H3C SE 教程笔记——构建安全优化的广域网(下)
第5篇????BGP/MPLS ×××
第15章????MPLS技術基礎
15.2????MPLS起源
????隨著Internet的迅速普及,傳統的路由器設備因其轉發性能低下,逐漸成為網絡的瓶頸。
????首先,路由器采用的轉發算法效率不高。路由器普遍采用IP轉發。IP轉發的原則是最長匹配算法。路由器在判斷該如何轉發一個數據包時,需要遍歷整個路由表,找出最能精確表達該數據目的地址所在位置的那一條路由。
????此外,當時路由器多采用通過CPU進行轉發處理,性能有限,對IP地址和路由的匹配運算需要耗費較多的處理器時間。
????MPLS(Multiprotocol Label Switching,多協議標簽交換)的基本概念是用一個短而定長的標簽來封裝網絡層分組,并將標簽封裝后的報文轉發到已升級改進過的交換機或者路由器,交換機或路由器根據標簽值轉發報文。后文將詳細闡述MPLS的具體實現過程。
????MPLS中的多協議有多層含義。一方面是指MPLS協議可以承載在多種二層協議之上,如常見的PPP、ATM、幀中繼(FR)、以太網等等;另一方面多種報文也可以承載在MPLS之上,如IPv4報文、IPv6報文等,甚至也包括各種二層報文。與多種協議的兼容性是MPLS協議得以普及的重要原因之一。
15.3????MPLS網絡組成
????MPLS網絡架構與普通的IP網絡相比,并無任何特殊性。普通的IP網絡、其路由器只要經過升級,支持MPLS功能,就成了MPLS網絡。在MPLS網絡中的路由器,具有標簽分發能力和標簽交換能力,被稱之為LSR。此外,MPLS網絡可以與非MPLS網絡共存,報文可在非MPLS網絡和MPLS網絡之間進行轉發。
????MPLS網絡的基本構成單元是LSR(Lable Switching Router),是具有標簽分發能力和標簽交換能力的設備。
????MPLS網絡包括以下幾個組成部分:
????·????入節點Ingress:報文的入口LSR,負責為進入MPLS網絡的報文添加標簽。
????·????中間節點Transit:MPLS網絡內部的LSR,根據標簽沿著由一系列LSR構成的LSP將報文傳送給出口LSR。
????·????出節點Egress:報文的出口LSR,負責剝離報文中的標簽,并轉發給目的網絡。
????FEC(Forwarding Equivalence Class,轉發等價類)是MPLS中的一個重要概念。MPLS將具有相同特征(目的地相同或具有相同服務等級等)的報文歸為一類,稱為FEC。屬于相同FEC的報文在MPLS網絡中將獲得完全相同的處理。
????屬于同一個FEC的報文在MPLS網絡中經過的路徑稱為LSP(Label Switched Path,標簽交換路徑)。LSP是一條單向報文轉發路徑。在一條LSP上,沿數據傳送的方向,相鄰的LSR分別稱為上游LSR和下游LSR。
15.4.2????MPLS標簽分配協議分類
15.4.3????LDP消息類型
????LDP協議定義了以下四類消息:
????·????發現消息(Discovery message):用于LDP鄰居的發現和維持。
????·????會話消息(Session message):用于LDP鄰居會話的建立、維持和中止。
????·????通告消息(Advertisement message):用于LSR向LDP鄰居宣告Label、地址等信息。
????·????通知消息(Notification message):用于向LDP鄰居通知事件或者錯誤。
????所有的LDP消息都采用TLV結構,具有很強的擴展性。
注意:
????具體的LDP消息有很多種,包括Notification、Hello、Initialization、KeepAlive、Address、Address Withdraw、Label Mapping、Label Request、Label Abort Request、Label Withdraw、Label Release等,這些消息都可以分別歸入上述四類之中。
15.4.4????標簽分配過程
15.4.5????標簽分配和管理方式
????在標簽分配的過程中,存在很多種方式,這些方式一般情況下可以在設備上進行配置,各種不同的方式適合不同的MPLS應用。
????標簽通告模式包括:
????????·????DOD:downstream-on-demand????下游按需方式
????????·????DU:downstream unsolicited 下游自主方式
????標簽控制模式包括:
????????·????有序方式(Ordered)
????????·????獨立方式(Independent)
????標簽保持模式包括:
????????·????保守模式(Conservative)
????????·????自由模式(Liberal)
15.5????MPLS轉發實現
15.6????MPLS應用與發展
第16章????BGP MPLS ×××基本原理
16.2????BGP MPLS ××× 技術背景
16.2.1????傳統×××缺陷
????×××技術能夠非常有效的節省用戶建立私有網絡的成本,成為用戶建立私有網絡的一個很好的選擇,因此各種各樣的×××技術也紛紛出爐,如GRE、IPSec、L2TP等等。這些×××技術被統稱為傳統×××技術。隨著網絡的發展,用戶私有網絡的規模也逐漸擴大,傳統×××技術的一些缺點被暴露出來,最主要的體現為以下兩點:
????·????靜態隧道的可擴展性不強。傳統×××技術的隧道需要靜態建立,隨著用戶網絡規模的擴大,×××隧道的數量成N平方增長,用戶的分支部門的增減都將涉及到大量的靜態隧道的配置或刪除。
????·????×××只能由用戶自行維護和管理。在公共的Internet網絡上承載著很多的×××用戶,而各個×××用戶的私網地址空間通常是重疊的,×××的維護和管理工作只能由用戶自行完成。負責維護和管理公共網絡的運營商因為不能區分開用戶,無法接管用戶的×××。
????這兩個缺點,使得用戶不可能選擇采用傳統的×××技術建立大規模的私有網絡。
16.2.2????BGP MPLS ×××的優點
????BGP MPLS ×××技術是通過BGP和MPLS兩種技術配置實現的一種新型的×××技術,與傳統×××技術相比,它有如下三個優點:
????·????實現隧道的動態建立。傳統×××技術用戶各個分部之間的×××隧道需要由維護人員手工靜態配置,而BGP MPLS ×××技術隧道是動態建立的。用戶的各個分部之間會自動建立隧道,且分部的增加或減少,不需要用戶再去添加或刪除隧道配置。
????·????解決了本地地址沖突問題。BGP MPLS ×××技術實現了一臺路由器可以同時處理多個不同的×××用戶數據的功能,最終使得多個地址沖突的用戶都可以將建立和維護×××的工作交給運營商,進一步降低×××用戶的負擔。
????·????×××私網路由易于控制。私網路由的交互是×××技術實現的關鍵,能夠動態的交互私網路由,用戶網絡才能自動發現各個分部網絡的所在位置。傳統的×××技術中可以支持私網路由的動態學習,然后BGP MPLS ×××技術在私網路由的動態交互的基礎上,加入了互通或隔離的控制,可以更加靈活的控制用戶各個分部,或者各個不同用戶之間的互訪關系。
16.3????MPLS隧道
16.3.1????隧道技術與MPLS
????×××的實現依賴于一個很重要的技術,那就是隧道。通過隧道,用戶私網在公網之間建立起一個邏輯通路,讓用戶的各個分部之間如有實際的物理線路相連。而隧道的實現是通過報文封裝的方法。如GRE隧道,就是采用公網IP頭部來封裝私網報文,公網上的路由器根據報文的外層IP頭進行轉發,直到報文抵達目的私有網絡,再去除外層的IP頭,解封出私網報文。
????MPLS技術產生本意是為了加快報文的轉發效率,但它其實也是一種隧道技術。從它的實現原理可以看出,它也是對報文進行封裝,在IP報文的前面加上了MPLS標簽,路由器直接根據標簽進行轉發,而無需檢查內部的目的地址,這與GRE的封裝非常類似。所以MPLS技術是一種天然的隧道技術,而且與已有的×××所采用的隧道技術相比,它有著一個非常重要的優勢,那就是動態性。
16.3.2????MPLS隧道應用
16.3.3????MPLS倒數第二跳彈出
16.4????多VRF技術
16.4.1????優化×××組網結構
????在×××的組網結構中,我們將網絡分成公網和私網兩個部分。公網是指由服務商建設的公共網絡,而私網是指用戶自己建設的私有網絡。同時將網絡中的路由器按照在×××網絡中的位置區分成以下三種角色:
????·????CE(Custom Edge Router,用戶邊緣路由器):直接與公網相連的用戶設備;
????·????PE(Provider Edge Router,服務商邊緣路由器):指公網上的邊緣路由器,與CE相連;
????·????P(Provider Router,服務商路由器):指公網上的核心路由器。
????傳統的×××隧道建立在用戶的CE設備之間,隧道的建立維護等工作完全需要由用戶自己來完成,每個×××用戶的維護工作繁瑣且分散,總體維護成本高昂。另一方面,作為專門提供網絡服務的網絡供應商,他們擁有充足的網絡維護資源,但卻完全無法感知用戶的×××應用,不能提供×××相關的服務,從而無法獲得響應的利潤。傳統×××的這種結構限制了其大規模擴展,無論是用戶還是運營商都希望能夠將×××隧道的建立維護等工作轉移給運營商。
????另外一種×××方案是,隧道建立在PE設備之間,隧道的建立維護等工作由運營商來完成,如上圖所示。這樣,用戶能夠從繁瑣的×××維護工作中解脫出來,運營商也能夠從×××維護中獲利。
????然而,在以上方案中因為不同的私網用戶之間的地址空間可能完全重疊,所以運營商需要為每個×××用戶提供一臺接入設備,哪怕這兩個用戶離得再近也不能共用。這種方案稱之為專屬PE的方式。
????專屬PE方式需要運營商為每個×××用戶提供專門的設備,硬件成本過于高昂,用戶需要向運營商支付較高的費用,無法獲得廣泛認可。
