snmp-server community pubic ro
snmp-server community private ro
snmp-server 交換機的標識號����,可通過命令查到����。
snmp-server 管理平臺的IP
3550等系列密碼破除>>>>
開機按交換機前面板的mode鍵
輸入flash_init進行初始化
輸入del flash:config.text刪除配置
輸入boot重新啟動,可破除密碼>>
自己做的NAT,調試成功了���,呵呵
[Router]dis nat trans
**Total 3 NAT items, 3 in hash list, 0 in extended-list
Pro GlobalAddr GlobalPort InsideAddr InsidePort DestAddr DestPort
6 192.168.34.50 12420 10.0.0.2 1473 207.46.108.89 1863
17 192.168.34.50 12432 10.0.0.2 4004 202.104.129.2528000
6 192.168.34.50 12464 10.0.0.2 1468 207.46.107.99 1863
[Router]dis cur
Now create configuration...
Current configuration
!
version 1.74
local-user cisco service-type ppp password simple cisco
local-user lover service-type administrator password simple cisco
nat address-group 192.168.34.50 192.168.34.51 1
firewall enable
aaa-enable
aaa accounting-scheme optional //如果從AAA服務器過來的得不到正確的計費應答時,仍然讓用戶訪問網絡�����。
!
acl 10 match-order config
rule normal permit source any
!
interface Aux0
async mode flow
link-protocol ppp
!
interface Ethernet0
ip address 192.168.34.51 255.255.255.0
nat outbound 10 address-group 1
!
interface Ethernet1
ip address 10.0.0.1 255.0.0.0
!
interface Serial0
link-protocol ppp
!
interface Serial1
link-protocol ppp
!
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.34.1 preference 60
!
return
華為的學習手冊筆記
interface 進接口或子接口,undo interface s0.1 刪除子接口
reset interface counters interface
缺省情況下����,以太網的IP包是支持enternet 2型�,
speed 10/100/negotiation
deplex full/half
bandrate /bandwidth思科 同步接口是默認64000bps�����,異步為9600bps
clock
默認情況下��,serial口是Dceclk,即向DTE提供時鐘,恢復為Dteclk1/2/3/4
flow control(software/handware/none)[inbond/outbond]
loopback在接口上設內自環
interface s0#loopback
physical-mode(sync/async) 設置同異步串口
controler e1
channel set (邏輯接口編號1-30) timesolt range (0-31)
(router-e1-0)frame-format crc4/no crc4設置ce1/pri 四位冗余較驗位
router-e1-0#loopback在邏輯口上設對內自環及對外的回波,協議狀態為down屬于正常�,用于檢測鏈路及接口的狀態
ppp MP
link-protocal ppp
ppp authenatication-mode (chap/pap)
ppp pap password xxxx
display pppoe-client session
isdn :
display isdn active-channel
PPTP是拔廣域網廣口���。
L2TP enable //在路由器上啟用VPDN
allow l2tp virtal-templete (templete number) [remote remote-name]
display l2tp session/tunnel
華為支持L2TP�,思科支持PPTP、L2TP����,
L2TP match-order {dnis-domain} //先根據被叫號碼進行L2TP組查找�,然后再根據域名組進行查找
l2tp session-limit 1000 設置最大的會話數
l2tp-group group-number 用來創建l2tP組。
例:
router# l2tp-group 1
router-l2tp1# mandatory-chap //強制用chap 來驗證client身份�����。
start l2tp{ip /對端ip}{domain-name}{dnis/電話號碼}{fullname/全名}
tunnel authentication 啟用l2tp隧道驗證
tunnel password
tunnel name
gre
interface tunnel 0
router-tunnel0 source ip
router-tunnel0 destination ip
gre checksum //加校驗核 允許校驗核���。默認關
