通信基础原理学习 - IPS99技术分享

标签：组播 IP 报文配置通信学习原理路由路由器

通信基础

1通信的概念

所谓通信，就是指人与人、人与物、物与物之间通过各种媒介和行为进行的信息传递与交流。通信技术的最终目的是为了帮助人们更好地沟通和生活。

2相关术语的说明

2.1数据

应用程序生成需要传递的信息，称为数据。

2.2数据载荷

在具有层次化结构的网络通信过程中，上一层协议传递给下一层协议的数据单元（报文）都可以称之为下一层协议的数据载荷。

2.3报文

报文是网络中交换与传输的数据单元，它具有一定的内在格式，并通常都具有头部+数据载荷+尾部的基本结构。在传输过程中，报文的格式和内容可能会发生改变。

2.4头部

为了更好地传递信息，在组装报文时，在数据载荷的前面添加的信息段统称为报文的头部。

2.5尾部

为了更好地传递信息，在组装报文时，在数据载荷的后面添加的信息段统称为报文的尾部。注意，很多报文是没有尾部的。

2.6封装

对数据载荷添加头部和尾部，从而形成新的报文的过程。

2.7解封装

解封装是封装的逆过程，也就是去掉报文的头部和尾部，获取数据载荷的过程。

2.8网关

网关是在采用不同体系结构或协议的网络之间进行互通时，用于提供协议转换、路由选择、数据交换等功能的网络设备。网关是一种根据其部署位置和功能而命名的术语，而不是一种特定的设备类型。

2.9路由器

简单地讲，路由器就是为报文选择传递路径的网络设备。

3网络通信的一些基本特征

传输介质的变化不会改变需要传递的信息本身；
远距离网络通信一般都需要多个网络设备进行接力传输来完成；
对信息进行多次封装和解封装；
各个网络设备都只需要完成信息在某一段距离范围内的正确传输。

4封装和解封装的原因

（1）给信息补充一些标记，帮助网络设备正确判断该如何对信息进行处理和传输；

（2）适应不同的传输介质和传输协议。

IP基础

1 TCP/IP基础知识介绍

1.1协议的概念

所谓协议，就是指诸如计算机、交换机、路由器等网络设备为了实现通信而必须遵从的、事先定义好的一系列规则和约定。

1.2协议的分类

（1）私有协议：网络设备厂商自己定义的私有协议；

（2）开放协议：专门的标准机构定义的开放式协议。

1.3层次化协议模型主要优点

（1）更易于标准化：每一层都聚焦于自己所在层面的主要功能，不至于使问题发散，这样就更容易制定出相应的协议或标准；

（2）降低关联性：某一层协议的增加、减少、更新或变化，不至于影响到其他层面协议的工作；各协议可以相对独立地自由发展；

（3）更易于学习和理解：对于学习和研究网络的人员来说，分层模型可以使得整个网络的工作机制以及众多网络协议之间的关系更加清楚明晰，易于学习和理解。

1.4 TCP/IP的模型分层结构

7	应用层	4	应用层	5	应用层
6	表示层
5	会话层
4	传输层	3	传输层	4	传输层
3	网络层	2	网际互联层	3	网络层
2	数据链路层	1	网络接入层	2	数据链路层
1	物理层	1	网络接入层	1	物理层
OSI模型		TCP/IP标准模型		TCP/IP对等模型

1.5模型所用协议分类

7	应用层	FTAM、X.400、CMIS	5	应用层	HTTP、FTP、SMTP、SNMP
6	表示层	X.226、X.236
5	会话层	X.225、X.235
4	传输层	TP0、TP1、TP2	4	传输层	TCP、UDP
3	网络层	CLNP、X.233	3	网络层	IP、ICMP、IGMP
2	数据链路层	ISO/IEC 766	2	数据链路层	SLIP、PPP
1	物理层	EIA/TIA-232	1	物理层	……
OSI协议簇			TCP/IP协议簇

1.6常用名称与模型对应关系

5	应用层	HTTP报文、FTP报文	数通暂不关注
4	传输层	TCP段、UDP报文	数通主要关注
3	网络层	IP包
2	数据链路层	帧
1	物理层	比特

1.7常见网络拓扑结构

（1）总线：基本不采用，其主要缺点为总线故障会影响整个网络；

（2）星型：多用于局域网，非连接点断，不影响其他主机；

（3）树型：主要的优点是防环；

（4）环型：主要用于主干网和承载网，具有冗余保护的优点，现网中多采用，可靠性较高；

（5）网型：又名全连接，在主要国家骨干网中采用，普通网络采用会造成浪费，无必要，可靠性很高。

1.8互联网的组成及名词解释

LAN：局域网，是构成互联网的基本单元，范围在几公里之内；

WAN：广域网，连接不同地区局域网和城域网；

骨干网络：是用来连接不同广域网的，其采用分层次结构。

网络形式主要有城域网和移动承载网；

PTN：分组传送网，一种光传送网络架构和具体技术，中国移动主要采用这种技术建立承载网；

IPRAN：针对IP化基站回传应用场景进行优化定制的路由器/交换机整体解决方案，中国联通及中国电信主要采用这种技术建立承载网。

1.9局域网特点和常用设备

特点：

距离短；（决定性因素）
延迟小；
传输效率高；
传输可靠。

常用设备：

集线器HUB（基本已不采用），交换机（主流），路由器（主流）。

1.10同步的概念

同步是指比特同步通信技术，要求发收双方具有同频同相的同步时钟信号，只需在传送报文的最前面附加特定的同步字符，使发收双方建立同步，此后便在同步时钟的控制下逐位发送/接收。

1.11 IP网络典型结构

接入网→接入层→汇聚层→核心层→骨干网。

1.12骨干网络概述

IP骨干网络作为整个网络的核心，作为城域网的上一级网络，承担着城域网访问外网的出口及城域网之间互通的枢纽作用。

对IP骨干网的要求：

高可靠性；（采用全连接+多条链路）
灵活性和可扩展性；
扁平化；（平面+空间分层结构）
QoS（服务质量）合理规划；（根据业务内容划分优先级）
可运营可管理。

1.13骨干网网络结构

骨干网络的结构大体上可以分为两种：

平面分层结构；
平面+空间分层结构。

平面分层结构：是传统骨干网的常用的网络结构，即构建一套网络，采用分层分级的结构；

平面+空间分层结构：不同于以上组网的关键是把骨干网络划分成多个平面（一般为2个），在平面内部依然是分层次的结构。

1.14 TCP/IP协议栈的封装、解封装过程

封装过程：

用户数据→Appl首部+用户数据（应用层）→TCP首部+ Appl首部+用户数据（传输层）→IP首部+ TCP首部+ Appl首部+用户数据（网络层）→以太网帧头+ IP首部+ TCP首部+ Appl首部+用户数据+以太网帧尾（数据链路层）。

解封装过程是封装过程的逆过程。

1.15常用应用与对应的端口号

（1）远程操控TELNET，端口号为23；

（2）文件传输协议FTP，端口号为20/21；

（3）简单邮件传输协议SMTP，端口号为25；

（4）简单文件传输协议TFTP，端口号为69；

（5）域名解析服务DNS，端口号为53；

（6）超文本传输协议HTTP，端口号为80；

（7）简单网络管理协议SNMP，端口号161。

1.16 TCP与UDP的对应关系

	TCP	UDP
面向对象	面向连接	面向无连接
传输可靠性	可靠的	不可靠的
应用场合	传输大量的数据	传输效率高
速度	慢	快

1.17 TCP连接建立（三次握手）

A：seq = 0 ctl = SYN

B：seq = 0 ack = 1 ctl = SYN，ACK

A：seq = 1 ack = 1 ctl = ACK

1.18 TCP连接断开（四次握手）

A：seq = 100

B：seq = 300 ack = 101

A：seq = 101 ack = 301 ctl =FIN，ACK

B：seq = 301 ack = 102 ctl = ACK

B：seq = 301 ack = 102 ctl = FIN，ACK

A：seq = 102 ack = 302 ctl = ACK

1.19 ARP，RARP地址解析协议

ARP（地址解析协议）的作用：已知对方IP地址获取对方MAC地址，用于同一子网内的寻址。（在同一个广播域内，ARP广播查找对方MAC地址）

RARP（反向地址解析协议）的作用：已知对端MAC地址获取其IP地址。（应用较少）

1.20 IP报文格式

字段	长度	含义
Version	4比特	4：表示为IPV4； 6：表示为IPV6。
IHL	4比特	首部长度，如果不带Option字段，则为20，最长为60，该值限制了记录路由选项。以4字节为一个单位。
Type of Service	8比特	服务类型。只有在有QoS差分服务要求时这个字段才起作用。
Total Length	16比特	总长度，整个IP数据报的长度，包括首部和数据之和，单位为字节，最长65535，总长度必须不超过最大传输单元MTU。
Identification	16比特	标识，主机每发一个报文，加1，分片重组时会用到该字段。
Flags	3比特	Bit 0: 保留位，必须为0。 Bit 1: DF（Don't Fragment），能否分片位，0表示可以分片，1表示不能分片。 Bit 2: MF（More Fragment），表示是否该报文为最后一片，0表示最后一片，1代表后面还有。
Fragment Offset	12比特	片偏移：分片重组时会用到该字段。表示较长的分组在分片后，某片在原分组中的相对位置。以8个字节为偏移单位。
Time to Live	8比特	生存时间：可经过的最多路由数，即数据包在网络中可通过的路由器数的最大值。
Protocol	8比特	协议：下一层协议。指出此数据包携带的数据使用何种协议，以便目的主机的IP层将数据部分上交给哪个进程处理。
Header Checksum	16比特	首部检验和，只检验数据包的首部，不检验数据部分。这里不采用CRC检验码，而采用简单的计算方法。
Source Address	32比特	源IP地址。
Destination Address	32比特	目的IP地址。
Options	可变	选项字段，用来支持排错，测量以及安全等措施，内容丰富（请参见下表）。选项字段长度可变，从1字节到40字节不等，取决于所选项的功能。
Padding	可变	填充字段，全填0。

1.21网络层协议

ICMP（Internet控制报文协议）：为网络提供差错报告机制和状态查询机制。

IGMP（Internet 组管理协议）：因特网协议家族中的一个组播协议。该协议运行在主机和组播路由器之间。

1.22数据链路层协议功能

数据链路层分为两个子层：

LLC子层：与网络层更紧密；
MAC子层：与物理层更紧密。

1.23链路层的特殊应用——VLAN

VLAN的主要作用：划分广播域。

VLAN的优点：

隔离广播域，抑制广播报文；
减少移动和改变的代价；
创建虚拟工作组，超越传统网络的工作方式；
增强通讯的安全性；
增强网络的健壮性。

1.24 5类双绞线的线序

直连网线：白橙—橙—白绿—蓝—白蓝—绿—白棕—棕

交叉网线：白绿—绿—白橙—蓝—白蓝—橙—白棕—棕

遵循的选择条件：

同一级设备用交叉线；不同级设备用直通线。

1.25 IP地址相关知识点

（1）IP地址为32位字节，采用点分十进制表示；

（2）IP地址唯一标示一台网络设备；

（3）10.0.0.0-10.255.255.255共有2的24次方IP地址可用；

172.16.0.0-172.31.255.255共有2的20次方IP地址可用；

192.168.0.0-192.168.255.255共有2的16次方IP地址可用。

（4）IP地址分类：

A类：0+7bit（网络位）+24bit（主机位）

地址范围：1.0.0.0-126.255.255.255

子网掩码：255.0.0.0

B类：10+14bit（网络位）+16bit（主机位）

地址范围：128.0.0.0-191.255.255.255

子网掩码：255.255.0.0

C类：110+21bit（网络位）+8bit（主机位）

地址范围：192.0.0.0-223.255.255.255

子网掩码：255.255.255.0

D类：1110+组播地址

地址范围：224.0.0.0-239.255.255.255

E类：11110+保留

地址范围：240.0.0.0-255.255.255.255

特殊IP地址

网络地址：主机部分全为0；（代表一个网段）

广播地址：主机部分全为1；（特定网段的所有节点）

环回地址：网络部分为127；（环回测试）

所有网络：网络部分和主机部分全为0；（任一IP地址）

广播地址：网络部分和主机部分全为1；（本网段所有节点）

1.26主机数计算

主机数 =2n

可用主机数=2n-2

其中，n为主机位位数，-2为减去网络地址和广播地址。

子网总数 =28-n

1.27子网规划例题

（1）C类地址201.222.5.0，需要20个子网，每个子网有5台主机，应如何划分？

答：每个子网需要5台主机，即可用主机数为5，可求出n大于等于3，取最小值为3，则主机位可借网络层5位，可组成32个子网，满足条件。

（2）C类地址192.168.1.0，5台路由器，其中1台作为网关路由接入当地ISP，其它4台路由器连接到四个办公点，每个办公点20台PC，应如何划分？

答：每个子网需要配置20台PC，即可用主机数为20，可求出n大于等于5，取最小值为5，则主机位可借网络层3位。可得到8个子网，拿出与路由不重复的任意一组，进行二次规划。路由与路由相连为一个网段，需要两个IP，可规划为子网掩码为30位，则网络位向主机位借6位，可满足要求。

1.28 Ping常用命令介绍

（1）ping 127.0.0.1，检查本机协议栈；

（2）ping www.huawei.com，检查某网站是否可达；

（3）ping -n 20 202.168.12.32，表示一次发送20个ICMP报文到目的地。

（4）ping -f -l 3500 202.168.12.32，检查路径MTU。

（5）ping -a 1.1.1.1 202.168.12.32，从源地址1.1.1.1发出。

1.29交换机功能总结

数据帧交换；
终端用户设备的接入；
基本接入安全功能；（MAC地址过滤）
广播域的隔离；（VLAN）
二层链路的冗余，防环及负载均衡。

1.30路由器功能总结

隔绝广播，实现跨三层的数据互访；
路由协议的支持，维护路由表；
路径选择及数据转发；
广域网接入，地址转换及特定的安全功能。

2以太网基础知识介绍

2.1计算机上的网卡

假设计算机上有一个用来收发数据的网络接口（简称“网口”或“端口”），则在网口处会安装一块网卡。

2.2交换机上的网卡

一台交换机上总是有多个用来转发数据的网络接口（简称“网口”或“端口”），每个转发数据的网口都有一块网卡与之相对应，不同的网口对应不同的网卡。

2.3计算机、交换机上的网卡功能模块

从逻辑上讲，网卡包含7个功能模块，分别是：

CU（控制单元）；
OB（输出缓存）；
IB（输入缓存）；
LC（线路编码器）；
LD（线路解码器）；
TX（发射器）；
RX（接收器）。

2.4计算机、交换机发送信息过程

应用软件（原始数据）→经应用层、传输层、网络层得到数据包→CU（接收到数据包）→封装成帧→OB（将帧按接收顺序排列）→LC（进行线路编码）→TX（特性调整）→发送出去。

