华为学习文档资料
snmp-server community pubic ro
snmp-server community private ro
snmp-server 交换机的标识号,可通过命令查到。
snmp-server 管理平台的IP
3550等系列密码破除>>>>
开机按交换机前面板的mode键
输入flash_init进行初始化
输入del flash:config.text删除配置
输入boot重新启动,可破除密码>>
自己做的NAT,调试成功了,呵呵
[Router]dis nat trans
**Total 3 NAT items, 3 in hash list, 0 in extended-list
Pro GlobalAddr GlobalPort InsideAddr InsidePort DestAddr DestPort
6 192.168.34.50 12420 10.0.0.2 1473 207.46.108.89 1863
17 192.168.34.50 12432 10.0.0.2 4004 202.104.129.2528000
6 192.168.34.50 12464 10.0.0.2 1468 207.46.107.99 1863
[Router]dis cur
Now create configuration...
Current configuration
!
version 1.74
local-user cisco service-type ppp password simple cisco
local-user lover service-type administrator password simple cisco
nat address-group 192.168.34.50 192.168.34.51 1
firewall enable
aaa-enable
aaa accounting-scheme optional //如果从AAA服务器过来的得不到正确的计费应答时,仍然让用户访问网络。
!
acl 10 match-order config
rule normal permit source any
!
interface Aux0
async mode flow
link-protocol ppp
!
interface Ethernet0
ip address 192.168.34.51 255.255.255.0
nat outbound 10 address-group 1
!
interface Ethernet1
ip address 10.0.0.1 255.0.0.0
!
interface Serial0
link-protocol ppp
!
interface Serial1
link-protocol ppp
!
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.34.1 preference 60
!
return
华为的学习手册笔记
interface 进接口或子接口,undo interface s0.1 删除子接口
reset interface counters interface
缺省情况下,以太网的IP包是支持enternet 2型,
speed 10/100/negotiation
deplex full/half
bandrate /bandwidth思科 同步接口是默认64000bps,异步为9600bps
clock
默认情况下,serial口是Dceclk,即向DTE提供时钟,恢复为Dteclk1/2/3/4
flow control(software/handware/none)[inbond/outbond]
loopback在接口上设内自环
interface s0#loopback
physical-mode(sync/async) 设置同异步串口
controler e1
channel set (逻辑接口编号1-30) timesolt range (0-31)
(router-e1-0)frame-format crc4/no crc4设置ce1/pri 四位冗余较验位
router-e1-0#loopback在逻辑口上设对内自环及对外的回波,协议状态为down属于正常,用于检测链路及接口的状态
ppp MP
link-protocal ppp
ppp authenatication-mode (chap/pap)
ppp pap password xxxx
display pppoe-client session
isdn :
display isdn active-channel
PPTP是拔广域网广口。
L2TP enable //在路由器上启用VPDN
allow l2tp virtal-templete (templete number) [remote remote-name]
display l2tp session/tunnel
华为支持L2TP,思科支持PPTP、L2TP,
L2TP match-order {dnis-domain} //先根据被叫号码进行L2TP组查找,然后再根据域名组进行查找
l2tp session-limit 1000 设置最大的会话数
l2tp-group group-number 用来创建l2tP组。
例:
router# l2tp-group 1
router-l2tp1# mandatory-chap //强制用chap 来验证client身份。
start l2tp{ip /对端ip}{domain-name}{dnis/电话号码}{fullname/全名}
tunnel authentication 启用l2tp隧道验证
tunnel password
tunnel name
gre
interface tunnel 0
router-tunnel0 source ip