gre key key-number
gre sequence-datagrams 數據報需要序列號同步
IP網絡層
ip address ppp-negotiate命令用來允許ip協商,當在對端路由器上配置remote IP����,使得本端得到ip,g 一般用在ISP提供動態IP。
ip address unnummbered
封裝了PPP�����,HDLC���,FRAMERELAY���,tunnel的口可以借其他以太口的IP
example :interface s0
ip add unnumbered
interface s1
ip add ppp-negotiate
用來配置可以用借其他的接口的IP���。封裝了PPP�����,HDLC��,FRAMERELAY���,SLIPC以及tunnel端口
router-s0# remote address 10.0.0.1給對端配置IP
router-e0# vlan-type dot1q vid 1 指定端口加入VLAN 1
dhcp enable
dhcp server ip-pool pool-name
dhcp server forbidden-ip low-ip high-ip
network 192.168.1.0 255.255.255.0 dhpc地址池0的地址間
gateway-list 網關
dns-list DNS的設置
domain-name mydomainname.com 表示分配給客戶端的后綴域名
dis dhcp server static
display dhcp server expired 顯示未用的IP
display dhcp server ip-in-use 顯示已用的IP
disp dhcp server tree
reset dhcp
router-dhcp0# domain-name mydomain.com.cn
把ip與mac進行綁定。
# static-bind ip-address 10.1.1.1 mask 255.255.255.0
# static-bind mac-address 00-00-0e-3f-03-05
router acl 101
router-acl-1#rule permit source
interface e0# nat outbound 101 interface
或者:
nat address-group x.x.x.x-x.x.x.x abc
interface s0# nat outbound 101 address-group abc
增加訪問控制列表與接口的關聯。
Interface e0
做基于端口的PAT�,把內網的IP關聯到外網IP的一個端口上面>>>>>>>
[Router-Serial0]nat server global 192.168.0.4 inside 10.0.0.2 ftp tcp
userlog nat(flow-begin) (acl編號)
缺省時關閉的���,可以打開日志
info-center enable
info-center console 向控制口送
userlog nat
info morinitor
info syslog
static-route reference 60 默認的優先級為60
vpdn(虛擬私有拔號網)
中小型企業����,利用PSTN��,ISDN�,拔號入網���,為移動辦公人員�,提供接入服務�。VPDN隧道協議分為PPTP����,L2F���,L2TP�。
LAC:L2TP ACCESS CONCENTRATOR // L2TP訪問集中器。
LNS:L2TP NETWORK SERVER // L2TP網絡服務器����。
L2TP排故的步驟:
1�、 檢查LAC與LNS的互通性
2���、 檢查VPDN用戶能否通過LAC端的驗證
3�����、 檢查LAC端是否發起L2TP隧道連接
4、 檢查LNS是否接收到連接
5�����、 檢查LNS端的用戶路由信息�。
ospf
幾種類型:
Router-LSA 由每個路由器生成�����,描述了路由器的鏈路狀態和花費����,傳遞到整個區域 type=1
Network-LSA�,由DR生成��,描述了本網段的鏈路狀態�,傳遞到整個區域 type=2
Net-Summary-LSA,由ABR生成�,描述了到區域內某一網段的路由,傳遞到相關區域 type=3
Asbr-Summary-LSA�,由ABR生成���,描述了到ASBR的路由,傳遞到相關區域 type=4
AS-External-LSA����,由ASBR生成,描述了到AS外部的路由���,傳遞到整個AS(STUB區域除外) type=5
樹型結構�,不會產生環路�。
只有在廣播和NBMA時要選舉DR,BDR,其它的時候不需要�����。
import-route protocal (cost|type|tag|route-policy ) 目前direct ,static,rip,is-is, bgp
abr-summary ip-add mask mask-ip area id 定義聚合網段�����,缺省情況下,不對其匯總聚合,而且只有在ABR上進行其匯總�。
vlink-peer router-id {hello|...}在兩臺ABR之間指定
stub區的配置:
stub{no-summary}
如果某個區被規劃成stub區域��,所有區內的路由器都要配���,no-summary參數所,在abr上區域間的summary 第三種類型通告將被過濾�����,路由進一步減少�����。
default-cost value 用于stub 區��,在abr上配置�,指發送到stub區缺省的路由開銷費用。
stub區域內不能有aSBr,不能用import-route重分發路由��。
ospf network-type (broadcast|nbma|p2mp|p2p)
當鏈路層是PPP���,HDLC封裝時�����,用P2P�����,frame-relay/x.25時���,是nbma,點到多點時����,要修改為p2tp.