????更優的×××隧道方案是隧道建立在公網的PE之間,每一臺公網PE設備還可以同時接入多個×××用戶,多個×××用戶能夠共享一個隧道。這個方案無論從可維護性上,還是從成本上都滿足額用戶和運營商的需求。然而,由于不同的×××用戶可能選用了相同的地址空間,這樣會造成PE設備無法區分這些用戶的數據流。也就是說,此方案存在著同一臺設備上地址沖突的問題。多VRF(Virtual Routing and Forwarding,虛擬路由與轉發)技術可以解決這個問題。
16.4.2????多VRF技術實現原理
????多VRF技術的目的就是要解決在同一臺設備上的地址沖突問題。如上圖所示,該PE路由器的兩個不同接口,分別接入×××1和×××2用戶,而×××1用戶和×××2用戶都選用了10.0.0.1/24這個網段的地址。在沒有多VRF技術的情況下,這兩條路由將會在PE上發生沖突,在PE的路由表里面只能保留一條10.0.0.0/24路由。
????支持多VRF技術的路由器將一臺路由器劃分成多個VRF,每個VRF之間互相獨立,互不可見,各自擁有獨立的路由表項、端口、路由協議等等,每一個VRF就類似一臺虛擬的路由器。
????若上圖所示,PE1為了能同時接入×××1和×××2這兩個地址沖突的私網用戶,啟用兩個VRF,每個VRF與×××相對應,在VRF1里面只看到與×××1相連的接口,只學習×××1的路由;VRF2上也只看到與×××2相連的接口,只學習×××2的路由。這兩個VRF各自擁有自己的路由表,VRF1學習到的10.0.0.0/24路由,下一跳指向Eth0/1,這2條路由同時存在于PE1上,互不沖突,互不影響。
????有了支持多個技術的PE設備,就可以實現一臺PE接入多個×××用戶。
????為了加深理解多VRF技術的實現,在此進一步說明多VRF與設備端口的關系。在支持多VRF的PE設備上,需要將和某一個×××用戶相連的接口與對應的VRF相綁定。如上圖所示,PE1會將Eth0/0與VRF1綁定,而將Eth0/1與VRF2綁定。與VRF綁定后的接口,只會出現在該VRF對應的路由表里面;并且,當報文從該接口進入路由器時,只能查詢該VRF對應的路由表進行轉發。
????如上圖所示,從Eth0/0接口進入路由器的報文,只能查詢×××1的路由表進行轉發;從Eth0/0接口進入路由器的報文,也只能查詢×××2的路由表進行轉發。
????多VRF與設備端口的這種關系,確保了數據進入多VRF設備進行轉發時,不同×××用戶的數據之間不會發生沖突。
????在支持多VRF技術的路由器上,不同的VRF運行獨立的路由協議,這些路由協議不會交互協議報文,且學習到的路由也放在各自VRF的路由表中,互不影響。實現這種效果需要將各個VRF運行的路由協議與該VRF進行綁定。
????不同的VRF可以選擇采用同一種路由協議與×××用戶之間交互路由,例如均采用OSPF路由協議;當然也可以選擇不同的路由協議。在支持多VRF的路由器上需要運行多個路由協議進程,并將不同的進程與不同的VRF進行綁定,將路由協議的某個進程與某VRF進行綁定的做法稱之為路由協議的多實例。
????如上圖所示,PE路由器上運行兩個OSPF實例。OSPF instance 1和VRF 1進行綁定,與私網×××1用戶的路由器CE1建立OSPF鄰居;OSPF instance 2和VRF2進行綁定,與私網×××2用戶的路由器CE2建立OSPF鄰居。此時OSPF instance 1學習到的路由就會收錄到VRF1所對應的路由表中,而OSPF instance 2學習到的路由器就只會收錄到VRF2所對應的路由表中。
????多VRF和路由協議多實例之間的綁定關系,確保了即使使用不同的×××用戶選用相同的地址空間,并與PE設備之間通過路由協議交互路由時,也不會在PE上出現路由沖突。
????目前,絕大多數的路由器設備都能支持路由協議多實例功能,包括OSPF、IS-IS、BGP、RIP、靜態路由等。
16.5????MP-BGP技術
16.5.1????MP-BGP技術實現
????有了比傳統×××更加先進的隧道技術,也有了比傳統×××更加合理的×××組網結構,最后只需要一種更加先進的路由協議,用于在PE設備之間交互私網路由信息。縱觀各種路由協議,最適合充當這個角色的路由協議是BGP路由協議,因為它有如下兩個非常關鍵的特質,適合用于×××技術中。
????·????BGP路由協議是基于TCP連接建立路由鄰居的,可以實現跨越多臺路由器建立BGP鄰居,直接交互路由信息。在×××的組網中,就是需要兩臺PE設備直接交互私網路由,無需經過中間的P設備轉達。因為作為隧道中間的P設備,它們無需了解×××的信息;另外,不同×××間地址空間會有重疊,如果這些×××路由都經過P設備轉達,P設備上將無法區分。
????·????BGP路由協議的協議報文是基于TLV結構的,具有擴展屬性位,便于攜帶更多的表明路由特征的信息。也就是說,BGP路由協議可以為×××組網定義一些擴展屬性,適應PE之間交互私網路由的需要。這一點對于×××非常重要,因為有了多VRF技術以后,每一臺PE設備需要接入多個×××用戶,一對PE設備之間交互的私網路由,需要設法攜帶上某種特征,才能夠通知對端PE這些路由信息屬于哪一個VRF。
????因為上述的兩個特質,BGP路由協議被BGP MPLS ×××技術選用作于穿越公網傳遞私網路由的路由協議。為了適應×××技術的需要,BGP路由協議進行了一定的擴展,擴展后的BGP路由協議叫著MP-BGP(Multiprootocol BGP),即多協議BGP路由協議。
16.5.2????Route Target屬性
16.5.3????RD前綴
16.5.4????MPLS 私網Label
16.6????BGP MPLS ×××基本原理
16.6.1????公網隧道建立
????BGP MPLS ×××的實現分為以下四個步驟:
????????·????公網隧道的建立
????????·????本地×××的建立
????????·????私網路由的學習
????????·????私網數據的轉發
16.6.2????本地×××的建立
????只是將接口與×××進行綁定,并沒有最終完成本地×××的建立,還需要PE設備與本地的×××用戶完成私網路由的交互,這樣才能讓接入到PE上的×××用戶知道PE是通往其他分部的出口。
????
16.3.3????私網路由的學習
????完成了本地×××的建立,BGP MPLS ×××實現開始了最關鍵的一個步驟,也就是私網路由的學習過程,這個過程的主角是MP-BGP協議,它的目的是將PE設備在本地×××的建立過程中學習到的本地的私網路由信息通過MP-BGP協議傳遞給對端PE設備,并且根據用戶的×××互訪關系的設計,將這些信息存放在對端PE設備的正確的×××路由表中。
????私網路由的學習可以分為兩個部分來看,第一步是本地路由的封裝,也就是按照MP-BGP協議的原理,在本端PE上對即將傳遞給對端的私網路由進行一系列的準備工作,最終封裝成一個MP-BGP路由更新消息,發送給對端。
????
16.6.4????私網數據的傳遞
第17章????BGP MPLS ×××配置與故障排除
17.2????BGP MPLS ×××的配置思路
????BGP MPLS ×××的配置思路與BGP MPLS ×××的原理完全吻合,與BGP MPLS ×××的實現過程一樣,配置也分為以下三個步驟:
????1)配置公網隧道,首先在公網上使能MPLS,建立公網隧道;
????2)配置本地×××,其次就是要根據用戶×××的互訪關系,設計本地×××;
????3)配置MP-BGP,最后在PE之間建立其MP-BGP鄰居,傳遞私網路由。
17.3????BGP MPLS ×××配置命令
17.3.1????配置公網隧道
????在配置公網隧道時,有以下三個關鍵配置:
????1)配置該LSR設備的LSR ID:LSR ID的格式是一個IP地址,它將用來在MPLS網絡中標識這臺LSR設備。所以要求LSR設備的LSR ID在MPLS網絡中唯一,通常會選用LSR的loopback地址作為其LSR ID。配置方法非常簡單,如上圖所示,在系統模式下配置。
????2)使能LDP:這一步的配置是要講一臺普通的路由器,轉變為一臺可以處理MPLS報文,可以進行MPLS標簽分配的路由器。當然使能的標簽分配協議由用戶選用的標簽分配協議來決定,不一定是LDP協議,此處以LDP為例,給出配置案例,該部分配置內容也在系統模式下。
????3)接口下使能MPLS和LDP:具體使能某一接口的MPLS報文處理能力和LDP標簽分配功能。系統模式下使能MPLS和LDP是接口使能對應功能的前提,只有具體接口使能了MPLS和LDP,該接口才能處理MPLS報文。
????完成上述配置后,如果網絡中已經有對應的某一網段的路由,就能自動形成對應的標簽轉發表項,從而形成對應的隧道。
17.3.2????配置本地×××
????配置BGP MPLS ×××的第二步是要建立本地×××,這部分的配置包含兩個重要的部分,第一部分是根據用戶×××互訪關系的要求,給對應的×××設計RT、RD等參數,并在PE上配置該×××;第二部分是將用戶接入PE的接口與對應的×××進行綁定,并啟動路由協議多實例完成PE和CE之間的本地私網路由交互。
????所以這部分的關鍵配置如下幾步:
????1)創建一個×××:其中×××的名稱是一個任意字符串,可以根據用戶的特點進行命名,建立盡可能考慮能從名稱上識別是哪個用戶,以方便維護。
????2)配置RD和RT:這部分首先要根據用戶互訪需求進行限制,規劃完成后方可將規劃的RT和RD值配置在該×××視圖下。
????3)配置接口與×××綁定:將用戶接入的接口與對應的×××進行綁定,方法只需要在對應的接口下配置上圖所示的綁定命令。
????4)配置PE與CE之間的路由協議:其中在PE一側需要將對應的路由實例與對應的×××進行綁定,上圖是以OSPF在PE側的配置為例,將OSPF某一進程與某一×××進行綁定。
17.3.3????配置MP-BGP
17.4????BGP MPLS ×××配置示例
17.4.1????網絡環境和需求
