Table of Contents
- 1. VLAN技术原理与配置
- 2. GVRP与链路聚合
- 3. STP生成树协议
- 4. VRRP原理与基本配置
- 5. ACL访问控制列表
- 6. NAT网络地址转换
- 7. RIP路由协议
- 8. OSPF路由协议
- 9. OSPF高级设置
- 10. BGP路由协议
- 11. BGP高级配置
- 12. Qos服务访问质量
- 13. Qos高级配置
- 14. IPSec VPN协议
- 15. 交换机安全
1 VLAN技术原理与配置
1.1 华为模拟器(eNSP)的安装
eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化的网络设备仿真平台,主要对企业网路由器、交换机、WLAN等设备进行软件仿真,完美呈现真实设备部署实景,支持大型网络模拟,让你有机会在没有真实设备的情况下也能够开展实验测试,学习网络技术。
软件依赖
名称 | 版本 |
---|---|
WinPcap | 4.1.3 |
Wireshark | 2.6.6 |
VirtualBox | 4.2.X-5.2.X |
1.2 华为模拟器的使用
1.2.1 一个基本的技巧
在每次配置前,都要先执行下列的命令。这条命令的作用是禁止监控终端的输出信息。
<Huawei>undo terminal monitor
部分国产网络设备的产品,支持使用中文进行显示。启用中文模式的命令如下
<Huawei>language-mode Chinese
1.3 华为交换机的vlan
配置Access口
[Huawei]vlan 2 //创建vlan 2 [Huawei-Ethernet0/0/2]port link-type access //把2口配置为Access口 [Huawei-Ethernet0/0/2]port default vlan 2 //指定2口的缺省vlan
配置Trunk口
[Huawei-Ethernet0/0/2]port link-type trunk //指定2口为Trunk口 [Huawei-Ethernet0/0/2]port trunk pvid vlan 2 //指定2口的缺省vlan [Huawei-Ethernet0/0/2]port trunk allow-pass vlan 1 to 2 //指定2口允许vlan1和vlan2通过,默认情况下,只允许vlan1通过
配置Hybrid口
[Huawei-Ethernet0/0/2]port link-type hybrid //指定2口为hybrid口 [Huawei-Ethernet0/0/2]port hybrid pvid vlan 2 //指定2口的缺省vlan [Huawei-Ethernet0/0/2]port hybrid untagged vlan 1 //指定vlan1可以通过,通过时无标签 [Huawei-Ethernet0/0/2]port hybrid tagged vlan 2 //指定vlan2可以通过,通过时有标签
清除接口的配置
[Huawei]clear config int e0/0/2 //清除2口的所有配置,还原到默认状态。注意,此时接口是shutdown的
同时创建多个vlan的命令
[Huawei]vlan batch 3 5 7 to 9
上述命令同时创建了vlan 3 5 7 8 9 共5个vlan
同时把多个接口加入到一个vlan的案例
[Huawei]vlan 3 [Huawei]port-group 2 [Huawei-port-group-2]group-member g0/0/1 to g0/0/10 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 3
创建永久端口组
[Huawei]port-group caiwu //创建永久端口组,名为caiwu [Huawei-port-group-caiwu]group-member e0/0/1 to e0/0/3 //把1-3口加入到永久端口组caiwu中
创建临时端口组
[Huawei]port-group group-member e0/0/4 to e0/0/5 //创建临时端口组
1.4 交换机的接口类型
默认情况下,所有接口都在vlan1,都是hybrid接口,可以使用命令disp port vlan查看到这一点。接口类型共3种
- Access口
- Trunk口
- Hybrid口
1.4.1 Access口
思考题:在h3c设备中,怎样指定Access口的缺省vlan,它和华为的命令一样吗?
1.4.2 Trunk口
思考题:
- 在思科、华三和华为的产品中,trunk口默认允许哪些vlan通过?
- 在上述三家厂商的设备中,都什么什么命令指定缺省vlan?
