華爲中級認證HCIP知識點，看這個就夠了

OSPF 知識點

OSPF基本配置，OSPF 5種報文，7種鄰居狀態，4種網絡類型，4種特殊區域，7類LSA，4種link type，標識一條LSA的3個要素，OSPF鄰居域鄰接關係，單區域，多區域，OSPF認證（keychain），DR的選舉，OSPF被動接口，OSPF域間聚合，外部聚合，不規則區域的解決方法（虛鏈路），OSPF開銷值，協議優先級及計時器的修改，OSPF外部路由引入，下放默認路由，OSPF在FR中的應用，OSPF協議中Forwarding Address 的理解

總結：
1.OSPF 5種報文：hello、DD、LSR、LSU、LSAck
2.OSPF 3張表：鄰居表 dis ospf peer、數據庫表 dis ospf lsdb、路由表 dis ospf roting
3.OSPF 7種鄰居狀態：Down->init->2way->exstart->exchange->loading->full
4.OSPF 4種網絡類型：broadcast、P2P（無DR）、NBMA（手工建立鄰居 peer 對方IP）、　　　　　　　　　　　　　　P2MP（無DR）
　　broadcast和p2p的hello時間爲10秒
　　NBMA和P2MP的hello時間爲30秒
5.OSPF 4種特殊區域：stub（123）、totally stub（12）、外部路由引入：nssa（1237）、totally nssa（127）

6.OSPF 4種鏈路狀態：P2P、transnet、subnet、vlink
7.識別一條LSA的3個要素：type、link state id、adv router
8.路由彙總： 域間彙總 abr-summary、外部彙總 asbr-summary
　　　　　　如果有多個ABR，就在Router-ID更大的ABR上做
9.選路優先規則：域內>域間>外部type1>外部type2
10.引入路由默認：cost 1，tag 1，type 2，優先級150
　　type 1，type 2：type 1 內部＋外部cost（真實），type2只計算外部cost
　　
11.認證範圍：接口，區域，虛鏈路（骨幹）
　區域類型：骨幹（area 0），非骨幹（常規），特殊

12.OSPF協議中 Forwarding Address（滿足三種情況才非0：①接口啓用了OSPF ②接口未設置silent ③接口是廣播類型）

13.DR選舉：先看優先級（默認爲1，取值範圍0-255，0就代表放棄的意思），再看router-id。 不搶佔
router-id選舉：1、手工指定　 2、環回接口 　3、物理接口 　4、0.0.0.0
　如果不手工指定，會因先後順序，影響router-id，先配物理口，再配環回口。 因此建議是手工指定

14.OSPF鄰居建立不起來的原因：
①廣播網絡類型中 子網掩碼不匹配 建立不起OSPF鄰接 dis ospf peer brief
②router-id 相同
③網絡類型不同，改了網絡類型，缺省Hello時間也不同
④hello，dead 時間不同，改了hello，dead也會改。4倍關係
hello時間相同，網絡類型不同。 鄰接能建立，但路由無法傳遞。
⑤MTU 值不同 （兩端必須開啓mtu enable，強制檢測），MTU是在DD報文中，停留在ExStart（做一個主從選擇，Master和Slave，比較Router ID 誰大）
⑥無 DR，（兩端設置dr優先級爲0），會停留在 2-way。 缺省dr優先級是1
⑦認證不同，一端做加密，另一端沒加密。
⑧區域ID 不同，兩臺設備，一個區域0，一個鄰居路由器爲區域1
⑨末節標誌位不同 stub，totally stub，nssa，totally nssa
⑩接口設置爲silent-interface

15.7類LSA 

 

IS-IS 知識點

ISIS基本配置，ISIS 9種報文，2種網絡類型，3種路由器類型，hello報文中的padding的開啓域關閉，P2P 鏈路 3-way，接口認證，修改路由器級別，接口級別，路由過載，DIS選舉，DIS與DR的區別，接口優先級的修改，接口開銷值，接口開銷類型（narrow,wide），修改網絡類型（p2p,broadcast），ISIS路由聚合，ISIS缺省路由，路由引入，引入外部路由的類型（internal,External），路由過濾filter-policy，IS-IS路由滲透

1.ISIS 9種報文
P2P Hello
Broadcast L1-Hello 0014
Broadcast L2-Hello 0015
LSP（鏈路狀態PDU）\CSNP（完全序列號數據包）\PSNP（部分序列號數據包）(都分爲level 1 2)
CSNP類似於OSPF的DD報文 傳遞的是LSDB裏所有鏈路信息摘要
PSNP類似於OSPF的LSRequest或LSAck報文 用於請求和確認部分鏈路信息
LSP類似於OSPF的LSU

2.兩種網絡類型：點到點 和 廣播，只可以把廣播類型改爲點到點。 點到點不選DIS

3.3種路由器類型
Level-1的鄰接關係的建立，區域ID必須一致
不同區域的，要Level-1和Level-1-2
IS-IS路由器的三種類型
·Level-1路由器（只能創建level-1的LSDB） 同一區域
·Level-2路由器（只能創建level-2的LSDB） 不同區域
·Level-1-2路由器（路由器默認的類型，能同時創建level-1和level-2的LSDB） 跨區域

4.hello報文中的padding的開啓域關閉
padding 是 針對P2P的，填充到MTU值。 然後MTU值不一致，鄰居建立不起來，

5.P2P 鏈路 3-way

5.IS-IS 認證
接口認證：對Level-1和Level-2的Hello 報文進行認證
區域認證：對Level-1的SNP和LSP報文進行認證
路由域認證：對Level-2的SNP和LSP報文進行認證
認證方式：NULL、明文、MD5
R1
int g0/0/0
isis authentication-mode md5 huawei (isis沒有md5的kid號，ospf有)

6.修改 IS-IS 路由器的級別
isis
is-level level-1

7.修改 IS-IS 路由器接口的級別
int g0/0/0
isis circuit-level level-2

8.路由過載 ATT/P/OL —— 瞭解
ATT 可以理解爲OSPF的ABR它會告訴本區域的L1路由器，有去往其他區域的路由。
OverLoad []isis []set-overload 表示過載，如果過載，就不經過路由中轉
P是區域修改位，區域修復，相當於OSPF的虛鏈路

9.DIS選舉：優先級默認64，範圍：0~127。 優先級一樣比較MAC地址 越大越優

10.DIS和DR的區別：
DIS是2倍Hello時間，DR是4倍Hello時間 40秒。
DR 選舉先看優先級，再比較 router-id ,DIS 先看優先級，再比較 mac 地址
DR 默認爲 1，取值範圍爲 0-255，DIS 默認爲 64，取值範圍爲 0-127，
DR 的值爲 0 ，代表放棄 DR 選取，DIS 的值爲 0 ，只是值小，並不放棄 DIS 選舉
DR 主要爲了減少 LSA 泛洪，DIS 是爲週期發送 CSNP，同步 LSDB
DR 有備份的設備 BDR ，DIS 沒有備份的 DIS
DR 的選舉是在鏈路上選舉的，DIS 的選舉分爲 Level-1 和 Level-2，在路由器上選舉
DR 默認不開啓搶佔， DIS 默認搶佔
OSPF 選舉 DR/BDR 需要 waiting time 達 40 秒，過程也較爲複雜，而 ISIS 選舉 DIS 等待兩個 Hello 報文間隔就可以，簡單快捷
選舉完成後，ISIS 網絡鏈路內所有的路由器之間都建立的是鄰接關係。OSPF 中 DRothers 只與 DR/BDR 形成 full 鄰接關係， DRothers 之間只有 2-way 的關係

