H3CSE路由學(xué)習(xí)筆記

1、第一部分 OSPF一、OSPF基本概況，記住 4點。.由IETF制定。.L-S類型。.是一種 IGP。.目前使用 version2 （version3 針對 ipv6） 二、OSPF8個特點。.適用各種網(wǎng)絡(luò)規(guī)模，最多支持幾百臺路由。.收斂快（原因采用了觸發(fā)更新機制）。.無環(huán)（原因采用了 SPF算法，報文攜帶routerID）.引入?yún)^(qū)域機制（L-S路由算法共T提高 OSPF工作效率）。.等價路由（好處是實現(xiàn)負載均衡）。.路由分級（共四級，具有不同優(yōu)先級，intra和inter是優(yōu)先級10和extra1和extra2優(yōu)先級150）。.支持驗證（增強了路由協(xié)議本身的安全性）。.協(xié)議報文用組播發(fā)送。三

2、、OSPF6個重要概念。1.自治系統(tǒng)：用 AS表示，是一組使用相同路由協(xié)議交換路由信息的路由器集合。2.OSPF的路由計算過程：step0交互LSA每臺路由器生成 LSDB （LSA-LSDB ） step將 LSDB轉(zhuǎn)換成帶權(quán)有向圖step（LSDB-帶權(quán)有向圖）根據(jù)SPF算法計算出路由。（SPF計算 -路由表）（注意：此過程中每臺路由器的LSDB是相同的，每臺路由器計算出的路由是不同的。）3.routerID :作用是在 AS中唯一標(biāo)識一臺路由器本身是一個32bits無符號整數(shù)。4.OSPF5協(xié)議報文：hello報文（用來建立鄰居關(guān)系，選舉 DR/BDR ）DD報文（將自己LSDB描述給鄰

3、居）LSR報文（向鄰居請求自己需要的LS）LSU報文（向鄰居發(fā)送對方需要的 LS）LSAck報文（對收到的LS進行確認）五、OSPF6種中LSA類型.type1：每個路由器產(chǎn)生，在本 area內(nèi)傳播.type2： DR產(chǎn)生，在本 area內(nèi)傳播.type3: ABR產(chǎn)生，通告給其他的 area.type4： ABR產(chǎn)生，通告給相關(guān) area （到ASBR的路由）.type5: ASBR產(chǎn)生，通告給除了 STUB area （到AS外部的路由） .type7: NSSA的ASBR產(chǎn)生，僅在 NSSA area傳播（到AS外部的路由） 六、鄰居和鄰接.在OSPF中路由器與路由器之間有兩種關(guān)系分別是

4、鄰居和鄰接。.收到hello報文的路由器檢查報文中的參數(shù)，如果雙方一致就形成鄰居關(guān)系。.當(dāng)雙方成功交換 DD報文，交換LSA達到LSDB同步后，建立鄰接關(guān)系。 七、OSPF的area概念.area產(chǎn)生原因：路由器數(shù)量多導(dǎo)致每臺LSDB變大，使路由器需要很到內(nèi)存和很強CPU運算能力大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)容易震蕩且收斂很慢。.引入area后OSPF網(wǎng)絡(luò)中的路由器有 4種：area內(nèi)路由器區(qū)域邊界路由器ABR骨干路由器自治系統(tǒng)邊界路由器ASBR。.area劃分原則：常規(guī) area和骨干area物理直連，否則用 vlink解決。.vlink的另一作用：提供冗余鏈路（物理直連down,邏輯連接可使用）.STU

5、B area :該area不允許注入type5LSA ,故路由表大大減小。6.NSSA area：是 STUB area 的改進。7.OSPF 網(wǎng)絡(luò)中路由的類型：intra-inter-type1 external-type2 external八、OSPF支持的網(wǎng)絡(luò)類型.broadcast:用組播 224.0.0.5 224.0.0.6 發(fā)送協(xié)議報文，選舉 DR/BDR。.NBMA :用單播發(fā)送協(xié)議報文，選舉 DR/BDR ,手工指定鄰居.P2P:組播224.0.0.5發(fā)送協(xié)議報文.P2MP:組播224.0.0.6發(fā)送協(xié)議報文九、OSPF中DR/BDR 的概念.DRother只與DR/BDR建