debuging ospf{event|packet[ack|dd|hello|request|update]|isa|spf}
default import-route cost 引入外部路由的缺省值
default import-route type 1/2 類似于CISCO e1/e2,
dis ospf area/error/database/
display ospf ase 外部路由顯示
dis ospf interface
copy xmodem: flash:c3500
網絡存儲與小型機與網絡設備是我今后的發展目標���。
HP����,EMC��,IBM���,VERITAS�,
dns:外設備���,與服務器直接
nas:與服務器獨立有IP,但擴展幾臺后�,文件系統不能直接相連�,
sun:光纖FC+SUN���,速度快�,以數據存儲為中心����,面向網絡的存儲結構,采用可擴展的網絡拓撲結構連接服務器和存儲設備��,并將數據的存儲和管理集中在相對 獨立的專用網絡中�����,面向服務器提供數據存儲服務��。
ip sun新技術,把NAS的IP與SUN的FC�,10公里異地備份。
iSICI:是一種在INTERNET協議網絡上����,是以太網上進行數據塊(BLOCK)傳輸的標準,是一個供硬件設備使用的可以在IP協議上層運行的SCSI指令集����,它可以實現在IP網絡上運行SCSI協議��,使其能夠在以太網上進行路由選擇����。
ILM(imformation lifecycle Management)生命周期管理,即對信息的產生,使用到消亡這樣的一個完整的生命過程進行有效管理 ����,使用不同成本的存儲器來保存不同類型的信息���。HP,IBM,VERITAS提出 了自己的ILM�。
中小型企業smb ,SUN,EMC
線路保證 1���,主從備份:如廣域網通過拔號線來做備份�,負載分擔:用幾條鏈路做CHANNAL GROUP
區域劃分
身份驗證:路由器有4種 telnet/ consal/snmp/modem 遠程配置
訪問控制:分級保護��,不能級別的用戶,擁有不同的操作權限
五元素是指:源IP,目標IP��,協議號,原端口號,目標端口號
信息隱藏:NAT
數據加密和防偽:技術:數據加密�,以防止傳輸不可避免地被偵聽
防偽:數字簽名���,報文在傳輸過程中被獲取,修改���,再傳�,接受端進行識別���,丟棄被修改的部分。
IPSEC
Ip 路由策略與引入
作用:
1�����, 過濾路由信息的手段�,
2, 發布路由信息時只發送部分信息
3����, 接收路由信息時只接收部分信息
4���, 進行路由引入時引入滿足特定的條件的信息支持等值路由
5�����, 設置路由協議引入的路由屬性
和策略相關的五種過濾器
路由策略(routing policy)
訪問列表(access_list)
前綴列表(prefix-list)
一個prefix-list由列表名標識可能分為幾個部分���,由序列號指定這幾個部分的匹配順序���,在每個部分中���,用戶可以獨立指定一個網絡的前綴形式的匹配范圍。在匹配過程中��,不同的序列的各個部分之間的關系是或�。路由信息集資匹配各個部分�,通過其中的某一部分,就意味著通過該prefix-list的過濾�����。
自治系統路徑訪問列表(aspath-list)
僅用于BGP����。
團體屬性列表(community-list)
網絡中存在的幾種攻擊:
報文分析
IP地址欺騙
端口掃描
拒絕服務
分布式拒絕服務 distribute deny of service (DDOS)
應用層攻擊:如木馬等
AAA 驗證�����,受權�,記帳��,它是基于用戶名和密碼的���,而包過濾的防火墻ACL是基于IP的特征的
主要用于用戶拔號�,進行驗證�����,受權�,記費
IPSEC/IKE
IPSEC:(IP SECURITY)�����,是一組開放的協議的總稱�����,特定的通信方之間在IP層通過加密與數據源驗證,以保證數據包在INTERNET網上傳輸時的私有性�,完整性和真實性。通過AH��,ESP這兩個安全協議來實現����。
IKE:internat 密鑰交換協議���,用于通信雙方協商和建立安全聯盟�,交換 ����。IKE定義了通信雙方進行身份認證�����,協商加密算法以及生成共享的會話密鑰的方法�。
AAA服務器與網絡設備之間是走的radius 協議
提供AAA支持的服務:PPP�����,EXEC���,FTP //pix為http,ftp,telnet時驗證。
驗證:用戶名、口令����。包PPP的PAP���、CHAP����,EXEC用戶驗證���,FTP用戶驗證。
50user 以下在本地路由器上建立數據庫�,超過50個�,在radius上建立。
quidway# aaa enalbe
quidway# aaa authentication-scheme login default radius local
# aaa accounting-scheme optional
serial0# ppp authentication-mode pap scheme default
radius server 129.7.66.68
radius server 129.7.66.66 accouting-port 0 備份計費服務器
radius server 129.7.66.67 authentication-port 0 備份驗證服務器�����。
radius shared-key this-is-my-secret
radius retry 2
radius timer response-timeout 5
與RADISU服務器的共享密鑰為this-is-my-secret 最大重傳次數為2�����,間隔5秒�。
首先由各種服務(ppp,ftp,exec)得到用戶的信息,送給AAA驗證�,如果通過,連同驗證信息與授權信息給路由器�����,由路由器提供相應的服務給用戶,同時RADIUS開始計費
display aaa
debug radius primitive 原始�,觀察AAA的請求與結果
debug radius event
aaa server/client 路由器為client
AAA是UDP 1812為驗證端口�����,1813為計費端口
作為安全協議����,RADIUS自身的安全性也有一定的考慮�����,客戶端與服務端有共享密鑰,通過MD5算法對包進行數字簽名,驗證簽名的正確性可以防止網絡上其他主機冒充路由器或者RADIUS服務器��,用戶口令也加密
gre: 實際上是種承載協議,它提供了一種協議的報文封裝在另一種協議報文中的機制�����,使報文能在異種網絡中傳輸�,異種報文傳輸的通道稱為tunnel.