11.接口優先級的修改
接口優先級 就是DIS的優先級。 如果默認什麼都不加 就是把一類和二類的DIS都改了，建議改的時候要明確是一類還是二類的

12.IS-IS 開銷值
IS-IS 有三種方式來確定接口的開銷，按照優先級由高到底分別如下：
①接口開銷：爲單個接口設置開銷，優先級最高。 默認是10
int g0/0/0
isis cost 50
②全局開銷：爲所有接口設置開銷，優先級中等。
isis
circuit-cost 30
③自動計算開銷：根據接口帶寬自動計算開銷，優先級最低。
isis
bandwidth-reference 1000
auto-cost enable

13.接口開銷類型（narrow,wide）
IS-IS 開銷類型默認爲 narrow ，接口下最大隻能配置值爲 63 的開銷值，但是在大型
網絡設計中，較小的度量範圍不能滿足實際需求。 IS-IS 開銷類型 wide , 接口
開銷值可以擴展到 16777215

14.IS-IS 路由聚合
IS-IS 也能夠通過路由聚合來減少路由條目。
isis
summary 10.0.1.0 255.255.255.252 level-1 默認以L2類型發送

15.IS-IS 缺省路由
第一種缺省路由是由 level-1 路由器在特定條件下自動產生的，它的下一跳是離它最近的 （cost 最小）level-1-2 路由器。
第二種缺省路由是 IS-IS 路由器上使用 default-route-advertise 命令產生併發布的。
isis
default-route-advertise match default level-1-2

16.IS-IS 路由引入
IS-IS 網絡能夠引入其他路由協議的路由和其他 IS-IS 協議進程的路由。默認情況下，IS-IS 總是以 level-2 路由類型引入外部路由。但是，通過手動配置，也可以以 level-1 路由類型引入外部路由。
isis
import-route ospf 1 level-1 cost-type internal cost 30

17.IS-IS 路由過濾
使用 filter-policy 工具對 IS-IS 路由進行過濾
route-policy 10 deny node 2
if-match ip next-hop acl 2014
if-match acl 2001
route-policy 10 permit node 3
isis
filter-policy route-policy 10 import

18.IS-IS 路由滲透
IS-IS 路由滲透指的是 Level 1-2 和 Level-2 路由將自己知道的其他 Level-1區域以及 Level-2 區域的路由信息通報給指定的 Level-1 區域的過程。
isis
import-route isis level-2 into level-1
因爲ISIS沒有全局的概念，L1的路由器要出去就是找最近的，看不到整個路徑。 把2類的明細發送給1類，這樣就不會產生次優

19.補充
需求：ISIS不同網段建立鄰居。使地址不在同一個網段 也能建立起鄰居關係。
[R2\R1]int s0/0/0
[ ]isis peer-ip-ignore （兩端都得改）
解析：因爲ISIS本質是基於二層建立起來的

需求：修改System ID ，讓它更短一點
[R2\R1]isis
[R2-isis-1]is-name R2\R1 （兩端都得改）
 

 

BGP 知識點

BGP知識點：
BGP基礎配置，BGP 5種報文，6種鄰居狀態，4大類細分10種屬性，IBGP EBGP（環回口 物理接口）建立鄰居，BGP認證，fake-as，路由傳遞原則，IBGP防環，EBGP防環，RR防環，BGP路由自動聚合，手工聚合（detail-suppressed,supress-policy,attribute-policy,origin-policy），BGP 5種 community屬性，BGP選路，BGP聯盟，路由反射器，BGP路由過濾，引入，下放默認路由

1.BGP 5種報文
建立鄰居 open
更新 update
警告 notification
週期性存活 keepalive (默認是60秒,還有hold time,是keepalive time的3倍關係,也就是180秒)
路由刷新 route-refresh

2.6種狀態：Idle\connect\active\opensent\open confirm\established

3.4大類屬性
4大類屬性：
公認必遵（Origin、AS-PATH、Next-hop） 公認必遵的三個是BGP報文必須要有的
公認任意（Local-Preference\原子聚合）
可選過渡（aggregator\community(internet,no-advertise,no-export,no-open-stubconfig)）
可選非過渡（med\cluster-list\origin-id）

4.IBGP EBGP（環回口 物理接口）建立鄰居
使用物理接口建立 IBGP 鄰居
bgp 100
router-id 1.1.1.1
peer 192.168.12.2 as-number 100

使用環回口建立 IBGP 鄰居
peer 2.2.2.2 as-n 100
peer 2.2.2.2 connect interface loo0

使用環回口建立 EBGP 鄰居，ebgp 多跳
peer 3.3.3.3 as-n 200
peer 3.3.3.3 connect interface loo0
peer 3.3.3.3 ebgp-max-hop 255

5.BGP認證
認證是指路由器對路由信息來源的可靠性及路由信息本身的完整性進行檢測的機制。
簡單認證
bgp 100
peer 192.168.12.2 password simple Huawei

keychain 認證
keychain key mode periodic daily
key-id 1
key-string huawei
algorithm md5
send-time daily 08:00 to 18:00
receive-time daily 08:00 to 18:00
bgp 100
peer 192.168.12.2 keychain key

6.fake-as
fake-as
使用 fake-as 可以將本地真實的 AS 編號隱藏，其他 AS 內的對等體在指定本
端對等體所在的 AS 編號時，應該設置成這個僞 AS 編號
bgp 2000
peer 192.168.12.1 fake-as 200

7.路由傳遞原則
BGP 設備將最優路由加入 BGP 路由表，形成 BGP 路由。BGP 設備與對等體建
立鄰居關係後，採取以下交互原則：
1、從 IBGP 對等體獲得的 BGP 路由，BGP 設備只發布給它的 EBGP 對等體。
2、從 EBGP 對等體獲得的 BGP 路由，BGP 設備發佈給它所有 EBGP 和 IBGP 對 9等體。
3、當存在多條到達同一目的地址的有效路由時，BGP 設備只將最優路由發佈給對等體。
4、路由更新時，BGP 設備只發送更新的 BGP 路由。
5、所有對等體發送的路由，BGP 設備都會接收

8.防環機制
IBGP的防環：水平分割，路由器從它的一個BGP對等體那裏接收到的路由條目不會將該路由器再傳遞給其他IBGP對等體。
EBGP的防環：當路由器從EBGP鄰居收到BGP路由時，如果該路由的AS_Path中包含了自己的AS編號，則該路由將會直接丟棄
RR 路由反射器的防環：Originator_id，Cluster_list
舉例：

R2從EBGP鄰居R1 收到R1的路由條目，會發送給R3。
如果R3後還有R4，觀察點要轉移到R3，R3是通過IBGP鄰居R2收到的路由條目，是不會發給R4的。

 

