特性描述-ip业务v100r005c_第1页
特性描述-ip业务v100r005c_第2页
特性描述-ip业务v100r005c_第3页
特性描述-ip业务v100r005c_第4页
特性描述-ip业务v100r005c_第5页
已阅读5页,还剩74页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

技 特性描述-IP业 前

文档版本01(2010-09- 前 特性描述-IP业斜斜体[{x|y|...[x|y|...{x|y|...[x|y|...#文档版本01(2010-09- 文档版本01(2010-09-特性描述-IP业 前 1介 2 2原理描 2DHCP 3DHCP 5DHCPSnoo...............................................................................................................................1-应 10 13 1介 2 2原理描 3 3 6 10 11 11ND原 12ND........................................................................................................................................2- 15 1介 2 2原理描 2TCP原理描 2UDP原理描 4RawIP原理描 4 4 5文档版本01(2010-09- 信 特性描述-IP 介 原理描 静态 动态 信 文档版本01(2010-09-特性描述-IP业 插图1-1中间人........................................................................................................................................1-图1-2IP/MACSpoofing.......................................................................................................................1-图1-3DHCPSnoo丢弃报 8图1-4DHCPServer仿 9图1-5在Untrusted口上丢弃DHCPResponses报 9图1-6DHCP服务器典型组网应 11图1-7DHCP中继的典型组网应 11 12 13图2-1DHCPv6基本构架示意 4 7 8图2-4T1时刻地址租约更新过 9图2-5T2时刻地址租约更新过 9图2-6DHCPv6中继工作原理 10 11图3-1层次式结 3图3-2TCP连接建立和拆除过 3图3-3UDP协议报文格 4图3-4Socket分层模 5图4-1动态 3特性描述-IP业 表表1-1定时器的缺省 01(2010-09- 信特性描述-IP业 101(2010-09- 信

定DHCPDynamicHostConfigurationProtocol的简称,又被称为动态主机配置协议(以下简称DHCP),是一种用于集中的对用户进行动态管理和配置的技术。目变化(如便携机或无线网络)IP地址的情况,需要使用动态主机配置协议DHCP解决这些问题。地获取IP地址,而不是静态为每台主机指定地址。DHCPOptionsandBOOTPVendorInteroperationBetweenDHCPandDynamicHostConfigurationDHCPOptionsandBOOTPVendorDHCPRelayAgentInformationDHCPDHCP1- 文档版本01(2010-09-特性描述-IP业 1DHCPDHCPDHCPServerDHCPIP地址的分配。客户端向服务器发送配置相应配置信息的报文,请求报文和回应报采用UDP进行封装。DHCP与服务器交互的三种模 DHCPDISCOVERIPIP地址分配给IPDHCPOFFER报文。DHCPOFFERDHCPOFFER报DHCPDHCPREQUEST报文,该信息中包含向所选定的DHCP服务器请求IP地址的内容。DHCPIPDHCP服务器收到IPDHCPACK确认报文。然后,DHCPTCP/IP用于其他客户端的IP地址申请。 IPDHCPREQUESTDHCPDISCOVER报DHCPDHCPREQUEST报文后,如果客户端申请的地址没有被分DHCPACKDHCPIP地DISCOVER报文请求新的IP地址。DHCPIP地址通常有一定的租借期限,期满后服务器延长IP地址租约)。文档版本01(2010-09- 31

IP地址的静态和动态分IP地址的占用时间,不同主机有不同的需求:对于服务器,可能需要长期使某些个人则可能只在需要时分配一个临时的IP地址就可以了。lIP地址分配的优先次求IP地址选项的地址;的IP地址,如果找到可用的IP地址,则进行分配,否则报告错误。防止IP地址重复分配的方得到应答,则继续发送报文,直到发送包的数量达到最大值。如果仍然超的IP地址是唯一的。DHCPIP地址给客户端,预留的IP地址可以是地址池中的地址,也可以不去的地址一般用于某个DNS服务器的IP地址。支持Option自定义选DHCPOption,DHCPIP地址的时候,会通DHCPOption字段中的配置信息。DHCPOption选项的取值范围为0-255,可以自定义Option选项。地址池的

