DHCP snooping:通过侦听客户和服务器之间通信数据包生成IP+MAC+端口+VLAN
ARP动态监测原理
1,在交换机上开启,交换机检查通过ARP数据包,核对ARP数据中内容IP地址+MAC以及
该数据通信端口+VLAN是否与DHCP snooping中的绑定表是否一致,如果一致
则认为该ARP数据包正常,则转发。反之则认为该ARP数据非法,则丢弃
2,核对手动配置User-bind表中IP地址+MAC+端口+VLAN(如果没有使用DHCP snooping生成
绑定表)
ip source guard:IP源保护
1,使用DHCP snooping绑定,核对数据包进入IP地址+MAC以及端口+VLAN如果一致
则认为该IP数据包正常,反之则认为该IP数据包非法,则丢弃
2,使用User-bind表,核对数据包进入IP地址+MAC以及端口+VLAN如果一致
则认为该IP数据包正常,反之则认为该IP数据包非法,则丢弃
镜像:将端口上通信数据复制发送到目的地
观察端口:是指接入分析设备端口称之为观察端口
本地镜像:将本地接口通信流量发向本地观察端口,可以镜像进出流量
远端镜像:将镜像流量发向远端服务器
QOS:服务质量,在有限网络环境中为不同流量提供不同优先服务(服务质量
不能彻底解决网络拥堵问题,只能使网络中重要流量优先通行)
带宽:数据传输路径最小的带宽
时延:从数据产生到目的端接收出到处理所花费时间
抖动:数据时延之间所形成差值就称之为抖动,时延造成抖动
服务模型
1,尽力而为服务
2,综合性服务:提前预留带宽资源,资源独占,利用率低。
3,区分服务模型:根据流量类型提供不同服务质量
QOS
标记:
二层使用802.1p ,使用3bit取值 0-7
三层IP层优先级 ,使用3bit取值 0-7
MPLS层实验位,使用3bit取值 0-7
总计可以进行8中分类
CS7和CS6:设备都遵守规则,往往用于路由协议
AF:确保转发,往往表示对带宽要求较高
AF43表示意思:4表示服务优先级,值越大越优先提供服务。3表示丢弃优先级值越大
越优先被丢弃
EF:对延迟敏感,往往用于语音流量
队列
硬件队列和软件队列,只有在硬件队列满的情况下才可触发软件队列
队列调度方法
FIFO:先进先出,相当于在接口上只有一个队列,数据不分先后
优点:简单
缺点:不能差分服务,紧急数据得不到及时处理
PQ:绝对优先级队列,相当于有4个队列分为高、中、普通、低
优先调度高优先级队列数据,再调度低优先级队列数据。只要高优先级队列
有数据就继续调度高优先级队列数据
优点:紧急重要数据可以得到及时处理
缺点:低优先级队列饿死
队列内部还是先进先出
WRR:加权轮训队列,队列之间发送数据时参与轮询方式,保证每一个
队列都有发送数据机会。权重高队列发送更多数据数据包,低的发送
较少的数据包
优点:每一个队列都可以发送数据包
缺点:紧急数据得不到及时调度
weight相同就是RR队列调度方式
WFQ:加权公平队列,根据数据包5元素自动分类创建流每一个流就是队列
根据各个流权重将带宽分配
优点:自动实现,可以保证各个公平发送数据流量
缺点:低延迟数据得不到及时调度
PQ+WFQ 相当于LLQ低延迟队列,是延迟敏感敏感数据得到及时调度,同时使其他数据
根于权分配带宽
CBQ:基于类队列,可以人工配置
丢弃方式
1,尾部丢弃:当队列满之后,再到达的数据包之间丢弃
优点:实现简单 PQ只能使用尾部丢弃
缺点:容易造成TCP流量同步
2,RED:早期随机丢弃,队列没有满之前随机丢弃一定数量数据包
优点:可以缓解TCP流量同步
缺点:不能提供差分服务
3,WRED:加权随机丢弃,根据数据包优先级设置丢弃概率。数据优先级越高
丢弃概率越低
优点:可以提供差分服务
限速技术
1,监管(policy):可以用于进接口也可以用于出接口,多余流量直接丢弃
2,整形(shape):将超出数据包缓存起来,等待下一个周期发送,增加
了数据包处理延迟
防火墙
安全区域:人为定义,方便数据流量管理
默认区域:
local区域:本防火墙(priority 100)
trust区域:可信区域一般接入内网(priority 85)
DMZ区域:非军事化区域,一般接入服务器(priority 50)
UNtrust区域:不可信区域一般接入外网(priority 5)
华为防火墙:默认不同区域之间禁止进行数据通信,如果需要进行不同区域
之间数据通信必须配置策略
防火墙检测和会话:如果策略放行数据流量则根据5元组(源IP地址、目的IP地址、源端口
目的端口、协议)记录该会话,如果返回的流量匹配记录会话记录则放行进入流量
ASPF:应用动态监测,通过查看协议应用层数据自动生成该应用的临时条目保证
应用通信正常
NAT:网络地址转换
NAT server:将DMZ一台内服务器对外公布一个公网IP地址。当外部主机
发送该公网地址时则将流量发送给内部服务器。
默认始发于服务器的流量不允许使用该公网IP地址进行通信()
如果需要服务上外网则必须手动指定服务器可以是使用该公网IP地址
虚拟服务器:对外公布一个公网IP地址提供服务,实际内网有多台主机映射该
网络IP地址(内部有多台注意提供服务);
