什么是PKI?PKI是Pubilc key infrastructure的缩写,公钥基础架构;通过公钥技术与数字证书保证信息安全的体系;该体系主要由公钥加密技术、数字证书、CA、RA等共同组成;该体系能够实现信息的机密性、完整性和身份验证,不可否认性; 阅读全文
GRE是Generic Routing Encapsulation的缩写,翻译成中文就是通用路由封装协议;该协议提供了将一种协议的报文封装在另一种协议报文中的机制,是隧道封装技术;GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全;该协议是一种三层VPN封装技术,在任意一种网络协议上传送任意一种其他网络协议的方法,解决了跨越异种网络的报文传输问题,异种报文传输的通道成为Tunnel(隧道); 阅读全文
Virtual Private Network,虚拟专用网络;所谓虚拟是指用户不需要拥有实际的专用长途数据线路,而是利用互联网链路建立自己的私有网络(当然内网中也可以建立隧道传递数据);所谓专用就是指用户可以自己定制一个符合自己需求的网络;VPN通过公共网络建立私有网络,并提供一定的安全性和服务质量保证;IETF草案对基于IP的VPN的定义是使用IP机制仿真出一个私有的广域网; 阅读全文
DHCP中继,顾名思义就是中继DHCP服务,使得DHCP能够跨多个广播域进行ip地址分配;我们知道DHCP默认是工作在一个广播域内,为一个广播域内的主机进行ip地址分配;DHCP信息以广播为主,路由器默认就是不转发广播,所以我们想要实现跨多个广播域或者路由器使用DHCP分配ip地址,我们就必须要在路由器或三层设备上开启dhcp中继;这里的DHCP中继就有点类似中间商代理;其主要作用就是代理dhcp,实现dhcp能够工作在更多的广播域,为更多网段的主机分配ip地址; 阅读全文
BFD是Bidirectional Forwarding Detection的缩写,翻译成中文就是双向转发检测;该技术主要用于通信链路故障检测;我们知道传统的链锯故障检测机制有硬件检测,比如通过SDH(Synchronous Digital Hierarchy,同步数字体系)告警检测链路故障,这种方式的优点就是很快发现故障,但不是所有介质都能提供硬件检测;其次就是我们比较熟悉的慢HELLO机制;所谓慢hello机制就是通过采用路由协议中的hello报文机制;这种检测机制检测到故障都需要一定的时间,且一般都是秒级;这样一来对于高速数据传输的核心链路,如果故障在超过1秒才检测出来,这会导致大量的数据丢失;对于延迟敏感的业务,例如语音业务,这肯定是不能接受的,并且这种慢hello机制是严重依赖路由协议;除此之外不同协议有时会提供专用的检测机制,但在系统间互联互通时,这种专用的检测机制通常难以部署; 阅读全文
配置跟踪需要在master上配置即可,因为在上游接口故障的情况下,如果我们没有配置跟踪,对应vrrp并不会切换,这样一来对应通信是没有问题,但是对于通信的路径,就不是最优了的,所以为了避免次优路径,当master的上游接口断掉以后,对应vrrp检测到以后,应该立即降低自己的优先级,让其backup成为master,完成切换从而避免次优路径的产生;这里需要注意后面的降低优先级数字必须满足降低后的优先级要小于backup;即现在master的优先级-reduced后面的数字要小于backup的优先级;除此之外还需要在backup上开启抢占;当然我们没有配置抢占华为vrp平台默认是开启了抢占; 阅读全文
VRRP:Virtual Router Redundancy Protocol,虚拟路由器冗余协议,一般路由器在网络中就是充当网关的作用,所以该协议也叫虚拟网关冗余协议;它能够将多台物理网关加入到一个设备组中,形成一台虚拟网关,承担物理网关的功能;只要设备组中有任意一台物理网关能够正常工作,虚拟网关就能正常工作;该协议有两个版本,v2和v3;v2基于IPV4,v3基于IPV6; 阅读全文
链路聚合是链路高可用的一种方式,它不仅可以有冗余备份的链路来提高链路的可靠性,同时也可以将多个链路聚合在一起,使得链路的带宽增加;我们知道随着网络规模不断扩大,用户对骨干链路的带宽和可靠性提出了越来越高的要求;在传统技术中,常用更换更高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽,但这种方案需要付出额外的费用,而且不够灵活;采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,来达到增加链路带宽的目的;在实现增大带宽目的的同时,链路聚合采用备份链路的机制,可以有效提高设备之间链路的可靠性; 阅读全文
