snmp-servercommunitypubicro
snmp-servercommunityprivatero
snmp-server交换机的标识号,可通过命令查到。
snmp-server管理平台的IP
3550等系列密码破除>>>>
开机按交换机前面板的mode键
输入flash_init进行初始化
输入delflash:config.text删除配置
输入boot重新启动,可破除密码>>
自己做的NAT,调试成功了,呵呵
[Router]disnattrans
**Total3NATitems,3inhashlist,0inextended-list
ProGlobalAddrGlobalPortInsideAddrInsidePortDestAddrDestPort
6192.168.34.501242010.0.0.21473207.46.108.891863
17192.168.34.501243210.0.0.24004202.104.129.2528000
6192.168.34.501246410.0.0.21468207.46.107.991863
[Router]discur
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
local-userciscoservice-typeppppasswordsimplecisco
local-userloverservice-typeadministratorpasswordsimplecisco
nataddress-group192.168.34.50192.168.34.511
firewallenable
aaa-enable
aaaaccounting-schemeoptional//如果从AAA服务器过来的得不到正确的计费应答时,仍然让用户访问网络。
!
acl10match-orderconfig
rulenormalpermitsourceany
!
interfaceAux0
asyncmodeflow
link-protocolppp
!
interfaceEthernet0
ipaddress192.168.34.51255.255.255.0
natoutbound10address-group1
!
interfaceEthernet1
ipaddress10.0.0.1255.0.0.0
!
interfaceSerial0
link-protocolppp
!
interfaceSerial1
link-protocolppp
!
quit
iproute-static0.0.0.00.0.0.0192.168.34.1preference60
!
return
华为的学习手册笔记
interface进接口或子接口,undointerfaces0.1删除子接口
resetinterfacecountersinterface
缺省情况下,以太网的IP包是支持enternet2型,
speed10/100/negotiation
deplexfull/half
bandrate/bandwidth思科同步接口是默认64000bps,异步为9600bps
clock
默认情况下,serial口是Dceclk,即向DTE提供时钟,恢复为Dteclk1/2/3/4
flowcontrol(software/handware/none)[inbond/outbond]
loopback在接口上设内自环
interfaces0#loopback
physical-mode(sync/async)设置同异步串口
controlere1
channelset(逻辑接口编号1-30)timesoltrange(0-31)
(router-e1-0)frame-formatcrc4/nocrc4设置ce1/pri四位冗余较验位
router-e1-0#loopback在逻辑口上设对内自环及对外的回波,协议状态为down属于正常,用于检测链路及接口的状态
pppMP
link-protocalppp
pppauthenatication-mode(chap/pap)
ppppappasswordxxxx
displaypppoe-clientsession
isdn:
displayisdnactive-channel
PPTP是拔广域网广口。
L2TPenable//在路由器上启用VPDN
allowl2tpvirtal-templete(templetenumber)[remoteremote-name]
displayl2tpsession/tunnel
华为支持L2TP,思科支持PPTP、L2TP,
L2TPmatch-order{dnis-domain}//先根据被叫号码进行L2TP组查找,然后再根据域名组进行查找
l2tpsession-limit1000设置最大的会话数
l2tp-groupgroup-number用来创建l2tP组。
例:
router#l2tp-group1
router-l2tp1#mandatory-chap//强制用chap来验证client身份。
startl2tp{ip/对端ip}{domain-name}{dnis/电话号码}{fullname/全名}
tunnelauthentication启用l2tp隧道验证
tunnelpassword
tunnelname
gre
interfacetunnel0
router-tunnel0sourceip
router-tunnel0destinationip