router-tunnel0 destination ip
gre checksum //加校验核 允许校验核。默认关
gre key key-number
gre sequence-datagrams 数据报需要序列号同步
IP网络层
ip address ppp-negotiate命令用来允许ip协商,当在对端路由器上配置remote IP,使得本端得到ip,g 一般用在ISP提供动态IP。
ip address unnummbered
封装了PPP,HDLC,FRAMERELAY,tunnel的口可以借其他以太口的IP
example :interface s0
ip add unnumbered
interface s1
ip add ppp-negotiate
用来配置可以用借其他的接口的IP。封装了PPP,HDLC,FRAMERELAY,SLIPC以及tunnel端口
router-s0# remote address 10.0.0.1给对端配置IP
router-e0# vlan-type dot1q vid 1 指定端口加入VLAN 1
dhcp enable
dhcp server ip-pool pool-name
dhcp server forbidden-ip low-ip high-ip
network 192.168.1.0 255.255.255.0 dhpc地址池0的地址间
gateway-list 网关
dns-list DNS的设置
domain-name mydomainname.com 表示分配给客户端的后缀域名
dis dhcp server static
display dhcp server expired 显示未用的IP
display dhcp server ip-in-use 显示已用的IP
disp dhcp server tree
reset dhcp
router-dhcp0# domain-name mydomain.com.cn
把ip与mac进行绑定。
# static-bind ip-address 10.1.1.1 mask 255.255.255.0
# static-bind mac-address 00-00-0e-3f-03-05
router acl 101
router-acl-1#rule permit source
interface e0# nat outbound 101 interface
或者:
nat address-group x.x.x.x-x.x.x.x abc
interface s0# nat outbound 101 address-group abc
增加访问控制列表与接口的关联。
Interface e0
做基于端口的PAT,把内网的IP关联到外网IP的一个端口上面>>>>>>>
[Router-Serial0]nat server global 192.168.0.4 inside 10.0.0.2 ftp tcp
userlog nat(flow-begin) (acl编号)
缺省时关闭的,可以打开日志
info-center enable
info-center console 向控制口送
userlog nat
info morinitor
info syslog
static-route reference 60 默认的优先级为60
vpdn(虚拟私有拔号网)
中小型企业,利用PSTN,ISDN,拔号入网,为移动办公人员,提供接入服务。VPDN隧道协议分为PPTP,L2F,L2TP。
LAC:L2TP ACCESS CONCENTRATOR // L2TP访问集中器。
LNS:L2TP NETWORK SERVER // L2TP网络服务器。
L2TP排故的步骤:
1、 检查LAC与LNS的互通性
2、 检查VPDN用户能否通过LAC端的验证
3、 检查LAC端是否发起L2TP隧道连接
4、 检查LNS是否接收到连接
5、 检查LNS端的用户路由信息。
ospf
几种类型:
Router-LSA 由每个路由器生成,描述了路由器的链路状态和花费,传递到整个区域 type=1
Network-LSA,由DR生成,描述了本网段的链路状态,传递到整个区域 type=2
Net-Summary-LSA,由ABR生成,描述了到区域内某一网段的路由,传递到相关区域 type=3
Asbr-Summary-LSA,由ABR生成,描述了到ASBR的路由,传递到相关区域 type=4
AS-External-LSA,由ASBR生成,描述了到AS外部的路由,传递到整个AS(STUB区域除外) type=5
树型结构,不会产生环路。
只有在广播和NBMA时要选举DR,BDR,其它的时候不需要。
import-route protocal (cost|type|tag|route-policy ) 目前direct ,static,rip,is-is, bgp
abr-summary ip-add mask mask-ip area id 定义聚合网段,缺省情况下,不对其汇总聚合,而且只有在ABR上进行其汇总。
vlink-peer router-id {hello|...}在两台ABR之间指定
stub区的配置:
stub{no-summary}
如果某个区被规划成stub区域,所有区内的路由器都要配,no-summary参数所,在abr上区域间的summary 第三种类型通告将被过滤,路由进一步减少。
default-cost value 用于stub 区,在abr上配置,指发送到stub区缺省的路由开销费用。
stub区域内不能有aSBr,不能用import-route重分发路由。
ospf network-type (broadcast|nbma|p2mp|p2p)
当链路层是PPP,HDLC封装时,用P2P,frame-relay\x.25时,是nbma,点到多点时,要修改为p2tp.
