华为交换机QACL、RIP、OSPF的实现.doc

华为交换机QACL、RIP、OSPF的实现一QACL内容QACL是QoS & ACL的简称。下面分别介绍一下QoS和ACL。、QoS(服务质量)传统的分组网络对所有报文都无区别的等同对待。每个交换机/路由器对所有的报文采用先入先出的策略（FIFO）处理，尽最大的努力（Best-Effort）将报文送到目的地，但对报文传送的延时、延时抖动等传输性能不提供任何承诺和保证。随着计算机网络的高速发展，对带宽、延迟、抖动敏感的语音、图像、重要数据越来越多地在网上传输。这样一方面使得网上的业务资源极大地丰富，另一方面则由于经常遭遇网络拥塞，人们对网络传输的服务质量QoS（Qualityof Service）提出了更高的要求。以太网技术是当今被广泛使用的网络技术。目前，以太网不仅成为各种独立的局域网中的主导技术，许多以太网形式的局域网也成为了Internet 的组成部分。而且随着以太网技术的不断发展，以太网接入方式也将成为广大普通Internet 用户的主要接入方式之一。因此要实现端到端的全网QoS 解决方案，不可避免地要考虑以太网上的QoS 业务保证的问题。这就需要以太网交换设备应用以太网QoS 技术，对不同类型的业务流提供不同等级的QoS 保证，尤其是能够支持那些对延时和抖动要求较高的业务流。下面介绍QoS 的一些术语和概念。1、流流即业务流（traffic），指所有通过交换机的报文。2、流分类流分类（traffic classification）是指采用一定的规则识别出符合某类特征的报文。分类规则（classification rule）指配置管理员根据管理需求配置的过滤规则。分类规则可以很简单，比如可根据IP 报文头的ToS 字段，识别出有不同优先级特征的流量；也可以很复杂，如综合链路层（Layer 2）、网络层（layer3）、传输层（layer 4）信息诸如MAC 地址、IP 协议、源地址、目的地址、或应用程序的端口号等相关信息来对报文进行分类。一般的分类依据都局限在封装报文的头部信息，使用报文的内容作为分类的标准比较少见。3、包过滤包过滤就是将业务流进行过滤操作。例如丢弃操作（deny），该操作将匹配流分类规则的业务流丢弃，而允许其他所有流量通过。以太网交换机采用了复杂的流分类规则，这样可以针对业务流的各种信息进行过滤，丢弃那些无用的、不可靠、值得怀疑的业务流，从而增强了网络的安全性。实现包过滤，有两个关键的环节：第一步：是对进入端口的流量按即定的规则进行流分类；第二步：对区分出来的流进行过滤丢弃操作（deny）。deny 为缺省的访问控制操作。4、流量监管为了使有限的网络资源可以更好地为用户服务，QoS 在输入端口上可以对特定用户的业务流进行监管，使之适应分配给它的那部分网络资源。5、带宽保证带宽保证是指确保进入交换机的特定业务流一个最小的带宽，即使在网络拥塞时，也能满足一定的丢包率、时延及时延抖动等QoS 需求。6、端口限速端口限速就是基于端口的速率限制，它对端口输出报文的总速率进行限制。7、重定向用户可以基于自身QoS 策略的需要，重新指定报文的转发端口。8、优先级标记以太网交换机可为特定报文提供优先级标记的服务，标记内容包括TOS、DSCP、802.1p 等，这些优先级标记分别适用于不同的QoS 模型，在不同的模型中被定义。、ACL（访问控制列表）访问控制列表（ACL）具有区分数据包的功能，因此，它可以控制“什么样的数据包”可以做“什么样的事情”。例如：将访问控制列表应用于防火墙，可以在保证合法用户访问的同时拒绝非法用户的访问。也可以允许某种服务（如Telnet）通过，而拒绝另一种服务（如DNS）。在QoS的应用中，我们可以利用访问控制列表对网络中的数据流量进行控制，重要的数据得到优先处理，不重要的数据后处理，不需要的数据被丢弃。在DCC中我们则可以用访问控制列表来规定哪些数据包可以触发拨号。在地址转换中，访问控制列表还可以用来规定哪些数据包需要进行地址转换。另外访问控制列表还广泛应用于路由策略中，主要用作路由信息的过滤。IP数据包具有一定的特征，例如，对于每个TCP数据包，都包含有源地址、目的地址、协议号、源端口、目的端口，利用这5个元素就可以描述出一个数据包的特征。访问控制列表就是利用这些信息来定义规则，区分不同的数据包（例如所有源地址是202.10.10.0地址段的数据包、所有使用Telnet访问的数据包等等），路由器将在使能访问控制列表的接口上对所有的数据包进行规则的匹配检查。