kl800.com省心范文网

H3CSE完全笔记-构建安全优化的广域网


* ip 基于hop-by-hop 转发模式,ATM 不是,但它因控制复杂,成本高昂,难以普及(只有金桥和已倒闭 的北电能够熟练掌握其技 术),而MPLS 介于两者之间。 IP 转发采用最长匹配,需多次查表,算法效率不高。ATM 转发采用唯一匹配,一次查表,效率很高。 * MPLS 标签(label)长度为32 位,具有局部意义的标识,放在链路层封装头和网络层封装头之间,用此 标签封装网络层分组, 可以承载在各种链路层协议上。 * MPLS 组成:【20 比特label】--【3 比特EXP】--【1 比特S】--【8 比特TTL】 MPLS 标签分为4 个区域: 1、Label :标签值,长度20b,是标签转发表的关键索引; 2、EXP:用于QoS,长度3b,作用与Ethernet 802.1p 值相似; 3、S:栈底标识,长度1b,果有多个Label 时,在栈底的Label 的S 位置为"1",其他为"0",只有一个Label 时S 位置为"1"; 4、TTL:存活时间,长度8b,与IP 报文的TTL 值相似,这个值从IP 报文头的TTL 域拷贝过来,每进行一 次Label 交换时, 外层Label 的TTL 值就减“1”。 * MPLS 网络组成:非MPLS 网络-----【MPLS 网络:LER—LSR—LER】-----非MPLS 网络。MPLS 网络和非 MPLS 网络兼容性很好。 LER:标签边界路由器;LSR:标签交换路由器。“【---】”这条路径称做LSP:标签交换路径。 * FEC 转发等价类:通俗说,不管什么流都做等价转发处理,在转发过程中以等价的方式处理的一组数据 分组,可以通过地址、隧 道、COS 等来标识创建FEC。 * MPLS 可实现多层嵌套:如,【数据链路层】【MPLS 标签1】【MPLS 标签2】【MPLS 标签…】【网络层】 * MPLS 标签识别: 以太网帧结构:【D-MAC】【S-MAC】【TYPE】【DATE】----------------【CRC】 普通IP 包: 【D-MAC】【S-MAC】【0800】-----------【IP Packet】【CRC】 MPLS 包: 【D-MAC】【S-MAC】【8847】【MPLS 标签】【IP Packet】【CRC】 * 能够分配MPLS 标签的协议: 1、LDP 标签分配协议(公有),取代之有TDP 标记分发协议(cisco 私有); 2、RSVP 资源预留协议; 3、MP-BGP 多协议BGP。 * 在LDP 协议中,存在4 种类型的LDP 消息: 1、发现消息(Discovery messages):用于LDP 邻居的发现和维持。(使用UDP646 端口,使用组播地址 224.0.0.2) 2、会话消息(Session messages):用于LDP 邻居会话的建立、维持和中止。 (有地址大的一方发起TCP 链 接) 3、通告消息(Advertisement messages):用于LDP 实体向LDP 邻居宣告Label、地址等信息。 4、通知消息(Notification messages):用于向LDP 邻居通知事件或者错误。 * 上游与下游:流量发起的一方为上游,接收的一方为下游,而label 分配方向与流量方向相反,即由下 游分配到上游。 * 标签分配过程:LDP session 建立完成后,路由器根据路由表进行标签分配,形成MPLS 标签转发表。标 签转发表主要包含入标 签(IN)、出标签(OUT)和出接口,路由器可以根据标签转发表转发MPLS 报文。标签是设备随机自动生 成的,16 以下为系统保留。 * 标签分配过程中,IN 标签在华三定义中是自己分配的标签,分配给上游使用;OUT 标签是别人分配的标

签。(与一些厂商相反) * 标签分配和管理: 1、标签分配模式; a.DOD(downstream-on-demand,下游按需标记分配):只有当上游向下游请求流量时,下游才向上游分配 lable。 b.DU(downstream unsolicited,下游自主标记分配):不管上游请不请求,下游都分配lable。(现在主 流) 2、标签控制模式; a.有序方式(Ordered):上游设备只有收到它的下游返回的标签映射消息后才向其更上游发送标签映射消 息。 b.独立方式(Independent):不管有没有收到其下游返回的标签映射消息,都向上游发送标签映射消息。 (现在主流) 3、标签保持方式; a.保守模式(Conservative):只保留来自下一跳邻居的标签,丢弃所有非下一跳邻居发来的标签。优点: 节省内存和标 签空间;缺点:当IP 路由收敛、下一跳改变时LSP 收敛慢。(如,最优路径突然down 掉) b.自由模式(Liberal):保留来自邻居的所有标签。优点:当IP 路由收敛、下一跳改变时减少了LSP 收 敛时间。缺点: 需要更多的内存和标签空间。(现在主流) * MPLS 转发实现: 1、标签PUSH:非MPLS 网络IP 报文进入MPLS 网络,LER 进行标签压入(PUSH 操作)。 2、标签SWAP:报文在MPLS 网络中间进行转发时,在LSR 上进行标签交换(SWAP)。设备只需查询标签转发 表即可完成转发。 3、标签POP:标签从MPLS 网络进入非MPLS 网络,LER 进行标签弹出(POP 操作)。 * 随着硬件技术的进步,采用ASIC 和NP 进行转发的高速路由器和三层交换机得到广泛应用,使得IP 转发 性能大为提高,可以满 足网络数据转发性能需求。MPLS 技术(软件)在提高转发性能应用上未能发挥优势。 * MPLS 支持多层标签嵌套和面向连接的特点,使得其在VPN(MPLS-VPN)、流量工程TE(MPLS-TE)、QoS、 CCC 等方面得到广泛应用。 * 传统企业网面临的问题:: 1、直接通过Internet 或运营商骨干网络连接分支机构的缺点:网络层协议必须统一、必须使用统一的路 由策略、必须使 用同一公网地址空间。 2、企业直接通过专线、电路交换或分组交换的广域网技术连接其分支机构的缺点:布署成本高、变更不灵 活、移动用户远 程拨号接入费用高。 * VPN 的优势:1、可以快速构建网络,降低布署周期;2、与私有网络一样提供安全性,可靠性和可管理 性;3、可利用Internet, 无处不连通,处处可接入;4、简化用户侧的配置和维护工作;5、提高基础资源利用率;6、于客户可节约 使用开销;7、于运营商 可以有效利用基础设施,提供大量、多种业务。 * VPN 是由若干Site 组成的集合。Site 可以同时属于不同的VPN,但是必 须遵循如下规则:两个Site 只有同时属于一个VPN 定义的Site 集合,才 具有IP 连通性。按照VPN 的定义,一个VPN 中的所有Site 都属于一个企

业,称为Intranet;如果VPN 中的Site 分属不同的企业,则称为Extranet。 * VPN 接入:VPN 用户--PSTN/ISDN--NAS 服务器--【internet】--VPN Server * 隧道可以通过隧道协议来实现。根据是在OSI 模型的第二层还是第三 层实现隧道,隧道协议分为第二层隧道协议和第三层隧道协议。 * 一般地,第二层隧道协议和第三层隧道协议都是独立使用的,如果合理 地将这两层协议结合起来使用,将可能为用户提供更好的安全性(如将 L2TP 和IPSec 协议配合使用)和更佳的性能。 * 传统企业网面临的问题:: 1、直接通过Internet 或运营商骨干网络连接分支机构的缺点:网络层协 议必须统一、必须使用统一的路由策略、必须使用同一公网地址空间。 2、企业直接通过专线、电路交换或分组交换的广域网技术连接其分支机 构的缺点:布署成本高、变更不灵活、移动用户远程拨号接入费用高。 * 第二层隧道协议:第二层隧道协议是将整个PPP 帧封装在内部隧道中。 1、PPTP(Point-to-Point Tunneling Protocol):点到点隧道协议,由微软、Ascend 和3COM 等公司支 持,在Windows NT 4.0 以上版本中支持。该协议支持点到点PPP 协议在IP 网络上的隧道封装,PPTP 作为一个呼叫控制和管 理协议,使用一种增强 的GRE(Generic Routing Encapsulation,通用路由封装)技术为传输的PPP 报文提供流控和拥塞控制的 封装服务。 2、L2F(Layer 2 Forwarding)协议:二层转发协议,由北方电信等公司支持。L2F 协议支持对更高级协 议链路层的隧道 封装,实现了拨号服务器和拨号协议连接在物理位置上的分离。 3、L2TP(Layer 2 Tunneling Protocol):二层隧道协议,由IETF 起草,微软等公司参与,结合了上述 两个协议的优点, 为众多公司所接受,并且已经成为标准RFC。L2TP 既可用于实现拨号VPN 业务,也可用于实现专线VPN 业 务。 * 第三层隧道协议:第三层隧道协议的起点与终点均在ISP 内,PPP 会话终止在NAS 处,隧道内只携带第 三层报文。 1、GRE(Generic Routing Encapsulation)协议:这是通用路由封装协议,用于实现任意一种网络层协议 在另一种网络层 协议上的封装。 2、IPSec(IP Security)协议:IPSec 协议不是一个单独的协议,它给出了IP 网络上数据安全的一整套 体系结构,包括 AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange) 等协议。GRE 和IPSec 主要用于实现专线VPN 业务。 * 【协议B:协议B 数据包】--RTA--【VPN 网络,协议A:?-封装包-数据】--RTB--【协议B:协议B 数据 包】 封装包格式:【协议A 头:承载协议】【封装协议头:封装协议】【协议B 头:载荷协议】【载荷数据】 * VPN 的分类: (1)按运营模式划分: 1.CPE-based VPN(Customer Premises Equipment based VPN):用户不但要安装价格昂贵的设备及专门 认证工具,还要负责繁杂 的VPN 维护(如通道维护、带宽管理等)。这种方式组网复杂度高、业务扩展能力弱。

2.Network-based VPN(NBIP-VPN):将VPN 的维护等外包给ISP 实施(也允许用户在一定程度上进行业务 管理和控制),并且将 其功能特性集中在网络侧设备处实现,这样可以降低用户投资、增加业务灵活性和扩展性,同时也可为运 营商带来新的收入。 (2)按业务用途划分: 1.Intranet VPN(企业内部虚拟专网):Intranet VPN 通过公用网络进行企业内部各个分布点互联,是传 统的专线网或其它企业网 的扩展或替代形式。 2.Access VPN(远程访问虚拟专网):Access VPN 向出差流动员工、远程办公人员和远程小办公室提供了 通过公用网络与企业的 Intranet 和Extranet 建立私有的网络连接。Access VPN 的结构有两种类型,一种是用户发起 (Client-initiated)的VPN 连 接,另一种是接入服务器发起(NAS-initiated)的VPN 连接。 3.Extranet VPN(扩展的企业内部虚拟专网):Extranet VPN 是指利用VPN 将企业网延伸至供应商、合作 伙伴与客户处,使不同 企业间通过公网来构筑VPN。 (3)按组网模型划分: 1.虚拟专用拨号网络(VPDN):VPDN(Virtual Private Dial Network)是指利用公共网络(如ISDN 和PSTN) 的拨号功能及接入 网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。 2.虚拟租用线(VLL):VLL(Virtual Leased Line)是对传统租用线业务的仿真,通过使用IP 网络对租 用线进行模拟,提供非对 称、低成本的“DDN”业务。从虚拟租用线两端的用户来看,该虚拟租用线近似于过去的租用线。 3.虚拟专用LAN 网段(VPLS)业务:VPLS(Virtual Private LAN Segment)借助IP 公共网络实现LAN 之 间通过虚拟专用网段互 连,是局域网在IP 公共网络上的延伸。 4.虚拟专用路由网(VPRN)业务:VPRN(Virtual Private Routing Network)借助IP 公共网络实现总部、 分支机构和远端办公室 之间通过网络管理虚拟路由器进行互连, 业务实现包括两类: 一种是使用传统VPN 协议 (如IPSec、 GRE 等) 实现的VPRN,另 外一种是MPLS 方式的VPRN。 (4)按网络层次划分: 1 L2VPN:包括Martini 方式的MPLS L2VPN、Kompella 方式的MPLS L2VPN、SVC 方式的MPLS L2VPN、VPLS 以 及静态CCC 配置。 2. L3VPN:包括BGP/MPLS VPN、IPSec VPN、GRE VPN、DVPN 等。 * 主要VPN 技术: 1、主要的L2 VPN 技术:L2TP、PPTP、MPLS L2 VPN; 2、主要的L3 VPN 技术GRE、IPSec、BGP/MPLS VPN。 * GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议的数据报进行封装, 使这些被封装的数据报能 够在另一个网络层协议中传输。GRE 是VPN 的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel (隧道)的技术。 * GRE 封装包格式:【链路层头】【协议A 头:承载协议】【GRE 头:封装协议】【协议B 头:载荷协议】 【载荷数据】

* IP 用协议号47 标识GRE;GRE 使用以太类型0x0800 标识载荷协议为IP。 * GRE 隧道处理流程:1 隧道起点路由查找-->2 加封装-->3 承载协议路由转发-->4 中途转发-->5 解封 装-->6 隧道终点路由查找。 1、隧道起点路由查找:源主机发出数据包,路由器检查包时,查找路由表,该路由条目转发接口显示为 Tunnel_N。 2、加封装:包格式,【公共IP 头:[S-IP][D-IP][ ]】【GRE 头】【私网IP 包】 3、承载协议路由转发:封装好后,进行常规承载协议路由转发,继续查路由表,路由条目显示转发端口为实 体接口,如:S1/0。 4、中途转发:按常规承载协议进行在VPN 网络中路由。 5、解封装:包到达目的路由器后,剥离公共IP 头和GRE 头。 6、隧道终点路由查找:解封装后,数据包按照载荷协议进行私网路由到达目标主机。 * GRE VPN 的特点: 1、优点:可以用当前最为普遍的IP 网络作为承载网络、支持多种协议、支持路由协议和IP 组播、配置简 单,容易布署。 2、缺点:点对点隧道、静态配置隧道参数、布署复杂连接关系时代价巨大、缺乏安全性、不能分隔地址空 间。 * Tunnel 接口虚假状态与静态路由: 1、中间链路故障时接,Tunnel 口仍然UP; 2、由于使用静态路由,备份隧道始终空闲,数据包被丢弃。 所以使用“Tunnel 接口Keepalive 报文”:Tunnel 边沿两路由器互发该报文,若RTA 收不到RTB 的该报 文时,Tunnel0 接口down。 * (1)GRE VPN 基本配置: 1、创建虚拟Tunnel 接口,并进入其接口视图:[Router]interface tunnel interface-number 2、指定Tunnel 的源端:[Router-Tunnel0]source {ip-address|interface-type interface-number} 3、指定Tunnel 的目的端:[Router Tunnel0]destination ip-address 4、设置Tunnel 接口的IP 地址:[Router Tunnel0]ip address ip-address {mask|mask-length} (2)GRE VPN 高级配置: 1、设置Tunnel 接口报文的封装模式为GRE:[Router-Tunnel0]tunnel-protocol gre 2、设置Tunnel 两端进行端到端校验:[Router-Tunnel0]gre checksum 3、设置Tunnel 接口的识别关键字:[Router-Tunnel0]gre key key-number 4、配置Tunnel 的Keepalive 功能:[Router-Tunnel0]keepalive [seconds[times]] (3)GRE VPN 调试命令: 1、调试GRE:<Router>debugging gre {all|error|packet} 2、Tunnel 调试:<Router>debugging tunnel {all|error|event|packet} * GRE VPN 配置示例一: GRE VPN 配置示例二: * VPDN 隧道协议可分为PPTP、L2F 和L2TP 三种,目前使用最广泛的是L2TP。 * 传统拨号接入模式:1、拨号接入方式常用PSTN/ISDN 等直接拨叫NAS;2、长途拨号费用高,NAS 设备需 要大量拨号接口。 * VPN 用户通过PSTN/ISDN 网拨入ISP 的NAS(Network Access Server)网络访问服务器,NAS 服务器通 过用户名或接入号码识 别出该用户为VPN 用户后,就和用户的目的VPN 服务器建立一条连接,称为隧道(Tunnel),然后将用户 数包封装成IP 报文后通 过该隧道传送给VPN 服务器,VPN 服务器收到数据包并拆封后就可以读到真正有意义的报文了。反向的处

理也一样。 * PPP 协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时,用户与NAS 之 间运行PPP 协议,二层 链路端点与PPP 会话点驻留在相同硬件设备上。 L2TP 协议提供了对PPP 链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP 会话点驻留在 不同设备上,并且 采用包交换网络技术进行信息交互,从而扩展了PPP 模型。 * 应用L2TP 构建的VPDN 服务:远程主机A------【PSTN/ISDN】LAC【internet:L2TP 通道】LNS -----【私网】 LAC:表示L2TP 访问集中器(L2TP Access Concentrator),是附属在交换网络上的具有PPP 端系统和L2TP 协议处理能力 的设备。LAC 一般是一个网络接入服务器NAS,主要用于通过PSTN/ISDN 网络为用户提供接入服务。 LNS:表示L2TP 网络服务器(L2TP Network Server),是PPP 端系统上用于处理L2TP 协议服务器端部分 的设备。 * LAC 位于LNS 和远端系统(远地用户和远地分支机构)之间,用于在LNS 和远端系统之间传递信息包, 把从远端系统收到的信息 包按照L2TP 协议进行封装并送往LNS,将从LNS 收到的信息包进行解封装并送往远端系统。LAC 与远端系 统之间可以采用本地连接 或PPP 链路,VPDN 应用中通常为PPP 链路。 * L2TP 介绍:1、隧道传送PPP;2、验证和动态地址分配;3、点对网络特性。 * 隧道和会话的概念:在一个LNS 和LAC 对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,它 定义了一个LNS 和LAC 对; 另一种是会话 (Session) 连接, 它复用在隧道连接之上, 用于表示承载在隧道连接中的每个PPP 会话过程。 在同一对LAC 和LNS 之间可以建立多个L2TP 隧道,隧道由一个控制连接和一个或多个会话(Session)组成。会话连接必须在 隧道建立(包括身份保护、 L2TP 版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC 和LNS 之间的 一个PPP 数据流。控制 消息和PPP 数据报文都在隧道上传输。 L2TP 使用Hello 报文来检测隧道的连通性。LAC 和LNS 定时向对端发送Hello 报文,若在一段时间内未收 到Hello 报文的应答, 该隧道将会被拆除。 * 通常L2TP 数据以UDP 报文的形式发送。L2TP 注册了UDP 1701 端口,但是这个端口仅用于初始的隧道建 立过程中。L2TP 隧道 发起方任选一个空闲的端口(未必是1701)向接收方的1701 端口发送报文;接收方收到报文后,也任选一 个空闲的端口(未必是 1701),给发送方的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。 * L2TP 控制消息和数据消息的概念:L2TP 中存在两种消息:控制消息和数据消息。控制消息用于隧道和 会话连接的建立、维护以 及传输控制;数据消息则用于封装PPP 帧并在隧道上传输。控制消息的传输是可靠传输,并且支持对控制 消息的流量控制和拥塞 控制;而数据消息的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥 塞控制。控制消息和数据 消息共享相同的报文头。L2TP 报文头中包含隧道标识符(TunnelID)和会话标识符(Session ID)信息,

用来标识不同的隧道和 会话。隧道标识相同、会话标识不同的报文将被复用在一个隧道上,报文头中的隧道标识符与会话标识符 由对端分配。 * L2TP 会话:1、一个L2TP 隧道对应一个L2TP 控制连接;2、一个L2TP 会话对应一个L2TP 呼叫。 * 用户地址由LNS 分配;对远程拨号用户的验证与计费既可由LAC 侧的代理完成,也可在LNS 侧完成。 * 独立LAC 拓扑结构: 主机A--【PSTN/ISDN】--LAC------【公网internet】------LNS--【私网】 | | [LAC RADIUS Server] [LNS RADIUS Server] L2TP 隧道的呼叫建立流程: 独立LAC 拓扑结构:1、ISP 提供LAC 设备;2、可由LAC 设备提供附加的用户控制和管理;3、不依赖IP 接 入点。 * 客户LAC 拓扑结构: LAC 用户---【internet】---LNS---【私网】 (LAC 用户:指可在本地支持L2TP 协 议的用户) 1、需要直接的Internet 接入点;2、不依赖额外的LAC 设备灵活性强;3、企业可以依托Internet 直接构 建VPN。 * L2TP 协议本身并不提供连接的安全性,但它可依赖于PPP 提供的认证(比如CHAP、PAP 等),因此具有 PPP 所具有的所有安全 特性。L2TP 可与IPSec 结合起来实现数据安全,这使得通过L2TP 所传输的数据更难被攻击。 * L2TP 封装包:【公网IP 头】【UDP 头】【L2TP 头】【PPP 头】【私网IP 包】 * L2TP 协议操作: 1、建立控制连接: A、控制连接的建立由PPP 触发; B、LAC 用任意UDP 端口向LNS 的UDP 端口1701 发起连接; C、LNS 将1701 端口重定位为任意端口。 2、建立会话: A、会话的建立以控制连接的建立为前提; B、会话与呼叫有一一对应关系; C、同一个隧道中可以建立多个会话。 3、转发PPP 帧: A、会话建立后,即可转发PPP 帧; B、用Tunnel ID 和Session ID 区分不同隧道和不同会话的数据。 4、Keepalive: A、LAC 和LNS 用Hello 控制消息维护隧道的状态。 5、关闭会话: 6、关闭控制连接: L2TP 控制消息类型: 附:ZLB(Zero-Length Bod) 1 SCCRQ(Start-Control-Connection-Request):开始控制连接请求; 2 SCCRP(Start-Control-Connection-Reply):开始控制连接答复; 3 SCCCN(Start-Control-Connection-Connected):开始控制连接已连接; 4 StopCCN(Stop-Control-Connection-Notification):停止控制链接通知; 6 HELLO(Hello):欢迎消息; 7 OCRQ(Outgoing-Call-Request):输出呼叫请求; 8 OCRP(Outgoing-Call-Reply):输出呼叫答复; 9 OCCN(Outgoing-Call-Connected):输出呼叫被连接;

10 ICRQ(Incoming-Call-Request):进入呼叫请求; 11 ICRP(Incoming-Call-Reply):进入呼叫答复; 12 ICCN(Incoming-Call-Connected):进入呼叫已连接 14 CDN(Call-Disconnect-Notify):呼叫断开通知; 15 WEN(WAN-Error-Notify):广域网错误通知; 16 SLI(Set-Link-Info):设置连接信息。 * 典型的独立L2TP 模式工作过程: 典型的客户LAC 模式工作过程: *独立LAC 模式配置任务: 1、配置L2TP 基本功能 a、启用L2TP: [Router]l2tp enable b、创建L2TP 组,并进入L2TP 组视图:[Router]l2tp-group group-number c、配置隧道本端名称:[Router-l2tp1]tunnel name name 2、LAC 侧 a、设置LAC 发起L2TP 连接请求: [Router-l2tp1]start l2tp ip ip-address&<1-5> {domain domain-name|fullusername user-name} b、设置LAC 对VPN 用户验证:可以使用本地验证或远程验证 3、LNS 侧 a、配置虚接口模板,进入虚模板接口视图:[Router]interface virtual-template

virtual-template-number
b、配置虚模板接口的IP 地址:[Router-Virtual-Template1]ip address ip-address

{mask|mask-length}[sub]
c、设置本端地址及分配的地址池:[Router-Virtual-Template1]remote address { pool

[pool-number]|ip-address}
d、配置PPP 验证: [Router-Virtual-Template1]ppp authentication-mode {chap|pap}[[call-in]|domain isp-name] e、配置LNS 接收L2TP 连接请求: L2TP 组不为1 时: [Router-l2tp2]allow l2tp virtual-template virtual-template-number remote remote-name [domain

domain-name]
L2TP 组为1 时: [Router-l2tp1]allow l2tp virtual-template virtual-template-number [remote remote-name] [domain domain-name] f、配置LNS 对VPN 用户验证: 4、LAC 和LNS 高级配置命令: a、启用隧道验证:[Router-l2tp1]tunnel authentication b、配置隧道验证密码:[Router-l2tp1]tunnel password {simple|cipher} password c、设置隧道Hello 消息发送时间间隔:[Router-l2tp1]tunnel timer hello hello-interval d、强制挂断隧道:<Router>reset l2tp tunnel {id tunnel-id|name remote-name} 5、LNS 高级配置命令: a、配置强制CHAP 验证:[Router-l2tp1]mandatory-chap b、配置强制LCP 重新协商:[Router-l2tp1]mandatory-lcp * 独立LAC 模式L2TP 配置示例: * iNode 客户端介绍:H3C 开发的成熟而专业化的安全客户端软件、支持802.1X、Portal 等方式的验证和 接入、支持L2TP VPN、

