园区网知识点汇总

园区网复习知识点汇总

STP

为了避免形成广播风暴，需要一种方式来阻塞冗余链路，消除路径环路，并且在主用链路中断时，可以将冗余链路自动切换为转发状态，恢复网络的连通性

STP基本概念

根桥（Root Bridge）：整个生成树的根节点，所有网桥中优先级最高的桥担任

指定桥（Designate Bridge）：负责以个物理段上数据转发任务的桥，由这个物理段上优先级最高的桥担任

根端口（Root Port）：指网桥上距离根桥最近的端口，根桥没有根端口，每一个非根桥上有且只有一个根端口

指定端口（Designate Port）：指物理段（Physical Segment）上属于指定桥的端口，根桥在其所连接的所有物理段上都是指定桥，通常根桥的所有端口都是指定端口

Alternate端口：指既不是根端口也不是指定端口的端口，用来为根端口或指定端口做备份。从Alternate端口出发到根桥的路径，是网桥到达根桥的备份路径，即最终需要阻塞的路径

网络处于稳定状态时，根端口和指定端口处于转发状态，Alternate端口处于阻塞状态，阻塞Alternate端口，就消除了网络中的环路

桥ID：用于在网络中唯一标识一个桥，具有最小桥ID的网桥即为网络中的根桥。桥ID包括桥优先级字段和桥MAC地址，长度为8字节，桥优先级为高16位，桥MAC地址为低48位，默认优先级为32768

路径开销：用于衡量桥与桥之间路径的优劣

BPDU（Bridge Protocol Data Unit）桥协议数据单元：分为两类，一是配置BPDU，用来进行生成树计算和维护生成树形拓扑的报文，另一类为TCN BPDU（Topology Change Notification），是当拓扑结构改变时，用来通知相关设备网络拓扑结构发生变化的报文

配置BPDU包含了目的MAC地址，源MAC地址，帧长，逻辑链路头以及载荷，载荷包含了Root ID，Root Path Cost，Bridge ID， Port ID等

MSTP配置

MSTP在IEEE的802.1S标准中定义，既可以实现快速收敛，又可以弥补STP和RSTP的缺陷，使不同VLAN的流量沿着各自的路径转发，从而利用冗余链路提供了更好的负载分担机制

MSTP的基本思想是基于实例计算出多颗生成树，每一个实例都可以包含一个或多个VLAN，每一个VLAN都只能映射到一个实例，网桥通过配置多个实例，可以实现不同VLAN组之间的负载分担

案例

要求：

所有交换机都运行MSTP，所有交换机都在同一区域，配置两个MST实例：MST1对应vlan2，MST2对应vlan3

配置

链路聚合

链路聚合是把多条物理链路聚合在一起，形成一条逻辑链路，提供链路冗余性，提高链路的带宽

特点：

• 带宽一致
• 双工模式一致
• 类型一致

LACP（Link Aggregation Control Protocol）链路聚合控制协议，是一种实现链路动态聚合与解聚合的协议，通过LACPDU链路汇聚控制协议数据单元与对端交互信息

静态链路聚合配置案例

动态链路聚合配置案例

Smart Link

smart link是一种针对双上行组网的解决方案，实现了高校可靠的链路冗余备份和故障后的快速收敛

配置命令

单Smart Link组配置实例

双Smart Link组配置实例

RRPP快速环网保护协议

RRPP是一个专门应用于以太网环的链路层协议，可以在以太网环完整时能够防止数据环路引起的广播风暴

VRRP(Virtual Router Redundancy Protocol )虚拟路由器冗余协议

VRRP可以将多个路由器加入到备份组中，形成一台虚拟路由器，承担网关功能

配置命令：

单备份组配置实例

vrrp vrid 1 preempt-mode，开启抢占模式

vrrp vrid 1 track 1 priority reduced 30,监视1，当1上行链路状态断开时，递减30

VRRP监视接口配置实例

若不成功则在G1/0/2后加上“priority”

双备份组配置实例

IRF堆叠概述

IRF将多台设备通过堆叠口连接起来，形成一台虚拟逻辑设备，其优点包括简化管理，提高性能，弹性扩展，高可靠性。

IRF好处

1. 简化管理：IRF堆叠形成之后，可以登录到统一的逻辑设备管理整个IRF堆叠
2. 提高性能：省去了设备间大量协议报文的交互，缩短了收敛时间
3. 弹性扩展：允许按照需求实现弹性扩展，保证用户投资，可以实现“热插拔”
4. 高可靠性： 体现在链路，设备和协议三个方面

