华为路由基于IP的管理(通用9篇)
一、QoS有上行带宽和下行带宽两项参数,点击页面帮助按钮可以看到信息,可以将上行带宽和下行带宽理解为用户申请的宽带线路的实际上下行带宽,比如ADSL线路上行512Kbps下行2Mbps,那么就可以在这里分别填写.,必须先开启这里的开关开启QoS并填入线路实际的上下行带宽,然后才能在IPQoS页面继续配置,否则会提示错误。
1、地址段:包含了从.10到.20总共11个IP地址。另外,这里的地址段允许输入和路由器LAN口IP地址不在同一网段的IP地址,意味着用户内网如果采用三层交换设备规划了不同子网的方案下,我们的路由器也可以支持对不同网段IP的带宽限制。
2、模式:独立带宽,顾名思义下面的最大带宽、最小带宽是针对这段IP地址里面的每一个IP而言,如果模式选择了共享带宽也就是这段IP共享下面的参数。
3、上行、下行:我们都知道网络上传输的数据流是有方向的,比如BT下载,可以从Internet上的服务器下载数据,自身也作为服务器上传数据,我司路由器IP QoS就是根据这种有方向性的数据流来分别进行限制。
二、路由器非常准确的对上、下行数据流分开来进行了限制,就上图填写的参数,假设配置了192.168.1.10这个IP地址的主机正在进行BT下载,那么这台主机的数据流量会比较大,这台主机的数据流分两部分:一部分是它从别的服务器下载数据,一部分是它上传数据给别的主机,
路由器的IP QoS将会对这台.10的主机下载和上传两个方向的数据流量分别进行规定限制。
三、设置的参数路由器要先保证每一个IP地址下行数据最小使用100Kbps的带宽,那么11台主机总共使用了1100Kbps的带宽资源,这条线路总的下行带宽资源Kbps还余留约900Kbps,路由器先保证两台主机的下行带宽最小可以使用到100Kbps,最小带宽保证后,两台主机进一步还有下行带宽的需求,那么超过100Kbps的流量后,路由器采用轮询方式,开始增大两台主机占用的有效带宽,当192.168.1.10这台主机的下行数据流占用的带宽达到最大1000Kbps的时候,路由器将不会载转发超过1000Kbps带宽的数据包。
四、但是192.168.1.11这台主机在争用带宽的时候,数据流达到1000Kbps后这台主机仍然需要更大的带宽,路由器会一直增大它占用的有效下行带宽至2000Kbps后,将不再继续转发超过这个带宽范围的数据包。剩余的下行7Mbps的带宽资源将闲置,不会分配给.10和.11,除非将其最大可用下行带宽改为更大,否则它们将不能使用剩余带宽。配置IP QoS的时候,模式选择为共享带宽,则是地址段内包含的所有IP地址共享设置的上下行最大最小带宽。
1、将内网的电脑的IP手工指定,并且是连续的,如192.168.1.2~192.168.1.100,这样方便后面的设置。
2、在IP QOS设置开关处设置您的线路的带宽,分别设置线路的上行带宽和下行带宽,如10M的光纤线路需要填入10000,然后开启QOS总开关。
3、进入IP QOS规则设置页面,添加新条目,设置IP地址段如192.168.1.2~192.168.1.100,模式选择为独立。
4、上行最小带宽:线路真实上行带宽/内网电脑数,在此例中为10000/99=101,最大带宽的设置关系不大,推荐设置800或1000或2000。
关键词:拥塞控制,路由协议,遗传算法,多线程,多播传输
0 引言
随着Internet的持续快速发展,人们对网络的需求由简单的数据传输向综合的多媒体业务发展,并且人们发现传统的“尽力而为”的数据传输服务己经无法满足网络的正常运行,一些音频、视频等流媒体业务对网络服务质量(QoS)提出了更高的要求。所以如何解决网络通信的QoS问题受到了广大研究者的关注。
当前国内外对于数据传输的研究工作主要集中在对于网络路由的研究,而网络路由的研究归根结底为路由算法的研究。
路由算法主要分为动态路由和静态路由算法。由于静态路由系统不能对网络改变做出反映,通常被认为不适用于现在的大型、易变的网络。九十年代主要的路由算法都是动态路由算法,通过分析收到的路由更新信息来适应网络环境的改变。如果信息表示网络发生了变化,路由软件就重新计算路由并发出新的路由更新信息。这些信息渗入网络,促使路由器重新计算并对路由表做相应的改变。但是它的带宽占用率相对静态路由算法要高,而且它对CPU的频率要求比较高。
本文针对以上问题进行了研究,重点考虑在有限带宽的约束条件下,设计合适的路由算法,并考虑多线程实现网络拥塞时重要资源的优先显示功能。在现有路由算法研究成果的基础上,本文就以下几个方面进行了创新的工作:
(1)提出“网络流量阈值”的概念,根据实验和参考书籍确定此阈值。当网络流量未达到阈值时本文采用动态路由算法,若达到阈值则采用静态路由算法;
(2)提出“基于多线程的静态路由算法”来解决网络出现拥塞时候浏览器页面打开很慢的问题;
(3)在网络未出现拥塞时,本文采用“基于单播+选播”的动态路由算法来优化路由以满足用户的QoS需求。
1 系统模型和假设
1.1 网络环境模型和假设
此设计是在这样的一个网络环境中,这个网络是几个小区局域网组成的,在这里有三台Router和一台Switch构成一个试验网。
1.2 系统模型
