导图社区 H3CSE广域网
- 210
- 5
- 0
- 举报
H3CSE广域网
H3CSE完全覆盖广域网全部知识点,可做笔记。随着应用的发展,各种需求不断出现。作为企业IT系统基础的计算机网络,其未来的发展适应企业业务和应用对IT系统越来越高的要求。
编辑于2021-06-02 09:40:50- H3CSE广域网
- 相似推荐
- 大纲
H3CSE广域网
宽带接入技术
企业网的宽带接入技术需求
接入互联网
接入分支机构
宽带接入技术关键概念
宽带
高数据传输速率的网络
没有统一指标
应用在CPN(用户网)到CO(局端)之间,俗称“最后一公里”
主要的宽带接入技术
DSL技术
ADSL
以太网接入
EPON
EPCN
Cable Modem
广电网络
无线接入
WLAN
4G
卫星通讯
电力宽带
以太网接入
PPPOE技术
原理
将PPP帧封装为以太网帧,使PPP帧可以在以太网上进行传输;同时让以太网可以具备ppp的功能
工作阶段
Discovery阶段
协商PPPOE的Session——ID,用来区分不同的逻辑点到点链路
PPP Session阶段
在PPPOE的Session中进行PPP协商
LCP协商
身份验证
NCP协商
以太网接入的问题
传输距离问题
VPN概述
技术背景
通过专线连接分支机构成本高昂
通过PSTN拨号成本高,速率低
VPN定义
虚拟专用网
利用共享的公共网络构建私有专用网络
优势
部署简单快捷
与私有网络一样提供安全性、可靠性和可管理性
通过Internet互联,不受地理位置限制,成本低
隧道技术
定义
使用一种协议去封装另外一种协议
相关概念
载荷数据
被封装的原始数据
载荷协议
被封装在内层的协议
封装协议
对载荷协议封装的方式
承载协议
再次封装的外层协议
VPN分类
按照工作层次分类
2层VPN
L2TP VPN
3层VPN
GRE VPN
IPsec VPN
4层VPN
SSL VPN
按照使用场景分类
Site-to-Site VPN
LAN-to-LAN VPN
站点到站点VPN
用于连接不同分支机构
Access VPN
用于连接单个移动用户接入到公司内网
L2TP VPN
SSL VPN
GRE VPN
定义
GRE
通用路由封装
在任意一种网络协议上传送任意一种其他网络协议的封装方法
GRE VPN
直接使用GRE封装建立GRE隧道,在一种协议的网络上传送其他协议
IP over IP 的 GRE VPN
使用公有IP来封装私有IP
公网IP头部使用47标识GRE头部
GRE头部使用0x0800标识私网IP头部
GRE VPN工作流程
1.隧道起点查找私网路由,数据包发往Tunnel口
2.数据包在Tunnel口进行封装公网IP头部
3.根据公网IP头部查找路由表,并转发
4.数据包在公网进行传输
5.查找公网路由并解除公网IP头部封装
6.隧道终点查找私网路由并转发至目的主机
优点
支持多种协议
支持组播,所以可以在隧道中运行路由协议
配置简单,部署容易
缺点
点到点隧道,多站点部署复杂
静态配置隧道参数,配置复杂
缺乏安全性
不能隔离地址空间
多Tunnel口冗余
主隧道转发数据,备用隧道处于空闲状态
需要开启Keepalive来检测隧道运行状态
相关命令
[h3c]interface tunnel 'id' mode gre
创建GRE隧道口
[h3c-Tunnel0]source 'ip-address/interface-name'
指定隧道用于封装的源地址
[h3c-Tunnel0]destination 'ip-address/interface-name'
指定隧道用户封装的目的地址
[h3c-Tunnel0]keepalive 'interval' 'times'
配置隧道保活
数据安全基础
数据安全四要素
机密性
完整性
身份验证
不可抵赖
数据加密
作用
解决数据机密性的问题
算法分类
对称加密
加密和解密使用同一个密钥
