第五部分 ×××

 

一、×××特点,共3点
1.×××是利用现有公共网络,通过资源配置形成的逻辑上的网络。
2.×××为特定企业或用户群专用。
3.×××不是简单的高层业务。
二、×××的优势,共5点
1.为用户建立可靠的安全连接
2.提高网络资源利用率
3.×××应用灵活
4.满足移动业务需求
5.MPLS-×××能构建具有QoS的×××
三、×××网络结构描述,共3点
1.若干site组成×××
2.所有site属于一个企业是intranet ×××
3.所有site分属不同企业是Extranet ×××
四、×××如何来组建逻辑网络,共2点
1.呼叫连接过程由ISP得NAS与×××服务器共同完成。
2.POP=point of presence服务器(位于ISP得边缘,直接接用户)
五、×××的本质,共4点
1.×××=隧道+加密
2.隧道分为二层隧道和三层隧道
3.二层隧道一般终止在用户侧设备,三层隧道一般终止在ISP网关;三层隧道比二层隧道更安全更容易扩展更可靠
4.二层隧道和三层隧道可独立使用,也可配置使用,这样更更全更佳的性能
六、VPDN总结,共2点
1.VPDN=virtual private dial network虚拟私有拨号网:指利用公共网络(ISDN或PSTN)的拨号功能及接入网来实现×××
2.VPDN有两种实现方式:①NAS通过隧道协议,与VPDN网关建立通道②客户机直接与VPDN网关建立隧道
七、L2TP总结
1.协议背景:PPP协议定义了一种封装技术,可在二层点到点链路传输多种协议数据包,用户与NAS间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上;L2TP提供了对PPP链路层数据包的通道(tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上,且采用包交换进行信息交互,扩展了PPP模型。
2.术语:LAC=L2TP accessconnectrator(具有PPP端系统和L2TP协议处理能力的设备)
            LNS=L2TP network server(PPP端系统处理L2TP协议服务器端的设备)
3.PPP帧和控制通道及数据通道间的关系:PPP帧在不可靠的L2TP数据通道上传输,控制消息在可靠的L2TP控制通道内传输。
4.tunnel和session:tunnel连接定义了一个LNS和LAC对;session连接复用在tunnel之上,用于表示承载在tunnel连接中的每个PPPsession过程;同一对LAC和LNS间可建立多个L2TP tunnel,tunnel由一个控制连接和一个或多个session组成;session连接必须在tunnel建立成功后进行,每个session对应于LAC和LNS间的一个PPP数据流;控制消息和PPP数据报文都在tunnel上传输。
5.控制消息和数据消息:控制消息用于隧道和会话的建立、维护、传输控制;数据消息用于封装PPP帧在隧道上传输;控制消息和数据消息共享相同的报文头。
6.L2TP的两种tunnel模式:①远程拨号用户发起②直接由LAC客户发起。
7.L2TP隧道和会话建立过程:(①用户端PC发起呼叫连接请求②PC和LAC进行PPP LCP协商③LAC对PC提供的用户信息进行PAP或CHAP认证④LAC将热证信息(用户名、密码)发送给radius服务器进行认证⑤radius服务器认证该用户;如果认证通过则返回该用户对应的LNS地址等相关信息且LAC准备发起tunnel连接请求⑥LAC向指定LNS发起tunnel连接请求⑦LAC向指定LNS发送CHAP challenge信息,LNS会送该challenge响应消息CHAP response并发送LNS侧的CHAP challenge,LAC返回该challenge的响应消息CHAP response⑧隧道验证通过⑨LAC将用户CHAPresponse、response identifier和PPP协商参数传送给LNS⑩LNS将介入请求信息发送给radius服务器进行认证(11)radius服务器认证该请求信息,如果认证通过则返回响应信息(12)若用户在LNS配置强制本端CHAP认证,则LNS对用户进行认证,发送CHAP challenge,用户侧回应CHAP response(13)LNS再次将接入请求信息发送给radius服务器进行认证(14)radius服务器认证该请求信息,如果认证通过则返回响应信息;验证通过,用户访问企业内部资源。