grechecksum//加校验核允许校验核。默认关
grekeykey-number
gresequence-datagrams数据报需要序列号同步
IP网络层
ipaddressppp-negotiate命令用来允许ip协商,当在对端路由器上配置remoteIP,使得本端得到ip,g一般用在ISP提供动态IP。
ipaddressunnummbered
封装了PPP,HDLC,FRAMERELAY,tunnel的口可以借其他以太口的IP
example:interfaces0
ipaddunnumbered
interfaces1
ipaddppp-negotiate
用来配置可以用借其他的接口的IP。封装了PPP,HDLC,FRAMERELAY,SLIPC以及tunnel端口
router-s0#remoteaddress10.0.0.1给对端配置IP
router-e0#vlan-typedot1qvid1指定端口加入VLAN1
dhcpenable
dhcpserverip-poolpool-name
dhcpserverforbidden-iplow-iphigh-ip
network192.168.1.0255.255.255.0dhpc地址池0的地址间
gateway-list网关
dns-listDNS的设置
domain-namemydomainname.com表示分配给客户端的后缀域名
disdhcpserverstatic
displaydhcpserverexpired显示未用的IP
displaydhcpserverip-in-use显示已用的IP
dispdhcpservertree
resetdhcp
router-dhcp0#domain-namemydomain.com.cn
把ip与mac进行绑定。
#static-bindip-address10.1.1.1mask255.255.255.0
#static-bindmac-address00-00-0e-3f-03-05
routeracl101
router-acl-1#rulepermitsource
interfacee0#natoutbound101interface
或者:
nataddress-groupx.x.x.x-x.x.x.xabc
interfaces0#natoutbound101address-groupabc
增加访问控制列表与接口的关联。
Interfacee0
做基于端口的PAT,把内网的IP关联到外网IP的一个端口上面>>>>>>>
[Router-Serial0]natserverglobal192.168.0.4inside10.0.0.2ftptcp
userlognat(flow-begin)(acl编号)
缺省时关闭的,可以打开日志
info-centerenable
info-centerconsole向控制口送
userlognat
infomorinitor
infosyslog
static-routereference60默认的优先级为60
vpdn(虚拟私有拔号网)
中小型企业,利用PSTN,ISDN,拔号入网,为移动办公人员,提供接入服务。VPDN隧道协议分为PPTP,L2F,L2TP。
LAC:L2TPACCESSCONCENTRATOR//L2TP访问集中器。
LNS:L2TPNETWORKSERVER//L2TP网络服务器。
L2TP排故的步骤:
1、检查LAC与LNS的互通性
2、检查VPDN用户能否通过LAC端的验证
3、检查LAC端是否发起L2TP隧道连接
4、检查LNS是否接收到连接
5、检查LNS端的用户路由信息。
ospf
几种类型:
Router-LSA由每个路由器生成,描述了路由器的链路状态和花费,传递到整个区域type=1
Network-LSA,由DR生成,描述了本网段的链路状态,传递到整个区域type=2
Net-Summary-LSA,由ABR生成,描述了到区域内某一网段的路由,传递到相关区域type=3
Asbr-Summary-LSA,由ABR生成,描述了到ASBR的路由,传递到相关区域type=4
AS-External-LSA,由ASBR生成,描述了到AS外部的路由,传递到整个AS(STUB区域除外)type=5
树型结构,不会产生环路。
只有在广播和NBMA时要选举DR,BDR,其它的时候不需要。
import-routeprotocal(cost|type|tag|route-policy)目前direct,static,rip,is-is,bgp
abr-summaryip-addmaskmask-ipareaid定义聚合网段,缺省情况下,不对其汇总聚合,而且只有在ABR上进行其汇总。
vlink-peerrouter-id{hello|...}在两台ABR之间指定
stub区的配置:
stub{no-summary}
如果某个区被规划成stub区域,所有区内的路由器都要配,no-summary参数所,在abr上区域间的summary第三种类型通告将被过滤,路由进一步减少。
default-costvalue用于stub区,在abr上配置,指发送到stub区缺省的路由开销费用。
stub区域内不能有aSBr,不能用import-route重分发路由。
ospfnetwork-type(broadcast|nbma|p2mp|p2p)
当链路层是PPP,HDLC封装时,用P2P,frame-relayx.25时,是nbma,点到多点时,要修改为p2tp.
