Size: px

Start display at page:

Download "目录（目录名）"

计皇浦双
4 years ago
Views:

1 DHCP 目录目录第 1 章 DHCP 功能介绍支持能力配置指南 DHCP Server 配置 DHCP Relay 配置 DHCP Snooping 配置第 2 章配置举例 DHCP Server 配置举例组网需求组网图配置步骤 DHCP Relay/Snooping 综合配置举例组网需求组网图配置步骤第 3 章相关资料相关协议和标准 i

2 DHCP 摘要 DHCP 典型配置举例关键词 :DHCP,Option82 摘要 : 本文主要介绍以太网交换机的 DHCP 功能在具体组网中的应用配置, 根据设备在网络中担当的不同角色, 分别介绍 DHCP Server DHCP Relay DHCP Snooping 功能, 以及 DHCP Option82 的功能及应用缩略语 :DHCP(Dynamic Host Configuration Protocol, 动态主机配置协议 ) ii

3 DHCP 第 1 章 DHCP 功能介绍第 1 章 DHCP 功能介绍说明 : 本手册中涉及的配置过程和配置命令均使用基于 Release 3135 软件版本的 S7500 系列交换机进行验证如因使用的版本不同造成配置上的差异, 请用户参考对应版本的操作命令手册 1.1 支持能力 H3C S7500 系列以太网交换机可以支持以下 DHCP 功能 DHCP Server: 支持使用全局地址池 / 接口地址池的 DHCP Server 支持配置 IP 地址租期支持为 DHCP 客户端分配网关地址 DNS 服务器地址 WINS 服务器地址支持对特殊地址进行静态绑定支持 DHCP Server 安全功能 : 伪 DHCP Server 检测 IP 重复分配检测支持配置 DHCP 自定义选项 DHCP Relay: 支持 DHCP Relay 支持 DHCP Relay 地址匹配检查功能支持 DHCP Option82 DHCP Snooping: 支持 DHCP Snooping 支持 DHCP Snooping 信任端口支持 DHCP Option82 说明 : 关于 DHCP 功能的详细介绍, 请参见 S7500 系列交换机的操作命令手册 1-1

4 DHCP 第 1 章 DHCP 功能介绍 1.2 配置指南 DHCP Server 配置对于 DHCP Server 设备, 可以使用全局地址池和接口地址池进行地址分配这两种配置方法的适用情况是 : 如果 DHCP Client 和 DHCP Server 在同一网段, 这两种配置方法都适用 ; 如果 DHCP Client 与 DHCP Server 不在同一网段, 那么只能用基于全局地址池的 DHCP Server 配置 (1) 使用全局地址池分配地址的配置过程 : 表 1-1 使用全局地址池分配地址的配置过程操作命令说明进入系统视图 system-view - 使能 DHCP 服务创建 DHCP 地址池并进入 DHCP 地址池视图配置动态分配的 IP 地址范围配置动态分配的 IP 地址租用有效期限配置为 DHCP 客户端分配的域名配置为 DHCP 客户端分配的 DNS 服务器地址配置为 DHCP 客户端分配的 WINS 服务器地址 dhcp enable dhcp server ip-pool pool-name network ip-address [ mask mask ] expired { day day [ hour hour [ minute minute ] ] unlimited } domain-name domain-name dns-list ip-address&<1-8> nbns-list ip-address&<1-8> 可选缺省情况下,DHCP 服务处于使能状态必选缺省情况下, 没有创建 DHCP 全局地址池必选缺省情况下, 没有配置动态分配的 IP 地址范围, 即没有可供分配的地址可选缺省情况下,IP 地址租用有效期限为 1 天必选缺省情况下, 没有配置为 DHCP 客户端分配的域名必选缺省情况下, 没有配置 DNS 服务器地址必选缺省情况下, 没有配置 WINS 服务器地址 1-2

5 DHCP 第 1 章 DHCP 功能介绍操作命令说明配置 DHCP 客户端的 NetBIOS 节点类型配置为 DHCP 客户端分配的网关地址配置 DHCP 自定义选项退出至系统视图 netbios-type { b-node h-node m-node p-node } gateway-list ip-address&<1-8> option code { ascii ascii-string hex hex-string&<1-10> ip-address ip-address&<1-8> } quit 可选缺省情况下, 交换机不指定 DHCP 客户端的 NetBIOS 节点类型, 客户端采用 h 类节点 (h-node) 必选缺省情况下, 没有配置 DHCP 客户端的网关地址必选缺省情况下, 没有配置 DHCP 自定义选项配置静态绑定的 IP 地址创建静态绑定的地址池配置静态绑定的 IP 地址配置静态绑定的客户端 MAC 地址 dhcp server ip-pool pool-name static-bind ip-address ip-address [ mask mask ] static-bind mac-address mac-address 可选缺省情况下, 没有配置静态绑定的 IP 地址退回至系统视图 quit - 配置 DHCP 地址池中不参与自动分配的 IP 地址 dhcp server forbidden-ip low-ip-address [ high-ip-address ] 可选缺省情况下,DHCP 地址池中的所有 IP 地址都参与自动分配配置接口工作在全局地址池模式配置当前接口系统视图下同时配置多个接口 interface interface-type interface-number dhcp select global quit dhcp select global { interface interface-type interface-number [ to interface-type interface-number ] all } 可选缺省情况下, 接口工作在 DHCP 服务器全局地址池模式使能伪 DHCP 服务器检测功能 dhcp server detect 必选缺省情况下, 禁止伪 DHCP 服务器检测功能配置 IP 地址重复分配检测功能配置 DHCP 服务器 ping 操作的次数配置 DHCP 服务器等待响应的时间 dhcp server ping packets number dhcp server ping timeout milliseconds 可选缺省情况下,ping 操作的次数为 2 可选缺省情况下, 等待 ping 响应的最长时间为 500 毫秒 1-3

6 DHCP 第 1 章 DHCP 功能介绍 (2) 使用接口地址池分配地址的配置过程 : 表 1-2 使用接口地址池分配地址的配置过程操作命令说明进入系统视图 system-view - 使能 DHCP 服务同时配置多个 VLAN 接口工作在接口地址池模式配置单个 VLAN 接口工作在接口地址池模式配置静态绑定的 IP 地址 dhcp enable dhcp select interface { interface interface-type interface-number [ to interface-type interface-number ] all } interface interface-type interface-number dhcp select interface dhcp server static-bind ip-address ip-address mac-address mac-address 可选缺省情况下,DHCP 服务处于使能状态可选必选缺省情况下,VLAN 接口工作在全局地址池模式可选缺省情况下, 没有配置静态绑定配置动态分配的 IP 地址租用有效期限配置当前接口系统视图下配置多个接口 dhcp server expired { day day [ hour hour [ minute minute ] ] unlimited } quit dhcp server expired { day day [ hour hour [ minute minute ] ] unlimited } { interface interface-type interface-number [ to interface-type interface-number ] all } 可选缺省情况下,IP 地址租用有效期限为 1 天退出至系统视图 quit - 配置 DHCP 地址池中不参与自动分配的 IP 地址 dhcp server forbidden-ip low-ip-address [ high-ip-address ] interface interface-type interface-number 可选缺省情况下, 接口地址池中的所有 IP 地址都参与自动分配配置为 DHCP 客户端分配的域名配置单个接口配置多个接口 dhcp server domain-name domain-name quit dhcp server domain-name domain-name { interface interface-type interface-number [ to interface-type interface-number ] all } 可选缺省情况下, 没有配置为 DHCP 客户端分配的域名 1-4

7 DHCP 第 1 章 DHCP 功能介绍操作命令说明 interface interface-type interface-number 配置为 DHCP 客户端分配的 DNS 服务器地址配置单个接口配置多个接口 dhcp server dns-list ip-address&<1-8> quit dhcp server dns-list ip-address&<1-8> { interface interface-type interface-number [ to interface-type interface-number ] all } 可选缺省情况下, 没有配置 DNS 服务器的地址 interface interface-type interface-number 配置为 DHCP 客户端分配的 WINS 服务器地址配置单个接口配置多个接口 dhcp server nbns-list ip-address&<1-8> quit dhcp server nbns-list ip-address&<1-8> { interface interface-type interface-number [ to interface-type interface-number ] all } 可选缺省情况下, 没有配置 WINS 服务器的 IP 地址 interface interface-type interface-number 配置 DHCP 客户端的 NetBIOS 节点类型配置单个接口配置多个接口 dhcp server netbios-type { b-node h-node m-node p-node } quit dhcp server netbios-type { b-node h-node m-node p-node } { interface interface-type interface-number [ to interface-type interface-number ] all } 可选缺省情况下, 交换机不指定接口 DHCP 地址池的客户端 NetBIOS 节点类型, 客户端采用 h 类节点 (h-node) interface interface-type interface-number 配置 DHCP 自定义选项配置单个接口配置多个接口 dhcp server option code { ascii ascii-string hex hex-string&<1-10> ip-address ip-address&<1-8> } quit dhcp server option code { ascii ascii-string hex hex-string&<1-10> ip-address ip-address&<1-8> } { interface interface-type interface-number [ to interface-type interface-number ] all } 可选缺省情况下, 没有配置 DHCP 自定义选项配置伪 DHCP 服务器检测功能 dhcp server detect 可选缺省情况下, 禁止伪 DHCP 服务器检测功能 1-5

8 DHCP 第 1 章 DHCP 功能介绍操作命令说明配置 IP 地址重复分配检测功能配置 DHCP 服务器 ping 操作的次数配置 DHCP 服务器等待响应的时间 dhcp server ping packets number dhcp server ping timeout milliseconds 可选缺省情况下,ping 操作的次数为 2 可选缺省情况下, 等待 ping 响应的最长时间为 500 毫秒配置 DHCP 服务器支持 Option 82 功能 dhcp server relay information enable 可选缺省情况下,DHCP 服务器支持 Option 82 功能 DHCP Relay 配置对工作在 DHCP Relay 模式下的交换机, 需要进行以下的配置表 1-3 DHCP Relay 配置操作命令说明进入系统视图 system-view - 使能 DHCP 服务配置 DHCP 服务器组中 DHCP 服务器的地址配置 DHCP 用户地址表项配置 DHCP 中继支持 option 82 功能配置 DHCP 中继对包含 option 82 的请求报文的处理策略进入 VLAN 接口视图配置接口与 DHCP 服务器组的归属关系 dhcp enable dhcp-server groupno ip ip-address&<1-8> dhcp-security static ip-address mac-address dhcp relay information enable dhcp relay information strategy { drop keep replace } interface interface-type interface-number dhcp-server groupno 可选缺省情况下,DHCP 服务处于使能状态必选缺省情况下, 没有配置 DHCP 服务器组中的服务器的 IP 地址可选缺省情况下, 没有配置 DHCP 用户地址表项必选缺省情况下,DHCP 中继不支持 option 82 功能可选缺省情况下, 处理策略为 replace - 必选缺省情况下,VLAN 接口没有与任何一个 DHCP 服务器组建立归属关系 1-6

9 DHCP 第 1 章 DHCP 功能介绍操作命令说明使能 DHCP 中继的地址匹配检查功能 address-check enable 必选缺省情况, 禁止 DHCP 中继的地址匹配检查功能 DHCP Snooping 配置对工作在 DHCP Snooping 模式下的设备, 需要做以下的配置表 1-4 DHCP Snooping 配置操作命令说明进入系统视图 system-view - 开启交换机 DHCP-Snooping 功能开启 DHCP-Snooping 支持 option 82 的功能进入以太网端口视图指定连接到 DHCP 服务器方向的端口为信任端口 dhcp-snooping dhcp-snooping information enable interface interface-type interface-number dhcp-snooping trust 必选缺省情况下, 以太网交换机的 DHCP-Snooping 功能处于禁止状态必选缺省情况下, 该功能处于关闭状态 - 可选缺省情况下, 交换机的端口均为不信任端口 1-7

10 DHCP 第 2 章配置举例第 2 章配置举例 2.1 DHCP Server 配置举例组网需求位于公司总部 (HQ) 的 S7500 交换机作为 DHCP Server, 为总部机构及分支机构 (Branch) 的工作站分配 IP 地址, 并作为网关转发总部设备的报文, 具体需求如下 : DHCP Server 使用 Vlan-interface10 连接总部机构, 并为总部机构分配 /24 网段的 IP 地址, 有效期为 2 天, 其中 DNS Server WINS Server 和 Mail Server 的 IP 地址设置为不可分配地址使用静态绑定方式为总部的 DNS/WINS/Mail Server 分配 IP 地址 DHCP Server 使用 Vlan-interface100 连接到公网, 并为分支机构分配 /24 网段的地址, 有效期为 3 天, 其中分支机构的文件服务器使用 IP 与 MAC 绑定的方式静态分配为总部和分支机构的工作站在分配地址时同时分配网关地址 DNS Server 地址 WINS Server 地址启用伪 DHCP Server 检测功能, 避免私自架设的 DHCP Server 分配无效地址 2-1

11 DHCP 第 2 章配置举例组网图 e-8d20-54c6 000d-85c7-4e ca8-9b71 Mail Server DNS Server WINS Server DHCP Client IP network VLAN-int10 HQ Gateway VLAN-int100 DHCP Relay DHCP Client1 DHCP Client2 File Server d-88f8-4e71 Branch 图 2-1 DHCP Server 配置举例组网示例图配置步骤 1. 配置 DHCP Server 配置为总部设备分配地址配置总部 DHCP Server 的 Vlan-interface10 接口的 IP 地址 <H3C> system-view [H3C] interface Vlan-interface 10 [H3C-Vlan-interface10] ip address 配置该接口工作在接口地址池模式下, 为总部设备分配 /24 网段的 IP 地址 [H3C-Vlan-interface10] dhcp select interface 配置该地址池的有效期, 并配置指定的 DNS WINS 服务器 [H3C-Vlan-interface10] dhcp server expired day 2 [H3C-Vlan-interface10] dhcp server dns-list [H3C-Vlan-interface10] dhcp server nbst-list 由于工作在接口地址池的接口会自动将自身作为 DHCP 客户端的网关, 并把信息发送给客户端, 因此无需进行客户端网关的配置操作使用 IP 地址与 MAC 地址绑定的方式为 DNS/WINS/Mail Server 分配 IP 地址 2-2

12 DHCP 第 2 章配置举例 [H3C-Vlan-interface10] dhcp server static-bind ip-address mac-address 000d-85c7-4e20 [H3C-Vlan-interface10] dhcp server static-bind ip-address mac-address ca8-9b71 [H3C-Vlan-interface10] dhcp server static-bind ip-address mac-address 002e08d20-54c6 配置 DNS/WINS/Mail Server 的静态 IP 地址为不可分配地址 [H3C-Vlan-interface10] quit [H3C] dhcp server forbidden-ip 配置为分支机构分配地址为分支机构创建名为 br 的全局地址池, 并指定可分配的地址范围及有效期 [H3C] dhcp server ip-pool br [H3C-dhcp-pool-br] network mask [H3C-dhcp-pool-br] expired day 3 创建静态绑定地址池名为 br-static, 将分支机构的文件服务器的 IP 地址配置为与 MAC 地址静态绑定分配方式 [H3C-dhcp-pool-br] quit [H3C] dhcp server ip-pool br-static [H3C-dhcp-pool-br-static] static-bind ip-address mask [H3C-dhcp-pool-br-static] static-bind mac-address 000d-88f8-4e71 为分支机构工作站指定网关 DNS WINS 服务器 [H3C-dhcp-pool-br-static] quit [H3C] dhcp server ip-pool br [H3C-dhcp-pool-br] gateway-list [H3C-dhcp-pool-br] dns-list [H3C-dhcp-pool-br] nbst-list 配置分支机构的 Gateway 的静态 IP 为不可分配地址 [H3C-dhcp-pool-br] quit [H3C] dhcp server forbidden-ip 配置伪 DHCP Server 检测功能 [H3C] dhcp server detect 配置 Vlan-interface100 接口工作在全局地址池模式 [H3C] interface Vlan-interface 100 [H3C-Vlan-interface100] dhcp select global 需要注意的是 : 2-3

13 DHCP 第 2 章配置举例在完成 DHCP 配置后, 总部到分支机构必须具备可达的路由, 才能够为其分配 IP 地址 2. 配置 DHCP Relay 本节主要介绍 DHCP Server 的配置, 对于举例中的 DHCP Relay 设备配置, 只进行最简单的介绍, 保证其可以将 DHCP 请求转发至 DHCP Server 有关 DHCP Relay 的更多具体功能配置, 请参见 2.2 DHCP Relay/Snooping 综合配置举例的介绍 <H3C> system-view [H3C] dhcp-server 1 ip [H3C] interface Vlan-interface 5 [H3C-Vlan-interface5] dhcp-server DHCP Relay/Snooping 综合配置举例组网需求位于总部的 Cisco Catalyst 3745 交换机作为 DHCP Server 为分支机构的办公区域工作站分配 IP 地址, 分支机构使用一台 S7506R 交换机作为中心节点, 并作为 DHCP Relay 转发工作站的 DHCP 请求同时分支机构使用 S7502 作为自己的 DHCP Server 为实验室设备分配独立 IP 网段的地址具体需求如下 : 总部的 DHCP Server 为办公室设备分配 /24 网段的地址, 有效期为 12 小时, 并指定该地址池的 DNS 和 WINS 服务器分别为和分支机构的 S7506R 作为 DHCP Relay 转发办公室工作站和实验室设备的 DHCP 请求, 办公室有一台服务器为手工配置的固定 IP 地址接入网络 Lab1 内有一台 S7502 以太网交换机作为 Lab DHCP Server, 为 Lab1 的设备分配 /24 网段的地址, 有效期 1 天 ; 为 Lab2 的设备分配 /24 网段的地址, 有效期 2 天 Lab DHCP Server 与 DHCP Relay 使用 /30 网段进行互连配置 DHCP Relay 的地址检查功能, 使通过 DHCP Server 获得合法 IP 地址的设备才可以访问外部网络配置办公区域的 DHCP Snooping 设备 (S7502) 支持 DHCP Option82, 将本地的端口信息添加到 DHCP 报文的 Option82 字段中配置 DHCP Relay 设备支持 DHCP Option82,Relay 在接收到携带有 DHCP Option82 选项的 DHCP 报文时, 保留原有字段不作替换 2-4

14 DHCP 第 2 章配置举例配置 DHCP Server 支持 DHCP Option82, 为 Snooping 设备端口为 Ethernet2/0/12 端口接入的客户端分配 ~ 之间的地址 ; 为 Snooping 设备端口为 Ethernet2/0/13 端口接入的客户端分配 ~ 之间的地址组网图 Lab2 Cisco Catalyst DHCP Relay VLAN-int IP network HQ VLAN-int VLAN-int /30 DHCP Snooping Eth2/0/1 000F-E234-BC66 Eth2/0/11 Eth2/0/13 Eth2/0/12 Lab DHCP Server VLAN-int ce9-1dea Office server c-aa-69 Office Lab1 图 2-2 DHCP Relay/Snooping 综合配置举例组网示意图配置步骤 1. 配置 DHCP Relay 图 2-3 DHCP Relay 组网配置将办公室内的 DHCP 请求报文转发至 HQ 的 DHCP Server <SwitchA> system-view [SwitchA] dhcp-server 1 ip [SwitchA] interface Vlan-interface10 [SwitchA-Vlan-interface10] ip address

15 DHCP 第 2 章配置举例 [SwitchA-Vlan-interface10] dhcp-server 1 配置将 Lab2 内的 DHCP 请求报文转发至 Lab DHCP Server [SwitchA-Vlan-interface10] quit [SwitchA] dhcp-server 2 ip [SwitchA] interface Vlan-interface 25 [SwitchA-Vlan-interface25] ip address [SwitchA-Vlan-interface25] dhcp-server 2 配置 Vlan-interface17 的接口地址为 /30, 用于与 Lab DHCP Server 转发跨网段的 DHCP 报文 [SwitchA-Vlan-interface25] quit [SwitchA] interface Vlan-interface 17 [SwitchA-Vlan-interface17] ip address 配置 DHCP Relay 的地址检查功能, 这里注意要将 Lab DHCP Server 和 Office Server 的 IP 地址和 MAC 地址作为静态表项配置到安全功能中, 对这两个表项不作检查 [SwitchA-Vlan-interface17] quit [SwitchA] dhcp-security static c-aa69 [SwitchA] dhcp-security static ce9-1dea [SwitchA] interface Vlan-interface 10 [SwitchA-Vlan-interface10] address-check enable [SwitchA-Vlan-interface10] quit [SwitchA] interface Vlan-interface 25 [SwitchA-Vlan-interface25] address-check enable [SwitchA-Vlan-interface25] quit 配置 DHCP Relay 支持 DHCP Option82, 并在收到带有 Option82 内容的 DHCP 报文时采取保留原字段的策略 [SwitchA] dhcp relay information enable [SwitchA] dhcp relay information strategy keep 为保证跨网段的 DHCP 报文能够正确转发, 需要配置路由协议, 并将本设备的接口网段进行发布这里以 RIP 为例其他路由协议的配置方法请参考产品手册的路由协议部分 [SwitchA] rip [SwitchA-rip] network [SwitchA-rip] network [SwitchA-rip] network

16 DHCP 第 2 章配置举例 2. 配置 Lab DHCP Server 图 2-4 Lab DHCP Server 组网配置 Lab2 的地址池, 并配置地址范围有效期, 网关地址 <LAB> system-view [LAB] dhcp enable [LAB] dhcp server ip-pool lab2 [LAB-dhcp-lab2] network [LAB-dhcp-lab2] expired day 2 [LAB-dhcp-lab2] gateway-list 配置 Vlan-interface17 的 IP 地址为 /30, 并使其工作在全局地址池模式 [LAB-dhcp-lab2] quit [LAB] interface Vlan-interface 17 [LAB-Vlan-interface17] ip address [LAB-Vlan-interface17] dhcp select global 由于 Lab1 连接到 Vlan-interface15 接口, 因此, 只需要配置 Vlan-interface15 接口工作在接口地址池模式, 即可为 Lab1 的设备分配 /24 网段的地址 [LAB-Vlan-interface17] quit [LAB] interface Vlan-interface 15 [LAB-Vlan-interface15] ip address [LAB-Vlan-interface15] dhcp select interface [LAB-Vlan-interface15] dhcp server expired day 1 [LAB-Vlan-interface15] quit 为保证该服务器能够正常转发 DHCP 报文, 需要配置路由协议, 参照 Relay 的配置, 这里以 RIP 为例其他路由协议的配置方法请参考产品手册中的描述 [LAB] rip 2-7

17 DHCP 第 2 章配置举例 [LAB-rip] network [LAB-rip] network 配置 DHCP Snooping 图 2-5 DHCP Snooping 组网启动 DHCP Snooping 功能, 并配置 DHCP-Snooping 支持 Option 82 功能 <Snooping> system-view [Snooping] dhcp-snooping [Snooping] dhcp-snooping information enable 配置连接到 DHCP 服务器方向的端口 Ethernet2/0/1 为 DHCP 信任端口 [Snooping] interface Ethernet 2/0/1 [Snooping-Ethernet2/0/1] dhcp-snooping trust 4. 配置 HQ DHCP Server H3C 系列产品在 DHCP Option82 选项中添加端口编号 VLAN 编号和 Snooping/Relay 设备 MAC 地址一条完整的 Option82 信息由两个子选项的数值组合构成 : Circuit ID 子选项, 这里主要标识客户端所在的 VLAN 和接入 DHCP-Snooping 设备的端口编号 Type(1) Length(6) 0 4 VLAN ID Port Index 图 2-6 Circuit ID 子选项报文结构例如, 由端口 Ethernet2/0/12 接入的客户端, 增加了 Option82 信息的 DHCP 报文中 Circuit ID 子选项信息应为 :0x , 其中为固定取值, 0001 标识接入的端口所在 VLAN 为 VLAN1,0011 为端口的绝对编号, 比实际端口编号小 1, 即实际连接端口为 Ethernet2/0/12 Remote ID 子选项, 这里主要标识客户端接入的 DHCP-Snooping 设备的 MAC 地址 2-8

18 DHCP 第 2 章配置举例 Type(2) Length(8) 0 6 Bridge MAC Address 图 2-7 Remote ID 子选项报文结构例如, 由 MAC 地址为 000f-e234-bc66 的 DHCP-Snooping 设备接入的 DHCP 客户端, 增加了 Option82 信息的 DHCP 报文中 Remote ID 子选项信息应为 : fe234bc66, 其中为固定取值,000fe234bc66 为 DHCP-Snooping 设备的 MAC 地址本举例中只需根据端口编号进行 IP 地址的分配, 因此, 在 DHCP Server 上只需对 Circuit ID 子选项中标识端口编号的字段进行匹配即可说明 : 下面列举的是 Cisco Catalyst 3745 设备上的配置, 对应的软件版本为 IOS 12.3(11)T2 版本, 如果使用其他型号或其他版本的设备, 请参考随机资料中的用户手册进行操作配置 DHCP Server 功能, 并配置使用 Option82 信息进行地址分配 Switch> enable Switch(config) configure terminal Enter Configuration commands, one per line. End with CNTL/Z. Switch(config) service dhcp Switch(config) ip dhcp use class 为从 Snooping 设备的 Ethernet2/0/12 端口接入的客户端建立 DHCP 分类, 并配置匹配的 Option82 信息为 Circuit ID 子选中的端口编号, 无需匹配的内容可以使用通配符 * 代替 Switch(config) ip dhcp class office1 Switch(dhcp-class) relay agent information hex * Swtich(dhcp-class) exit 为从 Snooping 设备的 Etherent2/0/13 端口接入的客户端配置分类和匹配信息, 方法与上面命令相似, 只将 Option82 信息中的端口标识由 11 改为 12 Switch(config) ip dhcp class office2 Switch(dhcp-class) relay agent information hex * 创建 Office 地址池, 并为两个 DHCP 分类分别指定地址范围 Switch(config) ip dhcp pool office Switch(dhcp-pool) network Switch(dhcp-pool) class office1 2-9

19 DHCP 第 2 章配置举例 Switch(dhcp-pool-class) address range Switch(dhcp-pool-class) exit Switch(dhcp-pool) class office2 Switch(dhcp-pool-class) address range Switch(dhcp-pool-class) exit 为 DHCP 地址池配置租约期限, 网关 DNS 和 WINS 服务器地址 Switch(dhcp-pool) lease 0 12 Switch(dhcp-pool) default-router Switch(dhcp-pool) dns-server Switch(dhcp-pool) netbios-name-server 经过上述配置后,DHCP 服务器即可为 Office 区域的设备自动分配 IP 地址及网关 DNS WINS 服务器地址 2-10

20 DHCP 第 3 章相关资料第 3 章相关资料 3.1 相关协议和标准 RFC2131:Dynamic Host Configuration Protocol RFC2132:DHCP Options and BOOTP Vendor Extensions RFC3046:DHCP Relay Agent Information Option 3-1

21 QACL 目录目录第 1 章 QACL 功能介绍支持能力 ACL/QoS 配置指南第 2 章 QACL 典型配置举例企业网络环境简介基于时间段的 ACL 和流量统计配置举例端口限速和流量监管配置举例重定向和流镜像配置举例优先级重标记和队列调度配置举例运营商网络环境简介基于流的灵活 QinQ 配置举例配置注意事项引用 ACL 规则的其它功能 i

22 QACL 摘要 QACL 典型配置举例关键词 :ACL,QoS 摘要 : 本文主要介绍以太网交换机的 QACL 功能在具体组网中的应用配置, 根据用户不同的需求, 分别介绍基于时间段的 ACL 流量限速流量监管重定向流镜像流量统计优先级重标记队列调度以及基于流的灵活 QinQ 功能及应用缩略语 :ACL(Access Control List, 访问控制列表 ) QoS(Quality of Service, 服务质量 ) ii

23 QACL 第 1 章 QACL 功能介绍第 1 章 QACL 功能介绍 1.1 支持能力 S7500 系列以太网交换机的业务板分为 A 型业务板和非 A 型业务板两种类型, 不同类型的业务板支持的 ACL/QoS 功能如下表所示表 1-1 A 型业务板和非 A 型业务板支持的 ACL/QoS 功能列表功能单板类型 A 型业务板非 A 型业务板基本 ACL 支持支持高级 ACL 支持支持二层 ACL 支持支持用户自定义 ACL 不支持支持流分类支持支持优先级重标记支持支持端口限速不支持支持流量监管支持支持带宽保证支持不支持双向 CAR 支持不支持重定向不支持支持队列调度不支持支持拥塞避免支持不支持流镜像不支持支持流量统计支持支持基于流的灵活 QinQ 不支持支持 1-1

24 QACL 第 1 章 QACL 功能介绍说明 : A 型业务板指如下业务板 :LS81FT48A LS81FM24A LS81FS24A LS81GB8UA LS81GT8UA LS81FT48 LS81FM24 LS81FS24 LS81GB8U LS81GT8U A 型业务板支持的 QoS 视图提示符为 qoss, 非 A 型业务板支持的 QoS 视图提示符为 qosb 1.2 ACL/QoS 配置指南说明 : 下文只列出了基本的配置步骤, 有关各个功能的基本原理和作用以及各个参数的解释, 请参见产品的操作命令手册表 1-2 系统视图下的 ACL/QoS 配置配置命令说明进入系统视图 system-view - 配置 ACL 创建并进入相应的 ACL 视图定义 ACL 规则 acl { number acl-number name acl-name [ advanced basic link user ] } [ match-order { config auto } ] rule [ rule-id ] { permit deny } rule-string 缺省情况下,ACL 规则的匹配顺序为 config 对于不同类型的 ACL, rule-string 的内容不同, 具体情况请参见产品的命令手册退出至系统视图 quit 配置报文进入输出队列时信任的优先级配置 802.1p 优先级和本地优先级之间的映射关系 priority-trust { dscp ip-precedence cos local-precedence } qos cos-local-precedence-map cos0-map-local-prec cos1-map-local-prec cos2-map-local-prec cos3-map-local-prec cos4-map-local-prec cos5-map-local-prec cos6-map-local-prec cos7-map-local-prec 缺省情况下, 交换机根据本地优先级 (local-precedence) 将报文置入输出队列缺省情况下, 交换机提供的 802.1p 优先级和本地优先级之间的映射关系如表 1-5 所示 1-2

