- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-係統功能介紹
本章節下載 (872.44 KB)
目 錄
在ESS(Extended Service Set,拓展服務集)區域中,WLAN客戶端從一個AP上接入轉移到另一個AP上接入的過程叫做漫遊。在漫遊過程中,客戶端需要維持原有的IP地址、授權信息等,確保已有業務不中斷。
為了提高用戶體驗,縮短客戶端漫遊時間,AC支持快速漫遊,即使用RSN+802.1X認證接入的客戶端在漫遊到新AP時不再需要進行802.1X認證。
· IADTP(Inter Access Device Tunneling Protocol,接入設備間隧道協議):H3C公司自主研發的隧道協議,該協議提供了設備間報文的通用封裝和傳輸機製。提供漫遊服務的設備之間會建立IADTP隧道,用於保證設備間控製報文以及客戶端漫遊信息的安全傳輸。
· HA(Home Agent,本地代理):客戶端跨AC漫遊後,與該客戶端初始上線AP相連接的AC即為HA。
· FA(Foreign Agent,外地代理):客戶端跨AC漫遊後,客戶端與某個不是HA的AC進行關聯,該AC即為FA。
如圖1-1所示,當前網絡中隻有一台AC,客戶端可以從同一AC內的一個AP漫遊到另一個AP上接入,稱為AC內漫遊(Intra-AC roaming)。
客戶端完成AC內漫遊的過程如下:
(1) 客戶端在AP 1上初始上線,在AC上會創建該客戶端的漫遊表項信息;
(2) 客戶端漫遊到AP 2,AC查找該客戶端的漫遊表項,如果是RSN+802.1X認證方式,且客戶端攜帶的PMKID和設備緩存的PMKID一致,則對其進行快速漫遊,其他情況,則不對其進行快速漫遊;
(3) 如果進行快速漫遊,客戶端不需要再次認證,即可在AP 2上成功上線;否則需要重新認證。
圖1-1 AC內漫遊
如圖1-2所示,當前網絡中存在多台AC,客戶端除了在AC內漫遊,還可能從一個AC內的AP漫遊到另一個AC內的AP上接入,稱為AC間漫遊(Inter-AC roaming)。該組網方式下,通過創建漫遊組,統一管理參與漫遊的AC,沒有加入漫遊組的AC將不參與漫遊。
客戶端完成AC間漫遊的過程如下:
(1) 客戶端在AP 2上初始上線,在AC 1上會創建該客戶端的漫遊表項,並通過IADTP隧道將漫遊表項同步到漫遊組成員AC 2上;
(2) 客戶端漫遊到AP 3,AC 2查找該客戶端的漫遊表項,如果是RSN+802.1X認證方式,且客戶端攜帶的PMKID和設備緩存的PMKID一致,則對其進行快速漫遊,其他情況,則不對其進行快速漫遊;
(3) 如果進行快速漫遊,客戶端不需要再次認證,即可在AP 3上成功上線;否則需要重新認證;
(4) 客戶端在AP 3上線,AC 2會給AC 1發送漫遊請求消息;
(5) AC 1收到漫遊請求消息,並校驗漫遊信息是否正確。如果校驗失敗,則給AC 2回複漫遊失敗的漫遊響應消息。如果校驗成功,AC 1添加該客戶端的漫遊軌跡和漫出信息,並給AC 2回複漫遊成功的漫遊響應信息;
(6) AC 2收到AC 1回複的漫遊響應信息。如果漫遊失敗,AC 2將通知客戶端下線;如果漫遊成功,AC 2添加該客戶端的漫入信息。
圖1-2 AC間漫遊
以太網鏈路聚合通過將多條以太網物理鏈路捆綁在一起形成一條以太網邏輯鏈路,實現增加鏈路帶寬的目的,同時這些捆綁在一起的鏈路通過相互動態備份,可以有效地提高鏈路的可靠性。
鏈路捆綁是通過接口捆綁實現的,多個以太網接口捆綁在一起後形成一個聚合組,而這些被捆綁在一起的以太網接口就稱為該聚合組的成員端口。每個聚合組唯一對應著一個邏輯接口,稱為聚合接口。聚合組與聚合接口的編號是相同的,例如聚合組1對應於聚合接口1。
二層聚合組/二層聚合接口:二層聚合組的成員端口全部為二層以太網接口,其對應的聚合接口稱為二層聚合接口。
聚合接口的速率和雙工模式取決於對應聚合組內的選中端口:聚合接口的速率等於所有選中端口的速率之和,聚合接口的雙工模式則與選中端口的雙工模式相同。
聚合組內的成員端口具有以下兩種狀態:
· 選中(Selected)狀態:此狀態下的成員端口可以參與數據的轉發,處於此狀態的成員端口稱為“選中端口”。
· 非選中(Unselected)狀態:此狀態下的成員端口不能參與數據的轉發,處於此狀態的成員端口稱為“非選中端口”。
操作Key是係統在進行鏈路聚合時用來表征成員端口聚合能力的一個數值,它是根據成員端口上的一些信息(包括該端口的速率、雙工模式等)的組合自動計算生成的,這個信息組合中任何一項的變化都會引起操作Key的重新計算。在同一聚合組中,所有的選中端口都必須具有相同的操作Key。
屬性類配置:包含的配置內容如表1-1所示。在聚合組中,隻有與對應聚合接口的屬性類配置完全相同的成員端口才能夠成為選中端口。
|
配置項 |
內容 |
|
端口隔離 |
端口是否加入隔離組、端口所屬的端口隔離組 |
|
VLAN配置 |
端口上允許通過的VLAN、端口缺省VLAN、端口的鏈路類型、VLAN報文是否帶Tag配置 |
鏈路聚合分為靜態聚合和動態聚合兩種模式,處於靜態聚合模式下的聚合組稱為靜態聚合組,處於動態聚合模式下的聚合組稱為動態聚合組。
靜態聚合和動態聚合工作時首先要選取參考端口,之後再確定成員端口的狀態。
(1) 選擇參考端口
參考端口從本端的成員端口中選出,其操作Key和屬性類配置將作為同一聚合組內的其他成員端口的參照,隻有操作Key和屬性類配置與參考端口一致的成員端口才能被選中。
對於聚合組內處於up狀態的端口,按照端口的端口優先級->全雙工/高速率->全雙工/低速率->半雙工/高速率->半雙工/低速率的優先次序,選擇優先次序最高、且屬性類配置與對應聚合接口相同的端口作為參考端口;如果多個端口優先次序相同,首先選擇原來的選中端口作為參考端口;如果此時多個優先次序相同的端口都是原來的選中端口,則選擇其中端口號最小的端口作為參考端口;如果多個端口優先次序相同,且都不是原來的選中端口,則選擇其中端口號最小的端口作為參考端口。
(2) 確定成員端口狀態
動態聚合模式通過LACP(Link Aggregation Control Protocol,鏈路聚合控製協議)協議實現,動態聚合組內的成員端口可以收發LACPDU(Link Aggregation Control Protocol Data Unit,鏈路聚合控製協議數據單元),本端通過向對端發送LACPDU通告本端的信息。當對端收到該LACPDU後,將其中的信息與所在端其他成員端口收到的信息進行比較,以選擇能夠處於選中狀態的成員端口,使雙方可以對各自接口的選中/非選中狀態達成一致。
(1) 選擇參考端口
參考端口從聚合鏈路兩端處於up狀態的成員端口中選出,其操作Key和屬性類配置將作為同一聚合組內的其他成員端口的參照,隻有操作Key和屬性類配置與參考端口一致的成員端口才能被選中。
· 首先,從聚合鏈路的兩端選出設備ID(由係統的LACP優先級和係統的MAC地址共同構成)較小的一端:先比較兩端的係統LACP優先級,優先級數值越小其設備ID越小;如果優先級相同再比較其係統MAC地址,MAC地址越小其設備ID越小。
· 其次,對於設備ID較小的一端,再比較其聚合組內各成員端口的端口ID(由端口優先級和端口的編號共同構成):先比較端口優先級,優先級數值越小其端口ID越小;如果優先級相同再比較其端口號,端口號越小其端口ID越小。端口ID最小、且屬性類配置與對應聚合接口相同的端口作為參考端口。
(2) 確定成員端口的狀態
在設備ID較小的一端,動態聚合組內成員端口狀態的確定流程如圖1-4所示
與此同時,設備ID較大的一端也會隨著對端成員端口狀態的變化,隨時調整本端各成員端口的狀態,以確保聚合鏈路兩端成員端口狀態的一致。
靜態聚合和動態聚合的優點分別為:
· 靜態聚合模式:一旦配置好後,端口的轉發流量的狀態就不會受網絡環境的影響,比較穩定。
· 動態聚合模式:能夠根據對端和本端的信息調整端口的轉發流量的狀態,比較靈活。
PPPoE(Point-to-Point Protocol over Ethernet,在以太網上承載PPP協議)的提出,解決了PPP無法應用於以太網的問題,是對PPP協議的擴展。
PPPoE描述了在以太網上建立PPPoE會話及封裝PPP報文的方法。要求通信雙方建立的是點到點關係,而不是在以太網中所出現的點到多點關係。
PPPoE利用以太網將大量主機組成網絡,然後通過一個遠端接入設備為以太網上的主機提供互聯網接入服務,並對接入的每台主機實現控製、認證、計費功能。由於很好地結合了以太網的經濟性及PPP良好的可擴展性與管理控製功能,PPPoE被廣泛應用於小區接入組網等環境中。
PPPoE協議將PPP報文封裝在以太網幀之內,在以太網上提供點對點的連接。關於PPPoE的詳細介紹,可以參考RFC 2516。
目前設備作為PPPoE client接入網絡。
設備各款型對於PPPoE Client的支持情況有所不同,詳細差異信息如下:
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
不支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
不支持 |
|
AC1000係列 |
AC1016 AC1108 |
支持 |
PPPoE使用Client/Server模型。PPPoE Client向PPPoE Server發起連接請求,兩者之間會話協商通過後,就建立PPPoE會話,此後PPPoE Server向PPPoE Client提供接入控製、認證、計費等功能。
常見組網如下:
在兩台路由器之間建立PPPoE會話,所有主機通過同一個PPPoE會話傳送數據,主機上不用安裝PPPoE客戶端撥號軟件,一般是一個企業共用一個賬號接入網絡(圖中PPPoE Client位於企業/公司內部,PPPoE Server是運營商的設備)。
圖1-5 PPPoE組網結構圖
VLAN(Virtual Local Area Network,虛擬局域網)技術可以把一個物理LAN劃分成多個邏輯的LAN——VLAN,每個VLAN是一個廣播域。處於同一VLAN的主機能夠直接互通,而處於不同VLAN的主機不能夠直接互通。
VLAN可以基於端口進行劃分。它按照設備端口來定義VLAN成員,將指定端口加入到指定VLAN中之後,端口就可以轉發該VLAN的報文。
在某VLAN內,可根據需要配置端口加入Untagged端口列表或Tagged端口列表(即配置端口為Untagged端口或Tagged端口),從Untagged端口發出的該VLAN報文不帶VLAN Tag,從Tagged端口發出的該VLAN報文帶VLAN Tag。
端口的鏈路類型分為三種。在端口加入某VLAN時,對不同鏈路類型的端口加入的端口列表要求不同:
· Access:端口隻能發送一個VLAN的報文,發出去的報文不帶VLAN Tag。該端口隻能加入一個VLAN的Untagged端口列表。
· Trunk:端口能發送多個VLAN的報文,發出去的端口缺省VLAN的報文不帶VLAN Tag,其他VLAN的報文都必須帶VLAN Tag。在端口缺省VLAN中,該端口隻能加入Untagged端口列表;在其他VLAN中,該端口隻能加入Tagged端口列表。
· Hybrid:端口能發送多個VLAN的報文,端口發出去的報文可根據需要配置某些VLAN的報文帶VLAN Tag,某些VLAN的報文不帶VLAN Tag。在不同VLAN中,該端口可以根據需要加入Untagged端口列表或Tagged端口列表。
不同VLAN間的主機不能直接通信,通過設備上的VLAN接口,可以實現VLAN間的三層互通。VLAN接口是一種三層的虛擬接口,它不作為物理實體存在於設備上。每個VLAN對應一個VLAN接口,VLAN接口的IP地址可作為本VLAN內網絡設備的網關地址,對需要跨網段的報文進行基於IP地址的三層轉發。
MAC(Media Access Control,媒體訪問控製)地址表記錄了MAC地址與接口的對應關係,以及接口所屬的VLAN等信息。設備在轉發報文時,根據報文的目的MAC地址查詢MAC地址表,如果MAC地址表中包含與報文目的MAC地址對應的表項,則直接通過該表項中的出接口轉發該報文;如果MAC地址表中沒有包含報文目的MAC地址對應的表項時,設備將采取廣播的方式通過對應VLAN內除接收接口外的所有接口轉發該報文。
MAC地址表項分為以下幾種:
· 動態MAC地址表項:可以由用戶手工配置,也可以由設備通過源MAC地址學習自動生成,用於目的是某個MAC地址的報文從對應接口轉發出去,表項有老化時間。手工配置的動態MAC地址表項優先級等於自動生成的MAC地址表項。
· 靜態MAC地址表項:由用戶手工配置,用於目的是某個MAC地址的報文從對應接口轉發出去,表項不老化。靜態MAC地址表項優先級高於自動生成的MAC地址表項。
· 黑洞MAC地址表項:由用戶手工配置,用於丟棄源MAC地址或目的MAC地址為指定MAC地址的報文(例如,出於安全考慮,可以禁止某個用戶發送和接收報文),表項不老化。
MAC地址表中自動生成的表項並非永遠有效,每一條表項都有一個生存周期,這個生存周期被稱作老化時間。配置動態MAC地址表項的老化時間後,超過老化時間的動態MAC地址表項會被自動刪除,設備將重新進行MAC地址學習,構建新的動態MAC地址表項。如果在到達生存周期前某表項被刷新,則重新計算該表項的老化時間。
用戶配置的老化時間過長或者過短,都可能影響設備的運行性能:
· 如果用戶配置的老化時間過長,設備可能會保存許多過時的MAC地址表項,從而耗盡MAC地址表資源,導致設備無法根據網絡的變化更新MAC地址表。
· 如果用戶配置的老化時間太短,設備可能會刪除有效的MAC地址表項,導致設備廣播大量的數據報文,增加網絡的負擔。
用戶需要根據實際情況,配置合適的老化時間。如果網絡比較穩定,可以將老化時間配置得長一些或者配置為不老化;否則,可以將老化時間配置得短一些。比如在一個比較穩定的網絡,如果長時間沒有流量,動態MAC地址表項會被全部刪除,可能導致設備突然廣播大量的數據報文,造成安全隱患,此時可將動態MAC地址表項的老化時間設得長一些或不老化,以減少廣播,增加網絡穩定性和安全性。動態MAC地址表項的老化時間作用於全部接口上。
缺省情況下,MAC地址學習功能處於開啟狀態。有時為了保證設備的安全,需要關閉MAC地址學習功能。常見的危及設備安全的情況是:非法用戶使用大量源MAC地址不同的報文攻擊設備,導致設備MAC地址表資源耗盡,造成設備無法根據網絡的變化更新MAC地址表。關閉MAC地址學習功能可以有效防止這種攻擊。在開啟全局的MAC地址學習功能的前提下,用戶可以關閉單個接口的MAC地址的學習功能。
如果MAC地址表過於龐大,可能導致設備的轉發性能下降。通過配置接口的MAC地址數學習上限,用戶可以控製設備維護的MAC地址表的表項數量。當接口學習到的MAC地址數達到上限時,該接口將不再對MAC地址進行學習,同時,用戶還可以根據需要選擇是否允許係統轉發源MAC不在MAC地址表裏的報文。
生成樹協議運行於二層網絡中,通過阻塞冗餘鏈路構建出無數據環路的樹型網絡拓撲,並在設備或數據鏈路故障時,重新計算出新的樹型拓撲。
生成樹協議包括STP、RSTP、PVST和MSTP。
· STP:由IEEE製定的802.1D標準定義,是狹義的生成樹協議。
· RSTP:由IEEE製定的802.1w標準定義,它在STP基礎上進行了改進,實現了網絡拓撲的快速收斂。其“快速”體現在,當一個端口被選為根端口和指定端口後,其進入轉發狀態的延時將大大縮短,從而縮短了網絡最終達到拓撲穩定所需要的時間。
· PVST:PVST為每個VLAN維護一個單獨的生成樹實例。每個VLAN都將運行單個生成樹,允許以每個VLAN為基礎開啟或關閉生成樹。每個VLAN內的生成樹實例都有單獨的網絡拓撲結構,相互之間沒有影響。
· MSTP:由IEEE製定的802.1s標準定義,它可以彌補STP和RSTP的缺陷,既可以快速收斂,也能使不同VLAN的流量沿各自的路徑轉發,從而為冗餘鏈路提供了更好的負載分擔機製。
生成樹的工作模式有以下幾種:
· STP模式:設備的所有端口都將向外發送STP BPDU。如果端口的對端設備隻支持STP,可選擇此模式。
· RSTP模式:設備的所有端口都向外發送RSTP BPDU。當端口收到對端設備發來的STP BPDU時,會自動遷移到STP模式;如果收到的是MSTP BPDU,則不會進行遷移。
· PVST模式:對於Access端口,PVST將根據該VLAN的狀態發送RSTP格式的BPDU。對於Trunk端口和Hybrid端口,PVST將在缺省VLAN內根據該VLAN的狀態發送RSTP格式的BPDU,而對於其他本端口允許通過的VLAN,則發送PVST格式的BPDU。
· MSTP模式:設備的所有端口都向外發送MSTP BPDU。當端口收到對端設備發來的STP BPDU時,會自動遷移到STP模式;如果收到的是RSTP BPDU,則不會進行遷移。
MSTP把一個交換網絡劃分成多個域,這些域稱為MST(Multiple Spanning Tree Regions,多生成樹域)域。每個域內形成多棵生成樹,各生成樹之間彼此獨立並分別與相應的VLAN對應,每棵生成樹都稱為一個MSTI(Multiple Spanning Tree Instance,多生成樹實例)。CST(Common Spanning Tree,公共生成樹)是一棵連接交換網絡中所有MST域的單生成樹。IST(Internal Spanning Tree,內部生成樹)是MST域內的一棵生成樹,它是一個特殊的MSTI,通常也稱為MSTI 0,所有VLAN缺省都映射到MSTI 0上。CIST(Common and Internal Spanning Tree,公共和內部生成樹)是一棵連接交換網絡內所有設備的單生成樹,所有MST域的IST再加上CST就共同構成了整個交換網絡的一棵完整的單生成樹。
其中,對於屬於同一MST域的設備具有下列特點:
· 都使能了生成樹協議。
· 域名相同。
· VLAN與MSTI間映射關係的配置相同。
· MSTP修訂級別的配置相同。
· 這些設備之間有物理鏈路連通。
生成樹可能涉及到的端口角色有以下幾種:
· 根端口(Root Port):在非根橋上負責向根橋方向轉發數據的端口就稱為根端口,根橋上沒有根端口。
· 指定端口(Designated Port):負責向下遊網段或設備轉發數據的端口就稱為指定端口。
· 替換端口(Alternate Port):是根端口或主端口的備份端口。當根端口或主端口被阻塞後,替換端口將成為新的根端口或主端口。
· 備份端口(Backup Port):是指定端口的備份端口。當指定端口失效後,備份端口將轉換為新的指定端口。當使能了生成樹協議的同一台設備上的兩個端口互相連接而形成環路時,設備會將其中一個端口阻塞,該端口就是備份端口。
· 主端口(Master Port):是將MST域連接到總根的端口(主端口不一定在域根上),位於整個域到總根的最短路徑上。主端口是MST域中的報文去往總根的必經之路。主端口在IST/CIST上的角色是根端口,而在其他MSTI上的角色則是主端口。
