最新版华为官方教材目录
在MPLS-TE隧道动态建立过程中,可以用于控制隧道路径选择的因素比较多,其中隧道的“亲和属性”和链路的“链路管理组”是两个非常重要的因素。但许多朋友认为这两方面技术的工作原理比较复杂、难懂,故在此以专文进行介绍。
数字签名是指发送方用自己的私钥对数字指纹进行加密后所得的数据,其中包括非对称密钥加密和数字签名两个过程,在可以给数据加密的同时,也可用于接收方验证发送方身份的合法性。采用数字签名时,接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。 数字指纹又称为信息摘要,是指发送方通过HASH算法对明文信息计算后得出的数据。采用数字指纹时,发送方会将本端对明文进哈希运算后生成的数
数字信封是指发送方使用接收方的公钥来加密对称密钥后所得的数据,其目的是用来确保对称密钥传输的安全性。采用数字信封时,接收方需要使用自己的私钥才能打开数字信封得到对称密钥。 数字信封的加/解密过程如图1-19所示。甲也要事先获得乙的公钥,具体说明如下(对应图中的数字序号):图1-19 数字信封的加解密过程示
最原始的数据传输方式就是明文传输。所谓“明文”就是输入什么在文件中最终也显示什么,别人获取到文件后就知道里面的全部内容了。很显然,这种数据传输方式很不安全,被非法截取后,什么都暴露了。 随后就有了加密传输的理念及相应的技术了,对原始的明文数据进行加密,加密后生成的数据称之为“密文”。密文与明文最大的区别就
学过H3C设备的朋友都知道,在Comware V5及以前版本中,用户权限是由"命令级别"和"用户级别"结合来配置的, 而在最新的Comware V7版本中,却为此引入了一些全新的概念——用户角色、用户线、资源策略等,对以前版本的配置方法进行了彻底颠覆。 其中“用户角色”其实与操作系统中的用户
本篇通过具体的示例介绍了华为S系列交换机中,通过MSTP协议实现不同VLAN流量负载均衡的配置方法。
许多读者朋友是一说到QoS就头痛,认为太难了。其实,虽然QoS的工作原理有些深奥,但QoS的配置还是比较简单的,只要你理解了各个关键参数的含义就没什么大问题了。本篇介绍的两个QoS配置案例介绍的是华为S系列交换机中通过QoS功能实现拥塞避免和拥塞管理的配置方法。
802.1x协议是一种基于端口的网络接入控制协议,所以具体的802.1x认证功能必须在设备端口上进行配置,对端口上接入的用户设备通过认证来控制对网络资源的访问。802.1x认证系统采用网络应用系统典型的Client/Server(C/S)结构,包括三个部分:客户端(Client)、设备端(Device)和认证服务器(Server)
网络中所有的桥设备在使能STP协议后,每一个桥设备都认为自己是根桥。此时每台设备仅仅收发配置BPDU,而不转发用户流量,所有的端口都处于Listening状态。所有桥设备通过交换配置BPDU后才进行根桥、根端口和指定端口的选举工作。
许多读者朋友对VLAN中所涉及到的Access、Ttunk、Hybrid这三种主要类型二层以太网端口的数据收发规则不了解,或者理解不深,造成在遇到VLAN配置故障时经常无从下手,甚至做出错误的VLAN配置。本文将经纯经验方式向大家诠释这三种端口类型的数据收发规则,以及所对应的两种二层以太网链路类型的主要应用。
我们知道,普通VLAN中的一个VLAN标签是用来区分用户的,但如果想要同时区分用户和业务类型,那么怎么办呢?如图7-11是一个总公司下面连接了两个分支子公司,而各分支子公司中已对不同部门的员工采用了VLAN进行区分,但两个子公司的部门VLAN ID规划是重叠的。这样如果数据帧中只采用一层VLAN标签,总公司就无法区分数据是来自哪个子公司的也就无法针对不同子公司的数据进行任何处理了。
随着互联网应用的广泛普及,IP组播在远程视频会议、远程医疗等应用中得到了广泛应用。在多数企业IP组播网络中一般是只运行PIM协议和IGMP协议,前者用于路由器(也可以是三层交换机)之间的连接,后者用于组播源和组播用户的连接,当然在网络边缘IGMP协议的路由器还需要同时运行PIM协议,以便于其他PIM路由器进行组播路由。而在PIM协议中最为典型的又是ASM和SSM这两种模型,本文将介绍华为S系列交换机两个基于这两种PIM模型的IP组播网络的具体配置思路和方法。