17.4.2????配置BGP MPLS ×××公網隧道
????按照BGP MPLS ×××的配置思路,首先在公網上配置MPLS公網隧道,該部分配置包括兩個部分:
????1)首先在公網上使能某種IGP路由協議,使得公網設備之間IP互通;
????2)其次在公網上的P和PE設備上使能MPLS和MPLS LDP協議,完成PE設備之間的公網隧道建立。
17.4.3????配置BGP MPLS ×××本地×××
????配置BGP MPLS ×××的第二步是要配置本地×××,該部分配置通常分為以下三個步驟來完成;
????1)創建×××:按照用戶互訪需求創建×××并配置該×××的RD和RT值;
????2)配置私網接口與×××的綁定:即將PE上用戶接入的私網接口與對應的×××進行綁定;
????3)配置PE和CE之間的路由協議:實現PE與本地×××用戶之間的路由交互;
17.4.4????配置MP-BGP
17.5????BGP MPLS ×××排查故障
17.5.1????BGP MPLS ×××故障排查思路
17.5.2????BGP MPLS ×××故障排查步驟
17.5.3????排查本地×××故障的步驟
17.5.4????排查MP-BGP故障的步驟
第6篇????增強網絡安全性
第18章????增強網絡安全性
18.2????網絡安全概述
18.2.1????網絡安全威脅的來源
????實際上,真正使得企業遭受重大損失的安全事件,大部分都是來自于內部。
18.2.2????網絡安全范圍
18.2.3????安全網絡構成
18.3????業務隔離
18.3.1????局域網業務隔離
18.3.2????廣域網業務隔離
18.4????訪問控制
18.4.1????為什么要進行訪問控制
18.4.2????訪問控制的實現手段
18.4.3????防火墻技術
18.5.1????AAA體系結構
????AAA是Authenticaiton,Authorizaiton and Accounting(認證、授權和計費)的簡稱,它提供了一個用來對認證、授權和計費這三種安全功能進行配置的一致性框架,實際上是網絡安全的一種管理機制。
????這里的網絡安全主要是指訪問控制,包括:
????·????哪些用戶可以訪問網絡服務器;
????·????具有訪問權的用戶可以得到哪些服務;
????·????如何對正在使用網絡資源的用戶進行計費。
????針對以上問題,AAA支持以下認證方式:
????·????不認證(none):對用戶非常信任,不對其進行合法性檢查,一般情況下不采用這種方式。
????·????本地認證(local):將用戶信息(包括本地用戶的用戶名、密碼和各種屬性)配置在設備上。本地認證的優點是速度快,可以降低運營成本;缺點是存儲信息量受設備硬件條件限制。
????·????遠端認證:支持通過RADIUS協議或HWTACACS協議進行遠端認證,由設備(如交換機、路由器)作為Clinet端,與RADIUS服務器或TACACS服務器通信。對于RADIUS協議,可以采用標準或擴展的RADIUS協議,與CAMS等系統配合完成認證。
????·????授權功能。AAA支持以下授權方式:
????????·????直接授權(none):對用戶非常信任,直接授權通過,此時用戶的權限為系統的默認權限。
????????·????本地授權(local):根據設備上為本地用戶帳號配置的相關屬性進行授權。
????????·????HWTACACS授權:由TACACS服務器對用戶進行授權。
????????·????RADIUS授權:RADIUS授權是特殊的流程。只有在認證和授權的RADIUS方案相同的條件下,RADIUS授權才起作用,同時將RADIUS認證回應報文中攜帶的授權信息下發。
????·????計費功能。AAA支持以下計費方式:
????????·????不計費(none):不對用戶計費。
????????·????本地計費(local):本地計費是為了支持本地用戶的連接數限制管理,實現了對用戶接入數的統計功能;
????????·????遠端計費:支持通過RADIUS服務器或TACACS服務器進行遠端計費。
????AAA一般采用客戶機/服務器結構。客戶端運行于被管理的資源側,服務器上集中存放用戶信息。因此,AAA框架具有良好的可擴展性,并且容易實現用戶信息的集中管理。AAA可以通過多種協議來實現,目前設備中的AAA是基于RADIUS協議或HWTACACS協議來實現的。
18.5.2????認證授權應用
18.6????傳輸安全
????在一個不安全的環境中傳輸重要數據時,首先應確保數據的機密性,即防止數據被未獲得授權的查看者理解,從而防止信息內容泄漏,保證信息安全性。
????對于數據機密性的保障,需要對數據進行加密。加密算法根據其工作方式的不同,可以分為對稱加密算法和非對稱加密算法兩種。
????在對稱加密算法中,通信雙方共享一個秘密,作為加密/解密的密鑰。這個密鑰既可以直接獲得的,也可以是通過某種共享的方法推算出來的。由于任何具有這個共享密鑰的人都可以對密文進行解密,所以,對稱加密算法的安全性安全依賴于密鑰本身的安全性。因為對稱密鑰加密方法執行效率一般比較高,對稱密鑰加密算法適用于能夠安全地交換密鑰且傳輸數據量較大的場合。目前有不少對稱密鑰加密算法的標準,包括DES、3DES、RC4、AES等。
????非對稱加密算法也稱為公開密鑰算法。此類算法為每個用戶分配一對密鑰:一個私有密鑰和一個公開密鑰。私有密鑰是保密的,由用戶自己保管。公開密鑰是公諸與眾的,其本身不構成嚴格的秘密。這兩個密鑰的產生沒有相互關系,也就是說不能利用公開密鑰推斷出私有密鑰,安全性較高。非對稱加密算法的弱點在于其速度非常慢,吞吐量低。因此不適宜于大量數據的加密。非對稱密鑰的算法中最著名和最流行的是RSA和DH。
????在一個不安全的環境中傳輸數據時,還需要確保數據的完整性,即發覺數據是否被篡改。
????為了保證數據的完整性,通常使用摘要算法(HASH)。采用HASH函數對一段長度可變的數據進行hash計算,會得到一段固定長度的結果,該結果稱之為原數據的摘要,也稱之為消息驗證碼(Message Authentication Code,MAC)。摘要中包含了被保護數據的特征,如果該數據稍有變化,都會導致最后計算的摘要不同。另外HASH函數具有單向性。也就是說無法根據結果導出原始輸入,因而無法構造一個與原報文有相同摘要的報文。
????數字簽名是指使用密碼算法對待發的數據進行加密處理,生成一段信息,附著在原文上一起發送,這段信息類似現實中的簽名或印章,接收方對其進行驗證,判斷原文幀偽。
????數字簽名技術是在網絡虛擬環境中確認身份的重要技術,完全可以大體現實過程中的“親筆簽名”,在技術和法律上有保證。
????數字簽名可以保證信息傳輸的完整性,確認發送者的真實身份并防止交易中的抵賴發生。
18.7????安全防御
18.7.1????使用NAT進行安全防御
????NAT(Network Address Translation,網絡地址轉換)是將IP數據報頭中的IP地址轉換為另一個IP地址的過程。網絡地址轉換是對Internet隱藏內部地址,防止內部地址公開。
????在內部網絡與Intenret相連的位置使用NAT技術對于網絡安全來說有如下的好處:
????·????內部用戶仍然能夠透明的訪問外部網絡,內部用戶不會感受到地址轉換的存在,在部署了NAT技術后訪問外網業務的可用性不會受到影響。
????·????采用了NAT技術后,發出到外網的數據信息的源地址都經過了轉換,內網地址信息被屏蔽掉了,使外部人員無法獲致內部網絡的信息,也就沒有了***的對象。
????·????采用NAT技術后,內部網絡的IP地址在互聯網上永遠不會被路由,內外網的路由被隔段,外網的主動***無法到達內網。
????·????在兩個內部網絡相互連接的時候,采用雙向NAT技術,可以避免兩個網絡的地址互相影響,避免由于地址沖突引發的網絡安全問題。
????總之,在與Internet(或其他網絡)相連的位置使用NAT(網絡地址轉換)技術是一種非常行之有效的安全防御手段。
18.7.2????網絡***與防御
18.7.3????設備安全加固
????整個網絡是由網絡設備和相關線路組成,網絡設備的安全是整個網絡穩定運行的前提條件。如果網絡設備的安全都得不到保證,整個網絡的安全也就無從談起。
????在網絡上,對于網絡設備的安全威脅主要有以下幾個方面:
????·????對于設備登錄安全的威脅。非法用戶通過各種方式(比如TELNET、SSH、SNMP等方式)遠程登錄到設備上,獲取對設備部分或全部的控制權,對設備的穩定運行造成威脅,從而威脅到整個網絡的穩定運行。
????·????對于設備管理權限的安全威脅。合法的用戶獲取到非法的權限,獲得對設備更大的操作權限,對設備的穩定運行造成威脅,從而威脅到整個網絡的穩定運行。
????·????對于設備本身的***。利用設備開啟的各類服務,比如FTP服務,IP重定向服務等服務,對設備的CPU進行***,使設備無法正常工作,從而威脅到整個網絡的穩定運行。
????·????對于設備資源的安全威脅。非法用戶通過大規模消耗設備的相應資源(比如APP表項,MAC表項),導致正常用戶享受的服務。
第7篇????服務質量
第19章????QoS概述
????傳統的IP網絡僅提供“盡力而為”(Best-Effort)的傳輸服務。網絡有可用資源時就轉發數據包,網絡可用資源不足時就丟棄數據包。網絡設備采用先進先出(First In First Out),不區分業務,也無法對業務傳遞提供任何可預期和有保障的服務質量。
????新一代互聯網承載了語音、視頻等實時互動信息,而這些業務對網絡的延遲、抖動等情況都非常敏感,因此要求網絡在傳統服務之外能進一步提供有保證和可預期的服務質量。
????QoS(Quality of Service,服務質量)通過合理的管理和分配網絡資源,允許用戶的緊急和延遲敏感型業務能獲得相對優先的服務,從而在丟包、延遲、抖動和帶寬等方面獲得可預期的服務水平。
19.2????新一代網絡面臨的服務質量問題