debugingospf{event|packet[ack|dd|hello|request|update]|isa|spf}
defaultimport-routecost引入外部路由的缺省值
defaultimport-routetype1/2类似于CISCOe1/e2,
disospfarea/error/database/
displayospfase外部路由显示
disospfinterface
copyxmodem:flash:c3500
网络存储与小型机与网络设备是我今后的发展目标。
HP,EMC,IBM,VERITAS,
dns:外设备,与服务器直接
nas:与服务器独立有IP,但扩展几台后,文件系统不能直接相连,
sun:光纤FC+SUN,速度快,以数据存储为中心,面向网络的存储结构,采用可扩展的网络拓扑结构连接服务器和存储设备,并将数据的存储和管理集中在相对独立的专用网络中,面向服务器提供数据存储服务。
ipsun新技术,把NAS的IP与SUN的FC,10公里异地备份。
iSICI:是一种在INTERNET协议网络上,是以太网上进行数据块(BLOCK)传输的标准,是一个供硬件设备使用的可以在IP协议上层运行的SCSI指令集,它可以实现在IP网络上运行SCSI协议,使其能够在以太网上进行路由选择。
ILM(imformationlifecycleManagement)生命周期管理,即对信息的产生,使用到消亡这样的一个完整的生命过程进行有效管理,使用不同成本的存储器来保存不同类型的信息。HP,IBM,VERITAS提出了自己的ILM。
中小型企业smb,SUN,EMC
线路保证1,主从备份:如广域网通过拔号线来做备份,负载分担:用几条链路做CHANNALGROUP
区域划分
身份验证:路由器有4种telnetconsalsnmpmodem远程配置
访问控制:分级保护,不能级别的用户,拥有不同的操作权限
五元素是指:源IP,目标IP,协议号,原端口号,目标端口号
信息隐藏:NAT
数据加密和防伪:技术:数据加密,以防止传输不可避免地被侦听
防伪:数字签名,报文在传输过程中被获取,修改,再传,接受端进行识别,丢弃被修改的部分。
IPSEC
Ip路由策略与引入
作用:
1,过滤路由信息的手段,
2,发布路由信息时只发送部分信息
3,接收路由信息时只接收部分信息
4,进行路由引入时引入满足特定的条件的信息支持等值路由
5,设置路由协议引入的路由属性
和策略相关的五种过滤器
路由策略(routingpolicy)
访问列表(access_list)
前缀列表(prefix-list)
一个prefix-list由列表名标识可能分为几个部分,由序列号指定这几个部分的匹配顺序,在每个部分中,用户可以独立指定一个网络的前缀形式的匹配范围。在匹配过程中,不同的序列的各个部分之间的关系是或。路由信息集资匹配各个部分,通过其中的某一部分,就意味着通过该prefix-list的过滤。
自治系统路径访问列表(aspath-list)
仅用于BGP。
团体属性列表(community-list)
网络中存在的几种攻击:
报文分析
IP地址欺骗
端口扫描
拒绝服务
分布式拒绝服务distributedenyofservice(DDOS)
应用层攻击:如木马等
AAA验证,受权,记帐,它是基于用户名和密码的,而包过滤的防火墙ACL是基于IP的特征的
主要用于用户拔号,进行验证,受权,记费
IPSEC/IKE
IPSEC:(IPSECURITY),是一组开放的协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在INTERNET网上传输时的私有性,完整性和真实性。通过AH,ESP这两个安全协议来实现。
IKE:internat密钥交换协议,用于通信双方协商和建立安全联盟,交换。IKE定义了通信双方进行身份认证,协商加密算法以及生成共享的会话密钥的方法。
AAA服务器与网络设备之间是走的radius协议
提供AAA支持的服务:PPP,EXEC,FTP//pix为http,ftp,telnet时验证。
验证:用户名、口令。包PPP的PAP、CHAP,EXEC用户验证,FTP用户验证。
50user以下在本地路由器上建立数据库,超过50个,在radius上建立。
quidway#aaaenalbe
quidway#aaaauthentication-schemelogindefaultradiuslocal
#aaaaccounting-schemeoptional
serial0#pppauthentication-modepapschemedefault
radiusserver129.7.66.68
radiusserver129.7.66.66accouting-port0备份计费服务器
radiusserver129.7.66.67authentication-port0备份验证服务器。
radiusshared-keythis-is-my-secret
radiusretry2
radiustimerresponse-timeout5
与RADISU服务器的共享密钥为this-is-my-secret最大重传次数为2,间隔5秒。
首先由各种服务(ppp,ftp,exec)得到用户的信息,送给AAA验证,如果通过,连同验证信息与授权信息给路由器,由路由器提供相应的服务给用户,同时RADIUS开始计费
displayaaa
debugradiusprimitive原始,观察AAA的请求与结果
debugradiusevent
aaaserver/client路由器为client
AAA是UDP1812为验证端口,1813为计费端口
作为安全协议,RADIUS自身的安全性也有一定的考虑,客户端与服务端有共享密钥,通过MD5算法对包进行数字签名,验证签名的正确性可以防止网络上其他主机冒充路由器或者RADIUS服务器,用户口令也加密
gre:实际上是种承载协议,它提供了一种协议的报文封装在另一种协议报文中的机制,使报文能在异种网络中传输,异种报文传输的通道称为tunnel.
