华为综合学习资料-14-feature

《华为综合学习资料-14-feature》由会员分享，可在线阅读，更多相关《华为综合学习资料-14-feature（21页珍藏版）》请在装配图网上搜索。

1、 网络科技有限公司HUAWEI（HCNA HCNP HCIE）综合学习资料-14-featureCONTENTS目录一、HA（高可用性）31.1 HA概述31.2 BFD（Bidirectional Forwarding Detection双向转发检测）31.2.1 BFD原理31.2.2 BFD配置51.3 NSF（None Stop Forwarding不间断转发）81.3.1 GR10二、安全132.1 畸形报文攻击LAND攻击132.2 泛洪攻击TCP SYN泛洪攻击142.3 URPF技术142.4 IPSG（IP Source Guard IP源防护）技术152.5 ARP安全DA

2、I（Dynamic ARP Inspection动态ARP监测）17三、网络管理193.1 SNMP193.2 NQA（Network Quality Analyzer网络质量分析)213.3 NTP2214-feature一、 HA（高可用性）1.1 HA概述MTBF时间越长，可靠性越高MTTR恢复时间越短，比值越接近100%，即可靠性越高容错、冗余：从硬件层面提升网络的可靠性，例如双设备、双引擎、双电源等HA：从软件或协议层面提升网络的可靠性1.2 BFD（Bidirectional Forwarding Detection双向转发检测）1.2.1 BFD原理BFD是用于快速检测链路的连通

3、性的，收敛和响应时间比较短BFD可以和上层协议做联动，检测到链路故障后，可以触发上层协议例如VRRP切换网关、静态路由改变下一跳等会话建立起来后就会定期的交互BFD的控制报文，用于状态的检测发送周期默认为1000ms（1S），超时时间为3S检测IP链路：单跳检测：直连设备之间检测多跳检测：中间跨越多台设备检测动态路由协议：动态路由协议邻居之间检测断开的超时时间都是为秒级，而BFD可达到毫秒级，加快了收敛速度使用ospf建立邻居的地址来建立BFD的邻居关系1.2.2 BFD配置（1）单跳检测：bfd /全局启用BFDbfd A bind peer-ip default-ip interface

4、g0/0/0 /使用默认的组地址 BFD会话名 绑定对端IP 本地出接口discriminator local 1 /配置BFD会话的本地标识符 discriminator remote 1 /配置BFD会话的远端标识符 commit /提交配置dis bfd session all verbose /查看BFD会话的状态UP（2）多跳检测：bfdbfd A bind peer-ip 192.168.2.2 /绑定对端IPdiscriminator local 1 discriminator remote 1 commit（3）BFD FOR 静态：R1：bfdbfd a bind peer-

5、ip 10.1.1.2 /不区分大小写 discriminator local 1 discriminator remote 2min-tx-interval 10 /发送BFD报文的时间间隔为10ms commitip route-static 2.2.2.2 255.255.255.255 10.1.1.2 track bfd-session aip route-static 2.2.2.2 255.255.255.255 20.1.1.2 preference 100R2：bfdbfd a bind peer-ip 10.1.1.1 discriminator local 2 discr

6、iminator remote 1min-tx-interval 10 commitdis bfd session all /UP（4）BFD FOR BGP：R1：bfdbgp 10peer 10.1.15.13 bfd enablepeer 10.1.15.13 bfd min-rx-interval 300 min-tx-interval 300 /单位为msSW3：bfdbgp 10peer 10.1.15.1 bfd enablepeer 10.1.15.1 bfd min-rx-interval 300 min-tx-interval 300（5）BFD与接口联动：bfdbfd A

7、 bind peer-ip default-ip interface g0/0/0discriminator local 1 discriminator remote 1 commitbfd A process-interface-status /配置和接口联动 commit（6）BFD单臂回声功能：指定接收到回声信息的最小间隔时间，100ms（7）BFD FOR ospf：bfdospf bfd all-interfaces enable /打开ospf BFD特性的开关，建立BFD会话，即邻居关系达到full时，ospf为该进程下所有具有邻接关系的邻居建立BFD会话其他参数的指定：1.3