STP隻涉及根端口、指定端口和替換端口三種端口角色,RSTP的端口角色中新增了備份端口,MSTP涉及所有的端口角色。
RSTP和MSTP中的端口狀態可分為三種,如表1-2所示。
表1-2 RSTP和MSTP中的端口狀態
|
狀態 |
描述 |
|
Forwarding |
該狀態下的端口可以接收和發送BPDU,也轉發用戶流量 |
|
Learning |
是一種過渡狀態,該狀態下的端口可以接收和發送BPDU,但不轉發用戶流量 |
|
Discarding |
該狀態下的端口可以接收和發送BPDU,但不轉發用戶流量 |
STP定義了五種端口狀態:Disabled、Blocking、Listening、Learning和Forwarding。其中Disabled、Blocking和Listening狀態都對應RSTP/MSTP中的Discarding狀態。
實現了對路由表的查看,包括路由表的概要信息和統計信息。
靜態路由是一種特殊的路由,由管理員手工配置。當網絡結構比較簡單時,隻需配置靜態路由就可以使網絡正常工作。靜態路由不能自動適應網絡拓撲結構的變化,當網絡發生故障或者拓撲發生變化後,必須由管理員手工修改配置。
缺省路由是在沒有找到匹配的路由表項時使用的路由。配置IPv4缺省路由時,指定目的地址為0.0.0.0/0;配置IPv6缺省路由時,指定目的地址為::/0。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
不支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
不支持 |
|
AC1000係列 |
AC1016 AC1108 |
支持 |
RIP(Routing Information Protocol,路由信息協議)是一種基於距離矢量(Distance-Vector)算法的內部網關協議(Interior Gateway Protocol,IGP),它通過UDP報文進行路由信息的交換,使用的端口號為520。RIP適用於小型網絡。
RIP使用跳數來衡量到達目的地址的距離,跳數稱為度量值。在RIP中,路由器到與它直接相連網絡的跳數為0,通過一個路由器可達的網絡的跳數為1,其餘依此類推。為限製收斂時間,RIP規定度量值取0~15之間的整數,大於或等於16的跳數被定義為無窮大,即目的網絡或主機不可達。由於這個限製,使得RIP不適合應用於大型網絡。
每個運行RIP的路由器管理一個路由數據庫,該路由數據庫包含了到所有可達目的地的路由項,這些路由項包含下列信息:
· 目的地址:主機或網絡的地址。
· 下一跳地址:為到達目的地,需要經過的相鄰路由器的接口IP地址。
· 出接口:本路由器轉發報文的出接口。
· 度量值:本路由器到達目的地的開銷。
· 路由時間:從路由項最後一次被更新到現在所經過的時間,路由項每次被更新時,路由時間重置為0。
· 路由標記(Route Tag):用於標識外部路由。
RIP的運行過程如下:
(1) 路由器啟動RIP後,便會向相鄰的路由器發送請求報文(Request message),相鄰的RIP路由器收到請求報文後,響應該請求,回送包含本地路由表信息的響應報文(Response message)。
(2) 路由器收到響應報文後,更新本地路由表,同時向相鄰路由器發送觸發更新報文,通告路由更新信息。相鄰路由器收到觸發更新報文後,又向其各自的相鄰路由器發送觸發更新報文。在一連串的觸發更新廣播後,各路由器都能得到並保持最新的路由信息。
(3) 路由器周期性向相鄰路由器發送本地路由表,運行RIP協議的相鄰路由器在收到報文後,對本地路由進行維護,選擇一條最佳路由,再向其各自相鄰網絡發送更新信息,使更新的路由最終能達到全局有效。同時,RIP采用老化機製對超時的路由進行老化處理,以保證路由的實時性和有效性。
RIP協議向鄰居通告的是自己的路由表,有可能會發生路由環路,可以通過以下機製來避免:
· 計數到無窮(Counting to infinity):將度量值等於16的路由定義為不可達(infinity)。在路由環路發生時,某條路由的度量值將會增加到16,該路由被認為不可達。
· 觸發更新(Triggered Updates):RIP通過觸發更新來避免在多個路由器之間形成路由環路的可能,而且可以加速網絡的收斂速度。一旦某條路由的度量值發生了變化,就立刻向鄰居路由器發布更新報文,而不是等到更新周期的到來。
· 水平分割(Split Horizon):RIP從某個接口學到的路由,不會從該接口再發回給鄰居路由器。這樣不但減少了帶寬消耗,還可以防止路由環路。
· 毒性逆轉(Poison Reverse):RIP從某個接口學到路由後,將該路由的度量值設置為16(不可達),並從原接口發回鄰居路由器。利用這種方式,可以清除對方路由表中的無用信息。
RIP有兩個版本:RIP-1和RIP-2。
RIP-1是有類別路由協議(Classful Routing Protocol),它隻支持以廣播方式發布協議報文。RIP-1的協議報文無法攜帶掩碼信息,它隻能識別A、B、C類這樣的自然網段的路由,因此RIP-1不支持不連續子網(Discontiguous Subnet)。
RIP-2是一種無類別路由協議(Classless Routing Protocol),與RIP-1相比,它有以下優勢:
· 支持路由標記。
· 報文中攜帶掩碼信息,支持路由聚合和CIDR(Classless Inter-Domain Routing,無類域間路由)。
· 支持指定下一跳,在廣播網上可以選擇到最優下一跳地址。
· 支持組播路由發送更新報文,隻有RIP-2路由器才能收到更新報文,減少資源消耗。
· 支持對協議報文進行驗證,並提供明文驗證和MD5驗證兩種方式,增強安全性。
RIP-2有兩種報文傳送方式:廣播方式和組播方式,缺省將采用組播方式發送報文,使用的組播地址為224.0.0.9。當接口運行RIP-2廣播方式時,也可接收RIP-1的報文。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
不支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
不支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
不支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
不支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
不支持 |
|
AC1000係列 |
AC1016 AC1108 |
不支持 |
與單純依照IP報文的目的地址查找路由表進行轉發不同,策略路由是一種依據用戶製定的策略進行路由轉發的機製。策略路由可以對於滿足一定條件(ACL規則)的報文,執行指定的操作(設置報文的下一跳、出接口、缺省下一跳和缺省出接口等)。
報文到達後,其後續的轉發流程如下:
· 首先根據配置的策略路由轉發。
· 若找不到匹配的節點,或雖然找到了匹配的節點但指導報文轉發失敗時,根據路由表中除缺省路由之外的路由來轉發報文。
· 若轉發失敗,則根據策略路由中配置的缺省下一跳和缺省出接口指導報文轉發。
· 若轉發失敗,則再根據缺省路由來轉發報文。
根據作用對象的不同,策略路由可分為以下二種類型:
· 本地策略路由:對設備本身產生的報文(比如本地發出的ping報文)起作用,指導其發送。
· 轉發策略路由:對接口接收的報文起作用,指導其轉發。
策略用來定義報文的匹配規則,以及對報文執行的操作。策略由節點組成。
一個策略可以包含一個或者多個節點。節點的構成如下:
· 每個節點由節點編號來標識。節點編號越小節點的優先級越高,優先級高的節點優先被執行。
· 每個節點的具體內容由if-match子句和apply子句來指定。if-match子句定義該節點的匹配規則,apply子句定義該節點的動作。
· 每個節點對報文的處理方式由匹配模式決定。匹配模式分為permit(允許)和deny(拒絕)兩種。
應用策略後,係統將根據策略中定義的匹配規則和操作,對報文進行處理:係統按照優先級從高到低的順序依次匹配各節點,如果報文滿足這個節點的匹配規則,就執行該節點的動作;如果報文不滿足這個節點的匹配規則,就繼續匹配下一個節點;如果報文不能滿足策略中任何一個節點的匹配規則,則根據路由表來轉發報文。
在一個節點中可以配置多條if-match子句,同一類型的if-match子句在某些設備隻能配置一條,在某些設備可以配置多條,請以設備的實際情況為準。
同一個節點中的不同類型if-match子句之間是“與”的關係,即報文必須滿足該節點的所有if-match子句才算滿足這個節點的匹配規則。同一類型的if-match子句之間是“或”的關係,即報文隻需滿足一條該類型的if-match子句就算滿足此類型if-match子句的匹配規則。
同一個節點中可以配置多條apply子句,但配置的多條apply子句不一定都會執行。
一個節點的匹配模式與這個節點的if-match子句、apply子句的關係如表1-3所示。
表1-3 節點的匹配模式、if-match子句、apply子句三者之間的關係
|
· 如果節點配置了apply子句,則執行此節點apply子句 ¡ 如果節點指導報文轉發成功,則不再匹配下一節點 ¡ 如果節點指導報文轉發失敗且未配置apply continue子句,則不再匹配下一節點 ¡ 如果節點指導報文轉發失敗且配置了apply continue子句,則繼續匹配下一節點 · 如果節點未配置apply子句,則不會執行任何動作,且不再匹配下一節點,報文將根據路由表來進行轉發 |
||
如果一個節點中未配置任何if-match子句,則認為所有報文都滿足該節點的匹配規則,按照“報文滿足所有if-match子句”的情況進行後續處理。
策略路由通過與Track聯動,增強了應用的靈活性和對網絡環境變化的動態感知能力。
策略路由可以在配置報文的下一跳、出接口、缺省下一跳、缺省出接口時與Track項關聯,根據Track項的狀態來動態地決定策略的可用性。策略路由配置僅在關聯的Track項狀態為Positive或NotReady時生效。
IP地址是每個連接到IPv4網絡上的設備的唯一標識。IP地址長度為32比特,通常采用點分十進製方式表示,即每個IP地址被表示為以小數點隔開的4個十進製整數,每個整數對應一個字節,如10.1.1.1。
IP地址由兩部分組成:
· 網絡號碼字段(Net-id):用於區分不同的網絡。網絡號碼字段的前幾位稱為類別字段(又稱為類別比特),用來區分IP地址的類型。
· 主機號碼字段(Host-id):用於區分一個網絡內的不同主機。
IP地址分為5類,每一類地址範圍如表1-4所示。目前大量使用的IP地址屬於A、B、C三類。
表1-4 IP地址分類
|
地址類型 |
地址範圍 |
說明 |
|
A |
0.0.0.0~127.255.255.255 |
IP地址0.0.0.0僅用於主機在係統啟動時進行臨時通信,並且永遠不是有效目的地址 127.0.0.0網段的地址都保留作環回測試,發送到這個地址的分組不會輸出到鏈路上,它們被當作輸入分組在內部進行處理 |
|
B |
128.0.0.0~191.255.255.255 |
- |
|
C |
192.0.0.0~223.255.255.255 |
- |
|
D |
224.0.0.0~239.255.255.255 |
組播地址 |
|
E |
240.0.0.0~255.255.255.255 |
255.255.255.255用於廣播地址,其它地址保留今後使用 |
隨著Internet的快速發展,IP地址已近枯竭。為了充分利用已有的IP地址,可以使用子網掩碼將網絡劃分為更小的部分(即子網)。通過從主機號碼字段部分劃出一些比特位作為子網號碼字段,能夠將一個網絡劃分為多個子網。子網號碼字段的長度由子網掩碼確定。
子網掩碼是一個長度為32比特的數字,由一串連續的“1”和一串連續的“0”組成。“1”對應於網絡號碼字段和子網號碼字段,而“0”對應於主機號碼字段。
多劃分出一個子網號碼字段會浪費一些IP地址。例如,一個B類地址可以容納65534(216-2,去掉主機號碼字段全1的廣播地址和主機號碼字段全0的網段地址)個主機號碼。但劃分出9比特長的子網字段後,最多可有512(29)個子網,每個子網有7比特的主機號碼,即每個子網最多可有126(27-2,去掉主機號碼字段全1的廣播地址和主機號碼字段全0的網段地址)個主機號碼。因此主機號碼的總數是512*126=64512個,比不劃分子網時要少1022個。
若不進行子網劃分,則子網掩碼為默認值,此時子網掩碼中“1”的長度就是網絡號碼的長度,即A、B、C類IP地址對應的子網掩碼默認值分別為255.0.0.0、255.255.0.0和255.255.255.0。
接口獲取IP地址有以下幾種方式:
· 通過手動指定IP地址
· 通過DHCP分配得到IP地址
當設備收到一個報文後,如果發現報文長度比轉發接口的MTU值大,則進行下列處理:
· 如果報文不允許分片,則將報文丟棄;
· 如果報文允許分片,則將報文進行分片轉發。
為了減輕轉發設備在傳輸過程中的分片和重組數據包的壓力,更高效的利用網絡資源,請根據實際組網環境設置合適的接口MTU值,以減少分片的發生。
IPv6(Internet Protocol Version 6,互聯網協議版本6)是網絡層協議的第二代標準協議,也被稱為IPng(IP Next Generation,下一代互聯網協議),它是IETF(Internet Engineering Task Force,互聯網工程任務組)設計的一套規範,是IPv4的升級版本。IPv6和IPv4之間最顯著的區別為:地址的長度從32比特增加到128比特。
IPv6地址被表示為以冒號(:)分隔的一連串16比特的十六進製數。每個IPv6地址被分為8組,每組的16比特用4個十六進製數來表示,組和組之間用冒號隔開,比如:2001:0000:130F:0000:0000:09C0:876A:130B。
為了簡化IPv6地址的表示,對於IPv6地址中的“0”可以有下麵的處理方式:
· 每組中的前導“0”可以省略,即上述地址可寫為2001:0:130F:0:0:9C0:876A:130B。
· 如果地址中包含一組或連續多組均為0的組,則可以用雙冒號“::”來代替,即上述地址可寫為2001:0:130F::9C0:876A:130B。
IPv6地址由兩部分組成:地址前綴與接口標識。其中,地址前綴相當於IPv4地址中的網絡號碼字段部分,接口標識相當於IPv4地址中的主機號碼部分。
地址前綴的表示方式為:IPv6地址/前綴長度。其中,前綴長度是一個十進製數,表示IPv6地址最左邊多少位為地址前綴。
IPv6主要有三種類型的地址:單播地址、組播地址和任播地址。
· 單播地址:用來唯一標識一個接口,類似於IPv4的單播地址。發送到單播地址的數據報文將被傳送給此地址所標識的接口。
· 組播地址:用來標識一組接口(通常這組接口屬於不同的節點),類似於IPv4的組播地址。發送到組播地址的數據報文被傳送給此地址所標識的所有接口。
· 任播地址:用來標識一組接口(通常這組接口屬於不同的節點)。發送到任播地址的數據報文被傳送給此地址所標識的一組接口中距離源節點最近(根據使用的路由協議進行度量)的一個接口。
IPv6中沒有廣播地址,廣播地址的功能通過組播地址來實現。
IPv6地址類型是由地址前麵幾位(稱為格式前綴)來指定的,主要地址類型與格式前綴的對應關係如表1-5所示。
表1-5 IPv6地址類型與格式前綴的對應關係
|
地址類型 |
格式前綴(二進製) |
IPv6前綴標識 |
簡介 |
|
|
單播地址 |
未指定地址 |
00...0 (128 bits) |
::/128 |
不能分配給任何節點。在節點獲得有效的IPv6地址之前,可在發送的IPv6報文的源地址字段填入該地址,但不能作為IPv6報文中的目的地址 |
|
環回地址 |
00...1 (128 bits) |
::1/128 |
不能分配給任何物理接口。它的作用與在IPv4中的環回地址相同,即節點用來給自己發送IPv6報文 |
|
|
鏈路本地地址 |
1111111010 |
FE80::/10 |
用於鄰居發現協議和無狀態自動配置中鏈路本地上節點之間的通信。使用鏈路本地地址作為源或目的地址的數據報文不會被轉發到其他鏈路上 |
|
|
全球單播地址 |
其他形式 |
- |
等同於IPv4公網地址,提供給網絡服務提供商。這種類型的地址允許路由前綴的聚合,從而限製了全球路由表項的數量 |
|
|
組播地址 |
11111111 |
FF00::/8 |
- |
|
|
任播地址 |
從單播地址空間中進行分配,使用單播地址的格式 |
- |
||
IPv6單播地址中的接口標識符用來唯一標識鏈路上的一個接口。目前IPv6單播地址基本上都要求接口標識符為64位。
不同接口的IEEE EUI-64格式的接口標識符的生成方法不同,分別介紹如下:
· 所有IEEE 802接口類型(例如,以太網接口、VLAN接口):IEEE EUI-64格式的接口標識符是從接口的鏈路層地址(MAC地址)變化而來的。IPv6地址中的接口標識符是64位,而MAC地址是48位,因此需要在MAC地址的中間位置(從高位開始的第24位後)插入十六進製數FFFE(1111111111111110)。為了使接口標識符的作用範圍與原MAC地址一致,還要將Universal/Local (U/L)位(從高位開始的第7位)進行取反操作。最後得到的這組數就作為EUI-64格式的接口標識符。
· Tunnel接口:IEEE EUI-64格式的接口標識符的低32位為Tunnel接口的源IPv4地址,ISATAP隧道的接口標識符的高32位為0000:5EFE,其他隧道的接口標識符的高32位為全0。
· 其他接口類型:IEEE EUI-64格式的接口標識符由設備隨機生成。
IPv6全球單播地址可以通過下麵幾種方式配置:
· 采用EUI-64格式形成:當配置采用EUI-64格式形成IPv6地址時,接口的IPv6地址的前綴需要手工配置,而接口標識符則由接口自動生成。
· 手工配置:用戶手工配置IPv6全球單播地址。
· 無狀態自動配置:根據接收到的RA報文中攜帶的地址前綴信息及使用EUI-64功能生成的接口標識,自動為接口生成IPv6全球單播地址。
· 有狀態獲取地址:通過DHCPv6服務器自動獲取IPv6地址。
一個接口上可以配置多個全球單播地址。
IPv6的鏈路本地地址可以通過兩種方式獲得:
· 自動生成:設備根據鏈路本地地址前綴(FE80::/10)及使用EUI-64功能生成的接口標識,自動為接口生成鏈路本地地址。
· 手工指定:用戶手工配置IPv6鏈路本地地址。
每個接口隻能有一個鏈路本地地址,為了避免鏈路本地地址衝突,推薦使用鏈路本地地址的自動生成方式。
配置鏈路本地地址時,手工指定方式的優先級高於自動生成方式。即如果先采用自動生成方式,之後手工指定,則手工指定的地址會覆蓋自動生成的地址;如果先手工指定,之後采用自動生成的方式,則自動配置不生效,接口的鏈路本地地址仍是手工指定的。此時,如果刪除手工指定的地址,則自動生成的鏈路本地地址會生效。
