一、虚拟路由冗余协议 (Virtual Router Redundancy Protocol,VRRP)
解决局域网中配置静态网关出现单点失效现象的路由协议,可以配置一个交换机群集。VRRP 允许两台或多台交换机使用同一个虚拟的 MAC 地址和 IP 地址,看起来多台交换机就像是一台大交换机,其实这台大交换机并不存在,只是多台互为备份的交换机。
二、BFD 提供了一个通用的介质无关和协议无关的快速故障检测机制。
优点:
1、对相邻转发引擎之间的通道提供轻负荷、快速故障检测。这些故障包括接口、数据链路,甚至是转发引擎本身。
2、用单一的机制对网络中可用的任何介质、任何协议层进行实时检测。
基本工作原理:
BFD 在两台网络设备上建立会话,用来检测网络设备间的双向转发路径,为上层应用服务。BFD 本身并没有邻居发现机制,而是靠被服务的上层应用通知其邻居信息以建立会话。会话建立后会周期性地快速发送 BFD 报文,如果一方在既定的时间内没有收到 BFD 控制报文,则认为路径上发生了故障,通知被服务的上层应用进行相应的处理
三、路由器的主要功能是进行路由处理和包转发
(1) 路由处理。
通过运行路由协议来学习网络的拓扑结构,通过一定的规则建立和维系路由表,保持信息有效。通过特定算法,依据路由表决定最佳路径。
(2) 包转发。
-
接收数据包,检查、解释和处理 IP 版本号、头长度、头校验等数据包报头对数据报文的长度和完整性进行验证。
-
依据目的 IP 地址检查下一跳 (Next Hop) IP 地址。修改 TTL 值,重新计算校验和。
-
新数据附加新数据链路层报头并转发
四、RIP 的三个版本及特点:
分为 RIPv1、RIPv2 和 RIPng 三个版本,其中 RIP2 相对 RIPV1的改进点有:使用组播而不是广播来传播路由更新报文: RIPv2 属于无类协议,支持可变长子网掩码(VLSM)和无类别域间路由(CIDR):采用了触发更新机制来加速路由收支持认证,使用经过散列的口令字来限制更新信息的传播。RIPng 协议属于 IPV6中的路由协议。
五、路由收敛
距离矢量协议容易形成路由循环、传递好消息快、传递坏消息慢等问题。解决这些问题可以采取以下措施:
(1) 水平分割 (Split Horizon) 。
路由器某一个接口学习到的路由信息,不再反方向传回。
(2) 路由中毒 (Router Poisoning)。
路由中毒又称为反向抑制的水平分割,不会立即将不可达网络从路由表中删除该路由信息,而是将路由信息度量值置为无穷大 (RIP 中设置跳数为 16) ,该中毒路由被发给邻居路由器以通知这条路径失效。
(3)反向中毒 (Poison Reverse) 。
路由器从一个接口学习到一个度量值为无穷大的路由信息,则应该向同一个接口返回一条路由不可达的信息
(4) 抑制定时器(Holddown Timer) 。
一条路由信息失效后,一段时间内都不接收其目的地址的路由更新。路由器可以避免收到同一路由信息失效和有效的矛盾信息。通过抑制定时器可以有效避免链路频繁起停,增加了网络有效性。
(5)触发更新 (Trigger Update) 。
路由更新信息每 30 秒发送一次,当路由表发生变化时,则应立即更新报文并广播到邻居路由器。
六、OSPF 中 BR 与 BDR 选举
在 DR 和 BDR 出现之前,每一台路由器及其所有邻居成为全连接的 OSPF 邻接关系关系数为 nX(n-1)/2。在多址网络中,路由器发出的 LSA 从邻居的邻居发回来导致网络上产生很多 LSA 的复制。DR 和 BDR 将信息转交给其他所有路由器,用 DR和 BDR 方式的连接数为 2X(n-1)OSPF 选举 Router-id 的规则:
(1) 手动配置的 Router-id 为首选。
(2) 用所有 loopback 中最大的 IP 作为 Router-id。(3) 用所有活动物理接口中最大的 IP 作为 Router-id (用作 Router-id 的接口不一定非要运行 OSPF 协议 ) 。
DR/BDR 的选举过程如下:
(1) 选举路由器必须进入双向会话状态,优先级别必须大于 0(优先级为 0,则不参与选举)
(2) 选举优先级最高的路由器为 DR,次优的为 BDR。
(3)如果优先级相同,则选举 Router-id 最大的路由器。
(4)如果 DR/BDR 已经存在,而又有新的 OSPF 路由器加入,即使该路由器优先级最高,也不剥夺现有 DR/BDR 的角色。
(5) 如果 DR失效,则 BDR 接管 DR,并重新激活一个新 BDR 选举进程
注意: DR 的数据包通过 224.0.0.5 发往所有路由器,DR、BDR 监听使用地址224.0.0.6;DROther 监听使用地址 224.0.0.5。网络上允许有 DR 而没有 BDR 的情况。
DR/BDR 的作用是减少网络通信量、为整个网络生成 LSA、减少链路状态数据库的
大小。
七、BGP 的特点:
(1) 不用周期性发送路由信息。
(2) 路由变化,发送增量路由 (变化了的路由信息) 。
(3) 周期性发送 KEEPALIVE 报文校验 TCP 的连通性。
八、1.IPv6-over-IPv4 GRE 隧道 & ISATAP 隧道
1.IPv6-over-IPv4 GRE 隧道
通用路由封装协议定义了在任意一种网络层协议上封装另一个协议(或同一种协议)的协议。如封装 IPv6 的数据包,并在 IPv4 网络上传输。
2.ISATAP 隧道
站内自动隧道寻址协议 (Intra-Site Automatic Tunnel Addressing Protocol,ISATAP) 是一种站点内部的 IP6 网络将 IPV4 网络视为一个非广播型多路访问(NBMA) 链路层的 IPv6 道技术,即将 IPv4 网络当作 IPV6 的虚拟链路层。双栈主机使用 ISATAP 隧道时,IPv6 报文的目的地址和道接口的 IPV6 地址都要采用特殊的 ISATAP 地址。在 ISATAP 地址中,前64位是向 ISATAP 路由器发送请求得到的:后64 位由两部分构成,其中前 32 位是 0:5efe,后 32位是IPV4单播地址,即 ISATAP 接口 ID 必须为::0:5efe:IPy4 地址的形式。具备该地址形式的双栈主机可以和同一子网内的其他 ISATAP 主机进行 IPv6 通信。如果要跨网段ISATAP 路由器还需要使用全球单播地址 (2xxx::/4 或 3xxx::/4)TSATAP 隧道技术不要求道结点拥有公网 IPv4 地址,只要求双栈主机具有 IPv4地址。
九、策略路由的基本原理:
根据 ACL 定义的不同数据流经过路由器时,使用基于原地址或者基于目标地址策略转发数据到下一个接口。
十、常见的三种防火墙技术: 包过滤防火墙、代理服务器式防火墙、基于状态检测的防火墙
(1) 包过滤防火墙。
包过滤防火墙主要针对 OSI 模型中的网络层和传输层的信息进行分析。通常包过滤防火墙用来控制 IP、UDP、TCP、ICMP 和其他协议。
(2) 代理服务器式防火墙。
代理服务器式防火墙对第四层到第七层的数据进行检查,与包过滤防火墙相比,需要更高的开销。用户经过建立会话状态并通过认证及授权后,才能访问到受保护的网络。
(3) 基于状态检测的防火墙
基于状态检测的防火墙检测每一个 TCP、UDP 之类的会话连接。基于状态的会话包含特定会话的源/目的地址、端口号、TCP 序列号信息以及与此会话相关的其他标志信息。