1.4.3 Hibrid口
它可以允许部分vlan不带标签通过,也允许部分vlan带标签通过
2 GVRP与链路聚合
2.1 GVRP
GVRP:通用vlan注册协议,要求交换机之间互相级连(不能用于堆叠模式),用于快速完成vlan的配置
重要的前提:交换机之间必须是Trunk口。
配置:既要全局启用,也要在接口模式下启用。
静态vlan:指的是在本机设备上手工配置的VLAN
动态vlan:指的是通过GVRP协议学习而创建的VLAN
动态注册:接口自动加入某个vlan
动态注销:接口自动离开某个vlan(通常vlan也会动态的消失)
三种注册方式
- Normal模式:
- 这是默认的模式
- 允许动态注册
- 允许动态注销
- 允许传播静态vlan
- 允许传播动态vlan
- Fixed模式:
- 不允许动态注册
- 不允许动态注销
- 允许传播静态vlan
- 不允许传播动态vlan
- Forbidden模式:
- 不允许动态注册
- 不允许动态注销
- 不允许传播静态vlan
- 不允许传播动态vlan
- 只允许传播vlan 1
GVRP的案例
<HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] gvrp [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] port link-type trunk [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan all [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] gvrp [SwitchA-GigabitEthernet0/0/1] gvrp registration normal [SwitchA-GigabitEthernet0/0/1] quit
查看gvrp状态
<HUAWEI>display gvrp status
2.2 链路聚合
以太网链路聚合Eth-Trunk简称链路聚合,它通过将多条以太网物理链路捆绑在一起成为一条逻辑链路,从而实现增加链路带宽的目的。同时,这些捆绑在一起的链路通过相互间的动态备份,可以有效地提高链路的可靠性。
三个优势
- 增加带宽
链路聚合接口的最大带宽可以达到各成员接口带宽之和。 - 提高可靠性
当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,从而提高链路聚合接口的可靠性。 - 负载分担
在一个链路聚合组内,可以实现在各成员活动链路上的负载分担
二层聚合的案例
<HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] interface eth-trunk 1 [SwitchA-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/3 [SwitchA-Eth-Trunk1] quit
三层聚合的案例
[R1]int Eth-Trunk 1 [R1-Eth-Trunk2]undo portswitch [R1-Eth-Trunk2]ip add 192.168.1.254 24 [R1-Eth-Trunk2]undo shut [R1-Eth-Trunk2]int g0/0/1 [R1-GigabitEthernet0/0/1]eth-trunk 1
查看链路聚合
<R1>disp eth-trunk <R1>disp int Eth-Trunk 1
3 STP生成树协议
3.1 基本概念
网桥:bridge
根网桥:root bridge RB
根端口:root port RP
指定端口:designated port DP
预备阻塞端口:alternate port AP
3.2 stp概述
stp,生成树协议。目的是提高链路层的可靠性。几乎是局域网中最重要的一个协议。
原因
没有stp,会形成广播风暴
没有stp,会导致mac地址表震荡
基本作用
逻辑上把闭合的环形改造成无环的树型
物理上起到备份链路的作用。
原理
使用BPDU(桥协议数据单元)相互传递信息,根据特定的算法,来阻塞相应的接口,最终形成无环的拓扑。
算法
- 选举根网桥
选举的依据是看网桥ID,网桥ID小的成为根网桥。
网桥ID由两部分组成:网桥优先级和MAC地址。优先级默认是32768,桥mac地址可以使用disp ver 查看到。 - 选举根端口
根端口只存在于非根网桥上而且非根网桥上只有一个根端口。
根端口是负责向根网桥传输数据的端口。
选举办法:
首先比较根路径成本,成本小的成为根端口。根路径成本是指到达根网桥的成本,它与带宽成反比。
如果根路径成本相同,则比较直连的对端网桥的网桥ID。
如果仍然相同,最后比较端口ID。端口ID由优先级和端口编号组成。端口的优先级默认是128,端口编号并不是端口号,但可以粗略的以端口号进行比较。 - 选举指定端口
在每个直连的网段上,要选出一个指定端口
根网桥上的所有端口,都是指定端口
非根网桥上的选举方法如下:
比较根路径成本,较低的当选。
如果根路径成本相同,则比较所在的交换机的网桥ID
如果仍然相同,则端口ID较小的当选为指定端口。
BPDU
桥协议数据单元
在生成树计算中,使用两种BPDU
配置BPDU和拓扑变量BPDU(TCN BPDU)
历史
stp:也称生成树协议,遵守802.1d标准,所有vlan共用一个生成树,收敛速度较慢。端口被阻塞后,会导致vlan中断,且端口处于闲置浪费状态。
rstp:快速生成树协议,遵守802.1w标准,所有vlan共用一个生成树,收敛速度显著加快。端口被阻塞后,会导致vlan中断,且端口处于闲置浪费状态。
pvst:思科的私有协议,每个vlan一个生成树。但它不能兼容stp和rstp,不能相互操作
pvst+:思科的私有协议,每个vlan一个生成树。可以兼容stp和rstp,可以相互操作,优点:支持数据的负载分担且避免了端口处于闲置浪费状态。缺点:如果vlan太多,会计算出大量的生成树,导致设备的性能急剧下降。
