CCIE知识点总结——安全及高级特性
Posted 魏晓蕾
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CCIE知识点总结——安全及高级特性相关的知识,希望对你有一定的参考价值。
1、uRPF(Unicast Reverse Path Forwarding 单播的反向路径转发)
(1)uRPF概述
uRPF功能是让路由器具备防IP欺骗或IP伪造的能力。uRPF所认为的IP伪造,是指某个IP的数据包的并不应该从某个接口进来,却从某个接口进来了,那么这样的数据包便认为是具有IP欺骗性质的,默认是被丢弃的。
(2)uRPF检测
当路由器从某个开启了uRPF的接口上收到数据包之后,都会检测该数据包的源IP地址,同时与路由表中的路由条目作对比,经过判断后,如果到达这个源IP的出口确实是这个开了uRPF的接口,则数据包被转发,否则被丢弃。
因为uRPF开启后,所有从此接口进入的数据包都要被检测,速度将会变慢,所以必须开启CEF后,才能开启uRPF。uRPF只能在in方向上开启,在做检查时,所有到源IP的最优路径都认为是可行的。
在正常情况下,如果一个数据包无法通过uRPF检查,那么该数据包默认是丢弃的,但是有时因为特殊原因,可以让某些即使检查失败的数据包也能通过,要做到这一点,就可以在开启uRPF除加ACL,其中检查失败的数据包,是丢弃还是放行,全由ACL来定,ACL允许,就放行,ACL拒绝,就丢弃。
(3)Strict Mode 严格模式
`Router (config-if)# ip verify unicast source reachable-via rx
Router (config-if)# ip verify unicast reverse-path**Loose Mode 宽松模式**
Router (config-if)# ip verify unicast source reachable-via any在接口上开启uRPF的宽松模式 **(4)uRPF 配置**
Router(config-if)#ip verify unicast reverse-path
接口上开启uRPF,默认检测进入接口的所有数据包。
Router(config)#access-list 100 permit ip host 3.3.3.3 any
Router(config-if)#ip verify unicast reverse-path 100`
2、SSH(Secure Shell安全外壳协议)
(1)SSH概述
传统的网络服务程序,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。
通过使用SSH,你可以把所有传输的数据进行加密,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。
(2)配置SSH
Router(config)#hostname R1 R1(config)#ip domain name www.cisco.com R1(config)#username ccie privilege 15 password cisco R1(config)#crypto key generate rsa modulus 1024 R1(config)#crypto key generate rsa
R1(config)#line vty 0 4 R1(config-line)#transport input ssh R1(config-line)#login local R2#ssh -l ccie 12.1.1.1 Password: cisco
3、Port Security
(1)端口安全配置
Switch(config-if)#switchport port-security [maximum value] violation protect | restrict | shutdown
端口安全验证
Switch#show port-security
Switch#show port-security interface type mod/port
Switch#show port-security address
(2)违规状态
- shutdown 默认状态,立即将端口置为errdisable状态,即关闭端口
- restrict 端口仍处于UP,对违规的地址的包丢弃,SW记录违规分组记数,发送trap message到SNMP server.限制违规的地址,但是不影响绑定的地址
- protect: 端口仍处于UP,对违规的地址的包丢弃,但不记录违规分组计数,不会发送trap message 到SNMP server,除非绑定的地址少掉,才会添加后面没有绑定的地址
4、DHCP Snooping和DAI(Dynamic ARP Inspection)
(1)DHCP Snooping配置
Enables DHCP snooping globally
Switch(config)# ip dhcp snooping
Enables DHCP Option 82 data insertion
Switch(config)# ip dhcp snooping information option
Configures a trusted interface
Switch(config-if)# ip dhcp snooping trust
Number of packets per second accepted on a port
Switch(config-if)# ip dhcp snooping limit rate [rate]
Enables DHCP snooping on your VLANs
Switch(config)# ip dhcp snooping vlan number [number]
Create static DHCP binding table
Switch#ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id expiry seconds
DHCP Snooping验证
