HCNPRS笔记.docx

HCNPRS笔记.docx

《HCNPRS笔记.docx》由会员分享，可在线阅读，更多相关《HCNPRS笔记.docx（26页珍藏版）》请在冰豆网上搜索。

HCNPRS笔记

DHCP：

动态的优点：

效率高，灵活性强（不要刻意给别人），管理。

手动配置缺点：

大型公司，利用率，错误，员工自动改可能会重复冲突。

主机和DHCP服务器都在二层，PCnegative获取到IP地址吗？

基于接口的配置，接口配置IP地址的时候，会根据接口的IP地址和掩码，来区分网段和网关，接口地址就是网关。

基于全局的要宣告网段NETWORK，还要配置网关。

命令：

ipconfig/renew

DHCP消息是封装在UDP报文中的，DHCPServer使用端口号67来接收DHCP消息，DHCPClient使用端口号68来接收DHCP消息。

报文抓出来DHCP协议是bootstrapprotocol。

标记位flag里面看单播广播。

根据先收到的IP地址选择DHCP服务器提供的IP地址。

发现：

广播

提供：

单播

请求阶段：

广播

作用：

1、开始获取IP地址时

2、能不能续租50%单播87.5%广播

DHCPDECLIENT

DHCPinform获取详细的信息

确认阶段：

单播同意ACK；拒绝NAK。

确认所提供的IP是否可以分配至PC？

还确认什么？

可能其他主机先获得了，或者服务器内部出粗，？

？

？

？

没有找到租约记录。

三份ARP免费报文？

检测与其他用户是否有冲突。

三份间隔1s，PC连发三份，收不到回应就可以用了，冲突了relaease报文，释放地址，还给服务器，。

免费的一样吗？

以前的ARP是获取对端MAC地址的。

PC发出的广播ARP给路由器，路由器使会回应报文的。

不是丢弃。

多台中继没意义。

很危险，多个路由器下面可能接很多用户。

中继：

广播转单播discover。

OFFER的单播，源目地址不变？

源目对调换。

一个路由器配置两个地址池，不同的网段。

那么两端的客户端如何区分自己想要的网段？

会根据接口的IP，选择地址池。

做中继的话，有两个网段怎么配置？

会基于网关来选的。

中继基于接口的不能。

服务器地址可以在很远很远的位置，但是这个中继地址必须是靠近客户端的那台路由器。

找地址的话会有MAC地址，来区分1.254发给谁，由交换机做转发时。

50%单播请求，87.5%广播请求。

DHCPServer配置：

最后都是在接口下选择DHCP的工作方式。

基于接口的地址分配方式，只会响应该接口接收的DHCP请求；

基于全局地址池的地址分配方式，可以响应所有端口接收的DHCP请求。

都在IPPOOL里面配置的，网关、网段、不需要自动分配的IP、租期、DNS。

都在接口下配置，基于接口的不用配置网关，因为接口就是网关。

步步都需要dhcpserver。

DHCPClient和DHCPServer必须在同一个二层广播域中才能接收到彼此发送的DHCP消息。

DHCP消息无法跨越二层广播域传递。

DHCPRelay必须与DHCPClient位于同一个二层广播域，但DHCPServer可以与DHCPRelay位于同一个二层广播域，也可以与DHCPRelay位于不同的二层广播域。

DHCPClient与DHCPRelay之间是以广播方式交换DHCP消息的，但DHCPRelay与DHCPServer之间是以单播方式交换DHCP消息的（这就意味着，DHCPRelay必须事先知道DHCPServer的IP地址）。

DHCP-Realy：

也要开通DHCP服务

然后创建一个DHCP的服务组

指定服务器的地址

也要在接口下选择工作方式，是基于中继的

独特的接口下需要选择DHCP中继的服务选择是哪个组

DHCP-Server：

全局的配置

全局的都在命的一个DHCP的名字下面配置

最后选择的工作方式是在接口下选的

服务器固定IP，客户和员工自动获取IP，员工和客户都能访问服务器，员工能互相访问，客户不能互相访问。

DHCP的安全威胁：

DHCP饿死攻击：

耗尽IP地址，坏蛋给你的零食吃完了。

是攻击者通过持续大量地向DHCPServer申请IP地址来实现的，其目的是耗尽DHCPServer地址池中的IP地址，导致DHCPServer没有IP地址分配给正常的用户。

