IPv6-路由策略目录
目录
第1章路由策略配置..............................................................................................................1-1
1.1 路由策略简介.....................................................................................................................1-1
1.1.1 路由策略与策略路由................................................................................................1-1
1.1.2 过滤器......................................................................................................................1-1
1.1.3 路由策略的应用.......................................................................................................1-3
1.2 配置过滤列表.....................................................................................................................1-3
1.2.1 配置准备..................................................................................................................1-3
1.2.2 配置IPv6地址前缀列表...........................................................................................1-3
1.2.3 配置团体属性列表....................................................................................................1-4
1.2.4 配置扩展团体属性列表............................................................................................1-5
1.3 配置路由策略.....................................................................................................................1-5
1.3.1 配置准备..................................................................................................................1-5
1.3.2 创建一个路由策略....................................................................................................1-6
1.3.3 配置If-match子句...................................................................................................1-6
1.3.4 配置Apply子句.......................................................................................................1-8
1.4 路由策略的显示和维护.......................................................................................................1-9
1.5 路由策略典型配置举例.....................................................................................................1-10
1.6 常见错误配置举例............................................................................................................1-11
1.6.1 无法实现路由信息过滤..........................................................................................1-11
第1章路由策略配置
说明:
在以下路由协议的介绍中所指的路由器及路由器图标,代表了一般意义下的路由器
以及运行了路由协议的以太网交换机。为提高可读性,在手册的描述中将不另行说
明。
1.1 路由策略简介
1.1.1 路由策略与策略路由
路由策略(Routing Policy)是为了改变网络流量所经过的途径而对路由信息采用的
方法,主要通过改变路由属性(包括可达性)来实现。
策略路由(Policy Routing)则直接用于指导报文转发。
本章只介绍路由策略的配置和使用,策略路由请参见“Policy-Routing配置”部分。
路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过
滤,例如只接收或发布满足一定条件的路由信息。一种路由协议可能需要引入其它
的路由协议发现的路由信息,同时引入的路由信息必须满足一定的条件,并对所引
入的路由信息的某些属性进行设置,以使其满足本协议的要求。
为实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组匹
配规则。可以以路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布
路由信息的路由器地址等。匹配规则可以预先设置好,然后再将它们应用于路由的
发布、接收和引入等过程的路由策略中。
1.1.2 过滤器
路由协议可以引用访问控制列表、地址前缀列表、AS路径访问列表、团体属性列表、
扩展团体属性列表和Route-policy几种过滤器。下面对各种过滤器逐一进行介绍。
1. 访问控制列表
访问控制列表包括针对IPv4报文的ACL和针对IPv6报文的ACL6。用户在定义ACL
时可以指定IP地址和子网范围,用于匹配路由信息的目的网段地址或下一跳地址。
ACL和ACL6的有关配置请参见“ACL配置”中的配置部分。
2. 地址前缀列表
地址前缀列表包括IPv4地址前缀列表和IPv6地址前缀列表。
地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于为用户理解。地址前缀列表在应用于路由信息的过滤时,其匹配对象为路由信息的目的地址信息域;另外,用户可以指定gateway选项,指明只接收某些路由器发布的路由信息。关于gateway选项的设置请参见“RIP命令”和“OSPF命令”。
一个地址前缀列表由前缀列表名标识。每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个索引号来标识,索引号指明了进行匹配检查的顺序。
在匹配的过程中,路由器按升序依次检查由索引号标识的各个表项,只要有某一表项满足条件,就意味着通过该地址前缀列表的过滤(不进入下一个表项的测试)。