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)用來為網絡設備動態地分配IP地址等網絡配置參數。
DHCP采用客戶端/服務器通信模式,由客戶端向服務器提出請求分配網絡配置參數的申請,服務器返回為客戶端分配的IP地址等配置信息,以實現IP地址等信息的動態配置。
在DHCP的典型應用中,一般包含一台DHCP服務器和多台客戶端(如PC和便攜機)。如果DHCP客戶端和DHCP服務器處於不同物理網段時,客戶端可以通過DHCP中繼與服務器通信,獲取IP地址及其他配置信息。
在以下場合通常利用DHCP服務器來完成IP地址分配:
· 網絡規模較大,手工配置需要很大的工作量,並難以對整個網絡進行集中管理。
· 網絡中主機數目大於該網絡支持的IP地址數量,無法給每個主機分配一個固定的IP地址。例如,Internet接入服務提供商限製同時接入網絡的用戶數目,用戶必須動態獲得自己的IP地址。
· 網絡中隻有少數主機需要固定的IP地址,大多數主機沒有固定的IP地址需求。
DHCP服務器通過地址池來保存為客戶端分配的IP地址、租約時長、網關信息、域名後綴、DNS服務器地址、WINS服務器地址、NetBIOS節點類型和DHCP選項信息。服務器接收到客戶端發送的請求後,選擇合適的地址池,並將該地址池中的信息分配給客戶端。
DHCP服務器在將IP地址分配給客戶端之前,還需要進行IP地址衝突檢測。
地址池的地址管理方式有以下幾種:
· 靜態綁定IP地址,即通過將客戶端的硬件地址或客戶端ID與IP地址綁定的方式,實現為特定的客戶端分配特定的IP地址。
· 動態選擇IP地址,即在地址池中指定可供分配的IP地址範圍,當收到客戶端的IP地址申請時,從該地址範圍中動態選擇IP地址,分配給該客戶端。
在DHCP地址池中還可以指定這兩種類型地址的租約時長。
DHCP服務器為客戶端分配IP地址時,地址池的選擇原則如下:
(1) 如果存在將客戶端MAC地址或客戶端ID與IP地址靜態綁定的地址池,則選擇該地址池,並將靜態綁定的IP地址和其他網絡參數分配給客戶端。
(2) 如果不存在靜態綁定的地址池,則按照以下方法選擇地址池:
· 如果客戶端與服務器在同一網段,則將DHCP請求報文接收接口的IP地址與所有地址池配置的網段進行匹配,並選擇最長匹配的網段所對應的地址池。
· 如果客戶端與服務器不在同一網段,即客戶端通過DHCP中繼獲取IP地址,則將DHCP請求報文中giaddr字段指定的IP地址與所有地址池配置的網段進行匹配,並選擇最長匹配的網段所對應的地址池。
DHCP服務器為客戶端分配IP地址的優先次序如下:
(1) 與客戶端MAC地址或客戶端ID靜態綁定的IP地址。
(2) DHCP服務器記錄的曾經分配給客戶端的IP地址。
(3) 客戶端發送的DHCP-DISCOVER報文中Option 50字段指定的IP地址。Option 50為客戶端請求的IP地址選項(Requested IP Address),客戶端通過在DHCP-DISCOVER報文中添加該選項來指明客戶端希望獲取的IP地址。該選項的內容由客戶端決定。
(4) 按照動態分配地址選擇原則,順序查找可供分配的IP地址,選擇最先找到的IP地址。
(5) 如果未找到可用的IP地址,則從當前匹配地址池中依次查詢租約過期、曾經發生過衝突的IP地址,如果找到則進行分配,否則將不予處理。
DHCP利用選項字段傳遞控製信息和網絡配置參數,實現地址動態分配的同時,為客戶端提供更加豐富的網絡配置信息。
Web頁麵為DHCP服務器提供了靈活的選項配置方式,在以下情況下,可以使用Web頁麵DHCP選項功能:
· 隨著DHCP的不斷發展,新的DHCP選項會陸續出現。通過該功能,可以方便地添加新的DHCP選項。
· 有些選項的內容,RFC中沒有統一規定。廠商可以根據需要定義選項的內容,如Option 43。通過DHCP選項功能,可以為DHCP客戶端提供廠商指定的信息。
· Web頁麵隻提供了有限的配置功能,其他功能可以通過DHCP選項來配置。例如,可以通過Option 4,IP地址1.1.1.1來指定為DHCP客戶端分配的時間服務器地址為1.1.1.1。
· 擴展已有的DHCP選項。當前已提供的方式無法滿足用戶需求時(比如通過Web頁麵最多隻能配置8個DNS服務器地址,如果用戶需要配置的DNS服務器地址數目大於8,則Web頁麵無法滿足需求),可以通過DHCP選項功能進行擴展。
常用的DHCP選項配置如表1-6所示。
表1-6 常用DHCP選項配置
|
選項編號 |
選項名稱 |
推薦的選項填充類型 |
|
3 |
Router Option |
IP地址 |
|
6 |
Domain Name Server Option |
IP地址 |
|
15 |
Domain Name |
ASCII字符串 |
|
44 |
NetBIOS over TCP/IP Name Server Option |
IP地址 |
|
46 |
NetBIOS over TCP/IP Node Type Option |
十六進製數串 |
|
66 |
TFTP server name |
ASCII字符串 |
|
67 |
Bootfile name |
ASCII字符串 |
|
43 |
Vendor Specific Information |
十六進製數串 |
為防止IP地址重複分配導致地址衝突,DHCP服務器為客戶端分配地址前,需要先對該地址進行探測。
DHCP服務器的地址探測是通過ping功能實現的,通過檢測是否能在指定時間內得到ping響應來判斷是否存在地址衝突。DHCP服務器發送目的地址為待分配地址的ICMP回顯請求報文。如果在指定時間內收到回顯響應報文,則認為存在地址衝突。DHCP服務器從地址池中選擇新的IP地址,並重複上述操作。如果在指定時間內沒有收到回顯響應報文,則繼續發送ICMP回顯請求報文,直到發送的回顯顯示報文數目達到最大值。如果仍然沒有收到回顯響應報文,則將地址分配給客戶端,從而確保客戶端獲得的IP地址唯一。
由於在IP地址動態獲取過程中采用廣播方式發送請求報文,因此DHCP隻適用於DHCP客戶端和服務器處於同一個子網內的情況。為進行動態主機配置,需要在所有網段上都設置一個DHCP服務器,這顯然是很不經濟的。
DHCP中繼功能的引入解決了這一難題:客戶端可以通過DHCP中繼與其他網段的DHCP服務器通信,最終獲取到IP地址。這樣,多個網絡上的DHCP客戶端可以使用同一個DHCP服務器,既節省了成本,又便於進行集中管理。
為了防止非法主機靜態配置一個IP地址並訪問外部網絡,設備支持DHCP中繼用戶地址表項記錄功能。
啟用該功能後,當客戶端通過DHCP中繼從DHCP服務器獲取到IP地址時,DHCP中繼可以自動記錄客戶端IP地址與硬件地址的綁定關係,生成DHCP中繼的用戶地址表項。
本功能與其他IP地址安全功能(如ARP地址檢查和授權ARP)配合,可以實現隻允許匹配用戶地址表項中綁定關係的報文通過DHCP中繼。從而,保證非法主機不能通過DHCP中繼與外部網絡通信。
DHCP客戶端釋放動態獲取的IP地址時,會向DHCP服務器單播發送DHCP-RELEASE報文,DHCP中繼不會處理該報文的內容。如果此時DHCP中繼上記錄了該IP地址與MAC地址的綁定關係,則會造成DHCP中繼的用戶地址表項無法實時刷新。為了解決這個問題,DHCP中繼支持動態用戶地址表項的定時刷新功能。
DHCP中繼動態用戶地址表項定時刷新功能開啟時,DHCP中繼每隔指定時間采用客戶端獲取到的IP地址和DHCP中繼接口的MAC地址向DHCP服務器發送DHCP-REQUEST報文:
· 如果DHCP中繼接收到DHCP服務器響應的DHCP-ACK報文或在指定時間內沒有接收到DHCP服務器的響應報文,則表明這個IP地址已經可以進行分配,DHCP中繼會刪除動態用戶地址表中對應的表項。為了避免地址浪費,DHCP中繼收到DHCP-ACK報文後,會發送DHCP-RELEASE報文釋放申請到的IP地址。
· 如果DHCP中繼接收到DHCP服務器響應的DHCP-NAK報文,則表示該IP地址的租約仍然存在,DHCP中繼不會刪除該IP地址對應的表項。
DHCP Snooping是DHCP的一種安全特性,具有如下功能:
網絡中如果存在私自架設的非法DHCP服務器,則可能導致DHCP客戶端獲取到錯誤的IP地址和網絡配置參數,從而無法正常通信。為了使DHCP客戶端能通過合法的DHCP服務器獲取IP地址,DHCP Snooping安全機製允許將端口設置為信任端口和不信任端口:
· 信任端口正常轉發接收到的DHCP報文。
· 不信任端口接收到DHCP服務器響應的DHCP-ACK和DHCP-OFFER報文後,丟棄該報文。
在DHCP Snooping設備上指向DHCP服務器方向的端口需要設置為信任端口,其他端口設置為不信任端口,從而保證DHCP客戶端隻能從合法的DHCP服務器獲取IP地址,私自架設的偽DHCP服務器無法為DHCP客戶端分配IP地址。
DHCP Snooping通過監聽DHCP-REQUEST報文和信任端口收到的DHCP-ACK報文,記錄DHCP Snooping表項,其中包括客戶端的MAC地址、DHCP服務器為DHCP客戶端分配的IP地址、與DHCP客戶端連接的端口及VLAN等信息。利用這些信息可以實現ARP Detection功能,即根據DHCP Snooping表項來判斷發送ARP報文的用戶是否合法,從而防止非法用戶的ARP攻擊。
DHCP Snooping設備重啟後,設備上記錄的DHCP Snooping表項將丟失。如果DHCP Snooping與其他模塊配合使用,則表項丟失會導致這些模塊無法通過DHCP Snooping獲取到相應的表項,進而導致DHCP客戶端不能順利通過安全檢查、正常訪問網絡。
DHCP Snooping表項備份功能將DHCP Snooping表項保存到指定的文件中,DHCP Snooping設備重啟後,自動根據該文件恢複DHCP Snooping表項,從而保證DHCP Snooping表項不會丟失。
Option 82記錄了DHCP客戶端的位置信息。管理員可以利用該選項定位DHCP客戶端,實現對客戶端的安全和計費等控製。Option 82包含兩個子選項:Circuit ID和Remote ID。
支持Option 82功能是指設備接收到DHCP請求報文後,根據報文中是否包含Option 82以及用戶配置的處理策略及填充模式等對報文進行相應的處理,並將處理後的報文轉發給DHCP服務器。當設備接收到DHCP服務器的響應報文時,如果報文中含有Option 82,則刪除Option 82,並轉發給DHCP客戶端;如果報文中不含有Option 82,則直接轉發。
具體的處理方式見表1-7。
表1-7 Option 82處理方式
|
收到DHCP請求報文 |
處理策略 |
DHCP Snooping對報文的處理 |
|
收到的報文中帶有Option 82 |
Drop |
丟棄報文 |
|
Keep |
保持報文中的Option 82不變並進行轉發 |
|
|
Replace |
根據DHCP Snooping上配置的填充模式、內容、格式等填充Option 82,替換報文中原有的Option 82並進行轉發 |
|
|
收到的報文中不帶有Option 82 |
- |
根據DHCP Snooping上配置的填充模式、內容、格式等填充Option 82,添加到報文中並進行轉發 |
DNS(Domain Name System,域名係統)是一種用於TCP/IP應用程序的分布式數據庫,提供域名與地址之間的轉換。IPv4 DNS提供域名和IPv4地址之間的轉換,IPv6 DNS提供域名和IPv6地址之間的轉換。
設備作為DNS客戶端,當用戶在設備上進行某些應用(如Telnet到一台設備或主機)時,可以直接使用便於記憶的、有意義的域名,通過域名係統將域名解析為正確的地址。
域名解析分為動態域名解析和靜態域名解析兩種。動態域名解析和靜態域名解析可以配合使用。在解析域名時,首先采用靜態域名解析(查找靜態域名解析表),如果靜態域名解析不成功,再采用動態域名解析。由於動態域名解析需要域名服務器的配合,會花費一定的時間,因而可以將一些常用的域名放入靜態域名解析表中,這樣可以大大提高域名解析效率。
使用動態域名解析時,需要手工指定域名服務器的地址。
動態域名解析通過向域名服務器查詢域名和地址之間的對應關係來實現將域名解析為地址。
動態域名解析支持域名後綴列表功能。用戶可以預先設置一些域名後綴,在域名解析的時候,用戶隻需要輸入域名的部分字段,係統會自動將輸入的域名加上不同的後綴進行解析。例如,用戶想查詢域名aabbcc.com,那麼可以先在後綴列表中配置com,然後輸入aabbcc進行查詢,係統會自動將輸入的域名與後綴連接成aabbcc.com進行查詢。
使用域名後綴的時候,根據用戶輸入域名方式的不同,查詢方式分成以下幾種情況:
· 如果用戶輸入的域名中沒有“.”,比如aabbcc,係統認為這是一個主機名,會首先加上域名後綴進行查詢,如果所有加後綴的域名查詢都失敗,將使用最初輸入的域名(如aabbcc)進行查詢。
· 如果用戶輸入的域名中間有“.”,比如www.aabbcc,係統直接用它進行查詢,如果查詢失敗,再依次加上各個域名後綴進行查詢。
· 如果用戶輸入的域名最後有“.”,比如aabbcc.com.,表示不需要進行域名後綴添加,係統直接用輸入的域名進行查詢,不論成功與否都直接返回結果。就是說,如果用戶輸入的字符中最後一個字符為“.”,就隻根據用戶輸入的字符進行查找,而不會去匹配用戶預先設置的域名後綴,因此最後這個“.”,也被稱為查詢終止符。帶有查詢終止符的域名,稱為FQDN(Fully Qualified Domain Name,完全合格域名)。
手工建立域名和地址之間的對應關係。當用戶使用域名進行某些應用時,係統查找靜態域名解析表,從中獲取指定域名對應的地址。
DNS代理(DNS proxy)用來在DNS client和DNS server之間轉發DNS請求和應答報文。局域網內的DNS client把DNS proxy當作DNS server,將DNS請求報文發送給DNS proxy。DNS proxy將該請求報文轉發到真正的DNS server,並將DNS server的應答報文返回給DNS client,從而實現域名解析。
使用DNS proxy功能後,當DNS server的地址發生變化時,隻需改變DNS proxy上的配置,無需改變局域網內每個DNS client的配置,從而簡化了網絡管理。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
不支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
不支持 |
|
AC1000係列 |
AC1016 AC1108 |
支持 |
DNS僅僅提供了域名和地址之間的靜態對應關係,當節點的地址發生變化時,DNS無法動態地更新域名和地址的對應關係。此時,如果仍然使用域名訪問該節點,通過域名解析得到的地址是錯誤的,從而導致訪問失敗。
DDNS(Dynamic Domain Name System,動態域名係統)用來動態更新DNS服務器上域名和地址之間的對應關係,保證通過域名解析到正確的地址。
使用DDNS服務前,用戶需要先登錄DDNS服務器,注冊賬戶。設備作為DDNS客戶端,在地址變化時,向DDNS服務器發送更新域名和地址對應關係的DDNS更新請求,更新請求中攜帶用戶的賬戶信息(用戶名和密碼)。DDNS服務器對賬戶信息認證通過後,通知DNS服務器動態更新域名和地址之間的對應關係。
目前,隻有IPv4域名解析支持DDNS,IPv6域名解析不支持DDNS,即隻能通過DDNS動態更新域名和IPv4地址之間的對應關係。
為了簡化配置,設備通過DDNS策略來管理和維護DDNS客戶端的參數,如DDNS服務提供商信息(即DDNS服務器信息)、用戶的賬戶信息(用戶名和密碼)、更新時間間隔、關聯的SSL客戶端策略等。創建DDNS策略後,可以在不同的接口上應用相同的DDNS策略,從而簡化DDNS的配置。
DNS(Domain Name System,域名係統)是一種用於TCP/IP應用程序的分布式數據庫,提供域名與地址之間的轉換。IPv4 DNS提供域名和IPv4地址之間的轉換,IPv6 DNS提供域名和IPv6地址之間的轉換。
設備作為DNS客戶端,當用戶在設備上進行某些應用(如Telnet到一台設備或主機)時,可以直接使用便於記憶的、有意義的域名,通過域名係統將域名解析為正確的地址。
域名解析分為動態域名解析和靜態域名解析兩種。動態域名解析和靜態域名解析可以配合使用。在解析域名時,首先采用靜態域名解析(查找靜態域名解析表),如果靜態域名解析不成功,再采用動態域名解析。由於動態域名解析需要域名服務器的配合,會花費一定的時間,因而可以將一些常用的域名放入靜態域名解析表中,這樣可以大大提高域名解析效率。
使用動態域名解析時,需要手工指定域名服務器的地址。
動態域名解析通過向域名服務器查詢域名和地址之間的對應關係來實現將域名解析為地址。
動態域名解析支持域名後綴列表功能。用戶可以預先設置一些域名後綴,在域名解析的時候,用戶隻需要輸入域名的部分字段,係統會自動將輸入的域名加上不同的後綴進行解析。例如,用戶想查詢域名aabbcc.com,那麼可以先在後綴列表中配置com,然後輸入aabbcc進行查詢,係統會自動將輸入的域名與後綴連接成aabbcc.com進行查詢。
使用域名後綴的時候,根據用戶輸入域名方式的不同,查詢方式分成以下幾種情況:
· 如果用戶輸入的域名中沒有“.”,比如aabbcc,係統認為這是一個主機名,會首先加上域名後綴進行查詢,如果所有加後綴的域名查詢都失敗,將使用最初輸入的域名(如aabbcc)進行查詢。
· 如果用戶輸入的域名中間有“.”,比如www.aabbcc,係統直接用它進行查詢,如果查詢失敗,再依次加上各個域名後綴進行查詢。
· 如果用戶輸入的域名最後有“.”,比如aabbcc.com.,表示不需要進行域名後綴添加,係統直接用輸入的域名進行查詢,不論成功與否都直接返回結果。就是說,如果用戶輸入的字符中最後一個字符為“.”,就隻根據用戶輸入的字符進行查找,而不會去匹配用戶預先設置的域名後綴,因此最後這個“.”,也被稱為查詢終止符。帶有查詢終止符的域名,稱為FQDN(Fully Qualified Domain Name,完全合格域名)。
手工建立域名和地址之間的對應關係。當用戶使用域名進行某些應用時,係統查找靜態域名解析表,從中獲取指定域名對應的地址。
DNS代理(DNS proxy)用來在DNS client和DNS server之間轉發DNS請求和應答報文。局域網內的DNS client把DNS proxy當作DNS server,將DNS請求報文發送給DNS proxy。DNS proxy將該請求報文轉發到真正的DNS server,並將DNS server的應答報文返回給DNS client,從而實現域名解析。
使用DNS proxy功能後,當DNS server的地址發生變化時,隻需改變DNS proxy上的配置,無需改變局域網內每個DNS client的配置,從而簡化了網絡管理。