1- 文档版本01(2010-09-特性描述-IP业 1DHCPIP地址通常有一定的租借期限,期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址,需要更新IP租约(如延长IPDHCPIP3个定时器,分别用来控制租期更新、重绑定和判断是否已经到达租期。DHCPIP地址时,时器的缺省值如表1-1所示。IPDHCPDHCPREQUEST报文,此IPDHCPDHCPACK报收到DHCP服务器返回的DHCPNAK报文,则进入到初始化状态。当客户端发送延长租期的DHCPREQUEST报文后,保持在更新状态等待响应。若直服务器不可用,并开始发送广播的DHCPREQUEST报文。DHCPACK报文,就返回到绑定状态,且重新设置“租期更新和重绑定定时器”,如果客户端收到的都DHCPNAK报文,就返回到初始化状态。此时客户端停止使用此IP地址,并且返回到初始化状态,重新申请新的IP地址。址,并且返回到初始化状态,重新申请新的IP地址。DHCPDHCPDHCP客户端的广播报文透明地传送DHCPDHCP服务器端的广播报文透明地传送到其它网段的DHCP客户端。该接口配置IP中继地址,用来指定DHCP服务器。文档版本01(2010-09- 51

之间转发DHCP报文,就需要DHCPRelay支持 (或者公网),DHCPRelay将把该客户端的DHCP请求报文发往本 Server,并把DHCP回应报文发送给该客户端。的IP地址。 端发起Release请求。 DHCPDHCPSnoo是一种DHCP安全特性,可以防止 者仿冒IP和MAC利用ARP、IP、DHCP报文对服务器端和客户端进行。这些 是部署DHCPSnoo特性的交换机,DHCPServer可以不解析该字段,但要将Option82信息在DHCP回应报文中原封带回,在部署DHCPSnoo特性的设备接收到携带本机的Option82信息的DHCPReply报文时,将Optin82信息剥离。l配置Option82的功能时,如果接口收到的DHCP报文中带有option82选项,并且不包含REMOTE-ID则REMOTE-ID,否则不处理该选项;如果接口收到的DHCP报文中没有Option82选项,则在DHCP报文中Option82选项。 则在DHCP报文中Option82选项;如果原来的DHCP报文中有Option82选项,则删除DHCP报文中原有的Option82选项,新的Option82选项。1- 文档版本01(2010-09-特性描述-IP业 1DHCPSnoo绑定llDHCPServerIP地址、MAC地址、VLANIPIP报文、ARP报文、DHCP续租报文时,通过绑定表信息,检查该端口接收到的报文的,对报文进行过滤并统计,如果报文丢弃计数超DHCPSnoo部署在DHCPRelay设备上时,需要和DHCPRelay功能配套使用。l中间人-者充当中间MAC地址和服务器IPARP报文,让客户IPMACARP表项,达到仿冒服务器的目学到包含客户端IP地址和自己MAC地址的ARP表项,达到仿冒客户端的目 1-1DHCP DHCP 文档版本01(2010-09- 71

1-2IP/MACSpoofingDHCP

DHCP定关系)ARP、IP报文进行User图1-3DHCPSnoo丢弃报UserISPL3 DHCPsnooL2 DHCP “信任”和“不信任”端口模DHCP请求报文以广播形式发送,DHCPServer仿冒者可以侦听到,并且回应仿冒信1-1- 信01(2010-09-特性描述-IP业 11-4DHCPServerDHCP

DHCPx DHCPx xDHCPpseudo没有使能DHCPSnoo时,设备上所有接口缺省都是Trusted状态;使能DHCPSnoo功能后所有口缺省都是Untrusted状态。只有与运营商网络相连的接口才止了DHCPServer的仿冒。ISPISPL3DHCPL2DHCPDHCPResponses(offer,ack,User在网络中,如果有私自架设的DHCP服务器,当其他用户申请IP地址时,这台DHCP服务器就会与DHCP客户端进行交互,导致用户获得错误IP地址,无法正常上网,这种私设的DHCP服务器称为伪DHCP服务器。01(2010-09- 信1