debuging ospf{event|packet[ack|dd|hello|request|update]|isa|spf}
default import-route cost 引入外部路由的缺省值
default import-route type 1/2 类似于CISCO e1/e2,
dis ospf area/error/database/
display ospf ase 外部路由显示
dis ospf interface
copy xmodem: flash:c3500
网络存储与小型机与网络设备是我今后的发展目标。
HP,EMC,IBM,VERITAS,
dns:外设备,与服务器直接
nas:与服务器独立有IP,但扩展几台后,文件系统不能直接相连,
sun:光纤FC+SUN,速度快,以数据存储为中心,面向网络的存储结构,采用可扩展的网络拓扑结构连接服务器和存储设备,并将数据的存储和管理集中在相对 独立的专用网络中,面向服务器提供数据存储服务。
ip sun新技术,把NAS的IP与SUN的FC,10公里异地备份。
iSICI:是一种在INTERNET协议网络上,是以太网上进行数据块(BLOCK)传输的标准,是一个供硬件设备使用的可以在IP协议上层运行的SCSI指令集,它可以实现在IP网络上运行SCSI协议,使其能够在以太网上进行路由选择。
ILM(imformation lifecycle Management)生命周期管理,即对信息的产生,使用到消亡这样的一个完整的生命过程进行有效管理 ,使用不同成本的存储器来保存不同类型的信息。HP,IBM,VERITAS提出 了自己的ILM。
中小型企业smb ,SUN,EMC
线路保证 1,主从备份:如广域网通过拔号线来做备份,负载分担:用几条链路做CHANNAL GROUP
区域划分
身份验证:路由器有4种 telnet\ consal\snmp\modem 远程配置
访问控制:分级保护,不能级别的用户,拥有不同的操作权限
五元素是指:源IP,目标IP,协议号,原端口号,目标端口号
信息隐藏:NAT
数据加密和防伪:技术:数据加密,以防止传输不可避免地被侦听
防伪:数字签名,报文在传输过程中被获取,修改,再传,接受端进行识别,丢弃被修改的部分。
IPSEC
Ip 路由策略与引入
作用:
1, 过滤路由信息的手段,
2, 发布路由信息时只发送部分信息
3, 接收路由信息时只接收部分信息
4, 进行路由引入时引入满足特定的条件的信息支持等值路由
5, 设置路由协议引入的路由属性
和策略相关的五种过滤器
路由策略(routing policy)
访问列表(access_list)
前缀列表(prefix-list)
一个prefix-list由列表名标识可能分为几个部分,由序列号指定这几个部分的匹配顺序,在每个部分中,用户可以独立指定一个网络的前缀形式的匹配范围。在匹配过程中,不同的序列的各个部分之间的关系是或。路由信息集资匹配各个部分,通过其中的某一部分,就意味着通过该prefix-list的过滤。
自治系统路径访问列表(aspath-list)
仅用于BGP。
团体属性列表(community-list)
网络中存在的几种攻击:
报文分析
IP地址欺骗
端口扫描
拒绝服务
分布式拒绝服务 distribute deny of service (DDOS)
应用层攻击:如木马等
AAA 验证,受权,记帐,它是基于用户名和密码的,而包过滤的防火墙ACL是基于IP的特征的
主要用于用户拔号,进行验证,受权,记费
IPSEC/IKE
IPSEC:(IP SECURITY),是一组开放的协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在INTERNET网上传输时的私有性,完整性和真实性。通过AH,ESP这两个安全协议来实现。
IKE:internat 密钥交换协议,用于通信双方协商和建立安全联盟,交换 。IKE定义了通信双方进行身份认证,协商加密算法以及生成共享的会话密钥的方法。
AAA服务器与网络设备之间是走的radius 协议
提供AAA支持的服务:PPP,EXEC,FTP //pix为http,ftp,telnet时验证。
验证:用户名、口令。包PPP的PAP、CHAP,EXEC用户验证,FTP用户验证。
50user 以下在本地路由器上建立数据库,超过50个,在radius上建立。
quidway# aaa enalbe
quidway# aaa authentication-scheme login default radius local
# aaa accounting-scheme optional
serial0# ppp authentication-mode pap scheme default
radius server 129.7.66.68
radius server 129.7.66.66 accouting-port 0 备份计费服务器
radius server 129.7.66.67 authentication-port 0 备份验证服务器。
radius shared-key this-is-my-secret
radius retry 2
radius timer response-timeout 5
与RADISU服务器的共享密钥为this-is-my-secret 最大重传次数为2,间隔5秒。
首先由各种服务(ppp,ftp,exec)得到用户的信息,送给AAA验证,如果通过,连同验证信息与授权信息给路由器,由路由器提供相应的服务给用户,同时RADIUS开始计费
display aaa
debug radius primitive 原始,观察AAA的请求与结果
debug radius event
aaa server/client 路由器为client
AAA是UDP 1812为验证端口,1813为计费端口
作为安全协议,RADIUS自身的安全性也有一定的考虑,客户端与服务端有共享密钥,通过MD5算法对包进行数字签名,验证签名的正确性可以防止网络上其他主机冒充路由器或者RADIUS服务器,用户口令也加密
gre: 实际上是种承载协议,它提供了一种协议的报文封装在另一种协议报文中的机制,使报文能在异种网络中传输,异种报文传输的通道称为tunnel.
