2301_76769137的博客

如果在未学习到网关MAC地址的情况下收到用户的ARP请求，MFF设备将不会转发该ARP请求，而以用户的IP地址和MAC地址为源信息构造ARP请求报文发给网关，并从网关回应的ARP应答报文中学习网关MAC地址。MFF设备捕获用户发出的ARP请求报文，并以网关的MAC地址作为源MAC构造ARP应答报文发送给用户，使用户的ARP表记录的IP地址都与网关的MAC对应，由此强制用户发出的所有数据报文在二层转发中都以网关为目的地，从而使数据流量监控、计费得以实施，提高网络的安全性。用户接口是指连接终端用户的接口。

MPLS需要为报文事先分配好标签，建立一条LSP，才能进行报文转发。LSP分为静态LSP和动态LSP两种。

流量监管可以对不同流量进行监督，对超出部分的流量进行“惩罚”，使进入的流量被限制在一个合理的范围之内，从而保护网络资源和用户的利益。

如所示，某企业不同分支跨运营商的PWE3/VLL/VPLS网络互联，PE作为运营商的边缘设备，通过子接口接入各分支网络，CE发往PE的VLAN报文携带两层VLAN Tag。不同分支用户要求互通。QinQ终结子接口接入PWE3/VLL/VPLS示意图在PE1和PE2的子接口上分别部署QinQ终结和PWE3/VLL/VPLS。

如所示，某企业不同分支跨运营商的PWE3/VLL/VPLS网络互联，PE作为运营商的边缘设备，通过子接口接入各分支网络，CE发往PE的业务数据报文携带一层或两层VLAN Tag。不同分支用户要求互通。Dot1q终结子接口接入PWE3/VLL/VPLS示意图在PE1和PE2的子接口上分别部署Dot1q终结和PWE3/VLL/VPLS。

这样部署后，VLAN2和VLAN3的用户主机间就可以三层互通了：当Port1.1从SwitchB收到VLAN2的报文时，剥掉VLAN2的Tag后三层转发给Port1.2，Port1.2在发出该报文时添加VLAN3，使该报文可以到达VLAN3的用户主机，反之亦然。所示，SwitchA为支持配置子接口的三层交换机，SwitchB为二层交换机，SwitchA通过一个三层以太网接口与SwitchB互连。在子接口Port1.1和Port1.2上配置Dot1q终结，剥除SwitchB上送报文中的VLAN Tag。

端到端伪线仿真PWE3（Pseudo-Wire Emulation Edge to Edge），是一种点到点的MPLS L2VPN技术。

虚拟租用线路VLL（Virtual Leased Line），又称虚拟专用线路业务VPWS（Virtual Private Wire Service），是对传统租用线业务的仿真，使用IP网络模拟租用线，提供非对称、低成本的数字数据网DDN（Digital Data Network）业务。VLL是建立在MPLS技术上的点对点的二层隧道技术，解决了异种介质不能相互通信的问题。如图1所示。图1VLL示意图。

当多条路由的路由优先级和路由度量都相同时，这几条路由就称为等价路由，多条等价路由可以实现负载分担。当这几条路由为非等价路由时，就可以实现路由备份。

这样不但能够隔离私网内不同VPN的报文转发路径，而且通过与PE间的配合，也能够将每个VPN的路由正确发布至对端PE，保证VPN报文在公网内的传输。随着用户业务的不断细化和安全需求的提高，很多情况下一个私有网络内的用户需要划分成多个VPN，不同VPN用户间的业务需要完全隔离。此时，为每个VPN单独配置一台CE将加大用户的设备开支和维护成本；BGP/MPLS IP VPN以隧道的方式解决了在公网中传送私网数据的问题，但传统的BGP/MPLS IP VPN架构要求每个VPN实例单独使用一个CE与PE相连，如。