iStack也就是我们平时所说的“堆叠”,但是华为交换机的iStack功能与其他厂商的交换机堆叠功能相比又有许多不同。在最新的Sx700大系中,只有S2700、S3700、S5700和S6700系列支持iStack堆叠功能,但这些系列中也并不是所有机型都支持,而且S2700/3700系列与S5700/6700系列对iStack的特性支持也不完全一样。本节先进行具体介绍。
非常多读者对QoS的多种二层和三层优先级分辨不清,更不清它们之间的对应关系,以及与QoS策略中的PHB(逐跳行为)之间的对应关系,这就为正确理解QoS的工作原理和配置方法带来了巨大的困难。
H3C交换机中的“端口安全”(Port Security)与Cisco设备中的“端口安全”功能并不完全一样,它是一种对网络接入进行控制的安全机制(防止非法接入),是对已有的IEEE 802.1x认证和MAC地址认证的扩充。H3C交换机中的端口安全主要功能就是用户通过定义各种安全模式,来控制端口上的MAC地址学习或对用户进行认证,从而让设备学习到合法的源MAC地址,以达到相应的网络管理效果。
三层交换原理一直是许多读者朋友最难理解的,在日常的读者交流中也经常见到有读者提出这方面的问题,特别是三层交换与路由原理方面的区别与联系。其实三层交换机不仅同时与二层交换和路由有着密切的联系,同时与要依靠三层的ARP协议。下面具体剖析一下三层交换原理。
在NAT进行IP地址转换中,许多读者朋友对几种IP地址转换方式所对应的转换原理总是搞不清楚,更不清分不清内/外部地址转换的区别,在读者QQ群中经常有人提出有方面的问题,为此笔者这次从最新的“四件套”图书中全面摘出这部分内容供大家分享。至于其中所涉及的网络通信原理方面大家可通过广受好评的《深入理解计算机网络》一书全面得到深入理解
EIGRP采用的是DUAL(Diffusing Update Algorithm,扩散更新算法)。这个算法可以确保在极短时间内无环路计算出路由结果,并且允许所有与拓扑改变相关的设备在同一时间进行同步更新。不受拓扑结构改变的路由器不会进行重新计算。这种收敛效率要远比其他已存的路由协议要高。
“递归解析”(或叫“递归查询”,其实意思是一样的)是最常见,也是默认的解析方式。在这种解析方式中,如果客户端配置的本地名称服务器不能解析的话,则后面的查询全由本地名称服务器代替DNS客户端进行查询,直到本地名称服务器从权威名称服务器得到了正确的解析结果,然后由本地名称服务器告诉DNS客户端查询的结果。
一直以来有许多读者朋友对TCP的传输连接建立和释放过程不是很理解,而这又是几乎网络认证中必考的知识点,包括软考、CCNA\CCNP、H3CNA\H3CNE等,为此再把笔者年度巨作,广受好评的——《深入理解计算机网络》书中的相关内容摘出来与大家分享。本书详细内容及读者评价可从这里了解:http://item.jd.com/11165825.html
本示例拓扑结构如图15-6所示。整个DVPN网络呈Full-Mesh(全互联)结构,各设备接口的IP地址分配如表15-15所示。示例中,主/备VAM 服务器负责管理、维护各个节点的信息;AAA服务器负责对VAM客户端进行认证和计费管理;两个Hub互为备份,负责数据的转发和路由信息的交换。Spoke与Hub之间建立永久隧道连接,其中Spoke 1只通过一个隧道接口Tunnel1与其他VAM客户端建立DVPN连接,Spoke 3只通过一个隧道接口Tunnel2与其他VAM客户端建立DVPN连接,Spoke 2通过两个隧道接口Tunnel1、Tunnel2与其他VAM客户端建立DVPN连接。且同一VPN域中,任意的两个Spoke之间在有数据传输时可直接动态建立隧道连接。
许多读者朋友错误地认为静态路由很简单,就一个命令,没什么好学的。其实这是因为他们根本没有深入理解静态路由的工作原理,对于仅有一条静态路由配置命令中的各参数和选项的含义和使用方法也是一知半解,结果造成的是遇到一些静态路由故障时无法进行分析,而对于一些静态路由配置也无法区分是否正确。本文将全面介绍静态路由的各主要特点,以及Cisco设备中的静态路由配置命令详解解释,其中包括许多你以前一定不知道的私家秘籍!!