园区网安全

常见安全威胁

1. 非法接入网络：非法访问网络资源的前提，即接入网络后不访问网络资源，攻击者可以采用DOS攻击等手段导致网络瘫痪
2. 非法访问网络资源：指非法用户在没有被授权的情况下访问局域网设备或数据，修改网络设备的配置和运行状态，获取数据
3. MAC地址欺骗和泛洪：通过发送大量源MAC地址不同的数据报文，使得交换机端口MAC地址表学习达到上限，无法学习新的MAC地址，从而导致二层数据泛洪
4. 远程连接攻击：对Telnet等连接进行攻击，包括截取用户名，密码等用户信息或数据信息，篡改数据并重新投放到网络上

安全网络整体架构：AAA（Authentication， Authentication and Accounting，验证，授权和计费）

AAA常用的两种协议

1. RADIUS(Remote Authentication Dial In User Service,远程认证拨号用户服务)是一种分布式的，客户端、服务器模式的信息交互模式，能够保护网络不受未授权访问的干扰
2. TACACS（Terminal Access Controller Access Control System，终端访问控制器控制系统协议），同时增加了命令行授权和计费等安全功能

访问控制：

1. 访问控制列表ACL（Access Control List）：可以实现流识别功能，配置一系列的匹配条件，对报文进行分类，达到过滤报文的目的
2. 终端准入控制EAD（End user admission Domination）：通过安全客户端，安全策略服务器，接入设备以及第三方服务器的联动，加强了对用户的集中管理，提升了网络的整体防御能力
3. Portal认证：又称Web认证，即必须通过门户网站的认证，才能访问网络资源

EAD（End user Admission Domination)终端准入控制

功能：

• 检查终端用户的安全状态和防御能力
• 隔离“危险”和“易感”终端
• 强制修复系统补丁，升级防病毒软件
• 管理与监控

组播概述

• 数据源发送一份数据包
• 链路上传输一份数据包
• 只有数据接收者才会收到数据包

优点：

• 增强效率，控制网络流量，减少服务器和CPU负载
• 优化性能，消除流量冗余
• 分布式应用，使多点传输成为可能

缺点

• 尽最大努力交付
• 无拥塞控制
• 数据包重复
• 数据包的无序交付

组播地址

组播地址范围：224.0.0.0 - 239.255.255.255

本地协议预留组地址：224.0.0.0 - 224.0.1.255

本地管理组地址：239.0.0.0 - 239.255.255.255

用户组播地址：224.0.0.0 - 238.255.255.255

组播MAC地址：以太网 01-00-5e-xx-xx-xx

组播组管理协议

主机和路由设备之间的协议，常用为IGMP

端口接入控制

主要目的是为了验证接入用户身份的合法性（认证），及在认证的基础上对用户的网络接入行为进行认证授权和计费

主要协议包括802.1x认证，MAC地址认证，端口安全认证

SSH

SSH（Secure Shell）是一种安全的远程登录协议，基于TCP进行传输，端口号是22，拥有密码认证和公钥认证两种方式，安全连接有五个阶段

特点：

• 支持DES，3DES数据加密算法
• 支持公钥验证方式，密码验证方式，不验证方式
• 支持RSA认证，具有防篡改功能

SSH工作过程

1. 版本号协商阶段：主要目的是客户端与服务器端协商双方都能够支持的SSh版本

   （1）：服务器打开断口22，等待客户端连接

   （2）：客户端向服务器端发起TCP初始连接请求，TCP连接建立后，服务器向客户端发送第一个报文，包括版本标志字符串

   （3）：客户端收到报文后，解析该数据包，如果服务器的协议版本号比自己的低，且客户端能支持服务器端的低版本，就使用服务器端的低版本协议号，否则使用自己的协议版本号

   （4）：客户端回应服务器，回应报文包含了客户端决定使用的协议版本号

   （5）：服务器比较客户端发来的版本号，决定是否能同客户端一起工作，如果成功，则进入密钥和算法协商阶段，否则断开TCP连接

2. 密钥和算法协商阶段：客户端和服务器交换算法协商报文，从而协商出最后使用的算法并生成会话密钥和会话ID

   （1）：服务器端和客户端分别发送算法协商报文给对端

   （2）：服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法

   （3）：服务器端和客户端利用DH交换算法，主机密钥对等参数，生成会话密钥和会话ID

3. 认证阶段：涉及客户机和服务器间的认证过程

   （1）：客户端向服务器发送认证请求，认证请求中包含用户名，认证方法，与该认证方法相关的内容

   （2）：服务器对客户端进行认证，如果认证失败，则向客户端发送认证失败消息

   （3）客户端从认证方法列表中选取一种认证方法再次进行认证

   （4）：该过程反复进行，直到认证成功或者认证次数达到上限，服务器关闭连接为止

   SSH提供两种认证方式

   ​ （1）：password认证：客户端向服务器发出password认证请求，将用户名和密码加密后发送给服务器，服务器将该消息解密后得到用户名和密码的明文，与设备上保存的用户名与密码进行比较，并返回认证的消息