IGMP snooping(Internet Group Management Protocol snooping,互聯網組管理協議窺探)運行在二層設備上,通過偵聽三層設備與接收者主機間的IGMP報文建立IGMP snooping轉發表,並根據該表指導組播數據的轉發。
IGMP snooping轉發表的表項由VLAN、組播組地址、組播源地址和成員端口四個元素構成,其中成員端口是指二層設備上朝向組播組成員的端口。
MLD snooping(Multicast Listener Discovery snooping,組播偵聽者發現協議窺探)運行在二層設備上,通過偵聽三層設備與接收者主機間的MLD報文建立MLD snooping轉發表,並根據該表指導IPv6組播數據的轉發。
MLD snooping轉發表的表項由VLAN、IPv6組播組地址、IPv6組播源地址和成員端口四個元素構成,其中成員端口是指二層設備上朝向IPv6組播組成員的端口。
ARP(Address Resolution Protocol,地址解析協議)是將IP地址解析為以太網MAC地址(或稱物理地址)的協議。
設備通過ARP協議解析到目的MAC地址後,將會在自己的ARP表中增加IP地址和MAC地址映射關係的表項,以用於後續到同一目的地報文的轉發。
ARP表項分為兩種:動態ARP表項、靜態ARP表項。
動態ARP表項由ARP協議通過ARP報文自動生成和維護,可以被老化,可以被新的ARP報文更新,可以被靜態ARP表項覆蓋。當到達老化時間、接口狀態down時,係統會刪除相應的動態ARP表項。
動態ARP表項可以固化為靜態ARP表項,但被固化後無法再恢複為動態ARP表項。
為了防止部分接口下的用戶占用過多的ARP資源,可以通過設置接口學習動態ARP表項的最大個數來進行限製。
靜態ARP表項通過手工創建或由動態ARP表項固化而來,不會被老化,不會被動態ARP表項覆蓋。
配置靜態ARP表項可以增加通信的安全性。靜態ARP表項可以限製和指定IP地址的設備通信時隻使用指定的MAC地址,此時攻擊報文無法修改此表項的IP地址和MAC地址的映射關係,從而保護了本設備和指定設備間的正常通信。
在配置靜態ARP表項時,如果管理員希望用戶使用某個固定的IP地址和MAC地址通信,可以將該IP地址與MAC地址綁定;如果進一步希望限定用戶隻在指定VLAN的特定接口上連接,則需要進一步指定報文轉發的VLAN和出接口。
一般情況下,ARP動態執行並自動尋求IP地址到以太網MAC地址的解析,無需管理員的介入。
當靜態ARP表項中的IP地址與VLAN虛接口的IP地址屬於同一網段時,該靜態ARP表項才能正常指導轉發。
如果ARP請求是從一個網絡的主機發往同一網段卻不在同一物理網絡上的另一台主機,那麼連接它們的具有代理ARP功能的設備就可以回答該請求,這個過程稱作代理ARP。
代理ARP功能屏蔽了分離的物理網絡這一事實,使用戶使用起來,好像在同一個物理網絡上。
代理ARP分為普通代理ARP和本地代理ARP,二者的應用場景有所區別:
· 普通代理ARP:想要互通的主機分別連接到設備的不同三層接口上,且這些主機不在同一個廣播域中。
· 本地代理ARP:想要互通的主機連接到設備的同一個三層接口上,且這些主機不在同一個廣播域中。
在配置本地代理ARP時,用戶也可以指定進行ARP代理的IP地址範圍。
免費ARP報文是一種特殊的ARP報文,該報文中攜帶的發送端IP地址和目標IP地址都是本機IP地址。
設備通過對外發送免費ARP報文來實現以下功能:
· 確定其它設備的IP地址是否與本機的IP地址衝突。當其它設備收到免費ARP報文後,如果發現報文中的IP地址和自己的IP地址相同,則給發送免費ARP報文的設備返回一個ARP應答,告知該設備IP地址衝突。
· 設備改變了硬件地址,通過發送免費ARP報文通知其它設備更新ARP表項。
啟用了學習免費ARP報文功能後,設備會根據收到的免費ARP報文中攜帶的信息(發送端IP地址、發送端MAC地址)對自身維護的ARP表進行修改。設備先判斷ARP表中是否存在與此免費ARP報文中的發送端IP地址對應的ARP表項:
· 如果沒有對應的ARP表項,設備會根據該免費ARP報文中攜帶的信息新建ARP表項;
· 如果存在對應的ARP表項,設備會根據該免費ARP報文中攜帶的信息更新對應的ARP表項。
關閉學習免費ARP報文功能後,設備不會根據收到的免費ARP報文來新建ARP表項,但是會更新已存在的對應ARP表項。如果用戶不希望通過免費ARP報文來新建ARP表項,可以關閉學習免費ARP報文功能,以節省ARP表項資源。
開啟回複免費ARP報文功能後,當設備收到非同一網段的ARP請求時發送免費ARP報文。關閉該功能後,設備收到非同一網段的ARP請求時不發送免費ARP報文。
用戶可以配置某些接口定時發送免費ARP報文,以便及時通知下行設備更新ARP表項或者MAC地址表項,主要應用場景如下:
· 防止仿冒網關的ARP攻擊
如果攻擊者仿冒網關發送免費ARP報文,就可以欺騙同網段內的其它主機,使得被欺騙的主機訪問網關的流量被重定向到一個錯誤的MAC地址,導致其它主機用戶無法正常訪問網絡。
為了降低這種仿冒網關的ARP攻擊所帶來的影響,可以在網關的接口上啟用定時發送免費ARP功能。啟用該功能後,網關接口上將按照配置的時間間隔周期性發送接口主IP地址和手工配置的從IP地址的免費ARP報文。這樣,每台主機都可以學習到正確的網關,從而正常訪問網絡。
· 防止主機ARP表項老化
在實際環境中,當網絡負載較大或接收端主機的CPU占用率較高時,可能存在ARP報文被丟棄或主機無法及時處理接收到的ARP報文等現象。這種情況下,接收端主機的動態ARP表項會因超時而老化,在其重新學習到發送設備的ARP表項之前,二者之間的流量就會發生中斷。
為了解決上述問題,可以在網關的接口上啟用定時發送免費ARP功能。啟用該功能後,網關接口上將按照配置的時間間隔周期性發送接口主IP地址和手工配置的從IP地址的免費ARP報文。這樣,接收端主機可以及時更新ARP映射表,從而防止了上述流量中斷現象。
ARP協議有簡單、易用的優點,但是也因為其沒有任何安全機製而容易被攻擊發起者利用。目前ARP攻擊和ARP病毒已經成為局域網安全的一大威脅,為了避免各種攻擊帶來的危害,設備提供了多種技術對攻擊進行防範、檢測和解決。
不同設備支持配置的ARP攻擊防禦功能如下:
· 網關設備支持配置的功能包括:ARP黑洞路由、ARP源抑製、源MAC地址一致性檢查、ARP主動確認、源MAC地址固定的ARP攻擊檢測、授權ARP和ARP掃描;
· 接入設備支持配置的功能包括: ARP網關保護、ARP過濾保護和ARP Detection。
如果網絡中有主機通過向設備發送大量目標IP地址不能解析的IP報文來攻擊設備,則會造成下麵的危害:
· 設備向目的網段發送大量ARP請求報文,加重目的網段的負載。
· 設備會試圖反複地對目標IP地址進行解析,增加了CPU的負擔。
為避免這種IP報文攻擊所帶來的危害,設備提供了下列兩個功能:
· ARP黑洞路由功能:開啟該功能後,一旦接收到目標IP地址不能解析的IP報文,設備立即產生一個黑洞路由,使得設備在一段時間內將去往該地址的報文直接丟棄。等待黑洞路由老化時間過後,如有報文觸發則再次發起解析,如果解析成功則進行轉發,否則仍然產生一個黑洞路由將去往該地址的報文丟棄。這種方式能夠有效地防止IP報文的攻擊,減輕CPU的負擔。
· ARP源抑製功能:如果發送攻擊報文的源是固定的,可以采用ARP源抑製功能。開啟該功能後,如果網絡中每5秒內從某IP地址向設備某接口發送目的IP地址不能解析的IP報文超過了設置的閾值,則設備將不再處理由此IP地址發出的IP報文直至該5秒結束,從而避免了惡意攻擊所造成的危害。
ARP報文源MAC地址一致性檢查功能主要應用於網關設備上,防禦以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同的ARP攻擊。
配置本特性後,網關設備在進行ARP學習前將對ARP報文進行檢查。如果以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同,則認為是攻擊報文,將其丟棄;否則,繼續進行ARP學習。
ARP的主動確認功能主要應用於網關設備上,防止攻擊者仿冒用戶欺騙網關設備。
啟用ARP主動確認功能後,設備在新建或更新ARP表項前需進行主動確認,防止產生錯誤的ARP表項。
使能嚴格模式後,新建ARP表項前,ARP主動確認功能會執行更嚴格的檢查:
· 收到目標IP地址為自己的ARP請求報文時,設備會發送ARP應答報文,但不建立ARP表項;
· 收到ARP應答報文時,需要確認本設備是否對該報文中的源IP地址發起過ARP解析:若發起過解析,解析成功後則設備啟動主動確認功能,主動確認流程成功完成後,設備可以建立該表項;若未發起過解析,則設備丟棄該報文。
本特性根據ARP報文的源MAC地址對上送CPU的ARP報文進行統計,在5秒內,如果收到同一源MAC地址(源MAC地址固定)的ARP報文超過一定的閾值,則認為存在攻擊,係統會將此MAC地址添加到攻擊檢測表項中。在該攻擊檢測表項老化之前,如果設置的檢查模式為過濾模式,則會打印日誌信息並且將該源MAC地址發送的ARP報文過濾掉;如果設置的檢查模式為監控模式,則隻打印日誌信息,不會將該源MAC地址發送的ARP報文過濾掉。
對於網關或一些重要的服務器,可能會發送大量ARP報文,為了使這些ARP報文不被過濾掉,可以將這類設備的MAC地址配置成保護MAC地址,這樣,即使該設備存在攻擊也不會被檢測、過濾。
所謂授權ARP,就是動態學習ARP的過程中,隻有和DHCP服務器生成的租約或DHCP中繼生成的安全表項一致的ARP報文才能夠被學習。
使能接口的授權ARP功能後,係統會禁止該接口學習動態ARP表項,可以防止用戶仿冒其他用戶的IP地址或MAC地址對網絡進行攻擊,保證隻有合法的用戶才能使用網絡資源,增加了網絡的安全性。
啟用ARP掃描功能後,設備會對局域網內的鄰居自動進行掃描(向鄰居發送ARP請求報文,獲取鄰居的MAC地址,從而建立動態ARP表項)。
ARP掃描功能一般與ARP固化功能配合使用。ARP固化功能用來將當前的ARP動態表項(包括ARP掃描生成的動態ARP表項)轉換為靜態ARP表項。通過對動態ARP表項的固化,可以有效防止攻擊者修改ARP表項。
建議在網吧這種環境穩定的小型網絡中使用這兩個功能。
在設備上不與網關相連的接口上配置此功能,可以防止偽造網關攻擊。
在接口上配置此功能後,當接口收到ARP報文時,將檢查ARP報文的源IP地址是否和配置的被保護網關的IP地址相同。如果相同,則認為此報文非法,將其丟棄;否則,認為此報文合法,繼續進行後續處理。
ARP過濾保護功能用來限製接口下允許通過的ARP報文,可以防止仿冒網關和仿冒用戶的攻擊。
在接口上配置此功能後,當接口收到ARP報文時,將檢查ARP報文的源IP地址和源MAC地址是否和允許通過的IP地址和MAC地址相同:
· 如果相同,則認為此報文合法,繼續進行後續處理;
· 如果不相同,則認為此報文非法,將其丟棄。
ARP Detection功能主要應用於接入設備上,對於合法用戶的ARP報文進行正常轉發,否則直接丟棄,從而防止仿冒用戶、仿冒網關的攻擊。
ARP Detection包含三個功能:用戶合法性檢查、ARP報文有效性檢查、ARP報文強製轉發。
(1) 用戶合法性檢查
如果僅在VLAN上開啟ARP Detection功能,則僅進行用戶合法性檢查。
對於ARP信任接口,不進行用戶合法性檢查;對於ARP非信任接口,需要進行用戶合法性檢查,以防止仿冒用戶的攻擊。
用戶合法性檢查是根據ARP報文中源IP地址和源MAC地址檢查用戶是否是所屬VLAN所在接口上的合法用戶,包括基於IP Source Guard靜態綁定表項的檢查、基於DHCP Snooping表項的檢查。隻要符合任何一個,就認為該ARP報文合法,進行轉發。如果所有檢查都沒有找到匹配的表項,則認為是非法報文,直接丟棄。
(2) ARP報文有效性檢查
對於ARP信任接口,不進行報文有效性檢查;對於ARP非信任接口,需要根據配置對MAC地址和IP地址不合法的報文進行過濾。可以選擇配置源MAC地址、目的MAC地址或IP地址檢查模式。
· 源MAC地址的檢查模式:會檢查ARP報文中的源MAC地址和以太網報文頭中的源MAC地址是否一致,一致則認為有效,否則丟棄報文。
· 目的MAC地址的檢查模式(隻針對ARP應答報文):會檢查ARP應答報文中的目的MAC地址是否為全0或者全1,是否和以太網報文頭中的目的MAC地址一致。全0、全1、不一致的報文都是無效的,需要被丟棄。
· IP地址檢查模式:會檢查ARP報文中的源IP或目的IP地址,如全1、或者組播IP地址都是不合法的,需要被丟棄。對於ARP應答報文,源IP和目的IP地址都進行檢查;對於ARP請求報文,隻檢查源IP地址。
(3) ARP報文強製轉發
對於從ARP信任接口接收到的ARP報文不受此功能影響,按照正常流程進行轉發;對於從ARP非信任接口接收到的並且已經通過用戶合法性檢查的ARP報文的處理過程如下:
· 對於ARP請求報文,通過信任接口進行轉發。
· 對於ARP應答報文,首先按照報文中的以太網目的MAC地址進行轉發,若在MAC地址表中沒有查到目的MAC地址對應的表項,則將此ARP應答報文通過信任接口進行轉發。
IPv6鄰居發現(Neighbor Discovery,ND)協議使用五種類型的ICMPv6消息(如表1-8所示),實現地址解析、驗證鄰居是否可達、重複地址檢測、路由器發現/前綴發現、地址自動配置和重定向等功能。
表1-8 ND使用的ICMPv6消息
|
ICMPv6消息 |
類型號 |
作用 |
|
鄰居請求消息NS(Neighbor Solicitation) |
135 |
獲取鄰居的鏈路層地址 |
|
驗證鄰居是否可達 |
||
|
進行重複地址檢測 |
||
|
鄰居通告消息NA(Neighbor Advertisement) |
136 |
對NS消息進行響應 |
|
節點在鏈路層變化時主動發送NA消息,向鄰居節點通告本節點的變化信息 |
||
|
路由器請求消息RS(Router Solicitation) |
133 |
節點啟動後,通過RS消息向路由器發出請求,請求前綴和其他配置信息,用於節點的自動配置 |
|
路由器通告消息RA(Router Advertisement) |
134 |
對RS消息進行響應 |
|
在沒有抑製RA消息發布的條件下,路由器會周期性地發布RA消息,其中包括前綴信息選項和一些標誌位的信息 |
||
|
重定向消息(Redirect) |
137 |
當滿足一定的條件時,缺省網關通過向源主機發送重定向消息,使主機重新選擇正確的下一跳地址進行後續報文的發送 |
鄰居表項保存的是設備在鏈路範圍內的鄰居信息,設備鄰居表項可以通過鄰居請求消息NS及鄰居通告消息NA來動態創建,也可以通過手工配置來靜態創建。
目前,靜態鄰居表項有兩種配置方式:
· 配置本節點的三層接口相連的鄰居節點的IPv6地址和鏈路層地址。
· 配置本節點VLAN中的二層端口相連的鄰居節點的IPv6地址和鏈路層地址。
對於VLAN接口,可以采用上述兩種方式來配置靜態鄰居表項:
· 采用第一種方式配置靜態鄰居表項後,設備還需要解析該VLAN下的二層端口信息。
· 采用第二種方式配置靜態鄰居表項後,需要保證該二層端口屬於指定的VLAN,且該VLAN已經創建了VLAN接口。
設備為同一鏈路上的主機發布RA報文,主機可以根據RA報文中的信息進行無狀態自動配置等操作。設備可以抑製RA報文的發送,也可以周期性發送RA報文,相鄰兩次RA報文發送時間間隔是在最大時間間隔與最小時間間隔之間隨機選取的一個值。最小時間間隔應該小於等於最大時間間隔的0.75倍。
RA報文中的參數和參數描述如表1-9所示。
表1-9 RA報文中的參數
|
參數 |
描述 |
|
地址前綴/前綴長度 |
主機根據該地址前綴/前綴長度生成對應的IPv6地址,完成無狀態自動配置操作 |
|
有效生命期 |
表示前綴有效期。在有效生命期內,通過該前綴自動生成的地址可以正常使用;有效生命期過期後,通過該前綴自動生成的地址變為無效,將被刪除 |
|
首選生命期 |
表示首選通過該前綴無狀態自動配置地址的時間。首選生命期過期後,節點通過該前綴自動配置的地址將被廢止。節點不能使用被廢止的地址建立新的連接,但是仍可以接收目的地址為被廢止地址的報文。首選生命期必須小於或等於有效生命期 |
|
不用於無狀態配置標識 |
選擇了該標識,則指定前綴不用於無狀態地址配置 |
|
不是直連可達標識 |
選擇了該標識,則表示該前綴不是當前鏈路上直連可達的 |
|
MTU |
發布鏈路的MTU,可以用於確保同一鏈路上的所有節點采用相同的MTU值 |
|
不指定跳數限製標識 |
選擇了該標識,則表示RA消息中不帶有本設備的跳數限製 |
|
被管理地址配置標誌位(M flag) |
用於確定主機是否采用有狀態自動配置獲取IPv6地址 如果選擇了該標誌位,主機將通過有狀態自動配置(例如DHCPv6服務器)來獲取IPv6地址;否則,將通過無狀態自動配置獲取IPv6地址,即根據自己的鏈路層地址及路由器發布的前綴信息生成IPv6地址 |
|
其他信息配置標誌位(O flag) |
用於確定主機是否采用有狀態自動配置獲取除IPv6地址外的其他信息 如果選擇了其他信息配置標誌位,主機將通過有狀態自動配置(例如DHCPv6服務器)來獲取除IPv6地址外的其他信息;否則,將通過無狀態自動配置獲取其他信息 |
|
路由器生存時間(Router Lifetime) |
用於設置發布RA消息的路由器作為主機的默認路由器的時間。主機根據接收到的RA消息中的路由器生存時間參數值,就可以確定是否將發布該RA消息的路由器作為默認路由器。發布RA消息中路由器生存時間為0的路由器不能作為默認路由器 |
|
鄰居請求重傳間隔(Retrans Timer) |
設備發送NS消息後,如果未在指定的時間間隔內收到響應,則會重新發送NS消息 |
|
配置路由優先級 ( Router Preference ) |
用於設置發布RA消息的路由器的路由器優先級,主機根據接收到的RA消息中的路由器優先級,可以選擇優先級最高的路由器作為默認網關。在路由器的優先級相同的情況下,遵循“先來先用”的原則,優先選擇先接收到的RA消息對應的發送路由器作為默認網關 |
|
保持鄰居可達時間(Reachable Time) |
當通過鄰居可達性檢測確認鄰居可達後,在所設置的可達時間內,設備認為鄰居可達;超過設置的時間後,如果需要向鄰居發送報文,會重新確認鄰居是否可達 |
如果NS請求是從一個網絡的主機發往同一網段卻不在同一物理網絡上的另一台主機,那麼連接它們的具有代理功能的設備就可以代答該請求,回應NA報文,這個過程稱作ND代理(ND Proxy)。
ND Proxy功能屏蔽了分離的物理網絡這一事實,使用戶使用起來,好像在同一個物理網絡上。
ND Proxy功能根據應用場景不同分為普通ND Proxy和本地ND Proxy。
