snmp-server community pubic ro
snmp-server community private ro
snmp-server 交換機(jī)的標(biāo)識號,可通過命令查到。
snmp-server 管理平臺的IP
3550等系列密碼破除>>>>
開機(jī)按交換機(jī)前面板的mode鍵
輸入flash_init進(jìn)行初始化
輸入del flash:config.text刪除配置
輸入boot重新啟動,可破除密碼>>
自己做的NAT,調(diào)試成功了,呵呵
[Router]dis nat trans
**Total 3 NAT items, 3 in hash list, 0 in extended-list
Pro GlobalAddr GlobalPort InsideAddr InsidePort DestAddr DestPort
6 192.168.34.50 12420 10.0.0.2 1473 207.46.108.89 1863
17 192.168.34.50 12432 10.0.0.2 4004 202.104.129.2528000
6 192.168.34.50 12464 10.0.0.2 1468 207.46.107.99 1863
[Router]dis cur
Now create configuration...
Current configuration
!
version 1.74
local-user cisco service-type ppp password simple cisco
local-user lover service-type administrator password simple cisco
nat address-group 192.168.34.50 192.168.34.51 1
firewall enable
aaa-enable
aaa accounting-scheme optional //如果從AAA服務(wù)器過來的得不到正確的計費應(yīng)答時,仍然讓用戶訪問網(wǎng)絡(luò)。
!
acl 10 match-order config
rule normal permit source any
!
interface Aux0
async mode flow
link-protocol ppp
!
interface Ethernet0
ip address 192.168.34.51 255.255.255.0
nat outbound 10 address-group 1
!
interface Ethernet1
ip address 10.0.0.1 255.0.0.0
!
interface Serial0
link-protocol ppp
!
interface Serial1
link-protocol ppp
!
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.34.1 preference 60
!
return
華為的學(xué)習(xí)手冊筆記
interface 進(jìn)接口或子接口,undo interface s0.1 刪除子接口
reset interface counters interface
缺省情況下,以太網(wǎng)的IP包是支持enternet 2型,
speed 10/100/negotiation
deplex full/half
bandrate /bandwidth思科 同步接口是默認(rèn)64000bps,異步為9600bps
clock
默認(rèn)情況下,serial口是Dceclk,即向DTE提供時鐘,恢復(fù)為Dteclk1/2/3/4
flow control(software/handware/none)[inbond/outbond]
loopback在接口上設(shè)內(nèi)自環(huán)
interface s0#loopback
physical-mode(sync/async) 設(shè)置同異步串口
controler e1
channel set (邏輯接口編號1-30) timesolt range (0-31)
(router-e1-0)frame-format crc4/no crc4設(shè)置ce1/pri 四位冗余較驗位
router-e1-0#loopback在邏輯口上設(shè)對內(nèi)自環(huán)及對外的回波,協(xié)議狀態(tài)為down屬于正常,用于檢測鏈路及接口的狀態(tài)
ppp MP
link-protocal ppp
ppp authenatication-mode (chap/pap)
ppp pap password xxxx
display pppoe-client session
isdn :
display isdn active-channel
PPTP是拔廣域網(wǎng)廣口。
L2TP enable //在路由器上啟用VPDN
allow l2tp virtal-templete (templete number) [remote remote-name]
display l2tp session/tunnel
華為支持L2TP,思科支持PPTP、L2TP,
L2TP match-order {dnis-domain} //先根據(jù)被叫號碼進(jìn)行L2TP組查找,然后再根據(jù)域名組進(jìn)行查找
l2tp session-limit 1000 設(shè)置最大的會話數(shù)
l2tp-group group-number 用來創(chuàng)建l2tP組。
例:
router# l2tp-group 1
router-l2tp1# mandatory-chap //強(qiáng)制用chap 來驗證client身份。
start l2tp{ip /對端ip}{domain-name}{dnis/電話號碼}{fullname/全名}
tunnel authentication 啟用l2tp隧道驗證
tunnel password
tunnel name
gre
interface tunnel 0
router-tunnel0 source ip
router-tunnel0 destination ip
gre checksum //加校驗核 允許校驗核。默認(rèn)關(guān)
