网络基础

网络是网络安全的基础内容，在此记录一些学习中的知识点，以及CCNA，CCNP学习笔记。

网络学习记录

网络硬件

相同设备用交叉线

不同设备用平行线

一般，网线传输数据的时候，是两个线发送，另外两根用来接收。比如，我们按照线序1，2，3，4，5，6，7，8（橙白，橙，绿白，蓝，蓝白，绿，棕白，棕）排序，1，2用来发送数据，3，6用来接收数据。
具体就是1发3收，2发，6收。当相同设备传输信号时，若用平行线，那么发送对应发送，导致对方无法接收数据。二交叉性有能解决这个问题（1 3和2 6互换），所以必须用交叉线。

交换机和hub之间用交叉线。

光纤均为成对连接，两端对调。

单模光纤（传输距离较长）
多模光纤（传输距离较远）

单模光纤只能传输一种模式，衰减小，色散少，适用于远距离传输。多模光纤能传输多种模式，但其传输过程中衰减大，色散大，不利于远距离传输。

二层（数据链路层）设备

NIC网卡
网桥
交换机

网络通信方式

单播(unicast): 是指封包在计算机网络的传输中，目的地址为单一目标的一种传输方式。它是现今网络应用最为广泛，通常所使用的网络协议或服务大多采用单播传输，例如一切基于TCP的协议。
组播(multicast): 也叫多播，多点广播或群播。指把信息同时传递给一组目的地址。它使用策略是最高效的，因为消息在每条网络链路上只需传递一次，而且只有在链路分叉的时候，消息才会被复制。
广播(broadcast):是指封包在计算机网络中传输时，目的地址为网络中所有设备的一种传输方式。实际上，这里所说的“所有设备”也是限定在一个范围之中，称为“广播域”。
任播(broadcast) 是一种网络寻址和路由的策略，使得资料可以根据路由拓朴来决定送到“最近”或“最好”的目的地。

默认情况下，交换机对冲冲突域进行分割

默认情况下，路由器对广播域进行分分割，但也可以对冲突域进行分割。

路由器实际上是一种3层交换机。

路由器为每个接口提供不同的广播域。

单工即数据传输只在一个方向上传输，方向是固定的，不能实现双向通信。比如收音机和广播。

半双工传输方向可以切换，允许数据在两个方向上传输。但是某个时刻，只允许数据在一个方向上传输，可以基本双向通信。

全双工允许数据同时在两个方向传输，发送和接收完全独立，在发送的同时可以接收信号，或者在接收的同时可以发送。它要求发送和接收设备都要有独立的发送和接收能力。

路由和VLAN

静态路由配置

ip route 172.16.3.0 255.255.255.0 192.168.2.4

远程网络；远程网络的子网掩码；下一跳地址

现在企业网络架构：

核心层（高速转发）
汇聚层（策略）
接入层

VLAN划分交换机接口

不同VLAN之间通过三层设备进行通信

VLAN分类

静态VLAN
动态VLAN
语音VLAN

标准ACL应当放到尽量靠近目标的地方

扩展访问控制列表应放到尽量靠近源的地方

CIDR是把几个标准网络合成一个大的网络

VLSM是把一个标准网络分成几个小型网络（子网）

CIDR是子网掩码往左边移了，VLSM是子网掩码往右边移了

CIDR（Classless Inter.Domain Routing 无类别域间路由）

VLSM（Variable Length Subnetwork Mask 可变长子网掩码）

NAT

NAT网络地址转换

作用

节省IP地址
隐藏内部IP
负载均衡
解决地址冲突

NAT所带来的问题

影响路由器转发性能
破坏IP端到端特性
与一些协议不兼容（IPSec等）

NAT的分类

静态
动态
PAT（通过端口号标识不同数据流）端口地址转换/端口多路复用

感兴趣流是VPN的术语，说的是需要进行保护的流量，也就是说需要进入VPN隧道的流量。

风暴抑制

风暴抑制是用于控制广播、未知组播以及未知单播报文，防止这类报文引起广播风暴的安全技术。

风暴抑制包括流量抑制和风暴控制两个子功能：

流量抑制通过配置阈值来限制广播、未知组播未知单播报文的速率。当流量超过阈值时，系统将丢弃多余的流量，阈值范围内的报文可以正常通过，从而将流量限制在合理的范围内。此外，流量抑制还支持对接口出方向的流量进行阻塞。
风暴控制通过阻塞报文或关闭接口来阻断广播、未知组播或未知单播报文的流量。此外，风暴控制还支持通过抑制报文来控制报文的平均速率。当流量超过指定的阈值时，系统会执行对应的风暴控制动作。