mstp:多生成树协议,遵守802.1s协议。得到了包括思科在内的广泛支持。优点是可以用多个vlan对应一个生成树。显著地降低了设备cpu的负载
3.3 mstp的概念
MSTP:
多生成树协议,被各个厂商广泛支持。
MSTP的特点:
- 把一个交换网络划分为多个域,每个域可以有多个生成树,彼此互不干扰。
- 通过VLAN映射表,把VLAN和生成树联系起来。通过实例的概念,可以把多个VLAN绑定到一个实例
MSTP的端口角色
- 根端口 root port
- 指定端口 designated port
- 替代端口 alternate port
- 备份端口 backup port
MSTP的端口状态
- discarding 既不转发用户流量,也不学习mac地址
- learning 不转发用户流量,但是学习mac地址
- forwarding 既转发用户流量,也学习mac地址
概念:
- mst域(region)
域名相同。
VLAN与MSTI间映射关系的配置相同。
MSTP修订级别的配置相同 - msti
多生成树实例:一个域内可以有多个生成树,每个生成树就是一个msti. - cst
公共生成树,把每个区域抽象成为一台交换机,在其中使用stp协议。 - ist
内部生成树,它是一个特殊的MSTI,通常也称为MSTI 0,所有VLAN缺省都映射到MSTI 0上。 - cist
公共和内部生成树。cist=cst+每个区域的ist
3.4 命令:
[SWA]vlan batch 2 to 3 [SWA]port-group group-member e0/0/1 to e0/0/2 [SWA-Ethernet0/0/2]port link-type trunk [SWA-port-group]port trunk allow-pass vlan all [SWA]stp region-configuration [SWA-mst-region]region-name exam [SWA-mst-region]instance 1 vlan 2 [SWA-mst-region]instance 2 vlan 3 [SWA-mst-region]active region-configuration [SWA]stp instance 1 root primary [SWA]stp instance 2 root secondary
配置边缘端口
连接PC机的端口是边缘端口
SW3]port-group group-member g0/0/11 to g0/0/12 [SW3-GigabitEthernet0/0/12]stp edged-port enable
4 VRRP原理与基本配置
5 ACL访问控制列表
5.1 单词
match:匹配
order:顺序,次序
config:配置
auto:自动的
permit:允许
source:来源
traffic:流量,交通
filter:过滤
outbound:出去的方向
basic:基本的
advanced:高级的
range:范围
5.2 ACL概述
ACL:访问控制列表,多用于路由器、三层交换、防火墙等网络设备。
控制:允许还是拒绝
一个ACL是由多条规则组成的。
一个数据包经过设备时,会逐条比较各条规则。如果匹配,则不再向下比对,如果不匹配,则继续向下比对。
非常类似于防火墙,规则的先后顺序非常重要。
基本ACL:编号2000-2999
高级ACL:3000-3999
二层ACL:4000-4999
自定义:5000-5999
5.3 ACL的三个关键点:
- 通配掩码
- 语句顺序
- 方向
5.3.1 通配符掩码
也称为通配掩码,俗称为反掩码。它是由32位二进制数组成的。
0:表示此位要检查,要匹配
1:表示此位可以忽略
示例
- 表示一台主机:1.1.1.1 0.0.0.0的网络,在cisco中可以使用关键字host表示,但是在华为设备中没有此关键字
- 表示一个网络:192.168.10.0 0.0.0.255
- 表示任意网络:0.0.0.0 255.255.255.255,也可以使用关键字any表示
- 允许10.128.0.0/255.224.0.0的数据通过
255=1111 1111===>求反得到0000 0000,即十进制数0
224=1110 0000===>求反得到0001 1111,即十进制数31
结果为permit source 10.128.0.0 0.31.255.255
5.3.2 ACL的语句顺序
指定ACL规则顺序的两种方法
- config
这个是默认设置,这时按配置的先后顺序(即输入的先后顺序) - auto
它采用深度优先的比对顺序:限制越严格越精确,匹配顺序越优先,并不取决于输入的先后顺序。
在auto下,匹配的规则如下:
有vpn的情况下,优先级最高
如果没有vpn,来源ip的范围越小越优先(0的个数越多越优先)
按输入的先后顺序
示例
acl 2000 match-order config rule 5 permit source 192.168.1.1 0.0.0.0 允许192.168.1.1的主机 rule 10 deny source 192.168.1.0 0.0.0.255 拒绝192.168.1.0的网络
5.3.3 方向
方向分为IN和OUT
IN和OUT是站在Router的角度来讲的
数据包从外界进入设备是IN方向
数据包离开设备进入外界是OUT方向
5.4 ACL的匹配顺序
自上而上,逐条遍历
匹配停止,否则继续
注意:
如果数据包的所有规则均不匹配时,设备默认放行呢,还是拒绝呢?
答案是不同模块处理不一样。如果是转发模块,则转发数据包;如果是telnet模块,则不允许;如果是路由过滤,不允许路由通过。
而traffic-filter默认是放行的
5.5 练习
一台PC和一台路由进行连接,PC的ip是192.168.10.1/24,路由口的ip是192.168.10.254/24。
要求配置ACL实现禁止192.168.10.1的通信,如果换成192.168.10.2呢?