强大的安全性:a、支持IPSec/IKE 和NAT 穿越;b、支持RSA 动态口令验证和SecKey。 *客户LAC 模式配置任务: 1、配置LNS:配置命令与独立LAC 模式相同; 2、配置远程系统的公网连接:以任意方式获得公网接入,与LNS 建立连通性; 3、配置iNode 客户端:1、安装iNode 客户端;2、创建VPN 连接;3、配置用户名和密码;4、VPN 连接基 本设置;5、VPN 连接高级属性。 * * L2TP 调试命令:<Router>debugging l2tp {all|control|dump|error|event|hidden|payload|time-stamp} all:表示打开所有L2TP 调试信息开关。control:表示打开控制报文调试信息开关。 dump:表示打开PPP 报文调试信息开关。error:表示打开差错信息的调试信息开关。 event:表示打开事件调试信息开关。hidden:表示打开隐藏AVP 的调试开始信息开关。 payload:表示打开L2TP 数据报文调试信息开关。time-stamp:表示打开显示时间戳的调试信息开关。 * 用户和密钥都储存在LNS 中。LAS 和LNS 直间必须先建立控制连接,再建立隧道,最后建立会话。 * 远程连接需求分类:1、连通性需求:时间、地点、带宽、可靠性、费用。2、安全性需求:确认身份, 隐藏内部,防止窃听和伪 造。3、优化性需求:为适当的应用提供适当的服务。 * 安全性需求:1、广域传输安全性:避免保密信息的泄露和被篡改。2、节点/站点安全性:隐藏组织的内 部网络结构。 3、接入安全性:判断接入者的身份、授予适当的权限。4、防御病毒和攻击:端到端安全管理、及时修补 漏洞。 * 典型企业网的应用及其优化需求: 1、各种信息类型对网络的要求区别显著。 2、网络必须能够区分用户及其报文类型,为其提供不同的服务。这要求网络实现QoS。 3、QoS 是一种对不同的用户、应用类型、数据流提供有差别服务,并可进而保证其获得的网络资源,提供 其所需性能的机制。 * 企业网的宽带接入技术需求:除了传统的专线连接,企业网中的部分用户在接入企业网络时也会考虑使 用高速、灵活、便宜的宽 带接入技术先接入Internet,然后通过安全VPN 的方式来访问企业网络资源。 * 什么是接入网? * 什么是“宽带”?:接入网接入终端用户的数据传输速率达到多高才能被称为“宽带”?(在 业界并没有统一并被多数人接受的定义。根据ITU-T 的定义,目前主流的宽带接入技术的速率需 要高于ISDN 主速率接口PRI 的传输速率(1.5M~2M)) * 宽带接入模型和基本概念:宽带接入技术通常应用在“最后一公里接入”(First Mile Access), 即从CPN(Customer Premises Network 用户驻地网)(CPE)到CO 这一段线路的接入。 * 宽带接入的传输介质和技术: * 主要的光纤接入模式:FTTH(Fiber To The Home 光纤到户)、FTTB(Fiber To The Building 光纤到 大楼)、 FTTC(Fiber To The Curb 光纤到路边) * 主要的宽带接入技术: * 以太网接入: * 大型园区接入的典型应用: (AN 下行通过VLAN 实现不同用户二层隔离;AN 上行通过路由协议实现路 由转发) * 以太网接入用户的认证——PPPoE:1、PPPoE 协议采用Client/Server 方式,它将PPP 报文封装在以太

网帧之内,在以太网上提 供点对点的连接。2、PPPoE 有两个阶段:Discovery 阶段和PPP Session 阶段。 PPPoE 利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每个主机实现控 制、计费功能,极高 的性能价格比使PPPoE 在包括小区组网建设等一系列应用中被广泛采用。 * PPPoE 有两个阶段:Discovery 阶段和PPP Session 阶段: 1、Discovery 阶段:当一个主机想开始PPPoE 进程的时候,它必须先识别接入端的以太网MAC 地址,建立 PPPoE 的SESSION ID。 这就是Discovery 阶段的目的。 2、 当PPPoE 进入Session 阶段后, PPP 报文就可以作为PPPoE 帧的净荷封装在以太网帧发到对端, SESSION ID 必须是Discovery 阶段确定的ID,MAC 地址必须是对端的MAC 地址,PPP 报文从Protocol ID 开始。在Session 阶段,主机 或服务器任何一方 都可发PADT(PPPoE Active Discovery Terminate)报文通知对方结束本Session。 * H3C AR 系列路由器提供了PPPoE Server 的功能。PPPoE 在ADSL 宽带接入中被广泛使用。通常,一台主 机如果要通过ADSL 接入 Internet,必须在主机上安装PPPoE 客户端拨号软件。H3C AR 系列路由器实现了PPPoE Client 功能(即 PPPoE 的客户端拨号功 能),用户可以不用在PC 上安装PPPoE 客户端软件即可接入Internet,而且同一个局域网中的所有PC 可以 共享一个ADSL 帐号。 * PPPoE 的帧结构: (PPPoE 的Payload(有效载荷):0 或多个TAG) * PPPoE Server 的配置命令:·创建虚拟接口模板并进入虚拟接口模板视图:[Router] interface virtual-template number ·配置虚拟模板参数:(验证方式、IP 地址获取方式) ·进入指定的以太网接口视图:[Router] interface interface-type interface-number ·在以太网接口上启用PPPoE 协议:[Router-Ethernet1/1] pppoe-server bind virtual-template number ·PPPoE Client 的配置:配置Dialer Rule:[Router] dialer-rule dialer-group {protocol-name {permit|deny}|acl acl-number} ·创建一个Dialer 接口:[Router] interface dialer number ·新建一个Dialer 用户:[Router-Dialer1] dialer user username ·配置接口IP 地址:[Router-Dialer1] ip address {address mask|ppp-negotiate} ·配置接口的Dialer Bundle:[Router-Dialer1] dialer bundle bundle-number ·配置接口的Dialer Group:[Router-Dialer1] dialer-group group-number ·在以太网接口视图下建立一个PPPoE 会话,并且指定该会话所对应的Dialer Bundle: [Router-Ethernet1/1] pppoe-client dial-bundle-number number [no-hostuniq] [idle-timeout seconds [queue-length packets]] * (1)典型配置实例(Server 的配置): (2)典型配置实例(Client 的配置): 拓扑如上图 * 以太网接入的传输距离问题:以太网接入的传输距离和其使用物理介质有直接的关系: 名称速度介质类型传输距离(最大线缆长度) 协议标准 100BASE-TX 100 Mbps 2 对5 类UTP 100m 100BASE-FX 100 Mbps 多模光纤2000m 100BASE-T4 100 Mbps 4 对3 类UTP 100m 802.3u

1000BASE-SX 1 Gbps 多模光纤275m / 550m 1000BASE-LX 1 Gbps 单模光纤550m / 5000m 1000BASE-CX 1 Gbps 2 对STP 25m 802.3z 1000BASE-T 1 Gbps 4 对5 类UTP 100m 802.3ab * Discovery 阶段由四个过程组成。完成之后通信双方都会知道PPPoE 的 Session_ID 以及对方以太网地址,它们共同确定了唯一的PPPoE Session: 1、PPPoE Client 广播发送一个PADI 报文,在此报文中包含PPPoE Client 想 要得到的服务类型信息。 2、所有的PPPoE Server 收到PADI 报文之后,将其中请求的服务与自己能够提 供的服务进行比较,如果可以提供,则单播回复一个PADO 报文。 3、根据网络的拓扑结构,PPPoE Client 可能收到多个PPPoE Server 发送的PADO 报文,PPPoE Client 选择最先收。 4、PPPoE Server 产生一个唯一的会话ID(SESSION ID),标识和PPPoEClient 的 这个会话,通过发送一个PADS 报文把会话ID 发送给PPPoE Client,若无误, 会话建立后便进入PPPoE Session 阶段。 * 光纤接入从技术上可分为两大类: 有源光网络(AON, Active Optical Network)和无源光网络(PON, Passive Optical Network)。 * 目前基于PON 的实用技术主要有APON/BPON、GPON、EPON/GEPON 等几种,其主要差异在于采用了不同的 二层技术。 APON 在2001 年底更名为BPON,APON 的最高速率为622Mbps,二层采用的是ATM 封装和传送技术,因此存 在带宽不足、技术 复杂、价格高、承载IP 业务效率低等问题,未能取得市场上的成功。 为更好适应IP 业务,第一英里以太网联盟(EFMA)在2001 年初提出了在二层用以太网取代ATM 的EPON 技 术,EPON 可以支 持1.25Gbps 对称速率,将来速率还能升级到10Gbps。由于其将以太网技术与PON 技术完美结合,因此成为 了非常适合IP 业务的 宽带接入技术。对于Gbps 速率的EPON 系统也常被称为GEPON。100M 的EPON 与1G 的EPON 的不同在速率上 的差异,在其中所包 含的原理和技术,是一致的,目前业界主要推广的是GEPON,百兆位的EPON 也有不多的一些应用。 EPON 由于使用上述经济而高效的结构, 从而成为连接接入网最终用户的一种最有效的通信方法。 10Gbps 以 太主干和城域环的 出现也将使EPON 成为未来全光网中最佳的最后一公里的解决方案。 当前在高速率和支持多业务方面,GPON 有优势,但技术的复杂和成本目前要高于EPON,产品的成熟性也逊 于EPON。 在协议的第二层,EPON 采用成熟的全双工以太技术,使用TDM,由于ONU 在自己的时隙内发送数据报,因 此没有碰撞,不需 CDMA/CD,从而充分利用带宽。另外,EPON 通过在MAC 层中实现802.1p 来提供与APON/GPON 类似的QoS。 * PON 是一种点到多点(P2MP)的结构。一个典型的Ethernet over PON(EPON)系统由OLT、ONU、POS 组 成。OLT(Optical Line Terminal 光线路终端)放在中心机房,ONU(Optical Network Unit 光网络单元)放在用户设备端附近或 与其合为一体。POS(Passive Optical Splitter 无源分光器)是无源光纤分支器,是一个连接OLT 和ONU 的无源设备,它的功能是分发 下行数据,并集中上行

数据。EPON 中使用单芯光纤,在一根芯上转送上下行两个波(上行波长:1310nm,下行波长:1490nm,另 外还可以在这个芯上下 行叠加1550nm 的波长,来传递模拟电视信号)。 * PON 的标准化进程:FSAN(Full Service Access Network 全业务接入网论坛)、 EFM(Ethernet in the First Mile 第一英里以太网)、EFMA(Ethernet First Mile Alliance 第一英里 以太网联盟)。 PON 速率优势劣势 APON/BPON 最高速率为622Mbps 带宽不足、技术复杂、价格高、承载 IP 业务效率低 EPONO 1.25Gbps~10Gbps 对称速率 高速率基于以太网,产品成熟度和价 格方面的优势明显 GPON 下行速率: 1.25Gbps 和2.5Gbps 上行速率: 155Mbps、622Mbps、1.25Gbps、 2.5Gbps 高速率、支持多业务 技术复杂、成本较高,产品的成熟度 稍逊于EPON * PON 技术的优点:带宽高、覆盖范围广、可靠性高、节省资源。 [CO]----【subscribers 用户群】:P2P 结构[CO]----[Curb Switch 控制交换]【subscribers 用户群】: P2P Curb 结构 [CO]----[POS]【subscribers 用户群】:P2MP(PON)结构 * EPON(802.3ah)的层次结构: OAM=操作、管理、维护FEC=前向纠错GMII=千兆位介质独立接口MDI=介质 相关接口 OLT=光线路终端OMU=光网络单元PCS=物理编码子层PMA=物理介质附加PMD=物理介质相关RS=调和子层 * EPON 物理层通过GMII 接口与RS 层相连,担负着为MAC 层传送可靠数据的责任。物理层的主要功能是将 数据编成合适的线路 码;完成数据的前向纠错;将数据通过光电、电光转换完成数据的收发。整个EPON 物理层由如下几个子层 构成:1.物理编码子层 (PCS)、2.前向纠错子层(FEC)、3.物理媒体附属子层(PMA)、4.物理媒体依赖子层(PMD)。 * PCS 子层处于物理层的最上层。PCS 子层上接GMII 接口下接PMA 子层,其实现的主要技术为8b/10b, 10b/8b 编码变换。这个 高速的8b/10b 编码器的工作频率是125MHz,它的编码原理基于5b/6b 和3b/4b 两种编码变换。PCS 的主要 功能模块为: 1、发送过程:从RS 层通过GMII 口发往PCS 层的数据经过发送模块的处理(主要是8B/10B)。 2、自动协商过程:设置标识通知PCS 发送过程发送的是空闲码、数据、还是重新配置链路。 3、同步过程:PCS 同步过程经PMA 数据单元指示原语连续接收码流,并经同步数据单元指示原语把码流发 往PCS 接收过程。PCS 同步过程设置同步状态标志指示是否PMA 层发送来的数据是否可靠。 4、 接收过程: 从PMA 经过同步数据单元指示原语连续接收码流。 PCS 接收过程监督这些码流并且产生给GMII 的数据信号,同时 产生供载波监听和发送过程使用的内部标识、接收信号、监测包间空闲码。

* EPON 系统通过一条共享光纤将多个DTE 连接起来,其拓扑结构为不对称的基于无源分光器的树形分支结 构。MPCP(Muti-Point Control Protocol 多点控制协议)就是使这种拓扑结构适用于以太网的一种控制机制。 * EPON 建立在MPCP 基础上,该协议是MAC control 子层的一项功能。MPCP 使用消息,状态机,定时器来 控制访问P2MP 的拓扑结 构。在P2MP 拓扑中的每个ONU 都包含一个MPCP 的实体,用以和OLT 中的MPCP 的一个实体相互通信。作为 EPON/MPCP 的基础, EPON 实现了一个P2P 仿真子层,该子层使得P2MP 网络拓扑对于高层来说就是多个点对点链路的集合。 PON 将拓扑结构中的根结点认为是主设备, 即OLT; 将位于边缘部分的多个节点认为是从设备, 即ONU。 MPCP 在点对多点的主 从设备之间规定了一种控制机制以协调数据有效的发送和接收。系统运行过程中上行方向在一个时刻只允 许一个ONU 发送。MPCP 涉 及的内容包括ONU 发送时隙的分配, ONU 的自动发现和加入, 向高层报告拥塞情况以便态分配带宽。 MPCP 多 点控制协议位于MAC Control 子层。MAC Control 向MAC 子层的操作提供实时的控制和处理。 * 多点MAC 控制协议—MPCP: * EPON 系统的工作过程:EPON 系统采用WDM 技术,实现单纤双向传输。(CATV:Cable Television 有线 电视WDM:波分复用) * ONU 的注册:Discovery 握手过程: * OLT 确认该ONU 上报的OUI 及扩展OAM 版本号是否在OLT 所支持的OUI 及扩展OAM 版本号列表中:1、如 果存在,该ONU 的扩展 OAM 连接建立成功;2、如果不存在,该ONU 扩展OAM 连接建立失败。 * 带宽分配过程:Collection Stage 收集阶段、Calculation Stage 计算阶段、Activation Stage 激活 阶段。Cycle:周期 * EPON 上下行传输方式:(TDMA 时分复用) * RTT 的计算: GATE 消息中含有“时间戳”,ONU 用接收的时间戳刷新本地时间寄存器。OLT 可以通过收到的REPORT 消 息计算出RTT,通过Gate Processing 就可以控制ONU 的数据帧发送。 * EPON 系统有三种端口类型:OLT 端口、ONU 端口和UNI 端口(ONU 上与用户相连的接口)。 * EPON 基本配置步骤:1、配置OLT 端口;2、EPON 系统参数配置(可选);3、ONU 远程管理配置:创建 及绑定ONU 端口,管理VLAN, ONU 端口链路类型,其他配置。4、配置UNI 端口。 * OLT 端口配置:·配置OLT 端口的链路类型为Hybrid:[H3C-Olt3/0/2] port link-type hybrid ·设置允许通过当前OLT 端口的VLAN,并设置发送这些VLAN 的报文时是否携带Tag: [H3C-Olt3/0/2] port hybrid vlan vlan-id-list { tagged |untagged } ·设置OLT 端口的缺省VLAN:[H3C-Olt3/0/2] port hybrid pvid vlan vlan-id ONU 配置——创建和绑定ONU 端口: ·使用using onu 命令创建ONU 端口:[H3C-Olt3/0/2] using onu {onu-number1 [to onu-number2]} &<1-10> ·进入ONU 端口视图:[H3C] interface onu interface-number ·将ONU 和当前的ONU 端口绑定:[H3C-Onu3/0/1:3] bind onuid onuid ONU 配置——ONU 的管理VLAN:·配置ONU 的管理VLAN:[H3C-Onu3/0/1:3] management-vlan vlan-id ·打开管理VLAN 接口:[H3C-Onu3/0/1:3] undo shutdown management-vlan-interface

· 配置IP 地址: 手动配置或者自动获取: [H3C-Onu3/0/1:3] ip address ip-address mask gateway gateway [H3C-Onu3/0/1:3] ip address dhcp-alloc ONU 配置——ONU 端口链路类型: 配置ONU 端口的链路类型为Access: · [H3C-Onu3/0/1:3] port link-type access ·将当前ONU 端口加入到指定VLAN:[H3C-Onu3/0/1:3] port access vlan vlan-id ·配置ONU 端口的链路类型为Trunk:[H3C-Onu3/0/1:3] port link-type trunk ·设置Trunk 端口的缺省VLAN:[H3C-Onu3/0/1:3] port trunk pvid vlan vlan-id ONU 配置——其他:·配置ONU 上行带宽范围和时延参数: [H3C-Onu3/0/1:3] upstream-sla { minimum-bandwidth value1|maximum-bandwidth value2|delay {low|high}} * ·升级交换机下挂的指定类型的所有ONU:[H3C-ftth] update onu onu-type onu-type filename file-url ·下发升级命令到ONU 端口升级单台ONU:[H3C-Onu3/0/1:3] update onu filename file-url ·升级指定OLT 端口下的所有ONU:[H3C-Olt3/0/1] update onu filename file-url UNI 端口配置:·配置UNI VLAN 操作模式:VLAN 透传模式:[H3C-Onu3/0/1:3] uni uni-number vlan-mode transparent · VLAN 标记模式: [H3C-Onu3/0/1:3] uni uni-number vlan-mode tag vlanid [ priority priority-value ] ·VLAN Translation 模式: [H3C-Onu3/0/1:3] uni uni-number vlan-mode translation pvid pvid [ priority priority ] {oldvid to newvid} &<1-15>

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 12 * 绝大多数的有线广播电视用户同时也有访问Internet 的需求。如何利用现有的有线电视网络资源,实现 双向的数据传输和宽带 接入,是目前广播电视运营者需要优先考虑的问题。(Community Antenna Television:社区天线电视) * HFC(Hybrid Fiber-Coaxial 混杂同轴光纤)是光纤和同轴电缆相结合的混合网络。 HFC 的主要特点:1.传输容量大,易实现双向传输;2.频率特性好,在有线电视传输带宽内无需均衡;3. 传输损耗小,可延长有线 电视的传输距离;4.光纤间不会有串音现象,不怕电磁干扰。 * 我国有线电视网覆盖用户近1.5 亿户,绝大多数用户的网络都没有进行双向改造,这样的网络仅能满足 单向的广播电视节目传 输, 无法开展双向交互等增值型的业务。目前有线电视双向改造主要有三种方案:一是采用CMTS 方案; 二是采用五类线直接入 户方案(EPON+LAN 方案);三是采用同轴线缆入户方案(EPON+EoC 方案)。 1、CMTS 方案在原有的HFC 线路上传输上/下行数据,需要对原有的HFC 线路进行改造。CMTS 存在带宽低, 上下行带宽不对称的 缺点;导致单位带宽成本高,无法支撑后续宽带业务等多业务的提供。反向回传噪声问题,导致后期维护 成本高、定位困难。 这些问题导致了CMTS 技术在双向网改造中竞争力不及EPON。基于HFC 网络的Cable Modem 方案:技术标准 及产品比较成熟、 带宽相对有限、双向改造成本较高。客户终端要介入Cable Modem。 2、五类线入户方案,即采用EPON+LAN 方式。单从方案上看是最理想的方式,但是由于五类线资源问题, 这个方案只能是在局部 有条件的地方获得突破。该方案可用于解决新建小区或者能比较简单布署五类线入户的地区。对于大多数

广电来说,从小区光 节点到用户端的同轴线资源是可以直接借用的, 采用基于同轴线缆的入户方案是广电双向改造的较好选择。 采用EoC 技术可以 很好的保护原有的同轴接入网资源,有效的节省投资。 3、基于以太网的EoC 技术: (CATV 频率分配方案——GY/T 106-1999) EoC 技术在传输CATV 信号的频率范围之外,划分低频段上的频率范围来传输上、下行数据信号。根据以太 网信号是否经过调制 解调处理后再通过同轴电缆传输,EoC 技术一般又分为无源EoC 和有源EoC 两种。EoC:0-30MHz CATV: 111-860MHz ·无源EoC 直接把以太网的基带信号通过无源器件耦合到同轴电缆中传输。该方案要求:局端数据信号必 须到楼道,从楼道到用 户端CABLE 网络必须为星型,EoC 经过的CABLE 网络不能有分支分配器。这些条件限制了无源EoC 的应用 范围,无法适用于广 电常见的树型网络。由于采用简单的信号耦合,无源EoC 抗干扰能力差、对阻抗匹配要求高,CABLE 线悬 空会导致网络自环不 可用等问题,实际使用中适应性比较差。 ·有源EoC 技术,现在业界方案多种多样,规模、成熟度不一,大多是基于调制技术。将数据信号调制到 能在CATV 同轴网传输的 某一频段上,然后将CATV 信号和调制后的数据信号混合传输,下行方向传输CATV 和数据调制信号,上行 方向传输数据调制信 号,为双向数字电视平台提供回传通道。但这些方案由于技术本身局限,对于广电双向网改造和宽带接入 应用并不十分适用。 传统的有线电视网传输的电视信号是广播式的,要实现双向交互业务,必须对原有的有线电视网进行相应 的改造。基于现有技术不 足,H3C 针对广电双向网络改造和家庭宽带接入应用提出了具有自主知识产权的EPCN 技术。该技术也是属 于有源EoC 技术范畴。 * EPCN(Ethernet Passive Coax Network 同轴以太网络技术)系统组成: * EPCN 技术采用P2MP 的用户网络拓扑结构,利用广电原有的同轴电缆实现数据、语音和视频的全业务接 入。H3C EPCN 系统由CLT 网络集中器、CNU 网桥和分支分配器组成。CLT 集中器放在小区机房、小区光节点或者楼道内,CNU 网桥 放在用户家里机顶盒上。 两者之间由分支分配器组成的树型或者星型CATV 网络相连。 * CLT 集中器除了提供网络集中和接入的功能外,还采用了VLAN/QoS 技术,所有CNU 网桥的上行数据都传 递给CLT 集中器,CNU 网桥之间不能互相通讯。也就是各个用户之间是隔离的,这可以有效避免相互之间的影响。 *在EPCN 系统中,H3C 独创的提出MASTER-SLAVE 模式适应广电同轴接入网络模式。CLT 集中器设备定义为 MASTER 模式,CNU 网 桥设备定位为SLAVE 模式,相互之间是从属关系、由MASTER 设备管理控制SLAVE 设备。 *每当CNU 上电后,CNU 会搜索CLT 集中器,并在CLT 集中器上注册自己的MAC 地址,同时,CLT 集中器给 每一个CNU 分配一个 唯一的终端设备标识(TEI)。 * EPCN 传输原理: (CLT=CC CNU=CB) 1、下行方向,数据从CLT 集中器到多个CNU 以时分复用技术(TDM)广播到各个CNU。数据信号到达CNU 时, CNU 根据TEI,在

物理层上做判断,接收给它自己的数据帧,摒弃那些给其它CNU 的数据帧。2、上行方向,采用EoCMA 方式, 结合传统无管理 CSMA 和TDMA 的优点,EoCMA 利用了CSMA 的简单灵活性,同时可以提供TDMA 方式的保证带宽。 * EPCN 的技术优势: 1、带宽高:EPCN 系统物理层带宽最大可达200Mbps,MAC 层带宽100Mbps。 2、抗扰性强:由于EPCN 使用的最高频率为30MHz,比传统CATV 电视信号的最低频率(1 频道,49.75MHz) 还低,从设计上保证了 两者之间不会相互干扰。 3、实施简单:由于采用低频技术,线路衰减较小,EPCN 可以实现从光节点到用户家的覆盖而无须任何有源 中继设备,改造十分简单。 * H3C EPCN 的EoCMA 技术具备以下特点:1、基于CSMA 原理,实现简单,易于操控;2、无论是单用户还 是满用户终端接入组网, 都可以获得较高的系统吞吐量;3、动态确定有数据发送的终端数,然后分配给每个终端一个确定的传输周 期从而有效避免冲突, 保证传输的低时延特性;4、具备良好的QoS 性能; * EPCN 典型应用模型:

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 13 * PSPV VLAN:(OLT 只要透传VLAN 信息即可) PSPUPV VLAN:(OLT 使用灵活QinQ 实现VLAN 规划) * DSL 技术的起源:1989 年,美国贝尔实验室为视频点播(VOD)业务开发了一种利用普通的铜质双绞线传 输高速数据的技术,并命 名为DSL (Digital Subscriber Line,数字用户线路)。 * DSL(Digital Subscriber's Line)即数字用户线路技术,是以铜质电话线为物理介质提供高速的数据 传输技术,包括ADSL、 HDSL、G.SHDSL、VDSL、SDSL 等不同种类。各种数字用户线路技术的不同之处主要表现在信号的传输速率 和距离,还有对称和非对 称(即上行速率和下行速率是否一致)的区别上。 * ADSL(Asymmetric Digital Subscriber Line)不对称数字用户线,是一种非对称的传输技术,利用了 普通电话线中未使用的高 频段,通过不同的调制方法,在双绞铜线上实现高速数据传输。其中上行频带26kHz-138kHz , 下行频带 从138kHz-1.104MHz,上 行速率可达到640kbit/s,下行速率可达到8Mbit/s。 目前ADSL 技术已经进一步发展,ADSL2 通过在同样的频段上速率有了进一步的提高,上行可达到 1024kbit/s,下行速率可达 到12Mbit/s。而最新的ADSL2+通过将下行频段从1.104MHZ 扩展到2.208MHz,下行速率则可达到24Mbit/s。 * PSTN:33.5/56Kbps < ISDN(2B+D):160Kbps < T1:1.544M < E1:2M < DSL:>2M * DSL 技术的基本原理:DSL 技术利用了传统电话系统中没有使用的高频信号,实现一根铜质双绞线上同 时传输语音和数据。 ----|300Hz--POTS--3.4KHz|---|--------DSL-------2MHz|---* DSL 技术分类: 1、对称DSL 技术:HDSL(High-bit-rate DSL,高比特率数字用户线)、SDSL(Single-line DSL )、 MVL (Multiple Virtual Line, 多虚拟数字用户线) G.SHDSL 、 (Single-Pair High-Speed Digital Subscriber Line)。

2、非对称DSL 技术:ADSL(Asymmetric DSL,非对称数字用户线)、VDSL(Very High Data Rate DS,甚 高速数字用户线)。 * DSL 常用的编码调制技术:1、2B1Q(Two Binary one Quaternary)、2、QAM(Quadrature Amplitude Modulation,正交幅度调 制)、3、CAP(Carrierless Amplitude & Phase Modulation,无载波调幅/调相)、4、DMT(Discrete Multi-Tone,离散多音频)。 * 影响DSL 传输的因素: 线路长度 1、 (Loop Length) 2、 、 加感线圈 (Loading Coils) 3、 、 桥接抽头 (Bridged Taps)、4、串扰 和背景噪声(Crosstalk and Noise)。 * 主流DSL 技术对比: DSL 技术ITU 标准制定时间最大速率 ADSL G.992.1 ( G.dmt) 1999 7 MbMbps ddown, 800 kbps up ADSL2 G.992.3 (G.dmt.bis) 2002 8 Mb/s down, 1 Mbps up ADSL2plus G.992.5 (ADSL2+) 2003 24 Mbps down, 1 Mbps up ADSL2-RE G.992.3(Reach Extended) 2003 8 Mbps down, 1 Mbps up SHDSL G.991.2(G.SHDSL) 2001 4.6 Mbps up/down VDSL G.993.1 2004 55 Mbps down, 15 MbMbps up VDSL2 G.993.2 2005 100 Mbps up/down * ADSL 系统组成:

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 14 带ADSL 接口的路由器常用的组网拓扑连接,局端的DSLAM 是CO 设备,路由器是CPE 设备,DSL 接口卡提 供广域网接口,而以 太网卡连到用户的局域网。连线时,用户的电话线入线接到分离器的Line 接口,路由器的ADSL 接口和分 离器的DSL 接口相接,电 话机接到分离器的Phone 接口。 * ADSL 的协议标准和编码方式: ADSL 的工作原理:DMT 调制基础: * ADSL 线路激活: (如:CO 端系统上信号出现丢失进行自检。CPE 端系统上电进行自检。) CPE 设备进行业务传输前必须先进行线路激活:1、激活是指局端设备CO 与用户CPE 之间进行的一系列的 握手训练和交换信息的 操作。激活过程将根据线路配置模板中制定的ADSL 标准、通道方式、上下行线路速率、规定的噪声容限等 设定,检测线路距离和 线路状况,在局端与远端设备之间进行协商,确认能否在上述条件下正常工作。线路激活协商连接参数时, CO 设备处于主导地位, CPE 设备处于从属地位,也就是说,大多数连接参数都是由CO 设备提供并拥有最终的决定权。 2、激活的相反操作是去激活。去激活后,局端与远端设备建立通信的连接不再存在。路由器定时检测线路 的性能,如果线路性能 恶化,会自动将线路去激活,重新训练,重新激活。典型的激活时间是30s。 * ADSL 的上层应用:RFC 1483B、IPOA、PPPOEOA、PPPOA。(A:ATM 网络) (1)ADSL RFC 1483-Bridged 应用: (应用中,CPE 将PC 上的以太网帧(携带PPP 帧)通过ATM 网络桥 接到集中路由器上) (2)ADSL IPOA 应用:(CPE 侧使用固定IP 地址属于Always Online 的ADSL 专线应用。IPOA 又被称为

RFC1483-Routed 接入方式) (3)ADSL PPPOEOA 应用: (4)ADSL PPPOA 应用:(1、在PPPOE 应用中,CPE 起桥接作用;PPPOA 应用中,CPE 则起路由作用。 2、在PPPOA 中,CPE 直接通过ATM 网络和集中路由器进行PPP 协商,进行验证和获取IP 地址。) * ATM 已被ITU-T 于1992 年6 月指定为宽带ISDN 的传输和交换模式。ATM 是以信元为基本单位进行信息 传输、复接和交换的。 ATM 信元具有53 字节的固定长度,其中5 个字节构成信元头部,主要用作路由信息和优先级信息,其余48 个字节是有效载荷。 ATM 是面向连接的交换,每条虚电路(Virtual Circuit,VC)用虚路径标识符(VirtualPath Identifier, VPI)和虚通道标 识符(Virtual Channel Identifier,VCI)来标识。一个VPI/VCI 值对只在ATM 节点之间的一段链路上有 局部意义。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 15 ATM 基本协议框架分为3 个平面,即用户平面、控制平面和管理平面。用户平面和控制平面又各分为4 层, 即物理层、ATM 层、 ATM 适配层和高层。管理平面又分为层次管理和平面管理。其中前者负责各平面中各层的管理,具有与其 它平面相对应的层次结构; 后者负责系统的管理和各平面之间的通信。控制平面主要利用信令协议来完成连接的建立和拆除。 ATM 适配层(ATM Adaption Layer,AAL)是高层协议与ATM 层间的接口,它负责转接ATM 层与高层协议之 间的信息。目前, 已经提出4 种类型的AAL:AAL1、AAL2、AAL3/4 和AAL5,每一种类型分别支持ATM 网中某些特征业务。大 多数ATM 设备制造商现 在生产的产品普遍采用AAL5 来支持数据通信业务。 * (1)IPoA(IP over AAL5)指的是在AAL5 上承载IP 协议报文:AAL5 为处在同一网络内的IP 主机之间 的通信提供数据链路 层,同时IP 报文必须进行调节以便主机能够在一个ATM 网上通信。 (2)IPoEoA 是IP Protocol over Ethernet over AAL5 的简称。它有三层结构,最上层封装IP 协议;中 间为IPoE,即以太网 承载IP 协议;最下一层为AAL5 承载IPoE。通过设备高速连入远端的接入服务器(以便访问外部网络)时, 由于距离较远,采用 ATM 的PVC 承载,这就要求在服务器ATM 端口承载以太网报文,这就是IPoEoA。 (3)PPPoA(PPP over AAL5)指的是在AAL5 上承载PPP 协议报文:ATM 信元封装PPP 报文,IP 或其它协 议的报文则封装在PPP 报文中。PPPoA 的意义在于:PPPoA 的通讯过程由PPP 协议管理,可以利用PPP 的灵活性及其丰富的应用。 为了在AAL5 上传送 PPP 报文,用户必须创建一个虚拟模板(Virtual Template,VT)接口。PPPoA 支持两种建立链路的模式: 永久在线模式、按需呼 叫模式(PPPOA on demand)。 (4)PPPoEoA(PPPoE over AAL5)指的是在AAL5 上承载PPPoE 协议报文,其实质是用ATM 信元封装以太 网报文。 (5)路由桥(Routed-bridge)功能用来互连二层网络(桥组区域)和三层网络(路由区域),为用户构 建该类型的组网环境提供

了新的解决方案和途径,特别适用于通过xDSL 链路运行桥协议进行网络互联的情况。在ATM PVC 上实现的 路由桥特性,具体功能 如下:1.路由桥能够互连二层桥转发域和三层路由转发域。2.仅p2p 型ATM 子接口下承载EoA 的PVC 支持 路由桥。3.目前仅IP 和 MPLS 协议支持路由桥,其中IP 协议不需配置就缺省为使能路由桥功能。4.支持入和出两个方向的IP 和 MPLS 快速转发功能。 * ADSL 接口参数配置:·进入ADSL(ATM)接口视图:[H3C]interface atm interface-number ·激活ADSL 接口:[H3C] activate ·配置ADSL 接口使用的标准:[H3C] adsl standard {auto|g9923|g9925|gdmt|glite|t1413} ·配置ADSL 接口发送功率衰减值:[H3C] adsl tx-attenuation attenuation ADSL PPPoEoA 配置: Client: 拨号(dialer)接口相关的配置。创建虚拟以太网(VE)接口,建立一个PPPoE 会话,并且指定该会话所 对应的Dialer Bundle。 ·在ADSL(ATM)接口视图下创建PVC,进入PVC 视图:[H3C-Atm1/0] pvc {pvc-name [vpi/vci]|vpi/vci} ·为PVC 配置PPPoEoA 映射:[H3C-atm-pvc-Atm1/0-0/32] map bridge virtual-ethernet

interface-number
ADSL PPPoEoA 配置:Server 1、当DSLAM 设备为IP 上行时,运营商的集中路由器按照普通的PPPoE server 进行配置即可。 2、当DSLAM 设备为ATM 上行时:1.需要配置虚拟以太网(VE)接口,建立一个PPPoE 会话,并且指定该会 话所对应的虚拟接口模 板;2.需要在ATM 接口视图下创建PVC,并为为PVC 配置PPPoEoA 映射。 (1)ADSL PPPoEoA 典型配置一: (2)ADSL PPPoEoA 典型配置二: * ADSL 2 相对于ADSL 的改进:传输能力有一定增强、增加了新的运行模式、更低的功耗,增加动态调整 的省电模式、更强的线路 诊断功能、动态速率适配(Seamless Rate Adaptive,SRA)、灵活的带宽绑定功能、通道化的基于DSL 的 语音技术(Channelized Voice over DSL)、更清晰的层次结构和更好的互通能力、无分离器ADSL2 技术。 * ADSL2+在ADSL2 上的改进:1.ADSL2+将频率范围从1.1MHz 扩展至2.2MHz(ADSL2:0.14MHz~1.1MHz); 2.ADSL2+在传输速率和 距离表现更好;3.ADSL2+话音串扰处理较好。 * 四个安全要素:1、机密性(通讯是否安全);2、完整性(发出的信息被篡改过吗);3、身份验证(我 在与谁通讯/是否有权);4、 不可抵赖(是否发出/收到信息)。加密算法分为两类:对称密钥加密算法和非对称密钥加密算法。 * 组合加解密技术: 使用对称加密算法进行大批量的数据加密: 1、 每次产生一个新的随机密钥 (会话密钥) 。 2、使用非对称加密算法传递随机产生的会话密钥。(最终传输的信息:会话密钥加密过的数据+ 非对称公 钥加密过的会话密钥) 接收者端:1、利用私钥使用非对称加密算法解密得到会话密钥;2、利用会话密钥运行对称加密算法解密 得到明文。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 16 * 对称密钥典型算法: 算法密钥开发者备注

数据加密标准DES 56 位IBM 为美国政府(NBS/NIST)开发很多政府强制性使用 3DES 3*56 位IBM 为美国政府(NBS/NIST)开发应用3 次DES CAST 40-256 位可变北方通信比DES 稍快 Rivest 算法(RC2) 可变Ron Rivest (RSA 数据安全) 专利细节未公开 RC5 Ron Rivest (RSA 数据安全) AES Joan Daemen/Vincent Rijmen 非对称密钥典型算法: (“公钥加密,私钥解密”或“私钥加密,公钥解密”) 算法设计者用途安全性 RSA RSA 数据安全加密数字签名密钥交换大数分解 DSA NSA 数字签名离散对数 DH Diffie&Hellman 密钥交换完全向前保密 * 摘要算法:1、摘要算法可以验证数据的完整性;2、HASH 函数计算结果称为摘要,同一种算法,不管输 入长度是多少,结果定 长;3、无法从摘要的值反推回原始内容,具有单向性、不可逆性;4、不同的内容其摘要也不同。 * HMAC 算法:1、HMAC(Hash Message Authentication Code 哈希信息验证码)对单输入hash 算法进行 了改进;2、收发双方共享 一个MAC 密钥,计算摘要时不仅输入数据报文,还输入MAC 密钥。 * 数字签名概述1、数字签名是用签名方的私钥对信息摘要进行加密的一个过程;2、签名过程所得到的密 文即称为签名信息;3、 数字签名主要功能:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。 (相当于RSA 的 反向应用:发送者利用 自己的私钥加密摘要,这相当于对发送者的身份验证,防止发送者抵赖;而接收方利用公钥解密摘要,若 同则证明摘要没被篡改) *公钥技术的规模应用难题:1、如何解决公钥的传播问题:如何把自己的公钥告诉别人、得到一个公钥后 如何验证其真实性;2、 公钥如何管理;3、如何实现不可否认服务。 *·网络世界的电子身份证:1.与现实世界的身份证类似;2.能够证明个人、团体或设备的身份。 ·包含相关信息:1.包含姓名、地址、公司、电话号码、Email 地址、…;2.包含所有者的公钥。 ·证书的序列号。·证书的有效期限。·由可信的颁发机构颁发:比如身份证由公安局颁发一样。 ·颁发机构对证书签名:1.与身份证上公安局的盖章类似;2.可以由颁发机构证明证书是否有效;3.可防 止擅改证书上的任何资料。 * X.509 证书的格式: 【1.版本号】【2.序列号】【3.签名算法标识符:指该证书中的签名算法】【4.签发人名字】【5.有效时 间:起始和终止时间】 【6.个体名字】【7.个体的公钥信息:算法、参数、密钥】【8.签发人唯一标识符】【9.个体唯一标识符】 【10.扩展域】【11.签名】 * PKI 公钥基础设施:1、PKI 是一个签发证书、传播证书、管理证书、使用证书的环境; 2、PKI 保证了公钥的可获得性、真实性、完整性。(KMC 密钥管理中心) * PKI 体系结构:1、CA 接受用户的证书请求,签发用户证书,是PKI 的核心; 2、接受验证用户的申请将验证通过的申请提交给CA 由CA 签发证书。 * 证书的发放和维护: *证书的验证:1.验证证书的签名,用签发该证书的CA 的公钥进行验证;2.CRL 检查,证书是否撤销;3. 有效期验证;4、证书用途。 *配置任务:·1、配置实体DN(Distinguished Name,可识别名称):实体DN 的参数是实体的身份信息,

CA 根据实体提供的身份信 息来唯一标识证书申请者。·2、配置PKI 域参数:实体在进行PKI 证书申请操作之前需要配置一些注册信 息来配合完成申请的 过程。这些信息的集合就是一个实体的PKI 域。·3、PKI 证书申请和获取:证书申请就是实体向CA 自我 介绍的过程。实体向CA 提供身份信息,以及相应的公开密钥,这些信息将成为颁发给该实体证书的主要组成部分。 配置实体DN:·创建一个实体,并进入该实体视图:[H3C] pki entity entity-name ·配置实体通用名(可选):[H3C-pki-entity-entity1] common-name name 配置PKI 域参数:·创建一个PKI 域,并进入PKI 域视图:[H3C] pki domain domain-name ·配置信任的CA 名称:[H3C-pki-domain-domain1] ca identifier name ·指定实体名称:[H3C-pki-domain-domain1] certificate request entity entity-name ·配置证书申请的注册受理机构:[H3C-pki-domain-domain1] certificate request from {ca|ra} ·配置注册服务器URL:[H3C-pki-domain-domain1] certificate request url url-string ·配置证书申请和获取:·生成本地RSA 或ECDSA 密钥对:[H3C] public-key local create {ecdsa|rsa} ·获取证书:[H3C] pki retrieval-certificate {ca|local|peer-entity entity-name} domain

domain-name
[H3C] pki import-certificate {ca|local|peer-entity entity-name} domain domain-name {der|p12|pem} [filename filename] ·申请本地证书:[H3C] pki request-certificate domain domain-name [password] [pkcs10 [filename

filename]]
·显示证书内容或证书申请状态: [H3C] display pki certificate {{ca|local|peer-entity entity-name} domain

domain-name|request-status}
* IPSec(IP Security)协议族是IETF 制定的一系列协议,它为IP 数据报提供了高质量的、可互操作的、 基于密码学的安全性。 特定的通信方之间在IP 层通过加密与数据源验证等方式, 来保证数据报在网络上传输时的私有性、 完整性、 真实性和防重放。 * IPSec 通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安 全载荷)这两个安全协 议来实现上述目标。并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec 提供 了自动协商交换密钥、 建立和维护安全联盟的服务,以简化IPSec 的使用和管理: 1、AH 是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能;然而AH 并 不加密所保护的数据报。 2、ESP 是封装安全载荷协议,它除提供AH 协议的所有功能之外(数据完整性校验不包括IP 头),还可提 供对IP 报文的加密功能。 3、IKE 用于协商AH 和ESP 所使用的密码算法,并将算法所需的必备密钥放到恰当位置。 ·AH 用IP 协议号51 标识;ESP 用IP 协议号50 标识。 * IPSec VPN 概述:1、RFC 2401 描述了IPSec(IP Security) 的体系结构;2、IPSec 是一种网络层安 全保障机制;3、IPSec 可

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 17 以实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能;4、IPSec 可以引入多种

验证算法、加密算法和 密钥管理机制;5、IPSec VPN 是利用IPSec 隧道实现的L3VPN;6、IPSec 也具有配置复杂、消耗运算资源 较多、增加延迟、不支 持组播等缺点。(新IP 头部:隧道公网的头)数据加密的是:AH/ESP 后面的数据,其它一些设备是看不 懂的。 * IPSec 协议有两种操作模式:传输模式和 隧道模式。SA 中指定了协议的操作模式。 在传输模式下,AH 或ESP 被插入到IP 头 之后但在所有传输层协议之前,或所有其他 IPSec 协议之前。在隧道模式下,AH 或ESP 插在原始IP 头之前,另外生成一个新头放 到AH 或ESP 之前。从安全性来讲,隧道模 式优于传输模式。它可以完全地对原始IP 数据报进行验证和加密;此外,可以使用 IPSec 对等体的IP 地址来隐藏客户机的IP 地址。从性能来讲,隧道模式比传输模式占 用更多带宽,因为它有一个额外的IP 头。 * IPSec SA:1、SA(Security Association,安全联盟);2、由一个(SPI,IP 目的地址,安全协议标 识符)三元组唯一标识;3、 决定了对报文进行何种处理:协议、算法、密钥;4、每个IPSec SA 都是单向的;5、手工建立/IKE 协商 生成;6、SPD(Security Policy Database 安全策略数据库);7、SAD(Security Association Database 安全联盟数据库)。 * IPSec 出站包处理流程: IPSec 入站包处理流程: * IPSec 在两个端点之间提供安全通信,端点被称为IPSec 对等体。安全联盟(SA)是IPSec 的基础,也 是IPSec 的本质。SA 是 通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP 还是两者结合使用)、协议的操作模式 (传输模式和隧道模式)、 加密算法(DES 和3DES)、特定流中保护数据的共享密钥以及SA 的生存周期等。 安全联盟是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进 行安全保护。同时, 如果希望同时使用AH 和ESP 来保护对等体间的数据流,则分别需要两个SA,一个用于AH,另一个用于ESP。 安全联盟由一个三元组来唯一标识,这个三元组包括SPI(Security Parameter Index,安全参数索引)、 目的IP 地址、安 全协议号(AH 或ESP)。SPI 是为唯一标识SA 而生成的一个32 比特的数值,它在AH 和ESP 头中传输。 安全联盟具有生存周期。生存周期的计算包括两种方式:1、以时间为限制,每隔指定长度的时间就进行更 新;2、以流量为限 制,每传输指定的数据量(字节)就进行更新。 * AH 头格式:(Payload 有效载荷,Reserved 保留) ESP 头格式:

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 18 传输模式AH 封装:(验证计算前,所有可变字段预先置0) 隧道模式AH 封装:(验证计算前,所有可变 字段预先置0)

传输模式ESP 封装: 隧道模式ESP 封装: *协商方式:有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE 自动协商(isakmp) 方式。前者配置比较复 杂,创建安全联盟所需的全部信息都必须手工配置,而且IPSec 的一些高级特性(例如定时更新密钥)不 被支持,但优点是可以 不依赖IKE 而单独实现IPSec 功能。而后者则相对比较简单,只需要配置好IKE 协商安全策略的信息,由 IKE 自动协商来创建和 维护安全联盟。当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是 可行的。对于中、大型的 动态网络环境中,推荐使用IKE 协商建立安全联盟。 * IKE 介绍:1、RFC 2409;2、使用Diffie-Hellman 交换,在不安全的网络上安全地分发密钥,验证身份; 3、定时更新SA 和密 钥,实现完善的前向安全性;4、允许IPSec 提供抗重播服务; 5、降低手工布署的复杂度;6、UDP 端口500。 * IKE 与IPSec 的关系:1、IKE 为IPSec 提供自动协商交换密钥、建立SA 的服务;2、IPSec 安全协议负 责提供实际的安全服务。 * IKE 协商的两个阶段: (cisco 中阶段1 分为:主模式和积极模式) 1、 阶段1: 在网络上建立一个IKE SA, 为阶段2 协商提供保护; 主模式 (Main Mode) 和野蛮模式 (Aggressive Mode)。 2、阶段2:在阶段1 建立的IKE SA 的保护下完成IPSec SA 的协商;快速模式(Quick Mode)。(包括用 哪种方式加密) IKE 使用了两个阶段为IPSec 进行密钥协商并建立安全联盟:第一阶段,通信各方彼此间建立了一个已通 过身份验证和安全 保护的通道,此阶段的交换建立了一个ISAKMP 安全联盟,即ISAKMP SA;第二阶段,用在第一阶段建立的 安全通道为IPSec 协商 安全服务,即为IPSec 协商具体的安全联盟,建立IPSec SA,IPSec SA 用于最终的IP 数据安全传送。 * IKE 主模式: IKE 野蛮模式: * 在实施IPSec 的过程中,可以使用因特网密钥交换IKE(Internet Key Exchange)协议来建立安全联盟, 该协议建立在由 Internet 安全联盟和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol)定义的框架上。 网络安全包括两层含义:其一是内部网的安全,其二是在公共网络中进行数据交换的安全。实现前者的手 段有防火墙、地址转 换(NAT)等。后者如正在兴起的IPSec。 IKE 具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec 安全联盟。IKE 的安全机制包括:

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 19 1、DH(Diffie-Hellman)交换及密钥分发。通信双方在不传送密钥的情况下通过交换一些数据,计算出共 享的密钥。加密的前提 是交换加密数据的双方必须要有共享的密钥。IKE 的精髓在于它永远不在不安全的网络上直接传送密钥, 而是通过一系列数据 的交换,最终计算出双方共享的密钥。即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计