gre key key-number
gre sequence-datagrams 數(shù)據(jù)報需要序列號同步
IP網(wǎng)絡(luò)層
ip address ppp-negotiate命令用來允許ip協(xié)商,當(dāng)在對端路由器上配置remote IP,使得本端得到ip,g 一般用在ISP提供動態(tài)IP。
ip address unnummbered
封裝了PPP,HDLC,F(xiàn)RAMERELAY,tunnel的口可以借其他以太口的IP
example :interface s0
ip add unnumbered
interface s1
ip add ppp-negotiate
用來配置可以用借其他的接口的IP。封裝了PPP,HDLC,F(xiàn)RAMERELAY,SLIPC以及tunnel端口
router-s0# remote address 10.0.0.1給對端配置IP
router-e0# vlan-type dot1q vid 1 指定端口加入VLAN 1
dhcp enable
dhcp server ip-pool pool-name
dhcp server forbidden-ip low-ip high-ip
network 192.168.1.0 255.255.255.0 dhpc地址池0的地址間
gateway-list 網(wǎng)關(guān)
dns-list DNS的設(shè)置
domain-name mydomainname.com 表示分配給客戶端的后綴域名
dis dhcp server static
display dhcp server expired 顯示未用的IP
display dhcp server ip-in-use 顯示已用的IP
disp dhcp server tree
reset dhcp
router-dhcp0# domain-name mydomain.com.cn
把ip與mac進(jìn)行綁定。
# static-bind ip-address 10.1.1.1 mask 255.255.255.0
# static-bind mac-address 00-00-0e-3f-03-05
router acl 101
router-acl-1#rule permit source
interface e0# nat outbound 101 interface
或者:
nat address-group x.x.x.x-x.x.x.x abc
interface s0# nat outbound 101 address-group abc
增加訪問控制列表與接口的關(guān)聯(lián)。
Interface e0
做基于端口的PAT,把內(nèi)網(wǎng)的IP關(guān)聯(lián)到外網(wǎng)IP的一個端口上面>>>>>>>
[Router-Serial0]nat server global 192.168.0.4 inside 10.0.0.2 ftp tcp
userlog nat(flow-begin) (acl編號)
缺省時關(guān)閉的,可以打開日志
info-center enable
info-center console 向控制口送
userlog nat
info morinitor
info syslog
static-route reference 60 默認(rèn)的優(yōu)先級為60
vpdn(虛擬私有拔號網(wǎng))
中小型企業(yè),利用PSTN,ISDN,拔號入網(wǎng),為移動辦公人員,提供接入服務(wù)。VPDN隧道協(xié)議分為PPTP,L2F,L2TP。
LAC:L2TP ACCESS CONCENTRATOR // L2TP訪問集中器。
LNS:L2TP NETWORK SERVER // L2TP網(wǎng)絡(luò)服務(wù)器。
L2TP排故的步驟:
1、 檢查LAC與LNS的互通性
2、 檢查VPDN用戶能否通過LAC端的驗證
3、 檢查LAC端是否發(fā)起L2TP隧道連接
4、 檢查LNS是否接收到連接
5、 檢查LNS端的用戶路由信息。
ospf
幾種類型:
Router-LSA 由每個路由器生成,描述了路由器的鏈路狀態(tài)和花費,傳遞到整個區(qū)域 type=1
Network-LSA,由DR生成,描述了本網(wǎng)段的鏈路狀態(tài),傳遞到整個區(qū)域 type=2
Net-Summary-LSA,由ABR生成,描述了到區(qū)域內(nèi)某一網(wǎng)段的路由,傳遞到相關(guān)區(qū)域 type=3
Asbr-Summary-LSA,由ABR生成,描述了到ASBR的路由,傳遞到相關(guān)區(qū)域 type=4
AS-External-LSA,由ASBR生成,描述了到AS外部的路由,傳遞到整個AS(STUB區(qū)域除外) type=5
樹型結(jié)構(gòu),不會產(chǎn)生環(huán)路。
只有在廣播和NBMA時要選舉DR,BDR,其它的時候不需要。
import-route protocal (cost|type|tag|route-policy ) 目前direct ,static,rip,is-is, bgp
abr-summary ip-add mask mask-ip area id 定義聚合網(wǎng)段,缺省情況下,不對其匯總聚合,而且只有在ABR上進(jìn)行其匯總。
vlink-peer router-id {hello|...}在兩臺ABR之間指定
stub區(qū)的配置:
stub{no-summary}
如果某個區(qū)被規(guī)劃成stub區(qū)域,所有區(qū)內(nèi)的路由器都要配,no-summary參數(shù)所,在abr上區(qū)域間的summary 第三種類型通告將被過濾,路由進(jìn)一步減少。
default-cost value 用于stub 區(qū),在abr上配置,指發(fā)送到stub區(qū)缺省的路由開銷費用。
stub區(qū)域內(nèi)不能有aSBr,不能用import-route重分發(fā)路由。
ospf network-type (broadcast|nbma|p2mp|p2p)
當(dāng)鏈路層是PPP,HDLC封裝時,用P2P,frame-relay/x.25時,是nbma,點到多點時,要修改為p2tp.
