强帖!路由器收到OSPF各种报文时的处理流程
多图! 路由器收到OSPF报文 OSPF进程处理OSPF报文流程 OSPF进程处理路由更新报文 路由器处理Hello报文 路由器处理DD报文 路由器处理LSR报文 路由器处理LSU报文 路由器处理LSAck报文
C3560文档生成树部分中文版-引航学员辛苦翻译
生成树概述 STP是一个层2的链路管理协议,他在提供路径冗余的同时防止网络出现环路。一个层2的以太网要想正常工作,任何两个站点之间就只能有一条活跃的路径存在。在末端站点之间有多条活跃路径将会在网络中引起环路。如果网络中有一个环路存在,末端站点就会接受重复的消息。交换机也可能在多个层2接口上学习末端站点的MAC地址。这些情况会导致网络不稳定。生成树的行为对末端站点来说是透明的,他们不会检测到自己到底是连接到一个单一的局域网网段还是一个多网段的交换局域网。 STP使用生成树算法来选举一个具有网络连接冗余性的交换机作为生成树的根。该算法计算出最好的无环路径穿过整个层2交换网,通过为每个端口指定一个角色,端口角色基于活跃的拓扑: ——根端口—-为生成树拓扑选举的一个转发端口。 ——指定端口—-为每个局域网交换网段选举的转发端口。 ——替代端口—-在生成树中提供一条替代路径的阻塞端口。 ——备份端口—-当做环回口来配置的阻塞端口。 所有端口都是指定角色或者备份角色的交换机是根交换机。至少有一个端口是指定角色的交换机被称为指定交换机。 生成树强制冗余数据路径进入备份(阻塞)状态。如果生成树的一个网段失效并且有一条冗余路径存在,生成树算法会重新计算生成树拓扑并激活冗余路径。交换机发送和接收生成树的帧,被称为桥协议数据单元(BPDU),以一个有规律的时间间隔。交换机不会转发这些帧但使用它们来构造一条无环路径。BPDUs包含的信息包括发送该BPDU的交换机以及他的端口,包括交换机的MAC地址,交换机的优先级,端口优先级,和路径开销。生成树使用这些信息来选择根交换机和根端口为交换网络,根端口和指派端口为每个交换网段。 当一台交换机的两个端口都是环路的一部分,生成树的端口优先级和路径开销设置控制哪个端口进入转发状态和哪个端口进入阻塞状态。生成树的端口优先级值代表一个端口在网络拓扑中位置以及相对于经过的流量他有多好。路径开销值代表介质速率。 注意:交换机默认情况下发送存活消息(keepalive)(来确保连接是up的)仅仅在那些没有小型可插模块(SFP)接口上。你可以使用[no] keepalive接口配置命令来修改接口的默认行为。 生成树的拓扑和BPDUs 一个交换网络的稳定的,活跃的生成树拓扑受以下元素约束: ——唯一的桥ID(交换机优先级和MAC地址)与每台交换机的每个VLAN 相关联。 ——到根交换机的生成树路径开销。 ——端口标识(端口优先级和MAC地址)与每个层2的接口相关联。 当网络中所有交换机加电启动,他们都将履行根交换机的职能。每台交换机通过所有端口发送配置BPDU。BPDUs传递和计算生成树的拓扑。每个配置BPDU都包含以下信息: ——唯一的桥ID,即发送该BPDU的交换机被标识为根交换机 ——发送该BPDU的交换机的桥ID ——消息时间 ——发送端口标识 ——hello,发送延迟,和最大时间协议计时器的值 当一台交换机收到一个配置BPDU,其中包含较好的信息(较低桥ID,较低路径开销,等等)他将为该端口保存这些信息。如果该BPDU是从该交换机的根端口上收到的,交换机会通过一个更新消息向所有指定交换机所相连的局域网转发他。 