本文设计的系统模型如下:
(1)设计算法计算当前网络流量阈值Top;
(2)计算当前网络流量Curr;
(3)根据当前网络流量Curr值,判断采用不同的路由算法。当前网络流量在阈值内,采用单播+选播的动态路由算法;当前网络流量超过阈值,采用多线程实现静态路由算法;
(4)采用多播技术将新的路由通知其他主机。
2 算法描述
2.1 计算网络流量阈值和网络流量
(1)计算网络流量阈值
本文采用K=107/Band作为网络流量的阈值,这里K即为阈值,而Band为带宽。当网络流量未达到K值,说明当前网络未达到拥塞状态;否则证明当前网络已出现拥塞。
(2)计算网络流量
本文采用P2POver软件进行网络流量监控,计算网络流量。通过统计同一网段内各个用户的上行带宽和下行带宽之和来确定当前网络的流量。
2.2 基于单播与选播的动态路由算法设计
本文利用自适应遗传算法与适应度尺度变化的基本原理,结合选播QoS路由的特点设计了合理的编码方案,改进了初始种群的产生,并根据编码方案设计了有效的遗传算子,达到了时延约束的选播QoS路由优化的目的。
(1)选择操作
本算法使用的选择方法是比例选择与最佳个体的保存相结合的方法,即在群体交叉、变异之前,先选出最佳个体,直接复制到下一代中。其余个体的选择采用基本的比例选择法,即各个体被选择的概率与其适应值成比例。
(2)交叉操作
本算法仍然使用单点交叉的方式。交叉点的选取分为两个阶段,首先,寻找两个亲代个体中相同的基因位,然后,随机选取其中的一个基因位做为交叉点进行两个亲代的交叉。如果出现环路的情况就使用修复算子操作进行修复。
(3)变异操作
变异操作可以提供初始种群中不含有的基因,或找回选择过程中丢失的基因,为种群提供新的内容。
本算法中的变异搜索的操作与上一个算法类似,从染色体中随机选择一个基因中的节点作为变异点,从源节点到变异点之间的节点保持不变,变异点之后的结点从连接的结点中随机选择,直到目的结点。如果出现环路的情况就使用修复算子操作进行修复。
2.3 基于多线程的分时段静态路由算法设计
本文提出了多线程实现静态路由算法解决了原来静态路由算法中各种资源先后显示的问题。
(1)多线程技术
把页面显示出的资源分为图片、文本、音频、视频和Flash等五类,根据资源的重要性和占用带宽的大小,分别给它们分配不同的优先级。对于高优先级的资源本文给它创建并分配较多的线程,这样使得优先级高的线程优先显示出来。
(2)分时静态路由
经过大量实验确定每小时访问服务器经过的最短时间的路由,并将此路由作为这个小时的最佳路由,然后将设定的静态路由算法固定在这个时候使之生效。
2.4 多播技术更新路由表
多播技术采用路由器智能方案来实施路由表的广播。采用多播技术分发信息能够从本质上减少整个网络带宽的需求。使用单播技术所耗费的带宽随着用户的增多而成倍增加;而使用多播技术,由于在共享的链路上传送信息的一份拷贝,因此带宽的需求不会随着用户的增加而成倍的增加。
2.5 路由算法总体设计
首先,设定网络流量阈值Top,然后使用软件P2POver对网络流量进行监控,并且在某一时段计算上行流量和下行流量总和,这个和即为当前网络流量Curr。当Curr小于Top时,本文采用基于单播+选播的动态路由算法;反之采用本文设计的基于多线程的静态路由算法。在确定新的路由后本文采用多播技术使得网络内所有的路由器在很短的时间内得到新的路由信息。
3 路由算法仿真及模拟
3.1 计算网络流量阈值与网络流量
网络流量阀值随带宽的变化如图一所示:
网络流量随时间的变化如图二所示:
图一中的横坐标(Topvalue)即为网络的带宽,纵坐标(Band)为网络流量的阈值。从图中可以了解到网络流量的阈值和网络带宽成正比。
图二中的横坐标(T)为时间,纵坐标(C)为网络流量。从图中可以看到在每天的不同时段网络流量不同,在每天的8:00—9:00时间段内网络流量最大,分析是由于在每天的这个时间段人们开始上网查看新闻和邮件导致网络流量猛增;从9:30—12:00这段时间网络流量相对比较平稳;在12:30网络流量开始下降,分析是在这个时候人们开始吃饭导致网络流量下降;从13:30开始网络流量开始回升,到17:00左右下降,分析在17:00以后人们下班导致网络流量下降。
3.2 基于多线程的分时段静态路由算法设计
未使用多播技术更新的路由表如图三所示,使用了多播技术更新的路由表如图四所示。
3.3 路由算法总体设计仿真
此仿真是在代码生成的随机网络中进行的。
注:(1)T为客户端浏览器打开页面的时间(秒);(2)Cwt为当前网络流量;(3)Top为当前网络流量阀值;(4)K=1/T;(5)当前网络带宽为2Mb。
从对比实验中可以看到,采用本文算法后当网络流量达到阈值时比未使用本算法打开页面的时间没有急剧大幅度增加(K值降低)。当网络流量未达到阈值时打开页面的速度也比原来加快了。
4 结束语
本文采用网络流量阈值来判断网络拥塞与否。当网络流量达到阈值时采用本文提出的“基于多线程的分时段静态路由算法”来解决网络出现拥塞时浏览器页面打开很慢的问题,否则采用“基于单播+选播的动态路由算法”来优化路由以满足用户的服务质量(QoS)需求。而后本文采用多播技术使同一网段内的所有路由器在短时间内收到路由更新信息。
