华为交换机QACL、RIP、OSPF地实现

1、华为交换机 QACL 、RIP 、OSPF 的实现一QACL 内容QACL是QoS & ACL 的简称。下面分别介绍一下 QoS和ACL 。 、QoS(服务质量 )传统的分组网络对所有报文都无区别的等同对待。 每个交换机 / 路由器对所有的报文 采用先入先出的策略( FIFO)处理，尽最大的努力( Best-Effort )将报文送到目的地， 但对报文传送的延时、延时抖动等传输性能不提供任何承诺和保证。随着计算机网络的高速发展，对带宽、延迟、抖动敏感的语音、图像、重要数据越 来越多地在网上传输。这样一方面使得网上的业务资源极大地丰富，另一方面则由于经 常遭遇网络拥塞，人们对网络传输的服

2、务质量 QoS (Qualityof Service )提出了更高的 要求。以太网技术是当今被广泛使用的网络技术。目前，以太网不仅成为各种独立的局域 网中的主导技术， 许多以太网形式的局域网也成为了 Internet 的组成部分。而且随着以 太网技术的不断发展， 以太网接入方式也将成为广大普通 Internet 用户的主要接入方式 之一。因此要实现端到端的全网 QoS 解决方案， 不可避免地要考虑以太网上的 QoS 业 务保证的问题。这就需要以太网交换设备应用以太网 QoS 技术，对不同类型的业务流 提供不同等级的 QoS 保证，尤其是能够支持那些对延时和抖动要求较高的业务流。 下面介绍 Qo

3、S 的一些术语和概念。1、流流即业务流( traffic )，指所有通过交换机的报文。2、流分类流分类( traffic classification )是指采用一定的规则识别出符合某类特征的报文。 分类规则( classification rule )指配置管理员根据管理需求配置的过滤规则。 分类规则 可以很简单，比如可根据 IP 报文头的 ToS 字段，识别出有不同优先级特征的流量；也 可以很复杂，如综合链路层( Layer 2 )、网络层( layer3 )、传输层( layer 4 )信息 诸如 MAC 地址、IP 协议、源地址、 目的地址、或应用程序的端口号等相关信息来对报 文进行分

4、类。一般的分类依据都局限在封装报文的头部信息，使用报文的内容作为分类 的标准比较少见。3、包过滤包过滤就是将业务流进行过滤操作。例如丢弃操作( deny )，该操作将匹配流分类 规则的业务流丢弃， 而允许其他所有流量通过。 以太网交换机采用了复杂的流分类规则， 这样可以针对业务流的各种信息进行过滤，丢弃那些无用的、不可靠、值得怀疑的业务 流，从而增强了网络的安全性。实现包过滤，有两个关键的环节：第一步：是对进入端口的流量按即定的规则进行流分类； 第二步：对区分出来的流进行过滤丢弃操作( deny )。deny 为缺省的访问控 制操作。4、流量监管为了使有限的网络资源可以更好地为用户服务， Qo

5、S 在输入端口上可以对特定用户 的业务流进行监管，使之适应分配给它的那部分网络资源。5 、带宽保证 带宽保证是指确保进入交换机的特定业务流一个最小的带宽，即使在网络拥塞时， 也能满足一定的丢包率、时延及时延抖动等 QoS 需求。6、端口限速端口限速就是基于端口的速率限制，它对端口输出报文的总速率进行限制。7、重定向用户可以基于自身 QoS 策略的需要，重新指定报文的转发端口。8、优先级标记以太网交换机可为特定报文提供优先级标记的服务，标记内容包括 TOS 、DSCP、 802.1p 等，这些优先级标记分别适用于不同的 QoS 模型，在不同的模型中被定义。 、ACL（访问控制列表）访问控制列表（