9.BGP路由聚合
自動聚合（默認情況下是關閉的，只適用於通過路由引入方式引入的路由,對network無效）
bgp 100
summary automatic

手工聚合（detail-suppressed,supress-policy,attribute-policy,origin-policy）
null 0 表示不存在的接口，起到防環作用
分爲靜態 和 aggravate
1.配置一條靜態路由，然後 network 命令進行通告
ip route-static 192.168.0.0 21 NULL 0
bgp 400 network 192.168.0.0 255.255.248.0
2.使用 aggregate 命令進行聚合。（推薦）
bgp 400
aggregate 172.16.0.0 255.255.248.0

如何解決BGP路由聚合帶來的潛在環路問題？ —— 帶AS號， 因爲默認是不帶的

detail-suppressed 抑制明細
bgp 400
aggregate 172.16.0.0 21 detail-suppressed

suppress-policy 抑制部分明細
bgp 400
aggregate 172.16.0.0 21 suppress-policy sup

attribute-policy 可以修改聚合後的路由屬性
route-policy att permit node 10
apply origin incomplete bgp 400
aggregate 172.16.0.0 21 attribute-policy att
 
 

10.BGP 5種 community屬性
4 個特殊的團體：
internet ,no-export , no-advertise , no-export-Subconfed

internet : 可以向任何 BGP 對等體發佈路由
no-export： 不會發給 EBGP 對等體，但可以發佈給聯盟（Confederation）EBGP 對等體
no-advertise： 不會發給任何 BGP 對等體，誰都不發
no-export-Subconfed ：不會發給 EBGP 對等體，也不會發布給聯盟（Confederation）EBGP 對等體
aa:nn 自定義團體屬性

11.BGP選路
丟棄下一跳不可達的路由
11種選路
一般來說，BGP計算路由優先級的規則： 要記住這8條及順序
當到達同一目的地存在多條路由且下一跳可達
1．優選協議首選值（Preference_Value）最高的路由。（私有屬性，僅本地有效）
2．優選本地優先級（Local_Preference）最高的路由。 （100，IBGP，越大越優）
3．優選本地生成的路由。手動聚合>自動聚合>network>import>從對等體學到的。
4．優選 AS_Path 短的路由。
5．比較 Origin 屬性，起源類型 IGP>EGP>Incomplete。 i>e>?
6．優選 MED（Multi Exit Discriminator）值最低的路由。 （0，EBGP，越小越優）
7．優選從 EBGP 學來的路由（EBGP>IBGP）。
8．優選 AS 內部 IGP 的 Metric 最小的路由。
bgp 100
max load-balancing 2
9．優選 Cluster_List 最短的路由。 （有做路由反射器RR才考慮）
10．優選 Router_ID 最小的路由器發佈的路由。
11．優選具有較小 IP 地址的鄰居學來的路由。

如果配置了負載分擔，當前8個規則相同，且存在多條AS_Path完全相同的外部路由，則根據配置的路由條數選擇多條路由進行負載分擔
bgp 100
maximum load-balancing 2 2以上的數字代表開啓，如果有三條分支，則改成3
dis ip routing-table
 

 

12.BGP聯盟
BGP 路由反射器可以用來減少大型 AS 中 IBGP 鄰居關係的數量和簡化 IBGP 鄰居關係的管理和維護，BGP 聯盟（Condeferation）也可以用來實現類似的目的。

一個 BGP 聯盟是一個具有內部層次結構的 AS，一個 BGP 聯盟由若干個子 AS組成。對於一個 BGP 聯盟，其成員 AS 內部的路由器之間需要建立全互聯的IBGP 鄰居使用 BGP 路由反射器，而成員之間需要建立 EBGP 鄰居關係。從聯盟外的 EBGP 對等體來看，整個聯盟無異於一個普通的 AS，聯盟內部的結構對於聯盟外的 EBGP 對等體來說是完全透明的。
bgp 2003
router-id 5.5.5.5
confederation id 200
confederation peer-as 2001
若公司網絡規模需要擴大，則一般只需要在相應的成員 AS 中添加路由器並進行
相關的配置即可，配置工作量遠遠小於不使用 BGP 聯盟的情形。
詳細看 BGP 選路實驗。

13.BGP路由過濾，引入，下放默認路由 —— 詳細看BGP路由過濾，引入，下放默認路由 實驗
BGP 路由過濾
路由屬性的豐富性可以爲實現路由過濾、路由引入等路由策略和控制提供非常有利的條件。
利用 AS-Path 進行路由過濾
ip as-path-filter 1 permit 100$
bgp 200
peer 192.168.13.1 as-path-filter 1 import
利用 Community 屬性進行路由過濾
route-policy 10 permit node 1
apply community no-export
bgp 300
peer 192.168.14.1 route-policy 10 export
peer 192.168.14.1 advertise-community
利用 Next Hop 屬性進行路由過濾
ip ip-prefix 1 permit 192.168.25.5 32
route-policy 10 deny node 1
if-match ip next-hop ip-prefix 1
route-policy 10 permit node 2
bgp 100
peer 192.168.26.6 route-policy 10 export

BGP 路由引入
在多協議混合的網絡環境中，不同的路由協議使用的協議報文各不相同，就好比
說着不同的語言。如果一種路由協議需要從別的路由協議那裏獲取路由信息，則
可以使用路由引入技術。
ip ip-prefix 10 permit 5.5.5.5 32
route-policy 10 permit node 1
if-match ip-prefix 10
bgp 100
import-route ospf 1 route-policy 10

BGP 缺省路由
在 BGP 網絡中，一臺路由器可以向它的一個 BGP 對等體發佈一條下一跳爲自己
的缺省路由，也可以使用 network 向整個 AS 通告一條下一跳爲自己的缺省路
由，另外，還可以根據需要在 BGP 路由器上手工配置靜態缺省路由。
第一種方法：default-route-advertise
bgp 100
peer 192.168.14.1 default-route-advertise
第二種方法：network 0.0.0.0 手工寫一條缺省路由，在 BGP 中通告
ip route-static 0.0.0.0 0.0.0.0 NULL 0
bgp 100
network 0.0.0.0 0.0.0.0
第三種方法：手工添加一條靜態缺省路由
ip route-static 0.0.0.0 0.0.0.0 192.168.12.2

 

IGMP 知識點

1.組播 multicast
單播（Unicast）是在一臺源 IP 主機和一臺目的 IP 主機之間進行。
廣播（Broadcast）是在一臺源 IP 主機和網絡中所有其它的 IP 主機之間進行
組播（Multicast）是在一臺源 IP 主機和多臺（一組）IP 主機之間進行，中間的
交換機和路由器根據接收者的需要，有選擇性地對數據進行復制和轉發。

2.組播基本架構
組播源到路由器：組播源生成組播數據，完成數據封裝併發送給網關路由器。
路由器到路由器：路由器根據接收者的分佈情況有選擇地對數據進行復制和轉發。
路由器到接收端：路由器收到組播數據併發送給相應的接收者。
ASM 全稱爲 Any-Source Multicast，譯爲任意源組播
SSM 全稱爲 Source-Specific Multicast，譯爲指定源組播。

