRE报文头中的K位为1,则在GRE报文头中会插入关键字字段。只有隧道两端设置的关键字完全一致时才能通过验证,否则报文将被丢弃。
Keepalive
GRE协议本身不具备检测链路状态功能
Keepalive检测功能用于检测隧道对端是否可达
我们要明确我们谈的是TCP的 KeepAlive 还是HTTP的 Keep-Alive。TCP的KeepAlive和HTTP的Keep-Alive是完全不同的概念,不能混为一谈。实际上HTTP的KeepAlive写法是Keep-Alive,跟TCP的KeepAlive写法上也有不同。
Keepalive检测功能用于在任意时刻检测隧道链路是否处于Keepalive状态,即检测隧道对端是否可达。如果对端不可达,隧道连接就会及时关闭,避免形成数据空洞。使能Keepalive检测功能后,GRE隧道本端会定期向对端发送Keepalive探测报文。若对端可达,则本端会收到对端的回应报文;若对端不可达,则收不到对端的回应报文。如果在隧道一端配置了Keepalive功能,无论对端是否配置Keepalive,配置的Keepalive功能在该端都生效。隧道对端收到Keepalive探测报文,无论是否配置Keepalive,都会给源端发送一个回应报文。(心跳包)
使能Keepalive检测功能后,GRE隧道的源端会创建一个计数器,并周期性地发送Keepalive探测报文,同时进行不可达计数。每发送一个探测报文,不可达计数加1。
如果源端在计数器值达到预先设置的值之前收到回应报文,则表明对端可达。如果计数器值达到预先设置的重试次数,源端还是没有收到回应报文,则认为对端不可达。此时,源端将关闭隧道连接。
day9 SNMP、RIP、OSPF
简单网络管理协议SNMP( Simple Network Management Protocol )可以实现对不同种类和不同厂商的网络设备进行统一管理,大大提升了网络管理的效率
SNMP用来在网络管理系统NMS和被管理设备之间传输管理信息。
SNMP是广泛应用于TCP/IP网络的一种网络管理协议。SNMP提供了一种通过运行网络管理软件NMS(Network Management System)的网络管理工作站来管理网络设备的方法。
SNMP支持以下几种操作:
NMS通过SNMP协议给网络设备发送配置信息。
NMS通过SNMP来查询和获取网络中的资源信息。
网络设备主动向NMS上报告警消息,使得网络管理员能够及时处理各种网络问题。
SNMP包括NMS,Agent和MIB等。典型的C/S结构
Agent是被管理设备中的一个代理进程。
MIB是一个数据库,它包含了被管理设备所维护的变量。
zabbix 和 cacti 网络监控软件
NMS是运行在网管主机上的网络管理软件。网络管理员通过操作NMS,向被管理设备发出请求,从而可以监控和配置网络设备。
Agent是运行在被管理设备上的代理进程。被管理设备在接收到NMS发出的请求后,由Agent作出响应操作。Agent的主要功能包括:收集设备状态信息、实现NMS对设备的远程操作、向NMS发送告警消息。
管理信息库MIB(Management Information Base)是一个虚拟的数据库,是在被管理设备端维护的设备状态信息集。Agent通过查找MIB来收集设备状态信息。
SNMPv1 实现方便,安全性弱。
SNMPv2c 有一定的安全性。 现在应用最为广泛。
SNMPv3 定义了一种管理框架,为用户提供了安全的访问机制。
SNMPv1:网管端工作站上的NMS与被管理设备上的Agent之间,通过交互SNMPv1报文,可以实现网管端对被管理设备的管理。SNMPv1基本上没有什么安全性可言。
SNMPv2c在继承SNMPv1的基础上,其性能、安全性、机密性等方面都有了大的改进。
SNMPv3是在SNMPv2基础之上增加、完善了安全和管理机制。SNMPv3体系结构体现了模块化的设计思想,使管理者可以方便灵活地实现功能的增加和修改。SNMPv3的主要特点在于适应性强,可适用于多种操作环境,它不仅可以管理最简单的网络,实现基本的管理功能,也可以提供强大的网络管理功能,满足复杂网络的管理需求。
SNMPv1定义了5种协议操作:
Get-Request:NMS从代理进程的MIB中提取一个或多个参数值。
Get-Next-Request:NMS从代理进程的MIB中按照字典式排序提取下一个参数值。
Set-Request:NMS设置代理进程MIB中的一个或多个参数值。
Response:代理进程返回一个或多个参数值。它是前三种操作的响应操作。