6、 ACL）具有区分数据包的功能，因此，它可以控制“什么样的数据 包”可以做“什么样的事情”。例如：将访问控制列表应用于防火墙，可以在保证合法用户访问的同时拒绝非法用户的访 问。也可以允许某种服务（如 Telnet ）通过，而拒绝另一种服务（如 DNS ）。在QoS的应用中，我们可以利用访问控制列表对网络中的数据流量进行控制，重要 的数据得到优先处理，不重要的数据后处理，不需要的数据被丢弃。在DCC中我们则可以用访问控制列表来规定哪些数据包可以触发拨号。 在地址转换中，访问控制列表还可以用来规定哪些数据包需要进行地址转换。 另外访问控制列表还广泛应用于路由策略中，主要用作路由信息的过滤。IP 数

7、据包具有一定的特征，例如，对于每个 TCP数据包，都包含有源地址、目的地 址、协议号、源端口、目的端口，利用这 5 个元素就可以描述出一个数据包的特征。访问控制列表就是利用这些信息来定义规则，区分不同的数据包（例如所有源地址是 地址段的数据包、所有使用 Telnet 访问的数据包等等），路由器将在使 能访问控制列表的接口上对所有的数据包进行规则的匹配检查。一条访问控制规则可以由多条子规则组成。由于每一条子规则指定的数据包的范围 大小有别，在匹配一个访问控制规则的时候就存在匹配顺序的问题。二 RIP 内容RIP 是 Routing Information Protocol (路由信息协议)的简称

8、。它是一种相对简 单的动态路由协议， 但在实际使用中有着广泛的应用。 RIP 是一种基于 D-V 算法的路由 协议，它通过 UDP 交换路由信息，每隔 30 秒向外发送一次更新报文。如果经过 180 秒没有收到来自对端的路由更新报文认为目的网络或主机不可达， 再过 120 秒就将该条 路由从路由表中删除。RIP 使用跳数( Hop Count )来衡量到达目的网络的距离，称为路由权( Routing Metric )。在 RIP 中，三层交换机到与它直接相连网络跳数为 0，通过一个路由器(或 三层交换机)可达的网络的跳数为 1 ，其余依次类推。为限制收敛时间， RIP 规定 metric 取值

9、 0 15 之间的整数，大于或等于 16 的跳数被定义为无穷大，即目的网络或主机不 可达。为提高性能，防止产生路由环路， RIP 支持水平分割( Split Horizon )与路由中毒 (Poison Reverse )，并在路由中毒时采用触发更新( Triggered Update )。另外， RIP 协议还允许引入其它路由协议所得到的路由。RIP 又包括 RIP-1 和 RIP-2 两个版本， RIP-1 支持变长子网掩码( VLSM )，RIP-2 支持变长子网掩码( VLSM )，同时 RIP-2 支持明文认证和 MD5 密文认证。RIP-1 使用广播发送报文， RIP-2 有两种传

10、送方式：广播方式和组播方式，缺省将 采用组播发送报文， RIP-2 的组播地址为 。组播发送报文的好处是在同一网 络中那些没有运行 RIP 的网段可以避免接收 RIP的广播报文； 另外，组播发送报文还可 以使运行 RIP-1 的网段避免错误地接收和处理 RIP-2 中带有子网掩码的路由。RIP 协议是最早使用的 IGP 之一，RIP 协议被设计用于使用同种技术的中小型网络， 因此适应于大多数的校园网和使用速率变化不是很大的区域性网络。对于更复杂的环 境，一般不使用 RIP 协议。在实现时， RIP 作为一个系统长驻进程存在与路由器（或三层交换机）中，它负责 从网络中的其它路由器接收路由信息，从

11、而对本地 IP 层路由表作动态的维护，保证 IP 层发送报文时选择正确的路由，同时广播本路由器的路由信息，通知相邻路由器作相应 的修改。RIP协议处于 UDP 协议的上层，RIP所接收的路由信息都封装在 UDP 的数据报中， RIP 在 520 号端口上接收来自远程路由修改信息， 并对本地的路由表做相应的修改， 同 时知道其它路由器。通过这种方式，达到全局路由的同步。RIP 启动和运行的整个过程可描述如下：某路由器刚启动 RIP 时，以广播的形式向相邻路由器发送请求报文，相邻路由器的RIP 收到请求报文后，响应该请求，回送包含本地路由表信息的响应报文。 路由器收到响应报文后，修改本地路由表，同

