网络——了解华为原理及命令配置

Table of Contents

• 1. VLAN技术原理与配置
  • 1.1. 华为模拟器(eNSP)的安装
  • 1.2. 华为模拟器的使用
    • 1.2.1. 一个基本的技巧
  • 1.3. 华为交换机的vlan
  • 1.4. 交换机的接口类型
    • 1.4.1. Access口
    • 1.4.2. Trunk口
    • 1.4.3. Hibrid口
• 2. GVRP与链路聚合
  • 2.1. GVRP
  • 2.2. 链路聚合
• 3. STP生成树协议
  • 3.1. 基本概念
  • 3.2. stp概述
  • 3.3. mstp的概念
  • 3.4. 命令：
• 4. VRRP原理与基本配置
• 5. ACL访问控制列表
  • 5.1. 单词
  • 5.2. ACL概述
  • 5.3. ACL的三个关键点：
    • 5.3.1. 通配符掩码
    • 5.3.2. ACL的语句顺序
    • 5.3.3. 方向
  • 5.4. ACL的匹配顺序
  • 5.5. 练习
  • 5.6. 补充
• 6. NAT网络地址转换
  • 6.1. 单词
  • 6.2. 概述
    • 6.2.1. 私网IP
    • 6.2.2. 应用场景
    • 6.2.3. 分类
  • 6.3. 静态NAT
  • 6.4. 动态NAT
  • 6.5. NAPT
  • 6.6. Easy IP
  • 6.7. Nat Server
• 7. RIP路由协议
  • 7.1. 单词
  • 7.2. 简述
  • 7.3. 命令
• 8. OSPF路由协议
• 9. OSPF高级设置
• 10. BGP路由协议
• 11. BGP高级配置
• 12. Qos服务访问质量
• 13. Qos高级配置
• 14. IPSec VPN协议
• 15. 交换机安全

1 VLAN技术原理与配置

1.1 华为模拟器(eNSP)的安装

eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化的网络设备仿真平台，主要对企业网路由器、交换机、WLAN等设备进行软件仿真，完美呈现真实设备部署实景，支持大型网络模拟，让你有机会在没有真实设备的情况下也能够开展实验测试，学习网络技术。

软件依赖

名称	版本
WinPcap	4.1.3
Wireshark	2.6.6
VirtualBox	4.2.X-5.2.X

1.2 华为模拟器的使用

1.2.1 一个基本的技巧

在每次配置前，都要先执行下列的命令。这条命令的作用是禁止监控终端的输出信息。

<Huawei>undo terminal monitor

部分国产网络设备的产品，支持使用中文进行显示。启用中文模式的命令如下

<Huawei>language-mode Chinese

1.3 华为交换机的vlan

配置Access口

[Huawei]vlan 2  //创建vlan 2
[Huawei-Ethernet0/0/2]port link-type access   //把2口配置为Access口
[Huawei-Ethernet0/0/2]port default vlan  2    //指定2口的缺省vlan

配置Trunk口

[Huawei-Ethernet0/0/2]port link-type trunk	//指定2口为Trunk口
[Huawei-Ethernet0/0/2]port trunk pvid vlan 2	//指定2口的缺省vlan
[Huawei-Ethernet0/0/2]port trunk allow-pass vlan 1 to 2	//指定2口允许vlan1和vlan2通过，默认情况下，只允许vlan1通过

配置Hybrid口

[Huawei-Ethernet0/0/2]port link-type hybrid	//指定2口为hybrid口
[Huawei-Ethernet0/0/2]port hybrid pvid vlan 2	//指定2口的缺省vlan
[Huawei-Ethernet0/0/2]port hybrid untagged vlan 1	//指定vlan1可以通过，通过时无标签
[Huawei-Ethernet0/0/2]port hybrid tagged vlan 2		//指定vlan2可以通过，通过时有标签

清除接口的配置

[Huawei]clear config int e0/0/2     //清除2口的所有配置，还原到默认状态。注意，此时接口是shutdown的

同时创建多个vlan的命令

[Huawei]vlan batch 3 5  7 to 9

上述命令同时创建了vlan 3 5 7 8 9 共5个vlan

同时把多个接口加入到一个vlan的案例

[Huawei]vlan 3
[Huawei]port-group 2
[Huawei-port-group-2]group-member g0/0/1 to g0/0/10
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 3

创建永久端口组

[Huawei]port-group  caiwu	//创建永久端口组，名为caiwu
[Huawei-port-group-caiwu]group-member e0/0/1 to e0/0/3	//把1－3口加入到永久端口组caiwu中