如果一台交换机收到一个配置BPDU,其中包含的信息比该交换机当前为该端口所存储的信息更差,他将丢弃该BPDU。如果该交换机是收到的较差的BPDU所在局域网的指定交换机,他将向该局域网发送一个BPDU,其中包含为该端口所存储的最新的信息。通过这种方式,较差的信息被丢弃,而较好的信息将在网络中传输。 一个BPDU将由以下行为被交换: ——网络中一台交换机被选举为根交换机(交换网络中生成树拓扑的逻 辑中心)。每个VLAN,拥有最高交换机优先级(最低 优先级数值)的交换机将会被选举会根交换机。如果所有的交换机都被配置为默认优先级(32768),该VLAN中拥有最低MAC地址的交换机成为根交换机。交换机优先级值占据桥ID最高的比特,如18-4页的表18-1所示。 ——每台交换机都将选举一个根端口(除了根交换机)。该端口提供最 优的路径(最低额的开销)当交换机向根交换机转发报文时。 ——基于路径开销为每台交换机计算到根交换机的最短距离。 ——为每个交换网段选举一台指定交换机。指定交换机招致最低的路径 开销,当通过该局域网向根交换机转发报文时。指定交换机通过其所连接到局域网的端口被称为指派端口。 在交换网络的任何地方,所有路径都不需要通过其到达根交换机的端口在生成树中被置为阻塞模式。 桥ID,交换机优先级,和扩展系统ID IEEE的802.1D标准要求每台交换机都拥有一个唯一的桥标识(桥ID),他用来控制根交换机的选举。由于在PVST+和快速PVST+里每个VLAN被认为是不同的逻辑桥,同一台交换机对于所配置的每个VLAN必须拥有不同的桥ID。交换机的每个VLAN都有一个唯一的8字节桥ID。最高的两个字节被用于交换机的优先级,而剩下的6个字节来源于交换机的MAC地址。 交换机支持IEEE的802.1t生成树扩展,并且一些以前被用于交换机优先级的比特现在被用于VLAN标识。结果就是较少的MAC地址为交换机保留,并且大量的VLAN ID可以被支持,与此同时保证桥ID的独一无二性。如表18-1所示,前面的2字节用于交换机优先级被重新分配为4比特的优先级值和12比特的扩展系统ID值,该扩展系统ID值等于VLAN ID。 表18-1 交换机优先级和扩展系统ID 生成树使用扩展系统ID,交换机的优先级,和生成树MAC地址分配值来为每个VLAN形成一个唯一的桥ID。 支持扩展系统ID影响你怎样手工配置根交换机,备份根交换机,和某VLAN的交换机优先级。例如,当你改变交换优先级值,你就改变了该交换机将被选为根交换机的几率。配置一个较高的值将减小该几率;一个较低的值增加该几率。更多信息,请参考“配置根交换机”部分,在18-14页,“配置备份根交换机”部分在18-16页,“配置一个VLAN的交换机优先级”部分在18-19页。 生成树接口状态 当协议信息经过交换局域网时会发生延迟。作为结果,在交换网络中拓扑改变会发生在不同时间不同地点。当一个接口直接从一个未参与到生成树拓扑过渡到转发状态,可能会产生临时的环路。接口在开始转发帧前必须等新的拓扑信息传过整个交换局域网。他们必须允许使用旧的拓扑转发帧的生存周期超时。 一台交换机每个层2接口使用生成树存在以下状态之一: ——阻塞—-该接口不参与帧的转发。 ——监听—-当生成树决定该接口应该参与到帧的转发,阻塞状态后的 第一个过渡状态。 ——学习—-该接口准备参与到帧的转发。 ——转发—-该接口转发帧。 ——禁用—-该接口不参与生成树因为他是一个被关闭的接口,该接口 上没有链路,或者没有生成树实例运行在该接口下。 一个接口通过这些状态转换: ——从初始化到阻塞 [...]
路由器需要多大内存?