交换机转出数据与计算机发送信息过程类似。

2.5计算机、交换机接收信息过程

物理信号→RX（对物理信号功率等特性进行调整）→LD（进行线路解码）→将物理量逐个转为以帧为单位→IB（按帧的接受顺序排成一个队列）→CU（对帧进行分析和处理）→丢弃或将帧头帧尾去掉得到数据包→将数据包上传给TCP/IP模型的网络层→经网络层、传输层、应用层逐层处理→应用软件。

交换机转入数据与计算机接收信息过程类似。

2.6以太网卡知识点小结

（1）网卡工作在TCP/IP模型的数据链路层和物理层，同时具有数据链路层的功能和物理层的功能。

（2）计算机上的网卡是用来收发数据的，交换机上的网卡是用来转发数据的。

（3）交换机上的网卡和计算机上的网卡在组成结构上是完全一样的，都是由CU、OB、IB、LC、LD、TX、RX7个功能模块组成的。

（4）除了CU外，交换机上网卡和计算机上网卡的各个功能模块的工作过程完全一样。

（5）计算机上网卡的CU需要进行帧的封装和解封装，并在计算机上TCP/IP模型的网络层交换数据包。交换机上网卡的CU不需要进行帧的封装和解封装，而是直接与本交换机上其他网卡的CU进行帧的交换。

2.7以太网卡的作用

网卡的作用就是用来进行数据的收发或转发。当我们说某个端口在收发或转发数据时，实质上是指这个端口的网卡在收发或转发数据。

2.8 MAC地址的属性

凡是符合IEEE 802标准的网络接口卡都必须拥有一个MAC地址。注意：不是任何一块网络接口卡都必须拥有MAC地址。（例如，SDH网络接口卡就没有MAC地址，因为这种接口不遵从IEEE 802标准。）

MAC地址，长度为48bit（6个字节）。一块网卡的MAC地址是具有全球唯一性。

2.9 MAC地址的组成

MAC地址的长度为48bit，前24bit为生产制造厂商代码，后24bit为制造商自由分配。华为的前24bit为0x00E0FC。

MAC地址共分为三类，其MAC地址特征如下：

单播MAC地址：xxxxxxx0 xxxxxxxx xxxxxxxx xxxxxxxx

十六进制：00-00-00-00-00-00或0000-0000-0000

组播MAC地址：xxxxxxx1 xxxxxxxx xxxxxxxx xxxxxxxx

十六进制：01-00-00-00-00-00或0100-0000-0000

广播MAC地址：11111111 11111111 11111111 11111111

十六进制：ff-ff-ff-ff-ff-ff或ffff-ffff-ffff

2.10以太帧的格式

以太帧的格式有两种，分别是：

（1）IEEE 802.3 格式；（2）Ethernet Ⅱ格式，也称为DIX格式。

2.11关于Ethernet Ⅱ格式以太帧的有关问题

（1）目的MAC地址可以是一个单播MAC地址，或一个组播MAC地址，或一个广播MAC地址；

（2）源MAC地址只能是一个单播MAC地址。

（注：以太帧中的源MAC地址只能是一个单播MAC地址；组播帧的源MAC地址一定是一个单播MAC地址。）

2.12以太网交换机的操作

交换机会对通过传输介质进入其端口的每一个帧都进行转发操作，交换机的基本作用就是用来转发帧的。

交换机对于从传输介质进入其某一端口的帧的转发操作一共有3种：

（1）泛洪（Flooding）：点到多点；

（2）转发（Forwarding）：点到点；

（3）丢弃（Discarding）：不进行转发。

2.13交换机的工作原理知识点总结

（1）当计算机的网卡收到一个单播帧时，会将该单播帧的目的MAC地址与自己的MAC地址进行比较。如果两者相同，则网卡会根据该单播帧的类型字段的值将该单播中的载荷数据上送至网络层中的相应处理模块。如果两者不同，则网卡会将单播帧直接丢弃。

（2）当计算机的网卡收到一个广播帧时，会直接根据该广播帧的类型字段的值将该广播中的载荷数据上送至网络层中的相应处理模块。

（3）当交换机的网卡收到一个单播帧时，不会将该单播帧的目的MAC地址与自己的MAC地址进行比较，而是直接去查MAC地址表，并根据查表的结果决定对该单播帧执行3种转发操作的哪一种。

（4）当交换机的网卡收到一个广播帧时，直接对该广播帧执行泛洪操作。

2.14计算机和交换机对广播帧的操作对比

（1）计算机的端口在收到一个广播帧后，一定会将帧中的载荷数据送给上层协议去处理；

（2）交换机的某个端口在收到一个广播帧后，会对该帧执行泛洪操作。

2.15共享式以太网原理：CSMA/CD

先听后发，边发边听；冲突停止，随机重发。

缺陷：

冲突严重；
广播泛滥；
无任何安全性。

2.16最小帧长与最大传输距离

最大传输距离：通常由线路质量、信号衰减程度等因素决定。（衰耗）

最小帧长（64字节）：由最大传输距离和冲突检测机制共同决定。

2.17二层交换机原理

缺点：

广播泛滥；（主要缺点）
安全性仍旧无法得到有效地保证。

2.18三层交换机的特点

（1）在具有二层功能的同时提供三层功能；

（2）许多三层交换机用三层精确查找实现三层转发；

（3）针对局域网，对以太网进行了优化，大部分三层交换机只提供以太网接口和ATM局域网仿真接口。

2.19以太网帧结构（20190711补充）

符号	DMAC	SMAC	Length/T	DATA/PAD	FCS
字符数	6	6	2	46~1500	4

补充说明：

Ethernet_Ⅱ型对应的Length/T＞1500，代表该帧的类型。

Ethernet_Ⅱ型帧结构

DMAC	SMAC	Type	DATA/PAD	FCS
6	6	2	46~1500	4

如：0x0800：IP数据报；0x0806：ARP请求/应答；0x8035：RARP请求/应答。

（2）802.3对应的Length/T≤1500，代表该帧的长度。

802.3帧结构

DMAC	SMAC	Length	DSAP	SSAP	CTRL	ORG CODE	TYPE	DATA	FCS
6	6	2	1	1	1	3	2	38~1492	4

注：在TYPE的2字符，显示如Ethernet_Ⅱ型所对应的代码。

2.20 ICMP目的不可达信息提示

ICMP目的不可达信息格式

Type为消息类型，此处值为3；

Code为消息代码，常见可得到：

0 = net unreachable;网络不可达；

1 = host unreachable;主机不可达；

2 = protocol unreachable;协议不可达；

3 = port unreachable; 端口不可达，Tracert时发送的ICMP报文即为此类；

4 = fragmentation needed and DF set;需要进行分片但设置不分片比特。

3 VLAN技术原理与配置

3.1广播域与冲突域的定义

广播域：把一个广播帧所能到达的整个范围称为二层广播域，简称广播域。广播域是基于第二层（数据链路层）定义的，一个交换网络就是一个广播域。

冲突域：在同一个冲突域中的每一个节点都能收到所有被发送的帧，冲突域就是连接在同一导线上的所有工作站的集合。冲突域是基于第一层（物理层）定义的。集线器连接的各个网段，就构成一个冲突域。

交换机则可以用来分割冲突域，但不能分割广播域。

3.2 VLAN需求原因

（1）整台交换机的所有端口均属于同一个广播域；

（2）网络中的设备有可能被大量的广播损耗资源；

（3）无法根据业务需求灵活的规划网络结构；

（4）以太网缺少转发控制手段。

3.3 VLAN的作用

广播域越大，安全问题和垃圾流量问题就会越严重，通过引入VLAN技术，通过在交换机上部署VLAN机制，可以将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域，由此便可以有效地提升网络的安全性，同时减少了垃圾流量，解决了网络资源。

3.4 VLAN知识点小结

（1）一个VLAN中的所有设备都是在同一个广播域内，不同的VLAN为不同的广播域；

（2）VLAN之间相互隔离，广播不能跨越VLAN传播，因此不同VLAN之间的设备一般无法互访，不同VLAN间需通过三层设备（路由器）实现相互通讯；

（3）一个VLAN一般为一个逻辑子网，由被配置为此的VLAN乘员设备组成；

（4）VLAN中成员多基于交换机的端口分配，划分VLAN就是对交换机的接口进行划分；

（5）VLAN工作于TCP/IP对等模型的第二层（数据链路层）；

（6）VLAN层交换机一个非常根本的工作机制。

3.5 VLAN标签介绍

VLAN ID为12位，范围为0~4095，其中TPID为固定值，为0x8100。

3.6 VLAN标签的生成

主机：不接收带VLAN的标签，也不发送带VLAN的标签。

VLAN标签的生成在交换机端口上进行。

3.7 VLAN的转发流程

3.8 VLAN中Access端口的使用

（1）Access端口，一般用于连接主机和交换机；

（2）接终端的接口设置为Access口时，只能属于1个VLAN。

（3）在eNSP中的配置过程如下：

VLAN 10;创建VLAN 10

Port Ethernet 0/0/1；将VLAN 10和0/0/1口绑定

Interface Ethernet 0/0/1；进入以太网口0/0/1

Port link-type Access；配置端口类型为Access

3.9 VLAN中Trunk端口的使用

（1）Trunk端口，一般用于交换机与交换机的连接，允许多个VLAN通过；

（2）收到untagged帧后，添加自身的PVID再转发；

（3）在eNSP中的配置过程如下：

VLAN 20；创建VLAN 20

Interface Ethernet 0/0/2；进入以太网口0/0/2

Port link-type trunk；配置端口类型为Trunk

Port trunk permit VLAN 10 20；Trunk端口允许VLAN 10 20通过

3.10 VLAN的缺点

VLAN 隔离了二层广播域，也就严格的隔离了各个VLAN之间的任何流量，分属于不同VLAN的用户不能互相通信。

3.11 VLAN间通信

不同VLAN之间的流量不能直接跨越VLAN的边界，需要借助三层设备——路由，通过路由将报文从一个VLAN转发到另一个VLAN。

3.12 VLAN Trunking的使用

二层交换机上和路由器上配置他们之间相连的端口使用VLAN Trunking，使多个VLAN共享同一条物理连接到路由。

主要就是配置交换机的端口为Trunk端口，并允许相关VLAN通过；配置路由器时，采用dot1q来完成，并配置相关端口IP。（完成单臂路由配置）

3.13三层交换机配置

二层交换机和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。配置三层交换机是，使用的是vlanif指令。

4 STP原理与配置

4.1环路引发的问题

广播风暴；
MAC地址表不稳定；
多帧复制。

4.2 STP的精髓

有环的物理拓扑提高了网络连接的可靠性，而无环的工作拓扑避免了广播风暴、MAC地址表不稳定和多帧复制，这就是STP的精髓。

4.3 STP树的生成过程

（1）找树根（Root Bridge）；

交换机标识主要包含两部分，优先级2字符+MAC地址8字符，比完优先级比MAC地址。

在非根交换机上找根端口（RP）

根据径开销RPC，开销值（出方向），寻找最小的根端口。

在每一段链路上选择一个指定端口（DP）
最后确定阻塞备用端口（AP）

4.4 STP端口角色和状态

STP端口角色：

（1）根端口；（转发状态）

（2）指定端口；（转发状态）

（3）预备端口。（非转发状态）

STP端口状态：

去能状态：不转发，不接收，不发送，不学习；
阻塞状态：不转发，接收，不发送，不学习；
侦听状态：不转发，接收，发送，不学习；
学习状态：不转发，接收，发送，学习；
转发状态：转发，接收，发送，学习；

4.5 STP帧格式

Root Identifier	网桥ID都是8个字节——前两个字节是网桥优先级，后6个字节是网桥MAC地址。（8）
Root Path Cost	根路径开销，本端口累计到根桥的开销。（4）
Bridge Identifier	发送者BID，本交换机的BID。（8）
Port Identifier	发送端口PID，发送该BPDU的端口ID。（2）

4.6（根交换机）泛洪拓扑改变信息

拓扑改变通知BPDU；
拓扑改变确认配置BPDU；
拓扑改变配置BPDU。

4.7 RSTP端口角色和状态

RSTP端口角色：

根端口（RP）；
指定端口（DP）；
备份端口（BP）；指定端口备胎
预备端口（AP）；根端口备胎。

RSTP端口状态：

丢弃状态：不转发，不学习；AP端口和BP端口
学习状态：不转发，接收，发送，学习；
转发状态：转发，接收，发送，学习。

4.8 RSTP小知识点汇总

指定端口中的边缘端口，不参加BPDU计算，一直处于转发状态；
新的指定端口机制：Proposal—Agreement机制，即提议确认机制；
协商机制的前提——点到点链路；
RSTP只有一种拓扑改变信息，即RST BPDU。

4.9单个生成树的弊端

部分VLAN路径不通；
无法使用流量分担；
次优二层路径。

4.10 MST配置标识

4.11 MASTER端口

MASTER端口必须是根端口；
MASTER端口是MST的出口。

4.12 CST、CIST、IST

CST：公共生成树；

IST：内部生成树；

CIST：公共内部生成树

5 VLAN上机操作实验类项目总结

5.1利用单臂路由实现不同VLAN间通信

步骤总结：

对多个主机进行IP、子网掩码、网关的规划；
在交换机上，创建VLAN并配置A、T接口；
配置路由子接口和IP地址；
配置路由子接口封装VLAN；
进行ping测试。

命令总结：

配置A接口（交换机）；

Int e 0/0/1

Po link-type a

Po def vl 10

配置子接口IP地址（路由器）；

Int e 0/0/0.1

Ip add 192.168.1.254 24

配置子接口封装VLAN（路由器）；

Dot term vi 20

Arp br en

5.2 利用三层交换机实现VLAN间路由

步骤总结：

对多个主机进行IP、子网掩码、网关的规划；
在交换机上，创建VLAN并配置A口；
配置三层交换机实现VLAN间通信。

命令总结：

（1）配置三层交换机；

int vlanif 10

ip add 192.168.1.254 24

IP路由&VPN&MPLS&组播

1 NE系列路由器OSPF特性配置

1. OSPF的定义和特点

OSPF（开放式最短路径优先）是一个基于链路状态的内部网关协议（IGP）。OSPF作为基于链路状态的协议，具有收敛快、路由无环、可扩展等优点，成为内部优秀的网关协议被快速接受并广泛使用。

1.2 OSPF的基本特点

支持无类域间路由（CIDR）：小网变大网；
无路由自环；（路由生成树，无环）
收敛速度快；（与RIP相比）
使用IP组播收发协议数据；
支持多条等值路由；（ECMP）
支持协议报文的认证。

1.3 OSPF与RIP的主要区别

在RIP协议中，路由器会将自己所知道的关于整个网络的路由信息周期性地发送给所有的邻居路由器；
在OSPF协议中，路由器会将自己的链路状态信息一次性地泛洪给所有其他的路由器；
RIP的报文只有两种，一种是RIP请求报文，另一种是RIP响应报文；
OSPF报文有五种，分别是Hello报文（Hello Packet）、数据库描述报文（DD Packet）、链路状态请求报文（LSR Packet）、链路状态更新报文（LSU Packet）和链路状态确认报文（LSAck Packet）；
OSPF网络中，每台路由器都有一个独一无二的路由器身份号（Router-ID），RIP网络中，路由器是没有Router-ID的；
RIP只适用于小型网络，而OSPF则适用于任何规模的网络。