DHCP消息中有一个名叫CHADDR（ClientHardwareAddress）的字段，该字段是由DHCP客户端填写的，表示的是客户端的硬件地址（也就是客户端的MAC地址）。

DHCPServer是针对CHADDR来分配IP地址的，对于不同的CHADDR，DHCPServer会分配不同的IP地址；DHCPServer无法区分什么样的CHADDR是合法的，什么样的CHADDR是非法的。

利用这个漏洞，攻击者每申请一个IP地址时，就在DHCP消息的CHADDR字段中填写一个不同的值，以此来冒充是不同的用户在申请IP地址。

解决漏洞：

在交换机的每一个端口下对DHCPRequest报文的源MAC地址与CHADDR进行一致性检查：

如果二者相同，则转发报文；如果二者不相同，则丢弃。

交换机每一个端口下开启：

dhcpsnoopingcheckdhcp-chaddrenable。

还可能存在这样一种饿死攻击，就是攻击者不断同时变换MAC地址和CHADDR，并且每一次变换时，都让CHADDR与MAC地址相同，如此一来，便可以躲过上述源MAC地址与CHADDR的一致性检查！

仿冒DHCPServer：

分配错误的IP地址以及网关地址等

仿冒DHCPServer会向客户端分配错误的IP地址及提供错误的网关地址等参数

客户端以广播方式发送DHCPDiscover消息后，仿冒DHCPServer和合法的DHCPServer都能够收到该DHCPDiscover消息，并且都会回应DHCPOffer消息。

如果客户端最先收到的DHCPOffer消息是来自仿冒DHCPServer就会乘机向客户端分配错误的IP地址及提供错误的网关地址等参数。

DHCPSnooping:

DHCPSnooping将交换机上的端口分为两种类型，即信任端口（Trusted端口）和非信任端口（Untrusted端口）；与合法的DHCPServer相连接的端口应配置为Trusted端口，其他端口应配置为Untrusted端口。

端口下设为信任端口：

dhcpsnoopingtrusted

端口下设为非信任端口：

undodhcpsnoopingtrusted

DHCP中间人攻击：

PC学到服务器的IP，但是MAC地址学到的是攻击者（中间人的MAC），服务器学到是PC的IP地址，但是MAC地址学习到的是攻击者（中间人的MAC）。

漏洞分析：

从本质上讲，中间人攻击是一种SpoofingIP/MAC攻击，中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器。

spoofing（欺骗）

DHCPSnooping绑定表：

运行了DHCPSnooping的交换机会建立并动态维护DHCPSnooping绑定表，绑定表中除了包含了用户的MAC地址、用户的IP地址外，还包括IP地址租用期、VLAN-ID等信息。