计算机需要多大内存?当然是越大越好了,这是用户的想法。但是计算机的设计者则必须在成本、实现难度、和取悦客户等几个因素之间进行折中,选取一个最佳平衡点。对计算机来说,其主要依据是产品的市场定位,高端商务PC至少配2G内存,低端学生机配256M就够了。如果用256M RAM的学生机来作复杂的大规模FPGA仿真,可能会发现硬盘的灯一直是亮的,这说明内存已经不够用了,操作系统正在不停的在内存和硬盘之间兑换数据,用大容量的低速硬盘来弥补内存太小的不足,但是代价是计算时间延长了很多倍。路由器是不是也向PC一样,主要依据售价来决定内存配置的大小呢?会不会也是内存越大越好呢?路由器的设计者依据哪些因素来决定内存配置的大小?一般来说,路由器的内存主要用于一下这些方面: (1)用于存储路由器软件指令和静态数据,路由器跟PC不同,PC是只把当前运行的程序装到RAM中,但多数路由器都是一开机就把全部程序都装到RAM中,一般来说,路由器的程序也不大(几兆到几十兆);(注:此处主要指控制平面的程序,也就是Cisco和Juniper的路由引擎) (2)用于存储动态数据,例如:路由表、OSPF的链路状态数据库等。假如某路由器需要支持最多10万条路由,按照每条路由256字节计算,那么大约需要200M左右内存。 (3)用于缓冲数据报文,路由器的工作原理是存储转发。极端情况下,路由器的每个接口,至少需要缓冲一个报文,否则路由器根本不能工作。下面重点讨论这个问题。 一般来说,路由器配置的报文缓冲区都不止一个报文。因为这样也就意味着当有新报文到达的时候,如果前面一个报文正在发送,这个报文缓冲区尚未处于空闲状态,那么新的报文势必将会被丢掉。等前面一个报文发送完了,链路处于空闲状态,但是由于刚才报文已经被丢掉了,也无法利用链路空闲状态。如果被丢掉的报文是TCP报文,那么主机势必将重传这个报文(在该路由器前面的一段线路上传输两次同样的报文),并缩小自己的发送窗口,降低了TCP连接的速率。 也就是说,如果接口的报文缓冲区太小,将导致丢包率高,数据链路利用率低,TCP传输效率低。那么是不是报文缓冲区越大越好呢?也不是,因为报文缓冲区大到一定程度,就不能继续提高数据链路利用率和降低丢包率了。如果这台路由器处于拥塞状态,接收报文的速率远远大于接口的发送带宽,无论多大的报文缓冲区都会被填满,而报文缓冲区大了,那么也就意味着拥塞状态的时候,报文的转发延迟时间会很长。延迟时间太长的报文,对于接收方来说,已经没有意义了。以TCP连接为例,当报文大于发送方的重传时间的时候,发送方就会重传该报文,也就是说,大于TCP的重传时间的到达的报文,是没有意义的。对VoIP等应用来说,对网络延时更加敏感。 一般来说,路由器的接口缓冲区的大小有一个经验法则(rule-of-thumb):B = C * RTT,C是链路速率,RTT是平均报文往返之间。至于这个经验法则源自哪里,我没有认真考证。但这个经验法则的主要依据是最大化TCP效率,最大化网络接口带宽利用率。如果依据这个法则来设计路由器,对中低端路由器来说,问题不大。但是对于高端路由器,是有挑战的。一般中高端Internet骨干路由器上会假设RTT为250ms,那么对于个10GE接口,需要的内存是(10G bit/s * 0.25 s) / 8 约为300MB。也许大家会说,300M不大么,但是可以预见,最近两年核心路由器的容量必将发展到单槽位80 – 160G,也就是说单大约需要2.5G – 5G内存。虽然不是完全不可实现,但还是有一定难度。从Juniper的一个白皮书(Characteristics of Switches and Routers)可以看出,Juniper也是按照这个经验法则设计的。 但是最近的一些研究认为(sizing router buffers, Guido Appenzler, Isaac Keslassy, Nick McKeown),其实路由器不需要那么大的内存,每个端口只需要缓冲几十个报文就足够了,这样用NP或ASIC内嵌的RAM就够了,不用配置外部RAM。他主要依据是以前的经验法则是根据单TCP流来推算的,作者认为这个模型不对,实际的骨干路由器上是有很多TCP流的,因此应该按照B = C * RTT / sqrt(N)来计算,N是TCP流数量。但是另外一些研究则认为这个结论不对,路由器上不能只考虑TCP,还有很多急于UDP的语音和视频应用。反正在教授们之间,这个问题至今仍然没有一致的意见。工程师已经不再争论这个问题了,就按照B = C * RTT来设计,成本可以接受,而且也比较安全:)
共享-IPv6网络配置文档和视频
本帖最后由 goldwing 于 5-11-2012 10:02 编辑 1 IPv6 中解决的IPv4的问题 1. 没有足够的地址空间。在理论上总共有232个地址,但分配并不充分。目前大约有108个(±因子10)Internet主机,并且指数增长。 2. 没有足够的网络。即使使用CIDR地址协议,在日益增长的地址空间进行定位(然后路由)也是非常困难的。 3. 简化头部信息(以简化路由器的工作) 4. 使主机配置变得容易(在很多情况下不需要DHCP) 5. 地址安全性,可移动性,多播,以及其它的应用需求。 2 头部的区别 IPv4: 4 位:版本号==4 4 位:头部长度 8 位:服务类型 16 位:总长度 16 位:标识符(分段使用) 1 位:不分段 1位:还有后续段 13 位:段偏移 8 位:生存时间 8 位:协议类型 16 位:头部校验和 32 位:源地址 32 位:目的地址 1-320 位:可选项 IPv6: 4 位:版本号==6 8 位:流量类型 20 [...]