12、时向相邻路由器发送触发修改报文， 广播路由修改信息。相邻路由器收到触发修改报文后，又向其各自的相邻路由器发送触 发修改报文。在一连串的触发修改广播后，各路由器都能得到并保持最新的路由信息。同时，RIP每隔 30秒向相邻路由器广播本地路由表， 相邻路由器在收到报文后， 对 本地路由进行维护，选择一条最佳路由，再向其各自相邻网络广播修改信息，使更新的 路由最终能达到全局有效。同时， RIP 采用超时机制对过时的路由进行超时处理，以保 证路由的实时性和有效性。三 OSPF 内容OSPF是Open Shortest Path First （即“开发最短路由优先协议” ）的缩写。它是 IETF（ Int

13、ernet Engineering Task Force ）组织开发的一个基于链路状态的自治系统内 部路由协议。在 IP 网络上，它通过收集和传递自治系统的链路状态来动态地发现并传 播路由。、OSPF 协议具有如下特点：1、适应范围 OSPF 支持各种规模的网络，最多可支持几百台路由器（三层交换机） 。2 、快速收敛如果网络的拓扑结构发生变化， OSPF 立即发送更新报文，使这一变化在自治系统中同步。3 、无自环由于 OSPF 通过收集到的链路状态用最短路径树算法计算路由，故从算法 本身保证了不会生成自环路由。4 、子网掩码由于 OSPF 在描述路由时携带网段的掩码信息，所以 OSPF 协议不

14、受自 然掩码的限制，对 VLSM 提供很好的支持。5 、区域划分 OSPF 协议允许自治系统的网络被划分成区域来管理，区域间传送的路 由信息被进一步抽象，从而减少了占用网络的带宽。6、等值路由 OSPF 支持到同一目的地址的多条等值路由。7 、路由分级 OSPF 使用 4 类不同的路由，按优先顺序来说分别是：区域路由、区域 间路由、第一类外部路由、第二类外部路由。8 、持验证它支持基于接口的报文验证以保证路由计算的安全性。9 、组播发送 OSPF 在有组播发送能力的链路层上以组播地址发送协议报文，即达到 了广播的作用，又最大程度的减少了对其他网络设备的干扰。OSPF 协议计算路由是以本路由器

15、(或三层交换机)周边网络的拓扑结构为基础的。 每台路由器将自己周边的网络拓扑描述出来，传递给其他所有路由器。、OSPF 将不同的网络拓扑抽象为以下四种类型：1、该接口所连的网段中只有本路由器自己。 ( stub networks )2 、该接口通过点到点的网络与一台路由器相连。 (point-to-point )3 、该接口通过广播或 NBMA 的网络与多台路由器相连。 ( broadcast or NBMA networks )4 、该接口通过点到多点的网络与多台路由器相连。 ( point-to-multipoint ) 、OSPF 的报文类型一共有五种：1、HELLO 报文( Hello

16、 Packet )：最常用的一种报文， 周期性的发送给本路由器的邻居。 内容包括一些定时器的数值， DR，BDR，以及自己已知的邻居。2、DD 报文( Database Description Packet )：两台路由器进行数据库同步时，用 DD 报文来描述自己的 LSDB，内容包括 LSDB 中每一条 LSA的摘要(摘要是指 LSA的 HEAD ，通过该 HEAD 可以唯一标识一条 LSA)。 这样做是为了减少路由器之间传递信息的量，因为 LSA 的 HEAD 只占一条 LSA 的整个 数据量的一小部分，根据 HEAD ，对端路由器就可以判断出是否已经有了这条 LSA。3、LSR报文( L

17、ink State Request Packet )：两台路由器互相交换过 DD 报文之后，知道对端的路由器有哪些 LSA 是本地的 LSDB 所缺少的或是对端更新的 LSA，这时需要发送 LSR 报文对方请求所需的 LSA。内容包 括所需要的 LSA 的摘要。4、LSU 报文( Link State Update Packet )：用来向对端路由器发送所需要的 LSA，内容是多条 LSA(全部内容)的集合。5 、LSAck 报文( Link State Acknowledgment Packet)：用来对接收到的 LSU 报文进行确认。内容是需要确认的 LSA 的 HEAD (一个报文 可对

