John Winning's Blog

More...

Ethernet II协议简介

以太网是当今现有局域网采用的最通用的通信协议标准。该标准定义了在局域网中采用的电缆类型和信号处理方法。Ethernet II由DEC，Intel和Xerox在1982年公布其标准，Etherent II主要更改了Ethernet I的电气特性和物理接口，在帧格式上并无变化。Etherent II采用CSMA/CD的媒体接入和广播机制。

Ethernet 802.2协议简介

Ethernet 802.2协议是IEEE正式的802.3标准，它由Ethernet II发展而来。Ethernet 802.2将Ethernet II帧头的协议类型字段替换为帧长度字段，并加入LLC-802.2头，用以标记上层协议。LLC头包含目的服务访问点（DSAP）、源服务访问点（SSAP）和控制（Control）字段。

Ethernet 802.3协议简介

Ethernet 802.3是1983年Novell发布其Netware/86网络套件时采用的私有以太网帧格式，该格式以当时尚未正式发布的IEEE802.3标准为基础；但是当两年以后IEEE正式发布802.3标准时情况发生了变化（IEEE在802.3帧头中又加入了802.2 LLC头），这使得Novell的Ethernet 802.3协议与正式的IEEE 802.3标准互不兼容；Ethernet 802.3只支持IPX/SPX协议,是目前所用的最普通的一种帧格式，在802.2之前是IPX网络事实上的标准帧类型。

Ethernet SNAP协议简介

Ethernet SNAP协议是IEEE为保证在802.2 LLC上支持更多的上层协议的同时更好地支持IP协议而发布的标准，与802.3/802.2 LLC一样802.3/802.2 SNAP也带有LLC头，但是扩展了LLC属性，新添加了一个2字节的协议类型域（同时将SAP的值置为AA），从而使其可以标识更多的上层协议类型；另外添加了一个3字节的厂商代码字段用于标记不同的组织。RFC 1042定义了IP报文在802.2网络中的封装方法和ARP协议在802.2 SANP中的实现方法。

More...

NAT穿越技术解决的问题：

正常ipsec vpn产生的esp包是无法穿越pat的，因为esp没有四层的端口信息，所以无法实现pat转换。为了解决这个问题产生了nat穿越技术，nat穿越技术整体的思想就是把esp的流量封装在udp或者tcp的包里边来穿越pat设备，这样就克服了esp不能穿越pat设备的问题。

7.0后所支持的所有nat穿越技术：

1. ipsec-over-udp        Cisco私有技术
2. nat-t                        标准的技术
3. ipsec-over-tcp        Cisco私有技术

nat穿越技术的优先顺序：ipsec-over-tcp | nat-t | ipsec-over-udp

More...

Inbound
1. QoS Policy Propagation through Border Gateway Protocol (BGP) (QPPB)
2. Input common classification
3. Input ACLs
4. Input marking (class-based marking or Committed Access Rate (CAR))
5. Input policing (through a class-based policer or CAR)
6. IP Security (IPSec)
7. Cisco Express Forwarding (CEF) or Fast Switching

Outbound
1. CEF or Fast Switching
2. Output common classification
3. Output ACLs
4. Output marking
5. Output policing (through a class-based policer or CAR)
6. Queueing (Class-Based Weighted Fair Queueing (CBWFQ) and Low Latency Queueing (LLQ)), and Weighted Random Early Detection (WRED)

More...

