思科主要协议（CISCO Protocols）

msw_smith

网络安全技术之一：L2F
L2F：第二层转发协议（L2F: Level 2 Forwarding protocol）

　　第二层转发协议（L2F）是一种用来建立跨越公用结构组织（如因特网）的安全隧道，为企业家庭通路连接一个 ISP POP 的协议。这个隧道建立了一个用户与企业客户网路间的虚拟点对点连接。

　　第二层转发协议（L2F）允许链路层协议隧道技术。使用这样的隧道，使得分离原始拨号服务器位置即拨号协议连接终止的位置与提供的网络访问的位置成为可能。

　　L2F 允许在 L2F 中封装 PPP/SLIP 包。ISP NAS 与家庭通路都需要请求一种常规封装协议，所以可以成功地传输或接收 SLIP/PPP 包。


协议结构

1 1 1 1 1 1 1 1 1 1 1 1 1 16 24 32 bit
F K P S 0 0 0 0 0 0 0 0 C Version Protocol Sequence
Multiplex ID Client ID
Length Offset
Key

Version ― 用于创建数据包的 L2F 软件的主修版本。
Protocol ― 协议字段，规定 L2F 数据包中传送的协议。
Sequence ― 当 L2F 头部的 S 位设置为1时的当前序列号。
Multiplex ID ― 数据包 Multiplex ID 用于识别一个隧道中的特殊链接。
Client ID ― Client ID （CLID）支持解除复用隧道中的终点。
Length ― 整个数据包的长度大小（八位形式），包括头、所有字段以及有效负载。
Offset ― 该字段规定通过 L2F 协议头的字节数，协议头是有效负载数据起始位置。如果 L2F 头部的 F 位设置为1时，就会有该字段出现。
Key ― Key 字段出现在将 K 位设置在 L2F 协议头的情况。这属于认证过程。
Checksum ― 数据包的校验和。Checksum 字段出现在 L2F 协议头中的 C 位设置为1的情况。

msw_smith

网络安全技术之二：TACACS
TACACS：终端访问控制器访问控制系统（TACACS & TACACS+：Terminal Access Controller Access Control System）

　　终端访问控制器访问控制系统（TACACS）通过一个或多个中心服务器为路由器、网络访问控制器以及其它网络处理设备提供了访问控制服务。TACACS 支持独立的认证（Authentication）、授权（Authorization）和计费（Accounting）功能。

　　TACACS 允许客户机拥有自己的用户名和口令，并发送查询指令到 TACACS 认证服务器（又称之为TACACS Daemon 或 TACACSD）。通常情况下，该服务器运行在主机程序上。主机返回一个关于接收/拒绝请求的响应，然后根据响应类型，判断 TIP 是否允许访问。在上述过程中，判断处理采取“公开化（Opened Up）”并且对应的算法和数据取决于 TACACS Daemon 运行的对象。此外 TACACS 扩展协议支持更多类型的认证请求和响应代码。

　　当前 TACACS 具有三种版本，其中第三版 TACACS+ 与前两版不兼容。

msw_smith

数据链路之一：CDP
CDP：思科发现协议（CDP：Cisco Discovery Protocol）

　　思科发现协议 CDP 基本上是用来获取相邻设备的协议地址以及发现这些设备的平台。CDP 也可为路由器的使用提供相关接口信息。CDP 是一种独立媒体协议，运行在所有思科本身制造的设备上，包括路由器、网桥、接入服务器和交换机。

　　SNMP 中结合使用 CDP 管理信息基础 MIB，能使网络管理应用获知设备类型和相邻设备的 SNMP 代理地址，并向这些设备发送 SNMP 查询请求。Cisco 发现协议支持 CISCO-CDP-MIB。

　　CDP 运行在所有的媒体上，从而支持子网访问协议 SNAP，包括局域网、帧中继和异步传输模式 ATM 物理媒体。CDP 只运行于数据链路层，因此，支持不同网络层协议的两个系统彼此相互了解。

　　CDP 配置的每台设备发送周期性信息，如我们所知的广告到组播地址。每台设备至少广告一个地址，在该地址下，它可以接收 SNMP 信息。广告包括生存期，或保持时间等信息，这些信息指出了在取消之前接收设备应该保持 CDP 信息的时间长短。此外每台设备还要注意其它设备发出的周期性 CDP 信息，从中了解相邻设备信息并决定那些设备的媒体接口什么时候增长或降低。

　　CDP 版本2，是目前该协议使用最普遍的版本，它具有更高的智能设备跟踪等性能。支持该性能的报告机制，提供快速差错跟踪功能，有利于缩短停机时间（Downtime）。报告差错信息可以发送到控制台或日志服务器（Logging Server），这些差错信息包括连接端口上不匹配（Unmatching）的本地  VLAN IDs（IEEE 802.1Q）以及连接设备间不匹配的端口双向状态。

msw_smith

数据链路之二：DTP
DTP：思科动态中继协议（DTP：Cisco Dynamic Trunking Protocol）

　　思科动态中继协议 DTP，是 VLAN 组中思科所有协议，主要用于协商两台设备间链路上的中继过程以及中继封装 802.1Q 类型。

　　中继协议有很多不同类型。如果端口被设置为 Trunk 端口，那么该端口便具有自动中继功能，在某些情况下，甚至具有协商端口中继类型的功能。这种与其它设备之间进行的协商中继方法的过程被称之为动态中继技术。