1.4骨干区域与非骨干区域

Area-ID为0的区域称为骨干区域，否则称为非骨干区域。
单区域OSPF网络只包含一个区域，这个区域必须是骨干区域。
多区域OSPF网络中，除了一个骨干区域外，还有若干个非骨干区域，并且每一个非骨干区域都需要与骨干区域直接相连，非骨干区域之间是不允许直接相连的。
非骨干区域之间的通讯必须要通过骨干区域中转才能进行。
非骨干区域必须与骨干区域相连；
所有的非骨干区域之间不能相连；
非骨干区域至少有一个接口在骨干区域；
边界路由的不同端口匹配不同的IP；
不同的端口可以在不同的区域；
非骨干区域通讯必须经过骨干区域。

1.5 OSPF能够支持的二层网络类型

广播网络（Broadcast）：例如以太网；
NBMA网络（非广播多路访问，现实生活已基本绝迹）
点到点网络，即P2P网络；
点到多点网络，即P2MP网络。

注：在广播网络和NBMA网络中，需要选举出DR和BDR。另外两类网络中，则不需要。

1.6链路状态

所谓链路状态，其实指的就是路由器的接口状态。路由器的某一个接口的形态主要包含了下面一些信息。

该接口的IP地址及掩码；
该接口所属区域的Area-ID；
该接口所属的路由器的Router-ID；
该接口的接口类型；
该接口的接口开销；
该接口所属的路由器的接口路由器优先级；
该接口所连的二层网络中的DR（指定路由器）；
该接口所连的二层网络中的BDR（备用指定路由器）；
该接口发送Hello报文的时间间隔；
该接口的路由器失效时间；
该接口的所有邻居路由器；
该接口的认证类型；
该接口的密匙等。

1.7 OSPF的核心思想

OSPF的核心思想就是，每台路由器都将自己的各个接口的接口状态共享给其他路由器。在此基础上，每台路由器就可以根据自己的各个接口的接口状态以及其他路由器各个接口的接口状态计算出从自己去往各个目的地的路由。

1.8链路状态通告LSA的相关知识点

LSA的主要分类：

Type-1 LSA（也称一类LSA或Router LSA）；
Type-2 LSA（也称二类LSA或Network LSA）；
Type-3 LSA（也称三类LSA或Network Summary LSA）；
Type-4 LSA（也称四类LSA或ASBR Summary LSA）；
Type-5 LSA（也称五类LSA或AS External LSA）。

LSA的主要作用

名称	谁产生的	谁发送的	代表什么	泛洪范围
Type-1 LSA	每台路由器	每台路由器	描述接口类型、IP地址、开销值等	只能在生成的Area内泛洪，不能泛洪到其他Area
Type-2 LSA	DR	DR	描述该DR所在的二层网络的网络掩码和二层网络中总共包含了哪些路由器	只能在生成的Area内泛洪，不能泛洪到其他Area
Type-3 LSA	ABR （区域边界路由器）	ABR	将自己所在的多个Area中的一类、二类LSA转化为三类LSA，其描述了Area之间的路由信息	可以泛洪到整个自治系统内部，但不能泛洪到T-Stub区域和T-NSSA区域
Type-4 LSA	ABR 所在区域的ABR	ABR 所在区域的ABR	用来描述去往ASBR的路由信息	可以泛洪到整个自治系统内部，但不能泛洪到T-Stub、Stub区域和T-NSSA、NSSA区域
Type-5 LSA	ASBR（自治系统边界路由器）	ASBR	用来描述去往自治系统外部的路由	可以泛洪到整个自治系统内部，但不能泛洪到T-Stub、Stub区域和T-NSSA、NSSA区域

这五类LSA均体现LSU（即第四类报文中）。

1.9 LSA的主要描述（20190716插入内容）

名称	LSID	ADVR	意义	范围
Router LSA	RID	ALL	集合	本区域
Network LSA	DRID	DR	当前拓扑	本区域
Network Summary LSA	Network	ABR	区域内	AS
ASBR-Sum LSA	ASBR	区域内ABR	位置	AS（除ASBR）
AS-extend	外部路由	ASBR	外部路由	AS

1.10端口配置与导通知识点小结

在一个网段上，一侧路由端口采用simple plain 123设置验证，另一侧路由端口采用simple cipher 123设置验证，可以建立通讯连接；
在一个网段上，一侧路由端口采用simple设置验证，另一侧路由端口采用MD5设置验证，不可以建立通讯连接；
在一个网段上，一侧路由端口采用区域认证设置验证，另一侧路由端口采用接口认证设置验证，不可以建立通讯连接；
在一个网段上，一侧路由端口的优先级设置为0，另一侧路由端口的优先级设置为0，不可以建立通讯连接；
在一个网段上，一侧路由端口的优先级设置为255，另一侧路由端口的优先级设置为255，不可以建立通讯连接；
在一个网段上，一侧路由端口的优先级设置为0，另一侧路由端口的优先级设置为255，可以建立通讯连接。

1.11自治系统的概念

一个自治系统（AS）是一组路由器的集合，它们拥有同样的选路策略、被同一技术管理部门管理运行。

1.12 OSPF基本配置知识点总结（基于实验）

在OSPF中，每台路由器都必须有一个Router-ID来标示自己。关于Router-ID，不手动配置的情况下，路由器会优先选择一个端口的IP地址作为自己的Router-ID。
DR和BDR是通过路由器接口的DR优先级来决定的，优先级最高的路由器将当选为DR，次之者当选为BDR；若接口的DR优先级相同，则具有最高Router-ID的路由器当选为DR，次之者为BDR；优先级可手动配置，0不参与，255为指定。
宣告IP命令：首先进入ospf界面，然后进入area界面，使用network进行网段内IP宣告。注意：此处的子网掩码应采用原子网掩码的反码。
查看邻居建立情况命令：display ospf peer brief。
查看IP路由表命令：display ip routing-table。
查看DR和BDR选举情况：display ospf interface。
重启OSPF进程：reset ospf 1 process。
设置DR优先级：进入端口配置界面，输入ospf dr-priority 数。
查询报文所经路径：tracert ip。
修改端口开销值：进度端口配置界面，输入ospf cost 数。结论：Cost越小，路由越优原则。
设置被动接口（不接收不发送OSPF报文）：进去端口配置界面，输入silent-interface 端口名。
区域认证配置：进入ospf的area区域界面，输入authentication-mode simple plain/cipher 密匙。
接口认证配置：进入端口配置界面，输入ospf authentication-mode md5 24 cipher 密匙。
认证的注意事项一：无论是区域认证还是端口认证，都需要配置同一网段的两侧，否则将无法建立连接。
认证的注意事项二：无论采用simple、MD5还是其他的编码方式，同一网段的两侧，必须采用同样的编码形式，否则将无法建立连接。

1.13 OSPF单区域配置实验

应用背景：

三个办公区，每个办公区一台路由；
每台路由器具有PC直连；
三台路由相互直连；
可满足未来使用要求。

配置步骤：

规划PC及路由器，完成编址表；
完成基本配置，测连通性；
部署单区域OSPF网络；
检查OSPF单区域的配置结果。

对应代码：

部署单区域OSPF网络

[R1]ospf 1

[R1-ospf-1]area 0

[R1-ospf-1-area-0.0.0.0]network 172.16.10.0 0.0.0.255

查看指令

[R1]display ospf interface；检查OSPF接口是否正确

<R1>display ospf peer；查看OSPF邻居状态

<R1>display ip routing-table protocol ospf；查看R1上的OSPF路由表

1.14 OSPF多区域配置

应用背景：

R1-R4为企业总部核心区，属于区域0；
R5、R6为新增分支机构；
若采用单区域配置，将导致单一区域LSA数目过于庞大，导致路由器开销过高，SPF算法运算过于频繁。
R5为区域1，R6属于区域2。

配置步骤：

规划PC及路由器，完成编址表；
完成基本配置，测连通性；
配置骨干区域路由器，检测连通性；
配置非骨干区域路由器；
检测连通性。

新指令：

display ospf lsdb；查看OSPF链路状态数据库信息

联系内容：

（1）R1及R3为区域边界路由器，该类路由器可以同时属于两个以上的区域，但其中至少一个端口必须在骨干区域内。ABR就是用来连接骨干区域和非骨干区域的，其与骨干区域之间既可以是物理连接，也可以是逻辑上的连接。

（2）“Sum-Net”的这类LSA是不参与本区域的SPF算法运算的。

1.15 关于OSPF的Cost值

OSPF的开销值为一个16位的无符号整数，范围是1~65535；
缺省情况下端口开销值的计算方法为10的八次方比带宽；
可直接配置OSPF端口的开销值；
带宽参考值在一个进程中，应一致。

1.16 OSPF报文类型

Hello报文：发现和维护邻居关系；（失效时间40s，发送时间10s）
Datebase Description报文：发送链路状态数据库摘要；描述LSDB
Link State Request报文：请求特定的链路状态信息；12字节
Link State Update报文：发送详细的链路状态信息；包含5类LSA
Link State Ack报文：发送确认报文。确认LSA Header

1.17 邻居关系建立过程

One-way：发送自己的参数，没有收到自己的参数；
Two-way：接收到既有自己的参数，也有对方的参数；
DRothe进入到Two-way状态即可。

1.18 DD报文中的I、M、MS

I：当发送连续多个DD报文时，如果这是第一个DD报文，则置为1，否则置为0；
M：当发送连续多个DD报文时，如果这是最后一个DD报文，则置为0。否则置为1，表示后面还有其他的DD报文。
MS：当两台OSPF路由器交换DD报文时，首先需要确定双方的主从关系，Router ID大的一方会成为Master。当值为1时表示发送方为Master。

1.19 LSDB同步

同步LSDB是OSPF正确计算路由的基础，在邻接关系建立的同时，OSPF路由器完成与邻接路由器的LSDB同步；
周期性更新：1800s，将本区域的LSDB中的LSA泛洪给相应区域的邻接关系；
触发更新：网络拓扑发生变化，路由器生成LSA并泛洪出去。

1.20特殊区域路由计算

Stub区域：只允许泛洪一、二、三类LSA，不能泛洪四类五类LSA；
完全Stub区域：只允许泛洪一、二类LSA，不能泛洪三类四类五类LSA；
NSSA区域：只能泛洪第七类LSA。七类路由由ASBR产生，只能在NSSA中存在，是由ABR完成七类和五类的转换。

1.21路由聚合

在区域视图[ospf-1-area-0.0.0.0]使用abr-summary；
在进程视图[ospf-1]asbr-summary;

1.22小知识点整理：

OSPF是链路状态算法路由协议；
OSPF是IGP（内部网关协议）；
RouterID是在AS内唯一标识一台运行OSPF的路由器的32位整数，格式与IP相同；
在OSPF路由域内，唯一标识OSPF路由器的是RouterID；
骨干区域号的Area ID是0.0.0.0（0或者IP地址0.0.0.0）；
所有非骨干区域必须与骨干区域相连；
所有非骨干区域之间不能直接相连；
ABR连接的区域中至少有一个是骨干区域；
在OSPF路由域中，引入外部路由的路由器被称为ASBR；
OSPF协议是先是邻居，再建邻接；
邻居有两种情况：一个是直连，二是在同一网段；
邻接关系数量=n（n-1）/2；
路由器有三种类型：一是DR；二是BDR；三是DRother；
DR可以人为指定也可以非人为指定；
路由器优先级的范围是0~255，数值越大，优先级越高，采用非抢占机制，所以路由器优先级最大的路由器不一定是DR或BDR；
路由器优先级相同，IP优先级越高越优先；
在点到点、点到多点和虚连接的链路上，不需要选举DR和BDR；
四类LSA与五类LSA联合使用；
路由路径计算：域内＞域间＞Type1外＞Type2外；
OSPF中详细描述路由器的链路状态信息的协议报文是LSU；
两台路由器建立邻接关系的情况：

点到点链路中的两台路由器；
广播网络中的DR和DRother路由器；
广播网络中的DR和BDR路由器

稳定的邻居状态：Two-way；稳定的邻接状态：Full
OSPF依据一类、二类LSA完成区域内路由计算；

依据三类LSA完成域间路由计算；

依据四类、五类LSA完成区域外路由计算；

广播式Hello报文，每隔10s发送一次，40s不发送失效；

点到点Hello报文，每隔3s发送一次，12s不发送失效；

NE系列路由器IS-IS特性配置
1. IS-IS的发展

无连接网络协议CLNP是ISO提出的OSI协议栈中的第三层协议（网络层协议），随着TCP/IP协议的流行，IS-IS在RFC1195中也加入了对IP协议的支持，实现了IP路由能力，因此IS-IS也被称为集成化IS-IS或者称为端到端的IS-IS。

2.2 OSI与IP术语比较

缩略词	OSI中的意义	IP中的意义
IS	中间系统	路由器
ES	端系统	主机
DIS	选举中间系统	选举路由器（DR）
SysID	系统ID	路由器ID
PDU	报文数据单元	IP报文
LSP	链路状态协议数据单元	LSA描述链路状态
NSAP	网络服务访问点	IP地址

2.3 IS-IS特点

IS-IS直接运行于链路层之上，在链路层的帧头之后直接封装IS-IS数据。
IS-IS协议报文采用TLV的格式，很容易拓展支持新的特性；
IS-IS固定报文头部的第一个字节为0x83；
TLV分别指type类型、length长度和value数值，这也是IS-IS扩展性能比OSPF好的原因。

2.4 NSAP和NET

NSAP：网络服务访问点，相当于OSI的网络层协议CLNP的地址（类似IP地址的概念）；
NET：网络实体地址，是一个特殊的NSAP地址；
n-selector部分为0，表明为网络层服务；
NET是OSI协议栈中网络设备本身的标识

IDP		DSP
AFI	IDI	High Order DSP	System ID	NSEL
Area ID（1-13字节）			6字节	1字节

综上所述，可以知道NET的字节大小为8~20字节。

2.5 IS-IS与OSPF区域分割的不同

OSPF的区域以Area 0、Area 1、Area 2、Area 3等分类，其区域与区域的分界点为路由器；
IS-IS的区域以L1、L2分类，其区域与区域的分界点为链路。

2.6 Level-1路由器的特点

只拥有本区域的链路状态信息；
只能通过Level-1-2路由器访问其他区域；
通过LSP中的ATT比特找到离自己最近的Level-1-2路由器；
生成指向离自己最近的Level-1-2路由器的缺省路由，访问其他区域。

2.7 Level-2路由器的特点

与其他Level-2或者Level-1-2路由器构成骨干，所以Level-2路由器只能在骨干区域；
拥有整个骨干区域路由器的LSP；
拥有整个路由器的路由信息。

2.8 Level-1-2路由器的特点

与其它Level-2或者Level-1-2路由器构成骨干；
拥有Level-1和Level-2的链路状态数据库；
会在自己生成的Level-1的LSP中设置ATT比特位；
拥有整个路由域的路由信息。