在仿真结果中,当网络流量未达到阈值时使用本文算法与未使用此算法浏览器打开网页的速度相差不大,仅仅稍快一点,在网络流量达到阈值后本算法体现出一定优越性,即客户端浏览器打开网页的速度稍快一些。由此说明本文算法在一定程度上解决了网络拥塞时网页打开速度慢的问题。
参考文献
[1]Xuan D,Jia Weijia,Zhao W.Routing Protocols for Anycast Messages[J].IEEE Transactions on Parallel and Distributed Systems,2000,11(6):571-588.
[2]Fang Hao,Ellen W,Zegura QoS routing for anycast communications:motivation and an architecture for diffServ networks[J].IEEE Communications Magazine,2002,(06).
[3]陈国良,王煦法.遗传算法及其应用[M].北京:人民邮电出版社,1996.
一、IP网络路由技术
IP网络路由是以协议架构网络之间的技术。基于IP协议的Internet是当今最大的计算机网络,占有最大的用户、规模和资源。
IP地址。IP网络中数据的传输需要IP地址,一个网络的连接需要一个IP地址,但是主机上的IP地址不可以有多种。在IP分组中,IP地址在网络连接的过程中是不会改变的。
IP地址格式。IP地址是用十进制表示的32位的地址。为了保证网络地址的唯一性,网络地址必须由Internet权利机构(InternetNIC)统一分配,其他单位机构或私人不能分配。主机地址不是唯一的,所以可以各个网络系统管理员分配。
保留地址。由于不同的保留地址在用途和安全上的不同,地址就分为公共地址和私有地址两种地址。在Internet中使用公用地址,并且访问不受限制;私有地址在内部的网络中使用,私有地址单独无法访问,只能和代理服务器一起才能和Internet通信。
若想要连入Internet,首先要申请公用地址才可以连接Internet。在IP地址中保留了三个区域作为私有地址,它们的区域范围如下:
而这些保留地址与其他网络不能连接,所以只能在内部通信。主要原因是使用保留地址的网络和其他网络互连的时候,路由设备在寻找路由时会出现问题。可以将内部网络的保留地址转换成公共地址,这样可以实现内部网络与外部网络连接。这样也是保证网络安全的重要方法之一。
二、无类域路由(CIDR)
越来越多的主机连入Internet,Internet的B类地址(前两个字节为网络地址,后两个字节为主机地址。地址范围:128.0.0.0~191.255.255.255)比较缺乏,可能耗尽整个地址。为了解决这一问题,开发了无类域路由这一解决方案,给Internet充分的时间等待诞生新一代IP协议。
根据CIDR内容,可以申请几个C类地址(第一个字节、第二个字节、第三个是网络地址,最后一个字节是主机地址,地址范围:192.0.0.1~223.255.255.255)来取代申请一个B类地址。分配的C类地址的最高位相同,是连续的C类地址,此路由表用一个表项来表示一组网络地址。
三、路由选择技术
路由寻址。路由功能指路由器寻找路径,这条路径是从源网络到目的网络,相互转发数据包。为了实现高性能通信需要路由选择路径。在网络运行的过程中,源IP 地址和目的IP 地址都被数据包记录下来。数据包在路由器转发的过程中,目的IP 地址不会改变,但是每台路由器会把目的物理地址改成数据包所到达下一站或终点的物理地址,数据包发送到该物理地址的物理链路上。
路由分为两种。路由分为直连路由和非直连路由。直连路由在网络接口配置完成后可自动生成直连路由的IP 地址,接口通过这种方式直接通信。非直连路是由动态路由,人工配置静态路由或通过运行动态路由协议获得。该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://www.ems86.com总第539期2014年第07期-----转载须注名来源是在两个或多个路由器互连的网络之间需要通信的情况下使用。现今Internet的迅猛增长,促使IP 网络成为现代网络的标准,IP网络路由技术不只是为数据传输找一条通道,路由所选路径的传输容量和服务质量也需要考虑,并且还要对全网负荷做一个分析,为了使网络中各条通道的数据流量保持平衡。除此之外,还要求域内路由和域间路由的算法有高效的路由表查询技术,并且能快速收敛。
路由器的作用。基于IP协议建立网络,将各个IP子网相互连接起来,使用路由机制,把IP网关互相连接起来,形成了一个具有层次性的网际网。
大量的主机构成了IP子网,多个IP子网组成了整个IP网络。通过路由器完成IP子网的主机之间通信。路由器接受主机发出的IP包,通过查询路由表,来确定下一个输出口,以便把IP包发送给下一台路由器,如此发送下去,直到IP报到达通信终点的主机。IP协议中,网络有多种层次:物理层、网络层、传输层、链路层。集线器处理物理层,一台交换及处理链路层,路由器转发数据,因为网络层只有以太线路接口,所以网络层只能在以太网中。