<Huawei>undo terminal monitor Info: Current terminal monitor is off. <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.10.254 24 [Huawei-GigabitEthernet0/0/0]quit [Huawei]acl 2000 [Huawei-acl-basic-2000]rule deny source 192.168.10.1 0 [Huawei-acl-basic-2000]quit [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
命名ACL示例
[Huawei]acl name test basic [Huawei-acl-basic-test]rule deny source 192.168.10.0 0.0.0.255 [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl name test
高级ACL示例
[Huawei]acl 3001 [Huawei-acl-adv-3001]rule deny icmp source 192.168.10.1 0 destination 192.168.10.254 0 [Huawei-acl-adv-3001]quit [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
相对时间周期示例
[Huawei]time-range time1 08:30 to 12:20 working-day 周一到周五的08:30-12:20 [Huawei]time-range time2 08:30 to 12:20 off-day 周六到周日的08:30-12:20 [Huawei]time-range time2 08:30 to 12:20 3 周三的08:30-12:20 [Huawei]time-range time2 08:30 to 12:20 daily 每天的08:30-12:20
绝对的时间周期示例
[Huawei]time-range time3 from 08:20 2019/01/01 to 08:20 2019/12/31
基于时间周期的ACL示例
[Huawei]acl 3005 [Huawei-acl-adv-3500]rule permit tcp source 192.168.10.1 0 destination 192.16 [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3005 8.2.1 0 destination-port eq 21 time-range time1
5.6 补充
在华为的设备中,一个接口只能应用两个ACL,出接口和入接口各有一个。而华三的接口支持高达32个ACL。
在华为的设备中,配置基于MAC的ACL时,默认的掩码是ffff-ffff-ffff,所以掩码0000-000-000不可省略。
6 NAT网络地址转换
6.1 单词
static:静态地
global:全局地
inside:内部地
protocol:协议
6.2 概述
6.2.1 私网IP
任何电脑都可以免费使用,允许多台电脑使用同一个IP,只要它们不在同一网络内就可以。私网IP在互联网上不能路由。
使用私网IP是为了缓解ip地址不够用的情况
- A类:10.0.0.0-10.255.255.255,简写为10.0.0.0/8
- B类:172.16.0.0-172.31.255.255,简写为172.16.0.0/12
- C类:192.168.0.0-192.168.255.255,简写为192.168.0.0/16
6.2.2 应用场景
私网IP想要上网,必须使用NAT技术。
nat多部署在网关设备上,在中小型企业里广泛的应用。
6.2.3 分类
- 静态NAT
- 动态NAT
- Napt
- Easy IP
- NAT服务器
6.3 静态NAT
一对一的固定不变的映射,可用于带动局域网接入互联网
int g0/0/0 nat static global 200.1.1.1 inside 192.168.1.1 disp nat static
6.4 动态NAT
不存在一对一的映射关系,多用于带动局域网接入互联网
acl 2000 rule permit source 192.168.10.0 0.0.0.255 nat address-group 1 200.10.10.1 200.10.10.200 int g0/0/0 nat outbound 2000 address-group 1 no-pat disp nat outbound disp nat address-group 1
6.5 NAPT
Netowrk And Port Translation:网络和端口转换
把内网的多个ip转换到外网同一个ip的不同端口
也是用来带动局域网接入互联网,适合外部只有一个公网ip的情况
acl 2001 rule permit source 192.168.10.0 0.0.0.255 nat address-group 2 200.10.10.10 200.10.10.10 注意:地址池里只有一个ip地址,这个ip不一定是网关的外网口的ip int g0/0/0 nat outbound 2001 address-group 2 注意:这里没有no-pat disp nat outbound disp nat address-group 2
6.6 Easy IP
把多个内网IP映射到网关外网接口上
不必配置地址池
特别适合外网接口是动态IP的情况
acl 2002 rule permit source 192.168.10.0 0.0.0.255 int g0/0/0 nat outbound 2002 disp nat outbound
6.7 Nat Server
使外网的用户可以访问到内网的服务器。
用途:把内网的服务器发布到互联网上
int g0/0/0 nat server protocol tcp global 200.10.10.100 www inside 192.168.10.1 8080 disp nat server
7 RIP路由协议
7.1 单词
split:分割
version:版本
horizon:水平地
reverse:反转,逆转
7.2 简述
自治系统内部的路由协议:rip ospf igp is-is-is
自治系统内部的路由协议:bgp
rip:udp 520号端口
rip中,水平分割是默认启用的,如果以配置了毒性逆转,则只有毒性逆转生效。
7.3 命令
配置静态路由
[Huawei]ip route-static 1.0.0.0 8 2.0.0.1
配置默认路由
[Huawei]ip route-static 0.0.0.0 0.0.0.0 3.0.0.1
RIP相关命令
[Huawei]rip [Huawei-rip-1]version 2 [Huawei-rip-1]network 1.0.0.0 [Huawei-rip-1]network 2.0.0.0
查看路由表:
<Huawei>disp ip routing-table
8 OSPF路由协议
broadcast:广播
current:当前的
configuration:配置
ospf:
开放最短路径优先,它属于链路状态路由协议
度量值:cost,它的值等于参考带宽除以实际带宽。可以在系统视图下,使用bandwidth-reference设置参考带宽。
在ospf中,一个接口的cost值是按照接口的出方向依次累加的,如每过一个100M就加1.