Switch# show ip dhcp snooping
(2)DAI
DAI配置:
Enables DAI on a VLAN or range of VLANs
Switch(config)#ip arp inspection vlan vlan_id[,vlan_id]
Enables DAI on an interface and sets the interface as a trusted interface
Switch(config-if)#ip arp inspection trust
Configures DAI to drop ARP packets when the IP addresses are invalid
Switch(config-if)#ip arp inspection validate [src-mac] [dst-mac] [ip]
Set a static ARP entry and filter the traffic in the special vlan
Switch(config)#arp access-list DAI Switch(config-arp-nacl)#permit ip host IP-ADDRESS mac host MAC-ADDRESS Switch(config)#ip arp inspection filter DAI vlan vlan-ID
5、NTP(Network Time Protocol)网络时间协议
(1)NTP概述
NTP是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒)。
某些时候,我们需要在Cisco设备上做一些基于时间的策略或访问控制,让这些策略或控制在特定的时间内生效,所以设备上必须存在着准确的时间。 但是如果手工给设备配好时间,当设备因为某些原因重启后,时间将被刷新到出厂时的时间,这样就影响到我们所做的策略或服务。这时我们就需要设备能够借助于远程时间服务器上的时间来同步自己的本地时间,让设备在正常工作时,本地的时间和远程时间服务器的时间保持一致。
本地设备的时间和远程时间服务器即使能够同步,也会存在毫秒级的误差,如果自己和远程时间服务器同步,那么别人再和自己同步,就意味着别人的时间误差可能更大。在这里,时间的精准度就会有高低,Cisco设备的NTP把这样的精准度高低称为stratum,如果stratum值越大,就表示精准度越差,stratum值越小表示精准度就越好。Cisco设备即可以做为NTP客户端,即自己和远程时间服务器同步,也可作为NTP服务器,即向别的设备提供自己的时间,让别的设备和自己的时间同步,如果将Cisco设备作为NTP服务器,默认的stratum是8,就表示远程设备和自己同步后,stratum就是9。
(2)NTP配置
配置时间:
1)为设备配置时区:
R1(config)#clock timezone GMT +8
配置时区为东8区时
2)为设备配置时间:
R1#clock set 20:00:00 1 oct 2008
配置时间为2008年10月1日20点整
3)R1#show clock
配置NTP Server:
1)配置NTP服务器(配置master和stratum(默认为8)):
R1(config)#ntp master 5 stratum为5
2)配置NTP数据包的源地址(此地址为数据发出时的源地址,并不影响NTP时间同步):
R1(config)#ntp source Loopback0
配置NTP Client:
1)指定NTP服务器地址
R2(config)# ntp server 10.1.1.1
2)配置clock timezone
R2(config)# clock timezone GMT +8
3)R2#show clock
(3)NTP认证
服务器和客户端之间可以使用MD5来提供安全认证,只有双方在密码相同的情况下,时间才能同步。
配置NTP Server 认证:
1)开启认证
R1(config)# ntp authenticate
2)配置密码
R1(config)# ntp authentication-key 5 md5 cisco
3)使用某个密码
R1(config)#ntp trusted-key 5
注:在key只有一个的情况下,可以不配
配置NTP Client 认证:
1)开启认证
R2(config)# ntp authenticate
2)配置密码
R2(config)# ntp authentication-key 20 md5 cisco
3)使用某个密码
R2(config)#ntp trusted-key 20
4)打开对服务器的密码使用,让发送给服务器的数据中携带密码
R2(config)#ntp server 10.1.1.1 key 20
例:
ntp authentication-key 1 md5 cisco ntp authenticate ntp trusted-key 1 ntp master ntp source lo 0
ntp authentication-key 1 md5 cisco ntp authenticate ntp trusted-key 1 ntp server 10.1.1.5 key 1
NTP验证:
R2#show ntp status
6、NetFlow
(1)NetFlow概述
NetFlow 是Cisco发布的一款用于分析网络数据包信息的工具包,根据不同的需要定制不同的方案,典型的是对网络数据的源地址、目的地址的分析,对流量各种应用的分析或者路由器上各个端口的负载等的统计。可以针对以下参数进行统计:addr、dstaddr、port、dstport、protocol、ToS、input interface、output interface、nexthop、masked、Packet count、byte count、flow count等。
NetFlow是一种数据交换方式,NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。NetFlow不仅能记录数据的数量,并且还可以记录出协议等信息。
Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。也许它不能象tcp dump那样提供网络流量的完整记录,但是当汇集起来时,它更加易于管理和易读。
数据采集:针对路由器送出的NetFlow数据,可以利用NetFlow数据采集软件存储到服务器上,以便利用各种NetFlow数据分析工具进行进一步的处理。
(2)NetFlow的版本
Cisco开发的NetFlow共4个版本,分别是ver 1 ,ver 5,ver 8,ver 9,它们的特点是:
- V9不向后兼容v8和v5,需要独立开启。
- V8只支持聚合缓存,不支持新feature。
- V5只支持主缓存,不支持新feature。
- V1,不要使用,建议用5和9。
(3)NetFlow的配置要求
Netflow在网络设备上抓包,在每台设备上独立进行,不需要所有设备开启。
配置Netflow的条件:
- 必须先开启路由功能
- CEF必开
- 并且会消耗额外CPU和内存资源。
下面7个参数相同即被认为是同一流,作相同记录,否则另作记录
- Source IP address
- Destination IP address
- Source port number
- Destination port number
- Layer 3 protocol type
- Type of service (ToS)
- Input logical interface
Netflow抓到的包可以向远程主机发送,发送时使用协议UDP,端口号默认为9991,这些远程主机的IP和端口号可以随意更改。
(4)NetFlow的配置
ip cef flow-sampler-map CCIE /创建Netflow例图/ mode random one-out-of 1000 /设置例图模式为1000个包随机取1个/ ip flow-export source Loopback0 /配置输出netflow流量的源端口,收集哪个interface,就在路由器哪个接口上启用采样/ ip flow-export version 9 ip flow-export destination 8.8.56.100 2222 sctp /配置netflow流量输出的目标地址,此时应为流量采集器(probe)的IP地址,端口号/ backup destination 8.8.56.254 2222 backup mode fail-over interface G0/1 ip flow ingress ip flow egress flow-sampler CCIE /入方向流量应用例图采样/ flow-sampler CCIE egress /出方向流量应用例图采样/
7、DHCPv6
(1)DHCPv6概述
客户端首先检测链路上的路由器的存在,如果找到,则检查路由器通告,以确定是否可以使用DHCP,如果没有路由器发现,则发送DHCP请求消息到所有DHCP的代理多播地址,使用链路本地地址作为源地址。
使用的组播地址:
FF02::1:2 = All DHCP Agents (servers or relays, Link-local scope)
FF05::1:3 = All DHCP Servers (Site-local scope)
DHCP消息:客户端侦听UDP端口546;服务器和中继代理监听UDP端口547。
(2)DHCPv4与DHCPv6协议对比
DHCP消息 | IPv4 | IPv6 |
---|---|---|
初始消息交换 | 4次握手 | 4次握手 |
消息类型 | 广播、单播 | 组播、单播 |
Client->Server(1) | DISCOVER | SOLICIT |
Server->Client(2) | OFFER | ADVERTISE |
Client->Server(3) | REQUEST | REQUEST |
Server->Client(4) | ACK | REPLY |
(3)DHCP-PD(prefix delegation) DHCP前缀推送
R1
ipv6 local pool P1 2001:1234::/64 64 ipv6 dhcp pool P2 prefix-delegation pool P1 interface f1/0 ipv6 address 2001::7/64 ipv6 dhcp server P2
R2
interface f1/0 ipv6 address autoconfig default ipv6 enable ipv6 dhcp client pd P2 interface f0/0 ipv6 address P2 ::1234/64 ipv6 enable
Host
interface f0/0 ipv6 address autoconfig default
8、DNS(Domain Name System,域名系统)
(1)DNS概述
将人类难以记忆的IP地址映射到相对容易记忆的英文上,提供网络服务。
全球共有13台根逻辑域名服务器,这13台逻辑根域名服务器中名字分别为“A”至“M”,负责全球互联网域名根服务器、域名体系和IP地址等的管理,1个为主根服务器,放置在美国,其余12个均为辅根服务器,其中9个放置在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本,中国一个都没有。
每个IP地址都可以有一个主机名,主机名由一个或多个字符串组成,字符串之间用小数点隔开。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析。
通常 Internet 主机域名的一般结构为:主机名.三级域名.二级域名.顶级域名。 Internet 的顶级域名由 Internet网络协会域名注册查询负责网络地址分配的委员会进行登记和管理,它还为 Internet的每一台主机分配唯一的 IP 地址。全世界现有三个大的网络信息中心: 位于美国的 Inter-NIC,负责美国及其他地区; 位于荷兰的RIPE-NIC,负责欧洲地区;位于日本的APNIC ,负责亚太地区。
