- 博客(156)
- 收藏
- 关注
RSS订阅原创 MFF原理描述
如果在未学习到网关MAC地址的情况下收到用户的ARP请求,MFF设备将不会转发该ARP请求,而以用户的IP地址和MAC地址为源信息构造ARP请求报文发给网关,并从网关回应的ARP应答报文中学习网关MAC地址。MFF设备捕获用户发出的ARP请求报文,并以网关的MAC地址作为源MAC构造ARP应答报文发送给用户,使用户的ARP表记录的IP地址都与网关的MAC对应,由此强制用户发出的所有数据报文在二层转发中都以网关为目的地,从而使数据流量监控、计费得以实施,提高网络的安全性。用户接口是指连接终端用户的接口。
2024-10-23 15:57:25
664
1
原创 华为流量监管
流量监管可以对不同流量进行监督,对超出部分的流量进行“惩罚”,使进入的流量被限制在一个合理的范围之内,从而保护网络资源和用户的利益。
2024-10-18 16:58:04
554
原创 IPv6 DNS简介
IPv6网络中的每台主机都是由IPv6地址来标识的,用户只有获得待访问主机的IPv6地址,才能够成功实现访问操作。对于用户来讲,记住主机的IPv6地址是相当困难的,因此设计了一种字符串形式的主机命名机制,这就是域名系统。用户进行访问网络主机操作时,可以直接使用便于记忆的、有意义的域名,由网络中的域名解析服务器将域名解析为正确的IPv6地址。设备支持作为IPv6 DNS客户端、IPv6 DNS Proxy/Relay。IPv6 DNS客户端的典型组网如。
2024-10-14 16:04:19
1466
原创 通过QinQ终结子接口实现VPN接入
如所示,某企业不同分支跨运营商的PWE3/VLL/VPLS网络互联,PE作为运营商的边缘设备,通过子接口接入各分支网络,CE发往PE的VLAN报文携带两层VLAN Tag。不同分支用户要求互通。QinQ终结子接口接入PWE3/VLL/VPLS示意图在PE1和PE2的子接口上分别部署QinQ终结和PWE3/VLL/VPLS。
2024-08-31 19:34:52
384
原创 通过Dot1q终结子接口实现VPN接入
如所示,某企业不同分支跨运营商的PWE3/VLL/VPLS网络互联,PE作为运营商的边缘设备,通过子接口接入各分支网络,CE发往PE的业务数据报文携带一层或两层VLAN Tag。不同分支用户要求互通。Dot1q终结子接口接入PWE3/VLL/VPLS示意图在PE1和PE2的子接口上分别部署Dot1q终结和PWE3/VLL/VPLS。
2024-08-31 19:34:10
444
原创 通过Dot1q终结子接口实现VLAN间互访
这样部署后,VLAN2和VLAN3的用户主机间就可以三层互通了:当Port1.1从SwitchB收到VLAN2的报文时,剥掉VLAN2的Tag后三层转发给Port1.2,Port1.2在发出该报文时添加VLAN3,使该报文可以到达VLAN3的用户主机,反之亦然。所示,SwitchA为支持配置子接口的三层交换机,SwitchB为二层交换机,SwitchA通过一个三层以太网接口与SwitchB互连。在子接口Port1.1和Port1.2上配置Dot1q终结,剥除SwitchB上送报文中的VLAN Tag。
2024-08-31 19:33:18
403
原创 PWE3简介
端到端伪线仿真PWE3(Pseudo-Wire Emulation Edge to Edge),是一种点到点的MPLS L2VPN技术。
2024-08-29 21:37:17
483
原创 VLL简介
虚拟租用线路VLL(Virtual Leased Line),又称虚拟专用线路业务VPWS(Virtual Private Wire Service),是对传统租用线业务的仿真,使用IP网络模拟租用线,提供非对称、低成本的数字数据网DDN(Digital Data Network)业务。VLL是建立在MPLS技术上的点对点的二层隧道技术,解决了异种介质不能相互通信的问题。如图1所示。图1VLL示意图。
2024-08-28 11:44:08
655
原创 负载分担与路由备份
当多条路由的路由优先级和路由度量都相同时,这几条路由就称为等价路由,多条等价路由可以实现负载分担。当这几条路由为非等价路由时,就可以实现路由备份。
2024-08-27 14:10:33
774
原创 配置MCE IPv6示例
在vpnb内运行RIPng,在MCE上配置RIPng进程200,并与vpnb实例绑定,以便将vpnb内的路由学习到vpnb实例的路由表中。可以看见PE1与PE2的IBGP对等体关系及PE1与CE1、CE2之间建立EBGP对等体关系均为“Established”。要求属于相同VPN的用户之间能互相访问,但不同VPN的用户之间不能互相访问,从而实现不同业务间隔离。# 配置PE2,和PE1建立MP-IBGP对等体,PE2的配置过程同PE1(略)。# 配置PE1,和CE1、CE2建立EBGP对等体。