我们知道RSTP在STP的基础上进行了改进,实现了网络拓扑快速收敛;但是由于局域网内所有vlan共享一棵生成树,因此被阻塞后的链路将不承载任何流量,无法实现vlan间流量的负载分担,从而造成带宽浪费;除此以外,部分vlan间通讯也可能出现次优路径;为了弥补STP和RSTP的这些缺陷,IEEE于2002年发布的802.1s标准定义了MSTP;MSTP兼容STP和RSTP,即可以实现快速收敛,又提供了数据转发的多条冗余路径,在数据转发过程中实现了VLAN数据的负载分担; 阅读全文
我们知道RSTP优化了STP收敛速度,同时也加入了边缘端口的机制,但是如果有人恶意使用stp特有的属性发起攻击,对于STP网络来说它也会造成网络不稳定;为了更好的保证RSTP协议在网络不稳定情况下,尽可能的保证流量的正常转发,在标准协议中新增了4中保护功能; 阅读全文
RSTP(Rapid spanning Tree Protocol,快速生成树协议),它是从STP发展而来,实现的基本思想和STP一致,都是通过阻断冗余链路来消除网络中可能存在的环路,同时当活动链路发生故障时,激活冗余链路及时恢复网络连通性,从而实现网络的可靠性;RSTP具备STP的所有功能,可以兼容STP;RSTP不同于STP,最大的特点就是比STP快;RSTP通过减少了端口状态、增加端口角色、BPDU格式及发送方式不同,当交换网络拓扑结构发生变化时,RSTP可以更快地恢复网络的连通性; 阅读全文
super-vlan只建立一个三层VLANIF接口,不包含物理接口(即回环接口),与之对应为网关;Super-VLAN负责实现所有Sub-VLAN共享一个三层接口的需求,使不同Sub-VLAN内地主机可以共用同一个网关;sub-vlan只包含物理接口,不建立三层VLANIF接口,隔离广播域;一个Super-VLAN可以包含一个或多个Sub-VLAN;它只映射物理接口,负责保留各自独立的广播域; 阅读全文
MUX VLAN 也是一种vlan隔离技术,相对于同VLAN内的端口隔离,它更灵活;它能实现部分VLAN间可以互通、部分VLAN间隔离,同时也可以实现VLAN内端口隔离;它也是通过vlan进行网络资源控制的一种机制,只适用于二层网络中,对同一网段的用户进行隔离(注意,是同一网段)和互通;简单说MUX VLAN实现了处于相同网段的设备划入不同VLAN后,虽然二层通信是隔离的,但可以和指定vlan通信,还可以实现禁止相同VLAN内地不同设备间的通信; 阅读全文
所谓代理ARP是指,如果ARP请求是从一个网络的主机发往同一网段,却不再同一物理物理网络上的另一台主机(即相互隔离的同一网段内的主机),那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程就叫做代理ARP(Proxy ARP);代理ARP屏蔽了分离的物理网络,使用户使用起来就好像在同一物理网络上一样;代理ARP可以分为两大类,一类是连接相同三层接口的本地代理和连接不同三层接口的普通代理arp; 阅读全文
所谓端口隔离就是指在同一vlan内端口之间的隔离,它是交换机端口之间的一种安全访问控制机制,配置端口隔离后,无论是那个vlan都不能互相通信; 阅读全文
我们知道在RPT里,所有组播数据流都会通过RP转发到接收者;对于一个RP来说,它可以同时服务于多个组播组,但一个组播组只能对应一个唯一的RP;所谓RP就是RPT(Rendezvous Point Tree)里的RP(Rendezvous Point),即汇合点;所有的组播源和接收者都是以该点为树根所形成的数据转发路径(RPT)来转发报文,组播源先向树根发送数据报文,之后的报文再向下转发到达所有接收者; 阅读全文
连接接收者的路由器向组播组对应的RP发送加入报文,该报文被逐跳送达RP,所经过的路径就形成了RPT的分支;组播源如果要想组播组发送组播数据,首先由于组播源侧DR负责向RP进行注册,把注册报文通过单播的方式发送给RP,该报文到达RP后触发构建SPT。之后组播源把组播数据沿着SPT发向RP,但组播数据达到RP后,被复制并沿着RPT发送给接收者; 阅读全文