　　首先关注的是，中继电缆（Trunk Cable）终端最好对它们正在中继或它们将中继帧视为正常帧问题达成一致。在信息帧头另外添加标签信息容易导致终端站的混乱，这是因为终端站的驱动栈无法识别该标签信息，从而导致终端系统上锁或失败。为解决这个问题，思科创建了交换协议以实现通信目的。推出的第一版本是 VTP，即 VLAN 中继协议，它与 ISL 共同作用。最新推出的版本，即动态中继协议 DTP 与 802.1Q 共同作用。

　　其次是创建 LANs。交换机要想实现独立配置 VLANs 交换，需要做很多工作并且容易引起较多矛盾，这是因为 VLAN 100 运行在一台交换机上，计费却在另一台上。这很容易破坏机器的 VLAN 安全模式，而故障恢复机制正是为此而设立的。此外也可通过 VTP/DTP 解决该问题。同一管理控制台可以在某台交换机上创建或删除一个 VTP，并使信息自动传播到交换机组上，这种交换机组可能是一个 VTP 域。

msw_smith

网络/路由
EIGRP：增强的内部网关路由选择协议（EIGRP：Enhanced Interior Gateway Routing Protocol）

增强的内部网关路由选择协议 EIGRP 是增强版的 IGRP 协议。IGRP 是思科提供的一种用于 TCP/IP 和 OSI 英特网服务的内部网关路由选择协议。它被视为是一种内部网关协议，而作为域内路由选择的一种外部网关协议，它还没有得到普遍应用。

　　Enhanced IGRP 与其它路由选择协议之间主要区别包括：收敛宽速（Fast Convergence）、支持变长子网掩模（Subnet Mask）、局部更新和多网络层协议。执行 Enhanced IGRP 的路由器存储了所有其相邻路由表，以便于它能快速利用各种选择路径（Alternate Routes）。如果没有合适路径，Enhanced IGRP 查询其邻居以获取所需路径。直到找到合适路径，Enhanced IGRP 查询才会终止，否则一直持续下去。

　　EIGRP 协议对所有的 EIGRP 路由进行任意掩码长度的路由聚合，从而减少路由信息传输，节省带宽。另外 EIGRP 协议可以通过配置，在任意接口的位边界路由器上支持路由聚合。

　　Enhanced IGRP 不作周期性更新。取而代之，当路径度量标准改变时，Enhanced IGRP 只发送局部更新（Partial Updates）信息。局部更新信息的传输自动受到限制，从而使得只有那些需要信息的路由器才会更新。基于以上这两种性能，因此 Enhanced IGRP 损耗的带宽比 IGRP 少得多。

msw_smith

HSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol）

    热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。

　　负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。

　　HSRP 运行在 UDP 上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别。

msw_smith

RGMP：思科路由器端口组管理协议（RGMP：Cisco Router Port Group Management Protocol）

    思科路由器端口组管理协议（RGMP）弥补了 Internet 组管理协议（IGMP：Internet Group Management Protocol）在 Snooping 技术机制上所存在的不足。RGMP 协议作用于组播路由器和交换机之间。通过 RGMP，可以将交换机中转发的组播数据包固定在所需要的路由器中。RGMP 的设计目标是应用于具有多种路由器相连的骨干交换网（Backbone Switched Networks）。

　　IGMP Snooping 技术的局限性主要体现在：该技术只能将组播流量固定在接收机间经过其它交换机直接或间接相连的交换端口，在 IGMP Snooping 技术下，组播流量不能固定在至少与一台组播路由器相连的端口处，从而引起这些端口的组播流量扩散。IGMP Snooping 是机制固有的局限性。基于此，路由器无法报告流量状态，所以交换机只能知道主机请求的组播流量类型，而不知道路由器端口接收的流量类型。

　　RGMP 协议支持将组播流量固定在路由器端口。为高效实现流量固定，要求网络交换机和路由器都必须支持 RGMP 。通过 RGMP，骨干交换机可以知道每个端口需要的组类型，然后组播路由器将该信息传送给交换机。但是路由器只发送 RGMP 信息，而忽视了所接收的 RGMP 信息。当组不再需要接收通信流量时，路由器会发送一个 RGMP 离开信息（Leave Message）。RGMP 协议中网络交换机需要消耗网络端口达到 RGMP 信息并对其进行处理操作。此外，RGMP 中的交换机不允许将接收到的 RGMP 信息转发/扩散到其它网络端口。

　　RGMP 的设计目标是与支持分配树 Join/Prune 的组播路由选择协议相结合使用。其典型协议为 PIM-SM。RGMP 协议只规定了 IP v4 组播路由选择操作，而不包括 IP v6。