25 QACL 第 1 章 QACL 功能介绍表 1-3 A 型业务板 QoS 视图下的 ACL/QoS 配置配置命令说明进入以太网端口视图 interface interface-type interface-number - 进入 QoS 视图 qos - 配置包过滤配置带宽保证配置流量监管配置优先级重标记配置拥塞避免配置流量统计 packet-filter { inbound outbound } acl-rule [ system-index ] [ not-care-for-interface ] traffic-bandwidth outbound acl-rule [ system-index ] min-guaranteed-bandwidth max-guaranteed-bandwidth weight traffic-limit { inbound outbound } acl-rule [ system-index ] target-rate traffic-priority { inbound outbound } acl-rule [ system-index ] { { dscp dscp-value ip-precedence pre-value } local-precedence pre-value }* traffic-red outbound acl-rule [ system-index ] qstart qstop probability traffic-statistic { inbound outbound } acl-rule [ system-index ] acl-rule 的取值范围为 2000~ 4999 min-guaranteed-bandwidth 和 max-guaranteed-bandwidth 的取值必须为 64 的倍数 target-rate 的取值必须为 64 的倍数用户可以重标记报文的 DSCP 优先级 IP 优先级和本地优先级 qstart 和 qstop 的取值必须为 16 的倍数 - 表 1-4 非 A 型业务板 QoS 视图下的 ACL/QoS 配置配置命令说明进入以太网端口视图 interface interface-type interface-number - 进入 QoS 视图 qos - 配置端口限速配置流镜像配置包过滤 line-rate [ kbps ] target-rate mirrored-to inbound acl-rule [ system-index ] { interface interface-type interface-number [ reflector ] mirroring-group group-id } packet-filter inbound acl-rule [ system-index ] 如果选择 kbps 关键字, 速率限制的粒度为 64Kbps, 当用户输入的值在 N*64~(N+1)*64 之间 (N 为自然数 ) 时, 交换机将自动修改此值为 (N+1)*64 Kbps - acl-rule 的取值范围为 2000~

26 QACL 第 1 章 QACL 功能介绍配置命令说明配置队列调度配置流量监管配置优先级重标记配置重定向配置基于流的灵活 QinQ 配置流量统计 queue-scheduler { rr strict-priority wrr queue1-weight queue2-weight queue3-weight queue4-weight queue5-weight queue6-weight queue7-weight queue8-weight } traffic-limit inbound acl-rule [ system-index ] [ kbps ] target-rate [ exceed action ] traffic-priority inbound acl-rule [ system-index ] { { dscp dscp-value ip-precedence pre-value } { cos cos local-precedence pre-value } }* traffic-redirect inbound acl-rule [ system-index ] { cpu interface interface-type interface-number } traffic-remark-vlanid inbound acl-rule [ system-index ] remark-vlan vlan-id traffic-statistic inbound acl-rule [ system-index ] 缺省情况下, 交换机采用严格优先级队列调度模式如果选择 kbps 关键字, 速率限制的粒度为 64Kbps, 当用户输入的值在 N*64~(N+1)*64 之间 (N 为自然数 ) 时, 交换机将自动修改此值为 (N+1)*64 Kbps 用户可以重标记报文的 DSCP 优先级 IP 优先级 802.1p 优先级和本地优先级配置重定向至端口时, 源端口和目的端口必须位于同一业务板上配置基于流的灵活 QinQ 时, 需要预先在相应的端口视图下执行 vlan-vpn enable 命令如果端口的 Voice VLAN 功能已经启动, 则不允许执行 vlan-vpn enable 命令 A 型业务板 LS82GT20 和 LS82GP20 型业务板不支持基于流的灵活 QinQ - 相关说明 : S7500 系列以太网交换机提供的 802.1p 优先级和本地优先级之间的缺省映射关系如下表所示表 p 优先级和本地优先级之间的缺省映射关系 802.1p 优先级 (CoS) 本地优先级

27 QACL 第 1 章 QACL 功能介绍 802.1p 优先级 (CoS) 本地优先级 acl-rule 可以是多种 ACL 规则的组合 A 型业务板的组合方式及相应参数说明如表 1-6 与表 1-8 所示 ; 非 A 型业务板的组合方式及相应参数说明如表 1-7 与表 1-8 所示表 1-6 A 型业务板的组合应用 ACL 方式组合方式单独应用一个 IP 型 ACL( 基本 ACL 或高级 ACL) 中的所有规则单独应用一个 IP 型 ACL( 基本 ACL 或高级 ACL) 中的一条规则 acl-rule 的形式 ip-group { acl-number acl-name } ip-group { acl-number acl-name } rule rule-id 单独应用一个二层 ACL 中的所有规则 link-group { acl-number acl-name } 单独应用一个二层 ACL 中的一条规则 link-group { acl-number acl-name } rule rule-id 表 1-7 非 A 型业务板的组合应用 ACL 方式组合方式单独应用一个 IP 型 ACL( 基本 ACL 或高级 ACL) 中的所有规则单独应用一个 IP 型 ACL( 基本 ACL 或高级 ACL) 中的一条规则 acl-rule 的形式 ip-group { acl-number acl-name } ip-group { acl-number acl-name } rule rule-id 单独应用一个二层 ACL 中的所有规则 link-group { acl-number acl-name } 单独应用一个二层 ACL 中的一条规则单独应用一个用户自定义 ACL 中的所有规则单独应用一个用户自定义 ACL 中的一条规则同时应用 IP 型 ACL 中的一条规则和二层 ACL 中的一条规则 link-group { acl-number acl-name } rule rule-id user-group { acl-number acl-name } user-group { acl-number acl-name } rule rule-id ip-group { acl-number acl-name } rule rule-id link-group { acl-number acl-name } rule rule-id 1-5

28 QACL 第 1 章 QACL 功能介绍表 1-8 ACL 组合方式参数说明参数 ip-group { acl-number acl-name } link-group { acl-number acl-name } user-group { acl-number acl-name } rule-id 表示基本或高级 ACL 说明 acl-number:acl 序号, 取值范围为 2000~3999 acl-name:acl 名字, 最多 32 个字符, 必须以英文字母 ( 即 [a-z,a-z]) 开始, 而且中间不能有空格和引号 ; 不区分大小写表示二层 ACL acl-number:acl 序号, 取值范围为 4000~4999 acl-name:acl 名字, 最多 32 个字符, 必须以英文字母 ( 即 [a-z,a-z]) 开始, 而且中间不能有空格和引号 ; 不区分大小写表示用户自定义 ACL acl-number:acl 序号, 取值范围为 5000~5999 acl-name:acl 名字, 最多 32 个字符, 必须以英文字母 ( 即 [a-z,a-z]) 开始, 而且中间不能有空格和引号 ; 不区分大小写表示 ACL 规则编号, 取值范围为 0~127 如果不指定则表示 ACL 中的所有规则 1-6

29 QACL 第 2 章 QACL 典型配置举例第 2 章 QACL 典型配置举例说明 : 本章所有配置均以非 A 型业务板为例表 2-1 QACL 配置任务简介网络环境配置任务详细配置基于时间段的 ACL 和流量统计配置举例企业网络端口限速和流量监管配置举例重定向和流镜像配置举例优先级重标记和队列调度配置举例运营商网络基于流的灵活 QinQ 配置举例企业网络环境简介 Internet PC /24 PC /24 研发部门 VLAN 2 PC /24 GE2/0/1 GE2/0/10 Switch GE2/0/2 GE2/0/3 GE2/0/4 GE2/0/7 GE2/0/6 GE2/0/5 PC /24 PC /24 管理部门 VLAN 5 Server PC /24 客服部门 VLAN 3 Data detect PC 5 server /24 PC /24 市场部门 VLAN 4 图 2-2 企业网络环境拓扑图 2-1

30 QACL 第 2 章 QACL 典型配置举例图 2-2 为某公司的网络拓扑图, 具体环境如下 : S7500 交换机作为公司的中心交换机, 软件版本为 Release 3135, 通过端口 GigabitEthernet 2/0/10 接入 Internet; 研发部门属于 VLAN 2, 所在网段的 IP 地址为 /24, 通过端口 GigabitEthernet 2/0/1 和 GigabitEthernet 2/0/2 接入交换机 ; 客服部门属于 VLAN 3, 所在网段的 IP 地址为 /24, 通过端口 GigabitEthernet 2/0/3 接入交换机 ; 市场部门属于 VLAN 4, 所在网段的 IP 地址为 /24, 通过端口 GigabitEthernet 2/0/4 GigabitEthernet 2/0/5 和 GigabitEthernet 2/0/6 接入交换机, 其中 Data detect server 为数据监测设备 ; 管理部门属于 VLAN 5, 所在网段的 IP 地址为 /24, 通过端口 GigabitEthernet 2/0/7 接入交换机基于时间段的 ACL 和流量统计配置举例 1. 组网需求研发部门中,PC 1 的 IP 地址为 ,PC 2 的 IP 地址为 , 两者的网关都设置为 (VLAN 2 虚接口的 IP 地址 ), 要求配置基于时间段的 ACL 和流量统计, 满足如下需求 : 通过配置高级 ACL, 对 Internet 上的病毒报文进行过滤 ; 通过配置用户自定义 ACL, 在每天 8:00~18:00 的时间段内, 对 PC 1 发出的仿冒网关 IP 地址的 ARP 报文进行过滤 ; 通过配置流量统计, 在每天 8:00~18:00 的时间段内, 对 PC 2 发出的以 HTTP 方式访问 Internet 的报文进行统计 2-2

31 QACL 第 2 章 QACL 典型配置举例 2. 组网图图 2-3 配置基于时间段的 ACL 和流量统计组网图 3. 配置步骤定义周期时间段 trname, 时间范围为每天的 8:00~18:00 <H3C> system-view [H3C] time-range trname 8:00 to 18:00 daily 定义高级 ACL 3000, 对 Internet 上的病毒报文进行分类用户也可以根据实际情况的需要来配置其他的规则列表 [H3C] acl number 3000 [H3C-acl-adv-3000] rule 1 deny icmp [H3C-acl-adv-3000] rule 2 deny udp destination-port eq 69 [H3C-acl-adv-3000] rule 3 deny tcp destination-port eq 4444 [H3C-acl-adv-3000] rule 4 deny tcp destination-port eq 135 [H3C-acl-adv-3000] rule 5 deny udp destination-port eq 135 [H3C-acl-adv-3000] rule 6 deny udp destination-port eq 137 [H3C-acl-adv-3000] rule 7 deny udp destination-port eq 138 [H3C-acl-adv-3000] rule 8 deny udp destination-port eq 139 [H3C-acl-adv-3000] rule 9 deny tcp destination-port eq 139 [H3C-acl-adv-3000] rule 10 deny tcp destination-port eq 445 [H3C-acl-adv-3000] rule 11 deny udp destination-port eq 445 [H3C-acl-adv-3000] rule 12 deny tcp destination-port eq 593 [H3C-acl-adv-3000] rule 13 deny udp destination-port eq 593 [H3C-acl-adv-3000] rule 14 deny tcp destination-port eq 5554 [H3C-acl-adv-3000] rule 15 deny tcp destination-port eq 9995 [H3C-acl-adv-3000] rule 16 deny tcp destination-port eq 9996 [H3C-acl-adv-3000] rule 17 deny udp destination-port eq 1434 [H3C-acl-adv-3000] quit 2-3

32 QACL 第 2 章 QACL 典型配置举例定义高级 ACL 3001, 对源 IP 地址为的以 HTTP 方式访问 Internet 的报文进行分类 [H3C] acl number 3001 [H3C-acl-adv-3001] rule 0 permit tcp source destination-port eq 80 定义用户自定义 ACL 5000, 配置源 IP 地址为的 ARP 报文的访问规则其中 0806 为 ARP 协议号,16 为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80264 为的十六进制形式,32 为交换机内部处理的 ARP 报文中源 IP 地址字段的偏移量 [H3C] acl number 5000 [H3C-acl-user-5000] rule 0 deny 0806 ffff 16 c0a80264 ffffffff 32 time-range trname [H3C-acl-user-5000] quit 在端口 GigabitEthernet 2/0/10 上应用 ACL 3000 [H3C] interface GigabitEthernet 2/0/10 [H3C-GigabitEthernet2/0/10] qos [H3C-qosb-GigabitEthernet2/0/10] packet-filter inbound ip-group 3000 [H3C-qosb-GigabitEthernet2/0/10] quit [H3C-GigabitEthernet2/0/10] quit 在端口 GigabitEthernet 2/0/1 上应用 ACL 5000 [H3C] interface GigabitEthernet 2/0/1 [H3C-GigabitEthernet2/0/1] qos [H3C-qosb-GigabitEthernet2/0/1] packet-filter inbound user-group 5000 [H3C-qosb-GigabitEthernet2/0/1] quit [H3C-GigabitEthernet2/0/1] quit 在端口 GigabitEthernet 2/0/2 上配置流量统计 [H3C] interface GigabitEthernet 2/0/2 [H3C-GigabitEthernet2/0/2] qos [H3C-qosb-GigabitEthernet2/0/2] traffic-statistic inbound ip-group 端口限速和流量监管配置举例 1. 组网需求客服部门中,PC 3 的 IP 地址为要求配置端口限速和流量监管, 满足如下需求 : 限制公司内所有部门访问 Internet 的流量为 2Mbps, 丢弃超出限制的流量 ; 限制客服部门中的 PC 3 向外发出的流量为 640Kbps, 丢弃超出限制的流量 2-4

33 QACL 第 2 章 QACL 典型配置举例 2. 组网图 Internet GE2/0/10 GE2/0/3 Switch Server PC /24 客服部门 VLAN 3 图 2-4 配置端口限速和流量监管组网图 3. 配置步骤定义基本 ACL 2000, 对源 IP 地址为的报文进行分类 <H3C> system-view [H3C] acl number 2000 [H3C-acl-basic-2000] rule permit source [H3C-acl-basic-2000] quit 限制客服部门中 PC 3 向外发送的流量为 640Kbps, 丢弃超出限制的流量 [H3C] interface GigabitEthernet 2/0/3 [H3C-GigabitEthernet2/0/3] qos [H3C-qosb-GigabitEthernet2/0/3] traffic-limit inbound ip-group 2000 kbps 640 [H3C-qosb-GigabitEthernet2/0/3] quit [H3C-GigabitEthernet2/0/3] quit 限制公司内所有部门访问 Internet 的流量为 2Mbps, 丢弃超出限制的流量 [H3C] interface GigabitEthernet 2/0/10 [H3C-GigabitEthernet2/0/10] qos [H3C-qosb-GigabitEthernet2/0/10] line-rate 2 2-5

34 QACL 第 2 章 QACL 典型配置举例重定向和流镜像配置举例 1. 组网需求市场部门中,PC 4 的 IP 地址为 ,PC 5 的 IP 地址为 , 要求配置重定向和流镜像, 满足如下需求 : 在工作日内 8:00~18:00 的时间段, 将 PC 4 以 HTTP 方式访问 Internet 的报文重定向到数据监测设备 ; 在工作日内 8:00~18:00 的时间段, 将 PC 5 以 HTTP 方式访问 Internet 的报文镜像到数据监测设备 2. 组网图 Internet Switch GE2/0/4 GE2/0/6 GE2/0/5 Data detect PC 5 server /24 PC /24 市场部门 VLAN 4 图 2-5 配置重定向和流镜像组网图 3. 配置步骤定义工作日时间段 <H3C> system-view [H3C] time-range tr1 8:00 to 18:00 working-day 定义高级 ACL 3000, 对 PC 4 和 PC 5 发出的以 HTTP 方式访问 Internet 的报文进行分类 [H3C] acl number 3000 [H3C-acl-adv-3000] rule 0 permit tcp source destination-port eq 80 time-range tr1 2-6

35 QACL 第 2 章 QACL 典型配置举例 [H3C-acl-adv-3000] rule 1 permit tcp source destination-port eq 80 time-range tr1 [H3C-acl-adv-3000] quit 配置针对 PC 4 的重定向 [H3C] interface GigabitEthernet 2/0/4 [H3C-GigabitEthernet2/0/4] qos [H3C-qosb-GigabitEthernet2/0/4] traffic-redirect inbound ip-group 3000 rule 0 interface GigabitEthernet 2/0/6 [H3C-qosb-GigabitEthernet2/0/4] quit [H3C-GigabitEthernet2/0/4] quit 配置针对 PC 5 的流镜像 [H3C] mirroring-group 1 local [H3C] mirroring-group 1 monitor-port GigabitEthernet 2/0/6 [H3C] interface GigabitEthernet 2/0/5 [H3C-GigabitEthernet2/0/5] qos [H3C-qosb-GigabitEthernet2/0/5] mirrored-to inbound ip-group 3000 rule 1 interface GigabitEthernet 2/0/ 优先级重标记和队列调度配置举例 1. 组网需求管理部门中,PC 6 的 IP 地址为 ,PC 7 的 IP 地址为 ,PC 8 的 IP 地址为由于业务需要,PC 6 PC 7 和 PC 8 需要访问目的 IP 地址为的站点要求配置优先级重标记和队列调度, 当 PC 6 PC 7 和 PC 8 访问时, 满足如下需求 : 交换机优先处理 PC 6 发出的访问的 IP 报文 ; 交换机其次处理 PC 7 发出的访问的 IP 报文 ; 交换机最后处理 PC 8 发出的访问的 IP 报文 2-7

36 QACL 第 2 章 QACL 典型配置举例 2. 组网图图 2-6 配置优先级重标记和队列调度组网图 3. 配置步骤定义高级 ACL 3000, 根据不同的源 IP 地址对报文进行分类标识 <H3C> system-view [H3C] acl number 3000 [H3C-acl-adv-3000] rule 0 permit ip source destination [H3C-acl-adv-3000] rule 1 permit ip source destination [H3C-acl-adv-3000] rule 2 permit ip source destination [H3C-acl-adv-3000] quit 在端口 GigabitEthernet 2/0/7 上对匹配高级 ACL 3000 内规则的报文进行优先级重标记 [H3C] interface GigabitEthernet 2/0/7 [H3C-GigabitEthernet2/0/7] qos [H3C-qosb-GigabitEthernet2/0/7] traffic-priority inbound ip-group 3000 rule 0 local-precedence 5 [H3C-qosb-GigabitEthernet2/0/7] traffic-priority inbound ip-group 3000 rule 1 local-precedence 4 [H3C-qosb-GigabitEthernet2/0/7] traffic-priority inbound ip-group 3000 rule 2 local-precedence 3 [H3C-qosb-GigabitEthernet2/0/7] quit [H3C-GigabitEthernet2/0/7] quit 2-8

37 QACL 第 2 章 QACL 典型配置举例在端口 GigabitEthernet 2/0/10 上配置队列调度算法为 SP( 需要注意的是, 缺省情况下即为 SP 队列调度算法, 用户无需配置 ) [H3C] interface GigabitEthernet 2/0/10 [H3C-GigabitEthernet2/0/10] qos [H3C-qosb-GigabitEthernet2/0/10] queue-scheduler strict-priority 2.2 运营商网络环境简介 VLAN 20 服务器端网络 VLAN 200 GE2/0/1 GE2/0/2 Switch C VLAN 10 运营商网络 VLAN 100/VLAN 200 VLAN 100 GE2/0/2 Switch B GE2/0/1 Switch A GE2/0/2 GE2/0/1 VLAN 20 服务器端网络 VLAN 10 VLAN /40 客户端网络图 2-7 运营商网络环境拓扑图图 2-7 为运营商网络拓扑图, 具体环境如下 : S7500 交换机 (Switch A Switch B 和 Switch C) 作为运营商网络边缘设备, 与客户端 / 服务器端网络相连接 ; 2-9

38 QACL 第 2 章 QACL 典型配置举例运营商网络中允许 VLAN 100 和 VLAN 200 的报文通过 ; Switch B 通过端口 GigabitEthernet2/0/2 与运营商网络连接, 允许 VLAN 100 的报文通过 ; Switch C 通过端口 GigabitEthernet2/0/2 与运营商网络连接, 允许 VLAN 200 的报文通过 ; 客户端网络中 VLAN 10 和 VLAN 20 通过端口 GigabitEthernet2/0/1 接入交换机, 其中 VLAN 20 内包含若干 MAC 地址范围为 /40 的设备 ; 客户端网络中 VLAN 10 和 VLAN 20 发出的报文将带有各自 VLAN 的 VLAN Tag 到达端口 GigabitEthernet2/0/ 基于流的灵活 QinQ 配置举例 1. 组网需求要求配置基于流的灵活 QinQ, 满足如下需求 : 为 VLAN 10 发出的报文封装 VLAN 100 的外层 Tag, 使 VLAN 10 内的客户端可以通过运营商网络, 访问 Switch B 连接的网络中 VLAN 10 内的服务器 ; 为 VLAN 20 发出的源 MAC 地址为 /40 的报封装 VLAN 200 的外层 Tag, 使 VLAN 20 内的这些客户端可以通过运营商网络, 访问 Switch C 连接的网络中 VLAN 20 内的服务器 ; 为 VLAN 20 内其他客户端发出的报文封装 VLAN 100 的外层 Tag, 使 VLAN 20 内的这些客户端可以通过运营商网络, 访问 Switch B 连接的网络中 VLAN 20 内的服务器 2. 组网图参见图配置步骤 (1) Switch A 上的配置定义二层 ACL 4000, 对源 MAC 地址为 /40 的报文进行分类 <H3C> system-view [H3C] acl number 4000 [H3C-acl-link-4000] rule permit ingress ffff-ffff-ff00 [H3C-acl-link-4000] quit 配置端口 GigabitEthernet2/0/2 为 Hybrid 端口, 并且在转发 VLAN 100 和 VLAN 200 的报文时保留 VLAN Tag [H3C] interface GigabitEthernet 2/0/2 2-10

39 QACL 第 2 章 QACL 典型配置举例 [H3C-GigabitEthernet2/0/2] port link-type hybrid [H3C-GigabitEthernet2/0/2] port hybrid vlan tagged [H3C-GigabitEthernet2/0/2] quit 配置端口 GigabitEthernet2/0/1 为 Hybrid 端口, 缺省 VLAN 为 VLAN 100, 并且在转发 VLAN 100 和 VLAN 200 的报文时去除 VLAN Tag [H3C] interface GigabitEthernet 2/0/1 [H3C-GigabitEthernet2/0/1] port link-type hybrid [H3C-GigabitEthernet2/0/1] port hybrid pvid vlan 100 [H3C-GigabitEthernet2/0/1] port hybrid vlan untagged 配置端口 GigabitEthernet2/0/1 支持 QinQ 功能 [H3C-GigabitEthernet2/0/1] vlan-vpn enable 在端口 GigabitEthernet2/0/1 上配置基于流的灵活 QinQ, 为源 MAC 地址范围为 /40 的报文封装 VLAN 200 的外层 VLAN Tag [H3C-GigabitEthernet2/0/1] qos [H3C-qosb-GigabitEthernet2/0/1] traffic-remark-vlanid inbound link-group 4000 remark-vlan 200 (2) Switch B 上的配置配置端口 GigabitEthernet2/0/2 为 Hybrid 端口, 并且在转发 VLAN 100 的报文时保留 VLAN Tag [H3C] interface GigabitEthernet 2/0/2 [H3C-GigabitEthernet2/0/2] port link-type hybrid [H3C-GigabitEthernet2/0/2] port hybrid vlan 100 tagged [H3C-GigabitEthernet2/0/2] quit 配置端口 GigabitEthernet2/0/1 为 Hybrid 端口, 缺省 VLAN 为 VLAN 100, 并且在转发 VLAN 100 的报文时去除 VLAN Tag <H3C> system-view [H3C] interface GigabitEthernet 2/0/1 [H3C-GigabitEthernet2/0/1] port link-type hybrid [H3C-GigabitEthernet2/0/1] port hybrid pvid vlan 100 [H3C-GigabitEthernet2/0/1] port hybrid vlan 100 untagged 配置端口 GigabitEthernet2/0/1 支持 QinQ 功能 [H3C-GigabitEthernet2/0/1] vlan-vpn enable (3) Switch C 上的配置配置端口 GigabitEthernet2/0/2 为 Hybrid 端口, 并且在转发 VLAN 200 的报文时保留 VLAN Tag [H3C] interface GigabitEthernet 2/0/2 [H3C-GigabitEthernet2/0/2] port link-type hybrid 2-11

40 QACL 第 2 章 QACL 典型配置举例 [H3C-GigabitEthernet2/0/2] port hybrid vlan 200 tagged [H3C-GigabitEthernet2/0/2] quit 配置端口 GigabitEthernet2/0/1 为 Hybrid 端口, 缺省 VLAN 为 VLAN 200, 并且在转发 VLAN 200 的报文时去除 VLAN Tag <H3C> system-view [H3C] interface GigabitEthernet 2/0/1 [H3C-GigabitEthernet2/0/1] port link-type hybrid [H3C-GigabitEthernet2/0/1] port hybrid pvid vlan 200 [H3C-GigabitEthernet2/0/1] port hybrid vlan 200 untagged 配置端口 GigabitEthernet2/0/1 支持 QinQ 功能 [H3C-GigabitEthernet2/0/1] vlan-vpn enable 2.3 配置注意事项配置中请注意如下事项 : (1) 高级 ACL 中,3998 与 3999 是系统为集群管理预留的编号, 用户无法配置 (2) 用户可以使用 acl order 命令来指定规则下发到硬件后的匹配顺序 S7500 交换机支持三种匹配顺序 : 深度优先先下发先生效后下发先生效 (3) 在 A 型业务板下发 ACL 规则到硬件时, 需要注意如下限制 : 基本 ACL 不支持配置 fragment 参数 ; 高级 ACL 不支持配置 tos fragment 参数 (4) 在非 A 型业务板下发 ACL 规则到硬件时, 需要注意如下限制 : 高级 ACL 配置 TCP/UDP 端口时不支持配置 range 参数 (5) 在非 A 型业务板上通过用户自定义 ACL 匹配特定的报文时, 常用协议类型号以及偏移量如下表所示表 2-2 常用协议类型号以及偏移量协议类型协议号端口没有开启 QinQ 功能时的偏移量端口开启 QinQ 功能后的偏移量 ARP 0x RARP 0x IP 0x IPX 0x AppleTalk 0x809B ICMP 0x IGMP 0x TCP 0x

41 QACL 第 2 章 QACL 典型配置举例协议类型协议号端口没有开启 QinQ 功能时的偏移量端口开启 QinQ 功能后的偏移量 UDP 0x (6) 当用户配置流量监管 (traffic-limit) 重定向(traffic-redirect) 流镜像 (mirrored-to) 流量统计(traffic-statistic) 优先级重标记(traffic-priority) 和基于流的灵活 QinQ(traffic-remark-vlanid) 时,ACL 规则中定义的动作必须为 permit (7) 在非 A 型业务板上配置流量监管时, 如果指定 kbps 参数, 速率限制的粒度为 64Kbps 即如果用户输入的数字在 N*64~(N+1)*64 之间 (N 为自然数 ), 交换机将自动修改此值为 (N+1)*64Kbps (8) 配置重定向至端口时, 源端口和目的端口必须位于同一业务板上 (9) 配置流镜像时需要注意, 对于集中式单板, 所有端口必须在同一单板上 ; 对于分布式系统, 所有端口必须在同一个分布式系统内 (10) S7500 交换机上可以配置多个镜像源端口, 但只能配置一个镜像目的端口建议镜像目的端口只用于转发镜像流量, 不要作为业务端口使用, 否则可能会影响正常业务 (11) S7500 交换机的非 A 型业务板支持配置轮询调度算法 (rr) 严格优先级调度算法 (strict-priority) 和加权轮询调度算法 (wrr) 在配置加权轮询调度算法时, 用户也可以将权重设置为 0, 实现 strict-priority+wrr 调度算法 (12) 当用户配置使用 strict-priority+wrr 调度算法时, 交换机会优先调度使用严格优先级算法的队列例如, 队列的权重为 0, 队列使用 wrr 算法, 系统首先按照严格优先级对队列进行调度, 当队列中没有报文发送时, 才按照 wrr 算法对队列进行调度 (13) 基于流的灵活 QinQ 通常配置在运营商网络与用户设备相连的边缘设备的 Hybrid 端口上 2.4 引用 ACL 规则的其它功能其它引用 ACL 规则的功能包括 : Telnet/SNMP/WEB 登录用户控制, 其中 Telnet 用户可引用 ACL 2000~3999, SNMP/WEB 用户可引用的 ACL 2000~2999; 路由策略匹配规则中引用 ACL, 可以引用 ACL 2000~3999; 2-13

42 QACL 第 2 章 QACL 典型配置举例路由信息过滤中引用 ACL, 可以引用 ACL 2000~3999; 显示匹配 ACL 规则的路由表项, 可以引用 ACL 2000~2999; 显示匹配 ACL 规则的 FIB 表项, 可以引用 ACL 2000~2999; TFTP 服务器引用 ACL 规则, 可以引用 ACL 2000~

43 802.1x 目录目录第 1 章 802.1x 功能介绍 x 简介产品特性支持情况全局配置端口视图下的配置注意事项第 2 章配置命令介绍 x 相关功能配置命令第 3 章典型企业网络接入认证应用网络应用分析组网图配置步骤交换机上的配置 RADIUS Server 上的配置 ( 以 CAMS 1.20 标准版为例 ) 接入用户 PC 上的操作验证结果故障诊断与排错 i