debuging ospf{event|packet[ack|dd|hello|request|update]|isa|spf}
default import-route cost 引入外部路由的缺省值
default import-route type 1/2 類似于CISCO e1/e2,
dis ospf area/error/database/
display ospf ase 外部路由顯示
dis ospf interface
copy xmodem: flash:c3500
網(wǎng)絡(luò)存儲與小型機(jī)與網(wǎng)絡(luò)設(shè)備是我今后的發(fā)展目標(biāo)。
HP,EMC,IBM,VERITAS,
dns:外設(shè)備,與服務(wù)器直接
nas:與服務(wù)器獨立有IP,但擴(kuò)展幾臺后,文件系統(tǒng)不能直接相連,
sun:光纖FC+SUN,速度快,以數(shù)據(jù)存儲為中心,面向網(wǎng)絡(luò)的存儲結(jié)構(gòu),采用可擴(kuò)展的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)連接服務(wù)器和存儲設(shè)備,并將數(shù)據(jù)的存儲和管理集中在相對 獨立的專用網(wǎng)絡(luò)中,面向服務(wù)器提供數(shù)據(jù)存儲服務(wù)。
ip sun新技術(shù),把NAS的IP與SUN的FC,10公里異地備份。
iSICI:是一種在INTERNET協(xié)議網(wǎng)絡(luò)上,是以太網(wǎng)上進(jìn)行數(shù)據(jù)塊(BLOCK)傳輸?shù)臉?biāo)準(zhǔn),是一個供硬件設(shè)備使用的可以在IP協(xié)議上層運行的SCSI指令集,它可以實現(xiàn)在IP網(wǎng)絡(luò)上運行SCSI協(xié)議,使其能夠在以太網(wǎng)上進(jìn)行路由選擇。
ILM(imformation lifecycle Management)生命周期管理,即對信息的產(chǎn)生,使用到消亡這樣的一個完整的生命過程進(jìn)行有效管理 ,使用不同成本的存儲器來保存不同類型的信息。HP,IBM,VERITAS提出 了自己的ILM。
中小型企業(yè)smb ,SUN,EMC
線路保證 1,主從備份:如廣域網(wǎng)通過拔號線來做備份,負(fù)載分擔(dān):用幾條鏈路做CHANNAL GROUP
區(qū)域劃分
身份驗證:路由器有4種 telnet/ consal/snmp/modem 遠(yuǎn)程配置
訪問控制:分級保護(hù),不能級別的用戶,擁有不同的操作權(quán)限
五元素是指:源IP,目標(biāo)IP,協(xié)議號,原端口號,目標(biāo)端口號
信息隱藏:NAT
數(shù)據(jù)加密和防偽:技術(shù):數(shù)據(jù)加密,以防止傳輸不可避免地被偵聽
防偽:數(shù)字簽名,報文在傳輸過程中被獲取,修改,再傳,接受端進(jìn)行識別,丟棄被修改的部分。
IPSEC
Ip 路由策略與引入
作用:
1, 過濾路由信息的手段,
2, 發(fā)布路由信息時只發(fā)送部分信息
3, 接收路由信息時只接收部分信息
4, 進(jìn)行路由引入時引入滿足特定的條件的信息支持等值路由
5, 設(shè)置路由協(xié)議引入的路由屬性
和策略相關(guān)的五種過濾器
路由策略(routing policy)
訪問列表(access_list)
前綴列表(prefix-list)
一個prefix-list由列表名標(biāo)識可能分為幾個部分,由序列號指定這幾個部分的匹配順序,在每個部分中,用戶可以獨立指定一個網(wǎng)絡(luò)的前綴形式的匹配范圍。在匹配過程中,不同的序列的各個部分之間的關(guān)系是或。路由信息集資匹配各個部分,通過其中的某一部分,就意味著通過該prefix-list的過濾。
自治系統(tǒng)路徑訪問列表(aspath-list)
僅用于BGP。
團(tuán)體屬性列表(community-list)
網(wǎng)絡(luò)中存在的幾種攻擊:
報文分析
IP地址欺騙
端口掃描
拒絕服務(wù)
分布式拒絕服務(wù) distribute deny of service (DDOS)
應(yīng)用層攻擊:如木馬等
AAA 驗證,受權(quán),記帳,它是基于用戶名和密碼的,而包過濾的防火墻ACL是基于IP的特征的
主要用于用戶拔號,進(jìn)行驗證,受權(quán),記費
IPSEC/IKE
IPSEC:(IP SECURITY),是一組開放的協(xié)議的總稱,特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證,以保證數(shù)據(jù)包在INTERNET網(wǎng)上傳輸時的私有性,完整性和真實性。通過AH,ESP這兩個安全協(xié)議來實現(xiàn)。
IKE:internat 密鑰交換協(xié)議,用于通信雙方協(xié)商和建立安全聯(lián)盟,交換 。IKE定義了通信雙方進(jìn)行身份認(rèn)證,協(xié)商加密算法以及生成共享的會話密鑰的方法。
