首页  思维导图  详情

HCIP-222（IENP）

2019-01-28 13:58:08   0  举报





AI智能生成

HCNP-R&S

华为认证HCNP R&S IENP主要知识点

作者其他创作

大纲/内容

镜像流

镜像的采集

分光器物理采集

NMS集中采集

镜像端口

观察端口：观察端口是连接监控设备的端口，用于输出从镜像端口复制过来的报文。

镜像端口：镜像端口是被监控的端口，从镜像端口流经的所有报文或匹配流分类规则的报文将被复制到观察端口。

配置命令

observe-port interface Ethernet2/0/3 将E2/0/3接口配置为观察端口

mirror to observe-port inbound 将E2/0/1接口配置为镜像端口，镜像所有入方向报文。

eSight

部署模式

单服务器模式

分级部署模式

与OSS系统集成

基本功能

安全管理

添加用户、角色

账号策略

密码策略

登录IP地址控制

登录时间控制

查看在线用户

闲时超时设置

资源管理

资源：指eSight所有管理对象的统称，如设备和子网

网元：即网络单元，包含硬件设备及其上运行的软件

子网：按照某种原则（如按地域划分）将一个比较大的网络结构分解为几个相对较小的网络结构，使网络便于管理

告警管理

网元告警：网元发生故障时产生的告警

网管告警：网管与网元连接发生故障或网管自身发生故障时产生的告警

按严重程度递减的顺序将告警分为四个级别：紧急告警、重要告警、次要告警、提示告警

性能管理

指标：指标是一个量度，用来衡量资源的性能

指标模板：同一类型的设备具有相同的指标属性，可以自由组合这些指标成为一个指标模板

指标阈值：用来配置是否上报告警以及上报的告警级别，当某一测量指标测量值超出设置的阈值时就会产生相应的告警信息

性能采集任务：性能采集任务用来采集设备性能数据

测量对象：当某项资源存在多个时，测量对象用来规定“测量谁”

采集周期：采集周期用来配置采集数据间隔时间

简单网络管理协议SNMP

版本

SNMPv1：方便实现，安全性弱。

SNMPv2c：有一定的安全性，现在应用最为广泛。

SNMPv3：定义了一种管理框架，引入了USM（ User Security Model 用户的安全模型），为用户提供了安全的访问机制

NMS：是运行在网管端工作站上的网络管理软件。

Agent：运行在被管理设备上的代理进程。

Agile Controller

概念：Agile Controller系统是智慧的园区大脑，在SDN集中化控制思想的指导下，动态调配
整个园区的网络与安全资源，让网络更敏捷地为业务服务。

服务器侧

SM（业务管理器）：承担业务管理的角色，系统管理员通过WEB管理界面，可以完成
准入控制、用户管理和业务随行等管理工作的配置。

SC（业务控制器）：有标准的RADIUS服务器、Portal服务器等，负责与网络接入
设备联动实现基于用户的网络访问控制策略。

MC（管理中心）：负责制定总体策略，包括：安全接入控制、终端安全管理、补丁管理、软件分发和License管
理，并将这些策略下发给各个SM节点，同时对SM实施情况进行监控；

认证域

认证前域：指终端主机在通过身份认证之前能够访问的区域

隔离域：指在终端用户通过了身份认证但未通过安全认证时允许终端主机访问的
区域

认证后域：指终端用户通过认证后能够访问的区域

业务随行

DC:边界防火墙

主要概念

安全组：敏捷网络中，用安全组来标识一条流量的源和目的

用户类安全组

资源类安全组

策略矩阵：业务随行中，通过矩阵关系来描述一个安全组（比如用户）到另一个安全
组（比如服务器）的访问权限关系

用户优先级：业务随行中，通过指定某些VIP用户所属的安全组的转发优先级，来保障
这部分人员的网络使用体验

5W1H授权：业务随行中，用户类安全组，并不直接与平常使用的用户部门、角色等同，
而是通过接入网络中的几个要素：谁（Who）、时间（When）、地点（Where）、终端
(What)、终端归属(Whose)、如何接入(How)，来动态决定用户所归属的安全组

IP-Group查询：因为业务随行中，策略都是基于安全组来定义，而非认证点设备，并
不能够识别某一IP（用户）所归属的安全组，所以需要通过IP-Group查询技术，获取
IP对应的组关系，从而执行基于安全组的策略。