(2)查询方式
迭代查询又称重指引,当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址,若此最佳的查询点中包含需要查询的主机地址,则返回主机地址信息;若此时服务器不能够直接查询到主机地址,则是按照提示的指引依次查询,直到服务器给出的提示中包含所需要查询的主机地址为止。
(3)配置
支持域名代替IP:ip domain lookup
开启本身解析域名的能力:ip dns server
解析条目:ip host a x.x.x.x
当本地没有解析条目时,迭代查询下一台服务器:ip name server x.x.x.x
9、NAT
ip nat outside source static x.x.x.x x.x.x.x
将外网的某个地址转换为内网地址
10、AAA
(1)AAA简介
认证(Authentication):验证用户的身份与可使用的网络服务。
授权(Authorization):依据认证结果开放网络服务给用户。
计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
以上三个功能简称AAA系统 。
AAA分为SERVER端与CLIENT端。
(2)AAA的安全协议
AAA使用两个主要安全协议TACACS+与RADIUS。
TACAS+ | RADIUS | |
---|---|---|
支持的模块 | 独立的AAA模块 | 仅支持认证及授权(目前工业改良后的协议也可支持记账) |
传输协议 | TCP(49) | authen/authori UDP(1812),accouning UDP(1813) |
支持的协议 | 多协议 | 不支持ARA、NETBFUZ等协议 |
加密 | 整个报文加密 | 仅对密码加密 |
协议类型 | CISCO私有 | 公有协议 |
(3)简单的AAA环境
AAA服务器端的实现:Cisco ACS软件和JAVA 平台(插件)。
(4)客户端配置(网络设备)
1)设备上开启AAA:aaa new-model
2)配置AAA验证方式:aaa authentication type default|list-name method1 […[method4]]
常见的type有:
login:为想进入到EXEC命令行模式的用户认证。
enable:决定用户是否可以访问特权级命令级。
ppp:在运行PPP的串行口上指定认证。
local-override:用于某些特殊用户(如系统管理员)快速登录,先使用本地数据库,如果失败再使用后面的认证方式。
List type:一种是default,一种是命名list。用来指代后面的认证方式列表method1 […[method4]]。
Method:不同的type对应不同的Method,可定义多个method,后者method只有当前面的认证方式返回了一个出错信息时使用(最多四种Method),而不是在前面的method失败时使用。
常见的有:
enable:Use enable password for authentication
group:Use AAA Server-group(group radius,group tacas+)
line:Use line password for authentication.
local:Use local username authentication.
local-case:Use case-sensitive local username authentication.
none:NO authentication.
例如:aaa authentication login default group radius local
3)配置AAA授权:aaa authorization type default|list-name method1 […[method4]]
TYPE(常用):
commands level:For exec (shell) commands. (0-15的所有命令)
config-commands:For configuration mode commands.
configuration:For downloading configurations from AAA server
console:For enabling console authorization
exec:For starting an exec (shell).
network:For network services. (PPP, SLIP, ARAP)
reverse-access:For reverse access connections
Method:
group:Use server-group(group radius,group tacas+)
if-authenticated:Succeed if user has authenticated.
local:Use local database.
none:No authorization (always succeeds).
例如:aaa authorization exec default local
4)配置AAA记账:aaa accounting type default|list-name record-type method1 […[method4]]
TYPE:
commands level:For exec (shell) commands.
connection:For outbound connections. (telnet, rlogin)
exec:For starting an exec (shell).
network:For network services. (PPP, SLIP, ARAP)
system:For system events. 如重启
Record-TYPE:
None:No accounting.
start-stop:Record start and stop without waiting
stop-onl:Record stop when service terminates.