3. AS路径访问列表(as-path-acl)
BGP的路由信息包中,包含有自治系统路径域。as-path-acl就是针对自治系统路径域指定匹配条件。
4. 团体属性列表(community-list)
团体属性列表community-list仅用于BGP。BGP的路由信息包中,包含一个community属性域,用来标识一个团体。community-list就是针对团体属性域指定匹配条件。
5. 扩展团体属性列表(extcommunity-list)
扩展团体属性列表extcommunity-list仅用于BGP。BGP扩展团体属性有两种,一种是用于VPN的Route-Target(路由目标)扩展团体,另一种则是Source of Origin (源节点)扩展团体。扩展团体属性列表就是针对这两种属性指定匹配条件。
路由策略匹配源节点扩展团体属性是源站路由特性中的应用,但设备尚不支持该特性。
6. 路由策略(Route-policy)
路由策略Route-policy是一种比较复杂的过滤器,它不仅可以匹配给定路由信息的某些属性,并在条件满足时改变路由信息的属性。Route-policy可以使用前面几种过滤器定义自己的匹配规则。
一个Route-policy可以由多个节点(node)构成,不同节点之间是“或”的关系。系统按节点序号依次检查各个节点,如果通过了其中一节点,就意味着通过该策略,不再对其他节点进行匹配测试。
每个节点可以由一组if-match和apply子句组成。if-match子句定义匹配规则,匹配对象是路由信息的一些属性。同一节点中的不同if-match子句是“与”的关系,只有满足节点内所有if-match子句指定的匹配条件,才能通过该节点的匹配测试。
apply子句指定动作,也就是在通过节点的匹配后,对路由信息的一些属性进行设
置。
1.1.3 路由策略的应用
路由策略主要有两种应用方式:
z路由协议在引入其它路由协议发现的路由时,通过路由策略只引入满足条件的路由信息。
z路由协议在发布或接收路由信息时,通过路由策略对路由信息进行过滤,只接收或发布满足给定条件的路由信息。
说明:
z AS路径访问列表和团体属性列表的配置请参见“BGP配置”中的配置相关访问列表部分。
z应用路由策略的配置请参考相关的路由协议配置。
1.2 配置过滤列表
1.2.1 配置准备
在配置过滤列表之前,需要准备以下数据:
z前缀列表名称
z匹配的地址范围
z扩展团体属性列表序号
1.2.2 配置IPv6地址前缀列表
IPv6地址前缀列表由列表名标识,每个前缀列表可以包含多个表项。各表项可以独
立指定一个网络前缀形式的匹配范围,并使用索引号标识。例如下面这个名称为
abcd的IPv6地址前缀列表:
ip ipv6-prefix abcd index 10 permit 1:: 64
ip ipv6-prefix abcd index 20 permit 2:: 64
在匹配的过程中,系统按索引号升序依次检查各个表项,只要有某一表项满足条件,
就认为通过该过滤列表,不再去匹配其他表项。
表1-1配置IPv6地址前缀列表
操作命令说明进入系统视图system-view -
配置IPv6地址前缀列表ip ipv6-prefix
ipv6-prefix-name [ index
index-number ] { deny |
permit }ipv6-address
prefix-length [ greater-equal
greater-equal-value ]
[ less-equal less-equal-value ]
必选
缺省情况下,不指定地址前缀
列表
说明:
z如果定义了一个以上的前缀列表表项,则至少应该有一个表项的匹配模式为permit模式。
z如果所有表项都是deny模式,则任何路由都不能通过该过滤列表。建议在多条deny模式的表项后定义一条permit :: 0 greater-equal 0 less-equal 128的表
项,以允许其它所有IPv6路由信息通过
1.2.3 配置团体属性列表
对于相同的团体属性列表号,用户可以定义多个表项。在匹配过程中,各表项之间
是“或”的关系,即只要路由信息通过这组列表中的一条,就认为通过由该列表号
标识的团体属性列表。
表1-2配置团体属性列表
操作命令说明
进入系统视图system-view -
配置基本团体属性列表ip community-list
basic-comm-filter-num
{ deny | permit }
[ community-number-list ] [internet |
no-export-subconfed |
no-advertise | no-export ]*
配置团体属性列表
配置高级团体属性列表ip community-list
adv-comm-filter-num { deny
| permit } regular-expression
二者必选其一
参数community-number-list可
以根据具体需要多次输入
1.2.4 配置扩展团体属性列表
对于相同的扩展团体属性列表号,用户可以定义多个表项。在匹配过程中,各表项
之间是“或”的关系,即只要路由信息通过这组列表中的一条,就认为通过由该列
表号标识的扩展团体属性列表。
表1-3配置扩展团体属性列表
操作命令说明
进入系统视图system-view -
配置扩展团体属性列表ip extcommunity-list
ext-comm-list-number { deny |
permit } { rt { as-number:nn |
ip-address:nn } }&<1-n>
必选
&<1-n>表示前面的参数可以多
次输入
1.3 配置路由策略
路由策略用来匹配给定的路由信息或者路由信息的某些属性,并在条件满足时改变
这些路由信息的属性。匹配条件可以使用前面几种过滤列表。
一个路由策略可由多个节点构成,每个节点又分为:
z If-match子句:定义匹配规则,即路由信息通过当前Route-policy所需满足的条件,匹配对象是路由信息的某些属性。
z Apply子句:指定动作,也就是在满足由if-match子句指定的过滤条件后所执行的一些配置命令,对路由的某些属性进行修改。
1.3.1 配置准备
在配置路由策略之前,需完成以下任务:
z配置过滤列表
z配置路由协议
z在配置之前,需要准备以下数据:
z路由策略的名称、节点序号
z匹配条件
z要修改的路由属性值
1.3.2 创建一个路由策略
表1-4创建一个路由策略
操作命令说明进入系统视图system-view -
创建路由策略并进入该路由策略视图route-policy
route-policy-name { permit |
deny } node node-number
必选
缺省情况下,不创建路由策略
说明:
z permit指定节点的匹配模式为允许。当路由项通过该节点的过滤后,将执行该节点的apply子句,不进入下一个节点的测试;如果路由项没有通过该节点过滤,
将进入下一个节点继续测试。
z deny指定节点的匹配模式为拒绝,这时apply子句不会被执行。当路由项满足该节点的所有if-match子句时,将被拒绝通过该节点,不进入下一个节点;如
果路由项不满足该节点的if-match子句,将进入下一个节点继续测试。
z如果路由策略中定义了一个以上的节点,则各节点中至少应该有一个节点的匹配模式是permit。当Route-policy用于路由信息过滤时,如果某路由信息没有通过
任一节点,则认为该路由信息没有通过该Route-policy。如果Route-policy的所
有节点都是deny模式,则没有路由信息能通过该Route-policy。
1.3.3 配置If-match子句
表1-5配置If-match子句
操作命令说明进入系统视图system-view -
创建路由策略并进入该路由策略视图route-policy route-policy-name { permit |
deny } node node-number
必选
匹配BGP路由信息的AS路径域if-match as-path as-path-acl-number