AAA服務(wù)器與網(wǎng)絡(luò)設(shè)備之間是走的radius 協(xié)議
提供AAA支持的服務(wù):PPP,EXEC,F(xiàn)TP //pix為http,ftp,telnet時驗證。
驗證:用戶名、口令。包PPP的PAP、CHAP,EXEC用戶驗證,F(xiàn)TP用戶驗證。
50user 以下在本地路由器上建立數(shù)據(jù)庫,超過50個,在radius上建立。
quidway# aaa enalbe
quidway# aaa authentication-scheme login default radius local
# aaa accounting-scheme optional
serial0# ppp authentication-mode pap scheme default
radius server 129.7.66.68
radius server 129.7.66.66 accouting-port 0 備份計費服務(wù)器
radius server 129.7.66.67 authentication-port 0 備份驗證服務(wù)器。
radius shared-key this-is-my-secret
radius retry 2
radius timer response-timeout 5
與RADISU服務(wù)器的共享密鑰為this-is-my-secret 最大重傳次數(shù)為2,間隔5秒。
首先由各種服務(wù)(ppp,ftp,exec)得到用戶的信息,送給AAA驗證,如果通過,連同驗證信息與授權(quán)信息給路由器,由路由器提供相應(yīng)的服務(wù)給用戶,同時RADIUS開始計費
display aaa
debug radius primitive 原始,觀察AAA的請求與結(jié)果
debug radius event
aaa server/client 路由器為client
AAA是UDP 1812為驗證端口,1813為計費端口
作為安全協(xié)議,RADIUS自身的安全性也有一定的考慮,客戶端與服務(wù)端有共享密鑰,通過MD5算法對包進(jìn)行數(shù)字簽名,驗證簽名的正確性可以防止網(wǎng)絡(luò)上其他主機(jī)冒充路由器或者RADIUS服務(wù)器,用戶口令也加密
gre: 實際上是種承載協(xié)議,它提供了一種協(xié)議的報文封裝在另一種協(xié)議報文中的機(jī)制,使報文能在異種網(wǎng)絡(luò)中傳輸,異種報文傳輸?shù)耐ǖ婪Q為tunnel.
GRE的協(xié)議號是47,系統(tǒng)收到一個需要封裝和路由的數(shù)據(jù)報文后,我們稱為有效負(fù)載,首先被GRE封裝然后被稱為GRE報文,這個報文接著被封裝在IP報文中,然后完全由IP層負(fù)責(zé)此報文的轉(zhuǎn)發(fā)(FORWARDING)。
IP/IPX是乘客協(xié)議 IP是運輸協(xié)議,GRE是封裝協(xié)議。
鏈路層
IP
GRE
IP/IPX
Payload
配置命令:
interface tunnel number
tunnel0: source ip 真實的接口地址
tunnel0:destination ip 真實的對方接口對址。
tunnel0: ip add 虛擬的IP
調(diào)試命令:display tunnel 0
IPSEC/IKE
IPSEC:(IP SECURITY),是一組開放的協(xié)議的總稱,特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證,以保證數(shù)據(jù)包在INTERNET網(wǎng)上傳輸時的私有性,完整性和真實性。通過AH,ESP這兩個安全協(xié)議來實現(xiàn)。ESP:50和AH:51
AH:提供數(shù)據(jù)源驗證和數(shù)據(jù)完整性驗證
ESP:除數(shù)據(jù)源驗證和數(shù)據(jù)完整性驗證,還有加密功能。
IPSEC:有tunnel 和transport。在Tunnel方式上,用戶的整個IP數(shù)據(jù)包被用來計算AH和ESP頭,AH或ESP頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中;在傳送方式中,只是傳輸層數(shù)據(jù)被用來計算AH和ESP頭,AH或ESP和被加密的傳輸層數(shù)據(jù)被旋轉(zhuǎn)在源IP包頭后面。
AH:報文驗證頭協(xié)議,主要提供的功能有數(shù)據(jù)源驗證和數(shù)據(jù)完整性和防重放,算法有MD5,SHA1。AH插入標(biāo)準(zhǔn)的IP包頭后面,采用hash算法來對數(shù)據(jù)包進(jìn)行保護(hù)。
ESP:報文安全封裝協(xié)議,將需要保護(hù)的的用戶數(shù)據(jù)進(jìn)行加密后再封裝到標(biāo)準(zhǔn)的IP包中,可選的加密算法有DES,3DES。
IKE:internat 密鑰交換協(xié)議,用于通信雙方協(xié)商和建立安全聯(lián)盟,交換 。IKE定義了通信雙方進(jìn)行身份認(rèn)證,協(xié)商加密算法以及生成共享的會話密鑰的方法。
