快捷導(dǎo)航

華為學(xué)習(xí)文檔資料

更新時(shí)間：2007年03月25日 00:00:00 作者：

snmp-server community pubic ro
snmp-server community private ro
snmp-server 交換機(jī)的標(biāo)識(shí)號(hào)，可通過命令查到。
snmp-server 管理平臺(tái)的IP
3550等系列密碼破除＞＞＞＞
開機(jī)按交換機(jī)前面板的mode鍵
輸入flash_init進(jìn)行初始化
輸入del flash:config.text刪除配置
輸入boot重新啟動(dòng),可破除密碼＞＞
自己做的NAT，調(diào)試成功了，呵呵
[Router]dis nat trans
  **Total 3 NAT items, 3 in hash list, 0 in extended-list
Pro  GlobalAddr    GlobalPort InsideAddr     InsidePort DestAddr      DestPort
6    192.168.34.50  12420     10.0.0.2       1473      207.46.108.89  1863
17   192.168.34.50  12432     10.0.0.2       4004      202.104.129.2528000
6    192.168.34.50  12464     10.0.0.2       1468      207.46.107.99  1863
[Router]dis cur
  Now create configuration...
  Current configuration
  !
    version 1.74
    local-user cisco service-type ppp password simple cisco
    local-user lover service-type administrator password simple cisco
    nat address-group 192.168.34.50 192.168.34.51 1
    firewall enable
    aaa-enable
    aaa accounting-scheme optional  //如果從AAA服務(wù)器過來的得不到正確的計(jì)費(fèi)應(yīng)答時(shí)，仍然讓用戶訪問網(wǎng)絡(luò)。
  !
  acl 10 match-order config
    rule normal permit source any
  !
  interface Aux0
    async mode flow
    link-protocol ppp
  !
  interface Ethernet0
    ip address 192.168.34.51 255.255.255.0
    nat outbound 10 address-group 1
  !
  interface Ethernet1
    ip address 10.0.0.1 255.0.0.0
  !
  interface Serial0
    link-protocol ppp
  !
  interface Serial1
    link-protocol ppp
  !
  quit
  ip route-static 0.0.0.0 0.0.0.0 192.168.34.1 preference 60
  !
  return
華為的學(xué)習(xí)手冊(cè)筆記
interface 進(jìn)接口或子接口，undo interface s0.1 刪除子接口
reset interface counters interface
缺省情況下，以太網(wǎng)的IP包是支持enternet 2型，
speed 10/100/negotiation
deplex full/half
bandrate /bandwidth思科同步接口是默認(rèn)64000bps，異步為9600bps
clock
默認(rèn)情況下，serial口是Dceclk,即向DTE提供時(shí)鐘，恢復(fù)為Dteclk1/2/3/4
flow control(software/handware/none)[inbond/outbond]
loopback在接口上設(shè)內(nèi)自環(huán)
interface s0#loopback
physical-mode(sync/async) 設(shè)置同異步串口
controler e1
channel set (邏輯接口編號(hào)1-30) timesolt range (0-31)
(router-e1-0)frame-format crc4/no crc4設(shè)置ce1/pri 四位冗余較驗(yàn)位
router-e1-0#loopback在邏輯口上設(shè)對(duì)內(nèi)自環(huán)及對(duì)外的回波，協(xié)議狀態(tài)為down屬于正常，用于檢測(cè)鏈路及接口的狀態(tài)
ppp MP
link-protocal ppp
ppp authenatication-mode (chap/pap)
ppp pap password xxxx
display pppoe-client session
isdn :
display isdn active-channel
    PPTP是拔廣域網(wǎng)廣口。
L2TP enable //在路由器上啟用VPDN
allow l2tp virtal-templete (templete number) [remote remote-name]
display l2tp session/tunnel
華為支持L2TP，思科支持PPTP、L2TP，
L2TP match-order {dnis-domain} //先根據(jù)被叫號(hào)碼進(jìn)行L2TP組查找，然后再根據(jù)域名組進(jìn)行查找
l2tp session-limit 1000 設(shè)置最大的會(huì)話數(shù)
l2tp-group group-number   用來創(chuàng)建l2tP組。
例：
router# l2tp-group 1
router-l2tp1# mandatory-chap //強(qiáng)制用chap 來驗(yàn)證client身份。
start l2tp{ip /對(duì)端ip}{domain-name}{dnis/電話號(hào)碼}{fullname/全名}
tunnel authentication 啟用l2tp隧道驗(yàn)證
tunnel password
tunnel name
gre
interface tunnel 0
router-tunnel0 source ip
router-tunnel0 destination ip
               gre checksum //加校驗(yàn)核允許校驗(yàn)核。默認(rèn)關(guān)