普通ND Proxy的典型應用環境如圖1-6所示。Device通過兩個三層接口Int A和Int B連接兩個網絡,兩個三層接口的IPv6地址不在同一個網段,接口地址分別為4:1::99/64、4:2::99/64。但是兩個網絡內的主機Host A和Host B的地址通過掩碼的控製,既與相連設備的接口地址在同一網段,同時二者也處於同一個網段。
圖1-6 普通ND代理的典型應用環境
在這種組網情況下,當Host A需要與Host B通信時,由於目的IPv6地址與本機的IPv6地址為同一網段,因此Host A會直接發出請求Host B硬件地址的NS請求。但是,此時的兩台主機處於不同的廣播域中,Host B無法收到Host A的NS請求報文,當然也就無法應答。
通過在Device上啟用普通ND Proxy功能,可以解決此問題。在接口Int A和Int B上啟用普通ND Proxy後,Router可以應答Host A的NS請求。同時,Device作為Host B的代理,把其它主機發送過來的報文轉發給Host B。這樣,實現Host A與Host B之間的通信。
本地ND Proxy的應用場景如圖1-7所示。Host A屬於VLAN 2,Host B屬於VLAN 3,它們分別連接到端口Int A和Int C上。
圖1-7 本地ND代理的應用場景
在這種組網情況下,當Host A需要與Host B通信時,由於目的IPv6地址與本機的IPv6地址為同一網段,因此Host A會直接發出請求Host B硬件地址的NS請求。但是,因為連接兩台主機處於不同的VLAN中,Host B無法收到Host A的NS請求報文。
通過在Device A上啟用本地ND Proxy功能,可以解決此問題。在接口Int B上啟用本地ND Proxy後,Device A會代替Host B回應NA,Host A發給Host B的報文就會通過Device A進行轉發,從而實現Host A與Host B之間的通信。
NAT(Network Address Translation,網絡地址轉換)是將IP數據報文頭中的IP地址轉換為另一個IP地址的過程。在實際應用中,NAT主要應用在連接兩個網絡的邊緣設備上,用於實現允許內部網絡用戶訪問外部公共網絡以及允許外部公共網絡訪問部分內部網絡資源(例如內部服務器)的目的。NAT最初的設計目的是實現私有網絡訪問公共網絡的功能,後擴展為實現任意兩個網絡間進行訪問時的地址轉換應用。
靜態地址轉換是指外部網絡和內部網絡之間的地址映射關係由配置確定,該方式適用於內部網絡與外部網絡之間存在固定訪問需求的組網環境。靜態地址轉換支持雙向互訪:內網用戶可以主動訪問外網,外網用戶也可以主動訪問內網。
動態地址轉換是指內部網絡和外部網絡之間的地址映射關係在建立連接的時候動態產生。該方式通常適用於內部網絡有大量用戶需要訪問外部網絡的組網環境。動態地址轉換存在兩種轉換模式:
· NO-PAT模式
NO-PAT(Not Port Address Translation)模式下,一個外網地址同一時間隻能分配給一個內網地址進行地址轉換,不能同時被多個內網地址共用。當使用某外網地址的內網用戶停止訪問外網時,NAT會將其占用的外網地址釋放並分配給其他內網用戶使用。
該模式下,NAT設備隻對報文的IP地址進行NAT轉換,同時會建立一個NO-PAT表項用於記錄IP地址映射關係,並可支持所有IP協議的報文。
· PAT模式
PAT(Port Address Translation)模式下,一個NAT地址可以同時分配給多個內網地址共用。該模式下,NAT設備需要對報文的IP地址和傳輸層端口同時進行轉換,且隻支持TCP、UDP和ICMP(Internet Control Message Protocol,因特網控製消息協議)查詢報文。
采用PAT方式可以更加充分地利用IP地址資源,實現更多內部網絡主機對外部網絡的同時訪問。
在實際應用中,內網中的服務器可能需要對外部網絡提供一些服務,例如給外部網絡提供Web服務,或是FTP服務。這種情況下,NAT設備允許外網用戶通過指定的NAT地址和端口訪問這些內部服務器,NAT內部服務器的配置就定義了NAT地址和端口與內網服務器地址和端口的映射關係。NAT內部服務器支持以下幾種內網和外網的地址、端口映射關係。
表1-10 NAT內部服務器的地址與端口映射關係
|
外網 |
內網 |
|
一個外網地址 |
一個內網地址 |
|
一個外網地址、一個端口號 |
一個內網地址、一個內網端口號 |
|
一個外網地址,N個連續的外網端口號 |
一個內網地址,一個內網端口 |
|
N個連續的內網地址,一個內網端口號 |
|
|
一個內網地址,N個連續的內網端口號 |
|
|
N個連續的外網地址 |
一個內網地址 |
|
N個連續的內網地址 |
|
|
N個連續的外網地址連續,一個外網端口號 |
一個內網地址,一個內網端口號 |
|
N個連續的內網地址,一個內網端口號 |
|
|
一個內網地址,N個連續的內網端口號 |
|
|
一個外網地址,一個外網端口號 |
一個內部服務器組 |
|
一個外網地址,N個連續的外網端口號 |
|
|
N個連續的外網地址,一個外網端口號 |
NAT444是運營商網絡部署NAT的整體解決方案,它基於NAT444網關,結合AAA服務器、日誌服務器等配套係統,提供運營商級的NAT,並支持用戶溯源等功能。在眾多IPv4向IPv6網絡過渡的技術中,NAT444僅需在運營商側引入二次NAT,對終端和應用服務器端的更改較小,並且NAT444通過端口塊分配方式解決用戶溯源等問題,因此成為了運營商的首選IPv6過渡方案。
NAT444解決方案的架構如圖1-8所示。
圖1-8 NAT444解決方案架構
· CPE:實現用戶側地址轉換。
· BRAS:負責接入終端,並配合AAA完成用戶認證、授權和計費。
· NAT444網關:實現運營商級地址轉換。
· AAA服務器:負責用戶認證、授權和計費等。
· 日誌服務器:接受和記錄用戶訪問信息,響應用戶訪問信息查詢。
NAT444網關設備進行的地址轉換(以下稱為“NAT444地址轉換”)是一種PAT方式的動態地址轉換,但與普通PAT方式動態地址轉換不同的是,NAT444地址轉換是基於端口塊(即一個端口範圍)的方式來複用公網IP地址的,即一個私網IP地址在一個時間段內獨占一個公網IP地址的某個端口塊。例如:假設私網IP地址10.1.1.1獨占公網IP地址202.1.1.1的一個端口塊10001~10256,則該私網IP向公網發起的所有連接,源IP地址都將被轉換為同一個公網IP地址202.1.1.1,而源端口將被轉換為端口塊10001~10256之內的一個端口。
NAT444靜態地址轉換是指,NAT網關設備根據配置自動計算私網IP地址到公網IP地址、端口塊的靜態映射關係,並創建靜態端口塊表項。當私網IP地址成員中的某個私網IP地址向公網發起新建連接時,根據私網IP地址匹配靜態端口塊表項,獲取對應的公網IP地址和端口塊,並從端口塊中動態為其分配一個公網端口,對報文進行地址轉換。
配置NAT444靜態地址轉換時,需要創建一個端口塊組,並在端口塊組中配置私網IP地址成員、公網IP地址成員、端口範圍和端口塊大小。假設端口塊組中每個公網IP地址的可用端口塊數為m(即端口範圍除以端口塊大小),則端口塊靜態映射的算法如下:按照從小到大的順序對私網IP地址成員中的所有IP地址進行排列,最小的m個私網IP地址對應最小的公網IP地址及其端口塊,端口塊按照起始端口號從小到大的順序分配;次小的m個私網IP地址對應次小的公網IP地址及其端口塊,端口塊的分配順序相同;依次類推。
NAT444動態地址轉換融合了普通NAT動態地址轉換和NAT444靜態地址轉換的特點。當內網用戶向公網發起連接時,首先根據動態地址轉換中的ACL規則進行過濾,決定是否需要進行源地址轉換。對於需要進行源地址轉換的連接,當該連接為該用戶的首次連接時,從所匹配的動態地址轉換配置引用的NAT地址組中獲取一個公網IP地址,從該公網IP地址中動態分配一個端口塊,創建動態端口塊表項,然後從端口塊表項中動態分配一個公網端口,進行地址轉換。對該用戶後續連接的轉換,均從生成的動態端口塊表項中分配公網端口。當該用戶的所有連接都斷開時,回收為其分配的端口塊資源,刪除相應的動態端口塊表項。
NAT444動態地址轉換支持增量端口塊分配。當為某私網IP地址分配的端口塊資源耗盡(端口塊中的所有端口都被使用)時,如果該私網IP地址向公網發起新的連接,則無法再從端口塊中獲取端口,無法進行地址轉換。此時,如果預先在相應的NAT地址組中配置了增量端口塊數,則可以為該私網IP地址分配額外的端口塊,進行地址轉換。
一個NAT地址組是多個地址組成員的集合。當需要對到達外部網絡的數據報文進行地址轉換時,報文的源地址將被轉換為地址組成員中的某個地址。
NAT444地址組與NAT地址組的配置基本相同,所不同的是,NAT444地址組必須配置端口塊參數(端口範圍、端口塊大小和增量端口塊數)以實現基於端口塊的NAT444地址轉換。
配置NAT444端口塊靜態映射需要創建一個端口塊組,並在接口的出方向上應用該端口塊組。端口塊組中需要配置私網IP地址成員、公網IP地址成員、端口範圍和端口塊大小,係統會根據端口塊組中的配置自動計算私網IP地址到公網IP地址、端口塊的靜態映射關係,創建靜態端口塊表項,並根據表項進行NAT444地址轉換。
在配置內部服務器時,將內部服務器的內網信息指定為一個內部服務器組,組內的多台主機可以共同對外提供某種服務。外網用戶向內部服務器指定的外網地址發起應用請求時,NAT設備可根據內網服務器的權重和當前連接數,選擇其中一台內網服務器作為目的服務器,實現內網服務器負載分擔。
目前,PAT支持兩種不同的地址轉換模式:
· Endpoint-Independent Mapping(不關心對端地址和端口轉換模式):隻要是來自相同源地址和源端口號的報文,不論其目的地址是否相同,通過PAT映射後,其源地址和源端口號都被轉換為同一個外部地址和端口號,該映射關係會被記錄下來並生成一個EIM表項;並且NAT設備允許所有外部網絡的主機通過該轉換後的地址和端口來訪問這些內部網絡的主機。這種模式可以很好的支持位於不同NAT網關之後的主機進行互訪。
· Address and Port-Dependent Mapping(關心對端地址和端口轉換模式):對於來自相同源地址和源端口號的報文,相同的源地址和源端口號並不要求被轉換為相同的外部地址和端口號,若其目的地址或目的端口號不同,通過PAT映射後,相同的源地址和源端口號通常會被轉換成不同的外部地址和端口號。與Endpoint-Independent Mapping模式不同的是,NAT設備隻允許這些目的地址對應的外部網絡的主機可以通過該轉換後的地址和端口來訪問這些內部網絡的主機。這種模式安全性好,但由於同一個內網主機地址轉換後的外部地址不唯一,因此不便於位於不同NAT網關之後的主機使用內網主機轉換後的地址進行互訪。
通過配置DNS映射,可以在DNS服務器位於外網的情況下,實現內網用戶可通過域名訪問位於同一內網的內部服務器的功能。DNS映射功能需要和內部服務器配合使用,由內部服務器對外提供服務的外網IP地址和端口號,由DNS映射建立“內部服務器域名<-->外網IP地址+外網端口號+協議類型”的映射關係。
NAT設備對來自外網的DNS響應報文進行DNS ALG處理時,由於載荷中隻包含域名和應用服務器的外網IP地址(不包含傳輸協議類型和端口號),當接口上存在多條NAT服務器配置且使用相同的外網地址而內網地址不同時,DNS ALG僅使用IP地址來匹配內部服務器可能會得到錯誤的匹配結果。因此需要借助DNS映射的配置,指定域名與應用服務器的外網IP地址、端口和協議的映射關係,由域名獲取應用服務器的外網IP地址、端口和協議,進而(在當前NAT接口上)精確匹配內部服務器配置獲取應用服務器的內網IP地址。
通過在內網側接口上使能NAT hairpin功能,可以實現內網用戶使用NAT地址訪問內網服務器或內網其它用戶。NAT hairpin功能需要與內部服務器、出方向動態地址轉換或出方向靜態地址轉換配合工作,且這些配置所在的接口必須在同一個接口板,否則NAT hairpin功能無法正常工作。
該功能在不同工作方式下的具體轉換過程如下:
· C/S方式:NAT在內網接口上同時轉換訪問內網服務器的報文的源和目的IP地址,其中,目的IP地址轉換通過匹配某外網接口上的內部服務器配置來完成,源地址轉換通過匹配內部服務器所在接口上的出方向動態地址轉換或出方向靜態地址轉換來完成。
· P2P方式:內網各主機首先向外網服務器注冊自己的內網地址信息,該地址信息為外網側出方向地址轉換的NAT地址,然後內網主機之間通過使用彼此向外網服務器注冊的外網地址進行互訪。該方式下,外網側的出方向地址轉換必須配置為PAT轉換方式,並使能EIM模式。
通過開啟指定應用協議類型的ALG功能,實現對應用層報文數據載荷字段的分析和NAT處理。
(1) NAT會話日誌
NAT會話日誌是為了滿足網絡管理員安全審計的需要,對NAT會話(報文經過設備時,源或目的信息被NAT進行過轉換的連接)信息進行的記錄,包括IP地址及端口的轉換信息、用戶的訪問信息以及用戶的網絡流量信息。
有三種情況可以觸發設備生成NAT會話日誌:
· 新建NAT會話。
· 刪除NAT會話。新增高優先級的配置、刪除配置、報文匹配規則變更、NAT會話老化以及執行刪除NAT會話的命令時,都可能導致NAT會話被刪除。
· 存在NAT活躍流。NAT活躍流是指在一定時間內存在的NAT會話。當設置的生成活躍流日誌的時間間隔到達時,當前存在的NAT會話信息就被記錄並生成日誌。
(2) NAT444日誌
NAT444日誌分為NAT444用戶日誌和NAT444告警信息日誌。
NAT444用戶日誌是為了滿足互聯網用戶溯源的需要,在NAT444地址轉換中,對每個用戶的私網IP地址進行端口塊分配或回收時,都會輸出一條基於用戶的日誌,記錄私網IP地址和端口塊的映射關係。在進行用戶溯源時,隻需根據報文的公網IP地址和端口找到對應的端口塊分配日誌信息,即可確定私網IP地址。
有兩種情況可以觸發設備輸出NAT444用戶日誌:
· 端口塊分配:端口塊靜態映射方式下,在某私網IP地址的第一個新建連接通過端口塊進行地址轉換時輸出日誌;端口塊動態映射方式下,在為某私網IP地址分配端口塊或增量端口塊時輸出日誌。
· 端口塊回收:端口塊靜態映射方式下,在某私網IP地址的最後一個連接拆除時輸出日誌;端口塊動態映射方式下,在釋放端口塊資源(並刪除端口塊表項)時輸出日誌。
在NAT444地址轉換中,如果可為用戶分配的公網IP地址、端口塊或端口塊中的端口都被占用,則該用戶的後續連接由於沒有可用的資源無法對其進行地址轉換,相應的報文將被丟棄。為了監控公網IP地址和端口塊資源的使用情況,可以對端口用滿和資源用滿兩種情況記錄告警信息日誌。
· 端口用滿告警:在私網IP地址對應的端口塊中的所有端口都被占用的情況下,輸出告警信息日誌。對於端口塊動態映射方式,如果配置了增量端口塊分配,則當首次分配的端口塊中的端口都被占用時,並不輸出日誌;隻有當增量端口塊中的端口也都被占用時,才會輸出日誌。
· 資源用滿告警:在NAT444端口塊動態映射中,如果所有資源(公網IP地址、端口塊)都被占用,則輸出日誌。
· 入方向的靜態地址轉換通常用於與接口上的出方向動態地址轉換、內部服務器或出方向靜態地址轉換配合以實現雙向NAT,不建議單獨配置。
· 若接口上同時存在普通NAT靜態地址轉換、普通NAT動態地址轉換、NAT444端口塊靜態映射、NAT444端口塊動態映射和內部服務器的配置,則在地址轉換過程中,它們的優先級從高到低依次為:內部服務器;普通NAT靜態地址轉換;NAT444端口塊靜態映射;NAT444動態轉換和普通NAT動態地址轉換,係統對二者不做區分,統一按照ACL編號由大到小的順序匹配。
· 各地址組成員的IP地址段不能互相重疊。
· 配置的所有地址組成員包含的地址總數不能少於安全引擎(或安全插卡)的數量。
· 內部服務器組成員按照權重比例對外提供服務,權重值越大的內部服務器組成員對外提供服務的比重越大。
· 在配置NAT444日誌功能前,必須先配置將用戶定製日誌發送到日誌主機的功能,否則無法產生NAT444告警信息日誌。
為了方便用戶對網絡設備進行配置和維護,設備提供了Web登錄功能。用戶可以通過PC登錄到設備上,使用Web界麵直觀地配置和維護設備。
設備支持的Web登錄方式有以下兩種:
· HTTP登錄方式:HTTP(Hypertext Transfer Protocol,超文本傳輸協議)用來在Internet上傳遞Web頁麵信息。目前,設備支持的HTTP協議版本為HTTP/1.0。
· HTTPS登錄方式:HTTPS(Hypertext Transfer Protocol Secure,超文本傳輸協議的安全版本)是支持SSL(Secure Sockets Layer,安全套接字層)協議的HTTP協議。HTTPS通過SSL協議,能對客戶端與設備之間交互的數據進行加密,能為設備製定基於證書屬性的訪問控製策略,提高了數據傳輸的安全性和完整性,保證合法客戶端可以安全地訪問設備,禁止非法客戶端訪問設備,從而實現了對設備的安全管理。
采用HTTPS登錄時,設備上隻需使能HTTPS服務,用戶即可通過HTTPS登錄設備。此時,設備使用的證書為自簽名證書,使用的SSL參數為各個參數的缺省值。(自簽名證書指的是服務器自己生成的證書,無需從CA獲取)
通過引用ACL(Access Control List,訪問控製列表),可以對訪問設備的登錄用戶進行控製:
· 當未引用ACL、引用的ACL不存在或者引用的ACL為空時,允許所有登錄用戶訪問設備;
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,其它用戶不允許訪問設備,可以避免非法用戶使用Web頁麵登錄設備。
FTP用於在FTP服務器和FTP客戶端之間傳輸文件,是IP網絡上傳輸文件的通用協議。本設備可作為FTP服務器,使用20端口傳輸數據,使用21端口傳輸控製消息。
設備可以開啟Telnet服務器功能,以便用戶能夠通過Telnet登錄到設備進行遠程管理和監控。
通過引用ACL(Access Control List,訪問控製列表),可以對訪問設備的登錄用戶進行控製:
· 當未引用ACL、引用的ACL不存在或者引用的ACL為空時,允許所有登錄用戶訪問設備。
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,其它用戶不允許訪問設備,可以避免非法用戶通過Telnet訪問設備。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
WAC380-30:不支持 WAC380-60:不支持 WAC380-90:不支持 WAC380-120:不支持 WAC381:支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
支持 |
|
AC1000係列 |
AC1016 AC1108 |
支持 |
SSH是Secure Shell(安全外殼)的簡稱,是一種在不安全的網絡環境中,通過加密機製和認證機製,實現安全的遠程訪問以及文件傳輸等業務的網絡安全協議。
SSH協議采用了典型的客戶端/服務器模式,並基於TCP協議協商建立用於保護數據傳輸的會話通道。
