14华为路由交换精英培训之其他技术

华为路由交换精英培训之其他技术美河学习在线前言I.本章介绍HA、Security、QoS、NetworkManage等技术。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential3培训目标理解本章涉及技术的基本原理HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential4本章涉及技术的原理描述目录原理HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential5HA原理描述HA原理概述HA•HA概述•BFD原理描述•NSF原理描述•GR原理描述SecurityQoSNetworkManage原理HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential6HA概述HA概述指一个产品或系统具有很高的可靠性高可用性特点•不能频频出现故障•出现故障后能很快恢复高可用性衡量•MTBF，一个组件或设备的无故障运行平均时间•MTTR，一个组件或设备从故障到恢复正常所需的平均时间原理MTTRMTBFMTBFAvailability+=HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential7BFD原理描述—基本概念BFD基本概念用于快速检测、监控网络中链路或者IP路由的转发连通状况BFD控制报文采用UDP封装，目的端口号为3784R1R2原理OSPFneighborBFDneighbor2213R1R2OSPFneighborBFDneighbor33412OSPFOSPFOSPFOSPFHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential8BFD会话管理BFD会话包含Down、Init、Up和AdminDownBFD状态机的建立和拆除都采用三次握手机制BFD原理描述—BFD会话管理原理Sta:DownSta:DownSta:InitSta:InitSta:UpSta:UpDOWNDOWNDOWN=INITINIT=UPDOWN=INITINIT=UPR1R2HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential9BFD原理描述—适用场景BFD适用场景检测IP链路与接口状态联动与静态路由联动与RIP路由联动与OSPF联动与IS-IS联动与BGP联动原理HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential10NSF原理描述—原理介绍NSF原理保证路由器控制层面出现故障时，数据转发仍然正常执行，从而保护网络上关键业务不受影响NSF需要满足条件•硬件要求，系统双主控RP冗余配置•软件要求，需要主备板卡同步•协议要求，需要网络协议支持GR原理HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential11GR原理描述—OSPFGRGR概述在主备切换或协议重启时保证转发业务不中断OSPFGR增加一种9类OpaqueLSA即GraceLSA•GRRestarter，发生协议重启事件且具有GR能力的设备•GRHelper，协助完成GR流程的设备•GRSession，GR能力协商过程原理GraceLSADD,LSA,LSAckR1(GRRestarter)R2(GRHelper)HelloHelloGraceLSAHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential12GR原理描述—IS-ISGR原理IS-ISGRHello报文中新增了RestartTLV定义T1、T2和T3三个定时器•T1，定义Hello重传时间•T2，定义设备重启后LSDB同步的最大等待时间•T3，定义设备重启过程的最大持续时间HelloR1(GRRestarter)R2(GRHelper)HelloHelloCSNPLSPT1timerT2timerT3timerHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential13Security原理描述Security原理概述HASecurity•畸形报文攻击防范•泛洪攻击防范•URPF技术•IPSG技术•ARP安全QoSNetworkManage原理HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential14TCP连接，源目的地址为目标地址，源和目的端口相同的SYN报文畸形报文攻击防范—LAND攻击原理LAND攻击利用TCP连接三次握手机制进行攻击目标主机受到攻击后建立大量无用TCP空连接，消耗大量资源ServerS1PC1攻击者目标主机HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential15泛洪攻击防范—TCPSYN泛洪攻击TCPSYN泛洪攻击TCPSYN攻击利用了TCP三次握手的漏洞大量半开连接导致目标主机内存消耗巨大原理SYNServerS1PC1攻击者SYN+ACKSYNHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential16URPF技术原理URPF技术防止基于源IP地址欺骗的网络攻击行为主要针对伪造IP源地址的DoS攻击工作模式：•严格模式，检查报文源地址和入接口•松散模式，检查报文源地址S1PC12.1.1.1/24攻击者1.1.1.1/24伪造源地址2.1.1.1/24严格模式HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential17IPSG技术原理IPSG技术防止源IP地址欺骗基于绑定表（DHCP动态和静态绑定表）对IP报文进行匹配检查S1PC1攻击者IP:1.1.1.2/24MAC:2-2-2IP:1.1.1.3/24MAC:3