Trap:代理进程主动向NMS发送报文,告知设备上发生的紧急或重要事件。
SNMPv2c新增了2种协议操作:
GetBulk:相当于连续执行多次GetNext操作。在NMS上可以设置被管理设备在一次GetBulk报文交互时,执行GetNext操作的次数。
Inform:被管理设备向NMS主动发送告警。与trap告警不同的是,被管理设备发送Inform告警后,需要NMS进行接收确认。如果被管设备没有收到确认信息则会将告警暂时保存在Inform缓存中,并且会重复发送该告警,直到NMS确认收到了该告警或者发送次数已经达到了最大重传次数。
SNMPv3的实现原理和SNMPv1/SNMPv2c基本一致,主要的区别是SNMPv3增加了身份验证和加密处理。
NMS向Agent发送不带安全参数的Get请求报文,向Agent获取安全参数等信息。
Agent响应NMS的请求,向NMS反馈所请求的参数。
NMS向Agent发送带安全参数的Get请求报文。
Agent对NMS发送的请求消息进行认证,认证通过后对消息进行解密,解密成功后,向NMS发送加密的响应。
代理进程Agent使用UDP协议向NMS发送告警消息,目的端口号为162
路由器的路由条目决定路由器的工作效率,少的话,效率高(毕竟要匹配)
动态路由:以某种规则定期交递路由表,然后更新路由表(路由表变化会立刻发送一个报文宣告本路由器的路由表变化,让其他路由器及时学习)
RIP根据跳数判断
OSPF根据cost判断,cost基于接口带宽
收敛:使所有路由表都达到一致状态的过程
收敛速度就决定故障率更低,响应更快
小型网络用静态更方便,中型大型用动态更方便
按照路由执行的算法分类
距离矢量路由协议
依据从源网络到目标网络所经过的路由器的个数选择路由(跳数)
RIP、IGRP
链路状态路由协议
综合考虑从源网络到目标网络的各条路径的情况选择路由(cost)
OSPF、IS-IS
IS-IS协议:https://baike.baidu.com/item/is-is/930474?fr=aladdin
https://blog.csdn.net/sinat_27298703/article/details/46630509?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.control
矢量路由与链路状态路由的区别
矢量路由只是单纯的公告自己的路由表,而不关心路由表中路由记录状态是否良好,而且距离也有限制最大;跳数只有15,收敛很慢,而链路状态路由协议是指需要关心网络设备接口状态的一种路由协议
RIP协议30s更新
水平分割:当从一个接口学习到路由时不再将该路由从学习的接口转发回去,
而接口开启毒性逆转后,对于从对端收到的路由,再回传 回去时将路由的cost值置为16即将路由毒害掉。防止路由环路。因此默认开启了水平分割后就不需要再开启毒性逆转了,两个都开了的话默认毒性逆转生效
默认路由不能乱用:如果是没有的网段,就会一直在链路中直到TTL=0,占用大量资源
RIP度量值为跳数
最大跳数为15跳,16跳为不可达
RIP更新时间
每隔30s发送路由更新消息,UDP520端口
RIP路由更新消息
发送整个路由表信息
接口开启毒性逆转后,对于从对端收到的路由,再回传 回去时将路由的cost值置为16即将路由毒害掉。防止路由环路。
无类路由协议 192.168.11.1/30 带掩码的叫无类路由
rip宣告网段时,不需要指定子网掩码(自动判断),OSPF需要
rip v1版本不能识别192.168.1.4/30和192.168.1.0/30所以两个不能通信
同一个路由器可以配置多个rip进程(rip 1 rip 2)
存在老化时间(RA)的话说明是可以正常使用的,垃圾回收阶段(RG)路由表中没有 rip计时器中有
触发更新会直接进入RG阶段,防止环路
路由汇总(聚合):将网络前缀相同的连续IP地址组成“CIDR地址块”,使得一个地址块可以表示很多地址,减少路由表表项和路由器间的信息交换
注意:华为上需要把子网IP都宣告出去,对端才能学到,思科只需要宣告CIDR地址块
rip也需要把每个相连的路都宣告出去,否则只有接收的路由表,没有返回的
rip协议把报文发向 224.0.0.9的组播地址
day10 OSPF
OSPF参考:https://blog.csdn.net/ls19990712/article/details/100734908?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_title-6&spm=1001.2101.3001.4242