GRE的協議號是47�����,系統收到一個需要封裝和路由的數據報文后,我們稱為有效負載���,首先被GRE封裝然后被稱為GRE報文��,這個報文接著被封裝在IP報文中���,然后完全由IP層負責此報文的轉發(FORWARDING)。
IP/IPX是乘客協議 IP是運輸協議�,GRE是封裝協議。
鏈路層
IP
GRE
IP/IPX
Payload
配置命令:
interface tunnel number
tunnel0: source ip 真實的接口地址
tunnel0:destination ip 真實的對方接口對址����。
tunnel0: ip add 虛擬的IP
調試命令:display tunnel 0
IPSEC/IKE
IPSEC:(IP SECURITY),是一組開放的協議的總稱�����,特定的通信方之間在IP層通過加密與數據源驗證��,以保證數據包在INTERNET網上傳輸時的私有性���,完整性和真實性���。通過AH,ESP這兩個安全協議來實現���。ESP:50和AH:51
AH:提供數據源驗證和數據完整性驗證
ESP:除數據源驗證和數據完整性驗證�����,還有加密功能�。
IPSEC:有tunnel 和transport。在Tunnel方式上���,用戶的整個IP數據包被用來計算AH和ESP頭,AH或ESP頭和加密用戶數據被封裝在一個新的IP數據包中�����;在傳送方式中�,只是傳輸層數據被用來計算AH和ESP頭,AH或ESP和被加密的傳輸層數據被旋轉在源IP包頭后面����。
AH:報文驗證頭協議,主要提供的功能有數據源驗證和數據完整性和防重放����,算法有MD5��,SHA1��。AH插入標準的IP包頭后面,采用hash算法來對數據包進行保護���。
ESP:報文安全封裝協議����,將需要保護的的用戶數據進行加密后再封裝到標準的IP包中�����,可選的加密算法有DES�,3DES���。
IKE:internat 密鑰交換協議��,用于通信雙方協商和建立安全聯盟�����,交換 �����。IKE定義了通信雙方進行身份認證,協商加密算法以及生成共享的會話密鑰的方法�。
數據流:
安全聯盟(SA):對數據流提供的安全服務通過安全聯盟SA來實現��,它包括協議�,算法�,密鑰等內容�����,具體確定了如何對IP報文進行處理。一個SA就是兩個IPSEC系統之間的一個單向邏輯連接�����。輸入數據流和輸出數據流由輸入安全聯盟與輸出安全聯盟分別處理��。安全聯盟由一個三元組(安全參數索引SPI��、IP目的地址�����、安全協議號(AH或ESP)來唯一標識。安全聯盟可以通過手工配置和自動協商)����。手工是指在通過兩端的手工配置一些參數,在兩端參數匹配和協商通過后建立安全聯盟��。自動協商是通過IKE生成和維護����。
SPI:安全參數索引
是一個32位的比物的數值,在每個IPSEC報文中都攜帶該值�����。SPI���,IP目的地址��、安全協議號三者結合起來,當IKE自動協商時,SPI值會隨機產生�。
共同構成三元組�����。
安全聯盟生存時間(LIFE TIME)
以時間進行限制或以流量進行限制(每傳輸一定的字節數量的信息進行更新)兩種
安全策略:(crypto map)
由用戶手工配置�����,規定對什么樣的數據流采用什么樣的安全的安全措施��。
安全提議(Transform Mode)轉換方式
IKE:英特網密鑰交換協議�,是IPSEC的信令協議�����。為IPSEC提供了自動的SA協商和管理���,大大減化了IPSEC的配置和維護工作。IKE不是在網絡上直接傳輸密鑰���,而是通過一系列的數據交換�,最終計算出雙方共享的密鑰�����,并且第三方截獲�����,也不足已計算出真正的密鑰��,IKE具有一套自保機制�����,可以在不安全的網絡上安全地分發密鑰��,驗證身份��。
數據驗證有兩個方面的概念:
1�, 保證數據的完整性
2����, 身份保護,身份驗證確認通信雙方的身份���。身份數據在密鑰產生之后加密傳送�����。實現了對身份數據的保護�����。
DH交換與密鑰分發:
是一種公共的密鑰算法���。通信雙方在不發送密鑰的情況下通過一些數據����,計算出共享密鑰�。
IKE的交換過程:
SA交換、密鑰交換�、身份ID交換及驗證三個過程��。IKE兩個階段�����,第一階段為建立IKE SA�����,主模式���。
第二階段為快速模式��,在IKE SA的保護下完成 IPSEC的協商�。
IPSEC的配置命令:
1�����, 創建加密的訪問控制列表
2�, 定義安全提議Quidway] ipsec proposal name
quidway-ike-proposal-10]encryption-algorithm[des-3des]加密