算出真正的密钥。 2、完善的前向安全性(Perfect Forward Secrecy,PFS)。PFS 特性是一种安全特性,指一个密钥被破解, 并不影响其他密钥的安 全性, 因为这些密钥间没有派生关系。 对于IPsec, 是通过在IKE 阶段2 协商中增加一次密钥交换来实现的。 3、身份验证。身份验证确认通信双方的身份。对于pre-shared key 验证方法,验证字用来作为一个输入 产生密钥,验证字不同 是不可能在双方产生相同的密钥的。验证字是验证双方身份的关键。 4、身份保护。身份数据在密钥产生之后加密传送,实现了对身份数据的保护。 * IKE 还支持以下应用: (隧道模式添加新头部作用在于能够让一些设备识别,因为原数据都被加密了, 一些设备读不懂) 1.IKE 野蛮模式: 为了使IKE 支持目前广泛应用的通过ADSL 及拨号方式构建VPN 的方案中的特殊情况―― 即局端设备的IP 地 址为固定分配的, 用户端设备的IP 地址为动态获取的情况, 在IKE 阶段的协商模式中增加了IKE 野蛮模式, 它可以选择根据 协商发起端的IP 地址或者ID 来查找对应的身份验证字,并最终完成协商。IKE 野蛮模式相对于主模式来 说更加灵活,能够支 持协商发起端为动态IP 地址的情况。 2. NAT 穿越:在IPSec/IKE 组建的VPN 隧道中,若存在NAT 网关设备,且NAT 网关设备对VPN 业务数据流 进行了NAT 转换的话, 则必须配置IPSec/IKE 的NAT 穿越功能。该功能删去了IKE 协商过程中对UDP 端口号的验证过程,同时实 现了对VPN 隧道中NAT 网关设备的发现功能, 即如果发现NAT 网关设备, 则将在之后的IPSec 数据传输中使用UDP 封装 (即将IPSec 报文封装到IKE 协商所使用的UDP 连接隧道里)的方法,避免了NAT 网关对IPSec 报文进行篡改(NAT 网关设备将只能够 修改最外层的IP 和 UDP 报文头,对UDP 报文封装的IPSec 报文将不作修改),从而保证了IPSec 报文的完整性(IPSec 数据 加密解密验证过程中 要求报文原封不动地被传送到接收端)。目前仅在野蛮模式下支持NAT 穿越,主模式不支持。以上两个特 性在ADSL+IPSec 的组 网方式中一般联合使用,解决了在企业网宽带接入方式下IP 地址不固定、公网中需要穿越NAT 等问题,为 企业网以ADSL 宽带 接入替代原有的专线方式提供了安全的解决方案。(加密后的数据NAT 设备读不懂,所以要再使用UDP 封 装) 3. IKE 多实例: IKE 多实例实现了不同CE 与PE 进行IKE 报文协商的功能, 并配合IPSec 共同实现了PE 与 CE 之间绑定了接口 的IPSec/IKE 多实例功能。当CE 端发起IKE 协商时,IP 报文中携带的VPN 实例信息随之传给PE,PE 从接 收到的协商报文中 获取VPN 实例信息, 并在协商过程中保存VPN ID; 当PE 往CE 端发送协商报文时, 在IP 报文中填入此VPN ID 号,然后发给 IP 层进行处理,由IP 层根据VPN 路由表,将报文转发到对应的CE。 * IPSec 配置前准备: 【What—确定需要保护的数据】 【Where—确定使用安全保护的路径】 【Which ---> ---> —确定使用哪种安全 保护】--->【How—确定安全保护的强度】。 * IPSec 的配置任务:1、配置安全ACL;2、配置安全提议:创建安全提议、选择安全协议、选择安全算法、

选择工作模式。3、配 置安全策略:手工配置参数的安全策略、通过IKE 协商参数的安全策略。4、在接口上应用安全策略。 * 配置安全ACL:IPSec 通信双方安全ACL 的源和目的须对称。 如:本端:[]acl number 3101 []rule 1 permit ip source 173.1.1.1 0.0.0.0 destination 173.2.2.2

0.0.0.7
对端:[]acl number 3204 []rule 1 permit ip source 173.2.2.2 0.0.0.7 destination 173.1.1.1 0.0.0.0 * 配置安全提议: ·创建安全提议,并进入安全提议视图:[Router] ipsec proposal proposal-name ·选择安全协议:[Router-ipsec-proposal-tran1] transform {ah|ah-esp|esp} ·选择工作模式:[Router-ipsec-proposal-tran1] encapsulation-mode {transport|tunnel} ·选择安全算法:配置ESP 协议采用的加密算法: [Router-ipsec-proposal-tran1] esp encryption-algorithm {3des|aes [key-length]|des} ·配置ESP 协议采用的验证算法:[Router-ipsec-proposal-tran1] esp authentication-algorithm {md5|sha1} ·配置AH 协议采用的验证算法:[Router-ipsec-proposal-tran1] ah authentication-algorithm {md5|sha1} 安全策略的两种类型:1、静态——手工配置参数的安全策略需要用户手工配置密钥、SPI、安全协议和算 法等参数,在隧道模 式下还需要手工配置安全隧道两个端点的IP 地址;2、动态——通过IKE 协商参数的安全策略由IKE 自动 协商生成密钥、SPI、安 全协议和算法等参数。 手工配置参数的安全策略流程: IKE 协商参数的安全策略流程: 配置手工配置参数的安全策略: ·创建一条安全策略,并进入安全策略视图:[Router] ipsec policy policy-name seq-number manual ·配置安全策略引用的ACL:[Router-ipsec-policy-manual-map1-10] security acl acl-number ·配置安全策略所引用的安全提议:[Router-ipsec-policy-manual-map1-10] proposal proposal-name ·配置IPSec 隧道的本端地址:[Router-ipsec-policy-manual-map1-10] tunnel local ip-address ·配置IPSec 隧道的对端地址:[Router-ipsec-policy-manual-map1-10] tunnel remote ip-address ·配置SA 的SPI:[Router-ipsec-policy-manual-map1-10] sa spi {inbound|outbound} {ah|esp}

spi-number
配置SA 使用的密钥: ·配置协议的验证密钥(以16 进制方式输入): [Router-ipsec-policy-manual-map1-10] sa authentication-hex {inbound|outbound} {ah|esp} hex-key ·配置协议的验证密钥(以字符串方式输入): [Router-ipsec-policy-manual-map1-10] sa string-key {inbound|outbound} {ah|esp} string-key

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 20 ·配置ESP 协议的加密密钥(以字符串方式输入): [Router-ipsec-policy-manual-map1-10] sa string-key {inbound|outbound} esp string-key ·配置ESP 协议的加密密钥(以16 进制方式输入): [Router-ipsec-policy-manual-map1-10] sa encryption-hex {inbound|outbound} esp hex-key IKE 协商安全提议: 配置IKE 协商参数的安全策略: ·创建一条安全策略,并进入安全策略视图:[Router] ipsec policy policy-name seq-number isakmp

·配置安全策略引用的ACL:[Router-ipsec-policy-manual-map1-10] security acl acl-number ·配置安全策略所引用的安全提议:[Router-ipsec-policy-manual-map1-10] proposal proposal-name&<1-6> ·在安全策略中引用IKE 对等体:[Router-ipsec-policy-manual-map1-10] ike-peer peer-name ·配置使用此安全策略发起协商时使用PFS 特性: [Router-ipsec-policy-manual-map1-10] pfs {dh-group1|dh-group2|dh-group5|dh-group14} ·配置安全策略的SA 生存周期: [Router-ipsec-policy-manual-map1-10] sa duration {time-based seconds|traffic-based kilobytes} ·配置全局的SA 生存周期:[Router] ipsec sa global-duration {time-based seconds|traffic-based

kilobytes}
·在接口上应用安全策略:[Router-Serial1/0] ipsec policy policy-name 1、IPSec 安全策略可以应用到串口、以太网口等物理接口上和Tunnel、Virtual Template 等逻辑接口上; 2、一个接口只能应用 一个安全策略组;3、IKE 协商参数的安全策略可以应用到多个接口上;4、手工配置参数的安全策略只能 应用到一个接口上。 IPSec 信息显示命令: ·显示安全策略的信息:[Router] display ipsec policy [brief|name policy-name [seq-number]] ·显示安全提议的信息:[Router] display ipsec proposal [proposal-name] ·显示安全联盟的相关信息:[Router] display ipsec sa [brief|duration|policy policy-name [seq-number]|remote ip-address] ·显示IPSec 处理报文的统计信息:[Router] display ipsec statistics IPSec 调试和维护命令:IPSec 调试命令:·<Router> debugging ipsec {all|error|packet [policy

policy-name
[seq-number]|parameters ip-address protocol spi-number]|sa} ·清除已经建立的安全联盟: <Router> reset ipsec sa [ parameters dest-address protocol spi|policy policy-name [seq-number]|remote ip-address] ·清除IPSec 的报文统计信息:<Router> reset ipsec statistics * 1、IKE 配置前准备:1.确定IKE 交换过程中安全保护的强度;2.包括身份验证方法、加密算法、验证算 法、DH 组等。 2、确定所选验证方法的相应参数:1.使用预共享密钥方法需预先约定共享密钥;2.使用RSA 签名方法需预 先约定所属的PKI 域。 1、配置IKE 提议:1.创建IKE 提议;2.选择IKE 提议的加密算法;3.选择IKE 提议的验证方法;4.选择IKE 提议的验证算法;5. 选择IKE 阶段1 密钥协商所使用的DH 组;6.配置IKE 提议的ISAKMP SA 生存周期。 2、配置IKE 对等体:1.创建IKE 对等体;2.配置IKE 协商模式;3.配置预共享密钥验证方法的身份验证密 钥;4.配置RSA 签名验 证方法的PKI 域;5.配置本端及对端安全网关的IP 地址。 * 理解IKE 提议:双方协商出互相匹配的IKE 提议,用于保护IKE 交换时的通信。 配置IKE 提议:·创建IKE 提议,并进入IKE 提议视图:[Router] ike proposal proposal-number (proposal:提议) · 选择IKE 提议所使用的加密算法: [Router-ike-proposal-10] encryption-algorithm {3des-cbc|aes-cbc [key-length]|des-cbc} ·选择IKE 提议所使用的验证方法:[Router-ike-proposal-10] authentication-method

{pre-share|rsa-signature} ·选择IKE 提议所使用的验证算法:[Router-ike-proposal-10] authentication-algorithm {md5|sha} ·选择IKE 阶段1 密钥协商时所使用的DH 交换组:[Router-ike-proposal-10] dh {group1|group2|group5|group14} ·配置IKE 提议的ISAKMP SA 生存周期:[Router-ike-proposal-10] sa duration seconds 配置IKE 对等体:·创建一个IKE 对等体,并进入IKE 对等体视图:[Router-ike-peer-peer1] ike peer

peer-name
·配置IKE 阶段1 的协商模式:[Router-ike-peer-peer1] exchange-mode { aggressive | main } ·配置采用预共享密钥验证时所用的密钥:[Router-ike-peer-peer1] pre-shared-key [cipher|simple]

key
·配置采用数字签名验证时,证书所属的PKI 域:[Router-ike-peer-peer1] certificate domain

domain-name
·选择IKE 第一阶段的协商过程中使用的ID 类型:[Router] id-type {ip|name} ·配置本端安全网关的IP 地址:[Router-ike-peer-peer1] local-address ip-address ·配置对端安全网关的IP 地址:[Router-ike-peer-peer1] remote-address low-ip-address [ high-ip-address ] ·配置本端安全网关的名字:[Router] ike local-name name

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 21 ·配置对端安全网关的名字:[Router-ike-peer-peer1] remote-name name IKE 信息显示命令:·显示IKE 对等体配置的参数:[Router] display ike peer [ peer-name ] 显示当前ISAKMP SA 的信息: [Router] display ike sa [verbose [connection-id connection-id|remote-address remote-address]] (verbose:明细) ·显示每个IKE 提议配置的参数:[Router] display ike proposal IKE 调试和维护命令:·IKE 调试命令:<Router> debugging ike {all|dpd|error|exchange|message} ·清除IKE 建立的安全隧道:[Router] reset ike sa [ connection-id ] IPSec+IKE 预共享密钥配置示例: [RTA] acl number 3001 [RTA-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [RTA-acl-adv-3001] rule deny ip source any destination any [RTA] ip route-static 10.1.2.0 255.255.255.0 202.38.160.2 [RTA] ipsec proposal tran1 [RTA-ipsec-proposal-tran1] encapsulation-mode tunnel [RTA-ipsec-proposal-tran1] transform esp [RTA-ipsec-proposal-tran1] esp encryption-algorithm des [RTA-ipsec-proposal-tran1] esp authentication-algorithm sha1 [RTA-ipsec-proposal-tran1] quit [RTA] ike peer peer1 [RTA-ike-peer-peer] pre-share-key abcde [RTA-ike-peer-peer] remote-address 202.38.160.2

[RTA] ipsec policy map1 10 isakmp [RTA-ipsec-policy-isakmp-map1-10] proposal tran1 [RTA-ipsec-policy-isakmp-map1-10] security acl 3001 [RTA-ipsec-policy-isakmp-map1-10] ike-peer peer1 [RTA-ipsec-policy-isakmp-map1-10] quit [RTA] interface serial0/0 [RTA-Serial0/0] ip address 202.38.160.1 255.255.255.0 [RTA-Serial0/0] ipsec policy map1 [RTA] interface ethernet0/0 [RTA-Ethernet0/0] ip address 10.1.1.1 255.255.255.0 [RTB] acl number 3001 [RTB-acl-adv-3001] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [RTB-acl-adv-3001] rule deny ip source any destination any [RTB] ip route-static 10.1.1.0 255.255.255.0 202.38.160.1 [RTB] ipsec proposal tran1 [RTB-ipsec-proposal-tran1] encapsulation-mode tunnel [RTB-ipsec-proposal-tran1] transform esp [RTB-ipsec-proposal-tran1] esp encryption-algorithm des [RTB-ipsec-proposal-tran1] esp authentication-algorithm sha1 [RTB-ipsec-proposal-tran1] quit [RTB] ike peer peer1 [RTB-ike-peer-peer] pre-share-key abcde [RTB-ike-peer-peer] remote-address 202.38.160.1 [RTB] ipsec policy map1 10 isakmp [RTB-ipsec-policy-isakmp-map1-10] proposal tran1 [RTB-ipsec-policy-isakmp-map1-10] security acl 3001 [RTB-ipsec-policy-isakmp-map1-10] ike-peer peer1 [RTB-ipsec-policy-isakmp-map1-10] quit [RTB] interface serial0/0 [RTB-Serial0/0] ip address 202.38.160.2 255.255.255.0 [RTB-Serial0/0] ipsec policy map1 [RTB] interface ethernet0/0 [RTB-Ethernet0/0] ip address 10.1.2.1 255.255.255.0 * IPSec+IKE RSA 签名配置示例: [RTA] pki entity en [RTA-pki-entity-en] ...... [RTA] pki domain 1 [RTA-pki-domain-1] ...... [RTA] public-key local create rsa [RTA] pki retrieval-certificate ca domain 1 [RTA] pki retrieval-crl domain 1 [RTA] pki request-certificate domain 1

[RTA] acl number 3001 [RTA-acl-adv-3001] ...... [RTA] ip route-static 10.1.2.0 255.255.255.0 202.38.160.2 [RTA] ipsec proposal tran1 [RTA-ipsec-proposal-tran1] ...... [RTA] ike proposal 1 [RTA-ike-proposal-1] authentication-method rsa-signature [RTA] ike peer peer1 [RTA-ike-peer-peer] certificate domain 1 [RTA] ipsec policy map1 10 isakmp [RTA-ipsec-policy-isakmp-map1-10] proposal tran1 [RTA-ipsec-policy-isakmp-map1-10] security acl 3001 [RTA-ipsec-policy-isakmp-map1-10] ike-peer peer1 [RTA] interface serial0/0 [RTA-Serial0/0] ipsec policy map1 IKE 野蛮模式配置示例: [RTA] ike local-name rta [RTA] ike peer rtb [RTA-ike-peer-rtb] exchange-mode aggressive [RTA-ike-peer-rtb] pre-shared-key abc [RTA-ike-peer-rtb] id-type name [RTA-ike-peer-rtb] remote-name rtb [RTA-ike-peer-rtb] ipsec proposal prop-for-rtb [RTA-ipsec-proposal-prop-for-rtb] esp authentication-algorithm sha1 [RTA-ipsec-proposal-prop-for-rtb] esp encryption-algorithm 3des [RTA] acl number 3000 [RTB] ike local-name rtb [RTB] ike peer rta [RTB-ike-peer-rta] exchange-mode aggressive [RTB-ike-peer-rta] pre-shared-key abc [RTB-ike-peer-rta] id-type name [RTB-ike-peer-rta] remote-name rta [RTB-ike-peer-rta] remote-address 10.1.12.1 [RTB-ike-peer-rta] ipsec proposal prop-for-rta [RTB-ipsec-proposal-prop-for-rta] esp authentication-algorithm sha1 [RTB-ipsec-proposal-prop-for-rta] esp encryption-algorithm 3des

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 22 [RTA-acl-adv-3000] rule 0 permit ip source 192.168.1.0

0.0.0.255 destination 192.168.2.0 0.0.0.255 [RTA-acl-adv-3000] rule 1 deny ip [RTA] ipsec policy policy1 10 isakmp [RTA-ipsec-policy-isakmp-policy1-10] security acl 3000 [RTA-ipsec-policy-isakmp-policy1-10] ike-peer rtb [RTA-ipsec-policy-isakmp-policy1-10] proposal prop-for-rtb [RTA-ipsec-policy-isakmp-policy1-10] interface Ethernet0/1 [RTA-Ethernet0/1] ip address 192.168.1.1 255.255.255.0 [RTA-Ethernet0/1] interface Serial0/0 [RTA-Serial0/0] link-protocol ppp [RTA-Serial0/0] ipp address 10.1.12.1 255.255.255.0 [RTA-Serial0/0] ipsec policy policy1 [RTA] ip route-static 0.0.0.0 0.0.0.0 Serial 0/0 [RTB] acl number 3000 [RTB-acl-adv-3000] rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [RTB-acl-adv-3000] rule 1 deny ip [RTB] ipsec policy policy1 10 isakmp [RTB-ipsec-policy-isakmp-policy1-10] security acl 3000 [RTB-ipsec-policy-isakmp-policy1-10] ike-peer rta [RTB-ipsec-policy-isakmp-policy1-10] proposal prop-for-rta [RTB-acl-adv-3000] interface Ethernet0/1 [RTB-Ethernet0/1] ip address 192.168.2.1 255.255.255.0 [RTB-Ethernet0/1] interface Serial0/0 [RTB-Serial0/0] link-protocol ppp [RTB-Serial0/0] ip address ppp-negotiate [RTB-Serial0/0] ipsec policy policy1 [RTB] ip route-static 0.0.0.0 0.0.0.0 Serial 0/0 * IPSec 隧道嵌套:通过IPSec 隧道嵌套,数据可以获得多重安全保护,提供更多的安全等级。 * GRE over IPSec 的优势: 特性GRE 是否支持IPSec 是否支持GRE over IPSec 是否支持 支持多协议Y N Y 虚拟接口Y N Y 支持组播Y N Y 对路由协议的支持Y N Y 对丰富的IP 协议族的支持Y 支持得不好Y 机密性N Y Y 完整性N Y Y 数据源验证N Y Y * GRE over IPSec 封装:1.原始IP 包被封装在GRE 隧道封装包中;2.GRE 隧道封装包被封装在IPSec 隧 道封装包中。

* GRE over IPSec 配置示例: [RTA] interface tunnel 0 [RTA-Tunnel0] ip address 10.1.2.1 255.255.255.0 [RTA-Tunnel0] source 192.13.2.1 [RTA-Tunnel0] destination 132.108.5.2 [RTA] acl number 3001 [RTA-acl-adv-3001] rule permit ip source 192.13.2.1 0.0.0.0 destination 132.108.5.2 0.0.0.0 [RTA] ipsec proposal tran1 [RTA-ipsec-proposal-tran1] ..... [RTA] ike peer peer1 [RTA-ike-peer-peer] pre-share-key abcde [RTA-ike-peer-peer] remote-address 132.108.5.2 [RTA] ipsec policy map1 10 isakmp [RTA-ipsec-policy-isakmp-map1-10] proposal tran1 [RTA-ipsec-policy-isakmp-map1-10] security acl 3001 [RTA-ipsec-policy-isakmp-map1-10] ike-peer peer1 [RTA] interface serial1/0 [RTA-Serial1/0] ipsec policy map1 [RTB] interface tunnel 0 [RTB-Tunnel0] ip address 10.1.2.2 255.255.255.0 [RTB-Tunnel0] source 132.108.5.2 [RTB-Tunnel0] destination 192.13.2.1 [RTB] acl number 3001 [RTB-acl-adv-3001] rule permit ip source 132.108.5.2 0.0.0.0 destination 192.13.2.1 0.0.0.0 [RTB] ipsec proposal tran1 [RTB-ipsec-proposal-tran1] ...... [RTB] ike peer peer1 [RTB-ike-peer-peer] pre-share-key abcde [RTB-ike-peer-peer] remote-address 192.13.2.1 [RTB] ipsec policy map1 10 isakmp [RTB-ipsec-policy-isakmp-map1-10] proposal tran1 [RTB-ipsec-policy-isakmp-map1-10] security acl 3001 [RTB-ipsec-policy-isakmp-map1-10] ike-peer peer1 [RTB] interface serial1/0 [RTB-Serial1/0] ipsec policy map1 * L2TP over IPSec:1.在LAC 与LNS 之间建立IPSec 隧道,保护L2TP 隧道数据流;2.L2TP 隧道封装包被 封装在IPSec 隧道封装 包之中。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 23 * 独立LAC 模式L2TP over IPSec 配置示例:除L2TP 配置之外,IPSec 关键配置如上。

[LAC] acl number 3001 [LAC-acl-adv-3001] rule permit ip source 1.1.2.1 0.0.0.0 destination 2.1.2.2 0.0.0.0 [LAC] ipsec proposal tran1 [LAC-ipsec-proposal-tran1] ...... [LAC] ike peer peer1 [LAC-ike-peer-peer] pre-share-key abcde [LAC-ike-peer-peer] remote-address 2.1.2.2 [LAC] ipsec policy map1 10 isakmp [LAC-ipsec-policy-isakmp-map1-10] proposal tran1 [LAC-ipsec-policy-isakmp-map1-10] security acl 3001 [LAC-ipsec-policy-isakmp-map1-10] ike-peer peer1 [LAC] interface serial1/1 [LAC-Serial1/1] ipsec policy map1 [LNS] acl number 3001 [LNS-acl-adv-3001] rule permit ip source 2.1.2.2 0.0.0.0 destination 1.2.1.1 0.0.0.0 [LNS] ipsec proposal tran1 [LNS-ipsec-proposal-tran1] ...... [LNS] ike peer peer1 [LNS-ike-peer-peer] pre-share-key abcde [LNS-ike-peer-peer] remote-address 1.2.1.1 [LNS] ipsec policy map1 10 isakmp [LNS-ipsec-policy-isakmp-map1-10] proposal tran1 [LNS-ipsec-policy-isakmp-map1-10] security acl 3001 [LNS-ipsec-policy-isakmp-map1-10] ike-peer peer1 [LNS] interface serial1/1 [LNS-Serial1/1] ipsec policy map1 * 用IPSec 保护组播: IPSec 的实现本身不支持组播; 可以使用GRE over IPSec: 1、 2、 首先配置GRE Tunnel; 启动Tunnel 接口 的组播路由;配置IPSec,对Tunnel 接口的通信加以保护。 * NAT 与IPSec/IKE 主要的不兼容性:1.NAT 设备修改地址字段,造成AH 完整性检查失败;2.NAT 设备修 改IP 地址,导致接收方 对校验和的检查失败;3.IKE 标识符与NAT 的不兼容性;4.IKE 固定源端口与NAPT 的不兼容性;5.IPSec SPI 与NAT 之间的不兼容 性;6.载荷中嵌入的IP 地址与NAT 的不兼容性;7.NAT 的隐式定向性妨碍IPSec 隧道的双向建立。 * NAT 穿越的原理:1.利用UDP 封装IPSec 报文,以穿越NAT;2.改进IKE 协商机制,适应NAT;3.用专用 的载荷探测NAT。 封装格式:【IP】【UDP】【IPSec 报文】 * IPSec/IKE NAT 穿越配置示例: [RTA] ike local-name routera [RTA] acl number 3101 match-order auto [RTA-acl-adv-3101] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[RTA] ike peer peer1 [RTA-ike-peer-peer1] exchange-mode aggressive [RTA-ike-peer-peer1] pre-shared-key abc [RTA-ike-peer-peer1] id-type name [RTA-ike-peer-peer1] remote-name routerb [RTA-ike-peer-peer1] nat traversal [RTA] ipsec proposal prop1 [RTA-ipsec-proposal-prop1] encapsulation-mode tunnel [RTA-ipsec-proposal-prop1] transform esp [RTA-ipsec-proposal-prop1] esp encryption-algorithm des [RTA-ipsec-proposal-prop1] esp authentication-algorithm sha1 [RTA] ipsec policy policy1 10 isakmp [RTA-ipsec-policy-isakmp-policy1-10] ike-peer peer1 [RTA-ipsec-policy-isakmp-policy1-10] security acl 3101 [RTA-ipsec-policy-isakmp-policy1-10] proposal prop1 [RTA] interface serial 2/0 [RTA-Serial2/0] ip address 100.0.0.1 255.255.0.0 [RTA-Serial2/0] ipsec policy policy1 [RTB] ike local-name routerb [RTB] acl number 3101 match-order auto [RTB-acl-adv-3101] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [RTB] ike peer peer1 [RTB-ike-peer-peer1] exchange-mode aggressive [RTB-ike-peer-peer1] pre-shared-key abc [RTB-ike-peer-peer1] id-type name [RTB-ike-peer-peer1] remote-name routera [RTB-ike-peer-peer1] remote-ip 100.0.0.1 [RTB-ike-peer-peer1] nat traversal [RTB] ipsec proposal prop1 [RTB-ipsec-proposal-prop1] encapsulation-mode tunnel [RTB-ipsec-proposal-prop1] transform esp [RTB-ipsec-proposal-prop1] esp encryption-algorithm des [RTB-ipsec-proposal-prop1] esp authentication-algorithm sha1 [RTB] ipsec policy policy1 10 isakmp [RTB-ipsec-policy-isakmp-policy1-10] ike-peer peer1 [RTB-ipsec-policy-isakmp-policy1-10] security acl 3101 [RTB-ipsec-policy-isakmp-policy1-10] proposal prop1 [RTB] interface serial 2/0 [RTB-Serial2/0] ipsec policy policy1 * IPSec 的黑洞问题:1、两个对等实体进行IKE 和IPSec 通信时可能突然失去连通性;2、SA 可能会一直 存活,直到它们的生命期