场景应用

用户访问数据中心权限控制

用户间互访控制

VIP体验保证

业务编排

ACL：访问控制列表（Access Control List），是一系列有顺序的规则组的集合，
这些规则根据数据包的源地址、目的地址、端口号等来描述

UCL：用户控制列表（User Control List），是针对用户级别的ACL控制，使用
数据包的源安全组、目的安全组、端口号等内容定义规则

业务流：符合指定特征（ACL或者UCL规则）的网络流量

编排设备：对业务流进行有序引导的设备，一般指交换机

业务设备：对编排设备引入的业务流进行安全业务处理的设备，主要包括防火墙
设备、防病毒设备和上网行为控制设备。

GRE隧道：GRE（Generic Routing Encapsulation）隧道是一个虚拟的点对点的
连接，提供了一条通路使封装的数据报文能够在这个通路上传输，并且在一个
GRE隧道的两端分别对数据报进行封装及解封装，用于在编排设备和业务设备之
间构建数据的传输通道

业务链资源：业务链资源是指编排设备、业务设备和两种类型设备间的GRE隧道
信息。

XMPP:是一种以XML为
基础的开放式实时通信协议，是经由互联网工程工作小组（IETF）通过的互联网标准
（RFC 3920、 RFC 3921、RFC3922、RFC3923）：

 XMPP中定义了三个角色：客户端，服务器，网关。通信能够在这三者的任意两个
之间双向发生。

Qos

FIFO(策略是先入先出）:它依照报文到达时间的先后顺序分配转发所需要的资源。
所有报文共享网络和设备的带宽等资源，然而最终得到资源的多少完全取决于报文
到达的时机

FIFO尽最大的努力将报文送到目的地，但对报文的延迟、抖动、丢包率和可靠性等
需求不提供任何承诺和保证，故对于一些关键业务（如语音、视频等）的通信质量
无法进行保证。

时延是指一个报文从一个网络的一端传送到另一端所需要的时间

D bit代表延迟（Delay）

T bit代表吞吐量（Throughput）

R bit代表可靠性（Reliability）

DS:在RFC2474中对IPv4报文头的ToS字段进行了重新定义，称为DS（Differentiated Services）字段。

DSCP:IPV4中TOS中8位中左边六位；其中1-3位为IP Precedence，后三们为DTR

拥塞

LP（本地优先级，又称为内部优先级）：优先级映射实现从数据原始携带的QoS优先级
到内部优先级或从内部优先级到QoS优先级的映射

常见队列调度算法

FIFO

FIFO队列不对报文进行分类，当报文进入接口的速度大于出接口能发送的速度时，FIFO
按报文到达接口的先后顺序让报文进入队列，同时，FIFO在队列的出口让报文按进队的
顺序出队，先进的报文将先出队，后进的报文将后出队。

FIFO队列具有处理简单，开销小的优点。但FIFO不区分报文类型，采用尽力而为的服务
模型，使得对时延敏感的实时应用的延迟得不到保证，关键业务的带宽也不能得到保
证。

PQ队列是针对关键业务应用设计的，且关键业务有一个重要特点，就是需要在拥塞发
生时要求优先获得服务以减少响应的延迟

PQ调度机制：分为4个队列，分别为高优先队列、中优先队列、正常优先队列和低优先
队列，它们的优先级依次降低

WRR

WRR（Weight Round Robin）加权循环调度在RR（Round Robin）调度的基础上演变而
来，根据每个队列的权重来轮流调度各队列中的报文流。实际上，RR调度相当于权值
为1的WRR调度。

WFQ

WFQ对报文按流特征进行分类，对于IP网络，相同源IP地址、目的IP地址、源端口号、
目的端口号、协议号、ToS的报文属于同一个流，而对于MPLS网络，具有相同的标签和
EXP域值的报文属于同一个流。

PQ+WFQ

CBQ

CBQ（Class-based Queueing）基于类的加权公平队列是对WFQ功能的扩展，为用户提
供了自定义类的支持。CBQ首先根据IP优先级或者DSCP优先级、入接口、IP报文的五元
组等规则来对报文进行分类，然后让不同类别的报文进入不同的队列。