44 802.1x 摘要 802.1x 典型配置举例关键词 :802.1x,AAA 摘要 : 本文主要介绍以太网交换机的 802.1x 功能在具体组网中的应用配置, 对所涉及到的 802.1x 客户端交换机 AAA 服务器等角色, 分别给出了详细的配置步骤缩略语 :AAA(Authentication,Authorization and Accounting, 认证授权和计费 ) ii

45 802.1x 第 1 章 802.1x 功能介绍第 1 章 802.1x 功能介绍说明 : 本章中的 802.1x 功能适用于 H3C S7500 系列以太网交换机 x 简介 IEEE 802 协议定义的局域网不提供接入认证, 一般来说, 只要用户接入局域网就可以访问网络上的设备或资源但是对于如电信接入写字楼局域网以及移动办公等应用场合, 网络管理者希望能对用户设备的接入进行控制和配置, 为此产生了基于端口或用户的网络接入控制需求 802.1x 协议是一种基于端口的网络接入控制 (Port Based Network Access Control) 协议 802.1x 作为一种基于端口的用户访问控制机制, 由于其低成本良好的业务连续性和扩充性以及较高的安全性和灵活性, 受到了设备制造商各大网络运营商和最终用户的广泛支持和肯定 1.2 产品特性支持情况全局配置开启全局的 802.1x 特性设置时间参数设置认证请求帧的最大可重复发送次数打开静默定时器功能打开设备重启用户再认证功能端口视图下的配置开启端口 dot1x 配置 Guest VLAN 功能配置端口允许的最大用户数端口接入控制方式 ( 基于端口或基于 MAC) 端口接入控制模式 ( 强制授权非强制授权自动 ) 客户端版本检测 1-1

46 802.1x 第 1 章 802.1x 功能介绍代理检测注意事项只有全局和端口均开启 dot1x 特性后,dot1x 的配置才会生效在启用 dot1x 功能前, 可以配置设备或以太网端口的 dot1x 相关参数, 但这些配置并不生效 ; 启用 dot1x 功能后, 提前配置的 dot1x 相关参数才生效关闭 dot1x 功能后, 交换机上配置的 dot1x 相关参数仍被保留 ; 当 dot1x 功能重新启动后, 以前所做的这些 dot1x 相关配置依然生效 1-2

47 802.1x 第 2 章配置命令介绍第 2 章配置命令介绍 x 相关功能配置命令要实现 802.1x 功能, 需要对接入用户交换机认证 / 授权服务器三个部分进行正确配置接入用户端 : 保证用户 PC 使用正确的客户端交换机 : 需要进行 802.1x 配置和 AAA 相关配置认证 / 授权服务器 : 需要进行正确的配置下面仅介绍交换机上所需的 802.1x 相关配置命令, 其他配置请参见相关设备手册表 x 相关功能配置命令功能命令说明进入系统视图 system-view - 开启全局的 802.1x 特性开启端口的 802.1x 特性设置端口接入控制方式开启 Guest VLAN 功能 dot1x 系统视图下 dot1x [ interface interface-list ] 端口视图下 dot1x 系统视图下 dot1x port-method { macbased portbased } [ interface interface-list ] 端口视图下 dot1x port-method { macbased portbased } 系统视图下 dot1x guest-vlan vlan-id [ interface interface-list ] 端口视图下 dot1x guest-vlan vlan-id 必选缺省情况下, 全局的 802.1x 特性为关闭状态必选缺省情况下, 端口的 802.1x 特性均为关闭状态, 只有端口和全局 802.1x 特性均开启,802.1x 的相应配置才能生效可选缺省情况下,802.1x 在端口上进行接入控制方式为 macbased 使用 Guest VLAN 功能时必须保持 portbased 的接入控制方式可选缺省情况下,Guest VLAN 功能处于关闭状态配置为 Guest VLAN 的 vlan-id 必须事先已经创建 2-1

48 802.1x 第 3 章典型企业网络接入认证应用第 3 章典型企业网络接入认证应用说明 : 不同型号的设备, 配置的细节或显示信息会稍有差异, 这里以 H3C S7500 系列交换机 ( 软件版本为 Release 3135) 为例 3.1 网络应用分析某企业网的管理者希望在交换机各端口上对用户接入进行认证, 以控制用户对相应资源的访问, 详细网络应用需求分析如表 3-1 所示表 3-1 网络应用分析网络需求接入用户受控, 必须通过认证才能访问网络用户未通过认证时, 只能受限访问网络 VLAN 10 用户通过认证后, 可以访问网络 VLAN 100 计费方式为 50 元包月, 其访问网络的带宽为 2M 用户上线后将 IP 与 Mac 进行绑定在线闲置 20 分钟后, 服务器强制切断用户连接设备无预警重启后, 在线用户可以重新认证并成功启动 802.1x 特性相关设备所需配置启用 Guest VLAN 功能动态 VLAN 下发配置在 RADIUS Server 上设置计费策略带宽限制策略 MAC+IP 绑定功能设置启用闲置用户切断功能配置设备重启用户再认证功能 3-1

49 802.1x 第 3 章典型企业网络接入认证应用 3.2 组网图图 3-1 典型企业网应用组网图 3.3 配置步骤交换机上的配置设置 RADIUS 方案 cams, 设置主备服务器 <H3C> system-view [H3C] radius scheme cams [H3C-radius-cams] primary authentication [H3C-radius-cams] primary accounting [H3C-radius-cams] secondary authentication [H3C-radius-cams] secondary accounting 设置系统与认证 Radius 服务器交互报文时加密密码为 expert, 与计费 Radius 服务器交互报文的加密密码为 expert [H3C-radius-cams] key authentication expert [H3C-radius-cams] key accounting expert 设置用户名为带域名格式 [H3C-radius-cams] user-name-format with-domain 服务类型为 extended [H3C-radius-cams] server-type extended 配置设备重启用户再认证功能 [H3C-radius-cams] accounting-on enable 3-2

50 802.1x 第 3 章典型企业网络接入认证应用定义 ISP 域 abc, 并配置认证采用 RADIUS 方案 cams [H3C] domain abc [H3C-isp-abc] radius-scheme cams 配置动态 VLAN 下发模式 [H3C-isp-abc] vlan-assignment-mode integer [H3C-isp-abc] quit 将 ISP 域 abc 设置为缺省 ISP 域 [H3C] domain default enable abc 用户接入端口启用 Guest VLAN 功能 [H3C] vlan 10 [H3C-Ethernet3/0/3] dot1x port-method portbased [H3C-Ehternet3/0/3] dot1x guest-vlan 10 全局启用 802.1x [H3C] dot1x 端口启用 dot1x [H3C] dot1x interface Ethernet3/0/3 使用 display 命令可以查看关于 802.1x,AAA 相关参数配置 [H3C] display dot1x interface ethernet3/0/3 Equipment 802.1x protocol is enabled CHAP authentication is enabled DHCP-launch is disabled Proxy trap checker is disabled Proxy logoff checker is disabled Guest Vlan is enabled Configuration: Transmit Period 30 s, Handshake Period 15 s ReAuth Period s Quiet Period 60 s, Quiet Period Timer is disabled Supp Timeout 30 s, Server Timeout 100 s Interval between version requests is 30s maximal request times for version information is 3 The maximal retransmitting times 2 Total maximum 802.1x user resource number is 4096 Total current used 802.1x resource number is 0 Ethernet3/0/3 is link-up 802.1x protocol is enabled 3-3

51 802.1x 第 3 章典型企业网络接入认证应用 Proxy trap checker is disabled Proxy logoff checker is disabled Guest Vlan: 10 Version-Check is disabled The port is a(n) authenticator Authentication Mode is Auto Port Control Type is Port-based ReAuthenticate is disabled Max on-line user number is 1024 Authentication Success: 0, Failed: 0 EAPOL Packets: Tx 0, Rx 0 Sent EAP Request/Identity Packets : 0 EAP Request/Challenge Packets: 0 Received EAPOL Start Packets : 0 EAPOL LogOff Packets: 0 EAP Response/Identity Packets : 0 EAP Response/Challenge Packets: 0 Error Packets: 0 Controlled User(s) amount to 0 [H3C] display radius cams SchemeName =cams Index=1 Type=extended Primary Auth IP = Port=1812 Primary Acct IP = Port=1813 Second Auth IP = Port=1812 Second Acct IP = Port=1813 Auth Server Encryption Key= expert Acct Server Encryption Key= expert Accounting method = required Accounting-On packet enable, send times = 40, interval = 3s TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12 Permitted send realtime PKT failed counts =5 Retry sending times of noresponse acct-stop-pkt =500 Quiet-interval(min) =5 Username format =with-domain Data flow unit =Byte Packet unit =1 [H3C] display domain abc The contents of Domain abc: State = Active 3-4

802.1x 第 3 章典型企业网络接入认证应用 RADIUS Scheme = cams Access-limit = Disable Vlan-assignment-mode = Integer accounting-mode = time Domain User Template: Idle-cut = Disable Self-service = Disable Messenger

52 802.1x 第 3 章典型企业网络接入认证应用 RADIUS Scheme = cams Access-limit = Disable Vlan-assignment-mode = Integer accounting-mode = time Domain User Template: Idle-cut = Disable Self-service = Disable Messenger Time = Disable RADIUS Server 上的配置 ( 以 CAMS 1.20 标准版为例 ) CAMS 认证 / 授权计费服务器的配置, 主要由以下四个部分组成 : 创建计费策略创建服务类型添加用户信息接入网段及协议配置本文所述 CAMS 综合访问服务器的版本为 V1.20( 标准版 ) 1. 登录 CAMS 服务器 (1) 在登录页面输入正确的用户名密码登录 CAMS 服务器图 3-2 CAMS 登录页面 3-5

计费策略管理界面, 如图所示图 3-4 计费策略管理页面从列表中可以看到已有的计费策略,

53 802.1x 第 3 章典型企业网络接入认证应用 (2) 登录成功后页面如图所示 : 图 3-3 CAMS 首页面 2. 创建计费策略 (1) 进入计费策略页面登录 CAMS 服务器配置平台, 点击左侧的资费管理下的计费策略, 进入计费策略管理界面, 如图所示图 3-4 计费策略管理页面从列表中可以看到已有的计费策略, 可以选择对已有计费策略进行查询修改或复制 (2) 创建计费策略点击计费策略管理界面上方的增加按钮 : 新建包月计费的计费策略 3-6

802.1x 第 3 章典型企业网络接入认证应用图 3-5 计费策略基本信息页面

54 802.1x 第 3 章典型企业网络接入认证应用图 3-5 计费策略基本信息页面 (3) 点击下一步 : 选择按时长计费, 计费周期月为周期, 周期内固定费用 50 元每月图 3-6 计费属性设置页面点击完成, 成功添加新的计费策略包月计费 3. 创建服务类型 (1) 进入服务配置界面登录 CAMS 服务器配置平台, 点击左侧的服务管理下的服务配置, 进入服务配置界面, 如图所示图 3-7 服务配置页面从列表中可以看到已有的服务类型, 可以选择对已有服务类型进行查询修改或删除 3-7

和绑定用户 MAC 地址图 3-8 增加服务页面点击确定, 成功添加服务类型 4.

55 802.1x 第 3 章典型企业网络接入认证应用 (2) 创建服务类型点击服务配置界面上方的增加按钮 : 新建服务名为 abc 的服务类型, 服务后缀名为 abc 计费策略为包月计费, 上下行速率限制为 2M(2048Kbps), 认证成功后下发 VLAN 100 认证绑定选择绑定用户 IP 和绑定用户 MAC 地址图 3-8 增加服务页面点击确定, 成功添加服务类型 4. 添加帐户用户 (1) 进入用户帐户界面登录 CAMS 服务器配置平台, 点击左侧的用户管理的帐号用户, 进入帐户管理界面图 3-9 用户帐户界面从列表中可以看到已有的帐户用户, 可以选择对已有帐户用户进行维护 3-8

56 802.1x 第 3 章典型企业网络接入认证应用 (2) 创建用户帐户选择页面上方增加 : 用户为 info, 密码为 info, 用户姓名为 Bruce, 预付费用户, 预付金额 100 元并添加绑定的用户 IP 地址网卡 MAC 地址, 在线数量限制为 1, 最大闲置时长 20 分钟在服务信息一栏, 选择服务名称 abc 图 3-10 用户开户页面点击确定完成帐户用户添加 5. 接入设备配置 (1) 进入系统配置页面登录 CAMS 服务器配置平台, 点击左侧的系统管理的系统配置, 进入系统配置界面图 3-11 系统配置页面 3-9

57 802.1x 第 3 章典型企业网络接入认证应用 (2) 选择修改接入设备配置, 修改接入设备的地址密钥及认证计费处理端口等信息图 3-12 接入设备配置列表页面 6. 接入设备配置 (1) 点击页面下方的增加按钮, 增加配置项图 3-13 增加配置项页面 3-10

802.1x 第 3 章典型企业网络接入认证应用 (2) 点击确定后, 可以看到如下提示 : 图 3-14 操作成功提示 (3) 此时需要返回系统配置页面, 点击立即生效图 3-15 系统配置页面的立即生效按钮 3.3.3 接入用户 PC 上的操作 PC 上需要安装 802.

58 802.1x 第 3 章典型企业网络接入认证应用 (2) 点击确定后, 可以看到如下提示 : 图 3-14 操作成功提示 (3) 此时需要返回系统配置页面, 点击立即生效图 3-15 系统配置页面的立即生效按钮接入用户 PC 上的操作 PC 上需要安装 802.1x 客户端客户端可是选择 H3C 公司 802.1X 客户端产品, 也可以是 XP 自带客户端, 或者其他第三方标准客户端以下以 H3C 公司 inode 客户端为例进行介绍 3-11

59 802.1x 第 3 章典型企业网络接入认证应用 1. 启动客户端图 3-16 客户端页面 2. 新建连接点击页面左上方创建一个新的连接, 点击下一步, 进入 < 选择认证协议 > 页面, 选择 802.1x 协议点击下一步, 进入 < 选择连接类型 > 页面, 选择普通连接进入 < 帐户信息 > 页面, 填写相关信息 3-12

60 802.1x 第 3 章典型企业网络接入认证应用图 3-17 新建 802.1x 连接 3. 设置连接属性点击下一步, 设置相应连接属性 : 3-13

61 802.1x 第 3 章典型企业网络接入认证应用图 3-18 设置连接属性点击完成, 选择创建, 完成连接建立 4. 启动连接双击 info 连接图标, 点击连接 : 3-14

62 802.1x 第 3 章典型企业网络接入认证应用图 3-19 连接中连接成功 : 图 3-20 认证通过页面 3-15

63 802.1x 第 3 章典型企业网络接入认证应用验证结果可以看到, 在用户没有发起认证或认证失败的情形下, 可以访问 VLAN10 范围内的网络, 证明 Guest VLAN 生效当用户使用正确的客户端认证通过时, 可以访问 VLAN 100 的网络, 证明动态下发的 VLAN 生效, 同时与 CAMS 配合完成计费实时监控当设备无预警重启时, 用户可以重新认证并上线当用户使用的 IP/MAC 与 CAMS 上设置的不一致时, 用户无法上线故障诊断与排错 1. 故障现象 : 客户端无法验证通过使用 display dot1x 命令确认全局和端口上都启用了 802.1x 确认客户端拨号程序设置正确的用户名和验证密码确认链路是否正常若上面检查没有问题, 可以打开 802.1x 调试开关 debugging dot1x packet 查看交换机收到和发送的 EAP EAPoL 报文是否正常 2. 故障现象 : 用户无需进行 802.1X 验证就能使用网络资源使用 display dot1x 确认全局和端口上都启用了 802.1x 使用 display interface 确认端口是否有入包统计 ;802.1x 只针对入包进行认证限制, 而对于出包来说, 并不需要经过认证即禁止从客户端接收帧, 但允许向客户端发送帧 3-16

64 SSH 目录目录第 1 章 SSH 功能介绍 SSH 简介支持能力 SSH 配置 SSH 服务器端的配置 SSH 客户端配置注意事项第 2 章配置命令介绍 SSH 配置命令 H3C 交换机充当 SSH 服务器时的配置 H3C 交换机充当 SSH 服务器时的配置过程 SSH 服务器端配置命令 H3C 交换机充当 SSH 客户端时的配置 H3C 交换机充当 SSH 客户端时的配置过程 SSH 客户端配置命令第 3 章配置举例 SSH 典型配置举例 S7500 交换机充当 SSH 服务器并采用 password 认证时的配置举例 S7500 交换机充当 SSH 服务器并采用 RSA 认证时的配置举例 S7500 交换机充当 SSH 客户端并采用 password 认证时的配置举例 S7500 交换机充当 SSH 客户端并采用 RSA 认证时的配置举例 S7500 交换机充当 SSH 客户端并采用不支持首次认证时的配置举例 i

65 SSH 摘要 SSH 典型配置举例关键词 :SSH,RSA 摘要 : 本文主要介绍以太网交换机的 SSH 功能在具体组网中的应用配置, 对所涉及到的 SSH 客户端交换机等角色, 分别给出了详细的配置步骤缩略语 :SSH(Secure Shell, 安全外壳 ) RSA(Rivest Shamir Adleman) ii

66 SSH 第 1 章 SSH 功能介绍第 1 章 SSH 功能介绍 1.1 SSH 简介 SSH(Secure Shell, 安全外壳 ) 是一个用于在非安全网络中提供安全的远程登录以及其他安全网络服务的协议当用户通过非安全的网络环境远程登录到交换机时, 每次发送数据前,SSH 都会自动对数据进行加密, 当数据到达目的地时,SSH 自动对加密数据进行解密, 以此提供安全的信息保障, 以保护交换机不受诸如明文密码截取等攻击除此之外,SSH 还提供强大的认证功能, 以保护不受诸如中间人等攻击方式的攻击 SSH 采用客户端服务器模式 SSH 服务器接受 SSH 客户端的连接并提供认证,SSH 客户端与 SSH 服务器建立 SSH 连接, 从而实现通过 SSH 登录到 SSH 服务器端此外,SSH 还支持其他功能, 比如可以对传输的数据进行压缩, 从而加快传输的速度又可以代替 Telnet, 或为 FTP Pop 甚至 PPP 提供安全的通道说明 : 有关各款交换机支持的 SSH 功能的详细介绍, 请参见各产品的用户手册 1.2 支持能力目前 S7500 支持作为 SSH 客户端和服务器功能 1.3 SSH 配置 SSH 服务器端的配置 1. H3C 交换机充当 SSH 服务器时的配置配置所在用户界面支持的协议生成或销毁 RSA 密钥对创建 SSH 用户并指定认证方式配置 SSH 用户使用的服务类型配置服务器上的 SSH 管理功能在服务器端配置客户端的公钥 1-1

67 SSH 第 1 章 SSH 功能介绍为 SSH 用户分配公共密钥 2. 其它设备充当 SSH 服务器时的配置当使用其它设备充当 SSH 服务器时的配置, 请参见各产品的相关用户手册 SSH 客户端配置 1. 采用 SSH 客户端软件的配置 SSH 客户端软件有很多, 例如 PuTTY OpenSSH 等用户可根据自己的具体情况决定使用的 SSH 客户端软件, 具体软件配置请参见软件附带的手册 2. 采用支持 SSH2 的交换机作为客户端的配置设置对 SSH 服务器是否支持首次认证建立 SSH 客户端和服务器端的连接注意事项为确保 SSH 用户登录成功, 请务必在服务器端配置登录用户界面的认证方式为 authentication-mode scheme( 采用 AAA 认证 ) 生成服务器端的 RSA 密钥对是完成 SSH 登录的必要操作 1-2

68 SSH 第 2 章配置命令介绍第 2 章配置命令介绍 2.1 SSH 配置命令要实现 SSH 特性, 需要对 SSH 客户端和 SSH 服务器端进行相应的配置下面只是介绍交换机上需要的 SSH 相关配置命令, 详细配置请参见操作手册 2.2 H3C 交换机充当 SSH 服务器时的配置 H3C 交换机充当 SSH 服务器时的配置过程表 2-1 H3C 交换机充当 SSH 服务器时的配置过程交换机角色公共配置不同认证方式配置公钥说明 password - 具体命令请参见 SSH Server 具体命令请参见 RSA 认证手工配置 ( 将客户端公钥文件中的公钥手工写入到服务器端 ) 将 SSH 服务器端保存的客户端公钥与 SSH 客户端关联具体命令请参见认证方式配置注意事项如表 2-1, 介绍的只是单独指定 password 认证或 RSA 认证方式的情况实际上还可以将这两种认证方式结合使用 : 使用 ssh authentication-type default password-publickey 或 ssh user authentication-type password-publickey 命令指定认证方式为 password 认证和 RSA 认证, 也就是用户必须不但要通过 password 认证还要通过 RSA 认证, 才能登录使用 ssh authentication-type default all 或 ssh user authentication-type all 命令指定该用户的认证方式可以是 password 认证, 也可以是 RSA 认证, 也就是用户只要满足其中任何一种认证方式, 即可登录 2. 公钥配置过程及注意事项如表 2-1, 在服务器端采用 RSA 认证方式的配置过程中, 需要 SSH 服务器端和 SSH 客户端的相互配合 2-1

69 SSH 第 2 章配置命令介绍当主机作为客户端时, 使用 SSH 客户端软件生成 RSA 密钥对并显示 RSA 公钥数据当使用交换机作为客户端时, 在客户端通过命令生成 RSA 密钥对后, 还需要使用 display rsa local-key-pair public 命令显示主机公钥数据将主机公钥数据手工配置到服务器端, 从而使服务器端与该客户端具有相同的公钥, 以便后续建立连接时服务器端对客户端进行认证 SSH 服务器端配置命令 1. 公共配置表 2-2 H3C 交换机充当 SSH 服务器时的公共配置命令功能命令说明进入系统视图 system-view - 进入单一或多个用户界面视图配置登录用户界面的认证为 scheme 方式配置所在用户界面支持的协议 user-interface [ type-keyword ] number [ ending-number ] authentication-mode scheme [ command-authorizatio n ] protocol inbound { all ssh telnet } - 必选缺省情况下, 用户界面认证为 password 方式可选缺省情况下, 系统支持所有的协议, 即支持 Telnet 和 SSH 退出到系统视图 quit - 生成 RSA 密钥对销毁 RSA 密钥对配置用户可以使用的服务类型设置 SSH 认证超时时间设置 SSH 验证重试次数 rsa local-key-pair create rsa local-key-pair destroy ssh user username service-type { stelnet sftp all } ssh server timeout seconds ssh server authentication-retries times 必选缺省情况下, 没有生成 RSA 密钥对可选该命令用来销毁已生成的 RSA 密钥对可选缺省情况下, 用户可以使用的的服务类型为 stelnet 可选缺省情况下, 认证超时时间为 60 秒可选缺省情况下,SSH 验证重试次数为 3 次 2-2

70 SSH 第 2 章配置命令介绍功能命令说明设置服务器密钥的更新时间设定服务器端兼容 SSH1.x 版本的客户端 ssh server rekey-interval hours ssh server compatible-ssh1x enable 可选缺省情况下, 系统不更新服务器密钥可选缺省情况下, 服务器端兼容 SSH1.x 版本的客户端 2. SSH 服务器端采用 password 认证时表 2-3 H3C 交换机充当 SSH 服务器采用 password 认证时的配置命令功能命令说明公共配置请参见表 2-2 H3C 交换机充当 SSH 服务器时的公共配置命令创建 SSH 用户并指定认证方式创建 SSH 用户并指定缺省认证方式创建 SSH 用户并为该用户指定某一认证方式 ssh authentication -type default password ssh user username ssh user username authentication -type password 可选缺省情况下, 指定的缺省认证方式为 password 当 ssh authentication-type default 和 ssh user authentication-type 两条命令同时配置, 且认证方式不同时,SSH 用户的认证方式以 ssh user authentication-type 命令的配置为准 3. SSH 服务器端配置 RSA 公钥认证表 2-4 H3C 交换机充当 SSH 服务器配置 RSA 公钥认证时的配置命令功能命令说明公共配置请参见表 2-2 H3C 交换机充当 SSH 服务器时的公共配置命令创建 SSH 用户并指定认证方式创建 SSH 用户并指定缺省认证方式创建 SSH 用户并为该用户指定某一认证方式 ssh authentication -type default rsa ssh user username ssh user username authentication -typ rsa 二者必选其一缺省情况下, 指定的缺省认证方式为 password 当 ssh authentication-type default 和 ssh user authentication-type 两条命令同时配置, 且认证方式不同时,SSH 用户的认证方式以 ssh user authentication-type 命令的配置为准进入公共密钥视图 rsa peer-public-key keyname 必选进入公共密钥编辑视图 public-key-code begin - 2-3

71 SSH 第 2 章配置命令介绍功能命令说明配置客户端的 RSA 公钥退出公共密钥编辑视图, 退回到公共密钥视图直接输入 RSA 公钥内容 public-key-code end 在输入密钥数据时, 字符之间可以有空格, 也可以按回车键继续输入数据, 所配置的公钥必须是按公钥格式编码的十六进制字符串退出视图时, 系统自动保存配置的公钥密钥退出公共密钥视图, 退回到系统视图 peer-public-key end - 为 SSH 用户分配公共密钥 ssh user username assign rsa-key keyname 必选多次分配公钥时, 则以最后一次分配的公钥为准 2.3 H3C 交换机充当 SSH 客户端时的配置当设备作为 SSH 客户端和服务器端连接时, 可以设置 SSH 客户端对所访问的 SSH 服务器是否支持首次认证如果设置支持首次认证, 则当 SSH 客户端首次访问服务器端, 而客户端没有配置服务器端的主机公钥时, 用户仍可以选择继续访问该服务器端, 并在客户端保存该主机公钥 ; 当用户下次访问该服务器端时, 就以所保存的主机公钥来认证该服务器如果设置不支持首次认证, 则当客户端没有配置服务器端的主机公钥时, 客户端将拒绝访问该服务器用户必须事先将要访问的服务器端的主机公钥配置在本地, 同时指定要访问的服务器端的主机公钥名称, 以便客户端对要访问的服务器进行认证 H3C 交换机充当 SSH 客户端时的配置过程表 2-5 H3C 交换机充当 SSH 客户端时的配置过程交换机角色是否支持首次认证配置公钥访问 SSH 服务器端说明 SSH Client 支持 - 不支持手工配置 ( 将服务器端公钥文件中的公钥手工写入到客户端 ) 在客户端上指定要连接的服务器端的主机公钥建立 SSH 客户端和服务器端的连接请参见请参见

72 SSH 第 2 章配置命令介绍如表 2-5, 在客户端不支持首次认证的配置过程中, 需要 SSH 客户端和 SSH 服务器端的相互配合在服务器端使用 display rsa local-key-pair public 命令显示公钥数据将公钥数据手工配置到客户端, 以便后续建立连接时客户端就以保存的服务器的主机公钥来认证该服务器 SSH 客户端配置命令 1. 支持首次认证时 SSH 客户端的配置表 2-6 H3C 交换机充当 SSH 客户端支持首次认证时的配置命令操作命令说明进入系统视图 system-view - 设置 SSH 客户端支持首次认证建立 SSH 客户端和服务器端的连接 ssh client first-time enable ssh2 { host-ip host-name } [ port-num ] [ prefer_kex { dh_group1 dh_exchange_group } prefer_ctos_cipher { des aes128 } prefer_stoc_cipher { des aes128 } prefer_ctos_hmac { sha1 sha1_96 md5 md5_96 } prefer_stoc_hmac { sha1 sha1_96 md5 md5_96 } ] * 可选缺省情况下, 客户端支持首次认证必选该配置用来启动 SSH 客户端和服务器端建立连接, 并指定客户端和服务器端的首选密钥交换算法首选加密算法和首选 HMAC 算法 2. 不支持首次认证时 SSH 客户端的配置表 2-7 H3C 交换机充当 SSH 客户端不支持首次认证时 SSH 的配置操作命令说明进入系统视图 system-view - 设置 SSH 客户端不支持首次认证 undo ssh client first-time 必选缺省情况下, 客户端支持首次认证进入公共密钥视图 rsa peer-public-key keyname 必选进入公共密钥编辑视图 public-key-code begin - 配置服务器端的 RSA 公钥直接输入 RSA 公钥内容在输入密钥数据时, 字符之间可以有空格, 也可以按回车键继续输入数据, 所配置的公钥必须是按公钥格式编码的十六进制字符串 2-5

73 SSH 第 2 章配置命令介绍操作命令说明退出公共密钥编辑视图, 退回到公共密钥视图 public-key-code end 退出视图时, 系统自动保存配置的公钥密钥退出公共密钥视图, 退回到系统视图 peer-public-key end - 在客户端上指定要连接的服务器端的主机公钥名称建立 SSH 客户端和服务器端的连接 ssh client { server-ip server-name } assign rsa-key keyname ssh2 { host-ip host-name } [ port-num ] [ prefer_kex { dh_group1 dh_exchange_group } prefer_ctos_cipher { des aes128 } prefer_stoc_cipher { des aes128 } prefer_ctos_hmac { sha1 sha1_96 md5 md5_96 } prefer_stoc_hmac { sha1 sha1_96 md5 md5_96 } ] * 可选当客户端不支持首次认证时, 必选进行该项配置前, 需要将服务器端公钥配置到客户端必选该配置用来启动 SSH 客户端和服务器端建立连接, 并指定客户端和服务器端的首选密钥交换算法首选加密算法和首选 HMAC 算法 2-6

74 SSH 第 3 章配置举例第 3 章配置举例说明 : 此典型配置举例中使用的 S7500 系列以太网交换机的版本为 Release SSH 典型配置举例 S7500 交换机充当 SSH 服务器并采用 password 认证时的配置举例 1. 组网需求当用户通过一个不能保证安全的网络远程登录到交换机时, 为最大限度地保证数据信息交换的安全性, 使用 SSH 来实现此目的, 并采用 password 认证如图 3-1 所示, PC 终端 (SSH Client) 上运行支持 SSH2.0 的客户端软件, 与交换机 (SSH Server) 建立本地连接 2. 组网图图 3-1 SSH Server 采用 password 认证时的配置组网图 3. 配置步骤 SSH 服务器端配置在交换机上创建 VLAN 接口, 并为其分配 IP 地址, 作为客户端连接的 SSH 服务器地址 <H3C> system-view [H3C] interface vlan-interface 1 [H3C-Vlan-interface1] ip address [H3C-Vlan-interface1] quit 生成 RSA 密钥对 [H3C] rsa local-key-pair create The key name will be: H3C_Host The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, 3-1

75 SSH 第 3 章配置举例 It will take a few minutes. Input the bits in the modulus[default = 1024]: Generating keys 设置用户接口上的认证模式为 AAA 认证 [H3C] user-interface vty 0 4 [H3C-ui-vty0-4] authentication-mode scheme 设置用户接口上支持 SSH 协议 [H3C-ui-vty0-4] protocol inbound ssh [H3C-ui-vty0-4] quit 创建用户 client001, 设置其认证密码为 abc, 登录协议为 SSH, 能访问的命令级别为 3 [H3C] local-user client001 [H3C-luser-client001] password simple abc [H3C-luser-client001] service-type ssh level 3 [H3C-luser-client001] quit 注意 : 本配置举例中服务器端配置为 AAA 本地认证方式, 则 ISP 域引用的 AAA 方案必须为本地认证方案, 否则客户端无法登录成功指定用户 client001 的认证方式为 password 认证 [H3C] ssh user client001 authentication-type password SSH 客户端配置客户端主机配置 IP 地址客户端主机的 IP 地址必须同交换机上的 VLAN 接口的 IP 地址位于同一个网段, 这里设置为建立与 SSH 服务器端的连接 SSH 客户端软件的配置 ( 以 Putty0.58 为例 ) (1) 打开 PuTTY.exe 程序, 出现如下客户端配置界面 3-2

76 SSH 第 3 章配置举例图 3-2 SSH 客户端配置界面在 Host Name(or IP address) 文本框中输入 SSH 服务器的 IP 地址 (2) 单击 SSH 客户端配置界面左边目录树 ( Category ) 中的连接协议 ( Connection ) 中的 SSH, 出现如图 3-3 的界面 3-3

77 SSH 第 3 章配置举例图 3-3 SSH 客户端配置界面 (2) 在 Protocol options 区域中, 选择 Preferred SSH protocol version 参数的值为 2 (3) 在图 3-4 中, 单击 <Open> 按钮, 出现如所示的 SSH 客户端界面, 如果连接正常则会提示用户输入用户名 client001, 密码 abc 3-4

SSH 第 3 章配置举例图 3-4 SSH 客户端界面 3.1.2 S7500 交换机充当 SSH 服务器并采用 RSA 认证时的配置举例 1. 组网需求当用户通过一个不能保证安全的网络远程登录到交换机时, 为更大限度地保证数据信息交换的安全性, 使用 SSH 来实现此目的, 并采用 RSA 认证如图 3-5 所示,PC 终端 (SSH Client) 上运行支持 SSH2.