创建临时端口组

[Huawei]port-group group-member e0/0/4 to e0/0/5 	//创建临时端口组

1.4 交换机的接口类型

默认情况下，所有接口都在vlan1，都是hybrid接口，可以使用命令disp port vlan查看到这一点。接口类型共3种

• Access口
• Trunk口
• Hybrid口

1.4.1 Access口

思考题：在h3c设备中，怎样指定Access口的缺省vlan，它和华为的命令一样吗？

1.4.2 Trunk口

思考题：

1. 在思科、华三和华为的产品中，trunk口默认允许哪些vlan通过？
2. 在上述三家厂商的设备中，都什么什么命令指定缺省vlan？

1.4.3 Hibrid口

它可以允许部分vlan不带标签通过，也允许部分vlan带标签通过

2 GVRP与链路聚合

2.1 GVRP

GVRP：通用vlan注册协议，要求交换机之间互相级连（不能用于堆叠模式），用于快速完成vlan的配置
重要的前提：交换机之间必须是Trunk口。

配置：既要全局启用，也要在接口模式下启用。

静态vlan：指的是在本机设备上手工配置的VLAN
动态vlan：指的是通过GVRP协议学习而创建的VLAN
动态注册：接口自动加入某个vlan
动态注销：接口自动离开某个vlan（通常vlan也会动态的消失）

三种注册方式

1. Normal模式：
   • 这是默认的模式
   • 允许动态注册
   • 允许动态注销
   • 允许传播静态vlan
   • 允许传播动态vlan

1. Fixed模式：
   • 不允许动态注册
   • 不允许动态注销
   • 允许传播静态vlan
   • 不允许传播动态vlan

1. Forbidden模式：
   • 不允许动态注册
   • 不允许动态注销
   • 不允许传播静态vlan
   • 不允许传播动态vlan
   • 只允许传播vlan 1

GVRP的案例

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] gvrp

[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan all
[SwitchA-GigabitEthernet0/0/1] quit

[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] gvrp
[SwitchA-GigabitEthernet0/0/1] gvrp registration normal
[SwitchA-GigabitEthernet0/0/1] quit

查看gvrp状态

<HUAWEI>display gvrp status

2.2 链路聚合

以太网链路聚合Eth-Trunk简称链路聚合，它通过将多条以太网物理链路捆绑在一起成为一条逻辑链路，从而实现增加链路带宽的目的。同时，这些捆绑在一起的链路通过相互间的动态备份，可以有效地提高链路的可靠性。

三个优势

• 增加带宽
  链路聚合接口的最大带宽可以达到各成员接口带宽之和。
• 提高可靠性
  当某条活动链路出现故障时，流量可以切换到其他可用的成员链路上，从而提高链路聚合接口的可靠性。
• 负载分担
  在一个链路聚合组内，可以实现在各成员活动链路上的负载分担

二层聚合的案例

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] interface eth-trunk 1
[SwitchA-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/3
[SwitchA-Eth-Trunk1] quit

三层聚合的案例

[R1]int Eth-Trunk 1
[R1-Eth-Trunk2]undo portswitch
[R1-Eth-Trunk2]ip add 192.168.1.254 24
[R1-Eth-Trunk2]undo shut

[R1-Eth-Trunk2]int g0/0/1
[R1-GigabitEthernet0/0/1]eth-trunk 1

查看链路聚合

<R1>disp eth-trunk
<R1>disp int Eth-Trunk 1

3 STP生成树协议

3.1 基本概念

网桥：bridge
根网桥：root bridge RB
根端口：root port RP
指定端口：designated port DP
预备阻塞端口：alternate port AP

3.2 stp概述

stp，生成树协议。目的是提高链路层的可靠性。几乎是局域网中最重要的一个协议。

原因
没有stp，会形成广播风暴
没有stp，会导致mac地址表震荡

基本作用
逻辑上把闭合的环形改造成无环的树型
物理上起到备份链路的作用。

原理
使用BPDU(桥协议数据单元)相互传递信息，根据特定的算法，来阻塞相应的接口，最终形成无环的拓扑。

算法

1. 选举根网桥
   选举的依据是看网桥ID，网桥ID小的成为根网桥。
   网桥ID由两部分组成：网桥优先级和MAC地址。优先级默认是32768，桥mac地址可以使用disp ver 查看到。
2. 选举根端口
   根端口只存在于非根网桥上而且非根网桥上只有一个根端口。
   根端口是负责向根网桥传输数据的端口。
   选举办法：
   首先比较根路径成本，成本小的成为根端口。根路径成本是指到达根网桥的成本，它与带宽成反比。
   如果根路径成本相同，则比较直连的对端网桥的网桥ID。
   如果仍然相同，最后比较端口ID。端口ID由优先级和端口编号组成。端口的优先级默认是128，端口编号并不是端口号，但可以粗略的以端口号进行比较。
3. 选举指定端口
   在每个直连的网段上，要选出一个指定端口
   根网桥上的所有端口，都是指定端口
   非根网桥上的选举方法如下：
   比较根路径成本，较低的当选。
   如果根路径成本相同，则比较所在的交换机的网桥ID
   如果仍然相同，则端口ID较小的当选为指定端口。

BPDU
桥协议数据单元
在生成树计算中，使用两种BPDU
配置BPDU和拓扑变量BPDU(TCN BPDU)

