HCIP笔记

HCIP笔记

IERS

OSPF协议基础

基于HCIA笔记-链路状态路由协议-OSPF的一些补充。

RIP的不足

• RIP是基于距离矢量算法的路由协议，RIP协议的组播地址为224.0.0.9，存在收敛速度慢、度量值不科学、扩展性差问题，互联网工程组IETF提出基于SPF算法的链路状态协议OSPF。

RIP特性	带来的问题	OSFP优化或解决方式
逐跳收敛	收敛慢，故障恢复时间长	收到更新->计算路由->发送更新改为收到更新->发送更新->计算路由
传闻路由更新机制	缺少对全局网络拓扑的了解	路由器基于拓扑信息，独立计算路由
最多有效跳数为15	环形组网中，使远端路由不可达	不限定跳数
以跳数为度量	存在选择次优路径的风险	将链路带宽作为选路参考值

OSPF协议

OSPF不直接传递个路由器路由表，而传递链路状态信息，各路由器基于链路状态信息独立计算路由。所有路由器各自维护一个链路状态数据库，基于SPF算法计算最优路由。度量方式使用带宽作为参考依据：度量值cost = 100^8 / 带宽 = 100M / 带宽。

• OSPF工作过程：邻居建立->同步链路状态数据库->计算最优路由；

• 手动建立邻居：对于不支持组播的网络可以通过手动配置实现邻居的发现和维护，在OSPF进程下通过命令peer 10.1.12.2单播邻居；

• 邻居和邻接关系：在点对点P2P网络及点到多点P2MP网络上，具有邻居关系的路由器会进一步建立邻接关系。在广播型网络及NBMA网络上，非DR/BDR路由器之间只建立邻居关系，非DR/BDR路由器与DR/BDR路由器建立邻接关系，DR与BDR之间也建立邻接关系；

• LSA头部：LSA是OSPF链路状态信息的载体，是LSDB的最小组成单位，在DD报文和LSR报文中会使用LSA头部作为有效载荷发往对端，在LSU报文中会发送完整的若干条LSA信息。LS type、Link State ID、Advertising Router的组合共同标识一条LSA。

LS age	Options	LS type
16位	8位	8位
LSA已生存的时间，单位秒	选项	LSA的格式和功能，LSA一般有5种

Link State ID
32位
LSA所描述的那部分链路的标识，如Router ID等

Advertising Router
32位
产生此LSA的路由器的Router ID

LS sequence number
32位
用于检测旧的和重复的LSA

LS checksum	length
16位	16位
校验和	长度

• 略HCIA笔记：Router ID、Hello报文、OSPF邻居建立过程、OSPF支持的网络类型、OSPF度量方式、OSPF协议报文头部、OSPF报文类型、OSPF邻居建立过程与数据库同步、邻居状态机、DR、BDR选举；

总结

• OSPF支持的四种网络类型包括：点到点（只有两台路由器，PPP、HDLC网络）、广播型（两台以上路由器）、NBMA（默认为帧中继、ATM网络）、点到多点P2MP；
• LSA（Link State Advertisement）不属于OSPF报文类型，它只是LSU报文中的一条载荷信息，LSU报文格式如图：

---

OSPF域内路由

LSA头部LS type定义了多种类型，域内路由LSA类型：Router-LSA（一类LSA）、Network-LSA（二类LSA）

OSPF链路类型

类型	描述
P2P	点到点，拓扑信息，描述了如点到点网络的链路类型，同时配合STUB链路可以完整的描述一条P2P网络类型的邻居
Trans Net	传输链路，拓扑信息，描述了广播型网络结构上的邻居信息
Stub Net	STUB链路，路由信息，用于描述末梢网络以及配合P2P链路完成网络信息的描述
virtual-link	虚链路，用于描述虚链路上的邻居关系

Router-LSA描述P2P网络

[routeA]interface Serial 4/0/0
[routeA-Serial4/0/0]link-protocol ppp
[routeA-Serial4/0/0]ip address 10.1.1.1 24
[routeA-Serial4/0/0]quit
[routeA]ospf router-id 1.1.1.1
[routeA-ospf-1]area 0
[routeA-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[routeA-ospf-1-area-0.0.0.0]display ospf peer 

	 OSPF Process 1 with Router ID 1.1.1.1
		 Neighbors 

 Area 0.0.0.0 interface 10.1.1.1(Serial4/0/0)'s neighbors
 Router ID: 2.2.2.2          Address: 10.1.1.2        
   State: Full  Mode:Nbr is  Master  Priority: 1
   DR: None   BDR: None   MTU: 0    
   Dead timer due in 35  sec 
   Retrans timer interval: 5 
   Neighbor is up for 01:17:37     
   Authentication Sequence: [ 0 ]

[routeA-ospf-1-area-0.0.0.0]display ospf lsdb router self-originate

	 OSPF Process 1 with Router ID 1.1.1.1
		         Area: 0.0.0.0
		 Link State Database 


  Type      : Router
  Ls id     : 1.1.1.1
  Adv rtr   : 1.1.1.1  
  Ls age    : 338 
  Len       : 48 
  Options   :  E  
  seq#      : 80000002 
  chksum    : 0x9822
  Link count: 2
   * Link ID: 2.2.2.2      
     Data   : 10.1.1.1     
     Link Type: P-2-P        
     Metric : 48
   * Link ID: 10.1.1.0     
     Data   : 255.255.255.0 
     Link Type: StubNet      
     Metric : 48 
     Priority : Low

• 每台OSPF路由器使用一条Router-LSA描述本区域内的链路状态信息，一条Router-LSA可以描述多条拓扑，每条拓扑信息由4个字段组成，字段含义：

字段	含义
Type	LSA类型
Ls id	Link State ID链路状态ID，在一类LSA中一般为生成这条LSA路由器的Router ID
Adv rtr	这是发出LSA的通告方路由器，即产生这条LSA的路由器Router ID
拓扑信息Link ID	用来描述邻居关系，1描述邻居Router ID，2Data连接邻居的接口地址为10.1.1.1，3Link Type连接类型为P2P点对点，4Metric到达邻居的度量值48
路由信息Link ID	1该Stub网络的IP地址，2该Stub网络的子网掩码，3连接类型为Stub类型，4度量值为48

Router-LSA描述多路访问MA网络或非广播型多路访问NBMA网络

• 该Router-LSA的Link ID为DR的接口IP地址，Data为本地与DR在同一链路上的接口IP地址。Trans Net描述的链路中仅包括与DR的连接关系及开销，没有网络地址、掩码及共享连路上的其他路由器任何信息。这些信息将会在二类Network-LSA中体现。

Network-LSA描述多路访问MA网络或非广播型多路访问NBMA网络

• MA网络或NBMA网络中的网络号、掩码等拓扑信息、路由信息通过二类LSA体现由DR生成，泛洪范围与一类LSA一致都为本区域内，点对点网络不存在二类LSA，因为点对点网络不会选举DR/BDR，网络地址通过Ls id和掩码与运算获得，从DR到其连接的所有路由器开销为0。字段含义如下：

字段	含义
Type	LSA类型
Ls id	DR的接口IP地址
Adv rtr	产生这条LSA的路由器Router ID，即DR的Router ID
Net mask	该网段的网络掩码
Attached Router	连接到该网段的路由器列表，呈现了此网段的拓扑信息

OSPF区域内LSDB

• 一、二类LSA用来计算区域内无环拓扑树，上图所示，五台路由器产生2个DR（RTB上的10.1.12.2、10.1.253.2，注意串口线连接的P2P网络不产生DR/BDR），RTA的LSDB包括5台路由器的一类LSA，2台广播网路由器的二类LSA。

SPF计算过程

阶段1构建SPF树，阶段2计算最优路由。每台路由器都有自己的拓扑树，都认为自己是树的根节点，分别以自身为根节点计算最短路径树，SPF树计算方式总结：

1. 使用display ospf lsdb [router/network] [self-originate/X.X.X.X]分别查看当前路由器和其他路由器拓扑信息和路由信息；
2. 查看一、二类LSA。每类LSA信息中，优先查看Link Type字段，再去分析Link ID、Data字段所产生的拓扑；
3. 牢记一类LSA的Ls id、Adv rtr为自己，拓扑信息Link ID描述邻居Router ID或DR地址（取决于是否为P2P或TransNet），Data为连接邻居的接口地址，Metric值后面计算最优路径要使用需要记，路由信息Link ID为网络地址；
4. 牢记二类LSA的Ls id、Adv rtr为DR的IP和DR的Router ID，因为二类LSA是由DR发出的，从DR到其连接的所有路由器开销为0；

• 在不知道网络拓扑情况下，仅根据一、二类LSA构建SPF树过程示例：

图一：

由图可知，路由器RTA自身Router ID为1.1.1.1，连接了一条P2P链路（邻居Router ID为3.3.3.3，连接邻居的接口IP为10.1.13.1，度量值48），一条TransNet链路（发现一个DR的IP地址为10.1.12.2，不确定与DR的连接方式是否为直连，但与之交互的接口IP为10.1.12.1，度量值为1），据此可以画出如下部分SPF树：

图二：

这里查看了图一发现的DR的二类LSA，得知这个DR的Router ID为2.2.2.2，且其附属路由器仅为2个，一个是2.2.2.2即自己，一个是1.1.1.1即RTA，所以确定了RTA与该DR直连，补充部分SPF树：

图三：

这里查看了DR路由器的一类LSA，得知这个路由器连接了一条P2P链路（邻居Router ID为4.4.4.4，连接邻居的接口IP为10.1.24.2，度量值48），一条TransNet链路（链路上DR的IP地址为10.1.12.2，连接DR的接口IP也是10.1.12.2，即就是自己与RTA直连的链路，度量值为1），与另一条TransNet链路（发现另一个DR的IP地址为10.1.235.2，连接另一个DR的接口IP也是10.1.235.2，即这个DR也是自己，至于这个DR连接着什么尚不清楚，度量值为1），据此补充部分SPF树：

图四：

这里查看了另一个DR的二类LSA，得知这个DR的Router ID为2.2.2.2，且其附属路由器仅为3个，一个是2.2.2.2即自己，一个是3.3.3.3（图一中已找到），一个是5.5.5.5，由于一条链路上有3台路由器，所以必定有一台交换机将3台路由器连接。由于RTA到3.3.3.3的度量值为48，而通过10.1.235.2到达3.3.3.3的度量值为1+0+1+0=2，所以删除到3.3.3.3累计度量值为48的候选项，补充部分SPF树：

图五：

查看Router ID为3.3.3.3的一类LSA，得知这个路由器连接了一条P2P链路（邻居Router ID为1.1.1.1即RTA，连接邻居的接口IP为10.1.13.3，度量值48），一条TransNet链路（链路上DR的IP地址为10.1.235.2，连接DR的接口IP也是10.1.235.3，度量值为1），补充部分SPF树：

图六：

查看Router ID为5.5.5.5的一类LSA，得知这个路由器连接了一条P2P链路（邻居Router ID为4.4.4.4，连接邻居的接口IP为10.1.45.5，度量值48），一条TransNet链路（链路上DR的IP地址为10.1.235.2，连接DR的接口IP也是10.1.235.5，度量值为1）。由于RTA通过2.2.2.2到达4.4.4.4的度量值为1+0+48=49，而通过5.5.5.5到达4.4.4.4的度量值为1+0+0+1+48=50，所以删除通过5.5.5.5到达4.4.4.4的累计度量值为50的候选项，补充部分SPF树：

完整的SPF树为：

推算出完整的网络拓扑结构为：

计算最优路由

需要看SPF树，方便计算到达不同网段的最小度量值，和通告该网络地址的Router ID。

网络地址	度量值	链路类型	下一跳地址	通告路由
10.1.12.0/24	1	Transit	10.1.12.1	1.1.1.1
10.1.13.0/24	48	Stub	10.1.13.1	1.1.1.1
10.1.24.0/24	49	Stub	10.1.12.2	2.2.2.2
10.1.45.0/24	50	Stub	10.1.12.2	5.5.5.5
10.1.235.0/24	2	Transit	10.1.12.2	2.2.2.2

注意：通过OSPF优选后的路由不一定进入系统路由表，因为还有其他协议获得路由，不同方式获得的路由会进行优先级比较。

总结

• 实例中RTA最终与Router ID为2.2.2.2和3.3.3.3的路由器建立了邻接关系，且连接状态达到了OSPF状态机的FULL状态；
• Router-LSA中包含P2P、Trans Net、Stub Net、vlink四种链路类型；
• 经过OSPF优选后的路由不一定进入系统路由表，还需要进行协议优先级比较；

---

OSPF域间路由

• 对于单区域过大带来的问题：

1. LSA过多导致LSDB过大SPF计算太耗资源，拓扑更新使整个区域重新计算路由，路由器负担过大降低了稳定性；
2. 设备性能差异导致LSDB承载能力不同，需要划分层级；
3. 出现网络分支时，不方便管理，不好区分；
4. 不能汇总路由，单区域中不能通过LSDB汇总，因为区域内所有路由器LSDB要保持一致，只要一台路由器存在细化路由，其他路由器就不能汇总，导致路由表空间占用较大；

区域间路由计算过程

• 区域内部路由器称为IR，与0区域连接的区域边界路由称为ABR，区域内部路由器维护本区域内的链路状态信息并计算区域内的最优路径，区域间路由传递依靠三类LSA，即Network-Summary-LSA：

1. ABR将一个区域一类、二类LSA转化为三类LSA，泛洪到相邻区域，三类LSA也只由ABR产生；
2. 三类LSA使用命令display ospf lsdb summary 查看，格式如下

字段	含义
Type	LSA类型
Ls id	目的网段地址
Adv rtr	产生这条LSA的路由器Router ID，即ABR的Router ID
Net mask	该网段的网络掩码
Metric	ABR到达目标网段的开销值

3. 三类LSA的路由计算：根据收到的三类LSA字段获得ABR的Router ID、目的网段、掩码、开销，将本路由器区域内到达ABR的开销与三类LSA开销累计，便获得到达目标网段的路由。若收到了多个ABR产生的指向相同网段的三类LSA，则选择根节点到达目的网络开销最小的路由，若累计开销相同，则产生等价负载路由。

区域间路由防环路机制

区域间环路的产生：

• 区域间环路的避免：

1. 所有非骨干区域必须要与骨干区域0相连接，非骨干区域间通信都要通过骨干区域中转，从骨干区域传来的LSA不再传回骨干区域；
2. 只有ABR才会产生三类RSA，非骨干区域通信需通过骨干区域中转，ABR必须是与0区域和其他区域间的路由器，不与区域0连接的其他区域间路由器不能称为ABR；
3. 若两个ABR发生了直连，互相发出的三类LSA，做到只接收，不计算、不传递；

虚连接的作用及配置

• 若只有一个区域，且区域号非0，只持续是一个区域不会发生问题，若网络扩充时出现了其他区域，则可能出现不与区域0相连的区域无法与其他区域传递路由信息，如下：

此时可以创建一个虚连接vlink：

虚连接使Area2与Area0相连，RTC就可以产生3类LSA了。虚连接可以在任意两个区域边界路由器上建立，但要求都有端口连接到同一个非骨干区域。虚连接并不是一种常规配置，它出现在网络故障、应急措施，此时RTC传递的路由消息比较混乱（RTB与RTC间会产生一类vlink类型RSA，也会有1、2区域LSDB，也会生成三类LSA等）。

总结

• 一条Network-Summary-LSA只能描述一条路由信息；
• OSPF避免域间环路措施：非骨干区域需直连骨干区域、只有ABR才会产生三类LSA、非骨干区域收到的三类LSA只接收不计算；

---

OSPF外部路由

• 不同路由协议之间存在互访需求，需要自治系统边界路由器ASBR，用于引入外部路由，ASBR生成五类LSA，即AS-External-LSA描述如何到达目的网络，ASBR区域内的ABR收到五类LSA会产生四类LSA，即ASBR-Summary-LSA，连同五类LSA一起向相邻区域泛洪，描述如何从ABR到达ASBR，其他OSPF路由器收到四、五类LSA计算外部路由。

AS-External-LSA五类LSA

字段	含义
Type	LSA类型
Ls id	目的网段地址
Adv rtr	产生这条LSA的路由器Router ID，即ASBR的Router ID
Net mask	该网段的网络掩码
Metric	ASBR到达目标网段的开销值
Tag	外部路由信息可以携带一个标签，用于路由策略，默认1
E type	外部路由类型，为1时，度量值表示AS内部开销+AS外部开销，为2时（默认）只表示AS外部开销，E type 1比E type 2的路由优先级更高，因为开销描述更精确
Forwarding Address	默认0.0.0.0，当发生ASBR、外部路由器、OSPF域内部其他路由器在同一链路上，产生次优路径时，ASBR将该字段置为外部路由器地址，收到五类LSA的域内路由器会将下一跳改为外部路由器地址，而不是ASBR地址

ASBR-Summary-LSA四类LSA

字段	含义
Type	LSA类型
Ls id	目的ASBR的Router ID
Adv rtr	产生这条LSA的路由器Router ID，即ABR的Router ID，不同区域Adv rtr是不同的，表示是由不同ABR产生的
Net mask	该网段的网络掩码
Metric	ABR到达目的ASBR的开销值

外部路由计算

1. 与ASBR同区域的路由器只需要五类LSA即可计算到达外部网段的路由，与ASBR不同区域路由器需要收到四类、五类LSA才可计算到达外部网段的路由；
2. 与ASBR不同区域路由器根据收到的四类LSA字段获得ABR的Router ID、ASBR的Router ID、到达ABR到达ASBR开销，将本路由器区域内到达ABR的开销与四类LSA开销累计，便获得到达ASBR的开销。再根据收到的五类LSA字段获得外部网段地址、子网掩码、ASBR到外部网段开销，可计算到达外部网段总开销；

次优外部路由

当发生ASBR、外部路由器、OSPF域内部其他路由器在同一链路上，产生次优路径时，ASBR将Forwarding Address字段置为外部路由器地址，收到五类LSA的域内路由器会将下一跳改为外部路由器地址，而不是ASBR地址。

总结

• AS-External-LSA在ASBR上产生，用来向OSPF网络宣告外部路由，一条五类LSA只宣告一条外部路由；
• ASBR-Summary-LSA在ABR路由器上产生，用来告诉其他路由器如何去往ASBR路由器；
• OSPF外部路由类型有两种：External Type-1、External Type-2，External Type-1优先级高于External Type-2；

---

OSPF特殊区域及其他特性

当网络规模不断扩大，某区域不需要为其他区域提供流量中转服务时，本区域就没必要维护本区域外的链路状态数据库，对于位于自治系统边界的非骨干区域的低端路由器尤为重要，所以通过划分特殊区域进一步减少LSA数量和路由表规模。

Stub区域和Totally Stub区域

区域	作用	命令	注意
Stub	区域的ABR不传播四类、五类LSA	[router-ospf-1-area-0.0.0.2]stub	骨干区域不能配置Stub；一个Stub区域内所有路由器都要配置Stub命令；Stub区域内不能存在ASBR；虚连接不能穿越Stub区域；配置后外部路由均由一条默认三类路由代替，外部路由变化时Stub路由器不会受到影响；
Totally Stub	区域的ABR不传播三类、四类、五类LSA	[router-ospf-1-area-0.0.0.2]stub no-summary	同上，配置后外部路由、其他区域路由均由一条默认三类路由代替，三类路由只有一条

• Stub区域的非ABR路由信息：

• Totally Stub区域的非ABR路由信息：

Stub与Totally Stub区域用于非0区域，但对于需要引入特定外部路由获得最优路径，又要避免引入其他外部路由带来的资源消耗，就不能满足要求了，如下图：

NSSA区域与Totally NSSA区域

区域	作用	命令	注意
NSSA	区域的ABR不传播四类、五类LSA，但区域内的ASBR会产生七类LSA即NSSA LSA，用于本区域ASBR通告其外部路由的最优路径	[router-ospf-1-area-0.0.0.2]nssa	骨干区域不能配置NSSA；一个NSSA区域内所有路由器都要配置NSSA命令；虚连接不能穿越NSSA区域；见七类LSA特性；
Totally NSSA	区域的ABR不传播三类、四类、五类LSA，其他同上	[router-ospf-1-area-0.0.0.2]nssa no-summary	同上，配置后不传播三类LSA，三类默认路由有一条，七类默认路由有一条，见下图；

• NSSA LSA（七类LSA）：1、用于描述NSSA区域引入的外部路由信息；2、由NSSA区域的ASBR产生，扩散范围仅在NSSA中；3、缺省路由也可以通过七类LSA产生，用来指导不在本NSSA区域ASBR的外部路由信息流量流向其他区域。

NSSA中的ABR：收到七类LSA时，会有选择的将其转换为五类LSA，以便该NSSA的外部路由信息通告到其他区域，NSSA区域有多个ABR时，进行7类转5类的是Router ID最大的ABR；

LSA总结

LSA类型	作用	通告路由器	LSA内容	传播范围
一类Router-LSA	每个路由器产生，描述链路状态、开销	OSPF Router	拓扑信息+路由信息	本区域内
二类Network-LSA	描述本文段链路状态	DR	拓扑信息+路由信息	本区域内
三类Network-Summary-LSA	描述区域内某网段路由，通告给其他区域	ABR	域间路由信息	非（Totally）STUB区域
四类ASBR-Summary-LSA	描述到ASBR的路由，通告给除ASBR区域的其他区域（默认对五、七类LSA汇总后将汇总信息发出去，使用not-advertise命令取消路由汇总）	ABR	ASBR’s Router ID	非（Totally）STUB区域
五类AS-External-LSA	描述外部路由	ASBR	路由进程域外部路由	非STUB区域，OSPF进程域
七类NSSA LSA	描述外部路由	ASBR	NSSA域外部路由信息	NSSA区域

区域间路由汇总、外部路由汇总

• 非特殊区域的其他区域减少LSA的途径，将多条连续IP前缀汇总成一条路由前缀，ABR汇总三类LSA，ASBR汇总五类LSA。

• OSPF定时更新与触发更新

定时更新：LSA每1800s更新一次，3600s失效；
触发更新：链路状态变化后，立即发送链路状态更新；

用于快速完成收敛。

• OSPF认证机制

区域认证方式：[router-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher
接口认证方式：[Route-GigabitEthernet0/0/0]ospf authentication-mode md5 1
认证模式：不认证null、明文simple、MD5、HMAC-MD5（最安全）；
注意，两种认证方式都存在时，优先使用接口认证方式，其中md5后的1为key-id，必须要与对端一致。

• OSPF综合应用场景

1. 设备性能底下时，可通过Stub、Totally Stub、NSSA、Totally NSSA减少LSDB；
2. 计算外部路由是如需考虑域内开销，引入类型1的外部路由即可：[router-ospf-1]import-route rip 1 type 1；

总结

• OSPF定义了Stub、Totally Stub、NSSA、Totally NSSA四种特殊区域；
• Stub和Totally Stub区别在于Totally Stub不允许三类LSA进入，只通告缺省三类LSA；
• 区域间路由汇总在ABR上配置，外部路由汇总在ASBR上配置；

---

IS-IS协议原理与配置

基于链路状态、最短路径优先算法进行路由计算的一种内部网关IGP协议。最初是CLNP网络的动态路由协议，IETF在RFC1195中对IS-IS进行修改，使其能在TCP/IP的OSI环境中，在大型网络中广泛部署。

路由计算过程

• 邻居关系建立：Hello报文交互协商参数，区域类型（level-1、level-2）、Hold time、网络类型、支持协议、区域号、系统ID、PDU长度、接口IP等；
• 链路信息交换：LSP（Link state PDU）作为载体，不需要经历多个阶段，通过CSNP报文来同步、PSNP报文请求、确认链路状态信息（摘要），详细拓扑信息、路由信息由LSP报文传递；
• 路由计算：SPF计算和OSPF基本一样，但IS-IS分离了拓扑结构和IP网段，加快了收敛速度；

链路状态信息载体

• IS-IS使用TLV数据结构构建报文，由Type Length Value三个字段组成，灵活性、扩展性好，增加新节点只需要新增TLV即可，不需要改变整个报文结构。

报文	说明
LSP	用来交换链路状态信息，包含了拓扑结构和网络号，IS-Type字段控制是否为Level-1 LSP和Level-2 LSP，ATT字段控制路由器的Level-1、Level-2类别，刷新时间15分钟，老化时间20分钟+60秒零老化时延，重传时间5秒
CSNP	用于同步LSP，包含所有LSP的摘要信息，类似OSPF的DD报文
PSNP	用于请求和确认LSP，包含部分LSP摘要信息，进行请求、确认，类似OSPF的LSR、LSAck报文

地址结构

字段	含义
AFI	地址分配机构和地址格式
IDI	用来表示域
High Order DSP	用来分割区域
System ID	用来标识区域内唯一主机或路由器，长度固定为6字节
SEL	协议标识符，用来指示服务类型，在IP上SEL均为00
Area ID组合	由AFI、IDI、High Order DSP组成。既能标识路由域，也能标识路由域中的区域

• NET：是一类特殊的NSAP（SEL=00），NET长度与NSAP相同，最多为20个字节，最少为8个字节。

路由器分类

• Level-1路由器：部署在非骨干区域，只创建Level-1路由器LSDB包含本区域内路由信息，与同一区域Level-1、Level-1-2路由器建立邻居关系，到本区域外的报文转发给最近的Level-1-2路由器，只能建立Level-1的邻接关系；
• Level-2路由器：部署在骨干区域，只创建Level-2路由器LSDB包含区域间的路由信息，与相同、不同区域Level-2、不同区域Level-1-2路由器建立邻居关系，只能建立Level-2的邻接关系；
• Level-1-2路由器（默认类型）：部署在骨干区域，用于非骨干区域与骨干区域相连，创建Level-1、Level-2路由器LSDB，Level-1的LSDB用于区域内路由，Level-2的LSDB用于区域间路由，与同区域Level-1建立Level-1的邻居关系，与不同区域Level-1-2、Level-2建立Level-2邻居关系，能与Level-1-2、Level-2建立邻接关系。

邻居Hello报文

Hello报文的作用是邻居发现，协商参数并建立邻接关系，后期充当保活报文，IS-IS只支持P2P、BMA网络，帧中继等特殊环境下需要创建子接口支持P2P网络类型，三种类型报文：

• Level-1 LAN IIH：广播网中Level-1路由器使用的报文，目的组播MAC地址为：0180-C200-0014；
• Level-2 LAN IIH：广播网中Level-2路由器使用的报文，目的组播MAC地址为：0180-C200-0015；
• P2P IIH：非广播网中使用，没有表示虚节点DIS的相关字段；

邻居关系建立

• P2P：分为两次握手、三次握手机制，两次握手机制收到对端发来的Hello报文，就单方面宣布邻居为UP状态，存在单通风险。三次握手与广播网建立邻居关系情况相同；

• 广播网：使用三次握手机制建立邻居关系，当收到对单Hello报文没有自己System ID时，状态机进入Initialized状态，收到邻居Hello PDU有自己System ID进入UP状态，邻居UP后会选举虚节点DIS，类似OSPF中的DR；

DIS与DR类比

伪节点是广播网络中DIS创建的虚拟路由器，DIS的选举由Hello报文中的Priority、MAC地址作为选举条件（越大越优先，Priority为0也参与选举），DIS发送Hello报文时间为10/3秒，其他路由器发送Hello报文时间为10秒，选举完成后IS-IS链路内所有路由器之间都建立的是邻接关系。
作用：进行SPF计算时，都把DIS当做虚节点，简化MA网络逻辑拓扑，都是为了减少LSP/LSA泛洪，由DIS周期性发送CSNP同步链路的LSDB。

链路状态信息的交互

大致交互过程：CSNP->LSP->PNSP，组播网中，新增节点会先发送自己的LSP到组播MAC地址中，点对点网中邻居关系建立后立即发送CSNP，只发送一次。

路由算法

IS-IS默认端口开销都是10（Narrow模式配置范围1-63，Wide配置模式范围1-1677215），IS-IS进程中使用命令auto-cost enable自动计算开销值。

• SPF计算过程：
  1、单区域LSDB同步完成；
  2、生成全网拓扑结构图；
  3、以本节点为根生成最短路径树；
  4、默认跨越每个节点开销一样；

区域间路由

• Level-1路由器：只有Level-1的LSDB，路由表里都有一条默认路由，指向Level-1-2路由器；
• Level-2路由器只有Level-2的LSDB，路由表有整个网络的路由信息；
• Level-1-2路由器：同时拥有Level-1、Level-2的LSDB，会把Level-1路由明细以叶子结点方式挂载在Level-2的LSP上写入Level-2的LSDB中；

IS-IS与OSPF的差异

差异性	IS-IS	OSPF
网络类型	少	多
开销方式	复杂	简便
区域类型	少	多
路由报文类型	简单	多样
路由收敛速度	很快	快
扩展性	强	一般
路由负载能力	超强	强

• 术语对照表

略缩词	OSI术语	IETF术语
IS	Intermediate System中间系统	Router
ES	End System终端系统	Host
DIS	Designated Intermediate System指定中间系统	OSPF中的DR
SysID	System ID	OSPF中的Router ID
LSP	Link State PDU	OSPF中的LSA
IIH	IS-IS Hello PDU	OSPF中的Hello报文
PNSP	Partial Sequence Number PDU部分序列号报文	OSPF中的LSR或LSAck报文
CNSP	Complete Sequence Number PDU完整序列号报文	OSPF中的DD报文