3.組播地址
224.0.0.1 地址（表示同一網段內所有主機和路由器）
224.0.0.2 地址（本地網段內的所有組播路由器）
224.0.0.13 地址（ PIM 路由器）

4.IGMPV1 V2 V3
IGMP（Internet Group Management Protocol,因特網組管理協議）
IGMP 有 3 個版本，分別 是 IGMPv1、IGMPv2、IGMPv3.
IGMPv1 主要基於查詢和響應機制來完成組播組的管理。主機通過發送 report 消息加入到某組播組，主機離開組播時不發送離開報文，離開後再收到路由器發送的查詢消息時不反饋 report 消息，待維護組成員關係的定時器超時後，路由器會自動刪除該主機的成員記錄。

IGMPv2 與 IGMPv1 基本相似，主機的不同點在於 IGMPv2 具有某些報文抑制機制，可以減少不必要的 IGMP 重複報文，從而節省網絡帶寬資源，另外，主機離開組播組時，會主動向路由器發送離開報文。

IGMPv1 和 IGMPv2 報文中都只能攜帶組播組的信息，不能攜帶組播源的信息，所以主機只能選擇加入某個組，而不能選擇組播源，這一問題在 IGMPv3 中得到了解決。運行 IGMPv3 時，主機不僅能夠選擇組，還能根據選擇組播源。主機發送的 IGMPv3 報文中可以包含多個組記錄，每個組記錄中可以包含多個組播源

PIM: Protocol Independent Multicast 協議無關組播。目前常用版本是PIMv2，PIM 報文直接封裝在 IP 報文中，協議號爲 103，PIMv2 組播地址爲224.0.0.13。
PIM-DM （ Protocol Independent Multicast Dense Mode）
PIM-SM （ Protocol Independent Multicast Sparse Mode）是兩個常見的組播路由協議
RPF（Reverse Path Forwarding，逆向路徑轉發）。

---

PIM-DM ：採用“推（Push）模式”轉發組播報文。
PIM-DM 假設網絡中的組成員分佈非常稠密，每個網段都可能存在組成員。
缺點：在組播成員分佈較爲稀疏的網絡中，組播流量的週期性擴散會給網絡帶來較大負擔。
組播分發樹是指從組播源到接收者之間形成的一個單向無環數據傳輸路徑。組播分發樹有兩類：SPT 和 RPT。
其設計思想是：
首先將組播數據報文擴散到各個網段。然後再裁剪掉不存在組成員的網段。通過週期性的“擴散—剪枝”，構建並維護一棵連接組播源和組成員的單向無環SPT。
PIM-DM 的關鍵工作機制包括鄰居發現、擴散與剪枝、狀態刷新、嫁接和斷言。

在 PIM-DM 網絡中，路由器週期性發送 Hello 消息來發現、建立並維護鄰居關係。
pim timer hello interval，在接口視圖下配置發送 Hello 消息的時間間隔。Hello 消息默認週期是 30 秒。
pim hello-option holdtime interval，在接口視圖下配置 Hello 消息超時時間值。默認情況超時時間值爲 105 秒。
DR 充當 IGMPv1 的查詢器。
接口 DR 優先級大的路由器將成爲該 MA 網絡的 DR，在優先級相同的情況下，
接口 IP 地址大的路由器將成爲 DR。

Assert 競選規則如下：
到組播源的單播路由協議優先級較小者獲勝。
如果優先級相同，則到組播源的路由協議開銷較小者獲勝。
如果以上都相同，則連接到接受者 MA 網絡接口 IP 地址最大者獲勝

---

PIM-SM ：使用“拉（Pull）模式”轉發組播報文。
PIM-SM 假設網絡中的組成員分佈非常稀疏，幾乎所有網段均不存在組成員，直到某網段出現組成員時，才構建組播路由，向該網段轉發組播數據。一般應用於組播組成員規模相對較大、相對稀疏的網絡。
PIM-SM 的關鍵機制包括鄰居建立、DR 競選、RP 發現、RPT 構建、組播源註冊、SPT 切換、Assert

匯聚點 RP（Rendezvous Point）
RP 的作用：
RP 是 PIM-SM 域中的核心路由器，擔當 RPT 樹根節點。
共享樹裏所有組播流量都要經過 RP 轉發給接收者。

運行 PIM-SM 的網絡，都會進行 DR（Designated Router）的選舉。其中有兩種 DR 分別稱爲接收者側 DR 和組播源側 DR。
組播接收者側 DR：與組播組成員相連的 DR，負責向 RP 發送（*，G）的 Join加入消息。
組播源側 DR：與組播源相連的 DR，負責向 RP 發送單播的 Register 消息。

修改 DR 優先級
int g0/0/0
pim hello-option dr-priority 2

Switchover 機制
從組播源到接收者的路徑不一定是最優的，並且 RP 的工作負擔非常大。爲此，我們可以啓用 RPT 向 SPT 進行的切換機制。
通過 RPT 樹到 SPT 樹的切換，PIM-SM 能夠以比 PIM-DM 更精確的方式建立SPT 轉發樹。
使用配置命令來禁止切換
pim
spt-switch-threshold infinity

---

PIM-SM 的 RP
一個 PIM-SM 網絡中可以存在一個或多個 RP 。一個 RP 可以對應若干個組播組，負責這些組播組的註冊消息的處理、加入消息的處理以及組播數據的轉發，但是同一個組播組只能對應一個 RP 。RP 是 PIM-SM 網絡的核心，網絡中的路由器必須知道 RP 的地址。

RP 有兩種形式：靜態 RP 和動態 RP。
靜態 RP 是由人工選定的，PIM 網絡中的所有 PIM 路由器上都需要逐一進行配置。通過配置，每臺路由便知道了靜態 RP 的地址。

動態 RP 的確定過程相對比較複雜一些，在 PIM 網絡中人工選定並配置若干臺PIM 路由器，使得它們成爲 C-RP( Candidate-RP ),RP 將從 C-RP 中選舉產生。如果 C-RP 只有一個，則 RP 就是這個 C-RP。如果有多個 C-RP ，則優先級最高者（優先級數值越小優先級超高，缺省值是 0）將會被選舉爲 RP，如果通過優先級比較無法選舉出 RP，則依靠 Hash 算法算出的數值來決定 RP，數值最大者將成爲 RP（Hash 算法參數：組地址、掩碼長度、C-RP 地址），如果通過 Hash 數值也無法確定出 RP ，則擁有最高 IP 地址的 C-RP 將成爲RP 。

選定和配置 C-RP 時，還必須同時選定和配置 C-BSR （Candidate-BootStrap Router），並由C-BSR 選舉產生出一個 BSR。如果有多個 C-BSR，則擁有最高IP 地址的 C-BSR 將成爲 BSR。BSR 是 PIM-SM 網絡的管理核心，它負責收集網絡中 C-RP 發出的 Advertisement 宣告信息，並計算出與每個組播組對應的 RP ，然後將 RP 的信息發佈到整個 PIM-SM 網絡中。BSR 動態映射組播組與 RP 的關係靜態 RP
pim
static-rp 11.11.11.11
動態 RP
int LoopBack 0
pim sm
pim
c-rp LoopBack 0