一条访问控制规则可以由多条子规则组成。由于每一条子规则指定的数据包的范围大小有别，在匹配一个访问控制规则的时候就存在匹配顺序的问题。二RIP内容RIP是Routing Information Protocol（路由信息协议）的简称。它是一种相对简单的动态路由协议，但在实际使用中有着广泛的应用。RIP是一种基于D-V算法的路由协议，它通过UDP交换路由信息，每隔30秒向外发送一次更新报文。如果经过180秒没有收到来自对端的路由更新报文认为目的网络或主机不可达，再过120秒就将该条路由从路由表中删除。RIP使用跳数（Hop Count）来衡量到达目的网络的距离，称为路由权（Routing Metric）。在RIP中，三层交换机到与它直接相连网络跳数为0，通过一个路由器（或三层交换机）可达的网络的跳数为1，其余依次类推。为限制收敛时间，RIP规定metric取值015之间的整数，大于或等于16的跳数被定义为无穷大，即目的网络或主机不可达。为提高性能，防止产生路由环路，RIP支持水平分割（Split Horizon）与路由中毒（Poison Reverse），并在路由中毒时采用触发更新（Triggered Update）。另外，RIP协议还允许引入其它路由协议所得到的路由。RIP又包括RIP-1和RIP-2两个版本，RIP-1支持变长子网掩码（VLSM），RIP-2支持变长子网掩码（VLSM），同时RIP-2支持明文认证和MD5密文认证。RIP-1使用广播发送报文，RIP-2有两种传送方式：广播方式和组播方式，缺省将采用组播发送报文，RIP-2的组播地址为224.0.0.9。组播发送报文的好处是在同一网络中那些没有运行RIP的网段可以避免接收RIP的广播报文；另外，组播发送报文还可以使运行RIP-1的网段避免错误地接收和处理RIP-2中带有子网掩码的路由。RIP协议是最早使用的IGP之一，RIP协议被设计用于使用同种技术的中小型网络，因此适应于大多数的校园网和使用速率变化不是很大的区域性网络。对于更复杂的环境，一般不使用RIP协议。在实现时，RIP作为一个系统长驻进程存在与路由器（或三层交换机）中，它负责从网络中的其它路由器接收路由信息，从而对本地IP层路由表作动态的维护，保证IP层发送报文时选择正确的路由，同时广播本路由器的路由信息，通知相邻路由器作相应的修改。RIP协议处于UDP协议的上层，RIP所接收的路由信息都封装在UDP的数据报中，RIP在520号端口上接收来自远程路由修改信息，并对本地的路由表做相应的修改，同时知道其它路由器。通过这种方式，达到全局路由的同步。RIP启动和运行的整个过程可描述如下：某路由器刚启动RIP时，以广播的形式向相邻路由器发送请求报文，相邻路由器的RIP收到请求报文后，响应该请求，回送包含本地路由表信息的响应报文。路由器收到响应报文后，修改本地路由表，同时向相邻路由器发送触发修改报文，广播路由修改信息。相邻路由器收到触发修改报文后，又向其各自的相邻路由器发送触发修改报文。在一连串的触发修改广播后，各路由器都能得到并保持最新的路由信息。同时，RIP每隔30秒向相邻路由器广播本地路由表，相邻路由器在收到报文后，对本地路由进行维护，选择一条最佳路由，再向其各自相邻网络广播修改信息，使更新的路由最终能达到全局有效。同时，RIP采用超时机制对过时的路由进行超时处理，以保证路由的实时性和有效性。三OSPF内容OSPF是Open Shortest Path First（即“开发最短路由优先协议”）的缩写。它是IETF（Internet Engineering Task Force）组织开发的一个基于链路状态的自治系统内部路由协议。在IP网络上，它通过收集和传递自治系统的链路状态来动态地发现并传播路由。、OSPF协议具有如下特点：1、适应范围OSPF支持各种规模的网络，最多可支持几百台路由器（三层交换机）。2、快速收敛如果网络的拓扑结构发生变化，OSPF立即发送更新报文，使这一变化在自治系统中同步。3、无自环由于OSPF通过收集到的链路状态用最短路径树算法计算路由，故从算法本身保证了不会生成自环路由。4、子网掩码由于OSPF在描述路由时携带网段的掩码信息，所以OSPF协议不受自然掩码的限制，对VLSM提供很好的支持。5、区域划分OSPF协议允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用网络的带宽。