IP网络路由是世界上最大规模,拥有最多资源的一个大型计算机网络。IP网络路由在当今网络的发展中起到不可估量的作用,是现代网络发展的标准,也是未来网络发展的基础。
[Quidway]display version ;显示版本信息
[Quidway]display current-configuration ;显示当前配置
[Quidway]display interfaces ;显示接口信息
[Quidway]display ip route ;显示路由信息
[Quidway]sysname aabbcc ;更改主机名
[Quidway]super passwrod 123456 ;设置口令
[Quidway]interface serial0 ;进入接口
[Quidway-serial0]ip address
[Quidway-serial0]undo shutdown ;激活端口
[Quidway]link-protocol hdlc ;绑定hdlc协议
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 ;显示所有信息
[Quidway]debugging hdlc event serial0 ;调试事件信息
[Quidway]debugging hdlc packet serial0 ;显示包的信息
静态路由:
[Quidway]ip route-static
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
动态路由:
[Quidway]rip ;设置动态路由
[Quidway]rip work ;设置工作允许
[Quidway]rip input ;设置入口允许
[Quidway]rip output ;设置出口允许
[Quidway-rip]network 1.0.0.0 ;设置交换路由网络
[Quidway-rip]network all ;设置与所有网络交换
[Quidway-rip]peer ip-address ;
[Quidway-rip]summary ;路由聚合
[Quidway]rip version 1 ;设置工作在版本1
[Quidway]rip version 2 multicast ;设版本2,多播方式
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D ;配置路由器的ID
[Quidway]ospf enable ;启动OSPF协议
[Quidway-ospf]import-route direct ;引入直联路由
一、上图所示就是BGP自动更新的示意,红色与蓝色的箭头代表相同前缀的路由,但是从不同邻居学习而来,而且蓝色的路由优于红色的;黑色的坐标轴代表路由发送与接收的时间,每个公司距离为10秒,我们假设RA上配置的更新定时器时间为30秒,
1、RA接收到红色路由后立刻发送给RB,同时RA上启动更新定时器。
2、10秒以后RA接收到更优的蓝色路由,由于定时器没有超时暂时不发送给RB,但是更新本地路由表,在第10秒RA完成路由收敛。
3、第30秒RA上更新定时器超时,所以发送蓝色路由给RB并且更新掉红色路由,RB在第30秒完成收敛。
二、要理解导致DHCP服务器相应变慢的原因,我们有必要了解一下DHCP 服务的工作过程。如果在局域网中部署了DHCP服务器,并且客户端设置为自动获得IP地址,这样当DHCP客户端第一次登录网络的时候,也就是客户端发现 本机上没有任何IP数据设定,它会向网络发出一个DHCP discover封包。
因为客户端还不知道自己属于哪一个网络,所以封包的来源地址会为0.0.0.0,而目的地址则为255.255.255.255,然后再附上DHCP discover的信息,向网络进行广播。
三、在windows的预设默认情况下,DHCP discover的等待时间预设为1秒,也就是当客户端将第一个DHCP discover封包送出去之后,在1秒之内没有得到响应的话,就会进行第二次DHCP discover广播,若一直得不到响应的情况下,客户端一共会有四次DHCP discover广播,除了第一次会等待1秒之外,其余三次的等待时间分别是9、13、16秒,如果都没有得到DHCP服务器的响应,客户端则会显示错误 信息,宣告DHCP discover的失败。之后,基于使用者的选择,系统会继续在5分钟之后再重复一次DHCP discover的过程;
四、当DHCP服务器收到DHCP客户机广播的DHCP discover信息后,它会向DHCP客户机发送DHCP offer信息,其中包括一个可租用的IP地址。
一旦客户机收到DHCP offer信息,就将使用服务器所提供的IP地址,从DHCP的工作过程来分析,客户机无法获得IP地址应该是DHCP服务器没有做出响应,或者是 DHCP服务器做出了响但客户机没有收到DHCP服务器的DHCP offer信息造成的,测试网线后首先排除了由于网络硬件原因造成客户机收不到DHCP服务器响应的可能,由此判断就是DHCP服务器没有做出正常响应。