路由控制知識點

1.ACL
ACL 的常用類型：基本 ACL，高級 ACL，二層 ACL，用戶自定義 ACL 等，其中應用最爲廣泛的是基本 ACL 和高級 ACL。基本 ACL 可以根據源 IP 地址、報文分片標記和時間段信息來定義規則。高級 ACL 可以根據源/目的 IP 地址、TCP 源/目的端口號、UDP 源/目的端口號、協議號、報文優先級、報文大小、時間段等信息來定義規。高級 ACL 可以比基本 ACL 定義出精細度更高的規則。

基本 ACL :2000-2999
高級 ACL :3000-3999
二層ACL ：4000 ~ 4999
用戶自定義ACL：5000~5999

把接口加入到相應的區域後，就可以實施基於安全區域的 ACL。
在配置時，要注意路由器的防火牆特性：流量方向。
從較高安全級別區域去往較低安全級別區域的報文稱爲 outbound 報文
從較低安全級別區域去往較高安全級別區域的報文稱爲 inbound 報文

2.Route-policy
由一個或多個節點（Node）構成，Node 之間是“或”的關係。
每個 Node 都有一個編號，路由項按照 Node 編號由小到大的順序通過各個Node。每個 Node 下面可以有若干個 if-match 和 apply 子句（特殊情況下可以完全沒有 if-match 和 apply 子句），if-match 之間是“與”關係。If-match子句用來定義匹配規則，即路由項通過當前 Node 所需要滿足的條件，匹配對象是路由項的某些屬性，比如路由前綴，Next Hop ,cost ，路由優先級等，apply子句用來規定處理動作。

3.PPPoE (Point to Point Protocol over Ethernet) 基於以太網的點對點協議
運營商希望通過同一臺接入設備來連接遠程的多個主機，同時接入設備能夠提供訪問控制和計費功能。在衆多的接入技術中，把多個主機連接到接入設備的最經濟的方法就是以太網，而 PPP 協議可以提供良好的訪問控制和計費功能，於是產生了在以太網上傳輸 PPP 報文的技術，即 PPPoE。
PPPoE 利用以太網將大量主機組成網絡，通過一個遠端接入設備連入因特網，並運用 PPP 協議對接入的每個主機進行控制，具有適用範圍廣、安全性高、計費方便的特點。

PPPoE 分爲 2 個階段，discovery 發現階段和 session 會話階段。
一、discovery 階段，是進行 pppoe 的發現和響應階段。
二、session 階段，是進行 ppp 鏈路建立的階段

4.Eth-Trunk
Eth-Trunk 是一種捆綁技術，它將多個物理接口捆綁成一個邏輯接口，這個邏輯接口就稱爲 Eth-Trunk 接口，捆綁在一起的每個物理接口稱爲成員接口。EthTrunk 只能由以太網鏈路構成。

手動負載均衡（manual load-balance）模式
LACP（Link Aggregation Control Protocol）模式
Trunk 的優勢在於：
增加帶寬：Eth-Trunk 接口的帶寬是各成員接口帶寬的總和。
提高可靠性：當某個成員鏈路出現故障時，流量會自動的切換到其他可用的鏈路上，從而提供整個 Eth-Trunk 鏈路的可靠性。
負載分擔：在一個 Eth-Trunk 接口內，通過對各成員鏈路配置不同的權重，可以實現流量負載分擔

5.VLAN
交換機的 VLAN 端口可以分爲 Access , Trunk 和 Hybrid 3 種類型。Access端口是交換機上用來直接連接用戶終端的端口，它只允許屬於該端口的缺省VLAN 的幀通過。Access 端口發往用戶終端的幀一定不帶 VLAN 籤。Trunk 端口是交換機上用來連接其他交換機的端口，它可以允許屬於多個 VLAN 的幀通過。Hybrid 端口是交換機上既可以連接用戶終端，又可以連接其他交換機的端口。Hybrid 端口也可以允許屬於多個 VLAN 的幀通過，並且可以在出端口的方向上將某些 VLAN 幀的標籤剝掉。
interface g0/0/3
port link-type access
port default vlan 30
int g0/0/24
port link-type trunk
port trunk allow-pass vlan 10 20 30

6.MUX VLAN
MUX VLAN（Multiplex vlan ）提供了一種在 VLAN 內的端口間進行二層流量隔離的機制。MUX VLAN 分爲 Principal VLAN 和 Subordinate VLAN，
Subordinate VLAN 又分爲 Separate VLAN 和 Group VLAN。在一個主 VLAN中，隔離型從 VLAN 有一個，互通型從 VLAN 可以有多個
vlan 10
mux-vlan
subordinate group 20
subordinate separate 30

交換機端口開啓 Mux VLAN 功能
int g0/0/1
port mux-vlan enable

7.端口隔離
爲了實現用戶之間的二層隔離，可以將不同的用戶加入不同的 VLAN，但這樣會浪費有限的 VLAN 資源。採用端口隔離功能，可以實現同一 VLAN 內端口之間的隔離。用戶只需要將端口加入到同一隔離組中，就可以實現隔離組內端口之間二層數據的隔離。端口隔離功能爲用戶提供了更安全、更靈活的組網方案。
int g0/0/1
port-isolate enable group 1
int g0/0/2
port-isolate enable group 1
display port-isolate group 1 查看所有創建的隔離組情況

8.端口安全
配置端口安全功能，將接口學習到的 MAC 地址轉換爲安全 MAC 地址，接口學習的最大 MAC 數量達到上限後不再學習新的 MAC 地址，只允許學習到 MAC地址的設備通信。這樣可以阻止其他非信任用戶通過本接口和交換機通信，提高設備與網絡的安全性。

restrict :丟棄源 MAC 地址不存在的報文並上報告警。推薦使用 restrict 動作。
protect : 只丟棄源 MAC 地址不存在的報文，不上報告警。
shutdown : 接口狀態被置爲 error-down，並上報告警。
int g0/0/1 port-security enable，使能端口安全功能。
port-security mac-address sticky，使能接口 Sticky MAC 功能。
port-security max-mac-num max-number，配置接口 Sticky MAC 學習限制數量。 缺省情況下，接口學習的 MAC 地址限制數量爲 1。
（可選）port-security protect-action { protect | restrict | shutdown }，配置端口安全保護動作。 缺省情況下，端口安全保護動作爲 restrict。
（可選）執行命令 port-security mac-address sticky mac-address vlan vlanid，手動配置一條 sticky-mac 表項。

int g0/0/1
port-security max-mac-num 2
port-security mac-address sticky
port-security protect-action protect

9.Q in Q
qinq（dot1q in dot1q）是一種二層環境中的二層技術，用於二層 ISP 網絡將相同客戶網絡中的 vlan 幀，再打一層 vlan-tag 的手段實現同一個客戶的不同站點之間的數據通信。

qinq 的配置類型分爲端口 qinq 和靈活 qinq
端口 qinq 是在 isp 設備入端口收到多個幀都打上同一個外層 tag 發送到對端
靈活 qinq 是在 isp 設備入端口根據收到的不同客戶 vlan 幀打上不同的外層vlan-tag 發送到對端的模式
int g0/0/2
port link-type dot1q-tunnel 啓用端口 qinq 模式，qinq 通道
port default vlan 100 isp 設備接口收到的幀全部在外側打上 vlan100 tag