GRE的协议号是47,系统收到一个需要封装和路由的数据报文后,我们称为有效负载,首先被GRE封装然后被称为GRE报文,这个报文接着被封装在IP报文中,然后完全由IP层负责此报文的转发(FORWARDING)。
IP/IPX是乘客协议IP是运输协议,GRE是封装协议。
链路层
IP
GRE
IP/IPX
Payload
配置命令:
interfacetunnelnumber
tunnel0:sourceip真实的接口地址
tunnel0:destinationip真实的对方接口对址。
tunnel0:ipadd虚拟的IP
调试命令:displaytunnel0
IPSEC/IKE
IPSEC:(IPSECURITY),是一组开放的协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在INTERNET网上传输时的私有性,完整性和真实性。通过AH,ESP这两个安全协议来实现。ESP:50和AH:51
AH:提供数据源验证和数据完整性验证
ESP:除数据源验证和数据完整性验证,还有加密功能。
IPSEC:有tunnel和transport。在Tunnel方式上,用户的整个IP数据包被用来计算AH和ESP头,AH或ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层数据被用来计算AH和ESP头,AH或ESP和被加密的传输层数据被旋转在源IP包头后面。
AH:报文验证头协议,主要提供的功能有数据源验证和数据完整性和防重放,算法有MD5,SHA1。AH插入标准的IP包头后面,采用hash算法来对数据包进行保护。
ESP:报文安全封装协议,将需要保护的的用户数据进行加密后再封装到标准的IP包中,可选的加密算法有DES,3DES。
IKE:internat密钥交换协议,用于通信双方协商和建立安全联盟,交换。IKE定义了通信双方进行身份认证,协商加密算法以及生成共享的会话密钥的方法。
数据流:
安全联盟(SA):对数据流提供的安全服务通过安全联盟SA来实现,它包括协议,算法,密钥等内容,具体确定了如何对IP报文进行处理。一个SA就是两个IPSEC系统之间的一个单向逻辑连接。输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理。安全联盟由一个三元组(安全参数索引SPI、IP目的地址、安全协议号(AH或ESP)来唯一标识。安全联盟可以通过手工配置和自动协商)。手工是指在通过两端的手工配置一些参数,在两端参数匹配和协商通过后建立安全联盟。自动协商是通过IKE生成和维护。
SPI:安全参数索引
是一个32位的比物的数值,在每个IPSEC报文中都携带该值。SPI,IP目的地址、安全协议号三者结合起来,当IKE自动协商时,SPI值会随机产生。
共同构成三元组。
安全联盟生存时间(LIFETIME)
以时间进行限制或以流量进行限制(每传输一定的字节数量的信息进行更新)两种
安全策略:(cryptomap)
由用户手工配置,规定对什么样的数据流采用什么样的安全的安全措施。
安全提议(TransformMode)转换方式
IKE:英特网密钥交换协议,是IPSEC的信令协议。为IPSEC提供了自动的SA协商和管理,大大减化了IPSEC的配置和维护工作。IKE不是在网络上直接传输密钥,而是通过一系列的数据交换,最终计算出双方共享的密钥,并且第三方截获,也不足已计算出真正的密钥,IKE具有一套自保机制,可以在不安全的网络上安全地分发密钥,验证身份。
数据验证有两个方面的概念:
1,保证数据的完整性
2,身份保护,身份验证确认通信双方的身份。身份数据在密钥产生之后加密传送。实现了对身份数据的保护。
DH交换与密钥分发:
是一种公共的密钥算法。通信双方在不发送密钥的情况下通过一些数据,计算出共享密钥。
IKE的交换过程:
SA交换、密钥交换、身份ID交换及验证三个过程。IKE两个阶段,第一阶段为建立IKESA,主模式。
第二阶段为快速模式,在IKESA的保护下完成IPSEC的协商。
IPSEC的配置命令:
1,创建加密的访问控制列表
2,定义安全提议Quidway]ipsecproposalname
quidway-ike-proposal-10]encryption-algorithm[des-3des]加密
