文章目錄
- 接入控制和安全
- 接入控制
- 注意事項
- 802.1X
- MAC地址驗證
- 埠安全
- MAC地址學習型別
- NeedToKnow特性
- 入侵檢測
- AAA
- AAA架構
- 驗證模式
- 相關協議
- RADIUS
- TACACS+
- 組播路由協議
- 概述
- 常見組播路由協議
- PIM-DM
- 定義
- 鄰居發現機制
- 運行機制
- PIM-SM
- 定義
- 鄰居發現機制
- 運行機制
- PIM-SSM
- 相關命令
- 組播轉發機制
- 組播分發樹
- 定義
- 分類
- RPF機制
- 定義
- 作業機制
接入控制和安全
接入控制
注意事項
-
受控埠/非受控埠
受控埠: 用于傳輸資料的邏輯子介面,身份認證未通過時,該埠不會轉發資料;身份認證通過后,可以傳輸資料 非受控埠: 用于傳輸802.1X認證報文,無論身份認證是否通過,該埠都可以轉發802.1X報文 -
授權/非授權
強制授權模式:埠始終處于被授權可以連通的狀態 強制非授權:埠始終處于不可認證的狀態 自動識別:身份認證未通過時,埠處于非授權狀態;當身份認證通過時,埠自動切換到授權狀態 -
單向/雙向受控
單向受控:只允許用戶接收幀,不允許用戶發送幀 雙向受控:用戶可以同時接收和發送幀
802.1X
-
基于埠驗證
該埠下只要一臺客戶端通過驗證,則該埠下連接的所有客戶端都能訪問網路;只要一臺客戶端中斷連接,該埠下所有連接的客戶端都會中斷 -
基于MAC地址驗證
一個埠下的所有客戶端都保留獨立的連接,彼此互不影響 -
客戶端觸發
由客戶端直接主動發起身份認證請求 -
設備端觸發
某些特殊情況下,客戶端無法主動發起認證請求;設備端會以30秒為周期發起詢問,客戶端感知到設備端后,在向設備端發起認證請求 -
EAP中繼
客戶端通過EAP協議和設備端互動,設備端把該報文以EAP協議中繼轉發給Radius服務器;客戶端和設備端,設備端和服務端都是使用EAP協議來封裝報文 -
EAP終結
客戶端通過EAP協議和設備端互動,設備端把客戶端的報文的內容提取出來,重新封裝為CHAP/MD5/PAP認證的方式轉交給服務端;客戶端和設備端使用EAP協議來封裝報文,設備端和服務端使用CHAP/MD5/PAP驗證來進行報文傳輸 -
Guest VLAN
用戶未驗證或未通過驗證,可訪問Guest VLAN中的資源 -
Dynamic VLAN
用戶通過驗證后,客戶端所屬的VLAN
MAC地址驗證
- 客戶端無需專用撥號客戶端,使用方便
- 用戶名格式:MAC地址作為用戶名,創建普通用戶名
- 支持Guest VALN和Dynamic VLAN
埠安全
MAC地址學習型別
-
NoRestrictions:埠關閉,學習MAC地址沒有限制
-
autolearn:
1.通過了身份驗證的MAC地址會學習到安全MAC地址串列中 2.如果埠學習到的MAC地址達到了允許學習的MAC地址數量上限;就不再添加新的安全MAC地址 3.只有源MAC為安全MAC地址或靜態MAC地址的幀才允許通過該埠 -
secure:不在學習新的安全MAC地址,只有源MAC為安全MAC地址或靜態MAC地址的幀才允許通過該埠
配置埠可學習的MAC地址最大數量
NeedToKnow特性
- 檢查資料幀的目的MAC地址,目的MAC地址未通過驗證,則丟棄資料幀
入侵檢測
- 檢查資料幀的源MAC地址,源MAC地址未通過驗證則做出相應懲罰措施
AAA
AAA架構
- Authentication:用戶驗證
- Authorization:授權
- Accounting:計費
驗證模式
- 本地驗證:用戶身份驗證程序發生在接入設備上
- 遠程驗證:用戶身份驗證程序發生在指定的AAA服務器上,可以實作對網路中所有接入點進行集中統一身份驗證
相關協議
RADIUS
- 使用UDP1812和1813埠傳輸資料
- 驗證和授權發生在同一臺服務器上,不可分離
TACACS+
- 使用TCP傳輸
- 比RADIUS的安全級別更高:Radius只對報文頭部加密,TACACS+對報文整體加密
- TACACS+可以對用戶命令列的級別進行授權,而Radius不行
- 驗證、授權、計費可獨立運行在不同服務器上
組播路由協議
概述
- 用于建立和維護組播路由
常見組播路由協議
- DVMRP:RIP組播版本,要求單播使用RIP
- MOSPF:OSPF組播版本,要求單播使用OSPFv2
- PIM:協議無關組播,對單播路由來源無要求
PIM-DM
定義
- PIM密集模式
- 假定網路中組播接收者較多,且分部于大部分設備上,采用推的方式分發組播資料
- 適用于小規模組播網路
鄰居發現機制
- PIM路由器之間周期性發送Hello報文來發現、建立和維護鄰居關系
- 如網段中IGMP版本是v1,則Hello報文可以選舉查詢器
運行機制
-
擴散
1.組播源發起組播,沿途路由器以廣播方式,把組播包進行擴散 2.沿途路由器創建(S,G)表項:S為組播源,G為組播組地址 一個(S,G)表項包含一個入介面和若干出介面: 入介面是通過RPF檢測的接收組播的介面,路由器會把組播向所有出介面轉發 3.路由器把(S,G)表項中的入介面設定為接收組播的介面,其他所有連接了PIM介面都設定為出介面 -