18、多个 LSA 进行确认)。四配置实例： 案例一：华为交换机 RIP 和 OSPF 协议的实现 、功能需求及组网说明图1配置环境参数1 、如图 1 ，交换机 SwitchA 、SwitchB 、SwitchC 实现互连。2 、SwitchA 中 Vlan10 虚接口地址 ，Vlan20 虚接口地址 ， Vlan20 与 SwitchB Vlan20 互连， Vlan10 接局域网；3 、SwitchB 中 Vlan20 虚接口地址 ，Vlan30 虚接口地址 ， Vlan20 与SwitchA Vlan20 互连， Vlan30 与 SwitchC Vlan30 互连；4 、SwitchC 中

19、Vlan30 虚接口地址 ，Vlan40 虚接口地址 ， Vlan30 与 SwitchB Vlan30 互连， Vlan40 接局域网；5、PC1的IP地址为，网关为 ；PC2的IP地址为 ， 网关为 组网需求交换机之间运行动态路由协议，保证 PC1 和 PC2 互通。、数据配置步骤【 SwitchA 相关配置】1 、创建（进入） Vlan10SwitchAVLAN 10SwitchA-Vlan10Port （VLAN 10 的端口）实用文案2 、创建（进入） Vlan10 的虚接口 SwitchAInterface Vlan 103 、给 Vlan10 的虚接口配置 IP 地址 Switc

20、hA-Vlan-interface10Ip address 4 、创建（进入） Vlan20 SwitchAVlan 20SwitchA-Vlan10Port （Vlan 20 的端口 ）5 、创建（进入） Vlan20 的虚接口SwitchAInterface Vlan 206 、给 Vlan10 的虚接口配置 IP 地址 SwitchA-Vlan-interface10Ip address 7 、启动 RIPSwitchArip8、从 网段的接口发布和接收 RIP 路由信息 SwitchA-ripNetwork 9、从 网段的接口发布和接收 RIP 路由信息 SwitchA-ripNetw

21、ork 【 SwitchB 相关配置】1 、创建（进入） Vlan20SwitchBVLAN 20SwitchB-Vlan20Port （VLAN 20 的端口）2 、创建（进入） Vlan20 的虚接口SwitchBInterface Vlan 203 、给 Vlan20 的虚接口配置 IP 地址 SwitchB-Vlan-interface20 Ip address 4 、创建（进入） Vlan30SwitchBVlan 30SwitchB-Vlan30Port （Vlan 30 的端口 ）实用文案5 、创建（进入） Vlan30 的虚接口SwitchB-Vlan30Interface V

22、lan 306 、给 Vlan30 的虚接口配置 IP 地址 SwitchB-Vlan-interface30 Ip address 7 、启动 RIPSwitchBrip8、从 网段的接口发布和接收 RIP 路由信息 SwitchB-ripNetwork 9、从 网段的接口发布和接收 RIP 路由信息 SwitchB-ripNetwork 【 SwitchC 相关配置】1 、创建（进入） Vlan30SwitchCVlan 30SwitchC-Vlan30Port（VLAN 30 的端口）2 、创建（进入） Vlan30 的虚接口 SwitchCInterface Vlan 303 、给 V

23、lan30 的虚接口配置 IP 地址 SwitchC-Vlan-interface30Ip address 4 、创建（进入） Vlan40SwitchCVlan 40SwitchC-Vlan40Port （Vlan 40 的端口 ）5 、创建（进入） Vlan40 的虚接口 SwitchCInterface Vlan 406 、给 Vlan40 的虚接口配置 IP 地址SwitchC-Vlan-interface40Ip add 7 、启动 RIPSwitchCrip8、从 网段的接口发布和接收 RIP 路由信息SwitchC-ripNetwork 9、从 网段的接口发布和接收 RIP 路由