quidway-ike-proposal-10]authentication-method[pre-share]
quidway-ike-proposal-10]authentication-algorithm[md5/sha]选择算法
quidway-ike-proposal-10]dh{group1group2}
quidway-ike-proposal-10]sadurationseconds
quidway]ikepre-shared-keyremoteremote-address
quidway]ikesakeepalive-timer[intervaltimeout]seconds
3,定义安全协议Quidway-crypto-transform-trans
封装模式:encapsulation-modetransport/tunnel
选择安全协议:transform{ah-new|esp-new|ah-esp-new}
ah-newauthentication-algorithm{md5-hmac-96|sha1-hmac-96}
esp-newauthentication-algorithm{md5-hmac-96|sha1-hmac-96}
esp-newencryption-algorithm{3des|des…..}
4,创建安全策略
ipsecpolicynamesequence-number[manual|isakmp]
quidway-ipsec-policy-policy1-10]securityaclaccess-list-number引用访问控制列表
tunnelremoteadd
proposalproposal1(2,3,4)引用安全提议
5,在接口上应用
quidway-serial0]ipsecpolicypolicy-name
QOS:服务质量
目标:避免并管理IP网络拥塞
减少IP报文的丢失率
调控IP网络的流量
为特定的用户或特定的业务提供专用带宽
支撑IP网络上的实时业务
BEST-EFFORT-service(尽力而为服务模型):主要实现技术FIFO
Intergrateservice(综合服务模型)业务能过信令向网络申请特定的QOS服务,网络在流量参数描述的范围内,预留资源以承诺满足该请求。
Differentiatedservice(区分服务模型):当网络出现拥塞时,根据业务的不同服务等级约定,有差别地进行流量控制和转发来解决拥塞问题。
RSVP:是第一个标准的QOS信令协议,它动态地建立端到端的QOS,它允许应用程序动态地申请网络带宽等。RSVP不是一个路由协议,而是按照路由协议规定的报文流的路径为报文申请预留资源,当路径变了后,它会按照新路由进行调整,并在新的路径上申请预留资源。RSVP只是在网络的节点之间传递QOS请求,本身不完成这些QOS要求实现,而是通过其他的技术如:WFQ.网络节点收到请求后,比较资源请求和网络现有的资源,确定是否接受。可以对每个资源请求设置不同的优先级。这样,当优先级较高的资源请求可以在网络资源不够的情况下,抢占低优先级的预留资源。
RSVP的缺点:
要求端到端所有设备支持这协议
网络单元为每个应用保存状态信息,可扩展性差
周期性同想念单元交换状态信息,协议报文开销大。
不适合在大型网络中应用。
DiffServ:首先,在网络的边缘进行不同的业务分类,打上不同的QOS标记(着色)。分类的依据可以是报文带的四层,三层,三层的信息,如源IP,目IP,源MAC,目MAC,TCP或UTP端口号等。然后在网络内部,根据着色的结果在每一跳进行相应的处理。
DifferServ:有以下几种技术实现:
CAR:根据报文所带的信息进行分类,并利用Precedence:(TOS的高3位最多分为8类或)DSCP(TOS的高6位)进行着色,CAR同时也完成流量的度量和监管。
GTS:对通过网络节点,指定的业务或所有业务进行流量整形,合其符合期望的流量指标。
队列机制:通过FIFO,PQ,CQ,WFQ等队列技术,在网络拥塞时进行拥塞管理,对不同业务的报文按用户指定的策略进行调度。
拥塞避免:WRED,对网络拥塞情况进行预测,并在此基础上采用随机丢弃部TCP报文的方式。
一般,在网络边界,对报文进行着色,在网络内部则简单的使用着色的结果作为对列调度、流量整形等处理的依据。