2024-08-21 12:00:00
1465
原创 MCE IPv6简介
这样不但能够隔离私网内不同VPN的报文转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保证VPN报文在公网内的传输。随着用户业务的不断细化和安全需求的提高,很多情况下一个私有网络内的用户需要划分成多个VPN,不同VPN用户间的业务需要完全隔离。此时,为每个VPN单独配置一台CE将加大用户的设备开支和维护成本;BGP/MPLS IP VPN以隧道的方式解决了在公网中传送私网数据的问题,但传统的BGP/MPLS IP VPN架构要求每个VPN实例单独使用一个CE与PE相连,如。
2024-08-20 16:15:09
349
原创 VLL基本原理
当使用GE接口、Ethernet接口、Eth-Trunk接口作为AC接口时,默认AC接口上送PW的报文中的携带的外层Tag为U-Tag。解封装后,报文从PW进入AC,PE设备会根据AC接口类型及报文中的Tag类型对报文进行不同的Tag处理方式,具体处理方式如。对端PE收到本端PE发送的报文后,对其进行MPLS解封装,根据解封装后得到的VC信息,将报文转发到对应的AC接口。报文从AC接口进入PE上的PW时,PE设备根据报文中外层Tag类型及PW的封装方式进行不同的封装处理。
2024-08-16 09:30:00
858
原创 VLL简介
虚拟租用线路VLL(Virtual Leased Line),又称虚拟专用线路业务VPWS(Virtual Private Wire Service),是对传统租用线业务的仿真,使用IP网络模拟租用线,提供非对称、低成本的数字数据网DDN(Digital Data Network)业务。VLL是建立在MPLS技术上的点对点的二层隧道技术,解决了异种介质不能相互通信的问题。如图1所示。图1VLL示意图。
2024-08-14 14:56:57
737
原创 配置设备之间通过L2TPv3 over IPSec方式实现安全互通的示例
可以查看接口与IP相关的简要信息,包括IP地址、子网掩码、物理链路和协议的Up/Down状态以及处于不同状态的接口数目,以LCCE1显示为例。# 在LCCE1上配置Link-bridge功能,使AC接口和Tunnel接口绑定。# 在LCCE2上配置Link-bridge功能,使AC接口和Tunnel接口绑定。# 在LCCE1上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。# 在LCCE2上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。
2024-08-13 14:30:00
482
原创 L2TPv3原理介绍
介绍L2TPv3实现原理。如所示,企业分支局域网之间想通过IP网络进行二层数据通信,在企业出口网关处配置了L2TPv3功能。L2TPv3组网图。
2024-08-12 15:29:11
949
原创 OSPF NSSA
OSPF规定STUB区域是不能引入外部路由的,这样可以避免大量外部路由对STUB区域路由器带宽和存储资源的消耗。对于既需要引入外部路由又要避免外部路由带来的资源消耗的场景,STUB区域就不再满足需求了。因此产生了NSSA区域。OSPF NSSA区域(Not-So-Stubby Area)是OSPF新增的一类特殊的区域类型。NSSA区域和STUB区域有许多相似的地方。两者的差别在于,NSSA区域能够将自治域外部路由引入并传播到整个OSPF自治域中,同时又不会学习来自OSPF网络其它区域的外部路由。
2024-08-09 08:15:00
491
原创 OSPF GTSM
GTSM(Generalized TTL Security Mechanism),即通用TTL安全保护机制。GTSM通过检查IP报文头中的TTL值是否在一个预先定义好的范围内,对IP层以上业务进行保护。
2024-08-07 14:56:59
190
原创 OSPF TE
OSPF TE(OSPF Traffic Engineering,即OSPF流量工程)是为了支持MPLS流量工程(MPLS TE),支持建立和维护TE的标签交换路径LSP(Label Switch Path)而在OSPF协议基础上扩展的新特性。在MPLS TE架构中(请参见《MPLS配置-MPLS TE配置》中的“原理描述”)OSPF扮演了信息发布组件的角色,负责收集扩散MPLS流量工程信息。除了网络的拓扑信息外,流量工程还需要知道网络的约束信息(包括带宽、TE度量值、管理组和亲和属性等)。
2024-08-07 14:56:17
370
原创 IPSG简介
IP源防攻击IPSG(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
2024-07-29 14:30:00