GRE的协议号是47,系统收到一个需要封装和路由的数据报文后,我们称为有效负载,首先被GRE封装然后被称为GRE报文,这个报文接着被封装在IP报文中,然后完全由IP层负责此报文的转发(FORWARDING)。
IP/IPX是乘客协议 IP是运输协议,GRE是封装协议。
链路层
IP
GRE
IP/IPX
Payload
配置命令:
interface tunnel number
tunnel0: source ip 真实的接口地址
tunnel0:destination ip 真实的对方接口对址。
tunnel0: ip add 虚拟的IP
调试命令:display tunnel 0
IPSEC/IKE
IPSEC:(IP SECURITY),是一组开放的协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在INTERNET网上传输时的私有性,完整性和真实性。通过AH,ESP这两个安全协议来实现。ESP:50和AH:51
AH:提供数据源验证和数据完整性验证
ESP:除数据源验证和数据完整性验证,还有加密功能。
IPSEC:有tunnel 和transport。在Tunnel方式上,用户的整个IP数据包被用来计算AH和ESP头,AH或ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层数据被用来计算AH和ESP头,AH或ESP和被加密的传输层数据被旋转在源IP包头后面。
AH:报文验证头协议,主要提供的功能有数据源验证和数据完整性和防重放,算法有MD5,SHA1。AH插入标准的IP包头后面,采用hash算法来对数据包进行保护。
ESP:报文安全封装协议,将需要保护的的用户数据进行加密后再封装到标准的IP包中,可选的加密算法有DES,3DES。
IKE:internat 密钥交换协议,用于通信双方协商和建立安全联盟,交换 。IKE定义了通信双方进行身份认证,协商加密算法以及生成共享的会话密钥的方法。
数据流:
安全联盟(SA):对数据流提供的安全服务通过安全联盟SA来实现,它包括协议,算法,密钥等内容,具体确定了如何对IP报文进行处理。一个SA就是两个IPSEC系统之间的一个单向逻辑连接。输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理。安全联盟由一个三元组(安全参数索引SPI、IP目的地址、安全协议号(AH或ESP)来唯一标识。安全联盟可以通过手工配置和自动协商)。手工是指在通过两端的手工配置一些参数,在两端参数匹配和协商通过后建立安全联盟。自动协商是通过IKE生成和维护。
SPI:安全参数索引
是一个32位的比物的数值,在每个IPSEC报文中都携带该值。SPI,IP目的地址、安全协议号三者结合起来,当IKE自动协商时,SPI值会随机产生。
共同构成三元组。
安全联盟生存时间(LIFE TIME)
以时间进行限制或以流量进行限制(每传输一定的字节数量的信息进行更新)两种
安全策略:(crypto map)
由用户手工配置,规定对什么样的数据流采用什么样的安全的安全措施。
安全提议(Transform Mode)转换方式
IKE:英特网密钥交换协议,是IPSEC的信令协议。为IPSEC提供了自动的SA协商和管理,大大减化了IPSEC的配置和维护工作。IKE不是在网络上直接传输密钥,而是通过一系列的数据交换,最终计算出双方共享的密钥,并且第三方截获,也不足已计算出真正的密钥,IKE具有一套自保机制,可以在不安全的网络上安全地分发密钥,验证身份。
数据验证有两个方面的概念:
1, 保证数据的完整性
2, 身份保护,身份验证确认通信双方的身份。身份数据在密钥产生之后加密传送。实现了对身份数据的保护。
DH交换与密钥分发:
是一种公共的密钥算法。通信双方在不发送密钥的情况下通过一些数据,计算出共享密钥。
IKE的交换过程:
SA交换、密钥交换、身份ID交换及验证三个过程。IKE两个阶段,第一阶段为建立IKE SA,主模式。
第二阶段为快速模式,在IKE SA的保护下完成 IPSEC的协商。
IPSEC的配置命令:
1, 创建加密的访问控制列表
2, 定义安全提议Quidway] ipsec proposal name
quidway-ike-proposal-10]encryption-algorithm[des-3des]加密
quidway-ike-proposal-10]authentication-method[pre-share]