历史
stp:也称生成树协议，遵守802.1d标准，所有vlan共用一个生成树，收敛速度较慢。端口被阻塞后，会导致vlan中断，且端口处于闲置浪费状态。
rstp：快速生成树协议，遵守802.1w标准，所有vlan共用一个生成树，收敛速度显著加快。端口被阻塞后，会导致vlan中断，且端口处于闲置浪费状态。

pvst：思科的私有协议，每个vlan一个生成树。但它不能兼容stp和rstp，不能相互操作
pvst+:思科的私有协议，每个vlan一个生成树。可以兼容stp和rstp，可以相互操作，优点：支持数据的负载分担且避免了端口处于闲置浪费状态。缺点：如果vlan太多，会计算出大量的生成树，导致设备的性能急剧下降。

mstp：多生成树协议，遵守802.1s协议。得到了包括思科在内的广泛支持。优点是可以用多个vlan对应一个生成树。显著地降低了设备cpu的负载

3.3 mstp的概念

MSTP:
多生成树协议，被各个厂商广泛支持。

MSTP的特点：

• 把一个交换网络划分为多个域，每个域可以有多个生成树，彼此互不干扰。
• 通过VLAN映射表，把VLAN和生成树联系起来。通过实例的概念，可以把多个VLAN绑定到一个实例

MSTP的端口角色

• 根端口 root port
• 指定端口 designated port
• 替代端口 alternate port
• 备份端口 backup port

MSTP的端口状态

• discarding 既不转发用户流量，也不学习mac地址
• learning 不转发用户流量，但是学习mac地址
• forwarding 既转发用户流量，也学习mac地址

概念：

1. mst域(region)
   域名相同。
   VLAN与MSTI间映射关系的配置相同。
   MSTP修订级别的配置相同
2. msti
   多生成树实例:一个域内可以有多个生成树，每个生成树就是一个msti.
3. cst
   公共生成树，把每个区域抽象成为一台交换机，在其中使用stp协议。
4. ist
   内部生成树，它是一个特殊的MSTI，通常也称为MSTI 0，所有VLAN缺省都映射到MSTI 0上。
5. cist
   公共和内部生成树。cist=cst+每个区域的ist

3.4 命令：

[SWA]vlan batch 2 to 3

[SWA]port-group group-member e0/0/1 to e0/0/2
[SWA-Ethernet0/0/2]port link-type trunk 
[SWA-port-group]port trunk allow-pass vlan all

[SWA]stp region-configuration 
[SWA-mst-region]region-name exam
[SWA-mst-region]instance 1 vlan 2
[SWA-mst-region]instance 2 vlan 3
[SWA-mst-region]active region-configuration

[SWA]stp instance 1 root primary 
[SWA]stp instance 2 root secondary 

配置边缘端口
连接PC机的端口是边缘端口

SW3]port-group group-member g0/0/11 to g0/0/12
[SW3-GigabitEthernet0/0/12]stp edged-port enable

4 VRRP原理与基本配置

5 ACL访问控制列表

5.1 单词

match:匹配
order:顺序，次序
config：配置
auto:自动的
permit:允许
source：来源
traffic：流量，交通
filter：过滤
outbound：出去的方向
basic：基本的
advanced：高级的
range:范围

5.2 ACL概述

ACL:访问控制列表，多用于路由器、三层交换、防火墙等网络设备。
控制：允许还是拒绝

一个ACL是由多条规则组成的。
一个数据包经过设备时，会逐条比较各条规则。如果匹配，则不再向下比对，如果不匹配，则继续向下比对。
非常类似于防火墙，规则的先后顺序非常重要。

基本ACL:编号2000-2999
高级ACL:3000-3999
二层ACL:4000-4999
自定义：5000-5999

5.3 ACL的三个关键点：

• 通配掩码
• 语句顺序
• 方向

5.3.1 通配符掩码

也称为通配掩码，俗称为反掩码。它是由32位二进制数组成的。
0：表示此位要检查，要匹配
1：表示此位可以忽略

示例

• 表示一台主机：1.1.1.1 0.0.0.0的网络，在cisco中可以使用关键字host表示，但是在华为设备中没有此关键字
• 表示一个网络：192.168.10.0 0.0.0.255
• 表示任意网络：0.0.0.0 255.255.255.255,也可以使用关键字any表示
• 允许10.128.0.0/255.224.0.0的数据通过
  255=1111 1111===>求反得到0000 0000，即十进制数0
  224=1110 0000===>求反得到0001 1111，即十进制数31
  结果为permit source 10.128.0.0 0.31.255.255

5.3.2 ACL的语句顺序

指定ACL规则顺序的两种方法

• config
  这个是默认设置，这时按配置的先后顺序（即输入的先后顺序）
• auto
  它采用深度优先的比对顺序：限制越严格越精确，匹配顺序越优先，并不取决于输入的先后顺序。
  在auto下，匹配的规则如下：
  有vpn的情况下，优先级最高
  如果没有vpn，来源ip的范围越小越优先（0的个数越多越优先）
  按输入的先后顺序