quidway-ike-proposal-10]authentication-method[pre-share]
quidway-ike-proposal-10]authentication-algorithm[md5/sha]選擇算法
quidway-ike-proposal-10]dh{group1/group2}
quidway-ike-proposal-10]sa duration seconds
quidway] ike pre-shared-key remote remote-address
quidway] ike sa keepalive-timer [interval/timeout] seconds
3���, 定義安全協議Quidway-crypto-transform-trans
封裝模式:encapsulation-mode transport/tunnel
選擇安全協議: transform {ah-new | esp-new| ah-esp-new}
ah-new authentication-algorithm{md5-hmac-96|sha1-hmac-96}
esp-new authentication-algorithm {md5-hmac-96| sha1-hmac-96}
esp-new encryption-algorithm {3des|des…..}
4,創建安全策略
ipsec policy name sequence-number [manual|isakmp]
quidway-ipsec-policy-policy1-10] security acl access-list-number 引用訪問控制列表
tunnel remote add
proposal proposal1(2,3,4) 引用安全提議
5,在接口上應用
quidway-serial0] ipsec policy policy-name
QOS:服務質量
目標:避免并管理IP網絡擁塞
減少IP報文的丟失率
調控IP網絡的流量
為特定的用戶或特定的業務提供專用帶寬
支撐IP網絡上的實時業務
BEST-EFFORT-service (盡力而為服務模型):主要實現技術FIFO
Intergrate service(綜合服務模型)業務能過信令向網絡申請特定的QOS服務�����,網絡在流量參數描述的范圍內���,預留資源以承諾滿足該請求�����。
Differentiated service (區分服務模型):當網絡出現擁塞時���,根據業務的不同服務等級約定,有差別地進行流量控制和轉發來解決擁塞問題�。
RSVP:是第一個標準的QOS信令協議��,它動態地建立端到端的QOS,它允許應用程序動態地申請網絡帶寬等��。RSVP不是一個路由協議�,而是按照路由協議規定的報文流的路徑為報文申請預留資源,當路徑變了后�,它會按照新路由進行調整,并在新的路徑上申請預留資源��。RSVP只是在網絡的節點之間傳遞QOS請求�����,本身不完成這些QOS要求實現����,而是通過其他的技術如:WFQ.網絡節點收到請求后,比較資源請求和網絡現有的資源�����,確定是否接受�����?����?梢詫γ總€資源請求設置不同的優先級�����。這樣,當優先級較高的資源請求可以在網絡資源不夠的情況下���,搶占低優先級的預留資源。
RSVP的缺點:
要求端到端所有設備支持這協議
網絡單元為每個應用保存狀態信息�,可擴展性差
周期性同想念單元交換狀態信息����,協議報文開銷大。
不適合在大型網絡中應用�。
DiffServ:首先�,在網絡的邊緣進行不同的業務分類�,打上不同的QOS標記(著色)。分類的依據可以是報文帶的四層,三層����,三層的信息��,如源IP�����,目IP���,源MAC�,目MAC,TCP或UTP端口號等�。然后在網絡內部����,根據著色的結果在每一跳進行相應的處理�。
DifferServ:有以下幾種技術實現:
CAR:根據報文所帶的信息進行分類,并利用Precedence:(TOS的高3位最多分為8類或)DSCP(TOS的高6位)進行著色����,CAR同時也完成流量的度量和監管。
GTS:對通過網絡節點����,指定的業務或所有業務進行流量整形,合其符合期望的流量指標���。
隊列機制:通過FIFO,PQ����,CQ����,WFQ等隊列技術,在網絡擁塞時進行擁塞管理���,對不同業務的報文按用戶指定的策略進行調度。
擁塞避免:WRED,對網絡擁塞情況進行預測����,并在此基礎上采用隨機丟棄部TCP報文的方式�。
一般�,在網絡邊界,對報文進行著色��,在網絡內部則簡單的使用著色的結果作為對列調度�����、流量整形等處理的依據�。
CAR(committed access rate):約定訪問速率
CAR用令牌桶算法�,對流量進行控制。當CAR用來作流量監管時���,一般配置為:conform的報文進行發送,對EXCEED的報文進行丟棄����。