數(shù)據(jù)流:
安全聯(lián)盟(SA):對數(shù)據(jù)流提供的安全服務(wù)通過安全聯(lián)盟SA來實現(xiàn),它包括協(xié)議,算法,密鑰等內(nèi)容,具體確定了如何對IP報文進(jìn)行處理。一個SA就是兩個IPSEC系統(tǒng)之間的一個單向邏輯連接。輸入數(shù)據(jù)流和輸出數(shù)據(jù)流由輸入安全聯(lián)盟與輸出安全聯(lián)盟分別處理。安全聯(lián)盟由一個三元組(安全參數(shù)索引SPI、IP目的地址、安全協(xié)議號(AH或ESP)來唯一標(biāo)識。安全聯(lián)盟可以通過手工配置和自動協(xié)商)。手工是指在通過兩端的手工配置一些參數(shù),在兩端參數(shù)匹配和協(xié)商通過后建立安全聯(lián)盟。自動協(xié)商是通過IKE生成和維護(hù)。
SPI:安全參數(shù)索引
是一個32位的比物的數(shù)值,在每個IPSEC報文中都攜帶該值。SPI,IP目的地址、安全協(xié)議號三者結(jié)合起來,當(dāng)IKE自動協(xié)商時,SPI值會隨機(jī)產(chǎn)生。
共同構(gòu)成三元組。
安全聯(lián)盟生存時間(LIFE TIME)
以時間進(jìn)行限制或以流量進(jìn)行限制(每傳輸一定的字節(jié)數(shù)量的信息進(jìn)行更新)兩種
安全策略:(crypto map)
由用戶手工配置,規(guī)定對什么樣的數(shù)據(jù)流采用什么樣的安全的安全措施。
安全提議(Transform Mode)轉(zhuǎn)換方式
IKE:英特網(wǎng)密鑰交換協(xié)議,是IPSEC的信令協(xié)議。為IPSEC提供了自動的SA協(xié)商和管理,大大減化了IPSEC的配置和維護(hù)工作。IKE不是在網(wǎng)絡(luò)上直接傳輸密鑰,而是通過一系列的數(shù)據(jù)交換,最終計算出雙方共享的密鑰,并且第三方截獲,也不足已計算出真正的密鑰,IKE具有一套自保機(jī)制,可以在不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰,驗證身份。
數(shù)據(jù)驗證有兩個方面的概念:
1, 保證數(shù)據(jù)的完整性
2, 身份保護(hù),身份驗證確認(rèn)通信雙方的身份。身份數(shù)據(jù)在密鑰產(chǎn)生之后加密傳送。實現(xiàn)了對身份數(shù)據(jù)的保護(hù)。
DH交換與密鑰分發(fā):
是一種公共的密鑰算法。通信雙方在不發(fā)送密鑰的情況下通過一些數(shù)據(jù),計算出共享密鑰。
IKE的交換過程:
SA交換、密鑰交換、身份ID交換及驗證三個過程。IKE兩個階段,第一階段為建立IKE SA,主模式。
第二階段為快速模式,在IKE SA的保護(hù)下完成 IPSEC的協(xié)商。
IPSEC的配置命令:
1, 創(chuàng)建加密的訪問控制列表
2, 定義安全提議Quidway] ipsec proposal name
quidway-ike-proposal-10]encryption-algorithm[des-3des]加密
quidway-ike-proposal-10]authentication-method[pre-share]
quidway-ike-proposal-10]authentication-algorithm[md5/sha]選擇算法
quidway-ike-proposal-10]dh{group1/group2}
quidway-ike-proposal-10]sa duration seconds
quidway] ike pre-shared-key remote remote-address
quidway] ike sa keepalive-timer [interval/timeout] seconds
3, 定義安全協(xié)議Quidway-crypto-transform-trans
封裝模式:encapsulation-mode transport/tunnel
選擇安全協(xié)議: transform {ah-new | esp-new| ah-esp-new}
ah-new authentication-algorithm{md5-hmac-96|sha1-hmac-96}
esp-new authentication-algorithm {md5-hmac-96| sha1-hmac-96}
esp-new encryption-algorithm {3des|des…..}
4,創(chuàng)建安全策略
ipsec policy name sequence-number [manual|isakmp]
quidway-ipsec-policy-policy1-10] security acl access-list-number 引用訪問控制列表
tunnel remote add
proposal proposal1(2,3,4) 引用安全提議
5,在接口上應(yīng)用
