华为路由器交换机常用命令

Stelent配置

[r4]rsa local-key-pair create 
[r4]user-interface vty 0 4
[r4-ui-vty0-4]authentication-mode aaa
[r4-ui-vty0-4]protocol inbound ssh
[r4]aaa
[r4-aaa]local-user admin service-type ssh
[r4-aaa]local-user admin password cipher
[r4]ssh user admin authentication-type password #不输此条可以进
Info: Succeeded in adding a new SSH user.
[r4]stelnet server enable

客户端配置:

[r3]ssh client first-time enable

MSTP配置

[S1]stp region-configuration
[S1-mst-region]region-name vlan10
[S1-mst-region]revision-level 1
[S1-mst-region]instance 1 vlan 10
[S1-mst-region]instance 2 vlan 20
ACTIV

Smart 与 Monitor Link配置

[s1]smart-link group 1
[s1-smlk-group1]smart-link enable
[s1-Ethernet0/0/3]stp disable #端口需关闭stp
[s1-smlk-group1]port  Ethernet 0/0/3 master #配置主备
[s1-smlk-group1]restore enable #配置回切
[s1-smlk-group1]timer wtr 30 #配置回切时间

[s2-mtlk-group1]port  g 0/0/1 uplink 
[s2-mtlk-group1]port Ethernet 0/0/3 downlink 
[s2-mtlk-group1]timer recover-time 10 #配置回切时间

Eth-Trunk配置

[s1]int Eth-Trunk 1
[s1-Eth-Trunk1]mode manual load-balance //手工负载分担

//路由器需要改为三层模式
[ASBR2-Eth-Trunk1]undo portswitch

OSPF

定义了四种网络：Broadcast，NBMA，P2P，P2MP

[r1-ospf-1-area-0.0.0.0]authentication-mode simple plain admin
//明文认证，需在同区域路由器上配置
[r1-ospf-1-area-0.0.0.0]authentication-mode md5 1 admin
//MD5认证，需在同区域路由器上配置
[r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 admin
//链路MD5认证，需在相邻接口上配置
[r1-ospf-1]silent-interface g 0/0/0
//被动接口，不发送ospf报文

OSPF区域内router id 必须保持唯一

[r1]ospf 1 router-id 1.1.1.1
//可以与全局Router id不一致

优先级为0不参与DR选举
DR是在广播或者NBMA 网络内进行选举，针对接口而言。可以同时是BDR或者DR other
DR/BDR选举是非抢占的
P2P/P2MP中不选举DR/BDR
DR和BDR是通过路由器接口的优先级决定的，如果一样则通过router-id优先级判断
DR/BDR会与所有路由器建立邻接关系，其它路由器只与DR/BDR建立邻接关系

[r1-GigabitEthernet0/0/2]ospf network-type p2mp
//修改网络类型
[r1-GigabitEthernet0/0/2]ospf dr-priority 100
//修改DR优先级

[r2-GigabitEthernet0/0/0]ospf cost 20
//修改cost值

P2P，广播类型接口hello报文间隔10s，邻居失效时间40s
P2MP，NBMA网络类型接口hello报文间隔30s，邻居失效时间120s

[r1-ospf-1]preference 120
//修改优先级
[r2-GigabitEthernet0/0/0]ospf cost 150
//修改端口开销值
[r1-GigabitEthernet0/0/2]ospf timer hello 20 
//邻居需保持一致才能建立
[r1-GigabitEthernet0/0/2]ospf timer dead 80
//邻居需保持一致才能建立

被动接口将不会发送和接收OSPF报文

[r2-ospf-1]silent-interface GigabitEthernet 0/0/2

OSPF认证：

基于区域

[r3-ospf-1-area-0.0.0.0]authentication-mode simple plain admin

基于接口

[r2-GigabitEthernet0/0/1]ospf authentication-mode md5 24 cipher admin

接口建立过程：
Down_Init_2-Way_ExStart_
Exchange_Loading_Full
邻居关系建立后，完成链路状态信息交换后才能建立邻接关系
LSA：
Type-1（router lsa）描述路由器直连链路状态，只在区域内部泛洪
Type-2（network lsa）由DR产生，只能在所属区域泛洪
Type-3（network summary lsa）由ABR产生,将所连区域的type-1,type-2转换为type-3.在AS内部泛洪.
Type-4（ASBR summary lsa）描述到ASBR的路由,在AS内部泛洪
Type-5（AS external lsa）描述到AS外部网络的路由,在AS内部泛洪
Type-6 用于OSPF组播
Type-7（NSSA lsa）,描述到AS外部的路由

OSPF区域

Stub和Totally Stub

1.不允许type-4和type-5 lsa进入,以减少lsa数量
2.area 0不能被配置
3.无法通过Virtual-link
4.不允许包含ASBR

[Huawei-ospf-1-area-0.0.0.1]stub 
//修改缺省路由开销
[Huawei-ospf-1-area-0.0.0.1]default-cost 10

5.Totally Stub进一步拒绝除缺省路由外的域间路由信息(type-3 lsa)

[Huawei-ospf-1-area-0.0.0.1]stub no-summary

NSSA和Totally NSSA

与Stub一样
可以将外部路由以type-7 lsa(只会出现在NSSA和Totally NSSA)的方式引入本区域,这些type-7 lsa将在本区域的ABR上转为type-5并泛洪
3.需将所有路由器都设置为NSSA

[Huawei-ospf-1-area-0.0.0.2]nssa 

[Huawei-ospf-1-area-0.0.0.2]nssa no-summary

OSPF虚链路

所有区域必须通过ABR与骨干区域相连

[r3-ospf-1-area-0.0.0.1]vlink-peer 10.0.1.1
[r1-ospf-1-area-0.0.0.1]vlink-peer 10.0.3.3
//修改指定端口ospf开销值
[r3-GigabitEthernet0/0/2]ospf cost 10
//配置认证
[r2-ospf-1-area-0.0.0.1]vlink-peer 10.0.1.1 hmac-md5 1 plain huawei