quidway-ike-proposal-10]authentication-algorithm[md5/sha]选择算法
quidway-ike-proposal-10]dh{group1\group2}
quidway-ike-proposal-10]sa duration seconds
quidway] ike pre-shared-key remote remote-address
quidway] ike sa keepalive-timer [interval\timeout] seconds
3, 定义安全协议Quidway-crypto-transform-trans
封装模式:encapsulation-mode transport/tunnel
选择安全协议: transform {ah-new | esp-new| ah-esp-new}
ah-new authentication-algorithm{md5-hmac-96|sha1-hmac-96}
esp-new authentication-algorithm {md5-hmac-96| sha1-hmac-96}
esp-new encryption-algorithm {3des|des…..}
4,创建安全策略
ipsec policy name sequence-number [manual|isakmp]
quidway-ipsec-policy-policy1-10] security acl access-list-number 引用访问控制列表
tunnel remote add
proposal proposal1(2,3,4) 引用安全提议
5,在接口上应用
quidway-serial0] ipsec policy policy-name
QOS:服务质量
目标:避免并管理IP网络拥塞
减少IP报文的丢失率
调控IP网络的流量
为特定的用户或特定的业务提供专用带宽
支撑IP网络上的实时业务
BEST-EFFORT-service (尽力而为服务模型):主要实现技术FIFO
Intergrate service(综合服务模型)业务能过信令向网络申请特定的QOS服务,网络在流量参数描述的范围内,预留资源以承诺满足该请求。
Differentiated service (区分服务模型):当网络出现拥塞时,根据业务的不同服务等级约定,有差别地进行流量控制和转发来解决拥塞问题。
RSVP:是第一个标准的QOS信令协议,它动态地建立端到端的QOS,它允许应用程序动态地申请网络带宽等。RSVP不是一个路由协议,而是按照路由协议规定的报文流的路径为报文申请预留资源,当路径变了后,它会按照新路由进行调整,并在新的路径上申请预留资源。RSVP只是在网络的节点之间传递QOS请求,本身不完成这些QOS要求实现,而是通过其他的技术如:WFQ.网络节点收到请求后,比较资源请求和网络现有的资源,确定是否接受。可以对每个资源请求设置不同的优先级。这样,当优先级较高的资源请求可以在网络资源不够的情况下,抢占低优先级的预留资源。
RSVP的缺点:
要求端到端所有设备支持这协议
网络单元为每个应用保存状态信息,可扩展性差
周期性同想念单元交换状态信息,协议报文开销大。
不适合在大型网络中应用。
DiffServ:首先,在网络的边缘进行不同的业务分类,打上不同的QOS标记(着色)。分类的依据可以是报文带的四层,三层,三层的信息,如源IP,目IP,源MAC,目MAC,TCP或UTP端口号等。然后在网络内部,根据着色的结果在每一跳进行相应的处理。
DifferServ:有以下几种技术实现:
CAR:根据报文所带的信息进行分类,并利用Precedence:(TOS的高3位最多分为8类或)DSCP(TOS的高6位)进行着色,CAR同时也完成流量的度量和监管。
GTS:对通过网络节点,指定的业务或所有业务进行流量整形,合其符合期望的流量指标。
队列机制:通过FIFO,PQ,CQ,WFQ等队列技术,在网络拥塞时进行拥塞管理,对不同业务的报文按用户指定的策略进行调度。
拥塞避免:WRED,对网络拥塞情况进行预测,并在此基础上采用随机丢弃部TCP报文的方式。
一般,在网络边界,对报文进行着色,在网络内部则简单的使用着色的结果作为对列调度、流量整形等处理的依据。
CAR(committed access rate):约定访问速率
CAR用令牌桶算法,对流量进行控制。当CAR用来作流量监管时,一般配置为:conform的报文进行发送,对EXCEED的报文进行丢弃。