6、立鄰接關(guān)系.broadcast和NBMA 類型接口才會選舉 DR/BDR。.路由器優(yōu)先級大于 0才可被選舉為DR/BDR ,優(yōu)先級相同時，routerID大的選為DR/BDR.DR是針對網(wǎng)段而言的，故以接口來區(qū)分。第二部分 BGP一、BGP概述：.是唯一的EGP.現(xiàn)在使用的是 version4.廣泛應(yīng)用于ISP或大型企業(yè)網(wǎng)。二、BGP的7個特點1.BGP的作用：控制路由傳播和選擇最佳路由（ IGP是發(fā)現(xiàn)和計算路由）2.BGP的協(xié)議報文用 TCP封裝，端口號是 179.支持 CIDR（Classless Inter Domain Routing） 無類別域間路由選擇.增量更新路由.無環(huán)路（通告路

7、由時攜帶ASN）.具有豐富路由策略.易于擴展三、BGP的4個小概念1.BGP Speaker2.peer3.group4.IBGP 和 EBGP四、BGP的協(xié)議報文總結(jié)1.BGP有5中協(xié)議報文，它們有相同報文頭。2.open報文：TCP連接建立后發(fā)送的第一個報文，用于建立BGP peer間的鄰居關(guān)系.update報文：用于在 peer間交換路由信息。.notification報文：BGP檢測到錯誤狀態(tài)時，向 peer發(fā)送該報文，之后 BGP連接中斷.keepalive報文：周期性向peer發(fā)送，保持連接有效性（該報文只有報文頭）.route-refresh報文：用來要求 peer重新發(fā)送指定地

8、址的路由信息。五、BGP路由屬性總Z（這是 BGP最具特色的地方，也是最重要的地方）1.路由屬性是一組參數(shù)，對特定路由進行描述，讓BGP對路由過濾和選擇2.BGP的路由屬性分為4類：必遵可選過渡非過渡3.最常用的幾個 BGP路由屬性列舉：origin屬性：該屬性定義了路由信息的來源，共3個屬T值IGPBGPINCOMPLETEas-path屬性：該屬性按次序記錄了某條路由從本地到目的地址所經(jīng)過的所有AS編號，BGP將一條路由通告到其它 AS時，便把本地 ASN加在as-path列表的最前面。（通常BGP 不會接受as-path列表中包含本地 ASN的路由，從而避免了環(huán)路）next-hop屬性：

9、BGP把產(chǎn)生的路由發(fā)送給所有鄰居時，將路由信息的下一跳屬性設(shè)置為自己與對端連接的接口地址；BGP把接收到的路由發(fā)送給 EBGP鄰居時，將該路由信息的下一跳屬性設(shè)置為本地與對端連接的接口地址；BGP把從EBGP鄰居得到的路由發(fā)送給IBGP鄰居時，不改變下一跳屬性，如果配置了負載分擔(dān)，路由被發(fā)給舊GP鄰居時則會修改。MED屬性：BGP路由器通過不同 EBGP鄰居得到相同目的地的路由時，其它條件相同 時，有限選擇MED值小的作為最佳路由。local-pref屬性：該屬性僅在 舊GP鄰居間交換，不通告Z其他 AS;當(dāng)BGP路由器通過 不同 舊GP鄰居得到相同目的地但下一跳不同的多條路由時，優(yōu)先選擇lo

10、cal-pref值較高的路由。community屬性：該屬性簡化路由策略的應(yīng)用和降低維護管理的難度。 六、BGP的選路策略，共3中情況情況1:接收路由的策略（首先丟棄下一跳（NEXT_HOP ）不可達的路由；優(yōu)選Preferred-value 值最大的路由；優(yōu)選本地優(yōu)先級（ LOCAL_PREF ）最高的路由；優(yōu)選聚合路由；優(yōu)選 AS 路徑（AS_PATH）最短的路由；依次選擇 ORIGIN類型為IGP、EGP、Incomplete的路由； 優(yōu)選MED值最低的路由；依次選擇從EBGP、聯(lián)盟、舊GP學(xué)來的路由；優(yōu)選下一跳 Cost值最低的路由；優(yōu)選CLUSTER_LIST 長度最短的路由； 優(yōu)選