8、NSF（None Stop Forwarding不间断转发）通常情况下，路由器故障后，其路由协议层面的邻居会检测到它们之间的邻居关系Down掉，然后过段时间再次Up，这个过程被称之为邻居关系震荡。这种邻居关系的震荡将最终导致路由震荡的出现，使得重启路由器在一段时间内出现路由黑洞或者导致邻居将数据业务从重启路由器处旁路，从而导致网络的可靠性大大降低。不间断转发技术的目标就是为了解决上述路由震荡的问题，为此，需要满足以下要求：l 硬件要求：系统双主控RP冗余配置，即一块做主用主控板，一块做备用主控板，主用主控硬件要求：系统双主控RP冗余配置，即一块做主用主控板，一块做备用主控板，主用主控板重启，备

9、用主控板成为新的主板；分布式结构，数据转发和控制分离，有专门的线卡（接口板）用于数据转发。l 系统软件要求：主板正常运行的过程中，会把配置信息、接口状态信息备份到备用板；主备倒换的时候，接口板不需要重启，接口保持Up，接口板转发表不撤销。l 协议要求：要求各相关网络协议，如路由协议OSPF、IS-IS、BGP，其他协议如LDP、RSVP做扩展，具备优雅重启（GR）能力。（1）硬件要求：必须要有至少两块主控板分布式架构的设备：只有分布式设备才能实现NSF技术控制平面：主控板转发平面：接口板（2）软件要求：主控板会有主备，默认情况下，主控板主备之间切换时，会引起路由协议震荡，路由协议会重启，邻居关

10、系会断开并重新计算路由，势必会中断业务的转发（接口板的转发表叫FIB表，此表是通过主控板路由计算出来后下放下来的）为了让主备之间的倒换不会影响到接口板上的业务转发，主板上的配置信息等都会同步到备板上（3）协议要求：NSF要求相应的路由协议有一个优雅重启的能力（GR）ospf、isis、BGP、LDP等协议都支持GR1.3.1 GRGR（Graceful Restart，平滑重启）是一种在主备切换或协议重启时保证转发业务不中断的机制。其核心在于：设备进行协议重启时，能够通知其周边设备，使到该设备的邻居关系和路由在一定时间内保持稳定。在协议重启完毕后，周边设备协助其进行信息（包括支持GR的相关协议

11、所维护的各种拓扑、路由和会话信息）同步，在尽量短的时间内恢复到重启前的状态。在协议重启过程中不会产生路由振荡，报文转发路径也没有任何改变，整个系统可以实现不间断运行。OSPF GR的基本术语：l GR Restarter：发生协议重启事件且具有GR能力的设备。l GR Helper：和GR Restarter具有邻居关系，协助完成GR流程的设备。l GR Session：OSPF邻居建立时进行关于GR能力的协商，一般把GR能力协商过程称为GR Session。协商的内容包括双方是否都具备GR能力等。一旦GR能力协商通过，当协议重启时就可以进入GR流程。假设R1和R2原来有稳定的OSPF邻居关系

12、，并且R1、R2使能了GR能力，此时R1重启，则GR运行过程如下：l R1重启之后向R2发送Grace LSA。l R2收到R1发出的Grace LSA后，会维持与R1的邻居关系不变。l R1与R2进行Hello报文与DD报文交互和LSDB同步。由于GR过程中不能生成LSA，所以在LSDB同步过程中，如果R1从R2收到自己产生的LSA，直接存储下来并置上Stale标志。l 完成LSDB的同步之后，R1发送Grace LSA通知R2结束GR流程。R1进入正常OSPF流程，然后R1重新生成LSA，并删除那些置了Stale标志而又没有被重新生成的LSA。l R1在恢复所有路由信息后重新进行路由计算，

13、重新刷新FIB表。OSPF GR配置命令：l opaque-capability enable命令用来使能opaque-LSA（不透明的LSA）能力，从而OSPF进程可以生成Opaque LSA，并能从邻居设备接收Opaque LSA。l graceful-restart命令用来使能OSPF GR（平滑重启）功能。ospf的GR配置：ospf opaque-capability enable /支持9类LSA的能力 graceful-restart /开启ospf的优雅重启能力模拟器现象不对IS-IS GR同样包含GR Restarter、GR Helper和GR Session，概念和OSP