命令:
qos carl carl-index {precedence precedence-value| mac mac-address}
qos car {inbound/outbound}{any/acl acl-index/carl aarl-index} cir eonnitted-rate cbs burst-size ebs exceess-burst-size conform action exceed action
acl:匹配訪問列表的報文
carl:匹配承諾訪問速率列表的報文�����。
Cir :正常的流量�,在8k-155Mbps
Ebs: 所允許的突發數據塊的大小���,取0-155m 單位為bits.
Conform Action:對符合流量約定的數據報文,可采?。?
Continue
Discard:
Remark-prec-continue xxxxx為數據報文重設優先級后��,交由下條QOS CAR命令處理�。
Remark-prec-pass xxxxx 為數據報文重設優先級后����,直接發送�����。
Pass 直接發送�。
Exceed action 指示當數據流量不符合流量約定時,對數據報文采取動作��。注意:在一接口上(inbound或outbound)共可應用100條car策略���。應用策略前���,先禁止快速轉發功能。
實例:
quidway] qos carl 1 precedence 3
qos carl 2 precedence 5
quidway-ethernet0] qos car inbound any cir 800000 cbs 150000 ebs 0 conform remark prec-continue 5 execeed discard
quidway-serial1] qos car inbound any cir 800000 cbs 150000 ebs 0 conformremark-pree continue 3 exceed discard
quidway-serial0] qos car outbound carl1 cir 800000 cbs 150000 ebs 0 conform pass exceed discard
quidway-serial] qos car outbound carl 2 cir 800000 cbs 150000 ebs 0 conform pass exceed discard
GTS配置命令:
為某一類別流配置整形參數
qos gts acl acl-index cir committed-rate [cbs burst-size[ebs excess-burst-size][隊列長度]]
為所有的流配置整形參數
qos gts any cir committed-rate [cbs burst-size[ebs excess-burst-size[隊列參數]]]
其中queue length 的默認長度為50
LR物理接口限速(line rate,LR)
在一個物理接口上���,限制接口發送報文的總速率(對全部的流量�,而GTS���,CAR只適合于IP包。)
LR的配置命令:
Qos LR cir committed-rate [cbs burst-size[ebs excess burst-size]]
缺省地�,burst-size是committed的兩倍
當網絡出現堵塞時�,用到隊列來實現�����。FIFO��、PQ����、CQ、WFQ
priority queueing優先級隊列:
實例:
quidway]acl 1
quidway-acl-1] rule permit ip source 10.0.0.0 0.255.255.255
quidway] qos pql 1 protocol ip acl 1 queue top
quidway] qos pql 1 inbound-interface serial 1 queue bottom
quidway] qos pql 1 default-queue middle
quidway] qos pql 1 queue top queue-length 10
// 定義隊列的長度為:top 20
middle 40
normal 60
bottom 80
quidway-serial0] qos pq pql 1
缺點����,PQ當較高的優先級的報文絕對的優先權���,這樣雖然可以保證關鍵業務的優先��,但在較高優先級的報文的速度總是大于接口的速度時����,將會使較低優先級的報文始終得不到發送的機會��,采用CQ���,定制隊列��,用戶可配置隊列占用的帶寬比例關系,根據優先級高低��,輪詢調度�����。將可以避免這種情況的發生����。CQ可以將報文分類,然后按類別將報文被分配到CQ的一個隊列中去�,對每個隊列���,可以規定隊列中的報文應占接口帶寬的比例,這樣就可以讓不同業務報文獲得合理的帶寬����,從而保證關鍵業務,也不到于使非關鍵業務得不到帶寬��。