可选
缺省情况下,不匹配
BGP路由信息的AS
路径域
匹配BGP路由信息的团体属性if-match community
{ basic-community-list-number
[ whole-match ] |
adv-community-list-number }&<1-n>
可选
缺省情况下,不匹配
BGP路由信息的团体
属性。&<1-n>表示前
面的参数可以多次输
入
操作命令说明
匹配路由信息的路由开销if-match cost value
可选
缺省情况下,不匹配
路由信息的路由开销
匹配BGP扩展团体属性if-match extcommunity
ext-comm-list-number
可选
缺省情况下,不匹配
扩展团体属性
匹配路由信息的出接口if-match interface { interface-type
interface-number }
可选
缺省情况下,不匹配
路由信息的出接口
匹配IPv6的路由信息(目的地址、下一跳或源地址)if-match ipv6 { address | next-hop |
route-source } { acl acl-number |
prefix-list ipv6-prefix-name }
可选
缺省情况下,不匹配
IPv6的路由信息(目
的地址、下一跳或源
地址)
匹配路由信息的MPLS 标签if-match mpls-label
可选
缺省情况下,不匹配
路由信息的MPLS标
签
匹配路由信息的类型if-match route-type { internal |
external-type1 | external-type2 |
external-type1or2 | is-is-level-1 |
is-is-level-2 | nssa-external-type1 |
nssa-external-type2 |
nssa-external-type1or2 }*
可选
缺省情况下,不匹配
路由信息的类型
匹配RIPng、OSPFv3、
ISISv6路由信息的标记域if-match tag value
可选
缺省情况下,不匹配
RIPng、OSPFv3、
ISISv6路由信息的标
记域
说明:
z对于同一个Route-policy节点,在匹配的过程中,各个if-match子句间是“与”
的关系,即路由信息必须同时满足所有匹配条件,才可以执行apply子句的动作。
z如不指定if-match子句,则所有路由信息都会通过该节点的过滤。
z在一个节点中,可以没有If-math子句,也可以有多个If-match子句。
1.3.4 配置Apply子句
表1-6配置Apply子句
操作命令说明进入系统视图system-view -
创建路由策略并进入该路由策略视图route-policy route-policy-name
{ permit | deny } node node-number
必选
在BGP的AS_Path属性中加入指定的AS号apply as-path as-number-list
[ replace ]
可选
缺省情况下,不设置AS
号
删除指定的BGP团体属性apply comm-list comm-list-number
delete
可选
缺省情况下,不删除路由
团体属性
设置BGP路由信息的团体属性apply community { none |
[ community-number-list ]
[ no-export-subconfed | no-export |
no-advertise ]* [ additive ] }
可选
缺省情况下,不设置BGP
团体属性
参数
community-number-list
可以根据具体需要多次输
入
设置路由信息的开销值apply cost [ + | - ] value 可选
缺省情况下,不设置路由信息的路由开销
设置路由信息的开销类型apply cost-type [ external | internal |
type-1 | type-2 ]
可选
缺省情况下,不设置路由
开销类型
设置BGP扩展团体属性apply extcommunity { rt
{ as-number:nn | ip-address:nn }
[ additive ] }&<1-n>
可选
缺省情况下,不设置BGP
扩展团体属性。&<1-n>表
示前面的参数可以多次输
入
设置IPv6路由信息的下一跳地址apply ipv6 next-hop ipv6-address
可选
缺省情况下,不设置IPv6
路由信息的下一跳地址。
引入路由时,使用apply
ipv6 next-hop命令设置
下一跳地址无效
设置引入路由到哪个级别的区域apply isis { level-1 | level-1-2 |
level-2 }
可选
缺省情况下,不设置引入
路由到哪个级别的区域
设置BGP路由信息的本地优先级apply local-preference preference
可选
缺省情况下,不设置BGP
路由信息的本地优先级
操作命令说明
设置MPLS标签apply mpls-label 可选
缺省情况下,不设置MPLS标签
设置BGP路由信息的Origin属性apply origin { igp | egp as-number |
incomplete }
可选
缺省情况下,不设置BGP
路由信息的路由源
设置路由协议的优先级apply preference preference 可选
缺省情况下,不设置路由协议的优先级
设置BGP路由信息的首选值apply preferred-value
preferred-value
可选
缺省情况下,不设置BGP
路由信息的首选值
设置路由信息的标记域apply tag value 可选
缺省情况下,不设置RIPng、OSPFv3、ISISv6路由信息的标记域
1.4 路由策略的显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后路由策略的运
行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除路由策略的统计信息。
表1-7路由策略的显示和维护
操作命令
查看BGP AS路径列表信息display ip as-path-acl [ as-path-acl-number ]
查看BGP团体属性列表信息display ip community-list [ basic-community-list-number | adv-community-list-number ]
查看BGP扩展团体属性列表信息display ip extcommunity-list [ ext-comm-list-number ]
查看IPv6地址前缀列表的统计信息display ip ipv6-prefix [ ipv6-prefix-name ] 查看路由策略信息display route-policy [ route-policy-name ] 清除IPv6地址前缀列表的统计信息reset ip ipv6-prefix [ ipv6-prefix-name]
1.5 路由策略典型配置举例
1. 组网需求
z使能SwitchA上的RIPng协议,配置三条静态路由。
z设置在引入静态路由时应用路由策略,使三条静态路由部分引入、部分被屏蔽掉——20::0和40::0网段的路由是可见的,30::0网段的路由则被屏蔽。
z通过在SwitchB上查看RIPng路由表,验证路由策略是否生效。
2. 组网图
图1-1过滤接收的路由信息组网图
3. 配置步骤
配置Switch A
# 配置接口Vlan-interface 100和Vlan-interface 200的IPv6地址。
[RouterA] ipv6
[SwitchA] interface Vlan-interface 100
[SwitchA-Vlan-interface100] ipv6 address 10::1 32
[SwitchA] interface Vlan-interface 200