400
原创 升级IPS特征库
当设备无法访问安全中心平台时,用户可以在能够访问安全中心平台的PC上下载升级包,通过FTP或TFTP等方式将IPS特征库文件上传到设备上进行本地升级。IPS特征库安装时涉及新旧IPS特征库的切换,可能影响入侵行为的检测,用户可以选择影响较小时启用安装确认功能。为识别更多的入侵行为,提高系统的安全防护能力,在配置IPS功能之前,请先升级IPS特征库。,去使能安装确认功能,即定时下载的IPS特征库进行自动安装,不需要经过用户确认。,使能安装确认功能,即定时下载的IPS特征库需要经过用户确认后再安装。
2024-07-27 12:15:00
1321
1
原创 IPS简介
入侵防御系统IPS(Intrusion Prevention System)是一种安全机制,通过分析网络流量可以检测出入侵行为(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式对其进行实时中止,从而保护企业信息系统和网络架构免受侵害。
2024-07-24 14:18:11
474
原创 IP-Trunk简介
IP-Trunk是将多个链路层协议为HDLC的POS接口捆绑到一起,形成一条逻辑上的数据链路,以提供更高的连接可靠性和更大的带宽,实现流量负载分担。
2024-07-19 14:09:57
514
原创 A2A VPN GM数据保护
在隧道模式下,首先在原有IP报文外部封装安全协议头ESP,然后在最外层封装一个与原有报文IP头完全相同的IP头,这样经过加密后的报文仍保留了原报文IP头的重要信息,包括源/目的地址,协议标识等。A2A VPN的数据封装与传统的IPSec类似,但A2A VPN只支持使用ESP(Encapsulating Security Payload)协议对报文进行加密,数据的封装模式也只支持隧道模式,该模式由KS决定并下发给GM。Normal模式:已经注册成功的GM只发送密文报文,只接收密文报文。
2024-07-19 12:00:00
352
原创 A2A VPN GM向KS注册
KS对收到的组ID进行验证,验证通过后,KS根据GM提供的组ID向GM发送相应组的GDOI安全策略(例如保护的数据流信息、认证算法、加密算法、封装模式等)。第二阶段为GDOI协商:在第一阶段建立的IKE SA的保护下GM与KS进行GDOI协商,并从KS下载密钥信息(KEK、TEK)。GM对收到的GDOI安全策略进行验证,如果这些策略是可接受的(例如认证算法和加密算法是可支持的),则向KS发送确认消息。第一阶段为IKE协商:GM与KS进行协商,进行双方的身份认证,身份认证通过后,建立IKE SA。
2024-07-17 12:00:00
282
原创 A2A VPN基本组网
A2A VPN的基本组网如图所示,主要包括两类设备,密钥服务器KS(Key Server)和组成员GM(Group Member)。A2A VPN提供了一种基于组的IPSec安全模型。组是一个GDOI安全策略的集合,属于同一个组的所有成员共享相同的GDOI安全策略及密钥。
2024-07-16 12:30:00
201
原创 A2A VPN简介
它提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN的安全技术,特定的通信方之间通过建立IPSec隧道来传输用户的私有数据。其通过对密钥和GDOI安全策略的集中管理,简化了网络部署,分布式的分支机构网络既能够大规模扩展,也支持能够确保语音和视频质量的QoS和组播功能。随着网络的发展,企业不仅有数据业务,而且对于语音和视频等智能业务的诉求也越来越多,这些诉求加速了企业对分支机构间即时互联的需求。企业大量分支间的数据IPSec加密面临N2隧道配置的问题,配置管理复杂,网络扩容能力差。
2024-07-15 14:11:11
231
原创 URPF简介
URPF(Unicast Reverse Path Forwarding)是单播逆向路径转发的简称,其主要功能是防止基于源IP地址欺骗的网络攻击行为。
2024-07-10 10:34:55
657
原创 免费ARP
IP地址冲突检测:当设备接口的协议状态变为Up时,设备主动对外发送免费ARP报文。如果检测到IP地址冲突,设备会周期性的广播发送免费ARP应答报文,直到冲突解除。用于通告一个新的MAC地址:发送方更换了网卡,MAC地址变化了,为了能够在动态ARP表项老化前通告网络中其他设备,发送方可以发送一个免费ARP。在VRRP备份组中用来通告主备发生变换:发生主备变换后,MASTER设备会广播发送一个免费ARP报文来通告发生了主备变换。设备主动使用自己的IP地址作为目的IP地址发送ARP请求,此种方式称免费ARP。
2024-06-29 14:21:20
353
原创 ARP报文限速