quidway-serial0] ipsec policy policy-name
QOS:服務(wù)質(zhì)量
目標(biāo):避免并管理IP網(wǎng)絡(luò)擁塞
減少IP報文的丟失率
調(diào)控IP網(wǎng)絡(luò)的流量
為特定的用戶或特定的業(yè)務(wù)提供專用帶寬
支撐IP網(wǎng)絡(luò)上的實時業(yè)務(wù)
BEST-EFFORT-service (盡力而為服務(wù)模型):主要實現(xiàn)技術(shù)FIFO
Intergrate service(綜合服務(wù)模型)業(yè)務(wù)能過信令向網(wǎng)絡(luò)申請?zhí)囟ǖ腝OS服務(wù),網(wǎng)絡(luò)在流量參數(shù)描述的范圍內(nèi),預(yù)留資源以承諾滿足該請求。
Differentiated service (區(qū)分服務(wù)模型):當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時,根據(jù)業(yè)務(wù)的不同服務(wù)等級約定,有差別地進(jìn)行流量控制和轉(zhuǎn)發(fā)來解決擁塞問題。
RSVP:是第一個標(biāo)準(zhǔn)的QOS信令協(xié)議,它動態(tài)地建立端到端的QOS,它允許應(yīng)用程序動態(tài)地申請網(wǎng)絡(luò)帶寬等。RSVP不是一個路由協(xié)議,而是按照路由協(xié)議規(guī)定的報文流的路徑為報文申請預(yù)留資源,當(dāng)路徑變了后,它會按照新路由進(jìn)行調(diào)整,并在新的路徑上申請預(yù)留資源。RSVP只是在網(wǎng)絡(luò)的節(jié)點之間傳遞QOS請求,本身不完成這些QOS要求實現(xiàn),而是通過其他的技術(shù)如:WFQ.網(wǎng)絡(luò)節(jié)點收到請求后,比較資源請求和網(wǎng)絡(luò)現(xiàn)有的資源,確定是否接受。可以對每個資源請求設(shè)置不同的優(yōu)先級。這樣,當(dāng)優(yōu)先級較高的資源請求可以在網(wǎng)絡(luò)資源不夠的情況下,搶占低優(yōu)先級的預(yù)留資源。
RSVP的缺點:
要求端到端所有設(shè)備支持這協(xié)議
網(wǎng)絡(luò)單元為每個應(yīng)用保存狀態(tài)信息,可擴(kuò)展性差
周期性同想念單元交換狀態(tài)信息,協(xié)議報文開銷大。
不適合在大型網(wǎng)絡(luò)中應(yīng)用。
DiffServ:首先,在網(wǎng)絡(luò)的邊緣進(jìn)行不同的業(yè)務(wù)分類,打上不同的QOS標(biāo)記(著色)。分類的依據(jù)可以是報文帶的四層,三層,三層的信息,如源IP,目IP,源MAC,目MAC,TCP或UTP端口號等。然后在網(wǎng)絡(luò)內(nèi)部,根據(jù)著色的結(jié)果在每一跳進(jìn)行相應(yīng)的處理。
DifferServ:有以下幾種技術(shù)實現(xiàn):
CAR:根據(jù)報文所帶的信息進(jìn)行分類,并利用Precedence:(TOS的高3位最多分為8類或)DSCP(TOS的高6位)進(jìn)行著色,CAR同時也完成流量的度量和監(jiān)管。
GTS:對通過網(wǎng)絡(luò)節(jié)點,指定的業(yè)務(wù)或所有業(yè)務(wù)進(jìn)行流量整形,合其符合期望的流量指標(biāo)。
隊列機(jī)制:通過FIFO,PQ,CQ,WFQ等隊列技術(shù),在網(wǎng)絡(luò)擁塞時進(jìn)行擁塞管理,對不同業(yè)務(wù)的報文按用戶指定的策略進(jìn)行調(diào)度。
擁塞避免:WRED,對網(wǎng)絡(luò)擁塞情況進(jìn)行預(yù)測,并在此基礎(chǔ)上采用隨機(jī)丟棄部TCP報文的方式。
一般,在網(wǎng)絡(luò)邊界,對報文進(jìn)行著色,在網(wǎng)絡(luò)內(nèi)部則簡單的使用著色的結(jié)果作為對列調(diào)度、流量整形等處理的依據(jù)。
CAR(committed access rate):約定訪問速率
CAR用令牌桶算法,對流量進(jìn)行控制。當(dāng)CAR用來作流量監(jiān)管時,一般配置為:conform的報文進(jìn)行發(fā)送,對EXCEED的報文進(jìn)行丟棄。
命令:
qos carl carl-index {precedence precedence-value| mac mac-address}
qos car {inbound/outbound}{any/acl acl-index/carl aarl-index} cir eonnitted-rate cbs burst-size ebs exceess-burst-size conform action exceed action
acl:匹配訪問列表的報文
carl:匹配承諾訪問速率列表的報文。
Cir :正常的流量,在8k-155Mbps
Ebs: 所允許的突發(fā)數(shù)據(jù)塊的大小,取0-155m 單位為bits.