八、GRE总结,共6点。
1.GRE=generic routing encapsulation(通用路由封装):是对某些网络层协议(如ip和IPX)的数据报文进行封装,使被封装的数据报文能在另一网络层协议(如ip)中传输。
2.GRE是×××的三层隧道协议。
3.tunnel是一个虚拟点到点连接,可以看成仅支持点到点连接的虚拟接口。
4.报文在tunnel中传输,必须经历2个处理过程:①encapsulation②de-encapsulation
5.GRE的使用:①多协议的本地网通过单一协议骨干网传输②扩大步跳数受限协议(如IPX)的网络工作范围③将不连续子网连接用于组建×××④与IPsec结合使用。
6.GRE的配置:①必须先创建tunnel虚拟接口,然后在tunnel接口上配置其它功能特性(删除tunnel接口同时接口所有配置也被删除)②目前comware不支持GRE对IPX的封装。
九、IPsec总结
1.IPsec概述:①由IETF制定②IPsec是特定通信方在ip层通过加密与数据源验证等来保证数据传输的私有性、完整性、真实性和放重放③IPsec通过AH和ESP实现安全,通过IKE自动协商交换密钥、建立和维护SA④AH提供数据源验证、数据完整性校验、报文放重放功能⑤ESP提供AH所有功能外,还提供对ip报文加密。⑥AH和ESP可单独使用也可搭配使用更安全。
2.安全联盟SA:①IPsec在对等体间提供安全通信②通过SA,IPsec能对不同数据流提供不同安全级别,专业说法叫“控制对等体间安全服务的粒度”③SA是IPsec对等体间对某些要素的约定④SA是单向的(两个对等体间双向通信,至少需要两个SA)⑤SA由三元组来标识(SPI\目的ip地址\安全协议号AH或ESP)⑥SA有生存周期,计算方式有两种(时间和流量)。
3.IPsec的操作模式有2种:①传输模式(AH或ESP被插入到ip头之后所有传输层协议之前或所有其他IPsec协议之前)②隧道模式(AH或ESP插入在原始ip头之前,另外生成一个新头放在AH或ESP之前)③隧道模式的安全性优于传输模式但性能不及传输模式。
4.验证算法和加密算法:①验证算法(有两种MD5和SHA-1;用于完整性验证判断报文在传输过程中是否被篡改;验证算法通过杂凑函数接受任意长的消息输入,产生固定长度输出的算法,输出信息称为消息摘要;MD5输入任意长度产生128bits摘要,SHA-A输入小于2的64次方bits产生160bits摘要)②加密算法(DES=data encryption standard使用56bits的密钥对64bits明文加密;3DES=Triple DES使用3个56bits密钥对明文加密;AES=advanced encryption standard -comware实现了128bits/192bits/256bits密钥长度的AES算法)。
5.IPsec的2种协商方式:①手工方式(manual)②IKE自动协商③手工方式配置复杂且IPsec一些高级特性(如定时更新密钥)不被支持;IKE只需配置好IKE协商安全策略信息由IKE自动协商来创建和维护SA④对等体设备数量少或小型静态环境使用手工配置SA;大中型动态网络环境中使用IKE协商建立SA。
6.加密卡:①加密/解密、认证算法一般比较复杂,占用大量CPU资源,影响路由器整体处理效率②模块化路由可以使用加密卡,以硬件方式完成IPsec运算;提高了路由器工作效率也提高了IPsec处理效率。
第六部分 QoS

 

一、QoS概述,共5点
1.QoS是网络转发分组的服务能力
2.传统ip网络QoS是FIFO(best-effort)
3.现今的ip网络要承载新业务(视频语音等业务),对带宽和延迟、抖动要求较高
4.延迟、抖动主要是拥塞引起的
5.流量管理的5种技术:①流分类②流量监管③流量×××④拥塞管理⑤拥塞避免
二、流分类总结,共6点
1.流分类是对流量进行分类,是实现QoS的基础
2.流分类可使用TOS或根据源地址、目的地址、MAC地址、ip协议或端口号灯信息对流进行分类
3.一般的分类依据都局限在封装报文的头部信息,使用报文内容作为分类标准比较少见。
