华为交换机QACLRIPOSPF地实现.docx

华为交换机QACLRIPOSPF地实现.docx

《华为交换机QACLRIPOSPF地实现.docx》由会员分享，可在线阅读，更多相关《华为交换机QACLRIPOSPF地实现.docx（17页珍藏版）》请在冰豆网上搜索。

华为交换机QACLRIPOSPF地实现

华为交换机QACL、RIP、OSPF的实现

一．QACL内容

QACL是QoS&ACL的简称。

下面分别介绍一下QoS和ACL。

、QoS（服务质量）

传统的分组网络对所有报文都无区别的等同对待。

每个交换机/路由器对所有的报文采用先入先出的策略（FIFO）处理，尽最大的努力（Best-Effort）将报文送到目的地，但对报文传送的延时、延时抖动等传输性能不提供任何承诺和保证。

随着计算机网络的高速发展，对带宽、延迟、抖动敏感的语音、图像、重要数据越来越多地在网上传输。

这样一方面使得网上的业务资源极大地丰富，另一方面则由于经常遭遇网络拥塞，人们对网络传输的服务质量QoS（QualityofService）提出了更高的要求。

以太网技术是当今被广泛使用的网络技术。

目前，以太网不仅成为各种独立的局域网中的主导技术，许多以太网形式的局域网也成为了Internet的组成部分。

而且随着以太网技术的不断发展，以太网接入方式也将成为广大普通Internet用户的主要接入方式之一。

因此要实现端到端的全网QoS解决方案，不可避免地要考虑以太网上的QoS业务保证的问题。

这就需要以太网交换设备应用以太网QoS技术，对不同类型的业务流提供不同等级的QoS保证，尤其是能够支持那些对延时和抖动要求较高的业务流。

下面介绍QoS的一些术语和概念。

1、流

流即业务流（traffic），指所有通过交换机的报文。

2、流分类

流分类（trafficclassification）是指采用一定的规则识别出符合某类特征的报文。

分类规则（classificationrule）指配置管理员根据管理需求配置的过滤规则。

分类规则可以很简单，比如可根据IP报文头的ToS字段，识别出有不同优先级特征的流量；也可以很复杂，如综合链路层（Layer2）、网络层（layer3）、传输层（layer4）信息诸如MAC地址、IP协议、源地址、目的地址、或应用程序的端口号等相关信息来对报文进行分类。