               gre key key-number
               gre sequence-datagrams   數(shù)據(jù)報(bào)需要序列號(hào)同步
IP網(wǎng)絡(luò)層
ip address ppp-negotiate命令用來允許ip協(xié)商，當(dāng)在對(duì)端路由器上配置remote IP，使得本端得到ip,g 一般用在ISP提供動(dòng)態(tài)IP。
ip address unnummbered
            封裝了PPP，HDLC，F(xiàn)RAMERELAY，tunnel的口可以借其他以太口的IP
example :interface s0
         ip add unnumbered
         interface s1
         ip add ppp-negotiate
用來配置可以用借其他的接口的IP。封裝了PPP，HDLC，F(xiàn)RAMERELAY，SLIPC以及tunnel端口
router-s0# remote address 10.0.0.1給對(duì)端配置IP
router-e0# vlan-type dot1q vid 1 指定端口加入VLAN　1
dhcp enable
dhcp server ip-pool pool-name
dhcp server forbidden-ip low-ip high-ip
network 192.168.1.0 255.255.255.0 dhpc地址池0的地址間
gateway-list　網(wǎng)關(guān)
dns-list 　　DNS的設(shè)置
domain-name mydomainname.com 表示分配給客戶端的后綴域名
dis dhcp server static
display dhcp server expired 顯示未用的IP
display dhcp server ip-in-use 顯示已用的IP
disp    dhcp server tree
reset dhcp
router-dhcp0# domain-name mydomain.com.cn
把ip與mac進(jìn)行綁定。
　　　　　　# static-bind ip-address 10.1.1.1 mask 255.255.255.0
            # static-bind mac-address 00-00-0e-3f-03-05
router acl 101
router-acl-1#rule permit source
interface e0# nat outbound 101 interface
或者：
nat address-group x.x.x.x-x.x.x.x  abc
interface s0# nat outbound 101 address-group abc
增加訪問控制列表與接口的關(guān)聯(lián)。
Interface e0
做基于端口的PAT，把內(nèi)網(wǎng)的IP關(guān)聯(lián)到外網(wǎng)IP的一個(gè)端口上面＞＞＞＞＞＞＞
[Router-Serial0]nat server global 192.168.0.4 inside 10.0.0.2  ftp tcp
userlog nat(flow-begin) (acl編號(hào))
缺省時(shí)關(guān)閉的，可以打開日志
info-center enable
info-center console　向控制口送
userlog nat
info morinitor
info syslog
static-route reference 60　默認(rèn)的優(yōu)先級(jí)為60
vpdn（虛擬私有拔號(hào)網(wǎng)）
中小型企業(yè)，利用PSTN，ISDN，拔號(hào)入網(wǎng)，為移動(dòng)辦公人員，提供接入服務(wù)。VPDN隧道協(xié)議分為PPTP，L2F，L2TP。
LAC：L2TP　ACCESS　CONCENTRATOR　 // L2TP訪問集中器。
LNS：L2TP　NETWORK　SERVER　        // L2TP網(wǎng)絡(luò)服務(wù)器。
L2TP排故的步驟:
1、檢查L(zhǎng)AC與LNS的互通性
2、檢查VPDN用戶能否通過LAC端的驗(yàn)證
3、檢查L(zhǎng)AC端是否發(fā)起L2TP隧道連接
4、檢查L(zhǎng)NS是否接收到連接
5、檢查L(zhǎng)NS端的用戶路由信息。
ospf
幾種類型：
Router-LSA 由每個(gè)路由器生成，描述了路由器的鏈路狀態(tài)和花費(fèi)，傳遞到整個(gè)區(qū)域  type=1
Network-LSA，由DR生成，描述了本網(wǎng)段的鏈路狀態(tài)，傳遞到整個(gè)區(qū)域  type=2
Net-Summary-LSA，由ABR生成，描述了到區(qū)域內(nèi)某一網(wǎng)段的路由，傳遞到相關(guān)區(qū)域  type=3
Asbr-Summary-LSA，由ABR生成，描述了到ASBR的路由，傳遞到相關(guān)區(qū)域  type=4
AS-External-LSA，由ASBR生成，描述了到AS外部的路由，傳遞到整個(gè)AS（STUB區(qū)域除外） type=5
樹型結(jié)構(gòu)，不會(huì)產(chǎn)生環(huán)路。
只有在廣播和NBMA時(shí)要選舉DR，BDR，其它的時(shí)候不需要。
import-route protocal (cost|type|tag|route-policy )  目前direct ,static,rip,is-is, bgp
abr-summary ip-add mask mask-ip area id　　　定義聚合網(wǎng)段，缺省情況下，不對(duì)其匯總聚合,而且只有在ABR上進(jìn)行其匯總。
vlink-peer router-id {hello|...}在兩臺(tái)ABR之間指定
stub區(qū)的配置：
stub{no-summary}
如果某個(gè)區(qū)被規(guī)劃成stub區(qū)域，所有區(qū)內(nèi)的路由器都要配，no-summary參數(shù)所，在abr上區(qū)域間的summary  第三種類型通告將被過濾，路由進(jìn)一步減少。
　default-cost 　value 用于stub 區(qū)，在abr上配置，指發(fā)送到stub區(qū)缺省的路由開銷費(fèi)用。
  stub區(qū)域內(nèi)不能有aSBr,不能用import-route重分發(fā)路由。
　ospf network-type (broadcast|nbma|p2mp|p2p)
當(dāng)鏈路層是PPP，HDLC封裝時(shí)，用P2P，frame-relay\x.25時(shí)，是nbma,點(diǎn)到多點(diǎn)時(shí)，要修改為p2tp.