特点:
收敛快
适应大型网络
原理:
通过周期性地发送设备的链路状态(而不是路由表)和邻居设备交流学习,进而掌握全网的拓扑,生成自己的路由表。
ospf的报文封闭在ip中,协议号是89.
ospf的报文共有5种:hello报文、数据库描述报文(DD报文)、链路状态请求报文(LSR报文)、链路状态更新报文(LSU报文)和链路状态的确认报文(LSACK报文)
routerid:
在ospf中,每个设备都要有唯一的一个routerid.可以使用ospf 1 router-id 1.1.1.1来指定,也可以自动选择。
ospf的7种状态:禁用、初始、双向、准启动、交换、加载、完全邻接
DR:指定路由器。它的作用在于有效地减少了邻接关系。
DR是选举出来的,优先级更高的设备成为DR的可能性最大。如果优先级相同,routerid大的成为DR
DR是不能抢占的,如果已经存在DR,即使有优先级更高的设备加入也不会成为DR。
划分区域是为了优化性能,为了更好地适应大型网络的要求。
路由器的类型:
区域内的路由器
区域边界路由器(ABR)
自治系统边界路由器(ASBR)
骨干路由器(Bakbone)
网络类型有4种:
点到点的网络
点到多点的网络
广播型多路访问
非广播型多路访问
用到的命令:
[Huawei]ospf 1 router-id 2.2.2.2
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]
查看路由表:
[Huawei-ospf-1-area-0.0.0.0]disp ip routing-table protocol ospf
云的使用:
1.必须配置端口映射
2.路由器的各个端口必须配置为同一网段的ip地址
多区域的配置:
和单区域类似
引入直连路由:
[Huawei]ospf 1 router-id 1.1.1.1
[Huawei-ospf-1]import-route direct
9 OSPF高级设置
stub:末梢
total:完全地
ospf的特殊区域:
所有的特殊区域都是为了进一步优化网络传输。
包含有stub、total sub和nssa三个特殊区域
stub:
末梢区域
允许lsa1 lsa2和lsa3在本区域传输,不允许lsa4 lsa5 在本区域传输
不允许存在asbr
命令:
[RTD]ospf 1 router-id 4.4.4.4 启动ospf进程并宣告自己的router-id是4.4.4.4
[RTD-ospf-1]area 2 配置area 2
[RTD-ospf-1-area-0.0.0.2]stub 宣告area 2是末梢区域
total stub:
完全末梢区域
允许lsa1 lsa2在本区域传输,不允许lsa3 lsa4 lsa5在本区域传输
但是,它允许宣告默认路由的lsa3在本区域传输。
不允许存在asbr
命令:
[RTD]ospf 1 router-id 4.4.4.4
[RTD-ospf-1]area 2
[RTD-ospf-1-area-0.0.0.2]stub no-summary
nssa:
非纯末梢
nssa是stub的一种变形,它允许存在ASBR
允许lsa1 lsa2 lsa3 lsa7在本区域传输
[RTC]ospf 1 router-id 3.3.3.3
[RTC-ospf-1]area 2
[RTC-ospf-1-area-0.0.0.2]nssa default-route-advertise //default-route-advertise的意思是允许默认路由的通告,此参数只能应用在ABR上。
路由聚合:
作用:把多个子网聚合成为一个超网
分类:有两种。一种是在ABR上聚合,另一种是在ASBR上聚合
[RTB-ospf-1-area-0.0.0.1]abr-summary 192.168.0.0 255.255.252.0 这条命令是在ABR路由器上运行
注意:
在OSPF区域视图下使用
此命令用于在ABR上配置一条聚合路由
[RTB-ospf-1]asbr-summary 192.168.0.0 255.255.252.0 这条命令是在ASBR路由器上运行的
在OSPF视图下使用
此命令用于在ASBR上配置一条聚合路由
使用虚链路的两种原因:
一是因为骨干区域被分割,二是因为非骨干区域无法和骨干区域保持连通
注意:虚链路的配置必须在ABR上完成
命令:
[RTB-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2 2.2.2.2是对端设备的router-id
引入外部路由:
外部指的是自治系统以外
使用的命令是import-route
命令:
[RTA-ospf-1] import-route rip type 2 cost 50 引入外部的rip,类型是E2类型,cost值是50。作用是把rip宣告到ospf中。
RTA-ospf-1] import-route direc 引入外部直连的路由,作用是把直连路由宣告到ospf中
10 BGP路由协议
BGP:边界网关路由协议
属于距离矢量路由协议,用于在不同自治系统(AS)之间传递路由信息