19.2.1????常見的語音視頻質量問題
19.3????服務質量的衡量標準
19.3.1????帶寬
????帶寬(Bandwidth)和吞吐量(Throughput)是用于衡量網絡傳輸容量的關鍵指標。帶寬就是單位時間內許可的最×××量,其單位為bps(bit per second)。吞吐量是每秒通過的數據包的個數,其單位為pps(packet per second)。
????對于一條端到端的路徑而言,其最大可用帶寬等于端到端路徑上帶寬最低的鏈路的帶寬。
????當然,在每一鏈路上可能同時傳送多個數據流,這些數據流將共同分享鏈路帶寬。因此每個數據流實際可以占用的帶寬將小于最大可用帶寬。
????對于所有應用而言,帶寬總是首要條件。為了使應用能夠正常工作,首先必須獲得足夠的可用帶寬。帶寬不足將導致網絡擁塞,引起丟包、延遲、抖動等一系列問題。
19.3.2????延遲
????延遲(Delay)有稱為時延,是衡量數據包穿越網絡所用時間的指標,通常以毫秒(ms)為單位。延遲是一個綜合性的指標,主要由處理延遲和傳播延遲組成。
????處理延遲指網絡設備從接收到報文到將其提交到出接口準備發出所消耗的時間。其主要包括兩部分:
????·????交換延遲:指報文從接口被交換到出接口所用的時間,這部分延遲主要取決于設備內部處理能力,例如總線帶寬和交換板容量等,在設備既定的條件下可以被認為是固定值。
????·????排隊延遲:是指報文在出接口隊列中等待和被調度的時間,這部分延遲受網絡擁塞情況,調度算法和CPU負載的影響,是一個不確定的值。當網絡負載較輕時排隊延遲可能很小;但當網絡負載較重時,大部分報文都要在隊列中排隊等候,排隊延遲會很大。
????·????串行化延遲:指報文被發送到鏈路上時轉為串行信號所用的時間。其主要取決于物理接口的速率,速率越大則串行化所用時間越少。
????·????傳輸延遲:指物理信號在介質上傳輸所用的時間。其主要取決于鏈路的長度和物理性質。比如衛星通信通常就具有很大的傳輸延遲,而局域網內的傳輸延遲基本可以忽略不計。
????????各種延遲發生作用的位置如圖所示。
19.3.3????抖動
????抖動(Jitter)是描述延遲變化的物理量,是衡量網絡延遲穩定性的指標。抖動通常以毫秒(ms)為單位。抖動的數值等于延遲變化量的絕對值。
????抖動產生的原因主要是延遲的隨機性。在IP網絡環境中,由于分組轉發的緣故,同一數據流中相接的兩個包可能通過不同的路徑到達對端,因而其延遲有可能有相差較大。即使通過相同的路徑,網絡設備和鏈路資源的情況也是一個不斷變化的因素,這就可能造成延遲的變化性和不可預知性,從而引起較大的抖動。
19.3.4????丟包率
????丟包的產生可能來源于傳輸錯誤、流量限制、網絡擁塞等多種情況。由于傳輸介質的改進,傳輸錯誤造成的丟包已經很少發生了。在因而目前的丟包大部分來自網絡擁塞和流量限制。前者是由于帶寬資源不足,當隊列滿之后,設備不得以而對非重要類型數據進行丟棄而發生的;后者由于數據流量超出許可的范圍,導致設備對其進行丟棄而發生的。
????丟包的程度通過丟包率來衡量。一段時間內的丟包率等于該段時間內丟棄的報文數量除以該段時間內的全部報文數量。
????丟包率是衡量網絡性能狀況的另一個重要參數,主要表征報文在網絡傳輸過程的可靠性。對于大多數應用而言,丟包是最為嚴重的網絡問題。因為丟包意味著信息的不完整,甚至會影響整個數據流。對于TCP應用,由于其本身提供了重傳確認的機制,發生少量的丟包時可以通過重傳進行彌補,但是嚴重的丟包會導致TCP傳輸速率的緩慢,甚至完全中斷。對于UDP應用,由于UDP本身沒有任何確認機制,它不能確定是否丟包,極有可能造成信息的永久缺失。對語音、視頻等應用,如果網絡出現丟包,它們會寧愿舍棄這些數據包,因為遲到的數據包對這些應用是沒有價值的,因此丟包會使這些應用在使用效果上大打折扣。
19.3.5????常規應用對網絡服務質量的要求
19.4????QoS的功能
19.4.1????提高服務質量的方法
????提高服務質量的主要方法包括:
????·????提高物理帶寬:增加物理帶寬是緩解帶寬不足的最簡單方法,比如百兆以太網升級到千兆,OC-48升級到OC-192。但由于涉及硬件升級,這種方法受技術和成本的限制。應用對帶寬的需求是無限的,由于計算機網絡具有分組交換資源重復的基本特點,不論物理帶寬有多高,都仍然可能發生至少是暫時性的擁塞。
????·????增加緩沖:發送方可以增加緩沖區,在擁塞發生時將來不及發送的報文緩存起來,等資源有富余時再發送;接收方可以增加緩沖區,在抖動較大時等待足夠的報文到達后再平滑處理。這種方法可以在一定程度上緩解突發性的擁塞和高抖動,但增加了被緩沖報文的延遲。另一方面,緩沖區總是有限的,當緩沖區滿時報文仍然會被丟棄。
????·????對報文進行壓縮:壓縮技術減少了數據傳輸量,效果相當于增加了帶寬,同時降低了串行化延遲。但壓縮和解壓縮操作會加重設備處理負擔,引入新的處理延遲。同時壓縮的比率無法預先確定,因此不能預期其實施效果。
????·????優先轉發某些數據流的報文:在資源不足時,優先為重要、敏感的應用報文提供服務,而丟棄不重要的應用報文;在重要性相同的情況下,根據需求對各應用按一定比例提供服務。這樣既可以照顧敏感應用對延遲和抖動的要求,又可以照顧各類應用對帶寬和吞吐量的要求。在物理資源既定的情況下,這是一種合理的解決方案。
????·????分片和交錯發送:在低速鏈路上,為了避免大尺寸報文的傳輸長時間占用鏈路而造成其他報文的延遲,可以將其拆分成若干片段。這種方法可以降低低速鏈路上重要應用的延遲,降低敏感應用的抖動。
19.4.2????QoS的功能
????QoS旨在對網絡資源提供更好的管理,以在統計層面上對各種業務提供合理而公平的網絡服務。其具體的作用包括以下幾個方面:
????·盡量避免網絡擁塞。
????·在不能避免擁塞時對帶寬進行有效管理。
????·降低IP網絡流量。
????·為特定用戶或特定業務提供專用帶寬
????·支撐網絡上的實時業務。
????????QoS只能使資源的分配更合理,使網絡傳輸變得更有效,而不能創造網絡資源。
19.5????Best-Effort模型
19.5.1????Best-Effort模型介紹
????Best Effort是最簡單的服務模型。報文的轉發無需預約資源,網絡盡最大可能來發送報文,有資源就發送,沒資源就丟棄。網絡不區分報文所屬的業務類型,對各種業務都不提供任何的延遲和丟包保證。
????Best Effort模型是互聯網缺省的服務模型,其通過FIFO(First Input First Output,先入先出)隊列來實現,實現最為簡單。
19.5.2????FIFO隊列
19.5.3????Best-Effort模型的特點
19.6????DiffServ模型
19.6.1????DiffServ模型介紹
19.6.2????Diffserv模型體系結構
????Diffserv模型的體系結構如圖所示,其主要由下列組件構成:
????·DS域(Differentiated Services Domain):DS域是一組相鄰的DS節點的集合,這些DS節點配置了一致的服務提供策略。DS域的邊界由位于邊界處的所有DS邊界節點構成。
????·DS邊界節(DS Boundary Nodes):DS邊界節點負責對進入本DS域的數據進行分類及可能的調節,以保證穿過此DS域的數據流符合約定的速率,其報文的DS代碼點被適當標記。
????·DS內部節點(DS Interior Nodes):位于DS域內的DS內部節點根據報文攜帶的DS代碼點為數據包提供適當的轉發行為。
????·邊界鏈路和內部鏈路:DS域的邊界節點通過邊界鏈路與其他DS域或非DS域相連;一個DS域內部的邊界節點和內部節點之間通過內部鏈路互相連接。
????·非DS域:指不支持DS服務的網絡或節點。
????·DS區(Differentialted Services Region):DS區由一個或多個相鄰的DS域構成,可以沿一系列DS域構成的路徑上提供區分服務。DS區中的DS域可能配置了不同的服務提供策略,以及不同的代碼點到PHB的映射規則。為了在DS區內的整個路徑上提供區分服務,各DS域之間必須建立定義了TCA(Traffic Conditoning Agreement,流量調節協議)的SLA(Service Level Agreement,服務水平協議),以明確如果在DS域邊界處對由一個DS域傳給另一個DS域的數據進行調節。
19.6.3????邊界行為
19.6.4????無突發令牌桶算法
19.6.5????帶突發的雙令牌桶算法
19.6.6????主要標記方法
19.6.7????IP Precedence
19.6.8????DSCP
19.6.9????802.1p CoS
19.6.10 MPLS EXP
19.6.11????×××和丟棄
????×××(Shaping)的目的是使輸出的流量更加平滑,并保證其符合SLA。×××可以減少網絡流量的突發和振蕩,同時也降低丟棄的概率。×××器將超出承諾速率的報文放入一個緩沖區(buffer)中,當資源許可時再發送。緩沖區的存在減少了流量高峰期的丟包,但也會因此引入額外的延遲。緩沖區的空間通常是有限的,如果緩沖區空間不足,則被延遲發送的報文會被丟棄。
????丟棄(Dropping)的目的是限制流量的突發性,并保證其符合SLA。丟棄器對于超出承諾速率的報文直接丟棄。這雖然不利于平滑網絡流量,但避免了額外引入的延遲,降低了資源的消耗。這種操作也稱為流量監管(Traffic Policing)。
19.6.12????PHB
????PHB(Per-hop Behavior,逐跳行為)指DS節點對行為聚合應用的可由外部觀測到的轉發行為。PHB是DS節點對行為聚合分配資源的方法。
????PHB可以通過占用帶寬、緩沖等資源的優先級來定義,也可以通過延遲、抖動等可觀測的特性來定義。一個典型的PHB例子是為某兩地之間的數據流保留5%的鏈路帶寬。
????PHB具有單跳性和獨立性的特點,它規定了行為聚合在DS節點處獲得怎樣的服務。每個節點具有獨立的PHB策略,各節點、各域之間互相沒有影響。這也是Diffserv模型具有良好擴展性的原因之一。