debuging ospf{event|packet[ack|dd|hello|request|update]|isa|spf}
default import-route cost　　　引入外部路由的缺省值
default import-route type 1/2  類似于CISCO　e1/e2,
dis ospf area/error/database/
display ospf ase　外部路由顯示
dis ospf interface
copy xmodem: flash:c3500
　
網(wǎng)絡(luò)存儲(chǔ)與小型機(jī)與網(wǎng)絡(luò)設(shè)備是我今后的發(fā)展目標(biāo)。
HP，EMC，IBM，VERITAS，
dns：外設(shè)備，與服務(wù)器直接
nas:與服務(wù)器獨(dú)立有IP，但擴(kuò)展幾臺(tái)后，文件系統(tǒng)不能直接相連，
sun：光纖FC+SUN，速度快，以數(shù)據(jù)存儲(chǔ)為中心，面向網(wǎng)絡(luò)的存儲(chǔ)結(jié)構(gòu)，采用可擴(kuò)展的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)連接服務(wù)器和存儲(chǔ)設(shè)備，并將數(shù)據(jù)的存儲(chǔ)和管理集中在相對(duì) 獨(dú)立的專用網(wǎng)絡(luò)中，面向服務(wù)器提供數(shù)據(jù)存儲(chǔ)服務(wù)。
ip sun新技術(shù)，把NAS的IP與SUN的FC，10公里異地備份。
iSICI：是一種在INTERNET協(xié)議網(wǎng)絡(luò)上，是以太網(wǎng)上進(jìn)行數(shù)據(jù)塊(BLOCK)傳輸?shù)臉?biāo)準(zhǔn)，是一個(gè)供硬件設(shè)備使用的可以在IP協(xié)議上層運(yùn)行的SCSI指令集，它可以實(shí)現(xiàn)在IP網(wǎng)絡(luò)上運(yùn)行SCSI協(xié)議，使其能夠在以太網(wǎng)上進(jìn)行路由選擇。
ILM(imformation lifecycle Management)生命周期管理,即對(duì)信息的產(chǎn)生，使用到消亡這樣的一個(gè)完整的生命過程進(jìn)行有效管理，使用不同成本的存儲(chǔ)器來保存不同類型的信息。HP，IBM，VERITAS提出了自己的ILM。
中小型企業(yè)smb ，SUN，EMC
線路保證 1，主從備份：如廣域網(wǎng)通過拔號(hào)線來做備份，負(fù)載分擔(dān)：用幾條鏈路做CHANNAL GROUP
區(qū)域劃分
身份驗(yàn)證：路由器有4種 telnet\ consal\snmp\modem 遠(yuǎn)程配置
訪問控制:分級(jí)保護(hù)，不能級(jí)別的用戶，擁有不同的操作權(quán)限
         五元素是指：源IP，目標(biāo)IP，協(xié)議號(hào)，原端口號(hào)，目標(biāo)端口號(hào)
信息隱藏：NAT
數(shù)據(jù)加密和防偽：技術(shù)：數(shù)據(jù)加密，以防止傳輸不可避免地被偵聽
                      防偽：數(shù)字簽名，報(bào)文在傳輸過程中被獲取，修改，再傳，接受端進(jìn)行識(shí)別，丟棄被修改的部分。
                      IPSEC
Ip　路由策略與引入
作用：
1，  過濾路由信息的手段，
2，  發(fā)布路由信息時(shí)只發(fā)送部分信息
3，  接收路由信息時(shí)只接收部分信息
4，  進(jìn)行路由引入時(shí)引入滿足特定的條件的信息支持等值路由
5，  設(shè)置路由協(xié)議引入的路由屬性
和策略相關(guān)的五種過濾器
路由策略(routing policy)
訪問列表(access_list)
前綴列表（prefix-list）
  一個(gè)prefix-list由列表名標(biāo)識(shí)可能分為幾個(gè)部分，由序列號(hào)指定這幾個(gè)部分的匹配順序，在每個(gè)部分中，用戶可以獨(dú)立指定一個(gè)網(wǎng)絡(luò)的前綴形式的匹配范圍。在匹配過程中，不同的序列的各個(gè)部分之間的關(guān)系是或。路由信息集資匹配各個(gè)部分，通過其中的某一部分，就意味著通過該prefix-list的過濾。
自治系統(tǒng)路徑訪問列表（aspath-list）
　　僅用于BGP。
團(tuán)體屬性列表（community-list）
網(wǎng)絡(luò)中存在的幾種攻擊：
報(bào)文分析
IP地址欺騙
端口掃描
拒絕服務(wù)
分布式拒絕服務(wù)  distribute deny of service    (DDOS)
應(yīng)用層攻擊：如木馬等
AAA 驗(yàn)證，受權(quán)，記帳，它是基于用戶名和密碼的，而包過濾的防火墻ACL是基于IP的特征的
主要用于用戶拔號(hào)，進(jìn)行驗(yàn)證，受權(quán)，記費(fèi)
IPSEC/IKE
IPSEC：(IP SECURITY)，是一組開放的協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在INTERNET網(wǎng)上傳輸時(shí)的私有性，完整性和真實(shí)性。通過AH，ESP這兩個(gè)安全協(xié)議來實(shí)現(xiàn)。
IKE：internat 密鑰交換協(xié)議，用于通信雙方協(xié)商和建立安全聯(lián)盟，交換。IKE定義了通信雙方進(jìn)行身份認(rèn)證，協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法。