IS-IS路由配置

• 先开启IS-IS进程，配置路由器地址、路由器级别，再进入端口使能该进程的IS-IS，可以更改端口的IS-IS优先级使之成为DIS（可选），以及链路类型采用P2P（可选）：

[Router]isis 100
[Router-isis-100]network-entity 49.0001.0000.0000.0001.00
[Router-isis-100]is-level level-1
[Router-isis-100]interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0]isis enable 100
[Router-GigabitEthernet0/0/0]isis dis-priority 120 level-1
[Router-GigabitEthernet0/0/0]isis circuit-type p2p

• 引入外部直连路由：

[Router-isis-100]import-route direct

• 配置路由渗透，作用：如要在两个以上Level-1-2路由器的区域内，使访问目的网络选择最优路径，需要配置路由渗透，由于本区域内只能计算到达最优Level-1-2路由器的路径，不能计算Level-2区域到达目标网络的最优路径，所以需要把Level-2区域的路由明细引入Level-1区域中，由Level-1路由器自行计算最优路径。

[Router-isis-100]import-route isis level-2 into level-1

总结

• IS-IS路由器有Level-1、Level-2、Level-1-2三种；
• PSNP报文在邻居交互中用于LSP的请求、确认；
• 对比OSPF，IS-IS优势在于报文结构简单、路由承载能力强、路由算法更优良、扩展性更强；

---

BGP协议原理与配置

不同AS之间的连接需求推动了外部网关协议的发展，BGP作为一种外部网关协议用于在AS之间进行路由控制和优选。

BGP基本概述

• 前身EGP不能路由优选，不能避免环路，被BGP取代。BGP需要一个AS编号表示路由域，由IANA分配。BGP使用TCP作为承载协议建立连接，端口号179，可以跨越多跳路由器建立邻居关系。BGP属于高级的路径矢量路由协议，不会周期性的路由更新，更新方式都是触发式、增量更新。

BGP邻居关系建立

先启动的BGP先发起TCP连接，端口号179，采用单播建立连接，只能手动指定邻居。

• EBGP邻居关系：External BGP用于AS间路由传递，一般用直连接口IP交互，会修改目标下一跳地址为自己物理接口地址，EBGP邻居关系存在直连检测机制，发送的报文TTL默认为1，非直连的EBGP邻居需要通过peer ebgp-max-hop <1-255>命令修改TTL值不为1即可；
• IBGP邻居关系：Internal BGP用于AS内的BGP路由传递，可跨设备建立邻居关系，一般用LoopBack接口IP交互，不会修改目标下一跳地址；

BGP邻居关系配置

• 邻居关系建立命令：

配置Router ID、配置EBGP邻居关系、配置IBGP邻居关系。
邻居关系类型靠AS编号区别，EBGP邻居一般用直连接口IP，因为跨AS邻居关系建立前非直连接口间路由不可达，IBGP邻居一般用LoopBack接口地址，注意在IGP的路由协议上宣告LoopBack网络地址，保证双方LoopBack地址路由可达。若未配置Router ID，BGP会自动选举最大LoopBack最大IP，若没有配置LoopBack接口则选举物理接口最大IP。

[RTC]bgp 100
[RTC-bgp]router-id 3.3.3.3
[RTC-bgp]peer 10.1.35.5 as-number 300
[RTC-bgp]peer 2.2.2.2 as-number 100
[RTC-bgp]peer 2.2.2.2 connect-interface LoopBack 0

BGP邻居关系建立

报文类型	作用
Open	TCP建立后的第一个报文，协商参数AS ID、接口IP、Router ID等
Keepalive	确认保持连接有效性，默认发送周期为60秒
Update	路由更新报文
Route-refresh	用于改变路由策略后请求对等体重新发送路由信息
Notification	警告，BGP路由器检测到错误状态时，就会向邻居发送该报文，之后BGP连接会中断

BGP路由两种生成方式

• Network

逐条将IP路由表中已经存在的路由引入BGP路由表中（注意通过学习到的非直连网段也要录入）。

[RTB]bgp 100
[RTB-bgp]router-id 2.2.2.2
[RTB-bgp]peer 10.1.23.3 as-number 200
[RTB-bgp]ipv4-family unicast
[RTB-bgp-af-ipv4]network 10.1.12.0 255.255.255.0
[RTB-bgp-af-ipv4]network 100.0.0.0 255.255.255.0
[RTB-bgp-af-ipv4]network 100.0.1.0 255.255.255.0
[RTB-bgp-af-ipv4]display bgp routing-table
[RTB-bgp-af-ipv4]display ip routing-table

• Import

根据运行的IGP路由协议将路由引入到BGP路由表中，同时import命令还可以引入直连、静态路由。
先构建IP前缀列表设置允许通过的网络地址，再构建路由策略设置允许通过的IP前缀列表，最后进入BGP中用import-route命令导入直连、静态、OSPF等路由，同时也把用于约束实际只需要通告的路由用路由策略来约束一下（存在不需要通过的外部路由、机密网段路由等）：

[RTB]ip ip-prefix test1 index 10 permit 10.1.12.0 24
[RTB]ip ip-prefix test1 index 20 permit 100.0.0.0 24
[RTB]ip ip-prefix test1 index 30 permit 100.0.1.0 24
[RTB]route-policy test2 permit node 10
[RTB-route-policy]if-match ip-prefix test1
[RTB-route-policy]bgp 100
[RTB-bgp]router-id 2.2.2.2
[RTB-bgp]peer 10.1.23.3 as-number 200
[RTB-bgp]import-route direct route-policy test2
[RTB-bgp]import-route static route-policy test2
[RTB-bgp]import-route ospf 1 route-policy test2

BGP通告原则与路由处理

• Update报文用于公布可用路由和撤销路由，含以下信息：

1. 网络层可达信息NLRI：用于公布IP前缀和前缀长度；
2. 路径属性：为BGP提供环路检测，控制路由优选；
3. 撤销路由：描述无法到达且业务中撤销的路由前缀和前缀长度；

• BGP通告原则

1. 仅将自己最优的路由发布给邻居；
2. 通过EBGP获得的最优路由发布给所有BGP邻居；
3. 通过IBGP获得的最优路由不会发布给其他IBGP邻居（防止AS内部形成环路）；
4. BGP与IGP同步：IBGP学来的路由在发布给邻居之前，通过IGP必须知道该路由（解决方法：BGP与IGP同步检查功能打开、IBGP全互联，注意同步检查打开可能造成负担）；

BGP路由表中符号解释：*表示有效路由，>表示最优路由，i表示为IBGP生成的内部路由；

• BGP路由信息处理：

BGP常用属性介绍

AS间交换路由信息时，BGP的丰富属性能够实现路由的灵活控制和优选，同时也能防止环路的产生。

• 四类BGP属性

1. 公认必遵（Update消息必须包含的属性）：Origin、AS_Path、Next_hop
2. 公认任意（Update消息可选包含的属性）：Local_Pref、Atomic_aggregate
3. 可选过渡（BGP不能识别该属性，但接收到会发布给其他邻居）：Aggregator、Community
4. 可选非过渡（BGP可忽略的属性，接收到不发布给其他邻居）：MED等

使用display bgp routing=table命令查看到的路由信息类似如下：

属性名称	说明	作用	属性优先级	属性内容优先级
Origin	标记BGP路由信息来源	决定最优路径的一个因素，i表示通过network命令注入，e表示通过EGP学习，?表示Incomplete其他方式如import命令注入	6	i>e>?
AS_Path	标记BGP路由经过的AS编号(途径区域号顺序从右至左排列)	决定最优路径的一个因素，AS_Path包含自己的AS号时说明环路，丢弃该路由，AS_Path有4中类型AS_Sequence、AS_Set（见BGP路由聚合笔记）、AS_Confed_Sequence、AS_Confed_Set	5	AS越短约优先
Next_hop	BGP路由的下一跳地址	EBGP会修改目标下一跳地址为自己物理接口地址，IBGP不会修改目标下一跳地址，稳定性好、防止环路	-	-
Local_Pref	本地优先级，仅在IBGP邻居间有效，默认值100	通过设置IP前缀列表、路由策略匹配目标路由，设置Local_Preference值，将策略应用在自己指定的出/入方向即可，被通告的路由器根据多条BGP路由的Local_Pref值进行优选	3	越大越优先
Atomic_aggregate	来通告路由接收者，该路由是经过聚合的	两条重叠路由，一条可能是另一条的子集，决定优选的一种因素，如果对外发布时，发布了粗略路由，则会附加该属性	4	优选更精细(无该属性)路由
Aggregator	通告汇总路由的汇聚路由器Router ID	-	-	-
Community	团体属性类似OSPF的Tag值，格式aa:nn，aa通常为AS号，nn为管理员定义的团体标识	用于配合IP前缀列表、路由策略限定路由传播范围，在IP前缀列表、路由策略中可设置对应Community值的路由下一跳地址等，或配置路由策略时应用Community4类属性：internet缺省，此属性路由通过给所有BGP；no-export收到此属性路由不将该路由发布到其他AS；no-advertise收到此属性路由不将该路由发不到其他BGP邻居；no-export-subconfed收到此属性路由不将该路由发布到外部子联盟	-	-
MED	类似度量值，仅在AS间传递，不会通告第三方AS，默认值0	用于判断流量进入AS的最佳路由，通过设置IP前缀列表、路由策略匹配目标路由，设置MED，将策略应用在自己指定的出/入方向即可，被通告的路由器根据多条BGP路由的MED值进行优选	7	越小越优先
Preference_Value	华为独有的属性	相当于BGP选路Weight权重值，仅在本地路由器生效，通过设置IP前缀列表、路由策略匹配目标路由，设置Preference_Value值，将策略应用在自己指定的出/入方向即可，被通告的路由器根据多条BGP路由的Local_Pref值进行优选	2	越大越优先

注意：基于Local_Pref、MED、Preference_Value属性配置的路由策略用在BGP配置时，策略的出/入方向取决于是否要求被通告方接收并做出路由优选，还是只希望在自身基于该属性做出路由优选，只影响自己的选路，不影响其他设备的一种考虑，毕竟设置为出方向时，被通告方可能不止一个。

BGP路由优选原则

优选级规则由高到低如下，1-13的编号对应上表属性优先级的数字去匹配最优路由。

1. 唯一路由
2. 优先级（Preference_Value属性最大，华为私有属性，仅本地路由器生效）
3. 本地优先级（Local_Preference）
4. 获得方式（手动聚合>自动聚合>network>import>对等体学到的）
5. AS_Path最短
6. 起源类型（IGP-network>EGP>Incomplete-import）
7. 同一AS路由MED最小
8. 学习邻居（EBGP>IBGP）
9. AS内部IGP的Metric最小
10. Cluster_List最短，BGP反射器的内容（略）
11. Orginator_ID最小，BGP反射器的内容（略）
12. Router_ID最小
13. 最小IP地址的邻居学的

• BGP路由策略配置实例

尽可能多的解决方法：访问100.0.0.0/24网段使用红色路线分割流量，访问200.0.0.0/24网段使用蓝色链路分割流量。红、蓝色线路左半边通过控制开销值使通往100网段的流量走RTB，使通往200网段的流量走RTC，红、蓝色线路右半边通过控制下一跳使通往100网段的流量走RTE，使通往200网段的流量走RTF。AS 200上的RTD配置：

[RTD]ip community-filter 10 permit 300:100
[RTD]ip community-filter 20 permit 300:200
[RTD]route-policy 10 permit node 10
[RTD-route-policy]if-match community-filter 10
[RTD-route-policy]apply ip-address next-hop 10.1.45.5
[RTD-route-policy]quit
[RTD]route-policy 10 permit node 20
[RTD-route-policy]if-match community-filter 20
[RTD-route-policy]apply ip-address next-hop 10.1.46.6
[RTD-route-policy]quit
[RTD]route-policy MED-10 permit node 10
[RTD-route-policy]if-match community-filter 10
[RTD-route-policy]apply cost 100
[RTD-route-policy]quit
[RTD]route-policy MED-20 permit node 10
[RTD-route-policy]if-match community-filter 20
[RTD-route-policy]apply cost 100
[RTD-route-policy]quit
[RTD]bgp 200
[RTD-bgp]router-id 4.4.4.4
[RTD-bgp]peer 10.1.24.2 as-number 100
[RTD-bgp]peer 10.1.34.3 as-number 100
[RTD-bgp]peer 10.1.45.5 as-number 300
[RTD-bgp]peer 10.1.46.6 as-number 300
[RTD-bgp]peer 10.1.24.2 route-policy MED-20 export
[RTD-bgp]peer 10.1.24.2 advertise-community
[RTD-bgp]peer 10.1.34.3 route-policy MED-10 export
[RTD-bgp]peer 10.1.34.3 advertise-community
[RTD-bgp]peer 10.1.45.5 route-policy 10 import 
[RTD-bgp]peer 10.1.46.6 route-policy 10 import

BGP路由聚合

AS规模较大时BGP路由表占用大量内存资源、频繁更新和撤销会影响稳定性。

• BGP路由聚合方法 - 静态

先定义静态聚合路由，为防止环路，下一跳指向NULL 0。

[RTA]ip route-static 10.1.8.0 255.255.255.252 NULL 0
[RTA]bgp 100
[RTA-bgp]peer 10.1.12.2 as-number 200
[RTA-bgp]network 10.1.8.0 255.255.252.0

• BGP路由聚合方法 - 自动聚合

自动聚合只能聚合import命令导入的路由，不能聚合network命令导入的路由，且聚合的结果非常粗略（相对于手工聚合效果较差）。

[RTA]ip ip-prefix r1 index 10 permit 10.1.11.0 24
[RTA]ip ip-prefix r1 index 20 permit 10.1.10.0 24
[RTA]ip ip-prefix r1 index 30 permit 10.1.9.0 24
[RTA]ip ip-prefix r1 index 40 permit 10.1.8.0 24
[RTA]route-policy r1 permit node 10
[RTA-route-policy]if-match ip-prefix r1
[RTA-route-policy]quit
[RTA]bgp 100
[RTA-bgp]peer 10.1.12.2 as-number 200
[RTA-bgp]import-route direct route-policy r1
[RTA-bgp]summary automatic

• BGP路由聚合方法 - 手动聚合

用于将import、network命令导入的路由都聚合起来的一种方式，必须先将细化路由导入到BGP中，detail-suppressed参数用来在通告时抑制明细。

[RTA]ip ip-prefix r1 index 10 permit 10.1.11.0 24
[RTA]ip ip-prefix r1 index 20 permit 10.1.10.0 24
[RTA]route-policy r1 permit node 10
[RTA-route-policy]if-match ip-prefix r1
[RTA-route-policy]quit
[RTA]bgp 100
[RTA-bgp]peer 10.1.12.2 as-number 200
[RTA-bgp]network 10.1.8.0 255.255.255.0
[RTA-bgp]network 10.1.9.0 255.255.255.0
[RTA-bgp]import-route direct route-policy r1
[RTA-bgp]aggregate 10.1.8.0 255.255.252.0 detail-suppressed

• BGP路由聚合带来的问题 - 潜在环路

聚合路由会丢失Update报文里明细路由的AS_Path属性，Atomic_aggregate，Aggregator属性会被携带，导致防环路机制失效，需要聚合的路由携带所有明细路由经过的AS号来防止环路，在聚合命令后添加as-set参数：

aggregate 10.1.8.0 255.255.252.0 detail-suppressed as-set

AS_Path的其中两种属性：

1. AS_Sequence（默认）：表示AS_Path的AS号是一个有序列表，每经过一个AS都将AS号由左到右添加进去；
2. AS_Set：表示AS_Path的AS号是一个无序列表，明细路由AS号会携带，没有先后顺序；.

解决后：

总结

• BGP公认必遵属性有：Origin、AS_Path、Next_hop；
• BGP使用的端口号是TCP 179；
• 个人小记：可以把一个AS看成是一台路由器，BGP的路由表中，EBGP的下一跳往往都是目的AS的直连接口IP（无论BGP路由器在本AS何处），而IBGP的下一跳往往是AS内部路由器的LoopBack口IP；

---

IP组播基础

点到多点通信时，单播重复流量多、带宽占用大、传输质量无保障，广播地域范围限制、安全性无保障、有偿性无保障，使用组播解决一份数据被复制、分发给需要的接受者，无重复流量、节省带宽资源、安全性高、有偿性有保障。如网络直播、网络电视、视频会议等。
常见组播协议包括：PIM、DVMRP、MSDP、MBGP。
组播路由器和组播客户端之间使用：IGMP、IGMP Snooping；

组播基本架构

• 组播源封装目的IP、目的MAC地址

范围	含义
224.0.0.0-224.0.0.255	为路由协议预留的永久组地址
224.0.1.0-231.255.255.255 233.0.0.0-238.255.255.255	Any-Source临时组播组地址，ASM模型，任意源组播表示任意发送者都可以为组播源，接收者不能预知组播源的位置
232.0.0.0-232.255.255.255	Source-Specific临时组播组地址，SSM模型，指定源组播表示接收者能够在客户端指定信源的传输服务
239.0.0.0-239.255.255.255	本地管理的Any-Source临时组播组地址

IPv4组播报文源地址为单播地址，目的地址为组播地址。

组播MAC地址为高24位为0X01005E，第25位0，其余23位为组播IP的后23位。可能会产生局域网两个或多个组播地址生成相同组播MAC地址的风险。

总结

• IP组播通信是IP报文从一个源发出，被一组特定客户端接收，相较于单播、广播可以减少网络带宽、负载，被广泛用于IPTV、多媒体会议等；
• IPv4组播地址为高四位1110B的D类IP地址，范围为224.0.0.0-239.255.255.255；

---

IGMP协议原理与配置

IGMP（Internet Group Management Protocol）因特网组管理协议，用来在接收者和与其直连相邻的组播路由器之间建立、维护组播成员关系。

IGMPv1

• 普遍组查询与响应：路由器每60秒向224.0.0.1发送普遍组查询报文General Query
• 响应抑制机制：成员10秒内（随机）向路由器组播发送成员关系报告报文Membership Report，携带自己需要接收的组播网段，路由器收到后将向该网段转发所请求的组播数据，同时其他同组成员也收到组播成员关系报告报文后不会发送相同的成员关系报告报文。新成员加入时不等待普遍组查询报文，会立即发送成员报告报文；

存在问题：

• 组成员离开：为静默离开，路由器不会收到任何成员报告报文，在130秒（60x2+10）后，删除对应的组播转发项，在130秒内还会在网段内发送组播数据；
• 查询器选举：多台路由器在同一网络时，需要依赖其他组播路由协议选举一个路由器作为查询器（PIM协议选举出的DR）；

IGMPv2

• 组成员离开：成员向本网段内224.0.0.2发送针对自己目标组播的离开报文，查询器收到后发送特定组查询报文2次（每秒1次，共2秒），若收到该组播组成员报告报文，则继续向该网段发送对应组播数据，若超时，删除组播表项中对应的转发项停止转发组播；
• 查询器选举：若路由器收到其他路由器发送的普遍组查询报文，比较源IP地址，IP地址最小的路由器将成为查询器。非查询器也会处理IGMP成员报告报文，但不转发组播数据，也不处理离开报文。当非查询器超时后未收到查询器的普遍组查询报文，则原查询器失效并发起新的查询器选举。
• IGMPv1报文

版本	类型	未使用	校验和	组地址
4位	4位	8位	16位	32位
版本标识，为1	报文类型，为1普遍组查询，为2成员关系报告	-	-	普遍组查询报文时为0，成员关系报告报文时为想要加入的组播组地址

• IGMPv2报文

类型	最大响应时间	校验和	组地址
8位	8位	16位	32位
报文类型：为0X11特定组查询，为0X16成员关系报告，为0X17成员离开报文	主机收到查询报文时返回成员关系报文的最大超时时间，普遍组查询10秒，特定组查询1秒	-	普遍组查询时为0，特定组查询时为需查询的组地址，离开报文时为离开的组地址

IGMPv3

为迎合SSM模型中的新需求，客户端只接收特定源发送的组播数据，IGMPv3报文中携带了指定组播源的信息。

• IGMPv3报文类型：普遍组查询报文、特定组查询报文、特定源组查询报文、成员报告报文，没有离开报文，成员离开通过特定类型的报告报文传达。
• 特定源组查询报文：由查询器组播发出，查询是否有成员需要接收特定源的数据，携带一个或多个组播源地址；
• 成员报告报文：不仅携带要加入的组播组，还携带主机需要的特定组播源。可以使用INCLUDE、EXCLUDE过滤模式来指定、排除目标组播源。一个成员报告报文可以携带多个组播组信息，减少了网段内成员报告报文数量，当组播组与组播源列表的对于关系发生了变化，成员报告报文会将该关系变化存放于组记录（Group Record）字段，发送给IGMP查询器；

IGMP各版本间差异

机制	IGMPv1	IGMPv2	IGMPv3
查询器选举	依靠其他协议	自己选举	自己选举
成员离开方式	静默离开	主动发送离开报文	主动发送离开报文
特定组查询	不支持	支持	支持
指定源、组	不支持	不支持	支持

IGMP Snooping的工作机制

组播数据会在二层中被泛洪（目的MAC为组播MAC，不存在，每次都会泛洪），造成网络资源浪费、存在安全隐患，使用IGMP Snooping机制解决二层组播泛洪问题。

• IGMP Snooping机制：实现组播数据在数据链路层的转发和控制，需在交换机上使能，交换机侦听主机、路由器间的IGMP报文，建立二层组播转发表，交换机根据普遍组查询报文判断自己连接路由器的接口，主机希望加入组播组224.1.2.3，发送IGMP成员报告报文时具有0X0100.5E01.0203的MAC地址，交换机会将目的组播MAC地址与发出端口绑定，后面任何目的MAC匹配的组播帧，都会通过二层组播转发表发向相应端口，不在其他端口扩散。

IGMP配置实现

[Router]multicast routing-enable
[Router]interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1]ip address 192.168.1.1 24
[Router-GigabitEthernet0/0/1]igmp enable
[Router-GigabitEthernet0/0/1]igmp version 3
[Router-GigabitEthernet0/0/1]display igmp interface
[Router-GigabitEthernet0/0/1]display igmp group

交换机端IGMP Snooping机制打开：

[Switch]igmp-snooping enable
[Switch]vlan 10
[Switch-vlan10]igmp-snooping enable

总结

• IGMPv1中，最后一个组播成员离开后，组播路由器在130秒后删除对应组播转发表项；
• IGMPv2中，特定组查询报文目的IP地址是所查询组播组的组播IP地址；
• IGMP Snooping的实现是通过侦听组播路由器与主机之间交互的IGMP报文建立组播数据报文的二层转发表项，管理和控制组播数据在二层报文中的转发；

---

PIM协议原理与配置

PIM（Protocol Independent Multicast）协议无关组播，PIM-DM使用推模式（Push），PIM-SM使用拉模式（Pull），用来在组播源和最后一跳路由器之间（查询器）进行组播报文转发的协议，直接利用单播路由表的路由信息进行组播报文逆向路径RPF检查，创建组播路由表项，正确、高效地转发组播报文。

• PIM报文封装在IP报文中，协议号103，PIMv2组播地址为224.0.0.13。
• PIM组播路由表项：(S,G)、(*,G)，S表示组播源，G表示组播组，*表示任意。(S,G)主要用于PIM-DM、PID-SM建立最短路径树SPT，(*,G)主要用于PIM-SM建立共享树RPT；

模式	类型	使用场景
PIM-DM	(S,G)	第一跳路由到最后一跳路由的SPT
PIM-SM	(*,G)	RP到最后一跳路由的RPT
PIM-SM	(S,G)	组播源处DR到RP的STP
PIM-SM	(S,G)	Switchover后，第一跳路由器到最后一跳路由器的SPT

协议无关组播（密集方式）PIM-DM的工作机制

一种假设网络中的组成员分布密集的设计思想，关键工作机制为：邻居发现、扩散（RPF检查）、剪枝、状态刷新、嫁接、断言，首先将组播数据报文扩散到各网段，然后裁剪掉不存在组成员的网段，周期性的扩散-剪枝构建单向无环SPT。

• 邻居发现：周期性（30秒）发送Hello消息发现、建立、维护邻居关系，超时时间105秒。各路由器比较Hello消息的优先级、IP地址较大的方式来选举DR，DR充当IGMPv1的查询器，DR故障时会重新选举；
• 扩散：路由器接收到组播源组播报文进行RPF检查，RPF通过则创建(S,G)表项，再向所有下游PIM-DM节点转发组播报文，RPF不通过则丢弃报文；
• RPF检查：查找IP路由表中组播源的出接口是不是组播报文的来源接口，若是则表示组播报文通过RPF检查，可以防止组播数据环路；
• 剪枝：下游路由器收到广播报文发现自己没有接收该组播的成员会向上游节点发送Prune消息，上游收到后就将相应接口从组播转发表项(S,G)的输出发送列表删除，直到仅剩下必要的分支，SPT就构建完成。剪枝定时器默认3分钟后会再次重复扩散-剪枝过程；
• 状态刷新：组播数据周期性扩散-剪枝会带来周期性网络压力增大，离组播源最近的路由器会周期性发送State Refresh消息在全网扩散，刷新所有设备上的剪枝定时器状态，其他路由器将不再做出扩散动作，降低网络压力；
• 嫁接Graft：路由器若一直处于被剪枝状态，则无法获得组播数据，此时接入组播成员后将收到IGMP Report报文，路由器就会立即向上游路由器发送Graft消息，上游路由器就会恢复对应接口的组播转发，并回复Graft Ack消息，使新组播成员快速获得组播报文；
• 断言Assert机制：当同一链路上有多台PIM-DM节点负责向下游转发组播数据时，相互间收到转发的组播数据就会组播发送Assert消息，进行Assert竞选避免重复组播报文浪费带宽资源，竞选规则：到组播源的单播路由协议优先级高的、到组播源的路由协议开销小的、接收者MA网络接口IP最大的，只有竞选成功的路由器会转发组播报文。竞选失败的路由器会周期性恢复组播报文转发，从而引发周期性Assert机制；

PIM-DM配置实现

每一台路由器的每一个需要转发组播报文的接口都需要配置。

[Router]multicast routing-enable
[Router]interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0]pim dm
[Router-GigabitEthernet0/0/0]display pim routing-table
[Router-GigabitEthernet0/0/0]display pim neighbor

协议无关组播（稀疏模式）PIM-SM的工作机制

• PIM-DM的局限性：适用于组播成员较密集的园区网络，在组播成员较为稀疏的网络中，组播流量的周期性扩散、剪枝会对网络带来较大负担。
• PIM-SM使用拉模式（Pull）转发组播报文，关键工作机制为：邻居建立、DR竞选、RP发现、RPT构建、组播源注册、SPT切换、断言Assert，过程为在网络中维护一台重要PIM路由器汇聚点RP为组成员、组播源服务，必须确保每台设备都知道RP地址，RP与组成员逐跳创建(*,G)表项，生成以RP为根的RPT，PR与组播源逐跳创建(S,G)表项，生成一棵SPT树，邻居建立过程、DR选举、Assert机制与PIM-DM相同。

• 汇聚点RP：RPT中所有组播流量都经过RP转发给接收者，所有PIM路由器都知道RP的位置，可以限制RP的组播组范围，可以静态指定和动态指定（需先指定多个C-RP会自动选举），配置建议：中小型网络选静态RP，大型网络选动态RP，只有一个组播源选择直连组播源的路由器为RP（可省略源端DR项RP注册过程），多个组播源选择与组播源较近的为C-RP，多个用户选择与用户较近的为C-RP；
• RTP建立：最后一跳DR路由器收到IGMP成员报告向RP发送(*,G)的Join消息，到达RP的过程中沿途路由器都会产生相应(*,G)组转发条目形成共享RPT树；
• 组播源注册与STP建立：组播源处DR向RP单播发送封装了组播报文的Register消息，RP收到后解封装沿RPT树发送给接收者，然后向组播源处DR发送(S,G)Join消息和Register-stop消息，建立SPT树完毕，组播源处DR就会沿STP以组播方式向RP发送组播数据；
• Switchover机制与SPT切换：组播数据经过SPT和RPT的路径不是最优，且RP工作负担大，Switchover机制实现RPT到SPT的切换。用户端DR与组播源逐跳创建(S,G)表项，生成一棵SPT树，并沿RPT逐跳向RP发送剪枝报文，经过的路由器将(*,G)复制成相应(S,G)，如果SPT不经过RP，RP会继续向源端DR逐跳发送剪枝报文，删除(S,G)表项中的下游接口，不再使用RPT；

PIM-SM配置实现

非RP路由器与RP路由器配置一致。

[Router]multicast routing-enable
[Router]pim
[Router-pim]static-rp 4.4.4.4
[Router-pim]interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0]pim sm
[Router-GigabitEthernet0/0/0]display pim routing-table

组播综合实验

1. 解决方法：组播路由器开启组播路由功能，各组播接口上配置PIM-SM功能，在PIM视图下静态配置RTB为RP；
2. 在交换机上使能IGMP Snooping功能：