????在DS節點上,PHB是通過一定的緩沖區管理和分組調度策略實現的。DS節點根據入站報文攜帶的標記為其提供適當的PHB。一個DS節點可以實現多種PHB。代碼點到PHB的映射關系可以是一對一的,也可以是多對一的。
19.7????IntServ模型
19.7.1????IntServ模型介紹
????IntServ(Integrated Service,綜合服務)模型由RFC 1633所定義,它可以滿足多種QoS需求。在這種模型中,節點在發送報文前,需要向網絡申請所需資源。這個請求是通過RSVP(Resource Reservation Protocol,資源預留協議)信令來完成。
????IntServ可以提供以下兩種服務:
????·保證服務:它提供保證的帶寬和延遲來滿足應用程序的要求。
????·負載控制服務:它保證即使在網絡過載的情況下,也能對報文提供與網絡未過載時類似的服務。即在網絡擁塞的情況下,也可以保證某些應用程序報文的低延遲和優先通過。
19.7.2????IntServ體系結構
????IntServ模型的范圍既涵蓋了網絡設備也涵蓋了主機,因而是一種端到端的服務。該模型要求數據流向上的每一跳設備都為每一個流單獨預留資源,同時在每一個流進行資源申請時進行準入控制。
????在發送數據之前,終端節點應用程序首先將其流量參數和需要的特定服務質量以信令向網絡發起請求,這些參數包括帶寬、延遲等。網絡在收到應用程序的資源請求后,執行資源分配檢查,即基于應用程序的資源申請和網絡現有的資源情況,判斷是否為應用程序分配資源。一旦網絡確認認為應用程序的資源申請和網絡現有的資源情況,判斷是否為應用程序分配資源。一旦網絡確認為應用程序分配資源,則網絡將為這個流(Flow,由兩端節點的IP地址、端口號、協議號確定)維護一個狀態,并基于這個狀態執行報文的分類、流量監管、排隊及其調度。收到網絡確認已預留資源的消息后,終端節點應用程序才開始發送報文。只要該數據流的流量在流量參數描述的范圍內,網絡就會承諾滿足應用程序的QoS需求。
19.7.3????RSVP介紹
????RSVP(Resource Reservation Protocol,資源預留協議)是為IntServ模型設計的信令協議,用于在一條路徑的各節點上進行資源預留。RSVP工作在傳輸層,但只用于信息的傳遞,而不參與應用數據的傳送,是一種Internet上的控制協議。
????簡單來說,RSVP具有以下主要特點:
????·資源的申請具有單向性,即一對通信節點間可以在單方向申請資源,雙向的資源申請需獨立進行。
????·由接收者發起對資源預留的請求,并維護資源預留信息;
????·使用“軟狀態”(soft state)機制維護資源預留信息。
????????路由器在為每一條流進行資源預留時會沿著數據傳輸方向逐跳發送資源請求報文(Path消息),其中包含了自身對于帶寬、延遲等參數的需求信息。收到請求的路由器在進行記錄后再將Path消息發向下一跳。當報文到達目的地后,由接收端反向逐條發送資源預留報文(Resv消息)給沿途的路由器進行資源預留。
19.7.4????IntServ模型的特點
19.7.5????IntServ模型的主要應用
第20章????配置QoS邊界行為
????DS域(DS Domain)內的節點可分為邊界節點和內部節點。DS邊界節點負責區分和標記用戶數據,并根據SLA/TCA對數據進行一定的調節。內部節點依據標記按照特定的PHB進行轉發。
20.2????分類
20.2.1????分類的實現
????在DS模型中,一個行為聚合(Behavior Aggregate,BA)中的流在轉發時將應用同一個PHB(Per-hop Behavior,逐跳行為),因此將獲得相同的QoS服務。分類的目的就是將符合條件的數據流劃分到相應的BA中,以便于后續的QoS機制做進一步處理。
????H3C路由器和交換機支持兩類分類機制,允許依據豐富的條件對報文進行分類:
????·自動分類:在接口上可以配置信任端口優先級或信任報文優先級。信任端口優先級時將從本端口進入的所有報文歸為一類。信任報文優先級時可以配置為依據報文攜帶的CoS、IP Precedence、DSCP或MPLS EXP等優先級標記對其劃分類別。
????·手動分類:通用引用ACL等手段匹配報文的不同字段,以便依據報文的2-7層信息進行分類,這些信息包括MAC地址、VLAN號、IP地址、協議類型、傳輸層端口號、COS、IP Precedence、DSCP或MPLS EXP等。
20.3????流量監管
20.3.1????流量監管的實現
20.3.2????CAR的位置
20.3.3????CAR的原理
20.3.4????配置CAR實現流量監管
20.4????標記
20.4.1????標記的實現
20.4.2????映射表標記的原理
20.4.3????CAR標記的原理
20.4.4????標記的配置
20.5????流量×××
20.5.1????流量×××的實現
20.5.2????GTS的位置
20.5.3???? GTS的原理
20.5.4????配置GTS實現流量×××
20.6????接口限速
20.6.1????接口限速介紹
20.6.2????接口限速的原理
20.6.3????接口限速的配置
20.7????流量監管/×××配置示例
第21章????基本擁塞管理
????所謂擁塞,是指當前供給資源相對于正常轉發處理需要資源的不足,從而導致服務質量下降的一種現象。擁塞有可能會引發一系列的負面影響。
????在擁塞發生時保證重要數據的正常傳送,是QoS的主要功能之一,也是一類最重要的PHB,相關的技術成為擁塞管理技術。
21.2????擁塞管理概述
21.2.1????擁塞與擁塞管理
????網絡的設備在某個時間內接收到的數據總量可能會超過設備轉發接口的轉發能力,從而導致擁塞的發生。比如,若路由器的告訴以太網連接到一個局域網,通過低速的WAN鏈路連接Internet,當局域網內有大量用戶訪問Internet時,路由器的WAN鏈路的出方向將會發生擁塞。交換機設備也可能存在上行帶寬不夠而發生擁塞問題,比如若接口1和接口2接入的用戶都需要通過接口3上行訪問部門服務器,接口3與接口1和2速率相同,這樣當大量用戶同時訪問服務器時可能導致接口3發生擁塞。
????擁塞有可能會引發一系列的負面影響:
????·????擁塞增加了報文傳輸的延遲和抖動,可能會引起報文重傳,從而導致更多的擁塞產生;
????·????擁塞使網絡的有效吞吐率降低,造成網絡資源的利用率降低。
????·????擁塞加劇會耗費大量的網絡資源(特別是存儲資源),不合理的資源分配甚至可能導致系統陷入資源死鎖而崩潰。
????擁塞管理是指在網絡發生擁塞時,進行管理和控制,合理分配資源。處理的方法是使用隊列技術,將報文一定的策略緩存在隊列中,然后按一定調度策略把報文從隊列中取出,在接口上發送出去。不同的隊列調度算法解決不同的問題,并產生不同的效用。
21.2.2????路由器擁塞管理
????對于路由器設備,路由器的每個網絡接口都有一個物理的發送隊列,在被發送出接口之前,報文在發送隊列緩存。網絡接口接收的數據流量經過轉發進程處理后被送到轉發出接口。如果該接口發送隊列不滿(不擁塞),則該報文直接轉入發送隊列轉發。否則進入軟件隊列緩存,軟件隊列包括系統隊列和用戶隊列,軟件隊列的調度策略決定哪些報文可以進入發送隊列進行轉發。
????系統隊列包括緊急和協議隊列,在擁塞時分別用來發送鏈路控制和路由協議報文。系統隊列的優先級高于一般用戶隊列。需發送鏈路控制和路由協議報文時,可能正好遇到發送隊列滿而導致發送失敗,此時報文入緊急隊列或協議隊列緩存,等待后續發送。
????用戶隊列是指提供給用戶使用的,對各種業務流量進行擁塞管理的隊列技術。路由器常用的用戶隊列有FIFO、PQ、RTPQ、WFQ、CBQ等隊列,默認使用FIFO隊列,用戶可以通過命令配置自己需要的用戶隊列。交換機的SP、WRR等隊列也可以理解為用戶隊列。
注意:
????在Tunnel接口、子接口,或者封裝了PPPoE、PPPoA、PPPoEoA、PPPoFR協議的VT、Dialer接口上,要使隊列生效,需使能LR功能。
21.2.3????交換機擁塞管理
????相對于路由器產品,交換機處理的業務具有流量大、帶寬高的特點。因此交換機QoS要求告訴硬件處理,通常采用芯片實現QoS隊列。芯片中的隊列不能像軟件一樣靈活擴展,通常是固定數目的。交換機通常通過二層頭識別數據類,因此主要參照802.1p標記,三層交換機也可以識別DSCP等三層標記。
????交換機設備收到數據報文,先經過轉發進程處理,然后根據優先級的信任規則,查找QoS映射表,將報文映射到本地隊列。比如信任報文的DSCP優先級,就根據報文的DSCP優先級標記,查找DSCP到本地優先級的映射表,根據映射結果對報文進行本地優先級標記。報文的本優先級和本地隊列是一一對應的關系。
????交換機的擁塞管理過程由芯片硬件實現,因此處理效率高,可以實現報文的線速轉發,但其支持的隊列類型卻沒有路由器那么豐富。交換機上常用的隊列有SP、WRR、HWFQ等。默認使用的隊列類型依產品型號的不同有所區別,比如有的產品默認使用SP隊列,有的默認使用WRR隊列。
注意:
????交換機的本地隊列數與硬件有關,不同設備、不同芯片支持的隊列數可能不同。
21.3????路由器擁塞管理
21.3.1????FIFO隊列原理
????FIFO(First In First Out Queuing,先入先出隊列)僅提供一個隊列,所有報文按到達轉發接口的時間先后順序入隊列,隊列長度達到最大值后,后續報文被丟棄。
????隊列調度時,首先看系統隊列是否為空,如果不空,則先發送系統隊列報文;如果系統隊列空,則按報文入隊列的時間順序,先入先出地發送FIFO隊列報文。
????FIFO隊列具有處理簡單,開銷小等優點。但FIFO不區分報文類型盡力而為的轉發模式,使對時間敏感的實時應用(如VoIP)的延遲得不到保證,關鍵業務的帶寬也不能得到保證。