三种队列

EF队列：满足低时延业务

AF队列：满足需要带宽保证的关键数据业务

BE队列：满足不需要严格QoS保证的尽力发送业务

RED

通过随机地丢弃数据报文，让多个TCP连接不同时降低发送速度，从而避免了TCP的全局同步现
象。使TCP速率及网络流量都趋于稳定。

WRED

可实现每一种优先级都能独立设置报文的丢包的高门限、低门限及丢包率，报文到达低门限时，
开始丢包，到达高门限时丢弃所有的报文，随着门限的增高，丢包率不断增加，最高
丢包率不超过设置的最大丢包率，直至到达高门限，报文全部丢弃

信息安全

信息安全的核心目标是为关键资产提供机密性、完整性和可用性（CIA三元组）保
护。所有安全控制、机制和防护措施的实现都是为了提供这些原则中的一个或多个

CIA

机密性（Confidentiality）：指信息在存储、传输、使用的过程中，不会被泄漏给非授权用户或实体

完整性（Integrity）：指信息在存储、传输、使用的过程中，不会被非授权用户篡改或防止授权用户对信息进行不恰当的篡改

可用性（Availability）：指确保授权用户或实体对信息资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息资源

实施信息安全管理的三种典型方法

信息安全管理体系（简称ISMS）：起源于英国标准协会（British Standards Institution, BSI）1990年代制定的英国国家标准
BS7799，是系统化管理思想在信息安全领域的应用

等级保护：信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护
的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作

NIST SP 800：是美国NIST（National Institute of Standards and Technology）发布的
一系列关于信息安全的指南

常见扩攻击

物理层

线路监听

链路层

MAC欺骗

网络层

Smurf攻击

发ICMP应答请求，该请求包的目标地址设置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。
高级的Smurf攻击，主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机雪崩。

传输层

TCP欺骗

大多数发生在TCP连接建立的过程中，利用主机之间某种网络服务的信任关系建立虚假的TCP连接，可能模拟受害者从服务器端获取信息。具体过程与IP欺骗类似

UDP Flood攻击

应用层

缓冲区溢出攻击

安全协议

网络接口层

PAP（Password Authentication Protocol，密码认证协议）

CHAP（Challenge Handshake Authentication Protocol，挑战握手认证协议）

PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议）

L2F（Level 2 Forwarding protocol，第二层转发协议）

L2TP（Layer 2 Tunneling Protocol，第二层隧道协议）

WEP（Wired Equivalent Privacy，有线等效保密）

WPA（Wi-Fi Protected Access，Wi-Fi网络保护访问）

网际层

IPSec（IP Security，IP层安全协议）

传输层

SSL（Secure Socket Layer，安全套接字层）

TLS（Transport Layer Security，安全传输层）

SOCKS（Protocol for sessions traversal across firewall securely，防火墙安全会
话转换协议）

应用层

SSH（Secure Shell Protocol，安全外壳协议）

Kerberos

PGP（Pretty Good Privacy）

S/MIME（Secure/Multipurpose Internet Mail

Extensions，安全的多功能Internet电子邮件扩充）

S-HTTP（Secure Hyper Text Transfer Protocol，安全超文本传输协议）

SET（Secure Electronic Transaction，安全电子交易）

防火墙

主要包括USG2000、USG5000、USG6000和USG9500四大系列

安全域

在华为防火墙上，一个接口只能加入到一个安全区域中

华为防火墙产品默认提供三个安全区域

Trust区域，该区域内网络的受信任程度高，通常用来定义内部用户所在的网络

DMZ区域，该区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络

Untrust区域，该区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络

Local域

防火墙上提供了Local区域，代表防火墙本身。凡是由防火墙主动发出的报文均可认
为是从Local区域中发出，凡是需要防火墙响应并处理（而不是转发）的报文均可认
为是由Local区域接收

Local区域中不能添加任何接口，但防火墙上所有接口本身都隐含属于Local区域

五元组

源地址、源端口、目的地址、目的端口和协议

NAT转换

不带端口转换的地址池方式（No-PAT）：
内部私网用户共享地址池中的IP地址，按照一个私网IP地址对应一个公网IP地
址的方式进行转换。地址转换的同时不进行端口转换，地址池中IP的个数就
是最多可同时上网的私网用户数。

带端口转换的地址池方式（NAPT）：
一般适用于私网用户较多的大中型网络环境，多个私网用户可以共同使用一
个公网IP地址，根据端口区分不同用户，所以可以支持同时上网的用户数量
更多。