Easy VPN服务器至少需要进行如下四方面的配置任务(还有一些要根据实际的功能需求所进行的选择配置任务): l 建立用于IKE第一阶段设备认证的IKE策略:也是一个或多个包括加密算法、哈希算法、认证方法和DH组类型组合的建议,也即我们在本书第13章中介绍的IKE策略中所需的加密映射、变换集条目等。 l 配置用于IKE第二阶段Xauth扩展用户认证的AAA策略:其中包括所采用的AAA认证、授权或者计帐(此功能为可选配置)方法。 l 配置模式配置推送功能:其中包括定义可用于模式配置推送的IPSec组或用户属性(包括要推送给Easy VPN客户端的内部本地地址),启用模式配置推送功能,指定推送URL。 l 配置RRI(反向路由注入)功能:为每个分配给Easy VPN客户端内部IP地址或子网自动创建静态路由。
H3C路由器所支持的动态NAT地址转换主要包括:NAPT、NOPAT、EASY IP这三种模式。一般情况下,通过在接口上配置所需关联的ACL和内部全局地址池(当采用EASY IP进行配置时不用配置址池)即可实现动态地址转换,让内部网络用户根据ACL(可选配置)所配置的策略动态选择地址池中可用的IP地址进行转换。但要注意:有些H3C设备还支持仅仅通过判断流出接口报文的源地址,而不使用ACL的方式来实现出接口报文的动态地址转换。
在802.1x认证中,采用远程RADIUS服务器是最常用的AAA访问控制方式,而且RADIUS服务器不仅可以实现802.1x用户所需的认证,还可对他们进行授权和计费。本示例拓扑如图18-6所示,所采用的RADIUS服务器是广泛应用,由H3C公司开发的iMC系统。
要理解OSPF路由协议的工作原理,特别是路由更新机制,首先就要对它的各种报文格式有一个全面的了解。OSPF报文主要有5种:Hello报文、DD(Database Description,数据库描述)报文、LSR(LinkState Request,链路状态请求)报文、LSU(LinkState Update,链路状态更新)报文和LSAck(LinkState Acknowledgment,链路状态应答)报文。它们各自在OSPF路由更新中所担当的用途不一样,报文格式也存在比较大的差别。
RIP协议有两种更新机制:一是定期更新,二是触发更新。“定期更新”是根据设置的更新计时器定期发送RIP路由通告。该通告报文中携带了除“水平分割”机制抑制的RIP路由之外本地路由器中的所有RIP路由信息。而“触发更新”则是RIP路由器仅在有路由表项发生变化时发送的RIP路由通告,仅携带本地路由表中有变化的路由信息。
近段时间在一些网络技术QQ群中许多朋友对子网划分的方法还是不了解,经常单独向我请教。现从我今年出版的新作《深入理解计算机网络》中摘录该部分内容,做一次集中解答,希望对这些朋友有用。本书好评如潮,是国内最通俗、最系统的计算机网络原理和网络基础类图书,被誉为国人写的更通俗易懂的《TCP/IP详解》,点击这里了解几百名真实读者对本书的高度评价:http://winda.blog
7.7.5 三层交换原理 二层交换机的二层数据交换一般都是使用ASIC(Application Specific Integrated Circuit ,专用集成电路)的硬件芯片中的CAM表来实现的,因为是硬件转发,所以转发性能非常高。而三层交换机的三层转发也是依靠ASIC芯片完成的(路由器的路由功能主要依靠CPU软件进行的),但其中除了二层交换用的
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