CHADDR的检查功DHCPSnoo提供以太帧中源MAC地址与DHCP请求报文中CHADDR的一致性检查,如果不一致,丢弃该DHCP请求报文。DHCPSnoo与ARP联动功在DHCP报文使用过程中可能会出现用户异常下线的情况,此时DHCPServer分配给用IPDHCPSnoo绑定表DHCPRelayDHCPSnoo功能时,可以配置ARP联动功能。DHCPSnoo利用ARP表项定时检查动态用户是否下线,如果用户已经下线,发送ServerDHCPSnoo的用户规格。报文统计及告 的ARP报文、 的IP报文、的DHCP报文。当设备收到的报文时, 警的频率。用户也可以关闭告警,这时DHCPSnoo系统检测到报文时仍然丢 ACKDHCPNAK报文。

机),如图1-6所示。1- 文档版本01(2010-09-特性描述-IP业 1DHCP DHCPDHCPllIP地址数量,无法给每个主机分配一个固定的IPDHCPIP地址,而且,对并发用lIPIPDHCP中

DHCP

DHCPDHCPDHCPPPP网段内的情况,不能跨网段。因此,为进行动态主机配置,需要在每个网段置一个DHP01(2010-09- 信1DHCP

DHCP中继(DHCPRelay)DHCP中继与其他网段的DHCP服务器通信,最终取得合法的IP地址。这样,多个网段的DHCP客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。组网图。DHCPSnoo部署在三层网络上时,需要依赖DHCPRelay功能。ISPISPL3DHCPL2DHCPUser1-1- 信01(2010-09-特性描述-IP业 1ISPISPDHCPDHCPUser术无缩略DynamicHostConfigurationAddressResolutionClienthardware特性描述-IP业 201(2010-09- 信

定l灵活的配置功能l强大的可管理性l可扩展性目 InternetProtocol,Version6(IPv6)-ClientDynamicHostConfigurationProtocolforIPv6(DHCPv6)RelayAgentRemote-IDOption-StaessDynamicHostConfigurationProtocol(DHCP)ServiceforIPv6-2- 文档版本01(2010-09-特性描述-IP业 2IPv6 essAddress-NDNDDHCPv6DHCPv6IPv4DHCP一样,所有的报文,客户端也无需配置服务器的IPv6地址。DHCPv6

DHCPv6方式获取地址和其他网络配置信息(DNS、NIS、SNTP服务器等参数)。有状态DHCPv6方式可以通过DHCPv6两步交互和DHCPv6四 DHCPv6文档版本01(2010-09- 32

DHCPv6 DHCPv6relayDHCPv6DHCPv6 DHCPv6 DHCPv6RelayDHCPv6IPv6地址和其他 DHCPv6DHCPv6服务器,负责处理来自客户端或中继的地址分配、地址续租、地址释放等请求,为客户端分配IPv6地址和其他网络配置信息。接通过单播交互完成地址分配或信息配置的情况下,是不需要DHCPv6中继参与端和DHCPv6服务器无法单播交互的情况下,才需要DHCPv6中继的参与。DHCPv6lDHCPv6DHCPv6ServerIP地址,而是发送目的地址为组播地址的Solicit报文来定位DHCPv6服务器。lDHCPv4协议中,客户端发送广播报文来定位服务器。为避免广播风暴,在IPv6中,已经没有了广播类型的报文,而是采用组播报文。DHCPv6用到的组2- 文档版本01(2010-09-特性描述-IP业 2继的组播地址,这个地址是链路范围的,用于客户端和相邻的服务器及中继之间通信。所有DHCP服务器和中继都是该组的成员。FF05::1:3(All_DHCP_Servers):DHCP服务器多播地址,这个地址是UDPlDHCPv6报文承载在UDPv6上 客户端的UDP端是546 12告自己能够提供DHCPv6服务。34前获得的IP地址是否适用与它所连接的链路。56如果Renew报文没有得到应答,客户端向任意可达的服务器发送Rebind7从客户端收到的Solicit、Request、Renew、Rebind报8901(2010-09- 信2

