华为数通学习(九)-华为路由器交换ACL的应用与经验总结
华为路由交换由浅入深系列(九)-华为路由器交换ACL的应用
与经验总结
1ACL概述
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
更多资料访问尽在网络之路空间;【把学习当做生活,每天都在进步】
https://www.360docs.net/doc/cb4192991.html,/1914756383/https://www.360docs.net/doc/cb4192991.html,/KUCqX2
ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。
2案例背景[交换机]
网络环境拓扑如下(客户端接入交换机约有几十个,所有设备均采用静态IP)
服务器区所有服务器网关均在核心交换机上,共有9个Vlan,9个网段分别如下;
Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24
Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24
交换机管理Vlan为Vlan1:10.0.13.0/24,核心交换机的管理ip为10.0.13.254,其余接入交换机网关均在核心交换机上;客户端共有8个Vlan,分别为Vlan20-Vlan100,网段分别为10.0.20.0/24-10.0.100.0/24,网关均在核心交换机上;
3需求一:对服务器区服务器做安全防护,只允许客户端访问服务器某些端口
由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器,
也即客户端访问服务器需要通过防火墙,所以对服务器的防护应该放到防火墙上来做,因为若用交换机来做过滤,配置麻烦且失去了防火墙应有的作用(此处不做防火墙配置介绍);
4需求二:交换机只允许固定管理员通过ssh登陆
此处做防护有较为方便的俩种方法
一:在所有交换机配置VTY时,调用ACL只允许源为网络管理员的IP访问,但此方法虽配置不复杂,但是配置工作量较大需要在所有交换机上配置,而且不灵活例如在网络管理员人员或者IP变迁时,需要重新修改所有交换机ACL,所以并不是首选方案;
二:因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan,也即客户端访问接入交换机必须通过核心
交换机,所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问,核心交换机的访问通过VTY来调用ACL;配置部分在下面;
5需求三:客户端VLAN之间不能互相访问,客户端只允许访问服务器VLAN
一:在核心交换机上的所有链接客户端接入交换机端口做ACL,只放行访问服务器的流量,拒绝其余流量,但由于客户端接入交换机约有几十台,所以配置工作量大几十个端口都需要配置,所以也不是首选方案;
二:在核心交换机上的客户端Vlan做Acl,只放行访问服务器的流量,拒绝其余流量,由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言,工作量较小,所以选择此方案;
6配置部分
6.1ACL配置部分
acl number2000
rule5permit source10.0.20.110
rule10permit source10.0.21.150
rule15deny
//定义允许访问核心交换机的俩位网络管理员IP地址;
acl number3000
rule51permit ip destination10.0.10.00.0.0.255
rule53permit ip destination10.0.12.00.0.0.255
rule55permit ip destination10.0.14.00.0.0.255
rule56permit ip destination10.0.15.00.0.0.255
rule57permit ip destination10.0.16.00.0.0.255
rule58permit ip destination10.0.17.00.0.0.255
rule59permit ip destination10.0.18.00.0.0.255
rule60permit ip destination10.0.19.00.0.0.255
//定义所有客户端只允许访问服务器Vlan
rule71permit tcp source10.0.20.110destination10.0.13.00.0.0.255destination-port eq22
rule72permit tcp source10.0.21.150destination10.0.13.00.0.0.255destination-port eq22
//定义允许访问核心交换机的tcp22端口(即SSH)的俩位网络管理员IP;
acl number3100
rule5permit ip
//拒绝除允许网段外的其余所有流量
//由于此处的acl3000及3100是给下面的QOS做调用的,所以此处的permit或deny不起作用,随意设置即可;