示例

acl 2000 match-order config
rule 5 permit source 192.168.1.1   0.0.0.0  允许192.168.1.1的主机
rule 10 deny source 192.168.1.0  0.0.0.255  拒绝192.168.1.0的网络

5.3.3 方向

方向分为IN和OUT
IN和OUT是站在Router的角度来讲的
数据包从外界进入设备是IN方向
数据包离开设备进入外界是OUT方向

5.4 ACL的匹配顺序

自上而上，逐条遍历
匹配停止，否则继续
注意：
如果数据包的所有规则均不匹配时，设备默认放行呢，还是拒绝呢？
答案是不同模块处理不一样。如果是转发模块，则转发数据包；如果是telnet模块，则不允许;如果是路由过滤，不允许路由通过。
而traffic-filter默认是放行的

5.5 练习

一台PC和一台路由进行连接,PC的ip是192.168.10.1/24，路由口的ip是192.168.10.254/24。
要求配置ACL实现禁止192.168.10.1的通信，如果换成192.168.10.2呢？

<Huawei>undo terminal monitor 
Info: Current terminal monitor is off.

<Huawei>sys
Enter system view, return user view with Ctrl+Z.

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.10.254 24
[Huawei-GigabitEthernet0/0/0]quit

[Huawei]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.10.1  0
[Huawei-acl-basic-2000]quit

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

命名ACL示例

[Huawei]acl name test basic
[Huawei-acl-basic-test]rule deny source 192.168.10.0 0.0.0.255

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl name test

高级ACL示例

[Huawei]acl 3001
[Huawei-acl-adv-3001]rule  deny icmp source 192.168.10.1  0  destination 192.168.10.254 0
[Huawei-acl-adv-3001]quit
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3001

相对时间周期示例

[Huawei]time-range time1 08:30 to 12:20 working-day  周一到周五的08：30－12:20
[Huawei]time-range time2 08:30 to 12:20 off-day 周六到周日的08：30－12:20
[Huawei]time-range time2 08:30 to 12:20 3 周三的08：30－12:20
[Huawei]time-range time2 08:30 to 12:20 daily 每天的08：30－12:20

绝对的时间周期示例

[Huawei]time-range time3 from 08:20 2019/01/01 to 08:20 2019/12/31

基于时间周期的ACL示例

[Huawei]acl 3005
[Huawei-acl-adv-3500]rule  permit tcp source 192.168.10.1  0  destination 192.16
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3005
8.2.1 0  destination-port eq 21 time-range time1 

5.6 补充

在华为的设备中，一个接口只能应用两个ACL，出接口和入接口各有一个。而华三的接口支持高达32个ACL。
在华为的设备中，配置基于MAC的ACL时，默认的掩码是ffff-ffff-ffff，所以掩码0000-000-000不可省略。

6 NAT网络地址转换

6.1 单词

static：静态地
global：全局地
inside：内部地
protocol：协议

6.2 概述

6.2.1 私网IP

任何电脑都可以免费使用，允许多台电脑使用同一个IP，只要它们不在同一网络内就可以。私网IP在互联网上不能路由。
使用私网IP是为了缓解ip地址不够用的情况

• A类：10.0.0.0-10.255.255.255，简写为10.0.0.0/8
• B类：172.16.0.0-172.31.255.255，简写为172.16.0.0/12
• C类：192.168.0.0-192.168.255.255,简写为192.168.0.0/16

6.2.2 应用场景

私网IP想要上网，必须使用NAT技术。
nat多部署在网关设备上，在中小型企业里广泛的应用。

6.2.3 分类

• 静态NAT
• 动态NAT
• Napt
• Easy IP
• NAT服务器

6.3 静态NAT

一对一的固定不变的映射，可用于带动局域网接入互联网

int g0/0/0
nat static global 200.1.1.1 inside 192.168.1.1
disp nat static

6.4 动态NAT

不存在一对一的映射关系，多用于带动局域网接入互联网

acl 2000
rule permit source  192.168.10.0  0.0.0.255

nat address-group 1 200.10.10.1   200.10.10.200

int g0/0/0
nat outbound 2000 address-group 1 no-pat

disp nat outbound
disp nat address-group 1

6.5 NAPT

Netowrk And Port Translation：网络和端口转换
把内网的多个ip转换到外网同一个ip的不同端口
也是用来带动局域网接入互联网，适合外部只有一个公网ip的情况

acl 2001
rule permit source 192.168.10.0  0.0.0.255

nat address-group 2 200.10.10.10   200.10.10.10   注意：地址池里只有一个ip地址,这个ip不一定是网关的外网口的ip

int g0/0/0
nat outbound 2001 address-group 2   注意：这里没有no-pat

disp nat outbound
disp nat address-group 2

6.6 Easy IP

把多个内网IP映射到网关外网接口上
不必配置地址池
特别适合外网接口是动态IP的情况

acl 2002
rule permit source 192.168.10.0  0.0.0.255

int g0/0/0
nat outbound 2002

disp nat outbound

6.7 Nat Server

使外网的用户可以访问到内网的服务器。
用途：把内网的服务器发布到互联网上

int g0/0/0
nat server protocol tcp global 200.10.10.100 www inside 192.168.10.1  8080
disp nat server