取值范圍為0-16��,系統為0����,缺省隊列號為16����。
定義好的隊列組需要應用在接口上���。一個接口上只能應用一個隊列組,一個隊列組可以應用于多個接口上�����。
實例:
quidway]acl 1
] rule permit ip source 10.10.0.0 0.0.255.255
quidway] qos cql 1 protocol ip acl 1 queue 1 //訪問控制列表1定義的報文入CQ組1隊列1�����。
quidway] qos cql 1 queue 1 queue-length 100 //隊列1的長度為100
queue-serving 5000 //隊列1的每次輪詢發送的字節數為5000�����。
Quidway] qos cql 1 intbound-interface serial 1 queue 2//將從接口S1進入的報文入CQ組1隊列2
Qos cql 1 queue 2 queue-length 90
Quidway-serial0] qos cq cql 1// 將CQ組1應用到串口上�。
WFQ :weigth fair queue 加權公平隊列
原理:在保證公平(帶寬�����,延遲)的基礎上體現權值�����,權值大小依賴IP報中帶的IP優先級(precedence).WFQ 對報文按流進行分類�,即相同的五個元素為一個流)�����,每個流被分配到一個隊列當中�����,過程稱為散列���,入隊過程采用HASH算法自動完成,出去時�����,WFQ按流的優先級來分配每個流占有的不同的帶寬���。
命令:qos wfq queue-length 64(缺省地一個隊列數據包最大數) queue number 512(一共加起來的個包)
當隊列中同時丟棄多個TCP連接的報文時,將造成多個TCP連接同時進入慢啟動和擁塞避免�,稱之為:TCP全局同步����。
RED(random early detection)隨機早期檢測
WRED(Weighted random early detection)加權的隨機早期檢測。
WRED:
1�����, 采用隨機丟棄的策略����,避免了尾部丟棄的方式而引起TCP全局同步
2, 根據當前隊列的濃度來預測擁塞的情況
3��, 根據優先級定義不同的丟棄策略,定義上限閥值和下限閥值�����。
4���, 相同的優先級不同的隊列���,隊列長度越長丟棄概率越高。
一般地����,WRED與WFQ一起用,
實例:
quidway-serial0] qos wfq//在接口上使用WFQ隊列策略
quidway―serial0] qos wred //使用默認的WRED參數�����。
QOS信息的監控與維護:
Display qos[car/qts/lr/cq/pq/wfq/wred] [interface type number] //接口的QOS配置和統計信息。
Dis qos [cql/pql]//顯示PQ與CQ的隊列列表內容��。
交換部分:
生成樹協議:
首先各端口收到的配置消息和自己的配置消息做比較���,得到優先級高的配置��,并更改本身的配置消息,主要工作有:
1���, 選擇根網橋ROOTID:最優配置消息ROOTID,,
2��, 計算到根網橋的路徑最短開銷值:如果自己不是根網橋����,則開銷值rootpathcost等于所收到的最優配置消息的開銷值與收到該配置消息的端口開銷之和
3, 選擇根端口ROOTPORT:如果自己是根橋��,則根端口為0,否則一般為收到最優配置消息的那個端口�����。
4�����, 指定端口:除了根端口外的其他生成樹上處于轉發狀態的端口
5�����, 最后�,修改了自己的BPDU后,該網橋從指定端口將自己的配置消息發送出去��。
如果網橋端口來
hello time 網橋從指定端口以HELLO TIME為周期定時發送配置消息
message age / max age 端口保存的配置消息有一個生存期message age字段�����,并按時間遞增���,每當收到一個生存期比自己小的配置消息時����,則更新自己的配置消息,當一段時間未收任何配置消息��,達到max age時���,網橋認為該端口處于鏈路故障�����,進行故障處理���。該網橋將拋棄這個過時的配置消息�,重新計算生成樹��。
什么時候阻塞的端口接收轉發的數據,(不包括STP協議報文)����,直到新的情況發生觸發生成樹的重新計算,比如另外一條鏈路斷開����,或端口收到更新的配置消息�����。
