月度归档: 2014 年 8 月

网工 vrrp

端口监视功能 (针对 上行端口)

reduced 60 优先级减60 ,确保优先级 低于备份设备的优先级

vrrp 备份组

网工 GVRP及链路聚合

链路聚合

链路聚合也叫 以太通道,端口聚合,ETH-TRUNK

一般是交换机之间或者交换机与服务器之间。

链路聚合(Link Aggregation)是一种网络技术,它允许多条物理链路捆绑在一起作为一个逻辑链路使用,以提高带宽和实现冗余。链路聚合不仅可以提高网络的带宽,还能提供更好的容错能力和负载均衡。这项技术在局域网(LAN)中特别有用,特别是在数据中心和高性能计算环境中。

链路聚合的关键概念

  1. 802.3ad:IEEE 802.3ad 定义了链路聚合控制协议(Link Aggregation Control Protocol, LACP),这是一种用于动态建立和管理链路聚合的标准协议。
  2. LACP (Link Aggregation Control Protocol):LACP 是一种用于自动建立、管理和解散链路聚合组(LAG, Link Aggregation Group)的协议。LACP 可以自动检测并聚合支持 LACP 的端口。
  3. 静态链路聚合:也称为手工配置的链路聚合,需要管理员手动配置聚合端口,而不使用 LACP。
  4. 负载均衡:链路聚合可以根据不同的算法(如轮询、基于MAC地址、基于IP地址等)来均衡流量,确保网络流量在聚合链路中均匀分布。
  5. 冗余:如果聚合链路中的某条物理链路发生故障,流量可以自动转移到其他可用的链路上,提高了网络的可靠性和可用性。

链路聚合的工作原理

链路聚合的基本工作原理如下:

  1. 端口选择:管理员选择一组物理端口进行聚合。
  2. 端口绑定:将选定的端口绑定在一起,形成一个逻辑端口。
  3. 负载分担:流量根据负载均衡策略被分发到聚合链路中的各个物理链路上。
  4. 故障切换:如果一条物理链路发生故障,流量会自动切换到其他可用的链路上。

配置链路聚合

以下是在交换机上配置链路聚合的一般步骤:

  1. 创建聚合组:在交换机上创建一个聚合组。
  2. 配置聚合模式:配置聚合模式,可以选择静态或动态(LACP)。
  3. 添加端口:将物理端口添加到聚合组中。
  4. 配置负载均衡策略:根据需要配置负载均衡策略。
  5. 配置冗余:确保冗余配置正确,以便在链路故障时可以无缝切换。

示例配置

以下是使用 LACP 配置链路聚合的一个简单示例(以华为交换机为例):

  1. 创建聚合组:bash深色版本1[Switch] interface Eth-Trunk 1
  2. 配置聚合模式:bash深色版本1[Switch-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 to 0/0/4 2[Switch-Eth-Trunk1] lacp mode active
  3. 添加端口:bash深色版本1[Switch-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 to 0/0/4
  4. 配置负载均衡策略(可选):bash深色版本1[Switch-Eth-Trunk1] load-balance src-dst-ip
  5. 退出配置模式:bash深色版本1[Switch-Eth-Trunk1] quit

总结

链路聚合是一种强大的技术,可以显著提高网络的带宽和可靠性。通过聚合多条物理链路,可以实现更高的带宽、负载均衡和冗余保护。配置链路聚合时,需要确保所有参与聚合的设备都支持相同的标准,并且配置了相同的聚合模式。

GVRP

GVRP (GARP VLAN Registration Protocol, GARP VLAN Registration Protocol) 是一种用于动态管理和注册VLAN成员关系的协议。GVRP基于GARP (Generic Attribute Registration Protocol, 通用属性注册协议) 构建,允许设备自动发现和注册VLAN信息。GVRP的主要目的是简化VLAN的管理和配置,尤其是在大型网络环境中。

GVRP 的工作原理

GVRP的工作原理可以分为以下几个阶段:

  1. 初始化阶段 (Initialization Phase)
    • 当GVRP启动时,交换机会向所有端口发送一个初始化消息,询问已知的VLAN信息。
    • 接收到初始化消息的设备会回复已知的VLAN列表。
  2. 注册阶段 (Registration Phase)
    • 当端口连接到一个新的设备时,GVRP会自动检测该设备所支持的VLAN,并将这些VLAN信息注册到交换机上。
    • 注册阶段还包括删除不再使用的VLAN信息。
  3. 通告阶段 (Advertisement Phase)
    • 一旦注册完成,GVRP会定期广播VLAN信息,以保持VLAN配置的最新状态。
    • 如果端口上的VLAN配置发生变化,GVRP也会立即更新这些信息。
  4. 老化阶段 (Aging Phase)
    • 如果一段时间内没有收到某个VLAN的信息,GVRP会认为该VLAN已经不再使用,并将其从端口的VLAN列表中移除。
    • 默认情况下,老化周期为1小时。

GVRP 的消息类型

GVRP的消息类型包括:

  • 初始化消息 (Initialization Message)
    • 用于启动GVRP并请求VLAN信息。
  • 注册消息 (Registration Message)
    • 用于注册新的VLAN信息或删除旧的VLAN信息。
  • 通告消息 (Advertisement Message)
    • 用于更新VLAN信息并维持VLAN配置的状态。

GVRP 的端口状态

GVRP定义了几种端口状态:

  • Normal (正常)
    • 端口处于正常状态,可以接收和发送GVRP消息。
  • Fixed (固定)
    • 端口被配置为只允许特定的VLAN,不允许动态注册或删除VLAN。
  • Forbidden (禁止)
    • 端口被配置为禁止任何GVRP操作,即不发送也不接收GVRP消息。
  • Sticky (粘性)
    • 端口在接收到第一个GVRP消息之前处于粘性状态。一旦接收到第一个GVRP消息,端口就会转为正常状态。

GVRP 的优点

  • 简化配置:自动管理VLAN成员关系,减少手动配置的工作量。
  • 提高灵活性:允许动态添加和删除VLAN,提高网络的灵活性。
  • 提高安全性:通过GVRP可以更好地控制哪些VLAN可以在特定端口上传输。

示例配置脚本

[Switch] gvrp global enable
[Switch] interface GigabitEthernet0/0/1
[Switch-GigabitEthernet0/0/1] port gvrp mode normal
[Switch-GigabitEthernet0/0/1] port gvrp vlan 10 register
[Switch-GigabitEthernet0/0/1] port gvrp vlan 20 register
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface GigabitEthernet0/0/2
[Switch-GigabitEthernet0/0/2] port gvrp mode normal
[Switch-GigabitEthernet0/0/2] port gvrp vlan 10 register
[Switch-GigabitEthernet0/0/2] quit
[Switch] display gvrp all

网工 子网计算

计算主机号(位)

对于 IP 地址 192.22.12.120/28,子网掩码 /28 表示前 28 位是网络部分,剩下的 4 位是主机部分。

在这个情况下,IP 地址 192.22.12.120 的二进制表示如下:

  • 192.22.12.120 在二进制中表示为:11000000 00010110 00001100 01111000

由于子网掩码是 /28,这意味着前三个字节加上第四个字节的前四位代表网络部分,剩下的四位代表主机部分。

因此,对于 192.22.12.120/28

  • 网络部分192.22.12.112,在二进制中为 11000000 00010110 00001100 01110000
  • 主机部分120 - 112 = 8,在二进制中为 00001000

所以,该 IP 地址的 主机号 就是 8 (0.0.0.8)。在二进制中,主机号是最后 4 位,即 00001000

计算主机范围

对于 IP 地址 192.22.12.120/28,子网掩码 /28 表示前 28 位是网络部分,剩下的 4 位是主机部分。

计算网络地址和广播地址

  1. 网络地址:计算网络地址需要将 IP 地址与子网掩码进行 AND 运算。对于 /28 子网掩码,网络地址的最后 4 位全为 0。
  2. 广播地址:广播地址是该子网内所有主机都能接收的地址,它的最后 4 位全为 1。