原来的rip和ospf都是在自治系统(AS)内部的路由协议
使用TCP协议179号端口
IBGP:内部BGP,邻居设备和自己处于同一个自治系统(AS)之内
EBGP:外部BGP,邻居设备和自己处于不同的自治系统(AS)之内
什么时候使用BGP:和外界有多个自治系统(AS)进行通信时需要使用BGP
BGP的工作机制:和其它路由协议一样,不断地和邻居设备交流信息、不断地从邻居设备学习,进行产生路由表
BGP Speaker:发言者
注意:
连接一建立,设备会把自己的所有BGP路由通告给邻居设备
以后,只是把新变化的路由通告给邻居设备
设备从EBGP获得的信息会通告给所有的邻居设备,既包括IBGP,也包括EBGP
设备从IBGP获得的信息不会向相邻的IBGP通告,只会向相邻的EBGP通告
五种报文:
open:用于建立邻居设备之间的连接关系
keepalive:周期性地发送,用于保持连接
update:携带的是路由的更新信息
notification:检测到错误信息后,向对等体发送此消息,bgp连接马上被关闭
router-refresh:要求对等体重新发送路由信息。
六种状态:
idle:空闲
connect:连接
active:活跃
opensent:open报文已发送
openfirm:open报文已确认
established:连接已建立
在Established状态下,BGP可以和对等体交换Update、Keepalive、Route-refresh报文和Notification报文。
如果收到正确的Update或Keepalive报文,那么BGP就认为对端处于正常运行状态,将保持BGP连接。
如果收到错误的Update或Keepalive报文,那么BGP发送Notification报文通知对端,并转至Idle状态。
Route-refresh报文不会改变BGP状态。
如果收到Notification报文,那么BGP转至Idle状态。
如果收到TCP拆除连接通知,那么BGP断开连接,转至Idle状态。
BGP的路由属性:
bgp协议携带有丰富的路由属性,目前共有16种路由属性。
1.as-path属性:ASPath属性按矢量顺序记录了某条路由从本地到目的地址所要经过的所有AS编号。在接收路由时,设备如果发现ASPath列表中有本AS号,则不接收该路由,从而避免了AS间的路由环路。
2.next-hop属性:
下一跳属性,NextHop属性记录了路由的下一跳信息。
3.origin属性:
origin是起点、起源的意思
Origin属性用来定义路径信息的来源,标记一条路由是怎么成为BGP路由的。origin有三个属性:IGP EGP Incomplete。其中IGP的优先级最高。
4.local-preference属性:
本地优先属性
LocalPref属性表明路由器的BGP优先级,用于判断流量离开AS时的最佳路由。当BGP的设备通过不同的IBGP对等体得到目的地址相同但下一跳不同的多条路由时,将优先选择LocalPref属性值较高的路由。LocalPref属性仅在IBGP对等体之间有效,不通告给其他AS。默认值为100。
5.med属性:
MED(Multi-Exit Discriminator)属性用于判断流量进入AS时的最佳路由,当一个运行BGP的设备通过不同的EBGP对等体得到目的地址相同但下一跳不同的多条路由时,在其它条件相同的情况下,将优先选择MED值较小者作为最佳路由。默认值为0。
结论:
BGP协议根据这些丰富的路由属性,必定可以选出唯一的一条最佳路由。
配置bgp的命令:
[Huawei]bgp 100 启动bgp协议,并宣告AS的编号为100
[Huawei-bgp]router-id 1.1.1.1 为设备配置router-id,注意router-id必须是唯一的。
[Huawei-bgp]peer 2.2.2.2 as-number 100 指定对等体,其中的2.2.2.2是对等体接口的ip
[Huawei-bgp]ipv4-family unicast 进入到基于ipv4的单播地址族视图
[Huawei-bgp-af-ipv4]network 192.168.10.0 24 宣告本地网络
[Huawei-bgp-af-ipv4]peer 2.2.2.2 enable 允许设备和对等体2.2.2.2相互交流。注意,本命令默认是允许的。
[Huawei]disp ip routing-table protocol bgp
[Huawei]disp bgp routing-table 上述两条命令都可以用来查看路由表
11 BGP高级配置
1.在bgp中引入其它路由协议
可以将外部的路由信息引入(import)到bgp路由表中
可以引入直接路由
可以引入静态路由(默认路由)
可以引入rip
可以引入ospf(注意加上进程号)
中以引入其它路由(如is-is)
引入的外部路由其origin属性为incomplete,具有最低的优先级(orgin属性中igb>egp>incomplete)
命令:import router或default-route imported
示例:
import router ospf 1 引入ospf,注意不可省略1