[SwitchA-Vlan-interface200] ipv6 address 11::1 32
# 在接口下使能RIPng。
[SwitchA-Vlan-interface100] ripng 1 enable
[SwitchA-Vlan-interface100] quit
# 配置三条静态路由。
[SwitchA] ipv6 route-static 20::1 32 11::2
[SwitchA] ipv6 route-static 30::1 32 11::2
[SwitchA] ipv6 route-static 40::1 32 11::2
# 配置路由策略。
[SwitchA] ip ipv6-prefix a index 10 permit 30::0 32
[SwitchA] route-policy static2ripng deny node 0
[SwitchA-route-policy] if-match ipv6 address prefix-list a
[SwitchA-route-policy] quit
[SwitchA] route-policy static2ripng permit node 10
[SwitchA-route-policy] quit
# 启动RIPNG协议并引入静态路由。
[SwitchA] ripng
[SwitchA-ripng-1] import-route static route-policy static2ripng
配置Switch B
# 配置接口Vlan-interface 100的IPv6地址。
[RouterA] ipv6
[SwitchB] interface Vlan-interface 100
[SwitchB-Vlan-interface100] ipv6 address 10::2 32
# 在接口下使能RIPng。
[SwitchB-Vlan-interface100] ripng 1 enable
[SwitchB-Vlan-interface100] quit
# 启动RIPNG协议。
[SwitchB] ripng
# 查看RIPng路由表。
[SwitchB-ripng-1] display ripng 1 route
Route Flags: A - Aging, S - Suppressed, G - Garbage-collect
----------------------------------------------------------------
Peer FE80::963:0:E7F:1 on Vlan-interface 100
Dest 20::/32,
via FE80::963:0:E7F:1, cost 1, tag 0, A, 4 Sec
Dest 40::/32,
via FE80::963:0:E7F:1, cost 1, tag 0, A, 4 Sec
1.6 常见错误配置举例
1.6.1 无法实现路由信息过滤
1. 错误现象
路由协议运行正常的情况下无法实现路由信息过滤。
2. 分析
地址前缀列表的各个表项中至少应该有一个表项的匹配模式是permit模式。
Route-policy的各个节点中至少应该有一个节点的匹配模式是permit模式。
3. 处理过程
(1) 使用display ip ipv6-prefix命令查看前缀列表的配置。
(2) 使用display route-policy命令查看路由策略的配置。
MOXA交换机使用说明 1、IP地址的设置 通过IE工具来Ping 交换机默认的IP(出厂默认)地址,进入交换机配置界面后,直接点击确认后,进入交换机设置界面对话框,IP地址设置请选择\Main Meun\Basic Settings\Network,出现下列对话框 在此对话框下,设置人员在Switch IP Address 和 Switch Subnet Mask 旁的空白处填写预定的IP地址(如:),以及相应的子网掩码地址(如:);其他的如Auto IP Configuration 设置为Disable方式,不要选择HDCP方式。 2、主站(Master)设置 完成了IP方式的设置后,就需要对交换的通讯协议和交换机进行相应的设置,选择\Main Menu\Communication Redundancy(通讯冗余设置),进入对话框: 在此对话框内,我们需要注意的是Settings标记下方的设置参量,而Current Status 为相应的设置参量后交换机系统检测后的状态指示。
Redundancy Protocol (通讯协议设置):设置选择为Turbo Ring ,而非是IEEE802协议(快速生成树)方式; 采用Turbo Ring方式的情况下,需要在网络交换机组中设置一个Master(主站),选择主站的方式是将Set as Master前的小方框内给予选中, 只需要选择确定后,点击Activate按钮即可生效。(注意:在多个交换机组成网中只能有1个设置为Master,不可以多选;同时如果不对交换机进行Master设置,系统会自动设置交换机组中的1台为Master)。 Enable Ring Coupling (环间耦合端口定义)在实际的项目运用中不常运用到,在此不给予更多的描述。需要提醒的是工程人员在设置过程中不要将Enable Ring Coupling 前的小方格选中,同时要注意的是对应的Coupling Port和 Coupling Control Port后的端口与前面的Redundant Ports 1st Port和 2nd Port(冗余连接端口定义)设置的端口重复。 3、网络设置参数验证 完成网络参数设置后,对应的Communication Redundancy对话框内都通过Current Status状态给予体现了,包括了网络协议状态、主(Master)/从(Slave)方式;冗余端口的数据监测状态以及环间耦合状态信息。 在多台交换机组环的情况下,工程人员要注意Redundant Ports 1st Port和 2nd Port (冗余端口状态监测状态)的信息: (1)、Forwarding:(推进状态)
迈普MyPower-S千兆汇聚路由交换机配置手册V.-操作手册--维护与调试操作
————————————————————————————————作者: ————————————————————————————————日期: ?
目录 第1章维护和调试?错误!未定义书签。 1.1Ping ............................................................................ 错误!未定义书签。 1.2Ping6?错误!未定义书签。 1.3 Traceroute .................................................................... 错误!未定义书签。 1.4 Traceroute6............................................................... 错误!未定义书签。 1.5 Show ................................................................................ 错误!未定义书签。 1.6Debug........................................................................ 错误!未定义书签。 1.7 系统日志?错误!未定义书签。 1.7.1系统日志介绍 ................................................................ 错误!未定义书签。 1.7.2 系统日志配置?错误!未定义书签。 1.7.3系统日志配置举例 ........................................................... 错误!未定义书签。第2章定时重启交换机?错误!未定义书签。 2.1 定时重启交换机简介?错误!未定义书签。 2.2定时重启交换机任务序列?错误!未定义书签。 第3章CPU收发报文调试?错误!未定义书签。 3.1 CPU收发报文简介?错误!未定义书签。 3.2CPU收发报文任务序列?错误!未定义书签。