11、ORIGINATOR_ID 最小的路由； 優(yōu)選Router ID最小的路由器發(fā)布的路由；優(yōu)選地址最小的對等體發(fā)布的路由。）情況2:發(fā)布路由的策略（存在多條有效路由時，BGP發(fā)言者只將最優(yōu)路由發(fā)布給對等體； BGP發(fā)言者只把自己使用的路由發(fā)布給對等體；BGP發(fā)言者從EBGP獲得的路由會向它所有BGP對等體發(fā)布（包括 EBGP對等體和 舊GP對等體）；BGP發(fā)言者從 舊GP獲得的路由 不向它的 舊GP對等體發(fā)布；BGP發(fā)言者從 舊GP獲得的路由發(fā)布給它的 EBGP對等體（關(guān) 閉BGP與IGP同步的情況下，舊GP路由被直接發(fā)布；開啟 BGP與IGP同步的情況下，該 IBGP路由只有在IGP也發(fā)布了這

12、條路由時才會被同步并發(fā)布給EBGP對等體）；連接一旦建立，BGP發(fā)言者將把自己所有的 BGP路由發(fā)布給新對等體。） 情況3:應(yīng)用了負載分擔(dān)后時的選路 七、BGP和IGP的同步問題 1.IBGP路由加入路由表前并發(fā)布給 EBGP鄰居前，會先檢查IGP路由表，只有IGP葉有改 目的路由是，認為是同步的，才會發(fā)布路由給 EBGP鄰居。否則是不同步，不加入不發(fā)布。 八、大規(guī)模BGP網(wǎng)絡(luò)面臨的問題 1.路由聚合：支持自動聚合和手動聚合，手動聚合可以控制聚合路由屬性，以及決定是否發(fā) 布具體路由。.路由衰減.路由反射器.聯(lián)盟第三部分路由策略 一、路由策略概述，共 3點 1.作用：為了改變流量的路徑而修改路由

13、信息.應(yīng)用場合：路由發(fā)布時路由接收時路由引入時.實現(xiàn)方法：step定義匹配規(guī)則 step將匹配規(guī)則應(yīng)用到需要的場合二、路由策略實現(xiàn)用到的過濾器(1.2.6是通用的，3.4.5是BGP專用的).ACL.地址前綴.as-path訪問列表.團體屬性列表.擴展團體屬性列表.route-policy第四部分 AAA和radius一、AAA知識點，4點.AAA=authentication、authorization、accounting (認證、授權(quán)、計費)：認證是確認遠端 訪問用戶的身份是否合法授權(quán)是對不同用戶賦予不同權(quán)限，限制用戶可以使用的服務(wù)計費是記錄用戶使用網(wǎng)絡(luò)服務(wù)中的所有操作，包括使用的服務(wù)類

14、型、起始時間、數(shù)據(jù)流量等， 不僅是計費手段，也對網(wǎng)絡(luò)安全起監(jiān)視作用。.AAA 是C/S架構(gòu)，一般radius或hwtacacs規(guī)定NAS與server如何傳遞用戶信息。.3個A可以搭配使用。二、radius 概述.radius=remote authentication dial-in user service (遠程認證撥號用戶服務(wù)).radius是分布式、C/S架構(gòu)的信息交互協(xié)議.radius基于UDP, 1812為認證端口、1813為計費端口.radius最早用于撥號接入，后來用于以太網(wǎng)接入、ADSL接入三、radius服務(wù)器通常維護3個數(shù)據(jù)庫 1.users：用戶名、口令、協(xié)議、ip地

15、址 2.clients:共享密鑰、ip地址 3.dictionary :屬性和屬性值 四、radius客戶端和服務(wù)器端交互機制，共3點.radius客戶端和服務(wù)器之間認證消息的交互通過共享密鑰保證安全，網(wǎng)絡(luò)不傳輸共享密鑰。用戶密碼在網(wǎng)絡(luò)上加密傳輸。.radius服務(wù)器支持多種方法認證用戶(如基于 PPP的PAPCHAP ).radius服務(wù)器可以為其它類型認證服務(wù)器提供代理五、radius消息交互流程，共 9步Step0用戶發(fā)起連接請求，向 RADIUS客戶端發(fā)送用戶名和密碼。StepRADIUS 客戶端根據(jù)獲取的用戶名和密碼，向 RADIUS服務(wù)器發(fā)送認證請求包 (Access-Reques