21.3.2????FIFO隊列配置
21.3.3????FIFO隊列顯示
21.3.4????PQ隊列原理
????PQ(Priority Queuing,優先隊列)是針對關鍵業務設計的。關鍵業務有一個重要的特點,即在擁塞發生時要求優先獲得服務以降低延遲、抖動和丟包率。
????PQ隊列提供4個隊列,分別為top(高優先級隊列)、middle(中優先隊列)、normal(正常優先隊列)和bootom(低優先隊列),它們的優先級依次降低。在隊列調度時,PQ嚴格按照優先級從高到低的次序,優先發送較高優先級隊列中的報文,保證較高優先級報文的利益。
????PQ允許根據報文的協議類型、數據流入接口、長度、源地址/目的地址等靈活地指定其優先次序。PQ數據包與定義的優先級次序規則進行匹配,根據匹配結果將其送入對應的隊列;如果所有規則都不匹配,則將其送入缺省隊列。默認情況下,缺省隊列是正常優先隊列。
????PQ對其4個隊列均使用尾丟棄策略。即隊列滿后,后續報文做丟棄處理。
21.3.5????PQ隊列調度
21.3.6????PQ隊列配置
????PQ隊列的配置過程主要分兩部分:
????·????配置PQL(Priority Queue List,優先隊列列表):系統預定義了16個PQL,用戶可以選擇其中的一個來配置自己需要的優先隊列。配置內容包括:
????·????PQ各隊列的匹配規則。
????·????各隊列的長度
????·????缺省隊列。
????·????PQ隊列應用到接口:引用配置好的PQL,在接口應用PQ隊列。系統預定義的PQL中沒有分類規則,將其應用到接口后,所有報文都入缺省隊列。
21.3.7????PQ隊列信息顯示
21.3.8????PQ隊列配置示例
21.3.9????CQ隊列原理
21.3.10????CQ隊列調度
21.3.11????CQ隊列配置任務
21.3.12 CQ隊列配置
21.3.13????CQ隊列信息顯示
21.3.14????CQ隊列配置示例
21.3.15????WFQ隊列原理
21.3.16????WFQ入隊機制
21.3.17????WFQ隊列調度
21.3.18????WFQ隊列特點
21.3.19????WFQ隊列配置與顯示
21.3.20????RTPQ隊列原理
21.3.21????RTPQ隊列調度
21.3.22????RTPQ隊列的配置與顯示
21.3.23????RTPQ配置示例
21.4????交換機擁塞管理
21.4.1????優先級映射
21.4.2????SP隊列調度
21.4.3????WRR隊列調度
21.4.4????SP和WRR隊列混合調度
21.4.5????交換機隊列的配置和顯示命令介紹
21.4.6????交換機隊列配置示例
第22章????配置擁塞避免機制
????當擁塞發生時,利用隊列技術實現的擁塞管理機制可以對報文進行區分,并根據定義的規則提供服務。然而這種機制發揮作用的前提是所有的報文都能夠被恰當的送入特定的隊列。而當隊列被填滿時,所有后續到達的報文都會被無差別的丟棄,此時隊列機制完全失效。同時這種從隊列尾部開始的截斷性丟棄還會導致一系列嚴重的問題。
????擁塞避免機制可以在相當程度上緩解或避免這種情況的發生。
22.2????尾丟棄及其導致的問題
????22.2.1????尾丟棄及其導致的問題
????當隊列被填滿時,所有后續到來的報文都會因無法入隊而丟棄,這種從隊尾開始的丟棄方式被稱為“尾丟棄”(Tail-drop)。尾丟棄是一種截斷性的丟棄方式,不對報文進行任何方式的區分。
????尾丟棄帶來的結果是高延遲、高抖動、喪失服務保證、TCP全局同步和TCP餓死等一系列問題。從而導致應用超時、數據重傳和業務不可用等種種后果。數據超時重傳的結果是進一步地加劇網絡擁塞。
22.2.2????TCP全局同步
????尾丟棄帶來的最重要的問題就是TCP全局同步。
????隊列滿時,所有報文在隊尾被全部丟棄。這種沒有差別的丟棄會造成所有TCP流的報文幾乎在同一時刻丟失,TCP又幾乎在同一時刻重傳。
????TCP在丟失報文時會自動縮小窗口尺寸。因而所有TCP連接的窗口會在幾乎同一時刻縮小。這樣鏈路帶寬會突然變得充足,因而TCP連接也會逐漸增大其窗口,這也幾乎是同時發生的。窗口增大后,流量會急劇增加,從而再次造成擁塞。這樣將造成所有TCP連接的流量以相同的“頻率”持續振蕩。這種現象稱為TCP全局同步。
????TCP全局同步的結果是TCP傳輸效率急劇下降,并且帶寬的平均利用率大大降低。
22.2.3????解決尾丟棄的方法
????增加隊列的長度可以緩存更多的報文,因而降低了流量的突發性,減少尾丟棄的概率。但單純增加隊列長度并不能從根本上解決TCP同步的問題:
????隊列長度的增加是有限的,因而只能在有限范圍內發揮作用,當流量比較大時這種方法幾乎無效。
????增加隊列長度的同時也加大了報文的平均延遲和抖動,這對某些應用是有害的。對實時業務而言,過大的延遲與丟包是等效的。
????TCP全局同步的根本原因是所有報文在同一時刻被無差別的丟棄。因此如果在尾丟棄發生前,使不同TCP連接的報文在不同時刻被丟棄,則各個TCP連接的流量振蕩就不會同步。
22.3????RED原理
????22.3.1????RED介紹
????
????RED(Random Early Detection,隨機早期檢測)技術的出現較好地解決了TCP全局同步的問題。它的做法是在隊列被填滿前就開始丟棄報文,并且隨著隊列長度的增加(擁塞發生的可能性增加)報文被丟棄的概率會越來越大,當超過一個最大丟棄概率時再全部丟棄到來的報文。
????RED的特點在于“早期”和“隨機”。早期表示丟失是在擁塞發生之前就開始進行的,這就意味著報文不必全部丟棄而可以有所“選擇”。而隨機則表明了這種丟棄行為是報文而不是以流為單位“無規律”進行的。隨機和早期的特點決定了所有TCP流的報文為單位,對于那些占據大量帶寬的非TCP的“野蠻”流來講,被丟棄的概率會更大,因而大大降低了TCP餓死的概率。
22.3.2????RED的參數和行為
22.3.3????RED的效果
22.4????WRED的原理
22.4.1????WRED介紹
????雖然RED很好的解決了TCP全局同步和餓死等問題,但由于其不能感知業務類型,對報文的丟棄不分輕重緩急,因此并沒有解決重要和緊急報文被丟棄的問題。
????WRED(Weighted RED,加權隨機早期檢測)技術較好的解決了上述問題。它允許為不同優先級的報文配置不同的RED參數,從而保證了不同重要程度的報文獲得不同的服務。目前WRED可以利用DSCP和IP Precedence來區分數據。
22.4.2????基于IP Precedence的WRED參數和行為
22.4.3????基于DSCP的WRED參數和行為
22.4.4????WRED的效果
22.5????配置WRED
????22.5.1????基于接口的WRED配置命令
22.5.2????基于隊列的WRED表配置命令
22.5.3????WRED參數的意義
22.5.4????WRED顯示和維護命令
22.5.5????WRED配置示例
第23章????高級QoS管理工具
????CAR、GTS、PQ、CQ、WFQ、WRED等傳統的QoS工具能夠實現標記、流量監管、流量×××、擁塞管理、擁塞避免等各種QoS功能。但這些工具的配置互相獨立,各有不同,不便于記憶和使用。
????作為一種高級的QoS管理工具,QoS policy通過使用MQC(Modular QoS Configuration,模塊化QoS配置),將數據類型的定義與QoS動作的定義相分離,提高了配置的標準化和靈活性。其不僅可以作為任意類型的數據提供任意類型的QoS服務,而且允許復用類和動作的配置。
23.2????QoS Policy概述
23.2.1????QoS Policy介紹
????QoS policy包含三個要素:類(classifier)、行為(behavior)、策略(policy)。用戶可以通過QoS策略將指定的類和行為綁定起來,方便地進行QoS配置。
????類是用戶定義的一系列規則的集合,系統通過將報文與類中的規則進行匹配,根據匹配結果對報文進行分類。
????行為定義了針對報文所做的QoS動作。策略則用來將指定的類和行為綁定起來,并對分類后的報文執行行為中定義的動作。
????用戶可以在一個策略中定義多個類與行為的綁定關系。這樣,系統就可以根據QoS policy對從屬于其中某一類的數據施加相應的行為。
????使用QoS policy可以實現分類、標記、×××、監管、擁塞管理、擁塞避免、統計、鏡像、訪問控制、深度應用識別等多種QoS功能。
????每個QoS policy包含若干條目。每個條目為一個C-B(Class-Behavior)對,包含一個類和一個對應的行為。
????QoS policy被應用后,報文按條目的先后順序嘗試匹配其分類規則。匹配某類后則執行對應的行為。一個行為可以包含多個動作,依次將其執行完畢后,將結束QoS policy對此報文的處理,不再繼續匹配其他條目。若不匹配某類,則繼續嘗試匹配其他類。對于路由器產品,若不匹配任何類,則被認為屬于缺省類,系統將對其實施缺省行為。
23.2.2????QoS Policy配置任務
????使用QoS policy配置QoS的過程如上圖所示:
????·????首先需要定義類,在類中配置需要的分類規則;
????·????然后定義行為,在行為中定義需要的QoS動作。可以根據需要定義多個類及其對應的行為。
????·????隨后定義為QoS policy,在QoS policy中添加條目,引用定義的類與行為,完成類與行為的綁定。
????·????QoS policy定義完成后,可以根據需要在適當的位置應用之。
????QoS policy常見的應用位置有:
????·????基于接口(或PVC)進行應用QoS policy:對通過接口(或PCV)接收/發送的流量生效。
????·????基于上線用戶應用QoS policy:對通過上線用戶接收/發送的流量生效。