OSPF链路聚合

[Huawei-ospf-1-area-0.0.0.0]abr-summary 20.0.0.0 255.255.252.0

OSPF规定不允许通过import-route static注入缺省路由
2.注入缺省路由的前提是该路由器上必须已经有一条通过其他方法获得的缺省路由

[Huawei-ospf-1]default-route-advertise
//提高网络稳定性,无论是否存在缺省路由都向OSPF网络注入缺省路由
[Huawei-ospf-1]default-route-advertise always

BGP

内部网关协议:IGP(RIP,OSPF,IS-IS)
外部网关协议:EGP(BGP)
1.自身不产生路由,不发现路由,不计算路由
2.完成最佳路由选择并在邻居间传递
3.采用TCP协议,端口:179
4.支持CIDR,采用触发增量更新
5.邻居分为IBGP(同AS)与EBGP(不同AS)
6.一个HoldTime周期为180s

bgp 100
 router-id 10.0.2.2
 peer 10.0.3.3 as-number 200 
 peer 10.0.3.3 connect-interface LoopBack0
 peer 10.0.12.1 as-number 100 
 peer 10.0.21.1 as-number 100

6.EBGP发送BGP报文时,TTL值为1,用Loopback接口会多减1

[r2-bgp]peer 10.0.3.3 ebgp-max-hop 2

1.BGP认证

1.简单认证

[r2-bgp]peer 10.0.3.3 password simple huawei
[r3-bgp]peer 10.0.2.2 password cipher huawei

1.基于Keychain认证:

Absolute:有效时间为绝对时间段
Periodic: 有效时间为周期时间(如weekly,daily等)

[r3]keychain test mode periodic daily 
//设置key id
[r3-keychain]key-id 1
//设置认证算法
[r3-keychain-keyid-1]algorithm md5 
//设置key-string
[r3-keychain-keyid-1]key-string huawei
//设置发送接收时间
[r3-keychain-keyid-1]send-time daily 00:00 to 23:00
[r3-keychain-keyid-1]receive-time daily 00:00 to 23:00
//设置认证
[r3-bgp]peer 10.0.2.2 keychain test

3.使用keychain认证时,应保证名称,key-id,algorithm,key-string保持一致.不在设置时间段内,不会被用于认证,不同id不能在同一send-time内

//容忍所有时间延迟
[r3-keychain]receive-tolerance infinite

2.BGP路由聚合

不会自动聚合BGP邻居发送的路由和使用network通告的路由

//开启自动聚合
[r1-bgp]ipv4-family unicast
[r1-bgp-af-ipv4]summary automatic

对ip地址规划要求较高,自动聚合很少使用

3.BGP路径选择

1. Preferred Value

取值0-65535,越大优先级越高,默认为0
不会发送给邻居,仅作为本地路由器来选择最佳路径

//用route-policy实现
[r3]route-policy 1 permit node 10 
[r3-route-policy]if-match ip-prefix 1 
[r3-route-policy]apply preferred-value 10
//允许其它路由不被修改
[r3]route-policy 1 permit node 20
//调用路由策略
[r3-bgp]peer 10.0.2.2 route-policy 1 import

2. Local Preference

若PreVal相同则比较LocPrf
控制流量从哪个出口离开AS
默认情况下,本地使用Network和import引入的路由值为空,从IBGP获取的路由值为空时,接收路由默认添加100
Local Preference不会通告给EBGP对等体,仅在AS内部传递

[r1-bgp]default local-preference 120

3. Next Hop

若PreVal,LocPrf相同,则比较Next Hop
若Next Hop属性中ip地址不可达,则无法参与选路
Next Hop发布给EBGP时,ip会被自动修改,发送给IBGP时,不会被自动修改

peer 10.0.3.3 next-hop-local

通信双方往返报文选用不同路径的现象是不对称路由,可能会导致通信中断

4.AS_Path

属性可以手动修改
从EBGP收到路由时,如果包含自己AS编号,则会被丢弃

[Huawei-route-policy]if-match ip-prefix test
[Huawei-route-policy]apply as-path 500 500 additive
[Huawei]route-policy test permit node 20
[Huawei-bgp]peer 10.0.1.1 route-policy test import

5. MED

MED值越小,相应路由优先级越高
主要用于控制邻居AS的流量从哪个入口进入到本AS
MED属性只影响相邻的两个AS,收到后不会传递给别的AS

[Huawei]ip ip-prefix test permit 10.0.0.1 24
[Huawei-route-policy]if-match ip-prefix test
[Huawei-route-policy]apply cost 200
[Huawei]route-policy test permit node 20

6. Community

AA:NN(AA为AS号,NN为团体编号)
1.Internet:所有路由器默认
2.No-Export:不会发布给EBGP对等体,但可以发布给联盟EBGP对等体
3.No-Advertise:不发布给任何BGP对等体
4.No-Export-Subconfed,不会发布给任何EBGP对等体

//配置联盟
[Huawei-bgp]confederation id 200
//配置联盟对等体
[Huawei-bgp]confederation peer-as 2002
//还是用前缀列表匹配
[Huawei-route-policy]apply community no-advertise
[Huawei-route-policy]apply community no-export
[Huawei-route-policy]apply community no-export-subconfed

默认情况下,向BGP对等体传送路由信息不携带团体属性

[Huawei-bgp]peer 10.0.1.1 advertise-community

自定义团体属性

[Huawei]ip ip-prefix test2 permit 10.0.2.2 24
[Huawei-route-policy]if-match ip-prefix test2
[Huawei-route-policy]apply community 100:1
//相应对等体匹配自定义属性
[Huawei]ip community-filter 1 permit 100:1
[Huawei]route-policy 1 deny node 10
[Huawei-route-policy]if-match community-filter 1 
[Huawei]route-policy 1 permit node 20
//调用
[Huawei-bgp]peer 10.0.1.1 route-policy 1 import

4.BGP路由反射器

1.缺省情况下路由器从IBGP对等体收到的路由不会传递给其他IBGP(水平分割防环),所以需要全连接
2.一个AS内部可以有多个Cluster
3.一个Cluster可以有多台反射器
4.EBGP之间不存在反射器概念