24、信息SwitchC-ripNetwork 【 SwitchA 相关配置】1 、创建（进入） Vlan10SwitchAVLAN 10SwitchA-Vlan10PORT （ VLAN 10 的端口）2 、创建（进入） Vlan10 的虚接口SwitchAInterface Vlan 103 、给 Vlan10 的虚接口配置 IP 地址SwitchA-Vlan-interface10Ip address 4 、创建（进入） Vlan20SwitchAVlan 20SwitchA-Vlan10Port （Vlan 20的端口 ）5 、创建（进入） Vlan20 的虚接口SwitchAInterfa

25、ce Vlan 206 、给 Vlan10 的虚接口配置 IP 地址SwitchA-Vlan-interface10Ip address 7、启动 OSPF 路由协议SwitchCOspf8、指定区域号SwitchC-ospfArea 09、从指定网段的接口接收和发布路由信息【 SwitchB 相关配置】1 、创建（进入） Vlan20SwitchBVLAN 20SwitchB-Vlan20PORT （ VLAN 20 的端口）2 、创建（进入） Vlan20 的虚接口SwitchBInterface Vlan 203 、给 Vlan20 的虚接口配置 IP 地址SwitchB-Vlan-in

26、terface20 Ip address 4 、创建（进入） Vlan30SwitchBVlan 30SwitchB-Vlan30Port （Vlan 30的端口 ）5 、创建（进入） Vlan30 的虚接口SwitchB-Vlan30Interface Vlan 306 、给 Vlan30 的虚接口配置 IP 地址SwitchB-Vlan-interface30 Ip address 7、启动 OSPF 路由协议SwitchCOspf8、指定区域号SwitchC-ospfArea 09、从指定网段的接口接收和发布路由信息 【 SwitchC 相关配置】1 、创建（进入） Vlan30Swit

27、chCVLAN 30SwitchC-Vlan30Port （VLAN 30 的端口）2 、创建（进入） Vlan30 的虚接口SwitchCInterface Vlan 303 、给 Vlan30 的虚接口配置 IP 地址SwitchC-Vlan-interface30Ip address 4 、创建（进入） Vlan40SwitchCVlan 40SwitchC-Vlan40Port （Vlan 40的端口 ）5 、创建（进入） Vlan40 的虚接口SwitchCInterface Vlan 406 、给 Vlan40 的虚接口配置 IP 地址SwitchC-Vlan-interface4

28、0Ip address 7、启动 OSPF 路由协议SwitchCOspf8、指定区域号SwitchC-ospfArea 09、从指定网段的接口接收和发布路由信息、测试验证可以看到各个网可以看到各个RIP 路由协议： PC1 能够 PING 通 PC2，在交换机上 disp ip rout 段路由信息OSPF路由协议： PC1能够PING通PC2，在交换机上 disp ip rout 网段路由信息案例二：华为 3526E 交换机 QACL 双向访问控制配置方法、功能需求及组网说明图2配置环境参数说明：通过配置三层交换机的 acl 来实现 Vlan 之间的访问控制 组网需求需求：组网和 Vlan

29、 分配如图 2所示，要求 Vlan 10 、20 、30 均可以访问 server 1 ， 但是只有 Vlan 10 和 Vlan 20 可以访问 server 2 ，同时 Vlan 10 、20 、30 之间不能互 访。、数据配置步骤基础配置：1 、创建（进入） Vlan10SwitchA Vlan 102 、创建（进入） Vlan10 的虚接口SwitchA Interface Vlan-interface 103 、给 Vlan20 的虚接口配置 IP 地址SwitchA-Vlan-interface10ip address 4 、创建（进入） Vlan20SwitchA Vlan 20标准文档5 、创建（进入） Vlan20 的虚接口SwitchA interface Vlan-interface 206 、给 Vlan20 的虚接口配置 IP 地址SwitchA-Vlan-interface20ip address 7 、创建（进入） Vlan30SwitchA Vlan 308 、创建（进入） Vlan30 的虚接口SwitchA interface Vlan-