剪枝
1.如果網段內部沒有組播接收者,則DR向入介面發起Prune報文 2.上游路由器收到Prune報文后,把收到報文的介面從(S,G)表項中的出介面洗掉 3.如剪枝后本路由器的(S,G)表項中沒有出介面了,將繼續向上游介面發送Prune報文進行剪枝 -
加入
1.一個網段中有多個下游路由器,其中一個下游路由器向上游發起剪枝,該Prune報文會同時被另一個下游路由器接收 2.如果另外一個下游路由器中存在接收者,感知到有其他下游路由器正在剪枝后,則向上游發起Join報文,請求上游繼續發送組播 3.上游路由器收到Join報文后,不會洗掉出介面
擴散-剪枝-加入周期性進行,形成組播源到接收者之間的SPT
-
嫁接
1.當路由器中出現組播接收者時,向上游發送Graft報文 2.上游收到Graft ACK報文,并把收到Graft報文的介面添加到(S,G)表項的出介面 -
斷言
1.一個網段中存在多臺上游路由器,會導致相同組播報文重復發送 2.通過斷言機制選舉唯一組播資料轉發者 3.選舉機制: 到組播源的單播路由的優先級較高者獲勝 到組播源的單播路由度量值較小者獲勝 本地IP地址小的成為唯一組播資料轉發者 -
狀態新機制:如果組播路徑沒有變化,組播源會發送State Refresh報文,重繪重置擴散周期計時器,降低擴散頻率
PIM-SM
定義
- PIM稀疏模式:適用于任何規模的網路
- 采取拉的方式,根據接收者的需求,在組播接收者和組播源之間建立組播分發樹
- 無論網段中的IGMP協議是什么版本,都通過Hello報文選舉查詢器
鄰居發現機制
- 與PIM-DM相同
運行機制
-
加入
1.接收者一側的DR中如果存在組播接收者,則根據單播路由表向RP發起Join報文:RP為匯聚點,自行配置路由器作為RP 2.沿途路由器建立(*,G)表項:*代表任意組播源,G為組播組地址 一個(*,G)表項包含一個入介面和若干出介面: 入介面為發送Join報文的介面 出介面為收到Join報文的介面 通過加入程序,形成RP到每個組播接收者的RPT -
組播源注冊
1.組播源把第一個組播資料包封裝為單播形式的Register報文發送至RP 2.RP收到Register報文后,解封出原始組播報文,根據RPT轉發組播 3.RP向組播源一側的DR發起Join報文 4.沿途路由器建立(S,G)表項 通過組播源注冊,形成組播源到RP的SPT -
組播源停止注冊
1.RP以單播形式向組播源發起Register Stop報文 2.組播源一側DR收到后,停止以單播封裝組播資料包,按照SPT轉發組播資料 -
RPT向SPT切換
1.接收者一側DR接收到組播后,感知到了組播源,于是向組播源發起Join報文 2.沿途路由器建立(S,G)表項 3.此時,路由器中會同時存在(S,G)和(*,G)表項 4.路由器對組播報文進行RPF檢測,如SPT入介面優于RPT入介面,則向RPT入介面發起Prune報文 5.最終形成組播源到接收者的SPT -
RP配置方式
自動選舉: 通過BSR選舉: 1.優先級高的優先 2.計算Hash值大的優先 3.C-RP的IP地址大的優先 4.RP并不是由BSR選舉,而是由BSR把所有C-RP的資訊收集完整 后,發送給所有路由器,所有路由器自行選舉出唯一的RP BSR的選舉: 1.C-BSR優先級高的優先 2.C-BSR的IP地址大的優先 一個組播組的RP的BSR可以使同一臺路由器的同一個介面 動態選舉RP通過Boot Strap協議 靜態指定
PIM-SSM
- 組播接收者通過IGMPv3感知到組播源地址
- 接收者一側DR向組播源發起Join報文,建立SPT
相關命令
[h3c]multicast routing //全域開啟組播路由功能
[h3c]pim //創建PIM行程
[h3c-GigabitEthernet0/0]pim 'dm/sm' //介面使能PIM,并指定PIM模式
[h3c-pim]static-rp 'ip-address' //配置靜態RP
[h3c-pim]c-rp 'ip-address' //配置候選RP
[h3c-pim]c-bsr 'ip-address' //配置候選BSR
[h3c]display multicast routing-table //查看組播路由表
組播轉發機制
組播分發樹
定義
- 組播資料在網路中的轉發路徑
- 由組播路由協議建立
分類
-
SPT:最短路徑樹,為每個組播源分別建立一條到達接收者的最短路徑,可保證組播轉發低延遲,需要維護的路徑數量太多
-
RPT:共享樹,建立一條所有組播源到所有接收者的共享路徑,只需要維護少量的組播路徑,無法保證每個組播源到接收者是最優路徑
RPF機制
定義
- 逆向路徑轉發
作業機制
- 組播資料包到達路由器后,執行RPF檢查
- 如果資料包是在到達組播源的最優路徑上到達,則RPF檢查成功,資料包被轉發
- 如果RPF檢查失敗,則丟棄資料包
- RPF檢查基于單播路由表,如果單播路由存在等價路由,則RPF選擇嚇一跳IP地址大的
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/325543.html
標籤:其他