五、客户端会与服务器之间有大量的数据交互,这些数据占用了大量的系统资源和网络带宽,因此造成DHCP服务器的相应缓慢。这样就进入了一个恶性循环, 而且在网络中充斥着大量的重复请求,这些垃圾信息占用了大量带宽,形成了网络风暴,服务器需要进行大量的数据传输,这样就使得服务器网络端和总线负担过 重,不仅操作系统进程无法及时响应客户机发出的DHCP请求,而且电脑都无法正常工作。
六、很明显,不堪重负的DHCP服务造成了故 障。要从根本上解决问题,只有通过升级服务器或者增加服务器的数量,做到各司其职,从而避免服务器负担过重。即部署专门的DHCP服务器以供部门的IP服 务,部署专门的数据库服务器以服务于在线考试系统,部署专门的文件服务器以提供文件服务器和提供网络克隆服务。
111. vpn-virtual private network
112. 按应用类型 access vpn、intranet vpn、extranet vpn
113. 按实现层次 2层 [ pptp、l2f、l2tp ]、3层[gre、ipsec]
114. 远程接入vpn即access vpn又称vpdn,利用2层隧道技术建立隧道。用户发起的vpn,lns侧进行aaa。
115. intranet vpn企业内部互联可使用ipsec和gre等。
116. 2层隧道协议:pptp 点到点隧道协议、l2f 二层转发协议 cisco、l2tp 二层隧道协议 ietf起草,可实现vpdn和专线vpn。
117. 三层协议:隧道内只携带第三层报文,gre-generic routing encapsulation 通用路由封装协议、ipsec-由ah和ike协议组成。
118. vpn设计原则,安全性、可靠性、经济性、扩展性
l2tp
119. l2tp layer 2 tunnel protocol 二层隧道协议,ietf起草,结合了pptp和l2f优点。适合单个和少数用户接入,支持接入用户内部动态地址分配,安全性可采用ipsec,也可采用vpn端系统lac侧加密-由服务提供商控制。
120. l2tp两种消息:控制消息-隧道和会话连接的建立、维护和删除,数据消息-封装ppp帧并在隧道传输。
121. 同一对lac与lns间只建立一个l2tp隧道,多个会话复用到一个隧道连接上。
122. lac-l2tp access concentrator lns-l2tp network server
123. 隧道和会话的建立都经过三次握手:请求crq-应答crp-确认ccn。隧道sc,会话i
124. 隧道和会话拆除时需要有zlb-zero-length body 报文确认。
125. l2tp封装:ip报文(私网)-ppp报文-l2tp报文-udp报文-ip报文(公网)
126. 配置lac侧:1配置aaa和本地用户、2启动vpdn l2tp enable、3 配置vpdn组 l2tp-group number、3 配置发起连接请求和lns地址 start l2tp [ipadd]
127. 配置lns侧:1配置本地vpdn用户、2 启动vpdn、3 创建vpdn组、4 创建虚模板,为用户分配地址 interface virtrual-template [number]、5 配置接受呼叫的对端名称 allow l2tp virtual-template[number][name]
128. l2tp可选配置:本端隧道名称、隧道加密验证、hello报文的发送间隔、配置l2tp最大会话数。
129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp
130. l2tp用户登陆失败:1 tunnel建立失败-lac端配的lns地址不对,tunnel密码验证问题、2 ppp协商不通-pap、chap验证,lns端地址分配问题。
gre
131. gre-generic routing encapsulation 通用路由封装是一种三层隧道的承载协议,协议号为47,将一种协议报文封装在另一中报文中,此时ip既是被封装协议,又是传递(运输)协议。
132. gre配置:1 创建tunnel接口 interface tunnel [number]、2 配置接口源地址 source [ip-add]、3 配目的地址 destination [ip-add]4 配网络地址 ip add [ip-add,mask]
133. gre可选参数 接口识别关键字、数据报序列号同步、接口校验。
ipsec
134. ipsec-ip security 包括报文验证头协议ah 协议号51、报文安全封装协议esp 协议号50。工作方式有隧道tunnel和传送transport两种。
135. 隧道方式中,整个ip包被用来计算ah或esp头,且被加密封装于一个新的ip包中;在传输方式中,只有传输层的数据被用来计算ah或esp头,被加密的传输层数据放在原ip包头后面。
136. ah可选用的加密为md5和sha1。esp可选的des和3des。
137. ipsec安全特点,数据机密性、完整性、来源认证和反重放。
138. ipsec基本概念:数据流、安全联盟、安全参数索引、sa生存时间、安全策略、转换方式