   ​ （2）：publickey认证：采用数字签名的方法来认证客户端，客户端发送包含用户名，公共密钥，公共密钥算法的publickey认证请求给服务器端，服务器对公钥进行合法性检查

4. 会话请求阶段：客户端向服务器发送会话请求，服务器等待并处理客户端的请求

5. 交互会话阶段：在这个模式下，数据被双向传送

LLDP

LLDP是一个公共标准，使得不同厂商设备可以拓扑发现，获取对端的能力，配置信息，目的是给远端设备，使其可以建立关于网路拓扑的管理信息库

LLDP的端口工作模式

1. TXRx：端口即发送也接收LLDP报文，默认模式
2. TX：端口只发送不接收LLDP报文
3. Rx：端口只接收不发送LLDP报文
4. Disable：端口既不发送也不接收LLDP报文

LLDP报文发送的规则

1. 快速发送：端口按照1s的时间间隔发送一定数量的LLDP报文，以保证快速建立邻居关系
2. 周期发送：正常情况下，设备在端口上周期性地发送LLDP报文以维持邻居关系，默认30s
3. 延迟发送：当本地信息库里的信息变化时，会触发LLDP报文发送，邻居可以及时更新远端信息
4. 重初始化延时：为避免链路动荡时，LLDP发送状态机的频繁初始化，发送状态机为非发送状态时，需要等待一定的延时才执行重新初始化，延时定时器默认为2S
5. 发送shutdown帧，当LLDP关闭或从发送模式切换为DIsable或Rx模式时，需要发送shutdown帧
6. 发送统计：统计本端口的LLDP报文数量

镜像技术

镜像就是将指定端口的报文或者符合指定规则的报文复制到目的端口

可以利用镜像技术，进行网络监管和故障排除

可分为本地端口镜像，远程端口镜像和流镜像

本地端口镜像：

指将设备的一个或者多个源端口的报文复制到本设备的一个目的端口，用于报文的分析和监视，其中源端口和目的端口位于同一个本地镜像组中

远程端口镜像

突破了源端口和目的端口必须在同一台设备上的限制，使源端口和目的端口间可以跨越多个网络设备

流镜像

将指定的数据包复制到用户指定的目的地，以进行网络监测和故障排除，流镜像包括流镜像到端口和流镜像到CPU，流镜像到VLAN三种

NTP（Network Time Protocol，网络时间协议）

NTP由RFC 1305规定，是用来在分布式时间服务器和客户端之间进行时间同步的协议，基于UDP进行传输，使用UDP端口号为123。

使用NTP的目的是对网络内所有具有时钟的设备进行时钟同步，使网络内所有设备的时钟保持一致，从而使设备能够提供基于统一时间的多种应用

知识点汇总

1. 大型局域网通常分为核心层，汇聚层和接入层

2. 大型局域网的核心层网络常见的组网结构有VRRP，MSTP，Smart Link， 动态路由协议

3. 接入层网络的常用安全接入认证技术有IEEE 802.1x认证，MAC集中认证，端口安全

4. 双归属网络：所有接入层设备都采用双上行链路分别接入上一级的两个设备

5. 在双归属网络中，运行STP来实现冗余备份，网络的倒换收敛时间在秒级，而采用Smart Link（智能链路）来实现冗余备份，网络倒换收敛时间则可降低到毫秒级

6. IRF冗余备份技术不仅实现了链路级的备份，也实现了设备级的备份

7. 常见的网络管理措施有SNMP集中管理，镜像，集群和堆叠，NTP

8. 单臂路由：为了避免物理端口和线缆的浪费，简化连接方式，可以使用IEEE 802.1Q封装和子接口，通过一条物理链路实现VLAN间路由，单臂路由利用Trunk链路允许多个VLAN的数据帧通过而实现的

   