当使用GE接口、Ethernet接口、Eth-Trunk接口作为AC接口时，默认AC接口上送PW的报文中的携带的外层Tag为U-Tag。解封装后，报文从PW进入AC，PE设备会根据AC接口类型及报文中的Tag类型对报文进行不同的Tag处理方式，具体处理方式如。对端PE收到本端PE发送的报文后，对其进行MPLS解封装，根据解封装后得到的VC信息，将报文转发到对应的AC接口。报文从AC接口进入PE上的PW时，PE设备根据报文中外层Tag类型及PW的封装方式进行不同的封装处理。

虚拟租用线路VLL（Virtual Leased Line），又称虚拟专用线路业务VPWS（Virtual Private Wire Service），是对传统租用线业务的仿真，使用IP网络模拟租用线，提供非对称、低成本的数字数据网DDN（Digital Data Network）业务。VLL是建立在MPLS技术上的点对点的二层隧道技术，解决了异种介质不能相互通信的问题。如图1所示。图1VLL示意图。

介绍L2TPv3实现原理。如所示，企业分支局域网之间想通过IP网络进行二层数据通信，在企业出口网关处配置了L2TPv3功能。L2TPv3组网图。

OSPF规定STUB区域是不能引入外部路由的，这样可以避免大量外部路由对STUB区域路由器带宽和存储资源的消耗。对于既需要引入外部路由又要避免外部路由带来的资源消耗的场景，STUB区域就不再满足需求了。因此产生了NSSA区域。OSPF NSSA区域（Not-So-Stubby Area）是OSPF新增的一类特殊的区域类型。NSSA区域和STUB区域有许多相似的地方。两者的差别在于，NSSA区域能够将自治域外部路由引入并传播到整个OSPF自治域中，同时又不会学习来自OSPF网络其它区域的外部路由。

GTSM（Generalized TTL Security Mechanism），即通用TTL安全保护机制。GTSM通过检查IP报文头中的TTL值是否在一个预先定义好的范围内，对IP层以上业务进行保护。

OSPF TE（OSPF Traffic Engineering，即OSPF流量工程）是为了支持MPLS流量工程（MPLS TE），支持建立和维护TE的标签交换路径LSP（Label Switch Path）而在OSPF协议基础上扩展的新特性。在MPLS TE架构中（请参见《MPLS配置-MPLS TE配置》中的“原理描述”）OSPF扮演了信息发布组件的角色，负责收集扩散MPLS流量工程信息。除了网络的拓扑信息外，流量工程还需要知道网络的约束信息（包括带宽、TE度量值、管理组和亲和属性等）。

IP源防攻击IPSG（IP Source Guard）是一种基于二层接口的源IP地址过滤技术，它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。

当设备无法访问安全中心平台时，用户可以在能够访问安全中心平台的PC上下载升级包，通过FTP或TFTP等方式将IPS特征库文件上传到设备上进行本地升级。IPS特征库安装时涉及新旧IPS特征库的切换，可能影响入侵行为的检测，用户可以选择影响较小时启用安装确认功能。为识别更多的入侵行为，提高系统的安全防护能力，在配置IPS功能之前，请先升级IPS特征库。，去使能安装确认功能，即定时下载的IPS特征库进行自动安装，不需要经过用户确认。，使能安装确认功能，即定时下载的IPS特征库需要经过用户确认后再安装。

介绍IPS的实现原理。

IP-Trunk是将多个链路层协议为HDLC的POS接口捆绑到一起，形成一条逻辑上的数据链路，以提供更高的连接可靠性和更大的带宽，实现流量负载分担。

在隧道模式下，首先在原有IP报文外部封装安全协议头ESP，然后在最外层封装一个与原有报文IP头完全相同的IP头，这样经过加密后的报文仍保留了原报文IP头的重要信息，包括源/目的地址，协议标识等。A2A VPN的数据封装与传统的IPSec类似，但A2A VPN只支持使用ESP（Encapsulating Security Payload）协议对报文进行加密，数据的封装模式也只支持隧道模式，该模式由KS决定并下发给GM。Normal模式：已经注册成功的GM只发送密文报文，只接收密文报文。