//
##创建组
[r1-bgp]group test
[r1-bgp]peer 10.0.2.2 group test
##配置反射客户端
[r1-bgp]peer test reflect-client
[r1-bgp]peer test next-hop-local
##配置cluster-id
[r1-bgp]reflector cluster-id 1

5.BGP路由反射器从一个客户端收到路由后,会传递给其他客户端,非客户端以及EBGP
6.BGP路由反射器与非客户端依旧遵循水平分割

MPLS BGP VPN

跨域Option B

ipv4-family vpnv4
//
  undo policy vpn-target //通过MP-eBGP传递路由
  apply-label per-nexthop //改变路由下一条
  peer 3.3.3.3 enable

跨域过程中，路由通过MP-BGP方式传递，不需要配置LDP协议，但在互联接口必须配置MPLS

 # 在PE上的bgp vpn-instance中配置邻居关系
 ipv4-family vpn-instance 1 
  import-route direct
  peer 10.0.23.2 as-number 100

PE上配置允许路由信息交换携带团体属性

//
 ipv4-family vpnv4
  policy vpn-target
  peer 3.3.3.3 enable //启用对等体交换VPNv4的能力，两端都要启用
  peer 3.3.3.3 advertise-community

在BGP/MPLS IP VPN场景中，如果两个VPN站点所处的自治系统使用的是私有AS号，可能会出现两个VPN站点的AS号相同的情况。此时如果VPN站点内的交换模块通过EBGP向本端PE发送一条私网路由，并经过对端PE发送到对端交换模块，则对端交换模块会由于AS号重复丢弃这条路由，导致同一VPN的不同站点之间无法连通。此时需要在PE上执行peer substitute-as命令使能AS号替换功能，即用本地AS号替换收到的私网路由中交换模块所在VPN站点的AS号，这样对端交换模块就不会因为AS号重复而丢弃路由了。

peer substitute-as
peer soo xx:xx //配置防环

VRRP

Master选举基于优先级，（0-255，默认为100）越大优先
虚拟ip拥有者优先级为255
虚拟ip地址必须和接口ip地址在同一网段

[r2-Ethernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254
[r3-Ethernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254

[r3-Ethernet0/0/0]vrrp vrid 1 priority 120

同一设备同一接口可以加入多个备份组

[r2-Ethernet0/0/0]vrrp vrid 2 virtual-ip 192.168.1.253

[r2-Ethernet0/0/0]vrrp vrid 1 preempt-mode disable 
//设置为非抢占模式
[r2-Ethernet0/0/0]vrrp vrid 2 track interface g 0/0/0 reduced 50
//监视上行链路，故障时减少优先级
[r3-Ethernet0/0/0]vrrp vrid 1 authentication-mode md5 admin
//配置接口认证

ACL

基本ACL：2000-2999
高级ACL：3000-3999
二层ACL：4000-4999
用户自定义：5000-5999

1.基本访问控制

Acl规则是顺序性的，如果ID小的规则已被命中，并且已被执行，则后续的规则不会再匹配
可匹配源ip，报文分片标记，时间段信息
通配符掩码中的“0”所对应的位必须是匹配的，而“1”所对应的位可以忽略

//
[r4]acl 2000
[r4-acl-basic-2000]rule 5 permit source 1.1.1.1 0
##0为反掩码，精确匹配
[r4-acl-basic-2000]rule 10 deny source any 
[r4-acl-basic-2000]rule 10 deny source any 
##需要在数据入方向调用
[r4-acl-basic-2000]rule 15 permit source 2.2.2.2 0
## 不会再匹配
##接口调用
[CE3-GigabitEthernet0/0/3]traffic-filter outbound acl 2000

域间防火墙共有16种安全级别，取值范围：0-15（15为local使用）

[r1]firewall zone HR
[r1-zone-HR]priority 12
[r1-GigabitEthernet0/0/0]zone HR
[r1]display firewall zone 
//查看相应区域

防火墙从高级别区域->低级别安全域报文为Outbound
低级别区域->高级别区域为Inbound
高级区域可以访问低级区域，相应报文也能正常返回

[r1]firewall interzone HR SALES 
[r1-interzone-HR-SALES]firewall enable
/*
interzone HR SALES
 firewall enable
 packet-filter default deny inbound
 packet-filter default permit outbound
*/
[r1-acl-adv-3000]step 10
[r1-acl-adv-3000]rule deny ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0
 0.0.0.255
[r1]firewall interzone SALES HR 
[r1-interzone-HR-SALES]packet-filter 3000 outbound 

[r1-acl-adv-3001]rule 10 permit tcp source 172.16.2.0 0.0.0.255 destination 192.
168.1.20 0 destination-port eq 80
[r1-interzone-TRUST-SALES]packet-filter 3001 inbound 

[r1]time-range test 14:00 to 16:00 daily 
/*设置时间跨度*/
[r1-acl-adv-3003]rule permit tcp source 172.16.3.0 0.0.0.255 destination 192.168
.1.20 0 destination-port eq 80 time-range test
[r1-acl-adv-3003]rule permit icmp source 172.6.3.0 0.0.0.255 destination 192.168
.1.20 0
[r1-acl-adv-3003]rule permit icmp source 172.6.3.0 0.0.0.255 destination 192.168
.1.10 0
[r1-interzone-TRUST-IT]packet-filter 3003 inbound 

/*设置用户访问*/
[r1-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):admin
[r1-acl-basic-2000]rule permit source 192.168.1.1 0
[r1-ui-vty0-4]acl 2000 inbound

2.高级访问控制

编号范围：3000-3999

[r4]acl 3000
[r4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
[r4-ui-vty0-4]acl 3000 inbound