一旦密钥泄露,数据将会泄露
非对称加密
原理
加密和解密使用不同密钥
使用公钥加密,就只能使用私钥解密
使用私钥加密,就只能使用公钥解密
密钥
公钥
在网络中公开的密钥
私钥
独立保存的密钥,不公开
安全性高,但是处理效率低
混合加密
使用非对称加密来保护对称加密的密钥协商阶段
使用对称加密密钥来保护数据传输
数字签名
作用
解决数据完整性问题
解决身份验证问题
基于非对称加密
工作原理
数据发送方根据报文摘要计算出HASH值
数据发送方使用本端私钥对HASH值进行加密后,附加在报文中传输
数据接收方使用发送方的公钥对HASH值进行解密
成功解密,则确认对方身份
解密失败,则判断为身份系伪造
数据接收方对报文摘要自行计算出HASH值,与发送方附加的HASH值进行对比
对比一致,则数据完整
对比不一致,则数据被篡改
数字证书
作用
解决不可低赖性问题
技术背景
非对称加密和数字签名本身无法验证公钥的真伪
需要权威第三方来统一下发和管理公钥
定义
一个经证书颁发机构数字签名的包含公开密钥拥有者信息和公钥的文件
数字证书由证书证书颁发机构下发
包含用户身份、用户公钥、证书期限
PKI体系
定义
一个签发证书、传播证书、管理证书、使用证书的环境
PKI体系保证了公钥的可获得性、真实性、完整性
CA
证书颁发机构
接受用户的证书请求、签发用户证书、注销用户证书
RA
证书注册机构
IPsec
定义
一种网络层的安全保障机制
提供访问控制、数据机密、完整性校验、数据源验证、拒绝重放报文等安全功能
支持多种验证算法、加密算法和密钥管理机制
配置复杂、消耗资源、不支持组播
IPsec体系
工作模式
传输模式
实现端到端的保护,不建立隧道
隧道模式
实现站点到站点保护,建立VPN隧道
安全协议
负责保护数据
AH
头部校验
IP协议号51
提供数据的完整性校验和源验证
不提供数据加密功能
无法穿透NAT
AH对整个新的IP报文做校验,所以NAT修改IP地址后,将导致校验值改变
ESP
封装安全载荷
IP协议号50
可提供数据加密功能
可提供数据完整性校验和源验证
可以穿透NAT
ESP不对新的IP头部做校验,所以NAT修改数据头部后不会影响校验结果
密钥管理
手工配置密钥
IKE协商密钥
IPsec SA
定义
IPsec安全联盟
定义了一套对某些数据流进行保护的方案
包含保护协议、算法、密钥
来源
手工建立
IKE协商
IKE
定义
网络密钥交换协议
功能
用于保护密钥传输和密钥的自动协商
IPsec隧道建立流程
第一阶段
IKE SA协商
协商出保护第二阶段的保护方案
如IPsec SA手工建立,则无第一阶段
第二阶段
Ipsec SA协商
在IKE SA的保护下,协商出保护数据传输的方案
UDP 500端口
第一阶段协商模式
主模式
6次握手,更加安全可靠
由于身份信息在第5 6 次握手中被加密,导致主模式只能通过公网IP地址识别对方身份;双方必须都具有固定公网IP地址
野蛮模式
3次握手,速度更快
身份信息在第1 2次握手传递,野蛮模式只加密第3次握手;某一端可以不具有固定公网IP地址,双方通过FQDN来标识对端身份
必须由IP地址不固定的一端主动发起协商
第二阶段协商模式
快速模式
出站IPsec SA
入站IPsec SA
IPsec工作流程
出站流程
1.数据包到达出接口,查找IPsec策略
2.根据IPsec策略查找对应IPsec SA
找到则执行对应安全服务
未找到则查找IKE SA
3.查找IKE SA
找到则在IKE SA的保护下创建IPsec SA,并执行安全服务
未找到则创建IKE SA
4.创建IKE SA之后,在IKE SA的保护下,创建IPsec SA,并执行安全服务
入站流程
1.数据包到达入接口,查看该数据是否被IPsec保护
否则直接交由上层处理
是则查找对应IPsec SA
2.查找IPsec SA
未找到则丢弃数据包
找到则使用IPsec SA解开封装,获得原始数据