4.一般在网络边界对报文分类,同时设置报文ip头TOS字段的优先级位。这样在网络内部直接使用ip优先级作为分类标准,队列技术也可使用这个优先级对报文进行不同的处理。下游网络可选择接受上游网络的分类结果,也可按自己的标准重新进行分类。
5.当报文进入网络时依据承诺速率进行监管,流出结点前进行×××,拥塞时的队列调度管理,拥塞加剧时采取拥塞避免
6.TOS和DSCP:①TOS有8bits,前3bits是ip优先级,取值范围是0-7;后3-6bits是TOS优先级,取值范围是0-15。②重新定义TOS域,称为DS域。DSCP优先级使用前6bits,取值范围0-64,后2bits保留。
三、令牌桶
1.令牌桶是流量评估机制,或者说是评估流量是否超标的手段
2.令牌桶是存放一定数量令牌的容器。系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。
3.通常一个令牌关联一个比特的转发权限。
4.简单评估(CIR\CBS):CIR承诺信息速率;CBS承诺突发尺寸,设置的突发尺寸必须大于最大报文长度。
5.复杂评估(c桶和e桶,CIR\CBS\PIR\EBS) IR峰值信息速率;EBS超出突发尺寸。
四、流量监管总结,共4点
1.流量监管是监督进入网络某一流量规格,将流量限制在合理范围。
2.如果发现某个链接流量超标,流量监管可选择丢弃报文,或重新设置报文的优先级。
3.流量监管广泛用于监管进入Internet ISP的网络流量。
4.监管动作:①转发(比如对评估结果“符合”的报文继续转发)②丢弃(比如对评估结果为“不符合”的报文进行丢弃)③改变优先级并转发(比如对评估结果为“符合”的报文将之标记为其它的优先级后再进行转发)④改变优先级进入下一级监管(比如对评估结果为“符合”的报文将之标记为其它的优先级后在进入下一级监管)⑤进入下一级监管(流量监管可以逐级堆叠,每级关注和监管更具体的目标)
五、流量×××总结,共3点
1.流量×××是主动调整流量输出速率的措施。典型应用时基于下游网络结点的TP指标来控制本地流量的输出。
2.×××和监管的区别是×××对监管中需要丢弃的报文进行缓存,当令牌桶中有足够令牌,均匀向外发送这些报文。另外,×××会增加延迟,而监管几乎不引入额外的延迟。
3.举例:RA向RB发送报文,RB要对RA发送来的报文进行监管,对超出的流量直接丢弃。为了减少报文无谓丢失,可在RA的出口对报文进行×××处理,将超出的流量缓存起来,当可以继续发送时再发送。
六、拥塞管理总结,共3点
1.分组到达速度大于接口发送分组的速度就产生拥塞;如果没有足够空间存储这些分组,就会丢失,丢失的分组会导致 发送该分组的设备因超时而重传,这样讲导致恶性循环。
2.拥塞管理的本质是党拥塞发生时指定资源调度策略决定报文转发次序的机制。主要靠各种队列机制完成。
3.QP=fair queuing公平队列:①不同队列获得公平调度机会,从总体上均衡各个流的延迟②短报文和长报文获得公平的调度,如果不同队列间同时存在多个长报文和短报文等待发送,应当估计短报文的利益,让短报文优先获得调度,从而总体上减少各个流的包文件的抖动。
4.WFQ加权公平队列:WFQ计算报文调度次序时增加了优先权的考虑,高优先权的报文获得调度的机会多于低优先级的报文。在出队时,WFQ按流的优先权分配每个流占有出口带宽。优先权的数值越小,所得带宽越小。
七、拥塞避免总结,共5点
1.拥塞避免(congestion avoidance)是一种流控机制,通过监视网络资源(如队列或内存缓冲区)的使用情况,在拥塞有加剧的趋势时,主动丢弃报文,通过调整网络流量解除网络过载。
2.传统丢包策略是tail-drop(尾部丢弃),当队列的长度达到最大值后,所有新来的报文都被丢弃。将引发TCP全局同步现象。
3.TCP全局同步:当队列同时丢弃多个TCP连接的报文时,将造成多个TCP连接同时进入拥塞避免和慢启动状态以降低并调整流量,而后又同时出现流量高峰,如此反复,使网络流量不停震荡。
4.RED(random Early detection)随机早期检测:①每个队列都有上下限②队列长度小于下限不丢弃报文③队列长度超过上限,丢弃所有来到的报文④队列长度介于上下限之间,开始随机丢弃到来的报文,队列越长丢弃概率越高,但有一个最大丢弃概率。