6.2Qos调用部分
traffic classifier3000operator or precedence5
if-match acl3000
//定义名为classifier3000的流分类,并调用ACL3000
traffic classifier3100operator or precedence10
if-match acl3100
//定义名为classifier3100的流分类,并调用ACL3100
//定义流分类
traffic behavior3000
permit
//定义名为behavior3000的流行为,并赋予允许值
traffic behavior3100
deny
//定义名为behavior3100的流行为,并赋予拒绝值
//定义流行为
//上面ACL的允许或拒绝不起作用,通过此处来定义拒绝或允许
traffic policy634acl
classifier3000behavior3000
classifier3100behavior3100
//定义名为policy634acl流策略,并将classifier3000流分类与behavior3000流行为关联,以及classifier 3100流分类与behavior3100流行为关联(注意:允许在前,拒绝在后);
vlan20
description kjfzb jimi
traffic-policy634acl inbound
//依次登录客户端Vlan应用流策略
至此完成了所有客户端Vlan之间不能互访,以及除网络管理员之外不能访问接入交换机管理网段的访问控制;user-interface vty04
acl2000inbound
//在vty界面中调用Acl2000,即只允许俩网络管理员登录;
authentication-mode aaa
user privilege level3
protocol inbound ssh
//至此完成了只允许网络管理员登录核心交换机的访问控制;
关于华为ACL日常维护中的一点点经验和大家分享下
在已经做好的ACL控制策略中,
如192.168.1.0禁止访问192.168.2.03.04.05.0网段
acl number3001
rule5deny ip source192.168.1.00.0.0.255destination192.168.2.00.0.0.255
rule10deny ip source192.168.1.00.0.0.255destination192.168.3.00.0.0.255
rule15deny ip source192.168.1.00.0.0.255destination192.168.4.00.0.0.255
rule20deny ip source192.168.1.00.0.0.255destination192.168.5.00.0.0.255
rule25deny ip source192.168.1.00.0.0.255destination192.168.6.00.0.0.128
但是在工作需求中要重新调整,使得192.168.1.0中的某个IP如192.168.1.10需要访问已被禁止的网段中的某个IP如
192.168.6.215,那么要将1.10与6.215互通在调整过程中需要什么呢.
很显然重建建ACL规则是不可行的,因为将规则应用到端口上时,只能同时应用一条规则.
那么就只能从原有的3001规则上下手了.下面是操作步骤:
1.首先在端口上将inbound应用停用,如果3001已经在使用中,那么rule是不可更改的
2.清空3001中的所有规则,做好备份.将permit条目放在前端,再恢复原有的规则,原因是acl匹配有一个自上而下的顺序匹配,所以必须首先permit后deny
若先匹配到如rule25已经是deny,那么后面无论怎么做permit,结果还是拒绝,那么调整后的顺序应当是
rule5permit ip source192.168.1.100destination192.168.6.2150
rule10deny ip source192.168.1.00.0.0.255destination192.168.2.00.0.0.255
rule15deny ip source192.168.1.00.0.0.255destination192.168.3.00.0.0.255
rule20deny ip source192.168.1.00.0.0.255destination192.168.4.00.0.0.255
rule25deny ip source192.168.1.00.0.0.255destination192.168.5.00.0.0.255
rule30deny ip source192.168.1.00.0.0.255destination192.168.6.00.0.0.128
3.重新应用至接口.在应用过程中注意一点
traffic behavior上permit与deny的区别.
使用permit表示按照acl3001的规则来进行数据放行,3001中允许那就允许,禁止那就禁止
但是若使用deny,则无论3001规则中的permit或者deny,一律全都丢弃不进行转发.