[Switch]igmp-snooping enable
[Switch]vlan 10
[Switch-vlan10]igmp-snooping enable

3. 用户端DR负责向RP建立RPT，把RTE接口DR优先级设置大于1：

[RTE]multicast routing-enable
[RTE]pim
[RTE-pim]static-rp 2.2.2.2
[RTE-pim]interface GigabitEthernet 0/0/1
[RTE-GigabitEthernet0/0/1]pim sm
[RTE-GigabitEthernet0/0/1]igmp enable
[RTE-GigabitEthernet0/0/1]igmp version 2
[RTE-GigabitEthernet0/0/1]pim hello-option dr-priority 100

4. 在RTD上配置238.1.1.1的IGMP静态组播组：

[RTD]interface GigabitEthernet 0/0/1
[RTD-GigabitEthernet0/0/1]igmp static-group 238.1.1.1

总结

• 组播分发树指从组播源到接收者间形成的单向无环传输路径，分为最短路径树SPT、共享树RPT；
• Assert断言机制用来避免网络中相同报文重复发送，在共享网络中竞选一个唯一转发者，其他路由器剪掉对应接口禁止转发；
• PIM-SM协议中，与组播源端DR负责向RP单播发送Register消息；

---

路由控制

控制网络流量可达性、调整网络流量路径，解决数据访问安全性、提高链路带宽利用率等问题。使用工具：ACL、IP-Policy，路由策略工具：Route-Policy、Filter-Policy，策略路由工具：Traffic-Policy、Traffic-Filter。

访问控制列表ACL

• ACL用通配符掩码做限定，可以灵活匹配IP地址前缀，不能匹配掩码长度；
• 可以指定下一跳地址；
• 可用于数据报文过滤、路由信息过滤；
• 在接口上利用Traffic-Filter策略路由工具对数据进行过滤；

IP前缀列表IP-Policy

• 不能用于数据报文过滤，只能用于路由信息过滤；
• 能同时匹配IP地址前缀及掩码长度，若没有配置greater-equal、less-equal即只匹配掩码长度与前缀列表掩码长度相同的IP地址路由；
• 所有前缀列表均未匹配，缺省情况下存在最后一条默认匹配模式为deny（与ACL相反，默认允许所有）。当引用的前缀列表不存在时，默认匹配模式为permit；

[Router]ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28

路由策略Route-Policy、Filter-Policy

• 一般在路由引入的时候使用，能够对接收或发布的路由进行过滤，可用于IS-IS、OSPF、BGP等协议；
• 配合ACL、IP-Policy、AS-Path-Filter（BGP）等工具使用（还有团体属性过滤器、团体扩展属性过滤器、路由标识属性过滤器）；
• 对链路状态协议而言不能控制LSDB与LSA数据，只作用在SPF算法利用LSDB计算路由表的时候进行过滤，只会影响本地路由表。对距离矢量理由而言会影响从邻居接收、向邻居发布的路由；
• 一个Route-Policy由若干node构成，node之间是或关系，每个node里可以有多个if-mach、apply字句构成，if-mach之间是与关系；
• 在分析Route-Policy配置条目时，应该拿路由表一条一条去套用Route-Policy，获得剩余条目，不能用Route-Policy去反向对比路由条目，容易出错；

Route-Policy例子：

1. 使用ACL或IP-Policy来匹配目标流量；
2. 然后在协议视图下利用Route-Policy对引入的路由条目进行控制；

[Router]acl 2001
[Router-acl-basic-2001]rule 0 permit source 13.13.13.1 0
[Router-acl-basic-2001]quit

[Router]ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equa

[Router]route-policy test1 permit node 10
[Router-route-policy]if-match ip-prefix test
[Router-route-policy]apply cost 100
[Router-route-policy]quit
[Router]route-policy test1 permit node 20
[Router-route-policy]if-match ip next-hop acl 2001
[Router-route-policy]apply cost 100

[Router-route-policy]bgp 100
[Router-bgp]router-id 2.2.2.2
[Router-bgp]peer 10.1.23.3 as-number 200
[Router-bgp]import-route direct route-policy test1

[Router]ospf 1 router-id 1.1.1.1
[Router-ospf-1]import-route rip route-policy test1 
[Router-ospf-1]area 0
[Router-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

Filter-Policy例子：

1. 使用ACL或IP-Policy来匹配目标流量；
2. 然后在协议视图下利用Filter-Policy向目标流量发布策略；

[Router]ip ip-prefix test index 10 permit 10.1.1.0 24
[Router]ip ip-prefix test index 20 permit 10.1.3.0 24

[Router]ospf 1 router-id 1.1.1.1
[Router-ospf-1]filter-policy ip-prefix test export rip

[Router]acl
[Router]acl 2000
[Router-acl-basic-2000]rule 5 deny source 10.1.1.0 0.0.0.255
[Router-acl-basic-2000]rule 10 permit source any

[Router-acl-basic-2000]ospf 1 router-id 1.1.1.1
[Router-ospf-1]filter-policy 2000 import

策略路由Traffic-Policy、Traffic-Filter

• 一般用于数据转发，查找优先级比路由策略高，会先匹配路由策略，再匹配本地路由表进行转发；
• 当用户需要实现不同源地址、指定特定下一跳、不同长度、不同方式等需求进行转发时，配置策略路由，多用于负载分担、安全监控；
• 智能策略路由：基于链路质量信息为业务数据流量选择最佳链路，实现为不同业务选择不同质量链路，常用Smart-Policy-Route工具实现；

Traffic-Policy例子（MQC配置方式）：

[Router]acl 3000
[Router-acl-adv-3000]rule 5 permit ip source 10.1.1.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
[Router-acl-adv-3000]quit
[Router]traffic classifier huawei-control1
[Router-classifier-huawei-control1]if-match acl 3000
[Router-classifier-huawei-control1]quit
[Router]traffic behavior huawei-control1
[Router-behavior-huawei-control1]redirect ip-nexthop 12.1.1.2
[Router-behavior-huawei-control1]quit
[Router]traffic policy huawei-control1
[Router-trafficpolicy-huawei-control1]classifier huawei-control1 behavior huawei-control1
[Router-trafficpolicy-huawei-control1]quit
[Router]interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0]traffic-policy huawei-control1 inbound

Traffic-Filter例子：

[Router]acl 3000
[Router-acl-adv-3000]rule 0 deny ip source 10.1.4.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Router-acl-adv-3000]rule 5 deny ip source 10.1.4.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Router-acl-adv-3000]rule 10 permit ip source any
[Router-acl-adv-3000]quit
[Router]interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

路由策略与策略路由的区别

路由策略（控制路由表）	策略路由（控制转发表）
基于控制平面，会影响路由表表项	基于转发平面，不会影响路由表表项，且设备收到报文后，会先查找策略路由进行匹配转发，若匹配失败，则再查找路由表进行转发
只能基于目的地址进行策略制定	可基于源、目的地址、协议类型、报文大小等进行策略制定
与路由协议结合使用	需要手工逐跳配置，以保证报文按策略进行转发
常用工具：Route-Policy、Filter-Policy等	常用工具：Traffic-Policy、Traffic-Filter、Policy-Based-Route等

• 路由表：路由策略直接作用于路由表，在高层。在路由发现的时候作用，影响路由发布、接收、路由参数；
• 转发表：是路由表映射过来的，策略路由直接作用于转发表，在底层，优先级高；在包转发的时候发生作用，影响数据报文的转发；

控制流量可达性

• 两种方式：路由策略（修改路由条目）、策略路由（即流量过滤方式）；

• 路由策略方式：

控制市场部不可访问财务部10.1.1.0、研发部10.1.2.0：

[RTC]acl 2000
[RTC-acl-basic-2000]rule 0 deny source 10.1.1.0 0.0.0.255
[RTC-acl-basic-2000]rule 5 deny source 10.1.2.0 0.0.0.255
[RTC-acl-basic-2000]rule 10 permit source any
[RTC-acl-basic-2000]ospf 1
[RTC-ospf-1]filter-policy 2000 import
[RTC-ospf-1]area 0
[RTC-ospf-1-area-0.0.0.0]network 12.1.2.0 0.0.0.255
[RTC-ospf-1-area-0.0.0.0]network 10.1.4.0 0.0.0.255

控制总部不可访问研发部10.1.2.0：

[RTA]ip ip-prefix ab index 10 permit 10.1.1.0 24
[RTA]ip ip-prefix ab index 20 permit 10.1.3.0 24
[RTA]ospf 1
[RTA-ospf-1]import-route direct
[RTA-ospf-1]filter-policy ip-prefix ab export direct
[RTA-ospf-1]area 0
[RTA-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

• 策略路由方式

控制市场部不可访问财务部10.1.1.0、研发部10.1.2.0：

[RTC]acl 3000
[RTC-acl-adv-3000]rule 0 deny ip source 10.1.4.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[RTC-acl-adv-3000]rule 5 deny ip source 10.1.4.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[RTC-acl-adv-3000]rule 10 permit ip source any
[RTC-acl-adv-3000]interface GigabitEthernet 0/0/1
[RTC-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

控制总部不可访问研发部10.1.2.0：

[RTD]acl 3000
[RTD-acl-adv-3000]rule 0 deny ip source 10.1.5.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[RTD-acl-adv-3000]interface GigabitEthernet 0/0/1
[RTD-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

调整网络流量路径

• 两种方式：路由策略（修改路由属性）、策略路由（查找路由表之前控制流量）；

• 路由策略方式：

将原本RTA到RTB间的开销值为1的链路改为开销值为2，使得RTA到RTD间的OSPF出现两条等价路径：

[RTA]interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0]ospf cost 2

• 策略路由方式

本例子使用路由策略方式具有一定局限性，修改开销值后实现的负载分担在实际转发时有可能还会只走一条路径，且若出现复杂控制需求时也有局限性，故使用策略路由方式解决：

[RTA]acl 3000
[RTA-acl-adv-3000]rule 5 permit ip source 10.1.1.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
[RTA-acl-adv-3000]quit
[RTA]acl 3001
[RTA-acl-adv-3001]rule 5 permit ip source 10.1.2.0 0.0.0.255 dest 10.1.3.0 0.0.0.255
[RTA-acl-adv-3001]quit

[RTA]traffic classifier huawei-control1
[RTA-classifier-huawei-control1]if-match acl 3000
[RTA-classifier-huawei-control1]quit
[RTA]traffic behavior huawei-control2
[RTA-behavior-huawei-control2]redirect ip-nexthop 12.1.1.2
[RTA-behavior-huawei-control2]quit
[RTA]traffic policy huawei-control3
[RTA-trafficpolicy-huawei-control3]classifier huawei-control1 behavior huawei-control2
[RTA-trafficpolicy-huawei-control3]quit
[RTA]interface GigabitEthernet 0/0/2
[RTA-GigabitEthernet0/0/2]traffic-policy huawei-control3 inbound
[RTA-GigabitEthernet0/0/2]quit

[RTA]traffic classifier huawei-control4
[RTA-classifier-huawei-control4]if-match acl 3001
[RTA-classifier-huawei-control4]quit
[RTA]traffic behavior huawei-control5
[RTA-behavior-huawei-control5]redirect ip-nexthop 12.1.3.2
[RTA-behavior-huawei-control5]quit
[RTA]traffic policy huawei-control6
[RTA-trafficpolicy-huawei-control6]classifier huawei-control4 behavior huawei-control5
[RTA-trafficpolicy-huawei-control6]quit
[RTA]interface GigabitEthernet 4/0/0
[RTA-GigabitEthernet4/0/0]traffic-policy huawei-control6 inbound

路由引入导致的问题及解决办法

• 多协议复杂场景路由引入问题 - 空闲链路：

问题：OSPF路由器B、C分别引入RIP协议路由，路由器A分别学到B、C的路由，且A到达B的开销小于A到达C的开销A->C->D路径就会空闲。
解决办法：通过修改A->C路径开销（改小）或A-B路开销（改大），实现负载分担。

• 多协议复杂场景路由引入问题 - 次优路由：

问题：路由器C引入D发布的2.0.0.0/32路由后，将路由信息发布给A，A也会将路由信息发布给B，B就会拥有两个发往2.0.0.0/32的路由（A和D路由器），由于IS-IS路由优先级高于RIP，B就会沿B->A->C->D这条比较差的路径转发数据。
解决办法一：在路由器B上配置路由策略过滤掉A通过IS-IS发布的2.0.0.0/32路由，如下：

[RTB]acl 2001
[RTB-acl-basic-2001]rule 5 deny source 2.0.0.0 0.255.255.255 
[RTB-acl-basic-2001]rule 10 permit 
[RTB-acl-basic-2001]isis 1
[RTB-isis-1]filter-policy 2001 import

解决办法二：解决办法一遇到B->D链路故障时会有局限性，方法二调整路由器B上的IS-IS协议优先级避免次优路由，如下：

[RTB]isis 1
[RTB-isis-1]preference 150

• 多协议复杂场景路由引入问题 - 路由环路：

问题：路由器C通过A->B->C（OSPF）和A->B->E->D->C（IS-IS）学到两条通往2.0.0.0/32的路由，由于IS-IS路由优先级高于OSPF，C会将使用通往D的路由，且C引入IS-IS路由时，未修改开销（初始1），当B学习到C发布的路由时，会选择开销值小的C路由，而抛弃真实连接2.0.0.0/32的路由器A发布的路由。当路由器D想要访问2.0.0.0/32时，会形成D->E->B->A->D路径，形成环路。
解决办法一：在路由器C上配置路由策略过滤掉D通过IS-IS发布的2.0.0.0/32路由，如下：

[RTC]acl 2001
[RTC-acl-basic-2001]rule 0 deny source 2.0.0.0 0.255.255.255 
[RTC-acl-basic-2001]rule 1 permit
[RTC-acl-basic-2001]route-policy RP1 permit node 10
[RTC-route-policy]if-match acl 2001
[RTC-route-policy]ospf 1
[RTC-ospf-1]import-route isis 1 route-policy RP1

解决办法二：调整路由器C上的IS-IS路由协议优先级，避免环路，如下：

[RTC]isis 1
[RTC-isis-1]preference 160
[RTC-isis-1]ospf 1
[RTC-ospf-1]import-route isis 1

总结

• IP-Prefix List不能过滤IP报文，只能过滤路由信息；
• 常用调整网络流量路径的方式包括：路由策略、策略路由方式；
• 路由引入可能会带来：次优路径、路由环路等问题，通常采用：路由过滤、调整协议优先级方式解决；

---

Eth-Trunk技术原理与配置

基于HCIA笔记-链路聚合的一些补充。

• LACP模式主动方选举：LACP优先级默认32768，越小优先级越高，优先级一致时，MAC地址较小的一端作为主动方；
• LACP模式活跃端口选举：接口LACP值越小优先级越高，优先级一致时，接口ID小的接口为活动接口；
• LACP抢占机制：默认未开启，开启抢占机制时，备份链路在使用的过程中，原主链路恢复会抢占为活动端口，可以设置抢占延时，防止主链路震荡导致网络不稳定；
• Eth-Trunk接口负载分担

接口负载分担	命令	特点	缺点
逐流负载分担	[Switch-Eth-Trunk1]load-balance dst-ip	当报文的源、目的IP地址都相同或报文源、目的MAC地址相同时，这些报文从同一条成员链路上通过	能保证包顺序，不保证带宽利用率
逐包负载分担	该命令未被找到	以报文为单位分别从不同的成员链路上发送	能保证带宽利用率，不能保证包顺序

• 配置负载分担权重：缺省情况下，接口成员负载分担权重为1，接口的权重值占所有接口重值之和的比例越大，承担的负载就越大，在接口模式下使用命令distribute-weight 配置权重（该命令未被找到）；
• 手工负载分担模式配置步骤：创建Eth-Trunk、配置Eth-Trunk工作模式、Eth-Trunk加入成员接口；
• LACP模式配置步骤：前三项同上，其余可选项为配置系统LACP优先级、配置活动接口数上限、配置接口LACP优先级[Switch-GigabitEthernet0/0/1]lacp priority、使能LACP抢占与抢占时间（未找到命令）；

总结

• Eth-Trunk链路聚合模式为：手工负载分担模式、LACP模式；
• LACP模式下，默认的系统优先级为32768；
• 链路聚合遵循IEEE802.3ad协议；

---

交换机高级特性简介

MUX VLAN（Multiplex VLAN）、端口隔离功能、端口安全功能。

MUX VLAN

应用场景：企业员工间可局部互访，外来访客间隔离，只能访问指定位置。

• MUX VLAN的的划分：

1. 主VLAN（Principal VLAN）：可与MUX VLAN内所有VLAN进行通信；
2. 隔离型从VLAN（Separate VLAN）:只能和主VLAN通信，Separate VLAN内部也完全隔离；
3. 互通型从VLAN（Group VLAN）:能和主VLAN通信，Group VLAN内部可互相通信（不同Group VLAN间不能通信）

• 配置实现

企业内相同部门内可互通，不同部门间隔离，所有部门都可访问服务器。
外来访客间隔离，外来访客与企业内部员工隔离，访客可访问服务器。

SWB上接口1、2连接交换机SWC、SWD，接口3连接服务器。

[SWB]vlan batch 10 20 30 40
[SWB]vlan 40
[SWB-vlan40]mux-vlan
[SWB-vlan40]subordinate separate 30
[SWB-vlan40]subordinate group 10 20
[SWB-vlan40]interface GigabitEthernet 0/0/1
[SWB-GigabitEthernet0/0/1]port link-type trunk
[SWB-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[SWB-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[SWB-GigabitEthernet0/0/2]port link-type trunk
[SWB-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 30 40
[SWB-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[SWB-GigabitEthernet0/0/3]port link-type access
[SWB-GigabitEthernet0/0/3]port default vlan 40
[SWB-GigabitEthernet0/0/3]port mux-vlan enable

SWC上接口1连接交换机SWB，接口2、3连接一个部门，接口4、5连接另一个部门。

[SWC]vlan batch 10 20 30 40
[SWC]vlan 40
[SWC-vlan40]mux-vlan
[SWC-vlan40]subordinate separate 30
[SWC-vlan40]subordinate group 10 20
[SWC-vlan40]interface GigabitEthernet 0/0/1
[SWC-GigabitEthernet0/0/1]port link-type trunk
[SWC-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[SWC-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[SWC-GigabitEthernet0/0/2]port link-type access
[SWC-GigabitEthernet0/0/2]port default vlan 10
[SWC-GigabitEthernet0/0/2]port mux-vlan enable
[SWC-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[SWC-GigabitEthernet0/0/3]port link-type access
[SWC-GigabitEthernet0/0/3]port default vlan 10
[SWC-GigabitEthernet0/0/3]port mux-vlan enable
[SWC-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
[SWC-GigabitEthernet0/0/4]port link-type access
[SWC-GigabitEthernet0/0/4]port default vlan 20
[SWC-GigabitEthernet0/0/4]port mux-vlan enable
[SWC-GigabitEthernet0/0/4]interface GigabitEthernet 0/0/5
[SWC-GigabitEthernet0/0/5]port link-type access
[SWC-GigabitEthernet0/0/5]port default vlan 20
[SWC-GigabitEthernet0/0/5]port mux-vlan enable

SWD上接口1连接交换机SWB，接口2、3等连接外来访客。

[SWD]vlan batch 10 20 30 40
[SWD]vlan 40
[SWD-vlan40]mux-vlan
[SWD-vlan40]subordinate separate 30
[SWD-vlan40]subordinate group 10 20
[SWD-vlan40]interface GigabitEthernet 0/0/1
[SWD-GigabitEthernet0/0/1]port link-type trunk
[SWD-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40
[SWD-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[SWD-GigabitEthernet0/0/2]port link-type access
[SWD-GigabitEthernet0/0/2]port default vlan 30
[SWD-GigabitEthernet0/0/2]port mux-vlan enable
[SWD-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[SWD-GigabitEthernet0/0/3]port link-type access
[SWD-GigabitEthernet0/0/3]port default vlan 30
[SWD-GigabitEthernet0/0/3]port mux-vlan enable

端口隔离

应用场景：企业员工间可互访，外来访客间隔离，访客可与企业员工互访。

• 端口隔离功能：实现同一VLAN内端口间的隔离，将端口加入到同一隔离组中，隔离组内用户之间隔离，可以与组外用户正常通信，华为交换机端口隔离隔离组编号范围是1-64。

• 两种隔离模式：二层隔离三层互通（隔离同一VLAN内广播报文，但还可以进行三层通信）、二层三层均隔离（不同端口下用户彻底无法通信，只有部分交换机支持）

• 配置实现

内部员工间可互访，外部员工间隔离，外部员工可访问内部员工。

SWC交换机连接外部员工，将外部员工加入隔离组group 1，可在系统视图下执行port-isolate mode all实现二层三层都隔离。

[SWC]interface GigabitEthernet 0/0/1
[SWC-GigabitEthernet0/0/1]port link-type access
[SWC-GigabitEthernet0/0/1]port default vlan 10
[SWC-GigabitEthernet0/0/1]port-isolate enable group 1
[SWC-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[SWC-GigabitEthernet0/0/2]port link-type access
[SWC-GigabitEthernet0/0/2]port default vlan 10
[SWC-GigabitEthernet0/0/2]port-isolate enable group 1
[SWC-GigabitEthernet0/0/2]display port-isolate group all
[SWC-GigabitEthernet0/0/2]quit
[SWC]port-isolate mode all

端口安全

应用场景：防止非法用户接入。

• 配置在接入层：可以防止仿冒用户从其他端口接入。每个接口都开启端口安全功能，并绑定MAC与VLAN信息，非法用户的包将丢弃；
• 配置在汇聚层：可以控制接入用户的数量。设置每个接口学习到的最大MAC地址数，上限时其他MAC地址数据包将丢弃；
• 端口安全类型：通过将接口学习到的动态MAC地址转换为安全MAC地址（表中三类）阻止非法用户接入。

类型	定义	特点
安全动态MAC地址	使能端口安全而未使能Sticky MAC功能时转换的MAC地址	重启后表项丢失，需重新学习，缺省情况下不会被老化，只有配置了安全MAC老化时间才会被老化
安全静态MAC地址	使能端口安全时手工配置的静态MAC地址	不会被老化，重启不会丢失
Sticky MAC地址	使能端口安全后又同时使能Sticky MAC功能后转换的MAC地址	不会被老化，重启不会丢失

• 端口安全限制动作：接口上安全MAC地址数达到限制后，收到源MAC不存在的报文做出如下表动作。

动作	实现说明
restrict	缺省动作，丢弃报文并上报告警。
protect	丢弃报文不上报告警
shutdown	接口置为error-down状态，并上报告警。默认情况下该状态不会自动恢复需手动restart重启接口恢复

• 配置实现

财务部使用安全静态绑定接入用户MAC与VLAN信息，市场部使用动态MAC地址学习。

财务交换机SWB使能接口Sticky MAC功能，接口上可配置：port-security max-mac-num 限制Sticky MAC学习数量，默认限制为1，接口上可配置：port-security protect-action 配置端口安全保护动作。

[SWB]interface GigabitEthernet 0/0/1
[SWB-GigabitEthernet0/0/1]port link-type access
[SWB-GigabitEthernet0/0/1]port default vlan 10
[SWB-GigabitEthernet0/0/1]port-security enable
[SWB-GigabitEthernet0/0/1]port-security mac-address sticky
[SWB-GigabitEthernet0/0/1]port-security mac-address sticky 5489-983f-245e vlan 10
[SWB-GigabitEthernet0/0/1]port-security max-mac-num 5
[SWB-GigabitEthernet0/0/1]port-security protect-action shutdown
[SWB-GigabitEthernet0/0/1]display mac-address sticky

市场部使用动态MAC地址学习。

[SWC]interface GigabitEthernet 0/0/1
[SWC-GigabitEthernet0/0/1]port link-type access
[SWC-GigabitEthernet0/0/1]port default vlan 20
[SWC-GigabitEthernet0/0/1]port-security enable
[SWB-GigabitEthernet0/0/2]display mac-address security

总结

• MUX VLAN中，可以与所有VLAN通信的是主VLAN（Principal VLAN），不是隔离型从VLAN（Separate VLAN）、互通型从VLAN（Group VLAN）；
• 端口安全技术中安全MAC地址类型有：安全动态MAC地址、安全静态MAC地址、Sticky MAC地址；

---

RSTP协议原理与配置

基于HCIA笔记-RSTP原理与配置的一些补充。

• STP的不足：初始化到收敛需要30秒、交换机上有备用端口根端口down掉备用端口切换到根端口需要至少30秒、交换机上无备用端口根端口down掉相邻交换机备用端口进入转发状态大约50秒、STP交换机连接用户终端需要经过30秒、拓扑变更时只有根桥可以发送TC置位的BPDU来更新其他交换机的MAC地址表（效率低）、端口角色不足、端口状态不够简化；
• RSTP对STP的改进：

1. 端口角色：除根端口、指定端口外，RSTP还引入预备端口、备用端口、边缘端口三种端口角色；
2. 端口状态：将Disabled、Blocking、Listening三种状态合并为Discarding状态，不学习MAC地址不转发用户流量，可以交互BPDU报文，Learning、Forwarding状态保留；
3. 引入P/A机制；
4. 直连链路故障（交换机上有预备端口）：预备端口切换成根端口可在秒级完成收敛；
5. 非直连链路故障（交换机上无预备端口，有指定端口）：会使用P/A机制收敛，使指定端口秒级变为根端口；
6. 边缘端口的引入使得主机连接网络后端口立即进入Forwarding状态；
7. 拓扑变化唯一标准：一个非边缘端口迁移到Forwarding状态；
8. TC置位的BPDU报文可由链路故障端的交换机直接发出，并在全网泛洪，提高MAC地址刷新效率；

• 保护机制：

1. BPDU保护：当边缘端口收到BPDU报文会被立刻关闭，可有效防止网络震荡，系统视图下配置stp bpdu-protection；
2. 根保护：在指定端口上配置，收到优先级更高RST BPUD时，端口进入Discarding状态，经过一段时间不在收到优先级更高的RST BPDU才会进入Forwarding状态，所有交换机的指定端口上配置stp root-protection；
3. TC-BPDU泛洪保护：可以指定时间内设置收到TC置位的BPDU报文的次数（缺省2秒3次），超过该次数就不再清空MAC地址表项；

总结

• RSTP定义了三种端口状态：Discarding、Learning、Forwarding；
• RSTP定义了五种状态角色：根端口、指定端口、预备端口、备份端口、边缘端口；

---

MSTP协议原理与配置

由于局域网内所有VLAN共享一棵生成树，被阻塞的链路不承载任何流量，无法在VLAN间实现数据负载均衡。
MSTP兼容STP、RSTP，既可以快速收敛，又能提供冗余路径实现VLAN数据负载分担。

单生成树弊端

• 部分VLAN路径不通

• 无法实现流量负载分担

• 次优二层路径

MSTP基本原理

1. 一个MST域内可以生成多棵生成树，每棵生成树都称为一个MSTI（MST Instance）；
2. MSTI间互相独立，都有一个标识MSTID（VRP支持16个MSTI，0-15，默认所有VLAN都被映射到MSTI 0），每个MSTI都单独计算RSTP；
3. VLAN映射表：描述了VLAN与MSTI间的映射关系，一个MSTI可与多个VLAN对应，但一个VLAN只能对应一个MSTI；
4. MSTP兼容STP和RSTP，既能快速收敛，又能提供冗余路径实现负载分担；

MSTP配置实现

• 配置MST域并创建多个MSTI与VLAN的映射关系，配置指定每个MSTI的根桥（primary关键字会将网桥优先级改为0，secondary关键字会将网桥优先级改为4096），配置端口MSTI开销控制想要阻塞的MSTI端口，最后配置边缘端口。

[SWA]stp enable
[SWA]stp mode mstp
[SWA]stp region-configuration
[SWA-mst-region]region-name RG1
[SWA-mst-region]instance 1 vlan 1 to 10
[SWA-mst-region]instance 2 vlan 11 to 20
[SWA-mst-region]active region-configuration
[SWA-mst-region]quit
[SWA]stp instance 1 root primary 
[SWA]stp instance 2 root secondary

[SWB]stp enable
[SWB]stp mode mstp
[SWB]stp region-configuration
[SWB-mst-region]region-name RG1
[SWB-mst-region]instance 1 vlan 1 to 10
[SWB-mst-region]instance 2 vlan 11 to 20
[SWB-mst-region]active region-configuration
[SWB-mst-region]quit
[SWB]stp instance 2 root primary 
[SWB]stp instance 1 root secondary

交换机C、D的MST域内配置与交换机A、B一致，配置其端口开销、边缘端口命令如下：

[SWC]interface GigabitEthernet 0/0/2
[SWC-GigabitEthernet0/0/2]stp instance 2 cost 200000
[SWC-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[SWC-GigabitEthernet0/0/3]stp edged-port enable

[SWD]interface GigabitEthernet 0/0/2
[SWD-GigabitEthernet0/0/2]stp instance 1 cost 200000
[SWD-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[SWD-GigabitEthernet0/0/3]stp edged-port enable

