DHCP snooping：通過偵聽客戶和服務(wù)器之間通信數(shù)據(jù)包生成IP+MAC+端口+VLAN

ARP動態(tài)監(jiān)測原理

1，在交換機上開啟，交換機檢查通過ARP數(shù)據(jù)包，核對ARP數(shù)據(jù)中內(nèi)容IP地址+MAC以及

該數(shù)據(jù)通信端口+VLAN是否與DHCP snooping中的綁定表是否一致，如果一致

則認(rèn)為該ARP數(shù)據(jù)包正常，則轉(zhuǎn)發(fā)。反之則認(rèn)為該ARP數(shù)據(jù)非法，則丟棄

2，核對手動配置User-bind表中IP地址+MAC+端口+VLAN（如果沒有使用DHCP snooping生成

綁定表）

ip source guard：IP源保護

1，使用DHCP snooping綁定，核對數(shù)據(jù)包進入IP地址+MAC以及端口+VLAN如果一致

則認(rèn)為該IP數(shù)據(jù)包正常，反之則認(rèn)為該IP數(shù)據(jù)包非法，則丟棄

2，使用User-bind表，核對數(shù)據(jù)包進入IP地址+MAC以及端口+VLAN如果一致

則認(rèn)為該IP數(shù)據(jù)包正常，反之則認(rèn)為該IP數(shù)據(jù)包非法，則丟棄

鏡像：將端口上通信數(shù)據(jù)復(fù)制發(fā)送到目的地

觀察端口：是指接入分析設(shè)備端口稱之為觀察端口

本地鏡像：將本地接口通信流量發(fā)向本地觀察端口，可以鏡像進出流量

遠(yuǎn)端鏡像：將鏡像流量發(fā)向遠(yuǎn)端服務(wù)器

QOS：服務(wù)質(zhì)量，在有限網(wǎng)絡(luò)環(huán)境中為不同流量提供不同優(yōu)先服務(wù)（服務(wù)質(zhì)量

不能徹底解決網(wǎng)絡(luò)擁堵問題，只能使網(wǎng)絡(luò)中重要流量優(yōu)先通行）

帶寬：數(shù)據(jù)傳輸路徑最小的帶寬

時延：從數(shù)據(jù)產(chǎn)生到目的端接收出到處理所花費時間

抖動：數(shù)據(jù)時延之間所形成差值就稱之為抖動，時延造成抖動

服務(wù)模型

1，盡力而為服務(wù)

2，綜合性服務(wù)：提前預(yù)留帶寬資源，資源獨占，利用率低。

3，區(qū)分服務(wù)模型：根據(jù)流量類型提供不同服務(wù)質(zhì)量

QOS

標(biāo)記：

二層使用802.1p ，使用3bit取值 0-7

三層IP層優(yōu)先級 ，使用3bit取值 0-7

MPLS層實驗位，使用3bit取值 0-7

總計可以進行8中分類

CS7和CS6：設(shè)備都遵守規(guī)則，往往用于路由協(xié)議

AF：確保轉(zhuǎn)發(fā)，往往表示對帶寬要求較高

AF43表示意思：4表示服務(wù)優(yōu)先級，值越大越優(yōu)先提供服務(wù)。3表示丟棄優(yōu)先級值越大

越優(yōu)先被丟棄

EF：對延遲敏感，往往用于語音流量

隊列

硬件隊列和軟件隊列，只有在硬件隊列滿的情況下才可觸發(fā)軟件隊列

隊列調(diào)度方法

FIFO：先進先出，相當(dāng)于在接口上只有一個隊列，數(shù)據(jù)不分先后

優(yōu)點：簡單

缺點：不能差分服務(wù)，緊急數(shù)據(jù)得不到及時處理

PQ：絕對優(yōu)先級隊列，相當(dāng)于有4個隊列分為高、中、普通、低

優(yōu)先調(diào)度高優(yōu)先級隊列數(shù)據(jù)，再調(diào)度低優(yōu)先級隊列數(shù)據(jù)。只要高優(yōu)先級隊列

有數(shù)據(jù)就繼續(xù)調(diào)度高優(yōu)先級隊列數(shù)據(jù)