一般的分类依据都局限在封装报文的头部信息，使用报文的内容作为分类的标准比较少见。

3、包过滤

包过滤就是将业务流进行过滤操作。

例如丢弃操作（deny），该操作将匹配流分类规则的业务流丢弃，而允许其他所有流量通过。

以太网交换机采用了复杂的流分类规则，这样可以针对业务流的各种信息进行过滤，丢弃那些无用的、不可靠、值得怀疑的业务流，从而增强了网络的安全性。

实现包过滤，有两个关键的环节：

第一步：

是对进入端口的流量按即定的规则进行流分类；

第二步：

对区分出来的流进行过滤——丢弃操作（deny）。

deny为缺省的访问控制操作。

4、流量监管

为了使有限的网络资源可以更好地为用户服务，QoS在输入端口上可以对特定用户的业务流进行监管，使之适应分配给它的那部分网络资源。

5、带宽保证

带宽保证是指确保进入交换机的特定业务流一个最小的带宽，即使在网络拥塞时，也能满足一定的丢包率、时延及时延抖动等QoS需求。

6、端口限速

端口限速就是基于端口的速率限制，它对端口输出报文的总速率进行限制。

7、重定向

用户可以基于自身QoS策略的需要，重新指定报文的转发端口。

8、优先级标记

以太网交换机可为特定报文提供优先级标记的服务，标记内容包括TOS、DSCP、802.1p等，这些优先级标记分别适用于不同的QoS模型，在不同的模型中被定义。

、ACL（访问控制列表）

访问控制列表（ACL）具有区分数据包的功能，因此，它可以控制“什么样的数据包”可以做“什么样的事情”。

例如：

将访问控制列表应用于防火墙，可以在保证合法用户访问的同时拒绝非法用户的访问。

也可以允许某种服务（如Telnet）通过，而拒绝另一种服务（如DNS）。

在QoS的应用中，我们可以利用访问控制列表对网络中的数据流量进行控制，重要的数据得到优先处理，不重要的数据后处理，不需要的数据被丢弃。

在DCC中我们则可以用访问控制列表来规定哪些数据包可以触发拨号。

在地址转换中，访问控制列表还可以用来规定哪些数据包需要进行地址转换。

另外访问控制列表还广泛应用于路由策略中，主要用作路由信息的过滤。

IP数据包具有一定的特征，例如，对于每个TCP数据包，都包含有源地址、目的地址、协议号、源端口、目的端口，利用这5个元素就可以描述出一个数据包的特征。

访问控制列表就是利用这些信息来定义规则，区分不同的数据包（例如所有源地址是202.10.10.0地址段的数据包、所有使用Telnet访问的数据包等等），路由器将在使能访问控制列表的接口上对所有的数据包进行规则的匹配检查。

一条访问控制规则可以由多条子规则组成。

由于每一条子规则指定的数据包的范围大小有别，在匹配一个访问控制规则的时候就存在匹配顺序的问题。

二．RIP内容

RIP是RoutingInformationProtocol（路由信息协议）的简称。

它是一种相对简单的动态路由协议，但在实际使用中有着广泛的应用。

RIP是一种基于D-V算法的路由协议，它通过UDP交换路由信息，每隔30秒向外发送一次更新报文。

如果经过180秒没有收到来自对端的路由更新报文认为目的网络或主机不可达，再过120秒就将该条路由从路由表中删除。

RIP使用跳数（HopCount）来衡量到达目的网络的距离，称为路由权（RoutingMetric）。

在RIP中，三层交换机到与它直接相连网络跳数为0，通过一个路由器（或三层交换机）可达的网络的跳数为1，其余依次类推。

为限制收敛时间，RIP规定metric取值0～15之间的整数，大于或等于16的跳数被定义为无穷大，即目的网络或主机不可达。

为提高性能，防止产生路由环路，RIP支持水平分割（SplitHorizon）与路由中毒（PoisonReverse），并在路由中毒时采用触发更新（TriggeredUpdate）。

另外，RIP协议还允许引入其它路由协议所得到的路由。

RIP又包括RIP-1和RIP-2两个版本，RIP-1支持变长子网掩码（VLSM），RIP-2支持变长子网掩码（VLSM），同时RIP-2支持明文认证和MD5密文认证。

RIP-1使用广播发送报文，RIP-2有两种传送方式：

广播方式和组播方式，缺省将采用组播发送报文，RIP-2的组播地址为224.0.0.9。

组播发送报文的好处是在同一网络中那些没有运行RIP的网段可以避免接收RIP的广播报文；另外，组播发送报文还可以使运行RIP-1的网段避免错误地接收和处理RIP-2中带有子网掩码的路由。

RIP协议是最早使用的IGP之一，RIP协议被设计用于使用同种技术的中小型网络，因此适应于大多数的校园网和使用速率变化不是很大的区域性网络。

对于更复杂的环境，一般不使用RIP协议。

在实现时，RIP作为一个系统长驻进程存在与路由器（或三层交换机）中，它负责从网络中的其它路由器接收路由信息，从而对本地IP层路由表作动态的维护，保证IP层发送报文时选择正确的路由，同时广播本路由器的路由信息，通知相邻路由器作相应的修改。

RIP协议处于UDP协议的上层，RIP所接收的路由信息都封装在UDP的数据报中，RIP在520号端口上接收来自远程路由修改信息，并对本地的路由表做相应的修改，同时知道其它路由器。

通过这种方式，达到全局路由的同步。

RIP启动和运行的整个过程可描述如下：

某路由器刚启动RIP时，以广播的形式向相邻路由器发送请求报文，相邻路由器的RIP收到请求报文后，响应该请求，回送包含本地路由表信息的响应报文。

路由器收到响应报文后，修改本地路由表，同时向相邻路由器发送触发修改报文，广播路由修改信息。

相邻路由器收到触发修改报文后，又向其各自的相邻路由器发送触发修改报文。

在一连串的触发修改广播后，各路由器都能得到并保持最新的路由信息。

同时，RIP每隔30秒向相邻路由器广播本地路由表，相邻路由器在收到报文后，对本地路由进行维护，选择一条最佳路由，再向其各自相邻网络广播修改信息，使更新的路由最终能达到全局有效。