自然中止;3、数据包被进行隧道封装并发送出去,却被中途设备或对等体丢弃。 * NAT Keepalive 报文是一个使用UDP 封装的未加密的报文。通过发送NAT Keepalive 报文,在NAT 网关 设备上可以保持IKE 对 等体之间的NAT 动态映射有效。NAT Keepalive 报文并不用来检测对等体的状态。当配置此命令时,需要 确保配置的时间小于NAT 转换的超时时间。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 24 * IKE Keepalive 机制: IKE Keepalive 配置命令: ·配置ISAKMP SA 向对端发送Keepalive 报文的时间间隔:[Router] ike sa keepalive-timer interval

seconds
·配置ISAKMP SA 等待对端发送Keepalive 报文的超时时间:[Router] ike sa keepalive-timer timeout

seconds
* DPD 机制: DPD 命令:创建一个DPD,并进入DPD 视图:[Router] ike dpd dpd-name ·配置触发DPD 查询的时间间隔:[Router-ike-dpd-dpd1] interval-time interval-time ·配置DPD 查询消息的重传时间间隔:[Router-ike-dpd-dpd1] time-out time-out ·为IKE 对等体应用一个DPD:[Router-ike-peer-peer1] dpd dpd-name ·显示DPD 配置的参数:<Router> display ike dpd [ dpd-name ] * Netscape 公司提出的安全协议SSL(Secure Sockets Layer 安全套接层),利用数据加密、身份验证和 消息完整性验证机制,为 网络上数据的传输提供安全性保证。SSL 可以为HTTP 提供安全连接,从而很大程度上改善了万维网的安全 性问题。为基于TCP 等 可靠连接的应用层协议提供安全性保证。SSL 具有如下优点: 1、提供较高的安全性保证。SSL 利用数据加密、身份验证和消息完整性验证机制,保证网络上数据传输的 安全性。 2、支持各种应用层协议。虽然SSL 设计的初衷是为了解决万维网安全性问题,但是由于SSL 位于应用层和 传输层之间,它可以 为任何基于TCP 等可靠连接的应用层协议提供安全性保证。 3、部署简单。目前SSL 已经成为网络中用来鉴别网站和网页浏览者身份,在浏览器使用者及Web 服务器之 间进行加密通信的全 球化标准。SSL 协议已被集成到大部分的浏览器中。 * SSL 协议简介—工作模型:1、SSL 是工作在TCP 层之上的加密协议。2、SSL 协议采用C/S 架构。3、SSL 服务器端使用TCP 协议 的443 号端口提供SSL 服务。 * SSL 协议实现的安全机制包括: 1、数据传输的机密性:利用对称密钥算法对传输的数据进行加密。 2、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是 可选的。 3、消息完整性验证:消息传输过程中使用MAC 算法来检验消息的完整性。 * 网络上传输的数据很容易被非法用户窃取,SSL 采用在通信双方之间建立加密通道的方法保证数据传输 的机密性。所谓加密通道,

是指发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方;接收方接 收到数据后,利用解密算 法和解密密钥从密文中获取明文。(对称密钥算法具有计算速度快的优点,通常用于对大量信息进行加密 (如对所有报文加密);而 非对称密钥算法,一般用于数字签名和对较少的信息进行加密。) * SSL 利用数字签名来验证通信对端的身份。SSL 客户端必须验证SSL 服务器的身份,SSL 服务器是否验 证SSL 客户端的身份,则 由SSL 服务器决定。使用数字签名验证身份时,需要确保被验证者的公钥是真实的,否则,非法用户可能 会冒充被验证者与验证者 通信。SSL 利用PKI 提供的机制保证公钥的真实性。 * MAC 算法是在密钥参与下的数据摘要算法,能将密钥和任意长度的数据转换为固定长度的数据。发送者 在密钥的 参与下,利用MAC 算法计算出消息的MAC 值,并将其加在消息之后发送给接收者。接收者利用同样的密钥 和MAC 算法计算出消息的 MAC 值,并与接收到的MAC 值比较。如果二者相同,则报文没有改变;否则,报文在传输过程中被修改, 接收者将丢弃该报文。MAC 算法要求通信双方具有相同的密钥,否则验证将失败。因此,利用MAC 算法验证消息完整性之前,需要在 通信两端部署相同的密钥。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 25 * SSL 协议简介—协议架构: (握手层:负责建立SSL 连接;记录层:负责对报文进行加解密。) SSL 位于应用层和传输层之间,它可以为任何基于TCP 等可靠连接的应用层协议提供安全性保证。SSL 协 议本身分为两层: 1.上层为SSL 握手协议(SSL handshake protocol)、SSL 密码变化协议( SSL change cipher spec protocol ) 和SSL 警告 协议( SSL alert protocol);2.底层为SSL 记录协议(SSL record protocol)。 ·SSL 握手协议:是SSL 协议非常重要的组成部分,用来协商通信过程中使用的加密套件(加密算法、密 钥交换算法和MAC 算法 等)、在服务器和客户端之间安全地交换密钥、实现服务器和客户端的身份验证。 ·SSL 密码变化协议:客户端和服务器端通过密码变化协议通知对端,随后报文都将使用新协商的加密套件 和密钥进行保护和传输。 ·SSL 警告协议:用来向通信对端报告告警信息,消息中包含告警的严重级别和描述。 ·SSL 记录协议:主要负责对上层的数据(SSL 握手协议、SSL 密码变化协议、SSL 警告协议和应用层协 议报文)进行分块、计算 并添加MAC 值、加密,并把处理后的记录块传输给对端。 * SSL 协议简介—记录层:1、保护传输数据的私密性,对数据 进行加密和解密。2、验证传输数据的完整性,计算报文的摘 要。3、提高传输数据的效率,对报文进行压缩。4、保证数据 传输的可靠和有序。 * 记录层报文格式: 1、报文类型:密钥改变协议(20),告警协议(21), 握手协议(22), 应用层数据(23)。 2、版本:TLS1.0(3,1),SSL3.0(3,0)。

3、长度:记录层报文的长度,包括加密数据和MAC 值的字节数。 4、MAC:整个记录报文的消息验证码,包括从报文类型开始的所有字段。 * SSL 的握手过程为:(协商加密能力、协商密钥参数、验证对方身份、建立并维护SSL 会话。) 1、SSL 客户端通过Client Hello 消息将它支持的SSL 版本、加密算法、密钥交换算法、MAC 算法等信息 发送给SSL 服务器。 2、SSL 服务器确定本次通信采用的SSL 版本和加密套件,并通过Server Hello 消息通知给SSL 客户端。 如果SSL 服务器允许SSL 客户端在以后的通信中重用本次会话,则SSL 服务器会为本次会话分配会话ID,并通过Server Hello 消息 发送给SSL 客户端。 3、SSL 服务器将携带自己公钥信息的数字证书通过Certificate 消息发送给SSL 客户端。 4、SSL 服务器发送Server Hello Done 消息,通知SSL 客户端版本和加密套件协商结束,开始进行密钥交 换。 5、SSL 客户端验证SSL 服务器的证书合法后,利用证书中的公钥加密SSL 客户端随机生成的premaster secret,并通过Client Key Exchange 消息发送给SSL 服务器。 6、SSL 客户端发送Change Cipher Spec 消息,通知SSL 服务器后续报文将采用协商好的密钥和加密套件 进行加密和MAC 计算。 7、SSL 客户端计算已交互的握手消息(除Change Cipher Spec 消息外所有已交互的消息)的Hash 值,利用 协商好的密钥和加密套 件处理Hash 值(计算并添加MAC 值、加密等),并通过Finished 消息发送给SSL 服务器。SSL 服务器利用同 样的方法计算已交互 的握手消息的Hash 值,并与Finished 消息的解密结果比较,如果二者相同,且MAC 值验证成功,则证明密 钥和加密套件协商成功。 8、同样SSL 服务器发送Change Cipher Spec 消息,通知SSL 客户端后续报文将采用协商好的密钥和加密套 件进行加密和MAC 计算。 9、SSL 服务器计算已交互的握手消息的Hash 值,利用协商好的密钥和加密套件处理Hash 值(计算并添加 MAC 值、加密等),并 通过Finished 消息发送给SSL 客户端。SSL 客户端利用同样的方法计算已交互的握手消息的Hash 值,并 与Finished 消息的解 密结果比较,如果二者相同,且MAC 值验证成功,则证明密钥和加密套件协商成功。 * SSL 握手协议提供了三种握手过程:1.无客户端身份认证的全握手过程;2.有客户端身份认证的全握手 过程;3.会话恢复过程。 1.无客户端身份认证的全握手过程:

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 26 2.有客户端身份认证的全握手过程: 3.会话恢复过程: * SSL VPN:1、网络互联性:SSL 工作在TCP 层,不会受NAT 和防火墙的影响。2、客户端的维护:借助浏 览器,实现客户端的自 动安装和配置。3、访问权限管理:解析应用层协议,进行高细粒度地访问控制。 * SSL VPN 运作流程: * 通过加密实现安全接入的VPN——SVPN(Security VPN)技术提供了一种安全机制.SVPN 技术主要包括 IPsec VPN 和SSL VPN。

由于IPsec VPN 实现方式上的局限性,导致其存在着一些不足: 1、部署IPsec VPN 网络时,需要在用户主机上安装复杂的客户端软件。远程用户的移动性要求VPN 可以快 速部署客户端,并动 态建立连接;远程终端多样性还要求VPN 的客户端具有跨平台、易于升级和维护等特点。这些问题是IPsec VPN 技术难以解决的。 2、无法检查用户主机的安全性。如果用户通过不安全的主机访问公司内部网络,可能引起公司内部网络感 染病毒。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 27 3、访问控制不够细致。由于IPsec 是在网络层实现的,对IP 报文的内容无法识别,因而不能控制高层应 用的访问请求。 4、复杂组网环境中,IPsec VPN 部署比较困难。在使用NAT 的场合,IPsec VPN 需要支持NAT 穿越技术; 在部署防火墙的网络环 境中,由于IPsec 协议在原TCP/UDP 头前面增加了IPsec 报文头,因此,需要在防火墙上进行特殊的配置, 允许IPsec 报文通过。 ·IPsec VPN 比较适合连接固定,对访问控制要求不高的场合,无法满足用户随时随地以多种方式接入网 络、对用户访问权限 进行严格限制的需求。·SSL VPN 技术克服了IPsec VPN 技术的缺点,以其跨平台、免安装、免维护的客 户端,丰富有效的 权限管理而成为远程接入市场上的新贵。 * SSL VPN 是以HTTPS 为基础的VPN 技术,它利用SSL 协议提供的基于证书的身份认证、数据加密和消息 完整性验证机制,为用户 远程访问公司内部网络提供了安全保证。SSL VPN 具有如下优点: 1、支持各种应用协议。SSL 位于传输层和应用层之间,任何应用程序都可以直接享受SSL VPN 提供的安全 性而不必理会具体细节。 2、 支持多种软件平台。 目前SSL 已经成为网络中用来鉴别网站和网页浏览者身份, 在浏览器使用者及Web 服 务器之间进行加密通 信的全球化标准。 3、支持对客户端主机进行安全检查。SSL VPN 可以对远程主机的安全状态进行评估,判断远程主机是否安 全,及安全程度的高低。 4、支持动态授权。传统的权限控制主要是根据用户的身份进行授权,同一身份的用户在不同的地点登录, 具有相同的权限,称之 为静态授权。而动态授权是指在静态授权的基础上,结合用户登录时远程主机的安全状态,对所授权利进 行动态地调整。当发 现远程主机不够安全时,开放较小的访问权限;在远程主机安全性较高时,则开放较大的访问权限。 5、 VPN 网关支持多种用户认证方式和细粒度的资源访问控制, SSL 实现了外网用户对内网资源的受控访问。 6、SSL VPN 的部署不会影响现有的网络。SSL 协议工作在传输层之上,不会改变IP 报文头和TCP 报文头, 因此,SSL 报文对NAT 来说是透明的;SSL 固定采用443 号端口,只需在防火墙上打开该端口,不需要根据应用层协议的不同来 修改防火墙上的设置, 不仅减少了网络管理员的工作量,还可以提高网络的安全性。 7、支持多个域之间独立的资源访问控制。为了使多个企业或一个企业的多个部门共用一个SSL VPN 网关, 减少SSL VPN 网络部署

的开销,SSL VPN 网关上可以创建多个域,企业或部门在各自域内独立地管理自己的资源和用户。通过创 建多个域,可以将一 个实际的SSL VPN 网关划分为多个虚拟的SSL VPN 网关。 * SSL VPN 系统由以下几个部分组成: 1、远程主机:管理员和用户远程接入的终端设备,可以是个人电脑、手机、PDA 等。 2、SSL VPN 网关:SSL VPN 系统中的重要组成部分。管理员在SSL VPN 网关上维护用户和企业网内资源的 信息,户通过SSL VPN 网 关查看可以访问哪些资源。SSL VPN 网关负责在远程主机和企业网内服务器之间转发报文。SSL VPN 网关 与远程主机之间建立 SSL 连接,以保证数据传输的安全性。 3、企业网内的服务器:可以是任意类型服务器,如Web 服务器、FTP 服务器,也可以是企业网内需要与远 程接入用户通信的主机。 4、CA:为SSL VPN 网关颁发包含公钥信息的数字证书,以便远程主机验证SSL VPN 网关的身份、在远程主 机和SSL VPN 网关之 间建立SSL 连接。 5、认证服务器:SSL VPN 网关不仅支持本地认证,还支持通过外部认证服务器对用户的身份进行远程认证。 * SSL VPN 的系统结构: * SSL VPN 支持三种接入方式:Web 接入方式、TCP 接入方式、IP 接入方式。 (1)接入方式-Web 接入:实现原理:对返回Web 页面中的URL 进行改写,使得远程用户在公网上可以访 问到私网中的URL。SSL VPN 为用户访问Web 服务器提供了安全的连接,并且可以防止非法用户访问受保护的Web 服务器。 (2)接入方式-TCP 接入:实现原理:在远程主机上安装一个VPN 客户端,以代理方式与SSLVPN 网关建立 SSL 连接,SSL VPN 网关 再以代理方式与服务器端建立TCP 连接。 (3)SSL VPN 的功能与实现—IP 接入:实现原理:在远程主机上安装一个虚拟网卡,配上内网的IP 地址 和可以访问内网的路由。 远程主机与内网服务器之间传送的数据报文通过路由进行IP 层的转发。 用户通过IP 接入方式访问内网服务器前,需要安装专用的IP 接入客户端软件,该客户端软件会在主机上 安装一个虚拟网卡。 1、 用户启动IP 应用时, 远程主机自动从SSL VPN 网关上下载IP 接入客户端软件, 该软件负责与SSL VPN 网 关建立SSL 连接, 为虚拟网卡申请地址,并设置网关地址和以虚拟网卡为出接口的路由。 2、用户通过点击SSL VPN 网关Web 访问页面上的资源链接或执行IP 访问命令(例如,执行ping 命令)的 方式访问IP 网络资 源时,IP 报文根据路由发送到虚拟网卡,被客户端软件封装后通过SSL 连接发送到SSL VPN 网关。 3、SSL VPN 网关接收到数据后,将其还原成IP 报文,发往对应的服务器。 4、SSL VPN 网关接收到服务器的回应报文后,将报文封装后通过SSL 连接发送到远程主机的IP 接入客户 端软件。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 28 5、客户端软件解封装后通过虚拟网卡将IP 报文交给远程主机处理。 * SSL VPN 访问控制 1、静态授权:根据用户的身份授予用户相应的访问权限:身份认证、静态权限管理。

2、 动态授权: 不但根据用户的身份, 还要根据远程主机的安全状态确定用户可以安全地访问哪些网络资源: ·安全策略:如何定义安全状态,如何授予相应的管理权限。·主机检查:检查远程主机的安全状态。 (1)静态授权—身份认证: 1、本地认证:用户的帐号和密码保存在网关本地的数据库中,由网关独立地对用 户身份进行认证。 2、外部认证:用户的帐号和密码保存在外部服务器上。在接收到用户提交的帐号 和密码后,网关将其交给外部服务器进行验证。网关根据服务器返回的验证结果决 定是否允许用户登录SSL VPN。 几种外部认证:Radius、Ldap、AD。 ·RADIUS 认证:用户信息保存在RADIUS 服务器上,SSL VPN 网关作为RADIUS 客 户端,通过与RADIUS 服务器交互认证消息,来验证用户的身份是否合法。 ·LDAP 认证:用户信息保存在LDAP 服务器上,SSL VPN 网关作为LDAP 客户端查 询LDAP 服务器上的用户信息,来验证用户的身份是否合法。 ·AD 认证:LDAP 认证方式的一种,Microsoft 实现的LDAP 称为AD。 (2)静态授权实现: 1、在一个资源组中加入多个资源,以方便对资源的管理。 2、用户组,用以标识系统中不同的用户角色。在用户组中加入合适的用户,就给该 用户赋予了相应的“角色”权力。 3、在用户组中加入可以访问的资源组,完成了对用户组以及用户的访问授权。 * (1)动态授权—安全策略: 1、安全策略:在SSL VPN 系统中,安全策略用于定义远程主机所处的安全状态,以及在相应的安全状态下, 远程主机可以安全访 问的网络资源。 2、 安全状态: 安全状态的定义是通过设定一组明确的检查对象, 以及对各个检查对象所需进行的检查规则, 来标识符合一定安全 要求的系统状态。 3、安全级别:为了表明不同安全状态所处安全程度的不同,对每个安全状态需要指定一个安全级别。当一 个主机系统同时符合多 个安全策略所定义的安全状态时,它的安全程度由最高级别的安全状态所确定。 (2)动态授权—主机检查: 1、通过下载一个客户端程序对远程主机的安全状态进行检查,并将相关信息反馈给SSL VPN 网关,网关可 以对远程主机的安全状 态进行评估,确定它的安全级别。 2、检查的内容包括:1.操作系统的类型、版本和补丁;2.浏览器的类型、版本和补丁;3.杀毒软件的类型、 版本、病毒库版本; 4.防火墙软件的类型、版本和补丁;5.个人证书;6.指定的文件是否存在;7.指定的进程是否存在。 * 动态授权过程: ·缓存清除:为避免私密信息遗留在远程主机上,SSL VPN 提供了缓存清除功能。在用户退出SSL VPN 系 统时,SSL VPN 客户端程 序可以自动清除下列对象:缓存的网页、Cookie、VPN 客户端程序、VPN 客户端配置。 * (1)部署方式—双臂模式: ·特点:网关跨接在内网和外网之间。 ·优点:网关可以全面地保护内网,对内外网之间的所有的通讯数据进行管理和控制。 ·缺点:网关成为整个内网出口的性能瓶颈;网关的可靠性也关系到整个内网访问外网通讯的稳定性。 (2)部署方式—单臂模式: ·特点:网关设备部署于内网,代理远程主机对内网服务器的访问。

·优点:网关的处理能力不会成为整个内网访问外网的性能瓶颈,网关的临时故障也不会影响到整个内网 对外网的访问。 ·缺点:网关设备不能全面地保护内部网络,只能对部分网络流量进行管理和控制。 * 传统VPN 的缺陷: 1、静态隧道的可扩展性不强。传统VPN 技术的隧道需要静态建立,随着用户网络规模的扩大,VPN 隧道的 数量成N 平方增长。 2、VPN 维护和管理工作只能由用户自行完成。因不同的VPN 用户,私网地址可能存在冲突,负责维护和管 理公共网络的运营商因 为不能区分开用户,无法接管用户的VPN。因此传统VPN 无法适应大规模VPN 网络,需要一种新型的VPN 技 术解决上述的问题。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 29 ·BGP MPLS VPN 的优点:BGP MPLS VPN 技术作为一种新的VPN 技术,在传统VPN 技术基础上解决了以下 三个重大问题: 1. 实现隧道的动态建立;2.解决本地地址冲突问题;3.VPN 私网路由易于控制。 * 隧道技术与MPLS:隧道:一个虚拟的点对点的连接。它提供了一条虚拟通路,使经过特殊封装的数据报 能够在这个通路上传输。 在隧道的两端分别对数据报进行封装及解封装。如GRE 封装,隧道上的路由器根据报文外层的公网IP 头进 行数据转发。MPLS 是天 然的隧道,隧道上的路由器可以根据报文的MPLS 头进行报文转发: GRE 封装: MPLS 封装: (封装后路由器就只管依据MPLS 标签转发) * (1)MPLS 隧道应用:隧道中间的LSR 设备直接根据MPLS 标签转发表进行数据转发,无需查询路由表, 也无需学习到私网用户 的路由, 只要在进出MPLS 网络的LER 设备 (隧道入出口) 上进行处理, 私网数据就能穿越公共网络。 (LER2 看不懂路由表) (2)私网报文进入MPLS 隧道:只要LER1 设法知道该私网用户的目的LER,就可以将数据封装到该LER 的 MPLS 隧道中。 (3)私网报文离开MPLS 隧道:报文到达LER3 设备(隧道出口设备)后,LER3 设备检查报文标签发现该 发文发给自己(下一跳是 自己的loopback 接口),进一步解析标签内部的IP 头,发现报文真正的目的地址,再查询路由表成功转 发报文给私网用户。 (4)MPLS 倒数第二跳(PHP):既然报文在隧道出口处(LER3 上)查完标签后还要根据IP 头进行转发, 不如在LSR2 出就直接弹出 MPLS 标签,这个技术就叫着MPLS 倒数第二跳。(LSR3 向上游分配lable 为“3”,标记3 就隐式告诉上 游设备LSR2:“我就是最后 一条, 你就是倒数第二跳” PHP 技术使最后一跳LSR3 省去弹标签的一个动作, 。 直接由倒数第二跳LSR2 直 接转发纯ip 数据包。) * VPN 组网结构: ·CE(Customer Edge)设备:用户网络边缘设备,有接口直接与ISP 相连,可以是路由器或交换机。CE “感知”不到VPN 的存在。 ·PE(Provider Edge)路由器:即运营商边缘路由器,是运营商网络的边缘设备,与用户的CE 直接相连。 MPLS 网络中,对VPN 的 所有处理都发生在PE 路由器上。