命令:
qos carl carl-index {precedence precedence-value| mac mac-address}
qos car {inbound\outbound}{any\acl acl-index\carl aarl-index} cir eonnitted-rate cbs burst-size ebs exceess-burst-size conform action exceed action
acl:匹配访问列表的报文
carl:匹配承诺访问速率列表的报文。
Cir :正常的流量,在8k-155Mbps
Ebs: 所允许的突发数据块的大小,取0-155m 单位为bits.
Conform Action:对符合流量约定的数据报文,可采取:
Continue
Discard:
Remark-prec-continue xxxxx为数据报文重设优先级后,交由下条QOS CAR命令处理。
Remark-prec-pass xxxxx 为数据报文重设优先级后,直接发送。
Pass 直接发送。
Exceed action 指示当数据流量不符合流量约定时,对数据报文采取动作。注意:在一接口上(inbound或outbound)共可应用100条car策略。应用策略前,先禁止快速转发功能。
实例:
quidway] qos carl 1 precedence 3
qos carl 2 precedence 5
quidway-ethernet0] qos car inbound any cir 800000 cbs 150000 ebs 0 conform remark prec-continue 5 execeed discard
quidway-serial1] qos car inbound any cir 800000 cbs 150000 ebs 0 conformremark-pree continue 3 exceed discard
quidway-serial0] qos car outbound carl1 cir 800000 cbs 150000 ebs 0 conform pass exceed discard
quidway-serial] qos car outbound carl 2 cir 800000 cbs 150000 ebs 0 conform pass exceed discard
GTS配置命令:
为某一类别流配置整形参数
qos gts acl acl-index cir committed-rate [cbs burst-size[ebs excess-burst-size][队列长度]]
为所有的流配置整形参数
qos gts any cir committed-rate [cbs burst-size[ebs excess-burst-size[队列参数]]]
其中queue length 的默认长度为50
LR物理接口限速(line rate,LR)
在一个物理接口上,限制接口发送报文的总速率(对全部的流量,而GTS,CAR只适合于IP包。)
LR的配置命令:
Qos LR cir committed-rate [cbs burst-size[ebs excess burst-size]]
缺省地,burst-size是committed的两倍
当网络出现堵塞时,用到队列来实现。FIFO、PQ、CQ、WFQ
priority queueing优先级队列:
实例:
quidway]acl 1
quidway-acl-1] rule permit ip source 10.0.0.0 0.255.255.255
quidway] qos pql 1 protocol ip acl 1 queue top
quidway] qos pql 1 inbound-interface serial 1 queue bottom
quidway] qos pql 1 default-queue middle
quidway] qos pql 1 queue top queue-length 10
// 定义队列的长度为:top 20
middle 40
normal 60
bottom 80
quidway-serial0] qos pq pql 1