????·????基于VLAN應用QoS policy:對通過同一個VLAN內所有接口接收/發送的流量生效。
????·????基于全局應用QoS policy:對所有數據流量生效。
????·????基于控制平面應用QoS policy:對通過控制平面接收/發送的流量生效。
????注意:如果QoS policy應用在出方向,則QoS policy對本地協議報文不起作用。本地協議報文是設備內部發起的。常見的本地協議報文有鏈路維護報文、IS-IS、OSPF、BGP、LDP、RSVP、SSH報文等。為了確保這些報文能夠被不受影響的發送出去,即便在出方向應用了QoS policy,其也不會受到QoS policy的限制,從而降低了因QoS誤配置而將這些報文丟棄或對其提供低等級服務的風險。
23.2.3????類的定義
????類分為系統定義類和用戶定義類兩種。
????系統定義類是系統預先定義好的類,系統為這些類定義了通用的規則。定義QoS policy時可直接引用這些類。這些類包括:
????·缺省類:類名為default-class,不匹配QoS policy中其它任何分類的報文將被歸入缺省類;
????·基于DSCP的預定義類:包括ef、af1、af2、af3、af4,分別匹配IP DSCP值ef、af1、af2、af3、af4。
????·基于IP Precedence的預定義類:包括ip-prec0、ip-prec1、…Ip-prec7,分配匹配IP Precedence0、1、…7。
????·基于MPLS EXP的預定義類:包括mpls-exp0、mpls-exp1、…mpls-exp7,分別匹配MPLS EXP值0、1、7
????用戶不能修改或刪除系統定義的類。
????用戶定義類由用戶創建并維護。用戶可以根據下列標準定義用戶類:
????·????根據ACL分類;
????·????匹配所有的數據報文
????·????根據協議類型分類
????·????根據報文二層信息分類
????·????根據報文三層信息分類
????·????根據各類優先級、標志位分類
????·????根據報文接收接口分類
????·????根據MPLS標簽分類
23.2.4????行為的定義
????在QoS policy中,一個行為可以包含多個QoS動作。這些動作依據特定的順序被執行。
????路由器軟件的QoS動作順序依次為:流過濾、重標記、流量監管、流量×××、擁塞管理。硬件QoS動作的支持情況以及執行順序與具體的產品相關。
????
23.2.5????QoS policy
23.2.6????QoS Policy配置示例
23.2.7????基于VLAN的QoS Policy
????QoS policy應于VLAN后,會對VLAN內所有端口上匹配規則的流量生效。
23.3????CBQ介紹
23.3.1????CBQ概述
????CBQ(Class Based Queuing,基于類的隊列)是一種基于QoS policy實現的擁塞管理技術。在網絡擁塞時,CBQ對報文根據用戶定義的類規則進行匹配,并使其進入相應的隊列。
????CBQ中包含一個LLQ(Low Latency Queuing,低延遲隊列),用來支撐EF(Expedited Forwarding,確保轉發)類業務,保證每一個隊列的帶寬及可控的延遲。
????CBQ中還包含一個缺省隊列,對應缺省分類,用于為缺省的BE(Best Effort,盡力傳送)類業務提供服務。其使用WFQ隊列調度,利用接口剩余帶寬進行發送。
23.3.2????CBQ入隊列處理
23.3.3????CBQ隊列調度
23.3.4????QoS預留帶寬
23.3.5????CBQ的配置過程
23.3.6????系統定義的CBQ
23.3.7????CBQ隊列配置
23.3.8????CBQ信息顯示
23.4????基于QoS policy的其它QoS功能介紹
????QoS policy不僅可以實現CBQ,依托其豐富的分類規則和QoS動作,以及靈活的配置方式,還可以實現包括CBPolicing(基于類的流量監管)、CBShaping(基于類的×××)、CBMarking(基于類的標記)等在內的諸多QoS功能。
23.4.1????基于QoS policy的監管與×××配置示例
23.4.2????基于QoS policy的MPLS QoS配置示例
第24章????鏈路有效增強機制
????QoS的實質是一種帶寬管理技術,它本身并不能創造帶寬,而只是更加合理的利用帶寬。在一些低速鏈路上,由于傳輸速率與數據流量的差距過大,盡管采用了一些帶寬管理技術,仍有可能無法滿足業務的需求。此時,一方面可以通過升級硬件來提高鏈路的數據傳輸能力,另一方面可以利用壓縮技術來降低數據傳輸量,從而達到提升吞吐量的目的。
????低速鏈路的另一個問題就是串行化延遲過長帶來的阻塞。當一個大報文被串行化到鏈路上時,其后續的小報文會較長時間的處于等待狀態,當這個等待時間足夠長時就會導致小包業務的超時或可用性下降。解決的辦法就是利用LFI(Link Fragmentaion & Interieaving,鏈路分片與交錯)技術,將一個大報文分成若干個小片并與其他的小報文交錯在一起發送,從而減少其他業務的等待時間。
24.2????壓縮的必要性
24.2.1????為什么需要壓縮
????數據通信本身的特點決定了線路上傳輸的數據不可能全部都是有效載荷。報文的頭(和尾)對網絡傳輸有用而對用戶應用而言是無用的信息。
????對某些小報文應用來說,報文頭作為非有效載荷占據了很大一部分帶寬。以VoIP報文為例,為了保持實時性,必須間隔很短的時間就發送一個報文,每個報文的語言載荷都較小,典型的載荷長度為20byte-160byte。一個20byte的語音報文被封裝了46byte的報文頭,包括IP頭、UPD頭、RTP頭。此外,對一個特定的數據流而言,其報文頭的信息變化較少。在這種情況下,有效載荷實際上只占到23%,絕大部分的帶寬被冗余信息所占據。這不僅造成帶寬的大量浪費,也導致語音報文的延遲顯著加大。
????此外,即使在作為凈載荷的用戶數據中也存在大量相同的字符串。這些對于帶寬緊張的低速鏈路來講也是某種程度的“浪費”。為了減少網絡流量和延遲,也應當盡可能的對載荷數據進行壓縮。
????對報文頭和載荷的壓縮減少了需要傳遞的數據量,從而間接增大了鏈路吞吐量。
24.2.2????壓縮的可行性
????依據其在傳輸中的變化情況,報文頭中的信息可以分為以下幾類:
????不變部分包括報文的源/目的IP地址、源/目的端口號、協議號、版本信息等。這些內容在傳遞過程中保持不變,因此在會話初始時傳遞一次即可。
????·規律變化部分包括Packet ID、Sequence Number等內容。這些內容在傳遞過程中以簡單規律變化(如單調遞增),因此只需要在會話之初傳遞一次,之后每次傳遞一個變化量即可。
????·運算可獲得部分包括IP包長、校驗和等。IP包長可以依據報文頭尾計算獲得,而三層校驗和可以不同傳遞,依靠二層校驗和來保證正確性。
????·不規律變化部分是指報文頭中隨機變化的字段,這些字段沒有變化規律,因此需要完整傳遞。
????????載荷中的大量重復字符串也可以進行壓縮,方法是對重復出現字符串的位置用第一個字符串的偏移量和字符長度來代替。
24.3????IP頭壓縮
24.3.1????頭壓縮算法
24.3.2????頭壓縮的實現
24.3.3????頭壓縮的效果
24.3.4????IPHC頭壓縮配置命令
24.4????分片和交錯
24.4.1????低速鏈路的延遲和抖動問題
24.4.2????LFI原理
24.4.3????配置LFI
24.4.4????配置示例
第9篇????開放應用體系架構
第25章????開放應用體系架構
????隨著各種業務不斷地融入傳統數據通訊網絡,以及對網絡安全性、可管理性要求的不斷提高,用戶需要網絡設備在轉發數據包之外提供更多、更復雜、更靈活的服務。例如,用戶需要網絡設備能夠接入電話和傳真、統計和計費,防范網絡***、防病毒、流量監管和調整等。這一切都對網絡設備提出了更高的要求。
????在傳統網絡中,上述功能由專用設備來獨立完成。但出于降低網絡建設、管理、維護成本的考慮,用戶往往希望能夠在一臺設備上完成多種功能。另外,還有很多用戶對網絡服務有個性化的需求,而往往一家獨大的技術廠商很難同時提供客戶所要求的所有需求和服務。
????面對這樣的情況,H3C提出了一個開放的軟硬件體系結構——OAA(Open Application Architecture,開放應用體系架構)。OAA允許對傳統的路由交換設備進行二次開發,滿足客戶的多樣化需求;允許眾多廠商生產的設備和軟件無縫集成在一起,像一臺設備那樣工作。
25.2????OAA概述
25.2.1????OAA架構簡介
????傳統網絡模式最大的特點就是分工合作,客戶根據需求選擇不同的網絡設備,然后將它們通過IP網絡連接而成。比如選擇路由器完成基本路由、連接異構網絡功能;交換機可以提供高密度、告訴主機接入;語音服務器、AAA服務器提供語音管理、認證計費等功能;防火墻提供基本安全功能;網管系統提供集中化設備監控、管理功能。
????如果客戶有新的需求,比如在連接廣域網的路由器上實現應用加速,在網管平臺集成網絡流量分析,在防火墻上新增網絡殺毒應用,往往很難實現。一方面因為部分網絡設備是為1-3層功能、性能而設計的,而應用加速、網絡流量分析、網絡殺毒則要求網絡設備具備深度4-7層分析處理能力,而即使原有網絡設備實現了這些4-7層功能,也會占用網絡設備過多資源,從而影響網絡設備的1-3層功能和性能;另一方面因為這些網絡設備往往架構封閉,新增功能只能由廠商開發、編譯、加載、客戶要求的新功能也不是廠商的專長,開發的新功能往往不能完全符合客戶業務需求。
????針對這種情況,H3C及時地提出OAA開放應用體系架構,該架構的特點在于不影響網絡設備固有1-3層功能、性能的同時,提供開放接口實現深度4-7層擴展。
????OAA架構主要分為3個組成部分:
????·路由交換組件:路由交換組件是網絡設備主體部分,這部分有完整的路由器或交換機的功能,也是用戶管理控制的核心。????