关于路由器的调用,对比交换来说简单很多。
traffic-filter inbound acl3001【接口下调用即可】
说明:高版本的交换机VRP也支持该命令,可以简化ACL的配置。
华为路由交换基础知识学习笔记-交换机高级特性
交换机?级特性 1 MUX VLAN(Multiplex VLAN) 主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进?通信。 隔离型从VLAN(Separate VLAN):只能和Principal VLAN通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。 互通型从VLAN(Group VLAN):可以和Principal VLAN通信,在同?Group VLAN内的?户也可以互相通信,但不能和其他Group VLAN和Separate VLAN内的?户通信。 2 端?隔离 同?端?隔离组内的?户不能进??层的通信 不同端?隔离组的?户可以正常通信 未划分端?隔离的?户可以和端?隔离组内?户正常通信 端?隔离分类 ?层隔离三层互通 ?层隔离+三层隔离 3 端?安全 3-1 端?安全定义:在接?层通过将接?学习到的动态MAC地址转换为安全MAC地址,阻??法?户通过本接?和交换机通信,在汇聚层通过配置端?安全控制接??户的数量。 3-2 安全MAC地址分类 安全动态MAC地址:使能端?安全?未使能Sticky MAC功能时转换的MAC地址。特点是设 备重启后表项会丢失,需要重新学习。缺省情况下不会被?化,只有在配置安全MAC的 ?化时间后才能被?化。 安全静态MAC地址:使能端?安全时??配置的静态MAC地址。特点是不会被?化,?动 保存配置后重启设备不会丢失。 Sticky MAC地址:使能端?安全后?同时使能Sticky MAC功能后转换得到的MAC地址。特 点同安全静态MAC地址。 3-3 端?安全限制动作(超过安全MAC地址限制数量后) restrict:丢弃源MAC地址不存在的报?并上报告警。 protect:只丢弃源MAC地址不存在的报?,不上报告警。 shutdown:接?状态被置为error-down,并上报告警,默认情况下不会?动恢复,只能 在接?视图下?restart命令重启接?。 以上内容整理于幕布?档
华为S3700策略路由实验
华为S3700策略路由实验 By kevinxiaop, 2012/11/1 拓扑如下: 10.1.1.10/24 要求在SW1上用策略路由,实现10.1.1.0/24网段与外部网络(10.2.2.1)的互通。 Vlan和vlanif的配置略。 路由配置: SW2上配置10.1.1.0/24的静态路由 ip route-static 10.1.1.0 24 172.31.1.2 PC上配置网关为10.1.1.1,或添加到10.2.2.0/24的静态路由 route add 10.2.2.0 mask 255.255.255.0 10.1.1.1 策略路由配置 由于S3700不支持ip local policy-based-route命令,因此不能实现本地策略路由。 下面采用流策略配置实现转发报文的策略路由。 在SW1上: acl 2000 rule 10 permit source 10.1.1.0 0.0.0.255 quit traffic classifier test if-match acl 2000 quit traffic behavior test redirect ip-nexthop 172.31.1.1
statistic enable quit traffic policy test classifier test behavior test quit 在物理接口E0/0/24上应用流策略 int ether 0/0/24 traffic-policy test inbound 在PC上测试ping 10.2.2.1,OK。 在VLAN 100上应用流策略 vlan 100 traffic-policy test inbound 在PC上测试ping 10.2.2.1,OK。 在SW1上ping 10.2.2.1是不通的,因为没有到10.2.2.1的路由。 在PC上ping测试的截图: 注意,这里ping 10.2.2.1的TTL为254,是对的。而ping 10.1.1.1反而多了1跳,这是受到流策略的影响,报文先被转发到了172.31.1.1,然后根据SW2的路由表又转发回来才被10.1.1.1接收到。同时,172.31.1.1会给SW1发一个ICMP重定向报文。
华为静态路由配置
静态路由 应用: 基本应用: 静态路由是指由管理员手动配置和维护的路由。 静态路由配置简单,被广泛应用于网络中。另外,静态路由还可以实现负载均衡和路由备份。拓扑: 配置: [R1]ip route-static 30.1.1.0 8 g0/0/0 20.1.1.2 [R1]ip route-static 30.1.1.0 255.0.0.0 g0/0/0 20.1.1.2 在广播型的接口(如以太网接口)上配置静态路由时,必须要指定下一跳地址。(但是也可以开启路由器的Arp代理功能,且只能部分网络通信)。 负载分担: 静态路由支持到达统一目的地的等价负载分担。 拓扑:
配置: [R4]ip route-static 30.1.1.0 8 10.1.1.1 [R4]ip route-static 30.1.1.0 8 20.1.1.1 路由备份: 浮动静态路由在网络中主路由失效的情况下,会加入到路由表并承担数据转发业务。 拓扑:如上 配置: [R4]ip route-static 30.1.1.0 8 10.1.1.1 [R4]ip route-static 30.1.1.0 8 20.1.1.1 preference 61 缺省路由: 缺省路由是目的地址和掩码都为全0的特殊路由。 如果报文的目的地址无法匹配路由表中的任何一项,路由器将选择依照缺省路由来转发报文。 缺省路由很容易发生环路问题:比如R4向R3发送一个访问100.0.0.0/8(不存在)的网络。拓扑:如上(仅10.1.1.0/8) 配置: [R4]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 [R4]ip route-static 0.0.0.0 0.0.0.0 g0/0/0 递归表查询:
华为交换机及路由器各种配置实例大全(20200909191858)
交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为、 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率 限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的 粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的 级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示,,,,20M,40M,60M,80M。 此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图
华为路由交换基础知识学习笔记-服务质量相关
服务质量相关 1 QoS(Quality of Service) 1.1 传统端到端?络的通信质量问题 1.1.1 传统IP?络?区别地对待所有报? 1.1.2 传统端到端?络设备依据先?先出(FIFO)原则分配报?转发所需资源 1.1.3 基于以上两点,关键业务的通信质量?法保障(语?延迟、视频卡顿等)。 1.2 影响?络通信质量的因素 1.2.1 ?络带宽:?络传输的最?带宽由传输路径上的最?链路带宽决定(瓶颈) 1.2.2 ?络时延 1.2.2.1 端到端?络时延等于路径上所有时延之和 1.2.2.2 单个设备的时延包括:传输时延、串?化时延、处理时延、队列时延 1.2.3 抖动:每个报?的端到端时延不?样,导致这些报?不能等间隔到达?的端。 1.2.4 丢包: 1.2.4.1 丢包可能在所有环节中发?(处理过程、排队过程、传输过程) 1.2.4.2可?于衡量?络的可靠性。 1.3 改善?络通信质量的?案 1.3.1 尽??为服务模型(Best-E?ort) 1.3.1.1 措施: 增??络带宽 升级?络设备(增强数据处理能?) 1.3.1.2 典型类型:FIFO(先进先出) 1.3.2 综合服务模型(Integrated Service Model,现?少?) 1.3. 2.1 含义:使?RSVP(Resource Reservation Protocol)协议通过信令(signal)预 先通知?络预留所需特定服务质量(带宽、时延等) 1.3. 2.2 优点:可以为某些特定业务提供带宽、延迟保证 1.3. 2.3 缺点: 实现较复杂 ?流量发送时仍然独占带宽 要求端到端所有节点都?持并运?RSVP 1.3.3 区分服务模型(Di?Serv,简称DS,?前应?最?泛) 1.3.3.1 ?作过程: 在?络??对报?的分类,完成对报?的标记。 根据标记,将其映射成本地对其定义的服务等级值。
华为路由器静态路由配置命令
华为路由器静态路由配置命令 4.6.1 ip route 配置或删除静态路由。 [ no ] ip route ip-address { mask | mask-length } { interfacce-name | gateway-address } [ preference preference-value ] [ reject | blackhole ] 【参数说明】 ip-address和mask为目的IP地址和掩码,点分十进制格式,由于要求掩码32位中‘1’必须是连续的,因此点分十进制格式的掩码可以用掩码长度mask-length来代替,掩码长度为掩码中连续‘1’的位数。 interfacce-name指定该路由的发送接口名,gateway-address为该路由的下一跳IP地址(点分十进制格式)。 preference-value为该路由的优先级别,范围0~255。 reject指明为不可达路由。 blackhole指明为黑洞路由。 【缺省情况】 系统缺省可以获取到去往与路由器相连子网的子网路由。在配置静态路由时如果不指定优先级,则缺省为60。如果没有指明reject或blackhole,则缺省为可达路由。 【命令模式】 全局配置模式 【使用指南】 配置静态路由的注意事项: 当目的IP地址和掩码均为0.0.0.0时,配置的缺省路由,即当查找路由表失败后,根据缺省路由进行包的转发。 对优先级的不同配置,可以灵活应用路由管理策略,如配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份。 在配置静态路由时,既可指定发送接口,也可指定下一跳地址,到底采用哪种方法,需要根据实际情况而定:对于支持网络地址到链路层地址解析的接口或点到点接口,指定发送接口即可;对于NBMA接口,如封装X.25或帧中继的接口、拨号口等,支持点到多点,这时除了配置IP路由外,还需在链路层建立二次路
华为路由器路由策略和策略路由配置与管理
路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。
匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter) RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器,可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立,区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时,可以应用路由策略。只有当设备支持BGP to IGP功能时,路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能,那么IGP就不能够识别BGP路由的私有属性,将导致匹配条件失效。
华为交换机路由器学习资料
华为交换机路由器学习资料 ~~~~~~~~~~ PCA login: root ;使用root用户 password: linux ;口令是linux # shutdown -h now ;关机# init 0 ;关机# logout ;用户注销 # login ;用户登录 # ifconfig ;显示IP地址 # ifconfig eth0
[Quidway]display vlan all ;显示路由信息 [Quidway]display version ;显示版本信息 [Quidway]super password ;修改特权用户密码 [Quidway]sysname ;交换机命名[Quidway]interface ethernet 0/1 ;进入接口视图 [Quidway]interface vlan x ;进入接口视图[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=网关 [Quidway]rip ;三层交换支持 [Quidway]local-user ftp [Quidway]user-interface vty 0 4 ;进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password ;设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令 [S3026-ui-vty0-4]user privilege level 3 ;用户级别 [Quidway]interface ethernet 0/1 ;进入端口模式 [Quidway]int e0/1 ;进入端口模式 [Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率 [Quidway-Ethernet0/1]flow-control ;配置端口流控 [Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式 [Quidway-Ethernet0/1]port access vlan 3 ;当前端口加入到VLAN
华为静态路由实验练习
R1配置情况: < Huawei > < Huawei > < Huawei >clo < Huawei >clock d < Huawei >clock datetime 18:30:00 2017-03-05 [Huawei]sy [Huawei]sysname R1 Mar 5 2017 18:30:19-08:00 Huawei %%01IFPDT/4/IF_STATE(l)[0]:Interface GigabitEt hernet0/0/1 has turned into UP state. [Huawei]sysname R1 [R1]
[R1] [R1]
华为路由交换基础知识学习笔记-DHCP
DHCP 1 DHCP产?背景 1.1 ??配置?络参数存在的问题 ?员素质要求? 容易出错 灵活性差 IP地址资源利?率低 ?作量? 1.2 DHCP优点 效率? 灵活性强 易于管理 2 DHCP基本原理 2.1 四个阶段 2.1.1 发现阶段:主机上的DHCP Client开始运?后,向?身所在?层?播域?播?个 DHCP Discover消息寻找DHCP Server。 2.1.2 提供阶段:每?个接收到DHCP Discover消息的DHCP Server都会从??维护的地址池 中选择?个合适的IP地址,通过DHCP O?er消息以单播?式发送给DHCP Client。 2.1.3 请求阶段:主机上的DHCP Client收到若?个DHCP O?er消息后,根据某种原则确定 ??将要接受哪个O?er(通常为最先收到的那个),再以?播?式向所在?层?播域? 播?个DHCP Request消息,表明??希望获取到所接受的那个DHCP Server提供的IP。注 意,这个Request消息中带有那个DHCP Server的标识(Server Identifier),表明该主机只 接受那个DHCP Server所给出的O?er。 2.1.4 确认阶段:被请求的DHCP Server以单播?式向主机上的DHCP Client发送?个DHCP Ack消息。注意,DHCP Server也可能因为某种原因向主机上的DHCP Client发送?个DHCP Nak消息,表明此次获取IP的尝试失败了。此时,主机只能回到发现阶段重新开始尝试获 取IP。 2.2 IP地址租约期和续租 2.2.1 租约期(Duration Lease):DHCP Server每次给DHCP Client分配?个IP地址时,只 是和Client定?了?个关于这个IP地址的租约(Lease),DHCP协议规定租约期的缺省值 不得?于1h,实际部署时缺省值?般为24h。超过租约期,Client将不能继续使?该IP, 但在到期前可以续租。 2.2.2 续租:租约期到达50%时,Client会以单播?式向Server发送?个DHCP Request消 息,请求续租当前使?的IP(即重新开始计算租约期),如果租约期87.5%的时间之前 Client收到了Server回应的Ack消息,则续租成功。如果过了87.5%未收到Ack,则Client向
华为路由器模拟实验九 静态路由实验
