WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
24小时咨询热线:173-1636-2402

技术文档

Technical documentation

您当前位置: 首页 > 技术文档 > 详情

HCIE Datacom培训考试学习SD-WAN软件定义广域网需要掌握的技术

发布日期:2023-03-31 浏览次数:1160 来源:WOLFLAB

HCIE Datacom培训考试学习SD-WAN软件定义广域网需要掌握的技术

关注【WOLFLAB网络实验室】,HCIE Datacom培训循环开班,联系WOLFLAB预约免费试听!


技术

重要程度

是否讲过

专线技术



裸纤


SDH


MSTP


WDM


MPLS VPN专线

是/HCIE




VPN类



L2TP VPN


PPTP


SSL VPN


GRE

※※※

是/OSPF/BGP/IPV6

DSVPN

动态建立GRE隧道简化部署通过NHRP协议

IPSEC VPN

※※※




链路探测技术



BFD

※※

是/VRRP

EFM


CFM


NQA

※※

是/VRRP

IP FPM

※※




网络可靠性技术



堆叠

是/HCIE第一天

链路聚合

是/HCIP

VRRP

是/HCIP




广域互联优化



SAC

※※

SPR

※※

QOS

※※

是/HCIE

FEC/A-FEC

※※




其他技术



ALG(NAT 穿越)

※※

STUN(NAT 穿越)

※※


HCIE Datacom培训BFD(双向转发检测):

公司边界路由器双联路接入到ISP,假设跟联通的接入协议是静态,将静态路由跟BFD做联动,如果出现间接故障,此时流量就不通了,可以在主链路配置BFD,针对失效链路进行检测,及时的感知到主链路的故障,切换到备链路;

图片1(50).png

网络质量分析NQA:

图片1(51).png

功能一:

公司边界路由器双联路接入到ISP,假设跟联通的接入协议是静态,将静态路由跟NQA做联动,如果出现间接故障,此时流量就不通了,可以在主链路配置NQA,路由器会模拟ICMP的ping包,针对对端联通的互联地址做探测,如果发现对端地址不可达,说明主链路失效切换到备链路;

 

功能二:

可以在双联路配置NQA,NQA会模拟例如TCP的报文、ping包、FTP的报文、HTTP报文等,测量出每条链路针对各种报文的丢包率和延迟,根据测量的数据进行选路,如果有一些应用是基于TCP的,NQA探测出备链路针对TCP的丢包率较低、延迟较好、此时就会将基于TCP的应用报文放到备链路上;---基于应用去选路也是SDWAN的重要设计思想,而不是之前针对流量SIP/DIP进行选路了;

图片1(52).png

IP FPM(IP性能测量):具体如何实现的无需关心

NQA缺点:

①报文是NQA模拟出来的,并不是利用真实的业务报文进行探测;

②NQA不能跨域多台路由器进行探测,只能局限于两台路由器之间;

 

IP FPM可以直接对业务报文进行测量,测量数据可以真实反映IP网络的性能;另一方面,IP FPM可以在线监控IP网络承载的业务的变化,真实准确地反映出业务的运行情况;

 

SDW的优势:

①可以智能选路:之前的NQA和IP FPM技术可以探测出业务报文针对链路的匹配性,那路由器收到报文后如何识别报文的4-7层头部进行根据应用进行选路呢?

利用的就是SA和SPR这两个技术

SAC(智能应用控制):利用SA(业务感知)+FPI(首包识别技术)技术读取报文的应用层信息,进而去识别应用的;

SA=DPI,最早源于防火墙,用来读取报文的4-7层头部来识别应用的,华为的NE AR61系列路由器都是内置防火墙功能的;

②SPR(智能策略路由):基于业务进行选路的,通过SA技术区分出不同的业务,识别网络中有语音类的业务,有下载类的业务,然后结合NQA或者是IP FPM技术,进行探测,将语音类的业务放到专线链路上,将下载类的业务放在internet链路上;