KS对收到的组ID进行验证，验证通过后，KS根据GM提供的组ID向GM发送相应组的GDOI安全策略（例如保护的数据流信息、认证算法、加密算法、封装模式等）。第二阶段为GDOI协商：在第一阶段建立的IKE SA的保护下GM与KS进行GDOI协商，并从KS下载密钥信息（KEK、TEK）。GM对收到的GDOI安全策略进行验证，如果这些策略是可接受的（例如认证算法和加密算法是可支持的），则向KS发送确认消息。第一阶段为IKE协商：GM与KS进行协商，进行双方的身份认证，身份认证通过后，建立IKE SA。

A2A VPN的基本组网如图所示，主要包括两类设备，密钥服务器KS（Key Server）和组成员GM（Group Member）。A2A VPN提供了一种基于组的IPSec安全模型。组是一个GDOI安全策略的集合，属于同一个组的所有成员共享相同的GDOI安全策略及密钥。

它提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层VPN的安全技术，特定的通信方之间通过建立IPSec隧道来传输用户的私有数据。其通过对密钥和GDOI安全策略的集中管理，简化了网络部署，分布式的分支机构网络既能够大规模扩展，也支持能够确保语音和视频质量的QoS和组播功能。随着网络的发展，企业不仅有数据业务，而且对于语音和视频等智能业务的诉求也越来越多，这些诉求加速了企业对分支机构间即时互联的需求。企业大量分支间的数据IPSec加密面临N2隧道配置的问题，配置管理复杂，网络扩容能力差。

URPF（Unicast Reverse Path Forwarding）是单播逆向路径转发的简称，其主要功能是防止基于源IP地址欺骗的网络攻击行为。

IP地址冲突检测：当设备接口的协议状态变为Up时，设备主动对外发送免费ARP报文。如果检测到IP地址冲突，设备会周期性的广播发送免费ARP应答报文，直到冲突解除。用于通告一个新的MAC地址：发送方更换了网卡，MAC地址变化了，为了能够在动态ARP表项老化前通告网络中其他设备，发送方可以发送一个免费ARP。在VRRP备份组中用来通告主备发生变换：发生主备变换后，MASTER设备会广播发送一个免费ARP报文来通告发生了主备变换。设备主动使用自己的IP地址作为目的IP地址发送ARP请求，此种方式称免费ARP。

如图所示，在接入用户侧的VLAN上应用IPSG，属于该VLAN的所有接口接收到IP报文均进行IPSG检查。如果与用户直连的接入设备不支持IPSG功能，也可以在汇聚设备或核心设备上应用IPSG，如图所示。IPSG一般应用在与用户直连的接入设备上，可以基于接口或者基于VLAN应用。基于VLAN使能IPSG。基于接口使能IPSG。

MPLS TE（MPLS Traffic Engineering），即MPLS流量工程。MPLS流量工程通过建立基于一定约束条件的LSP隧道，并将流量引入到这些隧道中进行转发，使网络流量按照指定的路径进行传输，达到流量工程的目的。

如左图所示，在一些简单的树形网络拓扑中，与用户网段相连的设备RouterB上并不需要运行复杂的组播路由协议（如PIM），而透传主机IGMP报文又会导致RouterA管理太多用户。当网络中存在大量成员主机或大量成员主机频繁加入/离开组播组时，会产生大量的IGMP报告/离开报文，从而给接入设备RouterA带来较大的处理压力。如右图所示，通过在RouterB上配置IGMP Proxy功能，可以解决以上问题，实现组播报文正常转发同时减轻RouterA的处理压力。

MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。

LLDP可以将本地设备的信息组织起来并发布给自己的远端设备，本地设备将收到的远端设备信息以标准MIB的形式保存起来。LLDP本地系统MIB用来保存本地设备信息。包括设备ID、接口ID、系统名称、系统描述、接口描述、网络管理地址等信息。LLDP远端系统MIB用来保存远端设备信息。包括设备ID、接口ID、系统名称、系统描述、接口描述、网络管理地址等信息。