靈活的 qinq 可以根據需求將客戶網絡的多個 vlan 集合分別對應 isp 內的多個vlan 集合,如上述拓撲中客戶 site 中的 vlan2、vlan3 在進入 isp 網絡的時候分別在外層打上 vlan100、vlan200 的外層 tag 傳遞到對端的 site 中
int g0/0/2
port link-type hybrid
qinq vlan-translation enable
port hybrid untagged vlan 100 200
port vlan-stacking vlan 2 stack-vlan 100
port vlan-stacking vlan 3 stack-vlan 200

 

生成樹協議

1.STP Spanning Tree Protocol ：生成樹協議
STP ：IEEE 802.1d
RSTP：IEEE 802.1w
MSTP：IEEE 802.1s
STP 從初始狀態到完全收斂至少需經過 30s：
STP 選路規則：
每個網絡只有一個根橋
每個非根橋都要選出一個根端口
每個 Segment 只有一個指定端口
非指定端口將被堵塞
bridge ID 由兩部分組成：Bridge 優先級和 MAC 地址，默認優先級爲 32768。
根端口選舉：依據該端口的根路徑開銷、對端 BID（Bridge ID）、對端 PID（Port
ID）和本端 PID。
指定端口選舉：依據該端口的根路徑開銷、BID、PID

2.STP 有 3 個常用的計時器
Hello Time 定時器：2s
Max Age 定時器：20s
Forwarding Delay 定時器：15s

3.RSTP 定義了兩種新的端口角色：備份端口（Backup Port）和預備端口
（Alternate Port）。
AP 是 RP 的備份
BP 是 DP 的備份
RSTP 在選舉的過程中加入了“發起請求-回覆同意”（P/A 機制）這種確認機制，由於每個步驟有確認就不需要依賴計時器來保證網絡拓撲無環纔去轉發，只需要考慮 BPDU 發送報文並計算無環拓撲的時間（一般都是秒級）。

4.RSTP 端口狀態共有 3 種，即 discarding ,learning 和 forwarding

5.在 RSTP 或 MSTP 交換網絡中，爲了防止惡意或臨時環路的產生，可配置保護功能來增強網絡的健壯性和安全性。
BPDU 保護
根保護
環路保護
防止 TC-BPDU 攻擊

BPDU保護（有邊緣端口的交接機，全局配置）
在交換設備上，通常將直接與用戶終端或文件服務器等非交換設備相連的端口配置爲邊緣端口，邊緣端口一般不會收到BPDU。如果有人僞造BPDU惡意攻擊交換機，邊緣端口接收到BPDU後，交換機會自動將邊緣端口設置爲非邊緣端口，並重新進行生成樹計算，從而引起網絡震盪。交換機上啓動了BPDU保護功能後，如果邊緣端口收到了BPDU，那麼邊緣端口將被關閉，但是邊緣端口屬性不變，同時通知網管系統。被關閉的邊緣端口只能由網絡管理員手動恢復，如果需要被關閉的邊緣端口自動恢復，可以配置端口自動恢復功能，並設置延遲時間。

根保護（交接機的 DP 端口，接口配置）
由於維護人員的錯誤配置或網絡中的惡意攻擊，網絡中的合法根交換機有可能會收到優先級更高的BPDU，使得合法根交換機失去根交換機的地位，從而引起網絡拓撲結構的錯誤變動。這種不合法的拓撲變化，可能會導致原來應該通過高速鏈路的流量被牽引到低速鏈路上，造成網絡擁塞。對於啓用了根保護功能的端口，其端口角色不能成爲根端口，**一旦啓用根保護功能的指定端口收到
了優先級更高的BPDU時，端口將進入Discarding狀態，不再轉發報文。**在經過一段時間（通常爲 2 倍的 Forward Delya， 30s）後，如果端口一直沒有再收到優先級更高的BPDU，端口會自動恢復到正常的Forwarding狀態。

環路保護（有阻塞端口的交接機，端口配置）
在運行RSTP或MSTP的協議網絡中，根端口和其他阻塞端口的狀態是依靠上游交換機爲斷髮來的BPDU進行維持的。當由於鏈路擁塞或者單向鏈路故障導致這些端口收不到來自上游交換機的BPDU時，交換機就會重新選擇根端口。原先的根端口會轉變爲指定端口，而原先的阻塞端口會遷移到轉發狀態，從而造成交換機中可能產生環路。在啓動了環路保護功能後，如果根端口或Alternate端口長時間收不到來自上游的BPDU，則會向網絡管理員發送通知信息，如果是根端口則進入Discarding狀態，阻塞端口則會一直保持在阻塞狀態，不轉發報文，從而不會在網絡中形成環路。直到根端口或Alternate端口收到BPDU後，端口狀態才恢復到Forwarding狀態。

防止TC-BPDU攻擊（所有交接機，全局配置）
交換機在接收到TC BPDU後，會執行MAC地址表項和ARP表項的刪除操作。如果有人僞造了TC BPDU報文惡意攻擊交換機，交換機在短時間內會收到很多TC BPDU報文，頻繁的刪除操作會給設備造成很大的負擔，給網絡的穩定性帶來很大隱患。啓用防TC BPDU報文攻擊功能後，可以配置交換機在單位時間內處理TC BPDU報文的次數。如果在單位時間內，交換機收到的TC BPDU報文數量大於配置的閾值，交換機只會處理閾值指定的次數。對於其他超出閾值的TC BPDU報文，定時器到期後設備只對其統一處理一次。這樣可以避免頻繁地刪除MAC地址表項和ARP表項，從而達到保護設備的目的。

 

 
6.多生成樹協議 MSTP（Multiple Spanning Tree Protocol）
MST 域是多生成樹域（Multiple Spanning Tree Region），由交換網絡中的多臺交換設備以及它們之間的網段所構成。
MSTP 同域的三要素就是域名、實例和 vlan 映射、修訂級別
stp instance 1 root secondary
stp instance 2 priority 0
stp region-configuration
region-name huawei
revision-level 1
instance 1 vlan 10
instance 2 vlan 20
active region-configuration

 

MPLS

1.MPLS （Multi-Protocol Label Switching, 多協議標籤交換）
根據數據流的方向，LSP 的入口 LER 被稱爲入節點（Ingress）；位於 LSP 中間的 LSR 被稱爲中間節點（Transit）；LSP 的出口 LER 被稱爲出節點（Egress）。
0～15： 特殊標籤。如標籤 3，稱爲隱式空標籤，用於倒數第二跳彈出；
16～1023： 靜態 LSP 和靜態 CR-LSP（Constraint-based Routed Label Switched Path）共享的標籤空間；
1024 及以上：LDP、RSVP-TE（Resource Reservation Protocol-Traffic Engineering）、MP-BGP

2.標籤的發佈方式：華爲採用 DU 下游自主
DU（Downstream Unsolicited，下游自主方式）：對於一個到達同一目地址報文的分組，LSR無需從上游獲得標籤請求消息即可進行標籤分配與分發。
DoD（Downstream on Demand，下游按需方式）：
對於一個到達同一目的地址報文的分組，LSR獲得標籤請求消息之後才進行標籤分配與分發