16、t),其中的密碼在共享密鑰的參與下由MD5算法進行加密處理。Ste陪RADIUS服務(wù)器對用戶名和密碼進行認證。 如果認證成功，RADIUS服務(wù)器向RADIUS 客戶端發(fā)送認證接受包 (Access-Accept);如果認證失敗，則返回認證拒絕包(Access-Reject)。 由于RADIUS協(xié)議合并了認證和授權(quán)的過程， 因此認證接受包中也包含了用戶的授權(quán)信息。StepRADIUS客戶端根據(jù)接收到的認證結(jié)果接入/拒絕用戶。如果允許用戶接入，則RADIUS客戶端向 RADIUS服務(wù)器發(fā)送計費開始請求包( Accounting-Request) o Step RADIUS服務(wù)器返回計費開始響應(yīng)包(

17、 Accounting-Response ),并開始計費。Step用戶開始訪問網(wǎng)絡(luò)資源。Step用戶請求斷開連接，RADIUS客戶端向RADIUS服務(wù)器發(fā)送計費停止請求包（Accounting-Request ）。Step RADIUS 服務(wù)器返回計費結(jié)束響應(yīng)包（ Accounting-Response ）,并停止計費。Step用戶結(jié)束訪問網(wǎng)絡(luò)資源。第五部分VPN一、VPN特點，共3點.VPN是利用現(xiàn)有公共網(wǎng)絡(luò)，通過資源配置形成的邏輯上的網(wǎng)絡(luò)。.VPN為特定企業(yè)或用戶群專用。.VPN不是簡單的高層業(yè)務(wù)。二、VPN的優(yōu)勢，共5點.為用戶建立可靠的安全連接.提高網(wǎng)絡(luò)資源利用率.VPN應(yīng)用靈活.滿足

18、移動業(yè)務(wù)需求.MPLS-VPN能構(gòu)建具有QoS的VPN三、VPN網(wǎng)絡(luò)結(jié)構(gòu)描述，共 3點.若干site組成VPN.所有site屬于一個企業(yè)是intranet VPN.所有site分屬不同企業(yè)是 Extranet VPN四、VPN如何來組建邏輯網(wǎng)絡(luò)，共 2點.呼叫連接過程由ISP得NAS與VPN服務(wù)器共同完成。.POP=point of presence服務(wù)器（位于ISP得邊緣，直接接用戶）五、VPN的本質(zhì)，共4點.VPN=隧道+加密.隧道分為二層隧道和三層隧道.二層隧道一般終止在用戶側(cè)設(shè)備，三層隧道一般終止在ISP網(wǎng)關(guān)；三層隧道比二層隧道更安全更容易擴展更可靠.二層隧道和三層隧道可獨立使用，也可

19、配置使用，這樣更更全更佳的性能六、VPDN總結(jié)，共2點.VPDN=virtual private dial network 虛擬私有撥號網(wǎng)：指利用公共網(wǎng)絡(luò)（ ISDN或PSTN）的 撥號功能及接入網(wǎng)來實現(xiàn)VPN.VPDN有兩種實現(xiàn)方式： NAS通過隧道協(xié)議，與 VPDN網(wǎng)關(guān)建立通道客戶機直接與 VPDN網(wǎng)關(guān)建立隧道七、L2TP總結(jié).協(xié)議背景：PPP協(xié)議定義了一種封裝技術(shù)，可在二層點到點鏈路傳輸多種協(xié)議數(shù)據(jù)包，用戶與NAS間運行PPP協(xié)議，二層鏈路端點與 PPP會話點駐留在相同硬件設(shè)備上；L2TP提供了對PPP鏈路層數(shù)據(jù)包的通道（tunnel）傳輸支持，允許二層鏈路端點和PPP會話點駐留在不同設(shè)