缺点,PQ当较高的优先级的报文绝对的优先权,这样虽然可以保证关键业务的优先,但在较高优先级的报文的速度总是大于接口的速度时,将会使较低优先级的报文始终得不到发送的机会,采用CQ,定制队列,用户可配置队列占用的带宽比例关系,根据优先级高低,轮询调度。将可以避免这种情况的发生。CQ可以将报文分类,然后按类别将报文被分配到CQ的一个队列中去,对每个队列,可以规定队列中的报文应占接口带宽的比例,这样就可以让不同业务报文获得合理的带宽,从而保证关键业务,也不到于使非关键业务得不到带宽。
取值范围为0-16,系统为0,缺省队列号为16。
定义好的队列组需要应用在接口上。一个接口上只能应用一个队列组,一个队列组可以应用于多个接口上。
实例:
quidway]acl 1
] rule permit ip source 10.10.0.0 0.0.255.255
quidway] qos cql 1 protocol ip acl 1 queue 1 //访问控制列表1定义的报文入CQ组1队列1。
quidway] qos cql 1 queue 1 queue-length 100 //队列1的长度为100
queue-serving 5000 //队列1的每次轮询发送的字节数为5000。
Quidway] qos cql 1 intbound-interface serial 1 queue 2//将从接口S1进入的报文入CQ组1队列2
Qos cql 1 queue 2 queue-length 90
Quidway-serial0] qos cq cql 1// 将CQ组1应用到串口上。
WFQ :weigth fair queue 加权公平队列
原理:在保证公平(带宽,延迟)的基础上体现权值,权值大小依赖IP报中带的IP优先级(precedence).WFQ 对报文按流进行分类,即相同的五个元素为一个流),每个流被分配到一个队列当中,过程称为散列,入队过程采用HASH算法自动完成,出去时,WFQ按流的优先级来分配每个流占有的不同的带宽。
命令:qos wfq queue-length 64(缺省地一个队列数据包最大数) queue number 512(一共加起来的个包)
当队列中同时丢弃多个TCP连接的报文时,将造成多个TCP连接同时进入慢启动和拥塞避免,称之为:TCP全局同步。
RED(random early detection)随机早期检测
WRED(Weighted random early detection)加权的随机早期检测。
WRED:
1, 采用随机丢弃的策略,避免了尾部丢弃的方式而引起TCP全局同步
2, 根据当前队列的浓度来预测拥塞的情况
3, 根据优先级定义不同的丢弃策略,定义上限阀值和下限阀值。
4, 相同的优先级不同的队列,队列长度越长丢弃概率越高。
一般地,WRED与WFQ一起用,
实例:
quidway-serial0] qos wfq//在接口上使用WFQ队列策略
quidway—serial0] qos wred //使用默认的WRED参数。
QOS信息的监控与维护:
Display qos[car\qts\lr\cq\pq\wfq\wred] [interface type number] //接口的QOS配置和统计信息。
Dis qos [cql\pql]//显示PQ与CQ的队列列表内容。
交换部分:
生成树协议:
首先各端口收到的配置消息和自己的配置消息做比较,得到优先级高的配置,并更改本身的配置消息,主要工作有:
1, 选择根网桥ROOTID:最优配置消息ROOTID,,
2, 计算到根网桥的路径最短开销值:如果自己不是根网桥,则开销值rootpathcost等于所收到的最优配置消息的开销值与收到该配置消息的端口开销之和
3, 选择根端口ROOTPORT:如果自己是根桥,则根端口为0,否则一般为收到最优配置消息的那个端口。
4, 指定端口:除了根端口外的其他生成树上处于转发状态的端口
5, 最后,修改了自己的BPDU后,该网桥从指定端口将自己的配置消息发送出去。
如果网桥端口来
hello time 网桥从指定端口以HELLO TIME为周期定时发送配置消息
message age \ max age 端口保存的配置消息有一个生存期message age字段,并按时间递增,每当收到一个生存期比自己小的配置消息时,则更新自己的配置消息,当一段时间未收任何配置消息,达到max age时,网桥认为该端口处于链路故障,进行故障处理。该网桥将抛弃这个过时的配置消息,重新计算生成树。
什么时候阻塞的端口接收转发的数据,(不包括STP协议报文),直到新的情况发生触发生成树的重新计算,比如另外一条链路断开,或端口收到更新的配置消息。