本設備可作為SSH服務器,為SSH客戶端提供以下幾種應用:
· Secure Telnet:簡稱Stelnet,可提供安全可靠的網絡終端訪問服務。
· Secure FTP:簡稱SFTP,基於SSH2,可提供安全可靠的網絡文件傳輸服務。
· Secure Copy:簡稱SCP,基於SSH2,可提供安全的文件複製功能。
SSH協議有兩個版本,SSH1.x和SSH2.0(本文簡稱SSH1和SSH2),兩者互不兼容。SSH2在性能和安全性方麵比SSH1有所提高。設備作為SSH服務器時,非FIPS模式下支持SSH2和SSH1兩個版本,FIPS模式下隻支持SSH2版本。
設備作為SSH服務器時,利用本地密碼認證機製驗證SSH客戶端的用戶名和密碼的合法性。身份認證通過後,SSH客戶端將與SSH服務器建立相應的會話,並在該會話上進行數據信息的交互。
NTP(Network Time Protocol,網絡時間協議)可以用來在分布式時間服務器和客戶端之間進行時間同步,使網絡內所有設備的時間保持一致,從而使設備能夠提供基於統一時間的多種應用。
NTP通過時鍾層數來定義時鍾的準確度。時鍾層數的取值範圍為1~15,取值越小,時鍾準確度越高。
在某些網絡中,例如無法與外界通信的孤立網絡,網絡中的設備無法與權威時鍾進行時間同步。此時,可以從該網絡中選擇一台時鍾較為準確的設備,指定該設備與本地時鍾進行時間同步,即采用本地時鍾作為參考時鍾,使得該設備的時鍾處於同步狀態。該設備作為時間服務器為網絡中的其他設備提供時間同步,從而實現整個網絡的時間同步。
通過Web頁麵可以配置本地時鍾作為參考時鍾。
LLDP(Link Layer Discovery Protocol,鏈路層發現協議)提供了一種標準的鏈路層發現方式,可以將本端設備的信息(包括主要能力、管理地址、設備標識、接口標識等)組織成不同的TLV(Type/Length/Value,類型/長度/值),並封裝在LLDPDU(Link Layer Discovery Protocol Data Unit,鏈路層發現協議數據單元)中發布給與自己直連的鄰居,鄰居收到這些信息後將其以標準MIB(Management Information Base,管理信息庫)的形式保存起來,以供網絡管理係統查詢及判斷鏈路的通信狀況。
LLDP代理是LLDP協議運行實體的一個抽象映射。一個接口下,可以運行多個LLDP代理。目前LLDP定義的代理類型包括:最近橋代理、最近非TPMR橋代理和最近客戶橋代理。LLDP在相鄰的代理之間進行協議報文交互,並基於代理創建及維護鄰居信息。
在指定類型LLDP代理下,當端口工作在TxRx或Tx模式時,設備會以報文發送時間間隔為周期,向鄰居設備發送LLDP報文。如果設備的本地配置發生變化則立即發送LLDP報文,以將本地信息的變化情況盡快通知給鄰居設備。但為了防止本地信息的頻繁變化而引起LLDP報文的大量發送,可以配置限製發送報文速率的令牌桶大小來作限速處理。
當設備的工作模式由Disable/Rx切換為TxRx/Tx,或者發現了新的鄰居設備(即收到一個新的LLDP報文且本地尚未保存發送該報文設備的信息)時,該設備將自動啟用快速發送機製,即將LLDP報文的發送周期設置為快速發送周期,並連續發送指定數量(快速發送LLDP報文的個數)的LLDP報文後再恢複為正常的發送周期。
當端口工作在TxRx或Rx模式時,設備會對收到的LLDP報文及其攜帶的TLV進行有效性檢查,通過檢查後再將鄰居信息保存到本地,並根據Time To Live TLV中TTL(Time To Live,生存時間)的值來設置鄰居信息在本地設備上的老化時間,若該值為零,則立刻老化該鄰居信息。
由於TTL=Min(65535,(TTL乘數×LLDP報文的發送間隔+1)),即取65535與(TTL乘數×LLDP報文的發送間隔+1)中的最小值,因此通過調整TTL乘數可以控製本設備信息在鄰居設備上的老化時間。
當端口的LLDP工作模式發生變化時,端口將對協議狀態機進行初始化操作。為了避免端口工作模式頻繁改變而導致端口不斷執行初始化操作,可配置端口初始化延遲時間,當端口工作模式改變時延遲一段時間再執行初始化操作。
如果開啟了發送LLDP Trap功能,設備可以通過向網管係統發送Trap信息以通告如發現新的LLDP鄰居、與原來鄰居的通信鏈路發生故障等重要事件。
TLV是組成LLDP報文的單元,每個TLV都代表一個信息。LLDP可以封裝的TLV包括基本TLV、802.1 TLV、802.3 TLV和LLDP-MED(Link Layer Discovery Protocol Media Endpoint Discovery,鏈路層發現協議媒體終端發現) TLV。
基本TLV是網絡設備管理基礎的一組TLV,802.1 TLV、802.3 TLV和LLDP-MED TLV則是由標準組織或其他機構定義的TLV,用於增強對網絡設備的管理,可根據實際需要選擇是否在LLDPDU中發送。
開啟本功能後,設備可以利用LLDP來接收、識別Cisco的IP電話發送的CDP報文,並向其回應CDP報文。
設備產生的日誌信息按嚴重性可劃分為如表1-11所示的八個等級,各等級的嚴重性依照數值從0~7依次降低。
|
數值 |
信息等級 |
描述 |
|
0 |
emergency |
表示設備不可用的信息,如係統授權已到期 |
|
1 |
alert |
表示設備出現重大故障,需要立刻做出反應的信息,如流量超出接口上限 |
|
2 |
critical |
表示嚴重信息,如設備溫度已經超過預警值,設備電源、風扇出現故障等 |
|
3 |
error |
表示錯誤信息,如接口鏈路狀態變化等 |
|
4 |
warning |
表示警告信息,如接口連接斷開,內存耗盡告警等 |
|
5 |
notification |
表示正常出現但是重要的信息,如通過終端登錄設備,設備重啟等 |
|
6 |
informational |
表示需要記錄的通知信息,如通過命令行輸入命令的記錄信息,執行ping命令的日誌信息等 |
|
7 |
debugging |
表示調試過程產生的信息 |
係統可以向日誌緩衝區(logbuffer)、日誌主機(loghost)等方向發送日誌信息。日誌信息的各個輸出方向相互獨立,可在頁麵中分別設置。
包過濾是指采用ACL規則對接口入方向或出方向的報文進行過濾,即對匹配上ACL規則的報文按照其中定義的匹配動作允許或拒絕通過,對未匹配上任何ACL規則的報文則按照指定的缺省動作進行處理。
QoS即服務質量。對於網絡業務,影響服務質量的因素包括傳輸的帶寬、傳送的時延、數據的丟包率等。在網絡中可以通過保證傳輸的帶寬、降低傳送的時延、降低數據的丟包率以及時延抖動等措施來提高服務質量。
QoS策略包含了三個要素:類、流行為、策略。用戶可以通過QoS策略將指定的類和流行為綁定起來,靈活地進行QoS配置。
類用來定義一係列的規則來對報文進行分類。
流行為用來定義針對報文所做的QoS動作。
策略用來將指定的類和流行為綁定起來,對符合分類條件的報文執行流行為中定義的動作。
設備支持基於接口應用QoS策略,對通過接口接收或發送的流量生效。接口的每個方向(出和入兩個方向)隻能應用一個策略。如果QoS策略應用在接口的出方向,則QoS策略對本地協議報文不起作用。一些常見的本地協議報文如下:鏈路維護報文、SSH等。
報文在進入設備以後,設備會根據映射規則分配或修改報文的各種優先級的值,為隊列調度和擁塞控製服務。
優先級映射功能通過報文所攜帶的優先級字段來映射其他優先級字段值,就可以獲得決定報文調度能力的各種優先級字段,從而為全麵有效的控製報文的轉發調度等級提供依據。
如果配置了優先級信任模式,即表示設備信任所接收報文的優先級,會自動解析報文的優先級或者標誌位,然後按照映射表映射到報文的優先級參數。
如果沒有配置優先級信任模式,並且配置了端口優先級值,則表明設備不信任所接收報文的優先級,而是使用端口優先級,按照映射表映射到報文的優先級參數。
按照接收端口的端口優先級,設備通過一一映射為報文分配優先級。
根據報文自身的優先級,查找優先級映射表,為報文分配優先級參數,可以通過配置優先級信任模式的方式來實現。
在配置接口上的優先級模式時,用戶可以選擇下列信任模式:
· Untrust:不信任任何優先級。
· Dot1p:信任報文自帶的802.1p優先級,以此優先級進行優先級映射。
· DSCP:信任IP報文自帶的DSCP優先級,以此優先級進行優先級映射。
報文在進入設備以後,設備會根據映射規則分配或修改報文的各種優先級的值,為隊列調度和擁塞控製服務。
優先級映射功能通過報文所攜帶的優先級字段來映射其他優先級字段值,就可以獲得決定報文調度能力的各種優先級字段,從而為全麵有效的控製報文的轉發調度等級提供依據。
設備中提供了多張優先級映射表,如果缺省優先級映射表無法滿足用戶需求,可以根據實際情況對映射表進行修改。
802.1X協議是一種基於端口的網絡接入控製協議,即在局域網接入設備的端口上對所接入的用戶和設備進行認證,以便控製用戶設備對網絡資源的訪問。
802.1X係統中包括三個實體:
· 客戶端:請求接入局域網的用戶終端,由局域網中的設備端對其進行認證。客戶端上必須安裝支持802.1X認證的客戶端軟件。
· 設備端:局域網中控製客戶端接入的網絡設備,位於客戶端和認證服務器之間,為客戶端提供接入局域網的端口,並通過與認證服務器的交互來對所連接的客戶端進行認證。
· 認證服務器端:用於對客戶端進行認證、授權和計費,通常為RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器。認證服務器根據設備端發送來的客戶端認證信息來驗證客戶端的合法性,並將驗證結果通知給設備端,由設備端決定是否允許客戶端接入。
在接入設備上,802.1X認證方法有三種方式:
· CHAP或PAP認證方法。在這種方式下,設備對EAP認證過程進行終結,將收到的EAP報文中的客戶端認證信息封裝在標準的RADIUS報文中,與服務器之間采用PAP或CHAP方法進行認證。CHAP以密文的方式傳送密碼,而PAP是以明文的方式傳送密碼。
· EAP認證方法。在這種方式下,設備端對收到的EAP報文進行中繼,使用EAPOR(EAP over RADIUS)封裝格式將其承載於RADIUS報文中發送給RADIUS服務器。
端口支持以下兩種接入控製方式:
· 基於端口認證:隻要該端口下的第一個用戶認證成功後,其它接入用戶無須認證就可使用網絡資源,但是當第一個用戶下線後,其它用戶也會被拒絕使用網絡。
· 基於MAC認證:該端口下的所有接入用戶均需要單獨認證,當某個用戶下線後,也隻有該用戶無法使用網絡。
該功能開啟後,設備會根據周期性重認證時間間隔定期向該端口在線802.1X用戶發起重認證,以檢測用戶連接狀態的變化、確保用戶的正常在線,並及時更新服務器下發的授權屬性(例如ACL、VLAN、User Profile)。
該功能開啟後,設備會根據周期發送握手請求報文時間間隔定期向通過802.1X認證的在線用戶發送握手報文,以定期檢測用戶的在線情況。如果設備連續多次沒有收到客戶端的響應報文,則會將用戶置為下線狀態。
設備端主動觸發方式用於支持不能主動發送EAPOL-Start報文的客戶端,例如Windows XP自帶的802.1X客戶端。設備主動觸發認證的方式分為以下兩種:
· 單播觸發:當設備收到源MAC地址未知的報文時,主動向該MAC地址單播發送Identity類型的EAP-Request幀來觸發認證。若設備端在設置的時長內沒有收到客戶端的響應,則重發該報文。
· 組播觸發:設備每隔一定時間(缺省為30秒)主動向客戶端組播發送Identity類型的EAP-Request幀來觸發認證。
EAD(Endpoint Admission Defense,端點準入防禦)作為一個網絡端點接入控製方案,它通過安全客戶端、安全策略服務器、接入設備以及第三方服務器的聯動,加強了對用戶的集中管理,提升了網絡的整體防禦能力。但是在實際的應用過程中EAD客戶端的部署工作量很大,例如,需要網絡管理員手動為每一個EAD客戶端下載、升級客戶端軟件,這在EAD客戶端數目較多的情況下給管理員帶來了操作上的不便。
802.1X認證支持的EAD快速部署功能就可以解決以上問題,它允許未通過認證的802.1X用戶訪問一個指定的IP地址段(稱為Free IP),並可以將用戶發起的HTTP訪問請求重定向到該IP地址段中的一個指定的URL,實現用戶自動下載並安裝EAD客戶端的目的。
開啟了SmartOn功能的端口上收到802.1X客戶端發送的EAPOL-Start報文後,將向其回複單播的EAP-Request/Notification報文,並開啟SmartOn通知請求超時定時器定時器等待客戶端響應的EAP-Response/Notification報文。若SmartOn通知請求超時定時器超時後客戶端仍未回複,則設備會重發EAP-Request/Notification報文,並重新啟動該定時器。當重發次數達到規定的最大次數後,會停止對該客戶端的802.1X認證;若在重發次數達到最大次數之前收到了該Notification報文的回複報文,則獲取該報文中攜帶的Switch ID和SmartOn密碼的MD5摘要,並與設備本地配置的SmartOn的Switch ID以及SmartOn密碼的MD5摘要值比較,若相同,則繼續客戶端的802.1X認證,否則中止客戶端的802.1X認證。
802.1X SmartOn功能與在線用戶握手功能互斥,建議兩個功能不要同時開啟。
設備對用戶的管理是基於ISP(Internet Service Provider,互聯網服務提供者)域的,一個ISP域對應著一套實現AAA(Authentication、Authorization、Accounting,認證、授權、計費)的配置策略,它們是管理員針對該域用戶製定的一套認證、授權、計費方法,可根據用戶的接入特征以及不同的安全需求組合使用。
設備支持的認證方法包括:
· 不認證:對用戶非常信任,不對其進行合法性檢查,一般情況下不采用這種方法。
· 本地認證:認證過程在接入設備上完成,用戶信息(包括用戶名、密碼和各種屬性)配置在接入設備上。優點是速度快,可以降低運營成本;缺點是存儲信息量受設備硬件條件限製。
· 遠端認證(RADIUS):認證過程在接入設備和遠端的服務器之間完成,接入設備和遠端服務器之間通過RADIUS協議通信。優點是用戶信息集中在服務器上統一管理,可實現大容量、高可靠性、支持多設備的集中式統一認證。當遠端服務器無效時,可配置備選認證方式完成認證。
設備支持的授權方法包括:
· 不授權:接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的login用戶隻有係統所給予的缺省用戶角色,其中FTP/SFTP/SCP用戶的工作目錄是設備的根目錄,但並無訪問權限;認證通過的非login用戶,可直接訪問網絡。
· 本地授權:授權過程在接入設備上進行,根據接入設備上為本地用戶配置的相關屬性進行授權。
· 遠端授權(RADIUS):授權過程在接入設備和遠端服務器之間完成。RADIUS協議的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。RADIUS認證成功後,才能進行授權,RADIUS授權信息攜帶在認證回應報文中下發給用戶。當遠端服務器無效時,可配置備選授權方式完成授權。
設備支持的計費方法包括:
· 不計費:不對用戶計費。
· 本地計費:計費過程在接入設備上完成,實現了本地用戶連接數的統計和限製,並沒有實際的費用統計功能。
· 遠端計費(RADIUS):計費過程在接入設備和遠端的服務器之間完成。當遠端服務器無效時,可配置備選計費方式完成計費。
每個用戶都屬於一個ISP域。為便於對不同接入方式的用戶進行區分管理,提供更為精細且有差異化的認證、授權、計費服務,設備將用戶劃分為以下幾個類型:
· LAN接入用戶:例如802.1X認證用戶。
· 登錄用戶:例如Telnet、FTP、終端接入用戶(即從Console等接口登錄的用戶)。
· Portal用戶。
在多ISP的應用環境中,不同ISP域的用戶有可能接入同一台設備,因此係統中可以存在多個ISP域,其中包括一個缺省存在的名稱為system的ISP域。如果某個用戶在登錄時沒有提供ISP域名,係統將把它歸於缺省的ISP域。係統缺省的ISP域可以手工修改為一個指定的ISP域。
用戶認證時,設備將按照如下先後順序為其選擇認證域:接入模塊指定的認證域-->用戶名中指定的ISP域-->係統缺省的ISP域。其中,僅部分接入模塊支持指定認證域,例如802.1X認證。
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種分布式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的幹擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。
· RADIUS客戶端:一般位於接入設備上,可以遍布整個網絡,負責將用戶信息傳輸到指定的RADIUS服務器,然後根據服務器返回的信息進行相應處理(如接受/拒絕用戶接入)。
· RADIUS服務器:一般運行在中心計算機或工作站上,維護用戶的身份信息和與其相關的網絡服務信息,負責接收接入設備發送的認證、授權、計費請求並進行相應的處理,然後給接入設備返回處理結果(如接受/拒絕認證請求)。
RADIUS協議使用UDP作為封裝RADIUS報文的傳輸層協議,通過使用共享密鑰機製來保證客戶端和RADIUS服務器之間消息交互的安全性。
當接入設備對用戶提供AAA(Authentication、Authorization、Accounting,認證、授權、計費)服務時,若要對用戶采用RADIUS服務器進行認證、授權、計費,則作為RADIUS客戶端的接入設備上需要配置相應的RADIUS服務器參數。
設備重啟後,重啟前的原在線用戶可能會被RADIUS服務器認為仍然在線而短時間內無法再次登錄。為了解決這個問題,需要開啟Accounting-on功能。
開啟了Accounting-on功能後,設備會在重啟後主動向RADIUS服務器發送Accounting-on報文來告知自己已經重啟,並要求RADIUS服務器停止計費且強製通過本設備上線的用戶下線。若設備發送Accounting-on報文後RADIUS服務器無響應,則會在按照一定的時間間隔嚐試重發幾次。分布式設備單板重啟時,Accounting-on功能的實現需要和H3C IMC網管係統配合使用。
H3C的iMC RADIUS服務器使用session control報文向設備發送授權信息的動態修改請求以及斷開連接請求。設備上開啟接收session control報文的開關後,會打開知名UDP端口1812來監聽並接收RADIUS服務器發送的session control報文。
需要注意的是,該功能僅能和H3C的iMC RADIUS服務器配合使用。
本地用戶泛指由接入設備對用戶進行認證、授權和計費,進行本地認證的用戶的信息(包括用戶名、密碼和各種屬性)配置在接入設備上。
為使某個請求網絡服務的用戶可以通過本地認證,需要在設備上添加相應的用戶條目。所謂用戶,是指在設備上設置的一組用戶屬性的集合,該集合以用戶名唯一標識。