VRRP

主（Master）备（Backup）抢占

抢占模式（Preemption Mode）：控制具有更高优先级的备用路由器是否能够抢占具有较低优先级的Master路由器，使自己成为Master。缺省为抢占模式

抢占延时（Delay Time）：抢占延迟时间，默认为0，即立即抢占

配置

Mater

vrrp vrid 1 virtual-ip 10.0.0.10 //配置vrid1中的虚拟IP地址

vrrp vrid 1 priority 120 //配置在vrid1中的优先级为120，其他设备优先级未手动指定，缺省为100，则本设备为Master

vrrp vrid 1 preempt-mode timer delay 20 //配置Master设备的抢占时延为20秒

vrrp vrid 1 track interface GigabitEthernet0/0/0 reduce 30 //跟踪上行接口G0/0/0的状态，如果端口出现故障，则Master设备VRRP优先级降低30

Backup

vrrp vrid 1 virtual-ip 10.0.0.10 //配置vrid1中的虚拟IP地址

BFD

标识符

标识符分为本地标识符和远端标识符，本地标识符用于表示本端设备，远端标识符用于表示对端设备

静态建立BFD会话是指通过命令行手工配置BFD会话参数，包括配置本地标识符和
远端标识符等，然后手工下发BFD会话建立请求

检测机制

BFD的检测机制是两个系统建立BFD会话，并沿它们之间的路径周期性发送BFD控
制报文，如果一方在既定的时间内没有收到BFD控制报文，则认为路径上发生了
故障，BFD控制报文是UDP报文，端口号3784

BFD提供异步检测模式。在这种模式下，系统之间相互周期性地发送BFD控制报文，
如果某个系统连续3个报文都没有接收到，就认为此BFD会话的状态是Down

状态机状态

Down->Init->UP

单臂回声功能：是指通过BFD报文的环回操作检测转发链路的连通性

SDN

传统网络的局限性：流量路径的灵活调整能力不足；网络协议实现复杂，运维难度较大；网络新
业务升级速度较慢。

OSS：Operation Support System，运营支撑系统

NMS：Network Management Server，网络管理服务器

SDN的三个主要特征

转控分离：网元的控制平面在控制器上，负责协议计算，产生流表；而转发
平面只在网络设备上

集中控制：设备网元通过控制器集中管理和下发流表，这样就不需要对设备
进行逐一操作，只需要对控制器进行配置即可

开放接口：第三方应用只需要通过控制器提供的开放接口，通过编程方式定
义一个新的网络功能，然后在控制器上运行即可

SDN控制器既不是网管，也不是规划工具

网管没有实现转控分离：网管只负责管理网络拓扑、监控设备告警和性能、
下发配置脚本等操作，但这些仍然需要设备的控制平面负责产生转发表项

规划工具的目的和控制器不同：规划工具是为了下发一些规划表项，这些表
项并非用于路由器转发，是一些为网元控制平面服务的参数，比如IP地址，
VLAN等。控制器下发的表项是流表，用于转发器转发数据包

SDN网络体系架构

协同应用层：这一层主要是体现用户意图的各种上层应用程序，此类应用程序称为
协同层应用程序，典型的应用包括OSS、Openstack等

控制层：控制层是系统的控制中心，负责网络的内部交换路径和边界业务路由的生
成，并负责处理网络状态变化事件

转发层：转发层主要由转发器和连接器的线路构成基础转发网络，这一层负责执行
用户数据的转发，转发过程中所需要的转发表项是由控制层生成的

SDN下的接口

Restful接口

OpenFlow接口

BGP接口

PCE接口

SDN的价值

网络业务快速创新

网络简化

网络设备白牌化

业务自动化

网络路径流量优化

传统网络向SDN的演进方式

仅交换网络SDN化

仅业务SDN化

VXLAN(多数据中心大二层互联)

VXLAN技术主要解决多租户环境下的二层互联问题
VXLAN通过隧道技术在不改变三层网络拓扑的前提下构建跨数据中心的逻辑二层网络拓扑
VXLAN技术有效解决了vlan数量的限制问题
VXLAN技术对二层网络做了优化不会造成广播风暴等问题。
SDN技术主要是简化网络的部署、运维、调整等