5)配置汇总
/* 激活AAA,并指定AAA服务器地址和与服务器建立连接时使用的 key */
interface Ethernet0
ip address 192.168.1.220 255.255.255.0
exit
aaa new-model
tacacs-server host 192.168.1.2
tacacs-server key spoto
/* 所有用户登录时使用Tacacs+服务器进行认证,并当Tacacs+服务器出错时才采用Client本地数据库进行认证 */
aaa authentication login default group tacacs+ local none
/* 允许某些帐号拥有Enable最高权限,某些帐号只拥有Enable 7权限,密码均保存在Tacacs+服务器中 */
aaa authentication enable default group tacacs+ enable none
/* 为EXE会话进行记帐,进程开始和结束时发给Tacacs+服务器 */
aaa accounting exec default start-stop group tacacs+
/* 定义无需AAA验证的列表 */
aaa authentication login no_pass none
/* 在从控制台登录时不用AAA验证(保留设备最后一层管控界面) */
line con 0
login authentication no_pass
R1:
interface Serial0/0/0
encapsulation ppp
ip address 12.1.1.1 255.255.255.0
no peer neighbor-route
ppp chap hostname R2
ppp chap password CCIE
R2:
interface Serial0/0/0
encapsulation ppp
ip address 12.1.1.2 255.255.255.0
no peer neighbor-route
ppp authentication chap
!
aaa new-model
aaa authentication ppp default group radius local-case
radius-server host 3.3.44.200 key CISCO
Username R2 password 0 CCIE
11、SCP
SCP:Secure Copy Protocol 安全复制协议。
(1)SCP简介
SCP通过认证的方式为Cisco设备的配置和映像复制提供安全,这种安全是基于SSH的。
在配置SCP之前,必须配置SSH,认证和授权。正因为有了SSH和AAA这样的机制所以能够确定用户是否是合法的。
(2)SCP配置
1)配置SSH
Router(config)#hostname R1
R1(config)#ip domain name www.cisco.com
R1(config)#username ccie privilege 15 password cisco
R1(config)#crypto key generate rsa modulus 1024
R1(config)#crypto key generate rsa
The name for the keys will be: R1.www.cisco.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#login local
R2#ssh -l ccie 12.1.1.1
Password: cisco
R1#
2)配置AAA
R1(config)#aaa new-model 开启AAA认证功能
R1(config)#aaa authentication login default local 指定用户登录认证方式采用本地数据库认证
R1(config)#aaa authorization exec default local 授权方式采用本地用户数据库进行授权
R2#ssh -l ccie 12.1.1.1
Password: cisco
R1#
3)配置SCP
R1(config)#ip scp server enable 开启SCP服务
4)测试
R2#show running-config | redirect flash:R2configuration
R2#dir
Directory of flash:/
1 -rw- 752 <no date> R2configuration
8388604 bytes total (8387788 bytes free)
R2#copy flash:R2configuration scp://ccie@12.1.1.1
Address or name of remote host [12.1.1.1]?
Destination username [ccie]?
Destination filename [R2configuration]?
Writing R2configuration
Password:
!
