HCIP网工数通Datacom之网工中级（下篇）

ヴイぴーエヌ

virtual private network 虚拟专用网络
专线：DDN PTN SDH MSTP 成本高，通信质量好
ヴイぴーエヌ：IPsec 、SSL MPLS-ヴイぴーエヌ、L2TP 、PPTP 、GRE 、 DSヴイぴーエヌ（DMヴイぴーエヌ）等等只需要有固定公网ip地址即可，价格便宜，通信质量差
用途：
① 总部和分支之间对联 site-to-site
② 远程出差人员，通过ヴイぴーエヌ拨号的方式访问企业内网
目前常用ヴイぴーエヌ：IPsec ヴイぴーエヌ SSLヴイぴーエヌ mplsヴイぴーエヌ
http://www.9orange.com/list-128.html
GRE：generic routing encapsulation 通用路由封装
GRE ヴイぴーエヌ 配置：公网地址可达

① 缺省路由配置：使得两边的公网地址互相通信

R1：ip route-s 0.0.0.0 0 12.1.1.2 
R3: ip route-s 0.0.0.0 0 23.1.1.2
②
R1： 
interface Tunnel0/0/0
 tunnel-protocol gre 
 source 12.1.1.1 destination 23.1.1.3 
 ip add 192.168.13.1 24 
 R3： 
 interface Tunnel0/0/0 
 tunnel-protocol gre 
 source 23.1.1.3 destination 12.1.1.1
  ip add 192.168.13.3 24 

③
 R1 ：ip route-s 192.168.1.0 24 tunnel0/0/0 
 R3 :ip route-s 192.168.5.0 24 tunnel0/0/0

两层ip包头，外层是公网包头 内层是私网包头
缺点：数据包明文传输，不安全

int tunn 0/0/0 
	keepalive 开启心跳机制 （可选配置 ,5s 3倍）
	gre key 123654 配置校验密码（可选配置） 
可以通过关闭中间的R2 然后shutdown tunn0/0/0 口校验，需让隧道从新建立才可以看到效果！！

Internet Address ：192.168.13.3
Tunnel source 12.1.1.1
Tunnel destination 23.1.1.3

GRE over IPsec ヴイぴーエヌ + ospf
总部：R3配置
① 确保两边的公网地址可达 配置缺省路由 略
② 创建 安全提议以及安全策略：对数据加密和认证的一个方案（认证算法、加密算法、以及隧道封 装模式 、IKE版本 、认证密码 等等）
注意：AH 只能用来做认证和校验 ESP 既能用来做认证、校验也能用来做数据
加密AH ： 可以选择认证算法 ESP：可以选择认证和加密两类算法
默认封装方式： 默认采用esp模式的隧道封装 相应esp认证算法：MD5-HMAC-96 esp加密算法：DES

dis ipsec proposal name aa 查看安全
#
ipsec proposal aa 创建安全提议aa 
#
ike proposal 5 
#
ike peer ShangHai v2 
	pre-shared-key cipher huawei 
	ike-proposal 5
#
ipsec profile TO_ShangHai 
	ike-peer ShangHai 
	proposal aa 
ike peer NanJing v2 
	pre-shared-key cipher huawei 
	ike-proposal 5 
#
ipsec profile TO_NanJing 
	ike-peer NanJing
	proposal aa

③ 创建GRE隧道接口 并将ipsec ヴイぴーエヌ 策略文件调 用到隧道口

interface Tunnel0/0/0 
ip address 192.168.13.3 255.255.255.0 
tunnel-protocol gre 
source GigabitEthernet0/0/0 
destination 12.1.1.1 
ipsec profile TO_ShangHai 
interface Tunnel0/0/1 
ip address 192.168.34.3 255.255.255.0
tunnel-protocol gre 
source GigabitEthernet0/0/0 
destination 24.1.1.4 
ipsec profile TO_NanJing

步骤④：配置动态路由协议 （静态也可以）

ospf 1 
	area 0 
		network 192.168.3.0 0.0.0.255 
		network 192.168.13.0 0.0.0.255 
		network 192.168.34.0 0.0.0.255

上海分支R1配置： R1:
步骤① ：公网地址可达 （略）
步骤②：创建 安全提议：对数据加密和认证的一个方案（认证算法、加密算法、以及隧道封装模式 、IKE版本 、认证密码等等）

ipsec proposal aa 
#
ike proposal 5 
#
ike peer ZongBu v2
pre-shared-key cipher huawei 
ike-proposal 5 
#
ipsec profile TO_ZongBu 
ike-peer ZongBu 
proposal aa 
#

步骤③：创建tunnel 隧道 并调用ipsec

int tu0/0/0 
	ip address 192.168.13.1 255.255.255.0 
	tunnel-protocol gre 
	source GigabitEthernet0/0/0 
	destination 23.1.1.3 
	ipsec profile TO_ZongBu 