流量抑制和风暴控制功能均用于控制广播风暴

流量抑制和风暴控制对比

对比项	流量抑制	风暴控制
流量控制机制	如果配置接口出方向的流量抑制功能，系统将直接阻塞对应报文类型的流量。-其他情况下，系统将丢弃超过阈值的流量，阈值范围内的报文可以正常通过。	- 如果风暴控制的动作是抑制报文，当接口上接收的报文平均速率超过配置的高阈值时，系统将丢弃超额的流量，直至报文平均速率不超过该阈值。- 其他情况下，当流量超过指定的阈值时，系统会阻塞该接口收到的流量或者直接将该接口关闭。
流量检测机制	- 基于芯片进行检测。- 流量超过阈值，流量抑制功能立即生效。	- 基于软件进行检测。- 在检测时间间隔内，报文平均速率超过阈值，风暴控制功能生效。

负载均衡

现在常用的三大开源软件负载均衡器分别是Nginx、HAProxy、LVS。

1、nginx负载均衡的特点：

（1）工作在网络的七层之上，可以针对http应用做一些分流的策略，比如针对域名、目录结构。

（2）Nginx对网络的依赖比较小，理论上能ping通就能进行负载均衡。

（3）Nginx安装和配置比较简单，测试起来比较方便。

（4）也可以承担高的负载压力且稳定，一般能支撑超过1万次的并发。

（5）对后端服务器的健康检查，只支持通过端口检测，不支持通过url来检测。

（6）Nginx对请求的异步处理可以帮助节点服务器减轻负载。

（7）Nginx仅能支持http、https和Email协议，这样就在使用范围较小。

（8）不支持Session的直接保持，但能通过ip_hash来解决，对Big request header的支持不是很好。

（9）支持负载均衡算法：Round-robin（轮循）、Weight-round-robin（加权轮循）、IP-hash（IP哈希）。

（10）Nginx还能做Web服务器即Cache功能。

2、haproxy负载均衡的特点：

（1）支持两种代理模式：TCP（四层）和 HTTP（七层）。

（2）能够补充Nginx的一些缺点比如Session的保持，Cookie的引导等工作。

（3）支持url检测后端的健康状态。

（4）更多负载均衡策略比如：动态加权轮循（Dynamic Round Robin），加权源地址哈希（Weighted Source Hash），加权URL哈希和加权参数哈希（Weighted Parameter Hash）。

（5）单纯从效率上来将HAProxy更会比Nginx有更出色的负载均衡速度。

（6）HAProxy可以对Mysql进行负载均衡，对后端的DB节点进行检测和负载均衡。

（7）支持负载均衡算法：Round-robin（轮循）、Weight-round-robin（加权轮循）、source（源地址保持）、RI（请求URL）、rdp-cookie（根据cookie）

（8）不能做Web服务器即Cache

3、lvs负载均衡的特点：

（1）抗负载能力强，抗负载能力强、性能高、能达到F5硬件的60%；对内存和cpu资源消耗比较低。

（2）工作在网络4层，通过VRRP协议转发（仅作分发之用），具体的流量由linux内核处理，因此没有流量产生。

（3）稳定性、可靠性好，自身有完美的热备方案（如：LVS+Keepalived）。

（4）应用范围比较广，可以对所有应用做负载均衡。

（5）不支持正则处理，不能做动静分离。

（6）支持负载均衡算法：rr（轮循）、wrr（加权轮循）、lc（最小连接）、wlc（权重最小连接）。

（7）配置复杂，对网络依赖比较大，稳定性很高。

4、Nginx、LVS、HAProxy 负载均衡软件使用的业务场景：

（1）网站建设初期，可以选用Nginx/HAProxy作为反向代理负载均衡（或者流量不大都可以不选用负载均衡），因为其配置简单，性能也能满足一般的业务场景。

如果考虑到负载均衡器是有单点问题，可以采用Nginx+Keepalived/HAProxy+Keepalived避免负载均衡器自身的单点问题。

（2）网站并发达到一定程度之后，为了提高稳定性和转发效率，可以使用LVS、毕竟LVS比Nginx/HAProxy要更稳定，转发效率也更高。不过维护LVS对维护人员