78 SSH 第 3 章配置举例图 3-4 SSH 客户端界面 S7500 交换机充当 SSH 服务器并采用 RSA 认证时的配置举例 1. 组网需求当用户通过一个不能保证安全的网络远程登录到交换机时, 为更大限度地保证数据信息交换的安全性, 使用 SSH 来实现此目的, 并采用 RSA 认证如图 3-5 所示,PC 终端 (SSH Client) 上运行支持 SSH2.0 的客户端软件, 与交换机 (SSH Server) 建立本地连接 2. 组网图 SSH client /24 Vlan-int /24 SSH server Host Switch 图 3-5 SSH Server 采用 RSA 认证时的配置组网图 3. 配置步骤 SSH 服务器端配置在交换机上创建 VLAN 接口, 并为其分配 IP 地址, 作为客户端连接的 SSH 服务器地址 <H3C> system-view [H3C] interface vlan-interface 1 3-5

79 SSH 第 3 章配置举例 [H3C-Vlan-interface1] ip address [H3C-Vlan-interface1] quit 生成 RSA 密钥对 [H3C] rsa local-key-pair create 设置用户接口上的认证模式为 AAA 认证 [H3C] user-interface vty 0 4 [H3C-ui-vty0-4] authentication-mode scheme 设置用户接口上支持 SSH 协议 [H3C-ui-vty0-4] protocol inbound ssh 设置用户能访问的命令级别为 3 [H3C-ui-vty0-4] user privilege level 3 [H3C-ui-vty0-4] quit 创建用户 client001, 并指定认证方式为 RSA 认证 [H3C] ssh user client001 authentication-type rsa 说明 : 这里需要先在 SSH 客户端使用 SSH 客户端软件生成 RSA 密钥对, 并将生成的 RSA 公钥数据手工配置到服务器端有关配置请参见客户端的配置在服务器端配置客户端的公钥, 公钥名为 Switch001 [H3C] rsa peer-public-key Switch001 RSA public key view: return to System View with "peer-public-key end". [H3C-rsa-public-key] public-key-code begin RSA key code view: return to last view with "public-key-code end". [H3C-rsa-key-code] CF 442CE3EC 1119A454 E020AD94 E7D65B09 [H3C-rsa-key-code]B04455B3 9D7BFA D98 F5D4ACFE B32C4CDF 01DF3C40 [H3C-rsa-key-code]CB55B76C D1A0F5FF A 0910CAA8 DF4BCBFD 5BA9B4AA [H3C-rsa-key-code]BF23531A 2A09DBB E16BFA2 D01607AC 56B82B9A [H3C-rsa-key-code]D8435E7B 0CBD897F 930A105E 06D91AFB A9F548FC 566A3463 [H3C-rsa-key-code]419AC3E0 A3C26A33 8D9B0C32 ED2D [H3C-rsa-key-code] public-key-code end [H3C-rsa-public-key] peer-public-key end 为用户 client001 指定公钥 Switch001 [H3C] ssh user client001 assign rsa-key Switch001 SSH 客户端的配置生成密钥对 ( 以 PuTTYGen 为例 ) 3-6

80 SSH 第 3 章配置举例 (1) 运行 PuTTYGen.exe, 选择要生成的密钥对此处参数栏选择 SSH2(RSA), 点击 <Generate>, 产生客户端密钥对图 3-6 生成客户端密钥 (1) 注意 : 在产生密钥对的过程中需不停的移动鼠标, 鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方, 否则进程条的显示会不动, 密钥对将停止产生, 见图

81 SSH 第 3 章配置举例图 3-7 生成客户端密钥 (2) 密钥对产生后, 点击 <save public key>, 输入存储公钥的文件名 public, 点击保存图 3-8 生成客户端密钥 (3) 3-8

exe, 点击 <Browse>, 选择公钥文件 public 然后点击 <Convert>, 即可生成 PKCS 编码格式的 RSA 公钥数据图 3-10 生成客户端密钥

82 SSH 第 3 章配置举例同理, 点击 <save private key> 存储私钥, 弹出警告框, 提醒是否保存没做任何保护措施的私钥, 点击 <Yes>, 输入私钥文件名即可, 此处为 private.ppk, 点击保存图 3-9 生成客户端密钥 (4) (2) 运行 SSHKEY.exe, 点击 <Browse>, 选择公钥文件 public 然后点击 <Convert>, 即可生成 PKCS 编码格式的 RSA 公钥数据图 3-10 生成客户端密钥 (5) 说明 : 这里需要将生成的 PKCS 编码格式的 RSA 公钥数据手工配置到服务器端, 并完成服务器端的配置后再继续客户端的配置建立与 SSH 服务器端的连接 SSH 客户端软件的配置 ( 以 Putty0.58 为例 ) 3-9

83 SSH 第 3 章配置举例 (1) 打开 PuTTY.exe 程序, 出现如图 3-11 所示的客户端配置界面图 3-11 SSH 客户端配置界面 (1) 在 Host Name(or IP address) 文本框中输入 SSH 服务器的 IP 地址 (2) 单击 SSH 客户端配置界面左边目录树 ( Category ) 中的连接协议 ( Connection ) 中的 SSH, 出现如图 3-12 的界面 3-10

84 SSH 第 3 章配置举例图 3-12 SSH 客户端配置界面 (2) 在 Protocol options 区域中, 选择 Preferred SSH protocol version 参数的值为 2 (3) 单击 SSH 下面的 Auth ( 认证 ), 出现如图 3-13 的界面 3-11

85 SSH 第 3 章配置举例图 3-13 SSH 客户端配置界面 (2) 单击 <Browse > 按钮, 弹出文件选择窗口选择与配置到服务器端的公钥对应的私钥文件, 并确定即可 (4) 如图 3-13, 单击 <Open> 按钮, 出现如图 3-14 所示的 SSH 客户端界面, 如果连接正常则会提示用户输入用户名 client

3 S7500 交换机充当 SSH 客户端并采用 password 认证时的配置举例 1.

为更大限度地保证数据信息交换的安全性, 使用 SSH 来实现此目的, 并采用 password

登录的用户名为 client001 交换机 SwitchB 作为 SSH 服务器,IP 地址为

86 SSH 第 3 章配置举例图 3-14 SSH 客户端界面 S7500 交换机充当 SSH 客户端并采用 password 认证时的配置举例 1. 组网需求当用户通过交换机远程登录到另一台交换机时, 如果通过的网络不能保证安全, 为更大限度地保证数据信息交换的安全性, 使用 SSH 来实现此目的, 并采用 password 认证如图 3-15 所示 : 交换机 SwitchA 作为 SSH 客户端, 用来进行 SSH 登录的用户名为 client001 交换机 SwitchB 作为 SSH 服务器,IP 地址为组网图图 3-15 SSH 客户端采用 password 认证时的配置组网图 3. 配置步骤配置 SwitchB 在交换机上创建 VLAN 接口, 并为其分配 IP 地址, 作为客户端连接的 SSH 服务器地址 3-13

87 SSH 第 3 章配置举例 <H3C> system-view [H3C] interface vlan-interface 1 [H3C-Vlan-interface1] ip address [H3C-Vlan-interface1] quit 生成 RSA 密钥对 [H3C] rsa local-key-pair create 设置用户接口上的认证模式为 AAA 认证 [H3C] user-interface vty 0 4 [H3C-ui-vty0-4] authentication-mode scheme 设置用户接口上支持 SSH 协议 [H3C-ui-vty0-4] protocol inbound ssh [H3C-ui-vty0-4] quit 创建用户 client001, 设置其认证密码为 abc, 登录协议为 SSH, 能访问的命令级别为 3 [H3C] local-user client001 [H3C-luser-client001] password simple abc [H3C-luser-client001] service-type ssh level 3 [H3C-luser-client001] quit 注意 : 本配置举例中服务器端配置为 AAA 本地认证方式, 则 ISP 域引用的 AAA 方案必须为本地认证方案, 否则客户端无法登录成功指定用户 client001 的认证方式为 password [H3C] ssh user client001 authentication-type password 配置 SwitchA 在交换机上创建 VLAN 接口, 并为其分配 IP 地址, 作为连接 SSH 服务器端的 SSH 客户端地址 <H3C> system-view [H3C] interface vlan-interface 1 [H3C-Vlan-interface1] ip address [H3C-Vlan-interface1] quit 建立到服务器的 SSH 连接 [H3C] ssh Username: client001 Trying Press CTRL+K to abort 3-14

88 SSH 第 3 章配置举例 Connected to The Server is not authenticated. Do you continue to access it?(y/n):y Do you want to save the server's public key?(y/n):n Enter password: ******************************************************************* * Copyright (c) Hangzhou H3C Technologies Co., Ltd. * * Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ******************************************************************* <H3C> S7500 交换机充当 SSH 客户端并采用 RSA 认证时的配置举例 1. 组网需求当用户通过交换机远程登录到另一台交换机时, 如果通过的网络不能保证安全, 为更大限度地保证数据信息交换的安全性, 使用 SSH 来实现此目的, 并采用 RSA 认证如图 3-16 所示 : 交换机 SwitchA 作为 SSH 客户端, 用来进行 SSH 登录的用户名为 client001 交换机 SwitchB 作为 SSH 服务器,IP 地址为组网图图 3-16 SSH 客户端采用 RSA 认证时的配置组网图 3. 配置步骤配置 SwitchB 在交换机上创建 VLAN 接口, 并为其分配 IP 地址, 作为客户端连接的 SSH 服务器地址 <H3C> system-view [H3C] interface vlan-interface 1 [H3C-Vlan-interface1] ip address [H3C-Vlan-interface1] quit 生成 RSA 密钥对 3-15

89 SSH 第 3 章配置举例 [H3C] rsa local-key-pair create 设置用户接口上的认证模式为 AAA 认证 [H3C] user-interface vty 0 4 [H3C-ui-vty0-4] authentication-mode scheme 设置用户接口上支持 SSH 协议 [H3C-ui-vty0-4] protocol inbound ssh 设置用户能访问的命令级别为 3 [H3C-ui-vty0-4] user privilege level 3 [H3C-ui-vty0-4] quit 创建用户 client001, 并指定认证方式为 RSA 认证 [H3C] ssh user client001 authentication-type rsa 说明 : 这里需要先在 SSH 客户端生成 RSA 密钥对, 并将 RSA 公钥数据手工配置到服务器端有关配置请参见客户端的配置在服务器端配置客户端的公钥, 指定公钥名称为 Switch001 [H3C] rsa peer-public-key Switch001 RSA public key view: return to System View with "peer-public-key end". [H3C-rsa-public-key] public-key-code begin RSA key code view: return to last view with "public-key-code end". [H3C-rsa-key-code] 3047 [H3C-rsa-key-code] 0240 [H3C-rsa-key-code] C8969B5A F4 0BDB4E5E F608B [H3C-rsa-key-code] 349EBD6A B0C75CDF 8B84DBE7 D5E2C4F8 AED72834 [H3C-rsa-key-code] 74D3404A 0B14363D D709CC63 68C8CE00 57C0EE6B [H3C-rsa-key-code] 074C0CA9 [H3C-rsa-key-code] 0203 [H3C-rsa-key-code] [H3C-rsa-key-code] public-key-code end [H3C-rsa-public-key] peer-public-key end [H3C] 为用户 client001 指定公钥 Switch001 [H3C] ssh user client001 assign rsa-key Switch001 配置 SwitchA 在交换机上创建 VLAN 接口, 并为其分配 IP 地址, 作为连接 SSH 服务器端的 SSH 客户端地址 <H3C> system-view 3-16

90 SSH 第 3 章配置举例 [H3C] interface vlan-interface 1 [H3C-Vlan-interface1] ip address [H3C-Vlan-interface1] quit 生成 RSA 密钥对 [H3C] rsa local-key-pair create 显示 RSA 主机公钥数据 ( 这里只显示 RSA 主机公钥数据部分 ) <H3C> display rsa local-key-pair public ===================================================== Time of Key pair created: 05:15: /12/08 Key name: H3C_Host Key type: RSA encryption Key ===================================================== Key code: C8969B5A F4 0BDB4E5E F608B 349EBD6A B0C75CDF 8B84DBE7 D5E2C4F8 AED D3404A 0B14363D D709CC63 68C8CE00 57C0EE6B 074C0CA < 略 > 说明 : 客户端生成密钥对后, 需要将 RSA 主机公钥数据手工配置到服务器端, 并完成服务器端配置后才继续客户端的配置建立到服务器的 SSH 连接 [H3C] ssh Username: client001 Trying Press CTRL+K to abort Connected to The Server is not authenticated. Do you continue to access it?(y/n):y Do you want to save the server's public key?(y/n):n ******************************************************************* * Copyright (c) Hangzhou H3C Technologies Co., Ltd. * 3-17

91 SSH 第 3 章配置举例 * Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ******************************************************************* <H3C> S7500 交换机充当 SSH 客户端并采用不支持首次认证时的配置举例 1. 组网需求当用户通过交换机远程登录到另一台交换机时, 如果通过的网络不能保证安全, 为更大限度地保证数据信息交换的安全性, 使用 SSH 来实现此目的如图 3-17 所示 : 交换机 SwitchA 作为 SSH 客户端, 用来进行 SSH 登录的用户名为 client001 交换机 SwitchB 作为 SSH 服务器,IP 地址为采用 RSA 认证方式, 以提高安全性 2. 组网图图 3-17 SSH 客户端配置组网图 3. 配置步骤配置 SwitchB 在交换机上创建 VLAN 接口, 并为其分配 IP 地址, 作为客户端连接的 SSH 服务器地址 <H3C> system-view [H3C] interface vlan-interface 1 [H3C-Vlan-interface1] ip address [H3C-Vlan-interface1] quit 生成 RSA 密钥对 [H3C] rsa local-key-pair create 设置用户接口上的认证模式为 AAA 认证 [H3C] user-interface vty 0 4 [H3C-ui-vty0-4] authentication-mode scheme 设置用户接口上支持 SSH 协议 [H3C-ui-vty0-4] protocol inbound ssh 设置用户能访问的命令级别为

92 SSH 第 3 章配置举例 [H3C-ui-vty0-4] user privilege level 3 [H3C-ui-vty0-4] quit 创建用户 client001, 并指定认证方式为 RSA 认证 [H3C] ssh user client001 authentication-type rsa 说明 : 这里需要先在 SSH 客户端生成 RSA 密钥对, 并将 RSA 公钥数据手工配置到服务器端有关配置请参见客户端的配置在服务器端配置客户端的公钥, 指定公钥名称为 Switch001 [H3C] rsa peer-public-key Switch001 RSA public key view: return to System View with "peer-public-key end". [H3C-rsa-public-key] public-key-code begin RSA key code view: return to last view with "public-key-code end". [H3C-rsa-key-code] 3047 [H3C-rsa-key-code] 0240 [H3C-rsa-key-code] C8969B5A F4 0BDB4E5E F608B [H3C-rsa-key-code] 349EBD6A B0C75CDF 8B84DBE7 D5E2C4F8 AED72834 [H3C-rsa-key-code] 74D3404A 0B14363D D709CC63 68C8CE00 57C0EE6B [H3C-rsa-key-code] 074C0CA9 [H3C-rsa-key-code] 0203 [H3C-rsa-key-code] [H3C-rsa-key-code] public-key-code end [H3C-rsa-public-key] peer-public-key end [H3C] 为用户 client001 指定公钥 Switch001 [H3C] ssh user client001 assign rsa-key Switch001 说明 : 采用不支持首次认证时, 需要将服务器端的 RSA 主机公钥数据通过手工配置方式配置到客户端显示服务器端的 RSA 主机公钥数据 ( 这里只显示 RSA 主机公钥数据部分 ) [H3C] display rsa local-key-pair public ===================================================== Time of Key pair created: 09:04: /04/04 Key name: H3C_Host Key type: RSA encryption Key 3-19

93 SSH 第 3 章配置举例 ===================================================== Key code: C9330FFD 2E2A606F 3BFD5554 8DACDFB8 4D754E86 FC2D15E A 0F6A2A6A A94A207E 1E25F3F9 E0EA01A2 4E0F2FF7 B1D F02333 E443EE74 5C3615C3 E5B3DC91 D41900F0 2AE8B301 E55B ECF2C 28A6A454 C27449E0 46EB1EAF 8A918D33 BAF53AF3 63B1FB17 F01E BE2EEA A272CD78 C289B7DD 2BE0F7AD < 略 > 配置 SwitchA 在交换机上创建 VLAN 接口, 并为其分配 IP 地址, 作为连接 SSH 服务器端的 SSH 客户端地址 <H3C> system-view [H3C] interface vlan-interface 1 [H3C-Vlan-interface1] ip address [H3C-Vlan-interface1] quit 生成 RSA 密钥对 [H3C] rsa local-key-pair create 显示客户端的 RSA 主机公钥数据 ( 这里只显示 RSA 主机公钥数据部分 ) <H3C> display rsa local-key-pair public ===================================================== Time of Key pair created: 05:15: /12/08 Key name: H3C_Host Key type: RSA encryption Key ===================================================== Key code: C8969B5A F4 0BDB4E5E F608B 349EBD6A B0C75CDF 8B84DBE7 D5E2C4F8 AED D3404A 0B14363D D709CC63 68C8CE00 57C0EE6B 074C0CA

94 SSH 第 3 章配置举例 < 略 > 说明 : 客户端生成密钥对后, 需要将 RSA 主机公钥数据手工配置到服务器端, 并完成服务器端配置后再继续客户端的配置设置不支持首次认证 [H3C] undo ssh client first-time 说明 : 采用不支持首次认证时, 需要将 SSH 服务器端的 RSA 主机公钥数据手工配置到客户端在客户端配置服务器端的公钥, 指定公钥名称为 Switch002 [H3C] rsa peer-public-key Switch002 RSA public key view: return to System View with "peer-public-key end". [H3C-rsa-public-key] public-key-code begin RSA key code view: return to last view with "public-key-code end". [H3C-rsa-key-code] [H3C-rsa-key-code] [H3C-rsa-key-code] C9330FFD 2E2A606F 3BFD5554 8DACDFB8 4D754E86 [H3C-rsa-key-code] FC2D15E A 0F6A2A6A A94A207E 1E25F3F9 [H3C-rsa-key-code] E0EA01A2 4E0F2FF7 B1D F02333 E443EE74 [H3C-rsa-key-code] 5C3615C3 E5B3DC91 D41900F0 2AE8B301 E55B1420 [H3C-rsa-key-code] 024ECF2C 28A6A454 C27449E0 46EB1EAF 8A918D33 [H3C-rsa-key-code] BAF53AF3 63B1FB17 F01E BE2EEA A272CD78 [H3C-rsa-key-code] C289B7DD 2BE0F7AD [H3C-rsa-key-code] 0203 [H3C-rsa-key-code] [H3C-rsa-key-code] public-key-code end [H3C-rsa-public-key] peer-public-key end [H3C] 在客户端上指定要连接的服务器端的主机公钥名称 [H3C] ssh client assign rsa-key Switch002 建立到服务器的 SSH 连接 [H3C] ssh Username: client001 Trying Press CTRL+K to abort 3-21

95 SSH 第 3 章配置举例 Connected to ******************************************************************* * Copyright (c) Hangzhou H3C Technologies Co., Ltd. * * Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ******************************************************************* <H3C> 3-22

96 路由目录目录第 1 章路由协议简介路由协议简介静态路由和动态路由协议动态路由协议在交换机中的应用配置指南配置任务简介静态路由配置 RIP 配置 OSPF 配置 ISIS 配置 BGP 配置路由策略配置第 2 章典型配置举例典型配置举例静态路由典型配置 RIP 典型配置 OSPF 的 DR 典型配置 OSPF 虚连接配置配置 ISIS 基本功能配置 BGP 联盟属性配置 BGP 路由反射器配置 BGP 路径选择第 3 章综合配置举例组网需求需求分析网络规划及配置策略组网中使用的产品设备运行的路由协议及相关参数组网实现时使用的软件版本配置步骤配置指南基本配置 RIPv2/OSPF/BGP 基本配置 RIP+ 静态路由 + 路由策略配置 IGP 与 BGP 交互配置路由备份配置 BGP 的 MED 属性配置 i

97 路由目录 3.3 完整配置设备完整配置配置结果验证路由策略 + 静态路由配置验证 IGP 与 BGP 交互配置验证路由备份配置验证 BGP 的 MED 属性配置验证注意事项 ii

98 路由摘要路由典型配置举例关键词 : 静态路由 RIP OSPF ISIS BGP 摘要 : 本文主要介绍 H3C S7500 系列以太网交换机的 IPv4 路由功能在具体组网中的应用配置, 对所涉及到的各种路由协议, 分别给出了详细的配置步骤缩略语 :RIP(Route Information Protocol, 路由信息协议 ) OSPF(Open Shortest Path First, 开放式最短路径优先 ) ISIS(Intermediate System-to-Intermediate System intra-domain routing information exchange protocol, 中间系统到中间系统的域内路由信息交换协议 ) BGP(Border Gateway Protocol, 边界网关协议 ) iii

99 路由第 1 章路由协议简介第 1 章路由协议简介 1.1 路由协议简介静态路由和动态路由协议 1. 静态路由无开销, 配置简单, 需要人工维护, 适合简单稳定的拓扑结构的网络对于网络结构的变化需要人工干涉 2. RIP 配置相对比较简单, 对路由器的 CPU 及内存性能不是很敏感, 适合中小型网络收敛速度较慢, 无法彻底解决路由环路的问题由于路由更新原则是周期性的广播或组播模式, 消耗较多的网络资源 3. OSPF 配置比较复杂, 对路由器的 CPU 及内存性能要求较高, 适合大中型网络收敛速度快, 彻底根除路由环路的问题支持区域划分, 提供路由分级管理 4. ISIS 配置比较复杂, 对路由器的 CPU 及内存性能要求较高, 适合大中型网络收敛速度快, 彻底根除路由环路的问题支持两级的分层结构, 提供路由分级管理 5. BGP 配置比较复杂, 是运行在 AS 之间的路由协议具有非常灵活和强大的路由策略控制, 彻底根除路由环路问题具有高可靠性稳定性可扩展性动态路由协议在交换机中的应用 S7500 系列以太网交换机支持 RIP OSPF ISIS BGP 等动态路由协议 1-1

100 路由第 1 章路由协议简介 1.2 配置指南说明 : 该配置指南以 S7500 系列交换机为准各配置注意事项请参见具体产品操作手册和命令手册配置任务简介表 1-1 配置任务简介配置任务详细说明静态路由配置 RIP 配置 OSPF 配置 ISIS 配置 BGP 配置路由策略配置静态路由配置表 1-2 配置静态路由操作命令说明进入系统视图 system-view - 配置静态路由 ip route-static ip-address { mask mask-length } { interface-type interface-number next-hop } [ preference preference-value ] [ reject blackhole ] 必选缺省情况下, 系统可以获取到去往与路由器直连的子网路由 RIP 配置表 1-3 RIP 配置指导配置任务说明详细配置 RIP 基本配置必选配置 RIP 的基本功能配置接口的工作状态可选配置 RIP 的版本号可选

101 路由第 1 章路由协议简介配置任务说明详细配置配置接口的附加度量值可选配置 RIP 的路由聚合可选禁止 RIP 接收主机路由可选控制 RIP 的路由信息配置 RIP 接收或者发布的路由进行过滤可选配置 RIP 协议优先级可选配置 RIP 在不同接口之间流量等价分担可选配置 RIP 的引入外部路由信息可选配置 RIP 定时器可选配置水平分割可选调整和优化 RIP 网络配置 RIP-1 报文的零域检查可选配置 RIP-2 报文的认证方式可选配置 RIP 邻居可选 RIP 基本配置表 1-4 启动 RIP, 并在指定的网段使能 RIP 操作命令说明进入系统视图 system-view - 启动 RIP 并进入 RIP 视图 rip 必选在指定网段接口上使能 RIP network network-address 必选缺省情况下, 接口禁用 RIP 2. 配置接口的工作状态表 1-5 配置接口的工作状态操作命令说明进入系统视图 system-view - 进入接口视图允许接口接收 RIP 更新报文允许接口发送 RIP 更新报文允许接口收发 RIP 报文 interface interface-type interface-number rip input rip output rip work - 可选缺省情况下, 允许接口发送或接收 RIP 报文 1-3

102 路由第 1 章路由协议简介 3. 配置 RIP 的版本号表 1-6 配置 RIP 版本号操作命令说明进入系统视图 system-view - 进入接口视图指定接口运行的 RIP 版本 interface interface-type interface-number rip version { 1 2 [ broadcast multicast ] } - 必选缺省情况下, 接口接收 RIP-1 和 RIP-2 的报文, 只发送 RIP-1 报文当配置接口版本为 RIP-2 时, 同时可以指定报文的发送方式 4. 配置接口的附加度量值表 1-7 配置接口的附加度量值操作命令说明进入系统视图 system-view - 进入接口视图设置接口在接收路由时增加的度量值设置接口在发布路由时增加的度量值 interface interface-type interface-number rip metricin value rip metricout value - 可选缺省情况下,RIP 在接收报文时给路由增加的附加路由度量值为 0 可选缺省情况下,RIP 在发送报文时给路由增加的附加路由度量值为 1 5. 配置 RIP 的路由聚合表 1-8 配置 RIP 的路由聚合操作命令说明进入系统视图 system-view - 进入 RIP 视图 rip - 使能 RIP-2 自动路由聚合 summary 必选缺省情况下,RIP-2 启用自动路由聚合功能 1-4

103 路由第 1 章路由协议简介 6. 禁止 RIP 接收主机路由表 1-9 禁止 RIP 接收主机路由操作命令说明进入系统视图 system-view - 进入 RIP 视图 rip - 禁止接收主机路由 undo host-route 必选缺省情况下, 允许路由器接收主机路由 7. 对接收或发布的路由信息进行过滤表 1-10 配置对接收或者发布的路由信息进行过滤操作命令说明进入系统视图 system-view - 进入 RIP 视图 rip - 对接收的路由信息进行过滤对发布的路由信息进行过滤 filter-policy { acl-number ip-prefix ip-prefix-name [ gateway ip-prefix-name ] gateway ip-prefix-name } import [ interface interface-type interface-number ] filter-policy gateway ip-prefix-name import filter-policy { acl-number ip-prefix ip-prefix-name } export [ protocol [ process-id ] interface interface-type interface-number ] filter-policy route-policy route-policy-name export 必选缺省情况下,RIP 不对接收的路由信息进行过滤使用 gateway 参数的命令用来配置对接收的指定地址发布的路由信息进行过滤必选缺省情况下,RIP 不对发布的路由信息进行过滤 8. 配置 RIP 协议优先级表 1-11 配置 RIP 协议优先级操作命令说明进入系统视图 system-view - 进入 RIP 视图 rip - 设置 RIP 协议的优先级 preference value 必选缺省值为