6、等值路由OSPF支持到同一目的地址的多条等值路由。7、路由分级OSPF使用4类不同的路由，按优先顺序来说分别是：区域路由、区域间路由、第一类外部路由、第二类外部路由。8、 持验证它支持基于接口的报文验证以保证路由计算的安全性。9、组播发送OSPF在有组播发送能力的链路层上以组播地址发送协议报文，即达到了广播的作用，又最大程度的减少了对其他网络设备的干扰。OSPF协议计算路由是以本路由器（或三层交换机）周边网络的拓扑结构为基础的。每台路由器将自己周边的网络拓扑描述出来，传递给其他所有路由器。、OSPF将不同的网络拓扑抽象为以下四种类型：1、该接口所连的网段中只有本路由器自己。（stub networks）2、该接口通过点到点的网络与一台路由器相连。（point-to-point）3、该接口通过广播或NBMA的网络与多台路由器相连。（broadcast or NBMA networks）4、该接口通过点到多点的网络与多台路由器相连。（point-to-multipoint）、OSPF的报文类型一共有五种：1、HELLO报文（Hello Packet）：最常用的一种报文，周期性的发送给本路由器的邻居。内容包括一些定时器的数值，DR，BDR，以及自己已知的邻居。2、DD报文（Database Description Packet）：两台路由器进行数据库同步时，用DD报文来描述自己的LSDB，内容包括LSDB中每一条LSA的摘要（摘要是指LSA的HEAD，通过该HEAD可以唯一标识一条LSA）。这样做是为了减少路由器之间传递信息的量，因为LSA的HEAD只占一条LSA的整个数据量的一小部分，根据HEAD，对端路由器就可以判断出是否已经有了这条LSA。3、LSR报文（Link State Request Packet）：两台路由器互相交换过DD报文之后，知道对端的路由器有哪些LSA是本地的LSDB所缺少的或是对端更新的LSA，这时需要发送LSR报文对方请求所需的LSA。内容包括所需要的LSA的摘要。4、LSU报文（Link State Update Packet）：用来向对端路由器发送所需要的LSA，内容是多条LSA（全部内容）的集合。5、LSAck报文（Link State Acknowledgment Packet）：用来对接收到的LSU报文进行确认。内容是需要确认的LSA的HEAD（一个报文可对多个LSA进行确认）。四配置实例：案例一：华为交换机RIP和OSPF协议的实现、功能需求及组网说明图1配置环境参数1、如图1，交换机SwitchA、SwitchB、SwitchC实现互连。2、SwitchA中Vlan10虚接口地址10.1.1.1/24，Vlan20虚接口地址20.1.1.1/24，Vlan20与SwitchB Vlan20互连，Vlan10接局域网；3、SwitchB中Vlan20虚接口地址20.1.1.2/24，Vlan30虚接口地址30.1.1.1/24，Vlan20与SwitchA Vlan20互连，Vlan30与SwitchC Vlan30互连；4、SwitchC中Vlan30虚接口地址30.1.1.2/24，Vlan40虚接口地址40.1.1.1/24，Vlan30与SwitchB Vlan30互连，Vlan40接局域网；5、PC1的IP地址为10.1.1.2/24，网关为10.1.1.1；PC2的IP地址为40.1.1.2/24，网关为40.1.1.1组网需求交换机之间运行动态路由协议，保证PC1和PC2互通。、数据配置步骤【SwitchA相关配置】1、创建（进入）Vlan10SwitchAVLAN 10SwitchA-Vlan10Port （VLAN 10的端口）2、创建（进入）Vlan10的虚接口SwitchAInterface Vlan 103、给Vlan10的虚接口配置IP地址SwitchA-Vlan-interface10Ip address 10.1.1.1 255.255.255.04、创建（进入）Vlan20SwitchAVlan 20SwitchA-Vlan10Port (Vlan 20的端口)5、创建（进入）Vlan20的虚接口SwitchAInterface Vlan 206、给Vlan10的虚接口配置IP地址SwitchA-Vlan-interface10Ip address 20.1.1.1 255.255.255.07、启动RIPSwitchArip 8、从10.1.1.0网段的接口发布和接收RIP路由信息SwitchA-ripNetwork 