139. 安全联盟 sa-包括协议、算法、密钥等,sa就是两个ipsec系统间的一个单向逻辑连接,安全联盟由安全参数索引spi、ip目的地址和安全协议号(ah或esp)来唯一标识。
140. 安全参数索引spi:32比特数值,全联盟唯一。
141. 安全联盟生存时间 life time:安全联盟更新时间有用时间限制和流量限制两种。
142. 安全策略 crypto map :即规则。
143. 安全提议 transform mode :包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成ipsec报文的方式。
144. ah、esp使用32比特序列号结合重放窗口和报文验证防御重放攻击。
145. ike-internet key exchange 因特网密钥交换协议,为ipsec提供自动协商交换密钥号和建立sa的服务。通过数据交换来计算密钥。
146. ike完善的向前安全性pfs和数据验证机制。使用dh-diffie-hellman公用密钥算法来计算和交换密钥。
147. phs特性由dh算法保证。
148. ike交换过程,阶段1:建立ike sa;阶段2:在ike sa下,完成ipsec协商。
149. ike协商过程:1 sa交换,确认有关安全策略;2 密钥交换,交换公共密钥;3 id信息和验证数据交换。
150. 大规模的ipsec部署,需要有ca-认证中心。
151. ike为ipsec提供定时更新的sa、密钥,反重放服务,端到端的动态认证和降低手工配置的复杂度。
152. ike是udp上的应用层协议,是ipsec的信令协议。他为ipsec建立安全联盟。
153. ipsec要确定受保护的数据,使用安全保护的路径,确认使用那种保护机制和保护强度。
154. ipsec配置:1 创建加密访问控制列表、2 定一安全提议 ipsec proposal [name];ipsec card-protposal [name]、3 设置对ip报文的封装模式 encapsulation-mode [transport or tunnel]、4 选择安全协议 ah-new esp-new ah-esp-new 、5 选择加密算法 只有esp可加密、6 创建安全策略 ipsec policy 应用安全策略到接口 ipsec policy
155. ike配置:1创建ike安全策略 ike proposal [num]、2 选择加密算法、认证方式、hash散列算法、dh组标示、sa生存周期3、配置预设共享密钥 ike pre-shared-key key remote [add]、4 配置keeplive定时器
156. keeplive定时器包括 1 interval定时器 按照interval时间间隔发送keeplive报文 2 timeout定时器 超时检查
157. debug ipsec misc/packet/sa
qos
158. qos-quality of service 服务质量保证。在通信过程中,允许用户业务在丢包率、延迟、抖动和带宽上获得预期的服务水平。
159. qos需要提供以下功能:避免并管理ip网络阻塞、减少ip报文丢包率、调控流量、为特定用户提供专用带宽、支持实时业务
160. ip qos三种模式:best-effort模型-缺省fifo;intserv模型-申请预留资源;diffserv-网络拥塞时,根据不同服务等级,差别对待
161. intserv模型,提供可控的端到端的服务,利用rsvp来传递qos信令。有两种模式:保证服务和负载控制服务。
162. rsvp是第一个标准的qos信令协议,不是路由协议但是按照路由协议规定的报文流的路径为报文申请预留资源。只在网络节点间传递qos请求,本身不完成qos要求的实现。
163. rsvp要求端到端的设备均支持这一协议,可扩展性差,不适合在大型网络应用。
164. diffserv-differentiated service 差分服务模型,目前qos主流。ds不需要信令。数据进入ds网路,根据优先级dscp汇聚为一个行为集合。根据定义的phb-per-hop behavior来对业务流执行phb。
165. 着色:给不同的业务流打上qos标记。着色是进行qos处理的前题。
166. car-commited access rate 约定访问速率。是流量监管-traffic policing的一种。利用ip头部的tos字段来对报文处理,三层处理。
167. car采用令牌桶进行流量控制。配置命令:1 定义规则qos carl carl-index、2 在接口上应用car策略或acl qos car inbound/outbound 每个接口上可应用100条,注意应用策略前,取消快速转发功能。
168. gts-generic traffic shaping 流量整形 用于解决链路两边的接口速率不匹配,使用令牌桶,两种方式处理报文:1 所有流处理 2 不通的流不同处理 命令 qos gts
169. lr-line rate 物理接口限速 2层处理 令牌桶机制所有报文均需通过lr的桶。命令 qos lr ….