NAT穿透
因为ESP/AH只是三层封装,没有四层头部,所以无法被NAT转换端口
NAT穿透是在ESP头部前再封装一个UDP4500端口的四层头部
IPsec VPN端口
UDP500
未使用NAT穿透
UDP4500
使用NAT穿透
VPN部署模式
双臂模式
又称网关模式,指把VPN部署在公网出口设备上
单臂模式
指把VPN部署在内网中,需要住公网出口设备上配置端口映射至VPN设备
减轻公网出口设备的资源消耗和性能负担
IPsec VPN配置流程
1.配置感兴趣流(可选)
IPsec VPN使用感兴趣流来抓取私网数据包
源地址是本端私网网段
目的地址是对端私网网段
建议使用高级ACL配置
野蛮模式下,公网IP固定的一端不用配置
2.配置IKE名称(可选)
野蛮模式下,必须通过名称来识别对端身份
3.创建IKE提议
配置IKE协商的算法和密钥协商方法
默认采用预共享密钥协商
4.创建预共享密钥
可使用IP地址和FQDN名称来识别对端
5.创建IKE模板
配置协商模式为主模式/野蛮模式
主模式下则配置本端和对端公网地址
野蛮模式下则配置对端FQDN名称
调用IKE提议
调用预共享密钥
6.创建IPSEC转换集
配置保护协议
配置工作模式
配置验证算法
配置加密算法
6.创建IPsec策略模板(可选)
调用感兴趣流
调用IKE模板
调用IPsec转换集
配置对端地址
7.创建IPsec策略
已经创建了IPsec模板
绑定IPsec策略模板
未使用IPsec模板
调用感兴趣流
调用IKE模板
调用IPsec转换集
配置对端地址
8.在公网接口下发IPsec策略
IPsec VPN嵌套
GRE over IPsec
特征
数据包先发往Tunnel口封装GRE,再发往公网口封装IPsec
IPsec策略下发在公网接口
IPsec的感兴趣流是Tunnel口配置的目的和源
必须有到达对端私网的路由指向Tunnel口
配置注意事项
在Tunnel口上配置环回口作为目的和源
IKE和IPsec协商标识对方身份的IP地址是公网地址
IPsec策略下发在公网口
不要把Tunnel口中的目的和源宣告进路由协议
IPsec over GRE
特征
数据包先在Tunnel口通过感兴趣流封装IPsec,再进入Tunnel口封装GRE
IPsec策略下发在Tunnel口
IPsec的感兴趣流是两端私网地址
必须有到达对端私网的路由指向Tunnel口
配置注意事项
在Tunnel口上配置公网地址作为目的和源
IKE和IPsec协商标识对方身份的IP地址是Tunnel口的地址
IPsec策略下发在Tunnel口
MPLS
技术背景
IP转发采用最长匹配,需多次查表,效率不高
当时路由器多采用CPU处理数据转发,性能有限
ATM技术采用唯一精确匹配,一次查表,效率高,但协议复杂,成本高
MPLS定义
多协议标签交换
采用一个短而定长的标签来封装网络层分组,交换机或路由器根据标签转发报文
MPLS优势
转发数据唯一精确匹配,查询速度快
支持多协议,几乎可运行在任何现有协议之上,无需更换专用设备
MPLS网络组成
非MPLS网络
没有运行MPLS的网络,如普通IP网络
MPLS网络
使用MPLS协议传输数据的网络
LSR
标签交换路由器
指运行了MPLS的网络设备
Ingress LSR
入节点LSR
指数据报文的入口LSR,负责为进入MPLS网络的报文添加标签
Transit LSR
传输节点LSR
MPLS网络内部的中间LSR,根据标签沿着一系列LSR构成的LSP将报文传送给出口LSR
Egress LSR
出节点LSR
负责弹出报文中的标签,并转发至非MPLS网络
注意
入节点和出节点根据数据流的方向划分,边缘LSR可能即是入节点,也是出节点
FEC
转发等价类
MPLS将具有相同特征的报文归为一类,成为FEC
一组按照同一LSP路径转发的数据流
LSP
标签交换路径
同一组FEC的报文在MPLS网络中的转发路径