的要求也会更高，投入成本也更大。

5、Nginx和HAProxy比较：

Nginx支持七层、用户量最大，稳定性比较可靠。HAProxy支持四层和七层，支持更多的负载均衡算法，支持session保存等。具体选择看使用场景。目前来说

HAProxy由于弥补了一些Nginx的缺点致使其用户量也不断在提升。

6、衡量负载均衡器好坏的几个重要因素：

（1）会话率：单位时间内的处理的请求数

（2）会话并发能力：并发处理能力

（3）数据率：处理数据能力

（4）经过官方测试统计，haproxy 单位时间处理的最大请求数为20000个，可以同时维护40000-50000个并发连接，最大数据处理能力为10Gbps。综合上述，

haproxy是性能优越的负载均衡、反向代理服务器。

2.1 DNS负载均衡这种是属于较早出现的技术，其利用域名解析实现负载均衡，在DNS服务器配置多个A记录，这些A记录对应的服务器构成集群互相减轻服务压力。大型网站总是部分使用DNS解析，作为第一级负载均衡。

2.2 二层负载均衡（MAC）二层负载均衡又叫链路层负载均衡，其对应OSI模型的第二层，基于MAC地址进行服务分发。

2.3 三层负载均衡（IP）三层对应OSI模型的网络层，三层负载均衡提供一个虚拟IP对外提供服务，当请求进入负载均衡器后转发至集群中某个真实IP，这里的虚拟IP可能是一个外网IP，而真实IP可能是内网IP。

2.4 四层负载均衡（TCP） OSI模型的四层主要协议是TCP/UDP，其特点是在IP负载均衡的基础上基于IP及端口号来进行负载均衡。

2.5 七层负载均衡（HTTP）对应OSI模型的应用层, 基于虚拟的URL或其他应用层信息（例如：浏览器类别、语言）的负载均衡。

2.6 混合负载均衡及软件在实际中我们可以混用多种技术。我们最常见的四层和七层负载均衡，如果没有第四层的基础也是做不到七层负载均衡的。

实现四层负载均衡的软件有：F5、LVS、Nginx、HAProxy。

实现七层负载均衡的软件有：HAProxy、Nginx、Apache、MySQL Proxy。

常见的是四层及七层负载均衡，一般四层用LVS，七层用Nginx；

四层负载均衡效率更高、七层负载均衡更灵活。

F5是负载均衡产品的一个品牌，其地位类似于诺基亚在手机品牌中的位置。除了F5以外，Radware、Array、A10、Cisco、深信服和华夏创新都是负载均衡的牌子，因为F5在这类产品中影响最大，所以经常说F5负载均衡。

F5负载均衡是一个硬件负载均衡，而nginx那些是软负载均衡

Nginx还具有动静分离的模式

将动态请求和静态请求分开。

网络监控

SNMP

简单网络管理协议(Simple Network Management Protocol--SNMP）

SNMP管理协议不光能够加强网络管理系统的效能，而且还可以用来对网络中的资源进行管理和实时监控。实际网络中，利用SNMP协议自动帮助管理员收集网络运行状况的方法应用最为广泛。通过这种方法，网络管理员只需要坐在自己的位置上，就可以了解全公司的网络设备的运行情况。

SNMP位于两种网络模型的顶层即应用层，属于应用层协议，在传输层依靠UDP协议进行传输。

SNMP分为管理端和代理端(agent)

SNMP管理站通过UDP协议向SNMP代理发送各种命令，当SNMP代理收到命令后，返回SNMP管理站需要的参数。但是当SNMP代理检测到网络元素异常的时候，也可以主动向SNMP管理站发送消息，通告当前异常状况。

一套完整的SNMP系统主要包括管理信息库（MIB）、管理信息结构（SMI）及SNMP报文协议。

sFlow 是由InMon、HP 和FoundryNetworks 于2001 年联合开发的一种网络监测技术，它采用数据流随机采样技术，可提供完整的第二层到第四层，甚至全网络范围内的流量信息，可以适应超大网络流量(如大于10Gbit/s)环境下的流量分析，让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。

NetFlow是一种网络监测功能，可以收集进入及离开网络界面的IP封包的数量及资讯，最早由思科公司研发，应用在路由器及交换器等产品上。经由分析Netflow收集到的资讯，网络管理人员可以知道封包的来源及目的地，网络服务的种类，以及造成网络拥塞的原因。