三种典型的NVO3技术：VXLAN/NVGRE/STT

VXLAN（Virtual eXtensible Local Area Network，RFC7348）是IETF NVO3（Network
Virtualization over Layer 3）定义的NVO3标准技术之一，采用MAC in UDP封装方式，
将二层报文用三层协议进行封装，可对二层网络在三层范围进行扩展，同时支持
24bits的VNI ID（16M租户能力），满足数据中心大二层VM迁移和多租户的需求

VXLAN技术特点

位置无关性：业务可在任意位置灵活部署，缓解了服务器虚拟化后相关的网
络扩展问题

可扩展性：在传统网络架构上规划新的Overlay网络，部署方便，同时避免了
大二层的广播风暴问题，可扩展性极强

部署简单：由高可靠SDN Controller完成控制面的配置和管理，避免了大规模
的分布式部署，同时集中部署模式可加速网络和安全基础架构的配置，提高
可扩展性

适合云业务：可实现千万级别的租户间隔离，有力地支持了云业务的大规模
部署

技术优势：VXLAN利用了现有通用的UDP进行传输，成熟性极高

NFV

概念：NFV即网络功能虚拟化( Network Functions Virtualization),是一种通过∏虛拟化技术将网络节点功能虚拟为软件模块的网络架构,这些软件模块可以按照业务流连接起来,共同为企业提供通信服务。

开放接口

NFVI：提供VNF的运行环境，包括所需的硬件及软件。硬件包括计算、网络、存储
资源；软件主要包括Hypervisor、网络控制器、存储管理器等工具，NFVI将物理资源
虚拟化为虚拟资源，供VNF使用

VNF：包括VNF和EMS，VNF网络功能，EMS为单元管理系统，对VNF的功能进行配
置和管理。一般情况下，EMS和VNF是一一对应的

VIM：NFVI管理模块，通常运行于对应的基础设施站点中，主要功能包括：资源的
发现、虚拟资源的管理分配、故障处理等，为VNF运行提供资源支持

VNFM：VNF管理模块，主要对VNF的生命周期（实例化、配置、关闭等）进行控制，
一般情况下与VNF一一对应

NFVO：NS生命周期的管理模块，同时负责协调NS、组成NS的VNFs以及承载各VNF
的虚拟资源的控制和管理

OSS/BSS：服务提供商的管理功能，不属于NFV框架内的功能组件，但NFVO需要提
供对OSS/BSS的接口

简化网络运营

OPEX（Operating Expense）即运营成本，计算公式为：OPEX=维护费用+营销费用+人工成本+折旧）

CAPEX（Capital Expenditure）即资本性支出，计算公式为：CAPEX=战略性投资+滚
动性投资。资本性投资支出指用于基础建设、扩大再生产等方面的需要在多个会计
年度分期摊销的资本性支出

STB(Set Top Box)：机顶盒STB是指用来增强或扩展电视机功能的一种信息设备，由
于人们通常将它放在电视机的上面，所以又被称为机顶盒或顶置盒，可接收通过卫
星广播和电缆传递过来的节目，并可提供附加服务，如在Internet上选择想看的电影
，享受卫星的VOD（按需点播）服务，还能进行家庭银行等电子商务交易。

RGW(Residential Gateway)：住宅网关一种接入网关设备。直接连到用户已有设备
CPE（POTS，ISDN电话装置、PC电话）上，它允许直接在数据网络上传输来自个别
住宅用户的语音呼叫

SDN与NFV的关系

NFV是具体设备的虚拟化，将设备控制平面运行在服务器上，这样设备是开放的兼
容的。

SDN是一种全新的网络架构，SDN的思想是取消设备控制平面，由控制器统一计算，
下发流表，SDN是全新的网络架构。

NFV和SDN是高度互补关系，但并不互相依赖。网络功能可以在没有SDN的情况下
进行虚拟化和部署，然而这两个理念和方案结合可以产生潜在的、更大的价值。

网络功能虚拟化（NFV）的目标是可以不用SDN机制，仅通过当前的数据中心技术
去实现。但从方法上有赖于SDN提议的控制和数据转发平面的分离，可以增强性能、
简化与已存在设备的兼容性、基础操作和维护流程。

NFV可以通过提供给SDN软件运行的基础设施的方式来支持SDN。而且，NFV和SDN
在都利用用基础的服务器、交换机去达成目标，这一点上是很接近的。