Conform Action:對符合流量約定的數(shù)據(jù)報文,可采取:
Continue
Discard:
Remark-prec-continue xxxxx為數(shù)據(jù)報文重設(shè)優(yōu)先級后,交由下條QOS CAR命令處理。
Remark-prec-pass xxxxx 為數(shù)據(jù)報文重設(shè)優(yōu)先級后,直接發(fā)送。
Pass 直接發(fā)送。
Exceed action 指示當(dāng)數(shù)據(jù)流量不符合流量約定時,對數(shù)據(jù)報文采取動作。注意:在一接口上(inbound或outbound)共可應(yīng)用100條car策略。應(yīng)用策略前,先禁止快速轉(zhuǎn)發(fā)功能。
實例:
quidway] qos carl 1 precedence 3
qos carl 2 precedence 5
quidway-ethernet0] qos car inbound any cir 800000 cbs 150000 ebs 0 conform remark prec-continue 5 execeed discard
quidway-serial1] qos car inbound any cir 800000 cbs 150000 ebs 0 conformremark-pree continue 3 exceed discard
quidway-serial0] qos car outbound carl1 cir 800000 cbs 150000 ebs 0 conform pass exceed discard
quidway-serial] qos car outbound carl 2 cir 800000 cbs 150000 ebs 0 conform pass exceed discard
GTS配置命令:
為某一類別流配置整形參數(shù)
qos gts acl acl-index cir committed-rate [cbs burst-size[ebs excess-burst-size][隊列長度]]
為所有的流配置整形參數(shù)
qos gts any cir committed-rate [cbs burst-size[ebs excess-burst-size[隊列參數(shù)]]]
其中queue length 的默認(rèn)長度為50
LR物理接口限速(line rate,LR)
在一個物理接口上,限制接口發(fā)送報文的總速率(對全部的流量,而GTS,CAR只適合于IP包。)
LR的配置命令:
Qos LR cir committed-rate [cbs burst-size[ebs excess burst-size]]
缺省地,burst-size是committed的兩倍
當(dāng)網(wǎng)絡(luò)出現(xiàn)堵塞時,用到隊列來實現(xiàn)。FIFO、PQ、CQ、WFQ
priority queueing優(yōu)先級隊列:
實例:
quidway]acl 1
quidway-acl-1] rule permit ip source 10.0.0.0 0.255.255.255
quidway] qos pql 1 protocol ip acl 1 queue top
quidway] qos pql 1 inbound-interface serial 1 queue bottom
quidway] qos pql 1 default-queue middle
quidway] qos pql 1 queue top queue-length 10
// 定義隊列的長度為:top 20
middle 40
normal 60
bottom 80
quidway-serial0] qos pq pql 1
缺點,PQ當(dāng)較高的優(yōu)先級的報文絕對的優(yōu)先權(quán),這樣雖然可以保證關(guān)鍵業(yè)務(wù)的優(yōu)先,但在較高優(yōu)先級的報文的速度總是大于接口的速度時,將會使較低優(yōu)先級的報文始終得不到發(fā)送的機(jī)會,采用CQ,定制隊列,用戶可配置隊列占用的帶寬比例關(guān)系,根據(jù)優(yōu)先級高低,輪詢調(diào)度。將可以避免這種情況的發(fā)生。CQ可以將報文分類,然后按類別將報文被分配到CQ的一個隊列中去,對每個隊列,可以規(guī)定隊列中的報文應(yīng)占接口帶寬的比例,這樣就可以讓不同業(yè)務(wù)報文獲得合理的帶寬,從而保證關(guān)鍵業(yè)務(wù),也不到于使非關(guān)鍵業(yè)務(wù)得不到帶寬。
取值范圍為0-16,系統(tǒng)為0,缺省隊列號為16。