·P(Provider)路由器:运营商网络中的骨干路由器,不和CE 直接相连。P 路由器需要支持MPLS 能力。 CE 和PE 的划分主要是从运营商与用户的管理范围来划分的,CE 和PE 是两者管理范围的边界。 * 多VRF 技术背景: (多VRF 技术就是用来解决同一台设备上的地址冲突问题。) 1、用户维护隧道:1.传统的VPN 技术如GRE、IPSec 等均采用这种隧道维护方案;2.缺点在于隧道建立维 护工作完全由VPN 用户完 成,对于网络使用者来说工作繁琐而复杂,成本高昂。 2、 运营商维护隧道: 将VPN 的维护工作移交给运营商, 运营商作为公网的运营者, 有充足的网络维护资源, 又能以向用户提供VPN 服务,而从中获利;然而,运营商需要为每个VPN 用户的每一个分支提供一台接入设备,这样的硬件成本 过于高昂。 3、运营商维护共享隧道:更优的解决方案是运营商可以将同一网络位置的不同用户,采用同一台设备进行 接入,并在相同的接入 设备之间共用隧道;然而,不同的VPN 用户可能选用相同的私网地址空间,PE 设备上将存在地址冲突。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 30 * 多VRF 实现原理:多VRF 技术将一台路由器划分成多个VRF,每个VRF 之间互相独立,互不可见,拥有独 立的路由表项、端口、 路由协议等。 Eth0/0 接口绑定VPN1, · 从Eth0/0 接口进入路由器的报文只能查询VPN1 的路由表进行转发; ·Eth0/1 接口绑定VPN2,从Eth0/1 接口进入路由器的报文只能查询VPN2 的路由表进行转发。 多VRF 和路由协议多实例: 1、 各个VRF 与各自的用户网络之间运行一个路由实例, 该路由实例学习到的路由只能加入该VPN 的路由表。 2、各个路由实例与所属的VPN 进行绑定,他们之间互相独立,只能学习到各自的邻居信息。 * BGP 协议的特点:1、基于TCP 链接,可以跨越多台设备建立路由邻居,传递路由;2、基于TLV 架构, 可以扩展属性位,以便携 带更多表明路由特征的信息;3、BGP 路由协议还有很多的特点,而上述的两个特点是他被选作VPN 私网路 由协议的主要原因。 * BGP 路由更新:BGP 协议通过BGP 更新(UPDATE)消息发布和删除路由,BGP 更新消息结构如下: BGP 协议更新(UPDATE)消息主要包含以下三个部分: ·Unfeasible Routes:之前发布过,不再有效的路由; ·Path Attributes:路由信息的属性(附加描述),是BGP 用以进行路由 控制和决策的信息; ·NLRI 网络层可达信息:路由信息,有一个或多个IPV4 地址/前缀长度组 成。由此可以看出普通的BGP 路由更新消息只能发布或删除IPv4 路由。 * MP-BGP 协议: 1、普通BGP 只能传递IPv4 路由信息,为了能够承载多个协议的路由信息,RFC2858 对BGP 进行了扩展, 扩展后的BGP 协议称之为 多协议BGP(MBGP 或MP-BGP)。 2、MP-BGP 新增了MP_REACH_NLRI 和MP_UNREACH_NLRI 两个属性,并对团体( Communities )属性进行了 扩展,新增扩展团体属 性( Extended_Communities )。 3、MP-BGP 路由协议可以传递BGP MPLS VPN、L2VPN、6PE 等路由信息。 * MP-BGP 路由更新:相对普通BGP 路由更新消息作出如下改动:1、MP_REACH_NLRI 属性代替原BGP 更新 消息里面的NLRI 及Next-hop

属性;2、MP_UNREACH_NLRI 属性代替原BGP 更新消息里面的Withdraw Routes;3、属性部分增加 Extended_Communities。 * MP_REACH_NLRI 属性:MP_REACH_NLRI 是对原BGP 更新消息中NLRI 的扩展,增加了地址族的描述,以及 私网Label 和RD,并包 含了原BGP 更新消息中的Next-hop 属性。 * MP_UNREACH_NLRI 属性:MP_UNREACH_NLRI 替代了原BGP 更新消息中的Withdraw Routes,可以撤销通过 MP_REACH_NLRI 发布的 各种地址族的路由。 * Route Target:1、BGP 的扩展community 属性:RT(Route Target);2、扩展的community 有如下两 种格式:其中type 字段为 0x0002 或者0x0102 时表示RT。 ·RT 的本质是每个VPN 实例表达自己的路由取舍及喜好的方式。RT 由Export Target 与 import Target 两部分构成: 1、在PE 设备上,发送某一个VPN 用户的私网路由给其BGP 邻居时,需要在MP-BGP 的扩 展团体属性区域中增加该VPN 的Export Target 属性。 2、在PE 设备上,需要将收到的MP-BGP 路由的扩展团体属性中所携带的RT 属性值,与本 地每一个VPN 的Import Target 属性值相比较, 当这两个值存在交集时, 就需要将这条路由添加到该VPN 的 路由表中去。 * RT 有两种表示方法:1、0x0002:AS+分配编号,如100:2 2、0x0102:IP+分配编号,如1.1.1.1:2 * RT 的灵活性:由于每个RT Export Target 与import Target 都可以配置多个value,接收时是“或”操 作,所以就可以实现非 常灵活的VPN 访问控制。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 31 图1 中,总部IM 与分支的EX 相同,可以接收。图2 中,所有PE 的IM 与EM 都相同可以接收。图3 中,企 业内部可以相互接收, 合作单位可以与外联VPN 处相互接收,但合作单位不具备企业内部的IM 或EM 而不能访问企业内部。 * RD(Route Distinguisher)路由区分,在BGP MPLSVPN 的网络中,私网路 由的路由前缀的形式不再是普通的IPv4 地址,而是RD+IPv4 地址,这样可以 在路由前缀中直接标识该路由的VPN 信息。 ·RD 的格式:1、16 位自治系统号ASN : 32 位用户自定义数,例如:100:1; 2、2 位IP 地址: 16 位用户自定义数,例如:172.1.1.1:1 * RD 的本质: (防止报文在网络传递过程中,出现地址冲突)VPNv4=VPN+Ipv4 1、RD 的作用是用于私网路由的撤销,因为按照BGP 原理,在撤销路由时不会携带路由的属性值,也就不 能携带RT 属性(和掩码 信息),PE 在删除路由时无法判断是要撤销那个VPN 的路由(可能VRF1 和VRF2 中都包含Ip 相同但掩码 不同路由条目)。 2、理论上可以为每个VPN 实例配置一个RD。通常建议为每个VPN 都配置相同的RD,不同的VPN 配置不同的 RD。但是实际上只要 保证存在相同地址的两个VPN 实例的RD 不同即可。 (使用VPNv4 就可以区分Ip 相同但掩码不同路由条目) 3、如果两个VPN 实例中存在相同的地址,则一定要配置不同的RD,而且两个VPN 实例一定不能互访,间接 互访也不成。 * VPNv4 和IPv4 地址族:(VPNv4 地址结构:【Route Distinguisher(8 个字节)】【IPv4 地址】)

1、在IPv4 地址加上RD 之后,就变成VPNv4 地址族了。而原来的标准的地址族就称为IPv4。 2、VPNv4 地址族主要用于PE 路由器之间传递VPN 路由。 3、VPNv4 地址只是存在于MP-BGP 的路由信息和PE 设备的私网路由表中,也就是只是出现在路由的发布学 习过程中。 4、在VPN 数据流量穿越供应商骨干时,包头中没有携带VPNv4 地址。 * 私网Label: (一个报文中一共嵌套了两个标签,一个用于PE 识别,一个用于MPLS 转发) 1、RT 属性和RD 前缀顺利解决了私网路由的学习和撤销中存在的问题,然而因为VPN 地址的冲突在数据转 发过程也将遇到困难。 2、需要在数据报文中增加一个标识,以帮助PE 判断该报文是去往本地的那个VPN。 3、由于MPLS 支持多层标签的嵌套,这个标识可以定义成MPLS 标签的格式,即私网Label。 * (1)公网隧道的建立:1、启动公网IGP 路由协议,PE 之间互相可达,如PE1 学到PE2 的loopback 地 址路由;2、公网启动MPLS, PE 之间建立可达的MPLS 隧道路径,如下图PE1 有到PE2 的MPLS 隧道。 (2)本地VPN 建立:1.PE 上设立本地VPN, 根据用户业务互访需求设置各VPN 的RD,RT 属性;2.将与用户 项链的接口与对应的用户 VPN 进行绑定。 (3)本地私网路由学习:1.PE 上设立本地VPN,将与用户网络相连的接口与VPN 进行绑定,并根据用户组网 需求设置各VPN 的RD、 RT 属性。2.PE 与CE 之间运行路由协议多时例,将用户本地的路由学习到PE 对应VPN 的路由表。 (4)私网路由的传递——本地路由封装:PE 之间建立MP-BGP 邻居,PE2 将本地的私网路由信息进行封装, 根据用户设计封装RD, RT,并分配私网标签,封装后的路由信息传递给MP-BGP 邻居PE1。 (5) 私网路由的传递: 设备接收到MP-BGP 路由信息后,根据RT 信息决定接受到哪个VPN 的私网路由表。 PE (6)私网数据的传递:

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 32 * BGP MPLS VPN 配置思路:BGP MPLS VPN 的配置思路与对BGP MPLS VPN 技术原理的理解一致,分为以下 三个步骤:1.配置公网 隧道;2.配置本地VPN;3.配置MP-BGP。 * 配置公网隧道: ·配置本节点的LSR ID:mpls lsr-id lsr-id ·系统模式下使能MPLS 和MPLS LDP:mpls ·mpls ldp ·接口模式使能MPLS 和MPLS LDP:interface interface-type interface-number ·mpls ·mpls ldp ·配置本地VPN:创建VPN 实例,进入VPN 视图:ip vpn-instance vpn-instance-name ·配置RD 和RT:route-distinguisher route-distinguisher ·vpn-target vpn-target&<1-8> [ both|export-extcommunity|import-extcommunity ] ·配置接口与VPN 实例绑定:interface interface-type interface-number ·ip binding vpn-instance

vpn-instance-name
·配置PE 与CE 之间的路由实例与VPN 绑定,以OSPF 为例: ospf [process-id|router-id router-id|vpn-instance vpn-instance-name] 配置MP-BGP: ·进入BGP-VPNv4 子地址族视图:ipv4-family vpnv4 ·使能对等体交换BGP-VPNv4 路由信息:peer { group-name | ip-address } enable * BGP-MPLS-VPN 配置实例:组网需求:如上图所示,公网上承载了两个VPN 用户,VPN1 和VPN2,VPN1 内 部的用户1 和用户3 需要

能够互通,VPN2 内部的用户2 和用户4 可以互通,但VPN1 和VPN2 的用户之间不能互通,如用户1 不能和 用户2 或者用户4 互通。 ★配置公网隧道分为两步:1.配置公网IGP 路由协议;2.配置使能MPLS 及MPLS LDP。 (1)配置公网隧道步骤一:配置公网IGP 路由协议。1、目标:使所有PE 和P 设备可以互相学到32 位 loopback 地址路由。2、IGP 路由协议可以选择OSPF、ISIS、甚至静态路由等等。3、以OSPF 为例:PE1、P 和PE2 设备之间建立OSPF 邻 居。 PE1: router id 1.1.1.1 ospf 1 area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 100.0.0.1 0.0.0.3 P: router id 1.1.1.3 ospf 1 area 0.0.0.0 network 1.1.1.3 0.0.0.0 network 100.0.0.2 0.0.0.3 network 100.0.0.5 0.0.0.3 PE2: router id 1.1.1.2 ospf 1 area 0.0.0.0 network 1.1.1.2 0.0.0.0 network 100.0.0.6 0.0.0.3 (2)配置公网隧道步骤二:配置使能MPLS 及MPLS LDP。1、目标:所有PE 和P 设备之间建立LDPsession, 建立起到达对端PE 的 LSP 隧道;2、需要在设备全局模式及公网接口上均使能MPLS 及MPLS LDP。 PE1: 系统模式: mpls lsr-id 1.1.1.1 mpls mpls ldp 接口模式: interface Ethernet0/1 mpls mpls ldp P: 系统模式: mpls lsr-id 1.1.1.3

mpls mpls ldp 接口模式: interface Ethernet1/1 mpls mpls ldp 接口模式: interface Ethernet1/0 mpls mpls ldp PE2: 系统模式: mpls lsr-id 1.1.1.2 mpls mpls ldp 接口模式: interface Ethernet0/0 mpls mpls ldp ★配置本地VPN 分三步:1.配置VPN,按用户互访需求配置VPN 的RD 和RT2.配私网接口与VPN 绑定3.配置 PE 和CE 之间路由协议 (3)配置本地VPN 步骤一:配置VPN,按照用户互访需求配置VPN 的RD 和RT:此步配置需要仔细分析用户 互访需求,设计各PE 上每个VPN 的RD 和RT 属性。 PE1: ip vpn-instance vpn1 route-distinguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity ip vpn-instance vpn2 route-distinguisher 100:2 vpn-target 100:2 export-extcommunity vpn-target 100:2 import-extcommunity PE2: ip vpn-instance vpn1 route-distinguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity ip vpn-instance vpn2 route-distinguisher 100:2

vpn-target 100:2 export-extcommunity vpn-target 100:2 import-extcommunity (4)配置本地VPN 步骤二:配置私网接口与VPN 的绑定:1.将与对应用户相连的接口与对应的VPN 进行绑 定;2.对端CE 设备无需 感知VPN 的存在,仅需做普通的接口地址等配置。 PE1: interface Ethernet0/1 ip binding vpn-instance vpn1 ip address 192.168.1.1 255.255.255.252 interface Ethernet0/2 ip binding vpn-instance vpn2 ip address 172.32.1.1 255.255.255.252 PE2: interface Ethernet0/1 ip binding vpn-instance vpn1 ip address 192.168.2.1 255.255.255.252 interface Ethernet0/2 ip binding vpn-instance vpn2 ip address 172.32.2.1 255.255.255.252

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 33 (5)配置本地VPN 步骤三:配置PE 和CE 之间的路由协议: 1、目标:PE 设备能学习到本端相连的用户路由,如PE1 学习到用户1 的路由,并能与用户1 互通; 2、PE 和相连的CE 设备之间运行路由协议,其中PE 设备上的路由协议需要与对应的VPN 进行绑定,也就 是运行路由协议多实例; 3、路由协议可以选择OSPF、ISIS、EBGP、RIP、静态等; 4、本例中以OSPF 为例,且以PE1 和CE1 及CE2 之 间的配置为例: PE1: ospf 11 vpn-instance vpn1 area 0.0.0.0 network 192.168.1.0 0.0.0.3 ospf 12 vpn-instance vpn2 area 0.0.0.0 network 172.32.1.0 0.0.0.3 CE1: ospf 11 area 0.0.0.0 network 192.168.1.0 0.0.0.3 network 192.168.254.1 0.0.0.0 CE2: ospf 12 area 0.0.0.0 network 172.32.1.0 0.0.0.3

network 172.32.254.1 0.0.0.0 ★配置MP-BGP 分为三步: 1.配PE 之间普通BGP 邻居; 2.配PE 间MP-BGP 邻居; 3.配本地VPN 路由与MP-BGP 之间的路由引入引出。 (6)配置MP-BGP 步骤一:1、配置PE 之间普通BGP 邻居目标:PE 之间建立起普通的BGP 邻居关系; 2、 注意配置BGP 建立邻居的地址为PE 的loopback 地址, 此举的目的在于发布的私网路由的下一跳是PE 的 loopback 地址。 PE1: bgp 100 peer 1.1.1.2 as-number 100 peer 1.1.1.2 connect-interface LoopBack0 PE2: bgp 100 peer 1.1.1.1 as-number 100 peer 1.1.1.1 connect-interface LoopBack0 (7) 配置MP-BGP 步骤二: 配置PE 之间MP-BGP 邻居: BGP 邻居只能传递普通的IPv4 路由, 1、 建立起MP-BGP 才能传递BGP MPLS VPN 的私网路由,也就是VPNv4 路由; 2、但建立MP-BGP 邻居的前提是PE 之间已经建立普通的BGP 邻居;3. 建立MP-BGP 邻居的方法 是,进入BGP VPNv4 族,使能对应的BGP 邻居。 PE1: bgp 100 ipv4-family vpnv4 peer 1.1.1.2 enable PE2: bgp 100 ipv4-family vpnv4 peer 1.1.1.1 enable (8)配置MP-BGP 步骤三:配置本地VPN 路由与MP-BGP 之间的路由相互引入: 1、本地的私网路由需要引入BGP,才能通过BGP 传给远端CE;通过BGP 学习到的远端私网路由需要引入本 地PE 与CE 之间的路由 协议,才能传递给本地的CE。2、以PE1 为例,PE2 与之对称不做重复: PE1: bgp 100 ipv4-family vpn-instance vpn1 import-route direct import-route ospf 11 ipv4-family vpn-instance vpn2 import-route direct import-route ospf 12 ospf 11 vpn-instance vpn1 import-route bgp # ospf 12 vpn-instance vpn2 import-route bgp

* BGP MPLS VPN 的故障排查的思路与BGP MPLS VPN 的原理是统一的,当BGP MPLS VPN 网络出现两个私网 用户之间无法互通,可 按照下面思路进行排查:1、排查公网隧道是否存在;2、排查本地VPN 建立是否符合要求;3、排查MP-BGP 私网路由传递是否正确。 (1)公网隧道故障排查分为以下三步:1、检查公网路由学习是否正确;2、检查公网设备之间的MPLS LDP 邻居关系是否正常;3、 检查到达对端PE 的loopback 地址的公网隧道是否存在。 ·公网隧道故障排查步骤一:检查公网路由学习是否正确: 1、根据所选择的公网IGP 路由协议,检查公网设备之间的IGP 路由邻居关系是否正确; 2、在PE 上检查是否存在到达对端PE 的loopback 地址的32 位掩码的明细路由,以PE1 为例: ·公网隧道故障排查步骤二:检查公网设备之间的MPLS LDP 邻居关系是否正常:1、LDP 邻居建立完成后, 正确的状态应该处于 Operational; 如果不能到达Operational 2、 (运行的) 状态, 则应进一步确认LDP 配置, 或深入排查LDP 邻 居建立过程故障所在。 ·公网隧道故障排查步骤三:检查公网隧道是否存在: 1、如果公网IGP 和LDP 均正常,PE 之间的应建立 起到达对方loopback 地 址的MPLS 隧道; 2、隧道是单向的,需要在每台PE 上分别查询: (2)排查本地VPN 故障分两步1、检查确认对应VPN 私网路由邻居建立是否正常;2、检查PE 与本地CE 之 间的路由学习是否正确; ·检查确认对应VPN 的私网路由邻居建立是否正常: 1、首先在PE 上查看与对应用户相连的接口状态应该 处于UP 并与对应的VPN 实例绑定; 2、按照本例如果PE 与CE 之间采用OSPF 路由协议,可查看对应的OSPF 实例路由邻居是否建 立成功:

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 34 · 检查PE 与本地CE 之间的路由学习是否正确: 在PE 上检查是否学习到本地CE 及用户的路由信息; 2、 1、 无论PE 与CE 之间采 用何种路由协议,重点在于PE 能学习到本地用户的路由信息,以PE1 的VPN1 为例,PE1 可以学习到用户1 的路由,如下: (3)排查MP-BGP 私网路由传递故障分为以下三步: 1、检查PE 之间MP-BGP 邻居是否建立成功; 2、检 查PE 是否学习到远端用 户的私网路由; 3、检查CE 是否学习到远端用户的私网路由; · 检查PE 之间MP-BGP 邻居是否建立成功: 建立MP-BGP 邻居的前提是PE 之间首先建立普通的BGP 邻居; 1、 2、如果MP-BGP 邻居未能正常建立,检查对应的MP-BGP 配置是否正确。 ·检查PE 是否学习到远端用户的私网路由: 1、在PE 上检查是否学习到本地CE 及用户的路由信息; 2、 PE 之间建立起MP-BGP 邻居后具备了互相传递私网路由的能力; 3、但此时需要将本地的私网路由引入BGP,BGP 才能将这些引入 的路由传递给对端,结 果可以在PE 上检查到对端用户的私网路由。 · 检查CE 是否学习到远端用户的私网路由: PE 通过BGP 学习到远端用户的私网路由后, 1、 需要将该BGP 路 由引入到PE 与CE 之 间的路由协议,CE 才能学习到远端用户的私网路由; 2、以CE1 为例,可以查看到用户3 的路由信息: * BGP MPLS VPN 技术除了被用于运营商外,目前更广泛的应用与企业网用户,用户企业网用户不同业务类

型直接的访问和控制, 如电力、政府等。企业网组网的广域网结构通常为层次结构,分为核心层(高速数据交换)、汇聚层(路 由汇聚及流量收敛)、接 入层(工作组接入和访问控制),通过路由的规划和设计,各个层次的设备性能要求由高到低分布。 * BGP MPLS VPN 基本组网缺陷: 1、用户局域网从各个层次接入广域网,每个局域网中拥有不同业务,应用BGP MPLS VPN 时广域网从接入 层到核心层都是PE 设备; 2、作为PE 设备将存在以下两个共同的要求:1.必须学习全网所有PE 设备loopback 接口地址的明细路由, 并建立到达所有PE 的 LSP 隧道;2.私网路由从任何一台PE 发布后,不能在任何其他PE 设备上进行汇聚,核心层PE 与接入层PE 私网路由相当。 3、当用户网络规模较大时,接入层的低端设备性能不能满足BGP MPLS VPN 网络性能要求。 * 普通MPLS 组网: MCE 组网 * MCE 技术实现:1、MCE 即Muti-VRF CE(多实例CE)。 2、MCE 设备只需要支持多VRF 技术,无需支持MPLS 技术和MP-BGP 技术,通过多VRF 技术,MCE 可以接入 多个VPN 用户,并根据用 户的RT 设计保证本地VPN 的互访控制。 3、PE 和MCE 之间为MCE 接入的每一个VPN 建立一个独立的逻辑通道,每个逻辑接口与各自的VPN 绑定, PE 上看类似每个逻辑接口 下连接了一台CE 设备。4、MCE 设备通过多VRF 技术将各个VPN 独立开来。 * MCE 技术配置:

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 35 PE 设备配置PE1: MCE 设备配置PE2: 接 口 配 置 interface Ethernet0/1.1 ip binding vpn-instance vpn1 ip address 192.168.1.1 255.255.255.252 interface Ethernet0/1.2 ip binding vpn-instance vpn2 ip address 172.32.1.1 255.255.255.252 接 口 配 置 interface Ethernet0/1.1 ip binding vpn-instance vpn1 ip address 192.168.1.2 255.255.255.252 interface Ethernet0/0.2 ip binding vpn-instance vpn2

ip address 172.32.1.2 255.255.255.252 路 由 配 置 ospf 11 vpn-instance vpn1 area 0.0.0.0 network 192.168.1.0 0.0.0.3 ospf 12 vpn-instance vpn2 area 0.0.0.0 network 172.32.1.0 0.0.0.3 路 由 配 置 ospf 11 vpn-instance vpn1 area 0.0.0.0 network 192.168.1.0 0.0.0.3 network 192.168.254.0 0.0.0.255 ospf 12 vpn-instance vpn2 area 0.0.0.0 network 172.32.1.0 0.0.0.3 network 172.32.254.0 0.0.0.255 * MCE 技术优劣分析: MCE 的技术优势: MCE 的技术劣势: 1、作为MCE 的设备功能要求低,仅需支持多VRF,无需支持MP-BGP 及MPLS 等PE 设备需要支持的技术; 2、原网络上的设备无需新增任何技术,天然支持; 3、作为MCE 的设备性能要求低,公司网路由数量均得到控制, MCE 无需学习公网路由,PE 设备可将各个VPN 的私网路由进行聚 合再发送给MCE 设备。 1、MCE 设备与PE 设备之间需要实现逻辑多通道,非GE 或FR 等 的可逻辑多通道的接口可能无法支持; 2、当MCE 设备接入的VPN 的数量较多时,PE 和MCE 设备之间的 逻辑通道数量增加,需分配较多的私网互联地址,切配置维护均 烦杂; 3、MCE 设备原属于公网边缘,可能公网的网关设备需要 对其进行管理,需要在PE 和CE 之间开设公网管理通道。 * HOPE 技术实现:HOPE( Hiberarchy of PE )即分层PE。 1、HOPE 技术对原BGP MPLS VPN 技术中的PE 角色进行了改进,分成了SPE(Underlayer PE 下层)和UPE (Superstratum PE 上层)。 2、为减轻网络边缘的UPE 设备的负担,SPE 将只向UPE 发送缺省的私网路由,缺省路由的下一跳为SPE。 3、私网报文在UPE 上根据缺省路由到达SPE 设备,在SPE 上重新查询私网路由表转发。 * (1)HOPE SPE 对UPE 的路由发布:SPE 将私网路由进行聚合再发布给UPE。 (2)HOPE UPE 的报文转发:从UPE 发送出来的私网报文,查询路由下一跳,隧道的终点就是SPE 设备。

(3)HOPE SPE 的报文转发:私网报文在SPE 重新查询私网路由表,进入另一公网隧道。 * HOPE 技术配置: SPE 配置: (Lp:1.1.1.1/32) UPE 配置: (Lp:1.1.1.2/32) [SPE] bgp 100 [SPE-bgp] ipv4-family vpnv4 [SPE-bgp-af-vpnv4] peer 1.1.1.2 upe [SPE-bgp-af-vpnv4] peer 1.1.1.2 default-originate vpn-instance vpna [SPE-bgp-af-vpnv4] quit [UPE] bgp 100 [UPE-bgp] peer 1.1.1.1 as-number 100 [UPE-bgp] peer 1.1.1.1 connect-interface loopback 1 [UPE-bgp] ipv4-family vpnv4 [UPE-bgp-af-vpnv4] peer 1.1.1.1 enable [UPE-bgp-af-vpnv4] quit [UPE-bgp] quit