3.標籤的分配控制方式：華爲採用 Ordered 有序標籤分配控制
Independent（獨立標籤分配控制方式）：本地LSR可以自主地分配一個標籤綁定到某個IP分組，並通告給上游LSR，而無需等待下游的標籤。
Ordered（有序標籤分配控制方式）：只有當該LSR已經具有此IP分組的下一跳的標籤，或者該LSR就是該IP分組的出節點時，該LSR纔可以向上遊發送此IP分組的標籤。

4.標籤的保持方式：華爲採用 Liberal 自由標籤保持
Liberal（自由標籤保持方式）：對於從鄰居LSR收到的標籤映射，無論鄰居LSR是不是自己的下一跳都保留。
Conservative（保守標籤保持方式）：對於從鄰居LSR收到的標籤映射，只有當鄰居LSR是自己的下一跳時才保留。

5.MPLS的LER和LSP
在 MPLS 網絡中，位於網絡邊緣的路由器稱爲 LER（Label Edge Router）,網絡內部的路由稱爲 LSR（Label Switch Router）

MPLS 報文經過的路由稱爲LSP （Label Switched Path）。 一條 LSP 總是起於一臺被稱爲 Ingress 的 LER， 止於另一臺被稱爲 Egress 的 LER， 中間經過若干臺被稱爲 Transit 的 LSR。

LSP 具有單向性，且有靜態 LSP 和動態 LSP 之分，靜態 LSP 需要人工進行固定的標籤分配，動態 LSP 需要利用諸如 LDP （Label Distribution Protocol ,標籤分發協議）這樣的協議進行動態標籤分配。
… 有時間就補MPLS實驗

DHCP

DHCP：Dynamic Host Configuration Protocol 動態主機配置協議
DHCP 相對於靜態手工配置有如下優點：效率高，靈活性強，易於管理

DHCP 採用了 Client/Server 模型；DHCP Client 需要從 DHCP Server 那裏獲得各種網絡配置參數，這個過程是通過 DHCP Client 與 DHCP Server 之間交互各種 DHCP 消息來實現的。DHCP 消息是封裝在 UDP 報文中的，DHCP Server使用端口號 67 來接收 DHCP 消息，DHCP Client 使用端口號 68 來接收 DHCP消息

DHCP Client 通過 DHCP 來申請獲取自己的 IP 地址的基本過程，這一過程包含
了四個階段：
發現階段：
提供階段
請求階段
確認階段

基於接口的 DHCP 服務器給客戶端分配 IP 地址：
dhcp enable
interface g0/0/0
ip address 192.168.1.1 24
dhcp select interface
dhcp server dns-list 192.168.1.2
dhcp server excluded-ip-address 192.168.1.2
dhcp server lease day 2 hour 0 minute 0

基於全局地址池的 DHCP 服務器給客戶端分配 IP 地址：
dhcp enable
ip pool HW
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
excluded-ip-address 192.168.1.2
lease day 3 hour 0 minute 0
dns-list 192.168.1.2

interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
dhcp select global

DHCP Relay 的基本作用就是專門在 DHCP Client 和 DHCP Server 之間進行DHCP 消息的中轉。
dhcp enable
int e0/0/1
dhcp select relay
dhcp relay server-ip 192.168.23.3

---

DHCP 常見攻擊分爲哪幾種：DHCP 餓死攻擊、仿冒 DHCP Server 攻擊、DHCP 中間人攻擊。
dhcp enable
dhcp snooping enable
在 VLAN 1 中開啓，或者在連接用戶側接口開啓
dhcp snooping enable vlan 1
或者
int e0/0/2
dhcp snooping enable
int e0/0/3
dhcp snooping enable
配置接口的信任狀態：將連接 DHCP Server 的接口狀態配置爲“Trusted”
int e0/0/1
dhcp snooping trusted

使能 ARP 與 DHCPSnooping 的聯動功能。
arp dhcp-snooping-detect enable

使能對 DHCP 報文進行綁定表匹配檢查的功能。
int e0/0/1
dhcp snooping check dhcp-request enable

配置 DHCP 報文上送 DHCP 報文處理單元的最大允許速率爲 10pps。
dhcp snooping check dhcp-rate enable
dhcp snooping check dhcp-rate 10

配置接口允許接入的最大用戶數。
int e0/0/1
dhcp snooping max-user-number 2

---

VRRP

VRRP （Virtual Router Redundancy Protocol）虛擬路由器冗餘協議
VRRP 協議只有一種報文，即 VRRP Advertisement 通告報文，目的地址是224.0.0.18，TTL 是 255，協議號是 112
VRRP 中接口只有 3 個狀態：初始狀態(Initial)、主狀態(Master)和備份狀態(Backup)。其中，只有處於主狀態的設備纔可以轉發那些發送到虛擬 IP 地址的報文

VRRP 優先級
Priority：發送報文的 VRRP 路由器在虛擬路由器中的優先級。
取值範圍是 0～255，其中可用的範圍是 1～254。 0 表示設備停止參與 VRRP，用來使備份路由器儘快成爲主路由器，而不必等到計時器超時；

255 則保留給 IP 地址擁有者。缺省值是 100。
VRRP 的 Master 的選舉基於優先級，優先級取值範圍是 0-255，默認情況下，配置優先級爲 100，在接口上可以通過配置優先級的大小來手工選擇 Master 設備。比較優先級的大小，優先級高者當選爲 Master 設備。當兩臺設備優先級相同時，如果已經存在 Master，則其保持 Master 身份，無需繼續選舉；如果不存在 Master，則繼續比較接口 IP 地址大小，接口 IP 地址較大的設備當選爲Master 設備。

注意：如果路由器的IP和VRRP的虛擬IP一樣 則這臺路由器優先級直接變爲255，直接成爲master

int e0/0/1
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 120
int e0/0/1
vrrp vrid 2 preempt-mode disable
vrrp vrid 2 priority 180
int e0/0/1
vrrp vrid 2 track interface g0/0/1 reduced 30
int e0/0/1
vrrp vrid 1 authentication-mode md5 huawei

BFD

BFD（Budurectional Forwarding Detection）雙向轉發偵測
BFD 是一種雙向轉發檢測機制，它是介質無關和協議無關的快速故障檢測機制，可以提供毫秒級的檢測，可以實現鏈路的快速檢測，BFD 通過與上層路由協議聯動，可以實現路由的快速收斂，確保業務的永續性。

BFD 主要是用來實現毫秒級的切換。從而降低業務的故障率。而 BFD 不是單獨啓用的，通常是和 ospf vrrp 等這些路由協議和熱備份協議一起使用的。比如ospf 默認情況下，你要等待 40 秒才能知道鄰居 down 了，但是 bfd 和 OSPF一起使用在毫秒內就能發現鄰居 down 了這樣的話路由切換肯定要快很多。

BFD 狀態機，有 3 種 ：Down ，Init ，UP
初始狀態爲 Down, 收到狀態爲 Down 的 BFD 報文後，狀態切換至 Init, 相互收到 Init 之後，變爲 UP