AAA服務(wù)器與網(wǎng)絡(luò)設(shè)備之間是走的radius 協(xié)議
提供AAA支持的服務(wù)：PPP，EXEC，F(xiàn)TP      //pix為http,ftp,telnet時(shí)驗(yàn)證。
驗(yàn)證：用戶名、口令。包PPP的PAP、CHAP，EXEC用戶驗(yàn)證，F(xiàn)TP用戶驗(yàn)證。
50user 以下在本地路由器上建立數(shù)據(jù)庫，超過50個(gè)，在radius上建立。
quidway# aaa enalbe
quidway# aaa authentication-scheme login default  radius local
       # aaa accounting-scheme optional
serial0# ppp authentication-mode pap scheme default
radius server 129.7.66.68
radius server 129.7.66.66 accouting-port 0 備份計(jì)費(fèi)服務(wù)器
radius server 129.7.66.67 authentication-port 0 備份驗(yàn)證服務(wù)器。
radius shared-key this-is-my-secret
radius retry 2
radius timer response-timeout 5
與RADISU服務(wù)器的共享密鑰為this-is-my-secret 最大重傳次數(shù)為2，間隔5秒。
首先由各種服務(wù)(ppp,ftp,exec)得到用戶的信息,送給AAA驗(yàn)證，如果通過，連同驗(yàn)證信息與授權(quán)信息給路由器，由路由器提供相應(yīng)的服務(wù)給用戶，同時(shí)RADIUS開始計(jì)費(fèi)
display aaa
debug radius primitive 原始，觀察AAA的請(qǐng)求與結(jié)果
debug radius event
aaa server/client 路由器為client
AAA是UDP 1812為驗(yàn)證端口，1813為計(jì)費(fèi)端口
作為安全協(xié)議，RADIUS自身的安全性也有一定的考慮，客戶端與服務(wù)端有共享密鑰，通過MD5算法對(duì)包進(jìn)行數(shù)字簽名，驗(yàn)證簽名的正確性可以防止網(wǎng)絡(luò)上其他主機(jī)冒充路由器或者RADIUS服務(wù)器，用戶口令也加密
gre: 實(shí)際上是種承載協(xié)議，它提供了一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中的機(jī)制，使報(bào)文能在異種網(wǎng)絡(luò)中傳輸，異種報(bào)文傳輸?shù)耐ǖ婪Q為tunnel.
GRE的協(xié)議號(hào)是47，系統(tǒng)收到一個(gè)需要封裝和路由的數(shù)據(jù)報(bào)文后，我們稱為有效負(fù)載，首先被GRE封裝然后被稱為GRE報(bào)文，這個(gè)報(bào)文接著被封裝在IP報(bào)文中，然后完全由IP層負(fù)責(zé)此報(bào)文的轉(zhuǎn)發(fā)(FORWARDING)。
IP/IPX是乘客協(xié)議 IP是運(yùn)輸協(xié)議，GRE是封裝協(xié)議。
鏈路層
IP
GRE
IP/IPX
Payload
配置命令：
interface tunnel  number
tunnel0: source ip 真實(shí)的接口地址
tunnel0:destination ip 真實(shí)的對(duì)方接口對(duì)址。
tunnel0: ip add 虛擬的IP
調(diào)試命令：display tunnel 0
IPSEC/IKE
IPSEC：(IP SECURITY)，是一組開放的協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在INTERNET網(wǎng)上傳輸時(shí)的私有性，完整性和真實(shí)性。通過AH，ESP這兩個(gè)安全協(xié)議來實(shí)現(xiàn)。ESP：50和AH：51
AH：提供數(shù)據(jù)源驗(yàn)證和數(shù)據(jù)完整性驗(yàn)證
ESP：除數(shù)據(jù)源驗(yàn)證和數(shù)據(jù)完整性驗(yàn)證，還有加密功能。
IPSEC：有tunnel 和transport。在Tunnel方式上，用戶的整個(gè)IP數(shù)據(jù)包被用來計(jì)算AH和ESP頭，AH或ESP頭和加密用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中；在傳送方式中，只是傳輸層數(shù)據(jù)被用來計(jì)算AH和ESP頭，AH或ESP和被加密的傳輸層數(shù)據(jù)被旋轉(zhuǎn)在源IP包頭后面。
AH：報(bào)文驗(yàn)證頭協(xié)議，主要提供的功能有數(shù)據(jù)源驗(yàn)證和數(shù)據(jù)完整性和防重放，算法有MD5，SHA1。AH插入標(biāo)準(zhǔn)的IP包頭后面，采用hash算法來對(duì)數(shù)據(jù)包進(jìn)行保護(hù)。
ESP：報(bào)文安全封裝協(xié)議，將需要保護(hù)的的用戶數(shù)據(jù)進(jìn)行加密后再封裝到標(biāo)準(zhǔn)的IP包中，可選的加密算法有DES，3DES。
IKE：internat 密鑰交換協(xié)議，用于通信雙方協(xié)商和建立安全聯(lián)盟，交換。IKE定義了通信雙方進(jìn)行身份認(rèn)證，協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法。