2.9 IS-IS协议报文类型

IS-IS协议报文类型有四种，分别是：

Hello报文：建立和维持邻居关系；
LSP报文：用于交换链路状态信息；
CSNP报文：包含所有LSP的摘要信息；
PSNP报文：用于数据库同步，是某些LSP的摘要信息。

2.10 IS-IS的认证方式

区域认证

在进程视图下配置，对Level-1的CNSP、PSNP和LSP报文进行认证，不会影响Hello报文，同时，在骨干区域采用区域认证是无效的。

指令为：area-authentication-mode simple 密匙。

路由域认证

在进程视图下配置，对Level-2的CNSP、PSNP和LSP报文进行认证，不会影响Hello报文。

指令为：domain-authentication-mode simple 密匙。

接口认证

在接口视图下配置，对Level-1和Level-2的Hello报文进行认证。

指令为：isis authentication-mode simple 密匙。

2.11 IS-IS邻接关系类型

相同区域邻接关系

连接类型1	连接类型2	连接方式
L1	L1	L1
L2	L2	L2
L12	L12	L12
L1	L12	L1
L2	L12	L2

区域间邻接关系

连接类型1	连接类型2	连接方式
L2	L2	L2
L12	L12	L2
L2	L12	L2

2.12 IS-IS网络类型

点到点网络：是指只把两台路由器直接相连的网络，即P2P；
广播型网络：是指支持两台以上路由器，并且具有广播能力的网络，即以太网。

2.13 SPF的概念

SPF算法即最短路径优先算法，目的在于计算到达网络拓扑中其他路由器的最短路径，其通过计算得到的最短路径树SPT，可以建立路由表。

2.14 IS-IS路由协议工作过程

建立邻接关系；
泛洪LSP；
同步LSDB；
使用SPF算法计算路由；
计算生成路由表。

2.15 IS-IS基础配置流程

（1）创建IS-IS进程：isis process id；

（2）配置网络实体名：network-entity net；

（3）配置路由器的Level级别：is-Level-1

（4）在指定端口上使能IS-IS：isis enable 1。

2.16路由渗透的概念

L1与L1不能直接相连，L1区域内的路由信息会通过L12通报给L2，L12会将带有路由信息封装进L2 LSP中，并将其传递给其他L2和L12，默认状态下，不会发给L1，综上所述，L1只能通过缺省路由访问外部网络，但要满足经最优路径访问其他区域，使用缺省路由不能实现，所以将L12和L2将自己知道的其他L1区域的路由通报给L1的过程叫路由渗透。

2.17小知识点整理

IS-IS的扩展性能比OSPF好的原因在于IS-IS协议报文采用TLV的格式；
NET的组成包括Area ID、System ID、NSEL三部分；
可能出现在IS-IS骨干区域中的路由有Level-2和Level-1-2；
建立区域间的邻接关系，只能用Level-2和Level-1-2，不能使用Level-1；
查看LSP采用display isis lsdb，其中伪节点是逻辑上的点，分片号01分片、00不分片，保持时间默认为1200s，A=0为没有L12路由器，A=1为L12路由，O为过载位，down后不参与计算；
广播网络LSDB同步采用周期性泛洪，没有确认过程；

点到点链路LSDB同步采用不泛洪，用确认机制；

窄开销的取值范围是0~63，宽开销的范围是0~1023；
两台路由器建立邻接关系：

同一区域的L1和L12；
不同区域的L2和L2；
同一区域的L2和L12；

路由渗透技术应配置在L12路由器上；

3 NE系列路由器BGP特性配置

3.1 IGP及EGP

每个自治系统AS用AS号来标识，是一个有管理机构独自管理的互联网络。每个AS内，管理机构可以自主选择IGP协议，如OSPF、ISIS等；AS之间通过EGP协议来共享信息，即BGP，从此达到整个互联网络的互联互通。

3.2 BGP基本特点

BGP是一种外部网关协议（EGP），与OSPF、RIP等内部网关协议（IGP）不同，其着眼点不在于发现和计算路由，而在于控制路由的传播和选择最佳路由；
BGP使用TCP作为其传输层协议（端口号为179），提高了协议的可靠性；
BGP支持无类别域间路由CIDR；
路由更新时，BGP只发送更新的路由，大大减少了BGP传播路由所占的带宽，适用于在Internet上传播大量的路由信息；
BGP是一种距离矢量路由协议，从设计上避免了环路的发生；
BGP提供了丰富的路由策略，能够对路由实现灵活的过滤和选择。

3.3公有自治系统和私有自治系统

公有自治系统的号码范围为1~64511；

私有自治系统的号码范围为64512~65535。

3.4 BGP路由传递过程

BGP邻居关系建立；
IGP路由注入到BGP；
BGP邻居之间通过BGP路由通告原则互相传递路由。

3.5 BGP协议报文

BGP协议报文分为四类，分别是

Open报文：建立邻居关系；
Keepalive报文：保证BGP连接的可持续性；
Update报文：更新报文（路由）；
Notification报文：通知运行错误报文。

3.6 BGP通告原则

原则1：BGP只通告在本地BGP路由表中的最优且有效地路由；

原则2：本地始发的路由都是最优且有效路由，都是会被通告给邻居路由器的，包括IBGP邻居和EBGP邻居；

原则3：从EBGP对等体获得的BGP路由将向除路由获取端以外的其他所有BGP邻居通告，包括IBGP邻居与EBGP邻居；

原则4：从IBGP邻居接收到的BGP路由不再向其他IBGP邻居通告；（防环原则）；

原则5：从IBGP获得的路由是否通告给他的EBGP对等体要依IGP和BGP同步的情况来确定；（同步原则）

3.7 BGP路由通告

Update协议报文用于在对等体之间交换路由信息

Update消息可以发布多条属性相同的可达路由信息，也可以撤销多条不可达的路由信息；
一条Update消息可以发布多条具有相同路由属性的可达路由，这些路由可共享一组路由属性。所有包含在一个给定的Update消息里的路由属性适用于该Update消息中所有目的地；
一条Update可以撤销多条不可达路由；
一条Update消息可以只用于撤销路由；也可以只用于通告可达路由。

3.8 BGP路由属性分类

公认必须遵循：所有BGP路由器都可以识别，且必须存在于Update中，若缺少，则报错；
公认任意：所有BGP路由器都可以识别，不要求存在Update中；
可选过渡：BGP不支持此属性但仍会接受并通告给其他对等体；
可选非过渡：如果BGP不支持此属性，则会被忽略，且不会通告。

3.9 Next Hop

BGP向EBGP对等体发布时，路由信息的下一跳要设置为本地更新源的接口地址；
BGP将本地始发路由发布给IBGP对等体时，指定下一跳为自己；
向IBGP对等体发布从EBGP对等体学来的路由时，并不改变该路由信息的下一跳；

3.10团体属性

团体属性用来简化路由策略的应用和降低维护管理的难度；
没有物理上的边界，与其所在的AS无关，这些目的地址共享一个或多个共同的属性；
团体属性用一组4字节为单位的列表表示，格式为aa：nn，aa和nn的取值范围1~65536。

3.10 BGP最优路径选择过程

首先丢弃下一跳不可达的路由；
优选协议值（PrefVal）最大的路由；
优选本地优先级（Local_Pref）最高的路由；
优选聚合路由（聚合路由优先级高于非聚合路由）；
优选AS路径最短的路由；
比较起点属性IGP＞EGP＞INCOMPLETE；
优选MED值最低的路由；
优选从EBGP学来的路由（外高于内）；
优选AS内部的IGP的Metric最低的路由；
优选Cluster_List最短的路由；
优选Originator_ID最小的路由；
优选Router ID最小的路由器发布的路由；
比较对等体的IP地址，优选从具有较小IP地址的对等体学来的路由。

小知识点整理

公有自治系统号码范围是1~64511、私有自治系统号码范围是64512~65535；
BGP通过携带AS路径信息，可以解决路由循环问题；
路由更新时，BGP只发送增量路由，大大减少了BGP传输路由所占用的带宽，适用于在Internet上传播大量的路由信息；
BGP邻居关系类型有：IBGP邻居和EBGP邻居；
BGP建立邻居关系需要用到Open报文，传递消息需要用到Update报文，撤销路由信息需要用到Update报文；
成为BGP路由的途径有：一用import-route命令把IGP发现的路由注入到BGP的路由表中；二用network命令把IGP发现的路由注入到BGP的路由表中。
起点属性三个值的优先顺序是IGP＞EGP＞INCOMPLETE；
AS_Path作用：一是优选路径，二是防环作用；
MED作用在两个AS之间，越小越优先，影响该属性的AS的入方向流量；
Local_Pref作用在一个AS内部，越大越优先，影响该属性的AS的出方向流量。
路由过滤的作用：避免路由引入导致次优路由，避免路由回馈导致的路由环路，进行精确的路由引入和路由通告控制。
路由过滤原则：

在出方向过滤路由；

只能过滤路由信息，链路状态信息是不能做过滤的。

可以在入方向过滤路由；
可以过滤从其他路由协议引入的路由；
可以使用filter-policy进行过滤，也可以使用ip-prefix进行过滤。

策略路由和路由策略的区别

策略路由可以不按照路由表进行报文的转发；
路由策略主要控制路由信息的引入、发布、接收等。

4 OSPF实验整理

4.1 OSPF基本配置

实验步骤：

指定路由器RID，取消CLI界面通知信息；
路由器端口配置IP地址，设置回环地址；
进入ospf界面，在进入相关区域Area 0或1；
区域内，公告该区域端口地址；
可选择添加认证，需配置两端接口。

基本配置指令：

Undo info en；
Router id 1.1.1.1；
Int g0/0/0 10.1.1.1 30；
Int loo 0 1.1.1.1 32；
Network 1.1.1.1 0.0.0.0；

附加指令：

Ospf dr-priority + 数；在接口模式下输入，更改端口优先级
Reset ospf 1 process；重启ospf进程
Ospf cost 2000；在接口状态下，更改开销值
Authentication-mode simple(md5 + 数字) plain 密匙；区域、端口

查询指令：

Display ospf peer brief；查询ospf邻居建立状态
Display ip routing-table；查询IP信息
Display ospf interface；DR/BDR选举情况、优先级、开销等

6 BGP实验配置总结

6.1 BGP邻居关系

实验步骤：

指定路由器RID，取消CLI界面通知信息；
路由器端口配置IP地址，设置回环地址；
物理接口连接或逻辑接口连接；

基本配置指令：

Bgp 65003；进入bgp界面
Peer + 对端接口IP + as-number +端口所在区域；物理接口连接方法
Peer + 对端接口IP + as-number +端口所在区域；逻辑接口非同区
Peer + 对端L0 IP + as-number +端口所在区域；逻辑接口同区
Peer + 对端L0 IP + connect-interface L 0；指定L0为报文IP源地址

附加指令：

Peer ebgp-max-hop 2；配置BGP报文的TTL值为2，需求条件为EBGP连接采用逻辑接口连接时。

（2）ip route-static 目的IP 子掩码出接口；使用逻辑接口不能建立TCP连接时。

查询指令：

Display bgp peer；查看bgp邻居关系
Display bgp routing-table；查看BGP路由表

6.2 BGP引入直连路由和手动聚合

实验步骤：

在6.1的基础上，继续完成；
引入外部路由到BGP协议中；
完成路由的手动聚合。

基本配置指令：

Import-route direct；引入直连路由到BGP协议中
Ip route-static 100.1.1.1 255.255.255.255 null0；配置静态黑洞路由
Network 192.168.1.1；在bgp命令窗口下
Aggregate 192.168.0.0 16；手动聚合，要求BGP路由表中至少要存在一条属于聚合后的路由的子网路由，否则聚合不生效。

附加指令：

Ip ip-prefix no-adver permit 172.16.1.0 24；使用no-advertise关键字控制路由聚合，通过路由策略告知对等体，不要再将这些路由通告给其他任何BGP对等体；
Peer 172.16.1.0 advertise-community；为了将团体属性传递给任何对等体，缺省情况下是不传递的。

6.3 BGP路径选择——Local Preference

实验步骤：

简单修改Local Preference的值；
使用Route-Policy修改Local Preference的值；

基本配置指令：

Default local-preference 200；在bgp视图下，简单手动修改值为200，口诀：想在哪出AS在哪改。
Ip ip-prefix 1 permit 10.0.1.1 32；目的地IP

Route-policy 1 permit node 10；想让路由从哪走就在哪设置

If-match ip-prefix 1；

Apply local-preference 500；

Q；

Route-policy 1 permit node 20；

Bgp 65004；AS系统号

Peer 接收路由端口（10.4.4.1）route-policy 1 import；

查询指令：

Tracert -a 源IP 目的IP；带源地址的路径查询指令
Display default-parameter bgp；查询BGP协议的默认参数

6.4 BGP路径选择——MED

实验步骤：

控制来自同一AS的数据流量的最佳路径选择

基本配置：

Ip ip-prefix 1 permit 172.16.1.0 24

Ip ip-prefix 1 permit 172.16.2.0 24；用前缀匹配要修改MED的路由

Route-policy 1 permit node 10；

If-match ip-prefix 1

Apply cost 100

Route-policy 1 permit node 20

If-match ip-prefix 2

Apply cost 200

Route-policy 1 permit node 30；

在接收端路由器上创建RP1，将172.16.1.0/24的MED配置为100，将172.16.2.0/24的MED配置为200。

Route-policy 2 permit node 10

If-match ip-prefix 2

Apply cost 100

Route-policy 2 permit node 20

If-match ip-prefix 1

Apply cost 200

Route-policy 2 permit node 30

在接收端路由器上创建RP2，将172.16.2.0/24的MED配置为100，将172.16.1.0/24的MED配置为200。

（3）在接收端配置，使得其在传递路由给一个时调用RP1，使其在传递路由给另一个时调用RP2。（在接收端的bgp视图下配置）

Peer 10.0.12.2 route-policy 1 export；（一条链路）

Peer 10.0.13.103 route-policy 2 export；（另一条链路）

import-route ospf 1；注入ospf路由

配置路由策略方法

前缀列表：创建前缀列表，选择要选取的路由

Ip ip-prefix (WTW) permit ip地址

路由策略：创建路由策略

Route-policy （WTW） permit node 10

If-match ip-prefix （WTW）

Apply 要修改的值数值

应用

在BGP界面

Peer 对等体 route-policy （WTW） export

7 NE系列路由器MPLS特性配置

7.1 MPLS定义

MPLS位于TCP/IP协议栈中的链路层和网络层之间，被称为2.5层协议。用于向IP层提供连接服务，同时又从链路层得到服务。MPLS以标签交替替代IP转发。MPLS类似于QinQ，是一种隧道技术，支持多种高层协议和业务，在一定程度上也可以保证信息安全。