博科 300光交换配置手册 1.设备示意图 2.配置准备 Brocade交换机采用B/S架构,远程客户端通过交换机以太网管理端口实现对交换机的监控及配置。在配置之前首先要在客户端安装JAVA运行环境JRE。 3.设备配置 修改客户端IP地址与交换机为同一子网10.77.77.100; 打开浏览器输入http://10.77.77.77按下回车后会弹出登陆对话框;户名:admin 密码:password 备注:admin: 可以执行所有的命令并查看交换机状态和修改交换机的配置 user: 执行Show命令来查看交换机的状态?改变密码 以admin身份执行passwd命令 会显示每个用户,可以依次修改他们的密码 4.常用配置命令 1)Tip: 可使用下面的命令来检查Fabric OS的版本 sw:admin> version Kernel: 5.3.1 Fabric OS: v3.0.2c Made on: Thu Apr 19 12:02:15 PDT 2002 Flash: Thu Apr 19 12:04:03 PDT 2002 BootProm: T ue Apr 26 18:33:23 PST 2002 2)ipAddrShow –显示交换机的IP设置 sw:admin> ipAddrShow Ethernet IP Address: 10.77.77.77 Ethernet Subnetmask: 255.255.255.0 Fibre Channel I P Address: none Fibre Channel Subnetmask: none Gateway Address: 0.0.0.0 ? ipAddrSe t 3)为交换机设置IP地址 sw:admin> ipAddrSet Ethernet IP Address [10.77.77.77]: 192.168.66.107 Ethernet Subnetmask [0.0.0.0]: 255 .255.255.0 Fibre Channel IP Address [none]: Fibre Channel Subnetmask [none]: Gatew ay Address [172.17.1.1]: Set IP address now? [y = set now, n = next reboot]: y ? sw2: 4)显示交换机配置 admin> switchShow
H3C S5800简要配置手册 系统的配置 给交换机命名
[NH001]interface Vlan-interface10 ip address 172.16.10.1 255.255.255.0 [NH001]interface Vlan-interface11 ip address 172.16.11.1 255.255.255.0 端口的配置 在端口的配置中,我们一般将端口分为以下几种类型; 1、access port 普通接口,此接口一般用于连接用户的PC 2、trunk port 封装了802.1Q协议的端口,此端口一般用于交换机与交换机互连,需 要透传多个VLAN时配置。 一般情况下使用这两种类型端口即可满足网络的建设,使用interface GigabitEthernet1/0/1命令进入一个端口,port link-type 命令来定义当前接口的类型,使用port access 命令来将端口添加到相应的vlan当中。使用port link-type trunk命令来讲当前的接口定义为trunk 端口。 [NH001]interface GigabitEthernet1/0/1 port access vlan 200 [NH001] interface GigabitEthernet1/0/47 port link-type trunk port trunk permit vlan all 路由的配置 静态路由的命令ip route-static [NH001]ip route-static 0.0.0.0 0.0.0.0 192.168.254.3 安全的配置 安全设置主要是通过ACL的方式来实现; 1、创建ACL 使用acl number 命令来创建一个acl的规则,高级ACL 序号取值范围3000~3999。高级ACL 可以使用数据包的源地址信息、目的地址信息、IP 承载的协议类型、针对协议的特性,例如TCP 或UDP 的源端口、目的端口,TCP 标记,ICMP 协议的类型、code 等内
目录 H3C以太网交换机的基本操作........................................... 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 网络拓扑........................................................ 错误!未定义书签。 配置步骤........................................................ 错误!未定义书签。 串口操作配置................................................. 错误!未定义书签。 查看配置及日志操作........................................... 错误!未定义书签。 设置密码操作................................................. 错误!未定义书签。 验证方法........................................................ 错误!未定义书签。H3C以太网交换机VLAN配置............................................. 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 操作内容........................................................ 错误!未定义书签。 设备准备........................................................ 错误!未定义书签。 拓扑............................................................ 错误!未定义书签。 配置步骤........................................................ 错误!未定义书签。 验证方法........................................................ 错误!未定义书签。H3C以太网交换机链路聚合配置......................................... 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 操作内容........................................................ 错误!未定义书签。 设备准备........................................................ 错误!未定义书签。 网络拓扑........................................................ 错误!未定义书签。 配置步骤........................................................ 错误!未定义书签。 验证方法........................................................ 错误!未定义书签。H3C以太网交换机STP配置.............................................. 错误!未定义书签。 知识准备........................................................ 错误!未定义书签。 操作目的........................................................ 错误!未定义书签。 操作内容........................................................ 错误!未定义书签。 设备准备........................................................ 错误!未定义书签。 网络拓扑........................................................ 错误!未定义书签。