自治系统(AS)
内部网关协议(IGP)
外部网关协议(EGP)
AS:决定本系统使用哪种路由协议的单位
IGP:用于在单一AS内决策路由
EGP:用于在多个AS之间执行路由
IGP用来解决AS内部通信,EGP用来解决AS间通信
严格意义上来讲,BGP属于边界网关协议,因此只有EGP属于外部网关路由协议
OSPF区域:为了适应大型的网络,OSPF在AS内划分多个区域,每个OSPF路由器只维护所在区域的完整链路状态信息
OSPF的区域类型
骨干区域Area 0 :负责区域间路由信息传播的区域
非骨干区域-根据能够学习的路由种类来区分
标准区域:能够学习其他区域的路由,能学习外部路由
末梢区域(stub)
完全末梢(Totally stubby)区域
非纯末梢区域(NSSA)
区域ID:区域ID可以表示成一个十进制的数字,也可以表示成一个IP
OSPF将自己的链路发给全网,并且全网都是同一个链路信息图
域内通信量(Intra-Area Traffic)
单个区域内的路由器之间交换数据包构成的通信量
域间通信量(Inter-Area Traffic)
不同区域的路由器之间交换数据包构成的通信量
外部通信量(External Traffic)
OSPF域内的路由器与OSPF区域外或另一个自治系统内的路由器之间交换数据包构成的通信量
区域边界路由(ABR)
自治系统边界路由器(ASBR)
RouterID:唯一表示路由器的ID
Router ID选取规则
选取路由器loopback接口上数值最高的IP地址(最大IP地址)
如果没有loopback接口,在物理端口中选取IP地址最高的(最大IP地址)
也可以使用router-id命令指定Router ID
链路状态数据库的组成
每个路由器都创建了由每个接口、对应的相邻节点和接口速率组成的数据库
链路状态数据库中每个条目称为LSA(链路状态通告),常见的有六种LSA类型
Type1 路由器LSA 由区域内的路由器发出的(所有普通路由发给DR)
Type2 网络LSA 由区域内的DR发出的(宣告网络状态信息发给区域内普通路由器)
Type3 网络汇总LSA ABR发出的,其他区域的汇总链路通告(汇总交换)
Type4 ASBR汇总LSA ABR发出的,用于通告ASBR信息(告知区域内其他路由器ASBR位置)
Type5 AS外部LSA ASBR发出的,用于通告外部路由(外交官)
Type7 NSSA外部LSA NSSA区域内的ASBR发出的,用于本区域连接的外部路由(跟上面的区别是这里位于NSSA区域,上面是普通区域)
Metric:沿途更新的入向接口( inbound)的cost值的累加,ospf选路时候,这个值小的就是要选择的路径
DR--指定路由器,BDR--备份指定路由器。为了解决过多的邻接关系出现的,在ospf协议内通过hello机制选举产生dr和bdr,在同一个ospf区域中,每zhi个路由器都和dr,bdr相连,这样,当区域内的某一个路由器进行更新时,发送一个lsa到dr,再从dr发送到各个路由器,包括发送lsa给dr的源路由器,这样,有效的利用了网络带宽资源。
DR选举是基于端口的DR优先级进行选举的,默认情况下,接口优先级为1,值越高越优先,如果优先级相同,则比较Router ID 值越大越优先;如果路由器优先级被设置为0,他将不参与DR与BDR的选举,一般是业务量少的路由器或者不太行的路由器(要看拓扑图,在两台路由器设备直连的情况下是没意义的)
为了维护网络上邻接关系的稳定性,如果网路已存在DR BDR则新来的不会成为DR BDR,不管该路由器的Router Priority是否最大
ospf组播地址224.0.0.5、224.0.0.6
224.0.0.5成员使用、224.0.0.6DRBDR使用
OSPF数据包:承载在IP数据包内,使用协议号89
OSPF报文有五种
HELLO 用于发现和维持邻居关系,选举DR和BDR
DBD 交换LSA链路状态,用于向邻居发送摘要信息以同步链路状态数据库
LSR 链路状态请求报文,在路由器B收到包含新信息的DBD后发送,用于请求更详细的信息
LSU 链路状态更新报文,收到LSR后发送链路状态通告(LSA),一个LSU数据包可能包含几个LSA
LSACK 确认报文,确认已经收到LSU,每个LSA需要被分别确认
OSPF启动的第一个阶段是使用Hello报文建立双向通信的过程
失效(Down)状态:这是OSPF建立邻接关系的初始化状态,路由器没有与任何邻居交换信息