10.1.1.09、从20.1.1.0网段的接口发布和接收RIP路由信息SwitchA-ripNetwork 20.1.1.0【SwitchB相关配置】1、创建（进入）Vlan20SwitchBVLAN 20SwitchB-Vlan20Port（VLAN 20的端口）2、创建（进入）Vlan20的虚接口SwitchBInterface Vlan 203、给Vlan20的虚接口配置IP地址SwitchB-Vlan-interface20 Ip address 20.1.1.2 255.255.255.04、创建（进入）Vlan30SwitchBVlan 30SwitchB-Vlan30Port (Vlan 30的端口)5、创建（进入）Vlan30的虚接口SwitchB-Vlan30Interface Vlan 306、给Vlan30的虚接口配置IP地址SwitchB-Vlan-interface30 Ip address 30.1.1.1 255.255.255.07、启动RIPSwitchBrip8、从20.1.1.0网段的接口发布和接收RIP路由信息SwitchB-ripNetwork 20.1.1.09、从30.1.1.0网段的接口发布和接收RIP路由信息SwitchB-ripNetwork 30.1.1.0【SwitchC相关配置】1、创建（进入）Vlan30SwitchCVlan 30SwitchC-Vlan30Port （VLAN 30的端口）2、创建（进入）Vlan30的虚接口SwitchCInterface Vlan 303、给Vlan30的虚接口配置IP地址SwitchC-Vlan-interface30Ip address 30.1.1.2 255.255.255.04、创建（进入）Vlan40SwitchCVlan 40SwitchC-Vlan40Port (Vlan 40的端口)5、创建（进入）Vlan40的虚接口SwitchCInterface Vlan 406、给Vlan40的虚接口配置IP地址SwitchC-Vlan-interface40Ip add 40.1.1.1 255.255.255.07、启动RIPSwitchCrip8、从30.1.1.0网段的接口发布和接收RIP路由信息SwitchC-ripNetwork 30.1.1.09、从40.1.1.0网段的接口发布和接收RIP路由信息SwitchC-ripNetwork 40.1.1.0【SwitchA相关配置】1、创建（进入）Vlan10SwitchAVLAN 10SwitchA-Vlan10PORT （VLAN 10的端口）2、创建（进入）Vlan10的虚接口SwitchAInterface Vlan 103、给Vlan10的虚接口配置IP地址SwitchA-Vlan-interface10Ip address 10.1.1.1 255.255.255.04、创建（进入）Vlan20SwitchAVlan 20SwitchA-Vlan10Port (Vlan 20的端口)5、创建（进入）Vlan20的虚接口SwitchAInterface Vlan 206、给Vlan10的虚接口配置IP地址SwitchA-Vlan-interface10Ip address 20.1.1.1 255.255.255.07、启动OSPF路由协议SwitchCOspf 8、指定区域号SwitchC-ospfArea 09、从指定网段的接口接收和发布路由信息SwitchA-ospf-area-0.0.0.0Network 10.1.1.1 255.255.255.0SwitchA-ospf-area-0.0.0.0Network 20.1.1.1 255.255.255.0【SwitchB相关配置】1、创建（进入）Vlan20SwitchBVLAN 20SwitchB-Vlan20PORT （VLAN 20的端口）2、创建（进入）Vlan20的虚接口SwitchBInterface Vlan 203、给Vlan20的虚接口配置IP地址SwitchB-Vlan-interface20 Ip address 20.1.1.2 255.255.255.04、创建（进入）Vlan30SwitchBVlan 30SwitchB-Vlan30Port (Vlan 30的端口)5、创建（进入）Vlan30的虚接口SwitchB-Vlan30Interface