一个Netflow系统包括三个主要部分：探测器，采集器，报告系统。探测器是用来监听网络数据的。采集器是用来收集探测器传来的数据的。报告系统是用来从采集器收集到的数据产生易读的报告的。

NetFlow是最广泛使用的流量数据统计标准，由Cisco开发，用于监控和记录进出接口的所有流量。NetFlow分析它收集的流量数据，以提供关于流量和流量的可见性，并跟踪流量从何处来、流向何处以及在任何时候生成的流量。记录的信息可用于使用情况监视、异常检测和其他各种网络管理任务。

NetFlow数据可用于多个网络管理任务，例如：监控：监控您的网络，跟踪进出流量，并确定顶级用户。产能规划：跟踪网络使用情况，以评估未来的带宽需求。安全性分析：检测网络行为的变化以识别网络异常。使用这些数据作为有价值的取证工具来理解和回放安全事件的历史，以便您的安全团队可以从中学习。故障排除：诊断并排除网络减速、带宽占用和流量峰值。使用报告工具快速了解网络难点。 QoS参数验证：确保为每一类服务（CoS）分配适当的带宽，以避免关键CoS的订阅不足。

VPN

SSL VPN,GRE over IPSec VPN,PPTP VPN,PPTP over IPSec VPN,L2TP VPN,L2TP over IPSec VPN,MPLS VPN,EoIP,DVPN作用原理

那么GRE Over IPSec VPN和传统IPSec VPN又有哪些区别呢？

传统经典得IPSec VPN配置兼容性好，可以和绝大多数非Cisco厂商的VPN设备建立IPSec VPN。但是对于复杂的site网络环境没有办法很好的支持。例如：

1、站点间不能学习到对方路由信息。

2、无法做流量管控

3、感兴趣流过多

为了解决这些痛点，Cisco IOS提供了两种解决方案，

1、GRE Over IPSec （推荐在IOS12.4以前的路由器上配置）

2、SVTI（推荐在IOS12.4以后的路由器上配置）

GRE隧道

General Routing Encapsulation，简称GRE，是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、Apple Talk、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel（隧道）。 GRE 是一种将一种类型的数据包装载到另一种类型的数据包中的方式，以便第一个数据包可以穿越它通常无法穿越的网络

两种模式

传输模式
隧道模式

RIP路由协议是一种距离矢量路由协议，最大跳数为15。如果网络直径超过15，设备将无法通信。这种情况下，可以使用GRE技术在两个网络节点之间搭建隧道，隐藏它们之间的跳数，扩大网络的工作范围。

而GRE本身并不支持加密，因而通过GRE隧道传输的流量是不加密的。我们将 IPSec技术与GRE相结合，先建立GRE隧道对报文进行GRE封装，然后再建立IPSec隧道对报文进行加密，这样就可以保证报文传输的完整性和私密性。

PPTP点对点隧道协议（英语：Point to Point Tunneling Protocol）是实现虚拟专用网（VPN）的方式之一。PPTP使用传输控制协议（TCP）创建控制通道来发送控制命令，以及利用通用路由封装（GRE）通道来封装点对点协议（PPP）数据包以发送数据。这个协议最早由微软等厂商主导开发，但因为它的加密方式容易被破解，微软已经不再建议使用这个协议。

L2TP（第二层隧道协议）是英文Layer 2 Tunneling Protocol

PPTP和L2TP的不同点：

1、L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。

2、L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPsec共同使用时可以由IPsec提供隧道验证，不需要在第2层协议上验证隧道。

3、PCVPN定做的登录器支持PPTP和L2TP（IPSEC）密钥功能。

4、PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），帧中继永久虚拟电路（PVCs）、X.25虚拟电路（VCs）或ATM网络上使用。

5、PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。

L2TP是IETF标准协议，意味着各种设备厂商的设备之间用L2TP一般不会有问题；而PPTP是微软出的，有些非微软的设备不一定支持。 L2TP使用AES或者3DES加密（256位密钥），用IPSec协商加密方式，并且有电脑/用户双重认证机制，而PPTP只支持MPPE（最多128位密钥），只用PPP协商加密方式，并只有用户一层认证机制，相对来说L2TP更安全。 L2TP使用的IPSec，绝大多数防火墙都支持，而PPTP使用GRE，有些防火墙可能有问题。 L2TP由于封装了更多安全隧道的信息，所以开销更高，而PPTP开销低，所以相对而言PPTP速度更快。