3.前缀列表

IP-Prefix List
匹配条目由ip地址（可以是网段地址或主机地址）和掩码（范围：0-32）组成
可同时匹配前缀长度和前缀号，主要用于路由匹配和控制，不能用于数据包过滤
路由器转发数据数据包会根据最长匹配的原则匹配路由条目

ip ip-prefix 1 deny 192.168.1.0 25 greater-equal 25 less-equal 25
//精确匹配25位
//可简写为：ip ip-prefix 1 deny 192.168.1.0 25 
[r1]ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32
//放行，前缀列表隐含一条拒绝所有的规则
[r1-ospf-1]filter-policy ip-prefix 1 import 
//将前缀列表应用到过滤策略

filter-policy （过滤策略，控制发布）

[r2-rip-1]filter-policy 2000 export GigabitEthernet 0/0/0

4.路由策略（Route-Policy）

可以对引入的路由信息的某些属性进行修改
由一个或多个Node组成，Node之间是或的关系（路由项目按顺序通过各个Node）
Node由if-match（与）和apply子句组成
if-match（匹配规则），apply（规定处理动作）
如果是permit模式，当满足该Node所有的if-match子句时，就被允许通过该Node并执行apply，不再进入下一个Node；如果不满足，则进入下一个Node
如果是deny模式，当满足该Node所有的if-match子句时，就被拒绝通过该Node，同时apply子句不会被执行，不再进入下一个Node；如果不满足，则进入下一个Node

[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.254.255 
/*用acl匹配相应网段*/

[r2]route-policy im-ospf permit node 5
[r2-route-policy]if-match acl 2000
[r2-route-policy]apply cost 20
[r2-route-policy]apply cost-type type-1
/*创建node，并指定匹配规则和处理动作*/
[r2-ospf-1]import-route rip route-policy im-ospf 
/*应用Route-policy*/

Route-policy存在一条默认规则：若某条路由没有通过任何Node，则该条路由不会引入（可以通过创建一个Node，Permit，不需要定义if-match与apply）

[r2]route-policy im-ospf permit node 100

[r2]ip ip-prefix im-ospf index 10 permit 10.0.12.0 24
/*通过前缀列表匹配指定网段*/
[r2-route-policy]if-match ip-prefix im-ospf
/*添加deny的node*/

PPP

HDLC面向位，PPP面向字节，是一种多协议成帧机制
串口默认封装PPP协议

[r1-Serial0/0/0]link-protocol hdlc

PAP：两次握手，密码明文来回传输
CHAP：三次握手，只传输用户名，密码验证通过Hash值

[r2-Serial0/0/0]ppp authentication-mode pap
##端口认证模式
[r2-aaa]authentication-scheme admin
##创建认证方案
[r2-aaa-authen-admin]authentication-mode local 
## 认证模式为本地模式
[r2-aaa]domain admin
## 创建域
[r2-aaa-domain-admin]authentication-scheme admin
##配置域的认证方案
[r2-aaa]local-user admin password cipher admin
[r2-aaa]local-user admin service-type ppp 
## 配置本地认证方式
[r1-Serial0/0/0]ppp  pap local-user admin password  cipher admin
## 对端配置

[r2-Serial0/0/0]ppp authentication-mode chap 
##改为chap认证
[r1-Serial0/0/0]ppp chap user admin 
[r1-Serial0/0/0]ppp chap password cipher admin

IPv6

[r1]ipv6 
[r1-GigabitEthernet0/0/1]ipv6 enable
[r1-GigabitEthernet0/0/1]ipv6 address 2002::1 64

OSPFv3基于链路运行，同一链路上节点不必具有相同前缀
OSPFv2，对于广播和NBMA网络邻居路由以ip地址作为标识
OSPFv3邻居以router-id（必须配置）作为标识

[r1]ospfv3 1
[r1-ospfv3-1]router-id 1.1.1.1
[r1-GigabitEthernet0/0/0]ospfv3 1 area 0

GRE（通用路由封装协议）

将一种协议报文封装在另一种协议的报文中
异种报文的传输通道称为Tunnel

[r1]interface Tunnel 0/0/0
[r1-Tunnel0/0/0]tunnel-protocol gre 
[r1-Tunnel0/0/0]source 10.0.12.1
[r1-Tunnel0/0/0]destination 10.0.23.3
[r1-Tunnel0/0/0]ip address 172.168.1.2 24
##需配置IP地址

GRE协议支持组播数据传输，可以支持动态路由协议的运行

[r1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]network 172.168.1.0 0.0.0.255
/*[r1]display ospf peer 

     OSPF Process 1 with Router ID 1.1.1.1
         Neighbors 

 Area 0.0.0.0 interface 172.168.1.1(Tunnel0/0/0)'s neighbors
 Router ID: 3.3.3.3          Address: 172.168.1.2     
   State: Full  Mode:Nbr is  Master  Priority: 1
   DR: None   BDR: None   MTU: 0    
   Dead timer due in 29  sec 
   Retrans timer interval: 5 
   Neighbor is up for 00:00:41     
   Authentication Sequence: [ 0 ] */

QoS

Best-effort（尽力转发）
IntServ（集成模型）多用于语言和视频场景
DiffServ（差分服务）在网络边界上为各类报文上色，基于类（需要为每个类单独定义策略），需要在网络的每一跳上配置

1.DiffServ业务

报文分类和标记（实现差分服务的前提和基础）
流量监管，整形和接口限速
拥塞管理和拥塞避免

2.部署工具

传统工具
模块化命令接口（MQC）
1. 配置流分类（traffic classifier）

[Huawei-acl-adv-3000]rule 10 permit ip vpn-instance 1
//or 或逻辑，and 与逻辑
[Huawei]traffic classifier c1 operator or
[Huawei-classifier-c1]if-match acl 3000
[Huawei-classifier-c1]if-match inbound-interface GigabitEthernet 0/0/0

配置流行为（traffic behavior）

//
[Huawei]traffic behavior b1
##报文标记
[Huawei-behavior-b1]remark dscp af41
[Huawei-behavior-b1]remark mpls-exp 4
##接口带宽的40%
[Huawei-behavior-b1]queue af bandwidth pct 4

配置流策略（traffic policy）

一个流策略可以绑定多个流分类和流行为，可以应用到接口的入方向或出方向上
报文先匹配上面的类，不匹配的会和最底下的默认类匹配

//
[Huawei-trafficpolicy-p1]classifier c1 behavior b1 
##默认匹配
[Huawei-trafficpolicy-p1]classifier default-class behavior b1