20、備上，且采用包交換進行信息交互，擴展了PPP模型。.術(shù)語：LAC=L2TP accessconnectrator （具有PPP端系統(tǒng)和L2TP協(xié)議處理能力的設(shè)備） LNS=L2TP network server （PPP端系統(tǒng)處理L2TP協(xié)議服務(wù)器端的設(shè)備）.PPP幀和控制通道及數(shù)據(jù)通道間的關(guān)系：PPP幀在不可靠的L2TP數(shù)據(jù)通道上傳輸，控制消息在可靠的L2TP控制通道內(nèi)傳輸。.tunnel和session： tunnel連接定義了一個 LNS和LAC對；session連接復(fù)用在tunnel之上， 用于表示承載在 tunnel連接中的每個 PPPsession過程；同一對 LAC和LNS間可建

21、立多個 L2TP tunnel, tunnel由一個控制連接和一個或多個session組成；session連接必須在tunnel建立成功后進行，每個session對應(yīng)于LAC和LNS間的一個PPP數(shù)據(jù)流；控制消息和 PPP數(shù)據(jù)報文都在tunnel上傳輸。.控制消息和數(shù)據(jù)消息：控制消息用于隧道和會話的建立、維護、傳輸控制；數(shù)據(jù)消息用于 封裝PPP幀在隧道上傳輸；控制消息和數(shù)據(jù)消息共享相同的報文頭。.L2TP的兩種tunnel模式：遠程撥號用戶發(fā)起直接由LAC客戶發(fā)起。.L2TP隧道和會話建立過程：（用戶端PC發(fā)起呼叫連接請求 PC和LAC進彳T PPP LCP 協(xié)商LAC對PC提供的用戶信息進行

22、 PAP或CHAP認證LAC將熱證信息（用戶名、密 碼）發(fā)送給radius服務(wù)器進行認證radius服務(wù)器認證該用戶；如果認證通過則返回該用戶 對應(yīng)的LNS地址等相關(guān)信息且 LAC準(zhǔn)備發(fā)起tunnel連接請求LAC向指定LNS發(fā)起tunnel 連接請求LAC向指定LNS發(fā)送CHAP challenge信息，LNS會送該 challenge響應(yīng)消息 CHAP response并發(fā)送 LNS 側(cè)的 CHAP challenge,LAC 返回該 challenge 的響應(yīng)消息 CHAP response隧道驗證通過 LAC將用戶 CHAPresponse response identfier和PPP

23、協(xié)商參數(shù)傳 送給LNSLNS將介入請求信息發(fā)送給radius服務(wù)器進行認證（11） radius服務(wù)器認證該請求信息，如果認證通過則返回響應(yīng)信息（12）若用戶在LNS配置強制本端 CHAP認證，則LNS對用戶進行認證，發(fā)送 CHAP challenge ,用戶側(cè)回應(yīng) CHAP response （13） LNS再次將 接入請求信息發(fā)送給 radius服務(wù)器進行認證（14） radius服務(wù)器認證該請求信息，如果認證 通過則返回響應(yīng)信息；驗證通過，用戶訪問企業(yè)內(nèi)部資源。八、GRE總結(jié)，共6點。.GRE=generic routing encapsulation （通用路由封裝）：是對某些網(wǎng)絡(luò)層協(xié)

24、議（如 ip和IPX ） 的數(shù)據(jù)報文進行封裝，使被封裝的數(shù)據(jù)報文能在另一網(wǎng)絡(luò)層協(xié)議（如 ip）中傳輸。.GRE是VPN的三層隧道協(xié)議。.tunnel是一個虛擬點到點連接，可以看成僅支持點到點連接的虛擬接口。.報文在tunnel中傳輸，必須經(jīng)歷 2個處理過程： encapsulationde-encapsulation.GRE的使用：多協(xié)議的本地網(wǎng)通過單一協(xié)議骨干網(wǎng)傳輸擴大步跳數(shù)受限協(xié)議（如IPX）的網(wǎng)絡(luò)工作范圍將不連續(xù)子網(wǎng)連接用于組建VPN與IPsec結(jié)合使用。.GRE的配置：必須先創(chuàng)建tunnel虛擬接口，然后在tunnel接口上配置其它功能特性 （刪 除tunnel接口同時接口所有配置也被