數(shù)據(jù)流：
安全聯(lián)盟(SA)：對(duì)數(shù)據(jù)流提供的安全服務(wù)通過安全聯(lián)盟SA來實(shí)現(xiàn)，它包括協(xié)議，算法，密鑰等內(nèi)容，具體確定了如何對(duì)IP報(bào)文進(jìn)行處理。一個(gè)SA就是兩個(gè)IPSEC系統(tǒng)之間的一個(gè)單向邏輯連接。輸入數(shù)據(jù)流和輸出數(shù)據(jù)流由輸入安全聯(lián)盟與輸出安全聯(lián)盟分別處理。安全聯(lián)盟由一個(gè)三元組(安全參數(shù)索引SPI、IP目的地址、安全協(xié)議號(hào)(AH或ESP)來唯一標(biāo)識(shí)。安全聯(lián)盟可以通過手工配置和自動(dòng)協(xié)商)。手工是指在通過兩端的手工配置一些參數(shù)，在兩端參數(shù)匹配和協(xié)商通過后建立安全聯(lián)盟。自動(dòng)協(xié)商是通過IKE生成和維護(hù)。
SPI：安全參數(shù)索引
是一個(gè)32位的比物的數(shù)值，在每個(gè)IPSEC報(bào)文中都攜帶該值。SPI，IP目的地址、安全協(xié)議號(hào)三者結(jié)合起來,當(dāng)IKE自動(dòng)協(xié)商時(shí)，SPI值會(huì)隨機(jī)產(chǎn)生。
共同構(gòu)成三元組。
安全聯(lián)盟生存時(shí)間(LIFE TIME)
以時(shí)間進(jìn)行限制或以流量進(jìn)行限制(每傳輸一定的字節(jié)數(shù)量的信息進(jìn)行更新)兩種
安全策略：(crypto map)
由用戶手工配置，規(guī)定對(duì)什么樣的數(shù)據(jù)流采用什么樣的安全的安全措施。
安全提議(Transform Mode)轉(zhuǎn)換方式
IKE：英特網(wǎng)密鑰交換協(xié)議，是IPSEC的信令協(xié)議。為IPSEC提供了自動(dòng)的SA協(xié)商和管理，大大減化了IPSEC的配置和維護(hù)工作。IKE不是在網(wǎng)絡(luò)上直接傳輸密鑰，而是通過一系列的數(shù)據(jù)交換，最終計(jì)算出雙方共享的密鑰，并且第三方截獲，也不足已計(jì)算出真正的密鑰，IKE具有一套自保機(jī)制，可以在不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰，驗(yàn)證身份。
數(shù)據(jù)驗(yàn)證有兩個(gè)方面的概念：
1，  保證數(shù)據(jù)的完整性
2，  身份保護(hù)，身份驗(yàn)證確認(rèn)通信雙方的身份。身份數(shù)據(jù)在密鑰產(chǎn)生之后加密傳送。實(shí)現(xiàn)了對(duì)身份數(shù)據(jù)的保護(hù)。
DH交換與密鑰分發(fā)：
是一種公共的密鑰算法。通信雙方在不發(fā)送密鑰的情況下通過一些數(shù)據(jù)，計(jì)算出共享密鑰。
IKE的交換過程：
SA交換、密鑰交換、身份ID交換及驗(yàn)證三個(gè)過程。IKE兩個(gè)階段，第一階段為建立IKE SA，主模式。
第二階段為快速模式，在IKE  SA的保護(hù)下完成 IPSEC的協(xié)商。
IPSEC的配置命令：
1，  創(chuàng)建加密的訪問控制列表
2，  定義安全提議Quidway] ipsec proposal name
quidway-ike-proposal-10]encryption-algorithm[des-3des]加密
quidway-ike-proposal-10]authentication-method[pre-share]
quidway-ike-proposal-10]authentication-algorithm[md5/sha]選擇算法
quidway-ike-proposal-10]dh{group1\group2}
quidway-ike-proposal-10]sa duration seconds
quidway] ike pre-shared-key remote remote-address
quidway] ike sa keepalive-timer [interval\timeout] seconds
3，  定義安全協(xié)議Quidway-crypto-transform-trans
封裝模式：encapsulation-mode transport/tunnel
選擇安全協(xié)議: transform {ah-new | esp-new| ah-esp-new}
             ah-new authentication-algorithm{md5-hmac-96|sha1-hmac-96}
             esp-new authentication-algorithm {md5-hmac-96| sha1-hmac-96}
             esp-new encryption-algorithm {3des|des…..}
4,創(chuàng)建安全策略
  ipsec policy name sequence-number [manual|isakmp]
  quidway-ipsec-policy-policy1-10] security acl access-list-number 引用訪問控制列表
  tunnel remote add
proposal proposal1(2,3,4) 引用安全提議
5,在接口上應(yīng)用
quidway-serial0] ipsec policy policy-name