信息,但是不请求IP地址。lDUIDDHCP设备唯一标识符,每个服务器或客户端有且只有一个唯一标识符,服务器使用DUID来识别不同的客户端,客户端则使用DUID来识别服务lDUIDClientIdentifierServerIdentifier选项option-codeClientIdentifier还是ServerIdentifier选项。 l(简称IA)是使得服务器和客户端能够识别、分组和管理一系列相关IPv6地址的结构。每个IA包括一个IAID和相关联的配置信息。lIPv6IA。IAIA必须明确关联到lIA的由IAID唯一确定,同一个客户端的IAID不能出现重复。IAID不应因lIAIPv6T1T2生存期组成。IA中的每lIAIAIA可以包含一个或多lIDIDDHCPv6Solicit/lIDID具有一定的随机 M/OlMRAM标记置位时,表示链的IPv6主机采用有状态地址分配方式获取地址和配置参数。lORAO标记置位时,表示链的IPv6主机采用有状态方式获取配置参数。DHCPv62- 文档版本01(2010-09-特性描述-IP业 2DHCPv6端的Solicit报文后,为其分配地址和配置信息,直接回应Reply报文,完成地址申请和分DHCPv6DHCPv6服务器的网络中,因为说明lDHCPv6服务器端如果配置使能了两步交互,并且客户端报文中也包RapidCommit选项,lDHCPv6IPv6地址和其(1)Solicit(containsaRapidCommit(1)Solicit(containsaRapidCommitDHCPv6息的服务器,接着通过Request/Reply报文交互完成地址申请和分配过程。 文档版本01(2010-09- 72

Solicit报文中没有携带RapidCommitSolicitRapidDHCPv6客户端接收到多个服务器回复的AdvertiseAdvertise报Request报DHCPv6地址租约优先生命期和有效生命期构成)和续租时间点(IAT1、T2)构成。地址有效生命期IARenewIAIA地址选项。如果DHCPv6客户端一直没有收到T1时刻续租报文的回应报文,那么在T2时刻,DHCPv6客户端通过RebindDHCPv6服务器继续续租地址。T12-42- 文档版本01(2010-09-特性描述-IP业 22-4T1 lDHCPv6DHCPv6lDHCPv6DHCPv6服务器回应续约失败的Reply报文,通知DHCPv6客户端不能获得新的租约。T22-52-5T2 DHCPv6客户端在T1时刻发送RenewDHCPv6服务务器组播发送Rebind报文请求更新租约。01(2010-09- 信2

lDHCPv6DHCPv6lDHCPv6DHCPv6服务器回应续约失败的Reply报文,通知DHCPv6客户端不能获得新的租约。说明DHCPv62-6所示。DHCPv6ClientDHCPv6RelayAgent转发报文,获取IPv6地址和其他网络配置参数(例如DNS等)。 (1)DHCPv6message(1)DHCPv6messagefrom(4)DHCPv6messageto项(RelayMessageOption)Relay-forwardDHCPv6Server。ClientIPv6Relay-reply报文的中继消息选项中,并将Relay-reply报文发送给DHCPv6RelayAgent。从该DHCPv6Server分配地址和其他参数。2- 文档版本01(2010-09-特性描述-IP业 2DHCPv6在地址分配前,IPv6DAD通过后,首先有一个链路路由器式获取地址和其他配置参数(DNSserver的地址等),DHCPv6方式的工作过程请参见DHCPv6两步交互和DHCPv6四步交互地址分配过程。在地址分配前,IPv6DAD通过后,首先有一个链路路由器IPv6节点收到RAM标记0,O标记1,则IPv6节点通过无状态DHCPv6方式获取配置参数(包DNS、SIP、SNTP等服务器配置信息,不包括地 includesanincludesanOptionRequestincludestherequestedDHCPv6DHCPv6Information-request报文,该报文中OptionRequest选项,指DHCPv6DHCPv6服务器获取的DHCPv6Information-requestDHCPv6客户端分配网络配置参数,并单播发送Reply报文,将网络配置参数返回给DHCPv6客户端。DHCPv6ReplyInformation-request报文中请求的配置参数相符,则按照Reply报文中提供的参数进行网络配置,否则忽略该报文中提供的参数完成DHCPv6客户端无状态配置。DHCPv6文档版本01(2010-09- 112