武汉引航CCNP就业班
武汉引航CCNP就业班 对于职业培训,就业前景和就业保障无疑是学员最关注的问题之一。 武汉引航不仅仅是华中地区规模最大、师资力量最强、实验设备最完善思科官方授权的培训中心,也是湖北先进的IT技术服务外包企业,每个讲师都有丰富的项目实战经验和多年的教学经验,讲师会结合实际工作需求进行授课,所以我们的培训不仅仅是教学员如何去应付认证考试,更重要的是教学员在实际工作中如何去应用,如何去解决问题,让每一位从引航走出去的学员成为一个名副其实的网络工程师,而非只会纸上谈兵。 从2004年办学以来,武汉引航作为思科官方授权培训基地,培养出来的学员早已遍布全国各地和各大相关企业;同时武汉引航作为湖北先进的IT技术服务外包企业,凭借自身傲人的成绩和实力,赢得了众多企业的高度认可和信赖,积攒了丰富的人脉和企业资源。故考虑到学员的就业烦恼,也为了让更多有志于在网络方向发展的同学们更无后顾之忧地进行学习,武汉引航有足够的信心推出“CCNP就业班”,并敢于承诺:签订就业协议,不就业退还全部学费! CCNP就业班内容包含: CCNA培训+CCNP培训+CCNA考试+CCNA教材+就业指导+就业 招生热线:4006-5566-56 培训基地:武汉市洪山区鲁磨路207号洪山科技创业大厦5楼 官方网站:www.enhan.com.cn
给力共享-中文版IPv6学习书籍
本书从介绍IPv4中问题的产生和现状入手,详细阐述了IPv6的各个方面,包括IPv6的寻址结构、扩展头、身份验证和安全性、对任意点播和组播的支持以及对相关协议的影响,同时还探讨了IPv4向IPv6过渡的策略和应用。 本书内容由浅入深、语言精练易懂,为有经验的网络管理员和研究人员适应IP升级变化提供了关于IPv6清楚而又与众不同的介绍。 目 录 译者序 前言 第一部分 IP基础知识 第1章 为何要升级IP 1 1.1 IP的影响 1 1.1.1 什么是IP 2 1.1.2 IP应用在哪些地方 3 1.1.3 有多少人在使用IP 3 1.1.4 当IP发生变化时会产生哪些影响 4 1.2 IPv4的局限性及其缺点 4 1.2.1 IP地址空间危机 [...]
绝对给力史上最完整的VPN手册
放个目前最完整的VPN手册,大家一定不要手软,对学习VPN绝对有帮助,全中文的文档,个人觉得相当给力。 下载页面: http://www.netconfed.com/thread-14162-1-1.html
IPv4/IPv6综合组网技术基本原则研究
IPv4/IPv6综合组网技术基本原则研究 1 引言 随着对IPv4向IPv6过渡技术研究的不断深入,业界对于过渡问题的认识也不断深入,IETF对于这个问题的认识经历了迁移(Migration)、过渡(Transition)、集成(Integration)、互操作(Interoperation)长期共存(Co-existence)阶段。从长远来看,IPv4和IPv6技术在网络中将长期共存(Co-existence)。未来的IP网络将是IPv4网络与IPv6网络的集成(Integration)网络。 2 综合组网的基本原则 在讨论具体IPv4/v6综合组网技术时,首先需要明确的是综合组网时所应依据的具体原则,这些原则实际上是IPv4/v6综合组网的基本需求,也是讨论和分析IPv4/v6综合组网技术时的重要依据和基础。IPv4/v6综合组网时所需要依据的原则可以分为必需满足的原则和参考原则两种。 2.1 必需原则 (1)最大限度地保护既有投资(终端用户,ISP,ICP,电信运营商) 在进行IPv4/v6综合组网方案的研究时,需要考虑到现有的各个网络运营实体的既有投资,这包括设备投资、市场投资、技术储备、人才储备等多个方面。