DHCP snooping：通过侦听客户和服务器之间通信数据包生成IP+MAC+端口+VLAN

ARP动态监测原理

1，在交换机上开启，交换机检查通过ARP数据包，核对ARP数据中内容IP地址+MAC以及

该数据通信端口+VLAN是否与DHCP snooping中的绑定表是否一致，如果一致

则认为该ARP数据包正常，则转发。反之则认为该ARP数据非法，则丢弃

2，核对手动配置User-bind表中IP地址+MAC+端口+VLAN（如果没有使用DHCP snooping生成

绑定表）

ip source guard：IP源保护

1，使用DHCP snooping绑定，核对数据包进入IP地址+MAC以及端口+VLAN如果一致

则认为该IP数据包正常，反之则认为该IP数据包非法，则丢弃

2，使用User-bind表，核对数据包进入IP地址+MAC以及端口+VLAN如果一致

则认为该IP数据包正常，反之则认为该IP数据包非法，则丢弃

镜像：将端口上通信数据复制发送到目的地

观察端口：是指接入分析设备端口称之为观察端口

本地镜像：将本地接口通信流量发向本地观察端口，可以镜像进出流量

远端镜像：将镜像流量发向远端服务器

QOS：服务质量，在有限网络环境中为不同流量提供不同优先服务（服务质量

不能彻底解决网络拥堵问题，只能使网络中重要流量优先通行）

带宽：数据传输路径最小的带宽

时延：从数据产生到目的端接收出到处理所花费时间

抖动：数据时延之间所形成差值就称之为抖动，时延造成抖动

服务模型

1，尽力而为服务

2，综合性服务：提前预留带宽资源，资源独占，利用率低。

3，区分服务模型：根据流量类型提供不同服务质量

QOS

标记：

二层使用802.1p ，使用3bit取值 0-7

三层IP层优先级 ，使用3bit取值 0-7

MPLS层实验位，使用3bit取值 0-7

总计可以进行8中分类

CS7和CS6：设备都遵守规则，往往用于路由协议

AF：确保转发，往往表示对带宽要求较高

AF43表示意思：4表示服务优先级，值越大越优先提供服务。3表示丢弃优先级值越大

越优先被丢弃

EF：对延迟敏感，往往用于语音流量

队列

硬件队列和软件队列，只有在硬件队列满的情况下才可触发软件队列

队列调度方法

FIFO：先进先出，相当于在接口上只有一个队列，数据不分先后

优点：简单

缺点：不能差分服务，紧急数据得不到及时处理

PQ：绝对优先级队列，相当于有4个队列分为高、中、普通、低

优先调度高优先级队列数据，再调度低优先级队列数据。只要高优先级队列

有数据就继续调度高优先级队列数据

优点：紧急重要数据可以得到及时处理

缺点：低优先级队列饿死

队列内部还是先进先出

WRR：加权轮训队列，队列之间发送数据时参与轮询方式，保证每一个

队列都有发送数据机会。权重高队列发送更多数据数据包，低的发送

较少的数据包

优点：每一个队列都可以发送数据包

缺点：紧急数据得不到及时调度

weight相同就是RR队列调度方式

WFQ：加权公平队列，根据数据包5元素自动分类创建流每一个流就是队列

根据各个流权重将带宽分配

优点：自动实现，可以保证各个公平发送数据流量

缺点：低延迟数据得不到及时调度

PQ+WFQ 相当于LLQ低延迟队列，是延迟敏感敏感数据得到及时调度，同时使其他数据

根于权分配带宽

CBQ：基于类队列，可以人工配置

丢弃方式

1，尾部丢弃：当队列满之后，再到达的数据包之间丢弃

优点:实现简单 PQ只能使用尾部丢弃

缺点：容易造成TCP流量同步

2，RED：早期随机丢弃，队列没有满之前随机丢弃一定数量数据包

优点：可以缓解TCP流量同步

缺点：不能提供差分服务

3，WRED：加权随机丢弃，根据数据包优先级设置丢弃概率。数据优先级越高

丢弃概率越低

优点：可以提供差分服务

限速技术

1，监管（policy）：可以用于进接口也可以用于出接口，多余流量直接丢弃

2，整形（shape）：将超出数据包缓存起来，等待下一个周期发送，增加

了数据包处理延迟

防火墙

安全区域：人为定义，方便数据流量管理

默认区域：

local区域：本防火墙（priority 100）

trust区域：可信区域一般接入内网（priority 85）

DMZ区域：非军事化区域，一般接入服务器（priority 50）

UNtrust区域：不可信区域一般接入外网（priority 5）

华为防火墙：默认不同区域之间禁止进行数据通信，如果需要进行不同区域

之间数据通信必须配置策略

防火墙检测和会话：如果策略放行数据流量则根据5元组（源IP地址、目的IP地址、源端口

目的端口、协议）记录该会话，如果返回的流量匹配记录会话记录则放行进入流量

ASPF：应用动态监测，通过查看协议应用层数据自动生成该应用的临时条目保证

应用通信正常

NAT：网络地址转换

NAT server：将DMZ一台内服务器对外公布一个公网IP地址。当外部主机

发送该公网地址时则将流量发送给内部服务器。

默认始发于服务器的流量不允许使用该公网IP地址进行通信（）

如果需要服务上外网则必须手动指定服务器可以是使用该公网IP地址

虚拟服务器：对外公布一个公网IP地址提供服务，实际内网有多台主机映射该

网络IP地址（内部有多台注意提供服务）；