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 36 * HOPE 技术优劣势: HOPE 的优势: HOPE 的劣势: 1.作为UPE 设备每个VPN 仅需学习一条缺省路由,且因为私网路 由的下一跳是SPE,所以公网上SPE 也只需学习SPE 的loopback 地址,性能压力大幅度降低; 2.网络结构不变,公网和私网分界不变,设备管理无需特殊部署; 3.SPE 和UPE 之间无需建立多个逻辑通道,配置维护简单。 1.SPE 设备需要支持HOPE 技术,向UPE 设备发布下一跳为自己的 私网缺省路由,这不是MP-BGP 技术本身可实现的部分,目前业 界只有少数厂家可以支持该技术; 2.UPE 设备只能收到缺省路由,其VPN 的互访控制由SPE 上对应 的VPN 来决定。 * BGP MPLS VPN 技术扩展:BGP MPLS VPN 技术除了扩展了MCE 和HOPE 两个技术外,还有很多相关的技术, 基本结构如下: * 网络安全威胁的来源: 1、按照网络安全威胁存在的位置来划分:1.来自于网络内部的安全威胁;2.来自于网络外部的安全威胁; 3.来自于数据传输过程 中的安全威胁。 2、 从网络层次、 业务或应用角度来分析: 1.来自于设备自身物理上安全威胁; 2.来自于网络层的安全威胁; 3.来自于应用层的安 全威胁;4.来自于病毒的安全威胁;5.来自于安全制度漏洞带来的威胁。 * 网络安全关注的内容:1.有效的访问控制;2.有效识别合法的和非法的用户;3.有效的防伪手段,重要 的数据重点保护;4.内部 网络的隐蔽性;5.外网攻击的防护;6.内外网病毒防范;7.行之有效的安全管理手段。 * 访问控制:1、基于数据流的访问控制:根据数据包信息进行数据分类;不同的数据流采用不同的策略。

2、基于用户的访问控制:对于接入服务用户,设定特定的过滤属性。 * 用户识别:1、对接入用户的认证:内网接入用户的认证和授权;远程接入用户的认证和授权。 2、网络设备本身的认证:访问设备时的身份认证授权;路由信息的认证。 * 数据加密和防伪:1、数据加密:利用公网传输数据不可避免地面临数据窃听的问题;传输之前进行数据 加密,保证只有与之通 信的对端能够解密。2、数据防伪:报文在传输过程中,有可能被攻击者截获、篡改;接收端需要进行数据 完整性鉴别。 * 内部网络的隐蔽性、攻击防护和病毒防范:1、内部网络的隐蔽性:隐藏私网内部地址,有效的保护内部 主机;允许内网用户向 外发起连接,禁止外网用户对内网发起连接。2、攻击防护:对外网各类攻击的有效防护。3、病毒防范: 对于外网病毒传入的防范; 对于内网病毒发作的抑止。 * 安全管理:1、保证重要的网络设备处于安全的运行环境,防止人为破坏;2、保护好访问口令、密码等 重要的安全信息;3、在 网络上实现报文审计和过滤,提供网络运行的必要信息;4、制定完善的管理制度,并确保制度得到良好的 执行。 * 安全网络需要具备的条件:1、能够确保网络内部用户的安全接入,控制内部用户的访问权限;2、能够 防范来自外部的攻击等安 全威胁;3、能够确保传输过程中的数据安全;4、整个网络拥有完善的安全管理制度。 * 数据传输的安全:出差员工通过当地ISP 接入到Internet,进而通过VPN 接入公司总部;办事处及分支 机构通过隧道实现与总 部的互联,所有的数据均被加密传送。 * 完善的安全管理制度要满足以下条件:1、对于日常工作中遇到的各个方面的安全相关内容,事无巨细, 均设定明确的安全要求; 2、对于遵守和违反安全制度的行为有着奖惩制度;3、安全制度本身能够不断更新完善。 * 为什么要进行局域网的隔离:1、如何确保统一局域网内各业务部门的相对独立;2、如何确保上网用户 之间的互不干扰。 * 局域网的业务隔离最常用的方式是使用VLAN 隔离。VLAN 的扩展技术也是常用手段,如:PVLAN、Super VLAN、混合端口。 * 为什么要进行广域网业务隔离:当业务数据通过公有广域网传递的时候,如何保障其独立性。 * 广域网业务隔离技术——物理隔离:为每个部门或每种业务配置单独的物理线路。 * 广域网业务隔离技术——逻辑隔离,广域网的业务隔离可以采用VPN 技术来实现,即为每个部门或每种 业务配置单独的隧道。隧 道种类包括:1.二层隧道技术主要有VPDN;2.三层隧道技术主要有GRE 和IPSec;3.全网状隧道主要有 MPLS-VPN。 * 为什么要进行访问控制:需要严格限制每一类用户的相应权限。 * 访问控制的实现手段:1、通常情况下使用ACL 来实现访问控制:2 层流分类、3/4 层流分类。 2、通常情况下在以下地方部署ACL:用户接入网络的入口、区域的交汇处。 * 包过滤防火墙技术:检查项:IP 包的源地址、IP 包的目的地址、TCP/UDP 源端口。 状态检测防火墙技术:检查项:IP 包的源、目的地址、端口;TCP 会话的连接状态;上下文信息。 * 状态检测防火墙功能常用配置命令: ·启动防火墙置:[Router] firewall enable { all | slot

slot-number }
·创建一个ASPF 策略:[Router] aspf-policy aspf-policy-number ·在一个接口的指定方向上应用ASPF 策略:[Router-Ethernet0] firewall aspf aspf-policy-number

{inbound|outbound} 状态检测防火墙功能常用维护命令: ·显示一个特定ASPF 策略:[Router] display aspf policy

aspf-policy-number
·显示ASPF 的会话信息:[Router] display aspf session [ verbose ] * 状态检测防火墙功能配置示例:在路由器上配置一个ASPF 策略,检测通过防火墙的FTP 和HTTP 流量。 要求:如果报文是内部网 络用户发起的FTP 和HTTP 连接的返回报文,则允许其通过防火墙进入内部网络;其他报文被禁止。 [Router] firewall enable [Router] acl number 3111 [Router-acl-adv-3111] rule deny ip [Router] aspf-policy 1 [Router-aspf-policy-1] detect ftp aging-time 3000 [Router-aspf-policy-1] detect http aging-time 3000 [Router-Serial1/0] firewall aspf 1 outbound [Router-Serial1/0] firewall packet-filter 3111 inbound * 用户有着多种接入认证授权方式:本地认证授权、RADIUS 认证授权、CA 认证授权。 登录设备有着多种接入认证授权方式:本地认证授权、RADIUS 认证授权。设备间的协议认证大多采用本地 认证。 * 保证数据机密性和完整性:1、确保数据的机密性,即防止数据被未获得授权的查看者理解:对称密钥加 密和非对称密钥加密。2、 确保数据的完整性,即发觉数据是否被篡改:摘要算法和数字签名。 * 使用NAT 进行安全防御:1、实现内部主机的隐藏;2、有效阻断内外网的路由,禁止外部主机直接访问 内部网络。 * 应用层攻击及其防御:1、应用层攻击大多是利用软件的漏洞进行攻击:SQL 注入攻击。2、应用层的攻 击防御一般依靠部署IPS/UTM (入侵防御系统/统一威胁安全管理)来完成。3、根据攻击的特征在IPS/UTM 上开启相应的特征库进行检 测。4、根据需要对于攻 击报文采取阻断、告警、记录等动作。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 37 * 畸形报文攻击及其防御: 1、典型畸形报文攻击:TearDorp 攻击、Ping of death 攻击、畸形TCP 报文 攻击。 2、畸形报文攻击一般有较为明显的特征,可根据特征进行分辨,对于攻击进行防范: ·防范ping of death 攻击:检测Ping 请 求报文的长度是否超过65535 字节,若超过,则直接丢弃; ·防范Tear Drop 攻击:缓存分片信息,每一 个源、目的IP、报 文ID 相同的构成一组,在缓存的组数达到最大时,直接丢弃后续分片,同时根据缓存的分片信息,分析IP 报文分段的合法性, 直接丢弃不合法的IP 报文。 * DoS 攻击防御:1、通过Syn Cookie 机制防范Syn Flood 攻击。 2、通过限制单个源地址的每秒连接数来防范Connection Flood 攻击。 3、通过流量阈值模型、反向认证等方式来防范UDP Flood、ICMP Flood、HTTPGet Flood、DNS Flood 等DDoS 攻击。

4、通过攻击特征规则检测可发现常见DoS 攻击工具的控制报文,从而切断DoS 攻击工具的控制通道。 * 病毒防范:针对病毒传播手段多的情况,病毒防范要内外兼顾: 1、对外:网络上使用IPS 等产品在网络出口进行病毒防范,阻止病毒报文的传入内网。 2、对内:在各个主机上及时更新防病毒软件和病毒库,定期对主机进行病毒查杀,防止本机感染病毒,及 时检查系统安全补丁情 况,避免存在漏洞为病毒所利用。 * 设备安全加固概述:1、现有网络上设备的安全威胁包括:1.对设备登录权限的安全威胁;2.对设备管理 权限的安全威胁;3.对 设备本身系统的攻击;4.对设备资源(如MAC 表,ARP 表)的安全威胁。 2、网络设备是整个网络的基础,如果网络设备的安全无法保障,网络安全更无从谈起。 设备登录权限安全加固常用手段: 设备管理权限安全加固常用手段: 设备登录用户权限分级,加强口令安全将设备纳入网管,确保读写团体字的安全,开启Trap 功能 [Router] local-user h3c [Router-luser-h3c] password cipher XXXX [Router-luser-h3c] service-type telnet level 1 [Router] user-interface con 0 [Router-ui-con0] set authentication password cipher XXXX [Router-ui-con0] authentication-mode password [Router] user-interface vty 0 4 [Router-ui-vty0-4] authentication-mode scheme [Router] snmp-agent [Router] snmp-agent sys-info version v2c [Router] snmp-agent community write XXX [Router] snmp-agent community read XXX [Router] snmp-agent trap enable [Router] snmp-agent target-host trap address udp-domain 1.1.1.1 params securityname XXX [Router] snmp-agent trap source Loopback 0 设备管理安全加固常用手段: 限制能够管理设备的IP 地址,包括网管和远程登录。 [Router] acl number 2001 [Router-acl2001] rule 1 permit source 1.1.1.0 0.0.0.255 [Router] snmp-agent [Router] snmp-agent community write XXX acl 2001 [Router] snmp-agent community read XXX acl 2001 [Router] user-interface vty 0 4 [Router-ui-vty0-4] acl 2001 inbound * 设备本身系统加固常用手段: ·对用户操作日志进行记录,缺乏存贮介质的采用日志主机: [Router] info-center loghost source Loopback0 [Router] info-center loghost 1.1.1.1 ·关闭不必要的服务,比如FTP:[Router] undo ftp server ·关闭空闲端口:[Router] Interface GigabitEthernet1/1/1 [Router-GigabitEthernet1/1/1] shutdown * 设备安全加固常用手段:根据网络情况,可考虑增加如下安全加固手段:1.进行MAC 地址、IP 地址和端 口绑定;2.部署防ARP 攻击解决方案; 3.部署防异常DHCP 服务器接入解决方案; 4.在路由协议上增加邻居认证配置; 5.在VRRP 协

议上增加邻居认证配置。 * 为什么要进行安全管理:单单靠安全设备或者安全配置是不能构建安全的网络,需要相应的管理手段来 配合工作:1.用户的应用 需求与时俱进;2.系统漏洞层出不穷;3.网络攻击手段日新月异;4.安全攻击事件发生频繁。 * 安全管理的内容:1.网络上用户的行为;2.网络上发生的各种安全事件;3.网络上各个业务流量情况; 4.安全管理制度遵守情况。 * 用户行为管理的内容:1.用户行为管理需要关注用户在网络上的一切行为;2.用户行为管理需要关注和 用户相关的信息,如NAT 转换记录;3.所有的记录数据只有和用户联系起来才有意义。 * 安全事件管理的内容:1、安全事件管理关注的内容:网络上发生的安全事件、网络上发生的系统事件、 网络上发生的应用事件。 2、安全管理要对网络上发生的各类事件进行综合分析。 * 流量管理的内容:1、对网络上的流量情况进行管理;2、需要对网络上的每一种业务的流量进行清晰的 记录和分析。 * 安全制度管理的内容:安全级别定义管理、密码管理、用户权限管理、安全问题处理流程管理、安全奖 惩制度管理…… * 安全制度管理的要求:1、对于日常工作中遇到的各个方面的安全相关内容,事无巨细,均设定明确的安 全要求;2、对于遵守安 全制度,主动上报制度漏洞的行为要加以表彰;3、对于恶意违反安全规定的行为,要严加惩处,务必使人 不敢轻易违反安全规定 安全制度本身能够不断更新完善。 * 基本模拟电话系统组成: (PBX:private branch exchange专用分组交换机,程控交换机) 话机:1.手柄:包括听筒、话筒和混合线圈;2.拨号器:用来输入想要拨叫号码的装置;3.振铃:提醒用 户有呼叫进入的装置;4. 拿起手柄,叉簧弹起,电话内部回路闭合;5.放下手柄,叉簧被押下,电话内部开路。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 38 * 本地环路:1、连接用户与PBX 的一对线路称作用户环路。2、用户环路由Tip 和Ring 组成,Tip 接地, Ring 接PBX 的负极。 * ·PBX 与话机连接,为用户操作话机以及话机振铃提供电源支持,也与其它PBX 或是其它网络设备连接 ·PBX 主要包括:电池、电流传感器(检测摘、挂机状态)、拨号寄存器、拨号音发生器、振铃发生器和 混合线圈组成 ·中继线用于连接PBX 与PBX 或PBX 与外部电话网络的线路。中继线可以有多条且是共享的。 ·中继线有两种,两线式和四线式。两线式用于短途连接,四线式用于长途连接。 * 模拟语音接口: (下文“语音接口”详细解释) 1、FXS(Foreign Exchange Subscriber):FXS 接口指向用户回路,传递来自本地电话中心局的POTS 服务, FXS 接口提供拨号音、 电流、镇铃电压。 2、FXO(Foreign eXchange Office) : FXO 接口指向电话局,接收来自电话中心局的POTS 服务,FXO 接口 提供摘、挂机指示。(在 实际连接中都是FXS-FXO 一对一连接) 3、E&M 接口是一种模拟接口,其信息与接续信令是分开的。分为二线E&M 和四线E&M 两种。E&M 一般用在 PBX 中继线接口。

* 呼叫流程: 1、起初所有的电话机都处于挂机状态,而且都没有电流流过各自的用户回路; 2、1001(话机号码)拿起话机手柄,话机处于摘机状态。叉簧弹起(电话内部回路闭合),用户回路产生 电流产生的电流向PBX A 预示1001 话机)。PBX_想打电话。 3、PBX_A 查找一路未占用的自动记录器来准备存储1001 将要拨叫的电话号码 4、PBX_A 向1001 的用户回路发送拨号音信号。 5、1001 听到拨号音,开始拨叫号码2002。拨叫的号码将通过用户回路发送给PBX_A 的自动记录器。 6、被叫号码(2002)被存入PBX_A 中的自动记录器。 7、PBX_A 查找内部路由表,确定被叫号码“2002”属于PBX_B 下的一个号码,必须有PBX_B 的支持才能建 立呼叫。 8、PBX_A 选取第一条可用的中继线,并将在这次呼叫过程中始终占用这条中继线路。 9、PBX_A 向PBX_B 发送请求服务,如果PBX_B 有空闲,将会响应请求。然后PBX_A 将被叫号码2002 转发 至PBX_B。 10、PBX_B 识别出2002 属于接入它的其中一路用户回路。 11、PBX_B 通过这路用户回路向2002 的话机施加振铃电压来让该话机振铃。 12、被叫用户拿起话机手柄,其用户回路产生电流,同时闭合了此次电话呼叫的环路。 13、主叫和被叫可以进行正常通话,他们的话音将以电信号的方式在整条呼叫环路上传递。 * 信令分类: 地址信令是电话系统用来直接呼叫或是路由呼叫目的号码的,可以看作是在一个语音网络中标识每部电话 机的电话编号系统。 信息信令是用来提示用户回路或是电话用户当前的呼叫进程的。 监管信令提供用户回路或者中继线路的状态信息。 * 地址信令: 1、拨号盘脉冲信令:号码以脉冲的形式被传入用户回路中,一般用一个旋转式拨号盘拨号来实现的。(依 据脉冲时间长短区别) 2、双音多频(DTMF)信令:用音频信号向PBX 传送被叫号码,大多数情况是由一个按键式电话来实现的。 每个按键对应一对音频: 一个低频率音频和一个高频率音频,同一行按键分别有不同的高频率音频,同一列按键分别有不同的低频 率音频。 * 信息信令是由PBX 或者语音交换机来通告用户呼叫过程中的进程的。信息信令都是特殊的、准确的可听 到的声音,而且是很有节 奏的发出来的。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 39 信令名称节奏描述 拨号音 (Dial Tone) 连续不间断的音频 拨号音是由PBX 或是CO 产生的,并且传入用户回路。用来通知用户PBX 正准备接受他将要拨出的号码。当您听到拨号音,就可以开始拨叫号码了。 回铃音 (Ring Back Tone)

响1 秒,间断4 秒的音频 回铃音是由PBX 或是语音交换机产生的,用来通知用户呼叫正在进行,而 且被叫用户那端的电话机正在振铃。在对方拿起电话手柄之前,您将会一 直听到这种回铃音。 忙音 (Busy Signal) 响0.35 秒,间断0.35 秒的音频 忙音是由PBX 或是语音交换机产生的,用来通知用户无法完成通话连接, 因为他所拨打的对方现在正在通话中。 快速忙音 (Fast Busy) 响0.25 秒,间断0.25 秒的音频 快速忙音用来通知用户无法完成呼叫连接,因为所有的中继线路均在使用 中,没有可用的路径来连接到远端的CO。 振铃音 (Ringing) 响1 秒,间断4 秒的音频 远端的PBX 或是语音交换机向被叫用户的振铃施加一定的电压,来让他的 电话振铃,并且一直响到他摘机接听电话。 * 监管信令: 信令名称描述 摘机 用户用户拿起电话手柄之前,用户回路是处于空闲状态。当用户拿起电话手柄准备打电话时,话机内部回 路的开关闭 合,电流流过该回路。PBX 检测到这条用户回路中有电流流过,发送拨号音作为响应,这也就告诉用户可 以拨号了。 铃流 被叫测PBX 根据被叫号码找到对应的线路,向被叫测电话机提供正弦波或方波的振铃电压,称之为铃流, 被叫测电话 振铃检测器检测到铃流发起振铃,提示被叫用户有呼叫进来。 挂机当用户挂掉电话机,话机内部回路的开关打开,电路又回到了原来的空闲状态。 * 数字信号与模拟信号: 1、模拟语音信号是一种有一定频率和振幅的电信号,信号的频率度量话音的强度,信号的振幅度量话音的 响度。 2、数字语音信号是由模拟波形信号转化而来的一种简单的二进制码数据流。 3、模拟语音传输得越远,就越可能产生足以让其变得无法识别的噪音和失真。 4、数字语音的话音质量与距离长短无关,数字线路是更可靠,且低噪音、低失真率的线路。 * 模数转换简介: 采样:1.Nyquist 定理规定采样速率应该是语音最高频率(4000 Hz)的两倍。因此对模拟波形应进行每秒 8000 次的采样。 2.模拟信号经这种方法调制后得来的这些信号叫作脉幅调制(PAM)信号。 编码:1.波形编码器:采样后把脉幅调制(PAM)信号的振幅表示为预先定义好的二进制码。每一个脉幅调 制(PAM)信号用一个二 进制码来表示。

2.声音合成器:对比预先定义好、分析过的话音模型来采样将进行编码的话音并收集这段语音信息。要收 集的信息包括声域、 振幅、声调以及嗓音或杂音信息,并采用多路复用方式将这些参数在数字线路上传输。解码器根据收到的 参数来还原声音。 ·主要编码: 模型ITU 标准编码方法名称数据位速率(kbps) 描述 G.711 脉冲编码调制(PCM) 64 能够提供适合在一个数据位速率为64kbps 的数字PSTN 网络中,传 波形编输最高质量语音的保证。PCM提供无压缩(无损)传输功能。 码器 G.726 自适应微分脉冲编码 调制(ADCPM) 16/24/32/40 提供适合在较低数据位速率(16,24, 32 或40 kbps)时,传输 中高级质量语音的保证。 G.728 码激励线性预测 (CELP) 16 描述了CELP 语音压缩,要求只能在16kbps 的带宽中使用。 G.729 自适应码激励线性预 测(ACELP) 8 可以把语音压缩至8 kbps,并且能够提供与32 kbps 的ADPCM 音质 相当的语音流。 混合编 码器 G.723.1 H.323 5.3/6.3 隶属于H.323 协议族标准。拥有两种数据位速率: 5.3 和6.3 kbps。 * 数字信号传输: 【模拟电话】---【数字PBX】-----数字中继线路-----【数字PBX】---【模拟电话】 1、采用PCM 将模拟语音转换成数字语音;2、将多路数字语音和信号组合成一条数据流;3、通过数字中继 传输数据流;4、主要有 两种数字中继线路:T1 和E1,T1 主要在北美和日本使用,E1 主要在欧洲和中国使用。 ·T1/E1 接口:E1、T1 数字语音中继接口用于PBX 主干,E1 一般是RJ45 连接头,T1 一般是RJ45 接头。 * T1:1、8bit 组成一个时隙(DS),由24 个时隙组成了一个帧, T1 数据帧是多组集合到一个超帧(SF) 里。一个超帧包含有12 个T1 数据帧。2、T1 线路速率计算:{[(每秒8000 次的采样×每次采样后量化的8 比特=64000 bps)×每 个数据帧的24 个时隙 =1536000 bps]+8000 bps 的framing bits}=1544000bps。(时隙用于间隔不同帧) * E1:1、 是使用TDM 技术的一种传输技术, E1 8bit 组成一个时隙 (TS) 由32 个时隙组成了一个帧 , (F) ,16 个帧组成一个复帧(MF)。 2、 线路速率计算: E1 [(每秒8000 次的采样×每次采样后量化的8 比特=64000 bps)×每个数据帧的32 个 时隙]=2048000bps。

* 数字信令概述:1、与模拟信令用专用路径或线路来传输信令不同,数字信令是承载在语音信道或时隙上 的。 2、根据信令所走路径的不同分成两种类型的数字信令: ·随路信令:或叫抢位信令,其抢占了时隙中的最低有效位来承载监管信令信息,用于监控T1 或E1 数字 中继线路的状态(包括闲 置状态和繁忙状态)。T1 和E1 帧用来传输信令的位是不同的。 ·共路信令:基于信令协议的报文。共路信令被承载于单独的、专有的信令信道(D 信道)上,并且是与 流量信道(B 信道)是分 离的。CCS 信令由T1 帧的时隙24 或E1 帧的时隙16 传输。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 40 * VoIP(Voice over IP)是基于IP 分组交换网络,通过对传统的模拟语音信号进行数字化、压缩、打包, 封装成帧等一系列处 理,使得语音业务可以通过IP 网进行承载。广义上讲,VoIP 是指在数据网络上承载数据、语音、传真和 图像等多媒体业务,而 在狭义上即是指在IP 上传送语音业务。我们日常所说的IP 电话就是VoIP 的一项典型应用。 * ·传统的PSTN 网络:1、PSTN 网络:由电信部门铺设专用线缆;企业用户租用要向其交纳很高的费用。 2、PSTN 网络是电路交换 交换网络,每一路电话独享带宽。但现在其核心网络也都是数字传输。 ·VoIP 网络:1、长途线路接入IP 网络,省去租用电信PSTN 网络的费用。2、与正常业务数据共用线路, 长途语音信号被封装 成IP 数据包在Internet 上传输。 * 语音接口: 1、FXS 接口:FXS(Foreign Exchange Station)接口使用标准的RJ-11 接口,通过电话线直接与普通电 话机、传真机等设备连 接,通过Tip 和Ring 线的电平变化进行信令交互,提供振铃、电压和拨号音。 2、FXO 接口:FXO(Foreign Exchange Office)即二线环路中继,FXO 接口使用RJ-11 接口,通过电话线 将本地呼叫连接到PSTN (Public Switched Telephony network,公共交换电话网)中心局或小型用户交换机(PBX)。同样也通 过Tip 和Ring 线的电 平变化进行信令交互。FXO 端口的设备只能与有FXS 端口的设备相互连接。 3、E&M 接口:E&M(Ear & Mouth,或recEive & transMit),PBX 在M 线上输出信号(M 即Mouth,由PBX 发出),接收E 线上 的信号(E 即Ear,由PBX 收到)。因此,从带有语音功能的路由器看来,路由器是接收PBX 的M 信号,向 PBX 发送E 信号。 E&M 接口使用RJ-48 电话线,通常用来连接PBX。E&M 接口的设备只能与有E&M 接口的设备相互连接。 E&M 接口提供挂机/摘机信号,并使产生的干扰最小。因为E&M 接口不提供拨号音,故使用三种信令技术中 的一个启动拨号,这些 信令技术是立即启动(immediate)、延时启动(delay)、闪断启动(wink)。 * VoIP 信令简介: * VoIP 主要是一种软件解决方案,但需要在路由器上加装模块化语音插卡来支持。VoIP 主要是一种软件 解决方案,但需要在路由 器上加装模块化语音插卡来支持。在实际VoIP 组网中,还可能需要用到GateKeeper(网守),由它来完成