交换机的系统视图下执行配置命令：

arpdhcp-snooping-detectenable

IPSG（IPSourceGuard）技术：

交换机使能IPSG功能后，对报文进行合法性检查，并对报文进行过滤（如果合法，则转发；如果非法，则丢弃）。

DHCPSnooping技术可与IPSG技术进行联动：

对于进入交换机端口的报文进行DHCPSnooping绑定表匹配检查，如果报文的信息和与绑定表一致，则允许其通过，否则丢弃报文。

报文的检查项可以是源IP地址、源MAC地址、VLAN和物理端口号的若干种组合。

交换机端口下：

IP+MAC、IP+VLAN、IP+MAC+VLAN等组合检查（VLAN下面无VLAN组合）

交换机VLAN下：

IP+MAC、IP+物理端口号、IP+MAC+物理端口号等组合检查

命令：

在交换机的端口或VLAN下面配置命令ipsourcecheckuser-bindenable。

DHCP镜像技术：

镜像技术可以在不影响报文正常处理流程的情况下，将镜像端口的报文复制一份到观察端口，用户利用数据监控设备来分析复制到观察端口的报文，进行网络监控和故障排除。

镜像的角色：

镜像端口；观察端口

流镜像是特定的业务流，端口镜像是整个业务流。

不是特定的那个啥会流产。

业务实时监控：

大型网络或数据中心一般会在汇聚点设置监控系统实时监测网络数据流量信息，防范和防止业务的异常。

故障处理分析：

一些疑难杂症的故障需通过采集实际的报文信息来找到更加明显的线索。

网络流量优化：

当网络系统发展到一定规模，对数据流量地精细化控制变的尤为重要。

只有实际采集现网的真实数据流量，通过专业的流量分析系统定位出网络的各种问题，并为此提出优化解决方案。

完整的数据流要用分光器物理采集，NMS采集的不精细不完整。

因为是从镜像端口复制到观察端口，复制过来的，所以不会对网路产生影响。

缺点：

可以监控，但是分析问题处理问题还需要一些时间。

配置观察端口是在全局下面，观察端口----观察端口是多少

接口下配置：

镜像到观察端口在入口方向，对于流进路由器的报文

策略路由traffic，只能对流量进行分析，不能对路由进行过滤。

QOS服务质量：

在带宽有限的情况下，提供优质的服务。

影响网络通信质量的因素包括哪几种？

答案：

带宽、时延、抖动、丢包率。

抖动会导致丢包。

带宽不够会影响时延、抖动、丢包率。

网络带宽是指在单位时间（一般指的是1秒钟）内能传输的数据量。

时延是指一个报文从一个网络的一端传送到另一端所需要的时间。

端到端网络时延等于路径上所有时延之和，包括处理时延、队列时延、传输时延、串行化时延。

抖动由于每个报文的端到端时延不一样，就会导致这些报文不能等间隔到达目的端，这种现象叫做抖动。

一般来说，时延越小则时延抖动的范围越小。

抖动的大小跟时延的大小直接相关，时延小则抖动的范围也小，时延大则可能抖动的范围也大。

丢包率是指在网络传输过程中丢失报文占传输报文的百分比。

丢包用于衡量网络的可靠性。

语音视频以及TCP协议传输数据也可能处理少量的丢包。

如何解决以上问题？

QOS服务模型：

尽力而为、综合、区分服务模型。

传统的先进先出FIFO就是尽力而为的模型，FIFO尽最大的努力将报文送到目的地，但对报文的延迟、抖动、丢包率和可靠性等需求不提供任何承诺和保证。

应用在FTP、E-MAIL。

BEST-EFFORT是单一的服务模型，也是最简单的服务模型，是Internet缺省服务模型，通过FIFO来实现，可以在任何时候，发出任意数量的报文，不需要事先批准，也不需要通知网络。

可以通过增大带宽和升级网络设备提高端到端的通信质量。

增加带宽：

优点：

可以改善带宽瓶颈、串行化延迟、丢包等问题。

缺点：

网络建设成本较高。

升级网络设备：

优点：

可以改善处理延迟、队列延迟、丢包等问题。

缺点：

成本较高，替换设备增大业务中断风险。

资源预留协议（ResourceReservationProtocol：

需要向网络申请特定的带宽和所需的特定服务质量的请求，等收到确认信息后才发送报文。

通话前先申请，一步步申请下去，设备都要同意，每台设备都有能力提供要求的带宽给他。

整条链路都提供，若其中一台不能提供，需要调整申请的带宽。

多个业务同时申请，优先转发优先的。

其他没有提前申请的，那就惨了，留下来的没剩多少了不就完蛋了。

综合服务模型最为复杂，需要申请，请求通过信令signal来完成。

所有节点都运行RSVP协议，网络所有节点为每个节点保存状态信息，无法在骨干网运行，因为需要保存的数据太多。

没用时也独占带宽，综合既复杂。

区分服务模型解决了综合服务模型协议实现复杂和带宽利用率低等问题。

先分类；

后每个类对应不同的服务等级；

最后配置优先转发、丢包率、时延。

流量夜间流量优先使用，七夕流量优先使用，省内流量优先使用，全国流量最后使用。

分类和标记由边缘路由器来完成。

分类很灵活的，可根据报文的源地址和目的地址、ToS域中的优先级、协议类型等，不同的类型，不同的标记字段，其他路由器只需要识别标记，然后进行资源分配和流量控制，因此，DIFFSERV是基于报文流的QOS模型。