為了簡化用戶的配置,增強用戶的可管理性,引入了用戶組的概念。用戶組是一係列公共用戶屬性的集合,某些需要集中管理的公共屬性可在用戶組中統一配置和管理,屬於該用戶組的所有用戶都可以繼承這些屬性。
由於MSG係列、WX2500H-WiNet係列、WAC係列、WX2500H-LI係列和AC1016不支持IRF功能,因此不支持IRF模式的相關配置。
係統產生的日誌信息共分為:
· 普通日誌:用於記錄日常信息。除特殊說明外,下文中的日誌均指普通日誌。
· 診斷日誌:用於記錄調試信息。
· 安全日誌:用於記錄與認證、授權等安全相關的信息。
· 隱藏日誌:用於記錄需要以日誌的方式記錄下來但不需要在終端上顯示的信息(如用戶通過命令行輸入命令的記錄信息等)。
· 調試跟蹤日誌:用於記錄係統跟蹤調試信息,調試跟蹤日誌信息,必須加載devkit包後才可以查看,普通用戶無需關注,主要提供給服務工程師定位問題。
日誌信息按嚴重性可劃分為如表3-1所示的八個等級,各等級的嚴重性依照數值從0~7依次降低。在係統輸出信息時,所有信息等級高於或等於配置等級的信息都會被輸出。例如,輸出規則中指定允許等級為6(informational)的信息輸出,則等級0~6的信息均會被輸出。
|
數值 |
信息等級 |
描述 |
|
0 |
emergency |
表示設備不可用的信息,如係統授權已到期 |
|
1 |
alert |
表示設備出現重大故障,需要立刻做出反應的信息,如流量超出接口上限 |
|
2 |
critical |
表示嚴重信息,如設備溫度已經超過預警值,設備電源、風扇出現故障等 |
|
3 |
error |
表示錯誤信息,如接口鏈路狀態變化等 |
|
4 |
warning |
表示警告信息,如接口連接斷開,內存耗盡告警等 |
|
5 |
notification |
表示正常出現但是重要的信息,如通過終端登錄設備,設備重啟等 |
|
6 |
informational |
表示需要記錄的通知信息,如通過命令行輸入命令的記錄信息,執行ping命令的日誌信息等 |
|
7 |
debugging |
表示調試過程產生的信息 |
ACL(Access Control List,訪問控製列表)是一或多條規則的集合,用於識別報文流。這裏的規則是指描述報文匹配條件的判斷語句,匹配條件可以是報文的源地址、目的地址、端口號等。設備依照這些規則識別出特定的報文,並根據預先設定的策略對其進行處理。
ACL包括表3-2所列的幾種類型,它們的主要區別在於規則製訂依據不同:
表3-2 ACL分類
|
ACL分類 |
規則製定依據 |
|
|
IPv4 ACL |
基本ACL |
依據報文的源IPv4地址製訂規則 |
|
高級ACL |
依據報文的源/目的IPv4地址、源/目的端口號、優先級、承載的IPv4協議類型等三、四層信息製訂規則 |
|
|
IPv6 ACL |
基本ACL |
依據報文的源IPv6地址製訂規則 |
|
高級ACL |
依據報文的源/目的IPv6地址、源/目的端口號、優先級、承載的IPv6協議類型等三、四層信息製訂規則 |
|
|
二層ACL |
依據報文的源/目的MAC地址、802.1p優先級、鏈路層協議類型等二層信息 |
|
一個ACL中可以包含多條規則,設備將報文按照一定順序與這些規則進行匹配,一旦匹配上某條規則便結束匹配過程。規則匹配順序有兩種:
· 配置順序:按照規則編號由小到大進行匹配。
· 自動排序:按照“深度優先”原則由深到淺進行匹配,見表3-3(自定義ACL不支持自動排序):
表3-3 各類型ACL的“深度優先”排序法則
|
ACL分類 |
規則製定依據 |
|
|
IPv4 ACL |
基本ACL |
1. 先比較源IPv4地址的範圍,較小者(即通配符掩碼中“0”位較多者)優先 2. 如果源IPv4地址範圍相同,再比較配置的先後次序,先配置者優先 |
|
高級ACL |
(1) 先比較協議範圍,指定有IPv4承載的協議類型者優先 3. 如果協議範圍相同,再比較源IPv4地址範圍,較小者優先 4. 如果源IPv4地址範圍也相同,再比較目的IPv4地址範圍,較小者優先 5. 如果目的IPv4地址範圍也相同,再比較TCP/UDP端口號的覆蓋範圍,較小者優先 6. 如果TCP/UDP端口號的覆蓋範圍無法比較,則比較配置的先後次序,先配置者優先 |
|
|
IPv6 ACL |
基本ACL |
(1) 先比較源IPv6地址的範圍,較小者(即前綴較長者)優先 7. 如果源IPv6地址範圍相同,再比較配置的先後次序,先配置者優先 |
|
高級ACL |
(1) 先比較協議範圍,指定有IPv6承載的協議類型者優先 8. 如果協議範圍相同,再比較源IPv6地址範圍,較小者優先 9. 如果源IPv6地址範圍也相同,再比較目的IPv6地址範圍,較小者優先 10. 如果目的IPv6地址範圍也相同,再比較TCP/UDP端口號的覆蓋範圍,較小者優先 11. 如果TCP/UDP端口號的覆蓋範圍無法比較,則比較配置的先後次序,先配置者優先 |
|
|
二層ACL |
(1) 先比較源MAC地址範圍,較小者(即掩碼中“1”位較多者)優先 12. 如果源MAC地址範圍相同,再比較目的MAC地址範圍,較小者優先 13. 如果目的MAC地址範圍也相同,再比較配置的先後次序,先配置者優先 |
|
比較IPv4地址範圍的大小,就是比較IPv4地址通配符掩碼中“0”位的多少:“0”位越多,範圍越小。
比較IPv6地址範圍的大小,就是比較IPv6地址前綴的長短:前綴越長,範圍越小。
比較MAC地址範圍的大小,就是比較MAC地址掩碼中“1”位的多少:“1”位越多,範圍越小。
每條規則都有自己的編號,這個編號可由手工指定或由係統自動分配。由於規則編號可能影響規則的匹配順序,因此當係統自動分配編號時,為方便後續在已有規則之間插入新規則,通常在相鄰編號之間留有一定空間,這就是規則編號的步長。係統自動分配編號的方式為:從0開始,按照步長分配一個大於現有最大編號的最小編號。比如原有編號為0、5、9、10和12的五條規則,步長為5,則係統將自動為下一條規則分配編號15。如果步長發生了改變,則原有全部規則的編號都將自動從0開始按新步長重新排列。比如原有編號為0、5、9、10和15的五條規則,當步長變為2後,這些規則的編號將依次變為0、2、4、6和8。
時間段(Time Range)定義了一個時間範圍。用戶通過創建一個時間段並在某業務中將其引用,就可使該業務在此時間段定義的時間範圍內生效。但如果一個業務所引用的時間段尚未配置或已被刪除,該業務將不會生效。
譬如,當一個ACL規則隻需在某個特定時間範圍內生效時,就可以先配置好這個時間段,然後在配置該ACL規則時引用此時間段,這樣該ACL規則就隻能在該時間段定義的時間範圍內生效。
時間段可分為以下兩種類型:
· 周期時間段:表示以一周為周期(如每周一的8至12點)循環生效的時間段。
· 絕對時間段:表示在指定時間範圍內(如2011年1月1日8點至2011年1月3日18點)生效時間段。
每個時間段都以一個名稱來標識,一個時間段內可包含一或多個周期時間段和絕對時間段。當一個時間段內包含有多個周期時間段和絕對時間段時,係統將先分別取各周期時間段的並集和各絕對時間段的並集,再取這兩個並集的交集作為該時間段最終生效的時間範圍。
設備支持的存儲介質包括固定存儲介質和可插拔存儲介質(U盤或者SD卡)。設備上一個存儲介質即為一個文件係統。
|
產品係列 |
產品型號 |
固定存儲介質 |
可插拔存儲介質 |
|
MSG係列 |
MSG360-4 |
Flash |
- |
|
MSG360-4-PWR |
U盤 |
||
|
MSG360-10 |
U盤、SD卡 |
||
|
MSG360-10S |
U盤、SD卡 |
||
|
MSG360-10-PWR |
U盤 |
||
|
MSG360-10-LTE |
SD卡 |
||
|
MSG360-20 |
U盤、SD卡 |
||
|
MSG360-40 |
U盤、SD卡 |
||
|
MSG360-22L-PWR |
U盤 |
||
|
WX2500H-WiNet係列 |
WX2510H-WiNet |
Flash |
U盤、SD卡 |
|
WX2560H-WiNet |
U盤、SD卡 |
||
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
Flash |
U盤、SD卡 |
|
WAC係列 |
WAC380-30 |
Flash |
U盤、SD卡 |
|
WAC380-60 |
SD卡 |
||
|
WAC380-90 |
SD卡 |
||
|
WAC380-120 |
U盤、SD卡 |
||
|
WAC381 |
U盤、SD卡 |
||
|
WX2500H-LI係列 |
WX2540H-LI |
Flash |
U盤 |
|
WX2560H-LI |
U盤、SD卡 |
||
|
WX3500H-LI係列 |
WX3510H-LI |
Flash |
U盤、SD卡 |
|
WX3520H-LI |
CF |
硬盤 |
|
|
AC1000係列 |
AC1016 |
Flash |
SD卡 |
|
AC1108 |
Flash |
U盤、SD卡 |
存儲介質flash及其文件係統名稱由如下部分組成:
· 存儲介質類型:flash的類型名稱即為“flash”。
· 冒號:存儲介質名稱的結束符。
U盤、SD卡和硬盤上及其文件係統名稱由如下部分組成:
· 存儲介質類型:U盤的類型名稱為“usb” 。
· 存儲介質編號:同類型的存儲介質以英文小寫字母a開始進行排序。
· 分區編號:設備暫不支持分區,分區編號固定為0(存儲介質名稱不包括分區編號)。
· 冒號:存儲介質名稱的結束符。
文件係統名稱中的英文字符輸入時區分大小寫,必須為小寫字符。
對於支持IRF的設備,存儲介質位置的表示方式為:slotn#。其中n為IRF中成員設備的編號。例如:slot2#代表成員設備2上的存儲介質。不指定slot參數時,表示IRF中主設備的存儲介質。
缺省文件係統是指用戶登錄設備後默認工作在的文件係統。用戶在對文件或者文件夾進行操作時,如果不指定文件係統,則表示對設備的缺省文件係統進行操作。例如,在保存當前配置時,如果不輸入任何保存位置信息,則下次啟動配置文件將保存在缺省文件係統的根目錄下。
本設備的文件係統采用樹形目錄結構,用戶可以通過文件夾操作來改變目錄層級,方便的管理文件。
(1) 根目錄
根目錄用“/”來表示。在IRF中,輸入cd slotn#medium:/可以進入成員設備的相應文件係統的根目錄。
(2) 工作目錄
工作目錄也被稱為當前工作目錄。
用戶登錄設備後,缺省的工作目錄為設備Flash或CF卡的根目錄。
(3) 文件夾的命名
文件夾名稱中可以包含數字、字母或特殊字符(除了*|\/?<>":)。給文件夾命名時,首字母請不要使用“.”。因為係統會把名稱首字母為“.”的文件夾當成隱藏文件夾。
(4) 常用文件夾
設備出廠時會攜帶一些文件夾,在運行過程中可能會自動產生一些文件夾,這些文件夾包括:
· diagfile:用於存放診斷信息文件的文件夾
· license:用於存放License文件的文件夾
· logfile:用於存放日誌文件的文件夾
· seclog:用於存放安全日誌文件的文件夾
· versionInfo:用於存放版本信息文件的文件夾
· 其它名稱的文件夾
(1) 文件的命名
文件名中可以輸入以數字、字母、特殊字符為組合的字符串(除了*|\/?<>":)。給文件命名時,首字母請不要使用“.”。因為係統會把名稱首字母為“.”的文件當成隱藏文件。
(2) 常見文件類型
設備出廠時會攜帶一些文件,在運行過程中可能會自動產生一些文件,這些文件包括:
· xx.ipe(複合軟件包套件,是啟動軟件包的集合)
· xx.bin(啟動軟件包)
· xx.cfg(配置文件)
· xx.mdb(二進製格式的配置文件)
· xx.log(用於存放日誌的文件)
· 其它後綴的文件
(3) 隱藏文件和文件夾
文件/文件夾分為隱藏的、非隱藏的。因為有些係統文件/文件夾是隱藏文件/文件夾,所以對於隱藏文件/文件夾,請不要修改或刪除,以免影響對應功能;對於非隱藏的文件/文件夾,請完全了解它的作用後再執行文件/文件夾操作,以免誤刪重要文件/文件夾。
· 不支持IRF的設備在執行文件係統操作過程中,禁止對存儲介質進行插拔操作。否則,可能會引起文件係統的損壞。
· 支持IRF的設備在執行文件係統操作過程中,禁止對存儲介質進行插拔或主設備和從設備的倒換操作。否則,可能會引起文件係統的損壞。
· 當用戶占用可插拔存儲介質的資源(如用戶正在訪問某個目錄或正在打開文件等)時,存儲介質被強製拔出。此時,請先釋放占用的存儲介質的資源(如切換目錄、關閉打開的文件等),再插入存儲介質。否則,存儲介質被插入後可能不能被識別。
· 當需要對U盤進行寫文件係統操作,請確保沒有將U盤寫保護。如果U盤寫保護了,這些操作將執行失敗。其它文件係統操作不受寫保護開關影響。
文件操作是指對指定的文件路徑下的文件進行相應操作,目前文件操作分為以下三類:
· 上傳:設備支持上傳版本文件、配置文件、證書、本地portal頁麵、MAP文件、特殊AP版本文件等。
· 下載:設備支持下載版本文件、配置文件、一鍵診斷信息及之前上傳的信息文件等。
· 刪除:設備支持選擇刪除設備上的非隱性文件。
目前刪除之後的文件無法恢複,請確保刪除文件準確無誤。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
WAC380-30不支持 WAC380-60不支持 WAC380-90不支持 WAC380-120支持 WAC381支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
支持 |
|
AC1000係列 |
AC1016 AC1108 |
不支持 |
設備的部分特性需要獲取License授權後才能使用。如果需要使用的特性沒有安裝License或者安裝的License已經過期,請安裝License。在本頁麵可以進行以下操作:
· License配置:在該頁麵可以進行在線自動或本地手動安裝License操作。
¡ 在線自動安裝:在能夠訪問License管理服務器的設備上,輸入授權碼後自動在線安裝License。
¡ 手動本地安裝:在License管理平台(//m.yolosolive.com/cn/License)申請激活文件,而後設備本地導入激活文件安裝License。有關License激活、申請的詳細操作步驟,請參見《H3C 無線產品License使用指南(Comware V7 V9)》。
· 獲取DID:在該頁麵可以將設備DID文件下載到本地。
· License和特性:查看設備上是否已經安裝了License以及已安裝的License的簡要信息。
· 壓縮:在申請License授權之前,需要確保License存儲區有足夠的空間來存儲License的相關信息。如果License存儲區的空間不足,請使用本特性,係統會自動將已經過期的或者卸載的License信息刪除。注意:壓縮License存儲區會導致DID變化,使得用舊DID申請的License無法繼續安裝。
管理員通過HTTP、HTTPS、SSH、Telnet、FTP、PAD、終端接入(即從Console口接入)方式登錄到設備上之後,可以對設備進行配置和管理。對登錄用戶的管理和維護主要涉及以下幾個部分:
· 帳戶管理:對用戶的基本信息(用戶名、密碼)以及相關屬性的管理。
· 角色管理:對用戶可執行的係統功能以及可操作的係統資源權限的管理。
· 密碼管理:對用戶登錄密碼的設置、老化、更新以及用戶登錄狀態等方麵的管理。
為使請求某種服務的用戶可以成功登錄設備,需要在設備上添加相應的帳戶。所謂用戶,是指在設備上設置的一組用戶屬性的集合,該集合以用戶名唯一標識。一個有效的用戶條目中可包括用戶名、密碼、角色、可用服務、密碼管理等屬性。
對登錄用戶權限的控製,是通過為用戶賦予一定的角色來實現。一個角色中定義了允許用戶執行的係統功能以及可操作的係統資源,具體實現如下:
· 通過角色規則實現對係統功能的操作權限的控製。例如,定義用戶角色規則允許用戶配置A功能,或禁止用戶配置B功能。
· 通過資源控製策略實現對係統資源(接口、VLAN)的操作權限的控製。例如,定義資源控製策略允許用戶操作VLAN 10,禁止用戶操作接口GigabitEthernet1/0/1。
一個角色中可以包含多條規則,規則定義了允許/禁止用戶操作某類實體的權限。
係統支持的實體類型包括:
· 命令行:控製用戶權限的最小單元,具體可分為讀、寫、執行類型的命令行。
· 特性:與一個功能相關的所有命令的集合。係統中的所有特性及其包含的命令都是係統預定義的,不允許用戶自定義。
· 特性組:一個或者多個特性的集合。係統預定義了兩個特性組L2和L3。L2中包含了所有的二層協議相關功能的命令,L3中包含了所有三層協議相關功能的命令。管理員可以根據需要自定義特性組,但不能修改和刪除係統預定義的特性組L2和L3。各個特性組之間包含的特性允許重疊。
· Web菜單:通過Web對設備進行配置時,各配置頁麵以Web菜單的形式組織,按照層次關係,形成多級菜單的樹形結構。
· XML元素:與Web菜單類似,XML對於配置對象的組織也呈現樹狀結構,每一個XML元素代表XML配置中的一個XML節點。
· SNMP OID:對象標識符,SNMP協議通過OID唯一標識一個被管理對象。
對實體的操作權限包括:
· 讀權限:可查看指定實體的配置信息和維護信息。
· 寫權限:可配置指定實體的相關功能和參數。
· 執行權限:可執行特定的功能,如與FTP服務器建立連接。
定義一個規則,就等於約定允許或禁止用戶針對某類實體具有哪些操作權限,具體分為:
· 控製命令行的規則:用來控製一條命令或者與指定的命令特征字符串相匹配的一類命令是否允許被執行。
· 控製特性的規則:用來控製特性包含的命令是否允許被執行。因為特性中的每條命令都屬於讀類型、寫類型或執行類型,所以在定義該類規則時,可以精細地控製特性所包含的讀、寫或執行類型的命令能否被執行。
· 控製特性組的規則:此規則和基於特性的規則類似,區別是一條基於特性組的規則中可同時對多個特性包含的命令進行控製。
· 控製Web菜單的規則:用來控製指定的Web菜單選項是否允許被操作。因為每個菜單項中的操作控件具有相應的讀,寫或執行屬性,所以定義基於Web菜單的規則時,可以精細地控製菜單項中讀、寫或執行控件的操作。
· 控製XML元素的規則:用來控製指定的XML元素是否允許被執行。XML元素也具有讀,寫或執行屬性。
· 控製OID的規則:用來控製指定的OID是否允許被SNMP訪問。OID具有讀,寫和執行屬性。
一個用戶角色中可以定義多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則中定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B。
資源控製策略規定了用戶對係統資源的操作權限。