????·獨立業務組件:獨立業務組件是OAA架構的核心部分,是可以開放給第三方合作開發的主體,主要用來提供各種獨特的業務服務功能。
????·接口連接組件:接口連接組件是網絡設備和獨立業務組件的連接器件,它使各組件形成一個統一的產品。
????獨立業務組件可以分為硬件平臺、軟件平臺和特色業務3個平面,每個層面都是開放、標準的規范接口,可以進行靈活的二次開發。比如擅長硬件開發的第三方可以根據OAA規范開發獨立業務組件的硬件平臺部分,擅長軟件平臺開發的第三方可以在標準OAA硬件平臺上開發軟件平臺,擅長業務集成開發的第三方以在OAA標準軟件平臺上開發特色業務。
????OAA架構優勢在于全面的1-7層解決方案定制能力,使得網絡設備的擴展能力大增。
????傳統網絡的優勢在于豐富的1-3層特性,附帶一定的4層特性和簡單的應用,但是4層以上特性擴展能力相對較弱。基于OAA架構的網絡設備在1-3層功能特性和性能上與傳統網絡設備相當,同時通過開放的獨立業務組件而實現深度4-7層擴展。這種開放式的架構不但使網絡設備廠商可以更加方便的集成更多高層特性,也有利于和第三方深度合作,共同開發符合市場需求的特性;甚至用戶也可以根據自身需要而在OAA平臺上進行靈活的二次開發。
25.2.2????開放業務平臺(OAP)
????開放應用平臺OAP(Open Application Platform)是H3C根據OAA架構規范而實現的具體產品平臺。OAP實現了OAA架構中的獨立業務組件功能,包括硬件平臺、軟件平臺和特色業務。OAP平臺具有開放的軟硬件接口、強大的數據處理能力以及靈活的工作模式等特點。
????通過OAP這個開放業務平臺,H3C可以向客戶提供特定的業務功能;也可以和第三方合作進行開發共同對客戶提供完整的業務;當然,用戶也可以根據需要在軟件平臺上進行二次業務開發。所有的一切都不影響傳統路由交換組件的自身功能。
25.3????OAA工作模式
25.3.1????主機模式
????OAP可以被二次開發為各種不同的業務系統,可以滿足各種業務特性需求。根據路由交換組件和業務組件之間的數據交互方式的不同,OAP提供了4種工作模式:主機模式、鏡像模式、重定向模式和透明模式(也稱為橋接模式)
????在主機模式下,獨立業務系統像網絡上的一臺主機一樣工作,擁有自己的IP地址,作為網絡末梢存在。IP報文是通過路由交換組件連接獨立業務組件的高速數據通道轉發,路由交換部件相當于獨立業務系統的網關。路由交換部件收到數據報文后,如果判斷出數據需要送給OAP模塊處理(目的IP地址為OAP模塊地址),則將此數據轉發給OAP模塊,OAP模塊處理完成后,將回應的報文返回路由交換組件,由路由交換部件將報文發送給相應的目的地。這種工作模式下,路由交換部件和獨立業務組件間的藕合是最松的。
????主機模式適合語音服務器、AAA服務器等應用。例如,當OAP模塊上集成了AAA服務器應用,則當認證請求報文到達網絡設備后,網絡設備根據路由信息將認證請求報文轉發給OAP模塊;OAP模塊上的AAA服務器根據認證請求報文中攜帶的用戶信息判斷認證是否通過,通過則返回正確授權報文,不通過則返回認證拒絕報文。不管是授權報文還是拒絕報文都轉交給網絡設備,網絡設備收到報文后根據路由/轉發信息選擇正確的出接口轉發報文。
25.3.2????鏡像模式
????鏡像模式下,路由交換部件根據要求,把特定的報文復制一份給獨立業務組件,原始報文繼續完成正常的轉發。而獨立業務組件收到這個報文以后進行分析和處理,然后將報文丟棄。當然路由交換組件和獨立業務組件也可以進行聯動,獨立業務組件分析完鏡像報文后可以下發聯動規則要求路由交換對相應業務流進行限速、阻斷等特殊處理。這種模式下,鏡像報文也是通過路由交換組件連接獨立業務組件的高速數據通道轉發。
????鏡像模式適用于網絡流量分析、***檢測IDS等應用。比如,網絡流量分析應用中,數據包進入網絡設備接口處理后被鏡像到OAP模塊,同時原報文被正常轉發。OAP中的網絡流量分析功能對鏡像報文進行分析,如果發現報文中占用大量帶寬的BT應用數據流,那么網絡分析應用程序會針對該鏡像報文所代表的數據流生成限速聯動規則,并下發給網絡設備,網絡設備應用該聯動規則就可以對BT流進行限速。
25.3.3????重定向模式
????在重定向工作模式下,數據包到達網絡設備接口后根據規則判斷是否被重定向,如果符合重定向規則那么將該報文重定向OAP模塊中。OAP模塊中的業務系統對重定向報文進行分析處理,然后根據處理結果判斷是否生成聯動規則并發送給網絡設備。根據不同業務的需求,重定向報文也有可能被返回給網絡設備,網絡設備對返回報文進行正常轉發。
????重定向模式所適用的業務比較廣泛,如***檢測、應用加速、網絡殺毒等。比如在網絡殺毒應用中,攜帶病毒的HTTP報文到達網絡設備后,根據配置的規則判斷應被重定向到OAP模塊中,模塊中的殺毒應用程序發現病毒并將病毒查殺,再下發聯動規則要求網絡設備過濾該HTTP站點。同時,OAP模塊上殺毒應用程序生成一個HTTP頁面返回給網絡設備,表示用戶訪問的網頁有病毒。網絡設備再將此HTTP頁面發送給訪問用戶,以通知用戶。
25.3.4????透明模式
????透明模式下,獨立業務組件像二層網橋設備一樣工作,不需要配置IP地址。外來的數據流從OAP模塊上的外部以太網接口流入,穿過獨立業務組件,經過內部高速數據通道到達路由交換組件。在路由交換組件看來,外部數據直接到達了連接部件上的高速以太網口,內嵌的獨立業務系統似乎根本不存在一樣。實際上,當數據通過獨立業務系統的時候,獨立業務系統會做相關的記錄分析,必要的時候,業務系統還會對報文會做一定的修改以完成相關的功能。
????這種模式下,路由交換組件和獨立業務之間的耦合也是比較松的。
????這種工作模式適用于IPS/IDS、流量分析、應用加速等。
????在IPS/IDS應用中,報文抵達OAP外部接口后,IPS/IDS應用程序對該報文進行分析處理,如果檢測出來是***報文,則將該報文丟棄,并生成對應防火墻規則過濾該數據流;如果是正常報文則允許其通過。
25.4????聯動及管理
25.4.1????聯動
????OAA體系結構中,路由交換組件與獨立業務組件是兩個獨立的主體,這兩個主體協作完成具體業務。為達到這種目的,兩者之間有時需要互通一些信息,這種信息交互就是聯動。簡單而言,就是指獨立業務組件可以向路由交換組件發指令,改變路由交換組件的動作。
????聯動功能主要是通過ACFP(Application Control Forwarding Protocol,應用控制轉發協議)來實現的。ACFP及基于SNMP協議而開發的管理協議。ACFP協議的運行過程與網管軟件運行有些類似。獨立業務組件就像網管系統一樣,向路由交換組件發送各種SNMP命令;而路由交換組件上支持SNMP Agent功能,可以執行下發的這些命令。
????為了支持聯動功能,要求路由交換組件支持相關MIB。
25.4.2????管理
????除了聯動外,路由交換組件和獨立業務組件間還需要互相監控、互相感知,有時還需要路由交換組件向獨立業務組件發送一些指令,指示獨立業務組件進行相應操作。這種路由交換組件ji監控、指揮獨立業務組件的行為就是管理。
????路由交換組件對獨立業務組件的管理是通過ACSEI協議來完成的。通過ACSEI協議,路由交換部件可以區分不同插槽上的多個OAP模塊,監控、記錄各個OAP模塊的運行狀態。路由交換組件與OAP模塊間還通過ACSIE協議來完成互相監測、信息交互、時鐘同步等功能;路由交換組件還可以對OAP模塊下發如業務系統關閉、重新啟動等命令。
????通過路由交換組件和獨立業務組件之間的管理通道,已經登錄到路由交換組件上的用戶,可以向獨立業務組件發起連接,登錄到獨立業務組件的控制臺上。
25.5????OAA典型應用
25.6????OAA的未來
轉載于:https://blog.51cto.com/rainy0426/2381385
總結
以上是生活随笔為你收集整理的H3C SE 教程笔记——构建安全优化的广域网(下)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 第三周——小小大佬带飞队
- 下一篇: labview事件结构的使用