应用流策略

流策略一定要与接口关联，每个接口每个方向只能关联一个traffic policy
流策略一旦应用后，必须在接口下取消，才能删除策略及其包含的行为和分类
有些机制只能工作在接口的出方向或入方向，做策略时，应用方向要与QoS支持的方向一致才能配置成功

[Huawei-GigabitEthernet0/0/0]traffic-policy p1 outbound

3.分类

接口使用ACL（多和传统QoS工具一起使用）

[Huawei-GigabitEthernet0/0/1]qos car outbound acl 2000 cir 1024 cbs 320000 pbs 4
32000 green pass yellow pass red discard

使用MQC分类

- 一层匹配：接口或子接口
- 二层匹配：MAC,VLAN ID,802.1P,MPLS EXP,Frame Relay
- 三层匹配：IPP,DSCP及源/目的IP
- 四层匹配：TCP,UDP
- 更高层：URL等
- Default-class 永远处于列表最后，默认存在，默认匹配所有的流

MQC可使用SAC（业务感知）做深度识别

4.标记

对分类的流量打上不同的标签

内部优先级和报文优先级
- 内部：值根据接口配置的信任或Remark生成
- 报文：本身携带QoS标记（报文离开设备时可能会被重写，把内部优先级作为报文优先级携带出去）
优先级映射
MPLS网络用EXP区分报文，在不同网络边界做不同标记映射
优先级种类：
- 802.1p以太网：0-7，Cos（只在Trunk或Hybrid链路上出现的tagged帧才携带）
- EXP：0-7，需要在网络边缘对MPLS报文的EXP域进行标记，在MPLS网络中间节点，根据报文的EXP域对报文进行分类，并实行拥塞管理，流量监管或流量整形等PHB行为
- IP Precedence（不建议）:0-5,6,7。多使用IPP6识别报文
- DSCP（建议）：可提供64种差分服务，默认值为0。AF PHB前三位值越大转发级别越高，后三位值越大丢弃概率越大（如：AF41,AF13），EF PHB值为46，分给时延敏感的VoIP流量
生成内部标记（信任关系）
- 当报文进入设备内部，根据接口配置的信任状态决定设备内部的优先级。trust{8021p | dscp | exp}
- 配置override后，离开设备的报文802.1p，dscp值均被修改为内部优先级
- 端口未配置trust命令，所有报文都根据端口优先级进入一个队列，无法实现差分服务

[Huawei-GigabitEthernet0/0/0]trust dscp

[Huawei-GigabitEthernet0/0/0]port priority 1

生成内部标记（Rrmark工具）
remark配置优于信任起作用
报文离开设备（重写报文优先级）
- 若配置了override，出接口报文优先级为内部优先级
- 若使用MQC或CAR Remark，则离开报文优先级为报文入口配置的优先级

[Huawei]qos map-table dot1p-dscp
[Huawei-maptbl-dot1p-dscp]input 2 output 14
[Huawei-GigabitEthernet0/0/1]trust 8021p override

5.队列技术

1.软件队列（Qos Queue-profile）（不重要）

PQ调度：严格按照队列优先级调度，只有高优先级调度完后，低优先级队列才有调度机会(不需要权值)
WRR调度（加权轮询）：根据权值服务整个队列，以报文为单位，大尺寸报文获得的实际带宽大于小尺寸报文。延迟敏感报文（语音，视频）不无法得到服务保证，（权值默认为10）
DRR调度（赤字轮询）：解决了大尺寸报文获得的实际带宽大于小尺寸报文的问题（权值默认为10）
WFQ（加权公平队列）：把一个队列的报文称为流，小报文优先的基础上增加了优先级
PQ+WRR/DRR/WFQ：低延时用PQ（权值默认为10）
设备上，每个接口出方向都拥有4个或8个队列，只有WAN侧接口才支持PQ+WFQ调度。权值越大的队列被调用的次数越多
- 队列实现：最多可定义8个队列
- 多个PQ根据优先级调度
- 建议限制进入PQ队列的报文树，避免过多占用带宽
- 可以应用到逻辑接口或物理接口上
- 报文进入哪个队列，取决于报文的设备内部优先级
- Queue-profile软件系统可以内嵌拥塞避免和流量整形，拥塞避免一定要和队列一起工作，拥塞避免机制不和PQ队列一起使用

##设置队列名
[Huawei]qos queue-profile test
##设置调度方式
[Huawei-qos-queue-profile-test]schedule wfq 0 to 3 pq 4
##配置调度权值
[Huawei-qos-queue-profile-test]queue 0 to 3 weight 20

[Huawei-qos-queue-profile-test]queue 4 length packets 64 bytes 200022

2. 软件队列（Class-Base Queueing）

基于类的加权公平队列，CBQ（目前推荐使用），用MQC配置

CBQ提供以下四个队列：

1.确保转发（AF）
2.加速转发（EF）：满足低延时，低丢弃率，带宽占用小
3.尽力而为（BE）：缺省类
4.低延时（LLQ）：满足低延时，与EF加起来最多不超过4个用户

[Huawei-behavior-b1]queue ef bandwidth pct 10 cbs 2000
//配置ef后，不能再为该流行为配置af，llq，wfq，gts
[Huawei-behavior-b2]queue llq bandwidth pct 10 cbs 2000

AF队列：满足需要带宽保证的关键数据业务，采用尾丢弃策略，可选WRED丢弃策略
BE队列：满足不需要严格QoS保证的尽力发送业务，采用WFQ调度

CBQ实现

用户定义类：traffic-classifier
- AF需要显示定义的带宽
- 系统缺省为BE队列：默认为带宽的10%
队列技术对比： PQ,RR,FQ
- RR：WRR和DRR
- FQ：WFQ（Flow-based WFQ）和CBWFQ（Class-based WFQ）
- PQ：有上限阀值，无上限阀值，多个类共用，一个类一个

6.拥塞避免（Congestion Avoidance）

监视网络资源（队列或缓冲区），主动丢弃报文，缓解更多报文重传或TCP全局同步

1.丢弃策略

传统尾包丢弃（tail-drop）：
- 不加区分
- 引发TCP全局同步：多个TCP主机丢弃TCP连接报文，使多个TCP出现慢启动和流量高峰，引起网络起伏波动
- TCP饥饿：丢弃TCP报文，UDP报文不受丢包机制影响
WRED（weight random early detection）：最大阀值外丢弃所有报文，最低阀值内不丢弃报文，两者之间随机丢弃
- 支持基于DSCP或IP优先级进行丢弃
- 可在易发生的地方启用