· 對於登錄命令行的用戶而言,對接口/VLAN的操作是指創建並進入接口視圖/VLAN視圖、刪除和應用接口/VLAN(在display命令中指定接口/VLAN參數並不屬於應用接口/VLAN範疇)。
· 對於登錄Web頁麵的用戶而言,對接口/VLAN的操作是指創建接口/VLAN、配置接口/VLAN的屬性、刪除接口/VLAN和應用接口/VLAN。
資源控製策略需要與角色規則相配合才能生效。在用戶執行命令的過程中,係統對該命令涉及的係統資源使用權限進行動態檢測,因此隻有用戶同時擁有執行該命令的權限和使用該資源的權限時,才能執行該命令。例如,若管理員為某用戶角色定義了一條規則允許用戶創建VLAN,且同時指定用戶具有操作VLAN 10的權限,則當用戶被授權此角色並試圖創建VLAN 10時,操作會被允許,但試圖創建其它VLAN時,操作會被禁止。若管理員並沒有為該角色定義允許用戶創建VLAN的規則,則用戶即便擁有該VLAN資源的操作權限,也無法執行相關的操作。
係統預定義了多種角色,角色名和對應的權限如表3-4所示。這些角色缺省均具有操作所有係統資源的權限,但具有不同的係統功能操作權限。如果係統預定義的用戶角色無法滿足權限管理需求,管理員還可以自定義用戶角色來對用戶權限做進一步控製。
|
角色名 |
權限 |
|
network-admin |
可操作係統所有功能和資源(除安全日誌文件管理相關命令display security-logfile summary、info-center security-logfile directory、security-logfile save之外) |
|
network-operator |
· 可執行係統所有功能和資源的相關display命令(除display history-command all、display security-logfile summary等命令,具體請通過display role命令查看) · 如果用戶采用本地認證方式登錄係統並被授予該角色,則可以修改自己的密碼 · 可執行進入XML視圖的命令 · 可允許用戶對所有Web菜單選項進行讀操作 · 可允許用戶對所有XML元素進行讀操作 · 可允許用戶對所有SNMP OID進行讀操作 |
|
level-n (n = 0~15) |
· level-0:可執行命令ping、tracert、ssh2、telnet和super,且管理員可以為其配置權限 · level-1:具有level-0用戶角色的權限,並且可執行係統所有功能和資源的相關display命令(除display history-command all之外),以及管理員可以為其配置權限 · level-2~level-8和level-10~level-14:無缺省權限,需要管理員為其配置權限 · level-9:可操作係統中絕大多數的功能和所有的資源,且管理員可以為其配置權限,但不能操作display history-command all命令、RBAC的命令(Debug命令除外)、文件管理、設備管理以及本地用戶特性。對於本地用戶,若用戶登錄係統並被授予該角色,可以修改自己的密碼 · level-15:具有與network-admin角色相同的權限 |
|
security-audit |
安全日誌管理員,僅具有安全日誌文件的讀、寫、執行權限,具體如下: · 可執行安全日誌文件管理相關的命令(display security-logfile summary、info-center security-logfile directory、security-logfile save)。安全日誌文件管理相關命令的介紹,請參見“網絡管理與監控”中的“信息中心” · 可執行安全日誌文件操作相關的命令,例如more顯示安全日誌文件內容;dir、mkdir操作安全日誌文件目錄等,具體命令的介紹請參見“基礎配置命令參考”中的“文件係統管理” 以上權限,僅安全日誌管理員角色獨有,其它任何角色均不具備 |
|
guest-manager |
來賓用戶管理員,隻能查看和配置來賓用戶管理相關Web頁麵,無命令行控製權限 |
隻有具有network-admin或者level-15用戶角色的用戶登錄設備後才可以執行RBAC特性的所有命令、修改用戶線視圖下的相關配置(包括user-role、authentication-mode、protocol inbound和set authentication password)以及執行創建/修改/刪除本地用戶和本地用戶組;其它角色的用戶,即使被授權對本地用戶和本地用戶組的操作權限,也僅僅具有修改自身密碼的權限,沒有除此之外的對本地用戶和本地用戶組的任何操作權限。
預定義的用戶角色中,僅用戶角色level-0~level-14可以通過自定義規則和資源控製策略調整自身的權限。需要注意的是,這種修改對於display history-command all命令不生效,即不能通過添加對應的規則來更改它的缺省執行權限。
根據用戶登錄方式的不同,為用戶授權角色分為以下兩類:
· 對於通過本地AAA認證登錄設備的用戶,由本地用戶配置決定為其授權的用戶角色。
· 對於通過AAA遠程認證登錄設備的用戶,由AAA服務器的配置決定為其授權的用戶角色。
將有效的角色成功授權給用戶後,登錄設備的用戶才能以各角色所具有的權限來配置、管理或者監控設備。如果用戶沒有被授權任何角色,將無法成功登錄設備。
一個用戶可同時擁有多個角色。擁有多個角色的用戶可獲得這些角色中被允許執行的功能以及被允許操作的資源的集合。
定義控製命令行的規則時,通過輸入命令特征字符串來指定要控製命令行的範圍。特征字符串的輸入需要遵循以下規則:
· 在輸入命令特征字符串時必須指定該命令所在的視圖,進入各視圖的命令特征字符串由分號(;)分隔。分號將命令特征字符串分成多個段,每一個段代表一個或一係列命令,後一個段中的命令是執行前一個段中命令所進入視圖下的命令。一個段中可以包含多個星號(*),每個星號(*)代表了0個或多個任意字符。例如:命令特征字符串“system ; interface * ; ip * ;” 代表從係統視圖進入到任意接口視圖後,以ip開頭的所有命令。
· 當最後一個段中的最後一個可見字符為分號時,表示所指的命令範圍不再擴展,否則將向子視圖中的命令擴展。例如:命令特征字符串“system ; radius scheme * ;”代表係統視圖下以radius scheme開頭的所有命令;命令特征字符串“system ; radius scheme * ”代表係統視圖下以radius scheme開頭的所有命令,以及進入子視圖(RADIUS方案視圖)下的所有命令。
· 當星號(*)出現在一個段的首部時,其後麵不能再出現其它可打印字符,且該段必須是命令特征字符串的最後一個段。例如:命令特征字符串“system ; *”就代表了係統視圖下的所有命令,以及所有子視圖下的命令。
· 當星號(*)出現在一個段的中間時,該段必須是命令特征字符串的最後一個段。例如:命令特征字符串“debugging * event”就代表了用戶視圖下所有模塊的事件調試信息開關命令。
· 一個段中必須至少出現一個可打印字符,不能全部為空格或Tab。
· 對於能在任意視圖下執行的命令(例如display命令)以及用戶視圖下的命令(例如dir命令),在配置包含此類命令的規則時,不需要在規則的命令匹配字符串中指定其所在的視圖。
用戶執行命令時,係統遵循以下匹配規則:
· 命令關鍵字與命令特征字符串是采用前綴匹配算法進行匹配的,即隻要命令行中關鍵字的首部若幹連續字符或全部字符與規則中定義的關鍵字相匹配,就認為該命令行與此規則匹配。因此,命令特征字符串中可以包括完整的或部分的命令關鍵字。例如,若規則“rule 1 deny command dis arp source *”生效,則命令display arp source-mac interface和命令display arp source-suppression都會被禁止執行。
· 基於命令的規則隻對指定視圖下的命令生效。若用戶輸入的命令在當前視圖下不存在而在其父視圖下被查找到時,用於控製當前視圖下的命令的規則不會對其父視圖下的命令執行權限進行控製。例如,定義一條規則“rule 1 deny command system ; interface * ; *”禁止用戶執行接口視圖下的任何命令。當用戶在接口視圖下輸入命令acl basic 3000時,該命令仍然可以成功執行,因為係統在接口視圖下搜索不到指定的acl命令時,會回溯到係統視圖(父視圖)下執行,此時該規則對此命令不生效。
· display命令中的重定向符(“|”、“>”、“>>”)及其後麵的關鍵字不被作為命令行關鍵字參與規則的匹配。例如,若規則“rule 1 permit command display debugging”生效,則命令display debugging > log是被允許執行的,其中的關鍵字> log將被忽略,RBAC隻對重定向符前麵的命令行display debugging進行匹配。但是,如果在規則中配置了重定向符,則RBAC會將其作為普通字符處理。例如,若規則“rule 1 permit command display debugging > log”生效,則命令display debugging > log將會匹配失敗,因為其中的關鍵字> log被RBAC忽略了,最終是命令display debugging與規則進行匹配。因此,配置規則時不要使用重定向符。
用戶訪問SNMP OID時,係統遵循以下匹配規則:
· 與用戶訪問的OID形成最長匹配的規則生效。例如用戶訪問的OID為1.3.6.1.4.1.25506.141.3.0.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.4.1”和“rule 3 permit read write oid 1.3.6.1.4”,其中rule 2與用戶訪問的OID形成最長匹配,則認為rule 2與OID匹配,匹配的結果為用戶的此訪問請求被拒絕。
· 對於定義的OID長度相同的規則,規則編號大的生效。例如用戶訪問的OID為1.3.6.1.4.1.25506.141.3.0.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.4.1”和“rule 3 permit read write oid 1.3.6.1.4.1”,其中rule 2和rule 3與訪問的OID形成最長匹配,則rule 3生效,匹配的結果為用戶的訪問請求被允許。
為了提高用戶登錄密碼的安全性,可通過定義密碼管理策略對用戶的登錄密碼進行管理,並對用戶的登錄狀態進行控製。
管理員可以限製用戶密碼的最小長度。當設置用戶密碼時,如果輸入的密碼長度小於設置的最小長度,係統將不允許設置該密碼。
管理員可以設置用戶密碼的組成元素的組合類型,以及至少要包含每種元素的個數。密碼的組成元素包括以下4種類型:
· [A~Z]
· [a~z]
· [0~9]
· 32個特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密碼元素的組合類型有4種,具體涵義如下:
· 組合類型為1表示密碼中至少包含1種元素;
· 組合類型為2表示密碼中至少包含2種元素;
· 組合類型為3表示密碼中至少包含3種元素;
· 組合類型為4表示密碼中包含4種元素。
當用戶設置密碼時,係統會檢查設定的密碼是否符合配置要求,隻有符合要求的密碼才能設置成功。
為確保用戶的登錄密碼具有較高的複雜度,要求管理員為其設置的密碼必須符合一定的複雜度要求,隻有符合要求的密碼才能設置成功。目前,可配置的複雜度要求包括:
· 密碼中不能包含連續三個或以上的相同字符。例如,密碼“a111”就不符合複雜度要求。
· 密碼中不能包含用戶名或者字符順序顛倒的用戶名。例如,用戶名為“abc”,那麼“abc982”或者“2cba”之類的密碼就不符合複雜度要求。
管理員可以設置用戶登錄設備後修改自身密碼的最小間隔時間。當用戶登錄設備修改自身密碼時,如果距離上次修改密碼的時間間隔小於配置值,則係統不允許修改密碼。例如,管理員配置用戶密碼更新間隔時間為48小時,那麼用戶在上次修改密碼後的48小時之內都無法成功進行密碼修改操作。
有兩種情況下的密碼更新並不受該功能的約束:用戶首次登錄設備時係統要求用戶修改密碼;密碼老化後係統要求用戶修改密碼。
當用戶登錄密碼的使用時間超過老化時間後,需要用戶更換密碼。如果用戶輸入的新密碼不符合要求,或連續兩次輸入的新密碼不一致,係統將要求用戶重新輸入。對於FTP用戶,密碼老化後,隻能由管理員修改FTP用戶的密碼;對於Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
在用戶登錄時,係統判斷其密碼距離過期的時間是否在設置的提醒時間範圍內。如果在提醒時間範圍內,係統會提示該密碼還有多久過期,並詢問用戶是否修改密碼。如果用戶選擇修改,則記錄新的密碼及其設定時間。如果用戶選擇不修改或者修改失敗,則在密碼未過期的情況下仍可以正常登錄。對於FTP用戶,隻能由管理員修改FTP用戶的密碼;對於Telnet、SSH、Terminal(通過Console口登錄設備)用戶可自行修改密碼。
管理員可以設置用戶密碼過期後在指定的時間內還能登錄設備指定的次數。這樣,密碼老化的用戶不需要立即更新密碼,依然可以登錄設備。例如,管理員設置密碼老化後允許用戶登錄的時間為15天、次數為3次,那麼用戶在密碼老化後的15天內,還能繼續成功登錄3次。
係統保存用戶密碼曆史記錄。當用戶修改密碼時,係統會要求用戶設置新的密碼,如果新設置的密碼以前使用過,且在當前用戶密碼曆史記錄中,係統將給出錯誤信息,提示用戶密碼更改失敗。另外,用戶更改密碼時,係統會將新設置的密碼逐一與所有記錄的曆史密碼以及當前密碼比較,要求新密碼至少要與舊密碼有4字符不同,且這4個字符必須互不相同,否則密碼更改失敗。
可以配置每個用戶密碼曆史記錄的最大條數,當密碼曆史記錄的條數超過配置的最大曆史記錄條數時,新的密碼曆史記錄將覆蓋該用戶最老的一條密碼曆史記錄。
由於為用戶配置的密碼在哈希運算後以密文的方式保存,配置一旦生效後就無法還原為明文密碼,因此,用戶的當前登錄密碼,不會被記錄到該用戶的密碼曆史記錄中。
密碼嚐試次數限製可以用來防止惡意用戶通過不斷嚐試來破解密碼。
每次用戶認證失敗後,係統會將該用戶加入密碼管理的黑名單。可加入密碼管理功能黑名單的用戶包括:FTP用戶和通過VTY方式訪問設備的用戶。不會加入密碼管理功能黑名單的用戶包括:用戶名不存在的用戶、通過Console口連接到設備的用戶。
當用戶連續嚐試認證的失敗累加次數達到設置的嚐試次數時,係統對用戶的後續登錄行為有以下三種處理措施:
· 永久禁止該用戶登錄。隻有管理員把該用戶從密碼管理的黑名單中刪除後,該用戶才能重新登錄。
· 禁止該用戶一段時間後,再允許其重新登錄。當配置的禁止時間超時或者管理員將其從密碼管理的黑名單中刪除,該用戶才可以重新登錄。
· 不對該用戶做禁止,允許其繼續登錄。在該用戶登錄成功後,該用戶會從密碼管理的黑名單中刪除。
管理員可以限製用戶帳號的閑置時間,禁止在閑置時間之內始終處於不活動狀態的用戶登錄。若用戶自從最後一次成功登錄之後,在配置的閑置時間內再未成功登錄過,那麼該閑置時間到達之後此用戶帳號立即失效,係統不再允許使用該帳號的用戶登錄。
係統設置功能用來對設備的名稱、位置等信息以及設備時間進行設置。
為了便於管理,並保證與其它設備協調工作,設備需要準確的係統時間。係統時間由GMT時間、本地時區和夏令時運算之後聯合決定。用戶有兩種方式獲取GMT時間:
· 手工配置GMT時間。
· 通過NTP/SNTP協議獲取GMT時間。
通過NTP/SNTP協議獲取的GMT時間比命令行配置的GMT時間更精確。
NTP(Network Time Protocol,網絡時間協議)可以用來在分布式時間服務器和客戶端之間進行時間同步,使網絡內所有設備的時間保持一致,從而使設備能夠提供基於統一時間的多種應用。
SNTP(Simple NTP,簡單NTP)采用與NTP相同的報文格式及交互過程,但簡化了NTP的時間同步過程,以犧牲時間精度為代價實現了時間的快速同步,並減少了占用的係統資源。在時間精度要求不高的情況下,可以使用SNTP來實現時間同步。
NTP支持服務器模式和對等體模式兩種時鍾源工作模式,如表3-5所示。在服務器模式中,設備隻能作為客戶端;在對等體模式中,設備隻能作為主動對等體。
SNTP隻支持服務器模式這一種時鍾源工作模式。在該模式中,設備隻能作為客戶端,從NTP服務器獲得時間同步,不能作為服務器為其他設備提供時間同步。
表3-5 NTP時鍾源工作模式
|
模式 |
工作過程 |
時間同步方向 |
應用場合 |
|
服務器模式 |
客戶端上需要手工指定NTP服務器的地址。客戶端向NTP服務器發送NTP時間同步報文。NTP服務器收到報文後會自動工作在服務器模式,並回複應答報文 一個客戶端可以配置多個時間服務器,如果客戶端從多個時間服務器獲取時間同步,則客戶端收到應答報文後,進行時鍾過濾和選擇,並與優選的時鍾進行時間同步 |
客戶端能夠與NTP服務器的時間同步 NTP服務器無法與客戶端的時間同步 |
該模式通常用於下級的設備從上級的時間服務器獲取時間同步 |
|
對等體模式 |
主動對等體(Symmetric active peer)上需要手工指定被動對等體(Symmetric passive peer)的地址。主動對等體向被動對等體發送NTP時間同步報文。被動對等體收到報文後會自動工作在被動對等體模式,並回複應答報文 如果主動對等體可以從多個時間服務器獲取時間同步,則主動對等體收到應答報文後,進行時鍾過濾和選擇,並與優選的時鍾進行時間同步 |
主動對等體和被動對等體的時間可以互相同步 如果雙方的時鍾都處於同步狀態,則層數大的時鍾與層數小的時鍾的時間同步 |
該模式通常用於同級的設備間互相同步,以便在同級的設備間形成備份。如果某台設備與所有上級時間服務器的通信出現故障,則該設備仍然可以從同級的時間服務器獲得時間同步 |
NTP/SNTP時鍾源身份驗證功能可以用來驗證接收到的NTP報文的合法性。隻有報文通過驗證後,設備才會接收該報文,並從中獲取時間同步信息;否則,設備會丟棄該報文。從而,保證設備不會與非法的時間服務器進行時間同步,避免時間同步錯誤。
係統提供了診斷信息收集功能,便於用戶對錯誤進行診斷和定位。.
通過使用Ping功能,用戶可以檢查指定地址的設備是否可達,測試鏈路是否通暢。
Ping功能是基於ICMP(Internet Control Message Protocol,互聯網控製消息協議)協議來實現的:源端向目的端發送ICMP回顯請求(ECHO-REQUEST)報文後,根據是否收到目的端的ICMP回顯應答(ECHO-REPLY)報文來判斷目的端是否可達,對於可達的目的端,再根據發送報文個數、接收到響應報文個數以及Ping過程報文的往返時間來判斷鏈路的質量。
通過使用Tracert功能,用戶可以查看IP報文從源端到達目的端所經過的三層設備,從而檢查網絡連接是否可用。當網絡出現故障時,用戶可以使用該功能分析出現故障的網絡節點。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