与交换机交互,可以使用三种方式: 串口 以太网口 光纤口 缺省的串口参数是:9600,N,8,1 缺省IP访问方式是: IP地址: 10.77.77.77 用户名: admin 密码:password 时区: Pacific time 交换机名称:switch 可使用ipAddrSet命令来重新设置交换机的IP地址。 在2000和3000系列交换机之中,只能同时支持一个Telnet进程。 Brocade的交换机可以使用命令行和图形界面方式进行管理。 代表性的CLI方法代表性的如:Telnet,HyperTerm和tip。对于Fabric OS v4.1,SSH v2可以被使用。 如果Brocade Secure Fabric OS被设置有效,CLI 接口必须是Brocade Secure Telnet. Brocade API v2.1提供给用户扩展访问到交换机的方法;可以轻松的整合Brocade SAN Fabric的智能到已经存在的管理应用中,或者快速的开发用户SAN 的特殊功能。该工具包可以通过Brocade Connect 站点获得。 Brocade Fabric Manager v4.0 是一个实时管理多台Brocade 光纤交换机的很好的一个工具,它提供了有效的配置、监控、动态资源分配管理。 Brocade Web Tool是一个直观简单的管理小型SAN网络的管理工具。运行支持JRE的Web Browser上。 Brocade 提供基于SNMP的MIBs用来在交换机上读和配置公共设置。
串口管理: n 一条串口连接电缆 DB9 (female-to-female) n 使用超级终端或UNIX终端 n Windows: Hyper Terminal n UNIX: tip u Microsoft Windows? 环境之中 –传输速率: 9600bit/sec –数据位: 8 –校验位: None –停止位: 1 –流控制: None u UNIX? 环境下, 输入以下命令 # tip /dev/ttyb –9600 u 安装步骤 1. 通过串口线将两者进行连接 2. 确保交换机已经加电 3. 通过ipAddrSet命令设置IP地址 (注意: 命令是大小写敏感,但是全大写或全小写也可。) 登录方式: ?用户 ?admin: 可以执行所有的命令并查看交换机状态和修改交换机的配置 ?user: 执行Show命令来查看交换机的状态 ?改变密码
第一章交换机的初始配置 1.1使用CONSOLE口进行交换机的配置 1〃超级终端配置如下: 开始-附件-通讯-超级终端,在COM口属性的窗口中选择还原默认值。 每秒位数(B):9600 数据位(D):8 奇偶校验(P):无 停止位(S):1 数据流控制(F):无 2〃配置好超级终端后,回车登陆。H P系列产品默认需要认证,才能进行管理配置,默认的 用户名为空,口令为空。 图: 此时将进入登陆模式,登陆模式的符号是一个大于号“>”,在此模式下可以实现基本的状态查看功能,通过问号“?”可以查看此状态下所有可操作的命令. HP系列产品所有模式下(登陆模式,管理模式和配置模式)均有这种帮助功能,同时 在输入命令时,可以通过
配置模式:以“(con fig)”开头,能够对设备进行配置和管理,同一时刻仅仅允许一个管理人员处在配置模式下。此模式下可以同时具有管理模式和登陆模式的功 能。 从管理模式进入配置模式的命令为:conf igur e,即可进入配置模式。从高级模式退出到低级模式的命令为exi t或disa b le。 3〃基本命令 1、查看操作系统版本及硬件信息 命令:s h o w v er sion 作用:查看当前系统版本和状态信息 ?系统当前版本: test_5304x l#s h o w v ers i on Im age sta mp:/s w/c ode/buil d/al pm o(m35) A ug2200511:27:11 E.10.04 4015 B oot Im age:Pr i m ar y ?系统主机名: ?系统C P U类型: ?系统内存容量: ?系统启动时间: ?系统当前时间: ?系统端口类型: ?系统序列号: ?系统当前能实现的功能: 2.配置主机名: 命令:hostname
FC交换机配置手册 交换机登陆 登陆方式:WEB登陆,如下图: Web初始地址:10.77.77.77,这是博科交换机的默认登陆地址。目前地址:交换机1:172.27.153.11 交换机2:172.27.153.12 交换机3:172.27.153.13 用户名:admin 密码:password,登陆对话框如下图: 点击OK按钮后,登陆到交换机后,显示如下页面:
在下面这个图中, 在下面这个图中, 显示交换机硬件等的状态。例如图中中上半部分表示交换机的端口,绿色表示已经端口正常,并已经与客户端建立通信。 表示交换机电源状态,绿色指示灯表示电源正常。 下面这个图,
这个图中的按钮,均为交换机的一些功能键,可查看交换机状态,以及进行交换机功能设置等。 交换机zoing划分方法 点击左下角进入zoing划分页面: Zoing划分主要可按照两种方式进行: 1.按照端口划分:即把同一个链路上的设备在光纤交换机上的端口划分为一个Zoing。这 种划分方式更换交换机端口后,Zoing会改变,需要重新划分。 2.按照WWn划分,即把同一个链路上的设备的WWN号(每一个光纤卡对应唯一一个 WWN号)划分为一个Zoing,这种划分方式更换客户端的光纤卡后,Zoing会改变,需要重新划分。 我们采用的为第二种方式,即按照WWN划分。 点击红框中的按键”zone”:,即可进行zoing的划分。
上图为zoing的一些功能按键,其中: New Zong :建立新的zoing Delete :删除一个已经建立的zoing Rename :重命名一个Zoing。 Copy :拷贝一个zoing。 点击New Zoing ,即可创建一个zoing。点击后出现如下页面: ,输入Zoing名称后,将WWN号添加到右侧空白处:
H3C交换机策略路由技术及其应用 1 概述 Internet的高速发展,为用户提供了更多的接入方式的选择,例如现在的高校一般都可以用教育网和电信网两种方式接入internet。为了能够让不同的用户通过不同的方式访问internet资源,用户对三层交换机的路由功能提出了更高的要求。H3C公司的策略路由技术是一种通过识别不同的网络数据包从而按照预先设定好的策略进行转发的技术,它可以对网络数据包按不同的关键字段进行识别分类,以决定其转发策略。策略路由技术可以有效的控制网络用户数据包的流向和行为。 策略路由位于IP层,在做IP转发前,如果报文命中某个策略路由对应的规则,则要进行相应的策略路由的动作,动作包括重定向到指定下一跳,以及remark 标记(如TOS、IP优先级或DSCP),然后根据重定向的下一跳代替报文的目的IP 去查FIB表,做IP转发。 图1 策略路由在系统中的位置 2 术语 NEXTHOP 重定向下一跳:策略路由处理过程中,代替报文的目的ip来查找路由表以得到真正下一跳的一个ip地址。 ACL(Access Control List) 访问控制列表:包含一系列的规则。这些规则可以用来匹配报文以决定对报文做相应的策略路由动作。 FIB (Forwarding Information Base) 转发信息表:FIB是三层转发的核心数据,用于指导IP报文的转发。 PBR (Policy Based Routing)