104 路由第 1 章路由协议简介 9. 配置 RIP 在不同接口之间流量等价分担表 1-12 配置 RIP 在不同接口之间流量等价分担操作命令说明进入系统视图 system-view - 进入 RIP 视图 rip - 配置 RIP 在不同接口之间流量等价分担 traffic-share-across-interface 必选缺省情况下, traffic-share-across-interface 处于关闭状态 10. RIP 引入外部路由信息表 1-13 配置 RIP 引入外部路由信息操作命令说明进入系统视图 system-view - 进入 RIP 视图 rip - 设定路由引入的缺省度量值引入外部路由信息 default cost value import-route protocol [ process-id allow-ibgp ] [ cost value route-policy route-policy-name ]* 可选缺省值为 1 必选 process-id 参数仅在引入 ospf 路由时使用 11. 配置 RIP 定时器表 1-14 配置 RIP 定时器操作命令说明进入系统视图 system-view - 进入 RIP 视图 rip - 配置 RIP 定时器的值 timers { update update-timer timeout timeout-timer } * 必选缺省情况下,Update 定时器值 :30 秒,Timeout 定时器值 :180 秒 1-6

105 路由第 1 章路由协议简介 12. 配置水平分割表 1-15 配置水平分割操作命令说明进入系统视图 system-view - 进入接口视图启动水平分割 interface interface-type interface-number rip split-horizon - 必选缺省情况下, 接口发送 RIP 报文时使用水平分割 13. 配置 RIP-1 报文的零域检查表 1-16 配置 RIP-1 报文的零域检查操作命令说明进入系统视图 system-view - 进入 RIP 视图 rip - 对 RIP-1 报文的零域进行检查 checkzero 必选缺省情况下,RIP-1 进行零域检查 14. 配置 RIP-2 报文的认证方式表 1-17 配置 RIP-2 报文的认证方式操作命令说明进入系统视图 system-view - 进入接口视图配置 RIP-2 报文的认证方式 interface interface-type interface-number rip authentication-mode { simple password md5 { rfc2453 key-string rfc2082 key-string key-id } } - 必选如果配置 MD5 认证, 则必须配置 MD5 的类型 : rfc2453 类型支持符合 RFC2453 规定的报文格式 rfc2082 类型支持符合 RFC2082 规定的报文格式 1-7

106 路由第 1 章路由协议简介 15. 配置 RIP 邻居表 1-18 配置 RIP 邻居操作命令说明进入系统视图 system-view - 进入 RIP 视图 rip - 配置 RIP 邻居 peer ip-address 必选如果在不支持广播或组播报文的链路上运行 RIP, 则必须手工指定 RIP 的邻居通常情况下,RIP 使用广播或组播地址发送报文 OSPF 配置表 1-19 OSPF 配置指导配置任务说明详细配置配置 OSPF 基本功能必选配置 OSPF 的区域特性可选配置 OSPF 接口的网络类型可选配置 OSPF 的网络类型配置 NBMA 网络的邻居可选配置 OSPF 接口的 DR 优先级可选配置 OSPF 路由聚合可选配置 OSPF 对接收的路由进行过滤可选配置 OSPF 的路由信息控制配置 OSPF 的链路开销可选配置 OSPF 协议的优先级可选配置 OSPF 引入外部路由可选配置 OSPF 报文定时器可选配置接口传送 LSA 的延迟时间可选配置 SPF 计算间隔可选配置 OSPF 网络调整优化禁止接口发送 OSPF 报文可选配置 OSPF 验证可选配置 DD 报文中的 MTU 可选配置 OSPF 网管功能可选

107 路由第 1 章路由协议简介 1. 配置 OSPF 基本功能表 1-20 OSPF 基本配置操作命令说明进入系统视图 system-view - 关闭协议组播 MAC 地址下发功能配置路由器的 ID 启动 OSPF, 进入 OSPF 视图 undo protocol multicast-mac enable router id router-id ospf [ process-id [ router-id router-id ] ] 可选可选当在一台路由器上运行多个 OSPF 进程时, 建议使用 ospf 命令中的 router-id 为不同进程指定不同的 Router ID 必选进入 OSPF 视图进入 OSPF 区域视图 area area-id 必选配置区域所包含的网段 network address wildcard-mask 必选缺省情况下, 接口不属于任何区域 2. 配置 OSPF 的区域特性表 1-21 配置 OSPF 的区域特性操作命令说明进入系统视图 system-view - 进入 OSPF 视图 ospf [ process-id [ router-id router-id ] ] - 进入 OSPF 区域视图 area area-id - 配置当前区域为 Stub 区域 stub [ no-summary ] 可选缺省情况下, 没有区域被设置为 Stub 区域配置当前区域为 NSSA 区域配置发送到 Stub 区域或者 NSSA 区域缺省路由的开销 nssa [ default-route-advertise no-import-route no-summary ]* default-cost cost 可选缺省情况下, 没有区域被设置为 NSSA 区域可选仅在 ABR 上进行配置缺省情况下, 发送到 Stub 区域或者 NSSA 区域的缺省路由的开销为 1 1-9

108 路由第 1 章路由协议简介操作命令说明创建并配置虚连接 vlink-peer router-id [ hello seconds retransmit seconds trans-delay seconds dead seconds simple password md5 keyid key ]* 可选为使虚连接生效, 在虚连接的两端都需配置此命令, 并且两端配置的 hello dead 等参数必须一致 3. 配置 OSPF 接口的网络类型表 1-22 配置 OSPF 接口的网络类型操作命令说明进入系统视图 system-view - 进入接口视图配置 OSPF 接口的网络类型 interface interface-type interface-number ospf network-type { broadcast nbma p2mp p2p } - 必选缺省情况下, 接口的网络类型根据物理接口而定 4. 配置 NBMA 网络的邻居表 1-23 配置 NBMA 网络的邻居操作命令说明进入系统视图 system-view - 进入 OSPF 视图配置 NBMA 网络的邻居 ospf [ process-id [ router-id router-id ] ] peer ip-address [ dr-priority dr-priority ] - 必选缺省情况下,NBMA 接口的邻接点优先级的取值为 1 5. 配置 OSPF 接口的 DR 优先级表 1-24 配置 OSPF 接口的 DR 优先级操作命令说明进入系统视图 system-view - 进入接口视图设置 OSPF 接口的 DR 优先级 interface interface-type interface-number ospf dr-priority priority - 必选缺省情况下, 优先级为

109 路由第 1 章路由协议简介 6. 配置 OSPF 路由聚合表 1-25 配置 ABR 路由聚合操作命令说明进入系统视图 system-view - 进入 OSPF 视图 ospf [ process-id [ router-id router-id ] ] 必选进入区域视图 area area-id - 配置 OSPF 的 ABR 路由聚合 abr-summary ip-address mask [ advertise not-advertise ] 必选此命令只有在 ABR 上配置才会有效缺省情况下, 区域边界路由器不对路由聚合表 1-26 配置 ASBR 路由聚合操作命令说明进入系统视图 system-view - 进入 OSPF 视图配置 OSPF 的 ASBR 路由聚合 ospf [ process-id [ router-id router-id ] ] asbr-summary ip-address mask [ not-advertise tag value ] - 必选此命令只有在 ASBR 上配置才会有效缺省情况下, 不对引入的路由进行聚合 7. 配置 OSPF 对接收的路由进行过滤表 1-27 配置 OSPF 对接收的路由进行过滤操作命令说明进入系统视图 system-view - 进入 OSPF 视图配置对接收的路由进行过滤 ospf [ process-id [ router-id router-id ] ] filter-policy { acl-number ip-prefix ip-prefix-name gateway ip-prefix-name } import - 必选缺省情况下, 不对接收到的路由信息进行过滤 1-11

110 路由第 1 章路由协议简介 8. 配置 OSPF 的链路开销表 1-28 配置 OSPF 接口的开销值操作命令说明进入系统视图 system-view - 进入接口视图设置 OSPF 接口的开销值 interface interface-type interface-number ospf cost value - 必选缺省情况下, 接口按照当前的波特率自动计算开销对于交换机的 VLAN 接口, 该值固定为配置 OSPF 协议的优先级表 1-29 配置 OSPF 协议的优先级操作命令说明进入系统视图 system-view - 进入 OSPF 视图配置 OSPF 协议的优先级 ospf [ process-id [ router-id router-id ] ] preference [ ase ] value - 必选缺省情况下,OSPF 路由的优先级为 10,OSPF ASE 的优先级为配置 OSPF 引入外部路由表 1-30 配置 OSPF 引入外部路由操作命令说明进入系统视图 system-view - 进入 OSPF 视图配置 OSPF 引入其它协议的路由配置对发布的路由进行过滤配置 OSPF 引入缺省路由 ospf [ process-id [ router-id router-id ] ] import-route protocol [ process-id allow-ibgp ] [ cost value type value tag value route-policy route-policy-name ]* filter-policy { acl-number ip-prefix ip-prefix-name } export [ protocol ] default-route-advertise [ always cost value type type-value route-policy route-policy-name ]* - 必选缺省情况下, 不引入其他协议的路由信息可选缺省情况下, 不对发布的路由信息进行过滤可选缺省情况下, 不引入缺省路由 1-12

111 路由第 1 章路由协议简介操作命令说明配置 OSPF 在接收外部路由时缺省的花费值配置 OSPF 在每单位时间内引入外部路由数量的缺省限制配置 OSPF 引入外部路由的缺省时间间隔配置 OSPF 在接收外部路由时缺省的标记值配置 OSPF 在接收外部路由时缺省的类型 default cost value default limit routes default interval seconds default tag tag default type { 1 2 } 可选缺省情况下,OSPF 引入外部路由的缺省度量值为 1 可选缺省情况下, 引入路由数量的上限为 1000 缺省情况下, 缺省时间间隔为 1 秒可选缺省情况下, 设置缺省标记值为 1 可选缺省情况下, 引入的外部路由类型为 Type2 11. 配置 OSPF 报文定时器表 1-31 配置 OSPF 报文定时器操作命令说明进入系统视图 system-view - 进入接口视图配置接口发送 Hello 报文的时间间隔在 NBMA 接口上配置发送轮询报文的时间间隔设置相邻路由器间失效时间设置邻接路由器重传 LSA 的间隔 interface interface-type interface-number ospf timer hello seconds ospf timer poll seconds ospf timer dead seconds ospf timer retransmit interval - 可选缺省情况下,point-to-point broadcast 类型接口发送 Hello 报文的时间间隔的值为 10 秒 ; point-to-multipoint NBMA 类型接口发送 Hello 报文的时间间隔的值为 30 秒可选缺省情况下, 发送轮询报文的时间间隔为 40 秒可选缺省情况下,point-to-point broadcast 类型接口的 OSPF 邻居失效时间为 40 秒, point-to-multipoint NBMA 类型接口的 OSPF 邻居失效时间为 120 秒可选缺省情况下, 时间间隔为 5 秒 1-13

112 路由第 1 章路由协议简介 12. 配置接口传送 LSA 的延迟时间表 1-32 配置接口传送 LSA 的延迟时间操作命令说明进入系统视图 system-view - 进入接口视图配置接口传送 LSA 的延迟时间 interface interface-type interface-number ospf trans-delay seconds - 必选缺省情况下, 传输延迟时间为 1 秒 13. 配置 SPF 计算间隔表 1-33 配置 SPF 计算间隔操作命令说明进入系统视图 system-view - 进入 OSPF 视图 ospf [ process-id [ router-id router-id ] ] - 设置 SPF 计算间隔 spf-schedule-interval interval 必选缺省情况下,SPF 计算的时间间隔为 5 秒 14. 禁止接口发送 OSPF 报文表 1-34 禁止接口发送 OSPF 报文操作命令说明进入系统视图 system-view - 进入 OSPF 视图禁止接口发送 OSPF 报文 ospf [ process-id [ router-id router-id ] ] silent-interface silent-nterface-type silent-interface-number - 必选缺省情况下, 允许接口发送 OSPF 报文 15. 配置 OSPF 验证表 1-35 配置 OSPF 验证操作命令说明进入系统视图 system-view - 进入 OSPF 视图 ospf [ process-id [ router-id router-id ] ] 进入 OSPF 区域视图 area area-id 1-14

113 路由第 1 章路由协议简介操作命令说明配置 OSPF 区域的验证模式 authentication-mode { simple md5 } 必选缺省情况下, 没有配置区域验证模式退回到 OSPF 视图 quit - 退回到系统视图 quit - 进入接口视图配置 OSPF 接口的验证模式 interface interface-type interface-number ospf authentication-mode { simple password md5 key-id key } 必选缺省情况下, 接口不对 OSPF 报文进行验证 16. 配置 DD 报文中的 MTU 表 1-36 配置 DD 报文中的 MTU 操作命令说明进入系统视图 system-view - 进入接口视图使能接口发送 DD 报文时填 MTU 值 interface interface-type interface-number ospf mtu-enable - 必选缺省情况下, 接口发送 DD 报文时 MTU 值为 0, 即不填接口的实际 MTU 值 17. 配置 OSPF 网管功能表 1-37 配置 OSPF MIB 绑定操作命令说明进入系统视图 system-view - 配置 OSPF MIB 绑定使能 OSPF 的 TRAP 功能 ospf mib-binding process-id snmp-agent trap enable ospf [ process-id ] [ ifauthfail ifcfgerror ifrxbadpkt ifstatechange iftxretransmit lsdbapproachoverflow lsdboverflow maxagelsa nbrstatechange originatelsa vifauthfail vifcfgerror virifrxbadpkt virifstatechange viriftxretransmit virnbrstatechange ]* 可选如果不配此命令,MIB 操作绑定会默认绑定第 1 个 OSPF 进程当启动了多个 OSPF 进程时, 可以配置 OSPF MIB 绑定在哪个进程上可选可以配置 OSPF 发送多种 SNMP TRAP 报文, 并可以通过进程号指定某个 OSPF 进程发送 SNMP TRAP 报文 1-15

114 路由第 1 章路由协议简介 ISIS 配置表 1-38 IS-IS 配置任务简介配置任务说明详细配置使能 IS-IS 必选配置网络实体名称必选在指定接口上使能 IS-IS 必选配置选举 DIS 的优先级可选配置路由器的类型可选配置接口线路类型可选配置 IS-IS 引入外部路由可选配置 IS-IS 路由过滤可选配置 IS-IS 路由渗透可选配置 IS-IS 路由聚合可选配置生成缺省路由可选集成化 IS-IS 配置配置 IS-IS 协议的优先级可选配置 IS-IS 路由权值的类型可选配置 IS-IS 连路状态路由权可选配置 IS-IS 的定时器可选配置 IS-IS 的认证可选配置接口的 mesh group 可选配置过载标志位可选配置丢弃检验出校验和错误的 LSP 可选配置邻接状态输出开关可选配置 LSP 刷新周期可选配置 LSP 有效时间可选配置 SPF 相关参数可选配置禁止接口发送报文可选

115 路由第 1 章路由协议简介 1. 使能 IS-IS 表 1-39 使能 IS-IS 操作命令说明进入系统视图 system-view - 配置 ISIS isis [ tag ] 必选缺省情况下, 不使能 IS-IS 路由进程 2. 配置网络实体名称表 1-40 配置网络实体名称操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 使能网络实体 network-entity net 必选 3. 在指定接口上使能 IS-IS 表 1-41 在指定接口上使能 IS-IS 操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 使能 ISIS isis enable [ tag ] 必选 4. 配置选举 DIS 的优先级表 1-42 配置选举 DIS 的优先级操作命令说明进入系统视图 system-view - 进入接口视图配置用来选举 DIS 的优先级 interface interface-type interface-number isis dis-priority value [ level-1 level-2 ] - 必选缺省情况下, 接口上的优先级为

116 路由第 1 章路由协议简介 5. 配置路由器的类型表 1-43 配置路由器的类型操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置路由器的类型 is-level { level-1 level-1-2 level-2 } 必选缺省情况下, 路由器的类型为 level 配置接口线路类型表 1-44 配置接口线路类型操作命令说明进入系统视图 system-view - 进入接口视图配置接口的线路类型 interface interface-type interface-number isis circuit-level [ level-1 level-1-2 level-2 ] - 必选缺省情况下, 接口的线路类型为 level 配置 IS-IS 引入外部路由表 1-45 配置 IS-IS 引入外部路由操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 引入其它协议的路由 import-route protocol [ allow-ibgp ] [ cost value type { external internal } [ level-1 level-1-2 level-2 ] route-policy route-policy-name ]* 必选缺省情况下, IS-IS 不引入其它协议的路由信息 8. 配置 IS-IS 路由过滤表 1-46 配置 IS-IS 对接收的路由信息进行过滤操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ]

117 路由第 1 章路由协议简介操作命令说明配置对接收的路由信息进行过滤 filter-policy acl-number import 必选缺省情况下,IS-IS 不对接收的路由信息进行过滤表 1-47 对其它路由协议发布的路由进行过滤操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 对其它路由协议发布的路由进行过滤 filter-policy acl-number export [ protocol ] 必选缺省情况下,IS-IS 不接收其它路由协议发布的路由信息 9. 配置 IS-IS 路由渗透表 1-48 配置 IS-IS 路由渗透操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 使能 IS-IS 路由渗透 import-route isis level-2 into level-1 [ acl acl-number ] 必选缺省情况下,Level-2 路由器的路由信息不发布到 Level-1 区域中 10. 配置 IS-IS 路由聚合表 1-49 配置 IS-IS 路由聚合操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置聚合路由 summary ip-address ip-mask [ level-1 level-1-2 level-2 ] 必选缺省情况下, 系统不进行路由聚合 1-19

118 路由第 1 章路由协议简介 11. 配置生成缺省路由表 1-50 配置生成缺省路由操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置生成缺省路由 default-route-advertise [ route-policy route-policy-name ] 必选由该命令产生的缺省路由只被引入到同级别的路由器上 12. 配置 IS-IS 协议的优先级表 1-51 配置 IS-IS 协议的优先级操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置 IS-IS 协议的优先级 preference [ value clns ip ] 必选缺省情况下,IS-IS 路由的优先级为配置 IS-IS 路由权值的类型表 1-52 配置 IS-IS 报文中路由权值的表示方式操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置路由权值的表示方式 cost-style { narrow wide wide-compatible { compatible narrow-compatible } [ relax-spf-limit ] } 必选缺省情况下, IS-IS 只收发采用 Narrow 方式表示路由权值的报文 14. 配置 IS-IS 链路状态路由权表 1-53 配置 IS-IS 链路状态路由权操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number

119 路由第 1 章路由协议简介操作命令说明配置接口的路由权 isis cost value [ level-1 level-2 ] 必选缺省情况下,IS-IS 在接口上的路由权值为配置 IS-IS 协议的定时器表 1-54 配置 Hello 报文广播间隔操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置接口上 Hello 报文发送间隔, 时间单位为秒 isis timer hello seconds [ level-1 level-2 ] 必选缺省情况下, 接口上 Hello 报文的发送间隔时间为 10 秒表 1-55 配置 CSNP 报文广播间隔操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置接口上 CSNP 报文发送间隔, 时间单位为秒 isis timer csnp seconds [ level-1 level-2 ] 必选缺省情况下, 接口上 CSNP 报文发送的间隔时间为 10 秒表 1-56 配置 LSP 报文发送间隔操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置接口上 LSP 报文的发送间隔, 单位为毫秒 isis timer lsp time 必选缺省情况下, 接口上 LSP 报文的发送间隔为 33 毫秒 1-21

120 路由第 1 章路由协议简介表 1-57 配置接口的 LSP 重传间隔操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置 LSP 在点到点链路上的重传间隔 isis timer retransmit seconds 必选缺省情况下, 接口上 LSP 报文在点到点链路上的重传间隔时间为 5 秒表 1-58 配置接口的 Hello 报文失效数目操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置 Hello 报文失效数目 isis timer holding-multiplier value [ level-1 level-2 ] 必选缺省情况下, Hello 报文失效数目为配置 IS-IS 的认证表 1-59 配置接口的认证密码操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置认证密码 isis authentication-mode { simple md5 } password [ { level-1 level-2 } [ ip osi ] ] 必选缺省情况下, 接口上不配置认证密码, 不做认证表 1-60 配置 IS-IS 认证密码操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置区域认证密码 area-authentication-mode { simple md5 } password [ ip osi ] 可选 1-22

121 路由第 1 章路由协议简介操作命令说明配置路由域认证密码 domain-authentication-mode { simple md5 } password [ ip osi ] 可选缺省情况下, 系统不配置密码, 也不做认证表 1-61 配置 IS-IS 采用与其他厂商兼容的 MD5 算法操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置 IS-IS 采用与其他厂商兼容的 MD5 算法配置 IS-IS 采用缺省的 MD5 算法 md5-compatible undo md5-compatible 必选可选缺省情况下, 采用与华为兼容的 MD5 算法 17. 配置接口的 mesh group 表 1-62 配置接口的 mesh group 操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 配置接口加入 mesh group isis mesh-group { mesh-group-number mesh-blocked } 必选缺省情况下, 接口正常进行 LSP 的扩散 18. 配置过载标志位表 1-63 配置过载标志位操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置过载标志位 set-overload 必选缺省情况下, 不配置过载标志位 1-23

122 路由第 1 章路由协议简介 19. 配置丢弃检验出校验和错误的 LSP 表 1-64 配置丢弃检验出校验和错误的 LSP 操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 当 LSP 校验和检验错误时丢弃该 LSP ignore-lsp-checksu m-error 必选缺省情况下, 忽略 LSP 的校验和检验错误 20. 配置邻接状态输出开关表 1-65 配置邻接状态输出开关操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 打开邻接状态输出开关 log-peer-change 必选缺省情况下, 关闭邻接状态输出开关 21. 配置 LSP 刷新周期表 1-66 配置 LSP 刷新周期操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置 LSP 刷新周期 timer lsp-refresh seconds 必选缺省情况下,LSP 刷新周期为 900 秒, 即 15 分钟 22. 配置 LSP 有效时间表 1-67 配置 LSP 有效时间操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ]

123 路由第 1 章路由协议简介操作命令说明配置 LSP 有效时间 timer lsp-max-age seconds 必选缺省情况下,LSP 有效时间为 1200 秒, 即 20 分钟 23. 配置 SPF 相关参数表 1-68 配置 SPF 计算间隔操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置 SPF 计算间隔 timer spf seconds [ level-1 level-2 ] 必选缺省情况下,SPF 计算间隔为 10 秒钟表 1-69 配置 SPF 分段计算操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置 SPF 分段计算 spf-slice-size seconds 必选缺省情况下,SPF 的计算不分段表 1-70 配置 SPF 主动释放 CPU 操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ] - 配置 SPF 主动释放 CPU 的间隔 spf-delay-interval number 必选缺省情况下,IS-IS 的 SPF 每处理 5000 条路由主动释放一次 CPU 24. 禁止接口发送报文表 1-71 禁止接口发送报文操作命令说明进入系统视图 system-view - 进入 ISIS 视图 isis [ tag ]

124 路由第 1 章路由协议简介操作命令说明禁止接口发送 IS-IS 报文 silent-interface interface-type interface-number 必选缺省情况下, 允许接口收发 IS-IS 报文 BGP 配置表 1-72 BGP 配置指导配置任务说明详细配置配置 BGP 的基本功能必选配置 BGP 引入其他路由信息可选配置 BGP 路由聚合可选配置发送缺省路由可选控制路由信息的发布与接收配置 BGP 路由信息的接收策略可选配置 BGP 路由信息的发布策略可选配置 BGP 与 IGP 路由不同步可选配置 BGP 负载分担可选配置 BGP 路由衰减可选配置 BGP 的路由属性可选调整和优化 BGP 网络可选配置 BGP 对等体组必选配置 BGP 大型网络配置 BGP 团体必选配置 BGP 路由反射器可选配置 BGP 联盟可选 BGP 基本配置表 1-73 配置 BGP 的基本功能操作命令说明进入系统视图 system-view - 配置 Router ID router id router-id 可选启动 BGP, 进入 BGP 视图 bgp as-number 必选缺省情况下, 系统不运行 BGP 1-26

125 路由第 1 章路由协议简介操作命令说明指定对等体组的 AS 号配置对等体 / 对等体组的描述信息激活指定对等体指定路由更新报文的源接口配置允许同非直接相连网络上的邻居建立 EBGP 连接 peer group-name as-number as-number peer { group-name ip-address } description description-text peer { group-name ip-address } enable peer { group-name ip-address } connect-interface interface-type interface-number peer group-name ebgp-max-hop [ hop-count ] 必选缺省情况下, 对等体组无 AS 号可选缺省情况下, 对等体 / 对等体组无描述信息可选缺省情况下,BGP 对等体是激活的可选缺省情况下,BGP 使用最佳路由更新报文的源接口可选缺省情况下, 不允许同非直接相连网络上的邻居建立 EBGP 连接配置参数 hop-count, 可以同时配置 EBGP 连接的最大路由器跳数 2. 配置 BGP 引入其他路由信息表 1-74 配置 BGP 引入其他路由信息操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 允许将缺省路由引入到 BGP 路由表中引入其它协议路由信息并通告将网段路由通告到 BGP 路由表中 default-route imported import-route protocol [ process-id ] [ med med-value route-policy route-policy-name ]* network network-address [ mask ] [route-policy route-policy-name ] 可选缺省情况下,BGP 不允许将缺省路由引入到 BGP 路由表中必选缺省情况下,BGP 未引入且不通告其它协议的路由可选缺省情况下,BGP 不通告任何网段路由 1-27

126 路由第 1 章路由协议简介 3. 配置 BGP 路由聚合表 1-75 配置 BGP 路由聚合操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 配置 BGP 路由聚合配置路由自动聚合配置手动路由聚合 summary aggregate ip-address mask [ as-set attribute-policy route-policy-name detail-suppressed origin-policy route-policy-name suppress-policy route-policy-name ]* 必选缺省情况下, 不进行路由聚合 4. 配置发送缺省路由表 1-76 配置向对等体发送缺省路由操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 向对等体组发送缺省路由 peer group-name default-route-advertise 必选缺省情况下, 不向对等体组发送缺省路由 5. 配置对接收的路由信息的过滤策略表 1-77 配置对接收的路由信息的过滤策略操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 对接收的全局路由信息进行过滤对来自对等体 / 对等体组的路由指定路由策略 filter-policy { acl-number gateway ip-prefix-name ip-prefix ip-prefix-name [ gateway ip-prefix-name ] } import peer { group-name ip-address } route-policy policy-name import 必选缺省情况下, 不对接收的路由信息进行过滤必选缺省情况下, 不指定对等体 / 对等体组的路由策略 1-28

127 路由第 1 章路由协议简介操作命令说明为对等体 / 对等体组设置基于 ACL 的过滤策略 peer { group-name ip-address } filter-policy acl-number import 过滤从对等体 / 对等体组接收的路由信息为对等体 / 对等体组设置基于 AS 路径过滤列表的 BGP 路由过滤策略为对等体 / 对等体组设置基于 IP 前缀列表的路由过滤策略 peer { group-name ip-address } as-path-acl acl-number import peer { group-name ip-address } ip-prefix ip-prefix-name import 必选缺省情况下, 对等体 / 对等体组无基于 ACL 过滤策略, 无基于 AS 路径过滤列表的路由过滤策略, 无基于 IP 前缀列表的过滤策略 6. 配置对发布的路由信息的过滤策略表 1-78 配置对发布的路由信息的过滤策略操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 对发布的路由进行过滤对向对等体组发布的路由指定路由策略为对等体组设置基于 ACL 的路由过滤策略 filter-policy { acl-number ip-prefix ip-prefix-name } export [ protocol [ process-id ] ] peer group-name route-policy route-policy-name export peer group-name filter-policy acl-number export 必选缺省情况下, 不对发布的路由信息进行过滤必选缺省情况下, 不指定对等体组的路由策略过滤发布给对等体的路由信息为对等体组设置基于 AS 路径过滤列表的路由过滤策略为对等体组配置基于 IP 前缀列表的路由过滤策略 peer group-name as-path-acl acl-number export peer group-name ip-prefix ip-prefix-name export 必选缺省情况下, 对等体组无基于 ACL 路由过滤策略, 无基于 AS 路径过滤列表的路由过滤策略, 无基于 IP 前缀列表的路由过滤策略 1-29

128 路由第 1 章路由协议简介 7. 配置 BGP 与 IGP 路由不同步表 1-79 配置 BGP 与 IGP 路由不同步操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 取消 BGP 与 IGP 路由同步 undo synchronization 必选缺省情况下,BGP 和 IGP 路由不同步 8. 配置 BGP 负载分担表 1-80 配置 BGP 负载分担操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 配置 BGP 负载分担 balance num 必选缺省情况下,BGP 不进行负载分担 9. 配置 BGP 路由衰减表 1-81 配置 BGP 路由衰减操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 配置 BGP 路由衰减参数 dampening [ half-life-reachable half-life-unreachable reuse suppress ceiling ] [ route-policy route-policy-name ] 必选缺省情况下, 没有配置路由衰减, half-life-reachable 缺省值为 15 分钟,half-life-unreachable 缺省值为 15 分钟,reuse 缺省值为 750, suppress 缺省值为 2000, ceiling 缺省值为配置 BGP 的路由属性表 1-82 配置 BGP 的路由属性操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number