752 bytes copied in 1.856 secs (405 bytes/sec)
R1#dir
Directory of flash:/
1 -rw- 752 <no date> R2configuration
8388604 bytes total (8387788 bytes free)
12、EEM
(1)EEM简介
EEM:Embedded Event Manager,嵌入式事件管理器。
之前的任何一种网络管理技术,如SNMP,RMON,在检测到事件发生后,并不能解决问题,这些传统的网管技术只有监测功能,却没有解决故障的功能,为了更有效的管理网络,能够在事件发生时,便采用有效的动作来杜绝网络问题,Cisco推出更进一步的网管技术—Embedded Event Manager (EEM)。
EEM在正常工作时,能够定期监视指定的事件,当被监测的事件发生后,EEM可以产生指定的信息或指定的动作。
(2)EEM的组件
1)EEM server:相当于EEM主程序。
2)Core Event Publishers (Event Detectors) 事件探测器,也就是EEM用于检测事件的组件,负责检测各种定义好的事件,事件的检测可以基于其它网管技术,Event Detectors会在事件发生时向Server报告。
3)Event Subscribers (Policies),当Event Detector检测到指定的事件发生后,Event Subscribers便执行指定的动作,动作包括产生特定的消息,或执行特定的命令。
4)EEM Applet,在配置Applet时,共有3种配置状态:Event, Action, Set。
Even:用于定义事件标准,当指定的要求发生或阀值触发时,则表示该事件产生。
Action:当事件发生后执行的动作。
Set:是设置变量的,目前只支持_exit_。
在EEM Applet配置中,一个Policy只支持一个event,也就是一个Policy只能检测一个事件,如果退出Policy配置时并没有event,则会有警告,表示Applet没有注册成功;但如果没有action,事件照样被检测,只是事件发生后不会执行任何动作,一个Policy中可以配置多个action。
(3)EEM示例
event manager applet BOUNCEGIG
event syslog pattern "%SYS-5-RESTART:"
action 1.0 cli command "enable"
action 2.0 cli command "conf t"
action 3.0 cli command "int Gi0/0"
action 4.0 cli command "shut"
action 5.0 cli command "no shut"
action 6.0 cli command "int Gi0/1"
action 7.0 cli command "shut"
action 8.0 cli command "no shut”
debug event manager action cli
event manager applet ENABLE_OSPF_DEBUG
event syslog pattern ".*%OSPF-5-ADJCHG:.*Serial0/0/0.*FULL to DOWN.*"
action 1.0 cli command "enable"
action 2.0 cli command "debug ip ospf events"
action 3.0 cli command "debug ip ospf adj"
action 4.0 syslog priority informational msg "ENABLE_OSPF_DEBUG”
event manager applet DISABLE_OSPF_DEBUG
event syslog pattern ".*%OSPF-5-ADJCHG:.*Serial0/0/0.*LOADING to FULL.*"
action 1.0 cli command "enable"
action 2.0 cli command "un all"
action 3.0 syslog priority informational msg "DISABLE_OSPF_DEBUG"
event manager applet Conf_Change \\创建EEM\\
event syslog pattern "%SYS-5-CONFIG_I" \\设置按钮,触发EEM\\
action 1.0 cli command "enable" \\创建动作\\
action 2.0 cli command "show clock | append flash:ConfSave.txt"
action 3.0 syslog msg " Configuration changed "
13、IP SLA
(1)IP SLA简介
SLA(Service Level Agreements)服务等级协议。
Cisco ios SLA 让用户可以监测两台思科路由器之间或思科路由器与一个远程IP设备之间的网络性能,是Cisco公司提出来的一个用于测量网络质量的方法。
(2)IP SLA用途
SLA监测;网络性能监测;网络服务评估;端到端的可用性监测;网络故障诊断;MPLS网络监测;VOIP网络监测。
(3)IP SLA 优点
1)增强部署新应用的信息;
2)监测与确认服务质量,实现差别服务;
3)增强用户信息与用户满意度;
4)通过SLA的度量,用户可以确认他的网络应用他们需要的那样运行;
5)网络有问题时可以预告提醒用户;
6)可以连续的,可靠的周期性度量网络的性能。
7)测量能力:可以测量UDP响应时间、单向延时、抖动、掉包情况和连通性;ICMP响应时间与连通性、每一跳的ICMP 响应时间与抖动;DNS查询、TCP 连接、HTTP 处理时间等的性能度量;丢包统计;DHCP响应时间测试;从网络设备到服务器的响应时间;模拟Voip的codec’s测试出语音质量的MOS/ICPIF得分;DLSw+通道性能。