步骤④：配置ospf （或者静态）

ospf 1 
	area 0 
		network 192.168.1.0 0.0.0.255 
		network 192.168.13.0 0.0.0.255 

分支2 ：南京 配置和上海分支类似 略

南京：PC可以访问总部和上海分公司 访问上海时需经过总 部中转。也可以在分支之间搭建ヴイぴーエヌ避免分支互访时绕行总部。

mpls 简介

MPLS：Multi-Protocol Label Switching，多协议标签交换
作用：目前主要用于 MPLS-ヴイぴーエヌ。
① 支持更多的路由条目（BGP加持）
② 使得客户端配置更加简单
③ 允许客户端的路由重叠
注意：MPLS是二层半协议，介于二层和三层之间

手动静态建立LSP：
前提：ospf 全网互通 （R5 R6 也要运行ospf）
首先为每个路由器配置LSR-id 并开启mpls

R1: 
mpls lsr-id 1.1.1.1
mpls 
interface GigabitEthernet0/0/0 
	mpls 
R2: 
mpls lsr-id 2.2.2.2 
mpls 
interface GigabitEthernet0/0/0 
	mpls 
interface GigabitEthernet0/0/1 
	mpls 
R3 R4 配置和R1 R2 类似 （配置略）

了解内容：TTL 的变化 （其中一种处理方式 去包 ）注意：针对不同的报文ttl值的处理方式不一样！
icmp request报文： 注意：MPLS 中的TTL，报文进入mpls 网络后，三层IP层的 TTL会被重置为126 且在mpls域传输时不变，MPLS 的TTL 值从126 开始递减。

例如：从R5 区域PC ping 192.168.6.2 时 报文最开始时 （纯IP报文）TTL=255 报文到达R1 R2之间时 IP的 TTL=126 MPLS 中的TTL=126 当报文传至R3 R4 时 IP的TTL依然是126 而MPLS的 TTL=124

**手动LSP建立：**PC1---->PC2 单向

R1:static-lsp ingress pc2 destination 192.168.6.0 24 nexthop 12.1.1.2 out-label 100 
R2:static-lsp transit PC2 incoming-interface GigabitEthernet0/0/0 in-label 100 nexthop 23.1.1.3 out-label 200 
R3:static-lsp transit pc2 incoming-interface GigabitEthernet0/0/0 in-label 200 nexthop 34.1.1.4 out-label 300 
R4:static-lsp egress pc2 incoming-interface GigabitEthernet0/0/0 in-label 300
#
dis mpls lsp

动态建立LSP
LDP: Label Distribution Protocol 标签分发协议
作用：分发标签、管理标签、控制标签的传递。

R1:
mpls lsr-id 1.1.1.1 
mpls
	lsp-trigger all （将标签触发建立的方式由host 32位主机路由改为all） 
	mpls ldp 
interface GigabitEthernet0/0/0 
	mpls 
	mpls ldp 
R2: 
mpls lsr-id 2.2.2.2 
	mpls 
#
mpls ldp 
#
interface GigabitEthernet0/0/0 
	mpls 
	mpls ldp 
#
interface GigabitEthernet0/0/1 
	mpls 
	mpls ldp 
R3 R4 配置略
#
dis mpls lsp

注意1：默认情况下LDP只会为32位的主机路由触 发建立标签（路由器接口互联地址除外）。
注意2： 标签的分发方向和路由的传递方向一致
注意3：

R4: mpls 
	lsp-trigger all 为IGP路由触发建立标签(分配） 
R1: mpls 
	lsp-trigger all 为IGP路由触发建立标签(分配）
	#
dis mpls lsp

注意：
入标签 In label ，是路由器自己给某网段分配，并 会传递给上游路由器。
出标签 out label，从下游路由器学到

reset mpls ldp all 重置LDP 
重新建立ldp邻居 重新分发,传递标签 ，注意重置后重新分发的标签有可能和上次不一样需要重新查看
dis mpls lsp 

dis tcp status
tcp 三层握手是通过LSR-id 的ip地址建立的，因此 Lsr-id 的ip地址务必路由可达

路由器收到下游设备X传来的标签和目标网段A的绑定关系 后，会查看ip路由表，如果路由表中去往该目标网段A的下 一跳是设备X则使用该标签，否则会将该标签保留作为备用-- —自由标签保持方式Liberal 。

如果LFIB表中的出标签为Null，则表明数据包已经到达了 Egress节点，此时Egress 路由器会将标签去掉变成纯的ip报 文，并查找三层的ip路由表进行转发。

MPLS ヴイぴーエヌ略

路由控制 流量控制

控制流量的可达性方法 略

QOS：

Quality of Service，服务质量 1B=byte=8bit
影响网络通信质量的因素： ① 带宽 ② 时延 ③ 抖动 ④ 丢包
改善网络通信质量的方案：（服务模型）
① 尽力而为 （花钱）
② 综合服务模型 （不常用 独占带宽 ，带宽不能共 享）
③ 区分服务模型（常用）
分类与标记 分类：
① 简单流分类
② 复杂流分类（常用）
注意：多种分类标记字段 默认不能自己转换。需要 手动操作。
MQC：模块化的命令行语言 适用于QOS配置
模块① ：分类 traffic classifier
模块② ： 动作（表现）traffic behavior
模块③ ：关联（策略） traffic policy 例如