import direc 引入直连路由
default-route imported 引入默认路由
注意:要在bgp视图下执行此命令
2.对等体组
peer:对等体
对等体组:一组具有相同更新策略的对等体。
作用:
把多个对等体加入到一个对等体组中。只需要对这个组配置一遍即可。可见其作用是简化了配置。
分类:IBGP对等体组和EBGP对等体组
注意事项:
1.如果对单个对等体和对等体组同时配置了相同的功能,则单个对等体优先生效
2.如果使用loopback接口建立bgp连接,则两端都要使用peer connect-interface
3.如果在ebgp之间使用loopback接口建立连接,则必须配置hop-count项,否则连接失败
命令:
group group1 internal 创建一个名为group1的ibgp对等体组
group group2 external 创建一个名为group2的ebgp对等体组
peer group1 as-number 1000 指定对等体组group1的as-number为1000,如果是IBGP,省略此命令
peer group2 as-number 2000 指定对等体组group2的as-number为2000,如果是EBGP,不可省略此命令
peer 192.168.10.2 group group1把对等体192.168.10.2加入名为group1的对等体组
peer 192.168.100.100 group group2把对等体192.168.100.100加入名为group2的对等体组
peer group1 connect-interface loopback0 ip-address
peer group2 connect-interface loopback1 ip-address 指定连接对等体组的接口类型,是可选命令
peer group2 ebgp-max-hop 3,指定连接名为group2的对等体时的最大跳数为3
示例:
bgp 2000
router-id 2.2.2.2
peer 1.1.1.1 as-number 1000
group group1 internal
peer 2.2.2.3 group group1
peer 3.3.3.4 group group1
ipv4-family unicast
network 1.0.0.0
network 2.0.0.0
network 3.0.0.0
peer 1.1.1.1 enable
peer group1 enable
3.IBGP的路由反射器
路由反射器:route reflectt,简称为RR,是一种优化性能 的方法,通常应用在IBGP中。一个路由反射器就是一台运行bgp协议的路由器。
作用:默认情况下,要求使用全连接,这将导致bgp连接数过多,bgp数据包较多。为减少连接数,可以使用路由反射器。
注意:在使用路由反射器时,要求所有客户端都只能和路由反射器建立对等体,禁止客户端和客户端直接建立对等体。另外,在同一个AS中,还允许建立多个路由反射器。
命令:
peer 192.168.10.1 reflect-client 指定对等体192.168.10.1是本机的路由反射器客户端。其实说明正在配置的是一个路由反射器,它的一个客户端是192.168.10.1。单词reflect是反射的意思,client是客户端的意思。注意本命令只能应用在路由反射器上,不能应用在客户端上。
12 Qos服务访问质量
1.Qos:
qos:服务质量,是在带宽不足的情况下的一种不得已的手段。
网络拥塞:网络上堵车了,数据包跑不动了。
原因:高速接口入,低速接口出 多个接口入,一个接口出。
解决:根本办法是提高带宽,临时的办法是使用Qos
原理:区分流量,保重重要的流量优先发送
指标:
带宽,也称为吞吐量。单位bit/s
时延:从一端到另一端所需要的时间。300毫秒以上的语音时延不可以接受。
抖动:延时忽大忽小
丢包率:1%可接受
服务模型:
1.尽力而为的模型:这是默认的
2.综合服务模型:提前预留部分资源
3.区分服务的模型:不预留,可指定qos
2.流量的管理
可以粗略的分为简单的管理和基于类的管理两种。
实现:可以分为流量监管(TP)和流量整形(GTS)
名词:
CIR:承诺信息速率,单位kbit/s
PIR:峰值信息速率,单位kbit/s
CBS:承诺突发尺寸,单位字节
PBS:峰值突发尺寸,单位字节
原理:令牌桶
流量整形:
只对出去的流量生效
其基本的原理是削峰平谷
其原本的原理是进行存储转发
其后果会导致延时增大,通常不会丢失数据包
如果数据量很大,超出了设备的缓存,则会导致数据的丢失
流量监管:
既可以对出去的流量进行监管,也可以对进来的流量进行监管
更多的情况是对进来的流量进行监管
其实,流量的监管就是限速,超出的数据被直接丢弃
3.命令
car:承诺访问速率
gts示例:
[Huawei-GigabitEthernet0/0/2]qos gts cir 100000 cbs 2500000 建议突发量2500000不要低于cir 100000的25倍
在g0/0/2口上启用流量整形,限制出去的速度为100000bit/s,突发量为2500000字节