实验九 静态路由实验 PCA:10.65.1.1 PCB:10.66.1.1 PCC:10.70.1.1 PCD:10.71.1.1 [RouterA]interface ethernet0 [RouterA-Ethernet0]ip addrress 10.65.1.2 255.255.0.0 [RouterA-Ethernet0]undo shutdown [RouterA-Ethernet0]int e1 [RouterA-Ethernet1]ip addrress 10.66.1.2 255.255.0.0 [RouterA-Ethernet1]undo shutdown [RouterA-Ethernet1]int s1 [RouterA-Serial1]ip addrress 10.68.1.2 255.255.0.0 [RouterA-Serial1]undo shutdown [RouterA-Serial1]clock rate 64000 [RouterA-Serial1]quit [RouterA]ip routing [RouterA]dis curr [RouterB]interface ethernet0 [RouterB-Ethernet0]ip addrress 10.70.1.2 255.255.0.0 [RouterB-Ethernet0]undo shutdown [RouterB-Ethernet0]int e1 [RouterB-Ethernet1]ip addrress 10.71.1.2 255.255.0.0 [RouterB-Ethernet1]undo shutdown [RouterB-Ethernet1]int s0 [RouterB-Serial0]ip addrress 10.68.1.1 255.255.0.0 [RouterB-Serial0]undo shutdown [RouterB-Serial0]quit [RouterB]ip routing [RouterB]dis curr [root@PCA root]#ifconfig eth0 10.65.1.1 netmask 255.255.0.0 [root@PCA root]#route add default gw 10.65.1.2 [root@PCA root]#ping 10.65.1.2 通 [root@PCA root]#ping 10.66.1.2 通 [root@PCA root]#ping 10.67.1.2 通 [root@PCA root]#ping 10.68.1.2 不通 [root@PCA root]#ping 10.69.1.2 不通 [RouterA]ip route-static 10.69.0.0 255.255.0.0 10.67.1.1 [root@PCA root]#ping 10.69.1.1 通
华为路由交换基础知识学习笔记-路由控制
路由控制 1 路由控制需求 控制?络流量可达性 调整?络流量路径 2 控制?络流量可达性的两种?式 2.1 路由策略:当路由器在发布、接收和引?路由信息时对路由信息进?过滤或改变路由信息 的属性,以满?实际组?需求。 2.2 策略路由:通过预先制定的策略?进?流量转发的机制。 2.3 路由策略和策略路由对?:策略路由的查找优先级?于路由策略,且策略路由不改变路由 表的任何内容。 3 路由策略(两种?具:Filter-Policy和Route-Policy) 3.1 ACL(Access Control List) 基本ACL:编号范围2000~2999,主要基于源地址、分?标记和时间段信息对数据包进? 分类定义。 ?级ACL:编号范围3000~3999,可以基于源地址、?的地址、源端?号、?的端?号、 协议类型、优先级和时间段等信息对数据包进?更为细致的分类定义。 ?层ACL:编号范围4000~4999,主要基于源mac地址、?的mac地址和报?类型等信息对 数据包进?分类定义。 ?户?定义ACL:编号5000~5999,主要根据?户?定义的规则对数据报?做出相应的处 理。 3.2 IP-Prefix List 能够同时匹配IP地址前缀及掩码?度。 仅?于路由前缀的匹配,不能?于IP报?的过滤。 IP-Prefix List中的每?条IP-Prefix都有?个序列号index,默认步?为10,匹配时根据 index从?到?进?匹配。 当所有前缀过滤列表均未匹配时,缺省情况下,存在最后?条默认匹配模式为deny。当 引?的前缀过滤列表不存在时,则默认匹配模式为permit。 3.3 Filter-Policy Filter-Policy能够对接收或发布的路由进?过滤,可应?于RIP、OSPF、BGP等协议。 ?先使?ACL或IP-Prefix List?具来匹配?标流量 再在协议视图下利?Filter-Policy向?标流量发布策略 Filter-Policy作?的时间点为路由协议完成SPF计算向路由表中添加路由的过程中,因? LSDB中可能还有?标路由,但路由表中过滤掉了。 3.4 Route-Policy ?先使?ACL或IP-Prefix List?具来匹配?标流量
eNSP静态路由配置实验报告
eNSP静态路由配置实验 姓名:X 学号:X 班级:X 课程名称:静态路由配置实验 提交日期:年月日 注:仅供参考 一、实验名称:静态路由配置 二、实验目的:实了解静态路由的原理,掌握静态路由的配置方法 三、实验软件:eNSP 四、实验任务: 1.配置基本静态路由 2.配置默认静态路由 3.实现静态路由的负载分担 4.实现静态路由的路由备份 五、实验步骤 1.基本静态路由配置
⑴构建实验拓扑图,配置主机参数,并启动设备 Pc1-IP:2 Gateway:30 Pc2-IP:22 Gateway:30 R1-Gateway:24 R1-GE0/0/1 Gateway:24 R2-GE0/0/1-IP:1.1.1.2 Gateway:24 R2-GE0/0/0-IP:20.1.1.1 Gateway:30 ⑵静态路由配置 R1:
华为路由交换配置命令大全
配置命令 查看当前的版本命令是:
eNSP静态路由配置实验报告
e N S P静态路由配置实验报 告 Prepared on 22 November 2020
eNSP静态路由配置实验 姓名:X 学号:X 班级:X 课程名称:静态路由配置实验 提交日期:年月日 注:仅供参考 一、实验名称:静态路由配置 二、实验目的:实了解静态路由的原理,掌握静态路由的配置方法 三、实验软件:eNSP 四、实验任务: 1.配置基本静态路由 2.配置默认静态路由 3.实现静态路由的负载分担 4.实现静态路由的路由备份 五、实验步骤 1.基本静态路由配置 ⑴构建实验拓扑图,配置主机参数,并启动设备 Pc1-IP:2 Gateway:30 Pc2-IP:22 Gateway:30 R1-Gateway:24 R1-GE0/0/1 Gateway:24 R2-GE0/0/1- Gateway:24 R2-GE0/0/0- Gateway:30 ⑵静态路由配置 R1:
华为路由交换实验报告
Oxbridge College KMUST Teaching Records 昆明理工大学津桥学院 计电系网络专业实验报告 课程名称:网络管理技术 学年学期: 2014-2015学年第 1 学期 授课专业班级:计科121 姓名:王红梅 学号: 201216021116 指导教师:朱凯 教师评价:
目录
实验1:ARP基本配置 【实验目的】 1.掌握通过Windows自带终端软件连接到路由器的配置 2.掌握配置设备名称、时间及区的方法 3.掌握配置Console口空闲超时的方法 4.掌握配置登录欢迎信息的方法 5.掌握配置登录密码与Super密码的方法 6.掌握保存和删除配置文件的方法 7.掌握路由器接口配置IP地址的方法 8.掌握直连的两个路由器之间的联通测试方法 9.掌握使用通过Telnet一台路由器去控制另外一台路由器的配置方法 10.掌握使用FTP将配置文件从一台路由器拷贝到另外一台路由器的方法 11.掌握重启路由器的方法
【实验环境】 实验步骤: 1、 10.1.1.2/24 10.1.1.3/24172.16.1.2/24 172.16.1.3/24 NAT 地址转换 【实验过程】
路由器A配置 ●配置端口IP地址 RA(config)#interface f0/0 RA(config-if)#ip address 10.1.1.1 255.255.255.0 RA(config-if)#no sh RA(config)#interface f1/0 RA(config-if)#ip address 192.168.1.1 255.255.255.0 RA(config-if)#no sh ●配置到达子网172.16.1.0的默认路由,下一跳地址192.168.1.2 RA(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 ●设置内部局部地址和内部全局地址之间的静态地址转换 RA(config)#ip nat inside source static 10.1.1.2 192.168.1.10 RA(config)#ip nat inside source static 10.1.1.3 192.168.1.11 ●在端口上启用NAT RA(config)#interface f0/0 RA(config-if)#ip nat insid RA(config)#interface f1/0 RA(config-if)#ip nat outside ●查看NAT配置信息 RA#sh ip nat statistics
华为路由器路由策略和策略路由
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
1 路由策略原理图图 按节点序号从小到大依次检查。路由进入路由策略后,Node))个节点(,一个路由策略中包含如图1N(N>=1 种过滤器。子句定义,涉及路由信息的属性和路由策略的各个节点是否匹配。匹配条件由 If-match6 子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。If-match当路由与该节点的所有 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表(IP Prefix List) 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。 根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。 说明: 当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器(AS_Path Filter) AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器(Community Filter) 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器,在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器(Extcommunity Filter) 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器,可在VPN配置中利用VPN Target区分路由时单独使用。 目前,扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器(Route Distinguisher Filter)