QOS：服務(wù)質(zhì)量
目標(biāo)：避免并管理IP網(wǎng)絡(luò)擁塞
      減少IP報(bào)文的丟失率
      調(diào)控IP網(wǎng)絡(luò)的流量
      為特定的用戶或特定的業(yè)務(wù)提供專用帶寬
      支撐IP網(wǎng)絡(luò)上的實(shí)時(shí)業(yè)務(wù)
BEST-EFFORT-service (盡力而為服務(wù)模型)：主要實(shí)現(xiàn)技術(shù)FIFO
Intergrate service(綜合服務(wù)模型)業(yè)務(wù)能過信令向網(wǎng)絡(luò)申請(qǐng)?zhí)囟ǖ腝OS服務(wù)，網(wǎng)絡(luò)在流量參數(shù)描述的范圍內(nèi)，預(yù)留資源以承諾滿足該請(qǐng)求。
Differentiated service (區(qū)分服務(wù)模型)：當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)，根據(jù)業(yè)務(wù)的不同服務(wù)等級(jí)約定，有差別地進(jìn)行流量控制和轉(zhuǎn)發(fā)來解決擁塞問題。
RSVP：是第一個(gè)標(biāo)準(zhǔn)的QOS信令協(xié)議，它動(dòng)態(tài)地建立端到端的QOS，它允許應(yīng)用程序動(dòng)態(tài)地申請(qǐng)網(wǎng)絡(luò)帶寬等。RSVP不是一個(gè)路由協(xié)議，而是按照路由協(xié)議規(guī)定的報(bào)文流的路徑為報(bào)文申請(qǐng)預(yù)留資源，當(dāng)路徑變了后，它會(huì)按照新路由進(jìn)行調(diào)整，并在新的路徑上申請(qǐng)預(yù)留資源。RSVP只是在網(wǎng)絡(luò)的節(jié)點(diǎn)之間傳遞QOS請(qǐng)求，本身不完成這些QOS要求實(shí)現(xiàn)，而是通過其他的技術(shù)如:WFQ.網(wǎng)絡(luò)節(jié)點(diǎn)收到請(qǐng)求后，比較資源請(qǐng)求和網(wǎng)絡(luò)現(xiàn)有的資源，確定是否接受?？梢詫?duì)每個(gè)資源請(qǐng)求設(shè)置不同的優(yōu)先級(jí)。這樣，當(dāng)優(yōu)先級(jí)較高的資源請(qǐng)求可以在網(wǎng)絡(luò)資源不夠的情況下，搶占低優(yōu)先級(jí)的預(yù)留資源。
RSVP的缺點(diǎn)：
要求端到端所有設(shè)備支持這協(xié)議
網(wǎng)絡(luò)單元為每個(gè)應(yīng)用保存狀態(tài)信息，可擴(kuò)展性差
周期性同想念單元交換狀態(tài)信息，協(xié)議報(bào)文開銷大。
不適合在大型網(wǎng)絡(luò)中應(yīng)用。
DiffServ:首先，在網(wǎng)絡(luò)的邊緣進(jìn)行不同的業(yè)務(wù)分類，打上不同的QOS標(biāo)記(著色)。分類的依據(jù)可以是報(bào)文帶的四層，三層，三層的信息，如源IP，目IP，源MAC，目MAC，TCP或UTP端口號(hào)等。然后在網(wǎng)絡(luò)內(nèi)部，根據(jù)著色的結(jié)果在每一跳進(jìn)行相應(yīng)的處理。
DifferServ:有以下幾種技術(shù)實(shí)現(xiàn)：
CAR：根據(jù)報(bào)文所帶的信息進(jìn)行分類，并利用Precedence：(TOS的高3位最多分為8類或)DSCP(TOS的高6位)進(jìn)行著色，CAR同時(shí)也完成流量的度量和監(jiān)管。
GTS：對(duì)通過網(wǎng)絡(luò)節(jié)點(diǎn)，指定的業(yè)務(wù)或所有業(yè)務(wù)進(jìn)行流量整形，合其符合期望的流量指標(biāo)。
隊(duì)列機(jī)制：通過FIFO，PQ，CQ，WFQ等隊(duì)列技術(shù)，在網(wǎng)絡(luò)擁塞時(shí)進(jìn)行擁塞管理，對(duì)不同業(yè)務(wù)的報(bào)文按用戶指定的策略進(jìn)行調(diào)度。
擁塞避免：WRED，對(duì)網(wǎng)絡(luò)擁塞情況進(jìn)行預(yù)測(cè)，并在此基礎(chǔ)上采用隨機(jī)丟棄部TCP報(bào)文的方式。
一般，在網(wǎng)絡(luò)邊界，對(duì)報(bào)文進(jìn)行著色，在網(wǎng)絡(luò)內(nèi)部則簡(jiǎn)單的使用著色的結(jié)果作為對(duì)列調(diào)度、流量整形等處理的依據(jù)。
CAR(committed access rate):約定訪問速率
CAR用令牌桶算法，對(duì)流量進(jìn)行控制。當(dāng)CAR用來作流量監(jiān)管時(shí)，一般配置為：conform的報(bào)文進(jìn)行發(fā)送，對(duì)EXCEED的報(bào)文進(jìn)行丟棄。
命令：
qos carl carl-index {precedence precedence-value| mac mac-address}
qos car {inbound\outbound}{any\acl acl-index\carl aarl-index} cir eonnitted-rate cbs burst-size ebs exceess-burst-size conform action exceed action
acl:匹配訪問列表的報(bào)文
carl:匹配承諾訪問速率列表的報(bào)文。
Cir :正常的流量，在8k-155Mbps
Ebs: 所允許的突發(fā)數(shù)據(jù)塊的大小，取0-155m 單位為bits.