2.配置基于队列的WRED

ip优先级分为0-7
DSCP优先级分为0-63，与ip优先级互相对应

//创建相应模板
[Huawei]drop-profile d1 
[Huawei-drop-profile-d1]wred dscp
[Huawei-drop-profile-d1]dscp af31 low-limit 40 high-limit 80 discard-percentage 
 40
[Huawei]qos queue-profile q1
[Huawei-qos-queue-profile-q1]schedule wfq 2 to 4
[Huawei-qos-queue-profile-q1]queue 2 drop-profile d1
[Huawei-GigabitEthernet0/0/1]qos queue-profile q1

3.配置MQC实现拥塞避免

丢弃模板在流行为中绑定，将流行为和对应的流分类在流策略下关联，并应用到接口上

拥塞避免只能配置在WAN接口上，LAN接口不支持
丢弃模板只能应用于AF队列和BE队列，所以配置基于流的拥塞避免必须先配置MQC实现拥塞管理
设备支持基于DSCP和IP优先级的WRED

[Huawei]drop-profile d2
[Huawei-drop-profile-d2]wred dscp //这步必须要配置
[Huawei-drop-profile-d2]dscp af32 low-limit 40 high-limit 60 discard-percentage 
30

[Huawei]traffic classifier c2
[Huawei-classifier-c2]if-match dscp 16
[Huawei]traffic behavior b2
[Huawei-behavior-b2]queue wfq //这步必须要配置
[Huawei-behavior-b2]drop-profile d2
[Huawei]traffic policy p2
[Huawei-trafficpolicy-p2]classifier c2 behavior b2 //如果报错，可以先绑定一个空行为，再绑定b2则可
[Huawei-GigabitEthernet0/0/0]traffic-policy p2 outbound

7.监管，整形及限速

流量监管TP（Traffic Policing），流量整形TS（Traffic Shaping），接口限速（Line Rate），通过令牌桶（Token Bucket）调度，给报文打上红，黄，绿不同颜色的标记

1. 令牌桶技术

单桶模型称为CBS桶，双桶分别称为CBS和EBS
- CBS（承诺突发尺寸）：C桶瞬间能通过的承诺突发流量
- EBS（超额突发尺寸）：E桶瞬间能通过的超出突发流量
- Tc和Te：C桶和E桶中的当前令牌数
- CIR：承诺信息速率，C桶允许传输或转发的速率，bit/s
- color：根据桶中当前令牌是否满足数据转发需要而定义的颜色标识
令牌桶模型1：单速单桶
对流量测评，为报文打上绿色或红色。桶中令牌以CIR注入，桶大小固定，当注入令牌超出桶容量后，多余令牌被丢弃。B表示到达报文大小：
- B≤Tc，报文标记为绿色，Tc减少B
- B>Tc，报文标记为红色，Tc不减少B

过程：若桶中有令牌，数据转发消耗令牌，若令牌足量，则报文标记为绿色，并减少桶中令牌。若桶中令牌不足，则报文标记为红色，桶中令牌不减

令牌桶模型2：单速双桶（三色）（只有监管应用才使用）
- B≤Tc，报文标记为绿色，Tc减少B
- Tc<B<Te，报文标记为黄色，Te不减少B
- Te<B，报文标记为红色，Tc，Te不减少

过程：C桶溢出时，过量令牌进入E桶，减少丢弃的损失，E桶现实中可稍微设置的大些

令牌桶模型3：双速双桶（三色）
PIR：峰值信息速率，PIR>CIR，P桶允许的速率
CIR：C桶允许速率
PBS：峰值突发尺寸，P桶容量
CBS：C桶容量
- Tp<B，报文标记为红色
- Tc<B≤Tp，报文标记为黄色，且Tp减少B
- B≤Tc，报文标记为绿色，Tp，Tc都减少B

应用较少，PIR一定要大于CIR，使流量分为3份，可以丢弃或打标记

2.监管（QoS CAR）

使用双桶模型的令牌桶来评估流量，超出部分丢弃为限速，重新标记为Remark。
可以定义在任何位置的出或入方向，一般是应用于网络边界部分

分类：
Meter：对网络流量进行调度
Marker：对报文染色（红，黄，绿）
Action：为报文定义动作：
- pass：转发
- remark+pass：修改优先级后转发
- discard：丢弃

2.配置

基于接口：

[Huawei-GigabitEthernet0/0/0]qos car inbound source-ip-address range 192.168.1.1
 to 192.168.1.100 cir 10000 pir 12000 green pass remark-dscp af21 yellow pass re
mark-dscp af23 red discard

基于类：

[Huawei-classifier-c1]if-match vlan-id 10
[Huawei-behavior-b1]car cir 10000 cbs 42000 pbs 84000
[Huawei-behavior-b2]car cir 10000 pir 40000 green pass yellow pass remark-dscp a
f23 red discard 
//开启流量统计
[Huawei-behavior-b1]statistic enable 
[Huawei-trafficpolicy-p1]classifier c1 behavior b1
[Huawei-GigabitEthernet0/0/0]traffic-policy p1 inbound

3.流量整形（gts）

主动调整流量输出速率，限制流量与突发，通常使用缓冲区和令牌桶，一般配置在本地设备出方向
工作过程
用于接口，子接口或队列
- 报文分类，进入不同队列
- 若令牌桶中有足够令牌，则直接发送，同时减少令牌数
- 若令牌桶中没有足够令牌，则将报文放入缓存队列，队列满时则丢弃报文
- 缓存队列满时，按一定周期取出报文发送，直到令牌桶中令牌减少到不能再发送或缓存队列中报文发送完毕
- 若配置了接口整形，则还需按接口整形进行控制
分类