初始(init)状态:路由器的各个接口通过224.0.0.5发送Hello报文,例如当邻居路由器R2接收到R1发送的第一个Hello报文时就进入了lnit状态。
双向(2-Way)状态:收到第一个Hello报文的路由器R2发送一个Hello回应报文,该报文含有R1的ID,当R1接收到此报文后,就完成了双向通信的建立,DR和BDR的选举也是在该状态下完成的。其他路由器则是Drother。
OSPF启动的第二阶段是建立完全邻接关系
准启动(ExStart)状态:当存在DR和BDR时,路由器则处于此状态,在该状态下,DR和BDR与其他路由器建立邻接关系,
交换(Exchange)状态:DRother和DR 开始交换数据库描述包(DBD),数据中包含了数据库中的LSA条目的摘要信息,主/从路由器之间交换DBD时要确双方都能够接收到。
加载(Loading)模式:收到DBD更新的LS条目信息后,路由器将发送对方链路状态请求包LSR,请求更加详细的信息,对方路由器用链路状态更新包LSU回应该LSR,LSU需要对方确认收到
当路由器之间完成了数据库同步,他们的数据库数据已经完全一致,此时通过最短路径优先算法SPF来计算到达目的网络的最佳路径并形成路由表进行转发数据。
首先双方通过HELLO建立邻居,达到TWO-WAY状态,并选举DR,BDR,进入EXSTAR状态再发送空的DBD报文选举主从关系,接着进入EXCHANGE状态,被选为主的路由器先发送DBD报文,从路由器收到对比自己的路由表然后发送LSR(链路状态请求报文),主收到以后就回复LSU(里面装的是请求的路由条目)。
LSACK是对LSR LSU进行确认的报文
末梢区域(STUB)
没有LSA4、5、7通告,即没有ASBR没有外部区域,但可以学习到
没有那些路由条目也还有办法通信,
完全末梢区域
除一条LSA3的默认路由通告外,没有LSA3、4、5、7通告,即不能学习到其他区域路由,一般设置在ASBR的区域
要求:满足以下条件的区域可以设置为末梢区域或完全末梢区域
1、只有一个默认路由作为其区域的出口
2、区域不能作为虚链路的穿越区域
3、Stub区域里无自治系统边界路由器ASBR
4、不是骨干区域Area 0
末梢区域和完全末梢区域的作用,其主要目的是减少区域内的LSA条目以及路由条目,减少对设备CPU和内存的占用
末梢区域和完全末梢区域中ABR会自动生成一条默认路由发布到末梢区域或完全末梢区域中。
NSSA区域是OSPF RFC的补遗
定义了特殊的LSA类型7
提供类似stub area和totally stubby area的优点
可以包含ASBR
OSPF链路状态通告
LSA7(NSSA External LSA, NSSA外部LSA)
NSSA区域重分发路由类型
N1、N2经过NSSA区域ABR后转换为E1、E2
NSSA区域主要是给ASBR所在区域设置
宣告路由时候时候边界路由往area0宣告
理解路由重分发:
为了可以通信,需要在不同协议进程之间相互引入
一个单一IP路由协议是管理网络中IP路由的首选方案
华为vrp能执行多个路由协议,每一个路由协议和该路由协议所服务的网络属于同一个自治系统
华为vrp使用路由重分发特性以交换由不同协议创建的路由信息
(默认情况下不同协议是不能通信的)
路由重分发的考虑:度量值,管理距离
重分发到OSPF域中路由的路径类型
E1:算到边界路由的cost + 外部路由的cost
E2:只算外部路由的cost
需要明确区域间路由汇总配置配置在ABR上,而外部路由汇总配置在ASBR上。
修改ospf x开销:ospf cost xx,关键是修改哪个接口
在ospf中 loopback默认开销是0
day11 IPV6、IS-IS、
IPv6报文由IPv6基本报头、IPv6扩展报头以及上层协议数据单元三部分组成(加数据四个部分)。基本报头总共40字节,IPv4 有20个字节
IPv6增加了扩展报头,使得IPv6报头更加简化。一个IPv6报文可以包含0个、1个或多个扩展报头,仅当需要路由器或目的节点做某些特殊处理时,才由发送方添加一个或多个扩展头。IPv6支持多个扩展报头,各扩展报头中都含有一个下一个报头字段,用于指明下一个扩展报头的类型。这些报头必须按照以下顺序出现:
IPv6基本报头
逐跳选项扩展报头
目的选项扩展报头
路由扩展报头
分片扩展报头
认证扩展报头
封装安全有效载荷扩展报头
目的选项扩展报头(指那些将被分组报文的最终目的地处理的选项)
上层协议数据报文