Conform Action:對(duì)符合流量約定的數(shù)據(jù)報(bào)文，可采取：
      Continue
      Discard:
      Remark-prec-continue xxxxx為數(shù)據(jù)報(bào)文重設(shè)優(yōu)先級(jí)后，交由下條QOS CAR命令處理。
      Remark-prec-pass xxxxx 為數(shù)據(jù)報(bào)文重設(shè)優(yōu)先級(jí)后，直接發(fā)送。
      Pass 直接發(fā)送。
Exceed action 指示當(dāng)數(shù)據(jù)流量不符合流量約定時(shí)，對(duì)數(shù)據(jù)報(bào)文采取動(dòng)作。注意：在一接口上(inbound或outbound)共可應(yīng)用100條car策略。應(yīng)用策略前，先禁止快速轉(zhuǎn)發(fā)功能。
實(shí)例：
quidway] qos carl 1 precedence 3
        qos carl 2 precedence 5
quidway-ethernet0] qos car inbound any cir 800000 cbs 150000 ebs 0 conform remark prec-continue 5 execeed discard
quidway-serial1] qos car inbound any cir 800000 cbs 150000 ebs 0 conformremark-pree continue 3 exceed discard
quidway-serial0] qos car outbound carl1 cir 800000 cbs 150000 ebs 0 conform pass exceed discard
quidway-serial] qos car outbound carl 2 cir 800000 cbs 150000 ebs 0 conform pass exceed discard
GTS配置命令：
為某一類別流配置整形參數(shù)
qos gts acl acl-index cir committed-rate [cbs burst-size[ebs excess-burst-size]［隊(duì)列長(zhǎng)度]]
為所有的流配置整形參數(shù)
qos gts any cir committed-rate [cbs burst-size[ebs excess-burst-size[隊(duì)列參數(shù)]]]
其中queue length 的默認(rèn)長(zhǎng)度為50
LR物理接口限速（line rate,LR）
在一個(gè)物理接口上，限制接口發(fā)送報(bào)文的總速率（對(duì)全部的流量，而GTS，CAR只適合于IP包。）
LR的配置命令：
Qos LR cir committed-rate [cbs burst-size[ebs excess burst-size]]
缺省地，burst-size是committed的兩倍
當(dāng)網(wǎng)絡(luò)出現(xiàn)堵塞時(shí)，用到隊(duì)列來實(shí)現(xiàn)。FIFO、PQ、CQ、WFQ
priority queueing優(yōu)先級(jí)隊(duì)列：
實(shí)例：
quidway]acl 1
quidway-acl-1] rule permit ip source 10.0.0.0 0.255.255.255
quidway] qos pql 1 protocol ip acl 1 queue top
quidway] qos pql 1 inbound-interface serial 1 queue bottom
quidway] qos pql 1 default-queue middle
quidway] qos pql 1 queue top queue-length 10
// 定義隊(duì)列的長(zhǎng)度為：top     20
middle  40
normal  60
bottom  80
quidway-serial0] qos pq pql 1
缺點(diǎn)，PQ當(dāng)較高的優(yōu)先級(jí)的報(bào)文絕對(duì)的優(yōu)先權(quán)，這樣雖然可以保證關(guān)鍵業(yè)務(wù)的優(yōu)先，但在較高優(yōu)先級(jí)的報(bào)文的速度總是大于接口的速度時(shí)，將會(huì)使較低優(yōu)先級(jí)的報(bào)文始終得不到發(fā)送的機(jī)會(huì)，采用CQ，定制隊(duì)列，用戶可配置隊(duì)列占用的帶寬比例關(guān)系，根據(jù)優(yōu)先級(jí)高低，輪詢調(diào)度。將可以避免這種情況的發(fā)生。CQ可以將報(bào)文分類，然后按類別將報(bào)文被分配到CQ的一個(gè)隊(duì)列中去，對(duì)每個(gè)隊(duì)列，可以規(guī)定隊(duì)列中的報(bào)文應(yīng)占接口帶寬的比例，這樣就可以讓不同業(yè)務(wù)報(bào)文獲得合理的帶寬，從而保證關(guān)鍵業(yè)務(wù)，也不到于使非關(guān)鍵業(yè)務(wù)得不到帶寬。
取值范圍為0－16，系統(tǒng)為0，缺省隊(duì)列號(hào)為16。