129 路由第 1 章路由协议简介操作命令说明配置外部内部本地路由的管理优先级配置本地优先级的缺省值 preference ebgp-value ibgp-value local-value default local-preference value 可选缺省情况下, 各优先级的值分别为可选缺省情况下, 本地优先级的缺省值为 100 配置 MED 属性配置本机的缺省 MED 值配置允许比较来自不同自治系统中的邻居的路由的 MED 值 default med med-value compare-different-as-med 可选缺省情况下,med-value 为 0 可选缺省情况下, 不允许比较来自不同 AS 邻居的路由路径的 MED 属性值配置发布路由时将自身地址作为下一跳配置允许本地 AS 编号重复出现的次数 peer group-name next-hop-local peer { group-name ip-address } allow-as-loop [ number ] 必选在某些组网环境中, 为保证 IBGP 邻居能够找到正确的下一跳, 可以配置在向 IBGP 对等体组发布路由时, 改变下一跳地址为自身地址可选缺省情况下, 允许的重复次数为 1 配置 AS_Path 属性为对等体组指定一个自治系统号配置发送 BGP 更新报文时 AS_Path 属性中仅携带公有 AS 编号 peer group-name as-number as-number peer group-name public-as-only 可选缺省情况下, 没有为对等体组配置本地自治系统号可选缺省情况下, 发送 BGP 更新报文时, 携带私有自治系统号 11. 调整和优化 BGP 网络表 1-83 调整和优化 BGP 网络操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number

130 路由第 1 章路由协议简介操作命令说明配置 BGP 定时器配置 BGP 的存活时间与保持时间间隔配置指定对等体 / 对等体组的存活和保持时间 timer keepalive keepalive-interval hold holdtime-interval peer { group-name ip-address } timer keepalive keepalive-interval hold holdtime-interval 可选缺省情况下, 存活时间为 60 秒, 保持时间为 180 秒使用 timer 命令配置的定时器比使用 peer timer 命令配置的定时器优先级要低配置对等体组的发送同一路由更新报文的时间间隔 peer group-name route-update-interval seconds 可选缺省情况下, 向 IBGP 对等体发送同一路由更新的时间间隔为 15 秒, 向 EBGP 对等体发送同一路由更新的时间间隔为 30 秒 return - 手工对 BGP 连接进行软复位配置 BGP 建立 TCP 连接时进行 MD5 认证 refresh bgp { all ip-address group group-name } [ multicast ] { import export } system-view bgp as-number peer { group-name ip-address } password { cipher simple } password 可选重新进入 BGP 视图可选缺省情况下,BGP 在建立 TCP 连接时不进行 MD5 认证 12. 配置 BGP 对等体组表 1-84 配置 BGP 对等体组操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 创建 IBGP 对等体组创建 IBGP 对等体组向对等体组中加入对等体 group group-name [ internal ] peer ip-address group group-name [ as-number as-number ] 可选如果不选择 internal 或 external 参数, 则创建的是 IBGP 对等体组可向组中加入多个对等体系统会自动在 BGP 视图下创建该对等体, 并配置其 AS 编号为本地 AS 编号 1-32

131 路由第 1 章路由协议简介操作命令说明创建 EBGP 对等体组创建 EBGP 对等体组配置对等体组的 AS 编号向对等体组中加入对等体 group group-name external peer group-name as-number as-number peer ip-address group group-name [ as-number as-number ] 可选可向组中加入多个对等体系统会自动在 BGP 视图下创建该对等体, 并配置其 AS 编号为对等体组的 AS 编号创建混合 EBGP 对等体组创建 EBGP 对等体组向对等体组中加入对等体 group group-name external peer ip-address group group-name [ as-number as-number ] 可选可向组中加入多个对等体结束与指定对等体 / 对等体组的会话 peer { group-name ip-address } shutdown 可选 13. 配置 BGP 团体表 1-85 配置 BGP 团体操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 配置向对等体发布团体属性对向对等体组发布的路由指定路由策略 peer group-name advertise-community peer group-name route-policy route-policy-name export 必选缺省情况下, 不将团体属性和扩展团体属性发布给任何对等体组必选缺省情况下, 不指定对等体组的路由策略 14. 配置 BGP 路由反射器表 1-86 配置 BGP 路由反射器操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - 配置将本机作为路由反射器, 并将对等体组作为路由反射器的客户 peer group-name reflect-client 必选缺省情况下, 没有配置路由反射器及其客户 1-33

132 路由第 1 章路由协议简介操作命令说明使能客户机之间的路由反射配置路由反射器的集群 ID reflect between-clients reflector cluster-id cluster-id 可选缺省情况下, 允许客户到客户的路由反射可选缺省情况下, 每个路由反射器是使用自己的路由 ID 作为集群 ID 15. 配置 BGP 联盟表 1-87 配置 BGP 联盟操作命令说明进入系统视图 system-view - 进入 BGP 视图 bgp as-number - BGP 联盟的基本配置配置联盟 ID 指定一个联盟体中包含了哪些子自治系统 confederation id as-number confederation peer-as as-number-list 必选缺省情况下, 未配置联盟的 ID, 未配置属于联盟的子自治系统配置联盟的兼容性 confederation { nonstandard standard1965 standard3065 } 可选缺省情况下, 配置的联盟与 RFC1965 一致路由策略配置表 1-88 路由策略配置指导配置任务说明详细配置配置 IPv4 地址前缀列表可选配置过滤列表配置 AS 路径列表可选配置团体属性列表可选创建路由策略必选配置路由策略配置 if-match 子句可选配置 apply 子句可选

133 路由第 1 章路由协议简介 1. 配置 IPv4 地址前缀列表表 1-89 配置 IPv4 地址前缀列表操作命令说明进入系统视图 system-view - 配置 IPv4 地址前缀列表 ip ip-prefix ip-prefix-name [ index index-number ] { permit deny } network len [ greater-equal greater-equal less-equal less-equal ] 必选缺省情况下, 不指定地址前缀列表 2. 配置 AS 路径列表表 1-90 配置 AS 路径列表操作命令说明进入系统视图 system-view - 配置 AS 路径列表 ip as-path-acl acl-number { permit deny } as-regular-expression 必选缺省情况下, 没有定义 AS 路径列表 3. 配置团体属性列表表 1-91 配置团体属性列表操作命令说明进入系统视图 system-view - 配置基本团体属性列表配置高级团体属性列表 ip community-list basic-comm-list-number { permit deny } [ aa:nn &<1-12> internet no-export-subconfed no-advertise no-export ]* ip community-list adv-comm-list-number { permit deny } comm-regular-expression 可选缺省情况下, 未配置 BGP 团体属性列表可选缺省情况下, 未配置 BGP 团体属性列表 4. 创建路由策略表 1-92 创建路由策略操作命令说明进入系统视图 system-view - 创建路由策略 route-policy route-policy-name { permit deny } node node-number 必选缺省情况下, 不创建路由策略 1-35

134 路由第 1 章路由协议简介 5. 配置 if-match 子句表 1-93 配置 If-match 子句操作命令说明进入系统视图 system-view - 进入路由策略视图匹配 BGP 路由信息的 AS 路径域匹配 BGP 路由信息的团体属性匹配路由策略的 IP 地址范围匹配路由信息的路由开销匹配路由信息的出接口匹配路由信息下一跳匹配 OSPF 路由信息的标记域 route-policy route-policy-name { permit deny } node node-number if-match as-path as-path-number if-match community { basic-community-number [ whole-match ] adv-community-number } if-match { acl acl-number ip-prefix ip-prefix-name } if-match cost value if-match interface interface-type interface-number if-match ip next-hop { acl acl-number ip-prefix ip-prefix-name } if-match tag value - 可选可选可选缺省情况下, 不匹配路由策略的 IP 地址范围可选缺省情况下, 不匹配路由信息的路由开销可选缺省情况下, 不匹配路由信息的出接口可选缺省情况下, 不匹配路由信息下一跳地址可选缺省情况下, 不匹配 OSPF 路由信息的标记域 6. 配置 apply 子句表 1-94 配置 apply 子句操作命令说明进入系统视图 system-view - 进入路由策略视图在 BGP 路由信息的 as-path 系列前加入指定的 AS 号在 BGP 路由信息中配置团体属性 route-policy route-policy-name { permit deny } node node-number apply as-path as-number-list apply community { none [ aa:nn ] &<1-13> [ no-export-subconfed no-export no-advertise ]* [ additive ] } - 可选可选 1-36

135 路由第 1 章路由协议简介操作命令说明配置路由信息的下一跳地址配置引入路由到 IS-IS 的级别配置 BGP 路由信息的本地优先级配置路由信息的开销值配置路由信息的路由权类型配置 BGP 路由信息的路由源配置路由信息的标记域 apply ip next-hop ip-address apply isis [ level-1 level-2 level-1-2 ] apply local-preference local-preference apply cost value apply cost-type [ internal external ] apply origin { igp egp as-number incomplete } apply tag value 可选可选可选可选缺省情况下, 不配置路由信息的路由开销可选可选可选缺省情况下, 不配置 OSPF 路由信息的标记域 1-37

136 路由第 2 章典型配置举例第 2 章典型配置举例说明 : 典型配置举例以 S7500 系列交换机为准 2.1 典型配置举例静态路由典型配置 1. 组网需求 (1) 需求分析某小型公司办公网络需要任意两个节点之间能够互通, 网络结构简单稳定, 用户希望最大限度利用现有设备用户现在拥有的设备不支持动态路由协议根据用户需求及用户网络环境, 选择静态路由实现用户网络之间互通 (2) 网络规划根据用户需求, 设计如图 2-1 所示网络拓扑图 Host A / / /24 Switch C / / / /24 Switch A /24 Switch B / /24 Host C Host B 图 2-1 静态路由配置举例组网图 2. 配置步骤交换机上的配置步骤 : 设置以太网交换机 Switch A 的静态路由 2-1

137 路由第 2 章典型配置举例 <SwitchA> system-view [SwitchA] ip route-static [SwitchA] ip route-static [SwitchA] ip route-static 设置以太网交换机 Switch B 的静态路由 <SwitchB> system-view [SwitchB] ip route-static [SwitchB] ip route-static [SwitchB] ip route-static 设置以太网交换机 Switch C 的静态路由 <SwitchC> system-view [SwitchC] ip route-static [SwitchC] ip route-static 主机上的配置步骤 : 在主机 A 上配缺省网关为 , 具体配置略在主机 B 上配缺省网关为 , 具体配置略在主机 C 上配缺省网关为 , 具体配置略至此图中所有主机或以太网交换机之间均能两两互通 RIP 典型配置 1. 组网需求 (1) 需求分析某小型公司办公网络需要任意两个节点之间能够互通, 网络规模比较小需要设备自动适应网络拓扑变化, 降低人工维护工作量根据用户需求及用户网络环境, 选择 RIP 路由协议实现用户网络之间互通 (2) 网络规划根据用户需求, 设计如图 2-2 所示网络拓扑图 2-2

138 路由第 2 章典型配置举例设备接口 IP 地址设备接口 IP 地址 Switch A Vlan-int /24 Switch B Vlan-int /24 Vlan-int /24 Vlan-int /24 Switch C Vlan-int /24 Vlan-int /16 图 2-2 RIP 典型配置组网图 2. 配置步骤说明 : 以下的配置, 只列出了与 RIP 相关的操作在进行下列配置之前, 请先确保以太网链路层能够正常工作, 且各 VLAN 接口 IP 地址已经配置完成 (1) 配置 Switch A 配置 RIP <SwitchA> system-view [SwitchA] rip [SwitchA-rip] network [SwitchA-rip] network (2) 配置 Switch B 配置 RIP <SwitchB> system-view [SwitchB] rip [SwitchB-rip] network [SwitchB-rip] network (3) 配置 Switch C 配置 RIP <SwitchC> system-view [SwitchC] rip [SwitchC-rip] network

139 路由第 2 章典型配置举例 [SwitchC-rip] network OSPF 的 DR 典型配置 1. 组网需求 (1) 需求分析某用户网络链路类型为广播型网络, 通过 OSPF 实现网络之间互通由于网络中设备性能有差异, 希望 DR/BDR 由性能较高的设备承担, 优化网络处理速度对于网络中性能较低的设备, 禁止其参加 DR/BDR 选举根据用户需求及其网络环境, 通过修改接口优先级实现用户需求 (2) 网络规划根据用户需求, 设计如图 2-3 所示网络拓扑图 Switch A DR Switch D Vlan-int1 Vlan-int1 Vlan-int1 Vlan-int1 BDR Switch B Switch C 设备接口 IP 地址 Router ID 接口优先级 Switch A Vlan-int / Switch B Vlan-int / Switch C Vlan-int / Switch D Vlan-int / 图 2-3 配置 OSPF 的 DR 选择组网图 2. 配置步骤配置 Switch A <SwitchA> system-view [SwitchA] interface Vlan-interface 1 [SwitchA-Vlan-interface1] ip address [SwitchA-Vlan-interface1] ospf dr-priority 100 [SwitchA-Vlan-interface1] quit [SwitchA] router id [SwitchA] ospf [SwitchA-ospf-1] area 0 [SwitchA-ospf-1-area ] network 配置 Switch B <SwitchB> system-view 2-4

140 路由第 2 章典型配置举例 [SwitchB] interface Vlan-interface 1 [SwitchB-Vlan-interface1] ip address [SwitchB-Vlan-interface1] ospf dr-priority 0 [SwitchB-Vlan-interface1] quit [SwitchB] router id [SwitchB] ospf [SwitchB-ospf-1] area 0 [SwitchB-ospf-1-area ] network 配置 Switch C <SwitchC> system-view [SwitchC] interface Vlan-interface 1 [SwitchC-Vlan-interface1] ip address [SwitchC-Vlan-interface1] ospf dr-priority 2 [SwitchC-Vlan-interface1] quit [SwitchC] router id [SwitchC] ospf [SwitchC-ospf-1] area 0 [SwitchC-ospf-1-area ] network 配置 Switch D <SwitchD> system-view [SwitchD] interface Vlan-interface 1 [SwitchD-Vlan-interface1] ip address [SwitchD-Vlan-interface1] quit [SwitchD] router id [SwitchD] ospf [SwitchD-ospf-1] area 0 [SwitchD-ospf-1-area ] network 在 Switch A 上运行 display ospf peer 来显示 OSPF 邻居, 注意 Switch A 有三个邻居每个邻居的状态都是 full, 这意味着 Switch A 与它的每个邻居都形成了邻接 (Switch A 和 Switch C 必须与网络中的所有交换机形成邻接, 才能分别充当网络的 DR 和 BDR) Switch A 是网络中的 DR, 而 Switch C 是 BDR 其它所有的邻居都是 DRother ( 这意味着它们既不是 DR, 也不是 BDR) 将 Switch B 的优先级改为 200 <SwitchB> system-view [SwitchB] interface Vlan-interface 1 [SwitchB-Vlan-interface1] ospf dr-priority 200 在 Switch A 上运行 display ospf peer 来显示 OSPF 邻居, 注意 Switch B 的优先级变为 200; 但它并不是 DR 2-5

141 路由第 2 章典型配置举例只有当现在的 DR 不在网络上了后,DR 才会改变关掉 Switch A, 在 Switch D 上运行 display ospf peer 命令可显示邻居, 注意本来是 BDR 的 Switch C 成为了 DR, 并且 Switch B 现在成为了 BDR 若网络中所有的交换机被移走后又重新加入,Switch B 就被选为 DR( 优先级为 200),Switch A 成为了 BDR( 优先级为 100) 关掉所有的交换机再重新启动, 这个操作会带来一个新的 DR/BDR 选择 OSPF 虚连接配置 1. 组网需求 (1) 需求分析用户网络运行 OSPF 实现网络互通网络分为三个区域, 一个骨干区域, 两个普通区域 (Area 1 Area 2) 其中某普通区域(Area 2) 无法与骨干区域直接相连, 只能通过另外一个普通区域 (Area 1) 接入用户希望无法与骨干区域直接连接的普通区域 (Area 2) 能够与另外两个区域互通根据用户需求及用户网络环境, 选择虚连接来实现普通区域 (Area 2) 与骨干区域之间的连接 (2) 网络规划根据用户需求, 设计如图 2-4 所示网络拓扑图设备接口 IP 地址 Router ID Switch A Vlan-int / Vlan-int /24 - Switch B Vlan-int / Vlan-int /24 - 图 2-4 配置 OSPF 虚链路组网图 2. 配置步骤 (1) 配置 OSPF 基本功能配置 Switch A <SwitchA> system-view [SwitchA] interface vlan-interface 1 [SwitchA-Vlan-interface1] ip address

142 路由第 2 章典型配置举例 [SwitchA-Vlan-interface1] quit [SwitchA] interface vlan-interface 2 [SwitchA-Vlan-interface2] ip address [SwitchA-Vlan-interface2] quit [SwitchA] router id [SwitchA] ospf [SwitchA-ospf-1] area 0 [SwitchA-ospf-1-area ] network [SwitchA-ospf-1-area ] quit [SwitchA-ospf-1] area 1 [SwitchA-ospf-1-area ] network [SwitchA-ospf-1-area ] quit [SwitchA-ospf-1] quit 配置 Switch B <SwitchB> system-view [SwitchB] interface Vlan-interface 1 [SwitchB-Vlan-interface1] ip address [SwitchB-Vlan-interface1] quit [SwitchB] interface Vlan-interface 2 [SwitchB-Vlan-interface2] ip address [SwitchB-Vlan-interface2] quit [SwitchB] router id [SwitchB] ospf [SwitchB-ospf-1] area 1 [SwitchB-ospf-1-area ] network [SwitchB-ospf-1-area ] quit [SwitchB-ospf-1] area 2 [SwitchB-ospf-1-area ] network [SwitchB-ospf-1-area ] quit 显示 Switch A 的 OSPF 路由表 [SwitchA] display ospf routing OSPF Process 1 with Router ID Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area /24 10 Stub /24 10 Net Total Nets: 2 2-7

143 路由第 2 章典型配置举例 Intra Area: 2 Inter Area: 0 ASE: 0 NSSA: 0 说明 : 由于 Area2 没有与 Area0 直接相连, 所以 Switch A 的路由表中没有 Area2 中的路由 (2) 配置虚连接配置 Switch A [SwitchA] ospf [SwitchA-ospf-1] area 1 [SwitchA-ospf-1-area ] vlink-peer [SwitchA-ospf-1-area ] quit [SwitchA-ospf-1] quit 配置 Switch B [SwitchB-ospf-1] area 1 [SwitchB-ospf-1-area ] vlink-peer [SwitchB-ospf-1-area ] quit 显示 Switch A 的 OSPF 路由表 [SwitchA]display ospf routing OSPF Process 1 with Router ID Routing Tables Routing for Network Destination Cost Type NextHop AdvRouter Area /24 10 Stub /24 10 Net /24 20 SNet Total Nets: 3 Intra Area: 2 Inter Area: 1 ASE: 0 NSSA: 0 可以看到,Switch A 已经学到了 Area2 的路由 / 配置 ISIS 基本功能 1. 组网需求 (1) 需求分析某小型公司办公网络需要任意两个节点之间能够互通, 网络规模适中需要设备自动适应网络拓扑变化, 路由信息能够快速收敛 2-8

144 路由第 2 章典型配置举例根据用户需求及用户网络环境, 选择 ISIS 路由协议实现用户网络之间互通 (2) 网络规划根据用户需求, 设计如图 2-5 所示网络拓扑图 Switch A Vlan-int /24 Vlan-int /24 Switch B Vlan-int /24 Vlan-int /24 Vlan-int /24 Vlan-int /24 Vlan-int /24 Vlan-int /24 Switch D Vlan-int /24 Vlan-int /24 Switch C 图 2-5 配置 ISIS 基本功能组网图 2. 配置步骤 SwitchA 的配置 <SwitchA> system-view [SwitchA] isis [SwitchA-isis] network-entity [SwitchA] interface vlan-interface 100 [SwitchA-Vlan-interface100] ip address [SwitchA-Vlan-interface100] isis enable [SwitchA] interface vlan-interface 101 [SwitchA-Vlan-interface101] ip address [SwitchA-Vlan-interface101] isis enable [SwitchA] interface vlan-interface 102 [SwitchA-Vlan-interface102] ip address [SwitchA-Vlan-interface102] isis enable SwitchB 的配置 [SwitchB] isis [SwitchB-isis] network-entity [SwitchB] interface vlan-interface 101 [SwitchB-Vlan-interface101] ip address [SwitchB-Vlan-interface101] isis enable [SwitchB] interface vlan-interface 102 [SwitchB-Vlan-interface102] ip address

145 路由第 2 章典型配置举例 [SwitchB-Vlan-interface102] isis enable [SwitchB] interface vlan-interface 100 [SwitchB-Vlan-interface100] ip address [SwitchB-Vlan-interface100] isis enable SwitchC 的配置 [SwitchC] isis [SwitchC-isis] network-entity [SwitchC] interface vlan-interface 101 [SwitchC-Vlan-interface101] ip address [SwitchC-Vlan-interface101] isis enable [SwitchC] interface vlan-interface 100 [SwitchC-Vlan-interface100] ip address [SwitchC-Vlan-interface100] isis enable SwitchD 的配置 [SwitchD] isis [SwitchD-isis] network-entity [SwitchD] interface vlan-interface 102 [SwitchD-Vlan-interface102] ip address [SwitchD-Vlan-interface102] isis enable [SwitchD] interface vlan-interface 100 [SwitchD-Vlan-interface100] ip address [SwitchD-Vlan-interface100] isis enable 配置 BGP 联盟属性 1. 组网需求 (1) 需求分析某用户拥有一个大型 AS,AS 中运行 BGP 协议随着 AS 规模的增长,IBGP 对等体数量激增, 用于 BGP 通信的网络资源亦随之增加用户希望不影响设备工作性能条件下, 削减 IBGP 对等体数量, 降低 BGP 对设备 CPU 和网络资源的消耗根据用户需求, 选择应用 BGP 自治系统联盟属性实现用户需求 (2) 网络规划根据用户需求, 设计如图 2-6 所示网络拓扑图 2-10

146 路由第 2 章典型配置举例设备接口 IP 地址 AS Switch A Vlan-int / Vlan-int /24 Switch B Vlan-int /24 Switch C Vlan-int /24 Vlan-int /24 Vlan-int /24 Switch D Vlan-int /24 Switch E Vlan-int / Vlan-int /24 图 2-6 配置自治系统联盟的组网图 (3) 配置策略将 AS 100 划分为三个子自治系统, 分别为 AS 1001,AS 1002,AS 1003; AS 1001,AS 1002,AS 1003 之间运行 EBGP; AS 1001,AS 1002,AS 1003 内部建立全连接, 运行 IBGP; AS 100,AS 200 之间运行 EBGP 2. 配置步骤配置 Switch A <SwitchA> system-view [SwitchA] bgp 1001 [SwitchA-bgp] network [SwitchA-bgp] confederation id 100 [SwitchA-bgp] confederation peer-as [SwitchA-bgp] group confed1002 external [SwitchA-bgp] peer group confed1002 as-number 1002 [SwitchA-bgp] group confed1003 external [SwitchA-bgp] peer group confed1003 as-number 1003 [SwitchA-bgp] quit 配置 Switch B <SwitchB> system-view 2-11

147 路由第 2 章典型配置举例 [SwitchB] bgp 1002 [SwitchB-bgp] confederation id 100 [SwitchB-bgp] confederation peer-as [SwitchB-bgp] group confed1001 external [SwitchB-bgp] peer group confed1001 as-number 1001 [SwitchB-bgp] group confed1003 external [SwitchB-bgp] peer group confed1003 as-number 1003 配置 Switch C <SwitchC> system-view [SwitchC] bgp 1003 [SwitchC-bgp] confederation id 100 [SwitchC-bgp] confederation peer-as [SwitchC-bgp] group confed1001 external [SwitchC-bgp] peer group confed1001 as-number 1001 [SwitchC-bgp] group confed1002 external [SwitchC-bgp] peer group confed1002 as-number 1002 [SwitchC-bgp] group ebgp200 external [SwitchC-bgp] peer group ebgp200 as-number 200 [SwitchC-bgp] group ibgp1003 internal [SwitchC-bgp] peer group ibgp1003 配置 Switch D <SwitchD> system-view [SwitchD] bgp 1003 [SwitchD-bgp] confederation id 100 [SwitchD-bgp] group ibgp1003 internal [SwitchD-bgp] peer group ibgp1003 配置 Switch E <SwitchE> system-view [SwitchE] bgp 200 [SwitchE-bgp] network [SwitchE-bgp] group ebgp100 external [SwitchE-bgp] peer group ebgp100 as-number 100 [SwitchE-bgp] quit 显示 Switch E 的 BGP 路由表 [SwitchE] display bgp routing Flags: - valid ^ - active I - internal D - damped H - history S - aggregate suppressed Dest/Mask Next-Hop Med Local-pref Origin Path 2-12

148 路由第 2 章典型配置举例 ^ / IGP ^ / IGP 100 Routes total: 2 显示 Switch A 的 BGP 路由表 [SwitchA] display bgp routing Flags: - valid ^ - active I - internal D - damped H - history S - aggregate suppressed Dest/Mask Next-Hop Med Local-pref Origin Path I / IGP (1003) 200 ^ / IGP Routes total: 2 根据显示信息可以看出, 子自治系统信息仅在联盟内部通告处于联盟外部的自治系统的设备 ( 例如 Switch E) 将联盟作为一个自治系统, 不能学习联盟内部的子自治系统信息配置 BGP 路由反射器 1. 组网需求 (1) 需求分析某用户拥有一个大型 AS,AS 中运行 BGP 协议随着 AS 规模的增长,IBGP 对等体数量激增, 用于 BGP 通信的网络资源亦随之增加用户希望不影响设备工作性能条件下, 削减 IBGP 对等体数量, 降低 BGP 对设备 CPU 和网络资源的消耗另外, 该 AS 中,IBGP 对等体之间连接采用部分互联根据用户需求和用户网络环境, 选择 BGP 路由反射器方案满足用户需求 (2) 网络规划根据用户需求, 设计如图 2-7 所示网络拓扑图 2-13

149 路由第 2 章典型配置举例设备接口 IP 地址 AS Switch A Vlan-int /8 100 Vlan-int /24 Switch B Vlan-int / Vlan-int /24 Switch C Vlan-int /24 Vlan-int /24 Switch D Vlan-int /24 图 2-7 配置 BGP 路由反射器的组网图 (3) 配置策略 AS 100 与 AS 200 对等体之间运行 EBGP, 通告 /8 网段 ; AS 200 中对等体之间运行 IBGP,AS 网络拓扑采用星型拓扑结构 ; 中央设备作为路由反射器, 其他设备作为客户机 2. 配置步骤 (1) 配置 Switch A <SwitchA> system-view [SwitchA] interface Vlan-interface 2 [SwitchA-Vlan-interface2] ip address [SwitchA-Vlan-interface2] interface Vlan-interface 100 [SwitchA-Vlan-interface100] ip address [SwitchA-Vlan-interface100] quit [SwitchA] bgp 100 [SwitchA-bgp] group ex external [SwitchA-bgp] peer group ex as-number 200 [SwitchA-bgp] network (2) 配置 Switch B 配置 VLAN 接口的 IP 地址 <SwitchB> system-view [SwitchB] interface Vlan-interface 2 [SwitchB-Vlan-interface2] ip address [SwitchB-Vlan-interface2] quit [SwitchB] interface Vlan-interface

150 路由第 2 章典型配置举例 [SwitchB-Vlan-interface3] ip address [SwitchB-Vlan-interface3] quit 配置 BGP 对等体 [SwitchB] bgp 200 [SwitchB-bgp] group ex external [SwitchB-bgp] peer group ex as-number 100 [SwitchB-bgp] group in internal [SwitchB-bgp] peer group in (3) 配置 Switch C 配置 VLAN 接口的 IP 地址 <SwitchC> system-view [SwitchC] interface Vlan-interface 3 [SwitchC-Vlan-interface3] ip address [SwitchC-Vlan-interface3] quit [SwitchC] interface vlan-interface 4 [SwitchC-Vlan-interface4] ip address [SwitchC-Vlan-interface4] quit 配置 BGP 对等体及路由反射器 [SwitchC] bgp 200 [SwitchC-bgp] group rr internal [SwitchC-bgp] peer rr reflect-client [SwitchC-bgp] peer group rr [SwitchC-bgp] peer group rr (4) 配置 Switch D 配置 VLAN 接口的 IP 地址 <SwitchD> system-view [SwitchD] interface Vlan-interface 4 [SwitchD-Vlan-interface4] ip address [SwitchD-Vlan-interface4] quit 配置 BGP 对等体 [SwitchD] bgp 200 [SwitchD-bgp] group in internal [SwitchD-bgp] peer group in 在 Switch B 上用 display bgp routing 命令查看 BGP 路由表注意 :Switch B 已知道了网络的存在在 Switch D 上用 display bgp routing 命令查看 BGP 路由表注意 :Switch D 也知道网络的存在 2-15

151 路由第 2 章典型配置举例配置 BGP 路径选择 1. 组网需求 (1) 需求分析某用户网络由两个 AS 组成, 两个 AS 通过 BGP 实现网络互通, 其中一个 AS 运行 OSPF 用户需求 : 控制从 AS 200 到 AS 100 的数据转发路径根据用户需求, 可在如下方案中任选其一 : 选择 BGP 的 MED 属性控制数据从 AS 200 到 AS 100 时的转发路径 ; 选择 BGP 的 LOCAL_PREF 属性控制数据从 AS 200 到 AS 100 时的转发路径 (2) 网络规划根据用户需求, 设计如图 2-8 所示网络拓扑图设备接口 IP 地址 AS Switch A Vlan-int /8 100 Vlan-int /24 Vlan-int /24 Switch B Vlan-int / Vlan-int /24 Switch C Vlan-int /24 Vlan-int /24 Switch D Vlan-int /24 Vlan-int /24 图 2-8 配置 BGP 路径选择的组网图 (3) 配置策略 AS 100 与 AS 200 对等体之间运行 EBGP, 通告 /8 网段 ; AS 200 运行 OSPF 实现网络互通 ; Switch D 与 Switch B,Switch D 与 Switch C 对等体之间运行 IBGP; 在 Switch A 上应用路由策略, 修改发布的路由信息 MED 属性, 控制 Switch D 发出的数据进入 AS 100 时转发路径为 :Switch D-Switch C-Switch A 2-16