总结

• 单生成树缺陷：可能部分VLAN路径不通、无法实现负载分担、次优二层路径；
• 关于MSTP：每个生成树实例使用独立的RSTP算法、MSTP兼容STP与RSTP、一个MSTP可以与一个或多个VLAN对应；

---

IENP

MPLS协议原理与配置

基于HCIA笔记-MPLS基本原理的一些补充。

互联网流量快速增长，传统路由转发采用最长匹配算法逐跳转发数据包效率低下，IETF组织确定了MPLS协议作为快速路由技术，采用短而定长的标签，提高了硬件限制下的转发能力，而且MPLS可以扩展到多种网络协议（IPv6、IPX等）。MPLS封装有不同的方式，有帧模式和信元模式 ，Ethernet和PPP使用帧模式封装 ，ATM使用信元模式封装。

MPLS协议工作原理

• MPLS概述

1. LSP（Lable Switched Path）：标签交换路径，即到达同一目的地址的报文在MPLS网络中经过的路径，分为Static LSP（手工配置的静态LSP）、LDP LSP（LDP协议自动生成的LSP）；
2. LER（Lable Edge Router）：标签边缘路由器，用于标签的压入Push、弹出Pop，入口LER被称为入节点Ingress（上游Push标签设备），出口LER被称为出节点Egress（下游Pop标签设备）；
3. LSR（Lable Switched Router）：标签交换路由器，用于标签交换Swap，被称为中间节点Transit；
4. FEC（Forwarding Equivalent Class）：转发等价类，具有相同转发处理方式的报文，例如到达同一目的地址的所有报文就是一个EFC；
5. NHLFE（Next Hop Label Forwarding Entry）：下一跳标签转发表项，用于指导MPLS报文的转发，包括：Tunnel ID、出接口、下一跳、出标签、标签操作类型等信息；
6. LDP（Label Distribution Protocol）：标签分发协议，负责标签的分配、标签转发信息表的建立、标签交换路径的建立、拆除等工作；
7. MPLS数据报文结构：Label，20位，标签值域；Exp，3位，常用于CoS；S，1位，栈底标识；TTL，8位，生命周期；
8. 标签取值范围：0-15，特殊标签，如3为隐式空标签，0为显示空标签；16-1023，静态LSP和静态CR-LSP共享的标签空间；1024及以上，LDP、RSVP-TE、MP-BGP等动态信令协议的标签空间；
9. RIB：路由信息表，由IP路由协议生成，用于选择路由；
10. LIB：标签信息表，由标签分发协议生成，用于管理标签信息；
11. FIB：转发信息表，从RIB提取必要路由信息生成，负责普通IP报文转发；
12. LFIB：标签转发信息表，由标签分发协议建立LFIB，负责带MPLS标签报文的转发；

LSP的建立

当收到普通IP报文时，查找FIB表，如果Tunnel ID为0x0，则进行普通IP转发；如果查找FIB表，Tunnel ID为非0x0，则进行MPLS转发。当收到带标签的报文时，查找LFIB表，如果对应的出标签是普通标签，则进行MPLS转发；查找LFIB表，如果对应的出标签是特殊标签，如标签3，则将报文的标签去掉，进行IP转发；

静态LSP

手工方式为各个转发等价类分配标签建立转发隧道。无需交互控制报文，资源消耗小，但不会根据拓扑变化而动态调整，需人为干预。
原则：前一节点出标签的值等于下一个节点入标签的值。

如为PC1（100.1.1.1/24）的用户静态建立一条LSP（已提前配置好端口IP和OSPF动态路由）：

R1为下游Pop标签设备，出节点Egress：

[R1]mpls lsr-id 1.1.1.1
[R1]mpls
[R1-mpls]quit
[R1]static-lsp egress PC1 incoming-interface GigabitEthernet 0/0/0 in-label 101
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]mpls
[R1-GigabitEthernet0/0/0]dis mpls lsp
-------------------------------------------------------------------------------
                 LSP Information: STATIC LSP
-------------------------------------------------------------------------------
FEC                In/Out Label  In/Out IF                      Vrf Name       
-/-                101/NULL      GE0/0/0/-

R2为Swap标签设备，中间节点Transit：

[R2]mpls lsr-id 2.2.2.2
[R2]mpls
[R2-mpls]quit
[R2]static-lsp transit PC1 incoming-interface GigabitEthernet 0/0/1 in-label 201 nexthop 11.11.11.1 outgoing-interface GigabitEthernet 0/0/0 out-label 101
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]mpls 
[R2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]mpls
[R2-GigabitEthernet0/0/1]display mpls lsp
-------------------------------------------------------------------------------
                 LSP Information: STATIC LSP
-------------------------------------------------------------------------------
FEC                In/Out Label  In/Out IF                      Vrf Name       
-/-                201/101       GE0/0/1/GE0/0/0

R3为上游Push标签设备，入节点Ingress：

[R3]mpls lsr-id 3.3.3.3
[R3]mpls
[R3-mpls]quit
[R3]static-lsp ingress PC1 destination 100.1.1.0 24 nexthop 12.12.12.1 outgoing-interface GigabitEthernet 0/0/0 out-label 201
[R3]interface GigabitEthernet 0/0/0
[R3-GigabitEthernet0/0/0]mpls
[R3-GigabitEthernet0/0/0]display mpls lsp
-------------------------------------------------------------------------------
                 LSP Information: STATIC LSP
-------------------------------------------------------------------------------
FEC                In/Out Label  In/Out IF                      Vrf Name       
100.1.1.0/24       NULL/201      -/GE0/0/0

如此，由R3发往主机100.1.1.1/24的数据将被压入MPLS标签（单条LSP），而其他路由器发往主机的数据、主机发往其他设备的数据则无标签，所以还需要再手工配置一条返回的路径。

动态LSP

通过LDP协议实现对FEC的分类、标签的分配及LSP的建立和维护等工作。配置简单，易于管理和维护，支持动态建立LSP，网络拓扑变化时能动态调整。LDP有两种不同的发现对等体机制：基本发现机制、扩展发现机制。

• LDP邻居发现：使用Hello报文发送携带与本端传输地址（须与LSR ID一致，可以是物理地址、LoopBack地址），使用组播地址224.0.0.2以UDP协议以5秒为周期组播发出；
• LDP协议主要使用四类消息：发现消息（Discovery）：用于通告和维护网络中邻居的存在，如Hello消息，使用组播地址224.0.0.2以UDP协议以5秒周期性发出，端口号为646。会话消息（Session）：用于建立、维护和终止LDP对等体之间的会话，如Initialization消息、Keepalive消息。通告消息（Advertisement）：用于创建、改变和删除FEC的标签映射，如Address消息、Label Mapping消息。通知消息（Notification）：用于提供建议性的消息和差错通知；

• 标签发布方式：DU（默认），从出节点开始每一跳路由器主动向上游通告标签映射消息。DoD，从入节点开始每一跳路由器向下游请求标签，下游收到请求后通告标签映射消息；
• 标签的分配控制方式：Independent，LSR自主分配标签，无需等待下游标签。Ordered（默认），当LSR已有此IP的下一跳标签，LSR才会向上游发送此IP分组的标签（防止下游IP标签收敛时间长，上游已分配标签，数据开始转发时造成的丢失）；
• 标签的保持方式：Liberal（默认），自由标签保持方式，无论邻居LSR是不是自己的下一跳，都保留邻居LSR标签（拓扑变化时有利于迅速建立LSP）。Conservative，保守标签保留方式，只有邻居LSR是自己下一跳是才保留邻居LSR标签；
• LDP建立LSP过程：

1. IGP协议负责实现MPLS网络路由内可达，为FEC的分组提供路由；
2. LDP协议负责实现FEC的分类、标签的分配、LSP的建立和维护等操作；
3. 出节点向上游邻居发布标签映射消息；
4. 上游节点收到下游邻居标签映射消息后，向自己的上游发布自己的标签映射消息，同时查看IP路由表下一跳是否为该下游路由器，若是则使用该标签封装数据，若不是则保留标签作为备用；
5. 上游入节点收到邻居分配的标签映射消息时也查看路由表决定标签的使用或保留，最终LSP完成建立；

• 次末跳弹出机制PHP（Penultimate Hop Popping）：为防止业务量很大时，出节点既查询LFIB标签转发表，又查询FIB转发信息表，两次查表导致路由器负载过大。次末跳弹出机制将使得出节点路由器将该FEC的入方向标签置为3（默认，隐式空标签），上一级路由器发现分配的出标签为3时，执行弹出标签操作，并将IP数据包转发给出节点路由器，出节点路由器只查询FIB表的出接口进行IP数据转发。（关于显示空标签0：次末跳不弹出标签，出节点路由器收到标签为0的报文会直接弹出标签，同样只进行一次查表，但标签还在的作用是在某些场景下使Exp字段不丢失，优先级的作用得以保留）
• 配置命令

已提前配置好端口IP、环回口IP、OSPF动态路由，三台路由器配置类似如下即可（不同的是lsr-id）：

[R1]mpls lsr-id 1.1.1.1
[R1]mpls
[R1-mpls]lsp-trigger all
[R1-mpls]quit
[R1]mpls ldp
[R1-mpls-ldp]quit
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]mpls
[R1-GigabitEthernet0/0/0]mpls ldp
[R1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]mpls
[R1-GigabitEthernet0/0/1]mpls ldp
[R1-GigabitEthernet0/0/1]display mpls lsp
-------------------------------------------------------------------------------
                 LSP Information: LDP LSP
-------------------------------------------------------------------------------
FEC                In/Out Label  In/Out IF                      Vrf Name       
1.1.1.1/32         3/NULL        -/-                                           
100.1.1.0/24       3/NULL        -/-                                           
11.11.11.0/24      3/NULL        -/-                                           
1.1.1.0/24         3/NULL        -/-                                           
2.2.2.2/32         NULL/3        -/GE0/0/1                                     
2.2.2.2/32         1024/3        -/GE0/0/1                                     
3.3.3.3/32         NULL/1026     -/GE0/0/1                                     
3.3.3.3/32         1025/1026     -/GE0/0/1                                     
12.12.12.0/24      NULL/3        -/GE0/0/1                                     
12.12.12.0/24      1026/3        -/GE0/0/1                                     
100.1.2.0/24       NULL/1027     -/GE0/0/1                                     
100.1.2.0/24       1027/1027     -/GE0/0/1

总结

• MPLS的标签字段Label有20位；
• 隐式空标签的值为3；

---

MPLS VPN技术原理与配置

随着硬件性能不断提升，MPLS在提高数据转发效率的优势逐渐被弱化，但其支持多层标签嵌套和设备内转控分离的特点，在VPN、TE等新兴应用中得到应用，即MPLS VPN。

VPN技术的产生及分类

• VPN网络特点：使共享的公共网络环境实现各私网的连接，不同私有网络间互相不可见；
• VPN领域名词解释：

名词	含义	说明
CE	用户网络边缘设备Customer Edge	CE感知不到VPN的存在，也不需要支持MPLS
PE	服务提供商边缘设备Provider Edge	与CE直接相连，在MPLS网络中，对VPN的所有处理都发生在PE上
P	服务提供商网络中骨干设备Provider	不与CE相连，只需要具备基本MPLS转发能力，不维护VPN信息
Overlay VPN	在CE或PE设备上建立隧道	CE间建立隧道不同客户地址空间可以重叠，保密性、安全性好，但本质是一种静态VPN，新增站点时配置与维护复杂。PE间建立隧道是把VPN创建与维护完全交给运营商，保密性、安全性好，但不同VPN用户不能共享相同地址空间。二层：帧中继，三层：GRE、IPSec，应用层：SSL VPN
Peer-to-Peer VPN	在CE、PE间交互私网信息	由PE设备将私网信息在运营商网络中传播，解决了Overlay VPN静态性质不适合大规模应用部署问题，但PE设备负担重，配置大量ACL，且无法识别重叠地址，使用专用PE独立接入配置复杂度、管理难度低，但又会增加成本，MPLS VPN属于此类，解决了Peer-to-Peer VPN的相关问题，见MPLS VPN解决的问题
VRF	VPN路由转发表VPN Routing and Forwarding table，将共享PE设备上的重叠路由隔离	共享PE设备上建立多个VRF，每个VPN放入自己对应的VPN Routing Table中，同时还维护一个公网全局路由表
RD	VPN路由标识符Route Distinguisher	一个全局唯一标识和路由绑定，保证各个Site地址的唯一性，每台PE上的不同VPN的RD必须唯一，如RD=1:1（64位）
MP-BGP	扩展BGP协议Multiprotocol Extensions for BGP-4	运营商采用BGP协议作为承载VPN路由的协议，PE从CE收到客户IPv4私网路由后，添加RD、RT、标签等信息变为VPNv4路由放入MP-BGP的VPNv4路由表中，通过MP-BGP协议在公网传递
RT	路由目标Route Target，分为Import Target、Export Target	用于区分VPN路由的导入和导出，封装在BGP的扩展Community属性中，为每个VRF表达自己的路由取舍及喜好的属性，本地Import Target接收到对端路由时检查Export Target属性是否与自己匹配，Export Target在本端导出VRF时标记该属性（不标记Import Target），如Export=3:3，Import=1:1
Site	站点	指相互之间具备IP连通性的一组IP系统，即用户设备所在区域

MPLS VPN解决的问题

1. PE设备不能区分控制面和数据面地址空间重叠问题，解决方案：专用PE设备（不采用）、共享PE设备上使用VRF技术并维护一个公网路由表（部分解决）；
2. 在网络传递过程中区分冲突路由（控制面），解决方案：RD进行路由引入、引出（不能解决正确引入Hub-Spoke场景VPN路由问题）；
3. Hub-Spoke场景VPN路由的引入问题（控制面），解决方案：RT（RD这时只保证各个Site地址的唯一性，不负责路由引入引出，Import Target、Export Target区分VPN路由的引入、引出）；

4. 数据转发过程中冲突路由的查找（数据面，没有RD、RT等信息，PE不知道查找哪个VPN路由表），解决方案：MPLS标签嵌套（外层标签为公网标签，在PE的次末跳被弹出，内部标签为私网标签用于将数据正确发送到对应VPN中，区分数据包属于哪个VPN）；

MPLS VPN工作原理

• MPLS VPN工作工程

1. MPLS VPN路由的传递过程：CE与PE间的路由交换（静态、RIP、OSFP、ISIS、BGP等），VRF路由注入MP-BGP的过程（VRF中的IPv4路由被添加上各种信息被MP-BGP协议在PE设备间交换），公网标签分配过程，MP-BGP路由注入VPN的过程（检查发送过来的VPNv4的扩展团体属性将数值相比较后引入正确的VPN路由表）；
2. MPLS VPN数据的转发过程：CE到PE的数据转发（封装私网标签、公网标签），公网设备上的数据转发（只改变公网标签，次末跳会弹出公网标签），PE到CE的数据转发（剥离私网标签交给CE）；

MPLS VPN配置实例

• 配置过程

分部1使用OSPF路由协议，配置本端IP地址、路由协议OSPF将本分部内的路由信息发布出去，无需关心运营商端如何处理，可认为对端是直连总部：

[CE1]interface GigabitEthernet 0/0/0
[CE1-GigabitEthernet0/0/0]ip address 10.1.13.1 24
[CE1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[CE1-GigabitEthernet0/0/1]ip address 172.16.1.254 24
[CE1-GigabitEthernet0/0/1]interface LoopBack 0
[CE1-LoopBack0]ip address 1.1.1.1 32
[CE1-LoopBack0]quit
[CE1]ospf 1 router-id 1.1.1.1
[CE1-ospf-1]area 0
[CE1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[CE1-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255
[CE1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255

分部2使用静态路由，配置本端IP地址：

[CE2]interface GigabitEthernet 0/0/0
[CE2-GigabitEthernet0/0/0]ip address 10.1.23.1 24
[CE2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[CE2-GigabitEthernet0/0/1]ip address 172.16.2.254 24
[CE2-GigabitEthernet0/0/1]interface LoopBack 0
[CE2-LoopBack0]ip address 2.2.2.2 32
[CE2-LoopBack0]quit
[CE2]ip route-static 0.0.0.0 0 10.1.23.2

运营商端PE1，配置本端IP地址、运营商网络的公网路由协议OSPF、MLPS链路（外层标签），配置两个VPN实例，并将两个分部的内部路由封装进去（即VRF部分，无需关心企业内部路由如何处理），然后和运营商PE2建立一个BGP将私网路由转发过去（MP-BGP部分），最后实现分部和总部间不同的路由协议相互引入即可（在PE1的MP-BGP内VPN实例里将企业内部不同路由协议相互引入，不在全局路由里引入，全局是运营商自己的网，只需实现企业内部网的相互引入）：

[PE1]interface GigabitEthernet 0/0/0
[PE1-GigabitEthernet0/0/0]ip address 10.1.13.2 24
[PE1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[PE1-GigabitEthernet0/0/1]ip address 10.1.23.2 24
[PE1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[PE1-GigabitEthernet0/0/2]ip address 10.1.34.1 24
[PE1-GigabitEthernet0/0/2]interface LoopBack 0
[PE1-LoopBack0]ip address 3.3.3.3 32
[PE1-LoopBack0]quit
[PE1]ospf 1 router-id 3.3.3.3
[PE1-ospf-1]area 0
[PE1-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[PE1-ospf-1-area-0.0.0.0]network 10.1.34.0 0.0.0.255
[PE1-ospf-1-area-0.0.0.0]quit
[PE1-ospf-1]quit
[PE1]mpls lsr-id 3.3.3.3
[PE1]mpls
[PE1-mpls]mpls ldp
[PE1-mpls-ldp]quit
[PE1]interface GigabitEthernet 0/0/2
[PE1-GigabitEthernet0/0/2]mpls
[PE1-GigabitEthernet0/0/2]mpls ldp
[PE1-GigabitEthernet0/0/2]quit

[PE1]ip -instance branch1
[PE1--instance-branch1]route-distinguisher 100:1
[PE1--instance-branch1-af-ipv4]-target 100:1 export-extcommunity
[PE1--instance-branch1-af-ipv4]-target 100:3 import-extcommunity 
[PE1--instance-branch1-af-ipv4]quit
[PE1--instance-branch1]quit

[PE1]ip -instance branch2
[PE1--instance-branch2]route-distinguisher 100:2
[PE1--instance-branch2-af-ipv4]-target 100:2 export-extcommunity
[PE1--instance-branch2-af-ipv4]-target 100:3 import-extcommunity
[PE1--instance-branch2-af-ipv4]quit
[PE1--instance-branch2]quit

[PE1]interface GigabitEthernet 0/0/0
[PE1-GigabitEthernet0/0/0]ip binding -instance branch1
[PE1-GigabitEthernet0/0/0]ip address 10.1.13.2 24
[PE1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[PE1-GigabitEthernet0/0/1]ip binding -instance branch2
[PE1-GigabitEthernet0/0/1]ip address 10.1.23.2 24
[PE1-GigabitEthernet0/0/1]quit

[PE1]ospf 2 -instance branch1
[PE1-ospf-2]area 0
[PE1-ospf-2-area-0.0.0.0]network 10.1.13.0 0.0.0.255
[PE1-ospf-2-area-0.0.0.0]quit
[PE1-ospf-2]quit

[PE1]ip route-static -instance branch2 2.2.2.2 32 10.1.23.1
[PE1]ip route-static -instance branch2 172.16.2.0 24 10.1.23.1
[PE1]display ip routing-table -instance branch1
[PE1]display ip routing-table -instance branch2

[PE1]bgp 500
[PE1-bgp]router-id 3.3.3.3
[PE1-bgp]peer 5.5.5.5 as-number 500
[PE1-bgp]peer 5.5.5.5 connect-interface LoopBack 0
[PE1-bgp]ipv4-family v4
[PE1-bgp-af-v4]peer 5.5.5.5 enable
[PE1-bgp-af-v4]quit

---路由引入部分

[PE1-bgp]ipv4-family -instance branch1
[PE1-bgp-branch1]import-route ospf 2
[PE1-bgp-branch1]quit
[PE1-bgp]ipv4-family -instance branch2
[PE1-bgp-branch2]import-route static
[PE1-bgp-branch2]quit
[PE1-bgp]quit

[PE1]ospf 2
[PE1-ospf-2]import-route bgp 

---静态默认路由无需引入（即分部2的默认路由0.0.0.0/0）

[PE1]display bgp v4 all routing-table 1.1.1.1

运营商骨干路由器只需要配置运营商自己的OSPF、MPLS，保证PE间网络通畅，无需关心PE间的路由数据：

[P]interface GigabitEthernet 0/0/0
[P-GigabitEthernet0/0/0]ip address 10.1.34.2 24
[P-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[P-GigabitEthernet0/0/1]ip address 10.1.45.1 24
[P-GigabitEthernet0/0/1]interface LoopBack 0
[P-LoopBack0]ip address 4.4.4.4 32
[P-LoopBack0]quit
[P]ospf 1 router-id 4.4.4.4
[P-ospf-1]area 0
[P-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0
[P-ospf-1-area-0.0.0.0]network 10.1.34.0 0.0.0.255
[P-ospf-1-area-0.0.0.0]network 10.1.45.0 0.0.0.255
[P-ospf-1-area-0.0.0.0]quit
[P-ospf-1]quit
[P]mpls lsr-id 4.4.4.4
[P]mpls
[P-mpls]mpls ldp
[P-mpls-ldp]quit
[P]interface GigabitEthernet 0/0/0
[P-GigabitEthernet0/0/0]mpls
[P-GigabitEthernet0/0/0]mpls ldp
[P-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[P-GigabitEthernet0/0/1]mpls
[P-GigabitEthernet0/0/1]mpls ldp

运营商端PE2，类似PE1，配置本端IP地址、运营商网络的公网路由协议OSPF、MLPS链路（外层标签），配置一个VPN实例，并将总部的内部路由封装进去（即VRF部分），然后和运营商PE1建立一个BGP将私网路由转发过去（MP-BGP部分），最后由于总部本身使用的BGP路由协议，不需要在MP-BGP内部的VPN实例里引入企业BGP，因为BGP相互之间是无需引入的：

[PE2]interface GigabitEthernet 0/0/0
[PE2-GigabitEthernet0/0/0]ip address 10.1.45.2 24
[PE2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[PE2-GigabitEthernet0/0/1]ip address 10.1.56.1 24
[PE2-GigabitEthernet0/0/1]interface LoopBack 0
[PE2-LoopBack0]ip address 5.5.5.5 32
[PE2-LoopBack0]quit
[PE2]ospf 1 router-id 5.5.5.5
[PE2-ospf-1]area 0
[PE2-ospf-1-area-0.0.0.0]network 5.5.5.5 0.0.0.0
[PE2-ospf-1-area-0.0.0.0]network 10.1.45.0 0.0.0.255
[PE2-ospf-1-area-0.0.0.0]quit
[PE2-ospf-1]quit
[PE2]mpls lsr-id 5.5.5.5
[PE2]mpls
[PE2-mpls]mpls ldp
[PE2-mpls-ldp]quit
[PE2]interface GigabitEthernet 0/0/0
[PE2-GigabitEthernet0/0/0]mpls
[PE2-GigabitEthernet0/0/0]mpls ldp
[PE2-GigabitEthernet0/0/0]quit

[PE2]ip -instance head
[PE2--instance-head]route-distinguisher 100:3
[PE2--instance-head-af-ipv4]-target 100:3 export-extcommunity
[PE2--instance-head-af-ipv4]-target 100:1 100:2 import-extcommunity
[PE2--instance-head-af-ipv4]quit
[PE2--instance-head]quit

[PE2]interface GigabitEthernet 0/0/1
[PE2-GigabitEthernet0/0/1]ip binding -instance head
[PE2-GigabitEthernet0/0/1]ip address 10.1.56.1 24
[PE2-GigabitEthernet0/0/1]quit

[PE2]bgp 500
[PE2-bgp]router-id 5.5.5.5
[PE2-bgp]ipv4 -instance head
[PE2-bgp-head]peer 10.1.56.2 as-number 300
[PE2-bgp-head]display ip routing-table -instance head
[PE2-bgp-head]quit

[PE2-bgp]peer 3.3.3.3 as-number 500
[PE2-bgp]peer 3.3.3.3 connect-interface LoopBack 0
[PE2-bgp]ipv4 v4
[PE2-bgp-af-v4]peer 3.3.3.3 enable
[PE2-bgp-af-v4]quit

---总部本身使用的是BGP路由协议，BGP相互之间是无需引入的（即MP-BGP和-instance之间）

总部使用BGP路由协议，置本端IP地址、路由协议BGP将总部内的路由信息发布出去，无需关心运营商端如何处理，可认为对端是直连两个分部：

[CE3]interface GigabitEthernet 0/0/0
[CE3-GigabitEthernet0/0/0]ip address 10.1.56.2 24
[CE3-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[CE3-GigabitEthernet0/0/1]ip address 172.16.3.254 24
[CE3-GigabitEthernet0/0/1]interface LoopBack 0
[CE3-LoopBack0]ip address 6.6.6.6 32
[CE3-LoopBack0]quit
[CE3]bgp 300
[CE3-bgp]peer 10.1.56.1 as-number 500
[CE3-bgp]network 6.6.6.6 32
[CE3-bgp]network 172.16.3.0 24
[CE3-bgp]quit

• 实验网络图与配置文件备份：

#
 sysname CE1
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 10.1.13.1 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 172.16.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 1.1.1.1 255.255.255.255 
#
ospf 1 router-id 1.1.1.1 
 area 0.0.0.0 
  network 1.1.1.1 0.0.0.0 
  network 10.1.13.0 0.0.0.255 
  network 172.16.1.0 0.0.0.255 
#
user-interface con 0
 authentication-mode password
 idle-timeout 0 0
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

#
 sysname CE2
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 10.1.23.1 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 172.16.2.254 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 2.2.2.2 255.255.255.255 
#
ip route-static 0.0.0.0 0.0.0.0 10.1.23.2
#
user-interface con 0
 authentication-mode password
 idle-timeout 0 0
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

#
 sysname PE1
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
ip -instance branch1
 ipv4-family
  route-distinguisher 100:1
  -target 100:1 export-extcommunity
  -target 100:3 import-extcommunity
#
ip -instance branch2
 ipv4-family
  route-distinguisher 100:2
  -target 100:2 export-extcommunity
  -target 100:3 import-extcommunity
#
mpls lsr-id 3.3.3.3
mpls
#
mpls ldp
#
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip binding -instance branch1
 ip address 10.1.13.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip binding -instance branch2
 ip address 10.1.23.2 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 10.1.34.1 255.255.255.0 
 mpls
 mpls ldp
#
interface NULL0
#
interface LoopBack0
 ip address 3.3.3.3 255.255.255.255 
#
bgp 500
 router-id 3.3.3.3
 peer 5.5.5.5 as-number 500 
 peer 5.5.5.5 connect-interface LoopBack0
 #
 ipv4-family unicast
  undo synchronization
  peer 5.5.5.5 enable
 # 
 ipv4-family v4
  policy -target
  peer 5.5.5.5 enable
 #
 ipv4-family -instance branch1 
  import-route ospf 2
 #
 ipv4-family -instance branch2 
  import-route static
#
ospf 1 router-id 3.3.3.3 
 area 0.0.0.0 
  network 3.3.3.3 0.0.0.0 
  network 10.1.34.0 0.0.0.255 
#
ospf 2 -instance branch1
 import-route bgp
 area 0.0.0.0 
  network 10.1.13.0 0.0.0.255 
#
ip route-static -instance branch2 2.2.2.2 255.255.255.255 10.1.23.1
ip route-static -instance branch2 172.16.2.0 255.255.255.0 10.1.23.1
#
user-interface con 0
 authentication-mode password
 idle-timeout 0 0
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

#
 sysname P
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
mpls lsr-id 4.4.4.4
mpls
#
mpls ldp
#
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 10.1.34.2 255.255.255.0 
 mpls
 mpls ldp
#
interface GigabitEthernet0/0/1
 ip address 10.1.45.1 255.255.255.0 
 mpls
 mpls ldp
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 4.4.4.4 255.255.255.255 
#
ospf 1 router-id 4.4.4.4 
 area 0.0.0.0 
  network 4.4.4.4 0.0.0.0 
  network 10.1.34.0 0.0.0.255 
  network 10.1.45.0 0.0.0.255 
#
user-interface con 0
 authentication-mode password
 idle-timeout 0 0
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

#
 sysname PE2
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
ip -instance head
 ipv4-family
  route-distinguisher 100:3
  -target 100:3 export-extcommunity
  -target 100:1 100:2 import-extcommunity
#
mpls lsr-id 5.5.5.5
mpls
#
mpls ldp
#
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 10.1.45.2 255.255.255.0 
 mpls
 mpls ldp
#
interface GigabitEthernet0/0/1
 ip binding -instance head
 ip address 10.1.56.1 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 5.5.5.5 255.255.255.255 
#
bgp 500
 router-id 5.5.5.5
 peer 3.3.3.3 as-number 500 
 peer 3.3.3.3 connect-interface LoopBack0
 #
 ipv4-family unicast
  undo synchronization
  peer 3.3.3.3 enable
 # 
 ipv4-family v4
  policy -target
  peer 3.3.3.3 enable
 #
 ipv4-family -instance head 
  peer 10.1.56.2 as-number 300 
#
ospf 1 router-id 5.5.5.5 
 area 0.0.0.0 
  network 5.5.5.5 0.0.0.0 
  network 10.1.45.0 0.0.0.255 
#
user-interface con 0
 authentication-mode password
 idle-timeout 0 0
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