7 RIP路由协议

7.1 单词

split：分割
version：版本
horizon：水平地
reverse：反转，逆转

7.2 简述

自治系统内部的路由协议：rip ospf igp is-is-is
自治系统内部的路由协议：bgp

rip：udp 520号端口

rip中，水平分割是默认启用的，如果以配置了毒性逆转，则只有毒性逆转生效。

7.3 命令

配置静态路由

[Huawei]ip route-static 1.0.0.0  8  2.0.0.1

配置默认路由

[Huawei]ip route-static 0.0.0.0  0.0.0.0  3.0.0.1

RIP相关命令

[Huawei]rip
[Huawei-rip-1]version 2
[Huawei-rip-1]network 1.0.0.0
[Huawei-rip-1]network 2.0.0.0

查看路由表：

<Huawei>disp ip routing-table

8 OSPF路由协议

broadcast：广播
current:当前的
configuration：配置

ospf:
开放最短路径优先,它属于链路状态路由协议

度量值：cost，它的值等于参考带宽除以实际带宽。可以在系统视图下，使用bandwidth-reference设置参考带宽。
在ospf中，一个接口的cost值是按照接口的出方向依次累加的，如每过一个100M就加1.

特点：
收敛快
适应大型网络

原理：
通过周期性地发送设备的链路状态（而不是路由表）和邻居设备交流学习，进而掌握全网的拓扑，生成自己的路由表。

ospf的报文封闭在ip中，协议号是89.
ospf的报文共有5种：hello报文、数据库描述报文(DD报文)、链路状态请求报文(LSR报文)、链路状态更新报文(LSU报文)和链路状态的确认报文(LSACK报文)

routerid:
在ospf中，每个设备都要有唯一的一个routerid.可以使用ospf 1 router-id 1.1.1.1来指定，也可以自动选择。

ospf的7种状态：禁用、初始、双向、准启动、交换、加载、完全邻接

DR：指定路由器。它的作用在于有效地减少了邻接关系。
DR是选举出来的，优先级更高的设备成为DR的可能性最大。如果优先级相同，routerid大的成为DR
DR是不能抢占的，如果已经存在DR，即使有优先级更高的设备加入也不会成为DR。

划分区域是为了优化性能，为了更好地适应大型网络的要求。

路由器的类型：
区域内的路由器
区域边界路由器（ABR）
自治系统边界路由器（ASBR）
骨干路由器(Bakbone)

网络类型有４种：
点到点的网络
点到多点的网络
广播型多路访问
非广播型多路访问

用到的命令：
[Huawei]ospf 1 router-id 2.2.2.2
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]

查看路由表：
[Huawei-ospf-1-area-0.0.0.0]disp ip routing-table protocol ospf

云的使用：
1.必须配置端口映射
2.路由器的各个端口必须配置为同一网段的ip地址

多区域的配置：
和单区域类似

引入直连路由：
[Huawei]ospf 1 router-id 1.1.1.1
[Huawei-ospf-1]import-route direct

9 OSPF高级设置

stub：末梢
total：完全地

ospf的特殊区域：
所有的特殊区域都是为了进一步优化网络传输。

包含有stub、total sub和nssa三个特殊区域

stub：
末梢区域
允许lsa1 lsa2和lsa3在本区域传输，不允许lsa4 lsa5 在本区域传输
不允许存在asbr

命令：
[RTD]ospf 1 router-id 4.4.4.4 启动ospf进程并宣告自己的router-id是4.4.4.4
[RTD-ospf-1]area 2 配置area 2
[RTD-ospf-1-area-0.0.0.2]stub 宣告area 2是末梢区域

total stub:
完全末梢区域
允许lsa1 lsa2在本区域传输，不允许lsa3 lsa4 lsa5在本区域传输
但是，它允许宣告默认路由的lsa3在本区域传输。
不允许存在asbr

命令：
[RTD]ospf 1 router-id 4.4.4.4
[RTD-ospf-1]area 2
[RTD-ospf-1-area-0.0.0.2]stub no-summary

nssa:
非纯末梢
nssa是stub的一种变形，它允许存在ASBR
允许lsa1 lsa2 lsa3 lsa7在本区域传输
[RTC]ospf 1 router-id 3.3.3.3
[RTC-ospf-1]area 2
[RTC-ospf-1-area-0.0.0.2]nssa default-route-advertise //default-route-advertise的意思是允许默认路由的通告，此参数只能应用在ABR上。