7.2 MPLS的三大应用

MPLS VPN应用；（虚拟专用网）
MPLS TE应用；（流量工程）
MPLS QoS应用。（服务质量）

7.3 MPLS支持的网络协议

IPv4、IPv6、IPx及CLNP。

7.4 MPLS体系结构

控制平面之间基于无连接服务，利用现有IP网络实现；
转发平面也称为数据平面，是面向连接的，可以使用ATM、帧中继等二层网络；
MPLS使用短而定长的标签封装分组，在转发平面实现快速转发。在控制平面，MPLS拥有IP网络强大灵活的路由功能，可以满足各种新应用对网络的要求；
对于MPLS路由器，在转发平面只需要进行标签分组的转发；
IP转发基于非连接的，标签是根据路由计算来的。

7.5 MPLS网络模型的名词解释

LER：标签边缘路由器；

LSR：标签交换路由器；

LSP：标签交换路径。

7.6 MPLS控制平面和转发平面

控制平面有：Routing Protocol（路由交换协议）、IP Routing Table（IP路由表）、Lable Distribution Protocol（标签交换协议）；

转发平面有：IP Forwarding Table（IP转发路由表）和Label Forwarding Table（标签转发表）。

7.7 MPLS Header

LABEL

EXP

TTL

总长度为32bit，即4字节；
LABEL：该标签用于报文转发，长度为20bit，只有本地意义，在本地起作用，已定标签为0~15；
EXP：通常用来承载IP报文中的优先级，长度为3bit，有0~7个优先级；
S：标识栈底用来表明是否是最后一个标签（MPLS标签可以多层嵌套），长度为1bit，理论上可以进行无限嵌套，但实际只进行2~3层嵌套，是标签栈底则置为1，不是标签栈底则为0；
TTL：类似IP头部的TTL，用来防止报文环路等，长度为8bit，范围为0~255。

7.8 FEC与NHLFE

FEC转发等价类，是一组具有某些共性的数据流的集合。这些数据流在转发过程中被LSR以相同方式处理；
FEC可以根据地址、业务类型、QoS等要素进行划分。在传统的采用最长匹配算法的IP转发中，到同一条路由的所有报文就是一个转发等价类；
NHLFE下一跳标签转发表项，进行标签转发时用到，NHLFE包含报文的下一跳、如何进行标签操作，包括压入新的标签，弹出标签，用新的标签替换原有的标签等操作；
NHLFE还可能包含一些其他信息，如发送报文使用的链路层封装等。

7.9 MPLS静态配置的步骤（OSPF）

搭建拓扑图，完成端口IP配置；
打通IBGP，完成基本操作；
从一侧到另一侧配置入接口标签和出方向标签；
反方向，从一侧到另一侧配置入接口标签和出方向标签；
检查连通性，使用ping lsp ip 4.4.4.4 32；
排障的方法：display mpls static-lsp等。

7.10 MPLS标签转发报文

MPLS标签转发报文时，数据包可能需要执行的动作有Push（压入）、Pop（弹出）和Swap（置换）。

7.11 BGP MPLS VPN骨干网络

BGP MPLS VPN骨干网络中的网络设备是P（运营商设备）和PE（运营商边界设备）；不需要服务提供商参与用户路由的是MPLS L2 VPN，原因是二层专线实现三层互通。

7.12 VPN、RD、RT、VPNv4 Address的作用

VPN：实现私网IP进公网；区分相同的私网路由；

RD：64位bits前缀，把IPv4转换为VPNv4；在传输过程中，区分相同的私网路由；

RT：将私网路由注入到正确的VRF中，其是一种路由属性，接收时区分私网路由；

VPNv4 Address：由64bit的RD加上32bit的IPv4地址构成，长度为96bit，RD唯一，VPNv4地址唯一。

7.13小知识点

BGP MPLS VPN中PE和PE之间使用MP-BGP路由协议交换VPN用户路由信息；
BGP MPLS VPN转发数据包需要携带至少两个标签，一个标签表示到达出口PE的路径，另一个用来标识VPN；
BGP MPLS VPN中私网标签的分发是由MP-BGP完成的，每个VPN每个标签；
压入一层MPLS标签的报文比普通IP报文多4个字节，即32bit；
LDP标签分发协议，分为本地LDP会话和远程LDP会话，本地产生的LDP不是给自己用，而是给别人用；
静态配置过程中，上游出标签=下游入标签；
LDP基于TCP连接，Hello报文采用UDP连接，端口号都是646；

7.14 MPLS VPN配置步骤

完成拓扑图和基本配置；
创建并配置一个VPN实例；
配置VPN实例的RD；
配置RT数值；
配置端口与VPN实例关联；
PE之间建立IBGP、PE与CE建立EBGP；
将普通BGP升级为MP-BGP；
引入VPN路由信息。

7.15排障指令小汇总

查看LDP会话状态以及LDP LSP的建立情况；

Display mpls ldp session；关注点在于status状态下是否为operational；

Display mpls ldp lsp；关注一下接口和下一跳，看看是否有地方配置错误；
Display ip vpn-instance verbose；查看VPN实例的配置情况，关注点在于配置名称，RD、RT数值是否配置正确和接口等；
Ping -vpn-instance Huawei 21.1.1.1；检查客户端到运营商边界设备的连通性；
Display bgp vpnv4 all peer；检查PE和BGP对等体关系，重点关注State是否为Established；
Display bgp vpnv4 vpn-instance Huawei peer；查看PE与CE之间的BGP对等体关系，重点关注State是否为Established；
Display ip routing-table vpn-instance Huawei；查看vpn-instance的路由状态，重点关注我们要ping通的路由；
Display ip routing-table；用户设备查看，因为用户设备上是没有VPN实例的。

7.16 BGP MPLS VPN特性配置

完成基本配置，端口及IBGP组网完成；
使能骨干网PE、P设备的MPLS LDP能力：

配置mpls lsr-id ；

主界面mpls及mpls ldp使能；

进入相关端口mpls和mpls ldp；

（查询结果：Display mpls ldp session

Display mpls ldp lsp）；

创建并配置一个VPN实例及RD：

Ip vpn-instance huawei；

Route-distinguish 100:1；

Vpn-target 100:1 both；

（查询结果：Display ip vpn-instance verbose）；

配置接口与VPN实例相连：

接口状态下：

Ip binding vpn-instance Huawei；

Ip ad x.x.x.x xx；

（查询结果：ping -vpn-instance Huawei 21.1.1.1）

建立PE与CE之间的关系：

可以建立EBGP的关系或OSPF、ISIS关系；

注意事项：建立EBGP是要进入IPv4-family vpn-instance Huawei；

建立IBGP和正常建立一样

要升级BGP为MP-BGP：

IPv4-family vpnv4界面下，升级；

（建立OSPF和ISIS时，直接绑定VPN：

OSPF/ISIS 10 vpn-instance xx；）

（查询结果：Display bgp vpnv4 all peer）

引入路由：

在IPv4-family vpn-instance Huawei界面下，使用import-route xx；

在PE上，向OSPF/ISIS导入BGP路由；

（查询结果：Display bgp vpnv4 vpn-instance Huawei peer）

查询PE到对端CE的IP表：

（查询结果：Display ip routing-table vpn-instance Huawei）

查询CE上的路由表：

（查询结果：Display ip routing-table）

测试从CE之间的互联性：

（查询结果：ping xx.xx.xx.xx）

7.17配置本地CCC连接

搭建骨干网络隧道，如OSPF、ISIS等；
使能PE、P设备，包括主界面和端口界面；

使用mpls、mpls l2vpn；

配置AC接口

Vlan-type dot1q 数值；

配置本地连接

Ccc CEx-CEx interface G 0/0/x.x out-interface G 0/0/x.x

在CE上配置VLAN类型和ip地址

Vlan-type dot1q 数值；

Ip address x.x.x.x xx；

（查询结果：display l2vpn ccc-interface vc-type ccc；

Display vll ccc CEx-CEx

Ping x.x.x.x）

7.18配置远程CCC连接

搭建骨干网络隧道，如OSPF、ISIS等；
使能PE、P设备，包括主界面和端口界面；

使用mpls、mpls l2vpn（主界面和PE与PE相连接口）；

配置AC接口

Vlan-type dot1q 数值；

配置远程连接

Ccc CEx-CEx interface G 0/0/x.x in-label 数值1 out-label 数值2 nexthop x.x.x.x；

反方向在另一边缘路由器进行类似配置

Ccc CEx-CEx interface G 0/0/x.x in-label 数值2 out-label 数值1 nexthop x.x.x.x；

在CE上配置VLAN类型和ip地址

Vlan-type dot1q 数值；

Ip address x.x.x.x xx；

7.19配置Martini连接

搭建骨干网络隧道，如OSPF、ISIS等；
使能PE、P设备，包括主界面和端口界面；

使用mpls、mpls l2vpn（mpls l2vpn default martini）、mpls ldp；

配置AC接口

Vlan-type dot1q 数值；

Mpls l2vc下一路由器的LOOPBACK0 数值；

绑定公网邻居等（主窗口下）

Mpls ldp remote-peer路由器的名称；

Remote-peer 下一路由器的LOOPBACK0 数值

反方向在另一边缘路由器进行类似配置
在CE上配置VLAN类型和ip地址

Vlan-type dot1q 数值；

Ip address x.x.x.x xx；

7.20配置SVC连接

搭建骨干网络隧道，如OSPF、ISIS等；
使能PE、P设备，包括主界面和端口界面；

使用mpls、mpls l2vpn（mpls l2vpn default martini）、mpls ldp；

配置AC接口

Vlan-type dot1q 数值；

配置SVC连接

Mpls static-l2vc destination 下一路由器的LOOPBACK0 数值1 transmit-vpn-label 数值1 receive-vpn-label 数值2

反方向在另一边缘路由器进行类似配置

Mpls static-l2vc destination 下一路由器的LOOPBACK0 数值1 transmit-vpn-label 数值2 receive-vpn-label 数值1

在CE上配置VLAN类型和ip地址

Vlan-type dot1q 数值；

Ip address x.x.x.x xx；

7.21 LDP会话的建立过程

发送Hello报文，确定主动和被动（比较Lsr-id 谁大谁优先）；
建立TCP连接；
通过Initialization报文，主动方发初始化消息协商参数（包括版本号等）；
被动方接受参数则发初始化消息和Keepalive消息，以低版本为基础；
主动方接受参数则发初始化消息和Keepalive消息。

7.22标签分发形式

标签分发形式主要包括三大类六小类，三大类包括标签分发、控制和保持。

标签分发包括：

DOD下游按需发布：上游提出请求，下游按需进行发布；
DU下游自主发布：不关心上游是否提出请求，下游均发布；

标签控制包括：

Independent独立控制：不管下游是否给我发，我都给上游发；
Ordered有序控制：只有收到下游给我发，我才给上游发；

标签保持包括：

Conservation保守模式：收到了就不再存储；
Liberal自由模式：收到了继续存储，作为备用。

VRP平台默认采用DU+Ordered+Liberal。

7.23 PHP倒数第二跳弹出机制（抓包可见笔记末）

特殊标签有标签0—显式空标签，1—IPv4报警，2—IPv6报警，3—隐式空标签（默认状态下下发，可在MPLS界面下使用label advertise non-all取消倒数第二跳弹出机制）。

7.24 MPLS L2 VPN的定义

MPLS L2 VPN提供基于MPLS网络的二层VPN服务，使运营商可以在同一的MPLS网络上提供基于不同介质的二层VPN；
MPLS网络仍可以提供传统IP、MPLS L3 VPN等服务；
MPLS L2 VPN就是在MPLS网络上透明传输用户二层数据。

7.25 MPLS L2 VPN的优势

扩展了运营商的网络功能和服务能力；
具有更高的扩展性；
管理责任分工明确；
路由私有、安全；
多协议支持。

7.26 MPLS L2 VPN的基本架构

AC：接入电路；
VC：虚电路；
Tunnel：隧道。

7.27 CCC连接方式

CCC方式是一种静态配置VC连接的方式；
CCC独占一条LSP；
在VC一端收到的二层协议报文映射到一个静态LSP隧道，途径的每一跳根据该静态LSP进行MPLS转发，最后将报文转发到VC另一端；

7.28 Martini连接方式

两层标签；
内层标签采用扩展的LDP作为信令进行交互；
外层tunnel可以是LSP Tunnel，MPLS TE Tunnel，GRE Tunnel，可以由LDP、RSVP-TE或静态配置来建立；

7.29 SVC方式的MPLS L2 VPN

SVC是Martini的简化；
其与Martini主要区别是Martini的内层标签由扩展的LDP协议分配，SVC由手工分配。

7.30 VPLS的定义

VPLS是一种基于MPLS和以太网技术的二层VPN技术，VPLS可以实现多点到多点的VPN组网。

7.31 LDP的基本概念和封装格式

LDP是用来在LSR之间建立LDP Session并交换Label/FEC映射信息的协议；
LDP头部10字节，其中Type2字节、Length2字节、V6字节；
封装在TCP之前；

7.32 LDP消息类型

Discovery message（Hello）：宣告和维护网络中一个LSR的存在；
Session message（Initialization协商和Keepalive监控TCP）：建立、维护和终止LDP Peers之间的LDP Session；
Advertisement message：生成、改变和删除FEC的标签映射；
Notification message：宣告告警和错误信息。

7.33 LDP发现机制

LDP基本发现机制：发现直接连接在同一链路上的LSR邻居；
LDP扩展发现机制：发现非直连的LSR邻居；

7.34 LDP状态机

Non existent；LSR1、LSR2根据双方地址决定在会话建立中哪个是主动方，哪个是被动方，地址大的一方为主动；
Initialized；建立支持会话的TCP连接
OpenRec；被动方接收到可以接收的Init消息，进入OPENREC状态，同时向对方发送Init消息和KeepAlive消息
OpenSent；主动方发送Init消息，进入OPENSENT状态
Operational；进入OpenRec的一方接收到Keepalive消息进入operational状态

7.35小知识点

建立LSP的协议有RSVP、LDP和MPBGP；
MPLS静态LSP配置，只使能物理接口，不使能逻辑接口；
MPLS BGP VPN是一种基于PE的L3 VPN的技术；
先建立BGP，再升级为MP-BGP；
BGP MPLS VPN中PE和PE之间使用MP-BGP路由协议来交换VPN用户路由信息；
BGP MPLS VPN转发数据包时，数据包至少包含两个标签，一个标签表示到达出口PE的路径，另一个用来表示VPN；
MPLS BGP VPN中私网标签的分发是由MP-BGP完成的，公网标签的分发是由LDP完成的；
BGP MPLS VPN为解决不同VPN用户之间可能出现地址重叠这个问题，可以为VPN用户分配唯一的RD；
有多少AC接口就有多少VC电路，AC接口到AC接口为VC段；
AC接口不能配IP；
MPLS L2 VPN相比较于BGP MPLS VPN的优点是不再需要运营商协助企业传递路由信息；
由于MPLS L2 VPN只提供通道服务，所以在故障处理的时候更容易划分运营商和客户之间的责任归属；
MPLS L2 VPN相比较于BGP MPLS VPN可以为用户提供更好地安全性保障；
点到点方式的MPLS L2 VPN实现方式有CCC、SVC、Martin和Kompella；
转发报文打上两层标签：Martini、SVC和Kompella；
Martini方式下内层标签都是由扩展的LDP生成，外层标签由LDP生成；
SVC方式下内层标签手工配置，外层标签由LDP协议生成；
外层标签用于标示LSP隧道，内层标签标示可能承载在同一LSP的VC；
Martini方式下用VC ID和VC Type在两端PE唯一标示VC连接；
PWE3就是一条双向的VC；
L2VPN就是由虚拟专线VLL、伪线仿真PWE3和虚拟专网VPLS；
时隙0用来传递信令和帧分隔符；时隙1到31用来传递不同用户的业务数据；
VPLS可以实现多点到多点的MPLS L2 VPN；
VPLS的实现由两种方式：Martini和Kompella；
VPLS的数据转发从MAC地址学习与泛洪、报文封装、数据转发和环路避免；
VPLS中，使用“全连接”和“水平分割转发”来避免环路；