同时，RIP采用超时机制对过时的路由进行超时处理，以保证路由的实时性和有效性。

三．OSPF内容

OSPF是OpenShortestPathFirst（即“开发最短路由优先协议”）的缩写。

它是IETF（InternetEngineeringTaskForce）组织开发的一个基于链路状态的自治系统内部路由协议。

在IP网络上，它通过收集和传递自治系统的链路状态来动态地发现并传播路由。

、OSPF协议具有如下特点：

1、适应范围－OSPF支持各种规模的网络，最多可支持几百台路由器（三层交换机）。

2、快速收敛－如果网络的拓扑结构发生变化，OSPF立即发送更新报文，使这一变化在自治系统中同步。

3、无自环－由于OSPF通过收集到的链路状态用最短路径树算法计算路由，故从算法本身保证了不会生成自环路由。

4、子网掩码－由于OSPF在描述路由时携带网段的掩码信息，所以OSPF协议不受自然掩码的限制，对VLSM提供很好的支持。

5、区域划分－OSPF协议允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用网络的带宽。

6、等值路由－OSPF支持到同一目的地址的多条等值路由。

7、路由分级－OSPF使用4类不同的路由，按优先顺序来说分别是：

区域路由、区域间路由、第一类外部路由、第二类外部路由。

8、持验证－它支持基于接口的报文验证以保证路由计算的安全性。

9、组播发送－OSPF在有组播发送能力的链路层上以组播地址发送协议报文，即达到了广播的作用，又最大程度的减少了对其他网络设备的干扰。

OSPF协议计算路由是以本路由器（或三层交换机）周边网络的拓扑结构为基础的。

每台路由器将自己周边的网络拓扑描述出来，传递给其他所有路由器。

、OSPF将不同的网络拓扑抽象为以下四种类型：

1、该接口所连的网段中只有本路由器自己。

（stubnetworks）

2、该接口通过点到点的网络与一台路由器相连。

（point-to-point）

3、该接口通过广播或NBMA的网络与多台路由器相连。

（broadcastorNBMAnetworks）

4、该接口通过点到多点的网络与多台路由器相连。

（point-to-multipoint）

、OSPF的报文类型一共有五种：

1、HELLO报文（HelloPacket）：

最常用的一种报文，周期性的发送给本路由器的邻居。

内容包括一些定时器的数值，DR，BDR，以及自己已知的邻居。

2、DD报文（DatabaseDescriptionPacket）：

两台路由器进行数据库同步时，用DD报文来描述自己的LSDB，内容包括LSDB中每一条LSA的摘要（摘要是指LSA的HEAD，通过该HEAD可以唯一标识一条LSA）。

这样做是为了减少路由器之间传递信息的量，因为LSA的HEAD只占一条LSA的整个数据量的一小部分，根据HEAD，对端路由器就可以判断出是否已经有了这条LSA。

3、LSR报文（LinkStateRequestPacket）：

两台路由器互相交换过DD报文之后，知道对端的路由器有哪些LSA是本地的LSDB所缺少的或是对端更新的LSA，这时需要发送LSR报文对方请求所需的LSA。

内容包括所需要的LSA的摘要。

4、LSU报文（LinkStateUpdatePacket）：

用来向对端路由器发送所需要的LSA，内容是多条LSA（全部内容）的集合。

5、LSAck报文（LinkStateAcknowledgmentPacket）：

用来对接收到的LSU报文进行确认。

内容是需要确认的LSA的HEAD（一个报文可对多个LSA进行确认）。

四．配置实例：

案例一：

华为交换机RIP和OSPF协议的实现

㈠、功能需求及组网说明

图1

『配置环境参数』

1、如图1，交换机SwitchA、SwitchB、SwitchC实现互连。

2、SwitchA中Vlan10虚接口地址10.1.1.1/24，Vlan20虚接口地址20.1.1.1/24，Vlan20与SwitchBVlan20互连，Vlan10接局域网；

3、SwitchB中Vlan20虚接口地址20.1.1.2/24，Vlan30虚接口地址30.1.1.1/24，Vlan20与SwitchAVlan20互连，Vlan30与SwitchCVlan30互连；

4、SwitchC中Vlan30虚接口地址30.1.1.2/24，Vlan40虚接口地址40.1.1.1/24，Vlan30与SwitchBVlan30互连，Vlan40接局域网；