基于接口的流量整形（cir是需要限制到的速率，cbs是整形中令牌桶大小，cbs不是越大越好，越大波动越大，但一定要大于1500）

[Huawei-GigabitEthernet0/0/0]qos gts cir 10000 cbs 10000

基于对列的流量整形（不常用）
使用队列模板（qos queue-profile）
注意：qos gts配置接口整形，接口整形的cir-value必须大于接口上所有队列整形的cir-value之和

[Huawei-qos-queue-profile-1]schedule wfq 0 to 5 pq 6 to 7
[Huawei-qos-queue-profile-1]queue 0 gts cir 1000 cbs 50000
[Huawei-qos-queue-profile-1]queue 1 gts cir 2000 cbs 50000
[Huawei-GigabitEthernet0/0/0]qos queue-profile 1
[Huawei-GigabitEthernet0/0/0]qos gts cir 5000 cbs 100000
//进入队列0，1的流量会经过两次整形

基于MQC的流量整形
包含流量整形的策略只能用在设备的出方向

[Huawei-behavior-b2]gts cir 5000 cbs 1250000 queue-length 1000
[Huawei-behavior-b2]statistic enable
[Huawei-GigabitEthernet0/0/0]traffic-policy p2 outbound

4. 限速（LR）

超出阀值部分直接丢弃，低于阀值部分直接通过，更多应用与网络边界（入接入交换机端口或网络边缘网关）
使用单速单桶模型

//路由器
[Huawei-GigabitEthernet0/0/0]qos lr pct 10 cbs 50000
//交换机
[Huawei-GigabitEthernet0/0/1]qos lr inbound cir 100000 cbs 2500000

BFD

可以发现接口故障，链路故障，转发引擎本身故障等
机制：

建立BFD会话
周期性发送BFD报文（目前只能达到毫秒级）
预定时间内没收到报文则认为发送故障

//子接口配置VRRP需要配置Dot1q报文的VLAN终结
[r1-GigabitEthernet0/0/2.1]dot1q termination vid 10
//并开启ARP广播功能
[r1-GigabitEthernet0/0/2.1]arp broadcast enable

过程：

启动全局bfd

[r1]bfd

配置延迟up功能

[r1-bfd]delay-up 50

建立BFD会话

[r1]bfd 1 bind peer-ip 10.0.1.200 interface GigabitEthernet 0/0/2.1

配置本地及远端标识符

[r1-bfd-session-1]discriminator local 1
[r1-bfd-session-1]discriminator remote 2

配置接收发送报文等待时间

[r1-bfd-session-1]min-tx-interval 50
[r1-bfd-session-1]min-rx-interval 50

修改最多等待接收hello报文数

[r1-bfd-session-1]detect-multiplier 3

提交配置

[r1-bfd-session-1]commit

配置VRRP监视BFD

[r2-GigabitEthernet0/0/0.1]dot1q vrrp vid 10
[r2-GigabitEthernet0/0/0.1]vrrp vrid 1 track bfd-session 2 reduced 40

VPWS/VPLS

1. 基础

虚拟专用网络（VPN）
“隧道”：VPN建立的加密连接，虚拟网络上的流量可以安全的通过互联网发送
常见的VPN技术：
- IPsec VPN（互联网协议安全）：不能穿越通常的NAT，防火墙
- SSL VPN（安全套接层协议层）：基于WEB应用的安全协议
- VPDN（虚拟专用拨号网）：隧道协议有PPTP,L2F,L2TP
- MPLS VPN（多协议标签交换）：一个标签对应一个数据流来区分不同用户
VPLS（虚拟专用局域网业务）
点到多点的L2VPN业务
EVPN（以太网虚拟私有网络）
解决了L2VPN无法实现负载分担，网络部署困难，无法CE多归属的问题
VPWS:基于二层以太网技术，点到点

2. VPLS

在MPLS上提供了类似LAN的业务，可以从多个地理位置接入网络，相互访问

2.1 实现：

创建隧道和PW，创建VSI，绑定PW到AC和VSI

建立一个承载隧道，创建PW(Pseudo-Wire伪线)，承载不同业务

1.png
创建VSI（Virtual Switch instance，虚拟交换实例），为每个VPLS单独划分一个虚拟交换处理单元，用于存放独立的MAC地址表和执行转发，并负责终结PW

2.png
绑定PW到AC和VSI，AC(Attachment Circuit，接入电路)CE和PE之间的链路。绑定后，VSI如同交换机一样工作记录不同接口学习的MAC地址，并生成MAC地址表项

2.2报文转发过程：

VPLS类似交换机，MAC地址学习依靠数据平面泛洪，没有控制平面参与
转发行为由查MAC地址表决定，如果MAC地址表有记录则查表转发，没有记录则泛洪

3.png

2.3 缺点

VPLS在CE双归接入PE存在环形拓扑的时候，同交换机的破环技术（STP）思路一样，采用阻塞一个端口方式形成无环的转发路径。因此VPLS接入形成了一种主备的模式
由于CE和PE之间只有一条链路转发数据，且PE与PE之间的链路无法形成多路径，可能造成部分链路拥塞

4.png
PE3在感知到链路故障后会向对端PE发送MAC-Withdraw报文，通知删除PE3相关MAC地址。同时PE4将备份链路升级为Active。对端PE1接收到撤销报文后将清除MAC地址，重新学习MAC地址。故障收敛时间与MAC地址数量强相关（逐条撤销）