Remote-id选 责添加remote-id选项。 Interface-id选link-address字段无法标识接收客户端报文的接口时,才需要包含Interface-id选项。目前实现统一添加Interface-id选项。何其他类型的DHCPv6报文中。 id选项。 NDNDP即邻居发现协议(NeighborDiscoveryProtocol)ND。NDIPv6的一个基础性协议,它是IPv4某些协议在IPv6中综合升级和改进,如ARP、ICMP路由器发现和ICMP重定向等协议。作为IPv6的关键协议,ND还提供了其他功能,如前 路由器发现(Router 2- 文档版本01(2010-09-特性描述-IP业 2 路由器发

数限制(HopLimit)、地址配置方式等信息。lRS报文,触发链路路由器响应RA报文。主机发现本地链的路由器后,自动配置缺省路由器,建立缺l路由器周期性的发送RA报文,使主机发现本地链的路由器及其配置信息,主IPv4ARP。NDNSNAIPv6地址到链路层ANSNodeB对应的被请求节点组播地址,选项字段中带上NodeA的链路层地址。BNS报文后,由于报文的目的地址属于自己被请求节点的组播地址,处NANS,同时在消息的目标链路层地址选项中带上项(类似于IPv4的ARP表),可以相互通信了。 文档版本01(2010-09- 132

邻居不可达检ND协议用NS和NA报文来验证邻居节点的可达性。节点在确定邻居的链路层地址值为30秒)不能接收或者发送返回的报文,则删除此邻居缓存表项。相邻节点并不一定就是数据包的最终目标。NUD检测仅仅验证了到目标路径上第一跳重复地址

IPv6节点在本地链路范围内组播发送NS报文,如果在规定时间内没有NA报文进行应ND

者可以使用RS/NS/NAMAC者能够RS/NS/NA报文,发送给网关或受害主机,通过这种方式来对网关MACMAC地址进行修改,这样就造成 DAD当受害主机进行DAD查询的时候,者通过NS或NA报文进行干扰,使得受害主机的DAD过程失败,无法获取到IP地址,这种的概率和NS/NA的以NA报文,应答受害者的NS报文。这两种情况,受害主机都无法获取地 RA服务器进行有状态地址分配等网络配置的关键信息。如果受害者接收了虚RA–不存在的前缀,修改受害主机的路由表–DHCPv6服务器,同时RA中的M标记,造成受害主机使用 2- 文档版本01(2010-09-特性描述-IP业 2 ND防

的思路是:通过NDSNOO 模式与手工配置的方式,获取到合法用户的IP-在局域网中ND的根本原因是无法对ND报文进行验证,从而无法获知正确的使得网络中可能发生/ND。S5700交换机通过NDsnoo、手工配置等方式异常的ND报文进行过滤,达到防止ND的效果。过ND协议的DAD交互过程,获取用户的IP、MAC、VLAN、Port的对应lRA缩略DynamicHostConfigurationProtocolforIPv6RouterStaessAddressIdentityIdentityAssociationNeighbor文档版本01(2010-09- 152

2- 文档版本01(2010-09-特性描述-IP业 301(2010-09- 信

IPv4(InternetProtocolVersion4)是TCP/IP协议族中最为的协议。它工作在TCP/IPOSI参考模型的网络层相对应。IP层提供了无连接数据传目TransmissionControlUserDatagramTCP传输控制协议(TCP)RFC793定义,用于在主机间实现高可靠性。TCP协议为用户3-1表示了TCPIP协议,TCPIP协议3- 文档版本01(2010-09-特性描述-IP业 3TCPIP协议,上层接口包括一系列类似于操作系统中断的对于上层应用程序,TCPIP协议接口。为了在并不可靠的网络上实现面向连接的可靠的传送数据,TCP必须:l解决可靠性、流量控制的问题l为上层应用程序提供多个接口l为多个应用程序提供数据l解决连接问l调用

并调用

文档版本01(2010-09- 33

UDP数据传送应该使用传输控制协议(TCP)。数据报格式如图3-3所示。3-3UDP.3.3RawIPRawIPIP首部的有限几个字段,但它允许应用进程提供自己的IP首部。它与连接的,即在主机间传输数据时,不需要任何类型的电路。RawIPUDP的区别在SocketSocket是一组编程接口(API),介于传输层与应用层之间,传输层差异,向应用TCP/

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论