堆叠和级联

堆叠：可以将多台交换机组成一个单元，从而增大端口密度和提高端口的性能。最大的优点就是提供简化的本地管理，将一组交换机作为一个对象来管理。

级联：可以实现多台交换机之间的互连。

级联的交换机之间可以相距很远（在媒体许可范围内），而一个堆叠单元内的多台交换机之间的距离非常近，一般不超过几米；

级联可通过一根双绞线在任何网络设备厂家的交换机之间，或者交换机与集线器之间完成。而堆叠只有在自己厂家的设备之间，并且该交换机必须具有堆叠功能才可实现。

堆叠后的数台交换机在逻辑上是一个被网管的设备，可以对所有交换机进行统一的配置与管理。而相互级联的交换机在逻辑上是各自独立的，必须依次对其进行配置和管理每台交换机。

交换机堆叠、级联、链路聚合和端口汇聚是网络中用于提高交换机性能和可靠性的一些技术。

交换机堆叠交换机堆叠是指将多个交换机连接在一起，形成一个逻辑上的交换机集群。在交换机堆叠中，多个物理交换机被虚拟化为一个逻辑交换机，可以实现集中管理和控制。
级联交换机级联是指将多个交换机连接在一起，形成一个网络拓扑结构。在交换机级联中，每个交换机都通过一个或多个端口连接到其他交换机，可以实现大规模的网络扩展。
链路聚合链路聚合是指将多个物理链路合并成一个逻辑链路，提高带宽和可靠性。在链路聚合中，多个物理链路被视为一个逻辑链路，可实现负载均衡和链路备份，从而提高网络性能和可靠性。
端口汇聚端口汇聚是一种将多个物理端口合并成一个逻辑端口的技术。在端口汇聚中，多个物理端口被视为一个逻辑端口，可以实现负载均衡和链路备份，从而提高网络性能和可靠性。端口汇聚通常用于连接服务器或存储设备等高性能设备，以提高数据传输速率和可靠性。

交换机堆叠和级联都是用于将多个交换机连接在一起，扩展网络规模和提高性能的技术，它们的主要区别在于：

实现方式不同：交换机堆叠是将多个物理交换机通过堆叠模块或堆叠线缆连接在一起，形成一个逻辑上的交换机集群。而交换机级联是将多个交换机通过物理链路连接在一起，形成一个网络拓扑结构。
管理方式不同：交换机堆叠可以将多个物理交换机虚拟化为一个逻辑交换机，可以通过一个管理IP地址进行集中管理和控制。而交换机级联需要对每个交换机进行单独管理和配置。
扩展能力不同：交换机堆叠可以扩展到数十个交换机，支持更大的网络规模和更高的带宽。而交换机级联的网络规模受限于物理链路的数量和带宽。
可靠性不同：交换机堆叠可以实现交换机间的冗余备份和自动故障转移，提高网络的可靠性。而交换机级联的可靠性相对较低，因为单个链路或交换机出现故障可能会影响整个网络。

总的来说，交换机堆叠和级联都可以用于将多个交换机连接在一起，扩展网络规模和提高性能，但它们的实现方式、管理方式、扩展能力和可靠性略有不同。

链路聚合（Link Aggregation）和端口汇聚（Port Channeling）都是将多个物理链路或物理端口绑定成一个逻辑链路或逻辑端口，以提高数据传输能力和可靠性的技术。

它们的区别在于：

对象不同：链路聚合是将多个物理链路绑定成一个逻辑链路，而端口汇聚是将多个物理端口绑定成一个逻辑端口。
应用场景不同：链路聚合主要应用于数据中心、企业网络等需要高带宽和高可靠性的网络环境，而端口汇聚主要应用于连接高性能服务器或存储设备等需要高带宽和高可靠性的设备。
实现方式不同：链路聚合通常使用标准协议如 LACP（Link Aggregation Control Protocol）或 PAgP（Port Aggregation Protocol）来实现，而端口汇聚通常使用设备厂商自己的协议或技术来实现，如 Cisco 的 EtherChannel、Juniper 的 LAG（Link Aggregation Group）等。
功能不同：链路聚合主要提供负载均衡和冗余备份功能，可以将数据流量分散到多条物理链路上，增加带宽和可靠性；而端口汇聚主要提供带宽聚合和冗余备份功能，可以将多个物理端口合并成一个逻辑端口，增加带宽和可靠性。