9. STP端口角色分为根端口，指定端口，Alternate 端口

10. STP计算所需要的优先级向量包含Root ID，Root Path Cost，Bridge ID，Port ID参数

11. STP计算任务包含根桥选举，根端口确定，指定端口确定，ALternate端口确定

12. STP协议的不足有无法实现流量在VLAN间的负载分担，收敛时间较长，收敛机制不够灵活

13. 处于同一个MST域下的交换机，具备域名，IST计算，MSTI计算相同参数

14. 常用的STP保护机制包含BPDU保护，根桥保护，环路保护，TC保护

15. 园区系统的链路备份技术主要使用链路聚合，RRPP，Smart link

16. Smart link的主要特点包括专用于双上行组网，收敛速度快，可达到亚秒级，配置简单，便于用户操作

17. Smart Link组的保护VLAN，是通过引用MSTP实例信息来实现的

18. RRPP环上每台设备都称为一个节点，节点角色包括主节点，边缘节点，辅助边缘节点

19. RRPP环上设备都拥有各类端口，端口角色包括主端口和边缘端口

20. RRPP环拓扑状态包括Failed状态，Complete状态

21. RRPP报文中RRPP_VERS字段是0x0001

22. VRRP的虚拟路由器号可以配置为1或255

23. VRRP支持的认证方式包括无认证，简单字符认证，MD5认证，SHA认证

24. VRRP的报文类型包括Advertisement

25. IRF堆叠管理可以分为拓扑收集，角色选举，堆叠维护阶段

26. 园区网常见安全威胁：非法接入网络，非法访问网络资源，MAC地址欺骗和泛红、报文窃听等

27. 保证内部局域网的安全，保证内部局域网不被非法侵入，保证内网与外网数据交换的安全是网络安全

28. SSH，VPN，EAD技术或措施可用于园区网的安全防护

29. AAA是Authentication，Accounting and Authentication的缩写，包含了认证，授权和计费三种功能

30. AAA可以对FTP，Telnet，PPP，Portal服务提供安全保证

31. RADIUS协议基于UDP传输协议，TACACS协议基于TCP传输协议

32. RADIUS协议的认证端口号是1812，计费端口号是1813

33. NAS一般指的是交换机

34. IEEE 802.1x协议体系结构包括客户端，认证设备，认证服务器

35. EAP中继方式需要RADIUS服务器支持EAP的EAP-Message和Message-Authentication属性

36. 端口配置基于Port的Guest Vlan，在什么情况下端口才被加入Guest VLAN？

    答：当设备从端口发送触发认证报文超过设定的最大次数而没有收到任何回应报文后，端口被加入Guest VLAN

37. EAP中继和EAP终结两种认证方式有什么不同？

    答：EAP中继方式是将EAP协议报文由认证设备进行中继，使用EAPOR封装格式承载于RADIUS协议中，而EAP终结方式将EAP报文在认证设备终结并映射到RADIUS报文中，利用标准RADIUS协议完成认证，授权和计费

38. 直接认证，二次地址分配认证，三层认证方式属于Portal的认证方式

39. Portal认证方式中，非三层认证以用户IP地址和MAC地址信息作为用户标识，三层认证以用户IP地址作为用户标识

40. 园区网网络管理的主要目标是1.网络设备和终端的定期或实时监控，保障网络健康运行；2.网络故障的快速定位和恢复；3.快速响应业务需求，对网络进行正确的升级扩容

41. 园区网网络管理维护面临的难题有1.兼容管理多厂商的网络设备；2.及时发现网络安全隐患；3.快速恢复网络故障；4.准确监控和预测网络流量的变化

42. 园区网管理的措施中化繁为简的措施有统一网管，集群部署，堆叠部署，选择标准协议

43. ISO国际标准化组织定义的网络管理关键功能：

    （1）：故障管理；（2）：计费管理；（3）：配置管理；（4）：安全管理

44. SNMPv1采用基于团体名的身份认证方式，SNMPv2增加了管理器之间的通信和数据块传送功能；SNMPV3定义了安全机制和访问控制规则

45. LLDP报文中必须包含Chassis ID TLV，Port ID TLV，Time to Live TLV

46. STP的阻塞端口也能接收和发送LLDP报文

47. 链路聚合的逻辑口不可以支持LLDP协议

48. 聚合端口也可以作为镜像源端口

49. 远程镜像中，Probe VLAN内应该禁止MAC地址学习

50. NTP的当前常用版本是V3

51. NTP的工作模式有客户端 /服务器模式，广播模式，组播模式，对等体模式

52. NTP的时钟才能回溯为16表示时钟未同步

53. 在对等体模式下，主动对等体可以同步被动对等体，被动对等体也可以同步主动对等体