8组播

8.1组播的特点

一份组播报文，使用一个组播地址作为目的地址。组播源向一个组播地址发送且仅发送一份报文；
网络中部署的组播协议为此组播报文建立一棵树形路由，根连接为组播源，分支连接所有组播组成员。

8.2组播的优势

组播方式下，单一的信息流沿组播分发树被同时发送给一组用户，相同的组播数据流在每一条链路上最多仅有一份。相比单播来说，使用组播方式传递信息，用户的增加不会显著增加网络的负载，减轻了服务器和CPU的负荷；
组播报文可以跨网段传输，不需要此报文的用户不能收到此报文。相比广播来说，使用组播方式可以远距离传输信息，且只将信息传输到有接收者的地方，保障了信息的安全性；
组播技术有效地解决了单点发送多点接收的问题，实现了IP网络中点到多点的高效数据传送。

8.3组播的基本概念

组播组：组播组使用一个IP组播地址标识。任何用户主机（或其他接收设备），加入一个组播组，就成为了该组成员，可以识别并接受以该IP组播地址为目的地址的IP报文；
组播源：以组播地址为目的地址，发送IP报文的信源称为组播源；一个组播源可以同时向多个组播组发送数据；多个组播源可以同时向一个组播组发送报文；
组播组成员：组播组中的成员是动态的，网络中的用户主机可以在任何时刻加入和离开组播组；组成员可能广泛分布在网络中的任何地方；组播源通常不会同时是数据的接收者，不属于组播组成员；
组播路由器：网络中支持组播功能的路由器称为组播路由器。在与用户主机连接的末梢网段，提供组播组成员管理能力；实现组播路由，指导组播报文的转发；
组播分发树：根据组播组成员的分布情况，组播路由协议为多目的端的数据包转发建立树形路由；报文在距离组播源尽可能远的分叉路口才开始复制和分发，最终传送到组播组成员；

8.4组播的性质

组播属于一种端到端服务，按照协议层从下往上划分，IP组播基本构架包括寻址机制、主机接入、组播路由、组播应用四部分。

寻址机制：使用组播地址，将一份数据报文发送给一组接收者；

主机接入：使用组播协议，动态管理用户加入或离开，实现成员管理；

组播路由：使用组播协议，构建分发树组播路由，从组播源传给接收者；

组播应用：组播源和接收者支持组播应用软件，TCP/IP协议栈支持传输。

8.5组播寻址

网络层组播，使用IP组播地址寻址；
链路层组播（硬件组播），其为以太网时，使用组播MAC地址；
存在一种技术实现IP组播地址和MAC组播地址相互映射；

8.6常用组播地址

永久组地址	含义
224.0.0.0	不分配
224.0.0.1	网段内所有主机和路由器（等效广播）
224.0.0.2	所有组播路由器地址
224.0.0.5	OSPF路由器
224.0.0.6	OSPF DR
224.0.0.11	移动代理
224.0.0.12	DHCP服务器/中继代理
224.0.0.13	所有PIM路由器
224.0.0.14	RSVP封装
224.0.0.18	VRRP
224.0.0.22	所有使能IGMPv3的路由器

8.7 IP地址到MAC地址的映射

需要将组播IP映射到组播MAC地址；
组播MAC地址的高24位为01005E，MAC地址的低23位为组播IP的低23位；
组播MAC地址的第25位规定为0，对应IP地址的前4位1110；
IP地址有五位地址未映射到MAC地址上，直接结果是由32个IP组播地址映射到同一MAC地址；

8.8组播路由协议的应用

用户主机与组播路由器之间采用IGMP（因特网组管理协议）；
域内组播路由器之间采用PIM（协议无关组播）；
域间组播路由器之间采用MSDP（组播源发现协议）

8.9域内组播路由协议PIM的模式

PIM是典型的域内组播路由协议，有两套独立的模式，分别为：

PIM-DM：适用于小规模，接收者分布较为密集的情况，支持ASM模型；

PIM-SM：适用于大规模，接收者分布较为稀疏的情况，同时支持ASM（任意源组播）模型和SSM（指定源组播）模型；

8.10 IGMPv1两个消息

GQ普遍组查询消息：定期向共享网段内发送查询信息（缺省值是60秒），查询组播组存在成员，IP头的目的地址为224.0.0.1（网段内所有主机和路由器均识别），组地址全为0，不指定组播组；
Report成员报告消息：向组播路由器发送报告消息，申请加入组播组或应答查询消息，IP头的目的地址为要加入组播组的地址，所有路由器及属于该组的所有主机都能识别并接收，同一组成员收到，不再发送，即报告被抑制；

8.11 IGMPv2三个消息

GQ普遍组查询消息：定期向共享网段内发送查询信息（缺省值60s），查询组播组存在成员，IP头的目的地址为224.0.0.1（网段内所有主机和路由器均识别），组地址全为0，不指定组播组；（GSQ—特定组查询）
Report成员报告消息：向组播路由器发送报告消息，申请加入组播组或应答查询消息，IP头的目的地址为要加入组播组的地址，所有路由器及属于该组的所有主机都能识别并接收，组地址字段为主机要加入的组播组地址；
Leave离开消息：离开消息是主机主动离开组播组向组播路由器发送的消息，用于宣告自己离开某组播组；IP头目的地址为224.0.0.2，组地址字段为主机要离开的组播组地址；

8.12 IGMPv1/v2/v3的对比

	IGMPv1	IGMPv2	IGMPv3
查询器选举	依靠上层路由协议	自己选举	自己选举
成员离开方式	默默离开	主动发出离开报文	主动发出离开报文
指定组查询	不支持	支持	支持
指定源、组加入	不支持	不支持	支持

8.13 PIM定义及分类

作为一种组播路由解决方案，主要用于将网络中的组播数据流引入到有组播数据请求的组成员，实现组播数据流的转发；

现网中，应用较为广泛的实现方式主要有以下三种，分别是：

PIM-DM：协议无关组播—密集模式；
PIM-SM：协议无关组播—稀疏模式；
PIM-SSM：协议无关组播—指定源组播；

8.14 PIM相关的基本概念

PIM路由器：支持PIM协议的组播路由器称为PIM路由器，使能了PIM协议的接口称为PIM接口；
PIM域：由PIM路由器组成的网络称为PIM网络，通过在组播设备接口上设置“边界”，将一个大的PIM网络划分为多个PIM域，“边界”可以拒绝/限制特定报文的传输；
组播分发树：在PIM组播域内，以组播组为单位建立一点到多点的组播转发路径。由于组播转发路径呈现树形结构，也称为组播分发树MDT；
叶子路由器：与用户主机相连的PIM路由器称为叶子路由器；
组播源DR：与组播源直接相连且负责向RP发送注册报文的PIM路由器；
接收者DR：与组播组成员（通常为接收者主机）直接相连且负责向该组成员转发数据的PIM路由器；
中间路由器：组播转发路径上，第一跳路由器与最后一跳路由器之间的PIM路由器

8.15组播分发树的特点

无论网络中的组成员有多少，每条链路上相同的组播数据最多只有一份；
被传递的组播数据在距离组播源尽可能远的分叉路口才开始复制和分发；

8.16共享树、源路径树的形成

网络中出现新成员，加入某组播组，最后一跳路由器向RP发送Join信息，逐条创建（*，G）转发表项，生成一棵以RP为根的RPT，即共享树；

网络中出现活跃的组播源时，第一跳路由器将组播数据封装在Register消息中单播发往RP，在RP上创建（S，G）表项，注册源信息形成的路径树叫源路径树；

8.17 RP选举原则

如果PIM-SM域中只有一个候选RP，那么这个节点就是域里的RP。
如果域中存在多个C-RP并都拥有不同的优先级时，则优先级最高（优先级数值越小优先级越高）的将会被选举为域中的RP；
如果域中存在多个C-RP并都拥有相同的优先级时，则依靠Hash算法算出的数值来决定RP，数值越大的称为RP；Hash算法参数、组地址、掩码长度和C-RP地址；
如果域中存在多个C-RP并都拥有相同的优先级与Hash数值时，则拥有最高IP地址的C-RP为该域的RP；

8.18小知识点

IPv4的D类地址为组播地址，范围为224.0.0.0-239.255.255.255；
组播源的地址是一个单播地址；
组播分发树无环，不会回发数据；
32个组播IP地址对应1个组播MAC地址；
MSDP是典型的域间组播路由协议，通常与MBGP协同工作，MSDP适用于各域内运行PIM-SM的情况；
组播地址224.0.0.0-224.0.0.255，又称之为本地管理地址，为路由协议预留的永久组地址，其TTL=1；
组播传输中，对于multicast source而言，是不需要知道receive是谁的，主机要接收组播流量需要加入该组即可；
同一台主机可以属于不同的组播组；
IGPMv1规定，当共享网络中有多台路由器时，由组播路由协议选举查询器（根据接口IP地址选举查询器，路由小的优先）；
当路由器周期性的发送成员关系查询报文时，每个主机都会再次启动计时器进行查询/响应/抑制；
IGPMv1版本，成员悄悄离开组播组，不发送任何报文，路由器依旧周期性地发送成员关系查询报文，周期为60s，当路由器发送3次成员关系查询报文都没有收到响应时，认为组内已经没有成员，不再转发；
IGMPv2的计时器增加了最大响应时间字段，以动态调整主机对组查询报文的响应时间；
IGMPv2版本，成员离开发送Leave消息之后，路由器发送2次特定组查询之后仍没有收到成员报告，则认为没有组播成员；
无论何时，只要版本1的主机称为组成员，IGMPv2离开过程将被搁置；
IGMPv3进行普遍组查询时，Group Address字段和Number of Source都为0；
以组播源为根，组播组成员为叶子的组播分发树称为SPT，SPT同时适用于PIM-DM和PIM-SM；
以RP为根，组播组成员为叶子的组播分发树称为RPT，RPT仅适用于PIM-SM
PIM-SM协议无关组播—稀疏模式，默认所有主机都不需要接收组播包，只向明确需要组播包的主机转发；
共享树里所有组播流都经过RP转发到接收者，网络中可以有一个或者多个RP；
一个RP可以为多个组播组服务，但一个组播组只能对应一个RP；
RP分为静态RP和动态RP，静态RP是指在PIM域中的所有PIM路由器上配置静态RP；动态RP是指在PIM域内选择几台PIM路由器，配置C-RP，从C-RP中竞选产生RP。使用动态RP，必须同时配置C-BSR，由C-BSR竞选产生BSR；
BSR自举路由器时PIM-SM网络里的管理核心，是让整个PIM-SM网络知道RP的关键；
C-RP周期性发送Advertisement宣告消息的默认时间是60s；
BSR的holdtime默认为150s；
一个网络（或管理域内部）只能选举出一个BSR，但可以配置多个候选BSR；
C-BSR的定时器时间默认为130s；
BSR消息发送的目的地址是224.0.0.13，所有的PIM路由器都能接收到，该报文TTL值为1；
PIM-SM网络中可以同时配置静态RP和动态RP，且为同一个组播组服务，动态RP的优先级较高。同时配置可以避免因单一节点故障而引起通信中断；
在PIM-SM网络中，任何一个新出现的组播源都必须首先在RP处“注册”；
DR收到Register-stop消息之前将持续使用Register消息封装组播报文，注册过程不能停止；
SPT的出发是由RP或组成员端DR触发的；
组成员端DR发起SPT切换后，如果建立的SPT与RPT路径不一致，则需要拆除RPT路径上的（S，G）表项，则为剪枝；
运行PIM-SM工作前提是用户加入的组播组在SSM组地址范围内；用户加入组播组的同时明确指定组播源的位置；设备之间运行PIM-SM协议；
PIM-DM关键机制：邻居发现、扩散flooding、剪枝prune、嫁接graft、断言assert、状态刷新；

Hello报文（UDP）：

单播45s，组播15s；

端口号是646；

Keepalive报文（TCP）

端口号是646；

报文捕捉（不隐藏倒数第二跳）

9 ATN产品MPLS TE基础

9.1 IPRAN HVPN特性配置步骤

完成IP地址的规划和端口的配置；
打通IBGP，可能使用到Eth-Trunk；
使能MPLS和MPLE TE等，包括主界面和端口界面；
配置路径（主、备路径）；
创建隧道；
配置隧道策略；
创建VPN实例；
创建MPBGP对等体；
结果验证。

9.2网络工程与流量工程

网络工程：操纵网络来适应流量，实质是按照流量的需求来规划、设计和部署网络的一个过程；

流量工程：操纵流量来适应网络，实质是合理控制和调配流量，以最大化利用现有网络资源；

两者的实质区别在于设计者是对网络的部署还是对流量的规划以及现有网络是否已经存在。

9.3 MPLS TE四大组件

信息发布组件：包括IGP路由选择和链路状态数据库；
路径计算组件：包括流量工程数据库；
信令组件；
报文转发模块；

9.4 信息发布的内容

链路状态信息——IGP本身就具有；
TE Metric；
带宽信息；

9.5发布MPLS TE信息的方法

基于链路状态算法的IGP路由协议，实现MPLS TE信息的发布，主要采用OSPF-TE和ISIS-TE（增加TLV格式）。

9.6路径计算

MPLS TE使用CSPF算法，其是带有约束条件的SPF算法，约束条件为：

Cost（IGP本身具有）；
带宽；
链路属性；

CSPF算法路径计算的过程不是为了发现到所有目的地的路由器最佳路径而设计的，而是仅仅为了到达LSP隧道的终点。

9.7显示路径

除CSPF算法本身，可以通过显示路径控制路径的选择。支持显示路径是MPLS TE的最大的魅力之一，可根据实际情况，定义LSP隧道的路径，提高运营管理能力。

9.8显示路径的节点关系

严格下一跳：两个节点必须直接相连；

松散下一跳：两个节点之间可以存在其他路由器；

通过Include/Exclude命令来控制LSP隧道经过或不经过某节点；

9.9隧道策略

隧道策略是应用模块决定如何选择何种隧道的一种策略。隧道策略有两种，且这两种方式互斥；

Select-seq方式，按照隧道策略中配置的隧道类型优先级顺序为应用程序选择隧道；
Tunnel Binding方式，系统只会选择特定的隧道来承载业务。

9.10 Tunnel与LSP的区别

Tunnel：就是隧道，由LSP和接口组成；

LSP：隧道的组成部分。

9.11隧道的配置步骤

配置各接口的IP地址；
配置IS-IS；
使能MPLS/MPLS TE/RSVP-TE/CSPF；

Mpls te ；配置mpls类型

Mpls rsvp-te ；配置mpls 信令

Mpls te cspf ；配置mpls算法

配置ISIS TE；

Cost-style wide ；修改isis的cost类型为wide

Traffic-eng level-2；配置ISIS对TE的扩展（必须配置）

配置mpls te属性；

Mpls te max-reservabe-bandwidth；配置链路最大可预留带宽

创建mpls te隧道；

Interface tunnel 隧道号；创建隧道

Ip address unnumbered interface loopback 0；tunnel接口借用lsr id作为地址

Tunnel-protocol mpls te；配置隧道协议

Destination x.x.x.x；配置隧道出口的目的地址（lsr id）

Mpls te signal-protocol rsvp-te ；配置隧道信令协议，外层标签配置方式；

Mpls te commit ；提交隧道当前配置

验证配置

Display interface Tunnel 隧道号；

9.12 IPRAN HVPN特性配置步骤

完成IP地址的规划和端口的配置；
接入网和汇聚网分别创建ISIS进程，并完成使能；
在（2）的基础上，要扩大开销范围，使能ISIS接口的TE特性；

Cost-style wide ；修改开销类型为wide

Traffic-eng level-2；使能ISIS的Te特性；

主界面下完成mpls、mpls te、mpls rsvp-te和mpls te cspf的使能；
端口界面下完成mpls、mpls te、mpls rsvp-te的使能；
配置主显示路径；