策略路由:根据事先预定义的策略对报文进行路由转发。 TOS (Type of Service) 服务类型:在IP报文头中的标志,用来进行流量控制。 NP (Network Processor) 网络处理器:一种用于数据报文处理的可编程、高性能网络专用处理器。 3 策略路由功能特性 PBR使用关键字对数据包进行分类从而采用不同策略对数据包进行转发,所使用的关键字为数据包本身或相关的一些特征项: 源IP地址 目的IP地址 源端口号 目的端口号 IP协议类型 PBR能够根据这些关键字进行数据包分类,不同的类别使用不同的策略路由。策略路由是基于数据包的关键特征字的,可以按关键特征字进行任意组合,使策略路由的控制更为灵活。 3.1 入接口绑定策略路由 入接口是指内网侧的接口,通过在内网侧的VLAN接口上绑定策略路由配置可以把内网中进入该VLAN接口的所有报文按照一定的规则分类,并按照不同的策略进行路由转发。一个内网接口一般都对应了一个子网。一般对一个子网的路由转发策略是相同的,所以这种方式可以简化ACL规则的复杂度。通常情况下,由于芯片的限制,入接口上配置规则的数量是受限制的。 3.2 出接口绑定策略路由 出接口是指公网一侧的接口,一般连接到更大的局域网或者internet。通过 在公网侧的VLAN接口上绑定策略路由配置可以把内网中从该接口出去的所有报文按照一定的规则分类,并按照不同的策略进行路由转发。出接口策略路由配置通常不受芯片的限制,规则数量可以达到3000条。 3.3 重定向到下一跳以及Remark标记 重定向的下一跳可以是直连的设备也可以是网络中的路由可达的非直连设备。重定向的下一跳可以同时配置多个,系统按照优先级在不同的下一跳之间切换,先配置的下一跳具有较高的优先级。当高优先级的下一跳可达时,一定是重定向到高优先级的下一跳。Remark可以改变报文的TOS、IP优先级字段或DSCP 字段。 3.4 同时作策略路由和NAT 当策略路由下一跳的出口绑定了NAT时,转发的报文在重定向以后同时会 进行NAT转换,即报文源IP转换成地址池IP,然后再进行三层转发。 4 典型组网 例如,对于校园网来说,一般都有两个网络出口,如教育网出口和电信网出
华为交换机配置手册集团标准化小组:[VVOPPT-JOPP28-JPPTL98-LOPPNN]
华为交换机配置手册 华为交换机配置手册 实验一使用华为Quidway系列交换机简单组网1.1实验目的 1.掌握华为Quidway系列交换机上的基本配置命令; 2.掌握VLAN的原理和配置; 3.掌握端口聚合(LinkAggregation)的原理和配置; 4.掌握生成树协议(STP)的原理和配置; 5.掌握GVRP协议的原理和配置; 6.掌握三层交换机和访问控制列表(ACL)的原理和配置; 7.掌握如何从PC机或其他交换机远程配置某交换机。 1.2实验环境 QuidwayS3026以太网交换机2台,QuidwayS3526以太网交换机1台, PC机4台,标准网线6根 QuidwayS3026软件版本:V100R002B01D011;Bootrom版本:V1.1 QuidwayS3526软件版本:V100R001B02D006;Bootrom版本:V3.0 1.3实验组网图 在下面的每个练习中给出。 1.4实验步骤 1.4.1VLAN配置 首先依照下面的组网图将各实验设备相连,然后正确的配置各设备的IP地址。有两台QuidwayS3026交换机和四台PC机。每台PC机的IP地址指定如下: 请完成以下步骤: 1、如上图所示,配置四台PC机属于各自的VLAN。 2、将某些端口配置成trunk端口,并允许前面配置的所有VLAN通过。 3、测试同一VLAN中的PC机能否相互Ping通。 配置如下: SwitchA: SwitchA(config)#vlan2//创建VLAN2 SwitchA(config-vlan2)#switchportethernet0/9//将以太口9划入VLAN2 SwitchA(config-vlan2)#vlan3//创建VLAN3 SwitchA(config-vlan3)#switchportethernet0/10//将以太口10划入VLAN3 SwitchA(config-vlan3)#interfaceethernet0/1//进入以太口1的接口配置模式SwitchA(config-if-Ethernet0/1)#switchmodetrunk//将e0/1接口设置为trunk模式SwitchA(config-if-Ethernet0/1)#switchtrunkallowvlanall//配置允许所有的VLAN通过 SwitchB: SwitchB(config)#vlan2 SwitchB(config-vlan2)#switchportethernet0/9 SwitchB(config-vlan2)#vlan3 SwitchB(config-vlan3)#switchportethernet0/10 SwitchB(config-vlan3)#interfaceethernet0/1 SwitchB(config-if-Ethernet0/1)#switchmodetrunk
骨干路由交换机RG-S6506产品手册(200607)
全模块化骨干路由交换机RG-S6506 产品概述: RG-S6506是锐捷网络推出的全模块化骨干路由交换机,拥有6个模块扩展槽,提供管理模块冗余,支持万兆、千兆和百兆模块线速转发,可以根据用户的需求灵活配置,构建弹性可扩展的现代IP网络。 RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是小型网络核心和大型网络骨干交换机的理想选择。
产品特性: ●强大数据处理设计(SPOH设计) ?RG-S6506交换机的交换、路由、ACL、QOS 等复杂功能通过硬件实现,避免了软件实现 同样功能对数据高速处理的影响。 ?管理模块执行路由管理、网络管理、网络服务等任务;用户接口模块可以独立实现硬件 路由、交换和组播功能;用户交换端口则独 立实现硬件ACL和QOS功能。同步式处 理设计极大地提高整机处理能力。 ●高安全保障措施 1、物理安全: RG-S6506提供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保障措施。2、病毒和攻击防护: 面对现在网络环境越来越多的网络病毒和攻击威胁,RG-S6506提供强大的网络病毒和攻击防护能力:
提供基于SPOH技术的ACL功能 支持防源IP地址欺骗、防DOS/DDOS攻击,防IP扫描等功能 提供多端口同步监控技术,支持灵活的网络监控,提升网络监控能力 3、设备管理安全: 提供SSH的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁 Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理 SNMPV3提供加密和鉴别功能:确保数据从合法的数据源发出(引擎ID);确保数据在传输过程中不被篡改(采用MD5和SHA认证协议);加密报文,确保数据的机密性(采用DES56加密协议) 4、接入安全: 硬件支持IP、MAC、端口绑定,提高用户接入控制能力。 支持802.1X技术,满足6元素绑定接入限制支持IGMP源端口检查,可有效控制非法组播源,提高网络安全。 IGMPV3支持宣告主机希望接收的多播源的