CAR(committedaccessrate):约定访问速率
CAR用令牌桶算法,对流量进行控制。当CAR用来作流量监管时,一般配置为:conform的报文进行发送,对EXCEED的报文进行丢弃。
命令:
qoscarlcarl-index{precedenceprecedence-value|macmac-address}
qoscar{inboundoutbound}{anyaclacl-indexcarlaarl-index}cireonnitted-ratecbsburst-sizeebsexceess-burst-sizeconformactionexceedaction
acl:匹配访问列表的报文
carl:匹配承诺访问速率列表的报文。
Cir:正常的流量,在8k-155Mbps
Ebs:所允许的突发数据块的大小,取0-155m单位为bits.
ConformAction:对符合流量约定的数据报文,可采取:
Continue
Discard:
Remark-prec-continuexxxxx为数据报文重设优先级后,交由下条QOSCAR命令处理。
Remark-prec-passxxxxx为数据报文重设优先级后,直接发送。
Pass直接发送。
Exceedaction指示当数据流量不符合流量约定时,对数据报文采取动作。注意:在一接口上(inbound或outbound)共可应用100条car策略。应用策略前,先禁止快速转发功能。
实例:
quidway]qoscarl1precedence3
qoscarl2precedence5
quidway-ethernet0]qoscarinboundanycir800000cbs150000ebs0conformremarkprec-continue5execeeddiscard
quidway-serial1]qoscarinboundanycir800000cbs150000ebs0conformremark-preecontinue3exceeddiscard
quidway-serial0]qoscaroutboundcarl1cir800000cbs150000ebs0conformpassexceeddiscard
quidway-serial]qoscaroutboundcarl2cir800000cbs150000ebs0conformpassexceeddiscard
GTS配置命令:
为某一类别流配置整形参数
qosgtsaclacl-indexcircommitted-rate[cbsburst-size[ebsexcess-burst-size][队列长度]]
为所有的流配置整形参数
qosgtsanycircommitted-rate[cbsburst-size[ebsexcess-burst-size[队列参数]]]
其中queuelength的默认长度为50
LR物理接口限速(linerate,LR)
在一个物理接口上,限制接口发送报文的总速率(对全部的流量,而GTS,CAR只适合于IP包。)
LR的配置命令:
QosLRcircommitted-rate[cbsburst-size[ebsexcessburst-size]]
缺省地,burst-size是committed的两倍
当网络出现堵塞时,用到队列来实现。FIFO、PQ、CQ、WFQ
priorityqueueing优先级队列:
实例:
quidway]acl1
quidway-acl-1]rulepermitipsource10.0.0.00.255.255.255
quidway]qospql1protocolipacl1queuetop
quidway]qospql1inbound-interfaceserial1queuebottom
quidway]qospql1default-queuemiddle
quidway]qospql1queuetopqueue-length10
//定义队列的长度为:top20
middle40
normal60
bottom80
quidway-serial0]qospqpql1