Explicit-path main-x-x；

Next hop x.x.x.x include loose；

配置备用显示路径；

Explicit-path slave-x-x；

Next hop x.x.x.x include loose；

建立mpls te tunnel；

Interface tunnel x/x/x；进入隧道

Ip address unnumbered interface loopback 0；配置隧道的接口IP

Tunnel-protocol mpls te；配置隧道协议

Destination x.x.x.x；配置隧道的目的地址

Mpls te tunnel-id xx；配置tunnel id

Mpls te record-route label；配置隧道支持路由和标签记录

Mpls te path explicit-path main-x-x；配置主路径

Mpls te path explicit-path slave-x-x secondary；

Mpls te backup hot-standby；启用热备份

Mpls te commit；提交te的相关配置

配置隧道策略；

Tunnel-policy xx；建立隧道策略名称

Tunnel select-seq cr-lsp load-balance-number 1；绑定隧道测量，优选隧道策略类型，实现负载分担

Tunnel-selector xx permit node 10；

Apply tunnel-policy IPRAN；

查询命令：

Ping lsp te tunnel x/x/x；VPN隧道能ping通

Ping lsp te tunnel x/x/x hot-standby；VPN隧道的热备份能ping通

Display mpls te tunnel-interface tunnel x/x/x；查询隧道建立情况

创建VPN实例并进行绑定；

Ip vpn-instance xxx；

Route-distinguisher xx：xx；

Vpn-target xx：xx both；

（隧道连接点的vpn下设置为transit-vpn）

Interface loopback x；

Ip binding vpn-instance xxx；

Ip address x.x.x.x xx；

创建MP-BGP对等体；

Tunnel-selector xx；bgp中绑定隧道选择器，使vpnv4路由应用指定隧道策略

Import-route direct；将vpn实例绑定到vpnv4路由表中

查询指令：

Ping -vpn-instance xx x.x.x.x；

完成相关测试即可。

9.13 网络侧可靠性规划

全网建议使能GR（平滑重启），主备倒换时转发不发生中断；
BFD及其与各协议保护机制的联动，保证毫秒级检测并立即启动保护；
MPLS TE外层隧道的保护使用TE hot-standby方式，使用静态BFD方式检测双向TE LSP，主路径和热备份路径尽量不重合；
以太网业务如果使用L3VPN进行承载，建议采用VPN FRR进行提供业务保护。
在配置VPN FRR时，BFD检测时延要设置大于LSP的倒换时延，LSP的BFD取默认值10ms，此时要求BFD for LSP的检测周期为50ms；
可靠性规划主要指在E2E L3VPN、HVPN、PWE3+L3VPN、Native IP + L3VPN四个具体场景下。

9.14业务承载实现

2G/3G语音业务静态PW承载方案采用MPLS-TE Tunnel或VC4；应用于纯移动承载，控制层面为网管；
2G/3G语音业务动态PW承载方案采用PW Tunnel技术，每跳需交换外层隧道标签，内层PW标签保持不变，网管下发创建隧道指令，隧道通过RSVP或LDP自动生成，网管下发创建PW指令，PW通过LDP协议自动生成；应用于全业务承载，控制层面下放到设备；
三层VPN承载与二层PW承载在承载效率、基站调整和破环加点等方面均有不同。
Eth数据业务L3VPN承载方案采用L3VPN Tunnel技术，每跳需交换外层隧道标签，内层VPN标签保持不变，网管先发建立隧道指令，隧道标签通过RSVP或LDP自动分配，网管下发建立L3VPN指令，VPN标签通过BGP协议自动分配；

9.15分层方案提升组大网能力

L3VPN端到端方案：所有接入层CSG设备都与RAN CE建立VPN Peer，RAN CE的VPN Peer数量过多，压力很大。

L3VPN分层方案：接入层CSG设备只需与所属的汇聚层ASG设备建立VPN Peer，仅少量汇聚层ASG需与RAN CE建立VPN Peer。

9.16 LTE承载需求

大带宽100~300M；
低时延＜200ms；
点到多点灵活组网：核心网Pool化；基站间X2转发，IP承载网和承载网融合；
超大规模网络运维：海量基站，海量接入设备；
时间同步新需求：频率+相位同步；

9.17 LTE承载驱动三层IP到边缘

基站与控制器为点到点连接；
3G阶段手机移动性管理由RNC完成；
基站覆盖半径＞500米，基站间很少切换；
核心网Pool化，挤占归属关系灵活调度，以实现资源合理调配及冗余保护；
LTE的新增X2接口来提升切换体验；
单基站X2接口数量是基站数量的4~6倍；
使用静态二层技术会产生连接数过多的问题；

9.18时钟同步对移动网络的重要性

基站间不同步，会导致基站间切换时异常掉话，话音单通；
基站间同步不精确，会导致话音质量下降；

9.19 GPS时间同步解决方案存在的问题

成本高；
施工难度大；
失效率高，无失效备份保护；
可维护性差；

9.20时钟同步部署方案

同步以太加1588v2的时钟部署方案；
时钟源在SR注入，通过逐跳1588v2全BC模式同步时间和频率到CSG；
各节点支持BMC算法校准为主时钟源，基站提取链路时钟；
网管提供图形化时钟管理方式；

9.21电信IPRAN建网目标

设备角色	对应华为方案中的角色
A	UPE/CSG
B	SPE/ASG
ER	P or NPE/RSG
BSCCE/EPCCE	NPE/RSG

9.22电信IPRAN解决方案

设备类型采用ATN950+CX600；
部署方案PW+L3VPN；
L2层LSP协议：LDP；L3层LSP协议：LDP；
L2层IGP协议：OSPF；L3层IGP协议：ISIS；
D-ER即汇聚ER不是所有网络都存在；B网元直接与ER对接；
PW+L3VPN：承载所有业务，推荐使用。匹配华为L2+L3方案。
CE+L3VPN：A类设备未进行级联且没有电路仿真即综合业务承载可用，不推荐使用，匹配华为Native IP；

9.23知识点

所谓的严格显示路径，就是下一跳与前一跳直接相连；
严格显示路径，可以最精确地控制LSP所经过的路径；
松散显示路径可以指定路径上必须经过哪些节点，但是该节点和前一跳之间可以存在其他路由器；
MPLS TE采用的信令协议主要有两种，其中RSVP-TE基于软状态，扩展性不急CR-LDP基于硬状态；
TE Hot-standby，一条隧道，两条LSP实现双向转发，BFD for TE Tunnel和BFD for CR-LSP；
隧道的建立是单向的，要实现双向，需从相反方向配置；
Dot1q划归的Vlanif接口，要配置相同的数值才可通信；
以太帧的大小是64-1500字节；
Mtu 9000，修改单次传帧的大小，分片的前提是，接口允许分片，数据包允许分片；
在3G和4G的现网中，故障检测和倒换时间不得超过50ms；
基站侧单归CSG设备，基于建设成本的考虑，一般不规划可靠性技术，主要是通过无线网络覆盖解决单基站掉站问题；
VRRP在RSG节点的Vlanif接口上配置业务VRRP，主备切换使用抢占模式，切换延时正切为立即切换，故障恢复回切时，延时180秒；
三层VPN承载比二层PW承载更适合以太业务，三层封装承载效率比二层封装承载效率高6%；
分层L3VPN方案是基于X2流量的产生，对LTE业务承载，使用分层的L3VPN承载更理想，并且可以节约隧道资源；
保护技术包括隧道保护，使用的技术是TE Hot-standby；业务保护，使用的技术是PW Redundancy和VPN FRR；网关保护，使用的技术是E-VRRP和E-APS；
3G时代，基站通过一个EF接口接入A设备；4G时代，LTE基站通过一个GE口接入A类设备；基站必须经过A类设备后再接入B类设备，不允许基站直接接入B设备。
电信的汇聚核心层使用ISIS协议，level-2，协议优先级提高至5优于OSPF；
电信的接入层业务loopback口地址以import direct+路由策略的方式发布到OSPF中；
电信的IGP Cost值规划的目的在于要避免业务绕行，防止流量迂回，下层走环上路径，上层走短路径；
汇聚环初始的两台设备间的cost值要大于环上所有cost值之和，否则，不易规划带宽；
ECMP并不能确保流量的实际转发路径能够负载分担。
主备ASG的L3VE接口的IP地址和MAC地址要设置一致，锦衣在本地网一台设备上找一个MAC地址，全网配置一致即可；
VE口要建在上行单板；
BGP VPNv4开启ECMP，实现流量的负载分担；通过实现故障快速感知和倒换，同时叠加部署LDP FRR和BFD for LDP Tunnel；
CSG配置PW双收、PW的ARP双发，ASG配置ignore-standby state；
两个ASG上行两个端口建议采用不同缆；ASG互联端口建议不要与下行端口共单板；
CSG配置PW双收、PW的ARP双发，ASG配置ignore-standby state；PW配置WTR，ASG配置direct-route degrade-delay 300 degrade-cost 5000；
两个ASG上行端口建议采用不同缆；ASG互联端口建议不要与下行端口共单板；
BSC有主备和负载分担模式两种，如果是主备模式，则BSC处于备的端口会处于down状态以确保备RSG的静态路由生效；
静态路由的路由优先级应设置大于IGP的路由优先级；

MPLS TE的四大组件

信息发布组件

除网络拓扑情况外，流量工程还需知道网络负载情况。信息发布组件通过现有的IGP，发布最大链路状态信息、TE metric和带宽信息等TE信息。

路径计算组件

通过CSPF算法，利用现有数据计算满足约束条件路径。

信令组件

建立隧道的CR-LSP，包括静态CR-LSP和动态CR-LSP（即RSVP-TE）。

报文转发组件

将流量引入MPLS TE 隧道，进行MPLS转发。

ETH典型故障倒换

在中国电信的IPRAN网络中，接入环采用L2VPN中的PW技术，汇聚环采用L3VPN技术。流量经基站接收后，从接入环到汇聚环，再到核心网的过程中，ETH典型故障会有两种情况：

PW伪线的连接链路故障，导致流量无法到达指定的汇聚环设备。因BFD等检测技术的存在，链路状态异常后，其接入环会进行LSP快速收敛，绕过故障链路后，经原汇聚环设备继续传输流量；

或答：

（1）CSG配置PW双收、PW的ARP双发，ASG配置ignore-standby state；

（2）两个ASG上行两个端口建议采用不同缆；ASG互联端口建议不要与下行端口共单板；

汇聚路由器出现故障，导致流量无法进入汇聚环。因BFD等检测技术的存在，当汇聚路由器异常后，其正常路由将延时发布，接入环内重新进行ARP学习，待学习完成后，PW专线切换，利用VPN ECMP负载分担技术，经备用汇聚路由器继续传输流量。

或答：

（1）CSG配置PW双收、PW的ARP双发，ASG配置ignore-standby state；

（2）PW配置WTR，ASG配置direct-route degrade-delay 300 degrade-cost 5000；

（3）两个ASG上行端口建议采用不同缆；ASG互联端口建议不要与下行端口共单板；

路由传输路径

路由传输路径共有两种，分别是路由上行路径和路由下行路径。

路由上行路径：基站路由直接连接CSG设备，CSG设备获得基站的直连路由，通过MP-BGP协议，ASG收到来自不同基站的路由，因通告四原则，需将ASG配置为路由反射器，将其收到的不同基站路由发送给其客户体RSG，RSG收到不同基站路由，在RSG上，通过配置静态默认路由，将基站路由发送给核心网设备。
路由下行路径：核心网设备通过配置静态路由，将基站路由发送给RSG设备，RSG设备将路由通过MPBGP协议，发送给ASG，通过在ASG的VPN实例下配置一条静态缺省路由，下一跳为RSG的Loopback1地址，并通过路由策略，向CSG发送缺省路由，CSG收到缺省路由。

设备的保护

设备的保护主要分为三种模式，分别是隧道保护、业务保护和网关保护。

隧道保护：采用TE Hot-standby保护技术，进行LSP的1:1保护，其主要应用于源宿节点不变的情况下。

业务保护：采用PW Redundancy和VPN FRR技术，进行业务保护，其主要应用于源宿节点变化的情况下。

网关保护：采用E-VRRP和E-APS技术，进行网关保护，其主要应用于网关场景下。

BFD检测和GR平滑重启。

IPRAN的原则

相对于传统的SDH传送网，IPRAN的意思是“无线接入网IP化”，其是基于IP的传送网，网络IP化趋势是近年来电信运营商网络发展中最大的一个趋势。IPRAN可以进行综合业务承载，是三层动态技术，具有扩展性好，可进行自动调整，无需人工干预等优点。

或答：

	接入	汇聚	核心网侧网关
联通	CSG	ASG	RSG
电信	A	B	EPC、CE
VPN	UPE	SPE	NPE

HVPN和Mix VPN的区别

HVPN和mix VPN的主要区别有：

组成方案的不同：HVPN采用L3VPN+L3VPN的方案，而Mix VPN采用L2VPN+L3VPN的方案；
IGP协议的不同：HVPN接入环和汇聚环分别采用ISIS的不同进程，而Mix VPN采用的是OSPF协议+ISIS协议；
HPVN上的CSG上可以收到缺省路由、同ASG的CSG路由和基站的直连路由；Mix VPN上只能收到基站的直连路由和IGP学到的路由。
应用场景不同：中国联通主要采用HPVN组网形式，而中国电信主要采用Mix VPN组网形式。防火墙&BRAS

1 Eudemon防火墙基本功能特性与配置

1.1 Eudemon防火墙安全区域

非授信区域（Untrust）：优先级为5；
非军事化区（DMZ）：优先级为50；
受信区（Trust）：优先级为85；
本地区域（Local）：优先级为100；
自命名区域（Name）：配置范围1-100（越大越优先）；