Egress Features
1. WCCP Redirect
2. NAT Inside-to-Outside
3. Network Based Application Recognition (NBAR)
4. BGP Policy Accounting
5. Output QoS Classification
6. Output ACL check
7. Output Flexible Packet Matching (FPM)
8. DoS Tracker
9. Output Stateful Packet Inspection (IOS FW)
10. TCP Intercept
11. Output QoS Marking
12. Output Policing (CAR)
13. Output MAC/Precedence Accounting
14. IPsec Encryption
15. Egress NetFlow
16. Egress Flexible NetFlow
17. Egress RITE
18. Output Queuing (CBWFQ, LLQ, WRED)

Ingress Features
1. IP Traffic Export (RITE)
2. QoS Policy Propagation through BGP (QPPB)
3. Ingress Flexible NetFlow
4. Network Based Application Recognition (NBAR)
5. Input QoS Classification
6. Ingress NetFlow
7. IOS IPS Inspection
8. Input Stateful Packet Inspection (IOS FW)
9. Input ACL
10. Input Flexible Packet Matching (FPM)
11. IPsec Decryption (if encrypted)
12. Unicast RPF check
13. Input QoS Marking
14. Input Policing (CAR)
15. Input MAC/Precedence Accounting
16. NAT Outside-to-Inside
17. Policy Routing

More...

“不要一辈子靠技术生存”，这样的日子我算是开窍了。不过我仍要转过来，让一些痴迷技术、唯技术的朋友们看看。但还是不要浮躁，因人而异因人而异。

More...

CHARIOT产生并模拟真实的流量，采用End to End的方法测试网络设备或网络系统在真实环境中的性能。能够广泛应用在交换机、路由器建立的有线网络以及无线网络，甚至是VOIP等高新技术中，测量这些网络各个方面的功能和性能。

它可提供端到端、多操作系统、多协议测试、多应用模拟测试，应用范围包括有线网、无线网、广域网及各种网络设备。可以进行网络故障定位、用户投诉分析、系统评估、网络优化等，能从用户角度测试网络或网络参数(吞吐量、反应时间、延时、抖动、丢包等)。

以下用实例说明一下chariot的使用：

运行平台: PCA：Windows XP     PCB：Windows XP （虚拟机上安装）

注：Chariot支持多操作系统，比如XP/2000/20003等，其客户端软件Endpoint甚至能够在Linux等平台运行。

基本组成：包括CHARIOT控制台和Endpoint。CHARIOT控制台主要负责监视和统计工作，Endpoint负责流量测试工作，实际操作时Endpoint执行CHARIOT控制台发布的脚本命令，从而完成需要的测试(具体的工作流程图见图1)。

图1

More...

我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。

VACL很少用到，在配置时要注意以下几点：

1. 最后一条隐藏规则是deny ip any any，与ACL相同。
2. VACL没有inbound和outbound之分，区别于ACL。
3. 若ACL列表中是permit，而VACL中为drop，则数据流执行drop。
4. VACL规则应用在NAT之前。
5. 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。
6. VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。

   我们常说的VLAN之间的访问控制，它的实现方式是将ACL直接应用到VLAN的虚端口上，与应用到物理端口的ACL实现方式是一样的。而VLAN访问控制（VACL），也称为VLAN访问映射表，它的实现方式与前者完全不同。它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。

   VACL很少用到，在配置时要注意以下几点：

   1. 最后一条隐藏规则是deny ip any any，与ACL相同。
   2. VACL没有inbound和outbound之分，区别于ACL。
   3. 若ACL列表中是permit，而VACL中为drop，则数据流执行drop。
   4. VACL规则应用在NAT之前。
   5. 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。
   6. VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。

More...

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。
尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

pVLAN 的3种port：
isolated，community ，promiscuous。

pVLAN 的3种子VLAN ：
primary VLAN ， isolated VLAN(second vlan)， community VLAN(second vlan)。

pVLAN通信范围：
primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信.
community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。 （每个pVLAN可以有多个community VLAN）
isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信，只可以与promisuous端口通信。  （每个pVLAN中只能有一个isolated VLAN）

pVLAN限制：
pVLAN要求使用VTPv1或VTPv2。
pVLAN必须工作于Transparent模式。
禁止将第3层VLAN接口配置为辅助VLAN。
EtherChannel或SPAN目标端口不支持pVLAN。

More...