#
 sysname CE3
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 10.1.56.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 172.16.3.254 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 6.6.6.6 255.255.255.255 
#
bgp 300
 peer 10.1.56.1 as-number 500 
 #
 ipv4-family unicast
  undo synchronization
  network 6.6.6.6 255.255.255.255 
  network 172.16.3.0 255.255.255.0 
  peer 10.1.56.1 enable
#
user-interface con 0
 authentication-mode password
 idle-timeout 0 0
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

总结

• 属于Overlay VPN模型的技术有：IPSec VPN、SSL VPN、GRE；
• 能够解决MPLS VPN的路由正确引入相应VRF的为RT；

---

DHCP协议原理与配置

基于HCIA笔记-DHCP原理与配置的一些补充。

• PC之所以在收到服务器Offer报文后还以广播的方式发送Request报文，是为了让其他DHCP服务器（若存在）收到该Request消息后明白PC拒绝了自己的Offer，于是就会回收分配给PC的地址，避免了地址浪费；

DHCP Relay基本原理与配置

• DHCP中继用于解决DHCP服务器与PC不在同一网段的地址分配问题，由于PC机的DHCP发现、请求以广播形式发送，广播报文不能通过三层设备，且在各子网段都部署DHCP服务器代价太大，所以使用DHCP中继让PC和DHCP服务器跨广播域进行通信；

• DHCP Relay配置

DHCP中继上需要配置中继功能命令和DHCP服务器地址（DHCP服务器的配置地址池需要和主机所在的路由器接口网络地址一致，且配置路由器接口地址为网关，所以DHCP服务器只能配置全局地址池）：

DHCP服务器AR1：

[AR1]dhcp enable
[AR1]ip pool pool1
[AR1-ip-pool-pool1]network 192.168.1.0 mask 24
[AR1-ip-pool-pool1]gateway-list 192.168.1.254
[AR1-ip-pool-pool1]dns-list 192.168.1.1
[AR1-ip-pool-pool1]excluded-ip-address 192.168.1.1
[AR1-ip-pool-pool1]quit
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]dhcp select global

连接交换机机二层端的AR3：

[AR3]dhcp enable
[AR3]dhcp server group dhcp1
[AR3-dhcp-server-group-dhcp1]dhcp-server 10.1.1.1
[AR3-dhcp-server-group-dhcp1]quit
[AR3]interface GigabitEthernet 0/0/1
[AR3-GigabitEthernet0/0/1]dhcp select relay
[AR3-GigabitEthernet0/0/1]dhcp relay server-select dhcp1

DHCP面临的安全威胁与防护机制

1. DHCP饿死攻击：攻击者通过发送大量CHADDR字段不同的DHCP消息（一般为MAC地址）申请IP地址，使DHCP服务器IP地址枯竭；
2. 仿冒DHCP Server攻击：伪装成DHCP服务器向PC提供错误IP地址、网关地址；
3. DHCP中间人攻击：攻击者利用ARP机制让PC学到：服务器IP-攻击者MAC的映射关系，又让服务器学到：PC IP-攻击者MAC的映射关系，这样PC与DHCP服务器间的IP报文都会经过攻击者中转；

• DHCP Snooping技术：部署在交换机上，分析PC与DHCP Server之间的报文，过滤掉不合法报文；

1. DHCP Snooping防止DHCP饿死攻击：在交换机端口下对DHCP Request的CHADDR字段与源MAC地址进行一致性检查，相同才转发报文；

[LSW1]dhcp enable
[LSW1]dhcp snooping enable
[LSW1]interface GigabitEthernet 0/0/2
[LSW1-GigabitEthernet0/0/2]dhcp snooping enable

2. DHCP Snooping防止仿冒DHCP Server攻击：将交换机上的端口分为信任端口Trusted、非信任端口Untrusted，信任端口上DHCP Server的Offer、DHCP Ack报文才会转发；

[LSW1]dhcp enable
[LSW1]dhcp snooping enable
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]dhcp snooping enable
[LSW1-GigabitEthernet0/0/1]dhcp snooping trusted
[LSW1-GigabitEthernet0/0/1]display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - map vlan 
IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease           

--------------------------------------------------------------------------------
192.168.1.253    5489-9847-7d86  1   /--  /--    GE0/0/2        2021.05.28-00:14
--------------------------------------------------------------------------------
print count:           1          total count:           1

3. DHCP Snooping防止DHCP中间人攻击：运行了DHCP Snooping的交换机会记录一张DHCP Snooping表（IP-MAC表），当收到源IP-MAC映射关系与DHCP Snooping表不一致的ARP请求报文时会丢弃；

[LSW1]dhcp enable
[LSW1]dhcp snooping enable
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]dhcp snooping enable
[LSW1-GigabitEthernet0/0/1]dhcp snooping trusted
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]arp dhcp-snooping-detect enable

• DHCP Snooping与源防护IPSG（IP Sourse Guard）技术的联动：网络中存在针对仿冒IP地址进行欺骗的攻击行为，与DHCP Snooping联动后会对交换机端口的报文进行Snooping绑定表检查，配置命令（端口或VLAN下）：ip source check user-bind enable

总结

• DHCP客户端向DHCP Server进行续租时会发送DHCP Request报文；
• DHCP常见攻击有：DHCP饿死攻击、仿冒DHCP Server攻击、DHCP中间人攻击；

---

镜像技术原理与配置

在不影响报文正常处理流程的情况下，将镜像端口的报文复制一份到观察端口，用于监控和分析报文。
其他数据采集方法：分光器物理采集、外接Hub采集、NMS集中采集（非原始数据，SNMP汇总过的数据）

• 镜像的角色：镜像端口、观察端口；

配置实现

• 本地端口镜像：

[Huawei]observe-port 1 interface GigabitEthernet 0/0/1
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port-mirroring to observe-port 1 ?
  both      Both(inbound and outbound)
  inbound   Inbound
  outbound  Outbound
[Huawei-GigabitEthernet0/0/2]port-mirroring to observe-port 1 both

• 流镜像（只匹配目标流量复制到观察端口）：

[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 5 permit source 192.168.1.10 0
[Huawei-acl-basic-2000]quit
[Huawei]traffic classifier c1 operator or
[Huawei-classifier-c1]if-match acl 2000
[Huawei-classifier-c1]quit
[Huawei]traffic behavior b1
[Huawei-behavior-b1]mirroring to observe-port 1
[Huawei-behavior-b1]quit
[Huawei]traffic policy p1
[Huawei-trafficpolicy-p1]classifier c1 behavior b1
[Huawei-trafficpolicy-p1]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-policy p1 ?
  inbound   Assign policy to the inbound of an interface
  outbound  Assign policy to the outbound of an interface
[Huawei-GigabitEthernet0/0/1]traffic-policy p1 inbound

注意：流镜像分为本地流镜像、远程流镜像两种，远程端口镜像报文通过三层IP网络传送到监控设备的命令是：observe-server destination-ip 10.1.0.1 source-ip 192.168.1.1；

总结

• 镜像的角色分为：镜像端口、观察端口；
• 流镜像只采集特定业务流，端口镜像采集整个端口业务流；

---

eSight基本概述

• 华为出品的面向企业网络的运维管理系统eSight（运行在NMS上的B/S架构），主要基于SNMP协议（SNMP原理与配置）对网络设备进行监控与管理（ICMP也可使用）；
• 支持Windows、SUSE Linux，默认用户名密码：admin/Changeme123，需要先安装MySql或SQL Server数据库；
• 精简版可管理最多60节点，标准版可管理0-5K节点，专业变可管理0-20K节点，试用期90天最多管理60个网元；
• 可与运营支撑系统OSS集成；

基本功能

• 安全管理：网络管理员操作权限管理、账号策略、密码策略、登录IP限制、在线用户查看、闲时超时设置、用户角色创建；
• 资源管理：网元（某台硬件与其上运行的软件）、子网（按照规则划分的网络结构）；
• 告警管理：网元告警（紧急、重要、次要、提示）、网管告警（网管于网元连接故障、或网管自身故障告警）；
• 性能管理：指标及指标模板、指标阈值、性能采集任务、测量对象、采集周期；

总结

• 如果admin密码丢失，只能通过重装eSight来恢复缺省密码；
• eSight使用期为90天；
• eSight资源发现方式包括：单个添加、自动发现、设备导入；
• eSight告警四个级别为：紧急告警、重要告警、次要告警、提示告警；
• esight创建的缺省角色的是Administrator、Monitor、Operator、Security；

---

Agile Controller产品特性介绍

应对网络移动化趋势，对网络设备、客户端设备进行统一管理的软件。

功能组件	功能描述
接入控制组件	提供基于5W1H的策略管理，支持MAC/802.1X/Portal/SACG认证
访客管理组件	提供访客账号自助注册管理，支持Portal页面内容自定义和页面推送
业务随性组件	基于安全组的策略矩阵与VIP体验保障，让网络资源随人移动，保障策略一致，体验一致
业务编排组件	将原来物理设备的能力，抽象成虚拟服务概念，对用户屏蔽具体的物理形态和位置，针对具体的业务，引流至这些业务需要处理的服务结点
安全协防组件	收集安全日志与事件，通过大数据关联分析，识别高危资产和区域，评估全网安全态势，帮助用户全网防护和主动防御
终端安全组件	提供丰富的安全策略，提升终端安全等级，阻止不安全的终端及不满足企业安全策略的终端接入网络

产品架构

• MC（可选项）：Agile Controller的管理中心，负责制定总体策略（安全接入控制、终端安全管理、补丁管理、软件分发、License管理等），并将策略下发给各SM节点，同时对SM监控；
• SM：业务管理器，通过WEB管理完成准入控制、用户管理、业务随行等工作配置；
• SC：业务控制器，集成RADIUS服务器、Portal服务器等，负责与网络设备联动（如交换机、路由器、WLAN、防火墙等）实现基于用户的网络访问控制策略，与编排设备联动，将指定的业务流引至安全中心的防火墙进行处理；

Agile Controller准入组件架构

园区网准入控制

• 准入控制部署方案：在接入层、汇聚层、AC等开启802.1X功能，通过VLAN、ACL、UCL控制权限；
• 认证前域：主机在通过身份认证之前能访问的区域；
• 隔离域：用户通过了身份认证但未通过安全认证时能访问的区域（如主机未打安全补丁、无防病毒软件等）；
• 认证后域：指用户通过认证后能访问的区域，如ERP系统、财务系统、数据库系统等；
• 认证方式：MAC认证、802.1X认证、Portal认证、SACG认证；

访客管理

业务随行

• 用户在任意位置接入，均可获得其网络权限；
• 业务随行概念：安全组、策略矩阵、用户优先级、5W1H授权、IP-Group查询；

业务编排

• 基于XMPP协议（华为设备）、Telnet、SNMP协议；
• 可配置GRE隧道故障时，丢弃或直接转发报文；

安全协防

• 架构层次：日志源、日志采集及处理、事件分析（根据配置规则关联安全威胁事件，并通过邮件或短信告警）、安全态势；
• 方案组件：上报日志设备、联动策略执行设备（交换机）、Agile Controller；

终端安全

• 特点：一键修复、安全标准化降低病毒感染风险、终端外设管理和行为监控；

Agile Controller配置案例

交换机侧配置思路：

1. 配置RADIUS服务器模板；
2. 配置认证方案和计费方案；
3. 配置default域；
4. 开启DHCP中继：动态切换VLAN需要DHCP服务器的支持，当端口切换到另一个VLAN时，DHCP服务器为端口分配不同的IP地址段，以便接入新的VLAN；
5. 开启802.1X；
6. 创建VLAN并配置IP地址；
7. 开启接口802.1X，并把接口加入VLAN；
8. 在二层交换机上开启802.1X认证报文二层报文透明传输功能；
9. 保存配置信息；

核心交换机中的配置：定义RADIUS模板、定义业务控制器地址、计费服务器地址和相应端口；

[Quidway]radius-server template template1
[Quidway-radius-template1]radius-server authentication 172.16.4.253 1812
[Quidway-radius-template1]radius-server accounting 172.16.4.253 1813
[Quidway-radius-template1]radius-server shared-key cipher Admin@123
[Quidway-radius-template1]quit
[Quidway]display radius-server configuration template template1

配置域的认证方案auth（RADIUS）、配置域的计费方案acco（RADIUS）、配置default域应用RADIUS服务器模板template1、认证方案auth和计费方案acco；

[Quidway]aaa
[Quidway-aaa]authentication-scheme auth
[Quidway-aaa-authen-auth]authentication-mode radius 
[Quidway-aaa-authen-auth]quit
[Quidway-aaa]display authentication-scheme
[Quidway-aaa]accounting-scheme acco
[Quidway-aaa-accounting-acco]accounting-mode radius 
[Quidway-aaa-accounting-acco]quit
[Quidway-aaa]display accounting-scheme

[Quidway-aaa]domain default
[Quidway-aaa-domain-default]radius-server template1
[Quidway-aaa-domain-default]authentication-scheme auth
[Quidway-aaa-domain-default]accounting-scheme acco
[Quidway-aaa-domain-default]quit
[Quidway-aaa]quit
[Quidway]display domain name default

把RADIUS服务器配置成授权服务器（以便RADIUS服务器根据用户认证状态切换交换机接口VLAN）；

[Quidway]radius-server authorization 172.16.4.253 shared-key cipher Admin@123

开启DHCP功能、开启802.1X认证功能、开启VLAN中的DHCP中继（只演示了一个VLAN）；

[Quidway]dhcp enable
[Quidway]dot1x enable
[Quidway]dot1x authentication-method eap
[Quidway]vlan batch 10 20 30 40 50 60 70
[Quidway]interface Vlanif 10
[Quidway-Vlanif10]ip address 172.16.1.254 24
[Quidway-Vlanif10]dhcp select relay
[Quidway-Vlanif10]dhcp relay server-ip 172.16.5.253
[Quidway-Vlanif10]quit

把接口加入相应VLAN（10为某一工作区VLAN）、在连接主机的端口开启802.1X认证功能、启用基于端口的接入模式、配置认证前域VLAN、配置MAC旁路认证（只演示了一个端口）；

[Quidway]interface GigabitEthernet 0/0/1
[Quidway-GigabitEthernet0/0/1]port hybrid pvid vlan 10
[Quidway-GigabitEthernet0/0/1]port hybrid untagged vlan 10

[Quidway-GigabitEthernet0/0/1]dot1x enable
[Quidway-GigabitEthernet0/0/1]dot1x port-control auto
[Quidway-GigabitEthernet0/0/1]dot1x port-method port
[Quidway-GigabitEthernet0/0/1]authentication guest-vlan 40
[Quidway-GigabitEthernet0/0/1]dot1x mac-bypass

接入、汇聚交换机中的配置：允许802.1X报文通过（group-mac不能设置为保留的组播MAC地址0180-C200-0000至0180-C200-002以及其他特殊MAC地址，其余均可）

[LAN Switch]l2protocol-tunnel user-defined-protocol dot1x_1 protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
Info: Please make sure the input multicast MAC address doesn't conflict with other protocols.
[LAN Switch]interface GigabitEthernet 0/0/1
[LAN Switch-GigabitEthernet0/0/1]l2protocol-tunnel user-defined-protocol dot1x_1 enable
[LAN Switch-GigabitEthernet0/0/1]bpdu enable

• 业务管理器侧的配置思路：

1. 增加交换机组，对实施802.1X认证的所有交换机进行集中管理；
2. 增加隔离域；
3. 增加认证后域；
4. 应用隔离域、认证后域到各部门；
5. 增加MAC旁路设备，为无法安装AnyOffice或者不适合实施802.1X网络接入控制的设备开启免认证功能；

总结

• 5W1H授权：谁（Who）、时间（When）、地点（Where）、终端（What）、终端归属（Whose）、如何接入（How）；
• Agile Controller的认证域包括：认证前域、认证后域、隔离域；
• Agile Controller能够实现的准入控制技术有：MAC认证、Portal认证、802.1X认证、SACG认证；

---

QoS服务模型

QoS（Quality of Service）在带宽有限的情况下对流量进行管理，并实现不同流量的不同优先服务。

影响网络通信质量的因素

• 影响网络通信质量因素：带宽、延迟（传输时延、串行化时延、处理时延、队列时延）、抖动、丢包率；
• 各类业务对网络的要求：

流量类型	带宽	延迟	抖动	丢包率
语音	低	高	高	低
视频	高	高	高	低
FTP	中,高	低	低	高
电子邮件、HTTP网页	低	低	低	中,高

改善网络通信质量的方案

• 尽力而为服务模型（Best-Effort）：增大网络带宽、升级网络设备；
• 综合服务模型（Integrated Services Model）：利用RSVP协议在报文发送前申请特定带宽、特定服务质量，等收到确认信息后才发送报文（几乎不使用，实现复杂、带宽使用率低、要求所有节点都支持并允许RSVP协议）；
• 区分服务模型（DiffServ）：将流量分类，然后定义每个类相应的处理行为，使其拥有不同的优先转发、丢包率、时延等（目前应用最广泛，流量分类和标记由边缘路由器完成，其他DS节点根据不同服务质量等级将流量放入相应缓存队列，根据队列间调度机制实现不同的转发服务，根据报文中的EXP、802.1P、IPP等字段进行流量分类及控制）；
• 三种服务模型对比：

服务模型	优先	缺点
尽力而为服务模型	实现机制简单	对不同业务不能进行区分对待
综合服务模型	可提供端到端的QoS服务，并保证带宽、延迟	需要跟踪和记录每个数据流的状态，实现较复杂，扩展性较差，带宽利用率较低
区分服务模型	不需要跟踪每个数据流状态，资源占用少，扩展性较强，且能实现对不同业务流提供不同的服务质量	需要在端到端的每个节点都要手工部署，对人员能力要求较高

总结

• QoS服务模型分为：尽力而为服务模型（Best Effort Services Model）、综合服务模型（Integrated Services Model）、区分服务模型（Differentiated Services Model）；
• 影响网络通信质量的因素包括：带宽、时延、抖动、丢包率；

---

报文分类与标记

主要运用于QoS的差分服务模型DiffServ，对不同业务流量提供差分服务。

简单流分类

依据不同链路类型传输的不同类别报文的QoS字段来进行分类：

• VLAN 802.1p的PRI字段（3位）可将优先级分为8个等级，IEEE委员会制定；
• MPLS报文中的EXP字段（3位）可将优先级分为8个等级；
• IPv4报文中的ToS字段（8位）用于区分优先级，由IETF组织制定了两个RFC文件，分别为IP-Precedence标准、DSCP标准；

1. IP-Precedence标准：利用前三位区分8个等级优先级，中间三位定义了：D延迟敏感Delay、T带宽需求Throughput，R可靠性Reliability丢包敏感，后三位未使用。IP Precedence取值中，代表immediate的业务流量是：2，代表Critical的业务流量是：5；

2. DSCP标准（对IP-Precedence的扩充）：用关键字标识的DSCP值，关键字优先级由高到低为：CS（XXX000B）、EF（101110B）一般用在路由协议，AF表示快速转发共12个优先级，BE（000000B）表示尽力而为，没有传送要求。主要还是靠前三位决定优先级；

DSCP在二层头的缺省映射关系：

复杂流分类

简单流分类对特殊需求具有一定局限性，使用复杂流分类根据五元组（源地址、目的地址、源端口、目的端口、协议号码）等报文信息对报文进行精细分类，缺省应用于网络的边缘位置。

• 复杂流分类分为链路层复杂流分类、IP层复杂流分类，链路层复杂流分类包括：源/目的MAC、VLAN802.1P。IP层复杂流分类包括：源/目的IP、源/目的端口、协议号、IP头部优先级等；

• 配置需求实现

左侧两台交换机作为DS边界节点对报文进行分类和标记，下游设备路由器DS节点只需要对标记进行识别即可提供差分服务（也可按照自己的分类重新分类）。

先捕获经理设备MAC、捕获原有优先级为3、2的语音、视频数据（802.1p为VLAN标签中的PRI字段），将其优先级重新分配为1（经理）、5（语音）、2（视频），越大越优先，最后将定义的策略路由分配在接入端口上即可：

[Switch]traffic classifier manager
[Switch-classifier-manager]if-match source-mac 3333-3333-3333
[Switch-classifier-manager]traffic classifier voice
[Switch-classifier-voice]if-match 8021p 3
[Switch-classifier-voice]traffic classifier video
[Switch-classifier-video]if-match 8021p 2
[Switch-classifier-video]quit

[Switch]traffic behavior manager
[Switch-behavior-manager]remark 8021p 1
[Switch-behavior-manager]traffic behavior voice
[Switch-behavior-voice]remark 8021p 5
[Switch-behavior-voice]traffic behavior video
[Switch-behavior-video]remark 8021p 3
[Switch-behavior-video]quit

[Switch]traffic policy a1
[Switch-trafficpolicy-a1]classifier manager behavior manager
[Switch-trafficpolicy-a1]classifier voice behavior voice
[Switch-trafficpolicy-a1]classifier video behavior video
[Switch-trafficpolicy-a1]quit

[Switch]interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1]traffic-policy a1 inbound 
[Switch-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2]traffic-policy a1 inbound
[Switch-GigabitEthernet0/0/2]interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3]traffic-policy a1 inbound

在FTP端交换机上分配FTP数据优先级为2。

[FTP Switch]acl 3000
[FTP Switch-acl-adv-3000]rule permit tcp source-port eq 20
[FTP Switch-acl-adv-3000]quit
[FTP Switch]traffic classifier ftp
[FTP Switch-classifier-ftp]if-match acl 3000
[FTP Switch-classifier-ftp]quit
[FTP Switch]traffic behavior ftp
[FTP Switch-behavior-ftp]remark 8021p 2
[FTP Switch-behavior-ftp]quit
[FTP Switch]traffic policy a2
[FTP Switch-trafficpolicy-a2]classifier ftp behavior ftp
[FTP Switch-trafficpolicy-a2]quit
[FTP Switch]interface GigabitEthernet 0/0/1
[FTP Switch-GigabitEthernet0/0/1]traffic-policy a2 inbound

本例子中，实际上经理、FTP的优先级分配属于复杂流分类标记范畴，语音、视频的优先级分配属于简单流分类与标记范畴。

总结

• 报文的分类方式分为：简单流分类、复杂流分类；
• 对报文标记的原因是：端到端进行QoS标记部署时，就需要每台设备都对报文进行分类，这样就会导致消耗大量设备处理资源，为此提出了对报文进行标记的方法，这样下游设备只需要对标记进行识别即可提供差分服务；
• 802.1Q定义的8中业务优先级从低到高顺序取值为0、1、2、3、4、5、6、7；

---

拥塞管理与拥塞避免

采用队列技术及不同的调度算法来发送队列中的报文流，对非关键的报文装满队列时需要配合使用拥塞避免技术。相当于对已经QoS分类过的数据进行分不同优先级队列转发和丢弃方式的具体实现方法。

拥塞管理

• 将通过不同QoS优先级到内部优先级的映射关系LP，把报文送入不同的队列，通过以下几种队列调度算法控制转发次序：

1. FIFO（First In First Out）：为缺省值，先进先出，不对报文分类，用于尽力而为的服务模型，关键业务的带宽不能得到保证；
2. PQ（Priority Queuing）：特权队列（分为4个队列），对高优先级的报文优先转发，低优先级的队列可能出现饿死现象；
3. WRR（Weighted Round Robin）：加权循环调度，对优先级高的队列一次发的包多，优先级低的队列一次发的包少，避免了PQ调度的饿死现象，但缺点是基于报文个数来调度，容易出现包长尺寸不同的报文出现不平等调度，低延迟业务得不到及时调度（权值为1的WRR调度即是RR调度）；
4. WFQ（Weighted Fair Queuing）：加权公平排队，通过HASH算法对五元组等报文属性一致的数据分配相同队列，对流优先级高的队列分配的带宽较大，缺点是用户无法自定义分类规则，低延时业务得不到保证；
5. PQ+WFQ：将重要协议的低时延业务报文放入PQ调度队列，其他报文放入WFQ队列，保证低时延业务及时调度，但无法根据用户自定义分类对报文分类需求；
6. CBQ（Class-based Queueing）：基于类的队列机制，是对WFQ功能的扩展，为用户提供了自定义类的支持，CBQ提供了三类队列：EF（优先级高，满足低延时业务）、AF（中优先级，满足带宽保证的关键数据业务）、BE（优先级低，满足不需要严格QoS保证的尽力发送业务），缺点是涉及复杂的流分类，消耗一定系统资源；

• 队列调度算法比较

类型	优点	缺点
FIFO	实现简单，处理速度快	不能差别对待优先级不同的报文
PQ	低延迟业务能得到保障	低优先级队列可能出现饿死现象
WRR	避免低优先级队列的饿死现象	不平等调度，低时延业务得不到保障
WFQ	按权重实现公平调度，自动分类，配置简单	低时延业务得不到保障，无法支持自定义类
PQ+WFQ	低时延业务能得到保障，按权重实现公平调度等	无法支持自定义类
CBQ	支持自定义类	消耗较多的系统资源

• PQ+WFQ配置需求

先定义队列配置名为qos-huawei，再调度队列5使用PQ算法，队列1到3使用WFQ算法，将配置应用到端口。

[RTA]qos queue-profile qos-huawei
[RTA-qos-queue-profile-qos-huawei]schedule pq 5 wfq 1 to 3
[RTA-qos-queue-profile-qos-huawei]interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0]qos queue-profile qos-huawei
[RTA-GigabitEthernet0/0/0]display qos queue-profile qos-huawei

拥塞避免

• 尾丢弃Tail Drop：队列被装满后的传统处理方式，当队列已满时，后续向该队列发送的报文将直接丢弃；
• 尾丢弃缺点：引发TCP全局同步现象，网络拥塞时TCP报文中的窗口字段window size减小，出现网络带宽利用下降，直到窗口字段逐步自动调大，再次出现窗口字段减小带宽利用下降，引发波动。波动过程中UDP报文会逐渐占据大量带宽引起TCP饿死。且尾丢弃属于无差别丢弃，无法对流量进行区分丢弃；
• RED（Random Early Detection）早期随机检测：避免TCP全局同步，在队列未填满时先丢弃一部分报文，延缓TCP全局同步。RED对每个队列的长度设定了阈值门限，对不同队列的队列长度小于低门限时，不丢弃报文，高于高门限时，丢弃所有报文，在低、高门限间时随机丢弃报文，队列越长丢弃概率越高；
• WRED（Weighted Random Early Detection）：加权早期随机检测，基于RED技术对于报文的无差别丢弃缺点，实现每一种优先级都能实现独立设置丢包的高、低门限，一定程度上避免尾丢弃带来的所有缺点，如图：

• WRED配置需求实现

对PQ中的Voice业务不丢弃，对WFQ算法的队列进行随机早期丢弃，由于FTP对带宽要求高，对丢包率要求高，将FTP低门限定提高（低门限越高越重要），高门限也提高（即发生完全丢弃的情况减少），再将FTP丢包率降低为10。

定义三个丢弃配置，基于DSCP配置三个配置的低门限、高门限、丢弃百分比，在进入队列配置，将丢弃配置分配到具体队列上，再将队列配置应用到端口上（无出、入方向配置，因为队列永远是出方向排队，入方向逻辑上无需排队）。

[RTA]drop-profile manager
[RTA-drop-profile-manager]wred dscp 
[RTA-drop-profile-manager]dscp 8 low-limit 50 high-limit 70 discard-percentage 10
[RTA-drop-profile-manager]drop-profile ftp
[RTA-drop-profile-ftp]wred dscp
[RTA-drop-profile-ftp]dscp 16 low-limit 70 high-limit 90 discard-percentage 10
[RTA-drop-profile-ftp]drop-profile video
[RTA-drop-profile-video]wred dscp
[RTA-drop-profile-video]dscp 24 low-limit 60 high-limit 80 discard-percentage 20
[RTA-drop-profile-video]quit
[RTA]qos queue-profile qos-huawei
[RTA-qos-queue-profile-qos-huawei]queue 1 drop-profile manager
[RTA-qos-queue-profile-qos-huawei]queue 2 drop-profile ftp
[RTA-qos-queue-profile-qos-huawei]queue 3 drop-profile video
[RTA-qos-queue-profile-qos-huawei]quit
[RTA]interface GigabitEthernet 0/0/1
[RTA-GigabitEthernet0/0/1]qos queue-profile qos-huawei

总结

• 拥塞管理机制的实现过程为：将发出的所有报文放入不同队列、根据队列间调度机制实现不同报文差分转发；
• 常用队列技术有：FIFO、PQ、WRR、WFQ、PQ+WFQ、CBQ等；
• WRED技术解决了尾丢弃的TCP全局同步现象缺点、TCP饿死现象、无差别丢弃缺点；