優(yōu)點：緊急重要數(shù)據(jù)可以得到及時處理

缺點：低優(yōu)先級隊列餓死

隊列內(nèi)部還是先進先出

WRR：加權(quán)輪訓(xùn)隊列，隊列之間發(fā)送數(shù)據(jù)時參與輪詢方式，保證每一個

隊列都有發(fā)送數(shù)據(jù)機會。權(quán)重高隊列發(fā)送更多數(shù)據(jù)數(shù)據(jù)包，低的發(fā)送

較少的數(shù)據(jù)包

優(yōu)點：每一個隊列都可以發(fā)送數(shù)據(jù)包

缺點：緊急數(shù)據(jù)得不到及時調(diào)度

weight相同就是RR隊列調(diào)度方式

WFQ：加權(quán)公平隊列，根據(jù)數(shù)據(jù)包5元素自動分類創(chuàng)建流每一個流就是隊列

根據(jù)各個流權(quán)重將帶寬分配

優(yōu)點：自動實現(xiàn)，可以保證各個公平發(fā)送數(shù)據(jù)流量

缺點：低延遲數(shù)據(jù)得不到及時調(diào)度

PQ+WFQ 相當(dāng)于LLQ低延遲隊列，是延遲敏感敏感數(shù)據(jù)得到及時調(diào)度，同時使其他數(shù)據(jù)

根于權(quán)分配帶寬

CBQ：基于類隊列，可以人工配置

丟棄方式

1，尾部丟棄：當(dāng)隊列滿之后，再到達的數(shù)據(jù)包之間丟棄

優(yōu)點:實現(xiàn)簡單 PQ只能使用尾部丟棄

缺點：容易造成TCP流量同步

2，RED：早期隨機丟棄，隊列沒有滿之前隨機丟棄一定數(shù)量數(shù)據(jù)包

優(yōu)點：可以緩解TCP流量同步

缺點：不能提供差分服務(wù)

3，WRED：加權(quán)隨機丟棄，根據(jù)數(shù)據(jù)包優(yōu)先級設(shè)置丟棄概率。數(shù)據(jù)優(yōu)先級越高

丟棄概率越低

優(yōu)點：可以提供差分服務(wù)

限速技術(shù)

1，監(jiān)管（policy）：可以用于進接口也可以用于出接口，多余流量直接丟棄

2，整形（shape）：將超出數(shù)據(jù)包緩存起來，等待下一個周期發(fā)送，增加

了數(shù)據(jù)包處理延遲

防火墻

安全區(qū)域：人為定義，方便數(shù)據(jù)流量管理

默認(rèn)區(qū)域：

local區(qū)域：本防火墻（priority 100）

trust區(qū)域：可信區(qū)域一般接入內(nèi)網(wǎng)（priority 85）

DMZ區(qū)域：非軍事化區(qū)域，一般接入服務(wù)器（priority 50）

UNtrust區(qū)域：不可信區(qū)域一般接入外網(wǎng)（priority 5）

華為防火墻：默認(rèn)不同區(qū)域之間禁止進行數(shù)據(jù)通信，如果需要進行不同區(qū)域

之間數(shù)據(jù)通信必須配置策略

防火墻檢測和會話：如果策略放行數(shù)據(jù)流量則根據(jù)5元組（源IP地址、目的IP地址、源端口

目的端口、協(xié)議）記錄該會話，如果返回的流量匹配記錄會話記錄則放行進入流量

ASPF：應(yīng)用動態(tài)監(jiān)測，通過查看協(xié)議應(yīng)用層數(shù)據(jù)自動生成該應(yīng)用的臨時條目保證

應(yīng)用通信正常

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換

NAT server：將DMZ一臺內(nèi)服務(wù)器對外公布一個公網(wǎng)IP地址。當(dāng)外部主機

發(fā)送該公網(wǎng)地址時則將流量發(fā)送給內(nèi)部服務(wù)器。

默認(rèn)始發(fā)于服務(wù)器的流量不允許使用該公網(wǎng)IP地址進行通信（）

如果需要服務(wù)上外網(wǎng)則必須手動指定服務(wù)器可以是使用該公網(wǎng)IP地址

虛擬服務(wù)器：對外公布一個公網(wǎng)IP地址提供服務(wù)，實際內(nèi)網(wǎng)有多臺主機映射該

網(wǎng)絡(luò)IP地址（內(nèi)部有多臺注意提供服務(wù)）；