PIM(Protocol Independent Multicast,翻译成中文就是协议无关组播);所谓协议无关是指给组播提供路由信息的可以是静态路由、RIP、OSPF、IS-IS、BGP等任何一种单播路由协议;这里的无关是指组播路由与是何种单播路由协议无关;只要通过单播路由能够产生对应组播路由表项即可;之所以PIM高度依赖单播来生成组播路由表项,是因为组播路由是利用单播路由表的路由信息进行组播报文RPF检查,从而来创建组播路由表项,转发组播报文; 阅读全文
RPF(Reverse Path Forwarding),反向路径转发;该机制主要作用是用来确保组播数据能够沿正确的路径传输,避免组播环路;工作过程大致是路由器收到组播数据报文后,只有确认这个数据报文是从自身连接到组播源的接口收到的才进行转发,否则丢弃;即路由器只有通过路由接口收到组播源的数据才会转发,其他非路由接口收到的数据均丢弃; 阅读全文
我们知道二层交换机在单播通信中的工作原理就是根据构建mac地址表来转发数据,如果二层交换机收到一个未知的单播或广播报文,那么它会泛洪出去;对于组播信息它会如何处理呢?其实二层交换机收到组播报文,默认情况下,它会把组播报文当作广播处理,即 收到组播报文,它会泛洪出去;这样一来对于接入同一二层交换机的组播客户端,在没有加入对应组播组的情况下也会照常收到组播源发送的组播报文;很显然,这无形是对那些不需要接收对应组播报文的客户端的带宽造成浪费,拥堵;为了解决这样的问题;igmp-snooping出现了;igmp-snooping的主要作用是嗅探组播信息,从而根据组播信息建立起组播mac地址表,从而实现隔离那些未加入对应组播组的客户端流量;简单讲就是,有了igmp snooping,在同一二层交换机收到对应组播报文,它不会全局泛洪,而是根据对应的组播mac表来转发数据,从而规避了全局泛洪所带来的困扰; 阅读全文
相对IGMPv1,IGMPv2使用独立的查询器选举机制;所有IGMPv2的路由器在初始状态时都认为自己是查询器,向本地网段内的所有主机和路由器发送普遍组查询报文;其他路由器在收到该报文后,将报文的源ip地址与自己的接口地址作比较;ip地址最小的路由器将被选举成查询器,其他路由器成为非查询器;如上图所示,RTA的接口ip地址小于RTB的接口ip地址,则RTA当选为查询器;IGMP的查询器和非查询器都会处理IGMP组加入信息,但是只有查询器负责发送查询报文;IGMP非查询器不处理IGMPv2离开报文;所有非查询器上都会启动一个定时器,如果在该定时器超时前收到了来自查询器的查询报文,则重置该定时器;否则就认为原查询器失效并发起新的查询器选举; 阅读全文
一个组播组就是一个ip地址,不代表具体主机,而是表示一系列系统的集合;主机加入某个主播组即声明自己接收目的为某个ip地址的报文;组播地址在ip地址中是属于D类地址;其范围是224.0.0.0至239.255.255.255;这个范围内的所有地址都属于组播地址;组播地址和广播地址都只能作为目标地址,不能成为源地址出现在网络通信中; 阅读全文
我们知道网络通信中分单播、组播、广播这三种;其中单播主要用在点到点通信中,而后者的广播和组播多用在点到多点的环境中;当网络中部署点到多点通信应用时,若采用单播时,网络传输的信息量与需要该信息的用户量成正比;即多份相同内容的信息发送给不同用户,对信息源及网络带宽都将造成巨大压力和浪费。若采用广播方式,无需接收信息的主机也将收到该信息,这样不仅信息安全得不到保障,同时造成同一网络中的信息泛滥;正是因为单播和广播不能很好的解决点到多点应用通信问题,ip组播技术有效地解决了单播和广播在点到多点应用中的问题;组播源只发送一份数据,数据在网络节点间被复制、分发,且只发送给需要该信息的接收者,即只有加入到对应组播中的成员才能接收到对应信息; 阅读全文
BGP团体属性是什么呢?简单讲BGP的团体属性是指标识具有相同特征的BGP路由;我们可以理解为具有相同标签的BGP路由;这个标签就是它的团体属性;只不过在BGP里不叫标签,而是叫团体属性;所以tag不是BGP属性,而团体属性(community)才是它的属性;团体属性主要作用是让BGP路由策略的应用更加灵活,降低维护管理的难度;不同的团体属性,它的作用各不相同; 阅读全文
AS-Path-Filter:从名字上就能知道该过滤器主要用于通过匹配AS-Path属性来进行路由过滤;对于满足过滤器的条件我们就做某种操作即可;对于as-path过滤器来说,它是通过正则表达式来匹配对应as-path;工作原理就是把对应路由的as-path当作字符串处理,满足正则表达式的路由进行拒绝或允许操作; 阅读全文