tp示例:
[Huawei-GigabitEthernet0/0/0]qos car inbound cir 100000 cbs 200000 pbs 300000
作用:在g0/0/0口上限制进来的流量为100000kbit/s,突发为200000字节,峰值突发为300000字节
注意:上述命令都要在接口视图下使用
查看:
[Huawei-GigabitEthernet0/0/0]disp qos car statistics interface g0/0/0 inbound
作用:查看g0/0/0口进来流量的TP
13 Qos高级配置
traffic:流量
behavior:行为
car:承诺访问速率
cbs:承诺突发尺寸
pbs:峰值突发尺寸
policy:策略
1.qos的分类:
简单的qos:不能针对不同的数据进行不同的限制
基于类的qos:分类,不同的类应用不同的动作,形成不同的策略。依据策略实现不同的管理。
说明:基于类的qos在华为官方称为MQC。模块化QoS命令行MQC(Modular QoS Command-Line Interface)是指通过将具有某类共同特征的报文划分为一类,并为同一类报文提供相同的服务,也可以对不同类的报文提供不同的服务。
MQC包含三个要素:流分类(traffic classifier)、流行为(traffic behavior)和流策略(traffic policy)
2.配置的步骤:
1.定义流分类:通常使用ACL来分类
2.定义流行为:常见的有禁止、允许、监管、整形、标记、重定向等。
3.定义流策略:其实就是把分类后的流量和相应的动作关联起来
4.应用流策略:把策略应用到接口上才可以生效。
3.配置的命令:
定义流分类:
traffic classifier a
if-match acl 2001 定义了一个分类,名为a
定义流行为:
traffic behavior e
car cir 10000 cbs 150000 pbs 0 定义了一个流行为,名为e,内容是使用流量监管
定义流策略:
traffic policy 1
classifier a behavior e 定义了一个策略,名为1,把类a和行为e关联起来
应用流策略:
int g0/0/0
traffic-policy 1 inbound 把策略1应用到接口g0/0/0口的inbound方向
4.拥塞的避免
通过主动地丢弃报文,来缓解拥塞
常用的方法有:尾丢弃、Wred。前者是传统的方法,后者是加权随机预检测的意思。
注意:通常是在有可能发生拥塞或刚开始有拥塞时使用的方法。
5.拥塞的管理:
已经出现了拥塞,通过调整报文的高度顺序来保证重要数据优先发送的一种机制。
主要是使用各种队列,如:
fifo:先入先出队列
pq:优先级队列
wfq:加权公平队列
…………
6.示例:
命令1配置接口:
int g0/0/0 进入接口
trust dscp 信任dscp。dscp支持从0到63共64个优先级,便于我们精细地控制
命令2配置丢弃模板data和video:
drop-profile data 创建丢弃模板并指定模板的名字为data
wred dscp 指定当前WRED丢弃模板基于DSCP优先级而不是ip的优先级来丢弃数据
dscp 28 low-limit 50 high-limit 70 discard-percentage 30 配置基于DSCP优先级的WRED参数:表示下限是50,下限是70。如果队列小于50,不会丢弃数据,如果队列高于70,全部丢弃。如果队列在50-70之间,则随机地丢弃数据包。discard-percentage 30的意思是最大的丢弃概率为30%
drop-profile video 创建丢弃模板并指定模板的名字为video
wred dscp 指定当前WRED丢弃模板基于DSCP优先级而不是ip的优先级来丢弃数据
dscp 38 low-limit 40 high-limit 60 discard-percentage 20 配置基于DSCP优先级的WRED参数:表示下限是40,下限是60。如果队列小于40,不会丢弃数据,如果队列高于60,全部丢弃。如果队列在60-60之间,则随机地丢弃数据包。discard-percentage 30的意思是最大的丢弃概率为20%
命令3配置队列模板:
qos queue-profile quue-profile1 创建队列模板并指定队列模板的名字是queue-profile1
schedule wfq 3 to 4 指定对队列3和4使用wfq(加权公平队列)进行调度
queue 3 drop-profile video 指定对队列3使用名为video的丢弃模板
queue 4 drop-profile data 指定对队列4使用名为data的丢弃模板
命令4应用到接口
int g0/0/1 进入接口
qos queue-profile queue-profile1 把名为queue-profile1的模板应用到此接口
14 IPSec VPN协议
15 交换机安全
Created: 2019-09-04 周三 14:45