5、PC1的IP地址为10.1.1.2/24，网关为10.1.1.1；PC2的IP地址为40.1.1.2/24，网关为40.1.1.1

『组网需求』

交换机之间运行动态路由协议，保证PC1和PC2互通。

、数据配置步骤

【SwitchA相关配置】

1、创建（进入）Vlan10

[SwitchA]VLAN10

[SwitchA-Vlan10]Port（VLAN10的端口）

2、创建（进入）Vlan10的虚接口

[SwitchA]InterfaceVlan10

3、给Vlan10的虚接口配置IP地址

[SwitchA-Vlan-interface10]Ipaddress10.1.1.1255.255.255.0

4、创建（进入）Vlan20

[SwitchA]Vlan20

[SwitchA-Vlan10]Port（Vlan20的端口）

5、创建（进入）Vlan20的虚接口

[SwitchA]InterfaceVlan20

6、给Vlan10的虚接口配置IP地址

[SwitchA-Vlan-interface10]Ipaddress20.1.1.1255.255.255.0

7、启动RIP

[SwitchA]rip

8、从10.1.1.0网段的接口发布和接收RIP路由信息

[SwitchA-rip]Network10.1.1.0

9、从20.1.1.0网段的接口发布和接收RIP路由信息

[SwitchA-rip]Network20.1.1.0

【SwitchB相关配置】

1、创建（进入）Vlan20

[SwitchB]VLAN20

[SwitchB-Vlan20]Port（VLAN20的端口）

2、创建（进入）Vlan20的虚接口

[SwitchB]InterfaceVlan20

3、给Vlan20的虚接口配置IP地址

[SwitchB-Vlan-interface20]Ipaddress20.1.1.2255.255.255.0

4、创建（进入）Vlan30

[SwitchB]Vlan30

[SwitchB-Vlan30]Port（Vlan30的端口）

5、创建（进入）Vlan30的虚接口

[SwitchB-Vlan30]InterfaceVlan30

6、给Vlan30的虚接口配置IP地址

[SwitchB-Vlan-interface30]Ipaddress30.1.1.1255.255.255.0

7、启动RIP

[SwitchB]rip

8、从20.1.1.0网段的接口发布和接收RIP路由信息

[SwitchB-rip]Network20.1.1.0

9、从30.1.1.0网段的接口发布和接收RIP路由信息

[SwitchB-rip]Network30.1.1.0

【SwitchC相关配置】

1、创建（进入）Vlan30

[SwitchC]Vlan30

[SwitchC-Vlan30]Port（VLAN30的端口）

2、创建（进入）Vlan30的虚接口

[SwitchC]InterfaceVlan30

3、给Vlan30的虚接口配置IP地址

[SwitchC-Vlan-interface30]Ipaddress30.1.1.2255.255.255.0

4、创建（进入）Vlan40

[SwitchC]Vlan40

[SwitchC-Vlan40]Port（Vlan40的端口）

5、创建（进入）Vlan40的虚接口

[SwitchC]InterfaceVlan40

6、给Vlan40的虚接口配置IP地址

[SwitchC-Vlan-interface40]Ipadd40.1.1.1255.255.255.0

7、启动RIP

[SwitchC]rip

8、从30.1.1.0网段的接口发布和接收RIP路由信息

[SwitchC-rip]Network30.1.1.0

9、从40.1.1.0网段的接口发布和接收RIP路由信息

[SwitchC-rip]Network40.1.1.0

【SwitchA相关配置】

1、创建（进入）Vlan10

[SwitchA]VLAN10

[SwitchA-Vlan10]PORT（VLAN10的端口）

2、创建（进入）Vlan10的虚接口

[SwitchA]InterfaceVlan10

3、给Vlan10的虚接口配置IP地址

[SwitchA-Vlan-interface10]Ipaddress10.1.1.1255.255.255.0

4、创建（进入）Vlan20

[SwitchA]Vlan20

[SwitchA-Vlan10]Port（Vlan20的端口）

5、创建（进入）Vlan20的虚接口

[SwitchA]InterfaceVlan20

6、给Vlan10的虚接口配置IP地址

[SwitchA-Vlan-interface10]Ipaddress20.1.1.1255.255.255.0

7、启动OSPF路由协议

[SwitchC]Ospf

8、指定区域号

[SwitchC-ospf]Area0

9、从指定网段的接口接收和发布路由信息