除了目的选项扩展报头外,每个扩展报头在一个报文中最多只能出现一次。目的选项扩展报头在一个报文中最多也只能出现两次,一次是在路由扩展报头之前,另一次是在上层协议扩展报头之前。
在扩展头中还包含了上层协议类型、加密、身份验证
用16进制表示,F=1111占4位,是32位 IP地址
可表示范围是00:-----FFFF:FFFF:FFFF:FFFF:(网络前缀,IPv6地址前缀用来标识IPv6网络)FFFF:FFFF:FFFF:FFFF接口ID用来标识接口(后64位)
IPV6地址压缩规则:
每16比特组中的前导0可以省略。
地址中包含的连续两个或多个均为0的组,可以用双冒号“::”来代替。
需要注意的是,在一个IPv6地址中只能使用一次双冒号“::”,否则,设备将压缩后的地址恢复成128位时,无法确定每段中0的个数。
冒号十六进制表示法
把128比特划分成8段,每段为16比特用十六进制表示
CDCD:910A:2222:5498:8475:1111:3900:2020
1030:0:0:0:C9B4:FF12:48AA:1A2B
2000:0:0:0:0:0:0:1
压缩表示法
将多个连续分段的0用双冒号表示
2000::1
地址前缀表示法(网段表示法)
23E0:0:A4:/48 路由前缀
23E0:0:A4:/64 子网前缀
少于64位前缀要么是路由前缀要么是地址范围
路由器发现功能是IPv6地址自动配置功能的基础,主要通过以下两种报文实现:
都是ICMP报文
网络节点向相连的路由器发送RS,请求地址前缀信息。
路由器通过发送路由器通告RA,回复地址前缀信息。
DHCPv3,OSPFv3
IS-IS也属于内部网关路由协议,用于自治系统内部。
用的SPF最短路径优先算法进行路由计算
早期不支持TCP/IP
有2种路由选择级别:
L1:负责在同一个区域内传递链路状态信息(相当于OSPF的LSA 1和2)
L2:负责在不同的区域间相互传递链路状态信息。(相当于OSPF的LSA3)
3.三种路由器:
普通区域路由器:设备只与属于同一区域的Level-1和Level-1-2设备形成邻居关系,并且只负责维护Level-1的链路状态数据库LSDB
骨干路由器:设备可以与同一或者不同区域的Level-2设备或者其它区域的Level-1-2设备形成邻居关系,并且只维护一个Level-2的LSDB
过渡路由器ABR:L1-2能同时获取域内和域间路径。设备会为Level-1和Level-2分别建立邻居,分别维护Level-1和Level-2两份LSDB
同时属于Level-1和Level-2的路由器称为Level-1-2路由器
Level-1-2路由器维护两个LSDB,Level-1的LSDB用于区域内路由,Level-2的LSDB用于区域间路由。
它可以与同一区域的Level-1和Level-1-2路由器形成Level-1邻居关系,也可以与其他区域的Level-2和Level-1-2路由器形成Level-2的邻居关系。
Level-1路由器必须通过Level-1-2路由器才能连接至其他区域。
ospf转isis: 加上为运营商设置的区域ID,每段IP地址不足三位的在前面补0,最后每四位为一段即可,加上默认参数00
area xxx区域
router ID:x.x.x.x
如49.0010.00x0.0x00.x00x.00
适用于超大型网络:运营商等
配置时候:默认都是L1-2
IS-IS,L2默认给L1默认路由,不分发路由条目给L1
IS-IS 需要在区域间(ABR上)重分发(L1与L2级别间)
华为上路由聚合在L1-2上的L1级别不行
汇总相当于计算出共同网络前缀,然后通过自身的啥共享出去
isis cost <1-63>改cost值
isis-table中 cost最大73
cost统计:
1.在R1看R3的回环口cost值为:R3回环口的cost值+到R2接口的G0/0/1+R1的G0/0/1口的cost值
2.回环口的cost值默认为0,可通过"isis cost 10"命令修改接口cost值
day12 华为防火墙、防火墙NAT
防火墙本质是控制
下一代防火墙(NGFW)的主要变化:
多功能叠加
安全网关UTM
防火墙:隔离流量
杀毒软件:检测数据内容是否有木马等
DMZ Trust Local UNtrust华为上的四大区域
在华为防火墙上,一个接口只能加入到一个安全区域中
不同的网络受信任的程度不同,在防火墙上用安全区域来表示网络后,怎么来判断一个安全区域的受信任程度呢?在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100,Trust区域的安全级别是85,DMZ区域的安全级别是50,Untrust区域的安全级别是5。