MPLS标签
定义
一个短而定长的标识,通常只具有局部意义
MPLS标签通常封装于二层和三层的头部之间
LSR根据MPLS标签决定如何转发数据
标签结构
Label
标签值
16以下为保留标签
3为最后一个标签
TC
标识QOS优先级
S
栈底标识
S置位1
该标签为最后一个标签
S置位0
该标签后续还有标签
TTL
存活时间
每经过一次标签交换,TTL值-1
MPLS标签识别
以太网帧中,通过TYPE字段对MPLS进行识别
TYPE=8847,代表承载的是MPLS报文
标签分配协议
LDP
定义
标签分配协议
简单可靠,使用最广泛的MPLS协议之一
LDP报文
Discovery messages
发现消息
用于LDP邻居建立和维持
Session messages
会话消息
用于LDP邻居会话建立、维持和中止
Advertisement messages
通告消息
用于向邻居通告标签值、地址等信息
Notification messages
通知消息
用于向LDP邻居报告事件或错误
LDP会话建立和维护
1.邻居发现
2.建立TCP连接
3.建立会话
4.会话维护
上游与下游
设备的上下游与数据转发的方向相对应
数据先到达的设备是上游
数据后到达的设备时下游
标签转发表
LDP会话建立完成后,路由器根据路由表进行标签分配,形成MPLS标签转发表
标签转发表包含入标签、出标签和出接口
入标签
接收到的报文携带的标签
出标签
转发数据把入标签替换为出标签
出接口
数据报文发出的接口
LSP建立流程
1.出节点LSR收到上游标签分配请求后,建立LSP
出标签为空
入标签设置为3
出接口为IP路由表中目的网段的出接口
2.出节点LSR向上游LSR发布标签映射消息,通告本LSR的入标签
3.上游LSR根据标签映射消息建立LSP
出标签为下游LSR通告的标签映射消息中的入标签
入标签随机产生
出接口为收到标签映射消息的接口
4.LSR继续向上游发布标签映射消息,直到入节点
5.入节点LSR建立LSP
出标签为下游LSR通告的入标签
入标签为空
出接口为收到标签映射消息的接口
标签通告模式
DOD
定义
下游按需标记分配
特征
上游LSR先向下游LSR发送标签请求消息
下游LSR收到标签请求消息后,为此FEC分配标签,并向上游逐层通告
DU
定义
下游自主标记分配
特征
下游LSR在LDP会话建立后,主动向上游LSR通告标签映射消息,无需等待上游请求
标签控制模式
有序
只有从最下游的LSR开始建立标签后,才逐层通告
无序
不管有没有收到下游的标签映射消息,都立即向上游发送标签映射消息
标签保持方式
保守
只保留来自IP路由表中最优下一跳发来的标签
特征
节省内存和标签空间
LSP收敛慢
自由
保留所有邻居的标签
特征
LSP收敛快
需要更多的内存和标签空间
MPLS转发流程
1.报文进入MPLS网络,入节点检查标签转发表,进行标签PUSH操作
打上出标签
2.报文在Transit LSR中传输时,路由器检查标签,并在标签转发表中匹配,并进行标签SWAP操作
匹配成功则把标签替换为对应的出标签
3.报文到达出节点,路由器弹出(POP)标签,并按照普通数据报文进行转发
BGP MPLS VPN
大规模VPN的问题
隧道数量巨大,部署和维护极其复杂
私网IP地址可能存在冲突
BGP MPLS VPN的优点
公共隧道的动态建立
实现私网IP地址复用
使用BGP传递私网路由,更容易控制
MPLS隧道
MPLS是天然的隧道,标签没有私有和公有的区别
MPLS中间路由器无需学习私网路由,无需查询路由表,只需在进出MPLS网络的LSR设备上处理,私网报文就能穿越公共网络
所有站点可共享同一条MPLS隧道使私网报文穿越公共网络
倒数第二跳弹出
如果出标签为3,LSR会直接弹出标签,把普通数据报文发往出节点LSR
避免出节点LSR查询MPLS标签信息表后,还要查询路由表
MPLS VPN组网结构
CE
用户边缘设备