只有很好地保护既有投资的组网技术和其相应的方案才能具有较好的实用性。 (2)保证IPv4和IPv6主机之间的互通 网络中的IPv4主机和IPv6主机必须能够互通,包括路由可达和IP包可达。只有在两者互通的基础上才能谈应用层面的互通。 (3)保证现有IPv4应用在综合组网环境中的正常应用 现有IPv4网络中的应用已经支持了大量的用户,IPv6技术在网络中的引入不能对现有的业务造成影响,这种影响包括业务性能的影响、网络可靠性的影响以及网络安全性的影响等多方面。 (4)避免设备之间的依赖性,设备的更新须具有独立性 IPv4/v6综合组网技术要求避免设备升级时设备之间的依赖和耦合,网络中的各个部分可以单独选择可用的组网技术,这些技术的选择不能制约其他网络部分组网技术的选择和设备的更新。 (5)综合组网过程对于网络管理者和终端用户来讲要易于理解和实现 综合组网过程简单并易于实现是组网成功与否的一个重要因素,过为复杂的组网过程不但增加网络故障发生的机率,而且也影响用户的跟进速度。 (6)提高组网灵活性,支持网络渐进升级,用户拥有选择何时过渡和如何过渡的权利 (7)综合组网以后网络的服务质量不应该有明显的降低 由于IPv6路由器的性能比同级别的IPv4路由器的性能有所下降,双栈路由器的性能也不是很高,因此IPv4/v6综合组网以后,网络的整体性能可能下降,但是这种下降不会对现有业务的服务质量造成明显的影响。 (8)综合组网以后网络的可靠性和稳定性不能削弱 (9)综合组网过程中应该考虑如何充分发挥IPv6的技术优势 IPv6技术的提出主要是为了解决IP地址空间不足的问题,但也增加了一些其他功能,比如网络安全性支持能力等。在综合组网技术研究中应该考虑如何使这些技术优势得以发挥。 (10)在设计综合组网方案时,一方面要考虑到IPv4/v6长期共存,另一方面也要考虑到将来网络全部采用IPv6的可能。因此,在技术研究时要注意所选技术能够支持网络的平滑过渡,不会形成将来网络过渡的新障碍。 2.2 参考原则 (1)在IPv4业务和IPv6业务互不影响的前提下,支持IPv4业务与IPv6业务的互通 在综合组网初期要实现IPv4网元与IPv6网元的互联,可以分别支持IPv4业务和IPv6业务,这些业务可以单独运营,互相不互通,在综合组网的后期要实现IPv4业务与IPv6业务的业务层面的互通。 (2)应着重考虑从边缘到骨干的逐步演进策略(同时关注从骨干到边缘的策略) 网络演进的策略(从边缘到骨干还是从骨干到边缘)一直是IPv4/v6综合组网技术研究中有较多争论的问题。一般认为,IPv6技术在网络中的引入主要是为解决IP地址空间不足的问题,而大量消耗IP地址的是网络的边缘,因为网络的终端、接入设备、汇集设备数量远远多于城域核心网络或骨干网络的网元数目,因此在网络边缘采用IPv6技术可以有效地解决IP地址空间不足的问题。另一方面,骨干网络和城域核心网络的设计原则是简单、高效,而就目前的实际情况来讲,IPv6路由器的路由转发性能低于IPv4路由器的性能,因此在城域核心网和骨干网应该采用IPv4协议,目前还没有对这部分网络进行IPv6协议升级的迫切需求。保证核心网和骨干网的长期相对稳定有利于网络的持续稳定发展,因此从边缘到骨干的网络逐步演进策略得到了大多数研究人员的认同。 (3)综合组网后网络管理功能应该较原有网络有所加强 在电信网络中引入IP技术以后,网络的管理模式和运营模式都不能再按照互联网的相关模式进行,这一点已经得到了越来越多的研究人员的支持。原有IPv4网络所存在的技术、管理方面的问题已经逐步暴露出来,在IPv4/v6综合组网技术的研究中,要同时考虑这两方面的内容,提高网络的可管理性和可维护性。 (4)应考虑综合组网对用户认证和计费方式的影响 IP网络的计费和认证问题一直是一个重点研究的热点,这个问题在电信网络中尤为突出,目前在IPv4网络中的计费认证问题已经有了一些解决办法,并且这些办法在实际网络中也得到了一定程度的应用,取得了一些成果。但是,IPv6技术在网络中的引入使得问题变得更为复杂,有时会出现重复计费和认证的现象。 (5)应考虑对IPv4地址资源的使用效率 在进行IPv4/v6综合组网时,不同的综合组网技术对于IPv4地址的需求也不相同,有些组网技术依然需要大量的IPv4地址,因此IPv4地址的需求量也是综合组网技术研究中应该注意的一个问题。 (6)应考虑为终端用户所能带来的好处(业务、兴趣点等) 在IPv4网络中引入IPv6技术,可以解决运营商的IP地址空间不足的问题。但是,网络的这种升级究竟能为终端用户带来什么好处,或者说,终端用户有什么理由要支持这种升级是一个需要考虑的问题。网络升级以后能够提供更好的服务或者可以增加新的业务种类,并形成新的业务兴趣点是刺激终端用户积极跟进的重要因素。网络升级以后,只有用户的增加、用户对网络满意度的提高、业务收入的增长才能够真正推动运营商对网络升级改造的进程。 (7)各电信运营商应该有明确的网络过渡计划 网络的升级是一个牵涉到网络各个层面的重要问题,因此运营商应该有一个长远的规划和具体的实施计划,这种规划和计划应该和企业的技术路线和网络发展方向相一致,避免网络升级过渡的盲目性以及由此带来的诸多混乱。 (8)综合组网时应统筹考虑到对现有IPv4网络中存在的一些问题的改进(NAT,地址规划等) 在IPv4/v6综合组网技术研究时要充分分析和研究现有IPv4网络中所存在的问题,以期在综合组网方案中能够解决或者避免这些问题。 (9) 网络的各个部分之间的技术选择应该具有独立性,如城域核心网、接入网、驻地网应该可以选择不同的技术。 3 现有综合组网技术 3.1 双栈策略 双栈策略是指在网元中同时具有IPv4和IPv6两个协议栈,它既可以接收、处理、收发IPv4的分组,也可以接收、处理、收发IPv6的分组。对于主机(终端)来讲,“双栈”是指其可以根据需要来对业务产生的数据进行IPv4封装或者IPv6封装。对于路由器来讲,“双栈”是指在一个路由器设备中维护IPv6和IPv4两套路由协议栈,使得路由器既能与IPv4主机也能与IPv6主机通信,分别支持独立的IPv6和IPv4路由协议,IPv4和IPv6路由信息按照各自的路由协议进行计算,维护不同的路由表。IPv6数据报按照IPv6路由协议得到的路由表转发,IPv4数据报按照IPv4路由协议得到的路由表转发。 3.2 隧道策略 隧道策略是IPv4/v6综合组网技术中经常使用到的一种机制。所谓“隧道”,简单地讲就是利用一种协议来传输另一种协议的数据技术。隧道包括隧道入口和隧道出口(隧道终点),这些隧道端点通常都是双栈节点。在隧道入口以一种协议的形式来对另外一种协议数据进行封装,并发送。在隧道出口对接受到的协议数据解封装,并做相应的处理。在隧道的入口通常要维护一些与隧道相关的信息,如记录隧道MTU等参数。在隧道的出口通常出于安全性的考虑要对封装的数据进行过滤,以防止来自外部的恶意攻击。 隧道的配置方法分为手工配置隧道和自动隧道,而自动配置隧道又可以分为兼容地址自动隧道,6to4隧道,6over4,ISATAP,MPLS隧道,GRE隧道等,这些隧道的实现原理和技术细节都不相同,相应的其应用场景也就不同。 典型的隧道技术主要包括: (1)配置隧道 手工配置隧道主要应用在个别IPv6主机或网络需要通过IPv4网络进行通信的场合,这种方式的优点是实现相对简单,缺点是扩展性较差,表现在当需要通信的IPv6主机或网络比较多时,隧道配置和维护的工作量较大。 [...]