5.png

2.4 三种常见的创建PW方式

静态手动配置，数量多，配置量大（不常用）
通过LDP信令创建（Martini）
通过BGP信令创建（Kompella）

6.png

2.4.1 配置LDP方式的VPLS

7.png

底层IGP
mpls ldp

PE和P上配置LSR ID，使能MPLS和MPLS LDP，建立全连接的LDP会话

[r1]mpls lsr-id 1.1.1.1
[r1]mpls ldp
[r1-GigabitEthernet0/0/1]mpls 
[r1-GigabitEthernet0/0/1]mpls ldp

remote ldp（配置ldp远端对等体）：

设备间不是直连的时，就需要配置LDP远端会话，两个LSR之间既可以建立本地会话，又可以建立远端会话

[r1]mpls ldp remote-peer r3
[r1-mpls-ldp-remote-r3]remote-ip 3.3.3.3

[r3]mpls ldp remote-peer r1
[r3-mpls-ldp-remote-r1]remote-ip 1.1.1.1
//查看会话建立情况
[r3]display mpls ldp session 
/*
 LDP Session(s) in Public Network
 Codes: LAM(Label Advertisement Mode), SsnAge Unit(DDDD:HH:MM)
 A '*' before a session means the session is being deleted.
 ------------------------------------------------------------------------------
 PeerID             Status      LAM  SsnRole  SsnAge      KASent/Rcv
 ------------------------------------------------------------------------------
 1.1.1.1:0          Operational DU   Active   0000:00:00  2/2
 2.2.2.2:0          Operational DU   Active   0000:00:11  47/47
 ------------------------------------------------------------------------------
 TOTAL: 2 session(s) Found. 
*/

创建VSI 和 PW

在PE上使能MPLS L2VPN

[r1]mpls l2vpn
[r3]mpls l2vpn

同一设备上不同VSI实例的名称不能相同

[r1]vsi A static 
[r3]vsi A static

执行命令pwsignal ldp，配置VSI的信令协议为LDP，并进入VSI-LDP视图

[r1-vsi-A]pwsignal ldp 
[r3-vsi-A]pwsignal ldp

配置LDP方式VPLS时，必须配置VSI ID和对等体的IP地址。VSI ID用于区分不同的VSI，在PW信令协商时使用

[r1-vsi-A-ldp]vsi-id 1
[r3-vsi-A-ldp]vsi-id 1

peer-address是对端对等体的IP地址，一般指定对等体的LSR-ID

[r1-vsi-A-ldp]peer 3.3.3.3
[r3-vsi-A-ldp]peer 1.1.1.1

配置VSI与AC接口的绑定

[r1-Ethernet1/0/9]l2 binding vsi A
[r3-Ethernet1/0/0]l2 binding vsi A

查看

8.png

9.png

注意：在VPLS应用中，不同的CE通过VSI透明地连接在同一局域网网段上，因此，这些CE不能配置相同的IP地址。同时，PE与CE相连的接口也不要配置与所连接CE相同的网段地址，否则本端CE可能学习到错误的ARP表项，从而导致同一个VSI的CE之间流量丢失

2.4.2 配置BGP方式的VPLS

利用BGP作为信令，配置BGP方式的VPLS，通过配置VPN Target实现VPLS PE的自动发现

10.png

IGP互联
MPLS LDP（同上）
BGP VPLS（用BGP建立LDP邻居）

BGP方式的VPLS与普通BGP使用同一条TCP连接，大部分继承普通BGP的配置。但由于PE之间要交换VPLS标签块信息，因此需要在L2VPN AD地址族视图下使能对等体交换VPLS标签块的功能

//
##进入L2VPN-AD地址族视图
[r1-bgp]l2vpn-ad-family
[r1-bgp-af-l2vpn-ad]peer 3.3.3.3 enable 
##使能BGP方式的VPLS功能
[r1-bgp-af-l2vpn-ad]peer 3.3.3.3 signaling vpls

[r3-bgp]l2vpn-ad-family
[r3-bgp-af-l2vpn-ad]peer 1.1.1.1 enable 
[r3-bgp-af-l2vpn-ad]peer 1.1.1.1 signaling vpls

查看邻居建立情况

11.png

创建VSI 和 PW

配置BGP方式VPLS时，需要创建VSI并配置BGP信令，并要配置VSI的RD、VPN-Target和创建site连接

[r1]vsi A auto
//VSI实例采用BGP信令
[r1-vsi-A]pwsignal bgp

在配置VSI的PW信令协议为BGP后，必须首先配置RD，才能进行其他相关配置

[r1-vsi-A-bgp]route-distinguisher 1:100
[r1-vsi-A-bgp]vpn-target 100:1

各个PE上同一VSI的Site ID值不能相同。配置本端的Site ID值需要满足条件：小于对端配置的site-range与default-offset之和且要大于等于对端的default-offset

[r1-vsi-A-bgp]site 1

配置VSI与AC接口的绑定

根据PE与CE之间不同的链路类型，在不同视图下将VSI与AC（Attachment Circuit）接口进行绑定

[r3-Ethernet1/0/9]l2 binding vsi A

查看：

12.png

13.png

VPLS相关部分内容来自：以太网二层技术——VPLS详解-CSDN博客（如有侵权可联系删除）

3. L2VPN接入L3VPN

3.1 概述

传统的组网环境中，为实现L2VPN接入公网或L3VPN（Layer 3 Virtual Private Network）业务，在接入网和承载网的交接处，一般需要两台设备PE-AGG（Provider Edge Aggregation）和NPE（Network Provider Edge）
NPE通过创建多业务接入虚拟以太网接口组VE-Group（Virtual Ethernet Group），可以在一台设备上同时完成L2VPN和L3VPN的接入和终结功能，从而使NPE可以同时完成传统组网中PE-AGG和NPE设备的功能
在VE-Group中，用于终结L2VPN的VE接口称为L2VE（Layer 2 Virtual Ethernet），用于接入L3VPN的VE接口称为L3VE（Layer 3 Virtual Ethernet）

NPE可以划分成多个VS，为了实现不同VS之间L2VPN和L3VPN业务互通，可以将同一个VE-Group中的L2VE和L3VE接口分配给不同的VS。

14.png

、

3.2 VPLS接入L3VPN

组网图：

15.png

配置：

连对MPLS接入网配置IGP，实现接入网的IP连通性
UPE和NPE间建立全连接的VPLS
对MPLS承载网配置IGP，实现承载网的IP连通性
在NPE上配置L3VPN基本功能
创建VE接口
创建L2VE接口
创建L3VE接口
配置VSI与L2VE接口绑定
配置接入公网或L3VPN
检查配置结果

...未完

NAT

1. 原理

NAT（Network Address Translation，网络地址转换）是将IP数据报头中的IP地址转换为另一个IP地址的过程

NAT有三种类型：静态，动态地址，网络地址端口转换

2. 配置NAPT(不限制公网和私网地址比例)