配置 BFD 延遲 up 功能，默認爲 0
bfd
delay-up 50
修改 BFD hello 報文的時間間隔 100ms
修改 BFD hello 報文的等待時間 100ms
修改最多等待接收 hello 報文的次數爲 3 次，也就是說如果等待達到了 3 次仍沒收到對方的 BFD hello 報文，則認爲鏈路發生了故障。
min-tx-interval 100
min-rx-interval 100
detect-multiplier 3
建立 BFD 會話，配置本地及遠端標識符，
最後是提交 BFD 配置

bfd
q
bfd auto bind peer-ip 192.168.1.2 interface g0/0/0.1
discriminator local 1
discriminator remote 2
commit

將靜態路由與 BFD 會話進行關聯
ip route-static 0.0.0.0 0.0.0.0 202.1.1.2 track bfd-session R1toR2
 

SDN（瞭解）

SDN：Soft ware Defined Network 軟件定義網絡
VXLAN：Virtual eXtensible Local Area Network 虛擬可擴展局域網
NFV：Network Function Virtualization 網絡功能虛擬化

SDN：Soft ware Defined Network 軟件定義網絡
是一種新型網絡創新架構，是網絡虛擬化的一種實現方式，其核心技術OpenFlow 通過將網絡設備控制面與數據面分離開來，從而實現了網絡流量的靈活控制，使網絡作爲管道變得更加智能。傳統網絡的侷限性：流量路徑的靈活調整能力不足；網絡協議實現複雜，運維難度較大；網絡新業務升級速度較慢。

2006 年，以斯坦福大學教授 Nike McKeown 爲首的團隊提出了 OpenFlow 的
概念，並基於 OpenFlow 技術實現網絡的可編程能力，使網絡像軟件一樣靈活
編程，SDN 技術應運而生。
SDN 技術主要是簡化網絡的部署、運維、調整等
SDN 的三個主要特徵：轉控分離, 集中控制, 開放接口。

轉控分離：網元的控制平面在控制器上，負責協議計算，產生流表；而轉發平面只在網絡設備上。
集中控制：設備網元通過控制器集中管理和下發流表，這樣就不需要對設備進行逐一操作，只需要對控制器進行配置即可。
開放接口：第三方應用只需要通過控制器提供的開放接口，通過編程方式定義一個新的網絡功能，然後在控制器上運行即可。

傳統的 IP 網絡具有轉發平面、控制平面和管理平面，SDN 網絡架構也同樣包含這 3 個平面，只是傳統的 IP 網絡是分佈式控制的，而 SDN 網絡架構下是集中控制的。SDN 是對傳統網絡架構的一次重構，由原來的分佈式控制的網絡架構重構爲集中控制的網絡架構。

SDN 網絡體系架構的三層模型：協同應用層，控制層，轉發層
Flow”指的是一組具有相同性質的數據包，例如“五元組”（SIP、DIP、SPORT、DPORT、Protocol）。

SDN 的可編程性和開放性，使得我們可以快速開發新的網絡業務和加速業務創新。如果希望在網絡上部署新業務，可以通過針對 SDN 軟件的修改實現網絡快速編程，業務快速上線。

SDN 的網絡架構簡化了網絡，消除了很多 IETF 的協議。協議的去除，意味着學習成本的下降，運行維護成本下降，業務部署速度提升。這個價值主要得益於SDN 網絡架構下的網絡集中控制和轉控分離。SDN 網絡架構下，由於整個網絡歸屬控制器控制，那麼網絡業務自動化就是理所當然的，不需要另外的系統進行配置分解。在 SDN 網絡架構下，SDN 控制器自己可以完成網絡業務的部署，提供各種網絡服務，屏蔽網絡內部細節，提供網絡業務自動化能力。通常傳統網絡的路徑選擇依據是通過路由協議計算出的“最優”路徑，但結果可能會導致“最優”路徑上流量擁塞，其它非“最優”路徑空閒。當採用 SDN 網絡架構時，SDN 控制器可以根據網絡流量狀態智能調整流量路徑，提升網絡利用率
 

 
VXLAN ：虛擬可擴展局域網
VXLAN 技術主要解決多租戶環境下的二層互聯問題。通過隧道技術在不改變三層網絡拓撲的前提下構建跨數據中心的邏輯二層網絡拓撲。它可以有效解決了vlan 數量的限制問題。對二層網絡做了優化不會造成廣播風暴等問題。

VXLAN，採用 MAC in UDP 封裝方式，將二層報文用三層協議進行封裝，可對二層網絡在三層範圍進行擴展，同時支持 24bits 的 VNI ID（16M 租戶能力），滿足數據中心大二層 VM 遷移和多租戶的需求。

VXLAN 是典型的 NVO3 技術，通過 MAC In IP 技術在 IP 網絡之上構建邏輯二層網絡。同一租戶的 VM 彼此可以二層通信、跨三層物理網絡進行遷移。

VXLAN 技術特點：
位置無關性，可擴展性極強，部署簡單，適合雲業務，利用了現有通用的 UDP
進行傳輸，成熟性極高。
VXLAN 支持哪 2 種常用的配置方式：
通過虛擬化軟件配置
通過 SDN 控制器配置
 

 
NFV： 網絡功能虛擬化
NFV 是指利用虛擬化技術在標準化的通用 IT 設備（x86 服務器，存儲和交換設備）上實現各種網絡功能。NFV 的目標是取代通信網絡中私有、專用和封閉的網元，實現統一通用硬件平臺+業務邏輯軟件的開放架構。NFV 與 SDN 結合使用將對未來通信網絡的發展帶來重大影響

NFV 將許多類型的網絡設備（如 servers，switches 和 storage 等）構建爲一個 Data Center Network，通過借用 IT 的虛擬化技術虛擬化形成 VM（虛擬機，Virtual Machine），然後將傳統的 CT 業務部署到 VM 上。

網絡功能虛擬化的優點：
通過設備合併、借用 IT 的規模化經濟，減少設備成本、能源開銷。
縮短網絡運營的業務創新週期，提升投放市場的速度，使運營商極大的減少網絡成熟週期。

網絡設備可以多版本、多租戶共存，且單一平臺爲不同的應用、用戶、租戶提供服務，允許運營商跨服務和跨不同客戶羣共享資源。

基於地理位置、用戶羣引入精準服務，同時可以根據需要對服務進行快速擴張/收縮。更廣泛、多樣的生態系統使能，促進開放，將開放虛擬裝置給純軟件開發者、小商戶、學術界，鼓勵更多的創新，引入新業務，更低的風險帶來新的收入增長

NFV 架構：
架構層，虛擬化層，功能層
OPEX（Operating Expense）運營成本
CAPEX（Capital Expenditure）資本性支出
SDN 與 NFV 的關係
NFV 是具體設備的虛擬化，將設備控制平面運行在服務器上，這樣設備是開放的、兼容的。SDN 是一種全新的網絡架構，SDN 的思想是取消設備控制平面，由控制器統一計算，下發流表，SDN 是全新的網絡架構。

NFV 和 SDN 是高度互補關係，但並不互相依賴。網絡功能可以在沒有 SDN 的
情況下進行虛擬化和部署，然而這兩個理念和方案結合可以產生潛在的、更大的
價值。