170. 拥塞管理的算法:fifo、pq、cq、wfq。
171. fifo-先进先出 best effort模型
172. pq-priority queuing 优先对列 分为high、medium、normal、low;命令 全局定义qos pql 接口上应用 qos pq pql
173. cq-custom queuing 定制队列 可配置对列占用的带宽比例 包含17个组,0为系统对列,1-16 用户对列。命令 全局定义,接口应用
174. wfq-wgighted fair queuing 加权公平对列 最大对列数16-4096 采用hash算法。权值依的大小依靠ip报文头中携带的ip优先级。命令 qos wfg
175. 拥塞避免-在未发生拥塞时,根据对列状态有选择的丢包。算法 red随机早期检测、wred 加权随机早期检测
176. tcp全局同步,尾部丢弃多个tcp连接的报文,导致多个俩结同时进入慢启动和拥塞避免。
177. wred-weighted random early detection 采用随机丢弃报文。根据对列深度来预测拥塞情况,根据优先级定义丢弃策略,定义上下限。相同优先级对列约长,丢弃概率越大。
178. wred命令:1 能使wred qos wred、2 配置计算平均队长指数 3 配置优先级参数
先看下路由器的flash:
yourname#dir
Directory of flash:/
1 -rw- 25438028 Oct 22 02:25:58 +00:00 c2800nm-ipbase-mz.124-15.T.bin
2 -rw- 1505280 Oct 22 2010 02:26:08 +00:00 common.tar
3 -rw- 931840 Oct 22 2010 02:26:16 +00:00 es.tar
4 -rw- 1038 Oct 22 2010 02:26:20 +00:00 home.shtml
5 -rw- 112640 Oct 22 2010 02:26:26 +00:00 home.tar
6 -rw- 415956 Oct 22 2010 02:26:34 +00:00 sslclient-win-1.1.4.176.pkg
7 -rw- 2748 Oct 22 2010 02:26:38 +00:00 sdmconfig-2811.cfg
8 -rw- 35316 Apr 5 06:09:42 +00:00 crashinfo_20110405-060943
9 -rw- 42068 Apr 5 2011 06:30:26 +00:00 crashinfo_20110405-063027
128733184 bytes total (100229120 bytes free)
以下是实验过程
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 permit ip any 192.168.1.0 0.0.0.255
第二步:定义class-map ,调用第一步的ACL
class-map match-all 102
match access-group 102
第三步:定义policy-map,调用class-map,做速率限制
policy-map 102
class 102
police 256000 8000 conform-action transmit exceed-action drop
第四步:把policy-map应用到接口上
interface FastEthernet0/1
service-policy input 102
service-policy output 102
*Apr 5 06:24:04.023: %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet0/1: the fragment table has reached its maximum threshold 16
FastEthernet0/1
Service-policy input: 102
Class-map: 102 (match-all)
2746 packets, 672324 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: access-group 102
police:
cir 256000 bps, bc 8000 bytes
conformed 2746 packets, 672324 bytes; actions:
transmit
exceeded 0 packets, 0 bytes; actions:
drop
conformed 90000 bps, exceed 0 bps
Class-map: class-default (match-any)
13407 packets, 1753107 bytes
5 minute offered rate 49000 bps, drop rate 0 bps
Match: any
Service-policy output: 102
Class-map: 102 (match-all)
3506 packets, 2954143 bytes
5 minute offered rate 68000 bps, drop rate 44000 bps
Match: access-group 102
police:
cir 256000 bps, bc 8000 bytes
conformed 2243 packets, 1195420 bytes; actions:
transmit
exceeded 1263 packets, 1758723 bytes; actions:
ip nat inside destination
ip nat inside source list
ip nat inside source static
ip nat outside source list
ip nat outside source static
ip nat pool
ip nat translation
ip nat 语法:
ip nat {inside | outside}
no ip nat {inside | outside}
本命令用于设置应用NAT的内网和外网的接口,使用 no 选项可使接口不再应用NAT。
参数:
inside:表示该接口连接内部网络。
outside:表示该接口连接外部网络。
缺省值:接口上没有应用NAT。
命令模式:接口配置模式。
说明:数据包只有在 outside 接口和 inside 接口之间路由时,并且符合一定规则的,才会进行NAT转换。所以实现NAT的路由器必须配置至少一个 outside 接口和一个 inside 接口,也可配置多个。
范例:
Router(config)#interface f0/0
Router(config-if)#ip address 192.168.10.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#no shutdown
Router(config-if)#interface f0/1
Router(config-if)#ip address 200.19.12.17 255.255.255.0
Router(config-if)#ip nat outside