1.2数据流方向

域间的数据流分为两个方向：

入方向（Inbound）：优先级从低到高；
出方向（Outbound）：优先级从高到低；

优先级查询命令：Display zone priority。

1.3安全区域的配置

创建一个安全区域；

Firewall zone name xx；

设置优先级；

Set priority xx；自定义区域必须设置优先级

将接口加入区域；

Firewall zone xx；

Add interface Gigabitethernet x/x/x；将接口x/x/x加入到安全区域；

1.4包过滤的相关概念

包过滤功能中通过对IP报文的几个字段来对报文进行，例如源/目的IP地址，源/目的MAC地址、协议、报文优先级、服务类型等。

域间包过滤：使用防火墙策略匹配流量；

基于MAC地址的包过滤：使用基于MAC地址的ACL报文；

对匹配到的报文的处理方式有两种，分别为

Permit：允许报文通过，转由其他安全策略功能处理；
Deny：丢弃该报文；

1.5域间包过滤和域间缺省包过滤

Eudemon的域间包过滤检查用于控制流量在不同安全区域之间的流动，主要基于以下两个规则：

域间应用的防火墙策略；
域间的缺省包过滤规则；

缺省包过滤规则查询：Display firewall packet-filter default all。

1.6域间包过滤配置

进入域间包过滤策略视图；

Policy interzone 区域1 区域2 outbound/inbound；

创建策略，进入该条策略的配置视图；

Policy 0；

指定需匹配流量的源地址；

Policy source x.x.x.x mask xx；

指定需匹配流量的目的地址；

Policy destination x.x.x.x mask xx；

配置对匹配流量的动作；

Action permit/deny；

查询指令：Display policy interzone trust xx outbound/inbound。

1.7会话表的相关概念

会话表是一个记录系统中包括源IP地址、源端口、目的IP地址、目的端口和协议号（如果支持虚拟防火墙的环还有一个VPN-ID）的链接状态的表项；

查询指令：Display firewall session table verbose。

1.8长连接的相关概念

长连接是指为部分特殊会话配置超长老化时间，使其长时间不从会话表中删除，一个TCP会话的两个连接报文可能间隔时间很长，例如：

用户通过FTP下载大文件，需要间隔很长时间才会在控制通道继续发送控制报文；
用户需要查询数据库服务器上的数据，这些查询操作的时间间隔远大于TCP的会话老化时间；

1.9配置长连接的配置过程

配置长连接老化时间；

Firewall long-link aging-time 2；（长连接老化时间，范围为1h~480h，缺省值为168h）

配置ACL；

Acl number xxxx；

Rule permit tcp source x.x.x.x 反掩码 destination x.x.x.x 反掩码 destination-port eq ftp；

开启长连接功能；

Firewall interzone trust xx；

Long-link xxxx；

1.10接口模式

按照接口的工作位置可将以太网接口分为以下两类：

二层以太网接口：工作在数据链路层，通过MAC地址识别数据帧，可实现VLAN等二层特性；
三层以太网接口：工作在网络层，通过IP地址识别数据报文，可实现路由等三层特性；

默认情况下，防火墙所有的接口都是三层路由接口。

1.11 ASPF的概念

ASPF是指系统为了转发一些多通道协议报文，通过解析报文数据载荷，识别多通道协议自动协商出来的端口号，并自动生成响应的Server-map表项的功能。

1.12 ASPF的配置过程

开启域间ASPF功能

Firewall interzone xx xx；

Detect ftp；

查看serve-map表指令：display fire sever-map；

1.13黑名单

黑名单是指一系列IP地址的集合，设备丢弃来自黑名单中的IP地址的报文。

静态黑名单：管理员可以通过命令行或Web方式手工逐个将IP地址添加到黑名单中；

动态黑名单：设备上的部分安全机制可以自动识别危险对象，并将其加入到黑名单中；

黑名单的匹配和处理效率非常高。

1.14 MAC地址绑定

将IP与MAC地址绑定是指在设备上建立IP地址与MAC地址的对应关系，MAC和IP地址绑定功能一般应用在与二层交换机直接相连的时候，可以防止假冒IP地址攻击，ARP Flood攻击，DHCP Flood攻击等，还可以应用于用户认证。

配置指令：

Firewall mac-binding enable；

Firewall mac-binding x.x.x.x 0001-0002-0003；

1.15端口映射

端口映射是指将发往非知名端口的报文识别为知名协议的功能。

在创建协议与端口的映射关系时，支持一下两种多重映射关系：

一个协议可以映射为多个端口；
一个端口可以映射为多个协议；

1.16 IDS的作用和优势

IDS的作用有：

实时地监视、分析网络中所有的数据报文；
发现并实时处理所捕获的数据报文；
对系统记录的网络时间进行统计分析；
发现异常现象，主动切断连接或与防火墙联动，调用其他程序处理；

IDS的优势有：

实时地监视、分析网络中的所有数据报文，发现并及时处理所捕获的数据报文；
对系统记录的网络时间进行统计分析，发现异常现象，主动切断连接或与防火墙联动，调用其他程序处理。

1.17安全区域

一个安全区域是若干接口所连网络的结合防火墙通过域来表示不同的网络，通过将接口加入域并在安全区域之间启动安全检查（称为安全策略），从而对流经不同安全区域的信息流进行安全过滤。

1.18防火墙的常用基本功能

黑名单、MAC地址绑定、端接口映射、NAT、攻击防范、VPN。

虚拟防火墙通过绑定VPN实例，来进行路由隔离。

2 Eudemon防火墙NAT业务特性与配置

2.1 NAT的分类

基于源IP地址的转换

转换方向

Inbound方向：低安全级别向高安全级别，基于源IP地址；
Outbound方向：高安全级别向低安全级别，基于源IP地址；

端口是否转换

No-PAT方式：主要用于一对一的IP地址转换，端口不进行转换；
NAPT方式：主要用于多对一或多对多的地址转换，转换时地址和端口号同时进行转换；

基于目的IP地址的转换

NAT Server：实现私网服务器以公网IP地址对外提供服务的场景；
目的NAT：实现手机用户上网，手机的缺省WAP网关与所在地运营商的实际WAP网关不一致，导致需要修改报文的目的网关地址的场景。

基于源/目的IP地址的转换

NAT Inbound和NAT Server一起使用：主要用于简化NAT Server的配置；
域内NAT和NAT Server一起使用：主要用于私网用户以公网地址访问属于同一安全区域的私网服务器的场景。

2.2 NAT的应用场景

内网用户访问公网服务器；
公网用户访问内网服务器；
内网用户通过公网IP访问位于同一安全区域的内部服务器；
自动转换无线用户的WAP网关地址；

2.3 NAT No-PAT的应用和配置

NAT No-PAT也可以称为“一对一地址转换”，在地址转换过程中，数据包的源IP由私网地址转换为公网地址，端口号不做转换。

配置地址池；

Nat address-group 分组号开始ip地址结束ip地址；

进入域间NAT策略视图；

Nat-policy interzone trust untrust outbound；

进入策略的配置视图；

Policy 0；

指定需匹配流量的源地址；

Policy source x.x.x.x mask 掩码位数；

启用基于源的NAT功能；

Action source-nat；

指定和地址池1中的公网IP进行转换。

Address-group 1；

（查询指令：Display firewall session table verbose；查询会话表

Display nat address-group；查询地址组表项）

2.4 NAPT的应用和配置

NAPT是指在进行NAT转换IP地址的同时，还对端口号进行转换。这种应用可以实现多个内网用户共用一个公网IP。Easy-ip可以直接借用设备与外网相连的接口的IP地址作为转换后的IP地址。

进入域间NAT策略；

Nat-policy interzone trust untrust outbound；

进入该条策略的配置视图；

Policy 0；

指定需匹配流量的源地址；

Policy source x.x.x.x mask 掩码位数；

启用NAT功能；

Action source-nat；

配置NAT easy-ip；

Easy-ip GigabitEthernet x/x/x；

（查询指令：Display firewall session table；查看会话表）

2.5 NAT Server的应用和配置

在私网中有一台服务器，其真实IP地址是私网地址。但这台服务器同时还向Internet用户提供服务，需要被公网用户主动访问。

配置NAT Server；

Nat server protocol tcp global x.x.x.x（untrust） ftp inside x.x.x.x（dmz）

配置域间包过滤策略；

Firewall packet-filter default permit interzone dmz untrust

配置NAT ALG；

Firewall interzone dmz untrust；

Detect ftp；

（查询命令：Display firewall session table verbose；查看会话表

Display nat server；查看Nat server表项）

2.6目的NAT的应用和配置

解决手机出厂时，缺省设置的WAP网关地址与本国WAP网关地址不符的问题，无线网络中，在WAP网关与用户之间通过在设备上配置目的NAT功能，将目的地址转换为WAP网关的地址，使这部分手机用户能够正常获取网络资源。

配置NAT Server；

Nat server protocol tcp global x.x.x.x（untrust） ftp inside x.x.x.x（dmz）

进入域间包过滤策略视图；

Policy interzone dmz untrust inbound；

创建策略，进入策略配置视图；

Policy 0；

指定需要匹配的流量的目的地址；

Action permit；

配置对匹配流量的动作；

Policy destination 10.1.1.2 0；

配置NAT ALG；

Firewall interzone dmz untrust；

Detect ftp；

接入网

1 GPON部分

1.1接入网定义

接入网是业务节点接口与相关用户网络接口之间的一系列传送实体组成，为供给电信业务而提供所需承载能力的实施系统。

1.2传输方式分类

有线方式：双绞线铜缆接入、同轴电缆、光纤接入；
无线方式：固定无线接入、移动无线接入。

1.3接入网趋势——光进铜退

FTTB组网模式：光纤到楼道；
FTTC组网模式：光纤到路边；
FTTH组网模式：光纤到户；

1.4光纤接入网的接入方案

点到点的网络（P2P）；
路边交换网络；
无源光网络（PON）；

1.5无源光网络的优点

更远的传输距离：采用光纤传输，接入层的覆盖半径20km；
更高的带宽：GPON非对称上下行，上行1.25G/下行2.5G；
分光特性：局端光纤经分光后引出多路到户光纤（P2MP），节省资源。

1.6 PON网络的组成

光网络终端：OLT；
光分配网络：ODN；
光网络单元/终端：ONU/ONT；

1.7 GPON网络基本性能参数

最大逻辑距离：60km；
最大物理传输距离：20km；
最大差分距离：20km；
最大分光器比：1:128；

1.8 GPON区分用户技术

为了分离同一根光纤上多个用户的信号，采用以下两种技术：

下行数据流采用广播技术：GPON的下行帧长为固定的125us，下行为广播方式，所有的ONU都能收到相同的数据，通过GEM PORTID来区分不同ONU的数据，ONU通过过滤来接收属于自己的数据；
上行数据流采用TDMA技术：GPON的上行是通过TDMA（时分复用）的方式来传输数据，上行链路被分成不同的时隙，根据下行帧的upstrea-m bandwidth map字段来给每个ONU分配上行时隙。

1.9 GPON业务的上行、下行复用

上行复用：不同用户的PORTID来绑定在缓存器T-CONT（Alloc-ID）上后再绑定在不同的ONU上；
下行复用：所有的业务在GPON业务处理单元中被封装到GEM port中光波导该GPON接口下的所有ONU上，ONU再根据GEM PORTID进行数据过滤，只保留属于该ONU的GEM PORT并解封装将业务从ONU的业务接口送入用户装备中，共享的GEM PORT为组播GEM PORT；

1.10 DBA的定义及作用

DBA动态带宽分配，可以在微秒或毫秒级的时间内完成对上行带宽的动态分配。其主要作用有：

可以提高PON端口的上行线路带宽利用率；
可以在PON口上增加更多的用户；
用户可以享受到更高带宽的服务，特别是那些对带宽突变比较大的业务；

1.11 T-CONT

T-CONT是DBA实现的基础，其可以动态接收OLT下发的授权，用于管理PON系统传输汇聚层的上行带宽分配，改善PON系统中的上行带宽；

T-CONT类型：

Type1：固定带宽；
Type2：保证带宽；
Type3：保证带宽+最大带宽；
Type4：最大带宽；
Type5：固定带宽+保证带宽+最大带宽；

1.12 GPON终端管理模型

GPON系统对ONU的管理通过OLT和ONU之间的OMCI管理通道实现，可以实现：

ONU即插即用、自动业务发放；
ONU远程集中管理；

网管系统通过SNMP进行对OLT的远程管理。

1.13常见GPON终端管理方式

ONT管理方式：

全OMCI模式；
上网组播OMCI+语音FTP（再通过OMCI下发给ONT）；
全部业务由EMS配置或Telnet登录配置，管理VLAN和IP由OMCI下发；
OMCI（管理业务）+ACS（IP业务）；

1.14 GPON总结

铜接入xDSL技术存在距离和带宽的矛盾，接入网趋势是光进铜退，GPON称为主流接入技术；
GPON系统分为OLT、ODN和ONU三个组成部分；
OLT通过识别SN或者密码来注册激活ONU；
OLT和ONU之间通信通过GEM PROT传输数据；
OLT通过OMCI通道来管理和下发配置到ONU；
GPON系统的组网保护方式有Type A/B/C类型。

1.15小知识点

PON是一种点到多点（P2MP）结构的无源光网络；
GPON是千兆比特无源光网络；
GPON实现单纤双向传输，系统采用WDM技术；
GPON传输采用频分复用，上行频率采用1310nm，下行频率采用1490nm；
C-VLAN用于标记用户，S-VLAN用于标记业务；
GPON网络中传输数据的最小单元是GEM帧；
GPON的关键技术有测距、上行动态带宽分配、下行AES加密；
通过RTD和EqD，使得各个ONU发送的数据帧同步，保证每个ONU发送数据时不会再分光器上产生冲突，将所有的ONU都布置同一逻辑距离上，在对应的时隙发送数据即可；
语音业务的优先级最高，视频业务优先级次之，数据业务的优先级最低；
OLT根据业务和SLA及ONU的实际情况进行带宽许可，优先级高的可以得到更高的带宽，满足业务需求；
GPON通过ONU ID来识别同一PON口下的不同ONU，且ONU ID由注册时分配；
GPON ONU终端的主要认证方式有SN认证和SN+Password认证两种方式；
TypeB保护是同一个OLT不同PON端口实现的保护；TypeB双归属保护是两个OLT的PON端口实现的保护；
TypeC保护是OLT、ONU、分光器均实现的类似环网的保护

2 EPON部分

2.1 EPON和GPON的异同

序号	GPON	EPON
1	非对称1.25/1.25	对称1.25/1.25
2	半径20km	半径20km
3	分光P2MP	分光P2MP
4	标准ITU-T G.984x	IEEE 802.3ah
5	复用方式：单纤双向	复用方式：单纤双向
6
7

标签：组播,IP,报文,配置,通信,学习,原理,路由,路由器
From： https://blog.csdn.net/2501_90154931/article/details/144993810