IP 地址 192.22.12.120 的二进制表示

  • 192.22.12.120 在二进制中表示为:11000000 00010110 00001100 01111000

子网掩码 /28 的二进制表示

  • /28 的子网掩码在二进制中表示为:11111111 11111111 11111111 11111100

网络地址计算

  • 网络地址为:11000000 00010110 00001100 01111100,即 192.22.12.112

广播地址计算

  • 广播地址为:11000000 00010110 00001100 01111111,即 192.22.12.127

可用地址范围

  • 网络地址192.22.12.112(不可用作主机地址)
  • 可用主机地址范围192.22.12.113 到 192.22.12.126
  • 广播地址192.22.12.127(不可用作主机地址)

因此,直接接收该主机广播信息的地址范围是 192.22.12.113192.22.12.126。这些主机可以接收广播地址 192.22.12.127 发送的广播信息。

网工 IP报文

https://songly.blog.csdn.net/category_9274818_2.html

报文结构

标识:指现一个数据包的名字,标志:指是否分片后 有DF、MF ,片偏移指:是分片后相对原始数据包的位置

在 IP 报文头中,有一个字段叫做“标识符(Identification)”和“片段偏移(Fragment Offset)”,这两个字段一起用于分片和重组 IP 分组。

当一个较大的数据包需要通过 MTU(最大传输单元)较小的链路传输时,原始数据包会被分割成多个较小的数据片段。每个数据片段都会带有相同的标识符,以便接收方可以识别它们属于同一个原始数据包,并按照正确的顺序重新组装。

IP 分片和重组

标识符(Identification)

  • 用途:标识符字段是一个 16 位的字段,用于唯一标识属于同一原始数据包的不同分片。
  • :每个原始数据包都有一个唯一的标识符值。

片段偏移(Fragment Offset)

  • 用途:片段偏移字段是一个 13 位的字段,用于指示每个分片相对于原始数据包的起始位置。
  • 单位:偏移量是以 8 字节(64 位)为单位来计算的。
  • 计算公式片段偏移 = (分片在原始数据包中的起始位置 / 8)

示例计算

假设原始数据包需要被分割成两个分片:

  1. 第一个分片
    • 标识符:12345
    • 片段偏移:0
    • 因此,第一个分片在原始数据包中的起始位置是 0 字节。
  2. 第二个分片
    • 假设第一个分片的大小为 640 字节(80 字节头部 + 560 字节数据)。
    • 标识符:12345
    • 片段偏移:(640 / 8) = 80
    • 因此,第二个分片在原始数据包中的起始位置是 640 字节。

注意事项

  • 更多分片:如果有更多的分片,每个后续分片的偏移量会相应递增。
  • 标志位:每个分片还有一个标志位(More Fragments),用于指示是否还有后续分片。如果是最后一个分片,则 More Fragments 标志位设置为 0。

示例计算

假设原始数据包被分成三个分片:

  1. 第一个分片
    • 标识符:12345
    • 片段偏移:0
    • More Fragments:1
    • 假设大小为 640 字节。
  2. 第二个分片
    • 标识符:12345
    • 片段偏移:80
    • More Fragments:1
    • 假设大小为 640 字节。
  3. 第三个分片
    • 标识符:12345
    • 片段偏移:160
    • More Fragments:0
    • 假设大小为 640 字节。

总结

  • 第一个分片 的起始位置是 0 字节。
  • 第二个分片 的起始位置是 640 字节。
  • 第三个分片 的起始位置是 1280 字节。

这样,接收方可以根据标识符和片段偏移字段将分片重新组合成原始数据包。

网工 ARP

某客户机请求 Web 站点服务的以太网数据帧 (前 160 字节) 如下图所示,则客户机默认网关的物理地址为(1)。客户机在查找默认网关的物理地址时使用的协议是(2),发出的数据帧中目的 MAC 地址为(3)。