---

流量监管与流量整形

两种通过限制流量及资源使用的流控策略，使有限的网络资源更好的发挥作用。

流量监管

• 流量监管TP（Traffic Policy）：对接收或发送的不同类别报文分别进行限速控制，使用承诺访问速率CAR（Committed Access Rate），属于一种基本的QoS功能，超过限速的报文直接丢弃（出、入方向都能做，一般入方向做得多一些），当链路空闲时，又造成带宽浪费，丢弃的流量可能需要重传。

• 配置实现

对语音流量限制为800kbps的带宽，视频流量限制为2000kbps的带宽，数据流量限制为1200kbps的带宽。

[RTA]traffic behavior voice
[RTA-behavior-voice]car cir 800
[RTA-behavior-voice]traffic behavior video
[RTA-behavior-video]car cir 2000
[RTA-behavior-video]traffic behavior data
[RTA-behavior-data]car cir 1200

流量整型

• 流量整型TS（Traffic Shaping）：也是限制流出某一网络的某一连接的正常流量与突发流量，使用GTS（Generic Traffic Shaping）技术限制，解决了流量监管TP超过限速的报文直接丢弃的问题，将超过限速的报文存入缓存中（出方向，入方向没有），当链路空闲的时候在发送出去，延迟和抖动可能较大；

• 配置实现

[RTA]traffic behavior voice
[RTA-behavior-voice]gts cir 800
[RTA-behavior-voice]traffic behavior video
[RTA-behavior-video]gts cir 2000
[RTA-behavior-video]traffic behavior data
[RTA-behavior-data]gts cir 1200

流量监管与流量整型的比较

限速类型	优点	缺点
流量监管	可实现对不同报文的限速及重标记	造成较高的丢包率，链路空闲时带宽得不到充分利用
流量整型	较少丢弃报文，充分利用带宽	引入额外的延迟和抖动，需要较多的设备缓冲资源

总结

• 流量监管与流量整型的区别：流量监管对超过流量限制的报文进行丢弃，流量整型将超过流量限制的报文缓存在队列中，等待链路空闲时在发送。

---

信息安全综述

信息安全管理、网络攻击防范采取的基本原理和措施。

信息安全

• 信息安全CIA保护：机密性Confidentiality、完整性Integrity、可用性Availability；
• 信息安全技术：

• 信息安全管理：光靠信息安全技术不能保证信息安全，还要有配套信息安全管理（人员与管理、技术与产品、流程与体系等）才行，三种典型信息安全管理实施方法：

安全管理	应用对象	应用特点
ISMS	各种类型的组织，有体系建立需求	最通用的国际标准，完全以市场化需求为主，不具备强制性。以风险管理方法为基础，如果实施体系认证，必须完全满足27001标准要求
等级保护	国家基础网络和重要信息系统	作为我国的一项基础制度加以推行，有一定强制性。主要目标是有效地提高我国信息和信息系统安全建设的整体水平，重点保障基础信息网络和重要信息系统的安全
NIST SP 800	联邦机构或非政府组织	与FIPS不同，是非强制性的。但联邦机构应采纳FIPS中要求使用的NIST SP以及OMB要求的特定NIST SP。以风险管理方法为基础，应用时有一定的灵活性

• 信息安全管理 - 风险管理

• 信息安全管理的内容及控制子域

网络安全

• IPv4安全隐患：缺乏机密性保障机制、缺乏完整性验证机制、缺乏数据源验证机制、不提供抗抵赖服务、不保证可用性服务质量（QoS）；
• IPv4协议栈安全风险

1. 物理层 - 线路侦听：采用集线器、中继器的网络存在风险，对于无线网络使用强的认证机制和加密机制进行防范；
2. 链路层 - MAC欺骗：攻击者将伪造的源MAC地址数据包发送给交换机，导致正确目的地址的数据包被发送到攻击者主机上。通过配置交换机上的静态条目，避免MAC欺骗攻击风险；
3. 网络层 - Smurf攻击：通过伪造受害者的IP地址，发送广播ICMP应答请求，网络中所有主机都对此ICMP应答请求做出回复，导致受害者网络阻塞。通过设置路由器检查ICMP应答请求包的目的IP地址是否为子网广播地址或网络地址进行拒绝来防范；如下图：

4. 传输层 - TCP欺骗：大多发生在TCP三次握手连接中，攻击者模拟受信任者的IP地址发送给服务器TCP SYN报文，并仿造序列码S+1（通过监听SYN/ACK报文获得、根据重装系统特性推测）进行应答，建立虚假连接；如下图：

5. 传输层 - UDP Flood攻击：攻击者向服务器发送大量UDP报文占据链路带宽，由于UDP是面向无连接的协议，所以不能对其进行连接状态检测。需要通过对UDP报文速率限制，实现UDP Flood攻击防范；
6. 应用层 - 缓冲区溢出攻击：利用软件实现中对内存操作的缺陷，以高操作权限运行攻击代码，攻击者写入一个超过缓冲区长度的字符串，植入到缓冲区，再向一个有限空间的缓冲区植入超长字符串覆盖相邻的存储单元，造成程序运行失败或利用超长字符串执行任意指令（被精心设计的字符串）；

• OSI安全体系结构：OSI安全体系结构（ISO 7498-2）提出信息系统基础架构中应包含5种安全服务：鉴别服务、访问控制、数据完整性、数据保密性、抗抵赖性。对5种安全服务提供8类安全机制：加密、数字签名、访问控制、数据完整性、数据交换、业务流填充、路由控制、公证；
  安全服务和安全机制的关系：

功能层和安全机制的关系：

安全协议分层：

• 安全设计需求与安全设备

总结

• 信息安全最关心的3个属性为：机密性Confidentiality、完整性Integrity、可用性Availability；

---

华为防火墙技术基础

防火墙基础知识

• 防火墙的作用：保护一个网络区域免受来自另外一个网络区域的网络攻击和网络入侵行为；
• 和路由器的区别为：

方面	防火墙	路由器
背景	产生于人们对安全性的需求	基于对网络数据包路由而产生的
目的	保证任何非允许的数据包不通	保持网络和数据的通
核心技术	基于状态包过滤的应用级信息流过滤	路由器核心的ACL列表是基于简单的包过滤
安全策略	默认配置即可防止一切攻击	默认配置对安全性的考虑不够周全
对性能的影响	采用的是状态包过滤，规则条数，NAT的规则数对性能的影响较小	进行包过滤会对路由器的CPU和内存产生很大的影响
防攻击能力	具有应用层的防范功能	普通路由器不具有应用层的防范功能

• 防火墙的发展历史：访问控制->代理技术->会话机制->专用设备->多功能叠加UTM通用威胁管理->DPI深层包检测技术->基于用户、应用、内容进行管控NGFW下一代防火墙；

UTM：如集成了检测与处理入侵防御、反病毒、URL过滤等功能，这些功能是串行化的独立引擎，处理完一个策略才处理下一个策略，处理能力较差；
NGFW：入侵防御、反病毒、URL过滤等功能是并行处理，内容安全一体化检测，只对流量的内容进行一次检测和处理；

• 华为防火墙产品：USG2000、USG5000、USG6000、USG9500四大系列。USG2000、USG5000为UTM类型产品，属于低端产品；USG6000为下一代NGFW类产品，属于中端产品；USG9500为T级数据中心防火墙，属于高端产品；

安全区域

• 默认安全区域如下表所示，安全级别在1-100之间，且不能有重复值。华为的设备默认安全区域间不能相互访问（某些厂商允许高安全级别区域访问低安全级别区域），安全区域间低级别安全区域报文向高级别安全区域流动时为入方向Inbound，高安全区域报文向低安全区域流动时为出方向Outbound，入、出方向的报文会触发不同的安全检查；

安全区域	安全级别	说明
Local	100	防火墙本身，包括设备的各接口本身
Trust	85	通常用于定义内网终端用户所在区域
DMZ	50	通常用于定义内网服务器所在区域
Untrust	5	通常用于定义Internet等不安全网络

• 防火墙接口工作模式有透明模式、路由模式。物理接口不管加不加入其他区域，都属于Local区域；

• 安全区域配置案例

先定义接口IP，再将默认安全区域与对应接口进行绑定，由于默认情况下缺省包过滤是拒绝通过，此时Host和Server间还不能通信，需要配置安全策略使其互通。

[USG6000V1]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 10.1.1.1 24
[USG6000V1-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 1.1.1.1 24
[USG6000V1-GigabitEthernet1/0/1]quit
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1-zone-trust]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_sec_1
[USG6000V1-policy-security-rule-policy_sec_1]source-zone trust
[USG6000V1-policy-security-rule-policy_sec_1]destination-zone untrust
[USG6000V1-policy-security-rule-policy_sec_1]source-address 10.1.1.0 24
[USG6000V1-policy-security-rule-policy_sec_1]action permit 

安全策略

• 包过滤：核心是访问控制列表，根据静态规则判断是否允许报文通过，不关注报文产生的前因后果；
• 状态检测和会话机制：如果规则允许通过，状态检测防火墙会将属于同一连接的所有报文作为一个整体的数据流（会话）来对待。如内网访问外网只做了一个单向的允许通过策略，那么当内网访问外网的第一个数据包被检测到时，防火墙会建立一个会话表（含五元组信息），使外网回到内网的报文也可以通过（匹配会话表），若第一个报文为外网访问内网，则不可达；

• 会话表：通过会话的五元组信息可以唯一确定通信双方的一条连接，会话表项根据协议的不同老化时间也不同，防火墙所支持的会话表项数量也是防火墙的性能指标之一。类似ACL顺序执行，匹配到会话表项且允许通过则检查配置文件（反病毒、入侵检测等配置文件），若未匹配到则匹配后面会话表项，最后一条缺省会话表项的安全策略为任意数据拒绝通过；

• 安全策略：根据区域安全级别的不同，先确认Inbound、Outbound类型，再定义安全策略的源、目的区域，即谁可以发起连接到谁，安全策略实质上只是阻止或允许第一个包（阻止或允许能否建立会话表）。例如DMZ区域（50）和Untrust区域（5）应该允许Inbound方向的数据，而不是Outbound方向，因为只有外网客户端会主动连接DMZ区服务器，DMZ区服务器不会主动连接外网客户端；

• NGFW安全策略构成：安全策略会调用配置文件，如调用病毒库检测允许通过的数据报文；

• 多通道协议：遇到使用随机协商端口的协议，单纯的包过滤方法无法进行数据流定义，需要使用ASPF机制实现。如FTP协议，建立连接时第一个数据包为主机访问FTP服务器的21端口，而传输数据时第一个包为FTP服务器的20端口向主机的一个随机端口发送（FTP协议PORT Command报文协商好的端口）。
• ASPF与Server-map表：设备通过检测报文中的应用层数据，自动获取相关信息并创建相应的会话表项，无需配置反向安全策略，以保证应用正常通信，这个功能称为ASPF（Application Specific Packet Filter），所建立的会话表项叫做Server-map表（NAT Server也会生成Server-map表），数据连接的第一个报文匹配Server-map表，防火墙生成这条数据的会话表项，之后的报文将只匹配会话表项。Server-map表一直未被匹配会经过一定老化时间后删除。Server-map表不是当前的连接信息，而是对即将到来报文的预测，防火墙收到报文先检查匹配会话表，若未命中则检查Server-map表，命中Server-map表则根据命中数据创建会话表项。ASPF机制和NAT Server都会生成Server-map表，NAT Server生成的是静态Server-map，Server-map表项主要由目的地址、目的端口、协议类型组成，并非五元组；

配置防火墙对DMZ区域（50）与Untrust区域（5）中的FTP服务检查：

[USG6000V1]firewall interzone dmz untrust
[USG6000V1-interzone-dmz-untrust]detect ftp
[USG6000V1-interzone-dmz-untrust]detect ?
  activex-blocking  Indicate Activex blocking 
  dns               Indicate Domain Name Service 
  ftp               Indicate File Transfer Protocol 
  h323              Indicate H.323 Protocol 
  icq               Indicate ICQ Protocol 
  ils               Indicate Internet Locator Service Protocol
  ipv6              Indicate IPv6 protocol
  java-blocking     Indicate Java blocking 
  mgcp              Indicate Media Gateway Control Protocol 
  mms               Indicate Microsoft Media Service Protocol 
  msn               Indicate MSN Protocol
  netbios           Indicate NetBIOS Over TCP/IP Protocol 
  pptp              Indicate Point-to-Point Tunnel Protocol 
  qq                Indicate QQ Protocol
  rsh               Indicate Remote Shell Protocol 
  rtsp              Indicate Real Time Streaming Protocol 
  sccp              Indicate Cisco Skinny Client Control Protocol 
  sip               Indicate Session Initiation Protocol 
  sqlnet            Indicate SQL*NET Protocol 
  user-defined      Indicate user-defined
	
[USG6000V1-interzone-dmz-untrust]detect ftp
[USG6000V1-interzone-dmz-untrust]display firewall server-map
[USG6000V1-interzone-dmz-untrust]display firewall session table

NAT

源NAT转换方式	含义	场景
NAT No-PAT	只转换报文的IP地址，不转换端口	需要上网的私网用户数量少，公网IP地址数量与同时上网的最大私网用户数基本相同
NAPT	同时转换报文的IP地址和端口	公网IP地址数量少，需要上网的私网用户数量大

• 私网用户访问Internet场景

NAPT配置如下，先定义接口IP，再将默认安全区域与对应接口进行绑定，配置安全策略使两个区域互通，配置NAT公网地址池，配置NAT策略，最后配置静态路由，需要配置两个公网地址的静态路由为黑洞路由，其中，还有G1/0/1口使用了1.1.1.1这个并不存在的地址，需要IPS服务商的网络管理员在PE上配置1.1.1.10-1.1.1.11的下一跳为1.1.1.1；

[USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 10.1.1.1 24
[USG6000V1-GigabitEthernet1/0/1]interface GigabitEthernet 1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip address 1.1.1.1 24
[USG6000V1-GigabitEthernet1/0/2]quit
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1
[USG6000V1-zone-trust]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2
[USG6000V1-zone-untrust]quit

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_sec_1
[USG6000V1-policy-security-rule-policy_sec_1]source-zone trust
[USG6000V1-policy-security-rule-policy_sec_1]destination-zone untrust
[USG6000V1-policy-security-rule-policy_sec_1]source-address 10.1.1.0 24
[USG6000V1-policy-security-rule-policy_sec_1]action permit
[USG6000V1-policy-security-rule-policy_sec_1]quit
[USG6000V1-policy-security]quit

[USG6000V1]nat address-group addressgroup1
[USG6000V1-address-group-addressgroup1]section 0 1.1.1.10 1.1.1.11
[USG6000V1-address-group-addressgroup1]quit

[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name policy_nat_1
[USG6000V1-policy-nat-rule-policy_nat_1]source-zone trust
[USG6000V1-policy-nat-rule-policy_nat_1]destination-zone untrust
[USG6000V1-policy-nat-rule-policy_nat_1]source-address 10.1.1.0 24
[USG6000V1-policy-nat-rule-policy_nat_1]action source-nat address-group addressgroup1
[USG6000V1-policy-nat-rule-policy_nat_1]quit
[USG6000V1-policy-nat]quit

[USG6000V1]ip route-static 0.0.0.0 0 1.1.1.254
[USG6000V1]ip route-static 1.1.1.10 32 NULL 0
[USG6000V1]ip route-static 1.1.1.11 32 NULL 0

• 公网用户访问私网内部服务器场景

接口配置、区域配置、NAT配置、静态路由配置等类似上面示例，不同的是多了一条入方向安全策略、服务器映射（外部访问1.1.1.10:8080映射到10.2.0.7:80）。配置差异：

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_sec_2
[USG6000V1-policy-security-rule-policy_sec_2]source-zone untrust
[USG6000V1-policy-security-rule-policy_sec_2]destination-zone dmz
[USG6000V1-policy-security-rule-policy_sec_2]destination-address 10.2.0.0 24
[USG6000V1-policy-security-rule-policy_sec_2]action permit
[USG6000V1-policy-security-rule-policy_sec_2]quit
[USG6000V1-policy-security]quit

[USG6000V1]nat server policy_nat_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse

攻击防范

防火墙可以防范各种常见的DDoS攻击和传统单包攻击。

• DDoS攻击：SYN Flood、UDP Flood、ICMP Flood、HTTP Foold、HTTPS Foold、DNS Foold、SIP Foold。开启每种DDoS攻击防范前，需先配置防范参数；

• 单包攻击

出于防火墙性能考虑，不建议开启的单包防御（可在发生问题时再开启）：IP地址扫描攻击防御、端口扫描攻击防御、IP欺骗攻击防御、Teardrop攻击防御；

应用行为控制

• 华为的NGFW防火墙实现了类似上网行为管理器的功能，一般采用Web图形界面方式配置，如配置HTTP（浏览网页控制、POST外发内容控制、HTTP代理控制、上传下载文件控制等）、FTP（上传下载文件控制、删除文件控制等）。

• 应用行为控制配置实例

新建应用行为控制的配置文件，并配置HTTP下载文件的阈值。

新建一条安全策略，并引用应用行为控制配置文件使其生效。

配置验证。

总结

• 防火墙上一个安全区域的受信任程度使用一个唯一的安全级别表示，1-100个级别数字越大网络越可信。Local区域安全级别100，Trust区域安全级别85，DMZ区域安全级别50，Untrust区域安全级别5；

---

VRRP协议原理与配置

局域网中采用一个默认网关容易发生单点故障，使用VRRP技术实现网关备份，让多个网关协同工作又不会互相冲突。

VRRP原理

• 协议版本VRRPv2（常用）适用IPv4网络，VRRPv3适用IPv4、IPv6网络，使用Advertisement通告报文通过组播地址224.0.0.18（组播MAC地址：01-00-5E-00-00-12），协议号112进行协商。
• 关键字解释

名称	说明
VRRP路由器	运行VRRP协议的设备
虚拟路由器	VRRP备份组，由一个Master设备和多个Backup设备组成
Master路由器	承担转发报文的VRRP设备，以周期为1秒发送Advertisement报文
Backup路由器	一组没有承担转发任务的VRRP设备，Master路由器出现故障，它们会竞选成为Master设备。Backup路由器不发送Advertisement报文，超时时间内（3秒多）未收到Advertisement报文则会发送Advertisement报文去竞选成为Master
Priority优先级	设备在备份组中的优先级，默认100，范围0-255（越大优先级越高）。0表示停止参与VRRP备份组（将端口Down掉或关闭VRRP协议），备份设备无需等待计时器超时（3秒多）即可成为Master，255表示虚拟路由器IP与设备端口配置的IP一致，优先级最大。优先级0、255不能手工配置
vrid	虚拟路由器的标识，手工指定范围1-255
虚拟MAC地址	虚拟路由器根据vrid生成的MAC地址，格式为：00-00-5E-00-01-{vrid}，用于回应ARP请求等

• 工作过程：通过比较Advertisement报文中优先级大小或IP地址大小选举Master设备（越大优先级越高）承担局域网报文转发，Master设备会发送免费ARP报文和周期性（1秒）发送Advertisement报文。Master故障时，Backup设备超时时间内（3秒多）未收到Advertisement报文则会发送Advertisement报文去竞选成为Master，并进行Master设备的工作；
• 抢占模式：主备设备切换模式默认为抢占模式，可手动改为非抢占模式，抢占模式的抢占延时默认为0，可根据需要提高抢占延迟减少网络波动；
• VRRP联动功能：Master设备上行链路故障需要利用VRRP的联动功能监视上行口状态，主动进行主备切换（Master设备主动降低优先级，降低值手工指定）；
• VRRP状态机

• VRRP负载分担：对于每个VRRP备份组，都包含一个Master设备和若干Backup设备，不同用户主机可根据需要配置不同网关地址实现负载分担。如当一个VRRP设备故障，那么另一个设备会同时成为这两个备份组的Master设备；

VRRP配置实现

• 主备备份模式

配置接口IP，VRRP虚拟路由器1的虚拟IP（即主机的默认网关地址），VRRP优先级，抢占延时20秒，联动功能监视上行口，若上行口故障则VRRP优先级降低30。

[RouterA]interface GigabitEthernet 0/0/1
[RouterA-GigabitEthernet0/0/1]ip address 10.0.0.1 24
[RouterA-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.0.0.10
[RouterA-GigabitEthernet0/0/1]vrrp vrid 1 priority 120
[RouterA-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode timer delay 20
[RouterA-GigabitEthernet0/0/1]vrrp vrid 1 track interface GigabitEthernet 0/0/0 reduced 30

备份设备配置VRRP虚拟路由器1的IP地址。

[RouterB]interface GigabitEthernet 0/0/1
[RouterB-GigabitEthernet0/0/1]ip address 10.0.0.2 24
[RouterB-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.0.0.10

• 负载分担模式：

与主备备份方式配置思路一致，配置两个VRRP备份组到两个路由器，两个路由器互为为两个备份组的Master和Backup设备，两个备份组有两个虚拟IP，不同用户主机可根据需要配置不同虚拟IP地址作为网关地址实现负载分担。

[RouterA]interface GigabitEthernet 0/0/1
[RouterA-GigabitEthernet0/0/1]ip address 10.0.0.1 24
[RouterA-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.0.0.10
[RouterA-GigabitEthernet0/0/1]vrrp vrid 1 priority 120
[RouterA-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode timer delay 20
[RouterA-GigabitEthernet0/0/1]vrrp vrid 1 track interface GigabitEthernet 0/0/0 reduced 30
[RouterA-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 10.0.0.11

[RouterB]interface GigabitEthernet 0/0/1
[RouterB-GigabitEthernet0/0/1]ip address 10.0.0.2 24
[RouterB-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.0.0.10
[RouterB-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 10.0.0.11
[RouterB-GigabitEthernet0/0/1]vrrp vrid 2 priority 120
[RouterB-GigabitEthernet0/0/1]vrrp vrid 2 preempt-mode timer delay 20
[RouterB-GigabitEthernet0/0/1]vrrp vrid 2 track interface GigabitEthernet 0/0/0 reduced 30

总结

• VRRP Master设备：定期（1秒）发送VRRP报文、以虚拟MAC地址响应对虚拟IP地址的ARP请求、转发目的MAC地址为虚拟MAC地址的IP报文、Master设备不一定被优先级高的Backup路由器抢占（手工配置非抢占模式时）；

---

BFD协议原理与配置

为减小链路、设备故障对业务的影响，提高网络设备间通信故障检测效率，减少故障收敛时间，使用双向转发检测协议BFD（Bidirectional Forwarding Detection）快速检测、监控网络中链路或IP路由的转发连通状况。

BFD协议基本原理

• 会话建立过程：BFD建立会话存在标识符概念，类似OSPF的Router ID。静态建立BFD会话可以通过命令行手工配置BFD会话参数（含本地、远端标识符），动态建立BFD会话由应用程序触发创建BFD会话，BFD本身没有邻居发现机制，而是靠被服务的上层应用通知其邻居信息以建立会话。BFD控制报文是UDP报文，单跳端口号3784，多跳端口号为3784或4784；

• 检测机制：两个系统建立BFD会话，并周期性发送状态为UP的BFD控制报文，一方在三个BFD报文周期未收到BFD控制报文，则认为路径上发生故障，此时BFD会话状态是Down。BFD控制报文是UDP报文，端口号3784；
• 工作流程：BFD以邻居会话形式检测并通知相应层的协议模块，一旦BFD检测到转发路径发生故障，会通知被服务的相关层应用进行相应的处理。如OSPF邻居建立（将邻居信息通告BFD）->BFD会话建立->链路故障->BFD会话Down（通知本地OSPF进程BFD邻居不可达）->OSPF邻居关系中断；
• 联动功能：BFD检测模块->Track模块->应用模块。检测模块检测链路状态、网络性能等将结果发给Track模块，Track模块及时改变Track项状态并通知应用模块，应用模块根据Track项的状态进行相应处理，实现联动；

BFD应用场景配置

• BFD默认参数及调整方法

参数	缺省值	备注
全局BFD功能	未使能	需使能
发送间隔	1000毫秒	结合实际调整
接收间隔	1000毫秒	结合实际调整
本地检测倍数	3	建议保持默认
等待恢复时间	0分钟	结合实际调整
会话延迟UP时间	0秒钟	结合实际调整
BFD报文优先级	7（最高级）	建议保持默认

• BFD与OSPF联动配置

全局下启用BFD，在OSPF进程下启用BFD检测功能（所有要检测的邻居都需要执行该命令）。

[Router]bfd
[Router-bfd]quit
[Router]ospf 1 router-id 1.1.1.1
[Router-ospf-1]area 0
[Router-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
[Router-ospf-1-area-0.0.0.0]quit
[Router-ospf-1]bfd all-interfaces enable

• BFD与VRRP联动配置

配置SWB与RTC间的BFD会话，SWB的VRRP备份组监视BFD会话（SWA配置类似SWB配置，不再列举），当BFD会话状态变化时降低VRRP优先级实现主备快速切换。

[SWB]bfd
[SWB-bfd]quit
[SWB]bfd 1 bind peer-ip 10.0.45.5 source-ip 10.0.24.2 auto 
[SWB-bfd-session-1]commit
[SWB-bfd-session-1]quit
[SWB]interface Vlanif 100
[SWB-Vlanif100]ip address 10.0.12.2 24
[SWB-Vlanif100]vrrp vrid 1 virtual-ip 10.0.12.254
[SWB-Vlanif100]vrrp vrid 1 priority 200
[SWB-Vlanif100]vrrp vrid 1 track bfd-session session-name 1 reduced 100

[RTC]bfd
[RTC-bfd]quit
[RTC]bfd 1 bind peer-ip 10.0.24.2 source-ip 10.0.45.5 auto
[RTC-bfd-session-1]commit

• BFD与静态路由联动配置

RTA与ISP1和ISP2间存在两条静态路由（一条为浮动路由），当前链路状态为故障时使静态路由自动切换到浮动路由。

[ISP1]bfd
[ISP1-bfd]quit
[ISP1]bfd 1 bind peer-ip 10.0.12.1 source-ip 10.0.12.2 auto
[ISP1-bfd-session-1]commit
[ISP1-bfd-session-1]quit

[RTA]bfd
[RTA-bfd]quit
[RTA]bfd 1 bind peer-ip 10.0.12.2 source-ip 10.0.12.1 auto
[RTA-bfd-session-1]commit
[RTA-bfd-session-1]quit
[RTA]ip route-static 0.0.0.0 0 10.0.12.2 track bfd-session 1
[RTA]ip route-static 0.0.0.0 0 10.0.13.2 preference 100

• BFD与BGP联动配置

全局下启用BFD，在BGP进程下启用BFD检测功能（所有要检测的邻居都需要执行该命令）。

[RTA]bfd
[RTA-bfd]quit
[RTA]bgp 65500
[RTA-bgp]router-id 1.1.1.1
[RTA-bgp]peer 2.2.2.2 as-number 65500
[RTA-bgp]peer 2.2.2.2 connect-interface LoopBack 0
[RTA-bgp]peer 2.2.2.2 bfd enable

• 单臂回声：指通过BFD报文的环回操作检测转发链路的连通性，一般用于直连设备不支持BFD的情况，本端BFD在出接口发送目的地址与源地址都是自己的BFD探测报文，对端设备会根据目的IP将BFD报文发送回来；

下列配置中12.1.1.1是BFD报文源地址（用于检测本设备某端口地址到目标设备的连通性），13.1.1.3为对端设备接口地址（不作为BFD目标地址），用于探测对方MAC地址与建立BFD会话使用，真正的BFD源、目标地址为本端接口配置的地址13.1.1.2。

[RTA-GigabitEthernet0/0/1]ip address 13.1.1.2 24
[RTA-GigabitEthernet0/0/1]quit
[RTA]bfd 2 bind peer-ip 13.1.1.3 interface GigabitEthernet 0/0/1 source-ip 12.1.1.1 one-arm-echo
[RTA-bfd-session-2]discriminator local 100
[RTA-bfd-session-2]commit

总结

• BFD会话建立的三个状态：Down、Init、UP；
• BFD能够与静态路由，OSFP、BGP、IS-IS等路由协议联动；

---

SDN基本概述

SDN的概念与体系结构

• 传统网络：分布式控制架构，控制平面RIB和转发平面FIB位于同一台设备中，局限性为流量路径的灵活调整能力不足、网络协议实现复杂运维难度较大、网络新业务升级速度较慢；
• 软件定义网络SDN（Software Defined Network）：特征是转发控制分离、集中控制、开放接口，SDN既不是网管，也不是转发工具。将网元的控制平面集中在控制器上，负责计算路由，产生流表，通过OpenFlow协议（基于TCP/IP）将流表发送到网元设备，网元设备只负责转发（被称为转发器和连接器）不再运行动态路由协议等，SDN控制器还提供开放接口，可通过开放接口编程定义一个新的网络功能，在控制器上运行（如OSS、Openstack等）。倡导、定义集中式架构和Openflow协议的是开放式网络基金会ONF非盈利组织；
• SDN网络体系的三层模型：

• SDN架构的接口

1. 北向接口NBI（North Bound Interface）：与上层APP的接口，开放的API、设备私有接口，满足rest架构的互联网软件架构都是restful；
2. 南向接口SBI（South Bound Interface）：利用OpenFlow协议（与下层转发器之间的一种基于芯片的接口协议）使转发器与控制器之间通信，发送流表，还可使用BGP、PCEP协议进行通信；
3. 东西向接口：用于利用BGP协议使SDN网络架构与外部传统网络结构进行路由学习；