[SwitchA-ospf-area-0.0.0.0]Network10.1.1.1255.255.255.0

[SwitchA-ospf-area-0.0.0.0]Network20.1.1.1255.255.255.0

【SwitchB相关配置】

1、创建（进入）Vlan20

[SwitchB]VLAN20

[SwitchB-Vlan20]PORT（VLAN20的端口）

2、创建（进入）Vlan20的虚接口

[SwitchB]InterfaceVlan20

3、给Vlan20的虚接口配置IP地址

[SwitchB-Vlan-interface20]Ipaddress20.1.1.2255.255.255.0

4、创建（进入）Vlan30

[SwitchB]Vlan30

[SwitchB-Vlan30]Port（Vlan30的端口）

5、创建（进入）Vlan30的虚接口

[SwitchB-Vlan30]InterfaceVlan30

6、给Vlan30的虚接口配置IP地址

[SwitchB-Vlan-interface30]Ipaddress30.1.1.1255.255.255.0

7、启动OSPF路由协议

[SwitchC]Ospf

8、指定区域号

[SwitchC-ospf]Area0

9、从指定网段的接口接收和发布路由信息

[SwitchB-ospf-area-0.0.0.0]Network20.1.1.2255.255.255.0

[SwitchB-ospf-area-0.0.0.0]Network30.1.1.1255.255.255.0

【SwitchC相关配置】

1、创建（进入）Vlan30

[SwitchC]VLAN30

[SwitchC-Vlan30]Port（VLAN30的端口）

2、创建（进入）Vlan30的虚接口

[SwitchC]InterfaceVlan30

3、给Vlan30的虚接口配置IP地址

[SwitchC-Vlan-interface30]Ipaddress30.1.1.2255.255.255.0

4、创建（进入）Vlan40

[SwitchC]Vlan40

[SwitchC-Vlan40]Port（Vlan40的端口）

5、创建（进入）Vlan40的虚接口

[SwitchC]InterfaceVlan40

6、给Vlan40的虚接口配置IP地址

[SwitchC-Vlan-interface40]Ipaddress40.1.1.1255.255.255.0

7、启动OSPF路由协议

[SwitchC]Ospf

8、指定区域号

[SwitchC-ospf]Area0

9、从指定网段的接口接收和发布路由信息

[SwitchC-ospf-area-0.0.0.0]Network30.1.1.2255.255.255.0

[SwitchC-ospf-area-0.0.0.0]Network40.1.1.1255.255.255.0

、测试验证

RIP路由协议：

PC1能够PING通PC2，在交换机上dispiprout可以看到各个网段路由信息

OSPF路由协议：

PC1能够PING通PC2，在交换机上dispiprout可以看到各个网段路由信息

案例二：

华为3526E交换机QACL双向访问控制配置方法

㈠、功能需求及组网说明

图2

『配置环境参数』

说明：

通过配置三层交换机的acl来实现Vlan之间的访问控制

『组网需求』

需求：

组网和Vlan分配如图2所示，要求Vlan10、20、30均可以访问server1，但是只有Vlan10和Vlan20可以访问server2，同时Vlan10、20、30之间不能互访。

、数据配置步骤

基础配置：

1、创建（进入）Vlan10

[SwitchA]Vlan10

2、创建（进入）Vlan10的虚接口

[SwitchA]InterfaceVlan-interface10

3、给Vlan20的虚接口配置IP地址

[SwitchA-Vlan-interface10]ipaddress10.10.1.1255.255.0.0

4、创建（进入）Vlan20

[SwitchA]Vlan20

5、创建（进入）Vlan20的虚接口

[SwitchA]interfaceVlan-interface20

6、给Vlan20的虚接口配置IP地址

[SwitchA-Vlan-interface20]ipaddress10.20.1.1255.255.0.0

7、创建（进入）Vlan30

[SwitchA]Vlan30

8、创建（进入）Vlan30的虚接口

[SwitchA]interfaceVlan-interface30

9、给Vlan30的虚接口配置IP地址

[SwitchA-Vlan-interface30]ipaddress10.30.1.1255.255.0.0

10、创建（进入）Vlan100

[SwitchA]Vlan100

11、创建（进入）Vlan100的虚接口

[SwitchA]interfaceVlan-interface100

12、给Vlan100的虚接口配置IP地址

[S