区分服务模型包含优先数量的服务等级和少量的状态信息实现有差别的流量控制和转发。

最广泛服务模型。

边缘连接边缘和其他外部；内部连接边缘和内部。

每个节点都要手工部署。

区分服务模型有报文的分类与标记，怎么分类怎么标记？

简单流分类和复杂流分类的区别？

不同链路类型和自己的标识QoS优先级的字段值来划分。

3bit，取值：

0-7，默认为0，参数修改后，变为802.1P。

3bit，取值：

0-7，值越大越先转发。

8bit，取值0-127，分两类IPP/DSCP。

8位不够用；扩展

改后TOS用三位，8种可能；DSCP用6位，64种可能。

先讲的BE---CS---AF---EF

AF值基数是10/12/14，name:

AF11/AF12/AF13以后都在此基础上加8。

AF31对应011010,3对应前3位，1对应紧挨着的2位。

其它AF都是这样。

AF1承载普通上网流量，AF2承载VOD视频点播，AF3承载IPTV直播流量。

没有1-7，哪里去了？

都是偶数啊

IPP，IP的优先级。

只用VLAN来分，是显得简单。

这个分类的话，选的参数多一些，分类是不是复杂一些呢。

报文分类的方式主要有哪两种？

简单流分类和复杂流分类。

为什么要对报文进行标记？

前面的路由器标记，后面的路由器识别就可以了，相比每台路由器都分类减少了大量的流量。

端到端进行QoS部署时，就需要每台设备都对报文进行分类，这样就会导致耗费大量地设备处理资源，为此提出了对报文进行标记的方法，这样下游设备只需要对标记进行识别即可提供差分服务。

拥塞管理机制的实现过程分为哪两步？

拥塞管理，软件队列，硬件队列。

先放那一个队列？

优先级，队列延迟。

先进先出的优缺点是什么？

会出现永远轮不到低优先级的。

高优先级的永远处于第一位。

若报文采用PQ，则这个报文优先被调度，优于其他的调度方法。

按照报文个数，低时延得不到及时调度

包比较长的，尺寸不一样会出现没有及时调度。

放一段卡一段。

不能及时调度。

按照权重分配带宽，低时延得不到及时调度

按照权重分配带宽，优点自动分配，不能手动配置。

还会出现低延时的不能及时调度。

低时延可以得到及时调度

trafficpolicy就是CBQ。

按照DSCP;CS—EF—AF—BE.

消耗资源是因为调用traffic消耗的。

拥塞避免：

尾部丢弃导致问题？

TCP全局同步；TCP饿死现象。

FTP基于TCP链接的。

全局同步，发送大量的请求TCP的SYN报文。

拥塞时，TCP滑动窗口减小，慢慢又拥挤了，又减小滑动窗口。

可以在报文没传之前先丢弃一些TCP的SYN报文。

前面放的都是UDP，那么TCP被丢弃，东西被UDP抢走完了，TCP不就饿死了。

RED随意丢弃一些包，导致无差别的丢弃。

IPP=2的相比IPP=1的晚丢弃。

丢弃概率和最低最高门限会画出来吗？

AF41，4是转发的，越大越先转发，AF3代表直播AF2代表点播AF1代表普通流量，后面的1控制丢弃，越大越先丢弃。

常用的队列技术有哪些？

WRED解决后面三种，TCP全局丢弃、TCP饿死和无差别的丢弃。

缺点两方面来说：

没流量也占带宽，丢弃的重传。

超出的丢弃。

超出的缓存，缓存的是要求时延不大的，视频不行，文件可以。

流量监管与流量整形的区别是什么？

答案：

在进行报文流量控制时，流量监管是对超过流量限制的报文进行丢弃；

而流量整形则将超过流量限制的报文缓存在队列中，等待链路空闲的时候再发送。