总的来说，链路聚合和端口汇聚都是用于提高数据传输能力和可靠性的技术，但它们的应用场景、实现方式、功能略有不同。

其他

SSL/TLS + HTTP = HTTPS

SSL/TLS + IP = SSLVPN

PPPoE（英语：Point-to-Point Protocol Over Ethernet），以太网上的点对点协议，是将点对点协议（PPP）封装在以太网（Ethernet）框架中的一种网络隧道协议。由于协议中集成PPP协议，所以实现出传统以太网不能提供的身份验证、加密以及压缩等功能，也可用于缆线调制解调器（cable modem）和数字用户线路（DSL）等以以太网协议向用户提供接入服务的协议体系。

反向代理：看下面原理图，就一目了然。其实客户端对代理是无感知的，因为客户端不需要任何配置就可以访问，我们只需要将请求发送到反向代理服务器，由反向代理服务器去选择目标服务器获取数据后，在返回给客户端，此时反向代理服务器和目标服务器对外就是一个服务器，暴露的是代理服务器地址，隐藏了真实服务器 IP地址。

正向代理和反向代理的区别，一句话就是：如果我们客户端自己用，就是正向代理。如果是在服务器用，用户无感知，就是反向代理。

正向代理代理客户端，反向代理代理服务器。

反向代理的作用：安全，客户端对Web服务器的访问需要先经过反向代理服务器。这样可以防止外部程序对Web服务器的直接攻击。负载均衡，反向代理服务器可以根据Web服务器的负载情况，动态地把HTTP请求交给不同的Web服务器来处理，前提是要有多个Web服务器。提升Web服务器的IO性能。一个HTTP请求的数据，从客户端传输给服务器，是需要时间的，例如N秒，如果直接传给Web服务器，Web服务器就需要让一个进程阻塞N秒，来接收IO，这样会降低Web服务器的性能。如果使用反向代理服务器，先让反向代理服务器接收完整个HTTP请求，再把请求发给Web服务器，就能提升Web服务器的性能。还有一些静态文件的请求，可以直接交给反向代理来处理，不需要经过Web服务器。

QoS

QoS（服务质量）用于为不同的流量提供不同的优先级，以控制延迟和抖动，并降低丢包率。当网络过载或拥塞时，QoS可以确保关键业务流量的正常传输。

QoS是用于控制网络中的带宽，延迟，抖动和数据包丢失的技术的组合。

影响网络质量的四个主要因素包括：

带宽：网络最熟悉的因素是带宽，它是网络链路上可用容量的度量，即链路的宽度。通常以每秒位数（bps）为单位。
延迟：也称为延迟，延迟处理的是数据包从发送方到接收方所花费的时间。当然，延迟越大，网络“似乎”就越慢。延迟通常以毫秒（ms）为单位。
抖动：这是数据包之间延迟变化的一种度量。例如，如果一个数据包从A点到达B点需要30ms（即延迟），而另一个数据包从同一点A到达B点则需要40ms，则抖动为10ms（即40ms – 30ms）。
丢包：当数据包通过网络“飞行”时，其中一些可能会丢失，即无法到达目的地。

服务模型

Best-Effort service（尽力而为服务模型）
Integrated service（综合服务模型，简称Int-Serv）
Differentiated service（区分服务模型，简称Diff-Serv）

RADIUS 是一种用于在需要认证其链接的网络访问服务器（NAS）和共享认证服务器之间进行认证、授权和记帐信息的文档协议。 RADIUS 服务器负责接收用户的连接请求、认证用户，然后返回客户机所有必要的配置信息以将服务发送到用户。

网络接入服务器（Network Access Server，缩写为NAS）是远程访问接入设备。它位于公用电话网（PSTN/ISDN）与IP网之间，将拨号用户接入IP网；它可以完成远程接入、实现拨号虚拟专网（VPDN）、构建企业内部Intranet等网络应用。

DMZ，是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。

相关策略：

1.内网可以访问外网内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。
2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。在网络中，非军事区(DMZ)是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。

EEM

之前的任何一种网络管理技术，如SNMP，RMON，在检测到事件发生后，并不能解决问题，这些传统的网管技术只有监测功能，却没有解决故障的功能，为了更有效的管理网络，能够在事件发生时，便采用有效的动作来杜绝网络问题，Cisco推出更进一步的网管技术—Embedded Event Manager (EEM)。

一个Policy只能检测一个事件。

一个Policy中可以配置多个action。

AAA是认证（Authentication）、授权（Authorization）和计费（Accounting）的简称，是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务。