8)IP SLA可以通过命令行或SNMP(Cisco-RTTMON-MIB)来实现前期告警,可以定义SLA的监测阈值,当一个SLA达到阈值时能产生一个SNMP TRAP,并且能触发相关的作业以实现更详细的分析;IP SLA可以实现灵活的调度,可以在任何给定的时间或以任意的时间间隔周期性运行。
(4)IP SLA Responder
IP SLA Responder是内置在Cisco路由器中的一个组件,用于响应IP SLA的请求包。
responder在控制协议指定端口监听SLA操作,收到控制消息后,reponder将在一定周期打开控制消息指定的UDP/TCP端口。周期内responder将接收对该端口的请求并响应。在响应IP SLA报文后或者计时器到期,responder将关闭该端口。
(config)#ip sla monitor responder
需要在目标设备启用SLA responder。配置NTP提供时钟同步,如果不同步则one-way delay项为0。
(5)IP SLA-ICMP
ICMP echo:测量全程路径的往返延迟,用于测量IP性能和连通性。
ICMP path echo:测量往返延迟和每跳的往返延迟测试连通性和发现网络瓶颈。
IP SLA-ICMP 配置:
ip sla monitor 1 /--创建服务条目--/
type echo protocol ipIcmpEcho 1.1.1.2 source-ipaddr 1.1.1.1 /--设置监测ICPM echo,目的地址是1.1.1.2,源地址是1.1.1.1--/
timeout 1000 /--设置超时时间为 100ms--/
frequency 3 /--设置采样频率为3s (每3s发送一个包)--/
ip sla monitor schedule 1 life forever start-time now /--设置SLA的启动时间为马上,有效期为永远--/
track 1 rtr 1 /--和track条目和响应条目关联--/
ip route 192.168.1.0 255.255.255.0 1.1.1.2 track 1 /--设置静态路由并使用track 1监测--/
(6)IP SLA-TCP
TCP connect: 测量TCP连接到目标设备的时间花费用于测试server和应用的性能
R1:
ip sla 1
tcp-connect 3.3.3.3 1026 source-ip 1.1.1.1 source-port 1026
timeout 1000
frequency 10
ip sla schedule 1 life forever start-time now
R3:
ip sla responder
ip sla responder tcp-connect ipaddress 3.3.3.3 port 1026
(7)IP SLA-UDP
UDP echo:测量UDP流的往返延迟 用于测试server和IP应用的性能及连通性。
ip sla monitor 11
type udpEcho dest-ipaddr 24.1.1.4 dest-port 10000 source-ipaddr 24.1.1.2 source-port 10000
timeout 1000
frequency 2
ip sla monitor schedule 11 start-time now
ip sla monitor responder type udpEcho ipaddress 24.1.1.4 port 10000
(8)IP SLA-jitter
UDP jitter:测试承载UDP流量的网络(如VOIP)往返延时,单向延时,单向抖动,单向丢包,连通性。单向延时的测量需要源目标路由器时间同步,常用于语音/数据网络性能测试。
ICMP path jitter:测量IP网络中每跳的抖动,丢包,延迟统计用于语音和数据网络测试。
UDP jitter for voip:测量VOIP流量的往返延迟,单向延迟,单向抖动,单向丢包,使用G.711u-law,G.7111a-law,G.729A作为编码仿真方式。具有MOS和ICPIF的语音质量评分能力 单向延时的测量需要源目标路由器时间同步 用语VOIP网络性能测试。
IP SLA-jitter配置:
ip sla monitor 10
type jitter dest-ipaddr 24.1.1.4 dest-port 800 source-ipaddr 24.1.1.2
request-data-size 800
threshold 55
frequency 20
ip sla monitor schedule 10 life forever start-time now
ip sla monitor responder
(9)IP SLA-VoIP
这一类UDP抖动作业是在当前的UDP抖动作业基础上的一个增强与扩展,经过增强与扩展之后,经命令行或MIB配置,可以通过模拟codec来实现对语音质量的测试并直接得出语音质量评分,目前12.3(4)T可以支持如下几种codec:
Codectype | codec-size | codec-interval | codec-numpackets |
---|---|---|---|
G711ulaw | 172 | 20ms | 1000 |
G711alaw | 172 | 20ms | 1000 |
G729a | 32 | 20ms | 1000 |
IP SLA-VoIP配置:
ip sla monitor 12
type jitter dest-ipaddr 24.1.1.4 dest-port 32000 codec g729a
frequency 10
ip sla monitor schedule 12 life forever start-time now
ip sla monitor responder
以上是关于CCIE知识点总结——安全及高级特性的主要内容,如果未能解决你的问题,请参考以下文章
2019年全国电子设计大赛D题《简易电路特性测试仪》输入阻抗测量
Dubbo3高级特性「提升系统安全性」服务鉴权和权限控制方案及开发实现