定義好的隊(duì)列組需要應(yīng)用在接口上。一個(gè)接口上只能應(yīng)用一個(gè)隊(duì)列組，一個(gè)隊(duì)列組可以應(yīng)用于多個(gè)接口上。
實(shí)例：
quidway]acl 1
            ] rule permit ip source 10.10.0.0 0.0.255.255
quidway] qos cql 1 protocol ip acl 1 queue 1 //訪問控制列表1定義的報(bào)文入CQ組1隊(duì)列1。
quidway] qos cql 1 queue 1 queue-length 100 //隊(duì)列1的長(zhǎng)度為100
                       queue-serving 5000 //隊(duì)列1的每次輪詢發(fā)送的字節(jié)數(shù)為5000。
Quidway] qos cql 1 intbound-interface serial 1 queue 2//將從接口S1進(jìn)入的報(bào)文入CQ組1隊(duì)列2
　　　　Qos cql 1 queue 2 queue-length 90
Quidway-serial0] qos cq cql 1// 將CQ組1應(yīng)用到串口上。
WFQ?。簑eigth fair queue 加權(quán)公平隊(duì)列
原理：在保證公平（帶寬，延遲）的基礎(chǔ)上體現(xiàn)權(quán)值，權(quán)值大小依賴IP報(bào)中帶的IP優(yōu)先級(jí)（precedence）.WFQ 對(duì)報(bào)文按流進(jìn)行分類，即相同的五個(gè)元素為一個(gè)流），每個(gè)流被分配到一個(gè)隊(duì)列當(dāng)中，過程稱為散列，入隊(duì)過程采用HASH算法自動(dòng)完成，出去時(shí)，WFQ按流的優(yōu)先級(jí)來分配每個(gè)流占有的不同的帶寬。
命令：qos wfq queue-length  64(缺省地一個(gè)隊(duì)列數(shù)據(jù)包最大數(shù)) queue  number  512（一共加起來的個(gè)包）
當(dāng)隊(duì)列中同時(shí)丟棄多個(gè)TCP連接的報(bào)文時(shí)，將造成多個(gè)TCP連接同時(shí)進(jìn)入慢啟動(dòng)和擁塞避免，稱之為：TCP全局同步。
RED（random early detection）隨機(jī)早期檢測(cè)
WRED（Weighted random early detection）加權(quán)的隨機(jī)早期檢測(cè)。
WRED：
1，  采用隨機(jī)丟棄的策略，避免了尾部丟棄的方式而引起TCP全局同步
2，  根據(jù)當(dāng)前隊(duì)列的濃度來預(yù)測(cè)擁塞的情況
3，  根據(jù)優(yōu)先級(jí)定義不同的丟棄策略，定義上限閥值和下限閥值。
4，  相同的優(yōu)先級(jí)不同的隊(duì)列，隊(duì)列長(zhǎng)度越長(zhǎng)丟棄概率越高。
一般地，WRED與WFQ一起用，
實(shí)例：
quidway-serial0] qos wfq//在接口上使用WFQ隊(duì)列策略
quidway—serial0] qos wred //使用默認(rèn)的WRED參數(shù)。
QOS信息的監(jiān)控與維護(hù)：
Display qos[car\qts\lr\cq\pq\wfq\wred] [interface type number] //接口的QOS配置和統(tǒng)計(jì)信息。
Dis qos [cql\pql]//顯示PQ與CQ的隊(duì)列列表內(nèi)容。
交換部分：
生成樹協(xié)議：
首先各端口收到的配置消息和自己的配置消息做比較，得到優(yōu)先級(jí)高的配置，并更改本身的配置消息，主要工作有：
1，  選擇根網(wǎng)橋ROOTID：最優(yōu)配置消息ROOTID，,
2，  計(jì)算到根網(wǎng)橋的路徑最短開銷值：如果自己不是根網(wǎng)橋，則開銷值rootpathcost等于所收到的最優(yōu)配置消息的開銷值與收到該配置消息的端口開銷之和
3，  選擇根端口ROOTPORT：如果自己是根橋，則根端口為0，否則一般為收到最優(yōu)配置消息的那個(gè)端口。
4，  指定端口：除了根端口外的其他生成樹上處于轉(zhuǎn)發(fā)狀態(tài)的端口
5，  最后，修改了自己的BPDU后，該網(wǎng)橋從指定端口將自己的配置消息發(fā)送出去。
如果網(wǎng)橋端口來
hello time 網(wǎng)橋從指定端口以HELLO　TIME為周期定時(shí)發(fā)送配置消息
message age \ max age　端口保存的配置消息有一個(gè)生存期message age字段，并按時(shí)間遞增，每當(dāng)收到一個(gè)生存期比自己小的配置消息時(shí)，則更新自己的配置消息，當(dāng)一段時(shí)間未收任何配置消息，達(dá)到max age時(shí)，網(wǎng)橋認(rèn)為該端口處于鏈路故障，進(jìn)行故障處理。該網(wǎng)橋?qū)仐夁@個(gè)過時(shí)的配置消息，重新計(jì)算生成樹。
　　什么時(shí)候阻塞的端口接收轉(zhuǎn)發(fā)的數(shù)據(jù)，（不包括STP協(xié)議報(bào)文），直到新的情況發(fā)生觸發(fā)生成樹的重新計(jì)算，比如另外一條鏈路斷開，或端口收到更新的配置消息。