缺点,PQ当较高的优先级的报文绝对的优先权,这样虽然可以保证关键业务的优先,但在较高优先级的报文的速度总是大于接口的速度时,将会使较低优先级的报文始终得不到发送的机会,采用CQ,定制队列,用户可配置队列占用的带宽比例关系,根据优先级高低,轮询调度。将可以避免这种情况的发生。CQ可以将报文分类,然后按类别将报文被分配到CQ的一个队列中去,对每个队列,可以规定队列中的报文应占接口带宽的比例,这样就可以让不同业务报文获得合理的带宽,从而保证关键业务,也不到于使非关键业务得不到带宽。
取值范围为0-16,系统为0,缺省队列号为16。
定义好的队列组需要应用在接口上。一个接口上只能应用一个队列组,一个队列组可以应用于多个接口上。
实例:
quidway]acl1
]rulepermitipsource10.10.0.00.0.255.255
quidway]qoscql1protocolipacl1queue1//访问控制列表1定义的报文入CQ组1队列1。
quidway]qoscql1queue1queue-length100//队列1的长度为100
queue-serving5000//队列1的每次轮询发送的字节数为5000。
Quidway]qoscql1intbound-interfaceserial1queue2//将从接口S1进入的报文入CQ组1队列2
Qoscql1queue2queue-length90
Quidway-serial0]qoscqcql1//将CQ组1应用到串口上。
WFQ:weigthfairqueue加权公平队列
原理:在保证公平(带宽,延迟)的基础上体现权值,权值大小依赖IP报中带的IP优先级(precedence).WFQ对报文按流进行分类,即相同的五个元素为一个流),每个流被分配到一个队列当中,过程称为散列,入队过程采用HASH算法自动完成,出去时,WFQ按流的优先级来分配每个流占有的不同的带宽。
命令:qoswfqqueue-length64(缺省地一个队列数据包最大数)queuenumber512(一共加起来的个包)
当队列中同时丢弃多个TCP连接的报文时,将造成多个TCP连接同时进入慢启动和拥塞避免,称之为:TCP全局同步。
RED(randomearlydetection)随机早期检测
WRED(Weightedrandomearlydetection)加权的随机早期检测。
WRED:
1,采用随机丢弃的策略,避免了尾部丢弃的方式而引起TCP全局同步
2,根据当前队列的浓度来预测拥塞的情况
3,根据优先级定义不同的丢弃策略,定义上限阀值和下限阀值。
4,相同的优先级不同的队列,队列长度越长丢弃概率越高。
一般地,WRED与WFQ一起用,
实例:
quidway-serial0]qoswfq//在接口上使用WFQ队列策略
quidway—serial0]qoswred//使用默认的WRED参数。
QOS信息的监控与维护:
Displayqos[carqtslrcqpqwfqwred][interfacetypenumber]//接口的QOS配置和统计信息。
Disqos[cqlpql]//显示PQ与CQ的队列列表内容。
交换部分:
生成树协议:
首先各端口收到的配置消息和自己的配置消息做比较,得到优先级高的配置,并更改本身的配置消息,主要工作有:
1,选择根网桥ROOTID:最优配置消息ROOTID,,
2,计算到根网桥的路径最短开销值:如果自己不是根网桥,则开销值rootpathcost等于所收到的最优配置消息的开销值与收到该配置消息的端口开销之和
3,选择根端口ROOTPORT:如果自己是根桥,则根端口为0,否则一般为收到最优配置消息的那个端口。
4,指定端口:除了根端口外的其他生成树上处于转发状态的端口
5,最后,修改了自己的BPDU后,该网桥从指定端口将自己的配置消息发送出去。
如果网桥端口来
hellotime网桥从指定端口以HELLOTIME为周期定时发送配置消息
messageagemaxage端口保存的配置消息有一个生存期messageage字段,并按时间递增,每当收到一个生存期比自己小的配置消息时,则更新自己的配置消息,当一段时间未收任何配置消息,达到maxage时,网桥认为该端口处于链路故障,进行故障处理。该网桥将抛弃这个过时的配置消息,重新计算生成树。
什么时候阻塞的端口接收转发的数据,(不包括STP协议报文),直到新的情况发生触发生成树的重新计算,比如另外一条链路断开,或端口收到更新的配置消息。