• SDN基本工作原理

1. 网元资源信息收集：转发器注册信息、上报资源过程、MPLS标签信息、VLAN资源信息、接口资源信息等；
2. 拓扑信息收集：节点对象、接口对象、链路对象（LLDP、IGP、BGP-LS）；

• OpenFlow协议：是控制器和转发器之间的控制协议（加密）。OpenFlow Controller是控制平面设备，负责生成、更新流表Flow Table。OpenFlow交换机是数据平面，基于Flow Table进行数据转发，并负责网络策略的执行；

SDN的价值

• 网络业务快速创新：使新业务的上线速度从几年提升到几个月甚至更快；
• 简化网络：消除了很多IETF的协议，学习成本下降，运行维护成本下降，业务部署速度提升；
• 网络设备白牌化：网络系统从垂直集成开发走向水平集成；
• 业务自动化：SDN控制器可以自己完成网络业务的部署，提供各种网络服务如L2VPN、L3VPN等，屏蔽网络内部细节，提供网络业务自动化能力；
• 网络流经量优化：应对路由协议算出来的最优路径阻塞，次优路径空闲的情况，SDN控制器可以根据网络流量状态智能调整流量路径，提升网络利用率

传统网络向SDN的演进方式

• 仅交换网SDN化：指流量路径SDN化，把域内交换网络的路径计算功能进行集中控制；

• 仅业务SDN化：例如在出租型的数据中心，正常流量通过路由器直接转发到互联网，当用户采购了防火墙等服务（如负载均衡、深度包检测、广域网加速），无需在用户VPS前安装真实防火墙，而通过SDN控制器流表的调控使VPS流量流经增值服务VAS资源池中的防火墙，达到业务目的；

总结

• 传统网络的局限性：流量路径的灵活调整能力不足、网络协议实现复杂运维难度较大、网络新业务升级速度较慢；
• SDN的三个主要特征：转控分离、集中控制、开放接口；

---

VXLAN基本概述

解决服务器虚拟机在二层网络中进行无缝迁移（在三层网络中迁移会造成业务中断），VXLAN大大提高虚拟机迁移灵活性，使租户不受网络IP地址变更和广播域限制的影响。

传统数据中心网络面临的挑战

数据中心的四大焦点：可靠、灵活、绿色、高效；
面临的三个挑战：

• 挑战一：计算节点低延迟需求。大量虚拟机数据流量从传统的南北流向转变为东西流向，传统数据中心网络结构按照三层结构部署，对接入层、汇聚层的处理能力有更高的要求；

• 挑战二：虚拟化应用大量部署。对不同业务域间划分不同安全区或VLAN进行隔离，南北向流量禁止互访或经由三层网络进行互访，资源利用率低下。传统三层网络架构下会对虚拟机动态迁移带来的问题，在不影响用户正常使用的情况下，需要不变更虚拟机IP地址，虚拟机迁移要求二层可达；

• 挑战三：业务快速创新、自动发放需求。传统DC网络和业务分离，业务开通时间长，而需求为业务与网络联动、实现自动部署；

• 当前解决方案与方案的局限性

1. 解决方案：拓扑简化思想，把VM迁移可能涉及的所有服务器纳入到同一个二层网络中，实现VM大范围无障碍迁移，在核心层部署CSS，接入层部署istack实现简化拓扑结构的目的，设备无需使能二层STP，使用链路聚合提高资源利用率；
2. 存在问题：MAC地址数量徒增，接入设备压力大，多租户隔离环境中设备VLAN资源紧张，二层范围过大，影响通信效率，传统方案适用于DC内部大二层互联应用；

• 多数据中心大二层互联 - VXLAN

1. 早期虚拟机管理迁移依附物理网络，为了扩大二层物理网络中心规模的不断扩大，提高链路利用率，出现了TRILL、SBP等大二层网络技术；
2. 虚拟化数据中心使用VXLAN、NVGRE等Overlay技术，将东西向流量类型由二层向三层转变，通过增加封装将物理二层转变为逻辑二层；
3. VXLAN、NVGRE等Overlay技术都是通过将MAC地址封装在IP上，对物理网络的屏蔽解决了VLAN数量限制、接入交换机MAC表资源有限等问题；

• 云数据中心的网络解决方案：基于SDN的VXLAN Overlay网络虚拟化解决方案，SDN技术主要简化网络的部署、运维、调整等；

VXLAN基本原理

• VXLAN部署的典型网络架构

VXLAN、NVGRE、STT是三种典型的NVO3技术，是通过MAC In IP技术在IP网络上构建逻辑二层网络，相比传统L2 VPN等Overlay技术，NVO3的CE侧是虚拟或物理主机，而不是网络站点。

• VXLAN组网逻辑架构

VXLAN采用MAC In UDP封装方式，将二层报文用三层协议进行封装，同时支持24位的VNI ID（16M租户能力），部署在VXLAN网络边缘的设备称为虚拟网络边缘设备VXLAN NVE（Network Virtualization Edge）负责VLAN网络与VXLAN网络间的封装和解封装，建立Overlay二层虚拟化网络。VXLAN技术特点：位置无关系、可扩展性、部署简单、适合云业务、技术优势（通用UDP传输）；

• VXLAN网关

1. 二层网关VXLAN NVE：有软件NVE、硬件NVE，作为VXLAN的二层网关，实现VXLAN和VLAN、MAC等二层映射，建立VTEP隧道；
2. 三层网关VXLAN GW：与VXLAN NVE类似，实现VXLAN报文头与IP报文头的映射，二三层VXLAN网关都为了实现VXLAN与非VXLAN网络间的连接；

• NVO3标准术语

VN	Vritual Network虚拟网络
VNI	虚拟网络实例，可以为L2或L3网络，一个租户可以对应一个或多个VNI
VNID	虚拟网络ID，标识一个虚拟网络
NVE	虚拟网络边缘，可以位于物理网络边缘设备，也可以位于Hypervisor，可以是二层转发或三层转发
VN Context	该字段位于Overlay封装头部，位于Egress NVE设备确定VNI
Hypervisor	运行在物理服务器内的虚拟化软件，为服务的VM提供共享计算资源、内存、存储，而且Hypervisor内经常内嵌Virtual Switch
Tenant End System	租户终端系统（租户的VPS），可以是物理服务器也可以是VM

• 业界其他技术实现 - NVO3技术背景

类别	简答描述	主导厂商
NVGRE	通过Mac In GRE封装实现虚拟二层网络的方法	Microsoft、Intel、Arista、Broadcom、Dell、Emulex、HP
VXLAN	Virtual eXtensible Local Area Network通过Mac In UDP封装实现虚拟二层网络的方法，由IETF定义	Vmware、Cisco、Arista、DELL、Broadcom、Citrix、Red Hat
STT	Stateless Transport Tunneling通过Mac In TCP封装实现虚拟二层网络的方法	Nicira、RackSpace、Ebay、Intel

• VXLAN报文封装与通信流程

通过vSwitch建立VTEP隧道时，可利用SDN控制器进行ARP学习。

VXLAN基本配置

首先使图中转发器与SDN设备建立OpenFlow连接，利用SDN设备（华为的SDN设备称为SNC）再指示对应转发器作为VXLAN的NVE设备，建立VTEP隧道。

由于手中没有SDN设备无法完成完整配置命令行操作，摘抄自华为官方教程IENP 574页。

1. 配置控制器和转发器建立OpenFlow通信通道
   SNC上配置：

openflow listening-ip 5.5.5.5   //配置SDN控制器侦听地址
fp-id 1     //配置转发器ID
type huawei-default        //配置转发器的设备类，其中huawei-default表示转发器是华为设备；ovs-default表示转发器是OVS（openvswitch）设备
version default           //配置转发器的版本是default
role default              //配置转发器的角色是default
openflow controller       //配置控制器与转发器之间的通信通道，采用OpenFlow连接并进入OpenFlow视图
peer-address 1.1.1.1      //指定转发器FP1的Loopback1地址

FP1配置：

controller-ip 5.5.5.5     //指定控制器的Loopback地址，并进入Controller视图
openflow agent            //配置转发器与控制器之间的通信通道采用OpenFlow连接并进入OpenFlow Agent视图
transport-address 1.1.1.1 //配置OpenFlow连接的本端地址

2. 配置业务接入点实现区分业务流量
   在控制器上配置FP1：

switch fp 1              //进入fp1视图下，1是fp的ID，这里假设fp id是1。
bridge-domain 10         //创建广播域BD，可以看成是一个虚拟交换机。
interface vserviceif 1:1 //创建vServiceIf接口，并进入vServiceIf接口视图，vServiceIF接口是一个逻辑的VXLAN接口。用于和bridge-domain关联，将流量引入到广播域。
binding interface GE0/0/2 //为vService接口绑定物理接口。
interface vserviceif 1:1.1 mode l2  //创建vServiceif接口子接口，并进入子接口视图。子接口作用是为了匹配带VLAN的报文，进而报文进入桥域。
encapsulation dot1q vid 10     //配置二层vServiceIf子接口的流封装类型，允许接口接收携带一层VLAN Tag是10的报文。
rewrite pop single        //配置二层vServiceIf子接口的流动作是pop，对接收的报文进行剥除VLAN Tag操作。这样可以实现不同VLAN的租户在相同VXLAN下可以互访。

3. 配置VXLAN隧道转发业务流量
   在控制器上配置FP1：

bridge-domain 10         //创建VXLAN网络标识VNI并关联广播域BD，将VNI以1:1方式映射到BD，通过BD转发流量。此命令相当于将VXLAN隧道和bridge-domain（虚拟交换机）关联起来。
VXLAN vni 10
interface nve 1:1        //创建NVE接口，并进入NVE接口视图。
source 1.1.1.1           //配置源端VTEP的IP地址。
vni 10 head-end peer-list 3.3.3.3  //配置头端复制列表。通过头端复制列表，源端NVE接口将收到的BUM（Broadcast&Unknown-unicast&Multicast）报文，根据VTEP列表进行复制并发送给属于同一个VNI的所有VTEP。

VXLAN组网应用

总结

• SDN控制器侦听地址的命令为：openflow listening-ip 5.5.5.5；
• VXLAN支持的常见配置方式为：通过虚拟化软件配置、通过SDN控制器配置；

---

NFV基本概述

网络功能虚拟化NFV是指利用虚拟化技术在标准化的通用IT设备上实现各种网络功能，取代网络中专有、专用、封闭的网元，一般NFV与SDN结合使用。

NFV基本概念

• 网络功能虚拟化NFV：通过IT虚拟化技术，将网络节点功能虚拟为软件模块的网络架构，不同设备控制平面基于虚拟机，虚拟机基于云操作系统；
• NFV优点

1. 通过设备合并、借用IT的规模化经济，减少设备成本、能源开销；
2. 缩短网络运营的业务创新周期，提升投放市场的速度，使运营商极大的减少网络成熟周期；
3. 网络设备可以多版本、多租户共存，且单一平台为不同的应用、用户、租户提供服务，允许运营商跨服务和跨不同客户群共享资源；
4. 基于地理位置、用户群引入精准服务，同时可以根据需要对服务进行快速扩张/收缩；
5. 更广泛、多样的生态系统使能，促进开放，将开放虚拟装置给纯软件开发者、小商户、学术界，鼓励更多的创新，引入新业务，更低的风险带来新的收入增长；

• NFV面临的技术挑战

1. 虚拟网络装置运行在不同的硬件厂商、不同的Hypervisor上，如何获取更高的性能；
2. 基于网络平台的硬件同时允许迁移到虚拟化的网络平台中，两者并能共存，重用运营商当前的OSS/BSS；
3. 管理和组织诸多虚拟网络装置（尤其是管理系统），同时避免安全攻击和错误配置；
4. 保证一定级别的硬件、软件可靠性；
5. 不同运营商的虚拟装置（VA）集成。网络运营商需要能混合和匹配不同厂家的硬件、不同厂家的Hypervisors、不同厂家的虚拟装置（VA），而没有巨大的集成成本、避免与厂家绑定；

NFV架构

• Huawei CloudEdge方案包括4个层面：软件应用层、虚拟层面Cloud OS、自动维护管理层MANO、硬件设备层；
• NFV开放接口：NFVI、VNF、VIM、VNFM、NFVO、对OSS/BSS的接口；
• NFV简化网络运营：运营成本OPEX、资本性支出CAPEX、机顶盒STB、住宅网关RGW；
• NFV企业网解决方案：使用vAR实现AR路由器的高级功能，如防火墙、VOIP、NAT等虚拟化到server上（运营商的机房），企业无需自己采购这些设备，通过购买运营商的增值服务即可实现；

NFV与SDN的关系

• FVN和SDN是高度互补关系，但不相互依赖。NVF可以不用SDN机制，NFV可以给SDN提供软件运行的基础设施；

类型	SDN	NFV
主要主张	转发与控制分离，控制面集中，网络可编程化	将网络功能从原来的专用设备上移到通用设备上
主要针对场景	校园网, 数据中心/云	运营商网络
针对的设备	商用服务器和交换机	专用服务器和交换机
初始应用	云资源调度和网络	路由器、防火墙、网关、CND、广域网加速器、SLA保证等
通用协议	OpenFlow	-
标准组织	ONF（Open Networking Forum）组织	ETSI NFV 工作组

• 基于SDN的NFV解决方案

SDN控制器北向对接云平台接收配置信息，计算流表，南向发送流表到CE设备。SDN控制器通过NFV实现，底层为E9000/RH2288服务器，平台为SUSE Linux系统，上层为VRP通用路由平台，VRP负责计算转发表。

总结

• OPEX的定义是运营成本；
• CAPEX的定义是资本性支出；

---

IEEP

网络规划

• 网络规划的定位：规划Plan、设计Design、实施Implementation、运维Operation、优化Improve；
• 网络规划工作内容

1. 确定项目明确的、可量化的、可实现的目标；
2. 掌握项目背景；
3. 明确项目实施工作范围，为预算、调配的资源提供条件；
4. 制定项目预算；
5. 明确网络设计的指导思想，为网络设计提供指导和依据；
6. 大型、创新性项目进行可行性研究；

• 网络规划的目标：掌握项目背景和外部条件、明确项目需求、确定技术方向；
• 网络规划的工作方式：调查、沟通、报告（可行性报告或项目需求报告）；
• 项目整体背景：行业背景与特点、项目背景与目的、业务特点及流程；
• 客户组织情况：公司高层、部门经理、项目主管、项目联络人、最终用户（可能不是甲方人员）；
• 项目范围确定：覆盖范围、工程边界（机房工程、配套电源、空调系统、弱电工程等）、功能边界（需求接入的业务、安全性等）；
• 项目阶段与项目周期：立项、规划、设计、实施、试运行、验收，工作计划常用甘特图方式进行表示；

• 项目配套工程：不是项目本身，不需要项目组实施，但需要项目组关注的，设备安装条件（安装空间、供电、空调等，考虑设备功耗、重量、工作温度等参数），网络线路（连接线、租用的广域网线路，局域网布线作为一个独立弱电工程出现）；
• 外部风险控制：政策法规、社会环境、自然灾害、金融财务（汇率变动、国家利率调整、通货膨胀等）、配套协作（外贸周期、配套项目质量工期）；
• 项目目标：商业目标（利润、成本、生产线率等）、技术目标（支持业务扩张、网络可靠性等）；
• 项目预算：自上而下（基于人员经验进行估算）、自下而上（基于各部分费用汇总）；
• 成本组成 = 建设投资 + 运行维护 + 优化改造；
• 技术需求分析：功能、性能、可用性、扩展性、可实现性；
• 业务流量特征分析：流量特征、行为特征、QoS需求；
• 专网与公网：专网为专用设备、自有路线、自主管理，特点是较为安全、可控性好。公网为公用设备、租用线路、VPN技术，特点是廉价；
• 网络模块与层次

1. 模块包括：园区网络模块、广域骨干模块、网络出口模块、数据中心模块、无线接入模块等；
2. 层次化：一般采用三层结构组网，当前开始流行扁平化即二层机构组网；

总结

• 项目规划阶段需要解决：了解项目背景、确定项目需求、确定技术方向；
• 项目范围的边界：覆盖范围、工程边界、功能边界；

---

网络设计

确定设备选型、技术路线、明确网络功能、性能指标，将需求落到实处；

概述

• 把网络规划阶段获得的客户需求运用技术手段规范化实现；

• 遵循模块化指导方针，分模块进行设计，然后融为一体；

• 网络设计的输出成果必须是规范的、详细的、明确的、可实现的；

• 对网络设计人员的要求：需熟悉网络产品、理解各项网络技术、具备一定的项目经验；

• 网络设计内容

设计内容	设计的关键
物理网络设计	物理拓扑设计、硬件设备选型、互联链路选型、设备基本配置
逻辑网络设计	局域网络设计、广域网络设计、路由结构设计、网络出口设计、高可用性设计
其他网络子系统设计	网络安全设计、VPN设计、无线网络设计、数据中心设计、网络管理设计

• 网络设计关注点

关注点	内容
功能与性能	连通性、吞吐量、延迟、抖动、误码率
经济性	人力、物力、财力、建设周期
可靠性	平均故障间隔时间MTBF、平均无故障时间MTTF、平均故障修复时间MTTR
扩展性	拓扑、地址、协议
安全性	资产、风险、对策
可管理性	SNMP、Netconf、SDN、GUI、NMS

物理网络设计

• 典型拓扑

1. 网络规模：小型网络、中型网络、大型网络；
2. 层次化物力：三层结构、二层结构；
3. 拓扑结构：星型、双星型、口字型、环形、总线型；

案例-校园网络拓扑：网络规模属于大型、采用星型或双星型拓扑结构、功能模块包括：核心模块、接入模块、数据中心模块、无线接入模块、网络管理接入认证模块、其他功能模块等；

• 设备选型

交换机分为总线式交换机（低端）、矩阵式交换机（高端）。
交换机选型要点：制式（盒式、框式）、功能（二层、三层）、端口密度、端口速率、交换容量（数据总线吞吐量）、包转发率（数据包转发能力）。
路由器选型要点：制式（盒式、框式、集群）、接口类型（以太网、串行、POS、PON等）、端口密度、性能、其他功能（防火墙、IPS、VPN、上网行为管理、语音、PBX、SIP）。

1. 二层交换机：2700系列；
2. 三层交换机：盒式的3700、5700、6700系列，框式的7700、9700、12700系列；
3. 路由器：盒式AR1200、AR2200、AR3200系列，框式的NE20E-S、NE40E、NE5000E系列；
4. 其他：防火墙、入侵检测/防御系统、AC、AP、数据中心交换机、SDN交换机等；

案例-校园网络设备选型：接入层为S2710-52P-SI-AC、S3700-52P-SI-AC交换机提供48个百兆接口，汇聚层为S5720-36C-EI-28S-AC交换机提供28个千兆接口，可交直流供电；

• 介质选型

1. 常见介质：双绞线、光纤、电话线、同轴电缆、无线，可参考HCIA笔记-传输介质简介部分。
2. 楼宇结构化布线：水平子系统（信息面板-楼层机房）一般使用双绞线，垂直子系统（楼层机房-中心机房）一般使用光纤，工作区子系统（终端设备-信息面板）一般使用网络跳线；
3. 数据中心布线结构：ToR（Top of Rack）在每一个机架顶部安装交换机（较流行），EoR（End of Row）在每一排机架尾部安装交换机；
4. 工程界面与测试：双绞线测试仪、光功率计、红光笔；
5. 电话线与同轴电缆：输出模拟信号，广域网链路进行打环测试，发送并同时接收流量测试误码率；

• 网络标识

1. 设备标识：使用物理标签（型号、资产编码、责任人/联系方式等）、逻辑设备名统一规则命名（设备安装位置、设备角色、设备型号、设备编号等，如HQ-CS-HW-S7706-1）；
2. 线路标识：使用物理标签（线路走向）、设备端口描述统一规则命名（本端设备名、对端设备名、对端设备编号、链路角色、逻辑编号，如To-HQ-CS-HW-S7706-1-GE1/1/1）；

案例-校园设备与链路标识规划，设备命名规则：设备定位+设备位置+设备型号+编号（ACC-B1F3U2-2710，接入交换机+1号楼3楼2单元+型号2710），端口描述举例：对端设备名+对端端口号（To-AGG-B1N1-G0/0/8，汇聚交换机+1号楼1号机+对端端口）；

逻辑网络设计

• 局域网网络设计

1. 局域网网络选型

2. 局域网常见拓扑：核心层双星型拓扑、汇聚层星型拓扑、接入层网络延伸端口扩展等；
3. VLAN设计：划分依据（基于业务、地域、安全）、划分方法（基于端口、MAC、IP、协议、策略）、编号分配（1-4094、连续性、扩展性）；
4. STP协议：二层防环，核心交换机适合做根桥，适合阻塞其他交换机到根桥的冗余链路，同一地点间交换机不易阻塞。理论上STP能够方式环路，但实际中仍存在环路可能性，可优化STP设置（跟保护、环路保护、BPDU保护、边缘端口配置）和使用其他防环技术等（Smart-link、SEP、RRPP、TRILL等）；

5. 二层网络安全设计

二层攻击类型	二层保护机制
针对设备的DoS攻击	交换机CPU保护
流量超载	流量抑制/风暴控制
MAC欺骗	Port Security
DHCP攻击	DHCP Snooping
ARP攻击	限速/固化/隔离/DAI
源伪造攻击	IPSG

案例-校园网络二层网络VLAN规划：例如一个寝室一个VLAN，VLAN ID可以由楼号+单元号+寝室号组成；

• 广域网络设计

1. 广域网特点：覆盖范围广、租用成本高、运维难度大；
2. 广域网技术选用：传输网-基于SDH传输系统（DDN/E1/POS/MSTP）、OTN-基于波分复用（DWDM）、分组交换网-基于报文交换（以太/ATM/FR/X.25）、电路交换网-基于传统电话网（PSTN/ISDN）；
3. 广域网二层协议

链路类型	结构特点	二层协议
SDH传输系统DDN/E1/POS	点到点链路	HDLC/PPP
波分复用OTN	点到点链路	Ethernet
分组交换网	点到多点链路	以太/ATM/FR/X.25
电话网PSTN/ISDN	点到点链路	PPP

4. 广域网替代技术：传统广域网、VPN技术，区别在于带宽、价格、QoS、可靠性，两者安全性都较高；
5. 接入网技术

案例-校园网接入教育网（10KM距离，1G带宽）：考虑成本、可得性等因素，使用以太网（廉价）和POS技术，也可以采用MPLS VPN技术等；

• 路由结构设计

1. IP地址分配原则：唯一性、高效性（掩码32、30位、VLSM）、可汇聚性、连续性、可扩充性、可管理性；
2. IP地址分配方式：手工配置、DHCP（配合DHCP Snooping、防ARP攻击DAI、防伪造源IP攻击IPSG）；
3. 路由边界确定：网关可位于汇聚层，汇聚层之上工作于路由模式，客户机位于接入层。关注点：设备成本、带宽成本、安全性、可运维性；
4. 路由协议的选择：优选OSPF，IS-IS多用于运营商骨干，静态路由常用于冗余连接的场合。设计OSPF时需要注意避免分割的区域、次优路由；

分类	协议	算法	特点
IGP	OSPF	LS	分层、带宽COST、快速、无环
IGP	ISIS	LS	与OSPF类似
EGP	BGP	DP	域间路由、强承载能力、强操控能力、无环

案例-校园网络中路由协议优选OSPF，汇聚层与核心层划分不同区域，用户网关设置在汇聚层，汇聚层与核心层采用冗余链路设计。IP地址分配可采用如10.0.0.0/8的8位掩码长度的IP地址，每个寝室使用29位长度掩码，可依据地理位置如1号楼-1楼-1单元-1号宿舍设计10.11.11.0/29的IP地址；

• 网络出口设计

1. 网络出接口设计：连接链路（E1、POS、DSL、PON、以太网等）、内网地址（公网地址不足采用NAT方式转换）、连接设备（使用路由器或防火墙）；
2. 单一出口网络：运营商给出30位掩码的连接地址，用于PC访问外部网络、内部服务器对外提供业务的地址池；
3. 同运营商多出口结构：特点是提供冗余、两个连接地址和一个地址池、出方向路径可路由指向、入方向路径缺乏可控性。为了充分利用出口带宽可采用静态路由明细条目的方式对数据分流，若为了主备方式可采用浮动静态路由来实现；
4. 多运营商多出口结构：特点是两个连接地址和两个地址池、出向路径可路由指向、NAT地址池与路径选择相对于。需要指明正确的链路，防止流量走向错误的方向导致质量劣化，还需要考虑返回的流量与对应ISP的出端口绑定；
5. 多运营商多出口结构-对等方式：常用于ICP，DC等、需要公网IP和AS号、无NAT转换、BGP选路。与运营商对等的实体接入互联网需要从全球网络信息中心NIC申请公网地址和公网AS号，一般为ICP、数据中心场合，不需要做NAT转换，需要与个ISP使用BGP交换路由信息，遵循BGP的13条选路原则；

案例-校园网络出口结构：考虑到两种类型流量，内部访问外部的流量使用NAPT地址转换，外部访问内部服务器的流量使用NAT No-PAT；

• 高可用性设计

1. 可用性MTTF/(MTTF+MTTR)*100%，MTTF为平均无故障时间，MTTR为平均故障修复时间，通过元器件、设备、链路冗余、业务冗余来提高MTTF，缩短MTTR（如使用VRRP、BFD等协议）；
2. 器件与设备冗余：设备中的器件冗余（电源、风扇、主控板、交换板等）、网络设计中的设备冗余（盒式设备堆叠、框式设备集群CSS等）；
3. 链路冗余：PPP Multilink（带宽扩展、数据分段封装、多链路负载分担与备份）、Eth-Trunk（链路捆绑、负载分担与备份、跨设备链路捆绑）；
4. 提高可用性的协议和机制：路由协议、VRRP、STP，搭配使用BFD、FRR（采用主备通路方式实现快速重路由）等技术；

案例-校园网络可靠性设计：学生用户在接入到汇聚一般不采用冗余设计，可使用链路聚合上联到汇聚设备，在汇聚设备采用双联路到核心层，核心层采用模块化交换机双机冗余，工作在负载分担模式。接入到汇聚运行于二层运行STP，防止环路，三层部分由路由协议提供故障切换和保障；

其他相关网络技术

• 网络安全技术

1. TCP/IP协议缺陷：无数据源验证、无机密性保障、无完整性校验；
2. 网络安全体系：网络边界安全（内外流量检查）、内部网络安全（内部设备防护）、内网接入安全（接入授权）、终端设备安全（防病毒感染）；
3. 安全技术

层级	技术
三层网络	访问控制列表、ARP表项安全控制、uRPF单播、防火墙配置
二层网络	端口安全、IP源地址防护IPSG、DHCP Snooping、风暴遏制
网络设备	设备登录安全控制、CPU防攻击策略、协议报文认证

4. 网络边界安全：防火墙、IDS/IPS系统（入侵检测IDS一般旁挂于网络中，入侵防御IPS一般串行部署在防火墙与网络设备间）、反病毒系统Anti-Virus、外部用户接入VPN；
5. 内网接入安全：指定企业安全策略->阻止非授权用户->隔离修复不合规用户->授权用户访问范围->监控行为审计取证。设计到的部件：身份认证、准入控制、安全认证（软防火墙、802.1X交换机、网关准入控制等）、业务授权、业务审计；
6. 华为防火墙产品：USG6300/6500：面向中小企业和连锁机构；USG6600：面向大中型企业及下一代数据中心的万兆防火墙；USG9000：面向云服务提供商、大型数据中心的T级别防火墙；NIP6000入侵防御系统：下一代入侵防御系统，面向企业、园区和运营商等网络；ASG2000上网行为管理：企业级专业上网行为管理产品；USG2000BSR多业务安全网关：面向小型企业；集成安全、路由、交换、无线等功能；USG6000V虚拟综合业务网关：基于NFV架构云化多业务综合业务网关；

案例-校园安全设备选型：校园需要服务大量用户与海量的并发会话，使用USG6600防火墙并双机冗余，对于部分网络使用防火墙进行隔离；

• VPN技术

1. VPN通过共享公共网络建立私有数据通道，相应组件：隧道技术、加解密技术、数据认证、身份认证。技术特点：节省费用、灵活性、安全性、缺少QoS；
2. 远程接入VPN（Access VPN）：SSL VPN（使用浏览器，支持的应用有限）；
3. 站点到站点VPN（Site-to-Site VPN）：IPSec VPN（机密性、完整性、真实性、抗重放）、MPLS VPN（专线的替代方案，不提供认证/加密功能）；
4. 华为VPN产品：SSL VPN： SVN5600/5800安全接入网关最高支持10万并发用户接入；

案例-校园本部与分校廉价数据交流：校区间互联使用IPSec VPN，移动办公人员使用SSL VPN；

• 无线网络

1. WLAN：1997年发布IEEE802.11标准（2Mbps），之后出现802.11a（54Mbps）、802.11b（11Mbps）、802.11g（54Mbps）、802.11n（600Mbps）、802.11ac（1Gbps）。其他无线网络还有蓝牙（2.4G频段）、WIMAX（IEEE802.16，10公里范围）、移动数据网GPRS/EVDO/HSDPA/LTE等；
2. Fat-AP无线网络：可独立运行、协议栈完整、功能完整（DHCP、FW-NAT）、独立管理、不支持AP间漫游、适合小型网络；
3. Fit-AP+AC无线网络：需AC配合运行、协议栈不完整、易部署、易管理、集中管理、支持AP间漫游、适合大型网络；
4. 华为无线网络产品