路由聚合：
作用：把多个子网聚合成为一个超网
分类：有两种。一种是在ABR上聚合，另一种是在ASBR上聚合
[RTB-ospf-1-area-0.0.0.1]abr-summary 192.168.0.0 255.255.252.0 这条命令是在ABR路由器上运行
注意：
在OSPF区域视图下使用
此命令用于在ABR上配置一条聚合路由

[RTB-ospf-1]asbr-summary 192.168.0.0 255.255.252.0 这条命令是在ASBR路由器上运行的
在OSPF视图下使用
此命令用于在ASBR上配置一条聚合路由

使用虚链路的两种原因：
一是因为骨干区域被分割，二是因为非骨干区域无法和骨干区域保持连通
注意：虚链路的配置必须在ABR上完成

命令：
[RTB-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2 2.2.2.2是对端设备的router-id

引入外部路由：
外部指的是自治系统以外
使用的命令是import-route

命令：
[RTA-ospf-1] import-route rip type 2 cost 50 引入外部的rip，类型是E2类型，cost值是50。作用是把rip宣告到ospf中。
RTA-ospf-1] import-route direc 引入外部直连的路由，作用是把直连路由宣告到ospf中

10 BGP路由协议

BGP：边界网关路由协议
属于距离矢量路由协议，用于在不同自治系统（AS）之间传递路由信息
原来的rip和ospf都是在自治系统（AS）内部的路由协议

使用TCP协议179号端口

IBGP：内部BGP，邻居设备和自己处于同一个自治系统（AS）之内
EBGP：外部BGP，邻居设备和自己处于不同的自治系统（AS）之内

什么时候使用BGP:和外界有多个自治系统（AS）进行通信时需要使用BGP

BGP的工作机制：和其它路由协议一样，不断地和邻居设备交流信息、不断地从邻居设备学习，进行产生路由表

BGP Speaker：发言者

注意：
连接一建立，设备会把自己的所有BGP路由通告给邻居设备
以后，只是把新变化的路由通告给邻居设备
设备从EBGP获得的信息会通告给所有的邻居设备，既包括IBGP，也包括EBGP
设备从IBGP获得的信息不会向相邻的IBGP通告，只会向相邻的EBGP通告

五种报文：
open:用于建立邻居设备之间的连接关系
keepalive：周期性地发送，用于保持连接
update：携带的是路由的更新信息
notification：检测到错误信息后，向对等体发送此消息，bgp连接马上被关闭
router-refresh：要求对等体重新发送路由信息。

六种状态：
idle：空闲
connect：连接
active：活跃
opensent：open报文已发送
openfirm：open报文已确认
established：连接已建立

在Established状态下，BGP可以和对等体交换Update、Keepalive、Route-refresh报文和Notification报文。

如果收到正确的Update或Keepalive报文，那么BGP就认为对端处于正常运行状态，将保持BGP连接。
如果收到错误的Update或Keepalive报文，那么BGP发送Notification报文通知对端，并转至Idle状态。
Route-refresh报文不会改变BGP状态。
如果收到Notification报文，那么BGP转至Idle状态。
如果收到TCP拆除连接通知，那么BGP断开连接，转至Idle状态。

BGP的路由属性：
bgp协议携带有丰富的路由属性，目前共有16种路由属性。

1.as-path属性：ASPath属性按矢量顺序记录了某条路由从本地到目的地址所要经过的所有AS编号。在接收路由时，设备如果发现ASPath列表中有本AS号，则不接收该路由，从而避免了AS间的路由环路。

2.next-hop属性：
下一跳属性，NextHop属性记录了路由的下一跳信息。

3.origin属性：
origin是起点、起源的意思
Origin属性用来定义路径信息的来源，标记一条路由是怎么成为BGP路由的。origin有三个属性:IGP EGP Incomplete。其中IGP的优先级最高。

4.local-preference属性：
本地优先属性
LocalPref属性表明路由器的BGP优先级，用于判断流量离开AS时的最佳路由。当BGP的设备通过不同的IBGP对等体得到目的地址相同但下一跳不同的多条路由时，将优先选择LocalPref属性值较高的路由。LocalPref属性仅在IBGP对等体之间有效，不通告给其他AS。默认值为100。

5.med属性：
MED（Multi-Exit Discriminator）属性用于判断流量进入AS时的最佳路由，当一个运行BGP的设备通过不同的EBGP对等体得到目的地址相同但下一跳不同的多条路由时，在其它条件相同的情况下，将优先选择MED值较小者作为最佳路由。默认值为0。

结论：
BGP协议根据这些丰富的路由属性，必定可以选出唯一的一条最佳路由。

配置bgp的命令：
[Huawei]bgp 100 启动bgp协议，并宣告AS的编号为100
[Huawei-bgp]router-id 1.1.1.1 为设备配置router-id，注意router-id必须是唯一的。
[Huawei-bgp]peer 2.2.2.2 as-number 100 指定对等体，其中的2.2.2.2是对等体接口的ip
[Huawei-bgp]ipv4-family unicast 进入到基于ipv4的单播地址族视图
[Huawei-bgp-af-ipv4]network 192.168.10.0 24 宣告本地网络
[Huawei-bgp-af-ipv4]peer 2.2.2.2 enable 允许设备和对等体2.2.2.2相互交流。注意，本命令默认是允许的。