5.WRED(weigted random Early detection)加权随机早期检测:生成的随机数是基于优先权的,它引入ip优先权区别丢弃策略,考虑高优先权报文利益,使其被丢弃的概率相对较小。

第七部分 IPV6


一、ipv6概述
1.ipv6是网络层第二代标准协议。
2.由IETF制定。
3.ipv6与ipv4最显著的变化时地址长度增加到128bits,报文格式也有较大变化。
二、ipv6的特点,共8点
1.简化的报文头:ipv6基本报文头固定40字节,是ipv4不含可选字段报文头的2倍(ipv6将ipv4报文头某些字段裁剪或移到扩展报头部分,提高了转发效率)。
2.充足的地址空间:超过3.4乘10的38次方个地址。
3.层次化地址结构:有利于路由快速查找和路由汇聚。
4.地址自动配置:无状态地址自动配置(还有有状态地址自动配置DHCPV6和手工配置)。
5.内置安全性:ipv6直接将IPsec作为扩展报头,提供端到端的安全。
6.支持QoS:基本报头的flow label字段允许设备对某一流中报文进行识别并提供特殊处理。
7.增强的邻居发现机制:ipv6没有了ARP,通过ICMPv6实现同样功能。
8.灵活的扩展报头:①提高处理效率②增强灵活性③增强扩展性
三、ipv6的地址表示
1.用“冒号十六进制”表示法。
2.每组前导0可省略。
3.连续多组全0用::代替,但每个地址只能出现一次。
4.ipv6地址=前缀+接口标识
四、ipv6地址分类(ipv6地址种类用前缀标识)
1.单播地址:标识一个接口,报文传送给此地址标识的接口
2.组播地址:标识一组接口,报文传送给此地址标识的所有接口
3.任播地址:标识一组接口,报文传送给此地址所标识离源节点最近(根据使用的路由协议进行度量)的一个接口(注意:任播无单独地址空间,从单播地址空间取且任播地址只做目标地址)
五、单播地址的种类
1.全球单播地址:相当ipv4的公网地址
2.链路本地地址:链路指同一子网,没有路由分割
3.站点本地地址:相当于ipv4的私有地址
4.环测地址:::1,相当ipv4的127.0.0.0
5.未指定地址:(::,不能分配给任何节点)
六、组播地址(以FF开头)
1.solicited-node地址:该组播地址用于获取同一链路邻居的链路层地址及地址重复检测。每个单播或任播ipv6地址都有一个对应被请求节点地址。格式为:FF02:0:0:0:0:1:FFXX XXX,高104bits固定格式,剩余为单播或任播地址的后24bits。
七、IEEE EUI-64格式接口标识符产生过程
1.MAC地址中间插入FFFE
2.将U/L位(从高开始第7bit)设置为“1”
八、ipv6邻居发现协议
1.通过5种icmpv6消息实现6种功能。
2.地址解析:与ipv4的ARP功能相同,通过邻居请求消息NS和邻居通告消息NA实现
3.验证邻居是否可达:通过NS和NA实现
4.重复地址检测:NS消息源地址为::,目的地址是待测ipv6对应的组播地址,如果收到返回NA消息,说明该地址已被使用,否则未使用。
5.路由前缀发现和地址自动配置:通过路由器请求消息RS和路由器通告消息RA实现
6.重定向:主机启动时它的路由表只有一条到缺省网关的缺省路由。满足一定条件时,缺省网关会向源主机发送ICMPv6重定向消息,通知主机选择更好下一跳进行后续报文的发送。
九、ipv6 PMTU协议
1.PMTU=(path MTU):报文从源到目标的传输路径中经过的链路可能具有不同的MTU,在ipv6中,当报文大于链路MTU时,报文分片将在源端进行,减轻中间转发设备的处理压力。
2.PMTU发现机制:找到从源端到目的端的路径上最小的MTU(利用ICMPv6差错报文)。
十、ipv6的DNS
1.ipv6和ipv4的DNS相同,也分为静态域名解析和动态域名解析且解析方法一样。
2.区别仅仅是将域名转换为ipv6地址
3.连接ipv4和ipv6网络的DNS服务器既包含A记录也包含AAAA记录。可以进行域名与ipv4地址的转换,也可以进行域名与ipv6地址的转换。
十一、关于ipv6和ipv4的互联和互通
1.在ipv6成为主流协议之前,必须开发出ipv4和ipv6互通技术以保证ipv4平稳过渡到ipv6
2.IETF组建NGTRANS工作组研究ipv4和ipv6过渡问题和高效无缝互通问题
3.目前解决过渡问题的技术主要有3种:①双协议栈技术②隧道技术③NAT-PT