Router(config-if)#no shutdown
本例路由器的 fastethernet 0/0 连接的是内网,被定义为 inside 接口, fastethernet 0/1 连接的是外网,被定义为 outside 接口。
相关命令:
show ip nat statistics 查看NAT统计数据和规则,包括inside和outside接口
ip nat inside destination 语法:
ip nat inside destination list access-list-number pool pool-name
no ip nat inside destination list access-list-number pool pool-name
启用NAT内部目标地址转换。使用 no 选项可关闭NAT内部目标地址转换。
参数:
access-list-number:访问控制列表的表号。它指定由哪个访问控制列表来定义目标地址的规则。
pool-name:IP地址池名字。该地址池定义了用于NAT转换的内部本地地址。
缺省值:没有启用NAT内部目标地址转换。
命令模式:全局配置模式。
说明:NAT内部目标地址转换可用于实现TCP负载均衡,你可以用一台虚拟主机代替多台实际主机接收用户的TCP请求,由NAT把这些请求轮流映射到各个实际主机上,达到负载分流的目的。
配置TCP负载均衡时,访问控制列表定义的是虚拟主机的地址,IP地址池中定义的是各台实际主机的地址。
范例:
Router(config)#ip nat pool np 192.168.1.1 192.168.1.3 netmask 255.255.255.0 type rotary
Router(config)#access-list 1 permit 60.8.1.1 0.0.0.0
Router(config)#ip nat inside destination list 1 pool np
本例定义了一个TCP负载均衡,虚拟主机地址为60.8.1.1,由access-list 1定义,实际主机地址为192.168.1.1~192.168.1.3,由地址池np定义。
相关命令:
ip nat pool 创建一个NAT地址池
access-list 定义访问控制列表
ip nat inside source list 语法:
ip nat inside source list access-list-number {pool pool-name | interface interface-id} [overload]
no ip nat inside source list access-list-number
启用内部源地址转换的动态NAT,
使用 no 选项可关闭该动态NAT。
参数:
access-list-number:访问控制列表的表号。它指定由哪个访问控制列表来定义源地址的规则。
pool-name:IP地址池名字。该地址池定义了用于NAT转换的内部全局地址。
interface-id:接口号。指定用该接口的IP地址作为内部全局地址。
overload:启用端口复用,使每个全局地址可以和多个本地地址建立映射。
缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:在锐捷路由器中,端口复用默认是启用的,有没有overload关键字都是一样的,保留这个参数是为了和Cisco的命令兼容。
配置内部源地址的动态NAT时,访问控制列表定义的是内部本地地址的规则,IP地址池中定义的是内部全局地址,它通常是注册的合法地址。
范例1:
Router(config)#ip nat pool np 200.10.10.1 200.10.10.9 netmask 255.255.255.0
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
Router(config)#ip nat inside source list 1 pool np overload
本例定义了一个内部源地址动态NAT,内部本地地址为192.168.1.*和172.16.*.*的格式,由access-list 1定义,只有这两种地址才会进行NAT转换。内部全局地址为200.10.10.1~200.10.10.9,共9个地址,由地址池np定义。每个全局地址都可以和多个本地地址建立映射,用端口号区分各个映射。
范例2:
Router(config)#access-list 1 permit 192.168.0.0 0.0.255.255
Router(config)#ip nat inside source list 1 interface s1/0 overload
本例定义了一个内部源地址动态NAT,内部本地地址为192.168.*.*的格式,由access-list 1定义。内部全局地址为 Serial 1/0 的IP地址。所有本地地址都会映射为这一个IP地址,用端口号区分各个映射。
相关命令:
ip nat pool 创建一个NAT地址池
access-list 定义访问控制列表
ip nat inside source static 语法:
ip nat inside source static local-address global-address [permit-inside]
no ip nat inside source static local-address global-address [permit-inside]
ip nat inside source static protocol local-address local-port global-address global-port [permit-inside]
no ip nat inside source static protocol local-address local-port global-address global-port [permit-inside]
启用内部源地址转换的静态NAT。使用 no 选项可删除该静态NAT。
参数:
local-address:内部本地地址。是主机在网络内部的IP地址,一般是未注册的私有地址。
global-address:内部全局地址。是内部主机在外部网络表现出的地址,一般是注册的合法地址。
protocol:协议。可以是 TCP 或 UDP。
local-port:本地地址的服务端口号。
global-port:全局地址的服务端口号,它可以和local-port不同。
permit-inside:允许内部用户使用全局地址访问本地主机。
缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:静态NAT主要用于那些对需要对外部用户开放的服务,如Web服务器等,它可以把本地地址映射为指定的全局地址。
第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个全局地址可映射多个内部地址,用端口号区分各个映射。
范例1:
【华为路由基于IP的管理】推荐阅读:
路由器的配置实验报告11-08
路由协议实验报告07-02
智能路由器10-10
动态路由实验报告10-25
华为管理之道05-28
浅述RIP路由协议06-01
动态路由协议链路状态11-04
华为管理案例分析11-02
具体体验无线路由连接设置06-21