14、F GR相同。IS-IS为了支持GR特性在Hello报文中新增了Restart TLV字段，定义了三个定时器。l T1定时器类似于ISIS协议中的IIH定时器，当设备重启时在每一个接口上都会创建T1定时器，并周期性的发送Hello报文，直到在对应接口上收到Hello确认报文以及全部CSNP报文后，该接口上的T1定时器才会被取消。l T2定时器定义了设备重启后LSDB同步的最大等待时间。当某个Level的LSDB同步完成之后，相应Level的T2定时器就会被取消。如果T2定时器超时后LSDB还没有同步完成，则撤销T2定时器，GR失败。l T3定时器定义了设备重启过程的最大持续时间。如果T3定时器

15、超时后LSDB同步还没有结束，T3定时器被撤销，GR失败。假设R1和R2原来有稳定的IS-IS邻居关系，并且R1/R2均使能了GR能力，此时R1重启，则GR运行过程如下：l 当R1的IS-IS协议被重新全局使能时启动T2和T3定时器。当R1的接口重新up并使能协议时，在接口上启动T1定时器，并且发送Hello报文。l 当R2收到R1发出的Hello报文后，保持邻居R1的状态不变，立即一个Hello报文。之后，R2发送CSNP报文和LSP报文给R1以协助其进行LSDB同步。l 当R1在接口上收到了Hello报文以及接收到全部CSNP报文后就可以取消T1定时器，否则就周期性发送Hello报文，直到

16、收到Hello报文以及全部CSNP报文或者T1定时器达到最大超时次数才取消该接口的T1定时器。l 当LSDB同步完成之后，R1取消T2定时器。l 当所有T2定时器都取消之后就可以取消T3定时器，GR流程结束，正式进入IS-IS的正常流程。此时需要在所有接口上启动IIH定时器，以后就周期性的发送正常的Hello报文。l R1在恢复所有路由信息后重新进行路由计算，重新刷新FIB表。IS-IS GR配置命令：l graceful-restart命令用来使能IS-IS进程的平滑重启功能。二、 安全2.1 畸形报文攻击LAND攻击R1anti-attack abnormal enable /使能畸形报文

17、攻击防范功能，默认开启2.2 泛洪攻击TCP SYN泛洪攻击R1anti-attack tcp-syn enable /使能TCP SYN泛洪攻击防范功能，默认开启2.3 URPF技术根据路由表匹配数据包中的源IP，来判断来自源IP的流量是否合法int g0/0/0 urpf loose/strict acl 2000 /松散/严格模式，ACL中匹配的数据不进行URPF检测2.4 IPSG（IP Source Guard IP源防护）技术交换机上的技术根据绑定表来判断来自源IP、源MAC的流量是否合法绑定表的内容：IP、MAC、接口、vlan动态绑定表的形成DHCP snooping（PC必须

18、要通过DHCP获取地址）静态绑定表的形成手动配置（PC的地址是静态配置的）DHCP snooping：交换机在中间监听来自server返回的DHCP ACK报文，从而得知PC获得到的IP地址，形成DHCP动态绑定表：IP、MAC、接口、vlan交换机上启用的dhcp snooping之后，所有的接口默认都是非信任状态（非信任状态的接口不能接收DHCP的offer和ACK报文），所以在连接server的接口下应该开启：dhcp snooping trustdhcp snooping的作用：（1）结合交换机接口下的IPSG，可以检查PC伪造IP或MAC的问题（2）防止内网中有攻击者自己搭建DHCP

19、服务器，扰乱了IP地址的分配（3）防止针对DHCP服务器的DOS攻击（如果PC向DHCP服务器发出大量的DHCP报文，会造成服务器无法响应其他的合法用户，dhcp snooping可以限制PC发出的DHCP报文的速率）配置IPSG（动态用户绑定表）：dhcp enabledhcp snooping enablevlan 10 dhcp snooping enable ip source check user-bind enable /基于vlan或接口的配置，开启IPSG，该vlan内的所有接口下就自动启用了IPSG，该命令只能使用动态绑定表来检查报文ip source check user-