-3-3DHCPServerIP:1.1.1.3/24MAC:3-3-3IP:1.1.1.1/24MAC:1-1-1HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential18ARP安全原理动态ARP监测（DAI）防止中间人攻击DHCPSnooping绑定表来防御中间人攻击S1PC1攻击者PC2IP:10.1.1.1MAC:1-1-1IP:10.1.1.2MAC:2-2-2IP:10.1.1.3MAC:3-3-3IP地址MAC地址Type10.1.1.33-3-3DynamicPC1的ARP表项IP地址MAC地址Type10.1.1.11-1-1DynamicPC2的ARP表项IP地址MAC地址Type10.1.1.32-2-2DynamicARP表项更新为IP地址MAC地址Type10.1.1.12-2-2DynamicARP表项更新为HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential19QoS原理描述Security原理概述HASecurityQoS•QoS基本概述•优先级映射•流量监管和流量整形•拥塞管理•拥塞避免•流策略NetworkManage原理HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential20QoS基本概述原理QoS服务质量对业务进行差异化服务通过带宽、时延和抖动、丢包率等方面提升服务质量服务模型包括•BestEffort•IntegratedServicesModel•DifferentiatedServicesModelHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential21优先级映射原理QoS服务质量不同的报文使用不同的QoS优先级IP报文使用Precedence字段表示报文优先级VersionLengthToS1ByteLenIDFlags/offsetTTLProtoFCSIP-SAIP-DAData01234567PrecedenceDTRCIPprecedenceDSCPHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential22原理令牌桶评判流量是否超出规格，根据评估结果实施调控策略包括单速单桶、单速双桶和双速双桶令牌桶流量整形和流量监管—令牌桶（单速单桶）HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential23原理单速双桶采用单速三色标记器算法对流量进行测评根据评估结果为报文打颜色标记，即绿色、黄色和红色流量整形和流量监管—令牌桶（单速双桶）HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential24原理双速双桶采用双速三色标记器算法对流量进行测评根据评估结果为报文打颜色标记，即绿色、黄色和红色流量整形和流量监管—令牌桶（双速双桶）HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential25数据流原理流量监管（TrafficPolicy）通过令牌桶对流量的规格进行评估，对超出部分的流量进行“惩罚”支持重标记，不需使用额外缓冲；但是会丢弃较多的报文，可能引发重传流量整形和流量监管—流量监管MeterMarkerAction流量监管组件结果HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential26原理流量整形（TrafficShaping）报文速度过快时，首先在缓冲区进行缓存，在令牌桶的控制下，再均匀地发送这些被缓冲的报文一般部署在出接口流量整形和流量监管—流量整形HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential27Y原理拥塞管理当接口发生拥塞，利用拥塞管理技术解决资源竞争问题拥塞管理利用队列调度策略来决定数据包处理的先后顺序常用队列有FIFO、RR、WRR、PQ、CQ和WFQ等拥塞管理—概述软件队列空？硬件队列满？软件队列系统硬件队列系统N调度策略数据流HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential28原理FIFO遵循先进先出原则不提供对报文的质量保证采用尾丢弃机制拥塞管理—FIFOFIFO需由此接口发送的报文出队调度离开接口的报文FIFO队列紧急报文非紧急报文次紧急报文说明：HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential29原理RR采用轮询的方式进行调度如果轮询的队列不为空，则从该队列取走一个报文；如果该队列为空，则直接跳过该队列，调度器并不等待。拥塞管理—RR调度12345671234567roundrobin，每次从一个队列取一个包HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential30原理WRR在RR基础上的扩展在队列之间进行轮流调度，根据每个队列的权重来调度各队列中的报文流拥塞管理—WRR52147368队列a权重3队列b权重2队列c权重1调度abc142375HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential31原理PQ按照严格优先级(SP)进行调度的队列只有高优先级的队列排空以后才会从低一级的队列调度报文拥塞管理—PQ分类highmediumlow出队调度离开接口的报文需由此接口发送的报文normal队列紧急报文非紧急报文次紧急报文说明：HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential32原理CQ可以支持17个队列，队列0用于系统队列，队列0和其他队列之间是SP的关系队列1至16没有优先级关系，采用轮询的方式进行调度拥塞管理—CQ调度123416CQroundrobin