152 路由第 2 章典型配置举例在 Switch C 上应用路由策略, 修改发布路由信息的 LOCAL_PREF 属性, 控制 Switch D 发出的数据进入 AS 100 时转发路径为 :Switch D-Switch C- Switch A 2. 配置步骤 (1) 配置 Switch A 配置 VLAN 接口的 IP 地址 <SwitchA> system-view [SwitchA] interface Vlan-interface 2 [SwitchA-Vlan-interface2] ip address [SwitchA-Vlan-interface2] quit [SwitchA] interface Vlan-interface 3 [SwitchA-Vlan-interface3] ip address [SwitchA-Vlan-interface3] quit [SwitchA] interface Vlan-interface 101 [SwitchA-Vlan-interface101] ip address [SwitchA-Vlan-interface101] quit 启动 BGP [SwitchA] bgp 100 通告 /8 网段路由信息 [SwitchA-bgp] network 配置对等体 [SwitchA-bgp] group ex192 external [SwitchA-bgp] peer group ex192 as-number 200 [SwitchA-bgp] group ex193 external [SwitchA-bgp] peer group ex193 as-number 200 [SwitchA-bgp] quit 创建 ACL 2000, 允许目的地址为 /8 的路由信息通过 [SwitchA] acl number 2000 [SwitchA-acl-basic-2000] rule permit source [SwitchA-acl-basic-2000] rule deny source any [SwitchA-acl-basic-2000] quit 创建路由策略 apply_med_50, 匹配模式为允许, 如果路由信息通过 ACL 2000 的过滤, 则设置其 MED 值为 50 [SwitchA] route-policy apply_med_50 permit node 10 [SwitchA-route-policy] if-match acl 2000 [SwitchA-route-policy] apply cost 50 [SwitchA-route-policy] quit 2-17

153 路由第 2 章典型配置举例创建路由策略 apply_med_100, 匹配模式为允许, 如果路由信息通过 ACL 2000 的过滤, 则设置其 MED 值为 100 [SwitchA] route-policy apply_med_100 permit node 10 [SwitchA-route-policy] if-match acl 2000 [SwitchA-route-policy] apply cost 100 [SwitchA-route-policy] quit 对发布给对等体组 ex193 ( 对等体 ) 的路由信息应用路由策略 apply_med_50; 对发布给对等体组 ex192( 对等体 ) 的路由信息应用路由策略 apply_med_100 [SwitchA] bgp 100 [SwitchA-bgp] peer ex193 route-policy apply_med_50 export [SwitchA-bgp] peer ex192 route-policy apply_med_100 export (2) 配置 Switch B 配置 VLAN 接口 IP 地址 <SwitchB> system-view [SwitchB] interface vlan 2 [SwitchB-Vlan-interface2] ip address [SwitchB-Vlan-interface2] quit [SwitchB] interface Vlan-interface 4 [SwitchB-Vlan-interface4] ip address [SwitchB-Vlan-interface4] quit 配置 OSPF [SwitchB] ospf [SwitchB-ospf-1] area 0 [SwitchB-ospf-1-area ] network [SwitchB-ospf-1-area ] network [SwitchB-ospf-1-area ] quit [SwitchB-ospf-1] quit 启动 BGP, 创建对等体组, 并向对等体组添加对等体 [SwitchB] bgp 200 [SwitchB-bgp] undo synchronization [SwitchB-bgp] group ex external [SwitchB-bgp] peer group ex as-number 100 [SwitchB-bgp] group in internal [SwitchB-bgp] peer group in [SwitchB-bgp] peer group in (3) 配置 Switch C 配置 VLAN 接口 IP 地址 2-18

154 路由第 2 章典型配置举例 <SwitchC> system-view [SwitchC] interface Vlan-interface 3 [SwitchC-Vlan-interface3] ip address [SwitchC-Vlan-interface3] quit [SwitchC] interface Vlan-interface 5 [SwitchC-Vlan-interface5] ip address [SwitchC-Vlan-interface5] quit 启动 OSPF [SwitchC] ospf [SwitchC-ospf-1] area 0 [SwitchC-ospf-1-area ] network [SwitchC-ospf-1-area ] network [SwitchC-ospf-1-area ] quit [SwitchC-ospf-1] quit 启动 BGP, 创建对等体组, 并向对等体组添加对等体 [SwitchC] bgp 200 [SwitchC-bgp] undo synchronization [SwitchC-bgp] group ex external [SwitchC-bgp] peer group ex as-number 100 [SwitchC-bgp] group in internal [SwitchC-bgp] peer group in [SwitchC-bgp] peer group in (4) 配置 Switch D 配置 VLAN 接口 IP 地址 <SwitchD> system-view [SwitchD] interface Vlan-interface 4 [SwitchD-Vlan-interface4] ip address [SwitchD-Vlan-interface4] quit [SwitchD] interface Vlan-interface 5 [SwitchD-Vlan-interface5] ip address [SwitchD-Vlan-interface5] quit 启动 OSPF [SwitchD] ospf [SwitchD-ospf-1] area 0 [SwitchD-ospf-1-area ] network [SwitchD-ospf-1-area ] network [SwitchD-ospf-1-area ] network [SwitchD-ospf-1-area ] quit [SwitchD-ospf-1] quit 2-19

155 路由第 2 章典型配置举例启动 BGP, 创建对等体组, 并向对等体组添加对等体 [SwitchD] bgp 200 [SwitchD-bgp] undo synchronization [SwitchD-bgp] group in internal [SwitchD-bgp] peer group in [SwitchD-bgp] peer group in 为使配置生效, 所有的 BGP 邻居需要运行 reset bgp all 命令通过上述配置后, 由于 Switch C 学到的路由的 MED 属性比 Switch B 学到的更小,Switch D 优选来自 Switch C 的路由如果在配置 Switch A 时, 不配置 Switch A 的 MED 属性, 而在 Switch C 上配置本地优先级如下 : 创建 ACL 2000, 允许目的地址为 /8 的路由信息通过 [SwitchC] acl number 2000 [SwitchC-acl-basic-2000] rule permit source [SwitchC-acl-basic-2000] rule deny source any [SwitchC-acl-basic-2000] quit 创建路由策略 localpref, 节点序号为 10, 匹配模式为允许, 如果路由信息通过 ACL 2000 的过滤, 则设置其本地优先级为 200 [SwitchC] route-policy localpref permit node 10 [SwitchC-route-policy] if-match acl 2000 [SwitchC-route-policy] apply local-preference 200 [SwitchC-route-policy] quit 创建路由策略 localpref, 节点序号为 20, 匹配模式为允许, 设置路由信息本地优先级值为 100 [SwitchC] route-policy localpref permit node 20 [SwitchC-route-policy] apply local-preference 100 [SwitchC-route-policy] quit 对从对等体 (Switch A) 接收的路由信息应用路由策略 localpref [SwitchC] bgp 200 [SwitchC-bgp] peer route-policy localpref import 此时, 由于 Switch C 学到的路由的 LOCAL_PREF 属性值为 200, 比 Switch B 学到的路由的 LOCAL_PREF 属性值 (Switch B 没有配置 LOCAL_PREF 属性, 默认为 100) 更大,Switch D 依然优选来自 Switch C 的路由

156 路由第 3 章综合配置举例第 3 章综合配置举例说明 : 路由协议介绍请参见各产品操作手册 ; 配置中使用的命令请参见各产品命令手册 ; 本配置举例主要以 S3600 S5600 S7500 系列交换机为例, 其他产品请参照使用 3.1 组网需求需求分析网络规划及配置策略 1. 需求分析某大型 ISP 运营商, 拥有 4 个自治系统, 分别是 AS 100 AS 200 AS 300 AS 400 AS 100 为核心层, 连接 AS 200 AS 300 AS 400, 转发他们之间的数据 AS 200 AS 300 AS 400 为分布层, 对接入用户提供接入服务具体需求如下 : AS 200 AS 400 两个自治系统的网络拓扑比较复杂, 网络规模较大, 需要网络快速收敛 AS 300 自治系统网络拓扑简单, 网络规模较小, 网络中的设备仅支持 RIP 路由协议, 而且设备的性能较低, 路由表容量有限 AS 200 的接入用户需要高可靠性的网络 AS 200 AS 300 AS 400 中接入用户需要相互访问 AS 200 中 S200_10 下挂设备为二层设备 AS 300 中 S300_B 下挂设备为二层设备 AS 400 接入用户访问 AS 200 AS 300 时需要控制数据的转发路径 AS 300 接入用户只有单出口与 ISP 互连 2. 网络规划根据需求, 设计如图 3-1 所示网络拓扑图 3-1

157 路由第 3 章综合配置举例图 3-1 配置组网图 3. 配置策略 AS 100 选择 BGP, 提供 AS 200 AS 300 AS 400 之间的互连选择 BGP 的 MED 属性控制数据的转发路径 AS 200 选择 OSPF,AS 200 与 AS 100 互连设备同时运行 OSPF 和 BGP 选择静态路由作为备份路由, 实现链路冗余, 提高网络可靠性引入 BGP 路由时应用路由策略, 控制引入的路由信息 AS 400 选择 OSPF,AS 400 与 AS 100 互连设备同时运行 OSPF 和 BGP 引入 BGP 路由时应用路由策略, 控制引入的路由信息 AS 300 选择 RIPv2,AS 300 与 AS 100 互连设备同时运行 RIPv2 和 BGP 引入 BGP 路由时应用路由策略, 控制引入的路由信息 AS 300 用户使用静态路由 RIP 路由策略相结合的方式接入 ISP 配置过程中涉及到了 IGP 与 BGP 的交互, 由于 BGP 的缺省优先级为 256, 当路由表中存在备份路由时, 便于按需选择主路由, 需要修改 BGP 优先级为适合的值 3-2

158 路由第 3 章综合配置举例组网中使用的产品表 3-1 产品型号与设备名称对应表产品型号设备名称 7500 S100_1/S100_ S200/S300/S S200_0/S200_10/S300_A/S300_B/ S400_0 说明 : 在本配置中,S100_1/S100_2/S400/S200/S300 既可以选择 S7500 系列以太网交换机, 也可以选择 S5600 系列以太网交换机 S300_B 可以使用其它弱三层特性交换机替代设备运行的路由协议及相关参数表 3-2 设备与运行的路由协议对应表设备名称路由协议 Router ID AS S100_1 BGP(IBGP&EBGP) S100_2 BGP(IBGP&EBGP) S200 BGP(EBGP)/OSPF S200_0 S200_10 OSPF OSPF/STATIC S300 BGP(EBGP)/RIPv S300_A S300_B RIPv2/STATIC RIPv2-300 S400 BGP(EBGP)/OSPF S400_0 OSPF 组网实现时使用的软件版本 S3600 系列使用的软件版本 Release 1510 S5600 系列使用的软件版本 Release 1510 S7500 系列使用的软件版本 Release

159 路由第 3 章综合配置举例 3.2 配置步骤配置指南表 3-3 配置指南配置任务说明详细配置基本配置创建 VLAN, 配置 VLAN 接口 IP 地址 RIPv2/OSPF/BGP 基本配置 RIPv2 OSPF BGP 基本配置 RIP+ 静态路由 + 路由策略 IGP 与 BGP 交互路由备份配置 BGP 的 MED 属性配置 RIP 与路由策略结合, 只发布不接收路由更新信息, 通过静态路由实现对 ISP 的访问 IGP 与 BGP 共享路由信息, 当 IGP 引入 BGP 路由信息时, 应用路由策略, 按需引入路由信息为了提高接入用户的网络可靠性, 接入的主链路运行 OSPF, 备份链路选择静态路由, 实现网络互连应用路由策略, 修改 BGP 的 MED 属性值, 控制数据报文转发路径基本配置创建 VLAN, 配置 VLAN 接口 IP 地址, 配置步骤略, 请参见完整配置部分 RIPv2/OSPF/BGP 基本配置 1. RIPv2 基本配置 AS 300 局部组网图如图 3-2 所示 3-4

160 路由第 3 章综合配置举例设备接口 IP 地址 S300 Vlan-int /24 S300_A Vlan-int /24 Vlan-int /24 Vlan-int /24 S300_B Vlan-int /24 Vlan-int /24 Vlan-int /24 图 3-2 AS 300 局部组网图配置 S300 配置网络地址为的接口运行 RIP <S300> system-view [S300] rip [S300-rip] network 关闭 RIPv2 的路由聚合功能 [S300-rip] undo summary [S300-rip] quit 配置接口 Vlan-interface 14 运行 RIPv2 [S300] interface vlan-interface 14 [S300-Vlan-interface14] rip version 2 [S300-Vlan-interface14] quit 配置 S300_A 配置网络地址为的接口运行 RIP <S300_A> system-view [S300_A] rip [S300_A-rip] network [S300_A-rip] network 关闭 RIPv2 的路由聚合功能 3-5

161 路由第 3 章综合配置举例 [S300_A-rip] undo summary [S300_A-rip] quit 配置接口 Vlan-interface 14 Vlan-interface 662 运行 RIPv2 [S300_A] interface vlan-interface 14 [S300_A-Vlan-interface14] rip version 2 [S300_A-Vlan-interface14] quit [S300_A] interface vlan-interface 662 [S300_A-Vlan-interface662] rip version 2 [S300_A-Vlan-interface662] quit 配置 S300_B 配置网络地址为的接口运行 RIP <S300_B> system-view [S300_B] rip [S300_B-rip] network [S300_B-rip] network 关闭 RIPv2 的路由聚合功能 [S300_B-rip] undo summary [S300_B-rip] quit 配置接口 Vlan-interface 623 Vlan-interface 624 Vlan-interface 662 运行 RIPv2 [S300_B] interface vlan-interface 623 [S300_B-Vlan-interface623] rip version 2 [S300_B-Vlan-interface623] quit [S300_B] interface vlan-interface 624 [S300_B-Vlan-interface624] rip version 2 [S300_B-Vlan-interface624] quit [S300_B] interface vlan-interface 662 [S300_B-Vlan-interface662] rip version 2 [S300_B-Vlan-interface662] quit 2. OSPF 基本配置 AS 200 局部组网图如图 3-3 所示 : 3-6

162 路由第 3 章综合配置举例设备接口 IP 地址 Area S200 Vlan-int /24 0 S200_0 Vlan-int /24 0 Vlan-int /24 10 S200_10 Vlan-int /24 10 Vlan-int /24 10 Vlan-int /24 10 图 3-3 AS 200 局部组网图配置 S200 指定运行 OSPF 协议的接口 IP 地址位于网段 /24, 接口所在的 OSPF 区域 ID 为 0 <S200> system-view [S200] ospf [S200-ospf-1] area 0 [S200-ospf-1-area ] network 配置 S200_0 指定运行 OSPF 协议的接口 IP 地址位于网段 /24, 接口所在的 OSPF 区域 ID 为 0 <S200_0> system-view [S200_0] ospf [S200_0-ospf-1] area 0 [S200_0-ospf-1-area ] network [S200_0-ospf-1-area ] quit 指定运行 OSPF 协议的接口 IP 地址位于网段 /24, 接口所在的 OSPF 区域 ID 为 10 [S200_0-ospf-1] area 10 [S200_0-ospf-1-area ] network 配置 S200_10 3-7

163 路由第 3 章综合配置举例指定运行 OSPF 协议的接口 IP 地址位于网段 / / /24, 接口所在的 OSPF 区域 ID 为 10 <S200_10> system-view [S200_10] ospf [S200_10-ospf-1] area 10 [S200_10-ospf-1-area ] network [S200_10-ospf-1-area ] network [S200_10-ospf-1-area ] network AS 400 局部组网图如图 3-4 所示 : 设备接口 IP 地址 Area S400 Vlan-int /24 0 S400_0 Vlan-int /24 0 Vlan-int / Vlan-int / 图 3-4 AS 400 局部组网图配置 S400 指定运行 OSPF 协议的接口 IP 地址位于网段 /24, 接口所在的 OSPF 区域 ID 为 0 <S400> system-view [S400] ospf [S400-ospf-1] area 0 [S400-ospf-1-area ] network 配置 S400_0 指定运行 OSPF 协议的接口 IP 地址位于网段 /24, 接口所在的 OSPF 区域 ID 为 0 <S400_0> system-view [S400_0] ospf [S400_0-ospf-1] area 0 [S400_0-ospf-1-area ] network [S400_0-ospf-1-area ] quit 指定运行 OSPF 协议的接口 IP 地址位于网段 / /24, 接口所在的 OSPF 区域 ID 为 [S400_0-ospf-1] area

164 路由第 3 章综合配置举例 [S400_0-ospf-1-area ] network [S400_0-ospf-1-area ] network BGP 基本配置局部组网图如图 3-5 所示 : 设备接口 IP 地址 Router ID AS S100_1 Vlan-int / Vlan-int /24 Vlan-int /24 S100_2 Vlan-int / Vlan-int /24 Vlan-int /24 S200 Vlan-int / Vlan-int /24 S300 Vlan-int / Vlan-int /24 S400 Vlan-int / Vlan-int /24 图 3-5 局部组网图配置 S100_1 配置 S100_1 的 Router ID <S100_1> system-view [S100_1] router id 启动 BGP, 本地 AS 号为 100 [S100_1] bgp 100 创建 IBGP 对等体组 100; 创建 EBGP 对等体组 [S100_1-bgp] group 100 internal [S100_1-bgp] group 200 external [S100_1-bgp] group 400 external 将 IP 地址为对等体加入到对等体组 100 中,AS 号为 100;IP 地址为对等体加入到对等体组 200 中,AS 号为 200;;IP 地址为对等体加入到对等体组 400 中,AS 号为 400 [S100_1-bgp] peer group 100 [S100_1-bgp] peer group 200 as-number

165 路由第 3 章综合配置举例 [S100_1-bgp] peer group 400 as-number 400 通告到达网段的路由 [S100_1-bgp] network [S100_1-bgp] network [S100_1-bgp] network 配置 EBGP IBGP 和本地生成路由的优先级都为 200 [S100_1-bgp] preference 配置 S100_2 配置 S100_2 的 Router ID <S100_2> system-view [S100_2] router id 启动 BGP, 本地 AS 号为 100 [S100_2] bgp 100 创建 IBGP 对等体组 100; 创建 EBGP 对等体组 [S100_2-bgp] group 100 internal [S100_2-bgp] group 300 external [S100_2-bgp] group 400 external 将 IP 地址为对等体加入到对等体组 100 中,AS 号为 100;IP 地址为对等体加入到对等体组 300 中,AS 号为 300;;IP 地址为对等体加入到对等体组 400 中,AS 号为 400 [S100_2-bgp] peer group 100 [S100_2-bgp] peer group 300 as-number 300 [S100_2-bgp] peer group 400 as-number 400 通告到达网段的路由 [S100_2-bgp] network [S100_2-bgp] network [S100_2-bgp] network 配置 EBGP IBGP 和本地生成路由的优先级都为 200 [S100_2-bgp] preference 配置 S200 配置 S200 的 Router ID <S200> system-view [S200] router id 启动 BGP, 本地 AS 号为 200 [S200] bgp

166 路由第 3 章综合配置举例创建 EBGP 对等体组 [S200-bgp] group 100 external [S200-bgp] group 300 external 将 IP 地址为对等体加入到对等体组 100 中,AS 号为 100;IP 地址为对等体加入到对等体组 300 中,AS 号为 300 [S200-bgp] peer group 100 as-number 100 [S200-bgp] peer group 300 as-number 300 通告到达网段的路由 [S200-bgp] network [S200-bgp] network 配置 EBGP IBGP 和本地生成路由的优先级都为 200 [S200-bgp] preference 配置 S300 配置 S300 的 Router ID <S300> system-view [S300] router id 启动 BGP, 本地 AS 号为 300 [S300] bgp 300 创建 EBGP 对等体组 [S300-bgp] group 100 external [S300-bgp] group 200 external 将 IP 地址为对等体加入到对等体组 100 中,AS 号为 100;IP 地址为对等体加入到对等体组 200 中,AS 号为 200 [S300-bgp] peer group 100 as-number 100 [S300-bgp] peer group 200 as-number 200 通告到达网段的路由 [S300-bgp] network [S300-bgp] network 配置 EBGP IBGP 和本地生成路由的优先级都为 200 [S300-bgp] preference 配置 S400 配置 S400 的 Router ID 为 <S400> system-view [S400] router id 启动 BGP, 本地 AS 号为

167 路由第 3 章综合配置举例 [S400] bgp 400 创建 EBGP 对等体组 100_1 100_2 [S400-bgp] group 100_1 external [S400-bgp] group 100_2 external 将 IP 地址为对等体加入到对等体组 100_1 中,IP 地址为对等体加入到对等体组 100_2 中,AS 号都为 100 [S400-bgp] peer group 100_1 as-number 100 [S400-bgp] peer group 100_2 as-number 100 通告到达网段的路由 [S400-bgp] network [S400-bgp] network 配置 EBGP IBGP 和本地生成路由的优先级都为 200 [S400-bgp] preference RIP+ 静态路由 + 路由策略配置 1. 组网需求如图 3-6 所示,S300_A/S300_B 运行 RIPv2 为了控制 S300_B 通过 RIP 学习到的路由数量, 允许 S300_B 向 S300_A 发布路由信息, 禁止 S300_B 接收 S300_A 发布的路由信息 S300_B 到 S300_A 的报文转发通过缺省路由实现 2. 组网图设备接口 IP 地址 S300_A Vlan-int /24 S300_B Vlan-int /24 Vlan-int /24 Vlan-int /24 图 3-6 RIP+ 静态路由 + 路由策略配置组网图 3-12

168 路由第 3 章综合配置举例 3. 配置步骤创建编号为 2000 的 ACL, 拒绝所有的报文 <S300_B> system-view [S300_B]acl number 2000 [S300_B-acl-basic-2000] rule deny source any [S300_B-acl-basic-2000] quit 在 RIP 进程中, 对接收的路由信息应用 ACL 2000 [S300_B] rip [S300_B-rip] filter-policy 2000 import 配置缺省路由, 下一跳 IP 地址为 [S300_B] ip route-static preference IGP 与 BGP 交互配置 1. 组网需求如图 3-7 所示,S400/S200 上运行 OSPF 和 BGP,S300 上运行 RIPv2 和 BGP 为了保证各个 AS 的设备学习到其它 AS 的网络拓扑, 配置 IGP 与 BGP 交互, 共享路由信息在 IGP 引入 BGP 的过程中, 应用路由策略, 仅引入前缀 IP 地址为如下的路由 : / / / / / /24 2. 组网图 VLAN-int 16 AS 100 S100_1 S400 VLAN-int 15 EBGP EBGP VLAN-int 23 IBGP VLAN-int 31 OSPF S100_2 VLAN-int 11 EBGP EBGP VLAN-int 22 AS 200 AS 300 EBGP S200 VLAN-int 13 S300 VLAN-int 12 VLAN-int 14 图 3-7 IGP 与 BGP 交互配置组网图 3. 配置步骤在 S200 上配置 IGP 与 BGP 交互 BGP 引入 OSPF <S200> system-view [S200] bgp

169 路由第 3 章综合配置举例 [S200-bgp] import-route ospf 1 [S200-bgp] quit 定义前缀列表 ospf_import, 允许前缀 IP 地址为 / / / /24 的路由信息通过 [S200] ip ip-prefix ospf_import index 10 permit [S200] ip ip-prefix ospf_import index 20 permit [S200] ip ip-prefix ospf_import index 30 permit [S200] ip ip-prefix ospf_import index 40 permit 创建路由策略 ospf_import, 匹配模式为允许, 定义 if-match 子句, 允许路由目的地址与前缀列表 ospf_import 匹配的路由信息通过 [S200] route-policy ospf_import permit node 10 [S200-route-policy] if-match ip-prefix ospf_import [S200-route-policy] quit OSPF 引入 BGP, 应用路由策略 ospf_import [S200] ospf [S200-ospf-1] import-route bgp route-policy ospf_import 在 S300 上配置 IGP 与 BGP 交互 BGP 引入 RIP <S300> system-view [S300] bgp 300 [S300-bgp] import-route rip [S300-bgp] quit 定义前缀列表 rip_import, 允许前缀 IP 地址为 / / / /24 的路由信息通过 [S300] ip ip-prefix rip_import index 10 permit [S300] ip ip-prefix rip_import index 20 permit [S300] ip ip-prefix rip_import index 30 permit [S300] ip ip-prefix rip_import index 40 permit 创建路由策略 rip_import, 匹配模式为允许, 定义 if-match 子句, 允许路由目的地址与前缀列表 rip_import 匹配的路由信息通过 [S300] route-policy rip_import permit node 10 [S300-route-policy] if-match ip-prefix rip_import [S300-route-policy] quit RIP 引入 BGP, 应用路由策略 rip_import [S300] rip [S300-rip] import-route bgp route-policy rip_import 3-14

170 路由第 3 章综合配置举例在 S400 上配置 IGP 与 BGP 交互 BGP 引入 OSPF <S400> system-view [S400] bgp 400 [S400-bgp] import-route ospf 1 [S400-bgp] quit 定义前缀列表 ospf_import, 允许前缀 IP 地址为 / / / /24 的路由信息通过 [S400] ip ip-prefix ospf_import index 10 permit [S400] ip ip-prefix ospf_import index 20 permit [S400] ip ip-prefix ospf_import index 30 permit [S400] ip ip-prefix ospf_import index 40 permit 创建路由策略 ospf_import, 匹配模式为允许, 定义 if-match 子句, 允许路由目的地址与前缀列表 ospf_import 匹配的路由信息通过 [S400] route-policy ospf_import permit node 10 [S400-route-policy] if-match ip-prefix ospf_import [S400-route-policy] quit OSPF 引入 BGP, 应用路由策略 ospf_import [S400] ospf [S400-ospf-1] import-route bgp route-policy ospf_import 路由备份配置 1. 组网需求如图 3-8 所示,S200_10 上实现路由备份 S200_10 与 S200_0 之间运行 OSPF, 该路由为主路由,S200_10 与 S300_A 之间配置缺省路由, 该路由为备份路由当 S200_10 的主路由无法工作时, 自动切换为备份路由当主路由恢复正常时, 自动从备份路由切换到主路由配合 S200_10 实现备份路由, 在 S300_A 上配置静态路由, 将该静态路由引入到 RIPv2 3-15

171 路由第 3 章综合配置举例 2. 组网图设备接口 IP 地址 AS S300_A Vlan-int / S200_10 Vlan-int / Vlan-int /24 Vlan-int /24 图 3-8 路由备份配置组网图 3. 配置步骤在 S200_10 上配置静态缺省路由, 下一跳 IP 地址为 , 缺省优先级为 200 <S200_10> system-view [S200_10] ip route-static preference 200 在 S300_A 上配置静态路由, 目的地址为 / /24, 下一跳 IP 地址为 , 缺省优先级为 200 <S300_A> system-view [S300_A] ip route-static preference 200 [S300_A] ip route-static preference 200 在 RIP 进程中引入静态路由 [S300_A] rip [S300_A-rip] import-route static BGP 的 MED 属性配置 1. 组网需求如图 3-9 所示, 从 S400 到 S200_10 的报文由 S100_1 转发, 从 S400 到 S300_B 的报文由 S100_2 转发, 通过修改 BGP 属性中的 MED 值实现该目标 3-16

172 路由第 3 章综合配置举例 2. 组网图设备接口 IP 地址 AS S200_10 Vlan-int / Vlan-int /24 S300_B Vlan-int / Vlan-int /24 S400_0 Vlan-int / Vlan-int /24 图 3-9 BGP 的 MED 属性配置组网图 3. 配置步骤 S100_1 的配置定义前缀列表 as200_1, 允许前缀 IP 地址为 /24 的路由信息通过 <S100_1> system-view [S100_1] ip ip-prefix as200_1 index 10 permit 定义前缀列表 as200_2, 允许前缀 IP 地址为 /24 的路由信息通过 [S100_1] ip ip-prefix as200_2 index 10 permit 定义前缀列表 as300_1, 允许前缀 IP 地址为 /24 的路由信息通过 [S100_1] ip ip-prefix as300_1 index 10 permit 定义前缀列表 as300_2, 允许前缀 IP 地址为 /24 的路由信息通过 [S100_1] ip ip-prefix as300_2 index 10 permit

173 路由第 3 章综合配置举例定义前缀列表 other, 允许所有的路由信息通过 [S100_1] ip ip-prefix other index 10 permit less-equal 32 创建路由策略 as200, 节点序号为 10, 匹配模式为允许如果路由信息通过前缀列表 as200_1 过滤, 则设置其 MED 值为 100 [S100_1] route-policy as200 permit node 10 [S100_1-route-policy] if-match ip-prefix as200_1 [S100_1-route-policy] apply cost 100 [S100_1-route-policy] quit 创建路由策略 as200, 节点序号为 20, 匹配模式为允许如果路由信息通过前缀列表 as200_2 过滤, 则设置其 MED 值为 100 [S100_1] route-policy as200 permit node 20 [S100_1-route-policy] if-match ip-prefix as200_2 [S100_1-route-policy] apply cost 100 [S100_1-route-policy] quit 创建路由策略 as200, 节点序号为 30, 匹配模式为允许如果路由信息通过前缀列表 as300_1 过滤, 则设置其 MED 值为 200 [S100_1] route-policy as200 permit node 30 [S100_1-route-policy] if-match ip-prefix as300_1 [S100_1-route-policy] apply cost 200 [S100_1-route-policy] quit 创建路由策略 as200, 节点序号为 40, 匹配模式为允许如果路由信息通过前缀列表 as300_2 过滤, 则设置其 MED 值为 200 [S100_1] route-policy as200 permit node 40 [S100_1-route-policy] if-match ip-prefix as300_2 [S100_1-route-policy] apply cost 200 [S100_1-route-policy] quit 创建路由策略 as200, 节点序号为 50, 匹配模式为允许, 允许所有的路由信息通过 [S100_1] route-policy as200 permit node 50 [S100_1-route-policy] if-match ip-prefix other [S100_1-route-policy] quit 对发布给对等体组 400( 实质上是发布给对等体 ) 的路由信息应用路由策略 as200 [S100_1] bgp 100 [S100_1-bgp] peer 400 route-policy as200 export S100_2 的配置定义前缀列表 as200_1, 允许前缀 IP 地址为 /24 的路由信息通过 3-18