• 数据中心技术

1. 综合解决方案：机房机柜、电力系统、制冷系统、布线系统、服务器、网络系统；
2. 传统数据中心网络：与园区网络类似，按需分层，传统路由交换技术；
3. 数据中心网络新技术-TRILL多链接透明互联：无阻塞链路，支持ECMP、快速收敛、支持大规模二层网络；
4. 数据中心网络新技术-FCoE：实现存储网络与数据网络的融合，使用FC交换机与服务器融合功能的CNA网卡，实现数据通信和存储转发功能；
5. 数据中心新技术-虚拟化：设备虚拟化（虚拟设备独立工作）、业务虚拟化（协议多实例）、管道虚拟化（L3/L2 VPN等）。形态上分为多虚一、一虚多；
6. 数据中心网络新技术-VXLAN：基于IP可达（支持ECMP）、规模巨大（支持16M虚拟网络）、快速收敛、环路避免、部署灵活。将二层数据帧封装于UDP数据包，穿越IP网络的隧道技术
7. 未来的数据中心-SDN：全网统一控制，实现简化网络设备，灵活调度流量的目的；

ONF解决方案	IETF解决方案
控制面转发面分离	管理面智能化，网络架构平滑过渡
OpenFlow标准	PCEP、I2RS、SNMP、netconf
互联网公司、新兴公司、运营商	传统设备厂商

8. 华为数据中心交换机：CloudEngine X800系列、CloudEngine 8800系列、CloudEngine 12800系列；

案例-校园网络中心机房1000台服务器网络结构设计：选择传统或新型架构，传统架构使用核心、接入两层架构，各院系按照网段划分便于业务隔离，网关可以置入接入交换机，按照院系分配接入交换机；

• 网络管理

1. 基于SNMP协议网络管理：SNMPv1（淘汰）、SNMPv2c、SNMPv3；
2. 网管产品-eSight：精简版60个节点、标准版5000个节点、专业版20000个节点；

案例-校园网络配置网管系统：配置eSight标准版；

总体技术方案

• 技术方案内容：项目背景->项目需求（调研结果）->详细技术方案（拓扑图、物理网络设计、逻辑网络设计）->工程相关问题（工程界面、进度安排、组织机构）->采购设备清单；
• 技术方案相关文件：商务文件（工程报价、责任义务、免责条款）->授权文件（合作单位授权）->资质证书（公司资质、人员资质）->其他相关资料；

总结

• 数据中心当前流行的布线方式有：TOR、EOR；
• 楼宇布线中，存在水平子系统、垂直子系统；

---

网络实施

• 项目交付流程

1. 项目交付流程图

2. 项目交付流程-项目启动会：明确客户需求、确定计划周期、确定甲乙双方责任人及项目成员、确定项目管理制度、确认设备安装环境；
3. 项目交付流程-方案确定：内容包括项目背景、项目目标；工程界面、责任划分；时间计划、人员安排；详细配置、施工步骤；业务割接、验收测试；质量保障、风险把控；
4. 项目交付流程-清点货物：项目名称、合同号、箱名及数量、产品型号；
5. 项目交付流程-开箱验货：编码、型号、数量、损伤，装箱单上签字确认；
6. 项目交付流程-DOA流程：货损的定义DOA、技术支持中心TAC；
7. 项目交付流程-设备安装环境检查：机房（空间、温度、湿度）、配电（电压、功耗）、机柜（尺寸、走线、接地）；
8. 项目交付流程-设备安装：设备上架、安装模块和单板、连接线缆；
9. 项目交付流程-硬件质量自检：上电前检查（checklist表、电源安全）、上电后检查（指示灯）；
10. 项目交付流程-单机调测：指示灯查看、display命令（device|device slot XXX|power|power system|version|esn）、License申请；
11. 项目交付流程-联调测试：联调性调测（基础链路对接测试、二层协议互通测试、三层路由互通测试）、HA能力调测（路径切换测试、双机热备测试）、业务性能调测（业务流量测试、访问控制测试、QoS服务测试）。思路：先南北，再东西，先基础，再协议，核心-汇聚-接入-边缘，先内网，再外网；
12. 项目交付流程-割接并网：避开高峰，割接配置文件，回退配置文件，操作人员时间点规划，验证测试，业务测试；
13. 项目交付流程-转维培训：组网和配置培训、日常维护培训、紧急故障处理培训；
14. 项目交付流程-验收：项目概况、施工质量情况、监理质量评估、查看现场、资料归档、签署验收证书；

• 高危操作流程

1. 高危操作的范围：包括但不限于数据调整、数据迁移、数据恢复、业务割接、系统扩容、软件升降级、带电拔插、关电复位、主备倒换、容灾演练、与现网设备物理端口的连接或断开操作（即网元物理端口的连接变化）、对承载业务的电源、中继线缆、光纤等硬件进行的操作等；
2. 高危操作级别分类：一级：所有重大项目、重点网络的割接、改造、扩容、升级等操作。二级：其它高危操作。重要保障通讯时间段、版本首次应用、前次操作失败后的再次操作、故障频发网络等场景下的高危操作；
3. 高危操作流程：方案制作（精准性、可操作、有验证、能回退）、获取三授权（管理授权、技术授权、客户授权）、操作流程；

• 工程师服务规范

1. 客户信息安全；
2. 客户设备信息安全；
3. 提醒客户信息安全；
4. 工程信息安全：纳入安全保密范围；
5. 礼仪及日常行为规范；
6. 现场行为规范：行前准备、服务过程中、服务结束；

总结

• 项目交付流程主要步骤：项目启动会，方案制定，开箱验货（DOA流程），设备安装，质量自检，软件调试，转维培训，项目验收；
• 高危操作三授权是：管理授权、技术授权、客户授权；
• 提醒客户信息安全信息有：无用账号清理、密码更新、日志保护、数据备份等；

---

网络维护

日常维护概述

• 日常维护是一种预防性的工作，及时的发现并消除网络所存在的缺陷或隐患，日常维护可以得出网络基线，为故障排除工作打下基础。日常维护包括硬件运行环境、软件运行情况维护；
• Checklist：如端口内容检查表（每周/每月）、设备基本信息检查表（每周/每月）、设备环境检查表（每天）、设备运行状态检测表（每周/每月）、业务检查表等（每周/每月）；
• 软件配置与备份：配置文件、软件版本文件、License文件等备份；
• 网管软件的使用：告警管理、性能管理、配置文件管理、网管报表；
• 设备软件升级：升级可行性评估（必要性、风险性、可操作性）、版本软件/文档的获取、升级/回退方案制定、升级操作；
• 例行维护报告：日常维护工作总结、网管例行报表、专业巡检报告、附件；

总结

• 日常维护是一种预防性的工作，通过日常维护可以得出网络基线，从而为故障排除工作打下良好的基础，网络的维护不仅仅是技术问题，而且也是管理问题；

---

网络故障排除综述

• 网络故障分为：硬件类、配置类、网络类、性能问题、软件类、对接类、其他故障；
• 结构化的网络故障排除流程

• 报告故障-沟通确认

故障报告者	姓名、所在的部门、职位级别、所负责的工作内容、使用电脑的位置（楼层、房间、无线接入还是有线接入）、在使用电脑访问什么网站时发现的问题（不同级别的用户可能会有不同的网络访问权限）
故障频率	故障是突发的、偶尔的、还是频繁的
用户操作	出现故障之前和之后，用户对自己的终端做了哪些操作，如是否更改了IP地址和DNS、是否安装了桌面防火墙软件、安全控制软件等

• 确认故障四要素：主体、表现、时间、位置。还要判断是否属于自己的负责范围；
• 故障排除核心思想：基于TCP/IP参考模型、以业务流量路径为核心的故障排除思想、确认网络层业务流量路径、确认数据链路层业务流量路径；
• 故障排除常用方法：自顶向下法（网络层连通性没问题）、自底向上法（网络层连通性有问题）、对比配置法、替换法、分块法、分段法；

总结

• 故障排除流程收尾工作需要通知的相关方有：受故障影响的相关方、故障排除各阶段授权方、厂家与服务提供商；

---

常见网络故障排除

Telnet登录故障

• Telnet配置步骤

1. 配置Telnet服务器功能及参数；
2. 配置Telnet用户登录的用户界面；
3. 配置Telnet类型的本地用户（AAA）；
4. 终端通过Telnet登录设备；

acl number 2001  
 rule 5 permit source 10.0.12.1 0 
 rule 10 deny #
aaa 
 local-user admin1234 password cipher huawei
 local-user admin1234 privilege level 3
 local-user admin1234 service-type telnet
#
user-interface maximum-vty 8
#
user-interface vty 0 7                    
 acl 2001 inbound
 authentication-mode aaa

• Telnet登录故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	路由不可达，ping不通Telnet服务器	排除连通性故障	-
2	登录用户数到达了上限	增加允许登录设备的用户数	display users、display user-interface maximum-vty、user-interface maximum-vty 15
3	VTY用户界面绑定了ACL	修改ACL配置	display acl acl-number、rule permit source source-ip-address soucer-wildcard
4	VTY用户允许Telnet	配置用户界面允许Telnet	protocol inbound telnet
5	认证模式配置正确	正确配置认证模式	authentication-mode password、authentication-mode aaa

SSH登录故障

• SSH配置步骤

1. 配置STelnet服务器功能及参数；
2. 配置SSH用户登录的用户界面；
3. 配置SSH用户；
4. 终端通过STelnet登录设备；

rsa peer-public-key rsakey001
  public-key-code begin
  ... ...
  public-key-code end
 peer-public-key end
#
aaa
local-user r1 password cipher huawei
 local-user r1 privilege level 3
 local-user r1 service-type ssh
#
 ssh user client002 assign rsa-key rsakey001
 ssh user client002 authentication-type rsa
 stelnet server enable
 SSH server port 1025
#
user-interface vty 0 4
 authentication-mode aaa
 protocol inbound ssh

• SSH登录故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	SSH服务未启动	启动SSH服务	display ssh server status、stelnet server enable
2	VTY未允许SSH接入	确保VTY允许SSH加入	protocol inbound ssh
3	SSH服务器已配置RSA公钥	配置服务器秘钥配对	display rsa local-key-pair public、rsa local-key-pair create
4	未配置SSH用户认证参数	配置SSH用户认证参数	display ssh user-information、ssh user authentication-type
5	用户数到达上限	增加VTY允许登录用户数	display user、display user-interface maximum-vty
6	VTY下绑定了ACL	修改ACL允许SSH客户端IP	display acl acl-number、rule permit source
7	SSH版本不一致	配置SSH版本兼容性	display ssh server status、ssh server compatible-ssh1x enable
8	已配置SSH客户端首次认证	使能SSH客户端首次认证	ssh client first-time enable

VLAN故障

• VLAN配置步骤

1. 创建VLAN；
2. 配置以太网接口的链路类型；
3. 关联接口和VLAN；
4. 检查配置结果；

vlan batch 12 to 34
#
interface GigabitEthernet0/0/12
 port link-type access
 port default vlan 12
#
interface GigabitEthernet0/0/14
 port link-type access
 port default vlan  34
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 12 to 34
#

• VLAN内用户不能互访故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	VLAN内端口down	排除端口故障	display interface brief
2	终端IP地址配置错误	配置正确IP地址	-
3	MAC地址学习错误	重新学习MAC地址	display mac-address、undo mac-address vlan vlan-id
4	VLAN相关配置错误	修改错误配置项	display vlan vlan-id
5	接口配置了端口隔离	取消端口隔离	undo port-isolate enable
6	终端静态ARP配置错误	修正静态ARP表项	arp static ip-address mac-address、display arp static

MSTP故障

• MSTP配置步骤

1. 配置MSTP工作模式；
2. 配置MST域并激活；
3. （可选）配置根桥和备份根桥；
4. （可选）配置交换设备在指定生成树实例中的优先级；
5. （可选）配置端口在指定生成树实例中的路径开销；
6. （可选）配置端口在指定生成树实例中的优先级；
7. 启用MSTP；

stp region-configuration
 region-name RG1
 instance 1 vlan 2 to 10
 instance 2 vlan 11 to 20
 active region-configuration
stp instance 1 root primary
stp instance 2 root secondary

• MSTP拓扑变化导致业务中断故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	MSTP状态不正常	检查MSTP配置并修正	display stp region-configuration、display current-configuration
2	MSTP重新计算	检查端口角色	display stp
3	有接入物理震荡	将震荡接口shutdown	-
4	MSTP收敛模式不为Normal	收敛模式修改为Normal	display stp、stp converge normal

环路故障

• 环路故障广播风暴导致业务中断常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	存在广播风暴	定位存在广播风暴的端口	display interface brief
2	存在环路设备	定位存在环路的设备，开启对应接口环路保护功能	interface interface-type interface-number、loopback-detect enable
3	存在环路接口	纠正存在连接错误的线缆	-

OSPF常见故障及处理方法

• OSPF邻居关系故障常见原因与检查方法

常用检查OSPF邻居关系命令有：display ospf peer brief、display ospf brief、display ospf interface、display ospf error。

序号	故障现象/原因	排障方法	相关命令
1	不能显示邻居状态	排除邻居关系故障	display ospf error
2	停滞在down状态	没有收到邻居Hello报文，检查接口状态	-
3	停滞在init状态	Hello报文没有包含接收路由器的RID，检查链路对端设备	-
4	停滞在2-way状态	检查接口配置	-
5	停滞在Exstart状态	MTU不匹配或RID重复，执行ping操作	ping -s 1500 neighbor-addres
6	停滞在Exchange	MTU不匹配，执行ping操作	-

• OSPF域内路由故障 - 现象与排障思路

邻居路由器不通告或部分通告路由。

序号	故障现象/原因	排障方法	相关命令
1	被通告接口关闭	排除二层故障	display ospf interface GigabitEthernet 0/0/0
2	通告接口未启用OSPF	启用OSPF	display ospf lsdb router、display current-configuration ｜ begin ospf

• OSPF域间路由故障 - 现象与排障流程

区域间路由ABR不能正常完成路由汇总功能。如某ABR路由器配置的OSPF：

router id 2.2.2.2
ospf 
  area 1
    network 2.2.2.2 0.0.0.0
    network 10.1.1.0 0.0.0.3
    abr-summary 20.1.1.0 255.255.255.0
  area 0
    network 10.2.1.0 0.0.0.3

序号	故障现象/原因	排障方法	相关命令
1	ABR是否配置汇总命令	正确配置汇总命令	abr-summary 20.1.1.0

• OSPF域外路由故障 - 现象与排障流程

NSSA区域的ASBR不通告被重发布的路由（即不发布七类LSA）。

序号	故障现象/原因	排障方法	相关命令
1	ASBR是否配置路由策略	修改路由策略	display ospf lsdb ase、display current-configuration ｜ begin ospf

IS-IS常见故障及处理方法

• IS-IS邻居关系故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	IS-IS接口状态Down	正确配置NET	display isis interface、network-entity NSAP
2	物理接口状态Down	使接口链路层协议Up	display ip interface G0/0/0
3	链路两端接口IP网段不同	修改两端IP地址	-
4	链路两端System ID相同	修改设备System ID	network-entity NSAP
5	链路两端设备IS-IS Level不匹配	修改设备或接口的IS-IS级别	is-level level
6	链路两端设备的区域地址不匹配	修改设备的区域地址	network-entity NSAP

BGP常见故障及处理方法

• BGP邻居关系故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	BGP邻居间不能ping通	排除连接性故障	ping –a source-ip-address –s packetsize host
2	有ACL禁止TCP的179端口	修改ACL	display acl all
3	邻居的Router ID冲突	修改两端Router ID	display bgp peer router id
4	邻居AS号配置不正确	修改设备System ID	display bgp peer
5	LoopBack口建立的邻居	正确配置BGP发送报文源接口	peer 2.2.2.2 connect-interface LoopBack 0
6	EBGP邻居不可达	配置到达EBGP邻居最大跳数	peer ebgp-max-hop hop-count

DHCP Server故障

• 配置步骤

1. 配置全局地址池；
2. 配置接口工作在全局地址池模式；
3. （可选）静态配置DHCP客户端的DNS服务；
4. （可选）静态配置DHCP客户端的NetBIOS服务；
5. （可选）配置全局地址池DHCP自定义选项；
6. （可选）配置防止IP地址重复分配功能；
7. （可选）配置DHCP数据保存功能；

ip pool 1
 gateway-list 10.1.1.1
 network 10.1.1.0 mask 255.255.255.128
 excluded-ip-address 10.1.1.2
 excluded-ip-address 10.1.1.4
 lease day 10 hour 0 minute 0
 dns-list 10.1.1.2
ip pool 2
 gateway-list 10.1.1.129
 network 10.1.1.128 mask 255.255.255.128
 lease day 2 hour 0 minute 0
 dns-list 10.1.1.2
 nbns-list 10.1.1.4

• DHCP Server故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	客户端与服务器间链路不正常	排除链路故障	-
2	服务器未使能DHCP功能	开启DHCP功能	dhcp enable
3	未配置客户端获取地址方式	设置客户端获取地址方式	dhcp select global、dhcp select interface
4	客户端未从接口地址池获取地址	全局地址池与VLAN接口地址池不在同一网段，配置二者在同一网段	display ip pool name ip-pool-name
5	客户端未从接口地址池获取地址	地址池内地址耗尽，重新修改配置	display user-interface maximum-vty

DHCP Relay故障

• 配置步骤

1. 配置指定接口工作在DHCP中继模式；
2. 配置DHCP中继转发的目的服务器组；
3. 配置DHCP中继接口绑定DHCP服务器组；
4. （可选）配置DHCP中继请求DHCP服务器释放客户端的IP地址；
5. （可选）配置DHCP中继对Option82信息的处理策略；

dhcp enable
#
dhcp server group dhcpgroup1
 dhcp-server 100.10.10.1 0
#
interface Vlanif100
 ip address 20.20.20.1 255.255.255.0
 dhcp select relay
 dhcp relay server-select dhcpgroup1
#
interface Vlanif200
 ip address 100.10.20.1 255.255.255.0

• DHCP Relay故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	链路故障	排除链路故障	ping -a source-ip-address destination-ip-address
2	未全局使能DHCP功能	全局使能DHCP	display current-configuration ｜ include dhcp enable
3	未中继使能DHCP	中继使能DHCP	dhcp select relay
4	中继未配置DHCP服务器	配置中继服务器	dhcp relay server-ip ip-address、dhcp relay server-select group-name
5	其他设备的配置	调整其他设备配置	-

VRRP故障

• 配置步骤

1. 配置VRRP基本功能；
2. 配置VRRP与BFD联动实现快速切换；
3. 配置VRRP与接口状态联动监视上行接口；
4. 配置VRRP与BFD/NQA/路由联动监视上行链；

interface GigabitEthernet2/0/0
 ip address 10.1.1.1 255.255.255.0
 vrrp vrid 1 virtual-ip 10.1.1.111
 vrrp vrid 1 priority 120
 vrrp vrid 1 preempt-mode timer delay 20

• VRRP备份组震荡故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	Backup设备未收到通告报文	VRRP报文发送时间过小，修改发送间隔	debugging vrrp packet、vrrp vrid timer advertise
2	Backup设备未收到通告报文	VRRP备份组链路故障排除	ping
3	Backup设备未收到通告报文	Backup设备的CPU对VRRP报文丢包，寻求售后支持	reset counters interface、display cpu-defend statistics slot slot-id
4	Backup设备未收到通告报文	对VRRP报文闲置了流量，修改CAR的大小	-

• VRRP备份组双主故障故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	VRRP两端配置不一致	使两端配置一致	display this
2	Backup设备未收到通告报文	VRRP备份端口被阻塞，修改端口STP优先级	display stp brief
3	Backup设备未收到通告报文	VRRP备份组间链路故障，修复链路	ping
4	Backup设备未收到通告报文	收到非法的VRRP通告报文	display vrrp statistics

防火墙故障

• 防火墙内网对外访问故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	PC网关设置问题	正确配置PC网关	-
2	NGFW接口安全区域配置问题	正确配置接口和安全区域	add interface interface-type interface-number
3	NGFW上路由配置不正确	修复外网路由	display ip routing-table、ip route-static
4	NGFW上的安全策略配置不正确	修改安全策略配置	display security-policy rule rule-name
5	ISP Router上的路由配置问题	联系ISP管理员修复路由	-
6	NGFW会话老化时间配置问题	修改会话老化时间配置	firewall session aging-time session-type aging-time

• 防火墙外网对内访问故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	内网服务器网关设置问题	设置为NGFW内网接口地址	-
2	内网服务器服务未开启	开启服务器上的服务	-
3	NGFW接口和安全区域配置不正确	正确配置NGFW接口和安全区域	add interface interface-type interface-number
4	NGFW上的路由配置正确	正确配置去往外网的路由	-
5	NGFW上的安全策略配置不正确	修改安全策略的配置	display security-policy rule rule-name
6	ISP Router上的路由配置不正确	联系ISP管理员修复路由	display ip routing-table、ip route-static

SNMP故障

• 配置步骤

1. 配置SNMPv2c的基本功能；
2. （可选）限制网管对设备的管理权限；
3. （可选）配置向网管发送告警；
4. （可选）配置SNMP扩展错误码功能；

snmp-agent
snmp-agent sys-info version v2c
acl 2001
 rule 5 permit source 10.1.1.2 0.0.0.0
 rule 6 deny source 10.1.1.1 0.0.0.0
snmp-agent mib-view dnsmib include 1.3.6.1.4.1.2011.5.25.194
snmp-agent community write adminnms2 mib-view dnsmib acl 2001
snmp-agent target-host trap-paramsname trapnms2 v2c securityname adminnms2
snmp-agent target-host trap-hostname nms2 address 10.1.1.2 trap-paramsname trapnms2
snmp-agent trap queue-size 200
snmp-agent trap life 60
snmp-agent trap enable
snmp-agent sys-info contact call Operator at 010-12345678

• SNMP无法连接故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	主机与网管间不可ping通	修复链路故障	ping
2	可收到SNMP报文，无法连接	根据日志进行处理	display logbuffer

• 收不到SNMP告警故障常见原因与检查方法

序号	故障现象/原因	排障方法	相关命令
1	主机与网管间不可ping通	修复链路故障	ping
2	告警主机配置不正确	修改告警主机配置	-
3	告警特性未使能	使能设备发送Trap报文	display snmp-agent trap all、snmp-agent trap enable feature-name trap-name
4	日志无告警产生的信息	排除链路报文丢失故障	display logbuffer

总结

• 可能引起BGP邻居关系故障的原因有：ACL过滤了TCP的179端口、邻居的Router ID冲突、用Loopback口建立EBGP邻居未配置peer ebgp-max-hop、用Loopback口建立邻居时没有配置peer connect-interface；

---

网络优化

网络优化概述

• 网络优化主要包括：硬件优化、软件优化、网络扩容、新技术更新；
• 网络优化思路：网络优化需求（运维建议、新业务功能需求、现网问题集中整改、法律法规政策需求等）、需求分析（合理性、必要性、可行性）、网络优化设计、网络优化实施；
• 华为网络优化服务NOS：提高业务性能、提高网络可用性和性能、提高生产率、降低成本、实现知识转移；
• NOS网络优化专业服务内容：客户技能需求（网络知识转移）、网络级别需求（网络架构评估、网络可用性评估、专家技术保障）、网元级别需求（生命周期评估、软件评估推荐、网络健康检查、配置评估优化）；

提升网络的安全性

• 涉及全网所有设备，涉及到安全管理，考虑方面：管理安全、边界安全、访问控制、接入安全、流量监控；
• 管理安全优化

1. 目的：保障敏感的管理信息不被非法窃取；
2. 位置：所有设备；
3. 手段：采用安全强度高的协议和完善的管理制度；

• 边界安全优化

1. 目的：防止和减少外部网络的攻击和危害；
2. 位置：网络边界；
3. 手段：攻击防范技术、包过滤技术、硬件防火墙；

• 访问控制优化

1. 目的：保证关节业务的访问安全；
2. 位置：网络各个层面均可能涉及；
3. 手段：包过滤技术、独立防火墙；

• 接入安全优化

1. 目的:实现用户的安全接入控制；
2. 位置：接入层设备；
3. 手段：NAC、用户绑定、端口隔离等；

• 网络监控优化

1. 目的：识别异常流量、常规流量分析；
2. 位置：网络出口、服务器接口、关键链路；
3. 手段：流量分析、日志管理；

提升网络的用户体验

• 服务质量保证：语音业务的实时性、关键用户的可靠性、异常流量的识别和限制；
• 提升网络性能：网络扩容；
• 简化用户侧配置：DHCP功能、结合NAC推送；

新增网络功能

• WLAN接入：考虑对现网的影响、预期效果、投资预算；

网络优化方案

• 项目背景介绍：网络现状、问题分析；
• 网络调整目标：优化思路、优化原则、优化方法；
• 优化实施方案：优化实施准备、优化实施步骤；
• （可选）附件：网络优化报告；

总结

• 举例网络优化的需求来源

1. 经过长期的网络维护，总结一些问题和改进点，提出相关建议，进行集中的整改；
2. 网络中需要开展视频会议业务，需要增加支持二层组播功能的交换设备；
3. 某弱电井因环境问题，信号线老化严重，需要集中更换；
4. 企业信息安全需要，增加新的安全设备；

---

网络割接

割接概述

• 网络割接是由于设备生命周期已到、链路变化等，进行扩容、改造、替换、变更时，保障业务平稳过渡的方案；
• 割接难点：控制业务影响范围、把控风险规避措施、定制完善的割接方案、顺利地执行割接；

割接的操作流程

• 前期准备：项目调研、需求分析、风险评估、方案编写、方案审定；
• 中期实施：割接准备、割接实施、业务测试；
• 后期收尾：守局、项目验收；

网络现状分析案例：在网络核心层新增两台高性能路由器并替换掉原来运行的老旧路由器

1. 项目调研：现场采集全网信息（拓扑、配置、版本、流量类型、流量路径等）
2. 项目分析：必要性、可行性、风险性、项目定性、技术定位；
3. 方案筛选：直接替换法、逐步融入法；

4. 风险评估：主要风险点、风险影响的范围、风险影响的时间、风险带来的损失、如何避开风险；
5. 协商沟通会：设备选型、出口对接（ISP）、风险评估（甲方：时间、资金、业务保障）、方案筛选（乙方：逐步融入法）；
6. 割接方案编写：项目调研->项目执行->项目验收；
7. 方案验证和审定：搭建实验局测试、各方技术评审、原厂专家审核、方案定稿；
8. 割接准备：硬件、软件、工具、备件、人员安排、时间安排、对照表；
9. 实施签发：割接方案客户签字、具体实施的变更申请表、变更申请表客户负责人签字、各种形式的通知；
10. 割接实施 - 分块割接：化整为零，把大割接分成几个小割接，每个小割接之间既相互独立又前后承接，且每个小割接也需严格地细化执行步骤；
11. 割接实施 - 割接思路：设备切入（新增线路、连好设备、两周左右运行观察期）、业务切换（ISP物理线路对接、路由实现、2-24小时观察期）、清除旧设备（断开连接、新设备联通业务、线缆清除）；

12. 割接实施 - 割接步骤：割接前快照（display路由、时间段、日志、状态信息、版本、邻居信息、访问控制信息）、割接中执行（路由、路由下发、取消旧设备路由等）、割接后检查（验证路由表、查看OSPF的LSDB、tracert流量走向检查等）；
13. 回退：将当前变更改回到执行前的状态，回退时机根据现场环境做出预判、把握好回退时间点避免超时、回退操作说明应提前写入《割接方案》中；
14. 回退失败：采用应急预案，应急预案需体现在《割接方案》中，如重新加载系统软件、替换现场备件、紧急调用设备等；
15. 测试：网络运行状态测试、网络业务状况测试、客户应用业务测试；
16. 守局：观察期，在此期间工程师一般驻守在客户局点，观察网络运行状态，防止出现意外故障；
17. 割接验收：转维培训、资料移交、验收总结会；

常见割接场景

• 设备升级：设备单板扩容、设备单板更换、软件版本升级等；
• 网络物理结构改造：新增链路、新增设备、结构调整等；
• 网络系统调整：IP地址变更、IP协议变更等；
• 网络性能优化：QoS优化、业务优化（主备->负载分担）等；

总结

• 割接总结：以客户需求为中心、以风险控制为原则、以权威验证为保障、以项目管理流程为指导思想、已沟通结果为执行依据；
• 割接方案验证和审定主要方法：搭建实验局，各方技术评审，原厂专家审核；
• 具体割接操作步骤的三部曲是：割接前快照，割接中执行，割接后检查；
• 割接失败规避风险：就要执行回退，回退失败执行应急预案；

---

到这里关于HCIP的学习笔记完成，如有错误还请多多指教，接下来就能开始学习HCIE了。