25、刪除）目前 comware不支持GRE對IPX的封裝。 九、IPsec總結(jié)1.IPsec概述：由IETF制定IPsec是特定通信方在ip層通過加密與數(shù)據(jù)源驗證等來保證 數(shù)據(jù)傳輸?shù)乃接行?、完整性、真實性和放重放IPsec通過AH和ESP實現(xiàn)安全，通過IKE自動協(xié)商交換密鑰、建立和維護SAAH提供數(shù)據(jù)源驗證、數(shù)據(jù)完整性校驗、報文放重放功能ESP提供AH所有功能外，還提供對ip報文加密。AH和ESP可單獨使用也可搭配使用更安全。2.安全聯(lián)盟SA：IPsec在對等體間提供安全通信通過SA, IPsec能對不同數(shù)據(jù)流提供不同安全級別，專業(yè)說法叫“控制對等體間安全服務(wù)的粒度” SA是IPsec對等體間對某

26、些 要素的定SA是單向的（兩個對等體間雙向通信，至少需要兩個SA）SA由三元組來標(biāo)識（ 目的ip地址安全協(xié)議號AH或ESP）SA有生存周期，計算方式有兩種（時間 和流量）。3.IPsec的操作模式有2種：傳輸模式（AH或ESP被插入到ip頭之后所有傳輸層協(xié)議之 前或所有其他IPsec協(xié)議之前）隧道模式（AH或ESP插入在原始ip頭之前，另外生成一 個新頭放在AH或ESP之前）隧道模式的安全性優(yōu)于傳輸模式但性能不及傳輸模式。4.驗證算法和加密算法：驗證算法（有兩種MD5和SHA-1 ;用于完整性驗證判斷報文在傳輸過程中是否被篡改；驗證算法通過雜湊函數(shù)接受任意長的消息輸入，產(chǎn)生固定長度輸出的算法，

27、輸出信息稱為消息摘要；MD5輸入任意長度產(chǎn)生128bits摘要，SHA-A輸入小于2 的 64 次方 bits 產(chǎn)生 160bits 摘要）加密算法（DES=data encryption standard 使用 56bits 的 密鑰對64bits明文加密；3DES=Triple DES 使用3個56bits密鑰對明文加密； AES=advanced encryption standard -comware 實現(xiàn)了 128bits/192bits/256bits 密鑰長度的 AES 算法）。5.IPsec的2種協(xié)商方式：手工方式（manual）IKE自動協(xié)商手工方式配置復(fù)雜且IPsec一些高

28、級特性（如定時更新密鑰）不被支持；IKE只需配置好IKE協(xié)商安全策略信息由IKE自動協(xié)商來創(chuàng)建和維護SA對等體設(shè)備數(shù)量少或小型靜態(tài)環(huán)境使用手工配置SA;大中型動態(tài)網(wǎng)絡(luò)環(huán)境中使用IKE協(xié)商建立SA。6.加密卡：加密/解密、認證算法一般比較復(fù)雜，占用大量CPU資源，影響路由器整體處理效率模塊化路由可以使用加密卡，以硬件方式完成IPsec運算；提高了路由器工作效率也提高了 IPsec處理效率。第六部分QoS一、QoS概述，共5點.QoS是網(wǎng)絡(luò)轉(zhuǎn)發(fā)分組的服務(wù)能力.傳統(tǒng) ip 網(wǎng)絡(luò) QoS是 FIFO （best-effort）.現(xiàn)今的ip網(wǎng)絡(luò)要承載新業(yè)務(wù)（視頻語音等業(yè)務(wù)），對帶寬和延遲、抖動要求較高.

29、延遲、抖動主要是擁塞引起的.流量管理的5種技術(shù)：流分類流量監(jiān)管流量整形擁塞管理擁塞避免 二、流分類總結(jié)，共 6點.流分類是對流量進行分類，是實現(xiàn)QoS的基礎(chǔ).流分類可使用TOS或根據(jù)源地址、目的地址、MAC地址、ip協(xié)議或端口號燈信息對流進行分類.一般的分類依據(jù)都局限在封裝報文的頭部信息，使用報文內(nèi)容作為分類標(biāo)準(zhǔn)比較少見。.一般在網(wǎng)絡(luò)邊界對報文分類，同時設(shè)置報文ip頭TOS字段的優(yōu)先級位。這樣在網(wǎng)絡(luò)內(nèi)部直接使用ip優(yōu)先級作為分類標(biāo)準(zhǔn)，隊列技術(shù)也可使用這個優(yōu)先級對報文進行不同的處理。下游網(wǎng)絡(luò)可選擇接受上游網(wǎng)絡(luò)的分類結(jié)果，也可按自己的標(biāo)準(zhǔn)重新進行分類。.當(dāng)報文進入網(wǎng)絡(luò)時依據(jù)承諾速率進行監(jiān)管，流出結(jié)