引航学员原创-Aruba IAP的portal认证
这里使用的是Aruba的IAP 93做的实验: 菜鸟一个,莫见笑!!! 下见拓扑图: 1.Aruba AP 93的主面板可以看到,已经建立了2个SSID了。不多说登陆上来是很简单操作的。再说WEB界面屏蔽了我们对命令的不熟悉的困扰。但命令始终得掌握,它的强大WEB永远都不能比,呵呵! 2.下面是我在Test的SSID的操作。基本信息配置包括SSID和访问的用户对象(员工,语音和来宾)以及客户端的IP设置,这里选得第一种方式:可以通过AP/AC连接的DHCP获取到地址。 3.安全设置,这里使用captive portal认证,基本是一种开放式认证方式,这种认证主要用在宾馆,校园或三大运营商的无线热点的认证上网方式。 使用的数据库是internal DB,通过内建的users用户账户密码来确认用户,并最后授权用户获得上网权限。 认证界面的配置很简单,可以不修改,但由于此IAP太过弱小没有Aruba入门级的620强大,因此难以接受这个登陆界面,也不能自定义(可能是我没掰熟吧)。加密方式,也就是连接到SSID时要求输入认证密码(WPA,WPA2,WPA2-AES,WPA2-PSK,WPA2-TKIP等等方式),可以不勾选,那就是开放式一点就连,能不能上网得看你能不能在这个门户网站输正确用户名。但貌似移动的CMCC在安卓登手机上可以通过免输用户名密码了,杯具 唉! 4.看,我内建的一个用户名和密码,用户类型是Guest。 5.接入的访问控制,也就是一些规则,说白了就是些访问控制列表,我这里肯定是不安全的。没有deny 来自非DHCP服务器的DHCP报文,还有其它的报文发送,很重要,这里面当然有隐含拒绝,和思科一样的。但我可不是这么粗心的不防范这几种常见的攻击,呵呵,实验而已。其实我喜欢命令,着理解图形界面,我觉得比较顺手。命令就是在配置模式下: wlan access-rule Test rule 0.0.0.0 0.0.0.0 match tcp 80 80 permit rule 0.0.0.0 0.0.0.0 match tcp 443 443 permit rule 0.0.0.0 0.0.0.0 match udp 53 53 permit rule 0.0.0.0 0.0.0.0 match udp 67 68 permit 意思是来自源的数据去往目的的匹配啥协议源端口是多少,目的端口是多少,然后放行,最后不匹配的就默认全部deny掉! 6.完成之后,重新点连接此SSID,然后随便使一个IP,回车一下,就跳出这么个IP地址,可以看到一长串连接字符。这里的注释“无线路由器”,应该是有线路由器,我只是拿它来做DHCP用的,我只是想测试下地址,看这个页面是否激活,不巧用了这个有线路由器的管理地址。 输入用户名和密码的窗口依稀可见! 7.中间的框框点上I [...]
Interop2012前瞻:思科助力企业智能网络建设
本文摘要 美国Interop 2012即将于5月6日在拉斯维加斯曼德勒海湾会议中心拉开大幕。思科展台位置在1127,思科将集中展示其在无边界网络、统一通信与写作、数据中心和端到端管理的新技术动态。 美国Interop 2012即将于5月6日在拉斯维加斯曼德勒海湾会议中心拉开大幕。思科展台位置在1127,思科将集中展示其在无边界网络、统一通信与协作、数据中心和端到端管理的新技术动态。主要包括以下几个方面:BYOD集中展示无线和安全,云,提升生产效率和降低TCO的核心技术,后PC时代的新统一通信体验,数据中心与虚拟化。 在BYOD-展示无线和安全:将主要展示思科BYOD无线安全解决方案包括终端安全、MDM、设计模型和基于策略的访问;下一代防火墙技术展示包括高级的环境感知和应用分析和控制。还有Aironet 3600无线控制点,思科Prime无线管理等。 云:加强云应用的可见性、控制、管理和优化;简化分支机构架构和网络管理,通过ISR G2和ASR1000保证安全连接互联网云应用,云的智能自动化等。 提升生产效率和降低TCO的核心技术:通过Catalyst 3750-X和4500E确保校园网的业务连续性, Catalyst 6500和4500-X交换机保证校园骨干的性能和服务规模;网络虚拟化,Medianet技术等。 后PC时代的新统一通信体验:思科网真,SIP中继&网关解决方案,统一通信管理,还有虚拟桌面技术等。 数据中心:包括思科UCSM和服务配置,通过UCS管理器提升服务器的按需索取,工作负载移动和集中管理;利用思科统一交换架构提升LAN和SAN流量的端到端的收敛;架构扩展,以及云安全和Nexus 1000V虚拟服务等。 整体来看思科将在本届的Interop上,集中展示这几年在最前沿技术领域的产品和解决方案成果,有很多产品和技术,业界已经耳熟能详。主题强调对企业智能网络建设的支撑,所以BYOD和云优化控制值得的关注。 此外思科还有多场主题演讲和分论坛演讲,思科CTO Padmasree Warrior的主题演讲“Work Your Way”在5月8日登场。