路由和访问控制等功能。 * 语音模/数信号转换:1、电话机将语音转化为模拟信号发送给语音网关。 2、语音网关首先将模拟信号转换为数字信号,再将数字信号封装成IP 包发送到IP 网络上。 3、接收端将接收到的IP 包解封装,去除其中的数字语音信号,并将数字语音信号转换成模拟语音信号发 送给接收端话机。 * 封装IP 语音包:【IP:20】【UDP:8】【RTP:12】【数字化语音:长度与编码方式有关】(UDP 数据 到达具无序性,所以采用RTP) ·数字化语音长度(字节)=编解码带宽(bit/s) ×打包周期(一般为20ms)/8 ·净载荷所占百分比=数字化语音长度/(数字化语音长度+20+8+12) * 语音实体:1、POTS(Plain Old Telephone Service)语音实体,指普通电话业务,对应本地电话(或 PSTN)侧。POTS 语音实 体配置是在语音网关的语音用户线与本地电话设备之间建立联系。 2、VoIP 语音实体,是将电话号码与IP 地址进行对应,和POTS 语音实体相比,VoIP 语音实体对应IP 侧。 * VoIP 基本呼叫过程: * 语音质量测量标准:1、主观测量方法: ·语音质量使用平均意见分MOS(Mean Opinion Score )来度 量。·遵循的标准建议: ITU-T P.800。3.依据许多收听者的感受给出的一个主观的度量数据。 2、客观测量方法: ·ITU-T P.861,PSQM,分值范围为0 到6.5,数值越小分值越高。收费电话质量通常 在1.29 以下,商业音频 质量则在1.30~1.59; ·ITU-T P.862,PESQ,分值是从-1 到4.5,数值越大分值越高。3.8 以上代表收 费电话质量,商业音频质 量在3.30~3.79。 MOS 收听质量收听状态 5 4 3 2 1 Excellent 最佳 Good 好(4.5~4.0 =可收费电信级) Fair 中级(4.0~3.5 =可通话通信级) Poor 较差(3.5~2.5 =可建立连接级) Bad 差 Complete relaxation 放松地听 Attention necessary 注意地听 Moderate effort required 努力地听 Considerable effort required 费劲地听 No meaning understood 听不明白 * 影响语音质量的主要因素: ·语音质量三个方面:1、清晰度(Clarity):描述了语音信号保真度,是否容易被理解,内容明白,畸 变少。2、端到端延迟(End-to-End Delay):语音信号从讲话者传送到收听者所花费的时间。3、回声(Echo):声音从讲话者处返回到讲话 者耳朵里的时间。 ·影响语音质量的主要因素:1、编解码类型导致的语音质量问题。2、IP 网络导致的语音质量问题。3、

电话系统固有问题。

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 41 * 语音编码质量:1、除了PCM 外,其它编码方式都采用了压缩算法,不过压缩细节上所有不同。2、压缩 就意味着信息丢失,这必 然影响到最后语音的完整复原。 编解码类型位率(kbps) 编码延迟质量(MOS) G.711 PCM 64 <1ms 4.2 G.726 ADPCM 32 <1ms 4.0 G.728 CELP 16 2 ms 4.0 GSM RPE-LTP 13.2 2ms 3.7 G.729 CELP 8 5ms 4.0 G.723.1 CELP 6.4 7.5 3.8 * 回声:1、回声是由于二、四线转换时阻抗不匹配导致,是传统语音固有问题,但这种回声的时间比较短, 基本都<32ms,感觉不 到。2、回声可分为讲话回声和收听回声两种。3、在VoIP 网络中,回声在IP 网络上被放大了,一般而言 是和延迟有着密切关系。 * 延迟、抖动和丢包: ·延迟:1.处理延迟:在VoIP 中,设备对语音、数据包等的处理所消耗时间。2.传播延迟:数据包在设备 之间传播所消耗的时间。 ·抖动:1.抖动一般指数据包到达时间不规律,延迟时大时小,甚至会失序。2.缓冲区设立部分解决了抖动, 但增加了更大整体延迟。 ·丢包:1.对于普通PSTN 呼叫,丢包可以忽略不计。2.对于VoIP 呼叫,由于IP 尽力而为的转发特点,数 据丢失比较常见。 * IP QoS 技术减少延迟和丢包: * 就像传统PSTN 一样, 在IP 网络中进行语音通话也需要一系列信令来进行呼叫建立、 传输控制。 H.323 就 是这样的一个协议,它 是ITU-T 在IP 网络上传输音频、视频和数据的规范。 * RTP(Real-Time Transfer Protocol)和它的控制协议RTCP(Real-Time Control Protocol)共同确保 了语音信息传送的实时 性。RTP 的功能通过RTCP 获得增强,RTCP 的主要作用是提供对数据分发质量的反馈信息,应用系统可利 用这些信息来适应不同 的网络环境,有关传输质量的反馈信息对故障定位和诊断也十分有用。 * H.323 组建: ·终端: ·网关: * 网守和域: (网守:用来管理同一区域内的语音网关。) * 多点控制单元:1.多点控制单元由多点控制器和可选多点处理器组成,以支持多点会议。2.MC 提供三个 或更多终端间的会议控 制功能,MP 负责接收、处理和回送媒体流。3.集中式多点会议:所有的参与终端都与MCU 进行点对点的通 信。4.分布式多点会议: MCU 不参与到操作中,各终端直接与其他的终端进行通信。5.混合式多点会议:是对前两种操作的混合。

H3CSE V1.0 完全笔记by --edea? QQ:695634152

- 42 * H.323 协议族: (Signaling:信号Codec:编码解码器) * RAS 概述:1、运行于端点(终端和网关)和网守之间,主要功能有网守发现、端点注册、端点位置、状 态查询以及接入控制、 带宽管理等其他控制。2、RAS 消息通过UDP 的方式传输,端口号为1719 (单播) 或者1718(组播)。(最上 端路由器为网守) * 网守发现、注册和注销: * 接入控制和端点定位:1、端点和网守之间使用ARQ/ACF/ARJ 消息进行接入许可请求和地址解析。2、网 守与网守之间通过 LRQ/LCF/LRJ 消息进行端点定位。 * 呼叫终止:网守也可以主动发送DRQ 消息,主动拆线。 ·呼叫终止: ·网守主动拆线: RIP:请求正在处理,通知请求者将定时器清零。RAI:表示资源紧张和资源恢复的消息。RAC:对RAI 消息 的确认。 NSM:非标准参数,用于自己约定的功能,比如计费等。XRS:收到了无法识别的消息。 * H.225 呼叫信令: (Proceeding:进程、Progress:进行、Alerting:振铃、CONNECTED:保持通话、 Release:释放) ·注册登记消息:RRQ 、RCF 、RRJ ·注销消息:URQ、UCF、URJ ·修改消息:MRQ、MCF、MRJ ·接入认证授权和地址解析消息:ARQ、ACF、ARJ ·地址解析请求消息:LRQ、LCF、LRJ ·呼叫脱离消息: DRQ、DCF、DRJ ·状态消息:IRQ、IRR、IACK、INAK ·带宽改变消息:BRQ、BCF、BRJ ·RAS 定时器修改消息:RIP ·网关资源可利用性消息:RAI、RAC

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 43 * 直接呼叫模式:呼叫信令消息直接在两个端点之间传送。路由呼叫模式:端点间的呼叫信令消息通过网 守路由。 * H.245 概述: * (1)能力协商:1、发送能力(Capabilities)是指终端能力传送的媒体类型。2、接收能力是指终端能够 接收和处理的媒体类型。 (2)主从协商:1、用于确定特定呼叫中端点的主从关系。2、主从关系的确定主要用于解决端点间的冲突。 (3)打开逻辑通道:逻辑通道建立后,RTP 媒体的UDP 端口被从目的端点发送给发送端点。 * H.323 呼叫流程: ·直接呼叫模式: ·路由呼叫模式:

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 44 * 配置示例——需求: 1、 北京、 深圳两地的电话利用具有语音功能的路由器经由IP 网络进行通话, 借助网守进行电话号码到IP 地 址的动态解析。 2、北京侧路由器VG_A 的Loopback 接口为H.323 网关接口,IP 地址为1.1.1.1,网关别名为beijing-gw, 对应网守名称为gk-center, 网守地址为3.3.3.3,RAS 端口号为1719,并指定区域ID 为1#。 3、深圳侧路由器VG_B 的Loopback 接口为H.323 网关接口,IP 地址2.2.2.2,网关别名为shenzhen-gw,

其它配置与北京侧相同。 配置示例——VG_A 配置命令: 配置示例——VG_B 配置命令: # 建立VoIP 语音实体。 [VG_A] voice-setup [VG_A -voice] dial-program [VG_A -voice-dial] entity 0755 voip [VG_A -voice-dial-entity755] match-template 0755.... [VG_A -voice-dial-entity755] address ras # 建立POTS 语音实体。 [VG_A -voice-dial] entity 1001 pots [VG_A -voice-dial-entity1001] match-template 0101001 [VG_A -voice-dial-entity1001] line 1/1 # 指定Loopback 接口为H.323 网关接口。 [VG_A] interface loopback 0 [VG A -Loopback0] ip address 1.1.1.1 255.255.255.255 # 进入GK-Client 视图。 [VG_A] voice-setup [VG_A -voice] gk-client # 配置网关别名,对应的网守名称和IP 地址。 [VG_A -voice-gk] gw-address 1.1.1.1 [RouterA-voice-gk] gw-id beijing-gw [VG_A -voice-gk] gk-id gk-center gk-addr 3.3.3.3 1719 # 配置区域ID。 [VG_A -voice-gk] area-id 1# # 向网守发起注册。 [VG_A -voice-gk] ras-on # 建立VoIP 语音实体。 [VG_B] voice-setup [VG_B -voice] dial-program [VG_B -voice-dial] entity 010 voip [VG_B -voice-dial-entity10] match-template 010.... [VG_B -voice-dial-entity10] address ras # 建立POTS 语音实体。 [VG_B -voice-dial] entity 2001 pots [VG_B -voice-dial-entity2001] match-template 07552001 [VG_B -voice-dial-entity2001] line 1/1 # 指定Loopback 接口为H.323 网关接口。 [VG_B] interface loopback 0 [VG_B -Loopback0] ip address 2.2.2.2 255.255.255.255 # 进入GK-client 视图。 [VG_B -voice] gk-client # 配置网关别名,对应的网守名称和IP 地址。 [VG_B -voice-gk] gw-address 2.2.2.2 [VG_B -voice-gk] gw-id shenzhen-gw

[VG_B -voice-gk] gk-id gk-center gk-addr 3.3.3.3 1719 # 配置区域ID。 [VG_B -voice-gk] area-id 1# # 向网守发起注册。 [VG_B -voice-gk] ras-on * IP 电话网关(GateWay,简称GW)位于公用电信网(PSTN)和Internet 接入站点之间,将PSTN 网络上 的语音信号压缩后通过 Internet 网络传送到对端IP 电话网关,同时接收来自于Internet 网络上的IP 包,解压后还原成PSTN 网 络的语音信号。在路 由器上实现IP 电话功能实际上是对路由器功能的扩展, 同时这也代表着数据业务向语音业务逐步扩展的趋 势。 根据ITU-T 规范定义,网守(GateKeeper,简称GK)是一个能够对局域网或广域网的H.323 终端、GW 或一 些多点控制单元(MCU) 提供地址翻译、访问许可、带宽控制和管理、区域管理、安全检查、呼叫控制信令以及呼叫管理等功能的 H.323 实体,有时也提供 路由控制和计费等功能。在一个由GK 管理的区域内,对所有呼叫来说,GK 不仅提供呼叫业务控制并且起 到了中心控制点的作用。 * SIP(Session initiation protocol 会话初始化协议)产生背景:为保持基本呼叫及各种语音业务的连 续性,需要在分支机构 与总部的通信出现故障后,能由分支机构的语音网关接替总部的语音服务器,承担本地语音的呼叫管理功 能,保证本地呼叫的正常 进行。而当通信故障恢复后,则所有呼叫仍由总部语音服务器处理,以实现呼叫的集中管理。 SIP 就是在上述需求下产生的。该特性的主要技术特点是在不增加新的设备投资的基础上,在原有语音网 关中内置一个具有保 活检测功能的SIP 本地存活服务器软件系统。该系统能够实时检测与总部的通信状况,并能在通信故障时 承担语音服务器功能。 * H.323 系统这种集中控制模式便于管理,像计费管理、带宽管理、呼叫管理等在集中控制下实现起来比 较方便,但同时带来扩展 性较差等劣势。在Internet 蓬勃发展的今天,新的应用、新的业务层出不穷,SIP 协议以其简单性、开放 性逐步走到了聚光灯下。 * H.323 是由国际电信联盟提出,更多的是将原有电信级电话网络中的电路线路转换为IP 线路。而SIP 侧 重于将IP 电话作为 Internet 上的一个应用。 * SIP 网络组件: * 1、用户代理(UA,User Agent)也称SIP 终端,指支持SIP 协议的多媒体会话终端,包括用户代理客户机UAC 和用户代理服务器UAS。 2、UAC:是指在SIP 会话建立过程中主动发送会话请求的设备,当代理服务器向被叫终端发送会话请求时, 它就成为用户代理客户机。 3、UAS:是指在SIP 会话建立过程中接收会话请求的设备。(INVITE:邀请)

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 45 * 代理服务器:1、提供路由功能,代理其他客户机发起的请求,请求由本地服务器响应或可能被翻译之后 再传送给其他服务器。

2、代理服务器在转发请求之前需要对原请求消息进行解释,而且必要的话则还可以修改请求消息。 * 注册服务器:1、注册服务器接受终端的注册请求,接受用户注册,注册的内容,如本地号码等信息。 2、在完整SIP 系统中,所有SIP 终端作为User Agent 都应该向注册服务器登记注册,以告知其位置、会 话能力、呼叫策略等信息。 3、注册服务器转发这些信息到定位服务器或者重定向服务器。 4、注册信息定期刷新,并且SIP 用户客户端需要重新注册到注册服务器。 * 重定向服务器:1、重定向服务器是一个接受SIP 请求,把该地址映射成零个或多个新地址并把这些地址 返回给请求客户。 2、是向主叫UA 指明重新呼叫被叫UA 的位置的设备。 * 定位服务器:1、定位服务器(Location Server)提供定位服务,为SIP 重定向和代理服务器获得被叫 方的可能位置信息如被呼 叫用户的地址、号码。2、用户接入网络后首先要向注册服务器注册,注册信息写入定位服务器中。 * (1)消息结构: 【开始行】【SIP 消息头】【消息体】 (2)请求消息:INVITE sip:tom@h3c.com SIP/2.0 Request-Line = Method Request-URI SIP-Version Method INVITE – 发起呼叫,邀请用户加入会话。 ACK – 证实已收到对INVITE 消息的最终应答。 BYE – 终止一个呼叫。 CANCEL – 取消一个请求。 REGISTER – 注册用户代理。 OPTIONS – 查询服务器能力。 INFO – 携带带外信息,如DTMF 数字。 Request-URI SIP 地址,用于在网络域中识别一个用户或资源。通常是如下E-mail 类型的地址: sip:user@domain:port sip:user@host:port 用户字段使用名字或电话号码唯一标识用户。 端口是一个可选字段,缺省端口是5060。 下列是一个完整的SIP URI: sip:82774563@h3c.com sip:tom@h3c.com

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 46 (3)响应消息:SIP/2.0 100 Trying Status-Line = SIP-Version Status-Code Reason-Phrase CRLF (4)SIP 消息头: 消息头描述 Via 给出请求路径和响应要发送的地址。 From 定义了SIP 发起者。 To 所有消息中都必须有To 字段,此字段给出请求的接受者。 Call-IDCall ID 用于唯一标识特定邀请或某个客户机的注册请求。 CSeq 字段用于标识发出的不同请求,若Call-ID 值相同,那么Cseq 值必须各不相同。 Expire 字段给出消息内容截止的日期和时间。 Contact 头域包含一个SIP URI 或者SIPS URI 指出一个能够接触到的直接路由

Content-Type 实体头字段,表明消息体的媒体类型。 Content-Length 实体头字段,表明消息体的大小。 * 注册: 1.用户每次开机时都需要向服务器注册。2.注册服务器通常需要认证。3.当SIP Client 的地址 发生改变时,需要重新 注册。4.注册信息必须定期刷新。5.注册服务器将注册信息保存到位置服务器中。 * (1)点对点呼叫: (2)通过代理服务器呼叫: (3)重定向: * 配置示例——需求:两台路由器作为SIP UA,通过SIP 服务器进行SIP 呼叫

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 47 配置示例——VG_A 配置命令: 配置示例——VG_B 配置命令: # 配置以太网接口。 [VG_A] interface ethernet 2/1 [VG_A -Ethernet2/1] ip address 192.168.2.1 255.255.255.0 # 配置SIP。 [VG_A] voice-setup [VG_A -voice] sip [VG_A -voice-sip] registrar ipv4 192.168.2.3 [VG_A -voice-sip] proxy ipv4 192.168.2.3 [VG_A -voice-sip] user routerA password cipher 1234 [VG_A -voice-sip] register-enable on # 配置语音实体。 [VG_A] voice-setup [VG A -voice] dial-program [VG_A -voice-dial] entity 1111 pots [VG_A -voice-dial-entity1111] line 1/0 [VG_A -voice-dial-entity1111] match-template 1111 [VG_A voice-dial-entity1111] quit [VG_A -voice-dial] entity 2222 voip [VG_A -voice-dial-entity2222] address sip proxy [VG_A -voice-dial-entity2222] match-template 2222 [VG_A -voice-dial-entity2222] quit # 配置以太网接口。 [VG_B] interface ethernet 2/1 [VG_B -Ethernet2/1] ip address 192.168.2.2 255.255.255.0 # 配置SIP。 [VG_B] voice-setup [VG_B -voice] sip [VG_B -voice-sip] registrar ipv4 192.168.2.3 [VG_B -voice-sip] proxy ipv4 192.168.2.3 [VG_B -voice-sip] user routerB password cipher 1234 [VG_B -voice-sip] register-enable on # 配置语音实体。

[VG_B] voice-setup [VG_B -voice] dial-program [VG_B -voice-dial] entity 2222 pots [VG_B -voice-dial-entity2222] line 1/0 [VG_B -voice-dial-entity2222] match-template 2222 [VG_B -voice-dial-entity2222] quit [VG_B -voice-dial] entity 1111 voip [VG_B -voice-dial-entity1111] address sip proxy [VG_B -voice-dial-entity1111] match-template 1111 [VG_B -voice-dial-entity1111] quit * 在传统的IP 网络中,所有的报文都被无区别的等同对待,每个转发设备对所有的报文均采用先入先出 (FIFO)的策略进行处理, 它尽最大的努力(Best-Effort)将报文送到目的地,但对报文传送的可靠性、传送延迟等性能不提供任何 保证。 传统IP 网络的尽力服务不可能识别和区分出网络中的各种通信类别, 而具备通信类别的区分能力正是为不 同的通信提供不同 服务的前提,所以说传统网络的尽力服务模式已不能满足应用的需要。QoS 技术的出现便致力于解决这个 问题。 * 带宽: 带宽 1、 (Bandwidth) 是链路上单位时间所能通过的最大数据流量, 其单位为bps (bit per second) 。 2、在一条端到端的链路中,最大可用带宽等于路径上带宽最低的链路的带宽。 * 延迟(Delay)是标识数据包穿越网络所用时间的指标。 以路由为例包括:处理延迟(交换延迟+排队延迟)、传播延迟(串行化延迟+传输延迟)。 端到端延迟:端到端延迟等于所有途中链路和设备造成的延迟的总和。 * 抖动:1、抖动是指数据包穿越网络时延迟的变化,是衡量网络延迟稳定性的指标。 2、抖动是由于延迟的随机性造成的,主要原因是数据包排队延迟的不确定性。·抖动=abs(T1-T2) * 丢包率:丢包(Packet Loss)是指数据包在传输过程中的丢失,是衡量网络可靠性的重要指标。 1、丢包的主要原因:·网络拥塞时,当队列满了后,后续的报文将由于无法入队而被丢弃。·流量超过限 制时,设备对其进行丢弃。 2、丢包以丢包率作为衡量指标:丢包率=被丢弃报文数量/全部报文数量。 * 常规应用对网络服务质量的要求: 应用类型典型应用带宽延迟抖动丢包率 批量传输FTP、批量存储备份高影响小影响小低 交互音频IP 电话低低低低 单向音频在线广播低影响小低低 交互视频可视电话、视频会议高低低低 单向视频视频点播高影响小低低 实时交互操作Telnet 低低影响小低 严格任务电子交易低影响小影响小低 * 提高服务质量的方法: 问题---\---措施可用带宽不足延迟大抖动大丢包率高 提高物理带宽缓解降低降低降低 增加缓冲缓解突发性带宽不足提高降低降低 对数据包进行压缩缓解降低传播延迟,增加处理延迟-- 降低 优先转发某些数据流的包解决重要应用的带宽不足降低敏感应用的延迟降低敏感应用的抖动降低重要应用

丢包率 分片和交错-- 降低低速链路上重要应用的延迟降低敏感应用的抖动-* QoS 的功能:1.尽力避免网络拥塞。2.在不能避免拥塞时对带宽进行有效管理。3.降低报文丢失率。4. 调控IP 网络流量。5.为 特定用户或特定业务提供专用带宽。6.支撑网络上的实时业务。7.QoS 不能创造带宽,只能使带宽的分配 更加合理。 * IP QoS 技术提供了下述功能: 1、流量分类和标记:依据一定的匹配规则识别出对象,是有区别地实施服务的前提,通常作用在接口入方 向。 2、拥塞管理:是必须采取的解决资源竞争的措施,将报文放入队列中缓存,并采取某种调度算法安排报文 的转发次序,通常作用 在接口出方向。 3、拥塞避免:过度的拥塞会对网络资源造成损害,拥塞避免监督网络资源的使用情况,当发现拥塞有加剧 的趋势时采取主动丢弃 报文的策略,通过调整流量来解除网络的过载,通常作用在接口出方向。 4、流量监管:对进入设备的特定流量的规格进行监管,通常作用在接口入方向。当流量超出规格时,可以 采取限制或惩罚措施, 以保护运营商的商业利益和网络资源不受损害。 5、流量整形:一种主动调整流的输出速率的流控措施,是为了使流量适配下游设备可供给的网络资源,避 免不必要的报文丢弃和 拥塞,通常作用在接口出方向。 6、链路效率机制:可以改善链路的性能,间接提高网络的QoS,如降低链路发包的时延(针对特定业务)、 调整有效带宽。 * 通常QoS 提供以下三种服务模型(服务模型,是指一组端到端的QoS 功能):1、Best-Effort service (尽力而为服务模型);2、

H3CSE V1.0 完全笔记by --edea? QQ:695634152
- 48 Integrated service(综合服务模型,简称IntServ);3、Differentiated service(区分服务模型,简 称DiffServ)。 * QoS技术在网络设备中的处理顺序: (1)Best-Effort 服务模型:Best-Effort 是一个单一的服务模型,也是最简单的服务模型。应用程序可 以在任何时候,发出任意 数量的报文,而且不需要事先获得批准,也不需要通知网络。对Best-Effort 服务,网络尽最大的可能性 来发送报文。但对时延、 可靠性等性能不提供任何保证。Best-Effort 服务是现在Internet 的缺省服务模型,它适用于绝大多数网 络应用,如FTP、E-Mail 等,它通过FIFO 队列来实现。 ·1、Best Effort 是最简单的服务模型,网络尽最大可能来发送报文,对延迟、丢包等不提供任何保证。 2、Best Effort 模型是 Internet 的缺省服务模型。3、Best Effort 模型通过FIFO( First Input First Output,先入先出

赞助商链接