30、點前進行整形，擁塞時的隊列調(diào)度管理，擁塞加劇時采取擁塞避免.TOS和DSCP:TOS有8bits ,前3bits是ip優(yōu)先級，取值范圍是 0-7;后3-6bits是TOS 優(yōu)先級，取值范圍是 0-15。重新定義 TOS域，稱為DS域。DSCP優(yōu)先級使用前6bits , 取值范圍0-64,后2bits保留。三、令牌桶.令牌桶是流量評估機制，或者說是評估流量是否超標(biāo)的手段.令牌桶是存放一定數(shù)量令牌的容器。系統(tǒng)按設(shè)定的速度向桶中放置令牌，當(dāng)桶中令牌滿時，多出的令牌溢出，桶中令牌不再增加。.通常一個令牌關(guān)聯(lián)一個比特的轉(zhuǎn)發(fā)權(quán)限。.簡單評估（CIRCBS） :CIR承諾信息速率；CBS承諾突發(fā)尺寸，設(shè)置的

31、突發(fā)尺寸必須大于 最大報文長度。.復(fù)雜評估（c桶和e桶，CIRCBSPIREBS ） IR峰值信息速率；EBS超出突發(fā)尺寸。 四、流量監(jiān)管總結(jié)，共 4點.流量監(jiān)管是監(jiān)督進入網(wǎng)絡(luò)某一流量規(guī)格，將流量限制在合理范圍。.如果發(fā)現(xiàn)某個鏈接流量超標(biāo)，流量監(jiān)管可選擇丟棄報文，或重新設(shè)置報文的優(yōu)先級。.流量監(jiān)管廣泛用于監(jiān)管進入Internet ISP的網(wǎng)絡(luò)流量。.監(jiān)管動作：轉(zhuǎn)發(fā)（比如對評估結(jié)果“符合”的報文繼續(xù)轉(zhuǎn)發(fā)）丟棄（比如對評估結(jié)果 為“不符合”的報文進行丟棄）改變優(yōu)先級并轉(zhuǎn)發(fā)（比如對評估結(jié)果為“符合”的報文將 之標(biāo)記為其它的優(yōu)先級后再進行轉(zhuǎn)發(fā)）改變優(yōu)先級進入下一級監(jiān)管 （比如對評估結(jié)果為“符合”的報文

32、將之標(biāo)記為其它的優(yōu)先級后在進入下一級監(jiān)管）進入下一級監(jiān)管（流量監(jiān)管可以逐級堆疊，每級關(guān)注和監(jiān)管更具體的目標(biāo)）五、流量整形總結(jié)，共 3點.流量整形是主動調(diào)整流量輸出速率的措施。典型應(yīng)用時基于下游網(wǎng)絡(luò)結(jié)點的TP指標(biāo)來控制本地流量的輸出。.整形和監(jiān)管的區(qū)別是整形對監(jiān)管中需要丟棄的報文進行緩存，當(dāng)令牌桶中有足夠令牌，均 勻向外發(fā)送這些報文。另外，整形會增加延遲，而監(jiān)管幾乎不引入額外的延遲。.舉例：RA向RB發(fā)送報文，RB要又RA發(fā)送來的報文進行監(jiān)管， 對超出的流量直接丟棄。 為了減少報文無謂丟失，可在RA的出口對報文進行整形處理，將超出的流量緩存起來，當(dāng)可以繼續(xù)發(fā)送時再發(fā)送。六、擁塞管理總結(jié)，共 3點