20、bind check-item IP MAC 接口 vlan /基于vlan或接口的配置，此命令只对动态绑定表生效，对静态绑定表不生效。对于静态绑定表，IPSG按照静态绑定表配置的表项进行完全匹配。dis ip source check user-bind /查看IP报文检查功能的配置信息配置IPSG（静态用户绑定表）：SW1user-bind static ip address 10.1.1.2 mac-address 0000-0000-0001 interface e0/0/0 vlan 10 /针对服务器的配置（服务器都是静态IP）vlan 10ip source check user

21、-bind enable /开启IPSG，该vlan内的所有接口下就自动启用2.5 ARP安全DAI（Dynamic ARP Inspection动态ARP监测）防止ARP欺骗攻击ARP欺骗攻击：攻击者在内网中发送大量的ARP响应报文，MAC地址为自己的MAC，IP地址伪造为网关的IP，这样当其他PC收到此ARP响应报文后，更新自己的ARP缓存表：网关的IP-攻击者的MAC，导致发送到网关的数据都转发给了攻击者ARP欺骗解决办法：（1）每个PC端静态绑定网关的IP和网关的MAC（2）每个PC端安装防止ARP欺骗的防火墙（3）通过接入交换机的DHCP snooping动态绑定表或静态绑定表检测P

22、C发送的ARP报文是否合法DAIint g0/0/0 arp anti-attack check user-bind enable /使能动态ARP检测功能（即对ARP报文进行绑定表匹配检查功能），默认关闭三、 网络管理3.1 SNMPSNMPv2c：增加了批量操作，一次性可以请求多个参数告警是需要服务器端确认回应的基于团体字符串进行认证（比较单一），消息是不加密的SNMPv3：基于用户名、密码进行认证，消息是加密的3.2 NQA（Network Quality Analyzer网络质量分析) NQA是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA

23、还提供了与Track和应用模块联动的功能，实时监控网络状态的变化。 NQA通过发送测试报文，对网络性能或服务质量进行分析，为用户提供网络性能参数，如时延抖动、HTTP的总时延、通过DHCP获取IP地址的时延、TCP连接时延、FTP连接时延和文件传输速率等。测试连通性方面类似于BFD，但收敛比BFD慢很多，NQA是秒级的，BFD是毫秒级的NQA可以模拟ping去测试到目的地的连通性BFD：主要是监控链路的连通性NQA：主要是对网络性能状况的分析，模拟业务流量然后分析结果3.3 NTP客户端先发起时间同步请求，携带自己的时间戳服务器回送报文时也打上自己的时间戳，并且将传输延迟和处理延迟都考虑进去（

24、提高时间的精准度）NTP同步的模式：（1）C/S模式：上层时间源对下层时间源提供时钟同步（2）对等体模式：同级的时间源之间互相同步对时，以精确度较高的一端时间为准（3）广播/组播模式：局域网中，网络设备通过广播/组播周期性去同步终端PC的时钟NTP服务器端配置：dis clock /查看当前的系统时间修改系统时间：clock timezone BJ add 8:00:00clock datetime 8:00:00 2014-01-16ntp-service refclock-master 3 /设置本地设备时钟作为NTP主时钟，层数为3(值越小表示时钟准确度越高),为其它设备提供同步时间nt

25、p-service authentication enable /开启NTP身份认证功能ntp-service authentication-keyid 1 authentication-mode md5 HWNTP /设置md5身份验证密钥，密钥ID号为1，密钥为HWNTPntp-service reliable authentication-keyid 1 /指定密钥是可信的int g0/0/1 /在该接口上发送NTP广播消息包，用1号密钥加密ntp-service broadcast-server authentication-key 1NTP客户端配置：ntp-service authentication enable /开启NTP身份认证功能，交换机默认开启了这个功能ntp-service authentication-keyid 1 authentication-mode md5 HWNTPntp-service reliable authentication-keyid 1int vlan 15ntp-service broadcast-client服务器端/客户端：dis ntp-service statusdis ntp-service sessions模拟器上NTP同步过一会儿会丢失，又重新同步，如此反复 21 / 21