如果设备的某个接口在ARP报文限速时间内接收到的ARP报文数目超过了设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文,并在接下来的一段时间内(即阻塞ARP报文时间段)持续丢弃该接口下收到的所有ARP报文。设备支持在全局、VLAN和接口下配置ARP报文的限速值和限速时间,当同时在全局、VLAN和接口下配置ARP报文的限速值和限速时间时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。针对全局的ARP报文限速:在设备出现ARP攻击时,限制全局处理的ARP报文数量。
2024-06-27 10:08:05
352
原创 IPSG应用在网络中的位置
如图所示,在接入用户侧的VLAN上应用IPSG,属于该VLAN的所有接口接收到IP报文均进行IPSG检查。如果与用户直连的接入设备不支持IPSG功能,也可以在汇聚设备或核心设备上应用IPSG,如图所示。IPSG一般应用在与用户直连的接入设备上,可以基于接口或者基于VLAN应用。基于VLAN使能IPSG。基于接口使能IPSG。
2024-06-26 15:44:15
535
原创 DNS原理
如果DNS Client没有该域名对应的IP地址信息,DNS Client就会向DNS Server发起A类查询,获取该域名对应的IP地址,完成ping和tracert的功能。IPv4静态域名解析是通过静态域名解析表进行的,即手动建立域名和IPv4地址之间的对应关系表,该表的作用类似于Windows 9X操作系统下的hosts文件,可以将一些常用的域名放入表中。当DNS Client需要域名所对应的IPv4地址时,即到静态域名解析表中去查找指定的域名,从而获得所对应的IP地址,提高域名解析的效率。
2024-06-24 14:22:32
661
原创 动态ARP
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。动态ARP适用于拓扑结构复杂、通信实时性要求高的网络。
2024-06-22 20:15:41
634
原创 MPLS TE简介
MPLS TE(MPLS Traffic Engineering),即MPLS流量工程。MPLS流量工程通过建立基于一定约束条件的LSP隧道,并将流量引入到这些隧道中进行转发,使网络流量按照指定的路径进行传输,达到流量工程的目的。
2024-06-19 17:14:36
863
原创 IGMP Proxy
如左图所示,在一些简单的树形网络拓扑中,与用户网段相连的设备RouterB上并不需要运行复杂的组播路由协议(如PIM),而透传主机IGMP报文又会导致RouterA管理太多用户。当网络中存在大量成员主机或大量成员主机频繁加入/离开组播组时,会产生大量的IGMP报告/离开报文,从而给接入设备RouterA带来较大的处理压力。如右图所示,通过在RouterB上配置IGMP Proxy功能,可以解决以上问题,实现组播报文正常转发同时减轻RouterA的处理压力。
2024-06-14 17:44:48
1149
原创 华为网络设备攻击防范
畸形报文攻击是通过向交换机发送有缺陷的IP报文,使得交换机在处理这样的IP包时会出现崩溃,给交换机带来损失。畸形报文攻击主要有如下几种:没有IP载荷的泛洪攻击IGMP空报文攻击LAND攻击Smurf攻击TCP标志位非法攻击。
2024-06-13 15:59:28
639
原创 MAC认证
MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。
2024-06-11 09:19:36
1071
原创 华为HCIP-DATACOM 831最新题目
解析:题目要求R3选择AS-PATH最长的路由,R3 可以从R2、R5、R6学习到192.168.1.0/24的BGP路由,其中R2和R5传递过来的BGP路由AS-PATH长度为2 ,R6传递过来的BGP路由长度为3 ,所以题目就是需要选择R6传递过来的BGP路由,解题思路为拒绝R2(AS65002)、R5(AS65005)传递过来的BGP路由,B选项符合要求。灵活QinQ功能可以根据不同的内层报文来加上不同的外层Tag,那么以下关于灵活QinQ的tag添加情况的描述,错误的是哪一项?值,正确的是哪一项?
2024-06-06 17:14:39
1160
3
原创 LLDP工作原理
LLDP可以将本地设备的信息组织起来并发布给自己的远端设备,本地设备将收到的远端设备信息以标准MIB的形式保存起来。LLDP本地系统MIB用来保存本地设备信息。包括设备ID、接口ID、系统名称、系统描述、接口描述、网络管理地址等信息。LLDP远端系统MIB用来保存远端设备信息。包括设备ID、接口ID、系统名称、系统描述、接口描述、网络管理地址等信息。
2024-05-31 11:30:00
438
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人