定義好的隊列組需要應(yīng)用在接口上。一個接口上只能應(yīng)用一個隊列組,一個隊列組可以應(yīng)用于多個接口上。
實例:
quidway]acl 1
] rule permit ip source 10.10.0.0 0.0.255.255
quidway] qos cql 1 protocol ip acl 1 queue 1 //訪問控制列表1定義的報文入CQ組1隊列1。
quidway] qos cql 1 queue 1 queue-length 100 //隊列1的長度為100
queue-serving 5000 //隊列1的每次輪詢發(fā)送的字節(jié)數(shù)為5000。
Quidway] qos cql 1 intbound-interface serial 1 queue 2//將從接口S1進(jìn)入的報文入CQ組1隊列2
Qos cql 1 queue 2 queue-length 90
Quidway-serial0] qos cq cql 1// 將CQ組1應(yīng)用到串口上。
WFQ :weigth fair queue 加權(quán)公平隊列
原理:在保證公平(帶寬,延遲)的基礎(chǔ)上體現(xiàn)權(quán)值,權(quán)值大小依賴IP報中帶的IP優(yōu)先級(precedence).WFQ 對報文按流進(jìn)行分類,即相同的五個元素為一個流),每個流被分配到一個隊列當(dāng)中,過程稱為散列,入隊過程采用HASH算法自動完成,出去時,WFQ按流的優(yōu)先級來分配每個流占有的不同的帶寬。
命令:qos wfq queue-length 64(缺省地一個隊列數(shù)據(jù)包最大數(shù)) queue number 512(一共加起來的個包)
當(dāng)隊列中同時丟棄多個TCP連接的報文時,將造成多個TCP連接同時進(jìn)入慢啟動和擁塞避免,稱之為:TCP全局同步。
RED(random early detection)隨機(jī)早期檢測
WRED(Weighted random early detection)加權(quán)的隨機(jī)早期檢測。
WRED:
1, 采用隨機(jī)丟棄的策略,避免了尾部丟棄的方式而引起TCP全局同步
2, 根據(jù)當(dāng)前隊列的濃度來預(yù)測擁塞的情況
3, 根據(jù)優(yōu)先級定義不同的丟棄策略,定義上限閥值和下限閥值。
4, 相同的優(yōu)先級不同的隊列,隊列長度越長丟棄概率越高。
一般地,WRED與WFQ一起用,
實例:
quidway-serial0] qos wfq//在接口上使用WFQ隊列策略
quidway―serial0] qos wred //使用默認(rèn)的WRED參數(shù)。
QOS信息的監(jiān)控與維護(hù):
Display qos[car/qts/lr/cq/pq/wfq/wred] [interface type number] //接口的QOS配置和統(tǒng)計信息。
Dis qos [cql/pql]//顯示PQ與CQ的隊列列表內(nèi)容。
交換部分:
生成樹協(xié)議:
首先各端口收到的配置消息和自己的配置消息做比較,得到優(yōu)先級高的配置,并更改本身的配置消息,主要工作有:
1, 選擇根網(wǎng)橋ROOTID:最優(yōu)配置消息ROOTID,,
2, 計算到根網(wǎng)橋的路徑最短開銷值:如果自己不是根網(wǎng)橋,則開銷值rootpathcost等于所收到的最優(yōu)配置消息的開銷值與收到該配置消息的端口開銷之和
3, 選擇根端口ROOTPORT:如果自己是根橋,則根端口為0,否則一般為收到最優(yōu)配置消息的那個端口。
4, 指定端口:除了根端口外的其他生成樹上處于轉(zhuǎn)發(fā)狀態(tài)的端口
5, 最后,修改了自己的BPDU后,該網(wǎng)橋從指定端口將自己的配置消息發(fā)送出去。
如果網(wǎng)橋端口來
hello time 網(wǎng)橋從指定端口以HELLO TIME為周期定時發(fā)送配置消息
message age / max age 端口保存的配置消息有一個生存期message age字段,并按時間遞增,每當(dāng)收到一個生存期比自己小的配置消息時,則更新自己的配置消息,當(dāng)一段時間未收任何配置消息,達(dá)到max age時,網(wǎng)橋認(rèn)為該端口處于鏈路故障,進(jìn)行故障處理。該網(wǎng)橋?qū)仐夁@個過時的配置消息,重新計算生成樹。
什么時候阻塞的端口接收轉(zhuǎn)發(fā)的數(shù)據(jù),(不包括STP協(xié)議報文),直到新的情況發(fā)生觸發(fā)生成樹的重新計算,比如另外一條鏈路斷開,或端口收到更新的配置消息。
新聞熱點
疑難解答
圖片精選