模块①：分类 
acl number 2010 
	rule 5 permit source 7.7.7.7 0 
	rule 10 permit source 7.7.7.8 0 
	rule 15 permit source 7.7.7.9 0 
acl number 2020 
	rule 5 permit source 7.7.7.2 0 
	rule 10 permit source 7.7.7.3 0 
	rule 15 permit source 7.7.7.4 0 
#
traffic classifier common operator or 
	if-match acl 2020 
traffic classifier manager operator or 
	if-match acl 2010 
模块② ：动作
traffic behavior common 
	remark dscp af11 
traffic behavior manager 
	remark dscp ef 
模块③：关联 
traffic policy aa 
	classifier manager behavior manager 
	classifier common behavior common
最后将关联的策略调用到相应的接口： R7: 
int gi 0/0/2 
	traffic-policy aa inbound

拥塞管理与拥塞避免：
拥塞管理：队列机制 queue
拥塞避免：智能丢弃 WRED

拥塞管理： 两个步骤：（理论）
① 将待转发的报文放入不同的队列
② 配置合理的队列调度机制对不同的报文进行差分
转发流量监控与流量整形

组播 multicast （了解）

组播三层：224-239，如果三层的ip地址是224-239 开头的，则 该报文就是组播报文。
单播 A 1-126 例如： 8.8.8.8
单播 B 128-191 172.16.1.1
单播 C 192-223 例如：192.168.1.1
组播 D 224-239 例如：224.8.8.8
实验 E 剩下 224.0.0.5 ospf hello 224.0.0.9 rip

组播二层：01-00-5e开头都是组播报文，后23bit 是由组播 ip地址的后23个bit 补充
例如：组播ip地址 224.0.0.5 对应的组播mac地址是 01-00- 5e- 00-00-05
组播应用场景：广电有线电视 、运营商iptv、部分实时音视 频会议系统、部分电视直播、部分远程教育、部分局域网电 子教室、部分实时金融业务等等。

例如： 239.5.5.5 中央-1 239.6.6.6 中央-2
组播作用：减少主干链路重复报文的发送，节省带宽，减少服务器和主干路由器的负载。
PIM：protocol independent multicast 协议无关的组播路由协议。组播路由协议，运行在中间的路由器上面，帮助路由器选择最短的路径到达终端。 （组播PIM 底层是单播路由协议）
IGMP：internet group manager protocol 互联网组管理协议。运行在最后一跳路由器和终端上面，用来通知路由器下面是否有终端需要组播流量。
IGMP-snooping：运行在交换机上面，用来告诉交换机，那个接口需要转发该组播流量。

PIM DM配置：

 R1: 
multicast routing-enable 
interface GigabitEthernet0/0/0 
pim dm 
#
interface GigabitEthernet0/0/1 
pim dm #
interface GigabitEthernet0/0/2 
pim dm
R3，R5略
#
dis pim neighbor
dis pim routing-table

PIM SM模式配置： 所有路由器

R1: 
multicast routing-enable 
pim
	static-rp 4.4.4.4 
int gi 0/0/0 
	pim sm 
int gi 0/0/1 
	pim sm 
int gi 0/0/2 
	pim sm

Igmp-snooping 配置：

igmp-snooping enable 
vlan 10 
	igmp-snooping enable

VXLAN:

作用：可满足数据中心大二层VM迁移和多租户的需求。

NVO：network virtual overlay （NVO3: ）基于overlay 的网络虚拟化
NVE：network virtualization edge （也可以是 虚拟交换机）管理VTEP 管理VNI 以及映射关系。
VTEP：vxlan tunnel endpoint ，vxlan隧道端点 每一个NVE至少有一个VTEP，VTEP使用NVE的IP 地址表示，两个VTEP可以确定一条vxlan隧道。
VNI：virtual net instance 类似vlan tag 表示 24bit 16M 即16000000 1千6百万
BD：bridge domain，标识一个二层广播域 ，BD 和VNI 1:1 映射 （VNI 就是在BD里面配置) 。
VXLAN 隧道：vxlan 隧道 用于vxlan 报文的转发， 用本地 VTEP地址+远端VTEP地址进行标识一条 vxlan隧道。
BDIF：bd域的三层路由接口，用于二层流量进入 三层进行路由转发。

注意：vxlan 传输数据时可以将原始的vlan剥离，即vxlan 不管以前的数 据是否属于同一个vlan 都可以进行二层互通（是否互通是管理员配置 的）。即vlan 10 也可以和vlan 20 二层互通，原始vlan仅仅在底层网络起 作用（NVE之后就靠vxlan 的VNI来识别了）。