33、.分組到達速度大于接口發(fā)送分組的速度就產(chǎn)生擁塞；如果沒有足夠空間存儲這些分組，就 會丟失，丟失的分組會導(dǎo)致發(fā)送該分組的設(shè)備因超時而重傳，這樣講導(dǎo)致惡性循環(huán)。.擁塞管理的本質(zhì)是黨擁塞發(fā)生時指定資源調(diào)度策略決定報文轉(zhuǎn)發(fā)次序的機制。主要靠各種隊列機制完成。.QP=fair queuing公平隊列：不同隊列獲得公平調(diào)度機會，從總體上均衡各個流的延遲 短報文和長報文獲得公平的調(diào)度，如果不同隊列間同時存在多個長報文和短報文等待發(fā)送， 應(yīng)當(dāng)估計短報文的利益，讓短報文優(yōu)先獲得調(diào)度，從而總體上減少各個流的包文件的抖動。.WFQ加權(quán)公平隊列： WFQ計算報文調(diào)度次序時增加了優(yōu)先權(quán)的考慮，高優(yōu)先權(quán)的報文獲 得調(diào)度的

34、機會多于低優(yōu)先級的報文。在出隊時，WFQ按流的優(yōu)先權(quán)分配每個流占有出口帶寬。優(yōu)先權(quán)的數(shù)值越小，所得帶寬越小。七、擁塞避免總結(jié)，共 5點.擁塞避免（congestion avoidance）是一種流控機制，通過監(jiān)視網(wǎng)絡(luò)資源（如隊列或內(nèi)存緩 沖區(qū)）的使用情況，在擁塞有加劇的趨勢時，主動丟棄報文，通過調(diào)整網(wǎng)絡(luò)流量解除網(wǎng)絡(luò)過載。.傳統(tǒng)丟包策略是tail-drop （尾部丟棄），當(dāng)隊列的長度達到最大值后，所有新來的報文都被 丟棄。將引發(fā)TCP全局同步現(xiàn)象。.TCP全局同步：當(dāng)隊列同時丟棄多個 TCP連接的報文時，將造成多個 TCP連接同時進入 擁塞避免和慢啟動狀態(tài)以降低并調(diào)整流量，而后又同時出現(xiàn)流量高峰

35、，如此反復(fù)，使網(wǎng)絡(luò)流量不停震蕩。.RED （random Early detection）隨機早期檢測：每個隊列都有上下限隊列長度小于下 限不丟棄報文隊列長度超過上限，丟棄所有來到的報文隊列長度介于上下限之間，開始隨機丟棄到來的報文，隊列越長丟棄概率越高，但有一個最大丟棄概率。.WRED （weigted random Early detection ）加權(quán)隨機早期檢測：生成的隨機數(shù)是基于優(yōu)先權(quán) 的，它引入ip優(yōu)先權(quán)區(qū)別丟棄策略，考慮高優(yōu)先權(quán)報文利益，使其被丟棄的概率相對較小。第七部分IPV6 一、ipv6概述1.ipv6是網(wǎng)絡(luò)層第二代標(biāo)準(zhǔn)協(xié)議。2.由IETF制定。3.ipv6與ipv4最顯著

36、的變化時地址長度增加到128bits,報文格式也有較大變化。二、ipv6的特點，共8點.簡化的報文頭：ipv6基本報文頭固定40字節(jié)，是ipv4不含可選字段報文頭的 2倍（ipv6 將ipv4報文頭某些字段裁剪或移到擴展報頭部分，提高了轉(zhuǎn)發(fā)效率） 。.充足的地址空間：超過 3.4乘10的38次方個地址。.層次化地址結(jié)構(gòu)：有利于路由快速查找和路由匯聚。.地址自動配置：無狀態(tài)地址自動配置（還有有狀態(tài)地址自動配置DHCPV6和手工配置）。.內(nèi)置安全性：ipv6直接將IPsec作為擴展報頭，提供端到端的安全。.支持QoS:基本報頭的flow label字段允許設(shè)備對某一流中報文進行識別并提供特殊處理。.增強的鄰居發(fā)現(xiàn)機制：ipv6沒有了 ARP,通過ICMPv6實現(xiàn)同樣功能。.靈活的擴展報頭：提高處理效率增強靈活性增強擴展性三、ipv6的地址表不.用“冒號十六進制”表示法。.每組前導(dǎo)0可省略。.連續(xù)多組全0用:代替，但每個地址只能出現(xiàn)一次。4.ipv6地址=前綴+接口標(biāo)識四、ipv6