图片1(53).png

FEC(前向纠错)/A-FEC:可以保障视频业务20%丢包不卡顿不花屏

视频业务对于丢包是很敏感的,如果丢包就会出现卡顿和花屏;

图片1(54).png

发送方在发送数据时会附上纠错包,接收方如果发现差错后可以基于冗余包进行纠错,就是将丢掉的包进行还原的技术就是FEC,但是FEC会导致带宽利用率下降,如果网络情况比较好,添加冗余包显得没有必要了;

A-FEC就比较灵活了,如果网络质量好,就少添加冗余包或者不添加,提高链路利用率,如果网络质量差丢包严重就需要多添加冗余包;

图片1(55).png

HCIE Datacom培训NAT穿越技术:

图片1(56).png

NAT ALG

图片1(57).png

假设公网上的用户,想要访问我公司内部的FTP server,此时就需要做一个NAT server:

 nat server protocol tcp global 1.1.1.1 65535 inside 192.168.1.1 21

但是FTP是一个多通道协议,只针对21端口做转换还不行,此时只能针对控制通道做转换,需要在路由器上开启NAT ALG,此时路由器就会识别数据报文中的应用层信息,针对数据通道也可以做转换了,相当于ASPF功能;

控制通道:

①sip:client dip:1.1.1.1 65535

②sip:client dip:192.168.1.1 21---NAT SERVER

----------------------------------------------------------

数据通道:

①sip:client dip:1.1.1.1 X

②sip:client dip:192.168.1.1 X---开启NAT ALG的路由器针对数据通道的报文做转换

 

现网提供各类服务,服务器一般部署在私网,因此需要在NAT上部署NAT Server功能使得外网用户能够访问这些服务。但是部分服务用到的协议是多通道协议,比如FTP等,部署NAT Server不能使外网用户访问这些服务。对于这些多通道协议,可以使用NAT ALG解决问题。

图片1(58).png

STUN:(不需要深究)

图片1(59).png

①STUN客户端向STUN服务器发送STUN绑定请求报文(Binding Request)

②STUN服务器收到STUN绑定请求报文后,获取该报文中的源IP地址和源端口,并构建STUN绑定响应报文(Binding Response)发送给客户端。

③STUN客户端收到STUN绑定响应报文后,根据该报文获取IP地址和端口,与之前发送的STUN绑定请求报文中的源IP地址和源端口比较,如果不一致,则STUN客户端前面存在NAT设备。

④STUN客户端之间通过BGP学习对端的NAT信息(NAT前的IP地址和端口、NAT后的IP地址和端口)。

⑤STUN客户端使用本端NAT前的IP地址和端口与对端NAT前的IP地址和端口,构建STUN绑定请求报文发送给对端,同时STUN客户端使用本端NAT前的IP地址和端口与对端NAT后的IP地址和端口,构建STUN绑定请求报文发送给对端。对端STUN客户端也同样进行相应的操作。

⑥对端STUN客户端收到STUN绑定请求报文后,向本端STUN客户端发送STUN绑定响应报文。本端STUN客户端也同样进行相应的操作。

完成以上报文交互后,STUN客户端之间成功建立可NAT穿越的数据通道。

 

举例:

图片1(62).png

如果AR1和AR3之间建立IPSEC VPN,中间如果有NAT设备,此时AR1和AR3的公网地址还是可达的,但是AR3收到AR1发送的数据的SIP是1.1.23.2,此时数据源检测失败,此时可以配置NAT穿越功能,让ESP的报文穿越NAT;

AR2:

acl number 2000  

 rule 5 permit 

#

interface GigabitEthernet0/0/1

 ip address 1.1.23.2 255.255.255.0 

 nat outbound 2000


欢迎关注【WOLFLAB网络实验室】,了解更多关于HCIE Datacom培训相关技术!

讲师:杨广成、崔志鹏

返回目录
在线咨询