直接与服务提供商相连的用户设备
PE
服务提供商边缘路由器
公共网络上的边缘路由器,与CE相连,负责VPN业务接入
P
服务提供商路由器
公共网络上的中间传输设备
MPLS VPN的问题
MPLS VPN大多由运营商建设
同一台PE设备连接的不同私网IP网段可能存在冲突
如何控制私网路由传播范围的问题
多VRF技术
定义
VPN路由转发器
一台物理路由器可划分为多个VRF
特征
每台VRF拥有独立的路由表、接口、路由协议
VRF之间互不可见
作用
用于解决同一台PE设备连接的不同私网IP网段冲突问题
MP-BGP
为什么选择BGP来传递MPLS VPN私网路由
可跨越设备建立邻居
可携带多种属性,更易控制路由传播范围
MP-BGP的协议扩展
RT
路由目标
用于控制路由的传播范围
Export RT
路由器传出路由,会在路由上增加Export RT属性
Import RT
路由器接收到路由,把路由携带的RT属性与Import RT对比
存在交集则学习路由
不存在交集则丢弃路由
RD
路由区分
用于表示路由更新报文来自哪一个VRF
RD的本质是用于私网路由的撤销,因为BGP撤销路由时不携带RT
私网标签
在数据报文中增加一个标识,帮助PE判断报文去往哪个VRF
每个VRF会自动产生私网标签,同路由更新一起传递至对端PE
数据进入MPLS网络时,先封装私网标签,再封装MPLS标签
QOS概述
网络服务质量衡量标准
带宽
延迟
抖动
数据包穿越网络时延迟的变化
丢包率
丢包率=被丢弃报文数量/全部报文数量
提高服务质量的方法
提高物理带宽
增加缓冲
对数据包进行压缩
优先转发某些数据包
分片和交错
QOS定义
服务质量
一种用来解决网络延迟和阻塞等问题的安全机制
QOS功能
尽力避免网络拥塞
在不能避免拥塞时对带宽进行有效管理
降低报文丢失率
调控IP网络流量
为特定用户和业务提供专用带宽
支撑网络上的实时业务
QOS不能创造带宽,只能使带宽分配更加合理
QOS模型
Best Effort模型
定义
尽力而为的服务
IP网络模型的默认服务模型
特征
所有网络流量先入先出(FIFO)
所有流量享有平等待遇
优点
实现简单
节省处理资源,处理速度快
缺点
关键业务流量得不到保障
所有数据流的带宽、延迟、抖动、丢包率不可控
DiffServ模型
定义
区分服务
对不同业务流进行分类,对报文按类进行优先级标记,然后有差别的提供服务
特征
不需要跟踪每一数据流,资源占用少,扩展性强
不提供端到端的QOS服务
提供服务
边界行为
分类
标记
测速
整形/丢弃
PHB(逐跳行为)
BE
AF
EF
CS
拥塞管理
FIFO队列
PQ队列
CQ队列
WFQ队列
CBQ队列
WRR队列
IntServ模型
定义
综合服务
在报文传输前,通过信令在传输路径上进行资源预留,提供预期的QOS保障
特征
使用RSVP协议为每组流量提前预约带宽资源
提供端到端的整体QOS服务
QOS边界行为
分类
分类依据
IP Precedence
IP优先级
取值范围0-7
DSCP
差分服务代码点
兼容IP优先级,取值范围0-63
可用纯数字或关键字方式表示
分类方式
简单分类
按照数据包的IP Precedence或DSCP进行分类
复杂分类
按照数据流的五元组等信息进行分类
分类工具
ACL
Traffic-classifier
标记
定义
对分类后的报文进行某种标识
为后续的区分服务或分类提供依据
标记内容
IP Precedence
DSCP
CoS
标记工具
CAR
Traffic-behavior
测速
定义
使用令牌桶算法对流量进行速度标识
令牌桶算法
单速单桶
以Cir速率每秒往C桶注入令牌,直到令牌注满
Cbs为桶容积
能取走令牌的数据标记绿色
不能取走令牌的数据标记红色
单速双桶
以Cir速率每秒往C桶注入令牌,C桶注满,令牌溢出至E桶
Cbs为C桶容积,Ebs为E桶容积
数据流优先取C桶令牌,C桶令牌不够则取E桶令牌