Vlan 306、给Vlan30的虚接口配置IP地址SwitchB-Vlan-interface30 Ip address 30.1.1.1 255.255.255.07、启动OSPF路由协议SwitchCOspf 8、指定区域号SwitchC-ospfArea 09、从指定网段的接口接收和发布路由信息SwitchB-ospf-area-0.0.0.0Network 20.1.1.2 255.255.255.0SwitchB-ospf-area-0.0.0.0Network 30.1.1.1 255.255.255.0【SwitchC相关配置】1、创建（进入）Vlan30SwitchCVLAN 30SwitchC-Vlan30Port （VLAN 30的端口）2、创建（进入）Vlan30的虚接口SwitchCInterface Vlan 303、给Vlan30的虚接口配置IP地址SwitchC-Vlan-interface30Ip address 30.1.1.2 255.255.255.04、创建（进入）Vlan40SwitchCVlan 40SwitchC-Vlan40Port (Vlan 40的端口)5、创建（进入）Vlan40的虚接口SwitchCInterface Vlan 406、给Vlan40的虚接口配置IP地址SwitchC-Vlan-interface40Ip address 40.1.1.1 255.255.255.07、启动OSPF路由协议SwitchCOspf 8、指定区域号SwitchC-ospfArea 09、从指定网段的接口接收和发布路由信息SwitchC-ospf-area-0.0.0.0Network 30.1.1.2 255.255.255.0SwitchC-ospf-area-0.0.0.0Network 40.1.1.1 255.255.255.0、测试验证RIP路由协议：PC1能够PING通PC2，在交换机上disp ip rout 可以看到各个网段路由信息OSPF路由协议：PC1能够PING通PC2，在交换机上disp ip rout 可以看到各个网段路由信息案例二：华为3526E交换机QACL双向访问控制配置方法、功能需求及组网说明图2配置环境参数说明：通过配置三层交换机的acl来实现Vlan之间的访问控制组网需求需求：组网和Vlan分配如图2所示，要求Vlan 10、20、30均可以访问server 1，但是只有Vlan 10和Vlan 20可以访问server 2，同时Vlan 10、20、30之间不能互访。 、数据配置步骤基础配置：1、创建（进入）Vlan10SwitchA Vlan 102、创建（进入）Vlan10的虚接口SwitchA Interface Vlan-interface 103、给Vlan20的虚接口配置IP地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.0.04、创建（进入）Vlan20SwitchA Vlan 205、创建（进入）Vlan20的虚接口SwitchA interface Vlan-interface 206、给Vlan20的虚接口配置IP地址SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.07、创建（进入）Vlan30SwitchA Vlan 308、创建（进入）Vlan30的虚接口SwitchA interface Vlan-interface 309、给Vlan30的虚接口配置IP地址SwitchA-Vlan-interface30ip address 10.30.1.1 255.255.0.010、创建（进入）Vlan100SwitchA Vlan 10011、创建（进入）Vlan100的虚接口SwitchA interface Vlan-interface 10012、给Vlan100的虚接口配置IP地址SwitchA-Vlan-interface100ip address 10.100.1.1 255.255.0.013、创建（进入）Vlan200SwitchA Vlan 20014、创建（进入）Vlan200的虚接口SwitchA interface Vlan-interface 20015、给Vlan200的虚接口配置IP地址SwitchA-Vlan-inter