问题1:
A. 00-23-89-1a-06-7c
B. 00-1d-7d-39-62-3e
C. 00-00-00-00-00-00
D. ff-ff-ff-ff-ff-ff
问题1:
A. FTP
B. ARP
C. BGP
D. ICMP
问题1:
A. 00-23-89-1a-06-7c
B. 00-1d-7d-39-62-3e
C. 00-00-00-00-00-00
D. ff-ff-ff-ff-ff-ff

事实上,这道题前后不是连一起的。第一问,是看图,找目的地址就是开头的 6 个字节,也就 是 00-23-89-1a-06-7c。二、三问,连在一起,查找默认网关 MAC 用 ARP 协议,ARP 协议是广播请求报文,而 ff-ff-ff-ff-ff-ff
帧的分类:
① 单播帧:一对一,收到的帧的 MAC 地址与本站的硬件地址相同
② 广播帧:一对全体,发送给本局域网上所有的站点的帧(全 1 帧)
③ 多播帧:一对多,发送给本局域网上部分站点的帧

MAC 组播地址范围

MAC(Media Access Control)组播地址是一种用于局域网内的多点广播通信的地址。它允许一个源设备向多个目的设备发送消息,而无需知道每个目的设备的单独地址。这种技术常用于网络视频会议、在线游戏等场景。

MAC组播地址通常表示为一个十六进制字符串,例如“01:00:5e:00:00:01”。前三个字节(高位字节)称为“全局管理组”,由国际标准化组织(ISO)分配,目前被保留为特殊用途。后三个字节(低位字节)由发送者任意选择,但必须遵循一定的规则,以避免冲突。

具体来说,MAC组播地址的第一个字节总是“01”,第二个字节的最高两位必须是“00”或者“01”,第三个字节的最低六位必须全为零。这样,MAC组播地址的范围就被限制在了以下范围内:

01-00-5E-00-00-00 到 01-00-5E-FF-FF-FF

ARP 泛洪攻击

  • 会慌到网关设备CPU负载加重,影响设备正常处理用户业务
  • 过多的ARP 报文会占用大量的网络带宽,引起网络堵塞,
  • 耗尽网关ARP表项,不能为正常的用户提供服务

ARP 泛洪解决方案

1、在接口下配置ARP表项限制。超过系统配置的表项数目,系统不再学习新的ARP表项,但不清除已经学习的ARP表项,

  • interface g1/0/1
  • arp-limit vlan 10 maximum 20 //譔接口下VLAN10只能学习20个表项

2、配置针对源IP地址的ARP报文速率的抑制的功能

#arp speed-limt source-ip 10.0.0.1 maximum 50 // 对ARP报文进行时间戳抑制速率为50pps,即每秒处理50个ARP报文。

3、根据排查出的攻击 源配置MAC黑名单过滤源发出的ARP报文(对PC中断有奇效)

  • acl 4444
  • rule permit l2-protocol arp source-mac 0-0-1 vlan-id 193
  • quit
  • cpu defend policy policy 1
  • blacklist 1 acl 4444
  • quit
  • 应用策略
  • cpu-defend-policy policy1

4、配置QOS限制 (源MAC变化或源IP变化的ARP攻击源自某台接入设备下挂用户,在接入侧交换机上配置流策略限速,不让接入侧设备下的用户影响整个网络。

acl number 4445
rule 5 permit l2-protocol arp
#
traffic classifier policy1 operator and
if-match acl 4445
#
traffic behavior policy1
car cir 32 pir 32 cbs 4000 pbs 4000 green pass yellow pass red discard //保证ARP 平均速率只能是32kbit/s
#
traffic policy policy1
classifier policy1 behavior policy1

interface GigabitEthernet0/0/1
traffic-policy policy1 inbound

ARP 攻击解决方案

https://support.huawei.com/enterprise/zh/doc/EDOC1000075592/b474c2c3