取走C桶令牌的数据标记绿色
取走E桶令牌的数据标记黄色
不能取走令牌的数据标记红色
双速双桶
以Cir速率每秒往C桶注入令牌,同时以Pir速率每秒往P桶注入令牌
Cbs为C桶容积,Pbs为P桶容积,Pbs大于等于Cbs
数据流同时取C桶和P桶令牌
能同时取走C桶和P桶令牌的数据标记绿色
只取走P桶令牌的数据标记黄色
不能取走令牌的数据标记红色
单桶单速无突发流量,双桶单速可有短暂突发,双通双速可有持续突发
测速工具
CAR
GTS
LR
Traffic-behavior
流量监管
通过CAR实现
使用令牌通算法测速
对不同颜色的流量可自定义采取放行、丢弃、标记或转入下一监管等级的处理方式
默认绿色和黄色放行,红色丢弃
会增加丢包率、但降低传输延迟
流量整形
通过GTS实现
使用令牌通算法测速
绿色和黄色放行,红色进入GTS缓存队列、GTS队列排满后数据丢弃
降低丢包率,但增加传输延迟
接口限速
LR
使用令牌通算法测速
绿色和黄色放行,红色重新进入QOS队列
QOS PHB
定义
逐跳行为
用于多种QOS服务判断服务等级的标识
分类
BE
没有质量保证,IP网络默认的PHB行为
AF
确保转发
提供有带宽保障的服务
EF
快速转发
提供低延迟、低抖动、低丢包率的服务
CS
根据DSCP数值大小提供区分服务
QOS拥塞管理
FIFO队列
先入先出队列
默认所有数据流使用该队列
PQ队列
根据不同标记把数据分配到Top、Middle、Normal、Bottom 4个队列
系统按照从上至下的顺序优先转发队列中的报文
优点
关键业务可以得到绝对优先服务保障
缺点
如关键业务持续突发,低优先级业务可能会饿死
CQ队列
根据不同标记把数据分配到1-16号队列
系统按照编号从小到大的顺序依次轮询转发队列中的数据
优点
能够保证每组流量都得到一定带宽保障
缺点
无法保证关键业务得到更多带宽
WFQ队列
根据不同优先级自动把流量分散在各个队列
根据每个队列报文的优先级计算出该队列的发送权值比重
系统根据每个队列的权值比重依次轮询转发队列中的数据
特点
即能够保证关键业务得到更多带宽,也可以使低优先级业务得到一定带宽
只有在紧急队列和协议队列空的情况下,才会去调度用户创建的队列
无论什么对列,队列内部都是FIFO
QOS拥塞避免
技术背景
IP网络默认对队列外的报文进行无差别的尾丢弃
无差别的丢弃会造成所有TCP流同一时刻丢弃,然后同一时刻重传,造成TCP全局同步振荡
RED
随机早期检测
在队列排满之前就对已经队列中的报文进行随机丢弃
优点
无规则丢弃,避免TCP全局同步振荡
缺点
不能对不同数据流区别对待,无法保障关键业务流的传输质量
WRED
加权随机先期检测
对不同标记的流量配置不同的门限值和丢弃概率,实现不同数据流的区分处理
最低门限值
队列中报文数量超出最低门限值,但未达到最高门限值时,按照对应概率随机丢弃
最高门限值
队列中报文数量超出最高门限值,但队列未满时,按照对应概率随机丢弃
QOS管理工具
QOS策略
Traffic-classifier
类
用户定义的一些列规则的集合
Traffic-behavior
行为
定义了针对报文所做的QOS动作
Policy
策略
绑定类和行为,使QOS行为生效
CBQ
定义
基于类的队列
一种高级拥塞管理技术
分类
包含一个LLQ队列,用于支撑EF业务,绝对优先转发,保证低延迟
包含最大64个BQ队列,用于支撑AF业务,保证高带宽可用
包含一个WFQ队列,用于支撑BE业务
QOS最大可用带宽
指此接口上CBQ可能占用的最大带宽,非实际带宽
默认为接口实际带宽
QOS预留带宽
为避免缺省类数据流饿死,CBQ中的LLQ和BQ队列配置带宽总和不得超过QOS预留带宽
预留带宽默认80%
QOS策略配置步骤
1.创建类来抓取需要提供QOS服务的数据流
2.创建行为来设置QOS动作
3.创建策略,绑定类和行为,对指定流量提供QOS服务
4.在接口下发QOS策略