DMZ来放对外访问的服务器的
低级别访问高级别是inbound流量
高级别访问低级别是outbound流量
思科:高级别默认可以访问低级别
华为:高低级别默认不可以互访
防火墙上提供了Local区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收。
Local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于Local区域。也就是说,报文通过接口去往某个网络时,目的安全区域是该接口所在的安全区域;报文通过接口到达防火墙本身时,目的安全区域是Local区域。
Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。
在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100,Trust区域的安全级别是85,DMZ区域的安全级别是50,Untrust区域的安全级别是5。
任意两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图,大部分的安全策略都需要在安全域间视图下配置。
安全域间这个概念用来描述流量的传输通道。它是两个“区域”之间的唯一“道路”,如果希望对经过这条通道的流量进行控制,就必须在通道上设立“关卡”,也就是安全策略。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。
通常情况下,通信双方一定会交互报文,即安全域间的两个方向上都有报文的传输。而判断一条流量的方向应以发起该条流量的第一个报文为准。
通过设置安全区域,防火墙上的各个安全区域之间有了等级明确的域间关系。不同的安全区域代表不同的网络,防火墙成为连接各个网络的节点。以此为基础,防火墙就可以对各个网络之间流动的报文实施管控。
如果没有配置任何安全策略,防火墙是不允许报文在安全区域之间流动的。
缺省包过滤是对所有报文都生效的缺省的安全策略。默认情况下,缺省包过滤的动作是拒绝通过。(华为都是默认拒绝通过)
实现包过滤的核心技术是访问控制列表。
包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过,它认为报文都是无状态的孤立个体,不关注报文产生的前因后果
“逐包检测”机制,即对设备收到的所有报文都根据包过滤规则每次都进行检查以决定是否对该报文放行,严重影响了设备转发效率,使包过滤防火墙成为网络中的转发瓶颈。
先进行会话检测,在生成会话表
状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。为数据流的第一个报文建立会话,数据流内的后续报文直接根据会话进行转发,提高了转发效率。
通过会话中的五元组信息可以唯一确定通信双方的一条连接。
防火墙将要删除会话的时间称为会话的老化时间。
一条会话就表示通信双方的一个连接。防火墙上多条会话的集合就叫做会话表
五元组:协议,源地址:源端口,目的地址:目的端口
会话是通信双方的连接在防火墙上的具体体现,代表两者的连接状态,一条会话就表示通信双方的一个连接。防火墙上多条会话的集合就叫做会话表(Session table)。
会话是动态生成的,但不是永远存在的。如果长时间没有报文匹配,则说明通信双方已经断开了连接,不再需要该条会话了。此时,为了节约系统资源,防火墙会在一段时间后删除会话,该时间称为会话的老化时间。
安全策略是按一定规则控制设备对安全域间的流量进行转发和内容安全一体化检测的策略。
规则的本质是包过滤。
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。
防火墙能够识别出流量的属性,并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作。
如果动作为“允许”,则对流量进行内容安全检测。如果内容安全检测也通过,则允许流量通过;如果内容安全检测没有通过,则禁止流量通过。
如果动作为“禁止”,则禁止流量通过。
一体化检测是指对一条流量的内容只进行一次检测和处理,就能实现包括反病毒、入侵防御在内的内容安全功能。由于一体化检测的高效性,我们往往可以通过配置较宽泛的安全策略条件来匹配一类流量,然后再通过各种内容安全功能来保证网络安全。用于下一代防火墙(NGFW)