智能应用控制SAC（Smart Application Control）引入了业务感知技术，通过智能的应用协议识别与分类引擎，对报文中的第4～7层内容和一些动态协议(如HTTP、RTP)进行检测和识别，根据分类结果实施精细化QoS策略控制，从而实现基于应用的流量控制。SAC基于业务感知技术中的特征识别技术实现对应用的识别和分类。不同的应用程序通常会采用不同的协议，而不同的应用协议具有各自的特征，这些特征可能是特定的端口、特定的字符串或者特定的比特序列，能标识该协议的特征称为特征码。

入侵防御系统IPS（Intrusion Prevention System）是一种安全机制，通过分析网络流量可以检测出入侵行为（包括缓冲区溢出攻击、木马、蠕虫等），提供一种主动的、实时的防护，对网络深层攻击行为进行准确的分析判断，阻止漏洞攻击的恶意流量，为企业网络提供“虚拟补丁”，从而保护企业信息系统和网络架构免受侵害。

AAA作为网络安全的一种管理机制，以模块化的方式提供以下服务：认证：确认访问网络的用户的身份，判断访问者是否为合法的网络用户。授权：对不同用户赋予不同的权限，限制用户可以使用的服务。计费：记录用户使用网络服务过程中的所有操作，包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，也对网络起到监视作用。vAAA采用客户端/服务器结构，AAA客户端运行在接入设备上，通常被称为NAS设备，负责验证用户身份与管理用户接入；

SD-WAN EVPN是一种用于Overlay业务网络和底层传输网络分离以及业务网络路由和传输网络路由分离的VPN技术。SD-WAN EVPN技术采用类似于BGP/MPLS IP VPN的机制，通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的底层传输网络互通，通过BGP的多VPN能力，统一控制协议，使路由统一发布，最终实现不同站点网络间的隧道封装信息从数据平面转移到控制平面。SD-WAN EVPN的基本应用场景如所示。SD-WAN EVPN应用场景。

所示，Router上只有一个空闲接口GE1/0/0，但该局域网中的计算机分别属于2个不同的网段10.16.1.0/24和10.16.2.0/24，要求通过Router可以实现一个接口接入两个不同的网段。# 网段10.16.1.0/24和网段10.16.2.0/24内的主机可以互相Ping通。# 从Router上Ping网段10.16.1.0/24内的主机，可Ping通。# 从Router上Ping网段10.16.2.0/24内的主机，可Ping通。配置主从IP地址，实现一个接口可以接入两个不同网段。

网络中的环路会导致设备对广播、组播以及未知单播等报文进行重复发送，造成网络资源浪费甚至网络瘫痪。为了能够及时发现二层网络中的环路，避免对整个网络造成严重影响，需要提供一种检测技术，使网络中出现环路时能及时通知用户检查网络连接和配置情况，并能够将出问题的接口置于某种受控状态。Loopback Detection正是这样的检测技术。它通过从接口周期性发送检测报文，检查该报文是否返回本设备（不要求收、发接口为同一接口），进而判断该接口、设备下挂网络或设备，或者设备双接口间是否存在环路。

动态交换服务组DFS Group（Dynamic Fabric Service Group），主要用于部署M-LAG设备之间的配对，M-LAG双归设备之间的接口状态，表项等信息同步需要依赖DFS Group协议进行同步。M-LAG成员接口角色也区分主和备，与对端同步成员口信息时，状态由Down先变为Up的M-LAG成员接口成为主M-LAG成员口，对端对应的M-LAG成员口为备。部署M-LAG且状态为主的设备，通常也称为M-LAG主设备。部署M-LAG且状态为备的设备，通常也称为M-LAG备设备。

路由器转发数据包的关键是路由表和FIB表，每个路由器都至少保存着一张路由表和一张FIB（Forwarding Information Base）表。路由器通过路由表选择路由，通过FIB表指导报文进行转发。

IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，接入设备通过认证来控制用户对网络资源的访问。如所示，802.1X系统为典型的Client/Server结构，包括三个实体：客户端、接入设备和认证服务器。802.1X认证系统示意图。