[Huawei]disp ip routing-table protocol bgp
[Huawei]disp bgp routing-table 上述两条命令都可以用来查看路由表

11 BGP高级配置

1.在bgp中引入其它路由协议
可以将外部的路由信息引入(import)到bgp路由表中
可以引入直接路由
可以引入静态路由（默认路由）
可以引入rip
可以引入ospf（注意加上进程号）
中以引入其它路由（如is-is）
引入的外部路由其origin属性为incomplete，具有最低的优先级（orgin属性中igb>egp>incomplete）

命令：import router或default-route imported
示例：
import router ospf 1 引入ospf，注意不可省略1

import direc 引入直连路由

default-route imported 引入默认路由

注意：要在bgp视图下执行此命令

2.对等体组
peer：对等体
对等体组：一组具有相同更新策略的对等体。
作用：
把多个对等体加入到一个对等体组中。只需要对这个组配置一遍即可。可见其作用是简化了配置。
分类：IBGP对等体组和EBGP对等体组

注意事项：
1.如果对单个对等体和对等体组同时配置了相同的功能，则单个对等体优先生效
2.如果使用loopback接口建立bgp连接，则两端都要使用peer connect-interface
3.如果在ebgp之间使用loopback接口建立连接，则必须配置hop-count项，否则连接失败

命令：
group group1 internal 创建一个名为group1的ibgp对等体组
group group2 external 创建一个名为group2的ebgp对等体组

peer group1 as-number 1000 指定对等体组group1的as-number为1000，如果是IBGP，省略此命令
peer group2 as-number 2000 指定对等体组group2的as-number为2000，如果是EBGP，不可省略此命令

peer 192.168.10.2 group group1把对等体192.168.10.2加入名为group1的对等体组
peer 192.168.100.100 group group2把对等体192.168.100.100加入名为group2的对等体组

peer group1 connect-interface loopback0 ip-address
peer group2 connect-interface loopback1 ip-address 指定连接对等体组的接口类型，是可选命令

peer group2 ebgp-max-hop 3，指定连接名为group2的对等体时的最大跳数为3

示例：
bgp 2000
router-id 2.2.2.2
peer 1.1.1.1 as-number 1000
group group1 internal
peer 2.2.2.3 group group1
peer 3.3.3.4 group group1

ipv4-family unicast
network 1.0.0.0
network 2.0.0.0
network 3.0.0.0
peer 1.1.1.1 enable
peer group1 enable

3.IBGP的路由反射器
路由反射器：route reflectt,简称为RR，是一种优化性能 的方法，通常应用在IBGP中。一个路由反射器就是一台运行bgp协议的路由器。
作用：默认情况下，要求使用全连接，这将导致bgp连接数过多，bgp数据包较多。为减少连接数，可以使用路由反射器。
注意：在使用路由反射器时，要求所有客户端都只能和路由反射器建立对等体，禁止客户端和客户端直接建立对等体。另外，在同一个AS中，还允许建立多个路由反射器。

命令：
peer 192.168.10.1 reflect-client 指定对等体192.168.10.1是本机的路由反射器客户端。其实说明正在配置的是一个路由反射器，它的一个客户端是192.168.10.1。单词reflect是反射的意思，client是客户端的意思。注意本命令只能应用在路由反射器上，不能应用在客户端上。

12 Qos服务访问质量

1.Qos:
qos:服务质量，是在带宽不足的情况下的一种不得已的手段。
网络拥塞：网络上堵车了，数据包跑不动了。

原因：高速接口入，低速接口出 多个接口入，一个接口出。

解决：根本办法是提高带宽，临时的办法是使用Qos

原理：区分流量，保重重要的流量优先发送

指标：
带宽，也称为吞吐量。单位bit/s
时延：从一端到另一端所需要的时间。300毫秒以上的语音时延不可以接受。
抖动：延时忽大忽小
丢包率：1%可接受

服务模型：
1.尽力而为的模型：这是默认的
2.综合服务模型：提前预留部分资源
3.区分服务的模型：不预留，可指定qos

2.流量的管理
可以粗略的分为简单的管理和基于类的管理两种。
实现：可以分为流量监管（TP）和流量整形（GTS）
名词：
CIR：承诺信息速率，单位kbit/s
PIR：峰值信息速率，单位kbit/s
CBS：承诺突发尺寸，单位字节
PBS：峰值突发尺寸，单位字节

原理：令牌桶

流量整形：
只对出去的流量生效
其基本的原理是削峰平谷
其原本的原理是进行存储转发
其后果会导致延时增大，通常不会丢失数据包
如果数据量很大，超出了设备的缓存，则会导致数据的丢失