174 路由第 3 章综合配置举例 <S100_2> system-view [S100_2] ip ip-prefix as200_1 index 10 permit 定义前缀列表 as200_2, 允许前缀 IP 地址为 /24 的路由信息通过 [S100_2] ip ip-prefix as200_2 index 10 permit 定义前缀列表 as300_1, 允许前缀 IP 地址为 /24 的路由信息通过 [S100_2] ip ip-prefix as300_1 index 10 permit 定义前缀列表 as300_2, 允许前缀 IP 地址为 /24 的路由信息通过 [S100_2] ip ip-prefix as300_2 index 10 permit 定义前缀列表 other, 允许所有的路由信息通过 [S100_2] ip ip-prefix other index 10 permit less-equal 32 创建路由策略 as300, 节点序号为 10, 匹配模式为允许如果路由信息通过前缀列表 as200_1 过滤, 则设置其 MED 值为 200 [S100_2] route-policy as300 permit node 10 [S100_2-route-policy] if-match ip-prefix as200_1 [S100_2-route-policy] apply cost 200 [S100_2-route-policy] quit 创建路由策略 as300, 节点序号为 20, 匹配模式为允许如果路由信息通过前缀列表 as200_2 过滤, 则设置其 MED 值为 200 [S100_2] route-policy as300 permit node 20 [S100_2-route-policy] if-match ip-prefix as200_2 [S100_2-route-policy] apply cost 200 [S100_2-route-policy] quit 创建路由策略 as300, 节点序号为 30, 匹配模式为允许如果路由信息通过前缀列表 as300_1 过滤, 则设置其 MED 值为 100 [S100_2] route-policy as300 permit node 30 [S100_2-route-policy] if-match ip-prefix as300_1 [S100_2-route-policy] apply cost 100 [S100_2-route-policy] quit 创建路由策略 as300, 节点序号为 40, 匹配模式为允许如果路由信息通过前缀列表 as300_2 过滤, 则设置其 MED 值为 100 [S100_2] route-policy as300 permit node 40 [S100_2-route-policy] if-match ip-prefix as300_2 [S100_2-route-policy] apply cost 100 [S100_2-route-policy] quit 创建路由策略 as300, 节点序号为 50, 匹配模式为允许, 允许所有的路由信息通过 3-19

175 路由第 3 章综合配置举例 [S100_2] route-policy as300 permit node 50 [S100_2-route-policy] if-match ip-prefix other [S100_2-route-policy] quit 对发布给对等体组 400( 实质上是发布给对等体 ) 的路由信息应用路由策略 as300 [S100_2] bgp 100 [S100_2-bgp] peer 400 route-policy as300 export 3.3 完整配置设备完整配置 1. S100_1 <S100_1> display current-configuration sysname S100_1 router id vlan 11 vlan 15 vlan 31 interface Vlan-interface11 ip address interface Vlan-interface15 ip address interface Vlan-interface31 ip address bgp 100 network network

176 路由第 3 章综合配置举例 network undo synchronization group 100 internal peer group 100 group 200 external peer group 200 as-number 200 group 400 external peer 400 route-policy as200 export peer group 400 as-number 400 preference route-policy as200 permit node 10 if-match ip-prefix as200_1 apply cost 100 route-policy as200 permit node 20 if-match ip-prefix as200_2 apply cost 100 route-policy as200 permit node 30 if-match ip-prefix as300_1 apply cost 200 route-policy as200 permit node 40 if-match ip-prefix as300_2 apply cost 200 route-policy as200 permit node 50 if-match ip-prefix other ip ip-prefix as200_1 index 10 permit ip ip-prefix as200_2 index 10 permit ip ip-prefix as300_1 index 10 permit ip ip-prefix as300_2 index 10 permit ip ip-prefix other index 10 permit less-equal S100_2 <S100_2> display current-configuration sysname S100_2 router id

177 路由第 3 章综合配置举例 vlan 22 vlan 23 vlan 31 interface Vlan-interface22 ip address interface Vlan-interface23 ip address interface Vlan-interface31 ip address bgp 100 network network network undo synchronization group 100 internal peer group 100 group 300 external peer group 300 as-number 300 group 400 external peer 400 route-policy as300 export peer group 400 as-number 400 preference route-policy as300 permit node 10 if-match ip-prefix as200_1 apply cost 200 route-policy as300 permit node 20 if-match ip-prefix as200_2 apply cost 200 route-policy as300 permit node 30 if-match ip-prefix as300_1 apply cost 100 route-policy as300 permit node

178 路由第 3 章综合配置举例 if-match ip-prefix as300_2 apply cost 100 route-policy as300 permit node 50 if-match ip-prefix other ip ip-prefix as200_1 index 10 permit ip ip-prefix as200_2 index 10 permit ip ip-prefix as300_1 index 10 permit ip ip-prefix as300_2 index 10 permit ip ip-prefix other index 10 permit less-equal S200 <S200> display current-configuration sysname S200 router id vlan 11 vlan 12 vlan 13 interface Vlan-interface11 ip address interface Vlan-interface12 ip address interface Vlan-interface13 ip address undo fabric-port Cascade1/2/1 enable 3-23

179 路由第 3 章综合配置举例 undo fabric-port Cascade1/2/2 enable interface NULL0 bgp 200 network network import-route ospf 1 undo synchronization group 100 external peer group 100 as-number 100 group 300 external peer group 300 as-number 300 preference ospf 1 import-route bgp route-policy ospf_import area network route-policy ospf_import permit node 10 if-match ip-prefix ospf_import ip ip-prefix ospf_import index 10 permit ip ip-prefix ospf_import index 20 permit ip ip-prefix ospf_import index 30 permit ip ip-prefix ospf_import index 40 permit S200_0 <S200_0> display current-configuration sysname S200_0 vlan 12 vlan 661 interface Vlan-interface

180 路由第 3 章综合配置举例 ip address interface Vlan-interface661 ip address ospf 1 area network area network S200_10 <S200_10> display current-configuration sysname S200_10 vlan 621 to 622 vlan 661 vlan 665 interface Vlan-interface621 ip address interface Vlan-interface622 ip address interface Vlan-interface661 ip address interface Vlan-interface665 ip address

181 路由第 3 章综合配置举例 ospf 1 area network network network ip route-static preference S300 <S300> display current-configuration sysname S300 router id vlan 13 vlan 14 vlan 22 interface Vlan-interface13 ip address interface Vlan-interface14 ip address rip version 2 multicast interface Vlan-interface22 ip address undo fabric-port Cascade1/2/1 enable undo fabric-port Cascade1/2/2 enable interface NULL0 3-26

182 路由第 3 章综合配置举例 bgp 300 network network import-route rip undo synchronization group 100 external peer group 100 as-number 100 group 200 external peer group 200 as-number 200 preference rip undo summary network import-route bgp route-policy rip_import route-policy rip_import permit node 10 if-match ip-prefix rip_import ip ip-prefix rip_import index 10 permit ip ip-prefix rip_import index 20 permit ip ip-prefix rip_import index 30 permit ip ip-prefix rip_import index 40 permit S300_A <S300_A> display current-configuration sysname S300_A vlan 14 vlan 662 vlan 665 interface Vlan-interface14 ip address

183 路由第 3 章综合配置举例 rip version 2 multicast interface Vlan-interface662 ip address rip version 2 multicast interface Vlan-interface665 ip address rip undo summary network network import-route static ip route-static preference 200 ip route-static preference S300_B <S300_B> display current-configuration sysname S300_B acl number 2000 rule 5 deny vlan 623 vlan 624 vlan 662 interface Vlan-interface623 ip address

184 路由第 3 章综合配置举例 rip version 2 multicast interface Vlan-interface624 ip address rip version 2 multicast interface Vlan-interface662 ip address rip version 2 multicast rip undo summary network network filter-policy 2000 import ip route-static preference S400 <S400> display current-configuration sysname S400 router id vlan 15 to 16 vlan 23 interface Vlan-interface15 ip address interface Vlan-interface16 ip address interface Vlan-interface

185 路由第 3 章综合配置举例 ip address undo fabric-port Cascade1/2/1 enable undo fabric-port Cascade1/2/2 enable interface NULL0 bgp 400 network network import-route ospf 1 undo synchronization group 100_1 external peer group 100_1 as-number 100 group 100_2 external peer group 100_2 as-number 100 preference ospf 1 import-route bgp route-policy ospf_import area network route-policy ospf_import permit node 10 if-match ip-prefix ospf_import ip as-path-acl 1 permit ^ $ ip as-path-acl 2 permit ^ $ ip ip-prefix ospf_import index 10 permit ip ip-prefix ospf_import index 20 permit ip ip-prefix ospf_import index 30 permit ip ip-prefix ospf_import index 40 permit S400_0 <S400_0> display current-configuration sysname S400_0 3-30

186 路由第 3 章综合配置举例 vlan 16 vlan 663 to 664 interface Vlan-interface16 ip address interface Vlan-interface663 ip address interface Vlan-interface664 ip address ospf 1 area network network area network 配置结果验证路由策略 + 静态路由配置验证 <S300_B> display ip routing-table Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface /0 STATIC Vlan-interface /8 DIRECT InLoopBack /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack0 3-31

187 路由第 3 章综合配置举例 /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack0 <S300_B> tracert -a traceroute to ( ) 30 hops max,40 bytes packet ms 3 ms 3 ms ms 4 ms 4 ms ms 9 ms 18 ms ms 3 ms 4 ms ms 4 ms 3 ms IGP 与 BGP 交互配置验证 <S400_0> display ip routing-table Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface /8 DIRECT InLoopBack /32 DIRECT InLoopBack /24 O_ASE Vlan-interface /24 O_ASE Vlan-interface /24 O_ASE Vlan-interface /24 O_ASE Vlan-interface /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack0 <S300_A>display ip routing-table Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface /8 DIRECT InLoopBack /32 DIRECT InLoopBack /24 RIP Vlan-interface /24 RIP Vlan-interface /24 RIP Vlan-interface /24 RIP Vlan-interface /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 RIP Vlan-interface

188 路由第 3 章综合配置举例 /24 RIP Vlan-interface /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack0 <S200_10> display ip routing-table Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface /0 STATIC Vlan-interface /8 DIRECT InLoopBack /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 O_ASE Vlan-interface /24 O_ASE Vlan-interface /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 O_ASE Vlan-interface /24 O_ASE Vlan-interface /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 OSPF Vlan-interface 路由备份配置验证 1. 交换机将主路由安装到路由表中 <S200_10> display ip routing-table Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface /0 STATIC Vlan-interface /8 DIRECT InLoopBack /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 O_ASE Vlan-interface /24 O_ASE Vlan-interface /24 DIRECT Vlan-interface /32 DIRECT InLoopBack0 3-33

189 路由第 3 章综合配置举例 /24 O_ASE Vlan-interface /24 O_ASE Vlan-interface /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 OSPF Vlan-interface661 <S200_10> tracert -a traceroute to ( ) 30 hops max,40 bytes packet ms 3 ms 3 ms ms 3 ms 5 ms ms 3 ms 4 ms ms 3 ms 3 ms ms 5 ms 3 ms 2. 当主路由链路出现故障时, 交换机将备份路由安装到路由表中 <S200_10> display ip routing-table Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface /0 STATIC Vlan-interface /8 DIRECT InLoopBack /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack /24 DIRECT Vlan-interface /32 DIRECT InLoopBack0 <S200_10> tracert -a traceroute to ( ) 30 hops max,40 bytes packet ms 3 ms 4 ms ms 3 ms 4 ms ms 3 ms 6 ms ms 3 ms 4 ms ms 3 ms 4 ms BGP 的 MED 属性配置验证 1. 使用缺省 MED 值时报文的转发路径 <S400_0> tracert -a traceroute to ( ) 30 hops max,40 bytes packet ms 3 ms 7 ms ms 3 ms 8 ms ms 3 ms 3 ms 3-34

190 路由第 3 章综合配置举例 ms 4 ms 3 ms ms 4 ms 3 ms <S400_0> tracert -a traceroute to ( ) 30 hops max,40 bytes packet ms 3 ms 3 ms ms 4 ms 5 ms ms 8 ms 17 ms ms 3 ms 3 ms ms 3 ms 3 ms ms 3 ms 4 ms 2. 对 MED 值进行控制时报文的转发路径配置 AS 路径过滤列表 1, 允许 AS_PATH 以 100 开始,200 结束的路由信息通过 [S400] ip as-path-acl 1 permit ^ $ 显示匹配 AS 路径过滤列表 1 的路由 <S400> display bgp routing as-path-acl 1 Flags: - valid ^ - active I - internal D - damped H - history S - aggregate suppressed Dest/Mask Next-Hop Med Local-pref Origin Path ^ / INC / INC ^ / INC / INC ^ / INC / INC ^ IGP 配置 AS 路径过滤列表 1, 允许 AS_PATH 以 100 开始,300 结束的路由信息通过 [S400] ip as-path-acl 2 permit ^ $ 显示匹配 AS 路径过滤列表 2 的路由 <S400> display bgp routing as-path-acl 2 Flags: - valid ^ - active I - internal D - damped H - history S - aggregate suppressed Dest/Mask Next-Hop Med Local-pref Origin Path ^ / INC / INC ^ / INC

191 路由第 3 章综合配置举例 / INC ^ / INC / INC ^ / INC / INC IGP <S400_0> tracert -a traceroute to ( ) 30 hops max,40 bytes packet ms 4 ms 3 ms ms 4 ms 3 ms ms 4 ms 3 ms ms 3 ms 3 ms ms 4 ms 3 ms <S400_0> tracert -a traceroute to ( ) 30 hops max,40 bytes packet ms 4 ms 3 ms ms 3 ms 5 ms ms 5 ms 3 ms ms 4 ms 3 ms ms 3 ms 5 ms 3.5 注意事项在配置及验证的过程中, 请注意以下几点 : 对于支持 Fabric 的设备, 启动 BGP 之前必须关闭 Fabric 功能 ; 为了保证配置目标的实现, 建议在配置的过程中将 BGP 优先级修改为适合的值 ( 建议修改为 200); 配置静态路由的设备, 根据情况对静态路由的优先级进行相应的修改 ; 在 S300_A 上无法实现备份路由 ( 静态路由 ) 到主路由 (RIP) 的自动切换, 需要手工干涉, 方法是将备份路由手动从配置中删除, 然后在添加到配置中 ; 由于将 BGP 引入到 IGP 时应用了路由策略, 可能存在部分路由条目没有被引入的情况, 所以在验证时建议使用源地址的模式进行验证 :tracert a / ping a 3-36

192 组播目录目录第 1 章组播协议功能简介组播特性简介组播配置指南配置 IGMP Snooping 配置 IGMP 配置 PIM 第 2 章组播协议典型配置举例 PIM-DM+IGMP+IGMP Snooping 配置举例需求分析网络布局组网图配置步骤 PIM-SM+IGMP+IGMP Snooping 配置举例需求分析网络布局组网图配置步骤 IGMP Snooping Only 配置举例组网需求网络布局组网图配置步骤 i

193 组播摘要组播协议典型配置举例关键词 :IGMP PIM-DM PIM-SM MSDP IGMP Snooping 摘要 : 本文主要介绍以太网交换机的组播功能在具体组网中的应用配置, 根据组网需求的不同, 分别介绍了三个典型的组网应用第一, 介绍了 PIM-DM+IGMP 分别在存在和不存在 IGMP Snooping 两种情况下的组播应用情况, 其中体现了 IGMP 和 IGMP Snooping 组播组过滤功能的应用 ; 第二, 介绍了 PIM-SM+IGMP 分别在存在和不存在 IGMP Snooping 两种情况下的组播应用情况, 其中体现了模拟组播客户端加入组播组的应用 ; 第三, 介绍了在只运行 IGMP Snooping 的情况下的应用缩略语 :IGMP(Internet Group Management Protocol, 互联网组管理协议 );IGMP Snooping (Internet Group Management Protocol Snooping, 互联网组管理协议窥探 ); PIM-DM(Protocol Independent Multicast Dense Mode, 密集模式协议无关组播 ); PIM-SM(Protocol Independent Multicast Sparse Mode, 稀疏模式协议无关组播 ); ii

194 组播第 1 章组播协议功能简介第 1 章组播协议功能简介 1.1 组播特性简介作为一种与单播和广播并列的通信方式, 组播技术能够有效地解决单点发送多点接收的问题, 从而实现了网络中点到多点的高效数据传送, 能够节约大量网络带宽降低网络负载利用组播技术可以方便地提供一些新的增值业务, 包括在线直播网络电视远程教育远程医疗网络电台实时视频会议等对带宽和数据交互的实时性要求较高的信息服务 1. IGMP IGMP 是 TCP/IP 协议族中负责 IP 组播成员管理的协议它用来在 IP 主机和与其直接相邻的组播路由器之间建立维护组播组成员关系 2. PIM PIM 是 Protocol Independent Multicast( 协议无关组播 ) 的简称, 表示可以利用静态路由或者任何单播路由协议 ( 包括 RIP OSPF IS-IS BGP 等 ) 生成的单播路由表为 IP 组播提供路由 PIM 通过使用单播路由表进行 RPF(Reverse Path Forwarding, 逆向路径转发 ) 检查, 以实现对组播数据的传送根据转发机制的不同,PIM 分为两种模式 : PIM-DM PIM-SM PIM-DM 属于密集模式的组播路由协议, 使用推 (Push) 模式传送组播数据, 通常适用于组播组成员相对比较密集的小型网络. PIM-SM 属于稀疏模式的组播路由协议, 使用拉 (Pull) 模式传送组播数据, 通常适用于组播组成员分布相对分散范围较广的大中型网络 3. IGMP Snooping IGMP Snooping 是运行在二层设备上的组播约束机制, 用于管理和控制组播组运行 IGMP Snooping 的二层设备通过对收到的 IGMP 报文进行分析, 为端口和 MAC 组播地址建立起映射关系, 并根据这样的映射关系转发组播数据 1-1

195 组播第 1 章组播协议功能简介 4. IGMP Proxy 在一个大规模的网络中应用组播路由协议时 ( 例如 PIM-DM), 会存在很多末梢网络 ( 末梢区域 ), 对这些末梢网络进行配置和管理是一件很繁重的工作为了减少这些配置和管理工作, 同时又不影响末梢网络的组播连接, 可以在末梢网络的三层交换机上配置 IGMP Proxy, 三层交换机将自己所连接的主机发出的 IGMP 主机报告报文或 IGMP 离开报文进行转发配置了 IGMP Proxy 后, 对于外部网络来说, 末梢三层交换机不再是一个 PIM 邻居, 而是一台主机, 只有当该三层交换机有直连成员时, 才会接收相应组的组播数据 1.2 组播配置指南配置 IGMP Snooping 表 1-1 IGMP Snooping 配置过程配置任务说明详细配置启动 IGMP Snooping 必选配置 IGMP Snooping 定时器可选配置端口从组播组中快速删除功能可选配置组播组过滤功能可选配置端口可以加入的组播组最大数量可选配置 IGMP Snooping 查询器可选启动 IGMP Snooping 表 1-2 配置 IGMP Snooping 操作命令说明进入系统视图 system-view - 启动 IGMP Snooping igmp-snooping enable 必选缺省情况下 IGMP Snooping 功能处于关闭状态进入 VLAN 视图 vlan vlan-id - 启动 IGMP Snooping igmp-snooping enable 必选缺省情况下,IGMP Snooping 功能处于关闭状态 1-2

196 组播第 1 章组播协议功能简介 2. 配置 IGMP Snooping 定时器表 1-3 配置 IGMP Snooping 定时器操作命令说明进入系统视图 system-view - 配置路由器端口老化定时器配置响应查询定时器配置组播组成员端口老化定时器 igmp-snooping router-aging-time seconds igmp-snooping max-response-time seconds igmp-snooping host-aging-time seconds 可选缺省情况下, 路由器端口老化时间为 105 秒可选缺省情况下, 最大响应时间为 10 秒可选缺省情况下, 组播组成员端口老化时间为 260 秒 3. 配置端口从组播组中快速删除功能 (1) 在系统视图下配置端口从组播组中快速删除功能表 1-4 在系统视图下配置端口从组播组中快速删除功能操作命令说明进入系统视图 system-view - 配置端口从组播组中快速删除功能 igmp-snooping fast-leave [ vlan vlan-list ] 必选缺省情况下, 端口从组播组中快速删除功能处于关闭状态 (2) 在以太网端口视图下配置端口从组播组中快速删除功能表 1-5 在以太网端口视图下配置端口从组播组中快速删除功能操作命令说明进入系统视图 system-view - 进入以太网端口配置端口从组播组中快速删除功能 interface interface-type interface-number igmp-snooping fast-leave [ vlan vlan-list ] - 必选缺省情况下, 端口从组播组中快速删除功能处于关闭状态 1-3

197 组播第 1 章组播协议功能简介 4. 配置组播组过滤功能 (1) 在系统视图下配置组播组过滤功能表 1-6 在系统视图下配置组播组过滤功能操作命令说明进入系统视图 system-view - 配置组播组过滤功能 igmp-snooping group-policy acl-number [ vlan vlan-list ] 必选缺省情况下, 组播组过滤功能关闭 (2) 在以太网端口视图下配置组播组过滤功能表 1-7 在以太网端口视图下配置组播组过滤功能操作命令说明进入系统视图 system-view - 进入以太网端口视图配置组播组过滤功能 interface interface-type interface-number igmp-snooping group-policy acl-number [ vlan vlan-list ] - 必选缺省情况下, 组播组过滤功能关闭 5. 配置端口可以加入的组播组最大数量表 1-8 配置端口可以加入的组播组最大数量操作命令说明进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 配置端口上允许通过的组播组数量 igmp-snooping group-limit limit [ vlan vlan-list [ overflow-replace ] ] 必选缺省情况下, 端口上允许通过的组播组最大数量为 256 个 6. 配置 IGMP Snooping 查询器表 1-9 配置 IGMP Snooping 查询器操作命令说明进入系统视图 system-view - 启动 IGMP Snooping igmp-snooping enable 必选缺省情况下,IGMP Snooping 功能处于打开状态 1-4

198 组播第 1 章组播协议功能简介操作命令说明进入 VLAN 视图 vlan vlan-id - 启动 IGMP Snooping 启动 IGMP Snooping 查询器配置发送通用查询报文的时间间隔配置发送通用查询报文的源 IP 地址 igmp-snooping enable igmp-snooping querier igmp-snooping query-interval seconds igmp-snooping general-query source-ip { current-interface ip-address } 必选缺省情况下,IGMP Snooping 功能处于关闭状态必选缺省情况下,IGMP Snooping 查询器功能处于关闭状态可选缺省情况下, 发送通用查询报文的时间间隔为 60 秒可选缺省情况下, 发送通用查询报文的源 IP 地址为配置 IGMP 表 1-10 配置任务简介配置任务说明详细配置启动 IGMP 必选配置 IGMP 版本可选配置 IGMP 查询报文的相关参数可选配置接口可以通过的组播组最大数量可选配置组播组过滤功能可选配置 IGMP 模拟主机加入功能可选配置 IGMP Proxy 可选删除接口上已经加入的 IGMP 组播组可选启动 IGMP 表 1-11 启动 IGMP 操作命令说明进入系统视图 system-view - 启动组播路由 multicast routing-enable - 进入 VLAN 接口视图 interface Vlan-interface interface-number - 1-5

199 组播第 1 章组播协议功能简介操作命令说明启动 IGMP igmp enable 必选缺省情况下, IGMP 处于打开状态注意 : 本章中以下的配置都是在启动组播路由并在接口上启动 IGMP 的情况下实现的, 请用户在配置过程中注意 2. 配置 IGMP 版本表 1-12 配置 IGMP 版本操作命令说明进入系统视图 system-view - 进入 VLAN 接口视图 interface Vlan-interface interface-number - 配置 IGMP 版本 igmp version { 1 2 } 必选缺省情况下,IGMP 的版本为 IGMPv2 注意 : IGMP 各版本之间不能自动转换因此, 应该配置连接到同一网段上的所有交换机的接口使用同一 IGMP 版本 3. 配置 IGMP 查询报文的相关参数表 1-13 配置 IGMP 查询报文的相关参数操作命令说明进入系统视图 system-view - 进入 VLAN 接口视图配置查询间隔配置发送 IGMP 特定组查询报文的时间间隔 interface Vlan-interface interface-number igmp timer query seconds igmp lastmember-queryinterval seconds - 可选缺省情况下, 查询时间间隔为 60 秒可选缺省情况下,IGMP 特定组查询报文的时间间隔为 1 秒 1-6

200 组播第 1 章组播协议功能简介操作命令说明配置发送 IGMP 特定组查询报文的次数配置 IGMP 查询器存在时间配置 IGMP 最大响应时间 igmp robust-count robust-value igmp timer other-querier-present seconds igmp max-response-time seconds 可选缺省情况下, 发送 IGMP 特定组查询报文的次数为 2 次可选缺省情况下,IGMP 查询器存在的时间值为 120 秒, 是 igmp timer query 命令指定的间隔的 2 倍可选缺省情况下,IGMP 最大响应时间为 10 秒 4. 配置接口可以通过的组播组最大数量表 1-14 配置接口可以通过的组播组最大数量操作命令说明进入系统视图 system-view - 进入 VLAN 接口视图配置接口可以加入 IGMP 组的最大数量 interface Vlan-interface interface-number igmp group-limit limit - 必选缺省情况下, 接口上可以通过的组播组最大数量为 256 注意 : 如果用户在接口上配置的 IGMP 组的数量为 1 时, 采用新加入组优先的原则即如用户将新的组播组加入接口时, 系统将自动取代原有的组播组, 原组播组将会自动脱离接口在接口配置可以通过的组播组最大数量时, 如果接口已有的 IGMP 组播组比要配置的值多, 系统自动删除某些已有的组播组, 直到接口组播组数量符合配置的数量限制 1-7

201 组播第 1 章组播协议功能简介 5. 配置组播组过滤功能 (1) 在 VLAN 接口视图下配置组播组过滤功能表 1-15 配置组播组过滤功能操作命令说明进入系统视图 system-view - 进入 VLAN 接口视图配置组播组过滤功能 interface Vlan-interface interface-number igmp group-policy acl-number [ 1 2 port interface-type interface-number [ to interface-type interface-number ] ] - 可选缺省情况下, 接口允许任意组播组通过 (2) 在以太网端口视图下配置组播组过滤功能表 1-16 配置组播组过滤功能操作命令说明进入系统视图 system-view - 进入以太网端口视图配置组播组过滤功能 interface interface-type interface-number igmp group-policy acl-number vlan vlan-id - 可选缺省情况下, 接口允许任意组播组通过, 该端口必须属于命令所指定的 VLAN 6. 配置 IGMP 模拟主机加入功能 (1) 在 VLAN 接口视图下配置 IGMP 模拟主机加入功能表 1-17 在 VLAN 接口视图下配置 IGMP 模拟主机加入功能操作命令说明进入系统视图 system-view - 进入 VLAN 接口视图配置 IGMP 模拟主机加入功能 interface Vlan-interface interface-number igmp host-join group-address port interface-list - 可选缺省情况下, 模拟主机加入功能处于关闭状态 1-8

组播第 1 章组播协议功能简介 (2) 在以太网端口视图下配置 IGMP 模拟主机加入功能表 1-18 在以太网端口视图下配置 IGMP 模拟主机加入功能操作命令说明进入系统视图 system-view - 进入以太网端口视图配置 IGMP 模拟主机加入功能 interface interface-type interface-number igmp host-join

202 组播第 1 章组播协议功能简介 (2) 在以太网端口视图下配置 IGMP 模拟主机加入功能表 1-18 在以太网端口视图下配置 IGMP 模拟主机加入功能操作命令说明进入系统视图 system-view - 进入以太网端口视图配置 IGMP 模拟主机加入功能 interface interface-type interface-number igmp host-join group-address vlan vlan-id - 可选缺省情况下, 模拟主机加入功能处于关闭状态注意 : 配置 IGMP 模拟主机加入功能前, 应该先在 VLAN 接口视图下启动 IGMP 功能 ; 在以太网端口视图下, 配置 IGMP 模拟主机加入功能的端口必须属于指定 VLAN, 否则配置不会生效 ; 7. 配置 IGMP Proxy 表 1-19 配置 IGMP Proxy 操作命令说明进入系统视图 system-view - 启动组播路由 multicast routing-enable 必选进入 VLAN 接口视图 interface Vlan-interface interface-number - 启动 IGMP 协议 igmp enable 必选配置 IGMP Proxy igmp proxy Vlan-interface interface-number 必选缺省情况下,IGMP Proxy 功能处于关闭状态注意 : 配置 igmp proxy 前需要先在接口上启动 PIM 协议, 否则 IGMP Proxy 功能不能生效同一个接口不能作为两个及两个以上其它接口的 IGMP 代理接口在配置将要成为 IGMP 代理接口的 IP 地址时, 要保证该接口的 IP 地址在该网段不是最小的, 从而避免该接口被选举成 IGMP 查询器, 而造成无法正常转发组播数据 1-9

展开

目录（目录名）目录目录第 1 章功能介绍...1-1 1.1 支持能力... 1-1 1.1.1 H3C 低端交换机支持的功能列表... 1-1 1.2 配置指南... 1-2 1.2.1 Server 配置... 1-2 1.2.2 Relay 配置... 1-7 1.2.3 Snooping 配置... 1-8...2-1 2.1 Server 配置举例... 2-1 2.1.1 组网需求... 2-1

目 录（目录名）

目录（目录名）