33.1配置相关命令 33.1.1ip policy route-map 要在一个接口启用策略路由,请使用接口配置命令ip policy route-map。 该命令的no形式关闭策略路由的应用。 ip policy route-map route-map no ip policy route-map 【参数说明】 【缺省情况】 缺省关闭策略路由。 【命令模式】 接口配置模式。 【使用指南】 策略路由必须在指定的接口上应用,该接口只对接收到的数据包进行策略 路由,该接口发送的数据包路由将正常按照路由表进行转发。 应用策略路由,必须要指定策略路由使用的路由图,并且要创建路由图。 一个路由图由很多条策略组成,每个策略都定义了1个或多个的匹配规 则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有包进 行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理, 符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。 注意: 我司产品一个接口最多只能配置一个路由图,在同一个接口上多次配置路 由图,后的路由图会覆盖先前配置的路由图。 【举例】
以下的配置例子中,当快速以太网接口FE0接收到数据报,如果数据报 源地址为10.0.0.1,则设置下一跳为196.168.4.6,如果源地址为20.0.0.1 则设置下一跳为196.168.5.6,否则进行普通转发。 access-list 1 permit 10.0.0.1 access-list 2 permit 20.0.0.1 route-map lab1 permit 10 match ip address 1 set ip next-hop 196.168.4.6 exit route-map lab1 permit 20 match ip address 2 set ip next-hop 196.168.5.6 exit interface GigabitEthernet 0/0 ip policy route-map lab1 exit 【相关命令】 注:route-map配置的相关命令请参考《协议无关命令参考》 ip local policy route-map 要对本地发送的报文启用策略路由,请使用命令ip local policy route-map。该命令的no形式关闭策略路由的应用。 ip local policy route-map route-map no ip local policy route-map
目录 H3C以太网交换机的基本操作 (2) 1.1 知识准备 (2) 1.2 操作目的 (2) 1.3 网络拓扑 (2) 1.4 配置步骤 (2) 1.4.1 串口操作配置 (2) 1.4.2 查看配置及日志操作 (5) 1.4.3 设置密码操作 (5) 1.5 验证方法 (6) H3C以太网交换机VLAN配置 (6) 1.6 知识准备 (6) 1.7 操作目的 (6) 1.8 操作内容 (6) 1.9 设备准备 (6) 1.10 拓扑 (6) 1.11 配置步骤 (7) 1.12 验证方法 (7) H3C以太网交换机链路聚合配置 (7) 1.13 知识准备 (7) 1.14 操作目的 (7) 1.15 操作内容 (7) 1.16 设备准备 (7) 1.17 网络拓扑 (7) 1.18 配置步骤 (8) 1.19 验证方法 (9) H3C以太网交换机STP配置 (9) 1.20 知识准备 (9) 1.21 操作目的 (9) 1.22 操作内容 (9) 1.23 设备准备 (9) 1.24 网络拓扑 (10) 1.25 配置步骤 (10) 1.26 验证方法 (11)
H3C以太网交换机VRRP配置 (11) 1.27 知识准备 (11) 1.28 操作目的 (11) 1.29 操作内容 (11) 1.30 设备准备 (11) 1.31 网络拓扑 (12) 1.32 配置步骤 (12) 1.33 验证方法 (14) H3C以太网交换机镜像配置 (14) 1.34 知识准备 (14) 1.35 操作目的 (14) 1.36 操作内容 (14) 1.37 设备准备 (14) 1.38 网络拓扑 (14) 1.39 配置步骤 (15) 1.40 验证方法 (15) H3C以太网交换机路由配置 (16) 1.41 知识准备 (16) 1.42 操作目的 (16) 1.43 操作内容 (16) 1.44 设备准备 (16) 1.45 网络拓扑 (16) 1.46 配置步骤 (16) 1.47 验证方法 (17) H3C以太网交换机ACL配置 (17) 1.48 知识准备 (17) 1.49 操作目的 (18) 1.50 操作内容 (18) 1.51 网路拓扑 (18) 1.52 配置步骤 (18) 1.53 验证方法 (18) 实验一H3C以太网交换机的基本操作 备注:H3C以太网交换机采用统一软件平台VRP,交换机命令完全相同。
赫斯曼交换机操作手册 本网络系统包含一台万兆以太网交换机(MACH 4002)作为核心交换机,两台模块化交换机(MS4128)作为次级交换机。网络系统要求划分为两个VLAN,两个VLAN之间需要通讯。 1、Vlan配置 核心交换机(MACH 4002)的管理地址分别为172.16.8.251。 两台次级交换机(MS 4128)的管理地址分别为172.16.8.252,172.16.8.253。 第一步:连接好所有设备,不考虑Port口位置。 第二步:VLAN规划 本网络划分了两个VLAN,第一个名称为VLAN1,第二个名称为VLAN2,还有一个默认VLAN,名称为Defult。 Port口详细划分如下: MACH4002: VLAN1 Port口:4.1~4.6,6.3~6.14 VLAN2 Port口:3.1~3.8 上联Port口:4.7,4.8,6.15,6.16 管理Port口:6.1,6.2 MS4128:(两台配置一样) VLAN1 Port口:2.3~1.4,3.1~3.4,4.1~4.4,5.1~5.4 VLAN2 Port口:无 上联Port口:1.1,1.2,2.1,2.2
第三步:划分VLAN 使用HiDiscovery扫描到网络内所有的交换机设备,对交换机的管理地址进行设置。 使用HiVision,在Configration-Preference中添加交换机管理地址的扫描网段,可以扫描到网络内的所有交换机如图: 单击Vlan-Manager选项卡,选择Agent list,如图: 选择Discovered devices中的所有设备并单击添加按钮将它们添加到Participating agents 中,并点击OK按钮,如图:
8500系列以太网交换机策略路由典型应用案例 网络规划: 1、两个出口分别连接教育网(CerNet)和电信(ChinaTel); 2、访问服务器2.2.2.2的数据要求从电信返回; 3、校内用户要求能够直接访问服务器; 分析: 针对以上要求,需要在8512连接服务器的接口上配置重定向。(全文配置以ICMP 为例) 首先做一条规则:
acl number 3336 rule 0 permit icmp 然后在端口上下发: [8500-Ethernet4/1/2]traffic-redirect inbound ip-group 3336 ne 3.3.3.3 做测试发现,访问2.2.2.2的报文都能从3.3.3.3出去。 但是出现一个新的问题: 校内用户1.1.1.1访问2.2.2.2也从3.3.3.3返回。 因此更改acl: acl number 3336 rule 0 deny icmp source 2.2.2.2 0 destination 1.1.1.1 0 rule 1 permit icmp 再在端口上下发但是提示: [8500-Ethernet4/1/2]traffic-redirect inbound ip-group 3336 ne 3.3.3.3 Applying Acl 3336 rule 0 failed! Reason: Can not apply actions with the "deny" acl! 原因是对于deny规则,是无法做重定向。 于是决定做两个重定向: 做acl规则 acl number 3335 rule 0 permit icmp source 2.2.2.2 0 destination 1.1.1.1 0 acl number 3336 rule 0 permit icmp 在端口上下发: interface Ethernet4/1/2
MEth 0/0/1 属于管理口