資源描述:
《華為路由交換精英培訓之其他技術課件.ppt》由會員上傳分享��,免費在線閱讀��,更多相關內(nèi)容在教育資源-天天文庫�。
1、華為路由交換精英培訓之其他技術前言本章介紹HA���、Security����、QoS�、NetworkManage等技術���。培訓目標理解本章涉及技術的基本原理本章涉及技術的原理描述目錄原理HA原理描述HA原理概述HAHA概述BFD原理描述NSF原理描述GR原理描述SecurityQoSNetworkManage原理HA概述HA概述指一個產(chǎn)品或系統(tǒng)具有很高的可靠性高可用性特點不能頻頻出現(xiàn)故障出現(xiàn)故障后能很快恢復高可用性衡量MTBF��,一個組件或設備的無故障運行平均時間MTTR���,一個組件或設備從故障到恢復正常所需的平均時間原理MTTRMTBFMTBFAva
2�����、ilability+=BFD原理描述—基本概念BFD基本概念用于快速檢測����、監(jiān)控網(wǎng)絡中鏈路或者IP路由的轉發(fā)連通狀況BFD控制報文采用UDP封裝���,目的端口號為3784R1R2原理OSPFneighborBFDneighbor2213R1R2OSPFneighborBFDneighbor33412OSPFOSPFOSPFOSPFBFD會話管理BFD會話包含Down�、Init��、Up和AdminDownBFD狀態(tài)機的建立和拆除都采用三次握手機制BFD原理描述—BFD會話管理原理Sta:DownSta:DownSta:InitSta:InitS
3��、ta:UpSta:UpDOWNDOWNDOWN=>INITINIT=>UPDOWN=>INITINIT=>UPR1R2BFD原理描述—適用場景BFD適用場景檢測IP鏈路與接口狀態(tài)聯(lián)動與靜態(tài)路由聯(lián)動與RIP路由聯(lián)動與OSPF聯(lián)動與IS-IS聯(lián)動與BGP聯(lián)動原理NSF原理描述—原理介紹NSF原理保證路由器控制層面出現(xiàn)故障時�����,數(shù)據(jù)轉發(fā)仍然正常執(zhí)行����,從而保護網(wǎng)絡上關鍵業(yè)務不受影響NSF需要滿足條件硬件要求��,系統(tǒng)雙主控RP冗余配置軟件要求�����,需要主備板卡同步協(xié)議要求��,需要網(wǎng)絡協(xié)議支持GR原理GR原理描述—OSPFGRGR概述在主備切換或協(xié)議重啟時
4���、保證轉發(fā)業(yè)務不中斷OSPFGR增加一種9類OpaqueLSA即GraceLSAGRRestarter,發(fā)生協(xié)議重啟事件且具有GR能力的設備GRHelper���,協(xié)助完成GR流程的設備GRSession�����,GR能力協(xié)商過程原理GraceLSADD,LSA,LSAckR1(GRRestarter)R2(GRHelper)HelloHelloGraceLSAGR原理描述—IS-ISGR原理IS-ISGRHello報文中新增了RestartTLV定義T1����、T2和T3三個定時器T1�����,定義Hello重傳時間T2�����,定義設備重啟后LSDB同步的最大等待時間
5�����、T3�,定義設備重啟過程的最大持續(xù)時間HelloR1(GRRestarter)R2(GRHelper)HelloHelloCSNPLSPT1timerT2timerT3timerSecurity原理描述Security原理概述HASecurity畸形報文攻擊防范泛洪攻擊防范URPF技術IPSG技術ARP安全QoSNetworkManage原理TCP連接,源目的地址為目標地址�,源和目的端口相同的SYN報文畸形報文攻擊防范—LAND攻擊原理LAND攻擊利用TCP連接三次握手機制進行攻擊目標主機受到攻擊后建立大量無用TCP空連接,消耗大量資源
6����、ServerS1PC1攻擊者目標主機泛洪攻擊防范—TCPSYN泛洪攻擊TCPSYN泛洪攻擊TCPSYN攻擊利用了TCP三次握手的漏洞大量半開連接導致目標主機內(nèi)存消耗巨大原理SYNServerS1PC1攻擊者SYN+ACKSYNURPF技術原理URPF技術防止基于源IP地址欺騙的網(wǎng)絡攻擊行為主要針對偽造IP源地址的DoS攻擊工作模式:嚴格模式,檢查報文源地址和入接口松散模式��,檢查報文源地址S1PC12.1.1.1/24攻擊者1.1.1.1/24偽造源地址2.1.1.1/24嚴格模式IPSG技術原理IPSG技術防止源IP地址欺騙基于綁定表
7����、(DHCP動態(tài)和靜態(tài)綁定表)對IP報文進行匹配檢查S1PC1攻擊者IP:1.1.1.2/24MAC:2-2-2IP:1.1.1.3/24MAC:3-3-3DHCPServerIP:1.1.1.3/24MAC:3-3-3IP:1.1.1.1/24MAC:1-1-1ARP安全原理動態(tài)ARP監(jiān)測(DAI)防止中間人攻擊HCPSnooping綁定表來防御中間人攻擊S1PC1攻擊者PC2IP:10.1.1.1MAC:1-1-1IP:10.1.1.2MAC:2-2-2IP:10.1.1.3MAC:3-3-3IP地址MAC地址Type10.1.1.
8、33-3-3DynamicPC1的ARP表項IP地址MAC地址Type10.1.1.11-1-1DynamicPC2的ARP表項IP地址MAC地址Type10.1.1.32-2-2DynamicARP表項更新為IP地址M