NGFW安全策略构成
条件 动作 配置文件
多个用户共享少量公网地址访问Internet的时候,可以使用源NAT技术来实现。
源NAT技术只对报文的源地址进行转换。
黑洞路由:为了避免外网用户访问global地址但是没有匹配到Server-Map的报文,在GNFW和router之间形成路由环路。
根据采用的攻击报文类型的不同,网络中目前存在多种DDoS攻击类型。NGFW可以防范以下几种常见的DDoS攻击:SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood和SIP Flood攻击。
最常见的DoS((Denial of Service))攻击就是我们常常提到的单包攻击。这类攻击一般都是以个人为单位的黑客发动的,攻击报文也比较单一,虽然破坏力强大,但是只要掌握了攻击的特征,防御起来还是比较容易的。
单包攻击包括扫描类攻击、畸形报文类攻击和特殊报文类攻击。
扫描类攻击主要包括IP地址扫描和端口扫描,IP地址扫描是指攻击者发送目的地址不断变化的IP报文(TCP/UDP/ICMP)来发现网络上存在的主机和网络,从而准确的发现潜在的攻击目标。端口扫描是指通过扫描TCP和UDP的端口,检测被攻击者的操作系统和潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。(手机信息)
畸形报文类攻击是指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP报文时发生错误,或者造成系统崩溃,影响目标系统的正常运行。主要的畸形报文攻击有Ping of Death、Teardrop等。
而扫描类攻击在防御过程中比较消耗防火墙的性能,所以不建议开启。
NGFW的应用行为控制:
使用限制:
应用行为控制功能受License控制。License激活前,应用行为控制功能可配置,但不生效。当License过期后,应用行为控制功能不可用。
文件上传大小/文件下载大小限制对支持断点续传的文件上传/下载无效。
HTTP文件下载控制项用来控制采用HTTP协议进行文件下载的操作,如在文件下载页面选择专用的下载工具(如BT、电驴等)进行下载,将无法对下载工具进行控制。
应用行为控制常用于企业内部对内网用户的上网(HTTP)行为和FTP行为进行管理。
应用行为控制配置思路:
1. 创建应用行为控制的配置文件(Profile),并在其中设置需要控制的行为选项。
2. 在安全策略中创建规则(Rule),并在其中设置需要生效的域、用户、时间等信息。
3. 在规则(Rule)中引用应用行为控制配置文件(Profile)即可生效。
网站默认80端口,改成其他端口的话每次访问都要加端口,就很麻烦
FTP多通道协议,有主动和被动的传输方式,遇到使用随机协商端口的协议,单纯的包过滤方法无法进行数据流定义
特殊报文类攻击是指攻击者利用一些合法的报文对网络进行侦察,这些报文都是合法的应用类型,只是正常网络很少用到。主要的特殊报文攻击有超大ICMP报文控制、Tracert和时间戳选项IP报文控制等。
Sever-map表
由于某些特殊应用会在通信过程中临时协商端口号等信息,所以需要设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证这些应用的正常通信。这个功能称为ASPF应用层报文过滤(Application Specific Packet Filter),所创建的会话表项叫做Server-map表。
对于多通道协议,例如FTP,ASPF功能可以检查控制通道和数据通道的连接建立过程,通过生成server-map表项,确保FTP协议能够穿越设备,同时不影响设备的安全检查功能。
Server-map表相当于在防火墙上开通了“隐形通道”,使得像FTP这样的特殊应用的报文可以正常转发。当然这个通道不是随意开的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。
Server-map通常只是用检查首个报文,通道建立后的报文还是根据会话表来转发。
Server-map表在防火墙转发中非常重要,不只是ASPF会生成,NAT Server等特性也会生成Server-map表。
黑洞路由:为了避免外网用户访问global地址但是没有匹配到Server-Map的报文,在GNFW和router之间形成路由环路。但有一些问题
浙公网安备 33010602011771号