流量监管：
既可以对出去的流量进行监管，也可以对进来的流量进行监管
更多的情况是对进来的流量进行监管
其实，流量的监管就是限速，超出的数据被直接丢弃

3.命令
car：承诺访问速率

gts示例：
[Huawei-GigabitEthernet0/0/2]qos gts cir 100000 cbs 2500000 建议突发量2500000不要低于cir 100000的25倍
在g0/0/2口上启用流量整形，限制出去的速度为100000bit/s，突发量为2500000字节

tp示例：
[Huawei-GigabitEthernet0/0/0]qos car inbound cir 100000 cbs 200000 pbs 300000
作用：在g0/0/0口上限制进来的流量为100000kbit/s，突发为200000字节，峰值突发为300000字节

注意：上述命令都要在接口视图下使用

查看：
[Huawei-GigabitEthernet0/0/0]disp qos car statistics interface g0/0/0 inbound
作用：查看g0/0/0口进来流量的TP

13 Qos高级配置

traffic：流量
behavior：行为
car：承诺访问速率
cbs:承诺突发尺寸
pbs：峰值突发尺寸
policy：策略

1.qos的分类：
简单的qos：不能针对不同的数据进行不同的限制
基于类的qos：分类，不同的类应用不同的动作，形成不同的策略。依据策略实现不同的管理。

说明：基于类的qos在华为官方称为MQC。模块化QoS命令行MQC（Modular QoS Command-Line Interface）是指通过将具有某类共同特征的报文划分为一类，并为同一类报文提供相同的服务，也可以对不同类的报文提供不同的服务。

MQC包含三个要素：流分类（traffic classifier）、流行为（traffic behavior）和流策略（traffic policy）

2.配置的步骤：
1.定义流分类：通常使用ACL来分类
2.定义流行为：常见的有禁止、允许、监管、整形、标记、重定向等。
3.定义流策略：其实就是把分类后的流量和相应的动作关联起来
4.应用流策略：把策略应用到接口上才可以生效。

3.配置的命令：
定义流分类：
traffic classifier a
if-match acl 2001 定义了一个分类，名为a

定义流行为：
traffic behavior e
car cir 10000 cbs 150000 pbs 0 定义了一个流行为，名为e，内容是使用流量监管

定义流策略：
traffic policy 1
classifier a behavior e 定义了一个策略，名为1，把类a和行为e关联起来

应用流策略：
int g0/0/0
traffic-policy 1 inbound 把策略1应用到接口g0/0/0口的inbound方向

4.拥塞的避免
通过主动地丢弃报文，来缓解拥塞
常用的方法有：尾丢弃、Wred。前者是传统的方法，后者是加权随机预检测的意思。
注意：通常是在有可能发生拥塞或刚开始有拥塞时使用的方法。

5.拥塞的管理：
已经出现了拥塞，通过调整报文的高度顺序来保证重要数据优先发送的一种机制。
主要是使用各种队列，如：
fifo：先入先出队列
pq：优先级队列
wfq：加权公平队列
…………

6.示例：
命令1配置接口：
int g0/0/0 进入接口
trust dscp 信任dscp。dscp支持从0到63共64个优先级，便于我们精细地控制

命令2配置丢弃模板data和video：
drop-profile data 创建丢弃模板并指定模板的名字为data
wred dscp 指定当前WRED丢弃模板基于DSCP优先级而不是ip的优先级来丢弃数据
dscp 28 low-limit 50 high-limit 70 discard-percentage 30 配置基于DSCP优先级的WRED参数：表示下限是50，下限是70。如果队列小于50，不会丢弃数据，如果队列高于70，全部丢弃。如果队列在50－70之间，则随机地丢弃数据包。discard-percentage 30的意思是最大的丢弃概率为30%

drop-profile video 创建丢弃模板并指定模板的名字为video
wred dscp 指定当前WRED丢弃模板基于DSCP优先级而不是ip的优先级来丢弃数据
dscp 38 low-limit 40 high-limit 60 discard-percentage 20 配置基于DSCP优先级的WRED参数：表示下限是40，下限是60。如果队列小于40，不会丢弃数据，如果队列高于60，全部丢弃。如果队列在60－60之间，则随机地丢弃数据包。discard-percentage 30的意思是最大的丢弃概率为20%

命令3配置队列模板：
qos queue-profile quue-profile1 创建队列模板并指定队列模板的名字是queue-profile1
schedule wfq 3 to 4 指定对队列3和4使用wfq（加权公平队列)进行调度
queue 3 drop-profile video 指定对队列3使用名为video的丢弃模板
queue 4 drop-profile data 指定对队列4使用名为data的丢弃模板

命令4应用到接口
int g0/0/1 进入接口
qos queue-profile queue-profile1 把名为queue-profile1的模板应用到此接口

14 IPSec VPN协议

15 交换机安全

Created: 2019-09-04 周三 14:45

Validate